プライバシーマーク・ISMSナビ

プライバシーザムライが、プライバシーマーク/個人情報保護、ISMS/情報セキュリティの最新情報をお届けします。

2011年09月

dbsc_logo_web
国内のセキュリティ会社などで構成されるデータベース・セキュリティ・コンソーシアムが、9月26日付で、「データベース暗号化ガイドライン 第0.9版」を公開し、同日より一般から広く意見を募集するパブリックコメントを開始しています。

このガイドラインでは、データベースの暗号化を「HDD暗号化」「DBテーブルの暗号化(全項目の暗号化)」「DBカラムの暗号化(特定項目のみの暗号化)」「バックアップデータの暗号化」に分類して、それぞれの概要、メリット、デメリット、注意事項をまとめています。

また、暗号鍵の管理、通信経路の暗号化についても、同様にまとめています。

http://www.db-security.org/report/dbsc_cg_ver0.9.pdf (ガイドライン本体)
http://www.db-security.org/20110926news.pdf (説明)
http://www.db-security.org/index.html (団体のWebサイト)

(私のコメント)
このガイドラインは、データベースの暗号化に関する「基本」をきれいに網羅していますので、何らかのデータベースを活用している全ての企業にとって、大変役立つものであり、貴重な情報だと思います。

npa_logo

警察庁の警備企画課・情報技術解析課は、9月21日付で、国内における「標的型メール攻撃」の送信状況を公開しました。

※標的型メール攻撃とは、昨今問題になっている「標的型攻撃」の最初の段階で行われる攻撃手法です。

※標的型攻撃とは、下記のような方法で特定の組織に対して行われる攻撃です。
1)特定の組織のアドレスに対して、その組織の社員や職員が違和感を感じないで開こうとしてしまうような特定の内容のメールを送信します。
2)受信した人は、違和感を感じる事なく、本文中のURLを開く、または添付ファイルを開く、などの操作をしてしまいます。
3)これでその人のパソコンが特別なウイルスに感染してしまいます。この特別なウイルスは、広く一般には広まっていないものなので、ウイルス対策ソフトウェアでは検知できません。
4)この方法で、組織内のパソコンに特別なウイルスを感染させて、組織内のネットワークの情報を収集したり、そのパソコンを乗っ取ったり、他のパソコンにもウイルスを感染させたり、徐々にその組織内に浸透していくのです。これが「標的型攻撃」です。

警察では、全国約4,000の事業者等と情報共有のためのネットワークを構築しており、標的型メール攻撃などの情報を集約しているとのことで、今回の警察庁の発表は、そこから得られた情報を元にしているようです。

同発表によると、「地震情報」「被ばくに関する知識」「計画停電」など、震災や原発事故に関する情報の提供をよそおった標的型メールが東日本大震災以降だけで合計500件以上送付されているとのことです。また、「重要な会議のお知らせ」「資料送付」等の震災と関連のない標的型メールも、4月以降300件以上送付されているとのことです。

http://www.npa.go.jp/keibi/biki5/hyotekigata.pdf
http://www.npa.go.jp/

(私のコメント)
標的型メール攻撃に関しては、なかなか情報が公開されないため、対策が有効に立てにくいという側面があります。ですから、このような形で警察から発表されることは有意義なことだと思います。

20110927_OFF

当Blogでもご案内致しました「プライバシーマークOFF会」ですが、昨日無事開催されましたので、ご報告いたします。

会場の選定に迷ったのですが、弊社の入居しているビルの共同会議室にケータリングを注文して開催しました。ゲストが14名、弊社側出席者が7名で、各企業のプライバシーマーク担当者、コンサルタント、審査員が集い、マニアックな話題でかなり盛り上がりました。当日開催の様子の分かる写真を下記のURLにアップしておりますので、ご参照ください。

https://www.facebook.com/media/set/?set=a.272034569483722.68309.177742398912940&l=3bf2b33cad

今後も時々開催する予定です。その際はぜひ皆様お越しください。

Pマーク

下記のプライバシーマークOFF会ですが、20日現在、主催者側含めて15名の参加です。会場も抑えないといけないので、そろそろ締め切ります。ご希望される方はお早目に意思表明ください。
         ↓
初めての試みとして、プライバシーマークOFF会を開催します。プライバシーマークの管理者様、事務局の皆様、是非お集まりください。現役の審査員も参加いたします!

名称:プライバシーマークOFF会
日時:2011年9月27日(火)19:00 - 21:30
場所:JR池袋駅周辺
参加費:3500円(当日徴収します)

プライバシーマークの運用に日々頭を悩ませておられる個人情報保護管理者や事務局の皆様にお集まりいただきまして、相互に意見交換や親交を深めていただこうという企画です。

弊社のコンサルタントや、現役審査員も参加いたしますので、技術的な質問などにも多少はお答えできると思います。

どうぞ、皆様お集まりください。

参加される方は下記のURLのフォームから登録してください。
http://www.optima-solutions.jp/inquiry/index.html
コメント欄に「OFF会参加希望」と明記してください。

※恐縮ですが、弊社と同業になるPマークコンサルの方は参加ご遠慮ください。
※会場は現在選定中です。詳細は決まり次第、ご案内いたします。

主催:オプティマ・ソリューションズ株式会社
http://www.optima-solutions.jp/

mhe_logo
三菱重工業株式会社(東京都港区)で、8月にサイバー攻撃が行われ、複数の事業所の複数のサーバーやパソコンでウイルスに感染する被害が発生したとの報道が9月19日に行われ、同社は同日付でそういった事象が発生したことを同社のWebサイト上で公表しました。

報道されている内容をまとめると、
・感染が確認されたのは本社・事業所など国内11拠点のサーバー45台とパソコン38台。
・8月11日にウィルス感染に気付き、社内調査の後、8月27日に情報セキュリティの専門業者に調査を依頼した。
・感染したウィルスは、コンピュータのデータや利用者の情報を収集するスパイウエア「TSPY_DERUSBI.A」など8種類。
などです。

同社では、製品や技術に関する情報が流出した事実は確認されていないとしています。

http://www.mhi.co.jp/notice/notice_110919.html

(私のコメント)
一瞬「うゎ、三菱重工に標的型攻撃か!」と思ったのですが、感染したウイルスは他でも確認されているスパイウェアのようですし、標的型かどうか判断できないですね。今回の情報から判断すれば、今回発生した事象は、
  1. 今回報道されているスパイウェアの他に、一般には知られていないウイルスが三菱重工車内で見つかっているが、報道されていない。
  2. 同社のウイルス対策が充分ではなく、スパイウェアを感知・駆除できなかった。
のどちらかになると思います。
1.であれば大ごとですが、2.であれば取るに足らないニュースということになります。もう少し様子を見たいと思います。

Pマーク
初めての試みとして、プライバシーマークOFF会を開催します。プライバシーマークの管理者様、事務局の皆様、是非お集まりください。現役の審査員も参加いたします!

名称:プライバシーマークOFF会
日時:2011年9月27日(火)19:00 - 21:30
場所:JR池袋駅周辺
参加費:3500円(当日徴収します)

プライバシーマークの運用に日々頭を悩ませておられる個人情報保護管理者や事務局の皆様にお集まりいただきまして、相互に意見交換や親交を深めていただこうという企画です。

弊社のコンサルタントや、現役審査員も参加いたしますので、技術的な質問などにも多少はお答えできると思います。

どうぞ、皆様お集まりください。

参加される方は下記のURLのフォームから登録してください。
http://www.optima-solutions.jp/inquiry/index.html
コメント欄に「OFF会参加希望」と明記してください。

※恐縮ですが、弊社と同業になるPマークコンサルの方は参加ご遠慮ください。
※会場は現在選定中です。詳細は決まり次第、ご案内いたします。

主催:オプティマ・ソリューションズ株式会社
http://www.optima-solutions.jp/

passcode-1701
セキュリティ専門会社のソフォス社の情報によりますと、iPhoneのロックを解除する数字4ケタのパスワードの多くが、下記のような一定のパターンのものであると判明したそうです。

第1位)1234
第2位)0000
第3位)2580
第4位)1111
第5位)5555
第6位)5683
第7位)0852
第8位)2222
第9位)1212
第10位)1998

「1234」や「0000」はともかく、第3位の「2580」は何なのか?それは上記のロック解除画面の数字の並びを見ていただくとお分かりいただけると思います。

では、第6位の「5683」は何なのか?これは英語圏の人が数字キーを使って文字入力する際に「LOVE」と入力するための配列と同じだから多いのではないかと推測されています。

これは単にiPhoneに関する情報と捉えるべきではなく、数字4ケタのパスワードについては、似たような状況が存在しているととらえた方がいいと思います。

キーの配列から作り出した暗証番号は、自分だけだろうと思っても、実はみんな考えることが似通っている場合もあります。皆様再確認していただければと思います。

※補足
金融機関では「1234」とか「0000」などを暗証番号として登録できなくなっていると思いますし、複数回エラーを繰り返すとカード没収になります。そういう方式で安全を担保しています。

http://www.sophos.co.jp/pressoffice/news/articles/2011/06/top10-passcodes-iphone.html

↑このページのトップヘ