富士フイルムビジネスイノベーション
  • 文字サイズ変更
  • S
  • M
  • L
  • ID : 58296
  • 公開日時 : 2022/04/22 00:00
  • 印刷

≪beat★ナビ≫はるかぜとともに | 2022年04月22日(金)

≪beat★ナビ≫は、セキュリティーに関するニュースやトレンド情報、
beatの機能紹介など、有益な情報を提供するメールマガジンです。
※本メールは、beat-box責任者様宛に配信しております。
カテゴリー : 

回答

━ ≪beat★ナビ≫ ━━━━━━━━━━━━━━━━━━━2022.04.22配信
    「はるかぜとともに」
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 
こんにちは。
富士フイルムビジネスイノベーション株式会社の河野です。
 
長らく利用されてきた「Internet Explorer(IE)」に
終わりが近づいてきました。
 
Windows7終了時にも世間で騒がれたように、
IEにもサポート終了の時期が近付いているのです。
 
┏┓ Tech TIPS
┗□…
     いよいよ完全終了へ。
     Internet Explorer(IE)サポート終了スケジュール
     https://atmarkit.itmedia.co.jp/ait/articles/1503/11/news134.html?utm_source=pocket_mylist
 

サポート終了をしてもIE自体が使えなくなるわけではありません。
 
しかし、サポート終了すると、更新プログラムが提供されなくなるため、
不具合や脆弱性などが修正されなくなります。
 
攻撃者は脆弱性などを突いて、攻撃をおこなってくることが多いため、
サポート終了したソフトやOSは利用しないことが大切です。
 
終了まで、もうしばらく時間があるので、
IEを利用している場合は、今のうちに新たなブラウザを導入を
検討してみてはいかがでしょうか。
 

・‥…━━━━━━━━━━━━━━━━━━━━━━━━━━━━◆◇◇◆
  ◆目次◆
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
今回は下記3点です。
 

    [1] メインコンテンツ: ブラウザの脆弱性と更新
    [2] Tips: 進化するなりすましに対して
    [3] 編集後記
 
 
・‥…━━━━━━━━━━━━━━━━━━━━━━━━━━━━◆◇◇◆
  ◆1.メインコンテンツ
      「ブラウザの脆弱性と更新」
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 
今月から新年度がスタートしました。
筆者も気持ちを新たにbeat★ナビを執筆していきたいと思います。
 
先月、日本でのブラウザシェア率No.1である「Google Chrome」で
重大なセキュリティ更新がおこなわれました。
 
これは、実際に悪用されたゼロデイ脆弱性1件に対処するための更新です。
 
┏┓ ITmedia NEWS
┗□…
     Chromeブラウザに緊急セキュリティ更新
     悪用されたゼロデイ脆弱性を修正
     https://www.itmedia.co.jp/news/articles/2203/27/news025.html
 

現在の主なブラウザのほとんどは自動的にアップデートされるため、
基本的に放置していても問題はありません。
 
例えば「Google Chrome」の場合、下記の条件でアップデートが
自動適用されます。
 
  ■Google Chromeのアップデート条件
 
    アップデートは通常、パソコンでブラウザを閉じて
    次に開くまでの間にバックグラウンドで行われます。
    ブラウザをしばらく開いたままにしていると、
    保留中のアップデートがあることが示される可能性があります。
 

ブラウザを開いたままだったり、PCを起動させたままの場合は、
アップデートが自動適用されません。
 
これは、Google Chromeだけではなく、他のブラウザも
同様の条件であることが多く、アップデートが適用されるまでは、
脆弱性が解消されません。
 
テレワーク需要により、リモートで会社のPCを利用している場合、
PCやブラウザを開いたまま休日を迎えてしまうことが多いのでは
ないでしょうか。
 
開いたままの場合、脆弱性が解消されず、
その期間は、攻撃者から格好の餌食となってしまいます。
 
そのため、ご利用ブラウザのバージョン確認と
アップデートを手動で行うことをお勧めします。
 
┏┓ プロバイダ ASAHIネット
┗□…
     代表的なインターネット・ブラウザのアップデート方法
     https://asahi-net.jp/support/guide/etc/software_update.html
 

「Google Chrome」のバージョン確認画面を
ブラウザ起動時に表示させる設定に変更するのもお勧めです。
 
起動時にバージョンの確認がおこなえる為、
ブラウザ更新をおこなったことを明確に確認できます。
 
 
 
新入社員が配属される、タイミングで、
PCのキッティングをおこなう際は注意が必要です。
 
退職された方のPCをそのまま流用するのは、
OSやセキュリティソフト、ブラウザなどの更新がされていなかったり、
個人的に使用していたソフトウェアが残っている可能性があります。
 
継続使用によりPCの動作が緩慢になっている可能性もあるので、
次の方にPCを渡す前に、OSからクリーンインストールすることを
強くお勧めします。
 
 
 
去年の12月から「Emotet(エモテット)」について、
beat★ナビでも度々、取り上げてきました。
 
「Emotet(エモテット)」の影響だけではないですが企業に対しての
不正アクセスやランサムウエア被害に関するニュースを多く目にします。
 
┏┓ ITmedia NEWS
┗□…
     トヨタ、森永…巧妙化ランサムウエアの被害急増
     狙われる関連企業や海外拠点
     https://www.itmedia.co.jp/news/articles/2204/07/news053.html
 

「Emotet(エモテット)」やランサムウエアの感染源として
主な物の一つはフィッシングメールです。
 
特に近頃のフィッシングメールは、「なりすまし」が巧妙で、
本物と見分けがつかないことがほとんどです。
 
この時期、新入社員をターゲットにした、偽装なども増えるかもしれません。
また、ベテラン社員だからこそ、引っかかってしまうような偽装だったり、
様々なフィッシングメールがあります。
 
フィッシングメールの対策として下記があげられます。
 
  ▼メール・SMS内のリンクや添付ファイルを開かない
  ▼重要情報をメールで返送しない
  ▼二要素認証を利用する
  ▼メールセキュリティ製品の導入
  ▼常にOSやアプリケーションを最新版にする
 
この対策はセキュリティ対策の基本とあまり変わりません。
 
しかし、慣れや油断から基本を疎かにしてしまうことがあります。
攻撃者は、その油断を見逃しません。
 
新入社員への教育に併せて、改めてベテラン社員へも改めて
セキュリティ対策を周知してみてはいかがでしょうか。
 
 
 
先日、情報処理推進機構(IPA)は
「組織における内部不正防止ガイドライン」を約5年ぶりに改訂しました。
 
┏┓ IPA 独立行政法人 情報処理推進機構
┗□…
     組織における内部不正防止ガイドライン
     https://www.ipa.go.jp/security/fy24/reports/insider/index.html
 

今回の改訂では、下記の内容が追加されました。
 
  (1)クラウドサービスのアクセス権限管理や、
       ログ・証跡の取得など、テレワーク中の内部不正への対策
 
  (2)退職者や退職予定者による機密漏えいの対策
 
  (3)AIによるふるまい検知などの活用法
 
今も続いているコロナ禍によるテレワーク普及や個人情報保護法の改正、
技術の進展などを踏まえ新たに必要になった対策を確認できます。
 

過失による「マルウエア」等への感染だけでなく、
故意による内部の不正についても対策を講じてください。
 
このような内部不正では、会社の信用や風評被害を恐れ
組織の上層部の一部で処理されることがあります。
 
そのため、事件については外部のみならず、
一般社員への情報共有もされないことが多いようです。
 
 
 
・‥…━━━━━━━━━━━━━━━━━━━━━━━━━━━━◆◇◇◆
  ◆2.Tips  「進化するなりすましに対して」
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 
近年のなりすましは精度が高く、偽装されたものと
判断するのが非常に難しくなってきています。
 
┏┓ INTERNET Watch
┗□…
     auをかたるフィッシングが増加!
     件名「【重要】auサポートのご利用確認のお願い」などのメールに注意
     https://internet.watch.impress.co.jp/docs/news/1402427.html
 

これらを偽物と判断するには、「送信者に直接尋ねる」のが、
一番簡単で、有効な手法ではないかと思います。
 
auのフィッシングメールを例に挙げると、
携帯ショップの店員にメールを見てもらう、
コールセンターに電話して確認とる等の対策です。
 
また、メールやSMSに記載されたURLリンクからは、
アクセスしないということは鉄則です。
 
料金や登録情報等の確認は公式アプリなどで
確認可能な場合が多いため、
そちらから確認するようにしてください。
 
このような対策をとれば、
フィッシングメールに引っかかる確率は各段に少なくなります。
 

もし誤って、怪しいサイトへのリンクを
クリックしてしまったとしても、その時点では
何か情報が引き出されることはありません。
 
IDやパスワードなどの個人情報を入力していなければ、
基本的には無視してサイトを閉じるだけで大丈夫です。
 
IDやパスワードなどを入力してしまった場合は、
すぐに変更してください。
 
また、他のサイトでも同様のIDやパスワードを利用している場合、
不正アクセスをされる危険性が高まります。
早急にすべての変更が必要です。
 
IDやパスワードの使いまわしは
被害を拡大させてしまう可能性があるため、
極力控えるようにしましょう。
 
 
 
━━━━━━━━━━━━━━━━━━━━
 
少しだけFAQをご紹介。
 
F-Secure Elements Agentのインストールが始まらないという
お問い合わせを多くいただきます。
 
 

beat/anti-virusとbeat-accessの旧バージョンサポート終了日が
近づいています。
 

メール送受信の履歴から「Emotet(エモテット)」の感染に
気づける場合があります。
 
 

━━━━━━━━━━━━━━━━━━━━
・‥…━━━━━━━━━━━━━━━━━━━━━━━━━━━━◆◇◇◆
  ◆3.編集後記
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 
最近「メタバース」と呼ばれるものが人気です。
メタバースは、現実世界とは異なる3次元の仮想空間やそのサービスのことで、
映画『マトリックス』の世界観が実現可能になりました。
 
最近では、メタバース入社式といった、
仮想世界での入社式もおこなわれたようです。
 
  ZDNet Japan
  PwC Japanグループ、メタバースで入社式--デジタル社会や多様性を表現
  https://japan.zdnet.com/article/35185886/

このまま、メタバースの技術が発展していけば、
「マトリックス」のようにデータをインストールするだけで、
達人の格闘技を仮想世界上で扱えるようになるかもしれません。
 
しかし、仮想世界にもセキュリティ的課題が多くあります。
仮想世界では、全てがデジタルな情報であるため、
コピーや偽装などが簡単におこなえます。
 
ディープフェイクの音声や動画によって、仮想世界の仕事場に
社長がアバターの姿で現れて、偽の銀行口座に数百万円を
振り込むよう命じてくるかもしれません。
 
このような偽装が発展していくと、
Tipsでお伝えした「送信者に直接訪ねる」対策も
無意味になってしまうかもしれません。
 
その際に、本物と偽物を区別するにはどうすればいいのでしょうか。
メタバースは始まったばかりで、具体的な解決策はまだありませんが、
意外とアナログな方法が解決策に成り得るかもしれませんね。
 

次回は2022年5月27日(金)に配信予定です。
 
(カワノ)
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

FAQは役に立ちましたか?

このFAQに改善点があれば、お聞かせください。 ご意見はFAQの改善に役立てさせていただきます。