一覧 ⇒  1月 2月 3月 4月
 

   2021/2/28
チェット危ない!?「OSINT」(Open Source Intelligence)をご存じですか?
サーバー攻撃でも用いられている一般に公開されている利用可能な情報源から様々な機密情報を取得する方法です・・
近年、公開されている情報から機密情報を収集する[OSINT(オシント)」が注目されています
既に使っておられる諸兄もおられると思いますが企業の中で機密情報を取り扱って(管理して)いる方々に、無意識で機密情報が公開され第三者から検索対象になっている実態を体感していただき自社での対策に役立てていただこうと事例紹介を行います

くれぐれも悪用はしないでくださいネ
一般に公開され利用可能な情報から機密情報を収集する方法を「OSINT]と言いますがこれらは公開されている情報から合法的に調べて分析することによりバラバラに見える情報から意味を持った情報が得られないか調査する行為を言っています
ネットでは「OSINT」をキーワードで検索すると様々な専門ツールが紹介されています
そのような専門的なツールを使わなくとも 【
filetype:pdf 社外秘】 などを検索エンジンに入力し検索すると様々な企業の「社外秘」と記載されたPDFファイルが見えてきます
なんと多くの「社外秘」とされたPDF文書の数々が無防備に公開(というよりアクセスできる状態であることに)されていることに驚きです
ライバル会社が見たらさぞ喜ぶ情報も多いのではないでしょうか?

自社の情報も知らないうちに公開されていないか念のためキーワードを様々に入れ替えてチェックされてみては如何でしょうか?
「OSINT」サーチ、恐るべしです

再度の注意です!
くれぐれも悪用はしないでください 一切の責任は負えませんのでご注意ください

   2021/2/22
S医科大学で管理している医療情報が数年間に渡って医療従事者間で許可されていない個人ネットで共有利用され漏えいしていた事故が明らかになりました
関東の名門S医科大学救急救命センターで管理している患者情報が院内の規則では許可されていない看護師グループが数年前にプライべートで開設したグループメーリングサービスで利用され、さらに設定ミスも重なって広くネット上で漏えいしていたことを外部からの通報により判明しました
詳細は 「Googleグループ」を通じた情報漏洩についてのご報告とお詫び │ 聖マリアンナ医科大学病院 (marianna-u.ac.jp) 
を確認していただくとして
・・・
個人情報保護委員会ではメールの設定について問題点の指摘がされ注意喚起をされていますがこの事件においてはメールの設定がポイントではなく、組織として禁止されている管理不十分な個人の開設したネットワークで大切な医療情報が利用され事故発生している点にあると思われます
職員の組織(病院)で取り扱う情報管理について取扱いに関する禁止ルールが徹底されずまた定期的な組織としての確認(運用状況監査)も行われていないと思われるセキュリティ運用上で危険な状況が誰も気づかず継続し起こるべくして起きた組織の管理責任を問われる事故ではないでしょうか
漏えいした患者情報は数件程度とはいえ患者個人にとっては大変な要配慮個人情報であり、近年地域医療機関で情報の共有化を図ることによって医療サービスの向上を推進しようとする動きに水を差す結果にならなければ良いと思われる事例です
全国的に見ても医療関係で個人情報保護への取組として見える化(Pマーク、ISMS)を行っている組織は少数であり、ようやくQMSやEMSが定着し始めたところでしょうか・・・
医療を含む社会システムの安全な構築と運用を図ることを目的として政府も「サイバーセキュリティ戦略」を立ち上げてきました
今回の事例は医療機関に限った話ではなく大切な企業情報の取扱いについて今一度組織内で点検も含めてルール徹底の教育と日常的な運用確認の必要性を再認識した事例と思われます

守るべき情報が適切に管理されている」ことを第三者に胸を張って説明できることが企業には求められています

これができなければ企業は大きなリスク(訴訟リスク)を抱えて運用していることになり場合によっては株主訴訟などの矢面に経営者が立たされ大きな経営責任を負わされることを理解しなければなりません

過去から長年に渡る医療システムの開発をお手伝いした経験から、医療システムは外部システムと(ネットワークと)殆んどが物理的に隔絶され運用することを常識として構築/運用されています
よって利用している医療機関からすれば外部からの不正アクセスなど起こりようがないと安心しきっているのではないでしょうか
今回のように運用には「
」が関係することが必須でありセキュリティホールは例外なく「」で発生しています
使えないように制限を加えるセキュリティ対策は従来から組み込まれていますが今は医療従事者の負荷軽減も考慮し使えるセキュリティ対策を提案し社会貢献するのも我々セキュリティソリューションを提案する企業の責務では無いかと考えさせられる事例でもあるように思います
同じように情報共有化で悩んでおられる企業の方々についてお困りのことが有りましたら何なりとご相談ください
きっと良いいヒントをご提供できるものと思います


   2021/2/21
個人情報保護委員会より改正個人情報保護法に関するガイドライン見直しの一部が公開されました
2月19日に個人情報保護委員会から改正個人情報保護法に関する見直しガイドラインの一部として
●「不適正利用の禁止」
●「利用停止等」
について見直し案が提示されました
主な内容は
「利用」については
今までは取得時には適正に行うことが求められ実施されてきたが、取得後においては利用目的の範囲で利用する限り適切性を欠いたとしても直ちに違反とはならなかった
改正法では個人の権利利益保護という目的がより重要視され不適切な利用が行われた場合は違法となる可能性について事例を提示して判りやすくガイドを見直す
というものです
事例としては過去に有った事例が紹介されています

(記載された紹介事例抜粋)
=官報などで公開された「破産者情報」のデータベース化されたものをインターネットに公開した事例が上げられ不適切な利用としています=

「利用停止等」については
改正前は利用停止等の要件は不正取得などが有った場合等、一部の法令違反に限定されていました
この点について改正法では本人の関与を強化する観点から個人の権利や正当な利益が害される「おそれ」が有る場合等に拡充されこれらについても具体的事例が説明されています

詳細は以下個人情報保護委員会ホームページをご確認ください

第166回 個人情報保護委員会 |個人情報保護委員会 (ppc.go.jp)

今後、正式なガイドラインの公表に合わせて順次JISQ15001規格の見直しも行われると思いますので既にPマーク取得企業においては本年から来年にかけて順次対応が求められると思われます
具体的詳細内容が確定しましたら順次お知らせする予定ですのでご期待ください
また時期がきましたらPマーク改正保護法対応(無償)セミナーを開催予定です
合わせてご期待ください
(別途本ホームページ(お知らせ)でご案内させていただきます)


   2021/2/19
緊急情報!
エモテットに国内PC2万6千件が感染しているかもとのことで警察庁から注意喚起がなされました
警察庁は海外の捜査当局よりエモテットに日本国内のPC2万6千件の感染が確認されたPCの存在を通知されたとして総務省などを通じてプロバイダーにエモテット感染に関する情報を提供しこれを基にプロバイダ各社が22日以降、パソコンの特定を行いメールなどで注意喚起する予定とのことです
エモテットはご存じのようにメール添付ファイルから感染し情報漏えいなどの被害が発生する悪質なソフトです
送られたメールはメールアカウントやメール本文などを読み取り、悪用して新たにメールを作り出すという手口で一見して注意して対処しないと感染してしまう功名に仕組まれたソフトです
注意喚起を受けた利用者は総務省が設置している「NOTICEサポートセンター」かWEBサイトや専用の電話先に連絡し、対処方法などの指導を受けることが勧められています
詳細な連絡先や対処方法は以下URLにてご確認ください

(yahoo掲載 朝日新聞記事)

https://news.yahoo.co.jp/articles/4558a2f944f6fa9d3edf06cce1547d7304a68cbe

NOTICEホームページ)
Emotetへの対応 | NOTICE|サイバー攻撃に悪用されるおそれのあるIoT機器の調査、注意喚起を行うプロジェクト

(JPCERTのホームページ)
マルウエアEmotetへの対応FAQ - JPCERT/CC Eyes | JPCERTコーディネーションセンター公式ブログ

中で「emocheku」というツールを使って感染しているかどうか確認する手順が掲載されています

何事も無ければ(感染していなければ)上のように感染していないメッセージが表記されます
心配な方は是非試されることをお勧めします
でもチョット待って下さいね
送られてきた注意喚起メールがエモテットメールかも・・・
ブラックジョークのような話かもしれないとメールにそのまま返信するのではなく必ず、裏をとって(別ルートで確認する)対応する慎重さを持ってください
くれぐれもオレオレ詐欺のように引っかからないでくださいね

   2021/02/17
未だWIN7を使っていませんか?
米国で予想されていた事件が発生しました
米国フロリダ州にある浄水システムに何者かが制御システムに不正侵入し飲料水に含まれる水酸化ナトリウムの量を100倍以上に増やす設定変更が行われた事件が発生しました
結果的に管理者がすぐに気づいて事なきを得たものの、万一気づかなかったならば人命に関わる大事故につながったものと考えられます
事故発生の原因は様々な不適切な管理が行われていたことが重なって発生していたようですがその中に既にサポートが完了しているWIN7を使い続けていたことや管理パスワードが使いまわされていたことなど様々なセキュリティホールを突いて侵入してきたものと思われます
制御システムなど専用機システムの関係でシステム移行が困難なケースもありますがマイクロソフトではWIN7の有償ではあるものの延命サポートも一部取り扱っています
どうしてもWIN7をい使い続けなければならない事情があるなら使い続けるリスクを検討し発生する事故の影響などを熟慮し、組織として使い続けると判断した根拠を明確にしておくことが必要です
もし事故発生した場合に「想定していませんでした」などとの回答であれば管理責任が問われることにもなりかねません

いずれにしても脆弱性のあるシステムを社会システム(水道や電力、教育、医療、放送・・)で使い続ける危険性を理解し大きな事故発生前に適切な対処(サービス停止、システム更新・・・)を行うことが必要と改めて考えさせられる事例でした
わが国ではこの様な事件を未然に食い止めるため「社会基盤事業者の責務」として「サイバーセキュリティ基本法が定められサイバー犯罪からの保護を図る仕組みが構築/推進されています

   2021/2/15
米国でZOOMを使ったリモート会議に参加した弁護士の姿がなんとネコに・・・
リモートワークで思わず笑える出来事が・・・
他人事ではありません!
ZOOMを使ったリモート会議(裁判)で参加した弁護士の姿がネコの写真に置き換わり思わず笑ってしまうような事故が発生しました

原因は参加した弁護士が秘書のPCを使ってZOOMに参加したのですが秘書の子供が参加者写真フィルターでネコ写真に置き換えていたらしいとのこと・・・
操作に慣れていないため切り替え方法が判らずこのまま裁判をすすめてしまったとか・・・
この弁護士は一躍世界的に有名なネコちゃん弁護士になってしまいました
詳細は以下でご覧いただけます
弁護士がネコの姿に? Zoom裁判「このまま進めて」(2021年2月10日) - YouTube
テレワークでのリスクとして利用するPCのセキュリティ(家族が勝手に使ってしまう等)対策が十分でないととんでもない事故に繋がる可能性がある実例と言えます

世界的に思いもよらぬ有名人にならないようにテレワーク環境には充分に気を付けるべきという大変楽しい(失礼)事故でありました

   2021/2/12
Teamsのトラブル発生で情報セキュリテ上で対応すべきリスク管理は適切に考えられていますか?
2月12日にMSからTeamsのトラブルでサービスを一時停止中とのアナウンスが出されました
順次復旧中とのことですが近頃はリモートワークで情報の共有化ツールとしてTeamsを基幹システムと連携して利用している企業が増えているものと思われます
MicroSoft365等での連携やZOOMのセキュリテイ問題対応として代替手段としてのリモート会議ツールとして今や無くてはならないツールではないでしょうか?
と言うことはサービス停止になるとその瞬間から業務遂行が停止ということになってしまいますネ
ISMS的な対応から考えるとBCP(事業継続)対策/計画を事前に準備し(マニュアル化)し万一の場合に迅速に切り替え(あるいは積極的な業務停止)を行い事業への影響を最小限に抑える取組が必要と考えます
クラウドサービスを中核としてシステムを組んでしまうと今回のようにサービスが停止した場合に業務運用が立ちいかない事態となることは自明です
といっても以前のように全てをオンプレミスシステムでの運用はリモートワーク運用の出来る範囲が限られてしまい現実的ではありません
事故(トラブル)は発生するものと考え発生時に如何にして対応策を皆と共有しシステム全体の停止を防ぎ可能な限りの縮退運転などの可能性を(対策)を検討し、損害を出来るだけ少なくすることを準備しておくべきと考えます

(検討項目例)

トラブル発生時にはパニックにならないようトラブル対応管理者(代理権者も)を事前に明確化しておきその管理者からの適切な指示に従い行動することが求められます
それを確実にするためには通信方法(予備回線)の確保も重要な要素です
緊急連絡におけるアナログ的な対応(携帯電話番号管理)も選択肢の一つかもしれません
突発的なトラブル発生時には頭が真っ白になる可能性がありますので「トラブル対応マニュアル」を平時から準備し定期的に訓練し内容の充実を図っておくことも大切です
当社ではISMSコンサルのメニューとして情報セキュリティの観点からBCP構築支援も行っています
ご希望がありましたらご遠慮なく問合せ下さい

 サービス・その他なんでも情報セキュリティに関するご相談/お問い合わせください

   2021/2/08
新型コロナ接触確認アプリ:COCOAでトラブルが発生しましたがこの対応で考えさせられることが・・・
昨年9月28日に該当アプリのバージョンアップを行ったところ登録された感染者情報の通知が本年2月まで約6ヶ月に渡って機能せず、ようやく、この度修正対応を行うことになったという事故事例ですが社会システムの開発及びトラブル対応について考えさせられる事例と思われます

(厚生労働省ホームページから:Android版接触確認アプリの障害について|厚生労働省 (mhlw.go.jp)
発表された経緯によると昨年9月末頃にシステムバージョンアップを行い、その際に模擬環境で動作確認を行い正常動作と確認し運用開始としたところ正常に動作していないようだとマスコミ他から通知され実環境で動作確認したところ不具合が発見されたもの
不具合発生(2020/9)から不具合確認(2021/2)までトラブルに関する連絡は有ったようであるがそのまま長期間放置され社会システムの提供/運用に関して大きな問題を提起した事例であると思われます
考えられる問題点は

など様々な状況が複合的に重なって発生した事故と思われますが「船頭多くして船、山を登る」の例えを地で行く、巨大システムの開発で当然考えておかなければならなかった点が漏れていた基本動作欠如による当然の結果だと思います

サービス停止事故であったため幸いにも感染者情報漏えい等にはなりませんでしたが小さな事故の積み重ねが大きな事故の誘因になるという統計的事例も過去から言われています
今後とも大きな事故に繋がらないよう、改善を願うとともにシステム開発を行う者としては開発における責任と権限、システムテストの事前準備を念入りに検討しサービスインした後も利用者の声をタイムリーに反映できる仕組みの構築と運用に心がけることが大切と再認識させられた事例でした


   2021/2/5
クラウドサービス(GitHub)で開発ソフトのソースコードが公開されるという事故が発生しました。
ソフトウェアのソースコードをホスティングするクラウドサービス「GitHub」において、大手金融機関業務システムのソースコードの一部が公開されていた事故が発生しました
システム開発を行う場合、近年では外部委託先と共同で開発を行い作業効率化を図るため開発素材(ソースコード等)を外部クラウドで共有し開発を行う形態が取られています
その中でシステムの設定ミスや委託先作業者の認識不足により外部へ開発ソース資産が公開されてしまったケースです
システム開発を外部委託先に依頼して行う場合に従来にも増して注意すべきポイントが見えてきましたのであらためて確認されることをお勧めします

本件に関して「コンピュータソフトウェア協会」からソースコード漏えい事案における参考意見が公開されています
https://www.csaj.jp/documents/NEWS/pr/210202_Github.pdf
(コンピュータソフトウェア協会ヘリンク)
①今回、何が起きたのか
②利用しているサービスはどのようなものか
③利用者/組織が取組べき事項は何か
④今後の考えられる対策
などが述べられています
今回の事例はソフト開発における形態(委託開発)を考える上で一石を投じる結果になったケースではと思われ委託先、再委託先・・・と直接的な委託元との距離が離れるほどその管理の難しさが見られ、如何にして問題意識を共通化し事故発生を抑えるかが情報セキュリティ確保における答えになるものと思われます

  2021/2/1
IPAから重大脅威2021が決定され公表されました
IPAから重大脅威2021が決定され公表されました
内容的には2020年と大きな差異はありませんがテレワークに関する脅威にポイントがあたっています
やはり近年話題性が高いランサムウェア攻撃や標的型攻撃が上位に上がってきました
今回、8位、10位にノミネートされた不正アクセス関連が脅威として注意を引いています
IPAからの詳細説明は2月下旬に行われるということですが引用元の記載に関する注意を守れば自由に引用可能ということですので2021年度の教育教材素材として一斉に各社活用されるのでは無いでしょうか・・・

 順位 組織に関する脅威  昨年順位 
 1  ランサムウェアによる被害  5
 2  標的型攻撃による機密情報の窃取  1
 3  テレワーク等のニューノーマルな働き方 を狙った攻撃  NEW
 4  サプライチェーンの弱点を悪用した攻撃  4
 5  ビジネスメール詐欺による金銭被害  3
 6  内部不正による情報漏えい  2
 7  予期せぬ IT 基盤の障害に伴う業務停止  6
 8  インターネット上のサービスへの不正ロ グイン  16
 9  不注意による情報漏えい等の被害  7
 10  脆弱性対策情報の公開に伴う悪用増加  14
IPA)重大脅威2021から組織に関する脅威抜粋
詳細はhttps://www.ipa.go.jp/files/000088289.pd をご確認ください
 
PマークやISMS認証取得でお困り事がありましたら何なりとご相談ください

📞:050-3694-4104  :pmark-info@isec-lab.com

 TOP  会社概要  サービス  問合せ  企業理念  お知らせ  個人情報保護方針  情報セキュリティ基本方針