国内旅行代理店大手のJTBは6月14日、最大790万件の個人情報漏洩の可能性を公表した（関連記事1：「流出事実ないがお客様にお詫びする」、793万人の情報流出可能性でJTBの高橋社長が謝罪、関連記事2：[詳報]JTBを襲った標的型攻撃）。公表内容によれば、事故の発端は3月15日のウイルス感染だという。 この事故の第一報に耳にしたとき、記者は「3カ月も経過してから第一報は遅すぎではないか」と感じた。その後詳しい情報に触れて、同社の事情や立場もある程度は理解はできたものの、それでも同社が情報漏洩の可能性を確認した5月13日を起点に公表を決めたのは遅すぎると考えた。その前に公表できるタイミングが、本当になかったのか。 読者の方々は、同じ日に別の情報漏洩事故が公表されていたのをご存じだろうか。電子部品などを手掛ける双葉電子工業の子会社、フタバ産業（同名の自動車部品メーカーとは無関係）が、オンライン

ジェイティービー（JTB）が2016年6月14日に公表した、最大で約793万人分の個人情報が流出した可能性がある事案の発端は巧妙に取引先を装った標的型メールだった（関連記事：「流出事実ないがお客様にお詫びする」、793万人の情報流出可能性でJTBの高橋社長が謝罪）。 約4300人分の有効期限中のパスポート番号を含む個人情報が漏洩した可能性のある事案は国内で類がない。同日の記者会見と会見後の取材で分かった経緯を追っていく。 発端は3カ月前の2016年3月15日。旅行商品をインターネット販売する子会社であるi.JTB（アイドットジェイティービー）がWebサイトで公開する、問い合わせを受け付ける代表メールアドレスに、何者かが標的型メールを送り付けた。 i.JTBはJTBのWebサイトのほか、「るるぶトラベル」や訪日外国人向け「JAPANiCAN」といった自社運営のWebサイトで旅行商品を販売して

NTT西日本 ビジネス営業本部 クラウドソリューション部 セキュリティサービスグループ／富居 姿寿子、大森 章充＝NTT NTTセキュアプラットフォーム研究所 NTT-CERT 広く使われているソフトウエアの脆弱性を突く攻撃が相次いでいる。ニュースなどによれば、細工が施されたWebサイトにアクセスするだけで、パソコンの情報が盗まれるという。脆弱性を悪用するのは簡単なのだろうか。 実験では、2015年7月に見つかったFlash Playerの脆弱性を突いた（図10-1）。この脆弱性を悪用した攻撃が実際に出回ったため、当時は大きな話題となった。IPAやJPCERTコーディネーションセンターといったセキュリティ組織は注意喚起を発表。開発元のアドビシステムズも、すぐに修正版を提供した。今回の実験では、その脆弱性が存在する古いバージョンのFlash Player 18.0.0.194を使った。パソコ

NTT西日本 ビジネス営業本部 クラウドソリューション部 セキュリティサービスグループ／富居 姿寿子,大森 章充＝NTT NTTセキュアプラットフォーム研究所 NTT-CERT SSID▼は無線LANのアクセスポイント（AP）の識別名である。通常、APは自分のSSIDを発信して、その存在を知らせる。無線LAN機能を内蔵したノートパソコンなどでは、無線LANの接続用画面にSSIDの一覧を表示して、その中から接続したいAPのSSIDを選択し、パスワード（ネットワークキー）などを入力して接続するのが通常の操作になる。 APにはSSIDを隠蔽（ステルス化）する機能があり、ノートパソコンなどの無線LANの接続画面にSSIDを表示させないようにできる。事前に知っているユーザーがSSIDを入力しないと接続できないため、SSIDの隠蔽はセキュリティが高まるように思える。 一方で、解析ツールを使えば、隠蔽さ

2017年度から、サイバーセキュリティ人材の育成・確保を狙った新たな国家資格「情報処理安全確保支援士」制度が始動することが固まった。現行のセキュリティ試験である「情報セキュリティスペシャリスト（SC）試験」をベースとしつつ、「登録制」と「講習受講義務」を導入することで、セキュリティ人材の量と質の確保を狙う。 4月15日に国会で関連法が可決・成立し、同月27日に経済産業省産業構造審議会の「試験ワーキンググループ」が制度設計についての「中間取りまとめ」を発表した（図1、関連記事：情報セキュリティスペシャリスト合格者は「情報処理安全確保支援士」試験免除へ）。 今後は経産省と、制度の実施主体となる情報処理推進機構（IPA）による細部の詰めに焦点が移る。経産省は「中間取りまとめに基づいて準備を進める」としており、実質的に制度の大枠は固まった。資格取得を目指す人や、該当者を雇用する企業は、制度をよく理

国内シェアトップのWebフィルタリングソフト「i-FILTER」などを提供するデジタルアーツ。誤送信対策機能などを盛り込んだメールセキュリティソフト「m-FILTER」やファイルの暗号化や追跡消去が可能な情報漏洩対策ソフト「FinalCode」も手掛けることでも知られる。昨今は、セキュリティ大手ファイア・アイ日本法人やクラウドストレージの米BOXなどとの製品連携を相次ぎ発表し、海外市場への本格参入も表明した。「性善説だけでセキュリティは守れない」と話す同社社長の道具登志夫氏に市場動向と2016年の事業戦略について聞いた。 2015年下期から世の中の流れが変わり、ようやく情報セキュリティ市場に火が付いてきた。ベネッセ（ホールディングスの情報漏洩事件）に続き、日本年金機構（の年金情報流出事案）が大きく影響しているだろう。セキュリティ大手の経営層が「もうウイルス対策ソフトは役に立たない」と発言し

JPCERTコーディネーションセンター（JPCERT/CC）は2016年4月27日、2016年第1四半期（1～3月）の脆弱性関連の届出状況について発表した。ソフトウエア製品に関する脆弱性の届出件数は100件、Webサイトに関する届出は85件で合計185件だった（図）。 製品別では、Webアプリケーションソフトが38件で最多。次いでルーターが17件、情報家電が9件と続いた。 2004年7月8日から今四半期までの累計届出数も発表した。それによると届出件数は1万1677件で、内訳はソフトウエア製品に関するものが2476件、Webサイトに関するものが9201件。Webサイトに関する届出が全体の約8割を占めたという。 脆弱性の修正が完了した件数については、今四半期はソフトウエア製品が34件で、Webサイトの件数は98件だった。Webサイトの修正を完了した98件のうち、Webアプリケーションを修正した

経済産業省産業構造審議会の下部組織である「試験ワーキンググループ」は2016年4月27日、2017年度から新たに実施されるサイバーセキュリティ人材の国家資格「情報処理安全確保支援士」の具体的な制度設計について、「中間取りまとめ」を発表した（図）。 支援士について、根拠法はすでに成立している（関連記事：改正サイバー法が成立、国家資格「情報処理安全確保支援士」を新設）。「中間取りまとめ」によって、制度の全体像も事実上固まった。制度を所管する経済産業省と、制度の実施主体となる情報処理推進機構（IPA）は今後、細部の規程策定や実施体制の整備を進める。 セスペ試験は廃止 「中間取りまとめ」によれば、「情報処理安全確保支援士試験」は、現行の情報処理技術者試験の区分である「情報セキュリティスペシャリスト試験（SC）」を引き継ぐ形で実施する。試験の内容は、現行のSCのものをベースとする。2017年春以降、