インターネットに接続されていないクローズドな環境に保管してある重要情報の"USBメモリによる移動"をターゲットにした攻撃を確認したとして30日、JPCERT/CCや@Policeが注意喚起を行っている。 攻撃は、接続されたUSBメモリの中のファイル一覧を取得し、標的とするファイルリストを作成、対象ファイルを圧縮してネットワークに繋がる感染端末に保存。外部へ送信するという仕組みを持つ。そのため、ネットワークに接続されていないPCに重要情報を保管し、USBメモリで移動しているようなケースでの情報窃取が懸念される。 対策として、以下を推奨している。 調査 ・「C:¥intel¥logs」や「C:¥Windows¥system32」の下に正規の実行ファイルに似た名前の実行ファイル（例：「intelUPD.exe」、「intelu.exe」、「IgfxService.exe」など） ・「intera

大日本印刷（DNP）は、マイナンバーカードを利用して、自治体の各種申請を効率化させる申請書作成支援システムを開発し、船橋市で実証実験を行ったと発表した。 このシステムはマイナンバーカードに記録された情報を読み取るソフトウエアを活用し、マイナンバーカード利用による自治体の各種申請を効率化させる申請書作成支援システム。 申請者はマイナンバーカードをカードリーダにかざし、カード券面の生年月日・有効期限・セキュリティコードを入力すると、カードのICチップに記録されている基本4情報（氏名・住所・性別・生年月日）が各申請書フォームに一括で入力される。 そして、自動入力された申請書は、自治体職員や申請者が取り扱いやすいよう、PDFデータとして提供する。氏名や住所などの基本情報を複数の申請書に一括で反映するため、申請書の作成時における記入漏れや入力ミスの防止につながり、申請者の書類作成負荷や受付窓口職員の

MM総研は2月28日、企業のマイナンバー制度に対応したシステム・サービスの導入実態に関する調査結果を発表した。これによると、マイナンバー制度への取り組みが完了している企業は約7割であり、最も対応が進むシステムは「人事・給与」、マイナンバー対応後の課題は「セキュリティ対策」が最多だったという。 同調査は同社が1月20日から23日にかけて、全業種でシステムやサービスの導入にあたり「決裁権がある」または「選定に関与する」立場の担当者を対象にWebアンケートにより実施したものであり、有効回答数は事前調査が2339人、本調査が700人。 事前調査でマイナンバー制度における社内のシステム対応状況を確認したところ、「既に完了した(自社内で対応)」が57.5%、「既に完了した(外部組織に委託)」の16.2%を合計すると、既に取り組みを完了している企業が73.7%に上るが、2017年に入っても4社に1社以上

1月26日(米国時間)、Threatpostに掲載された記事「Half of Ransomware Victims Pay Criminals' Demands to Recover Data｜Threatpost｜The first stop for security news」が、2016年におけるランサムウェアに関する調査結果を伝えた。これによると、ランサムウェアの被害を受けた企業の48%が身代金の支払いに応じており、平均の支払金額は2500米ドルに上るという。うち、7%はデータの復旧を求めるために1万米ドルを支払うというデータにも言及している。 ランサムウェアはファイルやディスクを勝手に暗号化するタイプのマルウェア。暗号化したファイルやディスクを元に戻してほしいのであれば身代金を支払うように要求してくることからランサムウェアと呼ばれている。身代金を支払っても暗号化されたデータが復号

就職・転職や本人確認の手続きなど、何かと必要となる住民票の写しや戸籍証明書。しかし、区役所や市民センター、区民事務所など手続きができる場所は限られているうえ、おおむね受付時間は平日の夕方まで。さらに施設が遠ければ有休の取得もやむを得ず、取得のたびに毎回申請書を書く手間やいつ終わるのかわからない順番待ちに苦労させられているビジネスマンも多いことだろう。 そこで今回は、手間も時間もかからないマイナンバーカードを使って、コンビニエンスストアで公的証明書を取得する方法を紹介しよう。 マイナンバーカードを活用する4つのメリット コンビニエンスストアで証明書を交付するメリットは、大きく4つある。1つは、利用時間が毎日6時30分～23時と、窓口が閉まった後や土日祝日にも対応しているので（12月29日～1月3日を除く）、有給や半休を使って時間を作る必要がなくなることだ。 2つ目のメリットは、住んでいる地域

新サービスは、ユーザーが概要版で30問、詳細版で150問程度のアンケートに回答することで、セキュリティ対策の現状レビューを行い、推奨する対応策を含めてレポートとして提示するもの。 アンケートの内容は米国国立標準技術研究所(NIST)が発行するコンピュータセキュリティ・インシデント対応ガイドに基づいており、「文書類の整備状況」「インシデント対応チームの構成」「インシデント対応の準備」「予防」「検知と分析」「封じ込め・根絶・復旧および事後活動」の6つのカテゴリーで構成されている。 申し込みはユーザーから直接受け、ユーザーはWeb上から回答を行い、コストをかけずに自社のセキュリティ対策の現状と有効性を把握し、最適なセキュリティ対策の検討を行うことができるという。その後、対応策のレポートに基づき、自社のサービスを適切に組み合わせてユーザーの状況にあったセキュリティ対策を提案する。

サイバー攻撃の多様化が進む中で、ソフトバンクが2016年に設立した「サイバーリーズン・ジャパン」は、これまでのセキュリティ製品とは一線を画する製品を提供する。10月に同社執行役員社長に就任した茂木正之氏と、マーケティング課 課長の末松 卓氏に同社製品の強みについて話を聞いた。 ソフトバンク 法人戦略の柱の一つを担うサイバーリーズン サイバーリーズン・ジャパンは米Cybereason(本社:ボストン)とソフトバンクの合弁会社であり、米本社は2012年にイスラエル国防軍出身者によって設立された。イスラエル国防軍は、サイバー攻撃/防御の双方の専門部隊を抱えており、ネット上のセキュリティの在り方の”すべて”を知り尽くしていると言ってもいい。 ソフトバンクは、このCybereasonへ2015年に既存株主らと共同で5900万ドル(約70億8000万円、当時)を出資し、翌年に日本法人を設立した。同社は

1月17日(米国時間)、Threatpostに掲載された記事「SHA-1 End Times Have Arrived｜Threatpost｜The first stop for security news」が、さまざまな業界でSHA-1からSHA-2への移行が叫ばれているものの、それは想定されているよりも難しい問題をはらんでいることについて伝えた。SHA-1の利用はすでにセキュアではないと評価されているが、そう簡単に移行は進まないようだ。 「SHA-1はもはやセキュアとは言えない」という評価は何年も前から発表されており、SHA-1を使ってきた業界はSHA-2などよりセキュアな技術への移行に取り組んできた。特にブラウザベンダーやオペレーティングシステムベンダー、認証局などがこの問題に積極的に取り組んできたが、クライアントからの要望などに応えるためにいくつもの妥協案の提案なども実施する状況に

JPCERT/CCが運営するフィッシング対策協議会は1月12日、「マイクロソフト をかたるフィッシング」の報告を受けたとして、注意を喚起した。 同日12時00分時点で、フィッシングサイトは稼働中であり、JPCERT/CC にサイト閉鎖のための調査を依頼中だという。 フィッシングメールの件名は「ご注意！！OFFICEのプロダクトキーが不正コピーされています。」で、メールによりユーザーに対し、プロダクトキーが不正コピーされたものかどうかを検証する偽のサイトに誘導し、個人情報やクレジットカード情報を窃取しようとしている。 フィッシングサイトのURLの例として、「http://microsoft-securityprotection-●●●●.com/」が挙げられている。

フィッシング対策協議会は1月6日、2017年以降、署名アルゴリズムである SHA-1のSSL / TLS サーバ証明書を利用するWebサイトは安全と見なされなくなり、警告が表示されるようになるとして注意を呼びかけた。 Webサイトでは、通信を暗号化するためにサーバ証明書を利用しているが、これまではSHA-1のSSL/TLS サーバ証明書が広く利用されてきた。しかし、安全性の問題から、マイクロソフトやGoogleといったブラウザベンダーや業界団体 (CA / Browser Forum)が、2017年以降、SHA-1のサーバ証明書のサポートを廃止する指針を表明しており、SHA-2に移行する取り組みが進められている。 これに伴い、SHA-1 証明書のサポートが廃止されたブラウザで、SHA-1 証明書を利用するWebサイトを閲覧した場合、警告が表示されるようになる。 Googleの場合、2017

新たな脅威やマルウェア感染対策として「多層防御」という言葉がよく使われています。そして誰もが一度は「なぜ多層防御が必要なのか?」と感じたはずです。 多層防御とは? これまでのマルウェア対策は「予防策」が重要とされてきました。ただ昨今、予防策をいくら講じても侵入を防ぎきれないと認識されており、こうした課題に対して「入口対策」「内部対策」「出口対策」という”多層”に分けて、それぞれの領域における対処策が求められることから「多層防御」という言葉が重要となるのです。 ではそもそも、マルウェアの活動目的はどこにあるのでしょうか? それは、前回解説した「ばらまき型メール攻撃」を始め、「やりとり型(ソーシャルエンジニアリング)攻撃」や「水飲み場型攻撃」などを起点に、情報搾取を目的としたものが中心となっています。 ここで重要なポイントは、さまざまな攻撃名称が付けられていても、最終的には侵入後に行動する「マ

JPCERTコーディネーションセンター(Japan Computer Emergency Response Team Coordination Center、JPCERT/CC)は12月21日、「Japan Vulnerability Notes(JVN)」に掲載した記事「JVNVU#99304449: Apache HTTP Web Server 2.4 における複数の脆弱性に対するアップデート」において、Apache HTTP Web Serverの脆弱性について伝えた。該当するソフトウェアを使用している場合は説明されている対策方法などを適用し、早期に問題に対処することが推奨される。 脆弱性の影響を受けるプロダクトおよびバージョンは次のとおり。 Apache HTTP Web Server 2.4.25よりも前のバージョン 該当するプロダクトおよびバージョンには複数の脆弱性が存在すると

2006年時点で世界の時価総額トップ10企業のほとんどは石油関係だった。それから10年がたった今、その多くがIT関連企業に入れ替わっている。加速度的に変化する世界で日本が再び存在感を示すためには何が必要なのだろうか。 25年間、情報セキュリティの分野に携わり、現在は内閣府参与 兼 経済産業省参与を務める齋藤ウィリアム浩幸氏の特別講演「情報とセキュリティ～見落とされているサイバー攻撃への対策～」が11月30日、「富士通セキュリティフォーラム2016」にて行われた。 日本と米国、2つの国でITの最前線に立ち続けた齋藤氏は、現在の日本について何を語るのか。 日本の生産性が落ちるワケ - なぜICTを活用できないのか? 齋藤氏は1991年、米国でベンチャー企業を立ち上げ、指紋照合と生体認証の技術で成功を収めた。以降25年間、情報セキュリティの分野に携わり、帰国後は内閣府参与として政府に協力している

従業員などのマイナンバーは、源泉徴収票など法定調書や給与支払報告書などに記載して来年1月に提出すると、以降は次の年の1月まで、従業員の退社があるときくらいしか利用することはありません。このように継続して雇用関係にある従業員のように次の年も継続的にマイナンバーの利用が予定されるものについては、「紛失・漏えいしないこと」に留意して「保管」しておくことになります。 一方、支払調書の支払先で、スポットで講演や原稿を依頼し今回は支払調書にマイナンバーを記載して提出しますが、来年は講演や原稿を依頼する予定がない場合は、支払先から取得したマイナンバーを「廃棄」しなければなりません。 今回は、この「保管」および「廃棄」のポイントをみていきましょう。 マイナンバー　保管できるもの・できないもの 従業員やその扶養親族のマイナンバーについて、個人情報保護委員会の「特定個人情報の適正な取り扱いに関するガイドライン

いまや企業にとって「情報」は最重要資産の1つであり、情報システム担当者に対しては、この情報を守る使命が課せられるようになっている。とはいえ、次々と新しいサイバー攻撃手法が登場するなど、情報セキュリティの世界は覚えなければならない知識が多すぎる。とりわけ中堅・中小企業の情報システム担当者にとっては、一人で行う業務が多岐にわたるなか、とてもセキュリティの勉強にまで時間も手間も割けられないというのが本音だろう。そこで本連載では、“必要最小限”をモットーに、情報システム担当者としてこれだけは知っておかねば“ダメ、ゼッタイ”なセキュリティ用語をテーマ別にコンパクトに解説する。第9回は情報漏えい対策についてだ。 相次ぐ大規模な情報漏えい事件を見ても、企業にとって情報漏えいを防ぐことがいかに大切であるかは誰もが理解できることだろう。もしも顧客情報などが漏えいしてしまえば、企業が被る信用失墜などのダメージ

日本レジストリサービス(JPRS; Japan Registry Services)は12月15日、「JPRSが次世代WHOISプロトコルに関するRFCの日本語参考訳を公開 / 株式会社日本レジストリサービス(JPRS)」において、RDAP(Registration Data Access Protocol)に関する日本語の参考訳を公開した。 公開された文書は次のとおり。 Registration Data Access Protocol(RDAP)におけるHTTPの利用 Registration Data Access Protocol(RDAP)のためのセキュリティサービス Registration Data Access Protocol(RDAP)のクエリ形式 Registration Data Access Protocol(RDAP)のためのJSON応答 権威を持つRegist

NECマネジメントパートナーは、コンピュータセキュリティインシデントに対応するための専門チーム「CSIRT」向けトレーニングコースの提供を2017年1月より開始すると発表した。 これは、セキュリティインシデント対応チーム(CSIRT)として必要な実践的な知識や対応について、短期間で効率的に学べるトレーニングコースを開講するもの。提供コースは、「CSIRT強化トレーニング ハンドリング編」「CSIRT強化トレーニング マルウェア感染対応編」「CSIRT強化トレーニング テクニカル編(CTF形式)」の3コースを用意している。

アシストは12月13日、同社が提供するイスラエルのEricomの製品を基盤としたダブルブラウザ・ソリューションのLinux版コンポーネントである「IVEXダブルブラウザLinux(日本ナレッジの開発製品)」の新バージョン 1.5.11の提供を開始した。 ダブルブラウザ・ソリューションは、標的型攻撃などのサイバー攻撃やランサムウェアから情報やIT資産を守るため、仮想ブラウザ方式でインターネット分離を行う。 最新版で提供する主な適用範囲の拡大は、仮想ブラウザとしてChrome、稼働プラットフォームとしてRed Hat Enterprise Linux 7.3にそれぞれ対応している。 Chromeのブラウザ対応については、これまでLinux版ダブルブラウザ・ソリューションは仮想ブラウザをFirefoxブラウザに限定していたが、特に自治体からの高いニーズに応え、Chromeのブラウザでも提供。 一

New Kit, Same Player: Top 10 Vulnerabilities Used by Exploit Kits in 2016｜Recorded Futureより抜粋 Recorded Futureは12月6日(米国時間)、「New Kit, Same Player: Top 10 Vulnerabilities Used by Exploit Kits in 2016」において、2016年にエクスプロイトキットで使われた脆弱性トップ10を発表した。トップ10のうちInternet Explorerが2つ、Flash Playerが6つと、この2つのアプリケーションの脆弱性が大半を占める結果となった。 発表された記事の主なポイントは次のとおり。 トップ10のうち、6つがAdobe Flash Playerの脆弱性とされており、2015年に続いてFlash Playerは

テレビ会議システムを導入したいものの、製品が多くどれを選べばいいかわからないとお悩みの方も多いでしょう。そこで本記事では、おすすめのテレビ会議システムを比較してご紹介。さらに、テレビ会議システムのメリットや選び方もあわせて解説します。 ...