is702 2019-11-12T00:00:00+09:00 インターネット・セキュリティ・ナレッジ 無断課金される偽カメラアプリをGoogle Playで発見、東南アジアや中国の利用者が標的に トレンドマイクロは11月11日、公式ブログで「モバイル決済を侵害する偽カメラアプリ、Google Playで拡散」と題する記事を公開しました。高性能なカメラアプリに偽装し、不正にモバイル決済を行うAndroid向け不正アプリ「AndroidOS_SMSNotfy」(アプリ名:「Yellow Camera」)を、同社がGoogle Play上で発見したとのことです。 2019-11-12T00:00:00+09:00
「Yellow Camera」やその他名称の類似アプリは、美しい写真を撮影できることをセールスポイントにしており、実際にそうした機能を備えていました。一方で、Androidのシステム通知(画面に表示されるプッシュ通知)に表示されるSMS認証コードを読み取る機能も埋め込まれていることが発覚。この機能を使うと、SMS(ショートメッセージサービス)の管理権限をアプリに与えなくても認証情報を読み取ることが可能になります。そのため、画面上のポップアップから読み取った認証情報をもとに「Wireless Application Protocol」(WAP)を使用したモバイル決済を有効にでき、利用者による認証を必要とせずに勝手な課金が可能となります。尚、WAPとはネットの共通通信方式の一つであり、サービスによりその方式は異なります。

WAP決済や定額課金サービスを悪用した詐欺はこれまでにもありました。しかし、今回の事例ではSMSの管理権限を必要とせず、以前とは異なる攻撃方法がとられています。そのため、利用者に不正アプリをインストールさせることさえできれば、そのバックグランドで勝手に課金契約を有効にできることを示しています。

今回確認された不正アプリでは、タイ、マレーシア等、主に東南アジア諸国の利用者が標的となっていました。さらに、中国語話者を対象とする偽アプリも確認されており、徐々に標的を拡大している状況だと推測しています。そのため、国内利用者もこのような不正アプリに対して注意が必要です。
一方で、トレンドマイクロはすでにこれら不正アプリをGoogleに報告しており、問題の偽アプリ群はストアから削除されています。

アプリを入手する際は、必ず公式ストアからインストールするだけでなく、提供元情報やアプリのレビューも確認しましょう。他のユーザによるレビューは、不正アプリ、もしくは不審な動作を行うアプリを判別するのに役立ちます。また、レビューが高評価と低評価に二分しているような場合にも注意が必要です。
さらに、セキュリティアプリを予めインストールしておくことで、不正アプリからの脅威によるリスクを低減させることができます。



「Yellow Camera」と類似の不正な機能を含む偽アプリ

「Yellow Camera」と類似の不正な機能を含む偽アプリ

]]>
https://is702.jp/main/images/news/S191112.jpg
フィッシングの報告件数が急増、10月のみで8千件を突破|フィッシング対策協議会 フィッシング対策協議会は11月6日、フィッシングに関する10月の集計結果を発表しました。 2019-11-08T00:00:00+09:00
それによると、同協議会に寄せられたフィッシング報告件数は、前月の6,218件より1,816件増加し8,034件。今年に入ってから増加傾向が続いていましたが、最大幅の増加となりました。仮にこのペースが続いたとすると、年内にも月1万件を突破する可能性があります。

フィッシングサイトのURL件数(重複なし)は、前月の2,087件より410件増加し2,497件で、これもここ数か月のなかでは最も大きな伸びを見せています。フィッシングに悪用されたブランド件数(海外含む)も、前月より8件増加し55件でした。
Amazon、Apple、あるいは金融機関等を騙るフィッシングメールの報告が増えている一方、LINE、マイクロソフト、クレジットカードブランドについても、引き続き高止まりとなっています。SMSを悪用したフィッシング(スミッシング)の報告も増えており、金融機関等をかたるSMSの事例も確認されています。
そのほか、航空会社からの払い戻し名目に見せかけ、クレジットカード情報を詐取しようとする手口、Apple製品が当選したと偽り有料サービスに登録させようとする手口等が確認されました。

偽サイトで情報を入力してしまうと、さまざまな被害に遭う可能性があります。不審なメールを受け取った場合は、各サービス事業者の問い合わせ窓口、またはフィッシング対策協議会に連絡してください。
また、不審なサイトやメッセージによる脅威のリスクを下げるためにも、セキュリティソフトやアプリを必ずインストールし、最新の状態に保って利用しましょう。

]]>
https://is702.jp/main/images/news/img_news39.jpg
グーグル、2段階認証プロセスで「キャリアメールでの確認コード受け取り」を廃止 グーグルは11月7日、公式ブログにて「2段階認証プロセスでの変更について」と題する記事を公開しました。 2019-11-08T00:00:00+09:00
グーグルは「Googleアカウント」の確認システムの改善を進めており、12月1日以降は、「キャリアメール」(@docomo.ne.jp、@ezweb.ne.jp、@softbank.ne.jp等のメールアドレス)で、「Googleアカウント」に関する確認コードを受け取れなくなります。

2段階認証のコードを受信できないと、「Googleアカウント」にログインできなくなるため、該当者は変更を行うよう、グーグルは注意を呼びかけています。2段階認証を有効にしており、確認コードの受信にキャリアメールを設定している場合は、その他の認証方法に変更してください。

Googleアカウントの2段階認証では、「Googleからのメッセージ(Phone Prompt)」「テキストメッセージ(SMS)または音声通話」「セキュリティキー」が、12月1日以降も利用可能です。
ネットサービスの利用者は、アカウントの不正利用を防ぐためにも2要素認証(2段階認証、2ファクタ認証などとも呼ばれる)に対応しているサービスでは設定を行っておきましょう。
]]>
https://is702.jp/main/images/news/img_news41.jpg
悪質な詐欺メール「首里城再建寄付」に利用者がSNSで注意喚起、警戒呼びかけ側にも落とし穴? 首里城での火災を悪用した詐欺メールが拡散しているとSNS上で複数の利用者から報告されています。 2019-11-08T00:00:00+09:00
このメールについてはすでにブランド名を悪用されているauでも注意喚起が行われております。さらに、その不審な文面や善意を逆手に取った不謹慎な手口であることから、メール受信者本人による注意喚起も多くなっているものと考えられます。
しかし、このメールに記載されている不正なURLは、受信者のメールアドレスを誘導先の不正サイトに記載しているため、受信したメールをそのままネット上に投稿してしまうと、自身のメールアドレスを不特定多数に公開してしまう危険性があります。

今回報告されている詐欺メールは、差出人としてauサポートをかたり、利用請求額の一部を首里城再建の支援金とすると称しています。件名は「【首里城再建寄付】に関して」のあとに番号がつづくような件名が報告されています。
本文中には、URLが記載されており、クリックしてしまうと、当選詐欺や出会い系サイト、成人向け広告などに誘導されます。そして、当選詐欺のWebサイトでは、当選に信憑性を持たせるために受信者のメールアドレスが記載されています。そのため、受信したメールをそのままネット上に公開してしまうと、その不正サイトにアクセスした第三者に自身のメールアドレスを知られてしまう可能性があります。

不審なメールを受信した利用者が注意喚起を行うことは、被害者を減らす助けに繋がります。しかし不正なURLの表示方法によっては、他の利用者を不正サイトへ誘導することにもなりかねません。また、内容によっては自身の個人情報をネット上にさらしてしまう危険性も含んでいます。
直接注意喚起を行う場合は、表示されている自身のメールアドレスや名前に加え、URLもマスクすると良いでしょう。また、偽装に悪用されている企業や、関係機関に受信したメールを報告することで広く注意喚起を行うことが出来ます。
ネット利用者はこのような偽メールをメールの設定やセキュリティソフトやアプリで防ぐとともに、同様の事例が無いかネット上で探すことも対策の一つとなります。そして、このような寄付金詐欺にあわないため、支援金は公式の窓口から申し込むようにしましょう。



誘導される当選詐欺サイトに記載されたメールアドレス

誘導される当選詐欺サイトに記載されたメールアドレス

]]>
https://is702.jp/main/images/news/S191108_2.png
コンピュータウイルスの基本と3つの感染予防策 ウイルスはネットにつながる機器を取り巻く代表的な脅威の1つです。万一入り込むとさまざまな悪さを働きます。ウイルスの基本を知り、感染を防ぐための対策を押さえましょう。 2019-11-07T00:00:00+09:00
そもそもウイルスってなに?

コンピュータウイルスの基本と3つの感染予防策

2019/11/07
そもそもウイルスってなに? コンピュータウイルスの基本と3つの感染予防策

あらたまってコンピュータウイルス(以下、ウイルス)とはなにかを問われると答えに窮する方も多いのではないでしょうか。今回はそもそもウイルスとは何かに加え、サイバー犯罪者の目的や侵入経路、感染しないための3つの対策を解説します。

ウイルスはマルウェアの一種

ウイルスはパソコンなどの機器に侵入すると内部のファイルに寄生し、さまざまな不正行為を働くプログラムで、自己増殖するための機能を持っています。ウイルスは一般にマルウェアの代名詞として用いられていますが、ウイルスはマルウェアの一種です。つまり、マルウェアは総称なので厳密にはこれらは別物です。

マルウェアとは「Malicious(悪意のある)」と「Software(ソフトウェア)」を組み合わせた造語で、コンピュータに何らかの損害を与えるために作成された不正プログラムや悪意のあるソフトの総称です。マルウェアにはウイルスのほかに次のような種類があり、パソコンだけではなく、スマホやIoT機器(スマートテレビやWebカメラなど)にも感染する危険性があります。

  • ワーム:ワームはウイルスとは異なり、寄生するファイルを必要とせずに自己増殖して感染を広げます。その自走できる虫のような動きからワームと呼ばれています。
  • トロイの木馬:ギリシャ神話が語源となっており、その名の通り一見害の無いものに見せかけて入り込み、攻撃をしかけます。正規のソフトウェアなどを装って機器に侵入し、攻撃者が意図したプログラムを秘密裏に動作させます。自己複製しないため、単体では別の機器に伝染することはありません。
  • スパイウェア:機器内の情報や入力された情報を収集することを目的としたプログラムです。
  • ランサムウェア:感染した機器を強制的にロックしたり、機器内のファイルなどを暗号化したりし、元に戻すことと引き換えに「身代金」を要求する不正プログラムです。

サイバー犯罪者はこのようなマルウェアを複数組み合わせて攻撃を行います。

なぜマルウェアが作られるのか?

一昔前のマルウェアの多くは、世間を騒がせ、自身の技術力も誇示したい愉快犯によって作成されてきました。パソコンに入り込むと画面に奇妙な画像が表示されたり、プログラムの動作が不安定になったりするため、ユーザがマルウェアの感染を察知できるケースがほとんどでした。

しかし、最近のサイバー犯罪はビジネス化しており、マルウェアも金銭や、お金になる情報の獲得を目論む犯罪グループや個人によって作成されています。そのため、より長く不正な活動ができるように被害者に感染を悟らせないものも多く、機器に侵入されても目立った症状が現れないこともあります。それらは潜伏して情報を盗み出したり、別のマルウェアをダウンロードしたりするのです。

では、犯罪グループはマルウェアを使ってどのように金銭を得ているのでしょうか。たとえば、マルウェアに感染させたパソコンやスマホからクレジットカード情報やインターネットサービスの認証情報、銀行口座番号などを盗み出し、それらを不正利用したり、インターネット上の闇サイト(闇市場)に売りさばいたりするのが典型的な方法です。また、ランサムウェアのように被害者から直接金銭を脅し取る場合もあります。いまや闇サイトで扱われる商品は情報だけではなく、ランサムウェアなどのマルウェアも売買されています。さらに、サービスとして販売し、利益を得るような仕組みまで構築されています。

マルウェアはどこから侵入するのか?

攻撃者はユーザに気づかれることなくパソコンにマルウェアを送り込もうとしています。感染の発覚を遅らせれば遅らせるほど、お金になる情報の獲得という目的を達成しやすくなるためです。マルウェアの感染経路は大きくWeb、メール、USBメモリなどの外部機器の3つがあります。それぞれの主な感染パターンを見ていきましょう。

Web経由の感染パターン

  • パターン1:OSやソフトの脆弱性を悪用される
    Webサイト閲覧時、ユーザが無意識にマルウェアに感染させられてしまう手口です。この手口で用いられるのがドライブ・バイ・ダウンロードです。これは、パソコンやスマホのOSやソフト、アプリの脆弱性(セキュリティの弱点)を悪用することでマルウェアを送り込む手法です。ユーザが改ざんされたWebサイトや不正サイトを閲覧したり、通常のWebサイトを閲覧したりしているだけでも不正な広告が表示されることで、脆弱性が悪用されてマルウェアに感染してしまうことがあります。
  • パターン2:ユーザ自身がマルウェアをインストールしてしまう
    正規のソフトやアプリを装ったマルウェアを利用者にインストールさせる手口です。たとえば、Google Chromeから特定のWebサイトにアクセスされた場合に「文字化けしている」というメッセージを表示し、正規のフォントソフトに見せかけてランサムウェアをインストールさせる手口も確認されました。その他、メールやSNSの投稿、ネット広告などでユーザを不正サイトに誘導し、マルウェアをインストールさせる手口もあります。また、Google Playなどの公式アプリストアにも不正アプリが紛れている場合もあります。

メール経由の感染パターン

  • パターン3:メールに添付された不正ファイルを開いてしまう
    不正なファイルを添付したメールを不特定多数にばらまき、それをクリックさせて感染させる手口です。こうした攻撃メールは、受信者が思わず開いてしまうように作り込まれています。実在する事業者をかたったり、請求書や有名人の名前を件名やファイル名に指定したりする手口もあります。

USBメモリなどを経由した感染パターン

  • パターン4:マルウェアに感染したUSBメモリやスマホ、パソコンを他の機器やネットワークにつないでしまう
    既にマルウェアに感染したUSBメモリや、意図的にマルウェアが仕込まれた機器なども感染経路の1つです。不特定多数が利用する公共のパソコンには第三者によってマルウェアが仕込まれる場合もあり、そこにUSBメモリなどを接続するとマルウェアが混入してしまうリスクがあります。もし、それを自分の機器に接続してしまうとマルウェアがコピーされ、感染してしまう可能性があります。

マルウェアの感染を防ぐ対策と対処法

1.OSやソフトの脆弱性を修正する

パソコンやスマホ、IoT機器のOSやソフト、アプリ、ファームウェアの脆弱性を残していると、気づかない間にマルウェアに感染してしまう危険性があります。開発元から更新プログラムが提供されたら速やかに適用し、脆弱性を修正してください。

パソコンにインストールされたソフトのバージョンが最新かどうかわからない方は、IPAが無償で公開する「MyJVNバージョンチェッカ for .NET」を試してみましょう。

2.メールのURLリンクや添付ファイルを不用意に開かない

実在する企業が差出人でも何らかの理由をつけてURLリンクや添付ファイルを開かせるようとするメールはマルウェアの拡散が目的かもしれません。不用意にリンクや添付ファイルをクリックせず、メールに怪しい部分がないかどうかを確認しましょう。その企業やセキュリティ事業者などが公表する注意喚起情報をチェックしたり、公式Webサイトに記載された問い合わせ先に電話したりして事実確認を行うことも大切です。

3.セキュリティソフトやセキュリティアプリを最新の状態で利用する

セキュリティソフトやセキュリティアプリを使うことで、不正サイトへのアクセス、マルウェアや不正アプリの感染リスクを下げることができます。次々と生み出される新たな脅威に対抗するため、セキュリティソフトやセキュリティアプリを正しく更新しながら利用してください。

※マルウェアの感染が疑われたときの対処法
メールのURLリンクや添付ファイルを何気なく開いてしまい、マルウェアに感染したかもしれないと不安になったときの対処法も確認しておきましょう。

]]>
http://rss.is702.jp/main/rss/3583_l.jpg
2019年第3四半期脅威動向、「二要素認証突破型フィッシング」「ECサイト改ざん」の脅威が拡大 トレンドマイクロは10月31日、公式ブログで「『カード情報詐取を狙うECサイト改ざん』と『ネットバンキング二要素認証突破型フィッシング』、2019年第3四半期の脅威動向を分析」と題する記事を公開しました。同社では、日本と海外のセキュリティ動向を分析した報告書「2019年第3四半期セキュリティラウンドアップ」を公開しており、それをもとにした内容です。 2019-11-01T00:00:00+09:00
この第3四半期(7~9月)に、国内では「認証」や「決済」に関連した脅威が拡大しました。特に、「国内ネットバンキングの二要素認証の突破を狙ったと考えられるフィッシングサイトの攻撃」が9月に急増、「脆弱性を利用したECサイト改ざんを発端に利用者のクレジットカード情報が詐取される被害事例」の公表も相次ぎました。

二要素認証の突破を狙うフィッシングでは、不安を煽る内容のフィッシングメールやSMSを利用者に送り付け、正規サイトに偽装したフィッシングサイトへ誘導。ログオン情報、さらに二要素認証を入力させ、情報と金銭を詐取します。これに対し、警察庁と日本サイバー犯罪対策センター(JC3)、国内大手銀行5行等は、同手口に関して注意を呼びかけています。



メールで通知されるワンタイムパスワードを入力させるフィッシングサイトの例(2019年8月確認)

メールで通知されるワンタイムパスワードを入力させるフィッシングサイトの例(2019年8月確認)



一方、ECサイトからのクレジットカード情報漏えい被害では、ECサイトの改ざんを原因とする事例の公表が相次ぎました。9月に公表された13件の事例について、そのすべてで脆弱性を利用した攻撃により、ECサイトやそのシステムそのものが改ざんを受けたことが原因とされています。これは、正規のECサイトであっても、セキュリティが行き届いていないことを意味しており、事業者側のさらなる対策強化が求めらています。

その他、国内で注目を集めた重大事例として、7月にサービス開始したキャッシュレス決済サービスにおいて、多数の不正利用が発生した件を紹介しています。これらの脅威動向について、具体的な事例や詳細データをまとめた報告書は、トレンドマイクロのサイトよりPDFファイルがダウンロード・閲覧可能です。



2019年第3四半期セキュリティラウンドアップ「ECサイト改ざんと二要素認証突破が拡大」表紙

2019年第3四半期セキュリティラウンドアップ「ECサイト改ざんと二要素認証突破が拡大」表紙


]]>
https://is702.jp/main/images/news/S191101_1.JPG
MacやiPhoneの利用者も要注意、Apple IDを狙うフィッシング詐欺とは? 高見部長のもとにApple IDの確認を求めるメールが届いたようです 2019-10-31T00:00:00+09:00
ひろしとアカリのセキュリティ事情

MacやiPhoneの利用者も要注意、Apple IDを狙うフィッシング詐欺とは?

2019/10/31

Apple IDをだまし取られないために

ネット詐欺はインターネット利用者を取り巻く代表的なサイバー犯罪の1つです。代表的な例としてAppleサポートを名乗るメールを介して受信者をフィッシングサイトへ誘導し、Apple IDなどの情報をだまし取る手口があります。Apple IDを利用している方はその手口を知り、詐欺に引っかからないように注意しましょう。

よく見られるのが、「Apple IDアカウントを回復してください」「お客様のApple ID情報は不足か、正しくないです」「ご利用のApple IDによる最近のダウンロードについて」といった件名のメールからログインを促すフィッシングメールです。
このようなメールでは、Appleをかたって「時間内に返信が無い場合はアカウントをロックします」「不正利用の可能性がある」などと通知して受信者の不安をあおり、対応を迫ります。さらに、時間制限を設けて受信者を焦らせ、判断を鈍らせようとするものもあります。このような手法はソーシャルエンジニアリングと呼ばれ、フィッシングメールに多用されます。

図:Appleをかたったフィッシングメールの一例

思わずURLリンクを開いてしまうと表示されるのがAppleのログインページに似せた偽サイトです。正規のログインページと誤認してApple IDとパスワードを入力すると、「アカウントがロックされている」というメッセージが表示され、ロックの解除を理由に個人情報やクレジットカード情報を入力させられます。その一連の流れの中で入力したすべての情報がサイバー犯罪者の手に渡ってしまいます。

図:偽ページでログインした後に表示されるメッセージの一例

サイバー犯罪者はネット利用者の心の隙を突き、巧みにフィッシングサイトなどに誘導します。MacやiPhoneでも被害に遭う可能性があることを認識し、WindowsやAndroid端末と同じようにセキュリティソフトやアプリを最新の状態に保つなどの必要な対策を講じましょう。

フィッシングサイトに情報を入力してしまったかもと思ったときは、正規のログインページからIDとパスワードを変更してください。2ステップ認証を有効にすることも重要です。

フィッシングメール、ウイルス感染の偽警告、偽のサポート電話などの詐欺に遭わないようにする
https://support.apple.com/ja-jp/HT204759

また、クレジットカード情報も入力してしまった場合は、すぐにクレジットカード会社に連絡し、利用停止の手続きを行ってください。その上で専門機関に相談しましょう。

ひろしとアカリのセキュリティ事情 ひろしとアカリの日常をもっと見る
ひろしとアカリのセキュリティ事情 ひろしとアカリの日常をもっと見る
]]>
http://rss.is702.jp/main/rss/3578_l.jpg
【注意喚起】2つの国内大手航空会社をかたった偽のメッセージに注意 国内大手航空会社をかたった偽のメールやキャンペーンメッセージが拡散中です。不正サイトへの誘導を確認していますので利用者は十分気を付けてください。今回ほぼ同時期に確認されたこれらの手口では、どちらも国内の大手航空会社をかたっています。 2019-10-30T00:00:00+09:00
JAL(日本航空)をかたった手口では、SNS上での書き込みから偽のキャンペーンサイトに誘導される手口が確認されています。偽サイト上では航空券プレゼントと称し、アンケートへ回答させます。その後、航空券の応募に必要だとしてSNS上で「ありがとう」というコメント付きでのリンクシェアを促します。FacebookやTwitter上では、このキャンペーンを信じた利用者のリンクシェアを複数確認しています。さらに、トレンドマイクロでは偽サイトのブロックを継続して確認しており、本記事執筆時点までの24時間で400人以上の利用者が誘導されていました。利用者によるこのようなリンクのシェアがその原因となっていると考えています。



SNS上でシェアされた偽キャンペーンページのリンク例

SNS上でシェアされた偽キャンペーンページのリンク例





誘導される偽のアンケート回答ページ

誘導される偽のアンケート回答ページ





偽のアンケートの最後にシェアを促す

偽のアンケートの最後にシェアを促す




一方、ANA(全日空)をかたった手口では、偽のメールで2万円の払い戻しを行うと称し、フィッシングサイトに誘導します。誘導先では、税還付に必要だとマイレージカード番号とクレジットカード情報を入力させようとします。また、この偽メールは、送信者名やメールアドレスを偽装しており注意が必要です。トレンドマイクロではこの偽メールの拡散を約1,400件確認しています。



偽の払い戻しメール

偽の払い戻しメール





差出人名とメールアドレスを偽装

差出人名とメールアドレスを偽装





メール内のリンクから誘導されるフィッシングサイト

メール内のリンクから誘導されるフィッシングサイト



利用者はこのような偽のメッセージやキャンペーンには十分気を付けてください。また、被害を広げないよう不確かな情報を拡散させないようにしましょう。かならず公式のWebサイトを参照し、メッセージの内容やキャンペーンの真偽を確認してください。今回の手口は各社の公式Webサイトでも注意喚起が行われています。
もし自身で判断が付かない場合は公式Webサイトで案内されている問合せ先に確認を行ってください。

また、このような偽の誘導先にアクセスしてしまわないよう、パソコンだけではなくスマホにもセキュリティアプリをインストールしておき、最新の状態に保って利用することでネット上の脅威によるリスクを下げることも対策として有効です。
]]>
https://is702.jp/main/images/news/S191030_7.png
二要素認証の突破を狙う攻撃が拡大中、ログインする際はより慎重に確認を トレンドマイクロは10月24日、公式ブログで「国内ネットバンキングの二要素認証を狙うフィッシングが激化」と題する記事を公開しました。 2019-10-25T00:00:00+09:00
ここ最近、国内におけるフィッシング詐欺において、メールで通知されるワンタイムパスワードだけでなく、電話で通知するもの、暗証カードや専用機器を使用するものなど、さまざまな二要素認証を狙う攻撃が確認されています。これらの攻撃は、ネットバンキングサイトの仕組みを調べた上で巧妙な手口を用意しており、二要素認証(2段階認証などとも呼ばれます)を突破することで、不正送金を狙っていると考えられます。

トレンドマイクロの監視によれば、このような二要素認証の突破を狙うフィッシングサイトについて、9月だけで94件の新規ドメイン登場が確認されたとのことです。1日平均で3件以上の新規ドメインが登場していることになりますが、2019年1~8月の8か月間の平均が1日1件弱だったことに比べ、明らかに攻撃が拡大していることがわかります。
また、正規の発行元による有効な証明書を使用したHTTPSサイトも多くなってきており、アドレスバーに鍵のマークが表示されているからと安心してはいけません。さらに、9月に登場した新規ドメインでは、日本のドメイン名である「.jp」を使用するものが7割弱を占めました。HTTPSに対応していること、「.jp」を使用することで、利用者に本物だと信じ込ませるための偽装がますます巧妙になっています。
さらに10月に入ってからは、携帯電話事業者を偽装したSMS(ショートメッセージサービス)を使って、携帯電話事業者のWebサービスとネットバンキングの認証情報の2つを、一度に詐取しようとする手口も確認されています。
一般財団法人日本サイバー犯罪対策センター(JC3)も注意喚起を行っていますので併せて参照してください。

ネット利用者はこれまで以上に、最新のフィッシング手法の変化を知り、不審なメッセージに注意していく必要があります。また、不審なサイトやメッセージによる脅威のリスクを下げるためにも、セキュリティソフトやアプリを必ずインストールし、最新の状態に保って利用しましょう。
]]>
https://is702.jp/main/images/news/img_news42.jpg
災害後の消費者トラブル事例や相談先、関係省庁等が提供している情報へのリンクを案内|消費者庁 消費者庁は10月21日、災害後の消費者トラブル防止のために押さえておきたいポイントをまとめた資料を掲載しました。 2019-10-24T00:00:00+09:00
大きな被害が連続して発生しています。こうした大規模災害の発生時には、それに便乗した詐欺、不審な訪問や電話、点検商法といった消費者トラブルが増加する傾向があります。
今回消費者庁は、「令和元年台風第15号・第19号で被災された皆様へ」「災害後の消費者トラブル防止のために」と題するPDFファイルを公開。あわせて「災害に関連する主な相談例とアドバイスについては、こちらを御覧ください」の内容を更新しました。

「令和元年台風第15号・第19号で被災された皆様へ」では、「家屋の被災関係」「自動車の破損関係」「テレビの受信関係」「住宅リフォーム関連」「ケーブルテレビ関連」の項目ごとに、相談事例とその問題点・留意点を紹介しています。
一方、「災害後の消費者トラブル防止のために」では、生活再建中の被災者に向けて、「募金詐欺」「架空請求」といった問題とその基礎知識を解説。さらに損害保険、生命保険、貸金業、電気通信事業、放送事業等の相談窓口を掲載しています。
同資料は、消費者庁サイトよりPDFファイルがダウンロード・閲覧可能です。
インターネット利用者は、災害後の詐欺やトラブルに巻き込まれないように注意すると共に、ネットセキュリティの観点からも自然災害への備えを行っておきましょう。
]]>
https://is702.jp/main/images/news/img_news41.jpg
社会人ならだれもが知っておくべき、メールからのサイバー攻撃と一人ひとりができる対策 社会人はパソコンやネット利用時の少しの不注意が組織を狙うサイバー攻撃の足がかりになることを理解し、慎重に行動しなければなりません。勤務先を危険にさらさないために従業員一人ひとりが実践すべきことを紹介します。 2019-10-24T00:00:00+09:00
メールが起点となる組織を狙うサイバー攻撃とは?

社会人ならだれもが知っておくべき、メールからのサイバー攻撃と一人ひとりができる対策

2019/10/24
メールが起点となる組織を狙うサイバー攻撃とは? 社会人ならだれもが知っておくべき、メールからのサイバー攻撃と一人ひとりができる対策

ビジネスメール詐欺やランサムウェア、標的型メールは、規模や地域、業種に関係なく、あらゆる組織が遭遇するかもしれない脅威です。これらの攻撃は、従業員に送りつけられるメールが起点となる場合があります。職場を危険にさらさないよう、また自身が当事者になってしまわないよう、攻撃の手口と従業員一人ひとりが実践できる対策を押さえましょう。

サイバー攻撃はもはや他人事ではない

組織を狙うサイバー攻撃の勢いは一向に衰える気配を見せません。トレンドマイクロが2018年9月、民間企業、および官公庁自治体における情報セキュリティの意思決定者(および意思決定関与者)1,455人を対象に行った法人組織におけるセキュリティ実態調査では、4割を超える組織が情報漏えいや金銭詐取、業務停止といったビジネスに影響を及ぼす重大な被害を経験していることがわかりました。

組織を狙うサイバー攻撃は、従業員に送りつけられるメールが発端となる場合も少なくありません。代表的な例として「ビジネスメール詐欺」「ランサムウェア」「標的型メール」の3つの手口を見ていきましょう。

従業員へのメールが発端となる3つの攻撃手口

ビジネスメール詐欺

ビジネスメール詐欺(BEC:Business Email Compromise)は、経営幹部や取引先などを装ったメールを従業員に送りつけ、サイバー犯罪者が管理する口座に送金させたり、特定の情報をだまし取ったりする手口です。特徴の1つは、業務メールの盗み見や、ネット上の公開情報の調査などを通じて従業員を欺くための情報を事前に収集することです。標的企業で進行している取引や人間関係などを把握した上でもっともらしいメールを作成、送信し、従業員から金銭や情報を引き出します。

最高経営責任者や経営幹部になりすました送金指示メールを経理担当者などに送りつけ、サイバー犯罪者の口座へ送金させる手口はその典型です。取引先になりすましたメールに偽の請求書を添付し、振込先の変更を依頼するパターンもあります。サイバー犯罪者はメールのやり取りを盗み見て状況を把握し、振り込みが発生するタイミングで偽メールを送りつけてくるため、従業員は何の疑いもなく指示に従ってしまう恐れがあります。

図:最高経営責任者を装った詐欺メールの例

ランサムウェア

世界的な被害が話題となったランサムウェア(身代金要求型ウイルス)による攻撃は、個人だけでなく、組織も標的としています。これは、パソコンやスマホ本体を操作不能にしたり、端末内のファイルを暗号化して開けなくしたりして、元に戻す条件として金銭の支払いを要求します。組織の場合は端末内のファイルのみならず、サーバ上の共有ファイルまで暗号化されて甚大な被害となる可能性があります。トレンドマイクロの調査によると、2019年上半期(1月~6月)において国内法人によるランサムウェア感染被害報告件数は前年同期比の約1.7倍にあたる37件に上りました。個人に比べ、重要な情報を大量に所有している組織は、犯罪者にとって多額の身代金を要求する格好の標的となり得るのです。

ランサムウェア拡散の手段はいくつかありますが、メールもその1つです。過去には、業務関連と錯覚させるようなメールを従業員に送りつけ、不正な添付ファイルを開かせたり、不正なURLをクリックさせたりする手口が確認されています。具体的には、「請求書」を装った不正な添付ファイルを送り付けたり、求人への応募を装い、履歴書のように見せかけた不正ファイルをクラウドからダウンロードさせたりする事例が報告されています。
メール以外にも、従業員がランサムウェアに感染した私用のパソコンやスマホ、USBメモリなどを勤務先のパソコンにつないだことが感染のきっかけとなる場合もあるため併せて注意が必要です。

図:請求書送付を装ったランサムウェアに感染させようとするメールの例

一度、勤務先のパソコンにランサムウェアが入り込むとネットワークを通じてさまざまなコンピュータに感染が広がり、原因の究明からデータの復旧、業務の再開に至るまでに莫大な時間と労力、費用がかかることがあります。また、バックアップがない場合には、データが復旧できない状態で業務の再開を目指すことになるでしょう。

標的型メール

標的型メールとは、重要情報や多額の金銭などを目的とし、特定の法人組織を狙って、巧妙な偽のメールを送り付ける手口です。だまされた結果、その組織を狙う標的型攻撃の踏み台にされる恐れがあります。標的型攻撃は事業継続を脅かす深刻な被害につながる危険性の高い脅威です。たとえば、標的型メールによって従業員のパソコンに遠隔操作ツール(RAT)などのマルウェア(ウイルスなど悪意を持ったソフトウェアの総称)を感染させ、標的のネットワークに侵入することで情報を盗み出したり、別のマルウェアをダウンロードさせたりするなどの活動を行います。

標的型メールの手口でもBEC同様、実在する部署や人物、取引先など、怪しまれない相手を装ったメールを従業員に送りつけます。クラウドメールサービスを利用している組織に対しては、そのアカウントを窃取してメールの盗み見などを行うために、サービス事業者を装うメール経由で偽のログイン画面に誘導し、認証情報を盗み取る手口が報告されています。また、医療費通知に見せかけた添付ファイルを開かせてRATに感染させる手口も確認されています。他にも、「あなたの組織へのなりすましメールを転送するので確認してほしい」などと外部からの問い合わせを装って不正な添付ファイルを開かせる標的型メールも確認されました。

図:医療費通知を偽装して遠隔操作ツールに感染させようとするメールの例

このように、標的型メールは受信者に不正なものと気づかれないように巧みに偽装しています。
トレンドマイクロが2019年1月~6月の間に全世界で検出した脅威総数の内、9割はメールによる脅威でした。すなわち、サイバー攻撃の主な起点はメールであると言えます。

従業員一人ひとりが実践すべきメールが発端となるサイバー攻撃の対策5選

ビジネスメール詐欺やランサムウェア、標的型メールは、あらゆる組織に降りかかる可能性があります。これらのサイバー攻撃は標的の従業員をだますことを前提としており、だれをターゲットにするかわかりません。従業員一人ひとりが当事者意識を持ち、職場や取引先を危険にさらさないよう慎重に行動することが求められます。組織に属する社会人が実践すべき5つの対策を紹介します。

1.職場の規定に従って行動する

経営幹部や取引先などからメールや電話で送金や機密情報の提供を依頼されたら、必ず職場の規程に定められた手順をとりましょう。早急かつ秘密裏に行動するよう指示されても決められた承認プロセスを省略してはいけません。緊急であっても勤務先に断りなく私用のパソコンやスマホで処理を行ったり、USBメモリなどで業務情報を持ち運んだりすることはやめましょう。

2.サイバー攻撃の手口や狙いを知る

サイバー攻撃の手口や狙いを知ることで、送金や情報提供、URLリンクや添付ファイルの開封を促すメールを受け取っても冷静に対処することができます。日頃からセキュリティ事業者や関連団体などが公表する注意喚起情報に目を通しておきましょう。公式のSNSやブログをフォローしておくと、手軽に情報を得ることができます。

3.メールの添付ファイルやURLリンクを不用意に開かない

メールの差出人が実在する部署や人物、取引先でも油断してはいけません。添付ファイルやURLリンクをクリックさせるようなメールを受信した場合、「差出人から初めてメールを受け取った」「差出人の言葉遣いがいつもと違う」など、何らかの違和感を覚えたら、本人に事実確認を行いましょう。その際、送られてきたメールに返信したり、メールの署名などに記載されている電話番号に連絡したりするのではなく、手元の名刺や公式Webサイト、組織内のリストを参照しましょう。メールの真偽を判断できない場合は、組織のセキュリティ管理者に通報してください。

4.システム管理者からアップデートの通達が届いたらすぐに対応する

パソコンやスマホのOS、ソフトに脆弱性(セキュリティ上の欠陥)を残していると、ウイルス感染や不正操作のリスクが高まります。脆弱性攻撃対策の基本は、OSやソフトの開発元から提供される更新プログラムを適用し、脆弱性を修正することです。企業によってはシステム管理者が更新プログラム適用によるシステムへの影響を検証し、その緊急性や安全性を考慮してアップデートのタイミングを従業員に指示することもあります。勤務先の規定に従いましょう。

5.業務用、および私用端末のセキュリティを確保する

業務用のパソコンやスマホでは、勤務先が指定するセキュリティ製品を正しく利用してください。また、職場の外で業務用端末を利用する場合にも、セキュリティに不安のある公衆Wi-Fiなどのネットワークを利用して業務を行わないようにしましょう。私用端末の業務利用が認められている場合も勤務先が定めるガイドラインやポリシーに従わなければなりません。最低限OS、セキュリティソフトやアプリを最新の状態に保ちましょう。

]]>
http://rss.is702.jp/main/rss/3576_l.jpg
日本政府、2020年度のサイバーセキュリティ関連予算は881億円超 内閣サイバーセキュリティセンター(NISC)は10月18日、政府のサイバーセキュリティに関する予算(令和2年度予算概算要求)について、各省庁の概算要求および施策例を取りまとめた資料を公開しました。 2019-10-21T00:00:00+09:00
それによると、サイバーセキュリティに関する2020年度(令和2年度)予算の概算要求額は、政府全体で881.1億円となる見通しです。前年度当初予算額712.9億円から170億円近い増額となっています。

省庁別の主な施策のうち、予算額が大きなものとしては、防衛省「システム・ネットワークの充実・強化」176.5億円、および「サイバーに関する最新技術の活用」44.6億円が、新規計上されました。なお新規の計上としては、警察庁「サイバーセキュリティ対策に係る教養の充実等」9.3億円もあがっています。

そのほか、内閣官房「内閣サイバーセキュリティセンター予算」40.5億円(前年度当初予算24.9億円)、経済産業省「サイバーセキュリティ経済基盤構築事業」21.5億円(同21.0億円)および「産業系サイバーセキュリティ推進事業」20.0億円(同19.3億円)、個人情報保護委員会「特定個人情報(マイナンバーをその内容に含む個人情報)に係るセキュリティの確保を図るための委員会における監視・監督体制の拡充及び強化」17.8億円(同11.7億円)等が、前年から引き続き計上されています。

近年の大規模サイバー攻撃には、国家が関わっているとされる事例も多く、“国家防衛としてのサイバーセキュリティ”が重要となってきています。そうした背景を受け、今回防衛省に大型予算が割り当てられる模様です。具体的には、陸上自衛隊が運用する全システム・ ネットワークの効率化、AIを活用したサイバー攻撃対処システムの構築等を行う方針です。

同資料は、内閣サイバーセキュリティセンターサイトよりPDFファイルがダウンロード・閲覧可能です。
]]>
https://is702.jp/main/images/news/img_news1.jpg
4年連続年平均被害額2億円超に、法人組織におけるセキュリティ実態調査2019 トレンドマイクロは10月16日、公式ブログで「法人の年間平均被害総額は4年連続2億円を超える」と題する記事を公開しました。あわせて調査レポート「法人組織におけるセキュリティ実態調査2019年版」が公開されており、それを元にした内容です。 2019-10-17T00:00:00+09:00
法人組織でセキュリティインシデントが発生した場合、情報漏えいやシステム・サービス停止、あるいは賠償や訴訟といった被害が発生します。「法人組織におけるセキュリティ実態調査2019年版」は、2018年4月~2019年3月の1年間について、セキュリティインシデントによる被害状況およびセキュリティの対策状況を、国内の官公庁・自治体・企業の担当者にアンケートしたものです(回答者数1,431人)。
それによると、何らかのセキュリティインシデントにより重大被害が発生した割合は36.3%で、前年より改善していました。業種別で見ると、「中央省庁」における重大被害発生率が67.4%と他業種と比べて高く、原因は、「遠隔操作ツール」の侵入・感染によるインシデント発生率が高いことが挙げられています。さらに、金融、情報サービス・通信プロバイダもインシデント発生率は高くなっていました。これは機密性の高い情報を多く取り扱っている業種がサイバー犯罪者に狙われやすいことなどが考えられます。また、他業種と比べセキュリティ意識が高く、対策が進んでいることからも、サイバー攻撃を受けた場合に気づきやすいことも発生率が高く出ている要因の一つだと推測されています。裏を返せば、発生率が低い業種は安全というわけではなく、対策が進んでいないことによって、単にサイバー攻撃を受けたことに気づけていないだけの可能性があることを示唆しています。

重大被害の内容で見ると、上位5つは「従業員・職員に関する情報漏えい」「顧客に関する個人情報の漏えい」「業務提携先情報の漏えい」「技術情報の漏えい」「事業戦略に関する情報の漏えい」でした。6位は「内部犯による情報流出」で、事故・過失・故意等の原因に関係なく、上位を“重要情報の漏えい”が占めたことになります。7位の「ランサムウェアによるデータ暗号化」は、昨年の7.2%から減少して5.1%となりましたが、これも引き続き重要課題と考えられます。そのほかビジネスメール詐欺(BEC)による被害もいまだ発生しています。

こうした重大被害による年間平均被害総額は約2.4億円で、4年連続で2億円超の状態が続いています。また業種別で見た場合、「出版・放送・印刷」が重大被害発生率は低いにもかかわらず、年間平均被害総額が約4.2億円と、「中央省庁」や「金融」以上に大きな被害額を出していることが明らかとなりました。同様の傾向は「医療」にも見てとれます。

「法人組織におけるセキュリティ実態調査2019年版」全文は、トレンドマイクロのサイトよりPDFファイルとしてダウンロードが可能です。最新動向を自組織や取引先などにおけるセキュリティ対策にお役立てください。



重大被害による年間平均被害総額(業種別)

重大被害による年間平均被害総額(業種別)


]]>
https://is702.jp/main/images/news/img_news40.jpg
オンラインゲームのアイテムを盗まれる!? オンライン対戦ゲームで負かされたツトムの友人は… 2019-10-17T00:00:00+09:00
ひろしとアカリのセキュリティ事情

オンラインゲームのアイテムを盗まれる!?

2019/10/17

インターネットサービスのアカウント乗っ取りに注意

オンラインゲームのアカウントを乗っ取られ、ゲーム内のアイテムや通貨などを盗まれてしまう被害が報道されています。時間やお金を費やしてようやく手に入れたアイテムなどを突然失ってしまった被害者のショックは大きいでしょう。

こうした被害に遭う原因の多くは、オンラインゲームの認証を突破されてしまったことにあります。悪意のある第三者は、フィッシング詐欺などの方法で認証情報(IDとパスワード)をだまし取ったり、複数のインターネットサービスで使い回されている認証情報を何らかの方法で入手したりしてアカウントに不正ログインし、アイテムなどを奪い取るのです。

自衛策の基本は、アカウントを厳重に管理することです。オンラインゲームを含め、複数のインターネットサービスごとに異なるIDとパスワードの組み合わせを使用してください。ただし、IDとパスワードによる1要素の認証方法では、第三者にIDとパスワードを探り当てられたり、盗まれたりしてしまうと認証を破られてしまいます。IDとパスワード以外の認証方法(多要素認証)が用意されている場合、それらも併せて利用しましょう。
また、ゲーム内チャット経由でのトレード話やリンク先への誘導にも十分に注意してください。

普段からオンラインゲーム事業者やセキュリティ事業者などが公表する注意喚起情報に目を通し、詐欺の手口を知っておくことも大切です。アカウント乗っ取りによる被害を防ぐための7つのポイントを確認しておきましょう。

ひろしとアカリのセキュリティ事情 ひろしとアカリの日常をもっと見る
ひろしとアカリのセキュリティ事情 ひろしとアカリの日常をもっと見る
]]>
http://rss.is702.jp/main/rss/3567_l.jpg
App StoreとGoogle Playに数百の偽アプリを確認、日本も標的に トレンドマイクロは10月15日、公式ブログで「『App Store』と『Google Play』上で偽ギャンブルアプリが多数拡散」と題する記事を公開しました。 2019-10-16T00:00:00+09:00
それによると、正規アプリストアであるApp StoreおよびGoogle Play上で、アプリ概要欄の説明と内容が違うコンテンツを含む数百の偽アプリが確認されたとのことです。AppleとGoogleは、連絡を受けて偽アプリをすべてアプリストアから削除しています。

これらの偽アプリは正規アプリの名前や機能を真似ており、表面上は一般的なアプリを装ってさまざまなカテゴリで公開されていました。しかし、実際のアプリはギャンブルアプリの側面を隠し持っていました。
確認された偽アプリは日本のアプリストア上でもダウンロード可能で、一部のアプリ概要欄では日本語も使用されていました。さらに、App Storeのアプリランキング100位圏内に入るほどの人気でした。一方、これらは正規アプリストアから以外にも、ギャンブルサイト等からの誘導も確認されていたため、ギャンブルアプリだと分かった上でインストールした利用者もいる可能性があります。

今回確認された偽アプリを起動すると、天気情報や娯楽といった、他の正規アプリ同様の画面を表示します。しかし、外部サーバから読み込む設定によってはギャンブルアプリ画面が表示されます。偽アプリは「スイッチ」機能を持っており、隠し持っているギャンブルアプリ画面の表示および非表示設定を、いつでも変更できます。これにより正規アプリストアの審査を突破したと考えられます。

トレンドマイクロの調査の時点では、これらの偽アプリはギャンブルアプリ画面を読み込むだけで、ユーザに不利益を与えるような不正な活動は確認されていません。しかし、実質的な被害が確認されていないからと言って必ずしも安全とは言えないうえ、地域によってはそもそもギャンブルアプリ自体の利用が制限されています。また、偽装に使われた正規アプリのブランド価値や利益を損なうことにもなります。
利用者は正規アプリストアであっても、インストール前にアプリの詳細やレビュー、開発元を確認してからインストールするようにしましょう。Android OSを搭載するスマホについては、セキュリティアプリをインストールして最新の状態を保ち、不正なアプリをインストールしてしまうリスクを下げると共に、定期的にデバイスのスキャンを行って不正なアプリが入り込んでいないか確認することも有効な対策です。


偽アプリの一例。一見普通のアプリ(左)がまったく別のギャンブルアプリに切り替わる(右)

偽アプリの一例。一見普通のアプリ(左)がまったく別のギャンブルアプリに切り替わる(右)

]]>
https://is702.jp/main/images/news/S191016.png
残り3か月、サポートが終了するWindows 7/Windows Server 2008利用者は早急に移行を 独立行政法人情報処理推進機構(IPA)は10月10日、3か月後に迫ってきた「Windows 7」「Windows Server 2008」「Windows Server 2008 R2」のサポート終了について、あらためて注意を呼びかけました。 2019-10-11T00:00:00+09:00
マイクロソフトが提供するOS「Windows 7」と「Windows Server 2008」「Windows Server 2008 R2」は、2020年1月15日(米国時間1月14日)にサポートが終了します。以降はセキュリティ更新プログラムが提供されなくなり、脆弱性が発覚しても基本的には修正されません。なお2020年10月14日(米国時間10月13日)には、「Office 2010」のサポートも終了します。

これらの製品には、現在もまだ、さまざまな脆弱性が隠れていると考えられます。今年の上半期(2019年1月~6月末)の間も、Windows 7では計158件、Windows Server 2008、2008 R2では同じく計158件の脆弱性が、JVN iPediaに登録されています。しかも過半数が、深刻度の高いレベル3でした。

サポートが終了したOS、そのうえで動作するソフトウェアを使い続けるということは、こうした危険な脆弱性をずっと抱え込むことを示します。特に日本では、2020年にオリンピック等が控えており、サイバー攻撃の増加が懸念されます。該当ソフトウェア製品のユーザは、サポートが提供されている最新版に、移行を完了させてください。マイクロソフトでは、手引きとなるページを公開していますので、こちらも参考にしてください。

脆弱性を悪用したサイバー攻撃によるリスクを下げるには、OSやソフト、セキュリティソフトやアプリを最新の状態に保って利用することが重要です。利用者はスケジュールに余裕をもって対策を行いましょう。


OSサポート終了に向けた各種ソフトウェア製品の更新計画の例(IPAの発表資料より)<br />

OSサポート終了に向けた各種ソフトウェア製品の更新計画の例(IPAの発表資料より)

]]>
https://is702.jp/main/images/news/S191011.png
Amazon、出品から偽造品を排除する「Project Zero」を日本でも開始 Amazonは10月9日、偽造品の撲滅を目的とする取り組み「Project Zero」を日本でも開始しました。 2019-10-10T00:00:00+09:00
ネットショッピング最大手であるAmazonですが、第三者の販売者もマーケットプレイスを通じて出品を行っており、正規品・真性品ではなく偽造品が紛れて販売されているケースがあります。「Project Zero」は、自動プロテクション機能、セルフサービスの偽造品削除ツール、商品のシリアル化の3つの対策により、Amazonの出品から偽造品を排除しようというプロジェクトです。

Project Zeroは、2019年より米国および欧州(フランス、ドイツ、イタリア、スペイン、イギリス)でスタートし、現在合計6,000超のブランドが登録されています。日本でもすでに試験運用を開始しており、パナソニック、アイリスオーヤマ、任天堂、ソニー・インタラクティブエンタテインメント、アイロボット、川崎重工、タカラトミー、ダダリオなどが登録済みです。

「自動プロテクション機能」は、機械学習を活用することで、1日あたり50億件超が登録される商品情報に対し自動スキャンを行い、偽造品の疑いがある商品を検知する仕組みです。「セルフサービスの偽造品削除ツール」は、ブランドオーナーが直接、偽造品の疑いがある商品をAmazonから削除できる機能です。そして「商品のシリアル化」は、ブランドオーナーが自社商品の製造および発送の過程で、固有のコード(シリアルコード)を発行することで、Amazonで販売される1つ1つの商品の真偽を精査可能にするサービスです。なお商品のシリアル化は、日本では2020年前半に提供を開始する予定との事です。

利用者はトラブルに巻き込まれないよう、信頼できるサービスと販売者を選択するようにしてください。万一偽造品が届いた場合は速やかにサービス事業者や消費者ホットラインに相談をしましょう。
]]>
https://is702.jp/main/images/news/img_news14.jpg
学習資料「お子様のスマホデビューに向けて~危険を避ける3つのルール~」公開 is702の新規学習資料、「お子様のスマホデビューに向けて~危険を避ける3つのルール~」を本日公開しました。 2019-10-10T00:00:00+09:00
スマホやPCだけでなく、TVなどの家電をはじめ、あらゆるものがネットにつながり、生活を楽しくより豊かなものにしてくれています。しかし、便利さの裏側で忘れてはいけないのがセキュリティ対策やプライバシーのことです。本資料では、お子様のスマホデビューにあたり、最低限知っておくべきネットの危険や、安全に利用するためのアドバイスを、イラストを交えてやさしく解説しています。

学習資料は、is702の資料ダウンロードページよりPDFでダウンロードが可能です。ご家庭内や保護者向けの学習資料としてお役立て下さい。


「お子様のスマホデビューに向けて~危険を避ける3つのルール~」表紙

「お子様のスマホデビューに向けて~危険を避ける3つのルール~」表紙

]]>
https://is702.jp/main/images/news/S191010.JPG
パソコンを処分する前に確認しておきたいポイント 不要になったパソコンの処分に頭を悩ませていませんか。パソコンにはさまざまな情報が保存されているため、そのまま売却、譲渡、廃棄するわけにはいきません。不要になったパソコンを安全に処分する方法と手順を解説します。 2019-10-10T00:00:00+09:00
不要なパソコンを安全に処分するためには?

パソコンを処分する前に確認しておきたいポイント

2019/10/10
不要なパソコンを安全に処分するためには? パソコンを処分する前に確認しておきたいポイント

みなさんは、使わなくなったパソコンをどのように処分しますか。売却、譲渡、廃棄にあたっては、パソコン内の重要なデータが漏えいしてしまうリスクを回避しなければなりません。パソコンを安全に処分する方法を紹介します。

パソコンには重要なデータが保存されている

2020年1月14日のWindows 7サポート終了を機にパソコンの買い替えを検討している方も多いのではないでしょうか。新しいパソコンへの移行が済んだら、使わなくなったパソコンを安全に処分する方法も確認しておきましょう。

みなさんは不要になったパソコンを処分するとき、どのようなことを心がけていますか。パソコンを手放す場合は、HDD(ハードディスクドライブ)やSSD(ソリッドステートドライブ)内のデータが第三者の手に渡ってしまうリスクを回避することが重要です。

HDDとは円盤状の記憶装置で、ディスクを回転させて磁気的に情報を書き込んだり消したりしています。一方SSDは半導体メモリ(フラッシュメモリ)を記憶装置としたもので、電気的制御によって情報を記憶しています。パソコンの中には、HDDとSSDの両方、もしくはどちらかが内蔵され、そこにさまざまなデータが記録されています。アドレス帳などの個人情報や写真、動画、文書だけでなく、場合によってはクレジットカード情報やインターネットサービスの認証情報(IDとパスワード)、業務関連情報なども含まれているでしょう。そんなパソコンを不用意に処分すると重要なデータを第三者に抜き取られ、悪用されてしまうかもしれません。

パソコン処分後の情報漏えいを防ぐポイント

みなさんは、パソコンの処分にあたってHDDやSSD内のデータを完全に消去するとき、どのような方法をとりますか。対象のファイルやフォルダをゴミ箱に入れ、「ゴミ箱を空にする」を実行するだけでよいでしょうか。HDDやSSDを初期化したり、パソコンのリカバリを実行して工場出荷時の状態に戻したりすれば目的が達せられるでしょうか。実は、これらの方法をとってもデータそのものは消去されずに残ります。データ復元ソフトを使えば、表面上は見えなくなっているデータを容易に復元できてしまうのです。では、情報漏えいを防ぐためにはパソコンを処分する前に何をすればよいのでしょうか。

<HDDの場合>

HDD内のデータを完全に消去する

  • データ消去ソフトを利用する
    データ消去ソフトを利用すれば、HDDの全領域に何度もダミーのデータを上書きし、元のデータを復元できない状態にできます。データ消去ソフトと一口に言っても、無料で配布されているものもあれば有料版もあり、それぞれ上書き方法やスピードが異なります。パソコンにもともとインストールされていたり、付属品として用意されていたりするものがある場合は、まずはそれを試してみましょう。使い方がわからない場合は、各パソコンメーカーのサポートページを参照してください。
  • 強磁気を照射してHDDのデータを消去する
    HDDは磁気的に情報を書き込んでいるので、強力な磁場内に置くことでデータを強制的に消去できます。その場合はデータ消去の専門業者が所有する強磁気破壊装置を利用します。

HDDを物理的に破壊する

データ消去の専門業者が所有するHDD破壊機でHDDを加圧破壊する方法もあります。ただし、ハンマーやドリルなどを用い、個人でHDDを壊すのは絶対にやめましょう。中途半端に壊されたHDDからはデータを復元できる場合がありますし、部品やディスクに使われているガラスが割れて飛び散った破片で怪我をするリスクもあるため大変危険です。

<SSDの場合>

SSD内のデータを暗号化する

SSDは書き込み可能な回数に限りがあり、同じ場所に書き込みが集中しないよう記録領域全体を均一に使用する技術が用いられています。このため、データ消去ソフトによって繰り返し上書きを行ってもデータが残存してしまう場合があります。SSDの処分ではドライブ全体を暗号化し、第三者にデータを解読させない方法をとりましょう。Windowsに搭載されている暗号化ツール「BitLocker」や、Macの「FileVault」を使用してドライブ全体を暗号化した後、SSDを初期化してください。万全を期すなら初期化後に再度暗号化を行いましょう。

暗号化とは、元のデータをあるきまった法則で違う情報に変換し、情報を復号しないと元のデータを確認できないようにすることを言います。データを暗号化するにも復号するにも、鍵と呼ばれる情報を変換する法則が必要となります。そのため、暗号化された際に使った鍵と対になる、もしくは同じ鍵が無い限り、もとの情報を第三者が参照することはできません。暗号化方式としては大きく、暗号化と復号の両方で同じ鍵を使うものと、異なる鍵を使うものがあります。暗号化は情報漏えいや改ざんを防ぐための技術としてインターネット上で幅広く使われています。

PC をリフレッシュ、初期状態に戻す、または復元する方法
https://support.microsoft.com/ja-jp/help/17085/windows-8-restore-refresh-reset-pc

Mac のディスクを消去する方法
https://support.apple.com/ja-jp/HT208496

SSDを物理的に破壊する

SSDにはデータを記録するフラッシュメモリが複数あり、そのすべてを破壊しないと部分的にデータを復元できる可能性があります。データ消去の専門業者が所有する特別な機械でSSDを完璧に破壊してもらいましょう。

データを復元できないようにする前に

処分するパソコンのデータを復元できないようにする前に、必要なデータは必ず新しい機器や外付け記憶装置、クラウドサービスなどに保存し、移行先で問題なくファイルを開けることを確認してください。また、パスワード管理ソフトなどを使用し、利用しているネットサービスのパスワードを新しい機器にも引き継げるようにしておきましょう。さらに、データ消去ソフト等を利用する場合には、パソコンの周辺機器などもすべて外すことも忘れないでください。それらを接続したままでは、不完全なデータ消去、必要なデータの消去や破損につながる可能性があるためです。これらの確認が終わったら、作業を開始しましょう。
業務で利用しているパソコンについては、勤務先のルールに従って処分してください。新しいパソコンへのデータ移行時に勤務先が許可していないデバイスやクラウドサービスを利用するのは厳禁です。

パソコンの処分方法と注意点

パソコンを処分するのはHDDやSSDから重要なデータが漏えいしないという確信を得られてからにしましょう。処分方法は大きく、売却、下取り、譲渡、廃棄の4つあります。いずれの場合も確実に情報を消去してから処分するようにし、専門業者を利用する場合は複数を比較した上で信用できるサービスを選択しましょう。データ消去サービスが付帯されている場合もありますが、念のため自身で可能な限りデータを消去してから引き取ってもらう方がより安全でしょう。

家族に譲渡する場合については、次の利用者のために基本的なセキュリティ対策を行ってから渡すと良いでしょう。未成年やネットに不慣れな家族のだれかに譲り渡す場合は、安全に使える環境を用意してあげることが重要です。そのポイントは、セキュリティソフトを入れて最新の状態にしておくこと、OSやソフトを最新バージョンにアップデートしておくことです。これにより、ネット詐欺やウイルス感染にさらされるリスクが軽減します。また、ペアレンタルコントロールなどのサポート機能を適用し、不適切なWebサイトへのアクセスを防いだり、ネットやソフトの利用時間を制限したりすると良いでしょう。家庭のWi-Fiに接続される機器が複数ある場合は、ホームネットワーク全体を保護してくれるセキュリティ製品の利用もおすすめです。

故障などにより引き取り手のないパソコンは廃棄もやむなしです。ただし、パソコンを勝手に不燃ゴミとして捨ててはいけません。パソコンは資源有効利用促進法のリサイクル品目に指定されているためです。「PCリサイクルマーク」が付いているパソコンの場合、メーカーに連絡をすれば無料で引き取ってくれます。PCリサイクルマークがないパソコンや自作パソコンについてはパソコン3R推進協会に回収を依頼し、リサイクル料金を支払いましょう。また、小型家電リサイクル法に基づき、自治体によっては回収ボックスを設置してパソコンの回収、リサイクルを行っている場合もあります。小型家電リサイクル法の認定業者に回収を依頼すれば無料で引き取ってもらえることもあります。その際、故障などでデータ消去ソフトや暗号化ツールが使えない場合は、専門業者に物理的な方法でデータを消去してもらってから廃棄するようにしましょう。

一般社団法人パソコン3R推進協会
http://www.pc3r.jp/

]]>
http://rss.is702.jp/main/rss/3564_l.jpg
マイクロソフト、10月の月例セキュリティ更新を公開 9月末の定例外公開分の修正も マイクロソフトは10月9日(日本時間)、月例のセキュリティ更新プログラムを公開しました。独立行政法人情報処理推進機構(IPA)およびJPCERTコーディネーションセンター(JPCERT/CC)も注意を呼びかけています。 2019-10-09T00:00:00+09:00
対象となるソフトウェアは、「Microsoft Windows」「Internet Explorer」「Microsoft Edge(EdgeHTML-based)」「ChakraCore」「Microsoft Office、Microsoft Office ServicesおよびWeb Apps」「SQL Server Management Studio」「Open Source Software」「Microsoft Dynamics 365」「Windows Update Assistant」で、深刻度「緊急」の脆弱性への対応も含まれています。

なお9月22日(米国時間)に定例外で公開されたInternet Explorerに関する脆弱性(CVE-2019-1367)に対する修正、9月23日または10月3日(米国時間)に公開されたセキュリティ更新プログラムや修正も、今月の月例の累積的なセキュリティ更新プログラムに含まれているとのことです。そのため、あらためて今月の月例更新プログラムを適用することが推奨されています。

脆弱性を悪用された場合、アプリケーションプログラムが異常終了したり、リモートからの攻撃によって任意のコードを実行されたりする可能性があります。各製品のユーザは、Microsoft UpdateやWindows Update等を用いて、システムの更新を行ってください。
]]>
https://is702.jp/main/images/news/img_news9.jpg
「セクストーションスパム」による被害再発か、口止め料と思われる送金を確認 トレンドマイクロは10月7日、公式ブログで「日本語『セクストーションスパム』登場から1年、再び被害発生か」と題する記事を公開しました。 2019-10-09T00:00:00+09:00
「セクストーション(性的脅迫)スパム」は、「性的な行為に関わる、あなたのプライベート動画・写真を入手した。友人・知人にばらまく」と脅迫し金銭を要求する詐欺です。動画や写真を本当に入手していることはなく、あくまで偽の主張ですが、不正な手段で入手したアカウント情報をタイトルや本文中に記載するなどし、受信者を不安にさせます。なお、仮想通貨での送金を要求してくるのも特徴の1つです。

国内では2018年9月中旬に初めて確認され、その後、2018年末までに300回を超える仮想通貨の送金トランザクションが発生。合わせて29BTC(記事執筆時点の価格で日本円2,850万円相当)の送金が確認されました。その後、手口が周知され、2019年に入ってから送金はほとんど見られなくなっていました。しかし今回、2019年9月末に流通したスパム内のビットコインアドレスに、数件の送金トランザクションが発生していることが確認されました。

今回流通しているセクストーションスパムは、「ハッキングされています!すぐにパスワードを変更してください!」「私はあなたのオペレーティングシステムをハッキングし、あなたのアカウントに」といった、これまでと類似の件名が使われています。また、「あなたは大きな変態です。無限のファンタジー!」「私に怒らないでください、誰もが自分の仕事をしています。お別れ。」といったような特徴的な文言が含まれていました。ほぼ同内容のセクストーションスパムは2019年5月にも確認されており、本文の内容や手口に大きな変化はありませんでした。

一度成功した攻撃の手口は、利用者が忘れた頃に繰り返される傾向にあります。攻撃が下火になったとしても、利用者は継続的に注意を怠らないようにしましょう。ネット詐欺においても、実社会の「振り込め詐欺」等と同様に、その手口を知り騙されないことが対策になります。さらに、メールのフィルタリング機能やセキュリティソフトなどを利用し、なるべく不審なメールが手元に届かないようにするのも有効です。



セクストーションスパムの本文例(2019年9月29日受信)

セクストーションスパムの本文例(2019年9月29日受信)



]]>
https://is702.jp/main/images/news/S191008.png
実在する事業者名をかたるSMSに注意、不審な内容は無視して削除を 東京都(生活文化局消費生活部)は10月4日、消費生活総合サイト「東京くらしWEB」を更新し「実在の事業者の名をかたった不審なSMSに注意!」を掲載。数十万円の架空の利用料金を請求された事例を紹介しています。 2019-10-07T00:00:00+09:00
それによると、名前を聞いたことのある事業者の名で、「利用料金の確認がとれていないので本日中に連絡するように」とのSMS(ショートメッセージサービス)がスマホに届き、メッセージ内に記載された電話番号に連絡すると、1年前に登録したサイトの利用料29万円を支払う義務があると告げられたという内容でした。

実在する事業者名が記載されたメッセージであっても、身に覚えの無い請求は詐欺の可能性があります。消費生活センターにも数多くの相談が寄せられており、「料金確認がとれていない」「未納料金がある」等のSMSは注意が必要です。電話連絡等をしてしまうと、名前や住所といった個人情報を詐取されたうえ、高額な金銭の支払いを要求される恐れがあります。不審なSMSは無視して削除してください。
事業者に確認を行いたい場合は、SMSで通知された電話番号やURLは利用せず、正規Webサイトに記載されている問合せ先から確認を行うようにしましょう。

消費者ホットラインや東京都消費生活総合センターでは、相談や悪質事業者の通報、困った経験などの情報を受け付けています。また、日頃から同様の手口に注意し、SMSのフィルタ機能が利用できる場合は設定を確認しておきましょう。
]]>
https://is702.jp/img/dummy/dummy_th.gif
Instagram、オンライン上のいじめ対策機能の提供を本格スタート Instagramは10月3日、望まないやりとりを避けることで自分のアカウントを保護する「制限」機能について、日本を含む全世界で提供を開始しました。 2019-10-04T00:00:00+09:00
Instagramは7月に、「コメント内容の再考を促す機能」と「特定のアカウントのコメントを非表示にする機能」の2つを、今後導入する予定であることを発表していました。今回導入された「制限」は後者に当たります。

「制限」は、発言した相手に知られることなく、暴力的なコメントや不快なコメントを非表示にするものです。特定のアカウントを「制限」したい場合、コメントを左にスワイプすることで、設定が可能になります。「制限」を有効にすると、指定したアカウントが自分の投稿に対して追加するコメントは、そのアカウントにのみ表示されるようになります。また、制限したアカウントからのダイレクトメッセージは、自動的にメッセージリクエストに移動され、通知は届きません。

Instagramは今後もオンライン上のいじめ対策で業界を牽引する存在になることを目標に、ツールの導入や機能の改善を継続して行っていくとのことです。SNS利用者は、自身の投稿内容に対して責任と配慮を忘れないようにするとともに、このような機能を活用してネット上でのトラブルを回避しましょう。
]]>
https://is702.jp/main/images/news/img_news41.jpg
【注意喚起】ラグビーワールドカップ人気に便乗したフィッシング詐欺に注意 現在日本で開幕中のラグビーワールドカップ人気に便乗したフィッシングサイトを確認しており、その偽装手口として無料のライブ動画配信サービスを装っています。 2019-10-03T00:00:00+09:00
誘導先のフィッシングサイトでは、動画を視聴するために会員登録が必要だと称し、メールアドレスに続いてクレジットカード情報の入力が求められます。Webサイト上には、プレミアム会員へのアップグレードまたは購入を行わない限り請求は発生しないと記載されていますが、万一情報を入力してしまった場合、クレジットカードの不正利用被害や、提供した情報を他のサイバー犯罪に悪用される可能性があります。
また、このフィッシングサイトは日本語や英語を含む複数の言語を選択できる設定となっており、この世界的なスポーツイベントに関心を寄せるネット利用者を広く標的としていると考えられます。
確認されたフィッシングサイトについては、Fortinetのブログでその詳細が報告されており、フィッシングサイトへの誘導は不正広告から行われていたとのことです。



不正広告から誘導された偽Webサイトの一例

不正広告から誘導された偽Webサイトの一例





偽のアカウント登録画面の一例

偽のアカウント登録画面の一例





クレジットカード情報を入力させようとする偽の登録画面の一例

クレジットカード情報を入力させようとする偽の登録画面の一例


偽の動画配信サービスを装った手口は、過去の世界的なスポーツイベントでも同様の事例が確認されており、これから開催されるオリンピックやパラリンピックでも十分注意が必要です。
不正なWebサイトやフィッシングサイトにアクセスしてしまうリスクを下げるには、パソコンやスマホのセキュリティソフトやアプリは最新の状態に保って利用してください。そして、画像や映像は著作権によって保護されています。利用者は必ず公式のWebサイトやサービスを利用しましょう。]]>
https://is702.jp/main/images/news/S191003_2.png
スマホ決済の不正利用はなにが原因? 軽井は、コンビニでの支払いにスマホ決済を利用しています 2019-10-03T00:00:00+09:00
ひろしとアカリのセキュリティ事情

スマホ決済の不正利用はなにが原因?

2019/10/03

スマホ決済の利便性とリスクを理解しよう

スマホ決済が普及の兆しを見せています。これは、店舗やショッピングサイトでの買い物の支払いをスマホ1つで完結できる仕組みです。

スマホ決済はとても便利な決済手段ですが、悪意のある第三者に不正利用されるリスクもあることを心得ましょう。実際、スマホ決済サービスのアカウントを乗っ取られ、勝手に商品を購入される被害が発生しています。

不正利用の原因とは?

スマホ決済の不正利用に遭う原因はいくつか考えられますが、その1つとして不正ログインがあげられます。フィッシング詐欺によって決済サービスの認証情報(IDとパスワード)を詐取された場合や、複数のインターネットサービスで決済サービスと同一のIDとパスワードを使い回しており、その組み合わせが漏えいしてしまった場合、不正ログインの被害に遭う可能性が高まります。

さらに、クレジットカード情報(カード番号、有効期限、セキュリティコード)が漏えいしてしまった場合も被害に遭うことが想定されます。悪意のある第三者は、何らかの方法で入手したクレジットカード情報を手元のスマホの決済アプリに登録し、勝手にチャージした上で商品を購入するのです。

不正利用の被害に遭わないためには

フィッシング詐欺対策として、メールやSMS、広告などから誘導されたWebサイトではなく、必ず正規サイトからログインするようにしましょう。また、ログイン手順としてIDとパスワードに加え、ワンタイムパスワードのような多要素認証を採用しているなど、不正利用対策が講じられているサービスを選択してください。そして、決済サービスの利用履歴や連携している銀行口座、クレジットカードの明細を、最低でも月に1回は確認することを心がけましょう。
被害に遭ったら速やかに利用停止の手続きを行えるよう、利用している各サービスや金融機関の連絡先、被害の相談先を予め確認しておくことも大切です。

ひろしとアカリのセキュリティ事情 ひろしとアカリの日常をもっと見る
ひろしとアカリのセキュリティ事情 ひろしとアカリの日常をもっと見る
]]>
http://rss.is702.jp/main/rss/3563_l.jpg
クレジットカード不正利用、デジタル決済を背景に「番号盗用」被害が主流に 一般社団法人日本クレジット協会は9月30日、クレジットカード不正利用の被害額について、最新の集計結果を発表しました。今回は2019年第2四半期(4月~6月分)を対象としています。 2019-10-01T00:00:00+09:00
この調査は、国際ブランドカードを発行している会社を中心に、銀行系カード会社、信販会社、流通系クレジット会社、中小小売商団体等のクレジット会社44社について、偽造カード被害額、番号盗用被害額、その他不正利用被害額を、四半期ごとに集計しています。

それによると、同四半期の不正利用被害額は68.5億円。前期(2019年1月~3月)も68.5億円だったため同額となりました。過去最高水準で横ばいが続いており、今年通年も被害総額を更新する見込みです。

手口の内訳で見ると、「偽造カード」による被害額は4.7億円(構成比6.9%)、「番号盗用」による被害額は55.6億円(構成比81.1%)、「その他不正利用」による被害額は8.2億円(構成比12.0%)でした。調査データを見ると、2014年には58.8%だった「番号盗用」が現在は8割超となっています。その背景としては、フィッシング詐欺等のサイバー犯罪の増加が推測されます。

10月1日に消費税増税が始まり、キャッシュレス決済(クレジットカード、交通系ICカード、スマホ決済など)の利用促進も続いています。オンライン決済やキャッシュレス決済といったデジタル式の決済を利用する際は、セキュリティソフトやアプリを最新の状態に保つのはもちろん、OSなどの利用環境を常に最新版に整えることも重要です。そして、サービスへのログインやアプリをインストールする際は、メールやSNS、SMS、Web広告などからの誘導は避け、公式のWebサイトやアプリストアから利用してください。



クレジットカード不正利用被害の発生状況(日本クレジット協会の発表資料より)

クレジットカード不正利用被害の発生状況(日本クレジット協会の発表資料より)

]]>
https://is702.jp/main/images/news/img_news11.jpg
2019年上半期サイバー空間の脅威情勢について警察庁が発表 警察庁は9月26日、2019年上半期(1月~6月)におけるサイバー空間の脅威情勢について、観測データ等を分析した結果を発表しました。 2019-09-27T00:00:00+09:00
それによると、センサー*により検知されたアクセス(探索行為等)の件数は、1日・1IPアドレス当たり3,530.8件と、引き続き増加傾向を見せています。特に6月中旬から、IoT機器の脆弱性を狙ったと考えられるアクセスが、新たに観測されるようになりました。また、Microsoft Windowsのリモートデスクトップサービスを標的としたアクセス急増も複数回観測されたとのことです。

標的型メール攻撃については、前年同期の2,578件よりわずかに増加し2,687件でした。うち、同じ文面や不正プロファイルを使った「ばらまき型」攻撃が、全体の85%を占めていました。また、メールの送信先としては、インターネット上に公開していないメールアドレスが全体の82%を占めています。2019年上半期の変化としては、添付ファイルについて、Word/Excel形式が減少し、圧縮ファイルの割合が増加しました。

なおサイバー犯罪の検挙件数は2019年上半期で4,243件となり、高止まりを見せています。インターネットバンキングに係る不正送金事犯による被害は、発生件数182件、被害額約1億6,500万円で、いずれも前年同期と比べて減少しています。

ネット利用者は被害やトラブルに遭わないよう最新の被害事例を参照するとともに、OSやソフト、セキュリティ対策製品を最新の状態に保つといった基本的な対策を怠らないようにしましょう。

*:警察庁が24時間体制で運用しているリアルタイム検知ネットワークシステムにおいて、インターネットとの接続点に設置しているセンサーのこと。本センサーでは、各種攻撃を試みるための探索行為を含む、通常のインターネット利用では想定されない接続情報等を検知し、集約・分析している。]]>
https://is702.jp/main/images/news/img_news22.jpg
認証方法とアカウントを保護するための6つの自衛策 インターネットサービスの不正利用による被害が相次いでいます。サービスをより安全に利用するためには、それぞれの認証方法の特長を理解し、自衛策を実践できるようになりましょう。 2019-09-26T00:00:00+09:00
インターネットサービス利用者なら知っておきたい

認証方法とアカウントを保護するための6つの自衛策

2019/09/26
インターネットサービス利用者なら知っておきたい 認証方法とアカウントを保護するための6つの自衛策

インターネットサービスのアカウントを不正利用される被害が相次いでいます。サイバー犯罪者はさまざまな方法で他人のIDとパスワードを盗み出したり、探り当てたりしてサービスに不正アクセスし、金銭や情報を不正に取得しようとしています。第三者によるアカウントの不正利用を防ぐための6つの自衛策を紹介します。

パスワード以外の認証方法とは?

SNSやクラウドストレージ、ショッピングサイト、ネットバンキングなど、ほとんどのインターネットサービスにログインするときはパスワード認証が求められます。これは、ログイン時に利用者本人だけが知るIDとパスワードを入力することで認証を得る方式です。

ただ、パスワード認証は必ずしも安全とは言えなくなっています。IDとパスワードを第三者に盗まれたり、探り当てられたりしてしまうと認証を破られてしまうためです。

実際、IDとパスワードをだまし取られ、各種インターネットサービスのアカウントを不正利用される被害が後を絶ちません。その手口の最たるものがフィッシング詐欺です。このほか、アカウントを乗っ取る手口にはプログラムによってパスワードに使用できる文字種の組み合わせを片っ端から試していく総当たり攻撃もあり、IDとパスワードだけで本人か否かの認証の精度を担保することは難しくなっています。

金融機関などの高いセキュリティが求められるインターネットサービスを中心にパスワード認証の弱点を補完する認証方式の採用が進んでいます。どのようなものがあるか見ていきましょう。

二要素認証とリスクベース認証とは

●パスワードだけではログインできない二要素認証

二要素認証は、2つの異なる認証の要素を組み合わせることで本人認証の精度を高める方式です。認証の要素は、「記憶」「所持」「生体情報」の3つに分類されます。3つの要素を組み合わせる方式は「多要素認証」と呼ばれます。

記憶:本人のみが知っている情報によって利用者を認証します。パスワードやPIN、秘密の質問(「母の旧姓は?」「出生地は?」「ペットの名前は?」など)の回答などがこれにあたります。
所持:本人のみが所持している物によって利用者を認証します。ICカードやキャッシュカード、乱数表、トークン(一定時間おきに変更され、一度しか使えないワンタイムパスワードを生成する機器)などが該当します。スマホをトークンとして使用する場合は、SMS(ショートメッセージサービス)や認証用アプリなどで取得できる認証コードを入力します。
生体情報:本人の身体的特性にもとづく情報によって利用者を認証します。指紋や顔、静脈パターン、虹彩などがこれに該当します。

多くのネットバンキングなどの金融系Webサービスでは、記憶と所持の2つの要素を組み合わせた二要素認証が採用されています。送金などを行う際はIDとパスワードだけでなく、乱数表で指定された枠内の英数字や、事前に登録したスマホなどで取得できる認証コードの入力も必要になります。そのため、第三者によるログインはIDとパスワードのみの認証方式と比べて難しくなります。

●普段とは異なる機器からパスワードが入力されたときに役立つリスクベース認証

リスクベース認証は、普段と異なる IP アドレスや OS 、Web ブラウザから認証要求(IDとパスワードによるログイン)があったときなど、第三者による不正アクセスのリスクが高いと判定された場合のみ追加の認証を求める方式です。追加の認証方法としては、あらかじめ設定された秘密の質問への回答を求めたり、事前に登録されたデバイスに届く認証コードを入力させたりするなどのパターンがあります。

Apple IDでは、記憶と所持の2つの要素を組み合わせた2ファクタ認証を提供しています。リスクベース認証も採用しており、新しく購入したデバイスではじめてAppleのサービスにログインした場合のみ、事前に登録したスマホなどで取得できる認証コードの入力が必要になります。信頼できるデバイスに追加されると、次回以降のログイン時に追加認証を求められることはありません。

アカウントの不正利用を防ぐための6つの自衛策

フィッシング対策協議会が2019年2月、何らかの個人認証を実施しているインターネットサービス事業者(10業種・308名)を対象に行ったアンケート調査では、76.9%がパスワード認証しか行っていないことがわかりました。一方、二要素認証やリスクベース認証を採用していると回答したインターネットサービス事業者は21%にとどまり、複合的な認証方式の採用に遅れが見られます。

インターネットサービス提供事業者に対する「認証方法」に関するアンケート調査結果
https://www.antiphishing.jp/news/pdf/wg_auth_report01_20190701.pdf

このため、インターネットサービス利用者は第三者によるアカウントの不正利用を防ぐための自衛策を講じることが必要です。そのポイントを確認しておきましょう。

1.詐欺の手口や狙いを知る

詐欺の手口や狙いを知ることは、自衛策の基本です。たとえば、メールやSMS、SNS内のURLリンク、ネット広告などからたどり着いたWebサイトで何らかの情報入力を促された場合、フィッシング詐欺の疑いが濃厚です。認証用アプリも必ずGoogle PlayやAppStoreなどの公式ストアから入手してください。日頃からセキュリティ事業者や関連団体などが公表する注意喚起情報に目を通しておきましょう。

フィッシング対策協議会
https://www.antiphishing.jp/

警視庁サイバーセキュリティ対策本部
https://twitter.com/MPD_cybersec

2.同一のIDとパスワードを使い回さない

サイバー犯罪者は、フィッシング詐欺などにより不正に入手した認証情報(IDとパスワード)をリスト化し、それらを用いて各種サービスへのログインを試みます。このため、複数のサービスに同一のIDとパスワードの組み合わせを使い回していると、アカウントを芋づる式に乗っ取られるリスクを高めてしまいます。メールアドレス以外をIDとして使用できる場合は、固有の文字列に変更しておきましょう。

3.第三者に推測されにくいパスワードを設定する

利用するインターネットサービスが増えれば増えるほどパスワードの管理が煩雑となるため、第三者が容易に推測できる単純なパスワードを設定しがちです。さらに、サービスの中にはアルファベットの大文字、小文字、数字記号などの文字種のランダムな組み合わせや、長い文字列をパスワードとして設定できないものもあります。設定できる可能な範囲で、サービス毎に第三者に推測されにくいパスワードを設定するように心がけてください。自身での管理や設定が難しい場合は、固有のパスワードを自動で作成、管理してくれるパスワード管理ソフトを利用するのも一案です。

4.より安全なインターネットサービスを利用する

セキュリティを考慮して設計されたインターネットサービスを優先的に利用しましょう。クレジットカードなどの重要な情報がひもづくサービスでは、二要素認証やリスクベース認証といった不正ログイン対策などを利用できることが望ましいでしょう。同様のサービスが複数あった場合は、サービス内容に加え、セキュリティを強化するための取り組みについても比較した上で選択してください。

5.可能な限り都度ログインする

自分以外も利用する可能性のあるデバイスでサービスの利用を終えたら、必ずサービスからログアウトしましょう。ログインしたままにしていると、第三者にアカウントを不正利用されるリスクが高まります。また、悪意のある第三者以外にも、家族が無断で利用し、トラブルに発展する場合もあります。不要なトラブルを回避するためにも、ログアウト、あるいは決済時に認証が必要になる設定に変更しておきましょう。また、Google ChromeなどのWebブラウザは、IDやパスワードの入力欄(フォーム)などに一度入力された文字列を保存する機能を備えています。これを無効にし、Webブラウザにすでに保存されているパスワードも削除しておきましょう。
このような対策は、デバイスの紛失や盗難時にも有効です。自分だけが使っているデバイスでも、金銭や個人情報がひもづく重要なサービスでは、できるだけ都度ログインするように心がけましょう。

6.使わなくなったサービスを解約する

使わなくなったサービスをそのまま残していても不正利用や情報漏えいのリスクになるだけです。クレジットカードや銀行口座などの金銭がらみの情報や個人情報を削除、あるいはダミーの情報を上書きした上でサービスを解約しましょう。

※不審な取引を見つけたら…
クレジットカードの利用明細やショッピングサイトの購入履歴、決済アプリの利用履歴などを定期的にチェックすることも大切です。万一、身に覚えのない不審な取引を確認した場合、直ちに各窓口に速やかに届け出をし、損害を拡大させないようにしましょう。

]]>
http://rss.is702.jp/main/rss/3557_l.jpg
偽の会員登録や警告メッセージを閉じられなくなったら ママは、突然表示された警告画面を見てうろたえています 2019-09-19T00:00:00+09:00
ひろしとアカリのセキュリティ事情

偽の会員登録や警告メッセージを閉じられなくなったら

2019/09/19

突然表示される警告や請求画面に注意

パソコンやスマホでWebサイトを見ていると、突然身に覚えのない会員登録や、請求画面、セキュリティ警告などのメッセージが表示されるかもしれません。こうしたメッセージは、アダルトサイトや出会い系サイトなど、成人向けのWebページを閲覧している際にだけ表示されるとは限りません。どのようなWebサイトを見ていても遭遇する可能性があります。しかし、そのほとんどは偽物です。このようなネット詐欺の手口では、利用者から金銭や情報をだまし取ることを目的としています。表示を無視し、落ち着いて行動しましょう。

スマホでWebブラウザのタブ(Webページ)を閉じる方法

Androidの場合:Webブラウザの右上もしくは右下にある「四角に数字が入っている」ボタンを押すと、タブの一覧画面が表示されます。右上の「×」ボタンを押せば対象のタブを閉じられます。

iPhoneの場合:Webブラウザの右下にある「四角が重なっている」ボタンを押すと、タブの一覧画面が表示されます。左上の「×」ボタンを押せば対象のタブを閉じられます。

ただ、パソコンで詐欺サイトに遭遇すると、「×」ボタンを押しても一向にタブを閉じられなくなったり、何度閉じてもまたポップアップが表示されたりすることがあります。この場合も冷静さを失ってはいけません。いくつかの方法を試せば問題を解決できることがあります。

Webブラウザを強制終了する

Windowsの場合:「Ctrl」+「Alt」+「Delete」キーを同時に押して一覧からタスクマネージャーを選択します。表示されたタスクの中から該当のWebブラウザ(ChromeやInternet Explorerなど)を選択し、「タスクの終了」をクリックしましょう。
また、タスクマネージャーはタスクバー(デスクトップの一番下に表示されているバー部分)を右クリックして開かれるメニューから起動することもできます。

Macの場合:「Command」+「Option(Alt)」+「Esc」キーを同時に押して強制終了画面を起動し、表示されたアプリの中から該当のWebブラウザ(Safariなど)を選択し、Webブラウザを強制終了しましょう。

Mac で App を強制的に終了する方法
https://support.apple.com/ja-jp/HT201276

前回終了時に開いていたページを次回の起動時に自動で復元するWebブラウザの機能を無効にし、ブラウザを再起動する

Chromeの場合:アイコンを右クリックし、新しいウィンドウを開きます。表示されたWebページの右上の設定ボタン(縦に点が三つ並んでいるもの)をクリックし、「設定」に進みます。設定画面の最下端にスクロールし、「起動時」枠の設定が「前回開いていたページを開く」になっている場合は「新しいタブページを開く」にチェックを入れましょう。

図:Chromeの設定画面

Safariの場合:上部の「Safari」から「環境設定」に進み、「一般」タブをクリックします。「Safariの起動時」枠で「ホームページ」を選択しましょう。

常に同じ Web ページが開くように Safari を設定する
https://support.apple.com/ja-jp/HT204296

Microsoft Edgeの場合:右上のメニューボタンを押し、「設定」に進みます。左の「全般」を選択し、「Microsoft Edgeの起動時に開くページ」枠で「スタートページ」を選択しましょう。

無事表示が閉じられたあとは、念のため、ご利用のセキュリティソフトを最新の状態にした上でフルスキャンを行ってください。対処に不安を覚えたり、上記の手順を試してもWebページを閉じられなかったりする場合は、ご利用のセキュリティソフトのサポート窓口に問い合わせましょう。

ひろしとアカリのセキュリティ事情 ひろしとアカリの日常をもっと見る
ひろしとアカリのセキュリティ事情 ひろしとアカリの日常をもっと見る
]]>
http://rss.is702.jp/main/rss/3554_l.jpg
Apple、Google、MS、Yahoo!の「多要素認証」、具体的な設定手順をIPAが解説 独立行政法人情報処理推進機構(IPA)は9月17日、「不正ログイン対策特集ページ」を更新しました。「多要素認証の設定」コーナーに、「Microsoftアカウント編」と「Yahoo! JAPAN ID編」の手順書を追加するとともに、「Apple ID編」「Googleアカウント編」の手順書の内容を更新しました。 2019-09-18T00:00:00+09:00
SNS、ショッピングサイト、クラウドサービス等、ほとんどのインターネットサービスは、「IDおよびパスワード(アカウント)による本人認証」を採用しています。しかし、第三者がアカウントを悪用する「不正ログイン被害」が後を絶ちません。

こうした不正ログインを防ぐために、多くのサービスが「多要素認証」を採り入れています。「多要素認証」とは、アカウントによるログインだけでなく、メールやSMSでの折り返し確認、あるいは指紋などの生体情報、ハードウェアキーなど、複数要素による本人確認を併用する手法です。「多要素認証」を利用することで、万一IDおよびパスワードが突破されてしまった場合でも、第三者による不正ログインのリスクを下げることができます。

ただし、各サービスが採用している「多要素認証」は、その内容も設定方法も異なっており、初心者には複雑に感じられます。IPAの情報セキュリティ安心相談窓口にも「設定方法が分からない」といった意見が寄せられていました。IPAではこれを受け、「不正ログイン対策特集ページ」を2018年3月に開設。具体的なサービスごとに、多要素認証の設定手順書を公開しています。

IPAでは今後も、主要な各種インターネットサービスの多要素認証の設定手順書を、追加していく予定とのことです。
各手順の詳細はIPAの公式WebサイトよりPDFで閲覧・ダウンロードが可能です。


「多要素認証」のイメージ(IPAの解説資料より)

「多要素認証」のイメージ(IPAの解説資料より)

]]>
https://is702.jp/main/images/news/S190918.png