プライバシーマーク・ISMS最新情報

プライバシーザムライが、プライバシーマーク/個人情報保護、ISMS/情報セキュリティの最新情報をお届けします。

2013年08月

2013-08-29_1438

警察庁は、8月22日付で「平成25年上半期のサイバー攻撃情勢について」と題した文書を公開しました。標的型メール攻撃の件数自体は減少してきているものの、その手法が変化してきており、新たに「やりとり型」というタイプの攻撃が増加しているとのことです。

(概要)
・標的型メール攻撃の件数自体は201件と、前年同期の552件から約6割減少したそうです。
・従来型の「ばらまき型」攻撃(業務に関係しそうなメールを一斉に関係者に送付する手法)は減少傾向。
・新たに「やりとり」攻撃が増加。これは、採用や製品に関する問い合わせなどを装ってメールのやりとりを行い、何回かのやりとりの後に添付ファイルとしてウイルスを送りつけて、担当者のパソコンを感染させるという手法。
・やりとりの内容は、採用に関する質問等が約5割、製品に関する不具合の問合せ等が約3割。
・送信元アドレスは、フリーメールが約6割
・送り付けられた添付ファイルのほとんどは圧縮ファイルであり、解凍すると、画像ファイルやWORDファイルに偽装したEXE形式のファイル・またはEXCELファイルが出てきて不正な動作を行う。

http://www.npa.go.jp/keibi/biki3/250822kouhou.pdf

(私のコメント)
採用応募などを騙ってメールが送られてきて、それらしいやりとりをされると、普通は信用してしまいますよね。そこを狙った攻撃とは、もはやこれはソーシャルエンジニアリングの一種になってきてますね。

2013-08-16_2217
(画面は同社Webサイトより)

株式会社サイバーエージェント(東京都渋谷区)は、8月12日付で、同社の運営するネットワークサービス「Ameba」において、第三者が外部から不正に取得したID・パスワード情報を利用しての不正アクセスが発生したと発表しました。

ただし、今回の不正アクセスにおいては、個人情報の閲覧は発生していないそうです。

同社では、今回の不正アクセスはIDとパスワードが自社から流出したものではなく、他社から流出したIDとパスワードの組み合わせが使用されたものとしており、他のサービスと同じパスワードを使い回ししないように呼びかけています。

http://www.cyberagent.co.jp/info/detail/id=7874
http://www.cyberagent.co.jp/info/detail/id=7919

(私のコメント)
国内著名サイトで「パスワードリスト攻撃(パスワード使い回しによる不正アクセスのこと)」が頻発しています。利用者側としては、とにかく「パスワードの使い回しはしない」ことを徹底してください。

参考記事:「最終警告>パスワードの使い回しはやめましょう」
http://www.pmarknews.info/archives/51891461.html


2013-08-09_0820
(画面は同社Webサイトより)

株式会社リクルートライフスタイル(東京都千代田区)は、8月7日付で、同社の運営する「じゃらんnet」において、第三者が外部から不正に取得したID・パスワード情報を利用しての不正アクセスが発生したと発表しました。

不正アクセスにより閲覧された可能性がある個人情報は、利用者の「氏名」「住所」「電話番号」「メールアドレス」「予約履歴」など約2万7千件とのことで、該当する利用者にメールで今回の事件を連絡しているそうです。

同社では、今回の不正アクセスはIDとパスワードが自社から流出したものではなく、他社から流出したIDとパスワードの組み合わせが使用されたものとしており、他のサービスと同じパスワードを使い回ししないように呼びかけています。

http://www.jalan.net/jalan/doc/howto/kokuchi130807.html

(私のコメント)
「パスワード使い回しによる不正アクセス」改め「パスワードリスト攻撃」ですが、国内著名サイトで頻発しています。今回のリクルートライフスタイル社の発表では、事業者側の責任やお詫びというトーンはかなり抑えられたものとなっています。利用者側としては、とにかく「パスワードの使い回しはしない」ことを徹底するしかないと思います。

参考記事:「最終警告>パスワードの使い回しはやめましょう」
http://www.pmarknews.info/archives/51891461.html



2013-08-08_2326
(画面はGREEのプレスリリース)

グリー株式会社(東京都港区)は、8月8日付で、同社のネットワークサービスに対して不正アクセスが行われ、顧客の個人情報が閲覧された可能性があると発表しました。

流出した可能性がある個人情報は、GREE利用者の「氏名」「ニックネーム」「携帯メールアドレス」「地域(都道府県)」「生年月日」「性別」「コイン履歴情報」など約4万件とのことで、該当する利用者にメールで今回の事件を報告した上で、ログインを停止しているそうです。

同社では、今回の不正アクセスはIDとパスワードが自社から流出したものではなく、他社から流出したIDとパスワードの組み合わせが使用されたものとしており、他のサービスと同じパスワードを使い回ししないように呼びかけています。

http://corp.gree.net/jp/ja/news/press/2013/0808-02.html

(私のコメント)
これまで「パスワード使い回しによる不正アクセス」とタイトルに記載していましたが、これに「パスワードリスト攻撃」という名称がつけられたようですので、今後は表記をこちらに統一します。


9月26日付で最終版が出ました。こちらの記事をご参照ください。


2013-08-01_2140
(画面はJIPDEC発表文書より)

ISMS認証制度(一般に「ISO27001」とも言う)を運営している一般財団法人日本情報経済社会推進協会(略称:JIPDEC)情報マネジメントシステム推進センターは、現在大幅な改定作業が進められているISO27001について、移行計画を発表しました。

ISO27001は、現在改定作業が最終段階に来ており、まもなく「ISO27001:2013」として発表される見通しとなっています。今回の改定作業においては、他のマネジメントシステム規格(ISO9001、ISO14001、ISO22301など)との整合性を取るために同一の章立てで構成される「共通テキスト化」が行われることになっております。ISMSに関する内容も多少変わりますが、むしろ章立ての変更や、用語の用法の変更など、文章の構成が大きく変わるはずです。

これを受けて、JIPDECとしては、下記を発表いたしました。

・ISO27001:2013が出たら、同時に準拠規格をISO27001:2013に移行する。
(その後、日本語対訳版、JIS Q 27001:2014という日本語文書が出る見込み)
・移行期間を24ヶ月設ける。
・IAF(国際認定フォーラム)より別途文書が出た場合にはそれに従う。

なお、JIPDECでは、今回の移行に際して、既にISMS認証を取得している事業者としては取り組みの大幅変更は不要としながらも、計画段階における経営的な観点での見直しが必要になるとしている。具体的には「外部及び内部の課題を特定すること」「トップマネジメントのリーダーシップとコミットメントを明示し、責任に重点を置くこと」などを強化するようにとしています。

http://www.isms.jipdec.jp/
http://www.isms.jipdec.jp/ikou/27001_2013/ISO_IEC_27001_2013_transition_outline.pdf

(私のコメント)
ついにISO27001の改定がやって来ましたね。ISO27001については、莫大な分量の規程と悪戦苦闘されておられる事業者様が多くいらっしゃいますが、今回は規格の構成も大きく変わりますので文書体系の大幅見直しのチャンスです。

弊社では今回のISO27001改定にあたり、身軽な文書のご提案ができるように準備しております。興味がある方は下記からご連絡ください。


https://optima.sakura.ne.jp/form/mitsumori.html
(オプティマ・ソリューションズ株式会社 代表取締役 中康二)

267445_470767262943784_723163541_n
前回の開催時の様子です。他の写真も御覧ください。

弊社(オプティマ・ソリューションズ株式会社)も参加している「データセキュリティ・コンソーシアム」では、8月28日(水)に、第6回データセキュリティ勉強会+懇親会を開催することになりましたので、皆様にご案内いたします。

データセキュリティ・コンソーシアムは、情報(データ)を取得するところから、利用し、保管し、復旧し、消去し、廃棄し、再生するまで、プロセス毎に集まった各組織が相互に協力し、データの健全な活用を通して社会に貢献する連携体です。今回のような勉強会を定期的に開催すると共に、情報セキュリティEXPOなどのイベントに共同でブース出展したりしています。

今回の勉強会の第一部であるセキュリティセミナーは、情報セキュリティで著名なソーシャルメディアリスク研究所代表の田淵義朗さんから「SNSを利用した参議院選挙の影響」についての講演をいただいた後、環境ナビゲーターの上田マリノさんから「環境ビジネスに挑む女性たち」についての講演をさせていただきます。

第二部は、ビジネスチャンスを呼び込む人気な3分毎のショートプレゼン+「いいね!」質疑で構成いたします。ご希望者はぜひ手を上げてください。優秀者には来春のクラウドコンピューティングEXPOのブース無料参加特典があります。

第三部は、懇親会です。参加者相互に名刺交換をしていただいて、ビジネスマッチングもしていただけると思います。

※なお、今回も私(中康二)は司会を仰せつかっております。

第6回データセキュリティ勉強会+懇親会
■日時:2013年8月28日(水) 13:40-18:10(受付開始 13:10)
■会場:アリス・アクアガーデン・シナガワ
東京都港区港南 2-16-5 三菱重工ビル グランパサージュ 3F(品川駅港南口 徒歩5分)
http://www.r-alice.jp/shinagawa/access.html
■会費:一般参加 5,000円 (懇親会参加費含む)
  シルバー参加 10,000円(3名様まで懇親会参加費含む)
  ゴールド参加 20,000円(7名様まで懇親会参加費含む+ブース出展+取材特典)

■幹事
データセキュリティコンソーシアム 事務局 唐鎌 益男
(日東造機株式会社 IT事業部長)

参加希望される方は、下記の当社Webサイトお問い合わせフォームからお申し込み下さい。
https://optima.sakura.ne.jp/form/inquiry_new.html
コメント欄に「第6回データセキュリティ勉強会参加希望」とお書きください。

オプティマ・ソリューションズ株式会社
代表取締役 中 康二

↑このページのトップヘ