プライバシーマーク・ISMSナビ

プライバシーザムライが、プライバシーマーク/個人情報保護、ISMS/情報セキュリティの最新情報をお届けします。

カテゴリ: 情報セキュリティ

10月下旬から導入が始まった三井住友銀行SMBCダイレクトのパスワードカードが届きましたので、レポートします。

43

パスワードカードは普通郵便で送られてきます。書留などで送る必要はないということのようです。

35

これがパスワードカードです。ストラップがついてきます。

33

隣が以前の暗証カード(クレジットカードと同サイズ)です。見て分かるように一般的なカードよりもサイズは小さいです。

37

カードケースに入れたところです。写真では縦にしていますが、横にすると通常のカードの代わりに収まります。ただし、厚さが3ミリありますので、この方式でメガバンクが揃い踏みしたりするとカードケースがパンパンになってしまいそうです。

パスワードカードを利用するには、電話を使用した初期登録が必要です。SMBCダイレクトにログインすると、初期登録の画面が出てきますので、画面の指示にしたがって操作すると、予め登録してある電話番号に自動的に電話がかかってきますので、音声の指示にしたがってWeb上に表示された4桁の番号を入力すると初期登録完了です。

その後は、従来の「第2暗証」の代わりにこのパスワードカードを使用することになります。ログイン時にも使用するようにすることもできるようです。レポートは以上です。

(関連記事)
三井住友銀行が暗証カードを廃止し、ワンタイムパスワード方式に統一
http://www.pmarknews.info/archives/51911616.html

smbc_passwdcard
(画像は新しく無償配布されるパスワードカード)

三井住友銀行は、9月9日付で、オンラインバンキングサービスである「SMBCダイレクト」のセキュリティ水準の一層の向上のため、利用者にログイン時の認証に使用する「パスワードカード」(ワンタイムパスワード生成器)を10月21日から無償で配布し、従来使用してきた「暗証カード」(乱数表)は一定期間の後に廃止すると発表しました。

同行では、他の金融機関に先行してワンタイムパスワードによる認証方式を導入し、今年の1月から希望者には無償で配布してきましたが、今回はそれをさらに進めて、より薄く、利便性を高めた形式のワンタイムパスワード生成器を全利用者に配布しようということのようです。

同行のインターネットバンキングサービスの利用者は約1250万人とのことで、国内のネットワークセキュリティ全体にもかなり大きなインパクトを与えるものと思われます。

http://www.smbc.co.jp/kojin/direct/passca.html

(私のコメント)
サイズはキャッシュカードより小さいので良さそうですが、厚さが3mmとのことで、これが気になりますね。この方式が普及して、銀行ごとに厚さ3mmのパスワードカードを持つとなると財布が分厚くなりそうです。

2013年10月30日追記:
このパスワードカードの無償配布が始まっています。SMBCダイレクトにログインして、「セキュリティ設定」「インターネットバンキングのセキュリティ」「パスワードカードの利用登録 」の画面から申し込み可能です。一週間程度で自宅に郵送で送られてくるとのことです。

2013-09-10_0952
(画面はJavaのバージョンチェックサイト。クリックするとそこに移動します)

トレンドマイクロ社の調査によると、「Java6」に脆弱性が発生され、実際にそれを利用したウイルスが出回っているものの、開発元のOracle社は既にこのバージョンへのサポートを終了しているため特段の対処は取られていないとのことです。

トレンドマイクロ社によるとまだ50%以上のユーザーがこのバージョンを使用しているとのことですから、問題は小さくないと思われます。対処方法としては、Javaを最新版にバージョンアップすることです。または、使用していないのであれば、削除してしまうことです。

javaのバージョンチェックサイト
http://www.java.com/ja/download/installed.jsp
(うまく動作しない場合はそもそもJavaがインストールされていないということです)

関連記事
http://scan.netsecurity.ne.jp/article/2013/09/02/32371.html

(私のコメント)
ここでOracle社に文句を言うわけにもいかないのです。メーカーによるサポート終了とはこういうことなので、利用者としては、自分で対策するしか方策はないことになります。来年4月9日のWindows XPサポート終了の時には同様の問題がもっと大きな規模で起こることになると思われます。

(当Blog記事)Javaの脆弱性を突く攻撃が多発しています。
アンインストールか無効化をオススメします。
http://www.pmarknews.info/archives/51883749.html



2013-08-29_1438

警察庁は、8月22日付で「平成25年上半期のサイバー攻撃情勢について」と題した文書を公開しました。標的型メール攻撃の件数自体は減少してきているものの、その手法が変化してきており、新たに「やりとり型」というタイプの攻撃が増加しているとのことです。

(概要)
・標的型メール攻撃の件数自体は201件と、前年同期の552件から約6割減少したそうです。
・従来型の「ばらまき型」攻撃(業務に関係しそうなメールを一斉に関係者に送付する手法)は減少傾向。
・新たに「やりとり」攻撃が増加。これは、採用や製品に関する問い合わせなどを装ってメールのやりとりを行い、何回かのやりとりの後に添付ファイルとしてウイルスを送りつけて、担当者のパソコンを感染させるという手法。
・やりとりの内容は、採用に関する質問等が約5割、製品に関する不具合の問合せ等が約3割。
・送信元アドレスは、フリーメールが約6割
・送り付けられた添付ファイルのほとんどは圧縮ファイルであり、解凍すると、画像ファイルやWORDファイルに偽装したEXE形式のファイル・またはEXCELファイルが出てきて不正な動作を行う。

http://www.npa.go.jp/keibi/biki3/250822kouhou.pdf

(私のコメント)
採用応募などを騙ってメールが送られてきて、それらしいやりとりをされると、普通は信用してしまいますよね。そこを狙った攻撃とは、もはやこれはソーシャルエンジニアリングの一種になってきてますね。

2013-08-16_2217
(画面は同社Webサイトより)

株式会社サイバーエージェント(東京都渋谷区)は、8月12日付で、同社の運営するネットワークサービス「Ameba」において、第三者が外部から不正に取得したID・パスワード情報を利用しての不正アクセスが発生したと発表しました。

ただし、今回の不正アクセスにおいては、個人情報の閲覧は発生していないそうです。

同社では、今回の不正アクセスはIDとパスワードが自社から流出したものではなく、他社から流出したIDとパスワードの組み合わせが使用されたものとしており、他のサービスと同じパスワードを使い回ししないように呼びかけています。

http://www.cyberagent.co.jp/info/detail/id=7874
http://www.cyberagent.co.jp/info/detail/id=7919

(私のコメント)
国内著名サイトで「パスワードリスト攻撃(パスワード使い回しによる不正アクセスのこと)」が頻発しています。利用者側としては、とにかく「パスワードの使い回しはしない」ことを徹底してください。

参考記事:「最終警告>パスワードの使い回しはやめましょう」
http://www.pmarknews.info/archives/51891461.html


2013-08-09_0820
(画面は同社Webサイトより)

株式会社リクルートライフスタイル(東京都千代田区)は、8月7日付で、同社の運営する「じゃらんnet」において、第三者が外部から不正に取得したID・パスワード情報を利用しての不正アクセスが発生したと発表しました。

不正アクセスにより閲覧された可能性がある個人情報は、利用者の「氏名」「住所」「電話番号」「メールアドレス」「予約履歴」など約2万7千件とのことで、該当する利用者にメールで今回の事件を連絡しているそうです。

同社では、今回の不正アクセスはIDとパスワードが自社から流出したものではなく、他社から流出したIDとパスワードの組み合わせが使用されたものとしており、他のサービスと同じパスワードを使い回ししないように呼びかけています。

http://www.jalan.net/jalan/doc/howto/kokuchi130807.html

(私のコメント)
「パスワード使い回しによる不正アクセス」改め「パスワードリスト攻撃」ですが、国内著名サイトで頻発しています。今回のリクルートライフスタイル社の発表では、事業者側の責任やお詫びというトーンはかなり抑えられたものとなっています。利用者側としては、とにかく「パスワードの使い回しはしない」ことを徹底するしかないと思います。

参考記事:「最終警告>パスワードの使い回しはやめましょう」
http://www.pmarknews.info/archives/51891461.html



2013-08-08_2326
(画面はGREEのプレスリリース)

グリー株式会社(東京都港区)は、8月8日付で、同社のネットワークサービスに対して不正アクセスが行われ、顧客の個人情報が閲覧された可能性があると発表しました。

流出した可能性がある個人情報は、GREE利用者の「氏名」「ニックネーム」「携帯メールアドレス」「地域(都道府県)」「生年月日」「性別」「コイン履歴情報」など約4万件とのことで、該当する利用者にメールで今回の事件を報告した上で、ログインを停止しているそうです。

同社では、今回の不正アクセスはIDとパスワードが自社から流出したものではなく、他社から流出したIDとパスワードの組み合わせが使用されたものとしており、他のサービスと同じパスワードを使い回ししないように呼びかけています。

http://corp.gree.net/jp/ja/news/press/2013/0808-02.html

(私のコメント)
これまで「パスワード使い回しによる不正アクセス」とタイトルに記載していましたが、これに「パスワードリスト攻撃」という名称がつけられたようですので、今後は表記をこちらに統一します。

画像1


情報セキュリティEXPO会場よりレポートします。

マクニカネットワークス社ブースでは、企業向けWiFi機器としてARUBA Networks社の製品を紹介しています。

これは、複数のアクセスポイントを社内に設置して、既存の認証システムと接続したり、集中管理したりできるという製品ですが、昨今のスマホやタブレットの普及により、ニーズが改めて高まっているそうです。

コンビニチェーン店頭での無料WiFiサービスも広がっていますが、そういうニーズにもぴったりなんだそうです。

一つ面白い機能がありました。このWiFiアクセスポイントをは、他のアクセスポイントを捜し出す機能があるそうなのですが、この機能を使用すると、会社が許可していない野良WiFiアクセスポイントを見付け出すことができるんだそうです。

ネットワーク管理者としては、嬉しい機能なのではないかとおもいます。オススメします。

画像1


http://www.macnica.net/aruba/




画像1


情報セキュリティEXPO会場よりレポートします。

スマホやタブレットを業務で使用させる場合に、特に頭が痛いのが紛失時の情報流出でしょう。BYOD(私物機器を業務で使用させる)の場合には、なおさらでしょう。

そこで、今回のEXPOではそういったことに対するソリューションが多く出品されていますが、中でもソリトンシステム社ブースで説明されていた「DME」をご紹介します。

これは、スマホやタブレット用の一つのアプリで、そのアプリの中にメールソフトやスケジューラ、ブラウザなどを含んでいるいわば仮想環境です。この仮想環境に限って、会社のメールサーバーや業務システムへのアクセスを許可するようにすることで、会社の情報は全てその仮想環境内に収められていることになり、私用の情報とは明確に分離できます。また、万が一の紛失などの際にも、アプリとそこに含まれる情報だけを削除すれば一切の情報流出を心配しなくてよいということになるわけです。

実際の画面を見せていただいて、詳しい話を聞かせていただきましたが、なかなかいけてると思いました。

価格的にも1端末月1000円程度だそうですので、オススメします。

画像1


http://www.soliton.co.jp/products/service/dme/


画像1


情報セキュリティEXPO会場からレポートします。

この一年間の情報セキュリティの分野における話題の中心は「標的型攻撃」でした。標的型攻撃がどうして話題の中心にい続けたのかといえば、抜本的な対策が存在しないということでした。実際に、昨年春のEXPOの時点では、情報セキュリティEXPOの会場を見渡しても、標的型攻撃対策と銘打ったソリューションはほんの一握りしかありませんでした。

一年間経過して、遂にトレンドマイクロが立ち上がりました。それが「Deep Discovery」です。これは専用のハードウェア製品であり、内部にサンドボックスと呼ばれるWindowsなどの仮装環境を多数持ち、ウイルスであることが疑われるファイルや通信内容に関して実際にその仮想環境内で動作させてそれがウイルスなのかどうか確認できるというものです。クロと判断されたものについてはそれ以降の動きを止めるように、各端末のウイルスバスターに指示を出すこともできますし、判断に迷うものについては同社の専門家に相談することもできるそうです。

このように、同社では、標的型攻撃に対して、単なるシステムで対応するのではなく、人の手を介したサービスを組み合わせて、より実効性のあるソリューションにしようとしており、そのことを「カスタムディフェンス」と名付けて、広く大手企業や官公庁などに提供しようとしているようです。

標的型攻撃は、被害の規模や影響が国家レベルや国防レベルの話になっていますので、こういったソリューションによって、本当に被害が抑えられるようになって欲しいと思います。

画像1


http://jp.trendmicro.com/jp/solutions/customdefense/index.html



画像1


情報セキュリティEXPO会場からレポートします。

中国系のセキュリティ専門会社「NS FOCUS社」では、DDOS対策機器とWAFを展示してます。

どちらも何百万もする製品なのですが、特に手軽なソリューションとして、月々7万円から契約できる「クラウドWAF」を提案しています。

これは、標的型攻撃などをはじめとする不正アクセスから、自社サーバーを守るものです。DNSの設定を切り替えておき、全ての通信をクラウド上のこの専用機に振り向けることで、不正なアクセスを遮断するものです。

今なら、お試し利用もできるそうです。オススメします。

画像1

画像1


情報セキュリティEXPO会場からレポートします。

テクマトリックス社ブースには、謎のキャラクターがいます。

まだ、名前はついてないそうですが、「ワンタイムパスワードマン」とでもしときましょう。

http://www.techmatrix.co.jp/security/securid/index.html





↑このページのトップヘ