Copyright © 2024 Information-technology Promotion Agency, Japan（IPA）　法人番号 5010005007126

「人手によるランサムウェア攻撃」と「二重の脅迫」 最終更新日：2020年8月20日 独立行政法人情報処理推進機構 セキュリティセンター 本ページの情報は2020年8月時点のものです。 身代金として金銭を得ることを目的に、企業・組織内のネットワークへ侵入し、パソコン等の端末やサーバ上のデータを一斉に暗号化して使用できなくしたり、データを窃取して公開すると脅迫したりするサイバー攻撃の被害が多発しています。これは、「ランサムウェア」と呼ばれるウイルスを用いた従来の攻撃に、「人手によるランサムウェア攻撃」と「二重の脅迫」の新たな手口が加わったものです。諜報活動を目的とするような標的型サイバー攻撃と同等の技術が駆使され、大量のデータやシステム全体が被害に遭い、事業継続が脅かされる可能性があるため注意が必要です。これまで、海外の企業等で被害が多く見られていましたが、一部、国内の企業・組織でもこの攻撃手

Emotet（エモテット）関連情報 Emotet（エモテット）の概要 Emotetとは、メールアカウントやメールデータなどの情報窃取に加え、更に他のウイルスへの二次感染のために悪用されるウイルスです。このウイルスは、不正なメール（攻撃メール）に添付される不正なファイルなどから、感染の拡大が試みられます。 Emotetへの感染を狙う攻撃の中には、正規のメールへの返信を装う手口が使われる場合があります。この手口では、攻撃対象者（攻撃メールの受信者）が過去にメールのやり取りをしたことのある、実在の相手の氏名、メールアドレス、メールの内容などの一部が流用された、あたかもその相手からの返信メールであるかのように見える攻撃メールが使われます。そのため、攻撃メールの受信者が、知った人物から送られてきたメールと勘違いして添付された不正なファイルを開いてしまい、Emotetに感染してしまう可能性も考えられま

消費者のためのネット接続製品の安全な選定・利用ガイド -詳細版- 昨今、パソコンやスマートフォンだけではなく、エアコンや冷蔵庫などの家電製品や玩具など、色々なものがネットにつながるようになりました。その分、消費者がサイバー攻撃を受けるリスクも高まっています。 このため、製品メーカーは開発する製品に対してセキュリティを確保するための機能を搭載するなどの対応を行っています。消費者の皆様はセキュリティを確保する機能を備えた製品を選び、正しくその機能を理解して利用していますか。 このガイドでは以下の 2 点を達成する為のポイントをまとめています。 安全なネット接続製品を選ぶ 購入したネット接続製品を安全に利用する このガイドは、確認のポイントや場所、実施しなかった場合の影響や対策などを解説した 詳細版 です。消費者の皆様が親しみ易いように、絵で分かり易くポイントだけ記載した小冊子版も提供しています

ガイドの内容 目的 サイバー攻撃の脅威は高まる一方、製品の脆弱性を網羅的に対処するのは困難です。製品開発者の脆弱性対処状況は一般消費者からの製品評価向上、製品選定の優位性（顧客獲得及び売上等）になりづらい、という課題があるため、結果的に脆弱性対処が進まないという状況となっています。 このような状況を受け、以下3点を目的に、脆弱性対処に向けた製品開発者向けのガイドを公開しました。 製品開発者がセキュリティ対策として実施すべき項目を把握できる 実施する対処を徐々にレベルアップできる 一般消費者に自組織の取組み状況をアピールするため、すべきことを把握できる ガイドの特徴 国内外の主要なガイド等から抽出した標準的に実施が求められる対処集 チェックリストで自組織の脆弱性対処の状況が把握可能 レベル分けした対処方法により、自組織の状況に応じた対処から実施可能 一般消費者にアピールするため、対処の実施状

情報セキュリティ早期警戒パートナーシップガイドラインとは 「情報セキュリティ早期警戒パートナーシップ」は、「ソフトウエア製品等の脆弱性関連情報に関する取扱規程」（平成29年経済産業省告示第19号、最終改正令和6年経済産業省告示第93号）の告示を踏まえ、国内におけるソフトウェア等の脆弱性関連情報を適切に流通させるために作られている枠組みです。 IPA、一般社団法人JPCERTコーディネーションセンター（略称：JPCERT/CC）、一般社団法人 電子情報技術産業協会(略称：JEITA)、一般社団法人 ソフトウェア協会(略称：SAJ)、一般社団法人 情報サービス産業協会(略称：JISA)及び特定非営利活動法人 日本ネットワークセキュリティ協会(略称：JNSA)は、脆弱性関連情報の適切な流通により、コンピュータウイルス、不正アクセスなどによる被害発生を抑制するために、関係者及び関係業界と協調して国

以下は、「ソフトウェア等の脆弱性関連情報に関する届出状況」1章の抜粋です。 1. ソフトウェア等の脆弱性に関する取扱状況（概要） 1-1. 脆弱性関連情報の届出状況 ～脆弱性の届出件数の累計は15,224件～ 表1-1は情報セキュリティ早期警戒パートナーシップ（*1）における本四半期の脆弱性関連情報の届出件数、および届出受付開始（2004年7月8日）から本四半期末までの累計を示しています。本四半期のソフトウェア製品に関する届出件数は68件、ウェブアプリケーション（以降「ウェブサイト」）に関する届出は104件、合計172件でした。届出受付開始からの累計は15,224件で、内訳はソフトウェア製品に関するもの4,457件、ウェブサイトに関するもの10,767件でウェブサイトに関する届出が全体の約7割を占めています。 図1-1は過去3年間の届出件数の四半期ごとの推移を示したものです。本四半期は、ソ

IPA（独立行政法人情報処理推進機構、理事長：富田 達夫）は、国内の産業用制御システム保有事業者のセキュリティ対策を促進するために「産業用制御システムのセキュリティ -10大脅威と対策 2019-」を発表しました。これはドイツ連邦政府 情報セキュリティ庁（BSI）が作成したものをIPAが許可を得て翻訳したものです。 産業用制御システムは、電力、ガス、水道、鉄道等の社会インフラや、石油、化学、鉄鋼・自動車・輸送機器、精密機械、食品、製薬、ビル管理等の工場・プラントにおける監視・制御や生産・加工ラインにおいて用いられています。 IPAでは、2017年10月「制御システムのセキュリティリスク分析ガイド」を発刊。制御システムの資産や事業被害のリスクレベルを明確化するリスクアセスメント手法を解説しています。また、2019年7月には、過去のサイバー攻撃の事例をもとに、その概要と攻撃の流れを紹介する「「

IPA（独立行政法人情報処理推進機構、理事長：藤江 一正）は、オフィス機器、家電製品のインターネット接続に伴う新たな脅威や、不用意な外部公開をSHODANで確認する手順をまとめたレポート「増加するインターネット接続機器の不適切な情報公開とその対策」を2014年2月27日からIPAのウェブサイトで公開しました。 下記より「増加するインターネット接続機器の不適切な情報公開とその対策」についてのレポートPDF版をダウンロードしてご利用いただけます。

制御システムを保有する事業者にとって、国内外で発生したサイバーインシデント事例の情報をもとに、自社の制御システムに対して同様の脅威が発生した場合のリスクアセスメント（リスクの特定・分析・評価）を実施することは、セキュリティリスク管理の強化につながります。 IPA（情報処理推進機構）は、制御システムにおけるリスクアセスメントの具体的な手順を解説した「制御システムのセキュリティリスク分析ガイド」を公開しています。このガイドでは、制御システム保有事業者の事業に重大な被害を与えるサイバー攻撃からの回避に重点を置いた「事業被害ベースのリスク分析手法」を紹介しています。 同分析手法でも、攻撃シナリオの検討時に過去の攻撃事例を参考にすることを提示しており、これによって、自社の制御システムに対して類似の脅威が発生した場合の事業への影響、脅威の発生可能性、発生した脅威の受容可能性／脅威に対するセキュリティ対

IPA（独立行政法人情報処理推進機構）は、中小企業の情報セキュリティ対策に関する検討を行い、より具体的な対策を示す「中小企業の情報セキュリティ対策ガイドライン」を公開しました。 概要 「中小企業の情報セキュリティ対策ガイドライン」（以下「本ガイドライン」）は、情報セキュリティ対策に取り組む際の、(1)経営者が認識し実施すべき指針、（2）社内において対策を実践する際の手順や手法をまとめたものです。経営者編と実践編から構成されており、個人事業主、小規模事業者を含む中小企業（以下「中小企業等」）の利用を想定しています。 第3.1版は第3版（2019年3月）を公表して以降、新型コロナウイルス感染防止策によるテレワークの普及や、DX 推進の両輪としての情報セキュリティ対策といった社会動向の変化などを踏まえ、具体的な対応策を盛り込むための改訂を行いました。例えば実践編において、テレワークを安全に実施す

Copyright © 2024 Information-technology Promotion Agency, Japan（IPA）　法人番号 5010005007126