is702 2021-04-20T00:00:00+09:00 インターネット・セキュリティ・ナレッジ 2021年1月~3月のセキュリティ脅威や危険性の高い脆弱性についてあらためて確認を|JPCERT/CC JPCERTコーディネーションセンター(JPCERT/CC)は4月15日、2021年1月~3月に確認された脆弱性情報・脅威情報について、あらためて注意を呼びかけました。 2021-04-20T00:00:00+09:00
2021年1月~3月において、国内でも広く普及している製品の脆弱性の悪用が報告されたり、影響度が高いサイバーセキュリティの脅威が発生したりしました。こうした事態を受け、JPCERT/CCでは特に下記の項目について、あらためて解説と対策の紹介を行いました。

・Microsoft Exchange Serverの複数の脆弱性
3月2日(米国時間)に情報が公開され、すでに悪用の事実が確認されています。影響を受ける製品およびバージョンの利用者は、早急に更新プログラムの適用を実施してください。

関連記事:すでに攻撃に悪用されている脆弱性や、新たなExchange Serverの脆弱性修正を含む、4月のセキュリティ更新プログラム公開|マイクロソフト

・SSL-VPN製品を含むネットワーク製品の脆弱性
SonicWallは2月3日(米国時間)、同社製SMA100シリーズの脆弱性に関する情報を公開しました。3月10日(米国時間)にはF5 Networksが同社のBIG-IP製品について脆弱性を公表しています。これらについても脆弱性の悪用による被害や、悪用を試みたと推測される通信などがそれぞれ報告されています。利用している組織や企業は製品のバージョンアップなど対策を早急に行ってください。

・マルウェアEMOTETのテイクダウンと感染端末に対する通知
海外の捜査当局により、EMOTETのテイクダウン(攻撃指令サーバの停止)が1月に行われ、それに伴う処置でEMOTETは無害化されましたが、感染した端末については別途対応が必要です。そのため、総務省・警察庁などからEMOTETに感染した機器の利用者に通知が行われていますます。

関連記事:国内のEMOTET感染機器に対する注意喚起に便乗した詐欺や攻撃に注意

・クラウドサービスの運用、設定
クライアントアプリなどに脆弱性が存在する場合や、適切な設定が行われていない場合、不正利用・情報漏えいなどが発生する可能性があります。現在の運用や設定が適切に行われているかを確認してください。

関連記事:「Trello」利用者は改めて設定の確認を、「公開」設定だと第三者が閲覧可能な状態に

あわせてJPCERT/CCでは、4月下旬~5月上旬のゴールデンウィークに備えて、連絡網の整備・見直し、OSやソフトウェアのバージョンアップ、データのバックアップ、データ持ち出しルールの確認などを推奨しています。また不正サイトの発見時の報告についても、あらためて協力を呼びかけています。他にも最近公開された修正プログラム情報や、さまざまな参考情報についてもリンクを紹介しています。なおJPCERT/CCでは、2021年1月~3月の期間に発生したインシデントの報告対応レポートも同日に公開しました。

サイバー犯罪は日々巧妙化、進化しています。最新動向に注意し、迅速な対応や対策を心掛けましょう。
]]>
https://is702.jp/main/images/news/img_news40.jpg
すでに攻撃に悪用されている脆弱性や、新たなExchange Serverの脆弱性修正を含む、4月のセキュリティ更新プログラム公開|マイクロソフト マイクロソフトは4月14日(日本時間)、月例のセキュリティ更新プログラムを公開しました。独立行政法人情報処理推進機構(IPA)およびJPCERTコーディネーションセンター(JPCERT/CC)も注意を呼びかけています。 2021-04-15T00:00:00+09:00
対象となるソフトウェアは、「Azure AD Web Sign-in」「Azure DevOps」「Azure Sphere」「Microsoft Edge (Chromium-based)」「Microsoft Exchange Server」「Microsoft Graphics Component」「Microsoft Internet Messaging API」「Microsoft NTFS」「Microsoft Office Excel」「Microsoft Office Outlook」「Microsoft Office SharePoint」「Microsoft Office Word」「Microsoft Windows Codecs Library」「Microsoft Windows Speech」「Open Source Software」「Role: DNS Server」「Role: Hyper-V」「Visual Studio」「Visual Studio Code」「Visual Studio Code – GitHub Pull Requests and Issues Extension」「Visual Studio Code – Kubernetes Tools」「Visual Studio Code – Maven for Java Extension」「Windows Application Compatibility Cache」「Windows AppX Deployment Extensions」「Windows Console Driver」「Windows Diagnostic Hub」「Windows Early Launch Antimalware Driver」「Windows ELAM」「Windows Event Tracing」「Windows Installer」「Windows Kernel」「Windows Media Player」「Windows Network File System」「Windows Overlay Filter」「Windows Portmapping」「Windows Registry」「Windows Remote Procedure Call Runtime」「Windows Resource Manager」「Windows Secure Kernel Mode」「Windows Services and Controller App」「Windows SMB Server」「Windows TCP/IP」「Windows Win32K」「Windows WLAN Auto Config Service」と、幅広い製品が対象となっており、深刻度「緊急」の脆弱性も含まれています。こうした脆弱性を悪用された場合、アプリケーションプログラムが異常終了したり、リモートからの攻撃によって任意のコードを実行されたりする可能性があります。

このうち「Win32kの特権の昇格の脆弱性」(CVE-2021-28310)については、悪用の事実がすでに確認されており、被害が拡大するおそれがあります。

また、オンプレミスのExchange Serverに対する新たな脆弱性の修正も含んでおり、情報公開時にはこの脆弱性を悪用した攻撃は観測されていませんが、昨今のサイバー攻撃者の活動状況を踏まえ、迅速な更新プログラムの適用を呼び掛けています。

各製品のユーザは、Microsoft UpdateやWindows Updateなどを用いて、システムの更新を至急行ってください。自動更新を設定している場合も、念のため更新が適用されているか確認するのが望ましいでしょう。
]]>
https://is702.jp/main/images/news/img_news47.jpg
Chrome利用者はアップデートの確認を 4月14日(現地時間)、GoogleはWindows、Mac、Linux向けChromeのアップデートを公開しました。 2021-04-15T00:00:00+09:00
今回のアップデートには37件の脆弱性(セキュリティ上の欠陥)の修正を含むとしています。
基本的には自動更新されますが、利用環境によっては更新が保留されている場合もあります。
ウェブブラウザとしてChromeを利用している場合は、アップデートが適用されているか確認を行いましょう。

■Chromeのアップデート確認方法例
Chromeを開き、右上の「Google Chromeの設定」から 
ヘルプ → Google Chromeについて 
を選択するとバージョンの確認が実行されます。


図:最新版が適用されている表示例

図:最新版が適用されている表示例

]]>
https://is702.jp/main/images/news/img_news44.jpg
スマホのOSが最新かどうかを確認しよう ひろしは、スマホのOSをアップデートすることをアカリに勧めるも… 2021-04-15T00:00:00+09:00
ひろしとアカリのセキュリティ事情

スマホのOSが最新かどうかを確認しよう

2021/04/15

OSの脆弱性を解消しよう

iPhoneやAndroid端末などのスマホを安全に利用するためには、OS(基本ソフト)の脆弱性対策が欠かせません。脆弱性は、プログラムの不具合などが原因で生じるセキュリティ上の欠陥です。

スマホのOSに脆弱性があると、どのようなリスクが生じるでしょうか。たとえば、端末を不正操作されたり、端末内の連絡先情報やファイルを盗み取られたりする可能性があります。iOSではこれまで、端末にインストールされた正規アプリを不正アプリに置き換えられたり、Apple IDを流出させたりするリスクのある脆弱性が確認されています。Android OSでも過去に、端末を不正操作されたり、端末からの通信を傍受されたりしてしまうリスクのある脆弱性が見つかりました。

iPhoneやAndroid端末に存在するOSの脆弱性を解消するためには、OSのアップデートが欠かせません。iPhoneの場合、iOSの開発元であるApple社が脆弱性を発見すると、それらの脆弱性を修正したiOSの最新版を提供します。Android端末の場合、各端末メーカーや携帯電話会社が最新版をリリースするタイミングなどを判断します。ユーザは最新のOSを適用することで、脆弱性によって生じるリスクを回避できます。

ただし、機種によっては最新版のリリースが遅れたり、アップデートが公開されなかったりする場合もあるため、セキュリティアプリを最新の状態にして利用するといった対策は必須です。また、サポート切れの端末を使い続けている場合は脆弱性を放置しているも同然です。新機種への買い替えを検討してください。

通常、iPhoneやAndroid端末ではOSの最新版が提供されると、ロック画面や通知領域に更新の通知が届きます。しかし、何らかの理由で通知されなかったり、ユーザが通知を見落としたりすることがあるかもしれません。iPhoneやAndroid端末にOSの最新版が提供されているかどうかを定期的に確認する習慣をつけましょう。

【iPhoneの場合】

端末の「設定」から「一般」へ進みます。「ソフトウェア・アップデート」をタップすると、「アップデートを確認中」と表示されるため、しばらく待ちます。利用可能なソフトウェア・アップデートがない場合、あるいは最新版を適用済みの場合は、「お使いのソフトウェアは最新です」と表示されます。iOSの最新版がある場合は、最新のiOSのバージョン名が表示されます。「今すぐインストール」をタップし、画面の指示に従って操作すれば最新のiOSにアップデートできます。

図:最新版のiOSが反映されている例

【Android端末の場合】

端末の「設定」から「システム(※)」、「詳細設定」に進み、「システムアップデート」を押すと、Android OSの最新版が提供されているかどうかを確認できます。利用可能なソフトウェア・アップデートがない場合、あるいは最新版を適用済みの場合は、「最新バージョンに更新されています」、「最新のソフトウェアを利用中です」、「お使いのシステムは最新の状態です」、「更新なし」などと表示されます。Android OSの最新版がリリースされている場合、「今すぐ更新」、「アップデート」、「(再起動して)インストール」などと表示されます。それをタップし、画面の指示に従って操作すれば最新のAndroid OSにアップデートできます。
※OSのバージョンや機種によっては、「システム」ではなく、「端末情報」や「端末管理」、「バージョン情報」などと表記されます。詳しくは各機種の取り扱い説明などを参照してください。

図:更新待ちのAndroid OSを最新版に更新した例

ひろしとアカリのセキュリティ事情 ひろしとアカリの日常をもっと見る
ひろしとアカリのセキュリティ事情 ひろしとアカリの日常をもっと見る
]]>
http://rss.is702.jp/main/rss/3844_l.jpg
解説動画「2020年年間脅威動向を振り返り、今、従業員一人ひとりが行うべき対策とは?」公開 2021年3月公開「2020年年間セキュリティラウンドアップ」の内容を踏まえ、従業員一人ひとりが知っておくべき脅威とその対策を紹介する解説動画を、is702パートナープログラム限定で公開しました。 2021-04-13T00:00:00+09:00
約20分の動画は、なるべく専門用語を使わずポイントを絞った内容となっており、自組織内の従業員教育に活用して頂ける内容となっています。

動画ファイルは、is702パトナープログラムの登録パートナー向けポータルサイト*で公開しています。
*is702パートナー専用ページにログインするには、別途事務局からご案内している認証ID、認証コードが必要です。

is702パートナープログラムについてはこちら



]]>
https://is702.jp/main/images/news/S210413.JPG
コロナ禍で変化したセキュリティ様式、社内規定や業務委託に求められる新時代対応|IPA 独立行政法人情報処理推進機構(IPA)は4月7日、「ニューノーマルにおけるテレワークとITサプライチェーンのセキュリティ実態調査」の最終報告を公開しました。前年12月に個人への調査結果、本年1月に組織への調査結果(中間報告)を公開しており、今回は調査全体の最終報告となっています。 2021-04-09T00:00:00+09:00
コロナ禍が長期化しテレワークが常態になったことで、業務実施場所の多様化やコミュニケーションのオンライン化など、新しい働き方が定着しつつあります。一方、ICTの環境整備が優先され、セキュリティ対策が後回しになっているという懸念もあります。本調査はそうした現状を探ることを目的に実施されました。その結果、以下のような傾向が判明しています。

・会社が許可していないアプリケーションやサービスの業務利用を一時的に“やむを得ず”認め、現在も認めている組織が、一定数存在しました。この結果、セキュリティに問題がある内容が放置されている恐れがあります。

・委託元の半分以上(54.6%)が、テレワークに関する社内規定・規則・手順の遵守確認を実施していませんでした。内部不正やセキュリティインシデントが増加する恐れがあります。また委託先との意識のギャップも目立ちます。

・情報セキュリティ上の要求事項について対応した業務委託契約(仕様書/利用規約・SLAなどを含む)は、まだまだ進んでいません。たとえば「テレワークの制限や禁止」は9.8%の企業しか取り決めをしていませんでした。今後はニューノーマル時代に合わせた契約が求められるでしょう。

概要や本文を含む報告書一式(PDFファイル)は、IPAの公式サイトから無償でダウンロード・閲覧が可能です。
報告書では、今後必要となる対応、そのために参考となるガイドラインなども紹介されています。自組織や、取引先との体制づくりなどの参考にすると良いでしょう。


図:テレワークに関する社内規定・規則・手順等が守られていることの確認状況(IPAの公開資料より)

図:テレワークに関する社内規定・規則・手順等が守られていることの確認状況(IPAの公開資料より)

]]>
https://is702.jp/main/images/news/img_news49.jpg
従業員の不注意が引き金となる情報漏えいパターンと防止策 企業や組織の一員になるとパソコンやネット利用時の不注意が個人だけの責任では済まなくなります。うっかりとした行動がきっかけで情報漏えいが生じれば、自身の立場を悪くするだけでなく、勤務先も世間の厳しい批判の目にさらされます。従業員一人ひとりが実践するべき情報漏えい対策を紹介します。 2021-04-08T00:00:00+09:00
あなたも他人事ではない!?

従業員の不注意が引き金となる情報漏えいパターンと防止策

2021/04/08
あなたも他人事ではない!? 従業員の不注意が引き金となる情報漏えいパターンと防止策

たびたび世間を騒がせている企業の情報漏えい。営業秘密や顧客情報の漏えいは、企業に致命的なダメージをもたらします。今回は、文書ファイルの共有時、クラウドサービス利用時、テレワーク時の3つのシーンで従業員の不注意がきっかけとなる情報漏えいパターンと防止策を紹介します。

事業継続を脅かす情報漏えいリスク

みなさんは企業の情報漏えいと聞いたとき、サイバー攻撃による不正アクセスを真っ先に想像するのではないでしょうか。しかし、従業員の不注意や認識不足をきっかけとする情報漏えい事故も少なくありません。もし、パソコンやネット利用時のうっかりした行動で深刻な情報漏えいが生じてしまった場合、どうなるでしょうか。当事者はもちろん、勤務先の信用も失われ、業績などに悪影響が及んでしまうかもしれません。

一口に情報漏えいを引き起こす従業員の過失といってもその内容はさまざまです。今回は見落としがちなケースを「文書ファイルの共有時」「クラウドサービス利用時」「テレワーク時」の3つのシーンにおいて、情報漏えいパターンと防止策を見ていきましょう。

シーン1:文書ファイルの共有時

ビジネスシーンではMicrosoft Office(Word、Excel、PowerPoint)などで作成した文書ファイルを取引先や社外の関係者に送る機会がよくあるでしょう。その際は事前に文書の中身だけでなく、プロパティ情報(「作成者」「前回保存者」「タイトル」「件名」「タグ」「作成日時」などの属性情報)や非表示情報(「コメント」「変更履歴」「バージョン」「注釈」「隠し文字」など)もチェックしましょう。うっかりそれらの情報を残した文書ファイルを社外に出してしまった場合、情報漏えいにつながる可能性があります。

Microsoft Officeでは「ドキュメント検査」を使用することで文書ファイルに保存されている不要な情報を一括で削除できます。

また、Microsoft Officeの「名前を付けて保存」機能からPDFを生成するとOfficeファイルのプロパティ情報がそのままPDFファイルに引き継がれます。Officeファイルの不要なプロパティ情報を削除してからPDF化するか、保存の際に表示されるオプションから「印刷対象外の情報を含める」の項目のチェックを外しましょう。

図:「名前を付けて保存」機能からPDFを生成する際のオプション選択画面

シーン2:クラウドサービス利用時

利便性を重視して、個人で利用登録しているクラウドサービスを勤務先に無断で業務利用してはいけません。たとえば、クラウドストレージは取引先と大容量の業務データをやり取りするときなどに役立ちますが、クラウドサービスの利用においては情報漏えいリスクがつきものです。フリーメールサービスも同様です。業務メールを出先や私用のスマホなどで確認するためにフリーメールアドレス宛に無断で転送してはいけません。サービス事業者の人為的なミスやサイバー攻撃などが原因でクラウド上の業務データが流出してしまう事故も起こっています。勤務先の規程に反した行動で情報漏えいが生じてしまった場合、懲戒の対象になるだけでなく、損害賠償を請求される可能性もあります。

勤務先に許可されているクラウドサービスの利用にあたっても油断は禁物です。機能や仕様だけでなく、利用規約の内容(アップロードされたデータの取り扱いや、機密保持、第三者への業務委託、補償の範囲、禁止事項など)も十分に理解した上でサービスを利用しなければ、意図しない情報漏えいを招いてしまうかもしれません。過去には、あるクラウド翻訳サイトで翻訳にかけた文章が他の利用者にも閲覧できる状態になっていたケースがありました。原因は、翻訳結果をサービス事業者のサーバに保存することを許可する内容のチェックボックスをオンにしたままサービスを利用したことでした。

また、利用規約に「アップロードされたデータをサービス向上のためだけに用いる」という記載があっても、それ以外の目的に使われないという完全な保証はありません。クラウド上にアップロードした情報はユーザのコントロールが及ばなくなることに留意してサービスを利用するかどうかを判断してください。

シーン3:テレワーク時

テレワークという就業場所を問わない働き方が浸透しつつあります。一方、セキュリティが強固なオフィスとは別の場所で就労することになるため、情報漏えいリスクは高まります。

オフィス外では使い慣れた私用のパソコンを使って業務を行いたいと考えるかもしれません。しかし、勤務先の断りなく、私用の端末を業務に用いるのは危険です。通常、勤務先から支給された業務用端末にはマルウェア対策や情報漏えい対策がとられています。一方、私用端末のセキュリティレベルはユーザの知識やモラルによってまちまちです。セキュリティに不備のある私用端末を業務に利用した場合、マルウェア感染やフィッシングサイトでの情報入力などがきっかけで情報漏えいを引き起こしてしまうかもしれません。

また、自宅外でのテレワーク時は、公衆Wi-Fiを利用するケースもあるでしょう。ただ、公衆Wi-Fiスポットの中にはユーザの利便性を優先するためにあえてパスワード認証なしにつなげるようにしているものや、設定不備によって同一ネットワーク上の端末が互いに通信できる状態になっているものも存在します。そんな公衆Wi-Fiスポットを利用してしまった場合、悪意のある第三者に通信内容を盗み見られる可能性があります。どうしても公衆Wi-Fiにつながなくてはならない場合はVPNソフトを利用するなど、勤務先に指定された方法と手順をとってください。

公共の場でのパソコン作業時はのぞき見による情報漏えいも回避しなければなりません。最低限、端末画面にプライバシーフィルター(のぞき見防止フィルム)を装着し、壁を背にするなど、周囲の目線に気を配るなどの対策は必須です。また、パソコン作業中に離席する際は端末の盗難に注意するとともに、ごく短時間であっても必ずスクリーンロックをかけましょう。これはパソコン画面を専用のロック画面に切り替えることで第三者に作業内容を盗み見られたり、勝手に操作されたりすることを防ぐ仕組みです。使用を再開する場合、事前に設定したパスワード、あるいはPIN(4桁以上の暗証番号)を入力してロックを解除します。自分の名前や生年月日、規則的な数字(1234)など、簡単に推測できるパスワードや暗証番号を設定するのは避けましょう。

テレワーク時はマルウェア感染や情報漏えいなどのトラブルを回避するためにも勤務先が定めるガイドラインやポリシーに従ってください。また、在宅勤務時は家族であっても業務上は部外者であることを意識して業務にあたりましょう。

]]>
http://rss.is702.jp/main/rss/3838_l.jpg
「Trello」利用者は改めて設定の確認を、「公開」設定だと第三者が閲覧可能な状態に タスク管理サービス「Trello(トレロ)」の利用に際し、本来関係者以外に公開すべきではない情報が、ネット上で誰もが参照できる状態になっている利用者が複数いるとし、サービス運営元であるアトラシアンは注意を呼び掛けています。 2021-04-07T00:00:00+09:00
「Trello」は、情報を記入できるカード欄とそれをまとめた「リスト」や「ボード」を使って、柔軟にタスク(仕事)を管理できるサービスです。複数人の使用にも対応しており、チームでの情報共有に利用している企業も多数あります。
一方、利用者の設定ミスによって、本来公開すべきではないと思われる情報が複数公開されているとして、各所が警笛を鳴らしています。

アトラシアンの説明によると、Trelloの初期設定ではボードは「非公開」になっているとともに、意図しない公開ボードの作成を回避するため、ボードを公開する際には、ユーザの意図を確認する仕組みが搭載されているとのことです。そのため、Trelloのユーザが正しく利用状況を把握せず、公開範囲を選択してしまった可能性が高いとしています。

Trelloに限らず、情報共有や保存を行うオンラインサービスを利用する際は、公開範囲や利用規約、プライバシーポリシーなどを十分に理解した上で利用してください。利用者の認識不足や、設定ミスにより情報漏えいに至った例は枚挙にいとまがありません。また、勤務先で許可されていないツールの勝手な利用はトラブルや事故の元です。組織のルールやガイドラインに沿って活用しましょう。
]]>
https://is702.jp/main/images/news/img_news48.jpg
ネットに接続する機器の選び方・設定の仕方を、YouTube動画でも解説|IPA 独立行政法人情報処理推進機構(IPA)は3月31日、「ネット接続製品の安全な選定・利用ガイド」について、動画を公開しました。YouTubeの公式チャンネル「IPA Channel」で視聴可能です。 2021-04-01T00:00:00+09:00
パソコンやスマホに加え、近年は家電やゲーム機もインターネット接続が可能になりましたが、便利になった反面、利用者のセキュリティに対する意識はまだまだ低い状態です。「ネット接続製品の安全な選定・利用ガイド」は、「安全なネット接続製品を選ぶ方法」と「購入したネット接続製品を安全に利用する方法」という、2つの面から消費者向けに解説を行っています。

ガイドは、確認するポイントや各製品における記載場所、実施しなかった場合の影響や対策などを解説した詳細版と、イラスト中心にポイントだけを説明した小冊子版が、それぞれPDFで提供されていますが、そこに今回あらたに動画が追加されました。

動画は「ネット接続製品の安全な選定ガイド ― デザインや性能、価格だけで選んでいませんか?」「ネット接続製品の安全な利用ガイド ― 購入した製品を、そのままの状態で使い続けていませんか?」の2つで、ガイドでも解説されている“7つの購入ポイント”“7つの利用ポイント”を、約3分の映像で紹介する内容です。

「ネット接続製品の安全な選定・利用ガイド」は、IPAサイトよりPDFファイルとして無償でダウンロード・閲覧が可能です。解説動画はYouTubeのIPA公式チャンネルで視聴可能です。
]]>
https://is702.jp/main/images/news/img_news42.jpg
【注意喚起】Amazonのアカウント更新を装う偽メールに注意 「Аmazon に登録いただいたお客様に、Аmazon アカウントの情報更新をお届けします。残念ながら、Аmazon のアカウントを更新できませんでした。」といった偽の文面で、フィッシングサイトに誘導する偽メールを確認しています。サービス利用者は騙されないよう注意してください。 2021-04-01T00:00:00+09:00
大手ECサイトAmazon(アマゾン)を騙るネット詐欺は複数発生しており、今回確認した手口では偽のメールを送り付け、公式サイトに偽装した偽のログイン画面に誘導します。送信元アドレスや表示名も偽装しているため紛らわしいですが、件名が「【楽天市場】」となっており、真偽を見分けることは容易です。しかし、差出人の偽装は行っていないものの、同様の文面で「【重要】今すぐあなたのアカウントを確認してください」といった件名が異なるパターンも確認しているため、油断しないようにしてください。

■フィッシングメールの一例
件名:【楽天市場】お支払い方法を更新してください知らせ 
本文(一部抜粋):
Аmazon に登録いただいたお客様に、Аmazon アカウントの情報更新をお届けします。
残念ながら、Аmazon のアカウントを更新できませんでした。
今回は、カードが期限切れになってるか、請求先住所が変更されたなど、さまざまな理由でカードの情報を更新できませんでした。

アカウント情報の一部が誤っている故に、お客様のアカウントを維持するため Аmazon アカウントの 情報を確認する必要があります。下からアカウントをログインし、情報を更新してください。
Аmazon ログイン<フィッシングサイトのURLリンク>

なお、24時間以内にご確認がない場合、誠に申し訳ございません、お客様の安全の為、アカウントの利用制限をさせていただきますので、予めご了承ください。

アカウントに登録のEメールアドレスにアクセスできない場合
お問い合わせ: Amazonカスタマーサービス。



図:フィッシングメールの一例

図:フィッシングメールの一例




図:偽メールから誘導していたフィッシングサイトの偽ログイン画面(スマホからアクセスした場合の表示)

図:偽メールから誘導していたフィッシングサイトの偽ログイン画面(スマホからアクセスした場合の表示)




図:偽メールから誘導していたフィッシングサイトの偽入力画面(パソコンからアクセスした場合の表示)背面には標品を表示させるなどし、正規サイトと誤認するような作りになっている

図:偽メールから誘導していたフィッシングサイトの偽入力画面(パソコンからアクセスした場合の表示)背面には商品を表示させるなどし、正規サイトと誤認するような作りになっている




図:フィッシングサイトでの入力が完了すると、正規サイトにリダイレクト(転送)される

図:フィッシングサイトでの入力が完了すると、正規サイトにリダイレクト(転送)される


関連情報:
・Amazon.co.jpからの連絡とフィッシングの見分け方について|Amazon
・【注意喚起】Amazonプライム自動更新解除を装う偽メールに注意
・【注意喚起】「プライム会費のお支払い方法に問題があります」Amazonからの通知を装う偽のSMSに注意
・【注意喚起】楽天市場からの通知を装う偽のSMSに注意


■対策
●利用者

どんなにそれらしい内容のメールやメッセージでも、URLリンクを開かせたり、電話をかけさせたりしようとするものは詐欺を疑ってかかりましょう。内容の確認が必要な場合は、ブックマーク済みの公式サイト、またはインストール済みの公式アプリから確認してください。Amazonの場合、メニューから「お客様へのお知らせ」でメッセージを確認することができます。

また、送られてきたリンクが不正なものかどうか確認する方法としては、URL安全性判定サービスの利用も役立ちます。また、不正サイトに誘導されてしまうリスクを下げるには、セキュリティソフトやアプリを最新の状態で利用することも忘れないようにしましょう。

無償で利用できるURL安全判定サービスの一例
・Site Safety Center

URLを入力して確認をクリックするだけで安全性を4段階で判定することができます。

●事業者
Amazonや楽天市場などの総合ECサイトに出店している事業者は、大手ECサイトに偽装してクレジットカード情報や個人情報などを狙う脅威があることを顧客に対しても周知し、ネット詐欺に巻き込まれないよう啓発活動を行うと良いでしょう。
]]>
https://is702.jp/main/images/news/S210401_1.jpg
ホームルータを保護しなければならない理由とは 軽井は、ショッピングサイトへの不正ログインを疑っています 2021-04-01T00:00:00+09:00
ひろしとアカリのセキュリティ事情

ホームルータを保護しなければならない理由とは

2021/04/01

アカウントの不正利用被害に遭うかも

自宅のパソコンやスマホ、タブレット端末、スマート家電などを同時にインターネットにつなげてくれるホームルータ。そのセキュリティをおろそかにしていると、インターネットサービスのアカウントを不正利用されてしまうかもしれません。

インターネットとホームネットワークの出入口であるホームルータのセキュリティ設定は、ネット利用者にとって欠かせない対策の一つです。前回の記事ではルータのセキュリティ設定の不備を突いたDNS設定の書き換えにより、ルータ配下のパソコンやスマホを不正サイトへ誘導する手口を紹介しました。

誘導先は攻撃者の意図や目的によって変わりますが、自身が利用しているショッピングサイトや、Apple ID、Googleアカウントなどのログインページをコピーして作られたフィッシングサイトだった場合どうでしょう。フィッシングサイトへ誘い込まれたことに気づかず、認証情報を入力してしまうかもしれません。

その結果、アカウントの不正利用被害に遭うことが考えられます。たとえば、ショッピングサイトに不正ログインされた場合、配送先として登録してある個人情報や、購入履歴、付帯サービスのクラウドストレージ内の情報を盗み見られる可能性があります。また、換金率の高い商品を不正購入される被害に遭うことも考えられます。

また、攻撃者は窃取した認証情報を用いてさまざまなサービスへのログインを試みることもあります。そのため、複数のサービスに同じ認証情報を使い回している利用者は、各種サービスのアカウントを芋づる式に乗っ取られるかもしれません。さらに、攻撃者に盗まれた情報は、ストーカーや空き巣、ネット上や知人などへの暴露をネタとした恐喝などの犯罪に悪用される可能性もあるのです。

こうした被害に遭わないよう、ホームルータのセキュリティ設定を見直しましょう。ホームルータのセキュリティを強化するポイントについては以下の記事で紹介しています。

ひろしとアカリのセキュリティ事情 ひろしとアカリの日常をもっと見る
ひろしとアカリのセキュリティ事情 ひろしとアカリの日常をもっと見る
]]>
http://rss.is702.jp/main/rss/3837_l.jpg
新たなフィッシングの手口、一般企業のサイトに見せかけた偽ページを設置 トレンドマイクロは3月24日、公式ブログで「『ダミーの正規サイト』で検出回避を試みるフィッシング詐欺手口を解説」と題する記事を公開しました。一般企業が運営するサイトのように見せかけ、フィッシングサイトを設置する新たな手口が確認されたとのことです。 2021-03-30T00:00:00+09:00
今回確認されている手口では、プロバイダからのメールに偽装したフィッシングメールを受け取るところから始まっていました。メール内のリンクをクリックすると、あるドメイン上に作成されたページに誘導されます。このページは電子メールシステムのログイン画面のようになっていますが偽の画面です。

ここまでは一般的なフィッシングの手口と同じです。しかし、確認のためにそのドメインのトップページにアクセスすると、一般企業のようなホームページが表示されます。この点がこれまでのフィッシングの手口とは異なります。
一見一般企業のホームページを装ったこのページは、「表示された画像のブランド名がドメインと一致しない」、「珍しいTLD(トップレベルドメイン)である『.pro』が使用されている(一般的なTLDである.com、.net、.jpよりも安価で利用可能)」、「テンプレートに含まれるダミー文章の定型文に似た残骸がサイト上で確認できた」、「ドメインが登録されてから1年経っていない(不正ドメインは短期間内に登録されている場合が多い)」など不審な点が多く、偽のコンテンツと判断されました。


図:WordPress テーマのテンプレートがそのまま使われていた偽の企業ホームページ

図:WordPress テーマのテンプレートがそのまま使われていた偽の企業ホームページ


この手口の狙いは、正規の企業サイトだとセキュリティベンダーに思わせることで、そのドメインが不正サイトとして登録されてしまうのを防ぎ、一般的なセキュリティソフトウェアが備えるアンチスパム機能や不正URLブロック機能などを回避するためと考えられます。このようなセキュリティ製品による検知の回避策を携えたドメインを仕立てることで、サイバー犯罪者はそのドメインの配下に検知されにくいフィッシングサイトを作ることができるわけです。

■対策
メールのフィルタリング機能やセキュリティソフトを使い、不正なメールの受信そのものを防ぐことが、まず有効な対策となります。メールの内容においても、メールアドレス、本文、リンクに一貫性がないなど不審な点がないか十分確認してください。基本的にはメール内のリンクはクリックせず、利用しているサービスであればブックマークあるいは社内のイントラなどからアクセスして通知内容を確認してください。もしメール内のリンクを選択してクリックする場合は、リンク先に不自然な文章がないか、あるいはリンク先ドメインとサイト内容の整合が取れているかどうか確認しましょう。不審なメールを受け取った場合は、速やかに組織のセキュリティ担当部門や担当者に相談してください。
]]>
https://is702.jp/main/images/news/S210330.jpg
解説動画「働く大人なら最低限知っておきたいネットセキュリティの基本 2021」公開 2021年3月22日公開の法人向けガイドブック「働く大人なら最低限知っておきたいネットセキュリティの基本」2021年度版の解説動画をis702パートナープログラム限定で公開しました。 2021-03-30T00:00:00+09:00
約30分の動画では、ガイドブックで紹介している脅威の例や対策をより具体的に解説しており、公開済みのガイドブックとあわせて自組織内の従業員教育に活用して頂ける内容となっています。

動画の確認用URLリンクおよび動画ファイルは、is702パトナープログラムの登録パートナー向けポータルサイト*で公開しています。
*is702パートナー専用ページにログインするには、別途事務局からご案内している認証ID、認証コードが必要です。

is702パートナープログラムについてはこちら


]]>
https://is702.jp/main/images/news/S210329.jpg
Chromebookをより安全に利用するための7つのポイント テレワークやオンライン学習用の端末としてChromebookを検討している方も多いのではないでしょうか。Chromebookをより安全に利用するための対策を確認しておきましょう。 2021-03-25T00:00:00+09:00
「セキュリティソフトがいらない」は誤り?

Chromebookをより安全に利用するための7つのポイント

2021/03/25
「セキュリティソフトがいらない」は誤り? Chromebookをより安全に利用するための7つのポイント

パソコン購入時の選択肢の1つとなっているChromebook。Chromebookは一般に安全と評されていますが、どんなパソコンもセキュリティ対策が欠かせません。Chromebookを安全に利用するための7つのポイントを紹介します。

Chromebookとは?

テレワークやオンライン学習の普及、GIGAスクール構想の加速に伴い、Chromebookが次第に存在感を増しています。Chromebookは、Googleが開発したChrome OSを搭載するパソコンです。Chrome OSはGoogle ChromeでWebアプリを使用し、ほとんどのデータをクラウドに保存することを前提に設計されており、低価格、バッテリーの持ちなどがChromebookの大きな魅力となっています。

セキュリティの高さにも定評があります。世間ではChromebookにウイルス対策ソフトは不要というイメージもあるほどです。たとえば、Chromebook では個々のWebページとアプリがOS内の隔離領域で動作します。このため、ユーザが不意にウイルスの仕込まれた不正サイトにアクセスしてしまっても他のタブやアプリなどに影響が及びにくいとされています。またChrome OSは最新版へのアップデートが自動で行われため、ユーザによる適用忘れによって脆弱性(セキュリティ上の欠陥)が放置されることもありません。それゆえ、ChromebookはOSの脆弱性を悪用する攻撃に強く、マルウェア(ウイルスなど不正なプログラムの総称)に感染しにくいとされています。

Chromebookはこれら以外にも強固なセキュリティ機能を備えています。しかし、すべての脅威に対処できるわけではありません。Chromebookユーザがセキュリティの観点で注意すべきことを紹介します。

ネット詐欺や不正な拡張機能に注意

ネット詐欺は、Chromebookユーザが警戒すべきセキュリティ脅威の1つです。これはネット利用者を不正サイトなどへ誘導し、情報や金銭をだまし取る手口の総称で、Chrome OSやWindows、macOSといったOSを問わない脅威です。

その代表例として挙げられるフィッシング詐欺は、実在するサービスの正規ログインページを装うフィッシングサイトにネット利用者を誘導し、そこで入力させた情報をだまし取る手口です。詐取の対象は各種インターネットサービスの認証情報(IDとパスワードなど)や個人情報、クレジットカード情報など多岐にわたります。フィッシングサイトの多くは本物のページをコピーして作られるため、見た目で真偽を判断することは困難です。トレンドマイクロの調査によると、2020年12月にフィッシングサイトへ誘導された国内利用者数は約59万人に上り、前年同期比で2倍となっています。フィッシングによる被害も2019年に引続き高止まり傾向にあるため、継続的な注意と対策が必要です。

図:フィッシングサイトに誘導された国内利用者数推移(2021年1月トレンドマイクロ調べ)

またChromebookユーザの多くは、Google Chromeに拡張機能を追加しているのではないでしょうか。拡張機能にはさまざまな種類があり、広告を表示させないようにするものや、複数に分割されているWebページを1ページに結合できるものなどもあります。しかし、拡張機能を配布するChromeウェブストアにはGoogleの審査をすり抜けて不正なものが紛れ込む場合があります。もし、不正な拡張機能を入れてしまった場合、望まない広告をしつこく表示されたり、フィッシングサイトへ誘い込まれたりするかもしれません。Chromeウェブストアから拡張機能を入手する際には事前に開発元の評判やレビューの内容を確認し、インストールすべきかどうかを慎重に判断してください。運営元不明のWebサイトから拡張機能を入手するのはもってのほかです。

アプリについても、Chromebookは不正アプリが入り込んでも影響を受けにくいとされていますが、リスクは回避する方が賢明です。アプリの入手に際しては必ずChromeウェブストアやGoogle Playなどの公式アプリストアか、公式Webサイトを利用しましょう。ただし、公式アプリストア内に不正アプリが紛れ込んでいる場合もあるため油断は禁物です。インストールする前に、必ず開発元やアプリが求める権限、評価などを確認し、不審な点がある場合は利用を見送りましょう。また、インストール時は無害だったアプリがアップデートに乗じて特定のWebサイトやネット広告へ誘導する不正アプリに入れ替わった例もあります。アプリによって不正サイトへ誘導される危険性もあるということを認識しておきましょう。

Chromebookユーザが実践すべき対策とは

Chromebookを安全に利用するための7つのポイントを押さえておきましょう。

1.詐欺の手口や狙いを知る

ネット詐欺の手口や狙いを知ることは、自衛策の基本です。メールやSNS内のURLリンク、ネット広告などからたどり着いたWebサイトで情報入力を促された場合、フィッシング詐欺の疑いがあります。日頃からセキュリティ事業者や関連団体などが公表する注意喚起情報に目を通しておきましょう。

2.セキュリティソフトを最新の状態で利用する

Chromebookにはネット詐欺を回避するためのセキュリティソフトが必要です。Google PlayストアやChromeウェブストアからChromebookでの動作保証を明示しているセキュリティソフトを入手し、最新の状態で利用しましょう。たとえば、「ウイルスバスター Webセキュリティ for Chromebook」を利用すれば、不正サイトへアクセスしたり、詐欺メールにだまされたりするリスクを軽減できます。

3.ホームルータを適切に保護する

Chromebookはオンライン環境での利用を前提としているため、ホームルータの保護も欠かせません。ホームルータのセキュリティを破られると、そこに接続するすべての機器に通信傍受や不正操作などの危険が及ぶためです。ホームルータを保護するポイントをチェックし、対策を行いましょう。

4.公衆Wi-Fiを不用意に利用しない

Chromebookを公衆Wi-Fiに接続する場合も注意してください。セキュリティに不備のあるWi-Fiスポットにつないでしまうと、端末の通信内容を盗み見られたり、詐欺サイトへ誘い込まれたりする可能性があります。「携帯電話会社などの信用できる事業者や団体から提供されている公衆Wi-Fiを優先的に利用する」「VPNを利用する」などの対策を行いましょう。

5.ユーザーアカウントを個別に保有する

1台のChromebookを家族と共用する場合は、人数分の「ユーザーアカウント」を作成し、個々にサインインして使うようにしましょう。ユーザごとに個別の環境を用意すれば、本来のアカウント利用者以外に個人的なメールやファイルを見られたり、データを誤って消されてしまったりすることを防げます。

6.ペアレンタルコントロールを適用する

お子さん用のChromebook、およびユーザーアカウントには必ずペアレンタルコントロールを適用してください。Googleが無料で提供するペアレンタルコントロールアプリ「ファミリーリンク」を利用すれば、年齢に適さないアプリのインストールや有害サイトへのアクセスを防いだり、利用時間を制限したりすることができます。ただし、無理強いはかえって反発を生みかねません。お子さんと一緒にネットの利用ルールを決めると良いでしょう。

学校や地域によっては学習専用端末がお子さんに支給されることもあります。その場合、セキュリティツールによる保護や制限が有効になっていると考えがちですが、不十分な可能性もあります。保護者は上記を参考にセキュリティを強化してください。お子さんのネットの利用状況には常に気を配り、学校が定めたルールを子どもが守れるよう、保護者も協力しましょう。

7.自動更新ポリシーを確認する

Chromebookの「自動更新ポリシー」にも気を配りましょう。これは、GoogleがChrome OSを搭載している端末に対してソフトなどの自動アップデートを保証する期間です。自動更新ポリシーの期限が切れてしまうと、その後Chrome OSに脆弱性が見つかっても、それらを修正する更新プログラムが提供されません。つまり、それらの脆弱性を悪用する攻撃に対して無防備になり、セキュリティレベルが著しく低下してしまうのです。自動更新ポリシーは、メーカーや機種によって異なります。Googleの公式サイトでご利用のChromebookの自動更新ポリシーを確認しておきましょう。もちろん、サポート切れのChromebookを使い続けることはできますが、マルウェア感染などのリスクは日増しに高まります。有効期限が切れる前に年式の新しい機種に買い替えるなど、対策を検討してください。

]]>
http://rss.is702.jp/main/rss/3831_l.jpg
2020年のサイバー攻撃、“曖昧になったネットワーク境界線”に便乗する手口が増加 トレンドマイクロは3月18日、公式ブログで「コロナ禍の法人を脅かす境界線内外の攻撃:2020年1年間の脅威動向を分析」と題する記事を公開しました。同社では、最新のセキュリティ動向を分析した報告書「2020年 年間セキュリティラウンドアップ」を同日に公開しており、それをもとにした内容です。 2021-03-22T00:00:00+09:00
2020年は、新型コロナウイルス(COVID-19)が世界的に流行したことで、例年とは異なる特殊な1年となりました。日本では多くの法人組織において、テレワークが急激に拡大し、企業ネットワークとホームネットワークの境界が曖昧になりました。サイバー犯罪も“曖昧になったネットワーク境界線”に便乗するよう変化しています。

たとえば、不特定多数に対するばらまき型のランサムウェア攻撃が停滞する一方、法人組織を狙い組織ネットワークへの侵入を前提とした新たなランサムウェア攻撃が、全世界に大きな影響を与えました。海外では特に、医療関係、政府関係、製造業など、パンデミックとの戦いの最前線にある基幹産業の多くが標的となりました。業界別で見ると2020年は、政府機関や公共機関から、ランサムウェアが最も多く検出されています。12月には、あるIT企業が提供するシステム管理ソフトウェアを通じて複数の大手企業が攻撃された「ソフトウェアサプライチェーン攻撃」の事例も確認されました。
一方、遠隔地から組織のネットワークに接続する「VPN(仮想プライベートネットワーク)」「RDP(リモートデスクトッププロトコル)」といったシステムが、これまで以上に犯罪者に狙われるようにもなりました。企業側は、こうした潮流の変化を踏まえて、新時代のサイバーセキュリティに取り組む必要があるでしょう。

その他の最新動向や具体的な事例、詳細データをまとめた報告書は、トレンドマイクロの公式サイトからダウンロードが可能です。


図:2020年年間セキュリティラウンドアップ表紙

図:2020年年間セキュリティラウンドアップ表紙

]]>
https://is702.jp/main/images/news/S210322_3.png
法人向けガイドブック「働く大人なら最低限知っておきたいネットセキュリティの基本」2021年度版公開 法人向けガイドブック「働く大人なら最低限知っておきたいネットセキュリティの基本 2021」を公開開始しました。本ガイドブックは、2020年4月に公開した資料の更新版となり、組織における従業員教育や、自己学習に活用できる内容となっています。 2021-03-22T00:00:00+09:00
組織を狙うサイバー犯罪は衰えを見せず、従業員への不正メールやサイバー攻撃が発端となっているものも少なくありません。経営幹部あるいは取引先等になりすまして金銭や情報を騙し取る「ビジネスメール詐欺」、パソコンなどに感染する「マルウェア」、クラウドサービスの認証情報を狙う「フィッシング詐欺」など、組織を狙うサイバー攻撃が横行しています。また、コロナ禍でテレワークが急増し、職場の外で業務を行う従業員は、より一層セキュリティ対策への意識が求められています。

本ガイドブックは、従業員一人ひとりが最低限知っておくべき組織を狙ったサイバー攻撃や脅威、その対策について、イラストを交えて分かりやすく解説しています。

具体的には、職場に潜むサイバー脅威、テレワーク時のリスクと回避術を説明したうえで、最低限押さえておくべき「セキュリティ基本対策5か条」を紹介しています。また、自身の対策状況を確認できる「セキュリティ対策チェックリスト」が巻末に用意されており、現状を客観的に把握することも可能です。2021年度版では、最近の事例を基に一部改訂や加筆を行っています。

ガイドブックはPDFファイルの形で提供されており、「is702」の学習資料ダウンロードページから無償でダウンロード可能です。


]]>
https://is702.jp/main/images/news/S210322_1.jpg
「見知らぬ大人との交流の制限」など18歳未満の利用者を保護する機能を追加|Instagram Instagramは3月16日(米国時間)、若年層の利用者を守るため、3つの新機能を発表しました。 2021-03-18T00:00:00+09:00
新たに発表・導入されたのは、以下の3つの機能です。Instagramの利用可能年齢は13歳以上ですが、登録されている年齢に加え、AIや機械学習で正しい年齢を識別する取り組みを強化し、これらの機能を適用する方針です。

(1)18歳未満の利用者と、彼らがフォローしていない大人とで、ダイレクトなやりとりを制限する。
(2)不審な行動を取るアカウントとのやりとりを警告し、対応策を通知する。
(3)18歳未満の利用者に、「アカウント非公開」を推奨する通知を表示する。

SNSに限らず、ネット上では悪意を持った第三者が年齢や身分を装って近づいてくる場合があります。トラブルに巻き込まれないよう、年齢に適したネット利用を心掛けてください。そして、保護者は子どもが安全にネットを利用できるように導いてあげてください。同社では、保護者のためのヒントとして保護者のためのInstagramガイドを公開しています。設定やトラブル時の対応など参考にすると良いでしょう。
なお、今後数週間のうちに、「不審な行動をとる大人が18歳未満の利用者を発見・フォローしづらくする機能」も導入する予定とのことです。

ネット上には様々な脅威が潜んでおり、それらの脅威を知っておくことが回避に役立ちます。トレンドマイクロの公式インスタグラムアカウントでは、安全で楽しいネット利用に役立つセキュリティ情報をわかりやすくお届けしています。ぜひフォローしてみてください。
トレンドマイクロの公式インスタグラムアカウント https://www.instagram.com/trendmicro_jp/


トレンドマイクロの公式インスタグラムアカウント

トレンドマイクロの公式インスタグラムアカウント

]]>
https://is702.jp/main/images/news/img_news41.jpg
新社会人に必要なセキュリティの心得 軽井は会社のセキュリティ講習を受けたようです 2021-03-18T00:00:00+09:00
ひろしとアカリのセキュリティ事情

新社会人に必要なセキュリティの心得

2021/03/18

セキュリティは従業員一人ひとりの心がけが大切

社会人には常にセキュリティを意識した慎重な行動が求められます。もし、自分の不注意で情報漏えいなどが生じてしまった場合、きっかけを作った本人だけでなく、勤務先も責任を問われてしまいます。

私たちがついやってしまいがちなのは作業中のパソコン画面をロックせずにその場を離れてしまうことです。もし、何者かにパソコンを操作されたり、スマホで画面を撮影されたりして業務情報を持ち出されてしまった場合、どうなるでしょうか。たとえば、開発中の製品やサービスの情報が競合他社に漏れてしまった場合、勤務先が多大な損失を被る可能性もあります。さらに、取引先や顧客にまで被害が及ぶ可能性も否めません。

社内外を問わずパソコン作業中に何らかの理由でその場を離れる際は、必ずスクリーンロックをかけましょう。これはパソコン画面を専用のロック画面に切り替えることで第三者に作業内容を盗み見られたり、勝手に操作されたりすることを防ぐ仕組みです。使用を再開する場合、事前に設定したパスワード、あるいはPIN(4桁以上の暗証番号)を入力してロックを解除する必要があるため、第三者にパソコンを不正使用されにくくなります。

また、パソコンのログインパスワードや、業務用サービスとアカウント情報(IDとパスワードなど)の組み合わせを忘れないよう、それらを付箋に書いてディスプレイに貼り付けている方もいるかもしれません。しかし、他人の目につく場所にパスワードを置いておくのは大変危険です。それを見れば第三者がパソコンにログインし、サービスの認証を突破できてしまいます。社会人は勤務先に決められた方法でアカウント情報を適切に管理してください。スマホやタブレットを貸与されている場合も同様です。第三者に作業内容を盗み見されたり、端末を操作されたりしないよう注意を払いましょう。

企業のセキュリティ確保への取り組みは、従業員一人ひとりの協力なくして成立しません。すべての従業員には当事者意識を持って最低限のセキュリティ知識を身につけるとともに、勤務先のガイドラインやポリシーに従って行動することが求められます。

ひろしとアカリのセキュリティ事情 ひろしとアカリの日常をもっと見る
ひろしとアカリのセキュリティ事情 ひろしとアカリの日常をもっと見る
]]>
http://rss.is702.jp/main/rss/3828_l.jpg
Microsoft Exchange Serverの脆弱性を悪用した攻撃に対し、暫定的な緩和ツールを公開|マイクロソフト マイクロソフトは3月15日(米国時間)、ビジネス向けメール・予定管理サービス「Microsoft Exchange Server」製品の脆弱性を悪用した攻撃に対し、「オンプレミスExchange緩和ツール(ワンクリックの緩和ツール)」を公開しました。 2021-03-17T00:00:00+09:00
Microsoft Exchange Serverについては、既知の脆弱性を悪用した攻撃が発生しており、マイクロソフトはすでに修正プログラムを公開しています。一方で、更新プログラムの適用プロセスに不慣れなユーザや、社内事情などから、まだセキュリティ更新プログラムを適用できていないユーザが存在します。そのため、マイクロソフトは暫定的な緩和策として設計された対策ツール(スクリプト)を公開しました。
このツールを実行することで、以下3つの操作が実行されるとのことです。
・URL Rewrite を構成変更することで、CVE-2021-26855 を利用した既知の攻撃を緩和します。
・Microsoft Safety Scanner を使って、Exchange Server をスキャンします。
・見つかった脅威によって加えられた変更を元に戻そうとします。

しかし、このツールは、あくまで暫定的な緩和策です。システム担当者はオンプレミスのExchange Serverに対して、早急にセキュリティ更新プログラムを適用しましょう。]]>
https://is702.jp/main/images/news/S210304.jpg
シェアオフィスなどの「共同利用型オフィス」が抱えるセキュリティ課題と対策を解説|SIOTP協議会 一般社団法人セキュアIoTプラットフォーム協議会(SIOTP協議会)と一般社団法人日本テレワーク協会は3月10日、「共同利用型オフィス等で備えたいセキュリティ対策について」第2版を公開しました。 2021-03-16T00:00:00+09:00
シェアオフィスなどの「共同利用型オフィス」では、一般的なオフィスとは異なるセキュリティ対策が、提供側、利用者側の双方に求められます。こうした背景から、SIOTP協議会では2019年7月に、サイバーセキュリティに係る課題と対策について取りまとめた第1版を公開していました。今回公開された第2版は、コロナ禍などにより急拡大したテレワークの最新状況を踏まえ、内容を更新するとともに、よりわかりやすい記述へと変更されています。

主な内容としては、セキュリティ課題と対策として「管理体制(セキュリティポリシー・トレーニング等)」「入退室管理・利用者情報」「ネットワーク機器(無線LANアクセスポイント・ルーター等)」「ネットワーク接続機器(複合機・防犯カメラ等)」「レンタルPC」「物理設備(ロッカー等)」の6項目を採り上げているほか、無線LANのセキュリティ方式や電子証明書などについてもコラムで解説しています。また、チェックシートに確認項目がまとめられており、共同利用型オフィスの運営者が現状を把握しやすいようになっています。

「共同利用型オフィス等で備えたいセキュリティ対策について」第2版は、PDFファイル(全25ページ)がSIOTP協議会のサイトから無償でダウンロード・閲覧可能です。シェアオフィスやコワーキングスペース、レンタルオフィスなどの提供者は、対策や管理の参考にすると共に、利用者側もシェアオフィスなどの選定時に役立てると良いでしょう。
]]>
https://is702.jp/main/images/news/img_news20.jpg
訓練用の攻撃メール、「役職者」が「肩書なし」と比較して開封率高い結果に|東京商工会議所 東京商工会議所は3月10日、会員企業を対象に実施した「標的型攻撃」メール訓練の結果を発表しました。会員企業(従業員100名以下)の経営者・従業員を対象としたもので、今回の訓練には89社・651名からの申し込みがあり、2020年12月10日~18日の期間に行われました。 2021-03-12T00:00:00+09:00
この訓練では、東京商工会議所から訓練対象者のメールアドレスに、訓練用の標的型攻撃メールを送信し、訓練対象者がメール本文内のURLをクリックしてしまったら、「開封」としてカウントします。その結果、全体の開封率は、24.0%(実施人数:651名、開封:156名)でした。前年に行われた同種の訓練(70社・560名)では25.4%の開封率だったため、そこからは微減していますが、まだまだ高水準であることがわかります。

従業員数で比較すると、もっとも開封率が高かったのは「21~50名」28.2%、もっとも開封率が低かったのは「0~5名」5.6%の企業でした。役職で比較すると、「肩書あり(経営者・経営幹部以外)」31.7%、「経営者、経営幹部」22.6%、「肩書なし」20.6%で、役職者の方が開封率が高い結果となりました。

特定の企業・組織を狙う「標的型攻撃」は、経営に大きなダメージを与えかねない危険な攻撃です。各企業は、適切なセキュリティ対策を導入するとともに、経営層も含めて訓練や従業員教育を定期的に行い、一人ひとりのセキュリティに対する意識を高めましょう。


訓練メールの本文(東京商工会議所の発表資料より)

訓練メールの本文(東京商工会議所の発表資料より)

]]>
https://is702.jp/main/images/news/img_news19.jpg
ブラウザの「通知」機能を悪用した偽のウイルス感染通知に注意|IPA 独立行政法人情報処理推進機構(IPA)は3月9日、ブラウザの「通知」機能を悪用し、不審なサイトに誘導する手口について、注意を呼びかけました。 2021-03-11T00:00:00+09:00
最近のブラウザには、サイトを訪問したときに「通知の表示」を許可すると、さまざまな情報を配信してくれるプッシュ型の「通知」機能が搭載されています(iOS端末を除く)。一方、安易に許可してしまうと、思わぬ通知が頻繁に届くというトラブルに遭う可能性があります。

IPAの「安心相談窓口だより」によると、パソコンやスマートフォンでブラウザを起動中に、「コンピュータが危険にさらされている」「携帯をクリーンアップしてください」といったメッセージが繰り返し表示される事例が発生しており、その表示画面から「不審なセキュリティソフトの購入や、不審なスマートフォンアプリのインストールに誘導された」といった相談が寄せられているとのことです。

こうしたメッセージはブラウザの「通知」機能を悪用して配信された偽の警告です。不正サイトに誘導し、実際には役に立たないサービスを購入させたり、決済情報を詐取したりするのが狙いです。またセキュリティの不安を煽るメッセージではなく、「最新スマホが当選しました!」といった内容で興味を惹き、偽サイトに誘導するケースもあります。

普段とは異なる警告の場合、その通知が偽物である可能性が考えられます。ブラウザで通知の許可を与えたかもしれない、という場合は、ブラウザの設定から確認することもできます。各ブラウザのヘルプページやIPAの公開情報などを参考に、通知の許可の状態を見直してください。またサイトに誘導されても、慌てて情報を入力せずそのまま閉じてください。その上で、自身が利用しているセキュリティソフトやアプリでスキャンを行うと良いでしょう。

偽の警告や当選通知は、このようなブラウザの機能を悪用するパターンだけでなく、ネット広告を悪用した手口もあります。急に表示される警告や当選通知を安易に信用せず、真偽を確認する習慣を身につけましょう。


図:手口の概要と基本的な対策(IPAの公表資料より)

図:手口の概要と基本的な対策(IPAの公表資料より)

]]>
https://is702.jp/main/images/news/img_news42.jpg
新社会人として必要なセキュリティの心構えとは 社会人は日頃からセキュリティを意識した慎重な行動が求められています。企業や組織では従業員の不注意が情報漏えいなどの取り返しのつかない事故を招くこともあるためです。新社会人に必要なセキュリティの心構えを学びましょう。 2021-03-11T00:00:00+09:00
知らなかったでは済まされない?

新社会人として必要なセキュリティの心構えとは

2021/03/11
知らなかったでは済まされない? 新社会人として必要なセキュリティの心構えとは

4月に新社会人になるみなさんは、セキュリティについて意識したことがありますか。企業や組織の一員になるとパソコンやスマホを利用する時の不注意が個人だけの責任では済まなくなることがあります。あなたの行動がきっかけで情報漏えいなどを招けば、自身の立場を悪くするだけでなく、勤務先も社会的な信用を失ってしまいます。自身のセキュリティ成熟度をチェックし、社会人として必要なセキュリティ知識を身につけていきましょう。

セキュリティの専任部署や担当者がいる場合、一般従業員はセキュリティを意識する必要がない。

  • YES
  • NO

セキュリティの専任部署や担当者がいる場合、一般従業員はセキュリティを意識する必要がない。

B. NO

従業員一人ひとりがセキュリティ意識を持たなくてはなりません。たとえ、専任部署がセキュリティポリシーを策定し、さまざまな技術的対策を講じても、従業員のセキュリティ意識や協力がなければ効果は限定的なものになってしまいます。すべての従業員には適切なセキュリティ知識を身につけ、勤務先の規定に従って行動することが求められるのです。

パソコン作業中、些細な用でその場を離れる場合でもスクリーンロックをかけておくべきだ。

  • YES
  • NO

パソコン作業中、些細な用でその場を離れる場合でもスクリーンロックをかけておくべきだ。

A. YES

オフィスや出先でパソコン作業中に離席する際は必ずスクリーンロックをかけてください。これはパソコン画面を専用のロック画面に切り替えることで第三者に作業内容を盗み見られたり、勝手に操作されたりすることを防ぐ仕組みです。ただし、簡単に推測できるパスワードや暗証番号ではロックをかける意味が薄れてしまいますので注意しましょう。一定時間操作しないでいるとパソコン画面が自動でロックされる設定を有効にし、スリープ状態になるまでの時間もできるだけ短くしておくとより安全です。

脆弱性(セキュリティ上の欠陥)が報告されていたソフトの更新プログラムが公開された。業務に使用するソフトの場合は公式サイトから最新版をすぐにインストールする。

  • YES
  • NO

脆弱性(セキュリティ上の欠陥)が報告されていたソフトの更新プログラムが公開された。業務に使用するソフトの場合は公式サイトから最新版をすぐにインストールする。

B. NO

一般にOSやソフトの提供元から更新プログラムが提供された場合すぐに適用し、脆弱性を修正することが推奨されます。パソコン内のOSやソフトの脆弱性を悪用してマルウェア(ウイルスなど不正なプログラムの総称)に感染させる手口もあるためです。ただし、企業によっては更新プログラム適用による社内システムへの影響を事前に検証し、その緊急性と安全性を評価してからアップデートのタイミングを従業員に指示する場合もあります。アップデートのタイミングや方法は勤務先の規定に従いましょう。

休憩中に会社から支給された業務用パソコンで私的なWebサイトを閲覧した。休憩時間中であればなんら問題がない。

  • YES
  • NO

休憩中に会社から支給された業務用パソコンで私的なWebサイトを閲覧した。休憩時間中であればなんら問題がない。

B. NO

OSやソフトに脆弱性が存在するパソコンでは、攻撃者によって改ざんされたWebサイト(脆弱性攻撃サイト)を閲覧したり、Webサイト上に不正広告が表示されたりしただけでマルウェアに感染することもあります。それが原因で業務が停止したり、業務情報が外部に流出したりすれば勤務先に甚大な被害が及びます。このため、多くの企業では業務用に貸与したデバイスの私的利用を認めていません。また、企業や組織側はセキュリティの一環として従業員のWebアクセス履歴などを監視、ログ(履歴情報)の保存をしている場合もあることを知っておきましょう。

勤務先の管理部門から「パスワードの変更期限です。ここからログインしてください」と呼びかけるメールが届いた。できるだけ早くメール内のURLリンクを開き、パスワードを再設定しなければならない。

  • YES
  • NO

勤務先の管理部門から「パスワードの変更期限です。ここからログインしてください」と呼びかけるメールが届いた。できるだけ早くメール内のURLリンクを開き、パスワードを再設定しなければならない。

B. NO

勤務先の管理部門から業務サービスへのログインや、アカウント情報の提供を求めるメールが届いた場合は警戒してください。それは、業務サービスのアカウント情報をだまし取るためにサイバー犯罪者が送りつけてきたフィッシングメールかもしれません。メールのリンク先でアカウント情報を入力してしまった場合、業務サービスのアカウントに不正アクセスされる可能性があります。業務サービスへのログインは必ずブックマークに登録した公式サイトか、社内イントラに記載されたリンクから行いましょう。

業務メールを私用のクラウドメールアドレス宛に自動転送している。勤務先の許可は得ていないが、外出先でも仕事を進めるためには仕方がない。

  • YES
  • NO

業務メールを私用のクラウドメールアドレス宛に自動転送している。勤務先の許可は得ていないが、外出先でも仕事を進めるためには仕方がない。

B. NO

勤務先の許可を得ることなく私用のクラウドメールを利用するのは厳禁です。有償、無償サービスにかかわらず、サービス事業者のミスやサイバー攻撃、認証情報(IDとパスワード)の漏えいなどが原因で、そこに保存された業務データや個人情報が流出してしまう可能性もあるためです。また、データが消失、流出しても損害が補償されない場合もあります。組織の情報は重要な資産ということを忘れないようにしましょう。

勤務先からテレワーク(リモートワーク)を許可されているため、カフェのフリーWi-Fiにつないで業務にあたっている。

  • YES
  • NO

勤務先からテレワーク(リモートワーク)を許可されているため、カフェのフリーWi-Fiにつないで業務にあたっている。

B. NO

テレワークにおけるフリーWi-Fi(公衆Wi-Fi)の利用は、勤務先の許可を得ていることが前提です。フリーWi-Fiを不用意に利用すると通信内容を盗み見られたり、不正サイトに誘導されたりする可能性があるためです。実際、フリーWi-Fiスポットの中には利用者の利便性を優先するためにあえて通信を暗号化せず、パスワード認証なしにつなげるようにしているものもあります。また正規のフリーWi-Fiスポットの周辺に同名、あるいは似た名称のSSID(ネットワーク名)を持つ偽Wi-Fiスポットを設置し、そこに誤って接続してしまう利用者を待ちかまえる手口もあります。フリーWi-Fiにつなぐ場合はVPNソフトを利用して通信を保護するなど、勤務先に指定された方法と手順をとってください。公共の場ではパソコン画面にプライバシーフィルターを装着した上で周囲の視線にも気を配り、物理的なのぞき見による情報漏えいも防ぎましょう。

仕事の交流を深めることが目的でも、不特定多数に公開するSNSで勤務先情報をむやみに書き込んではならない。

  • YES
  • NO

仕事の交流を深めることが目的でも、不特定多数に公開するSNSで勤務先情報をむやみに書き込んではならない。

A. YES

SNSでは業務メールアドレスや勤務先で得た情報などの公開を控えてください。SNSは、特定の企業を狙うサイバー犯罪者にとって格好の情報収集活動の場です。彼らはSNSの公開情報などをもとに標的とする企業で進行している取引や人間関係などを把握します。その上で信ぴょう性を高める詐欺メールを作成、送信し、標的企業の従業員をだましにかかるのです。また、SNSで本来秘密にするべき職務の内容や顧客情報を明かしてしまえば、従業員を監督する立場にある勤務先も信用を失ってしまいます。勤務先が定めるSNSの利用規定を確認しておきましょう。勤務先の許可を得ている場合も社名を公表する以上は節度を持った投稿や発言を心がけてください。

業務効率や利便性を高めるため、私用のSNSを同僚との業務連絡ツールとして使っている。

  • YES
  • NO

業務効率や利便性を高めるため、私用のSNSを同僚との業務連絡ツールとして使っている。

B. NO

使い慣れたプライベートのSNSで社内コミュニケーションを円滑に行いたいという気持ちはわからなくもありません。しかし、私用のSNSの業務利用がきっかけで情報漏えいを引き起こした場合、勤務先から責任を厳しく追及されます。業務連絡には必ず勤務先で許可されているメールやチャットツールを利用しましょう。

組織から貸与されているスマホに、業務効率が上がるアプリをインストールした。娯楽アプリではないので問題ない。

  • YES
  • NO

組織から貸与されているスマホに、業務効率が上がるアプリをインストールした。娯楽アプリではないので問題ない。

B. NO

たとえ業務目的でも、勤務先から許可されていないアプリを貸与されている機器に勝手に入れてはいけません。誤って不正アプリをインストールし、端末内の業務情報や顧客情報などを外部に流出させてしまった場合、勤務先の信用問題に発展してしまいます。勤務先が定めるスマホの利用ルールに従いましょう。どうしても業務に使用したいアプリがある場合は担当者の許可を得た上で公式アプリストアから入手してください。

セキュリティ成熟度診断結果

  • Q1.セキュリティの専任部署や担当者がいる場合、一般従業員はセキュリティを意識する必要がない。

  • Q2.パソコン作業中、些細な用でその場を離れる場合でもスクリーンロックをかけておくべきだ。

  • Q3.脆弱性(セキュリティ上の欠陥)が報告されていたソフトの更新プログラムが公開された。業務に使用するソフトの場合は公式サイトから最新版をすぐにインストールする。

  • Q4.休憩中に会社から支給された業務用パソコンで私的なWebサイトを閲覧した。休憩時間中であればなんら問題がない。

  • Q5.勤務先の管理部門から「パスワードの変更期限です。ここからログインしてください」と呼びかけるメールが届いた。できるだけ早くメール内のURLリンクを開き、パスワードを再設定しなければならない。

  • Q6.業務メールを私用のクラウドメールアドレス宛に自動転送している。勤務先の許可は得ていないが、外出先でも仕事を進めるためには仕方がない。

  • Q7.勤務先からテレワーク(リモートワーク)を許可されているため、カフェのフリーWi-Fiにつないで業務にあたっている。

  • Q8.仕事の交流を深めることが目的でも、不特定多数に公開するSNSで勤務先情報をむやみに書き込んではならない。

  • Q9.業務効率や利便性を高めるため、私用のSNSを同僚との業務連絡ツールとして使っている。

  • Q10.組織から貸与されているスマホに、業務効率が上がるアプリをインストールした。娯楽アプリではないので問題ない。

もう一度診断する

]]>
http://rss.is702.jp/main/rss/3820_l.jpg
システム担当者は即対応を、Microsoft Exchange Serverに重大な脆弱性、セキュリティ更新プログラム緊急公開|マイクロソフト マイクロソフトは3月3日(日本時間)、ビジネス向けメール・予定管理サービス「Microsoft Exchange Server」製品の脆弱性に対して、セキュリティ更新プログラムを定例外で公開しました。独立行政法人情報処理推進機構(IPA)も注意を呼びかけています。 2021-03-04T00:00:00+09:00
対象となるソフトウェアは、「Microsoft Exchange Server 2019」「Microsoft Exchange Server 2016」「Microsoft Exchange Server 2013」「Microsoft Exchange Server 2010 (多層防御の観点での修正)」で、脆弱性を悪用された場合、攻撃者によって管理者権限を奪われ、外部から不正に制御されるなどの可能性があります。

すでにこの脆弱性(CVE-2021-26855、CVE-2021-26857、CVE-2021-26858、CVE-2021-27065)を悪用した標的型攻撃が確認されており、今後被害が拡大するおそれがあります。各製品を利用しているシステムの管理者は、マイクロソフトから提供された修正プログラムを至急適用してください。すぐに適用するのが難しい場合は、Exchangeサーバに対して信頼できない接続を制限する、Exchangeサーバを外部アクセスから分離するためにVPNを設定するなど、提示されている回避策を導入するとともに、修正プログラム適用のための調整を迅速に進めてください。

なお、Exchange Onlineは本脆弱性の影響を受けないとのことです。]]>
https://is702.jp/main/images/news/S210304.jpg
Chromebookを安全に利用するためには ツトムはChromebookを手に入れたようです 2021-03-04T00:00:00+09:00
ひろしとアカリのセキュリティ事情

Chromebookを安全に利用するためには

2021/03/04

Chromebookにセキュリティソフトは不要?

テレワークやオンライン学習の普及に伴い、Chromebookが次第に存在感を増しています。Chromebookは、Google が開発したChrome OSを搭載するパソコンです。低価格、起動の早さ、バッテリーの持ちなどを評価して購入した方も多いのではないでしょうか。

Chromebookは一般にウイルス対策ソフトが不要と評されています。その理由の1つは、自動アップデートによりOSを常に最新の状態に保つことができる仕組みにあります。ゆえに、ChromebookはOSの脆弱性(セキュリティの欠陥)を悪用する攻撃に強く、マルウェア(ウイルスなど不正なプログラムの総称)に感染しにくいとされているのです。

しかし、そんなChromebookといえどもネット詐欺と無縁ではいられません。これはネット利用者を不正サイトへ誘導し、金銭や情報をだまし取る手口の総称で、代表的なものにフィッシング詐欺があります。つまり、人をだますネット詐欺にChrome OSやWindows、macOSといったOSの違いによる安全性の優劣はほとんどないのです。フィッシングサイトの多くは正規サイトを複製しているため、見た目で判別することが困難です。近年はフィッシングサイトに誘導されてしまうネット利用者が増加しているため、より一層の警戒が求められます。

図:フィッシングサイトに誘導された国内利用者数推移(2021年1月トレンドマイクロ調べ)

Chromebookにもネット詐欺を回避するためのセキュリティソフトが必要です。Google PlayストアやChromeウェブストアからChromebookでの動作保証を明示しているセキュリティソフトを入手しましょう。たとえば、「ウイルスバスター Webセキュリティ for Chromebook」を利用すれば、不正サイトへアクセスしたり、詐欺メールにだまされたりするリスクを軽減できます。

また、お子さん用のChromebookには必ずペアレンタルコントロールも適用してください。Googleが無料で提供するペアレンタルコントロールアプリ「ファミリーリンク」を利用すれば、年齢に適さないアプリのインストールや有害サイトへのアクセスを防いだり、利用時間を制限したりすることができます。

ひろしとアカリのセキュリティ事情 ひろしとアカリの日常をもっと見る
ひろしとアカリのセキュリティ事情 ひろしとアカリの日常をもっと見る
]]>
http://rss.is702.jp/main/rss/3823_l.jpg
個人では「スマホ決済の不正利用」、組織では「ランサムウェアによる被害」が1位に、テレワークに関する脅威も新たにランクイン|IPA「情報セキュリティ10大脅威 2021」 独立行政法人情報処理推進機構(IPA)は2月26日、「情報セキュリティ10大脅威 2021」の解説書を公開しました。1月27日に発表したランキングについて、さらに詳細に解説する内容です。 2021-03-02T00:00:00+09:00
「情報セキュリティ10大脅威 2021」は、2020年に発生した情報セキュリティの事故・事件に対して、約160名の情報セキュリティ分野の研究者、企業の実務担当者などが審議・投票を行い、重大事件をランキング形式で選出したものです。「個人」と「組織」という異なる視点からトップ10を選出しています。今回ランクインした脅威について、それぞれ攻撃手口や事例、対策などをまとめた解説書が新たに公開されました。


図:情報セキュリティ10大脅威 2021(IPAの発表資料より)


個人に対する脅威では、前年初登場で1位となった「スマホ決済の不正利用」が、2020年も不正利用の報告が相次いだ結果、今回も1位となりました。スマホ決済については、アカウントの保護に加えセキュリティ対策を必ず行うと共に、利用履歴の確認をユーザが積極的に行うのが望ましいでしょう。また、このようなサービスを利用していなくても被害に巻き込まれる場合があります。銀行口座やクレジットカードの定期的な履歴確認も怠らないようにしてください。

一方、組織ランキングの1位は、前年5位の「ランサムウェアによる被害」が大きく上昇し1位となりました。複数の企業や組織がランサムウェアによる攻撃を受けて被害が発生したほか、2位にランクインしている「標的型攻撃による機密情報の窃取」でも、情報流出やマルウェア感染事案が複数発生しました。企業は、技術的な対策のみならず、不審なメールの扱いについて従業員教育を徹底することが対策として重要です。

その他、組織の3位には「テレワーク等のニューノーマルな働き方を狙った攻撃」が新たにランクインしました。テレワークでは従業員個々人にセキュリティの対策度合いが左右される面があります。引き続き企業や組織は、ニューノーマル時代に即したセキュリティ対策の推進に迫られるでしょう。

「情報セキュリティ10大脅威 2021」の解説書(60ページ)は、IPAのサイトよりPDFファイルがダウンロード・閲覧可能です。今後の対策に役立てましょう。]]>
https://is702.jp/main/images/news/img_news41.jpg
LinkedInで標的を物色、Office 365のパスワード有効期限延長を通知する偽メールに注意 トレンドマイクロは2月22日、公式ブログで「Office 365偽サイトによるフィッシングキャンペーン、日本の経営幹部も標的」と題する記事を公開しました。2020年5月以降に拡大している、企業の経営幹部を標的としたフィッシングキャンペーンについて、その手口や背後に潜む攻撃者・開発者を考察した内容です。 2021-02-26T00:00:00+09:00
この攻撃で送られてくるフィッシングメールには、偽のOffice 365のロゴとともに「現在設定しているパスワードの有効期限が切れるため、パスワードの変更か延長が必要」といった内容が記されており、メール内のパスワードの有効期限延長ボタンからフィッシングサイトに誘導しようとします。フィッシングサイトでアカウント情報などを入力してしまうと、認証情報が奪われてしまいます。その結果、情報漏えいやさらなる攻撃にアカウントが悪用されることになります。

攻撃に使われたフィッシングサイトは、日本、米国、英国、カナダ、オーストラリア、欧州諸国など様々な国の製造業、不動産業、金融機関、政府機関、技術産業内の組織を標的にしており、トレンドマイクロが調査を行った時点で300以上のフィッシングサイトのURLが確認されました。さらにアンダーグラウンドの状況を調査したところ、「最高経営責任者(CEO)、最高財務責任者(CFO)、財務部門を担当する責任者などのアカウント認証情報を販売する」とうたう、複数の広告が確認されました。こうした広告は、侵害されたOffice 365アカウントの認証情報や各役員の会社での役職情報を提供するという投稿でした。

また、この攻撃では、フィッシングサイトを構築するためのツールである「フィッシングキット」が利用されていました。調査により確認されたフィッシングキットには、セキュリティ企業や大規模なクラウドプロバイダからアクセスがあった場合には、調査されないようアクセスをブロックできるようにしていました。他にも、サイト情報を自動的に収集するクロールなどに対しては、フィッシングサイトではなく代替コンテンツを提供する機能が追加されたバージョンも見つかっています。こうした機能は、セキュリティ製品による検出の回避が目的と考えられます。

今回の大規模攻撃では、企業の経営幹部が標的になっていました。経営幹部からは、価値の高い認証情報を得ることができ、さらに機密性の高い個人情報や組織情報へのアクセスもできるため、役職の高い人物や、重要なシステムのアクセス権を持つ人物は標的となりやすい傾向にあります。今回の攻撃でも、LinkedInで標的となる経営幹部の情報を収集しており、SNSで役職や連絡先などを公開している場合、その情報が悪用されて攻撃を受ける可能性があることを認識しておきましょう。各企業はパスワード管理を含めた組織のセキュリティポリシーが十分かどうか見直してください。加えて、経営層を含む全従業員にこのような脅威を教育によって周知させると共に、セキュリティ製品による技術的なフィッシング対策も講じましょう。


図:LinkedInから特定できる標的ユーザの会社での役職

図:LinkedInから特定できる標的ユーザの会社での役職

]]>
https://is702.jp/main/images/news/S210226.png
SNSにおけるネット詐欺の手口と対策 SNSはコミュニケーションや情報収集における便利な手段ですが、一方でネット詐欺などのサイバー犯罪に悪用されています。SNS利用者はその手口や事例を知り、情報や金銭をだまし取られたり、犯罪に巻き込まれたり加担してしまったりしないように十分な対策を講じましょう。 2021-02-25T00:00:00+09:00
投稿やメッセージから不正サイトへ誘導

SNSにおけるネット詐欺の手口と対策

2021/02/25
投稿やメッセージから不正サイトへ誘導 SNSにおけるネット詐欺の手口と対策

InstagramやFacebook、Twitter、LINEなどのSNSは、いまや私たちの生活の一部になっています。しかし、不用意に利用しているとネット詐欺などの被害に遭うかもしれません。SNS利用者が知っておくべきネット詐欺の手口と対策を紹介します。

SNS利用者を狙うネット詐欺がますます巧妙に

SNS利用者にとってネット詐欺は身近な脅威の1つです。たとえば、LINEでは複数のブランドに偽装した偽のキャンペーン情報が拡散しており、「お客様アンケートと懸賞 今すぐ無料のギフトを獲得」「1年分の無料の食事が当たりました!とても簡単です。ぜひお試しください。」などの文言で、偽のアンケートサイトに誘導する手口を確認しています。そこでいくつかの質問に回答すると、「お好きな賞品を無料で獲得」という案内が表示されますが、全くのでたらめです。謝礼品を受け取ろうとすると、偽アンケートサイトのリンクをLINEでつながっている友だちやグループで一定数共有するように促し、さらに電話番号の入力、または海外に電話を発信させようします。応じてしまった場合、電話番号を盗み取られたり、高額な通信料金を請求されたりする危険性があります。このような手口により、利用者は自身が被害に遭うだけでなく、不正メッセージの拡散に加担することになってしまうのです。同様の手口による誘導先はさまざまです。著名なブランドを偽装するメッセージも複数確認されています。偽のメッセージにだまされないようにするとともに、家族や知人に拡散してしまわないよう注意が必要です。

図:不正サイトに誘導する偽のキャンペーンメッセージ例

Facebookでは、「プロフィールの訪問履歴確認」という内容の投稿からFacebookの公式ページに似せたフィッシングサイトへ誘導する事案が確認されています。そこにIDとパスワードを入力してしまった場合、サイバー犯罪者にFacebookアカウントを乗っ取られ、情報を盗み見られたり、アカウントから不正なメッセージをばらまかれたりする可能性があります。

SNS上のネット詐欺では、サイバー犯罪者が他人のアカウントを乗っ取り、本来のアカウント所有者になりすまして不正な投稿を行うこともあります。しかも、アカウント上の複数の友人をタグ付けすることで投稿の共有範囲を広げます。フォロワーやアカウントとつながっている相手は本来のアカウント所有者による投稿と思い込んで油断し、何気なく不正なURLリンクを開いてしまいがちです。

SNS上の広告にも安易に飛びつかないでください。SNSでも正規の広告審査をすり抜ける形で不正広告が表示されることがあるためです。たとえば、家具やインテリアを扱う正規ショッピングサイトを装う不正広告がFacebook上で確認されています。これは利用者をフィッシングサイトへ誘導し、名前やメールアドレス、電話番号、正規サイトのログイン用パスワードなどをだまし取ることが目的でした。

また、SNS上に偽のセール情報を拡散し、そこから不正サイトへ誘導しようとする手口も確認されています。値引き価格に惑わられないようにしましょう。

法人のなりすましアカウントやSNSで知り合った相手からのコンタクトにも要注意

Instagramでは法人の公式アカウントに酷似したなりすましアカウントも出回っています。なりすましアカウントは、公式アカウントの投稿やプロフィールを流用するだけでなく、正規のユーザーネームと誤認してしまうようなユーザーネームを設定し、本物を装っています。このため、利用者は誤って偽アカウントをフォローしてしまったり、そのアカウントから届いたメッセージを信用してしまったりする危険性があります。

偽アカウントと気づけなかった場合、ダイレクトメッセージやプロフィール上のURLリンクから不正サイトに誘導されるかもしれません。実際、偽のダイレクトメッセージから「総額1億円の賞金を受け取る手順」などと書かれた偽の当選サイトを表示し、利用者にリンクを開かせることで特定サービスの登録ページに誘導する事案が確認されています。今回のケースにおいて偽アカウント取得者の狙いは、アフィリエイト(ネット利用者を特定のWebページに誘導することで報酬を得る仕組み)による金銭の獲得と見られます。ただ、このような手口では誘導先が変化しやすく、フィッシングサイトなどの不正サイトに差しかわっても不思議ではありません。その場合、利用者に実害が及ぶ可能性もあるのです。

また悪意のある第三者が本来の目的や身分を隠してアプローチしてくる場合もあります。実際、SNSではダイレクトメッセージで「簡単に収入を得られる」などと副業や投資話を持ちかけ、入会料や講習料などと称して金銭をだまし取る詐欺が発生しています。
SNSで知り合った相手とのコミュニケーションをきっかけとして被害に遭うのは大人だけではありません。SNSには年齢や性別を偽り、子どもたちに近づこうとする利用者もいます。そんな相手とやり取りする子どもたちが事件に巻き込まれたり、犯罪に加担させられたりするケースもあるのです。

SNS上のネット詐欺にだまされないポイントとは

これらはSNSにおけるサイバー脅威のほんの一部に過ぎません。しかも、サイバー犯罪者はSNS利用者から情報や金銭を巧みにだまし取ろうと、次々に新たな手口を生み出しています。執筆時においても、人気の紹介制SNS「Clubhouse」のアカウントをめぐるネット詐欺が話題になっています。こうした被害に遭わないためにはどんなことに気をつければよいでしょうか。

1.ネット詐欺の手口と事例を知る

詐欺に引っかからないためには、その手口や事例を知ることが大切です。普段からセキュリティ関連団体や事業者などが発表する注意喚起情報をチェックしておきましょう。公式SNSをフォローしておくと情報が入手しやすくなります。

2.SNSの投稿やダイレクトメッセージ内のURLリンク、広告を不用意に開かない

SNSの投稿やダイレクトメッセージ内のURLリンク、広告は不正サイトの誘導口として悪用されています。たとえ友人や知人、家族の投稿やメッセージでも何らかの理由をつけてURLリンクを開かせようとするものは疑ってかかりましょう。相手がだまされている場合や、なりすましの可能性もあります。

3.適切なプライバシー設定を行う

SNSで不特定多数に公開した情報は、だれが、どのような目的で見ているかわかりません。だれに見せるべき情報かを踏まえて適切なプライバシー設定を行い、プロフィールや投稿の公開範囲をコントロールしましょう。

4.うまい話に乗せられない

SNS上の「フォローしたらプレゼント」「簡単に稼げる」などのうまい話には落とし穴があるかもしれません。そのような情報の発信者は、SNS利用者をだまして情報や金銭を奪ったり、フォロワーを不正に増やしたり、特定の有害サイトに引き込んだりすることを目的としている場合もあります。真偽不明の情報を自ら拡散しないことも大切です。

5.各種サービスのアカウントを厳重に管理する

アカウントの乗っ取りを防ぐための基本的な対策は、利用中のインターネットサービスごとに異なるIDとパスワードの組み合わせを使用することです。パスワード認証のほかに、二要素認証などセキュリティを強化できる設定を利用できる場合は、必ず有効にしておきましょう。複数のアカウントをより効率的かつ安全に管理したい場合はパスワード管理ツールが役立ちます。

6.不要なSNSアカウントは退会し、アプリをアンインストールする

使わなくなったSNSアカウントは退会しましょう。そのまま放置していると、何かの拍子にアカウントを乗っ取られてもその事実に気づきにくく、情報を盗み見られたリ、不正メッセージを拡散されたりする可能性があるためです。サービスの案内に従って退会手続きをしたのち、アプリを使っていた場合はアプリをアンインストールしましょう。

7.セキュリティソフト/アプリ、サービスを利用する

セキュリティソフト/アプリを使えば、不正サイトに誘導されてしまうリスクを下げられます。また、ソフトによってはSNSのプライバシー設定をチェックし、プライバシー保護を強化する設定を案内してくれるものもあります。それらを正しく更新しながら利用してください。

リンク先が安全かどうか確認する方法としては、URL安全性判定サービスがあります。無償で利用できるサービスとして、トレンドマイクロでは、「Site Safety Center」と「ウイルスバスター チェック!」を提供しています。「Site Safety Center」はURLを入力して確認をクリックするだけで安全性を4段階で判定してくれます。LINE利用者向けのURL安全性判定サービス「ウイルスバスター チェック!」は、LINEの友だちに「ウイルスバスター チェック!」(@trendmicro_vbcheck)のアカウントを追加することで、トーク画面から利用できる無償のセキュリティサービスです。

]]>
http://rss.is702.jp/main/rss/3817_l.jpg
国内のEMOTET感染機器に対する注意喚起に便乗した詐欺や攻撃に注意 総務省、警察庁、一般社団法人ICT-ISACは2月19日、海外の捜査当局から提供された情報をもとにマルウェア「EMOTET」(エモテット)に感染している国内の機器利用者に注意喚起を行うことを発表するとともに、この活動に便乗した詐欺や攻撃への注意を呼び掛けています。 2021-02-24T00:00:00+09:00
EMOTETは、主にメールに添付された文書ファイルのマクロ機能を感染経路としたマルウェア(不正プログラム)で、世界的被害に加え2019年から国内でも被害が深刻化していたサイバー攻撃の一つです。EMOTETに感染すると、感染端末の遠隔操作や情報漏えい、他のマルウェアへの感染といった被害に遭う可能性があります。

EMOTETによる脅威は、1月27日にEUROPOLとEUROJUST(欧州司法機構)の調整の下、合わせて8カ国の法執行機関などが共同してEMOTETのテイクダウン(攻撃指令サーバの停止)が発表され、攻撃の収束を迎えることになりました。それにより警察庁に対しても情報提供が行われ、2月下旬からはこうした情報をもとに国内の感染機器の利用者を特定し、インターネットサービスプロバイダ(ISP)から注意喚起を行う予定となっています。注意対象の機器の利用者には、総務省の「NOTICEサポートセンター」が、サイトや電話を通じて対策を案内するとのことです。
この活動では、ISPやサポートセンターが費用を請求したり、設定しているパスワードを聞き出したりすることはありません。便乗する詐欺や攻撃などには注意してください。

しかし、既にEMOTETによって奪われてしまった情報を取り戻すことはできません。感染端末の利用者は、マルウェアの無効化に加え、JPCERT/CC(一般社団法人JPCERTコーディネーションセンター)の案内などを参考にパスワードの変更等を速やかに行うとともに、流出した情報が今後もサイバー犯罪者に悪用される可能性があることを認識しておきましょう。たとえば、メールに係わる情報が流出していた場合、継続的に不正メールを受信する可能性があります。メールのフィルタリングやセキュリティ対策製品による保護を欠かさないようにしてください。
また、EMOTETがテイクダウンされても、新たなマルウェアが台頭してくる可能性が大いにあるため油断しないようにしましょう。セキュリティ対策は基本が大切です。添付ファイルやURLリンクを安易に開かないようにしてください。脆弱性や最新の脅威によるリスクを下げるには、OSやソフト、セキュリティ対策製品を最新の状態に保って利用してください。大切な情報は定期的にバックアップを取っておきましょう。そして、どのような脅威があるか知っておくことも大切です。セキュリティに関する注意喚起などを定期的に確認するようにしてください。

関連記事
サイバー犯罪の根本解決:EUROPOLによるEMOTETテイクダウン

]]>
https://is702.jp/main/images/news/img_news39.jpg
出会い系サイトやマッチングアプリをきっかけとする詐欺に注意、金銭被害などの相談件数が増加 独立行政法人国民生活センターは2月18日、出会い系サイトやマッチングアプリをきっかけとする詐欺が増加しているとして、あらためて注意を呼びかけました。 2021-02-22T00:00:00+09:00
新型コロナウイルス感染症の拡大により、対面での食事会など出会いの場が減少し、いわゆる出会い系サイトやマッチングアプリの利用機会が増えているとされます。一方で、それらのサービス利用者がトラブルに巻き込まれるケースが増えているとのことです。
実際、トレンドマイクロ製品での不正サイト検知でも、ブロック数上位の中に不正な出会い系サイトがあり、その中の1件だけでも今年1月から本記事執筆時点までで、約33万人以上の国内利用者が誘導されていることを確認しています。

今回の国民生活センターによる集計でも、出会い系サイトやマッチングアプリなどに関する年度別相談件数は、2019年の25件から2020年は58件に倍増しています。そのうち投資などが絡んだ件数も、2019年の5件から2020年は40件と、大きな割合を占めるよう変化しています。


図:出会い系サイトやマッチングアプリ等に関する年度別相談件数(国民生活センターの発表資料より)

図:出会い系サイトやマッチングアプリ等に関する年度別相談件数(国民生活センターの発表資料より)


これらの相談事例では、出会い系サイトやマッチングアプリを介して知り合った相手から、詐欺的な賭け事や投資等の海外サイトに勧誘する手口が目立っているとの事です。具体的には、「マッチングアプリで知り合った女性だと言う人物から、暗号資産(仮想通貨)の売買で資産を増やせると誘われ、海外の取引サイトに登録し手数料を払ったが出金できない」「海外の暗号資産取引所でのFXを勧められ利益が出たが、少額しか出金できない」「暗号資産での賭博を勧められたが、出金できない」「デジタル宝くじを紹介され何度か振り込みと出金を繰り返したが、最後に出金できなくなった」といった相談が寄せられていました。

出会い系サイトやマッチングアプリに限らず、ネット上では身分や性別、年齢を偽装したり、真の目的を隠したりしたまま近づいてくる利用者もおり、やりとりした内容だけでなく、相手の存在そのものが架空ということも有り得ます。そのような相手に個人情報などを渡してしまうと、それらが悪用される危険性があります。
また、上記のような詐欺に巻き込まれるだけでなく、私的な情報を盾に脅迫を受ける例もあります。

■対策
うまい話や、儲け話は実社会同様ネットでもリスクがあることを忘れないでください。出会い系サイトやマッチングアプリを利用する際は、運営元の情報やサービス内容、注意喚起の有無などを確認し、信用できるサービスを選択してください。WebサイトのURLを、URL安全性判定サービスを使って調べる方法もあります。
そして、サービス利用中は金銭が絡む話には安易に応じず、慎重に対応してください。また、個人情報などの受け渡しにも注意してください。不安に思った場合やトラブルにあった場合は、すぐに運営元に届け出ると共に、消費者ホットラインの電話番号「188」で、最寄りの消費生活センターなどを紹介してもらいましょう。

無償で利用できるURL安全判定サービスの一例
・ウイルスバスター チェック!
LINEの友だちに「ウイルスバスター チェック!」(@trendmicro_vbcheck)のアカウントを追加することで、トーク画面から利用できる無償のセキュリティサービスです。
・Site Safety Center
URLを入力して確認をクリックするだけで安全性を4段階で判定することができます。
]]>
https://is702.jp/main/images/news/S210222_3.png