今宵のサイバーセキュリティについて気になること:サイバーセキュリティ月間、市区町村窓口におけるマイナンバーカード用電子証明書の発行等業務の停止について、サイバーセキュリティに関する総務大臣奨励賞など

Table of Contents

2023年サイバーセキュリティ月間について

Security-JAWS【第28回】 勉強会で内閣官房 内閣サイバーセキュリティセンター(NISC)基本戦略第1グループ 参事官補佐 浦川 隆志さんより #サイバーセキュリティは全員参加 に向けた施策、私からもよろしくお願い致します。

Security-JAWS 第28回レポート
https://dev.classmethod.jp/articles/security-jaws-28-report/

Security-JAWS【第28回】

市区町村窓口におけるマイナンバーカード用電子証明書の発行等業務の停止について

ゴールデンウィーク中となりますが、5月1日、2日が平日となりますので、周知頂くことをお勧めします。
停止期間:令和5年4月 29 ⽇(⼟)~5月7日(日)終日となっております。

市区町村窓口におけるマイナンバーカード用電子証明書の発行等業務の停止について

マイナンバーカードオンライン申請、2/28 WordPressのWarningメッセージから分かりやすい「お待たせメッセージ」が表示されるようになりました

先程、WordpressのWarningメッセージから分かりやすい「お待たせメッセージ」が表示されるようになりました。ご対応ありがとうございます!


経緯について

これが事実であれば、Wordpress のWarningメッセージが表示されております。wp-config.php の display_errors が ON になったままかも。
事実確認のうえサービスデザイン、そしてセキュリティ的にも見直すことをお勧めします。

Best Practices on Preventing Errors in User Interfaces

余談ですが、最良のエラーは「エラーを発生させないこと」です。
フィジビリティスタディで、同時アクセス数を想定して、例えば順番待ちの画面を検討したり。
ユーザーインタラクションの過程でユーザーがエラーを起こさないようにするためのヒントがあると思います。

Error Screens and Messages: UX Design Practices

UX デザインの実践:エラー画面とメッセージ
重要なポイント:Well-Done Errors Checklist

  • 読みやすく、わかりやすい
  • 気づきやすい
  • 建設的である
  • 効率的である
  • 丁寧で親しみやすい
  • 適切な感情表現

弊社の七條麻衣子(しちじょうまいこ)が「サイバーセキュリティに関する総務大臣奨励賞」を受賞

「サイバーセキュリティに関する総務大臣奨励賞」の受賞者の公表
https://www.soumu.go.jp/menu_news/s-news/01cyber01_02000001_00158.html

受賞理由

初心者向けのIT利用相談業務を経て、講演、研修などを通じたサイバー犯罪に関する啓発活動を積極的に行う中で、特に、大規模なセキュリティ対策活動において見逃されがちな、若年層や高齢者などの弱者が巻き込まれる事案について積極的に調査、対応、周知の活動を行っている。また、警察向けの研修を通じて、サイバー犯罪に関する住民からの相談への対応力向上を目指す我が国のサイバーセキュリティの向上に多大な貢献をしました。

「医療情報システムの安全管理に関するガイドライン第6.0版」の骨子(案)に関する御意見の募集

国民の皆様へご意見を募集しております。昨今の情勢から医療機関に対するサイバー攻撃(ランサムウェア被害)の増加が懸念されております。私からもコメントさせて頂きました。

「医療情報システムの安全管理に関するガイドライン第6.0版」の骨子(案)に関する御意見の募集について

グローバル動向

COVEWAREのFewer Ransomware Victims Pay, as Median Ransom Falls in Q2 2022レポートによれば、2019年以降、被害者支払率は76%から41%に低下、2021年9月の身代金支払い時の制裁違反の可能性に関するOFAC勧告を準拠したこと、サイバー保険は身代金の支払いに充てることを禁止しており、今後、更に金払いの良い国が狙われることが懸念されます。

国内動向

一方で、Zscalerは2022年における暗号化されたサイバー攻撃の分析結果によると、日本が標的となった件数は前年と比較して613%となっていることが報じられております。
これらのことから、非常時(サイバー攻撃)の対応における、情報セキュリティ対策の遵守すべき事項として、サイバー攻撃におけるランサムウェアなどによる身代金の支払いを禁じることや、データ復旧をベンダーへ依頼する際の透明性の確保(データ復旧プロセスや発注金額)が必要だと考えます。

「教育データの利活用に係る留意事項(第1版)(案)」に関する意見募集の実施について

国民の皆様へご意見を募集しております。情報を守るSecurityと個人情報保護より広い範囲の人格的、財産的な権利を守るPrivacy by Designについて、私からもコメントさせて頂きました。

教育データが漏洩した場合の復旧手段について、予め対策を想定しておくことを提案致します。例えば、2022年10月13日に生徒を性的表現で評価した個人情報が不特定多数に流出した札幌市内の公立中学校の男性教員の事件で、盗撮されたとみられる生徒の画像も含まれておりました。

プライバシー・バイ・デザイン 7 つの原則に基づいて、プライバシー保護の仕組みと運用が可視化され透明性が確保されること、どのような事業または技術であってもプライバシー保護の仕組みが機能することを、全ての関係者が保証すること。利用者及び提供者に可視化され検証できる必要があります。

「教育データの利活用に係る留意事項(第1版)(案)」に関する意見募集の実施について

そこで、プライバシー侵害が発生する前に、それを予防することを目的するプライバシー・バイ・デザインのアプローチでは、データそのものを集めず、ローカルで学習したモデルが持つ差分データや特徴量だけを統合する連合学習(Federated learning)を用いる方法があります。
つまり、互いに機密性の高いデータを直接共有せずに複数の組織が共同でモデルを開発することができます。

これは数あるアプローチの一つとして、教育データを持たないことで、プライバシー保護の仕組みが機能することを保証する考え方となります。

IPA 欧州規格 ETSI EN 303 645 V2.1.1 (2020-06)の翻訳の公開

重要インフラ事業者及び医療事業者においてはサイバー対策の「経営責任」が行動計画に明記されております。今後はサプライチェーンセキュリティの観点から、脆弱性の報告を管理するために保守契約を結ぶことが、善管注意義務として問われると思います。

ETSI EN 303 645 V2.1.1 (2020-06) サイバーセキュリティ技術委員会(CYBER); 民生用IoT機器のサイバーセキュリティ: ベースライン要件 [翻訳版]

経済産業省 公正取引委員会 サプライチェーン全体のサイバーセキュリティ向上のための取引先とのパートナーシップの構築に向けて
セキュリティ対策費などの名目で負担額及びその算出根拠等について明確にすること。

JC3がウェブサイトの危険性の有無について確認できるSAGICHECKを公開しました。

https://sagicheck.jp/

SAGICHECKの特徴

  • JC3より情報提供する日本語の偽ショッピングサイトは、安全ではないサイトとして表示されます。
  • ScamAdviserの確認結果に加え、他サービスの確認結果も同時に表示されます。
  • ご利用は無料です。

Xiaomi、Realme、OnePlusのAndroid OSは、地域によってプライバシーの取り扱い方が異なる研究結果が示されました。

Android OS Privacy Under the Loupe — A Tale from the East によると、Xiaomi、Realme、OnePlusの中国向けAndroid OSでは、同梱された行儀の悪いサードパーティアプリケーションが、幅広い地理情報、ユーザープロファイル、PIIを含むトラフィックを携帯電話ベンダーとサードパーティの両方のドメインに送信している模様。

一方、グローバル向けファームウェアが共有するデータは、ほとんどがデバイス固有の情報に限定されており、地域によってプライバシーの取り扱い方が異なる研究結果が示されました。

Android OS Privacy Under the Loupe — A Tale from the East

Bank of America Database, Leaked – Download!

話題となり始めたBANK OF AMERICAから400万人の顧客データが流出した可能性についてですが、この顧客データ(UserID,FirstName,BankBalance,ExpireDate,AccountType,CVV)だけでは、今のところ個人やカードを特定することは出来ません。
今後の動向に注目したいと思います。

GitHub パブリックリポジトリで利用できる無料のシークレットスキャンアラートのベータ版を発表

所有するリポジトリでシークレット スキャン アラートを有効にして、コード、問題、説明、コメントを含むリポジトリ履歴全体で「漏洩したシークレット」を通知できます。

お早めに、お試しする事をおすめします。

ATT&CK へのマッピングをガイドするオープンソースツール Decider がリリースされました。

Windows 95のプロダクトキーは1や0の連番でも突破できる超単純アルゴリズムで実装されていた

教訓として、当時のセキュリティのレベルは、約30年経過すると、とても脆弱なものに感じます。このような危殆化は進行し続けるものです。
故にセキュリティを維持、向上するための兵站は一朝一夕では成らず、その企業の未来が予測できると思います。

投稿者: 二本松 哲也

SPbD:Security&Privacy by Design Founder ー OWASP Member ー ITは人々の生活をあらゆる面でより良い方向に変化させること ー 競争原理から共創原理へ