カテゴリー: I　C　T

IPA（情報処理推進機構）は8/25、2019年度中に発生した不正アクセス事案などから、特に一般個人ユーザーにとって脅威度が高いとみられる案件をまとめた、「情報セキュリティ10大脅威2020」の個人向け情報を公開しました。その中にまったく知らないワードが・・・。

個人向け10大脅威

1　スマホ決済の不正利用
2　フィッシング による個人情報の詐取
3　クレジットカード情報の不正利用
4　インターネットバンキングの不正利用
5　メールやSMS等を使った脅迫・詐欺の手口による金銭要求
6　不正アプリによるスマートフォン利用者への被害
7　ネット上の誹謗・中傷・デマ
8　インターネット上のサービスへの不正ログイン
9　偽警告によるインターネット詐欺
10　インターネット上のサービスからの個人情報窃取

ランキングは上記のとおりです。一通り目を通したんですが、ネットショッピングする場面の説明で推奨されているサービスの用語、「3Dセキュア」。kuniはまったく知らない用語でした。

インターネット上のショッピングサイトなどでクレジットカードを利用してオンライン決済を行う場合、クレジットカード情報をショッピングサイトで入力することで決済します。クレジットカードを紛失して悪意のある人に拾得された場合やフィッシングサイトでクレジットカード情報を詐取された場合など、不正利用されるおそれがあるわけです。

これを避けるため、あらかじめクレジットカード会社にパスワードなどを登録しておき、そのパスワードで本人認証した上で決済を完了するという方式が3Dセキュアというんだそうです。確かにこれは安心。しかし、ショッピングするサイトも3Dセキュアに対応している加盟店でないとダメですが。

MyJCB

kuniはJCBユーザーなので、早速MｙJCB（JCBのインターネットサービス）で確認してみました。ほぉ、本人が知らないうちにちゃんと3Dセキュアは設定されていました。インターネットサービスで自分のデータを登録すれば、自動的に設定されるようです。ちなみにJCBの場合はJ/Secureというサービス名になっていました。これってみんな知ってること？

心配していたことが、やはり起こりました。8/25付け日本経済新聞の一面トップ。「テレワーク　暗証番号流出　国内38社に不正接続」という記事。パルスセキュア社のVPNサービスを使っていた38社が修正プログラムを適用することなく使用し、不正アクセスを受けたようです。

パルスセキュアのVPNサービス

世界で2万社以上の顧客を持つ業界大手であり、昨年4月に自ら脆弱性について情報を公表、修正プログラムも提供されています。国内においてもJPCERTなどが再三注意喚起を行っていました。

昨年8月時点の情報では、この脆弱性を抱えたまま運用されているVPNサーバは世界で1万4500台あり、そのうち1511台が日本国内にあるといわれていました。

その後各社とも対策を講じ、今年3月末時点では国内にあった未対応の1511台は298台にまで減少しました。とはいえ、まだ300台も、、、この辺りからテレワークが盛んになってきます。

そして今回日経が伝えるところによると、国内では38社が不正アクセスを受けたとしています（海外を含めると900社超）。38社のうち日経が把握した被害企業としては、日立化成、住友林業、ゼンショーホールディングス、オンキョー、全薬工業、岩谷産業、ダイヘン、自動車総連などの名前があがっています。

フォーティネット、パロアルトネットワークス

今回はパルスセキュアのVPNが狙われ、脆弱性に対する適切な対応を怠った企業がその被害にあったというお話です。実は他にも脆弱性が注意喚起されていたVPN製品として、フォーティネット、パロアルトネットワークスの名前が4月時点であがっていました。

パルスセキュアほど多くはないかもしれませんが、この両社の製品に関しても、既知の脆弱性に対してパッチの適用や必要なシステムアップデートが行われず、不正アクセスを受けてしまったというニュースも、、、たぶんこのあと出てくるんでしょうね。