ソリトンシステムズは日本人ユーザーによるとみられるパスワードの漏洩（ろうえい）実態を調査し、最も多かった「123456」、2位は「password」、3位は「123123」だったと公表した。同社は「誰でも推測できるパスワードは機能として安全ではない。簡単なパスワードを設定できないようにしてほしい」と改めて訴えている。 同社は、1月～8月にサイバー攻撃を受けてネット空間に個人情報などが流出した276の情報漏洩事件を分析した。国内事業者29サイトの漏洩分と、海外事業者247サイトの漏洩分のうち末尾が「.JP」のメールアドレスを日本人分と推計して集計した。 確認されたパスワードの種類は216万種にのぼり、最も多かったのが「123456」。4位に「qwerty」や8位の「1q2w3e4r」など、キーボードの配列をなぞったケースも目立った。 5位が「111111」、6位は「000000」、9位は「x

動向が気になるニュースが流れてきました。京都大学で2024年11月に開催される学園祭のポータルサイトが不正アクセスを受け、データが削除されたことが発表されました。なお、削除されたデータはバックアップを取得していたとのことです。 筆者はこのインシデント聞いたとき、サイバー攻撃が本当に"見境がなくなっている"と感じました。かつては中小企業のセキュリティ対策が進まない理由として、社長が「ウチに重要な情報などないので、ハッカーが狙うことはない」と考えている時代もありました。 しかし昨今は、例え学園祭のポータルサイトという、一部の人だけが知っているようなシステムすらもサイバー攻撃の標的になってしまうのです。脆弱（ぜいじゃく）なシステムを運用していても、サイバー攻撃者に見つからなければ攻撃を受けないという甘えはもう通用せず、インターネットにつながった瞬間から、全てのシステムが標的になっていると考えた方

ついにWindows 10のサポート終了まで1年を切りました。さまざまな事情があるかとは思いますが、セキュリティ的にもOSのアップグレードは必須でしょう。これに加えてもう一つ、無視できない“サポート終了”の期限が迫っているようです。

米国サイバーセキュリティ・インフラストラクチャ・セキュリティ庁（以下、CISA）は2024年10月9日（現地時間）、Fortinet製品の深刻な脆弱（ぜいじゃく）性（CVE-2024-23113）が活発に悪用されているとし、「既知の悪用された脆弱性カタログ」（KEV：Known Exploited Vulnerabilities Catalog）に追加したと報告した。 CVE-2024-23113は2024年2月に見つかったものだが、対処していないユーザーには再度の確認が求められている。 FortiOSの重大な脆弱性で悪用確認　対処済みかいま一度確認を CVE-2024-23113は、「FortiOS」の「fgfmdデーモン」の外部制御の文字列フォーマット脆弱性を悪用されたときに、認証されていないリモートユーザーが細工したリクエストを使うことでコード実行できるというものだ。 この脆弱性の深

IPAの「情報セキュリティ10大脅威」でも長くランクインしていることから分かるように、内部不正は実は深刻なリスクです。これにどう対処すればいいか企業が頭を悩ませる中、直近で2つの“興味深い”内部不正事案が発生しました。 企業を狙うサイバー脅威はランサムウェアを含むマルウェアや脆弱（ぜいじゃく）性といった外部からのものだけではありません。従業員などがシステムに対し不正にアクセスしたり、破壊したり、情報を持ち出したりする「内部不正」についても、私たちは想定しておく必要があります。 これまで内部不正については、「共有ID／パスワードを悪用してシステムを操作しデータを盗み出す」ことや「退職したにもかかわらずIDが有効のままで、それを使いシステムを破壊する」こと、「業務外でVPNに接続して不正アクセスを実行する」といったケースが想定されていたと思います。解雇を告げられた腹いせにシステムを破壊したり、

このコーナーでは、2014年から先端テクノロジーの研究を論文単位で記事にしているWebメディア「Seamless」（シームレス）を主宰する山下裕毅氏が執筆。新規性の高い科学論文を山下氏がピックアップし、解説する。 X： ＠shiropen2 「組織はユーザーに定期的なパスワード変更を要求してはならない」──米国政府機関の米国立標準技術研究所（NIST）が、そんな内容を含めた新しいガイダンス「SP800-63B」を発表した。パスワードの内容は、セクション3.1.1に記されている。 多くの人々が新しいパスワードを考え出し、それを覚えることに苦労している。セキュリティ上の理由から、多くの組織がユーザーや従業員に定期的なパスワードの変更を要求し、もしくは義務付けている。しかし今、米国政府はソフトウェアやオンラインツールを作成・運用する組織にこの慣行をやめるよう呼びかけている。 これは、Webサイト

DX（デジタルトランスフォーメーション）の進展や、コロナ禍以降のテレワークシフト、出社回帰など、近年、情報システム部門の負担を増やすような出来事が次々と起こっている。 情報システム部門の負荷を軽減したいと考えるときに、選択肢の一つとなるのが業務の一部を切り出してIT系BPOサービスに委託することだ。 しかし、キーマンズネットの調査によると、サービスの認知度が高い割に、回答者の多くが「利用予定なし」と答えた。その理由とは。 IT系BPOサービスを実際に利用している企業が感じたメリットやデメリットと併せて紹介する。

すごい資料を読んだ気がします。日本ネットワークセキュリティ協会（JNSA）の調査研究部会インシデント被害調査ワーキンググループは2024年7月18日、「サイバー攻撃を受けるとお金がかかる～インシデント損害額調査レポートから考えるサイバー攻撃の被害額～」という、非常にダイレクトに意図が伝わるタイトルの資料を公開しました。 この資料は社内研修などでも活用できるようにpptx形式で配布されています。JNSAが伝えたい「サイバー攻撃を受けるとお金がかかる」をシンプルに、そして詳細に伝える、大変素晴らしい資料になっているので、ぜひご一読ください。 一方で資料を一読した皆さんは「そんなこと当たり前では」と思ったことでしょう。筆者もこの資料で伝えたいことは理解しているつもりですし、このポイントこそが今、最も理解すべきものだと考えています。それでも実直に、繰り返し、たった一つのことを分かりやすく伝える資料

社会全体でデジタル化が進展し、行政においてもITによる業務改善や住民サービスの向上が進んでいる。そうした中、新たなサービスの迅速な展開や自治体の人的、財政的負担の軽減を目的としたシステム標準化施策として「ガバメントクラウド」の取り組みが注目を集め続けている。 「住民記録」「税務」など、20の基幹業務において自治体が独自に運用している基幹業務システムを標準化してガバメントクラウド上に移行。ガバメントクラウド上には国が選定したクラウドサービス事業者が提供するサービス群が用意されているため、システムの構築、運用負荷を下げながら、よりセキュアで利便性、柔軟性が高いシステムに刷新できる。 だが、ガバメントクラウドに移行するには、システム標準化やクラウド移行に関するノウハウ不足という壁を越えなければならない。対応期限の2025年度末が迫る中、この一大プロジェクトを成功させるにはどうすればいいのか。「ガ

サイバーセキュリティを手掛ける日本プルーフポイント（東京都千代田区）は9月5日、日米における「なりすましメール」対策についての分析結果を発表した。自社のドメインになりすました詐欺メールについて、第三者への配信を防ぐ有効な対策を実施しているのは、日本の大企業のうち2割にとどまっていることが分かった。 DMARCは、詐欺メールの手法である「ドメインのなりすまし」の対策に有効な認証技術。導入企業は自社になりすましたメールに対して、受信を完全に拒否する「Reject（拒否）」、受信者のスパムフォルダに振り分ける「Quarantine（隔離）」、保護機能を持たない「None（監視のみ）」のいずれかの措置を取れる。 DMARCの導入率は、日経255企業のうち83％に上っており、2023年12月の60％から23ポイント増となった。しかし、メール自体の抑止につながる「Reject（拒否）」または「Quar

情報処理推進機構（IPA）は8月30日、サイバーインシデントの対応時に求められる社内コミュニケーションのノウハウをまとめた資料「サイバーレジリエンスのためのコミュニケーション ～セキュリティ担当者に必要なコミュニケーションスキル集～」を公開した。 サイバーレジリエンスとは、サイバー脅威の侵入を前提にし、被害を最小限にとどめて早期にシステムを復旧させるための考え方のこと。資料では有事や、それに備えた平時の社内コミュニケ―ションに焦点を当て、留意すべき点を約60ページにわたって解説している。 例えば部署間コミュニケーションのノウハウについて説明する章では、セキュリティ部署が他部署と連携する際につまずきやすい点を整理。IT環境とOT（工場設備の制御・運用）環境それぞれで、「専門用語を使わない」「判断はYes／Noで回答可能な状態にしておく」など、つまずきのないコミュニケーションをするための知見を

イセトー（京都市）は9月2日、サイバーセキュリティに関する認証「ISO27001」「ISO27017」が、審査機関によって一時停止になったと発表した。同社は5月下旬、ランサムウェア攻撃の被害を発表。以降、同社に事業を委託していた自治体や企業が続々と、イセトーに委託していた業務に関する情報漏えいの可能性を発表している。 停止になったのは、同社の拠点「情報処理センター」「関西情報処理センター」に対するISO27001認証（情報セキュリティマネジメントシステムに関する認証）と、帳票の電子交付サービスや電子手続きサービスなどに対するISO27017認証（クラウドセキュリティに関する認証）。 このうち、ISO27017認証については、今回のランサムウェア攻撃とは直接関係のない認証だが、ISO27001認証に依拠して認められたもののため、一時停止の対象になったという。イセトーは再発防止策を講じ、12月

デジタル庁は8月30日、マイナポータルに出生届のオンライン提出機能を追加した。出生届は、産まれた日から14日以内に市区町村に提出する必要があり、従来は、窓口まで書類を持参する必要があったが、マイナポータルを使えば、スマートフォンなどから提出可能だ。 利用には、親の本籍地の市区町村が対応している必要がある。まず福島県郡山市など3自治体が対応する マイナポータルに「出生届の提出」メニューから、産まれた子の氏名や両親などの情報を入力し、医療機関から取得した出生証明書の画像データを添付して提出すると、市区町村が届出を処理し、処理状況を通知する。 8月30日から対応するのは福島県郡山市のみ。その後、富山県高岡市、宮崎県都城市が対応することが決まっている。市区町村は、デジタル庁が事前に用意した届出書の様式を使用することで簡単にサービスを開始できるという。 出生届のオンライン提出には従来、出生証明書に医

大分大学は8月26日、同大図書館が提供する貴重書アーカイブの公開用サーバが不正アクセスを受けて改ざんされ、海外のWebサイトに誘導される状態になっていたと発表した。同サーバは運用を終了し、別途再構築しているという。個人情報などの漏えいはない。 7月30日に学外から、同大のサイトが、改ざんまたは不適切な埋め込みの被害を受けている可能性があると通報があり、調査したところ、同サーバが不正アクセスを受けていることが分かった。 サーバで利用していたPHPの脆弱性が突かれ、学外からのHTTPを用いた攻撃を受けてサーバ上のファイルが改ざんされてSEOポイズニングを受けたという。これにより、同サーバのドメインに対するGoogleの検索結果が汚染され、海外のWebサイトに誘導されるようになっていた。 今後は、学外公開しているサーバのセキュリティ対策の確認・指導などを通じて再発防止に取り組むとしている。 関連

発送物の印刷や送付を委託していたイセトーがランサムウェア攻撃を受けた影響で、情報が漏えいした恐れがある件を巡り、公文教育研究会（公文）は8月20日、新たに個人情報など約75万人分の漏えいを確認したと発表した。 漏えいしたのは、（1）2023年2月時点で公文で算数か数学、英語、国語を学習した会員の会員番号、利用した学習教材、教室名、学年、入会年月など72万4998人分、（2）同月時点で、公文内部の認定テストの受験資格を満たしていた会員の氏名、学年、過去に合格した認定テストのうち最もランクが高いものの情報など7万1446人分、（3）0～2歳向けサービス「Baby Kumon」に同月時点で加入していた会員の氏名、生年月日、年齢、保護者の氏名など9922人分、（4）23年8月の認定テストを受けた会員の会員番号や合格情報など2人分──という。 【訂正：2024年8月20日午後4時40分】当初、（1）

2024年7月17日（現地時間）に発表した最新の「Threat Horizons Report」において、Google Cloudは「2024年の上半期におけるネットワーク侵入4件のうち3件は、クラウドシステム全体に関する脆弱（ぜいじゃく）な認証情報と設定ミスが原因だった」と述べた（注1）。 クラウド狙いのサイバー攻撃の約半数が認証情報の問題に起因 Google Cloudによると、認証情報が脆弱なシステムまたは認証情報が存在しないシステムが攻撃の初期アクセス経路として最も多く、2024年の上半期におけるクラウド環境への攻撃の47％を占めた。これは、2023年後半の51％からわずかに減少している（注2）。 2024年の上半期に起こったクラウド環境に対する攻撃のうち初期アクセスの30％は、クラウドの設定ミスに起因している。これは2023年後半の17％から大幅に増加している。 認証情報管理の脆

漏えいした可能性のある情報は、14年6月30日から17年10月27日にかけて、POSレジに記録された患者4万8615人の氏名（片仮名）や請求金額など計10万5316件。住所や電話番号などは含まない。 POSレジのうち1台は第三者がフリマアプリで購入。購入者が情報を閲覧できることに気付き、23年9月26日に市に連絡したことで事態が発覚した。3台のPOSレジは病院のシステムに接続した上で、ID・パスワードを入力しなければデータを確認できないが、回収した端末は直近11営業日の情報のみ認証なしで閲覧できる仕様だった。購入者は実際に一部のデータを閲覧したが、記録はしておらず、悪用もしていないことを確認したという。 残る2台は未回収。委託事業者からの報告によれば、ジャンク品として販売されているという。修理すれば利用できる可能性はあるものの「システムと接続し、当院が管理するログイン用のID及びパスワード

東京都都市整備局は8月2日、個人情報約700人分が漏えいしたと発表した。委託先の富士通Japanが、自治体に向けた説明会資料の中に個人情報を記入。都市整備局は内容を十分に精査せず、ダウンロード用URLを説明会の参加者にメールで送信したという。 漏えいしたのは、整備局傘下の東京都多摩建築指導事務所が保存している、2003年から24年にかけた屋外広告物の掲出許可に関する情報。申請者や広告物管理者の氏名など690人分が対象という。このうち668人は所属組織名や部署名の一部または全部、18人は住所や電話番号の一部もしくは全部、3人は性別、1人は社用のメールアドレスが漏えいした。 都市整備局は7月3日、都内50区市町の屋外広告物担当者に、資料のダウンロードURLをメールで送信。翌日に説明会を開催した。9日に資料を配布した自治体から指摘があり、漏えいが発覚した。その後都市整備局は自治体にデータの破棄を

情報システム部（情シス）はIT戦略の要である――そのはずだった。それがいつからか、ヘルプデスク対応やトラブルシューティングに追われ、本来のコア業務であるIT戦略の立案や実行、ビジネスを支えるITシステムへの刷新や運用などに手が回らなくなってしまった。 「情シスの仕事はデスクサイドサポートだけではない」ということを改めて感じられるのが、「システム管理者の日」という記念日だ。システム管理者の労をねぎらい、日頃の感謝を伝える日とされていて、7月の最終金曜日がこの日に当たる。 システム管理者の日に合わせて大規模な企画を展開したのがインテルだ。「情シスがいなければ守れないビジネスがある」というキャッチフレーズを掲げて、PCメーカー8社と一緒にキャンペーンを実施。ITmedia NEWSもこれに賛同してメッセージを寄せた。 情シスが本来取り組む業務は何か。情シスは企業をどのように支えているのか。もし情

サポート詐欺の実態まとめたレポート、IPAが公開　ニセ警告画面を閉じるショートカットが効かなくなっていく傾向に 情報処理推進機構（IPA）は7月31日、独自の調査や寄せられた相談などを基に、サポート詐欺の手口や傾向、その変化をまとめたレポートを公開した。「情報セキュリティ関連の業務に従事している方へ、手口や被害状況の実態を共有することで、被害低減や対策推進に資することが目的」という。 レポートによれば、サポート詐欺の相談件数は増加傾向にあるという。件数は2022年1～3月ごろから増加。24年4月には、月単位の相談件数が過去最高の828件に上った。 手口にも変化があり、過去はアダルトサイトから偽の警告サイトに誘導する例が主流だったものの、23年7月ごろから傾向が変化。Webサイトの広告枠に偽広告を表示して誘導するケースが増えた。12月ごろからはWebサイトの構成要素に偽装した偽広告も表示され