こんにちは。株式会社SHIFT SECURITYです!
株式会社SHIFT SECURITYでは、セキュリティを身近に感じてもらおうと、Voicyにてセキュリティのニュースを紐解くラジオを配信しています。
■「今日の10分セキュリティラジオ」(提供:ScanNetSecurity / SHIFT SECURITY)
毎週月・水・金の朝7時15分より最新回を配信中!
1日10分で、気軽にセキュリティの知識を深められる番組に。そんな想いで、話題になっているセキュリティニュースやセキュリティに関する疑問を、専門家の解説を交え曜日ごとに個性豊かなパーソナリティたちがお送りしています。
(筆者も金曜を担当しています!)
https://voicy.jp/channel/1188
配信内容をまとめたものは、当社ブログでご覧いただけます。
https://www.shiftsecurity.jp/blog/
様々なニュースを扱う中で、スマートフォンのセキュリティに関する内容もありますので、ぜひご一読ください。
以下、いくつか記事をピックアップし抜粋したものです。
1・経産省、カード番号漏えい時の公表早期化に向け検討(2023.02.13)
経産省、カード番号漏えい時の公表早期化に向け検討
経済産業省は2月2日、クレジットカード決済システムのセキュリティ対策強化検討会での議論を踏まえ、取りまとめた報告書を公開した。
(記事はこちら)
クレジットカード決済のセキュリティについて議論を取りまとめた報告書が公開されています。クレジットカードのインシデントに関する情報が早期に共有されることのメリットや、クレジットカードの利用者側でできる対策について説明します。 利用者への早期の通知がもたらすメリットとして、利用者が不正利用の被害拡大を防止できることが挙げられます。 ・・・(中略)・・・クレジットカード番号等の特定ができない段階で利用者に周知・公表した場合でも、利用者自身でクレジットカード番号等が不正利用されていないかを確認し、二次被害となる不正利用の防止のための注意喚起となります。よって、事業者の社会的責任として、また消費者安全の領域では、原因不明であっても事故情報そのものについては一刻も早く伝えることが社会の総意となってきています。 クレジットカード利用者側ができる対策として、初めて使うECサイトでクレジットカード情報を入力する際は、いつも以上に注意することが必要です。 ・・・(中略)・・・プライバシーマークを取得しているか確認することがあげられます。プライバシーマーク制度とは、事業者が個人情報の取扱いを適切に行う体制等を整備していることを評価し、その証としてプライバシーマークの使用を認める制度です。消費者に個人情報保護の取扱いを適切に行う体制を整備していることを伝えることができます。 とはいえ、プライバシーマーク自体の不正利用も確認されており、悪意のあるサイトに対してはフィッシング詐欺で挙げられるような対策も、合わせて実施することが求められます。 |
ブログ記事URL:https://www.shiftsecurity.jp/blog/20230213
2.メールのセキュリティ「DMARC」が日本で導入が進まない背景(2023.02.06)
日本プルーフポイント株式会社は1月25日、国内企業と海外企業におけるメール認証の調査結果をもとに安全性について分析を行い、日本における現状と課題、考察をまとめ発表した。(記事はこちら)
DMARCとは、メール送信者のドメインを認証する仕組みです。認証に失敗した場合の処理はメールに書かれている送信元の管理者が決められます。 メールをはがきに例えてDMARCを説明します。宛名が間違っていると目的の相手には届きませんが、差出人が書かれていなくても、仮に間違っていても、宛名の住所には郵送されます。仮にこれを悪用すると、Aさんになりすました僕が、Bさんへはがきを送ることも簡単にできるわけです。 このなりすましを防ぐためには、はがきに書かれた差出人が、はがきを投函した本人であるか確認することが必要です。例えば、消印が押された郵便局と差出人の住所が同じ地域であれば、なりすましではないことが考えられます。ただしこれでも、Bさんがなりすましに気が付くことはできても、Aさん自身が僕の成りすましについて認識することはできません。仮にAさんが気が付くためには、差出人と消印が異なるなど、なりすましと判断されるはがきが投函された際の処理を、Aさんがあらかじめ郵便局へ届け出ることが本来求められるわけです。 ・・・(中略)・・・DMARCでは、メールに書かれている送信者がその処理を決められるため、受信者をなりすましメールから保護すると同時に、送信者がなりすまされている状況について把握することが可能となります。 ・・・(中略)・・・他国に比べてDMARC導入率が低い理由は、日本の文化が影響していることが考えられます。 仮に有効な対策だとわかっていてもガイドラインなどで示されない限り手を出さない状況を、記事では「茹でガエル的企業文化」と指摘しています。新しいことに挑戦して責任を問われるより現状維持で縮小均衡することをよしとする日本の組織風土が、セキュリティ対策についても新しい技術を導入に遅れが生じる原因となっており、そのような状況がDMARC導入率にも表れていることが考えられます。 また、攻撃者の視点で考えた場合、DMARC対応をしていることが情報収集や偵察段階で判明すれば「セキュリティ対策を怠らないターゲット」と攻撃者に思われることで、サイバー攻撃の標的になりづらいことが期待できます。このような効果が、メールのなりすまし対策に限らず、セキュリティ対策全般において、攻撃者の視点を持つことが重要視されている理由です。まさに「彼を知り己を知れば百戦殆からず」の言葉の通りですね。 |
ブログ記事URL:https://www.shiftsecurity.jp/blog/20230206
■だれにでもセキュリティがいきわたる社会を目指して
株式会社SHIFT SECURITYは、セキュリティをより身近に感じてもらうためのラジオの配信のほか、”だれにでもセキュリティがいきわたる社会”を目指しています。グループ会社である株式会社クラフとともにセキュリティ対策を十分にできない中小企業へ無償でセキュリティサービスを提供するS4を開発し、2022年9月リリースしました。
これからも、全ての人にセキュリティがいきわたる社会を目指し活動して参りますので、ご興味のある方は、ぜひこちらもご確認ください。