« 2010年7月 | トップページ | 2010年9月 »

2010年8月の記事

2010年8月31日 (火)

「出会い系」詐欺の日本と海外の違い

ITmediaの記事「出会い系」詐欺の日本と海外の違い、日本人女性の被害も発生
http://www.itmedia.co.jp/enterprise/articles/1008/27/news068.html
からです。

日本と海外では、出会い系スパムによる詐欺の手口が違うようです。

 出会い系スパムは、1日に流通する迷惑メール全体の4%(約10億通)を占める。海外から送信された出会い系スパムによって、日本人が詐欺犯罪に巻き込まれたケースも報告されているという。

 日本で見られる出会い系スパムの特徴は、迷惑メールを通じて受信者を出会い系サイトに誘導する、もしくは受信者が登録した出会い系サイト自体が詐欺犯罪を行う点である。出会い系サイトが詐欺を行う場合、相手を紹介するとうたって受信者に金銭を支払わせる。

 一方、海外の出会い系詐欺ではWebサイトを通じて犯罪者が登録者に接近し、電子メールでのやりとりなどを通じて親密な関係を築き、登録者に「交際している」という錯覚を起こさせて金銭をだまし取る。

日本では「紹介する」と言ってだましているようですが、海外だと接触した人間が金銭を騙し取ろうとするようです。
今後は、海外のような手口も増えてくるのではないか、と個人的には考えております。

| | コメント (0) | トラックバック (1)

2010年8月30日 (月)

日本のネット安全性は世界で第3位

ITmediaの記事「日本のネット安全性は世界で第3位 最も危険なのはトルコ」からです。

この調査とデータは「同社のウイルス対策ソフトがインストールされている、世界144カ国の1億2700万台のPCのデータに基づいて行われた。期間は7月の最終週の7日間。ウイルス対策ソフトが検知・対処した攻撃の数から換算した」ということ。

世界のネット接続安全性に関する国別ランキングでは、「日本は世界で3番目に安全にWebを利用できる国」らしい。ちなみに1位がアフリカのシエラレオネ(696人に1人)、2位は同じくアフリカのニジェール(442人に1人)、3位が日本(404人に1人)。最下位は、トルコだそうです。

日本が上位の理由として「日本のユーザーが安全とリスクについての意識が高い」とされているんですが、順位もこの理由もあまりしっくりこないんだよなぁ・・・ 

| | コメント (0) | トラックバック (1)

2010年8月29日 (日)

「マネージドセキュリティサービス(MSS)選定ガイドライン」公開

日本セキュリティオペレーション事業者協議会(Information Security Operation providers Group Japan、略称:ISOG-J)のHPで「マネージドセキュリティサービス(MSS)選定ガイドライン」
が公開されています。

マネージドセキュリティサービス(MSS)とは、どんなサービスなのかが具体的に説明されています。
サービスを選定するには、その内容を理解しなければなりません。
その際に役立つガイドラインですね。

| | コメント (0) | トラックバック (1)

2010年8月28日 (土)

「iLogScanner V3.0」公開

IPAセキュリティセンターのHPで「iLogScanner V3.0」が公開されています。

まず、このツールは何かというと、

「iLogScanner」は、利用者のウェブブラウザ上でウェブサーバのログを解析することで、ウェブサイトを狙った攻撃の検出を容易に行うツールです。ウェブサイト管理者は本ツールを使用することで、自組織のウェブサイトがどれほどの攻撃を受けているかを把握することが可能になります。

というもの。

それから、機能強化点は、

1.解析性能の向上
旧バージョンと比較して、ログの解析時間が平均約5分の1に短縮されました。
2.検出可能な攻撃パターンの増強
検出可能な攻撃パターンの量を旧バージョンの約1.5倍に増強しました。
3.使いやすさの向上
解析時に対象期間を日単位で指定できるようにしました。
利用者の用途に応じて「解析レベル」(標準・詳細)を選択できるようにしました。
4.その他
Web Application Firewall (WAF)のログ分析が可能になりました。本バージョンでは、ModSecurityと連携できるようにしました。
対応可能なログフォーマットの種類を増強しました。

というところのようです。

| | コメント (0) | トラックバック (1)

2010年8月27日 (金)

フィッシングで偽造パスポート

日経ITproの記事「フィッシングの個人情報で偽造パスポート―ネットの闇市場で販売中」からです。

この記事によると、

 フィッシング詐欺などで盗まれた個人情報は、パスポートやクレジットカードの偽造に使われる場合があるとして注意を呼びかけた。例えばある闇市場サイトでは、盗んだ情報で作成した偽造パスポートを5000ドル程度で販売しているという。

<中略>

 偽造クレジットカードは10枚1セットで販売。カードのブランドや使える国によって価格が異なる。例えば、日本で使える「Visa Classic」は10枚で3500ドル。カードの利用限度額は2000ドルから1万5000ドル程度。中には、5万ドルまで使えるカードもあるという。

 さらに、偽造の運転免許証については、米国のそれぞれの州の免許証を用意している。価格は1枚当たり650ドル

とのこと。

盗んだ情報は、こんな形でもビジネスになってるんですね。
だから、せっせと手を変え、品を変えで、集めているということです。

| | コメント (0) | トラックバック (0)

2010年8月26日 (木)

「2010年度 情報セキュリティ監査シンポジウム」開催

日本セキュリティ監査協会(JASA)のHPで「2010年度 情報セキュリティ監査シンポジウム in Tokyo」の開催の告知と参加申し込みの受付が始まっています。

「2010年度 情報セキュリティ監査シンポジウム in Tokyo」

テーマ:「クラウド時代の情報セキュリティと監査の活用」
開催日:2010年10月6日(水) 10:00~17:00(開場:9:30~)
会場:日本教育会館 一ツ橋ホール
    東京都千代田区一ツ橋2‐6‐2

主催:経済産業省、特定非営利活動法人 日本セキュリティ監査協会

やはり、テーマはクラウドか・・・

今回は、韓国の情報セキュリティ動向や国際標準化の動向というセッションもあるようで注目です。

| | コメント (0) | トラックバック (1)

2010年8月25日 (水)

「統合ログ管理サービスガイドライン 第0.9版」公開

データベース・セキュリティ・コンソーシアム (DBSC)から「統合ログ管理サービスガイドライン 第0.9版」 が公開されています。

意見募集もされていますね。(期限:2010年9月6日(月) 17:00)

NIST SP 800-92「コンピュータセキュリティログ管理ガイド(Guide to Computer Security Log Management)」とともに、ログ管理のガイドラインとして活用できそうです。

| | コメント (0) | トラックバック (0)

2010年8月24日 (火)

相撲部屋にiPad

Yahoo!ニュース(時事通信)「相撲部屋にiPad」からです。

このニュースによると、

 日本相撲協会は23日、51ある相撲部屋などに多機能携帯端末「iPad(アイパッド)」を配備すると発表した。理事会の内容などを各親方から力士、裏方まで周知徹底するためという。
 賭博実態調査で、ファクス送信した回答用紙が一部の部屋に届かなかった例などがあり、放駒理事長(元大関魁傑)は「意思疎通がうまくいっていなかった。これからは情報を開示して共有する」と説明した。
 協会内には、「アイパッド」にしたのは、パソコンを使わない親方や手が大きくて携帯電話のメール操作などが苦手な親方らが多いからだとの声もあるが、既に60台を購入。使い方を説明した上で順次配備するという。 

とのこと。

かなりアナログなことしてたんですね。
デジタルになることで、ログが残せるし、否認防止はできるし、・・・、とセキュリティ的な効果もありますよね。

(別のところでも書いたんですが)ところで、「携帯電話のメール操作などが苦手」なんてありますが、「でも、胴元と携帯電話でやり取りしたんだよね」なんて、突っ込んだりして・・・

| | コメント (0) | トラックバック (0)

2010年8月23日 (月)

図書館HP閲覧不能、サイバー攻撃の容疑者逮捕

asahi.comの記事「図書館HP閲覧不能、サイバー攻撃の容疑者逮捕、だが…」「なぜ逮捕?ネット・専門家が疑問も 図書館アクセス問題」からです。

この件は、

愛知県内の男性(39)が、自作プログラムで図書館ホームページから新着図書の情報を集めたところ、サイバー攻撃を仕掛けたとして逮捕された。しかし、朝日新聞が依頼した専門家の解析によると、図書館ソフトに不具合があり、大量アクセスによる攻撃を受けたように見えていたことが分かった。

というもの。

ソフトウェアの脆弱性が放置されていると、犯罪捜査にも影響を及ぼす、ということでしょうか。
犯罪捜査のほうも、アクセス数が多いだけで誤った判断をしてしまったようです。
(記事を読む限り)不正アクセスやDos攻撃とは明らかに違ったようですので、そのあたりのスキルがまだまだ必要なようで・・・

| | コメント (0) | トラックバック (1)

2010年8月20日 (金)

ネット検索で危険な人物―2010年版ランキング

ITmediaの記事「ネット検索で危険な人物は映画スターとモデル―2010年版ランキング」
からです。

さて、最も危険な人物は、キャメロン・ディアスだそうです。「キャメロン・ディアスの名前や画像、動画、スクリーンセーバーといったダウンロード可能なデータを検索した場合、約10%の確率でマルウェア配布サイトや詐欺サイトなどに接続してしまうことが分かった」とのこと。

2位はジュリア・ロバーツ、3位はのジェシカ・ビール、とのこと。

日本でのランキングも知りたいなぁ。AKB48あたりがトップなのかな・・・

| | コメント (0) | トラックバック (1)

2010年8月19日 (木)

「情報セキュリティ ワークショップ in 越後湯沢」

「情報セキュリティ ワークショップ in 越後湯沢」の参加申し込みが始まってました。

昨年までは「ネットワーク・セキュリティ ワークショップ in 越後湯沢」という名称のイベントでしたが、今年からは「情報セキュリティ ワークショップ in 越後湯沢」と変更されたようです。もう今年で、11回目になるんですね。

「情報セキュリティ ワークショップ in 越後湯沢」

●会期:
2010年10月7日(木)~9日(土)

●会場:
新潟県南魚沼郡湯沢町

・湯沢町公民館
・湯沢ニューオータニホテル

●主催:
NPO新潟情報セキュリティ協会(ANISec)
情報セキュリティ ワークショップin越後湯沢
実行委員会 委員長  石井威望(東京大学名誉教授

さて未だこのイベントに参加したことがない私ですが、今年も参加できるかどうかわかりません。

| | コメント (2) | トラックバック (1)

2010年8月18日 (水)

「eIDに対するセキュリティとプライバシに関する認知と受容の調査報告書」 公開

IPAセキュリティセンターのプレス発表「インターネット上のサービスにおけるプライバシについての調査結果を公開」からです。

この調査報告書は「インターネット上のサービスにおいて利用者の識別に用いられる電子的な識別子(以下eID)に関し、2009年度に実施した調査をもとに、セキュリティ問題やプライバシ侵害などのリスクに対する利用者の考え方を分析・明確化」したものとのことです。

EUの調査との比較がされていますが、その結果として「日本人のプライバシ侵害を自身で防ぐ意識の低さが判明」とまとめられています。
日本人の国民性として「他力本願」というような感じの調査報告になっています。
リアルな世界では「治安がいい」とされている国だけに、確かに「自身で防ぐ」という意識は低いのかも。
「サイバーな世界では、違うんだよ」という普及啓蒙が必要なんでしょうね。

<報告書>
「eIDに対するセキュリティとプライバシに関する認知と受容の調査報告書」

| | コメント (0) | トラックバック (0)

2010年8月17日 (火)

「クラウドコンピューティングと日本の競争力に関する研究会」報告書、公表

経済産業省の報道発表「クラウドコンピューティングと日本の競争力に関する研究会」報告書の公表~経済産業省はクラウドコンピューティングを応援しています!!~からです。

この報道発表は、以下のような主旨のようです。

経済産業省では、クラウドコンピューティングの普及・促進を図るため、①市場の健全な発展を通じたクラウド基盤の整備・充実、②データの外部保存・利活用を促す制度整備と社会的コンセンサス形成、③クラウドを活用したビジネスの国際展開に繋がるイノベーション創出の後押し、の三位一体の政策を進めて参ります。
なお、本報告書のとりまとめを機に、本OSS推進フォーラムがクラウドコンピューティング領域への活動を拡大することとなりましたので、併せて御報告いたします。

「クラウドコンピューティングの普及・促進」ということなんですが、ここでは特に「エンタープライズ・クラウド」を指しています。プライベート・クラウドばかり普及していく、というような状況になりそうな雲行きだけに、この活動で何らかのいい影響があるといいのですが・・・

<公開資料>
「クラウドコンピューティングと日本の競争力に関する研究会」報告書の公表~経済産業省はクラウドコンピューティングを応援しています!!~

【資料1】報告書概要

【資料2】報告書

【資料3】(別添1)クラウドサービスレベルのチェックリスト

【資料4】(別添2)技術ロードマップ

| | コメント (0) | トラックバック (0)

2010年8月16日 (月)

スマートフォンのセキュリティ対策

ITmediaの記事「モバイルのセキュリティに必要な対策とは何か」からです。

この記事では「セキュリティの観点で見たスマートフォンは、もはやスマートフォンというカテゴリーの商品ではなくなってきています。PCと同様にインターネットアクセスにおけるエンドポイントの1つとしてとらえ、利用場面に応じたセキュリティ対策が必要です」とあります。
スマートフォンを「携帯電話」と考えての対策では不十分ということですね、同感です。

具体的な対策の例としては、

・脅威のモデル化と対策
・スキャン
・Web Rating
・Anti-Theft
・ファイアウォール
・フィルタリング

が挙げられています。「Anti-Theft」は、モバイルならではの対策ですが、他はPCと同様のものですね。

「スマートフォンは業務では使用すべきではない」というような意見も多く聞かれますが、USBメモリーの使用禁止と同様で、「リスク回避」という対応は業務効率の低下という大きなトレードオフを発生させます。「禁止、禁止」の対策は長続きしません。(このブログでも何度も主張していますが)「道具(手段)」を規制するのではなく、「行為」を規制しなければなりません。

<参考記事~ITmedia>
「モバイルデバイスを取り巻く脅威――過去と今」

「iPhoneが乗っ取られるリスク、「Gumblar攻撃」の併用で具現化する恐れ」

| | コメント (2) | トラックバック (0)

2010年8月11日 (水)

クラウド・セキュリティの認定資格「CCSK」

CSA(Cloud Security Alliance)のHPで、クラウド・セキュリティの認定資格「CCSK(Certificate of Cloud Security Knowledge)」の開始のリリースが出ていました。

米国では、来月(9/1)から提供が開始されるようです。
この資格、日本語化されるんでしょうか。

そうなると、Cloud Security Alliance.Japan Chapterが、日本語化して提供するんでしょうか。

| | コメント (6) | トラックバック (0)

2010年8月10日 (火)

「情報ロンダリング」

ITmediaの記事「ボットネット“ビジネス”のからくり、専門家が解説」からです。

さて、その「情報ロンダリング」の仕組みとは、

 ボットネットは、スパムや偽セキュリティソフトなど、各種のサイバー犯罪にかかわっている。だが今日、捜査当局に気づかれる可能性が低いわりに大きなもうけを狙える最有力候補といえば、「個人情報ロンダリング」だという。

 「個人情報ロンダリングとは、ボットネットの感染マシンから入手できる個人情報をすべて盗み取り、グレーマーケットや合法サイト、合法サービスを通して、その情報を洗浄するという仕組みだ。こうしたサイトやサービスは、その情報を買い取り、それを合法な企業に転売する。この洗浄プロセスを通じて、ボットネット運営者は0.1セントの情報を30セントに変えられる。しかも、その情報は合法な組織によって消費される。見込み客獲得のための既存のリードアフィリエイトプログラム(リードジェネレーションプログラムとも呼ばれる)を使えば、情報1件当たり最大20ドルを稼ぐことも可能だ。だが、最も重要なのは、被害者に気づかれる可能性が事実上ゼロであり、いろいろな意味で、金融詐欺が記録にとどめられることはないという点だ」。

とのこと。(ここでは「個人情報ロンダリング」となっていますが、「情報」全般的に当てはまることだと考えます)
ロンダリング(洗浄)されるのは、マネー(お金)だけではなくなっているということですね・・・

| | コメント (0) | トラックバック (1)

2010年8月 9日 (月)

「ウイルス作成罪」創設へ

毎日jpの記事「サイバー犯罪:「ウイルス作成罪」創設へ 刑法改正を検討」からです。

先日の「タコイカウイルス」の件をきっかけに、検討が本格化したようですね。
正式な名称は、「不正指令電磁的記録作成罪」(仮称)となるようですね。

ちなみに「タコイカウイルス」の作成者の逮捕の容疑は、器物損壊でした。(HDDをウイルスで破壊した、ということ)
他にも、ウイルスの作成者が逮捕も、業務妨害などです。
そのようなことが、今回の創設の検討への背景のようです。

この記事にもあるように、過去に3度廃案になっています。
3度目ならぬ、4度目の正直。今度こそ、法案化されるんでしょうか。

| | コメント (2) | トラックバック (0)

2010年8月 6日 (金)

君は生き残ることができるか?

(予告どおり)1週間ほど更新が滞りました。
引き続き、今月は更新ペースが落ちそうです。(夏なので・・・)

(ご存知の方は、ご存知の)「機動戦士ガンダム」(いわゆる、ファーストガンダム)の次回予告のナレーションの最後で毎回出てきたセリフです。
このフレーズ、ICT業界でもいっしょだと思うんですよね。

そう思っていたら、丸山さんのブログで「クラウド時代は大失業時代?」という記事を発見。
クラウド・コンピューティングの普及という環境変化は、チャンスでもあり、リスクでもあるわけです。
そして、競争相手は、国内同業者だけにあらず、ということ。

さらに、クラウド・コンピューティングと関係なく、需要のないもの、コンピューターなどのオートメーションに代替されるもの、そうした業務や職種は自然に淘汰されてしまうわけですし、そんな仕事や従業員を抱えている組織も淘汰されるのです。

これからは、組織も個人もその生き残りを真剣に考えていかなければなりません。
そして、そうした時代では、個人が組織に頼りっきりになっていては、組織も個人も生き残れないのだと思っています。

| | コメント (4) | トラックバック (0)

« 2010年7月 | トップページ | 2010年9月 »