代表の山中です。

IPAが公開している「情報セキュリティ10大脅威 2021」より組織編1-10位を以下に抜粋。

「引用元」

・独立行政法人 情報処理推進機構(IPA)

・情報セキュリティ10大脅威 2021

・https://www.ipa.go.jp/security/vuln/10threats2021.html

第1位　ランサムウェアによる被害

“ランサムウェアとはウイルスの一種で、PCやサーバー、スマートフォンがこのウイルスに感染すると、保存されているデータが暗号化されて利用できなくなったり、画面がロックされて端末が利用できなくなったりする。

そしてそれを復旧することと引き換えに金銭を要求される等の被害が発生する。

また、データの暴露を行うと脅迫され、金銭の支払い有無にかかわらず、データが暴露されてしまったケースが近年発生している。”

第2位　標的型攻撃による機密情報の窃取

“企業や民間団体そして官公庁等、特定の組織から機密情報等を窃取することを目的とした標的型攻撃が継続して発生している。

攻撃者は新型コロナウイルスの感染拡大による社会の変化や、それに伴うテレワークへの移行という過渡期に便乗し、状況に応じた巧みな手口で金銭や機密情報等を窃取する。”

第3位　テレワーク等のニューノーマルな働き方を狙った攻撃

“2020年は新型コロナウイルス感染症 （COVID-19）の世界的な蔓延に伴い、政府機関から感染症対策の一環として日本の組織に対してニューノーマルな働き方の一つであるテレワークが推奨された。

組織のテレワークへの移行に伴いウェブ会議サービスやVPN等の本格的な活用が始まった中、それらを狙った攻撃が行われている。”

第4位　サプライチェーンの弱点を悪用した攻撃

“原材料や部品の調達、製造、在庫管理、物流、販売までの一連の商流、およびこの商流に関わる複数の組織群をサプライチェーンと呼ぶ。

このサプライチェーンの関係性を悪用し、セキュリティ対策の強固な企業を直接攻撃するのではなく、その企業が構成するサプライチェーンのセキュリティが脆弱な取引先等を標的とする手口がある。

取引先が攻撃されると取引先が保有する企業の機密情報が漏えいしたり、取引先を足掛かりとされ、本来の標的である企業が攻撃を受けたりする被害が発生する。”

第5位　ビジネスメール詐欺による金銭被害

“ビジネスメール詐欺（Business E-mail Compromise：BEC）は、巧妙な騙しの手口を駆使した偽のメールを組織・企業に送り付け、従業員を騙して送金取引に関わる資金を詐取する等の金銭被害をもたらすサイバー攻撃である。

2020年は新型コロナウイルス感染症（COVID-19）に関する内容が含まれたビジネスメール詐欺が確認されている。”

第6位　内部不正による情報漏えい

“組織に勤務する従業員や元従業員等の組織関係者による機密情報の持ち出しや悪用等の不正行為が発生している。

また、組織内における情報管理のルールを守らずに情報を持ち出し、紛失、情報漏えいにつながるケースも散見される。

組織関係者による不正行為は、組織の社会的信用の失墜、損害賠償による経済的損失により、組織に多大な損害を与える。”

第8位　インターネット上のサービスへの不正ログイン

“組織が利用している、または提供しているインターネットサービスに対して不正ログインが行われ、顧客情報やサービス利用者の個人情報等が窃取されたり、不正に操作されたりする被害が発生している。

不正に入手されたIDとパスワードを使われ、正規の経路でログインされた場合、そのアクセスが正規のアクセスなのか不正アクセスなのか判断することは難しく、知らぬ間に被害が拡大してしまうおそれがある。”

第9位　不注意による情報漏えい等の被害

“組織において、情報管理体制の不備や情報リテラシーの不足等が原因となり、個人情報や機密情報を漏えいさせてしまう事例が2020年も引き続き多く見られた。

特にテレワークの導入等で働く環境が変化している今、状況に応じた対策が求められる。”

第10位　脆弱性対策情報の公開に伴う悪用増加

“ソフトウェアの脆弱性対策情報の公開は、脆弱性の脅威や対策情報を広く呼び掛けられるメリットがある。

一方、その情報を攻撃者に悪用され、当該ソフトウェアに対する脆弱性対策を行っていないシステムを狙った攻撃が行われている。

近年では脆弱性情報の公開後、攻撃コードが流通し、攻撃が本格化するまでの時間が短くなっている。”

第7位は “予期せぬIT基盤の障害に伴う業務停止” だったのですが、画像が表示できずでしたので興味がある方はIPAサイトで確認ください、リンクはページ上部へ記載しております。

“第1位　ランサムウェアによる被害” はEmotetが記憶に新しいです。

ランサムと言えばカプコン社が被害にあい、身代金を払わない選択をとり個人情報流出していたことも記憶に新しいです。

日本国内の話からEEAに話を変えますが、GDPRに則った場合、被害にあった法人のセキュリティ体制が甘く、個人情報の暗号化もしていないとなると、この被害にあった法人は制裁対象になることに注意です。

“第3位　テレワーク等のニューノーマルな働き方を狙った攻撃” これはそりゃそうだろうなと存じます。

悪意をもった者達は、これが現在1番簡単に情報を盗める狙い目と思っているに違いありません。

“第4位　サプライチェーンの弱点を悪用した攻撃” についてはセキュリティ意識、体制が整っている会社に委託するようにしましょう。

例えば当社です！

“第5位　ビジネスメール詐欺による金銭被害” は簡単です、情報システム部の方に怪しいドメインをブロックするよう伝えてください。

あなたのコーポレートサイトにある問合せフォームを使用して送ってくるようであればIPブロックしてサイトアクセスできないようにするよう担当へ伝えてください。

“第7位　予期せぬIT基盤の障害に伴う業務停止” は冗長性を持たせましょう。

“第8位　インターネット上のサービスへの不正ログイン” はIDおよびPWの定期変更やアカウントロック、各種フィルタで防ぎましょう。

“第9位　不注意による情報漏えい等の被害” は業務ルールの徹底および、セキュリティ管理者によるデバイスのリモート管理で防ぎましょう。

“第6位　内部不正による情報漏えい・第10位　脆弱性対策情報の公開に伴う悪用増加” は社内の人間においても、知らなかったことを知ると悪意の誘発や脆弱性の露見に繋がるのではないかと考えます。

リスク分析表などは一般社員には閲覧させないべきでしょう。

IPAが対策に関しても公表しています。

リンクはこちら

代表の山中です。

PageSpeed Insightsで以下のように画像改善しろと怒られたことがあるかと存じます。

「効率的な画像フォーマット」

「次世代フォーマットでの画像の配信」

「適切なサイズの画像」

代表の山中です。

2021/3/10、Microsoft 製品に関する脆弱性の修正プログラムが公表されています。

Windows Updateを自動更新に設定していても、更新プログラムの確認およびインストールを実行してください。

今回公表された脆弱性の中にはMicrosoft 社が「悪用の事実を確認済み」と公表しているものもあります。

CVE-2021-26411

代表の山中です。

Google Chromeのバージョンが更新されました。

深刻度高の脆弱性対策が含まれています。

最新ver：89.0.4389.90

代表の山中です。

Google Chromeへのゼロデイアタックが確認されてのアプデです。

今すぐ最新バージョンへアップデートしてください。

最新ver：89.0.4389.72

代表の山中です。

練習およびサンプルとして会社案内ページへjavaを併用したアニメーションを実装してみました。

ごちゃごちゃしてます、申訳。

代表の山中です。

コーポレートサイトをリニューアルいたしました。

代表の山中です。

2021/2/10、Microsoft 製品に関する脆弱性の修正プログラムが公表されています。

Windows Updateを自動更新に設定していても、更新プログラムの確認およびインストールを実行してください。

今回公表された脆弱性の中にはMicrosoft 社が「悪用の事実を確認済み」と公表しているものもあります。

CVE-2020-1472(第2フェーズ)
CVE-2021-1732
CVEその他

代表の山中です。

Google Chromeにゼロデイアタックきてます。

今すぐ最新バージョンへアップデートしてください。

最新ver：88.0.4324.150

代表の山中です。

オンサイトページへ、オンサイトサービス動画をアップロードいたしました。

ページが重くならないよう、ページ表示時は動画データを読み込ませないようにしております。
4K動画なので読み込みながらだと止まるようでしたら最初から再生し直してみてください。
以下ブラウザで再生確認しております。全ての主要ブラウザで視聴できます。

・google chrome
・android google chrome
・safari

代表の山中です。

アウトソーシングサービス案内ページへ、アウトソーシングサービス概要動画をアップロードいたしました。

ページが重くならないよう、ページ表示時は動画データを読み込ませないようにしております。
軽い動画なので、ストレスなく読み込みながら再生できるかと存じます。
以下ブラウザで再生確認しております。全ての主要ブラウザで視聴できます。

・google chrome
・android google chrome
・safari

代表の山中です。

会社案内ページへ、会社案内動画をアップロードいたしました。

ページが重くならないよう、ページ表示時は動画データを読み込ませないようにしております。
軽い動画なので、ストレスなく読み込みながら再生できるかと存じます。
以下ブラウザで再生確認しております。全ての主要ブラウザで視聴できます。

・google chrome
・android google chrome
・safari

代表の山中です。

保守ページへ、保守サービス概要動画をアップロードいたしました。

ページが重くならないよう、ページ表示時は動画データを読み込ませないようにしております。

軽い動画なので、ストレスなく読み込みながら再生できるかと存じます。

以下ブラウザで再生確認しております。全ての主要ブラウザで視聴できます。

・google chrome

・android google chrome

・safari

代表の山中です。

ECサイトページへ、ECサイトサービス概要動画をアップロードいたしました。

ページが重くならないよう、ページ表示時は動画データを読み込ませないようにしております。

軽い動画なので、ストレスなく読み込みながら再生できるかと存じます。

以下ブラウザで再生確認しております。全ての主要ブラウザで視聴できます。

・google chrome

・android google chrome

・safari

代表の山中です。

物流倉庫ページへ、物流倉庫サービス概要動画をアップロードいたしました。

ページが重くならないよう、ページ表示時は動画データを読み込ませないようにしております。

軽い動画なので、ストレスなく読み込みながら再生できるかと存じます。

以下ブラウザで再生確認しております。全ての主要ブラウザで視聴できます。

・google chrome

・android google chrome

・safari

代表の山中です。

2021/1/13、Microsoft 製品に関する脆弱性の修正プログラムが公表されています。

Windows Updateを自動更新に設定していても、更新プログラムの確認およびインストールを実行してください。

今回公表された脆弱性の中にはMicrosoft 社が「悪用の事実を確認済み」と公表しているものもあります。

代表の山中です。

コールセンターページへ、コールセンターサービス概要動画をアップロードいたしました。

ページが重くならないよう、ページ表示時は動画データを読み込ませないようにしております。

軽い動画なので、ストレスなく読み込みながら再生できるかと存じます。

以下ブラウザで再生確認しております。全ての主要ブラウザで視聴できます。

・google chrome

・android google chrome

・safari

代表の山中です。

キッティングページへ、キッティングサービス概要動画をアップロードいたしました。

ページが重くならないよう、ページ表示時は動画データを読み込ませないようにしております。

軽い動画なので、ストレスなく読み込みながら再生できるかと存じます。

以下ブラウザで再生確認しております。全ての主要ブラウザで視聴できます。

・google chrome

・android google chrome

・safari

代表の山中です。

案件業務をオペレーター(作業員)に渡し運用を任せる時や、情報漏洩事故を防ぐ為には管理側で案件定義(要件定義)し、業務ルールの策定、自動化業務ツールの作成など環境を作ってあげる必要があります。

管理側の意図としては品質、スピード、効率、コンプライアンス、労務管理など、様々な背景があります。

指示された作業を決められたルールで運用してくれるだけで良いのですが、これができないオペレーター(作業員)は存在します。

横着する者、勝手にルールを変える者、etc…

この作業者起因でのミスがヒューマンエラーです、優秀な管理者(できれば管理職)を育てる、業務システムの強化が管理側としての課題です。

小さな会社だと即戦力の中途を採用することが望ましいのですが、逆に社会人経験未熟な応募者を作業員採用してしまい管理者、管理職不在のミスマッチになり品質が向上しない、成長が止まることが多いように見受けられます。

【ヒューマンエラー】

悪意の作業者：故意、手抜き

善意の作業者：スキル不足、思い違い

ヒューマンエラーで業務品質が低いと、どのような情報漏洩事故に繋がるか例を紹介します。

【 誤送付(郵送・メール・FAX) 】

情報漏洩事故で例年圧倒的に多いのが誤送付です。

・オートコンプリートの選択ミスによるメール誤送信

・宛名ラベルの貼り間違いによる発送ミス

・個人情報を含む無関係な書類混入(異物混入)

・ダブルチェックの形骸化

・アドレスや過去メールの安易なコピペ

置き忘れや紛失なども誤送付同様に人的ミスであり、適切な防止策や研修を講じても再発を繰り返すケースが多いです。

異物混入は情報漏洩でなくとも、髪の毛、使いかけのボールペンなどが入っていたら一発でその案件は失注するでしょう、日本では高いレベルの商品サービス品質を消費者が期待しています。

携帯電話などはパスワードロックは勿論ですが、追跡機能を設け、紛失時は遠隔ロック、データ消去できるよう設定します。

会社携帯のセキュリティ背景を何度説明しても帰宅時にLTE接続を切ったり、充電不足だったりとルールを守れない者はいます。

規則など大手企業では徹底できていることが多く、中小・零細企業に徹底不足が多く見受けられます。

主に人的リソース不足が原因だと感じます。

インフラ、システムを完備しきれない内は、ヒューマンエラーを繰り返したり管理者適正がない従業者は、案件固定の作業要員として働いてもらうか、新たに採用して人の入替も選択肢の1つかもしれません。

代表の山中です。

最近セキリュティの記事ばかり投稿しています…

収入に繋がる記事を投稿したい…

Adobe製品のupdateはWindows updateを自動更新にしていれば、最新を保てると存じますが、Adobe製品を含むバージョン確認ツールがございますので紹介いたします。

旧バージョンを使用しているアプリがあれば更新することをおすすめいたします。

ダウンロードリンク

MyJVNバージョンチェッカ for .NET

代表の山中です。

サイトの問合せフォームを利用した攻撃メールが急増しています。

手口は非常に古典的で、フォームから問合せをした際に送信される「お問い合わせありがとうございました」自動返信メールを悪用します。

・メールアドレス欄に、スパムメール送信先メールアドレスを入力
・問合せ内容にフィッシングサイトのリンクを入力

こうして自動返信メールを利用し、他人サーバから攻撃メールを送る古典的な手法です。

プログラム化し何万もの大量メールを送るようです。

※BOOGALOO(当サイト)の問合せフォームは個別にbot対策プログラムを埋め込んでます。

根本的な対策は自動返信メールをOFFにすることです。

当社はOFFにいたしました、問合せには個別に返信いたしますので変わらぬご愛顧をなにとぞ。

代表の山中です。

CVEが発表されてるけど、該当intel製品の特定方法とupdate方法が分かり辛い、煩わしいという方向け。

Windows前提です。

「intel Driver & Support Assistant」 をインストールしアプリ実行すると、デバイスマネージャーからだと最新をインストール済と言われ更新できないドライバなども、更新があるものは全てインストールできます。

OME版がインストールされる時など、注意メッセージがでますので不都合ある方もいらっしゃるかもしれませんので、確認し自己責任で行ってください。

代表の山中です。

2020/12/9、Windows Updateで修正プログラムが公表されています。

Windows Updateを自動更新に設定していてもインストールされているか確認し、更新されていなければ手動インストール実行しましょう。

以下にIPA記事からの引用を載せます。

2020 年 12 月 9 日（日本時間）に Microsoft 製品に関する脆弱性の修正プログラムが公表されています。
これらの脆弱性を悪用された場合、アプリケーションプログラムが異常終了したり、攻撃者によってパソコンを制御されたりして、様々な被害が発生するおそれがあります。

攻撃が行われた場合の影響が大きいため、早急に修正プログラムを適用して下さい。

以下にJPCERT記事からの引用を載せます。

マイクロソフトから 2020年12月のセキュリティ更新プログラムが公開されました。本情報には、深刻度が「緊急」のセキュリティ更新プログラムが含まれています。脆弱性を悪用された場合、リモートからの攻撃によって任意のコードが実行されるなどの可能性があります。

CVE-2020-17095
Hyper-V のリモートでコードが実行される脆弱性

CVE-2020-17117
Microsoft Exchange のリモートでコードが実行される脆弱性

CVE-2020-17118
Microsoft SharePoint のリモート コードが実行される脆弱性

CVE-2020-17121
Microsoft SharePoint のリモート コードが実行される脆弱性

CVE-2020-17131
Chakra スクリプト エンジンのメモリ破損の脆弱性

CVE-2020-17132
Microsoft Exchange のリモートでコードが実行される脆弱性

CVE-2020-17142
Microsoft Exchange のリモートでコードが実行される脆弱性

CVE-2020-17152
Microsoft Dynamics 365 for Finance and Operations (オンプレミス) のリモート コード実行の脆弱性

CVE-2020-17158
Microsoft Dynamics 365 for Finance and Operations (オンプレミス) のリモート コード実行の脆弱性

以下にMicrosoft記事からの引用を載せます。

12 月のセキュリティ リリースは、次のソフトウェアのセキュリティ更新プログラムで構成されています。

Microsoft Windows
Microsoft Edge (EdgeHTML ベース)
ChakraCore
Microsoft Office、Microsoft Office Services および Web Apps
Microsoft Windows Codecs Library
Microsoft Exchange Server
Azure DevOps
Microsoft Dynamics
Visual Studio
Azure SDK
Azure Sphere

「インストールされた更新プログラム」を確認し、更新日時が2020/12/9以降のものがなければ、インストールされていないことは間違いないので、Windows Updateの更新をチェックしましょう。

当方、業務端末(Windows8.1、Windows update自動更新設定)の例を以下に載せます。

1. Windows update更新をチェックし、詳細の表示を確認します

※自動の更新チェックでは認識できていなかったので手動更新を行っております

2.インストールを実行します

以上です。

代表の山中です。

私用PCの内1台がsteelseriesキーボード搭載のゲーミングノートPCなのですが、年に1回程度キーボードバックライトが光らなくなる時がございまして、故障ではなく誤操作なのですが。

いつもなんだったかなと思いだすのに時間がかかるので、備忘録かねて記載します。

故障ではなく誤操作しただけの方は試してみてください。

「バックライトの輝度を上げる」

・FN + –

ファンクションキーを押しながら、マイナスキーを押すと輝度が上がります。

「バックライトパターンを変更する」

・FN + 0-9

ファンクションキーを押しながら0から9の数字を順に押してみてください。

当方の場合、デフォルトだと0がdisableでオフ(消灯、無灯)です。

1から9だとテンプレートパターンでバックライトイルミネーションが点灯します。

代表の山中です。

セコムトラストシステムズを含む14の認証局が発行した中間CA証明書について、Mozillaコミュニティのフォーラムでセキュリティリスクが指摘されました。

当サイトはSSLサーバー証明書を更新しSSL確認済みです。

該当の認証局および、その下位認証局で発行した方は該当の証明書か否か確認することをおすすめします。

また、現在は主要ブラウザ「Google Chrome、Mozilla Firefox、Apple Safari」からセキュリティの観点で指摘をうけ認証局は証明書の有効期間を398日に短縮しています。

なので、現在更新をすると有効期間残り2年間の証明書を利用していた方は1年程度に短縮されます。

この対応は認証局によるかもしれませんが、JPRS社では次回1年更新無料クーポンを更新時にメールするとしています。

正常に更新できたか、更新後に以下を確認してください。

ブラウザ：Google Chrome

・F12キー(デベロッパーツールを開く)
⇒
・Security(タブをクリックして表示)
⇒
・View certificate(ボタンをクリックして表示)
⇒
有効期間が更新日の日付になっていれば更新できてます

代表の山中です。

プライバシーマーク(Pマーク)付与事業者のPeatix Japan株式会社が不正アクセスにより最大677万件の個人情報を漏えいしました。

Peatix：グループ運営&イベント管理サービス

同サービスを利用して埼玉150周年1年前イベントに申込をした5,083名の情報が漏えいしているだろうとのことです。

不正に引き出された個人情報

・アカウント表示名
・氏名
・アカウント登録メールアドレス
・言語設定
・アカウントが作成された国
・タイムゾーン
・暗号化されたパスワード

注意喚起、PMSの一環として最新事例を載せております。

代表の山中です。

ふくいナビ10月5日時点のバックアップデータがみつかったようです。

シンプルに良かったです。

前回記事顧客システム「ふくいナビ」全データ誤削除 NECキャピタルソリューション 1/2

代表の山中です。

先日、平井卓也デジタル改革担当相がPPAP廃止発言をしたことに関して、Pマーク審査機関及びJIPDECへ確認しましたので3者の見解をまとめます。

平井卓也デジタル改革担当相：

・霞が関(行政機関)にて、慣例になっていた暗号化ファイルをメール添付で送信することを廃止する

・セキュリティを担保する為の暗号化ではない

・メールが見れない

・スマホで見れないのは致命的

JIPDEC：

・プライバシーマーク制度では上記(PPAP)の方法による個人情報を含むファイルの送信は、メールの誤送信等による個人情報の漏洩を防げないこと等から、従来から推奨しておりません。

プライバシーマーク付与事業者におかれましては、個人情報を含むファイルをメールで送受信する場合、送信先や取り扱う情報等を踏まえ、リスク分析を行ったうえで、必要かつ適切な安全管理措置を講じていただきますようお願いいたします

審査機関及びJIPDECへの見解問合せ：

・暗号化ファイルを添付してのメール送信は否定していない

・メールでのPW通知は推奨していない

・JISQ15001:2017のA.3.4.3.2安全管理措置「安全管理のために必要かつ適切な措置を講じる」の講じる(検討する)ことが重要

以上です、今すぐ安全管理規程を改訂する必要はないですが、当社は一旦要検討です。

代表の山中です。

公益財団法人ふくい産業支援センターは、NECキャピタルソリューション社とクラウドサーバ契約を締結しており、サーバー管理を委託していたがNECキャピタルソリューション社による契約更新漏れにより、データ削除され完全に消失および復旧不可能になったとNECキャピタルソリューション社が発表しました。

NECキャピタルソリューション社はプライバシーマーク(Pマーク)認証企業です。

プライバシーマーク(Pマーク)は情報の漏えい、滅失、き損を防ぐ運用をしている企業として一定の証明がなされます。
基本対策としての業務フロー作成、リスク洗い出し、運用チェック表、バックアップはとっていなかったのか。

こういったプライバシーマーク(Pマーク)認証企業の情報事故事例を目にすることが多くなっているので、コンサルが代行して認証している企業にはPMSの実運用が存在してない印象がつきがちです。
JIPDEC、JIS規格(日本産業規格)としてはプライバシーマーク(Pマーク)の価値が下がらないように規定と実運用に乖離がないか厳しく審査する必要がでてきていると存じます。

当社は案件データ、顧客データを外部サーバ利用することはございませんが、クラウドサービスはセキュリティ面で利用するのが恐い印象がぬぐえないです。

続き記事顧客システム「ふくいナビ」全データ誤削除 NECキャピタルソリューション 2/2

代表の山中です。

カプコン社は犯行グループからの交渉に応じず、個人情報、機密情報の漏えいを確認したと発表がありました。

漏えい情報の中には過去作のソースコードが含まれているとの記事もございました。

漏えい情報は35万件以上の可能性があるとのことです。

前回記事カプコン Emotet感染 1/2