プライバシーマーク・ISMSナビ

プライバシーザムライが、プライバシーマーク/個人情報保護、ISMS/情報セキュリティの最新情報をお届けします。

カテゴリ: その他

Java_logo

皆さんの利用しているパソコンの多くには、「Java」というソフトウェアがインストールされていると思います。これは、米国Oracle社が無償提供しているもので、Javaという言語で書かれたプログラムを実行するための環境です。(ちなみに、もう一つJavascriptという仕組みもありますが、別のものですので、混同しないようにしてください)

Javaは、効率的にシステムを開発できるということで、世界中で広く活用されてきています。Javaがインストールされたパソコンでは、Javaが自動的に起動しており、ブラウザから呼び出してプログラムを起動できます。多くのパソコンにインストールされている、ブラウザから利用できるという特性から、悪意を持った犯罪者にとって狙いやすい存在と見られているようで、脆弱性(セキュリティホール)を悪用されるケースが多くなっています。

実際の被害の例としては、ブラウザで特定のページを開いただけで、ウイルスに感染してしまうというものです。これをきっかけにパソコン全体を乗っ取られてしまうケースが多くなっているようです。

Oracle社では、これらの脆弱性を改良した最新版を出すことで対応していますが、いたちごっこが続いています。ここで、利用者側でできる対策をまとめてみます。下記のいずれかを実行してみて下さい。

(1)Javaをアンインストールする。

明らかに自分はJavaのお世話にはなっていないということが分かっている方は、アンインストールすることをオススメします。コントロールパネルの「プログラムと機能」または「プログラムの追加と削除」を開いて、Javaをアンインストールできます。もし、アンインストールしたことで、必要な機能が動かなくなった場合には、Javaを再インストールすれば大丈夫なはずです。Javaは無料です。

参考情報: http://java.com/ja/download/uninstall.jsp

(2)ブラウザでJavaを無効化し、必要な時だけ有効化するようにする。

Javaを使っている、または使っているかもしれない、よくわからないという方は、ブラウザから呼び出してプログラムを起動するという、犯罪者に最もよく狙われている機能を無効化し、必要な時だけ有効化することをオススメします。

まず、Javaが最新版でない方は、最新版へのバージョンアップを行なって下さい。ブラウザでのJavaの無効化ができるのは新しいバージョンからとなっていますし、そもそも古いバージョンのJavaのままにしていることは危険性を伴いますので、必ず最新版へのバージョンアップを行なって下さい。

最新版のJavaをインストールすると、「Javaコントロール・パネル」という設定画面から「ブラウザでJavaコンテンツを有効にする」のチェックボックスをオフにすることができます。(「Javaコントロールパネル」を表示する方法は、下記の参考情報のURLをご確認下さい)

enable_java

無効化していると、もしかすると今まで使えていたのに使えなくなる機能があるかもしれません。その時には、自分はJavaを使用しているのだということで、その機能を使用するときだけ、上記のチェックボックスをオンにして下さい。

参考情報: http://www.java.com/ja/download/help/disable_browser.xml

最新版のJavaのダウンロードURL: http://www.java.com/ja/download/manual.jsp

(私のコメント)
個人的には、Javaにはお世話になっていないようでしたので、今回を機会に全てアンインストールしました。

「これだけ!個人情報保護士完全対策」改訂3版

私(中 康二)が著者を担当させていただいている「これだけ!個人情報保護士完全対策」(あさ出版)ですが、2006年の初版発行以来のご好評をいただき、この度、改訂3版を出すことになりましたので、お知らせいたします。

個人情報保護士の試験は、毎年4回実施されており、毎回新しい問題が出題されています。今回の改訂においても、最近の過去問の傾向を元に、合格に必要と思われる情報をどんどん取り入れ、あまり出題されていない内容は取り除きました。

本書の前半は、短めの本文と、キーワード解説と、例題で構成されています。下記に第一章「個人情報保護法の歴史」のイメージを掲載いたします。

SCAN_NEW

SCAN_0001_NEW_0001

SCAN_0002_NEW


なお、後半では、過去問から典型的なものを精選して掲載しています。

私は「この本を読んで個人情報保護士に合格しましたよ!」という声をよくいただきます。

個人情報保護士の試験を受験される方には本書を強く推薦いたします!

http://www.amazon.co.jp/gp/product/4860635744/

20130115
(画像はカスペルスキー社公式サイトより引用)

ウイルス対策ソフトの開発会社であるカスペルスキー研究所(本社:ロシア連邦モスクワ)は、自社のWebサイト上で2012年の年次セキュリティ情報を発表しました。同内容によりますと、2012年末現在において、毎日20万件のウイルスが検出されているとのことです。

その他にも、
・70万台のウイルスに感染したOS X(Mac)マシンで構成されるボットネット「Flashfake」が発見され、OS Xは悪用されないとの認識がくつがえされた。
・モバイル向けマルウェアの 99%はAndroidをターゲットとしており、件数も前年比で6倍増加している。
・iOS向けでもアドレス帳のデータを収集し、スパムを送信する怪しげなアプリが発見された。
・最も狙われたアプリケーションの脆弱性はOracle Javaで全体の50%を占め、2 位がAdobe Readerで28%を占める。Adobe Flash Playerは自動アップデートシステムが功を奏した結果、2%にまで減少。
・マルウェアのホスト国ワースト 5:米国、ロシア、オランダ、ドイツ、英国。中国は当局の規制強化により、悪質なホストが急激に減少している。
・マルウェア感染率が低い国トップ 5:デンマーク、日本、フィンランド、スウェーデン、チェコ共和国
・Windows XP のシェアはまだ44%あり、古い脆弱性が狙われるケースも発生。
など、興味深い内容が多く含まれております。

興味が湧いた方はぜひ原文をご参照下さい。

http://www.kaspersky.co.jp/news?id=207585698


2013年11月19日追記:
本Blog記事を書いた後、iOSの仕様が変更になり、OSに設定したGoogleアカウントをサードパーティーアプリで使えるようになりました。その他にもGoogleアカウントに2要素認証を取り入れることへの環境整備が進んできたと思います。従って、今後、私はGmailの2要素認証を使用することを推奨いたします。(中康二)


20130109
昨年末より、Gmailのアカウントを乗っ取られて知らない間にお知り合いにSPAMメールが送られていたとの声がネット上で多く見られます。どうやらGmailに対する不正アクセスが頻発しているようです。

複数の情報をまとめてみますと、
(1)まず、Google社から「不正なログインをブロックしました」とのメールが届いたという話があります。これは不正アクセスの試みがあったものの、実際にはログインできなかったというわけですから、悪意を持った者に狙われたものの、事実上被害はないということになります。(上記の画像がそのGoogleからのメールです)
(2)次の段階として、知らない間にお知り合い全員にメールが送信されていて、その中身は不正なWebサイトにリンクするURLだけだったというものがあります。これは悪意の第三者にログインされたわけですから、実際に乗っ取られたということになります。
(3)次に、異常を察知したGoogle社に、自分のアカウントをロックされてしまい、予め登録してあった別のメールアドレスや携帯電話などを使った認証プロセスを使用してパスワードを新しいものに変更してロックを解除したという話があります。

当然ながら、これらは(1)(2)(3)の順番に起こるものですので、(1)の数が最も多く、(2)、(3)の順番に発生頻度は少なくなっているようです。

この件が持ち上がってすでに2週間以上経過していますが、原因ははっきりとは分かっていません。そもそも、このような不正なアタックはいつも起こっているのですが、ここ数週間はその発生頻度が高くなっており、かつ何らかの理由により成功の確率が高くなっており、被害者が多くなっているのではないかと思います。

成功の確率が高くなっている原因としては推測するしかないのですが、過去に他のサービスで大量流出したメールアドレスとパスワードの組み合わせが、悪意をもった第三者の手に渡り、Gmailのアカウントに集中的な不正アクセスをしていることが考えられます。(例えばこのような事件です)

そして、多くのWeb媒体ではこれに対する対応として「Gmailの2要素認証を使用するように」と呼びかけています。しかし、この2要素認証ははっきりいって結構めんどくさいです。

Gmailをパソコンのブラウザだけで使用している場合ならいいのかも知れませんが、
・複数のブラウザを使用している場合には、その一つ一つで認証作業が必要です。
・メールソフトを使用している場合には、その一つ一つで認証作業が必要です。
・スマホでも認証作業が必要です。ブラウザとアプリで認証作業が必要です。
・カレンダーアプリでも認証作業が必要です。

私も過去に使用していたことがありますが、しばらくして面倒になってしまい、現在は使用していません。おそらく、普通の感覚をお持ちの皆様は、2要素認証は実際には使われないことと思います(私はこういうことに関しては面倒くさいことも喜んでやる方です。それでもやめてしまったくらい面倒なのです)。

セキュリティのことですから、楽観的に考えることは難しいかも知れません。2要素認証をしていなくて、不正アクセスされても、私は何の保障をすることもできません。ただし、Gmailが世界中でこれだけ活用されてきて、今までは大きな問題がなかったわけですから、今回の不正アクセスの多発ぐらいで、急に全員が2要素認証に移行することもないと思います。

私はその代わりに、パスワードを新しいものに変更することをオススメします。今回の原因が過去に流出したパスワードを利用してアタックしているのだとすれば、この対策で充分です。

その際には、他のサービスと同じパスワードを使用しないようにして下さい。Gmail専用のパスワードにして下さい。とりあえず、今のところはこれで充分だと思います。ご参考まで。

pr1214_obj_02
(出典:トレンドマイクロ社調査)

トレンドマイクロ株式会社(東京都渋谷区)が12月14日に発表した「Webサイトのパスワード利用実態調査」の結果によりますと、Webサイトを利用する際のパスワードについて約7割の人が「3種類以下のパスワードを使い回し」していることが分かりました。

パスワードの使い回しは大変危険な行為です。

たとえば、複数のオンラインショッピングサイトで同じパスワードを使用している場合、一つのオンラインショッピングサイトの社員が悪意を持ってあなたのパスワードを使用すると、他のオンラインショッピングサイトであなたになりすまして買い物が出来ます。

たとえば、一つのオンラインショッピングサイトでパスワードの流出事件が発生すると、その情報を使用して他のオンラインショッピングサイトであなたになりすまして買い物が出来ます。

このように、パスワードの使い回しは、相手の良心にゆだねているだけと言えるのです。
これをお読みの皆様、今すぐにパスワードの使い回しはやめていただきたいと思います。

http://jp.trendmicro.com/jp/about/news/pr/article/20121213002352.html

ちなみに「じゃあどうすればいいのか」とお嘆きの方は、下記の記事をお読みください。

http://jbpress.ismedia.jp/articles/-/34537(JB PRESSの記事)


20121203_Tpoint
(出典:カルチュア・コンビニエンス・クラブ株式会社の届出用紙

カルチュア・コンビニエンス・クラブ株式会社(東京都渋谷区)が発行し、運営している「Tポイント・カード」が、個人情報保護法に基づく開示請求に応えないということで、ネット上で話題になり、本Blogでも取り上げました。

本件に関しては、同社がプライバシーマーク認定事業者であったことから、JIPDECのプライバシーマーク事務局から問い合わせが行われていましたが、同社からは「業務に著しい支障があるので基本データ以外は開示請求に応えない」との回答があり、JIPDECとの間でやり取りが続いていました。

その結果、同社では10月15日から、Tポイントプログラミング加盟店における「商品名を含む利用履歴」の開示請求に応えることにしたとのことです。同社のWebサイト上にはその旨記載された届出用紙がアップされていますし、私がサポートセンターにお電話して確認しましたところ、間違いないとの返答を得ました。

カルチュア・コンビニエンス・クラブ株式会社Webサイト
T会員の皆様>各種届出書について
http://www.ccc.co.jp/member/download/
届出書による個人情報の開示等の求めに関する手続きに関して
http://www.ccc.co.jp/fileupload/pdf/member/20121203_tsuti_kaiji.pdf

(以前の記事)
Tポイントカードは保有個人データの開示請求に応えないらしい
http://www.pmarknews.info/archives/51850091.html

(私のコメント)
利用履歴の開示請求の手数料が3000円で高いとか、いろいろご意見はあるかも知れませんが、まずは一つ正常化されたと言ってよいのではないかと思います。プライバシーマーク認定事業者として、一応はあるべき姿になったと思います。これまで本件に関わった皆様の努力を高く讃えたいと思います。

jp_security-01
情報セキュリティの専門会社であるマカフィー株式会社は、11月26日付で、同社が開設しているBlogにおいて「ウイルス感染から身を守るための『セキュリティ対策五箇条』」と題した文書を発表しました。

パソコン、インターネット、モバイル、ブロードバンド、クラウドと社会全体の情報化が進む中、情報セキュリティの重要性は強調しても強調しすぎることはありません。今回のマカフィーの五箇条は本当に全員に知っておいてほしいことがまとめられているので、ここでもご紹介したいと思います。


  • 一.OSやソフトウェアは常に最新パッチを適用すべし!
    (Windowsアップデートや主要ソフトのアップデートを定期的に行うこと)

  • 一.ウイルス対策ソフトを導入しただけで安心するべからず!
    (定義ファイルの自動更新、リアルタイムスキャン、ファイアウォールを使用すること)

  • 一.身に覚えのないメールは開くべからず!
    (ウイルスに感染する危険性があります)

  • 一.怪しいWEBサイトは閲覧するべからず!
    (ウイルス感染や、情報詐取の危険性があります)

  • 一.拾い食いはするべからず!
    (USBメモリを拾っても、自分のパソコンには刺さないように)



是非、ご一読下さい。

http://www.mcafee.com/japan/security/mcafee_labs/blog/content.asp?id=1343

20121113

総務省は、11月2日付で、「一般利用者が安心して無線LANを利用するために」と題した文書を発表しました。

これは、無線LAN(WiFi)の利用が広く普及する中でのセキュリティ上の問題について、一般のユーザーにも知っておいて欲しいことをわかりやすくまとめた文書です。

この文書の中で、「3つの約束」という大原則が示されています。

(1)無線LANを利用するときには、大事な情報はSSLでやり取り
(2)無線LANを公共の場で利用するときは、ファイル共有機能を解除
(3)自分でアクセスポイントを設置する場合には、適切な暗号化方式を設定

是非、ご一読下さい。

http://www.soumu.go.jp/main_content/000183224.pdf

(私のコメント)
大変、時宜を得た文書だと思います。
皆さんにも参考にしていただけると思います。

画像1


情報セキュリティEXPOのアールキューブ社ブースでは、パソコンを無償で回収してくれる「パソコン回収.com」を宣伝しています。

これは、パソコンや液晶ディスプレイなどの製品を無償で引き取ってくれるサービスだそうです。法人でも個人でもOKで、一台から対応してくれるとのこと。

気になるデータ消去に関しては、事前に無償でデータ消去ソフトがダウンロードできるので、自分で消去することができるそうです。

「クラウド型データ消去0円」のキャッチフレーズに惹かれてしまいましたが、よく聞くと上記のようなサービスだとのことです。

パソコンの処分に頭がいたい方は相談してみてはいかがでしょうか?

http://www.pc-kaishu.com

画像1


情報セキュリティEXPOのマクニカネットワークス株式会社のブースでは、標的型攻撃対策ソリューション「FireEye」を展示しています。

近年、国内の著名企業や官公庁に対する標的型攻撃が相次いで発生していますが、「これで安心」と言えるような完全な対策はなく、セキュリティ業界でも閉塞感が漂う中で、この製品は「標的型攻撃対策ソリューション」として打ち出されている珍しい製品です。

この製品の特徴は、専用機器の内部に32個の仮想クライアント(各バージョンのWindows・各種のブラウザの各バージョンなどを一通り揃えられるそうです)を備え、怪しいと思われる通信内容があった場合には実際にその仮想クライアントの中で動作させてみて異常がないかどうか自動的に確認できるそうです。

そして、異常が検知された場合には、管理者に警告が出るのは当然のこととして、全世界のFireEyeで見つかった脅威の情報が一箇所に集められ、それが全世界のFireEyeで共有されるようになっているそうです。

この製品は一声1000万円を超えるような高額の商品ですが、国内でも超大手企業や、官公庁を中心に、導入が進んでいるそうです。

もちろん、標的型攻撃は常に新たな方式が取り入れられ、進化していくのが特徴ですから、このシステムを入れれば安心とは言えません。それでも、藁をもすがるような思いで著名企業や官公庁での導入が進んでいるのではないかと思います。

http://www.macnica.net/fireeye/

画像1


情報セキュリティEXPOのゾーホージャパン株式会社のブースでは、サーバー監視ツール「OpManager」を展示・説明しています。

この会社は、インドに本拠地を持つZOHOの日本法人とのことですが、システム管理者に役立つサービスを中心にラインナップを揃えているようです。

サーバー監視ツール「OpManager」は、複数のサーバー、ネットワーク機器の運用状況を遠隔監視できるもので、全世界6万社での実績があるそうです。

年間ライセンスが17万円からとのことで、初期費用を押さえて導入できるそうですので、システム管理者をおいているような会社では、活用できると思います。

また、なんと10台までの利用の場合には無料版(サポート無し)も用意されているそうです。是非ご活用下さい。

http://www.manageengine.jp/products/OpManager/

画像1


情報セキュリティEXPOの株式会社トランスウエアのブースでは、GoogleAppsと組合せて使えるメール誤送信対策ソリューション「Active! gate SS」を展示しています。

このシステムは、
1)送信メールの一時保留
2)添付ファイルの自動暗号化
3)添付ファイルを自動的に分離してのWebダウンロード化
4)メール一斉送信する際のBCC強制変換
5)一定の条件での送信拒否
6)社内、社外の順での自動時間差配信
7)一定の条件での上司承認制
など、メールの誤送信を防ぐための仕組みが一通り揃っています。

同社では3万アカウント契約達成記念として、通常は初期費用5万円、1アカウントあたり月額300円のところ、初期費用無料、1アカウントあたり月額200円(ずっと)にするキャンペーンを実施しているそうです。

似たようなサービスが他にもありますが、これはなかなかよいのではないかと思いました。

http://activegate-ss.jp/


↑このページのトップヘ