情報セキュリティコンサルティング 情報セキュリティコンサルティング
ISMS
gbvy[W
RTeBO
\[VpbN for ISMS
\[VpbN for o}[N
ZLeBKoiX
ISO10002
PMS^JIS Q 15001
vCoV[}[N\x
SECURITY ACTION
x
KC_XEex
RTeBO
qijvTZLeB
Z~i[
ZLeBZ~i[
e[}Z~i[
ZLeBuK
ZLeBc[
ISMSEPMS[jO
ISMSEPMS 
[jO
ZLeBT[rX
ZLeBj 
[X
ZLeBpW
ATCgN
ミ
ミTv
lj
CDNS [jOu`ミ 
I
CDNS.BLOGFbcmrX^btuO
RT^gBlogFZLeBRT^g 
_gDqg
CDNSiCDNS_jpjon Twitter
Navi Site OCR``ISMSEo}[N\z^c 
ASP
SECURITY ACTION
ZLeBRTeBOCDNS
ISMS
ISMS
セキュリティサービス/セキュリティニュース


個人情報漏えいやインターネット犯罪、ウイルス情報等のニュースを掲載しています。テーマは“事故から学ぶ情報セキュリティ”。みなさんの組織の体制や、事件・事故が起こる可能性等を考慮しながらご覧ください。
過去のニュースを見る:  年度

1か月分すべての内容を表示する 2018年01月
日付 タイトル・内容
17日
内容を非表示にする
JIPDEC・政府機関 〜始めましょう SECURITY ACTION!〜セミナー/IPA(情報処理推進機構)
【状況と目的】
標的型攻撃やサイバー攻撃が政府機関や大企業だけでなく、中小企業にも向けられており、直接の被害だけでなく、セキュリティ対策の弱い企業は取引先を標的とした攻撃の踏み台ともなっている
しかし、IPAが実施した中小企業における情報セキュリティ対策の実態調査の結果、規模の小さい企業ほど情報セキュリティ対策への取り組みが不足している状況が確認されており、社会に深刻な影響を及ぼす可能性のあるセキュリティ脅威について、中小企業に対しても意識を高め、セキュリティ対策を実施していくためのセミナーを開催

日程:2018年2月9日〜3月14日
会場:全国7ヵ所(北海道、宮城県、長野県、大阪府、広島県、香川県、福岡県)
対象:
・SECURITY ACTIONに興味がある・宣言予定の企業・団体
・SECURITY ACTIONを宣言済みで、ステップアップしたい企業・団体
参加特典:
5か条ポスター、パスワード啓発マンガポスター、学習マンガ書籍サイバーセキュリティのひみつ、を提供
15日
内容を非表示にする
ネット犯罪 不正アクセスによる会員情報流出/幻冬舎plus
【経緯】
2017年12月27日幻冬舎plusサイト会員から、会員登録したメールアドレス宛にフィッシングメールが届いたとの報告を受け、サーバーログ等の調査をした結果、外部からの不正アクセスにより、会員情報の一部が流出したことが判明

【詳細】
・流出した可能性のある会員情報
2013年11月12日から2017年8月18日までに会員登録した最大93,014名の会員の情報
・メールアドレス
・ユーザーID
・お名前(読み仮名含む)

なお、パスワードや生年月日などの情報、決済時のクレジットカード情報、プレゼント応募の住所や電話番号などの情報は流出していない
また幻冬舎が運営する他のウェブサイト、サービス、アンケート、キャンペーンなどは別のシステムで運営しているため被害はない

【原因特定の経緯】
システム開発およびサーバー管理を委託している外部協力会社が2017年3月30日に実施したシステムのバージョンアップの際に、脆弱性が発生
2017年8月18日にサイトのパフォーマンス低下を検知し調査した際にこの脆弱性を発見し、即時対策したが不正アクセスの調査が実施されず、認識できてなかった
改めてサーバーのログを解析したところ、サーバーのログを保存していた2017年7月16日以降でメールアドレスに対する不正アクセスの痕跡が認めらた

【再発防止策】
・2017年8月18日に脆弱性は修正されているが、改めて第三者のセキュリティ調査会社の協力で、セキュリティの強化と安全性の確保に努める
・警察署への被害届の提出と、関係機関への報告をする予定

【対応】
個別にメールにて連絡
12日
内容を非表示にする
ネット犯罪 仮想通貨取引所ZaifのAPIキーに不正アクセス/テックビューロ
【状況】
・1月6日夕方から7日未明にかけて、テックビューロが運営する仮想通貨取引所のZaifで、不正取引や不正出金が発生
・利用者向けに発行している「APIキー」を悪用した不正アクセス
・利用者からサポート窓口へ身に覚えのない出金や取り引きが行われたとの連絡があり、問題が発覚

【詳細】
海外のホスティング会社と見られる4件のIPアドレスが発信元
・2014年8月から2016年6月にかけて作成された102件のAPIキーが攻撃対象
・10件のアカウントにおいて37件の不正出金が実行された
・15件のアカウントで137件の不正注文が行われた

【対応】
・不正利用されたAPIキーの出金権限を削除
・悪用されたAPIキーの漏洩経路について調査も特定には至っていない
・2016年6月までに作成された「APIキー」は約1000件の利用者に対してメールで報告し、取引や出金に関する権限を削除
・APIキーを利用する場合は、利用者ごとにIPアドレスのホワイトリストが設定できるよう対応を進める
・新しいアドレスへの出金を一時停止し、本人確認を強化
12日
内容を非表示にする
情報取扱い 原子力損害賠償に関する書類の紛失/東京電力ホールディングス
【経緯】
2017年12月13日、福島原子力補償相談室コールセンターに、請求者の代理人弁護士から、原子力損害賠償の請求に関する対応状況の照会があった際、当該状況を確認したところ、同月27日、請求書類の一部の所在が不明であることが判明
推進ユニットは、直ちに書類の捜索を開始したが、発見に至らず、2018年1月5日に、最寄りの警察署に書類の紛失の届出を行った

【紛失した書類・情報】
紛失書類は、賠償の請求内容を確認する過程で、追加で請求者から送付された書類(「戸籍謄本」3通、「全部事項証明」1通、「役場火災による除籍謄抄本再製不能証明書」1通)
既に逝去した人を含め、23名の戸籍情報(氏名、本籍、生年月日等)等が記載
当該書類については、外部への持ち出し記録がないことから、建物内で紛失したものと考えられる

【対応状況】
請求者に、当該書類の紛失についてお詫び・経過説明

【原因および再発防止対策】
原因は、書類の受領後、受け渡しを社内で行った際に、所定の管理表への記録が漏れたことで、書類の所在確認ができなくなったため

(再発防止対策)
・書類の受領日や、当該者に受け渡した者の名前等を管理表へ記録すること等を徹底
・記録を必ず管理者が確認することを規範化し、周知・徹底
05日
内容を非表示にする
ぜい弱性情報 CPUの重要な欠陥を発見/Google−Project Zero
【状況】
米インテル(Intel)などのCPUに脆弱(ぜいじゃく)性が見つかり、ハッカーにつけ込まれて機密情報が盗まれるのではないかという不安が広がっている

【原因】
グーグルによると、調査チームが昨年インテルやAMD、ARMのチップを搭載した機器や、それらを動作させる基本ソフト(OS)に「重大なセキュリティー上の欠陥」を発見

欠陥は、“投機的実行”と呼ばれているプロセス(CPUが次にやるべき命令を論理的に推測して実行し、処理速度を上げる)の機能に隙があり、それを利用して、暗号の鍵やパスワードなどメモリ上の重要な情報にアクセス可能になる

1)ノートPCなどが搭載するIntel(インテル)製CPUに影響する「Meltdown(メルトダウン)」
2)iPhoneやAndroidスマートフォンなどが搭載するARM規格のCPUに影響する「Spectre(スペクター)」

【対応】
基本システム(OS)を更新する
Linuxの一部はすでに「KAISER」あるいは「KPTI」と呼ぶ防御機能を備えている
Android、iOS、WindowsといったほかのOSも対策が進みつつある
04日
内容を非表示にする
その他 ネットゲーム依存、疾病指定へ/世界保健機関(WHO)
【状況】
ゲームを含むネット依存はこれまで統一した定義がなく、国際的な統計もなかったが、世界保健機関(WHO)は、インターネットゲームなどのやり過ぎで日常生活に支障をきたす症状について、病気の世界的な統一基準である国際疾病分類(ICD)に盛り込む方針を示した

WHO関係者によると、2018年5月の総会を経て、6月に公表される最新版のICD―11で、「Gaming disorder」(ゲーム症・障害)を盛り込む

診断に必要な症状の継続期間は「最低12カ月」だが、幼少期は進行が早いとして、全ての症状にあてはまり、重症であれば、より短い期間でも依存症とみなす方針

【詳細】
ゲーム症・障害を「持続または反復するゲーム行動」で、ゲームをする衝動が止められない以下のような症状としている
▽ゲームを最優先する
▽問題が起きてもゲームを続ける
▽個人や家族、社会、学習、仕事などに重大な問題が生じる

この新しい定義は各国での診断や統計調査に役立てられ、厚生労働省もICD―11を統計調査に使う方針


セキュリティニュースは、ソリューションパックおよびサポートパックでもご提供しています。
ウイルス情報についての記事は、影響力等が中程度以上のものを掲載しています。詳細は各サイトにてご確認ください。

Page Top

ISMS
ISMS

Copyright (C) 2002-2017 CDNS Corporation. All Rights Reserved.

情報セキュリティコンサルティング 情報セキュリティコンサルティング