プライバシーマーク・ISMSナビ

プライバシーザムライが、プライバシーマーク/個人情報保護、ISMS/情報セキュリティの最新情報をお届けします。

2017年09月

31
(画像はEquifax社のWEBサイトより)

いつもお世話になります。
オプティマ・ソリューションズ株式会社の中康二です。

先日、米国の大手信用情報機関の一つであるEquifax社(米国ジョージア州アトランタ)が、米国版マイナンバーである社会保障番号を約1億4千万件以上流出してしまい、大きな問題になっているという事件を記事にしましたが、その後も混乱が続いているようです。

Equifax社は、今回の事件の対応のために専用のWebサイト(equifaxsecurity2017.com)を立ち上げたのですが、こともあろうに同社の公式Twitterがほんの少し違う偽URL(securityequifax2017.com)を記載してユーザーに案内してしまったといいます。

securityequifax2017.comというドメインは、セキュリティの専門家がわざと本物のサイトに似せて作った偽サイトであったにも関わらず、同社のTwitter管理者自らがまんまと引っかかってしまったということのようです。

下記URLの記事の中で、セキュリティの専門家のコメントとして「Equifaxは信頼できるSSL証明書を使ったequifax.comでこれをホスティングすべきだった」との意見が記載されています。

http://www.itmedia.co.jp/enterprise/articles/1709/21/news096.html

(私のコメント)
先日の記事を書いているときに、事件の後始末のためだけに専用のドメインまで取ってるのはすごいけど、ひと段落したらドメインごと削除するつもりなのかなと私も少し気になっていました。新しいドメインを作成すると、今回のように偽サイトが登場したり、それに間違えてアクセスしてしまうことが起こるのですね。重要な局面であればあるほど、自社のWebサイトとしてみんなが知っていて信頼のおけるドメインを使わないといけないのだと改めて思いました。

たとえ話で言うと、大通りに立派な本社ビルが立っているのにも関わらず、「事件の対応は裏通りに用意した専用テントで受付します」と言って顧客をそちらに誘導していると、そこに行く途中にそっくりの偽テントが立っていて、ぞろぞろ顧客がそこに入っていっている、そんなことになるのだと思います。ドメインの使い方ひとつで、セキュリティ水準を下げてしまうということです。

また、何か情報が入りましたら、皆様にシェアいたしますね。



201970921
(画面はNISCのWebサイトより)

いつもお世話になります。
オプティマ・ソリューションズの中康二です。

内閣サイバーセキュリティセンター(NISC)のWebサイトに、来年度の政府予算概算要求に含まれるサイバーセキュリティ関連予算の情報が掲載されています。

総額728億円で、主なところを見ると
  • 内閣官房が、NISC運営費として49億円
  • 総務省が、ナショナルサイバートレーニングセンター構築費として17億円
  • 経産省が、IPA交付金101億円!
  • 防衛省が、航空機・船舶・車両などのサイバー攻撃対策研究に45億円
  • 個人情報保護員会が、マイナンバーセキュリティ監視に12億円
  • 文科省が、セキュリティ人材育成に21億円
  • 厚生労働省が、年金機構を含む組織全体のセキュリティ強化に47億円
などとなっています。

詳細はPDFファイルをご参照ください。
しかしIPA交付金100億円超とは、うらやましいですね!

http://www.nisc.go.jp/
http://www.nisc.go.jp/active/kihon/pdf/yosan2018.pdf

また、何か情報が入りましたら、皆様にシェアいたしますね。




改正JIS Q15001は12月20日に正式発表される見通しです。
詳細は下記URLをご覧ください。
http://www.pmarknews.info/privacy_mark/52062422.html

本セミナーを撮影した動画配信を始めました。
【JIS Q 15001改正】プライバシーマークの審査はどう変わる?
緊急解説セミナーの動画を配信します
http://www.pmarknews.info/privacy_mark/52062005.html


20170606_006
(写真は前回の開催の様子です)

いつもお世話になります。
オプティマ・ソリューションズ株式会社の中康二です。

毎回ご好評をいただいている「Pマーク担当者勉強会」。

第8回を迎える今回は、注目が集まる「JIS Q 15001改正・緊急解説セミナー」セミナーをメインとして開催いたします。

個人情報保護法の改正を受けたJIS Q150001の改正作業は、改正案への意見受付が行われ、最終確定に向けた作業が進んでいるところです。今回の改正は、本文の構成が大幅に変わるため、プライバシーマークの審査に必要な規程類にも大きな影響が出るのではないかと考えられます。

というわけで、まだJIS Q15001改正の最終決定はしていない今の段階で、現在公表されている範囲内で分かっている事実を皆さんと共有し、プライバシーマーク取得事業者としてはどのように準備していけばいいのかということを、可能な限りご説明したいと思っています。

繰り返しになりますが、まだ改正JIS Q15001は最終確定していませんので、この勉強会で全てが分かるわけではありません。改正JISに対応した規程ひな形も、この日は出てきません。あくまでも当日までに判明している情報をすべて網羅したうえで、私が皆さんに解説するという緊急セミナーです。

ただし、いつものように、当日までいろいろ準備して皆さんに役立つ情報をお届けします。
どうぞ内容にはご期待ください!

なお、セミナー終了後、同会場で懇親会を開催いたします。懇親会ではプライバシーマークの実務担当者様同士で相互に意見交換していただけるほか、弊社のメンバーも参加しますので、技術的な質問にも多少はお答えできると思います。

20170606_018

皆様、どうぞお集まりください。

ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー
名称:「JIS Q 15001改正・緊急解説セミナー」
    (第8回Pマーク担当者勉強会)
講師:中 康二(オプティマ・ソリューションズ株式会社・代表取締役)
日時:2017年10月25日(水)16時半から18時まで
  ※セミナー終了後、同会場で懇親会を開催いたします。(〜19時半)
   懇親会は自由参加(無料)としますが、準備の都合がありますので、
   参加の可否をあらかじめ教えてください。
参加費:3,000円(税込・一名様あたり・当日会場受付でいただきます)
場所:TKP新橋カンファレンスセンター
  東京都港区西新橋1丁目15-1
  大手町建物田村町ビル
●都営三田線 内幸町駅 A3出口 徒歩1分
●東京メトロ銀座線 新橋駅 8番出口 徒歩3分
banner_content-header_01
主催:オプティマ・ソリューションズ株式会社
※恐縮ですが、弊社と同業になるコンサルタントの方は参加ご遠慮ください。
ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー

参加される方は下記のボタンから登録してください。
      ↓↓↓↓↓↓↓↓↓↓↓↓↓
      ↓↓↓↓↓↓↓↓↓↓↓↓↓
      ↓↓↓↓↓↓↓↓↓↓↓↓↓
      ↓↓↓↓↓↓↓↓↓↓↓↓↓
btn_semlp2






mainichi_20170919
(画像は毎日新聞社WEBサイトより)

いつもお世話になります。
オプティマ・ソリューションズ株式会社の中康二です。

報道によりますと、リスト型攻撃で有効性を確認したアカウント情報を使って、ビックカメラ店頭でポイントを不正利用し、商品をだまし取ったとして、警視庁サイバー犯罪対策課が中国人ら3人を逮捕したとのことです。

犯人たちは、下記のステップを経ることで今回の不正利用を行ったものと思われます。
(1)何らかの方法で大量の「IDとパスワードのリスト」を入手する
(2)そのIDとパスワードをビックカメラのWebサイトにダメ元で入力してログインを試みる。(これをリスト型攻撃といいます)
(3)ほとんどの場合はログインできない。
(4)うまくログインできた場合、有効であることが分かり、保有ポイントも確認しておく。
(5)多くのポイントを保有しているIDとパスワードをスマホのビックカメラアプリに入力し、バーコードを表示させて、店頭でポイントを利用して商品をだまし取る。

ビックカメラのWebサイトでは、昨年10月に47万回の「リスト型攻撃」を受けていたとのことで、その直後の10月から11月にかけて、今回の犯人たちが200万円程度の商品をだまし取っていたとのことです。また、同様の方法で楽天ポイントの不正利用も行っており、ドラッグストアで医薬品を不正にだまし取った疑いもあるとのことです。

https://mainichi.jp/articles/20170919/dde/041/040/045000c

(以下、私のコメント)

リスト型攻撃はパスワード使いまわしから起こります。少し解説します。

今回の事件では犯人グループは47万回チャレンジして4000回成功したといいます。

どこから流出したリストなのかは分かりませんが、日本のユーザーが多く使うサービスなのでしょう。それが47万人分流出していたものを今回の犯人グループが入手した。

そして、その47万人のIDパスワードのリストをとりあえずビックカメラのWebサイトに専用のツールを使って流し込んでみると、そのうち何万人かがビックカメラにも登録していて、またそのうちの4000人が同じパスワードを使っていたということです。ビンゴ!

どうしてこういうことが起こるかというと、皆さんが複数のWebサイトに同じパスワードを登録しているからです。最近のサービスは、IDにメールアドレスを使っている場合が多いですから、IDはどこのWebサイトでも一致しているわけです。あとパスワードが同じなら、どこかでパスワードが流出した場合には同じパスワードを使っているWebサイトにログインできてしまいますよね。

どんなしょうもないWebサイトでもいいのです。そこに価値あるパスワードがあるかもしれない。ハッカーはそれを狙っているのです。

ですから、利用者としては、複数のWebサイトに同じパスワードを入れない。これを原則とするしか方法はありません。

参考記事
パスワード使い回し撲滅に向けた最後の戦いが始まる
http://www.pmarknews.info/archives/51955537.html

なお、手元のビックカメラアプリで動作を確認したところ、登録した生年月日を入力しないとバーコードが表示されないように仕様変更されていました。とりあえず同社はこの方法で今回の方法だけではポイント不正利用できないように手を打ったということのようです。

また、何か情報が入りましたら、皆様にシェアいたしますね。


45
(画像はEquifax社のWEBサイトより)

いつもお世話になります。
オプティマ・ソリューションズ株式会社の中康二です。

米国の大手信用情報機関の一つであるEquifax社(米国ジョージア州アトランタ)は、自社のWebサイトに不正アクセスが発生し、約1億4000万人以上の社会保障番号を含む個人情報が流出したと、9月7日に発表しました。

今回流出した個人情報は、米国とカナダの在住者の名前、住所、生年月日と、社会保障番号を含む約1億4300万件とのことです。また、一部については運転免許証番号、クレジットカード番号なども含まれているとのことです。また、今回の不正アクセスは、同社のWebサイトのアプリケーション脆弱性を悪用したものであり、今年5月中旬から2017年7月まで続いていたとのことです。

同社では今回の事件に対応するための専用のWebサイトを開設し、流出の有無をオンラインで確認できるようにしています。また、流出した被害者に対しては、専用のIDを発行し、信用情報業界大手三社における自分の信用情報を無料で確認してロック/アンロックできる機能や、被害を補填する保険を提供するなど、様々な対策を行うとしています。

https://www.equifax.com
https://www.equifaxsecurity2017.com/

(私のコメント)
米国では社会保障番号が事実上の国民総背番号になっており、この番号を提示することで信用情報が検索されて、金融機関の口座開設やクレジットカードの作成など様々な金融サービスに利用されています。一方で社会保障番号にはパスワードなどの認証機能がありませんので、番号が分かるだけで他人に悪用される事件が頻発しており、従来から問題とされていたところでした。今回の大規模流出をどのように乗り越えていくのか注目していきたいです。

なお、日本のマイナンバーが、厳格に目的外利用を禁止したり、何種類ものパスワードを用意しているのは、この米国の社会保障番号と同様の問題を起こさないようにと事前に工夫された結果ということです。

また、何か情報が入りましたら、皆様にシェアいたしますね。



↑このページのトップヘ