記事 セキュリティ総論 ディアイティ社員が「ウイルス保管」で逮捕 Winny、Librahack事件の再来か? 2017/11/20 10月31日、京都新聞がセキュリティ会社ディアイティの社員をウイルス保管容疑で逮捕したと発表した。その後毎日新聞やネットメディアなどが続報を伝えている。セキュリティ企業がウイルスを業務上保管することはあり得るので、業界では、誤認逮捕または警察権の濫用ではないのか、といった声も聞かれた。新聞やネットの情報では詳細が見えてこないので、当事者企業のディアイティおよび京都府警に取材したので、得られた情報を整理したい。
記事 セキュリティ総論 世界中が「狂騒」したWPA2の脆弱性「KRACK」問題 ここから得るべき2つの教訓は 2017/10/26 (有)クライテリオン 技術・研究部 小林成龍 WPA2の脆弱性KRACKs(key reinstallation attacks)というのは、WPA2の認証手順の4Way Handshakeの3番目で不正な鍵を攻撃者に再インストールされることで端末とWiFiアクセスポイント間の通信をバイパスされてしまう攻撃だ。この通信がバイパスされてしまうとWiFi利用者としては正規のWiFiアクセスポイントとセキュアなWPA2で接続しているつもりでも、実際には攻撃者が用意した不正なクローンAPと接続させられている上に平文の通信をさせられているので盗聴がされ放題の状況になっている。 記事でも解説しているようにPCやスマートフォン/タブレットのような端末とWiFiアクセスポイント間の通信が丸裸になっているだけなので、SSL/TLSで保護された通信の中身までは覗き見られることはない。2018年以降WEBサイトのHTTPS化というのが推奨されたため現在では世間に公開されているWEBサイトの多くがHTTPS化しているし、コロナ渦以降VPN接続を利用するユーザが増えて業務外のプライベートなWEBアクセスでもVPN接続を利用しているユーザは多い。この類の通信はSSL/TLSで暗号化されているので通信の秘密が第三者に漏洩することは基本的にない。 WEBアクセスはすべてHTTPSのサイトのみ、メールはSSL/TLSに対応している、インターネットアクセス時にはすべてVPN経由にしているのであれば、問題の回避ができているのかと云うと必ずしもそうとは言い切れない。確かにSSL/TLSの暗号は強力で容易に破ることはできず安全なのだが、それは正しくSSL/TLSが実装されている場合に限る。HTTPSのサイトやVPNサービスでも技術的に正しく実装されていないものはそれなりの割合ある。そういったものであれば、攻撃者はSSL/TLSを引き剥がして通信を丸裸にすることができる。そのようなリスクを回避するためにも正しく実装されているサービスを利用する必要がある。 正しく実装されているSSL/TLSか否かは利用者側から判別することは難しい。それに対しての答えとしては信用のできるサービスを使う。例えば、VPNサービスであれば無料で誰でも使えるサービスではなくて、業務利用であれば所属企業が正規に提供しているVPNサービスを使う、私的なWEBアクセスであれば商用サービスのVPN接続サービスを利用する。適切なセキュリティ監査を受けた製品やサービスを理由するのであれば、安全と考えてよいだろう。
記事 セキュリティ総論 東名高速の衝突事故、東神観光バス「13時間の危機管理」から学ぶべきもの 2017/06/26 2017年6月10日、東名高速道路にて痛ましい衝突事故が起きてしまった。上り線の新城パーキングエリア付近を走行中の観光バスに、対向車線から乗用車が飛んできて衝突したというものだ。今回注目したいのは、被害にあったバス会社「東神観光バス」が異例の早さで車載カメラ(ドライブレコーダー)の映像を公開し、約13時間後に即日で緊急リリースを出したという点だ。精査してみると、今回の事故でバス側に死者がでなかった背景、同社の危機管理への意識が見えてくる。インシデント対応からも参考になる本事例を掘り下げてみたい。
記事 セキュリティ総論 企業のドメイン名が不正取得されたら?対策とドメイン名紛争処理の仕組み 2017/06/20 Webサイトを運営している企業にとって、自社名や商品、サービスなどの名称をドメイン名として取得する行為は欠かせない。そんなドメイン名は、転売、営業妨害、フィッシングサイトなどを目的として、第三者によって不正に申請、取得されることでビジネス上のさまざま問題が起こり得る。こうした際に、企業はどのような対策がとれるのだろうか。JPCERT/CCではまさにこの問題を経験し、解決するまでの措置の詳細を公開している。類似ドメイン名を不正取得された場合の対処方法のひとつとして紹介しよう。
記事 ソーシャル・エンタープライズ2.0 マストドンのセキュリティを考える、利用する前に要注意な「3つの問題」 2017/05/15 SNSサービスの「Mastodon(マストドン)」をご存じだろうか。Twitter(ツイッター)とよく似たサービスとして注目を集めるマストドンだが、サービスの仕組みはツイッターとは大きく異なる。オープンソースソフトウェアであるマストドンは、個別でサーバーを用意すれば誰でもインスタンスを立ち上げることが可能だ。つまり、誰もがSNSサービスの管理者になれてしまうのである。今回は、マストドンのユーザーと管理者が注意すべきセキュリティを考えてみたい。
記事 IT資産管理・ソフトウェア資産管理 監視エージェント「SKYSEA Client View」の脆弱性、Skyの対応に問題はあったのか 2017/05/09 数年前から検知されていた政府機関やインフラ事業者へのサイバー攻撃の手段の一つとして、大手ITベンダーのセキュリティ関連ソフトの脆弱性が利用されていたことが、4月11日付けの朝日新聞によって報道された。利用されたのは、セキュリティソフトベンダー、Skyの「SKYSEA Client View」という監視エージェントソフトだ。すでにパッチは配布されているが、この問題によってセキュリティ対策ソフトの脆弱性についての議論が再燃した。
記事 IT市場調査 2017年のテクノロジー・メディア・通信業界で起こる「10のトレンド」 2017/04/20 デロイト トーマツ コンサルティングは20日、テクノロジー・メディア・通信(TMT)業界における最新のトピックスについて、グローバルの動向に日本の動向を加えてまとめた「TMT Predictions 2017 日本版」を発表した。生体認証、DDoS攻撃といったセキュリティの話題から、テレビ広告、アナログレコード市場といったコンシューマー向けの話題まで。2017年のテクノロジー・メディア・通信業界に起こる「10のトレンド」を紹介しよう。
記事 PKI・暗号化・認証 グーグルがシマンテックのSSL証明書失効を提案した理由、村八分か自浄作用か 2017/04/11 3月24日、グーグルのChromeチームがシマンテックが発行するSSL証明書を段階的に無効にしていく提案を行った。実施されればモバイルでもデスクトップでも50%を越えるシェアを持つChrome上で、シマンテック傘下の認証局が発行する証明書(EV SSLも含む)ではエラーや警告が表示されることになる。シマンテックの証明書は全世界で30%以上を占めるともいわれており、大きな問題とされた。グーグルのシマンテックに対するけん制にはどのような背景があるのだろうか。
記事 Webセキュリティ 偽造クッキー(Cookie)で大量アカウント流出、米ヤフーが2年間気付けなかった理由 2017/03/22 3月1日、米Yahoo!(以下、ヤフー)は、過去に発生した2件の大規模なサイバーインシデントによる被害を発表し、米証券取引委員会(SEC)に詳細を報告した。2件のインシデントとは、2014年に発生した5億人分のアカウント情報の漏えい(すでに公表済)と、新たに発覚した2013年の10億人のアカウント情報の漏えいのことだ。この攻撃の中で、3200万人のアカウントに対し、偽造クッキーによる不正アクセスも確認された。偽造クッキーとはいったいどのように造られ、どのような被害を及ぼすのだろうか。
記事 Webセキュリティ 「デジタル変革」実現に必要なセキュリティとは?知っておきたい重要テクノロジー4つ 2017/03/21 モビリティ、ビッグデータ、クラウド、ソーシャルなどの新たな技術を活用し、これまでになかった顧客体験、ビジネス価値を創出するデジタルトランスフォーメーション(DX)を実現するためには、セキュリティのリスクが大きな経営課題となる。IDC Japan ソフトウェア&セキュリティ リサーチマネージャー 登坂恒夫 氏が、DX時代に必要なセキュリティの重要テクノロジーや、セキュリティ人材、組織の整備の考え方などについて解説する。
記事 AI・人工知能・機械学習 クラウド、AI、IoT関連のセキュリティ脅威への対策は? DX成功のカギをIDCが解説 2017/03/16 多くの企業が新たな顧客体験やビジネス価値を創出するため、デジタルトランスフォーメーション(DX)に取り組んでいる。しかし、クラウドやコグニティブ/AIシステム、IoTの活用が本格化していく状況で、サイバーセキュリティの脅威はDXを妨げかねない。IDC Japanの眞鍋敬 氏と入谷光浩 氏が、増加するランサムウェア対策のポイントやクラウドセキュリティに関する懸念など、デジタル変革を実現させたい企業が知っておくべきサイバーセキュリティの最新トレンドを解説した。
記事 Webセキュリティ 中小企業もWebサイトを「HTTPS化」しないといけない理由 2017/03/01 Webサイトをセキュアなものにするため、ページ全体をHTTPS化、つまりSSL化による暗号化通信に変えようという動きがさかんになっている。2016年9月、グーグルは暗号化通信をしていない(URLの先頭がhttpsになっていない)Webサイトの検索順位を下げるというアップデートを発表したことも記憶に新しいが、なぜあらゆるWebサイトをHTTP化しなければならないのだろうか。
記事 Webセキュリティ 警察庁らが取り組む「Web改ざん」パトロールの状況 2017/02/09 警察庁の発表資料によれば、平成27(2015)年内におけるインターネットバンキングでの不正送金の被害額は約30億7300万円にも及んでいるという。こうした中で、セキュリティ業界ではマルウェアやランサムウェアなど各種の攻撃ツールをパッケージ化したエクスプロイトキットを「無害化」あるいは「無力化」する対策に注目が集まっている。サーバーをテイクダウンしたりマルウェアを駆除(削除)するのではなく、間接的な方法で攻撃が行われても被害を受けないようにする対策だ。最近発表された日本サイバー犯罪対策センター(以下、JC3)による改ざんサイトの無害化の事例を紹介しよう。
記事 メールセキュリティ 添付メール「ZIP暗号化とパスワード別送」はムダな作業なのか 2017/01/12 セキュリティ業界で長らく議論されてきた「ムダ」な作業のひとつが、「暗号化ZIPメール問題」である。ビジネスルール、あるいはマナーのように浸透している「ZIPファイルの暗号化」と「パスワードの別送」だが、正直なところ面倒だと思っている人もいるのではないだろうか。今回は、暗号化されたZIPファイルを開けるためのパスワードを別メールで送る目的や、暗号化ZIPメールの代替手段となる対策などを紹介しよう。
記事 IoT・M2M 2017年に注意すべきサイバー攻撃は? セキュリティ3社発表から大予測 2017/01/06 12月に入ると各セキュリティベンダーが翌年のサイバー攻撃に関する動向予測や予想を発表する。各社が持つセキュリティラボの最新情報を駆使し、来年の注意すべき攻撃やセキュリティ動向を分析した結果をブログやプレスリリースで公開する。全体のトレンドとして共通する部分はあるが、それぞれ特徴的な予測がなされている。ランサムウェアやIoT機器、自動運転やドローンといったテクノロジーのセキュリティはどうなるのか。トレンドマイクロ、シマンテック、インテルが発表した2017年のセキュリティに関するトレンドから主なものを紹介しよう。
記事 Webセキュリティ いつの間にか増えたIoT「スマート家電」に必要なセキュリティ対策とは 2016/12/14 家庭内にもスマートTV、WebカメラやセンサーデバイスといったIoT機器が浸透しはじめているが、これらは特定機能に特化しており、セキュリティ機能を十分に実装できないデバイスも多い。これらをサイバー攻撃から守るために、家庭内IoT機器の攻撃や危険な通信をしないように家庭内のネットワークを監視してくれる機器が発売された。家庭内のIoTデバイスを守る方法として、このアプローチは定着するのだろうか。
記事 IoT・M2M ツイッター、スポティファイと次々障害、IoT攻撃に「超法規的措置」も検討すべきだ 2016/11/10 10月下旬、サイバー攻撃のニュースが世界中を駆け巡った。米国でネットフリックス、スポティファイ、ツイッターといった大手サービスが大規模なDDoS攻撃を受け、つながりにくい状態が数時間続いたのだ。近年増えている大規模なDDoS攻撃は国家による威力偵察ではないかという見方もあるが、この事件に利用されたのは中国製のWebカメラなどIoT機器だったという。数年前から指摘されていたPC以外のIoTデバイスがサイバー攻撃に利用される時代は現実のものとなってしまったようだ。慎重かつ確実な法整備も重要だが、暫定的な超法規的措置を検討すべきかもしれない。
記事 Webセキュリティ 世界中の「民間企業」ばかりDDoS攻撃で狙われるワケ 2016/09/26 ヨドバシカメラ、さくらインターネットをはじめとして、8月頃から日本企業へのDDoS攻撃が活発化している。実は、このような状況は日本に限った話ではない。米国のセキュリティ専門家 ブルース・シュナイアー氏のブログに、世界的に増えるDDoS攻撃について、不気味ともいえるある背景を考察した文章が掲載された。これまでとは異なるDDoS攻撃の傾向とはどのようなものか。
記事 コンテンツ・エンタメ・文化芸能・スポーツ ブーム沈静化?のポケモンGO、リスクは「偽アプリ」だけではない 2016/08/18 日本でのサービスが始まる前から、偽アプリがアプリストアのダウンロードランキングにリストされてしまうほど盛り上がったポケモンGO。ここ数週間、国内外でユーザーが熱狂する様子やそれに伴って生じるトラブルや社会問題が報じられたが、出来事および報道が一巡したのか、各国とも落ち着きをみせている様子だ。この機会に、ポケモンGOに関する様々なリスクを整理するとともに、VRアプリや位置情報サービスのリスクをおさらいしておこう。
記事 IoT・M2M 大日本印刷、蘭ジェムアルトとIoTセキュリティ分野で協業 2016/08/10 大日本印刷(以下、DNP)は10日、オランダのGemalto N.V.(以下、ジェムアルト)と、IoT(Internet of Things)のセキュリティ分野で協業すると発表した。
記事 情報漏えい対策 佐賀県に取材して分かった、不正アクセス事件後の「5つの対策」 2016/07/28 佐賀県教育委員会のネットワークが17歳の少年によって不正アクセスされ、個人情報などが流出した事件。ニュースで取り上げられて1か月以上経過したが、その間にさまざまな事実関係が明らかになった。教育委員会への取材で明らかになった5つの対策や、一連の問題から得られた教訓を紹介したい。
記事 政府・官公庁・学校教育IT 佐賀県の教育情報流出、最先端システムでも「無線LAN」が甘かった 2016/07/14 17歳の少年が佐賀県の教育ネットワークに侵入し、教育情報システムから佐賀県内高校に通う生徒の個人成績や評価情報などを盗み出していたという事件。最先端のシステムに侵入した未成年ハッカーの才能を評価する声もあるが、教育ネットワーク側の設定や運用に問題があり、それほどのスキルがなくても侵入可能な状態だったと分析する専門家も少なくない。教育ネットワーク側の問題のひとつが、無線LANのセキュリティ対策が不十分だったという指摘だ。
記事 コンプライアンス 新入社員にも伝えたい! Web/メールセキュリティで疑った方がいい「3つの常識」 2016/04/27 この時期、新入社員研修の真っただ中、という企業も少なくないのではないだろうか。近年はビジネスマナーや基礎ITスキルに加えて、情報セキュリティやコンプライアンスに関する研修や教育プログラムを取り入れるところが増えているとも聞く。そこではWebサービスのパスワード管理やメール送付のポリシー、個人情報の扱いなど、「情報セキュリティの常識」を教えることになる。今回は、新入社員はもちろんのこと、ビジネスパーソンのセキュリティ意識を高めるために、セキュリティの常識や定説となっている事柄をあえて疑ってみたい。
記事 メールセキュリティ ランサムウェアとは何か? 身代金要求型ウイルスの歴史と被害状況、対策まとめ 2016/04/05 2016年に入ってランサムウェアが猛威をふるっている。標的型メール攻撃などでマルウェアを実行させ、PC内のファイルを暗号化し、その解除と引き換えに金銭を要求するものだ。狙われるのは画像・動画ファイル、各種ドキュメントだけではない。ネットワークドライブやクラウドのファイルも暗号化できるもの、MBRを書き換えPCを起動させなくするものまで攻撃対象となっている。古くから存在するランサムウェアの歴史と最近の被害状況、予防策や対策として6つのポイントを紹介する。
記事 モバイルセキュリティ・MDM セキュリティ比較!格安のSIMフリー・MVNOスマホとキャリアスマホの違いは? 2016/03/23 飽和するモバイル市場において、2013年以降、契約数、端末出荷台数を増やしつつある格安スマホと呼ばれるMVNO・SIMフリーのスマートフォン(以下、スマホ)。MMD総研のレポートによれば、2015年度SIMフリースマホは携帯・スマホ市場全体の4.4%だが今後も市場の拡大は続くとしている。その格安スマホだが、一般的にセキュリティ面で不安があるとされる。もちろんリスク評価は守るべきものによって変わってくるので、どちらが安全という判断は簡単にはできないが、この問題をあらためて考えてみたい。
記事 情報漏えい対策 世界のサイバー犯罪アンダーグラウンド市場を比較 市場規模とエコシステムへの対策は 2016/03/09 「サイバー犯罪アンダーグラウンド市場」とは、暗号化ソフトやハッキングツール、窃取された文書、攻撃のノウハウなどが取引されているサイバー犯罪に関係する地下経済の市場だ。この市場について、トレンドマイクロでは世界各国の動向を定期的に調査、報告している。日本、中国、ロシア、北米(アメリカ・カナダ)、ドイツ、ブラジルの6カ国に存在するサイバー犯罪アンダーグラウンド市場の特徴を見ていこう。
記事 セキュリティ総論 フロスト&サリバンがグローバルセキュリティー産業を形成する5つのメガトレンドを発表 2015/12/11 フロスト&サリバンは10日、世界全体のセキュリティー産業の今後を形成する5つのメガトレンドを発表した。サイバー上の脅威に対応するためには、セキュリティー産業とステークホルダー間での協同が必要だと説いた。
記事 内部統制 オラクル、レノボ、楽天の3社に起きた、真夏の炎上セキュリティ問題 2015/08/25 この夏は、日本各地で連続猛暑日記録が更新されるほどの猛暑だった。だからというわけではないが、セキュリティ業界でも、猛暑日と連動するかのようにいくつかの「炎上」案件が立て続いた。レノボのBIOS問題、オラクルCSOの発言、楽天のアプリマーケットの3社の事例を取り上げ、企業の対応や昨今のセキュリティの考え方をふりかえってみよう。
記事 Web戦略・EC ECサイトで買い物したユーザーがリピーターになる意外な要因とは? 2015/07/06 ユーザーの目に止まりやすく販路拡大しやすいショッピングモール型ECサイト。これに対し、事業者が自ら運営するECサイトは集客およびリピーターの獲得が課題となっている。こうしたなかGMOペイメントゲートウェイ(以下、GMO-PG)は2日、事業者が直接運営するECサイト(以下、直営ECサイト)を利用する20代~60代の男女を対象に実施したECサイト利用実態調査の結果を発表。その結果をインフォグラフィックで公開した。
記事 個人情報保護・マイナンバー対応 日本年金機構、東京商工会議所の個人情報流出は防ぐことができたのか? 2015/06/17 ここにきて、標的型攻撃による大きな被害が相次いでいる。日本年金機構と東京商工会議所がサイバー攻撃を受け、情報漏えいの可能性もしくはウイルス感染の被害が確認された。もちろん標的型攻撃の大きな被害は、これが初めてではない。過去には主だった省庁や国防・宇宙開発に関わる企業、衆参両院などの攻撃被害が問題になっている。なぜ、標的型攻撃の被害は繰り返され、防げないのだろうか。