タグ: サイバーセキュリティ

フィッシング詐欺のうち、SMS（ショートメッセージサービス）を使用するものをスミッシング詐欺と言いますが、これが9月激増しているそうです。10月のデータはまだ公開されてないようですが、注意が必要です。SMS、皆さんもご注意ください。

9月急増

インターネットバンキングに係る不正送金被害については、2016年以降、発生件数・被害額ともに減少傾向が続いており、今年も月間数十件程度、被害金額も3千万円以下という状況でした。ところが8月（105件、7400万円）、9月（436件、4億2600万円）と急増し、2012年以降の最多件数を記録しています。

最近の手口

メールにあるリンクをタップすることによりフィッシングサイトに誘導され、インターネットバンキングのパスワード等を入力させ、これを盗み取るという手口です。特に最近の手口としては、フィッシングメールにSMSが使用されていること。リンク先サイトでは、正規サイトのURLと誤認させるため、HTTPSが使用されていたり、.jpドメインが使用されているようです。

さらに、アカウントやパスワードの情報のみならず、ワンタイムパスワードや秘密の合言葉等を入力させるなど、巧妙な手口になっているようです。

以下は実際に送られてきたSMSの一例です。

お客様の〇〇銀行口座がセキュリティ強化のため、一時利用停止しております。再開手続きをお願いします。https;//www.・・・・

被害に遭わないために

被害に遭わないために、心当たりのないメールは放置すること。取引のある銀行からであっても、メールに記載されたリンクに安易にアクセスしないことですね。これだけSMSが悪用されていることは、金融機関も承知しています。SMSからリンクをたどるのではなく、正規のサイトを訪れて対処するようにしましょう。

昨日に引き続き、総務省が18億円を捨ててしまった大失態。セキュアゾーンの構築にかかった期間中の総務相は現総務相でもある高市早苗氏ですね。大臣の耳にどれだけ届いていたんでしょう。また、同じ期間の事務次官は櫻井俊氏、嵐の櫻井翔君のお父様みたいです。

なぜこんなことが・・・

会計検査院の指摘では、「セキュアゾーンの整備を決定するにあたり、取り扱う情報の重要度に応じた対策の選択肢、各対策に対する需要の規模、および当該需要を踏まえた費用対効果を把握することが十分できていない」とあります。また、意思決定過程の資料も総務省に残っていないそうです。話になりません。

厚生労働省と農林水産省が一旦使用の希望をしたようですが、彼らユーザーの期待に応える代物ではなく、最終的に誰も使用していません。通常、システムを構築する場合、ユーザーとの間で要件定義がじっくり行われ、仕様が固まります。

そのため、今回のようにシステムが堅牢すぎて使えない（仕様通りになっていない）、、、なんてことがあると、ベンダー企業との間で訴訟等に発展するわけです。しかし、ユーザー不在でベンダーに丸投げみたいになっていると、こんなふうになるんですね。総務省側に訴訟を起こせるほどしっかりした資料（証跡）も残ってないんでしょう。

日本年金機構の大惨事を見て、上層部の誰かが「とにかく政府システムで機微情報が流出しないよう、100％安全な対策を取れ！」と指示。指示された方は大急ぎで、言われた通りに、めちゃくちゃ安全性の高いセキュアゾーンをこしらえました。「しかし、システムが堅牢すぎて、どの省も使えないと言ってます。。。どうしましょう。」みたいな感じです。笑い話ですね。

また野党が騒ぐのかな

冒頭書いたように、このセキュアゾーンの検討から構築にかけての期間の総務大臣は第3次安倍内閣時代の高市早苗氏（現職）です。そして当時の事務次官は櫻井氏（すでに退官して今は電通の取締役）だったりします。ネームバリューのあるお二人ですし、また野党の標的にされちゃいそうですね。

今月上旬、一部報道で伝えられていましたが、正式に会計検査院から調査の結果が公表されました。サイバー攻撃対策として18億円をかけて設けられたセキュアゾーンという名前のシステムが、一度も使われることなく2年間で廃止されたということです。

ことの経緯

政府が使用する情報システムを統合した政府共通プラットフォームは平成25年3月に運用を開始しています。27年5月に日本年金機構がサイバー攻撃を受け、個人情報が外部に流出しました。

これを受け、各省にサイバーセキュリティ対策推進会議議長指示が通知されました。「政府情報システムのうち、機微度の高い情報を扱う部分と、インターネット等の分離を進める計画をまとめて報告せよ」というものです。

この指示に基づき、総務省は政府共通プラットフォームへの機能追加で、セキュアゾーン（ネットと繋がらない安全地帯みたいなもんですね）を整備しようとします。27年8月には各省に対して、セキュアゾーンの利用希望の調査を実施しています（調査と呼べるほどのものではないけど）。

その後、28年の4月と9月に後述の民間業者とセキュアゾーン整備等の契約を結び、29年4月に政府共通プラットフォームにおけるセキュアゾーンの運用を開始しています。

契約の内容　NTTデータ　東京センチュリー

システムの運用や機器の管理を目的とした契約はNTTデータと締結。5年間で8億5千万円（うちセキュアゾーン関連で3億6千万円）となっています。半年後の9月、セキュアゾーンの整備に係る設計作業請負等を目的とした契約を東京センチュリーと締結。同じく5年間で20億円です。

運用は開始したものの、使われないまま費用を負担し続けることになるため、今年3月、契約期間を2年短縮する変更契約を締結し、セキュアゾーンを廃止しました。変更後の契約額は18億9千万円ということで、報道等ではこちらの金額が使われています。事実関係だけで今日はお終い。何でこんなことになったのか、、、続きは明日にでも。

8/20　日本経済新聞の記事、「野村総合研究所（NRI）傘下の情報セキュリティー企業、NRIセキュアテクノロジーズは、情報セキュリティーに関するリスク管理をサプライチェーン全体で一元化できるサービスを始めた。」とのこと。

セキュリティ対策実行支援プラットフォーム　Secure SketCH

このセキュリティ対策実行支援プラットフォーム自体は以前から提供されているサービスで、今回、これをさらに進化させたということのようです。企業の国内・海外拠点やグループ会社、さらに外部委託先等のサプライチェーンまでを範囲に含めた情報セキュリティ対策の状況を評価し、継続的に一元管理ができる「GROUPSプラン」の提供を開始したということです。

とても目の付け所が良いですね。大企業はそれなりのセキュリティ対策をとっていたとしても、その子会社や外部委託先ともなると、実際のところはお寒いものです。サイバー攻撃はその企業に繋がってさえいれば、最もセキュリティの甘い入り口（の会社を踏み台にして）から攻めるだけのことですしね。

大企業では経営陣が自社のことでさえ、なかなかセキュリティ対策に危機感を持ってくれないところ、子会社や関連会社のことなどほぼ考えちゃいません。そんな経営には、「この子会社Aや関連会社Bを踏み台にされたら、御社の基幹システムは簡単に乗っ取られますよ・・・」みたいなセキュリティ対策状況評価書を突き付けてあげないとだめでしょう。

子会社、関連会社の救世主に

大企業が実装するセキュリティ対策。その子会社や関連会社がまったく同じレベルの対策を取るのか、、、。かなりの重装備となりそのコストが収益を圧迫します（これってコンプライアンス態勢とよく似てます）。この問題も実は大きくて、、、これから結構話題になるんじゃないかと思います。

NRIセキュアテクノロジーズは、野村総合研究所（NRI）の100％子会社で2000年に設立された会社です。日本のICTを代表する会社であり、コンサルティング会社でもあるNRIの子会社、経営者に気付きを与えるところまででも大仕事。期待できそうですね。