2019年4月のIT総括

2019年5月 8日月イチIT総括

2019年4月に話題となったIT関連のトピックスにつき、概要と参考URLを記していきます。

IPAがゴールデンウィークにおける情報セキュリティ対策に注意喚起

4月2日、独立行政法人 情報処理推進機構(IPA)は、「ゴールデンウィークにおける情報セキュリティに関する注意喚起」を公開しました。改元に伴う大型連休が予定されていることから、例年より早く、システム管理者と組織の利用者向けに休暇前後に取るべき対策を示しました。

<システム管理者向け>
●休暇前
(1)緊急連絡体制の確認
(2)使用しない機器の電源をOFFにする

●休暇後
(1)OSや各種ソフトウエアの修正プログラムを適用する
(2)セキュリティソフトの定義ファイルを更新する
(3)サーバ等における各種ログを確認する

<組織の利用者向け>
●休暇前
(1)機器やデータの持ち出しルールを確認、遵守する
(2)社内ネットワークへの機器接続ルールを確認、遵守する
(3)使用しない機器の電源をOFFにする

●休暇中
(1)持ち出し機器やデータの厳重な管理を行う

●休暇後
(1)OSや各種ソフトウエアの修正プログラムを適用する
(2)セキュリティソフトの定義ファイルを更新する
(3)持ち出し機器のウイルスチェックを行う
(4)実在の企業などをかたるばらまき型メールに注意する

IPAがゴールデンウィークにおける情報セキュリティ対策に注意喚起(セキュリティニュース)

国内を標的としたGandCrab感染を狙う攻撃を数多く観測

4月5日、キヤノンマーケティングジャパンは2019年1月、2月のマルウェアレポートを公開しました。両月のトピックとして、1月以降に急増した悪意のあるJavaScriptファイルや、GandCrab(ガンクラブ)の感染を狙ったスパムメールなどが挙げられます。

特に、後者については、GandCrabの感染を狙ったスパムメールを数多く観測。メールにはzipファイルが添付されており、中にはJavaScript形式のダウンローダーが含まれます。ユーザーがファイルを実行すると、GandCrabやコインマイナー(他人のコンピューターを使って計算処理を行い、仮想通貨を獲得するためのツール)などを仕掛けられるおそれがあります。

国内を標的としたGandCrab感染を狙う攻撃を数多く観測(セキュリティニュース)

「情報セキュリティサービス基準」に適合したサービスが100件に到達

4月8日、特定非営利活動法人 日本セキュリティ監査協会(JASA)は、情報セキュリティサービス基準に適合するサービスが累計で100に達したと公表しました。

これは、情報セキュリティサービスが一定の品質を維持向上されていることを第三者が客観的に判断し、その結果を公開することで、利用者が調達時に参照できる仕組みのこと。このほど、2019年3月の審査を経て10サービスが追加され、累計100サービスとなりました。内訳は、情報セキュリティ監査サービス(22件)、脆弱性診断サービス(37件)、デジタルフォレンジックサービス(16件)、セキュリティ監視・運用サービス(25件)で、その中には当社サービスも含まれています。

「情報セキュリティサービス基準」に適合したサービスが100件に到達(セキュリティニュース)

JPCERT/CCが2019年第1四半期の「インシデント報告対応レポート」を公開

4月11日、JPCERT コーディネーションセンター(JPCERT/CC)は、「インシデント報告対応レポート」を公開しました。2019年1月1日から3月31日までの四半期にJPCERT/CCが受け付けたセキュリティインシデント報告件数は4,433件で、前四半期(4,242件)から5%の増加でした。

また、過去5年間の年度別報告件数を見ると、2014年度(22,255件)、2015年度(17,342件)、2016年度(15,954件)、2017年度(18,141件)、2018年度(16,398件)と推移しています。

報告を受けたインシデントをカテゴリー別に分類したところ、システムの弱点を探索する「スキャン」が43.5%を占め、「フィッシングサイト」が35.3%、「Webサイト改ざん」が4.6%、「マルウェアサイト」が2.7%で続いています。なお、「標的型攻撃」は0.1%でした。

JPCERT/CCが2019年第1四半期の「インシデント報告対応レポート」を公開(セキュリティニュース)

経産省が「サイバー・フィジカル・セキュリティ対策フレームワーク(CPSF)」を策定

4月18日、経済産業省は、「サイバー・フィジカル・セキュリティ対策フレームワーク(CPSF)」を策定、公開しました。物理世界にあるさまざまな機器のセンサーなどから取り込まれるデータを収集、処理、活用することで、さまざまな分野で利便性を提供したり、イノベーションを生み出したりしようとする取り組みが進む一方、さまざまな「モノ」がインターネットに接続されることで、不正にアクセスされるリスクが高まる可能性があります。

そこで、従来型のサプライチェーンだけでなく、上述したようなサイバー空間と物理空間が融合した次世代型のサプライチェーンにおいて、セキュリティを確保できるよう対策の全体像を整理し、まとめたものがCPSFです。本編は「コンセプト」「ポリシー」「メソッド」の三部で構成されているほか、代表的な産業に適用した場合のユースケースや、対策要件に応じたセキュリティ対策例などが添付されています。

サイバー・フィジカル・セキュリティ対策フレームワーク(CPSF)を策定しました(経済産業省)
【セキュリティ ニュース】「サイバー・フィジカル・セキュリティ対策フレームワーク」策定 - 経産省(1ページ目 / 全1ページ)(Security NEXT)

NISCが「小さな中小企業とNPO向け情報セキュリティハンドブック」を公開

4月19日、内閣サイバーセキュリティセンター(NISC)は、「小さな中小企業と NPO 向け情報セキュリティハンドブック」を公開しました。

小規模事業者やセキュリティ担当者をおくことが難しい企業やNPO(特定非営利法人)などの組織に向けてサイバーセキュリティを分かりやすく解説したもので、「プロローグ サイバー攻撃ってなに?」からはじまり「第1章 まずは情報セキュリティの基礎を固めよう」など全6章で構成されています。

ハンドブックは、NISCのサイト上で、PDF形式で公開されています。

小さな中小企業とNPO向け情報セキュリティハンドブック(みんなでしっかりサイバーセキュリティ)
・(PDF)「小さな中小企業と NPO 向け情報セキュリティハンドブック」 公開のお知らせ(NISC)

関連キーワード:

CPSF

GandCrab

IPA

JASA

JavaScript

JPCERT

JPCERT/CC

NISC

zipファイル

インシデント

ウイルスチェック

コインマイナー

ゴールデンウィーク

サイバーセキュリティ

サイバー攻撃

サイバー空間

スパムメール

セキュリティソフト

セキュリティ対策

ダウンローダー

デジタルフォレンジック

データ

フィッシングサイト

フレームワーク

マルウェア

マルウェアサイト

中小企業

仮想通貨

修正プログラム

内閣サイバーセキュリティセンター

情報セキュリティ

情報セキュリティハンドブック

情報処理推進機構

感染

改ざん

標的型攻撃

特定非営利活動法人 日本セキュリティ監査協会

経済産業省

セキュリティニュース 人気ランキング

セキュリティ用語 人気ランキング