情報処理安全確保支援士 - SE娘の剣 -

左門至峰による情報処理安全確保支援士試験に合格するためのサイトです。 過去問を多数引用しながら、基礎知識をしっかり学んでもらうように作ってあります。

その他

 

1.不正にだましとる人って口座情報から足がつかないの?

c2f058cb
不正サイトに誘導されたとして、万が一振り込みやカードでお金を支払ったとするでしょ。でも、その人が通報してたら振り込み先の口座情報などが分かるから、犯人が特定できると思います。身代金要求の誘拐で現金の受け渡しが困難なように、なかなか犯罪にまでつながらないのでは?


犯罪者は巧みで、足がつかない工夫をしているようだ。例えば、確かに銀行口座は身分証明書が必要で本人にしか作れないが、その口座の闇での売買が行われている。だから、振り込まれたらすぐにお金を引き出し、そして口座の身元が警察に突き止められても、真犯人は捕まらない仕組みになっている。
一方、DoS攻撃による現金要求などがあったが、このようにオープンに要求する場合は、TVドラマの身代金要求における現金受渡しと同様に、かなり難しいかもしれない。

2.ネットで年齢確認があるけど、あれは意味があるのか。

・出会い系サイトから子供を守る
詳しくは、サイバー警察のサイトにある出会い系サイトによる犯罪が増えているようだ。
親はパソコンにソフトを入れるように促している。
またサイトの事業者は、年齢確認として、18歳以上かどうかを選ぶページを作る必要がある。
c2f058cb
でもこれって、クリックするだけでしょ。コンビニでたばこを買うときに免許証を見せたりするチェックとは違い、全く意味がないと思う。→サイバー警察に電話して聞いてみよう。

 

3.データベースセキュリティ

データベースに関するセキュリティ対策は、通常のセキュリティ対策と基本的には同じである。たとえば、データベースの暗号化、アクセス権設定によるアクセス制御、利用者認証を実施する。また、万が一のデータ破壊に備えてバックアップをきちんと取ることが大切である。それ以外に、SQL インジェクション対策としてのサニタイジングなどがある

4.ネットショップで買うとクレジット番号ばればれだよね。

0b330982
インターネットでクレジット情報入れるけど。たしかにSSLで暗号化されているかもしれないけど、店側には私のクレジット番号がバレてますよね?かんたんに悪用されません?



たしかに、私もそういう経験がある。どうしても欲しい物があって、その店に連絡したらクレジットの情報を言わされた。「大丈夫です。セキュリティは守りますから」と言われて、どうしても欲しかったから言ったけど、店側のモラルに任されている場合がある。クレジットを安全に取引するSETの仕組みも普及していないし。
ただ、最近では、クレジットカードの認証サービスで、購入した店舗ではなく、クレジット会社に認証を行い、パスワードを入れることも多くなってきた。こうなると安全性はかなり上がるよね。
6b2fb508
でも、そういう仕組みを導入しない店もまだあるでしょ。クレジット番号がバレると悪用されるのでは?サインもしないし。




たしかに、その恐れは十分にある。とはいえ、ネット決済ということは、商品を誰かの家に配達する必要がある。そこが犯人の家だったという単純なことはないかもしれないが、入力するときのIPアドレス情報を含めて、何らかの足がつく。カードの金額上限もあるしね。
4d80b27a
あの上限って勝手に増えていないですか?先日見たら99万円に上がっていた。それと、私の名前にして第三者の住所(犯人)に送ったら、カード会社も私がやったのか、不正な第三者がやったのかが分からないと思うわ。



例外はあると思うけど、基本的に住所と名前が一致しないと、郵便や宅配便は届かないよ。だから、第三者があやちゃんのカード情報を手に入れ、あやちゃん宛だけど自分の住所にダイヤを送ろうとしても送れない。社会全体として、セキュリティを保つ仕組みになっている。

5.SET(Secure Electronic Transaction)

「インターネット上で、安全なクレジット決済の取引処理を提供するために定められたプロトコル(H16SU午前 問23)」を何というか

PKIを利用したインターネットでカード情報を安全に取引する規格である。大手クレジット会社と大手ソフトウェアメーカが規格化したもので、正解は「SET(Secure Electronic Transaction)」です。
残念ながら普及していません。パソコンにソフトが必要なのが原因なのか、そのあたりはよく分かっていませんが。

6.アダルトサイトを見ていたら個人情報を知られ、支払い請求をされました。

db2fc28cこの話は、決して私の話じゃないですよ。
知人からうけた相談です。





ワンクリック詐欺(ワンクリック不正請求)ですね。かなり巧みというか心理をついている。
一つは、ユーザ(被害者)がクリックしたという行為をしていること。メールが一方的に来ただけでなく、自らクリックしていることから、「あなたは(クリックして)同意しました」と表示されると、その通りと考えてしまうから。
もう一つは、IPアドレスだったり、携帯番号の個体識別番号であったり、ブラウザの種類などが知られたことにより、自分のことを特定されたと思ってしまう。
c2f058cb
でも、IPアドレスでおおよその住所は分かるんですよね。それと、プロバイダに聞いたら個人も特定できますよね。




大丈夫です。おおよそ(関東とか関西)のエリアしか分かりません。また、プロバイダが情報を教えるわけありません。個人情報は特定できません。
d18680c9
でも、教えるかもしれないでしょ。





その場合、プロバイダに責任がありますから、プロバイダに損害賠償請求ができます。大事なのは「無視」することです。「支払いません」などと連絡をとったり、クレジットカード情報を入力したら、本当に個人情報が伝わってしまいます。※たしか、この詐欺に対しては、電子消費者契約法により、守られているはず。

7.セキュアOS

■セキュアOS
セキュアOSとはセキュリティ機能を強化したOSのこと。LinuxのSElinuxが馴染み深いだろう。

■Trusted OS
一方、Trusted OSとは、オレンジブックと呼ばれるTCSEC(Trusted Computer System Evaluation Criteria)のB1以上の基準を満たしたOSのこと。
 Trusted OSもセキュリティ機能を強化したという意味ではセキュアOS。しかし、SElinuxはTCSECの基準を満たしていないので、Trusted OSとは言えない。
 Trusted OSの条件を満たすには、強制アクセス制御(MAC)、最小特権などが必要。