プライバシーザムライがゆく(プライバシーマーク・ISMS最新情報)

プライバシーマーク、ISMSのことなら、当社(オプティマ・ソリューションズ)にお任せください。

このエントリーをはてなブックマークに追加 Clip to Evernote
セミナー
皆さんこんにちは。
プライバシーザムライ中康二です。
(オプティマ・ソリューションズ株式会社・代表取締役)

当社では5年ほど前から、不定期に「プライバシーマーク担当者勉強会」を開催し、多くのプライバシーマーク担当者の皆様にお集まりいただいております。そこでいただいた声が「ISMSでも同様の勉強会をやってほしい」というものでした。

そこで!ついに初めての試みとして、ISMS担当者勉強会を開催いたします!!!(パチパチ)

タイトルはなんと「セキュリティ博士が語る・ISMS運用のコツ」です。

今回の講師は私ではなく、当社のニューキャラ「セキュリティ博士」が担当いたします。

・ISMS審査前に準備しておくべき6つのポイント
・最新のリスクアセスメントのやり方

などなど、ISMS担当者の皆様の気になる内容をお話しさせていただきます。

なお、単にお聞きいただいて帰っていただくだけではなく、セミナーの途中で皆さん同士で意見交換をしていただくグループワークや、セミナー終了後にはネットワーキングタイムも予定しております。

ISMSの実務担当者様同士でぜひ意見交換していただきたいですし、個別の質問にも講師や弊社スタッフが多少はお答えできると思います。

セミナー
(セミナー)

グループワーク
(グループワーク)

ネットワーキングタイム
(ネットワーキングタイム)

集合写真
(集合写真)

皆様、どうぞお越しください。

ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー
講師プロフィール
セキュリティ博士(ISMSコンサルタント・大塚晃司)
otsuka
会計事務所にてコンサルティング業務に従事していた際に、「同じコンサルでもこれからはセキュリティの時代だろう!と一念発起。情報セキュリティ業界に転身。その後、数多くのお客様でのSMS取得を支援しており、分かりやすい説明には定評があります。


タイトル:第一回ISMS担当者勉強会「セキュリティ博士が語る・ISMS運用のコツ」
日時:2019年11月20日(水)16時から19時まで
 (ネットワーキングタイム含む)
講師:セキュリティ博士(ISMSコンサルタント・大塚晃司)
参加対象者:ISMS・プライバシーマーク認定事業者の役員、担当者の方
(これからの取得をご検討中の方、プライバシーマーク担当者も歓迎します)
参加費:無料(1社2名様まで)
場所:TKP新橋カンファレンスセンター
 東京都千代田区内幸町1-3-1 幸ビルディング 11F
・都営三田線 内幸町駅 A5出口 徒歩0分
・各線 新橋駅 徒歩5分
 https://www.kashikaigishitsu.net/facilitys/cc-shimbashi-uchisaiwaicho/access/


主催:オプティマ・ソリューションズ株式会社
※恐縮ですが、弊社と同業になるコンサルタントの方は参加ご遠慮ください。

参加される方は下記のボタンから登録してください。
      ↓↓↓↓↓↓↓↓↓↓↓↓↓
      ↓↓↓↓↓↓↓↓↓↓↓↓↓
      ↓↓↓↓↓↓↓↓↓↓↓↓↓
      ↓↓↓↓↓↓↓↓↓↓↓↓↓
btn_semlp2

もちろん私も参加します。
皆さんとお会いできるのを楽しみにしております!
23316524_1720897361264095_2559799525389876630_n
プライバシーザムライ 中康二

このエントリーをはてなブックマークに追加 Clip to Evernote
新審査項目リスト

皆さんこんにちは。
プライバシーザムライ中康二です。

プライバシーマークの審査基準であるJIS Q 15001が改正されて、すでに2017年版JISによる審査が行われています。本Blogでは、この対応方法を掲載していっています。

以前に「新しい審査では文書審査の項目が25項目だけになり、その他は現地審査に移行した」という内容の記事を書きました。

では、具体的にどの25項目が文書審査に残り、どの項目が現地審査に移行したのでしょうか?

そもそも、最新の審査におけるチェック内容はどんなものなんでしょうか?

これに対する答えとして、当社では「新審査項目チェックリスト」というものを用意しました。これは2017年版JIS版の審査における審査項目を一覧にして「文書」「現地」の区分を記載したものです。今回、この文書を皆様に公開いたします。

この資料は、以前に開催した「JIS改正対応セミナー」の動画全編視聴の特典として提供されております。下記のURLからお申し込みください。(無料)。

https://www.optima-solutions.co.jp/form_jis_kaisei3

※なお、MEDIS-DCさんとデータ通信協会さんは、この内容ではなく、独自の審査項目チェックリストを使用しているようです。ご参考まで。

(参考記事)
プライバシーマークの文書審査は25項目だけになりました!
http://www.pmarknews.info/privacy_mark/52094757.html

また、何か情報が入りましたら、皆様にシェアいたしますね。

このエントリーをはてなブックマークに追加 Clip to Evernote
個人情報台帳に「保管期限」の欄を追加

皆さんこんにちは。
プライバシーザムライ中康二です。

プライバシーマークの審査基準であるJIS Q 15001が改正されて、すでに2017年版JISによる審査が行われています。本Blogでは、この対応方法を掲載していっています。

今回、ご説明したいのは、「個人情報台帳に保管期限の欄を追加してください」ということです。これはすでに対応されている方も多いと思いますが、改めて解説しておきます。

2017年の個人情報保護法の改正で、「第19条 正確性の確保」の努力義務の中に、「利用する必要がなくなった個人データの消去」が含まれました。これをうけて、2017年版JISも「A.3.4.3.1 正確性の確保」の中に同様の内容を盛り込むとともに、「A.3.3.1 個人情報の特定」の中で「個人情報台帳に保管期限を記載すること」が明記されました。

この保管期限とは、利用期限とは異なる概念で、事業者としてはこの両方を別々に管理する必要があります。(これについては、下のリンクを参照してください)

というわけで、2017年版JIS対応において、「個人情報台帳に保管期限の欄を追加する」ことは必須とお考え下さい。

2017年版JIS対応について、もっと詳しく知りたい方は、下記のセミナー動画をご覧ください。



※PDFダウンロードはこちら
https://drive.google.com/file/d/1lSWirsoEFPQlOQV6g6YR5Eiy6jtzXp-E

なお、全編の視聴には申し込みが必要です。下記からお申し込みください(無料)。
セミナー開催時に配布した「新審査項目リスト」もご提供しますので、お見逃しなく!
https://www.optima-solutions.co.jp/form_jis_kaisei3

(参考記事)「利用期限」と「保管期限」の違い
http://www.pmarknews.info/privacy_mark/52073245.html

また、何か情報が入りましたら、皆様にシェアいたしますね。


このエントリーをはてなブックマークに追加 Clip to Evernote
用語の定義は削除

皆さんこんにちは。
プライバシーザムライ中康二です。

プライバシーマークの審査基準であるJIS Q 15001が改正されて、すでに2017年版JISによる審査が行われています。本Blogでは、この対応方法を掲載していきたいと思います。

今回、ご説明したいのは、「個人情報に関する用語の定義は個人情報保護規程から削除しましょう」ということです。どういうことでしょうか?

今回の2017年版JISは、2015年に改正された個人情報保護法に用語の定義がほぼ統一されました。
 個人情報 → 個人情報、個人データ
 開示対象個人情報 → 保有個人データ
 特定の機微な個人情報 → 要配慮個人情報
などです。

同時に、個人情報保護法側で新しく登場した用語がそのまま盛り込まれました。
 個人識別符号
 匿名加工情報
などです。

これらのそれぞれについて、正確な定義を個人情報保護規程の中に書くのはかなり困難です。個人識別符号や要配慮個人情報の定義を正確に記載するには、個人情報保護委員会ガイドライン(通則編)の冒頭の部分をそのまま引用することが必要となることでしょう。

(参考)個人情報保護委員会ガイドライン(通則編)
https://www.ppc.go.jp/files/pdf/190123_guidelines01.pdf

特に、要配慮個人情報については、以前の「特定の機微な個人情報」から対象範囲が微妙に変わっていますが、これは個人情報保護規程から定義を削除して、「特定の機微な個人情報」から「要配慮個人情報」に用語を置換するだけで対応が完了します。

ということですので、今回の2017年版JIS対応を機会に、個人情報保護規程から個人情報関係の用語の定義を削除し、「個人情報保護法とJIS Q 15001などに従う」などとするのがいいでしょう。

2017年版JIS対応について、もっと詳しく知りたい方は、下記のセミナー動画をご覧ください。


※PDFダウンロードはこちら
https://drive.google.com/file/d/1lSWirsoEFPQlOQV6g6YR5Eiy6jtzXp-E
なお、全編の視聴には申し込みが必要です。
下記からお申し込みください(無料)。
https://www.optima-solutions.co.jp/form_jis_kaisei3

また、何か情報が入りましたら、皆様にシェアいたしますね。


このエントリーをはてなブックマークに追加 Clip to Evernote
64848678_2581544788532677_7951752934859997184_o
(写真は開催時の様子です)

皆さんこんにちは。
プライバシーザムライ中康二です。
(オプティマ・ソリューションズ株式会社・代表取締役) 

当社では、6月から7月にかけて「いまさら聞けない」Pマーク/ISMS取得企業のためのGDPRセミナーを東京・大阪・名古屋で開催しました。

ご好評をいただきましたので、このたび、その際に収録した動画の無料配信を行います。

--------------------------------------------------------
タイトル:「いまさら聞けない」Pマーク/ISMS取得企業のためのGDPRセミナー
講 師 : 生方淳一(情報セキュリティコンサルタント)
視聴先 : オプティマ・ソリューションズ株式会社 Youtubeチャンネル
--------------------------------------------------------



※講演資料のPDFダウンロードはこちら
https://drive.google.com/file/d/1o_UHco_F6V-25GFCLclg8oT0KW27UtCe

なお、全編の視聴には申し込みが必要です。
資料全ページPDFもご提供します!
下記からお申し込みください(無料)。
https://www.optima-solutions.co.jp/form_gdpr


今後も、Youtubeオプティマ・ソリューションズ公式チャンネルに、プライバシーマーク・ISMSに関する役立つ情報を掲載していきます。ぜひチャンネル登録してください。
https://www.youtube.com/user/OptimaSolutionsInc

今後も皆様の役に立つ動画を掲載していきます。
ご期待ください!

このエントリーをはてなブックマークに追加 Clip to Evernote
継続的改善事項に準ずる指摘とは

皆さんこんにちは。
プライバシーザムライ中康二です。

以前の記事で、プライバシーマークの審査基準であるJIS Q 15001が改正されて2017年版となるのに伴い、審査のやり方自体も新方式に変更され、しかも更新事業者も含め、一気に全部切り替えられたことを書きました。

しかし、更新事業者には、2年間の移行期間が認められており、多くの事業者では最低1回は2017年版JISに対応せずに審査を受けることができます。

では、実際に更新事業者が2017年版JISに対応せず、
従来の規程類のまま審査を受けるとどうなるのでしょうか?
↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓
↓↓↓↓↓↓お答え↓↓↓↓↓↓↓↓↓↓
↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓
------------------------------------------------------------
●2017年版JISに対応した「新審査項目リスト」を使って審査(文書審査、現地審査とも)されます。
●2017年版JISで新しく登場した審査項目については、指摘事項とはせず「継続的改善事項に準ずる指摘」となります。
------------------------------------------------------------

これはどういうことなのでしょうか?もう一度よく見てみましょう。

例えば2017年版JISでは、個人情報台帳において、個人情報の「利用期限」だけではなく、「保管期限」も明記することとされました。記載欄の追加が必要になります。

しかし、これをせずに申請するとどうなるかということです。

そうすると「保管期限の欄を追加してください」という「継続的改善事項に準ずる指摘」が出ます。そしてその「継続的改善事項に準ずる指摘」の内容については、今回の審査では改善報告書を提出する必要はなく、「次回2年後の審査までに対応しておいてください」ということになります。ですから、対応しなくても審査は通過できます。

ということは、先回りして規格書を勉強しなくても、審査員が2017年版JISの対応に必要なポイントを教えてくれるので、次回までにそれを修正しておけば2017年版JIS対応は完了してくれるということなんでしょうか?

それはちょっと甘いかな。。。

詳しく知りたい方は、下記のセミナー動画をご覧ください。


※PDFダウンロードはこちら
https://drive.google.com/file/d/1lSWirsoEFPQlOQV6g6YR5Eiy6jtzXp-E
なお、全編の視聴には申し込みが必要です。
下記からお申し込みください(無料)。
https://www.optima-solutions.co.jp/form_jis_kaisei3

また、何か情報が入りましたら、皆様にシェアいたしますね。


このエントリーをはてなブックマークに追加 Clip to Evernote
23

皆さんこんにちは。
プライバシーザムライ中康二です。

パスワードリスト攻撃の被害が頻発し、脅威がますます大きくなっていますね。

世界の数多くのネットサービスからメールアドレスとパスワードの組み合わせが流出し、それが集約されて何億件ものリストになったものが、地下ネットで流通しているわけですから、それが悪用されるのも当然のことといえましょう。

パスワードリスト攻撃に関する過去の記事
パスワード使いまわしに関する過去の記事

これに対してどのように対策を取ればいいのか。

セブンPay事件で「2段階認証」という言葉が注目されるようになり、それが解決策のように思われている方も多いと思いますが、私はむしろそのもっと前の段階にある「悪習」をやめることによってパスワードリスト攻撃を撲滅することを提案したいと思います。

それは、メールアドレスをIDとして使用することをやめて、独自ID方式を採用することです。

もともと、ネットサービスでは、独自にIDを発行していました。
(例)
 ニフティサーブ ABC11102
 三菱UFJ銀行  29238371
 エバーノート  samurai_koji
というような感じです。

このように独自IDを発行して、利用者が指定したパスワードとの組み合わせで認証している場合には、特定のサービスでアカウント情報が漏れたとしても、そうそう簡単に他のサービスに入力して試すということはできません。難易度が高く、成功率が低くなりますので、そのような攻撃は成立しえないと思います。

ところが、最近のネットサービスでは、メールアドレスをIDとして使用しているものが大半です。
(例)
 Facebook samurai@xmail.com
 Amazon  samurai@xmail.com
 日経ID   samurai@xmail.com
 リクルート samurai@xmail.com
 Hなサイト samurai@xmail.com
というような感じです。

このようにメールアドレスをIDとして使用し、利用者が指定したパスワードとの組み合わせで認証している場合には、特定のサービスでアカウント情報が漏れたとすると、何割かの利用者は同じパスワードを使いまわししているので、簡単に他のサービスでも使えてしまうということになってしまいます。これがパスワードリスト攻撃です。

また、最後の「Hなサイト」というところに注目してください。運営者もよく分からない海外のアダルトサイトにメインのメールアドレスを登録して、しかもパスワードを使いまわすような人も実際にいるのです。そういう不用心な人がパスワードリスト攻撃の被害者とも言えます。

多くのネットサービスでは、パスワードの管理は利用者側にあると定義しており、利用者側が不注意にパスワードを扱った場合にはどんな被害を受けても運営者側は責任を持たないとしています。ですから、従来、どれだけパスワードリスト攻撃で被害が発生しても、運営者側は関知せず、利用者に対してパスワード変更を促す程度で済んできました。

しかし、パスワードリスト攻撃による被害が増え、巻き込まれる利用者が増えるにつれて、そういうわけにもいかなくなってきていると思います。ですから、運営者側でも24時間監視するとか、2段階認証を追加するなどの対策が求められるようになっており、実際にそういうことを検討されているケースも多いと思います。

パスワードリスト攻撃対策は事業者側の義務となりつつあります(ヤマト運輸の事例から)

しかし、もっと簡単な方法があるのです。それが独自ID方式の採用です。

現在のすべての利用者に一意のIDを発行し、

------------------------------------------------------------
当社のサービスでは、メールアドレスをIDとして使用することは中止します。
今後は「AJSH281716」というIDを使用してください。
------------------------------------------------------------

と利用者に周知するだけでいいのです。
これだけで、自社のサービスに対するパスワードリスト攻撃を撲滅できます。24時間監視も2段階認証も不要になります。

もちろん、「IDが分からない」という利用者からの問い合わせに対応する必要が出てくるでしょう。そのような方のために、メールアドレスを入力すればその人にIDをお知らせする「IDリマインダー機能」を用意すればいいと思います。その他にもいくつかの対応は必要となってくるでしょう。それでもパスワードリスト攻撃に真っ向から対策するよりは安上がりに済むと思います。

特に、これから新たなサービスを開発しようと考えておられる場合には、メールアドレスをIDとして利用するのではなく、独自IDを採用することを検討していただきたいと思います。今でも金融機関など堅いセキュリティが求められているサービスでは独自ID方式が採用されています。独自ID方式は全く変な方式ではなく、むしろ王道ですので、それを採用していただきたいと思います。

また、何か情報が入りましたら、皆様にシェアいたしますね。





このエントリーをはてなブックマークに追加 Clip to Evernote
64368424_2552388471448309_6466635131749662720_o
(写真は開催時の様子です)

皆さんこんにちは。
プライバシーザムライ中康二です。
(オプティマ・ソリューションズ株式会社・代表取締役) 

6月のInteropで、私は「本気のISMSって何だ?〜情報セキュリティへの取り組みにISMSが欠かせない理由〜」という講演を行いました。

ご好評をいただきましたので、このたび、その際に収録した動画の無料配信を行います。

--------------------------------------------------------
タイトル:「本気のISMSって何だ?」
〜情報セキュリティへの取り組みにISMSが欠かせない理由〜
講 師 : プライバシーザムライ(オプティマ・ソリューションズ 中康二)
視聴先 : オプティマ・ソリューションズ株式会社 Youtubeチャンネル
--------------------------------------------------------



※講演資料のPDFダウンロードはこちら
https://www.optima-solutions.co.jp/form_isms_honki_201903

今後も、Youtubeオプティマ・ソリューションズ公式チャンネルに、プライバシーマーク・ISMSに関する役立つ情報を掲載していきます。ぜひチャンネル登録してください。
https://www.youtube.com/user/OptimaSolutionsInc

本気のISMSは、日本の情報セキュリティ水準アップに欠かせないものだと考えています。今後もいろんな機会で何回でも訴え続けるつもりです。ご期待ください!



このエントリーをはてなブックマークに追加 Clip to Evernote
2019-07-26 13.08.20
(画像はヤマト運輸Webサイトより)

皆さんこんにちは。
プライバシーザムライ中康二です。

宅配便大手のヤマト運輸は、顧客向けWebサイト「クロネコメンバーズ」にパスワードリスト攻撃が行われ、約3500人分の個人情報が流出したと発表しました。

流出したのは、クロネコヤマトにメールアドレスを登録した利用者の
クロネコID、メールアドレス、氏名、氏名ふりがな、電話番号、性別、郵便番号、住所、クレジットカード情報(カード番号の下4桁・有効期限・氏名)、アドレス帳情報(氏名・住所・電話番号)
3,467件
とのことです。

なお、不正ログイン試行件数は約3万件であり、「特定のIPアドレスから通信が行われている」「同社に登録していないメールアドレスでのログイン試行がある」などから、同社としては「パスワードリスト攻撃」だと断定したようです。

※パスワードリスト攻撃とは、他のサービスから流出したメールアドレスとパスワードの組み合わせを使ってログインを試行することで、不正アクセスする手法のこと。

同社では、対象となった利用者のIDを停止し、パスワードを変更するよう個別に連絡をしているとのことです。

http://www.kuronekoyamato.co.jp/ytc/info/info_190724.html

(私のコメント)
ここ数年、この手のパスワードリスト攻撃がどんどん増加しています。

今年2月には、ダークウェブで22億件ものメールアドレスとパスワードの組み合わせが公開されているという報道もありました。

https://japan.cnet.com/article/35132120/

ここから入手したメールアドレスとパスワードの組み合わせを一つ一つ著名なサービスに入力していけば、かなりの割合でログインできる可能性があるわけです。実際にそのようにして多くの不正アクセスが発生しています。

今回のヤマト運輸の事例においては、まさにパスワードリスト攻撃の特徴が見られ、同社がいち早くそれを察知したことにより、問題が大きくなる前に対策を講じることができたと言えると思います。

このような事態を受けて、パスワードリスト攻撃対策は事業者側の義務となりつつあると言えると思います。

インターネットが登場して以来、多くのサービスの利用規約の中で、パスワードの管理は利用者の義務とされ、正しいパスワードが入力された場合にはその利用者の情報を表示させるのが事業者側の務めであり、たとえそれが流出したものであったとしても事業者側は関知する義務はないという事になっていました。

しかし、今回のヤマト運輸の事例では、事業者側が利用者にお詫びする形となっています。それは「過失を犯した意識のない利用者の情報が不正アクセスにより多数流出してしまった」からであり、これを「利用者側のパスワード管理ミス」と言い続けることが難しくなってきているということだと思います。

従って、事業者としてパスワードリスト攻撃に対抗する法的義務はないとは言え、今後ますます義務の様になってくると思います。

今回の事件では、パスワードリスト攻撃の特徴がかなり明確になっています。
(1)特定のIPアドレスから通信が行われている
(2)自社に登録していないメールアドレスでのログイン試行がある
(3)同一アカウントに対して何回もログイン試行がない(総当たり攻撃ではない)
(4)パスワード間違いの比率が80%から90%程度である(今回の事例では89%でした)
などの場合には、事業者側でパスワードリスト攻撃の可能性があると判断できます。このような場合には、そのIPアドレスからの通信を停止するなど、被害が広がらない対策を講じることが今後は必要になってくるのではないかと思います。

※もちろん、対策と攻撃の進化はいたちごっこですから、攻撃者側も(1)などはすぐに対抗策を講じてくるとは思いますけどね。

また、何か情報が入りましたら、皆様にシェアいたしますね。





このエントリーをはてなブックマークに追加 Clip to Evernote
7payアプリ画面
(画像は7payアプリのスマホ画面)

皆さんこんにちは。
プライバシーザムライ中康二です。

セブンイレブンが7月から始めたコード決済「7pay」が、サービス開始早々から不正に利用され、事実上のサービス停止に追い込まれている件については、メディアの報道でもご存知かと思います。

不正利用の被害者が約900名、被害金額が約5580万円とのこと。ほんの数日でこれだけの不正利用があったということは、7payというシステムにそもそも大きな問題があったと言わざるを得ません。

しかも、セブン・ペイ社が開いた記者会見において、「専門家の脆弱性診断は受けていた」というようなやり取りがあり、同社の体制にも大きな問題があったと言えると思います。

日本全体でキャッシュレスを推進するために設立された業界団体である一般社団法人キャッシュレス推進協議会では、昨年サービス開始したPayPayで不正利用が相次いだことをうけて、不正アクセスに対するガイドラインを作成していましたが、7payはこのガイドラインを満たしていなかったとのことです。

セブン・ペイ社ニュースリリース一覧
https://www.7pay.co.jp/news/

経産省のリリース
https://www.meti.go.jp/press/2019/07/20190705003/20190705008.html

(私のコメント)
セキュリティ・バイ・デザインという言葉があります。これはシステムを開発、設計する時点において、予めセキュリティ対策を盛り込もうという考え方です。インターネットが普及し、世界中から不正アクセスが行われている現代においては、必須の考え方と言えると思います。

今回の7payの事態を見ますと、このセキュリティ・バイ・デザインの考え方が全く取り入れられていなかったということだと思います。日本を代表する優良企業であるセブンイレブンのグループ会社で、このような事態に見舞われたことは誠に残念と言わざるを得ないと思います。

また、何か情報が入りましたら、皆様にシェアいたしますね。





このエントリーをはてなブックマークに追加 Clip to Evernote
IMG_6351
(画面は楽天コミュニケーションズから届いたSMS画面)

皆さんこんにちは。
プライバシーザムライ中康二です。

この記事は、先日の記事の続きです。
フィッシング詐欺は見ただけでは見抜けない〜高まるドメインの重要性〜

本物そっくりの詐欺サイトがあった場合に、本物かどうかを知るためにはドメインを確認するしかないということをお書きしました。

ちょうどタイムリーに関連する事象が発生しましたので、また記事にしてみたいと思います。

1週間ほど前、私のスマホに楽天コミュニケーションズから発信されたと思われるショートメッセージが届きました。(トップ画像がそれです)

私は楽天でんわのユーザーです。ですから、少しは心当たりはありました。しかし、私の妻にも同じショートメッセージが同時に届いていて、彼女は楽天でんわは使っておらず、「これ何だろう?」と質問されたので、もしかするとこれは不特定多数のユーザーに無差別に送信している詐欺メールの可能性があると不審に思いました。

それで、リンク先のURLを確認すると
ux0.jp
となっていました。なんだか楽天とは関係なさそうなドメインです。

これでますます警戒水準を上げた私は、
ux0.jp
を手打ちでブラウザに打ち込んでみました。
なんと!何も表示されません。

これはもしかしてと、さらに警戒水準を上げて、
Webでいろいろ情報を検索し、下記の記事を発見しました。

「楽天でんわサービス提供事業者変更のお知らせ」のSMSは詐欺?なぜ届いたの?について
https://sbapp.net/appnews/iphone/security/rakuten-2-98063

まあこれを読んで、なるほどと少し納得して、これは安心なんだろうと警戒を解いた次第です。
結論としては、下記のページが開くだけなのでした。

会社分割によるサービス提供会社変更のお知らせ
https://comm.rakuten.co.jp/oshirase/20190613.html

こんなこと無駄ですよね。

10万人にショートメッセージを送ったら、10万人がこんなことを気にしなければならないとすれば、そんな仕組みは誰も使わなくなっていくことでしょう。

何がよくなかったのでしょうか?
やはりドメインが良くなかったのだと思います。


ショットメッセージに含まれるリンク先URLが、
rakuten.co.jp
であれば、受信した人はまだ安心して画面を開くことができたでしょう。
ux0.jp
というような誰も知らないドメインでは安心して画面を開けないのです。
(少なくともux0.jpで配信会社のトップ画面が出てきたら、少しは安心できたと思います)

ということで、やはり今後は、
(1)社名やブランド名と関連のある分かりやすいドメインを使う
(2)社名やブランド名と関連のある分かりやすいドメインは悪用されないために所有しておく
(3)できればドメインは短いほうがいい。
ということがセキュリティ的にも今まで以上に重要になってきている
と思います。

何かの参考になればと思います。

また、新しい情報が入りましたら、皆様にシェアいたしますね。




このエントリーをはてなブックマークに追加 Clip to Evernote
本気のISMS講演
(写真は当日開催の様子です)

皆さんこんにちは。
プライバシーザムライ中康二です。
(オプティマ・ソリューションズ株式会社・代表取締役) 

「SecurityDays 2018 Spring」で、私が「本気のISMSで情報セキュリティの水準アップを実現しよう」という講演を行いました。

好評をいただきましたので、このたび、その際に収録した動画の無料配信を行うこととなりました。

--------------------------------------------------------
タイトル:なぜ情報セキュリティへの取り組みにISMSが欠かせないのか?
〜本気のPDCAで自社の弱点を見つけ、集中的な対策を実現〜
講 師 : プライバシーザムライ(オプティマ・ソリューションズ 中康二)
視聴先 : オプティマ・ソリューションズ株式会社 Youtubeチャンネル
--------------------------------------------------------



※講演資料のPDFダウンロードはこちら
https://www.optima-solutions.co.jp/form_isms_honki_201903

今後も、Youtubeオプティマ・ソリューションズ公式チャンネルに、プライバシーマーク・ISMSに関する役立つ情報を掲載していきます。ぜひチャンネル登録してください。
https://www.youtube.com/user/OptimaSolutionsInc

本気のISMSは、日本の情報セキュリティ水準アップに欠かせないものだと考えています。今後もいろんな機会で何回でも訴え続けるつもりです。



↑このページのトップヘ