is702 2020-06-04T00:00:00+09:00 インターネット・セキュリティ・ナレッジ ネット動画の視聴、投稿、ビデオ通話時に注意すべきこと ビデオ通話の活用や、動画コンテンツの視聴を楽しんでいる方も多いのではないでしょうか。ただ、オンラインサービスを利用する際はフィッシング詐欺や不正アプリなどに注意が必要です。ビデオ通話やネット動画との上手な付き合い方について学びましょう。 2020-06-04T00:00:00+09:00
動画配信サービスやオンライン会議を狙う脅威に要注意

ネット動画の視聴、投稿、ビデオ通話時に注意すべきこと

2020/06/04
動画配信サービスやオンライン会議を狙う脅威に要注意 ネット動画の視聴、投稿、ビデオ通話時に注意すべきこと

NetflixやHulu、Amazonプライム・ビデオなどの動画配信サービスや、YouTube、TikTokなどの動画共有サイトが人気です。また、ビデオ通話を介したコミュニケーションも盛んになっています。今回はネット動画の視聴時、およびSNSへの動画投稿時やビデオ通話利用の際に注意すべきことを紹介します。

ネット動画の視聴時はリスクも

昨今の状況を受け、外出を控えて自宅で過ごす時間が増えています。人々の不安や心身のストレスを和らげようと、普段は有料で提供されている動画コンテンツが無料で公開されたり、芸能人やスポーツ選手ら著名人によるYouTubeでの動画配信が盛んに行われたりしています。自宅でネット動画を視聴する機会は自然と増えているのではないでしょうか。

その一方で、動画配信サービスや動画共有サイトの利用者をターゲットとするサイバー攻撃も報告されています。ネット動画を視聴する際は、どんなことに注意しなければならないのでしょうか。

ネット動画の視聴者を狙う詐欺とは?

ネット利用者を人気動画配信サービスを装うフィッシングサイトへ誘導し、認証情報(ID、パスワード)や個人情報、クレジットカード情報を詐取しようとする手口を確認しています。

図:大手動画配信サービスに偽装した偽のログイン画面

図:偽のクレジットカード情報入力画面

フィッシングサイトは一般に、正規のWebサイトからデザインやレイアウト、ロゴなどが盗用されるため、一見本物のように見えます。また、本物を想起させるドメイン名を使用していたり、SSL(第三者による通信の読み取りを防いでくれる仕組みです。SSL対応のWebサイトでは、アドレスバーのURLが「https://」で始まり、「鍵マーク」が表示されます)に対応したりしているため、真偽の判別が困難です。

このほかにも、人気ユーチューバーを偽装したYouTubeのダイレクトメッセージを介して受信者を不正サイトへ誘い込む手口が報告されています。これは、アバター画像とチャンネル名をコピーすることで人気ユーチューバーになりすましたサイバー犯罪者が不特定多数に友達リクエストを送信し、それを承認した利用者に不正なメッセージを送りつけることから始まります。そして、受信者にURLリンクを開かせ、賞品を受け取るためという名目で個人情報やクレジットカード番号などを入力させるのです。また、誘導先でアンケートへの回答を求められたり、別のWebサイトに次々と誘導されたりする場合もあります。それらの多くはアフィリエイト(ネット利用者を特定のWebページに誘導することにより報酬を得る仕組み)による金銭の獲得が目的と見られます。

多くの人の関心事や旬な話題に便乗するのはネット詐欺の定番のやり口です。2018 FIFAワールドカップの開催期間中には一般のWebサイトにおいて試合映像を無料で視聴できるとうたう偽のストリーミング配信アプリが配布されました。その正体は、位置情報やSMSメッセージ、通話音声データ、外部ストレージ内のファイルなどを外部に送信するAndroid端末向けの不正アプリでした。

図:サッカー選手を紹介するWebサイトから配信されていた
正規アプリに偽装した不正アプリのダウンロードサイト

ラグビーワールドカップ2019の開催期間中にも無料のライブストリーミング配信を餌にネット利用者を惹きつけ、視聴の条件としてメールアドレスやクレジットカード情報の入力を求める偽サイトが確認されました。

図:偽のアカウント登録画面の一例

ネット動画を安全に視聴するための5つのポイント

ネット動画を安全に視聴するための5つのポイントを確認しておきましょう。

1.セキュリティソフトを最新の状態で利用する

パソコンやスマホ、タブレットなど、動画視聴に利用する機器には必ずセキュリティソフトやアプリを入れ、常に最新の状態で利用しましょう。フィッシングサイトにアクセスしたり、不正アプリをインストールしたりしてしまうリスクを下げることができます。
ゲーム機やスマート家電など、セキュリティソフトをインストールできない機器については、ネットワーク全体を保護してくれるセキュリティ製品や、セキュリティ機能を備えたホームルータを使って守りましょう。

2.ネットでの情報入力を慎重に行う

動画配信サービスなどのアカウントへのログインは必ずブックマークに登録した公式サイトや、公式アプリから行いましょう。メールやSNS、SMS内のURLリンク、非公式Webサイト、ネット広告などからたどり着いたページは不正サイトの疑いがあるため、安易な情報入力は禁物です。

3.アカウントを厳重に管理する

動画配信サービスをはじめとするインターネットサービスのアカウントを第三者に不正利用されないための対策も不可欠です。サービスごとに異なるIDとパスワードの組み合わせを使用すること、第三者に推測されにくいパスワードを設定することを徹底してください。また、パスワード認証とは別に二要素認証といったセキュリティを強化できる設定を利用できる場合は必ず有効にしましょう。

4.公式のアプリストアからアプリを入手する

運営元不明のWebサイトで配布されているアプリには注意が必要です。スマホに動画配信アプリを入れる際はGoogle PlayやApp Store、携帯電話会社などが運営する公式のアプリストアを利用してください。公式アプリストアを利用する場合も、アプリのダウンロード前に著名な検索サイトでアプリ名や開発元を検索し、評判を調べることも習慣づけましょう。公式アプリストアにも不正アプリが紛れ込んでいる可能性があるためです。

5. お子さんの年齢に応じたアクセス制限をかける

ネット上にはポルノや違法薬物、ギャンブル、暴力など、子どもたちにとって不適切な描写を含む動画が無数に存在します。スマホやゲーム機本体、各動画配信サービスが独自に提供するフィルタリング機能、セキュリティ製品などを利用してお子さんの年齢に応じたアクセス制限をかけましょう。1日あたりのネット利用時間の上限を設定すれば、お子さんの過度なネット利用も防げます。

ネットへの動画投稿やビデオ通話利用時における4つの注意点

YouTubeやTikTokに限らず、FacebookやTwitter、InstagramなどのSNSでも動画を用いたコミュニケーションが当たり前になっています。また、Zoomなどのオンライン会議(Web会議、リモート会議)ツールをビジネス以外のシーンで使う人も急増しています。いまや、個人がオンラインサービスを活用し、生の映像をネット上でやり取りすることも珍しくありません。動画投稿や、ビデオ通話を利用する際の注意点も押さえておきましょう。

1.適切なプライバシー設定を行う

SNSや動画配信サービスで不特定多数に公開した動画は、だれが、どのような目的で閲覧しているかわかりません。また、オンライン会議に第三者が介入し、不適切な画像を表示されたり、やり取りを盗み見されたりする危険性もあります。だれと共有すべき情報かを踏まえてサービスごとに適切なプライバシー設定とセキュリティ設定を行ってください。
SNSでは、プロフィールや投稿の公開範囲を目的や用途に応じて制限しましょう。また、主なSNSでは、サービスを利用できる年齢を制限しています。お子さんがその年齢に達していない場合は、必ず保護者がアプリやサービスを管理し、勝手に利用させないように注意しましょう。

オンライン会議ツールでは、第三者に介入されないよう、デフォルトの設定を見直すとともに、参加者用URLやパスワードを必要な相手だけに共有するようにしましょう。

2.個人情報やプライバシーを含む動画をむやみに公開しない

SNSや動画配信サービスで個人を識別できる情報が含まれる動画を載せた場合、相応のリスクが生じます。たとえば、悪意のある第三者に個人を特定され、嫌がらせやストーカー、脅迫などの被害に遭う危険性があります。被写体だけでなく、背景の映り込みにも十分に注意してください。

3.相手や著作物に配慮する

人の容姿がはっきりわかる形で映り込んだ動画やスクリーンショット(画面コピー)を本人の承諾なしにインターネット上に公開したり、仲間内で共有したりする行為は重大なマナー違反です。無断で撮影するようなことはせず、相手への配慮を忘れないようにしましょう。また、自身で創作していない音楽や画像、イラスト、動画などの著作物の取り扱いにも注意が必要です。無断利用や配信を行った場合、損害賠償責任を問われる可能性もあることに留意しましょう。

4.節度ある内容の投稿を心がける

道徳に反する行為は現実社会だけでなくネット上でも許されません。ネットに動画を投稿する前に、他者のプライバシー侵害や利益侵害、誹謗中傷、観た人を不快にさせるような内容などが含まれていないことを確認してください。投稿内容をだれかにコピー、拡散された場合、半永久的にネット上に残り続け、不特定多数の目に触れる可能性があります。また、オンライン会議ツールやビデオ通話アプリの利用時も、発言や行動に注意が必要です。相手が無断で録画や画面コピーを行う可能性もあるためです。第三者に共有されると困る言動は慎みましょう。

]]>
http://rss.is702.jp/main/rss/3685_l.jpg
最新事情をとりまとめた「フィッシングレポート 2020」公開|フィッシング対策協議会 フィッシング対策協議会(技術・制度検討ワーキンググループ)は6月2日、フィッシングの被害状況、フィッシングの攻撃技術・手法などをとりまとめた「フィッシングレポート 2020」を公開しました。 2020-06-03T00:00:00+09:00
「フィッシングレポート 2020」は、フィッシング対策ガイドラインの「重要5項目」を提示するとともに、国内外の状況、2019年の動向、被害状況、最新の攻撃手法や対策について解説した内容です。なおフィッシング対策ガイドラインの「重要5項目」は、事業者向けに以下を推奨する内容です。

・利用者に送信するメールには「なりすましメール対策」を施すこと
・複数要素認証を要求すること
・ドメインは自己ブランドと認識して管理し、利用者に周知すること
・すべてのページにサーバ証明書を導入すること
・フィッシング詐欺対応に必要な組織編制とすること

同レポートによると、2019年にフィッシング情報の届け出件数は大きく増加。特に国内の金融機関(銀行)を騙った、インターネットバンキングに係る被害が急増したことが指摘されています。また犯罪者の手法が、クレジットカード情報の詐取から、銀行を騙った不正送金、キャリア決済の不正利用など、多様化したことも報告されています。さらに、フィッシングサイトへの誘導にSMSを使う「スミッシング」の報告が増えており、スマホ利用者がターゲットとなっている状況が明らかとなりました。国外動向としては、SSL(通信の暗号化:HTTPS化)を利用するフィッシングサイトが2015年の調査開始以降、もっとも高い割合を示しました。


図:フィッシング情報の届け出件数(フィッシング対策協議会の発表資料より)

図:フィッシング情報の届け出件数(フィッシング対策協議会の発表資料より)



また、こうした状況に対抗する新たな方策として、「リスクベース認証」「FIDOを使用した生体認証」「SMSを使ったフィッシングへの対策」などが紹介されています。SMSを悪用したスミッシングに対する対策の一つとしては、次世代版SMS、RCS(Rich Communication Service)に準拠した「+メッセージ」が挙げられています。「+メッセージ」では、携帯キャリア3社それぞれの審査によって事業者が公式アカウントを取得することで、認証済みマークが表示されます。それにより、利用者がメッセージの真偽を判断しやすくなるなどの利点があります。


図:事業者のアカウントに表示される認証済みマークの例

図:事業者のアカウントに表示される認証済みマークの例



レポートは、フィッシング対策協議会のサイトより、PDFファイルがダウンロード・閲覧可能です。
フィッシング詐欺に遭わないためには、利用者の学びと技術的対策の両輪で防ぐ必要があります。巧妙化を続ける手口に十分注意しましょう。
]]>
https://is702.jp/main/images/news/S200603_1.JPG
Wi-Fiを安全に利用するための最新版ガイドブック公開|総務省 総務省は、無線LAN(Wi-Fi)の安全な利用のため、「Wi-Fi利用者向け 簡易マニュアル」と「Wi-Fi提供者向け セキュリティ対策の手引き」の最新版(令和2年5月版)を、それぞれ公開しました。 2020-06-02T00:00:00+09:00
スマホの普及により、Wi-Fiも多くの施設で利用されるようになりましたが、セキュリティ対策を講じていない場合、通信内容が盗み見られるなどの被害が発生する場合があります。「Wi-Fi利用者向け 簡易マニュアル」「Wi-Fi提供者向け セキュリティ対策の手引き」は、それぞれの立場での注意点をまとめたガイドブックです。

「Wi-Fi利用者向け 簡易マニュアル」は、一般利用者を対象に、Wi-Fiに関する基本的な知識やメリット、使用時の注意点、具体的な設定方法を10ページにまとめているもので、5年ぶりの刷新となります。以前の版では、Wi-Fiそのものや企業が提供している具体的なサービスの説明にページが割かれていましたが、最新版はセキュリティ対策に絞って解説しており、対策の3つのポイント、実際の危険な事例、具体的な手順、「VPN」や「WPA2」の解説、利用者アンケートの結果といった内容が掲載されています。

一方、「Wi-Fi提供者向け セキュリティ対策の手引き」は、飲食店や宿泊施設などでWi-Fiを提供する事業者・自治体に向け、基本的な知識や、Wi-Fiを提供するにあたって必要なセキュリティ対策について12ページにまとめており、4年ぶりの刷新となります。こちらも利用者の動向や最新技術を踏まえた記述が追加されるとともに、青少年有害情報のフィルタリング、個人情報保護・通信の秘密保護といった観点が盛り込まれました。

ガイドブックは総務省のサイトから、最新版(令和2年5月版)がそれぞれ無料でダウンロード可能です。利用者・事業者で該当する人は、ぜひ活用してください。

トレンドマイクロでは、Wi-Fi利用時の通信を保護するスマホ用アプリ「フリーWi-Fiプロテクション」の30日無料体験版を提供しています。また、ホームネットワークの安全性を評価するスマホ向けアプリ「スマートホームスキャナー」と、パソコンで利用できる診断ツール「オンラインスキャン for Home Network」をそれぞれ無料で提供しています。できるところから対策を行い、安全・安心にネットを活用しましょう。



「Wi-Fi利用者向け 簡易マニュアル」表紙

「Wi-Fi利用者向け 簡易マニュアル」表紙


]]>
https://is702.jp/main/images/news/S200602.png
クラウド最大のセキュリティリスクは「利用者の設定ミス」 トレンドマイクロは5月28日、公式ブログで「セキュリティを見直す機会となる『クラウド変革』」と題する記事を公開しました。 2020-05-28T00:00:00+09:00
近年、クラウドインフラへの支出が非クラウドインフラへの支出を上回るなど、クラウドを基本とした運用が一般的になっています。一方で、セキュリティの観点からクラウドは主要な対象ではなく、あくまでオプションの位置に留まっています。サイバー犯罪者側はこうしたギャップに着目し、すでにクラウド環境を標的としてランサムウェアや暗号通貨の発掘、データ窃取その他の攻撃を仕掛けています。

しかし、これらに対しクラウドプロバイダもさまざまなセキュリティ対策を行っています。そうすると、「なぜ追加の対策が、ユーザ側でも必要なのか?」という疑問がわきますが、これについてトレンドマイクロは「クラウドにおけるセキュリティの『責任共有モデル』がまだ十分に浸透していないため」と指摘しています。つまり「クラウドプロバイダはプラットフォーム全体を保護するが、企業や組織はそれらのプラットフォームに内在するデータのセキュリティに責任を持つ必要がある」という考えです。

そして、責任共有モデルを理解していないことが、クラウドにおける最大のセキュリティリスク「設定ミス」につながるとしています。今や「設定ミス」はランサムウェアや暗号通貨発掘、脆弱性攻撃といった攻撃よりも大きなリスクとなっています。トレンドマイクロの「Trend Micro Cloud One Conformity」では、不適切な設定を含む何らかのアラートを1日当たり2億件以上確認しています。設定ミスこそが最大のリスクであり、最大の懸念事項だとしています。

たとえば、ITチームが作業内容を合理化し、内部プロセスをより簡略化しようとした結果、組織内の全ユーザに読み取り・書き込みのできるアクセス権限を許可するよう設定した、といった事態が発生しているが、このような設定ミスを攻撃に悪用される可能性があることを、利用者が認識していないことが危険だとしています。トレンドマイクロは「2025年までに、クラウド環境への攻撃の成功の75%以上が、クラウドプロバイダではなく、クラウドの利用顧客によるセキュリティの認識不足あるいは設定ミスによって引き起こされる」と予測しています。

クラウド環境を保護する施策としては、「最小権限の原則を採用する」「責任共有モデルにおける自身の役割を理解する」「設定ミスによって露出しているシステムがないか、クラウドインフラストラクチャを監視する」「セキュリティについてDevOpsチームを教育する」といったものが挙げられています。

詳細はトレンドマイクロのセキュリティブログおよびレポート(英語)から参照することができます。企業の担当者はこれらの情報を参考に、セキュリティ対策の漏れやミスが無いか改めて確認すると良いでしょう。
]]>
https://is702.jp/main/images/news/img_news32.jpg
無償でコンテンツを活用できる「is702パートナープログラム」をご存知ですか? is702は、安心・安全にネットを利用できるよう、最新のセキュリティ情報をより多くのネット利用者に届けることを目的としており、登録法人がis702のコンテンツを自組織で活用できる無償のis702パートナープログラムを提供しています。 2020-05-28T00:00:00+09:00
新たな生活様式が求められている昨今、テレワークやオンライン授業、オンライン診療、ネットショッピングなど、さまざまなオンラインサービスの利用が急増し、ネットがより日常生活に密接するようになりました。一方で、急な環境の変化でオンラインサービスを使い始めたばかりの利用者も多く、そのようなネットに不慣れな利用者を狙うサイバー脅威も横行しています。

人々が利用する機器やサービスが多様化している現在、不特定多数のネット利用者を狙う攻撃では人を騙す手口も多く、技術的なセキュリティ対策に加え、利用者の学習が欠かせません。そのためには、最新の脅威情報を常に入手できるようにすることが求められています。
is702では、ニュース記事として最新の手口や情報を発信するほか、特集や4コマでは、テーマに合わせてより詳しい脅威の事例や対策を紹介しています。

is702パートナープログラムはトレンドマイクロの法人ユーザ様やビジネスパートナー様がご登録頂ける無償プログラムです。是非ご活用ください。

プログラムの詳細およびご登録はこちらから]]>
https://is702.jp/main/images/news/S200528.jpg
スマホ決済サービスを装うメッセージに要注意 ママは、両親にスマホ決済サービスの利用を勧めています 2020-05-28T00:00:00+09:00
ひろしとアカリのセキュリティ事情

スマホ決済サービスを装うメッセージに要注意

2020/05/28

スマホ決済サービスの認証情報が狙われている!?

スマホ決済が国内でも広く浸透しつつあります。これは、店舗やショッピングサイトでの買い物の支払いをスマホ1つで完結できる仕組みです。一方で、利用者が多く、金銭がらみの情報もひもづくオンラインサービスはサイバー犯罪者に狙われる傾向にあり、スマホ決済サービスも標的となっています。

スマホ決済サービスの代表的な脅威がフィッシング詐欺やアカウントリスト攻撃(他のサービスから漏えいした認証情報を使って不正ログインを試す攻撃)です。たとえば、QRコード決済サービスのPayPayをかたり、「アカウントの異なる端末からのアクセスのお知らせ」などと通知するメールやSMS(ショートメッセージサービス)経由で受信者をフィッシングサイトへ誘導する手口が報告されています。本文内のURLリンクを開いてしまうと、正規サイトにそっくりなロゴ入りのフィッシングサイトが現れ、個人情報やクレジットカード情報などを盗み取ろうとします。もし情報を入力してしまうと、自身のアカウントやクレジットカードを不正利用され、金銭的被害などに遭うかもしれません。

ネット詐欺にだまされないポイントは詐欺の手口や事例を知ることです。決済サービス事業者や消費者関連団体、セキュリティ事業者が公表する注意喚起情報を定期的に確認しましょう。また、メールやSMS内のURLリンク、ネット広告はフィッシングサイトなどの誘導口にもなっているため、不用意に開いてはいけません。アカウントへのログインは必ずブックマークに登録した公式サイトや、公式アプリから行ってください。スマホに決済アプリをインストールする際もGoogle PlayやApp Store、携帯電話会社などが運営する公式のアプリストアを利用しましょう。
もちろん、スマホにセキュリティアプリをインストールし、最新の状態に保つことも重要です。これにより、フィッシングサイトなどの詐欺サイトへ誘導されるリスクを下げることができます。

ひろしとアカリのセキュリティ事情 ひろしとアカリの日常をもっと見る
ひろしとアカリのセキュリティ事情 ひろしとアカリの日常をもっと見る
]]>
http://rss.is702.jp/main/rss/3682_l.jpg
スマホにセキュリティ対策していますか?不正サイトに誘導されたモバイル利用者数が100万人突破 「スマホは安全だから、セキュリティ対策の必要はない」なんて思っていませんか?詐欺や情報窃取、不正アプリのインストールなどを目的とした不正サイトに誘導される利用者は年々増加しています。 2020-05-26T00:00:00+09:00
スマホにもセキュリティ対策は欠かせません。まだセキュリティアプリをインストールしていない場合は、すぐにインストールしましょう。

図:不正サイトに誘導された国内モバイル利用者数推移、2020年5月トレンドマイクロ調べ

図:不正サイトに誘導された国内モバイル利用者数推移、2020年5月トレンドマイクロ調べ



商品が届かない上に、個人情報やクレジットカード情報まで悪用されてしまったら最悪ですよね。





ネット詐欺対策にはスマホにセキュリティアプリをインストールすることが必要ですが、その前に気軽に試していただけるLINEのサービスもあります。
「Webサイトにアクセスする前に、安全かどうか確かめたい!」そんな時にご利用いただけるのが、LINEで使える無料のウイルスバスターチェック!(試験運用中)です。Webサイトが安全かどうかを「〇△×」で判定してくれます。ネット詐欺の被害に遭わないよう、今日からスマホにもセキュリティ対策をはじめてみましょう。


ウイルスバスターチェック!(試験運用中)



スマホはお財布同然!きちんと守れていますか?

]]>
https://is702.jp/main/images/news/S200522_1.jpg
テレワークから職場に戻るときにセキュリティの観点から注意すべきこと 緊急事態宣言の解除が始まり、テレワークから職場での勤務に戻っている方もいるのではないでしょうか。家庭内で利用していたパソコンなどを職場で利用再開する際に、気を付けたいことを確認しておきましょう。 2020-05-25T00:00:00+09:00
テレワークから戻る際の職場における規定や手順を確認し、それを順守する
テレワークから職場に戻る際の規定や手順が定められているかどうかを確認し、それに沿って準備を整えましょう。規定がわからない場合は、まずは職場の担当者に相談しましょう。

セキュリティの観点から特に注意すべきこと
1.端末が感染していないか確認し、アップデートを適用させてから業務を開始する

一般的に家庭内のネットワークのセキュリティ対策は、職場のネットワークと比べれば十分ではないものと考えられます。家庭内ネットワークで使用したパソコンは職場のネットワークに接続する前に、セキュリティソフトによるスキャンを再度行い、問題が検出されないか確認しましょう。また、職場から指示されているもので、適用させていないアップデートがある場合は事前に適用させておきましょう。
職場のネットワークに接続すると、追加でアップデートが実行される場合もあります。このようなアップデートは脆弱性(セキュリティ上の欠陥)を補うものなので、必ず適用してから業務を開始しましょう。スマホが貸与されている場合は、同様にスキャン(Android端末の場合)やOSのアップデートを適宜行いましょう。
セキュリティソフトのアップデートが完了したら、念のため再度フルスキャンを行うとより安全です。

2.持ち込む機器を確認する
急遽テレワークになったことで機器の手配が間に合わず、個人所有のパソコンやスマホ、タブレット、周辺機器を利用した人もいるのではないでしょうか。本来許可されていなかった機器を、無断で職場に持ち込まないようにしましょう。もし、継続して職場で利用したい場合は、職場の担当者に相談してください。パソコンから個人のUSBメモリを使って情報を移動させることも同様に担当者に相談してください。万が一、USBメモリ内にウイルスなどのマルウェアが潜んでいた場合、パソコンに感染するだけではなく、職場のネットワーク内に感染を広めてしまうこともあります。
情報を移動させたい場合は、勤務先で推奨されている手順を確認し、許可されているクラウドサービスや共有フォルダなどを利用して移動し、セキュリティソフトでスキャンしてファイルがマルウェアに感染していないことを確認してから利用しましょう。また、情報漏えいを防ぐためにも、一時的に利用した個人所有の端末に情報をそのまま残しておかず、必ず消去しましょう。

システム管理者は、テレワークから戻る従業員が利用する機器に加え、社内システムなど多くの確認事項があります。特定非営利活動法人 日本ネットワークセキュリティ協会(JNSA)では、システム管理者に向けた緊急事態宣言解除後のセキュリティ・チェックリストが公開されています。システム管理者はこちらのリストを参考に、確認の漏れが無いかどうか参考にすると良いでしょう。また、Withコロナに向けた業務の見直しやセキュリティ対策を検討するための確認項目も提示されているので、既に職場での勤務を再開している場合も参考にすることが出来ます。

■緊急事態宣言解除後のセキュリティ・チェックリスト|JNSA
https://www.jnsa.org/telework_support/telework_security/index.html

また、職場では机や備品を共有する機会が増加します。利用する機器も適宜消毒しながら利用すると良いでしょう。

久々のオフィスでは、アップデートに時間がかかったり、ネットワークへの接続がうまくいかなかったりする場合もあるかもしれません。時間と心に余裕を持ち、混雑を避けて職場に向かいましょう。
]]>
https://is702.jp/main/images/news/S200525_1.jpg
スマホ決済サービスのリスクと7つの対策ポイント スマホ決済はいまや利用者にとって欠かせない機能のひとつになっています。一方でそれを狙うサイバー犯罪も後を絶ちません。スマホ決済サービスを安全に利用するための7つのポイントを押さえましょう。 2020-05-21T00:00:00+09:00
不正ログインで悪用される!?

スマホ決済サービスのリスクと7つの対策ポイント

2020/05/21
不正ログインで悪用される!? スマホ決済サービスのリスクと7つの対策ポイント

現金をやり取りしない新たな決済手段として定着しつつあるスマホ決済。スマホひとつで簡単に支払いができるためとても便利ですが、第三者に不正利用されるなどのリスクもはらんでいます。スマホ決済サービスを取り巻く危険を知り、7つの対策を実践しましょう。

スマホ決済サービスがサイバー犯罪者に狙われている

キャッシュレス決済が国内でも広がりを見せています。身近なところではクレジットカードやプリペイドカード、電子マネー、デビットカード、口座振替などが利用されてきました。近年、キャッシュレスによる決済方法の中でもひときわ存在感を増しているのがスマホで支払いをする「スマホ決済」です。スマホ決済は仕組みの違いによって大きく「キャリア決済」「非接触型決済(非接触IC決済)」「QRコード決済」の3つに分けられます。スマホひとつで決済を完結できる手軽さや、キャッシュレス決済時のポイント付与、還元を目的にこれらのスマホ決済サービスを使い始めた人も多いのではないでしょうか。

ただ、利用者の多いオンラインサービスはサイバー犯罪者に狙われる傾向にあり、スマホ決済サービスも例に漏れず格好の標的になっています。多くのスマホ決済サービスではクレジットカードや銀行口座などの決済に必要な情報がひもづいており、それらを悪用すれば金銭的な利益を得られるためです。スマホ決済サービスにはどのようなリスクがあるでしょうか。

アカウントの乗っ取りに要注意

●脅威1.決済サービスを偽装したフィッシング詐欺

スマホ決済サービスのアカウントを侵害され、商品を不正購入される被害が発生しています。サイバー犯罪者がアカウント乗っ取りに用いる手口の1つはフィッシング詐欺です。たとえば、QRコード決済サービスのPayPayをかたり、「アカウントの異なる端末からのアクセスのお知らせ」などと通知するメール経由で受信者をフィッシングサイトへ誘導する手口が報告されています。もし、本文内のURLリンクを開いてしまうとPayPayのロゴ入りのフィッシングサイトが現れ、そこで入力した認証情報(携帯電話番号とパスワード)や個人情報、クレジットカード情報などをだまし取られてしまいます。

●脅威2.アカウントリスト攻撃や辞書攻撃による認証突破

アカウント乗っ取りの手口では、アカウントリスト攻撃や辞書攻撃にも注意が必要です。アカウントリスト攻撃は、フィッシング詐欺やサービス事業者へのサイバー攻撃、ダークウェブ上の売買サイトなどを介して不正に入手した認証情報をリスト化し、それらを用いて他のサービスへのログインを試みる手法です。利便性を優先し、複数のサービスに同一の認証情報を設定している利用者は、アカウントリスト攻撃による乗っ取り被害に遭うリスクが高くなります。一方、辞書攻撃は、辞書に載っている英単語やパスワードに使用されやすい文字列を登録したリストを準備し、それらを1つのIDに対して順番に試していく手法です。アカウントの乗っ取りを防ぐため、IDとパスワードを使い回したり、単純な文字列をパスワードに設定したりするのはやめましょう。

ある大手コーヒーチェーン店では、2019年10月に独自の決済サービスで第三者によるアカウントの不正利用が発生したことを公表しました。アカウントリスト攻撃による不正ログインと見られることから、同社は決済サービスの利用者に対してパスワードを変更するとともに他のサービスと同じパスワードを使い回さないよう呼びかけました。

●脅威3.決済サービスやアプリの隙を突く攻撃

非接触型決済やQRコード決済の利用にあたっては、専用の決済アプリをインストールし、事前にチャージ(入金)しておくか、クレジットカードや銀行口座などの情報を登録しておく必要があります。そのため、アカウントやデバイスを悪用された場合、金銭被害に直結します。
スマホ決済サービスは、2019年10月の消費税率増税に伴って急激に利用者が増加し、類似サービスも次々と生まれました。しかし、中には認証手順の隙を突いた不正ログインやクレジットカード情報の盗用などが発生し、サービス開始からわずか数カ月で廃止になったものもあります。どんなサービスやアプリでも当初は見えなかった欠陥や不具合が後に露見する場合があり、サイバー犯罪者はそれらを悪用する機会を常に狙っているのです。
スマホ決済サービスの非利用者も油断はできません。クレジットカード利用者であればだれもが被害者になり得ます。サイバー犯罪者は、フィッシング詐欺や正規サイトの改ざん(Eスキミング)、サービス事業者への攻撃などによって不正に入手した他人のクレジットカード情報を手元の決済アプリに登録し、商品を不正購入する可能性もあるのです。

スマホ決済サービスを安全に利用するための7つのポイント

1.アカウントの登録と管理を適切に行う

スマホ決済サービスを安全に利用するための基本は、登録時に必ずサービスごとに異なるIDとパスワードの組み合わせを使用すること、第三者に推測されにくいパスワードを設定することです。利用状況を定期的に確認し、身に覚えのない決済履歴を見つけた場合は直ちにサービス事業者やクレジットカード事業者に相談しましょう。

2.アカウントのセキュリティ対策を強化する

主なスマホ決済サービスでは、パスワード認証とは別に二要素認証などのセキュリティを強化できる認証方法を提供しています。設定できる場合は必ず有効にしておきましょう。二要素認証にはスマホをトークン(一定時間おきに変更され、一度しか使えないワンタイムパスワードを生成する機器)として利用するものがあります。ログイン時にはIDとパスワードに加え、SMSなどで取得できる認証コードも入力しなければならないため、第三者が不正ログインしにくくなります。
ただし、最近のフィッシング詐欺には二要素認証の認証コードを入力させるものもあります。認証情報を入力する前に、必ず正規サイトかどうか確認しましょう。

3.メールやSMS内のURLリンクを不用意に開かない

著名な決済サービス事業者や、携帯電話事業者に偽装したメッセージを仕立て、SMSやメールから利用者をフィッシングサイトに誘導しようとする手口が継続的に報告されています。ログインが必要などと称してURLリンクを開かせようとするものは注意が必要です。アカウントへのログインは必ずブックマークに登録した公式サイトや、公式アプリから行いましょう。
各サービス事業者やセキュリティ関連団体の公式サイトでは不正なメッセージの例を紹介しています。利用中のサービスの事例を知り、自衛策に役立てましょう。

注意喚起情報の一例

4.セキュリティアプリを最新の状態に保って利用する

昨今のフィッシングサイトは正規サイトと見分けがつかないほど巧妙に作られています。また、そこへの誘導手段として主に用いられる偽装SMSやメールのだまし文句にもさまざまな工夫が凝らされます。さらに、スマホに不正アプリをインストールしてしまうと、SMSに送られてくる認証情報を窃取されるなどの危険性もあります。
自身で回避することが難しいサイバー攻撃から身を守るためには、パソコンだけでなくスマホにもセキュリティアプリを入れ、最新の状態に保って利用することが欠かせません。スマホはいまや財布としての役割も担うことができます。個人情報やプライバシー、お金を守るために、セキュリティ対策を怠らないようにしましょう。

5.決済アプリは公式のアプリストアから最新のバージョンを利用する

スマホ決済アプリを入手する際は、Google PlayやApp Store、携帯電話会社などが運営する公式のアプリストアを利用しましょう。メールやSMS、SNS内のURLリンク、ネット広告などからたどり着いたアプリの配布サイトは不正なものである可能性があります。Webサイトを閲覧しているときに突然アプリのインストールを促された場合も警戒してください。ただし、公式アプリストア内にも不正アプリが紛れ込んでいる場合があります。どのようなアプリであっても、インストールする前に必ず配信元や詳細を確認する習慣を身につけましょう。
また、スマホやアプリの脆弱性を放置していると、情報漏えいなどの被害につながる危険性があります。OSやインストールされているアプリを最新の状態に保つことも欠かせません。アプリの自動更新を有効にし、開発元から提供されたアップデート版を忘れずに適用できるようにしましょう。

6.スマホの盗難、紛失対策を行う

スマホ本体だけでなく決済アプリ自体にも、使う頻度や使用上限金額に応じて可能であればロックをかけておきましょう。ロック解除には事前に登録したパスワードや暗証番号、生体情報などによる認証が必要なため、第三者に決済アプリを不正利用されにくくなります。また、決済の上限金額や、オートチャージ設定を見直し、悪用された場合の被害をおさえておくことも対策の一つです。
紛失、盗難に備え、スマホの位置を特定したり、遠隔からスマホをロックしたりできるよう、スマホのGPSと「iPhoneを探す(iOSの場合)」「端末を探す(Android OSの場合)」や、セキュリティアプリに備わっている探索機能も有効にしておきましょう。

7.使わない決済アプリは解約、アンインストールする

使わなくなった決済アプリについては、提供元であるサービス事業者の公式サイトなどで解約時の注意点などを確認してからアンインストールしましょう。決済アプリに限らず、利用していないアプリを放置しておくことはセキュリティリスクにつながります。定期的に棚卸をしましょう。

]]>
http://rss.is702.jp/main/rss/3677_l.jpg
問題のあるIoT機器を探し出す「NOTICE」プロジェクト、2019年度は延べ2,249件が注意喚起対象に|NICT 総務省、国立研究開発法人情報通信研究機構(NICT)および一般社団法人ICT-ISACは5月15日、IoT機器の調査および利用者への注意喚起を行う取り組み「NOTICE」と、マルウェア感染が検知されたIoT機器の利用者へ注意喚起する取り組みについて、2019年度の実施状況を公表しました。 2020-05-20T00:00:00+09:00
「NOTICE」(National Operation Towards IoT Clean Environment)は、セキュリティ上危険のあるID・パスワード設定などのためサイバー攻撃に悪用されるおそれのあるIoT(Internet of things、モノのインターネット)機器を調査するプロジェクトとして2019年2月にスタート。あわせてマルウェア(ウイルスなど悪意のあるソフトウェアの総称)に感染しているIoT機器の利用者に対し、ISP(インターネットサービスプロバイダ)経由で注意喚起を行う取り組み(NICTER注意喚起)が、2019年6月にスタートしました。

2019年度中に参加手続きが完了したISPは50社で、当該ISPの約1.1億IPアドレスに対して調査が実施されました。そのうちID・パスワードが入力可能であったものは、直近の調査において約10万件。そのうち特定のID・パスワードによりログインでき注意喚起対象となったもの(ISPに通知したもの)は延べ2,249件でした。注意喚起を受けて利用者が対策を行っている一方で、新規に特定される機器もあるため、全体として大きな変化はないと推測されています。

NICTER注意喚起については、1日当たり平均162件がISPに通報されていました。なお2019年度第4四半期においては、2020年2月下旬~3月初旬に一時的に通知件数が増加しましたが、これはIoT機器を狙うマルウェア「Mirai」の亜種の活動が一時的に活発化したことによるものと推測されています。


IoT機器調査および利用者への注意喚起(NICTの発表資料より)

IoT機器調査および利用者への注意喚起(NICTの発表資料より)



現時点では問題のあるIoT機器はそれほど多くはないものの、利用者は油断することなく、「適切なID・パスワードを設定する」「機器のファームウェアを最新版へアップデートする」などのセキュリティ対策を引き続き採り入れるようにしてください。
Miraiのようなマルウェアによる被害に遭わないためには、端末を保護することが重要です。まずは家庭内のネットワークが危険にさらされていないか、診断をすることから対策をはじめてみると良いでしょう。トレンドマイクロでは、ホームネットワークの安全性を評価するスマホ向けアプリ「スマートホームスキャナー」と、パソコンで利用できる診断ツール「オンラインスキャン for Home Network」を無料で提供しています。ホームネットワークにつながっている家電や機器を表示し、それぞれのセキュリティの問題点と解決策を提示してくれます。


※バナーをクリックするとトレンドマイクロのスマートホームスキャナーのページが開きます。

※バナーをクリックするとトレンドマイクロのスマートホームスキャナーのページが開きます。




]]>
https://is702.jp/main/images/news/S200520.png
【注意喚起】自治体や政府、企業の正規サイトを複製した偽サイトを複数確認 正規のWebサイトを複製した偽サイトが複数確認されています。利用者はツールバーのURLや証明書情報を確認し、参照しているWebサイトが正規のものか確認しましょう。 2020-05-14T00:00:00+09:00
今週に入ってから、神戸市名古屋市横浜市札幌市、などの自治体や企業の公式Webサイトで、自組織の偽サイトに関する注意喚起が相次いで行われています。
トレンドマイクロでも、5月13日時点で複数の自治体や企業、政府の偽サイトを確認しており、これらの偽サイトはプロキシ回避システムを利用したと考えられ、同様の手口で複数作成されたものと推測しています。なお、今回と同様の手口による偽サイトの混乱は過去にも確認しています。

プロキシとは、Webサイトにアクセスする際にサービス側との間を中継する仕組みのことです。プロキシ回避システムとは、たとえばWebフィルタリングなどの機能で利用者が直接アクセスできないWebサイト(制限されたサイト)があった場合、このシステムが制限されたサイトのコンテンツをもとに模倣サイトを作り、それを利用者に表示させる仕組みです。
現在話題となっている偽サイトでも、このプロキシ回避システムなどが利用され、正規サイトの複製を違うドメイン(URL)で第三者が提供するといったことが行われていると考えられます。

トレンドマイクロが確認したいくつかの偽サイトでは、正規サイトが複製されているのみで情報窃取や不正プログラムの拡散などは確認できませんでしたが、利用者はこのような複製された偽サイトに注意を払う必要があります。偽サイトに悪意のある第三者が介入していた場合、サイト上で入力した情報を窃取されたり、正規の内容とは異なる情報が表示されたりする可能性もあるからです。ログインが必要なサイトであった場合は、認証情報(IDやパスワード)を窃取され、正規サイトの不正ログインにより個人情報やクレジットカード情報などが奪われる危険性もあります。
また、正規Webサイトの提供側にとっても勝手に情報を複製されてしまうことによる著作権侵害や、利用者に混乱や被害を生じさせるなどの危険性に加え、正規サイトに適用している制限やセキュリティ対策を回避されてしまうことになります。

今回確認されている偽サイトは自治体に限りませんが、5月に入ってから新型コロナウイルス対策給付金の申請が各自治体で開始されていることもあり、給付金のオンライン申請を狙う目的で今後このような偽サイトが悪用される危険性も考えられ、引続き注意が必要です。


図:複製された偽の名古屋市のWebサイト。ドメイン名以降は正規サイトと同じURL、内容となっており、正規サイトをソースとして参照していることが伺えます。

図:複製された偽の名古屋市のWebサイト。ドメイン名以降は正規サイトと同じURLとなっており、正規サイトをソースとして参照していることが伺えます。



自治体の偽サイトの被害にあわないためには、アクセス先のドメインをよく確認することが重要です。また、一般的な複製された偽サイトを見分ける方法としては、ブラウザ(ChromeやEdge、SafariなどWebサイトの閲覧に使うツール)のツールバーに表示されるドメインを確認するとともに、ドメインの前に表示される鍵マークからそのサイトがどのような証明書情報を有しているか確認することも有効です。少なくとも、証明書発行先の名称がWebサイトの情報と異なる、または証明書の期限が切れているようなWebサイトの利用は避けてください。

参考記事
鍵マークの違いって?サーバ証明書に関する情報を整理|フィッシング対策協議会


図:SafariのツールバーでEV証明書を有している場合に表示される緑の鍵マークと文字列の例

図:SafariのツールバーでEV証明書を有している場合に表示される緑の鍵マークと文字列の例



Webサイトを提供する事業者側は、扱う情報に適した証明書を取得するよう心掛けると共に、複製された偽サイトが無いか定期的に確認し、必要に応じて利用者に注意喚起を行うなどの対策を講じましょう。


利用者がこのような不正サイトへのアクセスを回避するには、セキュリティソフトやアプリによる対策も有効です。不正サイトは年々巧妙化しており、自身で見分けることが困難な場合も少なくありません。PCのみならず、スマホやタブレットにもセキュリティ対策を行うことを忘れないようにしましょう。]]>
https://is702.jp/main/images/news/img_news42.jpg
チートツールに手を出してはいけません 軽井はスマホでゲームを楽しむ二人に話しかけようとしています 2020-05-14T00:00:00+09:00
ひろしとアカリのセキュリティ事情

チートツールに手を出してはいけません

2020/05/14

チートツールを装うマルウェアに注意

オンラインゲームユーザを狙うサイバー犯罪が多様化しています。たとえば、SNSやゲーム内のチャットなどでオンラインゲームユーザをそそのかし、嘘の取引や不正サイトなどに誘導するネット詐欺に加え、チートツールや正規ソフトに偽装したマルウェア(不正なソフトウェアの総称)をインストールさせる手口が報告されています。人気のバトルロイヤルゲーム「フォートナイト(Fortnite)」のプレイヤーを狙った手口は、「敵に照準を合わせる精度を上げ、マップ上の他のプレイヤーの位置を可視化する」とプレイヤーの興味をかき立てるうたい文句で不正サイトへ誘導し、チートツールに見せかけたランサムウェア(身代金要求型ウイルス)をインストールさせるものでした。このランサムウェアはパソコン内に入り込むとファイルを暗号化し、要求額を支払わなければそれらを次々に削除すると脅迫するものでした。

図:チートツールを装ったランサムウェアに感染したパソコンに表示された脅迫状

では、チートツールとは何でしょうか。チートツールはコンピュータゲームにおいて運営元が意図しないコンテンツの改変、動作を行わせる不正プログラムの総称です。チートツールの使用は、ゲームバランスを壊し、運営元だけでなく一般プレイヤーにも損害を与えるため、多くのオンラインゲームで禁止されています。公平性が失われたゲームから健全なプレイヤーが離れてしまうことは想像に難しくありません。過去にはチートツールの使用者が電子計算機損壊等業務妨害容疑で書類送検されたケースもあります。チートツールには絶対に手を出さないようにしましょう。

もちろん、ゲームを楽しむためのパソコンやスマホでもセキュリティソフトは必須です。セキュリティソフトを正しく更新しながら利用すれば、不正サイトへのアクセスや、マルウェア、不正アプリ感染のリスクを下げることができます。パソコンの動作への影響が心配な方は、プレイを妨げない「サイレントモード」や「ゲームモード」を搭載するセキュリティソフトを選ぶと良いでしょう。

ウイルスバスター クラウドの「サイレントモード」機能について
https://esupport.trendmicro.com/support/vb/solution/ja-jp/1118105.aspx

ひろしとアカリのセキュリティ事情 ひろしとアカリの日常をもっと見る
ひろしとアカリのセキュリティ事情 ひろしとアカリの日常をもっと見る
]]>
http://rss.is702.jp/main/rss/3665_l.jpg
NICT、実践的サイバー防御演習「CYDER」の教材を申請制・期間限定で一部公開 国立研究開発法人情報通信研究機構(NICT)のナショナルサイバートレーニングセンターは5月12日、サイバー防御演習「CYDER」(CYber Defense Exercise with Recurrence:サイバー防御反復演習)の教材について、一般公開を開始しました。 2020-05-13T00:00:00+09:00
新型コロナウイルスの影響などにより、サイバー攻撃の不安が増す一方で、十分な学習機会の確保が困難な状況が続いています。今回NICTでは、CYDERの周知啓発のため、過去の演習シナリオを課題単位で再構成した教材を提供するとのことで、学習者は興味のある課題のみを選択可能です。

CYDERは、実機や組織の擬似環境を用いた実践的な演習になっており、「どうすればインシデントを検知できるのか」「どんな対応をすれば被害を最小限にできるのか」など、セキュリティインシデントが発生した際の対応手順や事前の備えなどを学べます。2013年度の演習開始から、累計受講者数は11,000人を突破しています。
教材の利用料金は無料。期間限定で公開の予定ですが、現時点で明確な期限は決まっておらず「当面の間」となっています。また利用については申請制で、CYDERサイトで申請を受け付けた後、指定場所からダウンロードする形式です。なお、教材のみの配布でCYDERの演習環境は利用できません。
今回公開される教材は、外出が難しい状況下の在宅勤務等における学習教材や、組織内での研修用教材、研修・教育を今後担当する方自身のトレーニング用教材などに利用できるとのことです。
]]>
https://is702.jp/img/dummy/dummy_th.gif
「Evernote」「Canva」など、正規クラウドサービスの共有機能をフィッシング詐欺に悪用する手口に注意 トレンドマイクロは5月11日、公式ブログで「フィッシングサイト構築にクラウドサービスを利用する手口を連続して確認」と題する記事を公開しました。それによると、フィッシングサイトへ誘導する手口に正規のクラウドサービスが悪用されているケースが複数確認されたとのことです。 2020-05-13T00:00:00+09:00
それによると、フィッシングサイトへ誘導する手口に正規のクラウドサービスが悪用されているケースが複数確認されたとのことです。悪用されたサービスとしては、オンラインノートサービス「Evernote」をはじめ、画像編集サイト「Canva」、インフォグラフィックなどの作成サイト「Infogram」、テンプレート型デザインサイト「Lucidpress」など、複数の著名なクラウドサービスがあがっています。

このようなクラウド型のサービスでは、収集、作成したファイルを共有するための機能が備わっています。たとえばEvernoteのノートをまとめる「ノートブック」では、サイト内やパブリックリンクを利用した情報共有が可能です。この機能を悪用し、サイバー犯罪者がフィッシングメールを介して不正なPDFファイルを拡散していました。

確認された事例では、Evernoteの共有ページへつながるリンクを含んだフィッシングメールが、「Azure経由で文書を共有」という件名で送信されていました。メールから誘導されるEvernote上のリンク先には、文書をダウンロードまたはプレビューするように求めるリンクが準備されています。そこでリンクをクリックしてしまうと、Microsoftアカウントのログインページを装った偽のログインページに誘導され、認証情報を詐取しようとします。
なお、このフィッシングメールの送信者はハッキングの被害に遭っている可能性があり、サイバー犯罪者によって侵害されたアカウントが攻撃に使用されたとしています。

同様に「Canva」「Infogram」「Lucidpress」を悪用して作られたフィッシングメールやフィッシングサイトは、マイクロソフトのコラボレーションツール「Microsoft SharePoint」を偽装していました。外部の情報元によれば、Microsoft SharePointとコンテンツ作成アプリケーション「Microsoft Sway」においても、同様の攻撃が以前に報告されています。

このような攻撃による被害を防ぐには、送られてきたURLを不用意にクリックしないことが重要です。必ず立ち止って真偽の判断を行う習慣を身に着けましょう。
サイバー犯罪者は、利用者を信用させたりセキュリティ対策を回避するために、正規のクラウドサービスや機能を悪用して攻撃を仕掛けます。利用者は、このような手口もあるということを知っておくことで自衛に繋がります。基本的なセキュリティ対策を講じるとともに、最新の情報を入手できるようにしておきましょう。注意喚起を行っているセキュリティ関連機関や企業の公式ブログ、SNSをフォローしておくと情報が入手しやすくなります。



Canva上に作られたフィッシングサイト例

Canva上に作られたフィッシングサイト例

]]>
https://is702.jp/main/images/news/S200513.png
Google Playの最新ポリシー、定期購入の利用規約を明確にするよう要請 グーグルは5月8日、公式ブログで「Google Playの信頼性および安全性に関するポリシーの変更」と題する記事を公開しました。Android端末向けアプリの公式ストアである「Google Play」について、最新のポリシーの変更について解説した内容です。 2020-05-11T00:00:00+09:00
公式ストア「Google Play」でアプリを公開する場合、グーグルはさまざまな審査を行っています。その基準にはアプリの健全性や安全性といった項目が含まれています。またそのポリシーは、定期的に見直しが行われています。今回のポリシー変更では、「定期購入の透明化」と「不要な位置情報へのアクセス制限」がより厳格になったとのことです。

アプリには、月ごとの定額料金などを支払うこと(定期購入)で、サービスを利用できるタイプがあります。しかし、有料への切り替えが分かりにくかったり、受けられるサービスが曖昧だったり、機能に比べて高額だったりするアプリも存在します。今回グーグルはアプリ提供者に対し、定期購入の利用規約を明確にするよう要請しました。

具体的には、「アプリの全部または一部の機能やサービスを使うために、定期購入する必要があるかどうか」「定期購入が必要でない場合、ユーザは簡単に定期購入のオファーを拒否できるかどうか」「定期購入の価格」「課金サイクルの頻度」を明確にする必要があります。無料試用や発売記念価格を提供する場合は、「期間」「価格設定」「無料試用や発売記念価格に含まれる内容」「無料試用が有償の定期購入に切り替わるタイミング」「有償の定期購入に切り替えたくない場合、キャンセルする方法」を明確にする必要があります。6月16日までにアプリ提供者は準拠しなければなりません。

また「不要な位置情報へのアクセス制限」においては、アプリを利用する際に求められる個人情報をユーザがさらに細かく制御できるようになりました。これまでも、アプリが位置情報データにアクセスしようとする場合は、アクセス許可を与える必要がありましたが、Android 11で一時的に「ワンタイム」の許可を与えることが可能になりました。また、2020年2月からは、バックグラウンドで位置情報にアクセスを要求するアプリは、Google Playの承認が必要になりました。このポリシーは現在すでに適用されていますが、今回グーグルは施行の期限を延長するとのこと。バックグラウンドで位置情報にアクセスを要求する新規アプリは2020年8月まで、既存のアプリは2020年11月までに、対応を行ってほしいとしています。

利用者が安心してアプリを利用できるように、公式アプリストアでは日々対策や改善が行われています。アプリは必ず公式アプリストアからインストールするようにし、OSやアプリは最新の状態に保って利用しましょう。
また、必要以上の権限をアプリに付与していないか、不要なアプリの定期購入がないかどうかを定期的に確認してください。そして、購入したアプリをアンインストールする際は、定期購入の解約を忘れないように注意しましょう。]]>
https://is702.jp/main/images/news/img_news1.jpg
フィッシング報告件数がついに1万件を突破|フィッシング対策協議会 フィッシング対策協議会は5月1日、フィッシングに関する4月の集計結果を発表しました。それによると、同協議会に寄せられたフィッシング報告件数は、前月の9,671件より1,974件増加し11,645件となり、ついに1万件を超えました。 2020-05-07T00:00:00+09:00
フィッシングサイトのURL件数(重複なし)は、前月より147件増加し4,283件となりました。フィッシングに悪用されたブランド件数(海外含む)も、ほぼ横ばいながら、前月より2件増加し58件でした。
具体的には、Amazon、Apple、LINE、楽天を騙るフィッシングメールが、引き続き大量に配信されていました。なかでもAmazonを騙ったメールの報告数が3月の約1.4倍に拡大していたとのこと。宅配業者の不在通知を装ったショートメッセージ(SMS)も増加しているようです。さらに、地方銀行やネット銀行、クレジットカードについては、これまで報告のなかったブランドを騙るメールが登場したとのことです。URL件数も高い数字を維持していますが、これは、同じ件名や文面で、メールごとにあるいは短時間で誘導先URLを次々と変えるフィッシング手法がシステム化されているためとみられます。

フィッシング以外では、新型コロナウイルスの流行にともない、マスクなどの販売ショップを装った偽ショッピングサイトへ誘導するメール、給付金や補助金の申請を促すメール、ビットコインで寄付や納税を求める不審なメールなどが確認されました。

偽サイトで情報を入力してしまうと、さまざまな被害に遭う可能性があります。ログインを促すようなメールやSMSを受信した際は、正規のアプリやブックマークした正規のURLからサービスへログインして情報を確認するよう心がけてください。不審なメールを受け取った場合は、各サービス事業者の問い合わせ窓口、フィッシング対策協議会に連絡しましょう。

昨今のフィッシングサイトは巧妙に作られており、一見しただけでは真偽を見分けることが困難になっています。PCやスマホ、タブレットなどのネットを利用する機器には必ずセキュリティソフトやアプリをインストールし、最新の状態に保って利用しましょう。不正サイトにアクセスしてしまうリスクを下げることが出来ます。


フィッシング報告件数の推移(フィッシング対策協議会の発表資料より)

フィッシング報告件数の推移(フィッシング対策協議会の発表資料より)

]]>
https://is702.jp/main/images/news/S200507.png
【注意喚起】東京オリンピックへの支援を呼びかける偽の寄付メールに注意 新型コロナウイルスの流行に伴い、開催延期が確定した東京オリンピックですが、これらの事実に便乗したネット詐欺が発生しています。偽のメールに騙されないよう注意してください。 2020-04-30T00:00:00+09:00
今回トレンドマイクロが報告を受けた事例では、開催延期に伴う損害賠償費用の支援を求める内容でした。さらに、寄付の対価として東京オリンピックのチケットを割引価格で入手できるとうたっている上、入金後に個人情報をメールで送付するように求めています。万一このようなメールを信じて送金してしまうと、金銭的被害に加え、さらなる詐欺被害、他の攻撃者に情報を共有されるなどの危険性もあります。

オリンピック委員会の関係者を装う詐欺メールには、振り込み先として仮想通貨の住所(口座)が記載されています。なお、本注意喚起の執筆時点(2020年4月30日)で、該当仮想通貨住所におけるトランザクション(入出金)はありませんでした。

【詐欺メールの一例】
送信元アドレス:japanese_olympics<フリーメールのドメイン>
件名:東京オリンピックはキャンセルされる可能性があります。
本文(一部抜粋):
新型コロナウイルスによって、東京2020オリンピックは2021年に延期されました。
私たちは海外機構で予約したチケット、ホテル、航空券、材料などの巨額の損害賠償を負担せざるを得ません。
国は資金を集めて海外機構の賠償に対応しています。もし賠償できなければ、日本国民の国際イメージがひどく損なわれてしまい、国際社会から唾棄して、東京2020オリンピックはキャンセルされます。
(中略)
入金側は国際オリンピック委員会の口座です。私達は貴方がデジタルマネーを買って寄付するように呼びかけます。
(中略)
寄付すれば東京オリンピックのチケットを3割引で買う資格があります。
寄付後は個人情報をメールボックス<送信元アドレス>に送って登録してください。



図:詐欺メールの一例(2020年4月確認)

図:詐欺メールの一例(2020年4月確認)



トレンドマイクロでは、同様の詐欺メールを4月24日~26日にかけて400件以上確認しており、確認出来た送信元IPはすべて日本国内のサービスプロバイダが管理するものでした。
また、今回の手口で特徴的なのが寄付の入金手段です。国内への攻撃としてはセクストーションスパム(性的恐喝スパム)でよくみられる仮想通貨を指定しており、加えて価格が安定し実貨幣との換金が容易なステーブルコインを指定している点です。ステーブルコインは、価格が流動的である仮想通貨の中で、ドルなどの実貨幣の価値と連動するという利点を備えており、投資家のみならずサイバー犯罪者からも注目されています。

サイバー犯罪者は実社会の話題や関心事項、動向を即座に捉え、攻撃に転用します。ネット利用者はこのような攻撃や詐欺に巻き込まれないよう、ログインや情報入力、お金に関わるメッセージには特に注意を払ってください。

このような手口への対策としては、メールのフィルタリングや、セキュリティソフトの詐欺対策機能を有効にし、不審なメッセージの受信を防ぐとともに、同様の手口に騙されないよう、最新のサイバー脅威に関する情報を入手することが自衛に繋がります。セキュリティ関連団体や事業者の公式SNSやブログをフォローしておくと情報を入手しやすいでしょう。
]]>
https://is702.jp/main/images/news/S200430_6.png
【ステイホーム】ネットの安心、安全な利用に役立つまとめ情報 ステイホームや人との接触8割減が強く求められている中、それを実践するためにオンラインサービスの利用が活発化しています。一方で、そのような利用者を狙うトラブルや攻撃も発生しています。ネットを安心、安全に利用するための方法を改めて確認し、対策を実践しましょう。 2020-04-28T00:00:00+09:00
もくじ
■ステイホームに欠かせないオンラインサービス
■ステイホームのためのネットセキュリティ対策




政府の新型コロナウイルス感染症専門家会議提言資料「人との接触を8割減らす、10のポイント」出典:厚生労働省ホームページ(https://www.mhlw.go.jp/content/10900000/000624038.pdf)

政府の新型コロナウイルス感染症専門家会議提言資料「人との接触を8割減らす、10のポイント」出典:厚生労働省ホームページ(https://www.mhlw.go.jp/content/10900000/000624038.pdf)



■ステイホームに欠かせないオンラインサービス

学校の臨時休校や、テレワーク(在宅勤務、リモートワーク)、休業要請など、「ステイホーム」「人との接触8割減」を促進させるためのさまざまな施策がとられています。これらの実現に一役買っているのが、オンラインサービスです。
オンラインでの授業や習い事、帰省、飲み会ではZoonやSkypeなどのオンライン会議ツールや、SNSのビデオ通話機能、Apple製品間で利用できるFaceTimeなどが利用されています。
また、混雑を避けた買い物、運動へ出かける際に参考になるのが、グーグルマップの混雑時間帯情報や、スーパー、地域の公式Webサイトなどです。
他にも、遠隔診療(オンライン診療)、オンラインショップ、宅配代行サービス、ネットスーパーといった、外出を自粛するために欠かせないオンラインサービス。動画配信サービスやオンラインゲームも気分転換や娯楽、暇つぶしに欠かせません。また、SNSやオンラインゲーム上でも頻繁にコミュニケーションが行われ、直接会うことができない状況を補ってくれています。
さらに、テレワーク(在宅勤務、リモートワーク)で働く人にとって欠かせないのが、インターネット環境とクラウドメールなどのオンラインサービスです。
このように、オンラインサービスはステイホームや人との接触を減らすために広く活用されています。


一方で、オンラインサービス利用者を狙うフィッシング詐欺や、偽サイト、偽のメッセージ、不正広告、悪意のあるデマ情報の拡散、公式サイトを改ざんした情報窃取、サービス事業者への攻撃による情報漏えいなど、サイバー犯罪者による攻撃は日々行われています。このような攻撃によるリスクや被害を回避するためには、基本的な対策を怠らないことが重要です。

■ステイホームのためのネットセキュリティ対策

1.ホームネットワークの出入口であるルータのセキュリティ対策の見直し
2.OSやソフト、アプリは公式サイトからインストールして最新の状態に保つ
3.アカウントを登録する際は、公式サイトかよく確認し、一意のパスワードを設定する
4.セキュリティソフトやアプリをインストールして最新の状態に保つ
5.大切なデータのバックアップは定期的にとる
6.時にはデジタルデトックスしてみる


上記の基本対策を実践してみましょう。対策について一つずつ解説します。

1.ホームネットワークの出入口であるルータのセキュリティ対策の見直し

Wi-Fiを家庭内でも利用している場合、ルータはホームネットワーク(家庭内のネットワーク)にとって非常に大切な存在です。ルータのセキュリティ対策に不備があると、そこに繋がっている全ての機器(デバイス)がさまざまなサイバーリスクにさらされてしまいます。
・管理画面のパスワードを初期設定から変更する
・無線通信を暗号化(WPA2以上)した上で利用する

少なくともこの2つの対策を行ってからWi-Fiの利用を開始しましょう。さまざまなオンラインサービスを利用する上で、個人情報や決済情報などをやり取りする通信の安全性を確保することは欠かせません。

詳しい対策はこちらの記事を参照してください。
・そもそもホームルータってなに?家庭用ルータのセキュリティを4つのポイントで見直そう


2.OSやソフト、アプリは公式サイトからインストールして最新の状態に保つ

正規のソフトやアプリに偽装し、マルウェア(ウイルスなど不正ソフトの総称)をインストールさせようとする手口は常とう手段です。ソフトやアプリをインストールする際は、メッセージ内や広告のリンクなどから利用することは避け、必ず公式のWebサイトもしくは公式アプリストアを利用しましょう。また、公式アプリストアであっても、不正アプリが紛れ込んでいる可能性があります。インストールする前に、提供元や詳細情報の確認を怠らないようにしましょう。
そして、どのようなソフトウェアにも脆弱性(セキュリティ上の欠陥)はつきものです。OSやソフト、アプリの脆弱性を修正するため、最新バージョンの利用を心がけてください。
現在急激に利用者が増加しているオンライン会議ツールも、偽サイトや脆弱性が見つかっています。家族や仲間で利用する際には、必ず公式サイトから最新版をインストールしましょう。

詳しい対策はこちらの記事を参照してください。
・利用者が急増している「Zoom」のセキュリティリスクとその対策
・公式ストアに紛れ込む不正アプリ スマホにアプリを入れる前に確認したい4つのポイント


3.アカウントを登録する際は、公式サイトかよく確認し、一意のパスワードを設定する

ステイホームにともない、新たにオンラインサービスの会員登録を行う機会が増えた方もいるでしょう。仕事や学習、宅配、コミュニケーション、娯楽など、多くの人にとって、ステイホームを充実させるためのオンラインサービスは欠かせない存在となっています。
一方で、大手オンラインサービスに偽装したサイトを用いるサイバー犯罪が後を絶ちません。偽サイトに誤って情報を登録してしまうと、入力した個人情報やクレジットカード情報を悪用されたり、登録時に設定したIDとパスワードの組み合わせを他のオンラインサービスの不正ログインに悪用されたりする可能性があります。
アカウントを新たに登録する場合は、必ず公式サイトかどうかよく確認しましょう。メールやメッセージ、広告などから誘導されたリンクは偽物の可能性もあります。安易にクリックしない方が賢明です。また、パスワードの使い回しや単純なパスワードを利用していると、第三者による不正ログインの危険性が高まります。必ず推測されにくいパスワードをサービス毎に設定しましょう。

詳しい対策はこちらの記事を参照してください。
・STOP!パスワード使い回し! パスワードを使い回した場合のリスクと3つの対策


4.セキュリティソフトやアプリをインストールして最新の状態に保つ

普段であれば簡単に手に入るものが入手し難くなっている状況が続いており、このような状況に便乗したネット詐欺が横行しています。さらに、ここ数年続く、SMS(携帯電話番号に届くテキストメッセージ)を悪用した、偽の宅配便不在通知を利用した手口も継続的に確認しており、ステイホームで宅配荷物が増加している状況も重なり、偽の通知に騙されてしまう危険性がさらに高まっています。
最近の偽サイトや不正サイトは、一見しただけでは見分けがつかないほど巧妙に作られています。また、マルウェアを正規ソフトやアプリ、害の無い文書ファイルなどに見せかけるような手口は常とう手段です。知人を装ってメールに添付した不正ファイルを開かせ、マルウェアに感染させる手口もあります。
このような見分けることが難しいサイバー攻撃から身を守るには、セキュリティソフトやアプリが欠かせません。そして、最新の手口から機器を保護するためには、セキュリティソフトやアプリを最新の状態に保って利用することが重要です。
セキュリティソフトやアプリがインストールできないネットにつながる機器(スマート家電、携帯ゲーム機など)や、家庭内でのみ利用するタブレットなどは、ホームネットワーク全体を守るようなセキュリティ製品の利用が便利です。

トレンドマイクロでは、PCやスマホで利用できるセキュリティソフトやアプリの30日無料体験版を提供しています。
30日無料体験版はこちらから

また、家庭内のネットワークに接続する機器の安全性をチェックし、機器の遠隔操作、情報漏洩等のリスクを無料で診断できるアプリやPC用のツールも提供しています。
無料ホームネットワーク診断アプリスマートホームスキャナーはこちらから

5.大切なデータのバックアップは定期的にとる

子どもがいる家庭では、普段は使わせていないデジタル機器をオンライン授業や動画閲覧に利用する機会もあるのではないでしょうか。しかし、小さな子どもが機器を図らずも壊してしまうことがあります。他にも、不慮の故障や破損、水没、機器の紛失、クラウドサービスのトラブル、サイバー攻撃による被害など、何らかの原因で大切なデータが無くなってしまう可能性は常にあります。
消えたら困る大切なデータは定期的にバックアップを取っておきましょう。データの世代管理ができるクラウドサービスや、オフラインで保管できる外付けタイプのハードディスクなど、用途やデータの重要度に合わせて選択しましょう。その際は、価格や機能だけでなくセキュリティ対策も比較し、信頼できるサービスや機器を選ぶことが重要です。
オンラインサービスのアカウント情報のバックアップには、パスワード管理ツールも便利です。データが消えるリスクに備えて、予め対策を行っておきましょう。

トレンドマイクロでは、スマホで利用できる期間制限なしの無料体験版パスワード管理アプリ「パスワードマネージャー」を提供しています。
5つまでのIDとパスワードが管理できる無料体験版はこちらから

6.時にはデジタルデトックスしてみる

デジタルデトックスとは、一時的にスマホなどのデジタル機器から離れ、現実のコミュニケーションや自然とのつながりに重きを置く時間をつくることです。
ステイホームの推奨で、テレワークやオンライン授業、動画やゲームといったオンラインサービスの長時間利用など、ネットを利用する時間が増えている家庭も少なくありません。デジタルデトックスを取り入れて、心身の疲れをリセットしてみましょう。
サイバー犯罪者はネット利用者の心の隙を巧みに利用して詐欺などにおとしいれるため、頭がすっきりしない状態や、心に余裕がない状態でネットを利用することはセキュリティ上も良くありません。食事の時間や夜何時以降はデジタルデトックスを心がけるなど、家庭内のルールに加えてみましょう。

自主的にネットから離れることが難しい場合は、デバイスやアプリなどの機能を活用するのも一案です。

ネットの利用時間制限機能一例

●iPhone、iPad、iPod touch:設定 → スクリーンタイム から休止時間や一日のアプリの使用時間制限の設定が可能。
・iPhone、iPad、iPod touch でスクリーンタイムを使う
https://support.apple.com/ja-jp/HT208982

●Androidデバイス、Chromebook:ファミリー リンクアプリからデバイスやアプリの一日の利用時間の上限設定などが可能。
・お子様の利用時間を管理する
https://support.google.com/families/answer/7103340?hl=ja

●Nintendo Switch:Nintendo みまもり Switchから一日のゲーム時間の制限などが可能。
・Nintendo みまもり Switch
https://www.nintendo.co.jp/hardware/switch/parentalcontrols/index.html

デバイス毎に個別設定することが困難な場合は、ホームネットワーク全体を守るセキュリティ製品で一括設定することも可能です。

●ウイルスバスター for Home Network:対象デバイスがホームネットワーク接続時にインターネット利用可能時間帯や一日の最大利用時間を曜日ごとに設定が可能。
・ウイルスバスター for Home Networkあんしんネットアシスト
https://go.trendmicro.com/jp/forHome/solution/parentalcontrols.html


ステイホーム、人との接触8割減を達成するためにオンラインサービスを安心・安全に活用しましょう。

]]>
https://is702.jp/main/images/news/S200430_0.jpg
ステイホーム週間に遊びながら学べる「サイバー迷宮脱出ゲーム」、警視庁が無料公開 警視庁は4月24日、遊びながらサイバーセキュリティ(CS)を学べる「サイバー迷宮脱出ゲーム」を公開しました。 2020-04-27T00:00:00+09:00
「サイバー迷宮脱出ゲーム」は、2チームに分かれてコースを進み、獲得したポイントを競い合う、すごろくタイプのボードゲームです(インターネットを利用する小学生(高学年)から高校生及びその保護者が対象)。
コース上のマスではさまざまなセキュリティの問題が発生しポイントが減ってしまいますが、途中の「CSクイズマス」に止まった場合は、カードを引いてクイズに回答することでポイントが回復します。必ず止まらないといけない「アクシデント発生マス」では、チームで意見を考えるといった内容も用意されています。

最初に、ガイドブックを見ながらゲームを進める進行役を1人決め、進行役はクイズの回答を説明したり、意見を判定したりする役を務めます。またゲームのスタート時点に、全員でまず「インターネット利用5つの掟」を学習し基礎を把握するので、だれでも参加できます。
ゲームは、盤面、コマ、サイコロ、カード、ガイドブックがセットになったPDFファイルとして無料配布されており、家庭のプリンタで印刷して利用できます。

インターネット利用5つの掟
①フィルタリングを利用する
②家庭でスマートフォン利用のルールを作る
③困ったことが起こったらすぐ大人に相談する
④インターネットで知り合った人とは会わない
⑤SNSに自分の情報をのせない


ステイホーム週間に、家族でサイバーセキュリティについても学んでみましょう。


「サイバー迷宮脱出ゲーム」の盤面(警視庁の配布資料より)

「サイバー迷宮脱出ゲーム」の盤面(警視庁の配布資料より)

]]>
https://is702.jp/main/images/news/S200427.png
長期休暇における注意事項をチェック、テレワーク環境の対策も忘れずに JPCERTコーディネーションセンター(JPCERT/CC)は4月16日、「長期休暇に備えて 2020/04」と題する情報を公開し、改めて注意を呼びかけました。独立行政法人情報処理推進機構(IPA)も4月21日に、「ゴールデンウィークにおける情報セキュリティに関する注意喚起」を公開しています。 2020-04-27T00:00:00+09:00
年末年始、ゴールデンウィークなどの長期休暇は、スパムやサイバー攻撃が増加しがちな時期です。一方で、管理者が不在であるなど、いつもと違う状況になります。そのため、セキュリティ被害やインシデントが発生しても、対処が遅れたり気づかなかったりして、被害が拡大しがちです。さらには、個人の行動においても、SNSへの投稿やスマホの利用が増え、不用意なトラブルを招く可能性が高まります。
また、新型コロナウイルス(COVID-19)の影響が拡大し、外出自粛要請や非常事態宣言が行われたことで、テレワークに仕事を切り替えている人もいます。その場合、会社の情報部門が用意した業務環境と異なり、家庭内のパソコンやインターネットを使っているため、セキュリティの問題が未解決であるケースも考えられます。また、新型コロナウイルス拡大に便乗したスパムメールなども出現しています。

長期休暇における基本的なセキュリティ対策は、対応体制や関係者への連絡方法を事前調整するといった「休暇前の備え」、不審なアクセスや侵入の痕跡がないかチェックするといった「休暇後の確認」が重要です。また、テレワーク環境下での対策について、JPCERT/CCでは以下の対策を挙げています。

テレワーク環境の脆弱性等を起因とした攻撃への対策

システム管理者・経営者における対策や対応
1.VPN 製品や FW を含めた自組織のシステムについて、アップデートの必要有無を確認する
2.社内システムへのアクセス制御や認証方法を確認する
3.利用サービスの攻撃事例やアップデート状況を確認し、利用継続を検討する

個人・従業員における対策や対応
1.OSやウイルス対策ソフトを最新の状態に保つ
2.テレワーク用クライアントアプリ(テレビ会議、VPNアプリ)は正規のものをダウンロードする

他にも、新型コロナウイルス感染拡大に乗じた攻撃への対策、休暇前や後の対策が紹介されています。

テレワークについては、IPAが「テレワークを行う際のセキュリティ上の注意事項」として情報をまとめたページを、内閣サイバーセキュリティセンターでは「テレワークを実施する際にセキュリティ上留意すべき点について」と題した文書(PDFファイル)をそれぞれ公開しています。各自の状況に合わせ、これらの情報を対策に役立てましょう。
]]>
https://is702.jp/main/images/news/img_news41.jpg
Facebookの子ども向けビデオチャットアプリ「Messengerキッズ」、日本でも提供開始 Facebookは4月23日、日本を含む世界70か国以上で「Messengerキッズ」の提供を開始しました。 2020-04-24T00:00:00+09:00
「Messengerキッズ」は、子ども向けのビデオチャット/メッセージングアプリで、写真、動画およびテキストメッセージの送受信が無料で行えます。利用開始にあたっては、保護者が子どものデバイスを認証し、子どものアカウントを設定する必要があります。そして、保護者が連絡先リストをすべて管理し、子どもは保護者が承認していない相手とはやり取りを行うことができません。ホーム画面には、保護者が承認した人たちの一覧と、それぞれのオンライン状態が表示されます。なお受信者側が大人の場合は、通常のMessengerアプリでメッセージの受信が行えます。
承認されている相手とは、1対1またはグループでのビデオチャットやメッセージングが可能で、子ども向けのGIF、フレーム、スタンプ、マスク、絵文字、サウンドエフェクトが用意されており、お絵かきツールを利用してメッセージに追加することができます。

また、専門家のアドバイスを受け、オンラインの安全性や児童の発育などに配慮しているのが特徴で、米国の児童オンラインプライバシー保護法(COPPA)に準拠して設計されているとのこと。広告はいっさい表示されず、子どもの情報が広告のために利用されることもありません。

なおFacebookは、「Messengerキッズ」での子どもと友達のつながりをサポートする、保護者向けの新機能も発表しています。こちらは今後数か月をかけて展開される予定です。

Facebookに限らず、主なSNSサービスは利用規約で年齢制限が設けられています。子どもの年齢に合わせてサービスやアプリを選択するとともに、トラブルに巻き込まれないよう、保護者による適切な管理も忘れないようにしましょう。


「Messengerキッズ」の画面イメージ(Facebookの発表資料より)

「Messengerキッズ」の画面イメージ(Facebookの発表資料より)

]]>
https://is702.jp/main/images/news/S200424.jpg
【注意喚起】10万円給付に便乗するネット詐欺に要注意 政府から発表された10万円給付に便乗したネット詐欺がSNS上で複数報告されています。今後も同様の手口が使われる可能性がありますので、利用者は十分注意しましょう。 2020-04-24T00:00:00+09:00
旬の話題に便乗し、それらしいメールやメッセージを送り付け、受信者を騙して詐欺サイトに誘導する手口は日々巧妙化しています。今回報告されていた偽メールも、発表されたばかりの10万円給付に便乗した内容となっていました。このような詐欺被害を防ぐには、その手口を知り騙されないことと、メールのフィルタリング機能やセキュリティソフトで不審なメールの受信を防いだり、詐欺サイトにアクセスしてしまうリスクを下げておくことが有効な対策です。
また、最新情報を入手しやすいよう、注意喚起を行っている関連機関や、セキュリティ企業のSNSなどをフォローしておくと良いでしょう。

公式SNSの一例
・内閣サイバー(注意・警戒情報)公式 Twitter
・NHKニュース公式 Twitter
・警視庁サイバーセキュリティ対策本部公式 Twitter
・消費者庁公式 Twitter
・消費者庁公式 Facebook
・トレンドマイクロ公式 Twitter
・トレンドマイクロ公式 Facebook

今回SNS上で報告されていた詐欺メールの例は以下の通りです。

■事例①4月17日に報告されていた携帯電話事業者を装う偽メール

送信者名:Super Friday
件名:給付金10万配布につき、お客様の所在確認~No.\<数字列>
本文の一部:
今回国民の皆様へ現金給付が決定した件でご案内がございます。
各携帯電話キャリア会社を通し、国民の皆様へ配布していく事となりました。
詳細確認とお手続きは下記URLへアクセスください。

※SNS上の情報を元に再構成

この詐欺メールでは、送信者として大手携帯電話事業者を詐称し、給付金配布の名目で利用者を不正サイトへ誘導していました。誘導先の不正サイトは、以前から確認されている当選詐欺サイトを思わせる内容となっており、メール上では10万円給付だったはずが、なぜか詐欺サイトでは990万円が当選、という内容に変わっています。
最終的に振込先銀行口座が未登録との名目で、銀行名、支店名/支店番号、口座番号、名義人の情報を入力させようとします。



誘導先の詐欺サイトの例 携帯電話事業者を詐称し、990万円の現金当選キャンペーンの旨が表示されている

誘導先の詐欺サイトの例 携帯電話事業者を詐称し、990万円の現金当選キャンペーンの旨が表示されている




誘導先の詐欺サイトの例 振込先未登録という旨で銀行名などの情報の入力を促す

誘導先の詐欺サイトの例 振込先未登録という旨で銀行名などの情報の入力を促す



■事例②4月18日に報告されていた偽メール

送信者名:「jp-financial-fund.co.jp」 またはそれを含む文字列
件名:政府は一人当たり10万円の補助金計画を通して、申請を完了してください
本文の一部:
コロナウイルスが発生した後、政府はコロナウイルスの感染防止に力を入れており、コロナウイルスによる国民への影響を最小限に抑えるための様々な措置を講じてきました。政府は、次のサイトで1人当たり10万円の補助金を申請しています。

※SNS上の情報を元に再構成

こちらのメールは、全体として違和感のある日本語になっており、さらに誘導先不正サイトは、トレンドマイクロの調査時点で既に有効ではなく、どのような危険につながるかは断定できませんでした。


調査時点での誘導先サイトの表示例 ドメイン所有者がいない場合に管理するISPが表示する内容になっていた

調査時点での誘導先サイトの表示例 ドメイン所有者がいない場合に管理するISPが表示する内容になっていた



同様の手口については、警視庁や携帯電話各社からも注意喚起が行われています。注意を怠らないようにしましょう。

・警視庁犯罪抑止対策本部 公式Twitter
https://twitter.com/MPD_yokushi/status/1252461997557288960

・ドコモからのお知らせ 新型コロナウイルスに関する迷惑メールにご注意ください(2020年4月23日更新)
https://www.nttdocomo.co.jp/info/notice/page/200421_01_m.html

・auサポート 公式Twitter
https://twitter.com/au_support/status/1252782912140763136

]]>
https://is702.jp/main/images/news/S200422_1.png
情報流出への備えと、もしものときの対処法 最近、ダークウェブという存在が世間に知られてきました。ダークウェブは通常の方法ではアクセスできないインターネット領域であり、匿名性の高さからサイバー犯罪者の巣窟になっています。ダークウェブについて正しく理解しましょう。 2020-04-23T00:00:00+09:00
ダークウェブってなに?

情報流出への備えと、もしものときの対処法

2020/04/23
詐欺やウイルス感染の被害に!? オンラインゲームユーザを狙う脅威とその対策

みなさんは、ダークウェブと聞くとどのようなことをイメージするでしょうか。特定の人だけが利用していて、自分とは無関係の存在ととらえているかもしれません。しかし、ダークウェブでは一般のネット利用者が損害を被ってしまう情報もやり取りされています。ダークウェブがなにかを知り、脅威と対策についても押さえましょう。

ダークウェブはディープウェブの一部

最近、新聞やテレビなどのメディアで「ダークウェブ」や「ディープウェブ」という言葉を見聞きすることが増えてきました。ダークウェブとはどんなものでしょうか。それを理解するために、まずはインターネット上のWebサイトの区分について知っておきましょう。
インターネット上のWebサイトは、「サーフェイスウェブ(表層Web)」「ディープウェブ(深層Web)」の2つに大別されます。サーフェイスウェブは、Google やYahoo!などの検索エンジンで探すことができ、一般のWebブラウザで閲覧できる領域です。一方、ディープウェブは、GoogleやYahoo!などの一般の検索エンジンで探してもヒットしない領域で、そこには正規のWebサイトも含まれます。たとえば、ログインを要する会員制サイトやSNSの非公開ページなどがそれにあたります。そして、ディープウェブには専用のツールもしくはサービスを使用しなければアクセスできない領域もあります。この特別なネットワーク領域には、Webコンテンツへアクセスする際の匿名性保持や追跡回避、さらにサイト自体の匿名性を実現する技術を使用しているものもあり、この領域に存在しているWebサイトをダークウェブと呼びます。

サーフェイスウェブはネットの世界のほんの一部に過ぎず、大部分はディープウェブです。これらの関係はしばしば氷山に例えられます。氷山は、海上に見えている部分が全体の1割程度に過ぎず、9割は海上から見えない海中にあります。ネットの世界も、誰もがアクセスできるサーフェイスウェブに比べて、ディープウェブの割合が圧倒的に大きいのです。

ダークウェブが違法な取引や犯罪の温床に

ダークウェブへのアクセス手段として用いられる代表的なツールの1つが「Tor(The Onion Router)」です。Torは、もともと米海軍調査研究所が軍用の秘匿通信のために考案した技術をベースとしており、通信元の特定を困難にするという特徴があります。民間利用のためソースコード(プログラムの情報)が公開されてからは、ネット上の言論の自由とプライバシーの保護のために利用されてきました。Torを利用すれば、匿名による通信を実現できるため、厳しいネット規制を敷く国や地域のネット利用者が情報をやり取りするための手段にもなっています。

ただ、悪事を企てるサイバー犯罪者にとっても匿名性や追跡回避機能は好都合です。彼らは自身の不正サイトの設置場所などを特定されないよう、ダークウェブを利用します。ダークウェブ上の不正サイトの典型例が闇市場です。そこでは、違法な品や情報、Webコンテンツ、マルウェア(ウイルスなどの悪意を持ったソフトウェアの総称)自体やそれらを作成するためのツールキット、サービスとしてのマルウェアなども流通しています。その中には、フィッシング詐欺やインターネット事業者へのサイバー攻撃などをきっかけに流出したクレジットカード情報や、メールアドレス、住所、電話番号などの個人情報のリスト、認証情報(IDやパスワード)、銀行口座番号などが売買されるWebサイトも存在するのです。

図:闇市場におけるクレジットカード情報販売画面の例、クレジットカードの種類や有効期限、名義、住所と、誕生日、電話番号などの有無が表示されています

また、流出した情報が企業によるサイバー攻撃被害の公表前に闇市場でやり取りされていた事例も確認されています。このことから、被害者が自身の情報漏えいを認知する前に、個人情報やクレジットカード情報を悪用される危険性もあることがわかります。

図:闇市場サイトで確認された、取引可能な流出情報を列挙した投稿の例、情報流出元サイトとその業種、データ量、入手日、データの詳細な内容などが記載されており、この投稿では国内ECサイトから流出した情報が被害公表前に記載されていた事が確認されています

ダークウェブを介したサイバー犯罪対策とは

私たちはダークウェブとどのように向き合うべきでしょうか。危険ではないコンテンツも存在するものの、違法性の高い物品や窃取された情報などもやり取りされるダークウェブには興味本位に近づかないことが肝要です。加えて、ダークウェブを介したサイバー犯罪への対策も講じなければなりません。以下の3つのポイントを押さえましょう。

1.アカウントを厳重に管理する

  • パスワードを使い回さない
    サイバー犯罪者は、ダークウェブなどを介して入手した認証情報(IDとパスワード)を用いて各種サービスへのログインを試みます。このため、複数のサービスに同一のIDとパスワードの組み合わせを使い回していると、アカウントを芋づる式に乗っ取られるリスクを高めてしまいます。
  • 二要素認証などを利用する
    各サービス事業者が提供する二要素認証などのセキュリティを強化する機能を活用しましょう。二要素認証を利用した場合、サービスのログイン時にIDとパスワードに加え、SMSや専用アプリなどで取得できる認証コードも入力しなければならないため、第三者がサービスに不正アクセスすることは難しくなります。しかし、最近のフィッシング詐欺の手口では二要素認証情報を奪われるケースもあるため、注意が必要です。

2.不要になったサービスを解約する

利用しなくなったサービスのアカウントを残していても不正利用や情報漏えいのリスクになるだけです。クレジットカード番号などの金銭がらみの情報や個人情報を削除、あるいはダミーの情報を上書きした上でサービスを解約しましょう。アプリがある場合は、解約後にアンインストールしましょう。

3.公式の情報を参照する

利用しているサービスで情報漏えいが発覚した場合は、公式の注意喚起や案内を必ず参照してください。通常、どんな情報が、いつ、どうやって漏えいしたか、どのようなリスクがあるか、アカウントが現在どうなっているかといった内容が掲載されています。冷静に対処するためには、まず正しい情報を入手することが大切です。

4.セキュリティ対策製品を利用する

偽サイトやフィッシング詐欺サイトで誤って情報を入力してしまったり、マルウェアによって情報を窃取されてしまったりするリスクを下げるためには、PCやスマホ、タブレットにセキュリティソフトやアプリをインストールしておくことが不可欠です。昨今のフィッシング詐欺や偽サイトは、一見しただけで真偽を見分けられないほど巧妙化しています。ネットを利用する機器には必ずインストールしておき、最新の状態に保って利用しましょう。家庭内でのみ利用するタブレットやネットにつながるゲーム機などは、ホームネットワーク全体を保護するセキュリティ製品で守りましょう。
また、サイバー犯罪者はさまざまな方法で取得したクレジットカード情報や個人情報のリストを自ら悪用するだけでなく、ダークウェブ上の闇市場で売買することもあります。さらに対策を強化したい方は、ダークウェブモニタリングなどと呼ばれるセキュリティ製品も利用しましょう。これは、あらかじめ登録されたクレジットカード番号やメールアドレスなどのネットへの情報流出を検知すると、利用者に通知してくれます。これをもとに適切に対処すれば、被害を最小限にとどめられます。

情報流出に気づいたときの対処法

もし、自身のクレジットカード情報やアカウント情報、メールアドレス、銀行口座番号、運転免許証番号、パスポート番号などがネット上に流出してしまった場合、どのように対処すべきでしょうか。

クレジットカード情報

クレジットカード情報の流出に気づいたら速やかにカード会社へ連絡し、利用停止の届け出を行ってください。利用明細に身に覚えのない不審な取引を確認した場合もカード会社や警察に連絡しましょう。最低でも月一回は利用明細を確認する習慣をつけておくことが重要です。
また、ネットでのクレジットカード利用が不安な場合はネット決済専用のバーチャルカードの利用も検討しましょう。カード番号を任意のタイミングで変更できるため、不正利用対策として有効です。

認証情報

サービスの認証に用いるIDとパスワードの組み合わせが流出すると、第三者にアカウントを乗っ取られる可能性があります。該当するサービスのパスワードはもちろん、可能であればIDも速やかに変更してください。もし、複数のサービスで同じ組み合わせを使用している場合、すべて一意のものに変更しておくことも重要です。
パスワードの作成や管理にストレスを感じている方は、パスワード管理ツールの利用も検討しましょう。トレンドマイクロは、パスワード管理ツール「パスワードマネージャー」の無料体験版を提供しています。

メールアドレス

メールアドレスが流出すると、迷惑メール(スパムメール)が届きやすくなるかもしれません。実際、2019年には大手家電メーカーのECサイトから漏えいした情報を悪用して、詐欺サイトに誘導するメールが複数回送られた事例が報告されています。漏えいしたメールアドレスの変更が困難な場合は、迷惑メールを検出し、それらを自動で隔離してくれるフィルタリング機能を活用しましょう。また、メールアドレスはサービスにログインする際のIDとしてよく用いられます。そのIDに紐づくパスワードもセットで流出している可能性があるため、念のためパスワードを変更しておきましょう。
新規でサービスに登録する場合は、漏えいしても影響が限られるよう、重要なやり取りには利用しない登録専用のメールアドレスを用意しておくのも一案です。

銀行口座番号

銀行口座番号と、金融機関名や支店名、口座名義などの情報がセットで流出してしまうとトラブルに巻き込まれる危険性があります。たとえば、その口座にお金を振り込み、後日、法外な利息とともに返済を求める悪徳商法もあります。銀行口座番号の流出に気づいたら、金融機関に相談するとともに、身に覚えのない入出金がないかどうかを確認しましょう。

運転免許証番号、パスポート番号

運転免許証番号やパスポート番号などの個人を特定できる情報は、他の情報と組み合わせて詐欺行為に悪用される可能性があります。また、大規模な情報漏えい事件に便乗して、「あなたの情報が漏えいしている」「漏えいした情報を削除できる」などとネット利用者をそそのかし、金銭をだまし取ろうとした事例も報告されています。もし不審な連絡を受けた場合は、速やかに最寄りの消費者センターに相談しましょう。

]]>
http://rss.is702.jp/main/rss/3664_l.jpg
なぜスマホにもセキュリティ対策?理由がわかるまとめ情報 スマホは多くの利用者にとって欠かせない存在となっています。そのため、サイバー犯罪者はスマホの利用者も攻撃の標的としており、さまざまなリスクがあります。一方で、利用者の中にはスマホのセキュリティ対策について、あまり意識していない方も多いのではないでしょうか。 2020-04-20T00:00:00+09:00 ここでは代表的なリスクと、改めてなぜスマホにセキュリティ対策が必要なのかをご紹介します。まずは4コマでポイントをおさえて、すぐできる対策をはじめましょう。

関連記事
iPhoneを買ったらまず確認!iPhoneのセキュリティを強化するために実践したい5つのポイント



SMS経由で不正アプリを拡散する攻撃に注意
携帯電話番号を宛先としてメッセージを送ることができるSMS(ショートメッセージサービス)は、利便性が高い反面、番号をランダムに組み合わせることでも不特定多数に対してメッセージの送信が可能となることから、サイバー犯罪に悪用されています。
正規サービスに偽装した「宅配便の不在通知」や「未払い請求」、「ログイン確認」などの通知から、不正サイトまたは偽の問合せ電話番号に誘導する手口が継続的に報告されています。加えて、誘導先の不正サイトは、利用者を騙すために一見正規サイトと見分けがつかないほど巧妙に作られています。
利用者ができる対策としては、不審なメッセージなどに気づけるよう手口を知っておく、そしてセキュリティアプリを利用することで、不正サイトに誘導されるリスクを下げたり、不審なSMSを振り分けたりしましょう※。
※SMSの振り分けはiPhoneのみ可能。
詳しくは4コマへ

詳しくは4コマへ



不正アプリは公式ストアにもある?
スマホを活用するには、アプリのインストールが欠かせません。その際、公式アプリストア以外の利用は危険だということは知っている方も多いと思います。しかし、公式アプリストアにも不正アプリが紛れ込んでいる場合があります。
他の機能を装ったり、人気アプリに偽装したりして不正アプリのインストールを促します。公式アプリストアであっても、インストールをする前に、提供元や詳細などをよく確認するようにしましょう。また、アプリが求める権限にも注意が必要です。必要以上の権限や、機能とは関係ない権限を求めるアプリは避けた方が無難です。さらに、予めセキュリティアプリをインストールしておくことで、これからインストールするアプリが不正なものかどうかをスキャンして判断してくれます※。
不正アプリはスマホ内の情報を窃取したり、インストール済みの正規アプリを不正なものに書き換えたり、盗撮や盗聴機能を備えているものなどさまざまです。誤ってインストールしてしまわないよう注意しましょう。
※セキュリティアプリによるアプリスキャンはAndroidのみ可能。
詳しくは4コマへ

詳しくは4コマへ



偽Wi-Fiスポットに要注意
無償で利用できるWi-Fiスポットを提供する施設や店舗が一般的になりつつあります。しかし、中には通信を暗号化していないものがあったり、悪意のある第三者が正規のアクセスポイントに偽装した偽のWi-Fiスポットを設置していたりするかもしれません。
もしそのようなWi-Fiスポットを利用してしまうと、やり取りしている通信の盗み見や、不正サイトに誘導されてしまうなどの危険性があります。
Wi-Fiスポットを利用する前に、通信が暗号化されているか、正規のアクセススポットかどうかをよく確認してから利用しましょう。また、自動接続機能を悪用して偽のアクセスポイントに誘導されてしまう場合もあります。公衆Wi-Fiを利用した後は、自動接続しないよう設定を確認しましょう。
利用しない時はWi-Fi設定をオフにしておくことも対策の1つです。さらに、セキュリティアプリでWi-Fiスポットの安全性確認や、VPN(Virtual Private Network:バーチャル・プライベート・ネットワーク)機能を利用して通信の暗号化を行うとで、Wi-Fiスポットを安全に利用することができます。
詳しくは4コマへ

詳しくは4コマへ



スマホ決済の不正利用はなにが原因?
スマホを利用したキャッシュレス決済は欠かせない機能の一つになっています。しかし、利用者が多くなると、それに目を付けたサイバー犯罪者によってサービスが狙われる傾向にあります。
偽のSMSやメールなどからフィッシングサイトに誘導して認証情報(ID、パスワード)を奪おうとしたり、他のサービスから漏えいした認証情報を流用して不正ログインを試みたりします。そのような手口からアカウントを守るには、セキュリティアプリで不正サイトにアクセスしてしまうリスクを下げておくとともに、利用するサービス毎に推測されにくいパスワードを設定し、サービス事業者が提供している二要素認証(2段階認証、2ファクタ認証とも呼ばれる)などのセキュリティを高める認証方式を追加で設定しておきましょう。万一認証情報が漏えいしたとしても、不正ログインによるアカウント悪用のリスクを下げることができます。
また、パスワードを都度考えるのが大変、どうやって管理すればいいのかわからない、と感じている場合は、パスワード管理ツールの利用が便利です。認証情報の保護に加え、パスワードの自動生成や、自動入力などでパスワード管理のわずらわしさを軽減してくれます。
詳しくは4コマへ

詳しくは4コマへ



トレンドマイクロでは、スマホ用セキュリティアプリ「ウイルスバスター モバイル」やパスワード管理ツール「パスワードマネージャー」、Wi-Fi利用時の通信を保護する「フリーWi-Fiプロテクション」の30日無料体験版を提供しています。できるところから対策をはじめてみましょう。
30日無料体験版はこちらから

■is702関連記事
・不要になったアプリを削除していますか?スマホをより便利に使いこなすための4つのアプリ整理術

・スマホからモニタリングされる!?ストーカーウェアから身を守るための自衛策とは

・親子の話し合いとルール作りが大切 お子さんをネットの危険から守るために保護者ができる対策とは


■is702関連ニュース
・国内で過去3カ月間に約5万件の感染被害、不正活動を行う偽クリーナーアプリ

・iPhoneのカレンダーに勝手にイベントが追加される手口とは? 安易にタップしないよう注意を|IPA
]]>
https://is702.jp/main/images/news/S200421_5.jpg
【注意喚起】楽天市場を装う偽のセキュリティアラートに注意 大手ECサイト楽天市場を装ったメールから偽のログインページに誘導する手口を確認しています。利用者は同様の手口に騙されないように注意しましょう。 2020-04-20T00:00:00+09:00
今回確認した偽のメールは、第三者による不正ログインを通知するような内容で、慌てる受信者を文中のURLリンクから、偽のログインページに誘導する手口となっていました。このように、文面で受信者を焦らせ判断を鈍らせる手口は、フィッシング詐欺の常とう手段です。

確認された偽メールの概要
送信者名:alert@rakuten.co.jp (実際の送信元アドレスは異なります)
件名:楽天市場【セキュリティアラート : Google Chrome for Windows(デスクトップ)新しいサインイン】
本文:新しいデバイスからサインインしましたか?


楽天市場に偽装した不正メール、本文に正規サイトのロゴを盗用

楽天市場に偽装した不正メール、本文に正規サイトのロゴを盗用




正規サイトを模した偽のログインページ

正規サイトを模した偽のログインページ



楽天では、他にも同社を騙った不審なメールの事例を公式サイトで紹介しています。サービス利用者は情報を参照し、同様の手口に騙されないように注意しましょう。

【ご注意ください】楽天を装った不正関連の事例一覧 https://ichiba.faq.rakuten.net/detail/000013315



今回の事例に限らず、ネットサービスの認証情報(ID、パスワード)を狙った手口は継続的に発生しています。万一パスワードが漏えいした際、芋づる式に複数のサービスで不正ログインされないよう、必ずサービス毎に異なるパスワードを設定しましょう。さらに、メールやSMS内のリンクを安易にクリックせず、各サービスへのログインは、ブックマーク済みの正規サイトや、公式アプリから行ってください。また、このようなフィッシングサイトに誘導されてしまうリスクを下げるには、その手口を知り騙されないようにするとともに、PCやスマホ、タブレットなどに予めセキュリティソフトをインストールし、最新の状態に保って利用しましょう。
]]>
https://is702.jp/main/images/news/S200420_1.JPG
マイクロソフト、4月の月例セキュリティ更新を公開 テレワーク環境の注意事項ページも マイクロソフトは4月15日(日本時間)、月例のセキュリティ更新プログラムを公開しました。独立行政法人情報処理推進機構(IPA)およびJPCERTコーディネーションセンター(JPCERT/CC)も注意を呼びかけています。 2020-04-17T00:00:00+09:00
対象となるソフトウェアは、「Microsoft Windows」「Microsoft Edge(EdgeHTMLベース)」「Microsoft Edge(Chromiumベース)」「ChakraCore」「Internet Explorer」「Microsoft Office、Microsoft Office ServicesおよびWeb Apps」「Windows Defender」「Visual Studio」「Microsoft Dynamics」「Microsoft Apps for Android」「Microsoft Apps for Mac」で、深刻度「緊急」の脆弱性への対応も含まれています。

脆弱性を悪用された場合、アプリケーションプログラムが異常終了したり、リモートからの攻撃によって任意のコードを実行されたりする可能性があります。特に、「Adobeフォントライブラリでコードがリモートで実行される脆弱性(CVE-2020-0938とCVE-2020-1020)」「Windowsカーネルの特権の昇格の脆弱性(CVE-2020-1027)」についてマイクロソフトは、「悪用の事実を確認済み」としています。各製品のユーザは、Microsoft UpdateやWindows Updateなどを用いて、システムの更新を至急行ってください。自動更新を設定している場合も、念のため更新が適用されているか確認するのが望ましいでしょう。

またマイクロソフトは4月より、テレワークなどのリモート環境での注意点やよく寄せられる質問への回答をまとめたページ「リモート環境における更新プログラム適用の考慮事項」を公開しています。該当するユーザはこちらも参照してください。
]]>
https://is702.jp/main/images/news/img_news1.jpg
利用者が急増している「Zoom」のセキュリティリスクとその対策 トレンドマイクロは4月15日、公式ブログで「安全なテレワークのために:『Zoom』のリスクとセキュリティを理解する」と題する記事を公開しました。新型コロナウイルス(COVID-19)の流行にともない注目を集める「Zoom」のセキュリティリスクについて解説した内容です。 2020-04-17T00:00:00+09:00
「Zoom」は米Zoom Video Communications社が提供するビデオ会議サービスですが、今年に入り利用者が2億人を突破するなど、利用が急拡大しています。一方で、さまざまなセキュリティ上の問題を抱えており、独立行政法人情報処理推進機構(IPA)もすでに注意を呼びかけています。今回トレンドマイクロは、「Zoom Bombing」、脆弱性、フィッシングという3つの問題点を紹介しています。

「Zoom Bombing(ズーム爆弾、ズーム爆撃)」は、Zoom会議に招かれていない第三者が勝手に会議に参加し嫌がらせをする迷惑行為の総称です。単なる嫌がらせ行為だけではなく、潜伏してZoom会議の内容を盗み聞きして情報漏えいさせる、参考資料などに偽装したマルウェアを他の参加者に送付するなど、より悪質な行為も可能です。これは、開催者が会議に対してパスワードを設定していない場合、ミーティングIDがわかれば誰でも会議に参加できるZoomの仕様に問題があるためです。

またZoomの利用時には、Windows、Macともにクライアントソフトを導入する必要がありますが、これらソフトにさまざまな脆弱性が残っていたことが発覚しています。たとえばWindows版の脆弱性を悪用された場合には、第三者が認証情報を盗んだり、任意のプログラムを実行させたりすることが可能でした。Zoomは脆弱性に対処した最新バージョンを随時公開しています。

そしてZoomが注目を集めたことで、これに便乗するネット詐欺も登場しつつあります。たとえば、2020年頭からこれまでに“zoom”の文字列を含む新ドメインが3,300も確認されており、そのうちの7割近くが3月中に作成されたものだとの報道がありました。これらの新ドメインがすべて不正目的で作成されたとは言えませんが、サイバー犯罪者が、情報詐取を目的に準備している可能性が考えられます。すでに、パスワードを含むZoomアカウント情報がダークウェブ上で2,000件以上公開されていた、との報道もあります。


「Zoom」の認証情報を狙うフィッシングサイトの画面例

「Zoom」の認証情報を狙うフィッシングサイトの画面例



法人でも個人でも、Zoomの利用者はリスクを避けるため、以下を心がけてください。

・常に最新バージョンのZoomを公式サイトから入手する。
・Zoom会議のURLが正規のものかよく確認し、安易にクリックしない。
・フィッシングなど、最新の攻撃手口を知り、騙されないよう注意する。

特に法人利用者においては、Zoom会議をよりセキュアなものにするために、以下の設定を再確認してください。

・会議には必ずパスワードを設定し、URLやパスワードは適切な参加者のみに教える。
・画面共有を「ホストのみ」に設定する。

また、状況によっては以下の運用も考慮してください。

・ミーティングIDを毎回自動的に生成する。
・「ファイル転送」を無効にする。
・参加者が会議に出入りしたときに音を鳴らし、気付けるようにする。
・「待機室」の機能を使い、承認したユーザのみが参加できるようにする。
・Zoomにログインしている認証されたユーザのみが参加できる設定する。
・参加予定者が集まり会議が開始したらロックし、想定外の参加者が入れないようにする。


]]>
https://is702.jp/main/images/news/S200417.png
クレジットカード情報がネットで売買されている!? 軽井はクレジットカードの高額請求に愕然としています 2020-04-16T00:00:00+09:00
ひろしとアカリのセキュリティ事情

クレジットカード情報がネットで売買されている!?

2020/04/16

情報漏えい被害を最小限に留めるには?

クレジットカードを利用したオンライン決済はいまや当たり前になりました。クレジットカードは便利ですが、悪意のある第三者に不正利用されることもあります。その主な原因は、ネット利用時にクレジットカード情報が漏れてしまうことです。

たとえば、ネット利用者がフィッシング詐欺に引っかかってしまい、クレジットカード情報をだまし取られてしまう場合があります。クレジットカード情報の漏えいはネット利用者側の過失に起因するものばかりではありません。インターネットサービス事業者の人為的なミス、サイバー攻撃などをきっかけにクレジットカード情報が流出してしまうこともあります。

サイバー犯罪者は、さまざまな方法で取得した他人のクレジットカード情報を自ら悪用するだけでなく、ダークウェブに横流しすることもあります。ダークウェブは、Google やYahoo!などの通常の検索エンジンでは見つけられず、閲覧にも専用ソフトを要するWebサイトの総称です。ダークウェブは匿名性が高いことから犯罪や違法行為に使われることも多く、その中には流出したクレジットカード情報やメールアドレス、認証情報(ID、パスワードなど)などが売買されるサイトも存在します。ダークウェブに情報が流出すると、思いもよらぬ被害が及ぶ可能性もあるのです。

図:ダークウェブ上で売買されていたクレジットカード情報の一例

自身の情報を守るためには、フィッシング詐欺や、情報窃取を行うようなマルウェアに対するセキュリティ対策が必要です。ただ、ネット上で情報をやり取りする限り、何かしらの原因で情報が流出してしまうリスクもついて回ります。決済情報を登録するオンラインサービスでは、サービス事業者から提供される二要素認証などのセキュリティを強化する機能も利用し、不正ログインを防ぎましょう。そして、クレジットカードなどのキャッシュレス決済の利用履歴を、最低でも月一回は確認するように心がけてください。

さらに対策を強化したい場合は、万一情報が流出してしまったとしても、いち早くそれを察知して利用者に注意を促し、被害を最小限に留めるのに役立つセキュリティ製品を利用する方法もあります。ダークウェブモニタリングなどと呼ばれるこのようなセキュリティ製品は、あらかじめ登録したクレジットカード番号やメールアドレスなどの情報流出を検知した場合、利用者に通知をしてくれます。もし、クレジットカード情報の流出が検知された場合は速やかにクレジットカード会社へ連絡し、利用停止の届け出を行うとともに、身に覚えのない利用履歴が無いかの確認も忘れずに行ってください。

ひろしとアカリのセキュリティ事情 ひろしとアカリの日常をもっと見る
ひろしとアカリのセキュリティ事情 ひろしとアカリの日常をもっと見る
]]>
http://rss.is702.jp/main/rss/3661_l.jpg
はじめてのテレワークに役立つセキュリティ対策まとめ情報 昨今の状況を受け、急遽テレワークに切り替わることになった方や、テレワークを社内で推進する立場になった方もいるのではないでしょうか。そのような方々に活用して頂けるセキュリティ情報をまとめてご紹介します。 2020-04-13T00:00:00+09:00

関連ブログ テレワークを安全に行うために|トレンドマイクロ セキュリティブログ



テレワークを安全に行うには、一人ひとりがセキュリティ対策を普段以上に意識することが重要です。まずは4コマやガイドブックで、注意すべきポイントをおさえておきましょう。

勤務先のセキュリティポリシーを確認しよう
利便性を優先してフリーメールを勝手に利用していませんか。勤務先のポリシーを確認し、業務情報の取り扱いの重要性を理解しておきましょう。
詳しくは4コマへ

詳しくは4コマへ



テレワークで注意するべきこと
はじめてWeb会議を利用する人も多いのではないでしょうか。安全に利用するにはネットワークや利用するサービスに加え、物理的配慮も欠かせません。
詳しくは4コマへ

詳しくは4コマへ



私用端末を勝手に業務に使ってはいけません
私用端末の業務利用は許可されていますか。なぜ勝手な利用がいけないのか、リスクを確認しておきましょう。
詳しくは4コマへ

詳しくは4コマへ



私物のUSBメモリを仕事で勝手に使っていると…
急なテレワークの開始に伴い、私物のUSBメモリに情報を保存して移動しようとしていませんか。私物の機器を安易に利用することはトラブルや事故につながるので避けましょう。
詳しくは4コマへ

詳しくは4コマへ



私用のクラウドサービスを勝手に業務で利用してはいけません
私用のクラウドサービスの利用もリスクが伴います。危険な理由を理解し、勤務先のルールに沿った方法で情報を取扱いましょう。
詳しくは4コマへ

詳しくは4コマへ



テレワークを利用して職場以外で働く場合でも、セキュリティの意識を忘れてはいけません。社会人が知っておくべきセキュリティの基本については、こちらのガイドブックでおさえておきましょう。
「働く大人なら最低限知っておきたいネットセキュリティの基本」2020年度版



もっと詳しく法人を狙う脅威や、テレワークを行う際のセキュリティのポイントを確認しておきたい方におすすめの記事や関連リンクはこちらです。

■is702関連記事

・メールが起点となる組織を狙うサイバー攻撃とは? 社会人ならだれもが知っておくべき、メールからのサイバー攻撃と一人ひとりができる対策

・金銭だけでなく、機密情報も狙われる!? ビジネスメール詐欺の被害を防ぐ5つの対策

・在宅勤務やモバイルワークを安全に行うために テレワークにおけるセキュリティの注意点と8つの対策

・そもそもホームルータってなに? 家庭用ルータのセキュリティを4つのポイントで見直そう

・STOP!パスワード使い回し! パスワードを使い回した場合のリスクと3つの対策

■is702関連ニュース

・テレワークのサイバーセキュリティ対策を警視庁が指南、職場の外では普段以上に注意を

・企業実務の参考として、サイバーセキュリティ関係法令解説ハンドブック公開|NISC

・ビジネスメール詐欺実態調査、最多は取引先との請求書偽装|JPCERT/CC

■テレワークに関する情報への外部リンク紹介

・テレワーク総合ポータルサイト|厚生労働省

・情報通信技術を利用した事業場外勤務の適切な導入及び実施のためのガイドライン|厚生労働省

・テレワーク情報サイト|総務省

・テレワークセキュリティガイドライン 第4版 |総務省

・テレワーク勤務のサイバーセキュリティ対策!|警視庁

・テレワークにおけるセキュリティの注意点と対策|トレンドマイクロ
]]>
https://is702.jp/main/images/news/S200413_8.jpg
保護者の約4割がSNSの年齢制限を認知せず|東京都 東京都(都民安全推進本部)は4月6日、青少年の携帯電話・スマホの利用状況について調査した結果を発表しました。この調査は2008年から実施されており、今回は、都内在住の保護者2,000名から回答を得ています(調査期間:2020年1月17日~22日)。 2020-04-09T00:00:00+09:00
それによると、「小学生時点からスマホを使っている」という青少年の割合が前年より増えていました。今回調査では、小学校低学年で19.0%(前年15.0%)、小学校高学年で34.6%(前年27.8%)がスマホを所有していました。

また、Twitter、Instagram、TikTok、FacebookなどのSNSは、利用規約で年齢制限が設けられています(一般に13歳以上)。しかし保護者の約4割が、そのことを知りませんでした。一方で、スマホを所有している小学生の約1割が、これら年齢制限のあるSNSを利用していました。

「これらのSNSを通じて、知らない人とやりとりをしたことがあるか」を聞くと、小学校低学年で30.3%、小学校高学年で26.8%、中学生で19.3%、高校生で16.6%と、年代が上がるほど「ある」が減少します。ただし「わからない」も年代が上がるほど増加しているため、むしろ保護者が把握できなくなっている可能性があると考えられます。また、子供が使う「SNSの名称」や「やり取りしている相手」について知っておきたいという小中学生の保護者は約7割。さらに、「メッセージ内容」を知っておきたいという小学生の保護者は約4割とのことです。

子どものSNS利用に対して、保護者は子どもがトラブルに巻き込まれないよう、年齢に応じて利用を管理・制限するとともに、可能な限り利用するサービスや交流相手を把握しておくことが望ましいでしょう。また、フィルタリング設定やサービス、セキュリティ製品による年齢に応じた制限を予め設定してから、PCやスマホ、ゲーム機などのネットにつながる機器を子どもに渡しましょう。


 SNS 利用にかかわる年齢制限の認知

SNS 利用にかかわる年齢制限の認知

]]>
https://is702.jp/main/images/news/S200409.gif