情報処理推進機構(IPA)は12月18日、年末年始の長期休暇中およびその前後における情報セキュリティに関する注意喚起を発表した。この注意喚起はパソコン、スマートフォン、タブレット等の利用により休暇中や休暇明けに、企業など組織内でのトラブルや顧客へのウイルス感染、情報漏えい、および家庭でのトラブルに遭わないようにするためにIPAが毎年行っているもの。万が一トラブルが発生した場合に被害が拡大しないよう、「1.システム管理者」「2.企業など組織の一般利用者」「3.家庭での利用者」「4.スマートフォン、タブレットの利用者」を対象にした情報セキュリティ対策で構成している。システム管理者向け対策では、「緊急対応体制、盗難・紛失時の連絡体制」「最新バージョンの利用」「修正プログラムの適用」「定義ファイルの更新」「情報持出しルールの徹底」「アクセス権限の再確認」「情報取扱いルールの徹底」「パスワード管理の徹底」「サイバー攻撃対策の点検」などを案内。企業など組織内の一般利用者が行う対策では、「インターネットバンキング利用時の注意」「修正プログラムの適用」「定義ファイルの更新」「利用前のウイルスチェック」「メールの取り扱いの徹底」を注意喚起している。また、家庭でパソコンを使用する方の対策では、「インターネットバンキング利用時の注意」「最新バージョンの利用や修正プログラムの適用」「USBメモリ等の取り扱いの徹底」「必要データのバックアップの推奨」「SNS利用上の注意」「ウェブサイト利用時の注意」「パスワード管理の徹底」など初歩的な注意も行っている。最後のスマートフォン、タブレット利用者に対する対策では、「スマートフォン、タブレット使用時の注意」「スマートフォン、タブレット使用ルールの徹底」「セキュリティアプリの導入」の注意点についてまとめている。これらの詳細な対策はIPA Webサイトで公開されている。
2014年12月19日IPAは、コンピュータウイルスや不正プログラムの状況分析から、「今月の呼びかけ」を発表している。今月は、性的脅迫被害に関する事例を取り上げている。○セクストーションとはまずは、図1の広島県警察のWebページを見ていただきたい。ここにもあるが、セクストーションは「sex(性的な)」と「extortion(脅迫)」を組み合わせた造語である。IPAに寄せられた相談からの手口であるが、以下のようになる。SNSを通じて知り合った異性から、プライベートな動画を見せ合おうと誘われるそして、異性からビデオチャット機能を有する不正アプリをインストールするように誘われる(アプリのインストールを行わせてから、プライベートな動画のやりとりを求める場合もある)アプリをインストール後、ビデオチャット中に服を脱いだり、卑猥な姿を相手に送ってしまう(この時点で、電話帳の情報などが窃取されている)後日『あなたの電話帳の情報と動画を入手している。この動画をばらまかれたくなければ、指定の金額を払うように』といった脅迫電話がかかってくるIPAによれば、このビデオチャットアプリであるが、チャット機能以外にも電話帳情報を窃取する機能を持っていたとのことである。この情報を悪用し、脅迫を行っているのである。ワンクリック詐欺などの不正請求もそうであるが、内容自体が知られることがあまり好ましくないといった理由から、周りに相談できず脅迫に応じてしまうことも少なくない。広島県警察では、2014年6月の時点で注意喚起を行っているが、IPAでは同種の相談が2014年9月くらいから寄せられるようになったとのことである。上述のように、相談するのをためらうことで、報告や被害届が出されていないことも予想される。実際には、もっと多くの脅迫が行われている可能性もある。脅迫者の意図としては、インターネットなどで不特定に閲覧されるよりも、普段、連絡を取り合っている身近な人間に閲覧されるほうが、より脅威意識が高まると見ている。そのために、電話帳情報も同時に窃取していると考えらえる。また、これまでも電話帳情報を盗み出す不正アプリは存在していた。しかし、盗み出した電話帳情報を悪用する事例はほとんどみられなかった。それがここにきて、具体的な手口として悪用されるようになった点も注目したい。いよいよ、スマートフォンで明確な金銭奪取を目的とした攻撃が行われ始めたとみてもよいだろう。○セクストーションへの対策方法はIPAでは、セクストーションへの対策として、次の2点をあげている。アプリは信頼できるマーケットからプライベートな写真や動画は第三者に渡さない最初に紹介した事例であるが、SNSで知り合った異性からアプリのインストールを勧められている。その際に、メールに添付されていたり、リンク先からのダウンロードを求められることが少なくない。こういった経路でインストールするアプリは、不正アプリの危険性が高い。やはり、アプリは安心できる公式マーケットから入手すべきである。そして、2点目であるが、スマートフォンやセキュリティの問題ではない。仮に友人であったとしても、見られて困るような写真や動画、撮影させない、送付しないといった態度で臨むべきであろう。仮に深い交際関係にあったとしても、そのような写真や動画には注意が必要である。関係が解消された後に、相手を陥れるために悪用されることも少なくない(リベンジポルノといわれるものだ)。やはり、自衛も重要な対策の1つとなるだろう。セクストーションと思われる脅迫行為を受けた場合、脅迫相手と連絡を取ることを避け、まずは警察へ相談することを検討すべきとしている。残念ながら、一度、脅迫相手の手に渡ってしまった情報は削除することも、取り返すこともできない。また、警察へ相談しても、仮に脅迫金を支払ったとしても、プライベートな情報の公開を防ぐことにはならない。この点も決して忘れてはならない。最後にIPAでは、特定の相手に写真や動画を渡すことは、インターネットに公開することと等しいという認識を持つことが重要としている。それだけでなく、データを所有しているだけでもウイルス感染が原因で外部に流出する可能性もある。インターネットに公開されて困るような写真や動画は、撮影自体を行わないようにと注意喚起をしている。
2014年12月02日IPA(情報処理推進機構)は1日、SNSや不正アプリを用いた手口による「セクストーション」(性的脅迫)被害が多発しているとして注意を呼びかけた。プライベートな動画データや、窃取した電話帳情報を脅迫のネタとして、金銭を要求されるという相談が増えているという。セクストーションとは、被害者のプライベートな写真や動画を入手して、それをばらまくなどと脅迫する行為を指す言葉。海外では広く認識・問題視されており、インターネットやネットワークサービスを悪用した事例が報告されている。また、日本国内でもSNSと不正アプリを用いた手口によるセクストーション被害が増えているという。手口としては、まず犯行グループが、SNSを通じて被害者にコンタクトを取る。次に、ビデオチャットでプライベートな動画のやり取りをしたいと、専用アプリ(電話帳情報を窃取する不正アプリ)をインストールするように持ちかける。そして、窃取した電話帳の登録者に、プライベートな動画をばらまくと脅迫し金銭を要求する。被害者は、恥ずかしさや後ろめたさから周囲に相談しにくいことが特徴となっている。こうしたセクストーションに対し、IPAは2つの対策方法を紹介している。1つは、アプリは信頼できるマーケットから入手すること。2つ目はプライベートな写真や動画は第三者に渡さないこと。また、特定の相手に写真や動画を渡すことは、インターネットに公開することと同じだという認識を持つことも重要とし、インターネットに公開されて困るような写真や動画は、そもそも撮影しないことが賢明だと呼びかけている。(記事提供: AndroWire編集部)
2014年12月02日IPAは12月1日、情報セキュリティに関する「今月の呼びかけ」として、スマートフォンの不正アプリによる性的脅迫被害(セクストーション)に注意するよう、その手口と被害を回避するための対策を公開した。今年9月以降、IPAの安心相談窓口に不正アプリによって窃取された電話帳情報とプライベートな動画を脅迫のネタにされたという相談が寄せられるようになったという。例えば、今年9月、IPAの相談窓口に寄せられた相談では、被害者が加害者よりインストールを促されたビデオチャットアプリは電話帳情報を窃取する機能も有しており、ビデオチャットの最中の動画を保存されてしまった被害者はアプリから窃取された電話帳の登録者に動画をばらまくと脅され、金銭を要求されてしまったとのことだ。性的脅威はセクストーション(「sex(性的な)」と「extortion(脅迫)」を組み合わせた造語)と呼ばれており、被害者のプライベートな写真や動画を入手して、それをばらまくなどと脅迫する行為を指す言葉だ。海外ではセクストーションの存在は広く認識・問題視されており、ここ数年では、インターネットやネットワークサービスを悪用した事例が多く報じられている。国内の手口としては、以下のような手口によるなSNSと不正アプリを用いた手口によるセクストーション被害が多発していると見られる。SNSを通じてコンタクトを取ってくる。ビデオチャットでプライベートな動画のやりとりをしたいと、ビデオチャット用のアプリ(実際は電話帳を窃取する機能がある不正アプリ)をインストールするように持ちかけてくる(アプリをインストールさせてから、プライベートな動画のやりとりを持ちかけてくる場合もある)。不正アプリを通じて電話帳の情報を窃取され、プライベートな動画のやりとりを行ったときの動画データを保存される。窃取した電話帳の登録者にプライベートな動画をばらまくと脅され、金銭を要求される。IPAはセクストーションへの対策として、「アプリは信頼できるマーケットから入手すること」「プライベートな写真や動画は第三者に渡さないこと」を挙げている。
2014年12月02日独立行政法人情報処理推進機構(IPA)は21日、標的型サイバー攻撃の手口の一つ「やり取り型」攻撃が国内の複数の組織で確認されたとして、注意を喚起した。2014年8月から10月にかけ発生したもので、従来よりウイルスに感染させるための「やり取り」が巧妙さを増しているという。「やり取り型」攻撃とは、一般の問い合わせなどを装う無害な「偵察」メールのやり取りの後で、ウイルス付きのメールを送信してくるサイバー攻撃。受信者が返信すると、辻褄を合わせた会話を続けながら、ウイルス付きの添付ファイルを送付し執拗に感染を試みることが特徴。IPAでは、「やり取り型」の攻撃手口を2011年7月に最初に確認。2012年以降も断続的に発生していたが、直近1年ほどは同様の攻撃を確認していなかった。だが、2014年8月から10月にかけ、国内の5組織に対し同等の攻撃が計7件発生したことを新たに確認した。8月に発生した攻撃では、メールの送信元IPアドレスが2012年7月の攻撃と一致しており、添付ウイルスも類似していたことから、IPAは同一の攻撃者が数年に渡り国内組織へ攻撃を繰り返していると推測している。8月から10月にかけ確認された「やり取り型」攻撃の特徴としては、「外部向け窓口が狙われる傾向がある」「状況に応じてウイルスの形態を変化させる」「辻褄の合う会話を行う」「少数の宛先に送る」「パスワード付き圧縮ファイルを使う」など。IPAは対策として、実行形式のファイルなど不審なファイルを開かないこと、ウイルス対策ソフトウェアを最新状態に保つことなどに加え、「攻撃の手口を企業全体で認識、注意する」「不審メール受信時の連絡や情報共有・体制を整備する」「部からの不審な添付ファイルの安全な確認方法を検討する」などを推奨している。
2014年11月21日情報処理推進機構(IPA)とJPCERT/CCは11月11日、複数のサイボウズ製品にバッファオーバーフローの脆弱性があるとして注意を呼びかけた。対象となる製品は、サイボウズのOffice 10.0.2とそれ以前、メールワイズ 5.1.3とそれ以前、デヂエ 8.1.0とそれ以前のバージョン。脆弱性を悪用された場合、悪意のある第三者によって、遠隔でサービス運用妨害攻撃(DoS攻撃)を受けたり、任意のコードを実行される可能性があるという。すでに脆弱性を修正したアップデートが提供されており、サイボウズでは更新を行うよう呼びかけている。
2014年11月11日IPAは、コンピュータウイルスや不正プログラムの状況分析から、「今月の呼びかけ」を発表している。今月は、遠隔操作を行うソフトに関わる事例を取り上げている。○遠隔操作ソフトとは?遠隔操作ソフトといって、どんなイメージがあるだろうか? ちょっと古くなるが、2012年にはIESYSという遠隔操作ソフトを思い出す人もいるだろう。遠隔操作によって、脅迫メールの送信や書き込みを行われた。結果、無実の人間が、誤認逮捕や有罪判決を受けた。また、犯人の挑発的な行動も注目を集めた。最終的には、犯人自らの愚行により、解決へとつながった。また、スマートフォン用のアプリで、交際相手の居場所をGPSを使って追跡するものもあった(追跡はPCで行う)。双方が同意していれば、合法ともいえなくもない。しかし、その機能から、問題視されることも少なくなかった。その後、なくなっては新しいアプリが登場するといった状況を繰り返している。最新のその手のアプリでは、マルチプラットフォーム化し、機能も拡大してきている。位置情報の共有連絡先へのアクセステキストメッセージのチェックフェイスブックのチャット読み取りまた、2014年4月にはセキュリティ対策ソフトと偽り、遠隔操作ソフトを女性のPCにインストールさせ、その後、脅迫などを繰り返していた男性が逮捕された。ここで使われた遠隔操作ソフトは、市販されているもので、PCのメンテナンスや無人観測所のデータ回収などに使われるもので、正しく使う限りは合法なソフトウェアである。本誌でもWindows XPからの移行をサポートするサービスなどを紹介したが、ここでも遠隔操作ソフトが使われている。初心者などを対象に、やや難しいと思われる操作や設定などを代行するのが目的で利用される。しかし、それを逆手にとったような事例が報告されている。○遠隔操作によるプロバイダ変更勧誘トラブル2014年以降、IPAの安心相談窓口に「プロバイダ料金が安くなるという電話勧誘から、遠隔操作ソフトをインストールしてPCの設定を変更してもらった。しかし、PCをこのまま利用して大丈夫か」という相談がよせられている。同様の事例は、国民生活センターにも寄せられている。この遠隔操作によるプロバイダ変更の勧誘トラブルは、2013年以降、急増している。図2は、国民生活センターの発表から作成されたものである。この事例では、実際にプロバイダ料金がどのくらい安くなるのか、文書による変更内容の確認といったことが行われず、また、十分に内容を考慮する時間もなかったとのことである。国民生活センターは、少しでも疑問に思ったら、最寄りの消費生活センターに相談してほしいとのことだ。○遠隔操作された場合のリスク2014年4月の事件では、メール内容や保存していた写真のの閲覧、なりすましを行い、SNSなどへの書き込みが行われた。さらに、年齢などを偽っていたことが知れると脅迫なども行い始めた。遠隔操作ソフトであるが合法なソフトもあるので、セキュリティ対策ソフトでは検知されないこともある。しかし、PCの挙動を注意深くみることで、発見することも不可能ではない。具体的には、勝手にマウスカーソルが動く、ウィンドウが開くファイルが増える(または減る)といったものである。遠隔操作ソフトが疑われる場合、PCから離れず、不審な動きがないか画面に注意を払うことが求められる。しかし、遠隔操作を行う攻撃者が、被害者の操作内容や画面を見ているだけということもある。必ずしも、不審な動きがあるとは限らない点にも注意してほしい。○遠隔操作ソフトを利用したサービスを受ける際の注意点遠隔操作ソフトを利用する流れは、図4のようになる。これをふまえ、IPAでは、遠隔操作ソフトによるサービスを受ける場合の注意点について、以下をあげている。遠隔操作を行う担当者の企業名、所属、名前、連絡先をできるかぎり確認する遠隔操作による作業の内容や目的を事前に確認する遠隔操作ソフトの名称、開発元、ダウンロードサイト(URL)、主な機能を確認する遠隔操作による作業実施中はPCから目を離さず、操作内容を確認する作業完了後は、遠隔操作ソフトを確実にアンインストール(削除)するもし、不審な動きがあった場合には、無線LAN機能をオフにするネットワークケーブルを抜くルータの電源を落とすといったように、ネットワーク接続を遮断すればよい。さらにIPAでは、利用目的などがはっきりしないような場合には、いわれるままに遠隔操作ソフトをインストールしないことが、重要と指摘する。
2014年11月05日情報処理推進機構(IPA)はこのほど、「「情報セキュリティ対策ベンチマーク バージョン4.3」と「診断の基礎データの統計情報」を公開:IPA 独立行政法人 情報処理推進機構」において、情報セキュリティ対策ベンチマークの診断基礎データを最新版へアップデートし「情報セキュリティ対策ベンチマーク バージョン4.3」として公開したと伝えた。「情報セキュリティ対策ベンチマーク」は質問形式の企業情報セキュリティ自己診断システム。いくつかの設問に答えることで、自社のセキュリティレベルが他社と比較してどの程度なのかの指針を得ることができる。「情報セキュリティ対策ベンチマーク バージョン4.3」では2010年4月1日から9月30日までに提出された診断データを整理したものが活用されており、3056件が診断の基礎データとして活用されている。「情報セキュリティ対策ベンチマーク」は何度でも使用でき、また、推奨される取り組みなどの解説にもアクセスできる仕組みになっている。社内で定期的に「情報セキュリティ対策ベンチマーク」を実施して自社のセキュリティ状況の診断と情報セキュリティ強化へ向けた指針としても活用できる。
2014年10月27日情報処理推進機構(IPA)は10月9日、不正アクセスの検知ツール「iLogScanner」の最新版「V4.0」をWebページ上で公開した。iLogScannerは、Webサーバーの脆弱性を狙った攻撃を検知するためのアプリケーション。Webページ上で実行し、サーバー上のログを解析して解析結果のレポートを作成できる。最新版では、SSHやFTPのログを抽出・解析する機能が追加された。ログは、ウェブアプリケーションへのアクセス時刻、ウェブサーバーへのアクセス元IPアドレス、管理者アカウント(root)への権限昇格の有無などを参照する。また、パソコンにインストールするオフライン版を提供する。オフライン版は豊富なカスタマイズ機能を備え、コマンドによる作業の自動化などができる。対応OSは、Windows Vista(32bit版)、Windows 7(32bit版/64bit版)、Windows 8(32bit版/64bit版)、Windows 8.1(32bit版/64bit版)。ブラウザーは、Internet Explorer 8以降に対応する。
2014年10月10日IPAは、コンピュータウイルスや不正プログラムの状況分析から、「今月の呼びかけ」を発表している。今月は、クラウドサービスからの情報漏えいについて取り上げている。○有名女優らのプライベート写真が多数流出すでに多くの報道があったので、覚えている方もいるかと思うが、Appleが運営するクラウドサービスのiCloudから、有名女優らが保存していた写真が流出し、画像掲示板などに不正投稿された。その流れは、図1のようになる。悪意ある第三者は、いずれかの方法にて被害者のIDとパスワードを入手したと推察される。この情報をもとに、iCloudに本人になりすまして不正ログインし、写真データなどを盗み出した。最初の漏えいは9月頭に発生した。それに対し、Appleは、図2のような調査報告をしている。その3週間後に、同様の漏えいが発生し多数の女優の写真データが盗まれた。その際には、犯行予告などが出されるなど、より悪質化もみられた。この攻撃では、IDやパスワードを推察する標的型攻撃も使われたとの分析もある。こうして、安易なパスワード使っていた女優などが被害に遭ったともされる。○狙われたサービス : 自分のフォトストリーム具体的には、どのようなサービスであったのか、簡単に紹介しよう。iCloudのサービスの1つである自分のフォトストリームが狙われた。1台のiPhoneで撮影された写真をiCloud上に保存する。その写真データを所有する複数のデバイスで共有することが可能になる。このようなサービスは、iCloudの自分のフォトストリームに限ったことではない。写真以外でも、文書やスケジュールを保存することもできる。また、iCloud以外にも、同様なサービスは存在している。つまり、同じような被害は、クラウド上ならばどこでも発生する可能性がある。この点を、まずは覚えておきたい。○クラウドサービス利用における注意点まず、IPAではクラウドサービス利用に関して、以下の注意点が存在することを指摘する。写真などのデータをPCに保存する場合、正しい対策が施されていれば、悪意ある第三者が、データを盗み出すことは不可能である(図4)。ところが、クラウド上にデータを保存する場合、IDとパスワードがあれば不正ログインされてしまう。つまり、IDとパスワードが防御のための唯一で、もっとも重要な対抗策となる。IPAでは、以下の対策を推奨する。安易に推察できるパスワードを使用しない同じパスワードを使い回さないIDとパスワードの入力は、確実に本物と判断できるサイト上でのみ行う(フィッシング対策)セキュリティオプション(ログイン通知、二段階認証など)が提供されている場合は積極的に採用するパスワードについては、これまでも同じような注意喚起を行ってきた。改めて、その重要性について再考してほしい。最近は、大規模な情報流出が各所で発生している。本人がいかにセキュリティを高めようとも、防ぎきれないこともある。使い回しをしていると、1つのパスワードが知られることで、不正ログインされる危険性が増大する。そして、図2もあるように、二段階認証なども効果的である。また、クラウド上に保存するデータにも注意を払いたい。個人であれば、撮影した写真くらいならば、流失しても問題ないと思うかもしれない。しかし、今回の事例では女優にとってプライベート写真は、芸能活動にも影響するものだ。もし、仕事で使う文書・資料だとしたらどうだろうか。内容によっては、重大な被害となる可能性もある。クラウド上に保存してもよいデータか、仮に他人に見られても問題がないものか、そういった判断も重要になる。そして、共有設定にも注意が必要である。多くのクラウドサービスなどでは、写真データなどを友人と共有する仕組みがある。友人を招待したり、自分が招待されることもある。ここで問題となるのは、共有の範囲である。クラウドサービスによっては、その範囲が異なることが少なくない。たとえば、デフォルトで「友人」となっていたり、「すべての人」なっていることもある。知らずに不特定多数に、データを公開していたといったこともある。クラウドサービスは、便利なものが多い。その一方で、必ずリスクも存在していることを覚えておきたい。そして、パスワードがもっとも重要な守るべきものであると再確認してほしい。
2014年10月02日情報処理推進機構(IPA)は9月26日、今般の内部不正による事故・事件等を受けその発生を防止するため、組織の環境整備に向けた「組織における内部不正防止ガイドライン」を改訂し、公開した。2014年に入り、退職者による海外への技術流出や従業員による不正な情報の窃取など、内部者の不正行為による情報セキュリティ事件が相次いで報道。さらに7月には教育関係事業者において委託先の従業員により極めて大量の顧客情報が漏えいするという事件が発生した。「組織における内部不正防止ガイドライン」は内部不正のリスクを低減するために、経営者が果たすべき役割、組織の体制、技術対策などを記載しているもので、IPAが2013年3月に初版を公開。今回の改訂版では、本年発生した前述の事例を分析した結果の「経営層によるリーダーシップの強化」「情報システム管理運用の委託における監督強化」「高度化する情報通信技術への対応」の3点を強調すべきと加筆したもの。「経営層によるリーダーシップの強化」では、経営者が自らの責任で行うことの強い意識を持ちリーダーシップを発揮することが必要であるため、経営層の責任を明確化。「情報システム管理運用の委託における監督強化」では、業務委託先のセキュリティ対策・体制が、扱う情報の重要度に相応かどうかを契約前、契約中にも確認・評価することを追加した。「高度化する情報通信技術への対応」では、高度化する情報通信技術に付随して高まるリスクを確実に把握することが可能な、体制、教育などの人的対策、技術の進展に沿った最適な対策の必要性について強調した。IPAは、今後も本ガイドラインの活用促進に向けた普及活動を行うとともに、効果的な対策であるかを常に見直し、組織に役立つガイドラインの策定に努めていく。
2014年09月29日独立行政法人情報処理推進機構(IPA)は5日、流出した個人のID・パスワードがサービスへの不正アクセスに利用される「パスワードリスト型攻撃」の増加をうけ、オンライン本人認証方式の実態調査を行い、調査結果を公開した。今回の調査では、サービス利用者(個人)側とサービス事業者側の両方について、オンライン本人認証の実態調査を実施。安全なオンライン認証を実現する上で利用者側の意識と実態を調査し、優先すべき対策項目がまとめられている。まず、利用者における「パスワードを作成する際、安全性を高めるために必要だと思う事項」(複数回答可)は、「英字と数字、記号が組み合わさった文字列」が74.2%と最多。次いで「名前や誕生日など、推測されやすい文字列を使わない」が70.3%、「8文字以上であること」が67.2%となった。一方で、金銭に関連したサービスを利用する際に実際に設定しているパスワードを尋ねた質問(複数回答可)では、「ランダムな英数字の組み合わせ」が26.8%と最多だったものの、次いで「自身・家族の名前にちなんだもの」が19%、「自身・家族の誕生日にちなんだもの」が17.2%となり、多くのユーザーで安全なパスワードの知識はあっても、実際には名前や誕生日にちなんだパスワードを設定しており、セキュリティレベルは低いという結果となった。また、セキュリティ確保のためのパスワード文字数の許容範囲(複数回答可)については、「8文字以上のパスワードの設定が必要」と回答した人が71.8%と最多。次いで「英字と数字、記号が組み合わさった文字列の設定」が49.1%、「IDをメールアドレス以外に設定する」が33.4%となるが、「12文字以上のパスワードの設定が必要」は24.5%と低く、利用者が許容できるパスワード文字数は8桁以上12桁未満と想定される結果となった。このほか、「複数のパスワード設定が必要」は14.6%、「トークンや使い捨てパスワードなど他の認証が必要」は14.2%となり、パスワードに加えての他要素認証への許容度は低いものとなった。調査対象が20代から60代の2,060名(男女別)。調査期間は2014年4月4日~7日。調査方法はモニター会社によるアンケート調査で、調査項目は個人がサービスサイトを利用する際に登録する情報、個人がサービスサイトを利用する際に使用する認証方式の種類、ID・パスワードを記憶するためのツールの利用状況など。
2014年08月05日IPAは、コンピュータウィルスや不正プログラムの状況分析から、「今月の呼びかけ」を発表している。今月は、組織内部の不正行為とその対策について紹介している。○内部不正とはどのようなものか2014年になり、従業員や委託先社員などの組織の内部情報にアクセスできる関係者(以後、内部者)による情報窃取などの内部不正行為が発生している。まず、内部不正であるが、どうして発生するのか? そこから見ていこう。A社はオンラインショップサービスの提供者で、B社はA社の決済処理業務の受注社(委託先)となっている。このような環境では、以下の内部不正を起こす可能性が考えられる。・権限が分散されていないB社のシステム管理者の1人に多くの権限が集中する、結果、他の社員などの監視をくぐり顧客のクレジットカード情報などの重要情報にアクセスし、不正利用する。また、このような操作を行った履歴すらも削除する。・システム管理者の監視ができていないシステム管理者のアクセスや操作の履歴などのログは存在していた。しかし、ログを監視する立場の社員がいなかった。結果、不正行為の前兆となる行為を検知することができず、発見が遅れ、被害が拡大する。・職場環境が不適切、または処遇に不満がある劣悪な労働環境も内部不正の要因と指摘する。システム管理者に、多大な業務量や長時間勤務などが続くとどうなるか。当然ながら、業務遂行のプレッシャーとなり、達成のためには社内ルールを無視してもよいという発想に繋がる。結果、内部不正が発生する。また、昇進・昇格や給与などの処遇への不満、上司や同僚とのコミュニケーション不足も内部不正の要因と指摘する。多くの企業・組織が、外部からの攻撃には対策を検討している。内部不正は数はそれほど多くはないが、一度、発生すると甚大な被害や社会的損失を被る可能性がある。IPAによれば、経営者レベルで、各部門を横断的に密連携させ、委託先も含めた内部不正対策に取り組む必要があると指摘する。しかし、内部不正では、風評などを恐れ、発生企業から情報提供が行われることは少ない。したがって、実態把握などが困難な状況にある。○内部不正を防止するための現状把握と対策IPAでは、内部不正を防止するために「組織における内部不正防止ガイドライン」を公開している。組織における内部不正防止ガイドラインでは、基本方針や技術的管理、人的管理、物理的管理など10の観点から30の対策項目を示す。まず着手したいのは、チェックシートで対策状況の確認である。次いで、各項目ごとに対策を3段階で検討する。対策の指針 : 対策の概要を捉えるどのようなリスクがあるか : 対策の必要性を理解対策のポイント : 具体的な実施策を立案さらに、IPAでは具体的な実施策の検討には、各対策に必要な製品、ソリューションがまとめられた日本ネットワークセキュリティ協会(JNSA)の「内部不正対策ソリューションガイド」を参考にするとよいとしている。○内部不正の背後に存在する「不正のトライアングル」今回の呼びかけでも指摘しているのが、不正のトライアングルである。これは、米国の組織犯罪研究者ドナルド・R・クレッシーが体系化したもので、トライアングルの名の通り、3つの要素によって構成される。動機・プレッシャー機会正当化動機・プレッシャーでは、地位向上への欲望、待遇への不満などから、行為のきっかけとなるものだ。機会は、逮捕されずに不正行為を行う機会があることを意識することだ。最後の正当化は、さまざまなケースがあるが「先輩も周りの人も悪いことをしているから大丈夫だ」のように、だから犯罪行為を行っても許されるという考えである。この3つが揃うことで、内部不正が起こる。IPAは、このうち動機・プレッシャーと機会は、組織として、対策を講じることが可能とする。本稿でふれられなかった点も多いので、興味ある方は、ぜひ参考にしてほしい。
2014年03月10日IPA(情報処理推進機構)は12月5日、「第9回IPA情報セキュリティ標語・ポスター・4コマ漫画コンクール」の受賞作品を決定した。「情報セキュリティ標語・ポスター・4コマ漫画コンクール」は今年で9回目の開催。特に今回は、インターネットやスマートフォンなどの利用が広く若年層にも浸透している現状を踏まえ、情報モラル・情報セキュリティの普及活動に積極的に取り組む地域の警察本部や教育委員会などの協力を得て、都道府県単位の地域コンクールも開催した。今年度は、4月1日から9月9日までの募集期間内に、標語が2万6198点、ポスターが2814点、4コマ漫画が4323点の合計3万3335点の応募を受け、過去最多の作品数となった。作品の審査は、中央大学研究開発機構 教授 辻井重男氏を委員長とする、29名からなる審査委員会によって行われ、IPAから最優秀賞および優秀賞として13点、韓国インターネット振興院(KISA)から4点、協力企業11社による企業賞として33点、計50点の入選候補作品を選び、その後のパブリックコメント募集を経て受賞作品を決定した。入選作品は今後、IPAのウェブサイト、同パンフレット、「情報セキュリティ白書」などで公開され、情報セキュリティ対策に活用されるという。今年度も、本コンクールを活用して、情報モラル教育に積極的に取り組んだ学校の中から、「取り組みの工夫」「子どもたちの意識の変化」「今後の情報モラル・セキュリティ教育計画」などについて取り組みが顕著である69校を学校賞に決定した。今回発表する最優秀賞・優秀賞に加え、本コンクールの後援団体からの特別賞および、地域コンクールを開催した都道府県内の企業・団体より授与される、特定地域の特別賞も決定した。これにより、本コンクールに応募された全作品のうち、延べ161点が受賞作品となり、コンクールサイト上で公開される。またIPAは、来年度も本コンクールを開催することが決定し、2014年4月1日より応募を受け付けることを発表した。今年度と同様に、情報モラル・情報セキュリティの大切さを伝える「標語」「ポスター」「4コマ漫画」を応募する。さらに来年度は、新たなメインテーマとして「SNS」を追加し、これまでの基本テーマと合わせ、11のテーマで作品を募集するとのことだ。
2013年12月09日