≪beat★ナビ≫故意と過失 | 2022年05月27日(金)
≪beat★ナビ≫は、セキュリティーに関するニュースやトレンド情報、
beatの機能紹介など、有益な情報を提供するメールマガジンです。
※本メールは、beat-box責任者様宛に配信しております。
beatの機能紹介など、有益な情報を提供するメールマガジンです。
※本メールは、beat-box責任者様宛に配信しております。
回答
━ ≪beat★ナビ≫ ━━━━━━━━━━━━━━━━━━━2022.05.27配信
「故意と過失」
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
「故意と過失」
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
こんにちは。
富士フイルムビジネスイノベーション株式会社の河野です。
富士フイルムビジネスイノベーション株式会社の河野です。
6月1日、改正公益通報者保護法が施行されます。
下記3つの観点を中心に法改正がおこなわれるそうです。
・事業者自ら不正を是正しやすく
・行政機関等への通報を行いやすく
・通報者がより保護されやすく
・行政機関等への通報を行いやすく
・通報者がより保護されやすく
また、従業員の数が300人を超える事業者には、
体制の整備や「公益通報対応業務従事者」の指定が
義務付けられました。
体制の整備や「公益通報対応業務従事者」の指定が
義務付けられました。
300人以下の事業者については、努力義務となっています。
・‥…━━━━━━━━━━━━━━━━━━━━━━━━━━━━◆◇◇◆
◆目次◆
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
今回は下記3点です。
[1] メインコンテンツ: 不正アクセスとランサム攻撃
[2] Tips: パスワードレス認証
[3] 編集後記
・‥…━━━━━━━━━━━━━━━━━━━━━━━━━━━━◆◇◇◆
◆1.メインコンテンツ
「不正アクセスとランサム攻撃」
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆1.メインコンテンツ
「不正アクセスとランサム攻撃」
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
そもそも公益通報者保護法とは2004年に制定された制度です。
改正前は、内部通報制度等を設けることは法律上の義務とはされておらず、
十分に機能していないと、指摘されていました。
十分に機能していないと、指摘されていました。
今回の法改正により、安全で簡単に通報できる体制が
整っていけば、内部不正への抑止力となり、
一定の効果が期待できるのではないかと思います。
整っていけば、内部不正への抑止力となり、
一定の効果が期待できるのではないかと思います。
内部不正等による意図的な情報漏えいだけでなく、
過失によるセキュリティ事故にも注意が必要です。
過失によるセキュリティ事故にも注意が必要です。
先月発生した、東映アニメーションへの不正アクセスについて、
調査結果が発表されました。
調査結果が発表されました。
今回の事件では、業務に使用するソフトウェアの配布元サイトが改ざんされ、
ダウンロードしたソフトウェアからランサムウェア等の
侵入に繋がっていました。
今のところ、東映アニメーションを
ターゲットにした攻撃だという情報は無いようです。
ターゲットにした攻撃だという情報は無いようです。
しかし、特定の目的をもって、特定の企業を狙った攻撃は、
増加傾向にあります。
増加傾向にあります。
本件もその可能性は高いと言えるでしょう。
ターゲットを定めた場合、攻撃者はあらかじめ、
使用するソフトウェアについて情報を得て、
そのダウンロードサイトに対し、罠をしかけます。
ソフトウェアに関する情報の入手先は、
マルウェアにより搾取された情報だったり、
ブラックマーケットに流れている情報だったりと、多岐にわたります。
マルウェアにより搾取された情報だったり、
ブラックマーケットに流れている情報だったりと、多岐にわたります。
もしかすると、従業員がプライベートでおこなった、
SNS等でのちょっとした「つぶやき」であったかもしれません。
SNS等でのちょっとした「つぶやき」であったかもしれません。
フリーウェアであっても、社内で利用するソフトウェアについては、
下記のような運用ルールの作成をおすすめします。
・ソフトウェアの管理台帳等を作成する
・ソフトウェアのダウンロードは特定の担当者のみにする
・ダウンロード先やソフトの改ざんに気づいた場合の対処を決めておく
・ソフトウェアのダウンロードは特定の担当者のみにする
・ダウンロード先やソフトの改ざんに気づいた場合の対処を決めておく
東映アニメーションの不正アクセスでも、使われましたが、
ランサムウェアの世界でも、特定のターゲットを狙った攻撃がトレンドです。
ランサムウェアの世界でも、特定のターゲットを狙った攻撃がトレンドです。
┏┓ ITmedia NEWS
┗□…
ランサムウェアの知識、古くなってない?
従来型とは別手法の「システム侵入型」が台頭
https://www.itmedia.co.jp/news/articles/2205/13/news159.html
┗□…
ランサムウェアの知識、古くなってない?
従来型とは別手法の「システム侵入型」が台頭
https://www.itmedia.co.jp/news/articles/2205/13/news159.html
今までの攻撃パターンは、メール等に添付されたランサムウェアを
ランダムにばらまき、ファイルを開かせることで、感染させていました。
新たに出現したパターンでは、攻撃者が直接、
対象のPCやサーバに侵入し、ランサムウェアを実行したり、
システムに侵入したことで得た、内部情報を人質に
身代金要求をおこなってくるパターンがあります。
対象のPCやサーバに侵入し、ランサムウェアを実行したり、
システムに侵入したことで得た、内部情報を人質に
身代金要求をおこなってくるパターンがあります。
「内部情報を暴露されたくなければ身代金を払え」
といった感じです。
このようなランサム(ransom=身代金)攻撃を
”システム侵入型ランサム攻撃”と呼びます。
”システム侵入型ランサム攻撃”と呼びます。
侵入を試みる攻撃者は、脆弱性が放置された
「VPN機器」や「ネットワーク機器」を狙ってきます。
「VPN機器」や「ネットワーク機器」を狙ってきます。
リモートワーク全盛である、現在、ご自宅から会社内に
リモートで接続することも多々あると思います。
リモートで接続することも多々あると思います。
ご自宅のルーターやNAS等についてもこまめな
ファームウェアアップデートを心掛けましょう。
ファームウェアアップデートを心掛けましょう。
・‥…━━━━━━━━━━━━━━━━━━━━━━━━━━━━◆◇◇◆
◆2.Tips 「パスワードレス認証」
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆2.Tips 「パスワードレス認証」
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
2018年にbeat★ナビでも取り上げましたけれども、
夢の「パスワードレス」が来年にはやってきそうです。
夢の「パスワードレス」が来年にはやってきそうです。
┏┓ ITmedia NEWS
┗□…
Apple、Google、Microsoftが
パスワードなしサインイン標準サポート拡大
https://www.itmedia.co.jp/news/articles/2205/06/news042.html?utm_source=pocket_mylist
┗□…
Apple、Google、Microsoftが
パスワードなしサインイン標準サポート拡大
https://www.itmedia.co.jp/news/articles/2205/06/news042.html?utm_source=pocket_mylist
パスワードレスであれば、複雑なパスワードを覚えたり、
一定期間でパスワード変更をおこなわなくて済むため、
利用者側にも大きなメリットとなります。
この技術では最近のスマートフォンに標準で搭載されている、
指紋認証や顔認証等の生体情報を使います。
指紋認証や顔認証等の生体情報を使います。
スマートフォンに登録された認証情報で照合を行い、
照合結果のみをアプリやオンラインサービスなどのサーバーへ送信します。
そのため、サービス側など外部に生体情報は保存されません。
照合結果のみをアプリやオンラインサービスなどのサーバーへ送信します。
そのため、サービス側など外部に生体情報は保存されません。
PCでWebサイトにサインインするには、
スマートフォンが近くにある必要があり、
スマートフォンのロックを解除するよう求められ、
ロックを解除するとサインインできるようになります。
スマートフォンが近くにある必要があり、
スマートフォンのロックを解除するよう求められ、
ロックを解除するとサインインできるようになります。
今後はこういった、パスワードに頼らない認証が増えていくのだと思います。
指紋や顔だけでなく、静脈や網膜等、色々な認証方法が
一般的な世界になるのかもしれません。
かのルパン三世のように指紋や顔等を精工に偽装する技術は、
一般的に普及しているわけではありません。
一般的に普及しているわけではありません。
パスワードレスの技術によって、全てのパスワードが無くなるのか、
現段階では、わかりません。
そのため、パスワード入力も可能なスマートフォン等の端末は、
パスワードレスになるまで、漏えいする可能性等を考慮して、
下記のような対策が有効です。
パスワードレスになるまで、漏えいする可能性等を考慮して、
下記のような対策が有効です。
・予想しやすい値にしない
・6桁以上を指定する
・入力回数に上限を決める
・6桁以上を指定する
・入力回数に上限を決める
スマートフォン等の端末は、情報の塊です。
盗難や紛失等、管理を粗雑にしないことも重要です。
盗難や紛失等、管理を粗雑にしないことも重要です。
━━━━━━━━━━━━━━━━━━━━
少しだけFAQをご紹介。
Googleの仕様変更に伴い、外部メール連係の設定変更が必要です。
コンテンツフィルターやSSL通信のセキュリティーを利用する場合、
証明書のインストールが必要になります。
FAQ ID:1836
証明書のインストール(コンテンツフィルター、SSL通信のセキュリティー)
証明書のインストール(コンテンツフィルター、SSL通信のセキュリティー)
ウイルス定義ファイルの更新は、自動でおこなわれます。
更新日やバージョンの確認をおこなう際にご活用ください。
FAQ ID:2315
ウイルス定義ファイルの更新とバージョン(更新日)確認
ウイルス定義ファイルの更新とバージョン(更新日)確認
「Emotet」の感染確認ツール「EmoCheck」(JPCERT/CC製)が
5月20日にアップデートされたそうです。
FAQ ID:18968
「Emotet」かもしれない不審なメールの添付ファイルを開いてしまった。どうすればいいですか。
「Emotet」かもしれない不審なメールの添付ファイルを開いてしまった。どうすればいいですか。
━━━━━━━━━━━━━━━━━━━━
・‥…━━━━━━━━━━━━━━━━━━━━━━━━━━━━◆◇◇◆
◆3.編集後記
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
・‥…━━━━━━━━━━━━━━━━━━━━━━━━━━━━◆◇◇◆
◆3.編集後記
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
毎朝ニュースを見ると、4630万円誤送金問題についての
ニュースを毎回報道しています。
ニュースを毎回報道しています。
┏┓ Yahoo!ニュース
┗□…
4630万円誤送金で脚光浴びた「フロッピーディスク」
絶滅どころか公的機関でいまだ“現役”の事情
https://news.yahoo.co.jp/articles/4b77222c8ac51255a8ed76633424bf433081b56e
┗□…
4630万円誤送金で脚光浴びた「フロッピーディスク」
絶滅どころか公的機関でいまだ“現役”の事情
https://news.yahoo.co.jp/articles/4b77222c8ac51255a8ed76633424bf433081b56e
今回の問題で、意外と脚光浴びた「フロッピーディスク」
この令和の時代に未だに現役であることに驚きました。
フロッピーディスク自体は、業務でも使用したこともあり、
昭和世代の私からするとなじみ深いものです。
昭和世代の私からするとなじみ深いものです。
平成世代に入ると、光学ディスクやフラッシュメモリが登場し、
フロッピーディスクを見たことはあるが、
使ったことは無いという人もちらほら出てきているようです。
フロッピーディスクを見たことはあるが、
使ったことは無いという人もちらほら出てきているようです。
さらに今年の新卒のような、Z世代と呼ばれるような若者は、
フロッピーディスクの存在自体を知らず、WordやExcelの
上書き保存ボタンを「フロッピー」のマークと言っても
伝わらないこともあるようです。
フロッピーディスクの存在自体を知らず、WordやExcelの
上書き保存ボタンを「フロッピー」のマークと言っても
伝わらないこともあるようです。
Z世代の若者にとっては、自動販売機に見えるようなので、
自動販売機のマークと伝えてあげるのが良いのかもしれません。
自動販売機のマークと伝えてあげるのが良いのかもしれません。
次回は2022年6月24日(金)に配信予定です。
(カワノ)
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━