is702 2020-10-29T00:00:00+09:00 インターネット・セキュリティ・ナレッジ インターネットサービスのアカウントを安全に管理するための要点とは 利用するインターネットサービスの数が増えてくるとアカウント保護の意識は薄れ、管理がおろそかになるものです。私たちがついやってしまいがちなパスワードの使い回しには大きなリスクがあります。アカウントを安全に管理するためのポイントを押さえましょう。 2020-10-29T00:00:00+09:00
パスワードを使い回してはならないワケ

インターネットサービスのアカウントを安全に管理するための要点とは

2020/10/29
パスワードを使い回してはならないワケ インターネットサービスのアカウントを安全に管理するための要点とは

インターネットサービスのアカウント管理をおろそかにしていると、悪意のある第三者にアカウントを乗っ取られ、金銭や情報を盗み取られてしまうかもしれません。複数のサービスに同一のIDとパスワードを使い回してはならないワケを知り、安全なアカウント管理を行いましょう。

アカウント管理をおろそかにしていませんか?

ショッピングサイトやSNS、動画配信サービス、ネットバンキング、スマホ決済など、インターネット上には便利なサービスがたくさんあります。サービスの多くは利用登録が必要で、アカウント作成時には本人認証用のIDとパスワードに加え、個人情報の登録を求められるケースもあります。さて、みなさんはサービスのアカウントをどのように管理していますか。

トレンドマイクロの調査*によると、インターネットサービス利用者の約6割が1~3種類のパスワードだけで複数のサービスを利用しており、パスワードの使い回しをしている利用者は全体の8割を超えました。また、回答者の多くは「異なるパスワードを考えるのが面倒」「異なるパスワードを設定すると忘れてしまう」などの理由から同じパスワードを使い回していることもわかりました。
*Web調査、調査期間:2020年8月17日~18日、有効回答数515

図:「あなたは、ID/パスワードでのログインが求められるWebサービスの利用にあたり、パスワードを使い分けていますか。使い分けている方は、何種類のパスワードを使い分けているかお答えください。」(単一回答)[n=515]

しかし、パスワードの使い回しはアカウント保護の観点で望ましくありません。まずは、その理由について見ていきましょう。

パスワードの使い回しはなぜいけないの?

インターネットに潜むサイバー犯罪者は、何らかの方法で入手したIDとパスワードを使って、さまざまなサービスへのログインを試みます。これは複数のサービスに同一のIDとパスワードの組み合わせを使い回してしまうユーザの行動の隙を突いてアカウントを乗っ取る手法(アカウントリスト攻撃)です。もし、複数のサービスで共用するIDとパスワードがサイバー犯罪者の手に渡ってしまった場合、どうなるでしょうか。各種サービスのアカウントを芋づる式に乗っ取られ、アカウントの悪用、金銭や情報の窃取などといった被害に遭う可能性があります。このような理由からパスワードの使い回しは避けるべきなのです。

ある大手国内ゲーム会社は2020年4月、独自のネットワークサービスにおいてアカウントリスト攻撃により不正ログインされた可能性のあるアカウントが約16万件に上ったことを公表しました(2020年6月時点では合計約30万件)。同社はサービス利用者に対してパスワードを変更するとともに、他のサービスと同じパスワードを使い回さないよう呼びかけています。

では、サイバー犯罪者は他人のIDとパスワードをどのように入手するのでしょうか。

他人のパスワードを入手する方法はさまざま

代表的なのがフィッシング詐欺です。これは、実在するショッピングサイトやネットバンキングなどの正規ログインページを装う偽サイトにネット利用者を誘導し、そこで入力させた情報をだまし取る手口です。詐取の対象はサービスの認証情報、個人情報、クレジットカード情報など多岐にわたります。サービス事業者から提供される二要素認証を利用している場合も油断はできません。SMSや専用アプリなどで取得できる認証コード(二要素認証情報)を入力させるフィッシングサイトも出現しているためです。

また、サービス事業者の人為的なミスや内部不正、サイバー攻撃がきっかけで利用者のIDとパスワードが流出してしまうケースもあります。何かしらの要因で流出した認証情報はネット上で不正に売買されたり、サイバー犯罪者によって公開されたりすることによって、悪意を持った第三者の手にもわたり、さまざまなサイバー犯罪に悪用されてしまう可能性があるのです。

サイバー犯罪者は、辞書攻撃や総当たり攻撃(ブルートフォースアタック)によってパスワードを探り当てることもあります。辞書攻撃は、辞書や人名録などに載っている英単語やパスワードによく使われる単語のリストを準備し、それらを特定のIDに対して順番に試していく手法です。一方、総当たり攻撃はプログラムによりパスワードに使用できる文字種の組み合わせを片っ端から試していくものです。したがって、一般的な辞書に載っている単語やフレーズ、短く単純な文字列をパスワードに設定していると、アカウントの乗っ取り被害に遭うリスクが高くなってしまいます。

マルウェア(ウイルスなどの不正プログラムの総称)の感染によって認証情報を窃取されてしまう場合もあります。たとえば、入力情報やSMSで受信したパスワードを外部に送信させたり、正規のログインページに偽のページを被せて情報を窃取したり、アプリから偽の通知を表示させて不正サイトに誘導するなどの手口があります。

アカウントの乗っ取りを防ぐポイントとは?

アカウントの乗っ取りを防ぐ重要なポイントは、サービスごとに異なるIDとパスワードの組み合わせを使用することです。これにより、もしあるサービスのIDとパスワードが流出してしまっても、別のサービスに被害が及んでしまうことを防げます。また、各サービスにおいて第三者に推測されにくい複雑なパスワードを設定することも大切です。さらに、二要素認証などのセキュリティを強化できる認証方法が併用可能なサービスではあらかじめ設定しておきましょう。セキュリティソフトやアプリを最新の状態で利用することも忘れないでください。これにより、フィッシングサイトへ誘導されたり、マルウェアに感染したりするリスクを軽減できます。また手軽な対策としては、サイトにアクセスする前にURLの安全性を確認できるサービスを利用する方法もあります。

無償で利用できるURL安全判定サービスの一例

  • ウイルスバスター チェック!
    LINEの友だちに「ウイルスバスター チェック!」(@trendmicro_vbcheck)のアカウントを追加することで、トーク画面から利用できる無償のセキュリティサービスです。
  • Site Safety Center
    URLを入力して確認をクリックするだけで安全性を4段階で判定することができます。

しかし、利用するサービスの数が増えれば増えるほどアカウント保護の意識は薄れ、管理がおろそかになるものです。複雑なパスワードを作成したり、メモを参照しながらフォームに入力したりする負担は思いのほか大きいためです。

アカウント管理の煩わしさを解消したい方におすすめしたいのがパスワード管理ツールです。その種類は多く、無料で配布されているものもあれば有償版もあります。共通の基本機能は利用中のサービスと、IDとパスワードの組み合わせの管理です。事前に登録したマスターパスワードでログインし、目的のサービスページに移動すると、フォームにIDとパスワードが自動入力*されます。このため、1つのマスターパスワードさえ厳重に管理すれば、ほかのサービスのIDとパスワードを覚える必要がありません。
*対応しているWebサイトでのみ有効。

パスワード管理ツールを選定する際は、機能や価格だけでなく、プライバシーポリシーも確認しましょう。その上で自身の用途に合った信用できるサービスを選ぶことが重要です。たとえば、トレンドマイクロのパスワードマネージャーは、登録された情報をクラウド上に暗号化して保存するため、サービス元もその内容を見ることはできません。また、他のサービスで登録済み、あるいはネット上に流出しているパスワード、脆弱なパスワードを指摘し、強固なものを自動生成してくれます。このため、少なくとも「異なるパスワードを考えるのが面倒」といった理由でのパスワードの使い回しを防げるはずです。さらに、あらかじめ登録された認証情報やメールアドレス、クレジットカード番号、銀行口座番号などがネット上に流出し、それを検知した際には対処法も合わせて通知してくれます。情報流出を察知できれば、クレジットカードの利用停止の手続きを行うなど、悪用に備えたしかるべき措置をいち早くとることができます。

「アカウント管理の負担を減らしたい」「万一の情報流出に備えたい」と考えている方は、セキュリティ対策にパスワード管理ツールを加えることで、さらなる安心・安全なネット利用につなげましょう。

]]>
http://rss.is702.jp/main/rss/3755_l.jpg
「偽の警告」「不審なカレンダー通知」「Emotet 関連」「メッセンジャーに届く動画」などの相談が急増|IPA 独立行政法人情報処理推進機構(IPA)は10月21日、2020年第3四半期(7月~9月)の情報セキュリティ安心相談窓口の相談状況について、取りまとめたデータを発表しました。 2020-10-23T00:00:00+09:00
第3四半期に寄せられた相談件数は前四半期(1,770件)から8割増の3,245件と急増しました。増加が特に目立ったのは、「ウイルス検出の偽警告」「iPhoneに突然表示される不審なカレンダー通知」「Facebookのメッセンジャーに届く動画」「Emotet関連」に関する相談でした。

・「ウイルス検出の偽警告」:前四半期394件→677件
・「iPhoneに突然表示される不審なカレンダー通知」:前四半期19件→133件
・「Facebookのメッセンジャーに届く動画」:前四半期7件→125件
・「Emotet関連」:前四半期1件→308件

「不正ログイン」「宅配便業者をかたる偽SMS」などもやや上昇傾向を見せています。2020年は新型コロナウイルスの流行によりネット利用が増加し、これに便乗したサイバー犯罪が活発化したと考えられます。

関連記事
・偽の会員登録や警告メッセージを閉じられなくなったら
・iPhoneのカレンダーに勝手にイベントが登録される!?
・【注意喚起】FacebookやTwitterのアカウント乗っ取りに注意
・マルウェア「EMOTET」を拡散するスパムメールが復活の兆し

サイバー犯罪の最新手口や動向を知っておくことで、脅威の回避に繋げることができます。セキュリティ関連機関や事業者の注意喚起を参考にすると良いでしょう。公式SNSをフォローしておくと手軽に情報を入手できます。基本の対策として、パソコン、タブレット、スマホにはセキュリティソフトやアプリをインストールし、OSと共に最新の状態に保って利用しましょう。

図:2019年7月~2020年9月における相談件数の推移(IPAの発表資料より)

図:2019年7月~2020年9月における相談件数の推移(IPAの発表資料より)


]]>
https://is702.jp/main/images/news/S201023_06.png
【注意喚起】Facebookのプロフィール訪問履歴確認を装うフィッシング詐欺に注意 Facebookプロフィールへの訪問履歴確認を装う案内から、Facebookの公式サイトを装う偽のログインページに誘導する手口を確認しています。同様の通知に注意してください。 2020-10-23T00:00:00+09:00
今回確認した手口では、何かしらの方法で事前に乗っ取ったFacebookのアカウントから不正なURLをシェアする際に、乗っ取られたアカウントに繋がっている友達をタグ付けし、フィッシングサイトに誘導しようとするものでした。タグ付けを含めて投稿することによって、友達のタイムラインにも表示させることが可能となることから、拡散範囲を広げようとした手口と考えられます。

図:タグ付け投稿されたFacebookのプロフィール訪問履歴の確認を装う偽の通知

図:タグ付け投稿されたFacebookのプロフィール訪問履歴の確認を装う偽の通知


騙されてリンク先のフィッシングサイトでログインしようと入力してしまうと、認証情報(ID、パスワード)を詐取されてしまいます。
認証情報を詐取されると、自身のアカウントに不正ログインされ、不正な投稿の拡散に悪用されたり、保存されている情報や画像を悪用されたりする可能性があります。また複数のサービスで同じ認証情報の使い回しや、ID連携(ソーシャルログイン)を利用していた場合、それらのサービスも悪用される可能性があります。

図:不正なリンクから誘導されたFacebookの公式サイトに偽装した偽ページ

図:不正なリンクから誘導されたFacebookの公式サイトに偽装した偽ページ



Facebookではプロフィールを見た人をトラッキングできる機能を利用者に提供していないとのことです。偽の案内に騙されないようにしましょう。

他の人のプロフィールを見た場合、相手にそれがわかりますか。|Facebook ヘルプセンター

■対策
乗っ取ったアカウントから不正な投稿を行うことで、送信元が知人であることから受信者は警戒心を緩ませ、フィッシングサイトに誘導されやすくなります。このような手口はSNSを悪用したフィッシング詐欺では常とう手段となっています。たとえ知人や著名人の投稿であっても、安易にリンクにアクセスしないようにしましょう。
また万一認証情報を奪われてしまっても、第三者に不正ログインされないようにするには、ワンタイムパスワードなどの二要素認証を設定しておくことです。主なSNSではこのような認証方法を提供していますので、予め設定しておきましょう。

Facebookの二段階認証の概要としくみ|Facebook ヘルプセンター

自身がタグ付けされた投稿を確認する設定をオンにしておくことも対策に繋がります。不正な投稿を友達に広げてしまう前に対処することができます。設定を見直しておきましょう。

[タイムライン掲載の確認]を使用して、自分がタグ付けされている投稿を確認してからFacebookのタイムラインに表示させるにはどうすればよいですか。|Facebook ヘルプセンター

真偽の判断がつかない場合は、送られてきたURLの安全判定を行うか、同様の手口について注意喚起が行われていないかどうか、表示されている文言をネット検索すると良いでしょう。

無償で利用できるURL安全判定サービスの一例
・ウイルスバスター チェック!
LINEの友だちに「ウイルスバスター チェック!」(@trendmicro_vbcheck)のアカウントを追加することで、トーク画面から利用できる無償のセキュリティサービスです。
・Site Safety Center
URLを入力して確認をクリックするだけで安全性を4段階で判定することができます。
]]>
https://is702.jp/main/images/news/S201023_1.png
iPhoneのカレンダーに勝手にイベントが登録される!? アカリは、iPhoneのカレンダーに表示された不審なイベントに戸惑っています 2020-10-22T00:00:00+09:00
ひろしとアカリのセキュリティ事情

iPhoneのカレンダーに勝手にイベントが登録される!?

2020/10/22

不正サイトなどへ誘導することが狙い

iPhoneに標準で入っているカレンダーアプリから全く身に覚えのないイベントの出席依頼や通知が届いた場合、警戒してください。それはiPhoneユーザを不正サイトなどへ誘導するためにサイバー犯罪者が送りつけたスパムと考えられます。

情報処理推進機構(IPA)によると、「iPhoneのカレンダーから、ウイルスに感染しているという通知が出る」「iPhoneのカレンダーに身に覚えのないイベントが入っている」といった相談が増えており、2020年7月の相談件数は55件に上ったとのことです。
これまでに確認されているのは、「iPhoneが保護されていない可能性があります」「オンライン保護を確保します。今すぐクリックしてください」といった内容のイベントです。また、外部カレンダーを取り込む照会機能を悪用する手口も報告されています。もし、そのような不審なイベントに記載されているURLリンクを開いてしまった場合どうなるでしょうか。不正サイトへ誘導され、情報などをだまし取られたり、詐欺や迷惑行為に巻き込まれたりする可能性があります。

iPhoneのカレンダーに不審なイベントが登録されるパターンは大きく2通りあります。1つは、Webサイト閲覧時に表示されたカレンダー関連の通知画面で「照会」ボタンをタップしてしまい、外部のカレンダーが照会対象になってしまうパターン。もう1つは、あなたのiCloudメールアドレスを入手した何者かがカレンダーの「共有機能」や「出席依頼機能」を悪用し、勝手にイベントを追加するものです。

もし、iPhoneのカレンダーに不審なイベントが登録された場合、「身に覚えがない共有カレンダーを削除する」、あるいは「参加依頼を削除してスパム報告をする」のいずれかの対処を行ってください。

イベントの詳細にある「参加」や「欠席」などのボタンを不用意にタップするのは避けましょう。「欠席」を押すとカレンダー上のイベント表示は消えますが、あなたのiCloudメールアドレスが有効であることをスパム配信者に伝えてしまうことになります。

iPhoneを安全に利用するために、「iOSやアプリを最新バージョンに保つこと」、不正サイトへのアクセスを防ぐために「セキュリティアプリを常に最新の状態で利用すること」の2つの対策も徹底しましょう。

ひろしとアカリのセキュリティ事情 ひろしとアカリの日常をもっと見る
ひろしとアカリのセキュリティ事情 ひろしとアカリの日常をもっと見る
]]>
http://rss.is702.jp/main/rss/3751_l.jpg
【注意喚起】特別定額給付金の話題に便乗したネット詐欺に注意(続報) 先週提出された経済対策要望書による、追加の定額給付金申請の話題に便乗した偽メールに注意が必要であると15日に案内しましたが、他にも本件に便乗したネット詐欺が発生しています。 2020-10-21T00:00:00+09:00
給付金配布の話題に便乗した別の偽メールがSNS上で複数報告されており、本文中の不正なリンクからは、給付金とは異なる内容の当選詐欺サイトに誘導していることを確認しています。また、この当選詐欺サイトは今年4月に国民一律10万円給付が確定した際に確認したものと同様でした。
当該の不正サイトは今回報告されている偽メール以外からも誘導を行っていると思われ、直近の7日間(執筆時点)で1,900人以上*の国内利用者が誘導されていました。
*:トレンドマイクロの「Webレピュテーションサービス(WRS)」の統計データより

関連記事
【注意喚起】追加の特別定額給付金申請を装うフィッシング詐欺に注意
【注意喚起】10万円給付に便乗するネット詐欺に要注意


今回SNS上で報告されていた詐欺メールの例は以下の通りです。

送信元表示名:感染症経済対策関連
件名:第二回特別定額給付金のご案内(新型コロナウイルス感染症経済対策関連)
本文(一部抜粋):
■特別定額給付金の概要
令和2年10月14日「新型コロナウイルス感染症緊急経済対策」が閣議決定され、感染拡大防止に留意しつつ、簡素な仕組みで迅速かつ的確に家計への支援を行うため、第二回目特別定額給付金事業が実施されることになりました。

■給付の受取の概要
特別定額給付金ポータルサイトよりご確認くださいませ。
<不正なURL>


誘導先の当選詐欺サイトでは、当選金の入金に必要だと称して銀行口座の情報を詐取しようとします。騙されて情報を送信してしまうと、詐欺に悪用されたり、ネット上で情報を売買されたりする危険があります。同様のメールを受け取ってもリンクはクリックしないでください。給付金の案内が直接メールで届く事はありません。必ず政府の公式ホームページを参照してください。

また、このような不正メールを個人がネット上で注意喚起する際にも注意が必要です。当選詐欺の場合、メールの受信者に当選を信じ込ませるためにパラメータ付きのURL(対象に応じて表示させるページを変化させることが出来る)を送ることで誘導先の偽サイトに受信者のメールアドレスなどを表示させることが多く、今回も誘導先の詐欺サイトには利用者のものと考えられるメールアドレスと通信事業者名が表示されていました。つまり、不正なURLをそのままネット上で公開してしまうと、自身のメールアドレスを不特定多数に知られてしまう事になります。パラメータ付きのURLが含まれる不正メールを投稿する場合は、画像を加工してから投稿すると安全です。

利用者が興味を寄せる話題に便乗した詐欺は、常に攻撃の機会を狙っています。メールやSNS、SMS(ショートメッセージサービス)などで通知されたメッセージは鵜呑みにせず、URLや添付ファイルを含む場合は特に注意を払いましょう。自身で見分けることが難しい巧妙な手口が増加しています。フィッシングサイトや詐欺サイトなどの不正サイトにアクセスしてしまわないためにも、セキュリティソフトやアプリを最新の状態で利用しましょう。不正なメッセージや不正サイトによるリスクを下げることができます。

図:誘導先の当選詐欺サイト

図:誘導先の当選詐欺サイト


]]>
https://is702.jp/main/images/news/S201021_2.jpg
【注意喚起】追加の特別定額給付金申請を装うフィッシング詐欺に注意 2020年10月14日に首相へ提出された、経済対策要望書に便乗した詐欺が発生しています。追加の定額給付金申請を装う偽のメッセージに注意してください。 2020-10-15T00:00:00+09:00
偽の特別定額給付金申請サイトについては、総務省やフィッシング対策協議会などからも注意喚起が行われています。トレンドマイクロでも、この偽メールと同様の件名で総務省のアドレスに偽装した差出人によるスパムメールの拡散を国内で約700件(本記事執筆時点)確認しています。

今年4月に国民一律10万円給付が確定した際にも、それに便乗したネット詐欺が横行しました。今回も便乗する詐欺が本件以外にも発生する可能性があります。ネット利用者は同様の手口やデマに十分注意を払ってください。

■注意喚起情報
特別定額給付金の給付を騙ったメールに対する注意喚起|総務省
https://www.soumu.go.jp/menu_kyotsuu/important/kinkyu02_000438.html
特別定額給付金に関する通知を装うフィッシング (2020/10/15)|フィッシング対策協議会
https://www.antiphishing.jp/news/alert/kyufukin_20201015.html

■今回報告されている便乗詐欺メール
・件名:二回目特別定額給付金の特設サイトを開設しました。
・見かけ上の差出人:infoアットマークsoumu[.]go[.]jp
・本文:二回目特別定額給付金(新型コロナウイルス感染症緊急経済対策関連)

図:詐欺メール本文(フィッシング対策協議会の注意喚起より)

図:詐欺メール本文(フィッシング対策協議会の注意喚起より)


誘導先の偽申請サイトは、「よくある質問」や「関連サイト」のリンクは公式のサイトに繋がっており、利用者が本物のサイトであると錯覚してしまうように作られています。騙されて「オンライン申請」に進むと、情報を詐取する偽の入力ページに繋がっています。

図:偽の特別定額給付金申請サイト(パソコンでの表示例)

図:偽の特別定額給付金申請サイト(パソコンでの表示例)



図:偽の特別定額給付金申請サイト(モバイルでの表示例)

図:偽の特別定額給付金申請サイト(モバイルでの表示例)



図:偽の申請フォーム

図:偽の申請フォーム



図:偽の証明書類アップロードページ

図:偽の証明書類アップロードページ


■対策
このような偽のサイトで情報を入力してしまうと、その情報をさらなる詐欺に悪用されたり、ネット上で情報を売買されたりする危険性があります。給付金など国の施策に関する情報は、必ず政府の公式サイトを参照してください。

本件に関わらず、ネット上では多くの利用者が興味を寄せる話題に便乗した詐欺が横行しています。メールやSNS、SMS(ショートメッセージサービス)などで通知されたメッセージは鵜呑みにせず、URLや添付ファイルを含む場合は特に注意を払ってください。フィッシングサイトや詐欺サイトなどの不正サイトにアクセスしてしまわないためにも、セキュリティソフトやアプリを最新の状態で利用しましょう。不正なメッセージを振り分けることで、危険なサイトに誘導されてしまうリスクを下げることができます。
]]>
https://is702.jp/main/images/news/S201015_1.png
深刻度「緊急」の脆弱性への対応や、Office 2010最後の更新プログラムを含む10月の月例更新を公開|マイクロソフト マイクロソフトは10月14日(日本時間)、月例のセキュリティ更新プログラムを公開しました。独立行政法人情報処理推進機構(IPA)およびJPCERTコーディネーションセンター(JPCERT/CC)も注意を呼びかけています。 2020-10-15T00:00:00+09:00
対象となるソフトウェアは、「Microsoft Windows」「Microsoft Office、Microsoft Office Servers および Web Apps」「Microsoft JET Database Engine」「Azure Functions」「Open Source Software」「Microsoft Exchange Server」「Visual Studio」「PowerShellGet」「Microsoft .NET Framework」「Microsoft Dynamics」「Adobe Flash Player」「Microsoft Windows Codecs Library」で、深刻度「緊急」の脆弱性への対応も含まれています。なお今回の更新では、ブラウザへの新規のセキュリティ修正はありませんでした。

脆弱性を悪用された場合、アプリケーションプログラムが異常終了したり、リモートからの攻撃によって任意のコードを実行されたりする可能性があります。

また、10月13日(米国時間)に「Office 2010」「Office 2010 for Mac」「Exchange 2010」のサポートが終了したため、今後マイクロソフトからテクニカルサポート、バグ修正、セキュリティ修正プログラムは提供されません。Office 2010向けには、今回公開されたプログラムにセキュリティ更新が含まれていますので、ユーザは忘れず適用するとともに、最新製品への移行を検討してください。

各製品のユーザは、Microsoft UpdateやWindows Updateなどを用いて、システムの更新を至急行ってください。自動更新を設定している場合も、念のため更新が適用されているか確認するのが望ましいでしょう。
]]>
https://is702.jp/main/images/news/img_news29.jpg
私用のMacでテレワークを安全に行うための10のポイント 新型コロナウイルス感染症の影響で突如として始まったテレワーク。慣れない環境での就労に戸惑っている方も多いのではないでしょうか。私用のMacでテレワークを安全に行うために必要なセキュリティ知識と対策を紹介します。 2020-10-15T00:00:00+09:00
新しい生活様式に対応しよう

私用のMacでテレワークを安全に行うための10のポイント

2020/10/15
新しい生活様式に対応しよう 私用のMacでテレワークを安全に行うための10のポイント

テレワーク勤務時は、オフィス勤務時に比べて情報漏えいやマルウェア感染などのリスクが高まります。テレワーク勤務者は、一定のセキュリティ知識を身につけた上で適切な対策を行わなくてはなりません。私用のMacでテレワークを安全に行うポイントを紹介します。

ちょっとした気の緩みが勤務先を危険にさらす

テレワークの導入で就労場所を問わない働き方が普及しています。もともと働き方改革の一環として進められてきたテレワークは、新型コロナウイルス感染症の影響で一気に浸透しました。

一方、セキュリティが強固なオフィスから離れ、外で就労することになるため情報漏えいやマルウェア(ウイルスなど不正プログラムの総称)感染などのリスクは高まります。テレワークを安全に行うためには勤務先が定めるガイドラインやポリシーにもとづいて行動しなければなりません。私用のMacでテレワークを行っている方に必要なセキュリティ知識と対策を紹介します。

私用端末の利用が勤務先で許可されていることが前提

Macに限らずテレワークで私用端末を使う場合は、勤務先にそれを許可されていることが大前提となります。私用端末は一般に、組織から貸与されている端末に比べて管理が行き届きにくく、セキュリティも弱いため、情報漏えいやデータ消失、マルウェア感染などのリスクが高いと言えます。もし、私用端末の無断利用によりこうしたトラブルが生じた場合、自身の責任を問われます。また、私用端末の利用が許可されていても、用途や職種、取り扱える情報などに制限が設けられている場合もあります。

私用のMacを使うテレワーク勤務者向けセキュリティチェックリスト

世間では「Macにセキュリティソフトはいらない」というイメージが依然として残っています。しかし、MacもWindowsパソコンと同様、セキュリティソフトによる保護が必要です。実際、Macを狙うマルウェアの脅威は続いています。ネット利用者から金銭や情報をだまし取るネット詐欺も一向に衰える気配を見せません。私用のMacをテレワークで安全に利用するためにはどうすればよいでしょうか。

図:Macでのマルウェア検知台数推移 全世界、2020年8月 トレンドマイクロ調べ

1.第三者による端末の操作を防ぐ

テレワークに使用するMacに、プライベートアカウントとは別に仕事用アカウントも用意しましょう。その際は、「アルファベットの大文字、小文字、数字、記号をランダムに組み合わせた8文字以上のパスワードを設定すること」「自動ログインを無効にすること」が重要です。また、スクリーンロックも必ず有効にしてください。一定時間操作しないでいるとパソコン画面が自動でロックされ、スリープ復帰時にパスワード入力を求められるようになります。これをセットしておけば、目を離した隙などに第三者に不正操作されることを防げます。自動でスリープ状態になるまでの時間もできるだけ短くしておきましょう。

2.OSやソフトを最新バージョンに保ち、セキュリティソフトも最新の状態で利用する

macOSだけでなく、SafariやMicrosoft Officeなどの主要ソフトの脆弱性(セキュリティ上の欠陥)を悪用するサイバー攻撃への備えも必要です。macOSでは過去、端末を不正操作されたり、端末内の情報を漏えいさせたりする脆弱性が見つかりました。開発元からOSやソフトの更新通知が届いた場合、できるだけ早く適用してください。

Windowsパソコンと同様、Macでもセキュリティソフトを利用し、マルウェア感染やネット詐欺などの被害に遭うリスクを減らしましょう。セキュリティソフトを正しく更新しながら利用することで最新の脅威にも対処できます。昨今はネット詐欺の手口がますます巧妙化し、フィッシングサイトなどの不正サイトも見た目だけで真偽を判断することが難しくなっています。セキュリティソフトを利用して不正サイトにアクセスしてしまうリスクを下げておきましょう。

3.macOSに搭載されるセキュリティ機能を利用する(Gatekeeper、ファイアウォール、FileVault)

  • Gatekeeperは、Mac App Store以外からダウンロードしたアプリや、Appleから発行された開発者のID証明書で署名されていないアプリの実行を防ぐ機能です。これを有効にすれば、マルウェア感染や情報漏えいなどのリスクを低減できます。
    https://support.apple.com/ja-jp/HT202491
  • ファイアウォールは外部からの不正な通信を遮断してくれる機能です。これを有効にし、マルウェア感染や情報漏えいなどのリスクを減らしましょう。オプションの「ステルスモード」も使えばより安全です。
    https://support.apple.com/ja-jp/guide/mac-help/mh34041/mac
  • FileVaultはハードディスク内のデータを暗号化する機能です。これを有効にすれば、Mac本体を盗難されたり、分解されたりしても、ハードディスクの中身を盗み見られる心配がなくなります。
    https://support.apple.com/ja-jp/HT204837

4.業務メールの内容を注意深く確認する

メールの差出人が実在する企業や組織、よく知った取引先担当者であっても、本文中のURLリンクや添付ファイルを不用意に開かないでください。それはあなたを不正サイトへ誘導したり、マルウェアに感染させたりするためにサイバー犯罪者が送りつけたものかもしれません。また、「経営幹部による送金指示」「取引先による振込先変更依頼」「上司によるメールアカウント情報の確認指示」といった内容のメールにも注意してください。企業や組織に多額の金銭被害をもたらしているビジネスメール詐欺(BEC:Business E-mail Compromise)が疑われます。メールの内容や言葉遣いなどに違和感を覚えた場合、メールに記載されている電話番号ではなく、いつも使用している電話番号に連絡するか業務用のチャットツールを使うなど、メール以外の手段で事実確認をしましょう。

5.勤務先に許可されたネットサービスやアプリを利用する

勤務先に許可されていないWebメールやクラウドストレージなどを無断で利用し、取引先とファイルをやり取りしたり、業務データを社外に持ち出したりしてはいけません。サービス事業者での人為的ミスやサイバー攻撃、利用者へのフィッシング詐欺などがきっかけで、IDとパスワードのみならずクラウド上の業務データも流出してしまう可能性があります。また、利用者の公開設定ミスや誤送信により、本来共有すべきではない相手に情報が渡ってしまう危険性もあります。業務データの流出や消失によって勤務先に被害をもたらしてしまった場合、損害賠償責任を問われかねません。

6.ホームルータを適切に保護する

一般的なホームルータの管理画面に入るためのIDとパスワードは、製造元や機種ごとに初期設定値が一律で決まっている上に、パスワードが記載されたガイドもネット上に公開されています。もし初期設定パスワードのままで利用しているホームルータに、悪意を持った第三者のアクセスを許してしまうと、管理画面に入られ、設定を書き換えられてしまうかもしれません。ホームルータの管理画面から、第三者に推測されにくいパスワードに変更しましょう。ルータの脆弱性対策も必須です。ルータの製造元から更新プログラムが提供された場合、速やかに適用してください。

7.通信の暗号化方式にWEPを使用しない

一般的なホームルータでは、機器との通信を暗号化する機能が標準で有効になっています。現在、利用されているWi-Fiの暗号化方式は大きく「WEP」「WPA」「WPA2」「WPA3」の4つありますが、最も簡易なWEPを使用してはいけません。WEPは短時間での暗号の解読方法が見つかっているためです。WPA2またはWPA3を使用して通信内容を保護しましょう。加えて、適切な文字数以上の複雑なパスワードによる認証を必ず設定してください。

8.テレワーク用のネットワークを切り離す

家庭内のさまざまな端末やIoT機器がつながるホームネットワークにテレワーク用のMacを接続するのはセキュリティの観点で望ましくありません。もし、他の機器がマルウェアに感染した場合、その影響がMacにも及んでしまうためです。可能であればネットワーク分離機能を備えているホームルータを用意し、ホームネットワークと切り離されたテレワーク用の無線ネットワークや、有線のネットワークを利用しましょう。

9.ホームネットワークを保護できるセキュリティ製品を利用する

ホームルータとそれにつながる機器を含むホームネットワーク全体を保護、管理できるセキュリティ製品を利用しましょう。たとえば、ウイルスバスター for Home Networkは、ホームネットワーク内の通信を監視し、マルウェアの侵入や不正サイトへのアクセスだけでなく、外部との不審な通信もブロックしてくれます。

10.VPNソフトを使用して社内システムにアクセスする

オフィス外からインターネット経由で社内システムにアクセスする際は、勤務先から指定された方法を用いましょう。たとえば、VPN(ブイ・ピー・エヌ:Virtual Private Network)ソフトを利用し、通信内容の盗み見や改ざんを防ぐ方法などです。

テレワーク勤務時は何か問題が起こったときにすぐに相談できる勤務先の担当者が近くにいません。いざという時に慌てないよう、勤務先のヘルプデスクを確認しておきましょう。Macやネットワークをめぐる技術的な問題に自身で対処できない場合は、Appleや利用しているネットワーク機器、インターネットプロバイダーのヘルプデスクを利用するのも1つの手です。各ヘルプデスクのサポート範囲を確認しておきましょう。たとえば、トレンドマイクロのデジタルライフサポート プレミアム付きのウイルスバスター クラウドでは、Macを含むデジタル機器の基本的な設定、操作の質問や相談を24時間365日受け付けています。私用のMacを使うテレワーク勤務者は10のポイントを押さえるとともに、問題が起こったときの対処法も確認しておきましょう。

]]>
http://rss.is702.jp/main/rss/3747_l.jpg
狙われるインフルエンサー、インスタ やFacebookのアカウント乗っ取りが増加 トレンドマイクロは公式ブログで「海外で増加するFacebookアカウント乗っ取り事例、攻撃手口はフィッシング」、「Instagramアカウントを乗っ取る新たな誘導手口をトルコの事例で解説」と題する記事をそれぞれ10月2日と8日に公開しました。いずれもSNSのアカウント乗っ取りを狙った新たな手口を紹介しています。 2020-10-13T00:00:00+09:00
ネット利用者に多大な影響力を持つインフルエンサー(ネット上の有名人)は、企業のみならずサイバー犯罪者にも注目されています。これまでもアカウント乗っ取りや、偽アカウントによるなりすましなどが確認、報道されており、サイバー犯罪者は、偽情報の発信や不正なフォロワー取得、ネット詐欺、アカウント転売、正規所有者への脅迫などにインフルエンサーのアカウントを悪用します。

まずFacebookの事例では、2020年6月以降、インフルエンサーのアカウントが侵害される事例が増加しており、Facebookの公式アカウントを装ったページによって偽サイトに誘導されていることが明らかとなりました。

サイバー犯罪者は、何らかの方法で以前乗っ取ったFacebookアカウントを使い、他の利用者をフィッシングサイトへ誘導する投稿を行います。この投稿はFacebook公式アカウントからの警告に見せかけた内容で、「Privacy PoIicy」「Fecebook and PrIvacy」のような、公式アカウントらしく見える紛らわしい名前を使っていました。これらの偽アカウントは、「あなたのページは偽装または詐欺の疑いがあるとして、他のユーザによりプラットフォームに報告されました」などと主張し、自身のアカウントであることを証明するために表示された外部リンクからの認証を求め、Facebookのログインページに偽装したフィッシングサイトに誘導し、認証情報を詐取します。

図:Facebookの公式アカウントを装った偽の警告メッセージの一例

図:Facebookの公式アカウントを装った偽の警告メッセージの一例


このような手口で奪われたアカウントはフォロワーを引き継いだまま、サイバー犯罪者によってFacebookの公式アカウントに偽装した偽のアカウントに書き換えられます。そして、偽アカウントのページや偽の投稿は、それぞれのフォロワーによって定期的に訪問、閲覧されていたことも確認されており、利用者は偽アカウントに騙されないよう注意を払う必要があります。
Facebook公式アカウントに見せかけた不審なアカウントを見破るには、アカウントのページで「ユーザ名」と「アカウント名」が同様あるいは関連性のあるものかどうか、「概要」の内容が正しいか、「ページの透明性」に書かれた変更履歴に不審な点がないか、掲載されている写真が少なすぎないか、といった点を確認してください。また、正規のFacebook公式アカウントには、アカウント名の横に青い認証バッジが付与されています。同様の投稿を見かけた場合は、認証バッジの有無を確認し、不審なアカウントや投稿の場合は報告を行いましょう。

報告する方法|Facebookヘルプセンター

一方Instagramでも、アカウントのプロフィールを乗っ取る攻撃が、2020年10月以降に増加していることが確認されました。この攻撃は昨年2019年に確認された手口をもとに、新たな誘導手口が用いられています。どちらの攻撃もトルコ語を使用するサイバー犯罪集団が関与しており、やはり多くのフォロワーを抱える有名人や起業家、あるいはその他のインフルエンサーのアカウントを乗っ取っていました。

2019年および2020年10月の攻撃手口はどちらも共通する手法を利用しており、Instagramからの正規メッセージに偽装した偽のメッセージを介して標的の認証情報を窃取したのち、Instagramアカウントを乗っ取ります。

過去の攻撃では、アカウントの確認を偽ったメールが用いられ、フィッシングサイトへの誘導を行っていましたが、新たな攻撃手口ではInstagramのダイレクトメッセージを悪用していました。このメッセージもFacebookの事例と同様に、公式のInstagramヘルプセンターから送信されたかのように見せかけています。「利用者に対する著作権侵害の申し立てが提起されている」という内容で、異議を唱えるフォームへのリンクを掲載し、フィッシングサイトへ誘導します。誘導先でユーザ名、通称、パスワード、メールアドレス、およびメールのパスワードなどの情報を入力してしまうと、メールの変更や携帯電話番号とのリンクの解除などが行われ、アカウントを乗っ取られてしまいます。

図:Instagramのヘルプセンターに偽装した偽のダイレクトメッセージの一例

図:Instagramのヘルプセンターに偽装した偽のダイレクトメッセージの一例


ダイレクトメッセージであっても、リンクが送られてきた場合は不正サイトの可能性を疑いましょう。Instagramでも認証バッジによって公式アカウントか否かを確認することができます。メッセージの送信元アカウントを確かめる習慣を身につけ、不審な場合は運営元に報告を行いましょう。

不正利用とスパム|Instagram ヘルプセンター

■対策
サイバー犯罪の手口を知り、偽のメッセージやアカウントに騙されないように備えることに加え、二要素認証などセキュリティを強化できる認証方法を使うことも重要です。万一IDやパスワードを窃取されたとしても、追加の認証が必要となるため第三者による不正ログインのリスクを下げることができます。また、セキュリティソフトやアプリ、URL判定ツールを使ってリンク先の安全判定を行うことも対策に役立ちます。多くのフォロワーを抱えるアカウントが悪用されると、フォロワーにも被害を及ぼすことになります。自身のためだけでなく、フォロワーのためにもセキュリティ対策を怠らないようにしましょう。
]]>
https://is702.jp/main/images/news/S201013_1.png
もう使っていますか?LINEで簡単判定!URLの安全性やメールアドレス流出有無を確認できる「ウイルスバスター チェック!」で今すぐネット詐欺対策 LINEの友だちに追加するだけでURLの安全性やメールアドレスの流出有無を確認できる「ウイルスバスター チェック!」はもう使っていますか? 2020-10-08T00:00:00+09:00
「ウイルスバスター チェック!」は、LINEの友だちに「ウイルスバスター チェック!」(@trendmicro_vbcheck)のアカウントを追加することで、トーク画面*から利用できる無償のセキュリティサービスです。普段のトークのように「ウイルスバスター チェック!」にメッセージを送ることで、さまざまな判定を行ってくれます。

Webサイトについては、URLをトーク画面に転送するかコピー&ペーストして入力すると、危険度を判定してくれるので、LINE以外のSNSやメールなどに届いたURLでも判定できます。判定は「危険な可能性が高いサイト:×」「リスクがあるサイト:△」「安全な可能性が高いサイト:〇」「未評価のサイト:?」の4段階で、トークの返信の形で表示されます。
さらに、「ウイルスバスター チェック!」アカウントをLINEグループに追加すれば、LINEグループの参加者全員に判定結果が共有できます。


図:LINEグループでのURL評価の通知画面

図:LINEグループでのURL評価の通知画面


また、被害の絶えない個人情報流出対策として、メールアドレス*を「ウイルスバスター チェック!」に送ると、“そのメールアドレスがインターネット上で流出しているかどうか”を判定してくれます。 メールアドレスが流出していた場合には、同時に流出しているパスワードやユーザ名、氏名、住所、電話番号などの情報の流出数や、対処法へのリンクも通知してくれます。
他に、最新のセキュリティニュースをタイムラインでお知らせしてくれるので、巧妙なネット詐欺に騙されないための対策にも役立ちます。


図:メールアドレス流出の通知画面

図:メールアドレス流出の通知画面


まだ利用していない人は今すぐLINEで「ウイルスバスター チェック!」または「@trendmicro_vbcheck」を検索し、友だちに追加しセキュリティ対策に役立ててください。本記事のQRコード画像やリンクからも、追加可能です(事前にLINEを利用している必要があります)。


図:「ウイルスバスター チェック!」友だち追加QRコード

図:「ウイルスバスター チェック!」友だち追加QRコード



*:ウイルスバスター チェック!はお客さまのプライバシーを大切にしています。お客さまとの1:1トーク画面での会話や、LINEグループトーク画面での会話は収集しません。WebサイトのURLとメールアドレスが含まれる会話メッセージのみ収集して確認をしています。また、メールアドレスは暗号化して確認しており、トレンドマイクロが保存することはありません。詳しくは、ウイルスバスター チェック!のプライバシーと個人データの収集について利用規約をご確認ください。]]>
https://is702.jp/main/images/news/S201008_4.jpg
Office 2010のサポート終了に備えよう おじいちゃんはOffice 2010をアップグレードするようです 2020-10-08T00:00:00+09:00
ひろしとアカリのセキュリティ事情

Office 2010のサポート終了に備えよう

2020/10/08

ソフトのサポート終了が意味することとは?

Microsoft Office 2010(Excel 2010、Word 2010、PowerPoint 2010)は、2020年10月13日をもってすべてのサポートを終了します。

みなさんは、ソフトのサポート終了がどんなことを意味するか知っていますか。サポート切れのソフトは、動作や不具合などの問い合わせを開発元に一切受け付けてもらえなくなります。また、ソフトに脆弱性(セキュリティ上の欠陥や不備)が見つかっても、それを修正する更新プログラムが配布されなくなります。中でも後者は、ソフトを安全に使い続ける上で見過ごせない問題です。更新プログラムが配布されずに脆弱性が放置されると、その脆弱性を悪用するサイバー攻撃に対して無防備になってしまうのです。

Office 2010はサポート終了後も起動できるため、そのまま使い続けてしまう方もいるかもしれません。しかし、マルウェア感染や情報漏えい、不正操作といった被害に遭うリスクが日増しに高まってしまいます。できるだけ早くOffice 2010をアップグレードしてください。

まずは利用中のOfficeのバージョンを確認してみましょう。

Officeのバージョンを確認する方法

WordやExcelを起動し、「ファイル」タブをクリック後、「ヘルプ」へ進みます。すると、Officeのバージョンが表示されます。「ヘルプ」の項目がない場合は、Office 2010に該当しないと考えられます。その場合は、「ファイル」から「アカウント」または「サポート」に進みます。Macで利用している場合は、「バージョン情報」から確認できます。

Office 2010を利用中で、今後もOfficeシリーズを安全に使い続けたいと考えているユーザは、サブスクリプション版の「Office 365」か、永続ライセンス版の「Office 2019」に切り替えましょう。

サブスクリプション版:月額、あるいは年額で利用権を購入し、契約期間中だけ使うことができます。
永続ライセンス版:一度ソフトを購入すれば、ライセンス更新をせずに使い続けることができます。

脆弱性は文書作成ソフトに限らず、あらゆるソフトやOS、アプリに存在します。ネットにつながる機器には必ず更新プログラムを適用し、サポートが終了した製品については買い替えやアップグレードを検討してください。そして、セキュリティソフトやアプリの利用と最新版への更新も忘れないようにしましょう。脆弱性を悪用した攻撃や、不正サイトへの誘導などを防いでくれます。

ひろしとアカリのセキュリティ事情 ひろしとアカリの日常をもっと見る
ひろしとアカリのセキュリティ事情 ひろしとアカリの日常をもっと見る
]]>
http://rss.is702.jp/main/rss/3744_l.jpg
ホームルータへの不審な通信が急増、半年で106億回以上を検出|トレンドマイクロ トレンドマイクロは9月29日、公式ブログで「2020年上半期は家庭用ルータへの不審な接続が増加」と題する記事を公開しました。 2020-10-07T00:00:00+09:00
パソコンやスマホ、スマート家電の普及により、一般家庭にもホームルータのある状況が当たり前となりました。さらに、新型コロナウイルスの世界的大流行以来、家庭内でのテレワークによる就労も増加しており、そのような利用者を狙っていると考えられる不審な通信が急増しています。

トレンドマイクロでは、組み込み型ネットワークセキュリティソリューション「Trend Micro Smart Home Network(SHN)」を使用して、外部からホームルータに接続しようとするアクセスについて監視・分析を行いました。その結果、2020年上半期において、ホームルータの開放されていない「TCPポート(それぞれに割り当てられている特定の通信をやり取りするための通信の口)」に対し、不審なアクセス試行を106億回以上検出したとのことです。

特に今回の観測においてTCP23番ポートへの不審なアクセス試行の検出がもっとも多く、53億回を超えていました。この23番ポートは、インターネットを介して機器を遠隔操作するための通信のやりとりに使われています。つまり、この接続要求は単なる侵入口の探査にとどまらず、パソコンやスマート家電などのIoT機器が不正なプログラムに感染するリスクにつながると考えられます。


図:開放されていないTCPポートに対するアクセス試行の傾向(2020年1月から6月まで)

図:開放されていないTCPポートに対するアクセス試行の傾向(2020年1月から6月まで)


■対策
今回の調査結果からもわかるように、家庭で利用するさまざまなネットに接続する機器もサイバー犯罪者の攻撃対象となっています。そのため、家庭内ネットワークとインターネットとの出入口となるホームルータのセキュリティ対策が重要となります。
基本対策として、少なくともホームルータの管理画面にログインするためのパスワードを初期設定から複雑なパスワードに変更し、ファームウェア(機器管理用のソフトウェア)を最新バージョンのものに更新してください。対策に不安がある場合や、より安全性を強化したい場合には、ホームネットワークの安全性チェックや、セキュリティ対策製品を利用すると良いでしょう。
例えば、トレンドマイクロのスマートホームスキャナーは、ホームネットワークに接続する機器の安全性を無償で診断することができます。さらに、ウイルスバスター for Home Networkを利用することで、外部からの不信な通信をブロックすることが可能です。
ネットを介したコミュニケーションやサービスの活用が急速に広がる昨今、それに便乗するサイバー犯罪も急速に増加しています。自身や家族が安全、安心にネットを活用できるよう、対策も怠らないようにしてください。
]]>
https://is702.jp/main/images/news/S201005.png
2020年上半期サイバー攻撃、犯罪動向を公表 不正送金やIoT機器狙いの攻撃が増加|警察庁 警察庁は10月1日、2020年上半期(1月~6月)におけるサイバー空間の脅威情勢について、観測データなどを分析した結果を発表しました。 2020-10-05T00:00:00+09:00
2020年上半期は、新型コロナウイルスの感染拡大が、さまざまな方面に影響を与えました。サイバー攻撃・サイバー犯罪においても、国内外の医療機関・研究機関が新たに攻撃対象となりました。これに対して警察庁は、国内の製薬事業者などに対して注意を呼びかけています。便乗する詐欺や不審メール・不審サイト、悪質な転売も発生しており、都道府県警察からの報告により、新型コロナウイルスに関連するサイバー犯罪が疑われる事案608件を、警察庁は把握したとのことです。

警察庁のセンサーが検知した探索行為などのアクセス件数は、1日・1IPアドレス当たり6,218.1件と、1年で倍近く増加しており、その大部分は主にIoT機器が利用する1024以上のポート番号でした。この原因としては、IoT機器の普及により攻撃対象が増加していること、IoT機器やルータを標的とするマルウェア(ウイルスなどの不正プログラムの総称)が増え続けていることが背景にあると考えられます。


図::検知したアクセスの宛先ポートで比較した1日・1IPアドレス当たり件数の推移(警察庁の発表資料より)

図::検知したアクセスの宛先ポートで比較した1日・1IPアドレス当たり件数の推移(警察庁の発表資料より)


また標的型メール攻撃については、前年同期の2,687件よりやや増加し3,978件。同じ文面や不正プログラムが10か所以上に送付されていた「ばらまき型」攻撃が、全体の98%を占めていました。

昨年下半期から急増しているインターネットバンキングに係る不正送金事犯による被害は2020年上半期もその傾向が続いており、発生件数885件、被害額約5億1,200万円で、前年同期と比べて大幅に増加しました。主な手口としては、SMS(ショートメッセージサービス)やメールを用いて金融機関を装ったフィッシングサイトへ誘導するものと考えられています。また、金融機関以外にも宅配事業者を装ったSMS、他には不正アプリをインストールしてしまい、その不正アプリから表示された偽の警告メッセージからフィッシングサイトへ誘導される手口も確認されているとのことです。

警察庁では、関係機関への注意喚起、不正サイトの検挙や閉鎖、サイバー攻撃の発生を想定した訓練など、さまざまなサイバーセキュリティ対策を今後も推進する計画だとしています。

利用者は、OSやセキュリティソフト、アプリを最新の状態に保つといった基本的なセキュリティ対策を怠らないとともに、サイバー犯罪の最新動向や事例も対策に役立ててください。騙されないための知識と、セキュリティ製品の両輪で対策を行うことが重要です。
]]>
https://is702.jp/main/images/news/S201002.png
サポート切れのソフトを使い続けてはいけないワケ Office 2010のサポート終了まであとわずかです。もし、サポート切れとなったソフトを使い続けた場合、マルウェア感染や情報漏えいなどのリスクが日増しに高まります。Office 2010のユーザーがとるべき対処法を紹介します。 2020-10-01T00:00:00+09:00
Office 2010のサポート期間もあとわずか

サポート切れのソフトを使い続けてはいけないワケ

2020/10/01
Office 2010のサポート期間もあとわずか サポート切れのソフトを使い続けてはいけないワケ

マイクロソフトは、Microsoft Office 2010のサポートを2020年10月13日に打ち切ることを告知しています。Office 2010をはじめとするソフトのサポート終了は、ユーザーにどのような影響を及ぼすのでしょうか。それを理解し、適切に対処しましょう。

Office 2010のサポートが終了に

2020年1月にサポート期間の満了を迎えたWindows 7に続き、Microsoft Office 2010(Excel 2010、Word 2010、PowerPoint 2010)も2020年10月13日をもってすべてのサポートが終了します。

みなさんはWindowsやMacなどのOS(基本ソフト)、Officeなどのソフトにサポート期限があることをご存じですか。たとえば、マイクロソフト製品は、発売日を起点として最低5年間の「メインストリームサポート」と、それに続く最低5年間の「延長サポート」の2段階のサポートが提供されます。メインストリームサポート期間は、更新プログラムの提供をはじめとする各種サポートが無償で提供され、新機能の追加や仕様変更なども行われます。延長サポート期間に入ると、更新プログラムの提供を除く無償サポートが終了し、有償サポートに切り替わります。その期間が終了すると、マイクロソフトによるすべてのサポートが打ち切られます。

ソフトのサポート終了が意味することとは?

Office 2010のサポートが終了してもソフトが起動しなくなるわけではなく、これまでと同じように使えます。では、Office 2010をはじめとするソフトのサポート終了はユーザーにどのような影響を及ぼすのでしょうか。

大きく2つあります。1つは、サポート対象外となったソフトについての問い合わせを開発元に一切受け付けてもらえなくなることです。これは、ソフトに不具合などの何らかの問題が生じても開発元に動作検証やプログラムの改修を行ってもらえないことを意味します。

もう1つは、新たな脆弱性(セキュリティ上の欠陥)が見つかっても、それを修正する更新プログラムが提供されなくなることです。これは、ソフトを安全に使い続ける上で見過ごせない問題です。

脆弱性はプログラムの開発時には見つからなかった弱点や不具合、設計ミスなどが原因で生じるセキュリティ上の欠陥で、マルウェア(ウイルスなどの不正プログラムの総称)感染や情報漏えいなどの要因となる深刻なものも含まれます。通常、ソフトのサポート期間内に脆弱性が見つかった場合、その開発元は脆弱性を修正する更新プログラムを作成し、ユーザーに無償で提供します。ユーザーはそれを適用することでソフトを安全に使い続けることができます。たとえば、Officeなどのマイクロソフト製品では「Microsoft Update」を通じて更新プログラムをインストールする仕組みになっています。

しかし、サポート切れのOffice 2010では原則、更新プログラムが提供されません。つまり、サポート終了後に見つかったOffice 2010の脆弱性は放置されることになり、その脆弱性を悪用する外部からの攻撃に対して無防備になってしまいます。結果、マルウェア感染や情報漏えいといった被害に遭うリスクが増してしまうのです。

新たな脆弱性が修正されないOffice 2010はサイバー犯罪者の格好のターゲットになるかもしれません。サポート終了後、使い続ける期間が長くなればなるほどリスクが高まってしまうため、できるだけ早くアップグレードすることが望まれます。IPA(独立行政法人情報処理推進機構)によると、2019年1月から6月までにJVN iPedia(一般向けに公開される脆弱性情報データベース)に登録されたOffice 2010の脆弱性は22件。脆弱性の深刻度別割合は、全体の55%(22件中の12件)が3段階中最も深刻度の高いレベル3でした。

Office 2010のユーザーは直ちにアップグレードを

まずは、みなさんがご利用のOfficeのバージョンとサポート期限を確認してみましょう。

Officeのバージョンを確認する方法

Word、あるいはExcelを起動し、「ファイル」タブをクリック後、画面左側の「ヘルプ」、もしくは「アカウント」へ進みます。すると、Officeのバージョンが表示されます。「ヘルプ」の項目がない場合は、Office 2010に該当しないと考えられます。その場合は、「ファイル」から「アカウント」または「サポート」に進みます。Macで利用している場合は、「バージョン情報」から確認できます。
※項目名はOfficeのバージョンによって異なります。

Office 2010を利用中で、今後もOfficeシリーズを安全に使い続けたいと考えている方は、サポート期限が切れる前にサブスクリプション版の「Office 365」か、永続ライセンス版の「Office 2019」にアップグレードしましょう。

Office 2010だけでなく、Office 2016 for Macも2020年10月13日にすべてのサポートが終了します。Office 2016 for Macのユーザーもサポート期限が切れる前にサブスクリプション版の「Microsoft 365 Personal」か、永続ライセンス版の「Office Home & Student 2019 for Mac」、「Office Home & Business 2019」にアップグレードしてください。

サポート終了前にアップグレートが必要なのはOfficeシリーズに限った話ではありません。WindowsやMacなどのOSはもちろん、Adobe Acrobat Readerなどのソフト全般にも言えることです。パソコンにインストールされているOSやソフトのバージョンとサポート期限を改めて確認してみましょう。サポート期間内のOSやソフトは常に最新バージョンに更新しながら利用することも大切です。セキュリティソフトも同様、常に最新の状態に保ちながら利用し、最新の脅威にも対処できるようにしましょう。

]]>
http://rss.is702.jp/main/rss/3743_l.jpg
【注意喚起】LINEに届くアディダスを装う偽のプレゼントキャンペーンに注意 アディダスを装い、LINEで偽のメッセージ拡散を促すネット詐欺手口がSNS上で複数報告されています。騙されて偽のメッセージを広げてしまわないよう注意してください。 2020-09-30T00:00:00+09:00
今回報告されている偽のメッセージは、「WOW! アディダス周年記念」から始まり、靴やTシャツ、マスクを無料で提供すると称し、当選した品を受け取る条件としてLINEでメッセージの拡散を促すものとなっています。

今回の手口についてはアディダス ジャパン公式ページ上でも利用者への注意を促しています。
弊社の名前を騙った詐欺メール(フィッシング詐欺)にご注意ください|アディダス ジャパン


図:LINEで拡散されていた偽のメッセージ例

図:LINEで拡散されていた偽のメッセージ例




図:偽のメッセージ内に記載されたURLから転送されたアディダスを装う偽サイト例

図:偽のメッセージ内に記載されたURLから転送されたアディダスを装う偽サイト例



誘導先の偽サイトでは、簡単なアンケートの後に偽の当選ページが表示され、プレゼントの入手に必要だと称してLINEで当該キャンペーンの共有を促します。さらに、メッセージの共有如何にかかわらず表示されているゲージが溜まると、プレゼント入手を餌にしたアプリダウンロードページに遷移します。トレンドマイクロが調査した時点では、最終的にAndroid OS端末では正規の動画共有サービスアプリのインストールページへ、iOSの場合はスマホの当選詐欺ページ、スマホ以外の機器では人気オンラインゲームの偽サイトに誘導されました。

今回確認した手口はアフィリエイト(広告収入)や、さらなる詐欺サイトへの誘導を目的としていたものと考えられます。しかし、誘導先を次々に変化させるのはこのようなネット詐欺の常とう手段です。情報詐取や不正アプリの配布を目的とするような、利用者の被害に直結する不正サイトに誘導されてしまう可能性もありますので、引続き警戒を怠らないようにしましょう。


図:LINEの5グループ、20人の友達に情報のシェアを促す偽の当選ページ

図:LINEの5グループ、20人の友達に情報のシェアを促す偽の当選ページ




図:ゲージが溜まると表示されるアプリダウンロードを促すページ

図:ゲージが溜まると表示されるアプリダウンロードを促すページ




図:最終的に誘導された不正サイトの例

図:最終的に誘導された不正サイトの例



■対策
無償やプレゼントと称して利用者を騙す手口は後を絶ちません。人の心理の隙を突くこのような手口の場合、自身のみならず、LINEでつながっている友人や家族にまで被害を広めてしまう可能性もあります。

現実同様、ネット上でもうまい話には裏があることを肝に銘じ、安易に信用しないことです。本当にキャンペーンやプレゼントが行われているかどうか、公式アカウントやサイトで確認を行うと良いでしょう。

また、グループや友達にLINEでURLを共有する前に、そのURLが安全かどうかを確認する習慣を身に着けてください。
その方法としては、セキュリティアプリや、判定用のサイトでURLの安全性をチェックする方法もありますが、トレンドマイクロのウイルスバスター チェック!(@trendmicro_vbcheck)」が便利です。LINEの友達に追加することで、サイトにアクセスする前にトーク画面でURLの安全性を判定することができ、詐欺サイトなどの不正サイトへのアクセス回避につながります。また、昨今注目されている個人情報漏えい被害への対策として、自身のメールアドレスがネット上に流出しているかどうかを確認することも可能です。日々のセキュリティ対策に役立てましょう。


※バナーをクリックするとトレンドマイクロのスマートホームスキャナーのページが開きます。
]]>
https://is702.jp/main/images/news/S200929_01.jpg
学習資料、クイズで学ぶ!働く大人なら最低限知っておきたいネットセキュリティの基本2020公開 法人向け学習資料「クイズで学ぶ!働く大人なら最低限知っておきたいネットセキュリティの基本 2020」を公開開始しました。 2020-09-30T00:00:00+09:00
今やインターネットは業種や規模に関わりなく、仕事に欠かせないものとなっています。一方で、インターネットを介した法人を狙うサイバー攻撃も絶え間なく繰り返されています。
職場や自身をセキュリティインシデント*から守るには、従業員一人ひとりが基本的な対策を怠らないことが重要です。本学習資料はクイズ形式で楽しく学びながら、基本対策を身につけることができます。従業員教育やご自身の学習に役立ててください。
*セキュリティインシデントとは、なりすましメールやウイルス感染といったサイバー攻撃、従業員の過失による情報漏えいなどのことです。

PDF資料は、is702 学習資料ダウンロードページより無料でダウンロードをして頂けます。





]]>
https://is702.jp/main/images/news/S200930.gif
ホームルータをそのまま使っていただけなのに・・・【第1回】 新しい生活様式やスマートデバイスの普及など、家庭内でもWi-Fiの利用が日常化しつつあります。一方、セキュリティ対策が不十分なホームネットワークを利用していると、さまざまな脅威に遭遇する危険性もあります。脅威を知り、利用者が行うべき対策を実践しましょう。 2020-09-24T00:00:00+09:00
身近なネットの脅威

ホームルータをそのまま使っていただけなのに・・・【第1回】

2020/09/24
身近なネットの脅威 ホームルータをそのまま使っていただけなのに・・・【第1回】

家庭内でWi-Fiを使って複数の機器や家電を連携、活用することが一般化しつつあります。便利な一方、基本的なセキュリティ対策をおろそかにしていると思わぬトラブルや被害に遭う可能性があります。その危険性を知り、対策を行いましょう。

家庭内で無線ネットワーク(Wi-Fi)を使ってスマホやタブレット、複数のスマート家電を連携、活用することが一般化しつつあります。一方で、それらの機器がつながっている家庭内ネットワーク(ホームネットワーク)のセキュリティについて、対策を重要視している家庭は限られます。家庭内ネットワークのセキュリティ対策の肝はホームルータの管理です。ホームルータは家庭内ネットワークとインターネットとの出入口であり、この出入口が侵害されてしまうと、第三者に家庭内のネットワークや、接続されている機器を意のままに不正操作されてしまう危険性があるためです。

本シリーズは全3回に分け、検証結果に基づく身近に起こり得る脅威と、その対策を紹介します。第1回目は攻撃の入口となる、Wi-Fiを介した不正なネットワークへの参加とホームルータの設定変更についてです。続く第2回と3回目では、不正に設定を変更されてしまったホームルータを経由して実行される、情報窃取やスマートデバイスの不正操作について脅威例と対策を紹介します。家庭での安心・安全なインターネット活用に役立ててください。

Wi-Fi圏内にいる悪意を持った第三者からの攻撃

ホームルータを介した脅威には、大別してインターネット上から第三者が脆弱性などを悪用して攻撃を行う場合と、無線通信の圏内にいる第三者による攻撃の2つがあります。今回の検証は、より身近な脅威事例として、マルウェアや脆弱性を使わずに、専門知識があまりなくても攻撃可能なWi-Fi圏内からの攻撃を想定したものです。インターネット越しの攻撃に限らず、近くに悪意を持った第三者がいた場合、こんな被害に遭うかもしれません。

●検証環境

Wi-Fiネットワークの通信範囲は、ホームルータの種類によって異なるものの、建物の外や、隣家、集合住宅では上下左右の家庭にまで及ぶ場合があります。通常は自身の家庭内ネットワークをそれぞれが利用します。しかし基本対策をおこたった結果、通信圏内にいる悪意を持った第三者によって家庭内ネットワークに介入される危険性もあり、その被害は単に通信のただ乗りをされるだけではありません。

●被害第一段階:Wi-Fi通信圏内にいる第三者がネットワークに参加する

現在市販されている主なホームルータは、特に利用者が設定を行わなくてもネットワーク認証用のパスワードで暗号化されたWi-Fiネットワーク名(SSID)と、その認証用として一意のパスワードが割り振られています。
しかし、ネットワーク認証用のパスワードで暗号化されたネットワークであっても、ネット上で配布されている不正ツールなどを第三者が悪用した場合、ネットワーク認証用パスワードを解読されてしまう可能性があります。さらに、簡易な形式で暗号化された通信の場合や、そもそもネットワーク認証用パスワードを設定していない場合は、スマホ一台あれば容易に突破され、第三者に家庭内ネットワークへの参加を許してしまいます。

ネットワーク認証用パスワードの解読は、いくつかの条件にもよりますが最も簡易なWEP形式ではたったの10秒、その上位であるWPAで数分、さらに複雑なWPA2でも不十分なパスワードの長さや複雑さなどの条件によって数分から数日でパスワードの解読が成功する可能性があるという研究結果が公表されています。このことからも、ネットワーク認証用パスワードを設定していない通信や、WEP、WPAによる通信は、外部からの不正行為に対して非常に脆弱であることが分かります。最低でもWPA2以上を利用し、適切な長さや複雑さのパスワードを設定した上で、暗号化された通信を利用する必要があります。しかし、通信の暗号化だけでは十分な対策とは言えません。

●被害第二段階:ホームルータの設定画面に不正ログインされる

通常、市販されているホームルータは設定管理画面に入るための初期設定パスワードが機種やメーカーごとに統一されており、そのパスワードが記載された説明書はネット上でも公開されています。つまり、攻撃者がネットワーク認証用パスワードを突破して家庭内ネットワークに侵入してきた場合、ホームルータの設定管理画面のパスワードを初期設定のままや、単純なものにしていると、設定画面に不正ログインされ、意のままに設定変更されてしまうことになります。

●被害第三段階:ホームルータのDNS設定を書き換え、遠隔攻撃の準備を整える

被害内容の前に、まずはDNSとは何かについて確認しておきましょう。私達がインターネット上のサイトを参照する際、通常英数文字のURLを入力します。しかし、これは人間が覚えやすいように変換されたものです。実際には、コンピュータ同士が通信を行う際、一意の数字の羅列で作られたIPアドレスによって通信先を参照しています。この、URLに紐づくIPアドレスの参照作業を行っているのがDNS(ドメインネームシステム)と呼ばれるものです。このDNSが正しい参照先と紐づいていることで、私たちはアクセス先にたどり着くことができます。

図:DNS設定が正常な場合

しかし、このDNSの設定を不正なものに書き換えられてしまうと、いくら私たちが正しいURLを入力しても、別のIPアドレスに紐づけられて異なるサイトに誘導されてしまいます。つまり、この仕組みを悪用することで攻撃者は被害者を遠隔からでも任意のサイトに誘導することが可能になるのです。

図:DNS情報の不正な書き換えにより不正サイトに誘導

ホームルータを利用してインターネットに接続している場合、ホームルータの設定画面から任意のDNSサーバを参照するように設定を変更することが可能です。この設定を第三者が不正な参照先に変えることで、アクセス先のサイトを自由にコントロールすることが可能となってしまいます。

図:DNSサーバの設定画面イメージ

また、インターネット側からのリモートアクセスを有効にすることで、設定管理画面に遠隔からも不正アクセスが可能となり、いつでも自由に設定変更できるようになってしまいます。

図:インターネット側からのアクセス設定画面イメージ

このように、Wi-Fiを介して家庭内のネットワークへ不正に参加した後、ホームルータの設定画面に不正ログインし、設定を変更して攻撃の下準備を整えれば、インターネットを介した遠隔からの攻撃が可能になります。そのため、攻撃者はWi-Fi通信圏内に留まる必要は無くなり、外部からゆっくり標的を攻撃することが可能になるわけです。

セキュリティ対策を強化するための設定

家庭内ネットワークへの参加を防止するためには、基本対策が重要です。どれが欠けても十分とは言えませんのですべて実践しましょう。

  • ホームルータの設定管理画面の初期パスワードをなるべく複雑なものに変更する
    (パスワードを忘れてしまっても機器のリセットで設定し直せます)
  • ホームルータの脆弱性を悪用されないよう、ファームウェア(機器管理用のソフト)を常に最新の状態に保ち、サポートが終了している場合は新しいものに買い替える
  • ホームルータに不明な機器が接続されていないかどうか確認し、不審な機器がある場合は設定や対策を見直す
    (機種によっては管理画面で接続機器一覧が表示可能)
  • 通信をWPA2以上、かつ15文字以上の数字、英大文字、小文字および記号を含むネットワーク認証用パスワードで暗号化する
  • WPA3対応のホームルータでは、WPA2よりも難解なWPA3を利用する(ただし、WPA3にも脆弱性が見つかっているので常に最新に保つ)

長くて複雑なパスワードを考えたり、管理したりするのが困難に感じる場合は、パスワード管理ツールの利用が便利です。条件に合ったパスワードを自動生成し、そのパスワードを保管しておくことも可能です。

追加の基本対策

可能であれば以下の対策も追加で行いましょう。

  • 無線ネットワークを介した設定変更を防止するため、設定変更を有線からのみにしておく
  • WEPでしか利用できない機器がある場合は、主要なデバイスで利用するネットワークから隔離したネットワークを別に設ける
  • ホームルータのローミング設定を悪用される手口が報告されているので、ローミング利用者は再検討する

詳しい設定方法は各ホームルータの説明書やサポートページを参考にしてください。

それでも対策に不安を感じる場合

ネットワーク全体を保護するセキュリティ製品の利用を検討してください。例えば、トレンドマイクロのウイルスバスター for Home Network*の場合、ホームルータに接続し、専用アプリを利用するだけで、攻撃の第一段階となる家庭内ネットワークへの無断参加をブロックします。万一第三者がネットワークに参加しようとしても、管理アプリの通知から許可を行わない限り、第三者がネットワークに参加することはできません。また、ホームルータの設定画面へのアクセスを第三者が試みた場合にも、管理アプリに通知し、アプリ側から許可をしない限りホームルータの設定管理画面へのログインを許しません**。
他にも、利用しているホームルータや家庭内ネットワークに繋がっている機器に対し、パスワード設定やファームウェアなどの脆弱性を診断し、対処法を通知してくれます。さらに、専属のサポートスタッフによる電話やLINEを介した支援や、家族のネット利用見守り機能、不信な通信、不正サイトといったさまざまなネット上の危険からも守ってくれます。スマホやタブレット、パソコン同様、安心・安全なネット利用にはネットワークのセキュリティ対策も欠かさないようにしましょう。
*パソコンやモバイルには別途専用のセキュリティソフトやアプリのインストールが必要です。
**本機能はベータプログラム内の評価中の機能です。

第2回では、設定を不正に変更されてしまったホームルータを起点とした攻撃と、それに対する対策を紹介します。

]]>
http://rss.is702.jp/main/rss/3740_l.jpg
ネット通販にはクーリング・オフ制度がないことを再認識し、利用時には注意を|国民生活センター 独立行政法人国民生活センターは9月17日、「新しい“消費”生活様式」の影響で、ネット通販のトラブルが増加しているとして、あらためて注意を呼びかけました。 2020-09-18T00:00:00+09:00
新型コロナウイルスの感染拡大を経て、三密回避や手洗いの徹底、あるいはテレワークや時差出勤、通信販売や外食テイクアウトの活用といった「新しい生活様式」の摸索が始まっています。厚労省があげる実践例には、「通信販売の利用」も示されていますが、PIO-NET(パイオネット:全国消費生活情報ネットワークシステム)のデータから、ネット通販のトラブルが増加傾向にあることが明らかになりました。

2020年4月時点で、消費者の相談全体のうち、ネット通販に関する相談は29.2%を占めていましたが、5月以降は30%を突破しています。契約当事者の年代を見ると、特に20歳未満の増加率が大きく、2020年4~6月に寄せられた相談件数が、前年同期の約1.8倍に達しました。

寄せられた相談の内容では、マスク、体温計、消毒用アルコールなどの感染症対策商品について、2020年2月以降、「高額な値段で販売されている」「商品が届かない」「粗悪品が届いた」などの相談が多数寄せられています。また、洋服やかばん、靴、家具類などの身の回り品などのモノだけでなく、映画配信サービスやオンラインゲームに関する相談も目立っているとのことです。

通信販売にはクーリング・オフ制度が適用されません。そのため購入前に、返品・解約の条件や、販売事業者の連絡先をしっかりと確認してから、購入手続きを行ってください。大手通販サイト以外にも、小規模な通販サイトもありますが、なかにはお金や個人情報の詐取などを目的とした詐欺的なサイトもあります。少しでも怪しいと思ったら利用しないようにしましょう。またここ最近、「お試しのはずが勝手に定期購入になっており、高額な代金を請求された」というケースも増えているとのことです。注文を確定する前に、定期購入の契約になっていないか確認しましょう。

それでもトラブルが生じた場合は、すぐに最寄りの消費生活センターなどへ相談しましょう。消費者ホットライン「電話番号188(いやや!)」では、最寄りの市町村や都道府県の消費生活センターなどを案内してくれます。
正規通販サイトに偽装した偽サイトや、詐欺サイトによる被害を防ぐには、セキュリティソフトやアプリの利用も有効です。そのような不正サイトにアクセスしてしまうリスクを下げることができます。また、LINE利用者は、無償で利用できるトレンドマイクロの「ウイルスバスター チェック!(@trendmicro_vbcheck)」も役立ててください。LINEの友達に追加することで、サイトにアクセスする前にトーク画面でURLの安全性を判定することができます。

図:PIO-NETにみるインターネット通販の受付年月別相談件数と割合の推移(国民生活センターの発表資料より)

図:PIO-NETにみるインターネット通販の受付年月別相談件数と割合の推移(国民生活センターの発表資料より)

]]>
https://is702.jp/main/images/news/S200918.gif
ビデオ会議ツールを利用する際の注意点 高見部長はWeb会議を開催するようです 2020-09-17T00:00:00+09:00
ひろしとアカリのセキュリティ事情

ビデオ会議ツールを利用する際の注意点

2020/09/17

ビデオ会議ツールの脆弱性や設定を意識しよう

ZoomやSkype、Microsoft Teams、Google Meetに代表されるビデオ会議ツールやビデオ通話サービスは、ビジネスや教育のシーンにとどまらず、個人間コミュニケーションにおいても活用が進んでいます。ただ、このようなツールやサービスの利用にあたってはセキュリティやモラルの観点でいくつか注意すべきことがあります。

まずは脆弱性です。脆弱性は、プログラムの設計ミスなどが原因で生じるセキュリティ上の欠陥で、悪意のある第三者からの攻撃に悪用される危険性があります。どんなソフトやアプリにも脆弱性はつきもので、Appleユーザにとってなじみ深い「FaceTime」でも過去に、グループ FaceTime で、相手が応答していなくても通話可能になってしまうような欠陥が見つかっています。既に修正プログラムが配布されていますが、利用者はソフトやアプリの開発元から脆弱性を修正する更新プログラムが提供された場合、速やかに適用することが対策として求められます。

次に、各ビデオ会議ツールなどが独自に用意しているセキュリティとプライバシーの設定です。Zoomでは、利用者の設定不備によって部外者がオンラインの会議や授業に参加し、進行を妨害する迷惑行為が問題になりました。これを受け、利用者の設定不備を補うための対策がサービス側で取られ始めています。利用者が個々に設定を行う必要は無くなりましたが、会議のIDやパスワードは必要な相手にのみ通知し、ネット上で公開しないようにしましょう。

最後に、組織においては勤務先が許可したビデオ会議ツールを利用することが原則です。もし、勤務先に無断で使用したサービスから機密情報が漏れ、勤務先や取引先などに損害を与えてしまうとどうなるでしょうか。懲戒の対象になるだけでなく、場合によっては損害賠償を請求される可能性もあります。また、動画のフィルター機能なども勝手にインストールしてはいけません。勤務先が定めるセキュリティポリシーやガイドラインを確認し、それに従うことが大切です。相手に無断で動画や画像を取得することもモラル上好ましくない行動となることがあります。業務上記録が必要な場合は相手に許可を得て取得し、業務で必要な範囲の利用にとどめましょう。

ひろしとアカリのセキュリティ事情 ひろしとアカリの日常をもっと見る
ひろしとアカリのセキュリティ事情 ひろしとアカリの日常をもっと見る
]]>
http://rss.is702.jp/main/rss/3735_l.jpg
テレワーク導入時のセキュリティ、担当者が確認すべき対策内容をチェックできる手引きを公開|総務省 総務省は9月11日、テレワーク利用時のセキュリティに関する手引き(チェックリスト)などを公開しました。 2020-09-15T00:00:00+09:00
新型コロナウイルスの感染拡大を受け、さまざまな業界で「テレワーク」の導入・活用が広がりました。総務省ではこの状況に対し、「テレワークセキュリティガイドライン」を策定・公表するなど、セキュリティ面での注意を呼びかけてきました。しかし、IT面に不慣れな企業や中小規模企業でもテレワーク導入が加速しており、不安や問題が広がっています。

こうした背景から総務省は今回、より実践的かつ具体的で分かりやすい内容で「最低限のセキュリティを確実に確保してもらうこと」を目指し、手引き(チェックリスト)などを作成しました。これによりセキュリティの専任担当がいないような中小企業でも、チェックリストを活用することで対応が可能になるとしています。

手引きは「中小企業など担当者向けテレワークセキュリティの手引き(チェックリスト)(初版)」と「設定解説資料(Cisco Webex Meetings/Microsoft Teams/Zoom)」で構成されており、一部の製品では具体的な設定手順も紹介されています。

これらの資料はPDFファイルとなっており、総務省サイトより無償でダウンロード・閲覧が可能です。また総務省では今後、実態調査の結果や寄せられた意見などを踏まえ、年内を目途によりわかりやすい手引き(チェックリスト)の作成(第2版改定)を行うほか、設定解説文書についても対象製品を増やしていく予定とのことです。

テレワークを安全に活用するには、組織の管理者側、利用者側双方による対策が欠かせません。手引きなどを参考に環境を整えると共に、従業員への教育も実践しましょう。
]]>
https://is702.jp/main/images/news/img_news1.jpg
安全性よりも利便性を重視しがちな若年層、認証方法に関する調査結果公開|フィッシング対策協議会 フィッシング対策協議会は9月9日、インターネットサービス利用者に対する 「認証方法」に関するアンケート調査の結果を発表しました。調査の実施期間は2020年2月28日~3月2日で、18歳~69歳の562名が回答しています。 2020-09-14T00:00:00+09:00
それによると、まず、「SNS(LINE、Facebook、Twitterなど)や総合サービス(Google、Yahoo!など)のアカウントを利用して、他のサービスに会員登録・ログインするサービスを利用していますか」という質問に対して、全体では59.4%が「利用している」と回答しましたが、18歳~29歳の利用者は77.5%、30~39歳は73.0%と、若い世代はさらに高い数値を示しました。

図:SNS(LINE、Facebook、Twitterなど)や総合サービス(Google、Yahoo!など)のアカウントを利用して、他のサービスに会員登録・ログインするサービスを利用していますか(フィッシング対策協議会の発表資料より)

図:SNS(LINE、Facebook、Twitterなど)や総合サービス(Google、Yahoo!など)のアカウントを利用して、他のサービスに会員登録・ログインするサービスを利用していますか(フィッシング対策協議会の発表資料より)


また「ログインした状態にしておくという設定ができるとき、設定しますか」という質問では、全体では34.3%が「設定する」と回答しているのに対し、18歳~29歳の利用者は、さらに多い49.5%が「設定する」と回答しています。「ブラウザにパスワードを記憶(覚えさせること)させることができる場合、記憶させますか」という質問でも、全体では36.7%が「記憶させる」と回答しているのに対し、18歳~29歳の利用者は46.8%が「記憶させる」と回答するなど、若年層では、一つのアカウントで複数のサービスが利用できるID連携の利用も多く、全体として安全性より利便性を重視している傾向が見てとれます。
二段階認証を使いたいケースに対する回答では、「ネットバンキング」59.1%、「クレジット会員サービス」45.6%が上位となり、一方で「通販(EC)」18.9%、「SNS」14%は低い回答率に留まりました。直接金銭に紐づいているサービスを重要視している利用者が多い一方で、個人情報やクレジットカード情報を含むサービスや、ID連携が可能なサービスについては重要性の認識が低いことが伺えます。

その他では、以下のような調査結果の概要(一部抜粋)が報告されています。

・安全なパスワードの文字数
 「8文字以下で安全」と思っている利用者53.2%
・ワンタイムパスワードの利用経験
 「使用経験がない」20.6%、「何かわからない」5%
・本人認証で不満、嫌に思った経験
 「パスワードが認識されなかった」39.5%、「二段階認証が面倒」22.8%

詳しい調査結果は、フィッシング対策協議会の公式サイトより、PDFファイルが無償でダウンロード・閲覧可能です。今後は、2019年2月に実施されたインターネットサービス提供事業者側の調査と、今回のユーザ側の調査を比較検討し、安全利用へ向けた意見としてまとめ、発表する予定とのことです。

■利用者へのアドバイス
年々さまざまなサービスの認証情報などを狙うフィッシング詐欺が増加しています。さらに、ID連携が可能なLINEやAmazon、楽天などのブランドは特に狙われる傾向にあります。万一このようなアカウントの情報が第三者に奪われて悪用されてしまった場合、被害は広範囲に及ぶ可能性があります。SNSや総合サービス、総合ECサイトのアカウントの重要性を再認識し、サービス利用者は個別の複雑なパスワードに加えて多要素認証などのセキュリティを強化できる認証手段も併用しましょう。
複雑なパスワードをサービス毎に考えたり、ログインのたびに入力したりするのが大変だと感じている場合は、パスワード管理ツールの利用が便利です。例えば、トレンドマクロのパスワードマネージャーでは、長くて複雑なパスワードの自動生成に加え、サイト毎にIDとパスワードを管理して自動ログイン*することも可能です。このようなセキュリティ製品を活用して、利便性と安全性を両立しましょう。
*自動ログインに対応しているサイトのみで有効。
]]>
https://is702.jp/main/images/news/S200914.png
止まぬネットバンキングの不正送金被害、個人口座の不正利用が顕著に 昨年再急増したネットバンキングの不正送金被害が続いています。新たな手口による被害も報道されていますので、ネットバンキング利用者以外も注意を怠らないようにしてください。 2020-09-11T00:00:00+09:00
一般社団法人全国銀行協会は9月7日、「盗難通帳」「インターネット・バンキング」「盗難・偽造キャッシュカード」などによる預金の不正払い戻しや、口座不正利用に関するアンケート調査(2020年度第1四半期:Q1)の結果を発表しました。この調査は、同協会の会員191行を対象に四半期ごとに行われているもので、今回は2020年6月末に行われました。

このうち、「インターネット・バンキングによる預金等の不正払い戻し」に関するアンケート結果によると、2020年4月~6月におけるインターネット・バンキングによる不正払い戻しの被害件数・被害金額は、個人顧客が372件、2億1,700万円。一方、法人顧客は13件、1,700万円となっており、引続き個人口座の被害が大半を占めています。


図:インターネット・バンキングによる預金等の不正払い戻し件数・金額(全銀協の調査結果レポートより)

図:インターネット・バンキングによる預金等の不正払い戻し件数・金額(全銀協の調査結果レポートより)


インターネット・バンキングによる不正払い戻しは、2015年のピークを境に減少傾向にありましたが、個人を狙った攻撃が2019年度に急増し、2018年度1年間の被害が306件、7億5,300万円だったのに対し、2019年度は1,756件、18億2,200万円にまで達しています。今回の調査も高い数字を示しており、利用者は引続き警戒を緩めないようにしてください。メールやSMS(ショートメッセージサービス)などから誘導されるサイトの利用は避け、必ず正規サイトや公式アプリから利用してください。

また直近では、オンライン口座サービスに第三者の口座を不正に振替登録し、個人利用者の口座から預貯金が不正に引き出されたと複数の銀行が公表しています。サービスの隙を突いた不正行為によるものとされていますが、本件に限らず自身の口座に身に覚えの無い取引履歴が無いかどうか定期的な確認を怠らないようにしましょう。自身がネットバンキングを利用していない場合でも、被害に遭う可能性があります。他人事とは考えず、用心を怠らないことが大切です。万一不審な取引履歴を見つけたら、すぐに利用している金融機関や、警察の窓口に相談をしてください。

警察庁 サイバー犯罪相談窓口

また、銀行口座が悪用される被害の中には、既に何かしらの原因によって流出した口座情報がネット上で売買され、サイバー犯罪者が不正に情報を入手している場合もあります。ネット上に自身の口座情報が流出しているかどうかを確認する手段としては、セキュリティ製品によるダークウェブモニタリングの機能を利用する方法もあります。例えば、トレンドマイクロのパスワードマネージャーに搭載されたダークウェブモニタリング機能では、予め登録した銀行口座やメールアドレスなどの情報流出を常に監視し、万一流出が確認された場合は警告と共に対処方法を知らせてくれます。
サイバー犯罪は日々巧妙化しています。利用者は自衛のために最新の手口を知っておくと共に、セキュリティ製品を活用して安心・安全にネットを活用しましょう。
]]>
https://is702.jp/main/images/news/S200911_1.png
あやしいメールの添付ファイルやURLリンクを開いてしまったときの対処法【2020年】 メールやSNS、SMS、ネット広告は、マルウェアの拡散や不正サイトへの誘導といった攻撃の手段としても悪用されています。ちょっとした気の緩みから、あやしげな添付ファイルやURLリンクを開いてしまったときの対処法を知っておきましょう。 2020-09-10T00:00:00+09:00
こんなときどうする!?

あやしいメールの添付ファイルやURLリンクを開いてしまったときの対処法【2020年】

2020/09/10
こんなときどうする!? あやしいメールの添付ファイルやURLリンクを開いてしまったときの対処法【2020年】

スパムメールや不正なメッセージを起点とする攻撃の勢いは一向に衰えません。サイバー犯罪者は言葉巧みに添付ファイルやURLリンクを開かせ、マルウェアに感染させたり、不正サイトへ誘導したりしようとしています。あやしげな添付ファイルやURLリンクをうっかり開いてしまったときの対処法を紹介します。

スパムメールに引っかかってしまうワケ

スパムメールや不正なメッセージを介してマルウェア(ウイルスなどの不正なプログラムの総称)に感染させられたり、不正サイトへ誘い込まれたりするケースが相次いでいます。こうした事例やその危険性についてはメディアが盛んに報じ、警察機関やセキュリティ関連団体も注意喚起を行っています。それなのになぜ被害が後を絶たないのでしょうか。

最近のスパムメールは、受信者に不信感を抱かせないように作り込まれています。内容や日本語の言い回しに不自然な点はほとんどなく、受信者が正規のメールと錯覚しがちです。たとえば、実在する通信販売事業者や宅配便事業者などを装って「セキュリティアラート」「サービス継続手続き」「請求書の送付」「商品の配送確認」などを名目とするもっともらしいメッセージを送りつけてくるため、受信者は疑いなく添付ファイルやURLリンクを開いてしまうのです。

メールの不正な添付ファイルを開かせる手口と対策とは?

2019年後半ごろから国内で話題になっているのは、実在する企業や組織、過去にメールをやり取りしたことのある人物などを装って「請求書」「ドキュメント」「賞与支払」などの件名のメールを送りつけ、受信者にOfficeの文書ファイルを開かせる手口です。

図:EMOTETを感染させるWordのDOC形式の文書ファイルの例(2019年10月確認)

ファイルを開いて、メッセージバーの「編集を有効にする」「コンテンツの有効化」ボタンをクリックしてしまうとどうなるでしょうか。不正なマクロが実行され、マルウェアに感染してしまいます。メール内のURLリンクを開かせ、不正なマクロを埋め込んだ文書ファイルをダウンロードさせるパターンも確認されています。

図:「コンテンツの有効化」ボタン

※マクロは、事前に記録した操作内容や手順をまとめて実行させる機能です。WordやExcelなどのOfficeドキュメントの標準機能として備わっています。

このEMOTET(エモテット)と呼ばれるマルウェアを配布する手口は日々変化しており、直近でも不正な添付ファイルをパスワード付きのZIPファイルにして送ることで、セキュリティソフトの検知を回避しようとしたり、受信者に信じ込ませるために、実際に企業などから送信された文面や件名などを複製して偽のメールを仕立てたりするなど巧妙化を続けています。常に最新の情報を入手し、警戒を怠らないようにしましょう。

●対策

  • メールのフィルタリング機能を有効にし、スパムメールの受信を防ぐ
  • メールの添付ファイルを不用意に開かない(必要に応じて差出人に電話などで問い合わせ、事実確認を行う)
  • マクロの自動実行が無効になっていることを確認する(Word→ファイル→オプション→セキュリティセンター→マクロの設定→「警告を表示してすべてのマクロを無効にする」を選択)
  • 脆弱性の悪用を防ぐために、OSやソフトを常に最新の状態に保つ
  • セキュリティソフトを最新の状態で利用し、スパムメール受信後のマルウェア感染などを防ぐ

不正なURLリンクを開かせる手口と対策とは?

実在する企業や組織、よく知った相手が差出人でも、何らかの理由をつけてURLリンクを開かせようとするメールは、あなたを不正サイトへ誘導するためにサイバー犯罪者が送りつけたものかもしれません。たとえば、携帯電話事業者を装うメールで「契約更新」「支払い金額の返金」などと通知し、受信者に不正なURLリンクを開かせる手口が確認されています。誘導先は当選画面を表示する偽サイトで、当選金を受け取るためという名目で銀行口座情報などを入力するよう仕向けます。

図:携帯電話事業者をかたった偽メールの一例

図:誘導先の偽当選画面の一例

不正サイトへの誘導手段はメールだけではありません。SNSの投稿やダイレクトメッセージ、SMS(ショートメッセージサービス)、一般のWebサイトに表示されるネット広告も不正サイトの入り口になっています。たとえば、TwitterやFacebook、YouTubeなどのSNSにおいてセキュリティ会社やオフィス機器メーカーを装うアカウントから「技術的な悩みを解決します」といった文言とURLリンクを投稿し、サポート詐欺サイトへ誘導する手口が確認されています。また、突然表示される「ウイルス感染」「システム破損」を警告する画面もサポート詐欺サイトにつながっているかもしれません。こうした警告は、ネット利用者の不安をあおることでクリックを促す演出に過ぎないのです。

サイバー犯罪者が偽装するのは、一般企業や知人だけではありません。警察庁をかたって「銀行の認証の設定が必要」などと呼びかけるSMSも確認されています。もし、メッセージ内のURLリンクを開くと特定の金融機関を偽装したフィッシングサイトへ誘導され、そこで入力したすべての情報がサイバー犯罪者の手に渡ってしまいます。

図:ポップアップメッセージの後に表示される警察庁を装う偽のWebサイト

メールなどのURLリンクは、パソコンのOSやソフトの脆弱性(セキュリティの弱点)を攻撃する不正サイトの入り口になっていることもあります。OSやソフトの脆弱性を残したままのパソコンでは、こうした不正サイトを表示しただけでマルウェアに感染してしまうこともあるのです。

●対策

  • スパムメールや不正メッセージの実例を知る
  • セキュリティソフトを最新の状態で利用し、不正サイトへのアクセスを未然に防ぐ
  • メールやSMS、SNSの投稿やメッセージ内のURLリンク、ネット広告を不用意に開かない
  • 脆弱性の悪用を防ぐために、OSやソフトを常に最新の状態に保つ
  • SMSの振り分け機能や、次世代SMSの「+メッセージ」を利用する

    ※+メッセージでは、携帯電話事業者3社による審査をクリアしなければ企業の公式アカウントを開設できません。企業の公式アカウントには認証済みマークが付与され、利用者がメッセージの真偽を判断する目安にできます。

あやしい添付ファイルを開いてしまったと感じたときの対処法

スパムメールは一目で不正なものと判断することが難しくなっています。どれだけ注意していても不正な添付ファイルを開いてしまうことがあるかもしれません。「あやしいファイルを開いてしまったかも」と感じた場合、どのように対処すべきでしょうか。

  • 1.セキュリティソフトでスキャンを行う
    パソコンにインストールされたセキュリティソフトでスキャンを実行しましょう。マルウェアが検出された場合、画面に表示された内容をもとに必要な対処を行ってください。

    ウイルスバスターでスキャンを実行する方法
    https://helpcenter.trendmicro.com/ja-jp/article/TMKA-17994/


    スキャンの結果、パソコンに入り込んだマルウェア名が判明する場合もあります。ネット上に公開されている脅威データベースにマルウェア名を入力することで、マルウェアの詳細情報や対処法を確認できます。


    トレンドマイクロ脅威データベース:
    https://www.trendmicro.com/vinfo/jp/threat-encyclopedia/

  • 2.パソコンをオフラインにし、再度スキャンを行う

    パソコン内のデータを外部に送信したり、ネットワーク経由で他の端末にも侵入したりするマルウェアに感染している可能性もあります。被害の拡大を防ぐため、パソコンをネットワークから切り離しましょう。有線LANならばLANケーブルを抜き、無線LANならばパソコンのWi-Fi機能をオフにしてください。

  • 3.サポート窓口に連絡する

    正しく対処できたかどうかわからない方は、ご利用のセキュリティソフトのサポート窓口に問い合わせましょう。ウイルスバスターをご利用の方はこちらからお問い合わせください。


    ウイルスバスター ヘルプとサポート:
    https://helpcenter.trendmicro.com/ja-jp/contact-support/

あやしいURLリンクを踏んでしまったかもと感じたときの対処法

メールなどの「あやしいURLリンクを開いてしまったかも」と感じた場合、誘導先のWebサイトで「情報を入力する」「ソフトをダウンロードする」「アプリ連携を許可する」といったアクションを起こしてはいけません。次のポイントを最優先で確認してください。

  • 2.メールの件名、内容などをキーワードにGoogleやYahoo!などで検索をかけ、類似の報告事例や注意喚起の情報を確認する
  • 3.メール送付元の企業名が明確な場合は、その企業の公式サイトに載っている問い合わせ窓口に連絡し、事実確認を行う
  • 4.友人のSNSの投稿、メッセージの言葉遣いや内容などに違和感を覚えた場合、そのメッセージには返信せず、電話もしくは別のSNSなどで友人に連絡し、事実確認を行う
  • 5.セキュリティソフトを最新の状態にした上でスキャンを行う

スマホの場合、不正なURLリンクから不正アプリ(スマホウイルス)のインストールに誘導されることもあります。スマホにもセキュリティアプリをインストールしておき、最新の状態に保って利用してください。パソコンやスマホで不正サイト、詐欺サイトに遭遇したときの対処法も押さえておきましょう。

]]>
http://rss.is702.jp/main/rss/3733_l.jpg
8月のフィッシング報告件数発表、ついに月間2万件を突破|フィッシング対策協議会 フィッシング対策協議会は9月3日、フィッシングに関する8月の集計結果を発表しました。それによると、同協議会に寄せられた月間のフィッシング報告件数は20,814件となり、ついに2万件台を突破しました。 2020-09-04T00:00:00+09:00
2019年は、同年12月の8,208件が最大値で、1万件台を下回っていましたが、2020年春頃から報告件数が急増。2020年4月に初の1万件台を記録して以降も増加傾向を見せています。

図:フィッシング報告件数の推移(フィッシング対策協議会の発表資料より)

図:フィッシング報告件数の推移(フィッシング対策協議会の発表資料より)


全体の傾向としては、Amazon、LINE、楽天、楽天カードを騙るフィッシングメールが、繰り返し大量配信されており、この4ブランドだけで報告数全体の約92.6%を占めているとのことです。また、これらの偽メールの多くは、差出人メールアドレスに正規サービスのドメインをかたる「なりすまし送信」だったとのことで、受信者が送信元を一見しただけでは真偽の判断が困難なものになっています。他には、Apple、クレジットカードブランド、金融機関、家具販売サイトや家電メーカーのブランドをかたるフィッシングサイトの報告を受けているとのことです。また、拡散手段もメールに加えてSNS広告から誘導する手口にも注意が必要だとしています。
一方、不正なURLについては、同じ文面でURLが短時間で変わっていくものが多く、大量に取得した独自ドメインやIPアドレスを直接使うケースが増えているとのことです。

■対策
フィッシングサイトへの主な誘導手段となっているフィッシングメールには、メールのフィルタリング機能やセキュリティソフトによる対策が有効です。誤って誘導先にアクセスしてしまわないためにも、不正なメールの受信を防ぐことが大切です。もし不審なメールを受け取った場合は、各サービス事業者の問い合わせ窓口、またはフィッシング対策協議会に連絡してください。
SNS広告を悪用した手口に対しては、広告からではなく認証済みの公式アカウントや正規サイトを検索し、そこから商品やサービスの情報を確認するなどし、安易に広告をタップしないようにしてください。また、ログインを促すようなメールやSMSを受信した際は、公式アプリやブックマークした正規のURLからサービスへログインして確認しましょう。

メールなどで送られてきたURLが不正なものかどうかを確認する手段としては、無償で利用できるトレンドマイクロの「ウイルスバスター チェック!(@trendmicro_vbcheck)」も役立ちます。LINEの友達に追加することで、サイトにアクセスする前にトーク画面でURLの安全性を判定することができ、フィッシングサイトなどの不正サイトへのアクセス回避につながります。また、昨今注目されている個人情報漏えい被害への対策として、自身のメールアドレスがネット上に流出しているかどうかを確認することも可能です。自身や家族のセキュリティ対策に役立てましょう。


ウイルスバスター チェック!

]]>
https://is702.jp/main/images/news/S200904_4.png
【注意喚起】トレンドマイクロのアンケートメールなどに偽装した偽メールに注意 トレンドマイクロは9月3日、「『EMOTET』がトレンドマイクロのアンケートメールを偽装」と題し、同社を騙る不審なメールが9月3日前後から出回っていることを確認したとして利用者に注意を呼びかけました。 2020-09-04T00:00:00+09:00
同社ではサポートセンターから送信するメールにファイルを添付することはなく、メールが届いても添付ファイルを実行せずに破棄するよう注意を促しています。添付ファイルを開き、マクロを実行してしまうと最終的にマルウェア(ウイルスなどの不正なプログラムの総称)「EMOTET(エモテット)」に感染します。現在のMicrosoft Officeの標準設定ではマクロが無効になっているため、「コンテンツの有効化」ボタンをクリックしない限り実行されることはありませんが、添付ファイルを開かない方が賢明です。


図:トレンドマイクロのアンケートを偽装した迷惑メールの内容例

図:トレンドマイクロのアンケートを偽装した迷惑メールの内容例




図:偽装メールに添付されたWordファイルを開いた場合の表示例 上部の「コンテンツの有効化」ボタンをクリックしなければ不正マクロは実行されないため、被害を免れることが可能

図:偽装メールに添付されたWordファイルを開いた場合の表示例 上部の「コンテンツの有効化」ボタンをクリックしなければ不正マクロは実行されないため、被害を免れることが可能



今回確認された偽メールは「トレンドマイクロ・サポートセンター満足度アンケート調査 ご協力のお願い」などの件名でWord文書ファイルが添付されたものです。EMOTETは2020年7月中旬から活動の再活発化が見られており、国内でもJPCERT/CCなどから注意喚起が行われていました。

EMOTETの攻撃者は窃取したメールを元に、本文を引用したり、返信を装ったりして新たな攻撃メールを送信することが知られています。今回の攻撃メールも、件名や本文の文面だけを読むと不審なメールではないように思えますが、これは窃取した本物のメールの内容をコピーして使用しているものと考えられます。ただし、件名と添付ファイル名は「カスタマー満足度アンケート」や「トレンドマイクロ・カスタマー満足度アンケー.doc」のように一部のみとなっているものも確認しているとのことです。

表:問題の攻撃メールの件名例(9月3日14時時点)<br />

表:問題の攻撃メールの件名例(9月3日14時時点)


また、送信元(From:)のメールアドレスもトレンドマイクロの正規アドレスを偽装していますが、よく見るとそのあとに異なるアドレスの表示が確認できるため、不審なメールであると判断できます。

このように、企業などを装った不正メールは同時期に複数報告されており、偽装に悪用された企業やIPA(独立行政法人情報処理推進機構)でも注意を呼び掛けています。利用者は添付ファイル付きのメールや、リンクをクリックさせるようなメールは安易に信用せず、各企業の公式サイトやセキュリティ関連団体の注意喚起を参照するようにしましょう。

不正なメールの受信を防ぐには、メールのフィルタリング機能や、セキュリティソフトの利用が有効です。最新の脅威を防ぐためにも、OSやセキュリティソフトを最新の状態に保ち、安心・安全にネットを活用してください。
]]>
https://is702.jp/main/images/news/S200904_2.jpg
配送業者をかたる偽の不在通知メッセージに要注意 ママは自宅でショッピングを楽しんでいます 2020-09-03T00:00:00+09:00
ひろしとアカリのセキュリティ事情

配送業者をかたる偽の不在通知メッセージに要注意

2020/09/03

配送業者をかたる偽の不在通知メッセージに要注意

ネット利用者を不正サイトへ誘導し、情報や金銭をだまし取るネット詐欺の勢いは増すばかりです。トレンドマイクロによると、詐欺サイトへ誘導された国内のモバイル利用者数は6月の一か月で約45万件に上り、昨年6月の約15倍にも急増しています。

図:詐欺サイトに誘導された国内モバイル利用者数推移、2020年8月トレンドマイクロ調べ

スマホ利用者を不正サイトへ誘導する手段は、主に不正なメールやSMS(ショートメッセージサービス)です。サイバー犯罪者は実在する企業や組織、サービスなどを装ってもっともらしい内容のメッセージを送りつけ、受信者に不正なURLリンクを開かせようとします。

よく見られるのが、実在する配送業者をかたり「不在のため持ち帰りました。配送物をご確認ください」といった文言とURLリンクを含む内容で送りつけられる偽の不在通知メッセージです。こうしたメッセージが入り口となるスマホ向けの不正サイトの中には、アクセスしてきたスマホのOSを判別し、OSによってリダイレクト(転送)先を切り替えるものも存在します。

たとえば、Android OSの端末では偽の荷物問い合わせページを表示させ、そこからGoogle Playを模した偽サイトへ誘導されるパターンがあります。その狙いは、Android OSの端末ユーザに配送業者の公式アプリに見せかけた偽アプリや、OSのアップデートを装った偽アプリをインストールさせることです。万一偽アプリをインストールしてしまうと、端末内の情報を窃取されたり、自身の端末から不在通知を装った偽装SMSを勝手に送信されたりする被害に遭う可能性があります。

図:偽の不在通知で誘導された不正WebサイトにAndroid OSの端末からアクセスした場合に表示されるGoogle Playを模した不正Webサイト例

一方、iPhoneではAppleや、配送業者のサイトに偽装した偽のログインページに誘導されます。iPhoneユーザが正規のログインページと誤認してApple IDとパスワード、さらに2ファクタ認証(ワンタイムパスワード)を入力してしまうと、それらがサイバー犯罪者の手に渡ってしまい、アカウントの乗っ取りや金銭被害につながるかもしれません。また、同じ手口で金融機関のログイン画面に誘導するパターンも確認しています。

図:偽の不在通知で誘導された不正WebサイトにiPhoneからアクセスした場合に表示される偽のログイン画面例

他にも、金融機関を装ったフィッシングサイトへ誘導され、オンラインバンキングの認証情報を詐取されたことで不正送金される被害も多数報告されました。

このように、スマホ利用者を不正サイトへ誘い込む手口はますます巧妙化しています。さらに、不正サイトは正規サイトをコピーして作られる場合もあり、一見しただけで真偽を判断することが難しくなっています。スマホでも必ず信用できるセキュリティアプリを利用し、それを常に最新の状態に保ちましょう。これにより、不正サイトにアクセスしたり、不正アプリをインストールしたりするリスクを軽減できます。また、ネット詐欺の手口と事例を知ることも自衛策の1つです。もちろん、メールやSMS、SNS上のURLリンクを不用意に開かないこと、Google PlayやApp Store、携帯電話事業者などが運営する公式アプリストア以外のWebサイトからアプリを入手しないことも徹底してください。ただし、公式アプリストアにも不正アプリが紛れ込んでいる可能性があるのでインストール前の確認を怠らないようにしましょう。

SMSの進化版「+メッセージ」を利用するのもネット詐欺対策として有効です。+メッセージにおける企業の公式アカウントには携帯電話事業者3社による審査をクリアしたことを示す認証済みマークが付与され、利用者がメッセージの真偽を判断する目安にできます。また、+メッセージでは連絡先未登録の相手からのメッセージを不明な差出人フォルダに振り分ける設定も可能です。自身が利用しているSMSの設定や機能を改めて見直し、対策に役立てましょう。

図:事業者のアカウントに表示される認証済みマークの例

ひろしとアカリのセキュリティ事情 ひろしとアカリの日常をもっと見る
ひろしとアカリのセキュリティ事情 ひろしとアカリの日常をもっと見る
]]>
http://rss.is702.jp/main/rss/3728_l.jpg
ネット接続機器の「脆弱性」対策について解説した消費者向け・開発者向けガイドを公開|IPA 独立行政法人情報処理推進機構(IPA)は8月27日、一般消費者と製品開発者に向け、インターネット接続機器の「脆弱性」対策について解説した、2種類のガイドを公開しました。 2020-08-31T00:00:00+09:00
「脆弱性」とは、モバイルやパソコン、ルータ、ゲーム機などネットに繋がる機器のOSやファームウェア、さまざまなソフト、アプリケーションに存在するプログラムの不具合や設計ミスによるセキュリティ上の欠陥や不備を指します。脆弱性を悪用されると、データを盗まれたり機器を勝手に操作されたり、サイバー攻撃やサイバー犯罪の被害を受ける可能性があります。

IPAは2004年7月から、ソフトウェア製品やWebアプリケーションなどの脆弱性関連情報の届出を受け付けていますが、これまでに累計15,676件の届出を受けています。一方で、製品やサービスを提供する企業からは「実施すべき脆弱性対処項目が多い」「限られたリソースで対処しきれない」「一般消費者が脆弱性対処の必要性を認知していない」といった声があがっていました。

こうした意見を受けIPAは、脆弱性に対する理解を深め、消費者が脆弱性に対処した製品を選べるようになることを目指し、今回2種類のガイドを公開しました。

一般消費者向けガイドは、「デザインや性能、価格だけで選んでいませんか?~ネット接続製品の安全な選定ガイド」と「購入した製品を、そのままの状態で使い続けていませんか?~ネット接続製品の安全な利用ガイド」の2つの冊子で構成されており、セキュリティに配慮した製品の選び方、そして使い方について、わかりやすく解説しています。いずれも図を多用した5ページの構成となっています。

たとえば、家電量販店やECサイトでネット接続製品を購入する場合、その確認ポイントとして「アップデート機能がある」「セキュリティの最新情報がウェブサイトに掲載されている」「問い合わせ先がある」といった項目が紹介されています。さらに購入後の利用においては、「パスワードの変更」「アップデートの実行」「サポートが終了した製品は利用しない」といった対処方法が紹介されています。

一方、企業向けの「脆弱性対処に向けた製品開発者向けガイド」では、基本的な対策を12項目に絞り、「方針・組織」「設計・開発」「出荷後の対応」の3つのカテゴリに分けて解説しています。

本ガイドは、IPAの公式サイトから無償でダウンロード・閲覧が可能です。


図:一般消費者向け「ネット接続製品の安全な選定ガイド」「ネット接続製品の安全な利用ガイド」表紙(IPAの発表資料より)

図:一般消費者向け「ネット接続製品の安全な選定ガイド」「ネット接続製品の安全な利用ガイド」表紙(IPAの発表資料より)



脆弱性が放置されている機器が家庭内にあるかどうか確認する方法としては、ホームネットワーク診断によるスキャンも有効です。トレンドマイクロでは、ホームネットワークの安全性を評価するスマホ向けアプリ「スマートホームスキャナー」と、パソコンで利用できる診断ツール「オンラインスキャン for Home Network」を無料で提供しています。ホームネットワークにつながっている家電や機器を表示し、それぞれのセキュリティの問題点と解決策を提示してくれます。


※バナーをクリックするとトレンドマイクロのスマートホームスキャナーのページが開きます。

※バナーをクリックするとトレンドマイクロのスマートホームスキャナーのページが開きます。

]]>
https://is702.jp/main/images/news/S200828.png
警視庁がLINE公式アカウント「CYBER POLICE」開設、サイバー犯罪情報などを配信 LINE、メルカリ、警視庁(サイバーセキュリティ対策本部)、中央大学の4者は8月26日、LINE公式アカウント「CYBER POLICE」(LINE ID:@cyberpolice)を開設しました。ネット上でのトラブル回避に必要な知識や、正しい情報の見分け方などの提供を目的としたアカウントです。 2020-08-27T00:00:00+09:00
中央大学では、新型コロナウイルスの影響で、学生の学修環境がオフラインからオンラインへと移行し、活動機会が広がることが想定されています。またメルカリでは、これまで青少年や保護者・教員を対象に、フリマアプリの仕組みやトラブルに巻き込まれないための方法・事例を伝える教育プログラムを提供していましたが、このような活動も、オフラインからオンライン中心に移りつつあります。

LINE、メルカリ、警視庁、中央大学の4者は2019年12月に産官学連携についての協定を締結しており、青少年向けのサイバーセキュリティ教育、さらには、サイバーセキュリティの中核を担う人材育成に力を入れています。こうした背景から今回、警視庁が主体となってLINE公式アカウント「CYBER POLICE」を開設し、LINEを通してさまざまな啓発活動を行うとのことです。


LINE公式アカウント「CYBER POLICE」イメージ(公式発表より)

LINE公式アカウント「CYBER POLICE」イメージ(公式発表より)



具体的には、今まさに起こっているサイバー犯罪などの注意喚起を、アカウントの友だち全員に一斉配信するほか、セグメント配信機能を活用し、それぞれの要望に沿った情報提供を行います。ジャンルとしては、「サイバー犯罪情報」「サイバーセキュリティ教育に関する情報」「SNSの利用に関する情報」「フリマアプリの安全利用に関する情報」の4つが用意されており、利用開始時のアンケートで選択できます。

LINE公式アカウント「CYBER POLICE」を利用する場合は、LINEの「友だち追加」からQRコードの読み込みを行ってください。検索機能が使えるユーザは、LINE ID「@cyberpolice」を検索して追加することも可能です。

LINEを介したネットセキュリティへの取組としては、トレンドマイクロにおいても無償で利用できる「ウイルスバスター チェック!(@trendmicro_vbcheck)」を提供しています。LINEの友達に追加することで、サイトにアクセスする前にトーク画面でURLの安全性を判定することができ、不正サイトへのアクセス回避につながります。また、昨今注目されている個人情報漏えい被害への対策として、自身のメールアドレスがネット上に流出しているかどうかを確認することも可能です。「CYBER POLICE」アカウントとあわせてセキュリティ対策に役立てましょう。



ウイルスバスター チェック!

]]>
https://is702.jp/main/images/news/S200827.png
「情報セキュリティ10大脅威 2020」の一般利用者向け簡易説明資料公開|IPA 独立行政法人情報処理推進機構(IPA)は8月25日、「情報セキュリティ10大脅威 2020」について、一般利用者向けの簡易説明資料(個人編)を公開しました。 2020-08-27T00:00:00+09:00
「情報セキュリティ10大脅威 2020」は、2019年に発生した情報セキュリティの事故・事件のなかから、選考会メンバーが重大事件を専門家が選出するもので、2020年1月に発表されました。「個人」と「組織」という異なる視点からトップ10が選出されましたが、個人ランキングでは、「スマホ決済の不正利用」が初登場1位という異例の結果となっています。

・情報セキュリティ10大脅威 2020(個人)
1位 スマホ決済の不正利用
2位 フィッシングによる個人情報の詐取
3位 クレジットカード情報の不正利用
4位 インターネットバンキングの不正利用
5位 メールやSMS等を使った脅迫・詐欺の手口による金銭要求
6位 不正アプリによるスマートフォン利用者への被害
7位 ネット上の誹謗・中傷・デマ
8位 インターネット上のサービスへの不正ログイン
9位 偽警告によるインターネット詐欺
10位 インターネット上のサービスからの個人情報の窃取

新たに公開された「情報セキュリティ10大脅威 2020 [個人編](一般利用者向け)」では、さらにわかりやすく、各脅威の手口や注意すべきポイント、具体的な対策を解説しています。「情報セキュリティ10大脅威 2020 [個人編](一般利用者向け)」は54ページのPDFファイルで、IPAの公式サイトより無償でダウンロード・閲覧が可能です。ネット利用者は対策に役立てましょう。


「情報セキュリティ10大脅威 2020 [個人編](一般利用者向け)」表紙(IPAの発表資料より)

「情報セキュリティ10大脅威 2020 [個人編](一般利用者向け)」表紙(IPAの発表資料より)

]]>
https://is702.jp/main/images/news/S200826.jpg
自宅で仕事やオンライン学習を安全に行うためのセキュリティチェックリスト 昨今の社会情勢により、自宅で仕事やオンライン学習を行う機会が増えているのではないでしょうか。在宅ワーク時はオフィスワーク時に比べて情報漏えいや不正アクセスなどに遭うリスクが格段に増すため、普段以上にセキュリティに注意を払わなければなりません。クイズを通して必要な対策を確認しましょう。 2020-08-27T00:00:00+09:00
テレワーク初心者は必見

自宅で仕事やオンライン学習を安全に行うためのセキュリティチェックリスト

2020/08/27
テレワーク初心者は必見 自宅で仕事やオンライン学習を安全に行うためのセキュリティチェックリスト

最近は在宅勤務や、通勤に費やしていた時間を自宅でのオンライン学習に充てるスタイルが定着しつつあります。その際にセキュリティの観点で注意すべきことはなんでしょうか。クイズを通して注意点と対策を確認してみましょう。

ルータの管理画面にアクセスするためのIDとパスワードは、初期設定のままにしている。または、管理画面にアクセスしたことがない。

  • YES
  • NO

ルータの管理画面にアクセスするためのIDとパスワードは、初期設定のままにしている。または、管理画面にアクセスしたことがない。

A.NO

ルータの管理画面にアクセスするための IDとパスワードは、製造元や機種ごとに工場出荷時の設定値が一律で決まっていることがあり、取扱説明書や製造元のホームページに公開されていることもあります。もし、そのようなルータへの第三者によるアクセスを許すと、デフォルトのIDとパスワードで管理画面に入られ、不正に設定を書き換えられてしまうかもしれません。ルータの管理画面にアクセスし、第三者に推測されにくいIDとパスワードに変更しましょう。

利便性に問題があっても、勤務先が定めているテレワーク(在宅勤務、オフサイトワーク)のルールや規程を勝手に破ってはいけない。

  • YES
  • NO

利便性に問題があっても、勤務先が定めているテレワーク(在宅勤務、オフサイトワーク)のルールや規程を勝手に破ってはいけない。

A.YES

テレワークを行う際は、勤務先のルールや規程にもとづいて行動しなければなりません。規程に反した行動の結果、情報漏えいやマルウェア(ウイルスなどの不正なプログラムの総称)感染など何かしらのトラブルに見舞われた際、自身の責任を深く追及される可能性もあります。テレワークを安全に行うために、改めて自身のネットワーク環境や作業場所が適切かどうか、基本的なセキュリティ対策ができているかどうかを確認しましょう。

勤務先のシステム部門から業務用のメールサービスへの再ログインを求めるメールが届いた。その依頼には迅速に対応しなければならない。

  • YES
  • NO

勤務先のシステム部門から業務用のメールサービスへの再ログインを求めるメールが届いた。その依頼には迅速に対応しなければならない。

A.NO

勤務先のシステム部門やその担当者から業務用のメールサービスへの再ログインや、アカウント情報の提供を求めるメールが届いたら警戒してください。それは、業務メールサービスのアカウント情報をだまし取るためにサイバー犯罪者が送りつけてきたフィッシングメールかもしれません。もし、偽装メールの依頼に応じてしまった場合、業務メールアカウントに不正アクセスされ、メールの内容を盗み見られたり、スパムメール拡散の踏み台にされたりする可能性があります。そのようなメールが届いた場合、返信することは避けてください。メールに記載された問い合わせ先ではなく、普段使用しているメールアドレスや電話番号に連絡するか、社内専用のコミュニケーションツールなどで事実確認をしましょう。

配送業者から不在通知メールを受け取った。届くはずの資料があるため、すぐにメッセージ内のURLリンクから詳細を確認する。

  • YES
  • NO

配送業者から不在通知メールを受け取った。届くはずの資料があるため、すぐにメッセージ内のURLリンクから詳細を確認する。

A.NO

テレワークによって資料や教材などを自宅に送ってもらうケースが増えているのではないでしょうか。一方で、実在する配送業者になりすまし、「不在のため持ち帰りました。配送物をご確認ください」などと通知する偽のSMS(ショートメッセージサービス)やスパムメールが後を絶ちません。攻撃者の主な狙いは、受信者にURLリンクを開かせて不正サイトに誘導し、マルウェアに感染させたり、情報を詐取したりすることです。たとえ、メールの内容に心当たりがあっても添付ファイルやURLリンクを開かせようとするものは疑ってかかりましょう。返信するのも厳禁です。あなたのメールアドレスが有効であることを彼らに知らせてしまい、スパムメールが届きやすくなるかもしれません。

ZoomやMicrosoft Teams、Google Meetなどのビデオ会議サービスによるセミナーなどの主催者から発行された招待用URLやID、パスワードをSNSで仲間内に公開している。

  • YES
  • NO

ZoomやMicrosoft Teams、Google Meetなどのビデオ会議サービスによるセミナーなどの主催者から発行された招待用URLやID、パスワードをSNSで仲間内に公開している。

A.NO

セミナーなどの主催者から発行された招待用URLやID、パスワードなどをSNSに公開したり、参加する権利のない人と共有したりしてはいけません。部外者の入室を許すと、嫌がらせを受けたり、通信内容を盗み見されたりしてしまう可能性もあります。セミナーや研修、会議などで使われた資料の内容、参加者の画像や映像を勝手に記録したり、ネットに投稿したりする行為もトラブルの元です。ネットを介したコミュニケーションであっても、相手に配慮し、モラルがある行動を心がけましょう。

オンライン会議などに用いるビデオ会議アプリの更新通知を受け取った。そのままでも実務に支障はないが、アップデートをしてから利用するのが望ましい。

  • YES
  • NO

オンライン会議などに用いるビデオ会議アプリの更新通知を受け取った。そのままでも実務に支障はないが、アップデートをしてから利用するのが望ましい。

A.YES

ビデオ会議アプリの更新通知が届いたら速やかにアップデートしましょう。更新内容には機能の追加や変更だけでなく、脆弱性の修正も含まれる場合があるためです。たとえば、Microsoft Teamsでは以前、アカウントを乗っ取られる脆弱性が見つかり、Microsoftは利用者に脆弱性を修正済みの最新バージョンを適用するよう呼びかけました。ZoomのWindows版アプリでも認証情報を窃盗されたり、任意の実行可能ファイルを起動されたりする脆弱性が見つかっています。ビデオ会議アプリに限らず、アプリやソフトは常に最新の状態に保ちましょう。

あなたのセキュリティレベル

  • Q1.ルータの管理画面にアクセスするためのIDとパスワードは、初期設定のままにしている。または、管理画面にアクセスしたことがない。

  • Q2.利便性に問題があっても、勤務先が定めているテレワーク(在宅勤務、オフサイトワーク)のルールや規程を勝手に破ってはいけない。

  • Q3.勤務先のシステム部門から業務用のメールサービスへの再ログインを求めるメールが届いた。その依頼には迅速に対応しなければならない。

  • Q4.配送業者から不在通知メールを受け取った。届くはずの資料があるため、すぐにメッセージ内のURLリンクから詳細を確認する。

  • Q5.ZoomやMicrosoft Teams、Google Meetなどのビデオ会議サービスによるセミナーなどの主催者から発行された招待用URLやID、パスワードをSNSで仲間内に公開している。

  • Q6.オンライン会議などに用いるビデオ会議アプリの更新通知を受け取った。そのままでも実務に支障はないが、アップデートをしてから利用するのが望ましい。

もう一度診断する

]]>
http://rss.is702.jp/main/rss/3727_l.jpg