詐欺ＳＭＳ事例

（西日本新聞から）

 

最近のショートメッセージは油断できない。

• SMS：ショートメッセージシステム。単にショートメールと呼ぶことも。
  

常に犯罪が潜んでいる可能性について留意しなければいけない。

ショートメッセージにリンクが張り付けられていたら、100％疑っていいだろう。大手企業でも平気でリンクを張り付けてショートメールを送ってよこすから困る。不見識もいいところだ。

※

詐欺ＳＭＳ事例

/ 

｜１｜

070-3973-8868

楽天市場でご購入ありがとうございます。商品発送状況はこちらにてご確認ください。http://■■■■■■■.duckdns.org

*

1. 電話番号は詐欺ＳＭＳ発進用のもの。多くの人が検索している。取り敢えずスパム報告して、以後の着信はブロック。
2. 企業名は通販や物流に関するところを使っているようだ。
   
3. URLは誰が見ても正しいものではない。企業ドメイン名が入っていないから直ぐに詐欺メールと判断できる。 ■の部分は不規則コードで詐欺手順と連動していると推測できる。
4. ＜duckdns.org＞または＜duckdns.org SMS＞ でネット検索すると、詐欺の事例が山のようにヒットする。
5. duckdnsはアマゾンが提供するＡＷＳの一環で誰でも利用できるＤＮＳサービス。詐欺グループが悪用している。アマゾンの適切な対処が望まれる。

• ＳＭＳに記載のリンク（ＵＲＬ）は 決してスマホから直接クリック（タップ）したりしてアクセスしないこと！。詐欺かどうか判明できないものは、別のブラウザなどから検索して適正なアドレスかどうか確認する。正しいと分かった場合も、スマホから直接タップしてはいけない。リンクさせているＵＲＬと表示されているＵＲＬが異なっている可能性も考慮する必要があります。

/

｜２｜

au KDDI

こんにちは！au STARです☆

お持ちのギフト券（３０００ポイント分）が今月末で失効となります ！

ぜひご利用ください

●使い道や期限の確認はこちら！

http://■■■・・ 

（以下省略）

●配信を停止する

http://■■■・・ 

KDDI 

*

1. 結論から言うと、これは正規の案内だった。
2. 怪しげなMSMに注意。ご丁寧にリンクが２つも張り付けてある。しかし、このリンクには一度も触っていない。裏にどのようなリンクが張ってあるか分からない。ショートメッセージのリンクはクリックしないのが鉄則。
3. 普通の企業のKDDIからの傍迷惑なメッセージ。
4. そもそもau STARなど聞いたこともない。長い付き合いでもKDDIもauもころころサービスも名前も変更するのでそろそろうんざり。嫌気がさしている。

/

NTTドコモ｜セキュリティ事故の影に不適切審査？

• ＮＴＴドコモ
• ＢＳＩジャパン
• ＪＱＡ
• ＪＩＰＤＥＣ⇒ISMS-AC

1. https://isms.jp/
   

 

複数の認証機関がそれぞれ複数の適用範囲を設定して審査を続けている。ISMSではこれは大問題。 NTTドコモと言ってもグループ全体で統一的に認証取得をしている訳でないし、もしかすると抜け漏れの組織があるかも知れない。初回取得から既に10年以上も経過しているのに枠組みの変更見直しはされていない。ISMSに取り組み始めた初期の頃なら試行錯誤もあっただろうから止むを得ないが、そこに安住しているだけの只の審査サービス事業なら、社会的責任を十分果たしている審査機関と言えない。

ＮＴＴドコモの体質：

商品は最先端でも企業体質が超古い困った企業。 

銀行と同じで、改善プロセスが回り難い体質なのだ。

ＮＴＴドコモのISMS審査：

審査員が不適切を1つでも指摘しようものなら担当者の評価に響くというので審査所見は観察事項とグッドポイントで埋め尽くされる。指摘は仮に有っても軽微なもので即日対応済みというレベル。だよね。

 

ドコモの審査はJQAとBSIジャパンで取り合っている（分け合っている？）、このどちらの審査機関も、指摘しない（不適合なし）、指摘しても軽微のみ。多くは観察事項で、もっと多いのはグッドポイント。褒め殺しならまだいいが、ヨイショだったら悲惨。

 

1年前の事故（事件）について、どのような特別審査/臨時審査が行われたか 、この場合はJIPDEC⇒ISMS-ACで良いだろうが、説明責任を果たすべきだろう。

 

適用範囲が拡大されず、ばらばらで審査の有効性を 低いまま放置している審査機関の姿勢にも問題がある。

もし、今回の一連の事件の言い訳に「適用範囲外でした」と言うのが来たら、即時退場でしょう。外部リスクへの対応として検討されなければいけない。今回の事件はNTTドコモ全体が世間の非難を受けている事実を無視する訳にはいかないでしょう。

NTTドコモの一連の担当者～関係者が大馬鹿野郎と思う被害者の気持ちはもっともだが、お金（このお金は毎月の電話代の成れの果て）を貰って審査している審査機関の連中の目や耳が節穴だったら損害賠償ものではないか。

 

JIPDEC⇒ISMS-ACは当該審査機関に対する立ち入り審査をすべきだが、JIPDEC⇒ISMS-AC自身が寄り合い所帯で厳しさに欠けている。今回は世間の目のもある。油断すると国会で追及されかねない。大特急で、やるべきことをしっかりやっておかないと 不味いことになるのは自明。

 

NTTドコモは馴れ合いで形式化してしまった審査機関を変更してもっと真面目な姿勢のところを選択すべき。担当者を変えるだけでは駄目だろう。

※

https://mainichi.jp/articles/20200909/k00/00m/040/258000c

「ドコモ口座」不正引き出し、昨年5月にも　りそな銀で同じ手口　教訓生かされず？

毎日新聞2020年9月9日 20時37分(最終更新 9月9日 22時28分)
 

 「ドコモ口座」を紹介するNTTドコモのホームページ

　NTTドコモの電子マネー決済サービス「ドコモ口座」で提携する銀行口座から不正に預金が引き出された問題で、2019年5月にも同様の不正被害があったことが9日、明らかになった。ドコモはその後も本人確認を厳格化する対応をとっていなかった。今回の問題では本人確認の甘さが指摘されており、過去の教訓が生かされなかった可能性がある。

　ドコモなどによると、19年5月、提携を開始したりそな銀行の口座からドコモ口座に不正な入金が確認された。何者かが預金者になりすまし、銀行の口座番号や暗証番号を使って銀行口座から預金を引き出したとみられ、今回の問題と同じ手口だった。多額の被害が出たのを受けて、ドコモとりそなは同月中に銀行口座の新規登録を停止した。

　ドコモは、対策として銀行口座から1カ月の間に入金できる金額の上限を引き下げた。だが、本人確認を厳格化する対応はとらなかった。ドコモ口座を巡る問題では、口座を開設する際や銀行口座をひも付ける際の本人確認の甘さが指摘されており、当時もこうした不備を突かれた可能性がある。当時の対応についてドコモは、「銀行と協力をして改善を図った」（広報部）とコメントしている。

　今回の問題では、不正な引き出しの被害は地銀など少なくとも10行に拡大。ドコモは10日から、提携する35行全ての口座の新規登録を停止する。今後は2段階認証の導入など本人確認作業も強化する方針で、「銀行と協力の上、さらなるセキュリティーの強化に努めたい」（同）としている。【本橋敦子】

/

※

＠2020/09/11

りそな銀行の対応

りそな銀行はこのトラブル（詐欺事件）の対策としてあっさりドコモ連携を止めてしまった。ドコモ側の対応をイージー過ぎると見てか、基本的なスキームに疑問を抱いたのかは分からないが結果的には正しい選択をした。

ドコモの対応

1日か1か月かの利用額に上限値30万円を設定したとのことだ。このリスクをドコモのトップは受容したのだろうか。そもそもリスク算定はどのようにやったのか。

確かに、一人当たりの被害は最大30万円。2口座の人は60万円で収まっている。総額も2000万円に届かないレベルだ。その程度の金額は大したことないとしたのかな。

今現在、ドコモの経営陣がカメラの前で頭を下げているし、被害を受けた人たちへの損害額の弁償を表明しているが、失った信頼も含めて、それらは全て織り込み済みだったのか。

審査機関の問題

審査機関にいる審査員は玉石混合で様々だけど、実経験の少ないまま審査員になった人は当然として、実務経験の豊富な 人でも、最近のネットワークセキュリティなどに対する理解は不十分で適切な審査が出来ていない。文書類の形式的な審査でお茶を濁す輩も少なくない。

審査機関が審査員を割り当てるのはタクシーの配車とかウーバーイートの アサインと同じで空いている人、ロケーションが近い人が優先されてしまう。本当のプロフェッショナルは数が限られているのでお座敷の予約で新規に割り当てができない事情もある。

所詮、結果責任を負う訳でもない審査機関は最初から頼るべきものでもない。医者が悪いのでなく不養生してきた本人が悪いということだ。
 

/

サーバー欠陥の公表方法と管理者の問題と

 

これは単なる管理の不注意の問題だ。

 

欠陥が公表されているのに放置していた管理サイドの問題で、VPN の欠陥を探求しての犯罪ではない。公知の欠陥だから。

 

欠陥を公表する時の作法が必要かもしれない。管理者のレディネスをどこまで考慮するか。いきなり欠陥を公表したのならそのメーカーとか団体が問題だ。 予め通知しても、犯罪者も準備するからキリがないことだが、不意打ちよりはましだ。

 

/

https://digital.asahi.com/articles/ASN8T3TNMN8TUTIL002.html?pn=5

VPN欠陥つくサイバー攻撃　国内外900社の情報流出

2020年8月25日 11時58分

米国の公的機関は、パルス・セキュア社のVPN機器の欠陥と修正についての情報を提供している

　社外から企業内のネットワークに接続するときに使う「仮想プライベートネットワーク（VPN）」の通信機器の欠陥をついたとみられるサイバー攻撃があり、国内外900社が機器を使う際の情報が流出していたことが内閣サイバーセキュリティセンター（NISC）への取材でわかった。VPNはテレワークの拡大もあり、利用者が広がっている。

　NISCは8月中旬、匿名でやりとりできる「ダークウェブ」上で、VPNを利用する際のユーザー情報やパスワードなどがやりとりされていることを確認。流出した情報は暗号化されており、実際に不正ログインされた被害は把握していないという。

　被害に遭った企業などは、米パルス・セキュア社のVPN機器を利用していたとみられる。同社は昨年春、製品に外部からのサイバー攻撃で情報が流出するおそれがある欠陥が見つかったとして、修正プログラムを公開。更新するよう求めていた。今回流出が確認されたのは、更新前の装置から盗まれた情報とみられる。

　NISCの担当者は「サイバー攻撃者に狙われるきっかけになりかねない」とし、ソフトウェアを更新して常に最新の状態にしておくことや、2要素認証などの徹底を呼びかけている。



※

ZIPファイルを添付してメールする時のリスクチェック

そうなの？。ZIPは簡便な暗号化ツールを兼ねるぐらいに思っていたが。

パスワードを別メールにするメリットは、

• ①全てのメールは同じルートを通る訳ではないこと。だからメールを複数回に分ければそのバラツキの分だけリスクは回避できる。
• ②メールの送信ミスを致命的にしないメリットがある。思い込みで立て続けに送信すると同じ送信ミスを繰り返すこともある。
• 普通は、先に送ったものの受領確認メールを貰ってからパスワードを送る。しかし、このパスワードをメール本文にテキストで入れると監視者に簡単にチェックされてしまうので好ましくない。添付ファイルに記載した方が良い。

ツーデバイス認証の利用

• パスワードはSMSとか音声（普通の電話）とか、別環境を利用すればセキュリティはさらに改善されるのも今や常識。

添付ファイルの扱い

• 外部からの侵入口の1つが添付ファイル。これを開けると感染はよく聞く話。ZIPファイルが例外ではない。取引先とファイルのやり取りをする場合は、サーバーをスルーさせる訳にも行かないから、どうしても例外処理を導入しなければ困ることになる。イージーな企業では、馬鹿なことに添付ファイルのチェックそのものを外してしまう本末転倒をやる。
• ファイル交換はメール添付とは別の方法を導入すべきだろう。

/

実際に、ZIPファイルとパスワードを立て続けに受けることがある。馬鹿な会社だなと思う一方で、そういう扱いのファイルは特に機密でも何でもない。だから、本当に大事なファイルがどのように処理されているか分からない。

/

※

https://www.huffingtonpost.jp/entry/news_jp_5f1ec33cc5b638cfec478eea

NEWS

2020年07月28日 12時39分 JST | 更新 5時間前

その暗号化ZIPファイルの送付は「意味ないどころか有害」。セキュリティで信用失わないためには

暗号化ZIPファイルにして送信。その後、メールでパスワードを追いかけて送る。これは「おまじないにしか過ぎない」。さらには「意味がないだけではなく有害だ」と専門家は指摘する。リモートワークでも障害が出る。

    井上未雪／Miyuki Inoue

暗号化ZIPファイルの誤った使い方

HuffPost Japan

漏洩防止のため、重要なファイルをメールを送付する際、こんなやり方で送っていませんか。ファイルをパスワードを使って暗号化ZIPファイルにして送信。そのあとに、ファイルを開けるための、パスワードを同じメールアドレスに送るーー。銀行や弁護士、大企業なども使っている方法だ。

これは「意味がないだけではなく有害だ」。そう指摘するのは、アイデンティティ管理とプライバシー保護に詳しい「NATコンサルティング」代表の崎村夏彦さんだ。

多くの企業でセキュリティ強化の目的で、ZIPファイルを添付したメールとパスワードの通知をそれぞれ別のメールで送信することを内規などで推奨している。だが、ZIPさえ使っていればセキュリティ強化だと思い込む「盲信」に警鐘を鳴らす。

パスワードを送るのに同じ流通経路のメールを使うと、セキュリティは担保されない。同じ通信経路であるメールでパスワードを送ると、攻撃者がいた場合、同じ通信経路に流れるものは一挙に盗み見られるので、セキュリティは担保されないのだ。

また、ZIPファイル自体は問題ないとされているが、ZIPファイルの暗号化には複数の方式があり、一般に使われている方式は弱い暗号であるため、悪意のある攻撃者に対しては、脆弱だという指摘もある。

パスワードをSMSで送ったり、事前のオフラインで共有したりするなど、メール以外の流通経路を使えば問題はない。ただ、現状そのように周知徹底されることはほとんどないという。

情報処理学会2020年7月号の「さようなら，意味のない暗号化ZIP添付メール」の小特集の中で、ZIPファイルの使い方について、崎村さんらはこのように疑義を唱えた。

実は、ZIPファイル方式の無効性は以前から言われてきたことだ。このやり方が、過去にも様々なところで指摘されても、メールでパスワードを送ることが続いている。崎村さんは「セキュリティやプライバシーの監査基準で、メールなどのデータ転送の際に重要なデータは暗号化するようにと書いてあることを表面上満たすための最も安易な方法として実施されている可能性はある」と指摘する。この日本のZIPファイルをめぐる慣習は、もはや「おまじない」を信じているに過ぎない、という。

さらに崎村さんが「有害」と言う点。それは、メールの添付ファイルを使った攻撃に対して、暗号化されたZIPファイルは、中身がわからないが故に、企業が有害な中身がないかチェックする「マルウェア対策」を無効にしてしまう。そのため、かえって受信者のセキュリティリスクを高めている。

さらに、テレワークが増える今、会社支給のiPadやパソコン以外で仕事をすることも多くなっている。そんな中、デバイスによってはZIPファイルが開かないこともあるという。

受信者にとっては、開けるのに一手間かかるため面倒で、さらに、デバイスによっては開けられない状況に陥る可能性があるZIPファイルは業務の生産性の阻害にもなる。

今多く使われているZIPファイル方式では、2度メールを送るため、誤送信防止の効果があるという見方もあるが、「（2度の送信を）ツールで自動的にやっていたら意味ないですし、誤送信対策であったら、より効果的な方法が他にありますからそちらを採用すべきです」と崎村さんは指摘する。

情報処理学会誌などによると、識者の間ではこのZIPファイル方式を揶揄して、“PPAP”方式と呼ぶ。それは、

PasswordつきZIPファイルを送る

↓

Passwordを送る

↓

Aん号化（暗号化）する

↓

Protocol (データ通信の手順)

だからだ。

識者の間では、PPAP方式が変わらない状況に危機感を覚えているという。「意味のない対策にお金を使ってしまって、本来やるべき対策が疎かになっています。干ばつに備えるには、貯水池と灌漑設備を作らなければいけないのに、そのお金を使って神殿をつくって祈りを捧げるようなもの」と崎村さんは懸念する。

新しい動きも一部にはある。セキュリティ改善のため、ある企業では、外部からの暗号化のファイルは見られなくしたり、ファイルはDropboxやGoogleDriveで利用者認証付きで共有するなど、メール添付ではない方法で受け取るよう指導するところも出てきている。（ハフポスト日本版・井上未雪）

オンラインインタビューに答える崎村夏彦さん＝2020年7月

HuffPost Japan

※

文書管理｜公文書

公文書の管理は法律で定められている。細目は附則等で決めているだろう。考えたら、誰がチェックしているかな。今の時代に相応しいかどうか甚だ疑問。

国民がチェックできる体制が出来ていないので、鼻から民主主義には遠い。

時の為政者の都合で捻じ曲げも行われているようだから、救いようがないが、この問題は、別に民主主義には限らない。

組織の健全な継続発展には欠かせないものが蔑ろにされた訳で、 政体によらず国民の損失は大きい。

時効はない。

不適切は直すしかないからだ。

/

ルールを作っても、ご都合で捻じ曲げていたら、ルールの意味がない。尤も徹底して厳守すべき連中が、範を垂れるべき連中が、その逆をやって、誰も罰を受けない。示しがつかないし、官僚、役人、公務員のモラルももしベーションも下がる。

/

経営者（この場合は安倍晋三）が不健全だと、管理体系全体が歪んでしまう典型事例だ。規定類の問題ではなくて、経営者の資質の問題だ。経営者が馬鹿の場合、修正できる管理体制の問題ともいえる。

官僚の資質。毅然としたものが一つもない。良心のあった人は自ら命を絶ってしまった。

※

国会議事堂

国民には、森友や加計、桜を見る会の問題で、公文書に対する疑心暗鬼が生じている（写真はイメ―ジです） Photo:PIXTA

『公文書危機』　毎日新聞取材班 　毎日新聞出版刊　1500円＋税

https://diamond.jp/articles/-/243719

森友、加計、桜で露呈した公文書クライシス、民主主義は崩壊するのか

『公文書危機』

吉村博光：HONZ
経済・政治 週末はこれを読め！ from HONZ
2020.7.24 5:00

「公文書は民主主義に不可欠だが、

政府にはその認識がない」

　昨年、石橋湛山記念早稲田ジャーナリズム大賞を受賞した、毎日新聞の好評連載「公文書クライシス」。本書はその取材班が、取材の手の内を明かしながら、ふたたび公文書の闇を照らし出したレポートである。記者たちは今なお取材を続けており、その追及は凄みを増している。記事を読んだ方にも、間違いなく一読の価値がある本といえる。
『公文書危機』書影

　またもう一つ、本書『公文書危機』の大きな読みどころとなっているのが官邸と記者との生々しいやりとりだ。さすが、記者の手でまとめられた文章だけあって、構成と筆致が素晴らしい。森友や加計、桜を見る会の問題で、公文書に対する疑心暗鬼が生じている私たちにとって、今まさに読んでおくべき一冊だ。いきなり結論めいて恐縮だが、その現状について本書にはこう書いてある。

“公文書管理法は第1条で「公文書は健全な民主主義の根幹を支える国民共有の知的資源として、主権者である国民が主体的に利用しうるもの」と定めている。つまり、公文書は民主主義制度にとって欠かせないもので、国民のためにあるということだ。しかし、政府で働く人々にこうした意識があるようにはみえない。　　～本書「あとがき」より”

　つまり「公文書は民主主義に不可欠だが、政府にはその認識がない」と断言しているのだ。私があえて結論から始めたのは、深くて広いこの問題の根を丹念に探っていくことこそ、本書の肝だと思ったからである。本稿では、取材班が最も鋭く追及している「公文書ガイドライン（2017年12月改定）の実態」を中心に取り上げたい。

次のページ

ガイドライン改定案に対する各省庁の「本音」

https://diamond.jp/articles/-/243719?page=2

森友、加計、桜で露呈した公文書クライシス、民主主義は崩壊するのか

『公文書危機』

吉村博光：HONZ
経済・政治 週末はこれを読め！ from HONZ
2020.7.24 5:00

「官邸はなぜ記録を残さないのか─」

「なぜ形だけのガイドラインが生まれたのか─」

　重要な打合せをした時に「日時・参加者・主なやりとりの概要」を記録することが、この改定ではじめて義務づけられた。加計学園問題がきっかけである。安倍首相本人も、これにより公文書管理の質を高める旨、会見で語ったという。その義務がなかったことに、かえって驚かれた方もいるだろう。政策決定の過程を残すのは当然のことと思われる。

　しかし、である。改定後1年間の「打合せ記録」を官邸に請求したところ、「不存在」という回答がきたという。驚くことにガイドライン改定後も残されていなかったのだ。この事実は2019年4月に毎日新聞で報道された。翌日、菅官房長官の定例会見で東京新聞の望月衣塑子記者が質問する姿が話題になったため、ご記憶の方も多いかもしれない。

　ガイドラインには反していない、という答えで官邸側は押し切った。ガイドラインに解釈の余地があるため、可能な芸当だ。いつものことながら、モヤモヤを残す会見だった。だが、ここからが本書の本懐である。「官邸はなぜ記録を残さないのか─」「なぜ形だけのガイドラインが生まれたのか─」その理由を緻密に浮き彫りにしていく。

　取材班の聞き取り対象は、現役官僚や改定に関わった有識者、元首相秘書官、首相経験者など多岐におよぶ。そしてついに、改定までの経緯が書かれた約3000枚の資料を、改定に主要な役割を果たした公文書管理課から入手したのである。そこには、改定案に対する各省庁の「本音」が書かれていた。その「本音」とは、どのようなものなのか。

“定義があいまいだと、つくる必要のある記録が際限なく増えてしまい、業務がパンクしてしまう。だから対象文書をしぼるために定義を具体的にしてほしい。それができないのなら、つくらなかったことがあとから問題になってもわれわれは責任をとらない──そう言っているのだ。　　～本書第九章「謀略」”

　ここにある「定義」とは、記録を残すべき“重要な打合せ”とは何か、という定義である。規定では「方針に影響をおよぼすもの」と書かれている。しかし、具体例が示されておらず、運用は現場の判断に委ねられているのだ。しかも、記録は打合せをした両者による内容確認を義務付けている。果たして、打合せ後に首相に確認を取れるだろうか。

　環境省、厚生労働省、法務省などから寄せられた実際のコメントが本書には掲載されている。各省庁の具体的なコメントをここで列挙するのは控えるが、そのいずれもが生々しく、実に興味深いものだ。やがて記者は、不思議なことに気づく。有識者会議の議事録に、この各省庁の意見について議論された痕跡がなかったのだ。

　記者は、有識者会議の委員にこの資料をぶつけてみた。すると委員は初見であることを認め、その中に「規則の運用に裁量的な余地がある場合、易きに流れるのが普通だ」という省庁の指摘を見つけると、「これはすごいね」とつぶやいたという。この指摘は「曖昧な定義では、記録を作らなくなる」という、現場からの警告なのだ。

次のページ

官僚の心のうちに思いをはせた言葉

https://diamond.jp/articles/-/243719?page=3

森友、加計、桜で露呈した公文書クライシス、民主主義は崩壊するのか

『公文書危機』

吉村博光：HONZ
経済・政治 週末はこれを読め！ from HONZ
2020.7.24 5:00

　しかし、この警告は無視された。それはなぜか─。記者は、公文書管理課に追及の手を伸ばす。管理課の回答は次のようなものだった。「意見照会は用語の使い方を確認するためのもの」「そもそもブレーキを踏むような意見は出せない情勢だった」そしてなんと「委員会に言われたら出していたかもしれない」と責任転嫁ともとれる発言がでてきたのだ。

　ここまで、ガイドライン改定の経緯とその後の状況をみてきた。これが、キャリア官僚の仕事だと思うと私は暗澹たる気持ちになった。忖度にとりまかれ、正気ではヤッテラレナイ仕事になってしまっているのではないだろうか。これは、国にとっての重大危機だ。官僚の心のうちに思いをはせた言葉を、本書の最終章から引用したい。

“官僚も人間だ。記録を出せば左遷され、家族につらい思いをさせるかもしれない。同僚にも迷惑をかける。そう思う一方で、公文書の隠ぺいは国民への裏切りであることも知っている。だから苦しい。首相夫人がからむ森友疑惑では、どうすることもできず、自ら命を絶つ官僚まで出てしまった。　　～本書終章「焚書」”

「だから苦しい」という言葉が、私の胸を衝いた。私はこの現状を改める必要があると思った。さもなければ、成行きで生まれたガイドラインが「苦しみ」を背負う官僚をただ増やすだけの結果になる。しかし、政府の公文書への態度は、今に始まったことなのだろうか。もともと、公文書は日本でどのように扱われてきたのだろう。

歴史に一石を投じた

「公文書クライシス」報道は

　その点について、本書には次のような事が書かれている。「首相の資料を保管する公的なルールはない」「民主党への政権交代時には自民党時代の資料を捨てていた」「敗戦時には戦時中の資料を焼いていた」公文書が国民共有の知的資源だという認識が、そこには感じられない。公文書を保存する認識がそもそも薄かったようである。

“総理との面談記録を残しておく発想はない。（本文183ページ）
──現職官僚”

　この歴史に「公文書クライシス」報道は一石を投じた。その意義は、果てしなく大きい。ただ我々は、ガイドライン違反の問題に終始せず、「公文書軽視」という根深い問題に向き合いたいものだ。そして、諸外国の事例を調べあげて最適なシステムが完成した時にはじめて、取材班の多大なる労が報われるのではなかろうか。

（ＨＯＮＺ　吉村博光）

※

今後の2段階認証の方向

2段階認証でも、画面エミュレートされていたら意味がないことは、先日のニュース解説で説明されていた。

デバイス認証を入れれば防ぐことができるが、デバイスの更新を手順に入れてしまえばそれまでだ。頻繁にログインしている人でなければ異常に気付かないないだろう。デバイス認証はハード+ブラウザ+IPで見ているのでデバイス変更は頻繁に発生して実質意味がない。

エミュレータによる乗っ取りを防ぐには、2デバイスの相互リンクの確立を要件とすること。今は、単純な確認番号を入力させているだけで手抜き同然だ。

ブラウザによるログインを認めるシステム設計も緩さの要因。

だんだん面倒になる。もっとシンプルで決定的な手法は無いものか。生体を取り込めば別のリスクが出てきそうで気持ちが悪い。

シングルデバイス２アプリでもアプリ間の相互監視機能が働けば上手く行きそうだ。

※

https://finders.me/articles.php?id=1754

 Googleの認証システム突破を狙うAndroidマルウェアが出現。もはや2段階認証といえども安心はできない状況に！

Photo By Shutterstock

伊藤僑

Free-lance Writer / Editor

IT、ビジネス、ライフスタイル、ガジェット関連を中心に執筆。現代用語辞典imidasでは2000年版より情報セキュリティを担当する。SE/30からのMacユーザー。著書に「ビジネスマンの今さら聞けないネットセキュリティ〜パソコンで失敗しないための39の鉄則〜」（ダイヤモンド社）などがある。
Google Authenticatorを標的とするAndroidマルウェア

オランダを拠点とするサイバーセキュリティ企業ThreatFabrickの研究者は2月末、バンキング型トロイの木馬として知られるAndroidマルウェア「Cerberus」の亜種が、「Google Authenticator」で生成された2段階認証（2FA）コードを盗み出す機能を獲得したことを同社ブログで公表した。

Google Authenticatorとは、Googleが開発した2段階認証を行うためのセキュリティトークン（ワンタイムパスワード生成アプリ）だ。Googleの提供する2段階認証システムでは、従来のID、パスワードに加えて同アプリが生成したコードが必要になる。

新たに発見されたCerberusの亜種は、Androidデバイスに感染すると、ネットワークを介してコンピュータを遠隔操作する不正プログラム「RAT（Remote Administration Tool）」の機能を利用して、モバイルバンキングアプリの認証情報を盗み出すという。

具体的には、標的とするモバイルバンキング・アカウントがGoogle Authenticatorで保護されている場合、攻撃者はRAT機能を利用してユーザーのデバイスに接続。Google Authenticatorを遠隔操作してワンタイムパスワードを生成し、画面のスクリーンショットをC&Cサーバ（※）に送信する。

※C&C（Command & Control）サーバとは、攻撃者が乗っ取った（感染させた）コンピュータを制御したり命令を送るために設置したサーバのこと。

こうして取得したワンタイムパスワードを使用すれば、攻撃者はユーザーの契約するオンラインバンキングサービスにアクセスして不正な操作を行うことができるというわけだ。
もはや2段階認証といえども安心はできない状況に

実は、Cerberus亜種の事例は氷山の一角に過ぎない。ここ数年、2段階認証の突破を狙った攻撃が急増している。

多くの金融機関やオンラインショップ、SNSなどが2段階認証の導入を推進していることからも分かるように、高い安全性が求められるサービス、つまり価値ある情報を扱うサービスにとって、いまや2段階認証は必須となっている。そこで、価値ある金品や情報を盗みたい攻撃者たちによる、二段階認証を突破しようとする試みが増加しているのだ。

攻撃者が2段階認証を突破する手口として最も多用されているのが、偽サイトを利用したフィッシング詐欺だ。

その手口としては、例えば金融機関などになりすまして「何者かが不正にログインを試みた可能性がある」「お客様のアカウントにトラブルが発生した」「サイトをセキュリティ強化する必要がある」などと不安をあおるSMSやフィッシングメールを送付し、本物そっくりの偽サイトにユーザーを誘導してIDとパスワードを入力させる。

攻撃者は、正規サイトにそのIDとパスワードを入力。ユーザーにワンタイムパスワードの発行を促して、偽サイトに取得したワンタイムパスワードを入力させる。

こうしてユーザーを騙して獲得したワンタイムパスワードを使うことで、まんまと2段階認証を突破するというわけだ。

サイバーセキュリティ大手のトレンドマイクロによれば、このようなフィッシング詐欺による2段階認証突破に用いられると考えられるフィッシングサイトのドメイン数が2019年9月に急増しているという。

2段階認証突破のために開設されたと考えられるフィッシングサイトのドメイン数の推移（トレンドマイクロ調べ）

このような状況を受け、昨年10月には警視庁や日本サイバー犯罪対策センター、国内大手銀行などからも注意喚起がなされている。

もはや2段階認証を採用しているサイトだからといって、安心して利用できる状況ではないことを知っておくことが大切だ。

攻撃者の手口を知ることで、メールやSNSで送られてきたURLからはオンラインバンクなどへはアクセスしない、セキュリティソフトを導入するなどの防衛策をとろう。そして、各種のオンラインサービスは、より慎重に利用したい。


※

保管基準：「1年以内に廃棄のこと」

安倍晋三総理の桜を見る会に関わる文書類の保管基準：「1年以内に廃棄のこと」って何ですか？。只の馬鹿か漫画かジョークでしょ。国家官僚の資格なし、政治家の資格なし、。

隠蔽基準？

※

作成してすぐに廃棄しても基準を守っていることになる。作ったと言って、どこにある？と聞かれて、廃棄しましたと言っても基準に違反していないわけだ。クレージーだね。内閣府ってそういう世界。

作成した記録もなければ、廃棄した記録もない。

誰がいつ廃棄を指示したの感記録もない。

このないない尽くしも大方嘘に決まっている。そういえば嵐が通り過ぎて人々は忘れると思っている。

しかしSNS全盛の今の時代はネットはクラウドは一つも忘れることはない。

※

廃棄基準

廃棄基準とはどういうものか改めて考えてみよう。

/