さよなら、Internet Explorer [セキュリティ]
長く使われてきたWebブラウザInternet Explorer(以下IE)も、いよいよ終わりの時が近付いてきています。慣れ親しんだだけあって、なかなかMicrosoft Edge(以下Edge)への切り替えに二の足を踏んでいる方もいらっしゃるかもしれません。
また「推奨ブラウザがIEのみ」という困ったWebサービス(それも法人用)もあるでしょう。そんな場合は、早め早めに対応しておかないと業務に支障が出てしまう可能性があります。
Windows10(通常版)上で動作するIEのサポート終了は今年6月15日。それ以降、Windows10でIEを使うことは高リスクです。
IEでしか動かないWebサービスは、まずEdgeのIEモードを使う体制を整えてみましょう。完全互換とはいきませんが、高い確率で再現できます。なおEdgeのIEモードは2025年10月までサポートされます。
そもそも現状のWebブラウザシェアは
Google Chrome:約61%
Edge:約17%
Safari:約8%
Fire Fox:約7%
IEのシェアはそれ以下です。読み込みスピードや性能を比べても、他ブラウザに優っている点はありません。その上セキュリティパッチが配布されないとなればIEを使い続けるメリットはなく、(愛着はあるかもしれませんが)これを機にきっぱり乗り換えるのがベターではないでしょうか。
大事なことなのでもう一度書きます。6月15日以降、IEのセキュリティパッチは配布されません。
セキュリティホールは放置されたままになりますから、仮に攻撃を受けた際の被害がどのくらいになるのか、想像したくもないほどです。
「今後社内で、またテレワーク時は自宅でも、IEを使うことは禁止」とのルールを決めるのもやり過ぎではないと思います。IEを使っている従業員が1人でもいればセキュリティリスクは残ったままですので、全員で徹底するよう説明するのも必要です。
社会保険労務士法人ヒューマン・プライム:Chiba54
また「推奨ブラウザがIEのみ」という困ったWebサービス(それも法人用)もあるでしょう。そんな場合は、早め早めに対応しておかないと業務に支障が出てしまう可能性があります。
Windows10(通常版)上で動作するIEのサポート終了は今年6月15日。それ以降、Windows10でIEを使うことは高リスクです。
IEでしか動かないWebサービスは、まずEdgeのIEモードを使う体制を整えてみましょう。完全互換とはいきませんが、高い確率で再現できます。なおEdgeのIEモードは2025年10月までサポートされます。
そもそも現状のWebブラウザシェアは
Google Chrome:約61%
Edge:約17%
Safari:約8%
Fire Fox:約7%
IEのシェアはそれ以下です。読み込みスピードや性能を比べても、他ブラウザに優っている点はありません。その上セキュリティパッチが配布されないとなればIEを使い続けるメリットはなく、(愛着はあるかもしれませんが)これを機にきっぱり乗り換えるのがベターではないでしょうか。
大事なことなのでもう一度書きます。6月15日以降、IEのセキュリティパッチは配布されません。
セキュリティホールは放置されたままになりますから、仮に攻撃を受けた際の被害がどのくらいになるのか、想像したくもないほどです。
「今後社内で、またテレワーク時は自宅でも、IEを使うことは禁止」とのルールを決めるのもやり過ぎではないと思います。IEを使っている従業員が1人でもいればセキュリティリスクは残ったままですので、全員で徹底するよう説明するのも必要です。
社会保険労務士法人ヒューマン・プライム:Chiba54
2022-05-10 17:08
最恐のマルウェア “Emotet(エモテット)! [セキュリティ]
Emotetは2014年に出現し、2019年頃に日本国内で猛威をふるったマルウェアです。
一旦収まった感染がふたたび広がり始めたのは2021年の10月頃で、今年に入ってからは爆発的に拡散されています。
※マルウェアとは「悪意のある(malicious)ソフトウェア(software)」を組み合わせた造語で、一般的にユーザーに迷惑をかける不正なソフトウェアをまとめてマルウェアと呼びます。コンピュータウイルスもここに含まれます。
「Re:会議へのご招待」「Fw:新型コロナウイルス対応に関するお知らせ」といった取引先や顧客を装ったメールが届き、本文には挨拶と過去のやり取り文(感染した端末から引用した文面)が並んでいます。そしてその多くにはパスワード付きのZIPファイルやExcelのマクロファイル(.xlsm)が添付されています。
ZIPを解凍すると、Excelの他にWordのマクロファイル(.docm)が圧縮されていることもありますが、これらファイルを解凍しただけでは何も起こりません。
現れたマクロファイルを起動し、「編集を有効にする」「コンテンツの有効化(マクロ実行)」ボタンを押すことで、一瞬にして感染してしまいます。ネット回線を通じてEmotet配付サーバーからEmotet本体をダウンロード、そして自分の名と、メールソフト内にある相手先の名、メールアドレスを使って、Emotet自身を拡散させるメールを延々ばら撒き続ける、というマクロだったのです。
一度感染してしまうと、メールのばら撒きの他、ブラウザに保存されているID、パスワードも盗み出され、その上Emotet以外のマルウェア(例:ランサムウェアによる身代金要求など)にも感染しやすくなるようPCの内部構造を書き換えられてしまいます。何より添付ファイルがマルウェア本体ではないため、UTM(統合脅威管理ゲートウェイ)やアンチウイルスソフトをすり抜けてしまうのが恐ろしいところです。
こんな時は感染が疑われますので、一般社団法人JPCERT コーディネーションセンターから感染をチェックする無料ツール「EmoCheck(エモチェック)」をダウンロード、実行をお勧めします。
結果、感染が確認されてしまった場合は、LANケーブルを抜き(Wi-Fi利用の場合は機内モードに切り替え)すぐにシステム管理者へ報告してください。
感染を防ぐ対策として、下記の項目を徹底します。
なお、Emotetに於ける添付ファイルの危険性をお知らせしましたが、添付ファイル以外にもメール本文中の不正URLをクリックすることで感染してしまう事例もあります。リンクをクリックすると、外部のWebサイトに埋め込まれているEmotetが勝手にダウンロードされる仕組みです。
一瞬にして取引先からの信頼を失いかねません。くれぐれもお気を付けください。
社会保険労務士法人ヒューマン・プライム :n54
一旦収まった感染がふたたび広がり始めたのは2021年の10月頃で、今年に入ってからは爆発的に拡散されています。
※マルウェアとは「悪意のある(malicious)ソフトウェア(software)」を組み合わせた造語で、一般的にユーザーに迷惑をかける不正なソフトウェアをまとめてマルウェアと呼びます。コンピュータウイルスもここに含まれます。
「Re:会議へのご招待」「Fw:新型コロナウイルス対応に関するお知らせ」といった取引先や顧客を装ったメールが届き、本文には挨拶と過去のやり取り文(感染した端末から引用した文面)が並んでいます。そしてその多くにはパスワード付きのZIPファイルやExcelのマクロファイル(.xlsm)が添付されています。
ZIPを解凍すると、Excelの他にWordのマクロファイル(.docm)が圧縮されていることもありますが、これらファイルを解凍しただけでは何も起こりません。
現れたマクロファイルを起動し、「編集を有効にする」「コンテンツの有効化(マクロ実行)」ボタンを押すことで、一瞬にして感染してしまいます。ネット回線を通じてEmotet配付サーバーからEmotet本体をダウンロード、そして自分の名と、メールソフト内にある相手先の名、メールアドレスを使って、Emotet自身を拡散させるメールを延々ばら撒き続ける、というマクロだったのです。
一度感染してしまうと、メールのばら撒きの他、ブラウザに保存されているID、パスワードも盗み出され、その上Emotet以外のマルウェア(例:ランサムウェアによる身代金要求など)にも感染しやすくなるようPCの内部構造を書き換えられてしまいます。何より添付ファイルがマルウェア本体ではないため、UTM(統合脅威管理ゲートウェイ)やアンチウイルスソフトをすり抜けてしまうのが恐ろしいところです。
- 送った覚えのないメールがエラーになって返ってくる
- PCが極端に重くなり、挙動がおかしい
- 取引先から「このメール何ですか?」と問い合わせが入る
こんな時は感染が疑われますので、一般社団法人JPCERT コーディネーションセンターから感染をチェックする無料ツール「EmoCheck(エモチェック)」をダウンロード、実行をお勧めします。
結果、感染が確認されてしまった場合は、LANケーブルを抜き(Wi-Fi利用の場合は機内モードに切り替え)すぐにシステム管理者へ報告してください。
感染を防ぐ対策として、下記の項目を徹底します。
- 添付ファイル(特にパスワード付き)をうっかり開かない
- 知人からのメールであっても開く前には確認する
- 「編集を有効にする」ボタンは、内容を確認するまで押さない
- マクロの自動実行機能はOFFにする
- そもそもメールにファイルを添付したやり取りをやめる(オンラインストレージを利用する)
- windowsアップデート、アンチウイルスソフトのバージョンアップは速やかに
なお、Emotetに於ける添付ファイルの危険性をお知らせしましたが、添付ファイル以外にもメール本文中の不正URLをクリックすることで感染してしまう事例もあります。リンクをクリックすると、外部のWebサイトに埋め込まれているEmotetが勝手にダウンロードされる仕組みです。
一瞬にして取引先からの信頼を失いかねません。くれぐれもお気を付けください。
社会保険労務士法人ヒューマン・プライム :n54
タグ:Emotet マルウェア
2022-03-18 10:06
自分の名前で届く、件名「申し訳ありませんが」 [セキュリティ]
久しぶりに届きました。未だにこんなもの…とうんざりですが、検索したところ、11月下旬からまた一斉に送られたようなので紹介します。冒頭文はこうです。
■それが起こったのです。ゼロクリックの脆弱性と特別なコードを使用して、Webサイトを介してあなたのデバイスをハッキングしました。
これはビットコインで支払を求める脅迫メール、不特定多数に送信されている架空請求メール。そう「詐欺」です。
■数ヶ月間、私のソフトウェアは、あなたの習慣、あなたが訪問するウェブサイト、ウェブ検索、あなたが送るテキストなどの情報を静かに収集していました。他にもまだまだありますが、これがどれほど深刻であるかを理解していただくために、いくつかの理由を挙げました。 明確に言うと、私のソフトウェアはあなたのカメラとマイクも制御しました。
嘘です。送信元が自分のメールアドレスと同じなため、あたかもハッキングしたかのように装っているだけです。
■あなたを主演とした価値あるPORNHUBビデオをいくつか作成しました。
Pornhub…カナダの無料アダルト動画サイトですね。リンクは貼らないでおきましょう。
■こちらが私からのご提案です。これを、私が希望するコンサルティング料金と名付け、これまでに集めてきたメディアコンテンツを削除したいと思います。私の適切なコンサルティング料金は、ビットコインで送金される1750ドルです。
動画を削除してほしければ約19万円をビットコインで送金しろ、が結論だそうです。こんな請求は当然無視、このメールも即刻削除、時間のあるときに自分のメールアドレスからのメールを受信拒否して終わる話ですが、初めて脅迫メールを受け取った方が慌ててしまうのも無理はありません。まずは落ち着いて、届いたメールの件名、内容文の一節を検索してください。殆どの場合は詐欺メールとしての情報がヒットするはずです。
ただし、実際にハッキングを仕掛けるウイルスは、メールや怪しいウェブサイトのあちこちに仕込まれています。カメラとマイクを制御される事態は実際に起きており、端末のセキュリティツールだけでは感染を防げない場合もあります。
メール内のリンクは気軽にクリックしない、添付ファイルを迂闊に開かないことは徹底してください。
■それが起こったのです。ゼロクリックの脆弱性と特別なコードを使用して、Webサイトを介してあなたのデバイスをハッキングしました。
これはビットコインで支払を求める脅迫メール、不特定多数に送信されている架空請求メール。そう「詐欺」です。
■数ヶ月間、私のソフトウェアは、あなたの習慣、あなたが訪問するウェブサイト、ウェブ検索、あなたが送るテキストなどの情報を静かに収集していました。他にもまだまだありますが、これがどれほど深刻であるかを理解していただくために、いくつかの理由を挙げました。 明確に言うと、私のソフトウェアはあなたのカメラとマイクも制御しました。
嘘です。送信元が自分のメールアドレスと同じなため、あたかもハッキングしたかのように装っているだけです。
■あなたを主演とした価値あるPORNHUBビデオをいくつか作成しました。
Pornhub…カナダの無料アダルト動画サイトですね。リンクは貼らないでおきましょう。
■こちらが私からのご提案です。これを、私が希望するコンサルティング料金と名付け、これまでに集めてきたメディアコンテンツを削除したいと思います。私の適切なコンサルティング料金は、ビットコインで送金される1750ドルです。
動画を削除してほしければ約19万円をビットコインで送金しろ、が結論だそうです。こんな請求は当然無視、このメールも即刻削除、時間のあるときに自分のメールアドレスからのメールを受信拒否して終わる話ですが、初めて脅迫メールを受け取った方が慌ててしまうのも無理はありません。まずは落ち着いて、届いたメールの件名、内容文の一節を検索してください。殆どの場合は詐欺メールとしての情報がヒットするはずです。
ただし、実際にハッキングを仕掛けるウイルスは、メールや怪しいウェブサイトのあちこちに仕込まれています。カメラとマイクを制御される事態は実際に起きており、端末のセキュリティツールだけでは感染を防げない場合もあります。
メール内のリンクは気軽にクリックしない、添付ファイルを迂闊に開かないことは徹底してください。
2021-12-03 14:54
ISMAPってご存じですか? [セキュリティ]
ISMAP(イスマップと読みます。)とは、経済産業省・総務省・内閣官房(内閣サイバーセキュリティセンター・情報通信技術(IT)総合戦略室)が運営する「政府情報システムのためのセキュリティー評価制度」のことで、Information system Security Management and Assessment Programの頭文字を並べた略称です。
いまや日々の業務を行う上でなくてはならないクラウドサービスですが、それまでの日本は他国と比べ、クラウドサービスのセキュリティーを評価する仕組が整っていませんでした。そこで、共通の評価基準に則ってクラウドサービスを評価する制度を検討することになったのです。
なお、審査における評価基準は1,000以上の項目があるとのこと。どんな内容なのか知りたいところですが、残念ながら詳細は明らかになっていません。
国としてクラウドサービスのセキュリティー基準が明確化されれば、行政機関のみならず、信頼できるクラウドサービスを導入したいと考えている企業にとっても重要な指針となるはずです。数多くあるクラウドサービスの中から自社は何を選ぶべきか、システム担当者は選別にたいへん苦労することでしょう。最も重要視すべき安全性は、サービスを紹介するパンフレットやプレゼンテーションだけでは計り知れず、最後まで不安が残る部分です。本当に大丈夫? 何か安全の基準となるものはないものか、と。
ここで登場するのがISMAPです。まずは「一定のセキュリティー基準が満たされている」という条件で絞り込めば、選定工数は大幅に削減できますね。何せ政府のお墨付きですから。そこから料金や使いやすさ、ヘルプデスクの充実度などでマッチングさせ、自社にふさわしいサービスを決めるのがこれからの標準スタイルになっていくのでしょう。
※ちなみに社会保険労務士法人ヒューマン・プライムが採用しているクラウドサービス「Box」はISMAPに登録されております。
ISMAPのポータルサイトはこちら
いまや日々の業務を行う上でなくてはならないクラウドサービスですが、それまでの日本は他国と比べ、クラウドサービスのセキュリティーを評価する仕組が整っていませんでした。そこで、共通の評価基準に則ってクラウドサービスを評価する制度を検討することになったのです。
なお、審査における評価基準は1,000以上の項目があるとのこと。どんな内容なのか知りたいところですが、残念ながら詳細は明らかになっていません。
国としてクラウドサービスのセキュリティー基準が明確化されれば、行政機関のみならず、信頼できるクラウドサービスを導入したいと考えている企業にとっても重要な指針となるはずです。数多くあるクラウドサービスの中から自社は何を選ぶべきか、システム担当者は選別にたいへん苦労することでしょう。最も重要視すべき安全性は、サービスを紹介するパンフレットやプレゼンテーションだけでは計り知れず、最後まで不安が残る部分です。本当に大丈夫? 何か安全の基準となるものはないものか、と。
ここで登場するのがISMAPです。まずは「一定のセキュリティー基準が満たされている」という条件で絞り込めば、選定工数は大幅に削減できますね。何せ政府のお墨付きですから。そこから料金や使いやすさ、ヘルプデスクの充実度などでマッチングさせ、自社にふさわしいサービスを決めるのがこれからの標準スタイルになっていくのでしょう。
※ちなみに社会保険労務士法人ヒューマン・プライムが採用しているクラウドサービス「Box」はISMAPに登録されております。
ISMAPのポータルサイトはこちら
2021-10-11 14:59
「ETC利用照会サービスは無効になりました」 [セキュリティ]
毎日毎日山ほど届くスパムメール『クレジットカードの利用確認』『ショッピングモールやサブスクサービスのアカウント停止案内』の中に、新顔の『ETC利用照会サービス』が紛れ込んでいました。
差出人は info@etc-milfei-jp.radio.am さん。
.amとはアルメニア共和国のドメインですね。
内容は下記の通り。
明らかなフィッシング(詐欺)メール。
本物のETC利用照会サービスのURLはこちらです。https://www.etc-meisai.jp/
私自身は車の運転をしないため詳しくはありませんが、ETC利用照会サービスでは、お客さま氏名、電話番号、クレジットカード情報(カード名義人・カード番号・有効期限・セキュリティーコード)の取得は行っていないとのことです。
お気を付けください。
社会保険労務士法人ヒューマン・プライム:n54
差出人は info@etc-milfei-jp.radio.am さん。
.amとはアルメニア共和国のドメインですね。
内容は下記の通り。
ETCサービスをご利用のお客様:
ETCサービスは無効になりました。
引き続きサービスをご利用いただきたい場合は、下記リンクより詳細をご確認ください。
下記の接続から停止原因を確認してください
https://etc-milfei-jp.radio.am
…万が一アクセスしてしまうと困るので全角で入力しています。
(直接アクセスできない場合は、手動でブラウザにコピーして開いてください)
※このメールは送信専用です。
このアドレスに送信いただいても返信いたしかねますので、あらかじめご了承願います。
※なお、ご不明な点につきましては、お手数ですが、
ETCサービス事務局にお問い合わせください。
■ETC利用照会サービス事務局
年中無休 9:00~18:00
ナビダイヤル 0570-010139
(ナビダイヤルがご利用いただけないお客さま 045-744-1372)
明らかなフィッシング(詐欺)メール。
本物のETC利用照会サービスのURLはこちらです。https://www.etc-meisai.jp/
私自身は車の運転をしないため詳しくはありませんが、ETC利用照会サービスでは、お客さま氏名、電話番号、クレジットカード情報(カード名義人・カード番号・有効期限・セキュリティーコード)の取得は行っていないとのことです。
お気を付けください。
社会保険労務士法人ヒューマン・プライム:n54
タグ:迷惑メール
2021-08-24 16:22
「いつ」「誰が」「どんな行動を」 [セキュリティ]
ログとは、PCの利用状況や通信履歴などを記録したデータです。PC上で何時何分に何のツール(ソフトウェア)を使い、どのような動作をしたかといった情報の集合体です。ブラウザを使ってWebサイトを見た時も、どのページを何分見て、どのページへ遷移したかの記録が残ります。こうした利用履歴が「ログ」です。
いま、企業や組織が最大限に力を注ぐべき課題は、インターネットやUSBメモリなどを介した個人情報・機密情報の漏えい防止。これらのリスクを未然に防ぐことが可能になるのがログ管理です。
万が一情報漏えいが発生した際には、ログを辿ることによってこれらの原因究明や、情報拡散の防止が的確に行えます。
企業で多くの人間がPCを使う場合、ログの量も膨大で、検索するにもある程度の時間が掛かってしまいます。が、専門の『ログ管理ツール』を導入すれば、何時に、誰が、どんな作業をしたのかを正確に把握でき、外部からの不正なアクセスや、何らかの問題が発生した場合の原因を探ることができます。
『ログ管理ツール』で取得できるログも様々で、主に勤怠管理や入退室管理を扱うもの、ネットワーク通信やサーバアクセスに特化したものもありますが、従業員の業務状況把握に必要なのはPC操作ログです。従業員のPCの使い方、時間の掛かり方からから業務の効率化を図れます。
ログ管理をする目的を整理し、そこから何が出来て、どんな効果が得られるかを把握された上で、導入を検討されては如何でしょうか。
ヒューマン・プライム:n54
いま、企業や組織が最大限に力を注ぐべき課題は、インターネットやUSBメモリなどを介した個人情報・機密情報の漏えい防止。これらのリスクを未然に防ぐことが可能になるのがログ管理です。
万が一情報漏えいが発生した際には、ログを辿ることによってこれらの原因究明や、情報拡散の防止が的確に行えます。
企業で多くの人間がPCを使う場合、ログの量も膨大で、検索するにもある程度の時間が掛かってしまいます。が、専門の『ログ管理ツール』を導入すれば、何時に、誰が、どんな作業をしたのかを正確に把握でき、外部からの不正なアクセスや、何らかの問題が発生した場合の原因を探ることができます。
『ログ管理ツール』で取得できるログも様々で、主に勤怠管理や入退室管理を扱うもの、ネットワーク通信やサーバアクセスに特化したものもありますが、従業員の業務状況把握に必要なのはPC操作ログです。従業員のPCの使い方、時間の掛かり方からから業務の効率化を図れます。
ログ管理をする目的を整理し、そこから何が出来て、どんな効果が得られるかを把握された上で、導入を検討されては如何でしょうか。
ヒューマン・プライム:n54
2021-07-20 18:03
ビットコインを不正に送金させようという詐欺メール [セキュリティ]
とても気易くはじまります。見ず知らずなのですが。
ちなみにメールの件名は「スマートフォン問題」でした。ざっくりしてますね。
最後には心配されてしまいました。言われなくても気をつけます。
1700米ドルというと18万円くらいですか。詐欺相場として高いのか安いのかよくわかりませんが、とにかく無視してください。 無視です。無視。
社会保険労務士法人ヒューマン・プライム:チバニアン
ちなみにメールの件名は「スマートフォン問題」でした。ざっくりしてますね。
やあ!
残念ながら、あなたのモバイルストレージについてデータ侵害がありましたことをお知らせいたします。
発生の理由について説明したいと思います。あなたがアカウントを持つ私達のウェブサイトがハッキングされました。
そのセキュリティ侵害から私はあなたのパスワードにアクセスできました。そして高度なハッキングのテクニックとブルート・フォースの使用により、私はバックアップに使用されているクラウドストレージからあなたのバックアップデータを取り出すことができました。
二段階認証でさえも、これを防げなかったでしょう。
私がダウンロードしたデータにはあなたの写真や動画、チャットの記録、文書、メール、連絡先、ネットの閲覧履歴、メモ、ソーシャルメディアの履歴、それから一部の削除済みのファイルが含まれています。
基本的に、あなたのモバイルデバイスの完全なコピーがここにあるということです。
どのようなデータでも第三者には見られたくないはずです。 そのような事態は防ぐことが可能です。 こちらが求めているものが得られない場合は、この情報をあなたに対して使用します。 私にとっては面白いメディアコンテンツ(何のことかおわかりでしょう)でも、あなたのご友人や同僚は同じ風には思わないでしょう。
私が一体何ができるのかわからないのであれば、あなたのメールアドレスや電話番号から、見られたくないプライベートコンテンツを知人に送信するとどうなるか想像してみてください。 また、あなたの閲覧履歴を利用することもできます。
その結果、あなた個人に大きな損害が生じることになります。
ですが、解決方法をお知らせします。顧問料を支払うことで私が所持するファイルを削除し、この混乱を回避できます。
支払いを受領後、こちら側のファイルは削除され、この件に関して二度とご迷惑をおかけしないことを保証します。 パスワードも変更が必要です。
ですから、シンプルな道を選びましょう。 私に1700 米ドルをビットコインで支払ってください。
ウォレットアドレスは 1k9yP2ueFiTcVwwGChde1uAZ1HbSmMSPA です。これは固有のアドレスです。支払いが完了すると直ちに知らせが入ります。
送金には2日ありますが、妥当だと思われます。ビットコインを使用して送金してください。
(送金時の為替レートに応じたビットコイン相当額)
気を付けて
最後には心配されてしまいました。言われなくても気をつけます。
1700米ドルというと18万円くらいですか。詐欺相場として高いのか安いのかよくわかりませんが、とにかく無視してください。 無視です。無視。
社会保険労務士法人ヒューマン・プライム:チバニアン
2021-06-16 19:10
便利なフリーWI-FIを利用するときの落とし穴 [セキュリティ]
テレワークが社会に定着していくにつれて、
各カフェや宿泊施設・シェアオフィスなどではフリーWI-FI付きのプランが充実するなど
何かと使う機会も多くなってきたフリーWI-FI。
外出先でもメールアドレスを登録するだけで使え、通信料の節約にもなるのでとても便利ですよね。
ところがそのフリーWI-FIには、ネットトラブルに巻き込まれる危険性も含んでいることを
皆さんはご存知でしょうか?
今回はそんなフリーWI-FIの注意点について考えたいと思います。
フリーWI-FIとは何か
近年、急速なネット通信の拡大に伴い「誰でも使える公共のインターネット回線」を
鉄道会社や自治体、宿泊施設はもちろん、コンビニやファストフード店でも利用できることがある
公衆インターネット回線です。公衆無線LAN、無料WI-FIスポットなどと呼ばれることもあります。
様々な事業者が提供するその通信回線は手軽に接続することができ、
パケット代の節約にもなることから利用したことのある方も多いと思います。
ところが、その「誰でも手軽に通信できる回線」ゆえに、
悪意のある第三者から通信を傍受されてしまう危険性があります。
特に鍵のかかっていない通信回線は通信の際に暗号化を行っていない、もしくは強度のあまり高くない暗号化通信が行われていることがあります。
そのためインターネットバンキングやクレジットカード番号を始めとする個人情報の取り扱いには注意が必要です。
そのようなネットトラブルに巻き込まれないためには、私たちがフリーWI-FIを使う前に気を付けておきたいことがあります。
・提供者のわからないフリーWI-FIは使わない。
フリーWI-FIは機器と知識さえあれば誰でも解説することができます。
そのため、リストで表示された際に「フリーWI-FI見つけた♪」と不用意に接続することは危険です。
提供者のわかる南京錠マークのついたフリーWI-FIをなるべく使うようにしましょう。
・SNSやネットバンキングなど、認証情報を送信するログイン画面などへのアクセスは避ける。
ログイン画面では必ず認証情報の入力を求められます。フリーWI-FIを使ってログインした場合には
悪意ある第三者にIDやパスワードを知られてしまう可能性がありますので、避けるようにしましょう。
・第三者に見られては困る情報の送受信はしない
上記のインターネットバンキング、SNSなどの個人情報はもちろんですが、
社外秘情報や他社に知られては困る情報の送受信にもフリーWI-FIはお勧めできません。
「それじゃ仕事にならないよ!」という方もいるかもしれませんが、
他人にそれを知られてしまうリスクを考えると、フリーWI-FIをそのまま使っての業務は
あまり現実的ではないかもしれません。
ではどうにか使えるようにする方法はないの?
リスクをまったくゼロにすることはできません。それは社内で業務にあたる上でも同じことだと思います。
しかし対策を採ることで、少しでもリスクを下げることはできるかもしれません。
![[ひらめき]](https://blog.ss-blog.jp/_images_e/151.gif)
セキュリティソフトをインストールする
運営事業者を確認し、強度な暗号化をちゃんと行っているフリーWI-FI回線を選ぶ
使わないときはフリーWI-FIを切断しておく
通信先サイトのURLが【https://~】から始まるところだけと接続する
VPNを使った暗号化通信を行うアプリを自分で入れる
このような方法を採ることで、そのまま使うよりは情報漏洩のリスクをゼロにはできなくても
少しでも下げることができるかもしれません。
またどうしても外で作業をしたい場合は、デザリング(スマートフォンを利用したネット通信)やモバイルWI-FIを利用することも、セキュリティ面では一つの解決策になるかもしれません。
長い間、テレワークの日々が続き、気分転換で自宅以外での作業をしたくなる方もいるかもしれません。
外出先での業務遂行には状況に合わせて注意が必要ですが、うまく付き合えるととても便利なツールですよね。
安心して外のフリーWI-FIを利用できる社会が、近い将来やって来ることを願います。
社会保険労務士法人ヒューマン・プライム:AT
各カフェや宿泊施設・シェアオフィスなどではフリーWI-FI付きのプランが充実するなど
何かと使う機会も多くなってきたフリーWI-FI。
外出先でもメールアドレスを登録するだけで使え、通信料の節約にもなるのでとても便利ですよね。
ところがそのフリーWI-FIには、ネットトラブルに巻き込まれる危険性も含んでいることを
皆さんはご存知でしょうか?
今回はそんなフリーWI-FIの注意点について考えたいと思います。
フリーWI-FIとは何か
近年、急速なネット通信の拡大に伴い「誰でも使える公共のインターネット回線」を
鉄道会社や自治体、宿泊施設はもちろん、コンビニやファストフード店でも利用できることがある
公衆インターネット回線です。公衆無線LAN、無料WI-FIスポットなどと呼ばれることもあります。
様々な事業者が提供するその通信回線は手軽に接続することができ、
パケット代の節約にもなることから利用したことのある方も多いと思います。
ところが、その「誰でも手軽に通信できる回線」ゆえに、
悪意のある第三者から通信を傍受されてしまう危険性があります。
特に鍵のかかっていない通信回線は通信の際に暗号化を行っていない、もしくは強度のあまり高くない暗号化通信が行われていることがあります。
そのためインターネットバンキングやクレジットカード番号を始めとする個人情報の取り扱いには注意が必要です。
そのようなネットトラブルに巻き込まれないためには、私たちがフリーWI-FIを使う前に気を付けておきたいことがあります。
・提供者のわからないフリーWI-FIは使わない。
フリーWI-FIは機器と知識さえあれば誰でも解説することができます。
そのため、リストで表示された際に「フリーWI-FI見つけた♪」と不用意に接続することは危険です。
提供者のわかる南京錠マークのついたフリーWI-FIをなるべく使うようにしましょう。
・SNSやネットバンキングなど、認証情報を送信するログイン画面などへのアクセスは避ける。
ログイン画面では必ず認証情報の入力を求められます。フリーWI-FIを使ってログインした場合には
悪意ある第三者にIDやパスワードを知られてしまう可能性がありますので、避けるようにしましょう。
・第三者に見られては困る情報の送受信はしない
上記のインターネットバンキング、SNSなどの個人情報はもちろんですが、
社外秘情報や他社に知られては困る情報の送受信にもフリーWI-FIはお勧めできません。
「それじゃ仕事にならないよ!」という方もいるかもしれませんが、
他人にそれを知られてしまうリスクを考えると、フリーWI-FIをそのまま使っての業務は
あまり現実的ではないかもしれません。
ではどうにか使えるようにする方法はないの?
リスクをまったくゼロにすることはできません。それは社内で業務にあたる上でも同じことだと思います。
しかし対策を採ることで、少しでもリスクを下げることはできるかもしれません。
セキュリティソフトをインストールする運営事業者を確認し、強度な暗号化をちゃんと行っているフリーWI-FI回線を選ぶ使わないときはフリーWI-FIを切断しておく通信先サイトのURLが【https://~】から始まるところだけと接続するVPNを使った暗号化通信を行うアプリを自分で入れるこのような方法を採ることで、そのまま使うよりは情報漏洩のリスクをゼロにはできなくても
少しでも下げることができるかもしれません。
またどうしても外で作業をしたい場合は、デザリング(スマートフォンを利用したネット通信)やモバイルWI-FIを利用することも、セキュリティ面では一つの解決策になるかもしれません。
長い間、テレワークの日々が続き、気分転換で自宅以外での作業をしたくなる方もいるかもしれません。
外出先での業務遂行には状況に合わせて注意が必要ですが、うまく付き合えるととても便利なツールですよね。
安心して外のフリーWI-FIを利用できる社会が、近い将来やって来ることを願います。
社会保険労務士法人ヒューマン・プライム:AT
2021-05-24 10:32
Windows7を使い続けるということ [セキュリティ]
2020年1月14日を以てMicrosoftのWindows7サポートが終了しました。約1年半前のことです(早いですね…)
現在弊社で稼働しているPCのOSは殆どがWindows10 Pro(一部Homeあり)。7のサポート終了前に全てのOSを入れ替えています。
新しい機能が追加されないだけでなく、更新プログラムも配布されず、脆弱性などのバグが放置されたままのOSなど、セキュリティリスクが高すぎて使うわけにはいきません。
ですが、今年4月に総務省から発表された「テレワークセキュリティに関する周知啓発と実態調査について」の結果をみると、16.9%の割合でサポート期限切れOSを使用しているとのことでした。(Windows7、8、8.1、XPを含みます)
業種別でみると、製造業が23.2%、次いで運輸業・郵便業17.7%、卸売・小売業が17.4%と高くなっています。
使い続ける理由としては、
「更新の方向で検討 32.7%」
「クローズ環境等特殊用 31.7%」
「ソフトウェアが最新OSに未対応 27.6%」
「更新中・調達中 19.5%」
となっており、恐らく時期が来れば使用率も下がってくると思われます。
しかし、繰り返しになりますが、期限切れOSを搭載したPCを使い続けることには、大きなリスクを伴います。
ウイルスに犯されてしまえば、自社のみならず、取引先の企業にまで迷惑を及ぼす危険性もあり、使用している企業はできる限り早く、現行OSを搭載したPCへ移行してください。
社会保険労務士法人ヒューマン・プライム:n54
現在弊社で稼働しているPCのOSは殆どがWindows10 Pro(一部Homeあり)。7のサポート終了前に全てのOSを入れ替えています。
新しい機能が追加されないだけでなく、更新プログラムも配布されず、脆弱性などのバグが放置されたままのOSなど、セキュリティリスクが高すぎて使うわけにはいきません。
ですが、今年4月に総務省から発表された「テレワークセキュリティに関する周知啓発と実態調査について」の結果をみると、16.9%の割合でサポート期限切れOSを使用しているとのことでした。(Windows7、8、8.1、XPを含みます)
業種別でみると、製造業が23.2%、次いで運輸業・郵便業17.7%、卸売・小売業が17.4%と高くなっています。
使い続ける理由としては、
「更新の方向で検討 32.7%」
「クローズ環境等特殊用 31.7%」
「ソフトウェアが最新OSに未対応 27.6%」
「更新中・調達中 19.5%」
となっており、恐らく時期が来れば使用率も下がってくると思われます。
しかし、繰り返しになりますが、期限切れOSを搭載したPCを使い続けることには、大きなリスクを伴います。
ウイルスに犯されてしまえば、自社のみならず、取引先の企業にまで迷惑を及ぼす危険性もあり、使用している企業はできる限り早く、現行OSを搭載したPCへ移行してください。
社会保険労務士法人ヒューマン・プライム:n54
2021-05-10 18:03
クラウドから個人情報が流出した場合の責任は? [セキュリティ]
個人を特定しうる情報(名前、住所、メールアドレス、電話番号、職業、画像…)が、利用していたクラウドストレージから流出してしまった。それも利用者のミスや悪意からではなく、サービスを提供している事業者側の不備で。
そんな時、責任はどこに発生するでしょうか。
答えは「個人情報データを預けた利用者」です。
個人情報を委託する場合は「きちんと監督しなくてはならない」との規定がありますから、業者が100%悪いので利用者に責任はない!と逃れることは出来ません。監督出来ていない以上、利用者側に責任が発生するのですね。(利用者がサービス提供事業者に損害賠償を求めるのは、また別の話です。)
そうは言っても実際問題クラウドストレージの状況を利用者が完全に監督するのは無理。ですから利用者側のセキュリティポリシーに沿った、信頼できるサービス提供事業者を選定しなければなりません。
最低限でもAES 256ビット暗号化、アクセス管理、変更不可の監査ログ、複数のデータバックアップセンターに加え、連絡が取りやすいサポート体制の整ったサービスを導入してください。
社会保険労務士法人ヒューマン・プライム n54
そんな時、責任はどこに発生するでしょうか。
答えは「個人情報データを預けた利用者」です。
個人情報を委託する場合は「きちんと監督しなくてはならない」との規定がありますから、業者が100%悪いので利用者に責任はない!と逃れることは出来ません。監督出来ていない以上、利用者側に責任が発生するのですね。(利用者がサービス提供事業者に損害賠償を求めるのは、また別の話です。)
そうは言っても実際問題クラウドストレージの状況を利用者が完全に監督するのは無理。ですから利用者側のセキュリティポリシーに沿った、信頼できるサービス提供事業者を選定しなければなりません。
最低限でもAES 256ビット暗号化、アクセス管理、変更不可の監査ログ、複数のデータバックアップセンターに加え、連絡が取りやすいサポート体制の整ったサービスを導入してください。
社会保険労務士法人ヒューマン・プライム n54
タグ:クラウドストレージ
2021-04-02 12:18
