〇 OS、アプリケーション、アンチウイルスのデータベース等を常に最新の状態に保つ
〇 UTM導入等によるネットワーク全体の防御を行う
– 1/24号 目次 –
01. Googleが10月に発表した「メール送信者のガイドライン」、2月より適用開始…SPF・DKIM・DMARCその他の適切な設定、運用を
02. IPA、「情報セキュリティ10大脅威 2024」公開…個人・組織とも顔ぶれは昨年同様
03. 「あなたのスマホにウイルスが…」IPA騙る電話に注意喚起
04. 攻撃者が大企業より小規模な非営利団体を狙う5つの理由
Googleが10月に発表した「メール送信者のガイドライン」、2月より適用開始…SPF・DKIM・DMARCその他の適切な設定、運用を
– 2023年10月にGoogleが発表した「メール送信者のガイドライン」について、2月以降適用が開始される予定となっています。
– ガイドラインでは個人のGMailアカウント、即ち@gmail.com宛に、特に1日あたり5,000通以上のメールを送信する相手に対し「1. 送信メールを認証すること」「2. 未承諾のメールまたは迷惑メールを送信しないようにすること」「3. 受信者がメールの配信登録を容易に解除できるようにすること」を義務付けるとしています。
– 1. についてはSPF(メール送信に使用するサーバー・IPアドレスの申告)・DKIM(メールデータに対する署名)・DMARC(SPF・DKIMでの検証に失敗したメールの取り扱いの指定)等の設定、2. については迷惑メール率を一定の割合未満に抑えること、3. についてはマーケティング目的等のメールについてワンクリックで配信解除できる機構を用意し、メールヘッダーにリンクを記載することを挙げています。
– 大手メールサービスでは米Yahoo!も2023年10月に同様のガイドラインを発表し、2024年第一四半期に適用を予定しています。
AUS便りからの所感
要件は「1日あたり5,000通以上」の場合とそれに限らないものがあるとはいえ、最大手のメールサービスであり、顧客ユーザーが利用している可能性は決して皆無ではないと考えれば、一通りの対応があらゆる組織において必須となるとみられます。
2023年12月には、メールの送信にTLS接続を行うことが追加される等、ガイドラインの内容は変動する場合があり、また技術者にとっても複雑な面があることから、メールサービスを提供する業者等が解説を行っている記事も多く発表されており、それらを読み取って理解すべき場面も出てくると思われます。
メールサーバーを提供するレンタルサーバー・ドメインサービスを契約して運用する組織も多いと思われますが、事業者によって特にDKIM・DMARCの対応状況は依然まちまちであり、1月末に提供が開始されるケースもある等しており、利用しているサービスでの状況や自前で取るべき対応の有無について調査、取りまとめる必要があるでしょう。
また2. について、自組織ドメイン名での迷惑メール率を上げないためには、マルウェアや不正アクセスによる内部ネットワークからのなりすましメールを送信されないようにすることも考慮が必要であり、個々のPCへのアンチウイルスの導入はもちろん、メールサーバーやUTMによる不審なメールの送信を阻止する機構も検討に値します。
IPA、「情報セキュリティ10大脅威 2024」公開…個人・組織とも顔ぶれは昨年同様
– 1月24日(日本時間)、IPAより「情報セキュリティ10大脅威 2024」の概要が発表されました。
– 2023年に発生した、社会的に影響が大きかったと考えられる情報セキュリティにおける事案から、IPAが脅威候補を選出し、情報セキュリティ分野の研究者、企業の実務担当者等約200名によって、個人と組織それぞれのカテゴリーでの10大脅威を決定しています。
– 今回、「順位が高い脅威から優先的に対応し、下位の脅威への対策が疎かになることを懸念」し、個人向け脅威については順位付けは行っておらず、「順位に関わらず自身に関係のある脅威に対して対策を行う」ことを期待しているとのことです。
– 今後、2月下旬に10大脅威に関する詳細の解説書が発表される等、追加コンテンツが随時公開される予定となっています。
AUS便りからの所感
個人・組織各カテゴリーとも挙げられた脅威は全て昨年と同様、かつ過去に2回以上登場したものとなっており、組織向け脅威のランキングは1・2位は昨年同様「ランサムウェアによる被害」「サプライチェーンの弱点を悪用した攻撃」、また3・4位は昨年と順位が入れ替わって「内部不正による情報漏えい等の被害」「標的型攻撃による機密情報の窃取」となっています。
12月にはJNSAから「2023セキュリティ十大ニュース(https://www.jnsa.org/active/news10/ )」も発表されており、年末年始や半期・四半期において、大手セキュリティベンダーや関連団体等から、各組織の立ち位置・観点等の違いを少なからず反映した年間のセキュリティ関連ニュースのまとめ、あるいは翌年度等における業界の動向予測等がリリースされますので、自分自身や自組織に関連するもの以外であっても各種脅威について知識を得る、あるいは以前に得た知識が正しいかの再確認をし、今後の行動に役立てるのが良いでしょう。
「あなたのスマホにウイルスが…」IPA騙る電話に注意喚起
– 1月11日(日本時間)、情報処理推進機構(IPA)より、同組織を騙る不審な電話が確認されたとして注意喚起が出されています。
– 注意喚起によれば、電話は「あなたのスマートフォンにウイルスが入っているため情報処理推進機構で解析をしている」といった虚偽の説明を行い、金銭を要求するとされています。
– IPAでは、個人のスマートフォン等を解析したり、それに対し金銭支払いが発生するということは一切ないとしており、不審な電話を受けた場合はIPA情報セキュリティ安心相談窓口や警察署まで連絡するよう呼び掛けています。
https://www.itmedia.co.jp/news/articles/2401/12/news094.html
https://www.ipa.go.jp/news/2023/announce/ex20240111.html
AUS便りからの所感
挙げられている不審な電話の例としては、この他にも政府機関や弁護士事務所の名前を騙ったり、「個人情報なので誰にも相談しないように」等と口止めを図るものもある模様です。
フィッシングやサポート詐欺等、金銭や個人情報を詐取しようとする手口はIPAやセキュリティ関係組織等から度々報告されていますが、今回の手口がたとえWeb・メール・SMSを利用しない特殊詐欺(振り込め詐欺)の一種であったとしても決して油断せず、普段からどんな攻撃・詐欺の手口が行われているかの情報収集を行いつつ慎重に行動することが重要です。
攻撃者が大企業より小規模な非営利団体を狙う5つの理由
– 1月17日(現地時間)、セキュリティベンダーの米クラウドストライク社より、攻撃者は大企業よりも小規模な非営利団体をターゲットにする、またこれにより非営利団体にとって致命的な被害に繋がるケースがあるとするレポートが発表されました。
– レポートでは、小規模な非営利団体がターゲットになる理由として「サイバー攻撃への防衛が(財政的な制約により)手薄なことを攻撃者は知っている」「低予算のため旧式のPC・OSを利用しているケースが多く(企業・個人から寄付されたPCを利用するケースも)、セキュリティ研修も不足している」「Webサイトで商品・サービスを販売し、購入情報をネットワーク上で管理しており、攻撃者にとってより価値の高いデータを獲得できる可能性がある」「団体が掲げる信条から、政治団体やテロリストの標的になる可能性がある」「より大きなターゲットへアクセスするための踏み台として利用される」の5つを挙げています。
https://dime.jp/genre/1720212/
https://www.crowdstrike.com/blog/reasons-why-nonprofits-are-targets-of-cyberattacks/
AUS便りからの所感
大きな組織がターゲットとされたり、大規模な情報流出等があったりしたものが多く報じられる陰に、中小企業の被害が多くあること、組織が認識しないまま攻撃が成功しているケースもあることは容易に想像できます。
ないような、これまで発生したサイバー攻撃においても、特に5つ目の理由のように、ターゲット組織が取引しているより大きな企業に対しサプライチェーン攻撃やビジネスメール詐欺(BEC)等を仕掛ける
レポートはアメリカないし国際的な事情を基にしたものと見受けられますが、