佐川急便をかたって不審なアプリをインストールしてしまう事象に注意
佐川急便をかたるショートメールにご注意
最近(2018年8月)増加傾向にあるようです。
今に始まったことではないが、佐川急便をかたって偽サイトに誘導し、不審なアプリをインストールさせられてしまう事象が、この頃増加傾向であるとのことです。
どういう流れなのか
スマートフォンでショートメッセージを受信します。
そこには、配達したが不在であったようなメッセージが書かれており、配達物は以下URLのページから確認できると記載されています。
そこに記載されているURLは実在する佐川急便とは異なる偽サイトになっており、本物とそっくりなサイトが表示されます。
画面のリンクをタップするとAndroidアプリのダウンロードが始まります。
偽サイト内にアプリのインストール方法が記載されており、恐ろしいことに「提供元不明のアプリ」をオンにしてインストール可能な状態にする手順まで書かれているようです。
何されちゃうの?
そのアプリでは、端末内の様々な機能や情報にアクセスする権限を持っているようです。
IPAによると、以下の権限を有します。
- 端末のステータスとIDの読み取り
- 電話番号発信
- 発信先の変更
- テキストメッセージ(MMS)の受信
- テキストメッセージ(MMS)の送信
- テキストメッセージ(SMSまたはMMS)の読み取り
- テキストメッセージ(SMSまたはMMS)の編集
- SMSメッセージの送信
- 録音
- 連絡先の読み取り
- SDカードのコンテンツの読み取り
- SDカードのコンテンツの変更または削除
- 画面ロックの無効化
- この端末上のアカウントの検索
- ネットワークへのフルアクセス
- ネットワーク接続の表示
- ネットワーク接続の変更
- Wi-Fiからの接続と切断
- Wi-Fi接続の表示
- 起動時の実行
- 実行中のアプリの取得
- 他のアプリの終了
- 他のアプリの上に重ねて表示
- 端末のスリープを無効にする
- 音声設定の変更
- ステータスバーの拡大/縮小
なにこれ、何でも出来ちゃうそうじゃん・・・。
現在寄せられている相談内容から察するに、佐川急便をかたる同ショートメッセージを送信しまくったり、Googleアカウントに見に覚えのない履歴が残っていたりしていたとのことでした。
おそらく、SNSなどの不正利用なども可能性としてはあるかと思われます。
気をつけること
不審なショートメッセージの内容を鵜呑みにしないようにしましょう。
なかなか判断が難しいと思いますが、少しでも怪しいと思ったら、それ以上クリックなどはせずに、ネットで検索し調べて見てください。
情報セキュリティの対策にあたっての基本的な考え方や方法
セキュリティ対策、まだまだ遅くない!
今は2018年8月、東京オリンピックまであと1年!
閉会式や開会式、各陸上競技が行われる新国立競技場も、予定としては、工程の半分を過ぎたところまで来ています。
それだけでなく、選手が滞在するいわゆる「選手村」や、各国からやってくる観光客の宿泊施設もどんどん開発が進んできています。
まさに建設ラッシュ!
目に見えないところですが、今現在、セキュリティ分野でもオリンピックに向けて急ピッチに各種対応が行われています。
オリンピックだけでなく、ラグビーワールドカップ2019が来年開催されますが、こういう国際的な大きなイベントがある時、サイバー攻撃が多く発生します。
テロリストからすると、力を誇示し、主張をアピールする絶好の機会となるからです。
サイバー攻撃から社会を守るため、セキュリティエンジニアが日々頑張っているのです。
IPA(独立行政法人情報処理推進機構)によると、2012年に開催されたロンドンオリンピックでは、期間中に2億件を上回るサイバー攻撃が行われたとしています。
狙われやすいのはインフラや政府、大企業などが想定されます。
しかし、セキュリティへの関心が高い今だからこそ、小さな組織でも対策をしっかり考えていく機会が訪れているのではないでしょうか。
今後、セキュリティへの対応が益々広がっていきますので、「まだ知識が甘いかな?」という組織は、しっかり基本的な考えを身につけるようにしていきましょう。
そもそも情報セキュリティって何?
情報セキュリティとか、サイバーセキュリティとか、よく耳にしますが、これって一体なんでしょうか?
情報セキュリティとは、簡単にいうと情報(個人情報、業務や経営で利用するデータ、取引先データ等)を保護する、という意味です。
に対して、サイバーセキュリティは、ネットワーク等によって保存されている情報を保護する、という意味ですが、ざっくり、サイバー攻撃から保護する、という取り方で問題ないと思います。
サイバーセキュリティに関しては専門的な知識が必要なので、情報セキュリティの観点で、「組織で情報を保護する」考え方を紹介していきます。
情報セキュリティを考える上で必要な3要素
ISMS(情報セキュリティマネジメントシステム)という、「情報を保護するために管理する仕組み」(まんま直訳しただけ・・・)というのがあるのですが、そこで情報セキュリティの3要素が謳われています。
- 機密性・・・情報へのアクセスを認められた者だけが、その情報にアクセスできる状態を確保すること
- 完全性・・・情報が破壊、改ざん又は消去されていない状態を確保すること
- 可用性・・・認可されたエンティティが要求したときに、アクセス及び使用が可能である特性
- 作者: 中村行宏,四柳勝利,田篭照博,黒澤元博,林憲明,佐々木伸彦,矢野淳,伊藤剛
- 出版社/メーカー: 技術評論社
- 発売日: 2017/02/23
- メディア: 単行本(ソフトカバー)
- この商品を含むブログを見る
機密性、完全性に関してはなんとなくわかるかと思いますが、可用性は少しわかりづらいですね・・・。
可能性は、その情報が必要な時にすぐ使えるようになっているか、ということです。
実例を使って説明します。
例を使って考えてみましょう!
あなたは学習塾の経営者とします。
経営者のあなたと、アルバイト講師数名と、塾生(中学生)数十名が関係者としていると思ってください。
アルバイト講師は、授業で講義を行うだけの役割とします。
次の事例を考えてみてください。
塾生の管理として、名前、住所、電話番号、出欠席、月謝の支払い有無を記したノートを作りました。
このノートを教室内の先生の机の上に常においておきます。
どうでしょうか?
- 機密性・・・生徒に中身を見られてしまう恐れがあり、かつ、アルバイト講師には住所、電話番号、月謝の支払い有無などは知る必要のない情報であるため、機密性は低いと考えられる
- 完全性・・・生徒によって、不正に情報を変えられてしまう恐れがあります。月謝を支払っていないにもかかわらず、支払い有無を「有」に変更されたり、出席していないのに「出席」と改ざんされる可能性があり、完全性も低いと考えられる
- 可用性・・・必要な時にそのノートをすぐに見ることができるので、可用性は高いと考えられる
この例では、機密性と完全性が低いので、どうにか対策をしてみましょう。
今までのノートを、個人情報や支払いを記載した経営者用のノートと、名前と出欠席を記載した講師用のノートに分けました。
経営者用のノートは、経営者の家の鍵付きロッカーにしまうことにしました。
講師用のノートは、生徒にいたづらされないように、塾内の職員控室(塾生は入れない)に保管することにしました。
これでどうでしょう?
- 機密性・・・ノートを分けたことで、必要な人だけに情報が見えるようにしてあるので、機密性は高い。
- 完全性・・・ノートに記入する人だけが取り出せるように保管場所を変えてあるので、完全性は高い。
- 可用性・・・講師用のノートは問題ないが、経営者用ノートの可用性は低い。授業中に体調を崩した等で、生徒の親に緊急連絡をとる場合、一度経営者の家に行かないと連絡先がわからない。
あらら、機密性、完全性の対応を行ったことにより、可用性を犠牲にしてしまいました。
この場合、経営者用ノートを職員控室に経営者だけ鍵を持っているロッカーに入れるべき、でしたね。
機密性、完全性を高めるための対応は、可用性を低くしてしまうケースが多いので、情報セキュリティの3要素で可用性の大切さも表しています。
図解入門よくわかる最新情報セキュリティの基本と仕組み[第3版] (How‐nual Visual Guide Book)
- 作者: 相戸浩志
- 出版社/メーカー: 秀和システム
- 発売日: 2010/03/25
- メディア: 単行本
- 購入: 10人 クリック: 206回
- この商品を含むブログ (13件) を見る
最後に
標的型攻撃という、その組織を狙った攻撃が流行しており、サイバーだけでなく、現地で情報を盗んだりする被害も有りえます。
例のように、今組織として保持している情報が本当に正しく保護されているのかを一度考えて見てください。
長期休暇前にセキュリティ対策しておきましょう
皆様、夏休みのご予定は如何でしょうか?
今年(2018年)は7月から大変な暑さに見舞われて、とても外に出る気力がないのではないでしょうか。
私も暑さにやられてしまって、大した予定を入れることができませんでした。
いっそのこと、避暑地に行きアクティビティでストレス発散といきたいところですが、交通費もバカにならないし、渋滞も酷いものなので、家族そろって引きこもりになりそうなこの頃です・・・。
さて、良い予定をたてられた人も、そうでない人も、長期休暇を取る前に、やるべきセキュリティ対策があります。
会社を出る前に、しっかりと以下のポイントを確認するようにしてください。
1.緊急連絡先の確認
セキュリティに関わらず、何か不測の事態に備えて、上司や各担当者、担当部門への連絡先を押さえておきましょう。
また、誰かから連絡を受ける場合もありますので、連絡経路などの確認をするようにしましょう(連絡受けたくなくても!)。
もし何かしらのインシデントが発生した場合に、連絡できない、連絡とれない、ではまずいですからね。
2.不要な機器の電源をOFF
休暇中、利用していない機器を電源OFFにしましょう。
担当者不在時に思わぬ動作をする可能性があり、誰も制御できないと大変なことになります。
例えば、休暇中にその機器で利用しているミドルウェアなどに脆弱性が見つかり攻撃をうけたり、踏み台とされる場合があります。
また、ハードウェアトラブルにより発火の危険性が少しでもあるなら、BCPの観点からも電源をOFFにすべきです。
3.ナウなSNS投稿を控える
Facebookなどで海外旅行中だと投稿すると、留守にしている事が明らかになってしまいます。
留守を狙って自宅や職場に何かしら仕掛けてくる人がいないとも限りません。
備えるという意味では、ナウな投稿はせずにワズな投稿にすべきでしょう!
よい長期休暇にするためにも、いやな思いをしないためにも、対策をちゃんと行っていきましょう。
あ、連休明けの出社時には、まず最初に修正プログラムの適用や、最新定義ファイルでのウイルスチェックをお忘れずに!
サイバーリスク保険と日本の未来
昨今、情報セキュリティ対策を講じなければならないと各企業それぞれ動き出している、というより、もうすでに対策を打っていなければ遅いのかもしれない。
東京海上日動火災保険の企業向け保険に、「サイバー・情報漏えい事故の保証」を新設したとのこと。
あれ? 昔から東京海上日動でサイバー保険なかったっけ? と。
損保ジャパンはじめ、多くサイバー保険の取り扱いをしています。
この東京海上日動の商品の特徴として、特筆すべき箇所といえば、「セキュリティ状況に関する申告書の提出を不要とする」という点です。
詳細はまだわかっていないので、はっきりとは書けないが、他の保険会社では最低限のセキュリティ対策が講じられていること等を加入条件としていることが想像できますね。
必要としていたセキュリティの状況報告が不要である、ということは、今までのように保険に加入するために情報セキュリティ対策を行うというステップを軽減できる(?)ため、費用対効果が見えづらく「事業活動に金使いたいのに、なんで情報セキュリティなんかに金使わなきゃならねーんだ! 大体どこから金を捻出すればいいんだ、チクショー!」と言う、費用をいくら考えておけばよいのかわからない経営層には、多少なり導入コストが低く抑えられそうな感じはしますし、そう見えます。
まして中小企業向けならなおさら。
中小企業が情報セキュリティ対策に掛けられるコストって多くはないですからね。
懸念としては、保険加入者が、保険によるリスク移転はあくまで二次案でなければならない点をちゃんと理解できているか、です。
セキュリティアセスメントと対応の費用をケチって、サイバー保険のみに頼ってやり過ごそうと考えるのは大間違えです。
インシデント時に費用はたくさんかかります。
その費用が保険でまかなえたとしても、企業に対する信頼はもう取り戻せません。
保険の加入はいざという時に大変力になってくれるとは思いますが、その前に、しっかりと「身の程にあった」組織の情報セキュリティを高めるようにしましょう。
中間管理職を知る
課長の評判、どうですか?
あなたの組織の課長は、どんな評判ですか?
「数字ばかり追いかけていて、全然下の気持ちを考えていない!」
「下からの要望に応えてくれない!」
私の所属企業では、メンバークラスの社員から課長の評価を聞くと、酷評しか聞こえてきませんでした。
「優秀な課長だ」とか、聞いたことがありませんでした。
試しに知り合いにも聞いてみましたが、やはりその企業でも同様に酷評ばかりだといっていました。
課長ってどうして社内からの目が厳しいんでしょうか?
会社のど真ん中の課長さん、一体どういうお仕事をされているのかをまず考えてみましょう。
絶対にやらなければならない課長のお仕事2つを紹介します。
課長のお仕事1 予算管理
四半期なり年次なり、予算管理に責任をもっています。
会社に対して、予算達成を約束しています。
予算達成しなければ、シャレになりません。
予算は、年度のお金の使い方を決める上で重要なものだからです。
各部門の売り上げを想定し、利益を何に使っていくかを会社は考えます。
来年度新卒採用の為に採用エージェントやコンサルに充てる費用にする、とか、銀行から借りている負債を返す、とか。
各部門に予算を割り当て、それを達成すること前提で、会社を動かすための予定をたてることから、予算未達となれば、予定が大きく狂います。
やるはずの活動ができないと、株主からの信頼も下がりますし、会社の前進に影響を与えますし、所属社員のモチベーションも下がりますし、返さないといけないお金を返せません。
なので、各部門が予算を達成することは、重大な責務で、必達であることがわかると思います。
課長はどのような手段を使おうが、予算達成をしなければなりません。
課長のお仕事2 上下をつなぐ
課長は会社のど真ん中に位置します。
上には部長や事業長がおり、下には係長や主任がいます。
本当にど真ん中の位置にいます。
平社員や係長/主任は、会社を直に動かす原動力であるため、部長、事業長、役員や社長の方針を理解できないことが多いと思います。
また逆に、上の人たちは現場の気持ちがわからない(当然昔は平社員ではあったが、長く管理職をやっていく中で気持ちが薄れている)ので、数字、トレンド、リスクから編み出される方針や指示が、下の人たちにどういう影響を及ぼすかわからないことも多いと思います。
そんな、上下に挟まれている課長は、どちらの気持ちも汲み取りつつ、どちらにもわかるように説明し、いい感じで組織を突き進めていかなければなりません。
なんで酷評が多いのか?
話を戻します。
何故酷評が多いのか。
それは、課長の仕事や責任をあまり理解していない人が多いからではないかと推測しています。
下の人間からは、数字ばかりを追いかけ、会社の言うことばかりを推進しようとしているように見えるからです。
課長を会社の犬のように見えてしまっているのではないでしょうか。
中間管理職、とくに課長というポジションを正しく理解すれば、会社を正しく動かすために必要な、最善の判断をしてくれていると思えるかなと。
良い状態で会社が保たれているなら、感謝しないとですね。
同期は現役である限り指標
人生に一度だけ決まる特別なグループ、同期社員
同期とは仲良くしていますか?信号
環境はそれぞれですが、100人以上同期がいる方もいれば、数人、もしかしたら「居ないよ」という人もいるかも。
私が新卒入社した時、同期は3人でした。
一つ年上の男性と、3つ年上の女性、そして私の3人。
今現在15年以上立ちますが、連絡を取り合っています。
今や終身雇用なんて言葉も消えつつありますが、一人は新卒入社の会社に残り、私ともう一人は別の会社に移っています。
私に関しては、現在開発を離れてセキュリティ系の仕事をしていますので、当時からは違う仕事をしているようなもんです。
平等にスタートを切った人たち
歳も学歴も出身も違うけど、唯一の同期。
同じ時期に同じ会社から同じ教育を受けてスタートしました。
完全にスタートは一緒なのです。
何年か経った時に同期を見てみると、成長を感じる人もいれば、そうでない人もいるのではないでしょうか。
面白いのは、スタートを切ってから、会社でどういう働き方をしたのか、または、どのような選択肢があって何を選んだのか、それによって、成長や年収に開きが出てくることです。
同期と自分自身を比較して、あるべき姿か確認してみよう
節目に同期と話をしてみてください。
同期と比べることによって、これまでの自分自身の働き方や選択が、どうだったのかがわかります。
比べるのは年収だけではないですよ。
過ごしやすさ、地位、満足度・・・ご自身が仕事に対して何を求めているかによって比べる要素は異なります。
お互いを刺激しあう必要はありませんが、自分の中で勝手に同期をライバルに仕立てて、仕事に意欲的になるのもいいことかもしれませんね。
体格は関係ない! 貫禄の付け方
第一印象で勝負をかける必要も
新卒入社してから暫く仕事を頑張ると、取引先や外部のパートナーと話す機会が増えてきます。
初めて相手の方とお会いして、お話をしていく際に、今後の付き合い方を考えていくことになります。
どの程度できる人なのか、どこまで踏み込んでお話できる人なのか、どこまで押し付ける事ができるのか、などなど。
付き合いが長くなると実力や人間性が見えるようになり、それに応じた対応ができるわけですが、長くお付き合いする間もなく、お互いの用事が済み、もう会わなくなることもありますよね。
なので、ファーストインプレッションや一度二度の接触の中で、ある程度相手をみるようにしなければならないし、逆に見られています。
「なんだか頼りない人だな」や「ちょっと弱い人だな」と思われたくないものです。
そんな時に助けてくれるのが、「貫禄」です。
もちろん貫禄がすべてではありません。
が、その相手と話を効果的に進める上で、一つの武器になります。
体格に自身がない・・・でも!
貫禄と聞くと、体格の良さが目立ちます。
背が高かったり、横幅が広かったり、見た目が大きく見える方は、多少有利な感じがします。
でも体格に恵まれない人や、体がどうしても小さい女性は貫禄がつかないのか。
そんなことはありません。
大きく見せるのは、体格だけではありません!
ロシアのプーチン大統領は、身長が170センチと言われています。
筋肉質という点はありますが、それにしても、170センチとは思えない貫禄がありませんか?
貫禄をつけるポイント
体が小さくても貫禄をつける事ができます。
以下を身につけてみてください。
1.落ち着き
ゆったり、余裕を持って構えます。
何かトラブルがあっても、決して慌てる様子を出さない。
叱ることはあっても、怒らない。
あまり早口で喋らない。
2.目線を外さない
目線がウロウロすると、気の弱さを感じさせます。
相手と話をするときは、なるべく目線を外さず、いつもより目を開き気味にしてジッと見つめてみてください。
だからといって、ずっと睨みつける必要は無いですよ!
3.姿勢を正す
姿勢の悪さは、若々しさと虚勢を感じさせます。
真の強さは見た目ではなく、心にあります。
人は直感でそれを感じます。
4.言い回し
気遣いを感じさせる言い回しができるようになると、ハイグレード感がでます。
「・・・に申し伝えます」
「結構なお話ではございますが・・・」
「ご留意ください」
5.こだわりのアイテムを用意する
スーツや靴、時計やカバンなどの小物に高級品を利用する。
それにより、周りと差別化をはかることができます。
まあ、見た目という部分になるので、個人的にはあまり好きではないのですが・・・、こういうアプローチもあります。
いかがでしたか?
貫禄は決して体型だけではありません。
上記のようなことを心がけ、内部的な貫禄をつけるようにしてみてください。