フィッシング詐欺とは、送信者を詐称した電子メールを送りつけたり、偽の電子メールから偽のホームページに接続させたりするなどの方法で、クレジットカード番号、アカウント情報（ユーザID、パスワードなど）といった重要な個人情報を盗み出す行為のことを言います。なお、フィッシングはphishingという綴りで、魚釣り（fishing）と洗練（sophisticated）から作られた造語であると言われています。

（総務省 / 国民のための情報セキュリティサイトより）

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

近年非常に多く拡散されている『フィッシングメール』、その多くは『大手企業（サービス）』をかたって拡散し続けられており、今年に入っても多数の『フィッシングメール』が拡散されていますので今日はそれをお伝えします。

フィッシングメール（2019年上期）

今年に入って確認されている『フィッシングメール』には以下のものがあります。

＜1月＞

・三井住友銀行をかたるフィッシングメール

・Amazonをかたるフィッシングメール

＜2月＞

・Amazonをかたるフィッシングメール

・三井住友銀行をかたるフィッシングメール

＜3月＞

・PayPalをかたるフィッシングメール

・ゆうちょ銀行をかたるフィッシングメール

・VJAグループ（Vpass）をかたるフィッシングメール

・Amazonをかたるフィッシングメール

＜4月＞

・メルカリをかたるフィッシングメール

＜5月＞

・MyEtherWalletをかたるフィッシングメール

・NTTグループカードをかたるフィッシングメール

＜6月＞

・MyJCBをかたるフィッシングメール

・MUFGカードをかたるフィッシングメール

・ゆうちょ銀行をかたるフィッシングメール

・楽天をかたるフィッシングメール

・セブン銀行をかたるフィッシングメール

・ドコモをかたるフィッシングメール

今年の前半だけでもこれだけの『フィッシングメール』が拡散されており、企業名やサービス名などが同じでも内容が変わっていたりします。

ちなみに、この7月も既に拡散されているものがあります。

『エポスカード』をかたる『SMS（ショートメッセージ）』です。

SMSに記載のURLには『http://epos-●●●●.com/、http://www.epos-●●●●.com/』にて誘導しているようですので、その他のものと併せてご注意ください。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

さて、自宅を就業場所とする『在宅勤務』、移動中や顧客先、カフェなどを就業場所とする『モバイルワーク』、所属するオフィス以外の他のオフィスなどを就業場所とする『サテライトオフィス勤務』、これらはすべて『テレワーク』となりますが、この『テレワーク勤務』において気をつけなければいけないことがあります。

テレワーク時のセキュリティ対策

あるセキュリティベンダーが『テレワーク』の際の『セキュリティ対策』に関して以下のようにまとめていました。

１．セキュリティ機能付きのUSBメモリや適切なクラウドサービスの利用

２．許可された私物端末へのセキュリティソフトの利用と最新状態の保持

３．OSやソフトウェアを適切に更新する（脆弱性の修正を適用する）

４．端末の盗難、紛失対策

５．第三者による画面ののぞき見対策

６．社内システムに安全にアクセスするためのVPNソフトの利用

７．安全なネットワークの選択と公衆Wi-Fi利用時のVPN利用

８．家庭内ネットワークの適切な保護

このような『テレワーク』時セキュリティポリシーは社内で必ず策定し、テレワーカーにはすべて遵守させる必要があります。

『テレワーク勤務』の導入は良いことではありますが、その影響で問題が起きてしまっては意味がありません。

例えば、『在宅勤務』のスタッフに対しては『家庭内ネットワークの保護』には『何を使って』、『どのように』保護しているかを申告させることなどは行った方が良いでしょう。

（リストにチェックを入れさせるだけでは少々甘い気がします。）

近年、IoT機器※を悪用したサイバー攻撃が増加していることから、利用者自身が適切なセキュリティ対策を講じることが必要です。
総務省及び国立研究開発法人情報通信研究機構（NICT）は、インターネットプロバイダと連携し、サイバー攻撃に悪用されるおそれのあるIoT機器の調査及び当該機器の利用者への注意喚起を行う取組「NOTICE（National Operation Towards IoT Clean Environment）」を平成31年2月20日（水）から実施します。
※　Internet of Thingsの略。インターネットに接続が可能な機器。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

皆さん、一昨日の2月20日（水）からインターネット上のIoT機器に対する調査が行われていることをご存知ですか？

今日はその件についてお伝えします。

総務省とNICTが行うNOTICEとは

冒頭に書いた通り、総務省とNICT（国立研究開発法人情報通信研究機構）がIoT機器の調査と注意喚起を行います。

この経緯として、昨今のあらゆるものがインターネット等のネットワークに接続されている時代においてサイバーセキュリティは非常に重要な課題です。

そして、諸外国においてはIoT機器を悪用した大規模なサイバー攻撃（DDoS攻撃）で深刻な被害が発生しています。

また、インターネット等のネットワークに接続されているIoT機器は用意に推察されるIDやパスワードが使われていることが多いのも事実で、これでは簡単に侵入を許し、諸外国のような深刻な被害を受けてしまう可能性が高いとも言えます。

さらには、2020年の東京オリンピック・パラリンピックなどを控えていることもあり、これらのセキュリティ性の弱いIoT機器を洗い出し、注意喚起を行っていくことは不可欠と言えます。

この実施に反対の意見もあるようですが、1つのIoT機器が被害に遭えばそこから連鎖し、自身のところの被害だけでは済まず第三者をも巻き込んでしまう可能性もありますので、全体で協力をしていくしかありません。

これに関する簡単な資料が総務省から出ていますので、下記をクリックして確認してみてください。

IoT機器調査及び利用者への注意喚起の取組「NOTICE」について（別紙1）

これを行ったことで3大携帯キャリアとフランチャイズ契約を結ぶ携帯ショップ（代理店）は悲鳴をあげるような事態となっています。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

事業者にとっても通信費の一部である携帯電話料金の増減は一定の意味を持ちます。

そして、それは現在マイナスの方向へ向かっているように感じませんか？

3大携帯キャリアの代理店が嘆く理由

街中に存在する携帯ショップ、これは3大携帯キャリアとフランチャイズ契約を結んだ代理店が行っていることはご存知かと思いますが、今、この携帯ショップ（代理店）は非常に苦戦しています。

理由は簡単で、2年くらい前から行われるようになった総務省の締め付けの影響によるものです。

携帯ショップの収益源は携帯キャリアからの販売奨励金が大きな柱でしたが、現在はそれが非常に厳しいものとなっています。

そして、携帯キャリアがショップ（代理店）への販売奨励金を少額にしたのも背景には『キャッシュバック合戦』に対する総務省の是正勧告を受けての措置です。

さて、この状態は誰が喜ぶのでしょうか？

強いて言えばMVNO（仮想移動体通信事業者）くらいでしょう。

元々は機種変更を行わない長期利用者などへの還元がされないことが不公平であるということから始まったものですが、これは違う形で還元する施策を打ち出せたはずです。

例えば、ユーザーに対して10,000円分のクーポンを配布し、機種変更、もしくは通信料金に充当ということにすれば公平な形となります。

それ以外は携帯ショップ（代理店）も生き延びていかないといけませんので、自社の利益に繋がるユーザーに対してプラスαな行為を行うことは普通の話しでしょう。

これはユーザー、携帯ショップ（代理店）、ともに得になる話しです。

昨今は通信料金が日本は4割程度高いという話しも出ていますが、これは正しいかもしれません。

現に3大携帯キャリアは儲け過ぎているという指摘の通り、かなり収益をあげています。

これに関しては特別携帯ショップ（代理店）が嘆く話しでもないですから行うべきでしょう。

さて、あなたはこの問題をどのように思うでしょうか？

ちなみに、現在は法人向けプランもメリットの打ち出せるものがあまりない状況ですので、携帯代理店の法人担当者は他の商材を提案することでメリットを打ち出しているような状況でもあります。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

今朝、トレンドマイクロ社のあるコラムを読んでいたところ、『ビジネスメール詐欺』に関連したものが紹介されていましたので、今日はそれをお伝えします。

類似ドメインを使ったなりすまし詐欺

事業者の場合、メールを送信する際に『なりすまし』対策の一つとして『SPF（送信元メールサーバのIPアドレス確認）』、『DKIM（電子署名確認）』、『DMARC（SPFとDKIMの認証を利用した認証と処理宣言）』といったドメイン認証を用いていることが多いですが、それを逆手に取ったような事象が起きています。

それは、『類似ドメイン』を使った『なりすまし』詐欺です。

例えば、example.comというドメインがあったとします。

この『example.com』になりすましたい場合、偽物のドメインとして『exarnple.com』というドメインを使い、事業者へ『請求書』などのメールを送りつけます。

この例によるポイントは、exampleの『m（エム）』を『rn（アール・エヌ）』に変えて模倣されている、『模倣ドメイン』であることです。

確かに、パッと見た限りでは『rn（アール・エヌ）』が『m（エム）』に見えてしまいます。

そして、この模倣ドメインと『SPF』、『DKIM』、『DMARC』といったドメイン認証を組み合わせることで余計に本物であるかのように見えてしまいます。

理由は簡単です。

模倣ドメインは攻撃者側が所有しているドメインですから、『SPF』、『DKIM』、『DMARC』、いずれも正常に認証をPassさせることができるからです。

『m（エム）』と『rn（アール・エヌ）』以外にも、『0（ゼロ）』と『O（オー）』、『o（オー）』と『a（エイ）』、『S（エス）』と『5（ゴ）』などがだましの模倣ドメインに使われていたりします。

このような『なりすまし』に対しては、徹底した社内教育に加え、それらを検知するセキュリティの導入などにてリスクを軽減する必要があるとされています。

参考：『ビジネスメール詐欺：DMARCなどドメイン認証のすり抜けを狙った手口』

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

さて、冒頭に何故そのようなことを書いたのか？

少々面白いというか、疑問に思うようなことがあったのでお話しします。

郵便局における面白い身分確認

郵便局と言っても、ゆうちょ銀行に関連する手続きが書面でしか行えないものがあり、外出のついでに窓口に立ち寄った時の話しですが、少々意味のないことと感じる身分確認でのやりとりがありました。

私：『〇〇の手続きを行いたいのですが、申請用紙をいただけますか？』

局員：『では、この用紙にご記入、お届け印の押印の上、お出しください。』

私：『記入と押印が終わりましたのでお願いします。』

局員：『今日は社員証など、代表者様と確認できるものを何かお持ちですか？』

さて、このやりとりに何か疑問を感じたりしませんか？

通常、銀行などの金融機関において社員証の提示などを求められたことはなく、通帳、届出印、個人の身分が証明できるもの（運転免許証など）、この3点くらいです。

文句が言いたいのではなく、通常、零細企業・小規模事業者などにおいて社員証などはあまり作成していないことであったり、代表者であることを証明できるものとなると、謄本を同時に提出したりすることくらいではないでしょうか。

（社員証は一応あるのですが、あまり意味がないので持ち歩いたりしていません。）

彼らが行いたかったのは、単純に社内で規定されているルールを遵守したかっただけのことだとは思いますが、これ、セキュリティ上、あまり意味のあることではありません。

社員証に記載の番号を控えたかったようなのですが、社員証そのものが偽造されたものであった場合には何の役にも立ちませんし、そもそも社員証程度のものは誰でも簡単に作ることができます。

それであれば、キャッシュカード＋パスワードを使うか、それでも社員による問題を懸念するのであれば、代表者本人ではない場合に備え、委任状をプラス要件にするなどした方がまだ良いのではないでしょうか。

結果的には問題なく手続きは完了したのですが、元が役所系だからなのか、何とも面白いルールがあるものです。

しかし、これに対して『パスワードの定期的な変更は不要』という考え方に変化してきています。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

総務省の『国民のための情報セキュリティサイト』にある、『IDとパスワード　設定と管理の在り方』を紹介するページでは、『パスワードを複数のサービスで使い回さない（定期的な変更は不要）』という文言が出てきます。

これは以前の考え方から変化していますが、何故そのように変化したのでしょうか？

パスワードの定期的な変更は不要

一部のインターネット記事を見ると、これはNISC（内閣サイバーセキュリティセンター）の見解を受けて変更されたようです。

しかし、NISCも他での見解を受けて方針を変更したのではないでしょうか？

約1年程前、米政府機関である『NIST（National Institute of Standards and Technology/アメリカ国立標準技術研究所』が発行する『電子認証に関するガイドライン』の新版からルールを変更するとされていました。

（参考：電子的認証に関するガイドライン by NIST）

これは、ユーザーに新しいパスワードへの変更を求めてもいい加減に作る傾向にあり、特別な理由がない限りはパスワード変更を求めるべきではないという考え方が専門家の間でも増えてきたこともあります。

また、NISTでは定期的なパスワード変更を止める代わりとして、最低64文字でスペースも入れられる『パスフレーズ』を推奨するとしています。

では、パスワード設定はどのように行うか？

パスワード生成を自動で行ってくれるツールを使うと良いです。

このようなものを使えば、個人に関連する情報が一切含まれず、英字の大文字・小文字、数字、記号、文字数、強度などを選択しながらパスワード生成を行うことができますので、非常に解読されにくいものであると言えます。

（参考：パスワードジェネレータ/Norton by Symantec）

そして、これを適切に管理さえしていれば、推測されやすいパスワードの定期的な変更よりも適切なものであると言えるでしょう。