goo blog サービス終了のお知らせ 
毎日、1000件以上のアクセス、4000件以上の閲覧がある情報発信ブログ。花や有機農業・野菜作り、市民運動、行政訴訟など
てらまち・ねっと



 年末年始などの長期休暇中やその休暇明け後は、インターネットにつながるパソコンは要注意。
 普段から、注意は必要だけど、こんな時は特に注意。

 私のタブレットパソコンも「マルウェア」に感染したらしいことがあった。ネットで調べると簡単なものは自分でも除去できる雰囲気もあり、そのようにしたこともある。(そもそも、それを説明しているページの信頼性そのものも大事)。(そのタブレットはマイクロソフトの純正だから、ワードやエクセルも通常に使えて便利だけど、純正故に"つきやすい"というマイクロソフトの特性があるらしいことも初めて知った)

 ・・・ともかく、それでも消せないものがあって、詳しい人に除去してもらった。
  ※マルウェア(Malware)とは★≪不正かつ有害な動作を行う意図で作成された悪意のあるソフトウェアや悪質なコードの総称です。マルウェアには次のようなものがあります・・・≫マルウェアとは(経済産業省JNSA)

 ここのところ、国の公的機関が「長期休暇中の対策」「日常における情報セキュリティ対策」を出したので、見てみた。併せて、その要点などを見た。

 家庭の利用者に対しては、休暇期間中でのSNSでの利用に注意を呼びかけている。
 
 ≪IPA~ 長期休暇中の対策 ~≫家庭の利用者に対しては、休暇期間中でのSNSでの利用に注意を呼びかけている。
 ★行楽等の外出前や外出先でのSNS投稿に注意/SNSで旅行の計画を書き込んだ場合、内容によっては長期休暇中に不在であることが知られてしまう可能性。
 ★撮影した写真をSNSに投稿したことでトラブルに発展することもあるため、投稿内容や投稿範囲に注意。
 ★SNSで知り合った人物から言葉巧みに不正なアプリのインストールを持ちかけられ、そのアプリでプライベートな動画を撮影したことが原因で、セクストーション(性的脅迫)の被害に遭うケースが発生。第三者に見られたら困るプライベートな写真や動画を撮影させたり、そのデータを送ったりしてはいけません。

 ≪マイナビニュース≫ 
 ★長期休暇中に使用しないサーバなどの機器は電源をオフにし、不必要なアクセスを防ぐ。
 ★今回の正月休みでやるべき課題として注意したいいのが「Internet Explorer」のサポートポリシー変更対応だ。2016年1月12日(米国時間)を過ぎると、Internet Explorerのサポート対象が「各Windows OSで利用可能な最新版のみ」にポリシー変更される。

 ≪Security NEXT≫
 ★期間中に届いた未開封のメールに、標的型攻撃メールなどが潜む場合もある。安易に添付ファイルを開いたり、記載されたURLにアクセスするとマルウェアへ感染し、情報漏洩などの原因となる可能性もある。 業務が集中するこの時期が狙われる可能性もあるため配慮が必要だ。攻撃メールは顧客からの問い合わせを装ったり、業務関連メールを装うなど手口も巧妙になっている。忙しい時ほど慎重に行動するように心がけたい。

 ≪IPA~ 日常における情報セキュリティ対策 ~≫
 ★メールやSNSでの不審なファイルやURLに注意
 ★日々届くメールのなかには、ウイルスを組み込んだファイルが添付されていたり、ウイルスに感染させるためのURLが記載されていたりといった可能性があります。これらの添付ファイルを開く、URLをクリックする等によりウイルスに感染する場合があります。少しでも不審をいだいたメールの添付ファイルやURLは不用意にクリックせずに、メールの正当性を確認してください。
 ★なお、実在の組織や人物を騙ったり、ごく自然な日本語表現で違和感がなかったりなど、一見では不審をいだきにくい場合があります。
 ★最近ではリンクをクリックするとサービス連携の許可を求める画面に遷移するメールもあります。サービス連携を許可することで、電話帳に登録されている宛先に勝手にメールを送信されることもありますので、不用意にサービス連携を許可しないでください。

 そんなことで、インターネットの世界は、まずは自衛が不可欠。

●長期休暇における情報セキュリティ対策/独立行政法人情報処理推進機構(IPA)2015年12月21日
●年末年始の長期休暇に向けてセキュリティ対策の徹底を、IPAとJPCERT/CCが注意喚起/INTERNET Watch 12/22
●システム管理者は正月休みに連絡体制をしっかりと - IPAがセキュリティ指針/マイナビニュース 12/22
●年末年始の長期休暇に向けて事前対策を/Security NEXT 12/11
●日常における情報セキュリティ対策/IPA 12月21日

人気ブログランキング = 今、1位
人気ブログランキング参加中。気に入っていただけたら ↓1日1回クリックを↓
 ★携帯でも クリック可にしました →→ 携帯でまずここをクリックし、次に出てくる「リンク先に移動」をクリックして頂くだけで「10点」 ←←
 ★パソコンは こちらをクリックしてください →→←←このワン・クリックだけで10点

●長期休暇における情報セキュリティ対策
      独立行政法人情報処理推進機構(IPA)掲載日:2015年12月21日
独立行政法人情報処理推進機構 技術本部 セキュリティセンター

0. はじめに
長期休暇の時期は、「システム管理者が長期間不在になる」、「友人や家族と旅行に出かける」等、いつもとは違う状況になりやすく、ウイルス感染や不正アクセス等の被害が発生した場合に対処が遅れてしまったり、SNSへの書き込み内容から思わぬ被害が発生したり、場合によっては関係者に対して被害が及ぶ可能性があります。このような事態とならないよう、以下の対策を実施してください。

1. 組織のシステム管理者向け  2. 組織の利用者向け  ・・・・・(略)・・・
3. 家庭の利用者向け
~ 長期休暇中の対策 ~

行楽等の外出前や外出先でのSNS投稿に注意
SNSで旅行の計画を書き込んだ場合、内容によっては長期休暇中に不在であることが知られてしまう可能性があります。また、撮影した写真をSNSに投稿したことでトラブルに発展することもあるため、投稿内容や投稿範囲に注意してください。

SNSのやりとりによるトラブルに注意
SNSで知り合った人物から言葉巧みに不正なアプリのインストールを持ちかけられ、そのアプリでプライベートな動画を撮影したことが原因で、セクストーション(性的脅迫)の被害に遭うケースが発生しています。第三者に見られたら困るプライベートな写真や動画を撮影させたり、そのデータを送ったりしてはいけません。

~ 長期休暇明けの対策 ~

修正プログラムの適用
長期休暇中にOS(オペレーティングシステム)や各種ソフトウェアの修正プログラムが公開されている場合があります。修正プログラムの有無を確認し、必要な修正プログラムを適用してください。
定義ファイルの更新
長期休暇中に電源を切っていたパソコンは、セキュリティソフトの定義ファイル(パターンファイル)が古い状態のままになっています。電子メールの送受信やウェブサイトの閲覧等を行う前に定義ファイルを更新し、最新の状態にしてくださ

●年末年始の長期休暇に向けてセキュリティ対策の徹底を、IPAとJPCERT/CCが注意喚起
         INTERNET Watch 2015/12/22
 独立行政法人情報処理推進機構(IPA)と、一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)は、年末年始などの長期休暇におけるセキュリティ対策のまとめと注意喚起を行った。

 年末年始の長期休暇では、ウイルス感染や情報漏えいの問題発生に気付きにくく、リスクの発見が遅れる可能性がある。IPAとJPCERT/CCでは、企業のシステム管理者向け、社員・職員向け、家庭の利用者に分けて、それぞれ注意すべき点などを挙げている。

 システム管理者向けには、不測の事態が発生した場合に備えて、委託先企業を含めた緊急連絡体制や対応手順の確認のほか、導入している機器やソフトウェアのセキュリティ更新プログラムのインストール、休暇期間中のサーバーなどの各種ログの確認、ウェブサーバーで公開しているコンテンツが改ざんされていないかの確認などを呼びかけている。

 また、Internet Explorerのサポートポリシーの変更により、1月12日に配信される更新プログラム以降、Windows各OSの最新版のInternet Explorerのみがサポートされるようになる。対象となるシステムや端末台数によっては、検証作業の時間が発生する可能性もあるため、年末年始の長期休暇期間での作業実施の検討も含めて、期日までのバージョンアップ対応を行うよう促している。

 社員・職員向けには、休暇期間中に公開されたセキュリティ更新プログラムの適用と、ウイルス対策ソフトの定義ファイルの更新、休暇期間中に外部に持ち出す機器の厳重なデータ管理と出社前のウイルスチェックなどを呼びかけている。また、休暇期間中に特定の企業や組織を装った「標的型攻撃メール」を受信している可能性もあるため、もっともらしいメールでも安易に添付ファイルを開いたり、リンクをクリックしないよう注意している。

 家庭の利用者に対しては、休暇期間中でのSNSでの利用に注意を呼びかけている。SNSなどに旅行の計画を書き込むことで、内容によっては長期休暇中に不在であることが知れ渡ってしまう可能性があるほか、撮影して投稿した写真から位置情報が知られたり、他者のプライバシーを侵害するおそれがあるとしている。また、SNSで知り合った人物から不正アプリのインストールを持ちかけられ、そのアプリでプライベートな動画を撮影したことによるセクストーション(性的脅迫)被害にあうケースが発生しているという。

●システム管理者は正月休みに連絡体制をしっかりと - IPAがセキュリティ指針
       マイナビニュース 2015/12/22
IPAは12月21日、長期休暇における情報セキュリティ対策を発表した。

長期休暇は、システム管理者が長期間不在になりがちなため、ウイルス感染や不正アクセスなどの被害が発生した場合に、対処が遅れる可能性がある。また、SNSへの書き込み内容から思わぬ被害が発生し、関係者に対して被害が及ぶ可能性があるとして、IPAが対処指針を公開している。

組織のシステム管理者向けには、長期休暇前の対策として「連絡体制の確認」と「不必要な電源のオフ」「IEポリシーの変更対応」の3点を実施するよう推奨している。

連絡体制の確認は、不測の事態が発生した場合に備えて、委託先企業を含めた緊急連絡体制や、対応手順が明確になっているかなど、連絡体制を再確認するように呼びかけている。また、長期休暇中に使用しないサーバなどの機器は電源をオフにし、不必要なアクセスを防ぐ。

一方、今回の正月休みでやるべき課題として注意したいいのが「Internet Explorer」のサポートポリシー変更対応だ。2016年1月12日(米国時間)を過ぎると、Internet Explorerのサポート対象が「各Windows OSで利用可能な最新版のみ」にポリシー変更される。対象となるシステムや端末台数によっては、検証等作業に時間を要すると考えられる。年末年始の長期休暇期間での作業実施も検討の上、期日までにバージョンアップ対応が完了するよう計画的に進める必要があるとしている。

また、長期休暇明けには、「修正プログラムの適用」や「定義ファイルの更新」を行い、不審な通信がないかなどの、サーバなどにおける各種ログの確認が必要になると推奨している。

●年末年始の長期休暇に向けて事前対策を
       Security NEXT - 2015/12/11
2015年12月もなかば。年末年始の長期休暇を目の前に控えている。あらためてセキュリティ対策を見直し、リスクを低減しておきたい。

長期休暇中は管理者が不在であることも多く、インシデントへの対応が遅れることも考えられる。マルウェアへ感染させるための正規サイト改ざんなど、発覚までの時間を稼ぐため、あえてこの期間を攻撃者が狙う可能性もある。

リスクを低減するため、休暇を迎える前に、脆弱性を解消したり、セキュリティ対策ソフトの更新、安全なパスワードが設定されているか確認するなど、基本的な対策を今一度見直しておくことが重要だ。さらに使用しない機器の電源を切ったり、システムのサービスを停止しておくことで、攻撃を受けるリスクを低減できる。

従業員がデータを持ち帰る場合は、暗号化などあらためてルールを徹底しておきたい。緊急連絡体制や対応手順を再確認し、関係者間で共有しておけば、インシデントが発生した場合もあわてずに対処できる。

また休暇明けの対策も重要。休暇中にセキュリティ更新プログラムが公開されていないかチェック。セキュリティ対策ソフトなどとともに最新の状態へ更新した上で業務をはじめるよう、従業員に徹底させたい。

パソコンやUSBメモリなどの持ち出しを許可した場合は、これらを通じてマルウェアが侵入しないよう、利用前にセキュリティ対策ソフトで感染の有無をチェックするなど対策を講じる必要がある。

期間中に届いた未開封のメールに、標的型攻撃メールなどが潜む場合もある。安易に添付ファイルを開いたり、記載されたURLにアクセスするとマルウェアへ感染し、情報漏洩などの原因となる可能性もある。

業務が集中するこの時期が狙われる可能性もあるため配慮が必要だ。攻撃メールは顧客からの問い合わせを装ったり、業務関連メールを装うなど手口も巧妙になっている。忙しい時ほど慎重に行動するように心がけたい。

●日常における情報セキュリティ対策
      独立行政法人情報処理推進機構(IPA) 掲載日:2015年12月21日 技術本部 セキュリティセンター

0. はじめに
情報セキュリティ対策は、日常的に行っていくことが重要です。情報セキュリティ対策を疎かにしてしまうと、ウイルスに感染してシステムに問題が発生したり、不正アクセスによって情報が流出したりといった被害が発生する可能性があります。このような事態を招かないよう、以下の対策を実施してください。

1. 組織のシステム管理者向け  2. 組織の利用者向け ・・・・・・(略)・・・
3. 家庭の利用者向け

修正プログラムの適用
利用するパソコンやスマートフォン等のOS(オペレーティングシステム)、無線ルータ等のファームウェア、各種ソフトウェアに修正プログラムを適用し、最新のバージョンに更新してください。IPAでは、パソコンにインストールされているソフトウェア製品が最新かどうかを簡単な操作で確認できる「MyJVN バージョンチェッカ」※3を提供していますので利用してください。

セキュリティソフトの導入および定義ファイルの最新化
利用するパソコンやスマートフォン等にセキュリティソフトを導入するとともに、セキュリティソフトの定義ファイル(パターンファイル)を常に最新な状態になるように設定し、最新の状態になっているか定期的に確認してください。

定期的なバックアップの実施
システムの不具合やランサムウェア等のウイルスによるデータ破壊に備えて、定期的に外部記憶媒体等へバックアップを行ってください。特に重要性の高いデータは必ずバックアップを行ってください。

パスワードの適切な設定と管理
パスワードは可能な範囲で複雑な長い文字列を設定してください。大小英字、数字および記号を混在させて8文字以上のものが望ましいです。他のシステムやインターネットサービスで同じパスワードを使い回さないでください。また、パスワードを初期設定のままで利用していないか確認してください。

メールやSNSでの不審なファイルやURLに注意(2015/12/21追記)
日々届くメールのなかには、ウイルスを組み込んだファイルが添付されていたり、ウイルスに感染させるためのURLが記載されていたりといった可能性があります。これらの添付ファイルを開く、URLをクリックする等によりウイルスに感染する場合があります。少しでも不審をいだいたメール※1の添付ファイルやURLは不用意にクリックせずに、メールの正当性を確認してください。なお、実在の組織や人物を騙ったり、ごく自然な日本語表現で違和感がなかったりなど、一見では不審をいだきにくい場合があります。

最近ではリンクをクリックするとサービス連携の許可を求める画面に遷移するメールもあります。サービス連携を許可することで、電話帳に登録されている宛先に勝手にメールを送信されることもありますので、不用意にサービス連携※2を許可しないでください。

受信したメールの正当性が判断できない場合は、必要に応じてメールの送信者に確認してください。また、実在するウェブサイトやサービスを騙ったフィッシングサイトに誘導するメールが送られてくる場合もあります。これらも内容を鵜呑みにしたり、安易にURLをクリックしたりせずに、公式サイトに記載されている窓口に問い合わせて確認する、事前にブラウザのブックマーク(お気に入り)に正規のURLを保存しておいて、そこからアクセスする等の対策を行ってください。その他、SNSでもウイルスに感染させるために、興味を引く内容と共にURLが投稿されている場合があります。興味をひく内容が記載されていても不用意にURLをクリックしないでください。

スマートデバイスのアプリ導入時の注意
不正なアプリのインストールを防ぐために、携帯電話会社が提供している公式マーケット等の信頼できる場所からアプリをダウンロードしてください。Android OSの機器でアプリをインストールする際に表示される「パーミッション」(アプリが機器のどの情報/機能にアクセスするのか、許可を定義したもの)の一覧には必ず目を通してください。また、アプリによっては情報/機能毎の利用目的を記載していますので併せて確認してください。要求されたアクセス許可の内容に不自然な点があったり、疑問に感じたりした場合には、そのアプリのインストールを中止してください。

スマートフォン等の画面ロック機能の設定
スマートフォンやタブレット等を紛失してしまった際に、誰かに不正に使用されることがないよう、パスワード等の入力が必要な画面ロック機能を必ず有効にしてください。また、紛失時に速やかに画面ロックされるよう、画面ロックまでの時間は長くても数分程度の時間で設定してください。


コメント ( 0 ) | Trackback ( )