is702 2021-06-22T00:00:00+09:00 インターネット・セキュリティ・ナレッジ 【注意喚起】脅迫スパムメールに注意、偽の脅迫で企業や組織・個人にビットコインを要求 さまざまなパターンの脅迫スパムメールが横行しています。これまで確認されていた個人への脅迫に加え、「ダークサイド」を騙り企業や組織を標的としたパターンも発生しています。 2021-06-22T00:00:00+09:00
偽の脅迫によって受信者を脅し、金銭を要求する手口はサイバー攻撃の典型的な手法の一つです。偽の脅迫メールを不特定多数に送りつける「ばらまき型攻撃」では、偽の性的な脅迫を行うセクストーションスパムや、何かしら偽の脅迫を行うエクストーションスパムがあります。このようなスパムメールは定期的に横行しており、英語での文面が流行した後に多言語翻訳されて同様の手口が広がるパターンも少なくありません。利用者はだまされないよう引続き注意してください。

偽の脅迫メールでは、「マルウェア(ウイルスなど不正なソフトやプログラムの総称)に感染させた」「アカウントを乗っ取った」「ハッキングした」などと称し、窃取・盗撮した情報を暴露されたくなければビットコインなどの暗号資産で口止め料を支払うよう脅迫してきます。

■事例①:エクストーションスパム(脅迫スパム)

ランサムウェア(マルウェアの一種)によって大きな被害を及ぼした攻撃者グループ「ダークサイド(Darkside)」を騙り、組織のサーバをハッキングして重要情報を窃取したと称して高額な口止め料(100BTC:約3.7億円※)を要求。米国での被害例を引き合いに出し、信憑性を高めようとしている。
※本記事執筆時点のレート1BTC:3,663,095.93円で換算

件名:「Hacking <企業名> servers」など
本文:

図:攻撃者グループ「ダークサイド」を騙る偽の脅迫メールの一例

図:攻撃者グループ「ダークサイド」を騙る偽の脅迫メールの一例


関連記事:
Fake DarkSide Campaign Targets Energy and Food Sectors(英語)|Trend Micro Research, News, and Perspectives
ランサムウェア「DARKSIDE」によるサイバー攻撃、米国のインフラ事業者が一時操業停止
学習資料「企業や組織を脅かすランサムウェア 今、従業員一人ひとりが行うべき対策とは?」公開


■事例②:セクストーションスパム(性的脅迫スパム)

件名:「重要なニュース」「貴方のデバイスにハッカーがアクセスしています。詳細を今すぐ確認してください!」など 
本文:

図:トロイの木馬(マルウェアの一種)に感染させて遠隔操作を行えると称して偽の脅迫を行うスパムメールの一例

図:トロイの木馬(マルウェアの一種)に感染させて遠隔操作を行えると称して偽の脅迫を行うスパムメールの一例


関連記事:
【注意喚起】トロイの木馬を使ってデバイスを乗っ取ったと称し、ビットコインを要求する偽の脅迫メールに注意


■事例③:エクストーションスパム(脅迫スパム)

件名:「スマートフォン問題」など
本文:


図:アカウントを乗っ取り、クラウドストレージから情報を窃取したとして偽の脅迫を行うスパムメールの一例

図:アカウントを乗っ取り、クラウドストレージから情報を窃取したとして偽の脅迫を行うスパムメールの一例


■対策

このような手口があることを知っておくことがリスクの回避につながります。セキュリティ関連団体や企業が発信する情報を定期的に確認しましょう。
また、それらしい内容の脅迫メールを受け取っても、まずは真偽を確認してください。猶予時間が提示されていても、慌てて支払いを行わないことです。企業や組織では、情報セキュリティ担当部門に不審なメールの受信を報告してください。
真偽の判断がつかない場合は件名や本文の一部をネット検索し、同様の事例について注意喚起が行われていないかどうか確認しましょう。また、メールの迷惑メールフィルタや、セキュリティ対策製品を活用することで受信自体をブロックしたり、迷惑メールとして分類したりすることもリスクの回避につながります。
]]>
https://is702.jp/main/images/news/img_news51.jpg
サブスクを勝手に申し込むAndroid向けマルウェア「Joker」とは? トレンドマイクロは6月14日、公式ブログにて有料定期購読に無断で申し込むAndroid向け不正アプリ『Joker』の解説記事を公開しました。 2021-06-18T00:00:00+09:00
Joker(別名:Bread)は、2017年頃に登場したマルウェアの1つで、これまでに1,700個以上の不正アプリがGoogle Playストア上から削除されています。一方で、サイバー犯罪者は現在もJokerの新たな亜種をGoogle Playストアに忍び込ませています。今回トレンドマイクロが調査で発見した不正アプリは既にGoogleに報告し、削除されています。


図:Jokerに関連する新たな不正アプリの一部

図:Jokerに関連する新たな不正アプリの一部


【Jokerに関連する不正なアプリの名称(パッケージ名)一例】
・Keyboard Wallpaper
・PIP Photo Maker 2021
・Flashlight
・Sound Prank Hair Clipper, Fart, Crack Screen Prank
・Pop Ringtones
・2021 Keyboard and Wallpaper
・PIP Camera
・Picture Editor
・SubscribeSDK(VirusTotal内で発見)
・PIP camera - Photo Editor
・Photo Editor

さらに、最近の手口では当初無害なアプリとしてGoogle Playストアへ登録した後に、後日アップデートによって不正アプリに変化させるという手法を採っています。
Jokerを誤ってインストールしてしまった場合、最初に端末情報と携帯電話番号を窃取されます。その後、サブスクを申し込むWebサイトにアクセスし、自動で有料のサブスクサービスに申し込みを行います。サブスクの購入手続きを開始するために、CAPTCHA認証の手順が必要になる場合もありますが、Jokerはこれらのセキュリティ機能を回避する仕組みを持っています。

しかし、サブスクサービスを勝手に申し込んでも、Jokerを使う犯罪者に特に恩恵はありません。サブスクサービスを提供するWebサイトには、いわゆるアフィリエイト(紹介プログラム)での利益還元がないからです。しかし攻撃者は何度削除されてもGoogle Play上にJokerを設置していることから、攻撃者が何らかの方法で利益を得ているとトレンドマイクロは考察しています。

■対策
正規のアプリストア上においても不正アプリが潜んでいる可能性があります。不用意にアプリをダウンロードせず、アプリの詳細や開発元などの情報を確認するように心がけてください。また、不正アプリ対策ではスマホ向けのセキュリティ対策アプリも有効です。]]>
https://is702.jp/main/images/news/S210622.png
【注意喚起】正規アプリをアンインストールさせようとする偽のセキュリティアプリに注意 セキュリティアプリを装ってインストールを促し、既に正規アプリがインストールされていた場合、それをアンインストール(削除)させようとする不正アプリを確認しています。利用者は偽アプリに注意してください。 2021-06-18T00:00:00+09:00
ドコモの「あんしんセキュリティ」を装った偽のセキュリティアプリは、「ドコモお客様センターです。ご利用料金のお支払い確認が取れておりません。ご確認が必要です。」などの偽装SMSから誘導していると同社では利用者に注意を促しています。

【注意喚起】「あんしんセキュリティ」の偽アプリにご注意ください|ドコモ

何かしらの不正アプリをインストールしてしまった被害者を介して、もしくはSMS配信サービスの悪用によって、偽装SMSから不正サイトに誘導するさまざまな手口が横行しています。
SMSは携帯電話番号のみで相手に送信できるため、電話番号の形式に数字をランダムに組み合わせることでも送信が可能です。その為、携帯電話を利用している誰もがスミッシング(SMSを介したフィッシング詐欺)や不正アプリへの誘導に遭遇する危険性があります。

今回の事例では、ドコモを装った偽装SMSから不正サイトに誘導し、不正アプリのインストールを促すものでした。万一不正アプリをインストールしてしまった場合、このような偽装SMS配信への加担や、さまざまなネット詐欺に巻き込まれる危険性があります。


図:偽装SMSから誘導していたドコモを騙る偽サイト、偽の警告を表示して利用者の不安を煽る

図:偽装SMSから誘導していたドコモを騙る偽サイト、偽の警告を表示して利用者の不安を煽る




図:偽の警告から不正アプリのインストールに誘

図:偽の警告から不正アプリのインストールに誘導




図:Google Playプロテクトやセキュリティアプリからの警告を無視して不正アプリをインストールしてしまうと、今度はSMSアプリとしての設定を求める<br />

図:Google Playプロテクトやセキュリティアプリからの警告を無視して不正アプリをインストールしてしまうと、今度はSMSアプリとしての設定を求める




図:さらに、複数の権限許可を求める不正アプリ

図:さらに、複数の権限許可を求める不正アプリ



今回確認している不正アプリは、セキュリティアプリを装うだけでなく、既に正規の「あんしんセキュリティ」アプリがインストールされていた場合、その正規アプリが危険なものであると偽の警告を表示し、アンインストールするよう促します。



図:偽の警告を表示し、正規のアプリを不正なものだと通知

図:偽の警告を表示し、正規のアプリを不正なものだと通知




図:正規アプリのアンインストールを促す

図:正規アプリのアンインストールを促す



■対策

SMSやメール、SNS上には利用者を狙う不正なメッセージが潜んでいます。このようなメッセージは非常に巧妙で真偽の判断が困難な場合もあります。
「URLリンクを開かせる」「電話を掛けさせる」「添付ファイルを開かせる」など、何かしら受信者に行動を求める内容のメッセージは真偽を疑ってください。自身で判断がつかない場合は、件名や本文の内容をネット検索し、同様の内容について注意喚起が行われていないか確認するとよいでしょう。
また可能な限り、メッセージ内のURLリンクを直接開かないことです。利用しているサービスからの不在通知や支払の確認といった内容であっても、ブックマーク済みの公式サイトや公式アプリからメッセージの内容を確認してください。メッセージが偽物である可能性もあります。

フィッシングサイトや不正アプリに対しては、セキュリティソフトやアプリ、OSが提供しているセキュリティ機能による対策も有効です。必ず有効にし、最新の状態に保って利用してください。そして、このような事例を知っておくこともリスクの回避に役立ちます。セキュリティ関連団体や企業の注意喚起も参考にしましょう。
]]>
https://is702.jp/main/images/news/S210618_001.png
公安調査庁のなりすましアカウントが出現、SNS上の偽者に注意 公安調査庁は6月10日、ソーシャルメディアサービス(SNS)上の偽アカウントに注意するよう、あらためて呼びかけました。 2021-06-16T00:00:00+09:00
公安調査庁では、Twitterに公式アカウント「@MOJ_PSIA」、採用担当アカウント「@PSIA_recruit」を開設しています。またYouTubeでは公式チャンネル「PSIAchannel」を開設していますが、その他のSNSは活用していないとし、前述以外のアカウントで公安調査庁を名乗っていた場合、それらは偽者です。利用者は騙されないよう注意してください。

■対策
TwitterやFacebook、InstagramなどのSNSにおいて、企業や省庁、有名人の偽アカウント(なりすまし)の出没が後を絶ちません。公式アカウントの情報や画像を流用し巧妙になりすましているケースもあります。
まずは公式ホームページで紹介されている公式SNSのアカウントの有無を確認するようにしましょう。ホームページがない場合は、認証バッジの有無、投稿内容などから真偽を判断します。公式アカウントの情報を複製している場合、「同じ日付で過去の投稿と思われる内容が複数掲載されている」「極端に投稿数が少ない」などの特徴があります。このように少しでも不審な点が見られる場合は注意してください。
そうしたアカウントが発信する情報は信用しないことが大切です。また、そのようなアカウントから誘導される可能性がある不正サイトや不正アプリによるリスクを下げるには、セキュリティソフトやアプリを利用することも有効です。

場合によっては偽のDM(ダイレクトメッセージ)などを受け取ることもあります。日頃からDMの真偽を確認し、記載されたURLに不用意にアクセスしないようにしましょう。偽アカウントだと気づいた場合は「偽装に悪用されている公式アカウントやSNS事業者に通報する」などの対処を行いましょう。
なりすましへの対策や対処法については以下の記事も参考にしてください。

関連記事:
企業や組織がSNSアカウントや広告でのなりすまし被害に遭ったときの対処法
]]>
https://is702.jp/main/images/news/img_news41.jpg
学習資料「企業や組織を脅かすランサムウェア 今、従業員一人ひとりが行うべき対策とは?」公開 企業や組織の事業継続を脅かす深刻な問題となっている「ランサムウェア」。その脅威を防ぐには、従業員一人ひとりの理解と協力が欠かせません。 2021-06-16T00:00:00+09:00
ランサムウェアは、その攻撃の足掛かりとして従業員を狙う場合があります。そのため、情報システム部門やセキュリティ担当者による技術的な対策に加え、従業員一人ひとりが対策を実践することが組織全体のセキュリティ強化における重要なポイントとなります。

本資料はランサムウェアの概要と従業員一人ひとりが行う対策を、ポイントを絞って紹介しています。自組織内教育やご自身の学習にお役立てください。PDFは「学習資料ダウンロード」ページより無償でダウンロードをして頂けます。

また、本学習資料の解説動画をis702パートナープログラム向けに公開中です。こちらも学習資料とあわせてご活用ください。



]]>
https://is702.jp/main/images/news/S210603.JPG
企業や組織のスマホ利用ガイドライン、「対策チェックシートII」公開|JSSEC 一般社団法人日本スマートフォンセキュリティ協会(JSSEC)の利用部会利用ガイドラインWGは6月3日、「スマートフォン利用ガイドライン 対策チェックシートII」を公開しました。 2021-06-04T00:00:00+09:00
このチェックシートは、企業や組織においてスマホを導入・運用、さらには利用停止するにあたり、セキュリティ上考慮すべきポイントを、米国国立標準技術研究所(NIST)が提供するコンピュータセキュリティガイダンスのポリシーフレームワーク「NIST-CSF」に照らし合わせて網羅的にまとめたもので、2014年3月に発行された「スマートフォン&タブレットの業務利用に関するセキュリティガイドライン【第二版】」に付属している「特性別/利用シーン別 対策チェックシート」のアップデート版とのことです。

具体的には、昨今の社会情勢を念頭に、NIST-CSFの分類(5機能:識別/防御/検知/対応/復旧)に合わせて内容を再検討し、ポイントを50項目に整理しています。チェックシートはA3両面、1枚にまとまっており、スマホ運用担当者は、より簡単にセキュリティ面の見落としやミスの防止に役立てることができます。また今回、考慮ポイントとしてテレワークや Webアプリ、クラウドサービス活用の増加、経営層の視点、サプライチェーンへの配慮、法整備等がチェックシートに追加、補充されているとのことです。情報セキュリティポリシー全体の見直しの際には、現行のセキュリティポリシーが抱える課題や、時代に合わせて対応すべき点を見つけることができるでしょう。

「スマートフォン利用ガイドライン 対策チェックシートII」は、PDF版とExcel版のファイルが公開されており、同協会の公式サイトより無償でダウンロード・閲覧が可能です。
]]>
https://is702.jp/main/images/news/img_news20.jpg
解説動画「企業や組織を脅かすランサムウェア 今、従業員一人ひとりが行うべき対策とは?」公開 昨今ランサムウェアは企業や組織の事業継続を脅かす深刻な問題となっています。従業員一人ひとりが知っておくべき脅威の概要とその対策を紹介する解説動画を、is702パートナープログラム向けに公開しました。 2021-06-03T00:00:00+09:00
ランサムウェアによる攻撃の足掛かりとして、従業員が狙われることがあります。そのため、従業員一人ひとりがその脅威を理解し、対策を実践することが組織全体のセキュリティ強化に欠かせません。

約14分の動画は、なるべく専門用語を使わずポイントを絞った内容となっており、自組織内の従業員教育やご自身の学習に活用して頂ける内容となっています。

動画ファイルは、is702パートナープログラムの登録パートナー向けポータルサイト※で公開しています。
※is702パートナー専用ページにログインするには、別途事務局からご案内している認証ID、認証コードが必要です。

is702パートナープログラムについてはこちら


]]>
https://is702.jp/main/images/news/S210603.JPG
一般事務やアシスタント業務従事者が注意したいサイバー脅威とは? 一般事務やアシスタント業務従事者もサイバー脅威と無縁ではいられません。メールや電話の受け取り時、メール送信時、社内へのスケジュール共有時などに注意を払うべきポイントを押さえておきましょう。 2021-06-03T00:00:00+09:00
そのメールや電話は偽物かも!?

一般事務やアシスタント業務従事者が注意したいサイバー脅威とは?

2021/06/03
そのメールや電話は偽物かも!? 一般事務やアシスタント業務従事者が注意したいサイバー脅威とは?

メールや電話による問い合わせの一次対応、請求書の処理、取引先とのやり取り、担当上司やチームメンバーのスケジュール管理。このような日常業務の中にも情報漏えいやマルウェア感染、金銭窃取などのサイバー脅威が潜んでいます。一般事務やアシスタント業務従事者が注意するべきサイバー脅威と対策を紹介します。

日常業務を踏み台にするサイバー攻撃

サイバー攻撃は、企業の規模や地域、業種を問わない脅威です。あらゆる企業や組織が攻撃の標的であり、どの従業員が、いつ狙われるかわかりません。もちろん一般事務やアシスタント業務従事者もその対象です。ビジネスメール詐欺や標的型サイバー攻撃の実例を見ていきましょう。

●ビジネスメール詐欺

ビジネスメール詐欺(BEC:Business E-mail Compromise)は、経営幹部や役員、取引先などを装ったメールを従業員に送りつけ、金銭や特定の情報をだまし取る手口です。たとえば、実在する取引先を装うメールに偽の請求書を添付し、「口座が変更になった」などと称して振込先の変更を依頼するパターンがあります。また、「緊急かつ極秘の取引」などと役員を装う文言で送金を促す手口もあります。

BECの手口に共通するのは、サイバー犯罪者が業務メールの盗み見やネット上の公開情報の調査をもとに標的企業で進行中の取引や人間関係などを把握し、信ぴょう性を高めたなりすましメールを仕立てることです。彼らは振り込みが発生する頃合いを見計らって実在する関係者になりすましたメールを送りつけてくるため、受信者は何の疑いもなく依頼を受けてしまう恐れがあります。

●標的型サイバー攻撃

標的型サイバー攻撃は、従業員に送りつけられるメールが発端となる場合もあります。標的型サイバー攻撃は、特定の企業や組織が保有する個人情報や技術情報、機密情報、金銭を盗み出すことを目的とする一連の攻撃です。業務用クラウドサービスを装うフィッシングサイトに誘導して認証情報を奪ったり、従業員のパソコンにマルウェア(ウイルスなど不正プログラムの総称)を感染させて組織内ネットワークに侵入して情報を盗み出したりするのが典型的なパターンです。パソコン内の情報を暗号化して開けなくし、企業や組織を脅迫することもあります。

たとえば、実在する相手を装って「請求書」や「会議案内」など日常的にやり取りしているような内容のメールを送りつけ、受信者に不正なマクロを含むOffice文書ファイルを開かせる手口が確認されています。マクロは、WordなどのOfficeツールの標準機能で、事前に記録した操作内容や手順をまとめて実行させるものです。サイバー犯罪者はこの正規ツールを攻撃に悪用し、マルウェアに感染させようとします。ファイルを開き、メッセージバーの「コンテンツの有効化」をクリックしてしまった場合、不正なマクロが実行され、マルウェアに感染してしまうかもしれません。また、「あなたの組織へのなりすましメールを転送するので確認してほしい」などと外部からの問い合わせに見せかけたメールを送りつけ、受信者に添付ファイルの開封を促すこともあります。

図:「なりすましメール確認」偽装の例

●ヴィッシング

サイバー攻撃の起点となるのはメールだけではありません。電話もその1つです。電話を受ける機会の多い一般事務やアシスタント業務従事者はヴィッシング(音声によるフィッシング詐欺)にも注意してください。これは立場や所属を偽ってもっともらしい要件を述べ、標的企業の従業員から情報を聞き出す手法です。たとえば、社内のシステム担当者になりすまして業務サービスのアカウント情報を尋ねたり、支社や海外拠点の同僚を装って連絡先を聞き出そうとしたりする例があります。転職エージェントによる引き抜き話や、投資の電話もむやみに信用しないでください。それらもあなたから組織の情報を聞き出すことが目的かもしれません。
また電話を使った手口の中には、受信者に偽の相談窓口などに電話をかけさせるリバースヴィッシングという手口もあります。実際、偽メールを介してもっともらしい名目の請求や無償期間終了などを通知し、偽のコールセンターに電話をかけさせる手口が確認されています。

【メールや電話を起点とするサイバー攻撃の対策ポイント】

  • メールや電話で伝えられた内容の真偽を吟味し、少しでも不審な点があった場合は即答せず、別の手段で事実確認をするか、責任者やセキュリティ管理者に相談する
  • 経営幹部や取引先から通常とは異なる口座への送金を求められた場合は、至急や極秘となっていても社内ルールに定められた手順どおりに承認プロセスを行う
  • メールの添付ファイルやURLリンクを不用意に開かない
  • 勤務先の規定に従ってOSや業務用ソフト、セキュリティソフトを更新する

不注意による情報漏えい

●メールの誤送信

オフィスワークにおいては関係者をCCやBCCに指定してメールを送信することがよくあります。たとえば、複数の顧客・取引先に対してイベントの案内やメールマガジンの配信、長期休暇の通知を行うケースを想像してみてください。すべての宛先をBCCに指定して一斉送信するべきところを誤ってTO(宛先)やCCで送ってしまった場合、すべてのメールアドレスが受信者に共有されてしまいます。

メールを利用する以上、誤送信のリスクはつきものです。宛先間違いや添付ファイルの選択ミスによる情報漏えいも起こり得ます。誤送信を防ぐツールやルールを導入している企業や組織も少なくありませんが、各自が日々意識することも重要です。

【メールの誤送信を回避するポイント】

  • 宛先や添付などが間違っていないかどうか、社内のやり取りに外部のメールアドレス含まれていないかなど、送信前に再度チェックする習慣を身に着ける
  • 大量の宛先に対するメール送信にあたっては一般的なメールソフトではなく、組織で利用が許可されているメール配信ソフトやサービスを組織の規定に沿って使用する

●文書ファイルのプロパティ情報の確認忘れ

Microsoft Office(Word、Excel、PowerPoint)などで作成した文書ファイルを取引先関係者にメールで送る際は事前に文書の中身だけでなく、プロパティ情報(「作成者」「前回保存者」「タイトル」「件名」「タグ」「作成日時」などの属性情報)や非表示情報(「コメント」「変更履歴」「バージョン」「注釈」「隠し文字」など)も確認しましょう。うっかりそれらの情報が残された文書ファイルを社外に出してしまった場合、情報漏えいにつながるかもしれません。Microsoft Officeでは「ドキュメント検査」を使用することで文書ファイルに保存されている不要な情報を一括で削除できます。

●予定表の開示範囲

アシスタント業務従事者にとって担当上司やチームメンバーのスケジュール管理は基本業務の1つです。グループウェアなどを利用し、会議室の予約や社内への予定共有を行っているのではないでしょうか。セキュリティの観点で徹底したいのは、予定表の開示範囲を必要最小限にとどめることです。予定表にはタイトルや場所だけでなく、会議の概要、Web会議用のURLや出席者など、サイバー攻撃のヒントになり得る情報が多分に含まれています。企業や組織では内部犯がサイバー攻撃に利用できる情報を探し回っている可能性もゼロではないのです。詳細情報はチーム内のみの共有にとどめるなど、開示範囲を定期的に見直しましょう。

職種に関係なく一人ひとりが注意すべきこと

パスワードの使い回し

複数の業務サービスに同一のIDとパスワードを使い回していると勤務先を情報漏えいなどの危険にさらしてしまうかもしれません。社会人は勤務先に決められた方法でアカウントを適切に管理してください。

SNSでの業務情報の書き込み

社会人はプライベートなSNSに仕事がらみの話題や写真などをむやみに投稿しないでください。もし、本来秘密にするべき職務内容や取引関係、業務上知り得た機密情報を明かす結果になれば、投稿者はもちろん、勤務先も社会的信用を失ってしまいます。また機密情報でなくとも、ネット上で公開した情報が収集、分析され、攻撃に悪用される可能性があることも認識しておきましょう。

業務端末のプレビュー表示

スマホやタブレット端末は情報の宝庫です。他人による端末の不正使用を防ぐため、ユーザの多くは画面ロックをかけていることでしょう。ただ、うっかり見落としがちなのがロック画面の通知です。メールやSMSなどのコミュニケーションツールの多くは、送信者名やメッセージ内容の一部を通知画面にプレビューする機能を備えています。これは便利な反面、機微な情報が周囲の人の目に触れてしまうリスクもはらんでいます。業務端末では各コミュニケーションツールのプレビュー表示をオフにしておきましょう。

]]>
http://rss.is702.jp/main/rss/3862_l.jpg
総務省「テレワークセキュリティガイドライン(第5版)」を公開、最新の変化に対応 総務省は5月31日、「テレワークセキュリティガイドライン(第5版)」を公開しました。 2021-06-02T00:00:00+09:00
同省では企業がテレワークを実施する際の指針となる「テレワークセキュリティガイドライン」を2004年に策定し、以降は2~7年ごとのサイクルで見直してきました。今回の改版は、2018年4月の第4版からほぼ3年振りとなっており、一般から募集した意見も反映されています。

内容面では、テレワーク方式を再整理し、適した方式を選定するフローチャートや特性比較が掲載されるようになりました。経営者・システム管理者・勤務者それぞれにおける役割も明確化し、実施すべきセキュリティ対策の分類や内容を全面的に見直しています。またクラウドやゼロトラストなどの最新のトピックについても記載されています。具体的事例も全面見直しされており、留意すべき点や採るべき対策が明示されるようになりました。

なお、当該ガイドラインの改定を受け、ガイドラインを補完する「中小企業等担当者向けテレワークセキュリティの手引き(チェックリスト)」についても改定が行われ、第2版になっています。

「テレワークセキュリティガイドライン(第5版)」「中小企業等担当者向けテレワークセキュリティの手引き(第2版)」はPDFファイルとして公開されており、総務省のサイトより無償でダウンロード・閲覧が可能です。
]]>
https://is702.jp/main/images/news/img_news49.jpg
被害情報や最新手口をまとめた「フィッシングレポート2021」を公開|フィッシング対策協議会 フィッシング対策協議会(技術・制度検討ワーキンググループ)は6月1日、フィッシングの被害状況、フィッシングの攻撃技術・手法などをとりまとめた「フィッシングレポート2021」を公開しました。 2021-06-02T00:00:00+09:00
本レポートは、2020年の事例を中心に、国内外のフィッシングの動向を分析した内容です。フィッシング情報の報告件数については、2019年12月には8,208件だったものが1年後の2020年12月には32,171件と、月間報告数が4倍近く増加しました。具体的には金融機関やAmazon、楽天のなりすまし送信が多く報告されています。

最新の状況としては、こうしたメールの大量配信とともに、誘導先URLの多様化といった傾向が指摘されています。またSMSを悪用した“スミッシング”の被害も続いており、特に正規のSMSと同一スレッドに偽装SMSを紛れ込ませる手法が取り上げられています。また将来的な対策として、FIDO(Fast IDentity Online)と呼ばれるオンライン認証を使う個人認証、自社サイトのアクセス記録を使った不正検知や照合、ドメイン名登録事業者のサイトアクセスに対する制限、whois情報などのモニタリングなどが考察されています。

同協議会では、最新情報の収集・分析・情報提供に加え、フィッシングURL配信事業などに注力するとしています。「フィッシングレポート2021」はPDFファイルとして公開されており、同協議会サイトより無償でダウンロード・閲覧が可能です。

また同協議会が公開している「利用者向けフィッシング詐欺対策ガイドライン」についても、用字、用語の見直し、モバイル端末を想定した文章の見直しを行った最新版が、2021年度版としてあらためて公開されました。こちらも同協議会サイトより無償でダウンロード・閲覧が可能です。
]]>
https://is702.jp/main/images/news/img_news46.jpg
スマホを紛失!Apple PayやGoogle Payに登録済みのカード情報を削除するためには? スマホ決済の利用が国内でも広がりを見せていますが、端末の盗難・紛失に遭うと登録済みの決済サービスを悪用される可能性があります。Apple PayやGoogle Payに登録済みのクレジットカード情報を削除する方法を確認しておきましょう。 2021-05-31T00:00:00+09:00

Apple PayやGoogle Payの不正利用に遭わないために
現金をやり取りしない決済手段として定着しつつあるスマホ決済。各種決済サービスを一括で管理できるプラットフォームとして「Apple Pay」や「Google Pay」を利用している方も多いのではないでしょうか。Apple Payは日本国内で販売されたiPhone 7以降のiPhone、Google PayはNFC(近距離無線通信規格の1つ)対応のAndroid端末を持っていれば手軽に使えます。専用アプリをインストールした上で手持ちのクレジットカードやデビットカードを登録しておくか、事前にチャージ(入金)しておけば、スマホを専用端末にかざすだけで決済できるため非常に便利です。

さて、スマホは盗難・紛失に遭いやすいものです。万一、悪意のある第三者の手に渡ってしまうとスマホを操作され、決済サービスを不正利用される可能性があります。スマホをなくしてしまった場合にApple PayやGoogle Payの不正利用を防ぐためにはどうすればよいでしょか。これらに登録済みのカード情報をリモートで削除する方法があります。

・Apple Payに登録済みのカード情報を削除する方法
パソコンやタブレット端末などのWebブラウザからApple IDにサインインし、「デバイス」セクションで紛失したiPhoneを選択します。カードリストで「すべてを削除」をクリックします。
※「iCloud.com/find」からApple IDにサインインしてiPhoneの「紛失モード」をオンにすれば、Apple Payの使用を停止できます。遠隔からiPhoneの位置を特定したり、ロックしたりできるようiPhoneのGPSと「iPhoneを探す(iOSの場合)」機能を有効にしておきましょう。

iPhoneを紛失したり盗難に遭ったりした場合にApple Payからカードを削除する
https://support.apple.com/ja-jp/guide/iphone/iph7b666943a/ios
デバイスを紛失したり盗まれたりしたときは
https://support.apple.com/ja-jp/HT205583

・Google Payに登録済みのカード情報を削除する方法
パソコンやタブレット端末などのWebブラウザから「pay.google.com」にアクセスし、紛失したAndroid端末やiPhoneで利用中のGoogleアカウントでサインインします。「お支払い方法」を押し、カード上の「削除」をクリックします。
※「android.com/find(Google デバイスを探す)」からGoogleアカウントにサインインして紛失したAndroid端末を保護(ロック)すれば、Google Pay の使用を停止できます。遠隔からスマホの位置を特定したり、ロックしたりできるようAndroid端末のGPSと「端末を探す(Android OSの場合)」機能を有効にしておきましょう。

お支払い方法の編集または削除
https://support.google.com/pay/answer/7644063?co=GENIE.Platform%3DAndroid&hl=ja

Apple PayやGoogle Payに限らず、スマホ決済サービスを使用する場合は利用明細のこまめなチェックを心がけてください。万一、身に覚えのない不審な取引を確認した場合は速やかに決済サービス事業者やクレジットカード会社に利用停止の届け出を行いましょう。さまざまな個人情報や決済情報などがひもづくApple IDやGoogleアカウントを厳重に管理することも忘れないでください。
※クレジットカード情報の削除手順はバージョンや機種によって異なる場合があります。詳しくは公式サイトの案内を参照してください。

スマホ紛失の備えとしては、セキュリティアプリの盗難・紛失対策機能も役立ちます。遠隔でスマホをロックしたり、データを消去したりすることができ、第三者による不正利用のリスクを下げることができます。また、位置情報やアラーム、遠隔でのフロントカメラ撮影などによって所在を確認することもできます。あらかじめ設定を有効にしておき、平常時に利用方法を確認しておけば、いざという時に慌てずに対処できます。

関連記事
セキュリティの必要性を理解しよう]]>
https://is702.jp/main/images/news/S210521.png
【注意喚起】偽のワクチン接種予約案内に注意、「新型コロナウイルス予防ワクチン無料予約受付中です、アプリインストールしてください。」 新型コロナウイルスのワクチン接種予約を装う偽のSMSを確認しています。メッセージ内のURLリンクから不正サイトに誘導しているため騙されないよう注意してください。 2021-05-28T00:00:00+09:00
この偽装SMS(携帯電話番号宛に送られるテキストメッセージ)は、偽の不在通知やAmazon、楽天市場など複数の事業者を装った手口と同様の攻撃です。不正アプリをインストールしてしまった被害者のスマホを介し、不特定多数に対して様々な文言の偽装SMSを送り付け、不正サイトに誘導しています。
調査時点においてAndroid OS端末で不正なURLリンクにアクセスした場合は、Chromeのアップデートを装った不正アプリのインストールを促します。さらに、不正アプリにより端末内の情報窃取、不正SMSの送信、フィッシングサイトへの誘導などを行います。一方、iOS端末でアクセスした場合はApple IDの偽ログイン画面に誘導します。

騙されて不正アプリをインストールしてしまった場合、端末内の情報窃取や、このような偽装SMSの送信などに自身のスマホが悪用されてしまう可能性があります。また、誘導先のフィッシングサイトでIDやパスワードを入力してしまうと、アカウントの乗っ取りや情報窃取、金銭被害などの危険性があります。

これまでも新型コロナウイルスの話題に便乗した複数のサイバー犯罪が発生しています。今回の事例に限らず、利用者は偽の案内や通知に騙されないよう、メールやメッセージを受け取った際には必ず公式の案内や通知かどうか真偽を確認してください。

関連リンク:
【注意喚起】新型コロナウイルスに便乗したネット詐欺などにご注意ください



図:監視中の不正なSMSの送信を指示する攻撃指令サーバで確認したテキスト内容から再現した偽装SMS例

図:監視中の不正なSMSの送信を指示する攻撃指令サーバで確認したテキスト内容から再現した偽装SMS例




図:Android OS端末でアクセスした場合に表示される偽のChromeアップデート通知と不正アプリへの誘導

図:Android OS端末でアクセスした場合に表示される偽のChromeアップデート通知と不正アプリへの誘導




図:iOS端末でアクセスした場合に表示される偽のログイン画面

図:iOS端末でアクセスした場合に表示される偽のログイン画面



■対策

SMSを悪用したこのような手口では、さまざまな事業者に偽装した通知や、受信者がついURLリンクを開いてしまいそうな内容のメッセージを不特定多数のスマホ利用者に送り付け、不正サイトに誘導します。さらに、メッセージの信憑性を高めるために送信元を事業者の名称に偽装しているパターンや、不正アプリに感染してしまった第三者あるいは知人のスマホからSMSが送られてくる可能性があります。たとえ著名な事業者や知人からのメッセージであっても、URLリンクを開かせようとしたり、電話を掛けさせようとしたりするなど、何かしら行動を求めるような内容は不用意に信用しないことです。一度立ち止って真偽を確認する習慣を身につけましょう。

また、不正アプリや不正サイトによる脅威のリスクを下げるには、セキュリティアプリが有効です。スマホに予めインストールしておき、最新の状態を保って利用してください。

関連リンク:
【注意喚起】「気をつけてよ!写真がネットに載ってるじゃん、気まずいな!」、SMSによる不正サイトへの誘導に注意

]]>
https://is702.jp/main/images/news/S210528_1.png
オンラインゲームユーザを狙う脅威と対策【2021】 フィッシング詐欺、マルウェア、不正アプリはオンラインゲームユーザを取り巻く代表的な脅威です。実際に会ったことのないプレイヤーとのコミュニケーションをきっかけとしたトラブルも続発しています。オンラインゲームユーザを狙う詐欺の手口やトラブルの事例を知り、適切な対策を講じましょう。 2021-05-27T00:00:00+09:00
詐欺やマルウェア感染の被害に!?

オンラインゲームユーザを狙う脅威と対策【2021】

2021/05/27
詐欺やマルウェア感染の被害に!? オンラインゲームユーザを狙う脅威と対策【2021】

オンラインゲームの人気に便乗するサイバー犯罪が後を絶ちません。ゲーム内チャットなどを悪用してユーザをだましたりマルウェアに感染させたりして、情報や金銭を奪うのが典型的な手口です。オンラインゲームを安全に利用するためのポイントを押さえましょう。

オンラインゲームがサイバー犯罪者の標的に

外出自粛が長引く中、オンラインゲーム(略称:オンゲー、ネットゲーム、ネトゲ)をプレイする人が増えています。オンラインゲームは、パソコンやゲーム専用機器、スマホなどからインターネットを介して複数のプレイヤーが同時に楽しむことができるゲームの総称です。

ただ、大勢のユーザを抱えるインターネットサービスはサイバー犯罪者に狙われやすいものです。オンラインゲームのユーザを取り巻く脅威にはどんなものがあるでしょうか。

人気ゲームの入手を餌に個人情報を入力させる

代表的な脅威のひとつがフィッシング詐欺です。これは、正規サービスのログインページなどを装った偽サイト(フィッシングサイト)にネット利用者を誘導し、そこで入力されたアカウント情報(IDやパスワードなど)、個人情報、クレジットカード情報などを盗み出す手口です。サイバー犯罪者が標的のプレイヤーに近づくための主な手段はゲーム内チャットやSNSです。プレイヤーが興味を持ちそうな話題やアイテムの交換などを持ち掛け近づきます。

トレンドマイクロは、当時発売前であった人気のオープンワールドアクションRPG「サイバーパンク2077」を無償で入手できるとうたう偽サイトを確認しました。偽サイトからダウンロードした実行ファイルを開いてしまうと、同ゲームのタイトル画面のようなページが表示されます。そこでメニュー項目の「Install」をクリックするとライセンスキーの入手条件としてアンケートへの回答を求められます。しかし、この案内は全くのデタラメです。質問への回答として入力した情報はサイバー犯罪者の手に渡ってしまい、ネット詐欺などに悪用される可能性があります。もちろん、アンケートに答えてもゲームを楽しむことはできません。

図:「サイバーパンク2077」の無償ダウンロードと称し偽のファイルをダウンロードさせる

図:偽ファイルのインストールが終了するとアンケートに誘導、偽の口コミで信用を得ようとしている

図:誘導先のアンケートでは住所や生年月日などに加え、生活水準を計るような質問も含んでいた

人気ゲームに扮する偽アプリに注意

マルウェアもパソコンゲーマーにとって見過ごせない脅威の1つです。ゲーム内チャットやSNSを使って「チートツールを入手できる」、「正規ツールのダウンロード」などと称して不正なURLリンクを案内し、プレイヤーをマルウェアの配布サイトに誘導するのが典型的なパターンです。

スマホゲーマーもゲームアプリに見せかけた偽アプリや不正アプリに注意してください。偽アプリは、正規アプリと同じタイトル名、アイコン、説明文などを使って本物を装う不正アプリです。実際、Android端末ユーザを対象にした偽アプリとして「サイバーパンク2077」を偽装するものが報告されています。配布サイトはGoogle Playに似せたデザインで、モバイル向けのベータ版を無料で入手できるとうたっていました。しかし、そこでばらまかれたのは端末内のファイルを暗号化して開けなくし、「24時間以内にBitcoinで500ドルを支払わないとデータを消去する」と脅迫するランサムウェアでした。

見知らぬプレイヤーとのコミュニケーションは慎重に

プレイヤー同士、ボイスチャットなどで会話しながらプレイできるのはオンラインゲームならではの魅力でしょう。しかし、実際に会ったことのない相手とのコミュニケーションがトラブルの引き金になることもあります。たとえば、「現実の通貨でアイテムの代金を支払う」というトレード話を持ちかけられ、先渡ししたアイテムを持ち逃げされるトラブルが発生しています。

ゲーム内には親しげに話しかけてきて本名やSNSのアカウントを尋ねたり、顔写真の送信を求めたりするプレイヤーもいます。しかし、こうした相手とプライベートな情報をやり取りするのは危険です。それに応じた場合、個人情報をネット掲示板や出会い系サイトなどにさらされたり、不正なメッセージを大量に送りつけられたりするかもしれません。

オンラインゲームを安全に利用するためのポイント10選

1.詐欺の手口を知る

オンラインゲームをめぐる詐欺の手口やトラブルの事例を知ることは、自衛策の基本です。各ゲーム事業者や消費者関連団体、セキュリティ事業者などが公表する相談事例や注意喚起情報を定期的に確認しましょう。

2.メールやSNS、チャット内のURLリンクを不用意に開かない

サイバー犯罪者はメールやチャット、SNS、レビューサイトなどに耳寄りな情報とURLリンクを載せ、プレイヤーをフィッシングサイトに誘導することもあります。アカウントへのログインは、必ずブックマークに登録した公式サイトから行いましょう。パソコンやスマホにゲームをダウンロードする際も運営元の公式サイト、Steamなどのパソコンゲームプラットフォーム、Google PlayやApp Storeなどの公式アプリストアを利用してください。事前にレビューの数やその内容、提供元情報などを確認することも大切です。

3.アカウントを厳重に管理する

アカウントの乗っ取りを防ぐため、第三者に推測されにくいパスワードを設定してください。使用可能な大小英字、数字、記号などの文字種をランダムに組み合わせ、文字列をできるだけ長くすることがポイントです。また、SNSやクラウドメール、ゲームなど、利用中のインターネットサービスごとに異なるIDとパスワードの組み合わせを使用することも重要です。ゲーム事業者から提供される二要素認証(二段階認証、多要素認証)も必ず利用してください。

4.セキュリティソフト/アプリを利用する

ゲーム専用のパソコンやスマホにもセキュリティソフト/アプリを入れ、最新の状態で利用しましょう。そうすれば、不正サイトにアクセスしたり、不正アプリをインストールしたりするリスクを下げられます。プレイの妨げになることを懸念されている方には、プレイ中に更新ファイルの適用や自動スキャンを実行しない「サイレントモード」や「ゲームモード」を搭載するセキュリティソフトがおすすめです。

5.OSやファームウェアを正しく更新する

パソコンやスマホだけでなく、ゲーム機にも脆弱性対策が欠かせません。各メーカーから更新プログラムが提供された場合は速やかに適用し、OSやファームウェアの脆弱性を修正しましょう。ゲーム機の更新方法については取り扱い説明書をご確認ください。

6.ホームネットワークの安全を確保する

セキュリティソフトを入れられないゲーム機をネットの脅威から守るためには、ホームネットワーク全体を保護するアプローチが有効です。不正サイトへのアクセスをブロックしたり、ネットワーク内の不審な通信を監視したりしてくれる機能を備えたホームルータ、もしくはホームネットワーク向けセキュリティ製品が市販されています。家庭での利用状況に応じて選定しましょう。

7.ゲームの利用規約を守る

リアル・マネー・トレーディング(RMT)が禁止されているゲームでそれを行ってしまった場合、規約違反となり、アカウントを抹消されるかもしれません。他のプレイヤーとのトレードにあたっては、詐欺の温床になっている非公式のRMT専用サイトではなく、運営元の公式トレードサービスを利用してください。チートツールの使用もゲーム事業者が禁止しています。チート行為は損害賠償や刑事罰の対象となる可能性があるため絶対に手を出さないでください。
※RMTは、ゲームのデータやキャラクター、アイテムなどを、現実の通貨や物品を対価に取引する行為です。

8.極端な嫌がらせをしてくるプレイヤーとは関わらない

ゲーム内には嫌がらせをしたり、罵声を浴びせたりするプレイヤーもいます。そういった相手と関わるのはトラブルの元です。個人的には取り合わず、速やかにゲーム事業者に報告してください。チャットフィルタリング機能を使用して不快な言葉が表示されないようにしたり、特定のプレイヤーの音声を消音にしたりするのも1つの手です。

9.子どもをゲームによる悪影響から守る

成人を対象としたゲームの中には、子どもに悪影響を与える内容が含まれるものもあります。CEROレーティングマークを参考にし、保護者の管理下で子どもの年齢に適したゲームを利用させましょう。

10.お子さんのプレイ時間を制限する

ゲームに没頭するあまり、日常生活をおろそかにしてしまう子どもたちも少なくありません。お子さん用の端末には事前にペアレンタルコントロールを適用してください。ゲームの利用時間を制限したり、有害サイトへのアクセスを防いだりすることができます。お子さんと一緒に端末の利用ルールを決めること、年齢や成長に見合った制限をかけることを心がけましょう。

]]>
http://rss.is702.jp/main/rss/3856_l.jpg
【注意喚起】「気をつけてよ!写真がネットに載ってるじゃん、気まずいな!」、SMSによる不正サイトへの誘導に注意 偽の不在通知に代表されるSMSを悪用して利用者を不正サイトに誘導する手口で、新たなパターンを確認しています。 2021-05-25T00:00:00+09:00
5月19日頃より、「気をつけてよ!写真がネットに載ってるじゃん、気まずいな!<不正なURLリンク>」といった内容の不審なSMS(携帯電話番号宛に送られるテキストメッセージ)を受信したとする投稿をSNS上で複数確認しています。トレンドマイクロでも、偽装SMSを感染端末に送信指示する監視中の攻撃指令サーバから、同様の送信指示が行われていたことを確認しています。

SNS上では知人から不審なSMSが届いたとの投稿もあり、これまで同様不正アプリに感染したスマホから、攻撃指令サーバが指定した不特定多数の第三者に対してSMSを送信させるパターンに加え、不正アプリに感染したスマホ内の連絡先、つまり知人に対して不正なSMSを送るパターンが存在していると考えられます。


図:今回の手口で考えられる被害者の関係性概要図

図:今回の手口で考えられる被害者の関係性概要図


また、攻撃に使用されている攻撃指令サーバの一つからは、5月1日~20日の間に少なくとも1,064回、不正アプリに感染したスマホから不特定多数に対する不正SMSの送信指令が行われていました。これは1日平均約60回のスパムメッセージ送信指令が送られていることになります。
また、そのうち「佐川急便よりお荷物のお届けに上がりましたが宛先不明の為持ち帰りました。<不正なURLリンク>」といった文面が1,034回と大部分を占めていたものの、4月には無かった「気をつけてよ!写真がネットに載ってるじゃん、気まずいな!<不正なURLリンク>」11回以外に、誤字を含む「本日商品を発送致しました。詳細は配送状況をで確認ください。<不正なURLリンク>」も14回の配信指令を確認しており、受信者を騙すために攻撃者が試行錯誤を繰り返している様子がうかがえます。

今回のように受信者が写っている写真や動画をネタに不正サイトに誘導する手口は他の事例で過去に確認しており、特に送信元が知人であった場合、受信者は真偽の確認を十分に行わないままメッセージ内のURLリンクを開いてしまう可能性が高まります。
スマホ利用者は、同様のメッセージに騙されて不正サイトに誘導されてないよう十分気を付けてください。

関連リンク:
【注意喚起】FacebookやTwitterのアカウント乗っ取りに注意


調査時点において、Android OS端末で不正なSMS内のURLリンクにアクセスした場合、Chromeのアップデートを装う不正アプリのダウンロードページに誘導されました。


図:Chromeアップデートを装う不正アプリ

図:Chromeアップデートを装う不正アプリ




図:権限の許可を求める不正アプリと、偽のアイコン表示、さらなる権限を求める不正アプリ

図:権限の許可を求める不正アプリと、偽のアイコン表示、さらなる権限を求める不正アプリ




図:本来の機能とは異なるSNSアプリとしての設定を求める偽のChromeアプリ、設定を許可するとアプリのショートカットアイコンが消失し、自身を隠蔽

図:本来の機能とは異なるSNSアプリとしての設定を求める偽のChromeアプリ、設定を許可するとアプリのショートカットアイコンが消失し、自身を隠蔽


騙されて不正アプリをインストールし、権限を付与してしまった場合、端末内の情報窃取、不正なSMSの送信に悪用されてしまいます。
さらに、不正アプリからのプッシュ通知により、フィッシングサイトに誘導されます。調査時点では、「【NTT】お客様がご利用の電話料金が大変高額となっております。下記URLでご確認が必要です。」と表示され、確認をクリックするとNTTドコモに偽装したフィッシングサイトが表示されました。


図:不正アプリからの通知で表示される偽の案内

図:不正アプリからの通知で表示される偽の案内




図:dアカウントの窃取を狙うNTTドコモに偽装したフィッシングサイト

図:dアカウントの窃取を狙うNTTドコモに偽装したフィッシングサイト


■対策

SMSを悪用したネット詐欺は年々巧妙化しており、これまでも宅配便事業者や総合ECサイト、クレジットカード事業者、銀行など、さまざまな企業やサービスが偽装に悪用されています。今回のように知人からのメッセージであった場合、受信者は油断しがちです。実際、メールやSNSを介した攻撃では「なりすまし」や「アカウント乗っ取り」などによって受信者を油断させる手口は使い古されています。
例え知人や家族からのメッセージであっても、URLリンクを不用意に開かない習慣を身に着けてください。アクセスする前にサイトの安全性を評価するサービスを使って確認するのも一案です。

無償で利用できるURL安全判定サービスの一例
・Site Safety Center

 URLを入力して確認をクリックするだけで安全性を4段階で判定することができます。

不正アプリのインストールや不正サイトへのアクセスを防いだり、不正なSMSを振り分けたりするには、セキュリティアプリが有効です。対応しているOSやアプリによって機能が異なりますので、自身の利用状況によって信頼できる製品を選択してください。

不正アプリをインストールしてしまった場合、自身の情報が奪われるだけでなく、スマホに登録されている知人や家族、勤務先の関係者にまで被害が及ぶ可能性があります。他人事とはとらえず、スマホ利用者であれば誰もがフィッシング詐欺や不正アプリの被害に遭う可能性があることを認識し、基本的な対策を怠らないようにしましょう。

基本対策
・URLリンクを不用意に開かない
・OSやセキュリティアプリを最新の状態に保つ
・ネット詐欺など、サイバー犯罪の事例を知っておき回避に役立てる

 (関連ブログやSNSなどをフォローしておくと情報が入手しやすくなります)

■不正アプリの感染が疑われる場合

機内モード(通信遮断)に変更し、アプリ一覧などから不審なアプリが無いかどうか確認をしてください。セキュリティアプリを利用している場合はスマホのスキャン(Android OS端末の場合)を行ってください。その結果不審なアプリがあれば、アンインストールを行いましょう。
自身で判断がつかない場合は、携帯電話事業者のサポート窓口や、利用しているセキュリティアプリのサポート窓口に相談してください。機器の利用に不慣れな利用者は、機能や価格だけでなく、サポートが充実しているかどうかを選定基準に加えると良いでしょう。

ただし、不正アプリをアンインストールしても既に窃取された情報は取り戻せません。ネット詐欺の標的にされたり、窃取された情報を悪用・売買されたりする可能性もあります。また、正規アプリが不正アプリに上書きされている場合もあります。
金銭や個人情報のやり取りを含むオンラインサービスのアカウントが不正ログインを受けていないか、クレジットカードや銀行口座、キャッシュレス決済サービスに不審な履歴は無いかなど、十分に確認を行ってください。

IPA(独立行政法人情報処理推進機構)の公式サイトでは、対処法を詳しく解説しています。こちらも参考にしてください。

関連リンク:
安心相談窓口だより 宅配便業者をかたる偽ショートメッセージに引き続き注意!|IPA
]]>
https://is702.jp/main/images/news/S210225_1.png
Twitterが「認証済みバッジ」の受け付けを再開、新しいガイドラインを導入 Twitter Japanは5月20日、新しいポリシーでの運用を開始するとともに、「認証済みバッジ」の受け付け再開と、新しい認証条件を満たしていないアカウントからの認証済みバッジ削除を発表しました。 2021-05-24T00:00:00+09:00
Twitterでは、著名人・有名人あるいは企業や組織などのアカウントの信頼性を見極める手段のひとつとして、青い「認証済みバッジ」のマークを付与しています。このバッジの有無を確認することで、利用者がより安心して健全な会話が行えると考えられています。一方で、認証プログラムが恣意的でわかりにくいというフィードバックを受け、受け付けを一時休止していました。

そこで同社は、今回新しいガイドラインを導入して明確な認証条件を定め直すとともに、新しい運用を開始しました。認証条件として、認証ポリシーに定められているカテゴリ別の条件を満たすほか、プロフィール名、プロフィール画像、確認済みメールアドレス、電話番号が登録されている完全なアカウントである必要があり、また、過去6か月以内に使用されたアクティブなアカウントかつTwitterルールを順守した記録が挙げられています。

認証ポリシーに定められているカテゴリ
・政府機関
・企業、ブランド、組織
・ニュースメディア、ジャーナリスト
・エンターテイメント
・スポーツ、ゲーム
・活動家、主催者、その他の有識者

※今年中に科学者、研究者、宗教指導者などのカテゴリを追加する予定とのこと。

詳しい条件や申請手順はTwitterの公式案内を参照してください。
近年SNSのなりすましアカウントによる被害報告や注意喚起が目立っています。被害拡大防止のためにも、認証バッジの取得条件を満たしている企業や組織、利用者は率先して活用するとよいでしょう。
]]>
https://is702.jp/main/images/news/img_news53.jpg
is702サーバ移行に伴うサービス休止について is702サーバ移行に伴い、2021年6月7日~14日まで新規記事の掲載を休止致します。 2021-05-24T00:00:00+09:00 また、2021年6月14日18時~22時頃までメンテナンス中の表示に切り替わり、
パートナープログラム専用ページを含む https://www.is702.jp/ 配下の全ページがご参照頂けなくなります。

新規記事の掲載再開は2021年6月15日以降を予定しています。
is702ご利用の皆様には大変ご迷惑をお掛けしますがご理解、ご協力の程よろしくお願い申し上げます。

本件に関するお問い合わせ先
is702お問い合わせフォーム]]>
https://is702.jp/main/images/news/S210524.jpg
企業や組織がSNSアカウントや広告でのなりすまし被害に遭ったときの対処法 第三者による「なりすまし」は多くの企業にとって無視できない問題になっています。SNSのなりすましアカウントやネット上のなりすまし広告を放置していると、自社のブランドイメージが損なわれたり、顧客や利用者に実被害が及んだりする危険性もあります。なりすましに遭ったときの対処法を紹介します。 2021-05-20T00:00:00+09:00
自社のブランドイメージ悪化や顧客に実被害が及ぶ可能性も

企業や組織がSNSアカウントや広告でのなりすまし被害に遭ったときの対処法

2021/05/20
自社のブランドイメージ悪化や顧客に実被害が及ぶ可能性も 企業や組織がSNSアカウントや広告でのなりすまし被害に遭ったときの対処法

実在する企業やサービスになりすましたSNSアカウントやネット広告による被害は迷惑行為にとどまりません。たとえば、それらに騙された顧客や利用者が誘導先の不正サイトで被害に遭う可能性もあります。もし自組織がなりすましの被害に遭ったときは、できるだけ早く対処することが重要です。今回は企業や組織がなりすまし被害に遭った場合の対処法を紹介します。

SNSのなりすましアカウントを放置するリスクとは?

企業がマーケティング活動の一環としてTwitterやFacebook、InstagramなどのSNSアカウントを取得し、さまざまな情報発信や商品の販売、顧客および潜在顧客とのコミュニケーションを行うことはいまや珍しくありません。

しかし、実在する企業のなりすましアカウント(偽アカウント)も出てきています。なりすましアカウントは公式アカウントの投稿やプロフィールを流用するだけでなく、公式アカウント名に「_(アンダーバー)」や「.(ドット)」を追加したり、「.official」の文字列を追加したりして本物を装っています。このため、利用者は誤ってなりすましアカウントをフォローしてしまう可能性や、偽アカウントからの通知を本物だと誤認する危険性があります。

なりすましアカウントを放置していると、どのようなリスクが生じるでしょうか。たとえば、不正なURLリンクを含むダイレクトメッセージをばらまかれ、フォロワーがネット詐欺などの被害に遭うかもしれません。実際、多くの企業が自社ブランドのなりすましアカウントによる被害例を公表しています。

図:公式アカウントのなりすましに関する注意喚起公表月別ブランド数
(2020年12月31日から2021年1月14日までの期間無作為に100ブランドの情報を確認した結果)

SNSのなりすましアカウントへの対処法

SNS事業者はこのようななりすましを防ぐため、規定や審査を設けており本物であると確認できたアカウントに対して認証バッジの付与を行っています。しかし、すべての公式アカウントが認証バッジを取得することは困難であり、バッジを取得していない公式アカウントも多数存在します。このため、利用者は認証バッジの有無だけでなく、投稿内容も確認した上で公式アカウントかどうかを判断しなければならないのが実情です。

SNSは一定の条件下でだれもが自由にアカウントを作れる仕様になっており、公式アカウントの名称や投稿内容を複製したなりすましアカウントはいつ出現するかわかりません。そのため、現時点で有効な対策は、「なりすましアカウントを作られてしまったときにできるだけ早く対処する」という受け身的なものにならざるを得ません。では、SNS上でなりすましアカウントを見つけた場合、どうすればよいでしょうか。

対処法1:SNS利用者に対して注意喚起を行う

公式アカウントやホームページ上で利用者や顧客に対してなりすましアカウントへの注意を呼びかけてください。また、ホームページには自社が所有するSNSの公式アカウント一覧もURLリンク付きで載せておき、それ以外は偽物であることを明示しましょう。

対処法2:SNS事業者に報告する

なりすましアカウントを発見した場合は即座にSNS事業者に報告しましょう。主要なSNS事業者は、なりすましアカウントと認めたものを凍結する審査プロセスがあります。

対処法3:認証バッジを取得する

認証バッジはSNS事業者が公式アカウントであることを認めた証です。InstagramやFacebook、Twitterでは、アカウント名の右側にあるブルーのチェックマークがそれにあたります。認証バッジの有無を確認すればアカウントが本物かどうかを見分けられるため、SNS利用者がなりすましアカウントを本物と誤認してしまうことを防げます。各SNS事業者が定める規定や条件を満たしている場合は認証バッジの取得を検討してください。

対処法4:SNSを監視、モニタリングする

なりすましアカウントを早期に発見、対処することで被害を最小限に食い止めることができます。各種SNS上で定期的に「自社名」や「ブランド名」でのアカウント名検索を行い、なりすましアカウントが発生していないことを確認したり、SNSの監視・モニタリングツールなどを活用して自社名やブランドに関わる不審な投稿が行われていないかどうかを監視したりしましょう。

対策法5:公式アカウントの不正ログインや第三者による乗っ取りに注意する

なりすましアカウントへの注意も必要ですが、そもそも公式アカウントに不正ログインされたり、第三者に乗っ取られてしまったりしては意味がありません。複数人や委託先と共同で運用している場合は、誰がどのような権限を有しているか把握し、定期的に棚卸や認証情報の更新を行いましょう。また、他のアプリやサービスと連携させる場合も、どのような権限や情報が共有されるのか確認、理解した上で行ってください。

自社ブランドをかたる広告に遭遇したときの対処法

企業はネット上のなりすまし広告にも目を光らせておかなければなりません。自社の商品やサービスの名称、ロゴなどを無許可で使用された広告が、広告プラットフォーマーによる審査をすり抜ける形で一般のWebサイトやSNS上に掲載されてしまう場合があるためです。

なりすまし広告の主な目的は、ネット利用者をフィッシングサイトや偽のショッピングサイトに誘導し、情報や金銭をだまし取ったり、粗悪品を売りつけたりすることです。もし、ネット利用者に実害が及んでしまった場合、本来なりすましの被害者であるはずの企業に問い合わせや苦情が殺到するかもしれません。

トレンドマイクロはGoogle検索結果ページのリスティング広告枠に、実在するブランドをかたるなりすまし広告が掲載された事案を確認しました。これはネット利用者をフィッシングサイトに誘導し、情報をだまし取ることを目的に出稿されたものと考えられます。

図:調査時点でのGoogleサーチ結果の表示例

企業にはネット上になりすまし広告が掲載されていないかどうかを常にモニタリングすることが求められます。では、なりすまし広告を見つけた場合、どのように対処すればよいでしょうか。

対処法1:ネット利用者に対して注意喚起を行う

ネット利用者がなりすまし広告を経由したネット詐欺などの被害に遭わないようホームページ上に注意喚起情報を掲載してください。SNSの公式アカウントがある場合は、同様に周知してください。誘導先がフィッシングサイトと見られる場合はフィッシング対策協議会にも報告しましょう。

対処法2:広告掲載先に報告する

GoogleやYahoo!など、広告掲載先に商標権侵害の申し立てを行いましょう。主要な報告先を以下に掲載します。

ユーザ視点での対策

巧妙に作られたなりすましアカウントや広告に対し、ユーザはどのような対策を行うべきでしょうか。

対策1:利用する前に公式かどうかよく確認する

SNSアカウントの場合、まずは公式ホームページで紹介されている公式SNSのアカウントの有無を確認するようにしましょう。ホームページがない場合は、認証バッジの有無、投稿内容などから真偽を判断します。公式アカウントの情報を複製している場合、「同じ日付で過去の投稿と思われる内容が複数掲載されている」「極端に投稿数が少ない」などの特徴があります。このように少しでも不審な点が見られる場合は注意してください。
なりすまし広告については、検索した際に表示される結果が、広告かそうでないか確認してください。広告の場合、「Ad」「広告」「PR」といった表示が追加されています。初めて利用するサイトの場合はなるべくそのような検索結果のリンクではなく、公式サイトの内容を参照してください。

対策2:セキュリティソフトやアプリを利用する

偽のアカウントや広告から不正サイトに誘導されてしまうことを防ぐためには、セキュリティソフトやアプリの利用が欠かせません。昨今のフィッシングサイトや偽サイトは本物をコピーして作られることが多く、見た目で判別することが困難です。セキュリティ対策製品を活用してリスクを下げておきましょう。

企業や組織は、なりすましへの対処や注意喚起を行うとともに、利用者に対しても安全なネット利用を呼びかけ、一人ひとりが対策を実践することを周知すると良いでしょう。

]]>
http://rss.is702.jp/main/rss/3854_l.jpg
ランサムウェア「DARKSIDE」によるサイバー攻撃、米国のインフラ事業者が一時操業停止 トレンドマイクロは5月13日、公式ブログで「ランサムウェア『DARKSIDE』および米国のパイプラインへの攻撃に関する解説」と題する記事を公開しました。アメリカで発生した、燃料供給網を狙ったサイバー攻撃について解説しています。 2021-05-14T00:00:00+09:00
2021年5月7日、ランサムウェア「DARKSIDE」の攻撃により、米国東海岸における燃料供給の約半分を担うColonial Pipeline社が操業停止に追い込まれました。ガソリン、ディーゼル、家庭用暖房油、ジェット燃料、軍需品などの貯蔵庫、そして流通網が大きな影響を受け、いまだ混乱が続いており、アメリカ政府が買いだめなどしないよう呼びかける事態に陥っています。

「DARKSIDE」は、2020年8月に初めて発見された比較的新しいランサムウェア(身代金要求型ウイルス)ですが、この攻撃はサイバー犯罪集団「Darkside」によるものでした(ランサムウェア名を「DARKSIDE」、攻撃者名を「Darkside」と表記)。米ブルームバーグの報道によると、このサイバー犯罪集団は、標的企業の端末をロックした他、100GB以上の機密情報を窃取したとされています。さらに「Darkside」は、身代金要求や情報暴露に加え、DDoS攻撃などによっても脅迫を行う「四重脅迫」(Quadruple Extortion Services)と呼ばれる手口も展開しています。

・第1段階(従来のランサムウェア攻撃):ファイルを暗号化した後、脅迫状を示して暗号資産での身代金支払いを要求。
・第2段階(二重脅迫):第1段階に加え、情報流出で窃取した機密情報を暴露すると脅す。ランサムウェア「Maze」が初めてこの手法を実行し、他の攻撃者も追随。
・第3段階(三重脅迫):第1段階・第2段階に加え、DDoS攻撃(意図的にアクセスを集中させてサービスを停止させる)による脅迫を実行。ランサムウェア「Avaddon」が初めてこの手法を実行。
・第4段階(四重脅迫):第1~3段階に加え、被害者となる顧客へメール送信やコールセンターなどからの連絡により脅迫。


今回の攻撃に至るまでの「Darkside」の活動は、以下のような時系列となっています。

2020年8月:ランサムウェアを利用した攻撃を開始
2020年10月:被害者から盗んだ2万米ドルを慈善団体に寄付
2020年11月:RaaS(Ransomware-as-a-service:サービスとしてのランサムウェア)のビジネスモデルを展開、他の犯罪者にサービスの利用を呼びかける。その後、Darksideのリークサイトが発見される。
2020年11月:窃取情報を保存・配信するためのコンテンツデリバリーネットワーク(CDN)を開始
2020年12月:メディアやデータ復旧団体に対して情報暴露サイト上のプレスセンターをフォローするように促す
2021年3月:いくつかのアップデートが施されたDARKSIDE v2をリリース
2021年5月:Colonial Pipeline社を攻撃。攻撃後、Darksideは非政治的活動であることを表明、今後は標的の選定を注意することにも言及し、今回のような政治的注目を集めない形で攻撃を行うことを示唆。

初期段階の侵入のために「DARKSIDE」は、フィッシング、リモートデスクトッププロトコル(RDP)、既知の脆弱性の利用など、さまざまな手法を使います。また攻撃には、マルウェアだけでなく、検知回避や難読化のために管理者が使用するような一般的なツールも使用されていました。

最新の「多重脅迫」手法によるランサムウェア攻撃では、標的に対して初期侵入をしても、すぐにランサムウェアが実行されるわけではありません。多くの場合、ランサムウェアが実行されるまでの間、内部活動および権限の昇格、情報送出といった活動を行ってデータを盗み出し、そのうえで暗号化を行います。
ランサムウェアは、以前から確認されている脅威ですが、いまなお進化を続けています。今回の事例からも分かるとおり、最新のランサムウェアは、ターゲットの拡大、新たな脅迫手法の導入、感染対象を超えた広範な被害など、さまざまな面で変化しています。そして、窃取された企業資産はアンダーグラウンド市場で利益を生む商品であり、サイバー犯罪者は企業のサーバを攻撃してお金を稼ぐ方法に精通しています。
また、標的企業の資産状況も調査した上で攻撃を仕掛けており、今回も暗号資産で約500万ドル(日本円で約5億5千万円)相当の身代金支払いに企業側が応じたことが報道されています。

■対策
企業や組織は、このようなサイバー攻撃によって事業停止や犯罪者の資金源となってしまわないよう継続的な対策が欠かせません。不正な振る舞いを検知するセキュリティ製品を導入し、脆弱性を放置しないよう管理体制を整えると共に、テレワークなどによって外部から社内ネットワークへの通信を許可している場合は、安全対策を強化してください。また、社内ネットワークからの情報送出を監視し、重要情報のバックアップ、リストアをいつでも運用可能な状態にしておきましょう。
そして、技術的な対策だけではなく、人の脆弱性も対策には欠かせません。従業員教育を定期的に行い、攻撃の踏み台にされないようにしましょう。



図:トレンドマイクロのクラウド型セキュリティ技術基盤「Trend Micro Smart Protection Network」(SPN)による「DARKSIDE」検出数推移

図:トレンドマイクロのクラウド型セキュリティ技術基盤「Trend Micro Smart Protection Network」(SPN)による「DARKSIDE」検出数推移


]]>
https://is702.jp/main/images/news/img_news52.jpg
ショッピングサイト構築システム「EC-CUBE」利用事業者は至急対応を、既に悪用が確認されている脆弱性発覚 独立行政法人情報処理推進機構(IPA)およびJPCERTコーディネーションセンター(JPCERT/CC)は5月10日、イーシーキューブが提供するオープンソースのショッピングサイト構築システム「EC-CUBE」に、深刻な脆弱性が存在するとして注意を呼びかけました。開発元のイーシーキューブも、緊急対応のためのパッチを公開しています。 2021-05-12T00:00:00+09:00
EC-CUBEのバージョン4.0.0から4.0.5までには、「クロスサイトスクリプティング(XSS)の脆弱性」(CVE-2021-20717)が存在し、「EC-CUBE」の管理画面において、任意のスクリプトを実行させることができます。この脆弱性が悪用された場合には、ECサイトへの不正アクセスや個人情報の窃取などが行われる可能性があります。

関連リンク:
クロスサイトスクリプティング(XSS)とは?|トレンドマイクロ

イーシーキューブによれば、すでに本脆弱性を悪用した攻撃が複数発生しており、クレジットカード情報が流出した事例も確認されています。利用中の事業者は早急なパッチの適用やバージョンアップを行ってください。
ただし、不審なデータを管理画面から参照すると攻撃が成立する可能性があるとし、不審なデータを捜索する場合は、管理画面から確認せず、データベースや受注メールから調査するよう、イーシーキューブは推奨しています。具体的な方法はイーシーキューブが公開している対応策を参照してください。
なお、クラウド版の「ec-cube.co」はパッチ適用済みとのことです。

2019年にもEC-CUBEの脆弱性悪用によって正規サイトが不正に改ざんされ、複数のECサイトからクレジットカード情報が多数漏えいしました。本件に限らずECサイトの管理者はシステムの脆弱性を放置しないよう適切な管理体制を整えるとともに、脆弱性を悪用した攻撃をブロックするセキュリティ製品を活用し、不正な改ざんが行われないよう対策を行ってください。

また一般利用者は、日頃からクレジットカードの利用履歴確認を習慣化するとともに、不正なスクリプトを含む不正サイトにアクセスしてしまわないよう、セキュリティ製品をインストールし、最新の状態に保って利用しましょう。
]]>
https://is702.jp/main/images/news/img_news14.jpg
SMSを悪用したフィッシング「スミッシング」、巧妙化を続ける偽サイトや手法に注意 SMSを悪用してフィッシングサイトに誘導する「スミッシング」による脅威が年々深刻化する中、トレンドマイクロと一般財団法人日本サイバー犯罪対策センター(JC3)は4月27日、国内の金融機関利用者を狙ったフィッシング詐欺に関する共同調査の結果を公表しました。 2021-05-12T00:00:00+09:00
この調査は、JC3による共同調査の取り纏め、各組織との連絡・調整の下、参画した金融機関・EC事業者・セキュリティ事業者11社が協力し、フィッシングサイトのサンプル収集・提供、調査対象のフィッシングサイトの技術的調査、犯罪グループの分析が実施されました。トレンドマイクロの「サイバーセキュリティ・イノベーション研究所 スレット・インテリジェンス・センター」は、2020年1年間において日本国内向けのフィッシング詐欺に使用されたフィッシングサイト11,120件(期間中に収集したWebサイト総数:93,795件)に対し、調査対象のフィッシングサイトの技術的調査、犯罪グループの分析、フィッシングサイト自動解析システムの開発・情報提供を行いました。

調査の結果、国内の金融機関を騙った「Bank Phishing Group」(BPグループ)として10以上に分類・解析し、金融機関を騙るSMSを使用してフィッシングサイトへ誘導する「BP1」や、Androidマルウェア「XLOADER」(別名:Moqhao)との関連が高いフィッシングサイトを設置していた「BP6」で、特に大規模な活動を確認。この2グループだけで不正ドメインの6割近くを占めていたことが判明しました。このBP1とBP6は、BP6が配布しているAndroidマルウェアを用いてBP1のフィッシングサイトに誘導する事例を確認していることから、BP1とBP6が協力関係にある、もしくは同一組織であると考えられています。


図:PB1により送信された偽装SMS例(JC3の発表資料より)

図:PB1により送信された偽装SMS例(JC3の発表資料より)




図:BP6により送信された偽装SMS例(JC3発表資料より)

図:BP6により送信された偽装SMS例(JC3発表資料より)


さらにBP1では、国内金融機関に偽装したフィッシング詐欺以外にも、大手eコマースサイトを騙る手口でこのグループと同じ特徴を持ったフィッシングサイトや、そのフィッシングサイトと同じドメインを使用したクレジットカード会社を騙った手口も確認されています。つまり、金融機関やeコマースサイト、クレジットカード会社などに偽装した多様な複数のフィッシング詐欺が、巨大な一つの組織のよるサイバー犯罪である可能性があると考えられています。


図:BP1とBP6の関係性および、 BP1と関係がある可能性があるフィッシング詐欺グループを可視化した図

図:BP1とBP6の関係性および、 BP1と関係がある可能性があるフィッシング詐欺グループを可視化した図


これらのスミッシングに利用されたフィッシングサイトは見た目上のデザインのみでなく、Webページの構造情報や画面遷移、さらにはアドレスバーに鍵マークが表示される「HTTPS化(通信の暗号化)」も行っており、利用者が騙されてフィッシングサイトに誘導されてしまった場合、外見上の情報からでは真偽を判断することは困難です。今回の調査では、BPグループが設置したとみられるフィッシングサイトのうち、利用者が最終的に誘導されるWebページの77.6%が「HTTPS化」されていることも確認されています。このことからも、鍵マークの表示有無は真偽の判断材料にならないことが分かります。

■対策

スミッシングに限らず、昨今のフィッシングサイトは見た目での真偽の判断が難しいことを認識し、ネット利用者であれば誰もがその脅威にさらされていることを常に意識することが大切です。

・どのような手口があるかを知っておくことが脅威の回避につながります。警察機関やセキュリティ関連団体、企業による注意喚起を参考にしましょう。公式SNSなどをフォローしておくと情報が入手しやすくなります。

・サイトの見た目や鍵マークの有無(HTTPS)で正規サイトか否かを判断せず、利用するサービスは必ずブックマーク済みの公式サイト、または公式アプリからログインしてください。

・SMSやメールなどで通知されたURLリンクは安易に開かず、真偽を確認する習慣を身に着けてください。フィッシングサイトでの入力完了後に正規サイトにリダイレクト(転送)させる手口も常とう手段です。必ず情報を入力する前によく確認してください。

・不正サイトや不正アプリによる脅威のリスクを下げるには、セキュリティソフトやアプリをPC・スマホ・タブレットにインストールし、最新の状態に保って利用してください。


■万一被害に遭ってしまった場合

速やかに警察機関や金融機関、クレジットカード会社に連絡し、被害を最小限に留めてください。認証情報を入力してしまった場合は、パスワードの変更を行いましょう。また、不正アプリをインストールしてしまった場合は、機内モード(通信できない状態)に変更し、不正アプリをアンインストールしてください。

関連記事
・【注意喚起】「プライム会費のお支払い方法に問題があります」Amazonからの通知を装う偽のSMSに注意
・【注意喚起】楽天市場からの通知を装う偽のSMSに注意
・配送業者をかたる偽の不在通知メッセージに要注意


トレンドマイクロおよびJC3からは、この調査結果をもとにしたブログ記事や注意喚起も別途公開されています。
]]>
https://is702.jp/main/images/news/S210512_01.png
【注意喚起】福祉基金と称するLINEスパム、大手飲料事業者になりすます偽調査に注意 大手飲料事業者になりすました偽の調査依頼メッセージがLINE上で拡散しています。騙されて回答したり、LINEでURLリンクを拡散したりしないよう注意してください。 2021-05-07T00:00:00+09:00
「コカ・コーラ福祉基金」と称し、高額な謝礼を提示した偽の調査依頼メッセージが5月5日前後からSNS上で複数投稿されており、トレンドマイクロでも本メッセージによって不正サイトに誘導されたと考えられる利用者を5月5日から6日の間で1,141名確認しています。


図:偽の調査依頼メッセージ例

図:偽の調査依頼メッセージ例


同様のネット詐欺は、昨年から複数のブランドに偽装した手口を確認しています。今回も調査時点では、偽のキャンペーンからアンケートに誘導し、偽の当選通知から同メッセージをLINE上で拡散させるよう促した上で、最終的に国際電話を掛けさせようとしていました。これは、被害者への通話料請求によって金銭を奪おうとしているものと推測されます。安易に国際電話を掛けてしまった場合、高額な請求をされる危険性があるので注意してください。

関連記事
・【注意喚起】LINEに届くアディダスを装う偽のプレゼントキャンペーンに注意
・【注意喚起】偽のクリスマスプレゼントキャンペーン、LINEなどでのメッセージ拡散に注意
・【注意喚起】LINEなどで拡散中の偽プレゼントキャンペーン、今度は新年を祝う内容に変化
・【注意喚起】LINEを装う偽のお客様アンケートに注意



図:偽の調査画面と当選画面

図:偽の調査画面と当選画面




図:LINEでの共有を促し、ゲージが溜まるとさらに誘導を進める

図:LINEでの共有を促し、ゲージが溜まるとさらに誘導を進める




図:国民生活センターを名乗った偽のスマホ当選画面に続き、海外への通話発信を促す

図:国民生活センターを名乗った偽のスマホ当選画面に続き、海外への通話発信を促す


■対策

このようなネット詐欺は、様々なブランドを装って魅力的な条件を提示し、ネット利用者を陥れます。今後も同様の手口が続くと考えられるため、利用者は引続き注意するとともに、偽のメッセージ拡散に加担してしまわないようにしてください。

本件に関わらず、ネット詐欺の偽装に悪用されてしまった事業者は、公式ホームページや公式SNSなどでこのような手口が横行していることを利用者に対して通知し、被害拡大防止につなげてください。

また、利用者はメールやSNS、SMS、ネット広告などから誘導されるキャンペーンや案内の中には、偽の情報が紛れ込んでいる可能性があることを認識し、安易にURLリンクをクリックしないようにしましょう。真偽を確かめる習慣を身に着けるとともに、セキュリティ製品を利用して不正サイトにアクセスしてしまうリスクを下げておくことも有効な対策の一つです。
]]>
https://is702.jp/main/images/news/S210507_1.jpg
「サイバーセキュリティ体制構築・人材確保の手引き」最新版公開|経産省 経済産業省は4月26日、「サイバーセキュリティ体制構築・人材確保の手引き」の最新版「第1.1版」を公開しました。 2021-04-28T00:00:00+09:00
経済産業省では、独立行政法人情報処理推進機構(IPA)とともに、経営者のリーダーシップのもとサイバーセキュリティ対策を推進するための「サイバーセキュリティ経営ガイドライン」を策定しています。さらに企業の経営層に加え、人事担当者・実務者が、体制構築・人材確保において考慮すべき要点をまとめた「サイバーセキュリティ体制構築・人材確保の手引き」(第1版)を、2020年9月に公開しています。

この手引きは、「サイバーセキュリティ経営ガイドライン」における“担当幹部(CISO等)に指示すべき「重要10項目」”のうち、指示2「サイバーセキュリティリスク管理体制の構築」と、指示3「サイバーセキュリティ対策のための資源(予算、人材等)確保」について検討の助けになることを目的とした内容となっており、重要事項を箇条書きで示した「ポイント」、有用と思われる内容を囲み記事の形で紹介する「コラム」などが用意されています。

「第1.1版」では、第1版に対して内容の拡充や見直しを行い、サイバーセキュリティ対策に従事する人材の確保方法、ユーザ企業で必要となるスキルの習得に活用可能な資格制度、ユーザ企業でサイバーセキュリティ対策に従事する人材育成のイメージなどが追加されました。

「サイバーセキュリティ体制構築・人材確保の手引き」(PDFファイル)は、経済産業省の公式サイトから無償でダウンロード・閲覧可能です。

サイバーセキュリティの体制構築には、経営層をはじめとし、全従業員の協力が欠かせません。特にインターネットを活用したビジネスモデルの拡大が進む昨今においては、その事業を推進する事業部門がサイバーセキュリティを意識することが重要です。ガイドラインや手引きを自組織の体制構築に役立ててください。]]>
https://is702.jp/main/images/news/img_news48.jpg
【ステイホーム】連休中の安心、安全なネット利用に役立つまとめ情報 昨年のゴールデンウィーク期間以上に感染拡大防止が強く求められている中、オンラインサービスの利用が増加しています。一方で、そのような利用者を狙うネット詐欺やサイバー攻撃も昨年から急増しています。安心、安全にネットを利用するための方法を改めて確認し、トラブルや被害に遭わないよう対策を実践しましょう。 2021-04-28T00:00:00+09:00
関連記事:ゴールデンウィーク前に対策と相談の多い事例をチェック|IPA

もくじ
■ステイホームに欠かせないオンラインサービス
■ステイホームのためのネットセキュリティ対策
■テレワーク時の対策


■ステイホームに欠かせないオンラインサービス

休業要請や時短営業、テレワークなど、感染拡大防止を促進させるためのさまざまな施策がとられています。これらの実現に欠かせないのがインターネットです。
オンラインでの授業や習い事、帰省、飲み会ではZoonやTeamsなどのオンライン会議ツールや、SNSのビデオ通話機能、Apple製品間で利用できるFaceTimeなどが利用されています。
他にも、遠隔診療(オンライン診療)、オンラインショップ、宅配代行サービス、ネットスーパーといった、外出を自粛するために欠かせないオンラインサービス。動画・音楽・書籍配信サービスやオンラインゲームも気分転換や学習、娯楽などに欠かせません。また、SNSやオンラインゲーム、マッチングアプリ上でもコミュニケーションが行われ、直接会うことができない状況を補ってくれています。
さらに、テレワーク(在宅勤務、リモートワーク、WFH)で働く人にとって欠かせないのが、インターネット環境とクラウドメールサービスなどの業務用クラウドサービスです。
このようにインターネットは、広く活用されています。

一方で、このようなオンラインサービス利用者を狙うフィッシング詐欺や、偽サイト、偽のメッセージ、不正広告、悪意のあるデマ情報の拡散、公式サイトを改ざんした情報窃取、サービス事業者への攻撃による情報漏えい、利用者のクラウドサービス設定ミスによる情報流出などのサイバーインシデント(情報セキュリティにかかわる事故や攻撃など)は日々発生しています。このようなリスクや被害を回避するためには、基本的な対策を怠らないことが重要です。

■ステイホームのためのネットセキュリティ対策

1.ホームネットワークの出入口であるホームルータのセキュリティ対策を見直す
2.OSやソフト、アプリは公式サイトからインストールし、最新の状態に保つ
3.アカウントを登録する際は、公式サイトかよく確認し、サービス毎に異なる、なるべく複雑で長いパスワードを設定する
 (可能な場合は多要素認証なども併用する)
4.セキュリティソフトやアプリをインストールして最新の状態に保つ
5.大切なデータのバックアップは定期的にとる
6.時にはデジタルデトックスしてみる


上記の基本対策を実践してみましょう。それぞれの対策を以下で解説します。

1.ホームネットワークの出入口であるルータのセキュリティ対策を見直す


Wi-Fiを家庭内でも利用している場合、ホームルータはホームネットワーク(家庭内のネットワーク)にとって非常に大切な存在です。ホームルータのセキュリティ対策に不備があると、そこに繋がっている全ての機器(デバイス)がさまざまなサイバーリスクにさらされてしまいます。
最低限、「設定管理画面のパスワードを、初期設定から第三者に推測されにくいものに変更」してからWi-Fiの利用を開始しましょう。さまざまなオンラインサービスを利用する上で、個人情報や決済情報などをやり取りする通信の安全性を確保することは欠かせません。

詳しい対策はこちらの記事を参照してください。
・Wi-Fiルータのセキュリティを強化するための7つのポイント


2.OSやソフト、アプリは公式サイトからインストールし、最新の状態に保つ


正規のソフトやアプリに偽装し、マルウェア(ウイルスなど不正ソフトの総称)をインストールさせようとする手口は常とう手段です。ソフトやアプリをインストールする際は、送られてきたメッセージ内や広告のリンクなどから利用することは避け、必ず公式のWebサイトもしくは公式アプリストアを利用しましょう。また、公式アプリストアであっても、不正アプリが紛れ込んでいる可能性があります。インストールする前に、提供元や詳細情報の確認を怠らないようにしましょう。
そして、どのようなソフトウェアにも脆弱性(セキュリティ上の欠陥)はつきものです。OSやソフト、アプリの脆弱性を修正するため、最新バージョンの利用を心がけてください。急激に利用者が増加したオンライン会議ツールも、これまでに複数の偽サイトや脆弱性が見つかっています。はじめて利用する際には、必ず公式サイトから最新版をインストールしましょう。

詳しい対策はこちらの記事を参照してください。
・ネット動画の視聴、投稿、ビデオ通話時に注意すべきこと


3.アカウントを登録する際は、公式サイトかよく確認し、サービス毎に異なる、なるべく複雑で長いパスワードを設定する(可能な場合は多要素認証なども併用する)


ステイホームにともない、新たにオンラインサービスの会員登録を行う機会が増えた方もいるでしょう。仕事や学習、宅配、コミュニケーション、娯楽など、多くの人にとって、ステイホームを充実させるためのオンラインサービスは欠かせない存在となっています。
一方で、大手オンラインサービスに偽装したサイトを用いるサイバー犯罪が後を絶ちません。偽サイトに誤って情報を登録してしまうと、入力した個人情報やクレジットカード情報などを悪用されたり、登録時に設定したIDとパスワードの組み合わせを他のオンラインサービスの不正ログインに悪用されたりする危険性があります。
アカウントを新たに登録する場合は、必ず公式サイトかどうかよく確認しましょう。メールやメッセージ、広告などから誘導されたリンクは偽物の可能性もあります。安易にクリックしない方が賢明です。また、パスワードの使い回しや単純なパスワードを利用していると、第三者による不正ログインの危険性が高まります。必ず推測されにくいなるべく長くて複雑なパスワードをサービス毎に設定しましょう。

詳しい対策はこちらの記事を参照してください。
・インターネットサービスのアカウントを安全に管理するための要点とは


4.セキュリティソフトやアプリをインストールして最新の状態に保つ


ここ数年続くSMS(携帯電話番号に届くテキストメッセージ)を悪用した手口では、宅配事業者やAmazon・楽天に代表される総合ECサイトに偽装した偽の通知による攻撃が頻発しています。
このような偽の通知やメールから誘導される偽サイトは、本物から複製して作られることも多く、一見しただけでは真偽の見分けがつきません。また、マルウェアを正規ソフトやアプリ、害の無い文書ファイルなどに見せかけるような手口は常とう手段です。さらに、知人を装ってメールやメッセージ送り付けたり、乗っ取ったアカウントから不正サイトに誘導する手口もあります。
このように巧妙なサイバー攻撃から身を守るには、セキュリティソフトやアプリの利用が欠かせません。そして、最新の手口によるリスクを下げるには、セキュリティソフトやアプリを最新の状態に保って利用することも重要です。

詳しい対策はこちらの記事を参照してください。
・セキュリティの必要性を理解しよう


5.大切なデータのバックアップは定期的にとる

子どもがいる家庭では、保護者用のデジタル機器をオンライン授業や動画閲覧に子どもが利用する機会もあるのではないでしょうか。しかし、利用中に子どもが機器を図らずも壊してしまうことがあります。他にも、不慮の故障や破損、水没、機器の紛失、クラウドサービスのトラブル、サイバー攻撃による被害など、何らかの原因で大切なデータが無くなってしまう可能性は常にあります。
消えたら困る大切なデータは定期的にバックアップを取っておきましょう。データの世代管理ができるクラウドサービスや、オフラインで保管できる外付けタイプのハードディスクなど、用途やデータの重要度に合わせて選択しましょう。その際は、価格や機能だけでなくサービスのセキュリティ、プライバシーポリシー、規約なども十分に確認し、信頼できるサービスや機器を選ぶことが重要です。
オンラインサービスのアカウント情報のバックアップには、パスワード管理ツールも便利です。データが消えるリスクに備えて、予め対策を行っておきましょう。

6.時にはデジタルデトックスしてみる

デジタルデトックスとは、一時的にスマホなどのデジタル機器から離れ、現実のコミュニケーションや自然とのつながりに重きを置く時間をつくることです。
ステイホームの推奨で、テレワークやオンライン授業、動画視聴やオンラインゲームといったネットを利用する時間が増えている家庭も少なくありません。デジタルデトックスを取り入れて、心身の疲れをリセットしてみましょう。
サイバー犯罪者はネット利用者の心の隙を巧みに利用して詐欺などにおとしいれるため、頭がすっきりしない状態や、心に余裕がない状態でネットを利用することはセキュリティ上も良くありません。食事の時間や夜何時以降はデジタルデトックスを心がけるなど、家庭内のルールに加えてみましょう。

自主的にネットから離れることが難しい場合は、デバイスやアプリなどの機能を活用するのも一案です。

ネットの利用時間制限機能一例

●iPhone、iPad、iPod touch:設定 → スクリーンタイム から休止時間や一日のアプリの使用時間制限の設定が可能。
・iPhone、iPad、iPod touch でスクリーンタイムを使う
https://support.apple.com/ja-jp/HT208982

●Androidデバイス、Chromebook:ファミリー リンクアプリからデバイスやアプリの一日の利用時間の上限設定などが可能。
・お子様の利用時間を管理する
https://support.google.com/families/answer/7103340?hl=ja

●Nintendo Switch:Nintendo みまもり Switchから一日のゲーム時間の制限などが可能。
・Nintendo みまもり Switch
https://www.nintendo.co.jp/hardware/switch/parentalcontrols/index.html

■テレワーク時の対策


テレワーク推進によりはじめてテレワークを行うことになった方もいるのではないでしょうか。テレワークでは職場での勤務時以上にセキュリティに気を配る必要があります。あらためて対策ポイントを確認しておきましょう。

詳しい対策はこちらの記事を参照してください。
・自宅で仕事やオンライン学習を安全に行うためのセキュリティチェックリスト
・従業員の不注意が引き金となる情報漏えいパターンと防止策


ゴールデンウィーク中も安心・安全にネットを活用しましょう。]]>
https://is702.jp/main/images/news/S210420_1.jpg
ゴールデンウィーク前に対策と相談の多い事例をチェック|IPA 独立行政法人情報処理推進機構(IPA)は4月21日、ゴールデンウィークの長期休暇に向け、情報セキュリティに関する注意を改めて呼びかけました。 2021-04-23T00:00:00+09:00
ゴールデンウィークなどの長期休暇は、ネット詐欺やサイバー攻撃が増加しがちな時期です。一方で、セキュリティ被害やインシデントが発生した場合でも、組織や企業においてはセキュリティ担当部門との連絡が付きにくく、対処が遅れがちです。個人の行動においても、外出自粛によりネット利用が増え、不用意なトラブルを招く可能性が高まります。

特に今年のゴールデンウィークは、緊急事態宣言発令が予定されており、昨年のステイホーム週間同様にネット利用が増加すると思われます。マルウェア(ウイルスなど不正なプログラムの総称)感染やネット詐欺被害に注意してください。

■組織や企業
長期休暇における基本的なセキュリティ対策では、対応体制や関係者への連絡方法を事前調整するといった「休暇前の備え」、不審なアクセスや侵入の痕跡がないかチェックするといった「休暇後の確認」が重要です。休暇前・休暇後のそれぞれで、以下のポイントを確認してください。

【日頃から行っておくべき対策】
・OSやアプリケーションなど、最新のアップデートを適用する。
・ウイルス対策ソフトなど、定義ファイルを更新する。
・ハードディスクやUSBメモリなど、使用するメディアのウイルスチェックをする。
・適切なログインIDとパスワードを使用しているか、改めて確認する。
・不審なメールやSMSに注意し、不用意にリンクをクリックしたり添付ファイルを開いたりしない。
・パソコンやスマホなどには画面ロックを設定する。
・管理者向け:データの持ち出しなどが不用意に発生していないか、ポリシーを改めて徹底する。
・管理者向け:重要データのバックアップを行う。

【休暇前の備え】
・緊急時の対応体制・連絡手順などを確認する。
・管理者向け:不要なサービスやアカウント、機器を停止または削除する。

【休暇後の確認】
・休暇期間中に更新プログラムなどが公開されていないか、必要に応じて情報収集する。
・休暇中に持ち出していたデータを社内に戻す際に、事前にウイルスチェックする。
・休暇中のメールが溜まっていても、読み飛ばさず、リンク先URLや添付ファイルに注意する。
・管理者向け:休暇中のサーバやシステムに、不審なアクセス履歴がないか確認する。
・管理者向け:休暇中のサーバやシステムに、改ざんなど、変化がないか確認する。

自宅や外出先でテレワークを行っている場合は、以下の点にも注意してください。

・テレワークで使用するパソコンなどは、できる限り他人と共有しないこと。
・公共の場所でパソコンを使用するときは、画面をのぞかれないようにすること。
・公衆Wi-Fiを利用する場合は、ファイル共有機能をオフにすること。
・信頼できるVPNサービスを利用すること。

こうした対応は、長期休暇に限らず日常的なセキュリティ対策としても有効です。日頃から注意をするようにしましょう。

■家庭
個人や家庭における対策の注意点として、以下のような項目を挙げています。自身のネット利用だけでなく、保護者は子どものネット利用にも注意を払ってください。

・行楽等の外出前や外出先でのSNS投稿に注意
・SNSのやりとりによるトラブルに注意
・偽のセキュリティ警告に注意
・メールやショートメッセージ(SMS)、SNSでの不審なファイルやURLに注意

関連記事
・お子さんをネットの危険から守るために保護者ができる対策とは


さらにIPAでは最近相談が多い事例として、パソコンやスマホのブラウザを悪用した不審な通知、iPhoneカレンダーを悪用した不審な通知について紹介しています。こうした事例を事前に知っておくことは、脅威に遭遇した際の落ち着いた対処につながります。手口を確認しておきましょう。

関連記事
・ブラウザの「通知」機能を悪用した偽のウイルス感染通知に注意|IPA
・iPhoneのカレンダーに勝手にイベントが登録される!?
]]>
https://is702.jp/main/images/news/img_news41.jpg
勤務先や取引先をサイバー攻撃から守るために身につけておくべき基礎知識 いまや業種や規模にかかわらず、多くの企業や組織がサイバー攻撃の標的になり得る時代です。サイバー攻撃は標的の従業員に宛てたメールを起点とするものが多く、経営層や従業員が、いつ狙われるかわかりません。企業や組織の一員としてサイバー攻撃を回避するポイントを押さえておきましょう。 2021-04-22T00:00:00+09:00
サイバー攻撃は他人事?

勤務先や取引先をサイバー攻撃から守るために身につけておくべき基礎知識

2021/04/22
サイバー攻撃は他人事? 勤務先や取引先をサイバー攻撃から守るために身につけておくべき基礎知識

業種や規模にかかわらず、多くの企業や組織がサイバー攻撃の脅威にさらされています。サイバー攻撃によるマルウェア感染や情報漏えいなどの被害は、従業員の何気ない行動によってもたらされる場合もあります。勤務先や取引先をサイバー攻撃から守るために従業員が身につけるべきセキュリティの基礎知識を紹介します。

企業や組織に降りかかるサイバー攻撃の脅威

企業や組織を狙うサイバー攻撃の勢いは一向に衰えません。トレンドマイクロが国内の民間企業、官公庁自治体などを対象に行った調査では、約8割の組織が2019年4月から2020年3月までに何らかのセキュリティインシデントを経験したことがわかりました。内訳は「フィッシングメールの受信」が42.8%と上位。「ビジネスメール詐欺のメール受信」が29.1%、「不正サイトへのアクセス」が26.5%、「標的型攻撃」が22.2%と続きました。

サイバー攻撃によるマルウェア(ウイルスなど不正なプログラムの総称)感染や情報漏えいなどの事故は、経営層や従業員の不注意によって引き起こされる場合もあります。勤務先をサイバー攻撃から守るために必要なセキュリティ知識を身につけましょう。

サイバー攻撃は従業員宛てのメールが起点に

企業や組織を狙うサイバー攻撃の多くは従業員に送りつけられるメールが起点となっています。以下に、実例を見ていきましょう。

●ビジネスメール詐欺

ビジネスメール詐欺(BEC:Business E-mail Compromise)は、経営幹部や取引先などを装ったメールを従業員に送りつけ、金銭や情報をだまし取る手口です。たとえば、最高経営責任者を装う送金指示メールを経理担当者に送りつけ、サイバー犯罪者の管理下にある口座に送金させるパターンがあります。こうしたメールでは「緊急の送金依頼」「極秘」などの文言で緊急を要する機密案件である旨を伝え、早急かつ秘密裏に送金するよう圧力をかけます。また、取引先を装うメールに偽の請求書を添付し、振込先の変更を依頼する手口も確認されています。

BECでは業務メールアカウント情報の詐取も行われる場合があります。サイバー犯罪者の狙いは、業務メールアカウントを乗っ取ることでメールの内容を盗み見たり、なりすましメールを送信したりすることです。業務メールにクラウドサービスを利用する企業の従業員は、システム担当者やサービス事業者を装って「業務メールシステムへの再ログインが必要」「パスワードの有効期限が迫っている」などと呼びかけるメールに注意してください。それはフィッシングサイトに誘い込む罠かもしれません。

図:Microsoft 365を装ったフィッシングメールの例、パスワードの延長と称して偽サイトに誘導

●標的型サイバー攻撃

標的型サイバー攻撃は、重要情報の窃取を目的として、特定の企業に対して長期的に行われる一連の攻撃を指します。攻撃者は、あらゆる手段・手法を駆使し、目的達成のために標的とした組織を攻撃し続けます。典型的な攻撃パターンは、従業員のパソコンに遠隔操作ツールを送り込むことで標的のネットワークに侵入し、情報を盗み出したり、標的の端末に別のマルウェアをダウンロードさせたりすることです。

標的型サイバー攻撃も従業員宛てのメールが発端となる場合があります。たとえば、実在する企業や組織、取引先担当者、社内の関係者などを装って「請求書」「賞与支払」などの件名のメールを送りつけ、Officeの文書ファイルを開かせる手口が確認されています。ファイルを開き、メッセージバーの「コンテンツの有効化」をクリックしてしまった場合、不正なマクロが実行され、マルウェアに感染してしまうかもしれません。
2019年から2021年初頭にかけて国内でも大きな被害が発生したEMOTET(エモテット)と呼ばれるマルウェアも、メールの添付ファイルが感染経路でした。EMOTET自体は収束しましたが、それによって感染させられた別のマルウェアによる脅威や、すでに漏えいしてしまった情報の悪用、同様の手口による攻撃には今後も注意が必要です。

【メールを起点とするサイバー攻撃を回避するポイント】

  • 「添付ファイルやURLリンクを開かせようとする」「電話をかけさせる」「情報を送信させる」など、何らかの行動を促すメールの真偽を注意深く確認し、少しでも違和感を覚えた場合はメール以外の手段で差出人に事実確認をするか、セキュリティ管理者に相談する
  • 経営幹部や取引先から通常とは異なる口座への送金を求められた場合は、緊急や極秘と書かれていても社内ルールに定められた手順どおりに対処する
  • メールの添付ファイルやURLリンクは不用意に開かず、リンクを直接クリックするのではなく、可能な限りブックマークや社内ポータルサイトを介して通知内容の確認をする
  • 勤務先の規定に従ってOSやセキュリティソフトを更新する

従業員の業務サービスアカウントが狙われる

「異なるパスワードを設定すると忘れてしまう」などの理由から、Webメールやクラウドストレージなどの複数のサービスに同一のIDとパスワードを使い回していると勤務先を危険にさらしてしまうかもしれません。

複数のサービスで同一のIDとパスワードを使用しているとしましょう。仮に、フィッシング詐欺によって1つのサービスのIDとパスワードがサイバー犯罪者の手に渡ってしまった場合どうなるでしょうか。それは複数のサービスのIDとパスワードも漏れたことを意味します。つまり、同一のIDとパスワードの使い回しは各種サービスのアカウントを芋づる式に乗っ取られるリスクを高める行為なのです。

「×××1」「×××2」のように数字だけ異なる文字列や、「qwerty」「asdfgh」などのキーボードの配列、「password」「picture」などの辞書に載っている単語を各種サービスのパスワードとして設定するのも危険です。第三者が容易に探り当てられるものでは認証をかける意味が薄れてしまいます。アルファベットの大文字、小文字、数字、記号など、使用できる文字種をランダムになるべく長く組み合わせ、第三者に推測されにくいパスワードを設定してください。パスワードの管理や作成を困難と感じる場合は、パスワード管理ツールの利用が便利です。勤務先で利用が許可されている場合は活用すると良いでしょう。

【アカウントを安全に管理するポイント】

  • サービスごとに異なるIDとパスワードを使用する
  • 第三者に推測されにくいなるべく複雑で長いパスワードを設定する
  • IDとパスワードを記載したメモを他人の目につく場所に置かないことを徹底するとともに、メモ上では自身が記憶している文字列を空欄にしておくなど、万一の紛失や盗難に備える
  • 勤務先に指定された手段と方法でアカウントを管理する

SNSの利用は慎重に

LinkedInなどのSNSがサイバー攻撃の準備段階におけるスパイ活動の場として使われていることを知っていますか。サイバー犯罪者はSNS利用者が広く公開しているプロフィール情報(勤務先名や役職、業務メールアドレスなど)や仕事がらみの投稿(職場の人間関係や内部情報、機密情報を含む写真・動画)をもとに標的企業の情報収集と攻撃対象の選別を行います。その上でもっともらしい内容のメールを仕立て、従業員をだましにかかります。

たとえ、プライベートなSNSでも、そこでの投稿や発言には責任が伴うことを自覚しましょう。SNS上に本来秘密にするべき職務内容や取引関係、業務上知り得た情報などを公開するのはもってのほか。SNSでの不適切な投稿で勤務先や取引先に損害を与えてしまった場合、懲戒の対象になるだけでなく、損害賠償を請求される可能性もあることを覚えておきましょう。SNSへの投稿がきっかけとなり、自身の進退を問われたり、社会的地位を失ったりした例も実際に起こっています。

【SNSを安全に利用するポイント】

  • 各SNSに適切なプライバシー設定を行う
  • SNSへの投稿内容は不特定多数の目に触れる可能性があることに留意する
  • SNSに投稿する前に不適切な発言や映り込みが含まれていないかどうかを見直す
  • 勤務先が定めるSNSの利用ルールに従う

サイバー攻撃は、規模や地域、業種を問わない脅威です。あらゆる企業や組織がターゲットであり、どの従業員が、いつ狙われるかわかりません。すべての従業員にはサイバー攻撃を回避するためのセキュリティ知識を身につけるだけでなく、サイバー犯罪者に付け入る隙を与えない行動も求められます。

]]>
http://rss.is702.jp/main/rss/3845_l.jpg
2021年1月~3月のセキュリティ脅威や危険性の高い脆弱性についてあらためて確認を|JPCERT/CC JPCERTコーディネーションセンター(JPCERT/CC)は4月15日、2021年1月~3月に確認された脆弱性情報・脅威情報について、あらためて注意を呼びかけました。 2021-04-20T00:00:00+09:00
2021年1月~3月において、国内でも広く普及している製品の脆弱性の悪用が報告されたり、影響度が高いサイバーセキュリティの脅威が発生したりしました。こうした事態を受け、JPCERT/CCでは特に下記の項目について、あらためて解説と対策の紹介を行いました。

・Microsoft Exchange Serverの複数の脆弱性
3月2日(米国時間)に情報が公開され、すでに悪用の事実が確認されています。影響を受ける製品およびバージョンの利用者は、早急に更新プログラムの適用を実施してください。

関連記事:すでに攻撃に悪用されている脆弱性や、新たなExchange Serverの脆弱性修正を含む、4月のセキュリティ更新プログラム公開|マイクロソフト

・SSL-VPN製品を含むネットワーク製品の脆弱性
SonicWallは2月3日(米国時間)、同社製SMA100シリーズの脆弱性に関する情報を公開しました。3月10日(米国時間)にはF5 Networksが同社のBIG-IP製品について脆弱性を公表しています。これらについても脆弱性の悪用による被害や、悪用を試みたと推測される通信などがそれぞれ報告されています。利用している組織や企業は製品のバージョンアップなど対策を早急に行ってください。

・マルウェアEMOTETのテイクダウンと感染端末に対する通知
海外の捜査当局により、EMOTETのテイクダウン(攻撃指令サーバの停止)が1月に行われ、それに伴う処置でEMOTETは無害化されましたが、感染した端末については別途対応が必要です。そのため、総務省・警察庁などからEMOTETに感染した機器の利用者に通知が行われていますます。

関連記事:国内のEMOTET感染機器に対する注意喚起に便乗した詐欺や攻撃に注意

・クラウドサービスの運用、設定
クライアントアプリなどに脆弱性が存在する場合や、適切な設定が行われていない場合、不正利用・情報漏えいなどが発生する可能性があります。現在の運用や設定が適切に行われているかを確認してください。

関連記事:「Trello」利用者は改めて設定の確認を、「公開」設定だと第三者が閲覧可能な状態に

あわせてJPCERT/CCでは、4月下旬~5月上旬のゴールデンウィークに備えて、連絡網の整備・見直し、OSやソフトウェアのバージョンアップ、データのバックアップ、データ持ち出しルールの確認などを推奨しています。また不正サイトの発見時の報告についても、あらためて協力を呼びかけています。他にも最近公開された修正プログラム情報や、さまざまな参考情報についてもリンクを紹介しています。なおJPCERT/CCでは、2021年1月~3月の期間に発生したインシデントの報告対応レポートも同日に公開しました。

サイバー犯罪は日々巧妙化、進化しています。最新動向に注意し、迅速な対応や対策を心掛けましょう。
]]>
https://is702.jp/main/images/news/img_news40.jpg
すでに攻撃に悪用されている脆弱性や、新たなExchange Serverの脆弱性修正を含む、4月のセキュリティ更新プログラム公開|マイクロソフト マイクロソフトは4月14日(日本時間)、月例のセキュリティ更新プログラムを公開しました。独立行政法人情報処理推進機構(IPA)およびJPCERTコーディネーションセンター(JPCERT/CC)も注意を呼びかけています。 2021-04-15T00:00:00+09:00
対象となるソフトウェアは、「Azure AD Web Sign-in」「Azure DevOps」「Azure Sphere」「Microsoft Edge (Chromium-based)」「Microsoft Exchange Server」「Microsoft Graphics Component」「Microsoft Internet Messaging API」「Microsoft NTFS」「Microsoft Office Excel」「Microsoft Office Outlook」「Microsoft Office SharePoint」「Microsoft Office Word」「Microsoft Windows Codecs Library」「Microsoft Windows Speech」「Open Source Software」「Role: DNS Server」「Role: Hyper-V」「Visual Studio」「Visual Studio Code」「Visual Studio Code – GitHub Pull Requests and Issues Extension」「Visual Studio Code – Kubernetes Tools」「Visual Studio Code – Maven for Java Extension」「Windows Application Compatibility Cache」「Windows AppX Deployment Extensions」「Windows Console Driver」「Windows Diagnostic Hub」「Windows Early Launch Antimalware Driver」「Windows ELAM」「Windows Event Tracing」「Windows Installer」「Windows Kernel」「Windows Media Player」「Windows Network File System」「Windows Overlay Filter」「Windows Portmapping」「Windows Registry」「Windows Remote Procedure Call Runtime」「Windows Resource Manager」「Windows Secure Kernel Mode」「Windows Services and Controller App」「Windows SMB Server」「Windows TCP/IP」「Windows Win32K」「Windows WLAN Auto Config Service」と、幅広い製品が対象となっており、深刻度「緊急」の脆弱性も含まれています。こうした脆弱性を悪用された場合、アプリケーションプログラムが異常終了したり、リモートからの攻撃によって任意のコードを実行されたりする可能性があります。

このうち「Win32kの特権の昇格の脆弱性」(CVE-2021-28310)については、悪用の事実がすでに確認されており、被害が拡大するおそれがあります。

また、オンプレミスのExchange Serverに対する新たな脆弱性の修正も含んでおり、情報公開時にはこの脆弱性を悪用した攻撃は観測されていませんが、昨今のサイバー攻撃者の活動状況を踏まえ、迅速な更新プログラムの適用を呼び掛けています。

各製品のユーザは、Microsoft UpdateやWindows Updateなどを用いて、システムの更新を至急行ってください。自動更新を設定している場合も、念のため更新が適用されているか確認するのが望ましいでしょう。
]]>
https://is702.jp/main/images/news/img_news47.jpg
Chrome利用者はアップデートの確認を 4月14日(現地時間)、GoogleはWindows、Mac、Linux向けChromeのアップデートを公開しました。 2021-04-15T00:00:00+09:00
今回のアップデートには37件の脆弱性(セキュリティ上の欠陥)の修正を含むとしています。
基本的には自動更新されますが、利用環境によっては更新が保留されている場合もあります。
ウェブブラウザとしてChromeを利用している場合は、アップデートが適用されているか確認を行いましょう。

■Chromeのアップデート確認方法例
Chromeを開き、右上の「Google Chromeの設定」から 
ヘルプ → Google Chromeについて 
を選択するとバージョンの確認が実行されます。


図:最新版が適用されている表示例

図:最新版が適用されている表示例

]]>
https://is702.jp/main/images/news/img_news44.jpg
スマホのOSが最新かどうかを確認しよう ひろしは、スマホのOSをアップデートすることをアカリに勧めるも… 2021-04-15T00:00:00+09:00
ひろしとアカリのセキュリティ事情

スマホのOSが最新かどうかを確認しよう

2021/04/15

OSの脆弱性を解消しよう

iPhoneやAndroid端末などのスマホを安全に利用するためには、OS(基本ソフト)の脆弱性対策が欠かせません。脆弱性は、プログラムの不具合などが原因で生じるセキュリティ上の欠陥です。

スマホのOSに脆弱性があると、どのようなリスクが生じるでしょうか。たとえば、端末を不正操作されたり、端末内の連絡先情報やファイルを盗み取られたりする可能性があります。iOSではこれまで、端末にインストールされた正規アプリを不正アプリに置き換えられたり、Apple IDを流出させたりするリスクのある脆弱性が確認されています。Android OSでも過去に、端末を不正操作されたり、端末からの通信を傍受されたりしてしまうリスクのある脆弱性が見つかりました。

iPhoneやAndroid端末に存在するOSの脆弱性を解消するためには、OSのアップデートが欠かせません。iPhoneの場合、iOSの開発元であるApple社が脆弱性を発見すると、それらの脆弱性を修正したiOSの最新版を提供します。Android端末の場合、各端末メーカーや携帯電話会社が最新版をリリースするタイミングなどを判断します。ユーザは最新のOSを適用することで、脆弱性によって生じるリスクを回避できます。

ただし、機種によっては最新版のリリースが遅れたり、アップデートが公開されなかったりする場合もあるため、セキュリティアプリを最新の状態にして利用するといった対策は必須です。また、サポート切れの端末を使い続けている場合は脆弱性を放置しているも同然です。新機種への買い替えを検討してください。

通常、iPhoneやAndroid端末ではOSの最新版が提供されると、ロック画面や通知領域に更新の通知が届きます。しかし、何らかの理由で通知されなかったり、ユーザが通知を見落としたりすることがあるかもしれません。iPhoneやAndroid端末にOSの最新版が提供されているかどうかを定期的に確認する習慣をつけましょう。

【iPhoneの場合】

端末の「設定」から「一般」へ進みます。「ソフトウェア・アップデート」をタップすると、「アップデートを確認中」と表示されるため、しばらく待ちます。利用可能なソフトウェア・アップデートがない場合、あるいは最新版を適用済みの場合は、「お使いのソフトウェアは最新です」と表示されます。iOSの最新版がある場合は、最新のiOSのバージョン名が表示されます。「今すぐインストール」をタップし、画面の指示に従って操作すれば最新のiOSにアップデートできます。

図:最新版のiOSが反映されている例

【Android端末の場合】

端末の「設定」から「システム(※)」、「詳細設定」に進み、「システムアップデート」を押すと、Android OSの最新版が提供されているかどうかを確認できます。利用可能なソフトウェア・アップデートがない場合、あるいは最新版を適用済みの場合は、「最新バージョンに更新されています」、「最新のソフトウェアを利用中です」、「お使いのシステムは最新の状態です」、「更新なし」などと表示されます。Android OSの最新版がリリースされている場合、「今すぐ更新」、「アップデート」、「(再起動して)インストール」などと表示されます。それをタップし、画面の指示に従って操作すれば最新のAndroid OSにアップデートできます。
※OSのバージョンや機種によっては、「システム」ではなく、「端末情報」や「端末管理」、「バージョン情報」などと表記されます。詳しくは各機種の取り扱い説明などを参照してください。

図:更新待ちのAndroid OSを最新版に更新した例

ひろしとアカリのセキュリティ事情 ひろしとアカリの日常をもっと見る
ひろしとアカリのセキュリティ事情 ひろしとアカリの日常をもっと見る
]]>
http://rss.is702.jp/main/rss/3844_l.jpg
解説動画「2020年年間脅威動向を振り返り、今、従業員一人ひとりが行うべき対策とは?」公開 2021年3月公開「2020年年間セキュリティラウンドアップ」の内容を踏まえ、従業員一人ひとりが知っておくべき脅威とその対策を紹介する解説動画を、is702パートナープログラム限定で公開しました。 2021-04-13T00:00:00+09:00
約20分の動画は、なるべく専門用語を使わずポイントを絞った内容となっており、自組織内の従業員教育に活用して頂ける内容となっています。

動画ファイルは、is702パートナープログラムの登録パートナー向けポータルサイト*で公開しています。
*is702パートナー専用ページにログインするには、別途事務局からご案内している認証ID、認証コードが必要です。

is702パートナープログラムについてはこちら



]]>
https://is702.jp/main/images/news/S210413.JPG