プライバシーマーク・ISMSナビ

プライバシーザムライが、プライバシーマーク/個人情報保護、ISMS/情報セキュリティの最新情報をお届けします。

2014年04月

2014-04-30_1808
米国マイクロソフト社が、4月28日付でInternet Explorer の脆弱性情報を発表しました。今回の脆弱性は旧バージョンのIE6から最新のIE11まで及ぶもので、影響範囲が大きいことから、全世界的に話題になっています。

今回の脆弱性に関しては、一部では実際の被害も出ているようですが、まだ修正ソフトが出ておらず、それまでは抜本的な対策が取ることが困難なことから、IEの利用を控える動きが出ています。

下記のIPAの情報が分かりやすいので、ご紹介します。

IPAの情報
http://www.ipa.go.jp/security/ciadr/vul/20140428-ms.html

マイクロソフト社の情報
https://technet.microsoft.com/library/security/2963983

(私のコメント)
今回の脆弱性は対策が困難なことから反響が広がっています。
修正ソフトが早く出てくるのが待たれます。


(2014年5月7日追記)
5月2日付でマイクロソフトから修正ソフト出ています。
WindowsアップデートをONにしている場合には自動的に更新されるようです。
今回は特別にWindowsXP用も出したとのことです。
https://technet.microsoft.com/ja-jp/library/security/MS14-021





2014-04-27_1829
総務省は、4月18日付けで、昨年9月に発覚した個人情報漏えい事件に関して、株式会社テレコムスクエアに対する文書による「指導」を行ったと発表しました。

本事件は、2011年から13年にかけて、同社のWebサーバーに不正アクセスが行われ、顧客のクレジットカード情報など約10万件が流出したものです。

これに対して、総務省では、個人情報保護法と、電気通信事業者向け個人情報保護ガイドラインの安全管理措置義務の規定に違反するものであると判断し、同社に対して「安全管理対策」「社員研修」の見直し、ならびに再発防止に努めるよう「文書による指導」を行ったとのことです。

http://www.soumu.go.jp/menu_news/s-news/01kiban08_02000138.html

以前の記事(「テレコムスクエア」に不正アクセス。カード情報10万件流出)
http://www.pmarknews.info/archives/51912753.html

(私のコメント)
総務省の対応は少し遅い印象を受けます。もう少しスピードアップされることを望みます。



MUFJ201404
(画像は同社Webサイトより)

かねてより報道されているOpenSSLの脆弱性問題ですが、ついに国内初の被害が公表されました。

クレジットカード会社大手の三菱UFJニコス株式会社(東京都千代田区)は、4月18日付で自社のWebサーバーに対して、OpenSSLの脆弱性を悪用した不正アクセスがあり、一部の顧客情報が流出したと発表しました。同社では、4月11日の時点で不正アクセスを検知し、即日Webサービスを停止していましたが、これに関する詳細の発表の中で、OpenSSLの脆弱性を突いたものであったことや被害件数など、詳細を発表したものです。

同社によると、流出した個人情報は、利用者の氏名、住所、電話番号、生年月日、メールアドレス、金融機関の口座情報、勤務先名称、勤務先電話番号など894名分で、カード番号については、一部をマスキングしていたとのことです。

http://www.cr.mufg.jp/corporate/
http://www.cr.mufg.jp/corporate/info/pdf/2014/140418_01.pdf

本件に関しては、脆弱性が発表されてからかなり日が経過しており、不正アクセスで狙われる可能性が日々高まっています。SSL暗号化通信を利用しているWebサーバーの管理者さんは、今すぐ下記の情報などを参照し、対応することをオススメします。

http://www.ipa.go.jp/security/ciadr/vul/20140408-openssl.html(IPAの注意喚起)

管理者側の対策の要約:
1)脆弱性が公表されたOpenSSLを使用しているかどうかの確認
2)使用している場合はバージョンアップをして脆弱性を解消する
3)電子証明書を新しくする
4)利用者へのアナウンス(脆弱性の有無、対策の進捗、利用者への依頼事項)

(私のコメント)
同社の発表文では記載されていませんが、今回のOpenSSLの脆弱性の特徴からして、OpenSSLの脆弱性が公表された4月7日からサービスを停止した11日までにサイトにアクセスした利用者の情報が流出したものと思われます。すなわち、同社がもっと早くサービスを停止していれば今回のような被害はなかったことになります。もしくは利用者がアクセスをしなければ流出の被害にあわなかったと言えます。

利用者としては、上記4)の公式アナウンスを待ってから、パスワード変更などを行ってください。対応されていない状態のサーバーにアクセスすると、今回の例のようにその情報が流出する可能性があります。ご注意ください。





プライバシーマーク制度の公式Webサイトの情報によりますと、4月2日現在のプライバシーマーク付与事業者数は 13,575社です。昨年より500社の増加であり、増加のペースが再び早まってきています。

2013Pmark

※例年3月30日のデータをチェックしています。今年はオフィスの引越などもあり出遅れてしまいましたが、とりあえずこの数字を速報値としておきます。

↑このページのトップヘ