ニュース
ニュース情報
| 年月 | 内 容 | |
|---|---|---|
| 令和7年7月 |
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ランサムウェア(Phobos/8Base)の復号ツールに関する情報提供 復号ツールを開発し、警察庁ウェブサイトで無料公開 (警察庁) ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 警察庁においてランサムウェア(Phobos又は8Base)により暗号化されたファイルの 復号ツールを開発し、下記警察庁ウェブサイトで無料公開されています。 復号ツールを利用することで、暗号化されたデータが復元できる可能性があります。 同ツールの利用方法は、下記警察庁ウェブサイトで確認ください。 復号ツールの利用方法がわからない場合には、都道府県警察のサイバー事案相談用窓口 又は最寄りの警察署に御連絡ください。 詳細は、案内チラシをご参照ください。 詳細はこちらから |
ご紹介 |
| 令和7年6月 |
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 証券会社をかたるフィッシングに注意! ID・パスワードが盗まれると口座が乗っ取られる! (警察庁) ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 証券会社のウェブサイトを装ったフィッシングサイトやマルウェア等で窃取した ID・パスワードによるインターネット取引サービスでの不正アクセス・不正取引の被害が 急増しています! メールで「〇〇証券:取引情報の確認、登録情報の確認」等でID・パスワードを 入力させる方法で、ログイン情報が盗まれるケースが多発しています。 絶対にメール本文に書かれているアドレスをクリックして入力しないでください。 ※実際に来たメールです。ここから 【必須対応】電話番号認証の強制導入と本人確認のご依頼 XXX 証券 お客様の資産保護を最優先に 【重要】電話番号認証の強制適用とご本人確認のお願い 平素より XXX 証券をご利用いただき、誠にありがとうございます。 弊社では、近年の不正アクセス増加および個人情報漏洩事案を受け、お客様の大切な資産 ならびに個人情報を保護する取り組みを強化しております。その一環として、 2025 年 6 月 31 日(土)より 多要素認証 の適用をすべてのお客様に対して義務化 いたしました。 特に、FIDO(スマートフォン認証)をご登録いただいていないお客様に対しては、 セキュリティ確保の観点から、電話番号認証によるログイン確認を強制適用させていただ いております。この認証は、実際にお客様が使用されている端末・環境からのアクセスで あることを当社が正しく判定するために不可欠なプロセスです。 現時点で、お客様のアカウントは電話番号認証を介したアクセスが必要な状態ですが、 認証プロセスの一部に未完了の項目がございます。つきましては、下記リンクより ご本人確認の最終ステップを完了いただきますようお願い申し上げます。 ご本人確認手続きへ進む ※ここにクリック可能なアドレスが記述されています※ 詳細は、案内チラシをご参照ください。 詳細はこちらから |
注意喚起 |
| 令和7年5月 |
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ボイスフィッシングに注意 (警察庁) ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ボイスフィッシングとは、犯人が銀行担当者を騙り、被害者(企業)に電話を掛かけ、 メールアドレスを聞き出し、その後、フィッシングメールを送信し、インターネット バンキング情報を盗み取り、不正送金を行う手口です。 対策としては ・知らない電話番号からの着信は信用しない ・銀行の代表電話番号・問い合わせ窓口で確認する ・メールに記載されているリンクからアクセスしない ことが大切となります。 主に法人口座が狙われていることから、企業等において金融機関とやり取りをする方へ 改めて周知していただきますよう何卒よろしくお願い申し上げます。 詳細は、添付案内チラシをご参照ください。 詳細はこちら |
注意喚起 |
| 令和7年4月 |
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 無料ウェブサービスに落とし穴 設定ミスで個人情報閲覧も (NHK) ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 2025年4月17日、NHKニュースで、「Googleグループ」からの情報漏洩について報道され ました。「無料ウェブサービスに落とし穴 設定ミスで個人情報閲覧も」2025年4月17日 NHK 無料で使えるウェブサービスに落とし穴です。 自分たちのグループ内で、メールなどが共有できるグーグルの無料サービスで、一部の ユーザーの住所や携帯番号などの個人情報が、外部から閲覧できる状態になっていたことが わかりました。 ユーザーの管理者が、グループを作成する際に設定を誤ったことが原因とみられ、専門家は 「サービスを使う側はよく調べてから使うべきだ」と指摘しています。 自分自身の「Googleグループ」の画面から、自分が使っているメーリングリストが公開状態に なっているかどうか、確認することができます。 ただし、管理者以外は設定を変えることはできないため、公開状態になっていることに気づい たら、グループの管理者に設定を変更してもらう必要があります。 Googleグループのプライバシー設定を自分で確認する方法 「Googleグループ」から、自分が参加しているグループを選択し、左下にある 「情報」をクリックします。 すると真ん中下部分に、このグループのプライバシー設定の一覧が表示されていて、 管理者でない参加者も、自分で確認することができます。 「プライバシー」項目の、青いマークに注目すると、次のような意味になっています。 ・人のマーク 「グループのメンバのみ」 ・地球儀のマーク 「ウェブ上のすべてのユーザー」 つまり誰でも閲覧可能 ここの設定を確認して、自分のグループが個人情報が漏れているかどうか確認することが できます。例えば次の状態は、全部外から見られています。 「地球儀マーク」と、「ウェブ上のすべてのユーザー」が一つでもあれば、 管理者に連絡して、設定を変えてくれるよう依頼しましょう。 詳細はこちらから |
注意喚起 |
| 令和7年4月 |
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 新入社員等研修向け情報セキュリティマニュアル (IPA) ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 企業や組織の教育担当者や情報セキュリティ担当者に向けて、新入社員等に情報セキュリ ティに関する知識を教える際のガイドライン、研修資料のベースとなるような情報や トピックをまとめたものです。 セキュリティ対策やインシデント対応に関する社内ルールの教育、研修等に ご活用ください。 詳細はこちらから |
ご紹介 |
| 令和7年3月 |
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 情報セキュリティ10大脅威 2025 を公開 (IPA) ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 「情報セキュリティ10大脅威 2025」は、2024年に発生した社会的に影響が大きかったと 考えられる情報セキュリティにおける事案から、IPAが脅威候補を選出し、情報セキュリティ 分野の研究者、企業の実務担当者など約200名のメンバーからなる「10大脅威選考会」が 脅威候補に対して審議・投票を行い、決定したものです。 10大脅威 2025では、個人の10大脅威の順位は掲載せず、五十音順で並べています。 これは、順位が高い脅威から優先的に対応し、下位の脅威への対策が疎かになることを懸念 してのことです。順位に関わらず自身に関係のある脅威に対して対策を行うことを期待して います。 詳細はこちらから |
ご紹介 |
| 令和7年1月 |
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ DDoS攻撃とは|被害事例や対策方法・攻撃の目的や種類を徹底解説 (LAC) ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ DDoS攻撃はサイバー攻撃の手法の1つで、大きな脅威となっています。日本でも中央官庁や 自治体、金融機関などの被害が後を絶ちません。こうした事例をみると、自社も大きな被害 が起きるのではないか、と不安になるかもしれません。 DDoS攻撃を完全に防ぐことは不可能なので、まずDDoS攻撃について基礎知識を持ったうえで、 守るべき対象を決めておくことが必要です。 本記事はDDoS攻撃の概要、DoS攻撃との違い、被害事例、サイバー攻撃者の目的・手法、 DDoS攻撃を防ぐ方法などを解説しています。セキュリティ体制構築やソリューション導入 などを検討するためにお役立てください。 詳細は以下をご覧ください。 DDoS攻撃とは|被害事例や対策方法・攻撃の目的や種類を徹底解説 |
注意喚起 |
| 令和6年12月 |
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 2024年度 年末年始における情報セキュリティに関する注意喚起 (IPA) ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 多くの人が年末年始の長期休暇を取得する時期を迎えるにあたり、独立行政法人情報処理 推進機構(IPA)が公開している長期休暇における情報セキュリティ対策をご案内します。 長期休暇の時期は、システム管理者が長期間不在になる等、いつもとは違う状況になりが ちです。 このような状況でセキュリティインシデントが発生した場合は、対応に遅れが生じたり、 想定していなかった事象へと発展したりすることにより、思わぬ被害が発生し、長期休暇後 の業務継続に影響が及ぶ可能性があります。被害に遭わないためにもこれらの対策の実施を お願いします。 詳細は以下をご覧ください。 2024年度 年末年始における情報セキュリティに関する注意喚起 長期休暇における情報セキュリティ対策 日常における情報セキュリティ対策 |
注意喚起 |
| 令和6年12月 |
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ インターネットバンキングに係る不正送金の被害が多発しています (新潟県安全で安心なまちづくり推進協議会) ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 発生件数 被害総額 全 国 1,728件 24億4,000万円 不正送金の主な手口は、金融機関を装うSMS(ショートメッセージ)等のフィッシング メールを通じて、インターネットバンキング利用者を、金融機関のフィッシングサイト (偽のログインサイト)へ誘導し、インターネットバンキングの、ID やパスワード、 ワンタイムパスワード等の情報を窃取して、預貯金の不正送金を行うものです 被害に遭わないために ● 心当たりのないSMS 等は開かない。 ⇒ 金融機関が、ID・パスワード等をSMS 等で問い合わせることはありません。 心当たりがあっても、SMS 等に記載されたリンクからアクセスしない。 ● 利用しているサイトは、「ブックマーク」や「お気に入り」に登録し、ブックマークや お気に入りからアクセスする。 ● 金融機関が推奨する多要素認証等の認証方式を利用しましょう。 ● 「URL」を必ず確認、見る癖をつけましょう。 |
注意喚起 |
| 令和6年11月 |
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 病院関係者様へ 年末に向かって、そろっと気を付けたほうが良いと思います (ANISEC) ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 年末年始にかけて、病院システムの再構築を行う関係者さんが多くなると思われます。 また、年末年始中にシステム関係者が休みを取り、システムの監視が手薄になる頃と 思われます。このタイミングを狙っている犯罪者は好機とばかりに、色々な手段で アタックを仕掛けて来ます。 これまでの病院関係の事故例を参考に、対策を練りましょう。他人事ではありません。 以下の調査報告書では、具体的な事例/対策を解説していますのでぜひご活用ください。 詳細は以下をご覧ください。 徳島県つるぎ町立半田病院 コンピュータウイルス感染事案有識者会議調査報告書について 大阪急性期・総合医療センター 情報セキュリティインシデント調査委員会報告書について |
注意喚起 |
| 令和6年10月 |
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Windows 10 のサポート終了に関する注意喚起 (IPA) ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 2025年10月14日(米国時間)にMicrosoft社が提供しているOS「Windows 10」のサポートが 終了します。 サポート終了後はセキュリティ更新プログラムの提供がなくなるため、脆弱性を悪用した 攻撃による情報漏えいや意図しないサービス停止などの被害を受ける可能性が高くなります。 Windows 10を利用されている方は、後継OSや代替製品への計画的な移行をお願いいたします。 詳細は以下をご覧ください。 Windows 10 のサポート終了に関する注意喚起 |
注意喚起 |
| 令和6年10月 |
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 「講習能力養成セミナー」改訂版を公開 (IPA) ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 「講習能力養成セミナー」改訂版を公開しました。本セミナーは、中小企業の教育担当者 および中小企業に対して情報セキュリティ対策を支援する立場の方を対象に、IPAのセキュリ ティ啓発映像等の無料コンテンツを教材にした講習会の計画や進行の仕方について動画で 解説するものです。 本動画をご覧いただき、社内での情報セキュリティ教育等にお役立てください。 詳細は以下をご覧ください。 「講習能力養成セミナー」改訂版を公開 |
紹 介 |
| 令和6年9月 |
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ VMware 製品の脆弱性対策について(CVE-2024-38812 等) (IPA) ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Broadcom が提供する VMware vCenter Server は、仮想化環境の管理運用ツールです。 この VMware vCenter Server において、DCE/RPC プロトコルの実装に起因するヒープベース のバッファオーバーフローの脆弱性 (CVE-2024-38812) と、権限昇格の脆弱性 (CVE-2024-38813) が確認されています。 本脆弱性を悪用された場合、vCenter Server へのアクセス権を持つ第三者によって任意の コードを実行されたり、管理者権限を持たないユーザによって root 権限に昇格されたりする 可能性があります。 今後被害が拡大するおそれがあるため、製品開発者が公表している手順に従い、修正プログラム を適用してください。 影響を受けるシステム VMware vCenter Server 8.0 VMware vCenter Server 7.0 VMware Cloud Foundation 5.x VMware Cloud Foundation 4.x 詳細は以下をご覧ください。 VMware 製品の脆弱性対策について(CVE-2024-38812 等) |
注意喚起 |
| 令和6年8月 |
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 最新版「中小企業の情報セキュリティ対策ガイドライン」を公開しました。 (IPA) ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ IPA(独立行政法人情報処理推進機構)は、中小企業の情報セキュリティ対策に関する検討を 行い、より具体的な対策を示す「中小企業の情報セキュリティ対策ガイドライン」を公開し ました。 概要 「中小企業の情報セキュリティ対策ガイドライン」(以下「本ガイドライン」)は、情報 セキュリティ対策に取り組む際の、 (1)経営者が認識し実施すべき指針、 (2)社内において対策を実践する際の手順や手法をまとめたものです。 経営者編と実践編から構成されており、個人事業主、小規模事業者を含む中小企業 (以下「中小企業等」)の利用を想定しています。 詳細は以下をご覧ください。 「中小企業の情報セキュリティ対策ガイドライン」 |
紹 介 |
| 令和6年7月 |
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 情報操作型サイバー攻撃が世界に拡大 「偽情報」の脅威にどう向き合う? (IPA) ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 近年、世界的に増加する「ディスインフォメーション(偽情報)」。真偽を織り交ぜて 世論を誘導し、社会に害をなす情報が広く流布されるということで、個人としても組織 としても無関係ではいられません。インターネット上にはびこるディスインフォメーション に、私たちはどう向き合うべきか。その脅威と動向、取るべき対策について紹介します。 対策のポイント ・特定の国や主義を利するようなコンテンツを見たときは、一度立ち止まって、真偽を 確かめる。 ・インターネット上のファクトチェックツールを活用する。 ・怪しいと思ったコンテンツは決して拡散しない。 ・感情が揺さぶられるコンテンツに出合ったら、その感情は本物か、誰かに仕立てられて いないか、冷静に自問する習慣を身に付ける。 詳細は以下をご覧ください。 情報操作型サイバー攻撃が世界に拡大 「偽情報」の脅威にどう向き合う? |
紹 介 |
| 令和6年6月 |
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ バッファロー製一部Wi-Fiルーターでbot感染増加 パスワード変更やファームウェア更新を (NICTER、BUFFALO) ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 以下、バッファロー社が掲出している「NICTERの投稿に関する重要なお知らせ」の抜粋です。 5月21日から22日にかけて報道されておりました、NICTER解析チームによる弊社 「WSR-1166DHPシリーズ」等のボットへの感染が確認された件につきまして、 NICT様と連携して調査を行った結果、およそ50台程度の弊社Wi-Fi商品、ないしその内部 ネットワークからマルウェアが発信したと思われる通信を確認いたしました。 対象のお客様につきましては5月29日より、総務省NOTICEプロジェクトの枠組み等を活用し、 ISP(インターネットサービスプロバイダー)経由でご連絡させていただいておりますので 併せてご確認ください。 またNICTER解析チームとの検討の結果、以下の商品・条件に該当する場合にも感染の恐れが あることがわかりました。 該当の条件に一致する商品をご利用のお客様につきましては、以下のルーター設定等を ご確認いただきますようお願いいたします。 該当の商品および条件 下記1の商品と2の条件の両方を満たす場合に、感染の恐れがあります。 1. 以下のいずれかの商品を利用されていること NICTER解析チームによって発見された感染の疑いのある商品シリーズ WHR-1166DHP2 WHR-1166DHP3 WHR-1166DHP4 WSR-1166DHP3 WSR-600DHP WEX-300HPTX/N WEX-733DHP2 上記商品の類似設計商品シリーズ WEX-1166DHP2 WEX-1166DHPS WEX-300HPS/N WEX-733DHPS WEX-733DHPTX WEX-1166DHP WEX-733DHP WHR-1166DHP WHR-300HP2 WHR-600D WMR-300 2. Web設定画面のパスワードが工場出荷時設定のまま使用されていること、 ないし推測されやすい文字列が設定されていること 工場出荷時「本機ログイン用パスワード」が設定されている商品は該当しません。 詳細は以下をご覧ください。 バッファロー製一部Wi-Fiルーターでbot感染増加 |
緊 急 |
| 令和6年5月 |
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ PAN-OS の GlobalProtect 機能に関する脆弱性公表 (IPA) ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Palo Alto Networks 社より、PAN-OS の GlobalProtect 機能に関する脆弱性が公表されま した。 この PAN-OS の GlobalProtect 機能において、リモートからのコード実行の脆弱性が確認 されています。 本脆弱性を悪用された場合、認証されていない遠隔の第三者によってファイアウォール上の root 権限で任意のコードを実行される可能性があります。 製品開発者から本脆弱性の影響を受けるすべてのバージョン向けにホットフィックスが提供 されています。 製品開発者は、本脆弱性を悪用する攻撃を確認していると公表しています。 今後被害が拡大するおそれがあるため、製品開発者が公表している手順に従い、ホット フィックスを適用してください。 本脆弱性を悪用したと思われる攻撃が国内で観測されたとの情報があります。 今後被害が拡大するおそれがあるため、至急、対策を実施してください。 また、製品開発者より、本脆弱性に対する侵害活動の影響を受けたかどうかの調査方法も 提供されています。攻撃の被害を受けていないかご確認いただくことも推奨いたします。 尚、回避策として提示されていた、デバイステレメトリを無効にすることについて効果的 ではなかったと報告されています。 詳細は以下をご覧ください。 PAN-OS の GlobalProtect 機能に関する脆弱性公表 |
緊 急 |
| 令和6年4月 |
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 情報セキュリティ研修用新作動画「内部不正による情報流出のリスク」を公開 (IPA) ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ IPAは3月21日(木)に新作動画「今、そこにある危機 内部不正による情報流出のリスク」 を公開しました。 昨今、従業員や元従業員などが不正に機密情報の持ち出しする内部不正行為が発生しており、 内部不正防止に向けて従業員への意識の醸成と対策の強化が急務です。 本動画では内部不正の事例や手口、内部不正を起こさせないポイントの他、取引先を含めた 全体で行うべき対策を解説しています。 本動画を通じて組織における内部不正対策の理解にお役立てください。 詳細は以下をご覧ください。 情報セキュリティ研修用新作動画 |
ご紹介 |
| 令和6年4月 |
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 「情報セキュリティ10大脅威 2024」解説資料の公開 (IPA) ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ IPAは最新の情報セキュリティ10大脅威2024解説書を公開しました。 本解説書は情報セキュリティ10大脅威2024にて挙げられた個人と組織の各脅威について 手口や被害事例や対策について解説しています。 脅威の把握と対策の検討に本解説書をぜひご活用ください。 詳細は以下をご覧ください。 情報セキュリティ10大脅威 2024 |
ご紹介 |
| 令和6年3月 |
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 偽物の広告サイトをクリックしないで! (偽物の広告サイトと本物の見分け方) ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 依然として、偽物の広告サイトをクリックして、サポート詐欺サイトに連れていかれ 詐欺にあう人が増えています。 解決策としては、本物と偽物の区別がつけばよいのですが、中々巧妙になって来て、 判別が難しいのが現状です。 その中でも怪しいと思われるものを以下に挙げておきます。 ・日本語に違和感(英語を直訳したようでこなれていない) ・媒体名が書かれているところがランダムな英数字の列 ・媒体名が一般名詞で固有名詞ではない(Newsとか広告キャンペーンなど) ・ツッコミを期待するような画像が使われている ・ここをクリック、Continue、続く、もっと見る →、などと言った次のページがあることを期待させる文字列 上記を見てもわかる通り、これと言った解決策がないのが現状です。 しかし、何か違和感があった場合には、これらのリンクには絶対にアクセスしないでください。 今一度、クリックする場合は、自分に問いただしてください。 「特に、クレジット番号やID、パスワード入力を求めて来るものに注意!」 |
注意喚起 |
| 令和6年1月 |
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 情報処理推進機構(IPA)を騙った不審な電話等にご注意ください (IPA) ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 「あなたのスマートフォンにウイルスが入っているため情報処理推進機構で解析をしている」 等の虚偽の説明を行い、金銭を要求する不審な電話が確認されています。 また、その際、政府機関や弁護士事務所の名前をかたり、あたかも国や弁護士が対応してい るような虚偽説明を行ったり、「個人情報なので誰にも相談しないように」と言い含める など、不安を煽って巧妙にだます手口を確認しています。 IPAにて個人の方のスマートフォン等を解析して、それに対する金銭支払いが発生すると いうことは一切ありません。もし、このようなIPA等を騙る疑わしい電話等を受けた場合は、 下記の相談窓口までご連絡いただき、電話等の内容についてご確認いただくか、最寄りの 警察署までご連絡ください。 以上の内容は、IPAのWebページにも掲載しております。 情報処理推進機構(IPA)を騙った不審な電話等にご注意ください |
注意喚起 |
| 令和5年12月 |
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 海外の拠点や取引先などを踏み台にした「サプライチェーン攻撃」に注意 (ANISEC) ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 今回、「サプライチェーン攻撃」により、個人情報が流出する事故が発生しました。 事象、経緯、影響等は下記の「不正アクセスによる、情報漏えいに関するお知らせとお詫び」 を読んでください。 どこの企業や組織でも被害に遭う可能性があります。対策としては取引先や委託先の セキュリティーレベルを高めるしかありませんが、今回の事故例を参考に対策を練りましょう。 他人事ではありません。ぜひ検討してください。 詳細は以下をご覧ください。 LINEヤフー株式会社 ユーザー情報・取引先情報・従業者等に関する情報の漏えいがあることが判明 |
注意喚起 |
| 令和5年11月 |
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 病院関係者様へ 年末に向かって、そろっと気を付けたほうが良いと思います (ANISEC) ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 年末年始にかけて、病院システムの再構築を行う関係者さんが多くなると思われます。 また、年末年始中にシステム関係者が休みを取り、システムの監視が手薄になる頃と 思われます。このタイミングを狙っている犯罪者は好機とばかりに、色々な手段で アタックを仕掛けて来ます。 これまでの病院関係の事故例を参考に、対策を練りましょう。他人事ではありません。 以下の調査報告書では、具体的な事例/対策を解説していますのでぜひご活用ください。 詳細は以下をご覧ください。 徳島県つるぎ町立半田病院 コンピュータウイルス感染事案有識者会議調査報告書について 大阪急性期・総合医療センター 情報セキュリティインシデント調査委員会報告書について |
注意喚起 |
| 令和5年11月 |
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 内部不正による情報漏えいを防ぐには “内部不正防止ガイドライン”公開中 (IPA) ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ NTTマーケティングアクトProCX(大阪市)は、コールセンター用システムの運用保守を 依頼していたNTTビジネスソリューションズ(同)の元派遣社員が、クライアントから 預かっていた顧客情報900万件を第三者に流出させていたと発表。 これにより、NTTドコモなどのグループ企業や、福岡県といった自治体の情報にも影響が 出たことが分かっています。これにより、内部不正対策に関する議論が盛り上がって います。 情報処理推進機構(IPA)は、委託先や従業員などによる内部不正の対策を効果的に行う ためのガイドを公開しています。 基本方針、資産管理、職場環境などの観点から33の具体的な対策を解説していますので ぜひご活用ください。 詳細は以下をご覧ください。 組織における内部不正防止ガイドライン |
注意喚起 |
| 令和5年10月 |
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 「ECサイト構築・運用セキュリティガイドライン」のご紹介 (IPA) ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 近年、ECサイトからの個人情報及びクレジットカード情報の流出事件が多数 発生しており、被害の大半を中小企業の自社構築サイトが占めています。 中小企業の自社構築サイトにおいては、セキュリティ対策の必要性が十分に 理解されていないため、適切なセキュリティ対策が行われず被害を招いている 状況です。 ECサイトのセキュリティ対策を強化するため、IPAではECサイト構築・運用時の セキュリティ対策をまとめた「ECサイト構築・運用セキュリティガイドライン」を 公開中です。本ガイドラインは、ECサイトのセキュリティ確保のために経営者が 実行すべき項目や、セキュリティ対策を担当される実務担当者が具体的に 実践すべきセキュリティ対策の内容を記載しています。ぜひご活用ください。 詳細は以下をご覧ください。 ECサイト構築・運用セキュリティガイドライン |
ご紹介 |
| 令和5年10月 |
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 「内部不正を防止するための企業・組織の体制の現状 調査結果」を公開 (IPA) ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 昨今、同業他社への転職時に前職の秘密情報を持ち出すといった内部不正事案を 報道で目にする機会が増えています。IPAでは企業における内部不正防止対策・ 体制に関する課題等を把握するための調査を行い、その結果を再構成して メディアプラットフォーム「note」に公開しています。企業においてどのような 内部不正対策が行われているのか、被害に遭った企業の割合はどの位なのか、 どのような部門が対策を主導しているのか、社員教育はどうしているのか等、 大企業の状況と比較しながら解説しています。かなり長文の調査報告書の エッセンスを短時間で読み進めることができ、隙間学習にもピッタリな コンテンツです。この機会にぜひご一読ください。 内部不正を防止するための企業・組織の体制の現状 調査結果 |
ご紹介 |
| 令和5年9月 |
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 詐欺メールが異常に急増しています。ID、パスワードなど簡単に入力しないで ください。(銀行、宅配、Web販売会社等々) ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 例えば 「お客さまの口座の入出金を規制させていただきましたので、お知らせします。 本人確認後、制限を解除することができます。」 などの内容で偽のログイン画面に繋がるボタンやリンクをクリックさせ、その画面に 暗証番号等を入力させてお金をだまし取る詐欺メールやショートメッセージ(SMS)が 急増しています。 不安をあおったメールやSMSを送り、文中に記載されたボタンやリンクからログイン画面に 誘導することは絶対にありません。これらのリンクには絶対にアクセスしないでください。 今一度、入力する場合は、自分に問いただしてください。 「特に、パスワード入力を求めて来るものに注意!」 |
注意喚起 |
| 令和5年7月 |
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Apple のセキュリティリリースについて(2023/7/24 macOS/iOS) (Apple) ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Apple では、ユーザ保護の観点から、調査が終了してパッチやリリースが公開される までは、セキュリティ上の問題を公開、説明、または是認いたしません。 このサイトでは、セキュリティアップデートや緊急セキュリティ対応など、最近のリリースを 一覧にまとめています。アップデートしていない人は必ず、対応をお願いします。 Apple のセキュリティリリースについて |
注意喚起 |
| 令和5年6月 |
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 「映像で知る情報セキュリティ」公開中 (IPA) ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 中小企業におけるセキュリティ対策などを学べる映像コンテンツを公開中です。 いま被害が多発しているランサムウェア攻撃の手口や対策を解説する新作動画を 今年3月に公開しました。社内研修などにぜひご活用ください。 映像コンテンツはこちらから |
ご紹介 |
| 令和5年6月 |
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 情報セキュリティマネジメント試験に関するご案内 (IPA) ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 情報セキュリティマネジメント試験は、組織の情報セキュリティ確保に貢献し、 脅威から継続的に組織を守るための基本的な知識・技能を評価する国家試験です。 本試験は、年間を通じて試験を実施しており、ご自身の都合にあわせて、 試験会場(全国約260会場)と試験日時を選択し、受験することができます。 また、申込み後も試験会場や試験日時を何回でも変更することが可能です。 (変更可能期限には一定の制限があります) その他にも、受験手数料を一括で支払うことのできるバウチャーチケット (前売り電子チケット)を販売しており、多人数(5名以上)での一斉受験の ご相談も受け付けています。 企業・組織におけるセキュリティ人材の育成や、対外的なスキルの証明として ぜひご活用ください。 情報セキュリティマネジメント試験、基本情報技術者試験(CBT方式) |
ご紹介 |
| 令和5年6月 |
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 中小企業の情報セキュリティ対策ガイドライン」改訂版(第3.1版)の公開 (IPA) ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ IPAでは、中小企業の経営者や実務担当者が、情報セキュリティ対策の必要性を 理解し、情報を安全に管理するための具体的な手順等を示した「中小企業の 情報セキュリティ対策ガイドライン」を策定しています。今回の改訂では、 DX推進やテレワーク普及といった動向や、情報セキュリティ関連技術の進展状況も 踏まえつつ、関連法令の記載内容の見直しや、中小・小規模事業者においても 普及が進むテレワーク時のセキュリティ対策、インシデント対応を追記しました。 皆様におかれましても、本ガイドラインおよび「SECURITY ACTION」制度の活用に よって、より効果的な情報セキュリティ対策に取り組んでいただければと存じます。 中小企業の情報セキュリティ対策ガイドライン |
ご紹介 |
| 令和5年5月 |
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Microsoft 製品の脆弱性対策について(2023年5月) (IPA) ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 2023年5月10日(日本時間)に Microsoft 製品に関する脆弱性の修正プログラムが 公表されています。 これらの脆弱性を悪用された場合、アプリケーションプログラムが異常終了したり、 攻撃者によってパソコンを制御されたりして、様々な被害が発生するおそれがあります。 この内 CVE-2023-29336、CVE-2023-24932 の脆弱性について、Microsoft 社は悪用の事実を 確認済みと公表しており、今後被害が拡大するおそれがあるため、至急、修正プログラムを 適用して下さい。 |
注意喚起 |
| 令和5年4月 |
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 2023年度第1回SPREAD情報セキュリティサポーター能力検定受検申込みの受付開始 一般財団法人草の根サイバーセキュリティ推進協議会 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 2023年度第1回SPREAD情報セキュリティサポーター能力検定受検申込みの受付を開始 いたしました。 一人でも多くの方々に受検いただき、誰もが安心してITを利用できる社会の実現に ご協力いただきたいと考えております。 サポーター資格をお持ちでない方は、ぜひ、受検をご検討ください。また、身近にご興味の ある方がいらっしゃいましたら、ご案内いただきますようよろしくお願いいたします。 「SPREAD情報セキュリティサポーター能力検定」受検案内 詳細はこちらから SPREAD情報セキュリティサポーター/マイスター能力検定は、 内閣サイバーセキュリティセンター(NISC)のポータルサイトで紹介されています。 詳細はこちらから |
ご紹介 |
| 令和5年4月 |
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ サイバー攻撃家庭用ルーターが『踏み台』に 新潟県サイバーテロ対策協議会 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 家庭用ルーターがサイバー攻撃に悪用されており、また、従来の対策のみでは対応できない ことが判明 しています。 一般家庭で利用されているルーターを、サイバー攻撃者が外部から不正に操作して搭載機能を 有効化するもので、一度設定を変更されると従来の対策のみでは不正な状態は解消されず、 永続的に不正利用可能な状態となってしまう手法です。 万が一、職場内において家庭用ルーターを利用している状況があれば、可能な限り下記「推奨 する対応」に従って対応をお願いします。 また、皆様のご家庭にある家庭用ルーターについても可能な限り対応をお願いします。 【推奨する対応】 〇 初期設定の単純なIDやパスワードは変更する。 〇 常に最新のファームウェアを使用する。 〇 サポートが終了したルーターは買換えを検討する。に加え、新たな対策として 〇 見覚えのない設定変更がなされていないか定期的に確認する。 「VPN機能設定」 「インターネット(外部)からルーターの管理画面への接続設定」 「DDNS機能設定」 ルーターの管理画面で定期的に確認し、問題があった場合には、その都度是正するように お願いします。 |
注意喚起 |
| 令和5年4月 |
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ セキュリティ製品等、開発支援事業の募集を開始します! 東京都及び(公財)東京都中小企業振興公社 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ●安全・安心な東京の実現に向けた製品開発支援事業の募集を開始します! 東京都及び(公財)東京都中小企業振興公社は、安全・安心な東京を実現するとともに 東京の産業の活性化を図るため、防災・減災、感染症対策などをテーマとする都内中小 企業者等の製品や技術の開発・改良から普及促進までを支援します。 助成限度額 1,500万円 【対象者】 東京都内に本店又は支店で実質的な事業活動を引き続き1年以上行っている中小企業 者(会社及び個人事業主)等 【支援対象分野】 防災・減災、感染症対策、事業リスク対策、セキュリティ、子供の安全対策 詳細はこちらから |
ご紹介 |
| 令和5年3月 |
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 【注意情報】Emotet活動再開について 内閣サイバーセキュリティセンター(NISC) ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 「内閣サイバーセキュリティセンター(NISC)から、Emotetの活動が再開した旨 の注意喚起がなされていますので、皆様に注意喚起します。 国内のセキュリティ組織からも注意喚起が発出されていますが、新たな攻撃手口として、 500MBを超えるワードファイルをZIPファイル化し、メールに添付するものが確認されて います。これは、ウイルス対策ソフトなどの検出回避を図ったものと考えられています。 Emotetへの対策は、これまでと同様に ・ 不審な添付ファイルは開かない。 ・ 不審なリンクはクリックしない。 ・ 表示される送信元のメールアドレスと把握している連絡先が同じか確認する。 ・ 電話など別の方法で送信者に内容を確認する。 などの対応をするように、注意喚起をお願いします。 |
注意喚起 |
| 令和5年3月 |
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 情報セキュリティマネジメント試験に関するご案内 (IPA) ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 情報セキュリティマネジメント試験は、組織の情報セキュリティ確保に貢献し、 脅威から継続的に組織を守るための基本的な知識・技能を評価する国家試験です。 本試験は、年間を通じて試験を実施しており、ご自身の都合にあわせて、 試験会場(全国約260会場)と試験日時を選択し、受験することができます。 また、申込み後も試験会場や試験日時を何回でも変更することが可能です。 (変更可能期限には一定の制限があります) その他にも、受験手数料を一括で支払うことのできるバウチャーチケット (前売り電子チケット)を販売しており、多人数(5名以上)での一斉受験の ご相談も受け付けています。 企業・組織におけるセキュリティ人材の育成や、対外的なスキルの証明として ぜひご活用ください。 |
ご紹介 |
| 令和5年3月 |
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 情報セキュリティ10大脅威 2023 を公開 (IPA) ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 「情報セキュリティ10大脅威 2023」は、2022年に発生した社会的に影響が大きかったと 考えられる情報セキュリティにおける事案から、IPAが脅威候補を選出し、情報セキュリティ 分野の研究者、企業の実務担当者など約200名のメンバーからなる「10大脅威選考会」が 脅威候補に対して審議・投票を行い、決定したものです。 詳細はこちらから |
ご紹介 |
| 令和5年3月 |
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 欧州規格 ETSI EN 303 645 V2.1.1 (2020-06)の翻訳の公開 (IPA) ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 独立行政法人 情報処理推進機構 セキュリティセンター(IPA/ISEC)は、国内のIoT機器と 関連サービスのサイバーセキュリティ確保の支援を目的に、ETSI(脚注1) (European Telecommunications Standards Institute:欧州電気通信標準化機構)が 2020年6月に発行した欧州規格「ETSI EN 303 645 V2.1.1 (2020-06)」を翻訳し、ETSIとの 契約の下でIPAのウェブサイトにて公開しました。 ETSI EN 303 645 V2.1.1 (2020-06)とは 「ETSI EN 303 645 V2.1.1 (2020-06)」は、すべての民生用IoT機器に適用される一連の 基本的なサイバーセキュリティに関する規定を提供する欧州規格です。 「ETSI EN 303 645 V2.1.1 (2020-06)」は、ネットワークインフラ(インターネットや ホームネットワークなど)に接続される民生用IoT機器と、その関連サービスとのやりとりに 関する高レベルのセキュリティ及びデータ保護規定を規定しています。 今回公開した翻訳は、日本国内のIoT機器の開発・製造に関わる各種事業者のみならず、 IoTを活用したシステムに関わる事業者や、又その利用者によるサイバーセキュリティ対策の 参考ともなるものです。 IoTを活用する皆さんのサイバーセキュリティレベル向上にぜひお役立て下さい。 詳細はこちらから |
ご紹介 |
| 令和5年2月 |
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ JPCERT/CC の緊急セキュリティ情報 (JPCERT) ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 2023年2月マイクロソフトセキュリティ更新プログラムに関する注意喚起 I. 概要 マイクロソフトから同社製品の脆弱性を修正する2023年2月のセキュリティ更新プログラムが 公開されました。これらの脆弱性を悪用された場合、リモートからの攻撃によって任意の コードが実行されるなどの可能性があります。 マイクロソフトが提供する情報を参照し、早急に更新プログラムを適用してください。 マイクロソフト株式会社 2023 年 2 月のセキュリティ更新プログラム 詳細はこちらから マイクロソフト株式会社 2023 年 2 月のセキュリティ更新プログラム (月例) 詳細はこちらから これらの脆弱性の内、マイクロソフトは次の3件の脆弱性について悪用の事実を確認していると 公表しています。マイクロソフトが提供する情報を参考に、対策検討を推奨します。 Microsoft Publisher のセキュリティ機能のバイパスの脆弱性 詳細はこちらから Windows グラフィックス コンポーネントのリモートでコードが実行される脆弱性 詳細はこちらから Windows 共通ログ ファイル システム ドライバーの特権の昇格の脆弱性 詳細はこちらから II. 対策 Microsoft Update、もしくはWindows Updateなどを用いて、セキュリティ更新プログラムを 早急に適用してください。 Microsoft Update カタログ Windows Update:よくあるご質問 |
注意喚起 |
| 令和5年1月 |
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ JPCERT/CC Weekly Report(01/08(日)~01/14(土) のセキュリティ関連情報) (JPCERT) ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 【1】複数のマイクロソフト製品に脆弱性 【2】Windows 8.1サポートは2023年1月10日に終了しました 【3】複数のアドビ製品に脆弱性 【4】複数のJuniper Networks製品に脆弱性 【5】DrupalのPrivate Taxonomy Termsモジュールに脆弱性 【6】Google Chromeに複数の脆弱性 【7】OpenAM Web Policy Agent(OpenAMコンソーシアム版)にパストラバーサル脆弱性 【8】TP-Link SG105PEに認証回避の脆弱性 【9】pgAdmin 4にオープンリダイレクトの脆弱性 【10】Intel製oneAPIツールキットに権限昇格の脆弱性 【11】CLUSTERPRO Xに複数の脆弱性 【12】MAHO-PBX NetDevancerシリーズに複数の脆弱性 【13】ピクセラ製PIX-RT100に複数の脆弱性 詳しくは以下をご覧ください。 詳細はこちらから |
注意喚起 |
| 令和5年1月 |
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 年末年始における情報セキュリティに関する注意喚起 (IPA) ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 多くの人が年末年始の長期休暇を取得する時期を迎えるにあたり、IPAが公開している長期 休暇における情報セキュリティ対策をご案内します。 長期休暇の時期は、システム管理者が長期間不在になる、友人や家族と旅行に出かける 等、いつもとは違う状況になりがちです。このような場合、ウイルス感染や不正アクセス等 の被害が発生した場合に対処が遅れてしまったり、SNSへの書き込み内容から思わぬ被害が 発生したり、場合によっては関係者に対して被害が及ぶ可能性があります。最近では外出 自粛等の影響により、逆に家でパソコンなどを利用する時間が長くなり、ウイルス感染や ネット詐欺被害のリスクが高まることも考えられます。 これらのような事態とならないよう、(1)企業や組織の管理者、(2)企業や組織の利用者、 (3)個人の利用者、のそれぞれの対象者に対して取るべき対策をまとめています。 また長期休暇明けはメールが溜まっている事が想定されますので、不用意に不審なメール の添付ファイルを開かない、不用意に本文中のURLにアクセスしないように注意して ください。 詳しくは以下をご覧ください。 長期休暇における情報セキュリティ対策 |
注意喚起 |