皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

冒頭に書いたハッキング事件の中に含まれているとされるウイルス（セキュリティ）対策企業において、今回は内部的な不正流出事件が発覚しました。

今日はその情報をお伝えします。

顧客情報が不正流出した企業とは

昨日からメディアでも報道されているようですが、今回、顧客情報が不正流出した企業はウイルス（セキュリティ）対策で知られる『トレンドマイクロ社』です。

同社の発表では、テクニカルサポートに所属していた元従業員が海外市場で個人向け製品を利用している一部の顧客情報を持ち出し、第三者に提供したとされています。

（第三者は入手した情報を悪用してサポート詐欺犯罪を行っていたという情報も。。。）

日本市場においては問題なく、クレジットカード情報や金融機関の口座番号などは含まれていないとされていますが、『セキュリティ対策』でビジネスを行っている大手企業としてはあまりにもお粗末な話です。

何か、このような企業のセキュリティ製品を使用していて大丈夫なのだろうか？という不安さえ覚える人もいるでしょう。

しかし、これは他人事ではありません。

自社において同じような事案が発生してしまう可能性はどの企業にもあります。

このようなことが起きないよう社内全体に周知徹底を図ることは当然ですが、問題が起きた場合にはそれぞれがどのような立場に追い込まれてしまうのかなどの説明をわかりやすく行い、社員にそれらを理解してもらうことが重要でしょう。

ちなみに、個人的にはトレンドマイクロ社の製品をお勧めはしません。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

Apple（アップル）がまた面白いことに着手しそうです。

以前もあったような考え方かと思いますが、ハッカーの力を借りていこうとしています。

セキュリティ研究者向けの特別仕様なiPhone

今回Appleが行おうとしていることは、iOSとiPhoneに潜んでいるセキュリティの脆弱性を見つけてもらおうとするもので、

『iOS Security Research Device Program』

と呼ばれるものです。

これにはショップでは購入できない特別仕様のiPhoneが提供されるとのことで、それには高度なデバッグ機能が搭載されていると説明されています。

この特別仕様のiPhoneの入手申請は誰でも可能とされていますが、提供されるiPhoneの台数に限りがあるようで、実質的には誰でもというわけにはならなさそうです。

このような話し、確か以前にもあったような気がします。

その時はハッカーをAppleの社員として迎え入れたという話しだったような記憶があります。

なかなか賢いやり方ですね。

ちなみに、バグ報奨金プログラムの変更も発表されているようで、カーネルコードの実行につながる恐れがあり、被害者によるクリックも不要な、持続的な脆弱性に対して最大100万ドルを支払うとされています。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

昨今のサイバー情勢においてパスワードに『123456』を使っているのであれば情報漏えいしてもやむを得ないと思いますが、逆に、情報漏えいしにくいパスワードを設定している人達はどのようなパスワードを設定しているのでしょうか？

米国ホワイトハッカーのパスワード

パスワードは12桁程度の文字数では10分程度で解読されてしまうと言われていますが、米国のホワイトハッカー達はその2倍程度のパスワードを設定しているとされています。

そして、この覚えられないくらい長さのパスワードは米国の政府職員においても行われていると言います。

彼らは『パスワード』を『パスワード』ではなく『パスフレーズ』としてパスワード設定を行っているとされており、『フレーズ化』されたものであればある程度長くても自分の決めたルールであれば普通に思い出せるということです。

これ、米国のホワイトハッカーの間では23桁以上の文字数であれば良いと言われているようで、『パスワード』を『フレーズ化』した『パスフレーズ』にして運用しているようです。

もちろん、いくつもそういった『パスフレーズ』を作っているわけではなく、利用するサービスごとに一定のルールを付与して運用しているようです。

この方法は日本語をローマ字にした場合にはさらに強固になり得ます。

英語で『TheFirstDogIsJohn』というパスワードを日本語でローマ字にした場合、『1BanmenoInuhaJohnDesu』といった感じになります。

『いち』という部分に数字を使ったり随所に大文字を混ぜているのも有効な方法で、『わ』ではなく『は』をローマ字にしているのもポイントです。

これに利用サービスの一部の文字と記号を混ぜてあげればかなり強固なものになります。

『Yaho@1BanmenoInuhaJohnDesu』や『Raku@1BanmenoInuhaJohnDesu』といった感じでのようにです。

とは言え、日本においてここまで行われるようになるのは遠い先の話しになるのかもしれません。

それだけセキュリティ意識の低さを感じています。

ご参考までに。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

非常に大きな事件が起きています。

ユーザーのコンピュータを保護するソフトウェアを提供しているウイルス対策（セキュリティ）企業がハッキングの被害に遭ったという事件です。

ウイルス対策企業がハッキングの被害に

さて、これを報じたアメリカのセキュリティ企業は以下のようにブログに掲載しています。

In March 2019, Fxmsp stated they could provide exclusive information stolen from three top anti-virus companies located in the United States. They confirmed that they have exclusive source code related to the companies’ software development. They are offering to sell it, and network access, for over $300,000 USD.
（2019年3月、Fxmspは、米国にある3つのトップアンチウイルス企業から盗まれた独占的な情報を提供できると述べました。彼らは、彼らが会社のソフトウェア開発に関連する独占的なソースコードを持っていることを確認しました。彼らはそのデータとハッキング方法を30万ドル以上で売っている。）

盗み出されたとされるものは開発資料、機械学習に基づく分析データ、ウイルス対策ソフトとセキュリティプラグインのソースコードなどとされており、そのデータは合計で30TB分もあるとされています。

どこのウイルス対策企業がハッキング被害にあったのかは公表されていませんが、一部の情報では3社の内の1社は『トレンドマイクロ社』であることは間違いないという情報もあります。

今後もこのような事件は増えていくと思われますが、事業者としてはやれることをやっておくという準備（対策）が被害の軽減につながります。

それは決して無駄なことにはならないです。

1つは、『うちの様な小さな会社は攻撃するメリットがないから何も起きないよ。』という返事で、もう1つは、『うちの会社は情報セキュリティ対策はバッチリだよ。』という返事です。

皆さん、こんにちは。

業務改善を行う業務コンサルタント、高橋です。

冒頭にお書きした経営者の返答はあなたならどのように思われますか？

この認識、どちらも非常に危険な認識です。

中小企業は踏み台にされる

まず、前者の認識に対する危険性ですが、知名度がさほどない中小企業はハッカーの攻撃対象とはならないという認識を捨てる必要性があります。

どのような企業規模であれ攻撃対象になり得るという認識を持ってください。

ハッカーは中小企業に何もしないわけではありません。

最終的なターゲットにたどり着く前の踏み台として中小企業を狙います。

ハッカーの目的がその中小企業そのものではなくても、その中小企業にはハッカーがターゲットにしている取引先情報が豊富に存在していることにあります。

情報セキュリティの落とし穴

次に後者に対してですが、ご存知の通り、情報セキュリティ対策に結構なコストをかけて投資している全国的に知名度のある組織であっても問題は起きています。

また、情報セキュリティ対策にも『バッチリ』といったパーフェクトなものなど存在しません。

あくまでもリスクを軽減するという確率論的な問題です。

こういった認識の持ち主に限って思わぬところに対策漏れがあり、そこから大きな事故につながってしまうこともあります。

まずは経営者が正しい認識を持ち、情報セキュリティに対して経営者主導で対策を行うようにするということを考えてみて下さい。

この時代において何も施していないというのは論外ですが、セキュリティは一概に何をするのが正しいという答えはありません。

それぞれの企業にあったセキュリティ対策があります。

皆さん、こんにちは。

業務改善を行う業務コンサルタント、高橋です。

よく、『うちのような零細企業は狙われるはずがないから大丈夫ですよ！』と仰られる社長もおられますが、その考え方は間違っています。

ターゲットとなっているのは大企業や行政機関だけではありません。

ハッカーも中小・零細企業を狙う

メディアで報道される被害は行政機関や大手企業ばかりですが、実際のところは中小・零細企業が狙われるケースもあります。

ハッカーにはタイプがあり、自身を誇示するために大規模な組織を狙うケースとそうではないタイプが存在します。

後者の場合、いきなり大規模な組織を狙うには労力や時間などがかかるため、そこに関連する企業の一番ハードルの低いところから狙っていくケースがあります。

つまり、最終的には何らかの形で大規模組織にたどりつくようなケースにおいては小規模な零細企業もターゲットになるということです。

例えば、零細企業A社は中小企業B社と取引があり、中小企業B社は大企業C社と取引があるようなケースです。

これ、大半の零細企業が当てはまると言っても良いでしょう。

もちろん、途中に他の企業が存在しているケースもありますし、クライアントが個人を対象としているところであっても、仕入においてつながっていることもありますから。

上記のケースの場合、零細企業は踏み台として真っ先に攻撃を受ける可能性を秘めています。

情報資産などのリスク分析をする

セキュリティ対策は、○○をすれば絶対安全であるというものは存在しません。

過去にもあったように、DoD アメリカ国防総省もハッカーによる攻撃を受けます。

では、どういったセキュリティ対策をすれば良いのか？

これらに関しては、自社内における業務運用などを洗い出し、それに対して想定されるリスクにはどのようなものがあるのか？を洗い出すことと、自社内にてどれくらいの情報資産を抱え、それが被害にあった場合にどれくらいの対応コストがかかるのか？を洗い出します。

そして、洗い出しを行った結果から、行うべきセキュリティ対策にかかるコストと、被害にあった時の対応コストとを比較します。

その結果として、被害にあった時のコストがセキュリティ対策にかかるコストを上回るのであればそのセキュリティ対策は必須であると認識していただいた方が良いでしょう。

セキュリティ対策に関して小規模事業者が確保できる予算は多くはないですが、どうしても予算を確保できない部分においては運用形態などを見直すことも含めて検討しなければいけません。