ランサムウェア激化に伴い、関連会社を含めたサプライチェーンのセキュリティ確保は急務となっている。しかし日本企業にはこれを阻む幾つかのハードルがある。それは一体何か。 ランサムウェアをはじめとしたサイバー脅威が激化する今、自社だけでなく子会社や取引先を含めたサードパーティー（サプライチェーン）のセキュリティ確保は喫緊の課題となっている。例えば、2022年3月に発生したトヨタ自動車の取引先である小島プレス工業のランサムウェア被害は記憶に新しい。トヨタ自動車はこの影響を受けて国内全14工場28ラインを丸一日停止した。 ただ、こうしたサードパーティーを狙ったサイバー攻撃の詳細は報道ではなかなかその実態が見えてこない。具体的にはどのような業界や脆弱（ぜいじゃく）性が狙われているのだろうか。 SecurityScorecardの日本法人で代表取締役社長を務める藤本 大氏が同社が公開したグローバル調査レ

岡山県精神科医療センターは、情報システムがサイバー攻撃を受け、最大で患者およそ4万人分の個人情報が流出した可能性があると発表しました。 岡山市北区にある県精神科医療センターでは、5月19日、院内の情報システムがサイバー攻撃を受け、電子カルテの閲覧ができなくなりました。 病院によりますと、サイバー攻撃は、データを勝手に暗号化して身代金を要求するコンピューターウイルス「ランサムウェア」によるもので、患者の氏名、住所、生年月日、病名などの個人情報や、治療方針に関する資料などが、外部に流出した可能性があることが新たに分かったということです。 流出した個人情報は最大でおよそ4万人分に上り、これまでに情報が悪用されるなどの被害は確認されていないということですが、病院は情報が流出した可能性がある人に謝罪し、いきさつを説明することにしています。 また、病院は警察に被害届を出すとともに、今後、院内の情報シス

静岡県は、県立下田高校が開設したウェブサイトのフォームで、１３６人の中学生の名前が閲覧できる状態になっていたと発表しました。 県によりますと、県立下田高校はウェブサイトに「中学生一日体験入学」の参加申し込みフォームを掲載。５月１７日から６月１０日までの間、申し込みをした中学生１３６人の名前が閲覧できる状態になっていたということです。 ６月１０日午後４時ごろに中学校から連絡を受けた高校側は、閲覧ができないようフォームの設定を変更しました。高校は、対象の１３６人に謝罪のメールを送るほか、今後、個人情報を扱う際には複数人でチェックするなど体制を強化するとしています。

2023年中に特殊詐欺に悪用された携帯電話回線で、契約時の本人確認に使われた書類は運転免許証が最も多く、偽造運転免許証が386回線、偽造マイナンバーカードが1回線あった――河野太郎デジタル大臣は、6月8日付の自身のブログでこんな事実を明らかにした。 「本人確認の際は、目視ではなく、運転免許証かマイナンバーカードのICチップ読み取りが一番確実な方法だ」と述べている。 河野氏によると、23年中に特殊詐欺に悪用された携帯電話回線のうち、契約時の本人確認が把握されているものが619回線。うち、偽造された書類を使ったものは419回線と全体の68％に上った。 本人確認書類に運転免許証が使われたものは534回線あり、うち偽造免許証が使われたのは386回線。 マイナンバーカードが本人確認に使われたものは23回線、うち偽造マイナンバーカードは1回線だったという。 また、健康保険証が本人確認に使われていたのは

滋賀県栗東市は10日、5月に発送した国民健康保険特定健診受診券について、25人に別人の氏名や性別が印字された券を交付していたと発表した。 栗東市保険年金課によると、国民健康保険被対象者のデータを作成し、印刷する際、設定に誤りがあり、25人分を同じ氏名、性別で印字した。封入作業時の確認でも見落とし、5月20日までに送付したという。今月8日午後5時ごろ、対象者の家族から氏名に誤りがあるとの連絡を受け、ミスが分かった。市は誤交付した対象者の家を訪問し、謝罪した上、受診券の回収と差し替えを順次行っている。 同課は「複数人での確認や、処理手順の見直しなどで再発防止に努める」としている。

【答え1】サーバー仮想化とは、専用のソフトウエアを使ってCPUやメモリー、ディスクなどのハードウエアリソースを物理的な構成にとらわれずに論理的に統合・分割する技術である。 仮想化技術が登場する以前は、Webサーバーやアプリケーションサーバー、メールサーバーなど役割の異なるサーバーを、それぞれ別の物理サーバー上で運用するのが一般的だった。仮想化技術によって1台の物理サーバーを複数の仮想マシンに論理分割することで、1台の物理サーバー上に様々な役割のサーバーを集約できるようになった。 サーバー仮想化を活用することで、サーバーのリソースを有効活用できるほか、新しいサーバーをすぐに用意できるようになるといった運用効率の改善が見込める。日本においては、2000年代後半からサーバー仮想化技術の導入が本格化した。 仮想マシンはOSよりも下位のレイヤーで稼働するハイパーバイザーがつくり出す。ハイパーバイザー

個人情報の漏洩について 本日（令和6年5月30日）、まちづくり推進課において、誤送信による氏名、メールアドレスの漏洩に関する事案が発生しました。 関係する皆様には多大なご迷惑をおかけしましたことを、深くお詫び申し上げますとともに、再発防止に向け、より一層の情報管理を徹底してまいります。 1．事案の概要 （1）発生日時　　令和6年5月30日（木）午前9時55分から57分 判明日時　　令和6年5月30日（木）午前10時10分頃 （2）内容 まちづくり推進課において、今年度事業の実施にあたり、過年度実施した「がんばる鉾田の学生応援事業」に申請をいただいていた674名へアンケート調査を一斉メールで送信する際、送信先メールアドレスを「BCC」で送信すべきところ、誤って「TO」で送信をした。これにより、受信者全員がお互いの氏名及びメールアドレスを閲覧できる状態が発生。 （3）経過 午前9時55分～57

大阪市健康局において、「自立支援医療受給者証（精神通院医療）」（以下「受給者証」という。）等の発送業務を委託している事業者が受給者証を医療機関に送付する際に、同封する「精神通院医療受給者証等交付者リスト」（以下「交付者リスト」という。）を、誤って別の医療機関に送付したことから、個人情報が漏えいしたことが判明しました。 このような事態を発生させ、当該対象者の皆様に多大なご迷惑をおかけしましたことを深くお詫び申し上げますとともに、市民の皆様の信頼を損なうことになりましたことを深く反省し、再発防止に努めます。 令和6年5月27日（月曜日）、大阪市こころの健康センター（以下「こころの健康センター」という。）あてに、A医療機関から「受給者証に同封されているはずの交付者リストが足りない。」との連絡がありました。 A医療機関に送付すべき交付者リストが別の医療機関に送付された可能性があったことから、こころ

「当社の情報が漏えいしました」──世間へどう発表すべき？　タイミングは？　セキュリティ専門家に根掘り葉掘り聞いてみた（1/4 ページ） 「この会社、情報漏えいしたのに、説明が全然なってないな」──情報セキュリティインシデントが日常化した昨今。企業や自治体などによる“情報漏えいのお詫びとお知らせ”を見て、こう感じたことはないだろうか。そしてもし、自分の勤め先でインシデントがあったとき、同じ目で見られない自信はあるだろうか。 SNSが発達し、インシデントの発表がレピュテーションリスクにつながり得るこの時代。“世間への伝え方”は、企業・組織のイメージや株価、そして信頼を保つために、無視できない要素になりつつある。もちろん、事態を未然に防ぐのも大事だが、可能性をゼロにはできない。 もし「自社でインシデントが起きました」「サイバー攻撃を受け情報が漏えいしました」という事態に陥ったとき、世間にどう伝え

3つのステップでIT資産のリスクを評価 ASM（Attack Surface Management）とは、インターネットからアクセス可能な企業のIT資産を発見し、それらに存在する脆弱（ぜいじゃく）性などのリスクを継続的に検出、評価する一連のプロセスのこと。NRIセキュアテクノロジーズは「マネージドASMサービスによって、これまで把握できていなかったIT資産も含めて外部に公開されているIT資産を洗い出し、それらに内在する悪用可能な脆弱性の有無を明らかにすることで、リスク管理を高度化できる」としている。 関連記事 「アタックサーフェス管理」とは、今日からできることは――日本ハッカー協会の杉浦氏が「OSINT」視点で考える 2024年3月4日、アイティメディアが主催するセミナー「ITmedia Security Week 2024 冬」における「アタックサーフェス管理」ゾーンで、日本ハッカー協会

奈良市がすでに閉鎖した観光情報サイトのドメインが第三者に取得され、オンラインカジノへの誘導が記載されていることが分かり、市が注意を呼びかけている。 サイト名は「ならのはるをめざして」で、令和４年３月に閉鎖された。市職員が今月７日、これと同じ写真や文章とともに、カジノへの誘導が記載されている同じドメインのサイトを発見した。

個人情報保護委員会は11日、2023年度の企業や行政機関からの個人情報の漏洩件数が1万3279件で過去最多だったと公表した。個人情報が含まれる資料の誤送付や誤廃棄など人為的なミスが多かった。企業が扱うデータが増えるなか、再発防止を求める。23年度の年次報告が同日、閣議決定された。企業や行政機関が個情委に報告した漏洩件数は1万3279件で、前年度から70%増えた。企業による報告は1万2120件で

セキュリティ情報を収集するとき、その情報がどこから発信されるかによって、捉え方が変わる方が多いと思います。その意味で、信頼できる（はずの）発信元のトップは「国」なのかもしれません。しかし実際には「国」の取り組みは「ジブンゴト化」が難しく、なかなか自分からアクセスしにいこうと思わないのも事実です。 そのため同コラムでは、セキュリティ担当者の役に立つ国の取り組みについても積極的に情報を発信していきたいと思います。今回はセキュリティを考える上で外せない「パスワード」の話題をピックアップしてみました。まずは総務省の取り組みから取り上げていきましょう。 パスワードの定期変更は“しない方がいい”って知っていましたか？ 総務省は「国民のためのサイバーセキュリティサイト」を公開しています。2024年5月にリニューアルしたばかりのこのWebサイトで、少し話題になっていたページがありました。それは「安全なパス

複数のコンピューターから大量のパケットを送り、標的のWebサービスを利用できない状態に追い込むDDoS（Distributed Denial of Service、分散型サービス妨害）攻撃が増加している。直近では、スマートフォンのタッチ決済大手が狙われて障害が発生した。DDoS攻撃の脅威が改めて浮き彫りになった。 モバイルSuicaでチャージできない障害 2024年5月10日夕方、JR東日本が運用するタッチ決済サービス「モバイルSuica」がアクセスしにくくなり、電子マネーをチャージできない障害が発生した。ほかに新幹線チケットを購入できる「えきねっと」をはじめ「JRE POINT」「VIEW's NET」「ビジネスえきねっと」「JR東日本びゅうダイナミックレールパック」のサービスにも影響が出た。 モバイルSuicaの障害が発生した時間帯に別のタッチ決済サービス「モバイルPASMO」でも障害

「政府は、全国約1800の地方自治体が使うITシステムを共通化する方針を固めた」というニュースを読んだ。各自治体に共通する業務のシステムを統一して行政事務の効率化を目指し、6月に策定する「国・地方デジタル共通基盤に関する基本方針」に明記するという。 これまで政府は自治体のシステム開発は各自治体でという方針であったが、自治体が直面している現実を見れば自治体の独立性に「丸投げ」している場合ではない、非常に厳しい状況ということだろう。このニュースに対する反応をみると様々なものがあった。 「役所の業務効率化の観点から絶対にやるべきだ」「自治体職員の意識改革が最大の問題」「各自治体は地域特性や文化の違いがあるので、共通化は難しいのと思う」「やれるベンダーはあるのか。結局、超大手数社がもうかるだけでは」といった声だ。 全体的な傾向としては「共通化はすべきだが、実現は難しいのでは」といった感じである。筆