工場を狙うサイバー攻撃の実態工場の情報セキュリティーリスクがかつてなく高まっている。生産装置などがインターネットを介してつながる「第4次産業革命」の進展に伴い、生産拠点や発電所などの設備もサイバー攻撃の被害を受けるようになった。米国のセキュリティーイベント「Black Hat(ブラックハット)」で明らかになった巧妙な手口を紹介しつつ、工場を襲うサイバー攻撃の最新動向と企業の対策を追う。
スクープ解説 流出が空前規模に拡大した理由
今回の情報漏洩を引き起こしたのは、取引先など社外のサイトだ。16億件のアドレスにはそれぞれ、流出元となったサイトが付記されている。リストには業務依頼やアルバイト紹介、通販などのサイトがずらりと並ぶ。 社員が業務で社外のサイトを利用するときに、会社のメールアドレスを使って会員登録し、その情報が漏洩した。中には社内のルールを守らず、プライベートで利用するサイトに会社のアドレスを登録した社員もいたはずだ。 「専門家の助言を踏まえ、社内システムには常に最新の防御策を施している」(広報)というトヨタでも、社外のサイトが抜け穴となり、グループ全体で8200件近い情報が流出した。 流出元のサイトではパスワードを暗号化して保管するという、最低限の対策さえ取っていなかった。その一つが、三菱地所グループが運営する商業施設「プレミアム・アウトレット」だ。メールマガジン会員のアドレスとパスワードの組み合わせを24
製品ナビ:入退室管理システムの最前線 ―前編― / SAFETY JAPAN [製品ナビ] / 日経BP社
入退室管理は従来、企業や大学の研究所、工場、病院、コンピューター室といった特定施設に必要な防犯システムあるいはその延長上のセキュリティーにすぎなかった。だが今や、企業が抱えるさまざまな課題、例えば事業継続、内部統制、個人情報保護法、機密情報管理、ISMS(情報セキュリティーマネジメントシステム)、労務管理、安否確認といった課題に対して、入退室管理はどのような課題解決となりうるかといったとらえられ方をすることが増えてきた。 単に出入り口のドアから侵入者を防げば済むということではなくなり、企業の課題解決ソリューションになりつつあるのだ。それを背景に多種多様な入退室管理システムが登場してきている。どんな入退室管理システムや関連技術があるのか。主だった製品の特徴や導入の際のポイントなどについて、今回と次回の2回に分けて見ることにする。 文/日高 俊明 2007年7月18日 後編はこちら >>
スパム・メール対策
勧誘,物販などの宣伝文句や公序良俗に反する文字が踊る不快なスパム・メール。大事なビジネス・メールがスパム・メールに紛れ,業務に支障を来している企業も少なくないだろう。メール・クライアントのフィルタリング機能を使うなどの方法もあるが,スパム・メールが全社的に送り付けられている場合,やはりスパム・メール対策製品/サービスを中心とした対策で望むのがベストだ。(小野 亮=日経コミュニケーション) スパム・メールが大量に送り付けられている場合,メール・システムの見直しなど抜本的な対策が求められる。スパム・メールの件数が多くなればなるほど,フレーズや単語を洗い出してスパム・メールを特定するといった一連の処理が,システムに多大な負荷を与えるようになるからだ。 スパム・メール自体も,ますますズル賢くなっており,侵入方法の特定も容易ではない。導入後のメンテナンス,スパム・メールの増加の懸念などを考えると,全
マルウエア対策のTips,知りたくありませんか?
「xdoc2txt」というプログラムがある。どのくらいの方がご存知だろうか。ググってみればすぐ分かるが,これはMicrosoft Wordなどの文書の内容をテキストに変換してくれるフリーのプログラムだ。Wordだけでなく,Excel,PowerPoint,PDF形式のファイルからもテキストを抽出してくれるツワモノである。 これだけなら「ふぅん」という程度かもしれない。だが,これがセキュリティ,もっと言えば,すべてのユーザーが防御に手こずっているマルウエア対策になるとしたら,「へぇ~っ!」とはならないだろうか。 実はこの話,日経コミュニケーションで連載している「セキュリティ・ウォッチ」に掲載したネタである(関連記事)。マルウエアとおぼしきファイルをxdoc2txtにかけてみて,ファイルの中身がからっぽだったり,読解不能な文字列が見えたりしたらマルウエアと疑える,という話だ。ゼロデイのぜい弱性
草の根無線LAN「FON」のセキュリティ問題は解決できるか
少し前,「記者のつぶやき」というコラムで,公衆無線LANサービス「FON」の接続実験の結果をリポートした(関連記事:GWに大実験,住宅地のFON APはどれぐらい使えるのか)。今回は,その続編とでもいうべき記事である。前回の「記者のつぶやき」では,FONにはセキュリティ上の問題点があり,それが無線LAN アクセス・ポイント(AP)の地図上の位置を意図的に偽る動機になると述べた。このセキュリティ上の問題と,その対策について今回は考えてみたい。 その前に,まずはFONとは何かについて簡単におさらいをしておこう。FONとは2005年にスペインでサービスが始まり,日本でも2006年12月に本格展開を開始した公衆無線LANサービスである。他の公衆無線LANサービスと大きく違う点は,インターネット接続のインフラをユーザー自身が担うことだ。FONには,ユーザーが自らのAPを無償で公開する代わりに,他者の
子どもを性犯罪者から守った「母親のスパイウエア」
セキュリティベンダーの英ソフォスは2007年5月31日(現地時間)、26歳の米国人の男が、児童ポルノを所有していた罪で逮捕されたことを伝えた。逮捕のきっかけは、英国女性が自分の息子のパソコンに仕掛けたスパイウエア。スパイウエアが収集した情報から、男がネットを通じて息子と不適切なやり取りをしていることを知り、警察に通報した。 ソフォスによると、通常、スパイウエアは、攻撃者が金銭的価値のある情報を他人のパソコンから盗むために使われるが、このケースでは、未成年者を守るために使われたという。 英国のある女性は、15歳の息子がインターネットをどのように利用しているのか調べるため、息子が使っているパソコンにスパイウエアを仕込んだ。その結果、米国人の男と、みだらな写真やビデオを交換していることを知り、英国の警察に通報。警察からは米国の出入国管理局に伝えられ、その少年(息子)に会うために英国に渡ろうとして
FONはどれだけ使える?(4)---セキュリティには十分注意を
連載第4回に引き続き,ポイントごとにFONの仕組みを徹底解剖していく。今回は(3)セキュリティ上の注意点,(4)踏み台対策,を取り上げる。 ポイント(3)セキュリティ上の注意点 FONと一般的な公衆無線LANサービスで最も異なるのがセキュリティ対策だろう。FONのサービスでは,(1)無線LANの通信内容が盗聴される恐れがある,(2)FONのAPに同時にアクセスしているパソコンから不正アクセスされる可能性がある──といった点に注意が必要だ(図1)。 図1●FONを利用する際はセキュリティに注意 FONの場合,公開用APに同時アクセスしている他のパソコンが丸見えになってしまうが,一般的な公衆無線LANサービスではそれを防ぐ機能が備わっている。 [画像のクリックで拡大表示] (1)はFONのAPが無線LAN信号を暗号化していない点に起因する。一般的な公衆無線LANサービスではWEP(wired
「次世代電子メール」は生まれるか
今や電子メールは,ビジネスの上でも社会生活の上でも不可欠なアプリケーションになった。その一方で,ウイルス・メールや迷惑メール(スパム),フィッシング・メールなど,メールを使った不正行為や詐欺行為は後を絶たない。メールの重要度は高まっているにもかかわらず,全面的には信頼できないというジレンマに陥っているのが現状だ。 この状況を打開する可能性を感じさせるサービスが登場しそうだ。インターネットイニシアティブ(IIJ)と米GDX Networkの合弁会社「GDX Japan」が今秋提供予定の,企業向けメール・サービスがそれである。 不特定多数のユーザーを想定していなかったSMTP メールを使った不正行為や詐欺行為は,メールの標準プロトコルであるSMTPが本来持っている脆弱性を利用しているものが多い。送信元を詐称したり,受信側が意図しない大容量のファイルを送りつけたりといった行為を防ぐ手だてを,SM
データ漏えいとID盗難の意外な関係--米調査
米国の政府説明責任局(GAO:Government Accountability Office)は米国時間7月5日,個人情報のデータ漏えいに関する調査結果を発表した。それによると,データ漏えいがID盗難につながる割合は低いという。 この調査では,データ紛失あるいは盗難事件の発生状況,およびそれがID盗難被害につながった割合をはじめ,潜在的被害者への告知を義務づけた場合のコストや問題点などについて分析した。調査データは,国および州の政府機関,調査会社,消費者団体などから収集した情報を基にした。 データ漏えいは広範囲にわたる組織で頻繁に発生している。たとえば,2005年1月から2006年12月の間に,570件を超えるデータ漏えいが報道されており,情報が流出した組織は国,州,地方の政府機関から小売業者,大学,医療機関まで広範囲にわたる。 しかし,2000年1月から2005年6月の期間に報道された
ウイルスをInstall Now ! アドビそっくりの偽サイト出現
米トレンドマイクロは2007年6月25日(米国時間)、「Adobe Shockwave Player」のダウンロードサイトに見せかけた悪質サイトが確認されたとして注意を呼びかけた。Webサイトは本物そっくりだが、ダウンロードされるのはウイルス(悪質なプログラム)。 セキュリティ組織の米SANS Instituteも同様のサイトを警告している。同組織によれば、「RuneScape」というオンラインゲームの情報を提供しているあるサイトが、偽サイトの誘導口になっているという。 そのゲーム関連サイトにアクセスすると、複数の壊れたアイコンと、「(画像を表示したければ)Macromedia Flash Playerの最新版にアップグレードする必要があります」といった英語の記述が表示される。そして、壊れたアイコンすべては、Shockwave Playerのダウンロードサイトに見せかけた偽サイトへリンクさ
今後のトレンド示唆するGoogle攻撃,Webアプリを介したブラウザ乗っ取りの危険度
Web 2.0という言葉が流行し,様々な技術的概念がバージョンアップしたように思う。セキュリティも例外ではない。その代表格が,今年2月に報告された「Googleデスクトップ」のぜい弱性を悪用した攻撃。ブラウザと連携するアプリケーションを狙った攻撃手法である。 Googleデスクトップは,ローカル・コンピュータ上のデータをインデックス化し,Google.comの検索範囲をローカル・コンピュータに拡張するツールである。ユーザーは,Web検索するのと同様にブラウザを利用してローカル・コンピュータ上のデータを検索できる。 報告されたのは,このGoogleデスクトップに潜んでいたクロスサイト・スクリプティングのぜい弱性。簡単に言うと,第三者がWebコンテンツに悪意あるJavaScriptコードを埋め込めるという弱点である。 Googleデスクトップの場合は,検索窓のあるページが悪用されてスクリプトを
情報漏えい対策で監視カメラ導入,38店舗をインターネットVPNで接続
写真1●ネットワーク・カメラを利用して携帯電話の販売店などを監視 個人情報の漏えいを抑止する目的で導入した。 神奈川県を中心に携帯電話の販売店などを展開するKYグループは2007年1月,ネットワーク・カメラを利用した店舗監視システムを導入した。管理者がインターネットを介して店舗の様子をリアルタイムで監視できるようにし,トラブルが起こった際は過去にさかのぼって映像を確認できるようにした(写真1)。工事費用を含めたネットワーク・カメラと管理サーバーの導入コストは約1300万円である。 「販売店は個人情報の“宝庫”」 監視システムを導入した第一の目的は,社員による個人情報漏えいの抑止である。「携帯電話の販売店は個人情報の“宝庫”。契約の際は顧客の名前や住所,生年月日,口座番号やクレジットカード番号に加え,身分証明書のコピーをもらう。多くの信用情報を取り扱うため,情報の漏えいは絶対に避けなければな
懸賞とプロフで個人情報が盗まれ、架空請求メールが届く - ワークスタイル - nikkei BPnet
懸賞とプロフで個人情報が盗まれ、架空請求メールが届く (須藤 慎一=ライター) 国民生活センターは4月17日に「詳細な個人情報を掲載した携帯メールにご注意!」という注意喚起を行なった。携帯電話に届いた架空請求のメールには、詳細で正しい個人情報の記載があったという。あらかじめ氏名や住所、電話番号などの個人情報を入手したうえで不当な請求メールを送った者がいるのだ。 総務省の中国総合通信局も4月16日に、似た内容の注意喚起を行っている。個人情報を記入したうえで「支払いがなければ裁判を起こす」という脅迫的なメールの例を紹介している。 架空請求を行う悪人は、事前に個人情報を集めたうえで事に及ぶようになってきた。請求メールの中に住所や電話番号などの個人情報を記入することで、「契約していたのかもしれない」と誤解する人を増やせる。「個人情報を知っているから、もっと強力な取り立てもできるぞ」という暗
WindowsやIEなどに危険なぜい弱性、Webやメールを開くだけで被害に
マイクロソフトは2007年6月13日、WindowsやInternet Explorer(IE)、Outlook Express、Visioなどに関するセキュリティ情報6件を公開した。細工が施されたWebページやメール、ファイルを開くだけで悪質なプログラム(ウイルスなど)を実行される危険なぜい弱性(セキュリティホール)が複数含まれる。Windowsユーザーは、できるだけ早急にセキュリティ更新プログラム(修正パッチ)を適用する必要がある。 今回公開されたセキュリティ情報のうち、最大深刻度(危険度)が最悪の「緊急」に設定されているのは以下の4件。 (1)[MS07-031] Microsoft Windows Schannel のセキュリティ パッケージの脆弱性により、リモートでコードが実行される (935840) (2)[MS07-033] Internet Explorer 用の累積的なセ
際限ない「欲望のモデル」:日経ビジネスオンライン
誰もが、パソコンや携帯電話の画面の前ではただ1人になる。 「考える」と「行動する」の差がない世界で、人々は欲望を加速させる。 ネットならではの個人の欲をうまく捉えれば、事業機会は拡大する。 2月22日、長崎地方裁判所は長崎県佐世保市の男性に、著作権侵害などの罪で懲役2年・執行猶予3年の有罪判決を下した。男性が携帯電話向けの着信メロディーを著作権者に無断で作成し、不特定多数のウェブサイト訪問者にダウンロードできる状態で公開したからだ。 この裁判記録から読み取れるのは、驚くほどの罪の意識の希薄さだ。「うまく着信メロディーのデータが作成できたため、公開した。喜ばれるのでうれしかった」と男性は語っている。日本音楽著作権協会送信部の渡辺聡部長は「自分がやっていることがそんなに悪いことだという意識はなかった。演奏時間が短いデータなので、何となく問題はないと思っていた。著作権を侵害している人が口にするの
学校裏サイトで、今何が行われているのか〜子どもとケータイの闇/群馬大学社会情報学部大学院研究科教授・下田博次先生 / デジタルARENA
学校裏サイトで、今何が行われているのか〜子どもとケータイの闇/群馬大学社会情報学部大学院研究科教授・下田博次先生 今年に入ってから、中高生を中心に流行している「学校裏サイト」が、わいせつ画像の受発信やいじめの温床になっているとして、にわかにクローズアップされている。子どものインターネット利用の問題に取り組んできた群馬大学社会情報学部大学院研究科教授の下田博次先生は、早くから学校裏サイトの存在を問題視し、調査を続けてきた。その下田先生に学校裏サイトを中心とした子どものインターネット利用の実態と、そうした現実に親はどのように向きあうべきなのか、話を聞いた。
犯罪の“黒船”が来た! スキミングの恐怖~その2/SAFETY JAPAN [インタビュー]/日経BP社
『警察白書』によると、2005年(平成17年)中のカード犯罪の認知件数は7333件で、前年比6%増。検挙件数は4449件で、前年比5%弱と増加している。 カード犯罪の認知・検挙状況の推移(1996~2005年):『平成18年版警察白書』より 注 カード犯罪とは、クレジットカード、キャッシュカード、プリペイドカードおよび消費者金融カードを悪用した犯罪のこと。 ただし、グラフ中、1996年から2000年までの数値は、プリペイドカードを悪用した犯罪を除いた数値 なかでも窃取・拾得したキャッシュカードでATMから預貯金を引き出す窃盗事件、および窃取・拾得または偽造したクレジットカードを用いて商品を不正に購入する詐欺事件が続発している。 キャッシュカードを偽造する動きも出てきた。金融庁が今年3月に発表した「偽造キャッシュカード等による被害発生等の状況について」によれば、偽造キャッシュカ
マイクロソフトのWebページが改ざん、「パイまみれの写真」を掲載
セキュリティ組織の米SANS Instituteなどは2007年4月29日、米マイクロソフトのWebページが何者かに改ざんされたことを明らかにした。同ページはマイクロソフトのドメイン(microsoft.com)を持つサーバーに置かれていたが、サーバーはホスティング事業者が管理しており、マイクロソフトのネットワークには置かれていなかった。現在(5月1日時点)では、同ページにアクセスできなくなっている。 改ざんされたページは、「Internet Explorer管理者キット(IEAK)」などを配布するWebサイトに置かれていた。IEAKとは、Internet Explorer(IE)をカスタマイズしたり、配布したりするためのツールキット。このサイトのあるページ(http://ieak.microsoft.com/1.0/newlicensee.asp)が改ざんされ、同ページにアクセスすると、
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
メール転送設定を悪用し、重要情報やプライバシーを盗み見 - ワークスタイル - nikkei BPnet