勝手にマイニングやデータの強制暗号化、あの手この手で金銭を狙うネットの攻撃者本特集は日経パソコン2018年5月14日号の特集「ネット犯罪の最新手口2018 悪質な攻撃から身を守る!」を基に再構成したものです。全5回の特集記事として掲載します。 2018年1月26日、仮想通貨取引業者であるコインチェックが、不正アクセスにより約580億円相当の仮想通貨を盗まれた。2017年以降、仮想通貨を狙ったネット犯罪は増加傾向にあり、国内で発生した事件として特に大きなインパクトを残した。
空前の2300万件漏洩、いま教訓にすべき2014年の「内部犯行事件」
本特集では、日経コンピュータの看板コラム「動かないコンピュータ」の過去記事の中から、セキュリティー関連の事例を14本取り上げていく。トラブルの真相から、今後のリスク回避につなげてほしい。 ベネッセホールディングスは2014年7月、会員の個人情報が流出したと発表した。「こどもちゃれんじ」や「進研ゼミ」を利用する、子供の氏名や生年月日が外部に漏洩。アンケートなどで取得した非会員の情報を含めると、流出件数は2300万件に達する。 既に容疑者は逮捕されたが、ベネッセは「捜査に支障を来すため」と詳細を明らかにしていない。専門家に取材すると、ベネッセのセキュリティ体制に三つの「穴」があったことが判明した。 「大切なお子様の情報を流出させたことを真摯に受け止め、信頼回復に努める」。ベネッセホールディングスの原田泳幸代表取締役会長兼社長は、容疑者の逮捕を受けた2014年7月17日の会見で深々と頭を下げた。
美少女3人組の1人去る、心折られた50代は立ち向かえるか
夢はめったに見ない性質だが夢を見ている気分になることはある。ただし夢はずっと続くわけではなく終わりは必ず来る。ちょうど2年前の10月25日、「記者の眼」欄に次のように書いた。「圧倒されるが何か有り得ないものを見ている気分になり妙に緊張してくる。例えは悪いが固唾を飲んで綱渡りを眺めるようなものだ。(中略)一ファンとしては彼女たちの奇跡の綱渡りが一日でも長く続いて欲しいと願うばかりである」。残念でならないが8年間続いた「彼女たちの奇跡の綱渡り」はいったん途切れることになってしまった。 夜8時過ぎに来た、見たくないメール いきなりこう書き出すと何の話か分かりにくいので説明する。「彼女たち」とはアイドルグループ出身の美少女3人組を指す。2018年10月19日夜8時過ぎ、3人組の所属事務所から「新体制についてのお知らせ」というメールが届いた。なぜ届くかと言えば筆者がファンクラブのようなものに入ってい
サイバー攻撃の土台にさせない、NXPがTrustZone対応Armコア搭載MCU | 日経 xTECH(クロステック)
蘭NXP セミコンダクターズ(NXP Semiconductors)は、英Armのプライベートイベント「Arm TechCon 2018」(2018年10月16日~18日)の展示会にブースを構えて、「Arm Cortex-M33」をベースにしたMCU製品「LPC5500シリーズ」(日本語ニュースリリース1)と、同じくCortex-M33をベースにしたクロスオーバープロセッサー製品「i.MX RT600ファミリー」(同2)を発表し、評価ボードを使ったデモンストレーションを実施した(同3)。Arm Cortex-M33は2年前の「Arm TechCon 2016」で発表された、主にMCUに向けるCPUコアである(関連記事1)。
dポイント不正利用の教訓、バーコードに潜む罠 | 日経 xTECH(クロステック)
NTTドコモの共通ポイント「dポイント」で不正利用が発覚した。2018年8月のことである。加盟店サイトが不正アクセスを受け、dポイントのポイント残高が盗み見られた。残高の大きなdポイントカード番号が狙われ、商品の購入に使われた。NTTドコモは9月10日に同番号約3万5000件の利用を停止した。バーコードを読み取るだけで簡単に使える便利な仕組みが悪用されたとみられる。 「身に覚えのない利用履歴がある。不正利用ではないのか」。2018年8月下旬、TwitterなどのSNS(ソーシャル・ネットワーキング・サービス)にこんな書き込みが相次いだ。狙われたのはNTTドコモの共通ポイントサービス「dポイント」である。 後に判明した不正利用の被害は、同年8月25日~9月12日にかけてドコモに申告があった分だけで約300件に上った。ポイント残高が比較的多いユーザーが狙われており、不正利用額は「1件あたり数万
IT担当者が知らなきゃヤバイGDPR | 日経 xTECH(クロステック)
欧州議会などが欧州連合(EU)居住者の個人情報保護のために制定した規則「EU一般データ保護規則」(GDPR)が2018年5月25日に施行された。 EU居住者の保護を目的とした法律なので、遠く離れた日本企業には関係ないと考えがちだ。しかし、安易にそう考えるのは大きな間違いだ。日本企業がいつトラブルに巻き込まれるかわからない。 というのも、情報漏洩や顧客からの情報収集が原因でGDPR違反を犯す危険性が日本企業にもあるからだ。顧客情報を取り扱うサービスを運用しているIT担当者は無関係ではいられない。 そこで本特集では、そもそもGDPRとはどんな法律なのか、なぜ日本企業も影響を受けるのか、どのように対策すればよいのか。国内のIT担当者が知っておくべきGDPRの基礎知識をまとめた。
サイバー攻撃に備える | 日経 xTECH(クロステック)
コネクテッドカーや自動運転車を対象としたサイバー攻撃のリスクが高まっている。さまざまなセキュリティー対策が議論されているものの、 何をどこまで対策すればよいのか、必ずしも明確にはなっていない。こうした中、ハッカーの技術を活用した侵入テスト(ペネトレーションテスト)をクルマづくりに生かす動きが活発化してきた。 「1年前に比べて、国内自動車メーカーからの問い合わせ件数が約3倍に増えた」─。クルマのリスク分析や侵入テスト(ペネトレーションテスト)のサービスを手がけるデロイトトーマツリスクサービス シニアマネジャーの林浩史氏はこう話す。背景にあるのは、コネクテッドカーや自動運転車を標的としたサイバー攻撃のリスク拡大だ(図1)。
「盗まれて困る情報はない」の大嘘、中小企業経営者の危うい意識 | 日経 xTECH(クロステック)
敵の弱点を狙う――。言うまでもなく勝負事に欠かせない鉄則だ。今このときも誰かが誰かにしかけているサイバー攻撃で言えばどうか。効率を求める攻撃者が狙う「弱点」はセキュリティ意識の低い人や組織となるだろう。 ここ数年、大規模な情報漏洩事故が相次いだりマイナンバー制度が始まったりしたため、大企業や官公庁自治体は急ピッチでサイバー攻撃対策の高度化やインシデント(セキュリティ事故)対応組織の設置を急いできた。その流れから置いていかれている「弱点」の1つが中小企業である。 政府も中小企業の弱点を認識 中小企業庁によれば、国内企業382万社の99.7%が中小企業だ。中規模企業が14.6%の55万7000社、小規模事業者が85.1%の325万2000事業者という内訳である。製造業やインフラ事業者といった大企業は多くの取引先から部品や原材料を調達するサプライチェーンを構成し、その取引先のほとんどは中小企業で
国立大の3割がサイバー攻撃で実被害、独自調査で判明
日本全国にある国立大学の8割が過去3年間にサイバー攻撃を受け、うち3割で実被害が生じている。責任者や対策組織を置いてはいるものの、予算不足や人材不足に悩み、「学問の自由」の壁にも対策が阻まれている――。 日経xTECHと日本経済新聞は2018年8月、国立大82校を対象に共同調査を実施した。48校から得た回答から、こんな実態が見えてきた。国立大は国からの公的補助だけでなく、国や企業からの受託研究費も1校当たりでみると私立大学を上回る。企業との共同研究に臨む国立大も多数あり、企業にとっては他人事ではない。 86.8%が攻撃を受ける 国立大を狙うサイバー攻撃の実態を把握するため、2015年4月~2018年7月に受けたサイバー攻撃を聞いたところ、「攻撃を受けた」と回答した国立大は有効回答38校のうち33校。割合は86.8%に上った。このうち実被害が発生したと回答したのは11校で、攻撃を認知した国立
サイバー攻撃で狙われる国立大、対策阻む「学問の自由」
日経xTECHと日本経済新聞が共同で国立大学の情報セキュリティの実態を調査と独自取材で調べた結果、大学の機密情報が外部流出した可能性が明らかになった。2018年3月、政府の海洋政策に関わる大学教授らを狙った標的型攻撃が発生し、情報漏洩の恐れが生じた事故があったのだ。 攻撃者は標的型メールで、内閣府総合海洋政策推進事務局に所属する実在の参事官補佐になりすました。文面も巧妙だった。内閣府が海洋政策の有識者会議を開催している事実を踏まえ、会議で公開した資料との関連を想起させる名前をつけた添付ファイルを開かせようとする内容だった。開けばマルウエアに感染する。 攻撃者はこの標的型メールを海洋工学や国際法に関わる複数の教授に送った。東京大学では工学系の研究者が受信した。海洋システム工学部を持つ九州大学には届いていないものの、2018年3月に学内に注意喚起を発した。 このうち、前述の有識者会議に出席する
犯罪がサイバー領域に移行、愉快犯は減ってプロ化が進行中
AIを活用した企業向けのサイバー攻撃対策プラットフォームを手掛ける米サイバーリーズン。イスラエルに研究開発拠点を構え、日本では2016年1月にソフトバンクと合弁会社サイバーリーズン・ジャパンも設立した。米サイバーリーズンのリオール・ディブCEO(最高経営責任者)兼共同創業者はイスラエル国防軍8200部隊(諜報機関)の出身。近年のサイバー攻撃の傾向や今後の見通しなどを聞いた。 2017年を振り返ってサイバー攻撃の傾向をどう見ているか。 2017年は大きな攻撃が3つあった。「WannaCry」「NotPetya」「Bad Rabbit」だ。いずれもランサムウエアに分類されるが、実際にはNotPetyaは違った。身代金を支払う仕組みがどこにもなかった。我々が追跡調査した結果、攻撃のように見せかける隠蔽方法を採用していた。洗練されたハッカーは攻撃の存在が相手に知られたと判断すると、すぐにクリーンア
日本セーリング連盟のWebサイトに不正アクセス、「トロイの木馬」か
日本セーリング連盟は2018年7月18日、同連盟のオリンピック強化委員会のWebサイトが不正アクセスを受けたと発表した。詳細は不明だが、攻撃手法は有益なプログラムを装い、利用者をだます「トロイの木馬」とみられる。今のところ、同連盟に被害の連絡はないという。
多摩モノレールのランサムウエア被害、データ復旧のめど立たず
多摩都市モノレールは2018年7月13日、社内向け業務システムがサイバー攻撃を受け、ファイルにアクセスできない状態に陥ったと公表した。ランサムウエアに感染したとみられる。7月17日時点で復旧には至っていない。
情報漏洩で巨額の制裁金、国内企業が恐れるGDPR
プリンスホテルをはじめ、ホテルモントレや東急ホテルなど、数十の国内ホテルが2018年6月、相次いで情報漏洩を発表した。原因は、仏ファストブッキングが提供するホテル予約サービスが不正アクセスを受けて、個人情報やクレジットカード情報が流出したため。同社のサービスを利用していた401の国内ホテル施設が影響を受けた。 多くの国内ホテルは情報漏洩の発表後、欧州連合(EU)各国にある機関に報告書を提出した。一部の報道では、提出していない国内ホテルは10億円以上の制裁金を受ける可能性があるという。どういうことだろうか。 72時間以内の通知義務 国内ホテルが提出した報告書とは、2018年5月25日に施行された「EU一般データ保護規則(GDPR)」で定めたものだ。欧州議会などがEU居住者の個人情報保護のために制定した規則で、その適用はEUの域外にも及ぶ。GDPRでは、情報漏洩などの個人情報の侵害が発生した場
無線LANの盗聴防止、万能ではないWPA2の注意点
無線LANでは、盗聴防止のためにWPA2を使うことが必須になっている。だが企業で利用する際には注意してほしい。WPA2には2種類あるからだ。
鳥取県や埼玉県などの環境サイトにSQLインジェクション攻撃、個人情報7977人分漏洩
鳥取県や埼玉県など6組織は2018年6月27日までに、Webサイトで運営する住民向けの環境保護支援サービスが不正アクセスを受け、個人情報が漏洩した疑いがあるとそれぞれ発表した。
71%の会社ですでに侵入の恐れ、トレンドマイクロが標的型攻撃を分析
トレンドマイクロは2018年6月25日、国内における2017年の標的型攻撃について分析したレポートを公開した。同社は標的型攻撃が沈静化したように見えるが、活動は依然として止まっていないと分析する。特に目立つのは正当なサービスにより存在を隠蔽する動きだ。
プリンスホテルの外国語予約サイトで個人情報約12万件が流出
日経クロステック登録会員になると… ・新着が分かるメールマガジンが届く ・キーワード登録、連載フォローが便利 さらに、有料会員に申し込むとすべての記事が読み放題に! 有料会員と登録会員の違い
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
WAON POINTサイトが再開、リスト型攻撃で40人に約3万円分の被害
IoTアプリ1つに670件の脆弱性、日本シノプシスが調査結果を公表
