プライバシーザムライがゆく(プライバシーマーク・ISMS最新情報)

プライバシーマーク、ISMSのことなら、当社(オプティマ・ソリューションズ)にお任せください。

このエントリーをはてなブックマークに追加 Clip to Evernote
64368424_2552388471448309_6466635131749662720_o
(写真は開催時の様子です)

皆さんこんにちは。
プライバシーザムライ中康二です。
(オプティマ・ソリューションズ株式会社・代表取締役) 

6月のInteropで、私は「本気のISMSって何だ?〜情報セキュリティへの取り組みにISMSが欠かせない理由〜」という講演を行いました。

ご好評をいただきましたので、このたび、その際に収録した動画の無料配信を行います。

--------------------------------------------------------
タイトル:「本気のISMSって何だ?」
〜情報セキュリティへの取り組みにISMSが欠かせない理由〜
講 師 : プライバシーザムライ(オプティマ・ソリューションズ 中康二)
視聴先 : オプティマ・ソリューションズ株式会社 Youtubeチャンネル
--------------------------------------------------------



※講演資料のPDFダウンロードはこちら
https://www.optima-solutions.co.jp/form_isms_honki_201903

今後も、Youtubeオプティマ・ソリューションズ公式チャンネルに、プライバシーマーク・ISMSに関する役立つ情報を掲載していきます。ぜひチャンネル登録してください。
https://www.youtube.com/user/OptimaSolutionsInc

本気のISMSは、日本の情報セキュリティ水準アップに欠かせないものだと考えています。今後もいろんな機会で何回でも訴え続けるつもりです。ご期待ください!



このエントリーをはてなブックマークに追加 Clip to Evernote
2019-07-26 13.08.20
(画像はヤマト運輸Webサイトより)

皆さんこんにちは。
プライバシーザムライ中康二です。

宅配便大手のヤマト運輸は、顧客向けWebサイト「クロネコメンバーズ」にパスワードリスト攻撃が行われ、約3500人分の個人情報が流出したと発表しました。

流出したのは、クロネコヤマトにメールアドレスを登録した利用者の
クロネコID、メールアドレス、氏名、氏名ふりがな、電話番号、性別、郵便番号、住所、クレジットカード情報(カード番号の下4桁・有効期限・氏名)、アドレス帳情報(氏名・住所・電話番号)
3,467件
とのことです。

なお、不正ログイン試行件数は約3万件であり、「特定のIPアドレスから通信が行われている」「同社に登録していないメールアドレスでのログイン試行がある」などから、同社としては「パスワードリスト攻撃」だと断定したようです。

※パスワードリスト攻撃とは、他のサービスから流出したメールアドレスとパスワードの組み合わせを使ってログインを試行することで、不正アクセスする手法のこと。

同社では、対象となった利用者のIDを停止し、パスワードを変更するよう個別に連絡をしているとのことです。

http://www.kuronekoyamato.co.jp/ytc/info/info_190724.html

(私のコメント)
ここ数年、この手のパスワードリスト攻撃がどんどん増加しています。

今年2月には、ダークウェブで22億件ものメールアドレスとパスワードの組み合わせが公開されているという報道もありました。

https://japan.cnet.com/article/35132120/

ここから入手したメールアドレスとパスワードの組み合わせを一つ一つ著名なサービスに入力していけば、かなりの割合でログインできる可能性があるわけです。実際にそのようにして多くの不正アクセスが発生しています。

今回のヤマト運輸の事例においては、まさにパスワードリスト攻撃の特徴が見られ、同社がいち早くそれを察知したことにより、問題が大きくなる前に対策を講じることができたと言えると思います。

このような事態を受けて、パスワードリスト攻撃対策は事業者側の義務となりつつあると言えると思います。

インターネットが登場して以来、多くのサービスの利用規約の中で、パスワードの管理は利用者の義務とされ、正しいパスワードが入力された場合にはその利用者の情報を表示させるのが事業者側の務めであり、たとえそれが流出したものであったとしても事業者側は関知する義務はないという事になっていました。

しかし、今回のヤマト運輸の事例では、事業者側が利用者にお詫びする形となっています。それは「過失を犯した意識のない利用者の情報が不正アクセスにより多数流出してしまった」からであり、これを「利用者側のパスワード管理ミス」と言い続けることが難しくなってきているということだと思います。

従って、事業者としてパスワードリスト攻撃に対抗する法的義務はないとは言え、今後ますます義務の様になってくると思います。

今回の事件では、パスワードリスト攻撃の特徴がかなり明確になっています。
(1)特定のIPアドレスから通信が行われている
(2)自社に登録していないメールアドレスでのログイン試行がある
(3)同一アカウントに対して何回もログイン試行がない(総当たり攻撃ではない)
(4)パスワード間違いの比率が10%から20%程度である(今回の事例では11%でした)
などの場合には、事業者側でパスワードリスト攻撃の可能性があると判断できます。このような場合には、そのIPアドレスからの通信を停止するなど、被害が広がらない対策を講じることが今後は必要になってくるのではないかと思います。

※もちろん、対策と攻撃の進化はいたちごっこですから、攻撃者側も(1)などはすぐに対抗策を講じてくるとは思いますけどね。

また、何か情報が入りましたら、皆様にシェアいたしますね。





このエントリーをはてなブックマークに追加 Clip to Evernote
7payアプリ画面
(画像は7payアプリのスマホ画面)

皆さんこんにちは。
プライバシーザムライ中康二です。

セブンイレブンが7月から始めたコード決済「7pay」が、サービス開始早々から不正に利用され、事実上のサービス停止に追い込まれている件については、メディアの報道でもご存知かと思います。

不正利用の被害者が約900名、被害金額が約5580万円とのこと。ほんの数日でこれだけの不正利用があったということは、7payというシステムにそもそも大きな問題があったと言わざるを得ません。

しかも、セブン・ペイ社が開いた記者会見において、「専門家の脆弱性診断は受けていた」というようなやり取りがあり、同社の体制にも大きな問題があったと言えると思います。

日本全体でキャッシュレスを推進するために設立された業界団体である一般社団法人キャッシュレス推進協議会では、昨年サービス開始したPayPayで不正利用が相次いだことをうけて、不正アクセスに対するガイドラインを作成していましたが、7payはこのガイドラインを満たしていなかったとのことです。

セブン・ペイ社ニュースリリース一覧
https://www.7pay.co.jp/news/

経産省のリリース
https://www.meti.go.jp/press/2019/07/20190705003/20190705008.html

(私のコメント)
セキュリティ・バイ・デザインという言葉があります。これはシステムを開発、設計する時点において、予めセキュリティ対策を盛り込もうという考え方です。インターネットが普及し、世界中から不正アクセスが行われている現代においては、必須の考え方と言えると思います。

今回の7payの事態を見ますと、このセキュリティ・バイ・デザインの考え方が全く取り入れられていなかったということだと思います。日本を代表する優良企業であるセブンイレブンのグループ会社で、このような事態に見舞われたことは誠に残念と言わざるを得ないと思います。

また、何か情報が入りましたら、皆様にシェアいたしますね。





このエントリーをはてなブックマークに追加 Clip to Evernote
IMG_6351
(画面は楽天コミュニケーションズから届いたSMS画面)

皆さんこんにちは。
プライバシーザムライ中康二です。

この記事は、先日の記事の続きです。
フィッシング詐欺は見ただけでは見抜けない〜高まるドメインの重要性〜

本物そっくりの詐欺サイトがあった場合に、本物かどうかを知るためにはドメインを確認するしかないということをお書きしました。

ちょうどタイムリーに関連する事象が発生しましたので、また記事にしてみたいと思います。

1週間ほど前、私のスマホに楽天コミュニケーションズから発信されたと思われるショートメッセージが届きました。(トップ画像がそれです)

私は楽天でんわのユーザーです。ですから、少しは心当たりはありました。しかし、私の妻にも同じショートメッセージが同時に届いていて、彼女は楽天でんわは使っておらず、「これ何だろう?」と質問されたので、もしかするとこれは不特定多数のユーザーに無差別に送信している詐欺メールの可能性があると不審に思いました。

それで、リンク先のURLを確認すると
ux0.jp
となっていました。なんだか楽天とは関係なさそうなドメインです。

これでますます警戒水準を上げた私は、
ux0.jp
を手打ちでブラウザに打ち込んでみました。
なんと!何も表示されません。

これはもしかしてと、さらに警戒水準を上げて、
Webでいろいろ情報を検索し、下記の記事を発見しました。

「楽天でんわサービス提供事業者変更のお知らせ」のSMSは詐欺?なぜ届いたの?について
https://sbapp.net/appnews/iphone/security/rakuten-2-98063

まあこれを読んで、なるほどと少し納得して、これは安心なんだろうと警戒を解いた次第です。
結論としては、下記のページが開くだけなのでした。

会社分割によるサービス提供会社変更のお知らせ
https://comm.rakuten.co.jp/oshirase/20190613.html

こんなこと無駄ですよね。

10万人にショートメッセージを送ったら、10万人がこんなことを気にしなければならないとすれば、そんな仕組みは誰も使わなくなっていくことでしょう。

何がよくなかったのでしょうか?
やはりドメインが良くなかったのだと思います。


ショットメッセージに含まれるリンク先URLが、
rakuten.co.jp
であれば、受信した人はまだ安心して画面を開くことができたでしょう。
ux0.jp
というような誰も知らないドメインでは安心して画面を開けないのです。
(少なくともux0.jpで配信会社のトップ画面が出てきたら、少しは安心できたと思います)

ということで、やはり今後は、
(1)社名やブランド名と関連のある分かりやすいドメインを使う
(2)社名やブランド名と関連のある分かりやすいドメインは悪用されないために所有しておく
(3)できればドメインは短いほうがいい。
ということがセキュリティ的にも今まで以上に重要になってきている
と思います。

何かの参考になればと思います。

また、新しい情報が入りましたら、皆様にシェアいたしますね。




このエントリーをはてなブックマークに追加 Clip to Evernote
本気のISMS講演
(写真は当日開催の様子です)

皆さんこんにちは。
プライバシーザムライ中康二です。
(オプティマ・ソリューションズ株式会社・代表取締役) 

「SecurityDays 2018 Spring」で、私が「本気のISMSで情報セキュリティの水準アップを実現しよう」という講演を行いました。

好評をいただきましたので、このたび、その際に収録した動画の無料配信を行うこととなりました。

--------------------------------------------------------
タイトル:なぜ情報セキュリティへの取り組みにISMSが欠かせないのか?
〜本気のPDCAで自社の弱点を見つけ、集中的な対策を実現〜
講 師 : プライバシーザムライ(オプティマ・ソリューションズ 中康二)
視聴先 : オプティマ・ソリューションズ株式会社 Youtubeチャンネル
--------------------------------------------------------



※講演資料のPDFダウンロードはこちら
https://www.optima-solutions.co.jp/form_isms_honki_201903

今後も、Youtubeオプティマ・ソリューションズ公式チャンネルに、プライバシーマーク・ISMSに関する役立つ情報を掲載していきます。ぜひチャンネル登録してください。
https://www.youtube.com/user/OptimaSolutionsInc

本気のISMSは、日本の情報セキュリティ水準アップに欠かせないものだと考えています。今後もいろんな機会で何回でも訴え続けるつもりです。



このエントリーをはてなブックマークに追加 Clip to Evernote
どっちが詐欺サイト?
(画面はauのWebサイトより)

皆さんこんにちは。
プライバシーザムライ中康二です。

興味深い記事がありましたので、本Blogでも共有したいと思います。

フィッシング詐欺は見破れる? 事例や手口、対策や偽サイトの見分け方を解説
スマホ全盛の時代にインターネットを使った思わぬトラブルにあわないよう、話題になっているネット詐欺の手口や事例を解説し、セキュリティに関する素朴な疑問に答える本連載。今回は「フィッシング詐欺」のお話。

https://time-space.kddi.com/it-technology/20190613/2670


フィッシング詐欺が増加してますよという記事で、ざっくり要約すると
(1)詐欺メールは見抜けない
(2)詐欺サイトは見抜けない
(3)2段階認証を設定しよう

ということが書かれています。

私が特に興味深いなと思ったのは、本物そっくりの詐欺サイトがあった場合に、本物かどうかを知るためにはドメインを確認するしかないということでした。

例えば、
kddi.co.jp
というドメインの場合には、かなり本物の可能性が高いです。
「co.jp」ドメインは、1社一つしか取れませんし、
登記簿謄本での確認なども行われます。
KDDIほどの大企業の場合には、他の会社に取られるということも考えにくい。

しかし、実際には上記の「co.jp」のURLは使われていません。
KDDIが現在使用しているのは
kddi.com
というドメインでした。
「.com」は、誰でも簡単に取れますから、あまり信用してはいけませんが、
まあKDDIほどの大企業の場合で、他に取られることも少ないかと思いますし、
Googleなどで検索してみると、このドメインが出てきますので、
まず安心してよいということになります。
2019-06-14 12.00.36

さて、記事の中に出てくるのは
auone.jp
myau-net.com

で、どちらが本物でしょう?という話でした。

記事の構成上そうしているとは思いますが、
「auone.jpが偽物、myau-net.comの方が本物っぽい」
という展開になってます。

知っている人は知っていると思いますが、
KDDIさんが公式に開設しているau利用者向けポータルサイトは
auone.jp
なんですね。しかし、これは知名度が低いドメインですから、
上記のように本物かどうかの判断に使えないのです。

本来は
au.jp
au.com
au.net
などを使うべきなんだと思います。
(まあ二文字なので既に取られているのだと思いますが)

ですから、今後は、
社名やブランド名と関連のある分かりやすいドメインを使う
社名やブランド名と関連のある分かりやすいドメインは悪用されないために所有しておく
ことがセキュリティ的にも今まで以上に重要になってきている
と思います。

なお、当社は小さい会社ですが、
optima-solutions.co.jp
optima-solutions.jp
optimasolutions.jp
など、それらしいドメインは一通り所有しています。

何かの参考になればと思います。

また、新しい情報が入りましたら、皆様にシェアいたしますね。




このエントリーをはてなブックマークに追加 Clip to Evernote
GDPR
(画像はEU委員会資料より)

皆さんこんにちは。
プライバシーザムライ中康二です。
(オプティマ・ソリューションズ株式会社・代表取締役)

EUにおける新しい個人情報保護法制「GDPR(一般データ保護規則)」が昨年5月に施行され、早くも一年間が経過しました。

この間、EUー日本間の個人情報のやり取りを円滑にすることを目的とし、個人情報保護委員会が「補完的ルール」を発行したり、それに基づいて日本とEUの間で「十分性認定」が相互に認められるなどの動きがありました。

GDPRに関しては、罰則規定の厳しさだけが強調されてきたきらいがありますが、ここに来て、ようやく日本の事業者として何をすればいいのかが、少しずつ見えてきています。

・GDPRとはどういう制度なのか
・自社は何かする必要があるのかどうか
・どの程度、GDPR対応が必要なのかのパターン分け
・「補完的ルール」とはなんなのか
・結論として、自社としてどのように対応するべきなのか など

そこで今回、主にプライバシーマーク/ISMS取得企業の皆さんを対象とした「今さら聞けない」GDPRセミナーを開催いたします。しかも東京/名古屋/大阪で。


今回講師を担当するのは、弊社情報セキュリティコンサルタントの生方(うぶかた)です。生方は、弊社が毎月開催しているISMSセミナーで講師を担当しており、わかりやすい説明で毎回多くの方にお喜びいただいています。

どうぞお越しください!

なお、単にお聞きいただいて帰っていただくだけではなく、セミナーの途中で皆さん同士で意見交換をしていただくグループワークや、セミナー終了後にネットワーキングタイムも予定しております。

プライバシーマーク/ISMSの実務担当者様同士でぜひ意見交換していただきたいですし、個別の質問にも講師や弊社スタッフが多少はお答えできると思います。

セミナー
(セミナー)

グループワーク
(グループワーク)

ネットワーキングタイム
(ネットワーキングタイム)

皆様、どうぞお集まりください。

ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー
講師プロフィール
生方 淳一(うぶかた じゅんいち)
情報セキュリティコンサルタント
情報セキュリティコンサルタント・生方 淳一
大学卒業後、株式会社アシストに入社。パソコン草創期にワープロソフトや表計算ソフトなどの立ち上げに携わる。その後、SAPジャパンなどでマーケティングやIRなどを務める。ISMSの管理責任者を担当したことを契機に情報セキュリティの世界に入り、コンサルティングを手がけるようになる。数多くの企業で情報セキュリティ/ISMSに関するコンサルティングを支援してきており、分かりやすい説明には定評がある。

ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー
名称:「今さら聞けない」Pマーク/ISMS取得企業のためのGDPRセミナー
講師:生方 淳一(情報セキュリティコンサルタント)
参加対象者:プライバシーマーク/ISMS取得企業の役員、担当者の方
   (これからの取得をご検討中の方も歓迎します)
参加費:無料(1社2名様まで)
ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー

【東京開催】
日時:2019年7月3日(水)16時から18時55分まで
 (ネットワーキングタイム含む)
場所:TKP新橋カンファレンスセンター 新館
 東京都千代田区内幸町1-3-1 幸ビルディング 11F
・都営三田線 内幸町駅 A5出口 徒歩0分
・各線 新橋駅 徒歩5分
 https://www.kashikaigishitsu.net/facilitys/cc-shimbashi-uchisaiwaicho/access/

【名古屋開催】
日時:2019年7月18日(木)16時から18時25分まで
 (ネットワーキングタイム含む)
場所:TKP名古屋栄カンファレンスセンター
 愛知県名古屋市中区栄3-2-3 名古屋日興證券ビル 7階
・地下鉄 栄駅 8出口 徒歩8分
・地下鉄 伏見駅 4出口 徒歩7分
・名鉄 栄町駅 徒歩10分
 https://www.kashikaigishitsu.net/facilitys/cc-nagoya-sakae/access/

【大阪開催】
日時:2019年7月26日(金)16時から18時25分まで
 (ネットワーキングタイム含む)
場所:TKPガーデンシティ東梅田
 大阪府大阪市北区曾根崎2丁目11-16 梅田セントラルビル 3F
 地下鉄 東梅田駅 6番出口(H-80) 徒歩1分
 JR大阪駅 御堂筋口 徒歩6分
 各線 梅田駅 徒歩4分
 https://www.kashikaigishitsu.net/facilitys/gc-higashi-umeda/access/


主催:オプティマ・ソリューションズ株式会社
※恐縮ですが、弊社と同業になるコンサルタントの方は参加ご遠慮ください。

参加される方は下記のボタンから登録してください。
      ↓↓↓↓↓↓↓↓↓↓↓↓↓
      ↓↓↓↓↓↓↓↓↓↓↓↓↓
      ↓↓↓↓↓↓↓↓↓↓↓↓↓
      ↓↓↓↓↓↓↓↓↓↓↓↓↓
btn_semlp2

もちろん私も上記全てのセミナーに参加します。
皆さんと会場でお会いできるのを楽しみにしております!
23316524_1720897361264095_2559799525389876630_n
プライバシーザムライ 中康二

このエントリーをはてなブックマークに追加 Clip to Evernote
60336549_2497300533623770_80164808665595904_n
皆さんこんにちは。
プライバシーザムライ中康二です。

6月12日から14日まで幕張メッセで開催される「Interop Tokyo 2019」に
私、プライバシーザムライが参戦します!

展示会場内セミナー C3-06(Room C)
6月14日(金)16時〜16時40分
「本気のISMS」って何だ?
〜情報セキュリティへの取り組みにISMSが欠かせない理由〜

世の中には沢山のセキュリティ対策製品が存在しています。
どれが自社に必要で、どれは自社に必要ではないのでしょうか?
どのようにそれを判断すればいいのでしょうか?
その答えが情報セキュリティの世界標準であるISMS(ISO27001)にあります。
本気のPDCAで自社の弱点を見つけ、集中的な対策を実現する方法をご紹介します。
https://forest.f2ff.jp/t-session/148?project_id=1


事前登録はお早めにお願いいたします。

参加登録はこちらから(展示会・基調講演事前登録をクリック)
https://www.interop.jp


【セミナー会場への行き方】

私のセミナーが開催されるのは、幕張メッセの展示会場の一部に設置されたセミナースペースです。
国際会議棟でもイベントホールでもなく、メインの展示会場の「HALL6」の一番奥です。
お間違えなく!
2019-06-06 16.53.30
※クリックすると図が拡大します。

初日に実際にセミナー会場まで行ってみましたので、写真でご説明します。

FullSizeRender
幕張メッセの入り口の案内です。AWS Summit同時開催で盛り上がってます。

FullSizeRender
Hall6にセミナー会場があります。(再入場の場合のみここから入れます)

FullSizeRender
こんな会場です。この奥の方にセミナー会場があります。

FullSizeRender
Panasonicブースの横をどんどん奥に進みます。

FullSizeRender
見えてきました。これがセミナー会場です。

FullSizeRender
三日間、びっしりとセミナーの予定が入っています。

FullSizeRender
私の出番は一番最後、14日(金曜日)の16時からです。


参加登録はこちらから(展示会・基調講演事前登録をクリック)
https://www.interop.jp


皆さんと会場でお会いできるのを楽しみにしております!
52846293_2383005918386566_1167577474914058240_n
プライバシーザムライ中 康二



このエントリーをはてなブックマークに追加 Clip to Evernote
2019-05-31 10.43.51
(画像は同社Webサイトより)

皆さんこんにちは。
プライバシーザムライ中康二です。

家電量販大手のヤマダ電機は、自社が運営する通販サイト「ヤマダウエブコム」と「ヤマダモール」のカード入力画面に改ざんが行われ、最大で4万件弱のカード情報が流出した可能性があると発表しました。

流出した可能性があるのは、今年3月18日から4月26日の間に、同社の通販サイトにクレジットカード番号を入力した顧客の
「クレジットカード番号」「有効期限」「セキュリティコード」最大37,832名分
とのことです。

同社では、今回の発表にいたる流れを下記の通りと説明しています。
 4月16日 カード会社からの連絡を受けて調査を開始
 4月26日 Webサイト上でのカード情報の登録を停止
 5月7日 警察当局に報告と相談
 5月20日 調査が終了
 5月28日 個人情報保護委員会に報告
 5月29日 公表

同社では、クレジットカードの再発行にかかる費用が同社が負担するとしています。

https://www.yamada-denki.jp/information/190529/

(私のコメント)
同社のリリースによると、原因を「第三者によってWebサイトに不正アクセスがあり、ペイメントアプリケーションの改ざんが行われたため」としています。この表現が大変分かりづらい上に、また「カード番号やセキュリティコードは自社では保存していなかった」との説明を行ったようで、マスコミ報道などで少し混乱があったようです。

今回の原因を分かりやすく表現すると、「Webサイトが乗っ取られ、内容が書き換えられたために、本来は決済代行会社に直接送信されていたはずのカード情報が抜き取られた」ということです。

つまり犯人はとても慎重に同社のサーバーに入り込み、見ただけは気づかないような形でカード情報が自分たちのサーバーに流れてきて、かつ購入手続きは正しく完了できるようにWebサイトの内容を書き換え、それが実際に1ヶ月間以上そのままになっていたということなのです。

今回の事件は、流出したカード情報の一部が不正利用されたことにより、カード会社側で検知されて発覚したようです。しかし、もし犯人が不正利用をしないまま寝かせていたとしたら、もっと長い間、発覚しなかった可能性もあります。

つまり、もしかすると他の大規模な通販サイトでも罠が仕掛けられている可能性がありますね。カード決済をお使いの全ての事業者の方は、決済代行会社の画面に遷移する直前のWebページが改ざんされていないか、再度確認されることをオススメします。

また、何か情報が入りましたら、皆様にシェアいたしますね。





このエントリーをはてなブックマークに追加 Clip to Evernote
1日5分個人情報保護士認定試験 特訓アプリ

皆さんこんにちは。
プライバシーザムライ中康二です。

お付き合いのあるアイデアルネットさんが、個人情報保護士認定試験の対策アプリを出されたとのことで、ご連絡をいただきましたので、本Blogでもご紹介させていただきます。

ダウンロードは無料でできますので、私もダウンロードして内容を確認してみました。
過去問を元にした例題がたくさん出てきて、実戦形式で答えることができる構成になっています。

途中から先に進めようとすると、有料になりますが、
まずはそこまでやるだけでもどんなものか意味があると思います。

<特徴>
最新の過去問題にて、反復練習が出来ます。

■1日5分の特訓
個人情報保護士試験の対策問題集を
毎日特訓できます。学習の進捗や
正答率がグラフで確認。

■4問択1の問題集
実際の過去問を分野ごとに
限られた時間で効率よく学習。

■いつもでどこでも
いつでも、どこでも、スマートフォンで、
すきま時間に試験対策。

https://ideal-net-app.com/


興味を持たれた方はぜひダウンロードしてみてください。

なお、私が執筆を担当させていただいている対策本は下記になりますので、
合わせてご紹介させていただきます。

スピード学習 個人情報保護士試験《完全対策》改訂5版
https://books.rakuten.co.jp/rb/15054355/
9784866670119
(Amazonでは売り切れているようです)

私の本で基礎知識を学んでいただいて、アプリで実力を試すのをオススメします。

また、何か情報が入りましたら、皆様にシェアいたしますね。

このエントリーをはてなブックマークに追加 Clip to Evernote
2019-05-16 15.31.43
(画像は同社Webサイトより)

皆さんこんにちは。
プライバシーザムライ中康二です。

衣料大手ファーストリテイリングは、自社が運営する通販サイト「ユニクロ公式オンラインストア」「ジーユー公式オンラインストア」に大規模なパスワードリスト攻撃が行われ、46万件の不正ログインを許し、利用者の個人情報を流出させた可能性があると5月13日付で発表しました。

流出した可能性があるのは、通販サイト利用登録者の情報で、
「氏名」「氏名カナ」「郵便番号」「住所」「電話番号」「携帯電話番号」「メールアドレス」「性別」「生年月日」「購入履歴」「マイサイズに登録している氏名とサイズ」「配送先の氏名、住所など」「クレジットカード番号の上4桁と下4桁」「有効期限」など 約46万名
とのことです。

同社のリリースによると、4月23日から5月10日にかけてパスワードリスト攻撃が行われて46万件の不正アクセスを許してしまったといいます。顧客から「身に覚えのない登録情報変更の通知メールが届いた」という連絡を受け取って社内で調査したところ、事実が発覚したといいます。

https://www.fastretailing.com/jp/group/news/1905132000.html

同社では、対象ユーザーのパスワードを無効化し、パスワード再設定をするようにメールで連絡したとのことです。

(私のコメント)
これほどの規模のパスワードリスト攻撃の成功例は珍しいのではないかと思います。

そもそもパスワードリスト攻撃の場合には、
(1)まず、IDが一致しない可能性があります。ユニクロのWebサイトがいくら人気だと言っても、日本のネット利用者の1割程度だと思いますから、少なくともここで10回に9回くらい失敗するはずです。
(2)次に、パスワードが一致しない可能性があります。いくらパスワードを使いまわしている人が多いとはいえ、その比率はどんなに高くても3割程度にとどまるのではないかと思います。

そうすると、ログインに成功できるのは30回に一回という仮定が成立します。46万回の成功を許すには、単純計算で1380万回、少なくとも1000万回以上のチャレンジが行われているはずです。

1000万回の不正アクセスのチャレンジが機械的に行われれば、通常は管理者側で異常に気付くと思われます。しかし、今回はそれが見過ごされ、不正アクセスに成功してしまいました。

ということは、今回の攻撃者は、分散したIPアドレスから不正アクセスを行ったり、一定の時間をあけてゆっくりと不正アクセスを行うなど、検知を逃れるために工夫を凝らした可能性があると思います。

同社のリリース文にもURLが貼り付けられていますが、今後は大規模なWebサイトを構築する際には、「二要素認証」や「特定のIPアドレスからの通信の遮断」「普段と異なるIPアドレスからの通信の遮断」などが必須になってくると思います。
http://www.soumu.go.jp/menu_news/s-news/01ryutsu03_02000063.html

先日からメディアで報道されているように、
何億件ものIDとパスワードの組み合わせが出回っている訳ですから、
このままでは、この手の事件がまだまだ続きそうです。ほんとに。

また、何か情報が入りましたら、皆様にシェアいたしますね。




このエントリーをはてなブックマークに追加 Clip to Evernote
IMG_4529

皆さんこんにちは。
プライバシーザムライ中康二です。

今週金曜日まで東京ビッグサイトで開催されている「情報セキュリティEXPO」会場からのレポートです。

ゲイトウェイ・コンピュータ社ブースでは、標的型攻撃メール訓練「GINC(ジーインク)」が出展されていました。

これは、いわゆる標的型攻撃メール訓練なのですが、一番の特徴は専用のハードウェアを提案しているところです。

このハードウェアを購入して、社内に据え付ければ、標的型攻撃メール訓練を年中行えるというわけです。

標的型攻撃による被害が相次いでいる現状において、標的型攻撃メール訓練を年に1回やればいいというような状況ではありません。大手企業では全社員一斉ではなく、少しずつ対象範囲を絞って継続的に実施するほうが効果的と思われ、そのようなニーズに対応するため、このハードウェアが製品化されたとのことです。

IMG_4527
(これがそのハードウェアです)

また、同社では単にメールを開いたら「減点!」ということではなく、標的型攻撃メールを開いてしまった場合の対応(ネットワークを遮断する。関係部署に報告するなど)を実際に行わせて、万が一の場合に備えるような「行動訓練型」のメニューも用意しており、他社との差別化を図っているようです。

興味を持たれた方はぜひ同社ブースで話を聞いてみてください。

https://www.gateway.co.jp/ja/service/security-solution/ginc/

なお、当社ブースにて、情報セキュリティに関する無料相談会も開催します。
詳しくは下記をご覧ください。
https://www.optima-solutions.co.jp/archives/15898

また、何か情報が入りましたら、皆様にシェアいたしますね。

↑このページのトップヘ