2017年01月31日
ランサムウェアがストレージの7割に感染[米]
米紙のワシントンポストが、首都ワシントン警察の防犯カメラのシステムに、ランサムウェアが感染し、トランプ大統領の就任を控えた1月12~15日の間、映像の7割を記録できない状態になっていたことが分かったと伝えています。
7割という数字はすごいですね。
米国とて、防犯の前段階の防犯が甘かったのでしょうか。
犯罪捜査に影響はなかった、としているようですが、感染源の特定、攻撃発信の出所は調査中のようです。
防犯カメラもIoT機器の一つです。
防犯カメラをはじめ、IoT機器を設置している場所、管理体制など、今一度見直しましょう。
利害関係が一切関わらなくとも、攻撃の踏み台として利用される可能性は十分にあります。
特に防犯カメラは、ログインパスワードが初期設定のままになっていると、全世界に配信されますよ?
設定も、意識も、しっかりと。
参考
[スタッフブログ]
てんこもり
Buzip
ポイント
制作
セキュリティに関する記事
各種お問合せ
http://www.ceals.co.jp/contact/contact.html
◆採用情報◆
2017年01月24日
マイクロソフトを装った不審メールに気を付けましょう
マイクロソフトを装い、
『ご注意!!OFFICEのプロダクトキーが不正コピーされています。』
という件名の不審メールが、不特定多数に送られているようです。
マイクロソフトから配信されたものではなく、記載内容も事実ではないとのことです。
もし受信してしまってた場合は、開かず、削除しましょう。
メールを開いたとしても、記載されているURLをクリックしないように、また、添付ファイルがある場合は、開かないようにしましょう。
URLをクリックし、情報入力画面が開き、個人情報入力を求められても、絶対に入力してはいけません。
参考
なお、マイクロソフトだけに限らず、同様の偽メールが送られてくる場合があるでしょう。
この手のメールはずいぶん前から確認されているようですが、慌てず、冷静に対応していきましょう。
[スタッフブログ]
てんこもり
Buzip
ポイント
制作
セキュリティに関する記事
各種お問合せ
http://www.ceals.co.jp/contact/contact.html
◆採用情報◆
2017年01月18日
啓発の限界? 2016年のパスワード設定、相変わらずの甘さ
パスワード管理製品を手掛けるKeeper Securityというところが、2016年、最もありがちなパスワードが"123456"だったことが公表されました。
安易なパスワード設定が危険だと啓発されていますが、何年も改善されていないそうです。
改善を促すも、変わらない。残念ながらもう変わらない、限界だという認識があるようです。
改めて安易なパスワード設定の例を見ていると、"123456"をはじめ、"qwerty"、"12345678"、"111111"、あとは人気(笑)の"password"といったものがやはり多く、また、文字数が極端に短いものもあるそうです。短いと、ものの数秒で突破される危険性が極めて高くなるようです。
どんな理由であれ、パスワードは安易でないものに設定しましょう。
こういった状況から、Keeper Security曰く、
「そうした薄っぺらな対策しか講じていないWebサイト運営者は、無謀か怠慢のどちらかだ」
だそうですよ。
運営者だけではなく、今や多くの方に言えるのでは?と思います。
参考
[スタッフブログ]
てんこもり
Buzip
ポイント
制作
セキュリティに関する記事
各種お問合せ
http://www.ceals.co.jp/contact/contact.html
◆採用情報◆
2017年01月12日
本当?!ピース写真で指紋を盗まれる?!
写真を撮って、ブログやホームページ、フェイスブックやツイッター、インスタグラムなどに載せることは、今や何気ない行為と言ってもいいでしょう。
写真を撮る、というとやはりピースサインが定番でしょうか。
しかし、そのピースサインであなたの指紋が狙われているかもしれません。
どうやら、ソーシャルメディア等に投稿された手の画像(写真)から、指紋の模様を読み取って、個人情報として悪用することが可能なのだそうです。
防ぐ方法も実用化に向けて開発が進んでいるようですが、恐ろしいですね。
スマホやパソコンのログイン、ATMやドアロック解除など、指紋認証は幅広く世の中で利用され、今後も普及していく便利な生体認証の一つだと思っていましたが、やはり完璧な方法はあり得ないということになります。
便利な面、手軽な楽しみ方ができるソーシャルメディアが、これだけ世の中に普及すると、リスクも自ずと増加することを認識しておいたほうがいいですね。
参考
[スタッフブログ]
てんこもり
Buzip
ポイント
制作
セキュリティに関する記事
各種お問合せ
http://www.ceals.co.jp/contact/contact.html
◆採用情報◆
2016年12月19日
年末年始のセキュリティ対策を
年末年始は長期休暇になる企業が多いと思います。
それに合わせて、情報セキュリティ対策が呼びかけられています。
インシデント、2017年度のサポート終了製品などへの備えが必要です。
インシデントへの備えは、Webサイト改ざん、不正アクセス、メール攻撃に対する警戒が呼びかけられています。
Webサイト改ざんにより、攻撃者がWebサイトの利用状況を探っているとみられる事例があるそうです。
Webサイトをサイバー攻撃の踏み台に悪用する恐れもあり、閲覧者がマルウェアに感染させられるなどの危険性があるとのことです。
休暇前~休暇後における、セキュリティのチェック項目を簡単に挙げると、以下となります。
・休暇中に不要なサービスは電源を切っておく
・重要なデータはバックアップしておく
・サーバーやOSは、最新のアップデートが適用されていることを確認する
・外部からのデータ使用(パソコンのネット接続、USBメモリーなど)の前に、ウイルスチェックを行う
・休暇中に受診していたメールの中に、標的型攻撃メールが含まれている可能性を考慮し、安易に添付ファイルを開いたり、リンク先にアクセスしない
なお、2017年4月11日は、「Windows VISTA」のサポートが終了します。
このOSで稼働しているシステムやクライアントは入れ替えが必要になります。
十分な計画、準備をして対応してください。
[スタッフブログ]
てんこもり
Buzip
ポイント
制作
セキュリティに関する記事
各種お問合せ
http://www.ceals.co.jp/contact/contact.html
◆採用情報◆
2016年12月16日
米Yahoo! 個人情報流出
米Yahoo!は、12月14日(現地時間)、過去に受けたサイバー攻撃が、10億人以上だったという発表をしました。
以前、5億人が流出した旨がニュースでありましたが、さらに凄まじい数字です。
盗まれてしまった情報は、ユーザーの名前、生年月日、メールアドレス、電話番号などで、クレジットカード番号や銀行口座の情報は含まれていないとのことです。
しかし数が数だけに、何がどれだけ盗まれて(漏れて)しまったかどうかではなく、管理体制がまともなのかどうかという疑念だけが残ります。
ではYahoo!Japanはどうなのかと、利用ユーザーは心配になるのは当然だと思います。
一応無関係とのことらしいですが、単純に信じられるかというと、なかなかそうはいきません。
Yahoo!に限らず、登録しているサイトやサービスについて、個々でしっかりと管理・監視していくしかありませんね。
リンク元
[スタッフブログ]
てんこもり
Buzip
ポイント
制作
セキュリティに関する記事
各種お問合せ
http://www.ceals.co.jp/contact/contact.html
◆採用情報◆
2016年12月12日
不正アクセスでのぞき見されないように
年末年始、毎年のように忙しく過ごしているかと思いますが、セキュリティのことも頭に入れておきましょう。
身近であり、誰にでもできそうなセキュリティ突破の行為として、不正アクセス/不正ログインがあります。
詳細:不正アクセス行為と不正アクセス禁止法
どの程度の報道や認知があるのかわかりませんが、モデルやタレントのメールやクラウドサービスがのぞかれた事件がありました。
犯人は日経新聞社デジタル編成局社員で捕まりましたが、「パスワードを突破することに喜びを感じた」「ゲーム感覚でやった」などと話しており、公開情報(名前や誕生日など)を組み合わせて、パスワードを推測していたそうです。
さまざまなネット関連サービスが、2段階のアクセスステップを用いたり、ログイン通知をするなどの対策をしていますが、やはりパスワードは推測されにくいものを設定すべきです。
認識、意識がまだまだ足りません。
この認識・意識が、普段の生活と変わらないくらい当たり前のことにしていきましょう。
パスワード設定のコツ
[スタッフブログ]
てんこもり
Buzip
ポイント
制作
セキュリティに関する記事
各種お問合せ
http://www.ceals.co.jp/contact/contact.html
◆採用情報◆
2016年12月09日
情報セキュリティ 2016年
JC3(日本サイバー犯罪対策センター)という、警察やセキュリティベンダーなどによる新組織が、平成28年度(2016年)上半期のサイバー犯罪の動向分析結果を出しています。
ポイントをピックアップし、確認していきます。
サイバー犯罪件数:9528件(前年同期比4.2%増)
架空請求メール、ワンクリック詐欺、これらが7割を占めていて、脅迫型ランサムウェア被害も拡大しているそうです。
被害の9割が個人という状況でしたが、今では法人の実損額が大きくなってきて、急増している傾向のようです。被害者の6割が犯罪者の脅迫に応じてしまい、金額は200万~500万円と言われています。
インターネットバンキング不正送金件数:724件(前年下半期比41.7%増)
今までの傾向は、個人口座から法人口座への被害が拡大、セキュリティ強化対応が進み、法人被害は減少したようです。個人ではワンタイムパスワードを利用していないところに被害が集中していて、不正送金先はやはり中国がトップとなっているようです。
サイバー攻撃(標的型メール攻撃、DDoS攻撃)も依然として高い水準にあり、2017年も引き続き警戒すべきでしょう。
個人攻撃を主としていたランサムウェアも、法人相手に通用することがわかると、ますます被害が増えていくと見られています。
このような報告で思うのは、ネットの空間で起こっているのは、もはや総じてサイバー戦争だと思います。起こそうと思わずとも、起こしてくる相手、攻撃してくる相手がいます。防ぐことも重要かもしれませんが、勝つことがもっと重要です。
政府、民間企業、そして国民一人一人、一体となって立ち向かう認識と覚悟を、もっともっと広げていかなければいけません。
参考
[スタッフブログ]
てんこもり
Buzip
ポイント
制作
セキュリティに関する記事
各種お問合せ
http://www.ceals.co.jp/contact/contact.html
◆採用情報◆
2016年11月28日
パソコンに繋いだイヤホンにも注意?
イスラエルの大学の研究チームが、パソコンに接続したイヤホンで盗聴する技術を開発したそうです。
別にこの技術を用いて何か犯罪を企んでいるというわけではなく、理論を実証するのが目的だったようです。
簡単に言えば、これは実質的にマルウェア(悪意のあるソフトウェア)であり、パソコン内部にある機能を乗っ取り、イヤホン出力を遠隔からマイク入力へと強制変換し、イヤホン端子が接続されたときにそれをマイクとして利用、盗聴行為を可能とするそうです。
まさかイヤホンがマイクとなって、盗聴できるようになり、プライバシーを脅かすような脆弱性になることなど、想像もしなかったことだと思います。
WEBカメラをよく利用しているのであれば、パソコンからカメラとマイクを抜いておくことはあっても、イヤホンはそのままという人は多いのではないでしょうか。
5、6m離れている程度なら、会話内容が聞き取れるレベルで録音が可能だそうです。
どのような状態で実験がなされたかは、詳しくはわかっていません。特別な状況をあえて作り出したうえでの実験だったのかもしれません。しかし、新たな脅威として認識しておかなければならない可能性がゼロではないことがわかりました。
普段からイヤホンを差しっぱなしにしているのであれば、使わないときは抜いておく方が良さそうです。
セキュリティに関する記事
参考
[スタッフブログ]
てんこもり
Buzip
ポイント
制作
各種お問合せ
http://www.ceals.co.jp/contact/contact.html
◆採用情報◆
2016年11月05日
不正アクセス行為と不正アクセス禁止法
日々利用されているパソコン、スマホのセキュリティは万全ですか?
完璧なセキュリティ施策は難しいですが、できる限りの対策はしておいたほうがいいでしょう。
さて、セキュリティ対策におけるよくある事例で、不正アクセスがあります。
そもそも、不正アクセスとは何でしょうか?
文字通りではありますが、アクセス権限のないコンピュータ資源にアクセスすることを、不正アクセス行為といいます。
他人のID、パスワードを用いてその人になりすましたり、システムの脆弱性を突く攻撃により、認証せずにアクセスしたりすることが挙げられます。
また、IDやパスワードを他人に漏らすなど、不正アクセス行為を助長する行為も法律によって罰せられます。
では、どんな法律があるのでしょうか。
インターネットなどでの不正アクセスを制御する、不正アクセス行為の禁止等に関する法律(不正アクセス禁止法)があります。
ネットワークへ侵入、アクセス制御のための情報提供などが処罰の対象となっています。
なお、被害が発生しなくても、不正アクセスだけど行うだけでも処罰の対象になります。
助長行為も同様です。
実は何気なくやってしまっていることももしかするとあるのではないでしょうか?
知らなかったでは済まされないので、気を付けましょう。
[スタッフブログ]
てんこもり
Buzip
ポイント
制作
セキュリティに関する記事
各種お問合せ
http://www.ceals.co.jp/contact/contact.html
◆採用情報◆
2016年10月06日
監視社会、もはや当たり前?
ロイターより気になるニュースです。
ヤフーが全受信メールを監視、米情報機関の要請で=関係筋
2015年に、米ヤフー(YHOO.O)が、米情報機関からの要請を受け、ヤフーメールのユーザーのすべての受信メールをスキャンしたのだそうです。
事実なのでしょうか?
また、米中央情報局及び国家安全保障局元職員のエドワード・スノーデン氏は、「Yahoo!アカウントは直ちに削除せよ。法の枠組みを超える行為だ」と、ツイッターに書いています。
ヤフーだけではなく、こういう類の行為は、とうの昔から、あらゆる分野に及んでいるのではないでしょうか?
あくまで想像ですが、何を使おうとも、全てが"見られている"と認識しておいたほうがいいのではないでしょうか?個人的なことから、企業としての機密性を有するものまで、全てです。
見られて困る内容、見られたくない内容はあるでしょう。たとえ無関係の相手でも、企業でも、組織でも。
ただ、今さら電子手紙を現実手紙に変えていくようなことは現実的ではありません。
情報社会と言われている中で生きていく私たち一人一人は、このニュースをどのように捉えればいいのでしょうか?
真偽も含め、今後のニュースに注目です。
[スタッフブログ]
てんこもり
Buzip
ポイント
制作
セキュリティに関する記事
各種お問合せ
http://www.ceals.co.jp/contact/contact.html
◆採用情報◆
2016年09月20日
情報セキュリティの関連法規
情報セキュリティの関連法規には、不正アクセス禁止法や個人情報保護といったいろいろなものがあり、新たなものも追加され続けています。
国のサイバーセキュリティ対策を司令塔として、内閣にサイバーセキュリティ戦略本部を設置することが定められています。
サイバーセキュリティ基本法は、平成26年(2014年)に制定された法律で、国のサイバーセキュリティに関する施策を推進するにあたっての基本理念、国の責務といったものを定めています。
サイバーセキュリティとは何かを明らかにし、必要な施策を講じるためにの基本理念や基本的施策を定義していて、その司令塔に、内閣にサイバーセキュリティ戦略本部を設置することが定められています。
サイバーセキュリティとは、「電磁的方式により記録され、または発信され、伝送され、若しくは受信される情報の漏洩、滅失又は毀損の防止その他の当該情報の安全管理のために必要な措置並びに情報システム及び情報通信ネットワークの安全性及び信頼性の確保のために必要な措置が講じられ、その状態が適切に維持管理されていること」と、長いですが、サイバーセキュリティ基本法の第二条にあります。
つまり、サイバー攻撃に対する防御行為全般を指しています。
サイバーセキュリティ戦略本部は、国のサイバーセキュリティ対策の司令塔です。IT総合戦略本部、国家安全保障会議などとも連携し、国全体の安全を保障するための活動を行います。
その他のセキュリティに関する記事
[スタッフブログ]
てんこもり
Buzip
ポイント
制作
各種お問合せ
http://www.ceals.co.jp/contact/contact.html
◆採用情報◆
2016年09月13日
物理的なセキュリティ対策
鍵をかける、データを遠隔地に運ぶ、環境を物理的に変えることが、物理的セキュリティです。
RASISというシステムの信頼性を総合的に評価する基準の概念があります。
次の五つの評価項目を基に、信頼性を判断します。
1.Reliability(信頼性)
⇒故障や障害の発生のしにくさ、安定性を表します。
2.Availability(可用性)
⇒稼働している割合の多さ、稼働率を表します。
3.Serviceability(保守性)
⇒障害時のメンテナンスのしやすさ、復旧の速さを表します。
4.Integrity(保全性・完全性)
⇒障害時や過負荷時におけるデータの書き換え、不整合、消失の起こりにくさを表します。
5.Security(機密性)
⇒情報漏えいや不正侵入などの起こりにくさを表します。
RASISを意識し、信頼性をあげることは、情報セキュリティの「機密性」「完全性」「可用性」の3要素を向上させることにつながります。
その他のセキュリティに関する記事
[スタッフブログ]
てんこもり
Buzip
ポイント
制作
各種お問合せ
http://www.ceals.co.jp/contact/contact.html
◆採用情報◆
2016年09月10日
マルウェア・不正プログラムの基本対策
マルウェア・不正プログラムの対策は、感染を防ぐ為の入り口対策だけではなく、感染後に被害を広げないための出口対策も重要になります。
基本的な対策として、次に挙げる3つは確実に全てのコンピューターで行うようにします。
1.ウイルス対策ソフトの導入
パソコンの電源が入っている間は、常に稼働処理させておきます。また、管理者以外が削除できないようにしておくとなおよいです。
2.ウイルス定義ファイルの更新
ウイルス定義ファイルを常に更新し、最新状態にしておきます。自動的に更新されるように設定しておき、忘れないようにしておきます。
3.ソフトウェア脆弱性の修正
OS(WindowsやMac Os)、アプリケーションの脆弱性が発見されると、修正の為のセキュリティパッチが公開されます。適切に適用させることが重要で、ウイルス定義ファイルの更新と同様に、自動的にこうしんされるようせっていしておきましょう。
その他のセキュリティに関する記事
[スタッフブログ]
てんこもり
Buzip
ポイント
制作
各種お問合せ
http://www.ceals.co.jp/contact/contact.html
◆採用情報◆
2016年09月08日
人的セキュリティ対策(内部不正対策)
緻密なルールをいくら徹底しても、それを運用する人のセキュリティ意識が低いと、無意味なものになってしまいます。教育、そして啓発していくことが重要です。
組織における内部不正を防ぐには、内部不正対策の体制を構築します。
IPAセキュリティセンターというところが発行している「組織における内部不正防止ガイドライン」で、基本原則を次の5つとしています。
1.犯罪を難しくする(やりにくくする)
2.捕まるリスクを高める(やると見つかる)
3.犯罪の見返りを減らす(割に合わない)
4.犯行の誘因を減らす(その気にさせない)
5.犯罪の弁明をさせない(言い訳させない)
アクセス権の設定、ログの取得などと、教育による周知徹底、法的手続きの整備を行っていく必要があります。
その他のセキュリティに関する記事
[スタッフブログ]
てんこもり
Buzip
ポイント
制作
各種お問合せ
http://www.ceals.co.jp/contact/contact.html
◆採用情報◆
2016年09月07日
情報セキュリティを守るための取り組み
情報セキュリティを守るには、組織内はもちろん、組織"間"で連携していくことも大切です。
官公庁においても、その取り組みは様々な組織や機関があることを確認しておきます。
CSIRTとは、主にセキュリティ対策の為に、コンピューター、ネットワークを監視し、問題発生時に原因・解析・調査を行う組織で、次の類別があります。
組織内シーサート
各企業、公共団体、組織ごとのインシデントに対応する組織になります。
国際連携シーサート
国・地域を代表する形式で組織内シーサートを連携して、問い合わせの窓口になる組織です。
コーディネーションセンター
他のCSIRTと情報連携・調整を行う組織で、日本にはJPCERT/CCという組織があります。
ちなみに、日本の組織内のCSIRTの連携を行うのは、日本シーサート協議会があります。
様々な企業が加盟しています。
その他のセキュリティに関する記事
[スタッフブログ]
てんこもり
Buzip
ポイント
制作
各種お問合せ
http://www.ceals.co.jp/contact/contact.html
◆採用情報◆
2016年08月27日
情報セキュリティリスク対応の考え方
情報セキュリティリスクアセスメントの結果を基に、情報セキュリティリスクの対応内容を決めていく必要があります。
リスク対応の考え方として、リスクコントロールとリスクファイナンシング(リスクファイナンス)があります。
リスクコントロールは、技術的対策など、何かしらの行動で対策を行うことに対し、リスクファイナンシングは資金面で対応していくことです。
また、リスクが起こった時にその被害を回避、軽減する工夫を行うことをリスクヘッジといいます。
次の四つの分類があります。
1.リスク最適化(リスク低減)
損失の発生率や被害額を減少させる対策を行うことで、一般的に多く用いられる方法です。
2.リスク回避
根本原因を排除することで、リスクをゼロにします。
3.リスク共有(分離、移転)
第三者とリスクを分割します。わかりやすい例でいうと、保険をかけることです。
4.リスク保有(受容)
リスクを受容します。特に対応はしません。
どのように対応するかは、環境、タイミングによって異なります。
その他のセキュリティに関する記事
[スタッフブログ]
てんこもり
Buzip
ポイント
制作
各種お問合せ
http://www.ceals.co.jp/contact/contact.html
◆採用情報◆
2016年08月24日
情報セキュリティリスクアセスメント
リスク分析からリスク評価までのプロセスを、情報セキュリティリスクアセスメントといいます。
リスクアセスメントは、リスク特定、リスク分析、リスク評価を行う全体のプロセスです。
リスク特定は、リスクを見つけて認識し、記述します。
リスク分析は、特定したそれぞれのリスクに対し、情報資産に関する脆弱性と脅威を考えます。
リスク分析の手法は、リスクの大きさを金額以外で分析する「定性的リスク分析手法」、金額で分析する「定量的リスク分析」があります。
リスク評価は、分析したリスクに対し、どのように対策を行うかを評価します。
分析結果から、あらかじめ定められた評価基準などでリスクを評価し、対策の優先度をつけていきます。
その他のセキュリティに関する記事
[スタッフブログ]
てんこもり
Buzip
ポイント
制作
各種お問合せ
http://www.ceals.co.jp/contact/contact.html
◆採用情報◆
2016年08月23日
情報セキュリティ諸規定
情報セキュリティを守っていく為に、文書管理規定や機密管理規定といったいろいろな規定を制定する必要があります。
基本方針や対策基準を情報セキュリティポリシと呼びますが、細かい内容が決められているわけではありません。
基本構成として、組織の基本的な方針や考え方を示す情報セキュリティ基本方針と、リスクアセスメントの結果に基づく情報セキュリティ対策基準があります。
代表的な規定は、情報管理、機密管理、文書管理、マルウェア感染時の対応、事故への対応、情報セキュリティ教育、職務、罰則、雇用、対外説明、例外、規則更新、規定の承認手続きといったものがあります。
ちなみに、プライバシポリシは収集した個人情報をどう扱うのかを定めた規範です。個人情報保護方針ともいいます。
セキュリティポリシの一部として記載することもあります。
その他のセキュリティに関する記事
[スタッフブログ]
てんこもり
Buzip
ポイント
制作
各種お問合せ
http://www.ceals.co.jp/contact/contact.html
◆採用情報◆
タグ :マネジメント
2016年08月20日
情報セキュリティインシデントと事象
情報セキュリティを脅かす事件や事故を「情報セキュリティインシデント」と言います。
情報セキュリティインシデントが起こった場合に、報告、そして管理体制が明確され、関係のあるスタッフ全員に周知、徹底されることが重要になります。
また、情報セキュリティインシデントのほか、情報セキュリティに関連するかもしれない状況を「情報セキュリティ事象」といます。
セキュリティポリシに反し、ウイルス対策ソフトを導入していないパソコンがあったとすると、放置したままだとウイルス感染などの情報セキュリティインシデントにつながる恐れがあります。
こういった例を見つけたら、情報セキュリティ事象として管理者に報告する義務があります。
情報セキュリティの対策には、日常的な監視が非常に大切ということになります。
その他のセキュリティに関する記事
[スタッフブログ]
てんこもり
Buzip
ポイント
制作
各種お問合せ
http://www.ceals.co.jp/contact/contact.html
◆採用情報◆
地域ブログサイト
