はてなブックマーク

最近話題にのぼったセキュリティ関連のニュースを取り上げます。 今週はスマートフォン、特にAndroid端末への脅威に関する話題です。 犯罪者は、常に思いもつかない手口を使った攻撃を次々と仕掛けてきます。ある程度は個々の対策で防ぐことはできますが、今回そのさらに裏をかくような手口のマルウェア感染経路が発覚しました。 購入時にすでに仕込まれている！？ 先日、耳を疑うようなニュースが飛び込んできました。 米国のセキュリティ会社Check Pointは独自調査結果を発表。Androidスマートフォンにおいて、ユーザーの購入前段階ですでにマルウェアに感染しているケースがあることを明らかにしました。 『Preinstalled Malware Targeting Mobile Users』 （出典：2017/03/10　Check Point Blogより） 同社では、流通過程で仕込まれたものと見てい

最近話題にのぼったセキュリティ関連のニュースを取り上げます。 近年パソコンやスマートフォンを乗っ取り、操作できなくしたうえで感染者に身代金を要求する「ランサムウェア」が急増中です。世界的にみても、犯罪者はこのランサムウェアを利用して2016年全体で約10億米ドル（約1,135億円）を稼いだと言われています。また、ランサムウェアが裏市場でサービスとして提供されたことで、誰しもが簡単にツールを入手できるようになり、犯罪者の格好の攻撃手段となっているようです。 ランサムウェアとは そもそもランサムウェアとは、どういったものでしょうか。パソコンを乗っ取られて身代金を要求されるといった漠然とした知識はお持ちかの方も多いと思いますが、実はランサムウェアと呼ばれるものには２種類のタイプがあります。 ひとつは「ファイル暗号化型」。これはパソコンに保存されているファイルを暗号化し、身代金を要求するタイプのも

最近話題にのぼったセキュリティ関連のニュースを取り上げます。 すべてのモノ・コトがインターネットにつながる「IoT」時代。各種機器やインフラを通じたユーザーニーズ・満足度を高めるうえで、IoTを活用することが不可欠になりつつあります。 日本でも各社様々な機器やサービスを展開しておりますが、当然そのセキュリティも重要課題として取り上げられることが多くなっています。わが国でも総務省が「IoTサイバーセキュリティ アクションプログラム2017」を1月に発表したところです。 今週取り上げるのはIoT/ICTのそう遠くない未来にかかわる話題となります。 ついにトイレまでクラウド化 ここまできたか、と思われる方も少なくないかと思いますが、ついにトイレもインターネットにつながる時代です。 2月20日にKDDIが発表したのは、「KDDI IoTクラウド 〜トイレ空室管理〜」と 「KDDI IoTクラウド

現在多くの企業・個人のサイトで利用されている「WordPress」。もともとはブログ用のCMS（コンテンツマネジメントシステム）として有名でした。ページの追加や更新がとても簡単、無料、機能が豊富、SEOに強いなどの理由からホームページのベースとして広く利用されています。しかしながら今回、WordPress自体の脆弱性が悪用され、第三者によってコンテンツを改ざんされるという被害が相次ぎました。その経緯とともに今後の対策も含めご紹介します。 情報開示までの経緯 1月26日に開発者による「WordPress」のアップデート情報が公開されました。 『WordPress 4.7.2 セキュリティリリース』 （出典：2017年01月26日 wordpress.orgより） このセキュリティリリースの内容としては WordPress 4.7.2 が利用可能になりました。これは過去のすべてのバージョンのた

来る2020年の自国開催「東京オリンピック」までわずか３年ほどに迫りました。 当然、今後は日本（東京）が各国の注目を集めるわけですが、なかでも近年は国家レベルでの被害を及ぼしかねないサイバーテロの急増が問題となっています。やはりそこで狙われやすい標的がIoT機器。総務省でもこうした脅威に対応すべく、「IoTサイバーセキュリティ アクションプログラム2017」を発表しましたが、世の中のIoTへの需要もさることながら、そのセキュリティ対策への関心・必要性がより高まっているといえます。 企業のIoT導入に関する現状 『IoT（Internet of Things）導入状況調査（2016年11月時点）』 （出典：2017年01月24日　MM総研ニュースリリースより） ＭＭ総研は1月24日、国内企業に対してのIoT導入状況調査を実施し、結果を発表しました。 ※国内企業9,242社を対象に2016年1

先週以降、大規模なスパムメール拡散が続いております。皆様のところにも今回ご紹介する不審メールが届いているかもしれません。2016年後半よりこういった攻撃は増加傾向にはありますが、特に最近はその手口やプログラムも巧妙かつ悪質化してきています。 以下にご紹介する事例はごく一部ですが、最近の脅威動向をしっかり把握しておきましょう。 オンライン銀行詐欺ツール「URSNIF」の拡散メール 『2017年もマルウェアスパムの攻撃は継続中、新たな「火曜日朝」の拡散を確認』 （出典：2017年1月17日トレンドマイクロセキュリティブログより） 先週より「依頼書を」「取引情報が更新されました」「【発注書受信】」「備品発注依頼書の送付」「送付しますので」「発注依頼書」「（株）発注書」などのスパムメールが多数確認されています。これらはすべて同一のオンライン銀行詐欺ツール「URSNIF」の拡散を目的としたものです。

2016年8月2日に一般公開されたWindows 10 Anniverdary Update（RS1／開発コード名で「Redstone（RS）」）は、公開当初様々なトラブルや混乱を招いたことは記憶に新しいところです。ようやくその混乱も落ち着いたように見えますが、2017年春にはまた大きなWindows Update 第二弾（RS2）が控えています。 前回のWindows 10大規模アップデートでは、強制アップデート問題や使用不能に陥るアプリケーション、周辺機器の設定変更を余儀なくされたりするなどのケースもありました。今回のアップデートではこのようなトラブルが最小限に留まってくれればと願うばかりです。 そんな、次期Windows 10 （RS2）の情報がいくつかあがってきましたのでご紹介します。 Windows 10 アップデート（Insider Preview ビルド）情報 『Window

2017年はどのようなセキュリティ脅威が予想されるのか、セキュリティソフトベンダー各社が発表しております。 今後予想されるこれらの被害に遭わないためにも、今年一年の傾向と対策を講じておきましょう。 トレンドマイクロの2017年脅威予測 『トレンドマイクロ、2017年の脅威動向を予測したレポートを公開』 （出典：2016年12月12日トレンドマイクロプレスリリースより） 1．ランサムウェアの手口がより凶悪化、情報窃取とデータ暗号化の手口の併用が増加 2．「ビジネスメール詐欺」の世界的な増加と新たな脅威「ビジネスプロセス詐欺」の出現 3．IoTデバイスを悪用したDDoS攻撃が多数発生、IIoT（Industrial Internet of Things）システムも標的に トレンドマイクロでは、引き続きのランサムウェアによる被害の増加と、さらなる手口の凶悪化を予想しています。また、ビジネスプロセ

最近話題にのぼったセキュリティ関連のニュースを取り上げます。 2016年もあとわずか。今年もネットを起因とした様々な事件・事故のニュースを多く耳にした一年でした。 年末は各調査機関などからのまとめ報告があがる時期でもありますので、それらをしっかりと吟味し、次の年によりよくつなげるための糧としたいものです。 2016年度情報セキュリティに対する意識調査 独立行政法人情報処理推進機構では、毎年パソコンおよびスマートデバイス利用者を対象に、情報セキュリティ対策の実施状況、情報発信に際しての意識、法令遵守に関する意識についてアンケートを実施・集計しています。先日、2016年度集計が発表されましたので一部ご紹介いたします。 『「2016年度情報セキュリティに対する意識調査」報告書について』 （出典：2016年12月20日独立行政法人情報処理推進機構記事より） 【調査概要】＝＝＝＝＝＝＝＝＝＝＝＝＝＝

最近話題にのぼったセキュリティ関連のニュースを取り上げます。 今週はAdobe Flashに関するセキュリティニュースと、 google、Microsoftの対応などが多く取り上げられました。 Flash（フラッシュ／アドビフラッシュ）とは、Adobe Systems社による、音声や動画、 ベクターグラフィックスのアニメーションを組み合わせてWebコンテンツを作成するソフトです。インタラクティブなWebページ作成で広く使われてきましたが、そのセキュリティ上の問題が取りざたされてきました。 近年ではApple社をはじめ、Flashの代替としてプラグインを必要としないHTML5を推進する動きが活発化してきています。 Adobe、Flashのアップデートを呼びかけ 『Flash Playerの脆弱性突く攻撃を確認、直ちにアップデート適用を』 （出典：2016年12月14日ITmedia記事より）

最近話題にのぼったセキュリティ関連のニュースを取り上げます。 企業がセキュリティ対策を行うには当然ながら人材の確保や現状把握など時間・費用が発生します。 独自で専任担当者を雇ったり管理体制の構築をしたりすることは必要不可欠でありますが、 業界内で情報共有ができるような仕組みがあればお互い同様の事例を抱えるからこそ 相談もしやすくより高いセキュリティ環境を構築できるのかもしれません。 組織横断的な取り組みのセキュリティ対策共同検討会 『日立、地方銀行12行と「セキュリティ対策共同検討会」を設置』 （2016年12月9日マイナビニュース記事より） 日立製作所が提供する地域金融機関向け共同アウトソーシングサービス 「NEXTBASE」に加盟する12行が、日立製作所とともに「セキュリティ対策共同検討会」を設置。 検討会では企業間の枠を超えた組織横断的な取り組みを行い サイバー攻撃に関する情報共有や

最近話題にのぼったセキュリティ関連のニュースを取り上げます。 Androidスマートフォンをご利用中の方はご注意ください。 知らない間にマルウェア感染し不正アクセス被害を受けている可能性がありますので、 下記にあるチェックツールで侵害被害の有無を確かめてみてくださいね。 Androidマルウェア「Gooligan」にご注意を 『Androidマルウェア「Gooligan」横行、100万超のGoogleアカウントに不正アクセス』 （2016年12月1日ITmedia記事より） Androidマルウェア「Gooligan」の感染が広がっています。 被害は1日に1万3000台のペースで増え続け100万件以上の Googleアカウントが侵害を受けたとのこと。 Android4の「Jelly Bean」「KitKat」Android5の「Lollipop」を 搭載した端末が狙われており、被害の半数が

最近話題にのぼったセキュリティ関連のニュースを取り上げます。 フィッシングメールやランサムウェアの頒布などの攻撃が続いています。 近頃は不自然ではない日本語による攻撃メールも届いており、 件名だけでは瞬時に判別するのが難しいものも登場しつつあります。 どのような内容の攻撃が出回っているのか、まずは現状を把握することが大切です。 不正ログイン試行を騙ったフィッシングメール 『NEXONをかたるフィッシングメールが出回る、フィッシング対策協議会が注意喚起』 （2016年11月21日INTERNET Watch記事より） 件名は「【警告】異常な回数のログイン試行がありました」というもの。 オンラインゲームサイトのNEXON（ネクソン）のサポートを騙った このメールは、不正なログイン試行があったとしてフィッシング サイトへのリンクに誘導、情報を盗み取ろうとするものです。 不正なサイトは正規のサイト

最近話題にのぼったセキュリティ関連のニュースを取り上げます。 セキュリティに関する調査が今週いくつか発表されました。 とりわけ、私物のIT機器を業務に使用するBYODにおいての セキュリティ対策の実態が明らかになりました。 セキュリティ意識は高いものの、実際の行動には結びついていない 「セキュリティ意識だけは高い日本人、実際の対策は微妙 – ノートンセキュリティ調査」 （2016年11月18日ITSearch記事より） 11月16日に発表した世界におけるセキュリティ意識についての調査レポート、 「ノートンサイバーセキュリティインサイトレポート2016」。 日本が世界と比べてどのような意識にあるか比較することができますが、 実態として、危機意識は高いものの実際の行動には結びついていませんでした。 すべてのアカウントに安全性の高いパスワードを設定していると 答えた日本人は全体の26％で世界水準

最近話題にのぼったセキュリティ関連のニュースを取り上げます。 今週はマカフィーによる2016年度セキュリティ事件のランキング結果が発表されました。 どれも記憶に残る事件ばかりですのでこれらを契機にセキュリティ対策に取り組む企業は 一段と増えたのではないでしょうか。 2016年セキュリティ事件ランキング 「マカフィー、2016年の10大セキュリティ事件ランキングを発表、1位は振り込め詐欺」 （2016年11月10日 INTERNET Watch記事より） 2014年から実施しているこの調査。 昨年11月から本年10月に発生したセキュリティ事件をマカフィーが選定し それらの認知度をインターネットで調査したものです。 皆さまにも見覚えのあるニュースが並んでいるかと思います。 【1位】振り込め詐欺／迷惑電話による被害 【2位】大手金融機関やクレジットカード会社などをかたるフィッシング 【3位】人気

最近話題にのぼったセキュリティ関連のニュースを取り上げます。 今週は、いま注目を集めるIoT機器のサイバー攻撃が発生し 多くの課題点を私たちに示した1週間でした。 身近な家電製品や日常生活での必需品である車などが ITと結びついて便利になればなるほど各々の セキュリティ対策を行う必要も自ずと増えます。 普及した後に一つ一つ問題を対処するのではなく 今から課題点や対策について議論を深めていきたいですね。 テレビにおけるサイバー攻撃 「テレビにもサイバー攻撃　画面が停止し「罰金払え」の画面　国内300件以上ウイルス検知」 （2016年10月31日ITmedia記事より） インターネットに接続する機能がついた「スマートテレビ」の 画面に、金銭を要求するような脅迫文が表示される新種ウィルスが 日本国内で今年に入り300件以上検出されました。 音楽やゲームをダウンロードした際に感染する可能性が 高い

最近話題にのぼったセキュリティ関連のニュースを取り上げます。 今週は顧客情報を狙った企業（サイト）への不正アクセスが 発生しています。たった一度の攻撃が企業の信頼度を下げる 要因となる可能性がありますので、不正アクセス攻撃には注意が必要です。 攻撃を防ぐだけでなく、万が一情報漏洩した場合には「どの担当部署」が 「どのように対処するか」といったマニュアルも社内で作成しておきましょう。 リスト型アカウントハッキング攻撃でなりすまし 「アンケートサイトで不正ログイン被害 – ポイント狙いの犯行」 （2016年10月24日Security NEXT記事より） なりすましによるログインでポイントを搾取。 第三者のログイン施行攻撃は20万9003回にわたり行われました。 不正ログイン方法は何らかの手段によりID/PWを 入手した第三者がリストのように用いてログインを試みる、 リスト型アカウントハッキン

最近話題にのぼったセキュリティ関連のニュースを取り上げます。 日本における情報セキュリティの成熟度に関する調査では 日本は米国企業に比べて遅れているという結果が今週発表されました。 世界と比較することで現状日本のセキュリティに対する意識が よりどのような状況か客観的に把握することができるのではないでしょうか。 ■ 日本企業における情報セキュリティの成熟度合い 「IDC調査でみる、日本のセキュリティが“未熟”な理由 (1/2)」 （2016年10月20日ITmedia記事より) IT専門調査会社のIDC Japanでは従業員500人以上の企業で情報セキュリティ業務に 関係しているIT関連部門の課長職以上を対象にアンケートを実施。 日本では200社、米国では150社が回答を行いました。 その中で「ビジョン」「リスク管理」「組織／人材マネジメント」 「運用プロセス」「セキュリティテクノロジー」の

最近話題にのぼったセキュリティ関連のニュースを取り上げます。 今週は情報漏洩に関するニュースがいくつも浮き彫りになりました。 個人の不注意による流出から大規模な漏洩まで。 そういった中で「セキュリティ疲労」という現象もあらわれています。 ■盗難による情報漏洩被害 「埼玉・川口市職員が個人情報１万７千件紛失 」 （2016年10月14日日本経済新聞記事より） 個人情報を含む電子ファイル約1万7千件が保存された 私物のハードディスクが盗難にあった可能性があるとのこと。 データの紛失は情報漏洩の大きな原因となっています。 ■フィッシング被害による情報漏洩被害 「関学大がフィッシング被害…１４６６人分個人情報が漏洩　職員が不正サイトにアクセス」 （2016年10月7日産経WEST記事より） 職員が外部から送られたメールに含まれていた不正なフィッシング サイトに誤ってアクセスし大学院理工学研究科の学

最近話題にのぼったセキュリティ関連のニュースを取り上げます。 今週はWindows10のアップデートに関するトラブルに 巻き込まれた方が多くいらっしゃったのではないでしょうか。 「アップデートが進まない」「再起動のループが起こる」などの 障害が一部のユーザーにおいて発生したようです。 『Windows 10 Anniversary Updateの累積的アップデートでトラブル発生』 （2016年10月3日ITmedia記事より） アップデート【update】とは、 ソフトウェアやデータの小規模な更新を意味します。 新しいバージョンの製品に更新する作業や部品の インストールを指すこともあります。 ソフトウェアには常にバグやウィルスが入りやすい状態に 晒されているため、定期的にダウンロード方式で提供されます。 大幅な改良はアップグレードとも呼びます。 今回ユーザーに影響を与えたのは「KB3194

最近話題にのぼったセキュリティ関連のニュースを取り上げます。 今週はスパム・ウィルスの添付されたメールが特に多く検出されました。 もしかすると皆さまの元にも届いたかもしれません。疑わしい添付ファイルは 絶対に開封しないように、また見知らぬ送信元からのアドレスには十分に注意 するよう気をつけたいですね。 『「ヤマト運輸」「修繕依頼」などを装ったウイルスメールが再び増加、 毎週火曜日に検出のピーク』（2016年9月20日INTERNET Watch記事より） 今年の6月末にもウィルスメールが数多く検出されましたが、 再び同様の「Bebloh(ベブロー)」への感染を狙ったものが出現しています。 本文も流暢な日本語で書かれたものが増え、違和感を抱くような文言は 減っているそうです。 また9月以降は毎週火曜日に検出のピークが確認されています。 今後もこのBebloh亜種による攻撃が継続すると予想され

最近話題にのぼったセキュリティ関連のニュースを取り上げます。 今回はスマホに関する事故や脅威について、いくつかご紹介いたします。 普段何気なく使っているその小さなスマホが悪意のあるウィルスや攻撃に よって、周囲に大きな影響を与えるということを予め意識しておきたいですね。 『Androidを狙うランサムウェア、過去最大の19万3000個を検出』 （2016年9月16日ITmediaエンタープライズ記事より） 2016年8月に検出されたAndroid向けランサムウェアは過去最大の 約19万3000個でした。7月は約10万5000個でしたので2倍近くとなっています。 ———————————— 【ランサムウェア】とは… マルウェアの一種でファイルなどのデータを暗号化して 身代金を要求するプログラムを意味します。 感染したPCはシステムのアクセスを制限・使用不能にして 復旧と引き換えに金銭を要求しま

2016年上半期のインターネットバンキング不正送金被害の実態が明らかになりました。 被害件数は2015年下半期よりも117件上回ったものの、被害額は6億3200万円 減少して約8億9800万円に。（2015年下半期は約15億3000万円） 信託銀行やネット銀行などの「都市銀行など」の項目と「信金・信組」で いずれも3億円以上減少したとのことで、上記銀行のセキュリティ対策が 進んだためとされています。 『2016年上半期の不正送金、件数増となるも被害額は大幅減』 （2016年9月8日Security NEXT記事より） 他にも大口の法人口座の被害が減少したことも大きな要因とのこと。 また事前に設定した端末に限定して操作ができる「電子証明書」の 利用事例では被害件数が0だったそうです。 翻って個人口座においては被害額が増加しています。 詳細はこちらの調査結果をご覧ください。 『平成28年上半期