• ID : 60722
  • 公開日時 : 2022/05/27 00:00
  • 印刷

≪beat★ナビ≫故意と過失 | 2022年05月27日(金)

≪beat★ナビ≫は、セキュリティーに関するニュースやトレンド情報、
beatの機能紹介など、有益な情報を提供するメールマガジンです。
※本メールは、beat-box責任者様宛に配信しております。
カテゴリー : 

回答

━ ≪beat★ナビ≫ ━━━━━━━━━━━━━━━━━━━2022.05.27配信
    「故意と過失」
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 
こんにちは。
富士フイルムビジネスイノベーション株式会社の河野です。
 
6月1日、改正公益通報者保護法が施行されます。
 
┏┓ リスク対策.com
┗□…
     改正公益通報者保護法の着眼点(前編)
     https://www.risktaisaku.com/articles/-/67482
 

下記3つの観点を中心に法改正がおこなわれるそうです。
 
  ・事業者自ら不正を是正しやすく
  ・行政機関等への通報を行いやすく
  ・通報者がより保護されやすく
 
また、従業員の数が300人を超える事業者には、
体制の整備や「公益通報対応業務従事者」の指定が
義務付けられました。
 
300人以下の事業者については、努力義務となっています。
 

・‥…━━━━━━━━━━━━━━━━━━━━━━━━━━━━◆◇◇◆
  ◆目次◆
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 
今回は下記3点です。
 

    [1] メインコンテンツ: 不正アクセスとランサム攻撃
    [2] Tips: パスワードレス認証
    [3] 編集後記
 
 
・‥…━━━━━━━━━━━━━━━━━━━━━━━━━━━━◆◇◇◆
  ◆1.メインコンテンツ
      「不正アクセスとランサム攻撃」
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 
そもそも公益通報者保護法とは2004年に制定された制度です。
 
改正前は、内部通報制度等を設けることは法律上の義務とはされておらず、
十分に機能していないと、指摘されていました。
 
今回の法改正により、安全で簡単に通報できる体制が
整っていけば、内部不正への抑止力となり、
一定の効果が期待できるのではないかと思います。
 
 
 
内部不正等による意図的な情報漏えいだけでなく、
過失によるセキュリティ事故にも注意が必要です。
 
先月発生した、東映アニメーションへの不正アクセスについて、
調査結果が発表されました。
 
┏┓ ZDNet Japan
┗□…
     東映アニメ、不正アクセスの調査結果を公表
     --業務ソフト配布元が改ざん
     https://japan.zdnet.com/article/35187047/
 

今回の事件では、業務に使用するソフトウェアの配布元サイトが改ざんされ、
ダウンロードしたソフトウェアからランサムウェア等の
侵入に繋がっていました。
 
今のところ、東映アニメーションを
ターゲットにした攻撃だという情報は無いようです。
 
しかし、特定の目的をもって、特定の企業を狙った攻撃は、
増加傾向にあります。
 
本件もその可能性は高いと言えるでしょう。
 

ターゲットを定めた場合、攻撃者はあらかじめ、
使用するソフトウェアについて情報を得て、
そのダウンロードサイトに対し、罠をしかけます。
 
ソフトウェアに関する情報の入手先は、
マルウェアにより搾取された情報だったり、
ブラックマーケットに流れている情報だったりと、多岐にわたります。
 
もしかすると、従業員がプライベートでおこなった、
SNS等でのちょっとした「つぶやき」であったかもしれません。
 

フリーウェアであっても、社内で利用するソフトウェアについては、
下記のような運用ルールの作成をおすすめします。
 
  ・ソフトウェアの管理台帳等を作成する
  ・ソフトウェアのダウンロードは特定の担当者のみにする
  ・ダウンロード先やソフトの改ざんに気づいた場合の対処を決めておく
 
 
 
東映アニメーションの不正アクセスでも、使われましたが、
ランサムウェアの世界でも、特定のターゲットを狙った攻撃がトレンドです。
 
┏┓ ITmedia NEWS
┗□…
     ランサムウェアの知識、古くなってない?
     従来型とは別手法の「システム侵入型」が台頭
     https://www.itmedia.co.jp/news/articles/2205/13/news159.html
 

今までの攻撃パターンは、メール等に添付されたランサムウェアを
ランダムにばらまき、ファイルを開かせることで、感染させていました。
 
新たに出現したパターンでは、攻撃者が直接、
対象のPCやサーバに侵入し、ランサムウェアを実行したり、
システムに侵入したことで得た、内部情報を人質に
身代金要求をおこなってくるパターンがあります。
 
「内部情報を暴露されたくなければ身代金を払え」
 
といった感じです。
 
このようなランサム(ransom=身代金)攻撃を
”システム侵入型ランサム攻撃”と呼びます。
 
侵入を試みる攻撃者は、脆弱性が放置された
「VPN機器」や「ネットワーク機器」を狙ってきます。
 
リモートワーク全盛である、現在、ご自宅から会社内に
リモートで接続することも多々あると思います。
 
ご自宅のルーターやNAS等についてもこまめな
ファームウェアアップデートを心掛けましょう。
 
 
 
・‥…━━━━━━━━━━━━━━━━━━━━━━━━━━━━◆◇◇◆
  ◆2.Tips  「パスワードレス認証」
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 
2018年にbeat★ナビでも取り上げましたけれども、
夢の「パスワードレス」が来年にはやってきそうです。
 
┏┓ ITmedia NEWS
┗□…
     Apple、Google、Microsoftが
     パスワードなしサインイン標準サポート拡大
     https://www.itmedia.co.jp/news/articles/2205/06/news042.html?utm_source=pocket_mylist
 

パスワードレスであれば、複雑なパスワードを覚えたり、
一定期間でパスワード変更をおこなわなくて済むため、
利用者側にも大きなメリットとなります。
 
この技術では最近のスマートフォンに標準で搭載されている、
指紋認証や顔認証等の生体情報を使います。
 
スマートフォンに登録された認証情報で照合を行い、
照合結果のみをアプリやオンラインサービスなどのサーバーへ送信します。
そのため、サービス側など外部に生体情報は保存されません。
 
PCでWebサイトにサインインするには、
スマートフォンが近くにある必要があり、
スマートフォンのロックを解除するよう求められ、
ロックを解除するとサインインできるようになります。
 

今後はこういった、パスワードに頼らない認証が増えていくのだと思います。
指紋や顔だけでなく、静脈や網膜等、色々な認証方法が
一般的な世界になるのかもしれません。
 
かのルパン三世のように指紋や顔等を精工に偽装する技術は、
一般的に普及しているわけではありません。
 

パスワードレスの技術によって、全てのパスワードが無くなるのか、
現段階では、わかりません。
 
そのため、パスワード入力も可能なスマートフォン等の端末は、
パスワードレスになるまで、漏えいする可能性等を考慮して、
下記のような対策が有効です。
 
  ・予想しやすい値にしない
  ・6桁以上を指定する
  ・入力回数に上限を決める
 
スマートフォン等の端末は、情報の塊です。
盗難や紛失等、管理を粗雑にしないことも重要です。
 

━━━━━━━━━━━━━━━━━━━━
 
少しだけFAQをご紹介。
 
Googleの仕様変更に伴い、外部メール連係の設定変更が必要です。
 

コンテンツフィルターやSSL通信のセキュリティーを利用する場合、
証明書のインストールが必要になります。
 
 

ウイルス定義ファイルの更新は、自動でおこなわれます。
更新日やバージョンの確認をおこなう際にご活用ください。
 
 

「Emotet」の感染確認ツール「EmoCheck」(JPCERT/CC製)が
5月20日にアップデートされたそうです。
 
 
 
 
━━━━━━━━━━━━━━━━━━━━
・‥…━━━━━━━━━━━━━━━━━━━━━━━━━━━━◆◇◇◆
  ◆3.編集後記
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 
毎朝ニュースを見ると、4630万円誤送金問題についての
ニュースを毎回報道しています。
 
┏┓ Yahoo!ニュース
┗□…
     4630万円誤送金で脚光浴びた「フロッピーディスク」
     絶滅どころか公的機関でいまだ“現役”の事情
     https://news.yahoo.co.jp/articles/4b77222c8ac51255a8ed76633424bf433081b56e
 

今回の問題で、意外と脚光浴びた「フロッピーディスク」
この令和の時代に未だに現役であることに驚きました。
 
フロッピーディスク自体は、業務でも使用したこともあり、
昭和世代の私からするとなじみ深いものです。
 
平成世代に入ると、光学ディスクやフラッシュメモリが登場し、
フロッピーディスクを見たことはあるが、
使ったことは無いという人もちらほら出てきているようです。
 
さらに今年の新卒のような、Z世代と呼ばれるような若者は、
フロッピーディスクの存在自体を知らず、WordやExcelの
上書き保存ボタンを「フロッピー」のマークと言っても
伝わらないこともあるようです。
 
Z世代の若者にとっては、自動販売機に見えるようなので、
自動販売機のマークと伝えてあげるのが良いのかもしれません。
 

次回は2022年6月24日(金)に配信予定です。
 
(カワノ)
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━