Month: March 2019

税務に関する詐欺メール攻撃を防ぐ

税務に関する詐欺メール攻撃を防ぐ Stefanie Ellis Portfolio Marketing Manager 2019年3月6日   多くの人たちは、給与明細を見て、給与から差し引かれる税金の額に嘆いていることでしょう。しかし一方でそれが公共のサービスに役立つことも理解しています。もし税金の還付資格がある、または税の未払いで法的措置を取るといったメールを税務署から受け取ったとしたらどうでしょうか?受け取った人は直ちに行動を起こそうとし、少しも考えずに返信してしまうかもしれません。   2017-18年の間でHMRCは税金還付とリベート詐欺の被害報告を771,227件確認しています。この手法はオンライン上の犯罪者が個人情報にアクセスするのに非常に効果的な方法であるため、減少することはないでしょう。データ漏洩と侵害調査に関するVerizonの報告によると、約4人に1人(23%)がフィッシングメールを開封しています。   税務専門家も被害者に 被害に遭っているのは個人の納税者だけではありません。 問題は広範囲に及んでおり、個人と企業の両方に被害が確認されています。   ネット犯罪者は顧客情報にアクセスするために税務専門家を標的にしています。 米国内国歳入庁(IRS)によっても強調されていましたが、フィッシングメールは重要なソフトウェア更新を装い、システムに侵入し、1回の攻撃で大量のデータを盗もうとします。2018年、IRSは、金銭や税金データを盗もうとする偽の電子メールスキームが60%増加したと発表しました。また、米国は現在、税務シーズンに入っており、通常より詐欺メールが多い時期になっています。詐欺メールは、個人の給与明細だけでなく、社会保障番号と住所も開示する従業員のW-2ファイルを要求していることから、人事または給与管理者が対標的となっています。   用心深く IRSとHMRCはどちらも、フィッシングや詐欺を確認して報告するための包括的なサービスとアドバイスを提供しています。 また雇用主が従業員と顧客のデータを守るために実行できる対策もあります。MarkMonitorには、オンライン上の脅威を防止、検出、軽減することでビジネスを保護するフィッシング対策ソリューションがあります。 MarkMonitorのサービスがあったとしても、従業員は自分たちが詐欺師に対する最初の防衛線であることを認識し、従業員の機密情報を漏洩する前に十分な確認を行うようにしましょう。 HMRCではこちらでメール詐欺の報告をお願いしています。IRSは、W-2詐欺を受け取る組織が、件名「W2詐欺」およびFBIのインターネット犯罪苦情処理センター(IC3)でIRSに連絡することを推奨しています。   MarkMonitorのソリューションについてはこちら 英語原文はこちら

ドメイン登録情報とEPDP

ドメイン登録情報とEPDP Statton Hammock Vice President, Global Policy & Industry Development 2019年3月5日   ドメイン名登録情報(一般に「WHOIS情報」と呼ばれる)の収集、保存、転送、および開示に関する今後の方針を作成することを目的としたICANNのEPDPグループは、2月にフェーズ1を締め切りました。GNSO評議会は、ドメイン名登録情報の新方針として承認するよう推奨し、ICANN理事会にレポートを送ることになりました。   EPDPは、知的財産権保有者、法執行機関、児童保護擁護団体、およびサイバーセキュリティの専門家の観点から、WHOIS情報を取り扱うための合法的根拠および目的を特定するという仕事をしていました(GDPRが要求する気が滅入る仕事です)。 しかし結果はGDPRの実際の範囲に適合し、ドメイン登録者の権利と世界の公共の利益とのバランスをとる政策を確定するにはほど遠いものでした。   EPDPはフェーズ1の最終報告書の152ページで、どの「データ要素」(WHOISデータフィールド)をレジストラが収集および保存するべきなのか(推奨事項5および6)またどのデータ要素が公表されるのかを(推奨事項10)含む 29の方針推奨事項を発表しました。   ICANNの既存のWHOISを可能な限り保持するという意図に反して、EPDPはこの方針をGDPRの管轄の範囲に制限しないとしました。 新方針のグローバルな適用性とレジストリとレジストラへの利便性をため、EPDPはすべての登録者のWHOIS情報の修正を認めました。これはレジストリおよびレジストラが欧州法を管轄外で適用することを許可し(推奨事項#16)、GDPRの適用を明示的に否認する企業および法人に法律を拡張することになります。   さらに厄介なのは、フェーズ1からのポリシーの推奨事項が、最初の暫定仕様にある要件の効力を弱めてしまっていることです。 たとえば、暫定仕様では、登録者の組織(「Org」)フィールドを公開する必要がありました。 しかし最終報告書では、レジストラまたはレジストリが登録者にOrgフィールドのデータを確認または修正させる手順を作成するまで、Orgフィールドを編集することができてしまいます。   問題はそれだけではありません。レジストラは登録者の連絡先を1つだけ収集するだけでよくなり(管理者用および技術用の連絡先は不要)、レジストラとしては顧客に技術担当者のコンタクト先を指定するよう提案することもできます(推奨事項#5) 。その場合、サポートされている技術連絡先データは、名前、電話番号、およびEメールアドレスだけになってしまいます。暫定仕様と同様に、新方針でもレジストラは登録者の実際のメールアドレスを同意なしに公表することが禁止されています。連絡を容易にするために、レジストラが匿名のEメール転送アドレスまたはホストするWebフォームを提供することを義務付けています(推奨項目#13)。この方針ではレジストラがどの方法を採るか明示することも、WebフォームのURLを投稿しやすいよう目立つ所におくことも要求されていません。これによりドメイン所有者への連絡方法に関する手がかりがなくなってしまうのです。   暫定仕様書は、登録者情報の合法的な処理のために合法的な目的として、消費者保護、サイバー犯罪の調査、DNSの悪用、および知的財産保護を明確に認識していました。 EPDPの最終報告書には、これらの正当な目的のいずれについても特別な言及はなく、単に「ICANNの使命に従ったドメインネームシステムのセキュリティ、安定性、および回復力」を目的とした取り扱いに関する文言が「知的財産権の侵害を調査する過程での開示を妨げるべきではない」と付け加えた脚注とともにあるだけです。この文言はICANNの権限内の他の目的の中でも、暫定仕様書に明示的に列挙された目的を含むようにしていますが、消費者保護、サイバー犯罪捜査、DNSの悪用、および知的財産権保護の仕事で必要とする人たちが求める特異性を欠いています。   一方、EPDPでは第三者から合理的な要求を受けた場合、非公開の登録者情報へのアクセスを提供するというレジストラおよびレジストリの義務に関して重要な進歩がありました。推奨事項#18は編集された登録者情報の合法的開示を要求するための具体的な基準を規定しています。 これによりブランド保護の責任者、サイバーセキュリティアナリスト、および法執行機関が、レジストラが妥当性テストを実行し、最終的に要求されたデータを提供するかどうかを決定することを要求する際に役立ちます。   レジストラは自身のウェブサイト上で誰でもアクセス可能な場所にこのリクエストを提出するための方法と手順を公開します。リクエスト提出のための形式が大変明確であるにも関わらす、推奨事項は、レジストラまたはレジストリに情報開示を要求せず、代わりにレジストラおよびレジストリが開示メリットに関して彼らの主観的評価に基づいて回答することを許可しています。 レジストラとレジストリの回答基準を定義するための作業は、EPDPのフェーズ2で継続されます。   フェーズ1では、将来の第三者認定および非公開の編集済みの登録者データへのアクセスに関するポリシーについては取り上げられませんでした。 これは来週、日本の神戸で開催されるICANNミーティングで開始予定の第2フェーズ、フェーズ2で開始されます。   MarkMonitorのGRMチームのメンバーは、法執行機関、サイバーセキュリティの専門家、児童保護の支持者、ブランド保有者がオンラインでの虐待や犯罪を防ぐための重要な情報を入手できるアクセスモデルについて合意を得ることを願い次回のフェーズに参加します。   MarkMonitorのソリューションについてはこちら 英語原文はこちら