is702 2019-03-20T00:00:00+09:00 インターネット・セキュリティ・ナレッジ IPA「中小企業の情報セキュリティ対策ガイドライン」2年4か月ぶりに大幅改訂 独立行政法人情報処理推進機構(IPA)は3月19日、「中小企業の情報セキュリティ対策ガイドライン」を改訂した第3版を公開しました。今回の改訂では、専門用語の使用を可能な限り避け、ITに詳しくない中小企業等の経営者でも理解しやすい表現になりました。 2019-03-20T00:00:00+09:00
「中小企業の情報セキュリティ対策ガイドライン」は、個人事業主や中小企業がセキュリティに取り組む際における「経営者が認識し実施すべき指針」と「社内において対策を実践する際の手順や手法」をまとめた内容です。2016年11月に第2版が公開され、付録の追加や小改訂が行われてきましたが、今回、2年4か月ぶりに大幅改訂されました。

改訂の背景としては、2017年11月に経済産業省「サイバーセキュリティ経営ガイドライン」が大幅改訂されたこと、中小企業等を対象としたクラウドサービスの充実といった形で環境が変化したことがあげられます。

改訂のポイントとしては、項目名称・構成の変更、用語の見直し、コラムや付録の追加、具体的な対策手法の記載といったものがあげられます。たとえば実践編では、組織的な対策の実施体制を段階的に進めていけるよう、構成の見直しが図られています。また、クラウドサービスを安全に利用するための留意事項やチェック項目を記し、付録として新たに「中小企業のためのクラウドサービス安全利用の手引き」が追加されました。

「中小企業の情報セキュリティ対策ガイドライン」第3版は、全62ページのPDFファイルとなっており、IPAサイトから無料でダウンロード・閲覧が可能です。



「中小企業の情報セキュリティ対策ガイドライン」第3版表紙(IPAのプレスリリースより)

「中小企業の情報セキュリティ対策ガイドライン」第3版表紙(IPAのプレスリリースより)

]]>
https://is702.jp/main/images/news/img_news1.jpg
160万件以上がインターネットに露出、UPnP有効の機器は攻撃を受ける可能性あり トレンドマイクロは3月18日、公式ブログで「UPnPが有効化された家庭向けコネクテッドデバイスを対象に既知の脆弱性を調査」と題する記事を公開しました。 2019-03-19T00:00:00+09:00
「UPnP」(Universal Plug and Play)は、ネットワークカメラ、プリンタ、そしてルータのようなローカルネットワーク内デバイスが、その他のデバイスを自動認識し相互通信するための技術です。UPnPを使用可能な場合、デバイスをネットワークに接続するだけですぐに利用することができます。
一方で、デバイス管理やファイアウォール回避等を、攻撃者に許してしまう可能性があり、ルータやその他のデバイスでは、ボットネット構築や分散型サービス拒否(distributed denial-of-service、DDoS)、スパムメール送信といった攻撃の踏み台として利用される恐れがあります。また、こうした不正活動の発信源の追跡は、ほぼ不可能となります。

今年に入り、グーグル製のメディアストリーミングデバイス「Chromecast」、スマートスピーカー「Google Home」、さらにスマートTVがハッキングを受け、YouTubeアカウント「PewDiePie」の宣伝動画が再生されるという事例が発生しました。これは、ハッカーがUPnPの設定に不備があるルータを攻撃したことにより発生したものでした。

このハッキング事例を受け、トレンドマイクロは家庭用ネットワークにおけるUPnP関連のイベントを調査。その結果、ルータでは約76%、メディアデバイス(DVDプレイヤー、メディアストリーミングデバイス)では約27%で、UPnPが有効化されていることが判明しました。そこで、UPnPが標準的に使用する1900番ポートについて調査したところ、164万9719件(2019年3月5日時点)がインターネットに露出していました。さらに同社の調査により、ほとんどのデバイスが古いバージョンのUPnPライブラリを使用していることも判明。こうしたデバイスは、攻撃に対して脆弱なままとなっています。

UPnPに関連した脆弱性や感染の有無を判断することは、一般ユーザにとっては難しいかもしれません。攻撃を防ぐために、ユーザはデバイスのファームウェアが最新の状態に更新されているかどうかをまずは確かめてください。また、UPnPを利用しないのであれば、無効化することも選択肢の1つです。



UPnPが有効化されている主なデバイスの種類と、有効化されている割合(%)

UPnPが有効化されている主なデバイスの種類と、有効化されている割合(%)


]]>
https://is702.jp/main/images/news/img_news35.jpg
偽装SMS、モバイル端末のOSに応じて攻撃内容を切り替える手法でさらなる変化 トレンドマイクロは3月15日、公式ブログで「継続する偽装SMS:今度は携帯電話事業者サイトの偽装とiOSを狙う不正プロファイル」と題する記事を公開しました。偽装SMSを使って不正アプリ拡散やフィッシングサイト誘導を狙う攻撃について、新たな動きが2つ確認されました。 2019-03-15T00:00:00+09:00
まず1つ目は、偽装先について、これまでよく使われていた「宅配業者」ではなく、「携帯電話事業者」に偽装し偽サイトに誘導する事例が確認されました。さらに2つ目として、誘導先の不正サイト上でiOS端末の固有情報を窃取するために、不正な構成プロファイルを使用する手口が、新たに見つかりました。

携帯電話事業者を偽装した不正サイトは、アクセスした端末のOSを判定しており、Android端末だった場合には、不正モバイルアプリ「XLoader」をダウンロードさせます。「XLoader」は、2018年前半に「ルータのDNS改ざんによる拡散」が観測されていましたが、同年8月以降はほとんど観測されていませんでした。しかし2019年2月に入り、再度拡散しはじめ、今回のような偽装SMSによる拡散も発生しています。

またこの不正サイトは、アクセスした端末がiOS端末だった場合には、別の不正サイトへ誘導します。こちらのサイトは、「ネットワークセキュリティのアップグレード」と称して、不正な「構成プロファイル」をインストールさせ、端末固有情報の窃取しようと試みます。この不正プロファイルをインストールしてしまうと、端末やSIMカードの固有情報、OSバージョンや製品情報が攻撃者の元に送信される仕組みになっていました。そして最終的に、Appleを偽装するフィッシングサイトへ誘導されます。

有名企業やサービスを詐称するメール・SMSの利用は、古典的な犯罪手法ながら、さまざまな変化を見せて続いています。誘導先サイトのURLについては、該当企業やサービスの正規URLであるかどうか、かならず確認してください。また、公式アプリストアまたは信頼できるアプリストアからのみ、アプリをインストールしてください。サイト閲覧時等に、意図せずアプリやプロファイルのインストールが始まったときは、安易にインストールを許可せず、正当性を確認するようにしましょう。



携帯電話事業者を偽装した不正サイトの表示例(Android端末でアクセスした場合)

携帯電話事業者を偽装した不正サイトの表示例(Android端末でアクセスした場合)


]]>
https://is702.jp/img/dummy/dummy_th.gif
法人向けガイドブック無償提供「働く大人なら最低限知っておきたいネットセキュリティの基本」 トレンドマイクロは3月14日、ガイドブック「働く大人なら最低限知っておきたいネットセキュリティの基本」の無償提供を開始しました。法人組織のシステム担当者が従業員教育に利用できる、あるいは従業員自身がサイバーセキュリティを学習できる内容です。 2019-03-14T00:00:00+09:00
ここ数年、経営幹部や取引先等になりすまして金銭・情報を騙し取る「ビジネスメール詐欺」、パソコンを乗っ取り身代金を要求する「ランサムウェア」、特定組織の情報入手を目的とする「標的型サイバー攻撃」等、法人組織を狙うサイバー攻撃が拡大しています。

本ガイドブックは、こうした法人組織を狙ったサイバー攻撃について、従業員一人ひとりが最低限知っておくべきサイバー脅威と対策を、イラストを交えて分かりやすく解説しています。

具体的には、どのようなサイバー脅威が職場に潜んでいるか、在宅勤務やテレワーク時のリスクをどう回避するかを説明したうえで、最低限押さえておくべき「セキュリティ基本対策5か条」を紹介しています。簡易な「セキュリティ対策チェックリスト」も用意されており、現状を客観的に把握することも可能です。

ガイドブックはPDFファイルの形で提供されており、トレンドマイクロが提供するセキュリティ情報サイト「is702」より、ダウンロード可能です。



「働く大人なら最低限知っておきたいネットセキュリティの基本」表紙

「働く大人なら最低限知っておきたいネットセキュリティの基本」表紙

]]>
https://is702.jp/main/images/news/img_news3.jpg
SNSの利用時はプライバシー侵害に注意しよう 友だちとの写真をSNSにアップしようとするツトムに、おじいちゃんは… 2019-03-14T00:00:00+09:00
ひろしとアカリのセキュリティ事情

SNSの利用時はプライバシー侵害に注意しよう

2019/03/14

友人との写真をSNSに無断で公開していませんか?

中高生のお子さんにとってもInstagramやTwitter、Facebook、LINEなどのSNSは身近な存在です。友人と一緒に過ごしたときの写真や動画をSNSに公開することはコミュニケーションの一部になっています。

ただ、SNSでは日常の出来事などを手軽に発信できるがゆえに、プライバシーへの配慮を欠いてしまいがちです。不特定多数が見られるSNS上に他者のプライバシー情報を無断で公開してしまい、トラブルに発展してしまうケースも少なくありません。

こんな情報を公開するとどうなる?

  • 友人の氏名や住所、学校名、電話番号
    悪質な名簿業者に情報を売られるだけでなく、ストーカーや脅迫などの被害に遭ってしまうかもしれません。
  • 友人の行動
    友人が日常的に行っていることでも、他人にあまり知られなくないことについて無断で公開した結果、友人との関係が気まずくなるかもしれません。
  • 友人や他人の顔写真
    ネット掲示板に公開され、誹謗中傷の的にされたり、出会い系サイトのサクラ画像として無断使用されたりする可能性があります。見ず知らずの第三者の写真をSNSにさらしてしまったことでプライバシー侵害を指摘するコメントが殺到し、炎上するトラブルも起きています。

不特定多数が見られるSNSに公開した情報は、だれが、どのような目的で閲覧しているかわかりません。過去の投稿内容や、SNS上の交友関係などをたどれば、写真の人物を特定することもできてしまいます。また、SNSに公開した情報をだれかに拡散された場合、完全に消し去ることは事実上不可能です。お子さんがSNS上に自身のみならず、友人を含めた他者のプライバシーに関連する情報を勝手に公開しないよう、一緒に話し合う時間を持ちましょう。

SNSを楽しむお子さんに教育すべきこと

  • SNSに適切なプライバシー設定を行うこと
    SNS利用時は、だれに見せるべき情報かを踏まえて適切なプライバシー設定を行い、プロフィールや投稿の公開範囲を制限させるようにしましょう。
  • 投稿する前に内容を見直すこと
    SNSで公開した情報は仲間内だけでなく、不特定多数の目に触れ、悪用される可能性もあることを教えましょう。SNSに公開しても差し障りないと考える情報の基準は人により異なります。友人や知人に関連する情報や写真、動画などをSNSに投稿する場合は、事前に本人の了承を得ることを徹底させましょう。
ひろしとアカリのセキュリティ事情 ひろしとアカリの日常をもっと見る
ひろしとアカリのセキュリティ事情 ひろしとアカリの日常をもっと見る
]]>
http://rss.is702.jp/main/rss/3455_l.jpg
マイクロソフトが3月のセキュリティ更新を公開、深刻度「緊急」の脆弱性等修正 マイクロソフトは3月13日、月例のセキュリティ更新プログラムを公開しました。 2019-03-13T00:00:00+09:00
対象となるソフトウェアは、「Internet Explorer」「Microsoft Edge」「Microsoft Windows」「Microsoft Office、Microsoft Office ServersおよびWeb Apps」「Adobe Flash Player」「ChakraCore」「Team Foundation Server」「Skype for Business」「Visual Studio」「NuGet」で、深刻度「緊急」の脆弱性への対応も含まれています。

なおその他にも、新規のセキュリティ アドバイザリ3件の公開、既存の脆弱性情報3件の更新が行われています。「悪意のあるソフトウェアの削除ツール」については、「Win32/GraceWire」に対する定義ファイルが新たに追加されました。

脆弱性を悪用された場合、リモートからの攻撃によって任意のコードを実行される可能性があります。各製品のユーザは、Microsoft UpdateやWindows Update等を用いて、システムの更新を至急行うのが望ましいでしょう。
]]>
https://is702.jp/main/images/news/img_news34.jpg
偽サイトへ誘導する「サポート詐欺」に新手口、SNSで正規企業になりすまし トレンドマイクロは3月8日、公式ブログで「『サポート詐欺』の手口が変化、SNSの投稿を検索結果に表示させ詐欺ページに誘導」と題する記事を公開しました。TwitterやFacebook、YouTube等のソーシャル・ネットワーキング・サービス(SNS)に、不正なWebサイトへのリンクを投稿するという、新しい手口を解説しています。 2019-03-11T00:00:00+09:00
技術的な悩みを解決すると偽り、個人情報や金銭を詐取しようとする「サポート詐欺」ですが、これについてトレンドマイクロでは、「サポート詐欺の攻撃者が手口を多様化させている可能性」を指摘。その具体例としてSNSへの投稿を検索結果に表示させることで、ユーザをサポート詐欺に誘導する新手口を解説しています。

それによるとまず攻撃者は、セキュリティ関連企業やオフィス機器等の製造企業等の正規企業になりすまし、TwitterやFacebook、YouTube等の偽アカウントを作成します。続いて、不正なWebサイトへのリンク、あるいは偽のサポート電話番号を載せた内容を投稿します。その結果、技術的な悩みを持つユーザが情報を検索すると、正規企業の情報のみならず攻撃者の投稿も検索結果に表示されます。ユーザがサポート詐欺であることに気付かず偽の窓口を利用してしまった場合、被害を受けることになります。このような誘導先の偽サイトには、トレンドマイクロの技術サポートページに偽装した詐欺ページも存在しており、正規のWebサイトからバナーをコピーしていたとのことです。

攻撃者は、製品や企業に関連するさまざまなキーワードを用いて投稿しており、「検索エンジン最適化(SEO:Serch Engine Optimization)」を意識していることがうかがえます。SEOを施すことで、SNSの検索結果に表示される機会を増やすのが狙いとみられます。また、記載されている偽の連絡先電話番号について調べると、複数のセキュリティ企業、Webメールサービス、プリンタの顧客サービス・サポート、文書作成ソフトの設定サポート、ブラウザのサポート等を装ったサポート詐欺に利用されていることが判明しました。通常、別々の企業が同一の電話番号を共有するということは考えられないため、詐欺のための番号だということがわかります。これらの電話番号は「1-888」「1-800」「1-877」で始まっており、米国の無料通話サービスで利用されている番号でした。

このようなネット上の脅威を回避するには、ユーザはWeb検索の結果であっても不審なサイトが混在する可能性を認識し、移動先のサイトがその企業の正規URLかどうかを確認するようにしましょう。



SNSへの投稿を利用したサポート詐欺の流れ

SNSへの投稿を利用したサポート詐欺の流れ


]]>
https://is702.jp/main/images/news/img_news40.jpg
2018年のサイバー犯罪検挙件数、9,040件で過去最多に 警察庁調べ 警察庁は3月7日、2018年(1月~12月)におけるサイバー空間の脅威情勢について、観測データ等を分析した結果を発表しました。2018年も、サイバー攻撃やサイバー犯罪の増加傾向が見られました。 2019-03-08T00:00:00+09:00
それによると、2018年にセンサー(警察庁が24時間体制で運用しているリアルタイム検知ネットワークシステム)により検知されたアクセス(探索行為等)の件数は、1日・1IPアドレス当たり2,752.8件と、前年の1,893.0件より大幅に増加しました。その特徴のうちの一つとしては、仮想通貨等を標的としたアクセスが、年間を通じて観測されました。
また標的型メール攻撃も、前年の6,027件から6,740件と、近年増加傾向にあります。内訳としては「ばらまき型」攻撃が多数発生しており、全体の90%を占めています。
一方、サイバー犯罪も増加傾向にあり、2018年の検挙件数は9,040件。前年の9,014件より増加し過去最多となりました。相談件数は前年より微減し12万6,815件になりましたが、引き続き高い水準にあります。検挙件数の内訳では、前年同様「児童買春・児童ポルノ法違反」が2,057件で最多でした(「その他」の4,407件を除く)。以下「詐欺」972件、「著作権法違反」691件、「不正アクセス禁止法違反」564件等が続いています。
なお、インターネットバンキングに係る不正送金事犯による被害は、発生件数322件、被害額約4億6,100万円で、いずれも減少傾向にありました。

警察庁では、来年に迫った2020年東京オリンピック・パラリンピック競技大会に焦点を当てながら、さまざまなサイバーセキュリティ対策を推進する計画です。



サイバー犯罪の検挙件数の推移(警察庁の発表資料より)

サイバー犯罪の検挙件数の推移(警察庁の発表資料より)

]]>
https://is702.jp/main/images/news/img_news1.jpg
Instagram人気アカウントの乗っ取り被害発生、「認証バッジ」を餌に誘導 トレンドマイクロは3月6日、公式ブログで「SNSの乗っ取り手口を実例で解説:トルコの『Instagram』人気アカウント事例を調査」と題する記事を公開しました。写真共有サービスInstagramの人気アカウントが乗っ取られた事例について、その手口や影響を解説する内容です。トルコでの実例を調査したものですが、その手法は国に関わらず通用するものであり、国内の利用者も注意が必要です。 2019-03-07T00:00:00+09:00
それによると、1万5,000人のフォロワーを持つ写真家のアカウントが、フィッシング攻撃により乗っ取り被害に遭っていたとのこと。犯行の首謀者は、トルコ語を使用するハッカー集団で、アカウント復旧手順を悪用してさまざまな乗っ取りを行っていました。

トレンドマイクロが確認した事例としては、フォロワー数1万5,000~7万に及ぶ、芸能人、企業オーナー等のアカウントがハッキングされており、元の所有者の手に戻らないままとなっています。このハッカー集団は、乗っ取ったアカウントを利用して、身代金やヌード写真の要求も行っていました。ハッカーのためのあるオンライン掲示板では、乗っ取ったアカウントを元の所有者が取り戻すことができないようにする方法まで議論されていました。

今回の事例では、認証バッジを餌に認証情報を入力するように誘導する“ソーシャルエンジニアリング”の手法が使われていました。
発信元をInstagramに偽装したフィッシングメールは、アカウントが本人であることを証明する「認証バッジ」を付けるためにメール内のリンクから認証するように促す内容となっていました。本来はこのようなメールがInstagramから送信されることはありませんが、認証バッジが得られると勘違いしてしまった利用者は認証情報などをフィッシングサイトに入力してしまい、この情報を起点としてアカウントを奪われてしまいました。

このような攻撃を回避するには、詐欺の手口を知っておくとともに、「正規とは異なるドメイン名の使用」「疑わしいフォントや書体」「間違った文法や句読点」「認証情報を要求するメール」等に注意し、被害に遭わないように気を付けてください。



Instagramのアカウントを乗っ取る攻撃の流れ

Instagramのアカウントを乗っ取る攻撃の流れ


]]>
https://is702.jp/main/images/news/img_news39.jpg
巧妙化するネット詐欺の最新手口と6つの対策 ネット詐欺の手口は巧妙さを増しており、ソーシャルエンジニアリングの手法によって人の心理的な隙を突いてくるものがほとんどです。ネット詐欺の最新手口と6つの対策を押さえましょう。 2019-03-07T00:00:00+09:00
心の隙を巧みに突くネット詐欺が横行

巧妙化するネット詐欺の最新手口と6つの対策

2019/03/07
心の隙を巧みに突くネット詐欺が横行 巧妙化するネット詐欺の最新手口と6つの対策

サイバー犯罪の手口は、日々巧妙化しています。中でもネット利用者の心の隙を突く手口は近年特に顕著になっています。最新の手口を知り、情報や金銭をだまし取られないための6つの対策を実践しましょう。

不安をあおる手口に注意

近年、ネット利用者から情報や金銭をだまし取る手口として、ソーシャルエンジニアリングによる被害が目立つようになってきました。ソーシャルエンジニアリングとは、人の心理的な隙につけ込んで特定の行動を相手にとらせる手法のことです。

実在する金融機関やネットサービスなどに偽装したメールやメッセージで、「パスワードの有効期限が迫っている」「時間内にアカウントの再開手続きをしないとアカウントが無効になる」などと通知し、メッセージ内の不正なURLリンクから偽サイト(フィッシングサイト)に誘導し、認証情報やクレジットカード情報などを窃取する手口はその典型です。

図:カスタマーセンターをかたるフィッシングメール

そのほかにも、「ウイルスが見つかりました」などの偽のセキュリティ警告を日本語で読み上げたり、Webブラウザ上に表示したりして、偽のサポートセンターへ電話するよう仕向けるパターンもあります。これらはサポート詐欺と呼ばれ、実体のない有償のサポート契約を結ばせて金銭や情報をだまし取る手口です。

このような偽のセキュリティ警告の手口には、「システム破損」などの偽の警告文を介して不正サイトへ誘導し、システム修復やウイルス除去の名目で迷惑ソフトをインストールさせたり売りつけようとしたりする手口もあります。
どちらの手口も警告画面で利用者の不安をあおったり、対応を急かしたりすることで利用者の判断力を鈍らせることが狙いです。

図:トレンドマイクロが2019年1月に確認した偽警告の表示例

不安をあおる手口でさらに悪質なものがネット恐喝です。「アダルトサイトを見ているときの様子を撮影した動画をばらまく」といった偽のメールを不特定多数に送りつけて、それを本物と誤認した受信者から口止め料を脅し取るセクストーション(性的脅迫)の手口も確認されています。この脅迫メールでは、送信元メールアドレス(From:)を受信者自身のメールアドレスに偽装したり、受信者が何らかのインターネットサービスで実際に使用していたものと考えられるパスワードを表題や本文に記載したりして脅迫内容を信じ込ませようとします。

著名なネットサービスや大手企業を偽装した手口に注意

サイバー犯罪者は、著名な企業やサービスを無意識に信用してしまう人の油断にもつけ込みます。たとえば、実在する配送業者の不在通知を装うSMS(ショートメッセージサービス)を送りつけ、受信者をフィッシングサイトや不正アプリの配布サイトへ誘導する手口が確認されています。大手ショッピングサイトをかたって「心当たりがない場合はキャンセルしてください」などと呼びかけ、URLリンクを開かせる注文確認メールも存在します。さらには、アンケート協力と称して、謝礼を餌にクレジットカード情報を窃取する手口も確認されています。有名な企業やサービスであっても過信せず、認証情報や決済情報の入力を行う前には、必ずその真偽を確認しましょう。

図:アンケートの謝礼に偽装したフィッシングサイト

リアルな詐欺メールに注意

法人を狙うフィッシング詐欺にも注意が必要です。近年業務システムにクラウドサービスを活用する法人が増加する中で、メールシステムはその代表例です。このクラウドメールサービスを利用する法人において、使用者である従業員がフィッシング詐欺により認証情報をだまし取られてしまうといった被害が発生しています。認証情報を窃取されてしまった場合には、アカウントの悪用に留まらず、メールのやり取りが筒抜けになることで、その後の詐欺や別のサイバー攻撃に利用されてしまう可能性があります。

法人が利用するクラウドサービスの認証情報を狙ったフィッシング詐欺の手口としては、システム担当者をかたって再ログインを促すメールを従業員に送りつけ、そこからフィッシングサイトへ誘導したり、メールの認証情報を尋ねたりすることで従業員から認証情報を窃取します。

このようにして盗まれた業務メールのアカウントは、ビジネスメール詐欺(Business Email Compromise、BEC)の準備段階として悪用されるケースもあります。ビジネスメール詐欺は、業務メールの盗み見を発端として経営幹部や取引先などになりすまし、金銭や特定の情報をだまし取るサイバー犯罪です。最高経営責任者(CEO)を装う送金指示メールで、犯罪者の口座に送金させる手口はその典型です。取引先の実在する人物をかたって偽の請求書を添付したメールを送りつけ、送金先の変更を依頼するパターンもあります。

ビジネスメール詐欺の成否は、標的企業の従業員をいかにして信用させるかにかかっています。このため、サイバー犯罪者は業務メールの盗み見を通じて標的企業の取引先や取引の進行状況、人間関係など、ソーシャルエンジニアリングに利用できそうな情報を収集します。その上で信ぴょう性の高いなりすましメールを作成、送信し、従業員から金銭や情報を巧みにだまし取るのです。ソーシャルエンジニアリングに利用できる情報の収集に当たっては、FacebookやLinkedInなどのSNSで公開している情報が利用されることもあります。

ネット詐欺に有効な6つの対策

1.ネット詐欺の手口を知る

ネット詐欺に引っかからないための基本はその手口や狙いを知ることです。セキュリティ関連団体やセキュリティソフトの製造元が運営するSNSやサイトを通じて最新の注意喚起情報をチェックしましょう。

2.URLリンクや添付ファイルを不用意に開かない

たとえ差出人が著名な企業やネットサービスであっても、メールやSMS内のURLリンクや添付ファイルには注意が必要です。真偽を確かめる方法としては、その企業のホームページに掲載される注意喚起情報を確認することが挙げられます。もしも同様の文面や手口が紹介されていた場合には、詐欺を疑って受け取ったメールやSMSを無視するか、その企業の相談窓口、またネット詐欺被害に関する相談窓口に相談しましょう。

都道府県警察サイバー犯罪相談窓口
https://www.npa.go.jp/cybersafety/

3.ネットでの情報入力を慎重に行う

認証情報や個人情報、決済情報の入力が必要なWebサイトでは、入力を行う前に正規のものであるか確認をしましょう。特にメールやSNS、SMS、Web広告を経由してサイトにたどり着いた場合には、フィッシングサイトや詐欺サイトかもしれないことを疑いましょう。また最近では、アドレスバーのURLが「https://」で始まり、「鍵マーク」が表示されているSSL(情報を暗号化して送信し、第三者による通信内容の盗み見を防いでくれる仕組み)に対応しているWebサイトであっても、フィッシングサイトなどの不正サイトである可能性があります。鍵マークがあるから大丈夫と過信せず、確認を怠らないようにしましょう。

4.知り合いからのメールを無条件に信用しない

友人や勤務先、取引先の関係者、有名企業を装ったメールやメッセージは、受信者を騙す手段としてサイバー犯罪者が多用する手口の一つです。いつもと言い回しが違う、いつもとは指示がことなるといったといった不審な点や、不安をあおるような内容の場合には、その真偽を慎重に判断してください。不審な点を感じた場合は、電話など他の手段を使って確認しましょう。確認する際は受け取ったメッセージに記載された連絡先ではなく、過去にやり取りした履歴や連絡帳などから正しい連絡先を確認しましょう。

5.SNSの公開範囲や投稿内容に注意を払う

FacebookやLinkedInなどのSNSで情報を公開していると、このような情報もサイバー犯罪者に入手されてしまいます。SNSを利用する場合は、公開範囲や公開内容を定期的に見直しましょう。また、勤務先でSNSについての利用規定がある場合はそれに従ってください。

6.OSやセキュリティソフトなどは最新の状態で利用する

脆弱性(セキュリティの穴)が悪用されると、不正サイトに誘導されてウイルスなどに感染してしまう危険性があります。このようなリスクを回避するには、OSやソフト、アプリを常に最新の状態に保つことが最善です。OSやソフトの開発元から更新プログラムが提供されたら速やかに適用しましょう。ただし、法人ではシステム管理者からアップデートのタイミングを指示されるケースもあるため、勤務先のルールに従いましょう。

]]>
http://rss.is702.jp/main/rss/3453_l.jpg
5月1日にいよいよ新元号に、マイクロソフトが法人向け専用情報サイトを公開 日本マイクロソフトは3月4日、新元号対応に関する情報をまとめたサイトを公開しました。 2019-03-05T00:00:00+09:00
明治、大正、昭和、平成と続いてきた和暦元号ですが、今上天皇の生前退位にともない、4月1日に新元号が公表され、5月1日からは正式に新元号に移行する予定です。一方で、さまざまな問題が新元号で発生すると想定されており、IT業界はいまだ対応に追われています。

オペレーティングシステム、オフィスアプリケーション、クラウドサービスを提供するマイクロソフトも、新元号への対応に取り組んでいるとのことで、今回あらためて法人向けに、新元号対応に関する自社製品情報をまとめたサイトを公開しました。

新元号対応においては、マイクロソフトからの更新プログラムを適用するだけでは「不十分なケースがある」としており、特に注意すべき事項、推奨事項を掲載。さらに、対応状況への製品別リンク、新元号関連セミナーの日程、経済産業省と合同で開催している説明会の内容といった情報を掲載しています。

たとえば具体的な注意ポイントとしては、「データ交換で用いられることの多いXLSX、CSV、JSON、XML等のファイル」「日付フォーマット」「合字(1文字で和暦を表しているフォント)」「元年の表記」等があげられています。

新元号が公表されるまでに行うこととして、「システムが破損していないかどうかの確認」「更新プログラムのインストール」が推奨されています。新元号に切り替わった後に、更新プログラムを確認・適用するのも重要でしょう。
]]>
https://is702.jp/main/images/news/img_news35.jpg
「情報セキュリティ10大脅威」詳細解説公開、事例やデータ参照可能に|IPA 独立行政法人情報処理推進機構(IPA)は3月1日、「情報セキュリティ10大脅威 2019」について、解説資料を公開しました。 2019-03-04T00:00:00+09:00
「情報セキュリティ10大脅威 2019」は、2018年に発生した情報セキュリティの事故・事件について、ランキング形式でトップ10を選出したものです。1月30日にランキングのみ公開されていましたが、今回あらためて、それぞれの脅威を解説する資料が公開されました。

資料は「第1章 情報セキュリティ10大脅威 2019 概要」「第2章 情報セキュリティ10大脅威 2019」「第3章 注目すべき脅威や懸念」の3章構成で、選出にあたっての変更点、各脅威の特徴、ランキング外の脅威や懸念を解説しています。

第2章では、「攻撃者」「被害者」「脅威と影響」「攻撃手口」「事例または傾向」「対策/対応」「参考資料(リンク)」といった項目ごとに、各脅威を詳細に解説。たとえば、個人第1位となった「クレジットカード情報の不正利用」については、ウイルス感染やフィッシング詐欺といった攻撃、漏えいした情報の悪用が、どのように行われているのか説明するとともに、具体的な不正利用事例、一般社団法人日本クレジット協会による調査結果等が掲載されています。

なお、金銭目的とする脅威が増えたといった背景から、「情報セキュリティ10大脅威 2019」では、候補の見直しが行われており、「インターネットバンキングやクレジットカード情報等の不正利用」が5つに細分化されています。一方で「セキュリティ人材の不足」は除外されました。

資料は、IPAのサイトよりPDFファイルとしてダウンロード可能です。



情報セキュリティ10大脅威 2019(IPAの発表資料より)

情報セキュリティ10大脅威 2019(IPAの発表資料より)


]]>
https://is702.jp/main/images/news/img_news3.jpg
2018年は“騙しの脅威”が多様化、偽サイトに誘導された国内利用者は約2.5倍に急増 トレンドマイクロは2月28日、日本と海外のセキュリティ動向を分析した報告書「2018年 年間セキュリティラウンドアップ:騙しの手口の多様化と急増するメールの脅威」を公開しました。 2019-03-01T00:00:00+09:00
それによると、2018年は、有名企業等の正規サービスを偽って人を騙す「フィッシング詐欺」、ユーザを脅迫する「セクストーション(性的脅迫)スパム」、宅配業者からの通知を装う「偽装SMS(ショートメッセージサービス)」、経営幹部や取引先等になりすます「ビジネスメール詐欺」、偽の警告画面を表示する「偽警告」等、“騙しの手口の多様化”が顕著でした。特にメール経由による攻撃が急増し、サイバー犯罪者は継続的に手口を変化させることでユーザを巧みに騙そうとしており、引き続き注意が必要です。

「フィッシング詐欺」において、フィッシングサイトに誘導された利用者数が、全世界では2017年の1,134万件から2018年は2,061万件と、前年比約1.8倍に増加。国内では、180万件から過去最大の443万件を記録し、前年比約2.5倍に急増していました。

「セクストーションスパム」においては、従来のセクストーションの手口である、特定個人を脅迫する手法とは異なり、不特定多数の利用者に偽の脅迫スパムメールを送り付け、仮想通貨を振り込ませようとする新たな手口が2018年7月頃に初めて登場しました。この手口では、受信者に脅迫メールが本物だと信じ込ませる手段として、受信者のメールアドレスや、過去に利用していたと思われるパスワードが記載されているなど、巧妙な騙しの手口が使われていました。日本国内では、2018年9月~12月の期間に、少なくとも15万件以上のセクストーションスパムが確認されており、総額29.08BTC(1,182万円相当*)のビットコインが送金されていました。
* 2019/1/1時点のビットコイン価格(1BTC=406,513円)で計算

「偽装SMS」は、主に宅配業者の不在通知を偽装し、フィッシングサイトに誘導して認証情報を窃取したり、不正アプリをインストールさせたりするサイバー攻撃です。2018年7~9月期にこのようなSMS経由で拡散した国内のAndroidにおける不正アプリの検出台数が20万件を超える等、急拡大を記録した後、さらに増加しています。

「ビジネスメール詐欺」については、日本語を使用したものが2018年7月に初確認され、“2018年に1つの転換点を迎えた”とトレンドマイクロでは考察しています。世界的にも、自社の経営幹部になりすます“CEO詐欺”関連メールが前年より増加し、2018年は1万件以上検出されています。

メールを使った攻撃以外では、「ウイルス感染」や「システム破損」等の画面表示により利用者を騙し、迷惑ソフトの購入サイトへ誘導する「偽警告」の手口が、日本国内において2018年に再び活発化。トレンドマイクロへの偽警告関連の問い合わせ件数は、2018年7月~12月の半年で6,323件に達する等、2018年全体を通して増加したとのことです。

「2018年 年間セキュリティラウンドアップ」全文は、トレンドマイクロのサイトよりPDFファイルとしてダウンロードが可能です。また公式ブログでは「騙しの手口の多様化と急増するメールの脅威、2018年の年間脅威動向を分析」と題する記事も公開されています。



フィッシングサイトに誘導された利用者数の推移(2014年1月~2018年12月:国内)

フィッシングサイトに誘導された利用者数の推移(2014年1月~2018年12月:国内)

]]>
https://is702.jpmain/images/news/img_news1.jpg
ペットの見守りカメラは安全ですか? ひろしは、帰宅が遅くなりそうな高見部長の愛犬の心配をしています 2019-02-28T00:00:00+09:00
ひろしとアカリのセキュリティ事情

ペットの見守りカメラは安全ですか?

2019/02/28

ペットの見守りカメラを安全に利用するには?

犬や猫などのペットを自宅に残して外出するのは気がかりなものです。しかし、そんな時はペット見守り用のネットワークカメラを自宅に設置し、スマホに入れた専用アプリを使ってペットの様子をいつでも確認できるようになりました。

見守り用のネットワークカメラもますます性能がよくなり、高画質化、録画、給餌や声掛けといったコミュニケーション、ペットの動きに合わせた追尾機能、IoT家電と連携した室温調整など、高度な機能を備えたものも増えています。しかし、ネットにつながる機器は、どのようなものでもサイバー脅威による不正な操作や情報漏えいなどのリスクがあることを忘れてはいけません。便利な機能を安心、安全に活用するためにも、利用する際にはセキュリティ対策をしっかり確認しておきましょう。

1. 信頼できるIoT機器を利用する

見守りカメラなどのIoT機器の購入を検討する際には、便利な機能だけではなく、セキュリティについても考慮されているものかどうか確認をしましょう。

2. 家庭内のネットワークを安全に保つ

ネットワークにつながる機器を安全に利用するには、家庭内ネットワークのセキュリティ対策も重要です。

3. IDとパスワードを適切に設定、管理する

悪意を持った第三者による不正な操作などを防ぐためにも、機器本体や管理アプリなどで利用するIDやパスワードは初期設定のままにせず、機器ごと、アプリごとに異なるIDとパスワードを設定しましょう。

ひろしとアカリのセキュリティ事情 ひろしとアカリの日常をもっと見る
ひろしとアカリのセキュリティ事情 ひろしとアカリの日常をもっと見る
]]>
http://rss.is702.jp/main/rss/3450_l.jpg
CMS「Drupal」に新たな脆弱性、至急アップデートの検討を 独立行政法人情報処理推進機構(IPA)およびJPCERTコーディネーションセンター(JPCERT/CC)は2月26日、オープンソースのCMS(コンテンツマネジメントシステム)である「Drupal」について、新たな脆弱性が見つかったとして注意を呼びかけました。 2019-02-27T00:00:00+09:00
すでに本脆弱性を悪用する攻撃コードが公開されているとともに、Drupalのバージョンを調査する試みが確認されているとのことです。影響を受けるバージョンを利用している場合は、至急アップデートすることを検討してください。

この脆弱性(CVE-2019-6340)は、「REST API等でリクエストされたデータに対する検証不備の脆弱性」で、「RESTful Web Services」等のREST APIを利用するモジュールを有効にしている場合に、影響を受けます。悪用された場合、遠隔の第三者によって、サーバ上で任意のコードを実行される可能性があるとのことです。

影響を受けるバージョンは以下のとおり。

・Drupal 8.6.10より前の、8.6系のバージョン。
・Drupal 8.5.11より前の、8.5系のバージョン。

最新版が公開されていますので、該当するユーザは、至急アップデートしてください。Drupal 8.4.x等、古いDrupal 8系バージョンについても、サポートが終了しているため、8.5.11または8.6.10へのアップデートが推奨されています。なおDrupal 7系でも、REST APIを利用するモジュールを有効にしている場合は、本脆弱性の影響を受けるとのことです。Drupal 7系について修正済みのバージョンは公開されていません。]]>
https://is702.jp/main/images/news/img_news40.jpg
件名が「顔文字」「I Love You」「女性芸能人」のメールに注意、危険な攻撃 トレンドマイクロは2月22日、公式ブログで「『顔文字』、『LoveYou』スパムの背後に凶悪スパムボット、ランサムウェア遠隔攻撃も実行」と題する記事を公開しました。 2019-02-22T00:00:00+09:00
2019年に入ってから、日本向けにランサムウェアをばらまくマルウェアスパムが流行しており、このスパムメールには以下のいずれかの特徴があります。

・「:-)」のような“顔文字”だけの件名。
・「I Love You」「My love letter for you」等の英文の件名。
・「Kyary Pamyu Pamyu ;)」「Sheena Ringo ;)」等、日本の女性芸能人の名前を入れた件名(1月末ごろから)。

こうした特徴から、この攻撃は「Love Youランサムスパム」などとも呼ばれているようです。いずれの件名のメールでも、添付ファイルを開くことで、ランサムウェア、不正コインマイナー、スパムメール送信に使用されるスパムボットに複合感染する攻撃となっています。また、Windowsのレジストリ設定を変更し、Windows DefenderやWindows Firewall、Windows Update等の機能を無効にして感染環境を脆弱にします。

トレンドマイクロが調査した結果、このマルウェアスパムを送信するスパムボット「Phorpiex」(フォルピエックス)の存在が確認されました。また「Phorpiex」は一般的なスパムボットではなく、それ自体が遠隔からランサムウェア等のマルウェア感染を狙う、危険なものであることも判明しました。トレンドマイクロの監視によれば、「Phorpiex」本体に対し2月5日と2月6日に連続して機能更新が行われ、スパムボットの枠を超える凶悪な活動が追加されたとのことです。

「Phorpiex」は別名「Trik」とも呼ばれ、その存在と活動は10年ほど前から確認されています。メール経由で多様なマルウェアを配布するためのインフラとして、サイバー犯罪者に利用され続けており、さまざまな不正活動が確認されています。そして2019年に入り、日本で拡散しているマルウェアスパムに関して、ランサムウェア、不正コインマイナー、そして「Phorpiex」自身を拡散していることが、新たに確認されました。

「Phorpiex」を作成、使用しているサイバー犯罪者は、本体の変更や機能追加、バグの修正等に注力しており、攻撃は今後も継続すると予測されます。また、1月に行われた調査では、1回の攻撃でマルウェアスパムが送信されていた送信先アドレス2,322万件のうち、約96%が「.jp」ドメインだったことも明らかとなっており、日本の利用者を標的としていたことがうかがえます。

このような攻撃による被害を回避するには、受信メールの送信者や内容の正当性をよく確かめ、メールの添付ファイルや本文中のURLを、安易に開かないように注意してください。また、セキュリティ製品やメールのフィルタリング機能を利用し、不審なメールが手元に届かないようにする対策も有効です。




女性芸能人の名前を含むマルウェアスパムの例(1月28日時点で確認)

女性芸能人の名前を含むマルウェアスパムの例(1月28日時点で確認)


]]>
https://is702.jp/main/images/news/img_news24.jpg
個人情報を守りインターネットを安全に使う“5つのポイント”、グーグルが紹介 グーグルは2月20日、公式ブログで「インターネットを安全に使うために、今すぐできる5つのこと」と題する記事を公開しました。2月1日~3月18日が「サイバーセキュリティ月間」にあたることを踏まえ、改めて基本を紹介する内容です。 2019-02-21T00:00:00+09:00
グーグルは「みなさん自身が自分の情報をさらに安全に守るためにできること」として、以下の5つを上げています。

(1)アカウント復元用の電話番号またはメールアドレスを設定する。そして、その情報を最新に保つ。
(2)安全なパスワードを設定する。
(3)ソフトウェアを最新版に更新する。
(4)2段階認証を利用する。
(5)セキュリティ診断をする。

同社が最近行った調査によると、アカウント復元用の第2メールアドレスやモバイル端末を設定しているユーザが7割以上いる一方で、「複数のサービスで同じパスワードを使い回している」との回答も6割以上と、高い数字を見せました。パスワードが多すぎて記憶しきれないといった場合、パスワードを保存してくれる「パスワードマネージャー」の利用等をグーグルは勧めています。

また、8割が「ソフトウェアをアップデートすることの重要性を理解している」と回答する一方、3割以上が「アップデートを実施していない」「しているかどうかわからない」と回答したとのこと。更新を促すメッセージが表示されたら、すぐにその場でアップデートしてしまうのがよいでしょう。

そして「2段階認証(2要素認証)」を利用できる場合、積極的に活用することもグーグルは推奨しています。2段階認証を利用すると、アカウントとパスワードを使ったログイン時に、SMSメッセージで送られてきたコードやアプリで生成されたコードの入力、あるいは端末のセキュリティキーに物理的に触れるといったアクションが、さらに必要になります。一手間増えますが、不正ログインを格段に減少できるでしょう。

同記事内では、Googleアカウント向けのセキュリティ診断が紹介されています。これ以外にもオンラインでセキュリティ診断を行えるサービスもあるので、ぜひ活用してください。]]>
https://is702.jp/main/images/news/img_news35.jpg
オンラインゲームを安全に楽しむための10のポイント オンラインゲームの人気が高まる中で、その利用者を狙うネット詐欺も勢いを増しています。オンラインゲームを安全に楽しむために確認すべきポイントを紹介します。 2019-02-21T00:00:00+09:00
アカウント情報や金銭が狙われている!?

オンラインゲームを安全に楽しむための10のポイント

2019/02/21
アカウント情報や金銭が狙われている!? オンラインゲームを安全に楽しむための10のポイント

オンラインゲームの人気が高まる中で、その利用者を狙うネット詐欺も勢いを増しています。正規のサイトを装い、アカウント情報などをだまし取るフィッシング詐欺はゲーマーにとっても注意が必要です。オンラインゲームを安全に楽しむために確認すべきポイントを紹介します。

オンラインゲームの人気に便乗するサイバー犯罪

オンラインゲーム(略称:ネットゲーム、ネトゲ)は、インターネットを介して複数のプレイヤーが同時に楽しむことができるゲームの総称で、幅広い世代に人気です。ゲームのジャンルはさまざまで、対応する専用のゲーム機だけでなくパソコンやスマホなどを使って見知らぬプレイヤーと対戦したり、仮想世界を冒険したりできるのはオンラインゲームの醍醐味の1つでしょう。

ただ、利用者の多いインターネット上のサービスはサイバー犯罪者に目をつけられやすく、オンラインゲームも犯罪者の標的になっています。オンラインゲームを取り巻く脅威にはどのようなものがあるでしょうか。

情報をだまし取るフィッシング詐欺に要注意

オンラインゲームを取り巻く脅威の一つがフィッシング詐欺です。これは、正規サービスのログインページを装った偽サイト(フィッシングサイト)へ利用者を誘導し、そこで入力された認証情報(IDとパスワード)や個人情報、クレジットカード情報などを盗み出す手口です。サイバー犯罪者は、メールやSNS、ゲーム内のチャット機能などを使って標的となる利用者に接近します。たとえば、ゲーム事業者をかたって「ゲーム内で使用可能なポイントを無料で入手できる」「アカウントに重大な問題が起きたためパスワードの変更が必要」などと呼びかけて利用者にURLリンクを開かせ、偽サイトへ誘い込みます。また、検索エンジンの検索結果に偽サイトを表示させる手口も確認されています。

認証情報を盗まれるとアカウントに不正アクセスされ、ゲーム内のアイテムや、登録済みの個人情報、クレジットカード情報などを盗み取られてしまう危険性があります。また、ゲーム内のフレンドに不正なメッセージをばらまかれて、被害がゲーム仲間にまで広がってしまうかもしれません。

図:正規のログインページを装った偽サイト例

人気に便乗したマルウェアや不正アプリに要注意

メールやチャット内のURLリンクから誘導されるのはフィッシングサイトだけではありません。リンク先がマルウェアの配布サイトの場合もあります。「ゲームを有利に進めるためのチートコードが手に入る」「拡張ソフトを入れればゲームキャラを強化できる」などの文言で利用者をそそのかし、マルウェアをインストールさせるのが典型的なパターンです。

スマホ利用者も、人気のゲームアプリに見せかけた「偽アプリ」を配布する不正サイトに注意が必要です。偽アプリは、正規アプリと同じタイトル名やアイコン、説明文などを使って本物を装っています。メールやSNS、チャット経由でたどり着いたWebサイトでアプリを入れると、いつの間にか不正アプリの侵入を許してしまうかもしれません。有料の人気アプリが無料で手に入る、国内未発表の人気ゲームアプリが手に入る、といった謳い文句にも注意が必要です。

おいしいトレード話に要注意

プレイヤーの中には、メールやSNS、チャット経由で魅力的な条件を提示するトレード話を持ちかけ、アイテムや金銭をだまし取る詐欺師も潜んでいます。トレードなどを持ち掛けられた場合は、ゲーム事業者が提供している公式のトレードサービスなどを利用するようにし、相手が送付してきた添付ファイルやURLを不用意にクリックしないようにしましょう。添付ファイルからウイルスに感染してしまったり、フィッシングサイトに誘導されてしまったりする危険性があります。

オンラインゲームを安全に楽しむための10のポイント

1.詐欺の手口やトラブルの事例を知る

セキュリティ会社や団体、各ゲーム事業者などが公表する相談事例、注意喚起情報を定期的にチェックし、オンラインゲームの利用者を狙う詐欺の手口やトラブルを知っておきましょう。

2.メールやSNS、チャット内のURLリンクを不用意に開かない

メールやSNS、チャット、ゲームのレビューサイトなどを経由してたどり着いたサイトはフィッシングサイトかもしれません。アカウントへのログインは、必ずブックマークに登録した公式サイトから行ってください。スマホにアプリを入れる際もGoogle PlayやAppStore、携帯電話会社などが運営する公式のアプリストアを利用しましょう。

3.アカウントを厳重に管理する

サービスを利用する際の認証情報は、第三者に推測されにくいパスワードを設定するとともに、ネットサービスごとに異なるIDとパスワードを設定しましょう。また、アカウントの不正アクセス対策として、ゲーム事業者が2段階認証などのセキュリティ機能を提供している場合は、併せて利用しましょう。

4.セキュリティソフトやアプリを利用する

ゲームを楽しむためのパソコンやスマホにもセキュリティソフトは必須です。不正サイトへのアクセスや不正な添付ファイル、不正アプリの侵入など、ネット上の脅威によるリスクを下げることができます。
もしも、ゲーム専用パソコンにおいてプレイの妨げになるのではないかと懸念されている方は、ゲームプレイ中に更新ファイルの適用や自動スキャンを実行しない「サイレントモード」や「ゲームモード」などの機能を備えるセキュリティソフトを利用しましょう。

5.OSやファームウェアを正しく更新する

パソコンやスマホ、ゲーム機などは、OSやファームウェアの脆弱性を修正するアップデートが不可欠です。各メーカーから更新プログラムが提供されたら速やかに適用しましょう。ゲーム機の更新方法については、それぞれの取り扱い説明書を確認してください。

6.Wi-Fiでつながるホームネットワークの安全を確保する

ホームネットワークの中心であるホームルータが乗っ取られると、そこに接続しているすべての機器が通信傍受や不正操作などの危険にさらされてしまいます。これはWi-Fiにつながっているゲーム機についても同様です。セキュリティソフトをインストールできないゲーム機などは、ホームネットワーク全体を保護するセキュリティ製品を使うことでネット上の脅威から守りましょう。

7.極端な嫌がらせをしてくるプレイヤーとは関わらない

実名を明かさないオンラインゲームでは、ゲームの範疇を超えて嫌がらせをしたり、無礼な物言いをしたりするプレイヤーも残念ながらいます。そういったプレイヤーと関わるのはトラブルの元です。個人的には取り合わず、速やかにゲーム事業者に報告しましょう。

子どもが利用する際の注意点

8.保護者が利用者情報を正しく登録する

オンラインゲームでは、保護者のクレジットカードを無断使用したことによる未成年者の高額課金に注意が必要です。主要なオンラインゲーム事業者は、利用者に応じて課金上限額を設ける仕組みを導入しています。これが有効に機能するよう、初めてゲームを利用する際に保護者が責任をもって生年月日などの利用者情報を正しく登録し、継続して利用する場合は情報や設定が変更されていないかどうかを定期的に確認しましょう。

9.見知らぬ人とゲーム内チャットなどでやり取りしない

年齢や性別を偽って「友だちになろう」などと声をかけ、子どもに接触しようとするプレイヤーもいます。見知らぬ人とのやり取りが、犯罪被害やトラブルのきっかけになることもあります。見知らぬ人からの友人申請を受け入れたり、メッセージに返信したりしないことを一緒に話し合っておきましょう。

10.利用を保護者がコントロールする

有害サイトへのアクセスや不適切なアプリの利用をブロックしてくれるセキュリティ製品は、子どもがゲームを利用する際にも不可欠です。ゲーム機だからとあなどらず、ネットにつながる機器は必ず保護者が子どもの年齢に合わせて適切な設定を行ってから利用させましょう。機器やアプリで設定できるペアレンタルコントロール機能、利用時間制限機能などは特に便利です。また、利用ルールは保護者が一方的に決めるのではなく、親子で話し合って決めることが大切です。

オンラインゲームをめぐるトラブルに遭遇した場合は、警察や国民生活センターの相談窓口に連絡し、適切な対処方法を確認しましょう。

都道府県警察サイバー犯罪相談窓口
https://www.npa.go.jp/cybersafety/

国民生活センター
http://www.kokusen.go.jp/map/index.html

]]>
http://rss.is702.jp/main/rss/3443_l.jpg
MacでWindows向けEXEファイルを実行し、セキュリティを回避する攻撃が出現 トレンドマイクロは2月14日、公式ブログで「MacでEXEファイルを実行する攻撃を確認、端末情報を窃取しアドウェアをダウンロード」と題する記事を公開しました。 2019-02-15T00:00:00+09:00
それによると、Macを狙う攻撃において、Windowsで利用されている実行ファイル形式である「EXEファイル」を悪用するマルウェアが確認されたとのことです。今回同社が解析した検体は、MacおよびWindows向けのファイアウォールアプリ「Little Snitch」に偽装していました。

このマルウェアは、Windowsアプリの実行環境「.NET Framework」をさまざまなプラットフォームに提供するフレームワーク「Mono」を利用して、Mac上でEXEファイルを実行していました。Macには、システム自体にセキュリティの仕組みが組み込まれていますが、Mac用ファイルのみを対象としているため、これを回避するのが狙いと推測されます。

偽装アプリのインストーラを実行すると、メインファイルが問題のEXEファイルを起動します。インストーラに含まれているMonoフレームワークによって、このEXEファイルの実行が可能になっています。基本的にはEXE形式のマルウェアは、macOSやLinux等、他のOSに感染することはありませんが、このマルウェアはMacで正常に動作し、さまざまなシステム情報を収集し、攻撃を指示するコマンド&コントロール(C&C)サーバに送信します。さらにアドウェアをダウンロードして実行します。なお、Windowsで検体を実行したところ、エラーメッセージが表示され、正常に動作しませんでした。

Windows以外のプラットフォームでEXEファイルを実行するこの手法は、macOSのような非Windowsシステムに対して、大きな影響を与えるかもしれません。トレンドマイクロでは、今後も調査を継続するとしています。ユーザは、信頼できる経路やWebサイトからのみファイルやソフトウェアをダウンロードすること、多層的なセキュリティ対策製品を導入することを心掛けてください。
]]>
https://is702.jp/main/images/news/img_news34.jpg
マイクロソフトが2月のセキュリティ更新を公開、過去リリースの不具合も修正 マイクロソフトは2月13日、月例のセキュリティ更新プログラムを公開しました。深刻度「緊急」の脆弱性への対応が含まれており、独立行政法人情報処理推進機構(IPA)およびJPCERTコーディネーションセンター(JPCERT/CC)も、注意を呼びかけています。 2019-02-14T00:00:00+09:00
対象となるソフトウェアは、「Adobe Flash Player」「Internet Explorer」「Microsoft Edge」「Microsoft Windows」「Microsoft Office、Microsoft Office ServersおよびWeb Apps」「ChakraCore」「.NET Framework」「Microsoft Exchange Server」「Microsoft Visual Studio」「Azure IoT SDK」「Microsoft Dynamics」「Team Foundation Server」「Visual Studio Code」です。

脆弱性を悪用された場合、リモートからの攻撃によって任意のコードを実行される可能性があります。マイクロソフトによると、すでに一部の脆弱性の悪用が確認されているとのことです。

各製品のユーザは、Microsoft UpdateやWindows Update等を用いて、システムの更新を至急行うのが望ましいでしょう。

なお、2018年12月のOutlookのセキュリティ更新プログラム(ルールの設定画面が開けなくなる)、2019年1月のWindows 7のセキュリティ更新プログラム(ネットワーク接続の不具合)、Office 2010のセキュリティ更新プログラム(Excel 2010ならびにAccess 2010が動作しなくなる)等、過去の定例リリースで発生していた不具合が、今回の更新で解決されています。]]>
https://is702.jp/img/dummy/dummy_th.gif
偽のショッピングサイトにだまされたと思ったら 冬物セールに飛びつかんとするアカリですが… 2019-02-14T00:00:00+09:00
ひろしとアカリのセキュリティ事情

偽のショッピングサイトにだまされたと思ったら

2019/02/14

偽サイトを誤って利用したときの対処法

ショッピングサイトはとても便利です。ただし、ショッピングサイトの利用にあたっては、利用者からお金や情報をだまし取ることを目的にしている偽サイトにも注意が必要です。

偽サイトは、実在するショッピングサイトのデザインやロゴ、商品画像、説明文などをそのままコピーして作られることが多く、一見しただけでは真偽を見分けることが難しくなっています。万一、偽サイトを誤って利用してしまった場合、代金を支払っても商品が届かなかったり、偽物や粗悪品を送りつけられたりする可能性があります。また、決済時に入力した個人情報やクレジットカード情報を盗まれ、金銭被害に遭うことも考えられます。このような偽サイトを利用してしまった場合、どのように対処すればよいのでしょうか。

偽サイトにだまされたと思ったらすぐに行動することが大切です。「入金したのに商品が届かず、サイト運営者と連絡も取れなくなった」、「サイトの説明とは異なる商品が届いた」という状況になって初めて詐欺に気づくこともあります。この場合、警察や国民生活センターの相談窓口に連絡し、対処方法を確認してください。

都道府県警察サイバー犯罪相談窓口
https://www.npa.go.jp/cybersafety/

国民生活センター
http://www.kokusen.go.jp/map/index.html

偽サイト上でクレジットカード情報を入力し、決済してしまった場合、クレジットカード会社にその旨を伝えましょう。その際、クレジットカードの利用を停止する手続きも必要です。

偽サイトに会員登録をしてしまった場合は、退会する前に登録した個人情報などをでたらめな内容に書き換えておくことも一案です。そのままにしておくと、その情報が別の悪徳業者に渡ってしまい、執拗な勧誘や迷惑メールを送り付けられるといったさらなるリスクの可能性もあります。また、別のサービスと同一のIDとパスワードの組み合わせを設定してしまった場合は、それらのサービスのアカウントを芋づる式に乗っ取られる可能性があります。心当たりのあるすべてのサービスのIDとパスワードを速やかに変更してください。

極端に大幅な値引きをしているサイトや、初めて利用するサイトなどは、購入する前にそのサイトのURLや運営者情報をネットで検索し、詐欺の被害が出ていないかなどを一度立ち止って確認をするようにしましょう。
また、セキュリティソフトやアプリを最新の状態で利用することで、このような詐欺サイトに対して警告を促してくれる場合があります。安全に楽しくショッピングをするためにも、万一に備えておきましょう。インターネットの世界でも、おいしすぎる話には気を付けてください。

過去の記事をチェックし、偽サイトの見分け方と対策を押さえておきましょう。

ひろしとアカリのセキュリティ事情 ひろしとアカリの日常をもっと見る
ひろしとアカリのセキュリティ事情 ひろしとアカリの日常をもっと見る
]]>
http://rss.is702.jp/main/rss/3438_l.jpg
“サイバー補導女子”は長時間ネット利用、複数アカウント使い分け傾向あり 警視庁は2月12日、未成年を対象に実施したアンケートについて改めて分析した結果を、「インターネットと子ども達」として発表しました。 2019-02-13T00:00:00+09:00
アンケートは、「中高生対象調査」と「サイバー補導された子ども対象調査」の2つが行われ、「中高生対象調査」は、都内の公立・私立の中学生(2年、3年)および高校生(1年、2年、3年)を対象に、2018年7月1日~7月20日の期間に実施。合計4,215人から回答を得ています(自記式無記名、有効回答率99.6パーセント)。

また、「サイバー補導された子ども対象調査」は、2018年6月14日~10月31日の期間に、警視庁にサイバー補導された子どもを対象に実施。合計352人から回答を得ています(補導時に自記式無記名、有効回答率97.8パーセント)。なお「サイバー補導」とは、インターネットの書き込みをパトロールして、危ない書き込みをしている子どもに直接会って注意を与える試みで、今回のアンケート回答者はすべて女子でした(これ以降「サイバー補導女子」と記述)。

調査によると、「学校から帰った後、どれくらいインターネットを使っているか」に対する回答は、中高生では「1時間から2時間未満」が最も多く、2時間未満の子が半分以上でした。一方、サイバー補導女子は「5時間以上」が最も多く、かなりの時間をインターネットに費やしていました。

また、「SNSで複数のアカウントを目的によって使い分けているか」については、中学男女および高校男子では「分けずに1つのアカウントを使っている」子が半分以上でしたが、高校女子とサイバー補導女子は複数アカウントを使い分けている傾向がありました。さらに、複数アカウントを使い分けている子は、SNSで「実生活でいえないようなことを書き込む」と答えた割合が、アカウント数と比例して増加していました。

そこで、いわゆる「自画撮り写真の撮影経験」を見てみると、中学男子は半数くらいでしたが、高校女子は9割以上が経験がありました。また、高校女子とサイバー補導女子で比較すると、「SNSに投稿する」「ネットだけの友達に送信する」がサイバー補導女子のほうが20ポイント近く上回っています。特に「ネットだけの友達に送信する」が高校女子では3.1%だったのに対し、サイバー補導女子は23.0%でした。こうした行為がきっかけで被害に遭っている可能性があると考えられます。

最近、安易なアルバイト感覚でデートや援助交際を求める書き込みをして、被害に遭う子どもが増えています。その他にも、「個人情報を書き込む」「あやしいサイトにアクセスする」「ネットに自分の写真をアップする」といった行為について「とても危ない」と答えた子どもの割合を見ると、一般中高生とサイバー補導女子では大きな差があり、サイバー補導女子はネット空間の危険性を軽視していると言えるでしょう。

ただし、サイバー補導女子は特別な存在ではなく、ごく普通の中高生であっても、さまざまな犯罪被害に遭ったり、問題行動を起こしたりすることは十分に有り得ます。特にインターネット空間での交友関係、SNSの投稿内容によって、そうした危険性が高まることもあります。警視庁では「子どものインターネットの使い方に注意を払うと同時に、インターネットの危険性について子どもによく教え、家庭内のルールを作っていきましょう」と、注意を呼びかけています。
]]>
https://is702.jp/main/images/news/img_news27.jpg
「iOS」「macOS」などに複数の脆弱性、利用者は即更新を 独立行政法人情報処理推進機構(IPA)セキュリティセンターおよびJPCERTコーディネーションセンター(JPCERT/CC)が共同運営する脆弱性対策情報ポータルサイト「JVN」は2月8日、複数のApple製品に脆弱性が存在するとして、注意を呼びかけました。 2019-02-12T00:00:00+09:00
対象となるのは「iOS」「macOS」「Shortcuts」の3製品で、影響を受けるのは以下のバージョンです。

・iOS 12.1.4 より前のバージョン
・macOS Mojave 10.14.3 ビルド 18D109 より前のバージョン
・Shortcuts 2.1.3 for iOS より前のバージョン

想定される影響はそれぞれ異なっており、任意のコードを実行されたり情報が漏えいしたりする可能性もあるとのこと。特に「iOS」においては、通話に出ていなくても声が聞こえてしまう「FaceTime」の脆弱性が注目を集めていました。

これを受けAppleでは、各製品の最新版を公開し、アップデートを呼びかけています。それぞれの最新版は、前述のとおり「iOS 12.1.4」「macOS Mojave 10.14.3 ビルド 18D109」「Shortcuts 2.1.3」となります。それより前のバージョンのユーザは、アップデートを適用するのが望ましいでしょう。]]>
https://is702.jp/main/images/news/img_news3.jpg
ラグビーワールドカップ日本大会、非公式のチケット仲介サイトに注意 独立行政法人国民生活センターは2月7日、「ラグビーワールドカップ2019日本大会」のチケット購入に際して、公式チケット販売サイトであることを確認するよう、注意を呼びかけました。 2019-02-08T00:00:00+09:00
「ラグビーワールドカップ2019日本大会」(RWC2019日本大会)は、9月20日~11月2日に日本で開催予定となっており、公式サイトでチケットが販売されています。一方で、海外のチケット転売仲介サイトも確認されており、全国の消費生活センター等に、トラブルの相談が寄せられているとのことです。

たとえば、「チケットをあわててネット購入したら、海外のチケット転売仲介サイトだった。“3枚4万9,000円”との説明だったのに、合計約19万円の注文確定画面が表示された。さらに手数料も要求された。解約もできない」といった事例が発生しています。なお公式チケット販売サイト等に明記されていますが、チケット転売仲介サイトで買ったチケットは利用できません。

検索サイト等でRWC2019日本大会を検索すると、正規の公式サイト(公益財団法人ラグビーワールドカップ2019組織委員会)だけでなく、非公式のチケット販売サイトも表示されてしまいます。ここで勘違いしたユーザが、非公式チケット販売サイトにアクセスしてチケットを注文してしまうといったケースが多発していると思われます。

公式サイトでは、購入したチケットを利用できない非公式チケット販売サイトの具体例をあげています。また、それら以外のサイトも存在する可能性があります。

非公式サイトを利用した場合、キャンセルや返金も難しく、さらには個人情報・決済情報流出の心配もあります。RWC2019日本大会のチケットを購入する際には、公式チケット販売サイトであることを確認してから購入しましょう。チケット購入トラブルにあった場合は、すぐに消費生活センター等に相談してください。
]]>
https://is702.jp/main/images/news/img_news1.jpg
Google Playで複数の偽装カメラアプリ流通、当選詐欺やポルノアプリに誘導 トレンドマイクロは2月6日、公式ブログで「カメラアプリに偽装した不正アプリをGoogle Playで確認、ポップアップ広告を介してフィッシングサイトやポルノアプリに誘導」と題する記事を公開しました。Android端末向けの不正アプリが、Google Playで複数発見されたとのことです。 2019-02-07T00:00:00+09:00
記事によると、遠隔サーバから設定をダウンロードしてポップアップ広告を表示し、クリックしたユーザをフィッシングサイトやポルノアプリに誘導する不正アプリが確認されたとのこと。カメラアプリの他には、画像加工アプリに偽装していたものもありました。ユーザの多くは、インドを中心としたアジアからダウンロードしており、なかには百万回以上ダウンロードされている不正アプリも存在しました。なお1月30日時点で、これらの不正アプリはGoogle Playから削除されています。

今回確認された不正アプリは、自身を隠ぺいすることでアンインストールを困難にします。たとえば、アプリ一覧から自身のアイコンを隠ぺいしドラッグアンドドロップによる削除ができないようにします。また、解析を防ぐための対策も施されていました。
この不正アプリをインストールしてしまうと、画面ロック解除時に、詐欺コンテンツやポルノアプリに誘導するポップアップ広告がブラウザ表示されるようになります。ユーザに住所や電話番号のような個人情報の入力を要求するフィッシングサイトに誘導するポップアップ広告も確認されました。

このような正規アプリストアに紛れ込んでいる不正アプリを見抜く手段の1つとして、「他のユーザからのレビューを確認する」という方法があります。不審な挙動に関して言及されている場合、インストールするのは控えておいたほうが安全でしょう。また、評価が星5つと星1つに偏ったU字型になっているような場合は、低い評価を付けた正規のレビューと高い評価を付けた偽のレビューが合わさった結果、不自然な状態になったと考えられます。星だけの高評価が多いアプリ、ユーザ名やコメントが不自然なアプリも注意するとよいでしょう。



Google Playで確認された不正なカメラアプリ

Google Playで確認された不正なカメラアプリ

]]>
https://is702.jp/main/images/news/img_news33.jpg
自然災害への備えとして知っておくべきこと 日本で暮らしている限り、私たちは地震や大雨などの自然災害と無縁でいられません。いつ起きるかわからない災害に備えて必要なスマホやネット、セキュリティの視点での防災知識と心がまえを身につけておきましょう。 2019-02-07T00:00:00+09:00
ネットやセキュリティの観点で防災意識を高めよう

自然災害への備えとして知っておくべきこと

2019/02/07
ネットやセキュリティの観点で防災意識を高めよう 自然災害への備えとして知っておくべきこと

地震や大雨などの自然災害はいつ起きても不思議ではありません。大規模な災害が発生した時にやっておくべきことや、ネットやセキュリティの観点で注意すべきポイントを解説します。

災害に便乗した詐欺に要注意

自然災害発生後は、それに便乗した詐欺が横行します。たとえば、2018年9月には大手のインターネットサービスをかたって、「平成30年7月豪雨緊急災害支援募金」を呼びかける詐欺メールが拡散されました。これは、西日本豪雨による被災地への緊急支援を募る「ネット募金」の偽サイトへ誘導し、クレジットカード情報や金銭をだまし取ることが目的でした。

災害情報に見せかけた内容のスパムメールを送りつけ、受信者に偽サイトのURLをクリックさせたり、添付ファイルを開かせることでウイルスに感染させたりする手口もあります。こうしたメールでは実在する政府機関や、さもありそうな組織を詐称し、もっともらしい件名と本文でURLのクリックや添付ファイルの開封を促します。被災者や支援者の気持ちを踏みにじる卑劣な詐欺に引っかからないよう注意してください。

【詐欺に引っかからないためのポイント】

  • 1.メールのURLリンクや添付ファイルを不用意に開かない
    災害発生後に拡散されるスパムメールでは、悲痛な内容の件名や本文などで受信者の感情を揺さぶり、不正なURLリンクや添付ファイルを開かせようとします。メールは、詐欺サイトへの誘導やウイルス拡散の手段としても悪用されることを知っておきましょう。
  • 2.寄付や送金に関わるWebサイトの真偽を見分ける
    義援金を募る偽サイトは、見た目は正規のWebサイトとそっくりに作り込まれています。寄付する際には少なくとも、URLを見て怪しくないかを判断したり、GoogleやYahoo!などの著名な検索サイトで「当該サイトのURL+詐欺」などとキーワード検索し、Webサイトの真偽を確認する慎重さが求められます。
  • 3.不審なWebサイトやメールを見かけたら通報する
    不審なWebサイトやメールを見つけたり、実際に詐欺の被害に遭ったりした場合は、警察に連絡しましょう。

    都道府県警察サイバー犯罪相談窓口
    https://www.npa.go.jp/cybersafety/

デマ情報には特に要注意

被災者の多くは被害状況や避難所の状況、支援物資の配給場所などの災害情報を収集、発信する手段としてTwitterなどのSNSやニュースサイト、ネット掲示板などを活用することでしょう。ただ、災害発生後は事実と異なる情報や、必ずしも正確ではない情報、ある意図をもって加工されたデマがSNSなどのネット上を飛び交いやすくなります。ネット上の間違った情報やデマに踊らされないよう慎重に情報収集を行いましょう。また、ネット上に間違った情報を発信すると、被災地に混乱を引き起こしたり、救援活動を阻害したりする要因になりかねません。事実かどうかわからない情報、デマかもしれない情報の拡散に加担しないよう注意してください。

【ネットで災害情報を収集するときのポイント】

  • 1.首相官邸や総務省消防庁、各自治体などの公式のTwitterアカウントをフォローする
    信用できる災害情報を得られるようにしましょう。政府や自治体の公式アカウントをフォローする際は、アカウントが本物であることを示すブルーのチェックマーク(Twitterが発行する認証バッジ)が表示されていることを確認してください。偽アカウントが登場することもあるので要注意です。

    参考:認証済みアカウントについて
    https://help.twitter.com/ja/managing-your-account/about-twitter-verified-accounts

図:認証済みバッジ例

  • 2.できるだけ多くの情報源から情報を収集して比較し、真偽を判断する
    オリジナルの情報源へのリンクや公開日などを載せていないWebサイトやSNSの情報をむやみに信用してはいけません。

無料の公衆Wi-Fiを利用するときに注意すべきこと

大規模災害時には、「00000JAPAN」というSSID(ネットワーク名)を持つ公衆Wi-Fiが無料開放される場合があります。その利用方法は簡単です。スマホなどの端末のWi-Fi機能をオンにし、利用可能なSSIDの一覧から00000JAPANを選択するだけで通信環境を確保できます。ただし、00000JAPANは、だれもが自由にネットワークに参加して安否確認や情報収集を行えるようあえて通信内容を暗号化せず、パスワード認証なしにつなげるようになっています。このため、00000JAPANの利用時には悪意のある第三者に通信内容を盗み見られる危険性があることに留意しましょう。

また、ほとんどのスマホは、過去に一度でも接続したSSID(ネットワーク名)の電波圏に入ると、自動的にそこへ接続する機能を備えています。そこで悪意のある第三者は、00000JAPANと同名のSSIDを持つ偽のWi-Fiスポットを設置し、それを本物と誤認して自動接続してくる端末を待ち構えることも考えられます。

【無料の公衆Wi-Fiを利用する際の注意点】

  • 1.個人情報やクレジットカード情報などの重要な情報をやり取りしない
    無料の公衆Wi-Fi利用時は、最低限の情報収集だけを行うなど、だれかに盗み見られても支障のない通信にとどめておきましょう。ネットバンキングやショッピングサイトなどで金銭がらみの情報をやり取りするのは控えましょう。
  • 2.無料の公衆Wi-Fiにつなぐ端末にVPNアプリを入れる
    VPN(ブイ・ピー・エヌ:Virtual Private Network)アプリを利用すれば、端末と公衆Wi-Fiアクセスポイント間の通信を暗号化し、第三者による通信内容の盗み見を防ぐことができます。無料の公衆Wi-Fiでネットバンキングやショッピングサイトなどを利用する場合は、必ずVPNアプリを使いましょう。
  • 3.一時的につないだネットワークに自動接続しないように設定する
    一時的につないだネットワークの利用を終えたら、そこへ自動接続しないよう端末のネットワーク設定を見直しましょう。端末の機種やOSによっては、ネットワーク設定そのものを削除しなければならない場合と、ネットワークごとに自動接続の可否を選択できる場合があります。

スマホのバッテリーを節約しよう

災害発生時のスマホは家族と連絡を取り合ったり、情報を収集したりする手段として特に手放せません。しかし停電などで電気が確保できない場合、バッテリー切れが気がかりです。いざというときにスマホが使えない状況を避けるため、スマホの設定を変更してバッテリーの消耗を抑えましょう。

【バッテリーを長持ちさせるポイント】

  • 低電力(省電力)モードを使用する
    iPhoneでは「低電力モード」、Android端末では「省電力モード」に移行することでバッテリーの消耗を抑えることができます。通話やデータ通信は行えますが、一部の機能が制限されたり、動作に影響が出たりすることに留意が必要です。

    ・iPhone(iOS12.1.2)の場合
    iPhoneの「設定」から「バッテリー」へ進み、「低電力モード」をオンにします。

    ・Android端末の場合
    機種ごとに独自の省電力モードが用意されています。機種ごとに設定方法が異なるため取扱説明書をご確認ください。

家族との連絡方法を確認しておこう

大規模災害が発生すると被災地への電話が殺到し、つながりにくい状態になります。そんなとき、被災地の家族の安否確認や避難場所の連絡などに利用できるのが「災害用伝言サービス」です。

  • 災害用伝言ダイヤル(171)
    被災地内の固定電話番号や携帯電話番号をキーに、伝言を音声で登録、確認できるサービスです。
  • 災害用伝言板(web171)
    携帯電話番号をキーに、伝言を文字で登録、確認できるサービスです。

家族や親戚、友人間で安否確認の伝言を確認し合うために、利用するサービスや「キーとなる電話番号」を決めておきましょう。利用方法については、以下をご参照ください。

http://www.soumu.go.jp/menu_seisaku/ictseisaku/net_anzen/hijyo/dengon.html

災害はいつ自分の身に降りかかるかわかりません。いざというときに困らないように普段からスマホやネット、セキュリティの観点でも災害に備えておきましょう。

]]>
http://rss.is702.jp/main/rss/3436_l.jpg
IoT機器調査「NOTICE」の特設サイト公開、2月20日から調査実施 総務省と国立研究開発法人情報通信研究機構(NICT)は2月1日、IoT機器の調査と利用者への注意喚起を行う取り組み「NOTICE」(National Operation Towards IoT Clean Environment)を正式発表し、特設サイトを公開しました。 2019-02-05T00:00:00+09:00
Webカメラ、スマート家電、センサーなど、あらゆるものがインターネットに繋がる「IoT機器」が近年急増しています。IoT機器は豊富なサービスを実現する一方で、「機器の性能が限定されている」「管理が行き届きにくい」「ライフサイクルが長い」等、サイバー攻撃に狙われやすい欠点もあり、既に深刻な被害も確認されています。このような状況を踏まえて、国内で普及しているIoT機器に対し、セキュリティ対策の不備等がないかを確認する試みが「NOTICE」です。

「NOTICE」は、インターネットプロバイダと連携し、2月20日からスタートします。初期設定のアカウント情報等、簡単に推測されうるIDやパスワードを用いて、IoT機器に実際にアクセスし、サイバー攻撃に悪用されるおそれのある機器を探します。問題が見つかった機器については、情報をインターネットプロバイダへ通知し、インターネットプロバイダは、当該機器の利用者を特定し注意を呼びかけます。

実際にユーザが利用している機器にアクセスするため、「このような調査は不正アクセス行為ではないのか」「通信の秘密を侵害しないのか」「どのような情報を取得、記録するのか」といった不安の声もあがっていましたが、特設サイトではFAQを用意し、これらの疑問に回答しています。また、利用者への注意喚起はユーザが契約しているインターネットプロバイダからのみ行うとしており、調査に便乗した詐欺などへの注意も呼びかけています。
]]>
https://is702.jp/main/images/news/img_news38.jpg
標的はルータやIoT機器、ボット型マルウェア「Yowai」「Hakai」 トレンドマイクロは2月1日、公式ブログで「Webアプリの脆弱性を利用するボット型マルウェア『Yowai』および『Hakai』を確認」と題する記事を公開しました。 2019-02-04T00:00:00+09:00
それによると、Miraiの亜種「Yowai」、Gafgytの亜種「Hakai」による攻撃が、1月11日~17日にかけて急増したことが確認されました。これらのマルウェアは、ルータやIoT機器を標的としており、感染したデバイスは、ボット化して分散型サービス拒否(DDoS:distributed denial-of-service)攻撃に参加することとなります。たとえば「Yowai」は、感染後にポートを開放して、攻撃を指令するコマンド&コントロール(C&C)サーバからのコマンドを待機し、受信したコマンドに応じてDDoS攻撃や他デバイスへの拡散等の不正活動を実行します。また、初期設定の認証情報リストを使用した攻撃(辞書攻撃)も試行します。

この2つのマルウェアは、Webアプリケーション開発フレームワーク「ThinkPHP」の脆弱性を利用していることも明らかとなりました。ThinkPHPの脆弱性を利用するマルウェアとしては、やはりMiraiの亜種である「Miori」が、今年に入って発見されています。このThinkPHPは、シンプルな機能と使いやすさによって、開発者および企業の間で広く利用されているオープンソースのPHPフレームワークで、主に中国で利用されています。

今回確認された「Yowai」と「Hakai」は、「ThinkPHP」以外の脆弱性も利用し、さまざまな手段を使って、感染と拡散を試みます。
トレンドマイクロは、「今後もサイバー犯罪者たちは、より多くの侵入経路を持つ競争力のある亜種の開発を継続していく」と指摘しています。

ルータやIoT機器の利用者は、最新の更新プログラムを適用するとともに、機器のパスワードは初期設定のままにせず、必ず複雑なパスワードに変更することを推奨します。



Yowaiが辞書攻撃に使用する認証情報

Yowaiが辞書攻撃に使用する認証情報

]]>
https://is702.jp/img/dummy/dummy_th.gif
「偽SMS」「セクストーションスパム」への相談増、2018年第4四半期|IPA 独立行政法人情報処理推進機構(IPA)は1月31日、2018年第4四半期(10月~12月)の情報セキュリティ安心相談窓口の相談状況について取りまとめたデータを発表しました。 2019-02-01T00:00:00+09:00
今四半期に寄せられた相談件数は前四半期から約50.2%増の4,477件。2018年第1四半期には1,863件まで減少していましたが、それ以降増加が続き、第4四半期には第1四半期の倍以上の相談数に悪化しました。

今四半期での増加が特に目立ったのは、「宅配便業者をかたる偽SMS」「仮想通貨で金銭を要求するセクストーションメール」に関する相談でした。また、「ウイルス検出の偽警告」に関する相談件数も2018年第2四半期から引き続き高止まりとなっています。
「宅配便業者をかたる偽SMS」に関する相談は前四半期の約2.4倍の499件、「仮想通貨で金銭を要求するセクストーションメール」に関する相談は約2.4倍の701件が寄せられています。これらについては、2018年第3四半期より相談が突如急増しており、新種のサイバー犯罪として流行したことが見てとれます。

このような脅威への対処としては、具体的な詐欺や恐喝の手口を知ることが重要です。情報セキュリティ関連団体やセキュリティベンダーが発信する注意喚起情報を活用し、情報収集に努めてください。



2017年10月~2018年12月における相談件数の推移(IPAの発表資料より)

2017年10月~2018年12月における相談件数の推移(IPAの発表資料より)

]]>
https://is702.jp/main/images/news/img_news35.jpg
人の脆弱性を突いた攻撃多数ランクイン、情報セキュリティ10大脅威2019|IPA 独立行政法人情報処理推進機構(IPA)は1月30日、「情報セキュリティ10大脅威 2019」を公開しました。 2019-01-31T00:00:00+09:00
「情報セキュリティ10大脅威 2019」は、2018年に発生した情報セキュリティの事故・事件について、約120名から構成される「10大脅威選考会」メンバーが審議・投票を行い、社会的に影響が大きかった事案を決定したものです。ランキング形式で、「個人」と「組織」という異なる立場のトップ10を選出しています。

・情報セキュリティ10大脅威 2019(個人)
1位 クレジットカード情報の不正利用
2位 フィッシングによる個人情報等の詐取
3位 不正アプリによるスマートフォン利用者の被害
4位 メールやSNSを使った脅迫・詐欺の手口による金銭要求
5位 ネット上の誹謗・中傷・デマ
6位 偽警告によるインターネット詐欺
7位 インターネットバンキングの不正利用
8位 インターネットサービスへの不正ログイン
9位 ランサムウェアによる被害
10位 IoT機器の不適切な管理

・情報セキュリティ10大脅威 2019(組織)
1位 標的型攻撃による被害
2位 ビジネスメール詐欺による被害
3位 ランサムウェアによる被害
4位 サプライチェーンの弱点を悪用した攻撃の高まり
5位 内部不正による情報漏えい
6位 サービス妨害攻撃によるサービスの停止
7位 インターネットサービスからの個人情報の窃取
8位 IoT機器の脆弱性の顕在化
9位 脆弱性対策情報の公開に伴う悪用増加
10位 不注意による情報漏えい

個人・組織ともに、トップ3に大きな変動はなく、1位は、個人1位「クレジットカード情報の不正利用」、組織1位「標的型攻撃による被害」と前年と同じでした。一方で、今年は個人4位に「メールやSNSを使った脅迫・詐欺の手口による金銭要求」(前年ランク外)、組織4位に「サプライチェーンの弱点を悪用した攻撃の高まり」(前年ランク外)が、新たに浮上する等、これまでと異なる動向も見られました。

個人ランキングにおいては、「利用者をだまして金銭や情報を詐取する攻撃・犯罪」が全体的に目立ちます。特に新たにランクインした「メールやSNSを使った脅迫・詐欺の手口による金銭要求」については、サイバー犯罪者による不特定多数を標的とした攻撃以外にも、個人がセクストーション(性的脅迫)やリベンジポルノを行うケースも発生しています。
このような脅威への対処としては、具体的な脅迫・詐欺の手口を知ることが重要です。情報セキュリティ関連団体やセキュリティベンダーが発信する注意喚起情報を活用し、情報収集に努めてください。



情報セキュリティ10大脅威 2019(IPA発表資料より)

情報セキュリティ10大脅威 2019(IPA発表資料より)

]]>
https://is702.jp/main/images/news/img_news34.jpg