プライバシーマーク・ISMSナビ

プライバシーザムライが、プライバシーマーク/個人情報保護、ISMS/情報セキュリティの最新情報をお届けします。

カテゴリ: その他

otoshimono

スマホや携帯電話の紛失対策、法人ユーザーにとっては、特に頭が痛いですよね。リモート消去の成功率は低いという話もありますし、何としても取り戻したいものです。

ところで、日本には素晴らしい文化があります。遺失物が見つけられた場合には警察や公共交通機関の窓口などに届けられるのが常識となっています。財布などの場合には、その中に入っている身分証明証などから本人に連絡が行われて返還されます。

しかし、残念なことに、スマホや携帯電話の場合は名前などを書いていませんので、本人に連絡できないケースが大半です。たいていの場合には暗証番号でロックしていると思いますので、中身を見て本人を確認することもできません。そうこうしているうちにバッテリーがなくなって、どうしようもなくなる。また場合によっては、窓口に届いた段階で電源を一律にオフにしてしまう場合もあるようです(リモート消去がうまくいかないのはこれが理由かも知れませんね)。ですから、なかなか取り戻すことが難しいのです。

そこで登場したのが、このたび株式会社落し物ドットコム(東京都台東区)が発表した「リターンタグ」です。

これはこのような形状のシールです。
returntag
(実物は2.4センチ×2.4センチです)

これをスマホや携帯電話に貼っておくと、拾った人が同社のセンターに電話し、本人に連絡されるのです。やり取りは同社が仲介するので、匿名の状態で回収することも可能だそうです。また、警察や公共交通機関の窓口にも同社が働きかけて、万が一の場合には連絡してもらえるようにするそうです。

リターンタグの購入はこちら
http://tag.otoshimono.com/

(私のコメント)
もちろん、これをつけたからといって紛失したスマホを100%回収できるというものではないのですが、回収の可能性を高めるツールとして、おススメいたします。今なら2枚で980円とのことですので、100人規模の会社で導入しても5万円です(一年間有効)。安心を買うつもりで導入されてはいかがでしょうか?

10threats2013

独立行政法人情報処理推進機構(IPA)は、3月12日付で、近年の情報システムを取り巻く脅威をまとめた文書「2013年版10大脅威 身近に忍び寄る脅威」を発表しました。

それによりますと、現在最も気にするべき脅威は下記の通りとのことです。

第1位 クライアントソフトの脆弱性を突いた攻撃
第2位 標的型諜報攻撃の脅威
第3位 スマートデバイスを狙った悪意あるアプリの横行
第4位 ウイルスを使った遠隔操作
第5位 金銭窃取を目的としたウイルスの横行
第6位 予期せぬ業務停止
第7位 ウェブサイトを狙った攻撃
第8位 パスワード流出の脅威
第9位 内部犯行
第10位 フィッシング詐欺

http://www.ipa.go.jp/security/vuln/10threats2013.html
http://www.ipa.go.jp/security/vuln/documents/10threats2013.pdf

(私のコメント)
この文書(52ページのPDF)は、上記の10個の大きな脅威に関して、とてもわかりやすく概説しており、入門編の教科書のようになっていますので、皆様におススメいたします。

Android_Robot_200
(画像はAndroidのキャラクターであるAndroid robot)

トレンドマイクロ社のセキュリティBlogの記事によりますと、Androidアプリの1割以上が不正ソフトウェアであり、誇張ではなく、もはや無視できないレベルに達しているとしています。

(要約)
・200万個以上のAndroidアプリを調査した結果、そのうちの約29万個が不正ソフトウェアであり、1割を超えている。
・Google社の公式マーケットであるGooglePlayが提供しているアプリの総数は約70万個であるが、そのうち約7万個弱が不正ソフトウェアであり、こちらも約1割である。
・調査したアプリの22%が、端末識別番号、連絡先情報や電話番号など、スマホに含まれる個人情報を不適切に流出させている。

http://blog.trendmicro.co.jp/archives/6851

(私のコメント)
Androidはライセンス料が無料であることもあり、燎原の火のように世界中に普及していっていますが、決して安心安全なインフラではないことをよく認識する必要があると思います。国内でも、昨年、不正アプリが大量に配布されて全ての電話帳の中身を抜き取られた「the Movie」事件が起こっています。特にアプリケーションの利用については、無邪気に使えないということを強く認識していただきたいと思いますし、少しでも安心するためには(絶対ではないとはいえ)ウイルス対策ソフトの利用もオススメします。

Java_logo

皆さんの利用しているパソコンの多くには、「Java」というソフトウェアがインストールされていると思います。これは、米国Oracle社が無償提供しているもので、Javaという言語で書かれたプログラムを実行するための環境です。(ちなみに、もう一つJavascriptという仕組みもありますが、別のものですので、混同しないようにしてください)

Javaは、効率的にシステムを開発できるということで、世界中で広く活用されてきています。Javaがインストールされたパソコンでは、Javaが自動的に起動しており、ブラウザから呼び出してプログラムを起動できます。多くのパソコンにインストールされている、ブラウザから利用できるという特性から、悪意を持った犯罪者にとって狙いやすい存在と見られているようで、脆弱性(セキュリティホール)を悪用されるケースが多くなっています。

実際の被害の例としては、ブラウザで特定のページを開いただけで、ウイルスに感染してしまうというものです。これをきっかけにパソコン全体を乗っ取られてしまうケースが多くなっているようです。

Oracle社では、これらの脆弱性を改良した最新版を出すことで対応していますが、いたちごっこが続いています。ここで、利用者側でできる対策をまとめてみます。下記のいずれかを実行してみて下さい。

(1)Javaをアンインストールする。

明らかに自分はJavaのお世話にはなっていないということが分かっている方は、アンインストールすることをオススメします。コントロールパネルの「プログラムと機能」または「プログラムの追加と削除」を開いて、Javaをアンインストールできます。もし、アンインストールしたことで、必要な機能が動かなくなった場合には、Javaを再インストールすれば大丈夫なはずです。Javaは無料です。

参考情報: http://java.com/ja/download/uninstall.jsp

(2)ブラウザでJavaを無効化し、必要な時だけ有効化するようにする。

Javaを使っている、または使っているかもしれない、よくわからないという方は、ブラウザから呼び出してプログラムを起動するという、犯罪者に最もよく狙われている機能を無効化し、必要な時だけ有効化することをオススメします。

まず、Javaが最新版でない方は、最新版へのバージョンアップを行なって下さい。ブラウザでのJavaの無効化ができるのは新しいバージョンからとなっていますし、そもそも古いバージョンのJavaのままにしていることは危険性を伴いますので、必ず最新版へのバージョンアップを行なって下さい。

最新版のJavaをインストールすると、「Javaコントロール・パネル」という設定画面から「ブラウザでJavaコンテンツを有効にする」のチェックボックスをオフにすることができます。(「Javaコントロールパネル」を表示する方法は、下記の参考情報のURLをご確認下さい)

enable_java

無効化していると、もしかすると今まで使えていたのに使えなくなる機能があるかもしれません。その時には、自分はJavaを使用しているのだということで、その機能を使用するときだけ、上記のチェックボックスをオンにして下さい。

参考情報: http://www.java.com/ja/download/help/disable_browser.xml

最新版のJavaのダウンロードURL: http://www.java.com/ja/download/manual.jsp

(私のコメント)
個人的には、Javaにはお世話になっていないようでしたので、今回を機会に全てアンインストールしました。

「これだけ!個人情報保護士完全対策」改訂3版

私(中 康二)が著者を担当させていただいている「これだけ!個人情報保護士完全対策」(あさ出版)ですが、2006年の初版発行以来のご好評をいただき、この度、改訂3版を出すことになりましたので、お知らせいたします。

個人情報保護士の試験は、毎年4回実施されており、毎回新しい問題が出題されています。今回の改訂においても、最近の過去問の傾向を元に、合格に必要と思われる情報をどんどん取り入れ、あまり出題されていない内容は取り除きました。

本書の前半は、短めの本文と、キーワード解説と、例題で構成されています。下記に第一章「個人情報保護法の歴史」のイメージを掲載いたします。

SCAN_NEW

SCAN_0001_NEW_0001

SCAN_0002_NEW


なお、後半では、過去問から典型的なものを精選して掲載しています。

私は「この本を読んで個人情報保護士に合格しましたよ!」という声をよくいただきます。

個人情報保護士の試験を受験される方には本書を強く推薦いたします!

http://www.amazon.co.jp/gp/product/4860635744/

20130115
(画像はカスペルスキー社公式サイトより引用)

ウイルス対策ソフトの開発会社であるカスペルスキー研究所(本社:ロシア連邦モスクワ)は、自社のWebサイト上で2012年の年次セキュリティ情報を発表しました。同内容によりますと、2012年末現在において、毎日20万件のウイルスが検出されているとのことです。

その他にも、
・70万台のウイルスに感染したOS X(Mac)マシンで構成されるボットネット「Flashfake」が発見され、OS Xは悪用されないとの認識がくつがえされた。
・モバイル向けマルウェアの 99%はAndroidをターゲットとしており、件数も前年比で6倍増加している。
・iOS向けでもアドレス帳のデータを収集し、スパムを送信する怪しげなアプリが発見された。
・最も狙われたアプリケーションの脆弱性はOracle Javaで全体の50%を占め、2 位がAdobe Readerで28%を占める。Adobe Flash Playerは自動アップデートシステムが功を奏した結果、2%にまで減少。
・マルウェアのホスト国ワースト 5:米国、ロシア、オランダ、ドイツ、英国。中国は当局の規制強化により、悪質なホストが急激に減少している。
・マルウェア感染率が低い国トップ 5:デンマーク、日本、フィンランド、スウェーデン、チェコ共和国
・Windows XP のシェアはまだ44%あり、古い脆弱性が狙われるケースも発生。
など、興味深い内容が多く含まれております。

興味が湧いた方はぜひ原文をご参照下さい。

http://www.kaspersky.co.jp/news?id=207585698


2013年11月19日追記:
本Blog記事を書いた後、iOSの仕様が変更になり、OSに設定したGoogleアカウントをサードパーティーアプリで使えるようになりました。その他にもGoogleアカウントに2要素認証を取り入れることへの環境整備が進んできたと思います。従って、今後、私はGmailの2要素認証を使用することを推奨いたします。(中康二)


20130109
昨年末より、Gmailのアカウントを乗っ取られて知らない間にお知り合いにSPAMメールが送られていたとの声がネット上で多く見られます。どうやらGmailに対する不正アクセスが頻発しているようです。

複数の情報をまとめてみますと、
(1)まず、Google社から「不正なログインをブロックしました」とのメールが届いたという話があります。これは不正アクセスの試みがあったものの、実際にはログインできなかったというわけですから、悪意を持った者に狙われたものの、事実上被害はないということになります。(上記の画像がそのGoogleからのメールです)
(2)次の段階として、知らない間にお知り合い全員にメールが送信されていて、その中身は不正なWebサイトにリンクするURLだけだったというものがあります。これは悪意の第三者にログインされたわけですから、実際に乗っ取られたということになります。
(3)次に、異常を察知したGoogle社に、自分のアカウントをロックされてしまい、予め登録してあった別のメールアドレスや携帯電話などを使った認証プロセスを使用してパスワードを新しいものに変更してロックを解除したという話があります。

当然ながら、これらは(1)(2)(3)の順番に起こるものですので、(1)の数が最も多く、(2)、(3)の順番に発生頻度は少なくなっているようです。

この件が持ち上がってすでに2週間以上経過していますが、原因ははっきりとは分かっていません。そもそも、このような不正なアタックはいつも起こっているのですが、ここ数週間はその発生頻度が高くなっており、かつ何らかの理由により成功の確率が高くなっており、被害者が多くなっているのではないかと思います。

成功の確率が高くなっている原因としては推測するしかないのですが、過去に他のサービスで大量流出したメールアドレスとパスワードの組み合わせが、悪意をもった第三者の手に渡り、Gmailのアカウントに集中的な不正アクセスをしていることが考えられます。(例えばこのような事件です)

そして、多くのWeb媒体ではこれに対する対応として「Gmailの2要素認証を使用するように」と呼びかけています。しかし、この2要素認証ははっきりいって結構めんどくさいです。

Gmailをパソコンのブラウザだけで使用している場合ならいいのかも知れませんが、
・複数のブラウザを使用している場合には、その一つ一つで認証作業が必要です。
・メールソフトを使用している場合には、その一つ一つで認証作業が必要です。
・スマホでも認証作業が必要です。ブラウザとアプリで認証作業が必要です。
・カレンダーアプリでも認証作業が必要です。

私も過去に使用していたことがありますが、しばらくして面倒になってしまい、現在は使用していません。おそらく、普通の感覚をお持ちの皆様は、2要素認証は実際には使われないことと思います(私はこういうことに関しては面倒くさいことも喜んでやる方です。それでもやめてしまったくらい面倒なのです)。

セキュリティのことですから、楽観的に考えることは難しいかも知れません。2要素認証をしていなくて、不正アクセスされても、私は何の保障をすることもできません。ただし、Gmailが世界中でこれだけ活用されてきて、今までは大きな問題がなかったわけですから、今回の不正アクセスの多発ぐらいで、急に全員が2要素認証に移行することもないと思います。

私はその代わりに、パスワードを新しいものに変更することをオススメします。今回の原因が過去に流出したパスワードを利用してアタックしているのだとすれば、この対策で充分です。

その際には、他のサービスと同じパスワードを使用しないようにして下さい。Gmail専用のパスワードにして下さい。とりあえず、今のところはこれで充分だと思います。ご参考まで。

pr1214_obj_02
(出典:トレンドマイクロ社調査)

トレンドマイクロ株式会社(東京都渋谷区)が12月14日に発表した「Webサイトのパスワード利用実態調査」の結果によりますと、Webサイトを利用する際のパスワードについて約7割の人が「3種類以下のパスワードを使い回し」していることが分かりました。

パスワードの使い回しは大変危険な行為です。

たとえば、複数のオンラインショッピングサイトで同じパスワードを使用している場合、一つのオンラインショッピングサイトの社員が悪意を持ってあなたのパスワードを使用すると、他のオンラインショッピングサイトであなたになりすまして買い物が出来ます。

たとえば、一つのオンラインショッピングサイトでパスワードの流出事件が発生すると、その情報を使用して他のオンラインショッピングサイトであなたになりすまして買い物が出来ます。

このように、パスワードの使い回しは、相手の良心にゆだねているだけと言えるのです。
これをお読みの皆様、今すぐにパスワードの使い回しはやめていただきたいと思います。

http://jp.trendmicro.com/jp/about/news/pr/article/20121213002352.html

ちなみに「じゃあどうすればいいのか」とお嘆きの方は、下記の記事をお読みください。

http://jbpress.ismedia.jp/articles/-/34537(JB PRESSの記事)


20121203_Tpoint
(出典:カルチュア・コンビニエンス・クラブ株式会社の届出用紙

カルチュア・コンビニエンス・クラブ株式会社(東京都渋谷区)が発行し、運営している「Tポイント・カード」が、個人情報保護法に基づく開示請求に応えないということで、ネット上で話題になり、本Blogでも取り上げました。

本件に関しては、同社がプライバシーマーク認定事業者であったことから、JIPDECのプライバシーマーク事務局から問い合わせが行われていましたが、同社からは「業務に著しい支障があるので基本データ以外は開示請求に応えない」との回答があり、JIPDECとの間でやり取りが続いていました。

その結果、同社では10月15日から、Tポイントプログラミング加盟店における「商品名を含む利用履歴」の開示請求に応えることにしたとのことです。同社のWebサイト上にはその旨記載された届出用紙がアップされていますし、私がサポートセンターにお電話して確認しましたところ、間違いないとの返答を得ました。

カルチュア・コンビニエンス・クラブ株式会社Webサイト
T会員の皆様>各種届出書について
http://www.ccc.co.jp/member/download/
届出書による個人情報の開示等の求めに関する手続きに関して
http://www.ccc.co.jp/fileupload/pdf/member/20121203_tsuti_kaiji.pdf

(以前の記事)
Tポイントカードは保有個人データの開示請求に応えないらしい
http://www.pmarknews.info/archives/51850091.html

(私のコメント)
利用履歴の開示請求の手数料が3000円で高いとか、いろいろご意見はあるかも知れませんが、まずは一つ正常化されたと言ってよいのではないかと思います。プライバシーマーク認定事業者として、一応はあるべき姿になったと思います。これまで本件に関わった皆様の努力を高く讃えたいと思います。

jp_security-01
情報セキュリティの専門会社であるマカフィー株式会社は、11月26日付で、同社が開設しているBlogにおいて「ウイルス感染から身を守るための『セキュリティ対策五箇条』」と題した文書を発表しました。

パソコン、インターネット、モバイル、ブロードバンド、クラウドと社会全体の情報化が進む中、情報セキュリティの重要性は強調しても強調しすぎることはありません。今回のマカフィーの五箇条は本当に全員に知っておいてほしいことがまとめられているので、ここでもご紹介したいと思います。


  • 一.OSやソフトウェアは常に最新パッチを適用すべし!
    (Windowsアップデートや主要ソフトのアップデートを定期的に行うこと)

  • 一.ウイルス対策ソフトを導入しただけで安心するべからず!
    (定義ファイルの自動更新、リアルタイムスキャン、ファイアウォールを使用すること)

  • 一.身に覚えのないメールは開くべからず!
    (ウイルスに感染する危険性があります)

  • 一.怪しいWEBサイトは閲覧するべからず!
    (ウイルス感染や、情報詐取の危険性があります)

  • 一.拾い食いはするべからず!
    (USBメモリを拾っても、自分のパソコンには刺さないように)



是非、ご一読下さい。

http://www.mcafee.com/japan/security/mcafee_labs/blog/content.asp?id=1343

20121113

総務省は、11月2日付で、「一般利用者が安心して無線LANを利用するために」と題した文書を発表しました。

これは、無線LAN(WiFi)の利用が広く普及する中でのセキュリティ上の問題について、一般のユーザーにも知っておいて欲しいことをわかりやすくまとめた文書です。

この文書の中で、「3つの約束」という大原則が示されています。

(1)無線LANを利用するときには、大事な情報はSSLでやり取り
(2)無線LANを公共の場で利用するときは、ファイル共有機能を解除
(3)自分でアクセスポイントを設置する場合には、適切な暗号化方式を設定

是非、ご一読下さい。

http://www.soumu.go.jp/main_content/000183224.pdf

(私のコメント)
大変、時宜を得た文書だと思います。
皆さんにも参考にしていただけると思います。

画像1


情報セキュリティEXPOのアールキューブ社ブースでは、パソコンを無償で回収してくれる「パソコン回収.com」を宣伝しています。

これは、パソコンや液晶ディスプレイなどの製品を無償で引き取ってくれるサービスだそうです。法人でも個人でもOKで、一台から対応してくれるとのこと。

気になるデータ消去に関しては、事前に無償でデータ消去ソフトがダウンロードできるので、自分で消去することができるそうです。

「クラウド型データ消去0円」のキャッチフレーズに惹かれてしまいましたが、よく聞くと上記のようなサービスだとのことです。

パソコンの処分に頭がいたい方は相談してみてはいかがでしょうか?

http://www.pc-kaishu.com

↑このページのトップヘ