is702 2019-05-23T00:00:00+09:00 インターネット・セキュリティ・ナレッジ VPNってなに? ツトムは、どこでもWi-Fiにつないでしまうママを心配しています 2019-05-23T00:00:00+09:00
ひろしとアカリのセキュリティ事情

VPNってなに?

2019/05/23

公衆Wi-Fiを安全に利用するために

みなさんは、VPN(Virtual Private Network:バーチャル・プライベート・ネットワーク)をご存知ですか? VPNは、通信を暗号化し、安全な通信ルートを確保する技術です。これにより、第三者による通信内容の盗み見や情報漏えい、不正サイトへ誘導されるといったネットの脅威から守ることができます。

VPNは、企業ユーザが自宅や出張先などから企業内ネットワークへ安全にアクセスする手段として仕事で利用するイメージが強いかもしれません。しかし、駅や空港、カフェなどで提供されている公衆Wi-Fiを安全に利用するためには欠かせないツールです。公衆Wi-Fiを使う機会が多い方はぜひVPNを活用しましょう。

街中には多くの公衆Wi-Fiスポットがありますが、その中には通信を暗号化せず、パスワード認証なしにそのまま利用できるものや、通信方法にWEPという簡易な暗号化方式を用いているものもあります。こうした公衆Wi-Fiスポットを利用すると、悪意のある第三者に通信内容を盗み見られてしまうかもしれません。また、正規の公衆Wi-Fiスポットに見せかけた偽の公衆Wi-Fiスポットを設置して、そこに誤って接続してしまう端末を待ちかまえる手口も確認されています。

そこで、公衆Wi-Fiにつなぐパソコンやスマホで利用したいのがVPNソフトやアプリです。これらを使えば、インターネット上の通信内容を暗号化し、第三者による盗み見などを防ぐことができます。VPNソフトやアプリを利用する際は、そのサービス内容をよく確認し、広告の配信や、通信ログなどの利用者情報の収集を行うものは避け、信用できるVPNソフトやアプリを利用しましょう。勤務先から貸与されたパソコンやスマホについては、勤務先のセキュリティポリシーに沿って利用の可否を判断してください。もしも公衆Wi-Fiにつなぐときは、勤務先が定めたVPNソフトやアプリを利用するのが原則です。公衆Wi-Fiの利用にはリスクがあることを理解し、利用の際はセキュリティ対策を怠らないようにしましょう。

ひろしとアカリのセキュリティ事情 ひろしとアカリの日常をもっと見る
ひろしとアカリのセキュリティ事情 ひろしとアカリの日常をもっと見る
]]>
http://rss.is702.jp/main/rss/3489_l.jpg
正規ソフトを隠れ蓑にしてランサムウェアをインストールさせる事例を確認 トレンドマイクロは5月20日、公式ブログで「ランサムウェア『Dharma』、不正活動を隠ぺいするために正規ソフトウェアを利用」と題する記事を公開しました。 2019-05-21T00:00:00+09:00
「Dharma」は、2016年に登場した暗号化型ランサムウェア(身代金要求型ウイルス)で、現在も引き続き被害を与えています。トレンドマイクロは今回、ソフトウェアのインストールを利用して検出を回避するDharmaの新しい検体を確認しました。新しいDharmaは、ファイルをダウンロードするようユーザを誘導する、典型的なスパムメールにより拡散しています。

ダウンロードされるのは、「Defender.exe」という名前の自己解凍型アーカイブファイルです。このファイルを解凍すると、不正なファイルとともに、ウイルス対策ソフトを削除するソフトウェア「ESET AV Remover」のインストーラが作成されます。このインストーラは特に変更されていない、正規のインストーラでした。

Defender.exeが実行されると、ESET AV Removerのインストールが始まると同時に、Dharmaがバックグラウンドでファイルの暗号化を開始します。ESET AV Removerは、通常の手順を通してインストールされ、実際に動作しますが、DharmaはAV Removerのインストールとは異なるインスタンスとして実行されるため、それぞれの挙動の間に関連はありません。このインストールプロセスは、不正な活動が行われていないとユーザに思い込ませるためのカモフラージュだと言えるでしょう。

正規ソフトウェアのインストーラを隠れ蓑にしてユーザの注意をそらす手口は、これまでにもありました。今回はESET社製正規ツールが悪用されましたが、他のソフトウェアが悪用される可能性もあります。
一般利用者においても法人利用者においても、適切なセキュリティ対策を導入すると共に、添付ファイルを開かせようとしたり、何かをインストールさせようとしたりするメールやメッセージには、引続き細心の注意を払ってください。



ランサムウェア「Dharma」を送りつけるスパムメール

ランサムウェア「Dharma」を送りつけるスパムメール

]]>
https://is702.jp/main/images/news/img_news40.jpg
グーグル、スマホアプリにも「シークレットモード」搭載へ プライバシー保護を強化 グーグルは5月13日、日本語版公式ブログに「すべてのユーザーに役立つプライバシー機能を」と題する記事を投稿しました。「Google I/O 2019」で発表された新製品やサービスについて、プライバシーとセキュリティの観点から、改めて紹介する内容です。 2019-05-17T00:00:00+09:00
「Google I/O 2019」は同社の開発者向けイベントで、5月8日に開催されました。スマートフォンやスマートディスプレイの新機種のほか、Googleアシスタントや検索サービスの改良、最新版OS「Android 10(Q)」の詳細等が発表されています。

まずプライバシー関連では、「Googleアカウント」の設定を見つけやすくするため、「Gmail」「Googleドライブ」「連絡先」「Google Pay」の画面右上に、プロフィールアイコンを表示するよう変更したとのこと。これにより管理画面にすぐアクセスできるようになりました。5月中には「Google検索」「Googleマップ」「YouTube」等でも同様の機能が導入される予定です。

また、アクティビティデータやロケーション履歴データの保存期間について、「3か月」または「18か月(3年)」のいずれかを選択できるようになりました。指定期間を経過したデータは、自動的に削除されます。その他にも、より簡単にデータを管理できる仕組みが導入される予定です。

そして、閲覧履歴等を残さない「シークレットモード」が、ブラウザ以外のアプリにも提供されるようになります。同機能は現在「Chrome」アプリおよび「YouTube」アプリでのみ利用可能ですが、今後「Google検索」アプリと「Googleマップ」アプリもシークレットモードに対応する予定です。具体的には、プロフィールアイコンをタップして「シークレットモードをオンにする」(Turn on incognito mode)を選択することで、検索した場所やルート案内等のアクティビティが保存されなくなります。

その他にもさまざまな取り組みを行い、ユーザに安全な環境を提供すると、グーグルは表明しています。]]>
https://is702.jp/main/images/news/img_news34.jpg
マイクロソフトが月例更新プログラムを公開、Windows XPにさかのぼる脆弱性も発覚 マイクロソフトは5月15日、月例のセキュリティ更新プログラムを公開しました。独立行政法人情報処理推進機構(IPA)やJPCERTコーディネーションセンター(JPCERT/CC)も注意を呼びかけています。 2019-05-16T00:00:00+09:00
対象となるソフトウェアは、「Adobe Flash Player」「Internet Explorer」「Microsoft Edge」「Microsoft Windows」「Microsoft Office、Microsoft Office ServersおよびWeb Apps」「Team Foundation Server」「Visual Studio」「Azure DevOps Server」「SQL Server」「.NET Framework」「.NET Core」「ASP.NET Core」「ChakraCore」「Online Services」「Azure」「NuGet」「Skype for Android」で、深刻度「緊急」の脆弱性への対応も含まれています。

脆弱性を悪用された場合、アプリケーションプログラムが異常終了したり、リモートからの攻撃によって任意のコードを実行されたりする可能性があります。マイクロソフトによると、すでに一部の脆弱性が悪用されていることを確認済みとのことです。

また、サポートが終了しているWindows XPとWindows Server 2003について、「リモート デスクトップ サービスのリモートでコードが実行される脆弱性」(CVE-2019-0708)が存在することも発覚。深刻な脆弱性のため、今回例外的に、これに対応するセキュリティ更新プログラムも公開されています。

各製品のユーザは、Microsoft UpdateやWindows Update等を用いて、システムの更新を至急行うのが望ましいでしょう。
また、サポートが終了しているOS(基本ソフト)を利用中のユーザは、最新版への移行を早急に検討することをお勧めします。
]]>
https://is702.jp/main/images/news/img_news29.jpg
スマホで公衆Wi-Fiを安全に利用するためのVPNアプリの選び方 公衆Wi-Fiが身近な存在になり、安全対策のために個人によるVPNの利用促進が求められています。VPNを使えば、公衆Wi-Fi利用時における第三者による通信内容の盗み見や改ざん、不正サイトへの誘導といったリスクを減らすことができます。VPNの仕組みとともに、VPNアプリを選ぶときの注意点を紹介します。 2019-05-16T00:00:00+09:00
VPNってなに?

スマホで公衆Wi-Fiを安全に利用するためのVPNアプリの選び方

2019/05/16
VPNってなに? スマホで公衆Wi-Fiを安全に利用するためのVPNアプリの選び方

VPN(ブイピーエヌ)アプリは、スマホで公衆Wi-Fiを安全に利用するための手段として注目されています。今回は、VPNアプリの基本やメリット、選ぶときのポイントを紹介します。

公衆Wi-Fi利用時の危険性とは?

いまや街を歩けば、無数の公衆Wi-Fiスポットが見つかります。中には利便性を優先してあえて通信を暗号化せず、認証なしにつなげるようにしているものもあります。ついそのまま利用したくなりますが、通信の暗号化方式にセキュリティ強度の低いWEPを採用しているものや、同一ネットワークにつながる端末間の通信を遮断していないものも存在するため注意が必要です。そのような公衆Wi-Fiを何の対策もせずに利用してしまった場合、悪意を持った第三者によって、通信内容を盗み見されたり、情報を窃取されたりする危険性があります。

また、正規の公衆Wi-Fiスポットの周辺に同名、あるいは似た名称のSSID(ネットワーク名)を持つ偽Wi-Fiスポットを設置し、そこに誤って接続してしまう利用者を待ちかまえる手口もあります。もしこのような偽のWi-Fiスポットやセキュリティ対策に不備のある公衆Wi-Fiを利用してしまった場合、通信内容の盗み見や情報窃取、さらには不正アプリのサイトやフィッシングサイトに誘導される危険性があります。その結果、ウイルス感染による端末の不正操作、認証情報やクレジットカード情報の窃取などの被害に遭う可能性もあります。

公衆Wi-Fiを利用するときの注意点

公衆Wi-Fiを利用する場合は、通信がWPA2以上(現在はWPA3が最上位)で暗号化されていて、かつ携帯電話会社などの信用できる事業者、団体が提供する公衆Wi-Fiや端末認証を経てつながるタイプの公衆Wi-Fiスポットを優先的に利用しましょう。ただ、不特定多数に認証パスワードが開示されている公衆Wi-Fiスポットをやむを得ず利用しなければならないケースもあるかもしれません。その際は、最低でも次のことに注意してください。

SSIDをしっかりと確認する

目当ての公衆Wi-Fiスポットと同名のSSIDが2つ以上存在していたり、似たようなSSIDが複数表示されたりする場合は、不用意に接続する前に、公衆Wi-Fiの提供元にどのアクセスポイントを利用すればよいか確認しましょう。もしかすると偽のWi-Fiスポットが紛れ込んでいるかもしれません。

万一盗み見られても支障のない通信にとどめる

公衆Wi-Fi利用時は、そもそも第三者に通信内容を盗み見られる危険性があることに留意し、個人情報やクレジットカード情報などの決済情報を入力しないこと、ログインが必要なサービスを利用しないことが鉄則です。通信内容を盗み見られるだけでなく、いつの間にかフィッシングサイトへ誘い込まれ、そこで入力した情報を窃取される可能性もあるためです。

SSL対応のWebサイトを利用する

接続先のWebサイトがSSLによる暗号化通信に対応していれば、WebブラウザとWebサイト間の通信が暗号化されるため、第三者に通信内容を盗み見られるリスクは極めて低くなります。SSL対応のWebサイトでは、アドレスバーのURLが「https://」で始まり、「鍵マーク」が表示されます。ただし、鍵マークが付いているからといって、そのサイト自体の真正性を保証するものではないことも知っておきましょう。

VPNで安全に公衆Wi-Fiを利用する

とはいえ、こうした制限の中で公衆Wi-Fiを使うのはかなり窮屈です。そこで公衆Wi-Fiにつなぐスマホなどの端末で利用したいのがVPN(ブイピーエヌ、Virtual Private Network:バーチャル・プライベート・ネットワーク)です。
VPNを使うことで、保護された専用トンネルを通るようなイメージで通信が行えるようになります。これにより、第三者からの盗み見や不正サイトへの誘導などの危険を遠ざけることができます。

駅や空港、カフェなどで提供されている公衆Wi-Fiを安全に利用するための手段として有用なため、個人によるVPNの利用推進が求められています。また昨今は、テレワーク(時間や場所にとらわれない就業形態)の普及に伴い、従業員に自宅や出張先などから企業内ネットワークやクラウドサービスへ接続させることを前提としたVPN環境を構築する企業も増えています。

公衆Wi-Fiの利用時にVPNの通信を実現するアプリ(VPNアプリ)を使えば、端末とWi-Fiアクセスポイントの先にあるVPNサーバ間の通信を暗号化し、第三者による通信内容の盗み見などを防ぐことができます。では、VPNアプリの選定ではどのようなことに注意するべきでしょうか。

VPNアプリの選び方

VPNアプリの種類はさまざまです。無料で配布されているものもあれば有料版もあります。プライバシーやセキュリティ面を評価した上で、用途や目的に合ったVPNアプリを選定しましょう。

公式アプリストア上のVPNアプリを利用する

Google PlayやApp Store、通信事業者などを運営元とする公式のアプリストアからVPNアプリを入手してください。公式のアプリストアではアプリ公開前に一定の基準で安全性の審査が行われ、不適切なアプリを排除してくれるためです。それ以外の非公式のアプリストアは不正アプリが配布されている可能性が高いため、利用しないようにしましょう。

ただし、公式ストア内にも不正アプリが紛れ込んでいる可能性もあるため注意が必要です。

ネットでVPNアプリや開発元の評判を調べる

有料、無料にかからわず、公式のアプリストアからVPNアプリを入れる前にGoogleやYahoo!などの著名な検索サイトでアプリ名や開発元を検索し、ノーログ(通信記録を保存しない)を保証していることや、サポートの有無、セキュリティポリシー、評判、自分の用途とサービス内容が合っているかどうかなどを調べ、信用できるVPNアプリを利用しましょう。
選択が難しい場合は、自身が利用しているセキュリティソフトやアプリの会社、または通信事業者が提供するVPNアプリのサービス内容を確認することから始めてみましょう。

公衆Wi-Fi利用時にVPNアプリを使っていても過信は禁物です。公衆Wi-Fiを利用するときの注意点をもう一度確認しておきましょう。

]]>
http://rss.is702.jp/main/rss/3487_l.jpg
クリエイター向けに現状課題や対応状況について改めて説明|YouTube YouTubeのCEOであるスーザン・ウォジスキ氏は5月13日、日本語版YouTube公式ブログに「スーザン ウォジスキよりクリエイターの皆様へ」と題する記事を投稿しました。「YouTubeの中心はクリエイターである」としつつ、YouTubeの規模と影響を踏まえてどういった対処を行っているか、改めて説明する内容です。 2019-05-14T00:00:00+09:00
ウォジスキ氏は「クリエイターの皆さまが数百万のチャンネルを作成し、人々の心に深く訴えかける動画を投稿することで、現代のメディア状況を変革させています」とする一方、「私の最優先事項は『responsibility(責任)』です」と説明し、コミュニティの維持と管理のバランスに配慮しつつ、さまざまなアクションを起こしていると説明しています。

ここ最近YouTubeでは、子どもに危険な行為を勧めたり、不適切な動画をあえて見せようとしたりする投稿やコメントが出現しています。そのため今年2月にYouTubeは、子どもが出演する動画の多数において、コメント機能を無効化しました。プロクリエイターや一般保護者等にも影響が及んでいますが、「子どもたちを守ることが最も大切であるべき」として、この処置に踏み切ったとのことです。
また、暴力的なコンテンツに対処するため、一時的にいくつかのプロセスや機能を無効化させたり、暴力的なコンテンツの削除にも努めており、「ヘイトスピーチや虚偽の情報の拡散を防ぐのが狙い」とウォジスキ氏は説明しています。

この他にも、権利処理や広告の問題についてもウォジスキ氏は言及。試験的に導入している「Self Certification」のように、引き続きポリシーを細かく見直す予定であることを明らかにしています。またコンテンツ盗用を申告する「手動申し立てツール」等についても改善を行う方針とのことです。
]]>
https://is702.jp/main/images/news/img_news41.jpg
Internet Explorerに未修正の脆弱性、攻撃により情報窃取される恐れあり トレンドマイクロは5月9日、公式ブログで「Internet Explorerのゼロデイ脆弱性を解析、XXE攻撃によりファイルやシステム情報を窃取される恐れ」と題する記事を公開しました。セキュリティリサーチャのJohn Page氏が2019年4月中旬に公表した、Internet Explorerの脆弱性について、詳細に解説しています。 2019-05-13T00:00:00+09:00
この脆弱性は、不正なXMLファイルを利用して、ローカルファイルやWebサーバ上のファイルにアクセスする「XML External Entity(XXE)インジェクション」という手法を可能にするものでした。具体的には、不適切に制限されたXML外部実体参照(CWE-611)を持つXMLパーサを利用することで機能します。攻撃者がこの脆弱性を利用した場合、機密情報の漏えいやローカルファイルの窃取に遭う可能性があります。

Page氏はWindows 7、Windows 10、そしてWindows Server 2012 R2に最新の修正プログラムを適用した状態で「IE 11」の最新バージョンでこの脆弱性を検証。ユーザが特別に細工されたMHTMLファイル(拡張子:mht)をIEで開き、「新しいタブを複製(Ctrl+K)」「ページを印刷する(Ctrl+P)」等の操作を行った場合、攻撃が成立することを確認しています。

この攻撃では、まずユーザが不正なMHTMLファイルをダウンロードし、そのファイルを開く必要があります。そのため攻撃者は、ソーシャルエンジニアリングの手法を利用したスパムメールの添付ファイルやフィッシングのような外部からの攻撃手段を利用し、ユーザを巧みに誘導します。

マイクロソフトは「Internet Explorer単独では、このような不正活動は成立しません。(中略)インターネットから信頼できないファイルをダウンロードして開かないように気を付ける等、安全にコンピュータを使用する習慣を身に着けるようにしてください」とコメントしています。一方で、5月9日時点で、この脆弱性に対する修正プログラムはマイクロソフトから公開されていません。
このような脅威を防ぐには、利用者は不用意に不審なリンクをクリックしたり、ファイルをダウンロードして開いたりすることを避けてください。
]]>
https://is702.jp/main/images/news/img_news42.jpg
IPAの情報セキュリティ安心相談窓口、情報発信のためTwitterアカウント開設 独立行政法人情報処理推進機構(IPA)は5月9日、「情報セキュリティ安心相談窓口」の公式Twitterアカウントを開設しました。 2019-05-10T00:00:00+09:00
「情報セキュリティ安心相談窓口」は、IPAが一般向けに開設している窓口です。コンピュータウイルスや不正アクセスに対する情報セキュリティについて相談を受け付け、技術的なアドバイスを行っています。サイトでは、よく寄せられる相談に対するQ&A、タイムリーなテーマを採り上げた「安心相談窓口だより」等のコンテンツを公開しています。

今回新たに開設されたTwitterアカウント「@IPA_anshin」では、窓口に寄せられた相談内容をもとに、脅威に関する対策情報等を発信していく方針。すでに、2019年4月に寄せられた相談トップ3の内容等がツイートされています。

なおTwitterアカウントは「情報発信専用」で、IPAは引き続き、電話・メール・FAX・郵送で相談を受け付けています。
]]>
https://is702.jp/main/images/news/img_news1.jpg
検出回避するために正規拡張機能を悪用して正規サイトから偽ページを複製 トレンドマイクロは5月8日、公式ブログで「正規ブラウザ拡張機能を利用するフィッシング攻撃を確認」と題する記事を公開しました。ブラウザ拡張機能「SingleFile」を使って、偽のログインページを作成している事例が確認されたとのことです。 2019-05-09T00:00:00+09:00
「SingleFile」は、Google ChromeとMozilla Firefox向けに提供されている正規の拡張機能(アドオン)です。ブラウザに組み込むことで、Webページを1つのHTMLファイルとしてローカル環境に保存する機能が使えるようになります。こうした機能はブラウザ本体にも用意されていますが、SingleFileは、さらに正確なHTMLファイルを生成できるのが特徴です。

今回の攻撃でサイバー攻撃者は、SingleFileを使って、正規Webサイトのログインページをコピーし、フィッシング攻撃用の偽ページを作成していました。この偽のログインページは、画像が「svg」ファイルとして保存されている以外、見た目はまったく同一です。そのため、巧妙な偽URL等を併用された場合、利用者が騙されてしまう可能性があります。

SingleFileそのものは非常に有用な拡張機能で、セキュリティ上の問題があるわけではありません。しかし検出回避という「悪意のある目的で使用された例」として、トレンドマイクロは今回の事例を採り上げたとのことです。

メールやメッセージを受け取った場合、安易にリンクをクリックしたり、添付ファイルを開いたりしないようにしましょう。サイトを訪問する場合は、Webサイトが正しいURLを使用しているかどうか、慎重に確認してください。
また、よく利用するサイトは正規のサイトをブックマークし、メールなどで送られてきたリンクを直接利用しないことも対策の一つです。
]]>
https://is702.jp/main/images/news/img_news40.jpg
SNSに子どもの写真を投稿するリスクとは? 軽井は風呂場で撮った甥っ子の写真を披露しています 2019-05-09T00:00:00+09:00
ひろしとアカリのセキュリティ事情

SNSに子どもの写真を投稿するリスクとは?

2019/05/09

子どもの肖像権やプライバシーを脅かしていませんか?

FacebookやInstagram、Twitter、YouTubeなどのSNSに、子どもの写真や動画を投稿することは日常的なコミュニケーションの一部になっています。一方で、「我が子を見てもらいたい」という軽い気持ちで行った投稿が、想定外のトラブルに発展したり、子どもを危険にさらしてしまったりする可能性があることも知っておきましょう。

SNSに投稿された子どもの写真や動画をとりまくトラブルやリスク

  • SNSは、だれが、どのような目的で利用しているかわかりません。自分にとってはたわいない写真や動画でも、子どもを性的対象とする何者かに収集されたり、児童ポルノサイトに転載されたりする可能性があります。
  • SNSへの書込みは好意的なものだけとは限りません。投稿したアカウントに心無い書き込みをされたり、ネット掲示板に転載されて誹謗中傷の的にされたりする可能性もあります。
  • 写真や動画がその子どもへの冷やかしやいじめの材料になる可能性があります。
  • 位置情報を特定できるようなものが映り込んでいる写真や動画を投稿した場合、住所や行動エリアを特定され、子どもがストーカーや誘拐などの事件に巻き込まれてしまう可能性があります。
  • 子どものプライベートな写真や動画を親の独断でネット上に投稿した結果、場合によっては家族間の訴訟に発展してしまうリスクもあります。

ネットに投稿した写真や動画が第三者によって複製、転送、共有された場合、ネット上から完全に削除することは困難です。親や周りの大人はこうしたリスクを理解した上で、慎重に写真や動画を選定し、必要に応じて投稿の公開範囲を制限するようにしましょう。

もちろんこれは、あなたの家族に限ったことではありません。友人や知人の子どもと一緒に写った写真も同様です。写真や動画を投稿する前に、本当にネット上で共有する必要があるかどうかを冷静に考え、子どもの肖像権やプライバシーへの配慮を怠らないようにしましょう。
もちろん投稿に際しては事前に保護者の承諾を得るのがマナーです。子どもの顔や個人を特定できる情報をスタンプで隠すなどの配慮も忘れないでください。

ひろしとアカリのセキュリティ事情 ひろしとアカリの日常をもっと見る
ひろしとアカリのセキュリティ事情 ひろしとアカリの日常をもっと見る
]]>
http://rss.is702.jp/main/rss/3481_l.jpg
新元号「令和」変更に関する更新プログラム情報ページ公開|マイクロソフト 日本マイクロソフトは4月26日、新元号「令和」への対応に関する情報ページ「2019年5月の日本の元号変更に関する更新プログラム」を公開しました。 2019-04-26T00:00:00+09:00
新元号「令和」が4月1日に発表されましたが、これを受け同社では、実稼働環境用の更新プログラムのリリースを段階的に開始しています。完了までに数か月程度かかると見られていますが、影響を受けるほとんどの製品で新元号への対応を予定しています。

個人向けでは、WindowsとOfficeが主な対応製品です。自動更新を有効にしていれば、必要な更新プログラムが適用されます。なお同社では、自動更新が有効でない場合等について「日本の新元号対応に向けて Windows と Office を準備する方法」ページを公開しています。

法人向けでは、WindowsとOfficeに加え、.NET、Dynamics、Azureが主な対応製品となります。最新情報については、「2019年5月の日本の元号変更に関する更新プログラム」ページに記載されたリンクから参照可能です。
]]>
https://is702.jp/main/images/news/img_news35.jpg
不在通知を偽装するSMS、大型連休を前に新たな事業者になりすまし トレンドマイクロは4月24日、公式ブログで「宅配偽装SMSによるスマートフォンへの攻撃でまた新たな手口」と題する記事を公開しました。 2019-04-25T00:00:00+09:00
宅配荷物の不在通知を偽装したSMSによる攻撃は、手口を変えながら継続しています。今年3月には、携帯電話事業者になりすます手口が新たに登場しましたが、4月に入り、さらに別の事業者を偽装する手口にシフトしていることが判明しました。なお、詐称する事業者は必ずしも整合性が取れておらず、誘導する偽サイトのURLは、以前に詐称していた宅配業者用のものも確認されているとのことです。

新たな偽サイトは、これまでと異なる事業者のサイトをそのままコピーしており、ゴールデンウィークの大型連休に関するお知らせまで模倣していました。新たな偽サイトは、アクセス時に端末OSの判定を行い、Android端末には不正アプリのダウンロード、iOS端末には不正プロファイルのインストールを試みます。

Android端末にダウンロードされる不正アプリは、デザインが新たな事業者のものに変わっていますが、機能面の変化はなく、感染すると端末の情報が窃取され、不正アプリに誘導するSMSを他者に送信させられます。

日本では今週末よりゴールデンウィークが控えています。SMSを使い偽サイトや不正アプリに誘導する手口が増える可能性もありますので、誘導先サイトのURLが該当企業やサービスの正規URLであるかどうか、アクセスする前に確認してください。



新たに確認された偽サイト(Android端末でアクセスした場合の表示)※直接の危険や権利侵害に繋がりかねないと判断される部分に修正を施しています。

新たに確認された偽サイト(Android端末でアクセスした場合の表示)※直接の危険や権利侵害に繋がりかねないと判断される部分に修正を施しています。


]]>
https://is702.jp/main/images/news/img_news42.jpg
ネットに子どもの写真や動画を投稿するリスクと注意点 ネットには子どもの写真や動画があふれています。中には、自宅や幼稚園を特定できる写真や、オムツ姿の動画もあります。ネット上に子どもをさらす危険を理解し、子どものプライバシーをしっかりと守ってあげましょう。 2019-04-25T00:00:00+09:00
子どものプライバシーに配慮していますか?

ネットに子どもの写真や動画を投稿するリスクと注意点

2019/04/25
子どものプライバシーに配慮していますか? ネットに子どもの写真や動画を投稿するリスクと注意点

インターネットが身近になった現在、ネットへの投稿を安易に考えている利用者も少なくありません。特に、まだ自身で判断ができない子どもとネットの関わりは、親や周りの大人が配慮する必要があります。子どもの写真や動画をネットに投稿するリスクと注意点を押さえておきましょう。

その投稿が子どもを危険にさらすかも

FacebookやInstagram、Twitter 、YouTubeなどのSNS(ソーシャル・ネットワーキング・サービス)やブログには、子どもの顔がはっきりとわかる写真や動画が大量に投稿されています。そのほとんどは「我が子を見てもらいたい」、「子どもの成長過程を記録したい」という親心からの行動でしょう。しかし、トレンドマイクロの調査によると、SNSへの写真投稿に関するトラブルについて詳細を知っている保護者は約3割にとどまっており、軽い気持ちで行った投稿が子どもを危険にさらす可能性もあることをより多くの保護者が認識する必要があります。

図:SNSに投稿した写真が勝手に加工・悪用されるトラブルの保護者の認知状況 N=618(複数回答)
※トレンドマイクロ「子どもと保護者のスマートフォン利用に関する実態調査 2018」より
https://www.trendmicro.com/ja_jp/about/press-release/2018/pr-20181226-01.html

SNSやブログは多くの人に子どもの成長を知らせる手段として有用ですが、ネットに情報をさらされる子どもの将来を危惧する声も大きくなっています。海外では、幼少期の恥ずかしい写真をSNSで公開し続けた両親を、成長した子どもが訴えたことが話題になりました。ネットに子どもの写真や動画を投稿するリスクについて見ていきましょう。

ネットに子どもの写真や動画を投稿した場合のリスク

第三者に収集、悪用されるリスク

子どもの写真は微笑ましいと思われるだけとは限りません。中には性的対象としている場合もあります。そのような何者かに写真や動画を収集され、児童ポルノサイトに掲載されてしまう可能性や、別の写真と組み合わせて悪質なコラージュ写真を作成されてしまう恐れもあります。また、海外ではネットからダウンロードした他人の子どもの写真を自分の子どもや孫であるとかたってSNSに投稿する「デジタル誘拐」も起きています。このように、ネット上の写真や動画は悪意を持った第三者に悪用される可能性があります。

妬みの対象や誹謗中傷されるリスク

ネットの書き込みは好意的なものだけとは限りません。投稿した子どもの写真や動画に対して暴言を書き込まれたり、ネット掲示板に転載されて誹謗中傷の的にされたりする可能性があります。また、当事者にとっては子どもの何でもない日常の一コマであっても、ネットにアップしている親やその子どもに対して不快感や嫉妬心を抱かれてしまう場合もあります。

子どもの自尊心を傷つけたり、将来に影響を及ぼしたりするリスク

成長した子どもが自分の名前をネットで検索したときに、「トイレトレーニング」や「おむつ替え」などの幼児期の恥ずかしい写真を目にしたらどう思うでしょうか。また、そのような写真や動画が子どもの友人の間で広まれば、冷やかしやいじめの材料になる可能性もあります。ネットに投稿した情報はコピーや拡散された場合、それらを完全に消し去ることは事実上不可能だということを忘れないでください。

子どもが事件に巻き込まれるリスク

自宅周辺や学校、公園など、生活範囲での撮影は写り込みにも注意が必要です。悪意を持った第三者に住所や行動エリアを割り出され、子どもがストーカーや誘拐などの事件に巻き込まれてしまう可能性があります。
看板や電柱、反射によるもの、室内では郵便物などの個人の特定につながるような情報の映り込みにも注意しましょう。

子どもの写真をネットに投稿するときの5つの注意点

こうしたリスクを回避するための最善策は、子どもの写真や動画をSNSやブログに投稿しないことです。しかし、我が子の可愛らしい一瞬が撮れたら、つい周りの人に見せたくなる気持ちもわかります。
リスクを踏まえた上で、ネットで子どもの写真や動画を掲載する場合の注意点をおさえておきましょう。

1.投稿の公開範囲を友人や家族だけに制限する

公開設定のままネットに投稿した写真や動画は、仲間内だけでなく、不特定多数の目に触れ、悪用される可能性もあります。投稿するSNSやブログの用途に応じて適切なプライバシー設定を行い、プロフィールや投稿の公開範囲を制限しましょう。
SNSなどのネットサービスは、頻繁に機能が追加、変更される場合もあるので、定期的に設定を見直すことも大切です。また、用途に応じて信頼できるネットサービスを選定し、必要以上にプライベートな情報を公開しないようにしましょう。

2.子どもの尊厳と安全に配慮した写真や動画を選定し、投稿前に内容を見直す

不特定多数が見られるSNSやブログなどで公開した写真や動画は、だれが、どのような目的で見ているかわかりません。もし写真や動画を後から削除したいと思っても、削除する前に第三者がコピー、拡散した場合、全てを消去することは事実上不可能です。ネットに投稿する際は、将来子どもに不利益を与えるような内容ではないか、立ち止ってよく考えるようにしましょう。また、だれかを不快にさせる内容、自宅や学校を特定できる情報が含まれていないことを確認しましょう。主なネットサービスは写真に含まれる位置情報などを、自動的に削除する設定となっていますが、サービスによってはそのような対策が出来ていない場合もあります。さらに、子どもの本名や呼び名を書き込むのも危険です。子どもは本名で呼びかけてくる悪意を持った相手に警戒を解いてしまうかもしれません。

3.検索設定に注意する

SNSなどのアカウントは、Googleなどの検索結果や、「知り合いかも」の一覧に表示され、不特定多数の目に触れる可能性があります。LINEでも「友だちへの追加を許可」をオンにしていると、それほど親しくない相手や見知らぬ相手ともつながってしまい、アイコン画像をさらすことになります。もしアイコンに子どもの写真や一緒に写っている写真を利用している場合は、広く自分のアカウントを周知させる必要がなければ、ネット検索に反映させない設定に変えるなど、利用しているサービスの用途に応じて設定や利用するアイコンの画像を見直しましょう。

4.友人や知人の子どものプライバシーにも配慮する

友人や知人の子どもと一緒に写った写真をSNSに投稿する場合は、事前に保護者全員の了承を得るか、顔をモザイクやスタンプで隠すのが原則です。入園式や運動会など、幼稚園や小学校の行事では子どもたちの名札が写り込んでしまうケースもあるため、とりわけ注意が必要です。SNSで共有する場面では、当事者間のダイレクトメッセージや信用できるグループの中でのみやり取りすることを心がけるとともに、共有した写真を無断でネットに掲載しないよう、お互いに確認しましょう。

5.利用しなくなったSNSやブログのアカウントを削除する

SNSやブログのアカウントを放置していると、何かの拍子に不正アクセスを受けてもその事実に気づきにくくなります。プロフィールや投稿内容をのぞき見されたり、なりすましや保存されている子どもの写真や動画などの情報を悪用されたりする危険があります。無用のトラブルを避けるためにも利用しなくなったSNSやブログのアカウントは削除しておきましょう。

ネット利用時は、子どものプライバシーへの配慮を怠らないようにしましょう。

]]>
http://rss.is702.jp/main/rss/3479_l.jpg
小さな中小企業とNPO向けに情報セキュリティの指南書を公開 | NISC 内閣サイバーセキュリティセンター(NISC)は4月19日、「小さな中小企業とNPO向け情報セキュリティハンドブック」を公開しました。 2019-04-22T00:00:00+09:00
これまでNISCでは、一般向けに「インターネットネットの安全・安心ハンドブック」を作成・公開していますが、今回、セキュリティ担当者を置くことが難しい小規模な企業やNPO(特定非営利法人)に焦点を当て、サイバーセキュリティを解説するガイドブックを作成したとのことです。

ガイドブックは全6章構成。サイバー攻撃そのものの説明から始まり、機器ごとの対処方法、対策の仕方、災害や海外渡航時等での備え、コストの捻出方法までを指南する内容です。用語集や関連サイト一覧も掲載されています。

目次
・プロローグ サイバー攻撃ってなに?
・第1章 まずは情報セキュリティの基礎を固めよう
・第2章 パソコン・スマホ・IoT機器のより進んだ使い方やトラブルの対処の仕方を知ろう
・第3章 被害に遭わないために、加害者的立場にならないために
・第4章 会社を守る、災害に備える、海外での心構え
・第5章 ITを使った効率化によるセキュリティコスト捻出
・第6章 セキュリティをより深く理解して、インターネットを安全に使う
・エピローグ デジタル世代の小さな会社とNPOの未来
・用語集・情報セキュリティ関連ウェブサイト一覧・索引

またNISCでは、各組織の取り組み推進に使えるよう、PDF・コピー・製本の無料配布、作業実費での販売、ページ単位・イラスト単位での利用、分割しての配布等についても対応するとのことです。
ガイドブックはNISCの公式サイトよりPDFにてダウンロードが可能です。



「小さな中小企業とNPO向け情報セキュリティハンドブック」表紙

「小さな中小企業とNPO向け情報セキュリティハンドブック」表紙



]]>
https://is702.jp/main/images/news/img_news34.jpg
いよいよゴールデンウィーク、改めて対策と備えの確認を|JPCERT/CC JPCERTコーディネーションセンター(JPCERT/CC)は4月18日、ゴールデンウィークを迎えるにあたり、セキュリティインシデント発生の予防および緊急時の対応に関する要点をまとめ、改めて注意を呼びかけました。 2019-04-19T00:00:00+09:00
今年は「令和」への改元があるため、過去に例のない10連休となっています。長期休暇期間中は、インシデント発生に気づきにくく、発見が遅れる可能性があります。JPCERT/CCでは、特に注意すべきポイントとして「メール等を悪用した攻撃」と「システムにおける脆弱性」をあげています。

「メール等を悪用した攻撃」としては、メールにマルウェアを添付しているケースとメール本文から攻撃者が用意したサイトにアクセスを誘導させるケースが考えられます。長期休暇中にこのような攻撃を受けた場合、対応が後手に回ります。また、休暇明けに大量の受信メールを処理している際に、つい見落とす可能性も高いでしょう。OSやウイルス対策ソフトの定義ファイルの更新、緊急時の連絡先の確認、ウイルススキャンの実行等を心掛けて下さい。

一方、管理者が不在という隙を狙って、Webサイトが攻撃を受ける可能性も長期休暇中は高まります。「システムにおける脆弱性」が狙われ、改ざんや情報窃取といった被害が発生した場合、事業に直結する影響を受ける場合もあります。また不正コードを埋め込まれ他者への攻撃に利用されるようなケースもあります。システム管理者は、自身が管理するシステムに対して、脆弱性診断やペネトレーションテストを実施する等、脆弱性の有無を日頃から確認しておくことが重要です。

以下に、具体的なチェックポイントを紹介しますので、対策を行ってください。個人の行動においても、SNSへの投稿やスマホの利用に、いつも以上に注意が必要でしょう。

【基本的な対策】
・OSやアプリケーション等、最新アップデートを適用しておく
・ウイルス対策ソフト等、定義ファイルを更新しておく
・ハードディスクやUSBメモリ等、使用メディアのウイルスチェックをしておく
・適切なログインIDとパスワードを使用しているか、改めて確認する

【休暇前の備え】
・データの持ち出し等が不用意に発生していないか、ポリシーを改めて徹底する
・重要データのバックアップを行う
・緊急時の対応体制・連絡手順等を確認しておく

【休暇後の確認】
・休暇期間中に更新プログラム等が公開されていないか、必要に応じて情報収集する
・休暇中に持ち出していたデータを社内に戻す際に、事前にウイルスチェックする
・休暇中のサーバやシステムに、不審なアクセス履歴がないか確認する
・休暇中のサーバやシステムに、改ざん等、変化がないか確認する
・休暇中のメールが溜まっていても、読み飛ばさず、リンク先URLや添付ファイルに注意する
]]>
https://is702.jp/img/dummy/dummy_th.gif
『メールのアカウントが乗っ取られた!』そんな時すぐ行うべき5つの対策 トレンドマイクロは4月16日、公式ブログで「電子メールが乗っ取られたら?すぐやるべき5つの対策」と題する記事を公開しました。 2019-04-18T00:00:00+09:00
「電子メールの乗っ取り」は、サイバー犯罪の典型的な被害の1つです。自分自身がメールを使えなくなる、メール内容を盗み見られるといったトラブル以外に、知人になりすましメールを送られ被害が拡大する、望まないサービスに登録されるといった状況も考えられ、結果的に、プライバシー侵害、金銭被害、悪評につながります。

もし「あなたのアドレスから不審なメールが届く」といった連絡が知人からあった場合、ただちに以下の対策を行いましょう。

----
(1)メールアカウント設定を確認する
(2)パスワードを変更する
(3)登録されたアドレスに連絡
(4)PCやその他の端末でウイルスチェックを実施する
(5)予防策を実施する
----

特に大切なのは「(5)予防策を実施する」により、“そもそも乗っ取られないようにする”という点です。ユーザをだまして認証情報を入力させる「フィッシング」に注意し、不審なメールに含まれたリンクや添付ファイルをクリックするのは避けてください。これは、SMS(ショートメッセージサービス)やSNS(ソーシャルネットワーキングサービス)のリンクや投稿も同じです。

また、サイバー犯罪者によっては、SNSなどで個人情報を収集し、メールアドレスやパスワードを類推して、乗っ取りを行う手口も使います。アカウントの特定につながるような情報(生年月日、旧姓、ペットの名前など)は公開しないようにしましょう。
さらに、メールサービスを利用する際は、接続するネットワークが安全かどうかにも留意し、特に外出先では安全性が確保できないような公衆Wi-Fiには接続しないようにしてください。
]]>
https://is702.jp/main/images/news/img_news19.jpg
オンラインゲームを安全に楽しむには? 軽井はオンラインゲーム専用のパソコンを購入したようです 2019-04-18T00:00:00+09:00
ひろしとアカリのセキュリティ事情

オンラインゲームを安全に楽しむには?

2019/04/18

プレイヤーの情報や金銭が狙われている!?

オンラインゲームが幅広い層に親しまれています。オンラインゲームは、パソコンやゲーム専用機器、スマホなどからインターネットを介して複数のプレイヤーが同時に楽しむことができ、空き時間を使って気軽にプレイできるものから、観客の前で競い合う本格的なものまでさまざまです。
同時に、利用者の多いインターネット上のサービスはサイバー犯罪者に目をつけられやすく、オンラインゲームも格好の標的になっています。実際、SNSやゲーム内チャットなどを介して利用者を不正サイトへ誘い込み、認証情報や金銭をだまし取ったり、マルウェアや不正アプリをインストールさせたりする手口が確認されています。

オンラインゲームをめぐる詐欺の手口やトラブルの事例を知ることは、自衛策の基本です。各ゲーム事業者や消費者関連団体、セキュリティ事業者などが公表する注意喚起情報を定期的に確認しましょう。

オンラインゲーム利用者を狙う詐欺の手口や対策などをさらに詳しく知りたい方は、オンラインゲームを安全に楽しむための10のポイントをご確認ください。

そして、ネットにつながる機器には必ずセキュリティ対策が必要だということを忘れてはいけません。
ゲームを楽しむためのパソコンやスマホでも、必ずOSとセキュリティソフトやアプリを最新の状態に保ち、不正サイトへのアクセスや不正ファイルの開封、不正アプリの侵入を防げるようにしておくことが重要です。
ゲームへの影響が心配な方は、プレイ中に妨げとなるような通知や予約スキャンなどを行わない「サイレントモード」や「ゲームモード」を搭載するセキュリティソフトがおすすめです。
また、セキュリティソフトやアプリをインストールできないゲーム専用機器についてはファームウェアを最新の状態に保ち、ネットワーク全体を保護するセキュリティ製品を利用することで脅威から守りましょう。

ひろしとアカリのセキュリティ事情 ひろしとアカリの日常をもっと見る
ひろしとアカリのセキュリティ事情 ひろしとアカリの日常をもっと見る
]]>
http://rss.is702.jp/main/rss/3474_l.jpg
標的はスマートホーム向けIoTデバイス、IoTマルウェア『Bashlite』機能追加 トレンドマイクロは4月17日、公式ブログで「IoTマルウェア『Bashlite』、新たにUPnPを利用しスマートホーム機器を狙う」と題する記事を公開しました。 2019-04-17T00:00:00+09:00
それによると、IoTデバイスを標的とするマルウェア「Bashlite」(別名:「Gafgyt」「Lizkebab」「Qbot」「Torlus」「LizardStresser」)に、機能が追加されていることが判明しました。「Bashlite」は、「分散型サービス拒否(DDoS)攻撃」を目的に、IoTデバイスに感染し、ボットネットを構築するマルウェアで、Unix系OSの脆弱性を利用してデバイスに侵入します。

今回新たに確認されたBashliteは、「WeMo」デバイスを狙います。「WeMo」はスマートホームやホームオートメーションを実現するためのBelkin製IoTデバイスで、WeMoのスマートスイッチやスマートプラグを使用することで、照明や電化製品の制御が可能になります。また、Wi-Fiネットワークを使用してそれらのIoTデバイスを管理するモバイルアプリも提供されています。WeMoでUPnP APIが有効になっている場合、攻撃を受ける可能性があります。

新しいBashliteは、脆弱性診断のためのフレームワーク「Metasploit」のモジュールを悪用することで、遠隔からコードを実行し、対象デバイスに侵入します。追加されたコマンドにより、仮想通貨の発掘、バックドア活動、競合するマルウェアの削除等の活動を行います。
今回確認されたバージョンのBashliteは、まだそれほど多く検出されていませんが、トレンドマイクロのクラウド型次世代セキュリティ技術基盤「Trend Micro Smart Protection Network(SPN)」により、実際の攻撃が発生していることが確認されています。2019年3月21日時点では、台湾、米国、タイ、マレーシア、日本、そしてカナダで検出されています。

IoTデバイスを利用するユーザは、各製品のファームウェアを常に最新の状態に保つようにし、ホームネットワークに接続されている機器全体を保護するセキュリティ製品を導入する等の対策を行ってください。]]>
https://is702.jp/main/images/news/img_news35.jpg
マイクロソフトが4月のセキュリティ更新を公開、悪用事例確認の脆弱性含む マイクロソフトは4月10日、月例のセキュリティ更新プログラムを公開しました。深刻度「緊急」の脆弱性への対応が含まれており、独立行政法人情報処理推進機構(IPA)およびJPCERTコーディネーションセンター(JPCERT/CC)も、注意を呼びかけています。 2019-04-11T00:00:00+09:00
対象となるソフトウェアは、「Adobe Flash Player」「Internet Explorer」「Microsoft Edge」「Microsoft Windows」「Microsoft Office、Microsoft Office ServersおよびWeb Apps」「ChakraCore」「ASP.NET」「Microsoft Exchange Server」「Team Foundation Server」「Azure DevOps Server」「Open Enclave SDK」「Windows Admin Center」です。

脆弱性を悪用された場合、アプリケーションプログラムが異常終了したり、リモートからの攻撃によって任意のコードを実行されたりする可能性があります。製品別では、Windows、Microsoft Edge、Internet Explorer、ChakraCore、Adobe Flash Player等に深刻度最上位となる「緊急」の脆弱性が含まれています。

すでに一部の脆弱性についてマイクロソフトは「悪用の事実を確認済み」と公表しています。各製品のユーザは、Microsoft UpdateやWindows Update等を用いて、システムの更新を至急行うのが望ましいでしょう。]]>
https://is702.jp/main/images/news/img_news29.jpg
テレワークにおけるセキュリティの注意点と8つの対策 時間や場所にとらわれない柔軟なワークスタイルが広がっています。みなさんも、自宅やカフェなどの職場以外で仕事をする機会が増えているのではないでしょうか。テレワーク時に気を付けたい注意点と、その対策をおさえておきましょう。 2019-04-11T00:00:00+09:00
在宅勤務やモバイルワークを安全に行うために

テレワークにおけるセキュリティの注意点と8つの対策

2019/04/11
在宅勤務やモバイルワークを安全に行うために テレワークにおけるセキュリティの注意点と8つの対策

テレワークの導入で就業場所を問わない働き方が普及しつつあります。今回は、職場の外で勤務する際のネットセキュリティに関わる注意点とその対策を解説します。

不用意な行動が招く脅威と注意すべき点とは?

働き方改革の一環として、「テレワーク(リモートワーク)」の導入が進められています。これにより私たちは時間や場所にとらわれずに働けるようになり、ライフワークバランスのさらなる充実を図れるようになりました。

しかし、職場以外での勤務は情報漏えいやウイルス感染などのリスクが高まるなどの懸念もあります。テレワークではどのようなことに注意しなければならないのでしょうか。

業務データの持ち運びや共有時の注意点

データの持ち運びや外部と共有する際によく用いられるのがUSBメモリやクラウドサービスです。誤った使い方をした場合、情報漏えいなどにつながる恐れがありますので注意点をおさえておきましょう。
USBメモリは持ち運びやデータのやり取りが簡単に行える反面、盗難や紛失による情報漏えいのリスクに加え、他のパソコンを介してウイルスなどのマルウェアに感染してしまう恐れもあります。もし、感染してしまったUSBメモリを利用した場合、そのパソコンだけではなく、同じ社内ネットワークにつながるパソコンに感染が拡大するリスクなどがあります。USBメモリの利用は職場のポリシーを遵守し、利用する場合には取り扱いに注意しましょう。
業務でクラウドサービスを利用する場合にも注意が必要です。個人の判断で勝手にクラウドサービスなどを利用し、何らかの原因によってそのサービスで情報漏えいやデータの消滅などが発生した場合、利用者自身の責任も問われることになります。また、それによって発生した損害の程度や規模によっては、会社のビジネスに影響が及ぶ可能性もあります。クラウドサービスを利用する場合は職場のポリシーなどを確認し、必要であれば承認を得て適切に利用するようにしましょう。
フリーメールもクラウドサービスの一種です。個人利用のフリーメールで業務上のやり取りを行ったり、業務データを自身宛に送ったりすることは避けましょう。

私物端末の利用における注意点

社外勤務時には、使い慣れた私物のパソコンやスマホ、タブレットを使って仕事をしたいと考えるかもしれません。しかし、職場の断りなく、私物の端末を業務に用いるのは厳禁です。通常、職場が貸与する端末にはセキュリティ対策がとられています。一方、私物端末のセキュリティ対策は個人の知識やモラルに依存します。私物端末を職場に無断で業務利用していると、重大なセキュリティ事故やトラブルを引き起こしてしまうかもしれません。

公衆Wi-Fiに関する注意点

公衆Wi-Fiを利用する場合、思いがけずセキュリティに不備のあるWi-Fiスポットや悪意のある第三者が設置した偽Wi-Fiスポットに接続してしまうリスクがあります。この偽Wi-Fiスポットは利用者が誤って接続するように、正規のWi-Fiスポットの周辺に同名、あるいは似た名称のSSID(ネットワーク名)として設置されることも想定されます。こうしたWi-Fiスポットに接続した場合、端末の通信内容を盗み見られたり、詐欺サイトへ誘い込まれたりする可能性があるため注意しましょう。

公共の場で仕事をする際の注意点

公共の場でパソコンやスマホなどを使う場合、第三者による物理的なのぞき見にも注意が必要です。のぞき見によって業務上の機密事項や、取り扱っている個人情報、業務ツールにログインする際に利用する認証情報などが第三者に知られてしまう可能性があります。もし、職場に不利益を生じさせる情報や、信頼を失墜させるような情報を漏えいさせてしまった場合、当事者の責任が問われる可能性があります。

家庭内ネットワークを利用する際の注意点

在宅勤務では、安定してインターネットにつながる環境を用意することが前提となります。業務に家庭内ネットワークを利用する場合、重要なポイントになるのは、家庭内ネットワークとインターネットをつなぐホームルータのセキュリティを確保することです。なぜなら、ホームルータにセキュリティ上の不備があった場合、悪意を持った第三者によるネットワークへの不正侵入、ネットワーク内の機器の不正なサイトへの誘導やウイルス感染などの被害に遭うリスクがあるからです。さらに、社内ネットワークに侵入するための踏み台として、家庭内ネットワークが悪用される可能性もあります。

テレワークを安全に行うための8つの対策

在宅勤務やモバイルワークでは、職場が定めるガイドラインやポリシーに従って行動するのが原則です。そして、セキュリティ対策が十分に施されていない職場の外では、普段以上に注意を払って行動する必要があります。ここでは職場のルールに加えて各自が行える対策を紹介します。

1.セキュリティ機能付きUSBメモリや適切なクラウドサービスを利用する

職場のポリシーに従った上でUSBメモリを利用する場合、データ暗号化やウイルス対策機能を備えたUSBメモリを使用するのがおすすめです。クラウドサービスも、職場のポリシーに従った上で担当者と相談し、業務を行う上で適切かつ必要なサービスを選定し、サービスの運営元などの情報をもとに信頼できるものを選択しましょう。クラウドサービスの利用にあたっては、他のサービスと同一のIDとパスワードを使いまわさないこと、第三者に推測されにくいIDとパスワードを設定することを徹底してください。
そして、USBメモリやクラウドサービスに保存したデータはそのままにせず、利用後は削除しましょう。

2.業務で利用する私物端末にもセキュリティソフトやアプリを利用する

職場で私物端末の業務利用が許可されている場合は、セキュリティソフトやアプリを入れ、最新の状態を保ちましょう。ウイルス感染や不正サイトへのアクセス、不正アプリの侵入など、ネット上の脅威によるリスクを下げることができます。

3.OSやソフトを適切に更新する

業務で利用するすべての端末は、OSやソフトの提供元から更新プログラムが提供されたらすぐに適用し、脆弱性(セキュリティの穴)を修正しましょう。ただし、職場から貸与されている端末については、更新プログラム適用のタイミングを指示されるケースもあるため、職場のルールに従いましょう。

4.端末の盗難、紛失対策を行う

いざという時に慌てないためにも、セキュリティソフトやアプリ、端末本体に備わっている盗難、紛失対策機能の使い方をあらかじめ確認しておきましょう。また、端末本体にデータを保存している場合は、データ暗号化(保護機能)が有効になっているかもあわせて確認してください。万一の事態が起こっても、リスクを最小限に留められるよう、事前対策を行うことが重要です。
もちろん置き忘れや盗難防止のためにも、出先では端末を手元から離さないように心がけましょう。

5.第三者による画面ののぞき見を防ぐ

公共の場所では、端末画面にプライバシーフィルターを装着してのぞき見を防ぐとともに、周囲の状況を確認しましょう。電車内など第三者にのぞき見される可能性がある場所での作業は避け、安心して業務できる場所を選択するように心がけてください。

6.社内システムに安全にアクセスする

外からインターネット経由で社内システムにアクセスする際は、職場が指定するアクセス方法を用いましょう。通常、外から社内ネットワークにつないで情報をやり取りする場合は、通信内容の盗み見や改ざんを防ぐため、VPN(ブイ・ピー・エヌ:Virtual Private Network)ソフトやアプリを利用します。

7.より安全なネットワークを選択する

キャリアが提供しているモバイルデータ通信に対応していない端末では、職場から貸与されているモバイルルータやスマホによるテザリング、あるいは必要なセキュリティ対策製品などが導入された家庭内ネットワークを利用しましょう。公衆Wi-Fiを利用する場合は必ずVPNを利用し、通信内容を保護するようにしてください。

8.家庭内ネットワークを適切に保護する

ホームルータおよび、ルータにつながっている各機器の管理画面に入るためのIDとパスワードを初期設定のままにしている場合は、第三者に推測されにくいものにそれぞれ変更しましょう。
各機器の製造元からファームウェアの更新プログラムが提供されたら速やかに適用することも重要です。ファームウェアの自動更新機能を備えている場合は設定をオンにしましょう。
ホームルータを安全に利用するためのポイントはこちらを参考にしてください。

]]>
http://rss.is702.jp/main/rss/3470_l.jpg
青少年のネット利用「動画視聴」「ゲーム」が約8割、保護者側もフィルタリングなどで利用を管理|内閣府 内閣府は3月末に、2018年度(平成30年度)における「青少年のインターネット利用環境実態調査」の結果を公表しました。2月末に「速報版」が公開されていましたが、今回あらためて詳細なデータを公開しています。 2019-04-09T00:00:00+09:00
本調査は、「青少年インターネット環境整備法」が施行された2009年からスタート。“青少年(10歳~17歳)が安全・安心にインターネットを利用できる環境の整備”を目的に、青少年およびその保護者を対象として、情報モラル教育の認知度、フィルタリングの利用度等を調査する内容です。2018年度調査では、青少年3,079人、保護者3,445人、さらに0歳~満9歳の子供の保護者2,274人から有効回答を得ています。

それによると、「なんらかの機器を使ってインターネットを利用している」と回答した青少年は93.2%で、前年の89.4%からさらに浸透が進んでいました。具体的には、「スマートフォン」67.4%、「携帯ゲーム機」32.5%、「タブレット」32.4%、「ノートパソコン」18.4%が利用機種の上位でした。

利用内容は、「動画視聴」78.6%、「ゲーム」76.4%、「コミュニケーション(メール、メッセンジャー、ソーシャルメディア等)」65.5%、「音楽視聴」59.5%、「情報検索」52.2%が上位となっています。今回の調査から追加された選択肢「勉強・学習・知育アプリやサービス(言葉、数遊び等)」は、37.6%でした。

子供がインターネットを利用していると回答した保護者(3,194人)のうち、「家庭内でのルールを決めている」としたのは74.2%。具体的な内容では、「利用する時間」62.9%が最も多く、以下「困ったときにはすぐに保護者に相談する」50.9%、「ゲームやアプリの利用料金の上限や課金の利用方法」50.1%、「利用するサイトやアプリの内容」44.0%、「利用する場所」40.2%等が上位でした。

また、「保護者としてどのような取組をしているか」を聞くと、「スマートフォン」でインターネットを利用している子供の保護者(2,142人)では、「フィルタリングを使っている」36.8%が最も多く、以下「普段の会話やコミュニケーションの中で、子供のインターネット利用状況を把握している」36.2%、「大人の目の届く範囲で使わせている」34.4%、「利用する際に時間や場所を指定している」29.8%が上位となり、なんらかの管理をしていた保護者は84.9%になっています。

詳しい調査結果は、内閣府サイトより、PDFファイルとしてダウンロード・閲覧可能です。



家庭内で決めているルール(n=2,371)(内閣府資料より抜粋)

家庭内で決めているルール(n=2,371)(内閣府資料より抜粋)


]]>
https://is702.jp/img/dummy/dummy_th.gif
連休への備えは早めに、ゴールデンウィーク前後のセキュリティを要チェック 独立行政法人情報処理推進機構(IPA)は4月2日、「ゴールデンウィークにおける情報セキュリティに関する注意喚起」と題する情報を公開し、改めて注意を呼びかけました。 2019-04-05T00:00:00+09:00
今年は5月1日に「平成」から「令和」への改元が行われます。そのため5月1日は今年のみ祝日になります。さらに「祝日にはさまれた日は休日となる」と定められており、その結果、4月27日~5月6日の期間が「10連休」となります。
こうした長期休暇の時期は、サイバー攻撃が増加する傾向があります。宅配便業者をかたる偽SMSによるサイバー攻撃も引続き多発しており、今回のゴールデンウィークでも、さまざまな形で攻撃が発生すると思われます。特に今回は改元も重なっており、話題に便乗する新手口の発生も懸念されます。

長期休暇における基本的な対策ですが、対応体制や関係者への連絡方法を事前調整するといった「休暇前の備え」、不審なアクセスや侵入の痕跡がないかチェックするといった「休暇後の確認」が重要です。以下に、具体的なチェックポイントを紹介しますので、対策を行ってください。個人の行動においても、SNSへの投稿やスマホの利用に、いつも以上に注意するよう心掛けてください。

【基本的な対策】
・OSやアプリケーション等、最新アップデートを適用しておく
・ウイルス対策ソフト等、定義ファイルを更新しておく
・ハードディスクやUSBメモリ等、使用メディアのウイルスチェックをしておく
・適切なログインIDとパスワードを使用しているか、改めて確認する

【休暇前の備え】
・データの持ち出し等が不用意に発生していないか、ポリシーを改めて徹底する
・重要データのバックアップを行う
・緊急時の対応体制・連絡手順等を確認しておく

【休暇後の確認】
・休暇期間中に更新プログラム等が公開されていないか、必要に応じて情報収集する
・休暇中に持ち出していたデータを社内に戻す際に、事前にウイルスチェックする
・休暇中のサーバやシステムに、不審なアクセス履歴がないか確認する
・休暇中のサーバやシステムに、改ざん等、変化がないか確認する
・休暇中のメールが溜まっていても、読み飛ばさず、リンク先URLや添付ファイルに注意する

改元に便乗したネット詐欺は既に確認されています。サイバー犯罪の被害に遭わないよう日頃から対策を行うとともに、常に情報の真偽を確認するよう心がけましょう。
]]>
https://is702.jp/main/images/news/img_news3.jpg
“スミッシング”による不正アプリ新亜種拡散中、iPhone利用者も要注意 トレンドマイクロは4月3日、公式ブログで「国内スマートフォン利用者を狙う新たな動きを詳細解説」と題する記事を公開しました。情報を窃取するAndroid向け不正アプリ「XLoader」について、新しい亜種の拡散が確認されたとのことです。 2019-04-04T00:00:00+09:00
「XLoader」は、FacebookやChromeの正規アプリに偽装した不正アプリです。過去には、感染PCで仮想通貨を発掘する機能、フィッシングによってiOSデバイスのアカウント情報を窃取する機能を備えた亜種が確認されています。今回確認された亜種では、不正なWebサイトにアクセスした端末のOSを判定し、Android端末に対しては正規のアプリに偽装して端末に侵入、また、iPhoneなどのiOS端末に対しては不正な設定情報をインストールさせることで端末情報を窃取することが確認されました。この新亜種のバージョンは「6.0」と分類されています。

攻撃の流れは、まずテキストメッセージ(SMS、ショートメッセージ)が送信されてきます。メッセージには、Webサイトへのリンクが記載されており、ここから事業者のWebサイトに見せかけた偽サイトに誘導します。そして、日本の携帯電話事業者が提供する正規セキュリティアプリに偽装したXLoaderを、インストールさせようとします。このような、テキストメッセージを利用した攻撃は「スミッシング(SMS+Phishing)」と呼ばれています。

XLoaderは、Android端末に対しては正規セキュリティアプリに偽装して侵入しますが、iPhone等のiOS端末に対しては、さらに別のサイトに誘導し、不正なiOS構成プロファイル(設定情報)をインストールしようとします。ユーザがこの構成プロファイルをインストールしてしまうと、Appleに偽装したフィッシングサイトに誘導され、情報を窃取されてしまいます。

XLoaderの新しい亜種では、この他にも、コマンドや攻撃を指示するコマンド&コントロール(C&C)サーバのアドレスを隠ぺいするSNSの種類に変化がありました。たとえば、以前の攻撃では利用されていなかったTwitterが、悪用されていることが判明しています。さらに監視を続けたところ、Twitterの代わりに、InstagramとTumblrを悪用している新しい亜種も発見されています。トレンドマイクロでは、この亜種のバージョンを「7.0」と分類しています。

サイバー犯罪者は攻撃経路、利用環境、拡散手法などを、絶えず変化させています。利用者はURLリンクを含むテキストメッセージ等に引続き注意を払うとともに、セキュリティソフトやアプリを活用し、攻撃に備えると良いでしょう。


XLoaderをホストする偽のWebサイト

XLoaderをホストする偽のWebサイト

]]>
https://is702.jp/main/images/news/img_news40.jpg
ソーシャルエンジニアリングってなに? アカリは、ひろしに届いたメールが気になっているようです 2019-04-04T00:00:00+09:00
ひろしとアカリのセキュリティ事情

ソーシャルエンジニアリングってなに?

2019/04/04

有名企業のなりすましや不安をあおる内容に注意

ネット上の詐欺ではソーシャルエンジニアリングの手口が多用されています。ソーシャルエンジニアリングとは、人の心理的な隙や行動のミスにつけ込んで特定の行動を相手にとらせる手法です。

代表的な例では、大手ショッピングサイトをかたる注文確認メールや、実在する配送業者を装う不在通知メールを送りつけ、受信者にURLリンクを開かせることで不正サイトへ誘導します。これは、著名な企業やサービスを無意識に信用してしまう人の油断につけ込む手口です。「請求書」「不在通知」などのもっともらしいタイトルの添付ファイルを開かせ、ウイルスに感染させるパターンも確認されています。

また、ネット利用者の不安をあおり、緊急の対応を迫ることもあります。有名企業のサポートセンターを名乗って「時間内にアカウントの再開手続きをしないと、アカウントを凍結する」などと不安をあおるメールは典型例です。このような偽のメールに記載されたリンク先は情報窃取を目的とした見た目は本物そっくりのフィッシングサイトで、誤って情報を入力してしまった場合には、認証情報や、クレジットカード情報などがサイバー犯罪者の手に渡ってしまいます。
認証情報を狙う攻撃は、法人向けWebメールなどのクラウドサービスのアカウントもターゲットにしているため、利用者は注意が必要です。

このほか、受信者の不安をあおる手口では、「アダルトサイトを見ているときの様子を撮影した動画をばらまく」といった趣旨のメールを不特定多数に送りつけ、脅迫内容を信じてしまった受信者から口止め料として金銭を脅し取るセクストーション(性的脅迫)をはじめ、「ウイルスに感染した」などの偽の警告を表示させ、問題を解決するためなどと称してソフトを購入させるパターンも確認されています。

このようなソーシャルエンジニアリングを悪用したサイバー犯罪では、その内容や手口が繰り返し変化したり、巧妙化したりします。ネット詐欺に引っかからないためにも、最新の手口や動向に注意を払うよう心がけましょう。

ひろしとアカリのセキュリティ事情 ひろしとアカリの日常をもっと見る
ひろしとアカリのセキュリティ事情 ひろしとアカリの日常をもっと見る
]]>
http://rss.is702.jp/main/rss/3459_l.jpg
個人ユーザ向け、新元号「令和」への対応に関する情報ページ公開|マイクロソフト 日本マイクロソフトは4月2日、新元号「令和」への対応に関する情報ページを公開しました。個人ユーザ向けに、同社製品について、更新プログラムの適用方法・確認手順等を解説する内容です。 2019-04-03T00:00:00+09:00
平成に変わる新元号「令和」は4月1日に発表、5月1日から施行されます。これにともない、Windows、Office、および.NET Frameworkに更新プログラムを適用する必要があります。Windowsでは、最新の更新プログラムをインストールすると、カレンダー設定を日本の新元号に変更することが可能になります。

Windows Updateの自動更新が有効になっている場合、特別な操作は不要で、新元号に対応するための更新プロセスが自動的にインストールされます。ただし、Windows版以外のOfficeについては、OSの更新が必要なケースがあるとのことです。

さらに詳しい個別情報としては「日本の元号の変更について - KB4469068」も公開されており、Windowsが元号の1年目として“元年”と“1年”の両方をサポートすること等が解説されています。]]>
https://is702.jp/main/images/news/img_news1.jpg
NISC「サイバーセキュリティ協議会」が新たに発足、世界的にも先進的な組織へ 内閣サイバーセキュリティセンターは4月1日、新たに「サイバーセキュリティ協議会」を発足しました。4月10日まで構成員の第一期募集を行い、5月中旬にも確定する予定です。以降、6月のG20、9月~11月のラグビーW杯を経て、2020年東京大会等に向け漸次拡大の方針です。 2019-04-02T00:00:00+09:00
「サイバーセキュリティ協議会」は、脅威の一層の深刻化に鑑み、サイバーセキュリティに関する施策の推進に関し必要な協議を行うための組織です。2018年国会にて「サイバーセキュリティ基本法の一部を改正する法律」として関連法が整備され、2019年4月1日より同法が施行されました。

現在、NISCをはじめとする政府機関や民間において、「サイバー情報共有イニシアティブ(J-CSIP)」「日本サイバー犯罪対策センター(JC3)」「ICT-ISAC(Information Sharing and Analysis Center)」等の情報共有体制が活動しています。

「サイバーセキュリティ協議会」では、構成員同士が安心して情報共有できるよう遵守事項等を法定化、さらに業務を政令指定の専門機関が担当しています。これにより、脅威情報等の共有分析、対策情報等の作出・共有等を、迅速に行えるようにするのが狙いです。

さらに、罰則を規定された強い守秘義務のもと、少数の有志による特別なタスクフォース(TF)を設置。プロフェッショナルなタスクフォース参加者の中だけで、未確証の分析内容等、密度の濃い情報を相互に情報交換します。こうした公的な取り組みは、世界でもほぼ前例がないとのことです。


「サイバーセキュリティ協議会」発足当初の構成員のイメージ(NISCの発表資料より)

「サイバーセキュリティ協議会」発足当初の構成員のイメージ(NISCの発表資料より)

]]>
https://is702.jp/main/images/news/img_news34.jpg
ネットトラブル、いじめ等の相談を受付、「相談ほっとLINE@東京」4月1日より開設|東京都 東京都は、LINEアカウント「相談ほっとLINE@東京」を4月1日より開設し、さまざまな相談を受け付けることを発表しました。都内在住・在勤・在学の人が対象です。 2019-04-01T00:00:00+09:00
これまで東京都は、LINEに3つのアカウントを開設しており、「ネット・スマホのトラブル相談」「自殺相談」「いじめ等の教育相談」に対応してきました。今回、より利用しやすくするため、この3つのアカウントを統合し、窓口を一本化。通年で相談を受け付けるとのことです。

相談の受付時間は、相談内容によって異なり、「ネット・スマホのトラブル相談」は、日曜日・祝日を除く15時~21時(受付は20時30分まで)。「自殺相談(生きるのがつらいと感じたら)」は、17時~22時(受付は21時30分まで)で、9月と3月は15時から相談受付を開始。「教育相談」は、中高生限定で17時~22時(受付は21時30分まで)となります。

「相談ほっとLINE@東京」は、「公式アカウント」から名前を検索して登録するほか、QRコードからの登録も可能です。
]]>
https://is702.jp/main/images/news/img_news27.jpg
ネットの消費者被害、トラブル情報まとめページ公開|消費者庁 消費者庁は3月27日、公式サイトにて「インターネット上の文字列情報から把握した、消費者トラブルへの注意喚起情報について」と題するページを公開しました。 2019-03-28T00:00:00+09:00
有名企業をかたって、詐欺や窃盗を行ったり、フィッシングメールや偽サイトで個人情報詐取を狙ったりする消費者被害、トラブルが後を絶ちません。これに対し企業側も、広く注意を呼びかけています。こうした背景から消費者庁は、インターネットで公開されている注意喚起情報について取りまとめたページを今回作成しました。
各社のURLとともに注意喚起情報が掲載されている他、一般財団法人日本サイバー犯罪対策センターへのリンクも含まれています。

消費者庁は今後、ページの掲載情報を随時更新する方針です。]]>
https://is702.jp/images/news/img_news27.jpg
基本対策5つのポイントと、もしものときの対処法 ネットを通じて仕事や買物、コミュニケーションなど、さまざまなことができるようになった今、ネット上にはあなたの個人情報やプライバシー情報があふれています。パソコンやスマホの利用シーンにおいて、どのように情報が漏えいしてしまう可能性があるのかを知り、実践できる対策と、もしものときの対処法を押さえておきましょう。 2019-03-28T00:00:00+09:00
自分の情報はどう守る?

基本対策5つのポイントと、もしものときの対処法

2019/03/28
自分の情報はどう守る? 基本対策5つのポイントと、もしものときの対処法

ネットを通じて仕事や買物、コミュニケーションなど、さまざまなことができるようになった今、ネット上にはあなたの個人情報やプライバシー情報があふれています。もしこのような情報が悪意のある第三者の手に渡ってしまった場合、金銭被害やストーカー、脅迫などのさまざまなトラブルにつながる恐れがあります。パソコンやスマホの利用シーンにおいて、どうやって自身の情報が漏えいしてしまう可能性があるのかを知るとともに、実践できる対策と、もしものときの対処法を押さえておきましょう。

個人情報が漏えいしたら何が起こる?

あなたの氏名や生年月日、写真、連絡先、クレジットカード番号、口座情報、各種サービスの認証に使われるIDとパスワードなどがネット上で漏えいしてしまったら何が起こるのでしょうか?

もし、これらの情報が悪意のある第三者の手に渡ってしまった場合、プライバシーの侵害や、金銭被害、なりすまし、ストーカー、脅迫などを受ける恐れがあります。このため、私たちは普段から自身はもちろん、家族や友人のものを含め個人情報の取り扱いに細心の注意を払わなくてはなりません。

情報漏えいはどうやって起きる?

みなさんが日常的にパソコンやスマホを利用している中で、一体どうやって個人情報が漏えいしてしまうのでしょうか?その主な経路や原因を知っておきましょう。

フィッシング詐欺

ネット利用者から情報をだまし取る代表的な手口がフィッシング詐欺です。手口の一例には、偽メールで実在する通販サイトや銀行、クレジットカード会社、インターネットサービスなどの正規のログインページを装ったサイト(フィッシングサイト)へ誘導し、そこで入力させた情報をだまし取る手口が挙げられます。その他、フィッシングサイトへの誘導以外にも、不正アプリをインストールさせようとしたり、偽メールへの返信を求めたりと、手口はさまざまあり巧妙です。

アカウントの乗っ取り

Apple IDやGoogleアカウント、Amazonや楽天などの通販サイト、FacebookやLINEといったSNSのアカウントが乗っ取られることで、情報漏えいの被害や乗っ取ったアカウントを使ったなりすましによる情報窃取のリスクがあります。

Apple IDやGoogle、Amazonアカウントなどのように複数のサービスと連携しているアカウントが乗っ取られた場合には、被害が他のサービスにも波及する可能性が高まります。さらに、アカウントに登録しているクレジットカード情報や氏名、住所といった個人情報、クラウド上のメールやバックアップデータなどの私的な情報まで盗まれてしまう可能性があります。同じIDとパスワードを他のサービスでも使い回しをしていると、芋づる式に乗っ取られてしまうリスクを高めてしまいます。

正規のサービスを騙ったフィッシング詐欺以外にも、知り合いになりすましたメールや投稿にも注意が必要です。安易に返信やリンクをクリックしないようにしましょう。

マルウェアや不正アプリによる不正操作

ウイルスなどのマルウェア(悪意のあるソフトウェア)や不正アプリによる不正操作も、情報が漏えいしてしまう原因のひとつです。パソコンやスマホを不正に操作し、保存されている情報や、入力している内容を盗み見られたり、カメラやマイクなどの機能を利用して情報を窃取されたりする可能性もあります。そのため、パソコンだけではなくスマホにもセキュリティ対策が必要です。

端末の盗難、紛失

パソコンやスマホには、連絡先、写真や動画、文書、Webブラウザに記録された各サービスのIDとパスワード、SNSでのやり取りなど、膨大な情報が蓄積されています。万一、盗難、紛失により端末が悪意のある第三者の手に渡ってしまった場合、不正操作されてこれらの情報が漏れてしまう恐れがあります。

SNSでの過剰な情報公開

FacebookやInstagram、Twitter、LINEなどのSNS利用時は、仲間内だけが見ていると錯覚し、必要以上に個人情報を公開してしまいがちです。しかし、ネット上で公開した情報は不特定多数の目に触れる可能性があります。だれが、どのような目的で閲覧しているかわかりません。中には情報を収集し、犯罪に悪用したり、悪質な名簿業者に売却したりする第三者も存在します。

公衆Wi-Fiなどの共有無線ネットワーク

共有の無線ネットワークは手軽に使える一方で、適切な保護対策がなされていない場合、通信の内容を盗み見られるリスクが高まります。また、公衆Wi-Fiの名前に似せた偽のアクセススポットを作り、誤ってアクセスしてしまった利用者から情報を窃取する手口もあります。

サービス事業者の過失やサイバー攻撃

ネット上のサービス利用時には情報漏えいリスクが必ず伴います。これまでにも、サービス事業者のセキュリティ上の過失や内部犯行、サイバー攻撃による不正アクセスなどが原因で、利用者に関する情報が外部に流出してしまう事故が起きています。

基本対策5つのポイント

ネットは今や仕事でもプライベートでも便利で欠かせないツールですが、一歩間違えると情報漏えいというリスクにさらされてしまいます。5つの基本的な対策を実践して、より安心、安全にネット上のサービスを利活用しましょう。

1.アカウントの取り扱いに注意する

インターネット上で使用するアカウントには、英数字や記号をランダムに組み合わせて第三者が推測しにくいパスワードを設定し、別のサービスには違うパスワードを設定するようにしましょう。また、複数のサービスを活用している場合は、パスワード管理ソフトの利用もお勧めします。そのうえで、利用できる場合にはワンタイムパスワードのような2段階認証(多要素認証)を設定しましょう。万一、IDとパスワードを知られてしまっても、被害を未然に防ぐ手助けになります。

2.OSやアプリを最新の状態に保つ

パソコンやスマートフォンのOS(WindowsやMac、iOS、Android)、アプリの更新通知が来たらすぐに更新し、最新の状態を保ちましょう。マルウェアや不正アプリは、OSなどの脆弱性をついて攻撃をしてきます。脆弱性を悪用した攻撃を防ぐための基本は、速やかにアップデートすることです。
また、自宅で家庭用インターネットサービスを利用している場合は、ルータのファームウェアを自動更新できるように設定をしておきましょう。

3.デバイスの盗難、紛失対策をする

パソコンやスマホにはあらかじめ盗難、紛失対策をしてください。パスワードやパスコード、生体認証などでロックをかけ、その際、誕生日や名前など、推測されやすいものは避けましょう。そして、スマホには、あらかじめ捜索機能を設定しておき、平常時に一度探す手順を実践してみましょう。いざということきに焦らずに探すことができます。

iPhone、iPad、iPod touch を紛失したり盗まれたりした場合
https://support.apple.com/ja-jp/HT201472

Android 搭載端末を紛失しても見つけられるように準備する
https://support.google.com/accounts/answer/3265955?hl=ja

4.サービスを利用する前に立ち止まって考える

ネット上のサービスを利用する前に、信頼できるサービスであるか、登録する情報が適切に扱われるのか、必要以上に個人情報を求められていないか、アプリが要求するデバイスの権限が適切なものであるかなど、求められるものが用途に見合ったものであるかどうかを確認してから登録、利用するようにしましょう。不要なサービス連携による情報の漏えいにも注意が必要です。そして、利用しなくなった場合には退会手続きを必ず行いましょう。
SNSなどでネット上に投稿をする前には、公開範囲が適切であるか、誤った写真を選択していないか、個人が特定されるような情報や機密情報が含まれていなか、著作権や人権を侵害する内容ではないか、一度立ち止まって考えてから投稿をしましょう。また、ネット詐欺の手口など、最新のセキュリティ上の脅威について知っておくことも重要です。セキュリティ事業者や関連団体のSNSなどをフォローして情報を入手できるようにしておきましょう。

5.セキュリティ製品を使う

パソコンやスマホにはセキュリティのソフトやアプリを必ずインストールして、常に最新の状態を保ちましょう。マルウェアや不正アプリなどからデバイスを保護してくれるだけでなく、有害なメールをブロックしたり、偽サイトへのアクセスを回避させたりと、さまざまな脅威から守ってくれます。フィッシング詐欺などの手口は年々巧妙化しており、一見しただけでは見分けることができません。セキュリティ製品を利用することで、自分では判断がつかないような場合でも助けてくれます。また、公衆Wi-Fi接続時に利用するサービスやサイトは、情報を盗まれるリスクのないものに限定しましょう。VPN(バーチャルプライベートネットワーク)を利用して、通信内容を盗み見られることを防ぐこともおすすめです。その際は、信用できるVPNサービスを利用してください。

もしものときの対処法

専門機関に相談をする

ウイルス感染が疑われる場合や、フィッシングサイトにアクセスしまったかもしれないと思った場合は、利用しているセキュリティ製品の会社や、通信事業者のサポート窓口に相談してみましょう。もし、「クレジットカードの利用明細に心当たりのない請求がある」、「ネット上のサービスを何者かに乗っ取られた」、「登録した覚えのない企業から連絡がくるようになった」などの具体的な被害に遭った場合には、情報漏えいの疑いが濃厚です。被害の拡大を防ぐためにも、警察庁や国民生活センターの相談窓口に連絡し、対処方法を確認しましょう。

警察庁 インターネット安全・安心相談 ※具体的な相談は都道府県警察の窓口へ
https://www.npa.go.jp/cybersafety/

独立行政法人 国民生活センター
http://www.kokusen.go.jp/ncac_index.html

関係者に連絡をする

悪意のある第三者は、何らかの方法で取得した個人情報を悪用して、詐欺などの犯罪を働くかもしれません。もしも友人や家族、仕事関係の連絡先などを含んだ情報が漏えいしてしまった場合は、関係者に速やかに連絡をし、二次被害を防ぎましょう。

]]>
http://rss.is702.jp/main/rss/3463_l.jpg
IPA「中小企業の情報セキュリティ対策ガイドライン」2年4か月ぶりに大幅改訂 独立行政法人情報処理推進機構(IPA)は3月19日、「中小企業の情報セキュリティ対策ガイドライン」を改訂した第3版を公開しました。今回の改訂では、専門用語の使用を可能な限り避け、ITに詳しくない中小企業等の経営者でも理解しやすい表現になりました。 2019-03-20T00:00:00+09:00
「中小企業の情報セキュリティ対策ガイドライン」は、個人事業主や中小企業がセキュリティに取り組む際における「経営者が認識し実施すべき指針」と「社内において対策を実践する際の手順や手法」をまとめた内容です。2016年11月に第2版が公開され、付録の追加や小改訂が行われてきましたが、今回、2年4か月ぶりに大幅改訂されました。

改訂の背景としては、2017年11月に経済産業省「サイバーセキュリティ経営ガイドライン」が大幅改訂されたこと、中小企業等を対象としたクラウドサービスの充実といった形で環境が変化したことがあげられます。

改訂のポイントとしては、項目名称・構成の変更、用語の見直し、コラムや付録の追加、具体的な対策手法の記載といったものがあげられます。たとえば実践編では、組織的な対策の実施体制を段階的に進めていけるよう、構成の見直しが図られています。また、クラウドサービスを安全に利用するための留意事項やチェック項目を記し、付録として新たに「中小企業のためのクラウドサービス安全利用の手引き」が追加されました。

「中小企業の情報セキュリティ対策ガイドライン」第3版は、全62ページのPDFファイルとなっており、IPAサイトから無料でダウンロード・閲覧が可能です。



「中小企業の情報セキュリティ対策ガイドライン」第3版表紙(IPAのプレスリリースより)

「中小企業の情報セキュリティ対策ガイドライン」第3版表紙(IPAのプレスリリースより)

]]>
https://is702.jp/main/images/news/img_news1.jpg