IPA(独立行政法人情報処理推進機構 セキュリティセンター)およびJPCERT/CC(一般社団法人JPCERTコーディネーションセンター)は19日、個人事業者などが確定申告に用いる国税電子申告・納税システム「e-Tax」ソフトウェアに関して、インストーラが抱える脆弱性の情報を公開した。 この脆弱性は、「e-Tax」ソフトのインストーラに不備があり、意図しないDLLを読み込んでしまうというもの。悪用されると、e-Taxのインストーラを実行しているプロセスの権限で、任意のコードを実行される可能性がある。条件は「攻撃者の意図する場所に、細工されたDLLファイルが何らか方法で配置されている」ことなので、攻撃を成功させるにはそれなりのハードルがある。 2016年10月18日現在、対策方法は存在しない。IPAとJPCERT/CCは、e-Taxのインストーラを実行しないように呼びかけている。 国税上のW

e-Tax（国税電子申告・納税システム）ソフトのインストーラに脆弱性が判明し、情報処理推進機構とJPCERT コーディネーションセンターが10月19日、詳細情報を公開した。国税庁は14日にインストーラの公開を中止して、注意喚起を行っている。 それによると、脆弱性はDLL読み込み時の検索パスに関する処理の不備に起因し、インストーラ実行時に意図しないDLLを読み込んでしまうというもの。この脆弱性を悪用された場合、インストーラを実行しているプロセスの権限で任意のコードを実行される可能性があるという。 なお脆弱性を悪用するには、攻撃者の意図する場所に細工されたDLLファイルが何らかの方法で配置されていることが条件になるという。既にe-Taxソフトを利用している場合は脆弱性の影響を受けない。 国税庁は、脆弱性が存在するインストーラを使ってe-Taxソフトを新たに導入したり、更新したりせず、公開中止前

アドビ システムズが10月17日、電子サインサービス「Adobe Sign」を日本市場でも本格展開するため、最新バージョンの提供を開始し、サポート体制を充実させたことを明らかにした。Adobe Document Cloudの重要なサービスの1つとして、企業システムなどとも連携しつつ、業務やビジネスの効率化を支援する。 日本では、電子署名法が施行された2001年以降、文書や手続きの電子化が徐々に進んでいるが、企業内には「紙の書類にはんこを押す」文化が根強く残っている。AdobeがIDCに依頼して行った調査（The Document Disconnect 2015）によると、グローバルでも「意思決定の80％が依然として紙のプロセスに依存」しているという。これにより何が起きているかというと、回覧されているドキュメントの現在の状態がよく分からなかったり、承認に時間がかかりすぎたり、機密情報が誤って

ヤフーやニフティ、日本情報経済社会推進協会（JIPDEC）など8つの企業・団体は10月19日、送信ドメイン認証技術などを導入し、メールが正規のドメインから送られているかを受信者が確認できる「安心マーク」の官公庁に初導入したと発表した。愛媛県上島町が採用した。 送信ドメイン認証（DKIM：DomainKeys Identified Mail）と、法人の公式情報を提供する台帳「ROBINS」に登録されている企業情報を組み合わせ、官公庁の公式ドメインから送られたことを、「Yahoo！メール」など対応Webメールのサーバで認識。受信箱に「安心マーク」を表示する。 現在、自治体では、マイナンバー制度の施行に伴い、情報セキュリティの抜本的な対策が検討されているという。上島町は今回、住民や企業、関係者を守ることを目的に、安心マークの導入を決めたという。 安心マークは、2013年7月の参議院議員選挙のネッ

自動運転の時代になると、自動車がネットワークにつながるのが当たり前になる。もちろん、単にネットワークにつながり、外部から情報を取得するだけなら今の自動車でも実現できている。例えばカーナビゲーション向けの情報配信システムであるVICS。1996年にサービスを始めたVICSは、広域情報はFM多重放送で、走行場所近くのエリア情報は道路付近に設置した光ビーコン/電波ビーコンを使って、渋滞や交通規制など

9月30日、国家公務員の人事行政を行う人事院が「懲戒処分の指針について」というガイドラインの改正を行ったことを発表した。この改正では、公務員が必要な情報セキュリティに関する対策を怠った場合、停職や減給など懲戒処分の対象となることが新しく明記された。たとえ「わざと」でなくても、必要な対策を行わず情報を漏えいさせたり業務に支障が出たりした際にも懲戒処分されるという改正の意味と、民間企業への影響を考えてみたい。 公務員の情報セキュリティ不備、過失でも懲戒処分の対象に 官公庁へのサイバー攻撃で、最初に大きな問題となったのは、2000年の科学技術庁のホームページ改ざんだと言われている。2011年以降、満州事変にかかわる歴史的事件（9月18日の柳条湖事件）に関連したと思われるサイバー攻撃が毎年問題になっている。 2015年以降、この「特異日」とも言われた意図的な集中攻撃はなりを潜めているが、近年はアノ

Yahoo!情報漏えいに相次ぐDDoS攻撃、2016年9月のセキュリティ事件まとめ：セキュリティクラスタ まとめのまとめ 2016年9月版（1/3 ページ） 2016年9月のセキュリティクラスタでは、日本の多数のWebサイトが対象となったDDoS攻撃やMySQLのゼロデイ脆弱（ぜいじゃく）性、米Yahoo!からの大量のアカウント情報漏えいが話題となりました。 2016年9月はイルカ漁が再開したためか、日本の多数のWebサイトがDDoS攻撃を受け続けていました。8月末から9月頭にかけてはヨドバシカメラやスラドなどが狙われていましたが、その後は捕鯨に関連していそうなサイトに攻撃対象が変わっていきました。 また、MySQLにroot権限が窃取されるゼロデイ脆弱（ぜいじゃく）性が公開され、対応を余儀なくされていたユーザーも多かったようです。 そしてJapanじゃない方のYahoo!が攻撃を受け、5

富山大学では水素同位体の研究施設が標的型メール攻撃を受け、大量のデータが漏えいした。関西学院大学ではフィッシングにより個人情報が漏えい、神戸大学は不審メールの開封により業務用パソコンがランサムウェアに感染した。 ■富山大学の研究施設に標的型攻撃、個人情報含む大量データ漏えい 富山大学（富山市）は10月11日、水素同位体科学研究センターのパソコンが標的型メール攻撃を受けてマルウェアに感染し、情報が漏えいしたと発表した。6月14日に外部機関から情報提供を受け、同センターの非常勤職員が使用するパソコンが感染していたことが判明。調査の結果、同センターでは昨年11月に不審メールを3回受信していたことがわかった。最初の2回は添付ファイルを展開しなかったが、3回目は標的型メールで、受け取った職員が添付ファイルを展開してしまい、感染に至った。感染後から今年6月14日までの間、外部サーバーとの不審な通信、お