皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

さて、今朝私が目にしたものとは、『ウイルスバスター』に関するネガティブなタイトルです。

新聞に掲載された週刊誌のタイトルしか見てはいませんが、念のためお伝えします。

ウイルスバスターに重大疑惑報道

その新聞広告に掲載されていた週刊誌のタイトルは以下のように書かれていました。

シェアNo.1のウイルス対策ソフト「ウイルスバスター」に重大疑惑

日本中のパソコンから中国にデータが盗まれている

というものです。

さて、この記事の真相は不明ですが、このウイルス対策ソフト『ウイルスバスター』を開発するT社は過去にも少し問題がありました。

一つは元従業員による不正行為により個人ユーザーの情報流出。（2019年11月）

もう一つはある電機メーカーに不正アクセスがあり、その原因となったウイルス対策ソフトが『ウイルスバスター』というものです。（2020年1月）

記憶に新しいところではこの二つですが、これはどちらもT社が認めていることで、今回の週刊誌報道は後者の不正アクセスが他にもあったことで疑いを持たれているのではないか？と勝手に推察しています。

（過去には別の不祥事もあります。）

後者の場合は前者と違い、内部不正によるものではなく第三者に脆弱性を突かれたものとされていることもあり、他社でも同様の事案があったのだとすれば疑惑報道が出てもおかしくないように思えます。

個人的な見解としては、業務で『ウイルスバスター』を使用するのは避けた方が無難に感じますし、私の会社では何を選択したら良いかの質問を受けた際、随分前から同社とは異なるメーカーのウイルス対策ソフトをお勧めするようにしています。

ご参考までに。

一度は利用経験がある方も多い『宅ふぁいる便』、実はお粗末な仕様で管理されていました。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

海外からの不正アクセスによって個人情報が流出した『宅ふぁいる便』、私も過去に利用経験がありますが今は利用していません。

この情報漏えい、今の時代としては考えられない状態で管理されていたことには驚きです。

ファイル転送サービスは暗号化されたものを

『宅ふぁいる便』における大きな問題として、パスワードをはじめとした個人情報は一切『暗号化』されておらず、保管されているファイルも『暗号化』はされていなかったことにあります。

個人情報保護や情報セキュリティの徹底がさけばれる昨今においては考え難い管理です。

『ファイル転送サービス』を利用することそのものは決して悪いことであるとは思いません。

個人的にはメールに添付するよりも良いと思っています。

もし今後も『ファイル転送サービス』を利用したい場合、『暗号化されている』ことは当然ですが、『会員登録不要』のサービスがお勧めです。

例えば、以前ご紹介したMozillaの『Firefox Send』のことです。

もしくは『Google Drive（グーグルドライブ）』などを使っての受け渡しを行うことでも良いでしょう。

（『Dropbox（ドロップボックス）』は個人的にはお勧めしません。過去に情報漏えいがあったことで迷惑メール被害が結構ありました。）

ただし、自身のGoogleアカウントは必ず2段階認証を設定すべきです。

最後に、『宅ふぁいる便』を過去に利用したことがある方も含め、他のサービスなどにおいて『パスワード』の変更を行うべきです。

すでに流出してしまっている以上、『宅ふぁいる便』の復旧後にただ退会するだけでは意味はありません。

参考：＜宅ふぁいる便から漏えいした情報＞

・氏名（ふりがな）

・ログイン用メールアドレス

・ログインパスワード

・生年月日

・性別

・ 職業、業種、職種

・居住地の都道府県名

・居住地の郵便番号

・勤務先の都道府県名

・勤務先の郵便番号

・配偶者

・子供

※　すでに退会していても漏えい対象になっている可能性があります。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

間もなく多くの企業がお盆休みに入ります。

そこで、今日は長期休暇中の情報セキュリティ対策に関してお話しします。

長期間中の情報セキュリティ対策

まず、長期休暇に入る前には緊急時の体制や対応手順などの再確認を行っておくと良いです。

また、長期的に使用しないもので、電源をOFFにしても問題のない機器類は電源をOFFにしておくのも良いです。

次に、長期休暇明けの対応ですが、休み明けの最初の行動は以下が望ましいです。

１．Windows OSや利用ソフトのセキュリティ更新などがリリースされている場合がありますので、それらを確認の上、修正プログラムの適用を行う。

２．セキュリティソフトの定義ファイル更新を最新に更新する（自動の場合はWindows起動後に更新される場合も多いです）。

３．情報セキュリティ担当者は不正なアクセスがなかったかのログ確認を行う。

このようなことは最低限行いたいところです。

その他、PCやUSBメモリなどを社外に持ち出す場合、社外でのウイルス感染や情報漏えいなどに十分注意し、返却時においてもウイルスチェックなどを行い、問題が起きていないかを十分に確認した上で社内ネットワークに接続を行うことが望ましいです。

最後に、長期休暇明けのメールにも十分気をつけてください。

長期休暇中はメールが溜まっていることが多く、誤って問題のあるメールの添付ファイルを開いてしまったり、本文中のリンクURLをクリックしてしまったりすることなどを狙ってウイルスメールなどが送られていることもありますので、こちらも十分な注意が必要です。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

IPA（独立行政法人情報処理推進機構）は、近年のウイルス感染や不正アクセスなどによる大量の個人情報漏えいなどを受け、『ITサプライチェーンの業務委託におけるセキュリティインシデント及びマネジメントに関する調査』を実施しました。

それによると、情報セキュリティについて何をどのように依頼すればよいのかわからない委託元企業が多いことなどが明らかになりました。

セキュリティを重視しないIT業務委託

まず、調査結果のポイントとして以下の2つが挙げられています。

１．情報通信業以外の委託元は過半数が、実施すべき情報セキュリティ対策を仕様書等で委託先に明示していない。特に、製造業では71.1%、卸売・小売業で74.2%が明記しておらず、顕著。

２．委託契約における情報セキュリティ上の責任範囲（責任分界点）がわからないと回答する割合が、委託元、委託先とも最多。

そして、締めくくりでは以下のようにまとめられています。

(1)委託元の情報セキュリティに関する取組みの強化
■　調査を通じて、委託先では情報セキュリティの取組みがある程度浸透している一方で、委託元では取組みが進んでいるのは情報通信業や金融業、保険業等の特定の業種に限定されている傾向がみられた。
■　ITサプライチェーンリスクマネジメントは、委託元と委託先、再委託等のITサプライチェーンの関係者が各々業務を実施する上で適切な情報セキュリティを確保することでより効果的に実現される。本来あるべき姿として、委託元が情報セキュリティの確保を主導できるよう取組みの強化を図っていくことが必要と考えられる。

(2)情報セキュリティの取組みに関する共通的な指標の必要性
■　調査を通じて、委託先は委託元から要求される情報セキュリティ対策の実施状況に関して、詳細なチェックリストや実地調査等に個別に対応している。また、委託元はそれらの結果の確認や評価に大きな労力を費やしている現状が
見えた。
■　こうした委託元、委託先の対応を効率化するため、委託先における対策の実施と委託元による対策の確認の両面で利用できる、 ITサプライチェーンの情報セキュリティ対策に関する共通的な指標の確立が有効と考えられる。
■　委託先で最低限実施すべき情報セキュリティ対策が共通的に認識されることで、委託元では委託先の情報セキュリティ対策について確認すべき項目や評価方法が明確になるとともに、委託先でも共通的な指標に沿った対策の実施
状況を提示することで、委託元ごとに個別の情報提示を行う手間が効率化されることが期待される。

(3)委託元と委託先の責任範囲明確化の必要性
■　調査を通じて、委託元と委託先の情報セキュリティ上の責任範囲が不明という点が課題として認識されている。
■　委託元・委託先がリスクを正しく把握した上で必要な情報セキュリティ対策が実施されることを前提に、両者の責任範囲と負担について合意し、損害等の負担についても契約上で明記することが望ましい。

経済産業省が公開した『サイバーセキュリティ経営ガイドラインVer2.0』において、経営者が認識すべき3原則の1つに『自社はもちろんのこと、ビジネスパートナーや委託先も含めたサプライチェーンに対するセキュリティ対策が必要』がありますが、まだまだ継続的な課題と言えそうです。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

今朝、Intelの主要プロセッサに搭載されている管理エンジンに重大な脆弱性が見つかった、という報道がありました。

今日はそれについてお伝えします。

Intelプロセッサの管理エンジンに脆弱性

報道によると、Intelが11月20日に公開したセキュリティ情報において、XeonやAtomなどの主要プロセッサに搭載されている管理エンジンに重大な脆弱性が見つかり、PCやサーバ、IoTプラットフォームに影響が及ぶ恐れがあるため、OEM（PCメーカー）から更新版のファームウェアを入手するよう強く勧告されていたとのこと。

この脆弱性が悪用された場合、攻撃者に任意のコードを実行されたり、特権コンテンツに不正アクセスされたりする恐れがあるとされています。

影響を受けるプロセッサは、以下のようにIntelのホームページに掲載されています。

・6th, 7th & 8th Generation Intel® Core™ Processor Family

・Intel® Xeon® Processor E3-1200 v5 & v6 Product Family

・Intel® Xeon® Processor Scalable Family

・Intel® Xeon® Processor W Family

・Intel® Atom® C3000 Processor Family

・Apollo Lake Intel® Atom Processor E3900 series

・Apollo Lake Intel® Pentium™

・Celeron™ N and J series Processors

また、この脆弱性の影響を受けるかどうかを自分で確認できるツールもIntelから公開されています。

各PCメーカーにおいては未だ確認中のようで、サポート情報への掲載はないようですが、近日中に各社ホームページに掲載されるかと思われます。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

今日は、非常に多くのデバイスで使用されているBluetoothの実装における脆弱性に関する情報です。

Bluetooth実装における脆弱性の概要

Armisというセキュリティ企業がBluetooth実装における脆弱性を発見しました。

それによると、Windows、Linux、iOSやAndroidなどの主要OSのBluetooth実装の脆弱性8件が特定され、その内の4件は重大であるとされています。

また、コンピュータ、スマートフォン、IoT機器など、82億台ものデバイスへの影響が指摘されています。

この脆弱性が悪用された場合、相手の端末とペアリングしていなくても無線経由で近くの端末を攻撃できてしまい、端末の制御、マルウェア感染、重要データなどへの不正アクセスの危険性があります。

さらに、他のネットワークから切り離された内部のセキュアネットワークにもBluetooth経由で侵入できてしまうという、非常に危険な脆弱性でもあります。

影響を受ける対象OSと対策

現状で報告されている、影響を受ける対象のOSは以下のものが挙げられています。

〇　Windows：2017年 9月マイクロソフトセキュリティ更新プログラムを適用していないWindows Vista以降のWindows

〇　Linux：Kernel 3.3-rc1 以降のバージョン、BlueZ すべてのバージョン

〇　iOS・tvOS：iOS9.3.5及びそれ以前、AppleTV tvOS7.2.2及びそれ以前

〇　Android：セキュリティパッチレベル2017年9月を適用していないAndroid

対策は、以下のリンクから各OSの情報を参考にしてください。

〇　Windows：Microsoft Bluetooth ドライバーのなりすましの脆弱性

〇　Linux/RedHat：Blueborne – Linux Kernel Remote Denial of Service in Bluetooth subsystem

〇　Linux/ubuntu：Bluetooth/BlueZ information disclosure in BlueZ and remote code execution in the bluetooth L2CAP stack in the Linux kernel

〇　iOS：iOS10は既に対策が実施されている

〇　Android：Android Security Bulletin―September 2017

今直ぐこれらの対策を実施されることをお勧めします。

追伸：OSのサポートが終了しているデバイスの場合、Bluetoothをオフにすることで回避するしかありません。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

今日は、ウェブサイトなどへのサイバー攻撃による被害状況をお伝えします。

サイバー攻撃による被害の実態

ウェブサイトなどへのサイバー攻撃による被害の内訳として一番多いのは『情報漏えい』で、実に全体の70%を超える割合となっています。

これは、WordPressなどのCMS（コンテンツ・マネジメント・システム）の脆弱性やそこで使われるプラグインの脆弱性、Webアプリケーションの脆弱性を狙ったものなど、何らかの脆弱性を突かれたものです。

そして、被害状況として一番多い『情報漏えい』の中でも、業種的には『卸売り・小売り』、『情報通信サービスプロバイダ』が50%以上を占めており、個人情報を取り扱うことの多い業種にターゲットが設定されていることが多いようです。

他における被害の状況としては、

・Webの改ざん

・不正アクセス

・スパムメール送信

・不正ファイルの設置

・DDoS攻撃の踏み台

などがあります。

サイバー攻撃への対策

これらのサイバー攻撃への対策として、まずは情報に敏感になることです。

常に最新の情報を収集し、脆弱性があることがわかったら直ぐに対応を行うことが重要になってきます。

また、レンタルサーバにおいても、WAF（ウェブ・アプリケーション・ファイアウォール）などのオプション追加するなど、外部からの攻撃に備えた施策を施しておくことも重要と言えるでしょう。

そして平成29年5月30日より、改正個人情報保護法が全面施行されます。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

まもなく改正個人情報保護法が施行されるわけですが、それに際して個人情報取扱事業者の定義が変わります。

個人情報取扱事業者は大半の事業者に該当

まず、個人情報保護法上の義務を負う個人情報取扱事業者とは、個人情報データベース等をその事業活動に利用している者のことですが、実際のところほとんどの事業者はこの定義に当てはまります。

例えば、顧客管理情報として会社名、住所、電話番号、担当者名が管理されていたとすると、この担当者名が個人名であることから個人情報を取り扱っていることになるわけです。

そして、今回の改正において『個人情報取扱事業者への対応（5,000件要件の撤廃）』があり、5,000件以下の個人情報を取り扱う事業者であっても『個人情報取扱事業者』となります。

個人情報保護法ガイドライン

個人情報保護法上のガイドラインに関して、中小規模事業者の場合においては『安全管理措置』が少々緩和された内容になっています。

例えば、外部からの不正アクセス等の防止における手法の例示としては以下のような違いがあります。

＜通常の手法の例示＞

・情報システムと外部ネットワークとの接続箇所にファイアウォール等を設置し、不正アクセスを遮断する。
・情報システム及び機器にセキュリティ対策ソフトウェア等（ウイルス対策ソフトウェア等）を導入する。
・機器やソフトウェア等に標準装備されている自動更新機能等の活用により、ソフトウェア等を最新状態とする。
・ログ等の定期的な分析により、不正アクセス等を検知する。

＜中小規模事業者における手法の例示＞

・個人データを取り扱う機器等のオペレーティングシステムを最新の状態に保持する。
・個人データを取り扱う機器等にセキュリティ対策ソフトウェア等を導入し、自動更新機能等の活用により、これを最新状態とする。

ごく一部ですが、このような違いがあります。

『中小規模事業者』とは、従業員（※）の数が 100 人以下の個人情報取扱事業者をいう。ただし、次に掲げる者を除く。
・その事業の用に供する個人情報データベース等を構成する個人情報によって識別される特定の個人の数の合計が過去 6 月以内のいずれかの日において5,000を超える者
・委託を受けて個人データを取り扱う者

（※）中小企業基本法（昭和 38 年法律第 154 号）における従業員をいい、労働基準法（昭和 22 年法律第 49 号）第 20 条の適用を受ける労働者に相当する者をいう。ただし、同法第 21 条の規定により同法第 20 条の適用が除外されている者は除く。

これらを踏まえ、中小・零細企業、小規模事業者であっても個人情報保護に関する見直しをする必要があります。

皆さん、こんにちは。

業務改善を行う業務コンサルタント、高橋です。

先週末、米国で大規模なDDoS攻撃がありました。

攻撃を受けたのは米Dyn（ダイン）という、DNSサービスを提供していて、クライアントにはTwitter、NETFLIX、Pfizer、salesforce、Spotifyなどの大手を抱えている企業です。

そしてこの攻撃を拡大させたのは、近年身近にあるIoT機器が悪用されたものです。

DDoS攻撃の踏み台にされるIoT機器

近年、DDoS攻撃の規模は急激に巨大化しているわけですが、それを巨大化させているものとして、乗っ取られてしまったコンピュータだけではなく、Webカメラやデジタル・ビデオ・レコーダーなどのIoT機器があり、これらのIoT機器までもがマルウェア（不正かつ有害に動作させる意図で作成された悪意のあるソフトウェアや悪質なコード）によって乗っ取られ、DDoS攻撃の踏み台とされて悪用されるケースが増えており、セキュリティ対策として導入したものが逆手に取られたような形となっています。

IoT機器へのセキュリティ

これらのIoT機器をマルウェアに感染させず、DDoS攻撃の踏み台にされないようにするためのセキュリティはまだ確立されていないと言っても良いでしょう。

ただし、最低限のことは可能です。

１．よくわからないメーカーのものを購入しない

２．機器へのログインIDやパスワードは初期値から必ず変更する

３．インターネット経由でのアクセスを許可しない

４．機器のファームウェアなどは最新にしておく

５．UTMなどを活用する

これらのことは現状でも可能です。

また、これらの中でも２は非常に重要で、以前、『監視カメラで情報が漏れていた』でも書かせていただいたとおり、『IDやパスワードがデフォルト（初期値）のままになっている以上、公開されているもとして扱われますので不正アクセスとして扱われません。』

これらかの時代はますますIoTが増えていきますが、個人であれ事業者であれ、それらを導入する側のセキュリティ意識が非常に重要になってきます。

皆さん、こんにちは。

業務コンサルタントの高橋です。

WordPressを使っているウェブサイトやブログサイトは、海外から管理画面に不正アクセスされるなどの被害が結構あります。そこで、このような対策をしておくと良いです。

WordPress管理画面へのログインを拒否

海外からWordPressの管理画面に不正アクセスされないよう、日本国内のIPアドレスのみを許可し、海外のIPアドレスを拒否する設定を『.htaccess』ファイルに記述します。

対象は、wp-login.phpファイルとwp-adminディレクトリ

wp-login.phpを日本国内のIPアドレスのみにする記述例として、

<files wp-login.php>

order deny,allow
deny from all

allow from 1.0.16.0/20
.
.
.
</files>

日本国内に配布されているIPアドレスのリストを全て記述しておき、WordPressが設置されているルートディレクトリに.htaccessファイルを設置します（wp-login.phpと同じ階層）。

また、wp-adminディレクトリ部分に関しては、

<files ***>
</files>

のファイル指定を除いた部分を記述した.htaccessファイルを設置しておきます。

日本国内のIPアドレスリストは、

http://ftp.apnic.net/stats/apnic/

https://www.nic.ad.jp/ja/ip/list.html

などから取得できます。

上記のような措置を施しておくことにより、日本国内のIPアドレス以外、つまり海外のIPアドレスからは管理画面にアクセスできないことになりますのでお勧めです

ただし、最近はホスティング会社側にてこういった対処をしてくれているホスティング会社もありますので、その場合はこういった記述は必要ありません。