記事 セキュリティ戦略 警察庁も被害…だが「VPNは危険でゼロトラストネットワークは安全」ではない 2021/01/04 2020年11月27日、警察庁の端末に不正アクセスがあったと発表された。原因はVPN装置の脆弱性(CVE-2018-13379)とされる。関連して、同じ脆弱性で攻撃可能なVPN装置約5万件ものリストも確認された。VPNはテレワークの普及とともに再注目されたが、こうした脆弱性の課題もあり、「ゼロトラストネットワーク」への移行を唱えるベンダーも増えている。VPNは危険で、ゼロトラストネットワークなら安全なのか? しかし、議論の本質は違うところにある。
記事 セキュリティ総論 ロシア発チャットツール「テレグラム」が犯罪に使われるワケ E2EEは両刃の剣だ 2020/12/10 オンライン会議ツールのZoomは、大手企業や政府系機関では利用が解禁されていないことがある。通信が「E2EE」(エンドツーエンド暗号化)で保護されていないことが理由とされており、Zoomは現在E2EEをサポートすべくテクニカルプレビュー版でテストを行っている。対して、ロシア発のチャットツール「テレグラム」はE2EE機能を実装している。にもかかわらず、テレグラムもまた一部の規制当局に目をつけられている。それはなぜか?
記事 情報漏えい対策 オンラインで本人確認はできないのか? 「結局紙が安心」は本当か 2020/11/17 ドコモ口座やゆうちょ銀行など各種キャッシュレス決済サービスの問題が噴出したことで、今「本人確認のあり方」が問われている。電子化への過度な依存への反動ともいえる動きもみられる。たとえば、パスワードや暗証番号による本人確認よりも昔ながらの書類、印鑑、対面のほうが確実だという意見などだ。たしかに、これだけ不祥事が多発すると一理あるように思えるが、果たして本当にそうだろうか。
記事 情報漏えい対策 「Zerologon」とは何か? 深刻度の高い脆弱性、ADサーバを利用しているなら緊急対策を 2020/10/26 NTTドコモやゆうちょの不正出金騒ぎに埋もれた形になっているが、多くの企業に関係する脆弱性「Zerologon」が密かに問題となっている。マイクロソフトのActive Directoryサーバ(ADサーバ)のNetlogonプロトコルに関する脆弱性だが、管理者権限を奪われるという。応急のパッチを当てる以外、緩和策・対策がない。PoCも公開されているため、すでに攻撃が発生している可能性もある。
記事 情報漏えい対策 サイバーネゴシエイター(交渉人)は必要か? 対ランサムウェアの切り札になるか 2020/09/16 誘拐事件や犯罪者の立てこもりに対して「交渉人(ネゴシエイター)」が活躍する場合がある。映画の世界では比較的おなじみだが、現実の世界でも交渉人が犯人の説得、身代金や人質解放を調整することがある。犯罪者の要求を認めることとなり、治安秩序・コンプライアンス上の問題はあるものの、早期解決、人命優先を考えると頭ごなしに否定することはできない。同じことはサイバーセキュリティでも言えるだろうか。
記事 情報漏えい対策 note漏えい問題の本質は「IPアドレスは個人情報か?」ではない 2020/08/31 コンテンツ配信サービス「note」で、投稿者のIPアドレスが閲覧できる状態にあったというセキュリティインシデントが生じた。匿名掲示板「5ch」に同じIPアドレスで書き込みがあるかを突き合わせ、書き込み主を特定しようといった騒動も巻き起こっている。IPアドレスが問題になると、必ず起きるのは「IPアドレスで個人が特定できるのか」「IPアドレスは個人情報ではないのでは」といった議論だ。回答はイエス/ノーで済むほど簡単ではないが、誤解を生みやすいIPアドレスについて、あらためて正しい情報を整理してみよう。
記事 セキュリティ戦略 ホンダに続きトヨタの取引先も…国内で増すランサムウェアとEmotet「第二波」の脅威 2020/08/07 国内で「MAZE」や「Emotet」といったマルウェアの脅威が増している。SNSを見ていても、複数の専門家やリサーチャーがEmotetの検出を報告している。6月にはホンダが2度目の被害を受け、7月にはトヨタの取引先もランサムウェアの被害を公表している。他にもJPCERT/CCが「CyberNewsFlash」で、7月に入ってからのEmotetに関係する攻撃メールの観測増加を報告している。Emotetの第二波がきているのだろうか。
記事 セキュリティ戦略 コロナ禍で30%増、「ストーカーウェア」に注意せよ 2020/07/21 ESETジャパンが5月に「サイバーセキュリティ脅威レポート 2020年第1四半期」を発表している。レポートはRSA Conference 2020でも発表された「Kr00k」マルウェアのほか、1月から3月までのグローバルでの脅威動向をまとめたものだ。全体的な傾向は2019年と大きな変化はないものの、すでに新型コロナウイルスに関連する攻撃が現れている。その中で、前の四半期から「30%」も増えた脅威とは?
記事 製造業IT なぜホンダばかり狙われる? サイバー攻撃で再び工場停止 2020/06/23 6月8日、本田技研工業(ホンダ)がランサムウェア(重要データを暗号化するなどして、その解除に身代金を要求するマルウェア)と見られる攻撃によって各国の拠点のPCがダウンし、工場からの出荷が停止するといったインシデントが報じられた。ホンダは2017年に続いて2度目の被害だ。経済紙などは国家支援型の攻撃を示唆する報道もあるが、本当だろうか。またホンダばかり狙われる理由は?
記事 VPN・広域イーサ 見えてきたテレワークセキュリティのキモ、従来型のVPNでは何がダメなのか 2020/06/17 2020年4月7日に発せられた政府の非常事態宣言を受けて、多くの企業でテレワークが実施ないしは検討された。そして非常事態宣言が明けた今、明らかになっているのは「この急激な変化は不可逆である」ということだ。働き方の「ニューノーマル」に向けて、企業はどのようにセキュアなテレワーク環境を整えていけばよいのか。鍵を握るのは“可用性”だ。
記事 製造業IT レクサスのハッキングも…「改正道路運送車両法」は“スマホ化”する車をどう守る? 2020/05/25 2020年3月末、中国の大手IT企業テンセントが、トヨタ自動車のレクサスをハッキングしたことは記憶に新しい。そうした中で5月24日、「改正道路運送車両法」が公布された。主な改正ポイントはレベル3自動運転に関するもので、先のレクサスはもちろん、いまのところ国産乗用車で改正法に準拠しなければならない量産市販車両は存在しない。だが、自動運転車両に対するハッキング対策としてセキュリティ機能とファームウェア更新機能が保安基準に明記された点は大きい。この2つは今後の車両開発や販売戦略に欠かせない要素といえる。
記事 ユニファイド(ビデオ会議・Web会議) そのテレワークが「間違っている」理由 既存プロセスへのこだわりは捨てよ 2020/05/11 コロナ禍の只中で、NHK NEWS WEBのとある記事が話題になった。「テレワークの広がりによってリモート作業の見える化が進む」という内容だが、その「見える化ツール」が、ただの端末監視エージェントであり、テレワークや業務改革にむしろ逆行するものだったからだ。リモートワーク業界は新型コロナ特需によって湧いているが、注目されているツールやサービスに違和感を覚えるものもある。いま必要な業務改革は、ツールや新技術の導入ではないはずだ。
記事 ユニファイド(ビデオ会議・Web会議) Zoomはリモート会議で使って良いの? リモートワークセキュリティのポイント整理 2020/04/10 日本でも緊急事態宣言が発令され、リモートワークの動きが急速に広がっている。しかし、すでにいくつかの課題も上がってきている。リモートワークのための環境整備や仕組み導入の混乱、そしてセキュリティ対策だ。これらの本質的な問題は、業務プロセスそのものがリモートを前提に成り立っていないことに起因する。リモートワークのセキュリティを考える上でも、ポイントとなるのは、この前提条件や環境の違いだ。
記事 セキュリティ戦略 フィッシングサイトの最新動向を解説、HTTPSやEV SSLは「何も保証しない」現実 2020/04/03 JPCERT/CCが3月19日に、「JPCERT/CCに報告されたフィッシングサイトの傾向」というブログエントリーを公開している。同センターに寄せられたフィッシングサイト報告や届出についての傾向をまとめたものだが、フィッシングサイトのテイクダウン(閉鎖)日数に関する経年推移のグラフがある。それによると、近年フィッシングサイトの報告を受けてからテイクダウンにかかる日数が伸びる傾向にあるという。これはどういうことだろうか?
記事 セキュリティ総論 レッドチーム演習とは何か? セキュリティ対策の「真の実力」を測定する方法 2020/03/08 高まるサイバー攻撃の脅威に対抗するため、企業はさまざまなセキュリティ対策を実施している。そうした中、「レッドチーム(演習)」というサービスが少しずつだが注目を集めつつある。現在は、大手金融をはじめとした重要インフラ企業を中心に注目されているが、今後は他の業界・企業・組織にも広がる可能性もある。レッドチームとはいったい何なのか。ここでは注目される背景やそのサービス内容、期待される効果を整理した。(監修:デロイト トーマツ リスクサービス 岩井博樹 氏)(初出:2017/03/08)
記事 セキュリティ戦略 コロナウイルスがもしコンピューターウイルスだったら? 対策の意外な共通点 2020/03/06 新型コロナウイルス(COVID-19)は、国内における初動の失敗から、感染状況や経路の把握は不可能となり、感染クラスターの抑制と発症者対応に注力するしかできない状態だ。検疫や検査についての議論も収束していないが、このような状況をサイバーセキュリティに当てはめるとどうなるだろうか? リアルなウイルスとコンピューターウイルスでは、相当な違いがあるが、リスクマネジメントという面で共通する部分は多い。
記事 セキュリティ戦略 サプライチェーン攻撃とは何か? 企業が委託先に求めるべきセキュリティ対策とは 2020/02/25 独立行政法人 情報処理推進機構(IPA)が発表した「情報セキュリティ10大脅威 2019」にランクインするなど、「サプライチェーンの弱点を悪用した攻撃」が注目され、リスクを増している。サイバー攻撃の観点から「サプライチェーンのリスク」についてまとめた。
記事 セキュリティ戦略 「IT暗黒時代」の到来か コインハイブ有罪判決のインパクト 2020/02/21 コインハイブ事件の控訴審は、2019年3月の地裁による無罪判決から、一転して有罪判決となった。判決に対して、IT業界、セキュリティ業界、法曹界からも異論が噴出している。プログラム開発者、セキュリティ研究者、ホワイトハッカーと呼ばれる人たちは、刑法168条の2、3「不正指令電磁的記録に関する罪」による訴追というリスクを抱え込むことになり、その影響は長期的に考えると決して過小評価できない。その理由を考えてみたい。
記事 セキュリティ戦略 三菱電機サイバー攻撃を5つのポイントで整理 本当に国防情報は盗まれていないのか? 2020/02/06 三菱電機へのサイバー攻撃は、業界のみならず社会へもかなりのインパクトを与えた。三菱グループとしては重工に続いての大きなサイバー攻撃被害といえる。攻撃主体としては中国系のグループがいくつか指摘されており、典型的な「高度かつ執拗(しつよう)な標的型攻撃」(APT攻撃)であり、ステートスポンサード攻撃とみていいだろう。だとすると気になるのは、防衛産業や航空宇宙関連の技術情報への被害だ。本当に被害はないのだろうか。
記事 セキュリティ戦略 今さら聞けないSIEMとは何か? 導入事例からクラウド時代の役割まで徹底解説 2020/01/28 外部からのサイバー攻撃や組織内部の不正行為など、多様な脅威にさらされる企業システム。システムの改ざんや情報漏えいなどが一度起きてしまうと、企業へのダメージは計り知れない。ネットワークやエンドポイントでさまざまなセキュリティ対策を施しても完全には防ぐことは不可能だ。そうした中、セキュリティリスクを最小限に抑える方法として「SIEM」が注目を集めている。本稿ではSIEMの概要や仕組み、具体的な導入事例などを取り上げる。
記事 セキュリティ戦略 米イランの対立で「サイバー空間」の戦争はどうなる? 2020/01/19 2020年1月3日、イラン革命防衛隊司令官カセム・ソレイマニ氏が米軍のドローン空爆によって殺害された。報復としてイランがイラクの米軍基地拠点に弾道ミサイル攻撃を行うなど一時は緊迫した状況になった。ここで気になるのがサイバー戦争の存在だ。これまで報告されていたステートスポンサード攻撃やサイバー諜報活動以外に、インフラへの破壊的攻撃を危惧する声もある。実際のところはどうなのだろうか。
記事 メールセキュリティ 2020年、東京五輪よりも注意すべきサイバー攻撃とは 2020/01/10 年末年始は、セキュリティ業界でも攻撃動向の振り返り(10大ニュース)や新しい年の攻撃トレンド予測が出される。国内において2020年セキュリティの関心事といえば、東京オリンピック/パラリンピック関連のサイバー攻撃とその対策ではないだろうか。しかし、目の前の目立つ大事にとらわれて、他の脅威への注意がそがれてはならない。いくつかのセキュリティベンダーのトレンド予測を基に、2020年に注意すべきポイントをまとめてみたい。
記事 メールセキュリティ Emotet(エモテット)とは何か? ビジネスメール詐欺(BEC)との違いは? 2019/12/20 11月末、マルウェア「Emotet(エモテット)」が仕込まれた攻撃メールが着弾し、自社アカウントを悪用した攻撃メールを発信されてしまった企業が、相次いでニセメールへの注意喚起を行った。27日にはJPCERT/CCが詳細情報とともに注意喚起を行っている。注意喚起が相次ぐ、このEmotetとはどのようなマルウェアなのか? その攻撃手法と動向を紹介する。
記事 セキュリティ戦略 「サイバーノーム(規範)」で、ネットの自由と秩序は維持できるのか 2019/12/09 ロシア最大のインターネット企業、ヤンデックスが事実上の政府資本の企業となった。中国企業が世界でプレゼンスを上げる中、“国が支援する”サイバー攻撃が、安全保障および経済摩擦など外交問題に発展している。もはやテクノロジーの文脈だけで語れなくなったインターネットについて、「国が統治すべき」という動きが広がっているが、自由なインターネットを維持しようとする取り組みもある。その1つが「サイバーノーム」だ。
記事 情報漏えい対策 ホテルのロボットが盗撮? セキュリティ軽視のIoT企業は立派な「脅威」だ 2019/11/07 10月、あるセキュリティエンジニアのツイートから、H.I.S.ホテルホールディングスが運営する「変なホテル」のベッドサイドに設置されるアシスタントロボットの脆弱性が指摘され、ホテル・ベンダーが対応に追われる問題が発生した。その少し前、パナソニックやKDDIらが「LIFE UPプロモーション」というプロジェクトを発表した。家電・IoTセキュリティの問題はいまさら感があるが、2つの事例は、企業、ユーザー双方に、今後のIoTへの接し方を考えさせられるものだ。
記事 セキュリティ戦略 変わる戦闘機パイロットの役割 AIとのタッグで進む「空中戦の自動化」 2019/10/30 人工知能(AI)による空中戦のための「Air Combat Evolution(ACE)」プログラムが米国の国防高等研究計画局(DARPA)によって発表された。その内容は、空対空の戦闘を自動化して、パイロットがより大きな戦局に集中できるようにすることを目指している。人とマシンとが連携した空中戦を用いることで、自律的な戦闘技術に対する兵士の信頼を高めることは果たしてできるのだろうか。IHSマークイットの軍事アナリスト、リチャード・スコット(Richard Scott)が空中戦へのAI活用についてレポートする。
記事 情報漏えい対策 エクアドルで全国民のIDが流出、日本のマイナンバーは大丈夫? 2019/10/25 人口約1,650万人のエクアドルで、2,000万人分以上の個人情報が流出したというニュースが2019年9月半ばに流れた。これまでもFacebookやAmazonなど、グローバルなWebサービスのアカウントで大規模な漏えいが起きたことはある。件数なら7億件以上のIDやパスワードが流出したこともあった。しかし、「全国民のIDが流出」した事例はめずらしい。マイナンバー制を導入している日本は大丈夫なのだろうか。
記事 その他ネットワーク IPアドレスに“国の情報はない”のに、なぜ「海外IPはダメ」とアク禁になるのか 2019/10/01 国内のゲームサイトやWebサービスが使えなくなる例が報告されている。原因として、サービスプロバイダーが契約者に振り出すIPアドレスが国内のものではなく、海外のものである場合が考えられる。Webサービスによっては海外からのアクセスを禁止していたり、利用規約で国内限定サービスとしているからだ。しかし、国内の通信事業者が海外のIPアドレスを割り振るといったことが、実際にあるのだろうか。
記事 セキュリティ戦略 ゼロトラストセキュリティとは何か? そのアーキテクチャと運用体制 2019/09/04 「ゼロトラストセキュリティ」というキーワードが、再び脚光を浴びている。このキーワードは、2010年にForester Research社により提唱されたもので、「信頼できないことを前提としてセキュリティ対策を講じていく」という考え方を指す。再び脚光を浴びた背景には何があるのか、何をすればゼロトラストセキュリティを実現できるのかについてまとめた。
記事 標的型攻撃 標的型攻撃とは何か? 被害事例や対策方法、最新の攻撃手法まで徹底解説 2019/08/29 特定の組織や人物を標的とし、執拗に攻撃を繰り返す「標的型攻撃」。メールを入り口とする場合、「標的型攻撃メール」と呼ばれることもある。その性質上、被害が表に出ることは少ないが、1件あたりの被害額の平均は約20億円との試算もある。もし自社が標的となってしまっても、対策できるだろうか? 本稿では「標的型攻撃とは何か?」を軸に、その手法や被害の実例、そして防御策までを徹底解説する。