本日は、Google Chromeの新しいセキュリティ機能、CISAがTwitterに投稿できなくなった話、楽天モバイルがプラチナバンドを獲得した話を取り上げます。

①「Chrome」、IPアドレス秘匿化機能のテストを開始【CNET Japan】
https://japan.cnet.com/article/35210620/

おじさんから一言：Torほどではないが、誰が接続してきているのか分かりにくくするということですね。ログ分析にも影響が出てきそうなので、仕様がどこに落ち着くのかは注視しておきたいところです。

②CISA がソーシャルメディアとの連携を裁判所から禁じられる【ScanNetSecurity】
https://scan.netsecurity.ne.jp/article/2023/10/24/50138.html

おじさんから一言：脆弱性情報の収集ではお世話になっているCISA。CISAからTwitterやFacebookに投稿しちゃダメよってことなのか。本家サイトを見に行っている場合は影響ないでしょうが、Twitterの投稿をトリガーに対応していた人は業務フロー見直さないとですね。…といってもまだ現時点ではTwitterの投稿は続いているみたい。

③楽天モバイルが700MHz帯のプラチナバンド獲得、24年中にもサービス提供へ【日経XTECH】
https://xtech.nikkei.com/atcl/nxt/news/18/16153/

おじさんから一言：三木谷社長の言葉通り進んでいますね。楽天モバイルは完全仮想化クラウドネイティブモバイルネットワークとのことで、ハードウェアの入れ替えなしにソフトウェアを切り替えられるようです。１年程度でソフトウェアを用意してサービスリリースを目指しているということなのだと思いますが、サービスとしても技術面でも興味深い楽天モバイルの取り組みには今後も期待しています。

本日は、ダークウェブ取引の現状やサイバー保険の話を取り上げます。

①認証情報がダークWebで爆売れ　“ドーナツ1ダース分”払えばクラウドに侵入可能【ITmediaエンタープライズ】
https://www.itmedia.co.jp/enterprise/articles/2310/15/news010.html

おじさんから一言：流出したクラウドサービスのログイン情報が大安売り！ みなさんは買っちゃダメですよ？ Microsoft Outlookクラウドが最も狙われているということですので、お使いの方は何か不審な点を感じたら放置せず、パスワードを変更したり、覚えのない転送設定がされていないか確認したり、必要なアクションを起こすようにしてください。

②ダークWebで売買される不正プログラム　3分の1はMicrosoft製品に関連【ITmediaエンタープライズ】
https://www.itmedia.co.jp/enterprise/articles/2310/15/news009.html

おじさんから一言：Microsoft、Adobe、Fortinet、Oracle、Veeam、VMwareの製品の脆弱性を悪用する不正プログラムが取引されているとのこと。特にIPAで定期的に注意喚起が出されるMicrosoft、Adobe、Oracle製品の利用者は多いですが、それゆえ攻撃者にとってオイシイターゲットでもあります。アップデートを放置せず、すぐにアップデートできなかったとしても、少なくともいつまでにはアップデートすると計画を立てる習慣付けをお願いします。

③第2回サイバー保険は、企業をどの程度守ってくれるのか？【ZDNET】
https://japan.zdnet.com/article/35209436/

おじさんから一言：サイバー保険は有事の際に財政面では助けになるかもしれませんが、サイバー攻撃の本質的な対策にはなりません。できるところからコツコツと、サイバーセキュリティ対策を進めていくしかないですね。

本日は、顔認証についての抵抗感やサポート詐欺の手口、Googleのセキュリティプログラムに関する話を取り上げます。

①顔認証「抵抗ない」半数越える【ScanNetSecurity】
https://scan.netsecurity.ne.jp/article/2023/10/03/50020.html

おじさんから一言：これを多いと見るか、少ないと見るかですね。今後はパスワードレス認証にも関わってくることを考えると、もう少し増えてもらわないと組織で導入するには厳しいかも知れません。

一方で、安易に抵抗感がなくなるのも考えものです。本人が所持しているデバイスからのみ顔認証や指紋認証などの生体認証を許可するようにするなど、なるべくリスクを最小化することが大事です。もし、何でもかんでも生体認証でOKとしていたら、知らぬ間に怪しげなところへ生体認証情報が流出して悪用される可能性も出てくるでしょう。抵抗感も適度に維持しつつ、利便性の向上を図っていきたいですね。

②広告からサポート詐欺サイトが表示、その手口を分析【Digital Arts】
https://www.daj.jp/security_reports/34/

おじさんから一言：サポート詐欺についての概要や対処方法はIPAさんの安心相談窓口だよりの記事が詳しいですが、Digital Artsさんの記事では仕組み寄りの話をご紹介いただいていて大変興味深かったです。

サポート詐欺の手口ではWindowsのセキュリティ検知になりすましたものが大半を占めますので、Macをお使いの方に表示しても刺さらないですよね。そのあたりを考慮して、Windowsユーザの場合にしか詐欺の画面を表示しないようにして無駄玉を撃たないようにしている様子が見えてきたりと、攻撃者のみなさんも最適化を進めているようです。

③グーグル、即戦力人材育成に向けて日本語のセキュリティプログラムを提供【ITmediaエンタープライズ】
https://www.itmedia.co.jp/enterprise/articles/2310/12/news054.html

おじさんから一言：Google先生、ステキ！✨✨✨　日本リスキリングコンソーシアムに新規で登録した先着2万人は無料で受講できるとのことですので、皆様も是非ご登録を検討いただければと思います。

本日は、決済アプリで返金すると言いつつ送金させようとする新手の詐欺や、電話番号でメッセージをやり取りできるSMS、デジタル庁に関する話を取り上げます。

①ショッピングの代金、「○○ペイで返金します」という新手の詐欺に、国民生活センターが注意喚起【INTERNET Watch】https://internet.watch.impress.co.jp/docs/news/1535546.html

おじさんから一言：返金すると言うから手続きを進めていたら、気付いたらこちらが支払っていた！？というのは既出の手口だと思いますが、決済アプリを使っての手法は新しいということですかね。処理に失敗したからと繰り返し決済を促すところはサポート詐欺の手口でも見覚えがあります。どうぞご注意ください。

②「SMSは40年前の時代遅れの技術」　Googleがセキュリティを問題視【ITmediaエンタープライズ】
https://www.itmedia.co.jp/enterprise/articles/2310/02/news039.html

おじさんから一言：RCSを実装しているアプリってあるのかな？と調べてみると、実はすでに使ってますね。+メッセージやRakuten Linkでメッセージを送っていれば、それはSMSではなくRCSらしい…。知らずに使っていたよ。端末標準のメッセージアプリよりも、こういったアプリを使った方が良い理由はコストだけではなかったようです。

RCSとは？SMSとの違いや利用できる国内のサービスも解説【Accrete】
https://www.accrete-inc.com/column/20220527.html

③デジタル庁の失策に「全社一丸」の欠如、ダメな会社のDXプロジェクトと酷似する【日経XTech】
https://xtech.nikkei.com/atcl/nxt/column/18/01111/092800046/?n_cid=nbpnxt_twbn

おじさんから一言：あれぇ、おかしいな…。デジタル庁がDXの立場の組織だと思ってたけど、情シス側だったかぁ😩
国民のリテラシーについても言及いただいていますが、これも重要なことだと思います。デジタル庁だけに責任をなすりつけて終わりにするのではなく、ひとりひとりが何か改善できることはないかと問題意識を持っていかないと、日本のＩＴはいつになっても残念なままです。皆様におかれましては、一緒になって社会基盤を作っていくのだという気概を持って、日常風景にリンクさせる思考を養っていただけますと幸いです。…抽象的で何をすれば良いのか分からない？

職場が風通しの良い雰囲気になるよう日頃からコミュニケーション不足にならないようにすること。日々の業務で改善できる所があれば積極的に改善提案をすること。提案された側は無下にせず、気軽に試してみるよう促すこと。自分さえ良ければいいという思考を捨て、全体としてどういう在り方が望ましいのか考える習慣をつけること。目先のことに目を奪われて戦術的な対応をするのではなく、長い目で見て良い方向になるように戦略的な視野を持って対応をすること。

これらはＩＴに限った話ではないはずです。どんな仕事でも言えることだと思います。実現できれば、巡り巡って様々なことが良い方向に運んでいくはず。身近なところから、できるところから、一つずつやってみてください。

本日は、パスワードレス認証のパスキーやCiscoのSplunk買収に関する話を取り上げます。

①1Passwordがパスキー対応　ChromeなどのWebブラウザとiOSで提供【ITmediaエンタープライズ】
https://www.itmedia.co.jp/enterprise/articles/2309/24/news019.html

おじさんから一言：パスワードレス認証について昨年末頃にFIDO2の話題が盛り上がっていましたが、最近は「パスキー」と呼ぶのが一般的なのかな？ いずれにせよパスワードを使わず、別の方法で認証する仕組みになります。未来が来てる感じしますね！

最近もパスワードの使い回しをしている人が尋常じゃないほどいる！という記事も出ていましたが、パスワードで認証するのがもう限界なのは間違いないので早く普及してほしいです。

②CiscoによるSplunk買収、背景にあるもの【@IT】
https://atmarkit.itmedia.co.jp/ait/articles/2309/27/news095.html

おじさんから一言：Ciscoには生成AIを扱っているイメージがないので、この機会に大量データの知見のあるSplunkを抱えて勝負に出ようということなのかな？ 後発組として果たして食い込めるのや否や。

Splunkは当研究所でも使っているので、便利になる分には大歓迎です！ 間違っても無料枠なしにするとかは止めてね？

本日は、研究段階のパスワードクラック手法や詐欺メールで悪用されたドメインに関する話を取り上げます。

①スマホからWi-Fiで送信されたパスワードを盗聴、暗号解読不要の恐るべき手法【日経XTECH】
https://xtech.nikkei.com/atcl/nxt/column/18/00676/091500149/

おじさんから一言：キー配置が明確な数字の入力であればかなりの精度で盗聴できるということのようですが、日本語のフリック入力だったり隣接キーとの距離が近いQWERTY配列でも行けるのかは気になるところですね。さすがに数字のみのパスワードを使っている人なんていないとは思いますが、英大文字・小文字・数字・記号を混在させ、桁数を増やすことはこの手法の対策としても有効そうですね。また、パスワードマネージャーを使っていれば、そもそもパスワードを手入力しないので対策になると思います。

②2023年上半期フィッシングサイト ドメイン集計【Digital Arts】
https://www.daj.jp/security_reports/33/

おじさんから一言：昨年よく見たicuドメインは、たしかに最近見なくなりましたね。値上がりしたのかな？ それとも管理が厳しくなった？ com, top, co, shopあたりは引き続き悪用されているようなので気をつけましょう。cn（Chinaの国ドメイン） や ru（Russiaの国ドメイン） は基本的にダウトでよろしいかと。独自ドメイントップ20はよく悪用されてしまう正規サービスということだと思いますが、安易に通信ブロックすると利便性を損なう可能性がありますので、組織内で意識合わせしてからブロックした方が良いと思います。

ちょうど４年前ぐらいに米国ではOTセキュリティに火が付き始めていましたが、日本でもそろそろ盛り上がり始めているようです。最近の記事をまとめてみました。

①標準から学ぶICSセキュリティ【JPCERT/CC】
https://www.jpcert.or.jp/ics/information07.html

②スマート工場化でのシステムセキュリティ対策事例 調査報告書【IPA】
https://www.ipa.go.jp/security/controlsystem/securityreport-smartfactory-2023.html

③産業用制御システムの脆弱性の傾向分析、「ICS CVE Research Report」から見る2023年上半期の特徴【Internet Watch】
https://internet.watch.impress.co.jp/docs/column/security/1528348.html

④OTセキュリティリスク可視化サービス OsecT、リニューアルしました【NTTコミュニケーションズ 開発者ブログ】
https://engineers.ntt.com/entry/2023/08/31/100633

【関連用語】

• OT：Operational Technology（社会インフラのハードウェアを制御・運用する技術）
• ICS：Industrial Control System（産業用制御システム）

本日は、パスワードの使い回しの実態やガバメントクラウドの選考基準緩和、乗っ取られた正規サイトに関する話を取り上げます。

①パスワードの利用実態調査2023、8割以上が使い回し【マイナビTECH+】
https://news.mynavi.jp/techplus/article/20230901-2762626/

おじさんから一言：6種類以上を良しとしても、5種類以下のパスワードの使い回しが7割以上ですか…。 せめてどこのサイトでどのパスワードを使っているかは管理しておいてくださいね。事故の際にリカバリできるよう。

②デジタル庁がガバメントクラウドの選考基準を一部緩和へ、国産ベンダー参入に光明【日経XTECH】
https://xtech.nikkei.com/atcl/nxt/news/18/15854/

おじさんから一言：安全保障上、正しい方向であろうと思います。国産ベンダーには「なんちゃってクラウド」から脱却して頑張ってほしいところですが、どこが一番可能性高いんでしょうね？？ 以下のあたりが候補になりそうだけど、果たして食い込めるのや否や。

昨年6月の記事でも大事なことを伝えられていますね。
「今さら国産クラウドの育成」、自民党と経産省は何を考えているのか【日経XTECH】
https://xtech.nikkei.com/atcl/nxt/column/18/00166/053000103/

③ハッキングされたWebサイトを見破る方法【kasperskyブログ】
https://blog.kaspersky.co.jp/how-to-spot-phishing-on-a-hacked-wordpress-website/34535/

おじさんから一言：最近の詐欺メールに登場するURLは、あからさまに悪性と判断がつかないようなものも増えてきています。こちらの記事のように正規サイトが乗っ取られて悪用されているケースも多々ありますのでご注意ください。

本日は、AIが生成したであろうフィッシングメールに引っかかってしまった話、ダークウェブの閲覧で使われるTorのサイバーセキュリティに関する話を取り上げます。

①セキュリティ専門家もだまされかけた、巧妙すぎるAIフィッシング詐欺の顛末【ZDNET】
https://japan.zdnet.com/article/35208153/

おじさんから一言：恥を忍んでこうして記事にしていただくことはありがたいことだと思います。「私は大丈夫だと考えている、あなた！」そう、あなたです。明日は我が身と思って今一度警戒いただくよう、よろしくお願いします。

②匿名ネットワークTorはどのようにDDoS攻撃を防ぐ？　鍵を握る「PoW」とは【ITmediaエンタープライズ】
https://www.itmedia.co.jp/enterprise/articles/2308/29/news074.html

おじさんから一言：Torもまたサイバー攻撃の対象になっていて、PoWという防御機構があるようなのですが、ブロックチェーン関連の考え方みたいですね。Torもブロックチェーンも中央集権ではなく端末同士がやり取りする（アドホックな）思想なので同じように適用できるのか。興味深い。

最近の気になった情報を取り上げて、余裕があればコメントします。

①インターネットとトラスト ～AI時代に必要なインフラの再考～ クロサカタツヤ(株式会社企)【JPNIC】

現状でPCよりもスマホの方が本人確認には有効。
→スマホのOS握ってるのって、ほぼGoogleとApple。
→かつてのような自由さを取り戻したい。
→これまで放置してきた課題に取り組もう！

おじさんから一言：ハッカー精神を感じる内容で大変感銘を受けました。それにしてもPCよりもスマホの方がサイバー攻撃の対象足り得る時代に入って来ていますね。PCのセキュリティ対策はそれなりにやってきたけど、スマホはほとんど対策できていないケースも多いのではないでしょうか。これまでとは考え方を改めて対策していく必要がありそうです。

②SIerの技術者は「洗脳」されているかもな、滅びの道を行く前に考えたほうがよいぞ【日経XTECH】
https://xtech.nikkei.com/atcl/nxt/column/18/00148/082200298/

おじさんから一言：なかなか言いづらいことを相変わらずの調子で語られていて痛快ですね。私は20代のうちに転職した元SIer SEですが、仰る通りだと思います。

③攻撃者は何曜日にランサムウェアを仕掛けるのか？　2023年上半期Sophosレポートが公開【ITmediaエンタープライズ】
https://www.itmedia.co.jp/enterprise/articles/2308/28/news052.html

おじさんから一言：休日前（金曜日の夜とか）が最も狙われやすいとのこと。じゃあと言って、戸締まりに気をつけましょう！のレベルでは済まないのが悩ましいところですね…。日頃からサイバーセキュリティ対策をできるところからコツコツ積み重ねていくしかないです。