もし脆弱性をみつけてしまったらどうするのか正しい方法は?先日大手マスコミ(朝日新聞出版と毎日新聞)が記事として披露してしまいました。それを見て、いたずらを仕掛けた人もいたようです。正しくはどうするべきだったのでしょうか?
IPA公式見解
脆弱性発見・報告のみちしるべ ~発見者に知っておいて欲しいこと~(統合版)
(IPA公式ユーチューブサイトからご覧ください)
ITmedia NEWSさんの取材より
脆弱性情報は、開発者が脆弱性を直すために必要な情報である一方で、攻撃に悪用される恐れがある情報でもある。このためIPAは「発見時は開発者に報告し、極秘事項にすること」とし、「報告せずに、脆弱性の存在をネット上にいきなり公開することは絶対に行ってはいけない」としている。また、攻撃者と疑われる可能性があることから「善意であっても必要以上に調査しないこと」ともしている。
ITmedia NEWS(https://www.itmedia.co.jp/news/articles/2105/18/news145.html)
これに尽きる。
脆弱性の手口、IPA「見つけたらまず開発者やIPA窓口に報告して」 コロナワクチンの架空予約巡りhttps://t.co/q884ox2s3w pic.twitter.com/YbYEIiqnHc
— ITmedia NEWS (@itmedia_news) May 18, 2021
IPAとは
独立行政法人情報処理推進機構(じょうほうしょりすいしんきこう、英: Information-technology Promotion Agency, Japan、略称: IPA)は、
日本のIT国家戦略を技術面・人材面から支えるために設立された独立行政法人(中期目標管理法人)。所管官庁は経済産業省。
日本のソフトウェア分野における競争力の総合的な強化を図る。
情報処理の促進に関する法律の一部を改正する法律(平成14年法律第144号)により、2004年(平成16年)1月5日に設立され、同法附則第2条第1項の規定により解散した、特別認可法人である情報処理振興事業協会(IPA)の業務等を承継した。
Wikipediaより
まとめ
IPAは、Twitterでも様々なIT系の注意喚起を行っている。詐欺にひっかからないようにフォローしておくと良いでしょう。
5/17(月)から制御システムの #リスク分析 について学ぶオンラインセミナーを開催します。制御システムを保有する組織の実務者・管理者などを対象に、リスク分析の具体的な手法などをわかりやすく解説します。ぜひお申込みください。https://t.co/zwrXglKHF2#制御システム#セキュリティ pic.twitter.com/BrlWI6kra9
— IPA(情報処理推進機構) (@IPAjp) May 17, 2021
佐川急便の公式サイトによると、「Web再配達受付サービスでは、お客様からの電話番号の入力や、本人確認書類のご提出は求めていない。」とのことです。
— IPA(情報セキュリティ安心相談窓口) (@IPA_anshin) May 18, 2021
不在通知を装う偽SMSに引き続き注意してください!!!!!
↓佐川急便による注意喚起ページhttps://t.co/8jYva78t75
5月1日から18日までの間に、iPhoneをご利用の方で、宅配業者を騙る偽SMSを受信後、文中のURLに接続、「AppleIDとパスワードを入力してしまった」という相談が20件寄せられました。相談の中には下記の様なご申告も多く含まれています。 1/2 pic.twitter.com/LkUT2hx8ws
— IPA(情報セキュリティ安心相談窓口) (@IPA_anshin) May 19, 2021
IT系は難しく、攻撃側もさまざまな手法で金銭や個人情報を盗もうとします。
個人での把握はとても難しく、流行りのフィッシング詐欺等の注意喚起をしてくれますので、フォローしておくことをおすすめします。
へんな詐欺メールみたいなのとか、よく届くもんね・・・。おそろしいわあ。
セキュリティ関連書籍
