スマホ運用のセキュリティ対策チェックシートに新版（転載）

スマホ運用のセキュリティ対策チェックシートに新版 - JSSEC:

日本スマートフォンセキュリティ協会（JSSEC）は、スマートフォンの導入や運用、利用停止の各段階においてセキュリティ面より考慮すべきポイントについて取りまとめた「対策チェックシートII」を公開した。

同チェックシートは、あらたにスマートフォンを活用したり、情報セキュリティポリシー全体の見直しを実施する際、セキュリティ要件として検討すべきポイントを網羅的にまとめたチェックシート。スマートフォンを導入したり、セキュリティポリシーの策定、運用などを行う責任者の利用を想定している。

同協会が2014年3月に発行した「スマートフォン＆タブレットの業務利用に関するセキュリティガイドライン 第2版」とあわせて提供してきた「対策チェックシート」の改訂版にあたる。

「NIST Cybersecurity Framework（CSF）」の分類と一致した50項目からなり、A3ファイル1枚の両面に収まるようデザイン。対策を網羅的にカバーしつつ、ポリシーの採用状況や理由など、自組織の状況を記録するスペースも配置した。

同チェックシートを取りまとめた同協会利用ガイドラインワーキンググループでリーダーを務める松下綾子氏は、「働き方改革や個人情報の取り扱いなど社会情勢を反映した」と変更点を紹介した。

「NIST CSF」の5機能にあわせて項目を再構成したことから、「防御」が中心だった従来の構成から、「検知」や「対応」「復旧」などの項目を充実させ、網羅的にチェックが行えるようになったと説明。PDFファイルにくわえ、自由にカスタマイズができ、書き込みも行える「Excel形式」のファイルも用意しており、セキュリティ対策にぜひ活用してほしいと呼びかけている。

バックアップ

総務省「テレワークセキュリティガイドライン（第5版）」公開、意見募集と回答も併せて公表（転載）～個人的には「テレワーク」ではなく「リモートワーク」でお願いしたい

総務省「テレワークセキュリティガイドライン（第5版）」公開、意見募集と回答も併せて公表:

総務省は「テレワークセキュリティガイドライン（第5版）」（案）に対する意見募集の結果と当該ガイドラインを公表した。同省では2月15日から3月5日までの間、「テレワークセキュリティガイドライン（第5版）」の案について広く意見を募集しており、その結果、法人3件、個人・匿名17件の計20件の意見の提出があった。

　同省では、企業等がテレワークを実施する際のセキュリティ上の不安を払拭し、安心してテレワークを導入・活用するための指針として「テレワークセキュリティガイドライン」を策定、2004年12月に初版を公表し、その後も改訂を行ってきた。

　今回、公開した第5版では、オンライン会議を含めたテレワーク導入が拡大し、クラウドサービスの普及やスマートフォンの活用等が一層進展するなど、テレワークを取り巻く環境の変化するとともに、サイバー攻撃の高度化等によるセキュリティ動向の変化を踏まえ、全面的な改定を行っている。

　意見募集では株式会社ブロードバンドセキュリティから、テレワークで脆弱になりがちな、テレワーク環境のネットワークセキュリティや物理セキュリティについて、独立した節を設けて説明すべしとの指摘があり、同省ではガイドラインに自宅でのセキュリティ対策等について追記している。

　また一般社団法人新経済連盟事務局からは、「テレワークセキュリティガイドライン」そのものについて「事業の効率的かつ健全な発展」という観点から、マネジメントやカルチャーについても言及し、本当の意味でテレワークを推進する立場にたったガイドラインとすべきという意見があり、同省ではテレワーク総合情報サイト（ https://telework.soumu.go.jp/）を開設している他、関係省庁とも連携しつつその推進に取り組むと回答している。

バックアップ

CompTIA CySA+に合格するためのヒントとリソース / Tips and resources for passing CompTIA CySA+（転載）

Tips and resources for passing CompTIA CySA+:

先日、何度も予定外のことがあったにもかかわらず、CompTIA CySA+ CS0-002試験を無事に終了し、認定を受けることができました。

これは決して簡単な試験ではありませんでしたが、十分な時間をかけて勉強し、実践的な準備をすれば達成可能な試験です。

CompTIA CySA+は、CompTIA IT認定資格ロードマップのAdvancedカテゴリーに属しており、これより上位の資格はエキスパートのCASP+のみです。

CySA+の推奨前提条件は、Network+、Security+または同等の知識を持ち、3～4年以上の情報セキュリティまたは関連する実務経験を持つことですが、実際にはそうではありません。

すべては、あなたがどれだけ自習する気があるか、どれだけ規律を守れるかにかかっています。そして、あなたがどれだけその分野に精通しているかです。

"CompTIA CySA+認定資格の取得者は、セキュリティ分析、侵入検知、対応に対応するスキル、知識、能力を備えています。CompTIA CySA+アナリストは、データ分析を行い、その結果を解釈して、組織の脆弱性、脅威、リスクを特定する能力と、システムを安全に保護するためのスキルを証明しています。"

使用した学習教材:

• Jason Dion’s Udemy CompTIA CySA+ (CS0-002) Complete Course & Practice Exam
• Jason Dion’s Udemy CompTIA CySA+ (CS0-002) Practice Certification Exams
• Measureup’s CompTIA Practice Test CS0-002 CySA+ (このテストセットは高価なので、もっと安価な代替品があります。) 
• CompTIA CySA+ CS0-002 Certification Study Guide (私はこの本を無料で入手しました。もしそうでなければ、160ドルも払うことはなかったでしょう。このような安価な代替品を見つけることができます。)
• Exam Topics CompTIA CS0-002 Exam Actual Questions (無料のリソースですが、キャプチャーに悩まされています。また、このサイトで提供されている公式回答の多くは間違っているようなので、各質問の下にあるディスカッションを読み、他のソースで回答を裏付けるようにしてください。)

試験の目的は以下の通りです:

comptia-cysa-002-exam-objectivesDownload

そして、勉強中に取った自分のメモは以下の通りです（内容が膨大で時間がないため100％ではありませんが、おそらく75％は完成していると思います）:

CySA-002-NotesDownload

前述のように、私はExam Topicsの無料テストにも参加しました。私は自分の知識と理解の範囲内で質問に答えようとしましたが、それは時に難しいものでした。

編集：CompTIAが例題のいくつかを好ましくないと見なすかどうかの曖昧さを避けるために、以下のファイルを削除しました。この件に関しては、慎重に判断した方が良いでしょう。

CySA-002-Exam-Topics

上記のファイルの完全性を確認したい場合は、それぞれのMD5ハッシュを同じ順序で示します:

• da4ca9b60b98697cd827ec1556f23eaf
• 10cc91c775368fbdd21287c87e0a2aa9
• e20d45793b4675261f76312c07be9c02

試験のコツ:

1. 試験時間は165分で、すべての問題を解答、修正、復習するのに十分な時間があります。
   
   
2. 最初に少なくとも3つの大きな実践的なシミュレーション問題が出題されます。これらの問題に最も時間を費やすことになるでしょう。私はそれらを最後まで残しました。
   
   
3. 私の意見では、最も重要なドメインは、「Security Operations & Monitoring」と「Threat & Vulnerability Management」です。これは、私が最も時間をかけて準備した分野であり、全試験問題の50％近くがこの分野に集中しています。
   
   
4. 問題に「For Review」のマークを付けて、後から見直すことができることを利用します。私はまず、絶対に答えを知っていると確信している問題を解いていきました。それ以外の問題は2回目に回しました。
   
   
5. 問題の文言を何度も何度も読み返してください。多くの質問は数段落の長さで、「特定のモデルに含まれないものは何か」や「イベントXの最も少ないマイナス/プラスの結果は何か」など、特定のシナリオの文脈でトリッキーな方法で質問されています。
   
   
6. いくつかの質問では、ファイアウォールやその他のツールからのインシデントログの読み取りに関する様々な側面を取り上げました。ログの読み方についてはよく知っておく必要があります。
   
   
7. nmapのようなユーティリティーや、コマンドラインから出力されるものに関する質問もあります。それらを実際に使って練習してみてください。WindowsとLinuxの両方で。
   
   
8. WiresharkからQualysやProwlerのようなあまり知られていないものまで、様々なツールとその機能（または機能しないもの）に関する一般的な質問に出くわします。これらのツールが何のためにあるのか、少なくとも高いレベルで理解していること。
   
   
9. よく知られているポートと登録されているポートを確認してください。これは Network+ の領域のように思えるかもしれません。ポートやそこで使われるサービスについて間接的に質問されることがあります。
   
   
10. 特定の質問について疑問がある場合は、コンプライアンス/リスク管理の考え方に立ち返ってください。すぐに答えが見つからないような一般的な質問では、リスク、攻撃対象、暗黙の脅威を最小限に抑えるための対策が問われることがほとんどです。

2021年のGlobal Threat Intelligence Report発行。ハッカーが世界の情勢の変化とリモートワークに伴う脆弱性を活用し、重要な産業を標的にしている（転載）

2021年のGlobal Threat Intelligence Reportを発行いたしました。ハッカーが世界の情勢の変化とリモートワークに伴う脆弱性を活用し、重要な産業を標的にしていることを明らかにしています。http://bit.ly/3b2AiX2 #GTIR2021 #cybersecurity:

2021年のGlobal Threat Intelligence Reportを発行いたしました。ハッカーが世界の情勢の変化とリモートワークに伴う脆弱性を活用し、重要な産業を標的にしていることを明らかにしています。 bit.ly/3b2AiX2 #GTIR2021 #cybersecurity

NTT Ltd.は、本日、2021年版グローバル・スレット・インテリジェンス・レポート（GTIR）を発表しました。このレポートでは、ハッカーが世界的な不安定化を利用して、基幹産業やリモートワークへの移行による共通の脆弱性を狙っていることを明らかにしています。医療、製造、金融の各業界では、攻撃が増加し（それぞれ200%、300%、53%）、これら上位3つのセクターの合計が、2020年の全攻撃の62%を占め、2019年から11%増加しています。

企業がクライアントポータルを利用して仮想的なリモートアクセスを提供しようとする中で、アプリケーション固有の攻撃やWebアプリケーションへの攻撃が急増し、攻撃全体の67％を占め、過去2年間で2倍以上に増加しました。医療機関は、遠隔医療やリモートケアへの移行に伴い、これらの攻撃の矢面に立たされており、この業界を標的とした敵対行為の97％がWebアプリケーションまたはアプリケーション固有の攻撃でした。

GTIRは、NTTのサイバーセキュリティアドバイザリから得られた知見をもとに、産業界のセキュリティプログラムの成熟度をスコア化したもので、スコアが高いほど、より成熟した行動計画であることを示しています。懸念されるのは、ヘルスケアと製造業の成熟度スコアが相対的に低く、それぞれ1.02と1.21であることです。これらは、2019年の基準値である1.12と1.32から減少していますが、攻撃率は大幅に上昇しています。製造業は3年間にわたってスコアが低下していますが、これは運用環境の変化と攻撃の進化が原因である可能性が高いです。一方、金融は3年連続で最高の成熟度ベンチマークスコアを示し続け、1.84となりましたが、昨年より0.02減少しました。

NTTのセキュリティ部門のCEOであるカズ・ヨザワは、「昨年、私たちは標的型攻撃やオポチュニスティック攻撃が急増すると予測しましたが、残念ながらそれはあまりにも真実であることがわかりました。これらの業界は、混乱した時代にも必要なサービスを維持するために最善を尽くしてきましたが、企業が最も必要とする時にセキュリティ基準が低下していることは憂慮すべきことです。サービスのオンライン化が進み、新しい常態に対応するためにデジタル化が進む中、企業はセキュリティのベストプラクティスを維持するために一層の注意を払う必要があります」と述べています。

マルウェアが変貌を遂げる。暗号マルウェアが急増する一方、トロイの木馬が一般的になる

マルウェアは、機能や特徴がコモディティ化している一方で、昨年は多機能なマルウェアの増加により多様化しています。世界で最も一般的なマルウェアは、スパイウェアに代わってクリプトマイナーが主流となっていますが、特定の産業に対する特定の亜種のマルウェアの使用は進化し続けています。ワームは、金融業と製造業で最も多く出現しました。ヘルスケア分野では、リモートアクセス用のトロイの木馬が、テクノロジー分野ではランサムウェアが標的となりました。 教育分野では、保護されていないインフラを悪用したマイニングが学生の間で流行したことにより、クリプトマイナーの被害を受けました。

暗号通貨市場はその代表例で、2020年に検出されるマルウェアのうち、クリプトマイナーが41％という驚異的な割合を占めています。XMRig coinminerは最も一般的な亜種で、coinminerの活動全体の約82％、特にEMEAでは約99％を占めています。

NTTのグローバル・スレット・インテリジェンス・センターを率いるマーク・トーマスは次のように述べています。"一方では、世界的な災害を利用する脅威のアクターがいて、他方では、前例のない市場の好況を利用するサイバー犯罪者がいます。どちらの状況にも共通しているのは、予測不可能性とリスクです。事業モデルの変化や新技術の導入は、悪意のあるアクターにとってチャンスであり、経験の浅い学生に人気のある暗号通貨市場の急成長により、攻撃は起こるべくして起こりました。パンデミックがより安定した段階に入った今、企業も個人も同様に、サプライチェーンを含むすべての業界でサイバーセキュリティの衛生管理を優先しなければなりません」と述べています。

2021年のGTIRのハイライト：

• 製造業に対する攻撃は、昨年の7％から22％に増加し、医療機関は7％から17％に、金融機関は15％から23％に増加しています。
  
  
• 複数の業界の組織で、COVID-19ワクチンと関連するサプライチェーンに関連する攻撃が見られました。
  
  
• COVID-19のサイバー犯罪者の日和見主義は激化し、Ozie Team、Agent Tesla、TA505などのグループに加え、Vicious Panda、Mustang Panda、Cozy Bearなどの国民国家のアクターが2020年に非常に活発に活動しました。
  
  
• 2020年に最も多く発生したマルウェアの形態は、マイナー。41％、トロイの木馬 26％、ワーム：10％、ランサムウェア：6％でした。
  
  
• クリプトマイナーは、ヨーロッパ、中東、アフリカ（EMEA）およびアメリカ大陸で多く見られましたが、アジア太平洋（APAC）では比較的まれでした。
  
  
• 南北アメリカで最も標的とされたテクノロジーはOpenSSLでしたが、APACではトップ10にも入っていませんでした。
  
  
• Schrems IIの判決を受けて、EU-USプライバシーシールドが無効になり、EUから第三国に個人データを転送する組織に追加の義務が課せられました。
  
  
• NTTの調査によると、世界の企業の50％が、クラウドサービスのセキュリティ確保を優先しており、今後18ヶ月間のサイバーセキュリティの最重要課題となっています。

本年度の報告書が、今日のサイバー脅威の状況に対処するための強固なフレームワークを企業に提供している点については、リンクをクリックしてNTT Ltd. 2021 GTIRをダウンロードしてください。

健康食品通販サイトでクレカ情報が流出～想定損害賠償額は約2.2億円か～

健康食品通販サイトでクレカ情報が流出 - 不正利用の可能性 

健康食品など扱う通信販売サイト「クラウディアHP」が不正アクセスを受け、クレジットカード情報が外部に流出し、不正に利用された可能性があることが明らかになった。

同サイトを運営するクラウディアによれば、ウェブサイトの脆弱性が突かれ、決済アプリケーションが改ざんされたもの。2020年10月8日にクレジットカード会社より情報流出の可能性について指摘があり、問題が判明した。

2019年10月4日から2020年10月8日にかけて、決済に利用された顧客のクレジットカードに関する名義や番号、有効期限、セキュリティコードなど8644件が外部に流出し、不正に利用された可能性がある。

調査は2021年2月28日に完了しており、3月30日に個人情報保護委員会や警察に報告を行った。顧客に対しては、6月14日よりメールや書面を通じて連絡を取り、身に覚えのない請求が行われていないか、確認するよう注意を呼びかける。

プレスリリース

バックアップ

Kali Linux 2021.2 リリース / Kali Linux 2021.2 Release （転載）

Kali Linux 2021.2 Release (Kaboxer, Kali-Tweaks, Bleeding-Edge & Privileged Ports): 

Kali Linux 2021.2 をよろしくお願いします。このリリースには、新しいアイテムと既存の機能の強化が混在しており、既存のKali Linuxをお持ちの方は、すぐにダウンロード（更新ページから）またはアップグレードできます。

2021年2月にリリースされた2021.1以降の変更履歴を簡単にまとめます。

• Releasing Kaboxer v1.0 - Introducing Kali Applications Boxer v1.0! Applications in containers
• Releasing Kali-Tweaks v1.0 - Our way to make it easier to configure Kali Linux to your taste
• Refreshed Bleeding-Edge branch - We did a complete make over for our backend that produces packages for the latest updates
• Disabled privileged ports - Opening a listener on ports 1024/TCP-UDP and below no longer requires super-user access
• New tools added - Ghidra & Visual Studio Code. Along with CloudBrute, Dirsearch, Feroxbuster, pacu, peirates, & Quark-Engine
• Theme enhancements - We added a way to quickly swap between double & one-line terminal prompt and made Xfce4 Quick launch + file manager tweaks
• Desktop wallpaper & login background updates - Default images have changed with more to choose from
• Raspberry Pi images recharged - RPi 400 fully supported, built-in bluetooth working, & first-run wait time dramatically reduced
• Kali NetHunter support for Android 11 - Android 11 support and various other improvements for our NetHunter platform
• More Docker support - Now supporting ARM64 & ARM v7 (along with previous AMD64)
• Parallels support - Kali is fully supported for Apple M1 users who have Parallels
• Various bug fixes - Pkexec patched, Wireshark permissions, command-not-found issues, & more accessibility features are all resolved

Introducing Kaboxer v1.0 (Again)

以前、Kaboxerについては専用のブログ記事で紹介しましたが、Kaboxerが大好きな理由をもっと詳しく説明しています。開発者にとって、Kaboxerは素晴らしい新しいツールです。ユーザーの皆様には、これまで問題となっていたツールが正常に動作するようになったことに気づくだけで、使用していることに気づかないことを期待しています。

前述の繰り返しになりますが、この技術により、複雑な依存関係やレガシーなプログラムやライブラリ（Python 2や古いSSL/TLSなど）など、これまで困難だったプログラムを正しくパッケージ化できるようになりました。

Kaboxerの発売に伴い、Kaboxerを使用した3つのパッケージをリリースしました。

• Covenant - Daemon using server/client network model
• Firefox (Developer Edition) - Big GUI desktop application
• Zenmap - Legacy libraries (Python 2) application

もっと詳しく知りたい方は、それを取り上げたブログ記事か、ドキュメントをご覧ください。

Kaboxerはまだ初期段階にありますので、どうかご容赦ください。

Releasing Kali-Tweaks v1.0

Kali-Tweaks を発表します! Kali-Tweaks は、Kali ユーザーのためのちょっとした助け舟です。これは、Kali を自分の好みに合わせて、素早く、簡単に、そして正しい方法でカスタマイズするのを助けるというアイデアです。これにより、繰り返しの作業をしなくて済むようになるはずです。

現在、Kali-Tweaks は以下のことを支援します。

• Metapackages - インストーライメージを使用しなかった場合、Kali のインストール時に利用できなかった可能性のあるツール群のインストール/削除。
• ネットワークリポジトリ - 「ブリーディングエッジ」および「エクスペリメンタル」ブランチを有効/無効にする
• シェルとプロンプト - プロンプトを 2 行または 1 行に切り替えたり、プロンプトの前の追加行を有効/無効にしたり、Bash または ZSH をデフォルトのシェルとして設定したりします。
• 仮想化 - ゲスト VM として Kali をお使いですか？いくつかのアクションを行うことで、より簡単に体験することができます。

私たちの哲学は、実行する前に、実行する内容を常に理解することです。そうすることで、望ましくない不意打ちを食らう可能性を減らすことができるからです。そのため、自動化する前に手動でアクションを行うことを常に推奨しています。一方で、覚えなければならないことが非常に多いことも理解しています。さらに、長期的な影響を及ぼし、結果的に Kali を壊してしまうような、人々の悪い習慣を加えれば、改善の余地があります。そこで、私たちは Kali-Tweaks の開発を始めました。可能な限り、Kali-Tweaks は、ユーザーの教育に役立つように、実行されているコマンドを表示します。

いくつか言及しておきたいことがあります。

kali-tweaks は、「必須」ではなく「推奨」とされました。そのため、Kali をアップグレードする際には含まれていないかもしれません。その一方で、kali-tweaks を削除しても、他のものを削除する必要はありません。

アップグレードの話題ですが、Kali のインストールの古さによっては、「configure prompt」セクションを使う前に、シェルリソース (例: .bashrc や .zshrc) をリセットする必要があるかもしれません。これは、必要な変数が含まれていないためです。万が一、バックアップ、リセット、リストアを必ず行うこと

最後の注意点として、デフォルトのログインシェルを変更する場合は、ログアウトしてから再度ログイン（グラフィカルコンソールまたはリモートコンソール）しないと効果がありません。

日之出出版の通販サイト2サイトが不正アクセス被害 - 指摘は約1年前（転載）～想定損害賠償額は1.5億円程度か～

「日之出出版公式ストア」もEC-CUBE

日之出出版の通販サイト2サイトが不正アクセス被害 - 指摘は約1年前

日之出出版が運営する通信販売サイト2サイトが不正アクセスを受け、クレジットカード情報が外部に流出し、不正に利用された可能性があることがわかった。

雑誌「Safari」の公式通販サイト「Safari Lounge」では、システム上に脆弱性があり、2020年1月9日から2020年5月29日までに同サイトで入力されたクレジットカード情報4544件が流出し、不正に利用された可能性がある。

さらに同社が運営する「日之出出版公式ストア」においても不正アクセスが判明した。2020年4月22日から同年6月4日までに利用されたクレジットカード情報1403件を対象としており、いずれもクレジットカードの名義、番号、有効期限、セキュリティコードを窃取されたおそれがある

同社通信販売サイトよりクレジットカード情報が流出した可能性については、クレジットカード会社より決済代行会社を通じて、2020年5月27日に指摘を受けたという。調査は同年7月17日に完了。対象となる範囲については、クレジットカードの不正利用による被害の発生状況とフォレンジック調査結果を踏まえて判断したという。

今回の問題を受けて、同社では2020年12月18日に個人情報保護委員会と警察へ報告。対象となる顧客に対しては、2021年6月10日よりメールで経緯の説明と謝罪を行い、身に覚えのない請求が行われていないか注意喚起を行うとしている。

ミスがある前提でのデータ漏えい対策 / Let's Stop Blaming Employees for Our Data Breaches（転載）～セキュリティはコミュニケーション！？従業員に対しては性善説”風”で！！～

ミスがある前提でのデータ漏えい対策 

Let's Stop Blaming Employees for Our Data Breaches

信頼していたネットワークからデータが流出した場合、悪意があると考えるのが一般的かもしれません。従業員がデータを盗んだというニュースの見出しを見て、その結果、データ漏洩は一般的に悪意のあるものだという結論に達するように自分を仕向けているのです。しかし、信頼している従業員がネットワークからデータを流出させた場合には、もう少し詳しく調べてみる必要があります。特に、データ流出のケースは、従業員のミスや怠慢が原因であることが多いからです。

貴社の従業員の大半は、善意の勤勉な人々であり、決してサイバーセキュリティの問題を起こそうとは思っていません。実際、2020年には、データ漏えい全体の17％がヒューマンエラーによって引き起こされ、2019年の2倍になっています。

新入社員は、個人情報をより簡単に利用できるようにするために、個人用のiCloudドライブを仕事用のデバイスに追加しますが、会社のデータが自動的にiCloudアカウントにアップロードされてしまう初期設定があることに気づきません。また、パンデミック時にリモートで仕事をしているメンバーが、仕事用のコンピュータが起動していないときに、個人のラップトップからファイルにアクセスしてしまうこともあります。いずれにしても、従業員は問題を起こすつもりはありませんでした。セキュリティチームが従業員に悪意があると判断しても、将来のデータ損失を防ぐことはできません。

実際、従業員が知的財産や企業秘密を盗もうとしていると考えると、セキュリティチームと従業員が対立し、セキュリティに関する不必要なストレスを抱えることになりかねません。私たちは、従業員が仕事を終わらせようとしていること、そして彼らの行動が肯定的な意図を持ったものであることを推測することから始める、より良いアプローチを必要としています。

積極的なセキュリティ文化の構築は、従業員の入社初日から始まります。たとえ5分でもいいので、入社時のプロセスにセキュリティの話を盛り込みましょう。その時間を利用して、セキュリティチームは従業員を狙っているわけではなく、会社の資産を守るためには従業員の協力が必要であるというトーンを設定します。また、従業員がセキュリティチームとどのように協力していけばよいのか、その基礎を築いておく必要があります。支援が必要なとき、質問があるとき、問題や懸念を報告する必要があるとき、どこに行けばいいのか？

また、従業員を敵ではなくセキュリティ・ヒーローとして位置づけるために、定期的に効果的なサイバーセキュリティ・トレーニングを行うことも重要です。悪意のあるデータ窃盗だけに焦点を当てるのではなく、意図せずにデータが流出してしまう一般的な方法についてチームを教育することで、意識を高め、将来的に発生しないようにします。

どんなトレーニングにも言えることですが、トレーニングを定着させることも大切です。そのためにはどうすればいいのでしょうか？トレーニング自体を魅力的なものにすることです。形式を変えて、可能な限りインタラクティブにしましょう。フィッシング・トレーニングは、テストメールをクリックしない、報告しないというスコアを上げるためのセキュリティ上の課題であるとアピールし、なぜフィッシング・トレーニングを提供するのかを明確にします。私たちは通常、新入社員にフィッシング・テストを行うことを予告しています。これはトリックではなく、疑わしいメールを認識し報告することを学ぶためです。実践する機会のないものを得意とすることは期待できません。

透明性は、どちらの方向にも有効です。Code42では、ファイルを移動したり共有したりする業務上または個人的な理由がある場合、従業員に警告するよう求めています。例えば、最近退職する社員が、仕事用ドライブに保存していた個人的な写真を個人用ドライブに移す予定であるとセキュリティチームに通知してきました。このような積極的な行動は、調査時間を短縮し、セキュリティチームが暗号化されたドライブなど、より安全な転送方法を提案することができるため、有用です。

従業員が悪意を持ってデータを流出させる可能性はまだあります。しかし、どのようなデータ漏洩も、その背後にいる人物が善意であることを前提にして対処するのが最善です。セキュリティ上のミスやエラーについて従業員に連絡する際に、どのような言葉や表現を使うかによって、あなたが助けを求めていることを示し、従業員が安心してあなたのチームと一緒に働きたいと思うようにすることができます。

例えば、不審なファイル転送に気づいた場合、従業員に「個人のメールアカウントにファイルが転送されていることに気づきました。あなたが個人の電子メールアカウントにファイルを転送したという通知を受けたので、あなたのコンピュータをロックしています」ではなく、「あなたはこれを知っているかどうか確認できますか？また、必要なセキュリティトレーニングを完了していない人がいる場合は、次のように言うことができます。"私たちの記録によると、あなたのセキュリティトレーニングは期限切れになっていますが、確認していただけますか？" 多くの場合、従業員からはトレーニングの場所を尋ねる返事が返ってくるので、過失ではなく教育やコミュニケーションの問題であることがわかります。

セキュリティ問題は、社員にとってもセキュリティチームにとっても大きなストレスとなります。ほとんどの従業員が善意であることを強調するために、セキュリティに関する物語を書き換え、強化する必要があります。そうすることで、チームが従業員を信頼できるセキュリティ・パートナーとして見ていることが従業員に伝わり、企業はより効率的で積極的なセキュリティ・アプローチが可能になります。

ユピテル、会員情報40万件流出 不正アクセスから３年以上経ち、脅迫され公表（転載）～想定損害賠償額は48億円程度か～

ユピテル、会員情報40万件流出 不正アクセスから３年以上経ち、脅迫され公表
 

株式会社ユピテルは2021年6月8日、同社が提供する会員サービス「My Yupiteru」が外部からの不正アクセスを受け、氏名や住所、電話番号などの会員データ40万5,576件が流出したと明らかにしました。

発表によると、同社は2017年10月31日に外部からの不正アクセスを確認しており、この時点で会員データが流出していたとのこと。当時は不正アクセスの発生は事実であるものの情報流出はないものと判断しており、公表を控えていました。

ところが2021年5月25日になり、同社に匿名の脅迫メールが届きます。脅迫者は同社から2017年に会員情報を盗み取ったと告げる一方で、同社に金銭の支払いを要求したとのこと。このため、同社は関係当局に報告のうえで、流出の事実の公表に踏み切りました。

株式会社ユピテルによると、不正アクセスの影響で2017年10月以前に「My Yupiteru（ity.クラブ、ATLASCLUB、を含む）」に登録したユーザーの会員情報40万5,576件に流出の危険性が生じています。

流出した情報は氏名や住所、電話番号およびメールアドレスなどの情報で、クレジットカード情報は含まれていないとのこと。ただし、連絡先が流出していることから、今後被害者には不審な電話やダイレクトメールが生じる可能性があるとしています。

なお、同社によると不正アクセスの原因自体は2017年以降に対策を進めているとのことです。

My Yupiteru会員様情報の一部流出のお詫びとお知らせ

バックアップ

SOCMINTとは？（転載）

警察が今話題のSOCMINTってやつに興味を示していることはよくわかった。 en.wikipedia.org/wiki/Social_me…: 警察が今話題のSOCMINTってやつに興味を示していることはよくわかった。
en.wikipedia.org/wiki/Social_me…

ソーシャルメディア・インテリジェンス（SMIまたはSOCMINT）とは、組織がユーザーのニーズに基づいて、会話を分析し、ソーシャルシグナルに反応し、ソーシャルデータポイントを意味のあるトレンドや分析に合成するためのツールやソリューションの集合体を指します。ソーシャルメディア・インテリジェンスでは、ソーシャルメディアサイトからの情報収集を、侵入または非侵入の両方の手段を用いて、オープンまたはクローズドのソーシャルネットワークから利用することができます。この種の情報収集は、OSINT（Open-Source Intelligence）の一要素です。

この言葉は、2012年にデビッド・オマンズ卿、ジェイミー・バートレット、カール・ミラーが、ロンドンのシンクタンクDemosのCentre for the Analysis of Social Mediaに寄稿した論文で生まれました。

この論文では、ソーシャルメディアが諜報活動や安全保障活動において重要な役割を果たしているが、ソーシャルメディアが強力な新しい諜報活動とみなされるためには、技術的、分析的、規制的な変化が必要であり、そのためには2000年英国調査権規制法の改正が必要であるとしています。

ソーシャルメディアとソーシャルメディア・モニタリングがダイナミックに進化していることを考えると、ソーシャルメディア・モニタリングが組織のビジネス価値創造にどのように役立つかについての現在の理解は不十分です。そのため、組織が(a)事業に関連するソーシャルメディアデータを抽出・分析する方法(Sensing)と、(b)ソーシャルメディアモニタリングから得られた外部情報を特定のビジネスイニシアチブに活用する方法(Seizing)を研究する必要があります。

調査によると、Twitter、Facebook（一般的なソーシャルネットワーキングサイト）、YouTube（最大の動画共有・ホスティングサイト）、ブログ、ディスカッションフォーラムなど、インターネット上の様々なソーシャルメディアプラットフォームが、過激派グループによって、自分たちの信念やイデオロギーを広めたり、過激化を促進したり、メンバーを募集したり、共通のアジェンダを持つオンライン仮想コミュニティを作るために悪用されていることがわかっています。また、Twitterなどの人気マイクロブログサイトは、内乱関連イベントの計画・動員時に、情報共有やコミュニケーションのためのリアルタイムプラットフォームとして利用されています。

広義には，ソーシャルメディアとは，コミュニティの間でコンテンツを生成し，広め，コミュニケーションを行う会話型の分散型モードを指します。放送を中心とした伝統的なメディアや産業メディアとは異なり、ソーシャルメディアは著者と読者の間の境界を取り払い、情報の消費と普及のプロセスは、情報の生成と共有のプロセスと本質的に絡み合ってきています。