あなたの企業は大丈夫でしょうか？

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

さて、冒頭のVPNの認証情報が流出した件、このようなことが起きていてはVPN接続をしている意味がなくなってしまいます。

しかし、この問題はごく単純なものでもあるようです。

VPNの認証情報などが流出した理由

『COVID-19（新型コロナウイルス感染症）』の影響で、社外から組織内部へのアクセスにはVPNが使われています。

しかし、今回は結構な大手企業の情報も流出していると報道されています。

この原因は、脆弱性を修正したパッチを当てていなかったことと報道されています。

メーカーやセキュリティ機関では繰り返し注意喚起を行ってきたようですが、残念ながら修正パッチを当てていなかった企業が狙われてしまったということです。

このように、セキュリティ上の脆弱性は常に最新の修正パッチを適用しておく必要性がありますが、今回のようなことが大手企業でも起こるということは人的リソースに余裕がないのでしょうか？

いずれにしても今後も在宅勤務などのテレワークは続きます。

今一度見直しをされることが必要となりそうです。

皆さん、こんにちは。

業務改善を行う業務コンサルタント、高橋です。

いよいよ今年も残りわずかとなり、このブログへの投稿も年内は最後となります。

そこで、今日は2019年を振り返ってみたいと思います。

2019年の投稿記事を振り返る

今年は何と言っても『改元』でしょう。

2019年5月1日から『令和』がスタートし、Windowsのみならず、各システムの『改元対応』が間に合うのか懸念されたところもあったことでしょう。

日本である以上、『元号』にこだわりたい気持ちもわからなくはないですが、やはり今後は西暦で管理する方が負担が少なくて良いと思います。

改元で”Y2K”問題発生の可能性

次に、『〇〇Pay』という『モバイル決済サービス』が乱立する中、リリース早々に問題が起き、撤退することにまでなってしまった『7Pay』の乗っ取り不正利用問題が印象深いです。

7payで早くも乗っ取り不正利用

その他、『Thunderbird 64bit版』が正式に公開されたことや、iOS 13のリリースとともに登場した『Sign in with Apple』、VPNサービス『1.1.1.1 with WARP』の登場などもインパクトのあるものでした。

Thunderbird68.1で待望の64

Sign in with Appleは秘匿する

1.1.1.1 with WARP はじまる

さらには、何度かお伝えしてきた『Windows 7』のサポート終了に関して、当初はボリュームライセンス向けの延長だけであったものが中小企業向けに配慮をする措置が取られることも現状を大きく表しているような気がします。

Windows 7延長 中小企業にも

直近では、『Microsoft 365』において大規模な障害が発生したことや、Apple製品の『use-after-free』の脆弱性、『EC-CUBE』における『クレジットカード流出』もありました。

Microsoft 365 大規模障害発生

Apple製品 対策不可能な脆弱性

EC-CUBE2系でクレカ流出被害

※　過去の記事へのリンクは一部のみ記載しています。

他にも是非再読いただきたい記事はたくさんありますが、全体の中からピックアップして振り返ってみました。

最後に、今年もこのブログにお付き合いいただきましてありがとうございました。

たまに事業者向けなのか？という記事もなくはないですが、そこは従業員の方へ事業者からアナウンスしていただきたいという意味もあって投稿しております。

来年も事業者に役立つ記事の投稿を心がけて参りますので、どうぞよろしくお願い申し上げます。

年明けは2019年1月6日（月）から投稿を予定しております。

どうぞ良いお年をお迎えくださいませ。

一度は利用経験がある方も多い『宅ふぁいる便』、実はお粗末な仕様で管理されていました。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

海外からの不正アクセスによって個人情報が流出した『宅ふぁいる便』、私も過去に利用経験がありますが今は利用していません。

この情報漏えい、今の時代としては考えられない状態で管理されていたことには驚きです。

ファイル転送サービスは暗号化されたものを

『宅ふぁいる便』における大きな問題として、パスワードをはじめとした個人情報は一切『暗号化』されておらず、保管されているファイルも『暗号化』はされていなかったことにあります。

個人情報保護や情報セキュリティの徹底がさけばれる昨今においては考え難い管理です。

『ファイル転送サービス』を利用することそのものは決して悪いことであるとは思いません。

個人的にはメールに添付するよりも良いと思っています。

もし今後も『ファイル転送サービス』を利用したい場合、『暗号化されている』ことは当然ですが、『会員登録不要』のサービスがお勧めです。

例えば、以前ご紹介したMozillaの『Firefox Send』のことです。

もしくは『Google Drive（グーグルドライブ）』などを使っての受け渡しを行うことでも良いでしょう。

（『Dropbox（ドロップボックス）』は個人的にはお勧めしません。過去に情報漏えいがあったことで迷惑メール被害が結構ありました。）

ただし、自身のGoogleアカウントは必ず2段階認証を設定すべきです。

最後に、『宅ふぁいる便』を過去に利用したことがある方も含め、他のサービスなどにおいて『パスワード』の変更を行うべきです。

すでに流出してしまっている以上、『宅ふぁいる便』の復旧後にただ退会するだけでは意味はありません。

参考：＜宅ふぁいる便から漏えいした情報＞

・氏名（ふりがな）

・ログイン用メールアドレス

・ログインパスワード

・生年月日

・性別

・ 職業、業種、職種

・居住地の都道府県名

・居住地の郵便番号

・勤務先の都道府県名

・勤務先の郵便番号

・配偶者

・子供

※　すでに退会していても漏えい対象になっている可能性があります。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

1ヶ月程前、iPhoneにインストールしてあった『Hotspot Shield』という『VPNソフト』が、モバイルデータ通信において未使用にも関わらず、異常なパケットデータ通信が行われていました。

それに関しては『Hotspot Shield VPNは要注意』の記事で確認していただきたいですが、その『Hotspot Shield』にユーザー情報が流出する恐れがあるという脆弱性が報告されています。

Hotspot Shieldにおける脆弱性とは

VPNソフトとしては未だ人気のある『Hotspot Shield』ですが、VPNクライアントとしては意味がなくなってしまうような脆弱性が報告されています。

クロスサイトスクリプトインクルージョン（XSSI）やDNSリバインディングと呼ばれる攻撃を仕掛けられてしまうと、ユーザーの国やWi-Fiネットワークの名称などの情報が攻撃者に流出してしまい、最悪の場合はユーザーが使用している本来のIPアドレスまで流出してしまうという脆弱性が報告されています。

VPN（Virtual Private Network / バーチャル プライベート ネットワーク）は本来、仮想的にプライベートな通信を可能にするものだけに、外部からは閉ざされた安全なものでなければVPNではありません。

つまり、前述のような情報が流出することは本来あってはならないわけです。

この脆弱性に対する修正のアップデートは近日中に公開されるようですが、1月の記事で触れた通り、『Hotspot Shield』は問題が取りざたされていること、私が実際に体験したことを踏まえるとお勧めできるVPNソフトではありませんので、使われている方は早めに他のものへ切り替えることをお勧めします。

さて、この情報流出の問題点はどこにあったのでしょうか？

皆さん、こんにちは。

業務改善を行う業務コンサルタント、高橋です。

昨日の夕方にインターネット上のニュースを閲覧していた時のことです。

『高島屋の顧客データ流出』というヘッドラインを目にしました。

またも大手企業における情報流出が起きたわけですが、今回の高島屋の顧客データ流出はどうして起きたのでしょうか？

高島屋の顧客データ流出の原因

当時高島屋に勤務していた社員が、個人のパソコンに外商の顧客データを保存しており、そのデータを消去しないままパソコンをリサイクルショップに売却したことにより、そのパソコンの購入者にデータが渡ったというもの。

流出したデータ：1999年から2004年までの高島屋日本橋店の顧客421人分の名前、電話番号、クレジットカード情報など。

高島屋の顧客データ流出の問題点

1999年から2004年までとなると、今ほどは個人情報に対して厳しくなかった時代かとも思いますが、その時代とは言え、個人のパソコンに顧客データを入れていたことは非常に問題です。

当時においても、会社のパソコンやUSBメモリなどに対して厳格な持ち出し管理をしていた企業も相応にありました。

そこから考えると、高島屋は甘かったということになります。

専用ソフトでのHDD消去

企業だけではなく個人においても、パソコンを売却したり廃棄したりする場合においては厳格なハードディスク消去が必要です。

業務で使われるWindowsパソコンのハードディスク内データは、削除してゴミ箱から消し去っても残っています。

また、ハードディスクを初期化したとしても同じで、表面的には消えていますが実際には残っています。

このような場合、専用のソフトを使って中身を消去（実際には書き換え）しなければいけません。

高島屋のケースにおいては個人情報の管理に問題があったわけですが、いずれにしてもどの事業者も細心の注意を払わなければいけない部分です。

皆さん、こんにちは。

業務コンサルタントの高橋です。

1月21日あたりであったでしょうか。

世界各地の監視カメラ映像がストリーミング配信されていることが、インターネット上やテレビでのニュース報道でも取り上げられていました。

この中には、路上にある監視カメラ映像だけではなく、店舗内などの屋内に配置されている監視カメラ映像も相当含まれていたのです。

では、何故そんなにも簡単に監視カメラ映像が流出していたのでしょうか？

監視カメラ映像が流出した理由

今回流出した監視カメラ映像では、インターネット経由でのアクセス機能を利用し、IDとパスワードがデフォルト（初期値）のままになっていたものがターゲットになっていました。

ターゲットになった監視カメラの問題点

既にお気づきの通り、最大の問題点はIDとパスワードがデフォルト（初期値）になっていたことです。

こういった監視カメラの設置は大半の事業者が設置業者に依頼して行われることが多いですが、その設置業者自体にこれほどまでセキュリティに対する認識がないとは非常に驚きです。

また、路上などの監視カメラであればやむを得ない話しですが、屋内や店舗の駐車場あたりに設置されている監視カメラの場合、インターネットアクセスを許可するべきではないというのが私の認識です。

当然ながら、インターネットアクセスを許可している以上、外部からアプローチされてしまう危険にさらされているのは言うまでもありませんし、メンテナンスを大義名分とるすならば、他のアクセス方法は考えられるわけですから、それは言い訳にはならないでしょう。

そして、これの最大の問題点は個人情報が流出していたことです。

ある歯科医院の映像がテレビ報道に出ていましたが、実際にストリーミング配信されていた映像は患者本人の顔が完全に出てしまっていました。

結論

監視カメラなどを設置する場合、設置業者任せにせずにご自身の目で確認をされることです。できなければ設置業者にチェックシートを出させることくらいは可能かと思います。これだけ多くの監視カメラ映像が流出していた以上、設置業者任せにしていると非常に危険ですので、事業者側も相応な意識を持つことが非常に重要です。

注：IDやパスワードがデフォルト（初期値）のままになっている以上、公開されているもとして扱われますので不正アクセスとして扱われません。