富士フイルムビジネスイノベーション
  • 文字サイズ変更
  • S
  • M
  • L
  • ID : 107168
  • 公開日時 : 2024/11/14 14:06
  • 更新日時 : 2025/03/27 14:08
  • 印刷
重要ALL

≪今月のTips お役立ちFAQ≫ | 2024年度【後期】

≪今月のTips お役立ちFAQ≫ | 2024年度【後期】

カテゴリー : 

回答

≪今月のTips お役立ちFAQ≫ | 2024年度【後期】


 
 
平素は、弊社の「beat サービス」をご利用いただき、誠にありがとうございます。
本記事は、ぜひbeat-box責任者にチェックいただきたい、下記3つの内容についてお知らせしています。
 
■Update
■Topic
■Tips
 
 

03月

:下記FAQを新規作成・更新しました!

 
 

Topic:パスワードから卒業?これからは「パスキー」の時代!

日々の業務やプライベートで、PCやスマートフォン、Webサービスにログインをするとき、
必ずと言っていいほど使うのが「パスワード」です。

ほぼ、すべてのプラットフォームで使用可能であり、
利便性が高いセキュリティーシステムだと言えます。

しかしながら、以下のような経験もしていませんか?

・「あれ、パスワードなんだっけ?」
・「全部同じパスワードにしちゃってるけど、大丈夫かな?」
・「リセット方法が複雑で面倒くさい!」

私たちの生活に欠かせない存在でありながら、何かと悩まされる存在でもあります。
その“面倒”と“危険”を解消してくれる新しい認証技術が、いま注目されています。

それが「パスキー」です。

# パスワードはもはや安全ではない?

「複雑で強力なパスワードであれば解読されず、安心!」と思っている方も多いかもしれません。

しかし、それは間違いであり、どんなに複雑で長いパスワードでも、
時間と労力をかければ解読されてしまう可能性があります。

パスワードは、その性質上、攻撃者の時間と労力というリソースを
解読のために消費させることで、セキュリティーを担保しているものなのです。

そのため、AI技術が進化し続けている、現状では、従来では考えられなかったスピードで
パスワードを解読されてしまったり、さらに、AIが自動でフィッシング攻撃を行うことで、
知らぬ間にパスワードが漏れてしまって、セキュリティーを担保できない可能性があります。

つまり、「パスワード=安心」ではない時代が来ているのです。

# パスワード不要のカギ、「パスキー」とは?
 
パスキーとは、従来の「パスワード」に代わる新しい認証方法で、公開鍵暗号方式という
高度なセキュリティ技術を使って、ユーザーがパスワードを入力することなく、
安全にオンラインサービスにアクセスできるようにします。

具体的に、パスキーは「公開鍵」と「秘密鍵」のペアで構成されており、次のように機能します。
 
  1. 鍵を生成
    サービスに初回登録すると以下2つの鍵が作られます。
    ---------------------------------------------
    ・公開鍵(サーバーに保存)  
    ・秘密鍵(あなたのスマホなどの端末に保存)  
    ---------------------------------------------
     
  2. ログイン時の流れ
    a.ログイン時、サービス側が「本当に本人?」とリクエストを送ってきます。
    b.あなたの端末は、初回登録時に作成された「秘密鍵」を使ってそれに署名し、返します。 
    c.サービス側は「公開鍵」を使ってそれが正しいかどうかをチェックします。
     
  3. パスワードレスで管理が不要
    「秘密鍵」と「公開鍵」の鍵同士でやりとりしてくれるので、パスワードを入力することはありません。
    パスワードレスなので、パスワードが盗まれる心配がなく、フィッシングや総当たり攻撃にも強いのです。
 
さらに、多くの場合、スマートフォンの顔認証や指紋認証と組み合わせて使うので、
安全かつスムーズなログインが可能になります。

┏┓   OPTAGE for Business
┗□…
  パスキーとは?認証方法や利用メリット、注意すべきポイントについて解説
  https://optage.co.jp/business/contents/article/20230816.html
 
つまり、「覚えなくていい・入力しなくていい・盗まれにくい」
という三拍子そろったセキュリティーなんです。

# パスキーのメリット・デメリット

セキュリティーの高いパスキーにも、メリットとデメリットが存在するため紹介します。
 
  • 【メリット】パスワードレスが便利!
    パスワードを覚える必要がありません。デバイスの指紋認証や顔認証など、
    生体認証を使ってシームレスにログインできるようになり、手間も減ります。
     
  • 【メリット】より高いセキュリティー!
    パスワードが存在しないため、盗まれる心配がありません。
    また、デバイスのパスワードを盗まれても、デバイスとサーバーに保存された
    鍵で認証を行う仕様のため、デバイスのパスワードだけ盗まれても意味がありません。
     
  • 【メリット】多要素認証の一部として利用可能!
    パスキーは、生体認証や物理的なセキュリティキーと組み合わせて、
    より強力な二段階認証の手段として使うことができます。
    これにより、セキュリティレベルが一層強化されます。
     
  • 【デメリット】普及の遅れ
    現時点で、パスキーに対応していないサービスも多く、
    従来のパスワードが依然として主流です。
     
  • 【デメリット】デバイス依存
    パスキーは、秘密鍵を保持するデバイスが必要です。
    デバイスを紛失したり、故障したりすると、再設定や予備デバイスが必要になります。
     
# パスキー普及後の未来とパスワードからの卒業

パスキーが普及すれば、複数のサービス毎に管理していた
パスワードから開放されるだけでなく、「パスワードを失念する」事もなくなります。

また、フィッシング詐欺や総当たり攻撃にも強いセキュリティーのため、
企業側もユーザー側も多くのメリットがあります。

パスキーは既にAppleやGoogleなどの大手企業が導入を始めています。
スマートフォンやPCでの利用も可能になり、これから一気に広がっていくことが予想されます。

パスワードは長年にわたり、私たちの“鍵”として機能してきました。
でも、その鍵が簡単に複製されたり、盗まれたりするリスクが増している今こそ、
「パスキー」という次世代の鍵を使い始める時期かもしれません。

まだ使ったことがない方も、対応サービスから少しずつ取り入れてみて、
「パスワードからの卒業」を、今から始めてみませんか?
 
 

Tips:「情報セキュリティ10大脅威 2025」:IPAが警告する新たなリスクに備えよう

情報処理推進機構(IPA)は先月、「情報セキュリティ10大脅威 2025」を発表しました。
今後数年で予想されるサイバーリスクを早期に把握し、対応するための重要な指針となるこの報告書は、
私たちのセキュリティー意識をさらに高め、対策を強化するために欠かせない情報です。
 
特に注目すべきは、以下のサイバー攻撃の進化です。
 
  1. ランサムウェア攻撃の進化
    ランサムウェアは、依然として企業や個人を狙う主な脅威であり、巧妙化していくと予測されています。
    単純なファイル暗号化にとどまらず、複雑な社会工学的手法を駆使して機密情報を盗み、被害を拡大させます。
    このような攻撃から守るためには、定期的なバックアップと強固なセキュリティ対策が必要不可欠です。
     
  2. 内部脅威と情報漏洩
    外部からの攻撃だけでなく、従業員やパートナーからの内部脅威も増加しています。
    特に機密情報を扱う部門では、アクセス権限の管理と徹底的な監視が求められます。
    企業内でのセキュリティ教育と情報管理の強化が急務です。
     
  3. サプライチェーン攻撃
    攻撃者はサプライチェーンを狙う手法をますます多用しています。
    特に、信頼性の高いサプライヤーやパートナーを通じてシステムに侵入し、
    機密データを盗むケースが増加しています。外部との連携におけるセキュリティ対策を強化し、
    パートナー企業とのリスク管理も重要です。
 
これらの脅威に対して、どのように備えるべきか?その詳細な対策方法や
他の重要な脅威については、IPAの公式サイトにて公開されています。
詳細は以下のリンクからご確認ください。
 
┏┓   IPA 独立行政法人 情報処理推進機構
┗□…
 情報セキュリティ10大脅威 2025
 https://www.ipa.go.jp/security/10threats/10threats2025.html
 
セキュリティ対策は、もはや一企業だけで完結するものではなく、すべての組織や個人にとって重要な課題です。
今からできる対策を少しずつ始め、将来のリスクに備えましょう。
 
 

02月

:下記FAQを新規作成・更新しました!

 
 

Topic:公衆Wi-Fiのリスクとワークブースで安全な業務環境

リモートワークや外出先での業務が増加する中、
インターネット接続の重要性は、ますます高まっています。

インターネット接続で便利なのが、公衆Wi-Fiです。
しかし、公共のWi-Fiネットワークを使用することには、
予想以上のセキュリティーリスクが潜んでいることをご存知でしょうか?
 
セキュリティーの甘いWi-Fiを使うことで、
個人情報や機密データが盗まれる危険性があるため、特に業務利用時には注意が必要です。 

本記事では、公衆Wi-Fiのリスクとその対策方法、
そして安全にリモートワークを行うための業務環境として注目すべき「ワークブース」を紹介します。
 
# 公衆Wi-Fiのリスク
 
公共施設や飲食店、喫茶店などで提供される公衆Wi‑Fiは、
ほぼ無料でインターネットに接続できる便利なサービスです。

しかし、その利便性の裏側には以下のようなリスクが存在します。
 
  1. データ盗聴
    多くの公衆Wi‑Fiは暗号化が不十分な場合があり、攻撃者が通信を傍受して個人情報、
    ログイン情報、クレジットカード情報などを盗み出す可能性があります。
    公共の場で業務を行う際は、特に注意が必要です。
     
  2. 偽のWi-Fiネットワーク
    攻撃者が正規のWi‑Fiに似た名称の偽ネットワークを構築し、
    利用者を接続させる手法も報告されています。
    偽ネットワークに接続すると、機密情報が盗まれる危険性が高まります。
     
  3. 悪意のあるソフトウェア配布
    公衆Wi‑Fiを介して、マルウェアなどの悪意あるソフトウェアが送信され、感染リスクが発生します。
    特にセキュリティ対策が不十分なネットワークでは注意が必要です。
     
  4. マンイン・ザ・ミドル攻撃(MITM攻撃)
    ハッカーが通信の途中に割り込み、送受信データを盗み取る手法です。
    たとえば、ウェブサイトアクセス中に偽サイトへ誘導されるなど、
    巧妙な攻撃により情報が漏洩する可能性があります。
 
┏┓   あんしんセキュリティ[ドコモのセキュリティ対策サービス]
┗□…
  フリーWi-Fi(公衆無線Wi-Fi)に危険性はある?安全な接続方法やセキュリティ対策を紹介!
  https://anshin-security.docomo.ne.jp/security_news/wifi/column001.html
 
また、公共の場では、周囲の視線による「ショルダーハッキング」も深刻なリスクとなり得ます。
 
# ショルダーハッキングのリスク
 
ショルダーハッキングは、他人があなたの肩越しに画面を覗き、
入力中のパスワードや表示されている個人情報を盗み取る手法です。
 
カフェや公共交通機関など、混雑した場所では、
特にこのリスクが高まるため、対策が必要です。
 
# リスク回避のための対策
 
  • プライバシーフィルターの活用
    PCの画面にプライバシーフィルター(覗き見防止フィルター)を取り付けることで、
    周囲からの覗き見を防止できます。公共の場所での業務時に有効です。
     
  • 個室業務スペースの利用
    インターネットカフェやワークブースなど、個室で業務できる環境を利用することで、
    ショルダーハッキングのリスクを大幅に低減できます。
     
  • VPN(仮想プライベートネットワーク)の活用
    たとえば、beatリモートアクセスなど暗号化された通信を提供するサービスを利用することで、
    データ盗聴のリスクを軽減できます。
     
  • ポケットWi-Fiなどの個人用ネットワークの利用
    公衆Wi-Fiの利用を避け、ポケットWi-Fiやスマートフォンのテザリングなどを利用することで、
    より安全な通信環境を確保できます。
 
# ワークブースを利用した安全な業務環境
 
外出先や公共の場所でWi-Fiを利用する際、リスクを最小限に抑えるためには
安全で集中できる業務環境が不可欠です。

インターネットカフェやカラオケBOXなど、個室でWi-Fi利用が可能な施設もありますが、
これらは”同一SSIDとパスワードを複数の利用者で共有している”場合が多く、
無料の公衆Wi‑Fiと大差なくセキュリティが脆弱な環境となることが懸念されます。

そこでおすすめなのが「ワークブース」です。

近年、外出先やリモートワークの現場でワークブースの利用が広がっています。
ワークブースの存在を知って以来、公共のWi‑Fiやオープンスペースで業務する際のリスクを実感し、
その利便性と安全性に大いに助けられているという声も多く聞かれます。
 
ワークブースの特徴としては、以下の点が挙げられます。
 
  • 高いプライバシー
    コワーキングスペースなどのオープンスペースとは異なり、ワークブースは周囲の視線を遮断できるため、
    個別に電話会議やオンラインミーティングを行う際にもプライバシーが保たれます。
     
  • 快適な業務環境
    エアコンや適切な照明、換気設備が完備されており、
    長時間の業務でも快適に過ごせる環境が提供されています。
     
  • 場所の多様性
    ワークブースはコワーキングスペース、オフィスビル、駅、空港、図書館など、
    さまざまな場所に設置されており、移動中や外出先でも安定した業務環境を確保できます。
 
# リスクを回避して安全で快適なリモートワーク
 
公衆Wi-Fiは、利便性が高い一方で、データ盗聴や偽ネットワーク、
マルウェア感染、ショルダーハッキングなどのリスクが伴います。

リモートワークを安全に行うためには、VPNやプライバシーフィルターの活用、
個室業務スペースやワークブースの利用が重要です。

特に、セキュリティ性の高いワークブースを利用することで、
安心して業務に集中でき、快適で効率的なリモートワークが実現できるでしょう。
 
 

Tips:ワークブース CocoDesk

メインTopicで紹介した通り、ワークブースは駅などで提供され、
さまざまな場所で目にする機会が増えています。

今回ご紹介するのは、その中でも特に注目のワークブース「CocoDesk」です。

┏┓   富士フイルムビジネスイノベーション
┗□…
  プライベートオフィス・サービス CocoDesk
  https://www.fujifilm.com/fb/product/software/cocodesk

※CocoDesk についてのお問い合わせは、下記のお問い合わせサイトからお願いいたします。

■ 富士フイルムビジネスイノベーション:CocoDeskお問合せ 
 https://www.fujifilm.com/fb/form/cocodeskcontact

CocoDesk では、メインTopicでご紹介したワークブースの基本的なメリットに加え、
以下のような特徴を備え、完全個室で集中して業務できるプライベート空間を提供します。
 
  • 静音設計で集中できる業務環境
    防音パネルを採用した、静かな環境を実現しています。
    周囲のノイズを気にせず業務に集中できるだけでなく、重要な会議やプレゼンテーションの内容が
    外部に漏洩するリスクを軽減できるため、安心してオンラインミーティングを行うことが可能です。
     
  • ゆったりした業務スペース
    広い業務デスクや大きな荷物を置ける十分な足元スペースを備えており、
    移動の多いビジネスパーソンにも配慮した設計となっています。
     
  • プライバシー保護
    CocoDeskは完全個室のため、ショルダーハッキングを大幅に軽減。
    周囲の視線を気にすることなく業務に専念できる環境が、業務効率の向上につながります。
     
  • 信頼できるWi-Fiネットワーク
    CocoDeskのWi-Fiは、会員ごとに専用のSSIDとパスワードが設定されています。
    不特定多数のユーザーが利用する公衆Wi-Fiと異なり、会員のみが接続可能です。
    これにより、悪意のあるソフトウェア配布や偽のWi-Fiネットワークへの接続といった
    リスクを大幅に軽減できます。
 
安全で快適な業務環境を提供するCocoDeskは、リモートワークや営業活動においても非常に有用です。
この機会に、ぜひ導入をご検討をいただければ幸いです。
 
 

01月

:下記FAQを新規作成・更新しました!

 
 

Topic:「ドロップキャッチ」をご存知ですか?

ドメイン名は、インターネット上でWebサイトを特定するための識別子ですが、有効期限があります。
更新を忘れると期限切れとなり、ドメインが失効してしまいます。

そんな失効したドメインを狙い、「ドロップキャッチ」がおこなわれます。
今回は「ドロップキャッチ」のリスクと対策をご紹介します。
 
# ドロップキャッチとは

ドロップキャッチとは、ドメイン名が期限切れとなり、
再登録可能な状態に解放された瞬間に、そのドメインを他者に先駆けて取得する手法です。

ドメインの所有権が失われることで、そのドメイン名が再びインターネット上で
使用可能になるタイミングを狙って登録をおこないます。

この方法自体は、ビジネス戦略として合法であり、
価値のあるドメイン名を取得する手段として広く活用されています。

業者や個人によるドロップキャッチは、年々激しさを増してきており、
高速な回線を用意したり、自動で登録を試みるといった、
より高度な手法が用いられるようになってきています。

注意すべきは、この手法が悪用され、企業側に多大な
リスクが生じるケースがあるということです。

┏┓   JPNIC
┗□…
   インターネット用語1分解説~ドロップキャッチとは~
   https://www.nic.ad.jp/ja/basics/terms/dropcatch.html
 
# ドロップキャッチされた際のリスク

ドロップキャッチにより、企業が直面する可能性のあるリスクは以下の通りです。
 
  • ブランドイメージの低下
    期限切れのドメインが悪用され、不正サイトや詐欺サイトに転用されると、
    顧客からの信頼を失ってしまいます。これが広がれば、ブランドへのダメージが計り知れません。  
     
  • 運営サイトへのアクセス数低下
    ドメイン名に紐づく検索エンジンの評価が一気に失われ、SEO効果が急激に低下します。
    結果、アクセス数が減少し、売上にも悪影響を与えかねません。
     
  • 法的トラブルの発生
    特に商標を持っているドメイン名が失効してドロップキャッチされると、
    商標権侵害の問題が発生し、法的な対応を迫られる可能性があります。
     
┏┓   INTERNET Watch
┗□…
   マカフィー、かつて使用していたJPドメイン名がドロップキャッチされ、
   アダルトブログへと変貌【やじうまWatch】
   https://internet.watch.impress.co.jp/docs/yajiuma/1652069.html
 
# ドロップキャッチされないために

ドロップキャッチにより、ドメイン名を第三者に取得されてしまう、
リスクを避けるためには、いくつかの対策が必要です。
以下の方法を実践することをお勧めします。
 
  • ドメインの自動更新
    自動更新を設定しておけば、更新を忘れてドメインが失効する心配がなくなります。
    特に重要なドメインについては、忘れずに設定しておきましょう。
     
  • 期限切れ前の通知サービスを活用
    ドメインレジストラによっては、失効予定のドメインについて通知してくれるサービスがあります。
    リマインダー機能を使って、更新を忘れないようにしましょう。
     
  • ドメイン保護プランの利用
    「ドメインロック」や「転送制限」などのドメイン保護機能を使えば、
    悪意のある第三者にドメインを奪われるリスクを減らせます。
     
  • 複数の関連ドメインを確保
    もしもの時に備えて、ブランド名や商標に関連する複数のドメインを事前に確保しておくのも一つの手です。
    万が一ドメインを失効させても、素早く代替ドメインで運営できるようになります。
     
  • 商標登録して法的に守る
    法的に保護されるため、商標権を持つ企業は、商標権侵害を理由に
    法的措置を取ることができ、ドメイン名を取り戻すための
    法的手段(例えば、UDRPによるドメイン名争奪など)を行うことが可能です。
    しかしながら、リスクの項目でお伝えした通り、法的な対応を迫られる可能性も存在します。

AIや自動化ツールを使ったドメイン管理が進む中で、
ドロップキャッチの手法はさらに高度化していくことが予想されます。
そのため、常に最新の情報をチェックして、自社のドメインを守るために対策を講じることが大切です!

ドメイン名は企業にとって非常に重要な資産であり、ウェブサイトやメールアドレスなどに欠かせません。
失効すると、ウェブサイトにアクセスできなくなったり、メールの送受信ができなくなったりするなど、
大きな影響が出てしまいます。

大事なドメイン失わないよう、今すぐ対策を見直してみてください。
 
 

Tips:2025年に注意すべき、マルウェア

新年明けて、はやくも1ヶ月が過ぎようとしています。
2024年はランサムウェアやDDoS攻撃など、
様々なサイバー攻撃をご紹介してきました。

2025年もそういった、サイバー攻撃は
攻撃方法を変化させて、進化していくでしょう。

中でも「情報窃盗型マルウェア」が、これからの主流になるかもしれません。

「情報窃盗型マルウェア」は、感染したことにユーザーに気づかせず、
潜伏し、端末から認証情報やOSなどの情報を盗み出すマルウェアです。

そんな「情報窃盗型マルウェア」の中から「Lumma」をご紹介します。

「Lumma」に感染すると、C&Cサーバー(*1)へ接続され、
ログイン情報、金融データ、個人情報などを収集し、外部に流出させ始めます。
また、他の悪意のあるソフトウェアをインストールすることもあるようです。

(*1)「Command & Control Server」の略であり、
      マルウェアに外部から指令を出すためのサーバー。
      C2サーバーともいう。

マルウェアの動作解析をおこなうには、
実際に動作させ、その挙動をモニタリングして解析する必要があります。
こういった解析に使われる技術として、サンドボックスが活用されているようです。

beatサービスでもオプションでサンドボックス機能を提供しています。
 
  • beatサンドボックス機能詳細は下記FAQをご確認ください。
    「FAQID:96601」

また、 以下の3つの機能が、PCからC&Cサーバーへの通信を遮断し、
情報の流出や外部から制御されることを防いでいるため、
「Lumma」などの「情報窃盗型マルウェア」にも強固な防御を発揮いたします。

   ・「ウイルスチェック機能(標準機能)」
   ・「不正な通信対策機能(標準機能)」
   ・「beat コンテンツフィルター(オプション)」
 
 

12月

:下記FAQを新規作成・更新しました!

 
 

Topic:連休中こそソーシャルエンジニアリングにご注意を!

早いもので、今年も終わりですね。

今回の年末年始は最長で9連休だそうで、
家族や友達との楽しい時間やおいしいご飯を食べたり、旅行に出かけたり、
オンラインでショッピングしたり…楽しみですね!

しかし、この素晴らしい時間を楽しんでいるときこそ、
「ソーシャルエンジニアリング」攻撃に注意が必要です!

耳にしたことはあると思いますが、
今回は典型的な攻撃手口と具体例の
詳細をご紹介したいと思います。

# ソーシャルエンジニアリングとは

ソーシャルエンジニアリング(Social Engineering)とは、
人間の心理や行動を利用して、不正に情報を取得したり、
システムにアクセスしたりする手法のことを指します。 

PCやソフトウェアなどのシステム的な脆弱性を突く攻撃ではなく、
人間である、あなた自身の"油断"や"信頼関係"を狙います。  

┏┓   NTTコミュニケーションズ 法人のお客さま
┗□…
    ソーシャルエンジニアリングとは?意味・定義
    https://www.ntt.com/bizon/glossary/j-s/social-engineering.html

ソーシャルエンジニアリングについての対策や注意喚起は
主に人間に向けたものになります。

システム的な問題であれば、修正パッチを当てることで、
簡単に防御力を強化できますが、人間はそうもいきません。

人間は忘れる生き物ですので、記憶に残し、定着させるために
時間をかけ、繰り返しの注意喚起を行ないましょう。

企業や家庭で「セキュリティチェックの日」を設定するなど、
「習慣化」がおすすめです。

# ソーシャルエンジニアリング攻撃の手口と具体例

下記のような攻撃手口があります。
 

  1. フィッシング / スピアフィッシング

    【手口】
     偽のウェブサイトやメールを作成し、ターゲットに機密情報を入力させます。

    【具体例】
     ・フィッシング:銀行を装ったメールに偽のリンクを送り、ターゲットにログイン情報を入力させる。
     ・スピアフィッシング:特定の企業の経理担当者に偽の送金依頼メールを送り、送金情報を盗む。
     
  2. プリテキスティング(関係者へのなりすまし)

    【手口】
      ターゲットになりすまし、信頼を得て機密情報を引き出します。

    【具体例】
      ITサポートを装い、「自分はIT部門の担当者で、
     システムのアップデートを行うために情報が必要だ」といった要件で、
     電話をかけ、ターゲットに個人情報やアクセス権を提供させます。
     
  3. ショルダーハッキング(のぞき見)

    【手口】
     他人の画面を覗き見て、機密情報を盗み取ります。

    【具体例】
     初詣など不特定多数の人間が集まる場所で、
     他人がパスワードを入力しているのを覗き見て、後でその情報を悪用します。
     
  4. トラッシング / スキャべジング(ゴミ箱漁り)

    【手口】
     ゴミ箱や廃棄物を漁って、機密情報を探し出します。

    【具体例】
     廃棄された企業の書類やメモから、
     内部情報や個人情報を探し出し、それを悪用します。
     
  5.  クイッド・プロ・クオ(代償型)

    【手口】
     「見返り」を約束し、情報を引き出します。
     
    【具体例】
     ターゲットに対して、「アンケートに回答すれば報酬を提供する」や
    「商品の割引を受けるために情報提供をお願いする」といった提案を行い、
     個人情報や機密情報を引き出します。
     
意外とアナログな攻撃手口が多くありますが、
これらはソーシャルエンジニアリング攻撃の一部であり、
他にも様々な手口が存在します。

また、同じ手口でもあなたの役割に応じて、
攻撃方法を変えてきます。

あなた個人の情報を狙った攻撃だけではなく、
あなたの会社や自治会等の立場を狙った、
攻撃を仕掛けてくるかもしれません。

人間に対するアナログな攻撃だと"油断"をしていると、
いつの間にか悪意のある"信頼関係"を築かれて、
情報を引き出されてしまうかもしれません。

「Tips」のセキュリティ対策をチェックすることをおすすめします。
 
 

Tips:役割ごとのセキュリティ対策

IPA(情報処理推進機構)では、年末年始に向けた
セキュリティ対策について注意喚起を掲載しています。

┏┓   IPA 独立行政法人 情報処理推進機構
┗□…
   2024年度 年末年始における情報セキュリティに関する注意喚起
   https://www.ipa.go.jp/security/anshin/heads-up/alert20241217.html

該当サイトでは、以下の対象者に対して取るべき対策をまとめています。
それぞれの内容を確認し、社内で共有しましょう。

(1)個人の利用者
(2)企業や組織の利用者
(3)企業や組織の管理者

安心してお正月を過ごすためには、自分の役割に応じた対策を
しっかりと意識しましょう。

大事なのは「習慣化」し、継続することです。
お正月だけ、長期休暇前だけ、思い出したように意識していても
気を抜いた途端に足元を掬われます。

継続は力なり!という名言がある通り、物事は続けて実行することに
意義があり、それが自分自身を守る力になります。

楽しいお正月は、不正アクセスや詐欺被害とは無縁でありたいものです。

ソーシャルエンジニアリングは、騙される側の「油断」を狙う攻撃なので、
IPAが紹介している対策を意識して、楽しく・安全な9連休を手に入れましょう!

それでは素敵な年末と新年をお過ごしください!
 
 

11月

:下記FAQを新規作成・更新しました!

 
 

Topic:Windows 10のサポート終了まで1年!今すぐ始めるべき移行準備!

Windows10のサポート終了まで、1年を切りました。

2025年10月14日にMicrosoftの正式サポートを終了となり、
終了後は、セキュリティ更新やバグ修正を受けられません。
 
┏┓   IPA 独立行政法人 情報処理推進機構
┗□…
    Windows 10 のサポート終了に伴う注意喚起
    https://www.ipa.go.jp/security/security-alert/2024/win10_eos.html
 
今回は、Windows 10のサポート終了に伴う、
リスクと移行するためのポイントをご紹介します。
 
# サポート終了後に待ち受けるリスク
 
上述の通り、サポートが終了すると、
セキュリティ更新が提供されなくなり、以下のリスクが増加します。
 
  • 【セキュリティリスク】
    脆弱性を悪用される危険性が高くなります。
     
  • 【互換性の問題】
    新しいアプリケーションやソフトウェアが動作しなくなる恐れがあります。
     
  • 【パフォーマンスの低下】
    バグ修正が行われないため、システムが不安定になる可能性があります。
     
  • 【コンプライアンス違反】
    法的なセキュリティ要件が満たされなくなり、企業としてリスクを負う可能性があります。
     
beatサービスにおいてもMicrosoftのサポート対象外となった
OSのサポートができません。
 
┏┓   富士フイルムビジネスイノベーション
┗□…
    Windows OS対応商品のサポート終了時期のご案内
    https://www.fujifilm.com/fb/download/defacto/endwin

これらのリスクを避けるためにも、サポート終了前に
Windows 11への移行を進めてしまいましょう!
 
# Windows 11への移行準備
 

「移行作業は大変!」と思っているかもしれませんが、
計画的に進めれば、意外とスムーズに移行できます。

次のステップで着実に準備を進めていきましょう。
 
  • 【移行計画の立案】
    移行スケジュールを作成し、担当者や役割を明確にしましょう。
     
  • 【ハードウェア要件の確認】
    Windows 11には特定のハードウェア要件があります。
    --------------------------------------------------------------
    CPU        :64ビット、1GHz以上、2コア以上
    メモリ       :4GB以上
    ストレージ :64GB以上の空き容量
    TPM          :バージョン2.0(セキュリティ要件)
    --------------------------------------------------------------
     
  • 【ソフトウェアと周辺機器の互換性チェック】
    業務で使用しているソフトウェアや周辺機器がWindows 11に対応しているか、
    事前にしっかり確認しておきましょう。
     
  • 【テスト環境の構築】
    仮想マシンやテスト用PCを使って、実際に業務ソフトウェアを動作させ、
    問題がないか事前にチェックしておきましょう。
     
  • 【バックアップ計画】
    「バックアップは後でいいかも...」はご法度です。
    重要なデータが消えたら大変です。事前にしっかりバックアップを取っておきましょう。
 
また、beatリモートアクセスサービスやbeatクライアントアンチウイルスサービスは、
OSやハードウェアに特定の要件があります。事前に動作要件をご確認ください。
 
  • beatリモートアクセスサービスの動作要件や対応OSです。
    「FAQID:63316」
     
  • beatクライアントアンチウイルスサービスの動作要件や対応OSです。
    「FAQID:94」
 
このようにまずは、移行計画を立てることから始めましょう。
スケジュールと役割を決め、全体的な準備を整えておくことが大切です。
 
その後、ハードウェアやソフトウェアの互換性を確認し、
テスト環境でのチェックを行うことで、問題が発生するリスクを最小限に抑えることができます。
 
また、何より重要なのは、バックアップを取ることです。
万が一のトラブルに備えて、事前に大切なデータをバックアップしておきましょう。
データの損失は業務に大きな影響を及ぼすため、必ず確認をしてください。
 
 

Tips:経験してみてわかった、移行チームの重要性。

先日、beatコンタクトセンターのWindows11移行が完了しました。

筆者も移行担当者として、苦労をしてきたので、
そこでの経験も踏まえて、移行作業の注意点などをお伝えできればと思います。
 
  • 【オフピーク時間に作業】
    業務が集中する時間帯での移行は避けましょう。
    問題が発生した際に迅速に対応できません。
     
  • 【グループ単位での移行】
    いきなり全台を移行するのではなく、グループ単位で移行作業を進めましょう。
    少数からスタートすることで、移行失敗時のリスクを最小限に抑えられます。
     
また、PCの入れ替えが完了しても、それで終了というわけにはいかず、
以下のような、アフターケアが必須でした。
 
  • 【業務用ソフトウェアと周辺機器の確認】
    業務用のソフトウェアと周辺機器が正常に動作するか、再確認してください。
     
  • 【社員からのフィードバック】
    「使いにくい」「動きが遅い」などの意見をもらい、改善を進めましょう。
     
  • 【サポート体制の強化】
    移行後のトラブルに備え、サポートチームを強化しておきましょう。
 
beatコンタクトセンターの移行では、
筆者を含め、移行チームメンバーは5人で、
約100台のPC入れ替えをおこないました。

かなりの時間をかけ、移行を進めましたが、
もう少し、移行チームの人数が多ければ、
楽だったのではないかと思います。

例え、数十台規模の移行であったとしても、
移行計画と移行チームの編成をしっかり準備しておくことをおすすめします。

慎重な準備と綿密な計画がビジネスに与える影響を最小限にし、
失敗しないための近道となります。

時間は有限なため、今すぐ行動を開始しましょう!
 
┏┓   NTT東日本
┗□…
    2025年10月14日サポート終了。今から備えるWindows10の移行対策
    https://business.ntt-east.co.jp/content/cloudsolution/ih_column-58.html
 
 

10月

:下記FAQを新規作成・更新しました!

 
 

Topic:生成AIのこと、知っていますか?

最近、声優業界では悲しいニュースが続いています。
引退された方も多く、先日もドラえもんの声優をされていた方が旅立たれてしまいました。

そんな中、大手の声優事務所が、有名声優のAI音声化に
取り組むという興味深いニュースが飛び込んできました。

ドラゴンボールの孫悟空でおなじみの野沢雅子さんなどが参加し、
収録した音声データをAI音声に変換するそうです。

┏┓ ORICON NEWS
┗□…
     野沢雅子ら声優の声をAI音声化 青二プロダクション発表で
     音声ナビなどへ提供「演技の領域に関わるものにはサービスを提供しない」 
     https://www.oricon.co.jp/news/2348285/full/

主にAmazon AlexaやGoogle アシスタントなどの
音声に使われるようで、馴染ある声を聞くことになるかもしれません。

演技の領域に関わるものはサービスを提供しないとのことで、
アニメや洋画の吹き替えなどについては、AI音声を使わないようです。
 
このようにAIを活用する一方で、素人が人気歌手や声優の声を無断でAIに学習させ、
無関係な歌を歌わせたり、朗読をさせたりするカバー動画などが問題視されています。

筆者自身もYouTubeやSNSに投稿されたAI生成コンテンツを見かけたことがあります。
AI技術が進化し、私たちの生活は便利になる一方で、悪用する輩もいるというのが現実です。
 
# AIの利用方法は人間次第
 
AIにPCを壊すためにはどうすれば良いかなどの「ダークな質問」をすると、
制限やルールに引っかかてしまうため、正常な回答は得られません。

しかし、少し質問内容を変えるだけで、
制限を回避し、素直にPCを破壊するための情報を
回答してくれる場合があります。

┏┓  ITmedia NEWS
┗□…
    生成AIをサイバー攻撃に悪用 ラップで規制避け危険情報入手 自律化も「時間の問題」 
    https://www.itmedia.co.jp/news/articles/2410/07/news083.html

このように開発者がAIが設けた制限を突破し、
不適切な応答や危険なコンテンツを出力させる手法を「jailbreak攻撃」と言います。

ジェイルブレイク(jailbreak)とは、スマートフォンや家庭用ゲーム機などのIT機器で、
開発元がソフトウェアの実行環境に施している制限を非正規な方法で撤廃し、
自由にソフトウェアを導入・実行できるようにすることです。

ジェイルブレイクを翻訳すると「脱獄」という意味です。

┏┓  Controudit AI
┗□…
     なぜ生成AIの脱獄(Jailbreak)が可能なのか 
     https://controudit.ai/2161/

開発側も「脱獄」されないために
修正対応をおこないますが、それはいたちごっこのようです。
 
脱獄されないために新たな制限やルールを付加したとしても
それを回避する手法が見つかり、悪いことに利用されてしまいます。

また、あまりにもガチガチに制約やルールを決めてしまうと、
一般利用ユーザーに使いにくくなってしまい、
お手軽にAIを活用するというコンセプトからも外れてしまいます。
 
ここで考えたいのが「AIに善悪の判断はできるのか?」という問題です。
ドラえもんのように高度なAIであれば、善悪の判断が可能かもしれません。

しかし、ドラえもんであっても、結局はのび太くんのやり口に丸め込まれて、
ひみつ道具を貸し出してしまうので、前述の脱獄と変わり無いのかもしれません。

現時点でのAIはドラえもんほど高度ではないので、
利用する人間次第で、善にも悪にもなってしまうものだと思います。

そんな中で、私たちはAIをどのように安全に利用できるのでしょうか。
以下では、注意すべきポイントをいくつか挙げていきます。

# AIを安全に利用するために
 
安易にAIを利用すると、生成AIの学習データとして使用され、
個人情報だけでなく、会社内の機密情報などが意図せずに流出し、
利用されてしまう可能性があります。

AIサービスを利用する際は以下の点に注意を払いましょう。
 
  • データの扱い  :利用規約などから、どのように情報が収集・使用されるかを確認する。
  • 情報の正確性  :AIの情報は必ずしも正確ではないため、他の情報源でも確認する。
  • 依存しすぎない :AIを補助的なツールとして使うことを心がけましょう。
  • 利用目的の明確化:どのような目的でAIを利用するかを明確にし、その範囲内で使うよう心がけましょう。
 
 

Tips:パスワードの定期的な変更は必要?

オンラインセキュリティの重要性が高まる中、
パスワードの定期的な変更について、米国立標準技術研究所(NIST)が
公開した「電子認証に関するガイドライン(NIST Special Publication 800-63B)」に
パスワードの定期的な変更をユーザーに要求すべきではない、と記載されています。

以前は、パスワードの定期的な変更がセキュリティの基本とされていましたが、
頻繁な変更がユーザーに負担をかけ、結果として弱いパスワードを選ぶ原因になることが指摘されています。

┏┓  INTERNET Watch
┗□…
     「パスワードは定期変更の必要なし」総務省が国民向けサイトで正式見解【やじうまWatch】 
     https://internet.watch.impress.co.jp/docs/yajiuma/1594829.html

このように、パスワードの変更を義務付けることが必ずしも安全性を高めるわけではなく、
むしろユーザーが容易に覚えられるパスワードを選ぶようになるため、逆効果になることもあります。

「定期的なパスワード変更」は止める時が来ています。

そのためには、アカウント毎に強力なユニークパスワードを設定することが重要です。
記憶しておくのは無理なので、パスワード管理マネージャーを利用しましょう。

例えば、Googleなどもパスワード管理マネージャーを提供しています。

合わせて、二要素認証(2FA)を導入し、手間をかけずに安全に管理していきましょう。

FAQは役に立ちましたか?

このFAQに改善点があれば、お聞かせください。 ご意見はFAQの改善に役立てさせていただきます。