情報処理推進機構(IPA)は8月5日、「IoT社会」を見据えた"つながる"製品に組み込まれたソフトウェアの信頼性を確保するためのソフトウェア開発指針の策定を行うと発表した。同日に検討会を発足している。HEMS(Home Energy Management System)は、スマートメーター等との接続により、家庭の消費電力を管理・制御するシステムで、スマート家電と呼ばれる家電機器の遠隔制御などを可能とするもの。また、IoT(Internet of Things)は、様々なモノがインターネットに接続し、情報をやり取りすることを指す。自動車や家電などのさまざまなモノがインターネットに接続し、モノ同士が相互に接続する「IoT社会」が進む一方で、製品が「つながる」ことによって、利用者や開発者が想定しない不具合や事故が発生するリスク生じており、そのような製品の信頼性の確保に関する重要性が高まっているという。また、異なる分野の製品同士が相互に接続した場合に想定されるリスクや、安全に動作するのかなどの信頼性が確保されておらず、今後の普及に向けた課題となっている。IPAでは、各製品に組み込まれるソフトウェアの開発段階において信頼性を確保することが必要と判断。異なる分野の製品が「つながる」ことを想定した場合におけるリスク分析や対策をまとめた、信頼性確保のためのソフトウェア開発指針を策定するための検討会を発足した。検討会は、自動車や住宅、家電などの産業界をはじめ、組込み技術を専門とする大学教授など複数の有識者で構成される。今後、業界横断的にIoT製品に組み込まれるソフトウェアが満たすべき信頼性や安全性、セキュリティの要件を明確化することを目的とし、2016年3月末までに開発指針の素案を取りまとめ、公開する予定だ。
2015年08月06日情報処理推進機構(IPA)は8月4日、長期休暇における情報セキュリティ対策に関する記事を公開した。長期休暇の時期は、「システム管理者が不在になる」など、いつもとは違う状況になりやすく、ウイルス感染や不正アクセス等の被害が発生した場合に適切な対処が遅れる可能性がある。また、SNSへの書き込み内容から思わぬトラブルが発生するなど、関係者に被害が及ぶ可能性があるので、そのような事態とならないよう実施してほしい対策を提示している。組織の管理者向けの長期休暇前の対策としては、不足の事態に備えて、緊急連絡体制の確認。長期休暇中に使用しないサーバなどの機器の電源をOFFにすることを推奨している。さらに、長期休暇明けには、OSや各種ソフトウェアの修正プログラムを確認し適用すること、休暇中電源をきっていたパソコンはセキュリティソフトの定義ファイルを更新すること、サーバーなどに対する不審なアクセスがないか各種ログを確認し、不審なログを見つけた場合は早急に対応することをすすめている。組織の利用者に対しては、長期休暇前には機器やデータの持ち出しルールを確認し遵守し、休暇中使用しない機器は電源をきっておくことが大切だとしている。休暇明けには、修正プログラムや定義ファイルの確認と適用、また、持ち出していた機器のウィルスチェックをすすめている。家庭の利用者に対しては、多くの場所で提供されている公衆無線LANを利用することで、不正に設置されたアクセスポイントに接続したり盗聴されることで第三者に通信内容を知られる可能性があるので、第三者に知られては困る情報の場合はSSLで暗号化されていること(ブラウザのアドレスが「https」で始まる)を確認するよう注意している。また、行楽のための外出前や出先でのSNSの投稿内容によっては、長期休暇で不在であることが知れ渡る可能性があるだけでなく、投稿した写真から位置情報が知られて他者のプライバシーを侵害し、トラブルになることもあるので、投稿内容や範囲に気をつけることが大切だ。ほかにも、SNSで知り合った人物からインストールすすめられたアプリを利用してプライベートな動画などを撮影したことが原因で、セクストーション(性的脅迫)被害にあうケースが発生していることから、第三者に見られたら困る写真や動画を撮影させたり、そのデータを送らないように注意している。
2015年08月05日IPAは、コンピュータウイルスや不正プログラムの状況分析から、「今月の呼びかけ」を発表している。今月は、そのWebサイトを閲覧すると、日本語音声でウイルスに感染したことを警告し、偽のウイルス対策をするように促される。このような手口は、初めてであり、騙されてしまうことが少なくないと、IPAでは注意喚起している。これまで、音声を使った詐欺的な行為は、スマホでカメラのシャッター音を使い、いかにも本人を撮影し、個人を特定できたかのように振る舞うものが存在した。しかし、今回は日本語を使い、ウイルスの感染を警告する内容を読み上げる。ちなみに声は女性であった。その内容であるが、以下の通りである。警告あなたのコンピュータでウイルスが検出されました。ただちに提供された番号に電話していただくと、あなたのコンピュータ上のアドウェア、スパイウェア、ウイルス除去のためにガイドされます。このメッセージが表示されたということは、あなたの個人情報、写真、パスワードやクレジットカード情報が危険にさらされているということです。提供された電話番号に連絡していただけるまでは、インターネットの使用、Webサイトにログインすることや、オンライン上での商品の購入はなさらないでください。文面は、かなり日本語に精通した人が作成したと思われるレベルである。しかし、「ガイドされます」のように不審を感じ得ない部分もある。また、実際に音声を聞いた印象であるが、完全なネイティブとは思えない印象であった。このことから、海外の攻撃者が、明確に日本人を狙った攻撃といえるだろう。IPAに寄せられた相談内容によると、「PCサポート」といったWebサイトのアクセスしたところ、音声データが不意に再生されたとのことである。その詐欺サイトへは、広告バナーのクリックやリダイレクトによるものとIPAでは指摘する。音声を再生するのは、BGMなどと同じ仕組みである。その詐欺サイト閲覧したら、ウイルス感染などを調べることなく、無条件で警告音声を再生するようになっていた。警告音声にあったように、表示されたメッセージにある電話番号に電話をかけるように薦められる。このような手口に遭遇したことのないユーザーの中には、不安から電話をしてしまったユーザーもいたとのことである。そして、電話では遠隔サポートによるウイルス駆除を行うので、指定された遠隔操作ソフトのインストールを行うように告げられたとのことである。実際に、遠隔操作ソフトをインストールすると、なんらかの遠隔操作が行われた。その後、有償のセキュリティ対策ソフトの購入を促された。IPAでは、遠隔操作ソフトは速やかにアンインストールするように推奨した。有償のセキュリティ対策ソフトは断ればすむ。しかし、IPAではもっとも確実なのは、このような誘いに乗らず、指定された電話番号に決して電話をかけないこととしている。そして、IPAでは、日頃からのセキュリティ対策こそが重要と注意喚起する。脆弱性の解消、正しいセキュリティ対策ソフトの導入、地味であるが確実な対策となる。それを決して忘れないでほしい。その一方で、筆者が脅威に感じるのは新たな手口を考え、攻撃を仕掛ける攻撃者である。ウイルスや不正プログラムなどに大きな変化はない。それ以上に巧妙化しているのは、ドラマ性であったり、危機感を煽る演出、注力を働かせないようにする工夫である。個人データを入力するまえに、重要な判断をするまえに、今一度、振り返ってみることがいかに重要か。改めて思い知らされた事例であった。
2015年08月04日情報処理推進機構(IPA)は7月24日、「コンピュータウイルス・不正アクセスの届出状況および相談状況[2015年第2四半期(4月~6月)]:IPA 独立行政法人 情報処理推進機構」において、2015年4月から6月の間に報告されたウイルス届出件数や不正アクセスの届出状況などを伝えた。ウイルスの検出件数は昨年から減少している。検出数としてはWindowsで動作するW32/Mydoomが1万382個と最も多く、これにW32/Ramnitが続いている。届出があったウイルスはWindowsおよびMS-DOSを対象としたものがほとんどで、これにいくつかのAndroid向けウイルスが加わっている。Mac OS X向けやLinux、BSD向けのウイルスは報告されていない。一方、今四半期の不正プログラム検出数は8万4483個だった。最も多く検出された不正プログラムはDownloaderで、検出数は2014年第4四半期の約2.35倍、前四半期の約37.5%増となっている。ウイルスや不正プログラムへ感染させて機密情報などを抜き取ろうとする脅威は以前にも増して巧妙化が進んでいる。イタリアのセキュリティ企業「Hacking Team」から漏洩した機密情報などからわかるように、公開されていない脆弱性が侵入や感染に使われていることも考えられるため、セキュリティ・ソフトウェアを導入しただけではこうした脅威への対策として不十分と言える。常に最新の情報を得ながら、適切にソフトウェアを運用管理していくことが望まれる。
2015年07月28日情報処理推進機構(IPA)は7月21日、「Microsoft Windows の脆弱性対策について(CVE-2015-2426):IPA 独立行政法人 情報処理推進機構」において、Windowsに遠隔から任意のコードが実行できる脆弱性があることを指摘するとともに、攻撃が行われた場合の影響が大きいため、早急に修正プログラムを適用するよう呼びかけた。脆弱性(CVE-2015-2426)が存在するプロダクトは次のとおり。Windows VistaWindows 7Windows 8Windows 8.1Windows RTWindows RT 8.1Windows Server 2008Windows Server 2008 R2Windows Server 2012Windows Server 2012 R2Server Core インストールオプションこの脆弱性は、先日イタリアのセキュリティ企業「Hacking Team」から流出した400GBほどの機密情報から発見されたもの。細工されたフォントを含むWebページを閲覧したり、細工されたフォントデータを含むドキュメントを開かせたりすることで、コードを実行される危険性があり、今回Microsoftから定例のWindows Updateではない緊急のアップデートが提供されることになった経緯がある。今後、この脆弱性を悪用した攻撃が発生する可能性があり、注意が必要。
2015年07月22日独立行政法人 情報処理推進機構(IPA)は17日、IPAの名前を騙った不審メールが出回っていることを確認。不審メールおよびメールに添付されている添付ファイルを開かないよう、注意を喚起した。不審なメールは、外部組織より「IPAの名前を騙った不審メールが届いた」と情報提供があったことで発覚。不審メールには、IPAが7月15日に発信した、Microsoft製品やAdobe製品に関するセキュリティ対策情報が使用され、IPAのメールニュースを模した内容だったという。また、正式なメールニュースでは存在しない圧縮ファイルが添付されていた。添付の圧縮ファイルを展開すると、ウイルス感染を目的とするショートカットファイル(.lnk)が現れる。メールの件名や本文は、IPAの実際の公式サイトを元に作成され、添付ファイルの開封を促す文面になっている。不審なメールの特徴は、「送信元がフリーメール」「添付ファイルがある」という2点。これら特徴を備えたIPAからのメールは不審メールである可能性が高い。IPAでは、添付ファイルを安易に開かないよう呼びかけるほか、HTML形式の場合、本文内のリンクがマルウェア感染用のURLに偽装されている可能性があるとして、注意を喚起している。
2015年07月17日情報処理推進機構(IPA)は7月17日、同機構の名前をかたった不審なメールが出回っているとして注意喚起を行った。IPAによると、15日に公開したMicrosoftとAdobeのセキュリティ対策情報の文面を流用した詐欺メールで、本来のメールには存在しないzipファイルが添付されていたという情報提供を外部から受けた。同機構が提供を受けたzipファイルを展開したところ、ショートカットファイル(.lnk)が現れ、ウイルス感染を目的に作成されたファイルであることが判明したという。ただし、このメールはフリーメールが送信元になっているほか、通常IPAが送信するはずのないファイル添付が行われていたことから、十分に注意を払うよう、IPAでは呼びかけている。IPAは情報セキュリティの調査・情報提供を行っている独立行政法人で、この数カ月間に連続して発覚しているサイバー攻撃に関する情報発信も継続して行っていた。
2015年07月17日情報処理推進機構(IPA)は7月15日、「Adobe Reader の脆弱性対策について(APSB15-15)(CVE-2015-5093等):IPA 独立行政法人 情報処理推進機構」において、Adobe ReaderおよびAcrobatに任意のコードが実行される脆弱性が存在すると伝えた。細工されたPDFファイルを閲覧することで任意のコードが実行される危険性がある。脆弱性が存在するプロダクトおよびバージョンは次のとおり。Acrobat DC (Continuous Track) 2015.007.20033 (Windows版およびMacintosh版)Acrobat Reader DC (Continuous Track) 2015.007.20033 (Windows版およびMacintosh版)Acrobat DC (Classic Track) 2015.006.30033 (Windows版およびMacintosh版)Acrobat Reader DC (Classic Track) 2015.006.30033 (Windows版およびMacintosh版)Acrobat XI (11.0.11) およびそれより前のバージョン (Windows版およびMacintosh版)Acrobat X (10.1.14) およびそれより前のバージョン (Windows版およびMacintosh版)Reader XI (11.0.11) およびそれより前のバージョン (Windows版およびMacintosh版)Reader X (10.1.14) およびそれより前のバージョン (Windows版およびMacintosh版)情報処理推進機構は、この脆弱性について危険性が高いと指摘しており、該当するプロダクトを使用している場合は迅速にアップデートを適用するよう呼びかけている。
2015年07月15日情報処理推進機構(IPA)は7月15日、「Oracle Java の脆弱性対策について(CVE-2015-2590等):IPA 独立行政法人 情報処理推進機構」において、Javaに遠隔から任意のコードが実行される脆弱性が存在すると伝えた。この脆弱性を悪用されると、攻撃者によってコンピュータを制御される危険性がある。脆弱性が存在するプロダクトおよびバージョンは次のとおり。JDK and JRE (Oracle Java SE) 8 Update 45 およびそれより前のバージョンJDK and JRE (Oracle Java SE) 7 Update 80 およびそれより前のバージョンJDK and JRE (Oracle Java SE) 6 Update 95 およびそれより前のバージョンJDK and JRE (Oracle Java SE Embedded) 8 Update 33 およびそれより前のバージョンJDK and JRE (Oracle Java SE Embedded) 7 Update 75 およびそれより前のバージョンこの脆弱性を悪用した攻撃がすでに確認されていることから、情報処理推進機構では該当するプロダクトを使用している場合は迅速に最新バージョンへアップデートするように呼びかけている。
2015年07月15日情報処理推進機構(IPA)は7月13日、「Adobe Flash Player の脆弱性対策について(APSA15-04)(CVE-2015-5122等):IPA 独立行政法人 情報処理推進機構」において、Adobe Flash PlayerにDoS攻撃や任意のコードが実行可能という脆弱性が存在すると伝えるとともに、発表時点で修正プログラムが公開されていないことから、公開されるまでの間は緩和措置を取るなどして対処することを推奨している。脆弱性が存在するプロダクトおよびバージョンは次のとおり。Adobe Flash Player 18.0.0.203 およびそれより前のバージョン (Windows版およびMacintosh版)Adobe Flash Player 18.0.0.204 およびそれより前のバージョン (Google ChromeがインストールされたLinux)Adobe Flash Player Extended Support Release 13.0.0.302 およびそれより前の13.x系バージョン (Windows版およびMacintosh版)Adobe Flash Player Extended Support Release 11.2.202.481およびそれより前の11.x系バージョン (Linux版)Adobe Systemsは7月12日の週の間には修正プログラムを公開するとしており、修正プログラムの公開後には迅速にアップデートを適用することが推奨される。それまでの間はAdobe Flash Playerのアンインストールや無効化などを実施し、このセキュリティ脆弱性の影響を受けないようにすることが望まれる。Hacking Teamからの情報漏洩に端を発する今回のゼロデイ脆弱性の影響は広範囲に及んでいる。公開されたデータを利用したサイバー攻撃は今後も発生すると見られ、情報収集および迅速な対応といった行動を取ることが推奨される。
2015年07月15日情報処理推進機構(IPA)の情報処理技術者試験センターは7月13日、「平成27年度秋期情報処理技術者試験」の受験申込みの受付を同日より開始したと発表した。情報処理技術者試験は、経済産業省所轄の国家試験で、情報処理技術者としての知識・技能が一定以上の水準であることを認定するもの。情報システムを構築・運用する技術者から、情報システムの利用者まで、ITに関わるすべての人を対象としている。試験は、春期・秋期の年2回実施されており、平成27年度秋期試験は2015年10月18日に実施される。申込み受付期間は、インターネット申込みの場合が7月13日10時~8月21日20時で、願書郵送申込みの場合は7月13日~ 8月10日(消印有効)。受験手数料は各区分の試験のいずれも5,100円(税込)となっている。
2015年07月13日IPAは、コンピュータウイルスや不正プログラムの状況分析から、「今月の呼びかけ」を発表している。今月は、パスワードを忘れてしまった場合などに使われる「秘密の質問」について注意喚起を行っている。「パスワードは使い回さない」といったことから、アカウントごとに異なるパスワードを使用することが望ましい。実際、そのようにしているユーザーもいると思う。しかし、その欠点は、使用頻度の低いパスワードは、覚えていられないことである。こうしてパスワードを忘れてしまった場合、多くのサイトではパスワードリマインダといった機能を導入している。この手順であるが以下の通りである。パスワードの再発行などを申し込むその際に本人しか知り得ない秘密の質問に答える新しいパスワードをメールで通知これとは異なる仕組みもあるが、おおむねこういった手順が使われる。ここで重要なのは、本人の確認として「秘密の質問」が使われることである。しかし、セキュリティ上、重要な懸念があるとのことである。具体的には、2015年5月にGoogleが発表した内容によると、安全性も信頼性も十分ではないとのことである。具体的には、米国人にとって「好きな食べ物」という質問に対し、1回の推測だけで19.7%の確率で突破されることが判明した。ちなみに、この答えは「ピザ」である。つまり、本人だけしか知り得ない秘密になっていないのである。○「秘密の質問」の注意点「秘密の質問」は、あらかじめ用意されることが一般的である。そこで使われるのは、例えば以下のような質問が用意されている。あなたの母親の旧姓は?初めて飼ったペットの名前は?通っていた幼稚園(保育園)の名前は?生まれた町名は?好きなスポーツのチーム名は?お父さんの出身地は?中学校三年生の時の担任は?子供の頃のヒーローは誰?初めて乗った車の車種は?子供の頃の憧れの選手は?初恋の人のファーストネームは?たしかに本人でなければ、わからないような質問のようにみえる。米国の例ではないが、たとえば、母親の旧姓の場合、「鈴木」や「佐藤」といった一般的な姓を入力することで、本人になりすますことができてしまうこともある。ペットの名前に関しても、ネット上でペット名前ランキングを調べる、本人のSNSなどを閲覧し、ペットの名前を調べることで、正しい答えを推察することも不可能ではないと、IPAでは指摘する。さらにIPAでは、パスワード同様に第三者に推察されにくいもの「答え」に設定する必要があると、注意喚起する。○ユーザーが行うべき対策IPAでは、まず「秘密の質問」以外に、ワンタイムパスワードなどの二段階認証などがないかを確認するように推奨する。状況によっては、「秘密の質問」以外の方法を採用する、もしくは併用することで、万が一の事態でもなりすましなどを防ぐ対策を講じることである。そして、「秘密の質問」を使い続けるのであれば、「答え」に本人しか知らない「共通フレーズ」を追加するように推奨している。実際に、その例が図3である。「カモしれない」という共通フレーズを追加することで、第三者による推察を困難にしている。パスワード同様、あまり複雑な「答え」にしてしまうと覚えることが困難になってしまう。そこでこのような対策が有効な方法として考えられるだろう。しかし、異なるサービスで同じ質問を選択すると、「答え」もすべて同じものとなってしまう。そこで、サービスごとに異なる識別情報を追加することで、セキュリティを高める方法もある。具体的には、図3の「みかんカモしれない」であれば、識別情報の「アイピイエイ」を最後に追加する。つまり、「みかんカモしれないアイピイエイ」がその「答え」となる。ここまで長い「答え」にすれば、第三者による推察は不可能に近い。パスワードリマインダとして「秘密の質問」を使うところは多い。しかし、上述のように悪用される可能性もある。パスワードと同じレベルの管理が求められるということである。くれぐれも注意してほしい。
2015年07月06日情報処理推進機構(IPA)は6月29日、潜伏している可能性のあるウイルスの感染検査を行うよう、注意喚起を行った。IPAは6月1日の公的機関からの個人情報漏洩の報道を受け、対策と運用管理に関する注意喚起を6月2日、6月10日に行ってきた。今回の注意喚起は、「検知をすり抜けて侵入してしまったウイルスによる感染」の検査を推奨する目的で、端末内に潜伏するウイルスの有無を確認するための情報とノウハウを公開するもの。全ての端末を検査することが困難だとしても、業務で外部からのメールを頻繁に受け付けていて、「組織内への感染の突破口となり得る」部署の端末などの優先順位の高いものから、可能な限り検査を進めることを推奨している。標的型攻撃メールを使った攻撃は、(1)メールの着信、(2)ウイルス感染、(3)ウイルスの攻撃活動という流れで行われる。今回、被害にあった組織への攻撃メールは、件名に「医療費のお知らせ」「医療費通知のお知らせ」「健康保険のお知らせ」「謹賀新年」「新年のご挨拶」などのほか、標的となった組織の業務固有の件名などが用いられていたことが判明している。同様の件名のメールの添付ファイルを開く、あるいはリンク先のクリックなどによって、ウイルスが潜入している可能性があるという。IPAが公開したウイルス潜伏の確認方法は、不審ファイルの名称や不審なファイルがある可能性のある箇所を、ファイルの存在と自動起動の2つの観点から検査すること。不審なファイルを発見した場合は、ウイルスが侵入を試みた可能性が高い。そのため、ウイルス活動の痕跡である端末からの外部通信情報を確認することを勧めている。さらに、ウイルス感染が疑われた場合は、該当端末をネットワークから切り離し、ファイアウォールやプロキシサーバーで通信をブロックするよう勧告。該当端末が踏み台とされ、他の端末へウイルス感染が広がっている可能性も考えられるので、セキュリティベンダなどの専門家に相談するなど、正確な被害範囲や感染原因を把握した上で対応を進めることが重要。詳細な手順はIPAサイトからダウンロードできる。なお、この手順はIPAが現時点で把握している情報を基にしたもので、必ずしも全ての感染端末が発見できるものではない。
2015年07月01日情報処理推進機構(IPA) HRDイニシアティブセンターは6月30日、産業界におけるIT人材の育成支援を目的に、「i コンピテンシ ディクショナリ2015」、またWeb上で利用できる「iコンピテンシ ディクショナリ活用システム」を同時に公開した。IPAが提供する「i コンピテンシ ディクショナリ(iCD)」は、企業においてITを利活用するビジネスに求められる業務(タスク)と、それを支えるIT人材の能力や素養(スキル)を「タスクディクショナリ」「スキルディクショナリ」として体系化したもので、企業は経営戦略などの目的に応じた人材育成に利用できる。2014年7月31日に公開したiCDの試用版に対するパブリックコメントや産業界における実証実験などを踏まえ、今回、正式版となる「i コンピテンシ ディクショナリ2015(iCD2015)」を公開した。iCD2015では、試用版における知識体系などの見直しに加え、「情報セキュリティ」「攻めのIT」など新時代に必要な人材育成に対応したタスク・スキルを追加し、さらに、新たにWeb上で利用できる「iコンピテンシ ディクショナリ活用システム」も公開を開始した。これによりiCD利用者は、タスクディクショナリの中から「選択」する方法で、企業の戦略や業務に応じた自社用のタスクを容易に作成できる。また、企業のIT技術者がタスクレベルを自己診断し、その結果を自動集計することで、企業は業務の達成状況の確認や育成状況の把握などが可能になった。同システムの活用を通じて、人材育成戦略の立案(Plan)、育成施策の実行(Do)、自組織のリソース状況の把握(Check)、目標の再設定(Act)といった組織における人材育成のPDCAサイクルの一助となることが期待される。
2015年07月01日情報処理推進機構(IPA)は6月29日、「【注意喚起】潜伏しているかもしれないウイルスの感染検査を今すぐ!:IPA 独立行政法人 情報処理推進機構」において、最近の相次ぐウィルス感染の報道などを受け、自社の端末に関してウィルスの感染チェックを実施するなどを取り組みを呼びかけた。組織内のすべての端末のウィルスチェックが困難である場合であっても、外部からメールを受け取るといったような、マルウェア感染の入口となるような危険性の高い端末からチェックを実施するように指摘している。不審なファイルや不審な通信を発見した場合には、次のような対策を取ることが推奨されている。該当する端末をネットワークから切り離すファイアウォールやプロキシサーバで通信をブロックするセキュリティベンダなどの専門家へ相談するマルウェアに感染した端末やサーバの存在に気がつかないまま日々の業務を執り行っている企業の数は少なくなりとみられる。定期的にマルウェアに感染していないかチェックするとともに、感染が疑われる場合には適宜対処することが求められる。
2015年06月30日情報処理推進機構(IPA)は6月26日、「「暗号利用環境に関する動向調査」報告書の公開:IPA 独立行政法人 情報処理推進機構」において、米国、英国、フランス、ドイツ、エストニア、ロシア、中国、韓国、オーストラリア、欧州におけるセキュリティ政策関連の調査結果を発表した。調査結果のうち、特に興味深い内容は次のとおり。調査対象国はそのすべてにおいて暗号政策の所管省庁の役割および権限が法律上明確に定められている調査対象国はそのすべてにおいて敵性国家等に対する暗号技術の輸出規制を実施している6カ国は国家安全保障系機関(国防機関、諜報機関、治安機関等)が共管である2カ国は国家安全保障系機関と経済・科学技術系機関の共管であるほとんどの国でセキュリティが求められるシステムの政府調達においてセキュリティ認証取得製品の導入を義務付けている巧妙化するマルウェアとサイバー犯罪、大規模なセキュリティインシデントの発生、致命的な脆弱性の発見が相次ぐなど、この数年でセキュリティに関する関心は高まり続けている。セキュリティに関しては常に新しい情報を仕入れ、確実に対策を実施していくことが求められる。
2015年06月29日情報処理推進機構(IPA)は6月12日、「家庭内における無線LANのセキュリティ設定の確認を」と題する注意喚起情報を公開した。IPAでは、一般家庭の無線LAN環境が不正に利用される恐れがあるとして、その危険性や対策について過去にも注意喚起を行ってきた。不正利用を防ぐ対策の一つとして通信の暗号化があるが、IPAが2014年10月に実施した意識調査では、自宅の無線LANの暗号化について「通信の暗号化を行っているかどうかわからない(32.7%)」「通信の暗号化を行っていない(19.1%)」と、全体の半数以上が不明または設定なしという状況であることがわかり、類似被害の増加が懸念されている。家庭内に設置した無線LANルータなどのアクセスポイントへ不正に接続された際の脅威として、「通信内容の盗み見」「迷惑メール送信や不正アクセス、違法ダウンロードなどの不正行為の身元詐称」「家庭内の無線LAN環境を利用している端末内のデータ窃取」のようなことが挙げられる。無線LANアクセスポイントへ不正に接続されていることに気付くのは難しく、知らない間に事件に巻き込まれる可能性も考えられるので、第三者に通信内容を傍受され家庭内の無線LANアクセスポイントに不正接続をされないために、IPAはセキュリティレベルの高い「WPA2-PSK(AES)」を設定することを推奨している。この注意喚起は、Wi-Fiの暗号化方式が旧来型のWEPキーで運用していた家庭のルーターを"タダ乗り"した人物が立件されたことによるもの。
2015年06月15日IPA(独立行政法人情報処理推進機構)は12日、他人の無線LANルータを不正に使用しネットに接続する、「ただ乗り」容疑で全国初の逮捕者が出た事件を受け、一般家庭における無線LAN利用に関する注意を喚起した。当該の事件では、他人の無線LANルータの通信を解析して取得したパスワードを不正に利用し、インターネットに接続した疑いで松山市の男性が逮捕された。この事件を受け、IPAでは、家庭内の無線LANを不正利用された場合、「通信内容の盗み見」「迷惑メール送信や不正アクセス、違法ダウンロードなどの不正行為の身元詐称」「家庭内の無線LAN環境を利用している端末内のデータ窃取」といったリスクが発生すると指摘。不正利用の対策として、無線LANルータの暗号化設定を、突破リスクの高いWEPから、より安全性の高いWPA2-PSK(AES)に設定することを推奨している。IPAが2014年10月に実施した意識調査では、調査対象の半数以上が、無線LAN通信の暗号化について「不明」または「設定なし」と回答したという。IPAは「無線LANアクセスポイントへの不正接続は気づきにくく、知らない間に事件に巻き込まれる可能性もある」として、注意を喚起している。
2015年06月12日IPA(独立行政法人情報処理推進機構)は10日、標的型サイバー攻撃の被害事案が増えていることを受け、企業・組織の経営者、システム管理者向けに、サイバー攻撃の確認やコンピュータウィルスの感染確認を促す注意喚起を行った。IPAは、サイバー攻撃の確認方法として、ファイアウォールやプロキシサーバーのログ確認を挙げている。数秒、数分間隔で外部C&Cサーバー(感染PCへ命令を送るサーバー)へ継続的に通信するなど、通常では起こりえない通信があるか確認する。合わせて、外部へ接続する際にプロキシサーバーを経由させている場合、直接外部へ接続するといった、業務上想定していない通信がないかを確認する。また、サーバーから外部へ不審な通信がないか、あれば正常な通信か確認すると同時に、想定されていないアカウント、端末やサーバー、管理者からのログインがないかチェックを行う。組織内でActive Directoryサーバーやファイルサーバーなどを利用している場合、見覚えのないタスクがタスクスケジューラーへ登録されていないか、あるいはイベントログに見覚えのないタスクが実行された形跡がないか確認する。上記のポイントを確認し、万が一不審と思われる事柄を発見した際は、被害を最小限に抑えるために、該当端末をネットワークから切り離し、端末や通信ログなどの詳細な調査を行う。加えて、不審な通信先を発見した場合は、さらなる通信を防ぐため、ファイアウォールやプロキシサーバー、Webフィルタリングシステムを用い、不審な通信先とのアクセスをブロックするといった対策が必要となる。該当端末を踏み台にして、既に他の端末へウイルス感染が広がっている可能性も考えられるため、不審な通信を発見した場合はセキュリティベンダをはじめとした専門家に相談するなど、正確な被害範囲や感染原因を把握した上で対策を進めることが重要だとしている。また、一度攻撃を受けて侵入されてしまうと、Active Directoryサーバーなどの内部サーバーの脆弱性も悪用されてしまうため、継続的な脆弱性対策として、クライアント端末だけでなく、サーバーにもソフトウェア更新プログラム(パッチ)の適用を呼びかけている。
2015年06月11日IPAは6月10日、組織のウイルス感染の早期発見と対応に関する注意喚起を公表した。この喚起は、企業・組織の経営者、システム管理者を対象に行われたものだ。標的型サイバー攻撃の被害事案増加を踏まえ、その対策と運用管理の注意喚起が6月2日に行われた。今回の注意喚起は、相次ぐ報道を受け、多くの組織においてウイルス感染の有無に関する懸念が広がっていると想定されることから実施された。ウイルス感染の懸念がある場合、まずウイルスに感染して攻撃活動が始まっていないか、ウイルスの活動の痕跡の確認を行う必要がある。このような確認が、ウイルスの早期検知と被害低減につながるという。ウイルス活動の痕跡を確認するには、以下の4つのポイントがある。○ファイアウォール、プロキシサーバーの確認ファイアウォールやプロキシサーバーのログにおいて、ウイルスによる外部のC&Cサーバー(感染PCに命令を送るサーバー)への通信を確認する。このログで、数秒や数分間隔で繰り返し行われているなど、人間によるウェブサイトの閲覧では起こりえない特徴的な通信が行われていないか、注意する必要がある。○業務上想定していない通信の確認ウイルスはプロキシサーバーを経由せずに直接外部へ通信を試みる場合がある。そのため、端末のインターネット接続がすべてプロキシ経由で、直接のインターネット接続は遮断されている場合は注意が必要だ。直接外部と通信を行おうとして遮断されている通信がないか、ファイアウォールにおいてブロックされた通信のログを確認することも重要だという。また、Active Directoryサーバーやファイルサーバーなどの端末からWindows Updateなどの通信を除いたインターネット向けの通信が無いか確認したい。もし通信があれば、意図的なものか注意が必要だ。なお、国内のサイトが改ざんされ、C&Cサーバーとなっている可能性もある。そのため、国内のウェブサーバーへの通信だから安全とは判断せずに、通信内容を精査する必要がある。○Active Directoryのログの確認Active Directoryを運用している組織は、ログなどから下記のような不審な兆候がないか確認する必要がある。想定されないアカウントでのログイン想定されない端末やサーバーへのログイン想定されない端末での管理者ログイン想定されない時間帯のアクセス想定されない管理者操作やポリシーの変更○Active Directoryサーバーやファイルサーバーなどの確認見覚えのないタスクがタスクスケジューラーに登録されていないか確認する。また、タスクのイベントログに見覚えのないタスクの実行履歴が残っていたら注意する必要がある。また、不審と思われる通信などを行っている端末を発見した際はすぐに対応する必要がある。対処方法は下記の4点だ。○該当の端末をネットワークから切り離すこれにより、被害は最小限に抑えられる。その上で該当の端末や通信ログなどを詳細に調査する。○ファイアウォールやプロキシサーバーでのブロック不審な通信先を発見した場合、ファイアウォールやプロキシサーバー、導入済みの場合はウェブフィルタリングシステムで、不審な通信先との通信をブロックする。これにより、更なる通信が防げる。○セキュリティベンダなどの専門家に相談する正確な被害範囲や感染原因を把握した上で対応を進める。これにより、該当の端末が踏み台とされ、既に他の端末へウイルス感染が広がっている場合の被害拡大を防げる。このほか、継続的な脆弱性対策を実施することも重要だという。攻撃者に一度侵入されてしまうと、Active Directoryサーバーなどの内部サーバーの脆弱性も攻撃者に悪用される恐れがある。IPAでは、クライアント端末だけではなく、Active Directoryサーバーなどの内部サーバーにもソフトウェアの更新プログラム(パッチ)の適用することを推奨している。
2015年06月11日情報処理推進機構(IPA)は6月9日、「「MilkyStep」における OS コマンド・インジェクションと SQL インジェクションの脆弱性対策について (JVN#05559185)(JVN#52478686) :IPA 独立行政法人 情報処理推進機構」において、イングレックスが提供するMilkyStepにコマンドインジェクションとSQLインジェクションの脆弱性が存在すると伝えた。情報処理推進機構はこれ以外にも、下記JVNにおいてMilkyStepの脆弱性について伝えている。JVN#74280258 MilkyStep におけるアクセス制限不備の脆弱性JVN#20879350 MilkyStep におけるクロスサイトスクリプティングの脆弱性JVN#52478686 MilkyStep における SQL インジェクションの脆弱性JVN#05559185 MilkyStep における OS コマンドインジェクションの脆弱性JVN#12241436 MilkyStep におけるクロスサイトリクエストフォージェリの脆弱性JVN#16409640 MilkyStep におけるアクセス制限不備の脆弱性脆弱性が修正されたバージョンがすでに提供されているため、該当するバージョンを使用している場合は、修正が適用された最新版へのアップデートの実施が推奨される。
2015年06月10日IPA(独立行政法人情報処理推進機構)およびJPCERTコーディネーションセンター(JPCERT/CC)は5日、「バッファロー製の複数の無線 LAN ルータにおけるOSコマンド・インジェクションの脆弱性」を、JVN(Japan Vulnerability Notes)において公表した。今回の発表では、バッファロー製の無線LANルータ(複数機種)において、OSコマンド・インジェクションの脆弱性が存在することを告知。管理画面にログイン可能なユーザーによって、当該製品上で任意のOSコマンドを実行される可能性があるとしている。今回の脆弱性情報は、2014年11月4日にIPAが届出を受け、JPCERT/CCが製品開発者と調整を行って公表したもの。該当する製品とファームウェアバージョンは以下の通り。いずれも最新のファームウェアを適用することで、今回告知された脆弱性を解消できる。バッファローの無線LANルータを使っているユーザーはすぐに確認し、当てはまるようなら最新ファームウェアへとアップデートしていただきたい。なお今回の情報は、すでにバッファローが2015年2月2日に公開しており、IPAの公開タイミングとして6月5日になったもの。WHR-1166DHP ファームウェア Ver.1.60 およびそれ以前WSR-600DHP ファームウェア Ver.1.60 およびそれ以前WHR-600D ファームウェア Ver.1.60 およびそれ以前WHR-300HP2 ファームウェア Ver.1.60 およびそれ以前WMR-300 ファームウェア Ver.1.60 およびそれ以前WEX-300 ファームウェア Ver.1.60 およびそれ以前BHR-4GRV2 ファームウェア Ver.1.04 およびそれ以前
2015年06月05日情報処理推進機構(IPA)は6月2日、「【注意喚起】ウイルス感染を想定したセキュリティ対策と運用管理を:IPA 独立行政法人 情報処理推進機構」において、サイバー攻撃は年々巧妙になっており、重要な業務や機密情報を保護する対策を実施する際は、ウイルスに感染したことも想定したうえで多重防御を実施してほしいと呼びかけた。IPAは多重防御の管理・運用のポイントとして次のような項目を挙げている。ソフトウェアを最新版へ更新する作業を習慣化するとともに徹底するセキュリティソフトウェアの導入メールの添付ファイルのブロックの実施Webフィルタリングの実施セキュリティ脅威の内容を教育によって伝える標的型攻撃などを受けたことを想定した訓練の実施一般端末と重要業務システムの分離の実施部署などの業務単位でのネットワークの分離の実施共有フォルダアクセス権の適切な設定データの暗号化やパスワードによる保護の実施有事の際に迅速に対応できるように体制を整備本来はウイルスに感染しないことが望まれるが、多くの人材が活動する企業において、すべての従業員をウイルスから100%保護することはなかなか難しい。したがって、ウイルスへの感染を前提とした仕組みを確立しておくことは、被害を最小限に抑えるうえで有益と言える。
2015年06月04日情報処理推進機構(IPA)は6月2日、複雑化したサイバー攻撃の被害を防ぐために、企業は「多層防御」を考慮したセキュリティ対策が必要であると呼びかけた。IPAは、サイバー攻撃による企業の情報漏えいや金銭窃取の被害の多くは、メールの開封(添付ファイルを開く、リンクのクリック)やウェブサイトの閲覧によるウイルス感染が主な原因であり、特定のセキュリティ対策製品を導入しただけでは防ぐことができない場合があると説明している。企業においては、個人情報や機密情報を扱う業務やその他重要な業務において、ウイルス感染予防だけでなく、感染してしまうことを想定して感染後の被害の回避や被害を低減させるために、複数の対策(多層防御)を多層で行う必要があるとのことだ。多層防御は、ウイルス感染や内部不正が発生しても、被害を回避・低減にできるシステム設計や運用ルールになっているか、ルールが徹底されているか、PDCAサイクルに沿って見直していくことが重要だという。具体的なポイントとして、「ウイルス感染リスクの低減」「重要業務を行う端末やネットワークの分離」「重要情報が保存されているサーバーでの制限」「事後対応の準備」を挙げている。ウイルス感染リスクの低減は、脆弱性を狙ってウイルス感染させる攻撃からPCやサーバを保護するために、ソフトウェアの更新による脆弱性の解消を習慣化させること。ソフトウェア更新の習慣化および徹底、セキュリティソフトウェアの導入、メールの添付ファイルのブロック、Webフィルタリング、教育や訓練を徹底する必要であるとしている。重要業務を行う端末やネットワークの分離は、万一ウイルス感染があった時に被害を緩和できるよう、端末単位やネットワークで分離すること。一般の端末と重要業務システムの分離、部署など業務単位でのネットワークの分離する方法が有効だと説明している。重要情報が保存されているサーバでの制限は、共有フォルダのアクセス権の設定重要な情報が保存されているフォルダは、その情報の機密性の格付けや閲覧範囲を決定し、その範囲の業務担当者のみが閲覧できるようにアクセス権を設定すること。共有フォルダのアクセス権の設定、データの暗号化やパスワードによる保護といった対策を求められる。事後対応の準備は、有事の際に迅速に対応できる手順書や関係省庁や調査会社などの連絡先を準備しておくことが重要だと説明している。なお、前日には日本年金機構が標的型攻撃を受け、個人情報125万件が流出している。
2015年06月03日IPAは、コンピュータウイルスや不正プログラムの状況分析から、「今月の呼びかけ」を発表している。今月は、ランサムウェアについて注意喚起を行っている。まずは、ランサムウェアであるが、「Ransom(身代金)」と「Software(ソフトウェア)」を組み合わせた造語である。決して目新しいものではなく、米国などでは警察、裁判所、司法関係、公的機関を名乗り、画面をロックし、PCを使えない状態にする。「罰金払え」といった名目で金銭を詐取することを目的としている。PC乗っ取り型(デスクトップロッカー型とも呼ばれる)ランサムウェアである。ユーザーを信用させるために、それらしい理由などが記載されている。当然ながら、英語圏以外では、翻訳の作業が必要になる。したがって、日本ではランサムウェアの攻撃者らにネイティブレベルで日本語を使えることが必要となる。これは、ランサムウェアに限ったことではないが、言語の壁が防波堤となり、ウイルスや不正プログラムへの自然な防御策ともなっていた。偽セキュリティ対策ソフトなどでも、不自然な日本語が使われており、注意力を働かせることができた。○クリプト型ランサムウェア最近になり、異なる種類のランサムウェアが登場してきた。PC内のユーザーデータを暗号たするランサムウェアである。PC内に保存してある文書、写真などのデータを暗号化する。そして、元に戻す(復号キーを入手)ためには、金銭を払えと脅してくるのである(もちろん、支払っても戻る可能性はない)。PC乗っ取り型では、ランサムウェアを駆除することで解決する。しかし、クリプト型ランサムウェアでは、駆除しても暗号化されたデータは元に戻ることはない。最近の暗号化はAES-265やRSA暗号などが使われ、復号キーを入手する以外に元に戻す方法はないといってもいいだろう。この点が、非常に悪質なところである。そして、IPAが警告するのは、流暢な日本語が使われている点である。図3は、IPAに寄せられたランサムウェアに関する相談数の推移である。初めてIPAに寄せられたランサムウェアに関する相談は、2011年7月とかなり以前であった。当然ながら、その頃の脅迫文は英語であった。ところが、2014年12月に日本語のランサムウェアの相談が寄せられるようになった。2015年4月には日本語によるランサムウェアの相談が6件となった(そのうちの1件は、企業から寄せられた相談であった)。要求される身代金は、数万円程度である。さらに、支払い方法にビットコインが指定されていた。日本国内では、ビットコインはそれほど流通しておらず、このことが障壁となって被害が拡大することがないだろうと、IPAでは予測している。しかし、最初は機械翻訳したような日本語から、ネイティブのような日本語に変化してきたように、金銭を奪う方法も変化することは十分に考えられる。一方で、ランサムウェアに対する認知度も、IPAの2014年10月に実施した意識調査では2割程度とかなり低い。対策や危機意識が乏しい状態では、被害が急激に拡大する危険性もある。この点にも、IPAでは懸念を表明している。○ランサムウェアの感染経路さて、ランサムウェアの感染経路についても、IPAでは調査を行っている。基本的には、他のウイルスなどと同様に、メール添付、メール内のURLのクリック、攻撃者の作成したWebサイトへ誘導されることで感染する。しかし、今回の相談では、特にそのような行為を行った形跡はみられなかった。よく確認してみると、怪しいとは思えないブログを閲覧した後で、身代金を請求されるようになったとのことだ。IPAでは、PCにインストールされているアプリケーションなどの脆弱性を悪用し、ドライブバイダウンロード攻撃が行われたと推測する。ドライブバイダウンロード攻撃は、そのWebサイトを閲覧しただけで、ウイルスなどに感染してしまうものだ。したがって、注意力で防ぐことは、非常に難しい。○ランサムウェアへの対策上述のように、ランサムウェアには感染しないことが、最大の防御となる(感染したら、データが暗号化されてしまう)。そこで、以下の対策をあげている。セキュリティ対策ソフトを導入するOSおよびアプリケーションを最新の状態にする重要なファイルを定期的にバックアップするいずれも基本的な対策であるが、怠りなく実施する必要があるだろう。そして、バックアップである。2014年10月に実施した意識調査では、定期的にバックアップをとっているユーザーは5割程度である。IPAでは、ランサムウェア以外にも、PCの故障などにも有効な対策となるので、ぜひバックアップを定期的に行うようにと推奨している。
2015年06月02日情報処理推進機構(IPA)は6月1日、「2015年6月の呼びかけ:IPA 独立行政法人 情報処理推進機構」において、4月に情報処理推進機構の情報セキュリティ安心相談窓口にランサムウェアの被害と見られる相談が増えたとして、ランサムウェアの流行に注意するように呼びかけた。ランサムウェアはファイルを暗号化し、復号化したければ金銭を支払えという要求をするマルウェア。現在のところ、ビットコイン経由での支払いを要求することが多く、日本国内ではまだそれほど被害が発生していないと言われている。セキュリティ・ソフトウェアを使って駆除したとしても、暗号化されたファイルは復号されず、金銭の支払いに応じた場合も復号できるとは限らないため、バックアップを確実に取っておくといった対策が必要になるとされている。情報処理推進機構は、ランサムウェアへの対策として、セキュリティ・ソフトウェアを導入すること、オペレーティングシステムやアプリケーションを常に最新版へアップグレードし続けること、重要なファイルは定期的にバックアップを取ることなどを挙げている。
2015年06月02日情報処理推進機構(IPA)は5月27日、メールを利用した標的型攻撃の分析結果を発表した。IPAでは国内のインフラ関連組織を対象に、2012年4月から標的型攻撃メールなどの情報共有を相互に行い、高度な対策に繋げる取り組み「サイバー情報共有イニシアティブ(J-CSIP)」を3年前から運用している。これまでIPAに提供された情報は1,257件で、そのうち標的型攻撃メールとみなしたものは939件であった。分析結果によると、IPAでは攻撃メールの12%に相当する114件が同一の攻撃者(またはグループ)による攻撃と推定した。114件の攻撃メールは、2012年9月から2015年3月まで、31カ月の長期にわたり観測された。また、2014年度は標的型攻撃とみなしたメールの送信元が初めて日本最多であったことや、これまでの観測データは日本国内に重要産業を標的とした攻撃インフラが着々と築かれつつある可能性を示した。IPAでは、J-CSIPの一連の情報共有によって、攻撃者像の推定・攻撃手口の解明など一定の成果を得られたと説明。成果は、今後参加組織での対策として活用される。なお、詳細な分析結果と2014年度の情報共有の運用状況などをまとめた2014年度(2014年4月~2015年3月)の活動レポートをWebページ上で公開した。活動レポートでは、2014年度の年間報告に加え、この推定に至った一連の攻撃を仕掛けている攻撃者の手口などを解説している。
2015年05月28日IPA情報処理技術者試験センターは5月12日、国家試験「情報処理技術者試験」のうち、「応用情報技術者試験」の午後試験について、出題構成の見直しを実施すると発表した。応用情報技術者試験は、システム開発に関する知識をはじめ、情報セキュリティ、プロジェクトマネジメント、経営戦略など、ITに関する幅広い知識と応用的なスキルを評価・認定される国家試験。春期(4月)と秋期(10月)の年2回実施されており、年間約10万人が応募している。今回の出題構成の見直しでは、ストラテジ分野とプログラミング分野の2分野から構成される選択問題と、ネットワーク分野、データベース分野、プロジェクトマネジメント分野など8分野から構成される選択問題が統合され、全10分野から構成される選択問題に変更された。また、選択問題の解答数がこれまでの5問から4問に変更。午後試験全体の試験時間は変更されないため、1問あたりの解答時間が増加することになる。各問題の配点は、必須問題の情報セキュリティ分野も含め、すべて20点に統一される。これら変更の適用は平成27年度秋期試験から実施される予定。
2015年05月12日IPAは、コンピュータウイルスや不正プログラムの状況分析から、「今月の呼びかけ」を発表している。今月は、ブログやSNSなどへの写真の投稿について注意喚起をしている。連休を終え、行楽写真などを記念にアップしたり、SNSで友人と共有することで、より鮮やかな思い出となる。しかし、そこには重大な懸念がある。まずは、他人の写った写真の場合である。撮影した本人には、なんの問題もない。しかし、撮影された他人にとっては、このましくないこともある。図1のように、その場所にいたことが問題であったり、インターネット上に公開されることが問題となることもある。これについてIPAでは、「2014年度 情報セキュリティの倫理に対する意識調査」を実施している。この結果によると、7割以上が他人の写った写真をインターネット上に公開することに対して、問題意識を持っていない事実が浮かび上がる。この結果からも、知人や友人の写真をついアップしてしまうことは容易に考えられる。結果、図1のようなトラブルとなりかねない。友人や知人だけでなく、背景に写った人、さらには、同時に写り込んだ絵画・ポスターといった著作物も問題となることがある。状況によっては、プライバシー侵害、肖像権・著作権の侵害に該当することもあると注意喚起している。○Exif(イグジフ)情報から撮影場所が特定最近のデジタルカメラの機能にExif情報がある。これは、撮影したカメラ、レンズ情報、さらに、撮影時の条件情報を記録する機能である。具体的には、以下である。撮影日時撮影機器のメーカー名撮影機器のモデル名画像全体の解像度水平・垂直方向の単位あたり解像度撮影方向シャッタースピード絞り(F値)ISO感度測光モードフラッシュの有無露光補正ステップ値焦点距離色空間(カラースペース)GPS情報(GPS機能がある場合、緯度・経度・標高)サムネイル(160×120pixel)これらの情報のすべてが記録されるとは限らない。カメラやメーカーによって異なる。確かに撮影時のシャッタースピードや絞りなどは、あとで画像処理を行うときにとても役立つこともある。しかし、問題となるのが、GPS情報である。図3は、その例である。撮影場所が容易に特定できてしまう。撮影内容によっては、個人情報の流出となりかねない。では、どのようにすればよいか。投稿などを行う前に、Exif情報を確認し、公開して問題ないかを確認することだ。もし、問題があれば、削除を行う。図4は、Exif情報を削除するソフトである。ドラッグ&ドロップだけで簡単に削除ができる。実際、図3の写真では、図5のようになった。最近のブログやSNSでは、投稿の際に自動的にExif情報を削除する機能を持つものもある。しかし、過信せず、注意が必要であろう。また、IPAでは「友人にのみ公開」といった公開制限もあるが、これにも注意すべきとしている。その理由であるが、閲覧した友人から再公開されたり、メールなどで拡散する可能性もあるからだ。そして、どんな制限があっても、投稿された写真は「全世界の不特定多数の人に閲覧される」可能性があることを忘れてはいけないことだ。○写真を投稿をするにあたっての対策IPAでは、ブログやSNSに写真を投稿する際の対策として以下を推奨している。投稿時にはExifのGPS情報の有無を確認すること一緒に写っている人には事前に投稿への許可を得ること公開する必要のない写り込みは特定できないように加工をすること最初の2つについては、わかりやすいであろう。最後の対策であるが、被写体だけでなく、背景に写り込んだ人物、著作物、内容についても検討する必要があるということだ。IPAは、意外な盲点となる可能性もあるので、しっかりと確認すべきとしている。では、実際に公開することに問題がある内容を含んでいる場合、どのようにすべきであるか。IPAでは、以下をあげている。トリミングを行う画像をぼかす拡大しても識別できないレベルの解像度に変更するこのような加工を施し、撮影内容を特定できないようにする。インターネット上に公開されたデータは、決して削除することはできない。その点を忘れずに、アップしてほしい
2015年05月07日情報処理推進機構(IPA)は、5月の情報セキュリティの呼びかけとして「ゴールデンウィーク(GW)の行楽写真を投稿する際はご注意を」と題する記事を公開し、旅行などの思い出としてブログやSNSに写真を投稿する際の注意喚起を行った。IPAが実施した「2014年度 情報セキュリティの倫理に対する意識調査」では、「友人と一緒に写った写真を勝手に自分のブログに貼り付けて公開した」という行為を問題であると回答した人は29.7%であり、7割以上が他人の写った写真をインターネット上に公開することに対して、問題意識を持っていないことがわかった。インターネット上に写真を公開する行為は身近で手軽なものになっているが、他人の写った写真の公開に対する意識には個人差があり、その配慮はまだ十分に行き渡っていないと言える。たとえば、デジタルカメラで写真を撮影した際には、Exif(イグジフ)という撮影日時や撮影機器のモデル名、GPS情報などの様々な情報が付加されているので、GPS情報が付加されたままの写真を投稿すると、閲覧者は撮影場所がどこであるのかを知ることが可能となる。ブログやSNSの機能によっては公開範囲の指定ができるため、指定した人しか見られないから問題ないと考える人もいるだろうが、閲覧者は容易に写真をダウンロードして再利用できるので、想定される公開範囲に関わらず、ブログやSNSに写真を投稿することはインターネットに公開することと同じく「全世界の不特定多数の人に閲覧される状況にある」という認識を持つ必要がある。なお、最近では、撮影場所が公開されないよう、写真を投稿する際に自動的にExif情報を削除するブログやSNSもある。また、投稿内容によっては撮影日時や場所が特定できるため、本人の許可なく写真を公開することで一緒に写っている人に不都合が生じる可能性があり、状況などによってはプライバシーや肖像権の侵害などといったトラブルに発展する恐れがある。公共の場所で撮影した場合は、その場所に居合わせた人の様子や絵画などの著作物が写り込む場合があり、この場合も、内容や状況などによってはプライバシーや肖像権、著作権の侵害などのトラブルに発展する可能性があり注意が必要だ。IPAは、ブログやSNSに写真を投稿する前に、投稿時にはExifのGPS情報の有無を確認し、GPS機能が有効である場合はアプリやツールを使い、公開する写真に付加されたExifのGPS情報を削除するよう呼びかけている。また、写真を投稿することでプライバシーや肖像権の侵害とならないよう、一緒に写っている人には写真の撮影だけでなく、投稿することについても差し支えがないかを事前に了承を得ることや、被写体の背景に写り込んでしまった人物、書類、著作物などが公開されることによる懸念がある場合は、トリミングを行うなどの加工を推奨している。
2015年05月03日