2019年5月のIT総括

2019年5月に話題となったIT関連のトピックスにつき、概要と参考URLを記していきます。

日本を狙う標的型攻撃の実態に関するレポート(2018年度下期)が公開される

5月8日、マクニカネットワークス社は、国内の組織に対する標的型攻撃を解析したレポート「標的型攻撃の実態と対策アプローチ 第2版」を公開しました。

国内の組織を標的にした標的型攻撃は継続して観測されており、2018年10月から2019年3月に観測された標的型攻撃の中には、「Tickグループ」「DragonOKグループ」など中国に拠点を置くとみられる攻撃グループや、ベトナムに拠点を置くとみられる「OceanLotusグループ」による自動車関連企業への攻撃が観測されました。

レポートでは、2018年度に観測された攻撃を大きく3つの目的に分類し、それぞれの目的について、攻撃の背景が詳細に解説されているほか、攻撃グループごとのTTPs(戦術、技術、手順)や、そこから考察する脅威の検出と緩和策などが紹介されています。

日本を狙う標的型攻撃の実態に関するレポート(2018年度下期)が公開される(セキュリティニュース)

日本サイバー犯罪対策センターが運送系企業を装ったスミッシングに注意喚起

5月8日、日本サイバー犯罪対策センター(JC3)は、運送系企業を装ったフィッシングについて注意喚起を公開しました。

スマートフォンのSMS(ショートメッセージサービス)を利用し、フィッシングサイトに誘導する「スミッシング(smishing)」と呼ばれる手口で、今回、新たに、日本郵便をかたるSMSと、同社を装った偽サイトが確認されました。JC3では、他の運送系企業をかたる手口に拡大していく可能性もあるため、利用者に注意を呼びかけています。

日本サイバー犯罪対策センターが運送系企業を装ったスミッシングに注意喚起(セキュリティニュース)

アップルが「iOS 12.3」など複数の製品のアップデートを公開

5月14日、独立行政法人 情報処理推進機構(IPA)は、複数のアップル製品におけるセキュリティアップデートについて、脆弱性関連情報を提供するJVNを通じて公開しました。

アップデートの対象となるのは、いずれも「iOS 12.3」「Safari 12.1.1」「Apple TV Software 7.3」「tvOS 12.3」「watchOS 5.2.1」「macOS X 10.14.5 (Mojave)」より前のバージョンと「macOS X 10.13 (High Sierra) Security Update 2019-003 未適用」「macOS X 10.12 (Sierra) Security Update 2019-003 未適用」です。対象となるユーザーは、アップル社が提供する情報をもとに早急に最新版にアップデートすることが推奨されます。

アップルが「iOS 12.3」など複数の製品のアップデートを公開(セキュリティニュース)

ネットサービス事業者の「認証方法」に関するアンケート調査結果を公開

5月16日、フィッシング対策協議会は、インターネットサービス提供事業者に対する 「認証方法」 に関するアンケート調査結果を公開しました。

これによると、サービス利用者の個人認証の方法として、77%の回答者が「IDとパスワードのみ」と回答する一方、21%の回答者が、2つまたはそれ以上の認証要素を組み合わせる「多要素認証」や、ユーザーの行動パターンを分析し、普段とは異なる異常行動を検知、必要に応じて追加の認証を行う「リスクベース認証」などを実施していると回答しました。

そして、事業者側のパスワード管理の方法については、暗号化など「パスワードを読めない状態で管理しているかどうか」の質問に対し、13.6%の回答者が 「いいえ」 と回答したことがわかりました。同協議会はパスワードデータのハッシュ化や暗号化などの難読化処理を行うことは標準の対策とすべきだと言及しています。

ネットサービス事業者の「認証方法」に関するアンケート調査結果を公開(セキュリティニュース)

IPAが「入退管理システムにおける情報セキュリティ対策要件チェックリスト」を公開

5月20日、独立行政法人 情報処理推進機構(IPA)は、「入退管理システムにおける情報セキュリティ対策要件チェックリスト」を公開しました。

これは、「政府機関等の情報セキュリティ対策のための統一基準」(以下、政府統一基準)の要件に従い、入退管理システムの調達者が情報セキュリティに関する要件や対策を確認するためのもので、調達仕様書に記述すべき要件が明記されています。

チェックリストは、設計構築・運用・保守・廃棄といったライフサイクルのフェーズごとに構成されており、調達者は、要件対応した仕様書の記述や、セキュリティ対策などが参照できるため、政府組織に限らず、民間組織においても活用可能な内容となっています。

IPAが「入退管理システムにおける情報セキュリティ対策要件チェックリスト」を公開(セキュリティニュース)

仮想通貨サービス「MyEtherWallet」をかたるフィッシングに注意喚起

5月22日、フィッシング対策協議会は仮想通貨サービスの「MyEtherWallet」をかたるフィッシングメールが確認されたとして注意喚起しました。

メールの件名は「MyEtherWalletアカウントのお知らせメールの受信設定をご確認ください」「MyEtherWallet[重要なお知らせ]」「ご利用の MyEtherWallet アカウント: メールアドレスの確認」などとなっており、アカウントの安全を保つためアカウントをロックしているという内容の文面となっています。

メール文面のURLをクリックし、アカウントのロックを解除するよう促しているものの、リンク先はフィッシングサイトとなっており、お財布情報(サービスにログインするためのパスワードなど)を盗み取られる可能性があります。

仮想通貨サービス「MyEtherWallet」をかたるフィッシングに注意喚起(セキュリティニュース)

関連キーワード:

Apple

ID

iOS

IPA

JC3

JVN

macOS X

MyEtherWallet

Safari

SMS

アカウント

アップデート

アップル

アンケート

インターネット

システム

スマートフォン

セキュリティアップデート

セキュリティ対策

チェックリスト

パスワード

パスワード管理

フィッシング

フィッシングサイト

フィッシングメール

フィッシング対策協議会

メール

ロック

仮想通貨

偽サイト

情報セキュリティ

情報処理推進機構

攻撃

日本サイバー犯罪対策センター

暗号化

標的型攻撃

注意喚起

脅威

脆弱性

脆弱性関連情報

認証