顔認証システムで現金の引き出しや決済を可能に / 日企开发人脸识别系统:取款购物瞬间完成认证支付(転載)~生体認証の情報は流出すると代替がきかないのを理解しているのだろうか?~


日企开发人脸识别系统:取款购物瞬间完成认证支付:

共同通信社のウェブサイトに掲載された記事によると、日本のリソナホールディングスやパナソニックなど4社がこのほど、顔認証技術を使ったシステムを共同開発し、これらのサービスを提供することを発表した。 このシステムが適用されると、事前に顔写真を登録しておけば、手ぶらで銀行の窓口でお金を出し入れしたり、小売店で買い物をしたりすることができるようになります。

また、ホテルやレンタカーのチェックイン時の本人確認にも利用できるとのことで、幅広い分野での利便性向上が期待できます。

リソナ、顔認証技術を持つパナソニックに加え、デジタル技術を用いた本人確認に強みを持つ大日本印刷、決済サービスを行うJCBの4社が参加。

この技術は、今年はリソナ内の部屋の入退室管理に使用され、来年は顔認証を利用して、通帳やキャッシュカードを使わずに、リソナ銀行の一部の店舗でお金の引き出しや送金、投信の購入などができるように実験していく予定です。 将来的には、自社での開発が困難な地方銀行などへの展開も検討しています。

JCBでは、クレジットカードショップのネットワークを活用したサービスを展開し、顔写真を事前に登録したお客様が来店した際に、瞬時に本人確認と決済を完了できる仕組みを検討しています。

顔写真の登録はお客様の同意が前提となりますが、プライバシー保護の観点から、いかにセキュリティを確保するかがサービス普及の鍵となるかもしれません。

本サービスでは、ユーザーの顔写真データは、外部からアクセスできないリソナ社が管理するサーバーに保管されます。 パナソニックの取締役は、"人工知能の発達により、顔認証の精度が飛躍的に向上しており、不正なアクセスは難しい "と述べています。

退職者手続きに必要な「性悪説」思考 / Fired NY credit union employee nukes 21GB of data in revenge(転載)

退職者手続きに必要な「性悪説」思考

Fired NY credit union employee nukes 21GB of data in revenge

ニューヨークの信用組合の元従業員であるジュリアナ・バリレは、解雇されたことへの復讐として、金融機関のコンピュータシステムに無断でアクセスし、21ギガバイト以上のデータを破壊した罪を認めました。

「解雇されたことへの復讐として、バリルは元雇用主であるニューヨーク・クレジット・ユニオンのコンピュータ・システムに密かにアクセスし、ファイル・サーバに保存されていた住宅ローン申請書やその他の機密情報を削除しました。」ジャクリン・M・カスリス米国連邦検事代理は言いました。

2万枚以上のドキュメントを40分以内に破棄


裁判資料によると、被告は2021年5月19日に解雇されるまで、信用組合のパートタイム従業員として遠隔地で働いていました。

信用組合の従業員が銀行の情報技術サポート会社に被告のリモートアクセス認証を無効にするよう依頼したにもかかわらず、そのアクセスは削除されませんでした。2日後の5月21日、被告はおよそ40分間ログオンしていました。

被告はその間に、銀行の共有ドライブに保存されていた2万個以上のファイルと約3500個のディレクトリ、合計約21.3ギガバイトのデータを削除しました。

削除されたのは、顧客の住宅ローン申請書や金融機関のランサムウェア対策ソフトに関するファイルなどです。

被告は、顧客や会社のデータが入った文書を削除したほか、信用金庫の理事会の議事録が入ったファイルなど、さまざまなWordの機密文書を開きました。

その5日後の5月26日には、前職のサーバーにある数千もの文書を破壊できたことを友人にテキストメッセージで伝え、「彼らは私のアクセス権を削除しなかったので、私は彼らの共有ネットワークのドキュメントを削除したった」

 ニューヨークの信用組合は、被告が削除したデータの一部をバックアップしていましたが、被告の不正侵入により破壊されたデータを復元するために1万ドル以上の費用が必要となりました。

FBIのドリスコル副長官は、「被告は、ファイルを削除することで雇用主に仕返しをしたつもりだったかもしれませんが、顧客にも同様の被害を与えてしまいました。」

「被告の些細な復讐は、銀行に大きなセキュリティリスクをもたらしただけでなく、家の支払いに書類や承認を必要としていた顧客を混乱に陥れました。」

「内部の脅威は、外部の犯罪者と同じくらい、いやそれ以上の大惨事を引き起こす可能性があります。銀行と顧客は、一人の従業員の身勝手な行動を修正するという、非常に大きな頭痛の種に直面しています」。

多要素認証はサイバー攻撃の9割を防ぐ / Multi-Factor Authentication Can Prevent 90% of Attacks(転載)


多要素認証はサイバー攻撃の9割を防ぐ:

多要素認証(MFA)を使用することで、サイバー攻撃の80〜90%を防ぐことができると、米国国家安全保障局のサイバーチーフが発表しました。

サイバー・新技術担当の国家安全保障副顧問であるアン・ニューバーガー氏によると、先週のバイデン大統領との会談に出席したハイテク企業のCEOの多くが、この法令に言及していたという。

MFAは、バイデン氏がサイバーセキュリティに関する大統領令の一環として、11月までに連邦政府全体で展開することを義務付けた5つの重要施策の1つです。

MFAに加えて、米国の組織のリーダーシップチームに、この連休前に4つのステップを実施するよう促しました。その4つとは、強力なパスワード、すべてのソフトウェアへの迅速なパッチ適用、インシデント対応計画の見直し、企業ネットワークから分離された最新のバックアップです。

ニューバーガー氏との記者会見が木曜日に行われたことを考えると、これらの措置を金曜日のまでに間に合わせることは不可能であり、特に「すべてのソフトウェアを更新し、パッチを当ててください」という言葉は重要である。

しかし、国や国家の安全を攻撃から守るためには、組織がその役割を果たさなければならないことをあらためて認識させられました。

ニューバーガー氏は、今回の大統領令に加え、6月にビジネスリーダーに向けた書簡を作成し、ランサムウェアの脅威が高まっていることを受けて対策を講じるよう促したと言われています。

また、今週、CISAとFBIが、Colonial Pipeline、JBS、Kaseyaへの攻撃のような大規模なランサムウェアの攻撃は、いずれも休日の週末に発生していると警告したことを受けてのことです。

そのため、ニューバーガー氏は、CISAが企業に対して、被害が出る前に攻撃を回避するために、脅威のハンティングを行うべきだというアドバイスを繰り返しました。

「セキュリティチームは、ネットワーク上で積極的にハンティングを行うべきです。これは、デジタル版の "Walking the beat "のようなものです。ネットワークが危険にさらされている初期の兆候や、ネットワークに異常がないかどうかを確認してください」と述べています。

興味深いことに、ニューバーガー氏は、過去2、3ヶ月の間に大規模なランサムウェア攻撃の頻度が低下していることを指摘していますが、その理由については言及していません。

ニューバーガー氏

ダークウェブでヒットマン(殺し屋)を雇うとどうなる? / The Operator of a Dark Web Assassination Site Was Arrested in Russia(転載)~ロシアの事例~


ダークウェブ上のウェブサイトで暗殺請負をしていたロシア人の男が逮捕される。詐欺ではなく本当に依頼通り殺害していた模様😱😱 technadu.com/operator-dark-…
technadu.com/operator-dark-…

ロシアのイジェフスク在住のセルゲイ・マグダノフ(38歳)が、自身のダークウェブ・プラットフォームを通じて注文された殺人事件に関与したとして逮捕されました。この事件は、2020年に開始されたFSBと内務省の捜査が成功したことを受けて、モスクワ市裁判所の手に委ねられています。当時、ロシア警察は、ウラジミール地方の麻薬ディーラーがライバルに命じられて起こした二重殺人事件の捜査に呼ばれ、これが最終的にマグダノフのデジタルトレースにつながった。

犯人が殺害を指示したサイトを知っていた警察は、そのプラットフォームとさらに多くの事件を結びつけ、点と点を結ぶことで、マグダノフにたどり着くことができました。この男は、暗号通貨と法定通貨の両方で支払いを受け付けており、偽のIDで登録したウォレットを使用していました。彼の家を襲撃したところ、500枚以上の銀行カード、1,000枚のSIMカード、多額の現金、数台の携帯電話とコンピューターが見つかりました。その場ですべてを押収し、分析にかけました。

ロシアでは、ダークウェブを利用した暗殺者の雇い入れは、残念ながらごく一般的に行われています。インターネット空間のプライベート性は、注文する側にとっても、犯行を行う側にとっても理想的だからです。マグダノフが逮捕され、機材が押収されたことで、近い将来、より多くの証拠が発見され、さらなる逮捕者が出る可能性があるが、サービスの利用者が注意を払っていれば難しいだろう。可能性としては、暗号通貨の取引履歴を追跡するのが一番ですが、その方法でもほとんどの場合は限られた結果しか得られないでしょう。

マグダノフは、仲介者としてプラットフォームを運営していただけでなく、殺人にも積極的に関与していた。捜査当局によると、彼は殺人の組織化、準備、武器・弾薬の入手、さらには犯行場所や暗殺者への指示にも関与していたという。このように、この男は殺人と違法な武器売買の容疑をかけられていますが、捜査が終了するまでは、さらに罪状が追加される可能性があります。

ダークウェブスキャナ - 電子メールとパスワードがハッキングされていないか確認する / Dark Web Scanner – Find Out If Your Email And Passwords Have Been Hacked(転載)

パンダセキュリティは、ウォッチガード社の協力を得て、ダークウェブをスキャンして、お客様のアカウントに関連する情報が協力されているかどうかをチェックするツールを作成しました。

パンダセキュリティでは、サイバー犯罪者から自由に使えるツールがないことが多いユーザーのオンラインセキュリティを守るために、「ダークウェブスキャナー」を無料で提供しています。

実際、サイバー攻撃は、暗い画面にバイナリコードが並んでいるという、一般的に想像されているイメージとは大きく異なります。一度に何十万人ものユーザーに影響を与えるデータ侵害は、多くの場合、単純な方法で行われ、サイバー犯罪者は、気づかれないことが多いツールの見かけ上の無害さを利用して大成功を収めています。

必要な予防措置を講じているにもかかわらず、故意にデバイスを使用している間に、パスワードや個人情報が流出したり、ディープウェブ上で販売されたりする可能性があります。お客様のデータが盗まれた場合、ハッカーはそのデータを使って、お客様の現在の口座にアクセスしたり、お客様の資産にアクセスしたり、お客様のアイデンティティを盗むことができます。

パンダセキュリティのコンシューマープロダクトマネージャーであるAlberto Añón氏は、「データ、特にログイン認証情報の盗難が、サイバー犯罪者にとって非常に重要な資金源になっている時代です。」と語っている。

お客様の個人情報が盗まれたかどうかを確認する方法

パンダセキュリティは、シンプルで無料のソリューションを提供しています。WatchGuardのサポートにより、ダークウェブをスキャンし、お客様のアカウントに関連する情報が侵害されていないかどうかをチェックするツールが開発されました。その名も、「Dark Web Scanner」です。

「このPanda Domeの新機能は、お客様からのご要望と、ますます複雑化するデジタルの世界に適応するための絶え間ない必要性から生まれたものです。パンダセキュリティは、ユーザーの皆様のサービスとセキュリティを継続的に向上させることをお約束します」とパンダセキュリティのコンシューマープロダクトマネージャー、Alberto Añón氏は付け加えます。

ダークウェブスキャナーは、マイパンダアカウントからアクセスできます。

しかし、My Pandaアカウントをお持ちでない方は、パンダセキュリティのお客様でなくてもDark Web Scannerをご利用いただけます。

CISAによるランサムウェアの攻撃から企業を守る方法 / Here’s how to secure your company against ransomware attacks, according to CISA(転載)


Here’s how to secure your company against ransomware attacks, according to CISA:

ランサムウェアによる攻撃は、民間企業、重要インフラ、政府組織に深刻な損害と莫大な経済的損失をもたらし続けています。ここ数年、法執行機関やセキュリティ企業は、Colonial Pipeline社やソフトウェア企業Kaseya社に対する最近の攻撃を含め、数多くのランサムウェア攻撃に対応してきました。

Cybersecurity Ventures社によると、ランサムウェアによる攻撃は、2031年までに被害者に年間2,650億ドル以上の損害を与えると言われています。専門家によると、ランサムウェアの攻撃によって引き起こされるセキュリティ侵害は、2秒ごとに発生していると考えられています。

この予測は、近年、この犯罪行為が著しく加速しているという観察に基づいています。

先日、米国のサイバーセキュリティ・インフラセキュリティ庁(CISA)は、ランサムウェア攻撃に起因するデータ漏えいを防止するためのガイダンスを発表しました。このガイダンスは、政府機関や民間企業がランサムウェア攻撃やそれに伴うデータ漏洩を防止することを目的としています。

「すべての組織は、ランサムウェアの被害に遭うリスクがあり、システムに保存されている機密データや個人データを保護する責任があります。このファクトシートは、重要インフラ組織を含むすべての政府機関および民間企業に対し、ランサムウェアによるデータ漏えいの防止と対応に関する情報を提供するものです」とCISAのガイドラインに記載されています。

"CISAは、組織が意識を高め、勧告を実施することを奨励する"

同局は、サイバー攻撃を防ぐための以下の提言を含むファクトシートを発表しました。

  • オフラインで暗号化されたデータのバックアップを維持し、定期的にバックアップをテストする。政府の専門家は、定期的にバックアップを実行することを推奨しています。バックアップは、その完全性を確認するために定期的にテストする必要があります。ランサムウェアの系統などの脅威がバックアップを暗号化するのを避けるために、バックアップをオフラインで維持することが不可欠です。

  • 基本的なサイバーインシデント対応計画回復力計画、および関連する通信計画を作成、維持、および実施する。米国政府機関は、ランサムウェアのインシデントに対する対応と通知の手順を含むべきサイバーインシデント対応計画を定義することの重要性を強調しています。また、政府の専門家は、被害者が重要な機能へのアクセスやコントロールを失った場合に備えて、業務を準備するためのレジリエンスプランの作成を推奨しています。

  • インターネット上の脆弱性や設定ミスを緩和し、攻撃対象を減らす。組織は、リモート・デスクトップ・プロトコル(RDP)やその他のリモート・デスクトップ・サービスを監査し、それらのサービスのベストプラクティスを推進する必要があります。使用されていない RDP のポートを閉じること、特定の回数の試行後にアカウントをロックアウトすること、多要素認証 (MFA) を適用すること、RDP のログイン試行をログに記録することなどが重要です。組織は、定期的に脆弱性スキャンを実施し、インターネットに接続するデバイスの脆弱性を特定して対処する必要があります。CISAは、インターネットに接続するシステムのソフトウェアを更新し、効率的なパッチ管理プロセスを実施することを推奨します。また、システムの設定を慎重に行い、業務で使用しないポートやプロトコルを無効にする必要があります。専門家は、SMB(Server Message Block)プロトコルのインバウンドおよびアウトバウンドを無効化またはブロックし、古いバージョンのSMBを削除または無効化することも推奨しています。

  • 強力なスパムフィルターを有効にし、ユーザーの意識向上とトレーニングプログラムを実施することで、エンドユーザーに届くフィッシングメールのリスクを軽減することができます。フィッシングの疑いを識別し、報告する方法を従業員に教育することが重要です。

  • 最新のアンチマルウェア・ソリューションとアプリケーションの使用、アプリケーション・ホワイトリストの導入、ユーザーおよび特権アカウントの制限、多要素認証(MFA)の有効化、サイバーセキュリティ・ベスト・プラクティスの実施など、優れたサイバー・ハイジーンを実践する。また、CISAは、MFAをサポートするすべてのサービスでMFAを有効にすることを推奨します。MFAは、ウェブメール、仮想プライベート・ネットワーク(VPN)、および重要なシステムへのアクセスを許可するアカウントを保護するために非常に重要です。
また、このファクトシートでは、組織が顧客や従業員の機密データを保護することを推奨しています。

CISAは、組織に以下を推奨します。
  • 組織のシステムにどのような個人情報や機密情報が保存されているか、誰がその情報にアクセスできるかを把握する。

  • 米連邦取引委員会(Federal Trade Commission)の個人情報保護に関するガイドに記載されている物理的なセキュリティのベストプラクティスを実施する。

  • 機密性の高い個人情報が保存されているコンピュータやサーバを特定し、保存中および転送中の機密情報を暗号化し、悪意のあるまたは不要なネットワークトラフィックからネットワークやシステムを保護するためにファイアウォールを導入するなど、サイバーセキュリティのベストプラクティスを実施します。また、米国政府機関は、組織はネットワークセグメンテーションの適用を検討すべきであるとしています。

  • サイバー・インシデント対応およびコミュニケーション・プランに、データ侵害インシデントに対する対応と通知の手順が含まれていることを確認する。
CISAでは、サイバーインシデント対応計画の実施について、以下のような対応をとることを推奨しています。

  • 影響を受けたシステムを特定し、直ちに隔離することで、ネットワーク運用の安全性を確保し、さらなるデータ損失を防ぎます。影響を受けたシステムをオフラインにすることができない場合は、ネットワークケーブルを抜いたり、Wi-Fiから外したりして、ネットワークからシステムを切り離します。影響を受けた機器をネットワークから取り除くことができない場合や、ネットワークを一時的に停止することができない場合は、インシデントを回避するために、それらの機器の電源を切ります。

  • その後、影響を受けたシステムの復旧・回復のためにトリアージを行い、重要度に応じて優先順位をつけます。

  • 行われた活動を記録し、予備的な分析を行う。脅威となる人物に身代金を支払ってはならない。このガイドラインでは、社内外のチームや利害関係者を巻き込んで、影響を受けた組織がセキュリティ侵害を緩和し、対応し、回復するためにどのような支援ができるかを伝えることを提案しています。組織は、影響を受けたシステム上の関連するログやアーティファクトを収集し、それらを分析することで、侵害の指標を抽出し、それを用いて感染の程度を判断する必要があります。

  • もちろん、米国政府機関は、ランサムウェアの被害者がCISA、最寄りのFBI支部、FBIインターネット犯罪苦情処理センター、または最寄りの米国シークレットサービスの事務所に事件を報告するよう呼びかけています。

CISAは7月、CISAのサイバーセキュリティ評価ツール(CSET)のための新しいランサムウェア自己評価セキュリティ監査ツール「Rransomware Readiness Assessment(RRA)」を公開しました。RRAは、組織が情報技術(IT)、運用技術(OT)、産業用制御システム(ICS)の各資産に対するランサムウェア攻撃にさらされているレベルを判断するために使用することができます。

最近話題の API や REST API 基礎編(転載)~REST は、REpresentational StateTransfer の略称~


最近話題の API や REST API ってなに? ~基礎編~:

最近よく耳にする「API」という単語ですが、「API って実際に何をしてくれるのか?」と思ったことはないでしょうか?

当記事では「API とは何か?」、更に「REST API とは何か?」についてはじめての方にもわかりやすく解説します。

1. APIとは


API は「Application Programming Interface」の略称です。

API を使用すると、2つの異なるソフトウェアが相互に通信できるようになります。 

API を使うことで実現できる事は、人がソフトウェアに対して操作を行うことに似ているので、人が電子メールソフトウェアを操作する事を例に考えてみます。

人の場合、「メッセージを開く」、「内容を確認する」、「メールを返信する」、「フラグを立てる」など操作を手動で行います。


この操作を人ではなくプログラム (Bot) で自動化したい場合、人が電子メールソフトウェアに対して行った「メッセージを開く」などの操作を代わりに実行するのが「API」です。


また API を使用すると、多くの機能を備えたアプリケーションの開発がリスク、コストを抑えて開発可能になります。

例として、レストランおすすめアプリを作成するとします。

アプリではユーザーがレストランを検索するときに、アプリが現在地情報を元にレストランのリストを作成するようにします。

このようなアプリを作成する時、昔はレストランのデータと位置情報のデータを自社のサーバー内に格納して、データを抽出するような作り方していました。

自社内で完結する設計のアプリは、アプリ全体が責任範囲となり、開発、保守工数を多く見積もる必要があります。


そこで登場するのが API です。

サードパーティから提供されている、レストランデータとマップデータを取得可能な API を探します。

API を活用することで、アプリは自社のサーバー内にデータを持つ必要がなく、API 経由でレストランデータとマップデータを得ることができるのです。


2. REST とは


REST は、REpresentational StateTransfer の略称です。

REST は API を構築するためのフレームワーク(枠組み、ルール)のひとつです。

REST に沿って作られた API (REST API)  は、シンプルでわかりやすいのが特徴です。

REST と API を組み合わせると、アプリケーションやユーザー発行する HTTP リクエストをシンプルにデザインする事ができます。

3. REST API とは


REST API の特徴として、「A に対して B をする」という作りになっています。

ここの「A に対して」を API までのリソースパス、「B をする」を HTTP 動詞と呼びます。

先のレストランアプリの例で考えてみましょう。

以下のように REST API が作成できると考えられます。

  • 「マップデータ」(リソースパス) に対して現在位置を「取得する」(HTTP 動詞)

  • 「レストランデータ」(リソースパス) に対して現在位置付近のレストランを「取得する」(HTTP 動詞)

では、もう少し具体的に、リソースパスや HTTP 動詞がどのようなものなのか、Webex の API を例に確認してみましょう。

Webex の API である「Webex ユーザーの登録者リストを取得する」API を例に確認していきます。

リソースパス


実際に「Webex ユーザーの登録者リストを取得する」API のリクエストを見てみましょう。

WebexAPI の仕様は「Cisco Webex for Developers」で確認できます。

次の仕様が、Webex ユーザーの登録者リストを取得する API です。


web サイトへアクセスする際に入力する URL に似ている構造をしています。

URL に似ているということで、ブラウザのアドレスバーから要求を送信する事ができます。

名称は URL(Uniform Resource Locator)ではなく「URI(Uniform Resource Identifier)」と呼びます。

 

この「URI」を構成する項目に「リソースパス」が存在します。

URI = プロトコール + ドメイン名 + リソースパス + パラメータ

 

「https://webexapis.com/v1/people」を「プロトコール」「ドメイン名」「リソースパス」「パラメータ」に分けてみると以下の通りです。

プロトコール :https
ドメイン名 :webexapis.com
リソースパス :v1/people
パラメータ :なし
 

「プロトコール」は http または https、「ドメイン名」は WebexAPI、GoogleAPI など各種 API で決まっているため、「リソースパス」が変更されることでどの API が呼び出しされるか決まります。

また、「パラメータ」は任意項目です。

 

リソースパス「v1/people」から「人」に対する操作であることがわかります。

HTTP 動詞


REST API に設定する HTTP 動詞は以下のものがあります。

HTTP 動詞 Action
POST 作成
GET 取得
PUT 更新
PATCH 更新
DELETE 削除

もう一度仕様書を確認してみます。


WebexAPI にリソースパス「v1/people」は2種類あるため、「https://webexapis.com/v1/people」で要求すると、「人々をリストする」と「人を作成する」のどちらの API が要求されたのか判断ができません。

ここで「HTTP 動詞」である「GET」を付けて送信すると、「人々をリストする」が要求されていることが判断できるようになります。 

「HTTP 動詞」と「リソースパス」が確認できたところで、REST API の構成である「A に対して B する」に戻ってみると、「人に対して取得する」となります。

障害多発のみずほ銀行のことを「みすぼらしい銀行」という人が多いらしい(転載)


みずほ銀行のことをみすぼらしい銀行って言ってる人いそうだなと思って検索したらいっぱいいた。

みずほ銀行で2021年9月8日に起こったシステム障害の原因が分かった。同行の勘定系システム「MINORI」において司令塔の役割を果たす「取引メイン(取引共通基盤)」のディスク装置の故障がきっかけで、一部のATMやインターネットバンキングが一時停止した。

具体的には、9月8日午前9時20分ごろ、取引メインのディスク装置が故障。みずほ銀行は取引メインのディスク装置が故障すると、同装置を切り離し、「常に同期をとって稼働している状態」(広報)の別のディスク装置だけで処理を継続する仕様だったが、その過程で「瞬断」が発生した。

この影響を受けて、最大100台ほどのATMやインターネットバンキングの「みずほダイレクト」が一時停止。同日午前10時半までに復旧した。みずほ銀行を巡っては2021年2月以降、顧客に影響が及ぶシステム障害が何度も表面化しており、今回で7回目となる。