情報セキュリティの脅威はすぐそこに

特殊な商流における「責任」のあり方

GMOペイメントゲートウェイのカード番号流出事件が、あまり大きな話題になっていませんが、事態は重大でかつ複雑なので少しまとめてみたいと思います。

きっかけは3月7日に公開されたApache Struts2の脆弱性(CVE-2017-5638)です。内容はリモートから任意のコード実行が可能というもので、すぐに修正バージョンも公開されています。

続きを読む

情報セキュリティの脅威はすぐそこに

人はどうしても簡単なパスワードを設定してしまう

「2016年で最もよく使われていたパスワードトップ25」が公表されています。
http://gigazine.net/news/20170117-most-common-password-2016/

毎年恒例のランキングで、比較的お馴染みの文字列がある中で、一見すると複雑そうに見えるものもランクインしており興味深いところです。個人的にはいつの間にか「trustno1」が圏外になっており隔世の感があって寂しいものです(よくわからない人は『Xファイル』のシーズン2第1話を見てみよう)。

恐ろしい点はこの統計の母数は1000万件のパスワードとのことですが、トップ25で全体の半分以上を占めているということです。

続きを読む

情報セキュリティの脅威はすぐそこに

フィッシングメールにどう気をつけ、立ち向かうか

「Microsoftを騙るフィッシングメールが出回る」という話題が、マイクロソフトのサポートフォーラムに始まりInternet Watchにも載り、マイクロソフトのTwitterアカウントによる注意喚起がなされ、さらにはNHKのニュースになるところまで広がりました。

フィッシング対策協議会は普段からそこそこの頻度で緊急情報を告知しているので良いのですが、NHKまで行くとちょっと大きな話になってきたという印象があります。このような注意喚起が大きな話になるのは良いことですが、「開かずに削除してください」とだけ告知されるのも片手落ちな感があります。

続きを読む

情報セキュリティの脅威はすぐそこに

犯罪者は何が欲しいのか

今日もどこかで情報漏えい事故が起きています。対岸の火事ではないような事件が気になるので紹介します。

ひとつは印刷会社のグラフィックで発生したもので、個人情報関連に加えてクレジットカード番号・有効期限・セキュリティコードの流出の可能性があり、深刻度としては重大です。
http://info02.graphic.jp/incident/order04_w.php

もうひとつ、東急ハンズの通販サイトでも情報漏えいがあり、カード番号と有効期限が流出したとされています。
http://www.tokyu-hands.co.jp/information/01824184728f529f5f0f6e2ba0196c97440cdd9f.pdf

続きを読む

情報セキュリティの脅威はすぐそこに

安心と安全のあいだ

豊洲市場の問題が連日メディアを騒がせています。
何故か存在している地下空間とそこにあった謎の水を巡って、「食の安心・安全は担保されるのか」という声が各所から上がっています。一連の報道や関係者の言説を見聞きしていてふと気になったので、いろいろな場面で並び称される『安心』『安全』とは何なのかを考えてみたいと思います。

続きを読む

情報セキュリティの脅威はすぐそこに

ついカッとなって・・・

株式会社スプリックスが運営する中高生専用SNS「ゴールスタート(ゴルスタ)」が運営の不備から炎上騒ぎが起き、さらに個人情報を故意に公開してしまいさらに炎上するという、前例のない事件が起きています。

このSNSは中高生限定を謳っており、サービス開始は2014年とそれなりの歴史があります。最近になってCMを流すようになったので、知名度はにわかに上昇していましたが、元々中高生限定ということもあり一般的な認知度は低いサービスでした。

続きを読む

情報セキュリティの脅威はすぐそこに

TeslaCryptが突然の降参?

昨年末から話題になっているランサムウェアですが、ここに来て少し大きな動きがありました。

「TeslaCrypt」は2015年3月に発見され、世界中のゲーマーなどをターゲットにしてきました。特に昨年末頃には日本での感染者が増え始めたため大きく話題となり、ランサムウェアの存在を一躍メジャーなものとしました。TeslaCryptに感染するとPC内に保存されているデータを暗号化し、解除の際、金銭を要求するというタイプのマルウェアで、この身代金型マルウェアのことをランサムウェアと呼んでいます。

続きを読む

情報セキュリティの脅威はすぐそこに

「有効なBCP」とは何か

3月末に全日空(ANA)が起こした大規模なシステム障害が様々な方面から話題になっています。

表面的な影響としてはほぼ終日に渡って国内線の旅客システムが利用できず、搭乗手続きなどが行えなくなり、700便以上7万人に影響が出たというものです。もう少しシステム寄りの話としては、四重化されているデータベースサーバの内1台が停止したのをきっかけに同期の機構が正常動作せず、残りの3台が順次停止したというものです。

続きを読む

情報セキュリティの脅威はすぐそこに

「標的型メール攻撃」が注目された一年

警察庁の発表によると、2015年に把握された標的型メール攻撃は3828件で、前年比2.2倍になっています。またサイバー攻撃による情報漏えい・搾取も27件と前年比で5.4倍となっています。

この内、宛先のメールアドレスについては、インターネット上に公開されていないものが全体の89%を占めており、攻撃者が攻撃対象の組織や職員について調査し、周到な準備を行った上で攻撃を実行している様子がうかがえると分析しています。

続きを読む