Security News7,8月号

INDEX
今月のセキュリティトピックス
ベネッセコーポレーション個人情報漏洩事件
今月の呼びかけ
『登録完了画面が現れても、あわてないで！
～ スマートフォンでのワンクリック請求に注意！ ～』
情報セキュリティの問題にチャレンジ！
お知らせ
新製品のご紹介
今月のセキュリティトピックス
ベネッセコーポレーション個人情報漏洩事件
ベネッセ
SE自宅
シンフォーム
⑤
名簿業者
①
① 会社貸与PCからDBにアクセス
② 会員情報をダウンロード
③ 外部記憶媒体にコピー
④ 自宅に持ち帰り自PCにコピー
③
②
⑤ 名簿業者に複数回にわたり売却
④
● 容疑者のSEはデータベースへの正当なアクセス権を持っている
今回のポイント！ ● データのダウンロードをしている
● 貸与PCから外部記憶媒体へコピーして持ち出している
イーセクターなら！
容疑者のSEはデータベースへの正当なアクセス権を持っているので、
機密情報の持ち出し部分を制限します！！
1.
貸与PC(専用PC)にeSECTOR LOCK STAR-SGateを導入し、貸与PCへの
データダウンロードをさせません！
2.
貸与PC(専用PC)にeSECTOR SecureDesktopを導入し外部記憶媒体に
データを書き込みさせません！
貸与PCにダウンロードさせない、
書込みさせないの二重策でデータを持ち出させません！
eSECTOR LOCK STAR-SGateとは
本システムを経由して取り扱ったファイルは、クライア
ントPCのローカルディスクや各種外部記憶装置へ保存
することができず、印刷も禁止することができます。
外部及び内部ストレージの制御や印刷の制御など、
eSECTOR SecureDesktopとは
クライアントPCの動作を制御することが出来ます。
STOP！情報漏洩「しない！させない！持ち出させない！」
こちらもご覧ください！
1
http://www.esector.co.jp/leakprotect.html
今月の呼びかけ
『登録完了画面が現れても、あわてないで！
～ スマートフォンでのワンクリック請求に注意！～』
スマートフォンでもワンクリック
2
今月のセキュリティトピックス
パソコンのワンクリック詐欺の手法（例）
① ワンクリック請求を行うウェブサイトを閲覧しに行き、
そこにある動画を閲覧しようと再生ボタンをクリック
② ｢20才以上である｣､「業務で利用するパソコンではない」といった確認項目と共に、
｢利用規約に同意して先に進む」と書かれたチェックボックスが表示され、
それらにチェックを入れて「はい」ボタンをクリック
③ 再度、確認画面が表示されるので、そのまま「はい」ボタンをクリックして先に進む
④ 動画を再生するための手順とリンク先が示されているので、
そのままリンク先をクリックして再生ボタンをクリック
⑤ 操作の途中で「セキュリティの警告」メッセージが表示される（※図1）
動画再生手順ではこのメッセージにある「実行」ボタンをクリックするように書かれている
ここでクリックすると不正にパソコンの設定を変えられてしまう
⑥ パソコンの設定が変更されてしまうと、パソコンを起動する度にデスクトップ上に
登録完了画面が表示され、画面右上にある「×」ボタンをクリックして消しても、
数秒、あるいは数分後には繰り返し画面が表示されてしまう
⑦ 表示が消えないことに焦ったユーザが業者に連絡することで被害を受ける
※図1
スマートフォンのワンクリック詐欺の手法（例）
① インターネット検索サイトやニュースサイトから、利用者が気になったタイトルを
タップしてサイトに行き、そこにある動画を閲覧しようと再生ボタンをタップ
② 年齢を確認する画面が表示されたら、そのまま「次へ」のボタンをタップして先に進む
③ 動画は再生されず、スマートフォン内の端末情報や登録情報を取得した旨のメッセージが
表示され、メッセージ内の「OK」ボタンをタップするとメッセージが閉じられて閲覧サイトに
登録が完了した旨の画面が表示される
④ 登録完了画面に焦ったユーザが業者に連絡し被害を受ける
3
パソコンとスマートフォンのワンクリック詐欺の比較
パソコンの場合
パソコンの設定が変更されることにより、
「×」ボタンをクリックして消しても、
数秒または数分おきに登録完了画面が表示
される。
スマートフォンの場合
登録完了と記載されたウェブページが
ブラウザ上で表示されているだけ。
利用者が自分でブラウザに切り替えれば、
再度登録完了と記載されたウェブページが
表示される。
登録画面が勝手に繰り返し表示されること
はない。
注意点及び解決策
4
今月のセキュリティトピックス
情報セキュリティの問題にチャレンジ！
1
セキュリティ対策の”予防”に該当するものはどれか。
ア． アクセスログをチェックし、不正なアクセスがないかどうかを監視する。
イ． コンティンジェンシープランを策定し、訓練を実施する。
ウ． 重要ファイルのバックアップ処理を定期的に行う。
エ． セキュリティに関する社内教育を実施し、個人の意識を高める。
2
SSLの機能を説明したものはどれか。
ア． TCPとアプリケーションとの間において、クライアントとサーバ間の
認証をHandshakeプロトコルで行う。
イ． 電子メールに対して、PKIを適用するためのデータフォーマットを
提供する。
ウ． ネットワーク層のプロトコルであり、IPパケットの暗号化及び認証を行う。
エ． ログインやファイル転送の暗号通信を行う目的で、チャレンジレスポンスの
仕組みを用いてコマンド群の認証を行う。
3
電子メールで用いるデジタル署名に関する記述のうち、
適切なものはどれか。
ア． 電子メールの内容の改ざんを防ぐことはできないが、
改ざんが行われた場合には検知できる。
イ． 電子メールの内容の改ざんを防ぐことはできるが、
機密性を保証することはできない。
ウ． 電子メールの内容の機密性を保証することはできるが、
改ざんを防ぐことはできない。
エ． 電子メールの内容の機密性を保証すると同時に、
改ざんが行われた場合に修復できる。
正解＜問題①エ、問題②ア、問題③ア＞
5
お知らせ
新製品のご紹介
仮想デスクトップ環境特有の
アンチウイルスソフトウェアによる
パフォーマンス問題を解決するために
設計された専用製品！
集約率向上！
特徴
1 負荷の軽減
2 全てのハイパーバイザー対応
・CPU、メモリ使用量の大幅削減
・パターンファイル配信負荷の回避
・VMware Vsphere
・Citrix XenServer
・Microsoft Hyper-V
3 サンドボックス標準装備
4 抜群のコストパフォーマンス
パターンファイルでは検知できない未知の
プログラムの振る舞い検知が標準装備！
標的型攻撃にも有効です。
第三者独立評価機関「AV-TEST」による検知率
測定結果で2013年、年間平均第1位を獲得！
他社より高度な安全性がより低コストでご利用
いただけます。
VDI環境には、専用のアンチウイルス製品が必要です
Contact!
セキュリティプロダクトをお探しの時は・・・
6
お問い合わせ先