セキュリティソフトなしでもあなたのAndroidスマホのセキュリティを維持することは可能です。しかし、一部の人にとってそれはリスクです。メールやメッセージング・プラットフォームからスマホで多くのファイルを開いたり、Playストアからであってもインストールするアプリの種類を少し自由にしすぎたりすると、リスクレベルは上がります。
あなたのAndroidデバイスは、これらの脅威や他の人から安全であることを確認したい場合, アンチウイルスソフトが役立ちます。実際には、Google Playで完全に無料のものがありますが、評判の良い会社から取得したいものです。Google Playからダウンロードしたウイルス対策ソフトが実はマルウェアでしたなんてオチはシャレになりません。
幸いなことに、ほとんどすべての主要なアンチウイルスメーカーが、あなたのデバイスを安全に保つ能力を持つAndroidアプリを提供しており、そのうちのいくつかは無料です。30日間の試用期間ではなく、あなたのデバイスにインストールされている限り無料なのです。中には、より制限された機能を持つものもありますが(無料であることのトレードオフであることが多い)、必要のないサブスクリプションにお金を払わずにデバイスをより安全に保ちたい場合は、これらのアプリをお勧めします。
1. Avira Security for Android
一番のお薦めはAviraです。まず、AV-TestとA-V Comparativesの両方から最高の評価を得ていることです。前者では、2022年3月のリアルタイム攻撃テストと広範囲なマルウェアテストの両方で99.9パーセントを獲得しています。A-V Comparativesでは、2021年のモバイル・セキュリティ・レビューで約3,700のサンプルを使用して、Aviraは100パーセントの検出率を獲得しました。
また、Aviraはより多くの機能を備えています。ウイルススキャナ以外にも、1日100MBのVPN利用、いくつかのストレージ最適化機能、ID保護、パーミッションマネージャなどがある。
現時点では最高の保護とともに、いい機能が揃っている。
2. Bitdefender Antivirus for Android
無料版は、その名の通り、依頼されたときに携帯電話をスキャンします。また、Androidスマホの潜在的な攻撃経路である新しいアプリケーションをダウンロードした際には、Auto-pilotによる最小限の自動スキャンが行われます。
Bitdefenderは、2022年3月のリアルタイム攻撃および広範囲マルウェアテストにおいて、AV-Testから100パーセントを獲得しました。また、AV-Comparativesの2021年モバイルセキュリティレビューで100パーセントの検出率を獲得しています。
3. AVG Antivirus Free for Android
しかし、その煩わしさにもかかわらず、AVGの無料Androidアプリについて気に入ることがたくさんある。それは、アプリやファイルをスキャンすることができます, クリーンアップジャンクファイル, と現在のWi-Fiネットワークをスキャンします。それはまた、悪意のあるウェブサイトの保護を持って, バックグラウンドアプリを殺す "RAM booster", Wi-Fiスピードテスト, とリモートであなたの電話を追跡して確保するための盗難防止機能。最後の機能は、AVGのアカウントが必要です。
AVGを所有しているAvastがお好みなら、そのアプリも良いですよ。AVGと同じ保護スコアで、無料なのにほとんど同じ機能セットでした。
4. Sophos Intercept for Mobile
主な機能としては、アプリやファイルのマルウェアスキャン、悪意のあるWebページのブロック、悪意のあるリンクから保護するリンクチェッカー、Wi-Fiネットワークスキャン、プライバシーアドバイザなど、ソフォスは多くの機能を提供しています。
リアルタイム反応の他のアプリより若干スコアが低いですが、それでも非常に良いサービスですし、素敵な機能がたくさんあります。さらに、広告もありません。
Android用無料アンチウイルスの選び方
すでに簡単に触れましたが、アンチウイルスは必ず有名なセキュリティ会社から入手すべきです。また、サードパーティのテスト会社が、さまざまなAndroidアプリについてどのようなレポートを出しているかを確認するのもよい方法です。
その後、その会社がアプリに広告を使用しているかどうか、そして自分がそれに問題ないかどうかを確認する必要があります。最後に、あなたが探している機能を備えているかどうかを確認します。無料アプリに期待できる機能は、ここで取り上げたようなものがほとんどです。例えば、アクティブなリアルタイムスキャンを探している場合、それはほとんどのサービスにおいて有料オプションとなります。
テスト方法
これらのウイルス対策アプリについては、各候補のアプリをインストールして実行するとともに、第三者のテスト会社に相談し、アプリがどのような保護スコアを獲得したかを確認しました。また、主要なウイルス対策ベンダーが提供する「無料」アプリのうち、限定的な無料トライアルに過ぎないものは除外しました。無料サービスは、サブスクリプションによってより良いバージョンのアプリにアップグレードできるオプションがある、長期的なサービスであるべきです。
Androidユーザーのためのアンチウイルスの選択肢はたくさんありますが、これらの4つはあなたのリストの一番上にあるはずです。
出典:The best free antivirus for Android
2022年は夏のボーナスで人生初のJAL海外発券にチャレンジしようと思っていた。
ところが、燃料サーチャージの金額がグングン上昇を続けており、2022年6月発券分から大幅に増額することが判明し、5月に前倒して発券することにした。
ちなみに2022年6月からの燃料サーチャージは以下の通り。
大幅っていうか、倍以上じゃん。。。
まずどこから発券するかだが、この時点で盛り上がっているのはバンコク発券とベトナム発券。
個人的には南朝鮮(SEL)発券も・・・と思ったのだが、あの国はゼロコロナ政策で観光目的の入国については現時点目途が立っていない(目途はたっていないが発券はできるっぽい)
という訳でバンコク発券に決定。
次に行先だが、ヨーロッパについては、ロシアとかいう独裁国家の元首プーチンがウクライナと戦争を始めたせいで難しそう(検索しても出てこない)
となると行先はアメリカとなるわけだが、8月は既にチケットが高額になっており、9月は特典航空券でモロッコ行きを予定しており、年末になってしまう。
一瞬シアトル行ってボーイングフィールドもいいかと思ったのだが、年末営業しているかどうかが分からない。
その他のアメリカの都市に行ってもやることがぱっと思い浮かばない。
という訳で無理してまでアメリカに行くことはせずに、国内のどこか行くことを考えてgoogleフライトを見てみる。。。
お!東京と福岡がほぼ同じ金額になっとるではないか!
ということは東京単純往復と同じ金額で福岡往復がオマケでついてくるということではないか!
ということでバンコク発博多ラーメン行きに決定。
いちお、下記のスケジュールで人生初の海外発券(②~⑤)が完了。
①2022年11月某日:HND->BKK@JL31 特典航空券(17,500マイル)
②2022年11月某日:BKK->HND@JL34
③2023年1月某日:HND->FUK@JL321
④2023年1月某日:FUK->HND@JL312
⑤2023年2月某日:HND->BKK@JL31
⑤から先のチケットは冬のボーナスでまた海外発券をする。
ただ、今回の海外発券なんだけどブッキングクラスがQで、変更&返金不可。
予定通り行けるのか、ちょいと不安
予定通り行くと今年は国内線・国際線合わせて15回くらい搭乗する感じ。
しかし、今日、特にインターネット複合企業との関係を断ち切ろうとする場合、そのような動きははるかに困難になる可能性があります。Facebookに疲れた?Facebookの運営企業から手を引くのであれば、同じ企業が運営するInstagramとWhatsAppからも退会が必要です。
Googleはどうでしょうか?
Android OS、スマホのGoogle Pixel、Nestサーモスタット、FitBitデバイスなどのハードウェアを所有・生産し、Google Chrome、Gメール、Googleカレンダー、Googleハングアウト、YouTube、Wazeを運営するなど、オンライン巨大企業は検索エンジン以上の存在になっています。
Googleに別れを告げることは、Androidスマホの購入を断るというほど簡単なことではありません。それは、あなたの生活のいくつかの側面を変える可能性があることを意味し、あなたの周りの人々に影響を与えるものも含まれます。
ありがたいことに、この困難な作業は、サイバーセキュリティの伝道師であるCarey Parker氏がすでに引き受けており、彼は最近、MalwarebytesのLock and Codeポッドキャストで講演を行いました。パーカーによれば、Googleの製品が「嫌いだから」Googleを削除したかったわけではなく、むしろ彼はファンなのだという。むしろ、彼はファンです。その代わりに、彼は自分と自分のデータ・プライバシーを尊重してくれる他の企業をサポートするようになりたかったのです。
「Googleは私たちのことをたくさん知っています。」パーカーは、Googleが収益の圧倒的多数をオンライン広告から得ていることを説明し、それはユーザーから膨大なデータを収集しているからこそできることであると述べました。「私にとっては、Googleが私について知っている情報をできる限り制限すること、Googleが私についてすでに知っている情報をできる限り削除すること、そして、プライバシーを第一に考える企業をサポートすることでした」。
同じようにGoogleを使わない生活に踏み出したいと思っている人のために、パーカーさんが教えてくれたヒントを紹介します。
独立の第一歩—Search, Chrome, and Android
Googleの製品を一度にすべて削除すると、サービスや製品が多すぎて追跡できないため、大惨事になりかねません。その代わりに、パーカーは自分に直接影響を与える製品だけを取り除くことから、実験の第一歩を踏み出しました。
「私は一番簡単なもの、少なくとも一番簡単だと思うものから始めました」とパーカーは言います。「他のことにあまり影響を与えないようなことです。自分以外の誰にも影響を与えないようなものです。」
Parkerにとって、それはGoogle検索とWebブラウザーのGoogle Chromeのプロバイダーを取り除き、新しいプロバイダーを見つけることを意味した。Android端末からの移行については、長年iPhoneを使用してきたParkerには簡単なことでした。
Google検索に代わるものを探すにあたり、Parker氏は2つの提案をした。DuckDuckGoとStartpageという検索エンジンで、どちらも収益目的のユーザーデータ追跡を一切拒否していると主張している。例えば、靴を探している人にナイキやアディダスの広告を表示するように、検索結果に基づいて純粋に文脈的な広告を提供し、ユーザーの特定の検索に関するデータを記録または保存しないという。実際、スタートページはグーグルと連携して検索結果を配信しているが、ユーザーのIPアドレスや端末情報、閲覧履歴の収集は拒否しているとパーカー氏は言う。
"お金を稼ぐために人を追跡する必要はない "とパーカーは言った。"Startpageはその証拠だ"。
プライバシーに配慮した別のブラウザーを探していたところ、パーカー氏は個人的に気に入っているMozillaのFirefoxや、新進気鋭のブラウザーであるBraveを提案したのだそうです。
GmailとGCal
インターネットの検索や閲覧にさまざまな解決策を見出したパーカー氏は、その後、周囲に影響を与えるグーグルのサービスの代替案を探すことに注力したという。
「Google検索とGoogle Chromeが最初の層で、次に難しいのは、他の人を巻き込むので、GoogleメールとGoogleカレンダー、GmailとGcalです」パーカーは、「家族とカレンダーを共有しているので、私がしようとしているように、彼らがGoogleをやめるとは思わないので、そのために、私は少しの間そこにはまりそうですが、私はそれを最小限に抑えることができます」
Googleの機能のほとんどを満たし、カレンダー機能との統合も可能なメールプロバイダーと、同じプログラムのユーザー間で送受信するメッセージをエンドツーエンドで暗号化できるプロバイダーを探しました。
最初の提案は、Fastmailである。パーカーによれば、ファストメールは営利目的の電子メールプロバイダで、ユーザーは月額の利用料を支払って利用する。このメール・プロバイダーは、主要製品と直接連動するカレンダー・ソリューションも持っている。さらに良いのは、Fastmailがユーザーのデータを尊重することだとパーカーは言う。
「Fastmailは、データをマイニングしないと明言しており、デフォルトでエンドツーエンド暗号化されていなくても、プライバシーを重視しています。」とParkerは述べています。「このサービスは本当に素晴らしいもので、電子メール、カレンダー、連絡先など、一通りの機能が揃っています。私は、すべての仕事といくつかの個人的なことにそれを使用しています」
プロトンメールでは、ユーザー間で送信されるすべてのメールをエンドツーエンドで暗号化することができます。プロトンメールでは、ユーザー間で送信されるすべての電子メールをエンド・ツー・エンドで暗号化し、万が一、途中で第三者に傍受されたとしても、自分と相手以外にその電子メールを読むことはできないようになっています。
Google DriveとGoogle Docs
Googleの視界からさらに多くのデータを取り出したいユーザーにとって、日々のワークフローから外すべき最終的な製品がいくつかあるだけです。それは、クラウドストレージサービスの「Google Drive」と、クラウドベースのワープロ「Google Docs」だ。
パーカーは、それぞれの製品で頭痛や障害にぶつかりながらも、自分のプライバシーを尊重し、同様の機能セットを提供する代替品を見つけることに成功したのです。
パーカー氏は、適切なクラウドストレージプラットフォームを見つけるにあたり、BoxやDropboxなどの主要プレイヤーの中には、企業がユーザーのファイルをスキャンして情報を取得することを防ぐ、ユーザーのデータに対する意味のある暗号化を提供していないことを認識しました。
パーカー氏は、ユーザーが何を一番望んでいるかによって、いくつかの提案をした。もしユーザーがプライベートなファイルを安全に誰かに送りたいのであれば、オンラインサービスのスイス・トランスファーやメガを薦めた。これらのサービスでは、共有可能なリンクが有効な期間や、ファイルにアクセスする際にパスワードが必要かどうかなど、ファイルの共有方法に関する特定のパラメータをユーザーが設定することが可能だ。
純粋なストレージの選択肢として、Parker氏はクライアント側の暗号化機能を持つSync.comというサービスを薦めた。最近のクラウドストレージプロバイダーの多くは、データの安全性を約束してくれるが、サーバーに保存するデータの復号化キーも彼らが持っているとパーカーは説明する。
「マシンはこれらのドライブに保存されたファイルを、宣伝目的か、あるいは多くの場合、著作権違反のために審査します」とパーカー氏は言う。「映画や音楽を他の人と取引していないかどうかを確認するのだ。そして、そのことにフラグを立て、警告を発するのです」
しかし、Sync.comがユーザーに提供している暗号は、同社が回避できないものであることを、Parker氏は徹底的に調査した結果、突き止めた。
「Sync.comはエンドツーエンドで暗号化されています。裏側でSync.comがAmazon Web Servicesを使っていても、Amazonは私のファイルを見ることができません。」
Google ドキュメントに代わるものを探す際、Parker 氏は非常に苦労したそうです。Parker氏はまず、「安全で、非公開で、エンドツーエンドで暗号化されており、チェックボックスにチェックを入れるだけでよい」というソリューションを採用しようとしましたが、このソリューションのインターフェースと応答時間の遅さに失望してしまいました。次に、OnlyOfficeという選択肢もあったが、Parker氏が言うように、技術的なハードルが高く、クラウドサーバーを借りなければならない可能性もあり、「気の弱い人には向かない」ものであった。
Skiffは使いやすいインターフェースを備えているが、Google Docsの代替ツールであり、Google SpreadsheetsやGoogle Slidesといった他の関連ツールの代替にはならない、とParker氏は言う。Skiffのツールは、Skiff.orgで見ることができる。
Step by step
Googleをあなたの人生から排除することは、長く複雑なプロセスになる可能性がありますが、最初のうちは難しくありません。もし、自分がやっていることに疑問を感じたら、なぜこのプロセスを始めようと思ったのかを考えてみてください。あなたがパーカーのような人なら、あなたのデータを非公開にし、あなたとあなたの閲覧習慣からお金を稼ぐ会社の手に渡らないようにしようという気持ちになるはずです。
Googleは上場企業であり、株主のために利益を最大化するという受託者責任を負っています。米国でプライバシーに関する規制がなければ、金銭的なインセンティブは無視できないほど大きい。それは、テーブルの上にあるお金です。
パーカーは、グーグルが、ユーザーが自分のプライバシーではなく自分の資金で支払うことができるバージョンの製品を作るまでは(これが実現するという証拠はない)、ユーザーは「どんな時でも、グーグル製品は残念ながらあなたのデータを収益化でき、おそらく何らかの形で収益化するだろう」と考えるべきだと強調した。
諺にもあるように、パーカーは、"製品が無料であるなら、あなたはおそらく製品です。"と述べました。
銀行業務用のブラウザを別に用意することで、セキュリティの層を厚くすることができるため、このアイデアは興味深いものです。
残念ながら、多くの人が最良のブラウザと感じるものと、プライバシーとセキュリティに関しての最良ブラウザには、低い相関関係があります。最も人気のあるブラウザの市場シェアを見ると、あまり競争せずに王座を奪っているブラウザが1つだけあります。GoogleのChromeです。しかし、ご存知のように、もっと安全でプライバシーを重視したブラウザがあります。
銀行業務だけに特化したブラウザを使うのはどうなのでしょうか?何が違うのでしょうか?
Sparkasse’sのウェブサイト(ドイツ語)によると、S-Protectはいわゆる「ハード化されたバンキング」ブラウザーだそうです。オンラインバンキングのための追加保護スクリーンと考えるのが最も適切でしょう。S-Protectは、お客様のコンピューターに潜むトロイの木馬やその他の悪質なプログラムが、オンラインバンキングを覗き見したり操作したりするのを防ぎます。S-Protectの設定と使用は簡単で、すべての金融取引において大きなセキュリティ上の優位性をもたらします。
ブラウザは、"protect browser "を開発しているCoronic GmbHによって構築されているようです。
S-プロテクトを導入するメリットは何でしょうか。
ブラウザは「know your friends」の原則に基づき、訪問できるサイトを銀行とそのパートナーのものに限定しているため、操作されたサイトや偽の銀行サイトなど、第三者のウェブサイトへのアクセスは自動的にブロックされます。
さらに、ブラウザはページのセキュリティ証明書をチェックし、その信頼性を確認する。しかし、ユーザーがメールクライアントでフィッシングのリンクをクリックした場合、そのURLはデフォルトのブラウザで開かれることになる。このとき、デフォルトのブラウザがS-Protectでなければ、フィッシングサイトが開かれてしまうのです。これはS-Protectのせいではないが、ユーザーは正しいブラウザを使うように気をつけなければならない。
Sparkasseは、このブラウザを、ウイルス感染したシステム上でも安全にオンラインバンキングできると主張していますが、このような行為を行わないよう強くお勧めします。また、このブラウザがどのようにハード化されているかについての情報は見つかりませんでした。例えば、S-Protectはブラウザのスクリーンショットをブロックすると主張していますが、キーロガーがあなたの行動を傍受することを阻止できるのでしょうか?
このアイデアはメリットに値するとはいえ、奇跡が起こることを期待せず、注意深く見守るべきだと思います。多くのブラウザは、すでにサンドボックス機能を備えています。サンドボックス化とは、アプリケーション、ウェブブラウザ、コードの一部を、外部のセキュリティ脅威に対して安全な環境内に隔離することです。これにより、マルウェアがブラウザからシステムやネットワークに侵入するのを防ぐことができます。しかし、ブラウザがどんなに強化されていても、システム上のマルウェアがブラウザに影響を与えるのを阻止するという、逆の方法については、誰も良いレベルを実証していないのです。
出典:A special browser designed for online banking. Good idea, or not so much?:
平素は格別のご高配を賜り、厚く御礼申し上げます。
この度、弊社の一部のパソコンがコンピューターウイルス「Emotet(エモテット)」に感 染し、2022 年 5 月 17 日より弊社社員を装った第三者からの不審なメール(なりすましメ ール)が複数の方へ発信されている事実を確認いたしました。
当該メールを受信された皆様には多大なるご迷惑とご心配をお掛けしておりますことを深 くお詫び申し上げます。
弊社からのメールは「*****@j-dolph.co.jp」を利用しております。当該不審メールでは、 送信者には弊社社員の氏名が表示されておりますが、@マーク以下が上記以外のアドレス から送信されていることを確認しております。
引き続き弊社社員からのメールであっても、メールアドレスも含めて確認いただき、「内 容に心当たりがない」メールを受信された場合、ウイルス感染、フィッシングサイトへの誘 導リスクが高いため、「メールの開封」、「添付ファイルの開封」、或いは「メール本文のUR Lのクリック」等を行うことなく削除していただきますようよろしくお願い致します。
弊社では情報セキュリティ対策の強化に取り組んで参りましたが、今回の事象を受け被 害拡大の防止に努めるとともに、より一層の情報セキュリティ対策の強化に取り組んでま いります。
何卒ご理解、ご協力を賜りますようよろしくお願い申し上げます。
流出時期:2021 年12 月20 日
内 容:氏名・住所・電話番号
宮崎県延岡市は、職員が個人情報を含む業務データを別の職員へメール送信した際、関係ない第三者に送信するミスがあったことを明らかにした。
同市によれば、2022年5月10日17時過ぎに同市職員が、業務で用いる表計算ファイルを、新型コロナウイルス感染症の濃厚接触者となり、自宅待機する別の職員へメールで送信しようとしたところ、第三者のメールアドレスへ誤送信するミスが発生したもの。
同ファイルには、新型コロナワクチン接種の国補助事業の支払いに関するデータが記録されており、関連業務を行った個人や法人の名称、住所、支払金額など138件の情報が含まれる。ファイルにパスワードなどは設定されていなかった。
自宅待機していた職員は、5月10日に提出期限の書類が未提出であるとの連絡を受け、自宅のパソコンで提出書類を作成しようと、私的に利用するフリーメールのメールアドレスへデータ送信を別の職員に依頼。
依頼を受けた職員が応じてデータを送信したところ、メールアドレスの入力を誤り、関係ない第三者へ送信してしまったという。
56.89% 世界の総オンライントラフィックに占めるモバイルインターネットトラフィックの割合
リモートワークの導入でモバイルデバイスの活用形態は急速に変化しましたが、モバイルデバイスをリスクベクターとして認識することは、ほとんどの顧客にとってより緩やかなものでした。実際、Gartner 社によると、現在モバイル脅威検出ソリューションを採用している顧客はわずか 30%にすぎません。 多くの企業は、UEMソリューションがセキュリティを提供してくれる、あるいはiOSデバイスはすでに十分安全であると思い込んでいるのです。最も衝撃的なのは、歴史的にモバイルに対する攻撃を見たことがないので、心配する必要はないというものです。 このような考え方からすると、ハッカーが主要な攻撃経路として、またユーザー認証情報を取得するための侵入口として、モバイルに焦点を合わせていることは、これまた不思議なことではありません。
このような考え方から見えてくるのは、規模や業種に関係なく、多くの組織がモバイルデバイスは重大なリスクをもたらさない、したがってデータセキュリティやコンプライアンス戦略において考慮する必要はないと考えている、ある種の甘さです。
アンチマルウェアがインストールされていないノートパソコンを従業員に支給する企業は一つもありませんが、ほとんどのモバイルデバイスにはそのような保護が施されていません。 その主な理由は、組織がモバイル・デバイス管理をモバイル・エンドポイント・セキュリティと同じだと考えているためです。 デバイス管理ツールは、デバイスをロックしたりワイプしたりすることはできますが、脅威をプロアクティブに検知するために必要な機能の大部分は備えていません。モバイルフィッシング、悪意のあるネットワーク接続、Pegasusのような高度な監視ソフトウェアなどの脅威を可視化できなければ、デバイス管理は真のモバイルセキュリティに必要な機能を提供するには程遠いものとなってしまいます。
サイバーセキュリティのプロでさえ、モバイルにおけるサイバー攻撃の現実を見落とすことがあります。 最近のブログ「5 Endpoint Attacks Your Antivirus Won't Catch」では、ルートキットやランサムウェアがモバイルでも同様に発生するにもかかわらず、全体のストーリーは従来のエンドポイントへの影響に独占されていました。
モバイルOS(iOS/Android)と従来のエンドポイントOS(Mac、Windows、Linuxなど)の間には、アーキテクチャ上の違いが存在するため、その保護方法も大きく異なっています。 このような違いにより、モバイル向けに設計されていない従来のエンドポイントセキュリティツールでは、適切なレベルの保護を提供することができません。
これは、Carbon Black、SentinelOne、Crowdstrikeといった大手EPP/EDRベンダーについて語る際に、特に言えることです。 これらのベンダーの中核機能は従来のエンドポイント専用ですが、モバイルセキュリティの要素をソリューションに取り入れることがトレンドとなっています。 戦略的なパートナーシップも生まれており、顧客がベンダーの統合を検討していることから、モバイル・セキュリティと従来のエンドポイント・セキュリティのエコシステムは今後も統合されていくと予想されます。
さらに、ユーザーがスマートフォンやタブレット端末を操作する際には、これらのデバイスに特有の方法が非常に多く存在することも挙げられます。例えば、メールゲートウェイソリューションでは、SMSやQRコード経由で配信されるフィッシング攻撃から保護することはできません。また、OSの脆弱性が指摘され、すぐにパッチを適用する必要があるデバイスを、管理・非管理を問わずすべて特定することができますか? また、あるエンジニアが喫茶店で悪意のあるWiFiネットワークに接続し、中間者攻撃の犠牲になっていませんか? これらは、モバイル端末の保護に特化したモバイルエンドポイントセキュリティツールによってのみ軽減できる脅威や脆弱性のほんの一例に過ぎないのです。
リモートワークが加速し、「常時接続」の生産性が求められるようになったことで、従業員が仕事を遂行するために使用するデバイスの好みが変化しています。 仕事に関するほぼすべてのアプリケーションがクラウド上に存在するという事実は、ビジネスの進め方を変えました。 モバイルへの移行はすでに始まっているのです。企業はこの事実を認識し、モバイル・デバイスを含むエンドポイント・セキュリティの姿勢を更新する時期が来ていると言えます。
出典:Endpoint security and remote work
静岡県は2022年5月23日、県産農林水産物を使った加工品を表彰する「ふじのくに新商品セレクション」の受賞経験者に電子メールを送信した際に、個人情報を漏えいしたと発表した。 県によると、経済産業部マーケティング課の職員が4月20日、過去に受賞した事業者の依頼に応じ、2010~21年度の受賞商品の一覧データを送信した。本来は非公表とすべき119事業者の担当者名とメールアドレスを同時に送った。
別の職員が5月19日、誤送信に気付き、該当する事業者に謝罪。送信先に依頼してデータを削除した。県は今後、送信時に複数の職員で確認を徹底するなど再発防止策を講じる。
RSAカンファレンスは、サイバーセキュリティの世界が一堂に会する場です。4日間にわたり、洞察力を高め、会話に加わり、組織とキャリアに大きな影響を与える可能性のあるソリューションを体験できます。この業界では多くの変化が起きていますが、私たちはそのすべてに先んじることができるよう、お手伝いします。また、ライブで参加できない方のために、デジタルパスもご用意しています。
RSAC 2022に参加することで、世界を脅威から守るための方法を変えるような決断を下すためのアイデアや知識を得ることができます。
被害者は、よく知られている青いチェックマークで表される認証済みアカウントのステータスに問題がある旨の偽警告を電子メールでターゲットに通知します。メールには、この警告を無視した場合、アカウントが停止される旨も記載されています。
Twitterユーザーの青いバッジを取り上げると脅す詐欺は新しいことではないのですが、一部の受信者は、Twitterサポートと話さずに、この詐欺メールに基づいて行動を起こしてしまいます。
BleepingComputerによると、この詐欺の指示に従った人は、一度だけでなく二度もデータの入力を求められ、攻撃者がデータを盗む前に正しい認証情報であることを確認されるのだそうです。
この詐欺の背後にあるフィッシングキットは、盗んだログイン情報を使って、Twitterにパスワードのリセットを要求します。被害者が偽のページに多要素認証のコードを入力すると、攻撃者はそれも盗み、被害者のアカウントに完全にアクセスできるようにします。その後、攻撃者は、被害者の認証済みステータスを利用して、暗号資産詐欺を行います。
このような詐欺事件は、PCだけでなく、モバイル端末でも専用のセキュリティ・ソリューションを使用する必要性を強調しています。プロが見ても、時には詐欺に引っかかってしまうことがあるのです。
サイバー犯罪者は、モバイル端末をターゲットに、フィッシング詐欺を発見するメカニズムがない場合、簡単に正規の詐欺として成立するような、信頼性の高い詐欺を仕掛けてくることが多くなっています。
出典:Don't Fall for This Phishing Scam Threatening to Revoke Your Twitter Badge
徳島阿波踊り空港は搭乗待合室内にラウンジが存在しない。
これは痛恨。
さらに追い打ちをかけるようにこの日は15分の遅延。
実はラウンジの存在しない空港はこれが人生初。
やはり何事も事前準備が重要だなと感じた。
フライト時間は離陸後50分とのこと。
地図見たら、大阪と大差ないんだ。
機内が揺れるからとかの理由でこの日はコールドドリンクのサービスのみ。
席は通路側の足元が広い席をゲット。
目の前は壁をはさんでCAさんが向かいで座っている。
普段は窓側で景色を見ているが、通路側でCAさんの動きを見るのもなかなか面白い。
明確なオーナーを持たない部門横断的なチームで仕事をしたことがある人なら誰でも知っているように、「共有」責任や、「共同」責任は、しばしば、誰かが問題を処理していると思い込んでいることを意味します。チーム間に明確な取り組みがなければ、常に何かの問題が見落とされます。
責任共有モデルとクラウドサービスプロバイダー
クラウドサービスの「責任共有」モデルは、次のようなものです。
クラウドプロバイダーは、あるレベル以下のすべてのものを保護し(そのレベルとは一般に自社のソフトウェアのこと)、その保護に責任を持ちます。 これを家の土台に例えて考えてみましょう。 クラウド利用者であるあなたは、基礎の上にあるすべてのものを保護する、いわば家を守る責任があるのです。
しかし、家を見たことがある人なら、基礎とその上にあるものの間に必要なものを分ける単純な線が引けるわけではないことに気づくでしょう。 クラウドプラットフォームとその上で動作するアプリケーションの相互接続も同様です。
クラウドの設定ミスや複雑なツール
クラウドサービスをどのように設定するかは、その上で動作するアプリケーションの安全性に大きく影響します。 パブリッククラウドで構築していますか? Lambda関数を一般に公開していませんか? データレイクでLake Formationのアクセス制御を有効にしていないのでは? AzureSqlDBServerで高度なデータセキュリティを有効にしていますか?GCPのクラウド関数で、パブリックな呼び出し権限があるものがないですか?
この問題は、IaaS(Infrastructure-as-a-Service)のパブリッククラウドサービスにとどまりません。 DDoS防御のためにコンテンツ配信ネットワークを使用している場合、オリジンのホスト名を予測不可能にすることを忘れてはいませんか? SaaSサービス間のビジネス・アプリケーション・メッシュを統合する際、例えば財務部門だけが必要とするAPIを、誤ってどのユーザーにも呼び出させてはいないだろうか。
クラウド利用者が足元をすくわれる可能性は、たくさんあります。進んだクラウド・プラットフォームは、こうした見落としを少なくし、デフォルトの設定にならないようにするために多くのエネルギーを投入しています。 しかし、すべてのクラウド・サービスにおいて完璧なプロバイダーは無く、すべてのクラウド・プラットフォームが自社のシステムを安全に使用できるようにしているわけではありません。 さらに残念なことに、クラウドサービス提供者は、安全でないさまざまな設定の選択について顧客に伝えるインセンティブがないのです。
皮肉なことに、最も多くのセキュリティ・サービスを顧客に提供しているクラウド・プラットフォームは、そのサービスを利用する上で最も複雑な状況を生み出していることが多いです。 各ツールキットを正しく使用するには十分な知識が必要なため、クラウド・サービスを正しく設定するためのサービスを販売するビジネスが存在するほどです。
クラウドセキュリティを向上させるために
もしクラウド利用者がベンダーに、"これらのサービスの最も危険な使用方法と構成は何か?"と尋ねる方法があればいいのですが......。
残念ながら、ほとんどのクラウド利用者は、自社のクラウド・サービスの利用に焦点を当てるのではなく、ベンダーが正しく設定されているかどうかを確認するために、NIST CSFやBITS SIGに基づく質問を巨大なスプレッドシートで質問票にしてベンダーに回答させているのが実情です。
クラウド利用者はサードパーティのリスク管理プロセスを利用して、自社のセキュリティについて洞察に満ちた質問を始めるべき時なのかもしれません。
責任共有モデルで言えば、クラウドプロバイダーが素敵なズボンを履いていても、ベルトの締め方やシャツのサイズがクラウド利用者に完璧にフィットする可能性は低く、風通しが悪くなる服装だったり、最悪の場合、不愉快な姿をさらすことになり、それが責任共有モデルのクラウドサービスが意味するところとなります。
出典:The cloud security emperor has no pants
仙台市は2022年5月18日、新型コロナウイルスワクチン接種の事務センター運営を委託しているキャリアリンク(東京都新宿区)で、アルバイトがシステムを不正利用し、内部情報を第三者に伝える事案が発生したと明らかにした。
問題のアルバイトは1月末から2月上旬にかけて、仙台市のワクチン接種進捗管理システムを不正利用。個人の名前を検索し、該当者がいない(仙台市に住んでいない)旨を第三者に伝えた。5月11日に名前を検索された個人の親族から通報があり問題が発覚。アルバイトが事実を認めたため12日に雇用契約を解除した。
仙台市とキャリアリンクは13日に、検索された個人の親族に経緯を説明し謝罪。同市は同社に口頭で厳重注意した上で、個人情報の取り扱いについて指導したとしている。
再発防止策として仙台市は、キャリアリンクにおいて個人情報の取り扱いに関する教育を徹底する他、定例打ち合わせなどで注意喚起し、取り組み状況を確認するとしている。
