プライバシーマーク・ISMSナビ

プライバシーザムライが、プライバシーマーク/個人情報保護、ISMS/情報セキュリティの最新情報をお届けします。

カテゴリ: その他

2014-02-10_1618
(画面はマイクロソフト社Webサイトより)

米国マイクロソフト社は、同社のセキュリティに関する公式Blogにおいて、4月8日のWindowsXPの公式サポート終了後も、Microsoft Security EssentialsのWindowsXP用定義ファイルの配布を継続すると発表しているようです。期間は2015年7月14日までです。

http://blogs.technet.com/b/mmpc/archive/2014/01/15/microsoft-antimalware-support-for-windows-xp.aspx

http://windows.microsoft.com/ja-jp/windows/security-essentials-download

(私のコメント)
4月8日のWindows XPの公式サポート終了は、コンピュータが登場して以来の史上最大規模のものになると思います。その日以降、脆弱性が発見されてもマイクロソフト社としては一切のサポートをしないのです。これは沈んでいく船のようなものですから、通常は利用は継続しないのが大原則です。ただし、いろいろな事情で利用を継続するケースもあるでしょう。それに対して、多くのウイルス対策ソフトベンダーが継続サポートを表明する中で、マイクロソフト社が出しているMicrosoft Security Essentialsも継続サポートを表明しました。決して利用継続は推奨しませんが、できれば危機的状況を起こしたくないという観点から、このサポートの延長はありがたいことだと思います。ただし、日本のマイクロソフト社からは公式な発表はないで、少し心配なところではあります。

(2014年2月25日追記)
日本のマイクロソフト社からも公式発表ありました。
http://blogs.technet.com/b/jpsecurity/archive/2014/01/16/3620688.aspx




2014-01-16_0936
(出典:トレンドマイクロ社調査)

トレンドマイクロ株式会社(東京都渋谷区)が1月14日に発表した「Windows XPのセキュリティに関する企業ユーザ調査」の結果によりますと、企業のIT管理者の約25%が、マイクロソフト社の延長サポートが終了する4月以降も、WindowsXPの利用を継続する意向であることが分かりました。

調査によりますと、現在もWindowsXPを利用していると回答したIT管理者が54%であり、そのうち4月の延長サポート以降も一定期間利用を継続すると答えた比率が48%でした。すなわち、全体の約25%の企業において4月以降もWindowsXPが継続して利用されることになります。

WindowsXPを継続利用する主な理由としては「時間の関係で移行しきれない」「動作しない業務アプリがある」「コストがかかる」「支障がない」などとなっています。

また、利用を継続する場合に取られるセキュリティ対策としては「ウイルス対策ソフト」「USBメモリなど外部媒体の利用禁止」などが一般的となっており、「脆弱性対策製品の導入」「インターネットに接続しない」などの対策は少数派に留まっています。

詳しくは下記のURLをご参照ください。
http://www.trendmicro.co.jp/jp/about-us/press-releases/articles/20140109021807.html

(私のコメント)
WindowsXPの利用継続は、本当に頭が痛い問題ですね。4月以降、どんな問題が起こるか分かりません。とにかく予算があるかぎり、さっさと新しいOSに移行することをオススメします。






2014-01-14_1415

毎年2月は「情報セキュリティ月間」として指定されており、政府と民間が協力しあって情報セキュリティに関するイベントなどを開催し、広く国民に対して情報を提供し、啓蒙しています。

キックオフ・シンポジウムの日程が決まったようですので、お知らせいたします。

情報セキュリティ月間・キックオフ・シンポジウム
〜身近に潜む危険と対策を通じて“知る・守る・続ける”〜
日時:2014年2月3日(月)13時〜16時半
場所:一橋講堂
(東京都千代田区一ツ橋 2-1-2 学術総合センター2階)
参加費:無料(先着500名)
主催:内閣官房情報セキュリティセンター

詳しくは下記のURLをご参照ください。(PDFファイルが開きます)
http://www.nisc.go.jp/security-site/files/symposium_140203.pdf



2013-12-25_1345

三菱東京UFJ銀行は、自社で運営するオンラインバンキングサービス「三菱東京UFJダイレクト」の利用者向けに、自社サービス専用のウイルス対策ソフト「Rapport」を無料配布すると、12月12日付で発表しました。

「Rapport」は、米国Trusteer社(IBMグループ)が開発したオンラインバンキング専用のウイルス対策ソフトで、同社と提携した金融機関のオンラインバンキングを利用している場合のみ作動するとのことで、既存のウイルス対策ソフトとは同居できるとのことです。

本ソフトは、すでにBank of America、ケミカルバンク、HSBCなど海外の巨大金融機関での採用されているようです。今回は、同銀行が費用を負担し、このソフトの「信頼されたウェブサイト」の中に同社のURLが登録されたことにより、利用者に対する無料での配布が始まったようです。WindowsとOS X(Mac)の両方に対応します。

http://direct.bk.mufg.jp/secure/rapport.html

(私のコメント)
このソフト、ビジネスモデルとして頭がいいなと思います。一番狙われやすい、実際に被害が起こっているオンラインバンキングのセキュリティ対策に焦点を絞り、かつコストは金融機関に出させるということです。すでに海外の著名な金融機関が数多く参加していますので、日本のメガバンクも追随することは確実ではないかと思われます。

2013-12-18_1727

総務省は、12月18日付で、頻発するパスワードリスト攻撃に対して、サーバー管理者としてどのような対策が取れるかの方法を取りまとめた文書「リスト型アカウントハッキングによる不正ログインへの対応方策について(サイト管理者などインターネットサービス提供事業者向け対策集)」を公表しました。

この文書は、総務省の「情報セキュリティアドバイザリーボード」のワーキンググループでの議論を踏まえて作成したもので、かなり実用的な対策が網羅されており、参考になります。

<攻撃を予防する対策>

ID・パスワードの使い回しに関する注意喚起の実施
パスワードの有効期間設定
パスワードの履歴の保存
二要素認証の導入
ID・パスワードの適切な保存
休眠アカウントの廃止
推測が容易なパスワードの利用拒否

<攻撃による被害の拡大を防ぐ対策>

アカウントロックアウト
特定のIPアドレスからの通信の遮断
普段とは異なるIPアドレスからの通信の遮断
ログイン履歴の表示

http://www.soumu.go.jp/menu_news/s-news/01ryutsu03_02000063.html

(私のコメント)
セキュリティ界の著名人が集まって知恵を出し合っただけあり、この資料はよく出来ています。しかし、これだけの対策を個別のサーバーで行うのも実際には難しそうです。今後は個別のサーバーでID・パスワードを管理して認証するのではなく、GoogleやFacebookなどの外部認証システムを利用することがもっと広まっていくのではないかと思います。





10月下旬から導入が始まった三井住友銀行SMBCダイレクトのパスワードカードが届きましたので、レポートします。

43

パスワードカードは普通郵便で送られてきます。書留などで送る必要はないということのようです。

35

これがパスワードカードです。ストラップがついてきます。

33

隣が以前の暗証カード(クレジットカードと同サイズ)です。見て分かるように一般的なカードよりもサイズは小さいです。

37

カードケースに入れたところです。写真では縦にしていますが、横にすると通常のカードの代わりに収まります。ただし、厚さが3ミリありますので、この方式でメガバンクが揃い踏みしたりするとカードケースがパンパンになってしまいそうです。

パスワードカードを利用するには、電話を使用した初期登録が必要です。SMBCダイレクトにログインすると、初期登録の画面が出てきますので、画面の指示にしたがって操作すると、予め登録してある電話番号に自動的に電話がかかってきますので、音声の指示にしたがってWeb上に表示された4桁の番号を入力すると初期登録完了です。

その後は、従来の「第2暗証」の代わりにこのパスワードカードを使用することになります。ログイン時にも使用するようにすることもできるようです。レポートは以上です。

(関連記事)
三井住友銀行が暗証カードを廃止し、ワンタイムパスワード方式に統一
http://www.pmarknews.info/archives/51911616.html

smbc_passwdcard
(画像は新しく無償配布されるパスワードカード)

三井住友銀行は、9月9日付で、オンラインバンキングサービスである「SMBCダイレクト」のセキュリティ水準の一層の向上のため、利用者にログイン時の認証に使用する「パスワードカード」(ワンタイムパスワード生成器)を10月21日から無償で配布し、従来使用してきた「暗証カード」(乱数表)は一定期間の後に廃止すると発表しました。

同行では、他の金融機関に先行してワンタイムパスワードによる認証方式を導入し、今年の1月から希望者には無償で配布してきましたが、今回はそれをさらに進めて、より薄く、利便性を高めた形式のワンタイムパスワード生成器を全利用者に配布しようということのようです。

同行のインターネットバンキングサービスの利用者は約1250万人とのことで、国内のネットワークセキュリティ全体にもかなり大きなインパクトを与えるものと思われます。

http://www.smbc.co.jp/kojin/direct/passca.html

(私のコメント)
サイズはキャッシュカードより小さいので良さそうですが、厚さが3mmとのことで、これが気になりますね。この方式が普及して、銀行ごとに厚さ3mmのパスワードカードを持つとなると財布が分厚くなりそうです。

2013年10月30日追記:
このパスワードカードの無償配布が始まっています。SMBCダイレクトにログインして、「セキュリティ設定」「インターネットバンキングのセキュリティ」「パスワードカードの利用登録 」の画面から申し込み可能です。一週間程度で自宅に郵送で送られてくるとのことです。

2013-09-10_0952
(画面はJavaのバージョンチェックサイト。クリックするとそこに移動します)

トレンドマイクロ社の調査によると、「Java6」に脆弱性が発生され、実際にそれを利用したウイルスが出回っているものの、開発元のOracle社は既にこのバージョンへのサポートを終了しているため特段の対処は取られていないとのことです。

トレンドマイクロ社によるとまだ50%以上のユーザーがこのバージョンを使用しているとのことですから、問題は小さくないと思われます。対処方法としては、Javaを最新版にバージョンアップすることです。または、使用していないのであれば、削除してしまうことです。

javaのバージョンチェックサイト
http://www.java.com/ja/download/installed.jsp
(うまく動作しない場合はそもそもJavaがインストールされていないということです)

関連記事
http://scan.netsecurity.ne.jp/article/2013/09/02/32371.html

(私のコメント)
ここでOracle社に文句を言うわけにもいかないのです。メーカーによるサポート終了とはこういうことなので、利用者としては、自分で対策するしか方策はないことになります。来年4月9日のWindows XPサポート終了の時には同様の問題がもっと大きな規模で起こることになると思われます。

(当Blog記事)Javaの脆弱性を突く攻撃が多発しています。
アンインストールか無効化をオススメします。
http://www.pmarknews.info/archives/51883749.html



2013-08-29_1438

警察庁は、8月22日付で「平成25年上半期のサイバー攻撃情勢について」と題した文書を公開しました。標的型メール攻撃の件数自体は減少してきているものの、その手法が変化してきており、新たに「やりとり型」というタイプの攻撃が増加しているとのことです。

(概要)
・標的型メール攻撃の件数自体は201件と、前年同期の552件から約6割減少したそうです。
・従来型の「ばらまき型」攻撃(業務に関係しそうなメールを一斉に関係者に送付する手法)は減少傾向。
・新たに「やりとり」攻撃が増加。これは、採用や製品に関する問い合わせなどを装ってメールのやりとりを行い、何回かのやりとりの後に添付ファイルとしてウイルスを送りつけて、担当者のパソコンを感染させるという手法。
・やりとりの内容は、採用に関する質問等が約5割、製品に関する不具合の問合せ等が約3割。
・送信元アドレスは、フリーメールが約6割
・送り付けられた添付ファイルのほとんどは圧縮ファイルであり、解凍すると、画像ファイルやWORDファイルに偽装したEXE形式のファイル・またはEXCELファイルが出てきて不正な動作を行う。

http://www.npa.go.jp/keibi/biki3/250822kouhou.pdf

(私のコメント)
採用応募などを騙ってメールが送られてきて、それらしいやりとりをされると、普通は信用してしまいますよね。そこを狙った攻撃とは、もはやこれはソーシャルエンジニアリングの一種になってきてますね。

sns

復興庁職員がツイッターで不適切な発言をしたとして問題になっていることを受けて、総務省は「国家公務員のソーシャルメディアの私的利用に当たっての留意点」という指針を取りまとめ、各府省庁を通して各職員への周知徹底を図ると、6月28日付で発表しました。

内容を一部要約して抜粋します。
●法令(国家公務員法、著作権法)を遵守すること。特に国家公務員法に規定する守秘義務、信用失墜行為の禁止や政治的行為の制限に違反しないこと。
●以下の内容を含む発信は、信用失墜行為に該当する場合がある。
 1)職務の公正性・中立性に疑義を生じさせる恐れがある内容
 2)他人や組織を誹謗中傷する内容や他人に不快感・嫌悪感を起こさせるような内容
 3)公序良俗に反する内容や他人の権利利益を侵害する恐れのある内容、差別的発言など社会規範に反する内容
●勤務時間中の発信は行わないこと。
●所属や氏名を明かして発言する場合には、組織としての見解ではないことを明記する。
●業務端末では発信しないこと。
●ソーシャルメディアの特性を踏まえて、発信内容を事前に改めて確認すること。
●自己または他人のプライバシーに関する情報を意に反して公開しないよう、設定を充分に確認すること。
●面識のない人からの友達申し込みには安易に受諾しないこと。
●アカウントが乗っ取られないよう、パスワードの管理を適切に行うこと。
●位置情報を他人に知られることの影響に留意し、必要に応じて機能を停止すること。
●端末におけるウイルス対策を怠らないこと。
●特定のアプリの利用や、いいね!などを押すことによる意図せぬ自動発信に注意すること。

http://www.soumu.go.jp/menu_news/s-news/01jinji02_02000084.html
http://www.soumu.go.jp/main_content/000235466.pdf

(私のコメント)
ソーシャルメディアの私的利用に関するガイドラインとしては、民間企業においても大変参考になる内容だと思います。一方的に利用禁止するわけではなく、バランスがよく取れていると思います。

画像1


情報セキュリティEXPO会場よりレポートします。

マクニカネットワークス社ブースでは、企業向けWiFi機器としてARUBA Networks社の製品を紹介しています。

これは、複数のアクセスポイントを社内に設置して、既存の認証システムと接続したり、集中管理したりできるという製品ですが、昨今のスマホやタブレットの普及により、ニーズが改めて高まっているそうです。

コンビニチェーン店頭での無料WiFiサービスも広がっていますが、そういうニーズにもぴったりなんだそうです。

一つ面白い機能がありました。このWiFiアクセスポイントをは、他のアクセスポイントを捜し出す機能があるそうなのですが、この機能を使用すると、会社が許可していない野良WiFiアクセスポイントを見付け出すことができるんだそうです。

ネットワーク管理者としては、嬉しい機能なのではないかとおもいます。オススメします。

画像1


http://www.macnica.net/aruba/




画像1


情報セキュリティEXPO会場よりレポートします。

スマホやタブレットを業務で使用させる場合に、特に頭が痛いのが紛失時の情報流出でしょう。BYOD(私物機器を業務で使用させる)の場合には、なおさらでしょう。

そこで、今回のEXPOではそういったことに対するソリューションが多く出品されていますが、中でもソリトンシステム社ブースで説明されていた「DME」をご紹介します。

これは、スマホやタブレット用の一つのアプリで、そのアプリの中にメールソフトやスケジューラ、ブラウザなどを含んでいるいわば仮想環境です。この仮想環境に限って、会社のメールサーバーや業務システムへのアクセスを許可するようにすることで、会社の情報は全てその仮想環境内に収められていることになり、私用の情報とは明確に分離できます。また、万が一の紛失などの際にも、アプリとそこに含まれる情報だけを削除すれば一切の情報流出を心配しなくてよいということになるわけです。

実際の画面を見せていただいて、詳しい話を聞かせていただきましたが、なかなかいけてると思いました。

価格的にも1端末月1000円程度だそうですので、オススメします。

画像1


http://www.soliton.co.jp/products/service/dme/


↑このページのトップヘ