宮崎県延岡市は、職員が個人情報を含む業務データを別の職員へメール送信した際、関係ない第三者に送信するミスがあったことを明らかにした。
同市によれば、2022年5月10日17時過ぎに同市職員が、業務で用いる表計算ファイルを、新型コロナウイルス感染症の濃厚接触者となり、自宅待機する別の職員へメールで送信しようとしたところ、第三者のメールアドレスへ誤送信するミスが発生したもの。
同ファイルには、新型コロナワクチン接種の国補助事業の支払いに関するデータが記録されており、関連業務を行った個人や法人の名称、住所、支払金額など138件の情報が含まれる。ファイルにパスワードなどは設定されていなかった。
自宅待機していた職員は、5月10日に提出期限の書類が未提出であるとの連絡を受け、自宅のパソコンで提出書類を作成しようと、私的に利用するフリーメールのメールアドレスへデータ送信を別の職員に依頼。
依頼を受けた職員が応じてデータを送信したところ、メールアドレスの入力を誤り、関係ない第三者へ送信してしまったという。
56.89% 世界の総オンライントラフィックに占めるモバイルインターネットトラフィックの割合
リモートワークの導入でモバイルデバイスの活用形態は急速に変化しましたが、モバイルデバイスをリスクベクターとして認識することは、ほとんどの顧客にとってより緩やかなものでした。実際、Gartner 社によると、現在モバイル脅威検出ソリューションを採用している顧客はわずか 30%にすぎません。 多くの企業は、UEMソリューションがセキュリティを提供してくれる、あるいはiOSデバイスはすでに十分安全であると思い込んでいるのです。最も衝撃的なのは、歴史的にモバイルに対する攻撃を見たことがないので、心配する必要はないというものです。 このような考え方からすると、ハッカーが主要な攻撃経路として、またユーザー認証情報を取得するための侵入口として、モバイルに焦点を合わせていることは、これまた不思議なことではありません。
このような考え方から見えてくるのは、規模や業種に関係なく、多くの組織がモバイルデバイスは重大なリスクをもたらさない、したがってデータセキュリティやコンプライアンス戦略において考慮する必要はないと考えている、ある種の甘さです。
アンチマルウェアがインストールされていないノートパソコンを従業員に支給する企業は一つもありませんが、ほとんどのモバイルデバイスにはそのような保護が施されていません。 その主な理由は、組織がモバイル・デバイス管理をモバイル・エンドポイント・セキュリティと同じだと考えているためです。 デバイス管理ツールは、デバイスをロックしたりワイプしたりすることはできますが、脅威をプロアクティブに検知するために必要な機能の大部分は備えていません。モバイルフィッシング、悪意のあるネットワーク接続、Pegasusのような高度な監視ソフトウェアなどの脅威を可視化できなければ、デバイス管理は真のモバイルセキュリティに必要な機能を提供するには程遠いものとなってしまいます。
サイバーセキュリティのプロでさえ、モバイルにおけるサイバー攻撃の現実を見落とすことがあります。 最近のブログ「5 Endpoint Attacks Your Antivirus Won't Catch」では、ルートキットやランサムウェアがモバイルでも同様に発生するにもかかわらず、全体のストーリーは従来のエンドポイントへの影響に独占されていました。
モバイルOS(iOS/Android)と従来のエンドポイントOS(Mac、Windows、Linuxなど)の間には、アーキテクチャ上の違いが存在するため、その保護方法も大きく異なっています。 このような違いにより、モバイル向けに設計されていない従来のエンドポイントセキュリティツールでは、適切なレベルの保護を提供することができません。
これは、Carbon Black、SentinelOne、Crowdstrikeといった大手EPP/EDRベンダーについて語る際に、特に言えることです。 これらのベンダーの中核機能は従来のエンドポイント専用ですが、モバイルセキュリティの要素をソリューションに取り入れることがトレンドとなっています。 戦略的なパートナーシップも生まれており、顧客がベンダーの統合を検討していることから、モバイル・セキュリティと従来のエンドポイント・セキュリティのエコシステムは今後も統合されていくと予想されます。
さらに、ユーザーがスマートフォンやタブレット端末を操作する際には、これらのデバイスに特有の方法が非常に多く存在することも挙げられます。例えば、メールゲートウェイソリューションでは、SMSやQRコード経由で配信されるフィッシング攻撃から保護することはできません。また、OSの脆弱性が指摘され、すぐにパッチを適用する必要があるデバイスを、管理・非管理を問わずすべて特定することができますか? また、あるエンジニアが喫茶店で悪意のあるWiFiネットワークに接続し、中間者攻撃の犠牲になっていませんか? これらは、モバイル端末の保護に特化したモバイルエンドポイントセキュリティツールによってのみ軽減できる脅威や脆弱性のほんの一例に過ぎないのです。
リモートワークが加速し、「常時接続」の生産性が求められるようになったことで、従業員が仕事を遂行するために使用するデバイスの好みが変化しています。 仕事に関するほぼすべてのアプリケーションがクラウド上に存在するという事実は、ビジネスの進め方を変えました。 モバイルへの移行はすでに始まっているのです。企業はこの事実を認識し、モバイル・デバイスを含むエンドポイント・セキュリティの姿勢を更新する時期が来ていると言えます。
出典:Endpoint security and remote work
静岡県は2022年5月23日、県産農林水産物を使った加工品を表彰する「ふじのくに新商品セレクション」の受賞経験者に電子メールを送信した際に、個人情報を漏えいしたと発表した。 県によると、経済産業部マーケティング課の職員が4月20日、過去に受賞した事業者の依頼に応じ、2010~21年度の受賞商品の一覧データを送信した。本来は非公表とすべき119事業者の担当者名とメールアドレスを同時に送った。
別の職員が5月19日、誤送信に気付き、該当する事業者に謝罪。送信先に依頼してデータを削除した。県は今後、送信時に複数の職員で確認を徹底するなど再発防止策を講じる。
RSAカンファレンスは、サイバーセキュリティの世界が一堂に会する場です。4日間にわたり、洞察力を高め、会話に加わり、組織とキャリアに大きな影響を与える可能性のあるソリューションを体験できます。この業界では多くの変化が起きていますが、私たちはそのすべてに先んじることができるよう、お手伝いします。また、ライブで参加できない方のために、デジタルパスもご用意しています。
RSAC 2022に参加することで、世界を脅威から守るための方法を変えるような決断を下すためのアイデアや知識を得ることができます。
被害者は、よく知られている青いチェックマークで表される認証済みアカウントのステータスに問題がある旨の偽警告を電子メールでターゲットに通知します。メールには、この警告を無視した場合、アカウントが停止される旨も記載されています。
Twitterユーザーの青いバッジを取り上げると脅す詐欺は新しいことではないのですが、一部の受信者は、Twitterサポートと話さずに、この詐欺メールに基づいて行動を起こしてしまいます。
BleepingComputerによると、この詐欺の指示に従った人は、一度だけでなく二度もデータの入力を求められ、攻撃者がデータを盗む前に正しい認証情報であることを確認されるのだそうです。
この詐欺の背後にあるフィッシングキットは、盗んだログイン情報を使って、Twitterにパスワードのリセットを要求します。被害者が偽のページに多要素認証のコードを入力すると、攻撃者はそれも盗み、被害者のアカウントに完全にアクセスできるようにします。その後、攻撃者は、被害者の認証済みステータスを利用して、暗号資産詐欺を行います。
このような詐欺事件は、PCだけでなく、モバイル端末でも専用のセキュリティ・ソリューションを使用する必要性を強調しています。プロが見ても、時には詐欺に引っかかってしまうことがあるのです。
サイバー犯罪者は、モバイル端末をターゲットに、フィッシング詐欺を発見するメカニズムがない場合、簡単に正規の詐欺として成立するような、信頼性の高い詐欺を仕掛けてくることが多くなっています。
出典:Don't Fall for This Phishing Scam Threatening to Revoke Your Twitter Badge
徳島阿波踊り空港は搭乗待合室内にラウンジが存在しない。
これは痛恨。
さらに追い打ちをかけるようにこの日は15分の遅延。
実はラウンジの存在しない空港はこれが人生初。
やはり何事も事前準備が重要だなと感じた。
フライト時間は離陸後50分とのこと。
地図見たら、大阪と大差ないんだ。
機内が揺れるからとかの理由でこの日はコールドドリンクのサービスのみ。
席は通路側の足元が広い席をゲット。
目の前は壁をはさんでCAさんが向かいで座っている。
普段は窓側で景色を見ているが、通路側でCAさんの動きを見るのもなかなか面白い。
明確なオーナーを持たない部門横断的なチームで仕事をしたことがある人なら誰でも知っているように、「共有」責任や、「共同」責任は、しばしば、誰かが問題を処理していると思い込んでいることを意味します。チーム間に明確な取り組みがなければ、常に何かの問題が見落とされます。
責任共有モデルとクラウドサービスプロバイダー
クラウドサービスの「責任共有」モデルは、次のようなものです。
クラウドプロバイダーは、あるレベル以下のすべてのものを保護し(そのレベルとは一般に自社のソフトウェアのこと)、その保護に責任を持ちます。 これを家の土台に例えて考えてみましょう。 クラウド利用者であるあなたは、基礎の上にあるすべてのものを保護する、いわば家を守る責任があるのです。
しかし、家を見たことがある人なら、基礎とその上にあるものの間に必要なものを分ける単純な線が引けるわけではないことに気づくでしょう。 クラウドプラットフォームとその上で動作するアプリケーションの相互接続も同様です。
クラウドの設定ミスや複雑なツール
クラウドサービスをどのように設定するかは、その上で動作するアプリケーションの安全性に大きく影響します。 パブリッククラウドで構築していますか? Lambda関数を一般に公開していませんか? データレイクでLake Formationのアクセス制御を有効にしていないのでは? AzureSqlDBServerで高度なデータセキュリティを有効にしていますか?GCPのクラウド関数で、パブリックな呼び出し権限があるものがないですか?
この問題は、IaaS(Infrastructure-as-a-Service)のパブリッククラウドサービスにとどまりません。 DDoS防御のためにコンテンツ配信ネットワークを使用している場合、オリジンのホスト名を予測不可能にすることを忘れてはいませんか? SaaSサービス間のビジネス・アプリケーション・メッシュを統合する際、例えば財務部門だけが必要とするAPIを、誤ってどのユーザーにも呼び出させてはいないだろうか。
クラウド利用者が足元をすくわれる可能性は、たくさんあります。進んだクラウド・プラットフォームは、こうした見落としを少なくし、デフォルトの設定にならないようにするために多くのエネルギーを投入しています。 しかし、すべてのクラウド・サービスにおいて完璧なプロバイダーは無く、すべてのクラウド・プラットフォームが自社のシステムを安全に使用できるようにしているわけではありません。 さらに残念なことに、クラウドサービス提供者は、安全でないさまざまな設定の選択について顧客に伝えるインセンティブがないのです。
皮肉なことに、最も多くのセキュリティ・サービスを顧客に提供しているクラウド・プラットフォームは、そのサービスを利用する上で最も複雑な状況を生み出していることが多いです。 各ツールキットを正しく使用するには十分な知識が必要なため、クラウド・サービスを正しく設定するためのサービスを販売するビジネスが存在するほどです。
クラウドセキュリティを向上させるために
もしクラウド利用者がベンダーに、"これらのサービスの最も危険な使用方法と構成は何か?"と尋ねる方法があればいいのですが......。
残念ながら、ほとんどのクラウド利用者は、自社のクラウド・サービスの利用に焦点を当てるのではなく、ベンダーが正しく設定されているかどうかを確認するために、NIST CSFやBITS SIGに基づく質問を巨大なスプレッドシートで質問票にしてベンダーに回答させているのが実情です。
クラウド利用者はサードパーティのリスク管理プロセスを利用して、自社のセキュリティについて洞察に満ちた質問を始めるべき時なのかもしれません。
責任共有モデルで言えば、クラウドプロバイダーが素敵なズボンを履いていても、ベルトの締め方やシャツのサイズがクラウド利用者に完璧にフィットする可能性は低く、風通しが悪くなる服装だったり、最悪の場合、不愉快な姿をさらすことになり、それが責任共有モデルのクラウドサービスが意味するところとなります。
出典:The cloud security emperor has no pants
仙台市は2022年5月18日、新型コロナウイルスワクチン接種の事務センター運営を委託しているキャリアリンク(東京都新宿区)で、アルバイトがシステムを不正利用し、内部情報を第三者に伝える事案が発生したと明らかにした。
問題のアルバイトは1月末から2月上旬にかけて、仙台市のワクチン接種進捗管理システムを不正利用。個人の名前を検索し、該当者がいない(仙台市に住んでいない)旨を第三者に伝えた。5月11日に名前を検索された個人の親族から通報があり問題が発覚。アルバイトが事実を認めたため12日に雇用契約を解除した。
仙台市とキャリアリンクは13日に、検索された個人の親族に経緯を説明し謝罪。同市は同社に口頭で厳重注意した上で、個人情報の取り扱いについて指導したとしている。
再発防止策として仙台市は、キャリアリンクにおいて個人情報の取り扱いに関する教育を徹底する他、定例打ち合わせなどで注意喚起し、取り組み状況を確認するとしている。
