情報セキュリティの脅威はすぐそこに

個人情報を扱う人の矜持

「逗子ストーカー殺人事件」で加害者に対して被害者の住所等を漏えいしたとして、被害者遺族が逗子市を訴えていた裁判の判決が出ました。

遺族側の主張はほぼ認められ、市職員が夫本人かどうかの確認を怠った上、ストーカー被害に遭っていることから被害者の住所にかかっていた閲覧制限を見逃したことを認め、110万円の慰謝料支払いを命じるというものでした。
被害者遺族側の主張がほぼ認められたという点は評価されるべきですが、少なくともその当時において市職員の個人情報に対する意識がその程度だったのかというのが恐ろしくもあります。

続きを読む

情報セキュリティの脅威はすぐそこに

自宅のルーターのファームウェア、上げてますか?

今月、JPCERT/CCが「Mirai」の亜種による感染活動が活発化しているとして注意喚起をしました。

「Mirai」は主に脆弱なIoT機器に感染するマルウェアで、ネットワークカメラやハードディスクレコーダなどに感染し、 攻撃などを行うボットとして悪用されます。この感染したボットによるトラフィックが増加しているということを踏まえての注意喚起というわけです。

続きを読む

情報セキュリティの脅威はすぐそこに

「アンシャン・レジーム」との戦い

「アンシャン・レジーム」は残念ながら今年の流行語大賞にはノミネートされませんでしたが、どんな状況でも「古い体制からの脱却」は難しい課題として取り扱われます。

この11月に最新版がリリースされたFirefox 57は「Firefox Quantum」という特別な名前を冠された大規模なアップデートとなりました。今回のバージョンアップでは内部の処理構造が大幅に見直され、従来よりも2倍高速になり、Google Chromeよりメモリ消費が3割軽量と謳われています。同時にアドオンの構造も変更されGoogle Chromeと同じようなWebExtensonsに置き換えられました。

続きを読む

情報セキュリティの脅威はすぐそこに

脆弱性対応のスピード感

今月は無線LANの暗号プロトコル「WPA2」の脆弱性が公表され、大きな話題になりました。

情報が出回った当初はセキュリティ関係者を中心に大きな波紋を呼びましたが、クライアントへのパッチで修正が可能という情報が続報されたことや、HTTPSやVPNなどEnd to Endで暗号化が行われていれば影響は回避できるとの情報も流れており、混乱はある程度終息しつつあります。

とはいえ執筆時点で修正パッチが提供されていないプラットフォームもあるなど、引き続き状況に注視が必要なことには変わりありません。

今回の一連の過程において少し興味深い懸念があります。

続きを読む

情報セキュリティの脅威はすぐそこに

結局、パスワードの定期変更は悪だったのか

米国立標準技術研究所(NIST)で「パスワードには英大文字・小文字・数字・記号を使う」「定期的にパスワードを変更する」といったパスワード設定規則を作成したビル・バー氏が、このルールはほとんど間違っていたとして後悔しているというニュースが話題になりました。

ここ数年不定期に議論になるこの話題ですが、ついに考案に携わった人物から失敗だったという発言が出たことでより事態が進展しそうです。

そもそもの始まりは2003年、米国の業界規格設定を手掛ける国立標準技術研究所(NIST)が作成・発表した文書で、インターネットで使うアカウントを守る方法として、パスワードに記号や大文字や数字を盛り込み、定期的に変更するよう勧めていたことに端を発します。

続きを読む

情報セキュリティの脅威はすぐそこに

国家公務員ですら文書管理ができない?

昨今、中央省庁における文書管理に端を発する政治スキャンダルが世間を騒がせています。

ひとつは加計学園獣医学部の設置を巡る「総理のご意向」の問題、もう一つは陸上自衛隊南スーダンPKO部隊の日報を巡る問題です。政治的な意義については本旨ではないためここでは触れませんが、経緯だけ簡単におさらいをします。

続きを読む

情報セキュリティの脅威はすぐそこに

誰でもインターネット犯罪ができてしまうご時世

6月5日、大阪府内の中学生がランサムウェアを作成したとして不正司令電磁的記録作成・保管容疑で神奈川県警に逮捕されるという事件がありました。国内では初めてのランサムウェア作成容疑での逮捕だったことと、容疑者が14歳の中学生だったということで話題になりました。

トレンドマイクロ社が解析したレポートを公開してしますが、この中学生が作ったとされるランサムウェアはオープンソースのツールと海外のサイトで公開されているコードを組み合わせたものであることが明らかになっています。

続きを読む

情報セキュリティの脅威はすぐそこに

「WannaCry」活感動染を防ぐ、たったひとつの冴えたやりかた

この1ヶ月、特に後半は「WannaCry」が猛威を振るったという話題で持ちきりでした。改めて経緯と対策についておさらいしておきたいと思います。

最初に観測されたのは4月25日と言われていますが、本格的な感染の拡大が広がったのは5月12日頃からでした。感染するとPC内のファイルを暗号化してしまい、解除のための身代金として300~600ドル程度のビットコインを要求してくるという、ここ数年流行しているランサムウェアのような挙動をします。ただし身代金を支払ったとしても暗号化されたファイルの解除に成功したという報告は皆無のようです。

続きを読む

情報セキュリティの脅威はすぐそこに

そのパスワードの入力先は信用できるか?

4月を迎え、新生活の季節となりました。当社グループでも新卒社員が入社して頑張っています。

そんな中、大学生向けの一部の時間割アプリに対して大学側が利用を控えるように呼びかけるという事態が発生して話題となっています。特に対象となったのは「Orario」というアプリ。大学側が提供している履修管理用のアカウント情報を入力することで自動的に情報を取得して、時間割を生成できるというものです。

実際に内部的に行われていることは、対応している大学毎に別々のアプリとして提供されていることから、大学のシステムにログインして取得したHTMLを再整形(スクレイピング)するという挙動をしていると思われます。

続きを読む