2024/01/15
安心相談窓口だより
IPAの情報セキュリティ安心相談窓口に寄せられる相談内容などをもとに、情報セキュリティに関するさまざまテーマをピックアップして紹介しています。
被害にあった際の対処や被害にあわないための自己学習や普及啓発の資料などとして活用してください。2023/09/12
ブラウザの通知機能から不審サイトに誘導する手口に注意
パソコンやスマートフォンでブラウザを起動中に、「<コンピュータが危険にさらされている>、<携帯をクリーンアップしてください>などのメッセージが繰り返し表示される」、またその表示画面から「不審なセキュリティソフトの購入や、不審なスマートフォンアプリのインストールに誘導された」といった相談が寄せられています。
2023/08/31
コンピュータウイルス・不正アクセスに関する届出について
1990年4月に通商産業省(現経済産業省)が告示した「コンピュータウイルス対策基準」、および1996年8月に同省が告示した「コンピュータ不正アクセス対策基準」(両基準の最終改定は2000年12月28日)に基づき、IPAでは国内のコンピュータウイルス(以下、ウイルス)の感染被害やコンピュータ不正アクセス(以下、不正アクセス)被害の届出を受け付けています。
ウイルス感染被害の拡大や再発の防止、不正アクセス被害の実態把握や同様の被害発生の防止に役立てるため、届出にご協力をお願いします。2023/08/30
暗号鍵管理ガイドライン
実際の暗号システムがセキュアに動作し続けるためには、暗号アルゴリズム自体がセキュアであるだけでは不十分で、データが保護される期間中、その暗号アルゴリズムが使用する暗号鍵もセキュアに管理されている必要があります。そのため、暗号鍵やデータのライフサイクルを踏まえた運用、安全な暗号鍵の保管、暗号鍵危殆化時の対策などを行う上で参考となるガイドラインを取りまとめています。
2023/08/30
暗号鍵設定ガイダンス〜暗号鍵の鍵長選択方法と運用方法〜
本書では、安全な暗号技術の導入の観点から、暗号技術を利用する際の鍵長の選択方法に関する一般的な考え方を解説します。実際の利用用途や利用期間、環境、コスト、その他様々な制約条件を踏まえて、必要なセキュリティ強度を満たすように鍵長を設定する上で参考となるガイドラインとして取り纏めています。
2023/08/30
暗号鍵管理 ガイダンスVer. 1
企業や個人の管理する情報を保護するために暗号アルゴリズムが広く利用されている。各暗号アルゴリズムは、それぞれの情報が必要とする機密性、完全性、認証を提供する目的で利用される。
2023/08/28
スマート工場化でのシステムセキュリティ対策事例
スマート工場化は、生産の最適化・効率化などの事業効果がある一方で、工場のネットワークをインターネットや情報システム等に接続する機会が増加するため、既存の工場設備も含めた工場システム全体のセキュリティ対策を検討する必要があります。
こうした課題を踏まえ、IPAは2022年6月に「スマート工場のセキュリティリスク分析調査 調査報告書」、経済産業省は2022年11月に「工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン」を公開してきました。今回IPAでは、工場における具体的な対策への指針を提供するため、先進的なスマート工場(スマート化を施した工場)の事例を調査して対策項目を整理した「スマート工場化でのシステムセキュリティ対策事例 調査報告書」を公開しました。2023/08/04
中小企業の情報セキュリティ対策ガイドライン
「中小企業の情報セキュリティ対策ガイドライン」(以下「本ガイドライン」)は、情報セキュリティ対策に取り組む際の、(1)経営者が認識し実施すべき指針、(2)社内において対策を実践する際の手順や手法をまとめたものです。経営者編と実践編から構成されており、個人事業主、小規模事業者を含む中小企業(以下「中小企業等」)の利用を想定しています。
2023/08/01
「情報セキュリティ10大脅威 2023」簡易説明資料(スライド形式)個人編 一般利用者向け
簡易説明資料(スライド形式)
情報セキュリティ10大脅威 2023_個人編_一般利用者向け2023/07/25
情報セキュリティ白書2023
IPAでは、「情報セキュリティ白書」を2008年から毎年発行しています。本白書は、情報セキュリティに関する国内外の政策や脅威の動向、インシデントの発生状況、被害実態など定番トピックの他、その年ならではの象徴的なトピックを取り上げています。
国内外の官民の各種データ、資料を数多く引用しトピックを解説しており、情報の網羅性と参照性の高さが特長で、情報セキュリティ分野の全体把握が容易です。2023/07/18
重要情報を扱うシステムの要求策定ガイド
IPAは、経済産業省からの要請を受けて、重要情報を扱うシステムにおけるサービスの安定供給にあたって、そのシステムのオーナーである管理者が、必要な対策を策定できる「重要情報を扱うシステムの要求策定ガイド」を公開しました。
2023/07/11
偽のセキュリティ警告に表示された番号に電話をかけないで
「パソコンがトロイの木馬ウイルスに感染している」など、パソコンに表示された偽のセキュリティ警告を信じて「サポート代金を支払ってしまった」との相談が継続して多数寄せられています。
2023/07/11
会社や組織のパソコンにセキュリティ警告が出たら、管理者に連絡
IPA情報セキュリティ安心相談窓口における、パソコンのブラウザ画面に表示される「偽セキュリティ警告(別名:サポート詐欺)」の手口(図1)に関する相談件数が継続して増加しています。月間相談件数が、2023年5月は過去最高の446件となりました(図2)。また、最近では、組織や企業においてもサポート詐欺の被害にあったという報道を目にするケースがあります。数は少ないですが当相談窓口にも組織や企業からも当該被害に関する相談が寄せられています。
2023/07/01
スマート工場のセキュリティリスク分析調査
IoT機器(LPWA、WiFi等の無線を含む)、クラウド、AI・ビッグデータ活用等により、生産性、設備稼働率、品質および保守性等の向上を図る「スマート工場化」を検討中、または、実施中の企業が、スマート工場化に伴って発生するセキュリティリスクを正しく把握し、対策しやすくすることを目的として実施した調査です。
方法としてはまず、実際にスマート工場化を行っている事業者にヒアリングし、スマート工場化の形態(目的、業務運用およびシステム変更内容)を類型化した実装モデルを作成しました。次に検証した実装モデルに対し、セキュリティリスク分析を実施し、リスクの特定と対策案の提示を行い、スマート工場化に必要なセキュリティ上の留意事項を明らかとした報告書を作成しました。
実装化モデルは、他業界を含む重要インフラ事業者で活用できる汎用的な内容を目指しました。2023/06/08
遠隔操作ソフト(アプリ)を悪用される手口に気をつけて!
偽のセキュリティ警告に表示された番号に電話をかけることで遠隔操作ソフトのインストールに誘導され遠隔操作ソフトが悪用される手口について注意喚起(注釈1)を行ってきました。
2022年7月以降スマートフォンにおいて、「簡単に稼げる」などとうたった広告やSNSで届くDMから副業のあっせん業者に連絡すると、副業の説明に必要なアプリなどと称して遠隔操作アプリのインストールに誘導され、高額な契約を交わされて遠隔操作を受けながら複数の消費者金融に借り入れをさせられて被害に遭ったという相談が寄せられています。2023/05/30
情報セキュリティ10大脅威 2023 知っておきたい用語や仕組み
本書では、パソコンやスマートフォン、インターネットを安全に利用するための対策をとる上で、ぜひ知っておきたい用語や仕組み(技術名称やサービス名称等)をいくつかピックアップし、それらについての概要やよくある疑問点等を解説します。
2023/05/23
情報セキュリティ教材
情報セキュリティに関する啓発・教育の機会を活性化させるため、スマートフォンやパソコン等の情報端末を使い始めて間もない方(初心者)向けの啓発に利用可能な教材を公開しております。
2023/04/25
令和4年度中小企業等に対するサイバー攻撃の実態調査
本調査は、サプライチェーン全体のサイバーセキュリティ対策強化のために必要な対策や、その実装に向けて有効な業界全体としての取組みの検討に供する目的のもと、外部からの情報窃取や取引先企業への攻撃の足掛かりとしてのサイバー攻撃を受けるおそれが大きいと考えられる経済安全保障上重要となるサプライチェーン上の中小企業を対象に、ネットワーク環境・セキュリティ対策の状況について把握した上で、ネットワーク及び端末における異常を監視する等により攻撃の実態(数・手法・被害に遭った場合の影響など)について調査・分析を行い、調査実施報告書としてまとめました。
2023/04/17
組織における内部不正防止ガイドライン
本ガイドラインは、内部不正防止の重要性や対策の体制、関連する法律などの概要を平易な文体で説明しており、「基本方針」「資産管理」「技術的管理」「職場環境」「事後対策」等の10の観点のもと、合計33項目からなる具体的な対策を示しています。
IPAは、本ガイドラインによって効果的な内部不正対策が多くの組織に広がることを期待するとともに、今後も組織における内部不正の防止に向けた取り組みを推進していきます。2023/04/10
インターネット安全教室
テレワークやオンライン授業などの活用が急速に進み、インターネットを利用する機会が増えている今、改めて情報モラル・セキュリティに注意することが求められています。
IPA(独立行政法人情報処理推進機構)は、情報セキュリティの基礎的な知識だけでなくリテラシーの向上を目指し、インターネット安全教室事業を実施しています。2023/04/06
企業の内部不正防止体制に関する実態調査
企業が保有する営業秘密などの重要情報の保護は企業経営上の重要な課題であり、内部不正による情報漏えいの防止に資するため、IPAでは2022年4月に「組織における内部不正防止ガイドライン」を第5版に改訂し、近年の環境変化を踏まえた対策を加えた情報提供を実施しています。一方で、内部不正による情報漏えいに係る企業の課題認識、対策状況、マネジメント体制等の実態は必ずしも明らかにはなっていません。このたびIPAでは、企業の対策・体制に関する実態を把握し、各企業における今後必要とされる有効な施策立案に資するための調査を行いましたのでその結果を公開します。
2023/03/28
偽セキュリティ警告(サポート詐欺)の月間相談件数が過去最高に
パソコンのブラウザ画面に表示される「偽セキュリティ警告(別名:サポート詐欺)」の手口(図1)に関する月間相談件数が、2023年1月は過去最高の401件となりました(図2)。被害拡大防止のため、改めて本窓口だよりにて注意喚起を行います。
2023/03/16
情報セキュリティ10大脅威 2023
「情報セキュリティ10大脅威 2023」は、2022年に発生した社会的に影響が大きかったと考えられる情報セキュリティにおける事案から、IPAが脅威候補を選出し、情報セキュリティ分野の研究者、企業の実務担当者など約200名のメンバーからなる「10大脅威選考会」が脅威候補に対して審議・投票を行い、決定したものです。
2023/03/01
「情報セキュリティ10大脅威 2023」簡易説明資料(スライド形式)個人編
簡易説明資料(スライド形式)
情報セキュリティ10大脅威 2023_個人編2023/03/01
「情報セキュリティ10大脅威 2023」簡易説明資料(スライド形式)組織編
簡易説明資料(スライド形式)
情報セキュリティ10大脅威 2023_組織編2023/02/28
情報セキュリティ10大脅威 2023 セキュリティ対策の基本と共通対策
本資料は、情報セキュリティ対策の基本と共通対策について、「情報セキュリティ 10大脅威 2023」版対応として取りまとめています。
2023/02/28
情報セキュリティ10大脅威の活用方法
本資料では、『10大脅威 2023』に示した脅威と対策の解説書を活用しながら、組織や個人にとって脅威と対策を検討するための具体的な方法を紹介する。
2023/02/16
2022年度情報セキュリティに対する意識調査
「情報セキュリティに対する意識調査」は2005年から脅威調査を、2013年から倫理調査を実施しています。前者は、一般国民のサイバーセキュリティにおける脅威の認識と対策の実施状況を、後者はネットモラルに対する現状把握などのため、実施しているものです。
今年の本調査は2020年度に行った質問項目などの大幅な仕様変更後、3ヵ年目の調査であり、2021年度に行った、集計および報告書における職業・属性の分類表記の見直し(会社員、公務員・団体職員、教職員などの職業分類を「IT関連業務に従事しているか否か」で区分けし集計、表記)を踏襲し実施しました。2022/11/11
ランサムウェア対策特設ページ
ランサムウェアとは、「Ransom(身代金)」と「Software(ソフトウェア)」を組み合わせた造語です。感染したパソコンに特定の制限をかけ、その制限の解除と引き換えに金銭を要求する挙動から、このような不正プログラムをランサムウェアと呼んでいます。
IPA情報セキュリティ安心相談窓口でも2015 年以降、パソコンに保存されているファイルを暗号化し、元の状態に戻すことと引き換えに金銭を要求するランサムウェアに関する相談が多く寄せらるようになりましたが、2017年5月以降にはネットワークを介して攻撃パケットを送出することで感染拡大を図る新たなタイプが猛威を振るいました。
今後も更なるランサムウェアの脅威が考えられることから、本ページにランサムウェア対策に必要となる情報を集約し、ランサムウェア特設ページとして開設することとしました。2022/10/31
国税庁をかたる偽ショートメッセージサービス(SMS)や偽メールに注意
宅配便業者や通信事業者をかたる偽ショートメッセージサービス(以下SMS)の手口やフィッシングメールの手口について取り上げてきました(注釈1 )。本手口に関する相談は継続して寄せられていますが、8月頃から国税庁をかたった偽SMSや偽メールが確認されています。
2022/10/25
スマートフォンで偽のセキュリティ警告からアプリのインストールへ誘導する手口に注意
「スマートフォンでウェブサイトを閲覧中に突然『ウイルスを検出した』などのセキュリティ警告が表示された」という相談が寄せられています。偽のセキュリティ警告の指示に従って操作を進めると、アプリのインストールへ誘導される手口です。
2022/10/25
スマートフォンの偽セキュリティ警告から自動継続課金アプリのインストールへ誘導する手口にあらためて注意!
「スマートフォンでウェブサイトを閲覧中に突然『ウイルスを検出した』などのセキュリティ警告が表示された」という相談が寄せられています。偽のセキュリティ警告の指示に従って操作を進めると、アプリのインストールへ誘導される手口です。
IPAでは2016年7月に注意喚起を行いました。2018年より減少傾向にあり同年末頃からは相談件数は一桁台が続いていましたが、2019年6月以降は再び増加傾向となりました。
2021年頃より再びAndroid端末に関する手口の相談の割合が増えているため、あらためて、これまでに確認されている手口と、被害に遭わないための対策について解説します。2022/07/06
ワンクリック請求の手口に引き続き注意
IPA安心相談窓口には、アダルト系や出会い系のサイトで動画や写真などを見ようとしたときに、高額な代金やキャンセル代を請求する画面が表示される、いわゆる「ワンクリック請求(別名:ワンクリック詐欺)」(脚注1)の相談が引き続き寄せられています。
2022/06/30
企業・組織におけるテレワークのセキュリティ実態調査
2020年度調査から1年以上が経過し、テレワークにも慣れ、アフターコロナの仕事の進め方についても検討が始まった2022年2月に2020年度調査からの変化を確認するため「企業・組織におけるテレワークのセキュリティ実態調査」(2021年度調査)を実施しました。
2021年度調査では、順守状況の確認やルールの見直し等で改善が見られましたが、一方、特例や例外による一時的なセキュリティの緩和が戻っておらず、リスクの増大が懸念される結果となりました。また、情報技術関連企業が多い委託先(ITベンダ)に比べて、委託元(ITユーザ)ではテレワークにおけるセキュリティ対策の進行が遅く、差が大きくなっている様子がわかりました。2022/05/31
情報セキュリティ早期警戒パートナーシップガイドライン
IPAおよびJPCERT/CC(一般社団法人JPCERTコーディネーションセンター)は、「情報システム等の脆弱性情報の取扱いに関する研究会」(座長:土居 範久、慶応義塾大学名誉教授)での検討結果を踏まえ、情報セキュリティ早期警戒パートナーシップガイドライン(*1)(以降「ガイドライン」)を改訂し、2019年版をIPAおよびJPCERT/CCのウェブサイトで公開しました。
2022/05/23
2021年度中小企業における情報セキュリティ対策の実態調査
本調査では、全国の中小企業4074社を対象にウェブアンケートを行い、情報セキュリティ対策への取り組みや被害の状況、対策実施における課題、取引先を含む情報セキュリティ対策などを調査しました。その結果、この5年間で情報セキュリティ対策の実施状況の改善はわずかであり、依然として課題は多く、更なる対策の必要性の訴求や対策の実践に向けた支援の必要性が明らかになりました。
IPAでは2016年度に「中小企業における情報セキュリティ対策に関する実態調査」(以下、前回調査)を実施しました。本調査は2016年度の後続となる調査です。その結果、この5年間で情報セキュリティ対策の実施状況は、わずかに改善しているものの、依然として中小企業における対策実施に関する課題は多く、更なる対策の必要性の訴求や、対策の実践に向けた支援の必要性が明らかになりました。2022/05/12
不正ログイン対策特集ページ 多要素認証サービス設定手順
スマートフォンの普及およびインターネットサービスの拡大に伴い、IPA情報セキュリティ安心相談窓口には、それらサービスへの不正ログイン被害に関する相談が継続して多く寄せられています。被害動向や状況を詳細に把握するために、2017年10月より不正ログインに関する相談件数を個別に集計することとしました。2018年2月末時点で、累計104件の相談が寄せられています。今後も不正ログイン被害に関する相談が継続されると考えられることから、不正ログイン対策について情報提供を行う特集ページを開設することとしました。
本ページでは不正ログイン被害への対策として、「パスワードの作成・管理方法」と「多要素認証の設定」について情報提供を行っています。
「多要素認証の設定」コーナーには、主要な各種インターネットサービスの多要素認証の設定手順書を順次追加していく予定です。2022/04/28
中小企業向けサイバーセキュリティ製品・サービスに関する情報提供プラットフォーム構築に向けた試行環境調査
IPAでは中小基盤に関して、令和元年度において「中小企業向けサイバーセキュリティ製品・サービスに関する情報提供プラットフォーム構築に向けた実現可能性調査(以下「実現可能性調査」という。)を実施し、中小企業が製品・サービスを選ぶ際に参考となる評価項目を作成、中小企業のユーザー実証により、評価項目の有効性を検証しました。
また、令和2年度において「中小企業向け情報提供プラットフォームの在り方に関するニーズ調査(以下「ニーズ調査」という。)を実施し、中小企業へのアンケート調査並びに製品・サービスベンダーへのヒアリング調査を実施、中小基盤の在り方に関して、それぞれのニーズの整理を行いました。
本調査は、令和元年度の実現可能性調査と令和2年度のニーズ調査で得られた内容を踏まえて、中小基盤の構築を試行的に実施(以下「試行環境調査」という。)を実施し、併せてセキュリティ製品・サービスの市場調査を実施することで、中小基盤の有用性を検証した上で、中小基盤の構築上の課題の洗い出しを行い、報告書としてまとめました。2021/12/22
宅配便業者をかたる偽ショートメッセージに引き続き注意
宅配便業者をかたる偽ショートメッセージ(以下SMS)の手口について取り上げてきました。本件に関する相談は継続して寄せられています。
2021/12/22
宅配便業者に加えて通信事業者をかたる偽ショートメッセージサービス(SMS)が増加中
宅配便業者をかたる偽ショートメッセージサービス(以下SMS)の手口について取り上げてきました(脚注1)。本手口に関する相談は継続して寄せられていますが、最近の相談内容からは通信事業者をかたった偽SMSの出現や、被害につながる手口の変化が確認されています。
そこで、本窓口だよりでは、これまでの窓口だよりで解説してきた内容と、最近確認されている相談内容を集約し、手口、影響、対処と被害にあわないための対策についてあらためて解説します。2021/12/07
TLS暗号設定ガイドライン
「TLS暗号設定ガイドライン」は、TLSサーバの構築者や運営者が適切なセキュリティを考慮した暗号設定ができるようにするためのガイドラインです。
「様々な利用上の判断材料も加味した合理的な根拠」を重視して、TLS通信での実現すべき安全性と必要となる相互接続性とのトレードオフを考慮した3つの設定基準(「高セキュリティ型」「推奨セキュリティ型」「セキュリティ例外型」)を設けており、各々の設定基準に対応して、TLSサーバで設定すべき具体的な要求設定(「遵守項目」と「推奨項目」)を決めております。2021/11/16
偽のセキュリティ警告によって有償の「ソフトウエア購入」や「サポート契約」をしてしまう相談が増加中
2006年5月に「偽セキュリティソフト」の手口について初めて注意喚起を行いました。(脚注1)この手口は「パソコンがウイルスに感染している」等、偽の警告画面をパソコンに表示させ、最終的に有償ソフトウエアの購入に誘導するものです。その相談件数に増減はあるものの、現在も継続して相談が寄せられています。
2021/09/21
メールの見かけ上の送信元情報を安易に信じないで
不審メール(フィッシングメール(脚注1)、迷惑メール、偽セクストーションメール(脚注2)など)に関する相談は、継続して多く寄せられています。
相談の中には、「メールの『送信元情報』がいつも利用しているサービス名やメールアドレスであった為、URLをクリックしてサイトにアクセスし、情報を入力してしまった」という内容も少なくありません。
また金銭を恐喝する偽セクストーションメールが、自分のアドレスから送られているように見えることに不安を感じる方もいらっしゃいます。
不審メールの見かけ上の「送信元情報」は偽装されている場合があるため、一般ユーザがその情報を見て真偽の判断をすることは困難です。
そこで、今回の安心相談窓口だよりでは、メールの「送信元情報」の偽装について、事例をもとに説明を行います。2021/09/14
アプリのアクセス権限を確認しましょう
「スマートフォンの情報がもれているのではないか?」と心配するご相談を多くいただいています。
そのようなご心配に関して、スマートフォンにアプリをインストールする時や使用中に、アプリのアクセス権限許可を求めるポップアップが出てきた際、安易な「許可」をしないことが大切なポイントとなります。
「アプリのアクセス権限」を許可するときは、「本当に必要なのか?」という十分な注意が必要です。2021/09/08
性的な映像をばらまくと恐喝し、仮想通貨で金銭を要求する迷惑メールに注意
2018年7月以降、「アダルトサイトを閲覧しているあなたの姿をウェブカメラで撮影した。家族や同僚にばらまかれたくなければ仮想通貨で金銭を支払え」というメールを受信したという相談が多く寄せられています。これは性的な映像をばらまくと脅すセクストーションの一種で、支払いを仮想通貨で要求するものです。
本手口に関して、現在でも引き続き多数の相談が寄せられており、2021年3月21日に確認した文面を図6として追記しました。2021/09/08
性的な映像をばらまくと恐喝し、仮想通貨で金銭を要求する迷惑メールに注意
2018年7月以降、「アダルトサイトを閲覧しているあなたの姿をウェブカメラで撮影した。家族や同僚にばらまかれたくなければ仮想通貨で金銭を支払え」というメールを受信したという相談が多く寄せられています。これは性的な映像をばらまくと脅すセクストーションの一種で、支払いを仮想通貨で要求するものです。
本手口に関して、現在でも引き続き多数の相談が寄せられており、2021年3月21日に確認した文面を追記しました。
文面の日本語の不自然さが無くなってきていますが、以前と同様に内容に信憑性があるものではありませんので、メールは無視して削除して下さい。
本手口で、支払いに応じなかったために映像等がばらまかれたなどの事例は当窓口では1件も確認されていませんので、騙されないようにしてください。2021/08/31
URLリンクへのアクセスに注意
偽サイトや不審サイトにアクセスして、大事な情報をサイトに入力した、不審なアプリをサイトからインストールした、という相談が多く寄せられています。
そのような偽サイトや不審サイトへの誘導方法としては、メールやSMSを不特定多数にばらまく手法が従来からの代表的な手口です。しかし、最近では、それ以外の方法により偽サイトや不審サイトへ誘導する手口に関する相談も増えてきています。2021/06/23
安易に運転免許証など本人確認書類の写真を送信しないで
2018年より宅配便業者をかたる偽ショートメッセージ(以下SMS)の手口に関する相談が継続して多数(約4,500件)寄せられており、注意喚起を繰り返し行ってきました。
2021/06/15
2022年6月「Internet Explorer」サポート終了へ サポートが終了したブラウザを使うリスク
2022年6月16日(日本時間)に、マイクロソフト社が提供しているウェブブラウザである「Internet Explorer」(インターネット エクスプローラー)のサポートが終了することが発表されました。
2021/05/27
iPhoneに突然表示される不審なカレンダー通知に注意
2020年1月から3月にかけて、「iPhoneのカレンダーから、ウイルス感染しているという通知が出る」、「iPhoneのカレンダーに、身に覚えのないイベントが入っている」といった相談が複数件寄せられました。同年7月には55件と増加し、その後も継続して相談が寄せられいます。
2021/02/10
Facebookのメッセンジャーに届く動画に注意
「Facebookのメッセンジャーで友達から動画が送られてきた」という相談が、2020年1月以降で累計39件寄せられており、そのうち7月は29件と増加傾向にあります。
IPAで手口を確認したところ、動画のメッセージは友達が乗っ取り被害を受けて送信されたものと考えられ、動画のようなメッセージをタップしても動画は再生されず、Facebookのアカウント情報を詐取する偽ページが表示されました。2020/11/25
遠隔操作を他人に安易に許可しないで
2016年6月に「パソコンがウイルスに感染している」など、偽の警告画面から電話をかけさせるように仕向けたうえで、遠隔操作による有償サポート契約に誘導する手口について注意喚起を行いました。
現在も継続して偽の警告画面から遠隔操作に誘導する手口についてのご相談が寄せられています。
最近では、遠隔操作をさせたことにより、「契約を断ったら、パソコンが再起動しなくなった。」、「パソコンがロックされて使えなくなった。」など、より悪質な手口も確認しています。2020/08/20
事業継続を脅かす新たなランサムウェア攻撃について
2018年~2019年頃より、明確に標的を企業・組織に定め、身代金を支払わざるを得ないような状況を作り出すため、次の2つの新たな攻撃手口を取り入れる攻撃者が現れています。
1.人手によるランサムウェア攻撃 (human-operated ransomware attacks)
2.二重の脅迫 (double extortion)
この新たなランサムウェア攻撃について、海外で多数の企業・組織の被害が報道されており、国内の企業・組織でも被害が確認されています。1万台を超えるマシンが攻撃されたり、数TB(テラバイト)ものデータが窃取されたりといった事例があり、身代金として要求されるのは、数千万円から数億円の規模となっています。
この攻撃は、組織の規模の大小、扱っている情報の機密性等に関わらず、ITシステムにより事業が成り立っている、あらゆる企業・組織が標的となりえます。経営層やIT・セキュリティを担当する部門において、事業の継続を脅かすような大規模な被害が生じ得る脅威として認識し、対策を検討してください。2020/04/28
ソフトウェアのダウンロードは信頼できるサイトから
「ビデオ通話をするために『Zoom(脚注1)』をサイトから入手したはずだったが、インストール後に出てきた画面のボタンを押したらセキュリティ警告画面が表示された」といった相談が複数件寄せられています。
これは、インストールしたものが同名の別ソフトウェアであり、また、そのソフトウェア内からアクセスするURLの一部が偽のセキュリティ警告を表示するサイトになっていたことで、起きた事象です。2020/02/20
宅配便業者をかたる偽ショートメッセージに関する相談が急増中
「佐川急便をかたるショートメッセージサービス(以下SMS)から偽のサイトに誘導され、スマートフォンに不審なアプリをインストールしてしまった」という相談は今年1月5件、2月3件、4月1件と、これまでわずかでした。しかし、7月の中旬から急増し7月の1か月間で110件にのぼりました。
2020/02/20
宅配便業者をかたる偽ショートメッセージに関する新たな手口が出現し、iPhoneも標的に
佐川急便をかたる偽ショートメッセージ(以下SMS)について取り上げました(脚注1)。本件に関する相談は7月に急増したあと継続して寄せられており、10月には再度急増し11月はそれをさらに上回っています。また、偽のSMS内のURLから誘導される佐川急便の偽サイトでの手口に変化が見られます。
2020/02/20
宅配便業者をかたる偽ショートメッセージで、また新たな手口が出現
佐川急便をかたる偽ショートメッセージ(以下SMS)について取り上げました。本件に関する相談は継続して寄せられており、さらに、新しい手口が確認されました。
2019/12/24
App Store以外の配信アプリによるセクストーション被害を確認
セクストーション(性的脅迫)に関する相談事例の紹介や注意喚起を行ってきました。
セクストーションとは、「sex(性的な)」と「extortion(脅迫)」を組み合わせた造語で、被害者のプライベートな動画や写真を入手して、それをばらまくなどと脅して金銭などを要求する手口を意味します。
セクストーション被害の相談は、2014年7月から累計で86件寄せられており、そのうち2019年は12月23日時点で17件です。2018/10/31
大学におけるウェブメールサービスを狙ったフィッシングメールに注意
2018年4月から6月にかけて、大学のウェブメールサービスを狙ったフィッシング被害が相次ぎました。同時期に、当機構へも数件届出がありました。7月、8月にも被害を確認しており、今後も引き続き注意が必要であると考えます。
被害のあった大学による公開情報、および当機構への届出内容をもとに、今回の手口と被害、および利用者とシステム管理者における対策について解説します。2018/01/22
2020年1月にWindows 7、Windows Server 2008の延長サポート終了 ~サポートが終了したOSの使用継続のリスク~
2020年1月14日(米国時間)に、マイクロソフト社が提供しているOS Windows 7、およびWindows Server 2008の延長サポートが終了します。
延長サポート終了後は、当該OSに新たな脆弱性が発見されても更新プログラムが提供されません。そのため、サポートが終了したOSの使用継続は、ウイルス感染や不正アクセスによる情報漏えい、金銭被害などのリスクが高まります。2016/12/21
SNSで公開している誕生日などの情報を使ったパスワード設定は推測されやすくNG
IPAが12月20日に公開した「2016年度 情報セキュリティの脅威に対する意識調査(脚注1)」では、“誕生日など推測されやすいパスワードを避けて設定している”のは年々減少傾向で、全体の47.0%でした。この結果から、実に半数以上がパスワードに誕生日などの推測されやすい情報を利用していることになります。
利用しているサービスへの不正アクセス被害を防ぐために、次に挙げるような観点で対策を実施してください。2016/08/03
不正ログイン被害の原因となるパスワードの使い回しはNG
2016年8月1日、JPCERTコーディネーションセンターがパスワードリスト攻撃による不正ログイン被害の軽減を目的とした「STOP!!パスワード使い回し!!キャンペーン2016」を開始しました(脚注1)。同キャンペーンは過去にも実施されていますが、最近でもパスワードの使い回しが原因とされるフリーメールへの不正ログインの新たな手口が確認されました(脚注2)。このように不正ログインの相談は常にIPAに寄せられています。