カテゴリー: I C T

ソースネクスト 12万件の個人情報漏洩?

ソースネクストは2/14、「当サイトへの不正アクセスによる個人情報漏えいに関するお詫びとお知らせ」を公表しました。個人情報120,982件(顧客のクレジットカード情報112,132件含む)が漏えいした可能性があることが判明したということです。

ソースネクスト

ソースネクストはパソコン用ソフト、スマホ用アプリ、IoT製品の開発・販売を手がける企業。主な製品として、「ウイルスセキュリティZERO」などのセキュリティ対策ソフト、「筆王」などのハガキ作成ソフト、Androidスマホ向けアプリ、IoT製品の「POCKETALK(ポケトーク)」などを持っています。

不正アクセスの概要

個人情報が最大12万件漏洩した可能性があるということなんですが、そのうち11万件がクレジットカード情報も洩れてるかも、という事態だそう。さらに、このクレカ情報については、「カード名義人名」、「クレジットカード番号」、「有効期限」、「セキュリティコード」が含まれているようです。おいおい、セキュリティ対策をビジネスにしている会社がかよ。

決算発表

不正アクセスによる情報漏えいを同社ホームページでひっそり公表した同日、適時開示では第3四半期の決算発表も行っています(つまり漏えいの事実は適時開示していない)。こちらも酷いことになっていて、業績予想を下方修正。発表翌日の2/15の株価は225円、45円安となっています。

2023年3月期はボロボロ。そこに個人情報漏えいに対する新たな損失が加わってくるとすると、いったいどんなことになっていくんでしょう。同社のセキュリティソフトも年賀状ソフトも使ったことあるぞ。またkuniの情報があちこちに売られるのか・・・?いい加減にしろや。

アダストリア サイバー攻撃(その2)

昨日に続いてアダストリアの件。1/24の第2報を読んでいて少し気になったことを追記します。第2報の中の、原因究明とその後の安全対策に関する記述に関してです。

ちょっと矛盾した書きぶり

第2報の中で書かれている今後の対応について。「引き続き、外部の専門機関と連携し、原因や経路の究明を行う」としています、一方で、「現在、安全な環境の構築が完了し、停止していた社内業務システムの稼働を順次再開しました。休止しているWEBストア「ドットエスティ」についても、物流システムを再稼働し、安全性が確認できたことから、近日中に再開を予定しております」としています。

本来は、原因(脆弱だった箇所)や侵入経路を究明し、それが完了したからこそ、安全対策の構築が始まるはずで、ちょっと上記の説明には矛盾を感じました。引き続き原因や経路の究明を行う(まだよく分かっていないことがある?)、としながら安全対策が完了したといってるところです。なぜ不正アクセスを許してしまったかについては、書けなかったためこんな書きぶりになったんでしょうかね。

確かにこういうケースでは、「システムの〇〇に脆弱性があり、これへの対応を怠っていたため、不正なアクセスを許してしまった。」みたいな、他の同様なシステムを持つ企業等への悪影響が考えられるような具体的な話(原因や経路)は開示しないように。といったアドバイスを専門家や警察から受けている可能性はあるかもしれません。

であれば、「原因や経路等についての究明は完了しておりますが、他の企業等への影響を考慮し、開示は控えさせていただきます」、みたいな書き方はあったと思うんですけどね。

日本へのサイバー攻撃 3年間で倍増

少し前になりますが1/22付け日本経済新聞の1面に、「サイバー攻撃、日本に矛先 攻撃数3年で倍増 対応丸投げ、脆弱性放置」という記事がありました。あれだけランサムウエア攻撃などを受けた企業のニュースが流れるなか、日本企業の対応の遅さはいまだに解消してないようです。

3年間で倍増

記事で取り上げていた「3年間で倍増」というのは、「警察庁が公表した22年1~6月に検知された不審なアクセス通信」のことを指しているようで、実際に被害につながった件数ではありません。防御ができているから被害に繋がらなかった不審なアクセスも含んでるわけですね。

とはいえ、狙われてるのは事実

記事の書きぶりがやや誤解させそうなものとなっていますが、日本企業への攻撃は今後も増加すると思われます。記事では「IT(情報技術)開発のベンダーへの丸投げが多く、サイバー防衛への当事者意識が希薄」であることをその要因として指摘しています。この点については異論はありません。

では、丸投げせず、当事者意識をしっかり持つ、、、ためには何が必要なんでしょう。これは前にも書いたことありますが、システム関係費用をコストと考えないということに尽きると思います。これ、今の世の中、コストではなく「最重要な資源」と考えるべきなんです。

コストと考えるから経営は「削減」という方向を意識(検討)しますが、経営目標を達成するための重要な資源という認識になれば、「投資」を意識することができるでしょう。そうすることで日経が指摘する当事者意識も向上し、ベンダーへの丸投げを止めて、自社でのシステム要員育成といった方向付けも可能になります。

ということで、DXしかり、サイバーセキュリティしかり。経営陣の意識(コストから資源へ)の改革が一番重要ということです。

Amazon 楽天などからのフィッシングメールに注意

タイトル通り、各社からのフィッシングメールが急増中です。っていうか、kuniのところへ似たようなフィッシングメールがバンバン届いてるんです。最近のフィッシングメールは日本語もかなりまともな表記がされており、見てすぐに偽物とわかるようなメールではありません。困ったものです。

おさらい

フィッシングメールというのは、フィッシング詐欺とも呼ばれ、実在する企業やサービスを装ったメールを送りつけ、登録情報の確認などの名目で、IDやパスワード、クレジットカード番号などの個人情報を窃取する悪質な詐欺です。

「登録しているクレジットカードの期限が切れてる」とか、「通常とは異なる、カード等の不審な利用が確認されたため」といった理由で、フィッシングサイトへ誘導。そこで確認のためとかと称して、IDやパスワードを再入力させてその情報を抜き取ろうとします。

最近の傾向

昔のようにメールの日本語がちょっと変みたいなことはもうありません。全然マトモです。加えてメール差出人に実在するサービスのメールアドレス (ドメイン) を使用したものまで。正直メールの内容等をチェックしても本物のメールにしか見えないんです。マジで困ったもんです。

対策

上記のような理由で、あなたを惑わせるようなメール(SMSも同様)が届いた場合、当該業者の信頼できるサイトにアクセスし、本当にその業者が送信したメールかどうかを確認しましょう。例えばAmazonの場合、Amazonにログインし、右上の「アカウント&リスト」に入ります。「メッセージセンター」をクリックすると、Amazonがあなたに向けて発信したメールの一覧が現れます。

この中に怪しいメールが含まれていなかったら、それはフィッシングメールということになるわけです。皆さん気を付けましょうね。(追伸)、、、直近のフィッシングメールの特徴。とにかくしつこい。何回も同じ内容のメールを送り付けてきます。根競べです。

ラック 金融犯罪をAI技術で検知

ダイヤモンドオンラインで「金融犯罪の知見を最新AI技術に搭載し驚異の不正取引検知率を実現」という記事を読みました。様々な金融取引において、AI技術を駆使して異常取引、不正取引を非常に高い確率で検知するという技術の紹介記事です。

株式会社ラック

ラックは情報セキュリティ分野の各種サービス、およびシステムの開発などを法人向けに提供するITサービス企業です。ネットワークセキュリティ分野では、官公庁や大手企業を中心とした豊富な実績を有している東証スタンダード上場企業です。以前当ブログでは、同社の応札に関する不正を取り上げたことがありました。

最近めちゃくちゃ増えました

ちょっと脱線、個人的な話ですが、最近怪しいメールが非常に増えていて困っています。Amazonや楽天、三井住友カードなどから、「異常な取引を検知したから」とか、「カードの有効期限がどうのこうの」って理由でサイトにアクセスさせて、kuniの個人情報を抜き取ろうとするメールだと思われます。以前と違ってまあしつこいこと。

AIで検知

ラックのこの技術はこうしたフィッシング詐欺とはちょっと違って、取引先や経営幹部を装って送金を指示するビジネスメール詐欺や、本人になりすましてATMを操作する不正な金融取引を対象としたものと思われますが、とにかく金融周りの不正を未然に防止する、起きたとしても最小限で食い止める機能は非常に重要です。

AIを使ったシステムで、従来は60%程度だった不正の検知率を94%まで向上させるという技術、素晴らしいです。このような社会課題を解決する企業、kuniも応援したいと思いました。詳細は書けませんでしたが、このダイヤモンドオンラインの記事、推奨です。