プライバシーマーク・ISMS最新情報

プライバシーザムライが、プライバシーマーク/個人情報保護、ISMS/情報セキュリティの最新情報をお届けします。

2013年03月

otoshimono

スマホや携帯電話の紛失対策、法人ユーザーにとっては、特に頭が痛いですよね。リモート消去の成功率は低いという話もありますし、何としても取り戻したいものです。

ところで、日本には素晴らしい文化があります。遺失物が見つけられた場合には警察や公共交通機関の窓口などに届けられるのが常識となっています。財布などの場合には、その中に入っている身分証明証などから本人に連絡が行われて返還されます。

しかし、残念なことに、スマホや携帯電話の場合は名前などを書いていませんので、本人に連絡できないケースが大半です。たいていの場合には暗証番号でロックしていると思いますので、中身を見て本人を確認することもできません。そうこうしているうちにバッテリーがなくなって、どうしようもなくなる。また場合によっては、窓口に届いた段階で電源を一律にオフにしてしまう場合もあるようです(リモート消去がうまくいかないのはこれが理由かも知れませんね)。ですから、なかなか取り戻すことが難しいのです。

そこで登場したのが、このたび株式会社落し物ドットコム(東京都台東区)が発表した「リターンタグ」です。

これはこのような形状のシールです。
returntag
(実物は2.4センチ×2.4センチです)

これをスマホや携帯電話に貼っておくと、拾った人が同社のセンターに電話し、本人に連絡されるのです。やり取りは同社が仲介するので、匿名の状態で回収することも可能だそうです。また、警察や公共交通機関の窓口にも同社が働きかけて、万が一の場合には連絡してもらえるようにするそうです。

リターンタグの購入はこちら
http://tag.otoshimono.com/

(私のコメント)
もちろん、これをつけたからといって紛失したスマホを100%回収できるというものではないのですが、回収の可能性を高めるツールとして、おススメいたします。今なら2枚で980円とのことですので、100人規模の会社で導入しても5万円です(一年間有効)。安心を買うつもりで導入されてはいかがでしょうか?

kankyousho
(画面は環境省Webサイト)

環境省は、3月17日付で、同省が運営しているCO2情報サイトの内容が改ざんされたために、利用者がウイルスに感染した可能性があると発表しました。

同省によりますと、
・対象サイトは「CO2みえ〜るツール」
・3月3日から3月15日までの期間に同サイトにアクセスした人が対象。
・パソコンの状況によってはウイルスに感染した可能性がある。
とのことです。

NHKの報道では、期間中にアクセスした人は延べ884人とのことです。

当面の対応として、ウイルス対策ソフトを最新版にアップデートすることと、パソコンのOS、Adobe Reader、Adobe Flash、Javaに関連したソフトウェアを全て最新版にアップデートすることを呼びかけています。

http://mieeeru.go.jp(「CO2みえ〜るツール」)
http://www.env.go.jp/

(私のコメント)
これ、ネット上の情報によりますと、このサイトだけではなく、日本国内の200以上のWebサーバーが同様に感染しているようですね。
1)ウェブサイトが「Darkleech Apache Module」に感染する
2)IEでアクセスすると「Blackhole」マルウェア感染サイトに転送される
という仕組みだそうです。下記のURLに感染したサイトのURLの一覧が掲載されていますが、著名サイトも含まれており、被害が広がっているようです。特にIEを使用している人は要注意です。
http://unixfreaxjp.blogspot.jp/2013/03/ocjp-098-285blackhole-exploit-kit.html


JINS
(画面は同社Webサイトより)

メガネ販売店「JINS」を運営している株式会社 ジェイアイエヌ(東京都渋谷区)は、3月15日付で、自社が運営するオンラインショッピングサイトから、顧客のクレジットカード情報が流出した可能性があると発表しました。

今回流出した可能性がある情報は、
・今年2月6日から3月14日までの間で、
・オンラインショッピングサイト「JINS ONLINE SHOP」において
・クレジットカードを使用して商品の購入した人の
「カード番号」「有効期限」「カード名義人名」「セキュリティコード」
とのことです。

同社では、自社の社員がサイトに異常があることを発見し、調査した結果、不正アクセスが判明したそうです。現在、サービスを全面的に停止して、緊急対応をしているそうです。

http://www.jins-jp.com(JINS ONLINE SHOP)
http://www.jin-co.com(会社情報サイト)

(私のコメント)
カード会社からの連絡で発覚したのではなく、自社の調査で発覚したとのことですので、発覚タイミングがよくある事例よりも早いものと思います。ということであれば、カード会社側で利用停止措置を取ることで、不正利用を未然に防止できる可能性もあると思います。まあ、それにしても、セキュリティコードまで手元のサーバーに残していたのは良くないですね。

10threats2013

独立行政法人情報処理推進機構(IPA)は、3月12日付で、近年の情報システムを取り巻く脅威をまとめた文書「2013年版10大脅威 身近に忍び寄る脅威」を発表しました。

それによりますと、現在最も気にするべき脅威は下記の通りとのことです。

第1位 クライアントソフトの脆弱性を突いた攻撃
第2位 標的型諜報攻撃の脅威
第3位 スマートデバイスを狙った悪意あるアプリの横行
第4位 ウイルスを使った遠隔操作
第5位 金銭窃取を目的としたウイルスの横行
第6位 予期せぬ業務停止
第7位 ウェブサイトを狙った攻撃
第8位 パスワード流出の脅威
第9位 内部犯行
第10位 フィッシング詐欺

http://www.ipa.go.jp/security/vuln/10threats2013.html
http://www.ipa.go.jp/security/vuln/documents/10threats2013.pdf

(私のコメント)
この文書(52ページのPDF)は、上記の10個の大きな脅威に関して、とてもわかりやすく概説しており、入門編の教科書のようになっていますので、皆様におススメいたします。

Android_Robot_200
(画像はAndroidのキャラクターであるAndroid robot)

トレンドマイクロ社のセキュリティBlogの記事によりますと、Androidアプリの1割以上が不正ソフトウェアであり、誇張ではなく、もはや無視できないレベルに達しているとしています。

(要約)
・200万個以上のAndroidアプリを調査した結果、そのうちの約29万個が不正ソフトウェアであり、1割を超えている。
・Google社の公式マーケットであるGooglePlayが提供しているアプリの総数は約70万個であるが、そのうち約7万個弱が不正ソフトウェアであり、こちらも約1割である。
・調査したアプリの22%が、端末識別番号、連絡先情報や電話番号など、スマホに含まれる個人情報を不適切に流出させている。

http://blog.trendmicro.co.jp/archives/6851

(私のコメント)
Androidはライセンス料が無料であることもあり、燎原の火のように世界中に普及していっていますが、決して安心安全なインフラではないことをよく認識する必要があると思います。国内でも、昨年、不正アプリが大量に配布されて全ての電話帳の中身を抜き取られた「the Movie」事件が起こっています。特にアプリケーションの利用については、無邪気に使えないということを強く認識していただきたいと思いますし、少しでも安心するためには(絶対ではないとはいえ)ウイルス対策ソフトの利用もオススメします。

skimming

セブン銀行(東京都千代田区)は、2月28日付で、店舗などに設置している同社のATMに情報を不正に読み取る小型装置とカメラが設置され、同ATMを利用した利用者の情報が流出した疑いがあると発表しました。

同行によると、4箇所のATMが対象となり、約3200名の情報が盗みとられた可能性があるそうで、具体的な場所と日付は下記のとおりとなっております。

セブン銀行BIG BOX高田馬場ATM(東京都新宿区)1月28日〜2月5日、26日
セブン銀行東京メトロ副都心線西早稲田駅ATM(東京都新宿区)1月23日、2月20日、21日
セブン銀行西武池袋本店ATM(東京都豊島区)2月7日〜10日
セブン銀行豊島南池袋1丁目ATMコーナー(東京都豊島区)1月22日〜26日、2月11日〜16日

2月26日に、これらの装置が高田馬場のATMで設置されているのを利用者の通報により発覚し、警察に届け出ると共に装置を回収したそうです。

その結果、今回の読み取り装置では、主に「主に海外ATMを使用する時に必要なデータだけ」を読み取る仕組みであったと判明したそうです。この部分、詳細不明ですが、同行では国内のATMで不正利用される危険性は「極めて少ない」としています。

同行では、当該時間帯に同ATMを利用した利用者に対して、カード発行元の金融機関を介して連絡をとっているそうです。

http://www.sevenbank.co.jp/corp/news/2013/pdf/2013022802.pdf
http://www.sevenbank.co.jp/support/info2013022801.html
http://www.sevenbank.co.jp/

(私のコメント)
ちょうど、私の生活圏内だったので、かなり驚きました。また、設置されていた読み取り装置があまりによく出来ていて、これはすごいなという印象です。犯人はおそらく実際のセブン銀行のATMで型を取って持ち帰り、ぴったりマッチする形状の読み取り装置を作成して利用したのではないかと思われます。

↑このページのトップヘ