2020年 情報セキュリティ十大トレンド - JASA

JASAから「情報セキュリティ監査人が今年の監査計画を考える上でテーマとして活用していただくことを目的」とした情報セキュリティトレンドを公表しました。

特に目を引いたのは首位の「自然災害によるIT被害の拡大」です。
近年の台風災害や地震による甚大な被害を考慮して好ポイントを獲得したと思われます。

内容の解説は、こちらから確認できます。

前澤氏のお年玉企画に便乗した詐欺が横行

今年も元ZOZOの前澤氏によるお年玉企画「【総額10億円】#前澤お年玉 100万円を1000人にプレゼントします！」が行われました。

🎍謹賀新年🎍

【総額10億円】#前澤お年玉 100万円を1000人にプレゼントします！

100万円で皆さまの人生がよりハッピーになりますように。

応募方法は僕のフォローとこのツイートのリツイート。締切は1月7日23:59まで。

企画趣旨や当選条件などはYouTubeで説明してます。 https://t.co/kBgwwmJoaP pic.twitter.com/1Fr0Vq4i6Z

— Yusaku Maezawa (MZ) 前澤友作 (@yousuck2020) December 31, 2019

また、昨年に引き続き規格に便乗した詐欺が横行していました。

このような詐欺メールがまわってるので皆さん気をつけてください。#前澤お年玉 pic.twitter.com/tCKenbDctV

— アキラ (@sayasaya401) January 7, 2020

【新手の詐欺か…】
今年も話題となった前澤さんのお年玉企画ですが、添付のようなメールが来ました。
しかし

①フォロー&リツイート企画はTwitter上で行われているのでメールで返信は来る筈がない。

②私は企画に参加していない。

🚨十分にお気を付け下さい。 pic.twitter.com/PRiuQvk8N5

— 佐久市長　柳田清二 (@Seiji_Ya) January 8, 2020

今朝、前澤さんの企画に便乗した、偽の当選メールが🤣💦 RT応募なのに、なぜか登録していないメールアドレス宛😅詐欺なのバレバレですが、引っかかっちゃう人もいるかも？😵最近ソフトバンクを語る、虚偽当選メールも多いなぁ…😰皆様、絶対に記載URLをクリックしないよう、ご注意です🍀@yousuck2020 pic.twitter.com/qkTcLLxaFA

— ママちゃんです🙋🏻✨ (@ry_mama_SP) January 7, 2020

前澤様へ

現在、なりすましの業者からメールが来ました。
キャッシュカードの番号などを入力させるなど簡単な詐欺なのですぐ気付きましたが、私以外に被害に遭われる方が出ないように注意喚起して頂けたらと思います。

皆さま大丈夫かと思いますが、このメール来ても信じないよにご注意くださいませ pic.twitter.com/31oKVMCSFL

— あおいろ🐾創価学会員れいわ新選組こそが真の万人救済#相互フォロー (@1Blaze4) January 7, 2020

前澤氏のお年玉偽メールが届いたと本文を画像掲載されている方で意図せず文中リンクまで開示されている場合、投稿の削除（修正）を推奨します。
この手口で届くメールは一人ごとにリンクが発行されており、詐欺ページへアクセスされると実際に届いたメールアドレスがわかってしまいます。 pic.twitter.com/heKCLggOrl

— piyokango (@piyokango) January 8, 2020

本件については、前澤氏からも注意喚起のコメントを行っていました。

#前澤お年玉 に関して、前澤友作を名乗った偽装の当選メールがDMで送られている、という報告を一部の方から受けました。

現在は抽選作業中でまだDMは送信しておりませんので、そのような詐欺DMには充分ご注意ください。またDM送信をする際にはあらかじめ事前にその旨ツイートします。

— Yusaku Maezawa (MZ) 前澤友作 (@yousuck2020) January 7, 2020

本件については、企画についても様々な意見が出ています。

「前澤　プレゼント」で検索すると去年あたりからカード詐欺やってたチンピラのグループがこれに便乗してまたプレゼント詐欺やってる。前見たときよりRT数も増えてるし更に被害者出てそう。まあ騙されても前澤さんのせいではありませんが…

— Cheena(ちーな) (@cheenanet) January 6, 2020

懸賞詐欺が増えたのは前澤氏のプレゼント企画が原因らしい。#前澤友作 pic.twitter.com/ndieIVYnAv

— 堺のうさぎちゃん (@ka4541) January 7, 2020

この前なぜかプレゼント詐欺専門家としてNHKから取材されたけど、前澤のせいで前年比10倍の詐欺師が登場して、LINE誘導による詐欺被害額とDMで当選金受け取りのために先に金振り込め詐欺がうなぎ登りって話をした。あんたは人助けのつもりでも、その何万倍もの養分が崖から突き落とされてるんだぜ。 pic.twitter.com/mqYwLCCxFQ

— Z李 (Jet Li) (@Kiss0fthedrag0n) January 1, 2020

昨年の詐欺についてはセキュリティの専門家がまとめられた記事をご参考ください。

【参考】
前澤氏、お年玉企画の偽当選メールに注意呼びかけ - 芸能 : 日刊スポーツ

長期間使用していない「Yahoo! JAPAN ID」を利用停止

ヤフーは、長期間使用されていない「Yahoo! JAPAN ID」の利用を停止措置の実施を発表しました。
不正利用対策の一環とのことです。

利用停止内容は以下の通りです。

• 開始時期：2020年2月より順次
• 利用停止IDの条件

　4年以上使われていないもの　または　不使用の期間が4年未満でも、ヤフーが不正アクセスの可能性を検知したID

IDを継続して利用したい場合は、1月中に再度ログインをする必要があります。

【参考】
ヤフー、長期間不使用の「Yahoo! JAPAN ID」を利用停止へ 不正アクセス対策で - ITmedia NEWS

グーグル「Project Zero」がすべての脆弱性を90日後に公表を決定

Googleのセキュリティ研究チーム「Project Zero」がポリシーを変更し、事前の合意がある場合を除いて、すべての脆弱性を90日後に公表することを決めた。
Project Zero: Policy and Disclosure: 2020 Edition
この決定は、ベンダーが脆弱性に対するパッチを作る際に「その場しのぎ」の対応しかしておらず、根本的解決を行っていないためだとしている。

【参考】
グーグル「Project Zero」がポリシー変更、すべての脆弱性を90日後に公表へ - ZDNet Japan
今後は脆弱性の指摘からキッチリ90日後に情報開示 ～GoogleのProject Zeroチームがポリシーを変更 - 窓の杜

公開されたばかりのFirefoxにゼロデイの脆弱性

1/7に公開されたばかりのFirefox 72にMozilla内基準でCriticalの脆弱性を発見、1/8に修正版が公開されました。

【参考】
公開されたばかりの「Firefox 72」にゼロデイ脆弱性 ～悪用を確認、v72.0.1への更新を - 窓の杜
Firefox 72に重大な脆弱性 攻撃の発生を確認、アップデートの適用を - ITmedia エンタープライズ
Firefoxに重大な脆弱性、ただちにアップデートを | マイナビニュース

【続報】 弘前市職員情報流出を刑事告訴

昨年12月に発覚した弘前市職員情報の流出について、内部の人間が情報を流出させたとして刑事告訴したと報じられました。

【参考】
弘前市職員情報流出で刑事告発 「内部の人間」守秘義務違反の疑い - 毎日新聞
ほぼ全職員の情報流出、弘前市が刑事告発 学歴や給与：朝日新聞デジタル
弘前市が職員関与と判断したほぼ全ての職員情報流出についてまとめてみた - piyolog

【続報】 神奈川県HDD流出事件

昨年発覚した、神奈川県庁で使用されていたHDDをブロードリンクの社員が転売していた事件について、従業員の解雇と事業所の閉鎖を発表しました。
事件による業績悪化のためとしています。

【参考】
ブロードリンク、従業員１割に解雇通知 ＨＤＤ流出事件（朝日新聞デジタル） - Yahoo!ニュース
HDD流出のブロードリンクが解雇と事業所閉鎖へ、事件に伴う業績悪化で | 日経 xTECH（クロステック）

その他

VPNに注意、マルウェアの侵入経路になっている | マイナビニュース
TikTok、マルウェアへのリンクを送信される脆弱性が判明--修正済み - CNET Japan
【セキュリティ ニュース】サイト内にマルウェア、原因を調査 - サイオス（1ページ目 / 全1ページ）：Security NEXT
セブンペイ払い戻し、２５万人が手続きせず…残高７０００万円 : 経済 : ニュース : 読売新聞オンライン

フィッシング報告状況

フィッシング対策協議会 Council of Anti-Phishing Japan | 報告書類 | 月次報告書 | 2019/12 フィッシング報告状況

2020年セキュリティ所感

IT企業の年頭所感2020（3）--東京オリパラ開催でサイバー攻撃増加か - ZDNet Japan

Google Chrome 79

Chrome Releases: Stable Channel Update for Desktop

Juniper

Security Advisories - Juniper Networks
Juniper Networks Releases Security Updates | CISA
【セキュリティ ニュース】Juniperがアップデートを公開 - 複数製品に深刻な脆弱性（1ページ目 / 全1ページ）：Security NEXT

Cisco

Security Advisories
Cisco Webex Video Mesh Node Command Injection Vulnerability
Cisco IOS and Cisco IOS XE Software Web UI Cross-Site Request Forgery Vulnerability
Cisco Releases Security Updates for Multiple Products | CISA

Citrix

VU#619785 - Citrix Application Delivery Controller and Citrix Gateway web server vulnerability
CVE-2019-19781 - Vulnerability in Citrix Application Delivery Controller and Citrix Gateway
「Citrix ADC」「Citrix Gateway」に任意コードが実行可能な脆弱性 - INTERNET Watch
Citrix Application Delivery Controller and Citrix Gateway Vulnerability | CISA

phpMyAdmin

phpMyAdmin - phpMyAdmin 4.9.4 and 5.0.1 are released
【セキュリティ ニュース】「phpMyAdmin」にSQLiの脆弱性 - アップデートが公開（1ページ目 / 全1ページ）：Security NEXT

【情報流出】

静岡市が個人情報漏洩

静岡市が個人情報漏洩 119件のメールアドレス（静岡朝日テレビ） - Yahoo!ニュース

東北電力「よりそうｅねっと」

「よりそうｅねっと」への不正ログインに関する調査状況および原因と対策について| 東北電力
不正ログイン新たに５３人 東北電力「よりそうｅねっと」｜秋田魁新報電子版
不正ログイン、新たに53人 東北電力の会員制ウェブサービス | 岩手日報 IWATE NIPPO

フィッシング対策協議会

ジャパンネット銀行をかたるフィッシング (2019/12/24)
多くの金融機関をかたるフィッシング (2019/12/26)
ソフトバンクをかたるフィッシング (2020/01/09)
楽天カードをかたるフィッシング (2020/01/09)

Slackマナー

「偉い人には＠をつけない」「重要なことはメールで送る」いつの間にかSlackにまで『Slackマナー』が誕生していた - Togetter
ネットで叩かれている「Slackマナー」は本当にアホらしいのか？ 良しあしを真剣に考えてみた (1/2) - ITmedia NEWS

Tor Browser v9.0.3を公開

New Release: Tor Browser 9.0.3

Windows7関連

25%超がWindows 7という状況 - 12月OSシェア | マイナビニュース
「Windows7の思い出」、Twitterでトレンド入り サポート終了まで残り1週間 - ITmedia NEWS

Python

Python Software Foundation News: Python 2 series to be retired by April 2020
「Python 2」シリーズの最終版は今年4月リリースへ ～20年の歴史に終止符 - 窓の杜