デジタル庁が運用するメール中継サーバに不正アクセス 迷惑メール1万3000件送信
デジタル庁は9月26日、同庁が運用する事業者向け共通認証サービス「GビズID」のメール中継サーバーが不正アクセスを受け、「gbiz-id.go.jp」ドメインから迷惑メールが1万3000件送信される問題が発生したと発表した。 GビズIDヘルプデスクのメール中継サーバーが、海外からとみられる不正アクセスを受け、24日午後4時半から5時までに迷惑メールが送られたという。 同庁は異常を検知してすぐ問題の通信を遮断し、被害の拡大を防いだとしている。個人情報の流出は確認していない。 GビズIDは、法人・個人事業主向け共通認証システム。IT導入補助金やe-Gov、ISMAPポータルサイトといった行政システムに、1つのID・パスワードでログインできる。 関連記事 2日連続のe-Gov障害、原因は別だった KILLNETの関与は“言及しない” 河野太郎デジタル大臣はe-Govで6日と7日に発生した接続障害
日立グループにおけるパスワード付きZIPファイル添付メール(通称PPAP)の利用廃止に関するお知らせ:日立
2021年10月8日 株式会社日立製作所 日立グループは、2021年12月13日以降のすべてのメール送受信において、パスワード付きZIPファイルの利用を廃止させていただくことを、お知らせいたします。 パスワード付きZIPファイルが添付されたメールは日立グループにて送受信されず、受信者/送信者の日立グループ従業員に対して、配送を抑止した旨がメールで通知されることとなります。 お客さまおよびお取引先さまにおかれましては、日立グループとのデータの授受の方法につきまして、適宜担当者にご相談頂けますと幸いです。 弊社施策に対するご理解とご協力を賜りますよう、何卒よろしくお願いいたします。 背景 従来、通称PPAP*は、多くの人が利用可能で通信経路上の暗号化を保証する方式として日立グループにおいても利用されてきました。しかし、すでに暗号方式としてセキュリティを担保できるものでなく、昨今はパスワード付き
日立がPPAP全面禁止へ、「秘文」の添付ファイル自動暗号化ツールも既に販売終了
日立製作所が2021年度から電子メールへの暗号化ファイルの添付を社内で禁止することが明らかになった。子会社の日立ソリューションズが「秘文」ブランドで販売していたメールの添付ファイルを自動で暗号化するツールも、2017年に販売を終了していた。同様の動きは他の大手ITベンダーでも進んでいる。 暗号化ファイルをメールに添付して送付した後に、別のメールでパスワードを送付する手順、いわゆる「PPAP」については、平井卓也デジタル改革担当大臣が2020年11月に、内閣府と内閣官房でこれを廃止すると発表したことから、脱PPAPがここに来て盛り上がっている。 社内ルールを改定しPPAPを禁止 日本のITベンダーは自らが社内でPPAPを行うだけでなく、PPAPの手順を自動化するツールを顧客に販売するなど、これまでは強力な「PPAP推進派」だった。しかしPPAPがメール誤送信対策として不十分であるだけでなく、
「Pマーク取得に必要だから」は都市伝説? “PPAP”をめぐる謎を、名付け親に聞いた
「Pマーク取得に必要だから」は都市伝説? “PPAP”をめぐる謎を、名付け親に聞いた:パスワード付ZIPメール(1/3 ページ) 11月、平井卓也デジタル改革担当相が、中央省庁でのパスワード付きZIPファイルの使用を廃止する方針を打ち出しました。これを機に、パスワード付きZIPファイルをメールに添付して送り、その直後にやはりメールで解凍のためのパスワードを送る「PPAP」──すなわち「Password付きZIPファイルを送ります、Passwordを送ります、An号化(暗号化)、Protocol」と呼ばれる方式に反発する声があちこちで沸き起こっています。 PPAPは多くの企業で「プライバシーマークの取得やISMS認証に必要だから」といった理由から横行してきた、といわれています。しかし後述する通り、この理由には明確な根拠が見つかりません。その上、セキュリティの効果はあまりないにもかかわらず、メ
「パスワード付きZIP」廃止、じゃあどうすりゃいいのか(OneDrive編)
他人に見られたくないファイルをリモートの相手に渡さなければならない場合、従来は暗号化ZIPファイルとその解凍パスワードをメールで送る、という手段が広く用いられてきた。読者諸氏もそのようなメールを一度は受信したことがあるだろう。 しかし、ZIPの暗号化など運用に手間がかかるわりにセキュリティが十分ではない、と指摘されることが多い。そこで、この方法でファイルを送るのは止めよう、という機運が高まっており、実際、内閣府と内閣官房ではこの手法を廃止すると発表している。 とはいえ執筆時点では、「これだ!」と断言できるような、代わりのファイル送信方法が確立しているわけではない。特に中小企業や個人だと、代替の方法が有償だったりシステム更新に手間がかかったりすると、おいそれと置き換えられない場合が多いだろう。できることなら、すでにある機材やソフトウェア、利用中のサービスなどで代替したいところだ。 そこで本T
暗号化メール、内閣府など廃止 平井デジタル相「対策不適切」
平井卓也デジタル改革担当相は24日の閣議後会見で、省庁職員がメールにファイルを添付して送信する際に、暗号化した上でパスワードを別のメールで送る「自動暗号化ZIPファイル」を26日に内閣府と内閣官房で廃止すると明らかにした。パスワードが記載されたメールを同じ経路で送ることを問題視し「セキュリティー対策としても、受け取る側の利便性の観点からも適切でない」と説明した。 デジタル政策へのアイデアを募る「デジタル改革アイデアボックス」に多くの意見が寄せられ、対応を検討していた。 代替策は決まっておらず、民間企業の動きも参考にしながら望ましいセキュリティー向上策を検討するという。暫定的な対策として「(パスワードを)電話で教える」と例示した。他省庁の状況も実態調査を進める。
「ZIPで送ります。パスワードはあとで送ります」は、一体なぜダメなのか
平井卓也デジタル改革担当相は2020年11月17日、中央省庁の職員を対象に「パスワード付きZIPファイル」の送信ルールを廃止する方針を明らかにしました。政府の意見募集サイト「デジタル改革アイデアボックス」に投稿された意見を採用したものです。 この流れに乗り、クラウド会計ソフトを提供するfreeeは、2020年12月1日から対外的に「メールによるパスワード付きファイルの受信を廃止する」と発表しました。メールは、当然ですが受信者がいれば送信者がいます。そのため“受信しません”と表明をすることは重要でしょう。 freeeは今後、パートナー企業や取引先からのZIPファイル付きメールを添付ファイルを削除して受信するとのことです。本文はそのまま維持されるため、これで困ることはないと思われます。 プライバシーマーク制度を運営する日本情報経済社会推進協会(JIPDEC)は、2020年11月18日に「メール
制度関連のNEWS|メール添付のファイル送信について|プライバシーマーク制度|一般財団法人日本情報経済社会推進協会(JIPDEC)
昨今、個人情報を含むファイル等をメールで送信する際に、ファイルをパスワード設定により暗号化して添付し、そのパスワードを別メールで送信することについて、お問合せを多くいただいております。 プライバシーマーク制度では上記の方法による個人情報を含むファイルの送信は、メールの誤送信等による個人情報の漏洩を防げないこと等から、従来から推奨しておりません。 プライバシーマーク付与事業者におかれましては、個人情報を含むファイルをメールで送受信する場合、送信先や取り扱う情報等を踏まえ、リスク分析を行ったうえで、必要かつ適切な安全管理措置を講じていただきますようお願いいたします。 この件に関するお問合せ先 プライバシーマーク推進センター 電話:03-5860-7563 公開日 2020年11月18日
freee、メールによるパスワード付きファイルの受信を廃止 | プレスリリース | フリー株式会社
freee株式会社は、2020年12月1日(火)から、原則としてメールによるパスワード付きファイルの受信を廃止させていただきます。パートナー及びお取引先の皆様にはご理解とご協力のほどよろしくお願いいたします。 ■方針決定の背景 パスワード付きファイルはメール受信時のマルウェア検査を迂回させるため、結果的にパスワード無しのファイルと比較して社内のセキュリティリスクを増大させています。 また、最近のマルウェアの大半を占めるというemotetの拡散(※1)を、いわゆるPPAP(※2)と呼ばれているものをはじめとしたパスワード付きファイルを送受信する運用が助長させていると考えられており、米国CISAでもパスワード付きファイルの受信をブロックすることをemotet感染の緩和策として提示しています(※3)。 こうした背景を踏まえ、お客様の大切なデータをお預かりする当社としては更なるセキュリティ向上のた
「パスワード付き添付ファイル」が無意味どころか社会の害になる理由
早稲田大学理工学部を卒業後、日本DECに就職。営業サポート、ソフトウェア開発、研究開発に従事し、1997年からはMicrosoftでWindows製品の開発に携わる。2006年以降は、GoogleにてWeb検索のプロダクトマネジメントやChromeのエンジニアリングマネジメントなどを行う。2015年11月、技術情報共有サービス『Qiita』などを運営するIncrementsに転職。17年6月より独立し、プロダクト戦略やエンジニアリングマネジメントなどの領域で企業の支援を行う。17年9月、ヘッドハンティング・人材紹介を展開するクライス&カンパニーの顧問に就任。2019年1月、テクノロジーにより企業や社会の変革を支援するTably株式会社を設立。「プロダクトマネージャーのキャリア戦略」 及川卓也のプロダクト視点 アマゾン、アップルといった米国企業や中国企業からの遅れが目立ち始めた日本企業。かつ
マルウェア Emotet の感染拡大および新たな攻撃手法について
(1) Emotet の感染拡大 JPCERT/CCは、2020年9月から マルウェア Emotet に感染し、感染拡大を試みるスパムメール送信に悪用される可能性のある国内ドメイン (.jp) のメールアドレスの急増を確認しています。また、Emotet の感染に関する相談件数も増加しており、Emotet の感染が拡大している状況を把握しています。引き続き、Emotet の感染に繋がるメールへの警戒が必要です。感染拡大を防ぐためにも、後述する内容を参照いただき、組織内への注意喚起を推奨します。 (2) Emotet の新たな手法を確認 Emotet の主な感染経路は、これまでと変わらず、添付ファイルまたは本文中にリンクを含むメールです。添付ファイルまたはリンクからダウンロードされるファイルを実行すると、マクロやコンテンツの有効化を促す内容が表示されます。有効化すると、Emotet の感染に繋
21世紀の人類がZIPのパスワードを直後のメールで送るのは、なぜデスか?:こうしす! こちら京姫鉄道 広報部システム課 @IT支線(11) - @IT
井二かけるの追い解説 今回の漫画のテーマは、ITエンジニアの間でしばしば批判される「後続メールでのパスワード別送」です。 ここでいう「後続メールでのパスワード別送」とは、メールで添付ファイルを送付する際、添付ファイルをパスワード付きzipとし、後続メールでパスワードを送付するという方式です。 現在、情報セキュリティ対策の一環として、「後続メールでのパスワード別送」を採用する企業が数多く存在します。漫画のようにパスワード別送をシステムで自動化している企業も少なくありません。 では「後続メールでのパスワード別送」は何が問題なのでしょうか。代表的な2つの点を挙げます。 1.後続メールでパスワードを別送しても、セキュリティはほぼ向上しない 電子メールはその仕組み上、基本的に相手に届くまでに複数のサーバを経由します。メール送信にTLS/SSLを用いても、暗号化が保証されるのは自分が使用しているメール
「GoogleがGmailの内容を外部企業に読ませている」という記事について - @stomita daily (or monthly, yearly)
Forbes Japanに以下のような記事が掲載された。 forbesjapan.com これについて記事を読んだ人たちのTwitter等での反応を見ていたのだけれど、その反応にちょっと違和感を感じたので、今回少し書いている。 まず最初の反応として、NewsPicksでのコメントを見てみる。 newspicks.com 「メール内容を読ませていいと同意した覚えはない」というコメントが多く、そこから転じて「Gmailは守秘が必要な用途で使うべきでない」「無料のサービスを使うということはこういうことなんだ」のような意見も見られる。 一方、はてブでの反応は、流石に技術者が多いコミュニティということもあり、ちょっと調子は異なっている b.hatena.ne.jp 何事かと思ったらOAuthのことだったw - gogatsu26のコメント / はてなブックマーク OAuth2で同意とってるなら普通じ
2億件の日本人メールアドレスか 闇サイトで販売 | NHKニュース
日本人のものと見られる、延べ2億件のメールアドレスとパスワードが闇サイトで販売されていたことがわかりました。過去に漏えいしたデータを集めたものと見られ、調査に当たったセキュリティー企業は、日本を狙ったサイバー攻撃のきっかけになるおそれがあるとして注意を呼びかけています。 この中には企業や中央省庁のもののほか、個人の携帯電話のメールやフリーメールなどが含まれ、何者かが過去に国内の通販サイトやオンラインゲームなどから漏えいしたデータを集めて販売していると見られています。 ファイア・アイによりますと、日本人に関するこれほどの規模のデータが闇サイトで取り引きされるのは例がないということで、日本を狙ったサイバー攻撃のきっかけになるおそれがあるとして、漏えいが確認された省庁や企業に注意を呼びかけています。 岩間優仁副社長は「パスワードを使い回していたりすると危険にさらされてしまうおそれがあるので、パス
本当の差出人のメールアドレスを知ることはできますか? : 迷惑メール対策委員会
知人からメールが届いたのですが、内容から本人のものとは思えませんでした。そこで、本当の差出人を知りたいのですが、どのようにすればよいのでしょうか? 【回答】 メールは、「メールヘッダ」と呼ばれるメール送信に関するさまざまな情報を持っている部分と、相手に伝えたい本文そのものを持つ「メール本文」の二つから構成されています。私たちが普段見ているメールは、そのメールヘッダ情報の一部とメール本文です。試しに、お手元のメールソフトで「メールヘッダの詳細を表示する」という意味のメニューを選択してみてください。おそらく、非常に数多くの情報が表示されるのでないでしょうか。 図1 メールヘッダの詳細を表示させる(Thunderbird の場合) しかし、全体が表示されたメールヘッダの意味をひとつひとつ理解するのは大変ですよね。そこで、ポイントとなる部分をいくつかご説明します。図2を見てください。 図2 メール
試験に出る!迷惑メールをめぐる攻防 | NTTデータ先端技術株式会社
Tweet 「迷惑メール防止法」と呼ばれる「特定電子メールの送信の適正化等に関する法律」が2002年に施行されてから10年以上が経った今でも、毎日のように迷惑メールが送信されています。調査会社やセキュリティサービス会社各社の発表するレポートを参照しても、レポートや調査年により多少の差はあるものの、メール全体のトラフィックのうち、およそ60%~70%は迷惑メールが占めているという結果(*1)です。 迷惑メール防止法のみならず、一般利用者にインターネット回線を提供する事業者(ISP)が、外部サーバーのTCP25番ポートに接続することを禁止する「Outbound Port25 Blocking」を導入したり(*2)、メールサービス提供事業者が迷惑メールを自動的に除外するフィルタリングサービスを提供したりするなど、業界全体としても一定の対策が講じられています。 しかし、迷惑メールは一向に減る気配が
「ご注意!!OFFICEのプロダクトキーが不正コピーされています」 MSかたるフィッシングメール出回る
メール本文には「セキュリティ警告!! お使いになっているオフィスソフトの授権が終了されてしまう可能性があります。直ちに検証作業をしていただきますようお願いします」などと書かれ、「今すぐ認証」のリンクに誘導。リンクをクリックすると、Office公式サイトに似せたフィッシングサイトが表示される。 日本マイクロソフトは「弊社から送信しているメールではない」とし、メールを開かず削除するよう呼び掛けている。 関連記事 LINEをかたるフィッシングメール、再び 件名は「LINE Corporation」「LINE」 LINEを偽装したフィッシングメールが出回っているとして、フィッシング対策協議会が注意を呼び掛けている。 「【警告】異常な回数のログイン試行」 ネクソンをかたるフィッシングメールに注意 ネクソンをかたるフィッシングメールが出回っていると、フィッシング対策協議会が注意喚起。不審なログイン履歴
m-FILTER at SE の雑記
デジタルアーツ株式会社さんが発売しているソフトで [m-FILTER] というものがあります。 m-FILTER この m-FILTER ですが、電子メールのフィルタリング / アーカイブ / アンチスパ対策をすることが可能です。 メールサーバーにインストールするのではなく、メールサーバーの上位にリレーとして配置することにより実装する製品となります。 # 30 日間評価版が提供されているため、実際にインストールをして検証することも可能です。 メールリレーとして配置すれば動作しますので、Exchange Server 2010 とも連携することが可能です。 リレーとして配置する製品なので、単純に考えると、構成は以下のようになると思いますよね。 評価環境を作成してみましたので、m-FILTER について簡単に検証してました。 今回は Windows Server 2008 R2 上にインストー
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
ZIPのパスワードを直後のメールで送る不思議 | スラド セキュリティ
Gmail、拡張子が「.js」のファイルの添付を禁止へ | スラド セキュリティ
