1777・PCI DSS認証

PCI DSSとは、5つの国際カードブランド によって設立されたPCI Security Standards Council（PCI SSC）が定義したカード会員のクレジットカードおよび取引情報に対するセキュリティ標準で、決済・クレジットカード産業に従事する企業が備えるべき認証として認識されています。

PCI DSSは、次のような6つの領域から構成されています。

• 安全なネットワークとシステム構築および維持
• カード会員データの保護
• 脆弱性管理プログラムの維持
• 強力なアクセスコントロールシステムの導入
• 定期的なネットワークモニタリング及びテスト
• 情報セキュリティポリシーの維持

PCI DSS認証は、Level 1とLevel 2に分類され、サービスプロバイダー(Service Provider)がPCI DSS Level 1を獲得するにはネットワークスキャンとQSA(Qualified Security Assessor: 認定セキュリティ評価機関)の厳格な現場審査で12のセキュリティ要求事項をすべて満たす必要があります。

1506・怪しいメール

日本年金機構から年金情報125万件が流出した問題は、標的型攻撃メールに添付されたファイルを開いたことでウイルス感染したことが原因です。

IPAテクニカルウォッチ「標的型攻撃メールの例と見分け方」は、こちらから

怪しいメールの見分け方

1. メールの件名は、取材申し込みや講演依頼など、メール本文のURLや添付ファイルを開かざるを得ないケースが多いです。
2. 差出人のメールアドレスは、フリーメールだったり、本文の署名のアドレスと異なっています。(差出人の偽装）
3. メール本文は、日本語の言い回しが不自然だったり、実在する名称を一部に含むURLが記載されていたり、署名の電話番号が存在しない場合が多いです。
4. 添付ファイルは、実行形式のファイル(拡張子：exe)が添付されていたり、添付ファイルのアイコンや拡張子が偽装されていることにも注意が必要です。

このようなケースに合致したメールを受け取った場合

1. すぐに返信しない
2. メールに記載された電話番号に連絡しない

署名にある電話番号や問い合わせメールアドレスを調べ、差出人が実在するか、実際にメールを送信したかを確認し、標的型攻撃メールかどうかを判断する必要があります。

131・セキュリティって何ですか？

セキュリティって何ですか？　

チョー素朴ですが、チョー難問です！！

それは、広範囲で多岐にわたるので、一言で表現するのが難しいからです。

国も総務省が「国民のための情報セキュリティサイト」というものを開設し、啓蒙活動を行っています。

「国民のための情報セキュリティサイト」はこちら

以下は、サイトからの引用です。

「国民のための情報セキュリティサイト」は、以下のようにご利用ください。

●情報セキュリティについて、何から始めたらよいかわからないという方

• まずは、「初心者」（情報セキュリティ初心者のための三原則）のページをお読みください。
• 「情報セキュリティ認識度チェック」でご自分の理解度を確認することもできます。
• その上でもう少し詳細な対策や実践をお知りになりたいという方は、自分のコンピュータの利用方法に合わせて、「対策」のページや「実践」のページを参照してください。
• 不明な言葉やことがらについては、「基礎知識」や「用語辞典」のページで調べてください。

●とりあえず情報セキュリティ対策を知りたいという方

• 自分のコンピュータの利用方法に合わせて、「対策」のページで概要をご理解いただいた上で、「実践」のページで具体的な対策を行ってください。
• 不明な言葉やことがらについては、「基礎知識」や「用語辞典」のページで調べてください。

●じっくりと情報セキュリティの学習をしたいという方

• まず、「基礎知識」のページでインターネットと情報セキュリティに関する基本的な情報を習得してください。
• その上で、自分のコンピュータの利用方法に合わせて、「対策」のページをお読みいただいてから、「実践」のページで具体的な対策を行ってください。
• 不明な言葉については、「用語辞典」のページで調べてください。

アニメーションとかで解説があり、難解な専門用語は使っていないので、わかりやすいかも・・・

時間のある時、一度見てくださいネ！

127・グーグルのセキュリティ解説サイト

グーグルは、インターネットセキュリティの解説サイト「知っておきたいこと」を公開しました。

インターネットセキュリティの解説サイトでは、インターネットを安全にするために知っておきたいポイントを4つのテーマで紹介されています。

グーグルのセキュリティの解説サイトはこちら

オンラインの安全性

強力なパスワードの設定方法や不正なソフトウェアを避ける方法

オンラインは魅力的なコンテンツであふれていますが、インターネットの危険性が現れる場合もあります。オフラインの世界と同様に、自分自身で安全を守ることが大切です。インターネット初心者でもベテラン ユーザーでも、オンラインで安全にデータ共有やブラウジングを行うには、利用方法についての最新情報を知っておくとよいでしょう。ここでは、ウェブで安全性を維持するためのアドバイスや Google が提供するセキュリティ ツールの概要をご紹介します。

ウェブ上のデータ

CookieやIPアドレスが悪用される特徴

たとえば、あなたは毎朝同じコーヒー ショップに通ってラテを注文しているとします。そのお店では、毎日同じバリスタがラテを作ってくれます。彼はあなたがドアの外に姿を表すだけで、何を注文するかわかるかもしれませんね。Google をはじめとするウェブサイトでは、このようなお客様とショップの関係から多くのことを学んできました。ユーザーのことを知れば知るほど、優れたサービスを提供できるのです。

ウェブが始まった当初は、毎日同じものが表示される静的なページの集まりに過ぎませんでした。しかし、現在のウェブはその頃よりずっと便利になっています。ウェブサイトはユーザーに関する情報を把握し、それに基づいてユーザーが表示したいものを推測できるようになったからです。たとえば、ページの表示言語は英語とフランス語のどちらか記憶したり、過去の閲覧データに基づいておすすめの本や映画を提案したり、次回の購入時に利用するため配送先の住所を保存したりできます。

Googleのデータ

検索サービスでグーグルが利用するデータの活用方法

ユーザーについて理解することは、Google サービスの利便性の向上に役立ちます。ユーザーの好みを理解することで、探している検索結果を確実に表示できるようになります。何百万ものユーザーの検索ログの集合を分析することにより、検索アルゴリズムの継続的な改良、新機能の開発、システムの安全性の維持などを行えるほか、次のインフルエンザの大流行も予測することができます。

Google でユーザーに関するデータを利用する場合、その手法は透明性、管理、セキュリティに基づいています。

Google は、Google のすべてのサービスにおけるプライバシーとユーザー情報の取り扱いを示した、次の 5 つのプライバシー原則を掲げています。

• 提供された情報は有益なサービスをユーザーに提供する目的のみに使用する。
• 厳しいプライバシー基準とポリシーが反映されたサービスを開発する。
• 個人情報の収集に透明性を持たせる。
• プライバシー保護のレベルをユーザーが選択できるようにする。
• 保持している情報については責任を持って管理する。

データの管理

Chromeブラウザーのシークレットモードの利用やデータの安全な移動方法

Google はユーザーがオンラインで自分のデータを管理できることが重要だと考えています。いろいろな設定やツールがあるため、ここでは簡単に、Google や他のウェブサイトにオンラインで提供するデータの管理方法について概要を示します。Google はさまざまなプライバシー ツールを提供していますが、その中で特に人気のあるツールについてこのセクションで説明します。

時間があるときに、確認しましょう！！

これ大事！！

123・Androidは狙われている ！

なぜ、iPhoneではなく、Androidこそウィルス対策ですか？

ウィルスの標的になるのは母体が大きくなければいけません。

そうでなければウィルスの開発コストの割に得るメリットが攻撃者にとって少なくなるからです。
だからWindowsはMacに比べてウィルスの標的にされやすいんですね。

スマホで考えてみると、iPhoneのユーザーもAndroidのユーザーも同じくらいとてつもなく多いです。
しかし、圧倒的にAndroidの方が狙われます。

その理由としてAndroid最大のメリットである自由度がデメリットに働いている事が考えられます。

iPhoneはアプリを端末にインストールする方法がAppStoreしかありません。

AppStoreは厳密にAppleによって審査され品質の低いアプリやウィルス混入の疑いがあるアプリは事前に排除されています。

一方でAndroidは公式のマーケット以外の非公式マーケットからもアプリをインストールする事が出来ます。

ウィルスかどうかのチェックが徹底されていない非公式マーケットがほとんどなので、そうしたサイトから導入したアプリの中にウィルスが混入する可能性が高くなるのですね～。

【Androidウィルスの例】

・GPSを使って位置情報を裏で送信するウィルス「GPSSPY」

パックマンのようなシンプルなゲームに同梱されていたのが、「GPSSPY」。
ユーザーは一度このゲームを起動してしまうと、その後ずっと位置情報を盗まれ続けてしまいます。


・中華製の高額請求カレンダーウィルス「Jmsonez」

カレンダーアプリとして紹介されましたが、実態はあるSMSに対して送信する機能を持った偽カレンダーアプリ。
その送信先からは高額な請求が発生します。


・Androidに感染する極悪乗っ取りウィルス「GoldDream」

特に凶悪だと言われているのが「GoldDream」。
シンプルなレーシングゲームの海賊版の中に同梱されており、海賊版を利用したユーザーの端末に感染します。
感染すると、端末に保存されている着信履歴などを勝手に送信します。


・恋愛支援アプリという名のストーカー悪用厳禁アプリ「カレログ」

恋愛支援という名のもと、彼氏のスマホから 位置情報や通話履歴を盗みだす機能を備えています。
ウィルス対策ソフトでは「logkare」とウィルス認定されてしまい、総務省から指導が入りました。


・root権限を奪取し、端末内の情報を好き勝手送信しまくるアプリ

root権限が奪われるということは、アプリインストール時に通信関連の権限を許可していなくても権限を自分で昇格させて活動を行なう事も可能になるということです。
アプリのインストールから起動まで全て実行する権限を奪われるので、攻撃の踏み台に使われる可能性があります。

まだまだ、続々と発生しています！

アプリ取り放題、というCMに乗せられないように！！
アプリのインストールは慎重にしましょう！！

これ大事！！！