Internet Infrastructure Review Vol.27 - インフラストラクチャセキュリティ

Save this PDF as:
 WORD  PNG  TXT  JPG

Size: px
Start display at page:

Download "Internet Infrastructure Review Vol.27 - インフラストラクチャセキュリティ"

Transcription

1 1. 悪 質 化 するPUA 今 回 は 悪 質 化 するPUA 前 号 に 続 きID 管 理 技 術 の 実 際 の 利 用 例 と 安 全 性 を 高 める 取 り 組 み HDDのファームウェアを 再 プログラミングするマルウェアのIOCの 検 討 について 解 説 します 1.1 はじめに 1.2 インシデントサマリ このレポートは インターネットの 安 定 運 用 のためにIIJ 自 身 が 取 得 した 一 般 情 報 インシデントの 観 測 情 報 サービス に 関 連 する 情 報 協 力 関 係 にある 企 業 や 団 体 から 得 た 情 報 を 元 に IIJが 対 応 したインシデントについてまとめたもの です 今 回 のレポートで 対 象 とする2015 年 1 月 から3 月 ま での 期 間 では 依 然 としてAnonymousなどのHacktivism による 攻 撃 が 複 数 発 生 しており SNSアカウントの 乗 っ 取 りやWebサイト 改 ざんなどの 攻 撃 も 多 発 しています 不 正 アクセスによる 情 報 漏 えいも 多 く 発 生 しており 米 国 で 発 生 した 医 療 保 険 会 社 の 事 件 では 最 大 8,000 万 人 分 の 個 人 情 報 が 漏 えいした 可 能 性 が 指 摘 されています PCにプリイン ストールされていたソフトウェアには 暗 号 化 されたWebブ ラウザの 通 信 を 第 三 者 に 傍 受 されたり 偽 装 されたWebサ イトを 正 規 のものと 認 識 してしまう 可 能 性 のある 問 題 が 見 つかっています このように インターネットでは 依 然 とし て 多 くのインシデントが 発 生 する 状 況 が 続 いています その 他 30.4% 脆 弱 性 28.6% 歴 史 1.3% ここでは 2015 年 1 月 から3 月 までの 期 間 にIIJが 取 り 扱 っ たインシデントと その 対 応 を 示 します まず この 期 間 に 取 り 扱 ったインシデントの 分 布 を 図 -1に 示 します *1 Anonymousなどの 活 動 この 期 間 においても Anonymousに 代 表 されるHacktivist による 攻 撃 活 動 は 継 続 しています 様 々な 状 況 や 主 張 に 応 じて 多 数 の 国 の 企 業 や 政 府 関 連 サイトに 対 するDDoS 攻 撃 や 情 報 漏 えい 事 件 が 発 生 しました 1 月 には 一 昨 年 自 殺 し た 活 動 家 にちなみ マサチューセッツ 工 科 大 学 (MIT)の 複 数 のWebサイトが 改 ざんされています 同 じく フィリピンで はミンダナオ 島 で1 月 に 発 生 した 警 察 と 武 装 組 織 との 間 の 戦 闘 への 抗 議 から 政 府 の 複 数 のWebサイトが 改 ざんされて います 2 月 にはサウジアラビア 王 室 への 抗 議 からサウジア ラビアの 複 数 の 銀 行 に 対 してDDoS 攻 撃 が 発 生 しています (OpSaudi) またSyrian Electronic Armyを 名 乗 る 何 者 か によるSNSアカウントの 乗 っ 取 りも 継 続 して 発 生 してお り 被 害 を 受 けた 企 業 にはフランスの 新 聞 社 の1つであるLe Monde 社 なども 含 まれていました これ 以 外 にも 世 界 中 の 各 国 政 府 とその 関 連 サイトに 対 して Anonymousなどの Hacktivist 達 による 攻 撃 が 継 続 して 行 われました 政 府 機 関 や 著 名 人 のSNSアカウントの 乗 っ 取 り 事 件 も 継 続 して 発 生 しています 動 静 情 報 0.9% 図 -1 カテゴリ 別 比 率 (2015 年 1 月 ~3 月 ) セキュリティ 事 件 38.8% また ISILもしくはその 関 連 組 織 を 名 乗 る 何 者 かによる SNS アカウントの 乗 っ 取 りなどの 攻 撃 が 世 界 中 で 頻 発 してい ます この 期 間 でも 1 月 に 米 国 中 央 軍 のTwitterとYouTube の 公 式 アカウントが 乗 っ 取 られる 事 件 や マレーシア 航 空 *1 このレポートでは 取 り 扱 ったインシデントを 脆 弱 性 動 静 情 報 歴 史 セキュリティ 事 件 その 他 の5 種 類 に 分 類 している 脆 弱 性 :インターネットや 利 用 者 の 環 境 でよく 利 用 されているネットワーク 機 器 やサーバ 機 器 ソフトウェアなどの 脆 弱 性 への 対 応 を 示 す 動 静 情 報 : 要 人 による 国 際 会 議 や 国 際 紛 争 に 起 因 する 攻 撃 など 国 内 外 の 情 勢 や 国 際 的 なイベントに 関 連 するインシデントへの 対 応 を 示 す 歴 史 : 歴 史 上 の 記 念 日 などで 過 去 に 史 実 に 関 連 して 攻 撃 が 発 生 した 日 における 注 意 警 戒 インシデントの 検 知 対 策 などの 作 業 を 示 す セキュリティ 事 件 :ワームなどのマルウェアの 活 性 化 や 特 定 サイトへのDDoS 攻 撃 など 突 発 的 に 発 生 したインシデントとその 対 応 を 示 す その 他 :イベントによるトラフィック 集 中 など 直 接 セキュリティに 関 わるものではないインシデントや セキュリティ 関 係 情 報 を 示 す 4

2 のWebサイトがDNSハイジャックによって 別 のWebサイ トに 誘 導 される 事 件 が 発 生 しました *2 日 本 でも3 月 に 複 数 の 企 業 を 含 むWebサイトが 改 ざんされる 事 件 が 発 生 して 話 題 となりました これらのWebサイト 改 ざん 事 件 では WordPressプラグインの 脆 弱 性 を 悪 用 した 攻 撃 が 行 われた と 考 えられます *3 この 改 ざん 事 件 では 日 本 だけでなく 世 界 中 で 同 様 の 攻 撃 が 発 生 していることから 米 国 でも4 月 に FBIから 注 意 喚 起 が 行 われています *4 これらの 攻 撃 に 対 し フランスで 発 生 した 週 刊 誌 襲 撃 事 件 に 対 するAnonymous によると 考 えられるイスラム 過 激 派 サイトへの 攻 撃 が 行 わ れたり(OpCharlieHebdo) ISIL 関 連 のTwitterやFacebook などのSNSアカウントについてアカウントリストを 公 開 す ると 共 にアカウントの 停 止 や 過 去 の 投 稿 を 削 除 するなどの 攻 撃 が 発 生 しています(OpISIS) 更 にISILに 関 連 していると 考 えられるVPNやWebサイト そのホスティング 企 業 のリ ストを 公 開 して 停 止 や 削 除 を 促 すなどの 活 動 が 継 続 して 行 われています 脆 弱 性 とその 対 応 この 期 間 中 では Microsoft 社 のWindows *5*6*7 Internet Explorer *8*9 などで 修 正 が 行 われました Adobe 社 のAdobe Flash Playerでも 修 正 が 行 われました Oracle 社 のJavaSEで も 四 半 期 ごとに 行 われている 更 新 が 提 供 され 多 くの 脆 弱 性 が 修 正 されました これらの 脆 弱 性 のいくつかは 修 正 が 行 われる 前 に 悪 用 が 確 認 されています サーバアプリケーションでは データベースサーバとして 利 用 されているOracleを 含 むOracle 社 の 複 数 の 製 品 で 四 半 期 ごとに 行 われている 更 新 が 提 供 され 多 くの 脆 弱 性 が 修 正 されました DNSソフトウェアのBIND9ではDNSSECの トラストアンカーの 管 理 において 不 具 合 があり 特 定 の 条 件 下 でサーバの 異 常 動 作 やサービスの 停 止 が 可 能 となる 脆 弱 性 が 修 正 されています 時 刻 同 期 に 利 用 されているntpd についても 細 工 を 施 したパケットにより ACLによる 制 限 の 回 避 や 異 常 終 了 などの 可 能 性 のある 脆 弱 性 が 複 数 修 正 されました Linuxディストリビューションなどに 含 まれる The GNU C Library(glibc)ではバッファオーバーフロー によりアプリケーションの 異 常 終 了 などの 可 能 性 がある 脆 弱 性 が 修 正 されています SSL/TLSの 実 装 にも 1990 年 代 に 行 われていた 米 国 の 暗 号 輸 出 規 制 で 使 われていた512 ビット 以 下 の 弱 いRSA 鍵 を 受 け 入 れる 実 装 があり これを 悪 用 した 中 間 者 攻 撃 により 暗 号 化 された 情 報 を 復 号 される 可 能 性 のある 脆 弱 性 などが 公 表 され OpenSSLで 修 正 が 行 われています *10 Google 社 のProject Zeroからは DRAMの 高 密 度 化 によ るメモリアクセス 時 のメモリセル 間 の 干 渉 によって 発 生 す るエラーの 問 題 (Row Hammer 問 題 )を 利 用 し 権 限 昇 格 が 可 能 なことが 発 表 され 話 題 となりました シスコ 社 の IOSについても 半 年 ごとの 定 例 アップデートが 提 供 され DoS 攻 撃 を 誘 発 したりメモリリークを 引 き 起 こしたりする 恐 れのある 複 数 の 脆 弱 性 が 修 正 されています ホームルータへの 攻 撃 この 期 間 では 複 数 のホームルータに 脆 弱 性 が 見 つかり 修 正 されています このうちいくつかの 脆 弱 性 については 第 三 者 がルータの 管 理 権 限 を 不 正 に 取 得 することが 可 能 で あったり 設 定 を 任 意 に 変 更 できる 可 能 性 のある 脆 弱 性 で *2 Malaysia Airlines "Media Statement on Malaysia Airlines' Website"(http://www.malaysiaairlines.com/my/en/corporate-info/press-room/2015/media-statementmalaysia-airlines-website.html) *3 警 察 庁 Islamic State(ISIS) と 称 する 者 によるウェブサイト 改 ざんに 係 る 注 意 喚 起 について (http://www.npa.go.jp/cyberpolice/detect/pdf/ pdf) *4 The Internet Crime Complaint Center(IC3) "ISIL DEFACEMENTS EXPLOITING WORDPRESS VULNERABILITIES"(https://www.ic3.gov/media/2015/ aspx) *5 マイクロソフト セキュリティ 情 報 MS 緊 急 Windows Telnet サービスの 脆 弱 性 により リモートでコードが 実 行 される( ) (https://technet.microsoft. com/ja-jp/library/security/ms aspx) *6 マイクロソフト セキュリティ 情 報 MS 緊 急 Windows カーネルモード ドライバーの 脆 弱 性 により リモートでコードが 実 行 される( ) (https://technet. microsoft.com/ja-jp/library/security/ms aspx) *7 マイクロソフト セキュリティ 情 報 MS 緊 急 グループ ポリシーの 脆 弱 性 により リモートでコードが 実 行 される( ) (https://technet.microsoft.com/jajp/library/security/ms aspx) *8 マイクロソフト セキュリティ 情 報 MS 緊 急 Windows Telnet Internet Explorer 用 のセキュリティ 更 新 プログラム( ) (https://technet.microsoft. com/ja-jp/library/security/ms aspx) *9 マイクロソフト セキュリティ 情 報 MS 緊 急 Internet Explorer 用 の 累 積 的 なセキュリティ 更 新 プログラム( ) (https://technet.microsoft.com/ja-jp/ library/security/ms aspx) *10 "OpenSSL Security Advisory [08 Jan 2015] DTLS segmentation fault in dtls1_get_record(cve )"(https://www.openssl.org/news/secadv_ txt) 5

3 1 月 のインシデント 日 9 日 9 日 9 日 日 13 日 14 日 14 日 19 日 19 日 21 日 21 日 23 日 23 日 23 日 25 日 26 日 28 日 6

4 した また DrDoS 攻 撃 *11 の 踏 み 台 として 悪 用 される 可 能 性 のある 脆 弱 性 も 見 つかり 修 正 されています 脆 弱 性 を 悪 用 したホームルータに 対 する 攻 撃 については 2011 年 にブラ ジルなどで 発 生 した ルータのDNS 設 定 を 書 き 換 えて 攻 撃 者 が 用 意 したDNSサーバを 参 照 させることで 偽 サイトへの 誘 導 が 行 われた 事 件 などがあります *12 また 同 様 の 攻 撃 は 継 続 して 発 生 しており 例 えば 3 月 にもWebアクセス 解 析 サービスのURLを 悪 用 した 広 告 配 信 を 行 っていた 事 件 が 報 告 されています *13 国 内 でも 2014 年 に 不 正 アクセスに 利 用 されていたプロキシサーバを 運 用 していたとして 逮 捕 さ れた 事 業 者 の 事 件 では 2012 年 に 修 正 が 行 われていたホー ムルータの 脆 弱 性 を 悪 用 して 設 定 されていたPPPoEの 認 証 IDやパスワードを 不 正 に 取 得 していたとされています ホームルータについては 更 新 が 定 期 的 に 行 われるPCなど とは 異 なり 一 度 設 定 を 行 ってしまえば ユーザがその 後 設 定 の 確 認 やファームウェアの 更 新 などを 怠 りがちです こ のため 脆 弱 性 の 修 正 が 行 われていても 長 期 間 にわたりそ の 脆 弱 性 が 放 置 されてしまうことがあります このような 管 理 が 不 十 分 なホームルータなどのネットワーク 機 器 を 狙 った 攻 撃 については 今 後 も 継 続 して 発 生 すると 考 えられ ることから 定 期 的 に 設 定 の 確 認 やファームウェアの 更 新 が 提 供 されていないかチェックするなどの 適 切 な 管 理 を 行 うことが 必 要 です なりすましによる 不 正 ログイン この 期 間 でも 昨 年 から 多 数 発 生 しているユーザのIDとパ スワードを 狙 った 試 みと 取 得 したIDとパスワードのリス トを 使 用 したと 考 えられる 不 正 ログインの 試 みが 継 続 して 発 生 しています ポイントサービスのサイトや 新 聞 社 の 関 連 サイト ISPのサポートサイトなど 様 々なWebサイトが 攻 撃 対 象 となっています このうち いくつかの 事 件 では Webサイト 上 のポイントを 不 正 に 交 換 されるなどの 金 銭 的 な 被 害 も 発 生 しています 不 正 アクセスによる 情 報 漏 えい 不 正 アクセスによる 情 報 漏 えいも 引 き 続 き 発 生 しています 1 月 には 日 本 のプロスポーツ 協 会 のWebサイトが 不 正 アク セスを 受 け 内 部 の 写 真 データ 約 2 万 点 が 流 出 する 事 件 が 発 生 しました 2 月 には 米 国 の 医 療 保 険 会 社 が 内 部 のデー タベースに 不 正 アクセスを 受 け 既 存 及 び 過 去 の 顧 客 と 従 業 員 合 わせて 最 大 約 8,000 万 人 分 の 情 報 が 漏 えいする 事 件 が 発 生 しています 3 月 にはICANN(Internet Corporation for Assigned Names and Numbers)が 再 び 不 正 アクセ スを 受 け 新 gtldのシステムが 停 止 する 事 件 が 発 生 しまし た 更 に 2 月 には 国 内 のドメインレジストラへの 不 正 アク セス 事 件 が 発 生 し ドメイン 登 録 の 際 に 登 録 した 管 理 者 情 報 が 漏 えいするなどの 被 害 が 発 生 しました この 事 件 では 被 害 を 受 けた 企 業 では 早 期 のサービス 再 開 が 難 しいとして サービス 再 開 を 行 わず 他 業 者 への 移 管 を 実 施 することを 発 表 しています *14 また この 期 間 では 国 内 の 商 社 や 新 聞 社 など 複 数 の 企 業 で マルウェア 感 染 とそれによる 情 報 漏 えい 事 件 が 発 生 しました これらの 事 件 では 発 信 元 を 詐 称 してマルウェアが 添 付 された なりすましメールによって 感 染 したPCなどの 端 末 から 取 引 先 の 情 報 やメールの 内 容 などが 外 部 に 送 信 されていた 痕 跡 があったことなどが 発 表 されています 政 府 機 関 の 取 り 組 み 政 府 機 関 のセキュリティ 対 策 の 動 きとしては 昨 年 成 立 し たサイバーセキュリティ 基 本 法 が1 月 に 施 行 され サイバー セキュリティ 戦 略 本 部 が 設 置 されました 併 せて 内 閣 官 房 情 報 セキュリティセンターが 改 組 し 内 閣 サイバーセキュ リティセンターとして 発 足 しました 更 に 2 月 にはサイ バーセキュリティ 戦 略 本 部 の 第 1 回 会 合 が 行 われ 今 後 の 活 動 内 容 についての 確 認 とサイバーセキュリティ 施 策 の 基 本 的 な 方 針 について 定 める 新 たなサイバーセキュリティ 戦 略 についての 議 論 が 行 われています 3 月 には 個 人 情 報 の 保 護 を 図 りつつ パーソナルデータの 利 活 用 の 促 進 による 新 産 *11 詳 細 については 本 レポートのVol.23(http://www.iij.ad.jp/company/development/report/iir/pdf/iir_vol23.pdf)の DrDoS 攻 撃 とその 対 策 も 参 照 のこと *12 詳 細 については 次 のIIJ-SECT Blog ホームルータへの 不 正 な 設 定 変 更 による 偽 DNSサーバの 参 照 (https://sect.iij.ad.jp/d/2012/06/ html)などを 参 照 のこと *13 Ara Labs Technology "Ad-Fraud Malware Hijacks Router DNS Injects Ads Via Google Analytics"(http://aralabs.com/2015/03/25/ad-fraud-malware-hijacksrouter-dns-injects-ads-via-google-analytics/) *14 有 限 会 社 テレワークコミュニケーションズ お 客 様 情 報 の 漏 えいに 関 するお 詫 びとご 報 告 (http://www.ariqui.net/) 7

5 2 月 のインシデント 日 2 日 4 日 4 日 日 日 6 日 日 日 日 日 日 日 20 日 25 日 8

6 業 サービスの 創 出 と 国 民 の 安 全 安 心 の 向 上 の 実 現 を 図 る 改 正 個 人 情 報 保 護 法 案 が 閣 議 決 定 されています この 中 で は 個 人 情 報 の 保 護 及 び 有 用 性 の 確 保 に 資 するため 個 人 情 報 の 定 義 の 明 確 化 や 個 人 情 報 の 復 元 ができないように 加 工 した 匿 名 加 工 情 報 の 取 り 扱 いについての 規 律 を 定 めること や 個 人 情 報 の 取 り 扱 いの 監 視 監 督 権 限 を 有 する 第 三 者 機 関 として 個 人 情 報 保 護 委 員 会 を 新 設 することなどが 定 められ ています また 情 報 漏 えい 事 件 を 受 け 個 人 情 報 が 記 録 さ れているデータベースから 情 報 を 不 正 に 提 供 盗 用 する 行 為 について 個 人 情 報 データベース 提 供 罪 が 創 設 されるなどの 罰 則 の 強 化 も 図 られています なお この 閣 議 決 定 では 特 定 個 人 情 報 (マイナンバーを 含 む 情 報 )の 利 用 の 推 進 に 係 る 制 度 も 改 正 されており マイナンバーの 金 融 医 療 などの 分 野 における 利 用 範 囲 の 拡 充 が 図 られることになっています PCにプリインストールされたソフトウェアの 問 題 この 期 間 では Lenovo 社 のPCにプリインストールされて いたソフトウェアの 問 題 が 話 題 となりました 2014 年 9 月 から2015 年 1 月 に 停 止 されるまでの 間 に 出 荷 されたPCに インストールされていたこのソフトウェアは ユーザのブ ラウザ 表 示 に 広 告 を 挿 入 して 表 示 させる 機 能 を 持 ったい わゆるアドウェアであり 特 に 自 己 署 名 証 明 書 をローカル の 証 明 書 ストアにインストールすることで 暗 号 化 された SSL/TLS 通 信 にも 割 り 込 んで 広 告 表 示 を 行 っていたこと から 問 題 となりました 更 に このインストールされた 証 明 書 の 強 度 が 十 分 でない 暗 号 化 方 式 だったことや インス トールされた 証 明 書 の 秘 密 鍵 がソフトウェア 内 に 含 まれて おり 秘 密 鍵 が 明 らかとなってしまうなど 複 数 の 問 題 が あったことが 指 摘 されています この 問 題 については 実 際 にはこのソフトウェアが 利 用 していたSDKの 問 題 であっ たことから 同 じSDKを 利 用 している 複 数 のソフトウェア でも 同 じ 問 題 があることが 判 明 し 注 意 喚 起 が 行 われてい ます *15 Lenovo 社 では 公 表 すると 共 にソフトウェアの 除 去 のためツールを 提 供 するなどの 対 応 を 行 っており セ キュリティベンダーなどとも 共 同 で 対 処 したことから 問 題 のあるPCは 減 少 していることが 報 告 されています *16 し かしながら このようなユーザの 通 信 を 傍 受 するような 取 り 組 みはユーザのプライバシーやセキュリティを 危 険 にす るとの 指 摘 が 米 国 の 非 営 利 組 織 などからされています *17 その 他 1 月 にはカナダや 米 国 のニュースサイトで 利 用 していた 広 告 配 信 基 盤 を 経 由 してマルウェアが 配 布 される 事 件 が 複 数 発 生 しました この 攻 撃 については2014 年 10 月 に 発 生 し たYouTubeを 経 由 した 偽 広 告 によるマルウェアへ 誘 導 す る 攻 撃 *18 と 類 似 点 が 指 摘 されています このような 広 告 配 信 の 仕 組 みを 使 った 攻 撃 はMalvertisingとも 呼 ばれ 国 内 でも2010 年 に 複 数 の 報 道 機 関 やニュースサイトで 利 用 さ れていた 広 告 配 信 サーバが 不 正 アクセスによって 改 ざんさ れる 事 件 がありましたが *19 その 後 も 継 続 して 確 認 されて います 更 に 改 ざんだけでなく 正 規 の 広 告 枠 を 利 用 した 不 正 なソフトウェアへの 誘 導 も 頻 発 しており 大 量 のマル ウェア 感 染 を 可 能 にする 効 率 的 な 手 法 として 認 識 されてい ます このような 広 告 配 信 の 仕 組 みを 悪 用 した 攻 撃 は 今 後 も 継 続 して 発 生 すると 考 えられることから 引 き 続 き 注 意 が 必 要 です サイバー 攻 撃 への 対 応 能 力 の 強 化 に 向 けた 取 り 組 みの1つ として 官 民 や 民 間 企 業 同 士 の 情 報 共 有 の 必 要 性 が 言 われて います しかし 異 なる 組 織 や 企 業 の 間 での 攻 撃 などの 脅 威 情 報 の 共 有 では どのような 情 報 が 必 要 でどれを 共 有 すべ きかなど 情 報 の 取 り 扱 いが 明 確 に 決 まっていないことか ら 情 報 共 有 しにくいといった 問 題 が 指 摘 されていました 米 国 の 非 営 利 組 織 であるMITRE Corporation(MITRE) *20 が 中 心 となって 仕 様 策 定 を 進 めている 攻 撃 などの 脅 威 情 報 を 構 造 化 し サイバー 攻 撃 の 分 析 特 徴 となる 事 象 の 特 定 サイバー 攻 撃 対 応 の 管 理 サイバー 攻 撃 に 関 する 情 報 の 共 有 などを 目 的 としたXMLを 用 いた 記 述 仕 様 であるSTIX *15 JVN JVNVU# Komodia RedirectorがルートCA 証 明 書 と 秘 密 鍵 をインストールする 問 題 (http://jvn.jp/vu/jvnvu /) *16 Microsoft Malware Protection Center "MSRT March:Superfish cleanup"(http://blogs.technet.com/b/mmpc/archive/2015/03/10/msrt-march-superfishcleanup.aspx) *17 Electronic Frontier Foundation(EFF) "Dear Software Vendors:Please Stop Trying to Intercept Your Customers Encrypted Traffic"(https://www.eff.org/ deeplinks/2015/02/dear-software-vendors-please-stop-trying-intercept-your-customers-encrypted) *18 トレンドマイクロセキュリティブログ YouTube 上 の 偽 広 告 からランサムウェア 感 染 へ 誘 導 主 に 米 国 で 被 害 (http://blog.trendmicro.co.jp/archives/10094) *19 マイクロアド 社 障 害 報 告 弊 社 サービスの 改 ざんに 関 するお 詫 びと 報 告 (http://www.microad.co.jp/news/information/detail.php?newid=news-0118) *20 MITRE Corporation(http://www.mitre.org/) 9

7 3 月 のインシデント 日 4 日 7 日 日 10 日 日 11 日 日 12 日 日 日 日 日 26 日 日 10

8 (Structured Threat Information expression)について 解 説 を 行 った 脅 威 情 報 構 造 化 記 述 形 式 STIX 概 説 が IPA より 公 表 されています *21 3 月 に 米 国 のGitHub 社 に 対 し 複 数 日 にわたる 大 規 模 な DDoS 攻 撃 が 発 生 しました *22 この 攻 撃 では 中 国 国 外 の ユーザが 中 国 の 検 索 サービス 事 業 者 を 利 用 した 際 に 何 者 かによるJavaScriptの 改 ざんが 行 われ 攻 撃 に 利 用 された 可 能 性 が 指 摘 されています * インシデントサーベイ DDoS 攻 撃 現 在 一 般 の 企 業 のサーバに 対 するDDoS 攻 撃 が 日 常 的 に 発 生 するようになっており その 内 容 は 多 岐 にわたり ます しかし 攻 撃 の 多 くは 脆 弱 性 などの 高 度 な 知 識 を 利 用 したものではなく 多 量 の 通 信 を 発 生 させて 通 信 回 線 を 埋 めたり サーバの 処 理 を 過 負 荷 にしたりすることでサー ビスの 妨 害 を 狙 ったものになっています 同 じく3 月 には エジプトの 中 間 認 証 局 から 複 数 のGoogle ドメインの 証 明 書 が 不 正 に 発 行 される 事 件 が 発 生 してい ます これらの 証 明 書 については 主 要 なブラウザで 当 該 証 明 書 を 無 効 にする 対 応 が 順 次 行 われました この 事 件 では 証 明 書 を 発 行 する 際 の 正 当 性 の 確 認 を 証 明 書 を 発 行 する ドメイン 名 のメールアドレスを 使 って 連 絡 可 能 であること を 確 認 するだけで 行 っていたとされています また 複 数 の 認 証 局 でこのように 証 明 書 発 行 時 の 正 当 性 の 確 認 が 不 十 分 であることが 分 かり 注 意 喚 起 が 行 われています *24 直 接 観 測 による 状 況 図 -2に 2015 年 1 月 か ら3 月 の 期 間 にIIJ DDoSプ ロ テ ク ションサービスで 取 り 扱 ったDDoS 攻 撃 の 状 況 を 示 します ここでは IIJ DDoSプロテクションサービスの 基 準 で 攻 撃 と 判 定 した 通 信 異 常 の 件 数 を 示 しています IIJでは ここ に 示 す 以 外 のDDoS 攻 撃 にも 対 処 していますが 攻 撃 の 実 態 を 正 確 に 把 握 することが 困 難 なため この 集 計 からは 除 外 しています DDoS 攻 撃 には 多 くの 攻 撃 手 法 が 存 在 し 攻 撃 対 象 となっ た 環 境 の 規 模 ( 回 線 容 量 やサーバの 性 能 )によって その 影 響 度 合 が 異 なります 図 -2では DDoS 攻 撃 全 体 を 回 線 容 ( 件 数 ) 14 複 合 攻 撃 回 線 容 量 に 対 する 攻 撃 サーバに 対 する 攻 撃 ( 日 付 ) 図 -2 DDoS 攻 撃 の 発 生 件 数 *21 IPA 脅 威 情 報 構 造 化 記 述 形 式 STIX 概 説 (http://www.ipa.go.jp/security/vuln/stix.html) *22 この 攻 撃 については 例 えば 次 のSophos 社 のNakedsecurity Blog "Greatfire.org faces daily $30,000 bill from DDoS attack"(https://nakedsecurity.sophos. com/2015/03/20/greatfire-org-faces-daily bill-from-ddos-attack/)などを 参 照 のこと *23 攻 撃 手 法 については 次 のレポートに 詳 しい "Using Baidu 百 度 to steer millions of computers to launch denial of service attacks"(https://drive.google.com/ file/d/0byrxbldxr_yqeunzyu5wcjfcbxm/view) *24 JVN JVNVU# 複 数 の 認 証 局 においてメールアドレスのみに 基 づいて 証 明 書 を 発 行 している 問 題 (https://jvn.jp/vu/jvnvu /index.html) 11

9 量 に 対 する 攻 撃 *25 サーバに 対 する 攻 撃 *26 複 合 攻 撃 (1つ の 攻 撃 対 象 に 対 し 同 時 に 数 種 類 の 攻 撃 を 行 うもの)の3 種 類 に 分 類 しています この3ヵ 月 間 でIIJは 384 件 のDDoS 攻 撃 に 対 処 しました 1 日 あたりの 対 処 件 数 は4.27 件 で 平 均 発 生 件 数 は 前 回 のレポート 期 間 と 比 べて 増 加 しました DDoS 攻 撃 全 体 に 占 める 割 合 は サーバに 対 する 攻 撃 が69.3% 複 合 攻 撃 が 23.4% 回 線 容 量 に 対 する 攻 撃 が7.3%でした 今 回 の 対 象 期 間 で 観 測 された 中 で 最 も 大 規 模 な 攻 撃 は 複 合 攻 撃 に 分 類 したもので 最 大 117 万 9 千 ppsのパケットによって 2.83Gbpsの 通 信 量 を 発 生 させる 攻 撃 でした その 他 17.7% CA 20.3% IT 1.3% RU 2.3% DE 2.8% BR 3.2% NL 4.8% KR 5.3% US 18.4% FR 9.6% CN 14.3% 攻 撃 の 継 続 時 間 は 全 体 の82.6%が 攻 撃 開 始 から30 分 未 満 で 終 了 し 17.4%が30 分 以 上 24 時 間 未 満 の 範 囲 に 分 布 して おり 24 時 間 以 上 継 続 した 攻 撃 はありませんでした なお 今 回 最 も 長 く 継 続 した 攻 撃 は 複 合 攻 撃 に 分 類 されるもの で10 時 間 37 分 にわたりました 攻 撃 元 の 分 布 としては 多 くの 場 合 国 内 国 外 を 問 わず 非 常 に 多 くのIPアドレスが 観 測 されました これは IPスプー フィング *27 の 利 用 や DDoS 攻 撃 を 行 うための 手 法 として のボットネット *28 の 利 用 によるものと 考 えられます backscatterによる 観 測 次 に IIJでのマルウェア 活 動 観 測 プロジェクトMITFのハ ニーポット *29 によるDDoS 攻 撃 のbackscatter 観 測 結 果 を 示 します *30 backscatterを 観 測 することで 外 部 のネッ トワークで 発 生 したDDoS 攻 撃 の 一 部 を それに 介 在 する ことなく 第 三 者 として 検 知 できます 2015 年 1 月 から3 月 の 間 に 観 測 したbackscatterについ て 発 信 元 IPアドレスの 国 別 分 類 を 図 -3に ポート 別 のパ ケット 数 推 移 を 図 -4にそれぞれ 示 します 図 -3 DDoS 攻 撃 のbackscatter 観 測 による 攻 撃 先 の 国 別 分 類 (パケット 数 ) 80,000 70,000 60,000 50,000 40,000 30,000 20,000 10, ( 日 付 ) other 22/TCP 27015/UDP 443/TCP 411/TCP 25565/TCP 25/TCP 2710/TCP 6667/TCP 53/UDP 80/TCP 図 -4 DDoS 攻 撃 によるbackscatter 観 測 ( 観 測 パケット 数 ポート 別 推 移 ) *25 攻 撃 対 象 に 対 し 本 来 不 必 要 な 大 きなサイズのIPパケットやその 断 片 を 大 量 に 送 りつけることで 攻 撃 対 象 の 接 続 回 線 の 容 量 を 圧 迫 する 攻 撃 UDPパケットを 利 用 した 場 合 にはUDP floodと 呼 ばれ ICMPパケットを 利 用 した 場 合 にはICMP floodと 呼 ばれる *26 TCP SYN floodやtcp connection flood HTTP GET flood 攻 撃 など TCP SYN flood 攻 撃 は TCP 接 続 の 開 始 の 呼 を 示 すSYNパケットを 大 量 に 送 付 することで 攻 撃 対 象 に 大 量 の 接 続 の 準 備 をさせ 対 象 の 処 理 能 力 やメモリなどを 無 駄 に 利 用 させる TCP Connection flood 攻 撃 は 実 際 に 大 量 のTCP 接 続 を 確 立 させる HTTP GET flood 攻 撃 は Webサーバに 対 しTCP 接 続 を 確 立 した 後 HTTPのプロトコルコマンドGETを 大 量 に 送 付 することで 同 様 に 攻 撃 対 象 の 処 理 能 力 やメモリを 無 駄 に 消 費 させる *27 発 信 元 IPアドレスの 詐 称 他 人 からの 攻 撃 に 見 せかけたり 多 人 数 からの 攻 撃 に 見 せかけたりするために 攻 撃 パケットの 送 出 時 に 攻 撃 者 が 実 際 に 利 用 しているIPアドレ ス 以 外 のアドレスを 付 与 した 攻 撃 パケットを 作 成 送 出 すること *28 ボットとは 感 染 後 に 外 部 のC&Cサーバからの 命 令 を 受 けて 攻 撃 を 実 行 するマルウェアの 一 種 ボットが 多 数 集 まって 構 成 されたネットワークをボットネットと 呼 ぶ *29 IIJのマルウェア 活 動 観 測 プロジェクトMITFが 設 置 しているハニーポット マルウェアの 活 動 も 参 照 *30 この 観 測 手 法 については 本 レポートのVol.8(http://www.iij.ad.jp/development/iir/pdf/iir_vol08.pdf)の DDoS 攻 撃 によるbackscatterの 観 測 で 仕 組 みとその 限 界 IIJによる 観 測 結 果 の 一 部 について 紹 介 している 12

10 観 測 されたDDoS 攻 撃 の 対 象 ポートのうち 最 も 多 かったも のはWebサービスで 利 用 される80/TCPで 対 象 期 間 にお ける 全 パケット 数 の38.2%を 占 めています 次 いでDNSで 利 用 される53/UDPが31.8%を 占 めており 上 位 2つで 全 体 の70%に 達 しています また IRC(Internet Relay Chat) で 利 用 さ れ る6667/TCP SMTPで 利 用 さ れ る25/TCP HTTPSで 利 用 される443/TCPへの 攻 撃 通 常 は 利 用 され ない2710/TCPや25565/TCP 27015/UDPなどへの 攻 撃 が 観 測 されています 2014 年 2 月 から 多 く 観 測 されている53/UDPは 1 日 平 均 の パケット 数 を 見 ると 前 回 の 約 3,900から 増 加 して 約 6,200 になっており 依 然 として 増 加 傾 向 にあります 図 -3で DDoS 攻 撃 の 対 象 となったIPアドレスと 考 えられる backscatterの 発 信 元 の 国 別 分 類 を 見 ると カナダの20.3% が 最 も 大 きな 割 合 を 占 めています その 後 に 米 国 の18.4% 中 国 の14.3%といった 国 が 続 いています 特 に 多 くのbackscatterを 観 測 した 場 合 について 攻 撃 先 の ポート 別 にみると Webサーバ(80/TCP)への 攻 撃 として は 1 月 21 日 から26 日 にかけてカナダのホスティング 事 業 者 への 攻 撃 を 観 測 しています この 事 業 者 では3 月 20 日 から 再 び ある 中 国 製 ゲームに 関 連 する 複 数 のWebサイトに 対 象 を 絞 った 攻 撃 が 継 続 して 観 測 されています また 3 月 4 日 から 9 日 にかけて 米 国 ホスティング 事 業 者 に 対 する 攻 撃 を 観 測 し ています 他 のポートへの 攻 撃 としては 1 月 22 日 から25 日 にかけてフランスのゲーム 関 連 サイトに 対 する25/TCPへの 攻 撃 が 観 測 されています また 今 回 の 対 象 期 間 中 に 話 題 となったDDoS 攻 撃 のうち IIJのbackscatter 観 測 で 検 知 した 攻 撃 としては 1 月 1 日 から4 日 にかけてフィンランドの 金 融 機 関 グループへの 攻 撃 1 月 11 日 にAnonymousによるイスラム 過 激 派 サイト への 攻 撃 (OpCharlieHebdo) 3 月 27 日 から29 日 にかけて GitHubへの 攻 撃 をそれぞれ 検 知 しています GitHubへの 攻 撃 については 報 告 されている 攻 撃 手 法 ではbackscatter が 発 生 しないことから 他 の 手 法 によるDDoS 攻 撃 も 並 行 し て 行 われていたことが 分 かります マルウェアの 活 動 ここでは IIJが 実 施 しているマルウェアの 活 動 観 測 プロジェ クトMITF *31 による 観 測 結 果 を 示 します MITFでは 一 般 利 用 者 と 同 様 にインターネットに 接 続 したハニーポット *32 を 利 用 して インターネットから 到 着 する 通 信 を 観 測 してい ます そのほとんどがマルウェアによる 無 作 為 に 宛 先 を 選 ん だ 通 信 か 攻 撃 先 を 見 つけるための 探 索 の 試 みであると 考 え られます *31 Malware Investigation Task Forceの 略 MITFは2007 年 5 月 から 開 始 した 活 動 で ハニーポットを 用 いてネットワーク 上 でマルウェアの 活 動 の 観 測 を 行 い マルウェアの 流 行 状 況 を 把 握 し 対 策 のための 技 術 情 報 を 集 め 対 策 につなげる 試 み *32 脆 弱 性 のエミュレーションなどの 手 法 で 攻 撃 を 受 けつけて 被 害 に 遭 ったふりをし 攻 撃 者 の 行 為 やマルウェアの 活 動 目 的 を 記 録 する 装 置 13

11 無 作 為 通 信 の 状 況 2015 年 1 月 から3 月 の 期 間 中 に ハニーポットに 到 着 した 通 信 の 発 信 元 IPアドレスの 国 別 分 類 を 図 -5に その 総 量 ( 到 着 パケット 数 )の 推 移 を 図 -6に それぞれ 示 します MITF では 数 多 くのハニーポットを 用 いて 観 測 を 行 っています が ここでは1 台 あたりの 平 均 を 取 り 到 着 したパケットの 3389/TCPに 対 する 探 査 行 為 も 観 測 されています 前 号 の 11 月 以 降 継 続 していたTelnet(23/TCP)への 通 信 の 増 加 は 2 月 まで 続 いていました 調 査 したところ 中 国 及 び 日 本 に 割 り 当 てられたIPアドレスから 主 に 受 信 しています 2 月 17 日 から2 月 20 日 にかけて 中 国 米 国 香 港 台 湾 ロシア などに 割 り 当 てられた 多 くのIPアドレスからの 通 信 が 増 加 種 類 ( 上 位 10 種 類 )ごとに 推 移 を 示 しています また この 観 測 では MSRPCへの 攻 撃 のような 特 定 のポートに 複 数 回 の 接 続 を 伴 う 攻 撃 は 複 数 のTCP 接 続 を1 回 の 攻 撃 と 数 えるように 補 正 しています ハニーポットに 到 着 した 通 信 の 多 くは Microsoft 社 のOS で 利 用 されているTCPポートに 対 する 探 索 行 為 でした ま た 同 社 のSQL Serverで 利 用 さ れ る1433/TCP SSHで 利 用 される22/TCP Telnetで 利 用 される23/TCP HTTP Proxyで 用 いられる8080/TCP ICMP Echoリクエストや HTTPで 使 わ れ る80/TCPや443/TCP RDPで 使 われる しています 通 信 の 多 くはssh Telnet Proxyサーバなどを 見 つけるための 探 査 行 為 でした 3 月 21 日 から3 月 23 日 に は 中 国 米 国 などに 割 り 当 てられた 多 くのIPアドレスから の 通 信 が 増 加 しており これについても 同 様 の 傾 向 になっ ていました ネットワーク 上 のマルウェアの 活 動 同 じ 期 間 中 におけるマルウェアの 検 体 取 得 元 の 分 布 を 図 -7 に マルウェアの 総 取 得 検 体 数 の 推 移 を 図 -8に そのうち のユニーク 検 体 数 の 推 移 を 図 -9に それぞれ 示 します こ のうち 図 -8と 図 -9では 1 日 あたりに 取 得 した 検 体 *33 の 総 数 を 総 取 得 検 体 数 検 体 の 種 類 をハッシュ 値 *34 で 分 類 した 国 92.9% その 他 17.5% BR 1.1% NL 1.2% FR 1.3% DE 1.9% KR 2.1% RU 2.7% TW 3.4% HK 7.5% US 21.3% CN 32.9% 図 -5 発 信 元 の 分 布 ( 国 別 分 類 全 期 間 ) 国 7.1% IIJ 2.0% A 社 0.9% B 社 0.9% C 社 0.3% D 社 0.3% E 社 0.3% F 社 0.3% G 社 0.2% H 社 0.2% I 社 0.2% その 他 1.5% ものをユニーク 検 体 数 としています また 検 体 をウイル ス 対 策 ソフトで 判 別 し 上 位 10 種 類 の 内 訳 をマルウェア 名 称 別 に 色 分 けして 示 しています なお 図 -8と 図 -9は 前 回 同 様 に 複 数 のウイルス 対 策 ソフトウェアの 検 出 名 により Conficker 判 定 を 行 い Confickerと 認 められたデータを 除 いて 集 計 しています 期 間 中 の1 日 あたりの 平 均 値 は 総 取 得 検 体 数 が87 ユニー ク 検 体 数 が19でした 未 検 出 の 検 体 をより 詳 しく 調 査 した (パケット 数 ) 2,000 1,800 (954) 1,600 1,400 1,200 1, other 80/TCP 3389/TCP 8080/TCP 443/TCP ICMP Echo request 1433/TCP 135/TCP 22/TCP 445/TCP 23/TCP ( 日 付 ) 図 -6 ハニーポットに 到 着 した 通 信 の 推 移 ( 日 別 宛 先 ポート 別 1 台 あたり) *33 ここでは ハニーポットなどで 取 得 したマルウェアを 指 す *34 様 々な 入 力 に 対 して 一 定 長 の 出 力 をする 一 方 向 性 関 数 (ハッシュ 関 数 )を 用 いて 得 られた 値 ハッシュ 関 数 は 異 なる 入 力 に 対 しては 可 能 な 限 り 異 なる 出 力 を 得 られるよう 設 計 されている 難 読 化 やパディングなどにより 同 じマルウェアでも 異 なるハッシュ 値 を 持 つ 検 体 を 簡 単 に 作 成 できてしまうため ハッシュ 値 で 検 体 の 一 意 性 を 保 証 することは できないが MITFではこの 事 実 を 考 慮 した 上 で 指 標 として 採 用 している 14

12 結 果 中 国 米 国 インド 台 湾 などに 割 り 当 てられたIPア ドレスでWormなどが 観 測 されました また 未 検 出 の 検 体 の 約 49%がテキスト 形 式 でした これらテキスト 形 式 の 多 くはHTMLであり Webサーバからの404や403による エラー 応 答 であるため 古 いワームなどのマルウェアが 感 染 活 動 を 続 けているものの 新 たに 感 染 させたPCが マル ウェアをダウンロードしに 行 くダウンロード 先 のWebサ イトが 既 に 閉 鎖 させられていると 考 えられます 国 99.5% 国 0.5% その 他 26.1% A 社 0.2% VE 3.1% B 社 0.2% ID 3.9% その 他 0.1% RU 4.0% HK 4.6% BR 4.8% IN 6.9% CN 7.3% EG 7.6% US 9.1% TW 22.1% 図 -7 検 体 取 得 元 の 分 布 ( 国 別 分 類 全 期 間 Confickerを 除 く) MITF 独 自 の 解 析 では 今 回 の 調 査 期 間 中 に 取 得 した 検 体 は ワーム 型 94.3% ボット 型 2.3% ダウンローダ 型 3.4% でした また 解 析 により 105 個 のボットネットC&Cサー バ *35 と14 個 のマルウェア 配 布 サイトの 存 在 を 確 認 しまし た ボットネットのC&Cサーバが 前 号 に 続 き 大 幅 に 増 加 し ていますが これはDGA(ドメイン 生 成 アルゴリズム)を 持 つ 検 体 が 期 間 中 に 出 現 したためです Confickerの 活 動 本 レポート 期 間 中 Confickerを 含 む1 日 あたりの 平 均 値 は 総 取 得 検 体 数 が19,434 ユニーク 検 体 数 は608でした 短 期 間 での 増 減 を 繰 り 返 しながらも 総 取 得 検 体 数 で99.5% ユニーク 検 体 数 で97.0%を 占 めています このように 今 回 の 対 象 期 間 でも 支 配 的 な 状 況 が 変 わらないことから Confickerを 含 む 図 は 省 略 しています 本 レポート 期 間 中 の 総 取 得 検 体 数 は 前 回 の 対 象 期 間 との 比 較 で 約 19% 増 加 し ユニーク 検 体 数 は 前 号 から 約 9% 増 加 しました Conficker Working Groupの 観 測 記 録 *36 によると 2015 年 4 月 3 日 ( 総 取 得 検 体 数 ) other Trojan.Agent Trojan.Downloader Trojan.Agent Trojan.Agent Trojan.Dropper Trojan.Spy Trojan.Agent Trojan.Dropper NotDetected Empty file ( 日 付 ) 図 -8 総 取 得 検 体 数 の 推 移 (Confickerを 除 く) (ユニーク 検 体 数 ) ( 日 付 ) 図 -9 ユニーク 検 体 数 の 推 移 (Confickerを 除 く) other Trojan.Agent Worm.Allaple-2 Worm.Allaple-306 Trojan.Downloader Win.Trojan.Agent Win.Trojan.Agent Worm.Allaple-307 Trojan.Spy Trojan.Dropper NotDetected *35 Command & Controlサーバの 略 多 数 のボットで 構 成 されたボットネットに 指 令 を 与 えるサーバ *36 Conficker Working Groupの 観 測 記 録 (http://www.confickerworkinggroup.org/wiki/pmwiki.php/any/infectiontrackingblank) 15

13 現 在 で ユニークIPアドレスの 総 数 は707,844とされてい ます * 年 11 月 の 約 320 万 台 と 比 較 すると 約 22%に 減 少 したことになりますが 依 然 として 大 規 模 に 感 染 し 続 け ていることが 分 かります SQLインジェクション 攻 撃 IIJでは Webサーバに 対 する 攻 撃 のうち SQLインジェ クション 攻 撃 *38 について 継 続 して 調 査 を 行 っています SQLインジェクション 攻 撃 は 過 去 にも 度 々 流 行 し 話 題 と なった 攻 撃 です SQLインジェクション 攻 撃 には データ を 盗 むための 試 み データベースサーバに 過 負 荷 を 起 こす ための 試 み コンテンツ 書 き 換 えの 試 みの3つがあること が 分 かっています 2015 年 1 月 から3 月 までに 検 知 した Webサーバに 対 す るSQLインジェクション 攻 撃 の 発 信 元 の 分 布 を 図 -10に その 他 1.4% CN 90.8% BR 0.2% FR 0.2% DE 0.2% IT 0.3% UK 0.3% SA 0.9% NL 0.9% JP 2.3% US 2.5% 図 -10 SQLインジェクション 攻 撃 の 発 信 元 の 分 布 攻 撃 の 推 移 を 図 -11に それぞれ 示 します これらは IIJマ ネージドIPSサービスのシグネチャによる 攻 撃 の 検 出 結 果 をまとめたものです 発 信 元 の 分 布 では 中 国 90.8% 米 国 2.5% 日 本 2.3%とな り 以 下 その 他 の 国 々が 続 いています Webサーバに 対 する SQLインジェクション 攻 撃 の 発 生 件 数 は 前 回 に 比 べて 大 幅 に 増 加 しました これは 主 に 中 国 からの 攻 撃 が 大 幅 に 増 加 した ためで 複 数 回 にわたって 大 規 模 な 攻 撃 が 発 生 しています この 期 間 中 2 月 13 日 には 中 国 の 複 数 の 攻 撃 元 から 特 定 の 攻 撃 先 に 対 する 攻 撃 が 発 生 していました 2 月 16 日 にも 別 の 複 数 の 攻 撃 元 より 複 数 の 攻 撃 先 に 対 する 攻 撃 が 発 生 して います 2 月 20 日 から23 日 にかけ 中 国 の 複 数 の 攻 撃 元 よ り 複 数 の 攻 撃 先 に 対 する 大 規 模 な 攻 撃 が 発 生 しました こ のうち1つの 攻 撃 先 については 3 月 27 日 から3 月 30 日 にか けても 別 の 中 国 の 攻 撃 元 からの 攻 撃 が 発 生 しています こ の 攻 撃 先 に 対 する 攻 撃 は この 期 間 中 に 発 生 した 攻 撃 全 体 の66.3%を 占 めています 攻 撃 は 複 数 の 攻 撃 元 から 行 われ ており 1つの 攻 撃 元 から40 万 回 以 上 の 攻 撃 を 行 っている 場 合 が 複 数 見 られました また 攻 撃 先 に 金 融 関 連 の 企 業 が 多 いことから これらの 企 業 を 対 象 とした 大 規 模 なWeb サーバの 脆 弱 性 を 探 る 試 みであったと 考 えられます ここまでに 示 したとおり 各 種 の 攻 撃 はそれぞれ 適 切 に 検 出 され サービス 上 の 対 応 が 行 われています しかし 攻 撃 の 試 みは 継 続 しているため 引 き 続 き 注 意 が 必 要 な 状 況 です ( 検 出 数 ) 500, , ,000 (795,256) (758,498) (602,536) (327,910) (271,783) (299,166) 350, , , , , ,000 50, (394,484) (421,129) (300,962) ( 日 付 ) その 他 HTTP_GET_SQL_Select_Count HTTP_POST_SQL_Select_Count HTTP_GET_SQL_UnionAllSelect HTTP_GET_SQL_UnionSelect SQL_Injection_Declare_Exec HTTP_GET_SQL_Convert_Int HTTP_GET_SQL_WaitForDelay HTTP_POST_SQL_WaitForDelay HTTP_POST_SQL_Convert_Int SQL_Injection 図 -11 SQLインジェクション 攻 撃 の 推 移 ( 日 別 攻 撃 種 類 別 ) *37 Conficker Working Groupのデータは 何 らかの 理 由 により 2015 年 3 月 28 日 から4 月 2 日 までの 間 データが 欠 損 しているように 見 えるため 影 響 を 受 けていないと 思 わ れる2015 年 4 月 3 日 のデータを 採 用 している *38 Webサーバに 対 するアクセスを 通 じて SQLコマンドを 発 行 し その 背 後 にいるデータベースを 操 作 する 攻 撃 データベースの 内 容 を 権 限 なく 閲 覧 改 ざんすることによ り 機 密 情 報 の 入 手 やWebコンテンツの 書 き 換 えを 行 う 16

14 1.3.4 Webサイト 改 ざん MITFのWebクローラ(クライアントハニーポット)によっ て 調 査 したWebサイト 改 ざん 状 況 を 示 します *39 このWebクローラは 国 内 の 著 名 サイトや 人 気 サイトなど を 中 心 とした 数 万 のWebサイトを 日 次 で 巡 回 しており 更 に 巡 回 対 象 を 順 次 追 加 しています また 一 時 的 にアクセ ス 数 が 増 加 したWebサイトなどを 対 象 に 一 時 的 な 観 測 も 行 っています 一 般 的 な 国 内 ユーザによる 閲 覧 頻 度 が 高 い と 考 えられるWebサイトを 巡 回 調 査 することで 改 ざんサ イトの 増 減 や 悪 用 される 脆 弱 性 配 布 されるマルウェアな どの 傾 向 が 推 測 しやすくなります 2015 年 1 月 から3 月 の 期 間 に 観 測 されたドライブバイダウン ロードは 既 に 減 少 傾 向 にあった2014 年 10 月 から12 月 の 期 間 より 更 に10パーセント 程 度 減 少 しました( 図 -12) 特 に 1 月 中 はほとんど 活 動 がみられませんでした また 攻 撃 数 の 増 加 してきた2 月 後 半 以 降 は 週 末 には 検 知 数 が 急 減 する 傾 向 が 見 られました 攻 撃 の 内 訳 は 本 Webクローラ 稼 働 開 始 時 から 継 続 して 検 知 しているNuclear 及 び 2014 年 2 月 以 降 検 知 されていなかった *40 Neutrinoの2 種 類 が 大 部 分 を 占 めました どちらのExploit Kitも 昨 今 流 行 した 他 の 多 く のExploit Kitと 同 様 に Flashの 脆 弱 性 (CVE CVE CVE CVE な ど)を 悪 用 する 機 能 を 備 え 更 に 新 規 の 脆 弱 性 を 悪 用 する 機 能 を 速 いペースで 追 加 しています *41 改 ざんされ 誘 導 元 と なっているWebサイトは 長 期 ( 3 ヵ 月 以 上 )にわたって 断 続 的 に 誘 導 元 として 観 測 されるケースがほとんどでした ま た コンテンツの 傾 向 としては 成 人 向 け 動 画 コンテンツの 紹 介 サイトや 中 小 規 模 のコンテンツ 事 業 者 のWebサイトな どが 見 られました いずれも 変 わらない 傾 向 です 全 体 として ドライブバイダウンロードの 発 生 率 はかなり 低 い 状 態 にあったものが 仄 かに 増 加 しつつあると 言 える 状 況 です 特 に 今 回 多 数 観 測 されたNuclearやNeutrinoは Operation Windigo *42 との 関 連 も 指 摘 されている *43 ため 攻 撃 者 グループは 比 較 的 大 きな 潜 在 力 を 保 持 している 可 能 性 があります Webサイト 運 営 者 はWebコンテンツの 改 ざん 対 策 閲 覧 者 側 はブラウザや 関 連 プラグインなど( 特 に Flash Player)の 脆 弱 性 対 策 を 徹 底 し 注 意 を 継 続 すること を 推 奨 します 図 -12 Webサイト 閲 覧 時 のドライブバイダウンロード 発 生 率 (%)(Exploit Kit 別 ) *39 Webクローラによる 観 測 手 法 については 本 レポートのVol.22(http://www.iij.ad.jp/company/development/report/iir/pdf/iir_vol22.pdf)の Webクローラによ るWebサイト 改 ざん 調 査 で 仕 組 みを 紹 介 している *40 Neutrino Exploit Kitは 2013 年 10 月 ごろから 国 内 外 で 猛 威 を 振 るっていたものが 徐 々に 勢 力 を 失 い 2014 年 2 月 以 降 は 本 Webクローラで 検 知 されなくなっていた 一 方 で 2014 年 11 月 には Neutrino : The come back!(or Job314 the Alter EK) (http://malware.dontneedcoffee.com/2014/11/neutrino-come-back.html)にて 新 バージョンのリリースが 報 告 されている *41 例 えば CVE (Flash up to )and Exploit Kits (http://malware.dontneedcoffee.com/2015/03/cve flash-up-to and.html)で は 2015 年 3 月 12 日 に 公 開 された 脆 弱 性 について Nuclearでは3 月 19 日 Neutrinoでは4 月 2 日 に 悪 用 が 確 認 されたと 報 告 している *42 ESET 社 のホワイトペーパー OPERATION WINDIGO (http://www.welivesecurity.com/wp-content/uploads/2014/03/operation_windigo.pdf)で 公 開 された 大 規 模 な 攻 撃 活 動 2011 年 以 降 25,000 台 以 上 のサーバが 侵 害 され スパム 送 信 やクライアントのリダイレクションに 悪 用 されたと 報 告 している *43 Nuclearについては HAPPY NUCL(Y)EAR - EVOLUTION OF AN EXPLOIT KIT (http://community.websense.com/blogs/securitylabs/archive/2015/01/15/evolution-ofan-exploit-kit-nuclear-pack.aspx) Neutrinoについては Exploit Kit Evolution - Neutrino (https://isc.sans.edu/diary/exploit+kit+evolution+-+neutrino/19283) でそれぞれOperation Windigoとの 関 連 が 指 摘 されている 17

15 1.4 フォーカスリサーチ インターネット 上 で 発 生 するインシデントは その 種 類 や 規 模 が 時 々 刻 々と 変 化 しています このため IIJでは 流 行 したインシデントについて 独 自 の 調 査 や 解 析 を 続 けること で 対 策 に 繋 げています ここでは これまでに 実 施 した 調 査 のうち 悪 質 化 するPUA ID 管 理 技 術 HDDのファーム ウェアを 再 プログラミングするマルウェアのIOCの 検 討 の 3つのテーマについて 紹 介 します 悪 質 化 するPUA PUAはPotentially Unwanted Applicationの 略 で ユー ザにとってそもそも 不 必 要 であったり 全 体 としては 有 益 であっても 一 部 不 適 切 な 機 能 を 有 するソフトウェア 群 の 総 称 です PUP(Potentially Unwanted Program)とも 呼 ば れています ソフトウェアの 利 用 中 に 広 告 を 強 制 挿 入 する アドウェアもPUAの 一 種 として 扱 われる 場 合 もあります PUAには 一 見 正 当 な 機 能 を 提 供 するだけで 無 害 に 見 える ものも 存 在 しますが 一 部 には 利 用 者 が 気 付 かないうちに 広 告 などに 活 用 するために 行 動 情 報 を 取 得 外 部 に 送 信 す る 悪 質 なものも 存 在 します また 近 年 一 部 にはユーザを 騙 してPUAをインストールさせ それを 使 って 情 報 を 盗 み 出 したり 更 に 追 加 でPUAを 次 々とインストールさせた り Webコンテンツの 改 ざんやUACを 回 避 して 特 権 昇 格 す るなど マルウェアと 同 様 の 手 法 を 使 う 悪 質 なものが 増 加 正 しいダウンロードボタン Webブラウザ Download Version:Latest OS:WindowsXP / Vista / 7 / 8 Languages:English License:Free ソフトウェア Download xxx2-1-1.exe 画 面 のスクリーンショット ソフトウェアの 説 明 など ダウンロードボタンに 似 しているが 実 際 には 広 告 であり 自 動 でダウンロードが 始 まるか 偽 サイトに 誘 導 させられる 別 の 広 告 Download Mana er 弊 社 Webサイトでダウンロード 可 能 無 料 ダウンロード サイズ:547kb バージョン: ソフトウェア xxx-download.example.com 最 新 の 日 本 語 を 無 料 でダウン ロード 図 -13 ダウンロードサイトに 混 入 した 偽 ダウンロードボタン ( 広 告 )の 例 しています 本 稿 では IIJが 最 近 解 析 した 複 数 のPUAの 解 析 結 果 から それらが 用 いていた 手 法 について 解 説 します PUAの 定 義 PUAの 厳 密 な 定 義 は 専 門 家 の 間 でも 分 かれます 直 訳 から も 分 かるとおり 悪 性 であるかどうかに 関 わらずユーザに とって 不 必 要 な 機 能 を 持 つプログラムはすべてPUAとな り 得 るからです ユーザにとってどのプログラムが 不 要 で あるかは 個 々の 考 え 方 や 立 場 状 況 環 境 などによって 異 なります そこで ここではユーザがインストールを 望 ん だソフトウェアとは 関 係 がないにも 関 わらず 追 加 でイン ストールされてしまう 不 要 なプログラムをすべてPUAと 定 義 し その 中 でもマルウェアと 同 様 の 手 法 を 使 うものを 悪 質 なPUAと 呼 ぶことにします 悪 質 なPUAの 例 侵 入 経 路 攻 撃 者 はあらかじめWeb 検 索 エンジンの 検 索 結 果 をSEO Poisoning *44 などの 手 法 を 使 って 操 作 し ユーザを 偽 サ イトに 誘 導 する 手 口 が 多 く 見 られます 例 えば あるソフ トウェアをダウンロードしようと 検 索 を 行 う 際 検 索 キー ワードにソフトウェアの 名 称 と 共 にバージョンや"ダウン ロード"などといったキーワードを 指 定 して 検 索 すると オ リジナルの 配 布 サイトよりも 上 位 に 偽 サイトが 表 示 されて しまうケースが 確 認 されています また 検 索 結 果 と 一 緒 に 表 示 される 広 告 にも 偽 の 配 布 サイトが 混 入 しているこ とがあります 誘 導 先 の 偽 サイトは 著 名 なダウンロード サイトにドメイン 名 やデザインを 似 せて 作 られている 場 合 もあり 偽 サイトであると 容 易 には 判 別 できないように なっています また いくつかの 著 名 なダウンロードサイ トのWebページ 内 に 存 在 する 広 告 にも 悪 質 なPUAをダ ウンロードさせるための 偽 のダウンロードボタンが 混 入 し ていました 図 -13はダウンロードサイトのデザインの 一 例 です 複 数 の 広 告 による 偽 のダウンロードボタンが 混 入 しており 普 段 からこのWebサイトを 使 い 慣 れているユー ザ 以 外 どれが 本 当 のダウンロードボタンであるか 気 付 く ことが 困 難 になっていました 更 に 著 名 なダウンロード サイトのいくつかでは そのサイト 専 用 のダウンロード *44 SEO(Search Engine Optimization)Poisoningとは 検 索 エンジンの 最 適 化 アルゴリズムを 悪 用 して 検 索 結 果 を 意 図 的 に 操 作 し 自 身 の 用 意 したページを 本 来 の 順 番 よりも 上 位 に 表 示 させる 手 法 本 来 はマーケティング 用 の 手 法 だが マルウェア 感 染 などのように 利 用 者 に 害 を 与 える 目 的 で 悪 用 されることもある 18

16 ツールを 利 用 しており そのツール 経 由 でユーザがインス トールを 望 むソフトウェアをダウンロードさせます しか し 一 部 にはそのツールにPUAが 同 梱 されているケース が 存 在 します それ 以 外 にも ダウンロードサイトがソフ トウェア 作 者 に 個 別 に 同 意 を 取 った 上 でPUAを 同 梱 した インストーラを 提 供 している 場 合 も 存 在 します PUA 導 入 のフレームワーク ダウンロードさせられたPUAは 単 一 のアドウェアである 場 合 もありますが 一 部 のケースではダウンローダ 型 のプ ログラムになっており 更 に 複 数 のPUAをインストールす るものが 存 在 しました ある 事 例 では 追 加 でダウンロー ドされるPUAは 多 岐 にわたり 数 や 種 類 は 時 々 刻 々と 変 化 していたことから PUAフレームワークの 構 築 者 が 依 頼 元 からの 要 望 に 応 じて 利 用 者 のシステムにPUAをインス トールして 金 銭 を 得 るPay-per-install *45 が 行 われている と 考 えられます ダウンローダ 型 のPUAはインストールされると 定 期 的 に C&Cサーバと 通 信 をし 自 己 アップデートや 新 たなPUA をダウンロードします また 多 くの 場 合 PUAはユーザが 本 来 インストールしようとしていたソフトウェアもインス トールするため ユーザが 騙 されていることに 気 付 きにく くなっています 限 り アドウェアのインストールに 同 意 したとみなされてし まいます 一 部 のPUAは 自 分 自 身 のインストールに 対 する 同 意 を 取 らずにインストールしていました このようなPUAを 実 行 してしまった 場 合 では 利 用 者 が 提 示 されるソフトウェア の 導 入 を 拒 否 したとしても 本 体 はPC 上 に 存 在 しつづけ 新 たなPUAのダウンロードや 自 身 をアップデートしよう とする 試 みが 継 続 して 行 われます また 追 加 ダウンロー ドされるPUAも その 一 部 はユーザに 同 意 を 取 らずにイン ストールされていました Webコンテンツの 改 ざん PUAの 一 部 にはWebブラウザのプラグインやWebブラ ウザ 拡 張 として 動 作 もしくはWebブラウザにPUA 自 身 のコードをインジェクションして 送 受 信 用 のAPIをフック し 乗 っ 取 ることによってユーザがアクセスしたURLをす べて 盗 みだし それに 基 づいた 広 告 を 閲 覧 中 のWebコン テンツ 内 に 挿 入 して 改 ざんする 手 法 が 採 られているもの がありました 挿 入 されるコンテンツの 内 容 は 異 なるもの の これはZeuS SpyEyeやvawtrak *46 のようなBanking (ユーザが 本 来 インストールする はずだったソフトウェアのタイトル) インストーラ 形 式 のPUAの 場 合 利 用 者 に 分 かりにくいデ ザインを 悪 用 して インストール 時 にPUAのインストール に 関 するユーザ 同 意 を 取 り 付 けている 事 例 も 見 受 けられ ます 図 -14はあるアドウェアのインストーラデザインの 一 例 です ユーザがインストールを 望 んでいるソフトウェア のインストーラに 見 せかけていますが 利 用 規 約 の 文 章 はそ れとは 別 のアドウェアに 関 するものであり CONTINUE をユーザがクリックすると 裏 ではそのアドウェアがインス トールされます ユーザは 注 意 深 く 見 てインストールしない decline 拒 否 するにはdeclineをクリックし なければならないが 小 さい 文 字 分 かりづらい 単 語 グレーアウトしてい て せないように 見 えるなど 様 々な 工 夫 がされている ユーザ 同 意 文 書 ( 実 際 はアドウェアのもの) XXXXXXXXXXXXXXXXXXXX XXXXXXXXXXXXXXXXXXXX XXXXXXXXXXXXXXXXXXXX XXXXXXXXXXXXXXXXXXXX CONTINUE 図 -14 PUAのインストーラのデザイン 例 CONTINUEとなっているが これを クリックした 時 点 でアドウェアがイ ンストールされる *45 クリック 報 酬 型 アフィリエイトはPay-per-accessとも 呼 ばれ クリックさせた 広 告 の 量 によって 報 酬 が 決 定 する それと 同 様 に Pay-per-installはインストールさせたソ フトウェアの 量 で 支 払 われる 報 酬 が 決 定 する 依 頼 者 側 は 例 えばアフィリエイトサイトに 連 続 してアクセスさせることで 金 銭 を 稼 ぐアドウェアの 作 者 の 場 合 より 多 くの PCにインストールされればそれだけ 金 銭 を 稼 ぎやすくなるので このようなフレームワークを 持 つ 組 織 に 依 頼 を 行 う 受 託 側 はより 多 くインストールさせれば 依 頼 者 か らより 多 くの 金 銭 を 得 られるために このようなフレームワークが 構 築 されていると 考 えられる 近 年 ではマルウェアでもこのモデルが 使 われているとも 言 われている *46 ZeuSは 本 レポートのVol.16(http://www.iij.ad.jp/company/development/report/iir/016.html)の ZeuSとその 亜 種 について SpyEyeは 本 レポートのVol.13 (http://www.iij.ad.jp/company/development/report/iir/013.html)の SpyEye vawtrakは 本 レポートのVol.24(http://www.iij.ad.jp/company/development/ report/iir/024/01_04.html)の 国 内 金 融 機 関 の 認 証 情 報 などを 窃 取 するマルウェア vawtrak でそれぞれ 詳 しく 解 説 している また 同 様 にWebInjectの 機 能 を 持 つZeuS 亜 種 のCitadelも 本 レポートのVol.18(http://www.iij.ad.jp/company/development/report/iir/018.html)の ZeuSの 亜 種 Citadel で 詳 しく 解 説 している 19

17 TrojanによるWebInject *47 と 同 様 の 手 法 です このような タイプの 攻 撃 手 法 を 使 うものをWebブラウザハイジャッ カーとも 呼 びます この 手 法 以 外 として 自 己 署 名 されたルート 証 明 書 をインス トールしておき PUA 自 身 はHTTP(S)のローカルプロキシ として 動 作 してWebブラウザからの 通 信 をすべて 自 分 宛 て にねじ 曲 げ Webサーバからの 証 明 書 を 横 取 りして 改 ざん し 自 身 がインストールしたルート 証 明 書 で 署 名 を 行 う 手 法 があります これにより MITM *48 を 行 って 通 信 を 傍 受 する ことで コンテンツに 広 告 などを 挿 入 して 改 ざんするタイプ も 発 見 されています どちらの 手 法 とも 暗 号 化 されたHTTP 通 信 のコンテンツで あってもユーザに 気 付 かれることなく 改 ざんすることが 可 能 であり 非 常 に 危 険 な 手 法 です また Webブラウザの ツールバーとして 動 作 し アドウェア 業 者 によって 提 供 され る 検 索 エンジンを 使 用 することを 強 制 したり 検 索 キーワー ドを 盗 み 出 すものも 存 在 します Windowsの 仕 様 を 悪 用 例 えばPlugX *49 やDridex *50 などのマルウェアはそれぞれ 異 なる 手 法 を 用 いてUAC *51 のポップアップを 回 避 し 自 動 的 に 管 理 者 権 限 を 奪 取 する 機 能 を 備 えています 今 回 解 析 したいくつかのPUAにも このような 特 権 昇 格 を 行 う 機 能 ( 多 くはDridexと 同 様 の 方 式 で 特 権 昇 格 する)が 含 まれて いました PUAが 管 理 者 権 限 を 奪 取 するのは 後 に 複 数 の PUAを 追 加 ダウンロードした 際 ユーザに 気 付 かれずにシス テムフォルダにインストールするために 必 要 だからです 難 読 化 いくつかのPUAは 追 加 でダウンロードされるPUAが 独 自 の 形 式 で 圧 縮 もしくは 難 読 化 されており 通 信 路 上 では 実 行 ファイル 形 式 になっていないため IDSやIPSなどで 検 出 しにくくなっていました また PUA 自 体 にもコードの 難 読 化 や 重 要 な 文 字 列 の 難 読 化 が 施 されており 特 徴 として 検 出 することや 解 析 することが 困 難 になっていました Sandbox 対 策 いくつかのPUAはインストールされた 際 スタートアップ に 登 録 するだけで 終 了 してしまい 次 回 PCを 再 起 動 するま で 実 行 されないようになっていました これは 動 的 解 析 を 行 って 短 時 間 で 判 定 を 行 うSandbox 製 品 の 検 出 を 回 避 す るための 行 為 として 一 部 のマルウェアが 使 用 していた 手 法 と 同 様 です インストール 直 後 に 手 動 で 実 行 したりPCの 再 起 動 を 試 みた 場 合 でも C&Cサーバへの 通 信 は 発 生 する ものの すぐには 新 たなPUAがサーバからダウンロードさ れないようになっており 数 日 から 長 い 場 合 で 数 ヵ 月 経 っ てから 新 たなPUAがダウンロードされるようになってい ました これもSandboxによる 検 出 を 回 避 するための 手 法 の1つだと 考 えられます *47 Webinjectとは Webブラウザの 通 信 系 APIをフックすることによってブラウザのメモリ 上 のWebコンテンツを 改 ざんする 機 能 ZeuSやSpyEyeなど Banking Trojan 系 のマルウェアのほとんどはこのような 機 能 を 持 ち 感 染 者 が 金 融 機 関 などにログインする 際 二 要 素 認 証 などの 情 報 を 追 加 で 入 力 させて 奪 うことで 金 銭 を 窃 取 しよ うと 試 みる Webinjectは 本 レポートのVol.18(http://www.iij.ad.jp/company/development/report/iir/018.html)の ZeuSの 亜 種 Citadel や 本 レポートの Vol.13(http://www.iij.ad.jp/company/development/report/iir/013.html)の SpyEye で 詳 しく 解 説 をしている *48 MITM(Man-In-The-Middle) 攻 撃 とは 攻 撃 者 が 通 信 を 行 う 両 端 の 間 に 割 り 込 んで 通 信 を 横 取 りし 暗 号 化 の 解 読 を 行 って 利 用 者 に 気 付 かれることなく 盗 聴 や 改 ざんを 行 う 手 法 中 間 者 攻 撃 *49 PlugXについては 本 レポートのVol.21(http://www.iij.ad.jp/company/development/report/iir/021.html)の 標 的 型 攻 撃 で 利 用 されるRAT PlugX 及 び Black Hat Asia 2014での 発 表 I Know You Want Me - Unplugging PlugX (https://www.blackhat.com/docs/asia-14/materials/haruyama/asia-14-haruyama- I-Know-You-Want-Me-Unplugging-PlugX.pdf)で 詳 しく 解 説 している その 中 で UACの 回 避 による 特 権 昇 格 についても 解 説 している *50 Dridexが 用 いているUACの 回 避 手 法 については JPCERT/CC 分 析 センターだより Dridexが 用 いる 新 たなUAC 回 避 手 法 ( ) (https://www.jpcert.or.jp/ magazine/acreport-uac-bypass.html)で 詳 しく 解 説 されている *51 Windows Vista 以 降 にはUAC(User Account Control ユーザアカウント 制 御 )と 呼 ばれる 機 能 がついており 管 理 者 権 限 を 持 つアカウントでログインしていても 通 常 時 は 重 要 な 権 限 が 無 効 になっている プログラムがシステムを 変 更 するような 重 要 な 操 作 を 行 った 場 合 にユーザに 対 して 許 可 を 求 めるポップアップが 表 示 され 許 可 された 場 合 のみ 権 限 が 付 与 される UACには4 段 階 の 設 定 が 存 在 するが Windows 7 以 降 マイクロソフト 社 はユーザの 要 望 により 4 段 階 中 上 から2 番 目 のレベルを 初 期 設 定 にしている(Vistaは 最 高 レベルが 初 期 設 定 ) このレベルではユーザが 操 作 したものであるとWindowsが 判 断 した 場 合 はUACのポップアップを 表 示 せず 自 動 昇 格 が 行 われる 近 年 では マルウェアがこの 仕 様 を 悪 用 し ユーザが 操 作 したように 見 せかけた 振 る 舞 いをすることで UACのポップアップを 表 示 させずに 管 理 者 権 限 に 自 動 昇 格 する 攻 撃 手 法 が 複 数 確 認 されている 20

18 VM 検 知 多 くのマルウェアにも 仮 想 環 境 やSandboxでの 実 行 を 妨 害 する 機 能 がついていますが 今 回 解 析 したPUAにもこの ような 機 能 が 含 まれていました 特 に 執 筆 者 がこれまでマ ルウェア 解 析 を 行 った 際 には 見 ることのなかったHyper-V やXen KVMなどの 仮 想 環 境 も 検 知 されるようになってい ました これは WMI WBEM *52 の 機 能 を 使 い BIOSの 情 報 などを 取 得 することで 判 定 を 行 っています それ 以 外 の 手 法 も 組 み 合 わせ 現 存 するほぼすべての 仮 想 環 境 を 検 知 できるようになっており 検 出 すると 実 行 を 停 止 するなど その 挙 動 を 変 更 するような 仕 組 みが 入 っています これも 解 析 妨 害 の1つです 組 織 がPUAに 感 染 することのリスク 今 回 紹 介 したWebブラウザハイジャッカー 型 のPUAは ユーザがアクセスしたWebサイトのURLなどをすべて 外 部 に 送 信 します 組 織 内 でこのようなPUAに 感 染 した 場 合 イントラネットのサーバ 名 やURLのパス 情 報 GETパラ メータなどが 一 緒 に 漏 えいします これは 企 業 などの 組 織 の 内 部 情 報 を 守 る 観 点 では 好 ましくありません 更 に PUAフレームワークによって 追 加 でインストールさ れるプログラムにマルウェアが 混 入 する 可 能 性 も 考 えられ ます 加 えて 近 年 広 告 サイト 自 体 が 改 ざん *53 され ドラ イブバイダウンロード *54 によってマルウェアがインストー ルされるケースもあります アドウェアが 表 示 した 広 告 を 閲 覧 した 際 に 悪 意 のあるWebサイトに 誘 導 されて 感 染 す るような 可 能 性 がないとも 言 い 切 れません このような 事 態 にならないよう PUAと 言 えど 組 織 やユーザにとって 不 必 要 なソフトウェアがインストールされないように 監 視 を 行 い 感 染 を 発 見 した 場 合 は 速 やかに 対 処 できるような 体 制 を 構 築 しておくべきでしょう 対 策 悪 質 なPUAに 感 染 しないようにするためには まずユーザ 自 身 が 利 用 するソフトウェアの 公 式 サイトを 普 段 から 把 握 しておくことでしょう 常 に 公 式 サイト もしくはそこから たどることの 可 能 な 正 規 のミラーサイトのみを 利 用 するこ とで 偽 のWebサイトから 悪 質 なPUAをダウンロードする ことを 防 ぐことができます ダウンロードボタンに 模 した 悪 質 な 広 告 をクリックしてダウンロードをさせられてしまう 可 能 性 もあるため 公 式 サイトに 記 載 されているハッシュ 値 と 照 合 することなども このような 手 法 に 騙 されることを 防 ぐ 手 段 の1つとなります *55 また 安 易 に 無 名 な もしくは 出 所 の 分 からないソフトウェアをインストールしないよう に 日 頃 から 気 をつけるべきです もしあなたが 管 理 者 であれ ば ユーザが 勝 手 に 任 意 のソフトウェアをインストールで きないように 一 般 ユーザ 権 限 のみを 与 える ことを 検 討 する とよいでしょう また ユーザディレクトリ 内 にインストー ルするタイプのソフトウェアも 存 在 するため ソフトウェ アの 制 限 ポリシーやAppLockerなどのWindowsの 機 能 を 使 って システムディレクトリ 内 とプログラム 置 き 場 以 外 か らのプログラムの 実 行 を 禁 止 することで 勝 手 にユーザがソ フトウェアをダウンロードして 使 用 することを 防 ぐことが できます 有 名 なソフトウェアの 一 部 やプレインストールされている ソフトウェアであってもインストール もしくはアップデー トの 際 にPUAをインストールさせようとするものも 存 在 し ます 説 明 を 読 まず 安 易 に 次 へ ボタンをクリックしない ようにしましょう また PCにプリインストールされているソフトウェアにア ドウェアが 含 まれているという 事 件 も 発 生 していることか ら PCを 調 達 する 際 にも 注 意 が 必 要 です いくつかのメー *52 WBEM(Web-Based Enterprise Management)は 分 散 コンピューティングを 管 理 するための 技 術 仕 様 で 標 準 化 を 行 う 業 界 団 体 DMTF(Desktop Management Task Force)によって 策 定 された WMIはWindows Management Instrumentationの 略 で WindowsをWBEMで 管 理 するための 実 装 WMIによりローカル もしくはリ モートのWindows 上 の 様 々な 情 報 (ハードウェア ソフトウェア OS ユーザ プロセスなどあらゆる 情 報 )を 取 得 したり 状 態 変 更 をすることができる *53 攻 撃 者 が 広 告 プラットフォームを 改 ざんし そこにExploitを 仕 掛 けて 待 ち 伏 せをする 攻 撃 手 法 をMalvertisingという MalvertisingはMaliciousとAdvertisingを 掛 け 合 わせた 造 語 広 告 プラットフォームは 複 数 のWebサイトに 対 して 広 告 を 配 信 している 場 合 が 多 く 改 ざんさせた 場 合 Exploitを 一 斉 配 信 させることが 可 能 であり 攻 撃 者 にとって 効 率 的 であるため 近 年 は 度 々 狙 われている また 攻 撃 者 自 身 がマルウェアに 誘 導 するために 広 告 を 直 接 配 信 するケースも 存 在 する *54 ドライブバイダウンロードとは Webコンテンツを 閲 覧 した 際 に 何 らかの 脆 弱 性 を 悪 用 され マルウェアに 強 制 感 染 させられること 閲 覧 者 の 使 用 する 端 末 に 脆 弱 性 があ る 場 合 は そのWebコンテンツを 閲 覧 しただけでマルウェア 感 染 してしまう *55 ハッシュ 値 を 用 いた 確 認 の 重 要 性 は 本 レポートのVol.10(http://www.iij.ad.jp/company/development/report/iir/010.html)の ソフトウェア 配 布 パッケージ の 改 ざん で 詳 しく 解 説 している 21

19 カーはプリインストールされているソフトウェアの 一 覧 が 明 示 されているため PCを 選 択 する 際 の 参 考 になります また 一 部 メーカーの 法 人 向 けPCではプリインストールさ れるソフトウェアを 出 荷 時 に 外 せるようにカスタマイズで きるものもあります このようなPCの 調 達 を 検 討 するのも 1つの 手 段 になります それ 以 外 にも 脆 弱 性 を 突 かれて 強 制 インストールされる 可 能 性 もあることから マルウェアへの 対 策 と 同 等 のことを 行 っておくことも 必 要 です *56 今 回 紹 介 したように UAC を 回 避 しようとWindowsの 仕 様 を 悪 用 する 悪 質 なPUAも 存 在 します そのため 管 理 者 アカウントでPCを 管 理 して いる 方 はUACを 最 高 レベルに 引 き 上 げておくことも 検 討 し てください ID 管 理 技 術 ~ 利 便 性 と 安 全 性 の 観 点 から~ 本 稿 では 前 号 に 引 き 続 き ID 管 理 (Identity Management) 技 術 について 取 り 上 げます IDを 識 別 子 (Identifier)という 狭 義 の 意 味 と 捉 え 秘 密 情 報 であるトークンと 公 開 情 報 で あるクレデンシャルの 関 係 認 証 と 認 可 の 違 い トークン を 用 いた 認 証 から 各 種 クレデンシャルの 流 通 アクセス 権 限 付 与 までの 一 連 の 流 れについて 解 説 を 行 いました 今 回 はこれらの 技 術 が 実 際 にどのように 利 用 されているかにつ いて 具 体 的 事 例 を 含 めて 報 告 します IDとトークンのバリエーション 前 号 の 報 告 では IDを 持 つエンティティが 認 証 されること で 当 該 IDに 属 性 情 報 や 認 可 情 報 が 紐 付 きされ IDと 紐 付 けされた 情 報 であるクレデンシャルが 発 行 されるという 一 連 の 流 れを 説 明 しました このとき 認 証 時 には そのIDを 持 つエンティティの 確 からしさを 保 証 するためにトークン が 用 いられます 認 証 はレルム( 認 証 や 認 可 が 有 効 な 領 域 ) ごとに 行 われるため レルムごとにIDとトークンの 組 を 持 つことが 一 般 的 です ここで IDやトークンとして 実 際 に 使 われている 事 例 を 紹 介 していきます 認 証 に 関 する 業 務 を 行 うIdP(Identity Provider)がレル ムごとに 存 在 し ユニークなIDがレルムごとに 割 り 振 られ ます これはインターネット 上 のサービスを 最 初 に 利 用 す る 際 に 必 要 事 項 を 入 力 する 利 用 登 録 画 面 を 考 えると 理 解 できます 登 録 時 には ユーザID などの 項 目 でIDを 入 力 す る 欄 があることに 加 え 他 のユーザとIDが 被 っていない かチェックを 行 っています 一 方 でサービス 側 がランダム にIDを 割 り 振 るケースも 存 在 します いずれの 場 合 も 利 用 登 録 時 にはメールアドレスや 電 話 番 号 などのパーソナ ルデータも 入 力 することが 一 般 的 です これは この 段 階 では 仮 登 録 に 過 ぎず 入 力 されたメールアドレスにメール を もしくは 電 話 番 号 にショートメッセージを チャレン ジ と 共 に 通 知 し ユーザに 当 該 チャレンジを 入 力 させるこ とで 本 人 確 認 を 行 うためです 仮 登 録 時 もしくはチャレン ジ 入 力 時 には トークンの 一 種 であるパスワードを 入 力 す ることが 一 般 的 です このようにしてIDとパスワードの 組 が 登 録 完 了 した 時 点 でサービスが 利 用 可 能 になります IDをレルム 独 自 に 割 り 振 るのではなくメールアドレスで 代 用 するケースも 見 られるようになりました レルム 独 自 にIDを 管 理 するためのコストを 削 減 できるため またユー ザが 決 めたIDや 特 にIdPが 割 り 振 ったランダムなIDを 忘 れ てしまう 事 態 が 発 生 しなくて 済 むというメリットがある ためです レルム 独 自 IDを 割 り 振 る 場 合 は 本 人 確 認 に 利 用 したメールアドレスや 電 話 番 号 を 再 度 入 力 させてIDリ マインダやパスワードリセットなどを 行 うWebページを 運 用 する 必 要 が 生 じ サービス 側 の 負 担 が 増 えることにな ります 一 方 でIDとしてメールアドレスを 利 用 した 場 合 に は リスト 型 攻 撃 の 対 象 になりうることに 留 意 する 必 要 が あります これはレルムごとに 同 じIDを 使 い 回 している 場 合 にも 同 じリスクがあると 言 えます もちろんパスワード の 使 い 回 しをしないことが 根 本 的 な 対 策 になりますが 同 じIDで 漏 えいデータの 紐 付 け 名 寄 せをされてしまうとい うリスクも 存 在 します *57 また メールアドレスをIDに 利 用 したためにSNSやショッピングサイトにおいてIDを 入 *56 クライアント 環 境 におけるマルウェア 感 染 対 策 については 本 レポートのVol.21(http://www.iij.ad.jp/company/development/report/iir/021.html)の 標 的 型 攻 撃 で 利 用 されるRAT PlugX 末 尾 で 詳 しく 紹 介 している *57 もちろん IDによる 名 寄 せに 限 らず 登 録 時 に 入 力 した 氏 名 や 電 話 番 号 などの 情 報 から 名 寄 せされる 脅 威 も 残 る 22

20 力 させるリマインダページに 知 人 などのメールアドレスを 入 力 することで プライベートな 情 報 が 漏 えいしてしまう 事 例 が 過 去 にありました これらの 状 況 を 受 けて レルム 独 自 IDの 発 行 も 行 うが メールアドレスもログイン 時 のID としても 利 用 できるかどうか ユーザに 選 択 権 を 与 えると いったシステムも 見 受 けられるようになりました このようにIDはこれまで 公 開 情 報 と 考 えられていました が 秘 匿 しておくべき 状 況 もありうると 認 識 される 事 例 も 存 在 します この 問 題 に 対 する 対 策 として 基 本 IDと 派 生 IDという 考 え 方 について 紹 介 します 各 種 ポータルサイト やSNSなどをIdPとして 利 用 する 場 合 には 同 じIDとトー クンの 組 で 多 種 多 用 なサービスを 利 用 するケースが 存 在 し ます このとき サービスに 応 じて 立 場 を 変 えたい 同 じ エンティティによる 発 言 や 操 作 であることを 知 られたくな いというシチュエーションが 出 てきました そこではじめ に 割 り 振 られたIDを 基 本 IDとして 実 際 にIDを 利 用 する 場 面 ではそれぞれのシチュエーションに 応 じて 異 なるIDを 派 生 させるというアイデアが 登 場 しています これは 前 述 したようにIDが 漏 えいすること 自 体 が 脅 威 であるとい う 状 況 を 防 ぐ 単 純 な 解 法 にあたります 派 生 IDによるログ インを 行 う 場 合 基 本 IDに 紐 付 けされたトークンを 利 用 し ますので 派 生 IDごとに 別 々のトークンを 管 理 する 煩 雑 さ はなくなります また 再 ログイン 時 にトークンの 再 入 力 は 必 要 なく 派 生 IDの 切 り 替 えのみでサービスに 応 じて 異 なる 派 生 IDで 立 ち 振 る 舞 いを 行 うことができるようになり ます 注 意 すべき 点 は どの 派 生 IDでログインしているか を 確 認 し 忘 れて 第 三 者 から 見 て 異 なるユーザによる2つ のアクティビティが 紐 付 けされるケースが 発 生 する 可 能 性 があることです 例 えばログイン 時 に 表 示 されているニッ クネームなどの 情 報 に 留 意 する 必 要 があるでしょう IDを 派 生 させるアイデアと 同 様 に 派 生 トークンという 概 念 を 考 えることもできます 基 本 トークンとは 別 に 派 生 トー クンを 基 本 IDと 結 びつけることで 基 本 IDと 派 生 トークン の 組 を 認 証 に 用 いる 手 法 になります この 派 生 トークンを 1 回 使 いきりのトークンと 考 えると ワンタイムパスワー ドの 亜 種 と 考 えることもできます 実 際 の 用 途 としては 例 えばスマートフォンのアプリケーションごとに 派 生 トー クンを 保 存 ( 実 際 にはトークンそのものではなく マスター パスワードなどを 使 って 暗 号 化 して 格 納 しているケースも 考 えられます)させておくケースが 考 えられます これはス マートフォンなどのパスワード 入 力 が 煩 雑 な 環 境 において は 有 用 な 機 能 と 考 えられます また もし 仮 に 特 定 のアプリ ケーションからのパスワード 漏 えいが 発 覚 した 場 合 でも 被 害 を 限 定 させると 共 に 基 本 パスワードの 変 更 ではなく 派 生 パスワードの 無 効 化 のみで 済 むというメリットもあり ます この 観 点 では 権 限 委 譲 を 行 っていると 考 えること もでき 派 生 トークンを 使 った 場 合 の 認 可 範 囲 を 基 本 トー クンの 認 可 範 囲 よりも 限 定 しておくことで トークン 漏 え い 時 の 影 響 を 最 小 限 に 抑 えることができます このように ユーザの 利 便 性 (ID 忘 却 )と 安 全 性 (ID 使 い 回 し やトークン 漏 えい)とのバランスを 考 慮 した 運 用 が 望 まれ ています 更 に この 派 生 ID 派 生 トークンの 概 念 を 拡 張 さ せることで 図 -15のように 基 本 IDと 基 本 トークンの 両 方 を 使 わない 認 証 認 可 の 仕 組 みも 可 能 となります このよう な 方 式 を 利 用 している 実 際 のシステムは 現 在 見 受 けられま せんが プライバシー 保 護 に 留 意 しているユーザの 将 来 的 なニーズに 応 じて こうした 新 しい 使 い 方 が 今 後 実 装 され るかもしれません ワンタイムパスワードのバリエーション ここまでIDとトークンの 使 い 方 に 関 するバリエーション を 紹 介 してきました 次 にトークンの 一 種 であり 1 回 ごと に 使 い 捨 てるワンタイムパスワードについて 解 説 します ワンタイムパスワードはこれまで 主 にインターネットバン キングシステムにおいて 利 用 されており 安 全 な 認 証 方 式 と 認 識 されてきました しかし2015 年 2 月 警 視 庁 により ID( 識 別 子 ) トークン クレデンシャル 基 基 本 ID 基 本 トークン クレデンシャル 派 生 トークン 派 生 ID 図 -15 派 生 トークンと 派 生 IDの 考 え 方 23

21 2014 年 のインターネットバンキングにおいて 不 正 送 金 の 事 例 が 公 開 され *58 被 害 金 融 機 関 数 は100を 超 えるなど 被 害 額 も 増 加 傾 向 にあることが 分 かりました 特 に 送 金 額 が 比 較 的 大 きな 法 人 口 座 における 攻 撃 が 注 目 されており 注 意 喚 起 がなされています *59 法 人 向 けインターネット バンキングの 認 証 において パスワード 単 独 で 利 用 する 方 式 に 加 え X.509 証 明 書 によるクライアント 認 証 (Strong Authentication)を 使 う 方 式 も 導 入 されており より 強 固 な 手 段 として 知 られていました しかし この 電 子 証 明 書 を 利 用 する 場 合 でもマルウェアに 感 染 したPC ブラウザな どから 自 動 的 に 振 込 が 行 われるケースが 露 呈 しました *60 このようにSSL/TLSクライアント 証 明 書 を 用 いた 認 証 方 式 でも 対 策 が 不 十 分 な 状 況 になっています このような 背 景 のもと インターネットバンキングシステ ムにおいて 認 証 方 式 の 強 化 が 進 められています 従 来 用 紙 やカードに 記 載 された 乱 数 表 やワンタイムパスワードを 表 示 するハードウェアデバイスが 利 用 されてきました 後 者 は ATMなどでも 認 証 に 用 いられるパスワードに 該 当 す る 第 一 暗 証 番 号 ( 数 字 4 桁 の 番 号 )と 併 用 して 一 時 的 なパス ワードも 同 時 に 入 力 することで 認 証 する 方 式 です 第 一 暗 証 番 号 が 漏 えいしていたとしても 1 回 ごとに 使 い 捨 てる ワンタイムパスワードを 利 用 することで 住 所 変 更 や 多 額 の 送 金 など 特 に 重 要 な 処 理 に 関 して 本 人 確 認 を 強 化 するこ とができます しかし Man-in-the-Browser 攻 撃 *61 や 中 間 者 攻 撃 に 代 表 されるように バンキングシステムにおけるトランザク ションのうち 例 えば 送 信 先 口 座 番 号 や 送 金 額 の 書 き 換 え が 行 われてしまうと 使 い 捨 てのワンタイムパスワードを 利 用 していたとしても 不 正 送 金 が 可 能 となってしまい ます これは 認 証 方 式 を 強 化 したとしても ブラウザなど で 表 示 されている 情 報 だけでは 正 しいトランザクション かどうかをユーザ 自 身 が 明 示 的 に 確 認 することができず 攻 撃 者 によって 実 際 にはトランザクションを 書 き 換 えられ ている 可 能 性 を 否 定 できない 問 題 を 示 しています この 問 題 に 対 して 入 力 デバイスを 備 えたハードウェアデバイス 利 用 の 移 行 が 進 められています これまでも 複 数 のバンキングシステムにおいて 認 証 時 にハードウェアデバイスを 併 用 する 対 策 が 採 られていま した しかし このハードウェアデバイスは 入 力 インタ フェースがなく 単 なるワンタイムパスワード 生 成 器 であっ たため 取 引 内 容 とは 関 係 なく 正 しいトークンを 保 持 し ているユーザかどうかのみを 判 定 するためにしか 利 用 でき ませんでした また 企 業 向 けのバンキングシステムでは 前 述 したX.509 証 明 書 の 利 用 だけでなく 特 定 のIPアドレス や 特 定 のPCからのトランザクションしか 受 け 付 けないな どの 副 次 的 な 対 策 もなされていましたが ユーザが 目 にす るトランザクション 自 体 を 書 き 換 えられている 場 合 も 考 え られるため 根 本 的 なMan-in-the-Browser 攻 撃 対 策 を 行 うことはできません つまり 本 人 確 認 を 強 化 しても 無 駄 な 対 策 になっていたわけです それに 対 して2015 年 に 入 り 金 融 機 関 によりワンタイム パスワードカード 利 用 開 始 のアナウンスがありました こ の 新 しいハードウェアデバイスは 従 来 のデバイスと 異 な りテンキーなどの 入 力 インタフェースを 持 つものであり 本 人 認 証 と 共 に 書 き 換 えられているかもしれないトランザ クションの 正 しさも 確 認 できる 手 法 が 採 用 されています このデバイスは 従 来 のようにハードウェアデバイスから ただ 単 に 出 力 されるワンタイムパスワードのみを 認 証 時 に 入 力 するのではありません どの 口 座 に 入 金 しようとして いるのかをユーザ 自 らが 口 座 番 号 を 入 力 することで 口 座 番 号 の 正 しさも 保 証 するワンタイムパスワードをデバイス で 生 成 表 示 する 機 能 を 持 ちます これにより 攻 撃 者 の 意 図 する 口 座 への 入 金 を 防 ぐことができますが 他 にもこの ときはじかれたトランザクションのログを 蓄 積 すること で 攻 撃 者 の 持 つ 口 座 のブラックリストを 自 動 的 に 形 成 す ることができるメリットがあります また ユーザ 利 便 性 *58 警 視 庁 平 成 26 年 中 のインターネットバンキングに 係 る 不 正 送 金 事 犯 の 発 生 状 況 等 について( 平 成 27 年 2 月 ) (https://www.npa.go.jp/cyber/pdf/h270212_ banking.pdf) *59 IPA 法 人 向 けインターネットバンキングの 不 正 送 金 対 策 しっかりできていますか?(2014 年 8 月 ) (https://www.ipa.go.jp/files/ pdf) *60 トレンドマイクロセキュリティブログ 法 人 ネットバンキングを 狙 う 電 子 証 明 書 窃 取 攻 撃 を 解 析 (http://blog.trendmicro.co.jp/archives/9417) *61 第 2 回 セキュアシステムシンポジウム 高 木 浩 光 渡 辺 創 Man-in-the-Browserの 脅 威 と 根 本 的 な 解 決 策 (https://www.risec.aist.go.jp/files/events/2014/0313- ja/risec-sympo2014-takagi.pdf) 24

22 を 考 慮 して 入 力 デバイスを 持 たない 単 なるワンタイムパ スワード 生 成 器 としても 利 用 できます これはユーザがあ らかじめ 登 録 している 口 座 は 安 全 であるという 前 提 のも と これらの 登 録 済 み 口 座 に 対 する 送 金 においては 口 座 番 号 の 入 力 を 省 くという 手 法 です 現 状 のこの 対 策 に 関 して 分 析 してみます まず1 点 目 は 口 座 番 号 のみを 入 力 しているため 入 金 額 に 関 してのトラン ザクションの 正 当 性 を 保 証 することはできません 大 多 数 のユーザが 登 録 している 例 えば 学 校 法 人 の 授 業 料 入 金 口 座 などの 場 合 ある 特 定 の 短 期 間 にトランザクションの 入 金 額 を 変 更 するなどの 業 務 妨 害 になりかねない 攻 撃 が 考 え られます 2 点 目 は 送 金 する 銀 行 を 指 定 していない 点 です この 場 合 攻 撃 対 象 となる 口 座 に 対 して 他 の 銀 行 の 同 じ 口 座 番 号 が 攻 撃 者 の 管 理 下 にある 場 合 不 正 に 送 金 されて しまうリスクがあります いずれも 口 座 番 号 だけをユー ザが 明 示 的 に 確 認 しているという 点 が 問 題 になります ト ランザクションのうち 例 えば 入 金 額 や 銀 行 コードなども ユーザが 明 示 的 に 確 認 するなど 対 策 を 講 じれば 講 じるほ ど ユーザがデバイスに 入 力 するデータが 増 えることにな ります この 点 については ユーザがどのくらいトランザ クションを 書 き 換 えられる 可 能 性 を 感 じているかに 応 じ て 様 々な 選 択 肢 を 与 えることが1つの 解 決 策 になると 考 えられます これはIDとしてメールアドレスを 許 可 するか どうかの 選 択 と 同 じような 考 え 方 に 基 づきます この 点 に おいても ユーザの 利 便 性 と 安 全 性 のバランスを 取 った 運 用 が 望 まれています 更 に FIDO AllianceによるSecond Factor UX *62 を 実 装 したブラウザも 現 れました パスワード 入 力 の 代 わりに USBなどのインタフェースを 介 して 小 さなハードウェアデ バイスを 持 っていることでパスワード 入 力 を 省 いて 本 人 認 証 を 行 うことができる 規 格 であり 昨 年 より 利 用 が 拡 大 し ています しかし 実 際 に 利 用 が 広 まると 以 下 のような 懸 念 も 生 まれます USBフラッシュメモリの 持 ち 運 びを 禁 止 す る 組 織 があるように FIDO 規 格 のUSBデバイスの 利 用 が 制 限 される 可 能 性 です そこで 社 員 証 のように 居 室 に 入 室 す る 際 に 必 ず 携 帯 し かつ 安 全 に 管 理 することが 求 められて いるICカード 型 のデバイスを 併 用 するなどの 製 品 が 今 後 登 場 する 可 能 性 もあるでしょう 現 在 これらの 本 人 認 証 方 式 の 移 行 は 過 渡 期 にあります 今 後 パスワードに 代 表 され るような"Something you know"だけの 単 体 利 用 ではなく "Something you have"もしくは"something you are"に カテゴライズされるトークンとの 併 用 が 必 須 となる 時 期 が 近 づいており ユーザは 重 要 な 通 信 に 対 し 多 少 利 便 性 を 損 なってでも 強 固 な 本 人 認 証 方 式 を 選 択 できる 時 代 が 始 ま りつつあります HDDのファームウェアを 再 プログラミングするマル ウェアのIOCの 検 討 2015 年 2 月 16 日 に Kaspersky 社 は Equation Group と 呼 ばれる 攻 撃 グループに 関 する 情 報 を 公 開 しました *63 Equation Group は EquationLaser EquationDrug DoubleFantasy TripleFantasy Fanny GrayFish といった 様 々なマルウェアのセットを 用 いますが 中 で もEquationDrugやGrayFishに 組 み 込 まれるプラグイン の1つである ハードディスクドライブ(HDD)のファーム ウェアを 再 プログラミングするモジュールを 利 用 してい る 点 がユニークであると 言 えます 同 社 によると このモ ジュールの 機 能 により ファイルシステムの 再 フォーマッ トやOSの 再 インストール 後 もマルウェアを 持 続 可 能 にし たり HDDの 中 に 不 可 視 なデータ 領 域 を 生 成 することが でき マルウェアの 検 出 も 削 除 も 困 難 な 状 況 になると 述 べています IIJでは 同 モジュールの 初 期 動 作 を 解 析 *64 し て メモリ 上 からその 存 在 を 検 出 するためのIndicator of Compromise(IOC) *65 を 検 討 しました 初 期 動 作 の 概 要 HDDのファームウェアを 再 プログラミングするモジュール ( 以 下 nls_933w.dll)は Platform Orchestratorと 呼 ばれ *62 The FIDO Alliance(https://fidoalliance.org/specifications/overview/) *63 Kaspersky 社 の 調 査 分 析 チーム(GReAT)からEquation Groupに 関 するレポートが 公 開 されている "EQUATION GROUP: QUESTIONS AND ANSWERS"(https:// securelist.com/files/2015/02/equation_group_questions_and_answers.pdf) *64 検 体 のMD5ハッシュ 値 は11fb08b9126cdb4668b3f5135cf7a6c5 *65 IOCとはネットワーク 上 や 端 末 内 に 残 る マルウェア 感 染 や 不 正 侵 入 の 脅 威 を 示 す 痕 跡 のこと メモリ 上 のIOCに 関 しては 本 レポートのVol.26(http://www.iij.ad.jp/ company/development/report/iir/pdf/iir_vol26.pdf)の 端 末 のメモリ 内 に 潜 む 脅 威 をスキャンするopenioc_scan を 参 照 のこと 25

本 資 料 に 関 する 詳 細 な 内 容 は 以 下 のページのPDF 資 料 をご 確 認 ください 本 資 料 は 要 約 です 情 報 セキュリティ10 大 脅 威 2015 https://www.ipa.go.jp/security/vuln/10threats2015.html Co

本 資 料 に 関 する 詳 細 な 内 容 は 以 下 のページのPDF 資 料 をご 確 認 ください 本 資 料 は 要 約 です 情 報 セキュリティ10 大 脅 威 2015 https://www.ipa.go.jp/security/vuln/10threats2015.html Co 情 報 セキュリティ10 大 脅 威 2015 ~ 被 害 に 遭 わないために 実 施 すべき 対 策 は?~ Copyright 2015 独 立 行 政 法 人 情 報 処 理 推 進 機 構 独 立 行 政 法 人 情 報 処 理 推 進 機 構 (IPA) 技 術 本 部 セキュリティセンター 2015 年 3 月 本 資 料 に 関 する 詳 細 な 内 容 は 以 下 のページのPDF

More information

インターネットを 取 り 巻 く 現 状 ~サイバー 空 間 の 脅 威 とサイバー 犯 罪

インターネットを 取 り 巻 く 現 状 ~サイバー 空 間 の 脅 威 とサイバー 犯 罪 平 成 26 年 12 月 16 日 フィッシング 対 策 セミナー2014 インターネットバンキングに 係 る 不 正 送 金 事 犯 被 害 の 実 態 と 防 止 策 警 察 庁 生 活 安 全 局 情 報 技 術 犯 罪 対 策 課 小 竹 一 則 インターネットを 取 り 巻 く 現 状 ~サイバー 空 間 の 脅 威 とサイバー 犯 罪 インターネットの 普 及 状 況 平 成 24 年

More information

本 日 の 講 演 内 容 ウェブ 改 ざんの 事 例 改 ざんの 原 因 (サーバ 側 ftpクライアント 側 ) 防 ぐための 管 理 (サーバ 側 ftpクライアント 側 ) 気 づくための 管 理 改 ざん 被 害 発 生 時 の 対 処 1

本 日 の 講 演 内 容 ウェブ 改 ざんの 事 例 改 ざんの 原 因 (サーバ 側 ftpクライアント 側 ) 防 ぐための 管 理 (サーバ 側 ftpクライアント 側 ) 気 づくための 管 理 改 ざん 被 害 発 生 時 の 対 処 1 ISOG-J 主 催 セミナー 事 例 から 学 ぶ!ウェブ 改 ざんの 実 態 と 対 策 ウェブ 改 ざんによる 被 害 とその 対 策 2013 年 12 月 12 日 独 立 行 政 法 人 情 報 処 理 推 進 機 構 技 術 本 部 セキュリティセンター 岡 野 裕 樹 本 日 の 講 演 内 容 ウェブ 改 ざんの 事 例 改 ざんの 原 因 (サーバ 側 ftpクライアント 側 )

More information

ビジネス化がさらに加速するサイバー攻撃

ビジネス化がさらに加速するサイバー攻撃 ビジネス 化 がさらに 加 速 するサイバー 攻 撃 株 式 会 社 ラック サイバーリスク 総 合 研 究 所 コンピュータセキュリティ 研 究 所 CSL Report August 2008 ビジネス 化 がさらに 加 速 するサイバー 攻 撃 進 化 し 続 けるアンダーグラウンドビジネス 1. はじめに... 3 2. 概 要... 3 3. コードインジェクション... 4 3-1 中

More information

ソフトウェア、プロトコル、ウェブサイトをめぐる動向

ソフトウェア、プロトコル、ウェブサイトをめぐる動向 Internet Week 2009 - H1 インターネットセキュリティ2009 - 脅 威 のトレンド2009 ~ソフトウェア プロトコル ウェブサイトをめぐる ウ 動 向 ~ 一 般 社 団 法 人 JPCERTコーディネーションセンター 2009 年 11 月 24 日 真 鍋 敬 士 最 近 気 になっていること 90 90 ある 公 開 アドレスに 届 いたメールのうち 実 行 ファイルが

More information

情 報 セキュリティ 上 の 事 案 1 分 散 型 サービス 妨 害 (DDoS) 攻 撃 2009 年 7 月 韓 国 米 国 の 金 融 機 関 や 政 府 機 関 等 のシステムが 攻 撃 を 受 け 数 日 間 に 亘 りウェブサイトへのアクセス 不 能 な 状 態 に 陥 ったことに 加

情 報 セキュリティ 上 の 事 案 1 分 散 型 サービス 妨 害 (DDoS) 攻 撃 2009 年 7 月 韓 国 米 国 の 金 融 機 関 や 政 府 機 関 等 のシステムが 攻 撃 を 受 け 数 日 間 に 亘 りウェブサイトへのアクセス 不 能 な 状 態 に 陥 ったことに 加 平 成 26 年 1 月 21 日 より 総 務 省 キャッチフレーズが 変 わりました! 総 務 省 における 情 報 セキュリティ 政 策 の 最 新 動 向 情 報 流 通 行 政 局 情 報 セキュリティ 対 策 室 本 田 知 之 情 報 セキュリティ 上 の 事 案 1 分 散 型 サービス 妨 害 (DDoS) 攻 撃 2009 年 7 月 韓 国 米 国 の 金 融 機 関 や 政

More information

サイバー攻撃対策ソリューションのご紹介

サイバー攻撃対策ソリューションのご紹介 Prowise Business Forum サイバー 攻 撃 対 策 ソリューションのご 紹 介 株 式 会 社 日 立 ソリューションズ セキュリティソリューション 部 坂 本 篤 郎 C o n t e n t s 1 APT 対 策 についての 考 察 2 出 口 対 策 ソリューション 3 入 口 対 策 ソリューション 1 APT( 新 しいタイプの 攻 撃 )とは? Advanced

More information

(Microsoft PowerPoint - No.1 20151029\203}\203C\203i\203\223\203o\201[\202\311\221\316\211\236\202\265\202\275\203Z\203L\203\205\203\212\203e\203B.pptx)

(Microsoft PowerPoint - No.1 20151029\203}\203C\203i\203\223\203o\201[\202\311\221\316\211\236\202\265\202\275\203Z\203L\203\205\203\212\203e\203B.pptx) マイナンバーに 対 応 した 情 報 システム 設 計 と セキュリティ 対 策 立 命 館 大 学 情 報 理 工 学 部 上 原 哲 太 郎 情 報 システムと 法 情 報 システムが 法 的 義 務 を 満 たす 必 要 がある 例 が 増 えてきている 特 定 電 子 メール 法 や 特 定 商 取 引 法 における 表 示 義 務 割 賦 販 売 法 におけるクレジット 番 号 の 安 全

More information

自 己 紹 介 企 業 組 織 のネットワークにセキュリティー 機 器 を 配 置 発 生 するアラートをSOCへ 集 約 アラートをSOCが 分 析 し 必 要 に 応 じてお 客 様 へご 連 絡 対 応 を 助 言 お 客 様 ネットワーク Security Operation Center

自 己 紹 介 企 業 組 織 のネットワークにセキュリティー 機 器 を 配 置 発 生 するアラートをSOCへ 集 約 アラートをSOCが 分 析 し 必 要 に 応 じてお 客 様 へご 連 絡 対 応 を 助 言 お 客 様 ネットワーク Security Operation Center IBM Security Systems 止 まらない!ウェブ 改 ざんの 実 態 と 対 策 Tokyo SOCから 見 た ウェブ 改 ざんの 実 態 日 本 アイ ビー エム 株 式 会 社 Tokyo Security Operation Center 窪 田 豪 史 2013/8/22 1 2012 IBM Corporation 自 己 紹 介 企 業 組 織 のネットワークにセキュリティー

More information

注 3 (2) 被 害 を 受 けた 特 定 電 子 計 算 機 のアクセス 管 理 者 被 害 を 受 けた 特 定 電 子 計 算 機 のアクセス 管 理 者 をみると 一 般 企 業 が 最 も 多 く(3,468 件 ) 次 いで 大 学 研 究 機 関 等 (56 件 )となっている 表

注 3 (2) 被 害 を 受 けた 特 定 電 子 計 算 機 のアクセス 管 理 者 被 害 を 受 けた 特 定 電 子 計 算 機 のアクセス 管 理 者 をみると 一 般 企 業 が 最 も 多 く(3,468 件 ) 次 いで 大 学 研 究 機 関 等 (56 件 )となっている 表 不 正 アクセス 行 為 の 発 生 状 況 第 1 平 成 26 年 中 の 不 正 アクセス 禁 止 法 違 反 事 件 の 認 知 検 挙 状 況 等 について 平 成 26 年 中 に 都 道 府 県 警 察 から 警 察 庁 に 報 告 のあった 不 正 アクセス 行 為 を 対 象 とし た 1 不 正 アクセス 行 為 の 認 知 状 況 (1) 認 知 件 数 平 成 26 年 中

More information

<4D6963726F736F667420506F776572506F696E74202D209574985E814683418376838A8350815B83568387839382D682CC91E3955C93498D558C822E707074>

<4D6963726F736F667420506F776572506F696E74202D209574985E814683418376838A8350815B83568387839382D682CC91E3955C93498D558C822E707074> 付 録 アプリケーションへの 代 表 的 攻 撃 (SQL)インジェクション データベースを 利 用 するアプリケーションに 対 して 外 部 からの 入 力 で 不 正 に データベースを 操 作 参 照 する 手 法 入 力 がSQL 以 外 のシステムのコマンド 等 として 処 理 される 場 合 に それらを 利 用 する コマンドインジェクションなども 類 似 の 攻 撃 パラメータ 改

More information

目 次 ICTの の 普 及 および 利 活 用 の 状 況 2 情 報 セキュリティに 関 する 問 題 発 生 の 状 況 10 政 府 おける 情 報 セキュリティの 状 況 22 企 業 における 情 報 セキュリティの 状 況 30 個 人 における 情 報 セキュリティの 状 況 33

目 次 ICTの の 普 及 および 利 活 用 の 状 況 2 情 報 セキュリティに 関 する 問 題 発 生 の 状 況 10 政 府 おける 情 報 セキュリティの 状 況 22 企 業 における 情 報 セキュリティの 状 況 30 個 人 における 情 報 セキュリティの 状 況 33 情 報 セキュリティに 関 する 各 種 データ 2008 年 1 月 16 日 ( 水 ) 内 閣 官 房 情 報 セキュリティセンター(NISC) http://www.nisc.go.jp/ 資 料 4-2 目 次 ICTの の 普 及 および 利 活 用 の 状 況 2 情 報 セキュリティに 関 する 問 題 発 生 の 状 況 10 政 府 おける 情 報 セキュリティの 状 況 22

More information

Microsoft Word - 仕様書

Microsoft Word - 仕様書 住 まいの 情 報 一 元 化 ホームページ 制 作 等 業 務 委 託 仕 様 書 1 業 務 名 住 まいの 情 報 一 元 化 ホームページ 制 作 等 業 務 2 期 間 契 約 締 結 日 から 平 成 28 年 3 月 31 日 まで 3 ホームページ 公 開 時 期 平 成 28 年 1 月 予 定 4 目 的 北 陸 新 幹 線 の 金 沢 開 業 により 交 流 人 口 が 増 え

More information

sophos-not-all-malware-detection-is-created-equal-wpjp.indd

sophos-not-all-malware-detection-is-created-equal-wpjp.indd マルウェア 検 出 製 品 に 今 必 要 な 機 能 - 難 読 化 された JavaScript コード 対 策 インターネットは ユーザーをマルウェアに 感 染 させる 最 大 の 経 路 です ソフォスでは 毎 日 2 3 秒 ごとに 新 しく 感 染 した Web ページを 検 出 しています このホワイトペーパーでは 安 全 を 確 保 するた めの 対 策 について 説 明 します Fraser

More information

ESET JAPAN CYBER-SAVVINESS REPORT 2016

ESET JAPAN CYBER-SAVVINESS REPORT 2016 日 本 版 ネット 常 識 力 レポート 2016 サイバーセキュリティ: 日 本 ユーザーの 意 識 知 識 行 動 に 関 する 調 査 1. この 調 査 の 実 施 理 由 2. 調 査 方 法 3. 要 点 4. セキュリティ 対 策 に 対 するユーザーの 自 信 5. サイバーセキュリティに 関 する 知 識 6. 日 本 のユーザーの 問 題 点 7. サイバー 攻 撃 への 対 策

More information

1. 本 事 案 の 概 要 1. 遠 隔 ウィルスによるトラブル 発 生 概 要 2012 年 ( 平 成 24 年 )の 初 夏 から 秋 にかけて 日 本 において 犯 人 がネットの 掲 示 板 を 介 して 他 者 のパソコンを 遠 隔 操 作 し これを 踏 み 台 としてウェブサイ ト

1. 本 事 案 の 概 要 1. 遠 隔 ウィルスによるトラブル 発 生 概 要 2012 年 ( 平 成 24 年 )の 初 夏 から 秋 にかけて 日 本 において 犯 人 がネットの 掲 示 板 を 介 して 他 者 のパソコンを 遠 隔 操 作 し これを 踏 み 台 としてウェブサイ ト D-Case 適 用 事 例 2 2012 年 のPC 遠 隔 操 作 による 誤 認 逮 捕 DEOSプロジェクト 2013 年 7 月 19 日 DEOS 研 究 開 発 センター JST-CREST 1. 本 事 案 の 概 要 1. 遠 隔 ウィルスによるトラブル 発 生 概 要 2012 年 ( 平 成 24 年 )の 初 夏 から 秋 にかけて 日 本 において 犯 人 がネットの 掲

More information

項 目 一 覧 Ⅰ 基 本 情 報 Ⅱ 特 定 個 人 情 報 ファイルの 概 要 ( 別 添 1) 特 定 個 人 情 報 ファイル 記 録 項 目 Ⅲ リスク 対 策 Ⅳ 開 示 請 求 問 合 せ Ⅴ 評 価 実 施 手 続 ( 別 添 2) 変 更 箇 所

項 目 一 覧 Ⅰ 基 本 情 報 Ⅱ 特 定 個 人 情 報 ファイルの 概 要 ( 別 添 1) 特 定 個 人 情 報 ファイル 記 録 項 目 Ⅲ リスク 対 策 Ⅳ 開 示 請 求 問 合 せ Ⅴ 評 価 実 施 手 続 ( 別 添 2) 変 更 箇 所 特 定 個 人 情 報 保 護 評 価 書 ( 重 点 項 目 評 価 書 ) 評 価 書 番 号 評 価 書 名 9 個 人 住 民 税 賦 課 に 関 する 事 務 重 点 項 目 評 価 書 個 人 のプライバシー 等 の 権 利 利 益 の 保 護 の 宣 言 三 島 市 は 個 人 住 民 税 賦 課 に 関 する 事 務 における 特 定 個 人 情 報 ファイルの 取 扱 いにあたり

More information

項 目 一 覧 Ⅰ 基 本 情 報 Ⅱ 特 定 個 人 情 報 ファイルの 概 要 ( 別 添 1) 特 定 個 人 情 報 ファイル 記 録 項 目 Ⅲ リスク 対 策 Ⅳ 開 示 請 求 問 合 せ Ⅴ 評 価 実 施 手 続 ( 別 添 2) 変 更 箇 所

項 目 一 覧 Ⅰ 基 本 情 報 Ⅱ 特 定 個 人 情 報 ファイルの 概 要 ( 別 添 1) 特 定 個 人 情 報 ファイル 記 録 項 目 Ⅲ リスク 対 策 Ⅳ 開 示 請 求 問 合 せ Ⅴ 評 価 実 施 手 続 ( 別 添 2) 変 更 箇 所 特 定 個 人 情 報 保 護 評 価 書 ( 重 点 項 目 評 価 書 ) 評 価 書 番 号 評 価 書 名 10 固 定 資 産 税 及 び 都 市 計 画 税 課 税 事 務 重 点 項 目 評 価 書 個 人 のプライバシー 等 の 権 利 利 益 の 保 護 の 宣 言 徳 島 市 は 固 定 資 産 税 及 び 都 市 計 画 税 課 税 事 務 における 特 定 個 人 情 報 ファイルの

More information

【セット】サイバー戦略指針

【セット】サイバー戦略指針 防 衛 省 自 衛 隊 によるサイバー 空 間 の 安 定 的 効 果 的 な 利 用 に 向 けて 平 成 24 年 9 月 防 衛 省 目 次 1. 趣 旨 2. 基 本 認 識 (1)サイバー 空 間 の 意 義 性 格 (2)サイバー 空 間 におけるリスク 1 サイバー 攻 撃 2 その 他 のリスク 3. 基 本 方 針 (1) 防 衛 省 自 衛 隊 の 能 力 態 勢 強 化 (2)

More information

Ⅰ マイナンバー 制 度 導 入 による 企 業 の 実 務 対 応 1 本 人 確 認 の 方 法 (1) 従 業 員 とその 扶 養 家 族 への 本 人 確 認 マイナンバーを 取 得 する 際 は 他 人 のなりすまし 等 を 防 止 するため 厳 格 な 本 人 確 認 を 行 わなくては

Ⅰ マイナンバー 制 度 導 入 による 企 業 の 実 務 対 応 1 本 人 確 認 の 方 法 (1) 従 業 員 とその 扶 養 家 族 への 本 人 確 認 マイナンバーを 取 得 する 際 は 他 人 のなりすまし 等 を 防 止 するため 厳 格 な 本 人 確 認 を 行 わなくては 不 正 防 止 リスク 対 策 Ⅰ マイナンバー 制 度 導 入 による 企 業 の 実 務 対 応 1. 本 人 確 認 の 方 法 2.マイナンバー 提 出 を 拒 否 された 場 合 の 対 応 方 法 3 ガイドライン 変 更 点 4. 実 務 ( 人 事 労 務 編 ) 5. 実 務 ( 経 理 編 ) Ⅱ マイナンバー 漏 えいと 対 応 方 法 1. 漏 えい 時 の 会 社 の 報

More information

Contents 1 マイナンバー 制 度 の 概 要 1 マイナンバーの 目 的 -------------------------------------------------- 01 2 マイナンバーの 概 要 ----------------------------------------

Contents 1 マイナンバー 制 度 の 概 要 1 マイナンバーの 目 的 -------------------------------------------------- 01 2 マイナンバーの 概 要 ---------------------------------------- 平 成 28 年 より 運 用 開 始 マイナンバー 制 度 の 概 要 と 企 業 に 求 められる 対 応 1 マイナンバー 制 度 の 概 要 2 法 人 におけるマイナンバー 制 度 3 マイナンバーの 取 扱 いに 関 する 留 意 点 Contents 1 マイナンバー 制 度 の 概 要 1 マイナンバーの 目 的 --------------------------------------------------

More information

慎 重 な 取 扱 いが 求 められる 個 人 番 号 マイナンバー( 個 人 番 号 )はe-TAXのように 個 人 が 特 に 希 望 し た 場 合 にのみ 利 用 されるものではなく 国 民 の 意 志 と 関 係 なく 政 府 や 地 方 公 共 団 体 とデジタル 的 に 結 ばれ 使

慎 重 な 取 扱 いが 求 められる 個 人 番 号 マイナンバー( 個 人 番 号 )はe-TAXのように 個 人 が 特 に 希 望 し た 場 合 にのみ 利 用 されるものではなく 国 民 の 意 志 と 関 係 なく 政 府 や 地 方 公 共 団 体 とデジタル 的 に 結 ばれ 使 . 事 業 者 が 備 えるべき マイナンバー 対 応 のポイント 平 成 2 7 年 5 月 1 5 日 JIPDEC( 一 般 財 団 法 人 日 本 情 報 経 済 社 会 推 進 協 会 ) マイナンバー 対 応 プロジェクト 室 慎 重 な 取 扱 いが 求 められる 個 人 番 号 マイナンバー( 個 人 番 号 )はe-TAXのように 個 人 が 特 に 希 望 し た 場 合 にのみ

More information

(1) 多 言 語 においては 日 本 語 英 語 韓 国 語 中 国 語 ( 繁 体 字 簡 体 字 )の4 言 語 以 上 に 対 応 し て 選 択 表 示 選 択 音 声 を 可 能 とすること 音 声 ガイダンス 用 のデータは 発 注 者 より 提 供 する (2)PC スマートフォン

(1) 多 言 語 においては 日 本 語 英 語 韓 国 語 中 国 語 ( 繁 体 字 簡 体 字 )の4 言 語 以 上 に 対 応 し て 選 択 表 示 選 択 音 声 を 可 能 とすること 音 声 ガイダンス 用 のデータは 発 注 者 より 提 供 する (2)PC スマートフォン 宇 城 市 観 光 情 報 WEB アプリケーション 設 計 構 築 保 守 運 用 委 託 業 務 公 募 型 プロポーザルに 係 る 仕 様 書 1 業 務 名 宇 城 市 観 光 情 報 WEB アプリケーション 設 計 構 築 保 守 運 用 委 託 業 務 ( 以 下 本 業 務 という ) 2 業 務 の 目 的 世 界 遺 産 三 角 西 港 をはじめとした 宇 城 市 の 魅 力 をPRして

More information

改 訂 履 歴 版 数 日 付 改 訂 内 容 改 訂 箇 所 1.0 2015 年 3 月 31 日 初 版 作 成 - - i -

改 訂 履 歴 版 数 日 付 改 訂 内 容 改 訂 箇 所 1.0 2015 年 3 月 31 日 初 版 作 成 - - i - ( 事 業 者 向 け) 1.0 版 2015 年 3 月 31 日 改 訂 履 歴 版 数 日 付 改 訂 内 容 改 訂 箇 所 1.0 2015 年 3 月 31 日 初 版 作 成 - - i - 目 次 1. はじめに... 1 2. システム 動 作 環 境... 1 2.1. 動 作 の 条 件 注 意 事 項... 1 2.1.1. JAVA スクリプトの 設 定... 1 2.1.2.

More information

目 次 1 本 業 務 の 概 要... 1 1.1 業 務 の 名 前... 1 1.2 業 務 の 背 景 と 目 的... 1 1.3 本 書 の 位 置 づけ... 1 1.4 業 務 への 取 組 状 況... 1 1.5 委 託 予 定 額... 2 1.6 委 託 業 務 の 範 囲.

目 次 1 本 業 務 の 概 要... 1 1.1 業 務 の 名 前... 1 1.2 業 務 の 背 景 と 目 的... 1 1.3 本 書 の 位 置 づけ... 1 1.4 業 務 への 取 組 状 況... 1 1.5 委 託 予 定 額... 2 1.6 委 託 業 務 の 範 囲. いわて 若 者 交 流 ポータルサイト 構 築 運 営 業 務 仕 様 書 平 成 26 年 8 月 岩 手 県 環 境 生 活 部 若 者 女 性 協 働 推 進 室 目 次 1 本 業 務 の 概 要... 1 1.1 業 務 の 名 前... 1 1.2 業 務 の 背 景 と 目 的... 1 1.3 本 書 の 位 置 づけ... 1 1.4 業 務 への 取 組 状 況... 1 1.5

More information

正 アクセスを 行 う 者 )により 捜 査 を 免 れるための 抜 け 穴 として 利 用 されることになってしまう しかる に 不 正 アクセスを 禁 止 する 法 律 がないのは G7 諸 国 の 中 ではわが 国 のみ ( 警 察 庁 ハイテク 犯 罪 対 策 重 点 推 進 プログラム 平

正 アクセスを 行 う 者 )により 捜 査 を 免 れるための 抜 け 穴 として 利 用 されることになってしまう しかる に 不 正 アクセスを 禁 止 する 法 律 がないのは G7 諸 国 の 中 ではわが 国 のみ ( 警 察 庁 ハイテク 犯 罪 対 策 重 点 推 進 プログラム 平 不 正 アクセス 禁 止 法 の 実 効 性 と 課 題 TheEfectivenesandtheSubjectofActagainstUnauthorizedAccess 木 田 良 弘 情 報 システム 監 査 株 式 会 社 キーワード: 不 正 アクセス 禁 止 法 検 挙 事 例 罰 則 防 御 側 の 対 策 の 二 面 性 高 度 情 報 通 信 社 会 の 健 全 な 発 展 1.はじめに

More information

ウ 既 存 のホームページからのデータの 移 行 の 際 は 最 新 の 情 報 へ 更 新 なお 既 存 の 観 光 情 報 等 に 不 足 する 項 目 があれば 収 集 したうえで 移 行 すること エ 写 真 その 他 のコンテンツ 及 びその 利 用 に 必 要 な 権 利 は 受 託 者

ウ 既 存 のホームページからのデータの 移 行 の 際 は 最 新 の 情 報 へ 更 新 なお 既 存 の 観 光 情 報 等 に 不 足 する 項 目 があれば 収 集 したうえで 移 行 すること エ 写 真 その 他 のコンテンツ 及 びその 利 用 に 必 要 な 権 利 は 受 託 者 出 水 市 観 光 情 報 サイト 構 築 業 務 仕 様 書 第 1 委 託 業 務 名 出 水 市 観 光 情 報 サイト 構 築 業 務 ( 以 下 本 業 務 という ) 第 2 委 託 業 務 の 目 的 出 水 市 の 観 光 情 報 サイト( 以 下 観 光 情 報 サイト という )の 日 本 語 サイトを 構 築 するとともに 英 語 韓 国 語 中 国 語 ( 繁 体 字 のみ

More information

Webアプリケーション脆弱性診断 ~WebSiteScan Pro~

Webアプリケーション脆弱性診断 ~WebSiteScan Pro~ エヌシーアイ Webアプリケーション 脆 弱 性 診 断 について ~WebSiteScan~ エヌシーアイ 株 式 会 社 の Webアプリケーション 脆 弱 性 診 断 とは? エヌシーアイ 株 式 会 社 のWebアプリケーション 診 断 とは WEBサイト 新 設 もしくはリニューア ル 時 のセキュリティ 診 断 として 広 くご 利 用 頂 いております SaaS 型 サービスの 為 お

More information

Microsoft PowerPoint - [JA]STEP2_メール訓練_事前教育資料_150731a-gsx.pptx

Microsoft PowerPoint - [JA]STEP2_メール訓練_事前教育資料_150731a-gsx.pptx 不 審 なメールの 取 扱 法 について アジェンダ 1 2 3 4 5 6 7 8 9 標 的 型 メールとは? 標 的 型 攻 撃 (サイバー 攻 撃 )の 発 端 不 審 なメールの 添 付 ファイルやURLをクリックすると? ウイルス 対 策 ソフトを 導 しているから 丈 夫!? 誰 が 狙 われてメールを 送 りつけられるの? 実 際 にどんなメールが 送 られてくるの? 不 審 なメールの

More information

Microsoft Corporation のガイドラインに 従 って 画 面 写 真 を 使 用 しています Microsoft Windows Windows Vista は 米 国 Microsoft Corporation の 米 国 及 びその 他 の 国 における 登 録 商 標 又 は

Microsoft Corporation のガイドラインに 従 って 画 面 写 真 を 使 用 しています Microsoft Windows Windows Vista は 米 国 Microsoft Corporation の 米 国 及 びその 他 の 国 における 登 録 商 標 又 は 書 類 閲 覧 用 端 末 要 件 平 成 25 年 4 月 金 融 庁 総 務 企 画 局 企 業 開 示 課 Microsoft Corporation のガイドラインに 従 って 画 面 写 真 を 使 用 しています Microsoft Windows Windows Vista は 米 国 Microsoft Corporation の 米 国 及 びその 他 の 国 における 登 録 商

More information

ア CMS によるホームページであること イ ページ 内 に Twitter や Facebook のアイコンを 作 成 し リンクを 張 れるように すること ウ サイト 内 検 索 ができること エ ページ 内 に Google マップなどの 地 図 情 報 が 掲 載 できること オ ページ

ア CMS によるホームページであること イ ページ 内 に Twitter や Facebook のアイコンを 作 成 し リンクを 張 れるように すること ウ サイト 内 検 索 ができること エ ページ 内 に Google マップなどの 地 図 情 報 が 掲 載 できること オ ページ 足 利 市 創 業 支 援 ホームページ 作 成 業 務 に 係 る 公 募 型 プロポーザル 仕 様 書 1 業 務 名 足 利 市 創 業 支 援 ホームページ 作 成 業 務 2 業 務 の 目 的 本 業 務 は 主 に 市 内 外 の 創 業 希 望 者 をターゲットに 必 要 な 情 報 を 網 羅 的 に 取 得 可 能 なホームページを 開 設 し かつ 元 々 本 市 へ 関 心

More information

News Release ( 参 考 ) (1)インターネットをめぐる 消 費 者 トラブルの 主 な 例 利 用 した 覚 えのないオークションサイトから 出 品 手 数 料 を 請 求 された 子 供 が 親 の 携 帯 電 話 を 無 断 で 使 用 してインターネットにアクセスし 高 額 の

News Release ( 参 考 ) (1)インターネットをめぐる 消 費 者 トラブルの 主 な 例 利 用 した 覚 えのないオークションサイトから 出 品 手 数 料 を 請 求 された 子 供 が 親 の 携 帯 電 話 を 無 断 で 使 用 してインターネットにアクセスし 高 額 の News Release 平 成 21 年 12 月 3 日 消 費 者 庁 独 立 行 政 法 人 国 民 生 活 センター インターネットをめぐる 消 費 者 トラブルについて (#1 ワンクリック 請 求 ) 消 費 者 庁 の 情 報 ダイヤルや PIO-NET での 情 報 においては インターネットをめぐる 消 費 者 トラ ブルが 多 く 見 られるところです こうしたトラブルは 多

More information

3.コンテンツの 作 成 機 能 3-1 IDごとに 編 集 権 限 を 設 け 権 限 に 応 じたメニューが 表 示 されること 3-2 管 理 者 はすべてのページにおいて 編 集 する 権 限 があること 3-3 複 数 のユーザーが 同 時 に 同 一 のページを 更 新 できないこと 基

3.コンテンツの 作 成 機 能 3-1 IDごとに 編 集 権 限 を 設 け 権 限 に 応 じたメニューが 表 示 されること 3-2 管 理 者 はすべてのページにおいて 編 集 する 権 限 があること 3-3 複 数 のユーザーが 同 時 に 同 一 のページを 更 新 できないこと 基 ( 別 紙 ) 志 摩 市 ホームページ 構 築 業 務 CMS 機 能 調 査 表 対 応 欄 : 本 業 務 の 委 託 費 用 内 で 対 応 可 能 : 代 替 案 により 本 業 務 の 委 託 費 用 内 で 対 応 可 能 ( 代 替 案 欄 に 代 替 案 をご 記 入 ください ) : 対 応 不 可 項 目 番 号 要 件 対 応 代 替 案 1-1 1.システム 基 本 要 件

More information

Microsoft Word - (20070728)化審法3条.doc

Microsoft Word - (20070728)化審法3条.doc e-gov 電 子 申 請 システムを 使 用 した 少 量 新 規 化 学 物 質 製 造 輸 入 申 出 提 出 マニュアル 平 成 19 年 7 月 経 済 産 業 省 製 造 産 業 局 化 学 物 質 管 理 課 化 学 物 質 安 全 室 e-gov 電 子 申 請 システムを 使 用 した 少 量 新 規 化 学 物 質 製 造 輸 入 申 出 の 提 出 マニュアル 目 次 1. 提

More information

安否確認サービスユーザーマニュアル

安否確認サービスユーザーマニュアル ユーザーマニュアル Ver.6.6.1 目 次 1 章 はじめに... 1 1.1 本 書 の 利 用 について... 1 1.2 ユーザーの 役 割 別 名 称 について... 1 1.3 ユーザーが 利 用 できる 機 能 について... 1 1.4 WEB ブラウザーについて... 2 1.4.1 Internet Explorer のセキュリティ 設 定 について... 2 1.5 携 帯

More information

Microsoft PowerPoint - 内閣官房説明資料.pptx

Microsoft PowerPoint - 内閣官房説明資料.pptx マイナンバー 制 度 の 概 要 について 内 閣 官 房 社 会 保 障 改 革 担 当 室 内 閣 府 大 臣 官 房 番 号 制 度 担 当 室 内 閣 官 房 説 明 資 料 マイナンバー 制 度 は 行 政 を 効 率 化 し 国 民 の 利 便 性 を 高 め 公 平 公 正 な 社 会 を 実 現 する 社 会 基 盤 です 公 平 公 正 な 社 会 の 実 現 所 得 や 他 の

More information

デンマーク 住 民 登 録 番 号 10 桁 1968 年 税 務 年 金 住 民 登 録 選 挙 兵 役 諸 統 計 教 育 等 韓 国 住 民 登 録 番 号 13 桁 1968 年 税 務 社 会 保 険, 年 金 住 民 登 録 選 挙 兵 役 教 育 等 スウエーデン 住 民 登 録 番

デンマーク 住 民 登 録 番 号 10 桁 1968 年 税 務 年 金 住 民 登 録 選 挙 兵 役 諸 統 計 教 育 等 韓 国 住 民 登 録 番 号 13 桁 1968 年 税 務 社 会 保 険, 年 金 住 民 登 録 選 挙 兵 役 教 育 等 スウエーデン 住 民 登 録 番 マイナンバー 制 度 と その 対 策 と 対 応 評 議 員 経 営 労 務 コンサルタント 部 部 長 大 阪 兵 庫 支 部 長 靱 隆 幸 マイナンバーは 国 内 に 住 所 のある 人 に 割 り 当 てられる12 桁 の 番 号 です 制 度 の 開 始 にあたり 個 人 も 企 業 も 準 備 が 要 ります 各 世 帯 には10 月 に 入 るとマイナンバーを 記 載 した 通 知

More information

CEAS/Sakai 困ったときのヘルプ集20150401

CEAS/Sakai 困ったときのヘルプ集20150401 CEAS/Sakai 連 携 システム 困 ったときのヘルプ 集 (version 1.1) 2015.4.1. 本 書 では 問 い 合 わせ 口 に 寄 せられる 問 い 合 わせの 内 頻 度 の 高 い 物 を 中 心 にリスト アップし 主 な 対 処 法 をまとめて 掲 載 しています エラー 画 面 が 表 示 されたり 問 題 が 発 生 した 際 に 参 考 にしてください なお

More information

03 CMS機能審査表.xls

03 CMS機能審査表.xls 厚 真 町 ホームページ 構 築 業 務 CMS 機 能 調 査 表 ( 別 紙 ) 対 応 欄 : 本 業 務 の 委 託 費 用 内 で 対 応 可 能 : 代 替 案 により 本 業 務 の 委 託 費 用 内 で 対 応 可 能 ( 代 替 案 欄 に 代 替 案 をご 記 入 ください ) : 対 応 不 可 項 目 番 号 要 件 対 応 代 替 案 1 1.システム 基 本 要 件 Windows

More information

Active! mail のプログラムとマニュアルは 著 作 権 法 で 保 護 された 著 作 物 で その 全 部 または 一 部 を 許 可 なく 複 製 したり 複 製 物 を 配 布 したり あるいは 他 のコンピュータ 用 に 変 換 したり 他 の 言 語 に 翻 訳 すると 著 作

Active! mail のプログラムとマニュアルは 著 作 権 法 で 保 護 された 著 作 物 で その 全 部 または 一 部 を 許 可 なく 複 製 したり 複 製 物 を 配 布 したり あるいは 他 のコンピュータ 用 に 変 換 したり 他 の 言 語 に 翻 訳 すると 著 作 Active! mail 6.52 ユーザーズマニュアル(スマートフォン 版 ) Active! mail のプログラムとマニュアルは 著 作 権 法 で 保 護 された 著 作 物 で その 全 部 または 一 部 を 許 可 なく 複 製 したり 複 製 物 を 配 布 したり あるいは 他 のコンピュータ 用 に 変 換 したり 他 の 言 語 に 翻 訳 すると 著 作 権 の 侵 害 とな

More information

<4D6963726F736F667420506F776572506F696E74202D2081798381838B837D834B8E9197BF817A57656283548343836782CC835A834C8385838A8365834291CE8DF482C982C282A282C42E707074205B8CDD8AB78382815B83685D>

<4D6963726F736F667420506F776572506F696E74202D2081798381838B837D834B8E9197BF817A57656283548343836782CC835A834C8385838A8365834291CE8DF482C982C282A282C42E707074205B8CDD8AB78382815B83685D> Webサイトのセキュリティ 対 策 について Copyright 2012 Internet & Communication Innovator, Ltd. All Rights Reserved. 情 報 セキュリティ 対 策 について 情 報 セキュリティ 対 策 は 必 要 ですか?? という 問 いに 対 して 企 業 経 営 者 情 報 システム 担 当 者 は もちろん IT ITを 利

More information

(Microsoft Word - AADS\212\307\227\235\203T\201[\203o\201[\211^\227p\203}\203j\203\205\203A\203\213v1.3.docx)

(Microsoft Word - AADS\212\307\227\235\203T\201[\203o\201[\211^\227p\203}\203j\203\205\203A\203\213v1.3.docx) Ahkun AutoDaily Server AADS 管 理 サーバー 運 マニュアル 株 式 会 社 アークン 目 次 1. Ahkun AutoDaily Server の 特 徴... 2 2. AutoDaily Server の 設 置... 2 3. クライアント PC へ AutoDaily をインストールする... 2 4. AutoDaily Manager( 管 理 コンソール)へのログイン...

More information

6 新 規 ページ 作 成 (ア)Aランク ページ 作 成 に5 時 間 を 超 える 時 間 を 要 する 作 業 (イ)Bランク ページ 作 成 に5 時 間 以 内 の 時 間 を 要 する 作 業 7 画 像 スキャン 8 画 像 加 工 9 リンク 設 置 10 ページ 削 除 (ア)ナビ

6 新 規 ページ 作 成 (ア)Aランク ページ 作 成 に5 時 間 を 超 える 時 間 を 要 する 作 業 (イ)Bランク ページ 作 成 に5 時 間 以 内 の 時 間 を 要 する 作 業 7 画 像 スキャン 8 画 像 加 工 9 リンク 設 置 10 ページ 削 除 (ア)ナビ 仕 様 書 1. 業 務 名 国 立 西 洋 美 術 館 ホームページ 運 用 業 務 2. 業 務 の 目 的 国 立 西 洋 美 術 館 ホームページの 配 信 サーバーを 運 用 し 効 率 的 で 安 定 した 情 報 配 信 を 行 うと 共 に 配 信 情 報 の 編 集 及 びデザイン 公 開 を 行 う 3. 業 務 の 場 所 受 託 者 の 業 務 従 事 場 所 4. 業 務

More information

いということか 特 定 個 人 情 報 の 利 用, 提 供 の 制 限 について,どのようなことに 注 意 し 見 直 しをするのか 激 甚 災 害 時 等 の 速 やかな 対 応 のた め, 番 号 法 第 9 条 第 4 項 に 基 づく 目 的 外 利 用 を 追 加 すべきではないか 条

いということか 特 定 個 人 情 報 の 利 用, 提 供 の 制 限 について,どのようなことに 注 意 し 見 直 しをするのか 激 甚 災 害 時 等 の 速 やかな 対 応 のた め, 番 号 法 第 9 条 第 4 項 に 基 づく 目 的 外 利 用 を 追 加 すべきではないか 条 御 意 見 の 要 旨 と 1 総 括 的 意 見 (18 件 ) 個 人 情 報 の 保 護 をより 厳 しく 徹 底 する 内 容 になっており, 見 直 しに より 良 い 条 例 になることを 期 待 し ている 個 人 情 報 の 取 扱 いに 関 しては, 引 条 例 では, 個 人 情 報 の 収 集 の 制 限, 利 用, き 続 き 慎 重 にしてほしい 提 供 の 制 限, 電

More information

Microsoft Corporation のガイドラインに 従 って 画 面 写 真 を 使 用 しています Microsoft Windows Windows Vista は 米 国 Microsoft Corporation の 米 国 及 びその 他 の 国 における 登 録 商 標 又 は

Microsoft Corporation のガイドラインに 従 って 画 面 写 真 を 使 用 しています Microsoft Windows Windows Vista は 米 国 Microsoft Corporation の 米 国 及 びその 他 の 国 における 登 録 商 標 又 は 書 類 閲 覧 用 端 末 要 件 平 成 28 年 3 月 金 融 庁 総 務 企 画 局 企 業 開 示 課 Microsoft Corporation のガイドラインに 従 って 画 面 写 真 を 使 用 しています Microsoft Windows Windows Vista は 米 国 Microsoft Corporation の 米 国 及 びその 他 の 国 における 登 録 商

More information

2. 脆弱性により引き起こされた被害 ~ 被害事例のケーススタディ~

2. 脆弱性により引き起こされた被害 ~ 被害事例のケーススタディ~ 2. 脆 弱 性 により 引 き 起 こされた 被 害 ~ 被 害 事 例 のケーススタディ ~ 独 立 行 政 法 人 情 報 処 理 推 進 機 構 (IPA) セキュリティセンター 情 報 セキュリィ 技 術 ラボラトリー 2010 年 8 月 6 日 公 開 目 次 1. 被 害 事 例 に 基 づくケーススタディ 2. ケーススタディ(A) ショッピングサイトAへのSQLインジェクション

More information

マイナンバー対策マニュアル(物理的安全管理措置)

マイナンバー対策マニュアル(物理的安全管理措置) 物 理 的 安 全 管 理 措 置 目 的 物 理 的 安 全 管 理 措 置 は 以 下 の 点 を 目 的 として 対 処 をするものです 物 理 的 区 画 への 不 正 アクセスによる 情 報 漏 えいの 防 止 情 報 および 情 報 機 器 の 紛 失 盗 難 による 情 報 漏 えいの 防 止 本 項 では 目 的 ごとに 概 要 求 められる 要 件 と 手 法 をご 紹 介 します

More information

security

security セキュリティアセスメントのご 提 案 ~ 標 的 型 攻 撃 に 対 するセキュリティ 診 断 サービスについて~ 株 式 会 社 マイルストーン コンサルティング グループ 平 成 26 年 1 月 吉 日 セキュリティ 対 策 に 対 する 不 安 不 正 アクセス データ 持 ち 出 し 攻 撃 者 ( 内 部 犯 ) 不 正 アクセス DB 不 正 アクセス ウィルス 感 染 Internet

More information

日本システムウエア株式会社

日本システムウエア株式会社 ファイル 共 有 サービス AppNow! AppNow! 以 下 の 試 用 の 流 れ および 試 用 条 件 AppNow!サービス 試 用 規 約 をご 確 認 の 上 お 申 込 みください お 申 込 みをもって 試 用 条 件 および 試 用 規 約 に 同 意 いただいたものとみなし 試 用 環 境 のご 用 意 を 行 います 急 遽 キャンセル 等 が 必 要 になりましたら お

More information

マイナンバー 制 度 は 行 政 を 効 率 化 し 国 民 の 利 便 性 を 高 め 公 平 公 正 な 社 会 を 実 現 する 社 会 基 盤 です 公 平 公 正 な 社 会 の 実 現 所 得 や 他 の 行 政 サービスの 受 給 状 況 を 把 握 しやすくなるため 負 担 を 不

マイナンバー 制 度 は 行 政 を 効 率 化 し 国 民 の 利 便 性 を 高 め 公 平 公 正 な 社 会 を 実 現 する 社 会 基 盤 です 公 平 公 正 な 社 会 の 実 現 所 得 や 他 の 行 政 サービスの 受 給 状 況 を 把 握 しやすくなるため 負 担 を 不 民 間 事 業 者 の 対 応 平 成 27 年 1 月 版 愛 称 :マイナちゃん MjAxNS8wMS8xOSAxMDozMzoyOCA0MTQ0OQ== 内 閣 官 房 内 閣 府 特 定 個 人 情 報 保 護 委 員 会 総 務 省 国 税 庁 厚 生 労 働 省 マイナンバー 制 度 は 行 政 を 効 率 化 し 国 民 の 利 便 性 を 高 め 公 平 公 正 な 社 会 を 実

More information

項 目 一 覧 Ⅰ 基 本 情 報 Ⅱ 特 定 個 人 情 報 ファイルの 概 要 ( 別 添 1) 特 定 個 人 情 報 ファイル 記 録 項 目 Ⅲ リスク 対 策 Ⅳ 開 示 請 求 問 合 せ Ⅴ 評 価 実 施 手 続 ( 別 添 2) 変 更 箇 所

項 目 一 覧 Ⅰ 基 本 情 報 Ⅱ 特 定 個 人 情 報 ファイルの 概 要 ( 別 添 1) 特 定 個 人 情 報 ファイル 記 録 項 目 Ⅲ リスク 対 策 Ⅳ 開 示 請 求 問 合 せ Ⅴ 評 価 実 施 手 続 ( 別 添 2) 変 更 箇 所 特 定 個 人 情 報 保 護 評 価 書 ( 重 点 項 目 評 価 書 ) 評 価 書 番 号 評 価 書 名 8 固 定 資 産 税 賦 課 に 関 する 事 務 重 点 項 目 評 価 書 個 人 のプライバシー 等 の 権 利 利 益 の 保 護 の 宣 言 松 山 市 は 固 定 資 産 税 賦 課 に 関 する 事 務 での 特 定 個 人 情 報 ファイルの 取 扱 いが 個 人 のプライバシー

More information

第 二 章 政 府 機 関 の 情 報 セキュリティ 対 策 のための 基 本 指 針 (リスク 評 価 ) 第 三 条 各 府 省 庁 は 別 に 定 める 政 府 機 関 の 情 報 セキュリティ 対 策 における 政 府 機 関 統 一 管 理 基 準 及 び 政 府 機 関 統 一 技 術

第 二 章 政 府 機 関 の 情 報 セキュリティ 対 策 のための 基 本 指 針 (リスク 評 価 ) 第 三 条 各 府 省 庁 は 別 に 定 める 政 府 機 関 の 情 報 セキュリティ 対 策 における 政 府 機 関 統 一 管 理 基 準 及 び 政 府 機 関 統 一 技 術 政 府 機 関 の 情 報 セキュリティ 対 策 のための 統 一 規 範 平 成 23 年 4 月 21 日 平 成 24 年 4 月 26 日 改 定 情 報 セキュリティ 政 策 会 議 決 定 第 一 章 目 的 及 び 対 象 ( 第 一 条 第 二 条 ) 第 二 章 政 府 機 関 の 情 報 セキュリティ 対 策 のための 基 本 指 針 ( 第 三 条 第 四 条 ) 第 三 章

More information

策 を 掲 載 し 検 索 閲 覧 することができるようにする 開 発 したサイトを 平 成 29 年 3 月 1 日 ( 水 )までに 公 開 する また 公 開 にあたっ て 2 月 初 旬 には 必 要 な 動 作 検 証 を 行 えるスケジュールとすること 機 能 設 計 構 築 の 内 容

策 を 掲 載 し 検 索 閲 覧 することができるようにする 開 発 したサイトを 平 成 29 年 3 月 1 日 ( 水 )までに 公 開 する また 公 開 にあたっ て 2 月 初 旬 には 必 要 な 動 作 検 証 を 行 えるスケジュールとすること 機 能 設 計 構 築 の 内 容 ( 仮 称 ) 草 津 市 子 育 て 応 援 サイトおよびアプリ 構 築 業 務 仕 様 書 1 業 務 名 ( 仮 称 ) 草 津 市 子 育 て 応 援 サイトおよびアプリ 構 築 業 務 2 履 行 期 間 システム 運 用 構 築 導 入 業 務 契 約 締 結 日 から 平 成 29 年 2 月 28 日 まで システム 利 用 にかかる 業 務 平 成 29 年 3 月 1 日 から

More information

PowerPoint プレゼンテーション

PowerPoint プレゼンテーション Ver...5 ZEHビルダー ポータルサイト マニュアル はじめにお 読 みください 公 募 要 領 およびSIIホームページの よくあるご 質 問 をご 確 認 ください ID 取 得 申 込 を 行 う 前 に 公 募 要 領 (P6~) およびSIIホームページの よくあるご 質 問 を 必 ずご 確 認 ください 支 社 支 店 フランチャイズ 等 登 録 単 位 や 地 域 による 区

More information

Active! mail のプログラムとマニュアルは 著 作 権 法 で 保 護 された 著 作 物 で その 全 部 または 一 部 を 許 可 なく 複 製 したり 複 製 物 を 配 布 したり あるいは 他 のコンピュータ 用 に 変 換 したり 他 の 言 語 に 翻 訳 すると 著 作

Active! mail のプログラムとマニュアルは 著 作 権 法 で 保 護 された 著 作 物 で その 全 部 または 一 部 を 許 可 なく 複 製 したり 複 製 物 を 配 布 したり あるいは 他 のコンピュータ 用 に 変 換 したり 他 の 言 語 に 翻 訳 すると 著 作 Active! mail 6.54 ユーザーズマニュアル(スマートフォン 版 ) Active! mail のプログラムとマニュアルは 著 作 権 法 で 保 護 された 著 作 物 で その 全 部 または 一 部 を 許 可 なく 複 製 したり 複 製 物 を 配 布 したり あるいは 他 のコンピュータ 用 に 変 換 したり 他 の 言 語 に 翻 訳 すると 著 作 権 の 侵 害 とな

More information

スライド 1

スライド 1 院 内 IT 情 報 セキュリティの ご 提 案 株 式 会 社 プロアス 1 弊 社 のご 紹 介 名 称 設 立 代 表 取 締 役 所 在 地 : 株 式 会 社 プロアス :1978 年 10 月 : 伊 藤 泰 充 : 大 阪 市 淀 川 区 西 宮 原 1-5-33 新 大 阪 飯 田 ビル 医 療 機 関 様 向 け 主 な 事 業 案 内 医 事 会 計 システム Ultima-HP/CL

More information

項 目 一 覧 Ⅰ 基 本 情 報 Ⅱ 特 定 個 人 情 報 ファイルの 概 要 ( 別 添 1) 特 定 個 人 情 報 ファイル 記 録 項 目 Ⅲ リスク 対 策 Ⅳ 開 示 請 求 問 合 せ Ⅴ 評 価 実 施 手 続 ( 別 添 2) 変 更 箇 所

項 目 一 覧 Ⅰ 基 本 情 報 Ⅱ 特 定 個 人 情 報 ファイルの 概 要 ( 別 添 1) 特 定 個 人 情 報 ファイル 記 録 項 目 Ⅲ リスク 対 策 Ⅳ 開 示 請 求 問 合 せ Ⅴ 評 価 実 施 手 続 ( 別 添 2) 変 更 箇 所 特 定 個 人 情 報 保 護 評 価 書 ( 重 点 項 目 評 価 書 ) 評 価 書 番 号 評 価 書 名 9 個 人 住 民 税 関 係 事 務 重 点 項 目 評 価 書 個 人 のプライバシー 等 の 権 利 利 益 の 保 護 の 宣 言 個 人 住 民 税 関 係 事 務 における 特 定 個 人 情 報 ファイルの 取 扱 いにあたり 特 定 個 人 情 報 ファイルの 取 扱

More information

PowerPoint プレゼンテーション

PowerPoint プレゼンテーション マイナンバー 制 度 とは 1 本 日 の 説 明 の 流 れ 1 なぜマイナンバー 制 度 が 導 入 されるのか 2 マイナンバー 制 度 の 目 的 3 マイナンバー 制 度 の 導 入 の 効 果 4 マイナンバー 制 度 の 導 入 スケジュール 5 マイナンバー 制 度 の 安 全 安 心 について 6 これまでにいただいた 主 なご 質 問 2 1 なぜマイナンバー 制 度 が 導 入

More information

(1) SNS 間 のサービス 連 携 例 SNS 間 における 典 型 的 なサービス 連 携 の 例 を 示 します Twitpic と Twitter の 連 携 Twitpic によってアップロードした 画 像 を Twitter のツイートを 通 じて 簡 単 に 共 有 することが でき

(1) SNS 間 のサービス 連 携 例 SNS 間 における 典 型 的 なサービス 連 携 の 例 を 示 します Twitpic と Twitter の 連 携 Twitpic によってアップロードした 画 像 を Twitter のツイートを 通 じて 簡 単 に 共 有 することが でき 第 12-26-261 号 2012 年 10 月 1 日 独 立 行 政 法 人 情 報 処 理 推 進 機 構 今 月 の 呼 びかけ SNS におけるサービス 連 携 に 注 意! ~ あなたの 名 前 で 勝 手 に 使 われてしまいます ~ はじめに (ご 案 内 ) 2012 年 9 月 まで 毎 月 公 表 しておりました コンピュータウイルス 不 正 アクセスの 届 出 状 況 につ

More information

<8250814493648E7190BF8B818EF39574835683588365838082C98AD682B782E94641512E786C73>

<8250814493648E7190BF8B818EF39574835683588365838082C98AD682B782E94641512E786C73> 障 害 者 自 立 支 援 給 付 支 払 等 システム に 関 するFAQ に 関 するFAQ 1 簡 易 入 力 システム 導 入 作 業 環 境 以 前 簡 易 入 力 ソフトの 仕 様 はMicrosoft Office Excel 2003(Service Pack2 以 降 )となっ ていましたが この 点 について 現 状 でも 変 更 はないのでしょうか Excel 2007 2002

More information

もくじ 1. 個 人 情 報 漏 えい 調 査 結 果 2. サイバー 攻 撃 事 情 3. 内 部 犯 罪 内 部 不 正 行 為 2/ 38

もくじ 1. 個 人 情 報 漏 えい 調 査 結 果 2. サイバー 攻 撃 事 情 3. 内 部 犯 罪 内 部 不 正 行 為 2/ 38 Network Security Forum 2015 A3 多 様 なリスク 時 代 の セキュリティ 対 策 の 考 え 方 セキュリティ 被 害 調 査 WG 大 谷 尚 通 ( 株 )NTTデータ 2015 年 1 月 20 日 もくじ 1. 個 人 情 報 漏 えい 調 査 結 果 2. サイバー 攻 撃 事 情 3. 内 部 犯 罪 内 部 不 正 行 為 2/ 38 1. 個 人 情

More information

- 2-

- 2- 不 正 アクセス 禁 止 法 改 正 Q&A 平 成 24 年 3 月 第 180 回 国 会 において 不 正 アクセス 禁 止 法 が 改 正 され 同 年 5 月 1 日 から 改 正 法 が 施 行 されますが 改 正 内 容 等 に 関 してよくある 御 質 問 とそれに 対 する 回 答 を 一 問 一 答 形 式 で 掲 載 いたします Q1 今 回 の 改 正 の 背 景 と 改 正

More information

第26回国民文化祭京都府実行委員会

第26回国民文化祭京都府実行委員会 別 添 京 都 文 化 力 プロジェクト 2016-2020 ウェブサイト 作 成 指 針 2020 年 東 京 オリンピック パラリンピック 開 催 を 契 機 として 世 界 に 向 けて 日 本 及 び 京 都 の 文 化 芸 術 等 を 発 信 し 体 感 してもらう 京 都 文 化 力 プロジェクト 2016-2020( 以 下 京 都 文 化 力 プロジェクト という )を 国 内 外

More information

目 次 事 前 設 定 Internet Explorer の 設 定... 2 電 子 証 明 書 の 取 得 登 録 (パソコン 方 式 )... 7 電 子 証 明 書 の 更 新 (パソコン 方 式 )... 12 電 子 証 明 書 の 削 除 (パソコン 方 式 )... 17 電 子

目 次 事 前 設 定 Internet Explorer の 設 定... 2 電 子 証 明 書 の 取 得 登 録 (パソコン 方 式 )... 7 電 子 証 明 書 の 更 新 (パソコン 方 式 )... 12 電 子 証 明 書 の 削 除 (パソコン 方 式 )... 17 電 子 Ver.5.5 2016/7/11 Ver.5.5 目 次 事 前 設 定 Internet Explorer の 設 定... 2 電 子 証 明 書 の 取 得 登 録 (パソコン 方 式 )... 7 電 子 証 明 書 の 更 新 (パソコン 方 式 )... 12 電 子 証 明 書 の 削 除 (パソコン 方 式 )... 17 電 子 証 明 書 の 取 得 登 録 (IC カード 方

More information

2007年度版

2007年度版 4.ネットワーク 犯 罪 に 巻 き 込 まれないために 二 十 年 前 には 大 学 や 研 究 機 関 でしか 利 用 できなかったインターネットに 今 では 携 帯 電 話 やパソコン を 通 じて 誰 もがアクセスできるようになりました インターネットのおかげで 私 たちの 生 活 は 便 利 にな りましたが その 反 面 知 らない 間 に 犯 罪 の 被 害 者 や 加 害 者 になる

More information

目 次 1 はじめに...4 1.1 本 マニュアルで 記 載 する 内 容...4 1.2 システム 要 件...4 1.2.1 対 応 OS(オペレーティングシステム) 要 件...4 1.2.2 対 応 Web ブラウザ 要 件...7 1.2.3 ディスプレイ 解 像 度 要 件...9 1

目 次 1 はじめに...4 1.1 本 マニュアルで 記 載 する 内 容...4 1.2 システム 要 件...4 1.2.1 対 応 OS(オペレーティングシステム) 要 件...4 1.2.2 対 応 Web ブラウザ 要 件...7 1.2.3 ディスプレイ 解 像 度 要 件...9 1 商 工 中 金 外 為 Web 為 替 予 約 サービス ご 利 用 マニュアル 1ログイン 編 Ver.1.2 2015 年 3 月 - 1 - 目 次 1 はじめに...4 1.1 本 マニュアルで 記 載 する 内 容...4 1.2 システム 要 件...4 1.2.1 対 応 OS(オペレーティングシステム) 要 件...4 1.2.2 対 応 Web ブラウザ 要 件...7 1.2.3

More information

(Microsoft Word - \202Q.\216d\227l\217\221 .doc)

(Microsoft Word - \202Q.\216d\227l\217\221 .doc) 犬 山 市 ホームページ 再 構 築 及 び 保 守 運 用 業 務 委 託 仕 様 書 平 成 年 月 犬 山 市 (1) 背 景 と 目 目 () 基 本 方 針 次 () 安 定 した 稼 働 を 実 現 する いつでも 使 うことができる サイトの 構 築 1. (4) 親 しみやすく 効 果 的 な 広 報 広 聴 媒 体 としての 活 用. () 高 齢 者 障 害 者 を 含 めたすべての

More information

項 目 一 覧 Ⅰ 基 本 情 報 Ⅱ 特 定 個 人 情 報 ファイルの 概 要 ( 別 添 1) 特 定 個 人 情 報 ファイル 記 録 項 目 Ⅲ リスク 対 策 Ⅳ 開 示 請 求 問 合 せ Ⅴ 評 価 実 施 手 続 ( 別 添 2) 変 更 箇 所 1 ページ

項 目 一 覧 Ⅰ 基 本 情 報 Ⅱ 特 定 個 人 情 報 ファイルの 概 要 ( 別 添 1) 特 定 個 人 情 報 ファイル 記 録 項 目 Ⅲ リスク 対 策 Ⅳ 開 示 請 求 問 合 せ Ⅴ 評 価 実 施 手 続 ( 別 添 2) 変 更 箇 所 1 ページ 特 定 個 人 情 報 保 護 評 価 書 ( 重 点 項 目 評 価 書 ) 評 価 書 番 号 評 価 書 名 8 個 人 住 民 税 の 賦 課 に 関 する 事 務 重 点 項 目 評 価 書 個 人 のプライバシー 等 の 権 利 利 益 の 保 護 の 宣 言 西 東 京 市 は 個 人 住 民 税 の 賦 課 に 関 する 事 務 における 特 定 個 人 情 報 ファイ ルの 取 扱

More information

内 部 情 報 漏 えいとは? 2

内 部 情 報 漏 えいとは? 2 外 部 要 因 だけじゃない!! 止 まらない 内 部 犯 行 による 情 報 漏 えい ~ 効 果 的 な 抑 止 方 法 と 事 後 対 応 策 ~ ネットエージェント 株 式 会 社 2015 年 12 月 2 日 内 部 情 報 漏 えいとは? 2 情 報 漏 えいの 分 類 外 部 要 因 内 部 要 因 直 接 攻 撃 型 内 部 侵 入 型 故 意 によるもの ミスによるもの SQLインジェクション

More information

別 紙 釧 路 公 立 大 学 ホームページリニューアル 業 務 CMS 要 件 一 覧 NO ( 大 分 類 ) NO ( 中 分 類 ) NO ( 小 分 類 ) 3 静 的 HTML 作 成 4 HTMLソース 直 接 編 集 5 CSSソース 直 接 編 集 6 画 像 掲 載 7 アクセシ

別 紙 釧 路 公 立 大 学 ホームページリニューアル 業 務 CMS 要 件 一 覧 NO ( 大 分 類 ) NO ( 中 分 類 ) NO ( 小 分 類 ) 3 静 的 HTML 作 成 4 HTMLソース 直 接 編 集 5 CSSソース 直 接 編 集 6 画 像 掲 載 7 アクセシ 別 紙 釧 路 公 立 大 学 ホームページリニューアル 業 務 CMS 要 件 一 覧 NO ( 大 分 類 ) NO ( 中 分 類 ) NO ( 小 分 類 ) 説 明 利 用 者 組 織 管 理 パスワード 管 理 登 録 修 正 削 除 パスワード 期 限 管 理 組 織 名 組 織 ID 組 織 パスワードを 登 録 修 正 削 除 する 管 理 者 自 身 がパスワードの 設 定 変

More information

項 目 設 定 設 置 可 能 項 目 数 100 項 目 投 票 フォームの 設 置 可 能 投 票 項 目 数 1 項 目 (10 選 択 肢 ) 必 須 項 目 設 定 条 件 項 目 設 定 添 付 ファイル 合 計 容 量 入 力 項 目 を 必 須 項 目 に 設 定 できます フォーム

項 目 設 定 設 置 可 能 項 目 数 100 項 目 投 票 フォームの 設 置 可 能 投 票 項 目 数 1 項 目 (10 選 択 肢 ) 必 須 項 目 設 定 条 件 項 目 設 定 添 付 ファイル 合 計 容 量 入 力 項 目 を 必 須 項 目 に 設 定 できます フォーム 更 新 日 :2015 年 4 月 14 日 料 金 初 期 費 用 月 額 料 金 無 料 サーバーの 初 期 セットアップ 時 以 外 または 複 数 フォームメーラーを インストールする 場 合 には 別 途 費 用 が 必 要 となります 無 料 スペック 100 個 作 成 可 能 フォーム 数 一 般 投 票 注 文 フォームに 対 応 設 置 可 能 項 目 数 100 項 目 添 付

More information

新 規 就 農 支 援 Webサイト 制 作 業 務 委 託 公 募 型 プロポーザル 仕 様 書 1 業 務 の 名 称 新 規 就 農 支 援 Webサイト 制 作 業 務 委 託 2 業 務 の 目 的 福 井 県 若 狭 町 における 就 農 の 魅 力 や 就 農 支 援 を 広 くPRし

新 規 就 農 支 援 Webサイト 制 作 業 務 委 託 公 募 型 プロポーザル 仕 様 書 1 業 務 の 名 称 新 規 就 農 支 援 Webサイト 制 作 業 務 委 託 2 業 務 の 目 的 福 井 県 若 狭 町 における 就 農 の 魅 力 や 就 農 支 援 を 広 くPRし 平 成 27 年 度 次 世 代 就 農 リーダー 育 成 事 業 新 規 就 農 支 援 Webサイト 制 作 業 務 委 託 公 募 型 プロポーザル 仕 様 書 平 成 27 年 11 月 福 井 県 若 狭 町 1 新 規 就 農 支 援 Webサイト 制 作 業 務 委 託 公 募 型 プロポーザル 仕 様 書 1 業 務 の 名 称 新 規 就 農 支 援 Webサイト 制 作 業 務

More information

DIACERTサービス利用規約

DIACERTサービス利用規約 DIACERT サービス 利 用 規 約 ( 利 用 者 同 意 書 ) 2015 年 12 月 8 日 版 第 1 条 ( 総 則 ) 1. DIACERT サービス 利 用 規 約 ( 以 下 本 規 約 という )は ジャパンネット 株 式 会 社 ( 以 下 当 社 という )が 提 供 する DIACERT サービス ( 以 下 本 サービス という )の 利 用 に 関 し て 定 めたものです

More information

外 部 委 託 業 務 の 削 減 を 含 む 経 費 の 削 減 及 び 安 全 性 信 頼 性 の 強 化 を 行 い 更 なる 最 適 化 の 推 進 を 図 るため 政 府 全 体 で 利 用 可 能 な 府 省 共 通 システムの 基 盤 ( 以 下 共 同 利 用 システム 基 盤 とい

外 部 委 託 業 務 の 削 減 を 含 む 経 費 の 削 減 及 び 安 全 性 信 頼 性 の 強 化 を 行 い 更 なる 最 適 化 の 推 進 を 図 るため 政 府 全 体 で 利 用 可 能 な 府 省 共 通 システムの 基 盤 ( 以 下 共 同 利 用 システム 基 盤 とい 共 同 利 用 システム 基 盤 の 業 務 システム 最 適 化 計 画 2008 年 ( 平 成 20 年 )2 月 13 日 2009 年 ( 平 成 21 年 )8 月 28 日 改 定 2011 年 ( 平 成 23 年 )9 月 14 日 改 定 2012 年 ( 平 成 24 年 )9 月 7 日 改 定 各 府 省 情 報 化 統 括 責 任 者 (CIO) 連 絡 会 議 決 定

More information

項 目 一 覧 Ⅰ 基 本 情 報 ( 別 添 1) 事 務 の 内 容 Ⅱ 特 定 個 人 情 報 ファイルの 概 要 ( 別 添 2) 特 定 個 人 情 報 ファイル 記 録 項 目 Ⅲ 特 定 個 人 情 報 ファイルの 取 扱 いプロセスにおけるリスク 対 策 Ⅳ その 他 のリスク 対

項 目 一 覧 Ⅰ 基 本 情 報 ( 別 添 1) 事 務 の 内 容 Ⅱ 特 定 個 人 情 報 ファイルの 概 要 ( 別 添 2) 特 定 個 人 情 報 ファイル 記 録 項 目 Ⅲ 特 定 個 人 情 報 ファイルの 取 扱 いプロセスにおけるリスク 対 策 Ⅳ その 他 のリスク 対 特 定 個 人 情 報 保 護 評 価 書 ( 全 項 目 評 価 書 ) 評 価 書 番 号 12 評 価 書 名 岐 阜 市 国 民 年 金 事 務 全 項 目 評 価 書 個 人 のプライバシー 等 の 権 利 利 益 の 保 護 の 宣 言 岐 阜 市 は 国 民 年 金 事 務 における 特 定 個 人 情 報 ファイルの 取 扱 いにあた り 特 定 個 人 情 報 ファイルの 取 扱

More information

研究報告用MS-Wordテンプレートファイル

研究報告用MS-Wordテンプレートファイル メール 攻 撃 危 険 予 知 訓 練 システムの 開 発 1 木 村 壮 太 近 年, 中 小 企 業 への 標 的 型 攻 撃 の 件 数 が 増 加 している.その 一 方 で, 中 小 企 業 でも BYOD が 普 及 しつつあり, 会 社 統 制 しにくい 端 末 を 介 した 情 報 漏 えいの 増 加 が 考 えられる. 情 報 セキュリティへの 投 資 額 を 考 慮 すると, 中

More information

8.5 操 作 に 関 するユーザからの 問 合 せへの 対 応 - - - 8.6 操 作 に 関 する 管 理 者 様 からの 問 合 せへの 対 応 - - 8.7 管 理 者 アカウント 閉 塞 時 のロック 解 除 依 頼 - - 8.8 管 理 者 アカウント 閉 塞 時 のロック 解

8.5 操 作 に 関 するユーザからの 問 合 せへの 対 応 - - - 8.6 操 作 に 関 する 管 理 者 様 からの 問 合 せへの 対 応 - - 8.7 管 理 者 アカウント 閉 塞 時 のロック 解 除 依 頼 - - 8.8 管 理 者 アカウント 閉 塞 時 のロック 解 ケータイ 快 作! ASPサービス 仕 様 書 本 サービスは ケータイ 快 作!ASP 利 用 契 約 の 規 約 条 項 に 従 い 提 供 いたします 1. サービスの 対 象 株 式 会 社 日 立 ソリューションズ クリエイトは お 客 様 に 対 し 以 下 のサービス 対 象 について 次 項 以 降 に 記 した 内 容 のサービスを 提 供 します サービス 名 ケータイ 快 作!

More information

企業向けクライアント・サーバ用セキュリティ対策製品 TREND MICRO ビジネスセキュリティ 6.0のご紹介

企業向けクライアント・サーバ用セキュリティ対策製品 TREND MICRO ビジネスセキュリティ 6.0のご紹介 企 業 向 けクライアント サーバ 用 セキュリティ 対 策 製 品 TREND MICRO ビジネスセキュリティ 6.0のご 紹 介 トレンドマイクロ 株 式 会 社 プロダクトマーケティング 本 部 2009 年 7 月 作 成 TREND MICRO ビジネスセキュリティ 6.0とは? 最 近 の 脅 威 状 況 TREND MICRO ビジネスセキュリティ 6.0 姿 が 減 っていると 思

More information

e-Probatio PS2サービス利用約款

e-Probatio PS2サービス利用約款 e-probatio PS2 サービス 利 用 約 款 ( 本 約 款 の 目 的 と 範 囲 ) 第 1 条 e-probatio PS2 サービス 利 用 約 款 ( 以 下 本 約 款 といいます)は 株 式 会 社 エヌ テ ィ ティ ネオメイト( 以 下 当 社 といいます)が 運 営 する 電 子 認 証 局 ( 以 下 認 証 局 とい います)が 提 供 する e-probatio

More information

1. はじめに.3 2. 概 要.4 3. 独 自 のアプリケーションを 狙 った 攻 撃.5 3.1. ウェブサービスへの 攻 撃 傾 向 の 変 化.5 3.2. SQLインジェクションの 攻 撃 傾 向.6 3.3. パッケージウェブアプリケーションの 脆 弱 性 を 狙 った 攻 撃.8 4

1. はじめに.3 2. 概 要.4 3. 独 自 のアプリケーションを 狙 った 攻 撃.5 3.1. ウェブサービスへの 攻 撃 傾 向 の 変 化.5 3.2. SQLインジェクションの 攻 撃 傾 向.6 3.3. パッケージウェブアプリケーションの 脆 弱 性 を 狙 った 攻 撃.8 4 侵 入 傾 向 分 析 レポート vol.8 2006 年 サマリ 2007 年 3 月 13 日 JSOC AnalysisTeam 1. はじめに.3 2. 概 要.4 3. 独 自 のアプリケーションを 狙 った 攻 撃.5 3.1. ウェブサービスへの 攻 撃 傾 向 の 変 化.5 3.2. SQLインジェクションの 攻 撃 傾 向.6 3.3. パッケージウェブアプリケーションの 脆 弱

More information

送信アイコン操作ガイド

送信アイコン操作ガイド 送 信 アイコン 操 作 ガイド 日 本 ワムネット 株 式 会 社 技 術 部 2016 年 6 月 第 2.12 版 1 目 次 1 はじめに... 3 2 インストール... 4 Windows でのインストール 方 法... 5 MacOS X でのインストール 方 法... 6 3 アンインストール... 8 Windows でのアンインストール 方 法... 8 MacOS X でのアンインストール

More information

ASP・SaaS安全・信頼性に係る情報開示認定制度

ASP・SaaS安全・信頼性に係る情報開示認定制度 ASP SaaS 安 全 信 頼 性 に 係 る 情 報 開 示 認 定 制 度 認 定 の (1/7) 認 定 番 号 : 01321107, 名 称 :isearch(アイサーチ), 事 業 者 名 称 : デジアナコミュニケーションズ 株 式 会 社 / 1 開 示 情 報 の 時 点 開 示 情 報 の 日 付 開 示 情 報 の 年 月 日 ( 西 暦 ) 2015/6/17 事 業 所

More information

( 受 信 したメッセージの 確 認 検 索 ) ( 申 請 届 出 書 類 や 説 明 会 資 料 等 の 確 認 ダウンロード) (スケジュール/ToDo の 登 録 確 認 更 新 削 除 ) (ブックマークの 登 録 確 認 更 新 削 除 ) ( 受 信 したメッセージの 転 送 設 定

( 受 信 したメッセージの 確 認 検 索 ) ( 申 請 届 出 書 類 や 説 明 会 資 料 等 の 確 認 ダウンロード) (スケジュール/ToDo の 登 録 確 認 更 新 削 除 ) (ブックマークの 登 録 確 認 更 新 削 除 ) ( 受 信 したメッセージの 転 送 設 定 F-Station パソコン 版 マニュアル ( 受 信 したメッセージの 確 認 検 索 ) ( 申 請 届 出 書 類 や 説 明 会 資 料 等 の 確 認 ダウンロード) (スケジュール/ToDo の 登 録 確 認 更 新 削 除 ) (ブックマークの 登 録 確 認 更 新 削 除 ) ( 受 信 したメッセージの 転 送 設 定 ) ( 講 義 に 関 するお 知 らせの 確 認 )

More information

強い・よい企業とは

強い・よい企業とは マイナンバー 制 度 の 概 要 ( 社 会 保 障 税 番 号 制 度 ) 高 島 利 尚 ( 中 小 企 業 診 断 士 ITコーディネータ) ( 地 域 活 性 化 伝 道 師 ) toshi-takashima@nifty.com マイナンバー 制 度 の 概 要 Copyright 2015 T.Taka All rights reserved 2 マイナンバーとは マイナンバーは 住 民

More information

Microsoft Word - 成田市保全情報システム仕様書(案)

Microsoft Word - 成田市保全情報システム仕様書(案) 成 田 市 公 共 施 設 保 全 情 報 システム 構 築 業 務 委 託 仕 様 書 ( 案 ) 成 田 市 保 全 情 報 システム 構 築 業 務 委 託 の 主 な 業 務 内 容 及 びその 範 囲 は 本 仕 様 書 に 定 めるも のとする 1 件 名 成 田 市 公 共 施 設 保 全 情 報 システム 構 築 業 務 委 託 2 委 託 期 間 委 託 業 務 契 約 を 締 結

More information

屋外広告物管理システム システムフロー

屋外広告物管理システム システムフロー 屋 外 広 告 物 管 理 システムASPサービス 提 供 業 務 仕 様 書 目 次 1 屋 外 広 告 物 システムフロー 1 2 屋 外 広 告 物 管 理 システム 機 能 要 件 3 1 屋 外 広 告 物 管 理 3 (1) 屋 外 広 告 物 許 可 申 請 等 処 理 3 (2) 屋 外 広 告 物 データ 管 理 4 (3) 屋 外 広 告 物 催 促 管 理 5 (4) 屋 外

More information

Doc title click 'properties' to modify

Doc title click 'properties' to modify 電 子 メール 脅 威 調 査 レポート 2012 Jan.-Mar. サイバーソリューションズはアジア 地 域 を 重 点 に 電 子 メールに 対 する 脅 威 を 研 究 及 び 調 査 を 行 いました 2012 年 第 1 四 半 期 には 電 子 メールの 添 付 ファイル 外 部 リンクを 使 った 攻 撃 が 多 く 見 られ 今 後 も 引 き 続 き 警 戒 が 必 要 です 以

More information

本 操 作 説 明 書 について 本 操 作 説 明 書 は 物 品 電 子 調 達 システム 入 札 参 加 資 格 審 査 申 請 についての 操 作 を 説 明 したものです 動 作 環 境 本 アプリケーションは 以 下 の 環 境 にて 動 作 致 します OS 日 本 語 Microso

本 操 作 説 明 書 について 本 操 作 説 明 書 は 物 品 電 子 調 達 システム 入 札 参 加 資 格 審 査 申 請 についての 操 作 を 説 明 したものです 動 作 環 境 本 アプリケーションは 以 下 の 環 境 にて 動 作 致 します OS 日 本 語 Microso 兵 庫 県 物 品 電 子 調 達 システム 物 品 関 係 入 札 参 加 資 格 審 査 申 請 ~ ~ 平 成 27 年 12 月 兵 庫 県 本 操 作 説 明 書 について 本 操 作 説 明 書 は 物 品 電 子 調 達 システム 入 札 参 加 資 格 審 査 申 請 についての 操 作 を 説 明 したものです 動 作 環 境 本 アプリケーションは 以 下 の 環 境 にて 動

More information

産 農 産 物 の 地 産 地 消 の 推 進 と 置 賜 産 農 産 物 の 愛 用 運 動 を 実 施 することにより 置 賜 地 域 における 農 業 の 活 性 化 並 びに 地 域 の 活 性 化 を 図 ることを 目 的 に 平 成 年 度 に 設 立 したものである 設 立 以 降 生

産 農 産 物 の 地 産 地 消 の 推 進 と 置 賜 産 農 産 物 の 愛 用 運 動 を 実 施 することにより 置 賜 地 域 における 農 業 の 活 性 化 並 びに 地 域 の 活 性 化 を 図 ることを 目 的 に 平 成 年 度 に 設 立 したものである 設 立 以 降 生 おきたま 食 の 応 援 団 ウェブサイトの 作 成 及 び 運 用 仕 様 書 委 託 業 務 の 名 称 置 賜 産 農 産 物 愛 用 運 動 推 進 事 業 業 務 委 託 委 託 業 務 の 概 要 () 委 託 業 務 の 目 的 平 成 年 度 に 設 立 した おきたま 食 の 応 援 団 活 動 を 充 実 させるため おき たま 食 の 応 援 団 ウェブサイト( 以 下 本 サイト

More information

2 2-1 HTMLの 構 造 等 公 開 URLが 静 的 なHTMLであること 判 読 不 可 能 な 文 字 を 含 むものや 文 字 数 が 多 すぎるURL(いわゆる 動 的 なHTML)は 原 則 として 不 可 とする 2-2 任 意 なURLが 使 用 でき コンテンツ 作 成 時

2 2-1 HTMLの 構 造 等 公 開 URLが 静 的 なHTMLであること 判 読 不 可 能 な 文 字 を 含 むものや 文 字 数 が 多 すぎるURL(いわゆる 動 的 なHTML)は 原 則 として 不 可 とする 2-2 任 意 なURLが 使 用 でき コンテンツ 作 成 時 1 1-1 サイト 全 般 デザイン 等 サイト 全 体 が 標 準 化 統 一 化 されたページデザインとすること ただし サイトで 異 なるデザインで 作 成 表 示 することができること 1-2 ヘッダー フッターは 原 則 すべてのページで 統 一 したデザインとすること 1-3 ロゴ イラスト バナーなどサイトに 応 じたデザインで 作 成 すること 1-4 スマートフォンやタブレット 端

More information

PDFとは 【Portable Document Format】 ─ 意味・解説 : IT用語辞典 e-Words

PDFとは 【Portable Document Format】 ─ 意味・解説 : IT用語辞典 e-Words 1 / 18 NAA 福 岡 WEBマニュアル インターネット 不 在 応 札 サービス インターネット 不 在 応 札 サービスに 入 会 することで 次 のようなサービスを 利 用 することがで きます 1.インターネットからの 不 在 応 札 受 付 インターネットを 利 用 して 不 在 応 札 を 登 録 することができます 出 品 車 輌 を 検 索 し 指 値 を 入 力 することで

More information

<4D F736F F D208B9E91A B838B B E646F6378>

<4D F736F F D208B9E91A B838B B E646F6378> 京 造 メール 利 用 ガイド 京 都 造 形 芸 術 大 学 情 報 システム 課 2016/1/25 更 新 目 次 1. はじめに... 3 2. 初 期 設 定... 3 2-1. スマートフォンでメールを 受 信 する 設 定... 3 2-2. パソコンでメールを 受 信 する 設 定... 5 2-3. 携 帯 電 話 へメールを 転 送 する 設 定... 6 3. メール 送 信

More information

Microsoft PowerPoint - mobailmail_setup.ppt

Microsoft PowerPoint - mobailmail_setup.ppt beat モバイルメール サービス 設 定 手 順 書 富 士 ゼロックス 株 式 会 社 2010 年 12 月 はじめに beatモバイルメールサービスをご 利 用 のお 客 様 へ beatモバイルメールサービス をご 契 約 いただき 誠 にありがとうございます beatモバイルメールサービスは 携 帯 電 話 で 社 内 のメールを 送 受 信 したり 着 信 通 知 を 受 信 できるようにす

More information

学校ホームページ管理ツール導入委託提案要求仕様書

学校ホームページ管理ツール導入委託提案要求仕様書 ... 1... 1... 1... 1 CMS... 1... 1... 2 PC... 2 CMS... 3... 3... 3... 4... 5... 6... 6... 6... 7... 7... 8... 8... 8... 9... 9... 9... 11... 11... 12... 13... 13... 14... 14... 14... 15... 15... 15...

More information

エ シラバスの 公 開 サイトはレスポンシブ 対 応 ( 様 々な 種 類 の 機 器 や 画 面 サイズに 単 一 のファイルで 対 応 )しているこ オ 教 員, 職 員 の 利 用 グループを 作 成 し,グループ 毎 に 予 め 設 定 した 権 限 ( 利 用 メニューやマスタメンテナンス

エ シラバスの 公 開 サイトはレスポンシブ 対 応 ( 様 々な 種 類 の 機 器 や 画 面 サイズに 単 一 のファイルで 対 応 )しているこ オ 教 員, 職 員 の 利 用 グループを 作 成 し,グループ 毎 に 予 め 設 定 した 権 限 ( 利 用 メニューやマスタメンテナンス 仕 様 書 件 名 契 約 期 間 契 約 条 件 公 立 大 学 本 学 京 都 市 立 芸 術 大 学 ( 教 務 学 生 課 ) WEBシラバスシステムに 係 るソフトウェアのリース 契 約 締 結 日 から 平 成 32 年 9 月 30 日 1 目 的 京 都 市 立 芸 術 大 学 ( 以 下, 本 学 という )は, 従 来 実 施 していたシラバ ス 冊 子 の 作 成 を 取 り

More information

カ) SNS 機 能 の 導 入 連 携 キ) 日 本 語 英 語 の 二 カ 国 表 記 ク) 簡 易 版 のトップページの 作 成 ⅰ) 本 業 務 の 目 的 に 沿 ったWEBサイトの 全 体 構 成 を 検 討 提 案 し 作 成 すること ⅱ) Facebook や Instagram

カ) SNS 機 能 の 導 入 連 携 キ) 日 本 語 英 語 の 二 カ 国 表 記 ク) 簡 易 版 のトップページの 作 成 ⅰ) 本 業 務 の 目 的 に 沿 ったWEBサイトの 全 体 構 成 を 検 討 提 案 し 作 成 すること ⅱ) Facebook や Instagram 神 戸 国 際 フルート 音 楽 祭 WEBサイト 作 成 運 営 委 託 業 務 仕 様 書 1. 業 務 名 神 戸 国 際 フルート 音 楽 祭 WEBサイト 作 成 運 営 委 託 業 務 2. 業 務 目 的 平 成 29(2017) 年 5 月 25 日 から6 月 4 日 にかけて 神 戸 文 化 ホールにおいて 開 催 される 第 9 回 神 戸 国 際 フルートコンクール を 核

More information

Microsoft Word - CLOMO_Agreement_AntiV.doc

Microsoft Word - CLOMO_Agreement_AntiV.doc CLOMO MDM アンチウィルスオプション 利 用 規 約 CLOMO MDM アンチウィルスオプション 利 用 規 約 ( 以 下 本 規 約 とします)は 株 式 会 社 アイキューブドシステムズ( 以 下 当 社 とします)が 提 供 する SaaS サービス CLOMO ( 以 下 CLOMO とします) 及 びマカフィー 株 式 会 社 が 提 供 する Virus Scan Mobile

More information

1. 契 約 の 申 込 は 乙 が 設 定 されたサービス 内 容 を 確 認 し 甲 所 定 の 契 約 申 込 書 への 記 入 捺 印 提 出 により 行 うものとし 甲 が 契 約 申 込 書 を 受 領 することにより 本 契 約 が 成 立 するものとする 2. 既 に 申 込 済 み

1. 契 約 の 申 込 は 乙 が 設 定 されたサービス 内 容 を 確 認 し 甲 所 定 の 契 約 申 込 書 への 記 入 捺 印 提 出 により 行 うものとし 甲 が 契 約 申 込 書 を 受 領 することにより 本 契 約 が 成 立 するものとする 2. 既 に 申 込 済 み Cloud Payment 決 済 サービス 契 約 約 款 BitCash 決 済 第 1 条 ( 約 款 の 適 用 ) 1. 株 式 会 社 Cloud Payment( 以 下 甲 という)は このCloud Payment 決 済 サービス 契 約 約 款 を 定 め これによりCloud Payment 決 済 サービス( 以 下 サービスという)を 提 供 する 2. 本 契 約 は

More information

2016 vol.265 論 考 えていると 考 えられる さらにマイナンバーは 一 企 業 が 発 行 しているお 客 様 番 号 とは 異 なり どの 企 業 行 政 機 関 組 織 に とっても 同 一 人 を 同 一 番 号 で 特 定 することができ る したがって 組 織 をまたぐ 情

2016 vol.265 論 考 えていると 考 えられる さらにマイナンバーは 一 企 業 が 発 行 しているお 客 様 番 号 とは 異 なり どの 企 業 行 政 機 関 組 織 に とっても 同 一 人 を 同 一 番 号 で 特 定 することができ る したがって 組 織 をまたぐ 情 マイナンバー 制 度 の 概 要 とリスク 対 応 み ず ま ち 水 ま さ こ 町 雅 子 五 番 町 法 律 事 務 所 弁 護 士 1.はじめに 2016 年 1 月 より マイナンバー 制 度 が 本 格 始 動 した 既 に 勤 務 先 からマイナンバーを 聞 かれた り 地 方 公 共 団 体 窓 口 でマイナンバーの 提 示 を 求 められたりした 方 もいるだろう 一 方 で マスコ

More information

F-Secure Anti-Virus for Mac 2014

F-Secure Anti-Virus for Mac 2014 F-Secure Anti-Virus for Mac 2014 目 次 2 目 次 第 1 章 : 製 品 を 使 用 するには...3 1.1 インストールした 後 に...4 1.1.1 ライセンスの 管 理...4 1.1.2 本 製 品 を 起 動 する...4 1.2 コンピュータの 保 護 状 況 を 確 認 するには...4 1.2.1 全 体 の 保 護 ステータスを 表 示 する...4

More information