2018年3月のIT総括

2018年3月に話題となったIT関連のトピックスにつき、概要と参考URLを記していきます。

仮想通貨取引所「bitbank」をかたるフィッシングに注意喚起

3月6日、仮想通貨取引所「bitbank」をかたるフィッシングが確認され、運営元のビットバンク社は、ブログで注意を呼びかけました。これを受け、3月7日にはフィッシング対策協議会からも注意喚起が発表されました。

メールの件名は「【bitbank.cc】アカウントの資金が凍結」というもので、アカウントを保護するため「アカウントの資金が凍結されたました。ログインして確認してください。」と、リンクをクリックするよう促す内容となっています。偽サイトは、正規のサイトのドメイン名(bitbank.cc)に1文字加えただけの紛らわしいドメインを用いており、一見すると本物と見間違ってしまう可能性があります。

フィッシング対策協議会は、フィッシングサイトでアカウント情報を絶対に入力しないよう注意を呼びかけています。

仮想通貨取引所「bitbank」をかたるフィッシングに注意喚起(セキュリティニュース)

IPAが「不正ログイン対策」の特集ページを開設

3月8日、独立行政法人 情報処理推進機構(IPA)は、不正ログイン対策について情報提供を行う「不正ログイン対策特集ページ」を開設しました。

IPAには、インターネットサービスの不正ログイン被害に関する相談が2017年10月から2018年2月末までの間に104件寄せられています。不正ログイン被害の原因にはID、パスワードが第三者に悪用されたことが挙げられることから、特集ページでは、不正ログインへの対策として「パスワードの作成・管理方法」「2段階認証の設定」について案内しています。

パスワードは、「できるだけ長く」「複雑な文字列で」作成し、同じパスワードを「使い回さない」ことが重要です。

IPAが「不正ログイン対策」の特集ページを開設(セキュリティニュース)

「サイバーセキュリティ基本法の一部を改正する法律案」が閣議決定

3月9日、内閣サイバーセキュリティセンター(NISC)は、「サイバーセキュリティ基本法の一部を改正する法律案」が閣議決定されたと発表しました。

改正の概要は大きく2点のポイントがあります。1つめは、「サイバーセキュリティ協議会の創設」。これは、官民が連携して情報共有を図り、必要な対策等を協議するための協議会をサイバーセキュリティ戦略本部長等が創設することを定めています。

2つめは、「サイバーセキュリティ戦略本部による連絡調整の推進」。これは、サイバーセキュリティ戦略本部の所掌事務として、サイバーセキュリティに関する事象が発生した場合に国内外の関係者との連絡調整に関する事務を追加するものです。

「サイバーセキュリティ基本法の一部を改正する法律案」が閣議決定(セキュリティニュース)

脆弱性が放置された6製品に関する情報をJVNが公開

3月13日、脆弱性情報を公開するJVNは、開発者と連絡がとれずに脆弱性が放置されている6製品に関する情報を公開しました。6製品は、以下のとおりです。

・プロキシサーバーを構築するための「WebProxy」
・クイズを作成するための CGI スクリプト「QQQ SYSTEMS」(4件の脆弱性情報が公開されています)
・FTP サーバーの「Tiny FTP Daemon」
・Windows用のグラフィックビューアソフト「ViX」
・Webサイトに設置する掲示板ソフト「PHP 2chBBS」
・単語とその意味を投稿するための辞典ソフト「ArsenoL」

対象ユーザーは早急に利用を中止することが推奨されます。

脆弱性が放置された6製品に関する情報をJVNが公開(セキュリティニュース)

IoT製品やサービスに関する調査報告書や対応ガイドなどをIPAが公開

3月22日、独立行政法人 情報処理推進機構(IPA)は、IoT(モノのインターネット)に関する製品、サービス開発者におけるセキュリティ対策と意識の調査報告書や、IoT製品・サービス脆弱性対応ガイドなど、IoTに関する複数の資料や報告書を公開しました。

公開されたのは以下の3点です。

(1)IoT製品・サービス開発者におけるセキュリティ対策の現状と意識に関する報告書
(2)IoT製品・サービス脆弱性対応ガイド
(3)情報システム等の脆弱性情報の取扱いに関する研究会 2017年度報告書

IPAは、これらの報告書や対応ガイドが有効利用されることで「IoTに関するソフトウエアの脆弱性対策が進むことに期待している」と述べています。

IoT製品・サービス開発者のセキュリティ対策と意識の調査結果などを公開(IPA)

不正アクセスの被疑者の年齢は14歳から19歳が最多、動機は「好奇心を満たすため」

3月22日、総務省は「不正アクセス行為の発生状況及びアクセス制御機能に関する技術の研究開発の状況」を発表しました。

平成29年に都道府県警察から警察庁に報告のあった不正アクセス行為の認知件数1,202件で、前年比で638件減少しました。また、不正アクセス禁止法違反の検挙件数は648件、検挙人員は255人と、前年と比べて検挙件数は146件増加し、検挙人員は55人増加しました。

検挙した事件について詳しく見ると、被疑者の年齢は、「14歳〜19歳」(92人)が最も多く、「20歳〜29歳」(87人)、「30歳〜39歳」(36人)と続きます。動機については、「好奇心を満たすため」(193件)、「顧客データなどの情報を不正に入手するため」(103件)、「不正に経済的利益を得るため」(93件)となっています。

総務省は、被害を未然に防ぐための措置として、ユーザーに対し「パスワードの適切な設定・管理」「フィッシングに対する注意」「不正プログラムに対する注意」を呼びかけています。

不正アクセス行為の発生状況及びアクセス制御機能に関する技術の研究開発の状況(総務省)
情報が漏えいしたときの被害は深刻!? IDとパスワードの管理は厳重に行おう(今すぐ見直したいセキュリティ対策)
あなたのパスワードが狙われている!フィッシングの被害を防ぐための4つのポイント(今すぐ見直したいセキュリティ対策)
パソコンやスマートフォンのソフトウエアを最新に保ち、脆弱性を解消する対策を継続しよう(今すぐ見直したいセキュリティ対策)
最新版のセキュリティ対策ソフトを利用し、ウイルス定義ファイルを常に最新の状態に保とう(今すぐ見直したいセキュリティ対策)

「情報セキュリティの責任範囲がわからない」が委託元、委託先とも最多

3月26日、独立行政法人 情報処理推進機構(IPA)は、「ITサプライチェーンの業務委託におけるセキュリティインシデント及びマネジメントに関する調査」報告書を公開しました。

委託先を含む「ITサプライチェーン」全体でセキュリティ対策状況やインシデント発生状況を明らかにする必要があることから、報告書を公開した次第です。調査によると、委託先に対して「実施すべき情報セキュリティ対策」を仕様書等で明示していない委託元は、とくに情報通信業以外は高い傾向を示しており、製造業では71.1%、卸売・小売業で74.2%などとなっています。

また、委託契約に情報セキュリティの課題を聞いたところ、「情報セキュリティ上の責任範囲(責任分界点)がわからない」と回答する割合が、委託元(54.5%)、委託先(44.7%)の双方で最多となりました。

「ITサプライチェーンの業務委託におけるセキュリティインシデント及びマネジメントに関する調査」報告書について(IPA)

関連キーワード:

bitbank

IoT

ITサプライチェーン

サイバーセキュリティ基本法

フィッシング

不正アクセス

不正ログイン

脆弱性

  • 「情報セキュリティの責任範囲がわからない」が委託元、委託先とも最多
  • カテゴリートップへ
  • 3月のフィッシングメール報告数は前月比で1,000件以上の増加