2015年1月26日月曜日

2015年、年明けてさっそく情報セキュリティ事故発生!

新しい年が明け、あっという間に1月も終わりが近づいてきましたが、さっそく情報セキ
ュリティ事故が発生しています。

PC17台がウィルス感染 朝日新聞社、警視庁に届け出

首都大5万人分個人情報流出か

朝日新聞の件は、昨年の11月末頃から不信な通信により情報の流出があったようです。
17台のPCということなので、会社で利用しているPCの中のほんの一部だろうと思います。

まだ感染経路等は明らかになっていませんが、私は、一部のPCであることから、それらのPCはセキュリティソフトか、OSのセキュリティパッチが最新ではなかったのではないかと推測しています。

一部のPCが最新の状態ではないということは、

・それらのPCを使用している人が会社のルールを守っていなかった。(会社としては当然、セキュリティソフトのパターンファイルやOSのパッチの適用に関してのルールがあるはず)
・会社のルールはあるが、社外に持ち出しており最新の状態になっていなかった。

というようなことが考えられます。

首都大学の件は、元旦の日に一般の人から、大学の教務課のパソコンへのアクセスが外部から可能な状態であると指摘されたとのこと。

こちらも原因はまだ明らかになっていませんが、大学の教務課も年末年始などの長期休暇であれば、パソコンの電源は落としておくと思うのですが、それをしていなかったということは、メンテナンス(ソフトウェアの入れ替え等)でもしていたのでしょうか?

いずれもまだ原因がはっきりしていないので、何が問題だったのか、続報を待ちたいと思います。

仕事でPCを利用することが珍しくない現在、自分が情報の流出元になるかもしれない、知らぬ間にウィルス感染やハッキング等の被害に遭うかもしれないという危機感は、誰もが等しく持つべきです。

壱頁は、ビジネス用GmailをはじめとしたグループウェアのGoogle Apps™ を利用していますが、アカウントへのログイン時に確認コードの入力が求められる二段階認証を設定してセキュリティをさらに強化しています。

また、容量無制限版は、対象ユーザーのすべてのメール等を記録するセキュリティ監査機能がついているので、不正を防ぐ機能が充実しています。

弊社では、Google Apps™ の導入支援サービスを行っておりますので、お気軽にご相談ください。

◆ITタントーレ(R)Google Apps™ 導入支援
http://www.page1.ne.jp/business/google-appstm/

みなさん、一年の始まりだからこそ、情報セキュリティ対策を改めて見直してみませんか。毎年様々な情報セキュリティ事件が発生しますが、どうか平和な一年になりますように。

2014年12月25日木曜日

2014年の情報セキュリティ事故を振り返る

2014年も残りわずかとなりました。
今年もさまざまなセキュリティ事故がありましたが、その中でも印象に残ったものについて振り返ってみたいと思います。

記憶に新しいのは、ベネッセコーポレーションの大規模個人情報流出事件でしょう。
この事件は、ベネッセ本体の情報管理体制の甘さや、情報管理をアウトソースするリスクを露呈させる結果となりました。
個人情報が売られるということ、それを買う企業があるということ。
この事件では、サービスを利用している子どもたちの情報が大量に漏えいしたことから、大きく報道されました。そのため、今まではなんとなく他人事と思っていた人たちの関心も集めたのだと思います。

また、今年もあちこちで問題になったのがLINEでしょうか。
私の周りでも、LINE関連のトラブルをよく耳にしましたが、アカウントの乗っ取りによる詐欺被害が出始めたことは、非常に気になる事件です。

この事件をきっかけに、LINEの利用規約を読んでみました。

LINE 利用規約
LINE プライバシーポリシー

LINEの利用規約内のプライバシーポリシーでは、ご提供いただく情報として、「電話番号、メールアドレス、アドレス帳」と明記されています。確かに、LINEを利用するメリットの一つに、知り合いと繋がることがあるのかもしれません。そのためにアドレス帳のデータを提供する必要があるのでしょう。

でも個人的には、やはりひっかかりがあります。「ワタシ」は同意していないのに、LINEを利用する人のアドレス帳に登録されているだけで、「ワタシ」の情報が外部に収集されてしまうということに。連絡先を交換した時には、メールアドレスと電話番号だけだった情報も、マメな人であれば、誕生日や住所などを追加で更新していることでしょう。するとその情報が「ワタシ」が気づかないうちに、いつの間にかすべて収集されていることになります。

これらのことから、今年私が強く感じたのは、自分の情報を守るだけではなく、自分の情報が知らないうちに収集されている可能性があることを認識し、おかしいと思ったらすぐに手を打つように常に注意を払う必要があるということです。

よくよく考えれば、今までも贈り物などで、他者の情報を記入していることも、記入されていることもあったわけです。ですから、「誰かがワタシの情報を流出させた」と考えるのではなく、「そういうケースもあり得る」と理解し、覚悟しておくことです。少し悲しい言い方かもしれませんが・・・。

便利なツールを、ルールを守って、気持ちよく使える世の中になるといいですね。来年は世間を騒がす嫌な事件が起こりませんように。心から願う年末でした。

2014年11月21日金曜日

App Storeで偽アプリが公開・・・

先日、App Storeで偽アプリが公開されていました。

App Storeの偽アプリ:iPhone/iPad利用者を狙う詐欺行為を確認/トレンドマイクロセキュリティブログ 

これは、トレンドマイクロ社が確認し、約1か月前に公表されていたものです。
その時点で、トレンドマイクロ社はアップル社へ通報をしていましたが、11月13日時点でもまだApp Storeで入手可能な状態のままであったため、改めてニュースになっていました。

アップストアで偽アプリ販売 不正サイトへ誘導の恐れも/朝日新聞デジタル|Yahoo!ニュース 

これは、アプリの名称を非常に似せ(このアプリは"the"の有無のみ)、金額を同額にすることにより、誤購入を狙っているものと思われます。

『iPhone、Macは大丈夫』、この話はもうそろそろ忘れましょう。
モバイル向けの不正アプリはAndroidOSが多いのですが、iOSも安心といえなくなってきています。

とはいえ、アップルとGooglePlayでは、アプリの公開に関して大きな違いがあります。 ご存知の方も多いと思いますが、アップルでは事前に、App StoreやMac App Storeに公開するアプリケーションが信頼できるものか審査を行っています。

 Apple Developer Support アプリケーション審査

一方のAndroid/GooglePlayでは、事前審査はありません。ユーザーが違反を報告するという方式になっているため、アップルに比べると、どうしても不正アプリの数が多くなってしまうということになります。 

Google Play アプリのポリシーに関するよくある質問 

今回、アップルでも偽アプリの公開が確認されたことにより、ユーザーは今まで以上に、アプリを購入する際には注意を怠らないようにしましょう。自分で開発者情報やユーザーレビューを確認するなど、各自が行うべき事前チェックの重要性について、再認識する機会となればと思います。 

OSに関係なく、少しでも怪しいと思ったら、アプリを購入せずにきちんとチェックするようにしてみてください。

2014年10月15日水曜日

MacOSがマルウェアに感染

「Macにもセキュリティソフトは必要です」

このブログでも何度か書いたことがありますが、Macに大規模なマルウェア感染が確認されました。

発見された新たなMac OS Xボットネット : 株式会社Doctor Web Pacific

このマルウェアはトロイの木馬で、ボットネットとよばれるネットワークを構築しています。ボットネットに組み込まれたコンピュータは、本人の知らないところでサイバー犯罪の踏み台にされ、場合によっては加害者にされてしまう危険性があります。

このマルウェアがインストールされると、以下のフォルダに展開されます。

/Library/Application Support/JavaW

自身のパソコンが感染していることに気が付かない場合もありますので、まずはこのフォルダが存在していないかどうかを確認してみましょう。

アップル社では既にマルウェア検出システム「XProtect」の定義ファイルを更新しているようです。

Apple Updates Malware Definitions to Protect Against Botnet Threat Coordinated Via Reddit - Mac Rumors

セキュリティソフト各社も随時対応をしているようなので、もし感染していたら、ご自身がお使いのセキュリティソフトでの対応状況を確認してみてください。

「Macは安全」とセキュリティソフトをインストールしない方がまだときどきいらっしゃいます。たとえこれまでマルウェアに感染したことがなくても、今回のマルウェアがどんな悪さをするのかをよく読んでいただけば、Macだから安全とはいえないことをご理解いただけると思います。Macでも、必ずセキュリティソフトの導入をするようにしましょう。

2014年8月22日金曜日

実践!リモートワーク!Google Apps™ならいつでもどこでも、そこがオフィス

アベノミクスの重要課題である「男女がともに仕事と家庭が両立できる柔軟で多様な働き方」。
もちろん保育所の整備も重要な施策の一つですが、やはり女性が無理なく働ける環境作りも重要!ということで、今日は、8月27日六本木ヒルズGoogle社で開催の「実践!リモートワーク!Google Apps™ならいつでもどこでも、そこがオフィス」という、無料セミナーのご案内をさせていただきます。

私は、育児のため会社を退職後、1999年から、子育てをしながら在宅で、ライティング等のコンテンツ制作の個人事業をはじめました。小さかった3人の子どもたちも、すっかり成長し、上の子はもう大学生です。
自分のように子育てと仕事を無理なく両立できる働き方を、少しでも多くの人に実践してもらいたいという思いから、2006年には、「仕事も子供もあきらめない女性が生き生きと輝く日本を目指すソーシャルベンチャー」を合言葉に、在宅で子育て中の女性が働ける会社を起業しました。それが壱頁です。
まだまだそんなにたくさんの女性を幸せにできているわけではありませんが、私は、自分自身のこれまでの働き方に、とても満足しています。(*^_^*)

今回のセミナーは、在宅ワークを実践したい女性起業家の方はもちろん、女性の人材活用・在宅勤務の助成金の活用を念頭に、リモートワークや在宅勤務の導入を検討している企業の経営者様におすすめの内容です。

働き甲斐のある会社に選ばれたGoogle、
創業以来少数精鋭で女性が活躍できる働き方を実践する壱頁、
企業の成長を支援する上田公認会計士事務所の3社がタッグを組んでリモートワークのノウハウをギュッと詰め込んでお届けします。

御興味のある方は、ぜひ、下記フォームよりお申込みください!

Google Apps for Business™セミナー
「これから事業拡大を目指す企業経営者様のための『実践!リモートワーク!Google Apps™ならいつでもどこでも、そこがオフィス』」
http://www.page1.ne.jp/information/report/20140827.html

2014年7月23日水曜日

個人情報削除の依頼をしていますか?

先日からニュースを賑わしている、大規模な個人情報漏えいの事件。
今回は、漏えいしたのが未成年の情報であるということで、特に関心をもたれています。

流出した個人情報は複数の名簿業者に売られてしまったようなので、該当する方は、今後、心当たりのないところからのダイレクトメールや電話などが入る可能性があることを覚悟しておきましょう。
大変煩わしいですね…。

この煩わしさを少しでも減らしていくためには、自身で「個人情報の削除を依頼する」ことが必要です。

個人情報の管理をしている企業は、会社として「個人情報保護方針」を定めています。
その中には、個人情報の取り扱いについての条項があり、開示、変更、削除等に関して対応する旨記載があります。個人情報に関する問い合わせ連絡先も記載されているはずですので、そちらに「個人情報の削除」をしてもらうよう依頼してください。

この依頼をしないと、いつまでも個人情報は残ったままです。

「以前登録したけど、使ってないからそのまま」にしているサービスなどはありませんか?
利用しなくなっても、また使うかもしれないということであればそのままでも構いませんが、このような事件があったときに、個人情報が流れてしまう可能性があることを理解しておきましょう。

プライバシーマークを取得している企業では、細かく、「利用の停止」「第三者提供の停止」と「削除(消去)」とをわけて請求するように定義しているところもあります。
これはつまり、「利用しなくなりました(今回の事件のケースであれば、「退会します」)」と連絡をしても、あくまで『利用停止』であり、『個人情報の削除』ではない、ということにご注意ください。

今回の事件に関して「多く寄せらせたご質問」を見ると、ダイレクトメールを止めたのに、受講をやめたのに、という質問が多数あったようです。

ベネッセコーポレーションにおける個人情報漏えいに関するお詫びとお知らせ(お問い合わせ窓口のご案内)

個人の感覚では、「利用停止(退会)」=「情報削除」と思ってしまいがちですが、企業としてはできるだけ情報は保持しておきたいのでしょうね。

今回のことをいい教訓として、使わなくなったサービス等は面倒でも削除の請求をしていくように心がけていきましょう。自衛が第一、です。

2014年7月15日火曜日

LINEアカウント乗っ取りの被害に思うこと

LINEアカウントの乗っ取りで被害が出ていますね。

6月初旬にLINEアカウントの乗っ取り情報がニュースになった後、しばらくは関連の報道がなく、大きな被害は起きていないのかなと思っていましたが、最近になってやはり出てきました。

LINEで電子マネー詐取…アカウント乗っ取り : ニュース : 読売新聞(YOMIURI ONLINE)

LINEアカウント乗っ取り、滋賀でも被害 : ニュース : 読売新聞(YOMIURI ONLINE)

立て続けに報道された電子マネー詐欺の手口について、既にニュース等で把握されている方が多いと思いますが、簡単に解説しておきます。
  1. まず、乗っ取った者が乗っ取られたユーザーになりすまして、ユーザーの「友だち」に数万円~数十万円分の電子マネープリペイドカード購入を依頼します。
  2. 依頼された人が、「友だち」であるユーザーに頼まれていると思ってカードを購入し、言われるままカードの写真を送信してしまいます。
  3. すると、乗っ取った者が、カードの写真にある決済用の番号を使って決済します。

乗っ取りをする人が一番悪いことには間違いはありませんが、被害を受けた人のセキュリティ意識に甘さはなかったでしょうか?

悪意のある者が「友だち」になりすましていると気づかず、
「よく知っている人だから」
「信頼している人だから」
と、依頼に応じたのでしょう。
でも、そこで立ち止まって欲しいのです。
「それだけ信頼している(よく知っている)人が、そのような依頼をLINEでするだろうか?」と。

どんなに親しくても、どんなに信頼していても、お金のトラブルは人間関係を壊す最たる理由です。
被害にあった人は、乗っ取られた「友だち」が直接悪事を働いたわけではなくても恨まずにはいられないのではないでしょうか。


実際にLINEでの依頼に応えてしまった方は、LINEでは同じことを繰り返さないと思いますが、メールや電話など、手段が変わるとまたひっかかってしまわないか、心配です・・・

ネットでのこのような詐欺に対しても、振り込め詐欺対応と同じことがいえます。慌てて振り込まない、電話で折り返し確認する。
これだけで防げることがあります。
難しいことではありませんから、周りの人たちと話題にしてみてください。