サイバー犯罪 – 業務改善コンサルティング情報ブログ

Appleをかたる偽の誘導メール

Shingo Takahashi — Thu, 12 Oct 2017 10:44:13 +0900

ここ最近、Apple（アップル）をかたり、偽のサイトに誘導するフィッシングメールが多く出回っています。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

またしてもApple（アップル）をかたるフィッシングメールが拡散していますので、今日はそれをご紹介します。

Appleをかたるフィッシングメール

まず、実際に送られてくるものはこのような内容です。

件名：あなたのApple IDのセキュリティ質問を再設定してください。

本文：安全のため、このApple IDはすでにロックされました。

あなたのApple IDはwindows PCのiCloudにログインしたりダウンロードしたりする操作があったとAppleゲームのセキュリティチームは発見しました。

日付と時間：2017/10/10

iCloudバージョン：6.2.2.35

IP：***.***.***.***（岐阜）

あなたのアカウントの安全性を守るために、セキュリティ質問を再設定して頂くことが必要です。再設定された後、たとえあなたのApple IDとパスワード及び元のセキュリティ情報を知っているとしても、それを使用することができません。

この問題を解決するにはこちら

IPの部分を***.***.***.***にしているのは、記載のIPアドレスを調べると、問題ないと思われる大手企業グループ系が所持しているIPアドレスでしたので、あえて記載していません。

また、最後の『こちら』の部分が偽のサイトへ誘導するためのリンクが貼られています（リンク先からさらにリダイレクトしている感じ）。

このメールの誘導先に行ってしまった場合、Apple IDなどのアカウント情報や個人情報が詐取される可能性があり、警視庁サイバー犯罪対策課も注意を促しています。

間違ってもリンクをクリックして誘導先に行かないよう、くれぐれもご注意ください。

2016年の投稿記事を総括する

Shingo Takahashi — Wed, 28 Dec 2016 11:45:05 +0900

早いもので2016年ももうすぐ終わりが近づいておりますが、この2016年に投稿させていただいた記事を振り返り、総括してみたいと思います。

皆さん、こんにちは。

業務改善を行う業務コンサルタント、高橋です。

今年最後の投稿になります。

さて、それでは早速今年の記事を総括していきます。

情報セキュリティ

昨今、サイバー攻撃やサイバー犯罪は益々激化してきていますが、それへの対応に終わりはなく、常に最新の情報をキャッチし、リスクを軽減していく対策を常に心掛けなければなりません。

そんなことから以下のような記事を書かせていただきました。

今一度確認してみてください。

などなど、情報セキュリティには考えなければいけないものが山積しています。

今後も情報セキュリティに関する情報を敏感にキャッチし、対策を怠らないようにすることが重要ですのでお忘れなく。

httpsとWebの高速化

今年の課題として、今後ウェブの世界は常時https化が基本になってくることを書かせていただき、これも情報セキュリティに絡む話しでもありますが、従来までのhttpでは訪問者を守れないことから、暗号化通信を使ったhttpsへの移行が既に始まっています。

また、これからのWebは高速で表示されないと厳しい状況です。

PCのみならず、スマートフォンなどのモバイルデバイスの普及により、いずれのデバイスでも高速表示されることが求められてきます。

つまり、ユーザー（訪問者・閲覧者）に優しいウェブサイトを目指すには、ユーザーを待たせない、イラつかせない、パフォーマンス面も重要であるということです。

そんなことから以下の記事を書かせていただきました。

今一度確認してみてください。

Googleのmod_pagespeedを

AMPとは何かを今のうちに把握

などをはじめ、再読いただきたい記事がたくさんあります。

まだこれらがなされていないウェブサイトは年明け早々にも取り組んでみると良いでしょう。

会計・制度・法律

その他、会計・制度・法律の分野から少しだけ。

会計分野の中で今でも読んでいただいているのは、『神札やご祈祷料は経費で良いか』や、『交通系電子マネーの会計処理法』などがあります。

やはり、小規模事業者ともなると会計処理上迷うこともたくさんあるかと思いますが、基本的なパターンを覚えてしまえばそれほど難しいことはありません。

また来年も参考になるような記事を投稿できればと思っております。

そして制度・法律分野では、『マイナンバー窓口手続き始まる』や、『下請法の一部50年ぶりに見直し』、『民法改正後のシステム開発契約』などがありますが、制度に関しては補助金などの支援的な情報記事も書かせていただきました。

その中でも、民法改正をはじめとする法改正に絡んだものに関しては事業者として把握しておいた方が良いものです。

これらに関しても、今一度確認をしてみてください。

他にも是非再読いただきたい記事はたくさんありますが、全体の中からピックアップして総括させていただきました。

最後に、今年もこのブログにお付き合いいただきましてありがとうございました。

たまに事業者向けなのか？という記事もなくはないですが、そこは従業員の方へ事業者からアナウンスしていただきたいという意味もあって投稿しております。

来年も事業者に役立つ記事の投稿を心がけて参りますので、どうぞよろしくお願い申し上げます。

年明けは2017年1月5日（木）から投稿を予定しております。

どうぞ良いお年をお迎えくださいませ。

ファイアウォールでは厳しい今

Shingo Takahashi — Thu, 21 Apr 2016 13:23:58 +0900

ファイアウォールとは、ローカルなコンピュータやネットワークと外部ネットワークの間に設置され、内外の通信を中継・監視し、外部の攻撃から内部を保護するためのソフトウェアやハードウェアなどのことです。

皆さん、こんにちは。

業務改善を行う業務コンサルタント、高橋です。

昨今、サイバー犯罪が高度化していく中、外部からの攻撃を保護するのはファイアウォールで良いのでしょうか？

ファイアウォールでは困難

事業者の場合、社内ネットワークのどこかに業務システム・業務データが存在しています。

また、そのローカルネットワークはインターネット接続されていることが大半です。

その場合、従来のファイアウォールにて外部からの攻撃を保護しようとしても困難な時代になってきています。

ファイアウォールの場合、通信の通るところを許可したり拒否したりすることはできるものの、通信の内容までは把握することはできないため、それだけでは保護することが難しくなってきているのです。

ファイアウォールは、内側からの通信を大半許可していることが多いことから、外から不用意にダウンロードしてしまったりすることでウイルス感染してしまったり、最悪は侵入経路を作られてしまうことがあります。

不正侵入を防止する

先日の記事『リスク分析と情報セキュリティ』でも書きました通り、中小・零細企業であってもハッカーのターゲットになります。

最終目的ではなく、踏み台にされることでのターゲットになります。

その踏み台にされないためにも、不正なアクセスを検知して防御してくれるIDS（侵入検知）やIPS（侵入防御）を導入し、踏み台にされない対策が必要です。

その他の防御

上記以外にも、DLP（情報漏洩防止機能）やAPT（高度標的型攻撃）などの対策も必要になってくるでしょう。

これらに関しては、UTM（統合脅威管理）や次世代ファイアウォールと呼ばれるものを導入することが効果的です。

これらのセキュリティ製品の導入に関しては私どもでもご相談をお受けしております。

是非お気軽にご相談くださいませ。

追伸：『自社なんかが攻撃されるわけがない。』と思っていらっしゃる方、そんな時代はもう終わりました。

是非真剣にセキュリティを考えてください。

リスク分析と情報セキュリティ

Shingo Takahashi — Mon, 11 Apr 2016 12:25:16 +0900

サイバー犯罪が後を絶たず、ますます進化していってしまっている昨今、あなたの会社はどのようなセキュリティ対策を行っていますか？

この時代において何も施していないというのは論外ですが、セキュリティは一概に何をするのが正しいという答えはありません。

それぞれの企業にあったセキュリティ対策があります。

皆さん、こんにちは。

業務改善を行う業務コンサルタント、高橋です。

よく、『うちのような零細企業は狙われるはずがないから大丈夫ですよ！』と仰られる社長もおられますが、その考え方は間違っています。

ターゲットとなっているのは大企業や行政機関だけではありません。

ハッカーも中小・零細企業を狙う

メディアで報道される被害は行政機関や大手企業ばかりですが、実際のところは中小・零細企業が狙われるケースもあります。

ハッカーにはタイプがあり、自身を誇示するために大規模な組織を狙うケースとそうではないタイプが存在します。

後者の場合、いきなり大規模な組織を狙うには労力や時間などがかかるため、そこに関連する企業の一番ハードルの低いところから狙っていくケースがあります。

つまり、最終的には何らかの形で大規模組織にたどりつくようなケースにおいては小規模な零細企業もターゲットになるということです。

例えば、零細企業A社は中小企業B社と取引があり、中小企業B社は大企業C社と取引があるようなケースです。

これ、大半の零細企業が当てはまると言っても良いでしょう。

もちろん、途中に他の企業が存在しているケースもありますし、クライアントが個人を対象としているところであっても、仕入においてつながっていることもありますから。

上記のケースの場合、零細企業は踏み台として真っ先に攻撃を受ける可能性を秘めています。

情報資産などのリスク分析をする

セキュリティ対策は、○○をすれば絶対安全であるというものは存在しません。

過去にもあったように、DoD アメリカ国防総省もハッカーによる攻撃を受けます。

では、どういったセキュリティ対策をすれば良いのか？

これらに関しては、自社内における業務運用などを洗い出し、それに対して想定されるリスクにはどのようなものがあるのか？を洗い出すことと、自社内にてどれくらいの情報資産を抱え、それが被害にあった場合にどれくらいの対応コストがかかるのか？を洗い出します。

そして、洗い出しを行った結果から、行うべきセキュリティ対策にかかるコストと、被害にあった時の対応コストとを比較します。

その結果として、被害にあった時のコストがセキュリティ対策にかかるコストを上回るのであればそのセキュリティ対策は必須であると認識していただいた方が良いでしょう。

セキュリティ対策に関して小規模事業者が確保できる予算は多くはないですが、どうしても予算を確保できない部分においては運用形態などを見直すことも含めて検討しなければいけません。