フィッシング協議会】Twitterを騙るフィッシングサイトが立ち上がっています。 [情報セキュリティ]
Twitter上で、フォロワーからのダイレクトメール(DM)などで URL が送られてくる場合フィッシングサイトに誘導するされる可能性があるそうです
フィッシングに使用されているURLは正規のTwitterサイトのURLに非常に似ていますので注意してください
http://www.antiphishing.jp/news/alert/twitter2012113.html
フィッシング協議会】ハンビットステーション(グラナド・エスパダ)を騙るフィッシング [情報セキュリティ]
「ハンビットステーション運営チーム 流失したとの情報を確認いたしました」という件名のフィッシングメールが出回っているそうです
2012/01/13 11:30現在 フィッシングサイトは稼働中だそうです
http://www.antiphishing.jp/news/alert/hanbitstation_2012113.html
JAXA】JAXAにおけるコンピュータウイルス感染の発生について [情報セキュリティ]
昨年の7月から8月に発生した事案だそうです。
防衛関連企業からの情報漏えい時期と重なりますね ^^
http://www.jaxa.jp/press/2012/01/20120113_security_j.html
個人的な推測ですが、削除したウィルスが作成したバックドアが残っていて、バックドアを経由し別のウィルスに感染したものと思われます
ウィルス感染にはメール添付やWEBサイトからの感染が良く知られていますが、一つのウィルスに感染するとバックドアを経由し他の複数のウィルスが進入することがありますので、復旧はOSからの再構築を推奨します
※バックドアを経由したウィルスの感染
IPA対策のしおりシリーズ
http://www.ipa.go.jp/security/antivirus/shiori.html
ボット対策のしおり 3ページ 3の5)
同志社大学】ホームページの一時停止について [情報セキュリティ]
同志社大学のサイトに不正アクセスがあったため一時停止しているようです
現在は簡易コンテンツが表示されています
http://www.doshisha.ac.jp/top.html
さすが対応が早いですね、個人情報は管理されていないため情報漏えいの可能性は無いようです
「メーリングリストでの裁判資料漏えい」を考える [情報セキュリティ事件から学ぶ]
個人情報保護法関連では色々突っ込みどころもありますが法律の専門家の方々に失礼なので、別の観点から考えてみます
情報セキュリティとは「情報」の機密性、完全性、可溶性を維持することですが、「不幸な個人」を作らないことでもあります
情報セキュリティでは「設定ミス」は偶発的人為行為とあります
これは人的行為が「ミスのないもの」ではなく「人はミスをする」という考えに基づいてます
今回の漏えい事件で「不幸な個人」とは「設定ミスをした人」です
漏えい事件の対策として「設定ミスがないよう確認」を行った場合、情報セキュリティ対策としては十分な対策とは言えないでしょう、なぜなら上で述べたように「人はミスをする」ものですからね。
では対策として何をすれば良いのでしょうか
第一は設定ミスを無くす事
・本来設定しなければならない「有るべき設定」の明確化
・設定手順書の作成
・「設定されるべき設定/手順」の承認
・「設定されるべき設定」が設定されているかのチェック
上記の事が行われず設定を個人に任せていた場合、組織が設定ミスした個人に責任を問うことが正当な行為でしょうか
第二は仕組みの妥当性
・メーリングリストを使用することの妥当性
他の仕組みと比較してメーリングリストが情報漏えいのリスクが少ないかの選択です
メーリングリストは非常に有用な仕組みですが、今回送付された情報の送付手段として使用するに妥当なもので有るのかの検討がされていたかです
今回、気になったので「弁護士 メーリングリスト」でググってみました、結構昔から使われているんですね驚きました
そこで気になったこと。
・一部ですがYahooやamebaのメーリングリストが使用されている
弁護士事務所に相談に行くと相談内容が上記メーリングリストで情報交換されていることを、相談者が知ったらどう思うのでしょうか
・メーリングリストは「サービスの委託」です。
日弁連サイトの個人情報保護方針には「個人情報を第三者に委託して利用する場合は,当該第三者との間で秘密保持契約を締結した上で提供するなどし,また,委託先への適切な監督を行います」と記載があります
メーリングリストの業者と「秘密保持契約を締結」や「適切な監督」は行われているのでしょうか
メールがアーカイブされていれば個人情報はサーバに存在します。
情報漏えいは設定ミスだけでなく、不正アクセスや悪意ある管理者からも漏えいします
そのための「秘密保持契約」や「監督」なのですからね
最後にso-netさんのセキュリティ通信にもあるようにメール本文は平文(小学生でも容易に読める形式)でネットワーク上を流れます、ネットワークを盗聴された場合は情報は漏えいします
日弁連さんの調査報告に期待しています、公開されるのかなぁ
ps.情報セキュリティって人的対策が主なんですよ (このジョークわかるかなぁ ww)