1
ここが変だよ日本のセキュリティ 第39回 「セキュリティがときめく片付けの魔法」
こんまりメソッドの片付けの手法でセキュリティ対策を片付けて、セキュリティでときめくことはできないか、考えてみたよ。
2019.10.20(日)
こんまりメソッドの片付けの手法でセキュリティ対策を片付けて、セキュリティでときめくことはできないか、考えてみたよ。
京都の西京漬け専門店である株式会社京都一の傳は10月8日、同社が運営する「京都一の傳 お取り寄せページ」( http://www.ichinoden.jp/ )にて第三者からの不正アクセスを受け、カード情報を含む個人情報の流出が判明したと発表した。
9 月 11 日、裁判記録保管システムの ITセキュリティ評価を実施するために雇われた 2 人の男が逮捕された。男らは裁判所に物理的に侵入したところを身柄確保されたものだ。
株式会社ジャックスは9月18日、同社のWeb会員サービス「インターコムクラブ」にて第三者からの不正ログインが判明したと発表した。
本記事では、無料で登録できる ScanNetSecurity BASIC MEMBERS と、メールマガジン Scan BASIC の登録方法を解説しています。所要時間は 2 分程度です。
ホビボックス株式会社は10月9日、同社が運営する通信販売サービス「ECオーダー.com」のWebサーバに外部から不正アクセスがあり、一部顧客のクレジットカード情報が流出した可能性が判明したと発表した。
ラックは、同社のセキュリティ監視センター「JSOC」によるセキュリティレポート「JSOC INSIGHT vol.24」を公開した。
トレンドマイクロは、ロシア語・英語圏などのアンダーグラウンド市場に関して行った「IoT関連のアンダーグラウンドビジネス概況」に関する調査結果の概要を公開した。
公益財団法人東京都保健医療公社 多摩北部医療センターは9月27日、5月20日に公表した同院の運用しているパソコン端末、メールアカウントへの不正アクセスによる同院医師の氏名を使用しマルウェア添付した「なりすましメール」送信について、再び攻撃が確認されたと発表した。
株式会社JIMOSは10月15日、同社が運営する美容品等を扱うECサイト(マキアレイベル、Coyori、代謝生活CLUB)と過去に運営していたECサイト(酒蔵.com)にて、一部顧客のクレジットカード情報が流出した可能性が判明したと発表した。
国立大学法人金沢大学は10月4日、同学教職員がフィッシングメールを受信しメールアカウントのパスワードを窃取されたために大量のフィッシングメールを送信したことが判明したと発表した。
JPRSは、フルリゾルバー(キャッシュDNSサーバ)「Unbound」の脆弱性情報が公開されたと発表した。
ファイア・アイは、同社の主催によるセミナーイベント「CYBER DEFENSE LIVE TOKYO 2019」を11月14日に東京(虎ノ門ヒルズフォーラム)において開催する。
株式会社サイバーエージェントは10月11日、同社が運営する「Ameba」にて内部資料の一部を誤ってインターネット上で公開したことが判明したと発表した。
「脅威インテリジェンス」活用の重要性が高まっているが、日本が直面する脅威、特に、2020年オリンピック大会を迎えたサイバー脅威にはどのようなものがあるか、2019年9月11日開催のセミナーにて、CrowdStrikeのアダム・マイヤーズ氏が解説した。
IPAおよびJPCERT/CCは、Intelが複数の製品に対するアップデートを公開したと「JVN」で発表した。
IPAおよびJPCERT/CCは、macOS向けのターミナルエミュレータ「iTerm2」に、遠隔の第三者による任意のコマンド実行が可能となる脆弱性が存在すると「JVN」で発表した。
大阪府は10月4日、府立生野支援学校にて個人情報が保存された外付けハードディスクの紛失が発生したと発表した。
国立大学法人金沢大学は10月11日、10月4日に公表したフィッシングメールの発信について、不正アクセスを行った者が個人情報を閲覧した可能性が判明したと発表した。
大阪市は9月30日、7月30日に公表した同市の住吉区役所保険年金課職員が業務で知りえた情報を利用し私的にLINEスタンプを送信した件について懲戒処分を行ったと発表した。
株式会社シブヤテレビジョンは10月3日、同社が運営するライブハウスのWebサイト「O-Group」が改ざんされたことが判明したと発表した。
IPAおよびJPCERT/CCは、Apple社が提供する複数の製品に脆弱性が存在すると「JVN」で発表した。
NECは、さまざまなIoTシステムを構成する機器において、プログラム改ざん検知機能を組み込むソフトウェア「軽量プログラム改ざん検知 開発キット」を11月1日から提供開始する。
国立研究開発法人物質・材料研究機構は10月8日、同機構外関係者へメール送信した際に同報者のメールアドレスが互いに表示される状態となったことが判明したと発表した。
本記事では、ScanNetSecurity PREMIUM MEMBERS と、メールマガジン Scan BASIC の登録・購入決済方法を解説しています。
ベビー用品や子ども用品の販売等を行う有限会社フィセルは10月4日、9月19日に公表した同社商品を販売する「10mois WEBSHOP」への不正アクセスによる個人情報流出について第二報を発表した。
このおしらせは、2015 年 7 月 15 日 より前に無料メルマガ「Scan BASIC」の読者であったみなさまだけに向けております。
大阪市は10月4日、大阪市城東区役所窓口サービス課(住民情報)にて、提出された死亡届の紛失が判明したと発表した。
IPAおよびJPCERT/CCは、ルミーズが提供するEC-CUBE用モジュール「ルミーズ決済モジュール」に複数の脆弱性が存在すると「JVN」で発表した。
パイオニアは、カーナビゲーション連動タイプのETCユニット「ND-ETC9」を10月より発売する。
一般社団法人パーソナルサポートセンターは10月4日、同法人が運営する宮城県南部自立相談支援センターにて誤送信が発生したと発表した。
大阪市は10月4日、大阪市港湾局が公開していたサイトから公序良俗に反する内容を含むサイトへ接続される状態となっていたことが判明したと発表した。
沖縄県浦添市は10月4日、同市Webサイトに介護予防事業所代表者等の個人情報が記載されたExcelファイルが掲載され一定期間ファイルが閲覧できる状態にあったことが判明したと発表した。
ココンは、IoTセキュリティに特化した子会社として新たに「株式会社ゼロゼロワン」を設立した。
IPAは、「Microsoft 製品の脆弱性対策について(2019年10月)」を発表した。JPCERT/CCも「2019年10月マイクロソフトセキュリティ更新プログラムに関する注意喚起」を発表している。
IPAおよびJPCERT/CCは、Pulse Secureが提供する「Pulse Secure SSL VPN」に複数の脆弱性が存在すると「JVN」で発表した。
大阪市は10月2日、大阪市大正区役所保健福祉課にて重度障がい者医療費助成制度の払い戻しにかかる申請書類の紛失と支給遅延の発生が判明したと発表した。
一般財団法人建設業振興基金は9月18日、委託先での建設キャリアアップシステムの現場利用料請求データの補正作業誤りにより、一部の元請事業者が他社の現場の技能者名等を閲覧できる状態となったことが判明したと発表した。
IPAおよびJPCERT/CCは、ディーリンクジャパンが提供するWi-Fiアクセスポイント「DBA-1510P」に複数のOSコマンドインジェクションの脆弱性が存在すると「JVN」で発表した。
愛知県は10月1日、瀬戸市にある愛知県陶磁美術館が主催する「子供工芸講座―親子で茶器をつくってみよう!」の参加者にメール送信した際、誤って参加者1組の個人情報を掲載し一斉送信したことが判明したと発表した。
「お客様が、どの EDR がいいかを選ぶ必要などないように、第三者である我々が製品選定に徹底的に時間を費やしました」と語る木内氏に、製品選定プロセスとサービスにかける思いを聞いた。
愛知県名古屋市は9月25日、熱田区保健福祉センター福祉部福祉課にて書類の紛失が判明したと発表した。
JPAAWGは、「2nd General Meeting」を11月14日、15日に東京(ベルサール飯田橋ファースト)において開催する。
愛知県名古屋市は10月3日、守山区にて通達員による誤配付が判明したと発表した。
大阪市は10月4日、大阪市環境局にて法人情報が記載された自動車リサイクル法にかかる引取業者登録申請書を別の事業者へ誤送信したことが判明したと発表した。
ライフボートは、Noraneko Inc.が開発した、メール送信時の誤送信防止や添付ファイルの暗号化、送信ログの収集等、さまざまなポリシー設定を行うことができるOutlook専用のアドインツール「LB Mail Sitter」の販売を開始した。
もはや電気や水道のようなインフラと化した Wi-Fi インターネット接続。しかし、それは本当に安全なのだろうか。一般的に有効と考えられている Wi-Fi のセキュリティでも、誤解、過信、誤用が多い。
フィッシング対策協議会は、Amazonを騙るフィッシングメールが出回っているとして、注意喚起を発表した。
JPCERT/CCは、2019年7月1日から9月30日までの四半期における「インシデント報告対応レポート」および「活動概要」を公開した。
IPAは、「ゴールデンウィークにおける情報セキュリティに関する注意喚起」を発表した。
国土交通省は、車検証を電子化するため「自動車検査証の電子化に関する検討会」を、3月8日に開催し、電子化するのに必要な技術的要件について検討する。
トレンドマイクロは、セキュリティインシデントによる被害とセキュリティ対策の実態を明らかにする調査「法人組織におけるセキュリティ実態調査 2019年版」を発表した。
トレンドマイクロは、「Windows Vista」と「Office 2007」の利用状況について発表した。
確率論の議論でも取り上げられる「パスカルの賭け」をサイバーセキュリティに当てはめるとどうなるのだろうか。そんな野心的な講演が「Security Days Spring 2019」の1コマで行われた。
個人情報保護委員会は、「個人情報の保護に関する法律に基づく行政上の対応について」として、「Amazonの通販サイトで発生した利用者の個人情報の誤表示について」とする公表を行った。
JPRSは、「BIND 9.xの脆弱性(DNSサービスの停止)について(CVE-2019-6476)」の注意喚起を発表した。IPAおよびJPCERT/CCも、「ISC BIND 9 における複数の脆弱性」を発表している。
IPAおよびJPCERT/CCは、Appleから「Swift」向けのアップデートが公開されたと「JVN」で発表した。
IPAおよびJPCERT/CCは、TMS-Pluginsが提供するWordPress用プラグイン「wpDataTables Lite」に複数の脆弱性が存在すると「JVN」で発表した。
アドビ社のセキュリティアップデート公開を受け、JPCERT/CCは「Adobe Reader および Acrobat の脆弱性(APSB19-49)に関する注意喚起」を、IPAは「Adobe Acrobat および Reader の脆弱性対策について(APSB19-49)(CVE-2019-8171等)」を発表している。
Oracle社のクリティカルパッチアップデートを受け、JPCERT/CCは「2019年 10月 Oracle 製品のクリティカルパッチアップデートに関する注意喚起」を、IPAは「Oracle Java の脆弱性対策について(CVE-2019-2949等)」を発表した。
埼玉県は10月11日、県立深谷高校生徒の個人情報を含む書類の紛失が発生したと発表した。
熊本県熊本市は10月3日、熊本市立小学校にて個人情報が記載されたプリントを誤って利用したことが判明したと発表した。
JNSAセキュリティ被害調査WGは、「2018年 情報セキュリティインシデントに関する調査報告書【速報版】」を公開した。
CTCは、米BitSight社が提供する、サイバーセキュリティ対策のレーティングサービス「BitSight Security Ratings」の取り扱いを開始したと発表した。
岐阜県は10月11日、県立学校3校にて生徒の採点済み答案用紙の紛失(2校)と定期考査成績一覧表のホワイトボードへの誤表示(1校)が発生したと発表した。
凸版印刷は、個人のプライバシー保護を実現する顔画像の非識別化サービスを12月より提供開始すると発表した。
IPAおよびJPCERT/CCは、NetCommonsプロジェクトが提供する「NetCommons3」にクロスサイトスクリプティング(XSS)の脆弱性が存在すると「JVN」で発表した。
![米国防総省がサプライチェーン保護のセキュリティ認証公開 ほか ~ 2019 年 9 月のふりかえり [Scan PREMIUM Monthly Executive Summary] 画像](/imgs/p/Yw5yahsgj9ZvF0bQnjgYVW8IYAf2BQQDAgEA/28691.png)
米国防総省はサプライチェーンに関連した脅威を重く受け止め、ペンタゴンの機密データを扱う請負業者向けに Cybersecurity Maturity Model Certification ( CMMC )を公開しました。複雑でクモの巣のようなサプライチェーンを隅々まで保護することを目的としています。
ふたつの新たなインターネットの脅威が現われました。「Man in the Browser (MITB)」と「Man in the Middle(MITM)」と呼ばれ、ユーザアカウントを盗み、金融詐欺を犯すためにワンタイムパスワード(OTP)のような従来の多要素認証技術を回避する洗練された技術を用います。
愛知県名古屋市は10月9日、北区保健福祉センター福祉部保険年金課にて個人情報を含む文書の誤送付が判明したと発表した。
昨今、代表的画面だけ診断をやればいい時代ではなくなっている。ほとんどの画面を各企業が診断する傾向が強まっており、 SHIFT SECURITY が提供する「すべてにおいて必ず80点」というニーズが高まっていると濱本は考えている。
![[インタビュー]キャリア15年目、新井悠が描くマルウェア研究者のキャリア(トレンドマイクロ) 画像](/imgs/p/Yw5yahsgj9ZvF0bQnjgYVW8IYAf2BQQDAgEA/12105.jpg)
新井悠氏は、13年勤めた大企業・政府機関向けセキュリティソリューションやコンサルティングで定評のある有名企業から、昨年8月、トレンドマイクロに転職した。
ソフォスは、フルマネージドの脅威ハンティング、検出、対応サービス「Sophos MTR」の提供を、同社の登録パートナーを介して開始する。
大阪府は10月17日、大阪府茨木保健所にて個人情報が記載された麻薬研究者免許証を誤って異なる申請先に送付したことが判明したと発表した。
株式会社JIMOSは8月22日、同社が運営する美容品等を扱うECサイト「マキアレイベル」、「Coyori」、「代謝生活 CLUB」の使用するサーバが不正アクセスを受け、顧客の個人情報の一部が流出した可能性が判明したと発表した。
愛知県名古屋市は10月9日、北区楠支所区民福祉課にて個人情報を含む文書の紛失が判明したと発表した。
女性テクニカルディレクターが Google を提訴した。同じ地位の男性よりも給与が少なく、当人の方が熟練しているポストに適格性に劣る男性を昇進させた、と主張している。
フィッシング対策協議会は、三井住友銀行を騙るフィッシングメールやSMSの報告を受けているとして、注意喚起を発表した。
SamasやBitPaymerと同様に、Ryukは大企業を標的とする攻撃に特化しています。RyukとHermesランサムウェアのバージョン間のコードを比較すると、RyukはHermesのソースコードから派生したものであり、リリース以来着実に開発が進められてきたことがわかります。
株式会社NTTドコモは7月19日、外部からの不正アクセスにより顧客に身に覚えのないセキュリティコード通知が届く事象が確認されたと発表した。
PCI DSSのためのセキュリティ診断は、「PCI DSS要件を満たす攻撃シナリオの作成」「PCI DSS要件を満たす診断範囲と深さ」「診断結果の判断基準」において、PCI SSCの示すガイドラインに従う必要がある。
============================================================〔Info〕== ◆ レンタルサーバ事業者の保有するco.jpドメイン23万件の詳細情報 ◆ ◆ 業界全体の動向から各社の動向まで ◆ ━━━━━━━━━━━━━━━━━━━
新潟県は10月16日、介護人材確保推進事業にて補助金申請書類が申請事業所から高齢福祉保健課への提出過程で紛失したことが判明したと発表した。
こんな情シスやセキュリティ担当者、どこにでもいるわけではない。
「違う文脈で言うなら、そのような(Tor の)挙動は、ハッキングされたアカウントが『ボットネット』を通じてアクセスしている挙動だ、と示唆されるかもしれない(しかし、それは Tor にとって正常なことだ)」
新潟県は10月8日、新潟県立がんセンター新潟病院にて患者1名分の検査結果報告書を誤って別の患者に交付したことが判明したと発表した。
Fancy Bear として知られる国家主導の犯罪者グループは、知られる限り2008年から活動しており、世界中のさまざまな組織にとって脅威となっています。
イスラエルの精鋭サイバー部隊 Unit8200 の出身者によって設立された Cybereason 社は、米政府機関の所在するワシントンに近く、またAI研究のメッカでもあるボストンに本社を置く先進セキュリティ企業だ。
株式会社イオン銀行とイオンクレジットサービス株式会社は6月13日、イオンマークのカード会員向けインターネットサービスの「暮らしのマネーサイト」とスマホアプリ「イオンウォレット」にて「なりすまし」による不正ログインが発生したことが判明したと発表した。
大阪市は10月17日、大阪市都市整備局にて法人情報が記載された市有地売買契約書の紛失が判明したと発表した。
これまで「高度な職人技」とみなされてきた脆弱性診断。その診断業務の標準化を積極的に進める株式会社SHIFT SECURITYが、今回は脆弱性診断内製化をテーマに、セミナー「サイバーセキュリティアカデミー」を7月下旬都内で開催した。
柳下氏は、CrowdStrikeの脅威インテリジェンスの特長として、「世界中の脅威動向について、攻撃の背景などについても詳しく解説されている点」を挙げる。これは、技術者と同数程度のIT以外の専門家がレポート作成に携わっているからこそ可能なことだ。
IDC Japanは、国内情報セキュリティ市場予測を発表した。
イオンドットコム株式会社は7月11日、同社の各種サービスを利用するための「イオンスクエアメンバー」のログイン機能に対し第三者からの不正ログインが発生したと発表した。
PC向けゲームソフトを製作する株式会社チャンピオンソフト、まどそふと、株式会社エウクレイア、株式会社葉月の4社は7月19日、同社らが通販業務を委託しているホビボックス株式会社運営の「ECオーダー.com」が2019年6月末よりメンテナンス状態となっていると発表した。
有限会社ウェブサービスは1月19日、同社が運営するインターネットショッピングサイト「EIC-BOOK」において、利用者の個人情報が不正アクセスにより流出した可能性があると発表した。これは、過去に購入された顧客情報の一部が流出しているのではとのクレジットカード会社
トレンドマイクロは、リサーチペーパー「製造業特有のサイバーセキュリティリスク ~インダストリー4.0における脅威と対策~」を公開した。
これまでのお話で分かると思うけど、CSIRT体制構築は成熟期に向かう過渡期にあり、評価や話題性でみると終焉に向かいつつある。低コストで維持しやすい組織を目指した方がいい。
警察庁は、「Elasticsearchの脆弱性を標的としたアクセスの増加等について」とする注意喚起を「@police」において公開した。
DX 時代、データの重要性は高まり、業務システムはデジタル改革推進の役割を求められる。業務にマッチしたシステムを構築する必要性から、開発と運用がダイナミックに連携し、改善を繰り返す DevOps などの開発手法が浸透しつつある。
