2016年12月のIT総括

2016年12月に話題となったIT関連のトピックスにつき、概要と参考URLを記していきます。

「スマホ監視アプリ」の被害防止のため、画面ロックの設定をIPAが呼びかけ

12月7日、独立行政法人 情報処理推進機構(IPA)は、「安心相談窓口だより」を公開し、「スマホ監視アプリを無断でインストールされる事案」について注意喚起しました。

スマホのGPS、アドレス帳、通話履歴等の情報を遠隔のパソコンから取得する「スマホ監視アプリ」を悪用し、他人のスマホに無断でインストールしプライバシーを盗み見ようとした事案が報じられました。被害者が目を離していた隙に、スマホを勝手に操作され、無断で監視アプリをインストールされてしまったことが原因と考えられるため、IPAでは、被害を未然に防ぐため、「スマホの画面ロックを設定する」「スマホを他人に操作させない」といった対策を推奨しています。

スマホの画面ロックは紛失、盗難に備える対策としても有効なため、設定しておくことが望ましいです。

「スマホ監視アプリ」の被害防止のため、画面ロックの設定をIPAが呼びかけ(セキュリティニュース)

IPAが「サイバーセキュリティ経営ガイドライン解説書」を公開

12月8日、独立行政法人 情報処理推進機構(IPA)は、「サイバーセキュリティ経営ガイドライン解説書」を公開しました。これは、2015年12月に経産省と共同で策定した「サイバーセキュリティ経営ガイドライン」の内容を補足し、実施方法を具体的に解説したものです。

0章から10章までで構成されており、0章はサイバーセキュリティ対策を検討している経営者向けに認識すべき3原則が解説されています。そして、1章から10章までは、「サイバーセキュリティ対応方針の策定」「リスクの把握、目標と対応計画策定」「系列企業・ビジネスパートナーの対策実施及び状況把握」「ITシステム管理の外部委託」など、各章ごとに10項目が解説されています。

解説書は、IPAのサイトからPDF形式でダウンロードすることが可能です。

IPAが「サイバーセキュリティ経営ガイドライン解説書」を公開(セキュリティニュース)

アップルがiOSの最新版「10.2」を公開

12月12日(米国時間)、アップル社は、iOSの最新版「iOS 10.2」を公開しました。これは、iPhone 5以降、iPad第4世代以降、iPod touch第6世代以降を対象としたアップデートです。

「iOS 10.2」では、端末のロックにかかわる複数の脆弱性を含む計12件の脆弱性が修正されました。また、マナーモードに設定することでスクリーンショット撮影時のシャッター音を無音にできるようになったほか、通常撮影時のシャッター音の音量も小さくなるなどの機能改善が行われています。対象となるユーザーは早急な適用が推奨されます。

アップルがiOSの最新版「10.2」を公開(セキュリティニュース)

JPCERT/CCが長期休暇の情報セキュリティ対策について注意喚起

12月15日、一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)は、年末年始の長期休暇におけるセキュリティ対策について注意喚起しました。組織等の長期休暇期間におけるセキュリティインシデント発生の予防や、緊急時の対応の要点をまとめたもので、特に、サイト管理者に対し「Webサイト改ざんや不正アクセスへの注意」を、社員、職員向けには「不審なメールへの注意」を呼びかけました。

また、システム管理者向けの休暇期間前後の対応として、休暇期間中のインシデント対応体制や、関係者への連絡方法などを事前に整理しておくことや、休暇明けにサーバーのログから不審なアクセスなどの痕跡を確認することを呼びかけました。

JPCERT/CCが長期休暇の情報セキュリティ対策について注意喚起(セキュリティニュース)

ランサムウェアの被害にあった米国企業の70%が身代金を支払ったとの調査結果をIBMが発表

12月16日、日本IBMは、IBMのセキュリティ研究機関「IBM X-Force」が米国で実施したランサムウェアに関する調査結果を発表しました。

この調査によると、調査対象のビジネス・エグゼクティブのほぼ半数がランサムウェアの攻撃を経験したことがあり、被害にあった企業の70%がデータやシステムにアクセスするために身代金を支払ったことが明らかになりました。支払った企業の半数が1万ドル以上を支払い、4万ドル以上を支払った企業が20%にのぼるということです。

IBMは、企業や個人がランサムウェア感染の被害を防ぐため、「メールの取扱いには慎重を期す」「データをバックアップする」「メールやOfficeソフト等のマクロ機能は無効にしておく」「OSやアプリケーションなどのパッチを適用する」といった対策を推奨しています。

個人消費者よりも企業の方がランサムウェアの身代金を支払う傾向(日本IBM)
ランサムウェアに身代金を払う企業は7割――IBMが米国実態を調査(ITmedia)

IPA意識調査、SNS利用時のマナー低下やパスワード管理の意識低下などが顕著に

12月20日、独立行政法人 情報処理推進機構(IPA)は、「2016年度情報セキュリティに対する意識調査」報告書を公開しました。これは、13歳以上のパソコン利用者(5,000人)、スマートデバイス利用者(5,000人)を対象に、Webアンケートで実施されたものです。

調査結果の主なポイントは以下の通りでした。

(1)スマートデバイスで悪意ある投稿経験があるユーザーは、投稿経験者の24.2%を占め、悪意ある投稿者の約8割は「普段利用のSNSアカウント」から投稿していることがわかりました。

(2)パソコンで、「SNSに性的な写真や動画を撮影・投稿すること」を問題だと思う割合は2015年の56.8%から、45.1%と11.7%減少。スマートデバイス利用者でも、問題視する割合は47.1%といずれも半数を下回っています。

(3)パソコン利用者のうち、「パスワード文字列を誕生日など推測されやすいものを避けて設定している」割合は47.0%と、2013年(57.4%)から約10%減少しています。推測されやすいパスワードを避けて設定する事への意識が低い傾向は、10代、20代の若い世代で特に顕著です。

「2016年度情報セキュリティに対する意識調査」報告書について(IPA)
他人に知られたら困ることは絶対に書き込まないのが基本! SNSを通じた情報漏えい対策のポイントについて聞いてみた(辻 伸弘のセキュリティ防衛隊)
情報が漏えいしたときの被害は深刻!? IDとパスワードの管理は厳重に行おう(今すぐ見直したいセキュリティ対策)

IPAが「他人に推測されやすいパスワード」の危険性について注意喚起

12月21日、独立行政法人 情報処理推進機構(IPA)は、「安心相談窓口だより」を公開し、パスワード文字列に「SNSで公開している誕生日などの情報を使うこと」の危険性について注意喚起しました。

女性芸能人のクラウドサービスのアカウントなどに不正アクセスされた事案が報じられましたが、被害者のパスワードは、誕生日やニックネームなど、ブログやSNSに公開されている情報から推測された可能性が高いことが分かりました。

パスワードが漏えいすることによる被害を防ぐためにも、パスワードの文字列は、推測されにくい文字列にし、大文字と小文字、数字や記号を混ぜ、可能であれば12文字以上のできるだけ長い文字列に設定することが推奨されます。IPAは、「パスワードには『公開情報』を設定しない」「2要素認証などの追加のセキュリティ対策を利用する」といった対策のポイントを挙げています。

SNSで公開している誕生日などの情報を使ったパスワード設定は推測されやすくNG(安心相談窓口だより)
芸能人メールのぞき見事件が教える「SNS公開情報のパスワード設定はNG」(IPA)(セキュリティ通信:So-netブログ)
情報が漏えいしたときの被害は深刻!? IDとパスワードの管理は厳重に行おう(今すぐ見直したいセキュリティ対策)
もう覚えるのやめませんか? 安心なパスワード管理の方法について聞いてみた(辻 伸弘のセキュリティ防衛隊)

関連キーワード:

apple

IBM

iOS

IPA

JPCERT

JPCERT/CC

SNS

X-Force

なりすまし

アップル

アプリ

ガイドライン

スマホ

スマートフォン

セキュリティ

パスワード

ランサムウェア

情報処理推進機構

身代金

  • IPA意識調査、SNS利用時のマナー低下やパスワード管理の意識低下などが顕著に
  • カテゴリートップへ
  • クリックジャッキングとは