雑記系ブログ。セキュリティとか、マイルとか、投資とか、、、 / Miscellaneous Blogs. Security, miles, investments, etc
AWSの障害で銀行や携帯電話会社など、広い範囲で影響(転載)~クラウドを採用するということは、障害発生時に指をくわえて見守るしかないことを覚悟せよ~
個人利用クラウドへのアップロードも行われた再委託先従業員による情報持ち出し事件(転載)~クラウド利用時に考慮しないといけないリスクの一つだな。~
再委託先社員による不適切なデータの取り扱いについてのお知らせとお詫び
株式会社村田製作所(以下、当社)は、外部委託先企業(委託先:日本アイ・ビー・エム株式会社)の再委託先(中国法人IBM Dalian Global Delivery Co., Ltd.、以下「再委託先」)社員が当社取引先情報および個人情報を含むプロジェクト管理データを業務用パソコンへ許可なくダウンロードし、中国国内の外部クラウドサービスの個人アカウントへアップロードしたことを2021年7月20日に確認しました。
委託先の調査によると、持ち出された情報について当該再委託先社員以外の者がアクセス・取得した事実やその情報が悪用された事実は認められておりません。また、外部クラウドサービス事業者の調査でも、持ち出された情報を第三者がコピー・ダウンロードした事実のないことが確認されたと報告を受けておりますが、当社としてデータ対象範囲の広さと取引先情報および個人情報が含まれているという事実に鑑み、本件の発表に至りました。
お客さまをはじめ多くのご関係先にご迷惑とご心配をおかけしましたことを、深くお詫び申し上げます。
1.本件の概要
当社の会計システム更新プロジェクトに関わる当該再委託先の社員によって、業務用パソコンへ取引先情報および個人情報を含むプロジェクト管理データが許可なくダウンロードされました。また、同データを中国国内のクラウドストレージサービスの個人アカウントへアップロードしたことが確認されました。アップロードされたデータはすでに業務用パソコンおよび、外部クラウドストレージサービスから削除されています。
なお、本件に関してウィルス感染やサイバー攻撃などは確認されていません。
2.経緯
・ 6月28日 再委託先の社員がプロジェクト管理データを業務用パソコンにダウンロード。
・ 6月30日 再委託先の社内監視システムによりセキュリティアラートを検知。
・ 7月4日 調査の結果、再委託先の社員による取引先情報および個人情報を含むプロジェクト管理データのダウンロードを確認。
・ 7月8日 再委託先の社員への聞き取り中に、上記データのダウンロード後に外部クラウドサービスの個人アカウントへのアップロードが行われたことが判明。同日、再委託先の監視のもと、アップロードされたデータを削除。
・ 7月20日 外部委託先企業から当社へ報告。
・ 8月3日 外部クラウドサービス事業者の調査により、第三者がそれらのデータをコピーしたり、ダウンロードした形跡がないことを確認。
・ 8月5日 外部委託先企業から順次開示される解析データに基づき提供される情報を当社側でも内容を分析・検証し、影響のある範囲の特定やリスクを確認。当社プレスリリースを実施。
3.対象範囲
以下72,460件の情報が含まれていました。情報については対象国ごとに異なります。
・ 取引先情報:30,555件※1(会社名・住所・氏名・電話番号・メールアドレス・銀行口座)
・ 当社従業員関連情報:41,905件※2(従業員番号・所属会社名・氏名・メールアドレス・銀行口座)
※1 取引先情報の対象となる国・地域:日本、中国、フィリピン、マレーシア、シンガポール、アメリカ、EU
ただし、顧客情報の対象となる国は中国、フィリピンのみとなります。
※2 当社従業員関連情報の対象となる国・地域:日本、中国、フィリピン、シンガポール、アメリカ、EU
4.再発防止策と今後の対応
当社グループでは、本件の発生を厳粛に受けとめ、再び同様の事態が発生しないよう、原因の究明を進め、外部委託先を含めたセキュリティ強化および情報管理の徹底を図ってまいります。
2FA(多要素認証)を使っていない?それはハッキングされることを求めていることを意味します。 / Not using 2FA? You’re asking to be hacked(転載)
ここ数年、サイバー犯罪の舞台裏では、膨大な量の個人情報が流出するデータ漏えい事件が急増しています。このようなデータがオンラインで入手できることで、脅威の主体は、フィッシング・キャンペーンから個人情報の窃盗まで、幅広い攻撃を行うことができます。
現在、最も一般的な認証形態は、ログイン認証(ユーザー名とパスワード)に基づいていますが、脆弱なパスワードの採用や、異なるWebサービス間でパスワードを再利用する悪習慣により、ユーザーは複数の攻撃にさらされています。
ただし、セキュリティを高めるためには、ご本人であることを証明するために複数の認証要素を必要とする認証プロセスを使用する必要があります。
多要素認証とは何ですか?
多要素認証方式では、以下の要素を使用することが可能です。
- セキュリティトークンやスマートカードのように、あなたが持っているもの。
- パスワードやPINコードのように、あなたが知っているもの。
- あなたが持っているもの、例えば、あなたのバイオメトリック特性など。
多要素認証(2FA)とは、上記の2つの要素を組み合わせた認証方式です。2FAの例としては、ATMでの認証の際に、暗証番号(知っているもの)と支払いカード(持っているもの)の提示を求められることが挙げられます。
幸いなことに、一般的なオンラインサービスではすでに2FA認証が実装されていますが、ユーザーはそれを有効にする必要があります。
2FAを採用することで、上記の要因の1つが侵害された場合でも、リソースを保護することができます。パスワードを所持している攻撃者は、支払いカードなどの第2の要素を提供できなければ、アカウントにアクセスできません。
2FAの種類
ここで重要なのは、2FAの方法の中には、他の方法よりも安全性が高いものがあるということです。
例えば、SMSメッセージとパスワードに基づく2FA認証は、携帯電話上で動作する認証アプリで生成されたコードとパスワードを使用するスキームよりも安全性が低いと考えられています。
SMS メッセージは、被害者のデバイスにインストールされたマルウェアによって簡単に傍受されたり、被害者に対して SIM スワップ攻撃を行うことができる攻撃者によって入手されたりする可能性があります。2FA のタイプの選択は、効率性、使いやすさ、コストなど、複数の要素に影響されます。
Duo Security社が行った調査によると、政府機関の19%が、管理しているデータの機密性が高いことから、ハードウェア認証トークンを使用しているという。
2FAの代替案として、ユーザーのモバイル機器を利用する方法があります。このオプションは、ソリューション全体のコストを大幅に削減します。例えば、Google社によると、同社の認証機能を使用することで、自動化された攻撃から最大100%アカウントを保護することができます。
また、ユーザーに電話をかけて認証コードを伝えるソリューションもあります。このような理由から、この認証は音声ベースの2FAと呼ばれています。このソリューションは、クライアントがモバイルアプリケーションに対応していない古い電話機を使用している場合に提案されます。残念ながら、音声ベースの2FAで実現されるセキュリティレベルは非常に低い。
オンラインでは、バイオメトリック2FAやプッシュ通知を利用した2FAなど、他の2FA認証形式も利用できます。前者は、ユーザーの身体的な特徴を認証要素として使用するものです。指紋、静脈や網膜のパターン、顔認識などがある。後者は、ユーザーがシステムにアクセスしようとしたときに送られるプッシュ通知を利用します。この場合、ユーザーはモバイルデバイスから操作を承認する必要があります。
2FAの使用に関する悲しい統計
Duo Security社の研究者によると、2019年に最も一般的だった認証方法はモバイルプッシュ通知で、利用率は68%に達した。
残念ながら、民間企業内での多要素認証の利用率はまだ低く、LastPass社が行った調査によると、2019年の米国では多要素認証を利用している企業はわずか26%でした。民間企業はサイバー攻撃にさらされやすいため、このデータは不愉快なものです。
このような状況は、Twitter社の透明性報告書でも確認されています。
ソーシャルネットワークプラットフォームは、2020年下半期に、少なくとも1つの2FAメソッドを有効にしていたアクティブなTwitterアカウントは、わずか2.3%であったことを明らかにしました。良いニュースとしては、2020年7月から12月の間に、少なくとも1つの2FA方式を有効にしていたユーザー数が9.1%増加したことを観測したことです。
「一般的に、SMSベースの2FAは、SIMハイジャックやフィッシング攻撃の影響を受けやすいため、最も安全性が低いと言われています。認証アプリは、SIMハイジャックのリスクを回避することができますが、フィッシング攻撃を受ける可能性があります。セキュリティキーは、フィッシング攻撃に対する防御機能が組み込まれているため、最新かつ最も安全な2FAの形態です」とTwitter社は述べています。
Twitterユーザーの多くは、認証要素としてSMSで送られてくる認証コードを好んでいました。
これは、2FA を有効にしているアカウントの 79% 以上が選択している方法です。セキュリティキーに基づく最も安全な2FA方式を利用しているのは、わずか0.5%です。
「これらの数字は、2FAの普及を促進すると同時に、アカウントが2FAを使用する際の利便性を向上させる必要性があることを示しています。2FAの方法をよりシンプルで使いやすいものにすることで、Twitterでの導入を促進し、セキュリティを高めることができます」とTwitter社は述べています。
そうは言っても、2FA認証を実装しているサービスはすべて有効にすることをお勧めします。また、複数の選択肢がある場合には、ソフトウェアベースの2FA認証を利用することで、高いレベルのセキュリティを確保することができます。
レジストリエクスプローラーは、すべてのWindowsユーザーが必要とするレジストリ編集ツールです / Registry Explorer is the registry editor every Windows user needs(転載)
先日、新しいオープンソースのレジストリエディターがリリースされました。このエディターは、多数の高度な機能をサポートし、レジストリの編集をこれまで以上に簡単にすることで、Windows Regeditソフトウェアに恥じないものとなっています。
Windows レジストリは、オペレーティングシステムがシステム設定、ハードウェア設定、ユーザー設定を保存するために使用する、一元化された階層型データベースです。
Windows管理者やパワーユーザーであれば、バグの修正や設定の微調整のために、Windows内蔵のレジストリエディタ(regedit.exe)を使ってレジストリを変更したことがあるはずです。
しかし、Microsoft社は長年にわたりレジストリエディタを近代化するための変更をあまり行ってこなかったため、人々が求めるような便利な機能が多く欠けています。
Enter Registry Explorer
先日、Windows InternalsのエキスパートであるPavel Yosifovich氏は、レジストリエディタを近代化することを目的としたプログラム「Registry Explorer」をリリースしました。
Registry Explorer」は、GitHubのオープンソースプロジェクトとして公開されました。しかし、プログラムをコンパイルしたくない人のために、Yosifovich氏は、ダウンロードしてすぐに起動できるコンパイル済みのベータ版も公開しています。
Registry Explorerを起動すると、すべてのレジストリハイブが表示され、ユーザーは標準のWindowsレジストリエディタと同様に、これらを展開してサブキーや値を確認することができます。
しかし、このプログラムが優れているのは、付属のダークモード、キーや値を別の場所にコピー&ペーストする機能、変更を取り消すボタン、そして高度な検索機能です。
Registry Explorerの検索機能はregeditよりもはるかに高度で、以下のように検索結果をすべて1つのダイアログボックスに表示することができます。そして、検索結果に目を通し、エントリをダブルクリックすることで、そのレジストリキーや値を自動的に開くことができます。
レジストリエクスプローラーは、「読み取り専用モード」で起動し、モードがオフになるまで変更を加えることができません。
レジストリエクスプローラーの機能一覧を以下に示します。
- 本物のレジストリを表示(標準のものだけではない)
- 任意の列でリストビューをソート
- ハイブ、アクセスできないキー、リンクのキーアイコン
- キーの詳細:最終書き込み時刻、キー/値の数
- MUI および REG_EXPAND_SZ 拡張値の表示
- 完全な検索 (すべてを検索 / Ctrl+Shift+F)
- バイナリ値用に強化された16進数エディタ
- アンドゥ/リドゥ
- キー/値のコピー/ペースト
さらに、Registry Explorer を気に入った場合は、Windows レジストリ エディタを自動的に置き換え、.reg ファイルのデフォルトのファイル ハンドラになるように設定することもできます。
Windows レジストリの編集、値の検索、設定の .reg ファイルへのエクスポートを頻繁に行っている場合は、Registry Explorer を試してみることを強くお勧めします。
Registry Explorerを試すには、プロジェクトのGitHubページにアクセスしてください。
五輪期間中のサイバー攻撃の可能性(転載)
五輪期間中のサイバー攻撃の可能性
現在、コロナ禍の影響でテレワークを含め自宅で過ごす機会が増え、非常事態宣言下の東京オリンピック・パラリンピックが開催され、期間中はさらに多くの人たちがネットにアクセスすることになろう。
ほぼ無観客でのオリンピック開催であることから、オリンピック・パラリンピック観戦視聴媒体はテレビ、ラジオ、インターネット中継となる。ライブでの視聴に加え、試合の動画配信、再視聴などを勧誘するURLにも要注意だ。
また、オリンピック期間中、開催後は関連グッズのオンラインショッピングも見込まれる。くれぐれもネット上の被害に遭わないよう各個人で意識してほしい。
2021年7月22日、オリンピック・パラリンピックのチケット購入者、ボランティアポータルを利用した人たちのログインIDとパスワードがインターネット上に流出したと、政府関係者が発表した。彼らのユーザー名とパスワードは、パソコンやスマートフォンへの不正アクセスによって盗まれた可能性が高く、個人情報を公開しているウェブサイトに掲載されていた。
これらが使用された場合、紐付けされている購入者やボランティアの氏名、住所をはじめ、登録銀行口座など、より多くの個人情報にアクセスできる可能性が高い。
最近は郵便物や宅急便の置き配サービスに便乗し、宅配不在連絡の偽ショートメッセージと共に、記載されているURLをクリックすると相手方にアカウント情報を抜き取るケースが多発している(この春は特に各通信企業の携帯電話の価格競争で、攻撃側がその事情に便乗して、宅配の不在連絡のメッセージを開けさせ、NTTドコモのアカウントを乗っ取り、ショッピング被害に繋がった事例は記憶に新しい)。
攻撃者に高額の買い物を許すことになり、貯めていたポイントも抜き取られてしまう。いったん(注文していないはずの)荷物が配達されてしまうと買い物が成立してしまい、返金は困難だ。
各企業もこの対応には慣れていないため、窓口でたらい回しにされ、余計な手数、時間がかかり、心理的な苦労を強いられ、諦めて泣き寝入りするケースが多い。
特に、モバイルユーザーを狙う傾向が強く、モバイル上でオンラインショッピングをしたことがある人は全員被害者になり得ると思ってほしい。攻撃者は最近のトレンドを調べており、例えば利用者が多いアマゾンでのショッピングの配送に伴う国際宅配業者(一度でも利用した業者であればURLをクリックしてしまう可能性が高い)、国内の宅急便業者、各航空会社を名乗り、ショートメッセージ、時にはメールで不在配信などを知らせて来る。利用者が多いGmailアカウントは特に狙われやすい。
今年の夏、旅行や帰省をせず自宅で過ごすことが多い中、あまりITに詳しくない家族や身近の人たちに、こういった悪質なサイバー犯罪の被害に遭わないよう、また、彼らが被害に遭いそうにないか状況を尋ねるなどして気に掛けていただきたい。
今回の東京オリンピック・パラリンピックは、何が何でもやるという政府ならびに国際オリンピック委員会(IOC)の思惑が動いているだけに、当イベントの中止や運営の邪魔をする動きに攻撃者が狙いを定めている。
そのため、ランサムウエア(身代金ウイルス)集団は、試合の放送を止め、再開するために多額の支払いを要求する可能性に目を付けているはずだ。つまりオリンピックのイベント自体を人質に取り、解決させるまでの時間に対するプレッシャーを与え、影響を受けたネットワーク事業者が、手動でオペレーションを復旧させるよりも、身代金要求に迅速に対応したいと思う心理を突いてくるであろう。
金を儲け、混乱を招き、知名度を上げ、敵の信用を落とし、イデオロギー的な目標の推進を目的とする名高い中露の国家的な攻撃者の絶好の出番だ。
不動産投資におけるリスク~事故物件化リスクに備える~
不動産投資には様々なリスクがあるが、不動産自体はある程度の歴史があるため、見方を変えれば、リスクパターンはある程度で尽くしているともいえる。
その主なリスクとは下記のとおりである。
- 空室リスク
- 家賃下落リスク
- 家賃滞納リスク
- 老朽化リスク
- 原状回復/修繕費に関するリスク
- 不良入居者リスク
- 金利上昇リスク
- 災害リスク
- 事故物件化リスク
- 訴訟リスク