攻撃されるのは恥じゃない--年金機構被害でカスペルスキーが対策語る
「個人、団体、政府、誰でも標的型攻撃のターゲットになる。攻撃されて被害に遭うことは決して恥ではなく、ごく当たり前のこと。水に飛び込んだら濡れる、それと全く同じことだと認識してほしい」――セキュリティソフト会社のカスペルスキーは6月4日、日本年金機構の不正アクセスによる個人情報漏えいを受け、記者説明会を開催。日本におけるサイバー攻撃被害の現状やその対策を説明した。 冒頭で挨拶した、カスペルスキー代表取締役社長の川合林太郎氏は、日本年金機構の事件について「報道は過熱しすぎており、火に油を注ぐようなことはしたくない。名前があがっている企業を槍玉に挙げることが(説明会の)目的ではない」と説明。事件以降、セキュリティ関係者などによる憶測や、勘違い、デマなどの情報が拡散されていることから、同社の調査に基づいた情報が周知されることで、「錯綜している情報が少しでも整理されれば良い」(同氏)と語った。 “日
[続報]日本年金機構、ファイル共有サーバーを5年以上前から運用
[続報]日本年金機構、ファイル共有サーバーを5年以上前から運用 ルール上は「個人情報の格納は原則禁止」 日本年金機構から125万件の年金情報が漏洩した問題で、同機構は漏洩データを保管していたファイル共有サーバーを社会保険庁時代から恒常的に利用していたことが明らかになった。年金記録などを格納する基幹システム(社会保険オンラインシステム)から個人情報をファイル共有サーバーに移していたところ、標的型ウイルスに感染したパソコン経由で情報が漏れた(関連記事:日本年金機構にサイバー攻撃、ファイル共有サーバーから125万件の年金情報が流出)。サーバー上に個人情報を置くことは原則禁止していたという。 同機構のシステム統括部によれば、少なくとも2010年1月の機構発足時には、基幹システムから抽出した個人情報をファイル共有サーバー内のフォルダに格納して、職員間や事務所間で共有していた。フォルダは階層構造であり
![[続報]日本年金機構、ファイル共有サーバーを5年以上前から運用](https://cdn-ak-scissors.b.st-hatena.com/image/square/bed39b5962a5d552c95b6d796db8f55e72d32943/height=288;version=1;width=512/https%3A%2F%2Fxtech.nikkei.com%2Fimages%2Fn%2Fxtech%2F2020%2Fogp_nikkeixtech_hexagon.jpg%3F20220512)
脆弱性を治す平均日数は? 情報流出を招く実態判明
金融機関などはアプリケーションやネットワークに存在する既知の脆弱性を長期間放置する傾向があり、情報流出の危険に自らをさらしかねない状況に陥っている――。セキュリティ企業の米NopSecが6月2日に発表した脆弱性リスク管理の実態に関する報告書でそう指摘した。 同社は過去20年あまりにわたって米政府の脆弱性情報データベース(NVD)に記載された脆弱性約6万5000件と、各業界で報告された脆弱性2万1000件あまりについて分析し、業界ごとの対応状況などを調べた。 それによると、過去20年で脆弱性情報が公開された件数はMicrosoftとAppleの製品が圧倒的に多く、危険度ではAdobe、Apple、Microsoft、Mozilla、Oracle製品の脆弱性が際立っていた。 こうした既知の脆弱性を修正するまでに企業などが要した期間は平均で103日だった。業界別に見ると、クラウド事業者が平均50
ウイルス入り「標的型攻撃メール」どう見分ける? 「高度な“だまし”のテクニック」、IPAが対策指南
日本年金機構から年金情報125万件が流出した問題は、機構の職員が標的型攻撃メールの添付ファイルを開いたことでウイルスに感染したことが原因とみられており、「怪しいメールは開かないのが常識」などと批判する声もある。 ただ標的型攻撃メールは、送信元や内容を巧妙に偽装していることが多い。報道によると年金機構に届いたメールは、タイトルが「『厚生年金基金制度の見直しについて(試案)』に関する意見」となっているなど、年金業務に関連する内容を偽装していたという。 怪しいメールをどう見分け、被害を防ぐか――情報処理推進機構(IPA)は、標的型攻撃メールには「高度なだましのテクニック」が使われているとし、見分ける際の着眼点を解説するリポートを、今年1月に公開している。 内容、差出人、添付ファイル……怪しいメールの「着眼点」は リポートでは、IPAが情報提供を受けた実例などから、標的型攻撃メールを見分ける際の着
【注意喚起】ウイルス感染を想定したセキュリティ対策と運用管理を:IPA 独立行政法人 情報処理推進機構
攻撃は年々巧妙になっており、情報漏えいや金銭窃取の被害が後を絶ちません。その被害の多くは、メールの開封(添付ファイルを開く、リンクのクリック)やウェブサイトの閲覧によるウイルス感染が原因であり、特定のセキュリティ対策製品を導入しただけでは被害を防ぐことができない場合があります。 個人情報や機密情報を扱う業務やその他重要な業務においては、ウイルス感染予防だけでなく、感染してしまうことを想定して感染後の被害の回避や被害を低減させるために、複数の対策を多層で行う必要があります(多層防御)。 「多層防御」を考慮したセキュリティ対策と運用管理を継続的に実施してください。 ウイルス感染や内部不正が発生しても、被害を回避・低減にできるシステム設計や運用ルールになっているか、ルールが徹底されているか、PDCAサイクルに沿って見直していくことが重要です。 1. ウイルス感染リスクの低減 ウイルス感染の防止が
日本年金機構の情報漏えい、本当に必要な再発防止策とは?
日本年金機構の情報漏えい、本当に必要な再発防止策とは?:「事故前提」で早期発見、早期対処の仕組み作りと文化を 日本年金機構が標的型攻撃を受け、年金加入者の氏名や基礎年金番号といった個人情報、約125万件が漏えいしたことが明らかになった。たとえ攻撃を受けても、それを早期に検知し、大規模な情報流出に至らないよう被害を最小限に食い止める取り組みが必要だとセキュリティ専門家は指摘する。 2015年5月、日本年金機構が標的型攻撃を受け、年金加入者の氏名や基礎年金番号といった個人情報、約125万件が漏えいした。この問題を受けて政府は「再発防止」に全力を尽くすとしているが、本当に必要なのは、メールを開いてウイルスに感染しないようにする再発防止策ではなく、たとえ攻撃を受けても、早期に検知し、大規模な情報流出に至らないよう被害を最小限に食い止める取り組みだ――セキュリティ専門家はこのように指摘している。 直
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
