「東日本大震災に乗じた標的型攻撃メールによるサイバー攻撃の分析・調査報告書」公開

IPAセキュリティセンターから「東日本大震災に乗じた標的型攻撃メールによるサイバー攻撃の分析・調査報告書」～ゼロデイ攻撃や情報窃取に加え、心理的にも巧妙化しつつあるサイバー攻撃の実態を分析～が公開されています。

東日本大震災とそれを引き金とした福島第一原子力発電所事故に乗じ、放射線への人心の恐怖と関心を悪用したサイバー攻撃について調査を行いました。そして、震災に関する情報提供に見せかけた攻撃メールに添付されたウイルスの詳細を分析し、その内容と対策を「東日本大震災に乗じたサイバー攻撃の分析・調査報告書」として公開しました。

（1）今回分析したウイルスの特徴
感染すると端末内の情報（OS情報やディスク情報等）が窃取される。
ウイルス自身が更新（アップデート）される。
攻撃時点ではセキュリティパッチが公開されていない脆弱性を悪用している（いわゆるゼロデイ攻撃）。
震災に乗じ、受信者の心理につけこんだ攻撃メールである。（詳細は別紙参照）
添付ファイルを開くと、実際の震災関連情報と思われるダミーの文書を表示する。
（したがって、感染したことに気がつかない可能性が高い。）

（2）有効な対策
メールの送信元を確認
一見自然なメールでも慎重に判断・対応
各種ソフトウェアを定期的にアップデート
入口対策・出口対策の実施

今年になって急激に増加している標的型攻撃メールへの対策の参考になりそうです。

また、10月3日にはIPAテクニカルウォッチ「標的型攻撃メールの分析に関するレポート」も公開される予定になっていますね。

「情報セキュリティ技術動向調査（2011 年上期）」公開

IPAセキュリティセンターから「情報セキュリティ技術動向調査（2011 年上期）」が公開されました。

情報セキュリティ技術動向調査（2011 年上期）

目次

序 2011年上期の技術動向 - 今日のセキュリティエンジニアリングの話題
1. 楕円曲線暗号の署名方式ECDSAにおける脆弱性の脅威
2. Linux Integrity Subsystemの現状
3. IPv6の配備におけるイントラネットセキュリティ
4. DNSを用いた公開鍵の配送技術 － DANE
5. Ajaxブラウザセキュリティ - 主戦場をDOMに移したXSS
6. IETFにおけるWeb 2.0 セキュリティ（Websec WG，JWT等）
7. クラウドコンピューティングセキュリティ - NISTガイドラインより
8. SCIM（Simple Cloud Identity Management）

IPv6の配備におけるイントラネットセキュリティ、IETFにおけるWeb 2.0 セキュリティ、クラウドコンピューティングセキュリティ、あたりが特に興味がありますので、あとで読んでみます。
あと、新しい「SCIM」って認証プロトコルなのかな？

企業の半数近くがソーシャルエンジニアリングを経験

最近、更新サボり気味で、すいません。
まぁ、ぼちぼち更新しますので、気長にお待ちください。

さて、今回は・・・

日経ITproの記事「企業の半数近くがソーシャルエンジニアリング攻撃を経験」からです。

この記事はソーシャルエンジニアリングに関する調査結果なのですは、非常に興味深いデータとなっています。

  企業の48％は過去2年間で25回以上、ソーシャルエンジニアリング攻撃を受けている。セキュリティ侵害1件あたりの損害額は2万5000ドルから10万ドル以上に上る。

　IT専門職およびセキュリティ専門職の86％は、ソーシャルエンジニアリングの危険性を認識していた。ソーシャルエンジニアリング攻撃の動機として最も考えられるのは「金銭を手に入れるため」（51％）で、続いて「企業秘密を入手するため」（46％）、「競合他社より優位に立つため」（40％）、「報復のため」（14％）が挙げられた。

　ソーシャルエンジニアリングの手口としては「フィッシングメール」（47％）が最もよく使われる。個人情報が公開されている「SNSサイト」（39％）や、セキュリティ保護が不十分な「モバイルデバイス」（12％）も悪用されやすい。

　また、ソーシャルエンジニアリングのワナに陥る危険性が最も高いと懸念されるのは、企業のセキュリティポリシーがあまり身についていない「新規採用された社員」（60％）と「契約社員」（44％）だった。

　ソーシャルエンジニアリングは、セキュリティ対策をする側にとっては、対策（防止、検出）もしにくければ、教育もしにくい攻撃です。このデータが、これらのための貴重なデータになるのではないでしょうか。（動機を排除する、手口を知り対策する、危険因子である人を特定する、などなど）

ネット検索で危ない有名人ランキング

ITmediaの記事「ネット検索で危ない有名人の2011年ランキング、McAfeeが発表」からです。

昨年は、キャメロン・ディアスが第1位だったのですが、今年は・・・

1 ハイディ・クルム 9.17％
2 キャメロン・ディアス 9.08％
3 ピアーズ・モーガン 8.92％
4 ジェシカ・ビール 8.83％
5 キャサリン・ヘイグル 8.67％
6 ミラ・キュニス 8.17％
7 アンナ・パキン 8.08％
8 アドリアナ・リマ 8.00％
9 スカーレット・ヨハンソン 7.83％
10 エマ・ストーン 7.67％

キャメロン・ディアスは、第2位に陥落。昨年第2位のジュリア・ロバーツは圏外へ。
ちなみに、このランキングではキャメロン・ディアスとジェシカ・ビール（昨年第3位）以外は私の存じ上げない有名人ばかり。

あと、日本のランキングも知りたいんですが、調べてもらえませんかね。

＜参考記事＞
・「ネット検索で危険な人物は映画スターとモデル―2010年版ランキング」 ～ITmedia

「IPv6によるインターネットの利用高度化に関する研究会」第三次中間報告書（案）、「環境クラウドサービスの構築・運用ガイドライン」（案）公開

総務省から「IPv6によるインターネットの利用高度化に関する研究会」第三次中間報告書（案）、「環境クラウドサービスの構築・運用ガイドライン」（案）が公開され意見募集がされています。

まだまだ、課題がたくさんありますね。
そして、利用拡大（家電やカーナビ、スマートフォンなど）が進むとICTや情報セキュリティにもかなりの変化や影響が及ぶことになります。

＜公開資料＞
・「IPv6によるインターネットの利用高度化に関する研究会」第三次中間報告書（案）

・「環境クラウドサービスの構築・運用ガイドライン」（案）

ネット犯罪による損失、日本は8370億円

日経ITproの記事「ネット犯罪による損失は約30兆円、日本は8370億円」からです。

とても、興味深いレポートです。

この記事によると、

　シマンテックは2011年9月13日、世界のネット犯罪の直接的な金銭被害額が1140億ドル（約8兆7800億円）との試算を発表した。クレジットカードの停止・再発行手続きにかかる手間などネット犯罪で失われた時間の対価としては、さらに2740億ドル（約21兆1000億円）の損失となる。合計で3880億ドル（約29兆9000億円）がネット犯罪によって、直接・間接的に失われている。この金額はマリファナ、コカイン、ヘロインの闇取引総額である2880億ドル（22兆2000億ドル）を上回るとしている。

＜中略＞　

  日本での被害額は直接的な金銭被害が1842億円、間接的な時間の損失による被害が6524億円の合計8366億円と試算している。成人のネット犯罪の被害者数は世界全体で4億3100万人、日本では1150万人と推測する。

とのこと。

日本での被害金額が8370億円、被害者が1150万人という数字は推定値とはいえ、かなりインパクトがありますね。

＜参考資料＞
・「ノートン ネット犯罪レポート」

「第1回 高度ICT利活用人材育成推進会議」資料、公開

「第1回 高度ICT利活用人材育成推進会議」の資料が公開されております。

この会議には、私も構成員の1人として参加しております。

ちなみに、ここで言っている「高度ICT利活用人材」とは、CIO、CIO補佐、ICTストラテジストなどを指しております。
今後もこちらのブログで、この会議について紹介していきたいと思います。

スマートフォンの利用に8割超が「不安」

ITmediaの記事「スマートフォンの利用に8割超が「不安」」 からです。

国内ユーザーに対するスマートフォンのセキュリティに関する調査ですね。
興味深い結果です。

この記事によると、

　ユーザーの84.9％がスマートフォンの利用に際して、何らかのセキュリティ上の不安を感じていることが明らかになった。一方で15.1％の「不安を感じない」と答え、その傾向は男性(41.8％)よりも女性(58.2％)の方が強い結果となった。

　具体的なセキュリティ上の不安は、「ウイルスなどのマルウェア感染」（57.3％）、「スマートフォンの紛失」（47.7％）、「連絡先や写真データなどの個人情報の流出」（41.1％)の順だった。また、17.5％は「実際にセキュリティ上の問題に遭遇した」と回答。迷惑電話やメールなどの着信や受信（9.9％）が最多だった。「マルウェア感染」（2.7％）、「不正なWebサイトへのアクセスやフィッシング詐欺などの被害に遭った」（2.1％）というユーザーもいた。

＜中略＞

　87.5％は、「スマートフォンにセキュリティ機能が必要」と回答。求める機能の上位は、「ウイルス対策」（67.3％）、「データのバックアップ」（37.8％）、「データのリストア」（27.8％）で、「Webフィルタリング」や「リモートワイプ」「Webプロテクション」などの機能の必要性は低い傾向にあった。

とのこと。

実は、私個人の回答とは違っています。
個人的には、機器そのものの紛失やデータの消失が不安でその対策が必要と思ってます。

この調査、日本以外のユーザーの結果も知りたいですね。

『スマートフォン＆タブレットの業務利用に関するセキュリティガイドライン』【β版】公開

日本スマートフォンセキュリティフォーラムから『スマートフォン＆タブレットの業務利用に関するセキュリティガイドライン』【β版】が公開され、意見募集(～9/30)がされています。

「その特性を生かしたワークスタイル変革のために」という副題がいいですね。
利活用のメリットや、機器の特性から、始まっていてそのうえで脅威や対策が示されて、とてもわかりやすいと思います。

「利活用あってこそ・・・」のセキュリティですからね・・・。

「ITGI-Japan カンファレンス 2011」

「ITGI-Japan カンファレンス 2011」 の開催が告知されています。

COBITもついに、COBIT5になるんですね。

「ITGI-Japan カンファレンス 2011」
　

日時:   2011年11月9日(水) 10時～17時30分
会場:   （社）全国社会福祉協議会　灘尾ホール
　　　　  東京都千代田区霞が関3丁目3番2号 新霞が関ビル1F
主催:   日本ITガバナンス協会 （ITGI, Japan)
参加費: ITGI-J・ISACA会員 \10,000-(早期割引：～2010年10月20日)
                          \12,000-(標準価格：2010年10月21日～)

ソーシャルメディア利用に消極的な日本企業

ITmediaの記事「ソーシャルメディアに消極的な企業、日本とドイツで多数」からです。

この記事によると、

社員のソーシャルメディアへのアクセスをブロックしている企業は、2010年の9％から2011年は19％に上昇した。ドイツ（23％）やオーストラリア（21％）でブロックしている割合が高い一方で、米国では社員の積極的なソーシャルメディア利用を推奨する傾向がみられたという。

87％の企業はセキュリティやデータの漏えいを懸念して、こうした技術の採用を妨げていると回答。特に日本ではこの割合が92％に上った。ソーシャルメディアがコミュニケーションに欠かせないと考える傾向は管理職で強く、米国や英国では前年よりもソーシャルメディアへの投資を増やすとの回答が目立った。逆にこの傾向が低いのはドイツと日本だった。

とのこと。

感じていたことではあるので、驚きはしませんでしたが、個人的には残念な結果です。

理由は「セキュリティへの懸念」ということで、新しい技術はツールが登場すると毎度おなじみのものですね。
このあたりも、お国柄というものが明瞭に出ていますね。
そのお国柄が、経済活性化の妨げでありICT先進国になれない大きな一因であるような気がします。

「デジタル・フォレンジック・コミュニティ2011 in TOKYO」

NPOデジタル・フォレンジック研究会の「デジタル・フォレンジック・コミュニティ2011 in TOKYO」の開催の告知と申し込みが始まっています。

もう8回目になるのですね。

□■□■□■□■□■□■□■□■□■□■□■□■□■□■□■□■□
　 第8回 デジタル・フォレンジック・コミュニティ2011 in TOKYO
　         「実務適用が広まったデジタル・フォレンジック」
　　　　　          －事例・実務紹介から学ぶ－
　　　　　　　　　　2011年12/12（月）～13（火）
□■□■□■□■□■□■□■□■□■□■□■□■□■□■□■□■□

１　開催日：2011年12月12日（月）～13日（火）
２　主　 題：「実務適用が広まったデジタル・フォレンジック」
３　副　 題：「事例・実務紹介から学ぶ」
４　会　 場：「ホテル　グランドヒル市ヶ谷」（東京都新宿区市ヶ谷）
５　参加費：IDF会員（JNSA・JASA会員） \10,000-  ／ 一般参加 \15,000-
　　　　　　／ 学生（社会人を除く） \5,000-
６　お申込　

「NSF2011 in Kansai」

JNSAのイベント「NSF2011」が、今年は関西でも開催されるようです。
東京とは違ったプログラムになっています。

場所が関西なので、行けません。
Ustreamで配信とかしてくれませんかね・・・

「NSF2011 in Kansai」

■ 日　時：2011年10月5日（水）9時50分～17時20分（開場 9時30分）
■ 場　所：大阪国際会議場グランキューブ大阪
（大阪府大阪市北区中之島５丁目３−５１）
■ 主　催：NPO 日本ネットワークセキュリティ協会 西日本支部
■ 後　援：近畿経済産業局、近畿総合通信局、NPO日本セキュリティ監査協会、
日本クラウドセキュリティ協会、日本スマートフォンセキュリティフォーラム、まっちゃ139
■ 定　員：150名
■ 料　金：無料（事前登録制）
■ 対象者：
中小企業の経営者、情報管理責任者、情報システム管理者
中小企業と取引関係にある企業の経営者、情報管理責任者、情報システム管理者
教育機関の情報管理責任者、情報システム管理者等

※ 申し込みは、こちら

攻撃者が修復を請け負う

日経ITproの記事「攻撃者が「47ドルで修復します」―Webサイト改ざんの新手口」からです。

Webサイト改ざんの新たな手口です。

この記事によると、　

攻撃者とみられる人物から、Webサイトの管理者に対してメールが送られてくる。「miss blacklist」と名乗るその人物のメールには、該当のWebサイトでバグ（欠陥）を発見したことが記されている。

　メールには発見の証拠として、Webサイトに保存されている個人情報（ユーザー名やパスワードなど）が記載されている。

　その人物は、Webサイトの修復を勧めるとともに、30ドルで修復の手伝いを、47ドルで全ての修復を請け負うとしている。メールには脅すような文章はないものの、実質的には“脅迫メール”だといえる。

とのこと。

まさに「マッチポンプ」。
まぁ、セキュリティ屋さんも「マッチポンプなんじゃないの？」などとよく言われますが。（笑）

このような手口は今後も増えそうな気がします。