組織で取り扱う重要な情報は、公開サーバや内部サーバに保有されています。こうした重要な情報を取り扱うサーバを構築するインフラはオンプレミス、クラウド等、環境が多様化しており、組織にとってサーバの管理・運用は複雑化してきています。それにともない、多くの組織がサーバのセキュリティ対策強化に課題を抱えている一方で、サイバー犯罪者はサーバ上の重要情報を狙って、様々なサイバー攻撃を仕掛けてきます。
続きを読む改正個人情報保護法や割賦販売法改正など、個人情報の取り扱いに関連した法制度整備の動きが国内で進む中で、ヨーロッパ連合(EU)が制定した一般データ保護規則(General Data Protection Regulation、GDPR)が 2018年5月25日から施行されます。国内の企業にも影響があるこの制度は、本格的な施行まで残すところあと 6カ月になりましたが、果たしてどれだけの法人組織で理解と対応が進んでいるのでしょうか?
GDPRとは?
GDPR は 2016年4月に EU議会で承認、採択された規則で、欧州経済地域(EEA)内のすべての市民に関連する個人情報を保護することを義務付けている制度です。これまでヨーロッパでは、EU の前身である欧州共同体(EC)が貿易障壁撤廃を目的に制定した EUデータ保護指令が存在していました。しかし、加盟国の法制度の違いから不整合が発生するという課題を受けて、ヨーロッパ全域で調和のとれた個人情報保護に関する法制度の整備、EU圏内の個人に関する情報の保護と権利確保、組織による個人情報保護の取り扱いを整備する目的で制定されたものです。
米国の大手信用情報会社「Equifax」は、同社の情報漏えい事例が、脆弱性「CVE-2017-5638」を突いた攻撃によるものだと報告しました。この脆弱性を修正する更新プログラムは、2017 年 3 月のセキュリティ情報「S2-045」によって公開されています。不正アクセスを受けた同社顧客の個人情報は、米国で約 1 億 4,300 万人分、英国で約 40 万人分、カナダで約 10 万人分に上ります。この脆弱性が 3 月に情報公開されてから時をおかず、概念実証(Proof of concept、PoC)や脆弱性攻撃ツール、脆弱性の有無を調べるネットワークスキャナが公開されました。
トレンドマイクロでは、2017 年 3 月以来、弊社の「IPS(侵入防御システム)」製品により CVE-2017-5638 を狙う攻撃を数千回確認しています。そしてこの脆弱性を狙った攻撃とネットワークスキャン活動は、依然として確認され続けています。トレンドマイクロ製品は、正規更新プログラムが公開および適用されるまでの間、セキュリティフィルタを利用した仮想パッチにより、Apache Struts の重大な脆弱性に対して効果的に対応することが可能です。
続きを読むトレンドマイクロでは、2017 年上半期(1~6月)における国内外の脅威動向について分析を行いました。この上半期に見られたセキュリティ上の最も大きなトピックは、「WannaCry」と「Petya」という 2 種のランサムウェアによる世界的な被害だったと言えます。この 2 種のランサムウェアは脆弱性を利用したネットワークワーム活動により、法人組織のネットワークで被害を引き起こしました。特に、通常の組織内にある情報系ネットワークだけでなく、工場や病院、鉄道、販売管理システムといった業種特有環境のネットワークでも深刻な被害を発生させたことで大きな注目を集めました。
![図](/wp-content/uploads/2017/09/20170921comment01.jpg)
図 1:「WannaCry」が表示する身代金要求メッセージの例
(さらに…) 続きを読む
「BlueBorne」は、iOS、Android、Linux、Windows の Bluetoothの実装における複数の脆弱性の総称です。確認したリサーチャによると、約53億台の Bluetooth搭載機器が BlueBorneの影響を受けると推測されています。現時点(2017年9月20日時点)の対処方法として、以下の対応を検討してください。
- 幾つかの LinuxベースのOSを除き、各OS は、2017年9月19日時点、同脆弱性に対応する更新プログラムが公開されています。該当の OSの端末機器をご利用の場合、直ちに適用してください。
- 何らかの理由で更新プログラムが適用できない場合、あるいは更新プログラムが未提供の Linux端末機器をご利用の場合、Bluetooth機能をオフにしてください。