昨年から経営者の意識改革を行う啓発アクションとして活動していたセキュリティ連盟は2023年3月24日（金）、一般社団法人化し「一般社団法人サイバーセキュリティ連盟」を新たに設立したことを発表した。一般社団法人化に伴い、独立行政法人情報処理推進機構 専門委員 小川 隆一 氏、明治大学サイバーセキュリティ研究所 所長 齋藤孝道氏を新たに理事に迎えた。

■一般社団法人サイバーセキュリティ連盟の設立背景
昨今、社会全体のデジタル・トランスフォーメーション（DX）の進行に伴い、サイバー攻撃被害が急激に増加している。2022年4月には、個人情報保護法改正による罰金上限の引き上げや警察庁でのサイバー警察局設置など、国単位ではサイバーセキュリティ対策が着々と進んでいる。企業単位でも、ブランドの毀損を始めとした大きなリスクがあるにも関わらず、経営者の多くが事態をまだまだ深刻に捉えられておらず、対策が後手に回っているのが実情だ。

その様な課題を持つ企業34社が集結し、昨年2022年2月にセキュリティ連盟を結成し「サイバーセキュリティ対策の重要性を啓発する」ことを目的としたイベントを年4回開催するなどの活動を実施してきた。加えて1年間でみずほ銀行、SBI証券、三菱UFJニコスなどを含む170社の企業からの賛同があった。

今回の一般社団法人化により、団体名を「サイバーセキュリティ連盟」と改称し、関連機関を含む中央省庁・大学との連携をより一層強化することで、サイバー攻撃による「深刻な被害」ゼロを目指し、日本企業へ「サイバー攻撃対策の重要性」を啓発していく構えだ。

イベントでは一般社団法人サイバーセキュリティ連盟の代表理事であるサイバーセキュリティクラウドの小池敏弘氏、事務局長 西澤将人氏より、一般社団法人サイバーセキュリティ連盟の設立背景、活動内容、「サイバーセキュリティマインド」調査レポートの発表があり、今後の目標として、まずは役職ごとのサイバーセキュリティマインドの差をなくすことを提示した。そのためのアクションとして、若手社員のサイバーセキュリティマインドの底上げを目的としたサイバー攻撃体験研修を2023年4月4日（火）に実施することを発表した。




YouTube：https://youtu.be/d3jJLYkgSIg

続いて、新理事に就任した小川 隆一氏、齋藤孝道氏より挨拶、就任にあたってコメントがあった。

■独立行政法人 情報処理推進機構 専門委員 小川 隆一氏からのコメント
セキュリティ意識をどうモチベートするのかが大きな課題となっており、行政で情報発信を行っているものの、面にならず点になってしまっているのが現状です。行政での啓蒙には限界があるため、サイバーセキュリティ連盟のような組織があれば横の繋がりが生まれます。今後、横での展開、どう周りを巻き込んでいくのか、どのように意識を共有するのかなど、民間で情報共有していく仕組みが出来れば良いと思っており、サイバーセキュリティ連盟もその方向でリーダーシップを持って活動をしていければと考えております。



■明治大学サイバーセキュリティ研究所 所長 齋藤孝道氏からのコメント
昨今日本を取り巻く安全保障の問題は厳しい状況が続いています。昨年末、国として安全保障をどうするかの戦略を描いた安全保障関連3文書が公開され、その中でサイバーセキュリティを強化することが明記されています。サイバーセキュリティ強化のためには、人の教育が大切であり、昨今は民間の中から自発的に行っていくことが大切になっています。国がどうにかしてくれるというフェーズではないという意識が、既に民間にあると思うので、リーチできていない方々に、サイバーセキュリティ連盟の発信力を持って伝え、盛り上げていければと思います。



また、経済産業省からビデオメッセージ、総務省からメッセージで一般社団法人サイバーセキュリティ連盟に対しての賛同や強い期待のコメントがあった。

■経済産業省 商務情報政策局 サイバーセキュリティ課 課長 奥田修司氏からのビデオメッセージ
世の中の方々にサイバー攻撃がどういうもので、どういった対策が必要なのか知っていただくという最初のスタートが、うまく広がらないとうこともあり、連盟の皆様と一緒に進めていくことができれば経産省としても非常に意義のある取り組みになります。連携させていただくことにより、多くの方々にサイバーセキュリティの重要性を認識いただき、サイバーセキュリティ対策をとっていただければと思っております。



■総務省 サイバーセキュリティ統括官付参事官 小川久仁子氏からのメッセージ
我が国の社会全体のデジタル化が進む中で、サイバー攻撃のリスクが高まるとともに、サイバー空間に参加する層が広がっています。”Cybersecurity for ALL”（誰も取り残さないサイバーセキュリティ）の観点からは、サイバーセキュリティ連盟の皆様が目指されている、サイバーセキュリティ強化の重要性に関する普及啓発活動は、大変重要です。サイバーセキュリティ連盟の皆様において、普及啓発イベントの開催や情報発信、セキュリティ担当者等のコミュニティ形成などを行われることにより、サイバーセキュリティ対策は「コスト」ではなく「投資」であるという意識の変化につながるものと大いに期待しております。

＜セキュリティ連盟加盟企業一覧＞
DXHR、G-gen、GMOグローバルサイン・ホールディングス、LRM、Maromaro、PJ-T&C、Spider Labs、
TOKAIコミュニケーションズ、TOWN、YONA、アールワークス、アイビーシー、アイレット、アジアクエスト、アピリッツ、網屋、ウイル、エーアイセキュリティラボ、オロ、かっこ、クラウドエース、クラウドセーフ、クラスメソッド、クララオンライン、サーバーワークス、サイバーコマンド、サイバーセキュリティクラウド、サイバーリーズン・ジャパン、サンロフト、シーズ、スプライン・ネットワーク、ソフテック、タイムシェア、高山、ネットアシスト、ハートビーツ、ハイパーボックス、ビヨンド、フューチャースピリッツ、プライム・ストラテジー、ブロードバンドタワー、ユニティ、ライド、リンク、レンジフォース
※商号略・敬称略・アルファベット順・50音順

一般社団法人サイバーセキュリティ連盟は今後、産官学との連携をより一層強化し、各業界でのサイバーセキュリティ対策を推進し“サイバー防御力”と“サイバーセキュリティマインド”の底上げをしながら、サイバー攻撃による「深刻な被害」ゼロを目指して、日本のDXをもっと安全にしていくとしている。

■一般社団法人サイバーセキュリティ連盟

■ITライフハック
■ITライフハック Twitter
■ITライフハック Facebook

■セキュリティに関連した記事を読む
・どんなパソコンにも取り付け可能！ワンプッシュで既存のスロットサイズすべてに設置できる、セキュリティワイヤーロック
・オフィスでのビジュアルハッキングをしっかりガード！情報漏えいリスクを減らす、大型サイズの「のぞき見防止フィルター」
・防犯カメラを天井や壁面に設置するカメラ用壁面スタンド！サイズ違いで2種類
・大音量で警告音が鳴り、盗難を抑止してくれる！アラームセキュリティ
・ダイヤル錠を照らすLED付き、自転車の盗難を防ぐケーブルロック2種類

昨年5月のYahoo！JAPANへの2200万件のIDを使った不正アクセスを皮切りに7月にはOCNの400万件、NAVERアカウントの140万件、8月にはGREEの4万件、リクルートじゃらんの2万8千件と不正アクセス被害は後を絶たない。

以降もGREEのデータを使ったモバゲーへのアクセス、今年に入ってmixiへの不正アクセス、はてなへの不正アクセス、ニコニコへの不正ログインといったネットワーク経由での不正アクセスに加え、ソーシャルハッキングによるベネッセの個人情報流出という超巨大な情報漏えい事件が発生、さらに不正アクセス被害は流行のSNSにもおよび、TwitterやFacebook、そしてLINEが乗っ取られるという被害が発生している。

こうした不正アクセスへのセキュリティ対策は、迅速な対応が被害の拡大を防ぐ重要なポイントになる。そのためにはセキュリティに関連した情報に対し、常にアンテナを張っておき、最新のトレンドや技術情報を収集することが何よりも重要となる。

続きを読む

株式会社サイバーディフェンス研究所で上級分析官を務める福森 大喜氏が、書籍｢アイスマン｣（発行者： 祥伝社、著者： ケビン・ポールセン）をブログで紹介、日本のサイバー犯罪捜査に対する想いを伝えています。

昨今、日本でもサイバー攻撃に関する報道が増えており、それと同時にサイバー犯罪の捜査方法への注目が高まっています。同氏によると、海外で世界規模のサイバー犯罪を取り締まった事例を見れば、おとり捜査、司法取引を駆使していることを知ることができるといいます。また、｢日本ではまだサイバー空間でこういったアグレッシブな捜査は行われていませんが、すでに世界では盛んに行われているのです。｣と述べており、その上でサイバー犯罪の捜査手法が克明に記された書籍「アイスマン」を紹介しています。
続きを読む

三菱重工業や衆議院の事件をきっかけにして、最近になってますます注目を浴びるようになった標的型攻撃。その攻撃手法のひとつ、標的型攻撃メールは、攻撃を仕掛ける前の段階から慎重に吟味された標的組織内のごく少人数、もしくは特定の個人への添付ファイル付きの電子メール送信により攻撃が行われるもので、標的となった人物は、添付ファイルが付いた、どう見ても普通の電子メール（多くの場合、取引先や上司、同僚などの親しい人物からのメール）に見えるものを受け取ります。

続きを読む

産業制御システムを標的にした非常に高度なサイバー攻撃で、政府が関与しているとして注目を集めた｢Stuxnet｣に似た特徴を持つ｢Duqu｣。しかし、動機や作成者を含む謎が未だにはっきりと解明されていないのが現状です。そこで、「Duqu」エフセキュアのセキュリティ研究所でセキュリティアドバイザーを務めるショーン・サリバンによるQ&Aが公開されました。

続きを読む

産業制御システムを標的にした非常に高度なマルウェアとして、その名を知られるようになった｢Stuxnet｣に関係しているとして話題になっている新たなマルウェア｢Duqu｣のインストーラをハンガリーのセキュリティ会社｢CrySyS Lab｣が発見しました。

続きを読む

メールに悪意のあるプログラム、つまりウイルスなどのマルウェアが仕込んだ添付ファイルを送る標的型攻撃というサイバー攻撃の手法がありますが、その際に良く使用されるファイル形式といえば、真っ先に思い浮かぶのは、MicrosoftのOffice製品の代表格、WordやExcelを思い浮かぶ方が多いのではないでしょうか。日常でお世話になっているという方も多いかもしれません。だからこそ攻撃者に悪用されているわけですが、でも実際は、それらの形式（*.docや*.xlsなど ）よりもずっとずっとウイルスが仕込まれやすい形式のファイルが存在するのをご存知ですか。

それは、なんとAdobeのPDF（*.pdf）形式のファイルです。

続きを読む

「Diginotar」はオランダの認証局で、SSL証明書を販売している。
2011年7月10日、何者かが何らかの形で、彼らから不正なSSL証明書を獲得することに成功した。この証明書は、ドメイン名「.google.com」用に交付されたものだ。

このような証明書で何をすることができるのだろうか？

まず、Googleになりすますことができる。最初にgoogle.comに対するインターネットトラフィックを、自分に対してリルートできるならばだが。これは政府や不正なISPによって行える事だ。このようなリルートは、その国もしくはそのISPのもとにいるユーザしか影響を及ぼさない。

しかし、何故Googleをインターセプトしたいと考えるのだろうか？　これは実際には「www.google.com」のサーチエンジンに関することではない。「mail.google.com」のGmailサーバおよび「docs.google.com」のGoogle Docs、そしておそらく「plus.google.com」のGoogle+が問題だ。

5月にも（イタリアの証明書リセラー「instantssl.it」を介した）同様の攻撃が見られた。そのケースはイランと関係していた。今回も同様だ。イラン政府が反体制派をモニタするのにこのテクニックを使用している可能性がある。

続きを読む

今年3月、米セキュリティ企業の「RSA」が提供している2要素認証製品「SecurID」がハッキングされ、その際に盗まれた情報を使用したサイバー攻撃が仕掛けられました。この一連の騒動は、これまでで最大のハッキングのひとつとして注目を集めており、フィンランドのセキュリティ企業、エフセキュアのセキュリティ研究所でCRO（主席研究員）を務めるミッコ・ヒッポネンは、ブログで同ハッキングの手口について紹介しました。

同氏によれば、某国家がLockheed Martin（ロッキード・マーティン）、およびNorthrop Grumman（ノースロップ・グラマン）に侵入し、軍事機密を盗もうと試みたものの、ネットワーク認証に｢RSA｣の ｢SecurID｣トークンを使用していたため攻撃を防ぐことに成功。そこで、攻撃者であるハッカーたちは、標的型メールを用いて｢RSA｣に侵入することにしました。

まず彼らは、マルウェアを仕込んだエクセルファイルを添付したメールを｢RSA（EMC）｣の従業員1名+3名をccにして送信しました。これは、Flash Playerの脆弱性を突いてバックドアを仕掛けるゼロデイを使用した高度な攻撃で、最終的に彼らの｢SecurID｣情報にアクセスすることで、当初の標的である二社への攻撃への道を開いたのです。続きを読む

中国はオンライン攻撃のローンチでしばしば非難されるが、大抵、状況証拠にとどまる。標的型のスパイ活動Trojanの多くは中国からのもののようだが、実際にそれを証明することはできないのだ。

しかし、新たな証拠が表面化した。

7月17日、ミリタリードキュメント番組「ミリタリーテクノロジ：インターネットの嵐がやって来る」が、政府運営のTVチャネル「CCTV 7, Millitary and Agriculture」（military.cntv.cn）で公開された。

続きを読む

ソニー・コンピュータエンタテインメントから個人情報が流出した事件が記憶に新しいが、セキュリティの重要性が叫ばれる中、サイバー攻撃を完全に防ぐことは難しい。この事件により、犯人とみられる国際的なハッカー集団「アノニマス」メンバー3人がスペイン警察により逮捕されたが、サイバー攻撃に関与した証拠を見つけるのも難しいようだ。

マカフィーによると、企業を狙ったAPT（Advanced Persistent Threat）攻撃は増加の一途をたどっているという。サイバー犯罪者は現在、気づかれることなくターゲットに近づき、完璧な計画を実行しているのだ。

続きを読む

東日本大震災では、各地の被災情報や避難所の様子、福島原子力発電所の現状など、各地に刻まれた地震の爪痕が報道されている。このなかで総務省やキャリアは、不安をあおるようなチェーンメールへの注意を喚起している。しかし、震災で問題になっているのはそれだけではない。この震災に便乗して、サイバー犯罪やオンライン詐欺といったWebサイトを通じた攻撃が発生しているのだ。
トレンドマイクロでは、災害に関連したサイバー攻撃などの情報を随時公開している。

続きを読む