プライバシーザムライがゆく(プライバシーマーク・ISMS最新情報)

プライバシーザムライことオプティマ・ソリューションズの中康二が、プライバシーマーク、ISMSに関する最新情報を追いかけます。

情報セキュリティ

このエントリーをはてなブックマークに追加 Clip to Evernote
50
(画面は小冊子の表紙です)

皆さんこんにちは。
プライバシーザムライことオプティマ・ソリューションズの中です。

東京都が中小企業向けサイバーセキュリティ小冊子を作成し、
無償で配布しています。
(PDFダウンロードのほか、小冊子郵送もしてもらえます)

表紙がゴルゴみたいなイメージで、
興味を持ったので、私も一冊いただいてみました。

早速開いてみましたが。。。

ううむ。。。。マンガが全面的に活用していて、すごく頑張っている
と思うのですが、なぜか頭に入ってこないんですよね〜。

15

内容が盛りだくさん過ぎて消化しきれていない印象を受けました。
以前に政府が作ったものでも同じような印象を持ったことを思い出しました。

※特にAI、IOT、攻めのIT経営などの話は余計だと感じました。
41

公共機関による情報セキュリティに関する啓蒙活動は
どんどんやってほしいと思うだけに、かなり残念です!

http://www.sangyo-rodo.metro.tokyo.jp/chushou/shoko/cyber/jigyou/guidebook/


このエントリーをはてなブックマークに追加 Clip to Evernote
45
(画像はテレビ朝日ANNより)

皆さんこんにちは。
プライバシーザムライことオプティマ・ソリューションズの中康二です。

イオン銀行が、指だけで現金を引き出せるATMのサービスを開始したそうです。

これは指紋認証と指の静脈認証を組み合わせ、2本の指を順番にセンサーに読み込ませるだけで、キャッシュカードなしで利用できるというもので、日本のLiquid社が開発したシステムを利用しているようです。

これは、ある意味で「生体認証第二幕」ともいえる画期的なものです。

少し解説します。通常、情報システムの機密性を確保する方法として、「識別」と「認証」の2つのステップを踏みます。

(1)識別=その人が誰かを明確にすること
 (通常はキャッシュカードなどを用いたり、IDを入力させることでこれを実現します)
(2)認証=その人が間違いなくその人であることを確認すること
 (通常は暗証番号やパスワードを入力させることでこれを実現します)

従来、メガバンクが導入してきた生体認証は全て(2)の機能を補完するものでした。これまで(1)(2)の両方を生体認証で実現している事例としては、スマホやパソコンの指紋認証や、オフィスのドアの指紋認証など、母集団がほんの数名から多くても数百名程度を対象としたものでした。

今回のシステムは、銀行の利用者という「万」の単位の母集団に対して、生体認証で(1)(2)の両方を実現するものですから、かなり画期的と言えます。

このようなシステムがもっと広がれば、指だけで買い物できる時代がやってくるかもしれません。

https://www.youtube.com/watch?v=37NWbPppHjo

また、何か情報が入りましたら、皆様にシェアいたしますね。



このエントリーをはてなブックマークに追加 Clip to Evernote
04
(画面はIPAのWebサイトより)

いつもお世話になります。
オプティマ・ソリューションズの中康二です。

各種の報道によりますと、無線LANの暗号化技術として現在最も多く利用されているWPA2のプロトコルそのものに脆弱性が発見され、無線での通信内容を傍受される危険性があるとのことです。センセーショナルな記事が多く、実際の対策が分かりにくくなっていますので、下記に概要をまとめます。

(1)今回の脆弱性はプロトコルレベルで見つかっているため、すべての無線LAN端末(子機)で対応が必要です。Windowsは対応済み、iOS、Android、その他全てのプラットフォームでも順次修正版が出ると思われますので、アップデートが必要です。

(2)今回の問題は子機側の対応で原則として修正されるようですが、プロトコルレベルで見つかった脆弱性のため、アクセスポイント(親機)側でも順次アップデートが行われるものと思われます。各社からの情報を待って対応してください。(ただし、中継器として使用している場合は子機と同じですので、急ぎアップデート必要です)

(3)今回危険性があるのは「無線での通信内容の傍受」ですから、実際に無線機器の付近に近寄って、その電波を受信して解読した場合に限られます。
カフェでの無線LANの通信内容を傍受するとか、企業や家庭での無線LANの電波を窓越しに道路からキャッチするというようなイメージです。地球の裏側からでも攻撃されるようなものではありません。

・今回の問題は、ブラウザやメールソフトの通信内容がSSLやVPNなどで暗号化されている場合には発生しません。ネットワークレベルで傍受されても、その上のレベルで暗号化されるからです。

Windowsについては、10月10日のセキュリティアップデートで対応済みとのことです。(CVE-2017-13080)
http://www.security-next.com/086689

その他の最新情報については、下記IPAのWebページを参照してください。
https://www.ipa.go.jp/security/ciadr/vul/20171017_WPA2.html

(私のコメント)
従来から無線LANについては常に危険性が警告されています。今回の問題によらず、無線LANで機密情報や個人情報を通信する場合には、通信内容をSSLやVPNで暗号化することを徹底することをおススメします。(Gmail、Facebook、Twitter、Dropbox、Salesforceなど、主要なクラウドサービスはSSLによる暗号化を実現済みです)

また、何か情報が入りましたら、皆様にシェアいたしますね。

(10月19日追記)IPAの公式スタンスが、親機側も含めて全ての機器のアップデートが必要と変わりましたので、それに合わせて内容を修正しました。


このエントリーをはてなブックマークに追加 Clip to Evernote
(画面はクーリエジャポンのウェブサイトより)

いつもお世話になります。
オプティマ・ソリューションズの中 康二です。

ロシア政府による情報収集との関連が噂され、米国政府が政府機関での使用中止命令を出したカスペルスキー製品について、新しい情報が入ってきました。

なんと米国のスパイ組織であるNSAの職員の私物パソコンから機密情報が漏洩した際に、ロシアのスパイ組織によってカスペルスキーのソフトが悪用されていたというのです。

米国NSAが、世界中のWindowsパソコンやSNS、クラウドサービスなどから大規模な情報収集をしていたことがスノーデン氏の告発により明らかになりましたが、同様のことをロシアのスパイ組織はカスペルスキーのソフトを使って行っていた疑いが出てきているのです。

もちろん、カスペルスキー社はこの疑いを全面的に否定しています。しかし、同社の製品に対する信頼性が大きく揺らいでいるのは間違いないと言えると思います。


(私のコメント)
カスペルスキー製品については、私自身も信頼していて、むしろ使用を推奨してきていました。つい最近も、下記のような記事を書いたところです。


ですから、今回のニュースには少なからず衝撃を受けました。

上記にも書きました通り、アメリカもロシアも日常的にサイバー攻撃を仕掛け、情報を盗みあっています。もちろん中国もこれに参戦しています。今やこのソフトなら安心ですと言えるものが少ないのが実際のところです。

そういうことなので、カスペルスキー製品についても、今回のような記事が出たからといって過剰に反応する必要はないでしょう。ただし、国家機密を取り扱う政府関係者や、高度な企業秘密を取り扱う多国籍企業の社員などは、カスペルスキー製品の利用は避けたほうがよさそうです。同社製品の信頼性が揺らいでいます。

また、新しい情報が入りましたら、皆様にシェアしますね。
よろしくお願いいたします。







このエントリーをはてなブックマークに追加 Clip to Evernote
00_m
(画面はGigazineのWebサイトより)

いつもお世話になります。
オプティマ・ソリューションズの中康二です。

Gigazineの記事によりますと、iPhoneを使ってる時に急に表示される「パスワードを入力してください」の画面が、不正アクセスによるものである可能性があるとのこと。

個人的にも「どうしてこのタイミングでパスワードを聞いてくるんだろう?」と不思議に思いながら、そのまま入力していたことが何回かありますので、もしかしたらパスワードを盗まれているかも知れませんね。

同じような心当たりのある方は、AppleIDのパスワードを変更することをお勧めします。

http://gigazine.net/news/20171011-ios-steal-password/

また、何か情報が入りましたら、皆様にシェアいたしますね。




このエントリーをはてなブックマークに追加 Clip to Evernote
49
(画面はZDNetのWebサイトより)

いつもお世話になります。
オプティマ・ソリューションズの中康二です。

ZDNetの記事によりますと、中国では今年の6月に「網絡安全法(インターネット安全法)」が施行され、中国社会に様々な影響を与えているとのことです。

日本企業としては、中国で取得した個人情報を海外に持ち出すのに規制がかかることに注意が集まっているようですが、この法律は中国企業の個人情報の取扱いについても厳しい規制をかけているとのことです。

以前は、企業の持つ個人情報が安価な価格でどんどん販売されていたものが、今回の法律ではそのような行為が禁止され、日本で言う名簿業者がどんどん廃業に追い込まれているそうです。

従来、与信チェックなどの様々な場面において、そういった雑多な個人情報を幅広く利用していたようですが、これができなくなり一部で支障が出ているとのことです。

一方で、「バイドゥー」「アリババ」「テンセント」などのIT巨人たちについては、自社で持つビッグデータを自由に活用できる点から、優位性が以前よりも高まるのではないかとの見方があるようです。

日本の個人情報保護法が「保護と有用性」の両立を目指しているのと比較すると、もしかすると中国は「保護」に偏りすぎているのかもしれませんが、まあ日本でも個人情報保護法が登場したときには過剰反応が問題になったくらいですから、同じようなものと考えたほうがいいかもしれませんね。

https://japan.zdnet.com/article/35108532/

また、何か情報が入りましたら、皆様にシェアいたしますね。




このエントリーをはてなブックマークに追加 Clip to Evernote
16
(画像はラック社のWEBサイトより)

いつもお世話になります。
オプティマ・ソリューションズの中康二です。

セキュリティの専門会社「ラック」社では、24時間365日眠らないネットワークセキュリティ監視センター「JSOC」を運営していますが、このJSOCでは毎月1回だけ、15名限定の見学ツアーを開催しているそうです。

今後の開催予定は
●2017年12月13日
●2018年1月10日
●2018年2月14日
●2018年3月14日
となっております。

ネットワークセキュリティの現場を実際の目で見るチャンスです。興味のある方はどうぞお申し込みください。

https://www.lac.co.jp/corporate/tour/jsoc_tour.html

また、何か情報が入りましたら、皆様にシェアいたしますね。




このエントリーをはてなブックマークに追加 Clip to Evernote
201970921
(画面はNISCのWebサイトより)

いつもお世話になります。
オプティマ・ソリューションズの中康二です。

内閣サイバーセキュリティセンター(NISC)のWebサイトに、来年度の政府予算概算要求に含まれるサイバーセキュリティ関連予算の情報が掲載されています。

総額728億円で、主なところを見ると
  • 内閣官房が、NISC運営費として49億円
  • 総務省が、ナショナルサイバートレーニングセンター構築費として17億円
  • 経産省が、IPA交付金101億円!
  • 防衛省が、航空機・船舶・車両などのサイバー攻撃対策研究に45億円
  • 個人情報保護員会が、マイナンバーセキュリティ監視に12億円
  • 文科省が、セキュリティ人材育成に21億円
  • 厚生労働省が、年金機構を含む組織全体のセキュリティ強化に47億円
などとなっています。

詳細はPDFファイルをご参照ください。
しかしIPA交付金100億円超とは、うらやましいですね!

http://www.nisc.go.jp/
http://www.nisc.go.jp/active/kihon/pdf/yosan2018.pdf

また、何か情報が入りましたら、皆様にシェアいたしますね。




このエントリーをはてなブックマークに追加 Clip to Evernote
mainichi_20170919
(画像は毎日新聞社WEBサイトより)

いつもお世話になります。
オプティマ・ソリューションズ株式会社の中康二です。

報道によりますと、リスト型攻撃で有効性を確認したアカウント情報を使って、ビックカメラ店頭でポイントを不正利用し、商品をだまし取ったとして、警視庁サイバー犯罪対策課が中国人ら3人を逮捕したとのことです。

犯人たちは、下記のステップを経ることで今回の不正利用を行ったものと思われます。
(1)何らかの方法で大量の「IDとパスワードのリスト」を入手する
(2)そのIDとパスワードをビックカメラのWebサイトにダメ元で入力してログインを試みる。(これをリスト型攻撃といいます)
(3)ほとんどの場合はログインできない。
(4)うまくログインできた場合、有効であることが分かり、保有ポイントも確認しておく。
(5)多くのポイントを保有しているIDとパスワードをスマホのビックカメラアプリに入力し、バーコードを表示させて、店頭でポイントを利用して商品をだまし取る。

ビックカメラのWebサイトでは、昨年10月に47万回の「リスト型攻撃」を受けていたとのことで、その直後の10月から11月にかけて、今回の犯人たちが200万円程度の商品をだまし取っていたとのことです。また、同様の方法で楽天ポイントの不正利用も行っており、ドラッグストアで医薬品を不正にだまし取った疑いもあるとのことです。

https://mainichi.jp/articles/20170919/dde/041/040/045000c

(以下、私のコメント)

リスト型攻撃はパスワード使いまわしから起こります。少し解説します。

今回の事件では犯人グループは47万回チャレンジして4000回成功したといいます。

どこから流出したリストなのかは分かりませんが、日本のユーザーが多く使うサービスなのでしょう。それが47万人分流出していたものを今回の犯人グループが入手した。

そして、その47万人のIDパスワードのリストをとりあえずビックカメラのWebサイトに専用のツールを使って流し込んでみると、そのうち何万人かがビックカメラにも登録していて、またそのうちの4000人が同じパスワードを使っていたということです。ビンゴ!

どうしてこういうことが起こるかというと、皆さんが複数のWebサイトに同じパスワードを登録しているからです。最近のサービスは、IDにメールアドレスを使っている場合が多いですから、IDはどこのWebサイトでも一致しているわけです。あとパスワードが同じなら、どこかでパスワードが流出した場合には同じパスワードを使っているWebサイトにログインできてしまいますよね。

どんなしょうもないWebサイトでもいいのです。そこに価値あるパスワードがあるかもしれない。ハッカーはそれを狙っているのです。

ですから、利用者としては、複数のWebサイトに同じパスワードを入れない。これを原則とするしか方法はありません。

参考記事
パスワード使い回し撲滅に向けた最後の戦いが始まる
http://www.pmarknews.info/archives/51955537.html

なお、手元のビックカメラアプリで動作を確認したところ、登録した生年月日を入力しないとバーコードが表示されないように仕様変更されていました。とりあえず同社はこの方法で今回の方法だけではポイント不正利用できないように手を打ったということのようです。

また、何か情報が入りましたら、皆様にシェアいたしますね。


このエントリーをはてなブックマークに追加 Clip to Evernote
37

いつもお世話になります。
オプティマ・ソリューションズ株式会社の中康二です。

ロシアのウイルス対策ソフト開発会社カスペルスキー(Kaspersky)が、無料版のウイルス対策ソフト「Kaspersky Free」を発表しました。

無料版と言っても、ウイルス対策ソフトとしての基本的な機能は備わっており、何しろ広告表示は一切行わないといいます。

マイクロソフトが無償でウイルス対策ソフトを配布するようになり、Windows10には標準装備されるなど、ウイルス対策ソフトの必要性が低くなってきているのは事実です。かといって、やはり従来型のウイルス対策ソフトも一つくらいは入れておきたい。そんな方にピッタリのようです。

50

また、便利機能として「Kaspersky Secure Connecion(無償版)」も付属しています。これはいわゆるVPNソフトであり、セキュリティの担保されていない公衆無線LANなどを利用する場合に、通信自体を暗号化することで傍受されても内容が判別できないようになるというものです。1日300MBまでの通信をVPN化できるということですので、外出時や海外旅行時に現地の無線LANを使用する場合にこの機能を使用すると安心できます。

解説記事
http://forest.watch.impress.co.jp/docs/news/1072567.html
ダウンロードサイト(英語のみ)
https://www.kaspersky.com/free-antivirus

(私のコメント)
カスペルスキーについては、ロシア製ということで米国政府が締め出ししようとしているとの報道もありますが、同社はこの業界では十分な実績を持っています。以前には情報セキュリティEXPOでカスペルスキーさん本人の講演をお聞きしたこともありますし、製品の品質については十分な信頼がおけると判断しています。
ここ数年、個人的にはMicrosoft標準のウイルス対策で十分かなと思っており、自分のパソコンにもそれ以外のウイルス対策ソフトをインストールしていなかったのですが、今回はせっかくの機会ですからしばらく使用してみようと思います。

また、何か情報が入りましたら、皆様にシェアいたしますね。



このエントリーをはてなブックマークに追加 Clip to Evernote
WannaCrypt
(画面はIPAのWebサイトより)

いつもお世話になります。
オプティマ・ソリューションズ株式会社の中康二です。

先週末から、全世界で大規模なウイルス被害が発生しており、マスコミ等でも報道されておりますが、本Blogでもその概要をまとめておきます。

------------------------------------------------------------
■発生していることの概要

今回問題になっているのはウイルスの一種で、ランサムウェア(身代金ウイルス)と呼ばれるものです。今回のウイルスに感染すると
(1)同じネットワーク内に存在する他のWindowsマシンも感染させる
(2)パソコン内部のファイルが暗号化されて
(3)お金を払わないとファイルを戻せなくなるぞという画面を表示して脅し
(4)そのまま放置するとファイルが削除される
というもののようです。

このパソコンに感染すると強制的に警告画面が表示されて、また多くのファイルが暗号化されてしまうため、通常業務に使えなくなってしまうといいます。実際に、イギリスの病院では業務が行えなくなったという被害が発生しているようです。

------------------------------------------------------------
■主な対策

今回のウイルスが利用している脆弱性は、今年の3月15日にマイクロソフト社が配信したWindowsUpdate(MS17-010)により対策がなされているものであり、Windows7/10をお使いで、WindowsUpdateを適用されている場合には感染する可能性はないとのことです。

ただし、今回はあまりにも被害が大きくなったため、マイクロソフト社ではWindowsUpdateでのサポート終了済みのWindowsXP/8/Windows Server 2003についても、修正パッチを作成し、配布しています。もしこれらのサポート終了済みOSを使われている場合には、この修正パッチをあててください。

また、すでに各社のウイルス対策ソフトでも対応済みですので、ウイルス対策ソフトを最新にすることでも新たな感染は防ぐことができます。ただし亜種が出てくる場合にはいたちごっこになります。

あと、詳細については未確認なのですが、今回のウイルス被害に関連し、「DoublePulsar」というバックドアの流行も取り上げられています。Windowsサーバーなど、インターネットに公開しているWindowsマシンについては、このバックドアが仕掛けられている可能性があるとのことですので、別途ご確認いただく必要があるかと思います。

------------------------------------------------------------
■そのほかの気になる情報

今回の脆弱性について、スノーデン事件で有名になった米国NSAが以前から関知しており、自らのスパイ活動に活用していたそうです。そのスパイ活動用のツールがなぜか昨年夏にハッカー集団に流出し、それが今回の攻撃に使用されているといいます。本来、脆弱性を発見した場合にはマイクロソフト社に連絡して対策を促すべきなのですが、米国NSAはそれをしなかったとのことで、マイクロソフト社が正式に抗議を行っているようです。

また、どうして日本での被害が小規模に留まっているかということですが、日本ではインターネットに公開されたWindowsマシンが少ないからではないかとトレンドマイクロ社の担当者は見解を出しています。

------------------------------------------------------------

IPAからの情報
https://www.ipa.go.jp/security/ciadr/vul/20170514-ransomware.html

トレンドマイクロ社の見解
http://itpro.nikkeibp.co.jp/atcl/news/17/051501407/


(私のコメント)
今回のウイルスはパソコン内のファイルを持ち出すわけではないため、個人情報/機密情報や、メールの受信簿の内容がすべて流出したりすることは今のところはないようです。ですから、バックアップを取ってある場合には、そのパソコンを初期化して、バックアップファイルからファイルを復元すれば、大丈夫なのではないかと思われます。あくまで今のところはということですので、ここについては、ご自分でも情報を確認していただきたいと思います。

また、何か情報が入りましたら、皆様にシェアいたしますね。


このエントリーをはてなブックマークに追加 Clip to Evernote


情報セキュリティEXPO会場から最新情報をお届けします。

今日は同時開催のイベントを回っているのですが、NTTコムさんのブース(東3-39)で、クラウド型ウイルス対策の「マイセキュア ビジネス」が展示されているのを発見しました。

これは米国のWebRoot社の製品をNTTコムさんが国内で展開しているものだそうですが、クラウド型ウイルス対策のため、動作が軽く、パターンファイルの更新が不要というメリットを持つ製品であることが分かりました。

また、パソコンとスマホ、タブレットを全て単一の契約でカバーでき、ライセンス料も10端末で月1800円と、大変リーズナブルな設定となっています。


(私のコメント)
法人向けウイルス対策として、検討に値すると思いました。ぜひ!






↑このページのトップヘ