あなたの企業は大丈夫でしょうか？

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

さて、冒頭のVPNの認証情報が流出した件、このようなことが起きていてはVPN接続をしている意味がなくなってしまいます。

しかし、この問題はごく単純なものでもあるようです。

VPNの認証情報などが流出した理由

『COVID-19（新型コロナウイルス感染症）』の影響で、社外から組織内部へのアクセスにはVPNが使われています。

しかし、今回は結構な大手企業の情報も流出していると報道されています。

この原因は、脆弱性を修正したパッチを当てていなかったことと報道されています。

メーカーやセキュリティ機関では繰り返し注意喚起を行ってきたようですが、残念ながら修正パッチを当てていなかった企業が狙われてしまったということです。

このように、セキュリティ上の脆弱性は常に最新の修正パッチを適用しておく必要性がありますが、今回のようなことが大手企業でも起こるということは人的リソースに余裕がないのでしょうか？

いずれにしても今後も在宅勤務などのテレワークは続きます。

今一度見直しをされることが必要となりそうです。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

さて、今朝私が目にしたものとは、『ウイルスバスター』に関するネガティブなタイトルです。

新聞に掲載された週刊誌のタイトルしか見てはいませんが、念のためお伝えします。

ウイルスバスターに重大疑惑報道

その新聞広告に掲載されていた週刊誌のタイトルは以下のように書かれていました。

シェアNo.1のウイルス対策ソフト「ウイルスバスター」に重大疑惑

日本中のパソコンから中国にデータが盗まれている

というものです。

さて、この記事の真相は不明ですが、このウイルス対策ソフト『ウイルスバスター』を開発するT社は過去にも少し問題がありました。

一つは元従業員による不正行為により個人ユーザーの情報流出。（2019年11月）

もう一つはある電機メーカーに不正アクセスがあり、その原因となったウイルス対策ソフトが『ウイルスバスター』というものです。（2020年1月）

記憶に新しいところではこの二つですが、これはどちらもT社が認めていることで、今回の週刊誌報道は後者の不正アクセスが他にもあったことで疑いを持たれているのではないか？と勝手に推察しています。

（過去には別の不祥事もあります。）

後者の場合は前者と違い、内部不正によるものではなく第三者に脆弱性を突かれたものとされていることもあり、他社でも同様の事案があったのだとすれば疑惑報道が出てもおかしくないように思えます。

個人的な見解としては、業務で『ウイルスバスター』を使用するのは避けた方が無難に感じますし、私の会社では何を選択したら良いかの質問を受けた際、随分前から同社とは異なるメーカーのウイルス対策ソフトをお勧めするようにしています。

ご参考までに。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

昨年は『情報セキュリティ10大脅威公開』、一昨年は『情報セキュリティ10大脅威決定』という記事にて取り上げましたが、一昨日、IPA（独立行政法人情報処理推進機構）が『情報セキュリティ10大脅威2020』を公表しましたのでご紹介します。

これは、2019年に発生した社会的に影響が大きかったと考えられる情報セキュリティにおける事案から、IPAが脅威候補を選出し、情報セキュリティ分野の研究者、企業の実務担当者など約140名のメンバーからなる『10大脅威選考会』が脅威候補に対して審議・投票を行い、決定しています。

情報セキュリティ10大脅威2020

＜組織の10大脅威＞

1位：標的型攻撃による被害（昨年順位：1位）

2位：内部不正による情報漏えい（昨年順位：5位）

3位：ビジネスメール詐欺による金銭被害（昨年順位：2位）

4位：サプライチェーンの弱点を悪用した攻撃（昨年順位：4位）

5位：ランサムウェアによる被害（昨年順位：3位）

6位：予期せぬIT基盤の障害に伴う業務停止（昨年順位：16位）

7位：不注意による情報漏えい（規則は遵守）（昨年順位：10位）

8位：インターネット上のサービスからの個人情報の窃取（昨年順位：7位）

9位：IoT機器の不正利用（昨年順位：8位）

10位：サービス妨害攻撃によるサービスの停止（昨年順位：2位）

＜個人の10大脅威＞

1位：スマホ決済の不正利用（初）

2位：フィッシングによる個人情報の詐取（昨年順位：2位）

3位：クレジットカード情報の不正利用（昨年順位：1位）

4位：インターネットバンキングの不正利用（昨年順位：7位）

5位：メールやSMS等を使った脅迫・詐欺の手口による金銭要求（昨年順位：4位）

6位：不正アプリによるスマートフォン利用者への被害（昨年順位：3位）

7位：ネット上の誹謗・中傷・デマ（昨年順位：5位）

8位：インターネット上のサービスへの不正ログイン（昨年順位：8位）

9位：偽警告によるインターネット詐欺（昨年順位：6位）

10位：インターネット上のサービスからの個人情報の窃取（昨年順位：12位）

以上のような内容で公表されています。

組織においては廃棄予定のHDD（ハードディスクドライブ）が社員に不正に持ち出され、ネットオークションなどで転売されたことなど、『内部不正による情報漏えい』の順位が上昇しています。

また、個人においては『キャッシュレス決済』における『セキュリティ対策の不備』などにより『スマホ決済の不正利用』が初登場で1位という結果となりました。

こららの詳細な解説は、2月下旬にIPA 独立行政法人情報処理推進機構のウェブサイトにて公開予定となっています。

参考資料：『IPA プレスリリース『情報セキュリティ10大脅威 2020』を決定（PDFファイル：242KB）*』

（*）資料配布元：IPA 独立行政法人情報処理推進機構

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

冒頭に書いたハッキング事件の中に含まれているとされるウイルス（セキュリティ）対策企業において、今回は内部的な不正流出事件が発覚しました。

今日はその情報をお伝えします。

顧客情報が不正流出した企業とは

昨日からメディアでも報道されているようですが、今回、顧客情報が不正流出した企業はウイルス（セキュリティ）対策で知られる『トレンドマイクロ社』です。

同社の発表では、テクニカルサポートに所属していた元従業員が海外市場で個人向け製品を利用している一部の顧客情報を持ち出し、第三者に提供したとされています。

（第三者は入手した情報を悪用してサポート詐欺犯罪を行っていたという情報も。。。）

日本市場においては問題なく、クレジットカード情報や金融機関の口座番号などは含まれていないとされていますが、『セキュリティ対策』でビジネスを行っている大手企業としてはあまりにもお粗末な話です。

何か、このような企業のセキュリティ製品を使用していて大丈夫なのだろうか？という不安さえ覚える人もいるでしょう。

しかし、これは他人事ではありません。

自社において同じような事案が発生してしまう可能性はどの企業にもあります。

このようなことが起きないよう社内全体に周知徹底を図ることは当然ですが、問題が起きた場合にはそれぞれがどのような立場に追い込まれてしまうのかなどの説明をわかりやすく行い、社員にそれらを理解してもらうことが重要でしょう。

ちなみに、個人的にはトレンドマイクロ社の製品をお勧めはしません。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

冒頭に書きました通り、今日はWeb系の脆弱性情報をお伝えします。

PHP･Apache･HTTP/2の脆弱性について

8月1日と8月20日に、JPCERTコーディネーションセンターは以下の脆弱性を発表しています。

＜PHP にバッファオーバーフローの脆弱性＞

PHP には、バッファオーバーフローの脆弱性があり、遠隔の第三者が、サービス運用妨害 (DoS) 攻撃を行ったり、任意のコードを実行したりする可能性がある。

対象は、

・PHP 7.3.8 より前のバージョン

・PHP 7.2.21 より前のバージョン

・PHP 7.1.31 より前のバージョン

PHP開発者や配布元提供の修正済みのバージョンへの更新で解決。

＜Apache HTTP Web Server 2.4 に複数の脆弱性＞

Apache HTTP Web Server 2.4 系に以下の脆弱性があり、情報改ざん、悪意のあるページへのリダイレクト、情報漏えい、サービス運用妨害（DoS）攻撃の影響を受ける可能性がある。

・mod_proxy のエラーページに限定的なクロスサイトスクリプティングの脆弱性

・mod_rewrite に潜在的なオープンリダイレクトの脆弱性

・mod_http2 に h2 コネクション切断時における解放済みメモリ読み込みの脆弱性

・mod_http2 にメモリ破壊の脆弱性

・mod_http2 に h2 worker 枯渇によるサービス運用妨害 (DoS) 攻撃の脆弱性

・mod_remoteip にスタックバッファオーバーフローおよび NULL ポインタ逆参照の脆弱性

対象は、Apache HTTP Web Server 2.4.41 より前のバージョン

Apache Software Foundation提供の修正済みのバージョンへの更新で解決。

＜HTTP/2 の実装に対するサービス運用妨害（DoS）攻撃＞

HTTP/2 通信の処理は、HTTP/1.1 通信の処理と比較して多くのリソースが必要であり、RFC7540 の Security Considerations セクションにおいても、サービス運用妨害（DoS）状態に関する検討が行われている(10.5. Denial-of-Service Considerations)。しかし、どのように対策すべきかは実装者にまかされており、これが以下の問題につながっている。

・Data Dribble

・Ping Flood

・Resource Loop

・Reset Flood

・Settings Flood

・0-Length Headers Leak

・Internal Data Buffering

・Empty Frame Flooding

各 HTTP/2 実装者が提供するアップデートの適用を実施。

これらのものに該当する場合、早めに修正済みバージョンへ更新されることをお勧めします。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

昨今のサイバー情勢においてパスワードに『123456』を使っているのであれば情報漏えいしてもやむを得ないと思いますが、逆に、情報漏えいしにくいパスワードを設定している人達はどのようなパスワードを設定しているのでしょうか？

米国ホワイトハッカーのパスワード

パスワードは12桁程度の文字数では10分程度で解読されてしまうと言われていますが、米国のホワイトハッカー達はその2倍程度のパスワードを設定しているとされています。

そして、この覚えられないくらい長さのパスワードは米国の政府職員においても行われていると言います。

彼らは『パスワード』を『パスワード』ではなく『パスフレーズ』としてパスワード設定を行っているとされており、『フレーズ化』されたものであればある程度長くても自分の決めたルールであれば普通に思い出せるということです。

これ、米国のホワイトハッカーの間では23桁以上の文字数であれば良いと言われているようで、『パスワード』を『フレーズ化』した『パスフレーズ』にして運用しているようです。

もちろん、いくつもそういった『パスフレーズ』を作っているわけではなく、利用するサービスごとに一定のルールを付与して運用しているようです。

この方法は日本語をローマ字にした場合にはさらに強固になり得ます。

英語で『TheFirstDogIsJohn』というパスワードを日本語でローマ字にした場合、『1BanmenoInuhaJohnDesu』といった感じになります。

『いち』という部分に数字を使ったり随所に大文字を混ぜているのも有効な方法で、『わ』ではなく『は』をローマ字にしているのもポイントです。

これに利用サービスの一部の文字と記号を混ぜてあげればかなり強固なものになります。

『Yaho@1BanmenoInuhaJohnDesu』や『Raku@1BanmenoInuhaJohnDesu』といった感じでのようにです。

とは言え、日本においてここまで行われるようになるのは遠い先の話しになるのかもしれません。

それだけセキュリティ意識の低さを感じています。

ご参考までに。

宅ふぁいる便サービス停止に伴い実施できておりませんでした以下の機能について、特設サイトにてご提供させていただけるようになりました。

① 宅ふぁいる便に登録されているパスワードをご確認いただける機能
② 退会のお申し込み受付機能
③ 宅ふぁいる便ポイント交換機能

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

481万件の個人情報が漏えいした事件で『宅ふぁいる便』を運営する株式会社オージス総研は、流出したパスワードなどを確認できる『宅ふぁいる便Web特設サイト』を開設しました。

宅ふぁいる便Web特設サイトの開設

1月の個人情報漏えい事件以降、調査中のまま退会すらできなかった『宅ふぁいる便』がようやく動きを見せました。

今回設けられた『宅ふぁいる便Web特設サイト』では、

１．宅ふぁいる便に登録されているパスワードの確認

２．退会申込受付

３．ポイント交換

この3つの機能が公開されています。

また、この『宅ふぁいる便Web特設サイト』に関しては、『宅ふぁいる便の保有データから必要最小限の項目を抽出し、暗号化等の適切なセキュリティ処理を実施した上で宅ふぁいる便システムとは完全に分離された、まったく別の環境・サーバー上に別システムとして新たに開発・構築したうえで提供している。』となっています。

『宅ふぁいる便Web特設サイト』

（サービス提供時間：9：00～17:45）

ご参考までに。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

今日は、以前ご紹介したファイル送信ツールの『Firefox Send』が正式リリースとなりましたのでそれをご紹介します。

Firefox Send が正式リリースに

さて、この度正式リリースとなった『Firefox Send』ですが、『Firefox Send』のサイトを見るとテストパイロット期間にはなかったものが新たに加わっています。

テストパイロット期間はアカウント登録はなく、単純に『1GByte』までのファイルを送信できるものだったのですが、正式リリースとなり、アカウント登録を行うとファイルサイズの上限が『2.5GByte』まで拡大するようになっています。

ただし、業務利用の場合にはアカウント登録なしの上限『1GByte』で十分な気がしますので、その範囲であれば特別アカウント登録する必要はないです。

また、テストパイロット期間は有効期間が『1回のダウンロード』または『24時間』という設定だったのですが、正式リリース後の有効期間はアカウント登録の有無に関わらず『1回・2回・3回・4回・5回・20回・50回・100回のダウンロード』からの選択、または『5分・1時間・1日・7日』からの選択の組み合わせになっていますので、少々使い方に幅が出た感じがあります。

もちろん、テストパイロット期間にも存在した『パスワード保護』に関してもアカウント登録の有無に関わらず設定可能です。

『宅ふぁいる便』の情報漏えい事件を受け、他の安心できるファイル送信ツールを探している方もいるかと思いますが、Mozillaの『Firefox Send』の場合、ファイルは暗号化され、クラウドには何も残らないことから個人情報の秘匿性が維持されると説明されています。

ストレージサービス内の一部を共有する方法も良いかもしれませんが、個人的にはこちらの方がお勧めです。

参考までに、動画を掲載しておきます。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

昨年も『情報セキュリティ10大脅威決定』という記事にて取り上げましたが、昨日、IPA（独立行政法人情報処理推進機構）が『情報セキュリティ10大脅威2019』を公表しましたのでご紹介します。

これは、2018年に発生した社会的に影響が大きかったと考えられる情報セキュリティにおける事案から、IPAが脅威候補を選出し、情報セキュリティ分野の研究者、企業の実務担当者など約120名のメンバーからなる『10大脅威選考会』が脅威候補に対して審議・投票を行い、決定しています。

情報セキュリティ10大脅威2019

＜組織の10大脅威＞

1位：標的型攻撃による被害（昨年順位：1位）

2位：ビジネスメール詐欺による被害（昨年順位：3位）

3位：ランサムウェアによる被害（昨年順位：2位）

4位：サプライチェーンの弱点を悪用した攻撃の高まり（初）

5位：内部不正による情報漏えい（昨年順位：8位）

6位：サービス妨害攻撃によるサービスの停止（昨年順位：9位）

7位：インターネットサービスからの個人情報の窃取（昨年順位：6位）

8位：IoT機器の脆弱性の顕在化（昨年順位：7位）

9位：脆弱性対策情報の公開に伴う悪用増加（昨年順位：4位）

10位：不注意による情報漏えい（昨年順位：12位）

＜個人の10大脅威＞

1位：クレジットカード情報の不正利用（昨年順位：1位*1）

1位：フィッシングによる個人情報等の詐取（昨年順位：1位）

3位：不正アプリによるスマートフォン利用者への被害（昨年順位：4位）

4位：メール等を使った脅迫・詐欺の手口による金銭要求（初）

5位：ネット上の誹謗・中傷・デマ（昨年順位：3位）

6位：偽警告によるインターネット詐欺（昨年順位：10位）

7位：インターネットバンキングの不正利用（昨年順位：1位）

8位：インターネットサービスへの不正ログイン（昨年順位：5位）

9位：ランサムウェアによる被害（昨年順位：2位）

10位：IoT 機器の不適切な管理（昨年順位：9位）

（*1）クレジットカード被害の増加とフィッシング手口の多様化に鑑み、2018年個人1位の『インターネットバンキングやクレジットカード情報等の不正利用』を本年から、①インターネットバンキングの不正利用、②クレジットカード情報の不正利用、③仮想通貨交換所を狙った攻撃、④仮想通貨採掘に加担させる手口、⑤フィッシングによる個人情報等の詐取、に分割。

以上のような内容で公表されています。

また、今後の脅威に対する懸念として、AI（人工知能）を用いた新たなサイバー攻撃に対しても触れられています。

参考資料：『情報セキュリティ10大脅威 2019（PDFファイル：3.98MB）*2』

（*2）資料配布元：IPA 独立行政法人情報処理推進機構

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

今日はiOSやmacOSなどの脆弱性情報をお伝えします。

iOSやmacOSなどの脆弱性対策アップデート

先週の23日、Appleの各OSのアップデート版がリリースされました。

まず、影響を受ける対象は以下の通りとなります。

・iOS 12.1.3 より前のバージョン

・macOS Mojave 10.14.3 より前のバージョン
・macOS High Sierra (Security Update 2019-001 未適用)
・macOS Sierra (Security Update 2019-001 未適用)
・tvOS 12.1.2 より前のバージョン
・watchOS 5.1.3 より前のバージョン
・Safari 12.0.3 より前のバージョン
・iCloud for Windows 7.10 より前のバージョン

そして、上記のApple製品において想定される影響は各脆弱性により異なるようですが、次のような影響を受ける可能性があるとされています。

・サンドボックス回避

・任意のコード実行
・権限昇格
・情報漏えい
・情報改ざん
・サービス運用妨害 (DoS)
・任意のスクリプト実行

一部では、『iOS』において前回バージョンの際に起きていた『通信回線につながらない』不具合が未だ残っているという情報もありますので暫く様子見した方が良いとも言えますが、周りの方の状況などを情報収集し、可能であればできる限り早めにアップデートされた方が良いと思われます。

ちなみに、私のiPhone xsは『iOS 12.1.3』にアップデートしても通信障害は起きていません。

他の方のiPhone 7も『iOS 12.1.3』へのアップデートにて問題は確認されませんでした。