SIGNに関するセキュリティ情報

インターネットの脅威について(2021年5月10日)

インターネットは便利ですが、リスクがあることも忘れずに利用することが大切です。
悪質な手口にひっかからないよう、インターネットの脅威に関して情報収集するようにしておきましょう。

独立行政法人 情報処理推進機構(IPA)のサイトでは、2020年に社会的影響が大きかった脅威「情報セキュリティ10大脅威」を発表しています。
これは、IPAが候補を選出し、情報セキュリティ分野の研究者、企業の実務担当者などの方たちが参加されている「10大脅威選考会」が、脅威候補に対して審議・投票を行い、決定されたランキングです。

以下にIPAのサイトに掲載されているランキングを記載します。
「個人」パソコンやスマートフォンを利用する方
順位 個人 昨年
順位
1位

スマホ決済の不正利用

1位
2位

フィッシングによる個人情報等の詐取

2位
3位

ネット上の誹謗・中傷・デマ

7位
4位

メールやSMS等を使った脅迫・詐欺の手口による金銭要求

5位
5位

クレジットカード情報の不正利用

3位
6位

インターネットバンキングの不正利用

4位
7位

インターネット上のサービスからの個人情報の窃取

10位
8位

偽警告によるインターネット詐欺

9位
9位

不正アプリによるスマートフォン利用者への被害

6位
10位

インターネット上のサービスへの不正ログイン

8位
「組織」システム管理者や社員・職員の方
順位 組織 昨年
順位
1位

ランサムウェアによる被害

5位
2位

標的型攻撃による機密情報の窃取

1位
3位

テレワーク等のニューノーマルな働き方を狙った攻撃

NEW
4位

サプライチェーンの弱点を悪用した攻撃

4位
5位

ビジネスメール詐欺による金銭被害

3位
6位

内部不正による情報漏えい

2位
7位

予期せぬIT基盤の障害に伴う業務停止

6位
8位

インターネット上のサービスへの不正ログイン

16位
9位

不注意による情報漏えい等の被害

7位
10位

脆弱性対策情報の公開に伴う悪用増加

14位
出典:独立行政法人 情報処理推進機構(IPA)「情報セキュリティ10大脅威 2021」
URL: https://www.ipa.go.jp/security/vuln/10threats2021.html
※ランキングは「情報セキュリティ10大脅威 2021」を基に、個人と組織を分けて作成しています。

【重要】Amazonを騙る詐欺メールに注意!(2021年1月28日)

Amazonを騙って「お支払い方法に問題があります」「Amazonセキュリティ警告」「Amazon.co.jpにご登録のアカウント(名前、パスワード、その他個人情報)の確認」」などの、URLを含むフィッシング詐欺メールが複数発生しています。
特に、最近ではSMSでURLを含むメッセージを送り付け、公式サイトに似た偽サイトのログイン画面に誘導するケースが発生しています。

このようなメールが届いた場合、メール本文に記載されたURLをクリックしたり、クレジットカード情報を含む個人情報やカウント情報を入力しないように注意してください。

【重要】悪質な詐欺サイトに注意!(2020年9月3日)

インターネットなどの利用中に、突然大音量で警告音が鳴り、警告メッセージが表示される事象が発生しています。
この警告画面は、改竄されたWEBページに仕込まれた「偽」の警告画面で、連絡先の電話番号などが記載されています。
この電話番号に連絡すると、問題を解決するためにパソコンを遠隔操作するためのソフトのインストールを行うように指示され、問題解決費用として代金を請求されます。
なお、ソフトをインストールすることで、ソフトを利用してPCから個人情報を盗み取る場合もあります。

このような現象が発生した場合は、以下のいずれかで音を消し、学生情報サービスセンターに連絡してください。

・スピーカーのボリュームをオフにする。
・電源ボタンを長押しして強制的に電源を落とす。

くれぐれも画面に表示されている連絡先に電話をかけたり、ソフトをインストールしてしまったり、代金を支払ってしまうことのないように注意してください。


【重要】マルウエア「Emotet」(エモテット)に関する注意喚起(2020年8月5日)

2019年10月頃から年末において国内で感染の流行が見られたマルウエア「Emotet」が、2020年7月中旬より再び攻撃活動を行っている状況が確認されました。攻撃の手口は基本的に前回と同じですが、新たに確認されたものもあるので注意してください。

マルウエア「Emotet」は、攻撃メールを経由した不正プログラムを展開することで感染します。「Emotet」に感染すると端末の個人情報を窃取され、窃取したメールアドレスから偽装メールを送信することで感染を拡大していきます。メールは、実在する組織や人物に成りすます以外にも、時事の話題に便乗したりする内容も確認されています。また、感染につながるWORDファイルを直接メールに添付する方法以外に、メール内にURLのリンクを記載する方法を用いて不正プログラムをダウンロードさせようとするなど、様々な手口で感染を試みます。

悪意あるウイルスによる感染を防ぐために、再度以下の対応をお願いします。

身に覚えのないメールや添付ファイルは開かない。また、メール本文に記載されているURLは開かない。

・OSやセキュリティソフトを常に最新の状態にしておく。

・WordやExcelの[オプション] > [セキュリティセンター] > [セキュリティセンターの設定] > [マクロの設定]で「警告を表示してすべてのマクロを無効にする」を選択し、自動でマクロを実行させないようにする。


攻撃メールは知人からの返信メールを偽装することがあります。知人からのメールであっても、内容に不審な点が見られたり受け取る覚えのないメールの場合は、添付ファイルや記載されたURLを開かないようにしてください。

不審なメールを受信した場合やウイルスの感染が疑われる場合は、速やかに学生情報サービスセンターにご連絡ください。

【注意喚起】メールによるフィッシング詐欺に注意(2020年6月3日)

フィッシング詐欺に十分注意してください。

フィッシング被害の事例:
 本文中の案内に沿ってURLをクリックするとOffice365のログイン画面(偽装サイト)が表示され、IDとパスワードを入力すると、第三者にIDとパスワードが盗まれ、メール本文、アドレス帳、添付データ、共有ファイル等に保管された情報を外部に送信、転送され、本人および本人以外の個人情報や重要情報が漏洩した。

対策:
 Office365には、メール(Exchange Online)の他、コミュニケーションツール(Teams、Forms)、動画配信(Stream)、ストレージ(OneDrive)など、多くのサービスが提供されており、不審なメールからのURLリンクに対して、クリック、ID、パスワードの入力等は、一切行わないように注意してください。

 ウイルスの感染が疑われる場合は、速やかに学生情報サービスセンターに相談してください。

【重要】SIGNパスワードの適切な設定および運用管理について

 2020年度は、オンライン授業への対応等、SIGNメールに加えて新たにOffice365アプリケーションの提供を開始しました。
Office365は、世界規模でグループウェアとして活用されている一方で利用者がパスワードを適切に管理していないことにより、不正アクセスの被害やサイバー攻撃の標的になり国内でも被害が発生しています。
 大学等の教育機関においても2018年度から不正アクセスの被害や個人情報の漏洩事故が度々発生しており、多くの場合IDやパスワードの使いまわし、フィッシングサイトへの安易なIDパスワードの入力、パスワードを適切に設定していないことが原因となっています。
 今年度は、新型コロナウイルス感染症拡大防止のため、教育機関ではオンライン授業が活用され、企業では在宅勤務やテレワークが活用されることから、巧妙化した手口による不正アクセスの被害の増加が予想されます。
 今後、SIGNのパスワードの運用管理については、8桁以上(10桁以上推奨)、ログイン時にスマートフォンを利用した多要素認証など、セキュリティ対策を講じていく予定です。

 内閣サイバーセキュリティセンター「インターネット 安全・安心ハンドブック」を参考に、情報セキュリティの理解と被害者および加害者にならないよう利用者側でもできる限りの対策を講じてください。

 なお、大学では、皆さんにSIGNメールを利用して【緊急のお知らせ】や【重要なお知らせ】を発信します。各自、日頃からSIGNメールを確認するよう対応してください。
※スマートフォンアプリ(Microsoft Outlook)の活用等


総務省HPより:『 IDとパスワード 「設定と管理のあり方」』
 (1) 名前などの個人情報からは推測できないこと
 (2) 英単語などをそのまま使用していないこと
 (3) アルファベットと数字が混在していること
 (4) 適切な長さの文字列であること
 (5) 類推しやすい並び方やその安易な組合せにしないこと

自宅等、キャンパス以外から「SIGNパスワードの変更」をおこなう手順について、専用サイトを準備し、Ca-Inに案内しましたので確認してください。

参考:
最近のコンピュータでは、数字のみや英小文字のみ(8桁)を解析した場合、数秒から数分で文字列を解読できます。ただし、多くのシステムでは、セキュリティ対策により短時間に何度もログインを試みることができないため、攻撃者は、長い時間(数ヶ月~数年)をかけて、IDやパスワードを解読、蓄積しています。
内閣サイバーセキュリティセンター「インターネット 安全・安心ハンドブック」
内閣サイバーセキュリティセンター「インターネット 安全・安心ハンドブック」
推奨10桁以上 英大文字小文字+数字+記号混じりで 10 桁以上を安全圏として推奨)

【重要】マルウエア「Emotet」(エモテット)に関する注意喚起(2019年12月3日)

2019年10月頃より、国内においてマルウエア「Emotet」による感染被害が拡大しています。

「Emotet」は実在の組織や人物に成りすましたメールに添付されているファイルから感染します。
感染源となる添付ファイルの形式は主にWord文書ファイルであり、Word文書を展開するマクロを実行することで「Emotet」に感染します。「Emotet」に感染すると端末の個人情報を窃取され、窃取したデータからメール本文の返信機能を偽装しメール送信を行うことで、感染を拡大していきます(注1)。また、「Emotet」は他のウイルスへの感染のために悪用されるウイルスでもあり、それが別の被害につながるケースもあります。

悪意あるウイルスによる感染を防ぐために、以下の対応をお願いします。


・身に覚えのないメールや添付ファイルは開かない。また、メール本文に記載されているURLは開かない。

・OSやセキュリティソフトを常に最新の状態にしておく。

・WordやExcelの[オプション] > [セキュリティセンター] > [セキュリティセンターの設定] > [マクロの設定]で「警告を表示してすべてのマクロを無効にする」を選択し、自動でマクロを実行させないようにする。



なお、不審なメールを受信した場合やウイルスの感染が疑われる場合は、速やかに学生情報サービスセンターにご連絡ください。

注1:攻撃メールには返信偽装以外にもさまざまなパターンがあります。注意してください。