1月1~11日で気になった記事をまとめました。
【目次】
【セキュリティニュース】
2020年 情報セキュリティ十大トレンド - JASA
JASAから「情報セキュリティ監査人が今年の監査計画を考える上でテーマとして活用していただくことを目的」とした情報セキュリティトレンドを公表しました。
ランク ()は前年のランク | 項目 |
---|---|
1 (-) | 自然災害によるIT被害の拡大 |
2 (10) | クラウド・バイ・デフォルト時代の新しい安全性評価制度の開始 |
3 (-) | クラウドサービスの障害による大規模なビジネス影響 |
4 (-) | DX化の進展によりさらに加速するセキュリティ人材不足 |
5 (5) | 働き方改革の推進普及による新たな脅威の発生 |
6 (-) | プライバシー保護の国際標準化に乗り遅れる日本企業 |
7 (-) | サプライチェーンの透明化で求められるセキュリティ対策の強化 |
8 (8) | 標的型ランサムウェアで倒産危機? システム全てが人質に |
9 (-) | クラウドサービスの管理・設定ミスによる情報漏洩 |
10 (-) | 安易なアジャイル開発によるぜい弱なシステムの氾濫 |
特に目を引いたのは首位の「自然災害によるIT被害の拡大」です。
近年の台風災害や地震による甚大な被害を考慮して好ポイントを獲得したと思われます。
内容の解説は、こちらから確認できます。
前澤氏のお年玉企画に便乗した詐欺が横行
今年も元ZOZOの前澤氏によるお年玉企画「【総額10億円】#前澤お年玉 100万円を1000人にプレゼントします!」が行われました。
🎍謹賀新年🎍
— Yusaku Maezawa (MZ) 前澤友作 (@yousuck2020) December 31, 2019
【総額10億円】#前澤お年玉 100万円を1000人にプレゼントします!
100万円で皆さまの人生がよりハッピーになりますように。
応募方法は僕のフォローとこのツイートのリツイート。締切は1月7日23:59まで。
企画趣旨や当選条件などはYouTubeで説明してます。 https://t.co/kBgwwmJoaP pic.twitter.com/1Fr0Vq4i6Z
また、昨年に引き続き規格に便乗した詐欺が横行していました。
このような詐欺メールがまわってるので皆さん気をつけてください。#前澤お年玉 pic.twitter.com/tCKenbDctV
— アキラ (@sayasaya401) January 7, 2020
【新手の詐欺か…】
— 佐久市長 柳田清二 (@Seiji_Ya) January 8, 2020
今年も話題となった前澤さんのお年玉企画ですが、添付のようなメールが来ました。
しかし
①フォロー&リツイート企画はTwitter上で行われているのでメールで返信は来る筈がない。
②私は企画に参加していない。
🚨十分にお気を付け下さい。 pic.twitter.com/PRiuQvk8N5
今朝、前澤さんの企画に便乗した、偽の当選メールが🤣💦 RT応募なのに、なぜか登録していないメールアドレス宛😅詐欺なのバレバレですが、引っかかっちゃう人もいるかも?😵最近ソフトバンクを語る、虚偽当選メールも多いなぁ…😰皆様、絶対に記載URLをクリックしないよう、ご注意です🍀@yousuck2020 pic.twitter.com/qkTcLLxaFA
— ママちゃんです🙋🏻✨ (@ry_mama_SP) January 7, 2020
前澤様へ
— あおいろ🐾創価学会員れいわ新選組こそが真の万人救済#相互フォロー (@1Blaze4) January 7, 2020
現在、なりすましの業者からメールが来ました。
キャッシュカードの番号などを入力させるなど簡単な詐欺なのですぐ気付きましたが、私以外に被害に遭われる方が出ないように注意喚起して頂けたらと思います。
皆さま大丈夫かと思いますが、このメール来ても信じないよにご注意くださいませ pic.twitter.com/31oKVMCSFL
前澤氏のお年玉偽メールが届いたと本文を画像掲載されている方で意図せず文中リンクまで開示されている場合、投稿の削除(修正)を推奨します。
— piyokango (@piyokango) January 8, 2020
この手口で届くメールは一人ごとにリンクが発行されており、詐欺ページへアクセスされると実際に届いたメールアドレスがわかってしまいます。 pic.twitter.com/heKCLggOrl
本件については、前澤氏からも注意喚起のコメントを行っていました。
#前澤お年玉 に関して、前澤友作を名乗った偽装の当選メールがDMで送られている、という報告を一部の方から受けました。
— Yusaku Maezawa (MZ) 前澤友作 (@yousuck2020) January 7, 2020
現在は抽選作業中でまだDMは送信しておりませんので、そのような詐欺DMには充分ご注意ください。またDM送信をする際にはあらかじめ事前にその旨ツイートします。
本件については、企画についても様々な意見が出ています。
「前澤 プレゼント」で検索すると去年あたりからカード詐欺やってたチンピラのグループがこれに便乗してまたプレゼント詐欺やってる。前見たときよりRT数も増えてるし更に被害者出てそう。まあ騙されても前澤さんのせいではありませんが…
— Cheena(ちーな) (@cheenanet) January 6, 2020
懸賞詐欺が増えたのは前澤氏のプレゼント企画が原因らしい。#前澤友作 pic.twitter.com/ndieIVYnAv
— 堺のうさぎちゃん (@ka4541) January 7, 2020
この前なぜかプレゼント詐欺専門家としてNHKから取材されたけど、前澤のせいで前年比10倍の詐欺師が登場して、LINE誘導による詐欺被害額とDMで当選金受け取りのために先に金振り込め詐欺がうなぎ登りって話をした。あんたは人助けのつもりでも、その何万倍もの養分が崖から突き落とされてるんだぜ。 pic.twitter.com/mqYwLCCxFQ
— Z李 (Jet Li) (@Kiss0fthedrag0n) January 1, 2020
昨年の詐欺についてはセキュリティの専門家がまとめられた記事をご参考ください。
長期間使用していない「Yahoo! JAPAN ID」を利用停止
ヤフーは、長期間使用されていない「Yahoo! JAPAN ID」の利用を停止措置の実施を発表しました。
不正利用対策の一環とのことです。
利用停止内容は以下の通りです。
- 開始時期:2020年2月より順次
- 利用停止IDの条件
4年以上使われていないもの または 不使用の期間が4年未満でも、ヤフーが不正アクセスの可能性を検知したID
IDを継続して利用したい場合は、1月中に再度ログインをする必要があります。
【参考】
ヤフー、長期間不使用の「Yahoo! JAPAN ID」を利用停止へ 不正アクセス対策で - ITmedia NEWS
グーグル「Project Zero」がすべての脆弱性を90日後に公表を決定
Googleのセキュリティ研究チーム「Project Zero」がポリシーを変更し、事前の合意がある場合を除いて、すべての脆弱性を90日後に公表することを決めた。
Project Zero: Policy and Disclosure: 2020 Edition
この決定は、ベンダーが脆弱性に対するパッチを作る際に「その場しのぎ」の対応しかしておらず、根本的解決を行っていないためだとしている。
【参考】
グーグル「Project Zero」がポリシー変更、すべての脆弱性を90日後に公表へ - ZDNet Japan
今後は脆弱性の指摘からキッチリ90日後に情報開示 ~GoogleのProject Zeroチームがポリシーを変更 - 窓の杜
公開されたばかりのFirefoxにゼロデイの脆弱性
1/7に公開されたばかりのFirefox 72にMozilla内基準でCriticalの脆弱性を発見、1/8に修正版が公開されました。
【参考】
公開されたばかりの「Firefox 72」にゼロデイ脆弱性 ~悪用を確認、v72.0.1への更新を - 窓の杜
Firefox 72に重大な脆弱性 攻撃の発生を確認、アップデートの適用を - ITmedia エンタープライズ
Firefoxに重大な脆弱性、ただちにアップデートを | マイナビニュース
【続報】 弘前市職員情報流出を刑事告訴
昨年12月に発覚した弘前市職員情報の流出について、内部の人間が情報を流出させたとして刑事告訴したと報じられました。
【参考】
弘前市職員情報流出で刑事告発 「内部の人間」守秘義務違反の疑い - 毎日新聞
ほぼ全職員の情報流出、弘前市が刑事告発 学歴や給与:朝日新聞デジタル
弘前市が職員関与と判断したほぼ全ての職員情報流出についてまとめてみた - piyolog
【続報】 神奈川県HDD流出事件
昨年発覚した、神奈川県庁で使用されていたHDDをブロードリンクの社員が転売していた事件について、従業員の解雇と事業所の閉鎖を発表しました。
事件による業績悪化のためとしています。
【参考】
ブロードリンク、従業員1割に解雇通知 HDD流出事件(朝日新聞デジタル) - Yahoo!ニュース
HDD流出のブロードリンクが解雇と事業所閉鎖へ、事件に伴う業績悪化で | 日経 xTECH(クロステック)
【レポートリリース】
【脆弱性情報】
Juniper
Security Advisories - Juniper Networks
Juniper Networks Releases Security Updates | CISA
【セキュリティ ニュース】Juniperがアップデートを公開 - 複数製品に深刻な脆弱性(1ページ目 / 全1ページ):Security NEXT
Cisco
Security Advisories
Cisco Webex Video Mesh Node Command Injection Vulnerability
Cisco IOS and Cisco IOS XE Software Web UI Cross-Site Request Forgery Vulnerability
Cisco Releases Security Updates for Multiple Products | CISA
Citrix
VU#619785 - Citrix Application Delivery Controller and Citrix Gateway web server vulnerability
CVE-2019-19781 - Vulnerability in Citrix Application Delivery Controller and Citrix Gateway
「Citrix ADC」「Citrix Gateway」に任意コードが実行可能な脆弱性 - INTERNET Watch
Citrix Application Delivery Controller and Citrix Gateway Vulnerability | CISA
phpMyAdmin
phpMyAdmin - phpMyAdmin 4.9.4 and 5.0.1 are released
【セキュリティ ニュース】「phpMyAdmin」にSQLiの脆弱性 - アップデートが公開(1ページ目 / 全1ページ):Security NEXT
【情報流出】
【注意喚起】
【その他】
Slackマナー
「偉い人には@をつけない」「重要なことはメールで送る」いつの間にかSlackにまで『Slackマナー』が誕生していた - Togetter
ネットで叩かれている「Slackマナー」は本当にアホらしいのか? 良しあしを真剣に考えてみた (1/2) - ITmedia NEWS
Tor Browser v9.0.3を公開
【おわりに】
ここまで拙い文章にお付き合いいただきありがとうございました。
【更新履歴】
2020/01/11 PM 公開