ドコモ口座事件から考える、決済サービスにおける”本人確認の重要性”
先日から「ドコモ口座」を利用した事件が話題になっています。多数の銀行・個人をも巻き込んだ大事件です。 また金融システム上も、”なぜこんなことが起きたのか”、今までの感覚ではあり得ないと思うことも多々報じられています。まだ情報が錯綜している状態ではありますが、現状分かっていることから感じることを述べて行きたいと思います。 現実世界における”口座振替サービス”の流れ まず、問題が起きた「web口座振替」を語る前に、現実世界での口座振替サービスの流れ押さえておきたいと思います。Webだろうが現実だろうが、取引の基本的なプロセスに違いはありません。現実世界ではこんな感じで流れます。 収納企業で取引発生(※今回の場合ドコモ) 収納企業が振替口座の所有者本人に、住所・氏名・口座番号・銀行印が入った申請書を記入してもらい銀行へ提出 本人に申請書の控えを渡す 銀行は住所・氏名・口座番号・銀行印を確認し、口
エンジニア向けセキュリティ研修体験談(感想)〜ハッカーになれるか試してみた〜
え? 「ハッカー」って、サイバー攻撃をする悪い人のことじゃないの? なんて思う方も多いかと思います。 「ハッカー」と言うと悪いイメージが先行してしまうかもしれませんが、私ともう1名の同僚には「ホワイトハッカー」になるための指令が社長から出ました。 相談無料情報セキュリティ基礎講座 自己紹介 まず私の自己紹介をしたいと思います。 私はとある企業で、WEBサイトの管理などを含め、IT担当として働いているものです。 IT担当と言っても、「セキュリティの意識を高めなければ」と最近思っている程度で「コマンドプロンプト」「ターミナル」などでコマンド使ったり、ということは全く知識がないのでわからない、、、というレベルです。 このくらいのIT知識のレベルで、どのようになるか不安でしたが、これからはセキュリティをしっかり考える時代! WEBサイトもしっかりとセキュリティを考えなければいけない!ということは意
ハッカーと企業を結び、ハッカーが安心して活躍できる日本を作る【一般社団法人日本ハッカー協会】
どうも、サイバ課長サイよー。 日本で「ハッカー」と言えば、サイバー空間で犯罪を行う「ブラックハッカー」のイメージがまだまだ強いサイね。でも、そもそもハッカーの語源は高い技術力を駆使してシステムを操り、物事の効率や質を良くする「ハック」から来ているサイよ。 2018年のコインチェック事件で流出したNEMを追い続けたハッカーの登場により、深い技術知識で課題をクリアしていく「ホワイトハッカー」がようやく世間でも認知されつつあるサイね。 今回は、そんなハッカーが活躍できる社会を目指す一般社団法人日本ハッカー協会に突撃取材。お話をしてくれたのは、同協会の杉浦隆幸代表理事と堤大輔理事サイよ。 ごめんくだサーイ!
メモリフォレンジックとは?仕組みやメリットデメリット、価格について徹底解説
「メモリフォレンジック」は、まだまだ日本では馴染みが薄い言葉ですが、マルウェア感染やデータ改ざん、脆弱性の悪用などに対して素早く問題を特定する手法として注目を集めています。 この記事では、メモリフォレンジック調査の基本、その利点、フォレンジック企業の選定ポイント、そして調査の実際の活用事例について解説しています。ぜひ参考にしてください。 メモリとはコンピュータの処理速度を向上させるため、CPUやGPUなどの処理装置に直接接続された揮発性記憶装置です。メモリには、OSやアプリケーションの実行状態、プロセスの状態、ネットワークの通信履歴など、一時的な情報が保存されています。どのようなプログラムも、動作している時は、必ずメモリ上にプログラム本体や使用しているデータの読み書きをしているため、メモリの状態を調べることで、プログラムのリアルな状態を知ることができます。 そんなメモリを含めたコンピュータ
バグバウンティとは?バグハンターとしての新たな稼ぎ方
ソフトウェアやプログラムは人間が作るものであるため、完璧なものは存在しないと言われています。そのためリリースした後にも定期的な更新や修正作業は付き物です。修正の対象となるプログラムの欠陥は一般的に「バグ」と呼ばれています。日本語だと「虫」という意味です。もともと本当の虫が起源だったとも言われています。 そんなバグに対して報奨金をかけて一般人に見つけてもらう制度のことを「バグバウンティ」と言います。今回はバグバウンティの紹介と導入している企業について紹介します。 バグバウンティ(バグ報奨金制度)とは バグバウンティは「脆弱性報奨金制度」や「バグ報奨金制度」と呼ばれています。公開しているプログラムにバグがあることを想定して報奨金をかけて公開し、一般人(ホワイトハッカー)がバグを発見して脆弱性を報告して報奨金を受け取るという制度になっています。 バグバウンティの始まり バグバウンティの歴史は、1
マスキング不十分で個人情報が閲覧可能な状態に、神奈川県が謝罪
画像:消費生活課のホームページ上における個人情報の流出について/神奈川県より 神奈川県は2019年9月13日、公式ウェブサイトにて架空請求の注意喚起を目的とした実物のハガキを公開した際に、個人情報に該当する部分のマスキング処理が不十分な状態だったと明らかにしました。 神奈川県によると、対象ページは「架空請求に関するハガキ等を送りつけてくる事業者名等一覧」にあった一部ハガキのもの。県は状況の把握語に該当ページを修正する対応をとりました。 特定のソフトウェアで解除できる 神奈川県によりますとマスキング処理自体は、該当ページで実施されていました。 ところが2019年9月12日、サイトを閲覧した市民から「特定のソフトウェアで解除できる」との通知を受け、事態が急転。県が指摘内容に従って同様の操作を試みたところ、個人情報が閲覧できる状態にまで復元可能であると確認され、今回の発表に至っています。 なお、
サイバー攻撃リアルタイム可視化ツール13選
サイバー攻撃リアルタイム可視化ツールとは、世界中のどの場所でサイバー攻撃が起きているかをみることができるツールのことです。 サイバー世界での不正なアクセスや攻撃が世界中で増え続けている昨今ですが、実際どの国が、どこに攻撃をしているのか?普段の生活をしているとわからないですよね。 そんな情報を可視化できるリアルタイム可視化ツール。 下記にその代表的なものとして、世界中で発生している国家間のサイバー攻撃をリアルタイムで分析、解析したものを可視化できるツールを紹介いたします。 サイバー攻撃をリアルタイムに確認する理由 サイバー攻撃は、インターネット上の通信を利用して不正アクセスをしてくる脅威であるため、物的な破損等がほぼ発生しません。 そのため「サイバー攻撃」と言っても攻撃のイメージがしにくく、普段からセキュリティ関連の業務に従事している人でないと、その脅威を感じることがほとんどないのが現実です
教育委員会のサーバーが不正中継被害、アダルトサイトへのリンク付きメール送信|富山市
画像:富山市教育委員会のメールサーバの不正中継について(お詫び)/富山市より 富山県富山市は2019年4月10日までに、富山市教育委員会が管理しているメールサーバーが、外部からのメールを意図せず中継していたと明らかにしました。 市によると、中継現象は2019年4月8日の午前2時頃~午前11時頃にかけて発生。いずれも海外からのメールで、本文中にアダルトサイトへのURLが記載されているとのことです。 情報流出などは確認されず 市はインシデント発覚後、ただちにメールサーバーの稼働を停止。原因調査を進めたうえで、2019年4月8日の午後3時35分に復旧しました。 富山市によると、中継現象発生の原因はメールサーバーの設定ミス。外部中継はメールサーバー側の設定により制御できるが、これを適切に設定していなかった可能性が浮上しています。今後、詳しい事象を調査し再発防止に努める考えです。 参照富山市教育委員
埼玉県内6市46万件の特定個人情報含むデータ入力業務を無断再委託|AGS株式会社
画像:受託業務における契約および法令違反のご報告とお詫び/AGS株式会社より AGS株式会社は2019年1月8日、埼玉県県内6市の自治体から受託した個人情報を含むデータ入力業務及び封入封緘業務を、法令に違反して無断で第三者に再委託していたと明らかにしました。 発表によると、同社の無断委託は2016年~2017年と複数年に渡り実施され、データ入力業務合計46万2,015件と封入封緘業務合計8,414 件に含まれる個人情報が流出したとのことです。 自治体からの要請を受け調査 AGS株式会社は今回の無断再委託について、社内調査により発覚したと説明しています。 同社によると、委託元の各自治体から同社に向けて、特定個人情報(マイナンバーなど)を取り扱う受託業務において無断再委託の有無に関する報告要請があったとのこと。 要請を受け同社が調査を実施したところ、番号法が施行された2015年度こそ再委託の許
フリーメールが不正アクセス被害、病歴やパスポート情報含む約1万1千件が流出か|兵庫教育大学
画像:電子メールの転送先での不正ログインによる個人情報漏えいについて/兵庫教育大学より 兵庫教育大学は2018年12月17日、職員の1人が所有するフリーメールアカウントが不正アクセスを受け、要配慮情報を含む合計1万1,322人分の個人情報が流出した可能性があると明らかにしました。 大学によると、職員は大学宛に届くメールをフリーメールに転送して管理していたとのこと。ところが今回フリーメールに対して不正アクセスが行われ、大学が保有する配慮情報などが閲覧された可能性があると説明しています。 2年以上も継続してフリーメールを使用 兵庫教育大学によるとインシデントは2018年10月26日、フリーメールのアカウントに不正アクセスを示すアラートが表示され発覚しました。 通知を受けた大学側がログイン履歴を確認したところ、第三者に閲覧されている可能性が浮上。情報流出に関わった職員は2016年4月1日~201
マイナンバーを含む個人情報70万件が流出、国税局委託先業者が無断再委託
国税局は2018年12月14日、源泉徴収票などデータ入力業務の委託先であるシステムズ・デザイン株式会社が、本来の契約に違反して別の業者に再委託したことにより、マイナンバーを含む個人情報約70万件が流出したと明らかにしました。 国税局によると、システムズ・デザインが扱っていたのは東京・大阪両国税局が有する個人情報。マイナンバーに加えて、氏名や住所、給与所得などのデータが含まれていたとのことです。 国内3業者に無断再委託 国税局の発表によると、流出に関わったシステムズ・デザインは、マイナンバーの無断委託は禁止されているにもかかわらず、国内の3業者に再委託していました。無断委託の理由は「業務の繁忙」とのことですが、マイナンバーの無断再委託は禁止されており、システムズ・デザインには法令・契約違反の疑いが持たれています。 システムズ・デザインが受託した件数及び再委託した件数は下記の通りです。 東京国
電子メールの誤送信で委託業者131社の情報が流出、東京都公園協会
画像:公立財団法人東京都公園協会より 公立財団法人東京都公園協会は2018年9月26日、電子メールの誤送信により情報流出が起きたことを明らかにしました。 同協会によると、1回の誤送信で合計131社の情報が流出。関係者に謝罪を表明するとともに、再発防止に努める考えを示しています。 事案の経緯は? 東京都公園協会によると、2018年9月21日に都立公園の維持管理に係る委託業者に電子メールを発送したところ、担当者がメール設定を誤ったとのこと。 翌日2018年9月22日に電子メールを受け取った委託業者から「他の委託業者の情報が記載されている」と通報があり、漏洩が明らかになりました。 再発防止策に向けて 今回の誤送信により、合計131社の情報が流出しました。内訳は下記の通りです。 委託業者の会社名 担当者名 メールアドレス 協会は今回の事案を受けて、個人情報の取扱いを周知するとともに、職員に対して本
中央省庁職員2,111名のメールアドレス、パスワードが流出!NISCが緊急の注意喚起
流出元はどこが疑われる? 今回の情報の流出元は、職員らが公用メールアドレスを使って業務中に登録したサイトの可能性が指摘されています。弁護士会のホームページや通販サイトなどが該当しますが、流出情報の中に古い情報も含まれている点も特徴です。 KELA社の関係者は、ハッカーは多くの個人情報を漏えいすることで、闇市場での信用力を高めていると指摘。今後もサイバー攻撃が続く可能性を示唆しています。 NISCが緊急の注意喚起を実施 NISC(内閣サイバーセキュリティ―センター)は2018年4月3日、全ての省庁に対して緊急の注意喚起を実施。 TVメディアに対しては、「以前からパスワードを使い回さないなどの対策を取っているが、改めて周知して対策の徹底をはかりたい」と説明しています。 幸い目に見えた被害は確認されていませんが、情報セキュリティの重要性が、改めて問われることになりそうです。
セキュリティチェックシートで自社のセキュリティを無料診断しよう
自社の『セキュリティ対策しないと!!』と思っても、 現状で自社がどのくらいできているの? 何から進めると良いの? など、わかっていない方も多いようです。 そんな時に活用したいのが、各団体等で無料で公開されている「セキュリティチェックシート」。現在数多くのチェックシートが公開・無料でダウンロードできますが、どれを使うと良いのか悩んでしまう方のために、目的に合わせて利用できるよう、各シートの特徴を解説しましたので、ぜひ参考にしてください。 セキュリティチェックの必要性 企業や組織にとって情報システムやインターネットは必要不可欠なものとなりました。情報システムへの依存が高まっていく一方で、情報セキュリティ対策の必要性が認識されるようになってきています。情報システムの停止や顧客情報の漏洩などが発生してしまうと、企業イメージの低下は避けられません。これらの被害や影響は自社のみならず取引先や顧客などの
成立となるか?「サイバーセキュリティ基本法改正案」について
大荒れとなってしまっている国会ですが、2018年3月9日、一つの法案が国会提出されました。それが「サイバーセキュリティ基本法の一部を改正する法律案」です。 この状態ですから、今国会で成立するかどうかまだわかりませんが、どのような意図で提出された法案なのかを解説して行きたいと思います。 サイバーセキュリティ協議会設置の意図は この法案の目的は、一言で言えば「官民協力体制の確立」です。そして最終的な目的は「東京オリンピックパラリンピックの安全な開催」になります。 その目的のために「サイバーセキュリティ協議会」を設置し、社会インフラのサイバーセキュリティ対策を促進しよう、というものです。 この協議会に参加するのは、国・自治体・重要インフラ事業者・セキュリティ事業者・システム事業者・教育機関 となっています。さらに、内閣サイバーセキュリティセンター(NISC)が事務局となり、海外機関・事業者とも協
スパイウェア駆除をオンラインで無料で行う方法
スパイウェアには様々な種類や、その種類に応じた症状があるのはご存知かと思いますが、万が一自分のパソコンがかかってしまった場合の影響を考えると、不安に思う方が多いかと思います。 そのような不安を感じている方は、当ページに整理した無料のオンラインスキャンツールでスパイウェアの感染確認・駆除を行いましょう。 スパイウェアをオンラインでの感染確認・駆除方法 スパイウェアとは、簡単に説明すると「コンピューター内で、ユーザーの個人情報や行動を収集し、別の場所に送ってしまうプログラム」のことです。 まさに「スパイ」ですね。 通常スパイといえば、ターゲットとなる国に忍び込んで母国に情報を送る。 そんなイメージにぴったりな名称の「スパイウェア」 スパイウェアには、いくつかの種類があります。 スパイウェアの種類 この種類によって、スパイウェアの活動内容や危険度が異なっていますので、このページで覚えておきましょ
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
