━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆◆◆◆　KDLのWebセキュリティ専門情報　　　　　　　　 　　　 　◆
◆◇◆　　　　　　　　　　　　　　　　　　　　　　　　　　　　◆◆
◆◆　　　　　　　　　　『ＳＥＣ２Ｕ』　　 vol.04　　　　 　◆◇◆
◆　　　　　　　　　　　　　　　　　　　　 (2010.08.05号) ◆◆◆◆
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

　こんにちは！
　神戸デジタル・ラボ　Webセキュリティチームの近藤です。

　前回の配信から、多くのお客様にセキュリティ関連相談をいただき、
　また、セミナーの開催等も相次いで、久々の配信となります。

　今回は、日本でも徐々に浸透してきている"Twitter"を
　皆様の会社で「会社としてアカウントを取得して利用する」際の
　留意点を、セキュリティの観点からお伝えします。


※本メールマガジンは、過去に当社セキュリティセミナーに
　ご参加いただいた方や、お名刺交換をさせていただいたお客様、
　サイト上からメールマガジンの購読をお申し込みいただいた方
　に対してお送りしております。


INDEX ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
《１》安心コラム「企業で安全にTwitterを利用する方法」
《２》セキュリティニュース速報（2010.6.14～8.5）
《３》編集後記
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

┏━☆
┃１┃￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣
┗━┛安心コラム「企業で安全にTwitterを利用する方法」
─────────────────────────────────

　企業のブランド価値を高めるため、またお客様のサポートを充実
　させるため等、企業でもTwitterを利用されるケースが増えてきました。

　具体的な利用ケースについては、当社・若尾が発行している"WEB2U"でも
　ご紹介したことがありますので、そちらをご覧いただくとしまして、
　本メルマガでは、企業でTwitterを利用するリスクと対策について検証
　してみたいと思います。

　※「WEB2U」でのご紹介内容はこちら（企業のTwitter取り組み事例）
　⇒http://f.msgs.jp/r/c.do?8N_11t_r_odu

　┌──────────────────────────┐
　｜≪リスク一覧≫　　　　　　　　　　　　　　　　　　　｜
　｜ツイートする際のリスク　　　　　　　　　　　　　　　｜
　｜　１．機密情報の漏えい　　　　　　　　　　　　　　　｜
　｜　２．所在が判ってしまう　　　　　　　　　　　　　　｜
　｜　３．ダイレクトメッセージ内容の漏えい　　　　　　　｜
　｜　４．非公開ツイート内容の漏えい　　　　　　　　　　｜
　｜ツイートを閲覧する際のリスク　　　　　　　　　　　　｜
　｜　１．ＵＲＬ短縮でリダイレクト先が分からない　　　　｜
　｜　２．有名人の「なりすまし」に引っかかる　　　　　　｜
　｜　３．フィッシングスパムに引っかかる　　　　　　　　｜
　｜その他のリスク　　　　　　　　　　　　　　　　　　　｜
　｜　１．外部サイト・アプリケーションからの漏えい　　　｜
　｜　２．ボットネット　　　　　　　　　　　　　　　　　｜
　└──────────────────────────┘


■ツイートする（つぶやく）際のリスク

１．機密情報の漏えい

　　企業でTwitterを利用する際に真っ先に気になるのが
　　機密情報の漏えいです。

　　無秩序に社員が社外へ情報を流さないように、インスタント
　　メッセンジャーやSkype等を禁止している企業もあると思いますが、
　　Twitterも同様にきちんとしたルールの元に運営しなければ
　　企業の機密情報が漏えいしてしまう可能性があります。

　【対策】
　　Twitterを企業で利用する前にガイドラインを策定しておきましょう。

　　例えば、自社商品の情報を外部に公開して良いのはどの範囲までか
　　（市場価格を伝えて良いか等）、できるだけ具体的に決めておく方が
　　良いでしょう。
　　
　　公開して良い内容か判断がつかない場合は、誰に聞いて、誰が判断を
　　下すのか等、トラブル時の社内体制も予め決めておくべきです。
　　また、ツイートした内容に問題が無かったか、別の人がチェックし、
　　万一不適切な発言があった場合は、早急に対策が行える体制も
　　用意しておくことも必要です。

　　利用開始当初は、どのような情報を発信すべきか、どのような質問が
　　されるのか等、なかなか想定しにくいですが、運用を繰り返しながら、
　　事例を積み重ねていくことで、お客様にとっても担当者にとっても
　　満足のできるサービスに成長させることができると思います。


２．所在が判ってしまう

　　ツイート内容で、自宅が不在であることが判り、空き巣に入られる
　　事件が一般利用者の方々でも発生しています。

　　一般企業の場合、そもそもWebサイト等で企業の所在地を明らかにして
　　いますし、空き巣に入られない物理対策もなされており、問題ないとは
　　思います。とはいえ、「社員旅行で全員不在」等といった情報は
　　発信しない方が無難です。

　　また、担当者が自宅からツイートする場合に、担当者の自宅の所在が
　　判ってしまう可能性もあります。

　【対策】
　　基本的に、企業アカウントでのツイートは社内から行いましょう。

　　どうしても、担当者が自宅等からツイートする必要がある場合は、
　　Twitter側の設定で「ツイートに位置情報を付ける」のチェックが
　　外れているかを事前に確認してください。

　　また、Twitter側の設定でツイートに位置情報を付けていなくても、
　　GPS付カメラで撮影した画像データをアップロードすると、
　　画像データに含まれる「Exif（イグジフ）情報」から撮影した場所が
　　分かってしまうケースもありますので、注意が必要です。

　　※Exif情報とは？（Wikipediaより）
　　　http://f.msgs.jp/r/c.do?8G_11t_r_odu

　　Exif情報を削除する必要がある場合、"ExifEraser"等のフリーソフト
　　も多くありますので、これらを利用するのが良いでしょう。

　　※ExifEraser
　　　http://f.msgs.jp/r/c.do?8M_11t_r_odu


３．ダイレクトメッセージ内容の漏えい

　　基本的に、ダイレクトメッセージで送信先を特定して送った
　　メッセージは、一般公開されません。
　　しかし、受け取った人がうっかりその内容を使ってリツイート
　　してしまうことで、送信者の意図に反して情報が公開されて
　　しまう可能性があります。

　【対策】
　　Twitterで送信するメッセージは全て公開されるものだという前提で、
　　機密情報を含めないようにしましょう。

　　どうしても機密情報を送らなければならない場合は、
　　暗号化して送信する等の方法を検討して下さい。


４．非公開ツイート内容の漏えい

　　Twitterの設定で、「ツイートプライバシー」にて、
　　「ツイートを非公開にする」にチェックを入れて保存すると、
　　ツイート内容が一般には公開されなくなります。
　　しかし、後で「ツイートを非公開にする」のチェックを外した場合、
　　すべてのつぶやきが公開されてしまいます。

　【対策】
　　基本的には、非公開のツイートを使わないことです。

　　ダイレクトメッセージと同様、ツイート内容は全て公開されるものと
　　割り切って利用するのが良いでしょう。

　　どうしても非公開のツイートを使わなければならない場合は、
　　後でうっかり「ツイートを非公開にする」のチェックを外して
　　情報を漏えいしないために、用事が済んだ後はそのアカウントを
　　削除してしまった方が良いでしょう。



■他人のツイートを閲覧する際のリスク

１．URL短縮でリダイレクト先が分からない

　　Twitterを利用されている際に、http://bit.ly/******といった
    リンクを見かけることがあります。
　　このURLをクリックすると別のURLにリダイレクト（転送）されます。

　　Twitterは記載できる文字数が140文字に制限されているため、
　　"bit.ly"や"tinyurl"等のように、URLを入力するとURLを短縮してくれる
　　サービスの利用も増えています。

　　※bit.ly 　http://bit.ly/
　　※tinyurl　http://tinyurl.com/　

　　ところが、結果として、クリックしてみなければ実際に
　　リダイレクト先を確認できなくなり、ウイルスをダウンロード
　　させるようなサイトにリダイレクトされる危険性も生まれています。

　【対策】
　　FireFoxをご利用の場合は、「bit.ly preview」というアドオンを
　　利用することで、"bit.ly"のリンクをクリックする前に
　　リンク先のURLを確認することができます。

　　※「bit.ly preview」
　　　http://f.msgs.jp/r/c.do?8L_11t_r_odu

　　また2010年夏からtwitter.comが短縮リンクサービスを公式に
　　サポートする予定です。

　　※twitter blog "Links and Twitter: Length Shouldn’t Matter"
　　　http://f.msgs.jp/r/c.do?8C_11t_r_odu

　　※Twitter、更新URL短縮サービス「t.co」を今夏開始（Internet Watch）
　　　http://f.msgs.jp/r/c.do?8E_11t_r_odu


　　これにより、twitter側で悪意のあるリンクを把握して、利用者に
　　通知することが期待できます。
　　また表示上は、省略前のURLが表示されますが、140文字制限中の
　　20文字としてしか扱われませんので、ツイートする人にとっては、
　　URL短縮のメリットが生かされ、見る人にとっては、URL短縮により
　　リンク先が見えないデメリットが回避できます。

　　しかし、twitter.comの短縮リンクサービスが開始されたとしても
　　リンク先で複数回リダイレクトを繰り返して悪意のあるサイトへ
　　遷移するような場合を想定するとtwitter.comのサービスも万全とは
　　言えません。
　　ウイルス感染が即企業のリスクに直結するような企業の場合には、
　　さらなる対策が必要です。

　　ウイルス感染が即リスクとなる企業では、Twitterを運用する場合は、
　　最悪のケースを想定し、Twitter運用端末は悪意のあるサイトに遷移
　　させられ、ウイルスに感染するかもしれない前提で考えるべきです。

　　具体的には、Twitter運用端末については、以下のような措置を講じる
　　ことで安全な運用が可能です。

　┌────────────────────────────────┐
　｜≪Twitter運用端末に対する措置≫　　　　　　　　　　　　　　　 　｜
　｜　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　｜
　｜　・Twitter端末を社内LANから切り離す。                      　　｜
　｜　　（社内LANとは別のLAN上にTwitter端末を配置し、Twitter端末が　｜
　｜　　　ウイルスに感染しても他のPCに影響が及ばないようにする）　　｜
　｜　　（iPadをTwitter端末専用端末として使用し、3Gかモバイルwifi 　｜
　｜　　　経由で接続して頂くのも良いかもしれません）　　　        　｜
　｜　・Twitter端末はTwitter入力、閲覧専用とし、その他の業務に  　　｜
　｜　　使用しない。                                            　　｜
　｜　・ブラウザ・ウイルス対策ソフト以外のアプリケーションは    　　｜
　｜　　使用しない。                                          　　　｜
　｜　・OS、ブラウザ、ウイルス対策ソフトのアップデートは業務　  　　｜
　｜　　開始前に毎日確認する。                                　　　｜
　｜　・ブラウザの設定でJavaScriptを実行しない設定にする。　  　　　｜
　｜　　                                                      　　　｜
　└────────────────────────────────┘


２．有名人の「なりすまし」に引っかかる

　　Twitterでは、有名人の「なりすまし」が多数発生しています。
　　Twitterに表示された内容だけでは、なかなか本人か否かを判別する
　　のは難しく、特に知人からの紹介だとつい信用してしまうものです。
　　実際に、フォローして、「返信」や「リツイート」してきた知人だと
　　思っていた人が、実はその人になりすました攻撃者であった
　　ケースもあるようです。

　【対策】
　　Twitter社が提供する「認証済みアカウント」を利用する方法があります。
　　フォローする前に、右側のサイドメニューの「氏名」の上に
　　チェックマークと「認証済みアカウント」の文字があるか確認して下さい。
　　「認証済みアカウント」を登録されている有名人の方はこの印が
　　付いていますので、これによりその有名人が本人であることを確認して
　　からフォローしてください。

　　※twitter「認証済みアカウント」
　　　http://f.msgs.jp/r/c.do?8Q_11t_r_odu

　　なお、「認証済みアカウント」がない著名人や企業等をフォローする
　　場合は、公式サイト等でユーザー名を確認するのが良いでしょう。


３．フィッシングスパムに引っかかる

　　Twitterからの「未読のつぶやきがあります」というメールを
　　騙って、フィッシング詐欺サイトやウイルスダウンロードサイトへ
　　誘導する事件が発生しています。
　　これはTwitterに限った話ではありませんが、Twitterからのメールに
　　良く似せたメールでだまされやすくなっていますのでご注意ください。

　【対策】
　　このようなメールのリンクはクリックせずに、手入力やブラウザに
　　登録したブックマーク等、信頼できるURLからTwitterサイトを
　　利用して下さい。



■その他、Twitterに関わる問題とは？

１．外部サイト・アプリケーションからの情報漏えい

　　幾つかの外部サイトやアプリケーションで、利用者を認証する際に
　　OAuth（オー オース）という「認可情報の委譲」仕様を用いるケース
　　が増えてきています。
　　
　　Twitterと連携できる外部サイト・アプリケーションも、OAuthを
　　用いて認証を行っており、Twitterのアカウントとパスワードで
　　サインアップを実施すると、そのアプリケーションや外部サイトが
　　要求する情報をTwitterから参照することができるようになっています。
　　
　　つまり、Twitterのアカウントでサインアップを行うことで、
　　Twitterに登録した情報が漏えいする可能性があるということです。

　【対策】
　　Twitterのアカウントでサインアップを行う際には、Twitterに登録
　　した情報は全て公開される前提で考えてください。
　　そのアプリケーションや外部サイトの仕様によっては、メール
　　アドレスも公開される場合がありますので、ご注意下さい。

　　もし、それが困るということでしたら、Twitterのアカウントで
　　外部サイト・アプリケーションにサインアップを行わないでください。


２．ボットネット

　　一般の利用者には防ぎようのない問題ですが、ボットへの攻撃命令に
　　Twitterが利用されているケースがあります。

　　※参考：Twitter経由で命令を送信？（RBB TODAY）
　　　危険なボットネットが感染拡大の気配 ～ BitDefenderが注意喚起
　　　http://f.msgs.jp/r/c.do?8I_11t_r_odu

　　Twitterの利便性はコンピュータウイルスにも目を付けられたようです。
　　ガンブラー等、毎年のように新しいブームのコンピュータウイルスが
　　流行していますが、Twitterを利用して爆発的に感染するタイプの
　　コンピュータウイルスが流行らないとは限りません。
　　今後もセキュリティ関連ニュースをご覧頂き、新たな流行が発生した
　　際には対応頂ければと思います


■まとめ

　　Twitterを企業内で利用される場合の対策をまとめると以下のように
　　なります。

　┌────────────────────────────────┐
　｜≪Twitterを企業内で利用される場合の対策≫　　  　　　　　　　　 ｜
　｜　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　｜
　｜　・ツイート内容は、予めガイドライン等で制限を決めておく。　　　｜
　｜　・トラブル時の体制を予め決定しておく。                    　　｜
　｜　・ツイート後、ツイート内容を別の人がチェックする。 　　   　　｜
　｜　・専用のTwitter端末を用意する。　　　　                     　｜
　｜　・フォローする場合は、相手先を確認してから。　　　　　　      ｜
　｜　・有名人の確認は「認証済みアカウント」をチェックする。　      ｜
　｜　・Twitter.comから送られたメール内のリンクはクリックしない。　 ｜
　｜　・ダイレクトメッセージ、非公開を問わず、機密情報は掲載しない。｜
　｜　・Twitterに登録する全ての情報は公開される前提で利用する。　　 ｜
　｜　・Twitterに関するセキュリティニュースを閲覧する。　　　　　　 ｜
　｜　                                                          　　｜
　└────────────────────────────────┘


┏━☆
┃２┃￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣
┗━┛セキュリティニュース速報（2010.6.10～8.5）
─────────────────────────────────

・8/5　不正アクセスでカード情報流出１万２千人分（読売新聞）
  http://f.msgs.jp/r/c.do?8F_11t_r_odu
　NEO BEAT（ネオビート）は、不正アクセスによって、イズミヤなど
　「ネットスーパー」の顧客情報が流出したと発表しました。

・7/16　全メールの97％がスパム--送信国ワースト1位は米、英国が4位に上昇
  http://f.msgs.jp/r/c.do?8D_11t_r_odu
  ソフォス社が今年4～6月の迷惑メール（スパム）送信国ワースト12を発表しました。
  ワースト1位はアメリカで、全世界のスパムメッセージの15.2％を配信している
  とのことです。

・7/6　IPAが「サポートが終了するWindowsを利用しているシステム管理者への
  注意喚起」
　http://f.msgs.jp/r/c.do?8O_11t_r_odu
　マイクロソフト社のOS「Windows 2000 Server」、
　「Windows 2000 Professional」のサポートが終了します。今後はセキュリティ
　パッチが提供されなくなりますので、新たな脆弱性に対して対抗できません。
　早急に新しいOSへの移行をお奨めします。

・7/1　IPAが「Adobe Flash Player および Flash を扱うアドビ製品の脆弱性に
　ついて」注意喚起
　http://f.msgs.jp/r/c.do?8H_11t_r_odu
　またしてもAdobe製品が狙われています。ご利用されている方は早急に
　最新バージョンであるか確認してください。併せて、自動アップデートの
　確認もお忘れなく。

・6/30 JPCERTがWindowsの「ヘルプ」と「サポートセンター」機能の脆弱性に注意喚起
　http://f.msgs.jp/r/c.do?8P_11t_r_odu
　6月11日にマイクロソフト社が公開した「ヘルプ」と「サポートセンター」機能に
　おける脆弱性を悪用したガンブラー攻撃が確認されたと、JPCERTが注意喚起を
　行っています。


┏━☆
┃３┃￣￣￣￣￣￣￣￣￣￣
┗━┛編集後記
─────────────────────────────────

　今回の「SEC2U」、いかがでしたか？

　Twitterの利用シーンが今後も増えていくと思いますが、今後も
　新たな問題点が発見されていくと思いますので、これからも
　まだまだ情報発信が必要だと考えるこの頃です。

　今回はビジネスで使われる想定でのお話をしましたが、Twitterの
　個人利用の場合、所在地と個人情報が同時に判りますとトラブルに
　巻き込まれるタネになりますので、十分にお気をつけください。

　本メルマガで皆さまにご参考となることがありましたら幸いです。

　それでは、次回まで皆様お元気で！

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
※このメールは送信専用メールアドレスから配信されています。
　このままご返信いただいてもお答えできませんのでご了承ください。

※個人情報の取扱いに関しましては、当社規定のプライバシーポリシーのもと、
　個人情報の保護に努めながら、運営してまいります。
　プライバシーポリシーの詳細は、下記にてご確認ください。
　⇒　http://www.kdl.co.jp/other/policy.html
　
※大変恐縮ですが今後、当メールの配信を希望されない場合
　下記URLより配信停止の手続きをお願いします。
　⇒　http://f.msgs.jp/r/c.do?8J_11t_r_odu

※当メール配信先アドレスの追加や変更を希望される方は、
　下記URLより変更手続きを行ってください。
　⇒ http://f.msgs.jp/r/c.do?8K_11t_r_odu
　　
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
発  行  元：株式会社神戸デジタル・ラボ（KDL）
発　行　日：2010年8月5日（木）
Ｕ  Ｒ  Ｌ：http://www.proactivedefense.jp/
お問合わせ：info@proactivedefense.jp
本 　 　社：神戸市中央区江戸町93番 栄光ビル5F
編集・発行：「SEC2U」編集事務局
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 Copyright(c) 2010  Kobe Digital Labo,Inc. All Rights Reserved.

 本メルマガは著作権により保護されていますが、
 皆様のお役に立てるのであれば、商用の場合を除き、ご自由に転送・転載
 いただいて構いません。その際は最下部のクレジット部分（発行元やURL、
 メールアドレス、住所等が書かれた部分）を明記願います。