NEKOLAB

内閣サイバーセキュリティセンター（ＮＩＳＣ）が以下の意見募集を行っているので、読んでみた。 「サイバーセキュリティ意識・行動強化プログラム（案）」に関する意見募集について http://www.nisc.go.jp/active/kihon/pubcom-awareness2018.html 　「サイバーセキュリティ戦略」（平成30年７月27日閣議決定）において、『産学官民の関係者が円滑かつ効果的に活動し、有機的に連携できるよう、 サイバーセキュリティの普及啓発に向けた総合的な戦略及びアクションプランを策定すること 』とされています。これに基づき、サイバーセキュリティ戦略本部普及啓発・人材育成専門調査会にて、「サイバーセキュリティ意識・行動強化プログラム」の策定を目指して議論を行い、この度、案をまとめました。 　つきましては、本件について以下の要領で広く国民の皆様からの意見を募集いたします。 e-Govから意見を送ることができるので、興味のある人は送信されたい。 自分は、意見は言うほどのものは持ち合わせていませんけども…。 パブリックコメント：意見募集中案件一覧 http://search.e-gov.go.jp/servlet/Public 実際に「サイバーセキュリティ意識・行動強化プログラム」を読んでみた。 まず、目次を引用してみる。 １ はじめに ２ 現状 （１）インターネットの利用及びサイバーセキュリティ対策の状況 ① 個人の状況 ② 企業の状況 （２）官民の取組状況 ① セミナー・イベント ② ツール・コンテンツの提供 ③ タイムリーな情報発信 参考 諸外国における取組の例 （１）米国における取組 （２）英国における取組 ３ 今後の取組の基本的な考え方 （１）個人・組織における「自覚・行動」の促進 （２）「３つの視点」からの取組の推進 ４ 具体的取組の推進 （１）基本的な対策の徹底 （２）重点的な対象とその内容 ① 中小企業 ② 若年層 ③ 地域における取組の支援  （３）情報発信・相談窓口の充実 ５ 連携体制の強化 参考資料 特に、実のありそうな項目を強調した。 最上部に引用した下線部の 普及啓発 に向けた対象が４（２）の３つと考えられる。 一方、１目的では２０２０

個人が自ら“データ”を預ける「情報銀行」、2019年3月に事業者認定へ--「お金目的では本末転倒」 - CNET Japan https://japan.cnet.com/article/35127271/ 2019年には、「情報銀行」が誕生する。どのように生活に組み込まれるかは、今のところ先行きが見えないが、法的に認められる情報専門に扱うという機関が生まれることは一つの転換点になりうるだろう。 個人情報漏洩、企業に報告義務　政府が法改正へ  - 日本経済新聞 https://www.nikkei.com/article/DGXMZO39012520W8A211C1MM8000/ もっとも情報の取扱に関しては、GAFAを始めとした欧米の企業などが消費者から取得しているデータをビッグデータとして活用しているのが現状だ。実質的には、オープンIDなどに使われるそれが「情報銀行」のそれと似ているといっていいだろう。 日本が独自で情報に関する戦略をどう構築するかが、2019年の一つの動きになるだろう。 実際に、個人情報保護のさらなる法改正など、様々な動きが見え始めているのも確かだ。 どのようなことをしたいのかは未知数だが、日本版のGDPRのような立ち位置のものになるのは想像に難くない。ただ、あくまで国内法であるから、GDPRのような世界的に大きな影響を与えるようなものというより、情報を海外等に流出させないようにするのが目的のように思える。 金融庁、銀行の情報活用へ法改正視野　年明けから議論本格化 - ロイター https://jp.reuters.com/article/fsa-bank-data-idJPKCN1OJ0CQ 銀行の情報活用についても議論がされるようだ。いままで銀行は、業務が限られていたので、活用できるようにするための政策になるのだろう。 2019年は、東京五輪前年であったり消費増税の年であったり天皇譲位であったり様々な事が起こる年になる。このような動きについても注目していきたいところだ。

JPCERT/CCから以下の注意記事が出ている。 長期休暇に備えて 2018/12 https://www.jpcert.or.jp/pr/2018/pr180002.html I. 不審なメールへの注意 (例: ばらまき型メール攻撃)  II. システムにおける脆弱性への注意 (例: Oracle WebLogic Server) III.休暇前の対応 IV.休暇後の対応 V. JPCERT/CCからのお願い （以下略） 要するに 休暇中にいろいろばらまかれるから気をつけろ 休暇中は人がいないから悪さされても気づくのが遅くなるから気をつけろ 休暇前には、旅行前にガスの元栓を締めるように、システムの状態をちゃんと見ておくこと 休暇後には悪さされてないか十分に気をつけること 何かあったら連絡してちょうだい ということ。サイバーセキュリティとはいえ、やることは普段の防犯意識と変わらず行うことが肝要と思われる。

PayPayの騒動を見て疑問に思ったTipsのような話。 クレジットカード番号はどうやって決まるのか？ 多くは16桁の番号。ただし、14桁や15桁のクレジットカード番号もある 最初の6桁は、 BIN （Bank Identification Number, 銀行識別番号）または IIN （Issuer Identification Number, 発行者識別番号）と呼ばれ、カードのイシュア（発行事業者）を特定する。 例えば、 American Expressなら、冒頭34, 37 ちなみに、15桁 Visaは、冒頭4 Master Cardは、510000 - 559999, 222100 - 272099の間の数値 参考元： Wikipedia　クレジットカードの番号 残りの部分は、イシュアが決める。 ただし、多くのクレジットカード番号会社では、番号の入力間違いの検知などをチェックするため、番号の決定に Luhnアルゴリズム（ルーンアルゴリズム） を採用している。 そして、最終桁はチェック・ディジットになる。 なお、これは ISO/IEC 7812 に規定されている ISO/IEC 7812 - ウィキペディア Luhnアルゴリズムとは 様々な識別番号の認証に使われている単純な チェックサム 方式 IBM の科学者  Hans Peter Luhn  が 1954年 1月6日 に特許を申請し、 1960年 8月23日 に発効した アルゴリズムは パブリックドメイン になっている。 ISO/IEC 7812 -1 [2]  に詳細に記されている。 参考： Luhnアルゴリズム  - Wikipedia  調べると興味深いが、整理すると３つの工程を踏む チェックデジット（最終桁）を除く数値を決定する 仮に 1234 5678 9012 345X とする。（Xは、チェックデジット） チェックデジットを含んで右から偶数桁を２倍にする。ただし、2桁の場合はそれぞれの桁を分ける。（本が６ならば、１２なので１＋２）とする。それ以外はそのままとして、それらの総和を出す 偶数桁 2 + 6 + ( 1+0 ) + (1+4) + (1+8) + 2 + 6 + (1+0) 奇数桁　

PayPayから注意喚起 PayPayは、2018年12月14日にクレジットカードの不正利用に関する告知を出した。 身に覚えのないクレジットカードの請求がきたら https://www.paypay-corp.co.jp/notice/20181214/01/ 被害者となり得る人はPayPayに登録して いない 人 この注意喚起から読み取ると、 PayPayに登録して いない（した覚えのない） クレジットカードに対しての喚起 PayPay自身からは情報流出していない という告知である。 PayPayの利用者でない人に対する告知であるというなかなか如何し難い状況ではあるが、一体何が起こっているか。 実際に起っていること 12月12日くらいからTwitterなどでは クレジットカード会社からPayPay利用（数万単位から限度額いっぱいまでの高額請求まで）に関する確認があり、即刻カード利用の停止の処置をした クレジットカード会社によると、「総当たりによるもの」という見解が示された ほとんどの人がそのカードでPayPayを利用したことがない という未確認情報が飛んでいたわけだが、それが今回の告知でPayPay公式から、全くのデマではなく、事実として起こっていると認めざるを得ない状況であることが示されたことになる。 登録が簡単すぎる問題 PayPayで登録する時の情報は、以下の情報が必要だ。 クレジットカード番号 利用期限年月 セキュリティコード インターネットショッピングなどでは、更に名義人も求められる場合が多いが、PayPayではそれがない。 なお、これ自体は、クレジットカード会社の仕様ともいえるので、必ずしもPayPayだけが悪いとは言い切れない。（他のクレジットカードを登録するアプリでも、名義人を求めるものとPayPayと同様求めないものがあった） セキュリティーコードとはなんですか？ https://faq.jcb.co.jp/app/answers/detail/a_id/794 登録に制限がなさすぎる問題 また、PayPayの登録には、失敗による回数制限がないとの指摘がされている。 ニュースサイトでは、実際にPayPayアプリから実行してみ

２段階認証を突破できる攻撃が発生しているようだ。 攻撃方法は、概ねフィッシングメールやフィッシングサイトを利用している。 肝は、メールに特定の画像を埋め込むことで、相手がリアルタイムでメールを閲覧しているか確認するという方法だ。 偽のフォームに入力されたときに、攻撃者は同時にその情報を本物のフォームに入力ができる…故に、２段階認証のコードも同時に入力ができる、という寸法だ。 防御方法は、アプリやSMSの２段階認証をやめて、BlueToothトークンやNFCトークンなどによる物理的な認証をとる方法を勧められている。ただ、一般的なユーザーには、物理トークンの馴染みが薄いのも事実。 基本的には、フィッシングメールやフィッシングサイトを疑って、メール経由での認証には応じない、という警戒を強めることが大事になるだろう。 参照元： GmailやYahoo!メールの2段階認証を無効化するフィッシング詐欺が横行している - GIGAZINE https://gigazine.net/news/20181214-iranian-phisher-bypass-2fa-protection/

世界規模のハッキング攻撃、政府機関とハイテク企業などを標的に--北朝鮮が関与か - ZDNet Japan https://japan.zdnet.com/article/35130076/ 記事によると、Operation Sharpshooterと呼ばれる攻撃が世界銃で行われているとのことだ。 Operation Sharpshooter 記事のとおり、McaFeeがレポートを発出している。 https://securingtomorrow.mcafee.com/other-blogs/mcafee-labs/operation-sharpshooter-targets-global-defense-critical-infrastructure/ 多くはアメリカに対しての攻撃だが、日本も含む世界各国を対象に攻撃が行われている。英語圏の企業に対して行われているとのことだ。 攻撃方法は、２段階に分かれるが、はじめは求人を装うスパムメールによるものだ。悪意のあるマクロを含むWordファイルが送られてくる。それにより、コントローラサーバーから本命のバックドアである「Rising Sun」をダウンロードする仕組み、となっているとのことだ。 防御方法は、不審なWordファイルは開かないことに尽きる。 現在は、英語圏向けの攻撃なので、英字のメールには十分気をつけること。ただし、日本語による同様の攻撃がでてきても不思議ではないので、十分に気をつけたいところだ。

Google Homeは、高機能なスマートスピーカーだ。 ただこちらから「Ok, Google」と呼びかけて起動するスピーカーである。 秘書のようにGoogle Home側から呼びかけてもらいたい。 ルーティン機能を使う ルーティン機能は、日々のルーティンタスクをGoogle Homeに設定できる。 デフォルトで設定されているルーティンもあるし、カスタムで設定することもできる。 https://support.google.com/googlehome/answer/7029585?co=GENIE.Platform%3DAndroid&hl=ja 設定箇所 スマホやタブレットから「Google Home」機能を立ち上げて、 [アカウント] > [全般設定] > 設定をタップする。 それから、[アシスタント]タブ > ルーティンをタップする。 以下の画面になるはずだ。 カスタムルーティンの設定方法 右下の＋ボタンをタップする。 [コマンドの追加　＞]をタップして表示されたウィンドウにコマンド名を入れる。 [時間と曜日の設定 >]をタップして、起動したい時間を入れる。 曜日も入れる。毎日の場合は、日～土すべてをタップしよう。 スピーカーの設定は、タップしてから喋らせるスピーカーを選ぶ。 実行させたいコマンドを設定する。このコマンドは、普段話す言葉で入れていい。 複数設定することもできる。 設定できたら右上のチェックボタンをタップすることで完了だ。 ルーティン画面に加えられているはず。 テスト 最初に設定したコマンド名で呼びかけると、ルーティンが実行されるのでそれで動作が問題ないかテストしておこう。 問題がなかったら、そのままにしておけば時間を迎えるたびにそのコマンドが実行されるはずだ。

改正サイバーセキュリティ基本法の成立 - 日本経済新聞 https://www.nikkei.com/article/DGXMZO38558560V01C18A2EAF000/ １２月５日午前、サイバーセキュリティ基本法の改正案が成立した。 このサイバーセキュリティ基本法の改正によって、政府はサイバーセキュリティ協議会を設立することとなった。 この協議会の目的は、先日に記事にしたが、国内外の組織との情報連携の強化を主にしたものだ。 サイバーセキュリティ基本法の改正案（第１９６回国会）を眺めてみる - NEKOLAB https://nekoinfolabo.blogspot.com/2018/11/blog-post_19.html また、これも先日記事にしたが、政府は近々に対サイバー攻撃に関する法律防衛要綱の整備も検討している。 サイバー攻撃に関する自衛権 - NEKOLAB https://nekoinfolabo.blogspot.com/2018/12/blog-post.html これは、主にサイバー攻撃に対する自衛権の発動要件をどうするか、といったところになるが、その是非の議論はおいておくとして、 それを発動するためには「攻撃した相手国が明確である」 ことを対内外に主張することは、必須条件となる。しかし、相手は公然と宣戦布告するとは限らず、秘密裏に攻撃してくることも考えられるだろう。 つまり、その条件を満たすためには、情報の収集（証拠の入手といってもいい）は重要であり、日本内の組織はもちろん、海外との情報連携もまた必要だ。特に、同盟国であるアメリカへの情報、あるいは、アメリカからの情報は、それを特定するための最重要要件とさえ言っていいだろう。 そのためには、サイバーセキュリティ協議会の設立は必要であったと言っていいだろう。文字通りの『 国家的サイバーセキュリティ 』が今国会で急激に進んだと評価できる。 今国会では、外国人労働者に関する法律や憲法改正発案についてが注目されているが、その一方でサイバー攻撃に関する内閣官房の法整備、防衛省による制度の整備が着々と進められていることもまた事実。今後の日本政府、外国政府のサイバーセキュリティに関する動向も注目したいところだ。

e-Tax利用の簡便化の概要について http://www.e-tax.nta.go.jp/kanbenka/index.htm 上記ページより。 セキュリティは大事だけど… セキュリティを心配していたあまり無駄に何重にも重ねた今までのIDパス＋マイナンバーカードみたいなものよりは、マシになった。 つまり、マイナンバーオンリー、あるいは、IDパス方式という二択で選べるようになったのは改善だと思う。 マイナンバーを必要ないとして取得していない人にも、IDパスのみで推進していこうという姿勢は進歩といっていい。 IDパス方式の本人確認は改善できないか ただ、IDパス方式のためには、わざわざ税務署に行って本人確認しなければならない。 そのためだけに！ そういう人は、その足で申告できるじゃなかろうか・・・。とは、思う。 対面の必要性とは、なんだろう？　面接のような、何かヒアリングをするのだろうか？　いやしない。 つまり、「顔が見えるから安心だよねー！」という道頓堀の底の沈殿物のような澱んだ考え方のせいなのだろう。 さて、ご存知のとおり、何年も前から証券口座開設時には郵送での確認で本人確認ができるようになっている。最近は、銀行口座もそれができるようになった。 具体的には、 アプリで本人確認書類と自分の写真を取る アプリで送る 郵便物が送られてくるので受領することで本人確認 という流れである。金融機関におけるこれの根拠法は、犯罪収益移転防止法（犯収法）によるものとのこと。あるいは、本人確認法？かもしれない。 で、この犯収法については、最近改正されて完全にネット完結でできるようになりました。 参考： https://blogos.com/article/342647/ 金融分野では、本人確認についてはもはや対面である必要もなければ、タイムラグも入力フォームに入力する手間と写真を取ることくらいで、ほとんど存在しなくなったということになる。 e-Taxのそれでは適用できないのか？ それをしない理由で一番考えられることは「やる気がない」というところだろう。 次に、「法律によってできない」ことが考えられる。ただ、金融機関と国税での本人確認に違いがあるのだろうか？　マイナンバーの確認については、番号法（行政手続におけ

政府が防衛大綱の範囲に「サイバー」を含めることを検討し始めた。 「サイバーや宇宙領域での防衛、陸海空と融合へ　改定大綱」 https://www.asahi.com/articles/ASLCZ4RQ0LCZUTFK00P.html 「サイバー攻撃には自衛権発動も」岩屋防衛相国会答弁 https://www.fnn.jp/posts/00395070HDK サイバー攻撃に対する自衛権というものはどういうことか？ その指標として、大臣の発言や上の記事にもあるとおり、「タリンマニュアル」があるという。 タリン・マニュアル 正式名称は「サイバー戦に適用される国際法に関するタリン・マニュアル」。2013年3月に、北大西洋条約機構（NATO）の専門委員会であるサイバー防衛協力センター（CCDCOE）が公表した、サイバー戦争と国際法との関係性について記載した文書。 （中略）しかしながら、サイバー戦において、どのような場合が「武力攻撃」であるのかは国際法上も定説をみないため、タリン・マニュアルは、その解釈例を示そうと試みるものである。 引用元： https://imidas.jp/genre/detail/A-124-0501.html   各国でも研究が進められている範囲であり、安易に述べられるものではないが、一つの指標・文献として把握しておきたい。 サイバー攻撃に対する防衛三要件をどう考えるか どのような場合において日本はサイバー攻撃に対する自衛権を発動し得るのか。 上に示したfnnの記事では、以下のような見解をひとつ記述している。 武力行使の新三要件とは、2014年7月1日に閣議決定された、日本が自衛権を発動するための条件であり、具体的な内容は下記の通りである。 （1）我が国に対する武力攻撃が発生したこと、又は我が国と密接な関係にある他国に対する武力攻撃が発生し、これにより 我が国の存立が脅かされ、国民の生命・自由及び幸福追求の権利が根底から覆される明白な危険がある こと （2）これを排除し、我が国の存立を全うし、国民を守るために 他に適当な手段がない こと （3） 必要最小限度の実力行使にとどまる べきこと 岩屋防衛相の答弁を、上記の武力攻撃の新三要件にあてはめると、 まず（1）だが、「サイバー攻撃」