今年も「情報セキュリティ10大脅威」が発表されました。

「情報セキュリティ10大脅威」とは、経済産業省の所管法人である独立行政法人 情報処理推進機構（以下IPAと略します）が毎年発表している資料で、情報セキュリティを脅かす脅威を順位付けして解説しています。これを読めば、その年に流行しそうなサイバー犯罪の手口を知ることができるという位置づけの資料です。

https://www.ipa.go.jp/security/vuln/10threats2023.html

”Outbound Port 25 Blocking”とは

私はWebメールばかり使うので、メールソフトを使うことはないのですが、たまにOutlookなどのメールソフトの設定を頼まれることがあります。使っているメールサーバの情報を聞いて、POP3やIMAP、SMTPなどの設定を行うわけですが、SMTPでTCPの25番ポートを使うことはほとんどなくなったようです。十数年前まではSMTPといえば25番ポートを使うのが当たり前でしたが、現在ではほとんどのプロバイダやレンタルサーバのメールサービスにおいて、メールソフトでは587番ポートを使うよう指示されています。

立川市で6月27日から7月4日にかけてネットワークに障害が発生し、本庁舎のインターネットや内線電話が使えなくなり、窓口での証明書の発行や印鑑登録ができなくなったりしたようです。

https://www.city.tachikawa.lg.jp/johosuishin/20220627_shougai.html

先日、ある団体の依頼により情報セキュリティに関するセミナーを行ったのですが、その際にとてもビックリされたのが、インターネットバンキングのフィッシング詐欺に引っかかった際には、ワンタイムパスワードを使う契約をしていても被害を防げないですよ、という話です。

以前に、普及しているバイオメトリックス認証の例としてATMの「手のひら認証」があると紹介したことがありますが（こちらの記事）、2022年になって、三菱UFJ銀行が手のひら認証の新規受付を終了すると発表しました。2022年7月4日の公式発表では、現在使用中の顧客はそのまま使い続けることができるとのことですが、遠からずサービス自体が廃止されると思われます。

https://www.bk.mufg.jp/tsukau/credit/news/info_20220704.html

今年も「情報セキュリティ10大脅威」が発表されました。

「情報セキュリティ10大脅威」とは、経済産業省の所管法人である独立行政法人 情報処理推進機構（以下IPAと略します）が毎年発表している資料で、情報セキュリティを脅かす脅威を順位付けして解説しています。これを読めば、その年に流行しそうなサイバー犯罪の手口を知ることができるという位置づけの資料です。

https://www.ipa.go.jp/security/vuln/10threats2022.html

2022年2月下旬、トヨタ自動車の工場が操業停止したことが大きなニュースになりました。原因はサイバー攻撃であったことが判明すると、「日本の企業は情報セキュリティ対策が甘い」という声がSNSで当たり前のことのように発信されていました。

高齢者が被害を受けることが多い特殊詐欺（通称振込め詐欺）は、分業化されてそれぞれ専門家がいるという完全に悪のお仕事の定番になりましたが、それに近い状況になりつつあるのがランサムウェアによる犯罪です。

最近の大きな事件としては、株式会社ニップンが保有するデータが暗号化されてしまい、2021年4 〜6月期決算発表ができないという事態に陥ったということがありました。当然ですが、財務業務を長期間正常化することができず、2021年11月15日に発表する予定であった2021年7 〜9月期決算も2022年1月31日まで遅れることになっています。

https://www.nippn.co.jp/topics/detail/__icsFiles/afieldfile/2021/11/12/20211112-3.pdf

株式会社ニップンが保有するデータが暗号化されてしまい、2021年4 〜6月期決算発表ができないという事態に陥りました。

https://www.nippn.co.jp/topics/detail/__icsFiles/afieldfile/2021/09/03/20210906.pdf

株式会社ニップンが保有するデータが暗号化されてしまい、2021年4 〜6月期決算発表ができないという事態に陥りました。

公式な文章はこちら。

何度か取り上げましたが、家庭用のルータを狙うMiraiというマルウェアがあります。このマルウェアは、購入したままの初期状態でインターネットに接続されている家庭用のルータやIoT用のルータなどを踏み台にして悪さをするマルウェアです。

中小企業の経営者や中小企業の経営者を支援するような仕事をしている人しか知らないと思いますが、ミラサポPlusというサイトがあります。これは経済産業省中小企業庁が運営するサイトで、中小企業を支援する目的で作られています。

今年も「情報セキュリティ10大脅威」が発表されました。

「情報セキュリティ10大脅威」とは、経済産業省の所管法人である独立行政法人 情報処理推進機構（以下IPAと略します）が毎年発表している資料で、情報セキュリティを脅かす脅威を順位付けして解説しています。これを読めば、その年に流行しそうなサイバー犯罪の手口を知ることができるという位置づけの資料です。

https://www.ipa.go.jp/security/vuln/10threats2021.html

最近では“PPAP”と呼ぶらしいですが、これがマルウェアemotetの感染を広める一翼を担っているという話がありました。2020年後半のサイバー犯罪。

最近は、同様にパスワード付きZIP形式のファイルが添付されたメールで広がるIcedIDという名称のマルウェアが流行しつつあるそうです。

https://japan.zdnet.com/article/35162074/

2020年10月9日に横浜市から「新型コロナウイルス感染症の接触者状況調査に関する名簿の誤送信について」というタイトルの文書が発表されました。簡単に言うと施設Aの職員に施設B内での感染者の名簿を送ってしまったということのようです。

https://www.city.yokohama.lg.jp/city-info/koho-kocho/press/asahi/2020/gosoushin.files/0001_20201009.pdf

最近はランサムウェア感染や二要素認証をしてないから不正ログインが多発したとかいうセキュリティのニュースが多くてWindowsの脆弱性で大騒ぎすることが少なかったような気がするのですが、2020年9月にWindows Serverで大物脆弱性が発表されました。この脆弱性はZerologonと呼ばれています。

2020年10月1日に株式売買システムarrowheadで障害が発生し、丸一日東京証券取引所での取引が停止したという事件がありました。2010年1月に新システムを稼働して以来、初めて丸一日取引が停止したというころで、大々的に取り上げられましたね。

少し前に情報セキュリティマネジメント指導事業で関わったお客様企業から、最近社内PCがemotetに感染したという連絡がありました。本当に被害が多いですね。

emotetの概要はこちらの記事とこちらの記事をご覧ください。

経済産業省とIPAは、令和元年に続いて令和2年にも「中小企業の情報セキュリティマネジメント指導業務」を実施します。どのような制度化というと、セキュリティの専門家である情報処理安全確保支援士が企業を４回訪問し、セキュリティリスクの診断、情報セキュリティマネジメントに必要な基本方針・規程の策定支援などを行うことで企業の情報セキュリティ対策水準の向上を図るというものです。この4回の訪問についての企業の負担は0円です。

最近まで知らなかったのですが、Googleのビジネス向けサービスG Suiteのアカウントをとして自社の既存のドメインのメールアカウントを使いたい場合は、メールサーバをGmailのサーバに切り替える必要があります。

メールサーバを切り替えるということは、DNSサーバ上で独自ドメインのMXレコードにレコードを追加することになります。

過去に何度か取り上げたことがある、厄介なマルウェアemotetですが、最近立て続けに身近で感染したという話を聞きました。メールアカウントが攻撃者によって乗っ取られて、自分のメールアカウントから関係者に攻撃メールがばらまかれてしまったということです。仕事にも支障をきたすので非常につらいですね。

IPAも2020年9月2日に記事を配信しているように、最近感染が増加しているようです。

以前、顧客企業の内線網をIP化した際に、VoIP装置の設定ミスが原因でA店舗にFAXを送信するとB店舗に届いてしまうという事件（試験の際に判明したから実害は出ていませんが）に遭遇したことがあります。

もし運用が始まってからFAXの誤送信が発生したら、たとえ同じ企業内であったとして大問題になっていたと思います。ましてや、関係ない外部のFAXに誤送信されたらとんでもない事件になってしまったことでしょう…

しかし、最近、NTT西日本の普通の電話回線でかけた番号と異なる相手に電話が架かったり、FAXが送信されてしまったりというとんでもない事件が発生してしまったたそうです。

コロナ対策で様々な中小企業支援政策が実施されていますが、中でも多くの企業で大きな恩恵を受けられそうなものに雇用調整助成金があります。大雑把に説明すると、休業中の従業員の給与を補償してくれるという制度ですが、この助成金の申請は特設サイトからオンラインで行うことができます。ただ、申請の内容が難解だとか正常に受付されたのかどうかわからないとか受付されてもいつ助成金が振り込まれるかわからないとか、事業者にとっては怖いところも多いようです。

情報漏洩だったりサーバが中国にあったり、ソフトウェアの脆弱性だったり、関係ない電子機器メーカーのズーム社の株がストップ高になったりといろいろと世間をにぎわせているビデオ会議システムZoomですが、IPAから別の観点の注意喚起がされました。

IPA（独立行政法人情報処理推進機構）は、情報セキュリティに関する啓発動画をいくつも公表していますが、2020年4月6日に「脆弱性発見・報告のみちしるべ ～発見者に知っておいて欲しいこと～」という新しい動画を公表しました。全部合わせても14分くらいの長さなのですが、昨今の長い時間の動画は見てもらえないというマーケティングノウハウを意識しているのか8つの短い動画に分割されています。

私は普段はWindows10のPCを使っており、WebブラウザはChromeを利用しています。しかし、年に何回かはInternetExplorerを使用します。官公庁のシステムや金融機関のシステムがInternetExplorerにしか対応していないケースがあるからです。

確定申告で利用する国税庁のシステムe-TaxもInternetExplorerとEdgeしか対応しておらず、Edgeの方は拡張機能をダウンロード・インストールしなければいけないということでInternetExplorerを利用される方が多いことと思います。

InternetExplorerはInternetExplorerで、32bit版のみ対応という制約があって面倒なのですが。

規模の大小はあるとしても、どなたのビジネスにも新型コロナウイルスの影響が出ていると思います。とにかく早く終息してくれるのを願うばかりです。そんな中、新型コロナウイルスに便乗して感染を広げようとしているウイルスがあります。それはEmotetと呼ばれるマルウェアです。

2020年1月29日、「情報セキュリティ10大脅威2020」が発表されました。

「情報セキュリティ10大脅威」とは、経済産業省の所管法人である独立行政法人 情報処理推進機構（以下IPAと略します）が毎年発表している資料で、情報セキュリティを脅かす脅威を順位付けして解説しています。

これを読めば、その年に流行しそうなサイバー犯罪の手口を知ることができるという位置づけの資料です。

2019年11月27日にJPCERTが、続いて2019年12月11日にIPAがそれぞれEmotetの感染に関する注意喚起を発表しました。

https://www.jpcert.or.jp/at/2019/at190044.html

https://www.ipa.go.jp/security/announce/20191202.html

かなり前にIP-PBXをハッキングされて、知らないうちに海外へ電話をかけさせられて、高額な電話料金を請求されるという犯罪が発生しているということを書きましたが（IP電話の不正利用が怖い）、最近はもっと原始的な方法に戻って海外に電話をかけさせる犯罪が多発しているようです。

周知のとおりマイクロソフトはWindows7のサポートを2020年1月14日に打ち切ることになっています。そうはいっても業務に支障が出てしまうこともあるでしょうから無償のサポートを打ち切った後も有償で2023年まではサポートを継続するのでそれまでには買い替えてね、というサービスも提供しているのですが、これまでの発表ではボリュームライセンスを結んでいる企業（＝そこそこ大きい企業）のWindows7ProfessionalとEnterpriseのみが対象とされていました。

最近クライアントの企業がどのような情報セキュリティ対策を行っているかヒアリングする機会が多いのですが、多くの企業でトレンドマイクロ社のウィルスバスターコーポレートエディションを使用されている企業が多いことを実感しています。（日本ではトレンドマイクロ社がウィルス対策ソフトのシェア一位なので、当たり前といえば当たり前なのですが…）

そのウィルスバスターコーポレートエディションで2019年に入ってから2つほど脆弱性が発見されました。

2019年8月23日三井住友カード株式会社は自社の会員向けのスマートフォンサービス「三井住友カードＶｐａｓｓアプリ」に不正ログインがあったことを発表しました。

不正ログインされた可能性のあるID数は16,756 件、不正ログインした犯人に見られた可能性のある情報は、「お客さまの氏名、カード名称、カードご利用金額、ご利用明細、ご利用可能額、ポイント残高等」とのことで、カード番号はマスキングされているので見られていないようです。

https://www.smbc-card.com/company/news/news0001468.pdf

以前も少し記事にしましたが（リンク）、インターネットのドメインというものは、過去に誰かが使っていて、現在は誰も使っていないものは再利用されることがあります。

経済産業省の企業の情報セキュリティに関する新しい事業が始まりました。

「情報セキュリティマネジメント指導事業」と呼ばれる事業で、募集に応じて中小企業に対して情報セキュリティの専門家が４回派遣されてきます。（情報セキュリティの専門家とは情報処理安全確保支援士のことをさしています。）

専門家は、中小企業の現場に応じたリスクの洗い出しからマネジメントに必要なセキュリティ基本方針の策定等を支援します。実施期間は2019年9月～12月です。全国400社で対象が対象となり、参加費は無料です。

（募集は２０１９年１１月８日に終了しました。）

公式サイトでは以下のような効果があるとされています。

・自社が抱える情報セキュリティのリスクを特定することができ、対策を講じるべき重点領域がわかります。

・専門家による現場指導により、社内の情報セキュリティへの意識や対策水準が向上します。

・大切な情報を守る管理体制を構築することで、取引先や顧客などからの信頼獲得に役立ちます。

・既存顧客のみならず、新たな取引先や顧客とのビジネスチャンスの獲得に貢献します。

興味のある方は下記URLを確認ください。

https://www.ipa.go.jp/security/keihatsu/sme/management.html

https://www.ipa.go.jp/files/000076895.pdf

コラム一覧へ

日本の小売業の企業の売上高ランキングをご覧になったことがありますか？

イオンとセブン＆アイ・ホールディングスの2強が圧倒的に強いのですが、ユニクロを展開するファーストリテイリングと家電販売店大手のヤマダ電機が3位、4位あたりに入ってきます。

アパレルと家電という単一分野の販売店を展開している企業が、デパートやショッピングセンター、コンビニを展開している企業を上回る売上を上げているのは素晴らしいことです。

偶然ですが、この２企業がインターネット販売関係でトラブルを起こしました。

インターネットのドメインには様々な種類があります。インターネットが日本で広まり始めたころには企業は.comや.co.jpというドメインを使っているのが普通でしたが、現在は、.nagoyaとか.aichiなど地域名がついたドメインなど数限りなく種類が増えました。

基本的には、だれがどのようなドメインを取得するのも自由です。ただ、ac.jpというのは学校法人などのしっかりした教育機関しか取得できず、go.jpは政府機関や独立行政法人など公的な機関しか取得できないと覚えていました。

情報システムの動作には日付が関係する場合が多くあります。簡単な例でいえば、書類の発行日の日付が自動的に印刷されるような動作です。2019年5月1日に平成から改元されることはかなり前から発表されていました。しかし、どんな元号になるのか発表されるのは改元の一か月前の4月1日ということで、システム会社はかなり短い期間での対応を余儀なくされることになり、大きなトラブルが発生するのではないかという予想もされていました。

2019年の初めごろ、様々なメディアで「国の不正アクセスだ、これは憲法違反だ」という記事が掲載されていたのを見聞きされた方も多いと思います。総務省とNICT（情報通信研究機構）が開始したNOTICEというプロジェクトの内容が、不正アクセス防止法違反だ、あるいは憲法で保障された通信の秘密を侵害している、という意見です。

2019年3月11日現在、宅ファイル便がサービスを停止しています。宅ふぁいる便とは、メールに添付して送ることができない大きなサイズのファイルを特定の相手に届けることができるサービスで、無料のプランでも300MBまで送ることができます。インターネット上のサーバに一時的にファイルを保管でき、その保管先とパスワードを相手に教えることで、相手がファイルをダウンロードすることができるという仕組みです。

２０２０年３月２９日追記

2020年1月14日、「宅ふぁいる便」が2020年3月31日をもってサービス終了となることが発表されました。

https://www.filesend.to/

2018年後半はPayPayの100億円還元キャンペーンを筆頭に、様々なキャッシュレス決済サービスがシェア獲得のためのキャンペーンを行い、積極的に利用した方はずいぶんと恩恵を受けたようです。

PayPayは、PayPayに加盟しているお店の支払いを、現金を使わずに行うことができるスマートフォンのアプリです。プリペイドカードのように先にお金を入金しておいて、その範囲内で支払いをおこなうこともできますし、クレジットカードを登録しておいて、そこから支払われるようにすることもできます。

以前から2019年8月にサービスが終了することが決まっていたGoogle+ですが、2018年12月になって、サービス終了時期が2019年4月に前倒しされることが発表されました。

2018年10月23日、奈良県になる宇陀市立病院の電子カルテシステムのサーバとクライアントの一部がランサムウェアGandCrabに感染したことが発表されました。

GandCrabは、感染したコンピュータのストレージ上のファイルを勝手に暗号し、復号するためには身代金を支払いなさいという脅迫を行うタイプのランサムウェアです。身代金は数万円から数十万円相当の仮想通貨を要求されます。

少し前の話題ですが、2018年4月4日政府のサイバーセキュリティ戦略本部は、中央省庁などの情報セキュリティ対策を規定する「統一基準」の見直し案が提示しました。

発表された資料によると見直し案の骨子は4つ。「1. 将来像を見据えたサイバーセキュリティ対策の体系の進化」「2. 政府機関などのサービスの利用者の側に立った対策」「3. 政府機関などの自律的な能力向上への誘導」「4. 多様な業務形態への対応」です。

2018年10月2日から開始されたWindows10のアップデートで大きな騒ぎが起こりました。一定の条件が揃っている場合に、ドキュメントフォルダに保存してあるファイルが消去されてしまうというとんでもないバグがあったようです。

２０１８年１０月９日に東京証券取引所の株式売買システムでトラブルが発生し、一部の証券会社が株の売買を実行できない状態となりました。このトラブルによって、証券会社は、自社の顧客が本来得るはずだった利益を自腹で支払わなければならないなど、かなりの損害を被ったようです。

情報セキュリティ白書とは、IPA（独立行政法人情報処理推進機構）が毎年発行している情報セキュリティに関する幅広いジャンルを解説している資料です。この情報セキュリティ白書が2018年から大きく変わりました。

Windows Server 2008 / R2が2020 年 1 月 14 日に、SQL Server 2008 / R2が2019 年 7 月 9 日にそれぞれサポート終了となることがマイクロソフトから発表されています。

無線LANの機器の認証機関であるWi-Fi Allianceが、新しいセキュリティ規格「Wi-Fi CERTIFIED WPA3」を発表しました。

WPA3は、現在、Wi-Fiの機器で一般的に使われいるWPA2の後継規格です。2017年にWPA2に脆弱性が発見されたため、さらに強固な暗号化を実現する新機能を備えた規格として開発されました。

2018年7月18日IPA（独立行政法人情報処理推進機構）は、偽のセキュリティ警告によって有償の「ソフトウェア購入」や「サポート契約」をさせられてしまうという被害が発生していると発表しました。

官庁が一時的に使用していたドメイン名を使用終了後に取得し、政府関係のWebサイトのようなふりをしている“なりすまし”が話題となっています。

具体的には観光庁が2013年に地域振興プロジェクト「タビカレ（日本タビカレッジ）プロジェクト」で利用したドメインである“tabicollege.jp”が、観光庁（ひいては国土交通省）とはまったく関係ない第三者によって使用されています。

2018年4月、5月に立て続けに大手企業のWebサービスから情報が漏洩しました。

4月に発表されたのがプレミアム・アウトレットの会員サービスである“ショッパークラブ”のIDとして使われるメールアドレスとログインパスワードです。24万件の情報が漏洩しました。パスワードが平文で抜かれていることを考えるとデータベースから単純に盗まれたわけではないようです。

Microsoftは、2017年10月17日のアップデートでWindows10のセキュリティを強化して、Windows10 Defender Exploit Guardの提供を始めました。これは、もともとWindows10に標準で装備されていたWindows Defenderの機能に加えて、以前は別のソフトウェアとして提供していたEMETの機能を統合したものです。

2018年3月13日、情報処理推進機構IPAが自らのWebサイトから個人情報の漏洩があったことを発表しました。

漏えいした量はたいしたことがないし見てしまった相手も分かっているので実被害はあまりないのですが、普段から情報セキュリティの啓蒙活動を行っているIPAがやらかしたというのでインパクトがありましたね。

コインチェックの騒ぎで埋もれてしまった感もありますが、2018年1月に大きな情報漏洩がありました。

無線LANのセキュリティを保つためのWPA2という規格があります。現在のところもっとも安全な無線LANのセキュリティ規格だとされており、WEPやWPAといった古い規格を使っている場合は速やかにWPA2に乗り換えるように強く推奨されています。

IoTの普及とともに注目を浴びつつあるセキュリティ用語にサイドチャネル攻撃というものがあります。秘密情報を解読するための攻撃手法の1つです。

サイドチャネルとは、正当な経路ではない経路のことです。

2017年4月と6月に脆弱性によって大きな被害を出したApache Strusts2ですが、2017年9月にまた、”Critical”に分類される脆弱性が発見されたと発表されました。CVE番号はCVE-2017-9805です。（過去の情報はこちら。Apache Struts2の脆弱性とApache Struts2の脆弱性の続報）

平成29年7月、また新しいランサムウェアが報告されました。これまで猛威を振るってきたWannaCryとはかなり挙動が異なるランサムウェアです。

最近、ちょくちょくシステムが止まっている印象のあるマクドナルドの電子マネー決済ですが、6月16日に発生したトラブルはかなり長期間に渡って影響が出ました。5日間くらいは電子マネーが使えない店舗があったようです。

世間ではあまり取り上げられていないような気がしますが、前回取り上げた（前回分はこちら）Apache Struts2の脆弱性について、平成29年6月6日に、国土交通省も大きな被害を受けたことを発表しました。

2016年に2つに分かれていた国内トップレベルのリーグを一つにまとめて開幕したバスケットのプロリーグ、Bリーグの初年度（2016-2017シーズン）は、栃木ブレックスが優勝して幕を閉じました。チャンピオンシップは地上波でも中継されましたし、全体として思ったより盛り上がったという印象です。

今ではブログの作成のみならず、Webサイト全体を簡単に作ることができるCMSとして普及しているWordPress。

オープンソースなので費用はかからない上に、プラグインも充実しているという利点もあり、世界中で使いまくられています。

たびたび取り上げているランサムウェアですが、2017年5月12日にWannaCryという種類が世界中で猛威を振るって話題となりました。

感染するとPC内のファイルを勝手に暗号化して身代金を要求するタイプのランサムウェアで、暗号化する対象はOffice文書や動画など160種類以上、身代金は300ドルから始まって、三日を超えると600ドルを要求します。

Web閲覧に使われる通信プロトコルはHTTPですが、最近では通常の企業のWebサイトでもHTTPSの使用が推奨されています。

実際、HTTPSを使用するWebサイトが多くなっているのですが、2017年になってから、閲覧しようとするとブラウザに「プライバシーが保護されないサイトです」という旨のメッセージが表示されてしまい閲覧ができなくなったサイトがあります。

多くの企業のネットワークで使用されていると思われるYAMAHA製のルータRTX-1210の一部ロットの製品に不具合があることが発表されました。様々なパターンの不具合があるようですが、一番深刻なファームウェアを更新すると起動しなくなるという症状です。そうなったら、ルータをYAMAHAへ送り返して修理してもらうしかないようなので、予備機が用意してないところでは大変な影響が出てしまいますね。

事の重大さの割にはあまり世間で話題になっていないような気がしますが、2016年12月に個人情報保護法が改正されることが決定しました。2017年5月30日に施行されます。

平成29年4月1日、情報処理安全確保支援士の第一回登録者が発表されました。4月1日に全員に登録証が届くように手配されていたようですね。

登録者は、全国で4172人、中部・東海地域は358人です。関東が2928人で全体の70%以上を占めていますね。

IoTでは、PCなどのいわゆるコンピュータというもの以外のモノが多くネットワークにつながります。センサーとか工作機械とか電化製品などですね。これらは、ネットワークにつながっている割にはPCのようにマルウェア（ウィルスなどの悪意のあるソフトウェア）対策がされていることが少ないのですが、単純な動きをする分、攻撃する意味があまりなかったので、マルウェアによる攻撃はあまり表だって発生していませんでした。（IoTに接続された機器のセキュリティ全般に関してはこちらも参照してください。IoT機器のセキュリティ対策について）

今回はセキュリティ用語の基礎知識です。

DoS攻撃とは、ターゲットとするシステムやサーバのサービス提供を妨害するために行われるネットワークを介した攻撃のことです。基本的には、サーバやネットワーク機器に非常に大きな負荷を与える処理をさせることで、サービスを停止させることを目指します。唐突ですが、代表的なDoS攻撃を紹介します。

2017年度から始まる新しい資格「情報処理安全確保支援士」（通称：登録情報セキュリティスペシャリスト）の登録者の資格維持に必要な講習について、管轄するIPA（情報処理推進機構）から発表がありました。

銀行や信用金庫のATMに手のひら認証（静脈認証と呼ぶ場合も）システムがついているのが当たり前になってきました。バイオメトリックス認証の一番普及している形ではないでしょうか。

IPA（情報処理推進機構）というと情報処理技術者試験を開催している団体というイメージがあります。来年からは「情報処理安全確保支援士」の資格の試験も統括するようです。

このIPAという団体は、情報セキュリティの啓蒙活動も行っており、2016年6月29日に「サイバーレスキュー隊（J-CRAT）分析レポート2015」という資料を公開しました。

佐賀県は、平成23年ごろから県立学校の現場へのITの導入（佐賀県ではICTという言い方をしてますが）を盛んに進めています。県立高校の生徒全員にタブレット持たせて授業に活用するとか、比較的先進的なことをやっています。うまく使いこなせているかとか成果が出ているかとかいうのは今のところ・・・なようですが、やってみなければ慣れていきませんからね。

2016年5月、IPA（立行政法人 情報処理推進機構）が「IoT開発におけるセキュリティ設計の手引き」という文書を公開しました。

IoTはご存知の通り、人間が使用するPCやスマートフォンなどの端末ではない、“モノ”がインターネットにつながって情報交換する仕組みのことです。現在は、センサー自体がネットワークにつながってデータを収集してストレージへ送り続ける続けるようなシステムを指していることが多いですね。

ここ数年猛威を振るっており、ますます巧妙な手口が使われるようになっている標的型攻撃ですが、2016年3月に非常に大規模な情報流出を発生させた可能性があります。（標的型攻撃については、こちらを参照してください。

WindowsOSで使用するWebブラウザの話題です。

Webブラウザの世界的なシェアではInternetExplorer（IE）がChromeに抜かれたそうですが、ChromeでJaveアプレットが使えなくなったために、逆にInternetExplorerを使う機会が増えた方もいると思います。

2016年春にJALとANAで立て続けにシステムトラブルが発生しました。迷惑を被った利用者が文句を言いたくなるのは仕方ないのですが、どうしても防げないことだってありますよね・・・

今回のお話しと関係するのはANAの方です。ANAで起きたのは、「データベースが停止してしまい搭乗手続きが行いない」という事象です。故障していた装置はCISCO社製のL3SW「Catalyst4948E」だったそうです。このL3SWは、冗長構成を組んでおり、一台が故障しても自動的に別の装置が処理を引き継ぐことで、業務には影響を与えないはずでした。

マイナンバーの個人番号カードでICチップの不具合が多発しています。地方自治体の役所でカードを交付するときに、内蔵チップが使えなくなるという現象です。

原因は、「市町村統合端末」（役所に設置されて職員が操作する端末）と「住民基本台帳ネットワークシステムコミュニケーションサーバ」（自治体ごとに準備されているサーバ）間の通信が混雑にしたことにあると発表されています。一度端末とサーバ間で通信が失敗すると、端末側では「交付済み」、サーバ側では、「交付前」というステータスとなり、不整合が発生することによって、それ以降の通信は受けつけなくなるということのようです。

マルバタイジングという耳慣れない言葉が情報セキュリティ業界を賑わしています。マルバタイジングとは、悪い広告を意味する造語です。悪い広告といっても、いろいろ考えられますが、現在騒がれているマルバタイジングは、コンピュータウイルスなどのいわゆるマルウェアを拡散するための広告を表示する行為のことを指しています。

最近になってランサムウェアという言葉をよく耳にするようになりました。ランサムウェアとは、マルウェア（コンピュータウイルスのような悪意のあるプログラムの総称）の一種で、感染したコンピュータは、ユーザの思った通りの動作をしなくなります。

平成28年1月、日産や金融庁のWebサイトが「アノニマス」という組織にサイバー攻撃されたというニュースがありました。アノニマスというのは、その名の通り構成員が身元を隠しているサイバーテロ集団で、主な攻撃先は環境破壊をしていると彼らが認定した組織のWebサイトです。

いきなりですが、昔のWindowsのPCは内蔵時間がすごく遅れましたよね。数日であっという間に数分は遅れていたような気がします。今お使いのPCのOSがWndows7以降の場合は、大体いつも正確な時間になっていて遅れませんよね。何故だかご存知ですか。

CSIRTとはComputer Security Incident Response Teamの略で、シーサートと読みます。

日本シーサート協議会によるとCSIRTとは、「コンピュータセキュリティにかかるインシデントに対処するための組織の総称」だということです。企業等の組織におかれる情報セキュリティ専門部隊ですね。

前回、情報セキュリティスペシャリスト試験のことを書いたので、情報処理技術者試験のことを補足しておきたいと思います。

情報システム関係の仕事をしたことがある人なら、ほとんどの方は、情報処理技術者試験という試験が春と秋に行われているのはご存じだと思います。

私はIT関係の展示会や中小企業の展示会、ビジネスフェアなどによく見学に行くのですが、新商品とか新サービスには流行り廃りがあり、よく世情を反映していると思います。例えば、東日本大震災の後は、発電関係の機器、所在確認のシステムが高価なものから安価なものまで大量に紹介されていました。

普段の性格の中では、滅多に遭遇しない停電。何年も遭遇していないので、本当に日本の電力供給は安定しているなあ、と思っている方もおみえだと思います。

確かに諸外国と比べ、断然安定していると思います。しかし、電力会社のＷｅｂサイトなんかを見ていると実は毎日のように停電は発生しています。落雷や暴風などの自然災害や、交通事故や火災などの外的要因によって、電柱や電線、送電設備が破壊されてしまうことが多いようです。

サイバー犯罪で個人や企業に直接的に金銭的なダメージを与えるのはインターネットバンキングを不正に利用されて口座のお金を盗まれる事件とランサムウェアによる脅迫が定番なのですが、最近は別の恐ろしい犯罪が発生しています。IP-PBXが乗っ取られてIP電話が不正利用され、海外への通話料金を請求されてしまうという事件です。

【ＲＡＩＤ０１とＲＡＩＤ１０】

ＲＡＩＤ０１はストライピングセットをさらにミラーリングする。

ＲＡＩＤ１０は逆にミラーリングセットをさらにストライピングする。

どちらもハードディスクは最低４台必要。

私が情報システム関係の仕事を始めて、最初に先輩に教わった言葉がRAIDでした。RAIDとは「Redundant Arrays of Inexpensive Disks」の略で、複数台のハードディスクをRAIDコントローラという装置を使って論理的にまとめて1台のハードディスクとして使えるようにする技術です。今の言葉でいうと”仮想化”技術ということですね。

少し前に日本年金機構からの情報漏洩が世間を騒がせました。これが発表されたのが平成27年6月1日ですが、この事件にまぎれていますが、その前後にいろいろな組織から情報漏洩がありました。同年5月29日には、サンリオの株主向けサイトから株主の個人情報が漏洩したことが発表されました。

今回は超基本的なことを。

WebブラウザでWebサイトを見るときにURLを入力する欄がありますね。

ＵＲＬとは「http://www.irish-river.jp/」というやつです。irish-river.jpというドメインのwwwというサーバにアクセスしているわけですが、頭についているhttpというのは何でしょうか。httpsのときもありますが、単なるhttpとは何が違うのでしょうか。

2014年の秋ごろ、仕事中にインターネットでWebサイトを閲覧できなくなって数分後に回復するということが何度もありました。メッセージを見ていると、DNSサーバが見つからない様子だったので、プロバイダのDNSが故障していてなかなか本格対処ができないでいるのかな、とか思っていたのですが、どうやらDDoS攻撃に会っていたようです。DDoS攻撃はどんなサーバでも受けるのですが、DNSサーバはDNSならではの弱点を突かれてダウンしやすいのです。

今回は、社会人として知っておくべき情報セキュリティの”考え方”について、いくつかのキーワードを基に考えてみたいと思います。

今回は個人情報を流出させた場合の代償について書いてみます。最近ではベネッセの情報漏洩が話題になりました。情報漏洩の被害者には５００円もらうかベネッセ関連の財団へ寄付するか選択するよう連絡がいったようですね。この自前の財団への寄付という選択肢が被害者の神経を逆なでしてしまった面もあるようです。

組織全体に個人情報保護を徹底させたいという希望があるなら認定制度にチャレンジするのが有益です。自社内部の統制が実現できるとともに、対外的なメリットもあるからです。

前回に引き続き情報セキュリティの話題です。

今回は情報セキュリティ対策はなぜ必要なのか？という点について考えてみます。

情報化社会で企業活動を営んでいくに当たっては、下記の３つの方面から情報セキュリティに関する要請がなされていると考える必要があるとされています。

大企業から情報漏洩が発生するたびに声高に叫ばれる情報セキュリティの重要性。
しかし、そもそも情報セキュリティとは何なのでしょうか。
情報セキュリティの定義を考えてみます。