2014年の情報セキュリティ事故を振り返る

2014年も残りわずかとなりました。
今年もさまざまなセキュリティ事故がありましたが、その中でも印象に残ったものについて振り返ってみたいと思います。

記憶に新しいのは、ベネッセコーポレーションの大規模個人情報流出事件でしょう。
この事件は、ベネッセ本体の情報管理体制の甘さや、情報管理をアウトソースするリスクを露呈させる結果となりました。
個人情報が売られるということ、それを買う企業があるということ。
この事件では、サービスを利用している子どもたちの情報が大量に漏えいしたことから、大きく報道されました。そのため、今まではなんとなく他人事と思っていた人たちの関心も集めたのだと思います。

また、今年もあちこちで問題になったのがLINEでしょうか。
私の周りでも、LINE関連のトラブルをよく耳にしましたが、アカウントの乗っ取りによる詐欺被害が出始めたことは、非常に気になる事件です。

この事件をきっかけに、LINEの利用規約を読んでみました。

LINE 利用規約
LINE プライバシーポリシー

LINEの利用規約内のプライバシーポリシーでは、ご提供いただく情報として、「電話番号、メールアドレス、アドレス帳」と明記されています。確かに、LINEを利用するメリットの一つに、知り合いと繋がることがあるのかもしれません。そのためにアドレス帳のデータを提供する必要があるのでしょう。

でも個人的には、やはりひっかかりがあります。「ワタシ」は同意していないのに、LINEを利用する人のアドレス帳に登録されているだけで、「ワタシ」の情報が外部に収集されてしまうということに。連絡先を交換した時には、メールアドレスと電話番号だけだった情報も、マメな人であれば、誕生日や住所などを追加で更新していることでしょう。するとその情報が「ワタシ」が気づかないうちに、いつの間にかすべて収集されていることになります。

これらのことから、今年私が強く感じたのは、自分の情報を守るだけではなく、自分の情報が知らないうちに収集されている可能性があることを認識し、おかしいと思ったらすぐに手を打つように常に注意を払う必要があるということです。

よくよく考えれば、今までも贈り物などで、他者の情報を記入していることも、記入されていることもあったわけです。ですから、「誰かがワタシの情報を流出させた」と考えるのではなく、「そういうケースもあり得る」と理解し、覚悟しておくことです。少し悲しい言い方かもしれませんが・・・。

便利なツールを、ルールを守って、気持ちよく使える世の中になるといいですね。来年は世間を騒がす嫌な事件が起こりませんように。心から願う年末でした。

App Storeで偽アプリが公開・・・

先日、App Storeで偽アプリが公開されていました。

App Storeの偽アプリ：iPhone／iPad利用者を狙う詐欺行為を確認／トレンドマイクロセキュリティブログ 

これは、トレンドマイクロ社が確認し、約１か月前に公表されていたものです。
その時点で、トレンドマイクロ社はアップル社へ通報をしていましたが、11月13日時点でもまだApp Storeで入手可能な状態のままであったため、改めてニュースになっていました。

アップストアで偽アプリ販売　不正サイトへ誘導の恐れも／朝日新聞デジタル|Yahoo!ニュース 

これは、アプリの名称を非常に似せ（このアプリは"the"の有無のみ）、金額を同額にすることにより、誤購入を狙っているものと思われます。

『iPhone、Macは大丈夫』、この話はもうそろそろ忘れましょう。
モバイル向けの不正アプリはAndroidOSが多いのですが、iOSも安心といえなくなってきています。

とはいえ、アップルとGooglePlayでは、アプリの公開に関して大きな違いがあります。 ご存知の方も多いと思いますが、アップルでは事前に、App StoreやMac App Storeに公開するアプリケーションが信頼できるものか審査を行っています。

 Apple Developer Support アプリケーション審査

一方のAndroid/GooglePlayでは、事前審査はありません。ユーザーが違反を報告するという方式になっているため、アップルに比べると、どうしても不正アプリの数が多くなってしまうということになります。 

Google Play アプリのポリシーに関するよくある質問 

今回、アップルでも偽アプリの公開が確認されたことにより、ユーザーは今まで以上に、アプリを購入する際には注意を怠らないようにしましょう。自分で開発者情報やユーザーレビューを確認するなど、各自が行うべき事前チェックの重要性について、再認識する機会となればと思います。 

OSに関係なく、少しでも怪しいと思ったら、アプリを購入せずにきちんとチェックするようにしてみてください。

MacOSがマルウェアに感染

「Macにもセキュリティソフトは必要です」

このブログでも何度か書いたことがありますが、Macに大規模なマルウェア感染が確認されました。

発見された新たなMac OS Xボットネット : 株式会社Doctor Web Pacific

このマルウェアはトロイの木馬で、ボットネットとよばれるネットワークを構築しています。ボットネットに組み込まれたコンピュータは、本人の知らないところでサイバー犯罪の踏み台にされ、場合によっては加害者にされてしまう危険性があります。

このマルウェアがインストールされると、以下のフォルダに展開されます。

/Library/Application Support/JavaW

自身のパソコンが感染していることに気が付かない場合もありますので、まずはこのフォルダが存在していないかどうかを確認してみましょう。

アップル社では既にマルウェア検出システム「XProtect」の定義ファイルを更新しているようです。

Apple Updates Malware Definitions to Protect Against Botnet Threat Coordinated Via Reddit - Mac Rumors

セキュリティソフト各社も随時対応をしているようなので、もし感染していたら、ご自身がお使いのセキュリティソフトでの対応状況を確認してみてください。

「Macは安全」とセキュリティソフトをインストールしない方がまだときどきいらっしゃいます。たとえこれまでマルウェアに感染したことがなくても、今回のマルウェアがどんな悪さをするのかをよく読んでいただけば、Macだから安全とはいえないことをご理解いただけると思います。Macでも、必ずセキュリティソフトの導入をするようにしましょう。

実践！リモートワーク！Google Apps™ならいつでもどこでも、そこがオフィス

アベノミクスの重要課題である「男女がともに仕事と家庭が両立できる柔軟で多様な働き方」。
もちろん保育所の整備も重要な施策の一つですが、やはり女性が無理なく働ける環境作りも重要！ということで、今日は、８月２７日六本木ヒルズGoogle社で開催の「実践！リモートワーク！Google Apps™ならいつでもどこでも、そこがオフィス」という、無料セミナーのご案内をさせていただきます。

私は、育児のため会社を退職後、１９９９年から、子育てをしながら在宅で、ライティング等のコンテンツ制作の個人事業をはじめました。小さかった３人の子どもたちも、すっかり成長し、上の子はもう大学生です。
自分のように子育てと仕事を無理なく両立できる働き方を、少しでも多くの人に実践してもらいたいという思いから、２００６年には、「仕事も子供もあきらめない女性が生き生きと輝く日本を目指すソーシャルベンチャー」を合言葉に、在宅で子育て中の女性が働ける会社を起業しました。それが壱頁です。
まだまだそんなにたくさんの女性を幸せにできているわけではありませんが、私は、自分自身のこれまでの働き方に、とても満足しています。(*^_^*)

今回のセミナーは、在宅ワークを実践したい女性起業家の方はもちろん、女性の人材活用・在宅勤務の助成金の活用を念頭に、リモートワークや在宅勤務の導入を検討している企業の経営者様におすすめの内容です。

働き甲斐のある会社に選ばれたGoogle、
創業以来少数精鋭で女性が活躍できる働き方を実践する壱頁、
企業の成長を支援する上田公認会計士事務所の3社がタッグを組んでリモートワークのノウハウをギュッと詰め込んでお届けします。

御興味のある方は、ぜひ、下記フォームよりお申込みください！

Google Apps for Business™セミナー
「これから事業拡大を目指す企業経営者様のための『実践！リモートワーク！Google Apps™ならいつでもどこでも、そこがオフィス』」
http://www.page1.ne.jp/information/report/20140827.html

個人情報削除の依頼をしていますか？

先日からニュースを賑わしている、大規模な個人情報漏えいの事件。
今回は、漏えいしたのが未成年の情報であるということで、特に関心をもたれています。

流出した個人情報は複数の名簿業者に売られてしまったようなので、該当する方は、今後、心当たりのないところからのダイレクトメールや電話などが入る可能性があることを覚悟しておきましょう。
大変煩わしいですね…。

この煩わしさを少しでも減らしていくためには、自身で「個人情報の削除を依頼する」ことが必要です。

個人情報の管理をしている企業は、会社として「個人情報保護方針」を定めています。
その中には、個人情報の取り扱いについての条項があり、開示、変更、削除等に関して対応する旨記載があります。個人情報に関する問い合わせ連絡先も記載されているはずですので、そちらに「個人情報の削除」をしてもらうよう依頼してください。

この依頼をしないと、いつまでも個人情報は残ったままです。

「以前登録したけど、使ってないからそのまま」にしているサービスなどはありませんか？
利用しなくなっても、また使うかもしれないということであればそのままでも構いませんが、このような事件があったときに、個人情報が流れてしまう可能性があることを理解しておきましょう。

プライバシーマークを取得している企業では、細かく、「利用の停止」「第三者提供の停止」と「削除（消去）」とをわけて請求するように定義しているところもあります。
これはつまり、「利用しなくなりました（今回の事件のケースであれば、「退会します」）」と連絡をしても、あくまで『利用停止』であり、『個人情報の削除』ではない、ということにご注意ください。

今回の事件に関して「多く寄せらせたご質問」を見ると、ダイレクトメールを止めたのに、受講をやめたのに、という質問が多数あったようです。

ベネッセコーポレーションにおける個人情報漏えいに関するお詫びとお知らせ（お問い合わせ窓口のご案内）

個人の感覚では、「利用停止（退会）」＝「情報削除」と思ってしまいがちですが、企業としてはできるだけ情報は保持しておきたいのでしょうね。

今回のことをいい教訓として、使わなくなったサービス等は面倒でも削除の請求をしていくように心がけていきましょう。自衛が第一、です。

LINEアカウント乗っ取りの被害に思うこと

LINEアカウントの乗っ取りで被害が出ていますね。

６月初旬にLINEアカウントの乗っ取り情報がニュースになった後、しばらくは関連の報道がなく、大きな被害は起きていないのかなと思っていましたが、最近になってやはり出てきました。

ＬＩＮＥで電子マネー詐取…アカウント乗っ取り : ニュース : 読売新聞（YOMIURI ONLINE）

ＬＩＮＥアカウント乗っ取り、滋賀でも被害 : ニュース : 読売新聞（YOMIURI ONLINE）

立て続けに報道された電子マネー詐欺の手口について、既にニュース等で把握されている方が多いと思いますが、簡単に解説しておきます。

1. まず、乗っ取った者が乗っ取られたユーザーになりすまして、ユーザーの「友だち」に数万円～数十万円分の電子マネープリペイドカード購入を依頼します。
2. 依頼された人が、「友だち」であるユーザーに頼まれていると思ってカードを購入し、言われるままカードの写真を送信してしまいます。
3. すると、乗っ取った者が、カードの写真にある決済用の番号を使って決済します。

乗っ取りをする人が一番悪いことには間違いはありませんが、被害を受けた人のセキュリティ意識に甘さはなかったでしょうか？

悪意のある者が「友だち」になりすましていると気づかず、
「よく知っている人だから」
「信頼している人だから」
と、依頼に応じたのでしょう。
でも、そこで立ち止まって欲しいのです。
「それだけ信頼している（よく知っている）人が、そのような依頼をLINEでするだろうか？」と。

どんなに親しくても、どんなに信頼していても、お金のトラブルは人間関係を壊す最たる理由です。
被害にあった人は、乗っ取られた「友だち」が直接悪事を働いたわけではなくても恨まずにはいられないのではないでしょうか。


実際にLINEでの依頼に応えてしまった方は、LINEでは同じことを繰り返さないと思いますが、メールや電話など、手段が変わるとまたひっかかってしまわないか、心配です・・・

ネットでのこのような詐欺に対しても、振り込め詐欺対応と同じことがいえます。慌てて振り込まない、電話で折り返し確認する。
これだけで防げることがあります。
難しいことではありませんから、周りの人たちと話題にしてみてください。

パソコンやスマホの便利なサービス、よくわからない「けど」使いますか？

パソコンやスマートフォン、便利なサービスがたくさんありますね。はじめて使うサービスでわからないことに遭遇したら、どうしますか？

・わからない「けど」
・わからない「まま」
・わからない「から」

この後にどんな言葉が続くでしょうか？


子どものパソコンやスマートフォンの利用率は年々高くなっています。
それに伴い、子どもの性犯罪被害も増加し続けています。

交流サイト:子どもの性犯罪被害、スマホで最多４６７人 - 毎日新聞

この記事によると、被害者の半数以上は、保護者からサイト利用の注意を受けていなかったとのこと。
その子どもたちは、わからない「まま」使っていて、被害にあったのです。


保護者の方はどうでしょう。
わからない「けど」、流行っているから、多くの人が使っているから大丈夫。そういう気持ちで、わからない「まま」使っている方が多いのではないでしょうか？
保護者が、把握せずに使っているのでは、子どもへの注意喚起はできませんね。

子どもがパソコンやスマートフォンを使い始めたら、あっという間に慣れてしまいます。
だからこそ、使い始める前に正しい使い方や危険性を教えておかなければなりません。
パソコンもスマートフォンも、子ども用にフィルタリング設定することができます。それすら対応しないことは、大人自らが子どもを危険にさらしていることを自覚すべきではないでしょうか。

わからない「なら」わかる努力をする（調べる、聞く）。
わからない「から」使わない。

自分の大切な子どもを守るためには、使わないという選択も一つの手段です。

自分は関係ない、大丈夫、周りで被害にあった人もいないし…。
そのような考えはそろそろ捨ててください。

リスクを知り、対策をし、どこまでならリスクを受け入れられるのか、家族で話し合う機会を持つといいと思います。
しっかりと共通認識を持って使うことができれば、便利なツールであることは間違いないものなのですから。

Windows XPのパソコンを、そのまま使ってはいけないの？

いよいよWindows XPの延長サポートが終了します。
Windows XPのパソコンをお使いではありませんか？
１年以上前から周知されていましたが、対応はお済みでしょうか？

「サポートは間もなく終了します」
Windows XP のサポート終了 - Microsoft Windows

Windows XPはかなり安定して使用されたWindows OSでした。
初めて使ったパソコンがWindows XPだったという方も多いのではないでしょうか。

なじみの深いOSですが、そのままWindows XPを使用することは危険です。
例えば、今月のマイクロソフトの更新では以下の通り、既に緊急の修正が提供されています。

マイクロソフト、3月のセキュリティ更新は緊急2件を含む5件 | ニュース | インターネット・セキュリティ・ナレッジ

このような修正は、延長サポート期限内の製品に対して提供されますので、Windows XP用の修正は、延長サポート終了後は一切提供されません。脆弱性が発見されてもそのまま放置するしかなく、その脆弱性を突かれてパソコンが危険にさらされることになります。

まだWindows XPをお使いの方は、以下の注意喚起もよく読み、速やかに移行をしましょう。

Windows XPのサポート終了に伴う注意喚起：IPA 独立行政法人 情報処理推進機構

Windows XPからの移行の選択肢としては、
Windows VISTA （延長サポート終了　2017年）
Windows 7 （延長サポート終了　2020年）
Windows 8 (8.1) （延長サポート終了　2023年）
があげられます。

最新のWindows OSである、Windows 8の操作性はWindows XPとは大きく違うため、Windows XPに近い操作ができるWindows 7へのアップグレードを検討する方も多いと思いますが、延長サポートの期間を考えると、Windows 8を使用することが望ましいです。
パソコンを常にセキュアな状態に保つために、できるだけ最新のOSを使用しましょう。
各種ソフトウェアやドライバー類のWindows 8対応も揃ってきましたので、特別な使用要件がなければWindows 8が適当だと思います。
タブレット端末などでタッチ操作に親しんでいるユーザなら、Windows 8も案外使いやすいのではないでしょうか。

OSをアップグレードした際には、改めてWindows Updateの設定を確認しておきましょう。

ちなみに、iOSでも先月に重要な修正が提供されています。Appleユーザ（iPhone、iPadなども含む）も最新の状態に保つことはお忘れなく。

メールの入力で情報漏洩！？

「知らない間に外部に情報を漏らしていませんか？」
IPA独立行政法人　情報処理推進機構の情報セキュリティページに掲載されてている「今月の呼びかけ」です。

知らない間に？
いえ、私は大丈夫、と思った方もいるでしょう。
しかしやはり一度チェックをして欲しい内容です。

パソコンで文字を入力するときに、漢字などに変換するIMEというソフトウェア。日本語を入力するパソコンでは必ず使います。
例えば、「いちじ」と入力すると、「一時」「一次」などの変換候補が上がってくるものだといえばわかりやすいでしょうか？
最近は、最初の数文字を入力しただけで、予測変換されるなどの便利な機能も一般化し、本当に便利です。

このIMEですが、一部のソフトには入力した文字をサーバーに送信する機能があります。「クラウド変換機能」「オンライン変換機能」などと呼ばれ、変換効率を良くするなどの目的でキー入力情報を送信します。入力した文字がそのまま送られるのですから、メールの内容なども含まれます。これは怖いですよね。

送信機能を持ったIMEが何かのソフトウェアに同梱されていて、初期設定のまま進めると一緒にインストールされてしまうケースもあるそうです。
きちんと確認をせずにインストールすることがないよう、気を付けたいものです。

詳しくは、
2014年2月の呼びかけ：IPA 独立行政法人 情報処理推進機構
を読み、ご自身のIMEの設定を確認してください。

関連記事として、以下を紹介しておきます。
ITproまとめ - Baidu IME（バイドゥ IME）：ITpro

クラウドサービスは便利ですが、外部にデータを預けるわけですから、仕組みやリスクを理解しておくことは必須です。
「知らなかった」で泣くことがないようにしたいですね。

スマートフォンやゲーム機の設定、意識していますか？

新しい年を迎えました。2014年も、安全なITライフのための情報をわかりやすくお伝えしていきたいと思います。

年末年始には、サンタさんにおねだりした新しいゲーム機や、お年玉がわりのスマートフォンを手に入れたお子さんが多そうですね。
大人の方も、年末年始商戦の中、スマートフォンを買い替えたり、２台目を購入されたりした方がいらっしゃるのではないでしょうか？

写真の位置情報で行動が丸見えに！？

今や国民の約半分が持っているスマートフォンですが、危険もはらんでいます。
例えば、カメラ機能。
FacebookやTwitter、LineといったSNSに写真を載せるとき、スマートフォンなら撮影した写真を撮ってすぐにアップできて、とっても便利ですよね。
でもちょっと待って！
写真には位置情報が付加されているかも！！

位置情報が付いた写真をSNSに載せてしまうと、悪意を持った人に自宅などの居場所を特定されてしまうおそれがあります。

近くのお店を探すときなど、位置情報サービスが役立つシーンもあります。目的に応じて位置情報サービスを使用することをおすすめします。
写真については、位置情報を付加するメリットはないと思いますので、できるだけOFFに設定しましょう。特にお子さんに持たせる場合には、OFFにすることを強くおすすめします。

設定方法については、下記を参考になさってください。

あなたのスマホだいじょうぶ？　ネットの安全特集2012 春 Vol.17 - Yahoo! JAPAN

iOS 7：位置情報サービスについて - Apple サポート

ゲーム機はそのまま子どもに持たせない

年末に、「お子さんのゲーム機のインターネット設定を確認してください」という内容の任天堂のテレビCMが放送されていました。
ウェブでも、保護者向けのページが公開されています。

任天堂ホームページ：任天堂から保護者のみなさまへ、大切なお願いです。 

どうか、DSなどのゲーム機も、子どものおもちゃと侮らず、親の責任でインターネットの設定を確認してくださいね。

ゲームのプロフィールに、あまりに正直に自分の情報を設定していると、「すれちがい通信」機能などでお子さんの情報があちこちに行ってしまうということもあるようです。


スマートフォンもゲーム機も、「便利さ」「楽しさ」と「安全性」にうまく折り合いを付けて、使っていきましょう。