プライバシーマーク・ISMSナビ

プライバシーザムライが、プライバシーマーク/個人情報保護、ISMS/情報セキュリティの最新情報をお届けします。

2023年03月

カネも思い出もすべてを奪われる…米国で被害が急増中の「Apple ID泥棒」の卑劣すぎる手口
(画面はPRESIDENT Onlineより)

皆さんこんにちは。
プライバシーザムライ中康二です。

日本人の多くが利用しているiPhone。
その利用シェアはさらに伸び続けています。

私もiPhoneが国内で発売されたその日から利用しており、
今や手の一部のようになっています。

何度かAndroidへの乗り換えを試み、実際に今もそれなりのものを持っていますが、
やはりメインのスマホはiPhoneです。

半導体不足や円安により、いくら値上がりしても、
手放すことのできない相棒のようになっています。

さて、そんなiPhoneに関する少し怖い内容の記事が、WebメディアのPRESIDENT Onlineにありましたので、私なりに咀嚼して皆様にも注意喚起したいと思います。

それは「iPhoneのロックを解除する6桁の数字がばれて、iPhone本体を奪い取られると、AppleIDを乗っ取られてしまい、そこに記憶させたパスワードもすべて流出してしまう」というものです。

記事の中では海外での事例として、カフェで見知らぬ人と友好的にお話をしていたら、急にiPhoneを奪われた事例が掲載されています。この人はすぐに「iPhoneを探す」で追いかけようとしたが、その段階でもうAppleIDのパスワードが変更されていて、何もできなくなり、すべて相手の思うがままにされたといいます。

どうしてこんなことになるのでしょうか?
iPhoneをお持ちの方はちょっと試してみてほしいと思います。

(1)iPhoneのロックを解除する。
(2)「設定」画面を開く
(3)一番上の「AppleID」(自分の名前が表示されているところ)を開く
(4)「パスワードとセキュリティ」を開く
(5)「パスワードの変更」を開く
(6)パスコード(通常は6桁の数字)を入力する
(7)AppleIDのパスワードを変更できる!
Image_20230331_103500_740

ということです。以前のパスワードを入力する必要がなく、
iPhoneのロックを解除するパスコードさえわかれば、
上位概念のAppleIDのパスワードを変更できてしまう。


これは怖いですね。

そして、この怖いところは、AppleIDのパスワードを変更されてしまうと、
「iPhoneを探す」も使えなくなるということです。

さらに、iPhoneに様々なWebサービスのパスワードを記憶させている場合には、
それも見られてしまいます。そして、記事の人のように銀行口座も乗っ取られて、
お金を引き出されてしまうことにもなります。

では、私たちはどのように対策すればいいのでしょうか?

(1)顔認証、指紋認証などを使用するようにする。

これにより、公衆の場所でパスコードを入力しなくてもよくなり、他人にバレる機会を減らすことができます。

(2)パスコードを6桁の数字ではなく、「カスタムの英数字コード」にする。
Image_20230331_103500_722

これにより、他人に見られたとしても少しはバレにくくなると思います。

(3)iPhoneの「キーチェーン」にはパスワードを記憶させない。

iPhoneの標準機能である「キーチェーン」を使用している人は多いと思います。様々なWebサービスのパスワードを覚えてくれる標準機能です。しかし、この機能はiPhoneのパスコードがあれば誰でも参照できてしまうため、かなり危険な機能です。キーチェーンではなく、別のパスワード管理ソフトを使用することを推奨します。

当然、私は上記(1)(2)(3)はすべて実行しています。

皆様もご注意ください。

元記事
https://president.jp/articles/-/67770

(私のコメント)
しかしまあ、Appie社は。iPhoneを奪い取って初期化して転売される事件が頻発したために、iPhoneを初期化する際にAppieIDのパスワードを必須にしたのに、そこにまた抜け道を作ってしまっていたということになりますね。

iPhoneのパスコードが分かればAppleIDのパスワードを変更できるということであれば、奪い取った場合に初期化もできて転売もできてしまうということになります。同社には素早い対応を求めたいと思います。

この内容が皆さんにとって何かの参考になればと思います。

また、新しい情報が入りましたら、皆様にシェアいたしますね。

JUASが、Pマーク審査の申請手続き電子化を発表
(画面はJUASのWebサイトより)

Pマーク新審査基準2022セミナーを視聴する

皆さんこんにちは。
プライバシーザムライ中康二です。

プライバシーマークの審査機関である一般社団法人日本情報システム・ユーザー協会(JUAS)セキュリティセンターは、プライバシーマークの取得や更新時の申請手続きの電子化を発表しました。実施は今年5月からで、それ以降原則として紙による申請は廃止になるとのことです。

今回の電子化にあたり、JUASでは専用の「プライバシーマーク会員マイページ」というWebサイトを開設し、各社の申請担当者にIDとパスワードを配布し、かつ二要素認証もあわせて実施することで、セキュリティを維持しながら手続き全体の電子化を行うようです。

https://www.juas.or.jp/privacymark/e-application/

(コメント)
従来から、いくつかのプライバシーマーク審査指定機関においてはすでに電子ファイルによる申請は行われてきています。しかし、その多くは紙と電子の併用であり、今回のJUASのように紙による申請を全廃するという例はあまりなく、かなり思い切った変更だとは思います。

ただし、プライバシーマークの取得と更新の申請の実際のやり取りをよく見ると、ほとんどはワードかエクセルのファイルまたはPDFが元データです。それを印刷して手書きしたり押印したりしているものもあると思いますが、それらは主に現地審査で確認すればいいものであり、申請書類として事前に審査員に送付が必要なものはほんのわずかです。ですから、今回の変更のあとも、大量の紙をスキャナで読み取らせて電子化する必要性はまずないと考えてよいと思います(ほんのわずかな書類のみ、社長印を押印してもらってスキャンとなるはずです)。

また今回、JUASの方に少しお話をお伺いする機会がありましたが、この変更により、従来は紙中心で行ってきたJUAS内部での審査業務が一気に電子化され、リモートワークなども行いやすくなるとのことでした。せっかくの情報化社会のためのプライバシーマーク制度なのですから、審査業務もどんどん効率化していただいて、さらに有益な審査にしていただければと思いました。

この内容が皆さんにとって何かの参考になればと思います。

また、新しい情報が入りましたら、皆様にシェアいたしますね。

Pマーク新審査基準2022セミナーを視聴する

注目の「ISO27001:2022年版対応セミナー」見逃し配信を実施中!

「ISO27001:2022年版対応セミナー」 見逃し配信を視聴する

皆さんこんにちは。
プライバシーザムライ中康二です。
(オプティマ・ソリューションズ株式会社・代表取締役) 

2023年3月に開催した「ISO27001:2022年版対応セミナー(ISMS担当者勉強会)」。

当社のISO27001:2022年版対応コンサルの開始を契機として、最新情報をを共有する場として開催させていただきました。

皆さんの関心にあったテーマということもあり、全国から数多くのISMSの実務担当者の皆様にリモート参加していただきました。

当日参加できなかった方や、参加されなかった方にも参考にしていただけると思いますので、動画を公開いたします。また当日の説明に使用した資料のダウンロード提供も行いますので、参考にしていただきたいと思います。
(なんと2022年版に対応した適用宣言書のフォーマットエクセルファイルの提供も行います!)
2022年版に対応した適用宣言書のフォーマットエクセルファイル

--------------------------------------------------------
タイトル:「ISO27001:2022年版対応セミナー(ISMS担当者勉強会)」見逃し配信
講 師 : プライバシーザムライ・中康二、弊社コンサルタント・小田
視聴先 : オプティマ・ソリューションズ株式会社 Youtubeチャンネル
--------------------------------------------------------

ご視聴いただくには、お申し込みが必要です。
下記のボタンからお申し込みください。

「ISO27001:2022年版対応セミナー」 見逃し配信を視聴する

この内容が皆さんにとって何かの参考になればと思います。

また、何か情報が入りましたら、皆様にシェアいたしますね。

個人番号カード裏面2


※2016年に公開した記事を再掲します。内容は今も有効なものです。

皆さんこんにちは。
プライバシーザムライ中康二です。

個人情報保護委員会は、2016年6月に「インターネット等にマイナンバーカード裏面のQRコードを掲載することに対する注意喚起」と題した文書を公表し、マイナンバーカード(個人番号カード)裏面のQRコードの取扱いに関して注意を喚起しました。

同文書によりますと、マイナンバーカードの裏面のQRコードは一人ひとりの12ケタの個人番号を変換したものがプリントされており、このQRコードを不用意にインターネット上で公開などした場合に、第三者がそれを読み取ることで個人番号が知られてしまうということです。

マイナンバーカードの交付時に一緒に提供される目隠し用のビニールケースでは、QRコードの部分が隠れないので、問題になっているようです。

http://www.ppc.go.jp/files/pdf/280620_qrcode.pdf

(私のコメント)
手元のマイナンバーカードをQRコードリーダーに読み込ませてみて、ちょっと笑ってしまいました。皆様も不用意に公開したりすることのないよう、十分ご注意ください。

この内容が皆さんにとって何かの参考になればと思います。

また、新しい情報が入りましたら、皆様にシェアいたしますね。

無料で使えるAIが生成した声で銀行口座への侵入に成功したとの報告
(画面はGigazineより)

皆さんこんにちは。
プライバシーザムライ中康二です。

AIの発達により、まさにその人が話しているかのような音声を生成できるようになってきています。ニュースサイトGigazineで、音声合成AIを使って金融機関の声紋認証を突破した事例が紹介されています。従来、音声合成で本人とそっくりの声を実現するには、長時間のラーニングが必要でしたが、最近のAI技術の発達により、30秒ほどの本人の音声データがあればかなりの精度で自動生成できるようになってきたため、リスクがより大きくなってきていると言います。

また、別の記事では同様に音声合成AIを使って、オレオレ詐欺を行った事例が紹介されています。従来のオレオレ詐欺はまさに「オレオレ、俺だよ」と数打てば当たる方式でやってきているわけですが、実在の人物の声のデータを使って、本人の実家に電話をかけてこれをやれば、成功確率が上がりそうです。

さらに、声だけではなく、その人の顔の動きを自動的に生成する技術も登場しており、日本のベンチャー企業HENNGEは、決算発表の動画で、社長からのプレゼンテーションにAIで作った音声と映像を採用しました。同社では、細かな文言の修正や英語版対応を容易にできる効果があったと言います。
HENNGE 2022年9月期 Q2 決算説明動画
(画面はHENNGE社Youtubeより)

これらの技術を活用すれば「政治家のフェイク演説」や「亡くなった俳優が登場する映画」などを作成することも可能になります。実際に一部そのような事象が発生していると聞いています。今後、情報セキュリティの面でも、もっと広く政治・文化の面でも、これらの音声合成・画像生成AIの技術に注目する必要があります。

無料で使えるAIが生成した声で銀行口座への侵入に成功したとの報告
https://gigazine.net/news/20230224-bank-account-ai-generated-voice/

「オレオレ詐欺」にAI製クローン音声を用いる事例が急増、被害額は年間15億円近くに
https://gigazine.net/news/20230306-phone-scam-ai-voice/

この社長、実は「そっくりアバター」。SaaS企業・HENNGEが「分身」で決算動画作った理由
https://www.businessinsider.jp/post-255836

(私のコメント)
声紋認証と言っても、それは声の周波数帯やイントネーションの特徴などを数値化して解析して活用するのだと思われます。音声合成AIも結局は同じことをして声を生成していると思われますから、声紋認証の方が人間よりも騙されやすいという傾向があるのかなと思います。今後、同じような問題が顔認証や指紋認証など、その他の様々な生体認証でも出てくる可能性が高いのではないかと思いました。AI技術の進展に要注意ですね。

この内容が皆さんにとって何かの参考になればと思います。

また、新しい情報が入りましたら、皆様にシェアいたしますね。

チューリッヒ保険は、個人情報が流出した顧客に500円の金券を送付したようです
(画像は実際に顧客に送付された手紙と金券)

皆さんこんにちは。
プライバシーザムライ中康二です。

国内で傷害・医療保険および自動車保険を展開するチューリッヒ保険会社は、委託先が不正アクセスを受けたことにより、自社の顧客の個人情報約76万件が流出したと、1月10日に発表しました。

今回流出した個人情報は、同社の「スーパー自動車保険」の加入者(契約終了者も含む)の
姓(漢字、カタカナ) 、性別、生年月日、メールアドレス、証券番号、顧客 ID、車名、等級など
最大で75万7463人
とのことです。

今回の同社の対応はとても素早く、事態が発覚した翌日に専用のフリーダイヤルを開設し、対外公表しています。これは素晴らしいことだと思います。

またもう一点特徴的なこととしては、同社がお詫びの手紙と一緒に500円分の金券(クオカード)を送付したことです。金券のことは同社のリリース文には記載されておらず、受け取った人だけが分かるようになっているようです。私はたまたまお知り合いの方が対象者だったので、教えていただきました。

チューリッヒ保険会社からのリリース文
https://www.zurich.co.jp/-/media/jpz/zrh/pdf/pr/2023/NewsRelease_20230110_ZurichInsuranceCompanyLtd.pdf

(私のコメント)
500円の金券を送付することは、2004年に発生したYahoo!BB事件以来、ある程度実績がある対応となりますが、近年ではあまり聞かないなあと思っていたところ、同社がそれを行ったと知り、少し驚きました。

詳細は未公表のため、あくまでも推定となりますが、76万人に500円の金券を送付すると単純計算で3億8千万円となります。同社の年間利益は76億円(2021年度)とのことですから、決して少ない金額とも言えないと思いました。

お詫びの金券送付については、「たった500円でお詫びしているつもりか」という顧客からの反発を招く可能性があります。一方で、総額の大きさを勘案した場合に、経営に与えるインパクトが大なり小なり出るため、当該企業が再発防止に向けた決意を(金額という形で)表明できる意味があると私は考えています。痛みを伴う決意表明と言ってもいいと思います。もちろんそれができるのは財務体質のきっちりとした大企業だけで、一般的な中小企業にこれを課すのは酷なことであると思います。

この情報が皆様のお役に立てばと思います。
また、何か情報が入りましたら、シェアいたしますね。

↑このページのトップヘ