第816号コラム： 上原　哲太郎 理事（IDF会長、立命館大学　情報理工学部　教授） 題：「クラウド時代に求められる暗号化消去」 4月になり、新しい年度が始まりましたが、皆様いかがお過ごしでしょうか。社会のさまざまな活動が新しい年度を迎える様子を見ておりますと、新型コロナウイルスによる社会的影響も随分と小さくなり、我々が日常を取り戻したことを実感します。IDFの活動も21期目を迎えましたが、今期からは各分科会も参会方式による活動が活発にできると思いますので、会員の皆様もデジタル・フォレンジックの発展のためご参加頂きますようよろしくお願い致します。 さて新年度になりますと、多くの人が異動し、新しい組織での活動を始めます。そうでなくとも、この時期に新しいパソコンを使い始める方も多いと思います。そういう方に私がお勧めしているのは、「新しいパソコンを使い始める前に、そのストレージ(HDD/SSD)

特定非営利活動法人デジタル・フォレンジック研究会（IDF）、一般社団法人日本データ復旧協会（DRAJ）、特定非営利活動法人日本ネットワークセキュリティ協会（JNSA）、一般社団法人日本コンピュータセキュリティインシデント対応チーム協議会（NCA）及び一般社団法人ソフトウェア協会（SAJ）の合同編集による、「データ被害時のベンダー選定チェックシートVer1.0」を公開いたしました。 背景 データ復旧事業者に復旧作業を依頼する組織の担当者が、復旧事業者が提示する「復旧率」や「復元率」などの表記の解釈をめぐってトラブルに陥るケースが増えています。 トラブルのうちのいくつかは、組織の担当者の知識不足というよりも、事業者側が合理的な根拠のないまま、高いデータ復旧率を提示して広告宣伝を行っていることや、その復旧率について、サービスを利用する担当者に分かりやすい説明を行わないまま契約を締結し、利用者の想

第５９５号コラム：上原 哲太郎 副会長（立命館大学　情報理工学部　教授） 題：「私たちはなぜパスワード付きｚｉｐファイルをメール添付するのか」 皆さんの組織でも、重要な情報を含むファイルをメールで外部に送付する際に、その漏洩防止等のため、何らかのルールを設けておられるところが多いのではないかと思います。その中で非常によく見かける方式に、このようなものがあります。 ①添付するファイルをあるパスワードを使って暗号化ｚｉｐファイルにする。 ②そのファイルをメール添付して送信する。 ③続いてそのパスワードをメール送信する。 私が見聞きする限り、多くの日本企業や組織がこのようなファイル送信法をセキュリティ強化策と信じて」内規で義務づけたり、自動化システムを導入したりしています。しかしこの種のメール、少し考えるだけでセキュリティの観点からは効果がないことは明らかです。同一経路でファイルとパスワードを送

第５６９号コラム：上原 哲太郎 副会長（立命館大学　情報理工学部　教授） 題：「ウイルス罪の運用が最近変な方向に行ってないか？」 前回のコラムの最後で、「コンピュータウイルスに関する罪の運用が一段と広がっており、技術者の立場からみて疑問が残る司法判断がいくつか下ってしまった」と書きました。今回はその話を少し掘り下げて書いてみたいと思います。 第５４６号コラム：「年末のご挨拶：２０１８年のデジタル・フォレンジックを振り返る」 前回コラムで問題にしたのは、俗に「Wizard Bible事件」「Coinhive事件」と呼ばれる事件でした。さらに、この半年の間にこれに加えて「無限アラート事件」と呼ばれるものが加わってしまいました。Coinhive事件はその後無罪判決が出たことで大きく報じられましたが、罰金刑が確定してしまったWizard Bible事件や、不起訴となった無限アラート事件はそれに比べ

第５４０号コラム：石井 徹哉　理事（千葉大学　副学長、大学院専門法務研究科　教授） 題：「大学におけるサイバーセキュリティの現状」 大学におけるセキュリティインシデントは、総数としては減少傾向にあるとはいえ、国の政策にかかわる情報や先端技術に関する研究情報の窃取を目的とした標的型攻撃が増えつつあります（例えば、日本経済新聞２０１８年９月１８日参照。なおここで取り上げられている１８年３月の被害大学には誤りがあります。）。人によっては、大学の教職員が標的型攻撃の一つのなりすましメールの開披率が他の業種と比べて突出して高いと言われたりもしています。また、ＵＳＢメモリやノートパソコンの紛失・盗難などセキュリティマネジメントの不徹底による事案もそれほど減少しているわけではありません。 他方、７月に閣議決定された政府のサイバーセキュリティ戦略では「4.2.4　大学等における安全・安心な教育・研究環境の

デジタル・フォレンジック研究会では、第１１期（２０１４年）に下記を目的として「日本語処理解析性能評価」分科会を立ち上げ、ＩＤＦ会員及び官民のアドバイザーによるワーキングでの検討を逐次進めました。第１２期（２０１５年）には「評価基準」「評価データ」「評価手順」を作成し、第１３期（２０１６年）に有識者からなる「評価委員会」にてこれらの確認を行い、評価の実施について承認を得ました。これらに基づき２０１６年８月より受検企業の募集を行い、２０１７年１月に２社の製品性能評価を実施しました。 この評価結果等について「日本語処理解析性能評価受検結果」を公開致します。 尚、「日本語処理解析性能評価」分科会にて作成した「評価基準」「評価データ」「評価手順」等は、これまで客観的な日本語処理解析性能評価に関する指標や基準が無かったことから、ＩＤＦが評価基準を設け、評価用データや評価手順を作成したことの意義は大きい

HOME » 一覧 » コラム » 第４２２号コラム「法人番号の検査用符号の設計ミスと、公共で使われるチェックデジット」 第４２２号コラム：上原 哲太郎　理事（立命館大学　情報理工学部　情報システム学科　教授） 題：「法人番号の検査用符号の設計ミスと、公共で使われるチェックデジット」 前回、第４０４号コラムでマイナンバーの個人番号のチェックデジットについて取り上げました。 第４０４号コラム「マイナンバーのチェックデジットについて」 今回はその続編です。もう一つのマイナンバー、法人番号について、前回は書く余裕がなかったので今回追記しておきます。 マイナンバー法で定められる法人番号は、その名の通り法人などに付番される１３桁の番号で、国の機関、地方公共団体、会社法に基づく法人などほとんどの法人と、法人格を持たなくても納税義務を有する主体（いわゆる権利なき社団や財団）に与えられています（一方、有限

第４１１号コラム：石井 徹哉　理事（千葉大学　副学長　大学院専門法務研究科　教授） 題：「自動運転自動車におけるログの保存」 自動運転自動車については、政策的な後押しもあり、この数年間で実社会に投入される見込みが高いといえます。しかし、実社会への投入に際しては、法制度上クリアすべき課題があるだけでなく、整備された法制度を運用するにあたってこれを支援するための規格の策定等も必要になってきます。その中の一つが、自動運転自動車における運転記録の内容とその保存のあり方です。 前提として確認すべきことは、2点あります。まず、道路交通法は、その70条に示すように、車両等の運転者に対して、安全運転の義務を課しています（「車両等の運転者は、当該車両等のハンドル、ブレーキその他の装置を確実に操作し、かつ、道路、交通及び当該車両等の状況に応じ、他人に危害を及ぼさないような速度と方法で運転しなければならない。」

第４０４号コラム：上原 哲太郎　理事（立命館大学　情報理工学部　情報システム学科　教授） 題：「マイナンバーのチェックデジットについて」 ついにマイナンバー制度の運用が始まりました。個人的にも、年が明けて以来あちこちでの講演などで事務手続きに個人番号の提出を求められる機会が増え、いよいよ始まったということを実感しております。一方、運用を担う自治体現場ではさまざまなシステムトラブルや手続き上のミスが発生してしたり、昨年の年金機構を狙ったサイバー攻撃に対応するため個人番号を扱うシステムを系統分離したりと大変な作業になっていますが、ここをなんとか乗り越えて、行政の効率化にうまく繋げられることを願っています。それこそがこの施策の目的ですから。 このマイナンバーですが、この種の多くの番号の例に漏れず、人手での入力間違いが発生しても機械的にすぐわかるように、チェックデジットと俗に呼ばれる1桁が付け加え

第３８１号コラム：上原 哲太郎 理事（立命館大学　情報理工学部　情報システム学科　教授） 題：「無料公衆無線LANとフォレンジック」 外国人観光客が急速に増加する昨今、その外国人を対象に無料の無線LANサービスを提供しようという気運が盛り上がっています。 自治体等では災害時の情報提供手段としても期待されていることもあって、観光地や避難所予定地を中心に無線LANサービスの整備が進められています。多くの外国人が日本を訪れるであろう2020年の東京オリンピック・パラリンピックを一つのマイルストーンとして、この傾向は続くと思われます。 しかし、その整備のあり方に対して警察から待ったがかかる例が出ています。大きく報道された例では、私の住む京都市で行われてきたKyoto WiFiが話題になりました。 京都新聞：京都市の公衆WiFi「危険」　府警「犯罪インフラに」警告 http://www.kyoto-

第３７１号コラム：佐藤 慶浩 理事（日本ヒューレット・パッカード株式会社　個人情報保護対策室　室長） 題：「標的型攻撃にどう対処するべきか」 企業や組織での情報セキュリティ対策で攻撃という言葉が使われる。これは、攻守に分かれてスポーツの試合などをする際の守備と攻撃の関係を、情報資産を保護する組織とそこへの侵害を試みる者の関係に見立てたものだ。たとえば、サッカーであれば、ゴールを守る側と攻める側がいるようなものだ。 スポーツの試合ともっとも異なる点は、スポーツは試合の情勢によって攻守は交代するものだが、情報セキュリティの攻守は交代することはなく、攻撃者は一方的に攻撃し、企業や組織はひたすら守るだけとなる。 情報セキュリティ対策の課題のひとつとなるインターネットからの攻撃は、インターネット上に設置したゴールゲートが、攻撃にさらされるようなものだ。いまや、あらゆる企業や組織が何らかの形でインター

第３５９号コラム：上原 哲太郎 理事（立命館大学　情報理工学部　情報システム学科　教授） 題：「情報セキュリティ人材が足りない、は本当か」 情報セキュリティの世界を支える人材の育成は、いつでも良く課題として取り上げられてきましたが、最近特にその声が大きくなってきています。２０１３年６月情報セキュリティ政策会議の「サイバーセキュリティ戦略」でも人材育成は大きく取り上げられ、２０１４年５月には「新・情報セキュリティ人材育成プログラム」が打ち出されました。 これらでは、情報セキュリティ人材の不足が言われています。その根拠となっているのは、多くの場合２０１２年に行われたＩＰＡの「情報セキュリティ人材の育成に関する基礎調査」報告書ではないかと思います。 http://www.ipa.go.jp/security/fy23/reports/jinzai/ 曰く、企業における情報セキュリティ人材は現在２

第３３４号コラム：上原 哲太郎　理事　（立命館大学　情報理工学部　情報システム学科　教授） 題：「今年はソフトウェア脆弱性の当たり年？」 今年(2014年)は本当に驚くほど深刻かつ影響範囲の大きいソフトウェア脆弱性が次々報告されており、後年から「当たり年」として記憶されるような年になりそうです。まずはそれを振り返ってみましょう。 まず4月、広範に使われているSSL/TLSライブラリであるOpenSSLに深刻な脆弱性が見つかりました。これはSSLの仕様にあるHeartbeatという機能の実装の不具合に起因していまして、攻撃者はこの不具合を突いてOpenSSLが用いられている各種サーバのプロセス内のメモリの一部を読み取ることができます。このメモリ内には、直前の利用者のユーザ名やパスワード、HTTPS通信時のCookie、そしてサーバ側の秘密鍵が入っている可能性があります。この脆弱性はその攻撃の