アメリカでのセキュリティ展示会に集まるのはセキュリティ専門家だけではありません。ハッカー達もまたそのような展示会に集結します。ハッカー達がそれぞれのスキルを試し、また有名になる絶好の機会だから、です。

「アメリカのセキュリティ展示会はハッカー達にとって、絶好の遊び場として知られており、彼らは出席者を標的として、安全に見せかけたネットワークから偽のATMに至るまで、様々なツールやテクニックを試します。」と、サイバーリーズンの情報セキュリティ部門のバイスプレジデントである Shlomi Avivi は話しています。

Aviviは、自分の情報が 展示会場の Wall of Sheep (おバカさんリスト)に張り出されないよう、またハッキングの被害者とならないためのヒントを教えてくれました。「こだわり過ぎだと思われるかもしれませんが、イベントや展示会であなたのセキュリティを確保するためにはこれらのガイドラインに従う必要があります。」

Level-1. いかなる公衆ネットワークにも接続しないこと

あらゆるネットワークは悪意のあるものか、または乗っ取られていると仮定してください。インターネットへのアクセスが必要な場合はモバイルWi-Fiルーターを使うか、またはスマートフォンのテザリングを利用します(接続には必ずUSBケーブルを使うこと)。Wifiキオスクを使用して自分のメールアカウントやその他のアカウントにログインしてはいけません。これらのWifiキオスクは乗っ取られている可能性が高いため、あなたのログイン情報やパスワードは簡単に盗まれてしまいます。

Level-2. 配布されたUSBスティックやCDは決して使用しないこと

展示会場では、多くの人々がUSBスティックやCDを配布しています。しかし、たとえベンダーから渡されたものだとしても、決してそれらを自分のマシンに挿入してはなりません。それらのUSBスティックやCDにはマルウェアが混入している可能性があり、そのようなストレージデバイスを自分のコンピュータに挿入した場合、あなたのマシンはマルウェアに感染することになります。また、ホテルのロビーなどにポツンと置かれたUSBスティックを見つけた場合、それは元あった場所にそのまま置いておくようにします。好奇心に負けて、それを自分のマシンに挿入しないでください。それには誰かの休日の写真が保存されていると考えてはなりません。それにはマルウェアが含まれているものと考えてください。

Level-3. 自分のモバイルデバイスのWi-FiおよびBluetooth接続をオフにすること

カンファレンス中はもちろん、ベンダーのブースにいるときにも、自分のモバイルデバイス上のWi-FiおよびBluetooth接続をオフにします。展示会場では、多くのハッカーが偽の携帯電話基地局を設営することで、他人のSMSメッセージをハックしようと狙っています。

Leve-4. 自分のコンピュータとデバイスに最新のパッチを適用すること

自分のコンピュータとデバイスにパッチが当てられていて、それらのアップデートが完了していることを確認します。Flash Player、Javaのブラウザプラグイン、そしてブラウザ自体をアップデートすることを忘れないでください。 ハッカーはこれらのセキュリティホールを悪用しよう狙っています。

Level-5. 保存済みのWi-Fiネットワークを消去すること

自分のラップトップ、タブレット、スマートフォン上に保存しているWi-Fiネットワークはすべて消去します。これは、あなたのデバイスが、それらのネットワークのどれかに自動的に接続しないようにするためです。これらのネットワーク検索によって多くの情報が収集できます。そして、誰かが同じ名前の偽のネットワークを立ち上げた場合、あなたのマシンはそのネットワークに自動的に接続してしまいます。

Level-6. 自分のラップトップのUSBポートを物理的に塞ぐこと

アメリカのセキュリティ展示会では、出展者が自分達のPCにあまり注意を払っていない場合、ハッカー達が空いているUSBポートにUSBスティックを挿入することで知られています。例えば、出展者が見込み客と話をしている間に、別の人物がその担当者のラップトップの空いているポートにUSBスティックを挿入します。すると、そのUSBスティックに含まれているプログラムが起動され、当該ベンダーのウェブサイトを変更し、マルウェアをアップロードし、その他の有害なアクションを遂行する命令を実行します。これを防ぐには、あなたのマシンのUSBポートを物理的に防ぎます。ポートブロッカーがない場合、ガムテープでも十分です。

Level-7. 機密情報を消去すること

自分のラップトップ上にあるVPN/SSHキーおよびすべてのソースコードを消去します。「こうしておけば、あなたのコンピュータが盗まれた場合や、デバイスから目を離したすきにハードドライブをコピーされた場合でも、これらの情報の流出を防ぐことができます。

Level-8. 使い捨てのプリペイド式スマートフォンを利用すること

念のため、セキュリティの展示会場にいる間はプリペイド式のスマートフォンを購入して使用し、自宅へ戻る前にそれを返却または処分します。これらのスマートフォンには個人情報が含まれていないため、もしスマートフォンが盗難に遭ったとしても機密情報が漏洩することはありません。

最後に.. 物理的なセキュリティを忘れないこと

これは常識的なことだと思われるかもしれませんが、自分のコンピュータやモバイルデバイスを決して放置したままにしないでください。例えば、ホテルの部屋を離れる際に、自分のラップトップを部屋に置きっぱなしにしてはなりません。自分のコンピュータやモバイルデバイスは、金庫など、安全な場所に保管しましょう。

ホワイトペーパー「すべての組織が狙われている」

企業、組織がどんなにセキュリティを強固にしてもハッカーが悪用できる脆弱性は必ず存在します。侵入されることが避けられないことを受け入れ、新たな対策を立てる必要があります。本書で、なぜ避けられないのか、どのように対処するのかをご覧ください。
https://www.cybereason.co.jp/product-documents/input/?post_id=606

ホワイトペーパー「すべての組織が狙われている」