プライバシーマーク・ISMSナビ

プライバシーザムライが、プライバシーマーク/個人情報保護、ISMS/情報セキュリティの最新情報をお届けします。

2011年10月

iwlogo

Internet Watch上の記事によりますと、韓国で、9月30日に、個人情報保護法が施行されたそうです。記事の内容を見るかぎり、概念としては日本の個人情報保護法ととても良く似た内容になっているようです(もちろん細かいところは異なっていますが)。

http://internet.watch.impress.co.jp/docs/column/security/20111006_481956.html

ご参考まで。

mufg_20111006

株式会社セキュアブレイン (東京都千代田区)は、このほど自社サイト上で、独自の調査に基づいて、三菱東京UFJ銀行の利用者をターゲットとしたフィッシング詐欺の実態を公表しました。

これは、9月20日頃に行われたもので、上記画像のようなメールが不特定多数のメールアドレスに送付されたというものです。

メールに添付されたソフトウェアを起動すると、如何にも三菱東京UFJ銀行のものであるかのような画面が起動し、ID、パスワードと、振込などの際の認証に使用する乱数表の全てのデータを入力させるようになっています。ここに情報を入力してしまうと、海外のサーバに送られるのだそうです。

http://www.securebrain.co.jp/about/news/2011/09/gred-report26.html

(私のコメント)
実際の画面を見ると、本当にリアルですね。いくらフィッシング詐欺について、ある程度の知識を持っていても、何人かに一人の確率で騙されてしまう人が出てくることは想像に難くありません。

site-logo00

独立行政法人情報処理推進機構(略称:IPA)は、10月3日付で、標的型攻撃に関して、実際の事例を元に攻撃手法を分析し、その対策をまとめたレポートを発表しました。

※標的型攻撃とは、下記のような方法で特定の組織に対して行われる攻撃です。
1)特定の組織のアドレスに対して、その組織の社員や職員が違和感を感じないで開こうとしてしまうような特定の内容のメールを送信します(標的型攻撃メールと言います)。
2)受信した人が、違和感を感じる事なく、本文中のURLを開く、または添付ファイルを開く、などの操作をすることで、その人のパソコンが特別なウイルスに感染してしまいます(この特別なウイルスは、広く一般には広まっていないものなので、ウイルス対策ソフトウェアでは検知できません)。
3)この方法で、そのパソコンを乗っ取り、組織内のネットワークの情報を収集したり、他のパソコンにもウイルスを感染させたり、サーバーの権限を奪取するなど、徐々にその組織内に浸透していきます。


このレポートによると、ウイルスメールによる攻撃自体は、ずっと以前から存在していましらが、それらは「マスメール型ウイルスメール」というべきものであり、これは大きな被害を起こしながらも、ウイルス対策ソフトなどで防ぐことが可能でした。2005年頃から「標的型攻撃メール」が登場し、新たな問題となっているとのことです。

なりすます対象は、実在の外務省職員、官公庁、新聞社、首相などと変遷し、2008年には、このレポートを作成したIPAも名前を騙られたとのことです。

添付されるファイルは、MS Word、一太郎、PDFファイルと変遷し、その後ファイル添付ではなく、URLを掲載するものも登場したとのことです。

2010年頃には、米国のミュージシャンであるレディ・ガガさんも被害にあい、標的型攻撃メールがマネージャ宛てに送られ、未公開楽曲が窃取された事件も発生したとのことです。2011年に発生したRSAのSecureIDの情報窃取も標的型攻撃メールによるものであり、9月に三菱重工で発生した事件もその可能性があると報道されています。

そして、この標的型メール攻撃への対策としては、『一見正しいメールの特徴をもつが、普段メールをやりとりしていない人から届き、なぜ自分宛てに送ってきたか心当たりがない不審なメールに注意する』ことを推奨しています。

http://www.ipa.go.jp/about/technicalwatch/20111003.html
http://www.ipa.go.jp/about/technicalwatch/pdf/111003report.pdf

(私のコメント)
標的型メール攻撃について、分析と対策が網羅的にまとめられていますので、オススメします。

↑このページのトップヘ