ソネットのメールサービスの不正アクセス被害がさらに拡大している。同社は20日、追加調査により、不正アクセスの対象アカウント数が20126件に達したと報告した。9日発表当初は1835件、続く13日では18877件に影響が及んだことを報告していた。不正アクセスの被害にあったメールサービスは、前回発表と変わりなし。「基本メールボックス」「A-BOXサービス(追加メールボックス)」「PostPetメールアカウントサービス」「メールサービス(G)」「Access Mailbox」の5つが被害を受けた。ただし、発生日時については、今回の発表で修正を行っている。前回は「2014年12月1日から2015年1月8日に発生」としていたが、今回は「2014年11月14日から2015年1月15日」と改めた。今回の発表でも、第三者が複数のユーザーのメールアドレス、パスワードを利用して、メールシステムの受信認証に不正アクセスが行われた事象を認めているものの、詳しい原因については現在も調査中としている。(記事提供: AndroWire編集部)
2015年01月23日日本女子プロゴルフ協会は1月16日、協会のサーバーに不正アクセスがあったと発表した。同協会によると、14日に不正アクセスの痕跡を確認。現在も調査中で全容は解明できていないものの、以下のデータの流出が確認されたという。トーナメントなどの記録写真データの一部LPGA会員および、その他トーナメント出場選手顔写真データの一部トーナメント取材記者に対して発行するIDカードに使用された写真データの一部選手のマネージャーIDカードに使用された写真データの一部などこれらのデータの一部には、ファイル名に個人名を振っていた。なお、現時点で「住所」や「性別」「生年月日」「電話番号」「クレジットカード番号・有効期限」「金融機関の口座情報」などの信用情報の漏洩は確認されていないとしている。不正アクセスを受けて同協会は、副会長・鈴木 三重子氏を委員長とする「調査委員会」を設置。本格的な調査を開始するとともに、原因と経路の全容解明、セキュリティ対策の強化を図る。
2015年01月16日ジェーシービー(JCB)は15日、同社が発行する「JCBギフトカード」(※)が偽造され、不正に使用されたことが判明したと発表した。※ 全国50万店以上のJCBギフトカード取り扱い加盟店で利用できる商品券。1,000円券と5,000円券の2種類を発行。2013年度の年間販売額は約1,500億円同社では、2014年12月27日以降、福岡県や東京都などの加盟店9店舗において、JCBギフトカード1,000円券の偽造券100枚が不正使用されていたことを確認。今後の偽造券の流通を防止するべく、全国のJCBギフトカード取り扱い加盟店および関係者に、偽造券の特徴と識別方法を広く告知し、偽造券発見時には警察への通報と同社への連絡を依頼するなど、被害拡大防止の体制を整えてきたという。15日、今回の件に関連し、長崎税関・長崎県警察共同調査本部が「関税法違反嫌疑(偽造有価証券の密輸入)事件を告発」と発表。なお、同社では、捜査への影響を考慮し、15日まで公表を控えていた。同社では、今後も捜査に全面的に協力するとしている。同社によると、偽造券は、精巧なデザインで印刷されているが、下記の点において真正券との明らかな相違点がある。表面左上の金額表示部分(\1,000)と、表面右下の金額表示部分(1000)およびその左側にある模様(縦1.7cm×横2.2cm)部分に、真正券では特殊印刷により凹凸があるのに対し、偽造券では凹凸がない裏面に印刷されている3カ所の券番号の上12桁が、真正券では一致するところ、偽造券では一致していない同社では、2013年1月に5,000円券の偽造券が発覚したことを受け偽造防止対策を検討してきたが、2015年3月2日から、「JCBギフトカード」(5,000円券、1,000円券)のデザインの改定を予定している。今後もギフトカードの偽造防止に努めるとともに、加盟店との協力体制を築き、偽造券の流通防止に向けた取り組みを継続していくとしている。なお、現在のデザインのギフトカードも引き続き利用できるという。
2015年01月15日Cloud Paymentは1月14日、継続請求に特化した請求管理ロボット「経理のミカタ」に、承認機能やAPI連携機能といった新機能を追加した。経理のミカタは、継続請求に特化した請求管理システムで、毎月発生する請求書の発行や送付、集金、消込、催促などの作業を自動で行う。今回新たに追加した機能は「承認機能」と「API連携」で、承認機能では、請求書発行や請求書送付、消込など作業ごとの確認を実現。誤った請求書の送付等を防止することができる。一方、API連携では、WebやSFA/CRMと自動連携し、従来手動やCSV入力していたデータの自動入力が可能となった。これにより、Webからの申し込みをそのまま「経理のミカタ」に反映するほか、既存の管理システムと連携して「経理のミカタ」にデータ移行するなど作業の簡易化を実現するという。
2015年01月15日ソネットは1月13日、So-netメールサービスに対する不正アクセスの状況を公開した。不正アクセスは2014年12月1日~2015年1月8日の期間に発生しており、現在も調査中だという。不正アクセスによって閲覧できるサービスは以下の5件で、閲覧された可能性があるアカウントは1万8877件にのぼる。基本メールボックスA-BOXサービス(追加メールボックス)Access MailboxPostPetメールアカウントサービスメールサービス(G)IDとパスワードはソネットから漏えいした事実は確認されておらず、他社サービスなどから漏えいしたものを利用するアカウントリスト攻撃の可能性が高い。同社は1月9日に不正アクセスが判明したユーザーについて、該当サービスのパスワードを変更して変更後のパスワードを書面で郵送。13日に判明したユーザーについては、個人の基本メールボックスアカウントのユーザーについては、メールでパスワード変更のお願いを通知し、変更しないユーザーにはソネット側でパスワードを変更して、そのパスワードを書面で郵送その他サービスのユーザーは、メールで個別に対応を案内といった対応をとる予定だという。なお、今回の不正アクセスの対象となっていないユーザーについても、「セキュリティ向上の観点より、メールアドレス・パスワードの変更をお願いさせていただく予定」としている。ソネットは「このような事態が発生し、お客様並びに関係の皆様にご迷惑をお掛けしますことを深くお詫び申し上げます」とコメントしている。
2015年01月13日ソネットのメールサービスが第三者による不正アクセス被害にあった件について、同社は13日、追加調査により新たなメールアカウントへの不正アクセスが判明したと発表した。不正アクセス被害にあったのは18877件にのぼるとしている。9日発表段階では1835件だった。不正アクセス被害にあったメールサービスは、「基本メールボックス」「A-BOXサービス(追加メールボックス)」「PostPetメールアカウントサービス」「メールサービス(G)」「Access Mailbox」の5つ。当初は4つのサービスで被害にあったと発表されていたが新たに「Access Mailbox」も不正アクセス被害にあっていたことが判明した。発生日時についても今回の発表で修正を行っている。当初は2014年12月20日から2015年1月5日の間に不正アクセスが行われたとしていたが、新たな調査により、2014年12月1日から2015年1月8日に発生していることが判明した。同社では9日に判明した該当のアカウントについては、パスワードを変更し、個別に変更後のパスワードを書面にて郵送。13日に判明した該当ユーザーについて、個人の基本メールボックスアカウントのユーザーに対しては、メールでパスワードの変更依頼を行った後、変更のなかったユーザーについては、同社が該当サービスのパスワードを変更し、変更後のパスワードを書面で通知する。なお、今回の事象について、第三者が複数のユーザーのメールアドレス、パスワードを利用して、メールシステムの受信認証に対して不正アクセスが行われたとしているが、詳しい原因については現在も調査中。現時点で同社から情報漏えいがあった事実は確認されていないという。
2015年01月13日インターネットイニシアティブ(IIJ)は12月25日、MITB(Man in the Browser)攻撃によるネットバンキングの不正送金被害を未然に防ぐ「IIJ不正送金対策ソリューション」の提供を開始した。すでに国内のメガバンクがソリューションを採用しており、個人向けサービスとして提供を開始している。MITB攻撃は、バンキングマルウェアに感染したPCを利用して不正送金を行う手法。感染したPCがネットバンキングにログインすると、不正なポップアップ画面が出たり、送金リクエストの送金先口座が異なるものに書き換わったりする。利用者は不正送金したことが気付きにくく、また銀行側も正常な処理と何ら違いがないため検知が難しい。国内でもMITB攻撃による被害が今後拡大すると想定されている。IIJ不正送金対策ソリューションは、インターネットバンキングにアクセスする仮想のアプリケーション環境を提供する。これにより、ネットバンキングの画面が利用者のブラウザーのみに転送、表示されるようになり、MITB攻撃を遮断できる。システムの運営側は、既存のバンキングシステムを改修する必要はない。導入済みのセキュリティ対策(ワンタイムパスワード、リスクベース認証等)と連携させることで、より強固なセキュリティ対策を構築できるとしている。また、ネットバンキングシステムへのアクセスをソリューション経由に限定することで、ブラウザーの種類やバージョンへの対応による開発負荷を軽減できる。一方で利用者側は、専用アプリケーションやブラウザプラグインなどのインストールが不要なため、導入による負担がなく、意識することなくサービスが利用可能となる。IIJでは、今後スマートデバイスへの対応、法人向けサービスとしても順次対応するとしている。
2014年12月29日ニコンは12月16日、デジタル一眼レフカメラ「D800」の不正改造品が同社の修理に持ち込まれた事例を公表。不正改造品がインターネットオークション等で流通していることに注意喚起を行っている。「D800」に「D800E」のカバーを取り付けた不正改造品が修理に持ち込まれ、これらがインターネットオークション等で流通していることが発覚した。これら不正改造品はニコンの保証規定が適用されず、点検や修理の適用対象とならないと注意を喚起している。また、不正改造に起因する事故や不利益について同社はいっさい責任を負わないと説明している。「D800」「D800E」ともに、2012年1月に発表されたニコン製デジタル一眼レフカメラのハイエンドモデル。2モデルの基本的な仕様は同じで、レンズマウントがニコンFマウント、AFポイントが51点、対応感度が常用でISO100~ISO6400だが、ISO50相当~ISO25600相当への減感・増感も可能だ。相違点は、「D800E」は光学ローパスフィルターを省略し、より解像感が高い写真を撮りやすくなっていることだ。ニコンでは、「D800」と「D800E」の見分け方についてWebサイトで言及。1コマ表示モードで「統合表示」にし、右上に「NIKON D800」と表示されたものは不正改造品であるという(本来は「NIKON D800E」と表示される)。
2014年12月16日トレンドマイクロは12月4日、FBIが注意喚起している「破壊的な不正プログラム」の検体を入手し、解析したとブログで公開した。ロイター報道によると、FBIによる注意喚起は11月にSony Picturesがサイバー攻撃を受けたことが原因だという。この不正プログラムに感染したPCは、OSがインストールされているHDD上のマスターブートレコードを含むすべての情報が上書きされ、PCが起動不能に陥る。トレンドマイクロの解析によると、不正活動の中心的な役割があるのは「diskpartmg16.exe」というプログラムだという。diskpartmg16.exeは、コードの一部がユーザー名とパスワードと共に暗号化されている。これらのユーザー名とパスワードは、プログラムの検体の分割されたコード上で、XOR演算「0x67」によって暗号化され、共有ネットワークにログインするために利用される。ログインすると、PCの全アクセス権を取得しようと試みる。diskpartmg16.exeは、「igfxtrayex.exe」という新たな不正プログラムを作成する。このプラグラムは、、実際の不正活動を実行する前に 10分間もしくは 60万ミリ秒間スリープする。ユーザーの作成したファイルを勝手に削除するほか、「Microsoft Exchange Information Store」サービスを停止した後に2時間スリープする。その後、PCを強制的に再起動させる。また、「taskhost<ランダムな 2文字<.exe」と名付けられた複数のコピーを以下のパラメータ上に実行する。taskhost<ランダムな 2文字<.exe -w(コンポーネント "Windows\iissvr.exe" の作成および実行)taskhost<ランダムな 2文字<.exe -m("Windows\Temp\usbdrv32.sys" の作成および実行)taskhost<ランダムな 2文字<.exe -d(すべての固定ドライブおよびリモート(ネットワーク)ドライブ上のファイルを削除)他の亜種を解析したところ、Windows ディレクトリにファイル「walls.bmp」を作成することがわかった。これは、11月月にSony Picturesへの攻撃で「hacked by #GOP」と書かれた壁紙と同一だと推測できるとしている。
2014年12月07日IPAは、コンピュータウイルスや不正プログラムの状況分析から、「今月の呼びかけ」を発表している。今月は、性的脅迫被害に関する事例を取り上げている。○セクストーションとはまずは、図1の広島県警察のWebページを見ていただきたい。ここにもあるが、セクストーションは「sex(性的な)」と「extortion(脅迫)」を組み合わせた造語である。IPAに寄せられた相談からの手口であるが、以下のようになる。SNSを通じて知り合った異性から、プライベートな動画を見せ合おうと誘われるそして、異性からビデオチャット機能を有する不正アプリをインストールするように誘われる(アプリのインストールを行わせてから、プライベートな動画のやりとりを求める場合もある)アプリをインストール後、ビデオチャット中に服を脱いだり、卑猥な姿を相手に送ってしまう(この時点で、電話帳の情報などが窃取されている)後日『あなたの電話帳の情報と動画を入手している。この動画をばらまかれたくなければ、指定の金額を払うように』といった脅迫電話がかかってくるIPAによれば、このビデオチャットアプリであるが、チャット機能以外にも電話帳情報を窃取する機能を持っていたとのことである。この情報を悪用し、脅迫を行っているのである。ワンクリック詐欺などの不正請求もそうであるが、内容自体が知られることがあまり好ましくないといった理由から、周りに相談できず脅迫に応じてしまうことも少なくない。広島県警察では、2014年6月の時点で注意喚起を行っているが、IPAでは同種の相談が2014年9月くらいから寄せられるようになったとのことである。上述のように、相談するのをためらうことで、報告や被害届が出されていないことも予想される。実際には、もっと多くの脅迫が行われている可能性もある。脅迫者の意図としては、インターネットなどで不特定に閲覧されるよりも、普段、連絡を取り合っている身近な人間に閲覧されるほうが、より脅威意識が高まると見ている。そのために、電話帳情報も同時に窃取していると考えらえる。また、これまでも電話帳情報を盗み出す不正アプリは存在していた。しかし、盗み出した電話帳情報を悪用する事例はほとんどみられなかった。それがここにきて、具体的な手口として悪用されるようになった点も注目したい。いよいよ、スマートフォンで明確な金銭奪取を目的とした攻撃が行われ始めたとみてもよいだろう。○セクストーションへの対策方法はIPAでは、セクストーションへの対策として、次の2点をあげている。アプリは信頼できるマーケットからプライベートな写真や動画は第三者に渡さない最初に紹介した事例であるが、SNSで知り合った異性からアプリのインストールを勧められている。その際に、メールに添付されていたり、リンク先からのダウンロードを求められることが少なくない。こういった経路でインストールするアプリは、不正アプリの危険性が高い。やはり、アプリは安心できる公式マーケットから入手すべきである。そして、2点目であるが、スマートフォンやセキュリティの問題ではない。仮に友人であったとしても、見られて困るような写真や動画、撮影させない、送付しないといった態度で臨むべきであろう。仮に深い交際関係にあったとしても、そのような写真や動画には注意が必要である。関係が解消された後に、相手を陥れるために悪用されることも少なくない(リベンジポルノといわれるものだ)。やはり、自衛も重要な対策の1つとなるだろう。セクストーションと思われる脅迫行為を受けた場合、脅迫相手と連絡を取ることを避け、まずは警察へ相談することを検討すべきとしている。残念ながら、一度、脅迫相手の手に渡ってしまった情報は削除することも、取り返すこともできない。また、警察へ相談しても、仮に脅迫金を支払ったとしても、プライベートな情報の公開を防ぐことにはならない。この点も決して忘れてはならない。最後にIPAでは、特定の相手に写真や動画を渡すことは、インターネットに公開することと等しいという認識を持つことが重要としている。それだけでなく、データを所有しているだけでもウイルス感染が原因で外部に流出する可能性もある。インターネットに公開されて困るような写真や動画は、撮影自体を行わないようにと注意喚起をしている。
2014年12月02日ファイア・アイは11月14日、iOSの脆弱性を狙い、正規アプリを不正アプリに置き替える攻撃「Masque Attack(マスク攻撃)」について解説した。Masque Attackは、正規・不正アプリの両方が同じバンドル識別子で認識できないという脆弱性を狙ったもの。感染したiOS端末は、ユーザーが特殊なアプリをインストールしてしまうと、端末内のサードパーティ製の正規アプリが不正アプリに置き換わってしまう。狙われる可能性があるのはiOS 7.1.1/7.1.2/8.0/8.1/8.1.1。正規版のほかに、脱獄(Jailbreak)した非正規版も含まれる。侵入経路は、無線ネットワーク経由とUSB経由のアプリダウンロードの2種類。攻撃者は、電子メール・アプリや銀行アプリのログイン情報を盗み出す。不正アプリの画面構成は正規のアプリを模倣しているので同じ。ユーザーをログイン情報を入力させ、取得した情報をリモートサーバーに送信する。また、置き換えられた正規アプリに保存されているローカルデータを盗む。電子メールのローカルキャッシュを盗み出し、リモートサーバーにアップロードしたケースを確認した。データのほかに端末のルート権限を盗むことも可能だ。正規・不正アプリのバンドル識別子が同一であることから、不正をモバイルデバイス管理(MDM)上で見つけることが難しくなっている。各アプリの証明証情報を入手するMDM APIはないためだ。
2014年11月17日アディーレ法律事務所は14日、B型肝炎の給付金請求手続に特化したWebサイトを開設した。弁護士が給付金の請求手続を最大限サポートするという。アディーレは、B型肝炎の給付金請求の専門チームを設置し、相談に対応している。今回開設したサイトでは、B型肝炎と給付金の基礎知識、給付金を受け取るまでの流れなどを詳しく掲載しているほか、寄せられた質問をQ&Aとして紹介し、用語集では専門的な用語をわかりやすく説明している。また、サイトにて「7日間でB型肝炎の給付金制度がわかる! メールマガジン」の申し込みも可能となっている。日本では、予防接種法により、幼少期に集団予防接種の強制が実施されてきた。その際、注射器(注射針や注射筒)の使い回しというずさんな管理が行われ、40数万人(国の推計)もがB型肝炎ウイルスに感染したといわれている。現在では国が責任を認め、感染被害者を対象に給付金が支給されるようになったが、給付金を受け取るには訴訟手続が必要であり、専門的な知識や労力が求められる。さらに請求期限も2017年1月12日までと決められており、これまでの給付金受給者は8,748人(2014年8月1日法務省発表)と、感染被害者全体のわずか2%にとどまり、救済は道半ばとなっているという。
2014年11月14日日本航空(JAL)は10月29日、9月に起きたJAL顧客情報システムに対する不正アクセスの中間報告を同社Webサイトで発表した。不正アクセス確認後の発表より変わった点では、情報が漏えいした可能性のあるユーザー数が約19万名分から7万9093名に減少した。また、更に詳細な調査を行なったところ、新たに4131名のユーザー情報が漏えいした可能性があることがわかったという。4131名のユーザーについては、個々人の特定ができており、今後、個別にEメールや郵便、JMB会員ログインページで連絡を行なうとしている。また、悪意のある外部サーバーに送信されたデータ件数は、最大で約2万1000件としていたが、今回新たに特定した4131名を含む9745件であることがわかった。これは、通信量から試算し、実際に外部に送信されたデータ件数としている。なお、こうした詳細な漏えい数などは判明しているものの、悪意のある外部サーバーに送信された可能性があるデータ件数は、通信量からの試算で最大73万件に変わりはないとしている。ほかに、新たに判明した事実として、システムにスローレスポンスが発生していた9月19日と22日以前に、139名分のユーザー情報が漏えいしていた可能性があることも明らかにした。該当ユーザーには、今後個別に連絡を行なうとしている。なお、漏えいした情報は会員番号(お得意様番号)入会年月日名前誕生日性別自宅の郵便番号、住所、電話番号、FAX番号勤務先の会社名、郵便番号、住所、電話番号(内線)、所属部門名、役職メールアドレス(PC、携帯)で、これらの情報は暗号化処理などを行なっておらず、平文で保存していた。一方で、同社によるとパスワードとクレジットカード番号については漏えいしていない。
2014年10月29日NECは10月29日、中小規模システム向けに、設置するだけで無許可の持ち込み機器などを社内ネットワークから排除することが可能になる「InfoCage不正接続防止Lite」の販売を開始した。価格は32万3000円から(税別)。同製品は、不正接続防止用ソフトウェアを手のひらサイズの小型ハードウェアに搭載したアプライアンス製品で、管理サーバへの管理ソフトのインストールを不要とし、管理対象のネットワークの任意の場所に接続するだけで、不正接続の防止や社内ネットワークに接続された機器の可視化を実現する。不正接続対策を行うには、管理サーバの設置、管理サーバへの管理マネージャーのインストール、対象ネットワークへのセンサーの設置が必要だが、同製品は、センサーに管理マネージャーの機能を持たせることで、管理サーバを不要としている。加えて、管理サーバのハードウェアやOSのライセンスにかかる費用、管理ソフトウェアのライセンス費用が削減でき、従来の管理サーバを設置する構成と比較して約50%の初期導入コストが削減可能だという。このように、同製品は不正接続防止対策を講じる際に必要な管理サーバの設置や初期セットアップ、初期導入時のコストが抑えられるため、中堅・中小規模事業者にとって導入が容易となっている。
2014年10月29日マネーフォワードは10月27日、5月にβ版の提供を開始したクラウド型請求書一括管理ソフト「MFクラウド請求書」の正式版を提供開始した。これに伴い、取引先の登録上限数に応じた5種類の料金プランを提供する。「MFクラウド請求書」は、見積書・納品書・請求書の作成から送付、受け取りまで一元管理を実現するクラウド型サービス。スケジュール登録を行うことで、毎月同様の請求書を自動で作成するほか、取引先・品目の登録による書類作成の簡易化を実現し、郵送は代行サービスを利用することができる。また、クラウド型会計ソフト「MFクラウド会計」や「MFクラウド確定申告」との併用により、請求金額の入金管理を行うことも可能だ。料金プランは、登録可能な取引先数に応じて、「Free」や「Starter」「Basic」「Pro」「上位プラン」の5つを用意。初期費用は無料で、30日間は無料で試用することができる。
2014年10月27日日本IBMは10月21日、オランダのジェムアルト社の製品を活用し、インターネット・バンキングの不正送金対策を強化するためのシステム設計および構築を行う「トランザクション署名構築サービス」の提供を、同日より開始すると発表した。「トランザクション署名構築サービス」は、IBMがグローバルで展開しているジェムアルト社製品を利用したトランザクション署名のシステム構築を、金融業界を中心に提供するもの。ジェムアルト社の認証アプライアンス・サーバを既存のインターネット・バンキング向けのサーバと連携させ、インターネット・バンキング利用者は取引開始時にジェムアルト社のトークン製品を利用してログインする。また、送金等の重要な取引に関しては取引内容(金額、振込先口座番号など)をトークンに入力することによりトランザクション署名が生成される。この数値を取引の確認として入力することにより、サーバ側で生成された署名とトークン側の署名を照合し、取引内容に改ざんがないことを確認する。「トランザクション署名構築サービス」の価格は個別見積もり。
2014年10月21日情報処理推進機構(IPA)は10月9日、不正アクセスの検知ツール「iLogScanner」の最新版「V4.0」をWebページ上で公開した。iLogScannerは、Webサーバーの脆弱性を狙った攻撃を検知するためのアプリケーション。Webページ上で実行し、サーバー上のログを解析して解析結果のレポートを作成できる。最新版では、SSHやFTPのログを抽出・解析する機能が追加された。ログは、ウェブアプリケーションへのアクセス時刻、ウェブサーバーへのアクセス元IPアドレス、管理者アカウント(root)への権限昇格の有無などを参照する。また、パソコンにインストールするオフライン版を提供する。オフライン版は豊富なカスタマイズ機能を備え、コマンドによる作業の自動化などができる。対応OSは、Windows Vista(32bit版)、Windows 7(32bit版/64bit版)、Windows 8(32bit版/64bit版)、Windows 8.1(32bit版/64bit版)。ブラウザーは、Internet Explorer 8以降に対応する。
2014年10月10日住信SBIネット銀行はこのたび、「インターネット・バンキングによる口座不正使用補てん規定(法人の顧客)」を制定し、法人の顧客がインターネット・バンキングによる預金などの不正な払戻しに関する被害を受けた場合、同社所定の範囲内で補てんを行うこととしたと発表した。法人の顧客は必ず確認するようにとしている。同取組みは、全国銀行協会より公表された7月17日付「法人向けインターネット・バンキングにおける預金等の払戻しに関する補償の考え方」を踏まえ対応するもの。○補てん概要下記の適用条件のすべてに該当するときは、同社は顧客の請求に応じて年間1,000万円を限度として補てんする。ただし、顧客のセキュリティ対策の状況、利用状況等を考慮し補てん額の全部または一部を減額する場合がある。<適用条件>(1)ユーザーネーム、各種パスワードおよび認証番号の詐取・盗取に気づいてからすみやかに、同社への通知が行われたこと(2)同社の調査に対し、顧客より十分な説明が行われていること(3)同社に対し、警察署に被害事実等の事情説明をしていること。その他の詐取・盗取にあったことが推測される事実を確認できるものを示していること○顧客に実施してもらいたい各種セキュリティ対策同社インターネット・バンキングを利用するにあたり、同社所定のセキュリティ対策を実施してもらいたいとしている。(1)利用するPCへ「PhishWallプレミアム」をインストールすること(2)「スマート認証」を登録・利用すること(3)受信可能な最新のメールアドレスを登録し、メールサービス「振込」にて必ずメール通知がされるように設定すること<登録内容の変更方法>同社WEBサイトにログインし、メールサービス画面[口座情報>メールサービス]で変更できる被害にあった法人の顧客は、同社カスタマーセンターまで連絡してほしいとしている。
2014年10月07日キューアンドエーは2日、インターネットバンキングを狙った不正送金被害の増加に伴い、2013年4月24日より個人顧客向けに提供している「パソコンセキュリティ対策診断」を引き続き無償で提供すると発表した。無償提供期間は2014年12月31日まで。近年、インターネットバンキングを狙った不正送金被害が急増している。警視庁の調査によると、2014年1~6月の被害総額は18億5,200万円と前年同期比の約9倍に増加。一方、キューアンドエーが行っている「パソコンセキュリティ対策診断」によると、セキュリティ対策が不十分な人は全体の65%に上るという。「パソコンセキュリティ対策診断」は、リモート(遠隔操作)によるパソコンのセキュリティ診断を行うサービス。セキュリティの欠陥や偽セキュリティソフトを発見するほか、予防の必要性を明確化することが可能。インターネットバンキングの利用に少しでも不安を感じている人やセキュリティ対策を万全にしたい人は、手軽に相談することができる。診断後は、必要に応じて適切なサポート内容の提案や、要望があればその場でウイルス予防・駆除などの有償サポート(3,000円、税抜)を行う。また、顧客自身でもセキュリティ対策を行うことができるよう、有償サポートにて、オンラインレッスン「パソコンセキュリティ対策講座」も提供する。料金は3,800円(税抜)。
2014年10月03日NTTドコモは9月30日、同社が提供する「docomo ID」に対して不正ログインが行なわれ、6072ユーザーが被害を受けたと発表した。docomo IDは、ドコモ利用者が同社のメールやエンターテインメントサービスを利用する際に使われるアカウントサービスで、利用料金の確認などのユーザーサポートサービスにも活用されている。不正ログイン試行が行なわれていた期間は9月27日23時30分~29日20時25分。29日に事態を把握したドコモが、不正アクセス元のIPアドレスを遮断する措置をとり、攻撃を止めた。同社の調査によると、今回の不正ログインはサーバーへの不正アクセスではなく、他社流出ID/パスワードを使ってログイン試行を行なった「アカウントリスト攻撃」による不正ログインであったという。不正ログインが確認された6072ユーザーの閲覧された可能性がある個人情報は、「携帯電話番号」「氏名」「自宅住所」「自宅電話番号」「生年月日」「口座情報」「DCMXカードの利用履歴」「料金プランなどのドコモ契約内容」となる。不正ログインが確認されたユーザーについては、強制的にパスワードを変更するように対策を講じており、個別に連絡を行なう予定だ。同社では今回の不正ログインを受け、「他社サービスと異なるパスワードの設定」「パスワードの定期的な変更」「第三者が容易に推測できるパスワードを使用しない」「ワンタイムパスワード認証の導入」を行なうよう、利用者に呼びかけている。また、再発防止のため、セキュリティの強化を図っていくとコメントしている。
2014年10月01日NTTドコモは30日、6027ユーザーのdocomo IDが不正ログイン被害にあったと公表した。第三者が不正に手に入れたIDパスワードでウェブサービスにログインを試みる「パスワードリスト攻撃」によるもので、同社はdocomo ID利用者にパスワードの変更などを呼びかけている。同社によると、不正ログインの発生期間は9月27日23時30分から29日の20時25分までで、29日に特定のIPアドレスからdocomo IDへ不正にログインを試みる事象を確認、同IPアドレスからのログインをすべて遮断する緊急措置をとったいう。調査をしたところ、ドコモサーバへのハッキングによるdocomo IDの流出ではなく、第三者が不正に入手したIDとパスワードでログインを試みるパスワードリスト攻撃であると判明した。閲覧された可能性のある情報は、利用者の携帯電話番号、氏名、自宅住所、自宅電話番号、生年月日、口座情報、DCMXカードの利用履歴、契約内容(料金プラン、付加サービス契約状況など)とし、不正ログインが確認されたIDはパスワード変更しなければ利用できないように対策を講じている。また、被害者には個別に連絡を行うとしている。なお、docomo ID利用者には、以下の対策を講じるように呼びかけている。他社サービスとは違うパスワードの設定パスワードの定期的な変更(過去に使用したものを避ける)複雑なパスワードの設定(第三者が容易に推測可能なパスワードを避ける)2段階認証(ワンタイムパスワード認証)の利用
2014年09月30日情報処理推進機構(IPA)は9月26日、今般の内部不正による事故・事件等を受けその発生を防止するため、組織の環境整備に向けた「組織における内部不正防止ガイドライン」を改訂し、公開した。2014年に入り、退職者による海外への技術流出や従業員による不正な情報の窃取など、内部者の不正行為による情報セキュリティ事件が相次いで報道。さらに7月には教育関係事業者において委託先の従業員により極めて大量の顧客情報が漏えいするという事件が発生した。「組織における内部不正防止ガイドライン」は内部不正のリスクを低減するために、経営者が果たすべき役割、組織の体制、技術対策などを記載しているもので、IPAが2013年3月に初版を公開。今回の改訂版では、本年発生した前述の事例を分析した結果の「経営層によるリーダーシップの強化」「情報システム管理運用の委託における監督強化」「高度化する情報通信技術への対応」の3点を強調すべきと加筆したもの。「経営層によるリーダーシップの強化」では、経営者が自らの責任で行うことの強い意識を持ちリーダーシップを発揮することが必要であるため、経営層の責任を明確化。「情報システム管理運用の委託における監督強化」では、業務委託先のセキュリティ対策・体制が、扱う情報の重要度に相応かどうかを契約前、契約中にも確認・評価することを追加した。「高度化する情報通信技術への対応」では、高度化する情報通信技術に付随して高まるリスクを確実に把握することが可能な、体制、教育などの人的対策、技術の進展に沿った最適な対策の必要性について強調した。IPAは、今後も本ガイドラインの活用促進に向けた普及活動を行うとともに、効果的な対策であるかを常に見直し、組織に役立つガイドラインの策定に努めていく。
2014年09月29日ヤマト運輸は26日、同社が提供する会員制WEBサービス「クロネコメンバーズ」において、外部からの「パスワードリスト攻撃」による不正ログインがあったと発表した。不正ログイン件数は、26日17時時点で10,589件、不正ログイン試行件数は約19万件上りユーザーの個人情報が閲覧された可能性があるという。「パスワードリスト攻撃」は、他社サービスから流出した可能性のあるIDとパスワードを利用して、WEBサービスにログインを試みる不正ログインの手口のひとつ。同社では25日に、特定のIPアドレスからの不正なログインを確認し、緊急の措置として該当のIPアドレスからのログインを遮断するなどの対策を講じていた。26日17時時点での被害状況は、不正ログイン件数10,589件、不正ログイン試行件数は約19万件に上る。閲覧された可能性があるのは、「クロネコID」、「メールアドレス」、「利用の端末種別(PC、、携帯電話、スマートフォン)」、「氏名」、「電話番号」、「住所」などの個人情報。なお、クロネコメンバーズ会員のうち、メールアドレスを登録していないユーザーは、今回の事象による被害はないという。同社では、個人情報を不正に閲覧された可能性のあるクロネコIDについて、パスワードを変更しなければ使用できないよう対策を講じ、対象となったユーザーに対し個別に案内していく。また、パスワードの使い回しや、安易に推測できるパスワードの設定を避けるよう全ユーザーに対し呼びかけている。(記事提供: AndroWire編集部)
2014年09月29日ミクシィは17日、同社提供のソーシャルネットワーキングサービス「mixi」において、26万超のアカウントが、第三者により不正ログインされたことを発表した。不正ログインは他社サービスから流出または不正に取得した情報をもとに行われた可能性が高いとして、他社サービスと同一のパスワードを利用しているユーザーに対して、パスワードの変更を強く求めている。同社によると、5月30日に疑わしいIPからの外部アタックを受け、6月2日なってユーザーからの問い合わせをもとに詳細な調査を行った結果、不正ログインを確認したとしている。不正ログインを受けたIDは、16日24時段階で26万3596アカウントで、不正ログインの試行回数は同日同時時点において、約430万回にのぼったとしている。不正ログインの手法については、他社のID・パスワードを入手した第三者がID/パスワードをリストのように用いてログインを試みる「リスト型攻撃」とし、同社サーバーへのハッキングによる情報流出ではないとしている。事態を受け、同社では、他社サービスと同一のパスワードを利用しているユーザーに対して、パスワードの変更をするように強く求めている。同社における対策として、不正ログインを試みるIPに対してアクセス制限を実施、さらに、不正ログインの被害を受けたユーザーのうち、1カ月以内にmixiにログインしたユーザー7万8058アカウントに、mixiメッセージでパスワードの変更を依頼、1カ月以内にログインしていないユーザー16万7617アカウントのログインを一時停止した。全ユーザーに対して、mixiトップページに告知も掲載した。なお、現時点で課金やmixiポイントの不正利用は確認されておらず、同社のシステムではクレジットカード情報を保存していないとしている。(記事提供: AndroWire編集部)
2014年06月17日三井住友銀行は12日、インターネットバンキングサービス「SMBCダイレクト」において、ログイン後に不正な画面を表示し、暗証番号などの情報を入力させ、不正な取引を行うウイルスが発生したことを発表した。同行は確認されている不正な画面3点を公開し、注意を呼びかけている。また、これらの不正な画面が表示される場合は、使用中のPCがウイルスに感染している可能性があるため、ウイルス対策ソフトによる駆除やPCの初期化を行うことを推奨している。同行が公開した「画面例1」では、ログイン後に「ダウンロード中です」、「読込中です」といった表示のある不正な画面が現れ、暗証番号の入力を求める。正規のSMBCダイレクトでは、取引内容の確認画面を表示せずに暗証番号の入力を求めることはない。「画面例2」および「画面例3」では、ログイン後に不正な画面やポップアップ画面を表示し、暗証カードの数字の入力を求める。正規のSMBCダイレクトの第二暗証取引では、暗証カードの乱数表のうち2カ所のみを指定するため、3カ所以上を指定するものは不正画面と判断できる。同行では、これらの不正な画面に対して、暗証番号などの情報を絶対入力しないよう注意を喚起している。また、誤って不正な画面に情報を入力した心当たりがある場合は、利用停止登録の手続きを行うよう呼びかけている。被害にあわないための対策として同行は、ウイルス対策ソフトを常に最新の状態に更新し、ウイルススキャンを実施すること、振込み上限額を確認・設定すること、取引受付完了の連絡メールを利用することの3点を挙げている。
2014年05月13日トレンドマイクロは3月31日、「ビットコイン」や「Dogecoin」など、複数の仮想通貨をマイニング(発掘)する不正なAndroidアプリを確認したとして注意を呼びかけている。不正なアプリは、「Football Manager Handheld」や「TuneIn Radio」などの人気アプリをトロイの木馬化している。トロイの木馬化を行なったこれらのアプリには、正規のAndroid向け仮想通貨発掘ツールから流用した発掘するためのプログラムコードが組み込まれていたという。サイバー犯罪者は、この不正なコードを隠すために、Google Mobile Adsのコードを置き換えており、インストールされたあとに端末がネットに接続したことを確認すると、バックグラウンドでサービスを実行する。初期設定では、ダイナミックメインへ接続し、その後共同採掘ネットワークの「Dogecoin」用マイニングプールへと誘導される。犯罪者は2月17日時点で、この不正アプリ網から何千もの「Dogecoin」を稼いでおり、そのあとにマイニングプールを「WafflePool」に変更した。マイニングプールは、不正アプリに組み込まれている環境設定ファイルを更新することでプール先を変更できるのだという。なお、WafflePoolにプールされたビットコインは、サイバー犯罪者のビットコインウォレットに転送される形で、複数回にわたって支払われたことをトレンドマイクロでは確認している。同社によると、これらの不正アプリはサードパーティのアプリマーケットで確認されたものだが、類似の仮想通貨発掘を行なう不正アプリをGoogle Play内で確認しているという。Google Playで確認された不正アプリは数百万件のダウンロード数となっているほか、トレンドマイクロがアプリを解析したところ、端末を充電しているケースでしか発掘を行なわないことがわかった。これにより、電池が異常に減るといったことがなく、不審なアプリであることを気付かれにくくしている。その上、3月25日時点ではあるものの、これらの発掘機能を備えた不正アプリは入手可能だとして、トレンドマイクロは注意を呼びかけている。
2014年03月31日ANAは10日、ANAマイレージクラブ (AMC)に不正ログインが発生し、会員の保有するマイルがiTunesギフトコードに交換されたことを発表した。詳細は現在調査中としており、会員に4桁の数字で登録したパスワードを変更するよう呼びかけている。同社は不正なログインと特典交換が行われたに対処するため、同日18時30分に「iTunesギフトコードへの交換サービス」を停止した。同社広報部によると、9名の会員から被害についての申告があり、合計112万マイルが不正に利用されたという。AMCへのログインは10桁の会員番号と4桁のパスワードを入力して行う。パスワードには使用できるのは数字のみとなっている。航空会社のマイレージサービスを狙った不正アクセス事件は、2月4日にJALマイレージバンク(JMB)で発生したばかり(関連記事:JALマイレージバンクに不正アクセスか、一部の特典交換サービス停止)。JMBではログインに、7桁もしくは9桁の会員番号と数字6桁のパスワードを入力する方式だった。
2014年03月11日IPAは、コンピュータウィルスや不正プログラムの状況分析から、「今月の呼びかけ」を発表している。今月は、組織内部の不正行為とその対策について紹介している。○内部不正とはどのようなものか2014年になり、従業員や委託先社員などの組織の内部情報にアクセスできる関係者(以後、内部者)による情報窃取などの内部不正行為が発生している。まず、内部不正であるが、どうして発生するのか? そこから見ていこう。A社はオンラインショップサービスの提供者で、B社はA社の決済処理業務の受注社(委託先)となっている。このような環境では、以下の内部不正を起こす可能性が考えられる。・権限が分散されていないB社のシステム管理者の1人に多くの権限が集中する、結果、他の社員などの監視をくぐり顧客のクレジットカード情報などの重要情報にアクセスし、不正利用する。また、このような操作を行った履歴すらも削除する。・システム管理者の監視ができていないシステム管理者のアクセスや操作の履歴などのログは存在していた。しかし、ログを監視する立場の社員がいなかった。結果、不正行為の前兆となる行為を検知することができず、発見が遅れ、被害が拡大する。・職場環境が不適切、または処遇に不満がある劣悪な労働環境も内部不正の要因と指摘する。システム管理者に、多大な業務量や長時間勤務などが続くとどうなるか。当然ながら、業務遂行のプレッシャーとなり、達成のためには社内ルールを無視してもよいという発想に繋がる。結果、内部不正が発生する。また、昇進・昇格や給与などの処遇への不満、上司や同僚とのコミュニケーション不足も内部不正の要因と指摘する。多くの企業・組織が、外部からの攻撃には対策を検討している。内部不正は数はそれほど多くはないが、一度、発生すると甚大な被害や社会的損失を被る可能性がある。IPAによれば、経営者レベルで、各部門を横断的に密連携させ、委託先も含めた内部不正対策に取り組む必要があると指摘する。しかし、内部不正では、風評などを恐れ、発生企業から情報提供が行われることは少ない。したがって、実態把握などが困難な状況にある。○内部不正を防止するための現状把握と対策IPAでは、内部不正を防止するために「組織における内部不正防止ガイドライン」を公開している。組織における内部不正防止ガイドラインでは、基本方針や技術的管理、人的管理、物理的管理など10の観点から30の対策項目を示す。まず着手したいのは、チェックシートで対策状況の確認である。次いで、各項目ごとに対策を3段階で検討する。対策の指針 : 対策の概要を捉えるどのようなリスクがあるか : 対策の必要性を理解対策のポイント : 具体的な実施策を立案さらに、IPAでは具体的な実施策の検討には、各対策に必要な製品、ソリューションがまとめられた日本ネットワークセキュリティ協会(JNSA)の「内部不正対策ソリューションガイド」を参考にするとよいとしている。○内部不正の背後に存在する「不正のトライアングル」今回の呼びかけでも指摘しているのが、不正のトライアングルである。これは、米国の組織犯罪研究者ドナルド・R・クレッシーが体系化したもので、トライアングルの名の通り、3つの要素によって構成される。動機・プレッシャー機会正当化動機・プレッシャーでは、地位向上への欲望、待遇への不満などから、行為のきっかけとなるものだ。機会は、逮捕されずに不正行為を行う機会があることを意識することだ。最後の正当化は、さまざまなケースがあるが「先輩も周りの人も悪いことをしているから大丈夫だ」のように、だから犯罪行為を行っても許されるという考えである。この3つが揃うことで、内部不正が起こる。IPAは、このうち動機・プレッシャーと機会は、組織として、対策を講じることが可能とする。本稿でふれられなかった点も多いので、興味ある方は、ぜひ参考にしてほしい。
2014年03月10日武蔵野銀行は14日、インターネットバンキング不正使用防止対策ソフトの無償提供を開始した。具体的には、インターネット・バンキングを利用する顧客のIDや暗証番号を盗み取る、ウィルスがパソコン側でブラウザの通信内容を傍受したり書き換えたりするMITB(マン・イン・ザ・ブラウザ)攻撃へ対応するため、フィッシング対策ソフト「PhishWallプレミアム」の無償提供を開始するというもの。特色同行のインターネット・バンキングを利用する際に、MITB攻撃のチェックを行い、攻撃を発見した場合には警告メッセージを表示して、不正な画面へ顧客の情報の入力を防ぐことが可能導入方法同行ホームページ上のセキュアブレインのバナーから同社のホームページへ遷移し、ダウンロードできる今後も同行は、顧客の利便性向上を図るとともに、より安心して取引できるようセキュリティー対策の強化に努めていくとしている。【拡大画像を含む完全版はこちら】
2012年12月18日経済産業省所管の独立行政法人「情報処理推進機構(IPA)」は、同機構のホームページで、ネット銀行を狙った不正なポップアップに注意を呼びかけるとともに、その手口と動作を解説し、被害にあわないための対策を紹介している。現在、パソコンで「インターネットバンキング」にログインしようとすると、ウイルスが不正なポップアップ画面を表示し、「合言葉」や「乱数表」を利用者に入力させ、これらの情報を盗もうとする手口の犯行が発生しており、警察庁と各金融機関が注意を呼び掛けている。同機構では、「本物のサイト」にログインしたあと偽の画面が表示されるために、利用者が信用してしまい情報を入力して被害が広がったと推測。また対策として、パソコンのOSや、アプリケーションなどの脆弱(ぜいじゃく)性を解消することや、「乱数表や合言葉などを一度にすべて入力しない」などの、インターネットバイキング利用時の注意点なども掲載。さらに、パーソナルファイアーウォール(端末と外部ネットワークの間の通信を制御するソフトウエア)を適切に設定して使用することや、その時だけ有効なパスワードを発行する「ワンタイムパスワード」サービスを利用することなどの、一歩進んだ対策の紹介もしている。なお、同機構では、「対策のほか、こうした便利なサービスを利用する際には、リスクをともなうという意識を日ごろから持つことが大切」とまとめている。詳細は、同機構公式ページを参照のこと。【拡大画像を含む完全版はこちら】
2012年12月05日