ランサムウェアが猛威を振るっています。このマルウェアの進化の歴史、被害状況などの数字、そして対策を紹介します。 最近、ニュースを大いに賑わせているランサムウェア。このマルウェアは一時的な話題にすぎず、新たな脅威の登場と同時に忘れられてしまうのでしょうか？残念ながら、そうではないようです。ランサムウェアの感染は世界中に蔓延していて、この手のマルウェアは当分なくなりそうもありません。みなさんを脅かすつもりはありません。いえ、怖がってもらいたいのですが、ふざけているわけでもないのです。Kaspersky Security Networkで収集された統計を見てください。私たちが極めて深刻な脅威に直面していることがわかります。 第1の波：画面ロック型ランサムウェア ランサムウェアの歴史は、暗号化実装前と実装後に分けられます。暗号化機能を備えた今のランサムウェアの先祖にあたるのは、画面ロック型のランサ

前回のエントリ に続いて、ますます巧妙になっている標的型メールを、どのようにして見抜くことが出来るかということを考えてみたい。 先ず前提として、最近の標的型メールは Fromアドレス、件名、本文、添付ファイル名などは、業務内容などから違和感のない巧妙なものとなっており、これらから標的型メールと見抜くことは非常に困難 文書ファイルに偽装した実行ファイルを圧縮して添付されてくるのが標的型メールの典型的な手口 という事実がある。 実行ファイルが圧縮されて添付されるのは、実行ファイルの直接の添付は、メールゲートウェイなどでブロックしている組織が多いからであろう。圧縮ファイルはパスワード付きで暗号化されていることが多い。これは、メール配送経路でのマルウェア対策製品による検出を回避するためであると思われる。 圧縮ファイルが添付されてくるということは、添付を開いたら即、ファイルが実行されて感染ということ

前々回、前回 のエントリでは、標的型メールを見分けるポイントについて述べた。せっかくなので、ランサムウェアを拡散するばらまき型のスパムメールに対する対策についても考察してみる。 現在、犯罪者がランサムウェアを拡散する手段としては、大きく分けて不正広告（マルバタイジング）や正規のサイトの改ざんによるWebアクセス（ドライブバイダウンロード）によるものと、ばらまき型のスパムメールによるものの２つがある。Webアクセスからの感染の対策については別途、紹介するとして、ここでは、スパムメールによる感染の対策について考えてみたい。 標的型メールの典型的な手法が、実行ファイルを文書ファイルにアイコン偽装して添付するのに対し、ランサムウェアの拡散に使われる主な手口は、Office文書（特にWord）のマクロ機能を使ったものと、JavaScript(拡張子 .js )を使用したものだ。2015年まではOff

こんにちは。アイレットのcloudpack事業部で情報セキュリティ管理を担当している齊藤愼仁です。 突然ですが、読者の皆さんは自社の情報セキュリティをどのようにして評価していますか？　規模はさまざまだと思いますが、何かしらの対策や決まりごと、はたまた暗黙なルールや自制心などがあるのではないでしょうか。 情報セキュリティが担保できているかどうかを評価するためには「一定の基準」が必要になります。その基準を用意してくれるのが外部の監査機関です。 “史上最強”の情報セキュリティ監査――「SOC2」って何ですか？ セキュリティ監査と言えば、日本国内ではプライバシーマーク制度が有名ですが、これはあくまでも国内に限った話ですし、個人情報の取り扱いについてのみ言及されているもので、プライバシーマークを取得している企業だからといって、情報セキュリティが担保されていることの証明にはなりません。 そこでISOを

インテル セキュリティは、世界中に配備した数百万台に上るセンサーから得られたデータを、脅威インテリジェンス「McAfee Global Threat Intelligence」（McAfee GTI）に集約し、日々の検知・防御に活用しています。同時にその分析結果を四半期ごとにレポートとして公表しています。 2016年第1四半期の状況をまとめた最新号「McAfee Labs脅威レポート: 2016年6月」によると、過去の脅威レポートでも報告した「ランサムウェア」の勢いは、高い技術力を持たない犯罪者でも簡単にマルウェアを作成、配布できるエクスプロイトキットの存在もあって衰えを見せず、24％増加しています。また、昨年11月の脅威レポートで取り上げた「マクロウイルス」も引き続き増加を続けており、依然として注意が必要です。 それぞれ単体では無害なアプリが共謀？ さて、インテル セキュリティではより正

品川区は自治体情報セキュリティ対策の強化に向けて、情報漏えいを防止する新たなセキュリティ機能を構築した。 東京都品川区が標的型サイバー攻撃などによる情報漏えいを防止するための新たなセキュリティ機能を構築した。これを手掛けたNECが6月29日に発表した。 品川区が講じた新たな対策機能は、「インターネット分離」と「ファイル暗号化」の2種。インターネット環境とイントラネット環境を分離することでWebサイト閲覧によるウイルス感染を防止するとともに、さまざまな形式のファイルを自動的に暗号化し、保護することで意図しない情報の流出を防ぐ。これらの機能は、2016年4月から稼働を開始しているという。 品川区では、2015年にSDNによる全庁ネットワーク基盤を稼働させており、プライベートクラウドである全庁仮想化共通基盤も導入済みであることから、新しい機能を低コストで短期導入できた。 インターネット分離では、

お客様各位 ヤマト運輸の名前を装った添付ファイル付きの不審メールが、不特定多数のお客様に断続的に送信されていますが、ヤマト運輸からは添付ファイル付きのメールをお送りすることはありません。 不審メールには、ZIP形式のファイルが添付されており、ファイルを開くとコンピューターウイルスに感染することが想定されます。絶対に添付ファイルを開かず、削除いただきますようお願いいたします。 万が一、添付ファイルを開いてしまった場合は、ウイルス対策ソフトなどでウイルスチェックを行うことをおすすめいたします。 また、不審メールには、ヤマト運輸からお送りしているメールと同じ「件名」や「差出人アドレス」が表示されている場合がありますので、くれぐれもご注意ください。 ご不明な場合は弊社サービスセンターまでご連絡ください。 ※本件については、下記の関連サイトもご参照ください。 警視庁WEB：実在する企業を装ったウイル

世界105カ国に設置された防犯カメラ2万5000台を踏み台にして、大量のトラフィックを特定の標的に送り付ける分散型サービス妨害（DDoS）攻撃が仕掛けられる事件が発生した。セキュリティ企業のSucuriが6月27日のブログで報告した。 それによると、発端は宝飾店のWebサイトに対するDDoS攻撃だった。このWebサイトに毎秒3万5000件近いHTTPリクエストが送り付けられてダウンしていたといい、Sucuriが対応に当たって復旧させた。 ところが同サイトが復旧すると攻撃はさらに激化。ピーク時で毎秒5万近いリクエストの“洪水”状態が何日も続いたという。 Sucuriが詳しく調べたところ、この攻撃は防犯カメラのみで形成するボットネットから仕掛けられていたことが分かった。モノのインターネット（IoT）デバイスを踏み台にした攻撃は珍しくなくなったものの、防犯カメラのみを使ったこれほど長時間かつ大規

IPAは、J-CRAT活動を通して実際に入手した相互に関連する標的型攻撃メール群を対象に、攻撃手口や攻撃者の標的（狙い）の分析を行ったレポートを公開しました。 J-CRATでは、2015年11月の1件の標的型攻撃メールをスタート点に、標的型サイバー攻撃の連鎖（送信元や送付および同報先とそこを足掛かりとした更なる攻撃など）を追跡してレスキュー活動を実施する中で、2016年3月まで継続した攻撃において、44の組織から137件の標的型攻撃メールを入手しました。 本レポートでは、この攻撃の集合をキャンペーンと呼び、このキャンペーンの分析を行っています。攻撃者の挙動を分析するため、「キャンペーン」のサブセットをオペレーションとして、以下の定義を導入しています： 【一連の攻撃（オペレーション）の定義】 ・標的型攻撃メールの差出人、件名、本文、添付ファイルのすべてが同一 ・メールの送信間隔に1時間以上の

会議の様子 観光庁は6月28日、このほどジェイティービー（JTB）など旅行会社2社の情報システムが外部からの不正アクセスを受けた事案について、旅行会社と情報を共有し、再発防止をはかるための「情報共有会議」の初会合を開催した。同庁が旅行会社向けに情報セキュリティに関する会合を開いたのは、今回が初めて。参加者は約100名に上った。 冒頭で挨拶した観光庁長官の田村明比古氏は、近年のIT化に伴い、企業のサーバーへの不正アクセスや、サイバー攻撃などの可能性が高まっていることを説明。「旅行業界は大きな顧客情報を有しており、特に不正アクセスやサイバー攻撃を受けやすい」と指摘した。また「各社のトップにも強くセキュリティ意識を共有してもらい、社内全体で体制を整備をすることが不可欠」と述べ、業界全体で早急に管理体制を見直し、再発防止に努めることを要望した。 観光庁長官の田村氏 観光庁によれば、この日はそのほか

近年のサイバー攻撃は、個別の組織や業界を標的とした攻撃、個人の情報や金銭の搾取を目的とした攻撃、政治的な主張や技術力を誇示するための攻撃など、目的や対象、手法が多岐にわたり、事業の根幹を揺るがすような影響を及ぼすものもあります。そのため、組織では、サイバー攻撃への備えが課題となっています。備えの一つとして、発生したセキュリティインシデントに効果的に対処するための組織体制の要となる「Computer Security Incident Response Team（CSIRT）」の構築や運用が進められています。 CSIRTは、母体となる組織文化や要員の技術的背景などによってさまざまな形態が考えられます。また、高度化するサイバー攻撃手法など、取り巻く環境は日々変化しており、CSIRT構築および運用の実態を定期的に把握し、柔軟に対応することが重要となります。 こうした状況を踏まえ、JPCERT/C

近年のサイバー攻撃では、マルウエアに感染したマシンを侵入の起点として、他のマシンへの感染拡大や、内部サーバへの侵入など、組織内の至るところを侵害する事例が多く確認されています。こうした事案においては調査対象ポイントが多数になるので、それらを重大な事象を見落とすことなく迅速に調査して、できる限り正確に被害の全体像を掌握し、善後策の立案に必要な事実を収集するための手立てが求められています。 一方、攻撃対象であるネットワークの構成は組織によって様々ですが、攻撃の手口にはよく見られる共通したパターンが存在し、同じツールが使用されることが多く見受けられます。 攻撃者によって使われることが多い代表的なツールがどのようなものか、さらに、それらが使用されると、どこにどのような痕跡が残るのかを把握していれば、多数の調査対象ポイントを体系的かつ迅速に調査できるようになると考えられます。本報告書は、実際の攻撃に

佐賀県の教育情報システムなどが不正にアクセスされ、生徒の個人情報が大量に漏えいした事件で、摘発された少年の１人が調べに対し、入手した情報を仲間で共有し「学校のシステム管理の甘さをからかっていた」という趣旨の話をしていることが警視庁への取材で分かりました。 警視庁のこれまでの調べで少年たちは、学校から漏えいした情報を同じ佐賀県に住む高校生ら数人と「情報収集会議」と称してインターネットのチャットサービスなどを通じて共有していたということです。その後の調べで、男子生徒は、入手した学校のシステムの管理状況に関する日報について仲間どうしでやりとりしながら「学校のシステム管理の甘さをからかっていた」という趣旨の話をしていることが捜査関係者への取材で分かりました。 警視庁は、少年たちが盗み出した情報をやりとりしていたいきさつや不正アクセスの手口などについてさらに調べを進めています。 馳文部科学大臣は閣議

こうしたフィッシング攻撃によって漏えいしたデータの多くを認証情報が占める。このうち63％は、平易なパスワードやIT製品・サービスなどの初期設定パスワードなどだった。漏えいした認証情報の大半は、攻撃者によるハッキングやマルウェア感染、機密情報の搾取、マルウェアと攻撃者サーバとの通信といった行為に悪用されていた。 フィッシングメールは、標的型サイバー攻撃などの常とう手段とされ、国内で確認される事案でも手口の上位となっている。その対策では以前から「あやしいメールを開くな」といった呼び掛けが繰り返されてきたものの、こうした実情に「効果のない対策であり、メールを開いてしまうことを前提に別の対策手段を講じるべきだ」と指摘するセキュリティの専門家は多い。 報告書の内容を説明したグローバルセキュリティサービス／リスクチーム マネージングディレクターのブライアン・サーティン氏は、企業や組織の従業員にあやしい

IPA（独立行政法人情報処理推進機構、理事長：富田 達夫）は、情報処理安全確保支援士制度が創設されることを踏まえ、情報処理安全確保支援士と現行の情報処理技術者試験「情報セキュリティスペシャリスト試験」の位置付け、試験実施予定などについて公表しました。 経済産業省は2016年4月27日に、国家資格となる「情報処理安全確保支援士」制度を2016年度内に新たに創設するとともに、「情報処理安全確保支援士試験（以下、支援士試験）」を2017年度から実施することを公表しました(*1)。 同制度は情報セキュリティの専門的な知識・技能を有する専門人材を登録・公表するもので、支援士試験は、現在実施している国家試験「情報処理技術者試験」の「情報セキュリティスペシャリスト試験（以下、SC試験）」の内容をベースに実施されます。 試験制度における両試験の位置付けは下図のとおりで、これまで情報処理技術者試験制度の枠組

国内旅行代理店大手のJTBは6月14日、最大790万件の個人情報漏洩の可能性を公表した（関連記事1：「流出事実ないがお客様にお詫びする」、793万人の情報流出可能性でJTBの高橋社長が謝罪、関連記事2：[詳報]JTBを襲った標的型攻撃）。公表内容によれば、事故の発端は3月15日のウイルス感染だという。 この事故の第一報に耳にしたとき、記者は「3カ月も経過してから第一報は遅すぎではないか」と感じた。その後詳しい情報に触れて、同社の事情や立場もある程度は理解はできたものの、それでも同社が情報漏洩の可能性を確認した5月13日を起点に公表を決めたのは遅すぎると考えた。その前に公表できるタイミングが、本当になかったのか。 読者の方々は、同じ日に別の情報漏洩事故が公表されていたのをご存じだろうか。電子部品などを手掛ける双葉電子工業の子会社、フタバ産業（同名の自動車部品メーカーとは無関係）が、オンライン

本資料は、OWASP の Application Security Verification Standard (ASVS:アプリケーションセキュリティ検証標準) 3.0.1 を翻訳したものです。 ASVS プロジェクトは、アプリケーションの設計、開発、脆弱性診断などにおいて必要となるセキュリティ要件の標準を確立することを目指して活動しています。ASVS v3.0.1 では、アーキテクチャ、認証、セッション管理、アクセス制御など、アプリケーションに必要とされるセキュリティ要件を総計19のカテゴリに分類してまとめています。 また、これらのセキュリティ要件は、必ずしもすべて満たすべきというわけではありません。例えば「入力値検証はサーバ側で実装されている(5.5)」のように、すべてのアプリケーションが満たすべきセキュリティ要件がある一方で、「セキュリティログに完全性を保証する機構が備わっており許

総務省がこの度発表した「 AI（人口知能）ネットワークの影響とリスク 」という報告書の内容が話題になっています。 ハッキング や 制御不能 のリスクだけでなく、ロボットが 振り込め詐欺の出し子 に使われる可能性、遺伝子等を元に 亡くなった人をロボットで再現 する可能性、人間に投棄された「 野良ロボット 」が徒党を組んで 参政権を訴える 可能性など超具体的です。まるで攻殻機動隊の世界です。 報告書にまとめられている主なリスクは下記の通り。 （出典： AIネットワーク化検討会議 報告書2016 の公表 ） セキュリティに関するリスク ロボット自身がハッキング攻撃されることにより、踏み台として利用され、情報が流出したり、ロボットが不正に操作される。 ロボットに関係するクラウド等AIネットワークシステムが ハッキング攻撃されることにより、情報が流出したり、ロボットが不正に操作される。 情報通信ネッ