皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

昨年は『情報セキュリティ10大脅威公開』、一昨年は『情報セキュリティ10大脅威決定』という記事にて取り上げましたが、一昨日、IPA（独立行政法人情報処理推進機構）が『情報セキュリティ10大脅威2020』を公表しましたのでご紹介します。

これは、2019年に発生した社会的に影響が大きかったと考えられる情報セキュリティにおける事案から、IPAが脅威候補を選出し、情報セキュリティ分野の研究者、企業の実務担当者など約140名のメンバーからなる『10大脅威選考会』が脅威候補に対して審議・投票を行い、決定しています。

情報セキュリティ10大脅威2020

＜組織の10大脅威＞

1位：標的型攻撃による被害（昨年順位：1位）

2位：内部不正による情報漏えい（昨年順位：5位）

3位：ビジネスメール詐欺による金銭被害（昨年順位：2位）

4位：サプライチェーンの弱点を悪用した攻撃（昨年順位：4位）

5位：ランサムウェアによる被害（昨年順位：3位）

6位：予期せぬIT基盤の障害に伴う業務停止（昨年順位：16位）

7位：不注意による情報漏えい（規則は遵守）（昨年順位：10位）

8位：インターネット上のサービスからの個人情報の窃取（昨年順位：7位）

9位：IoT機器の不正利用（昨年順位：8位）

10位：サービス妨害攻撃によるサービスの停止（昨年順位：2位）

＜個人の10大脅威＞

1位：スマホ決済の不正利用（初）

2位：フィッシングによる個人情報の詐取（昨年順位：2位）

3位：クレジットカード情報の不正利用（昨年順位：1位）

4位：インターネットバンキングの不正利用（昨年順位：7位）

5位：メールやSMS等を使った脅迫・詐欺の手口による金銭要求（昨年順位：4位）

6位：不正アプリによるスマートフォン利用者への被害（昨年順位：3位）

7位：ネット上の誹謗・中傷・デマ（昨年順位：5位）

8位：インターネット上のサービスへの不正ログイン（昨年順位：8位）

9位：偽警告によるインターネット詐欺（昨年順位：6位）

10位：インターネット上のサービスからの個人情報の窃取（昨年順位：12位）

以上のような内容で公表されています。

組織においては廃棄予定のHDD（ハードディスクドライブ）が社員に不正に持ち出され、ネットオークションなどで転売されたことなど、『内部不正による情報漏えい』の順位が上昇しています。

また、個人においては『キャッシュレス決済』における『セキュリティ対策の不備』などにより『スマホ決済の不正利用』が初登場で1位という結果となりました。

こららの詳細な解説は、2月下旬にIPA 独立行政法人情報処理推進機構のウェブサイトにて公開予定となっています。

参考資料：『IPA プレスリリース『情報セキュリティ10大脅威 2020』を決定（PDFファイル：242KB）*』

（*）資料配布元：IPA 独立行政法人情報処理推進機構

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

iPhoneがアメリカで発売されたのが2007年、約12年前ですから14年前となるとスマートフォンやタブレットはなく、フィーチャーフォンの時代でした。

しかし、家庭向けの光回線も既に世に出ており、日本のインターネット人口は70%を超えるまで普及していました。

ということは、14年前には既にインターネット上の脅威にさらされていたということになります。

情報セキュリティの基本は今も昔も同じ

東京ビッグサイトでプレゼンテーションを行ったIPA（独立行政法人情報処理推進機構）の研究員はこのように語ったそうです。

14年分を振り返ってみると、『脆弱性を狙う』『フィッシングメールで人をだます』『内部漏えい』という主な手口は同じ。

その後、スマートフォンやタブレット、IoT機器の登場などにより環境は拡大し、脅威にさらされるものが増えた＝標的が増えたということはありますが、IPAの研究員はこのようにも述べています。

多数の脅威があるが、『攻撃の糸口』は似通っている。それを防ぐための基本的な対策の重要性も変わらない。

そして、以下の5つの対策を挙げています。

・ソフトウェアの更新

・セキュリティソフトの利用

・パスワードの管理、認証の強化

・設定の見直し

・脅威、手口を知る

この5つです。

つまり、技術の進化とともに攻撃手法はどんどん巧妙になってきてはいるものの、それへの対策の基本は同じということです。

今も昔も情報セキュリティの基本は同じなのです。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

昨年も『情報セキュリティ10大脅威決定』という記事にて取り上げましたが、昨日、IPA（独立行政法人情報処理推進機構）が『情報セキュリティ10大脅威2019』を公表しましたのでご紹介します。

これは、2018年に発生した社会的に影響が大きかったと考えられる情報セキュリティにおける事案から、IPAが脅威候補を選出し、情報セキュリティ分野の研究者、企業の実務担当者など約120名のメンバーからなる『10大脅威選考会』が脅威候補に対して審議・投票を行い、決定しています。

情報セキュリティ10大脅威2019

＜組織の10大脅威＞

1位：標的型攻撃による被害（昨年順位：1位）

2位：ビジネスメール詐欺による被害（昨年順位：3位）

3位：ランサムウェアによる被害（昨年順位：2位）

4位：サプライチェーンの弱点を悪用した攻撃の高まり（初）

5位：内部不正による情報漏えい（昨年順位：8位）

6位：サービス妨害攻撃によるサービスの停止（昨年順位：9位）

7位：インターネットサービスからの個人情報の窃取（昨年順位：6位）

8位：IoT機器の脆弱性の顕在化（昨年順位：7位）

9位：脆弱性対策情報の公開に伴う悪用増加（昨年順位：4位）

10位：不注意による情報漏えい（昨年順位：12位）

＜個人の10大脅威＞

1位：クレジットカード情報の不正利用（昨年順位：1位*1）

1位：フィッシングによる個人情報等の詐取（昨年順位：1位）

3位：不正アプリによるスマートフォン利用者への被害（昨年順位：4位）

4位：メール等を使った脅迫・詐欺の手口による金銭要求（初）

5位：ネット上の誹謗・中傷・デマ（昨年順位：3位）

6位：偽警告によるインターネット詐欺（昨年順位：10位）

7位：インターネットバンキングの不正利用（昨年順位：1位）

8位：インターネットサービスへの不正ログイン（昨年順位：5位）

9位：ランサムウェアによる被害（昨年順位：2位）

10位：IoT 機器の不適切な管理（昨年順位：9位）

（*1）クレジットカード被害の増加とフィッシング手口の多様化に鑑み、2018年個人1位の『インターネットバンキングやクレジットカード情報等の不正利用』を本年から、①インターネットバンキングの不正利用、②クレジットカード情報の不正利用、③仮想通貨交換所を狙った攻撃、④仮想通貨採掘に加担させる手口、⑤フィッシングによる個人情報等の詐取、に分割。

以上のような内容で公表されています。

また、今後の脅威に対する懸念として、AI（人工知能）を用いた新たなサイバー攻撃に対しても触れられています。

参考資料：『情報セキュリティ10大脅威 2019（PDFファイル：3.98MB）*2』

（*2）資料配布元：IPA 独立行政法人情報処理推進機構

近年、IoT機器※を悪用したサイバー攻撃が増加していることから、利用者自身が適切なセキュリティ対策を講じることが必要です。
総務省及び国立研究開発法人情報通信研究機構（NICT）は、インターネットプロバイダと連携し、サイバー攻撃に悪用されるおそれのあるIoT機器の調査及び当該機器の利用者への注意喚起を行う取組「NOTICE（National Operation Towards IoT Clean Environment）」を平成31年2月20日（水）から実施します。
※　Internet of Thingsの略。インターネットに接続が可能な機器。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

皆さん、一昨日の2月20日（水）からインターネット上のIoT機器に対する調査が行われていることをご存知ですか？

今日はその件についてお伝えします。

総務省とNICTが行うNOTICEとは

冒頭に書いた通り、総務省とNICT（国立研究開発法人情報通信研究機構）がIoT機器の調査と注意喚起を行います。

この経緯として、昨今のあらゆるものがインターネット等のネットワークに接続されている時代においてサイバーセキュリティは非常に重要な課題です。

そして、諸外国においてはIoT機器を悪用した大規模なサイバー攻撃（DDoS攻撃）で深刻な被害が発生しています。

また、インターネット等のネットワークに接続されているIoT機器は用意に推察されるIDやパスワードが使われていることが多いのも事実で、これでは簡単に侵入を許し、諸外国のような深刻な被害を受けてしまう可能性が高いとも言えます。

さらには、2020年の東京オリンピック・パラリンピックなどを控えていることもあり、これらのセキュリティ性の弱いIoT機器を洗い出し、注意喚起を行っていくことは不可欠と言えます。

この実施に反対の意見もあるようですが、1つのIoT機器が被害に遭えばそこから連鎖し、自身のところの被害だけでは済まず第三者をも巻き込んでしまう可能性もありますので、全体で協力をしていくしかありません。

これに関する簡単な資料が総務省から出ていますので、下記をクリックして確認してみてください。

IoT機器調査及び利用者への注意喚起の取組「NOTICE」について（別紙1）

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

昨今、インターネットに接続されたIoT機器がサイバー攻撃を受ける被害が多発しています。

それを受けてと思われますが、NICT（国立研究開発法人情報通信研究機構）が事前調査を行うようです。

NICTによるIoT機器等の事前調査実施

国立研究開発法人情報通信研究機構（NICT）は、パスワード設定等に不備のあるIoT機器の調査等をNICTの業務に追加（５年間の時限措置）する「電気通信事業法及び国立研究開発法人情報通信研究機構法の一部を改正する法律」が今月1日に施行されたことを受け、同調査等の業務の実施（今年度内に開始予定）に向けた検討、準備を進めてまいります。
今後の具体的な検討にあたっては、日本国内でインターネットに接続されたIoT機器等につき、当該接続状況などの全体的な傾向、概数等を把握する必要があることから、ポート開放状況の把握など、現状に関して、事前の準備のための調査を実施することといたします。

このように、NICT（国立研究開発法人情報通信研究機構）が来週の14日から事前調査を実施するようです。

事前調査の内容としては、日本国内のIPv4アドレスを対象に、以下のポートスキャンが実施され、ポートの開放状態のアドレス数の規模などが調査されます。

・22Port/TCP（SSH）

・23Port/TCP（Telnet）

・80Port/TCP（HTTP）

・etc…

また、ポート開放状態のアドレスに対してバナー情報（機器自身が公開しているサービスの種類やバージョンなどを知らせるメッセージ）の取得を行い、サービス種類やバージョン情報、機器種別などの状況調査を行うとしています。

事前調査に使用されるIPアドレスは以下の通りです。

210.150.186.238

122.1.4.87
122.1.4.88

このIPアドレスから実施されます。

以上、ご参考までに。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

さて、今日は『Wi-Fi』に関するお話しです。

今、一般的には『WPA2』という暗号化技術が多く使われているかと思いますが、これも昨年脆弱性が発覚してしまいました。

それにより、今年（2018年）の終わりには新たな技術が提供されてくると思われます。

Wi-Fiのセキュリティが進化する

今年の夏前、Wi-Fi Allianceは『WPA2』よりセキュリティが強化された『WPA3』を発表しました。

（厳密には個人用の『WPA3-Personal』と企業用の『WPA3-Enterprise』の2つのタイプがあります。）

＜WPA3の強化ポイント＞

WPA3で強化されたものには以下のものがあります。

○　ブルートフォース攻撃に対する防御

この攻撃は、パスワードや暗号をさまざまなパターンで試す、『総当たり攻撃』と呼ばれるているものです。

これに対する防御は、仮にパスワードが破られたとしてもWi-Fi通信の暗号を解くことができないようになっているとされています。

また、企業用のWPA3には機密データ向けの防御機能も用意されているようです。

＜公衆無線LANへの新規格も登場する＞

もう1つ、SSIDやパスワードが公開されているような『公衆無線LAN』はどうなるのか？ですが、それにも新規格が登場します。

○　Wi-Fi Certified Enhanced Open

従来、公衆無線LANを使う際には『VPN』などにて通信を暗号化しないと通信を傍受されてしまう可能性がありました。

しかし、それを解消してくれる『Wi-Fi Certified Enhanced Open』という新規格も登場します。

この『Wi-Fi Certified Enhanced Open』は、中間者攻撃を回避するための『VPN』などを使わなくても通信を暗号化してくれるものです。

従って、この規格に対応した整備がなされれば知識のない人でも安全に公衆無線LANを使えるようになるという、公衆無線LANを前提とした規格となっています。

＜IoT向けもある＞

その他、IoT（モノのインターネット）向けと言えるものも登場します。

○　Wi-Fi Easy Connect

IoT向けのデバイスはディスプレイを備えていないものもあります。

そんなIoTデバイスをスマートフォンでQRコードをスキャンし、安全にネットワークに加える『Wi-Fi Easy Connect』も登場します。

このセキュリティ更新プログラムには、深刻度が『緊急』のものが含まれていますので、早急なアップデートが望まれます。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

日本時間の8月15日、Microsoft（マイクロソフト）から2018年8月のセキュリティ更新プログラムがリリースされました。

今回も緊急度の高い脆弱性修正が含まれていますので、今日はそれをお伝えします。

2018年8月のセキュリティ更新プログラム

今回も、Windowsをはじめとする多くのアプリケーションに対するセキュリティ修正などが行われています。

また、リモートからの攻撃によって任意のコードが実行されるなどの脆弱性が修正されていますので、早めにMicrosoft Update、もしくはWindows Updateなどにてセキュリティ更新プログラムを適用することが望まれます。

8月のセキュリティ更新には以下のソフトウェアのセキュリティ更新となっています。

・Internet Explorer

・Microsoft Edge

・Microsoft Windows

・Microsoft Office、Microsoft Office Services および Web Apps

・ChakraCore

・Adobe Flash Player

・.NET Framework

・Microsoft Exchange Server

・Microsoft SQL Server

・Visual Studio

また、Microsoftによると、一部の脆弱性の悪用を確認しているとのことで、脆弱性を悪用した実証コードも確認しており、任意のコードが実行可能であることを確認しているとのことです。

ご参考までに。

このセキュリティ更新プログラムには、深刻度が『緊急』のものが含まれていますので、早急なアップデートが望まれます。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

日本時間の今日、Microsoft（マイクロソフト）から2018年7月のセキュリティ更新プログラムがリリースされました。

今回も緊急度の高い脆弱性修正が含まれていますので、今日はそれをお伝えします。

2018年7月のセキュリティ更新プログラム

今回も、Windowsをはじめとする多くのアプリケーションに対するセキュリティ修正などが行われています。

また、リモートからの攻撃によって任意のコードが実行されるなどの脆弱性が修正されていますので、早めにMicrosoft Update、もしくはWindows Updateなどにてセキュリティ更新プログラムを適用することが望まれます。

以下、今回の対象製品です。

・Internet Explorer

・Microsoft Edge

・Microsoft Windows

・Microsoft Office and Microsoft Office Services and Web Apps

・ChakraCore

・Adobe Flash Player

・.NET Framework

・ASP.NET

・Microsoft Research JavaScript Cryptography Library

・Skype for Business and Microsoft Lync

・Visual Studio

・Microsoft Wireless Display Adapter V2 Software

・PowerShell Editor Services

・PowerShell Extension for Visual Studio Code

・Web Customizations for Active Directory Federation Services

中でも、深刻度が『緊急』のものに関しては以下のものがあります。

・スクリプト エンジンのメモリ破損の脆弱性

・Microsoft Edge のメモリ破損の脆弱性

・Chakra スクリプト エンジンのメモリ破損の脆弱性

・Microsoft Edge の情報漏えいの脆弱性

ご参考までに。

このセキュリティ更新プログラムには、深刻度が『緊急』のものが含まれていますので、早急なアップデートが望まれます。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

日本時間の昨日、Microsoft（マイクロソフト）から2018年6月のセキュリティ更新プログラムがリリースされました。

今回も緊急度の高い脆弱性修正が含まれていますので、今日はそれをお伝えします。

2018年6月のセキュリティ更新プログラム

2018年6月のセキュリティ更新プログラムの中には、深刻度が『緊急』のもの（Spectre Variant 4 緩和策対応を含む）が含まれており、脆弱性が悪用された場合、アプリケーションプログラムが異常終了したり、攻撃者によってパソコンを制御されたりするなどの被害が発生する可能性があり、かつ、その後の影響も大きいため、Microsoft Update、もしくはWindows Updateなどにて早急にセキュリティ更新プログラムを適用することがアナウンスされています。

脆弱性に関する内容は以下の通りです。

・Microsoft Edge のメモリ破損の脆弱性

・Windows のリモートでコードが実行される脆弱性

・Windows DNSAPI のリモートでコードが実行される脆弱性

・Chakra スクリプト エンジンのメモリ破損の脆弱性

・HTTP プロトコル スタックのリモートでコードが実行される脆弱性

・Internet Explorer のメモリ破損の脆弱性

・メディア ファンデーションのメモリ破損の脆弱性

・スクリプト エンジンのメモリ破損の脆弱性

などとなっており、Microsoft Office 関連の脆弱性もリリースされています。

また、Adobe Flash Player の脆弱性対応は、数日前に先行してリリースされています。

ここ数日の間にWindowsなどが更新された形跡がなければ、手動でWindows Updateなどを行うことをお勧めします。

既に一部の脆弱性の悪用が確認されていることもあり、早急なアップデートが望まれます。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

日本時間の今日、Microsoft（マイクロソフト）が公開した2018年5月のセキュリティ更新プログラムがリリースされましたが、緊急度の高い脆弱性の修正が含まれていますので、今日はその情報です。

2018年5月のマイクロソフトセキュリティ更新

2018年5月のセキュリティ更新プログラムの中には、深刻度が『緊急』、『重要』のセキュリティ更新プログラムが含まれており、既に悪用が確認されているところもあるため、Microsoft Update、もしくはWindows Updateなどにて早急にセキュリティ更新プログラムを適用することが望ましいとされています。

本日公開されたセキュリティ更新プログラムは以下の通りです。

・Adobe Flashのセキュリティ更新プログラム

・Internet Explorer

・Microsoft Edge

・Microsoft Windows

・Microsoft Office、Microsoft Office Servers および Web Apps

・ChakraCore

・Adobe Flash Player

・.NET Framework

・Microsoft Exchange Server

・Windows Host Compute Service Shim

また、新たに確認された脆弱性の最大深刻度と影響は以下の通りです。

・Windows 10 および Windows Server 2016 (Microsoft Edge を含む)：緊急／リモートコードが実行される

・Windows 8.1 および Windows Server 2012 R2：緊急／リモートコードが実行される

・Windows Server 2012：緊急／リモートコードが実行される

・Windows RT 8.1：緊急／リモートコードが実行される

・Windows 7 および Windows Server 2008 R2：緊急／リモートコードが実行される

・Windows Server 2008：緊急／リモートコードが実行される

・Internet Explorer：緊急／リモートコードが実行される

・Microsoft Office 関連のソフトウェア：重要／リモートコードが実行される

・Microsoft SharePoint 関連のソフトウェア：重要／リモートコードが実行される

・Microsoft Exchange Server：重要／リモートコードが実行される

・Microsoft .NET ソフトウェア：重要／セキュリティ機能のバイパス

・SDK for Azure IoT：重要／情報漏えい

・ChakraCore：重要／リモートコードが実行される

・Adobe Flash Player：重要／リモートコードが実行される

・Windows Host Compute Service Shim：重要／リモートコードが実行される

ここ数日の間にWindowsなどが更新された形跡がなければ、手動でWindows Updateなどを行うことをお勧めします。