兵庫県警による13歳女子中学生の補導等について(その2:セキュリティ業界の反応)
先日(2019/03/04)取り上げた記事では、13歳の女子中学生等が兵庫県警により、補導・書類送検された内容について、セキュリティ業界では様々な反響があります。
まず一つは、今回の補導や書類送検を受けて、何がサイバー犯罪としての構成要件を満たすのか、ozumaさんから兵庫県警へ情報公開請求したという内容です。
兵庫県警からの回答を公開されると明言されていますので、内容が気になるところです。
また、情報公開請求したozumaさんが主催されている「すみだセキュリティ勉強会」の活動中止のお知らせがありました。
これは、参加者をサイバー犯罪者として逮捕等されることから防ぎたいとの思いから活動休止されるそうです。
他にも、「大和セキュリティ勉強会」を開催されている白船さんも、開催をプライベート限定にする旨のツイートをされています。
s今年はペンテストテーマで沢山の勉強会を開催する予定でしたが、怖いからペンテスター限定でプライベート勉強会にします。みんなが参加できなくて申し訳ありません。。 https://t.co/Na0MNtCuG2
— 白船 (@yamatosecurity) March 15, 2019
さらには、あえて無限ループのコードを書いたgithubのページを公開し、「みんなで逮捕されよう」プロジェクトを開始しています。
次の記事では、Mariko KosakaさんとJavaScriptの生みの親と呼ばれているBrendanEichさんからもコメントが出ています。
さらにさらに、明治大学の齋藤教授からは、ウイルス機能とは言えない旨の話もあります。ただ、「度が過ぎれば社会的にウェルカムな行為ではないのは間違い無い」とも記載されています。
今回の事件に使われたプログラムは、JavaScriptと呼ばれるスクリプト言語を用いていて、そのプログラムの内容も技術的には容易なレベルであることから、反響が非常に大きくなっています。
今後の動向もお伝えしていきたいと思います。
平成30年におけるサイバー空間をめぐる脅威の情勢等について
警察庁から「平成30年におけるサイバー空間をめぐる脅威の情勢等について」という資料が2019/03/07に公開されました。
資料はこちらです。
https://www.npa.go.jp/publications/statistics/cybersecurity/data/H30_cyber_jousei.pdf
この資料によると、
1 「警察と先端技術を有する事業者等との情報共有の枠組みを通じて把握した標的型メール攻撃は、6,740件と増加傾向。」
2 「仮想通貨交換業者等への不正アクセス等による不正送信事犯は、 認知件数169件、被害額約677億3,820万円相当。」
と記載があります。
1に関しては、「警察と先端技術を有する全国7,777の事業者等」の「サイバーインテリジェンス情報共有ネットワーク」で把握した件数とのことです。
また、メールの内訳として、「ばらまき型」と「ばらまき型以外」で区別すると、平成30年は、「ばらまき型」が90%、「ばらまき型以外」が10%だったようです。
なお、「同じ文面や不正プログラムが10か所以上に送付されていた標的型メール攻撃を「ばらまき型」」と定義しています。
標的型メールなのに、「ばらまき型」という言い方には少し疑問がありますが、定義を見ればわかりますね。
2に関しては、以前はマルウェアに感染させ、オンラインバンキングのIDとパスワードを窃取後、不正アクセスして、不正送金するという手法が多かったように思いますが、現在は仮想通貨をターゲットにしているように変化しているように思います。
仮想通貨の取引所がセキュリティを強固にしない限り、今後も引き続き仮想通貨に関する攻撃が想定されますので、そういったリスクを理解して仮想通貨を購入等していただけたらと思います。
埼玉県警のサイバー捜査員の募集
2019/03/07の共同通信の記事についてです。
埼玉県警のサイバー捜査員の募集に関する記事となっています。
記事はこちらです。
「IT企業では埋もれるかもしれないが、うちに入れば間違いなく輝きますよ」って、どういう意味でしょうか。
IT企業だと埋もれるレベルの人材でも「埼玉県警」であれば輝けるレベルの人材なんでしょうか。
必要なレベルの人材を獲得するためには、公務員と言えど獲得に必要な給料やキャリアパス等を考えるべきではないでしょうか。医官のような専門的な職種が必要に迫られているのではないでしょうか。
また、専門枠にも関わらず、他の警察官と同様に交番や警察署勤務を何年も行う必要性があるのでしょうか。
もちろん、警察官として必要な知識の習得は必要だと思いますが、園田先生のコメントのように、「技術者に幸せなキャリアパスを想像させてほしい」ですね。
その国独特のパスワード
パスワードについては、日々様々な議論がなされているところです。
中でもパスワードの定期変更の話やパスワードの複雑さについて議論されることもあります。
次の2019/03/05のGigazineの記事では、台湾では注音輸入法と呼ばれる方法によって入力しているそうですが、日本語でいうところの「マイパスワード」という文字列がパスワードになっていたことから、パスワードがわかってしまったという内容になっています。
各国独特であったとしても、あまりに簡単なパスワードは避けた方が良いという教訓になりますね。
さて、パスワードについては、現在は多要素認証に移行しつつあると思います。
多要素認証とは、次の3つのうちから2つ以上の組み合わせで認証することを多要素認証と呼んでいます。
(1) 知っていること(パスワード)
(2) 持っているもの(トークン等)
(3) ユーザの生体情報(指紋、静脈等)
パスワード(1)が判明してもその人がいなければ、静脈認証(3)できないといったものです。
銀行のATMも多要素認証になっていると思います。
PINと呼ばれる4桁の数字(1)を入力するのに加えて、キャッシュカード(2)が必要となります。
スマートフォンで、Autenticator(2)のようなアプリを導入されている方も多いかもしれません。
多要素認証にするだけで、飛躍的に不正アクセスを防ぐことができると言われていますので、是非設定していただけたらと思います。
シャドーIT
2019/03/12のキヤノンITソリューションズ株式会社のマルウェア情報局の記事で、「シャドーIT」について取り上げられていました。
この記事では、わかりやすくシャドーITとは何か、シャドーITのリスクについて説明されています。
シャドーITとは、所属している組織のルール(セキュリティポリシー)を違反して、ITを使うことです。
例えば、個人のクラウドサービスの利用です。
個人のGmailやGoogle Drive等のクラウドサービスを使用して、業務に関するデータを送信したり、保存したりすることで、業務データの持ち出しを行なっている場合があります。
もちろん、組織のセキュリティポリシーとしてOKを出していればいいのですが、業務多忙により持ち帰ってしまうケースが考えられます。
USBメモリ等の媒体管理であれば、資産管理ソフトを使用したり、
クラウドの管理であれば、以前紹介したCASBを使用するのも有効です。
何より、なぜセキュリティポリシーでOKを出していないのか、業務効率よりリスクがこれだけあるから、と社員へ説明して教育をしっかりすることが大切です。
ただし、何でも禁止にするのは良くないと思っています。
というのも、シャドーITにせざるを得ない理由が社員にもある場合が多いためです。
何でもダメというのではなく、社員の声をしっかり聞いて、必要なものであればリスクと業務でのメリットと比較し、業務でのメリットの方が大きいのであれば、クラウドサービスの導入やIT機器の導入を行う方が、シャドーITを使うこともなくなると思います。
BYOD(Bring Your Own Device)禁止とかUSBメモリ使用禁止になっている組織は、きちんとリスクを把握して検討し直すことで、使用できる可能性もあるかと思います。
是非、この機会に検討していただけたらと思います。
兵庫県警による13歳女子中学生の補導等について
2019/03/04の記事についてです。
あるURLにアクセスすると、何度も特定の画面が表示されるという、いたずらのようなプログラムになってたようです。
ネット上では、この補導についてかなり話題となっています。
次の記事では、平野弁護士や神奈川県警のサイバー犯罪捜査顧問である三輪氏の意見等も記載されています。
また、他にもこんな記事が出ています。
さらには、加藤公一さんは、補導された中学生等と同様のプログラムをあえて公開して抗議もされている状態です。
皆さんはどう思いますか?
サイバーセキュリティシンポジウム道後 2019(2日目)
一昨日(3月7日)から昨日(3月8日)にかけて、愛媛大学で「サイバーセキュリティシンポジウム道後 2019」が開催されました。
日テレNEWS24の記事はこちら。
1日目の内容は、昨日(2019/03/08)の記事をご覧ください。
それでは、2日目の内容です。
〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜
テーマ:ダークネット観測からの脆弱性&インシデント・ハンドリング
講 師:国立研究開発法人情報通信研究機構
サイバーセキュリティ研究所サイバーセキュリティ研究室
上席研究技術員 久保正樹氏
大きく次の2点についてお話しされました。
1 2018年のダークネット観測統計
2018年のダークネット観測統計では、インターネット上で到達可能かつ未使用のIPアドレス空間であるダークネットを観測しているシステム「NICTER」によって収集された情報について解説されました。
ダークネットは使用されていないIPアドレスであるため、本来は何も通信がないはずなのに、通信パケットが送られてくることから、攻撃の可能性があることから観測しています。
NICTERのレポートについては、以前の記事で取り上げています。
以前との比較をし、そのポイントとしては、2点とのことでした。
特徴1:調査目的のスキャンが大幅に増加した。
特徴2:Telnetを狙う攻撃がほぼ半減、IoT機器でも固有の機器しか使っていないポート(5555番等)への攻撃もあった。
2 ダークネット観測で発見した脆弱性&インシデントハンドリング
Android Debug Bridge(ADB)は、Android端末とクライアント間で通信するための仕組みであり、WiFi経由で機器に接続する際には、5555番(TCP)ポートを使用しているとのこと。
ADBには、認証なしのADBとsecure ADBの2種類があり、認証なしのADBだとファイルのコピー、ダウンロードやShellのアクセスができてしまうのが問題。
Androidエミュレータとセットトップボックスに関する脆弱性の具体例を挙げて解説がありました。
質問では、JTAGへの攻撃等は観測しているかとの問いに、NICTERでは観測していないとの回答でされていました。
〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜
テーマ:セキュリティベンチャーにおける人材育成の事例
講 師:株式会社FFRI 執行役員 新技術開発担当 松木隆宏氏
FFRI社の創成期、成長期、成熟期で採用方法が変わっていったとのこと。
1 創成期
プロダクトを作るのがミッションのため、創業メンバーと即戦力を採用した。
面接でコーディングテストを実施し、ホワイトボードに書いてもらうものだったが、20行ぐらいのコードが書ける人が少なかった。
2 成長期
セキュリティエキスパートやセキュリティをやりたい人が中途入社した。
ジョブローテーションを実施し、プロダクト開発とセキュリティサービスの両方の経験をさせた。
社内勉強会やマネジメント人材の育成した。
3 成熟期
中途採用のみでは事業拡大のための人材確保が困難なため、新卒採用を開始した。
成熟期の新卒人材育成は、様々な試行錯誤をし、現在継続したい点は、次の2点。
1 ソフトウェアエンジニアリングとセキュリティの両方の基礎知識の研修
2 OJT制度とメンタリング、十分な適正把握
また、改善点として、は次の2点。
1 採用基準の見直し
2 中長期インターンシップ、外部コミュニティとの連携して採用へ
FFRIでは、採用から5年以内に主戦力として活躍しており、成果主義と働きやすい環境を重要視しているとのことでした。
〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜
テーマ:サイバーセキュリティの最新動向と経営の役割 ~今求められる駆逐艦発想方式~
講 師:NRIセキュアテクノロジーズ株式会社 事業推進部担当部長
一発の魚雷が当たっても沈没しない駆逐艦を例に、一通の標的型メールが着弾してもやられないようにしようというのが「駆逐艦発想方式」。
日本ではセキュリティ人材が足りないと言われているが諸外国はどうか。
アメリカ、イギリス、シンガポール、オーストラリアの4ヵ国では10〜16%程度が不足しているとのことでした。
4ヵ国で不足している人材が少ない理由として、次の3点を話されていました。
・セキュリティ業務が自動化・省力化されている
・セキュリティ業務が標準化され役割分担が明確
・経験豊富なメンバーで対応
CISOを設置し、経営層が就任している割合
4ヵ国:70%程度
日 本:35%程度(4ヵ国の半分程度)
対策実施のきっかけ
日 本:自社のセキュリティインシデント(火事が起きてから)
4カ国:対策実施のきっかけ:経営層のトップダウン指示
セキュリティインシデントが起きてから、セキュリティベンダーと契約しようとしても、対応する人材がいなくて、セキュリティベンダーも急には対応できない。
火事は消防が火を消してくれるが、セキュリティインシデントは、消防が消してくれるわけではない。
経営層の認識と把握
1 経営のリーダーシップ:具体的施策
責任の明確化:社長、CISO、各部門担当の責任
2 正しいリスク認識
Webサイトで提供:Secure SketCH(NRIとしては無償は初めて)
https://www.secure-sketch.com/
コンサルすると数ヶ月で1〜2000万かかるため、まずはSketCHを利用してほしい。
人材育成と評価において重要なこととして、次のような内容を述べられていました。
高度な教育(CISSPやSANS等)の教育を継続する
情報収集とコミュニティ活動への積極参加
最新動向の把握(BlackHat、RSA Conference等)やソリューション情報収集等
セキュリティ担当者の評価として、次の3点を挙げていました。
1 スペシャリストとしての処遇
2 キャリアパスの整備
3 高いレベルのセキュリティを維持するためのKPIに基づく評価の実施。
〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜
テーマ:コーセー小椋 情報統括部部長 × ラック社長 西本 対談in道後~平成ICT温故知新、新時代を考える~
講 師:株式会社コーセー情報統括部 部長 小椋敦子氏
コーディネーター:株式会社ラック 代表取締役社長
一般社団法人日本スマートフォンセキュリティ協会 理事・事務局長
西本逸郎氏
今後、CIOとして果たすべき役割の中で、「統合&断舎利」とあり、捨てるのは、分散しているもの、時代とともに不要になったものであると話がありました。
質問:女性がマネージャー職を敬遠する理由に「現場の仕事が楽しい」ということもありますが、それを上回るマネージャー職の魅力をどう考えていますか?
回答:一人の能力では限界があるため、チームでやっていけるというのが魅力だと思う。
質問:女性がマネージャー職に立候補する自信が持てない要因の一つ、特に育児期間中は「無理のないワークライフバランスを保てるか」「周囲(部下・家族)に迷惑をかけないか」という不安がありますが、経験上どのように対処してこられましたか?
回答:育児休暇制度がなかった時代。マラソンみたいなもので、最後にゴールすることが目的と考えれば、短期間の停滞はあまり気にしない方がいいのではないかと思う。
質問:キャリアを貫く場合、子供との時間が少なくなってしまうが、だからこそ子供と大切にしてきたこと、また、家庭において工夫されてきたことをお聞かせ
回答:子供と会う時間は少なかったが、その分密度を濃くしようと意識していた。
その他にも、知らない人に難しいことをわかりやすく説明する方法は重要だと考えているとお話がありました。
ワークライフバランスが叫ばれる中で、個人的にとても参考になりました。
〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜
テーマ:サイバーフィジカルシステムにおけるセキュリティ
講 師:国立研究開発法人 産業技術総合研究所 情報・人間工学領域
サイバーフィジカルセキュリティ研究センター 研究チーム長 森彰氏
サイバーフィジカルループとは、現実世界の情報を集め、人工知能の技術等で分析・学習・予測し、遠隔制御で現実世界にフォードバックし、地球規模での最適制御を実現するもの。
サイバーフィジカルシステム(CPS)のセキュリティの性質として、次の3点があり、
1 サイバー攻撃が現実空間へ悪影響をもたらす
2 自然現象、物理現象、人間・社会現象を含む
3 大規模で複雑なシステムとなる場合が多い
IoT機器のセキュリティがより一層重要になると話されていました。
対策としては、セキュリティライフサイクルと多層防御を挙げられていました。
セキュリティライフサイクル
1 新たな脅威に対して、セキュリティの(再)設計をする
2 脆弱性のないシステムを開発する
4 システム稼働中に判明する不良を監視する
1に戻る、もしくはインシデント対応を行う
〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜
最優秀学生研究賞は、筑波大学の矢倉 大夢氏の「実世界でも攻撃可能なAudio Adversarial Exmple」でした。おめでとうございます!
〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜
以上が2日目でした。
初参加でしたが、なかなかの濃い2日間で、勉強になる内容が多かったです。
以前の職場の方や勉強会界隈でお世話になっている方との出会いだけでなく、新たなネットワークができたのは大きな収穫でした。
来年も機会があれば、是非参加してみたいですね。