カテゴリー: I C T

Emotet(エモテット) 気を付けよう「コンテンツの有効化」

Emotet(エモテット)というマルウェアが流行しています。昨年末、それもクリスマスイブに、一般社団法人 軽金属製品協会がこのウィルスに感染し、同協会を名乗る不正メールを発信していたことが公表されました。同協会とメール連絡したことのある人たち宛に不正メールが送られており、この人たちも被害者になっている可能性がありそうです。

Wordファイル 「コンテンツの有効化」

このEmotet、感染拡大にWordファイルを使用しています。これ、盲点ですよね。メールの添付ファイルがWordファイルだと、あまり警戒しませんからね。ビジネスでのメールのやりとりでも、Wordファイルは普通にやり取りします。

そして、このWordファイルを開くと、マクロを有効にするよう求めてきます。そこで、「コンテンツの有効化」をクリックすると、WordファイルのマクロがEmotetをダウンロードして実行する。これで感染してしまうんですね。感染すると、実在する会社や人物に成りすまして、感染拡大メールを送信するというわけです。

Emotetに感染した軽金属製品協会のお詫びとお知らせの中にも、「当協会名を名乗る不審なメールは開封しないようお願い申し上げます」という一文があります。

気を付けよう

かなり端折った説明で分かりにくかったかもしれませんが、覚えておいていただきたいのは2点。添付ファイルがWordファイルだからといって、安心できないということ。そして、「コンテンツの有効化」は非常に危険な行為。これだけです。とりあえず、この2点は覚えていただき、危険なマルウェアを掴まされないようにしましょう。

ソニーの自動運転車 米デジタル技術見本市(CES)

世界最大のデジタル技術見本市「CES」が開幕し、ソニーは自動運転システムを搭載した試作車を発表しました。ん?、何でソニーが?、と感じた方も多かったのではないでしょうか。っていうか、kuniは素直にそう感じたわけですね。

これからはモビリティだ

「過去10年のメガトレンドはモバイル(携帯電話)だった。これからはモビリティだ。」とは、ソニー吉田社長の言葉です。自動車向け画像センサーの市場を指しているわけですね。スマホ用がメインで、高シェアを誇るソニーの画像センサーですが、次は自動車向けの市場を開拓するということです。

そのため、自ら試作車を作って、関連するノウハウを蓄積するんだそうです。ちなみにこの試作車、「aibo」の開発チームが中心になって作成したそうです。

「リアルタイム」と「エッジコンピューティング」

吉田社長のインタビュー、なぜか日経ではカットされてた部分。日経産業新聞ではこんなお話がありました。「ソニーが取り組むべきテーマは『リアルタイム』と『エッジコンピューティング』の技術だ。リアルタイムの情報は検索できないし、自動運転ではサーバーとやりとりしている時間はない。エッジ技術の最たるモノだ。」

コンピューターの歴史は、メインフレーム→パソコン→クラウドというふうに、集中処理と分散処理という「流行り」を繰り返してきました。順番で行くと次の技術は分散だと言われています。そこでの主役がエッジコンピューティングというわけです。吉田社長のコメントはまさにこれを指しているわけですね。

エッジコンピューティングはクラウドの対極にある技術。つまりGAFAへの対抗宣言とも言えるかもしれません。日本企業が巻き返しを図るなら、エッジは狙い目というわけです。メインフレームからパソコンにシフトした当時(日本が世界をブイブイ言わせていたころ)の再現なるか。楽しみですね。

笑えない話 NTTラーニングシステムズ メールアカウント乗っ取られる

NTTラーニングシステムズという会社が、第三者による不正アクセスを受け、メールアカウントを乗っ取られるという事件が発生しました。このアカウントから大量のメールが送信されたようで、具体的な被害は確認していないといいますが、受信者にはメールを開かずに削除するよう呼び掛けています。

12/10に事実判明 事実公表は12/25

名前の通り、NTTグループの会社で、主にNTTグループ企業向けの教育・研修事業を手掛けている非上場企業です。12/10にメールが大量送信されていることに気付いていながら、2週間も経って公表、、、メール開くな。って言われてもねぇ。この対応には疑問ありですね。

情報処理安全確保支援士(セキスぺ)

この事案、たまたま見付けたものの、被害の状況等からして、読み飛ばすレベルの事件でした。が、どこかで見たことある企業名だったものですから少し調査。すると、、、この会社、情報処理安全確保支援士が義務付けられている講習の「講習運営事業者」でした。

情報処理安全確保支援士(セキスぺ)というのは、サイバーセキュリティに関する国家資格です。資格取得者の知識や技能を継続的に維持、向上させるため、毎年のオンライン講習と、3年に一回の集合講習の受講が義務付けられている、かなり力の入った国家資格なんですね。

つまり、サイバーセキュリティを担う専門家育成のための講習運営事業者に選ばれていた事業者がサイバー攻撃を受け、他者にもメールをばらまき、脅威を与えてしまったという、笑えないお話なんです。

おまけ

情報処理安全確保支援士にはNTTラーニングシステムズから集合講習の通知が来たりするので、大量に送られたメールは情報処理安全確保支援士にも届いたかも。さらに、届いたメールを開封して、自分が被害者になった情報処理安全確保支援士も居たりして、、、。などと考えていると、笑ってはいけない話ですが少し笑ってしまいました。

いや、それでもやはり笑えない話です。こういう事業を営む会社がサイバー攻撃を受け、、、「不正利用されたアカウントのパスワードが類推されやすいものであったことが原因」では。まったくシャレになりません。

スマホの充電 年1回でOK IOWN(アイオン)グローバルフォーラム 80社超参加

NTTが米インテル、ソニーと組んで設立する次世代光通信基盤の国際的な検討や連携の場である「IOWN(アイオン)グローバルフォーラム」について、80社超の企業(うち日本企業は30社超)が参加を検討していると、12/17付け日刊工業新聞が伝えていました。

オールフォトニクス・ネットワーク

NTTはこれまで主にネットワークで使われてきた光技術を、端末やサーバーでの情報処理にも適用する「オールフォトニクス・ネットワーク」の実現を目指しています。今年10月末にそのための業界団体、IOWN(アイオン)グローバルフォーラムの設立を表明していたんですね。このフォーラムへの参加を検討する企業が80社を超えてきたという報道です。

オールフォトニクス・ネットワーク。簡単に言っちゃうと、PCやスマホからネットワークに至るまですべて光化するというもの。当然、PCやスマホの中でも光半導体が情報処理しちゃうんですね。電力効率が100倍、伝送容量が125倍、伝送時の遅延は200分の1になるんだそうです。

「エレクトロニクスからフォトニクスの世界へシフトすることで社会課題を解決」と説明されてましたが、、、いまいちピンときません。

スマホの充電は1年に1回だけ

素人でも分かりやすい例として、スマホの充電が紹介されてました。1回充電したら1年間使えるスマホも夢ではないそうです。他にも、瞬きする間(約0.3秒)に2時間の映画1万本がダウンロードできるとか。。。これは確かに凄いです。

このような革命的な情報処理能力をもたらすオールフォトニクス・ネットワーク。仕様の確定は2024年、商用ベースでの実現は2030年頃を予想しているとのこと。日本の電機産業復活のきっかけにしてもらいたいですね。

ブロードリンク 次の公表事実に戦々恐々

IT担当者様、、、HDDの廃棄業者確認できましたか?不幸にして再委託先辺りでブロードリンクが出てきた会社さんもあるでしょうね。自社でツールを利用したデータ消去、消磁によるデータ消去されてました?、、さらに廃棄証明書等は徴収済みになってましたか?

ブロードリンクの対応

同社の調査によると、犯人がネットオークションで売却した「記憶領域のある商品」は3,904個。これの画像から確認できるシリアルNoなどを取得し、同社が該当期間中に扱った228,832個と突合作業をしています。

「上記の突合せされた商品に関し、弊社の在庫データから仕入先の割り出しをすることにより、今後のリスクの把握が可能となります」とも記されています。

そりゃ確かにそうなんだけどね。突合結果が公表(一般に公表されなくとも個別に通知)されると、その企業はどんだけ不幸になることやら。いっそのこと「それやめてほしい」と思ってる人も少なくないでしょう。民間企業が受けるダメージは自治体の比ではありません。

ユーザーの責任はどこまで

自社のPCのHDDが転売されていたことが判明。。。このとき自社としてどこまでの対応でができていれば、世間から叩かれることなく済ませてもらえるんでしょうね。神奈川県庁は「フォーマット(初期化)しただけ」ということで叩かれました。

最終的な廃棄に関しては、ブロードリンク等の専門業者に任せるとしても、ユーザー企業としても少なくとも〇〇〇〇までは処置するべき。という水準(相場)が見えないため、ユーザーも相当悩むことになりそうです。すでに会議でお偉いさんから詰められた方もいらっしゃいますかね。

① ソフトウェアによるデータの上書き消去
② 強磁気を使ったデータ消去装置によるデータ消去
③ 物理的に破壊してデータ消去

一般的にはこういった方法でデータを消去しますが、さてユーザー企業においてどこまでの対応が求められるようになるんでしょうか。業者とかわす契約書の中で業者責任を明確にしておくという手もありそうですが、世の中にどう響くか。やっぱ、全部ですかね。