is702 2021-05-14T00:00:00+09:00 インターネット・セキュリティ・ナレッジ ランサムウェア「DARKSIDE」によるサイバー攻撃、米国のインフラ事業者が一時操業停止 トレンドマイクロは5月13日、公式ブログで「ランサムウェア『DARKSIDE』および米国のパイプラインへの攻撃に関する解説」と題する記事を公開しました。アメリカで発生した、燃料供給網を狙ったサイバー攻撃について解説しています。 2021-05-14T00:00:00+09:00
2021年5月7日、ランサムウェア「DARKSIDE」の攻撃により、米国東海岸における燃料供給の約半分を担うColonial Pipeline社が操業停止に追い込まれました。ガソリン、ディーゼル、家庭用暖房油、ジェット燃料、軍需品などの貯蔵庫、そして流通網が大きな影響を受け、いまだ混乱が続いており、アメリカ政府が買いだめなどしないよう呼びかける事態に陥っています。

「DARKSIDE」は、2020年8月に初めて発見された比較的新しいランサムウェア(身代金要求型ウイルス)ですが、この攻撃はサイバー犯罪集団「Darkside」によるものでした(ランサムウェア名を「DARKSIDE」、攻撃者名を「Darkside」と表記)。米ブルームバーグの報道によると、このサイバー犯罪集団は、標的企業の端末をロックした他、100GB以上の機密情報を窃取したとされています。さらに「Darkside」は、身代金要求や情報暴露に加え、DDoS攻撃などによっても脅迫を行う「四重脅迫」(Quadruple Extortion Services)と呼ばれる手口も展開しています。

・第1段階(従来のランサムウェア攻撃):ファイルを暗号化した後、脅迫状を示して暗号資産での身代金支払いを要求。
・第2段階(二重脅迫):第1段階に加え、情報流出で窃取した機密情報を暴露すると脅す。ランサムウェア「Maze」が初めてこの手法を実行し、他の攻撃者も追随。
・第3段階(三重脅迫):第1段階・第2段階に加え、DDoS攻撃(意図的にアクセスを集中させてサービスを停止させる)による脅迫を実行。ランサムウェア「Avaddon」が初めてこの手法を実行。
・第4段階(四重脅迫):第1~3段階に加え、被害者となる顧客へメール送信やコールセンターなどからの連絡により脅迫。


今回の攻撃に至るまでの「Darkside」の活動は、以下のような時系列となっています。

2020年8月:ランサムウェアを利用した攻撃を開始
2020年10月:被害者から盗んだ2万米ドルを慈善団体に寄付
2020年11月:RaaS(Ransomware-as-a-service:サービスとしてのランサムウェア)のビジネスモデルを展開、他の犯罪者にサービスの利用を呼びかける。その後、Darksideのリークサイトが発見される。
2020年11月:窃取情報を保存・配信するためのコンテンツデリバリーネットワーク(CDN)を開始
2020年12月:メディアやデータ復旧団体に対して情報暴露サイト上のプレスセンターをフォローするように促す
2021年3月:いくつかのアップデートが施されたDARKSIDE v2をリリース
2021年5月:Colonial Pipeline社を攻撃。攻撃後、Darksideは非政治的活動であることを表明、今後は標的の選定を注意することにも言及し、今回のような政治的注目を集めない形で攻撃を行うことを示唆。

初期段階の侵入のために「DARKSIDE」は、フィッシング、リモートデスクトッププロトコル(RDP)、既知の脆弱性の利用など、さまざまな手法を使います。また攻撃には、マルウェアだけでなく、検知回避や難読化のために管理者が使用するような一般的なツールも使用されていました。

最新の「多重脅迫」手法によるランサムウェア攻撃では、標的に対して初期侵入をしても、すぐにランサムウェアが実行されるわけではありません。多くの場合、ランサムウェアが実行されるまでの間、内部活動および権限の昇格、情報送出といった活動を行ってデータを盗み出し、そのうえで暗号化を行います。
ランサムウェアは、以前から確認されている脅威ですが、いまなお進化を続けています。今回の事例からも分かるとおり、最新のランサムウェアは、ターゲットの拡大、新たな脅迫手法の導入、感染対象を超えた広範な被害など、さまざまな面で変化しています。そして、窃取された企業資産はアンダーグラウンド市場で利益を生む商品であり、サイバー犯罪者は企業のサーバを攻撃してお金を稼ぐ方法に精通しています。
また、標的企業の資産状況も調査した上で攻撃を仕掛けており、今回も暗号資産で約500万ドル(日本円で約5億5千万円)相当の身代金支払いに企業側が応じたことが報道されています。

■対策
企業や組織は、このようなサイバー攻撃によって事業停止や犯罪者の資金源となってしまわないよう継続的な対策が欠かせません。不正な振る舞いを検知するセキュリティ製品を導入し、脆弱性を放置しないよう管理体制を整えると共に、テレワークなどによって外部から社内ネットワークへの通信を許可している場合は、安全対策を強化してください。また、社内ネットワークからの情報送出を監視し、重要情報のバックアップ、リストアをいつでも運用可能な状態にしておきましょう。
そして、技術的な対策だけではなく、人の脆弱性も対策には欠かせません。従業員教育を定期的に行い、攻撃の踏み台にされないようにしましょう。



図:トレンドマイクロのクラウド型セキュリティ技術基盤「Trend Micro Smart Protection Network」(SPN)による「DARKSIDE」検出数推移

図:トレンドマイクロのクラウド型セキュリティ技術基盤「Trend Micro Smart Protection Network」(SPN)による「DARKSIDE」検出数推移


]]>
https://is702.jp/main/images/news/img_news52.jpg
ショッピングサイト構築システム「EC-CUBE」利用事業者は至急対応を、既に悪用が確認されている脆弱性発覚 独立行政法人情報処理推進機構(IPA)およびJPCERTコーディネーションセンター(JPCERT/CC)は5月10日、イーシーキューブが提供するオープンソースのショッピングサイト構築システム「EC-CUBE」に、深刻な脆弱性が存在するとして注意を呼びかけました。開発元のイーシーキューブも、緊急対応のためのパッチを公開しています。 2021-05-12T00:00:00+09:00
EC-CUBEのバージョン4.0.0から4.0.5までには、「クロスサイトスクリプティング(XSS)の脆弱性」(CVE-2021-20717)が存在し、「EC-CUBE」の管理画面において、任意のスクリプトを実行させることができます。この脆弱性が悪用された場合には、ECサイトへの不正アクセスや個人情報の窃取などが行われる可能性があります。

関連リンク:
クロスサイトスクリプティング(XSS)とは?|トレンドマイクロ

イーシーキューブによれば、すでに本脆弱性を悪用した攻撃が複数発生しており、クレジットカード情報が流出した事例も確認されています。利用中の事業者は早急なパッチの適用やバージョンアップを行ってください。
ただし、不審なデータを管理画面から参照すると攻撃が成立する可能性があるとし、不審なデータを捜索する場合は、管理画面から確認せず、データベースや受注メールから調査するよう、イーシーキューブは推奨しています。具体的な方法はイーシーキューブが公開している対応策を参照してください。
なお、クラウド版の「ec-cube.co」はパッチ適用済みとのことです。

2019年にもEC-CUBEの脆弱性悪用によって正規サイトが不正に改ざんされ、複数のECサイトからクレジットカード情報が多数漏えいしました。本件に限らずECサイトの管理者はシステムの脆弱性を放置しないよう適切な管理体制を整えるとともに、脆弱性を悪用した攻撃をブロックするセキュリティ製品を活用し、不正な改ざんが行われないよう対策を行ってください。

また一般利用者は、日頃からクレジットカードの利用履歴確認を習慣化するとともに、不正なスクリプトを含む不正サイトにアクセスしてしまわないよう、セキュリティ製品をインストールし、最新の状態に保って利用しましょう。
]]>
https://is702.jp/main/images/news/img_news14.jpg
SMSを悪用したフィッシング「スミッシング」、巧妙化を続ける偽サイトや手法に注意 SMSを悪用してフィッシングサイトに誘導する「スミッシング」による脅威が年々深刻化する中、トレンドマイクロと一般財団法人日本サイバー犯罪対策センター(JC3)は4月27日、国内の金融機関利用者を狙ったフィッシング詐欺に関する共同調査の結果を公表しました。 2021-05-12T00:00:00+09:00
この調査は、JC3による共同調査の取り纏め、各組織との連絡・調整の下、参画した金融機関・EC事業者・セキュリティ事業者11社が協力し、フィッシングサイトのサンプル収集・提供、調査対象のフィッシングサイトの技術的調査、犯罪グループの分析が実施されました。トレンドマイクロの「サイバーセキュリティ・イノベーション研究所 スレット・インテリジェンス・センター」は、2020年1年間において日本国内向けのフィッシング詐欺に使用されたフィッシングサイト11,120件(期間中に収集したWebサイト総数:93,795件)に対し、調査対象のフィッシングサイトの技術的調査、犯罪グループの分析、フィッシングサイト自動解析システムの開発・情報提供を行いました。

調査の結果、国内の金融機関を騙った「Bank Phishing Group」(BPグループ)として10以上に分類・解析し、金融機関を騙るSMSを使用してフィッシングサイトへ誘導する「BP1」や、Androidマルウェア「XLOADER」(別名:Moqhao)との関連が高いフィッシングサイトを設置していた「BP6」で、特に大規模な活動を確認。この2グループだけで不正ドメインの6割近くを占めていたことが判明しました。このBP1とBP6は、BP6が配布しているAndroidマルウェアを用いてBP1のフィッシングサイトに誘導する事例を確認していることから、BP1とBP6が協力関係にある、もしくは同一組織であると考えられています。


図:PB1により送信された偽装SMS例(JC3の発表資料より)

図:PB1により送信された偽装SMS例(JC3の発表資料より)




図:BP6により送信された偽装SMS例(JC3発表資料より)

図:BP6により送信された偽装SMS例(JC3発表資料より)


さらにBP1では、国内金融機関に偽装したフィッシング詐欺以外にも、大手eコマースサイトを騙る手口でこのグループと同じ特徴を持ったフィッシングサイトや、そのフィッシングサイトと同じドメインを使用したクレジットカード会社を騙った手口も確認されています。つまり、金融機関やeコマースサイト、クレジットカード会社などに偽装した多様な複数のフィッシング詐欺が、巨大な一つの組織のよるサイバー犯罪である可能性があると考えられています。


図:BP1とBP6の関係性および、 BP1と関係がある可能性があるフィッシング詐欺グループを可視化した図

図:BP1とBP6の関係性および、 BP1と関係がある可能性があるフィッシング詐欺グループを可視化した図


これらのスミッシングに利用されたフィッシングサイトは見た目上のデザインのみでなく、Webページの構造情報や画面遷移、さらにはアドレスバーに鍵マークが表示される「HTTPS化(通信の暗号化)」も行っており、利用者が騙されてフィッシングサイトに誘導されてしまった場合、外見上の情報からでは真偽を判断することは困難です。今回の調査では、BPグループが設置したとみられるフィッシングサイトのうち、利用者が最終的に誘導されるWebページの77.6%が「HTTPS化」されていることも確認されています。このことからも、鍵マークの表示有無は真偽の判断材料にならないことが分かります。

■対策

スミッシングに限らず、昨今のフィッシングサイトは見た目での真偽の判断が難しいことを認識し、ネット利用者であれば誰もがその脅威にさらされていることを常に意識することが大切です。

・どのような手口があるかを知っておくことが脅威の回避につながります。警察機関やセキュリティ関連団体、企業による注意喚起を参考にしましょう。公式SNSなどをフォローしておくと情報が入手しやすくなります。

・サイトの見た目や鍵マークの有無(HTTPS)で正規サイトか否かを判断せず、利用するサービスは必ずブックマーク済みの公式サイト、または公式アプリからログインしてください。

・SMSやメールなどで通知されたURLリンクは安易に開かず、真偽を確認する習慣を身に着けてください。フィッシングサイトでの入力完了後に正規サイトにリダイレクト(転送)させる手口も常とう手段です。必ず情報を入力する前によく確認してください。

・不正サイトや不正アプリによる脅威のリスクを下げるには、セキュリティソフトやアプリをPC・スマホ・タブレットにインストールし、最新の状態に保って利用してください。


■万一被害に遭ってしまった場合

速やかに警察機関や金融機関、クレジットカード会社に連絡し、被害を最小限に留めてください。認証情報を入力してしまった場合は、パスワードの変更を行いましょう。また、不正アプリをインストールしてしまった場合は、機内モード(通信できない状態)に変更し、不正アプリをアンインストールしてください。

関連記事
・【注意喚起】「プライム会費のお支払い方法に問題があります」Amazonからの通知を装う偽のSMSに注意
・【注意喚起】楽天市場からの通知を装う偽のSMSに注意
・配送業者をかたる偽の不在通知メッセージに要注意


トレンドマイクロおよびJC3からは、この調査結果をもとにしたブログ記事や注意喚起も別途公開されています。
]]>
https://is702.jp/main/images/news/S210512_01.png
【注意喚起】福祉基金と称するLINEスパム、大手飲料事業者になりすます偽調査に注意 大手飲料事業者になりすました偽の調査依頼メッセージがLINE上で拡散しています。騙されて回答したり、LINEでURLリンクを拡散したりしないよう注意してください。 2021-05-07T00:00:00+09:00
「コカ・コーラ福祉基金」と称し、高額な謝礼を提示した偽の調査依頼メッセージが5月5日前後からSNS上で複数投稿されており、トレンドマイクロでも本メッセージによって不正サイトに誘導されたと考えられる利用者を5月5日から6日の間で1,141名確認しています。


図:偽の調査依頼メッセージ例

図:偽の調査依頼メッセージ例


同様のネット詐欺は、昨年から複数のブランドに偽装した手口を確認しています。今回も調査時点では、偽のキャンペーンからアンケートに誘導し、偽の当選通知から同メッセージをLINE上で拡散させるよう促した上で、最終的に国際電話を掛けさせようとしていました。これは、被害者への通話料請求によって金銭を奪おうとしているものと推測されます。安易に国際電話を掛けてしまった場合、高額な請求をされる危険性があるので注意してください。

関連記事
・【注意喚起】LINEに届くアディダスを装う偽のプレゼントキャンペーンに注意
・【注意喚起】偽のクリスマスプレゼントキャンペーン、LINEなどでのメッセージ拡散に注意
・【注意喚起】LINEなどで拡散中の偽プレゼントキャンペーン、今度は新年を祝う内容に変化
・【注意喚起】LINEを装う偽のお客様アンケートに注意



図:偽の調査画面と当選画面

図:偽の調査画面と当選画面




図:LINEでの共有を促し、ゲージが溜まるとさらに誘導を進める

図:LINEでの共有を促し、ゲージが溜まるとさらに誘導を進める




図:国民生活センターを名乗った偽のスマホ当選画面に続き、海外への通話発信を促す

図:国民生活センターを名乗った偽のスマホ当選画面に続き、海外への通話発信を促す


■対策

このようなネット詐欺は、様々なブランドを装って魅力的な条件を提示し、ネット利用者を陥れます。今後も同様の手口が続くと考えられるため、利用者は引続き注意するとともに、偽のメッセージ拡散に加担してしまわないようにしてください。

本件に関わらず、ネット詐欺の偽装に悪用されてしまった事業者は、公式ホームページや公式SNSなどでこのような手口が横行していることを利用者に対して通知し、被害拡大防止につなげてください。

また、利用者はメールやSNS、SMS、ネット広告などから誘導されるキャンペーンや案内の中には、偽の情報が紛れ込んでいる可能性があることを認識し、安易にURLリンクをクリックしないようにしましょう。真偽を確かめる習慣を身に着けるとともに、セキュリティ製品を利用して不正サイトにアクセスしてしまうリスクを下げておくことも有効な対策の一つです。
]]>
https://is702.jp/main/images/news/S210507_1.jpg
「サイバーセキュリティ体制構築・人材確保の手引き」最新版公開|経産省 経済産業省は4月26日、「サイバーセキュリティ体制構築・人材確保の手引き」の最新版「第1.1版」を公開しました。 2021-04-28T00:00:00+09:00
経済産業省では、独立行政法人情報処理推進機構(IPA)とともに、経営者のリーダーシップのもとサイバーセキュリティ対策を推進するための「サイバーセキュリティ経営ガイドライン」を策定しています。さらに企業の経営層に加え、人事担当者・実務者が、体制構築・人材確保において考慮すべき要点をまとめた「サイバーセキュリティ体制構築・人材確保の手引き」(第1版)を、2020年9月に公開しています。

この手引きは、「サイバーセキュリティ経営ガイドライン」における“担当幹部(CISO等)に指示すべき「重要10項目」”のうち、指示2「サイバーセキュリティリスク管理体制の構築」と、指示3「サイバーセキュリティ対策のための資源(予算、人材等)確保」について検討の助けになることを目的とした内容となっており、重要事項を箇条書きで示した「ポイント」、有用と思われる内容を囲み記事の形で紹介する「コラム」などが用意されています。

「第1.1版」では、第1版に対して内容の拡充や見直しを行い、サイバーセキュリティ対策に従事する人材の確保方法、ユーザ企業で必要となるスキルの習得に活用可能な資格制度、ユーザ企業でサイバーセキュリティ対策に従事する人材育成のイメージなどが追加されました。

「サイバーセキュリティ体制構築・人材確保の手引き」(PDFファイル)は、経済産業省の公式サイトから無償でダウンロード・閲覧可能です。

サイバーセキュリティの体制構築には、経営層をはじめとし、全従業員の協力が欠かせません。特にインターネットを活用したビジネスモデルの拡大が進む昨今においては、その事業を推進する事業部門がサイバーセキュリティを意識することが重要です。ガイドラインや手引きを自組織の体制構築に役立ててください。]]>
https://is702.jp/main/images/news/img_news48.jpg
【ステイホーム】連休中の安心、安全なネット利用に役立つまとめ情報 昨年のゴールデンウィーク期間以上に感染拡大防止が強く求められている中、オンラインサービスの利用が増加しています。一方で、そのような利用者を狙うネット詐欺やサイバー攻撃も昨年から急増しています。安心、安全にネットを利用するための方法を改めて確認し、トラブルや被害に遭わないよう対策を実践しましょう。 2021-04-28T00:00:00+09:00
関連記事:ゴールデンウィーク前に対策と相談の多い事例をチェック|IPA

もくじ
■ステイホームに欠かせないオンラインサービス
■ステイホームのためのネットセキュリティ対策
■テレワーク時の対策


■ステイホームに欠かせないオンラインサービス

休業要請や時短営業、テレワークなど、感染拡大防止を促進させるためのさまざまな施策がとられています。これらの実現に欠かせないのがインターネットです。
オンラインでの授業や習い事、帰省、飲み会ではZoonやTeamsなどのオンライン会議ツールや、SNSのビデオ通話機能、Apple製品間で利用できるFaceTimeなどが利用されています。
他にも、遠隔診療(オンライン診療)、オンラインショップ、宅配代行サービス、ネットスーパーといった、外出を自粛するために欠かせないオンラインサービス。動画・音楽・書籍配信サービスやオンラインゲームも気分転換や学習、娯楽などに欠かせません。また、SNSやオンラインゲーム、マッチングアプリ上でもコミュニケーションが行われ、直接会うことができない状況を補ってくれています。
さらに、テレワーク(在宅勤務、リモートワーク、WFH)で働く人にとって欠かせないのが、インターネット環境とクラウドメールサービスなどの業務用クラウドサービスです。
このようにインターネットは、広く活用されています。

一方で、このようなオンラインサービス利用者を狙うフィッシング詐欺や、偽サイト、偽のメッセージ、不正広告、悪意のあるデマ情報の拡散、公式サイトを改ざんした情報窃取、サービス事業者への攻撃による情報漏えい、利用者のクラウドサービス設定ミスによる情報流出などのサイバーインシデント(情報セキュリティにかかわる事故や攻撃など)は日々発生しています。このようなリスクや被害を回避するためには、基本的な対策を怠らないことが重要です。

■ステイホームのためのネットセキュリティ対策

1.ホームネットワークの出入口であるホームルータのセキュリティ対策を見直す
2.OSやソフト、アプリは公式サイトからインストールし、最新の状態に保つ
3.アカウントを登録する際は、公式サイトかよく確認し、サービス毎に異なる、なるべく複雑で長いパスワードを設定する
 (可能な場合は多要素認証なども併用する)
4.セキュリティソフトやアプリをインストールして最新の状態に保つ
5.大切なデータのバックアップは定期的にとる
6.時にはデジタルデトックスしてみる


上記の基本対策を実践してみましょう。それぞれの対策を以下で解説します。

1.ホームネットワークの出入口であるルータのセキュリティ対策を見直す


Wi-Fiを家庭内でも利用している場合、ホームルータはホームネットワーク(家庭内のネットワーク)にとって非常に大切な存在です。ホームルータのセキュリティ対策に不備があると、そこに繋がっている全ての機器(デバイス)がさまざまなサイバーリスクにさらされてしまいます。
最低限、「設定管理画面のパスワードを、初期設定から第三者に推測されにくいものに変更」してからWi-Fiの利用を開始しましょう。さまざまなオンラインサービスを利用する上で、個人情報や決済情報などをやり取りする通信の安全性を確保することは欠かせません。

詳しい対策はこちらの記事を参照してください。
・Wi-Fiルータのセキュリティを強化するための7つのポイント


2.OSやソフト、アプリは公式サイトからインストールし、最新の状態に保つ


正規のソフトやアプリに偽装し、マルウェア(ウイルスなど不正ソフトの総称)をインストールさせようとする手口は常とう手段です。ソフトやアプリをインストールする際は、送られてきたメッセージ内や広告のリンクなどから利用することは避け、必ず公式のWebサイトもしくは公式アプリストアを利用しましょう。また、公式アプリストアであっても、不正アプリが紛れ込んでいる可能性があります。インストールする前に、提供元や詳細情報の確認を怠らないようにしましょう。
そして、どのようなソフトウェアにも脆弱性(セキュリティ上の欠陥)はつきものです。OSやソフト、アプリの脆弱性を修正するため、最新バージョンの利用を心がけてください。急激に利用者が増加したオンライン会議ツールも、これまでに複数の偽サイトや脆弱性が見つかっています。はじめて利用する際には、必ず公式サイトから最新版をインストールしましょう。

詳しい対策はこちらの記事を参照してください。
・ネット動画の視聴、投稿、ビデオ通話時に注意すべきこと


3.アカウントを登録する際は、公式サイトかよく確認し、サービス毎に異なる、なるべく複雑で長いパスワードを設定する(可能な場合は多要素認証なども併用する)


ステイホームにともない、新たにオンラインサービスの会員登録を行う機会が増えた方もいるでしょう。仕事や学習、宅配、コミュニケーション、娯楽など、多くの人にとって、ステイホームを充実させるためのオンラインサービスは欠かせない存在となっています。
一方で、大手オンラインサービスに偽装したサイトを用いるサイバー犯罪が後を絶ちません。偽サイトに誤って情報を登録してしまうと、入力した個人情報やクレジットカード情報などを悪用されたり、登録時に設定したIDとパスワードの組み合わせを他のオンラインサービスの不正ログインに悪用されたりする危険性があります。
アカウントを新たに登録する場合は、必ず公式サイトかどうかよく確認しましょう。メールやメッセージ、広告などから誘導されたリンクは偽物の可能性もあります。安易にクリックしない方が賢明です。また、パスワードの使い回しや単純なパスワードを利用していると、第三者による不正ログインの危険性が高まります。必ず推測されにくいなるべく長くて複雑なパスワードをサービス毎に設定しましょう。

詳しい対策はこちらの記事を参照してください。
・インターネットサービスのアカウントを安全に管理するための要点とは


4.セキュリティソフトやアプリをインストールして最新の状態に保つ


ここ数年続くSMS(携帯電話番号に届くテキストメッセージ)を悪用した手口では、宅配事業者やAmazon・楽天に代表される総合ECサイトに偽装した偽の通知による攻撃が頻発しています。
このような偽の通知やメールから誘導される偽サイトは、本物から複製して作られることも多く、一見しただけでは真偽の見分けがつきません。また、マルウェアを正規ソフトやアプリ、害の無い文書ファイルなどに見せかけるような手口は常とう手段です。さらに、知人を装ってメールやメッセージ送り付けたり、乗っ取ったアカウントから不正サイトに誘導する手口もあります。
このように巧妙なサイバー攻撃から身を守るには、セキュリティソフトやアプリの利用が欠かせません。そして、最新の手口によるリスクを下げるには、セキュリティソフトやアプリを最新の状態に保って利用することも重要です。

詳しい対策はこちらの記事を参照してください。
・セキュリティの必要性を理解しよう


5.大切なデータのバックアップは定期的にとる

子どもがいる家庭では、保護者用のデジタル機器をオンライン授業や動画閲覧に子どもが利用する機会もあるのではないでしょうか。しかし、利用中に子どもが機器を図らずも壊してしまうことがあります。他にも、不慮の故障や破損、水没、機器の紛失、クラウドサービスのトラブル、サイバー攻撃による被害など、何らかの原因で大切なデータが無くなってしまう可能性は常にあります。
消えたら困る大切なデータは定期的にバックアップを取っておきましょう。データの世代管理ができるクラウドサービスや、オフラインで保管できる外付けタイプのハードディスクなど、用途やデータの重要度に合わせて選択しましょう。その際は、価格や機能だけでなくサービスのセキュリティ、プライバシーポリシー、規約なども十分に確認し、信頼できるサービスや機器を選ぶことが重要です。
オンラインサービスのアカウント情報のバックアップには、パスワード管理ツールも便利です。データが消えるリスクに備えて、予め対策を行っておきましょう。

6.時にはデジタルデトックスしてみる

デジタルデトックスとは、一時的にスマホなどのデジタル機器から離れ、現実のコミュニケーションや自然とのつながりに重きを置く時間をつくることです。
ステイホームの推奨で、テレワークやオンライン授業、動画視聴やオンラインゲームといったネットを利用する時間が増えている家庭も少なくありません。デジタルデトックスを取り入れて、心身の疲れをリセットしてみましょう。
サイバー犯罪者はネット利用者の心の隙を巧みに利用して詐欺などにおとしいれるため、頭がすっきりしない状態や、心に余裕がない状態でネットを利用することはセキュリティ上も良くありません。食事の時間や夜何時以降はデジタルデトックスを心がけるなど、家庭内のルールに加えてみましょう。

自主的にネットから離れることが難しい場合は、デバイスやアプリなどの機能を活用するのも一案です。

ネットの利用時間制限機能一例

●iPhone、iPad、iPod touch:設定 → スクリーンタイム から休止時間や一日のアプリの使用時間制限の設定が可能。
・iPhone、iPad、iPod touch でスクリーンタイムを使う
https://support.apple.com/ja-jp/HT208982

●Androidデバイス、Chromebook:ファミリー リンクアプリからデバイスやアプリの一日の利用時間の上限設定などが可能。
・お子様の利用時間を管理する
https://support.google.com/families/answer/7103340?hl=ja

●Nintendo Switch:Nintendo みまもり Switchから一日のゲーム時間の制限などが可能。
・Nintendo みまもり Switch
https://www.nintendo.co.jp/hardware/switch/parentalcontrols/index.html

■テレワーク時の対策


テレワーク推進によりはじめてテレワークを行うことになった方もいるのではないでしょうか。テレワークでは職場での勤務時以上にセキュリティに気を配る必要があります。あらためて対策ポイントを確認しておきましょう。

詳しい対策はこちらの記事を参照してください。
・自宅で仕事やオンライン学習を安全に行うためのセキュリティチェックリスト
・従業員の不注意が引き金となる情報漏えいパターンと防止策


ゴールデンウィーク中も安心・安全にネットを活用しましょう。]]>
https://is702.jp/main/images/news/S210420_1.jpg
ゴールデンウィーク前に対策と相談の多い事例をチェック|IPA 独立行政法人情報処理推進機構(IPA)は4月21日、ゴールデンウィークの長期休暇に向け、情報セキュリティに関する注意を改めて呼びかけました。 2021-04-23T00:00:00+09:00
ゴールデンウィークなどの長期休暇は、ネット詐欺やサイバー攻撃が増加しがちな時期です。一方で、セキュリティ被害やインシデントが発生した場合でも、組織や企業においてはセキュリティ担当部門との連絡が付きにくく、対処が遅れがちです。個人の行動においても、外出自粛によりネット利用が増え、不用意なトラブルを招く可能性が高まります。

特に今年のゴールデンウィークは、緊急事態宣言発令が予定されており、昨年のステイホーム週間同様にネット利用が増加すると思われます。マルウェア(ウイルスなど不正なプログラムの総称)感染やネット詐欺被害に注意してください。

■組織や企業
長期休暇における基本的なセキュリティ対策では、対応体制や関係者への連絡方法を事前調整するといった「休暇前の備え」、不審なアクセスや侵入の痕跡がないかチェックするといった「休暇後の確認」が重要です。休暇前・休暇後のそれぞれで、以下のポイントを確認してください。

【日頃から行っておくべき対策】
・OSやアプリケーションなど、最新のアップデートを適用する。
・ウイルス対策ソフトなど、定義ファイルを更新する。
・ハードディスクやUSBメモリなど、使用するメディアのウイルスチェックをする。
・適切なログインIDとパスワードを使用しているか、改めて確認する。
・不審なメールやSMSに注意し、不用意にリンクをクリックしたり添付ファイルを開いたりしない。
・パソコンやスマホなどには画面ロックを設定する。
・管理者向け:データの持ち出しなどが不用意に発生していないか、ポリシーを改めて徹底する。
・管理者向け:重要データのバックアップを行う。

【休暇前の備え】
・緊急時の対応体制・連絡手順などを確認する。
・管理者向け:不要なサービスやアカウント、機器を停止または削除する。

【休暇後の確認】
・休暇期間中に更新プログラムなどが公開されていないか、必要に応じて情報収集する。
・休暇中に持ち出していたデータを社内に戻す際に、事前にウイルスチェックする。
・休暇中のメールが溜まっていても、読み飛ばさず、リンク先URLや添付ファイルに注意する。
・管理者向け:休暇中のサーバやシステムに、不審なアクセス履歴がないか確認する。
・管理者向け:休暇中のサーバやシステムに、改ざんなど、変化がないか確認する。

自宅や外出先でテレワークを行っている場合は、以下の点にも注意してください。

・テレワークで使用するパソコンなどは、できる限り他人と共有しないこと。
・公共の場所でパソコンを使用するときは、画面をのぞかれないようにすること。
・公衆Wi-Fiを利用する場合は、ファイル共有機能をオフにすること。
・信頼できるVPNサービスを利用すること。

こうした対応は、長期休暇に限らず日常的なセキュリティ対策としても有効です。日頃から注意をするようにしましょう。

■家庭
個人や家庭における対策の注意点として、以下のような項目を挙げています。自身のネット利用だけでなく、保護者は子どものネット利用にも注意を払ってください。

・行楽等の外出前や外出先でのSNS投稿に注意
・SNSのやりとりによるトラブルに注意
・偽のセキュリティ警告に注意
・メールやショートメッセージ(SMS)、SNSでの不審なファイルやURLに注意

関連記事
・お子さんをネットの危険から守るために保護者ができる対策とは


さらにIPAでは最近相談が多い事例として、パソコンやスマホのブラウザを悪用した不審な通知、iPhoneカレンダーを悪用した不審な通知について紹介しています。こうした事例を事前に知っておくことは、脅威に遭遇した際の落ち着いた対処につながります。手口を確認しておきましょう。

関連記事
・ブラウザの「通知」機能を悪用した偽のウイルス感染通知に注意|IPA
・iPhoneのカレンダーに勝手にイベントが登録される!?
]]>
https://is702.jp/main/images/news/img_news41.jpg
勤務先や取引先をサイバー攻撃から守るために身につけておくべき基礎知識 いまや業種や規模にかかわらず、多くの企業や組織がサイバー攻撃の標的になり得る時代です。サイバー攻撃は標的の従業員に宛てたメールを起点とするものが多く、経営層や従業員が、いつ狙われるかわかりません。企業や組織の一員としてサイバー攻撃を回避するポイントを押さえておきましょう。 2021-04-22T00:00:00+09:00
サイバー攻撃は他人事?

勤務先や取引先をサイバー攻撃から守るために身につけておくべき基礎知識

2021/04/22
サイバー攻撃は他人事? 勤務先や取引先をサイバー攻撃から守るために身につけておくべき基礎知識

業種や規模にかかわらず、多くの企業や組織がサイバー攻撃の脅威にさらされています。サイバー攻撃によるマルウェア感染や情報漏えいなどの被害は、従業員の何気ない行動によってもたらされる場合もあります。勤務先や取引先をサイバー攻撃から守るために従業員が身につけるべきセキュリティの基礎知識を紹介します。

企業や組織に降りかかるサイバー攻撃の脅威

企業や組織を狙うサイバー攻撃の勢いは一向に衰えません。トレンドマイクロが国内の民間企業、官公庁自治体などを対象に行った調査では、約8割の組織が2019年4月から2020年3月までに何らかのセキュリティインシデントを経験したことがわかりました。内訳は「フィッシングメールの受信」が42.8%と上位。「ビジネスメール詐欺のメール受信」が29.1%、「不正サイトへのアクセス」が26.5%、「標的型攻撃」が22.2%と続きました。

サイバー攻撃によるマルウェア(ウイルスなど不正なプログラムの総称)感染や情報漏えいなどの事故は、経営層や従業員の不注意によって引き起こされる場合もあります。勤務先をサイバー攻撃から守るために必要なセキュリティ知識を身につけましょう。

サイバー攻撃は従業員宛てのメールが起点に

企業や組織を狙うサイバー攻撃の多くは従業員に送りつけられるメールが起点となっています。以下に、実例を見ていきましょう。

●ビジネスメール詐欺

ビジネスメール詐欺(BEC:Business E-mail Compromise)は、経営幹部や取引先などを装ったメールを従業員に送りつけ、金銭や情報をだまし取る手口です。たとえば、最高経営責任者を装う送金指示メールを経理担当者に送りつけ、サイバー犯罪者の管理下にある口座に送金させるパターンがあります。こうしたメールでは「緊急の送金依頼」「極秘」などの文言で緊急を要する機密案件である旨を伝え、早急かつ秘密裏に送金するよう圧力をかけます。また、取引先を装うメールに偽の請求書を添付し、振込先の変更を依頼する手口も確認されています。

BECでは業務メールアカウント情報の詐取も行われる場合があります。サイバー犯罪者の狙いは、業務メールアカウントを乗っ取ることでメールの内容を盗み見たり、なりすましメールを送信したりすることです。業務メールにクラウドサービスを利用する企業の従業員は、システム担当者やサービス事業者を装って「業務メールシステムへの再ログインが必要」「パスワードの有効期限が迫っている」などと呼びかけるメールに注意してください。それはフィッシングサイトに誘い込む罠かもしれません。

図:Microsoft 365を装ったフィッシングメールの例、パスワードの延長と称して偽サイトに誘導

●標的型サイバー攻撃

標的型サイバー攻撃は、重要情報の窃取を目的として、特定の企業に対して長期的に行われる一連の攻撃を指します。攻撃者は、あらゆる手段・手法を駆使し、目的達成のために標的とした組織を攻撃し続けます。典型的な攻撃パターンは、従業員のパソコンに遠隔操作ツールを送り込むことで標的のネットワークに侵入し、情報を盗み出したり、標的の端末に別のマルウェアをダウンロードさせたりすることです。

標的型サイバー攻撃も従業員宛てのメールが発端となる場合があります。たとえば、実在する企業や組織、取引先担当者、社内の関係者などを装って「請求書」「賞与支払」などの件名のメールを送りつけ、Officeの文書ファイルを開かせる手口が確認されています。ファイルを開き、メッセージバーの「コンテンツの有効化」をクリックしてしまった場合、不正なマクロが実行され、マルウェアに感染してしまうかもしれません。
2019年から2021年初頭にかけて国内でも大きな被害が発生したEMOTET(エモテット)と呼ばれるマルウェアも、メールの添付ファイルが感染経路でした。EMOTET自体は収束しましたが、それによって感染させられた別のマルウェアによる脅威や、すでに漏えいしてしまった情報の悪用、同様の手口による攻撃には今後も注意が必要です。

【メールを起点とするサイバー攻撃を回避するポイント】

  • 「添付ファイルやURLリンクを開かせようとする」「電話をかけさせる」「情報を送信させる」など、何らかの行動を促すメールの真偽を注意深く確認し、少しでも違和感を覚えた場合はメール以外の手段で差出人に事実確認をするか、セキュリティ管理者に相談する
  • 経営幹部や取引先から通常とは異なる口座への送金を求められた場合は、緊急や極秘と書かれていても社内ルールに定められた手順どおりに対処する
  • メールの添付ファイルやURLリンクは不用意に開かず、リンクを直接クリックするのではなく、可能な限りブックマークや社内ポータルサイトを介して通知内容の確認をする
  • 勤務先の規定に従ってOSやセキュリティソフトを更新する

従業員の業務サービスアカウントが狙われる

「異なるパスワードを設定すると忘れてしまう」などの理由から、Webメールやクラウドストレージなどの複数のサービスに同一のIDとパスワードを使い回していると勤務先を危険にさらしてしまうかもしれません。

複数のサービスで同一のIDとパスワードを使用しているとしましょう。仮に、フィッシング詐欺によって1つのサービスのIDとパスワードがサイバー犯罪者の手に渡ってしまった場合どうなるでしょうか。それは複数のサービスのIDとパスワードも漏れたことを意味します。つまり、同一のIDとパスワードの使い回しは各種サービスのアカウントを芋づる式に乗っ取られるリスクを高める行為なのです。

「×××1」「×××2」のように数字だけ異なる文字列や、「qwerty」「asdfgh」などのキーボードの配列、「password」「picture」などの辞書に載っている単語を各種サービスのパスワードとして設定するのも危険です。第三者が容易に探り当てられるものでは認証をかける意味が薄れてしまいます。アルファベットの大文字、小文字、数字、記号など、使用できる文字種をランダムになるべく長く組み合わせ、第三者に推測されにくいパスワードを設定してください。パスワードの管理や作成を困難と感じる場合は、パスワード管理ツールの利用が便利です。勤務先で利用が許可されている場合は活用すると良いでしょう。

【アカウントを安全に管理するポイント】

  • サービスごとに異なるIDとパスワードを使用する
  • 第三者に推測されにくいなるべく複雑で長いパスワードを設定する
  • IDとパスワードを記載したメモを他人の目につく場所に置かないことを徹底するとともに、メモ上では自身が記憶している文字列を空欄にしておくなど、万一の紛失や盗難に備える
  • 勤務先に指定された手段と方法でアカウントを管理する

SNSの利用は慎重に

LinkedInなどのSNSがサイバー攻撃の準備段階におけるスパイ活動の場として使われていることを知っていますか。サイバー犯罪者はSNS利用者が広く公開しているプロフィール情報(勤務先名や役職、業務メールアドレスなど)や仕事がらみの投稿(職場の人間関係や内部情報、機密情報を含む写真・動画)をもとに標的企業の情報収集と攻撃対象の選別を行います。その上でもっともらしい内容のメールを仕立て、従業員をだましにかかります。

たとえ、プライベートなSNSでも、そこでの投稿や発言には責任が伴うことを自覚しましょう。SNS上に本来秘密にするべき職務内容や取引関係、業務上知り得た情報などを公開するのはもってのほか。SNSでの不適切な投稿で勤務先や取引先に損害を与えてしまった場合、懲戒の対象になるだけでなく、損害賠償を請求される可能性もあることを覚えておきましょう。SNSへの投稿がきっかけとなり、自身の進退を問われたり、社会的地位を失ったりした例も実際に起こっています。

【SNSを安全に利用するポイント】

  • 各SNSに適切なプライバシー設定を行う
  • SNSへの投稿内容は不特定多数の目に触れる可能性があることに留意する
  • SNSに投稿する前に不適切な発言や映り込みが含まれていないかどうかを見直す
  • 勤務先が定めるSNSの利用ルールに従う

サイバー攻撃は、規模や地域、業種を問わない脅威です。あらゆる企業や組織がターゲットであり、どの従業員が、いつ狙われるかわかりません。すべての従業員にはサイバー攻撃を回避するためのセキュリティ知識を身につけるだけでなく、サイバー犯罪者に付け入る隙を与えない行動も求められます。

]]>
http://rss.is702.jp/main/rss/3845_l.jpg
2021年1月~3月のセキュリティ脅威や危険性の高い脆弱性についてあらためて確認を|JPCERT/CC JPCERTコーディネーションセンター(JPCERT/CC)は4月15日、2021年1月~3月に確認された脆弱性情報・脅威情報について、あらためて注意を呼びかけました。 2021-04-20T00:00:00+09:00
2021年1月~3月において、国内でも広く普及している製品の脆弱性の悪用が報告されたり、影響度が高いサイバーセキュリティの脅威が発生したりしました。こうした事態を受け、JPCERT/CCでは特に下記の項目について、あらためて解説と対策の紹介を行いました。

・Microsoft Exchange Serverの複数の脆弱性
3月2日(米国時間)に情報が公開され、すでに悪用の事実が確認されています。影響を受ける製品およびバージョンの利用者は、早急に更新プログラムの適用を実施してください。

関連記事:すでに攻撃に悪用されている脆弱性や、新たなExchange Serverの脆弱性修正を含む、4月のセキュリティ更新プログラム公開|マイクロソフト

・SSL-VPN製品を含むネットワーク製品の脆弱性
SonicWallは2月3日(米国時間)、同社製SMA100シリーズの脆弱性に関する情報を公開しました。3月10日(米国時間)にはF5 Networksが同社のBIG-IP製品について脆弱性を公表しています。これらについても脆弱性の悪用による被害や、悪用を試みたと推測される通信などがそれぞれ報告されています。利用している組織や企業は製品のバージョンアップなど対策を早急に行ってください。

・マルウェアEMOTETのテイクダウンと感染端末に対する通知
海外の捜査当局により、EMOTETのテイクダウン(攻撃指令サーバの停止)が1月に行われ、それに伴う処置でEMOTETは無害化されましたが、感染した端末については別途対応が必要です。そのため、総務省・警察庁などからEMOTETに感染した機器の利用者に通知が行われていますます。

関連記事:国内のEMOTET感染機器に対する注意喚起に便乗した詐欺や攻撃に注意

・クラウドサービスの運用、設定
クライアントアプリなどに脆弱性が存在する場合や、適切な設定が行われていない場合、不正利用・情報漏えいなどが発生する可能性があります。現在の運用や設定が適切に行われているかを確認してください。

関連記事:「Trello」利用者は改めて設定の確認を、「公開」設定だと第三者が閲覧可能な状態に

あわせてJPCERT/CCでは、4月下旬~5月上旬のゴールデンウィークに備えて、連絡網の整備・見直し、OSやソフトウェアのバージョンアップ、データのバックアップ、データ持ち出しルールの確認などを推奨しています。また不正サイトの発見時の報告についても、あらためて協力を呼びかけています。他にも最近公開された修正プログラム情報や、さまざまな参考情報についてもリンクを紹介しています。なおJPCERT/CCでは、2021年1月~3月の期間に発生したインシデントの報告対応レポートも同日に公開しました。

サイバー犯罪は日々巧妙化、進化しています。最新動向に注意し、迅速な対応や対策を心掛けましょう。
]]>
https://is702.jp/main/images/news/img_news40.jpg
すでに攻撃に悪用されている脆弱性や、新たなExchange Serverの脆弱性修正を含む、4月のセキュリティ更新プログラム公開|マイクロソフト マイクロソフトは4月14日(日本時間)、月例のセキュリティ更新プログラムを公開しました。独立行政法人情報処理推進機構(IPA)およびJPCERTコーディネーションセンター(JPCERT/CC)も注意を呼びかけています。 2021-04-15T00:00:00+09:00
対象となるソフトウェアは、「Azure AD Web Sign-in」「Azure DevOps」「Azure Sphere」「Microsoft Edge (Chromium-based)」「Microsoft Exchange Server」「Microsoft Graphics Component」「Microsoft Internet Messaging API」「Microsoft NTFS」「Microsoft Office Excel」「Microsoft Office Outlook」「Microsoft Office SharePoint」「Microsoft Office Word」「Microsoft Windows Codecs Library」「Microsoft Windows Speech」「Open Source Software」「Role: DNS Server」「Role: Hyper-V」「Visual Studio」「Visual Studio Code」「Visual Studio Code – GitHub Pull Requests and Issues Extension」「Visual Studio Code – Kubernetes Tools」「Visual Studio Code – Maven for Java Extension」「Windows Application Compatibility Cache」「Windows AppX Deployment Extensions」「Windows Console Driver」「Windows Diagnostic Hub」「Windows Early Launch Antimalware Driver」「Windows ELAM」「Windows Event Tracing」「Windows Installer」「Windows Kernel」「Windows Media Player」「Windows Network File System」「Windows Overlay Filter」「Windows Portmapping」「Windows Registry」「Windows Remote Procedure Call Runtime」「Windows Resource Manager」「Windows Secure Kernel Mode」「Windows Services and Controller App」「Windows SMB Server」「Windows TCP/IP」「Windows Win32K」「Windows WLAN Auto Config Service」と、幅広い製品が対象となっており、深刻度「緊急」の脆弱性も含まれています。こうした脆弱性を悪用された場合、アプリケーションプログラムが異常終了したり、リモートからの攻撃によって任意のコードを実行されたりする可能性があります。

このうち「Win32kの特権の昇格の脆弱性」(CVE-2021-28310)については、悪用の事実がすでに確認されており、被害が拡大するおそれがあります。

また、オンプレミスのExchange Serverに対する新たな脆弱性の修正も含んでおり、情報公開時にはこの脆弱性を悪用した攻撃は観測されていませんが、昨今のサイバー攻撃者の活動状況を踏まえ、迅速な更新プログラムの適用を呼び掛けています。

各製品のユーザは、Microsoft UpdateやWindows Updateなどを用いて、システムの更新を至急行ってください。自動更新を設定している場合も、念のため更新が適用されているか確認するのが望ましいでしょう。
]]>
https://is702.jp/main/images/news/img_news47.jpg
Chrome利用者はアップデートの確認を 4月14日(現地時間)、GoogleはWindows、Mac、Linux向けChromeのアップデートを公開しました。 2021-04-15T00:00:00+09:00
今回のアップデートには37件の脆弱性(セキュリティ上の欠陥)の修正を含むとしています。
基本的には自動更新されますが、利用環境によっては更新が保留されている場合もあります。
ウェブブラウザとしてChromeを利用している場合は、アップデートが適用されているか確認を行いましょう。

■Chromeのアップデート確認方法例
Chromeを開き、右上の「Google Chromeの設定」から 
ヘルプ → Google Chromeについて 
を選択するとバージョンの確認が実行されます。


図:最新版が適用されている表示例

図:最新版が適用されている表示例

]]>
https://is702.jp/main/images/news/img_news44.jpg
スマホのOSが最新かどうかを確認しよう ひろしは、スマホのOSをアップデートすることをアカリに勧めるも… 2021-04-15T00:00:00+09:00
ひろしとアカリのセキュリティ事情

スマホのOSが最新かどうかを確認しよう

2021/04/15

OSの脆弱性を解消しよう

iPhoneやAndroid端末などのスマホを安全に利用するためには、OS(基本ソフト)の脆弱性対策が欠かせません。脆弱性は、プログラムの不具合などが原因で生じるセキュリティ上の欠陥です。

スマホのOSに脆弱性があると、どのようなリスクが生じるでしょうか。たとえば、端末を不正操作されたり、端末内の連絡先情報やファイルを盗み取られたりする可能性があります。iOSではこれまで、端末にインストールされた正規アプリを不正アプリに置き換えられたり、Apple IDを流出させたりするリスクのある脆弱性が確認されています。Android OSでも過去に、端末を不正操作されたり、端末からの通信を傍受されたりしてしまうリスクのある脆弱性が見つかりました。

iPhoneやAndroid端末に存在するOSの脆弱性を解消するためには、OSのアップデートが欠かせません。iPhoneの場合、iOSの開発元であるApple社が脆弱性を発見すると、それらの脆弱性を修正したiOSの最新版を提供します。Android端末の場合、各端末メーカーや携帯電話会社が最新版をリリースするタイミングなどを判断します。ユーザは最新のOSを適用することで、脆弱性によって生じるリスクを回避できます。

ただし、機種によっては最新版のリリースが遅れたり、アップデートが公開されなかったりする場合もあるため、セキュリティアプリを最新の状態にして利用するといった対策は必須です。また、サポート切れの端末を使い続けている場合は脆弱性を放置しているも同然です。新機種への買い替えを検討してください。

通常、iPhoneやAndroid端末ではOSの最新版が提供されると、ロック画面や通知領域に更新の通知が届きます。しかし、何らかの理由で通知されなかったり、ユーザが通知を見落としたりすることがあるかもしれません。iPhoneやAndroid端末にOSの最新版が提供されているかどうかを定期的に確認する習慣をつけましょう。

【iPhoneの場合】

端末の「設定」から「一般」へ進みます。「ソフトウェア・アップデート」をタップすると、「アップデートを確認中」と表示されるため、しばらく待ちます。利用可能なソフトウェア・アップデートがない場合、あるいは最新版を適用済みの場合は、「お使いのソフトウェアは最新です」と表示されます。iOSの最新版がある場合は、最新のiOSのバージョン名が表示されます。「今すぐインストール」をタップし、画面の指示に従って操作すれば最新のiOSにアップデートできます。

図:最新版のiOSが反映されている例

【Android端末の場合】

端末の「設定」から「システム(※)」、「詳細設定」に進み、「システムアップデート」を押すと、Android OSの最新版が提供されているかどうかを確認できます。利用可能なソフトウェア・アップデートがない場合、あるいは最新版を適用済みの場合は、「最新バージョンに更新されています」、「最新のソフトウェアを利用中です」、「お使いのシステムは最新の状態です」、「更新なし」などと表示されます。Android OSの最新版がリリースされている場合、「今すぐ更新」、「アップデート」、「(再起動して)インストール」などと表示されます。それをタップし、画面の指示に従って操作すれば最新のAndroid OSにアップデートできます。
※OSのバージョンや機種によっては、「システム」ではなく、「端末情報」や「端末管理」、「バージョン情報」などと表記されます。詳しくは各機種の取り扱い説明などを参照してください。

図:更新待ちのAndroid OSを最新版に更新した例

ひろしとアカリのセキュリティ事情 ひろしとアカリの日常をもっと見る
ひろしとアカリのセキュリティ事情 ひろしとアカリの日常をもっと見る
]]>
http://rss.is702.jp/main/rss/3844_l.jpg
解説動画「2020年年間脅威動向を振り返り、今、従業員一人ひとりが行うべき対策とは?」公開 2021年3月公開「2020年年間セキュリティラウンドアップ」の内容を踏まえ、従業員一人ひとりが知っておくべき脅威とその対策を紹介する解説動画を、is702パートナープログラム限定で公開しました。 2021-04-13T00:00:00+09:00
約20分の動画は、なるべく専門用語を使わずポイントを絞った内容となっており、自組織内の従業員教育に活用して頂ける内容となっています。

動画ファイルは、is702パトナープログラムの登録パートナー向けポータルサイト*で公開しています。
*is702パートナー専用ページにログインするには、別途事務局からご案内している認証ID、認証コードが必要です。

is702パートナープログラムについてはこちら



]]>
https://is702.jp/main/images/news/S210413.JPG
コロナ禍で変化したセキュリティ様式、社内規定や業務委託に求められる新時代対応|IPA 独立行政法人情報処理推進機構(IPA)は4月7日、「ニューノーマルにおけるテレワークとITサプライチェーンのセキュリティ実態調査」の最終報告を公開しました。前年12月に個人への調査結果、本年1月に組織への調査結果(中間報告)を公開しており、今回は調査全体の最終報告となっています。 2021-04-09T00:00:00+09:00
コロナ禍が長期化しテレワークが常態になったことで、業務実施場所の多様化やコミュニケーションのオンライン化など、新しい働き方が定着しつつあります。一方、ICTの環境整備が優先され、セキュリティ対策が後回しになっているという懸念もあります。本調査はそうした現状を探ることを目的に実施されました。その結果、以下のような傾向が判明しています。

・会社が許可していないアプリケーションやサービスの業務利用を一時的に“やむを得ず”認め、現在も認めている組織が、一定数存在しました。この結果、セキュリティに問題がある内容が放置されている恐れがあります。

・委託元の半分以上(54.6%)が、テレワークに関する社内規定・規則・手順の遵守確認を実施していませんでした。内部不正やセキュリティインシデントが増加する恐れがあります。また委託先との意識のギャップも目立ちます。

・情報セキュリティ上の要求事項について対応した業務委託契約(仕様書/利用規約・SLAなどを含む)は、まだまだ進んでいません。たとえば「テレワークの制限や禁止」は9.8%の企業しか取り決めをしていませんでした。今後はニューノーマル時代に合わせた契約が求められるでしょう。

概要や本文を含む報告書一式(PDFファイル)は、IPAの公式サイトから無償でダウンロード・閲覧が可能です。
報告書では、今後必要となる対応、そのために参考となるガイドラインなども紹介されています。自組織や、取引先との体制づくりなどの参考にすると良いでしょう。


図:テレワークに関する社内規定・規則・手順等が守られていることの確認状況(IPAの公開資料より)

図:テレワークに関する社内規定・規則・手順等が守られていることの確認状況(IPAの公開資料より)

]]>
https://is702.jp/main/images/news/img_news49.jpg
従業員の不注意が引き金となる情報漏えいパターンと防止策 企業や組織の一員になるとパソコンやネット利用時の不注意が個人だけの責任では済まなくなります。うっかりとした行動がきっかけで情報漏えいが生じれば、自身の立場を悪くするだけでなく、勤務先も世間の厳しい批判の目にさらされます。従業員一人ひとりが実践するべき情報漏えい対策を紹介します。 2021-04-08T00:00:00+09:00
あなたも他人事ではない!?

従業員の不注意が引き金となる情報漏えいパターンと防止策

2021/04/08
あなたも他人事ではない!? 従業員の不注意が引き金となる情報漏えいパターンと防止策

たびたび世間を騒がせている企業の情報漏えい。営業秘密や顧客情報の漏えいは、企業に致命的なダメージをもたらします。今回は、文書ファイルの共有時、クラウドサービス利用時、テレワーク時の3つのシーンで従業員の不注意がきっかけとなる情報漏えいパターンと防止策を紹介します。

事業継続を脅かす情報漏えいリスク

みなさんは企業の情報漏えいと聞いたとき、サイバー攻撃による不正アクセスを真っ先に想像するのではないでしょうか。しかし、従業員の不注意や認識不足をきっかけとする情報漏えい事故も少なくありません。もし、パソコンやネット利用時のうっかりした行動で深刻な情報漏えいが生じてしまった場合、どうなるでしょうか。当事者はもちろん、勤務先の信用も失われ、業績などに悪影響が及んでしまうかもしれません。

一口に情報漏えいを引き起こす従業員の過失といってもその内容はさまざまです。今回は見落としがちなケースを「文書ファイルの共有時」「クラウドサービス利用時」「テレワーク時」の3つのシーンにおいて、情報漏えいパターンと防止策を見ていきましょう。

シーン1:文書ファイルの共有時

ビジネスシーンではMicrosoft Office(Word、Excel、PowerPoint)などで作成した文書ファイルを取引先や社外の関係者に送る機会がよくあるでしょう。その際は事前に文書の中身だけでなく、プロパティ情報(「作成者」「前回保存者」「タイトル」「件名」「タグ」「作成日時」などの属性情報)や非表示情報(「コメント」「変更履歴」「バージョン」「注釈」「隠し文字」など)もチェックしましょう。うっかりそれらの情報を残した文書ファイルを社外に出してしまった場合、情報漏えいにつながる可能性があります。

Microsoft Officeでは「ドキュメント検査」を使用することで文書ファイルに保存されている不要な情報を一括で削除できます。

また、Microsoft Officeの「名前を付けて保存」機能からPDFを生成するとOfficeファイルのプロパティ情報がそのままPDFファイルに引き継がれます。Officeファイルの不要なプロパティ情報を削除してからPDF化するか、保存の際に表示されるオプションから「印刷対象外の情報を含める」の項目のチェックを外しましょう。

図:「名前を付けて保存」機能からPDFを生成する際のオプション選択画面

シーン2:クラウドサービス利用時

利便性を重視して、個人で利用登録しているクラウドサービスを勤務先に無断で業務利用してはいけません。たとえば、クラウドストレージは取引先と大容量の業務データをやり取りするときなどに役立ちますが、クラウドサービスの利用においては情報漏えいリスクがつきものです。フリーメールサービスも同様です。業務メールを出先や私用のスマホなどで確認するためにフリーメールアドレス宛に無断で転送してはいけません。サービス事業者の人為的なミスやサイバー攻撃などが原因でクラウド上の業務データが流出してしまう事故も起こっています。勤務先の規程に反した行動で情報漏えいが生じてしまった場合、懲戒の対象になるだけでなく、損害賠償を請求される可能性もあります。

勤務先に許可されているクラウドサービスの利用にあたっても油断は禁物です。機能や仕様だけでなく、利用規約の内容(アップロードされたデータの取り扱いや、機密保持、第三者への業務委託、補償の範囲、禁止事項など)も十分に理解した上でサービスを利用しなければ、意図しない情報漏えいを招いてしまうかもしれません。過去には、あるクラウド翻訳サイトで翻訳にかけた文章が他の利用者にも閲覧できる状態になっていたケースがありました。原因は、翻訳結果をサービス事業者のサーバに保存することを許可する内容のチェックボックスをオンにしたままサービスを利用したことでした。

また、利用規約に「アップロードされたデータをサービス向上のためだけに用いる」という記載があっても、それ以外の目的に使われないという完全な保証はありません。クラウド上にアップロードした情報はユーザのコントロールが及ばなくなることに留意してサービスを利用するかどうかを判断してください。

シーン3:テレワーク時

テレワークという就業場所を問わない働き方が浸透しつつあります。一方、セキュリティが強固なオフィスとは別の場所で就労することになるため、情報漏えいリスクは高まります。

オフィス外では使い慣れた私用のパソコンを使って業務を行いたいと考えるかもしれません。しかし、勤務先の断りなく、私用の端末を業務に用いるのは危険です。通常、勤務先から支給された業務用端末にはマルウェア対策や情報漏えい対策がとられています。一方、私用端末のセキュリティレベルはユーザの知識やモラルによってまちまちです。セキュリティに不備のある私用端末を業務に利用した場合、マルウェア感染やフィッシングサイトでの情報入力などがきっかけで情報漏えいを引き起こしてしまうかもしれません。

また、自宅外でのテレワーク時は、公衆Wi-Fiを利用するケースもあるでしょう。ただ、公衆Wi-Fiスポットの中にはユーザの利便性を優先するためにあえてパスワード認証なしにつなげるようにしているものや、設定不備によって同一ネットワーク上の端末が互いに通信できる状態になっているものも存在します。そんな公衆Wi-Fiスポットを利用してしまった場合、悪意のある第三者に通信内容を盗み見られる可能性があります。どうしても公衆Wi-Fiにつながなくてはならない場合はVPNソフトを利用するなど、勤務先に指定された方法と手順をとってください。

公共の場でのパソコン作業時はのぞき見による情報漏えいも回避しなければなりません。最低限、端末画面にプライバシーフィルター(のぞき見防止フィルム)を装着し、壁を背にするなど、周囲の目線に気を配るなどの対策は必須です。また、パソコン作業中に離席する際は端末の盗難に注意するとともに、ごく短時間であっても必ずスクリーンロックをかけましょう。これはパソコン画面を専用のロック画面に切り替えることで第三者に作業内容を盗み見られたり、勝手に操作されたりすることを防ぐ仕組みです。使用を再開する場合、事前に設定したパスワード、あるいはPIN(4桁以上の暗証番号)を入力してロックを解除します。自分の名前や生年月日、規則的な数字(1234)など、簡単に推測できるパスワードや暗証番号を設定するのは避けましょう。

テレワーク時はマルウェア感染や情報漏えいなどのトラブルを回避するためにも勤務先が定めるガイドラインやポリシーに従ってください。また、在宅勤務時は家族であっても業務上は部外者であることを意識して業務にあたりましょう。

]]>
http://rss.is702.jp/main/rss/3838_l.jpg
「Trello」利用者は改めて設定の確認を、「公開」設定だと第三者が閲覧可能な状態に タスク管理サービス「Trello(トレロ)」の利用に際し、本来関係者以外に公開すべきではない情報が、ネット上で誰もが参照できる状態になっている利用者が複数いるとし、サービス運営元であるアトラシアンは注意を呼び掛けています。 2021-04-07T00:00:00+09:00
「Trello」は、情報を記入できるカード欄とそれをまとめた「リスト」や「ボード」を使って、柔軟にタスク(仕事)を管理できるサービスです。複数人の使用にも対応しており、チームでの情報共有に利用している企業も多数あります。
一方、利用者の設定ミスによって、本来公開すべきではないと思われる情報が複数公開されているとして、各所が警笛を鳴らしています。

アトラシアンの説明によると、Trelloの初期設定ではボードは「非公開」になっているとともに、意図しない公開ボードの作成を回避するため、ボードを公開する際には、ユーザの意図を確認する仕組みが搭載されているとのことです。そのため、Trelloのユーザが正しく利用状況を把握せず、公開範囲を選択してしまった可能性が高いとしています。

Trelloに限らず、情報共有や保存を行うオンラインサービスを利用する際は、公開範囲や利用規約、プライバシーポリシーなどを十分に理解した上で利用してください。利用者の認識不足や、設定ミスにより情報漏えいに至った例は枚挙にいとまがありません。また、勤務先で許可されていないツールの勝手な利用はトラブルや事故の元です。組織のルールやガイドラインに沿って活用しましょう。
]]>
https://is702.jp/main/images/news/img_news48.jpg
ネットに接続する機器の選び方・設定の仕方を、YouTube動画でも解説|IPA 独立行政法人情報処理推進機構(IPA)は3月31日、「ネット接続製品の安全な選定・利用ガイド」について、動画を公開しました。YouTubeの公式チャンネル「IPA Channel」で視聴可能です。 2021-04-01T00:00:00+09:00
パソコンやスマホに加え、近年は家電やゲーム機もインターネット接続が可能になりましたが、便利になった反面、利用者のセキュリティに対する意識はまだまだ低い状態です。「ネット接続製品の安全な選定・利用ガイド」は、「安全なネット接続製品を選ぶ方法」と「購入したネット接続製品を安全に利用する方法」という、2つの面から消費者向けに解説を行っています。

ガイドは、確認するポイントや各製品における記載場所、実施しなかった場合の影響や対策などを解説した詳細版と、イラスト中心にポイントだけを説明した小冊子版が、それぞれPDFで提供されていますが、そこに今回あらたに動画が追加されました。

動画は「ネット接続製品の安全な選定ガイド ― デザインや性能、価格だけで選んでいませんか?」「ネット接続製品の安全な利用ガイド ― 購入した製品を、そのままの状態で使い続けていませんか?」の2つで、ガイドでも解説されている“7つの購入ポイント”“7つの利用ポイント”を、約3分の映像で紹介する内容です。

「ネット接続製品の安全な選定・利用ガイド」は、IPAサイトよりPDFファイルとして無償でダウンロード・閲覧が可能です。解説動画はYouTubeのIPA公式チャンネルで視聴可能です。
]]>
https://is702.jp/main/images/news/img_news42.jpg
【注意喚起】Amazonのアカウント更新を装う偽メールに注意 「Аmazon に登録いただいたお客様に、Аmazon アカウントの情報更新をお届けします。残念ながら、Аmazon のアカウントを更新できませんでした。」といった偽の文面で、フィッシングサイトに誘導する偽メールを確認しています。サービス利用者は騙されないよう注意してください。 2021-04-01T00:00:00+09:00
大手ECサイトAmazon(アマゾン)を騙るネット詐欺は複数発生しており、今回確認した手口では偽のメールを送り付け、公式サイトに偽装した偽のログイン画面に誘導します。送信元アドレスや表示名も偽装しているため紛らわしいですが、件名が「【楽天市場】」となっており、真偽を見分けることは容易です。しかし、差出人の偽装は行っていないものの、同様の文面で「【重要】今すぐあなたのアカウントを確認してください」といった件名が異なるパターンも確認しているため、油断しないようにしてください。

■フィッシングメールの一例
件名:【楽天市場】お支払い方法を更新してください知らせ 
本文(一部抜粋):
Аmazon に登録いただいたお客様に、Аmazon アカウントの情報更新をお届けします。
残念ながら、Аmazon のアカウントを更新できませんでした。
今回は、カードが期限切れになってるか、請求先住所が変更されたなど、さまざまな理由でカードの情報を更新できませんでした。

アカウント情報の一部が誤っている故に、お客様のアカウントを維持するため Аmazon アカウントの 情報を確認する必要があります。下からアカウントをログインし、情報を更新してください。
Аmazon ログイン<フィッシングサイトのURLリンク>

なお、24時間以内にご確認がない場合、誠に申し訳ございません、お客様の安全の為、アカウントの利用制限をさせていただきますので、予めご了承ください。

アカウントに登録のEメールアドレスにアクセスできない場合
お問い合わせ: Amazonカスタマーサービス。



図:フィッシングメールの一例

図:フィッシングメールの一例




図:偽メールから誘導していたフィッシングサイトの偽ログイン画面(スマホからアクセスした場合の表示)

図:偽メールから誘導していたフィッシングサイトの偽ログイン画面(スマホからアクセスした場合の表示)




図:偽メールから誘導していたフィッシングサイトの偽入力画面(パソコンからアクセスした場合の表示)背面には標品を表示させるなどし、正規サイトと誤認するような作りになっている

図:偽メールから誘導していたフィッシングサイトの偽入力画面(パソコンからアクセスした場合の表示)背面には商品を表示させるなどし、正規サイトと誤認するような作りになっている




図:フィッシングサイトでの入力が完了すると、正規サイトにリダイレクト(転送)される

図:フィッシングサイトでの入力が完了すると、正規サイトにリダイレクト(転送)される


関連情報:
・Amazon.co.jpからの連絡とフィッシングの見分け方について|Amazon
・【注意喚起】Amazonプライム自動更新解除を装う偽メールに注意
・【注意喚起】「プライム会費のお支払い方法に問題があります」Amazonからの通知を装う偽のSMSに注意
・【注意喚起】楽天市場からの通知を装う偽のSMSに注意


■対策
●利用者

どんなにそれらしい内容のメールやメッセージでも、URLリンクを開かせたり、電話をかけさせたりしようとするものは詐欺を疑ってかかりましょう。内容の確認が必要な場合は、ブックマーク済みの公式サイト、またはインストール済みの公式アプリから確認してください。Amazonの場合、メニューから「お客様へのお知らせ」でメッセージを確認することができます。

また、送られてきたリンクが不正なものかどうか確認する方法としては、URL安全性判定サービスの利用も役立ちます。また、不正サイトに誘導されてしまうリスクを下げるには、セキュリティソフトやアプリを最新の状態で利用することも忘れないようにしましょう。

無償で利用できるURL安全判定サービスの一例
・Site Safety Center

URLを入力して確認をクリックするだけで安全性を4段階で判定することができます。

●事業者
Amazonや楽天市場などの総合ECサイトに出店している事業者は、大手ECサイトに偽装してクレジットカード情報や個人情報などを狙う脅威があることを顧客に対しても周知し、ネット詐欺に巻き込まれないよう啓発活動を行うと良いでしょう。
]]>
https://is702.jp/main/images/news/S210401_1.jpg
ホームルータを保護しなければならない理由とは 軽井は、ショッピングサイトへの不正ログインを疑っています 2021-04-01T00:00:00+09:00
ひろしとアカリのセキュリティ事情

ホームルータを保護しなければならない理由とは

2021/04/01

アカウントの不正利用被害に遭うかも

自宅のパソコンやスマホ、タブレット端末、スマート家電などを同時にインターネットにつなげてくれるホームルータ。そのセキュリティをおろそかにしていると、インターネットサービスのアカウントを不正利用されてしまうかもしれません。

インターネットとホームネットワークの出入口であるホームルータのセキュリティ設定は、ネット利用者にとって欠かせない対策の一つです。前回の記事ではルータのセキュリティ設定の不備を突いたDNS設定の書き換えにより、ルータ配下のパソコンやスマホを不正サイトへ誘導する手口を紹介しました。

誘導先は攻撃者の意図や目的によって変わりますが、自身が利用しているショッピングサイトや、Apple ID、Googleアカウントなどのログインページをコピーして作られたフィッシングサイトだった場合どうでしょう。フィッシングサイトへ誘い込まれたことに気づかず、認証情報を入力してしまうかもしれません。

その結果、アカウントの不正利用被害に遭うことが考えられます。たとえば、ショッピングサイトに不正ログインされた場合、配送先として登録してある個人情報や、購入履歴、付帯サービスのクラウドストレージ内の情報を盗み見られる可能性があります。また、換金率の高い商品を不正購入される被害に遭うことも考えられます。

また、攻撃者は窃取した認証情報を用いてさまざまなサービスへのログインを試みることもあります。そのため、複数のサービスに同じ認証情報を使い回している利用者は、各種サービスのアカウントを芋づる式に乗っ取られるかもしれません。さらに、攻撃者に盗まれた情報は、ストーカーや空き巣、ネット上や知人などへの暴露をネタとした恐喝などの犯罪に悪用される可能性もあるのです。

こうした被害に遭わないよう、ホームルータのセキュリティ設定を見直しましょう。ホームルータのセキュリティを強化するポイントについては以下の記事で紹介しています。

ひろしとアカリのセキュリティ事情 ひろしとアカリの日常をもっと見る
ひろしとアカリのセキュリティ事情 ひろしとアカリの日常をもっと見る
]]>
http://rss.is702.jp/main/rss/3837_l.jpg
新たなフィッシングの手口、一般企業のサイトに見せかけた偽ページを設置 トレンドマイクロは3月24日、公式ブログで「『ダミーの正規サイト』で検出回避を試みるフィッシング詐欺手口を解説」と題する記事を公開しました。一般企業が運営するサイトのように見せかけ、フィッシングサイトを設置する新たな手口が確認されたとのことです。 2021-03-30T00:00:00+09:00
今回確認されている手口では、プロバイダからのメールに偽装したフィッシングメールを受け取るところから始まっていました。メール内のリンクをクリックすると、あるドメイン上に作成されたページに誘導されます。このページは電子メールシステムのログイン画面のようになっていますが偽の画面です。

ここまでは一般的なフィッシングの手口と同じです。しかし、確認のためにそのドメインのトップページにアクセスすると、一般企業のようなホームページが表示されます。この点がこれまでのフィッシングの手口とは異なります。
一見一般企業のホームページを装ったこのページは、「表示された画像のブランド名がドメインと一致しない」、「珍しいTLD(トップレベルドメイン)である『.pro』が使用されている(一般的なTLDである.com、.net、.jpよりも安価で利用可能)」、「テンプレートに含まれるダミー文章の定型文に似た残骸がサイト上で確認できた」、「ドメインが登録されてから1年経っていない(不正ドメインは短期間内に登録されている場合が多い)」など不審な点が多く、偽のコンテンツと判断されました。


図:WordPress テーマのテンプレートがそのまま使われていた偽の企業ホームページ

図:WordPress テーマのテンプレートがそのまま使われていた偽の企業ホームページ


この手口の狙いは、正規の企業サイトだとセキュリティベンダーに思わせることで、そのドメインが不正サイトとして登録されてしまうのを防ぎ、一般的なセキュリティソフトウェアが備えるアンチスパム機能や不正URLブロック機能などを回避するためと考えられます。このようなセキュリティ製品による検知の回避策を携えたドメインを仕立てることで、サイバー犯罪者はそのドメインの配下に検知されにくいフィッシングサイトを作ることができるわけです。

■対策
メールのフィルタリング機能やセキュリティソフトを使い、不正なメールの受信そのものを防ぐことが、まず有効な対策となります。メールの内容においても、メールアドレス、本文、リンクに一貫性がないなど不審な点がないか十分確認してください。基本的にはメール内のリンクはクリックせず、利用しているサービスであればブックマークあるいは社内のイントラなどからアクセスして通知内容を確認してください。もしメール内のリンクを選択してクリックする場合は、リンク先に不自然な文章がないか、あるいはリンク先ドメインとサイト内容の整合が取れているかどうか確認しましょう。不審なメールを受け取った場合は、速やかに組織のセキュリティ担当部門や担当者に相談してください。
]]>
https://is702.jp/main/images/news/S210330.jpg
解説動画「働く大人なら最低限知っておきたいネットセキュリティの基本 2021」公開 2021年3月22日公開の法人向けガイドブック「働く大人なら最低限知っておきたいネットセキュリティの基本」2021年度版の解説動画をis702パートナープログラム限定で公開しました。 2021-03-30T00:00:00+09:00
約30分の動画では、ガイドブックで紹介している脅威の例や対策をより具体的に解説しており、公開済みのガイドブックとあわせて自組織内の従業員教育に活用して頂ける内容となっています。

動画の確認用URLリンクおよび動画ファイルは、is702パトナープログラムの登録パートナー向けポータルサイト*で公開しています。
*is702パートナー専用ページにログインするには、別途事務局からご案内している認証ID、認証コードが必要です。

is702パートナープログラムについてはこちら


]]>
https://is702.jp/main/images/news/S210329.jpg
Chromebookをより安全に利用するための7つのポイント テレワークやオンライン学習用の端末としてChromebookを検討している方も多いのではないでしょうか。Chromebookをより安全に利用するための対策を確認しておきましょう。 2021-03-25T00:00:00+09:00
「セキュリティソフトがいらない」は誤り?

Chromebookをより安全に利用するための7つのポイント

2021/03/25
「セキュリティソフトがいらない」は誤り? Chromebookをより安全に利用するための7つのポイント

パソコン購入時の選択肢の1つとなっているChromebook。Chromebookは一般に安全と評されていますが、どんなパソコンもセキュリティ対策が欠かせません。Chromebookを安全に利用するための7つのポイントを紹介します。

Chromebookとは?

テレワークやオンライン学習の普及、GIGAスクール構想の加速に伴い、Chromebookが次第に存在感を増しています。Chromebookは、Googleが開発したChrome OSを搭載するパソコンです。Chrome OSはGoogle ChromeでWebアプリを使用し、ほとんどのデータをクラウドに保存することを前提に設計されており、低価格、バッテリーの持ちなどがChromebookの大きな魅力となっています。

セキュリティの高さにも定評があります。世間ではChromebookにウイルス対策ソフトは不要というイメージもあるほどです。たとえば、Chromebook では個々のWebページとアプリがOS内の隔離領域で動作します。このため、ユーザが不意にウイルスの仕込まれた不正サイトにアクセスしてしまっても他のタブやアプリなどに影響が及びにくいとされています。またChrome OSは最新版へのアップデートが自動で行われため、ユーザによる適用忘れによって脆弱性(セキュリティ上の欠陥)が放置されることもありません。それゆえ、ChromebookはOSの脆弱性を悪用する攻撃に強く、マルウェア(ウイルスなど不正なプログラムの総称)に感染しにくいとされています。

Chromebookはこれら以外にも強固なセキュリティ機能を備えています。しかし、すべての脅威に対処できるわけではありません。Chromebookユーザがセキュリティの観点で注意すべきことを紹介します。

ネット詐欺や不正な拡張機能に注意

ネット詐欺は、Chromebookユーザが警戒すべきセキュリティ脅威の1つです。これはネット利用者を不正サイトなどへ誘導し、情報や金銭をだまし取る手口の総称で、Chrome OSやWindows、macOSといったOSを問わない脅威です。

その代表例として挙げられるフィッシング詐欺は、実在するサービスの正規ログインページを装うフィッシングサイトにネット利用者を誘導し、そこで入力させた情報をだまし取る手口です。詐取の対象は各種インターネットサービスの認証情報(IDとパスワードなど)や個人情報、クレジットカード情報など多岐にわたります。フィッシングサイトの多くは本物のページをコピーして作られるため、見た目で真偽を判断することは困難です。トレンドマイクロの調査によると、2020年12月にフィッシングサイトへ誘導された国内利用者数は約59万人に上り、前年同期比で2倍となっています。フィッシングによる被害も2019年に引続き高止まり傾向にあるため、継続的な注意と対策が必要です。

図:フィッシングサイトに誘導された国内利用者数推移(2021年1月トレンドマイクロ調べ)

またChromebookユーザの多くは、Google Chromeに拡張機能を追加しているのではないでしょうか。拡張機能にはさまざまな種類があり、広告を表示させないようにするものや、複数に分割されているWebページを1ページに結合できるものなどもあります。しかし、拡張機能を配布するChromeウェブストアにはGoogleの審査をすり抜けて不正なものが紛れ込む場合があります。もし、不正な拡張機能を入れてしまった場合、望まない広告をしつこく表示されたり、フィッシングサイトへ誘い込まれたりするかもしれません。Chromeウェブストアから拡張機能を入手する際には事前に開発元の評判やレビューの内容を確認し、インストールすべきかどうかを慎重に判断してください。運営元不明のWebサイトから拡張機能を入手するのはもってのほかです。

アプリについても、Chromebookは不正アプリが入り込んでも影響を受けにくいとされていますが、リスクは回避する方が賢明です。アプリの入手に際しては必ずChromeウェブストアやGoogle Playなどの公式アプリストアか、公式Webサイトを利用しましょう。ただし、公式アプリストア内に不正アプリが紛れ込んでいる場合もあるため油断は禁物です。インストールする前に、必ず開発元やアプリが求める権限、評価などを確認し、不審な点がある場合は利用を見送りましょう。また、インストール時は無害だったアプリがアップデートに乗じて特定のWebサイトやネット広告へ誘導する不正アプリに入れ替わった例もあります。アプリによって不正サイトへ誘導される危険性もあるということを認識しておきましょう。

Chromebookユーザが実践すべき対策とは

Chromebookを安全に利用するための7つのポイントを押さえておきましょう。

1.詐欺の手口や狙いを知る

ネット詐欺の手口や狙いを知ることは、自衛策の基本です。メールやSNS内のURLリンク、ネット広告などからたどり着いたWebサイトで情報入力を促された場合、フィッシング詐欺の疑いがあります。日頃からセキュリティ事業者や関連団体などが公表する注意喚起情報に目を通しておきましょう。

2.セキュリティソフトを最新の状態で利用する

Chromebookにはネット詐欺を回避するためのセキュリティソフトが必要です。Google PlayストアやChromeウェブストアからChromebookでの動作保証を明示しているセキュリティソフトを入手し、最新の状態で利用しましょう。たとえば、「ウイルスバスター Webセキュリティ for Chromebook」を利用すれば、不正サイトへアクセスしたり、詐欺メールにだまされたりするリスクを軽減できます。

3.ホームルータを適切に保護する

Chromebookはオンライン環境での利用を前提としているため、ホームルータの保護も欠かせません。ホームルータのセキュリティを破られると、そこに接続するすべての機器に通信傍受や不正操作などの危険が及ぶためです。ホームルータを保護するポイントをチェックし、対策を行いましょう。

4.公衆Wi-Fiを不用意に利用しない

Chromebookを公衆Wi-Fiに接続する場合も注意してください。セキュリティに不備のあるWi-Fiスポットにつないでしまうと、端末の通信内容を盗み見られたり、詐欺サイトへ誘い込まれたりする可能性があります。「携帯電話会社などの信用できる事業者や団体から提供されている公衆Wi-Fiを優先的に利用する」「VPNを利用する」などの対策を行いましょう。

5.ユーザーアカウントを個別に保有する

1台のChromebookを家族と共用する場合は、人数分の「ユーザーアカウント」を作成し、個々にサインインして使うようにしましょう。ユーザごとに個別の環境を用意すれば、本来のアカウント利用者以外に個人的なメールやファイルを見られたり、データを誤って消されてしまったりすることを防げます。

6.ペアレンタルコントロールを適用する

お子さん用のChromebook、およびユーザーアカウントには必ずペアレンタルコントロールを適用してください。Googleが無料で提供するペアレンタルコントロールアプリ「ファミリーリンク」を利用すれば、年齢に適さないアプリのインストールや有害サイトへのアクセスを防いだり、利用時間を制限したりすることができます。ただし、無理強いはかえって反発を生みかねません。お子さんと一緒にネットの利用ルールを決めると良いでしょう。

学校や地域によっては学習専用端末がお子さんに支給されることもあります。その場合、セキュリティツールによる保護や制限が有効になっていると考えがちですが、不十分な可能性もあります。保護者は上記を参考にセキュリティを強化してください。お子さんのネットの利用状況には常に気を配り、学校が定めたルールを子どもが守れるよう、保護者も協力しましょう。

7.自動更新ポリシーを確認する

Chromebookの「自動更新ポリシー」にも気を配りましょう。これは、GoogleがChrome OSを搭載している端末に対してソフトなどの自動アップデートを保証する期間です。自動更新ポリシーの期限が切れてしまうと、その後Chrome OSに脆弱性が見つかっても、それらを修正する更新プログラムが提供されません。つまり、それらの脆弱性を悪用する攻撃に対して無防備になり、セキュリティレベルが著しく低下してしまうのです。自動更新ポリシーは、メーカーや機種によって異なります。Googleの公式サイトでご利用のChromebookの自動更新ポリシーを確認しておきましょう。もちろん、サポート切れのChromebookを使い続けることはできますが、マルウェア感染などのリスクは日増しに高まります。有効期限が切れる前に年式の新しい機種に買い替えるなど、対策を検討してください。

]]>
http://rss.is702.jp/main/rss/3831_l.jpg
2020年のサイバー攻撃、“曖昧になったネットワーク境界線”に便乗する手口が増加 トレンドマイクロは3月18日、公式ブログで「コロナ禍の法人を脅かす境界線内外の攻撃:2020年1年間の脅威動向を分析」と題する記事を公開しました。同社では、最新のセキュリティ動向を分析した報告書「2020年 年間セキュリティラウンドアップ」を同日に公開しており、それをもとにした内容です。 2021-03-22T00:00:00+09:00
2020年は、新型コロナウイルス(COVID-19)が世界的に流行したことで、例年とは異なる特殊な1年となりました。日本では多くの法人組織において、テレワークが急激に拡大し、企業ネットワークとホームネットワークの境界が曖昧になりました。サイバー犯罪も“曖昧になったネットワーク境界線”に便乗するよう変化しています。

たとえば、不特定多数に対するばらまき型のランサムウェア攻撃が停滞する一方、法人組織を狙い組織ネットワークへの侵入を前提とした新たなランサムウェア攻撃が、全世界に大きな影響を与えました。海外では特に、医療関係、政府関係、製造業など、パンデミックとの戦いの最前線にある基幹産業の多くが標的となりました。業界別で見ると2020年は、政府機関や公共機関から、ランサムウェアが最も多く検出されています。12月には、あるIT企業が提供するシステム管理ソフトウェアを通じて複数の大手企業が攻撃された「ソフトウェアサプライチェーン攻撃」の事例も確認されました。
一方、遠隔地から組織のネットワークに接続する「VPN(仮想プライベートネットワーク)」「RDP(リモートデスクトッププロトコル)」といったシステムが、これまで以上に犯罪者に狙われるようにもなりました。企業側は、こうした潮流の変化を踏まえて、新時代のサイバーセキュリティに取り組む必要があるでしょう。

その他の最新動向や具体的な事例、詳細データをまとめた報告書は、トレンドマイクロの公式サイトからダウンロードが可能です。


図:2020年年間セキュリティラウンドアップ表紙

図:2020年年間セキュリティラウンドアップ表紙

]]>
https://is702.jp/main/images/news/S210322_3.png
法人向けガイドブック「働く大人なら最低限知っておきたいネットセキュリティの基本」2021年度版公開 法人向けガイドブック「働く大人なら最低限知っておきたいネットセキュリティの基本 2021」を公開開始しました。本ガイドブックは、2020年4月に公開した資料の更新版となり、組織における従業員教育や、自己学習に活用できる内容となっています。 2021-03-22T00:00:00+09:00
組織を狙うサイバー犯罪は衰えを見せず、従業員への不正メールやサイバー攻撃が発端となっているものも少なくありません。経営幹部あるいは取引先等になりすまして金銭や情報を騙し取る「ビジネスメール詐欺」、パソコンなどに感染する「マルウェア」、クラウドサービスの認証情報を狙う「フィッシング詐欺」など、組織を狙うサイバー攻撃が横行しています。また、コロナ禍でテレワークが急増し、職場の外で業務を行う従業員は、より一層セキュリティ対策への意識が求められています。

本ガイドブックは、従業員一人ひとりが最低限知っておくべき組織を狙ったサイバー攻撃や脅威、その対策について、イラストを交えて分かりやすく解説しています。

具体的には、職場に潜むサイバー脅威、テレワーク時のリスクと回避術を説明したうえで、最低限押さえておくべき「セキュリティ基本対策5か条」を紹介しています。また、自身の対策状況を確認できる「セキュリティ対策チェックリスト」が巻末に用意されており、現状を客観的に把握することも可能です。2021年度版では、最近の事例を基に一部改訂や加筆を行っています。

ガイドブックはPDFファイルの形で提供されており、「is702」の学習資料ダウンロードページから無償でダウンロード可能です。


]]>
https://is702.jp/main/images/news/S210322_1.jpg
「見知らぬ大人との交流の制限」など18歳未満の利用者を保護する機能を追加|Instagram Instagramは3月16日(米国時間)、若年層の利用者を守るため、3つの新機能を発表しました。 2021-03-18T00:00:00+09:00
新たに発表・導入されたのは、以下の3つの機能です。Instagramの利用可能年齢は13歳以上ですが、登録されている年齢に加え、AIや機械学習で正しい年齢を識別する取り組みを強化し、これらの機能を適用する方針です。

(1)18歳未満の利用者と、彼らがフォローしていない大人とで、ダイレクトなやりとりを制限する。
(2)不審な行動を取るアカウントとのやりとりを警告し、対応策を通知する。
(3)18歳未満の利用者に、「アカウント非公開」を推奨する通知を表示する。

SNSに限らず、ネット上では悪意を持った第三者が年齢や身分を装って近づいてくる場合があります。トラブルに巻き込まれないよう、年齢に適したネット利用を心掛けてください。そして、保護者は子どもが安全にネットを利用できるように導いてあげてください。同社では、保護者のためのヒントとして保護者のためのInstagramガイドを公開しています。設定やトラブル時の対応など参考にすると良いでしょう。
なお、今後数週間のうちに、「不審な行動をとる大人が18歳未満の利用者を発見・フォローしづらくする機能」も導入する予定とのことです。

ネット上には様々な脅威が潜んでおり、それらの脅威を知っておくことが回避に役立ちます。トレンドマイクロの公式インスタグラムアカウントでは、安全で楽しいネット利用に役立つセキュリティ情報をわかりやすくお届けしています。ぜひフォローしてみてください。
トレンドマイクロの公式インスタグラムアカウント https://www.instagram.com/trendmicro_jp/


トレンドマイクロの公式インスタグラムアカウント

トレンドマイクロの公式インスタグラムアカウント

]]>
https://is702.jp/main/images/news/img_news41.jpg
新社会人に必要なセキュリティの心得 軽井は会社のセキュリティ講習を受けたようです 2021-03-18T00:00:00+09:00
ひろしとアカリのセキュリティ事情

新社会人に必要なセキュリティの心得

2021/03/18

セキュリティは従業員一人ひとりの心がけが大切

社会人には常にセキュリティを意識した慎重な行動が求められます。もし、自分の不注意で情報漏えいなどが生じてしまった場合、きっかけを作った本人だけでなく、勤務先も責任を問われてしまいます。

私たちがついやってしまいがちなのは作業中のパソコン画面をロックせずにその場を離れてしまうことです。もし、何者かにパソコンを操作されたり、スマホで画面を撮影されたりして業務情報を持ち出されてしまった場合、どうなるでしょうか。たとえば、開発中の製品やサービスの情報が競合他社に漏れてしまった場合、勤務先が多大な損失を被る可能性もあります。さらに、取引先や顧客にまで被害が及ぶ可能性も否めません。

社内外を問わずパソコン作業中に何らかの理由でその場を離れる際は、必ずスクリーンロックをかけましょう。これはパソコン画面を専用のロック画面に切り替えることで第三者に作業内容を盗み見られたり、勝手に操作されたりすることを防ぐ仕組みです。使用を再開する場合、事前に設定したパスワード、あるいはPIN(4桁以上の暗証番号)を入力してロックを解除する必要があるため、第三者にパソコンを不正使用されにくくなります。

また、パソコンのログインパスワードや、業務用サービスとアカウント情報(IDとパスワードなど)の組み合わせを忘れないよう、それらを付箋に書いてディスプレイに貼り付けている方もいるかもしれません。しかし、他人の目につく場所にパスワードを置いておくのは大変危険です。それを見れば第三者がパソコンにログインし、サービスの認証を突破できてしまいます。社会人は勤務先に決められた方法でアカウント情報を適切に管理してください。スマホやタブレットを貸与されている場合も同様です。第三者に作業内容を盗み見されたり、端末を操作されたりしないよう注意を払いましょう。

企業のセキュリティ確保への取り組みは、従業員一人ひとりの協力なくして成立しません。すべての従業員には当事者意識を持って最低限のセキュリティ知識を身につけるとともに、勤務先のガイドラインやポリシーに従って行動することが求められます。

ひろしとアカリのセキュリティ事情 ひろしとアカリの日常をもっと見る
ひろしとアカリのセキュリティ事情 ひろしとアカリの日常をもっと見る
]]>
http://rss.is702.jp/main/rss/3828_l.jpg
Microsoft Exchange Serverの脆弱性を悪用した攻撃に対し、暫定的な緩和ツールを公開|マイクロソフト マイクロソフトは3月15日(米国時間)、ビジネス向けメール・予定管理サービス「Microsoft Exchange Server」製品の脆弱性を悪用した攻撃に対し、「オンプレミスExchange緩和ツール(ワンクリックの緩和ツール)」を公開しました。 2021-03-17T00:00:00+09:00
Microsoft Exchange Serverについては、既知の脆弱性を悪用した攻撃が発生しており、マイクロソフトはすでに修正プログラムを公開しています。一方で、更新プログラムの適用プロセスに不慣れなユーザや、社内事情などから、まだセキュリティ更新プログラムを適用できていないユーザが存在します。そのため、マイクロソフトは暫定的な緩和策として設計された対策ツール(スクリプト)を公開しました。
このツールを実行することで、以下3つの操作が実行されるとのことです。
・URL Rewrite を構成変更することで、CVE-2021-26855 を利用した既知の攻撃を緩和します。
・Microsoft Safety Scanner を使って、Exchange Server をスキャンします。
・見つかった脅威によって加えられた変更を元に戻そうとします。

しかし、このツールは、あくまで暫定的な緩和策です。システム担当者はオンプレミスのExchange Serverに対して、早急にセキュリティ更新プログラムを適用しましょう。]]>
https://is702.jp/main/images/news/S210304.jpg
シェアオフィスなどの「共同利用型オフィス」が抱えるセキュリティ課題と対策を解説|SIOTP協議会 一般社団法人セキュアIoTプラットフォーム協議会(SIOTP協議会)と一般社団法人日本テレワーク協会は3月10日、「共同利用型オフィス等で備えたいセキュリティ対策について」第2版を公開しました。 2021-03-16T00:00:00+09:00
シェアオフィスなどの「共同利用型オフィス」では、一般的なオフィスとは異なるセキュリティ対策が、提供側、利用者側の双方に求められます。こうした背景から、SIOTP協議会では2019年7月に、サイバーセキュリティに係る課題と対策について取りまとめた第1版を公開していました。今回公開された第2版は、コロナ禍などにより急拡大したテレワークの最新状況を踏まえ、内容を更新するとともに、よりわかりやすい記述へと変更されています。

主な内容としては、セキュリティ課題と対策として「管理体制(セキュリティポリシー・トレーニング等)」「入退室管理・利用者情報」「ネットワーク機器(無線LANアクセスポイント・ルーター等)」「ネットワーク接続機器(複合機・防犯カメラ等)」「レンタルPC」「物理設備(ロッカー等)」の6項目を採り上げているほか、無線LANのセキュリティ方式や電子証明書などについてもコラムで解説しています。また、チェックシートに確認項目がまとめられており、共同利用型オフィスの運営者が現状を把握しやすいようになっています。

「共同利用型オフィス等で備えたいセキュリティ対策について」第2版は、PDFファイル(全25ページ)がSIOTP協議会のサイトから無償でダウンロード・閲覧可能です。シェアオフィスやコワーキングスペース、レンタルオフィスなどの提供者は、対策や管理の参考にすると共に、利用者側もシェアオフィスなどの選定時に役立てると良いでしょう。
]]>
https://is702.jp/main/images/news/img_news20.jpg
訓練用の攻撃メール、「役職者」が「肩書なし」と比較して開封率高い結果に|東京商工会議所 東京商工会議所は3月10日、会員企業を対象に実施した「標的型攻撃」メール訓練の結果を発表しました。会員企業(従業員100名以下)の経営者・従業員を対象としたもので、今回の訓練には89社・651名からの申し込みがあり、2020年12月10日~18日の期間に行われました。 2021-03-12T00:00:00+09:00
この訓練では、東京商工会議所から訓練対象者のメールアドレスに、訓練用の標的型攻撃メールを送信し、訓練対象者がメール本文内のURLをクリックしてしまったら、「開封」としてカウントします。その結果、全体の開封率は、24.0%(実施人数:651名、開封:156名)でした。前年に行われた同種の訓練(70社・560名)では25.4%の開封率だったため、そこからは微減していますが、まだまだ高水準であることがわかります。

従業員数で比較すると、もっとも開封率が高かったのは「21~50名」28.2%、もっとも開封率が低かったのは「0~5名」5.6%の企業でした。役職で比較すると、「肩書あり(経営者・経営幹部以外)」31.7%、「経営者、経営幹部」22.6%、「肩書なし」20.6%で、役職者の方が開封率が高い結果となりました。

特定の企業・組織を狙う「標的型攻撃」は、経営に大きなダメージを与えかねない危険な攻撃です。各企業は、適切なセキュリティ対策を導入するとともに、経営層も含めて訓練や従業員教育を定期的に行い、一人ひとりのセキュリティに対する意識を高めましょう。


訓練メールの本文(東京商工会議所の発表資料より)

訓練メールの本文(東京商工会議所の発表資料より)

]]>
https://is702.jp/main/images/news/img_news19.jpg
ブラウザの「通知」機能を悪用した偽のウイルス感染通知に注意|IPA 独立行政法人情報処理推進機構(IPA)は3月9日、ブラウザの「通知」機能を悪用し、不審なサイトに誘導する手口について、注意を呼びかけました。 2021-03-11T00:00:00+09:00
最近のブラウザには、サイトを訪問したときに「通知の表示」を許可すると、さまざまな情報を配信してくれるプッシュ型の「通知」機能が搭載されています(iOS端末を除く)。一方、安易に許可してしまうと、思わぬ通知が頻繁に届くというトラブルに遭う可能性があります。

IPAの「安心相談窓口だより」によると、パソコンやスマートフォンでブラウザを起動中に、「コンピュータが危険にさらされている」「携帯をクリーンアップしてください」といったメッセージが繰り返し表示される事例が発生しており、その表示画面から「不審なセキュリティソフトの購入や、不審なスマートフォンアプリのインストールに誘導された」といった相談が寄せられているとのことです。

こうしたメッセージはブラウザの「通知」機能を悪用して配信された偽の警告です。不正サイトに誘導し、実際には役に立たないサービスを購入させたり、決済情報を詐取したりするのが狙いです。またセキュリティの不安を煽るメッセージではなく、「最新スマホが当選しました!」といった内容で興味を惹き、偽サイトに誘導するケースもあります。

普段とは異なる警告の場合、その通知が偽物である可能性が考えられます。ブラウザで通知の許可を与えたかもしれない、という場合は、ブラウザの設定から確認することもできます。各ブラウザのヘルプページやIPAの公開情報などを参考に、通知の許可の状態を見直してください。またサイトに誘導されても、慌てて情報を入力せずそのまま閉じてください。その上で、自身が利用しているセキュリティソフトやアプリでスキャンを行うと良いでしょう。

偽の警告や当選通知は、このようなブラウザの機能を悪用するパターンだけでなく、ネット広告を悪用した手口もあります。急に表示される警告や当選通知を安易に信用せず、真偽を確認する習慣を身につけましょう。


図:手口の概要と基本的な対策(IPAの公表資料より)

図:手口の概要と基本的な対策(IPAの公表資料より)

]]>
https://is702.jp/main/images/news/img_news42.jpg