【IT関連】1/27週の情報系ニュース
今週のニュースあれこれ
オリンピック開催となる今年は、例年以上にサイバーセキュリティ対策を十分に実施することが求められると考えられます。毎回開催国は多くのサイバー攻撃の標的となっていますし。
とはいえ、多くのセキュリティ事件が既に多々発生してしまっております。早くも雲行きが怪しい年になりそうです。
情報セキュリティ10大脅威2020、発表
IPAが毎年公開している情報セキュリティ10大脅威。その最新版が公開されました。
注目は、個人ランキングで初登場1位となった「スマホ決済の不正利用」でしょうか。セブンペイ事件も記憶に新しいですが、やはり近年で急速に発達してきた技術を悪用するような動きは多く観測されるようです。
組織面は、相変わらず標的型攻撃が昨年に引き続き1位。昨年から流行しているEmotetもまだまだ活発のようですので、技術的対策に加え組織的な教育等も充足される必要がありそうです。
Avastアンチウイルスの情報収集問題
Avastが提供しているアンチウイルスソフトが、利用者の情報を匿名化し販売していた問題。Avastはフリー版もありますから、個人で導入している方も多そうです。
ウェブアクセス履歴などを収集し販売していたとのことで、記事によると匿名化はされているものの個人を特定可能な範囲だとか。
エンドポイントのセキュリティソフトは常駐型が基本ですから、確かにこのような情報を収集することも不可能ではないでしょう。しかし、信頼が重要なこの業界でこれは非常にマズいのでは。
ソフトバンクの内部不正事案
ソフトバンク元社員が、会社情報を不正に持ち出し外国人に販売した件。
いくら内部不正防止の為に様々なアクセス制限や物理的対策を実施しても、抜け穴をゼロにすることは非常に難しいのかと思います。
いわゆる「ゼロトラスト」のお話に近しいのかもしれませんが、性善説が通用しない現代において内部不正は対策困難な重要課題。先の10大脅威でも2位に挙げられています。
……それにしても、容疑者は48歳とのこと。非常にリスクが高いことは承知のうえでの犯行かと思われますが、人心掌握が巧みだったのか、それとも金の力だったのか。
【IT関連】1/20週の情報系ニュース
今週のニュースあれこれ
昨年のHDD事件、先日のWindows7サポート終了など、最近は毎週のように情報関係・サイバーセキュリティ関係で大きなニュースがあります。
そして今週も、またもや大きな事件がありました。これまた他社にも影響の大きい事件で、中々安息の日々を迎えることができませんね。
三菱電機の件
昨年に三菱電機がサイバー攻撃を受け、情報漏洩が発生した可能性があると報道されました。セキュリティ関係でお馴染みのpiyokangoさんもまとめています。
詳細な手法等についてはまだ(今後も?)公開されていませんので、この件についてはなんとも。世論では厳しい意見が多いですが、攻撃側が圧倒的に有利な世界ですし。もちろん「しょうがない」で済まされるようなことではないですが。
本件については超大手ということもあり、影響のある企業も多そうです。攻撃元についても案の定という感じですので、他山の石と捉えずにしっかりと考えなければいけません。
廉価版iPhone、遂に発売か
iPhone SEの発売から数年経過し、ようやく時期廉価版のiPhoneが発売される模様。一定の需要があると言われつつも数年間音沙汰なしでしたから、動向はとても楽しみです。
ただ、サイズ感やスペック的にはiPhone8あたりが比較対象になるようです。iPhone SEの後継に望まれていたのはサイズ感が一番じゃないかという気がしますので、この点はいかがなものか。
まあ、iPhone 8も発売から結構経っていますので、同等のスペックで廉価版が出ると考えれば問題ないのかもしれません。サイズはSEより大きくなりますが。
2020年のサイバーセキュリティ月間
毎年2月の恒例となっております、NISC実施のサイバーセキュリティ月間。今年も同じ日程で実施するとのことです。
ここ数年はアニメコラボをしておりますが、今年はソードアート・オンラインとコラボするようです。SAOコラボは前々々回あたりから2度目でしょうか。
サイバー関係のアニメコラボということで、過去には攻殻機動隊やBEATLESSなどとタイアップしておりました。昨今では様々な施策・取組等でアニメコラボが見受けられます。広く興味を持って知ってもらうには良い傾向なのかもしれません。
SF小説や映画では、ロボットや人工知能をネタにしたものは古くから多くあります。情報化が進んだ現代、サイバーセキュリティについて扱う作品が増えないかなと期待しております。
【IT関係】Windows7、遂にサポート終了
リリースから10年以上、遂にサポート終了
先週の2020/1/14、とうとうWindows7がサポート終了となりました。ニュースでも結構取り挙げられていましたので、ご存じの方も多いでしょうか。
「サポート終了って何?」というのは、下記の記事にて簡単にまとめられています。
要は、不具合やバグの対応ができなくなるのでウイルス感染等の危険がありますよ、ということですね。
この影響で昨年度あたりからは個人・法人ともに買い替え需要が多かったとのこと。対応に追われた方々、お疲れ様でした。
傑作OSと名高かったWindows7
Windows OSは(主観もありますが)ユーザビリティ等々から人気が分かれがちですが、Windows7は比較的人気が高かったかと思います。まあ、前後のVista・8.xがちょっとアレだった影響が大きいと思いますが。
ただ、人気があり普及しただけに、サポートが終了しても未だに買い替えていない方も多いようです。法人利用でも買い替えをしていない・そもそも知らない、というパターンがあるようで。
リスクを承知のうえでの決断ならともかく、何か事象が起きた際に「知らなかった」では済まされません。セキュリティ事象は年々被害が深刻化しており、世論でもバッシングの対象になりがちです。
また、スタンドアローン(ネットワーク接続なし)として継続利用する、という声もありますね。この場合、外部媒体(USBメモリや外付けHDD、SDカードなど)も一切利用しないのなら検討の余地はあるかもしれません。アンチウイルスソフトの更新すら不可能になりますが。
サポート終了に対する反応
前述のとおりWindows7は人気が高かったからか、今回のサポート切れに対する反響も多々ありました。
法人案件での端末取替に苦労した、という方も大勢いるようです。汎用的な用途ならともかく、特殊なソフト・ハードウェア導入などの要件があると一気に難しくなりますから。
また、Windows7の販促用キャラクターである窓辺ななみは、今回で「卒業」ということになり、一部界隈では彼女の卒業を惜しむ声が。
このような日本独特の応援文化、良いですね。
まとめ
これでWindows端末はWindows10が主流となりました。10はまた更新方法が変更されたため、運用者は当面苦労するかもしれません。
しかしまぁ、対応しないことにはどうしようもありません。おそらく今後(あるいは既に)脆弱なWindows7端末を狙う攻撃も発生するでしょうし、更新はしっかりと行いましょう。
【IT関係】マカフィーが選ぶ2019年の10大セキュリティ事件
2019年のセキュリティ事象振り返り
毎年様々な情報セキュリティ事件が発生していますが、2019年度も例年に劣らず多くの事件がありました。IT系にお勤めの方々は、事件の余波に巻き込まれて無駄な対応に追われたこともあったのではないでしょうか。
さて、セキュリティベンダのマカフィーが、今年も「2019年の10台脅威」を発表しております。
こちらを見ながら、個人的にも今年を振り返ってみようかと思います。
1位はやはり7Pay
案の定、1位となったのはセブンペイ事件。サービスのリリースから不具合判明、サービス停止までの速度が話題になりましたが、被害を受けた顧客の数も多く、中々洒落にならない事象でした。
この件は様々なことを考えさせられますが、「こんな状態でサービスをリリースしてしまった」ということが非常に気がかりでした。プロジェクトの体制や環境などは何も知りませんが、おそらく複数の闇を抱えている案件だったのでしょう。そうでなければ、いくら日本のIT業界といえどこんな事態にはならないはず。
利便性とセキュリティは表裏一体とは言うものの、そもそもここまでセキュリティが考慮されていないのは大問題でした。
4位、瞳に映った景色から住所を特定
SNS全盛期の昨今では、芸能人から小学生まで多種多様な人間が日々スマホで写真を撮り、TwitterやInstagramなどに投稿しています。スマホのカメラは高性能化し、ガラケー時代の画質とは比較にならないほど鮮明になりました。
そんな中で発生したこの事件は、ある意味この時代を象徴するかのような出来事です。以前から写真を解析し、窓ガラスや鏡に映り込んだ文字などを明確にする技術はありました。一部ネット界隈における特定班の技術は目を見張るものがありましたし、特定行為自体のハードルについても(悲しいことに)画像の高精度化により低くなっています。
今後、再発を防止していくには、どのようなことを行う必要があるのでしょうか。一番良いのは、画像をアップロードされたサービス側で、個人を特定できるような情報などを自動で検知・修正することかと思います。しかし、画像の解析や分類の制度は日々向上しているとはいえ、これらの実現について当面は難しいでしょう。
よって、結局は利用者側もリテラシーを学び、写真を公開する前に自分で確認することを習慣とするしかないのかと。……それでも、瞳の映り込みまで注意するのは骨が折れそうですが。
9位、「宅ふぁいる便」利用者の情報流出
不正アクセスと情報漏洩、というのがもはや日常茶飯事になってしまっており、セキュリティネクストでも頻繁に同類の記事を見かけます。しかし、この事例は中々インパクトがあったのでは。
この事件では約480万件のメールアドレスとパスワードのセットが漏洩ということでしたが、ポイントはサービスで保存していたパスワードが暗号化されていなかった点。そのため、利用していたパスワードがそのまま漏洩することとなりました。法人利用していた方は対応を強いられたのではないでしょうか。
そもそもなぜ暗号化されていなかったのか、という点については、「宅ふぁいる便」は歴史あるサービスであり、提供開始当初はそこまでのセキュリティ意識がなかったから……というお話もあるようです。確かに宅ふぁいる便のサービス開始は1999年ですから、そのような理由もあるかもしれません。
しかし、現在では暗号化することが常識ですし、その点に対応できていないことは非常に大きなリスクでした。本事件は氷山の一角であり、このような「塩漬け対応」となっているシステム/サービスはまだまだ国内に眠っているのでしょう。
選外、ブロードリンクの件
報道が12月だったため今回の10大セキュリティ事件にはランクインしていませんが、選考期間内なら確実に上位ランクインしていたであろう事件。Twitterなどでは日本中のIT担当者が、過去にブロードリンクと取引があったかを調べさせられた……という悲鳴が多く見受けられました。
この件で深刻なのは、ユーザ側としての対策が難しいことです。HDD破壊を立会確認することを必須にすると、台数次第ではとても時間が必要になります。破壊済写真(シリアル付)を添付したとして、必ずしも写真が加工されていないとも限らない。
結局のところ会社間の信頼関係のうえで成り立っていたのですが、今回の事件でそれらは全て不可となりかねません。まぁ性悪説のもとで安全策を検討するのであれば、前述の立会確認、あるいは破壊したうえで引き渡す、などを検討せざるを得ないのですが。
まとめ
他にもAWS障害やEmotet大流行などなど多数の事件があり、今年も落ち着かない一年でした。来年はどうか平和になるよう……と祈りたいですが、オリンピックイヤーですし今年以上に事件が多発するんでしょうね。
