パソコンの画面全体に偽のメッセージが表示され操作不能になる手口が増加中 - 意図せずダウンロードされたファイルを実行しないで！ - 2024年6月から、パソコンを使用中に突然、画面全体に偽のメッセージが表示されて、キーボードやマウスの操作を一切受け付けなくなり、電源を入れなおして再起動しても状況が変わらないという相談が寄せられています（本資料ではこの手口を「操作不能の偽メッセージ」と呼称します）。 メッセージには、マイクロソフトサポートへ電話をするように嘘のメッセージがあることから、これまでの「サポート詐欺（別名：偽のセキュリティ警告）」と同様に相談が寄せられていますが、ウェブブラウザに偽の警告を表示していたものとは手口が異なり、これまでのサポート詐欺の手口でご案内した対処が通用しないことが確認されています。 手口の詳細や原因および目的などは不明な部分が多いですが、継続して相談が寄せられて

背景 本プロジェクトは、ICSCoE7期生において、実業務で脆弱性対応を行う際に、日々公表される全ての脆弱性に対応しきれないという問題や、CVSS（Common Vulnerability Scoring System）基本値のスコアを脆弱性の対応優先度を決めるために利用するには不十分であると考え、これを解決すべく立ち上げられた。CVSS基本値が脆弱性そのものの深刻度を評価する点では有用であるものの、脆弱性の悪用状況やユーザの環境情報を考慮していないため、脆弱性対応の優先度を決定するために、単体で使用するのは適切ではないと考えた。また、CVSSやEPSS（Exploit Prediction Scoring System）などのリスク評価値を脆弱性対応の優先度付けに使用する場合、適切な閾値を設定する必要があると判断した。これらを踏まえて、評価値の妥当性や効率的な運用方法がないかという点につ

「偽セキュリティ警告画面」（サポート詐欺）はインターネットを閲覧中に突然表示されます。 あわてて画面をクリックすると、ディスプレイいっぱいに表示されてしまい、マウス操作で閉じることができなくなってしまいます。 このとき、表示されているサポート電話番号に電話をしてしまうと、思わぬ被害に遭います。 画面が表示されただけであれば、 パソコンは「コンピュータウイルス」には感染しておらず、「偽セキュリティ警告画面」を閉じるだけで問題ありません。 当窓口に寄せられる相談では、画面を閉じることができずに電話をかけてしまい被害にあう方が多くなっています。 そのため、偽のセキュリティ警告画面を疑似的に表示して、画面を閉じる操作を練習するための体験サイトを作成しました。 多くの方に画面の閉じ方を体験していただき、被害の未然防止につなげてください。 目次 はじめに（体験を実施する前に必ずご確認ください） 体験サ

独立行政法人情報処理推進機構（IPA）は、経済産業省からの要請を受けて、重要情報を扱うシステムにおけるサービスの安定供給にあたって、そのシステムのオーナーである管理者が、必要な対策を策定できる「重要情報を扱うシステムの要求策定ガイド」を公開しました。 概要 通信や電力などをはじめとした重要情報を扱うシステムには、サービスの安定供給が強く求められ、非平常時でも自らの統制力を確保する「自律性」が要求されます。一方で、ビジネス環境や技術環境がめまぐるしく変化する今日では、変化への対応力など「利便性」を備えたクラウドサービスなどへの要求も高まっています。そこでIPAは、重要情報を扱うシステムの構築・調達・運用時に、管理者が「自律性」と「利便性」の双方を両立したシステムの要求仕様を策定できるようガイドを定めました。 本ガイドは管理者が環境の変化を捉え、それに伴う問題・リスクや利便性の要素を整理し、対

編集・発行元 独立行政法人情報処理推進機構 発行日 2023年3月16日 サイズ A4 ページ数 397ページ ISBN 978-4-905318-78-1 定価 3,300円（本体価格3,000 円＋税10％） DX白書2023 進み始めた「デジタル」、進まない「トランスフォーメーション」 企業を取り巻く環境は目まぐるしく変化しており、将来の予測が困難となっています。そのため、企業にとって新たな事業環境にあわせた事業変革は優先度の高い取組事項となっています。このような中、企業は環境変化への迅速な対応や、システムのみならず企業文化をも変革していくDX（デジタルトランスフォーメーション）への取組が必要となっています。 IPAは2009年から「IT人材白書」、2017年から「AI白書」を発行し、IT人材や新技術の動向について情報を発信してきました。2021年には、デジタルトランスフォーメーショ

デジタルスキル標準 ビジネスパーソンがDXに関するリテラシーを身につけ変革により行動できるようになるための「DXリテラシー標準（DSS-L）」と、DXを推進する人材の役割や習得すべきスキルなどを定義した「DX推進スキル標準（DSS-P）」を紹介しています。

背景 私たちは中核人材育成プログラム 第5期受講生として、1年間にわたり様々な講義を受け、演習を実施してきました。その過程で、変化し続けるサイバーセキュリティの世界では、世界中の情報を的確に収集し成長を続けることが大事であることを学びました。 世界中の情報を利用するためには英語の力、中でもリーディングの力が不可欠です。しかし、私たち日本のセキュリティエンジニアの多くは英語に苦手意識を持っており、的確な情報活用ができていないのが現状です。 本プロジェクトは、日本のセキュリティエンジニアの情報収集力・成長力レベルアップのため、その手段としての英語リーディングの意欲・能力向上を目指して企画されました。実務や学習にお役立ていただければ幸いです。 想定利用者 日本語話者のセキュリティエンジニア全般ですが、中でも「ユーザー企業や官公庁で働く実務担当者」を主なターゲットとしています。「英語はちょっと……

編集・発行元 独立行政法人情報処理推進機構 発行日 2021年12月1日 サイズ A4 ページ数 386ページ ISBN 978-4-905318-76-7 定価 3,300円（本体価格3,000 円＋税10％） DX白書2021 日米比較調査にみるDXの戦略、人材、技術 企業を取り巻く環境は目まぐるしく変化しており、将来の予測が困難となっています。そのため、企業にとって新たな事業環境にあわせた事業変革は優先度の高い取組事項となっています。このような中、企業は環境変化への迅速な対応や、システムのみならず企業文化をも変革していくDX（デジタルトランスフォーメーション）への取組が必要となっています。 IPAはIT社会の動向を調査・分析し、情報発信するため、2009年から「IT人材白書」、2017年から「AI白書」を発行してきました。昨今、DXの進展に伴い、ITとビジネスの関係がさらに密接となっ

背景 近年,新型コロナウイルス感染症 (COVID-19)の蔓延によるリモートワーク利用の加速化やクラウド活用の増加により,社外から社内システムに接続する機会が増えてきています。 現状のセキュリティ対策は,境界型防御が主流であり,社内を「信用できる領域」,社外を「信用できない領域」として外部からの接続を遮断しています。しかし,昨今の社会変化により,社内のシステム環境へ社外から接続を行う機会が増えているため,境界型防御を元に検討されていたセキュリティモデルではサイバー攻撃の脅威を防ぎきれない状況になってきています。 これらに対するセキュリティ対策として,「ゼロトラスト」という概念が提唱されています。これは,社内外すべてを「信用できない領域」として,全ての通信を検査し認証を行うという考え方です。 しかし,ゼロトラストを導入しようと調査を進めると,多種多様な用語の説明からはじまり,多数の文献,製

ここでは、手口および対処、被害にあわないための対策について解説します。 なお、以下に掲載するiPhoneの画面は、相談内容等をもとにIPAが再現したものであり、実際の手口の画面とは異なる場合があります。 (脚注1) 本件に関するこれまでの相談件数 2016年：1件　2017年：0件　2018年：2件　2019年：0件　2020年：227件　2021年：79件（3月末時点） 1．手口の概要 iPhoneのカレンダーに身に覚えのないイベントが入ってしまうパターンには以下の2通りがあります。 (1)アカウント追加型（悪者の仕掛けたワナにハマってしまうケース） (2)イベント・カレンダー共有型（悪者から一方的に送られるケース） (1)アカウント追加型（悪者の仕掛けたワナにハマってしまうケース）の手口（2020年8月追加内容） サイト(脚注2)に表示される画面の「照会」などをタップしてしまう（図4）

実際の暗号システムがセキュアに動作し続けるためには、暗号アルゴリズム自体がセキュアであるだけでは不十分で、データが保護される期間中、その暗号アルゴリズムが使用する暗号鍵もセキュアに管理されている必要があります。そのため、暗号鍵やデータのライフサイクルを踏まえた運用、安全な暗号鍵の保管、暗号鍵危殆化時の対策などを行う上で参考となるガイドラインを取りまとめています。 「暗号鍵管理システム設計指針（基本編）」の内容 「暗号鍵管理システム設計指針（基本編）」は、あらゆる分野・あらゆる領域の全ての暗号鍵管理システムを対象に、暗号鍵管理を安全に行うための構築・運用・役割・責任等に関する対応方針として考慮すべき事項を網羅的に提供し、設計時に考慮すべきトピックス及び設計書等に明示的に記載する要求事項を取りまとめたガイドラインとして作成されたものです。 具体的には、暗号鍵管理の必要性を認識してもらうために「

5月15日からの数日間、IPAの安心相談窓口宛にWannaCryptor というランサムウェアに関する相談が多数寄せられました。(脚注1) WannaCryptorはネットワークを介して攻撃パケット(脚注2)を送出することで感染拡大を図る(脚注3)という特徴が、従来のランサムウェアには無い機能であったことからIPAでも注視していました（図1）。また、6月27日には海外でPetyaというOSを読み込む領域を破壊するランサムウェアの感染被害(脚注4)が報道されました。このPetyaもネットワークを介して感染拡大を図る機能を有していたことが確認されています。 これまでのランサムウェアの感染経路は主にメールやウェブサイトでした。しかし、今後はWannaCryptorやPetyaのような、新たに出現したネットワーク上に攻撃パケットを送出して感染拡大を図る手口により、更なる被害の発生(脚注5)も考えら

WordPress.org が提供する WordPress は、オープンソースのCMS（コンテンツマネジメントシステム）です。 WordPress には、REST API の処理に起因する脆弱性が存在します。 本脆弱性が悪用された場合、遠隔の第三者によって、サーバ上でコンテンツを改ざんされる可能性があります。 本脆弱性を悪用する攻撃コードが確認されていますので、対策済みのバージョンへのアップデートを大至急実施してください。 開発者は本脆弱性を 1 月 26 日に更新された「4.7.2」で修正しましたが、利用者の安全を確保するため、脆弱性の内容については 2 月 1 日まで公開を遅らせていたとのことです。今回のケースを教訓に、今後も最新版が公開された場合は早急にアップデートを実施してください。 2/7 更新 Sucuri 社によると、本脆弱性を悪用して多数のウェブサイトが改ざんされたとの情報

出展期間・場所 MAP (1) 2015年4月3日（金）～ 4月9日（木）【終了しました】 JR原宿駅 線路側ボード（ホームからご覧いただけます） (2) 2015年4月10日（金）～ 現在 JR原宿駅 道路側ボード（駅を降りて竹下口に面した道路よりご覧いただけます） 共催：独立行政法人情報処理推進機構(IPA)／公益財団法人 日本交通文化協会 後援：サイバーセキュリティ戦略本部／経済産業省／国立研究開発法人情報通信研究機構(NICT) 陽だまり家族とパスワード ～自分を守る３つのポイント～ 仲良し5人家族をある日突然襲ったなりすましや不正送金の被害…。脅威が高まるパスワード漏えいへの対策についてホームドラマを通してわかりやすく解説します。(時間：約10分)

IPA（独立行政法人情報処理推進機構、理事長：藤江一正）は、ウェブサイトの開発者や運営者向けの「安全なウェブサイトの作り方」にパスワードリスト攻撃への悪用防止対策等を新たに追加した改訂第7版を2015年3月12日（木）からIPAのウェブサイトで公開しました。 URL：https://www.ipa.go.jp/security/vuln/websecurity.html IPAでは、必要な技術的配慮が不足していたために起こるウェブサイトの情報漏えいや改ざん等、意図しない被害を防ぐため「安全なウェブサイトの作り方」を2006年から発行しており、これまでに6版を数えています。その内容には、IPAへの届出件数が多く攻撃による影響度が大きいソフトウェア製品やウェブアプリケーションに関する脆弱性関連情報を取り上げ、適切なセキュリティが考慮されたウェブサイト作成のためのポイントをまとめています。 7版