プライバシーマーク・ISMSナビ

プライバシーザムライが、プライバシーマーク/個人情報保護、ISMS/情報セキュリティの最新情報をお届けします。

2022年12月

2022-12-23_10h57_43
(画像は同社CEOのBlogをDeepL翻訳で日本語にしたものです)

皆さんこんにちは。
プライバシーザムライ中康二です。

今のクラウド時代においては、複数のサービスに同じパスワードを使いまわしすることは最も危険な行為となりますから、それを避けるためにはいわゆる「パスワード管理ツール」を使うことが必須となります。パスワード管理ツールを使うことで、私たちは記憶の限界を超えて、一つ一つのサービスごとに異なるパスワードを保存できるのです。

そのため、現在たくさんのパスワード管理ツールが存在していますが、そこには利用者のアカウントとパスワードが保存されていることから、常に不正アクセスの対象とされ、提供事業者は不正アクセスとの戦いを続けることになります。

その中の一つに「LastPass」というパスワード管理ツールがあります。

LastPassは、10年以上の歴史を持ち、ほとんどのブラウザで使用できて、スマホアプリもあるため、かなり利用者が多いパスワード管理ツールのひとつです。

このLastPassに対しても、過去から不正アクセスが何回も試みられ、その度にLastPass社は「利用者の登録したアカウントとパスワードは流出していない」との説明を行ってきました。

この流れが変わったのが、2022年8月にソースコードが流出したことです。ソースコードというのは、プログラムそのものの元となるテキストファイルのことで、これを解析すれば、どこに穴があるのか、どういう攻撃をすれば不正アクセスが可能になるかを知ることができるものです。

ソフトウェアの世界には二つの考え方があります。一般的にLastPassのような商業ソフトウェアはソースコードを非公開にすることで不正アクセスを防ぐという考え方を採用しています。一方で、オープンソースというソフトウェアはむしろソースコードを公開することで、みんなで問題をつぶしていって完成度を高めていくというものです。

LastPassの場合は、本来非公開のはずのソースコードが流出してしまったのですから、どこから攻撃を受けてもおかしくない状態になっていたと思います。

そしてそれが現実のものになりました。2022年12月、LastPass社は自社のバックアップサーバに不正アクセスがあり、利用者の登録したアカウントとパスワードなどを含むバックアップファイルが漏洩したと発表しました。

ただし、利用者が登録したアカウントとパスワードなどの情報は、利用者のマスターパスワードで暗号化されており、利用者のマスターパスワードはLastPass社としても保存していないことから、悪用される心配はないと説明しています。

とはいえ、LastPass社のセキュリティが大変危うくなっていることに変わりはありません。同社では2022年8月のソースコード流出以降、開発環境を再構築したり、様々な対策を取っているとしていますが、ソースコードが流出している以上、不正アクセスとの戦いにおいて劣勢は避けられないと思います。

結論として、私としては今後、Lastpassの利用は推奨しないものとします。現在利用されている方も早めに他のパスワード管理ツールに移行されることをお勧めします。

https://blog.lastpass.com/2022/12/notice-of-recent-security-incident/

皆様にも何かの参考になればと思います。

また、新しい情報が入りましたら、皆様にシェアいたしますね。

※なお、利用者の方にはアカウント削除をおススメしたいところですが、どうもアカウント削除をしようとするとうまく画面が出てこない場合があるようです。その場合にはアカウント「リセット」という機能を使うことで、登録したパスワード情報を一括消去してくれるようです。ご参考まで。

マイナンバーカードの読み取りはICカードリーダーではなくスマホをおススメします。

皆さんこんにちは。
プライバシーザムライ中康二です。
(オプティマ・ソリューションズ株式会社・代表取締役) 

政府が普及に躍起になっている「マイナンバーカード」。

デジタル化の恩恵を受けたい国民としては、
うまく使いこなしたいところです。

私は個人的にも日本で一番最初にマイナンバーカードの発行を受けたくらいの
積極派なのですが、チャレンジャーとしての失敗もあれこれ経験しています。

特に数年前、マイナンバーカードをスマホで読み取って活用するという
民間のサービスに挑戦してみたところ、
数回の読み取りミス(?)しただけでロックがかかってしまい
お住まいの市区町村の窓口でロック解除を行ってください
というような警告が出て、使えなくなってしまったことがありました。

その時は、泣く泣く区役所まで出向いて、ロックを解除していただきました。

そんなこともあり、マイナンバーカードのスマホ読み取りについて、
否定的にとらえていたのですが、最近の政府の取り組みを見て、
もう一度やってみたら、意外と簡単にできましたので、
皆さんにも共有したいと思います。

基本的な方法は、
(1)とにかくスマホに「マイナポータル」アプリをインストールする。
「マイナポータル」アプリと「マイナポイント」アプリ
 せっかくなので、「マイナポイント」アプリも入れておきましょう。
(2)ログインの認証は、スマホ+マイナンバーカードで行う。
 (ICカードリーダーは不要)
(3)画面の操作は、スマホでもパソコンでもOK
というものです。

パソコンで操作したい場合には、少しコツがあります。

(パソコン)マイナポータルの画面上の「ログイン」ボタンをクリック
2022-12-21_11h09_20

(パソコン)「QRコードでログイン」をクリック
2022-12-21_11h12_10

(パソコン)QRコードが表示される
2022-12-21_11h12_45

(スマホ)「マイナポータル」アプリを起動してQRコードを読み取らせる
2022-12-21_11h16_07
普通のカメラで読み込ませるとアプリのインストール画面が表示されます

(スマホ)4文字の暗証番号を入力して
20221221_021411000_iOS
3回間違えるとロックされますのでご注意ください。

(スマホ)マイナンバーカードを読み取らせる
20221221_021416000_iOS

PXL_20221221_020403736.MP
機種によりセンサーの場所が違うそうなので、ご注意ください。

(パソコン)これでパソコン側がログイン状態になります。パチパチ!
2022-12-21_11h15_03

このやり方さえマスターしてしまえば、マイナポータルにログインして、
・自分の個人情報のチェック
・公的機関の個人番号の利用履歴のチェック

 などが行えるのはもちろん、
・健康保険証としての利用
・公金受け取り銀行口座の登録

 を行うことで、マイナポイントをもらうことができますし、
・eTAXの利用
・ねんきんネットの利用
・新型コロナワクチン接種証明書アプリの利用
・各種の自治体への届け出
・法人設立ワンストップサービス

 なども利用できるようになり、まさにデジタル化の恩恵を受けられるようになります。

この内容が皆さんにとって何かの参考になればと思います。

また、何か情報が入りましたら、皆様にシェアいたしますね。

Pマーク新審査基準2022対応セミナー

Pマーク新審査基準2022セミナーを視聴する

皆さんこんにちは。
プライバシーザムライ中康二です。
(オプティマ・ソリューションズ株式会社・代表取締役) 

2022年12月13日に開催した「Pマーク新審査基準2022対応セミナー(Pマーク担当者勉強会)」。

当社での新審査基準でのコンサル実績が100件を超え、そこで得られた知見とノウハウを共有する場として開催させていただきました。

Pマーク新審査基準2022でのコンサル実績が100件を突破

皆さんの関心にあったテーマということもあり、全国から数多くのプライバシーマークの実務担当者の皆様にリモート参加していただきました。

当日参加できなかった方や、参加されなかった方にも参考にしていただけると思いますので、動画を公開いたします。また当日の説明に使用した資料のダウンロード提供も行いますので、参考にしていただきたいと思います。

--------------------------------------------------------
タイトル:「Pマーク新審査基準2022対応セミナー(Pマーク担当者勉強会)」
講 師 : プライバシーザムライ・中康二
視聴先 : オプティマ・ソリューションズ株式会社 Youtubeチャンネル
--------------------------------------------------------

ご視聴いただくには、お申し込みが必要です。
下記のボタンからお申し込みください。

Pマーク新審査基準2022セミナーを視聴する

この内容が皆さんにとって何かの参考になればと思います。

また、何か情報が入りましたら、皆様にシェアいたしますね。

↑このページのトップヘ