日付 |
タイトル・内容 |
07日 |
|
|
|
【概要】
高い位置からは人は点のように見えるが、影は人の形や動きがくっきりと映り、解析することで個人特定が可能。
飛行船やビル屋上のカメラから犯罪容疑者を特定したり、迷子や徘徊高齢者を見つけることへの応用に期待。
一般的な街頭カメラで捉えられる範囲は数十メートル四方だが、飛行船(高度約300メートル)からだと約500メートル四方となり、少ないカメラで効率的に対象者を捜し出すことができる。プライバシーの問題は街頭カメラと同レベルという。
目標は、1万人を精度100%で特定すること。
「顔が見えなくても家族の歩く姿は見分けやすいのと同様、歩容認証は誰もが自然に行っていること。今後はデータを増やして精度を上げることが鍵」としている。 |
|
|
|
|
|
07日 |
|
|
|
中小企業および情報セキュリティの関連10団体は、中小企業における自発的なセキュリティ対策の促進に向けて共同宣言を発表し、あらたな制度「SECURITY ACTION」を創設。
共同宣言は、中小企業の自発的なセキュリティ対策の取り組みを促す試みで、連携して活動を推進。そのひとつとして中小企業が自らセキュリティへの取り組みを宣言する制度「SECURITY ACTION」を設けた。
1)IPAが「中小企業の情報セキュリティ対策ガイドライン」を策定。
制度参加企業はガイドラインに沿ったセキュリティ対策に取り組み、セキュリティポリシーを外部公開し取り組みを宣言。
2)宣言後「セキュリティ対策自己宣言マーク」をサイトや名刺に掲載し、セキュリティ対策に取り組んでいることをアピール。
マークは実践段階に応じて2種類あり、受け付けはIPAが行う予定。
【共同宣言の参加団体】
中小企業診断協会、全国社会保険労務士会連合会、全国商工会連合会、全国中小企業団体中央会、ITコーディネータ協会、日本ネットワークセキュリティ協会、情報処理推進機構、中小企業基盤整備機構、日本商工会議所、日本税理士会連合会。
詳細は以下を参照
https://www.ipa.go.jp/security/keihatsu/sme/guideline/index.html |
|
|
|
|
|
07日 |
|
|
|
【状況】
元臨時職員が住居侵入および個人情報保護条例違反の容疑で逮捕。
当時勤務していた区役所のシステムにおいて、住民の個人情報を不正に閲覧した疑いおよび、1月11日に住居侵入と個人情報保護条例違反の容疑で逮捕された。
【対応】
「個人情報の不正利用にかかる再発防止方針」を策定。
情報セキュリティに関する実態把握や再発防止策、職員教育の再徹底、監視カメラの設置など対策を策定し、実行する。 |
|
|
|
|
|
07日 |
|
|
|
【状況】
「Apple ID」がロックされるなどとだまし、偽サイトへ誘導。アカウント情報を詐取するフィッシング攻撃を複数確認。誘導先のフィッシングサイトは、少なくとも5種類のURLを使用した。フィッシングサイトが稼働中。
フィッシングメールの件名は8種類確認され、「アカウントはロックされます」「Your Apple ID has been locked」など、多くはアカウントがロックされたように見せかけ、不安を煽る。
メールの本文は日本語や英語など複数のパターンがあり「iCloudへMacBook Pro 13より予期せぬログインが行われた」などとだます手口や「あなたの体のアカウントを確認してください」など不自然な日本語を用いていたケースもある。
【対策】
フィッシング対策協議会ではJPCERTコーディネーションセンターへ調査を依頼。
誤って情報を送信しないよう注意を呼びかけ。 |
|
|
|
|
|
07日 |
|
|
|
【状況】
WordPressを外部より容易に改ざんできる脆弱性の情報開示が行われた問題で、アップデートが未実施だったサイトに被害が拡大。
脆弱性を発見、公表したSucuriが、同社のウェブアプリケーションファイアウォール(WAF)やハニーポットに対する攻撃状況などを踏まえ、脆弱性公開後の状況や攻撃発生状況などを取りまとめ。
攻撃キャンペーンでは、2日間で数万件のページが被害に遭ったと見られている。
【経緯】
脆弱性情報の公開から2日以内にオンライン上では複数の攻撃コードが投稿、共有され、攻撃者が脆弱性に関する詳細な情報が容易に入手できる状態だった。
脆弱性が未修正のウェブサイトの探索や悪用が拡大しWAFによる検知数も、2月6日には4種類の攻撃キャンペーン、3000件弱の攻撃を検知。
また攻撃開始から48時間以内に、被害に遭ったと見られるページがGoogle上のインデックス数で6万6000件に及んだ。
他攻撃キャンペーンでも、それぞれ500ページほどが改ざん被害に遭うなど正確な被害規模は不明だが急速に被害が拡大中。
【対策】
攻撃者が用いたIPアドレスからアップデート以前にアクセスがなかったかログを確認。
これらIPアドレスからのアクセスをブロックするよう推奨。
4種類の攻撃キャンペーンで攻撃者が利用していたとされるIPアドレスは以下のとおり。
176.9.36.102
185.116.213.71
134.213.54.163
2a00:1a48:7808:104:9b57:dda6:eb3c:61e1
37.237.192.22
144.217.81.160 |
|
|
|
|
|
06日 |
|
|
|
【状況】
「LINE」を装い、検証などと称してウェブページへアクセスさせ、利用者からアカウント情報をだまし取るフィッシング攻撃が発生。
フィッシング攻撃では、「LINE-Corporaionut」「LINE-安全認証」等の件名メールで、「お客様のLINEアカウントに異常ログインされたことがありました」などと不安を煽って本文のリンクから偽サイトへ誘導。
【経緯】
LINEを狙った攻撃では、2016年11月以降にアクセスする時間帯を「毎日9時から20時まで」などと指定するケースも確認されているが、2017年に入ってから見られなくなっており、今回もそのような指定はなかった。
フィッシング報告件数は、2016年10月に128件と37カ月ぶりに200件を下回る低水準だったが、翌月以降増加傾向が続き1月には736件の報告。
「LINE」を装った攻撃も増加の一因となっており、今後も引き続き注意が必要。
【対応】
2017年2月6日の時点でフィッシングサイト3種類のURLの稼働を確認し、閉鎖に向けてJPCERTコーディネーションセンターへ調査を依頼。 |
|
|
|
|
|
06日 |
|
|
|
【状況】
WordPressのバージョン「4.7」および「4.7.1」は、REST APIがデフォルトで有効となっており、必要な認証をせずにウェブサイトのコンテンツの投稿や編集、削除等の改ざんが可能。
脆弱性実証コードが公開済みのため、影響を受けるバージョンのWordPressを利用しているとみられる国内の複数のサイトが、改ざんの被害を受けた。
【経緯】
脆弱性は、1月26日に公開されたバージョン「4.7.2」で修正済だが、WordPressでは「何百万ものWordPressサイトの安全性確保のため」脆弱性情報を2月1日まで公表していなかった。
【対応】
・IPAとJPCERT/CCは、最新バージョンへの更新を推奨。
・一時的な回避策はREST APIを使用しないかREST APIへのアクセス制限を推奨。
・WordPressは、REST APIを無効にする公式プラグイン「Disable Embeds」を提供。
最新バージョンの4.7.2は、REST APIの脆弱性のほか、権限のないユーザーにPress Thisのタクソノミー語句を割り当てるユーザーインターフェースが表示される脆弱性、SQLインジェクションの脆弱性、クロスサイトスクリプティング(XSS)の脆弱性を修正済。 |
|
|
|
|
|
02日 |
|
|
|
【状況】
Webサイト閲覧者をマルウェアに感染させる改ざん攻撃の攻撃者が使うツールや感染するマルウェアの種類などに変化があり、不正にコンピュータが操作され金銭を搾取されるなどの被害に遭う恐れ。
1)エクスプロイトキットの動向
2016年にEKツールの「Angler」、「Neutrino」がそれぞれ活動を停止し、閲覧者が改ざんサイトからマルウェア配布サイトに誘導されてしまう状況は減少傾向だが、2016年9月頃から、RIG-EKによって構築されたマルウェア配布サイトへのアクセスが国内だけで6000件近くに達した。
特にWebサイトのコンテンツで多数利用されているというWordPressやJoomla!などのコンテンツ管理システム(CMS)ソフトや、CMSに追加するプラグインソフトの脆弱性が狙われている。
2)ランサムウェアの動向
2016年10月〜12月期はランサムウェアが全体の85%を占めた。
ランサムウェア種別では「CERBER」と呼ばれるファミリーが94%、スパムメールを通じて拡散した「LOCKEY」は4%で、メールとWebで攻撃の傾向に違いがある。
【原因】
攻撃を実行するためには「エクスプロイトキット」(EK)と呼ばれるツールを使用して、脆弱性があるWebサイトのシステムに不正侵入し、マルウェア配布サイトへのリンクを埋め込むためにコンテンツを改ざんする。
改ざんされたWebサイトを閲覧すると、閲覧者のコンピュータがマルウェア配布サイトに接続(誘導)され、コンピュータに脆弱性が存在するとマルウェアが送り込まれて感染する。
【対策】
JC3とセキュリティ各社は2月2日、Webサイト閲覧者をマルウェアに感染させるサイバー攻撃が2016年後半から「RIG-EK」ツールが増加しており、全国の警察やセキュリティ企業らと連携して、改ざんサイトの無害化に取り組み、改ざんされた298サイトの管理者などに対して38の都道府県警察から状況確認や修復依頼などを行った。
【Webサイト運営者が講じるべき対策】
・WebサーバのOSや各種ソフトウェア(CMSなど)を最新にし、プラグインは脆弱性対策が講じられている信頼できる管理者が提供するものを利用する
・不必要なデータ領域を公開していないか確認し、公開する範囲を必要最低限にして、適切なアクセス権を設定する
・管理者権限などのパスワードは初期設定や推測しやすいものにしない
・ファイアウォール(WAFなど)や侵入検知装置(IDS/IPSなど)の導入、共用サーバを利用している場合は、サーバ管理者に適切なセキュリティ対策を要請する
・サイバー攻撃の監視や脆弱性診断などのセキュリティサービスを活用する
・万一の被害の後に備えて取得するログの内容や保管期間などを見直しておく
【インターネット利用者が講じるべき対策】
・ウイルス対策のセキュリティソフトを導入し、不正プログラムを検出するための定義ファイルなどを最新の状態にする
・WindowsなどのOSは自動更新新機能を使って、常に最新の状態を保つ
・ブラウザやAdobe Flash Player、Javaなどの各種プログラムは最新版もしくは脆弱性対策アップデートを適用し、最新の状態を保つ
・サイト閲覧時に意図しないダウンロードが始まった場合は、キャンセルし、ダウンロードが完了しても、ファイルを開いたり、実行したりしない
・マルウェア配布サイトへの誘導を自動ブロックする機能を持つ製品を活用する |
|
|
|
|
|
01日 |
|
|
|
情報セキュリティ脅威のうち、2016年に社会的影響が大きかったトピックから「10大脅威選考会」投票によりトップ10を選出し、「情報セキュリティ10大脅威2017」として公表。
【個人】
1位 インターネットバンキングやクレジットカード情報の不正利用(1位)
2位 ランサムウェアによる被害(2位)
3位 スマートフォンやスマートフォンアプリを狙った攻撃(3位)
4位 ウェブサービスへの不正ログイン(5位)
5位 ワンクリック請求などの不当請求(4位)
6位 ウェブサービスからの個人情報の窃取(7位)
7位 匿名によるネット上の誹謗・中傷(6位)
8位 情報モラル不足に伴う犯罪の低年齢化(8位)
9位 インターネット上のサービスを悪用した攻撃(10位)
10位 IoT機器の不適切管理(−)
( )内は昨年の順位、(−)は昨年の順位でのランク外です。
フィッシングメール被害やアクセス管理の不備をついてネットバンキングなどで被害多発。
今後、普及が予想されるIoT機器(家電)での設定不備で被害拡大か。 |
|
|
|
|
|
01日 |
|
|
|
【状況】
医師が、患者の個人情報が保存されたUSBメモリを鞄ごと紛失。
USBメモリには、医師が処置した患者約3,600人分の氏名、性別、診察券番号、処置年月日、処置の内容、放射線検査画像、担当医師の氏名などを保存。
USBメモリのパスワードは設定されていない。
【経緯・原因】
医師が自宅のパソコンでデータを整理するため無許可で持ち出したUSBメモリを、1月25日講演会の終了後に食事をして帰宅途中に鞄ごと紛失。
【対応】
対象となる患者と家族に説明と謝罪を行う。 |
|
|
|
|
|
01日 |
|
|
|
【状況】
神経内科カンファレンスルームで、外部へ接続されていない端末へデータを登録する際に使用しているUSBメモリの所在が不明。
USBメモリには、2003年3月31日から2017年1月19日までの間に神経内科へ入院した患者1,917人の氏名、性別、年齢、生年月日、ID、診断名を記録。
USBメモリのパスワードは未設定。
【経緯・原因】
1月19日に医師がUSBメモリを使用したが、所定の場所に保管せず、1月23日に医師が再びUSBメモリを使用しようとした際に紛失に気付いた。
【対応】
対象となる患者に説明と謝罪の書面を送付。
USBメモリを使ったパソコンへのデータ登録作業を禁止。 |
|
|
|
|
|
01日 |
|
|
|
事業者が取得したカメラ画像を利用する際の配慮事項などをまとめた「カメラ画像利活用ガイドブックver1.0」を公表。
ガイドブックは、個人を特定する目的以外でカメラ画像の利活用を検討している事業者を対象に、画像を取得、利用する上で配慮すべき事項について整理し、撮影される人物のプライバシーを保護し、事業者との相互理解を構築するために必要な配慮事項を取りまとめ。
基本原則は、特定の個人を識別できる場合(個人情報保護法遵守)の対応すべき項目について記載。
また店舗内や野外の設置カメラなど具体的な事例として「事前告知時」「取得時」「取扱時」「管理時」の、利活用の過程ごとに配慮事項を整理。
対象:店舗の入口や店舗内に設置されたカメラ、公共空間に向けたカメラ、駅の改札や構内に設置されたカメラなどで、防犯目的のカメラ画像は対象外。 |
|
|
|
|
|
01日 |
|
|
|
政府はセキュリティの啓発のため、2月1日~3月18日(サイバー)を「サイバーセキュリティ月間」とし、普及啓発活動を毎年集中的に推進する。
期間中は、府省庁対抗による競技形式の訓練「NATIONAL 318 EKIDEN 2017」、秋葉原での啓発イベント「サイバー攻撃を目撃せよ! 2017(仮称)」、特設ページの開設、ポスターやハンドブックの配布、産学官民によるイベントを予定。
内閣官房長官は、家電や自動車など、さまざまなものがネットワークに接続され、幅広い世代がサイバー空間で活動する一方、個人情報流出や経済犯罪、重要インフラの破壊など、サイバー攻撃リスクが深刻化しおり、国民生活や社会を守るためには、政府機関や重要インフラ事業者だけではなく、国民1人ひとりが、サイバーセキュリティの重要性を認識し、対策を講じていく必要があるとコメント。
2017年のキャッチフレーズは「#サイバーセキュリティは全員参加!」で、国全体の意識向上を図り、2020年開催の東京オリンピック・パラリンピックに向けてサイバーセキュリティ対策に万全を期す。 |
|
|
|
|
|
01日 |
|
|
|
情報セキュリティ脅威のうち、2016年に社会的影響が大きかったトピックから「10大脅威選考会」投票によりトップ10を選出し、「情報セキュリティ10大脅威2017」として公表。
【組織】
1位 標的型攻撃による情報流出(1位)
2位 ランサムウェアによる被害(7位)
3位 ウェブサービスからの個人情報の窃取(3位)
4位 サービス妨害攻撃によるサービスの停止(4位)
5位 内部不正による情報漏えいとそれに伴う業務停止(2位)
6位 ウェブサイトの改ざん(5位)
7位 ウェブサービスへの不正ログイン(9位)
8位 IoT機器の脆弱性の顕在化(−)
9位 攻撃のビジネス化(アンダーグラウンドサービス)(−)
10位 インターネットバンキングやクレジットカード情報の不正利用(8位)
( )内は昨年の順位、(−)は昨年の順位でのランク外です。
攻撃のビジネス化(アンダーグラウンドサービス)で高度な技術がなくとも、容易に攻撃できるツールが流通することで、ランサムウェア被害拡大(7位→2位)、標的型攻撃による情報流出(1位)が上位に。
IoT機器への攻撃で監視カメラ画像流出やDDos攻撃の踏み台に。 |
|
|
|
|
|
01日 |
|
|
|
【状況】
常時施錠した倉庫に保管している成績原簿の紛失が、2016年12月の点検作業で判明。
紛失したのは2014年度に情報科学研究科で開講された授業の成績原簿。
同科に在籍し2014年度に成績評価を受けた学生354人分の氏名や学生番号、研究室名、授業科目名、授業担当教員名、評価など。
【経緯・原因】
2016年6月の点検時には、倉庫に収納されていることを確認。
その後7月から8月にかけて倉庫内を整理した際に、不要文書とともに誤って廃棄した可能性。
【対応】
対象となる学生に謝罪の書面を送付。 |
|
|
|
|
|