2021/09/30

脆弱性評価ツールについて / Vulnerability Assessment Tools [Top Tools & What They Do](転載)


Vulnerability Assessment Tools [Top Tools & What They Do]

最高の脆弱性評価ツールに興味がありますか?私たちは、人気のあるツールのいくつか、それらが何をするのか、そしてその長所と短所を詳しく説明します。

脆弱性評価ツールは何をするものですか?

脆弱性評価ツールは、以下のように組織を支援します。

  • セキュリティ上の欠陥をランク付けし、開発者の改善を支援
  • 脆弱性発見プロセスの自動化
  • ペネトレーションテストの間にセキュリティアップデートを提供
  • ネットワークやアプリケーションを継続的にスキャンし、新たな脅威を発見する
脆弱性診断とは?

脆弱性診断では、ネットワークやアプリケーションを継続的にスキャンし、新規および既存のセキュリティ上の欠陥を特定します。アセスメントでは、改善のための実行可能なステップとともに、脆弱性のランク付けされたリストが提供されます。

また、多くのアセスメントでは、テストの合間にシステムを監視するためのチェックリストが提供され、セキュリティチームのプロアクティブな活動を維持することができます。

脆弱性評価は、修復プロセスを合理化し、より包括的なペネトレーション・テストの間に頻繁にセキュリティに関する洞察を提供することで、システムへの不正アクセスを防止します。

脆弱性診断ツールの種類について

脆弱性評価ツールは、スキャンするシステムの種類に応じて、様々な脆弱性を詳細に調べることができます。これらの自動スキャンは、組織がネットワークを継続的に監視し、その環境が業界や政府の規制に準拠していることを確認するのに役立ちます。

ハッカーによるテストでは、自動化された技術と手動の技術を組み合わせて、アプリケーションをより徹底的にスキャンします。倫理的ハッカーは、悪意のある者に悪用される前に、組織が脆弱性を発見し、修正することを支援するセキュリティ専門家です。これらのハッカーは、その専門知識を駆使して、自動スキャンでは見落とされるバグや重要な脆弱性を発見します。評価の際に使用される、いくつかの異なるタイプの脆弱性スキャンツールを見てみましょう。

ネットワークベーススキャナ

ネットワークベースのスキャナは、有線および無線ネットワーク上の脆弱性を特定し、ネットワークマッピング、プロトコル解析、トラフィックキャプチャなどの機能を備えています。ネットワークベースのスキャナは、脆弱性評価の初期段階でネットワークをマッピングし、サービス、オープンポート、ネットワークインフラの脆弱性を特定します。

ホストベーススキャナ

ホストベースのスキャナは、サーバやワークステーションなど、さまざまなホストマシンのネットワーク上の弱点を特定することに重点を置いています。これらのスキャナーは、設定ミス、パッチが適用されていないシステム、不適切な権限設定などを特定します。

データベーススキャンツール

データベース脆弱性スキャナーは、データベースシステムや開発環境の脆弱性を発見します。これらのスキャナーは、データベース・アーキテクチャの脆弱性を発見し、攻撃者が悪意のあるコードを注入して、許可なく情報を不正に取得できる領域を特定します。

脆弱性評価ツール

利用可能な脆弱性評価ツールの多くは、無料のオープンソースで、他のセキュリティ・スイートやセキュリティ・イベント情報管理(SIEM)システムとの統合を提供しています。ここでは、いくつかのツールをご紹介します。

1.BURP SUITE ENTERPRISE EDITION

Burp Suiteは、社内外のテスト用に自動化された脆弱性スキャンツールを提供します。14,000以上の組織が、Webの脆弱性スキャンを自動化するためにBurp Suiteを積極的に利用しています。

[長所]
    • 大規模で活発なコミュニティ
    • シンプルなインターフェースとユーザーフレンドリーなデザイン
    • 自動化されたスキャンとシミュレーションされた脅威のシナリオをサポート
[短所]
    • community(無料)版は、enterprise版に比べて機能が制限されています。
2.NESSUS

Nessusは、脆弱性を徹底的にスキャンするソフトウェアで、サブスクリプションベースのサービスを提供しています。ハッカーはNessusを利用して、設定ミスの発見、デフォルトパスワードの発見、脆弱性の評価などを行います。

[長所]
    • 市場の類似ツールと比較して手頃な価格
    • わずかな設定で脆弱性を正確にランク付けし、グループ化することが可能
    • CVEデータベースの継続的な更新

[短所]
    • 大規模なデータセットのスキャンには手間がかかる
3.OPENVAS

OpenVASは、オープンソースの脆弱性スキャナーです。このプラットフォームには、ネットワークスキャン、ウェブサーバースキャン、データベーススキャンなど、さまざまなスキャンオプションが用意されています。

[長所]
    • 堅牢な自動化機能
    • ユーザーフレンドリーなGUI

[短所]
    • 初心者には入力方法が難しいかもしれません。
4.INTRUDER.IO

Intruder.ioは、ペネトレーションテストと脆弱性スキャンを組み合わせたツールを提供しています。企業はIntruder.ioを使用して、単一の評価を実行したり、環境の脅威を継続的に監視したりすることができます。

[長所]
    • 簡単に設定できる
    • レスポンシブ対応

[短所]
    • 掘り下げたレポートが少ない
5.W3AF

w3af(Web Application Attack and Audit Framework)は、アプリケーション層の脆弱性を発見し、倫理的なハッカーがその脆弱性を利用できるようにするための無料のオープンソース・フレームワークです。このフレームワークは、すべてPythonで記述されており、その直感的なインターフェースのおかげで、使いやすい脆弱性診断ツールの1つとなっています。

[長所]
    • 無料 
    • Linux環境への簡単なインストール

[短所]
    • 有償ツールに比べてサポートが少ない
    • Windows版のインストールが難しい場合がある
6.NMAP

オープンソースのネットワークスキャンツールとして人気の高いNetwork Mapper(Nmap)は、新米ハッカーにもベテランハッカーにも定番のツールだ。Nmapは、複数のプロービングおよびスキャン技術を駆使して、ターゲットネットワーク上のホストやサービスを発見する。

[長所]

    • 無料
    • IDSを回避するステルス・スキャン手法を搭載
    • ZenmapによるGUI機能の提供

[短所]

    • 有償ツールのように頻繁に更新されない

7.OPENSCAP

OpenSCAPは、Linuxプラットフォーム用のサイバーセキュリティツールを提供するオープンソースのフレームワークです。OpenSCAPは、Webアプリケーション、ネットワークインフラ、データベース、およびホストマシンのスキャンをサポートする広範なツール群を提供しています。

[長所]

    • 評価の自動化に重点を置く
    • フリーでオープンソース 

[短所]

    • 同種のツールに比べて学習コストが高い

8.RECON-NG

Recon-ngは、攻撃の偵察段階に焦点を当てています。このフレームワークは無料のオープンソースで、バナーの取得、ポートスキャン、DNSルックアップなどの機能をサポートしています。また、Recon-ngは、Shodan検索エンジンへのアクセスも提供しています。

[長所]

    • Shodanとの統合が可能 
    • 細かくカスタマイズ可能 
    • シンプルな構文で学習しやすい

[短所]

    • CLIツールのみ

2021/09/29

顔認証システムで現金の引き出しや決済を可能に / 日企开发人脸识别系统:取款购物瞬间完成认证支付(転載)~生体認証の情報は流出すると代替がきかないのを理解しているのだろうか?~


日企开发人脸识别系统:取款购物瞬间完成认证支付:

共同通信社のウェブサイトに掲載された記事によると、日本のリソナホールディングスやパナソニックなど4社がこのほど、顔認証技術を使ったシステムを共同開発し、これらのサービスを提供することを発表した。 このシステムが適用されると、事前に顔写真を登録しておけば、手ぶらで銀行の窓口でお金を出し入れしたり、小売店で買い物をしたりすることができるようになります。

また、ホテルやレンタカーのチェックイン時の本人確認にも利用できるとのことで、幅広い分野での利便性向上が期待できます。

リソナ、顔認証技術を持つパナソニックに加え、デジタル技術を用いた本人確認に強みを持つ大日本印刷、決済サービスを行うJCBの4社が参加。

この技術は、今年はリソナ内の部屋の入退室管理に使用され、来年は顔認証を利用して、通帳やキャッシュカードを使わずに、リソナ銀行の一部の店舗でお金の引き出しや送金、投信の購入などができるように実験していく予定です。 将来的には、自社での開発が困難な地方銀行などへの展開も検討しています。

JCBでは、クレジットカードショップのネットワークを活用したサービスを展開し、顔写真を事前に登録したお客様が来店した際に、瞬時に本人確認と決済を完了できる仕組みを検討しています。

顔写真の登録はお客様の同意が前提となりますが、プライバシー保護の観点から、いかにセキュリティを確保するかがサービス普及の鍵となるかもしれません。

本サービスでは、ユーザーの顔写真データは、外部からアクセスできないリソナ社が管理するサーバーに保管されます。 パナソニックの取締役は、"人工知能の発達により、顔認証の精度が飛躍的に向上しており、不正なアクセスは難しい "と述べています。

2021/09/28

退職者手続きに必要な「性悪説」思考 / Fired NY credit union employee nukes 21GB of data in revenge(転載)

退職者手続きに必要な「性悪説」思考

Fired NY credit union employee nukes 21GB of data in revenge

ニューヨークの信用組合の元従業員であるジュリアナ・バリレは、解雇されたことへの復讐として、金融機関のコンピュータシステムに無断でアクセスし、21ギガバイト以上のデータを破壊した罪を認めました。

「解雇されたことへの復讐として、バリルは元雇用主であるニューヨーク・クレジット・ユニオンのコンピュータ・システムに密かにアクセスし、ファイル・サーバに保存されていた住宅ローン申請書やその他の機密情報を削除しました。」ジャクリン・M・カスリス米国連邦検事代理は言いました。

2万枚以上のドキュメントを40分以内に破棄


裁判資料によると、被告は2021年5月19日に解雇されるまで、信用組合のパートタイム従業員として遠隔地で働いていました。

信用組合の従業員が銀行の情報技術サポート会社に被告のリモートアクセス認証を無効にするよう依頼したにもかかわらず、そのアクセスは削除されませんでした。2日後の5月21日、被告はおよそ40分間ログオンしていました。

被告はその間に、銀行の共有ドライブに保存されていた2万個以上のファイルと約3500個のディレクトリ、合計約21.3ギガバイトのデータを削除しました。

削除されたのは、顧客の住宅ローン申請書や金融機関のランサムウェア対策ソフトに関するファイルなどです。

被告は、顧客や会社のデータが入った文書を削除したほか、信用金庫の理事会の議事録が入ったファイルなど、さまざまなWordの機密文書を開きました。

その5日後の5月26日には、前職のサーバーにある数千もの文書を破壊できたことを友人にテキストメッセージで伝え、「彼らは私のアクセス権を削除しなかったので、私は彼らの共有ネットワークのドキュメントを削除したった」

 ニューヨークの信用組合は、被告が削除したデータの一部をバックアップしていましたが、被告の不正侵入により破壊されたデータを復元するために1万ドル以上の費用が必要となりました。

FBIのドリスコル副長官は、「被告は、ファイルを削除することで雇用主に仕返しをしたつもりだったかもしれませんが、顧客にも同様の被害を与えてしまいました。」

「被告の些細な復讐は、銀行に大きなセキュリティリスクをもたらしただけでなく、家の支払いに書類や承認を必要としていた顧客を混乱に陥れました。」

「内部の脅威は、外部の犯罪者と同じくらい、いやそれ以上の大惨事を引き起こす可能性があります。銀行と顧客は、一人の従業員の身勝手な行動を修正するという、非常に大きな頭痛の種に直面しています」。

2021/09/27

多要素認証はサイバー攻撃の9割を防ぐ / Multi-Factor Authentication Can Prevent 90% of Attacks(転載)


多要素認証はサイバー攻撃の9割を防ぐ:

多要素認証(MFA)を使用することで、サイバー攻撃の80〜90%を防ぐことができると、米国国家安全保障局のサイバーチーフが発表しました。

サイバー・新技術担当の国家安全保障副顧問であるアン・ニューバーガー氏によると、先週のバイデン大統領との会談に出席したハイテク企業のCEOの多くが、この法令に言及していたという。

MFAは、バイデン氏がサイバーセキュリティに関する大統領令の一環として、11月までに連邦政府全体で展開することを義務付けた5つの重要施策の1つです。

MFAに加えて、米国の組織のリーダーシップチームに、この連休前に4つのステップを実施するよう促しました。その4つとは、強力なパスワード、すべてのソフトウェアへの迅速なパッチ適用、インシデント対応計画の見直し、企業ネットワークから分離された最新のバックアップです。

ニューバーガー氏との記者会見が木曜日に行われたことを考えると、これらの措置を金曜日のまでに間に合わせることは不可能であり、特に「すべてのソフトウェアを更新し、パッチを当ててください」という言葉は重要である。

しかし、国や国家の安全を攻撃から守るためには、組織がその役割を果たさなければならないことをあらためて認識させられました。

ニューバーガー氏は、今回の大統領令に加え、6月にビジネスリーダーに向けた書簡を作成し、ランサムウェアの脅威が高まっていることを受けて対策を講じるよう促したと言われています。

また、今週、CISAとFBIが、Colonial Pipeline、JBS、Kaseyaへの攻撃のような大規模なランサムウェアの攻撃は、いずれも休日の週末に発生していると警告したことを受けてのことです。

そのため、ニューバーガー氏は、CISAが企業に対して、被害が出る前に攻撃を回避するために、脅威のハンティングを行うべきだというアドバイスを繰り返しました。

「セキュリティチームは、ネットワーク上で積極的にハンティングを行うべきです。これは、デジタル版の "Walking the beat "のようなものです。ネットワークが危険にさらされている初期の兆候や、ネットワークに異常がないかどうかを確認してください」と述べています。

興味深いことに、ニューバーガー氏は、過去2、3ヶ月の間に大規模なランサムウェア攻撃の頻度が低下していることを指摘していますが、その理由については言及していません。

ニューバーガー氏

2021/09/26

ダークウェブでヒットマン(殺し屋)を雇うとどうなる? / The Operator of a Dark Web Assassination Site Was Arrested in Russia(転載)~ロシアの事例~


ダークウェブ上のウェブサイトで暗殺請負をしていたロシア人の男が逮捕される。詐欺ではなく本当に依頼通り殺害していた模様😱😱 technadu.com/operator-dark-…
technadu.com/operator-dark-…

ロシアのイジェフスク在住のセルゲイ・マグダノフ(38歳)が、自身のダークウェブ・プラットフォームを通じて注文された殺人事件に関与したとして逮捕されました。この事件は、2020年に開始されたFSBと内務省の捜査が成功したことを受けて、モスクワ市裁判所の手に委ねられています。当時、ロシア警察は、ウラジミール地方の麻薬ディーラーがライバルに命じられて起こした二重殺人事件の捜査に呼ばれ、これが最終的にマグダノフのデジタルトレースにつながった。

犯人が殺害を指示したサイトを知っていた警察は、そのプラットフォームとさらに多くの事件を結びつけ、点と点を結ぶことで、マグダノフにたどり着くことができました。この男は、暗号通貨と法定通貨の両方で支払いを受け付けており、偽のIDで登録したウォレットを使用していました。彼の家を襲撃したところ、500枚以上の銀行カード、1,000枚のSIMカード、多額の現金、数台の携帯電話とコンピューターが見つかりました。その場ですべてを押収し、分析にかけました。

ロシアでは、ダークウェブを利用した暗殺者の雇い入れは、残念ながらごく一般的に行われています。インターネット空間のプライベート性は、注文する側にとっても、犯行を行う側にとっても理想的だからです。マグダノフが逮捕され、機材が押収されたことで、近い将来、より多くの証拠が発見され、さらなる逮捕者が出る可能性があるが、サービスの利用者が注意を払っていれば難しいだろう。可能性としては、暗号通貨の取引履歴を追跡するのが一番ですが、その方法でもほとんどの場合は限られた結果しか得られないでしょう。

マグダノフは、仲介者としてプラットフォームを運営していただけでなく、殺人にも積極的に関与していた。捜査当局によると、彼は殺人の組織化、準備、武器・弾薬の入手、さらには犯行場所や暗殺者への指示にも関与していたという。このように、この男は殺人と違法な武器売買の容疑をかけられていますが、捜査が終了するまでは、さらに罪状が追加される可能性があります。

2021/09/25

ダークウェブスキャナ - 電子メールとパスワードがハッキングされていないか確認する / Dark Web Scanner – Find Out If Your Email And Passwords Have Been Hacked(転載)

パンダセキュリティは、ウォッチガード社の協力を得て、ダークウェブをスキャンして、お客様のアカウントに関連する情報が協力されているかどうかをチェックするツールを作成しました。

パンダセキュリティでは、サイバー犯罪者から自由に使えるツールがないことが多いユーザーのオンラインセキュリティを守るために、「ダークウェブスキャナー」を無料で提供しています。

実際、サイバー攻撃は、暗い画面にバイナリコードが並んでいるという、一般的に想像されているイメージとは大きく異なります。一度に何十万人ものユーザーに影響を与えるデータ侵害は、多くの場合、単純な方法で行われ、サイバー犯罪者は、気づかれないことが多いツールの見かけ上の無害さを利用して大成功を収めています。

必要な予防措置を講じているにもかかわらず、故意にデバイスを使用している間に、パスワードや個人情報が流出したり、ディープウェブ上で販売されたりする可能性があります。お客様のデータが盗まれた場合、ハッカーはそのデータを使って、お客様の現在の口座にアクセスしたり、お客様の資産にアクセスしたり、お客様のアイデンティティを盗むことができます。

パンダセキュリティのコンシューマープロダクトマネージャーであるAlberto Añón氏は、「データ、特にログイン認証情報の盗難が、サイバー犯罪者にとって非常に重要な資金源になっている時代です。」と語っている。

お客様の個人情報が盗まれたかどうかを確認する方法

パンダセキュリティは、シンプルで無料のソリューションを提供しています。WatchGuardのサポートにより、ダークウェブをスキャンし、お客様のアカウントに関連する情報が侵害されていないかどうかをチェックするツールが開発されました。その名も、「Dark Web Scanner」です。

「このPanda Domeの新機能は、お客様からのご要望と、ますます複雑化するデジタルの世界に適応するための絶え間ない必要性から生まれたものです。パンダセキュリティは、ユーザーの皆様のサービスとセキュリティを継続的に向上させることをお約束します」とパンダセキュリティのコンシューマープロダクトマネージャー、Alberto Añón氏は付け加えます。

ダークウェブスキャナーは、マイパンダアカウントからアクセスできます。

しかし、My Pandaアカウントをお持ちでない方は、パンダセキュリティのお客様でなくてもDark Web Scannerをご利用いただけます。

2021/09/24

CISAによるランサムウェアの攻撃から企業を守る方法 / Here’s how to secure your company against ransomware attacks, according to CISA(転載)


Here’s how to secure your company against ransomware attacks, according to CISA:

ランサムウェアによる攻撃は、民間企業、重要インフラ、政府組織に深刻な損害と莫大な経済的損失をもたらし続けています。ここ数年、法執行機関やセキュリティ企業は、Colonial Pipeline社やソフトウェア企業Kaseya社に対する最近の攻撃を含め、数多くのランサムウェア攻撃に対応してきました。

Cybersecurity Ventures社によると、ランサムウェアによる攻撃は、2031年までに被害者に年間2,650億ドル以上の損害を与えると言われています。専門家によると、ランサムウェアの攻撃によって引き起こされるセキュリティ侵害は、2秒ごとに発生していると考えられています。

この予測は、近年、この犯罪行為が著しく加速しているという観察に基づいています。

先日、米国のサイバーセキュリティ・インフラセキュリティ庁(CISA)は、ランサムウェア攻撃に起因するデータ漏えいを防止するためのガイダンスを発表しました。このガイダンスは、政府機関や民間企業がランサムウェア攻撃やそれに伴うデータ漏洩を防止することを目的としています。

「すべての組織は、ランサムウェアの被害に遭うリスクがあり、システムに保存されている機密データや個人データを保護する責任があります。このファクトシートは、重要インフラ組織を含むすべての政府機関および民間企業に対し、ランサムウェアによるデータ漏えいの防止と対応に関する情報を提供するものです」とCISAのガイドラインに記載されています。

"CISAは、組織が意識を高め、勧告を実施することを奨励する"

同局は、サイバー攻撃を防ぐための以下の提言を含むファクトシートを発表しました。

  • オフラインで暗号化されたデータのバックアップを維持し、定期的にバックアップをテストする。政府の専門家は、定期的にバックアップを実行することを推奨しています。バックアップは、その完全性を確認するために定期的にテストする必要があります。ランサムウェアの系統などの脅威がバックアップを暗号化するのを避けるために、バックアップをオフラインで維持することが不可欠です。

  • 基本的なサイバーインシデント対応計画回復力計画、および関連する通信計画を作成、維持、および実施する。米国政府機関は、ランサムウェアのインシデントに対する対応と通知の手順を含むべきサイバーインシデント対応計画を定義することの重要性を強調しています。また、政府の専門家は、被害者が重要な機能へのアクセスやコントロールを失った場合に備えて、業務を準備するためのレジリエンスプランの作成を推奨しています。

  • インターネット上の脆弱性や設定ミスを緩和し、攻撃対象を減らす。組織は、リモート・デスクトップ・プロトコル(RDP)やその他のリモート・デスクトップ・サービスを監査し、それらのサービスのベストプラクティスを推進する必要があります。使用されていない RDP のポートを閉じること、特定の回数の試行後にアカウントをロックアウトすること、多要素認証 (MFA) を適用すること、RDP のログイン試行をログに記録することなどが重要です。組織は、定期的に脆弱性スキャンを実施し、インターネットに接続するデバイスの脆弱性を特定して対処する必要があります。CISAは、インターネットに接続するシステムのソフトウェアを更新し、効率的なパッチ管理プロセスを実施することを推奨します。また、システムの設定を慎重に行い、業務で使用しないポートやプロトコルを無効にする必要があります。専門家は、SMB(Server Message Block)プロトコルのインバウンドおよびアウトバウンドを無効化またはブロックし、古いバージョンのSMBを削除または無効化することも推奨しています。

  • 強力なスパムフィルターを有効にし、ユーザーの意識向上とトレーニングプログラムを実施することで、エンドユーザーに届くフィッシングメールのリスクを軽減することができます。フィッシングの疑いを識別し、報告する方法を従業員に教育することが重要です。

  • 最新のアンチマルウェア・ソリューションとアプリケーションの使用、アプリケーション・ホワイトリストの導入、ユーザーおよび特権アカウントの制限、多要素認証(MFA)の有効化、サイバーセキュリティ・ベスト・プラクティスの実施など、優れたサイバー・ハイジーンを実践する。また、CISAは、MFAをサポートするすべてのサービスでMFAを有効にすることを推奨します。MFAは、ウェブメール、仮想プライベート・ネットワーク(VPN)、および重要なシステムへのアクセスを許可するアカウントを保護するために非常に重要です。
また、このファクトシートでは、組織が顧客や従業員の機密データを保護することを推奨しています。

CISAは、組織に以下を推奨します。
  • 組織のシステムにどのような個人情報や機密情報が保存されているか、誰がその情報にアクセスできるかを把握する。

  • 米連邦取引委員会(Federal Trade Commission)の個人情報保護に関するガイドに記載されている物理的なセキュリティのベストプラクティスを実施する。

  • 機密性の高い個人情報が保存されているコンピュータやサーバを特定し、保存中および転送中の機密情報を暗号化し、悪意のあるまたは不要なネットワークトラフィックからネットワークやシステムを保護するためにファイアウォールを導入するなど、サイバーセキュリティのベストプラクティスを実施します。また、米国政府機関は、組織はネットワークセグメンテーションの適用を検討すべきであるとしています。

  • サイバー・インシデント対応およびコミュニケーション・プランに、データ侵害インシデントに対する対応と通知の手順が含まれていることを確認する。
CISAでは、サイバーインシデント対応計画の実施について、以下のような対応をとることを推奨しています。

  • 影響を受けたシステムを特定し、直ちに隔離することで、ネットワーク運用の安全性を確保し、さらなるデータ損失を防ぎます。影響を受けたシステムをオフラインにすることができない場合は、ネットワークケーブルを抜いたり、Wi-Fiから外したりして、ネットワークからシステムを切り離します。影響を受けた機器をネットワークから取り除くことができない場合や、ネットワークを一時的に停止することができない場合は、インシデントを回避するために、それらの機器の電源を切ります。

  • その後、影響を受けたシステムの復旧・回復のためにトリアージを行い、重要度に応じて優先順位をつけます。

  • 行われた活動を記録し、予備的な分析を行う。脅威となる人物に身代金を支払ってはならない。このガイドラインでは、社内外のチームや利害関係者を巻き込んで、影響を受けた組織がセキュリティ侵害を緩和し、対応し、回復するためにどのような支援ができるかを伝えることを提案しています。組織は、影響を受けたシステム上の関連するログやアーティファクトを収集し、それらを分析することで、侵害の指標を抽出し、それを用いて感染の程度を判断する必要があります。

  • もちろん、米国政府機関は、ランサムウェアの被害者がCISA、最寄りのFBI支部、FBIインターネット犯罪苦情処理センター、または最寄りの米国シークレットサービスの事務所に事件を報告するよう呼びかけています。

CISAは7月、CISAのサイバーセキュリティ評価ツール(CSET)のための新しいランサムウェア自己評価セキュリティ監査ツール「Rransomware Readiness Assessment(RRA)」を公開しました。RRAは、組織が情報技術(IT)、運用技術(OT)、産業用制御システム(ICS)の各資産に対するランサムウェア攻撃にさらされているレベルを判断するために使用することができます。

2021/09/23

最近話題の API や REST API 基礎編(転載)~REST は、REpresentational StateTransfer の略称~


最近話題の API や REST API ってなに? ~基礎編~:

最近よく耳にする「API」という単語ですが、「API って実際に何をしてくれるのか?」と思ったことはないでしょうか?

当記事では「API とは何か?」、更に「REST API とは何か?」についてはじめての方にもわかりやすく解説します。

1. APIとは


API は「Application Programming Interface」の略称です。

API を使用すると、2つの異なるソフトウェアが相互に通信できるようになります。 

API を使うことで実現できる事は、人がソフトウェアに対して操作を行うことに似ているので、人が電子メールソフトウェアを操作する事を例に考えてみます。

人の場合、「メッセージを開く」、「内容を確認する」、「メールを返信する」、「フラグを立てる」など操作を手動で行います。


この操作を人ではなくプログラム (Bot) で自動化したい場合、人が電子メールソフトウェアに対して行った「メッセージを開く」などの操作を代わりに実行するのが「API」です。


また API を使用すると、多くの機能を備えたアプリケーションの開発がリスク、コストを抑えて開発可能になります。

例として、レストランおすすめアプリを作成するとします。

アプリではユーザーがレストランを検索するときに、アプリが現在地情報を元にレストランのリストを作成するようにします。

このようなアプリを作成する時、昔はレストランのデータと位置情報のデータを自社のサーバー内に格納して、データを抽出するような作り方していました。

自社内で完結する設計のアプリは、アプリ全体が責任範囲となり、開発、保守工数を多く見積もる必要があります。


そこで登場するのが API です。

サードパーティから提供されている、レストランデータとマップデータを取得可能な API を探します。

API を活用することで、アプリは自社のサーバー内にデータを持つ必要がなく、API 経由でレストランデータとマップデータを得ることができるのです。


2. REST とは


REST は、REpresentational StateTransfer の略称です。

REST は API を構築するためのフレームワーク(枠組み、ルール)のひとつです。

REST に沿って作られた API (REST API)  は、シンプルでわかりやすいのが特徴です。

REST と API を組み合わせると、アプリケーションやユーザー発行する HTTP リクエストをシンプルにデザインする事ができます。

3. REST API とは


REST API の特徴として、「A に対して B をする」という作りになっています。

ここの「A に対して」を API までのリソースパス、「B をする」を HTTP 動詞と呼びます。

先のレストランアプリの例で考えてみましょう。

以下のように REST API が作成できると考えられます。

  • 「マップデータ」(リソースパス) に対して現在位置を「取得する」(HTTP 動詞)

  • 「レストランデータ」(リソースパス) に対して現在位置付近のレストランを「取得する」(HTTP 動詞)

では、もう少し具体的に、リソースパスや HTTP 動詞がどのようなものなのか、Webex の API を例に確認してみましょう。

Webex の API である「Webex ユーザーの登録者リストを取得する」API を例に確認していきます。

リソースパス


実際に「Webex ユーザーの登録者リストを取得する」API のリクエストを見てみましょう。

WebexAPI の仕様は「Cisco Webex for Developers」で確認できます。

次の仕様が、Webex ユーザーの登録者リストを取得する API です。


web サイトへアクセスする際に入力する URL に似ている構造をしています。

URL に似ているということで、ブラウザのアドレスバーから要求を送信する事ができます。

名称は URL(Uniform Resource Locator)ではなく「URI(Uniform Resource Identifier)」と呼びます。

 

この「URI」を構成する項目に「リソースパス」が存在します。

URI = プロトコール + ドメイン名 + リソースパス + パラメータ

 

「https://webexapis.com/v1/people」を「プロトコール」「ドメイン名」「リソースパス」「パラメータ」に分けてみると以下の通りです。

プロトコール :https
ドメイン名 :webexapis.com
リソースパス :v1/people
パラメータ :なし
 

「プロトコール」は http または https、「ドメイン名」は WebexAPI、GoogleAPI など各種 API で決まっているため、「リソースパス」が変更されることでどの API が呼び出しされるか決まります。

また、「パラメータ」は任意項目です。

 

リソースパス「v1/people」から「人」に対する操作であることがわかります。

HTTP 動詞


REST API に設定する HTTP 動詞は以下のものがあります。

HTTP 動詞 Action
POST 作成
GET 取得
PUT 更新
PATCH 更新
DELETE 削除

もう一度仕様書を確認してみます。


WebexAPI にリソースパス「v1/people」は2種類あるため、「https://webexapis.com/v1/people」で要求すると、「人々をリストする」と「人を作成する」のどちらの API が要求されたのか判断ができません。

ここで「HTTP 動詞」である「GET」を付けて送信すると、「人々をリストする」が要求されていることが判断できるようになります。 

「HTTP 動詞」と「リソースパス」が確認できたところで、REST API の構成である「A に対して B する」に戻ってみると、「人に対して取得する」となります。

2021/09/22

障害多発のみずほ銀行のことを「みすぼらしい銀行」という人が多いらしい(転載)


みずほ銀行のことをみすぼらしい銀行って言ってる人いそうだなと思って検索したらいっぱいいた。

みずほ銀行で2021年9月8日に起こったシステム障害の原因が分かった。同行の勘定系システム「MINORI」において司令塔の役割を果たす「取引メイン(取引共通基盤)」のディスク装置の故障がきっかけで、一部のATMやインターネットバンキングが一時停止した。

具体的には、9月8日午前9時20分ごろ、取引メインのディスク装置が故障。みずほ銀行は取引メインのディスク装置が故障すると、同装置を切り離し、「常に同期をとって稼働している状態」(広報)の別のディスク装置だけで処理を継続する仕様だったが、その過程で「瞬断」が発生した。

この影響を受けて、最大100台ほどのATMやインターネットバンキングの「みずほダイレクト」が一時停止。同日午前10時半までに復旧した。みずほ銀行を巡っては2021年2月以降、顧客に影響が及ぶシステム障害が何度も表面化しており、今回で7回目となる。
Posted in  on 9月 22, 2021 by B-SON |  

2021/09/21

ITmedia Security Week 2021 autumn振り返り~徳丸さんセッション。事例ベースなので、納得感がある。2段階・2要素認証はもはや常識になりつつあるか~


 徳丸さんのセッションが大変勉強になったので、メモ。

これまでのクラウドにまつわる事件・事故事例。


過去の事件・事故は下記参照

産総研

シオノギアメリカ

韓国NAYANA

仏OVHcloud

ふくいナビ

Salesforceの一連の事故

岡山大学病院

クラウドサービス事業者が行うべき主要な情報セキュリティ対策(by 総務省


■利用者側の重点対応項目(1)認証の強化・ID管理

・SaaSの安全な利用の勘所は認証・ID管理にあり

・認証の強化・ID管理の原則
 -ポリシーで2段階・2要素認証を強制する
 -伝統的なIPアドレス制御はクラウド利用の阻害要因になるので、別の方法での対策が望ましい
 -一人1ID、最小権限の原則の徹底
 -退職者・異動者のアカウントの早期の削除・無効化
 -利用するSaaSの機能を有効活用する(とはいえ、SaaSの種類が増えると管理は大変)

・クラウド型ソリューションによる対策は?
 -IDaaS(Azure AD、Octa、HENNGE....)


■なぜVPN経由でSaaSを使うのか

・インターネットの出口でProxy、Webフィルタリング、次世代ファイアウォール等のセキュリティソリューションを適用しやすい。

 ※そもそもVPN経由でSaaSを使うと産総研みたいなインシデントは起きない。


■利用者側の重点対応項目(2)設定管理

・Salesforceの一連の事故のように、権限設定の間違いが大半

・古くはGoogleグループの一覧の事故(2013年~)
 -古くて新しい話題

・Googleグループの設定不備は利用者による確認は容易だったが、Salesforceの事例は利用者での確認は容易ではない。

・シャドーITとの合わせ技の事例も多数。


■利用者側の重点対応項目(3)シャドーIT対策

・シャドーITとは
 -統制の及ばないIT利用のこと
 -無料のSaaSを部門あるいは個人で「独自に」利用するケースが多い

・ポリシーでの基本が対応
 -そもそも「やってはいけないこと」と認識していない素朴なケースが多い
 -組織のポリシーで「やっていいことと駄目なこと」をさだめ、徹底を求める
 -ポリシーが厳しすぎると、こっそり使う社員が出てくるので、ポリシーの「さじ加減」が重要

・クラウドソリューションによる対策は?
 -CASB(Cloud Access Security Broker)
 -クラウドプロキシ(Cloud Proxy)

  ※費用の問題もあるが、まずはポリシーがないとツールの活用もできない


■まとめ(というか基本)

・とにかく認証・ID管理の強化が重要

・企業のポリシーを定め、SaaS利用の統制と利用ノウハウの集約

・SaaSのセキュリティ設定

・利用規模が大きい場合は、IDaaS、CASB、クラウドプロキシ等、クラウド型セキュリティソリューションの活用を検討する

2021/09/20

JALマイルでJAL国際線特典航空券が一層取りやすくなるタイミング(転載)~特典航空券解放のロジックを理解するとハッピーがあるかも!?~


【裏技】JALマイルでJAL国際線特典航空券が一層取りやすくなるタイミングを大公開!:

コロナ(武漢ウイルス)の影響もあり、なかなか海外旅行に行けない日々が続いていますが、
  • ワクチン接種率は上昇中
  • 感染者数は増加しているが、死亡率は低下中
などなど状況は1年前とは大きく変化しており、1年後には海外旅行に行けるのでは?と考えて、特典航空券の発券を検討している人や、すでに発券した人なんかもいるでしょう。

この記事では、JALマイルを利用してJAL国際線特典航空券を取るための裏技というかテクニックを紹介します。こういった情報は、当サイトの中でもかなり人気があるので、機会があれば記事化するようにしているのですが、この記事の情報もきっと読者の誰かに有益なものになるではないかなと思います。

JALマイルで国際線特典航空券を発券する際には、
  • 基本マイル数
  • JAL国際線特典航空券PLUS
という2つのものがあることは知っておきましょう。簡単に説明しておくと、


上記の東京=ニューヨークのビジネスクラス特典航空券は50,000マイルの日もあれば、146,000マイルの日もあります。この50,000マイルというのが基本マイル数で、基本マイル数で取れる枠といのは路線・機材・搭乗クラスによりJALが勝手に定めています(公開はしていません)。

この東京=ニューヨークの場合には予約開始日にはビジネスクラス特典枠が2席(ファーストクラス特典枠は1席)というのが現時点でのスタンダードなようですが、この2席がなくなれば終了というのが以前の制度でしたが、JAL国際線特典航空券PLUSという制度の導入により、必要マイル数がUPしてもいいなら枠を開放しますよ!!!ということが行われているわけです。

ただし、基本マイル数以上の大幅UPしたマイル数で特典航空券を取る人は少ないとは思うので、多くの人にとっては、必要マイル数がUPしているケースは売り切れと同義だと思います。

以前、記事にしたことがあるのですが、JALでは搭乗日直前に空席があると、その空席を特典航空券として開放してくれる傾向にあります。

この記事は2021/8/16に書いているのですが、7日後の2021/8/23のJALマイルを利用した国際線特典航空券の空席状況を羽田=ロンドンで調べてみましょう。

知らない人は、衝撃の結果ですよ。


ファーストクラス特典航空券が8席も空席ありとなっています。そもそもこの機材のファーストクラスは全座席数が8席なので、まだ1席も売れていない状況なら残りの全席を特典航空券の枠に開放してくれているということですよね。

これは衝撃的すぎます。

特典航空券の直前開放は、ANAではあまりはっきりとは出現しませんが、JALでは非常に重要なポイントになります。先ほど説明した「JAL国際線特典航空券PLUS」で一旦必要マイル数以上のJALマイルを支払った方でも、直前期に基本マイルで取りなおす(キャンセル料は必要になります)ということも、JALマイルでは有効に活用できる可能性があるわけです。

更にここ1年間の間に新しい技!?裏技!?が追加になっているので紹介しておきます。非常に重要です。

基本マイル数で取れるJAL国際線特典航空券の枠は、
  • 360日前の10:00に予約開始(この時点では基本マイルで取れる枠数はビジネスクラスで1便2席、ファーストクラスで1便1席が今は基本になっていると思われる)
  • 搭乗の1週間ほど前から直前開放で枠が増える
  • 予約開始後2週間ほどで枠が増える!?
という3つが基本になります。さて、ここで紹介したいのは3つめの「予約開始後2週間ほどで枠が増える!?」という内容になります。これは、おそらく以前にはなかったもので、この1年間の間に出現してきたようで、この1年の間にJAL国際線特典航空券を発券した人もそれほど多くないと思うので、知らない人だらけだと思います。

さて、具体的に紹介していきましょう。めちゃくちゃ使えますよ。


上記は、予約開始すぐのシンガポール=東京のJAL国内線特典航空券ビジネスクラスの枠です。全便ともに40,000マイル(基本マイル数)で2席の空席があります。この2席がなくなると、JAL国際線特典航空券PLUSが導入されて、必要マイル数がUPします。

さて、予約開始日から2週間ほど経過した日程で枠を調べてみましょう。知らない人は本当にびっくりしますよ。


基本マイル数で取れる枠が、
  • 1便目:3席
  • 2便目:9席以上
  • 3便目:8席
と謎に爆増しています。

エコノミークラスの特典枠でも、


予約開始日には、基本マイル数の12,000マイルで取れる枠が、
  • 1便目:4席
  • 2便目:すでに枠なし
  • 3便目:4席
となっています。エコノミークラス特典航空券の枠は基本4席となっているようですね。ただ、JAL国際線特典航空券PLUSでも20,500マイルで取れるのは悪くないと思います。

が、2週間ほど経過した便で見ると、


え???全便9席以上???

とやはり枠が爆増するんです。これってめちゃくちゃ有益な情報じゃないですか??これまで、基本マイル数で特典航空券を取れなくて、諦めていた人も多いでしょう。が、この記事を読んだ人には直前開放枠に追加して、「2週間後の開放枠」というものを利用してJAL国際線特典航空券を基本マイル数で取れる可能性が出現するわけです。

(注)2週間後ほどと書いていますが、おそらく11日〜14日後くらいに枠が増えます。路線により増えるタイミングが異なったりします。

この2週間後の開放枠は、JALが公表しているものでも何でもなく、いつまで継続される制度なのかもわかりませんし、そもそも2週間後の開放枠数も路線・機材・搭乗クラスにより異なります(シンガポール路線ではビジネスクラス枠が9席以上の開放もあるようですが、欧米路線ではビジネスクラス枠は最大5席だと思います。またファーストクラス特典航空券は2週間後の開放枠はないと思います)。ただ、この情報が家族旅行を検討している方には非常に役に立つ可能性があるとは思います。ぜひ、有効に活用してみてくださいね!!!

JAL国際線特典航空券を取るタイミングは、
  • 360日前10:00の予約開始時
  • 予約開始後2週間(正確には路線により11〜14日後)の開放枠
  • 搭乗1週間前の直前開放
という3つが最大の取りやすいタイミングなりますので、しっかりと頭にいれておきましょう。

2021/09/19

本当に「前例はない」のか ニップンが“決算延期”に陥った大規模攻撃の教訓(転載)~大切なのは基本的な対策(バックアップ、パッチ適用)を淡々と着実に実施すること~


先日、製粉大手のニップンが、サイバー攻撃を受けて発生したシステム障害の詳細を明らかにした。ニップン本体のファイルサーバの他、グループ企業も利用している財務会計システム、販売管理システムなどが被害に遭い、多数のファイルが暗号化され、起動できなくなった。オンラインバックアップも被害に遭い、サーバの早期復旧が困難となった結果、2021年4~6月期の決算報告書の提出を、約3カ月延期する事態に陥った。

公表された資料では、サイバー攻撃がどのような経路で行われたか、またファイルの暗号化はいわゆるランサムウェアによるものか、それとも何らかの手段で遠隔操作されたのかなど、詳しい手法は明らかにされていない。ただ、影響範囲の大きさからか、調査や対応支援に当たった外部専門家は「これほど広範囲に影響を及ぼす事案は例がなく」と表現している。

だが見方によっては、実際には前例はあったともいえるのではないだろうか。というのもこの数年、サイバー攻撃を受けてメールサーバが停止したり、工場やプラントの操業が停止に追い込まれたりと、自社やパートナー企業、顧客、ひいては社会に大きな影響を与えるセキュリティ事故はたびたび発生してきたからだ。

最近でいうと、ランサムウェアによる被害が典型例だろう。

セキュリティ関連のニュースに興味を持っている人ならば、ランサムウェアという言葉は、おそらく耳にしたことがあるだろう。昨年ごろから目立つのは、国内外の企業を対象に攻撃を仕掛け、社内に保存されていた個人情報や機密情報を盗み出し、「ネット上でこれらの情報を公開されたくなければ引き換えに金銭をよこせ」と要求するランサムウェアだ。

もう少しさかのぼってみよう。3~4年前に流行したのは、Windowsの脆弱(ぜいじゃく)性を突いて感染を広げる「WannaCry」と呼ばれるランサムウェアだ。感染すると周辺の端末やサーバのデータを暗号化し、システムが立ち上がらず、ファイルも見られないような状態にしてしまい、「もしファイルを元に戻してほしければ金銭をよこせ」と要求するものだ。

このときも、海外のさまざまな組織・企業はもちろん、日本企業も被害に遭った。被害を公表した中には、メールシステムに障害が生じて顧客とのコミュニケーションに支障が生じたり、生産に影響が出たりしたケースが含まれており、バックアップデータを基にシステムを復旧するのに多くの労力が費やされた。

その後もランサムウェアは継続的に、それもややターゲットを絞ってカスタマイズされて、企業を襲い続けている。2020年前半にもランサムウェアの被害に遭った日本企業が、数日間工場の操業を停止したケースが報じられた。海外では米石油パイプライン大手のColonial Pipelineがランサムウェアの被害に遭い、全てのパイプラインの操業を一時停止し、社会的な混乱を招いたケースが報じられている。

今回のニップンのサイバー攻撃は、ランサムウェアによるものとは明言されていないが、生じた影響という意味では過去にも似たようなケースは多々発生している。対象がメールか、工場を制御する生産制御システムか、あるいは財務会計・販売管理システムかの違いはあるが、本質的には「事業を動かすシステムが何らかの原因によって動かなくなり、甚大な影響が生じてしまった」ことに変わりはない。

一方で、DX(デジタルトランスフォーメーション)の進展や人手不足を補うためのシステム化により、事業のITへの依存度はますます高まっている。もしそれらが健全に運用ができなくなれば、問題は「個人情報が漏えいしてしまってご迷惑をおかけした」という話では済まない(それでも十分に大事だが)。もはや「仕事にならなく」なってしまうだろう。

つまりサイバー攻撃は、データの機密性や完全性だけでなく、事業の可用性に大きな影響を与える恐れのある経営問題として捉えなければならない。となると、IT部門任せではなく経営者の関与が不可欠だ。

ただ悩ましいのは、それ以外にも、企業を取り巻く脅威はさまざま存在することだ。ちょっと前に日本で猛威を振るった「Emotet」をはじめ、実在する組織や人物になりすましたメールを送ってユーザーをだますサイバー攻撃は、手を変え品を変えやってくる。

また、OSやWebブラウザなど汎用的なシステムだけでなく、セキュリティ機器や資産管理ツール、サプライチェーンのつながりを狙ったより高度な標的型攻撃も留意しなければいけない。その上、8月頭に報じられた、警視庁職員が26万人分の運転免許証データを削除した事件のように、内部関係者による犯行も考えられる。

あれもこれもとリスクが考えられる中、一体何から手を付ければいいか分からない、といった悩みが生じるのも無理はない。だが、答えはシンプルだ。

個々の事件に右往左往することなく、淡々と基本的な対策を実施し、かつ、対策が有名無実になっていないかを確認し続けていくことしかないだろう。もちろん予算は有限だから、まずは「自社にとって大事なもの」「絶対止まってはいけないもの」を見定めて、順に基本的な対策を取っていくしかない。この優先順位を決めるのも、やはり経営層の関与なしには進められない。

その次のステップは、自社が管理するIT資産を洗い出し、それらに存在する脆弱性の管理・修正を行うことだ。同時に「万が一」はあり得るという前提に立って、そのときどうシステムを復旧するかを考える次善の策も不可欠だ。

例えば、データ破壊というリスクに対してはバックアップ、それも重要なデータについてはオフラインでのバックアップを取得し、いざというときにきちんとリカバリーするための手順作成とリハーサルが重要となる。これらは常々、情報処理推進機構(IPA)が発表している「10大脅威」をはじめ、さまざまなレポートで対策として挙げられてきたことだ。

またマルウェア侵害や内部犯行に対しては、海外も含む拠点単位でのアクセス制御、必要以上の操作ができないようにする権限管理、なりすましを防ぐ強固な認証……といった事柄が重要になってくる。はやり言葉ではあるが、最近しばしば言われる「ゼロトラストセキュリティ」が提唱する事柄にも通じる部分がある。

どうしても「前例がない」といわれると、とても対策などありえない恐ろしい攻撃のように思われてしまうが、コンピュータシステムというものの本質が数十年変わっていない以上、よくよく見ていくと前例は必ずある。そうした過去の例から本質をつかみ、基本的な対策を実直にやっていくことが何よりも重要だろう。

近年、全国各地で「数十年に一度」といわれる深刻な災害発生の危険度が高まり、命を守る行動を取るよう呼びかけられることが少なくない。

その際役に立つのは、自分のいる場所がどのくらいリスクにさらされているかを示すハザードマップと最新の正確な情報。そして、備蓄や避難経路の確認といった普段からの備えだ。さらにもう一つ大事なのは、過去に起こった災害に人々がどう対処したかを知ることだろう。

前例のないように思える災害でも、似たような地形の別の場所で似た災害が起こっていたりする。過去の例を知っていざというときに備えることで、自分にとっては未知の災害でも対処し、かけがえのない人命や財産を守れるだろう。

同じことが、サイバー攻撃への備えにもいえるのではないだろうか。過去のインシデントや事故に学び、自社のリスクを知り、情報を収集し、いざというときに備えて対策や対応体制、手順を整えることで、被害を最小限に抑えてビジネスを継続することができるだろう。

ただ、自然災害にもさまざまな種類があるように、サイバー攻撃といってもいろいろな手法がある。しかもそれらが重なりつつ、半年~数年といったペースで主流の攻撃手法、注目される攻撃手法が入れ替わっていく。一方で、企業の持てる予算や人的リソースは有限だ。最新の情報に目を奪われてその対策にばかり注力していると、以前からあった攻撃手法に足をすくわれかねない。

「災害は忘れた頃にやってくる」といわれる。これだけ災害が多発すると、直前の災害の記憶によって過去の別の災害の教訓が上書きされ、風化してしまいがちだが、最新の情報は収集しつつもそれに過度におびえることなく、「自社にとって何がリスクか」を軸に冷静に向き合うことが重要ではないだろうか。

2021/09/18

バンコク・エア、ランサムウェア攻撃によるお客様の個人情報流出を確認 / Bangkok Air confirms passenger PII leak after ransomware attack(転載)~PIIは個人を特定できる情報のことで、Personally Identifiable Informationの略です。~


Bangkok Air confirms passenger PII leak after ransomware attack

タイで2番目に古く、3番目に大きい航空会社であるバンコクエアウェイズは、ランサムウェア攻撃に伴うセキュリティ侵害の際に、ハッカーが乗客の情報を盗んだことを認めました。

これは、LockBitと呼ばれるランサムウェアがダークウェブポータルにメッセージを掲載し、高額な身代金を支払わなければデータを流出させると脅した翌日の木曜日に、航空会社がプレスリリースで情報流出を確認したものです。

2021/09/17

どんな文章も3行に要約するAI(転載)~確かに普段使っている要約サイトよりも精度が高い~


 「どんな文章も3行に要約するAI」デモサイト、東大松尾研発ベンチャーが公開 「正確性は人間に匹敵」

東京大学・松尾豊研究室発のAIベンチャーELYZA(イライザ/東京都文京区)は8月26日、文章の要約文を生成するAI「ELYZA DIGEST」を試せるデモサイトを公開した。人間より短時間で要約でき、要約の正確性は「人間に匹敵する」という。今後も精度を高め、議事録作りやコールセンターでの対話メモ作成などでの活用を目指す。

同社は自然言語処理技術(NLP)の研究を進めており、日本語テキストデータの学習量・モデルの大きさともに日本最大級というAIエンジン「ELYZA Brain」を開発している。

ELYZA DIGESTは、大規模言語モデルを基に、要約というタスクに特化したAIとして開発。読み込んだテキストを基に、AIが一から要約文を生成する「生成型」モデルで、文の一部を抜き出す「抽出型」モデルなどと異なり、文の構造が崩れていたり、話者が多数いる会話文だったりしても、精度の高い要約文を生成できるという。

社内検証で、平均約900文字のテキストを使って人間とELYZA DIGESTの要約を比較したところ、人間は1記事当たり約5分かかったが、ELYZA DIGESTは約10秒で終わらせた。原文通りの意味で生成できる「正確性」は、人間とELYZA DIGESTが同等。ただ、原文で省略された主語を補完したり、文法に合った文章にしたりする「流暢性」では人間よりミスが多かった。

同社は「日常・ビジネスの場でよく発生する『要約』という問題に特化した」AIとして開発したと説明。今後も精度を高め、ビジネスの現場での活用を目指す。

「ELYZA DIGEST」を試せるデモサイト

Posted in ,  on 9月 17, 2021 by B-SON |  

2021/09/16

業界標準や、監督官庁の提示している基準・ガイドライン(転載)

セキュリティ診断だけでは不十分?アジャイル開発やDevOpsのセキュリティ対策 

Webアプリケーションの構成要素には、アプリケーション、プラットホーム、ネットワークなどの構成要素があります。アジャイル開発では、1〜2週間といった非常に短い単位で開発を進めていきます。このサイクルをアジャイル開発でよく使われる「スクラム」では、スプリントと呼びます。スプリントで開発する機能を優先度の高い順から選択して、選択した機能の開発とリリースを繰り返していきます。しかし、以下表のような非機能要件は、ある程度事前に検討して環境を準備していく必要があります。

大項目中項目説明
可用性継続性、耐障害性、災害対策、回復性システムサービスを継続的に利用可能とするための要求
性能・拡張性業務処理量、性能目標値、リソース拡張性、性能品質保証システムの性能、および将来のシステム拡張に関する要求
運用・保守性通常運用、保守運用、障害時運用、運用環境、サポート体制、その他の運用管理方針システムの運用と保守のサービスに関する要求
移行性移行時期、移行方式、移行対象(機器)、移行対象(データ)、移行計画現行システム資産の移行に関する要求
セキュリティ前提条件・制約条件、セキュリティリスク分析、セキュリティ診断、セキュリティリスク管理、アクセス・利用制限、データの秘匿、不正追跡・監視、ネットワーク対策、マルウェア対策、Web対策、セキュリティインシデント対応/復旧情報システムの安全性の確保に関する要求
システム環境・
エコロジー
システム制約/前提条件、システム特性、適合規格、機材設置環境条件、環境マネージメントシステムの設置環境やエコロジーに関する要求

非機能要件定義として挙げた例は、情報処理推進機構(IPA)が公開している「非機能要求グレード2018」から抜粋したものです。ラックのシステムセキュリティデザインサービスでは、このうちセキュリティに関わる範囲をセキュリティ要件として整理しています。

セキュリティ要件の作成においては、開発アプリケーションの特性に応じて、次表のような業界標準や、監督官庁の提示している基準やガイドラインを参考にする必要もあります。

適用例要求仕様刊行特徴
金融業界向け金融機関等コンピュータシステムの安全対策基準・解説書 第9版​金融情報システムセンター​(FISC)金融業界向け対策基準で、主に銀行が広く利用される対策基準
金融分野における個人情報保護に関するガイドライン金融庁金融業界向け対策基準で、金融業界全般で利用されるガイドライン
Webアプリのセキュリティ対策安全なウェブサイトの作り方情報処理推進機構(IPA)官公庁、公共のシステム構築案件に多く用いられるセキュリティ対策の要求仕様
認証、認可NIST Special Publication 800-63-3: Digital Authentication Guideline米国立標準技術研究所ダイレクトバンキング等でも用いられる、サービス利用ユーザのライフサイクルに関する要求仕様
ネイティブアプリ
(スマホアプリ)
OWASP Mobile Application Security Verification StandardOpenWebApplicationSecurityProjectスマホネイティブアプリ開発時に、多く用いられる要求仕様
アプリケーションのセキュリティ対策OWASP ASVS(アプリケーションセキュリティ検証標準)OpenWebApplicationSecurityProject金銭取引が行われるシステム構築時に、多く用いられる要求仕様
クラウド運用ISO27017日本品質保証機構クラウドの利用/提供に関するセキュリティ要求事項を定めた規格
システム非機能要求事項全般非機能要求グレード2018情報処理推進機構(IPA)機密性、可用性、完全性等の観点でシステムの非機能要求事項を定めたガイドライン
データの秘匿化や暗号化電子政府推奨暗号リストCRYPTREC総務省、及び経済産業省が推奨する暗号技術の評価

参照すべきガイドラインや基準は多岐に渡り、随時更新されていきます。こうしたガイドラインや基準には、具体的な実装方式などは記載されていないこともあるので、ガイドラインや基準を満たす実装方式についても情報収集と判断が必要になります。ラックのセキュリティコンサルティングサービスは、様々な業界のお客様を支援していますので、常に最新の業界動向に応じた要件と、具体的な実装方法を提示することが可能です。

2021/09/15

2021年7月16日~31日 サイバー攻撃のタイムライン / 16-31 July Cyber Attacks Timeline(転載)


16-31 July Cyber Attacks Timeline:

少し休んでから、7月2回目のサイバー攻撃の年表がようやく出ました。休暇期間中は、脅威の状況にも少し変化があったようです。この2週間で収集したイベントは82件で、前の期間に比べてかなり減少しました。

82件のうち21件(25%)がランサムウェアによるもので、直接的または間接的にランサムウェアの影響を受けていますが、特定できない障害が多数発生していることから、実際の件数はもっと多いかもしれません。Kaseyaを襲った事件のような有名な事件は起きていないようですが、発生率は依然としてかなり高いといえます。

この夏は、新たな大規模暗号ハッキングも発生しました。特にTHORChainは2回攻撃を受け、理論上の盗難総額は約1,500万ドル相当になりました(ただし、作者とされる人物が10%の懸賞金を要求したケースもあります)。

サイバー・エスピオナージの分野では、APT29(新しいキャンペーンが発見され、そのインフラは停止されました)、APT31(フランスの組織を標的としています)、Mustang Panda(東南アジアの組織を標的としています)、Tortoiseshell(防衛および航空宇宙産業に従事する従業員および請負業者を標的としています)などの旧知の企業による新しいキャンペーンに加え、Praying Mantis、GhostEmperor、Ekipa(ロシア人および親ロシア派の個人を標的としたクリミア発の新しいキャンペーン)などの新しい脅威アクターも登場し、非常に混雑した状態が続いています。


【LINK URL】

JNSAのインシデント損害額調査レポート(転載)


JNSAのインシデント損害額調査レポート 

JNSA(特定非営利活動法人日本ネットワークセキュリティ協会)からインシデント発生時にかかるコスト調査のレポートが出ていました。

国内外のセキュリティベンダーを中心に、サイバー攻撃損害コストの調査データはいくつも出ていますが、関係者アンケート回答からの”雰囲気”集計した様にも思えるモノも多い気がします。

そんな中、このレポートはインシデントで実際に発生する可能性がある損害コストが、見落としがちな部分も含めて書かれているので、例えばサイバー保険加入の稟議資料(費用対効果)を作成する場合や、インシデントレスポンスプランを策定(改訂)する際に役立つのではないかと思います。

費用が想像しにくいフォレンジック調査費用も書かれており、業者によってばらつきはあるものの、といったイメージが付きやすいのではないでしょうか。


(個人情報漏えい対象者等への)おわび状の費用や、新聞掲載の費用などが掲載されています。事業内容やインシデントの規模によって費用が変わるものの、「最大リスク」を試算する上で、参考値となるかと思います。


 サイバー保険やセキュリティ対策費用(あるいは情報システム部門の増員)の妥当性を検討する上で、こうした費用試算をしておく事は、経営陣への説明という意味でも有効かと思います。

JNSAが出したレポートという事でも客観性が出てくるかと思いますので、こうした業務に携わる方は、レポートを一読される事を強くお勧めします。

DarkWebの調査費用が意外と高いと感じましたが、DarkWeb接続に(やや)専門的な知識が必要で、調査すべき対象サイトの把握が難しい(どこに出てくるか分からない)点、そして継続調査や、サンプルデータの購入費用などを考えると仕方が無いのかも知れません。

2021/09/14

SeatSpy社がスクリーン・スクレイピングの被害者であると主張 - 非常に斬新な証拠を入手 / SeatSpy claims it is the victim of screen scraping(転載)


SeatSpy claims it is the victim of screen scraping – and has very novel evidence:

普段は穏やかな航空会社の特典航空券提供ツールの世界で、興味深いスパイ活動の主張がなされている。

SeatSpyは、ブリティッシュ・エアウェイズやヴァージン・アトランティック航空の特典航空券を探している人にとって、とても便利なウェブサイトです。ワンクリックで1年間のあらゆるルートの空席状況を確認することができます。さらに、Eメールアラートを設定することで、ご希望のルートに空席が出た場合に連絡を受けることができます。

ブリティッシュ・エアウェイズのAviosの空席状況を追跡するのは、必要以上に複雑です。ほとんどの航空会社は、特典用の座席を特定の「チケットバケット」に分類し、AmadeusまたはSabreにアクセスできる人なら誰でも見ることができます。Aviosはこのような仕組みではないため、空席状況を簡単に確認する方法はありません。

BAが自社用に作成したフィードを介して、このデータにアクセスすることが可能でした。これにより、2017年には「Reward Flight Finder」が、2019年には「SeatSpy」が発売されました。

ある時点で、ブリティッシュ・エアウェイズはこのデータへの第三者のアクセスをブロックすることを決定しました。これにより、SeatSpyとReward Flight Finderの両方に深刻な問題が発生しました。

SeatSpy社はこの問題を解決し、現在は少なくとも1時間に1回はデータが更新されているとしています。

先日、SeatSpyは、自社のデータがスクリーン・スクレイピングされていると主張するブログ記事をウェブサイトに掲載しました。この記事では、第三者に代わって自動検索を実行している偽のSeatSpyアカウントが「数百」見つかったとしています。

興味深いのは、SeatSpyがどのようにしてその証拠を見つけたかだ。

これは、BA Southampton - Nice間のビジネスクラスの「リアル」リワードデータを削除したもので、このルートはSeatSpyユーザーが積極的に追跡していないルートでした。

SeatSpyは、そのデータを偽のデータに置き換え、特定の日付に偽の座席を表示しました。

これは、しばらくしてReward Flight Finderのサイトに掲載されたものです。


残念ながら、このデータはReward Flight Finderから削除されていますが、私はそこで見たことを確認しています。

2021/09/13

婚姻届製作所からのカード情報漏えい(転載)~想定損害賠償額は3,000万円程度か?~


【限定記事】婚姻届製作所からのカード情報漏えい:


デザイン婚姻届のECサイト「婚姻届製作所」を運営するユナイテッド(山形県米沢市)は9月7日、同サイトが不正アクセスを受け、利用者のクレジットカード情報1131件が流出した可能性があると発表した。システムの脆弱性を突かれ、顧客がWebブラウザで入力した決済情報を不正ファイルに転送するよう改ざんされたのが原因。同社内でカード情報は保持していないという。

流出した可能性があるのは、2020年12月13日から2021年3月21日に同サイトを利用した顧客1131人分のクレジットカード番号、カード名義人名、有効期限、セキュリティコード。対象の顧客には連絡済みで、クレジットカード会社と連携して不正取引を防止するとしているが、一部のカード情報はすでに不正利用された可能性もあるという。

4月2日に、カード会社から情報流出の懸念があると指摘を受けたことで事態が発覚。同日中にカード決済機能を停止した。公表が遅れた理由は「不確定な情報の公開はいたずらに混乱を招き、お客さまへのご迷惑を最小限に食い止める対応準備を整えてからの告知が不可欠」と判断したためという。

再発防止策としてセキュリティ対策と監視体制を強化するという。改修後のECサイトの再開日は未定。

今、注目すべき次世代のセキュリティ対策(転載)~EDRとEPP(NGEPP)はプロダクト的に一本化されないのだろうか?~


 今、注目すべき次世代のセキュリティ対策――XDRとEDRの違いとは?

EDR(Endpoint Detection and Response)

年々、高度化・巧妙化が進むサイバー攻撃に対して、クライアント(エンドポイント)の防御を目指すソリューションが大きな転機を迎えている。ウイルス対策ソフトに代表される、ウイルスなどのマルウェアを検出して「侵入を未然に防ぐ」ことを基本思想とするソリューションだけでは、新たな脆弱性が公表される前に攻撃を仕掛けるゼロデイ攻撃などに対抗しきれなくなってきている。

従来の対策に加えて進化型エンドポイントセキュリティとして普及が進んでいるのが、EDR(Endpoint Detection and Response)である。EDRはシステムに侵入されることを前提に、その後の対応・復旧を中心にサポートすることが特徴だ。EDRはエンドポイントでマルウェアによる不審な動きがないかどうか常時監視を行い、ログを取得する。ログデータはサーバー上に集められ、まとめて分析処理が行われる。ここで疑わしい挙動の痕跡が検出されると、すぐに管理者に通知し、対象物を速やかに隔離する。

EDRはサイバー攻撃によってマルウェアに侵入された場合でも、その存在をいち早く検知・隔離することで、事後対応を効率的かつ迅速に行えるものだ。すなわち、被害の最小化を目指すソリューションであり、侵入されることを前提としている点で、従来のウイルス対策ソフトよりも一歩進んだ対策と言えるだろう。

NGEPP(Next Generation Endpoint Protection Platform)

エンドポイントの新しいセキュリティ手法として、EDRの他にNGEPP(Next Generation Endpoint Protection Platform)と呼ばれる製品も登場しており、注目されている。常時監視でマルウェアの早期検知・対応・復旧を可能にするEDRに対し、NGEPPは従来のウイルス対策ソフトのようなEPP(Endpoint Protection Platform)製品と同様に、侵入を防ぐことに特化しているセキュリティソリューションである。NGEPPを日本語訳すると「次世代型エンドポイントセキュリティ」となり、「振る舞い検知」や「機械学習」などの比較的新しいテクノロジーを採用していることが特徴だ。

振る舞い検知は、従来の定義ファイルとのパターンマッチングによる検知ではなく、プログラムの動作を監視し、怪しげな振る舞いをしたプログラムをマルウェアとして隔離する。機械学習では、既知のマルウェアのパターンを学習し、類似度を分析することで、マルウェアの可能性が高いプログラムを検出する。こうした技術により、ゼロデイ攻撃などの従来型エンドポイントセキュリティでは対処しにくい攻撃から、システムを守ることができるのだ。

サイバー攻撃が高度化している中、従来のEPP製品では防御しきれない攻撃に対しても、NGEPPは効力を発揮できる場合がある。また、EDRとNGEPPでは、着目しているポイントが異なるため、より堅固なセキュリティを実現するために、EDRとNGEPPを併せて導入する動きも広がっている。

NDR(Network Detection and Response)

先述のようなセキュリティソリューション進化の潮流で出てきたのが、NDRやXDRといった新しいセキュリティソリューションだ。NDR(Network Detection and Response)は、社内のネットワークを流れるトラフィックを包括的に監視することで、既知・未知のリスクにリアルタイムで対応するという次世代型のセキュリティ概念をもとにしている。

NDRは主に、専用のハードウェアをネットワークに組み込むことで導入が可能であり、ネットワーク全体を常時監視して異常を検知するため、リスクへの対応が迅速化できる。その結果、ネットワークが不正な侵入を受けた場合でも、セキュリティ被害を最小限に抑制できる。また、NDRでは内部の従業員からの意図的なリークなども検出するため、内部不正を未然に防げる可能性も高まる。

XDR(Extended Detection and Response)

最近では、先述のEDRやNDRに加えてXDR(Extended Detection and Response)と呼ばれるソリューションも登場している。XDRとはすなわち、EDRやNDRといった検知・対応タイプのセキュリティ手法を発展させたものである。XDRの「X」は「Cross(横断した)」あるいは「Extended(拡張した)」という意味を指すとの解釈が一般的であり、EDRのようにエンドポイント対象、NDRのようにネットワーク対象と限定するのではなく、複数の領域のセキュリティソリューションを統合して集中管理することで企業全体のリスクを監視、可視化する。単独のセキュリティソリューションでは検知が難しい、高度なサイバー攻撃をも可視化することで、防御や対策を可能にしている。

XDRという新たなセキュリティ手法が生み出された背景には、企業に対するサイバー攻撃の激化・高度化がある。さまざまな手法の攻撃に対処するために、セキュリティ対策のための製品・サービスも進化したことで関連するアラートも増加し、それらの事象を正確に把握することが難しくなってきている。さらに、慢性的なセキュリティ人材の不足なども重なり、セキュリティ担当者の負担が増大し、疲弊している状況が垣間見れる。

XDRでは、企業や組織全体に影響を与えるリスクの要素を正確に把握するために、エンドポイント、ネットワーク、クラウドなど全体で収集したデータを統合管理・分析し、セキュリティアラートの最適化を実現する。その結果、アラートのノイズをフィルタリングでき、ひいてはセキュリティ運用にかかる時間、人的リソースの削減につながることが期待できるのだ。このように、高度化したサイバー攻撃への効率的な対処を可能にするセキュリティ手法がXDRである。

2021/09/12

ファンダメンタル1やるだけでも、基本的なこと、理解できるのでお勧めですよー(転載)


@NSTJ14 無料のコース、ファンダメンタル1やるだけでも、基本的なこと、理解できるのでお勧めですよー。そのほかもいろいろフリーであるのでお勧めです!ここから難しいことやっていけばいいのでは? education.splunk.com/catalog: 無料のコース、ファンダメンタル1やるだけでも、基本的なこと、理解できるのでお勧めですよー。そのほかもいろいろフリーであるのでお勧めです!ここから難しいことやっていけばいいのでは?
education.splunk.com/catalog

コース概要

この無料コースでは、Splunk での検索とナビゲート、フィールドの使用、データからの統計情報の取得、レポート、ダッシュボード、ルックアップ、アラートの作成方法を学びます。シナリオベースの例やハンズオン形式の課題により、堅牢な検索、レポート、チャートを作成できるようになります。また、Splunk のデータセット機能や Pivot インターフェースについても紹介します。このコースのラボワークでは、ローカルシステムまたはサーバーにSplunk Enterpriseをダウンロードしてインストールする必要があります。

時間

4時間

2021/09/11

CISAのランサムウェア対策のガイドライン / Protecting Sensitive and Personal Information from Ransomware-Caused Data Breaches (転載)



OVERVIEW

ここ数年、CISA(Cybersecurity and Infrastructure SecurityAgency)とそのパートナーは、かなりの数のランサムウェア事件に対応してきました。最近では、米国のパイプライン会社と米国のソフトウェア会社に対する攻撃があり、マネージドサービスプロバイダー(MSP)とその下流の顧客に影響を与えました。

ランサムウェアは、デバイス上のファイルを暗号化し、ファイルやファイルに依存するシステムを使用不能にするよう設計されたマルウェアです。従来、悪意のある者は、復号化と引き換えに身代金を要求していました。しかし、悪意のある者は、時間の経過とともに、ランサムウェアの戦術をより破壊的でインパクトのあるものに変えてきました。悪意のあるアクターは、身代金を支払わないと、データを流出させ、機密情報や個人情報を含むデータを売却または漏洩すると脅すケースが増えています。このようなデータ侵害は、被害を受けた企業に金銭的な損失をもたらし、顧客の信頼を損ないます。

すべての組織は、ランサムウェアの被害に遭う可能性があり、システムに保存されている機密情報や個人情報を保護する責任があります。このファクトシートは、重要インフラ組織を含むすべての政府機関および民間企業を対象に、ランサムウェアによるデータ漏えいの防止と対応に関する情報を提供します。CISAは、組織が意識を高め、以下の推奨事項を実施することを推奨します。以下の推奨事項を実施することを推奨します。

PREVENTING RANSOMWARE ATTACKS

1.データのオフラインでの暗号化されたバックアップを維持し、定期的にバックアップをテストすること。バックアップの手順は定期的に行う必要があります。多くのランサムウェアの亜種は、アクセス可能なバックアップを見つけて削除または暗号化しようとするため、バックアップをオフラインで維持することが重要です。

2.基本的なサイバー・インシデント対応計画、回復力計画、および関連する通信計画を作成、維持、および実施する。

  • サイバー・インシデント対応計画には、ランサムウェアのインシデントに対する対応と通知の手順を含める必要があります。サイバーインシデント対応計画の作成に関する詳細は、「CISA and Multi-State Information and Sharing Center (MS-ISAC) Joint Ransomware Guide」を参照してください。

  • レジリエンス計画では、重要な機能へのアクセスや制御ができなくなった場合に、どのように運用するかを規定する必要があります。CISAは、組織が運用の回復力とサイバーセキュリティの実践を評価するために、技術的ではない無料のサイバー回復力評価を提供しています。
3.インターネット上の脆弱性や設定ミスを緩和し、アクターがこの攻撃対象を悪用するリスクを低減する。

a.リモート・デスクトップ・プロトコル(RDP)やその他のリモート・デスクトップ・サービスの使用に関するベストプラクティスを採用すること。脅威となる人物は、露出した安全性の低いリモートサービスを通じてネットワークに最初にアクセスし、その後ランサムウェアを拡散させることがよくあります。

i.RDPを使用しているシステムのネットワーク監査、未使用のRDPポートの閉鎖、指定回数の試行後のアカウントロックアウトの実施、多要素認証(MFA)の適用、RDPのログイン試行のログ取得。

b.定期的に脆弱性スキャンを実施し、特にインターネットに接続する機器の脆弱性を特定して対処する。CISAは、重要インフラ組織がランサムウェアなどのサイバー脅威にさらされている状況を評価、特定、軽減するために、脆弱性スキャンを含むさまざまなサイバー衛生サービスを無料で提供しています。これらのサービスを利用することで、組織の規模を問わず、リスクを低減し、攻撃のベクトルを緩和する方法についての提案を受けることができます。

c.オペレーティングシステム、アプリケーション、ファームウェアなどのソフトウェアをタイムリーに更新する。インターネットに面したサーバや、ウェブブラウザ、ブラウザ・プラグイン、ドキュメント・リーダーなど、インターネット上のデータを処理するソフトウェアに存在する重要な脆弱性や脆弱性に対して、タイムリーにパッチを当てることを優先してください。迅速なパッチ適用が不可能な場合は、ベンダーが提供する緩和策を実施する。

d.デバイスが適切に設定され、セキュリティ機能が有効になっていることを確認する。例えば、ビジネス目的で使用されていないポートやプロトコルを無効にする。

e.SMB(Server Message Block)プロトコルのインバウンドおよびアウトバウンドを無効化またはブロックし、SMBの古いバージョンを削除または無効化する。

4.フィッシングメールがエンドユーザーに到達するリスクを以下の方法で低減します。

a.強力なスパムフィルターを実現

b.不審な活動(例:フィッシング)やインシデントを特定して報告する方法に関するガイダンスを含む、サイバーセキュリティのユーザ意識向上およびトレーニングプログラムを実施すること。CISAは、ユーザー意識向上トレーニングの効果をサポートし、測定するために、組織向けに無料のPhishing Campaign Assessmentを提供しています。 

5.以下の方法で、優れたサイバー・ハイジーンを実践してください。

a.アンチウイルス、アンチマルウェアのソフトウェアとシグネチャが最新であることを確認する。

b.アプリケーションのallowlistingを実装する。

c.アカウント使用ポリシー、ユーザーアカウント制御、および特権アカウント管理により、ユーザーおよび特権アカウントが確実に制限されていること。 

d.可能な限りすべてのサービスにMFAを採用し、特にウェブメール、仮想プライベートネットワーク(VPN)、重要なシステムにアクセスするアカウントにMFAを採用する。

e.CISAの「Cyber Essentials」や「CISA-MS-ISAC Joint Ransomware Guide」からサイバーセキュリティのベストプラクティスを導入する。 

PROTECTING SENSITIVE AND PERSONAL INFORMATION

顧客や従業員の機密情報や個人情報を保管している組織は、悪意のあるサイバーアクターによるアクセスや流出から情報を保護する責任があります。CISAは、組織に対して以下を推奨しています。

1.システムにどのような個人情報や機密情報が保存されているか、誰がその情報にアクセスできるかを把握する。事業運営に必要な情報のみを保存することで、データを制限する。不要になったデータは、確実に適切に廃棄する。

2.米連邦取引委員会(FTC)の物理的セキュリティのベストプラクティスを導入する。「Protecting Personal Information: A Guide For Business」および「FTC: Cybersecurity for Small Business

3.サイバーセキュリティのベスト・プラクティスを以下のように実施する。

a.機密性の高い個人情報が保存されているコンピューターまたはサーバーを特定すること。注:業務上不可欠な場合を除き、インターネットに面したシステムやラップトップに機密データや個人データを保存しない。ラップトップに機密データが含まれている場合は、暗号化し、デバイスの適切な物理的セキュリティについて従業員を教育する。

b.静止画や転送中の機密情報を暗号化する。

c.ファイアウォールを導入し、悪意のある、あるいは不要なネットワークトラフィックからネットワークやシステムを保護する。

d.機密情報や個人情報を保管するシステムをさらに保護するために、ネットワークセグメンテーションの適用を検討している。  

 4.サイバー・インシデント対応および通信計画に、データ侵害インシデントに対する対応および通知手順が含まれていることを確認する。通知手順が適用される州法に準拠していることを確認する。(各州のデータ漏洩通知法については、National Conference of State Legislatures, Security Breach Notification Lawsを参照してください。各州のデータ漏洩通知法に関する情報は、「National Conference of State Legislatures: Security Breach Notification Laws」を参照してください)。 

RESPONDING TO RANSOMWARE-CAUSED DATA BREACHES

万が一、組織がランサムウェアの被害に遭い、それに伴うデータ漏洩が発生した場合、CISAはサイバーインシデント対応計画を実施し、以下の行動をとることを強く推奨します。

1.以下のチェックリストを使用して、最初の3つのステップを順に進めていくことで、ネットワーク運用の安全性を確保し、さらなるデータ損失を防ぐことができます。注:CISAでは、このチェックリストをランサムウェアに特化した附属書として、サイバーインシデント対応計画に含めることを推奨しています。ランサムウェア対応の完全なチェックリストについては、「CISA-MS-ISAC Joint Ransomware Guide」を参照してください。

a.どのシステムが影響を受けたかを判断し、直ちに隔離します。複数のシステムに影響があると思われる場合は、スイッチレベルでネットワークをオフラインにします。ネットワークを一時的にオフラインにすることがすぐにできない場合は、ネットワーク(イーサネットなど)のケーブルを探し、感染した機器をネットワークから外すか、Wi-Fiから外すことで感染を食い止めます。

b.影響を受けたデバイスをネットワークから削除できない場合や、ネットワークを一時的にシャットダウンできない場合に限り、ランサムウェアの感染がさらに広がるのを防ぐために、感染したデバイスの電源を落とします。注意:この手順は、揮発性メモリに保存されている感染成果物や潜在的な証拠が失われる可能性があるため、必要な場合にのみ実行してください。 

c.影響を受けたシステムをトリアージして復旧・回復させる。重要度に応じて優先順位をつける。

d.チームと相談して、予備的な分析に基づいて、何が起こったのかを最初に理解し、文書化します。 

e.社内外のチームや利害関係者を巻き込み、インシデントの緩和、対応、回復に向けてどのような支援ができるかを伝える。データ漏洩の経験を持つ、信頼できる第三者のインシデント対応プロバイダーに支援を依頼することを強く検討する。

2.初期の緩和策がないと判断された場合は、影響を受けたデバイスのサンプルのシステムイメージとメモリキャプチャを行います。さらに、関連するログや、「前兆」となるマルウェアのバイナリのサンプル、関連する観測値や侵害の指標を収集します。注:フォレンジックの証拠を破壊してはいけません。また、紛失や改ざんを防ぐために、揮発性の高い証拠や保存期間が限定されている証拠の保存には注意が必要です。

3.サイバーインシデント対応計画に記載されている通知要件に従う。

他の企業に代わって保管されている個人情報が盗まれた場合は、これらの企業に侵害の事実を通知します。

個人を特定できる情報が侵害された場合は、被害を受けた個人に通知して、自分の情報が悪用される可能性を減らすための手段を講じられるようにします。漏洩した情報の種類、推奨される行動、関連する連絡先を伝える。

電子的な健康情報が侵害された場合は、FTCや米国保健社会福祉省、場合によってはメディアへの通知が必要になることもあります。詳細は、Federal Trade Commission's Health Breach Notification RuleおよびU.S. Department of Health and Human Services.Breach Notification Ruleを参照してください。

2021/09/10

新型ウィキリークス!? / "post-WikiLeaks era" suggests "what, JTM, era?" Or, "DDoSecrets" "Distributed Denial of Secrets" era which cannot be tweeted but leaked is ok? Weird dookie.


"post-WikiLeaks era" suggests "what, JTM, era?" Or, "DDoSecrets" "Distributed Denial of Secrets" era which cannot be tweeted but leaked is ok? Weird dookie.:

nitter.bcow.xyz/NatSecGeek/status/1427955665268613124#m

The New WikiLeaks

フレディ・マルティネスは、ドナルド・トランプに対する弾劾手続きの最新状況をツイッターで追跡していたとき、CNNの放送のスクリーンショットを見て、奇妙な印象を受けた。彼のフィードには、議事堂の暴徒のひとりが撮影した手ぶれのある電話の映像が映っていたのだ。CNNはこの映像を、マルティネスが出会ったばかりの人物の仕業としている。比較的無名のハクティビストであるドンクエンビーが、右派のソーシャルネットワークであるパーラーからデータをスクレイピングしたのだ。彼らはそのデータを、マルティネスが顧問を務める「Distributed Denial of Secrets」に提供した。この集団は、32テラバイトにおよぶ暴動時の投稿やビデオのアーカイブを共有可能なアーカイブとして公開し、事実上誰でも利用できるようにした。その中には、報道機関や議会の調査官も含まれ、弾劾公聴会でビデオの一部を流した。

マルティネスにとって、捜査官が何百万人ものアメリカ人のためにビデオを再生するのを見るのは「超現実的」であり、「サイバーパンクの瞬間」とマルティネスは誰かが呼ぶのを聞いた。Distributed Denial of Secrets(DDoSecrets)は、2018年末に設立されて以来、秘密主義の政府、腐敗した企業、強力な法律事務所の悩みの種となっていました。2020年6月、「BlueLeaks」として知られるリリースで、同グループは269ギガバイトの法執行機関のデータを公開し、米国全土の警察の不正行為や監視の行き過ぎを暴露しました。また、DDoSecretsは、海外のタックスシェルターやソーシャルメディアサイト「Gab」、極右勢力がよく利用するキリスト教系クラウドファンディングサイトの証拠となる記録を公開しました。また、ウクライナにおけるロシア政府の計画や、ミャンマー政府のビジネス取引を明らかにするなど、独裁者にも影響を与えています。これらの情報は、世間の関心を引く多くのニュース記事を生み出し、DDoSecretsはジャーナリストにとって貴重な情報源となっているが、同時に標的にもなっている:2020年7月、ドイツ当局は組織のサーバーの1つを押収した。昨年8月には、米国国土安全保障省がDDoSecretsを「犯罪的ハッカー集団」とする公報を出したという不吉なニュースもありました。しかし、2月になると、議会は上院議場でパーラーのビデオについて議論していた。

WikiLeaks後の時代に、ジャーナリスティックな透明性を求める動きの先頭に立つことは、このような矛盾をはらんでいます。米国政府のある部分はグループメンバーの作品を利用し、別の部分は彼らを犯罪者と表現する。

WikiLeaksが2018年12月にデータの公開を停止してから、透明性を追求する組織、ハッカー、内部告発者、リーク者の中でも、DDoSecretsは、その協調的な規律、技術的な洗練性、幅広い情報源のネットワークだけでなく、エゴのなさと透明性への積極的なコミットメントにおいても、際立っています。このような錬金術的な組み合わせは、グループ内での意見の相違や世間からの批判がないことを意味しているわけではありません。実際、グループの知名度の高まりや、公開する情報の限界を超えようとする姿勢は、行く先々で組織を敵に回しているように見えます。

DDoSecretsは、個人情報や機密情報を含むハッキングやリークされた情報の濁った世界で、厄介な問題に取り組まなければなりませんでした。何を公開すべきか?誰を信用できるのか?また、ハイテク企業が政府の調査機関と協力して公的な秘密を守り、調査報道を犯罪化する準備ができている中で、透明性を確保する活動はどのようにして生き残ることができるのか?今もそれを解明し続けている。

超党派であることを公言しているDDoSecretsは、無政府主義的な政治と、禁断の知識に対するハッカーの好奇心、そして抑圧された人々への一般的な共感を融合させたような倫理観を持っています。ラテン語で書かれた「Veritatem cognoscere ruat caelum et pereat mundus」というスローガンは、「天が落ちても、世界が滅びても、真実を知ること」という意味になります。これは、「情報は自由でありたい」という言葉の、より大胆で、より変革的なバージョンと言えるでしょう。

フリーランスのジャーナリストとして国家安全保障を取材し、情報公開法の要求を積極的に提出していたBestは、2018年12月に "The Architect "というペンネームでしか知られていない人物と一緒にDDoSecretsを立ち上げました。彼らは、ジュリアン・アサンジのエゴのための手段に変化したと感じていたWikiLeaksと、自分たちのグループを区別することを目指しました。

2018年7月、BestはWikiLeaksの11,000以上の内部メッセージを公開しました。このメッセージには、グループがどのように運営されているかが、下品な行動とともに示されていました。Bestはそれ以来、WikiLeaksが透明性に欠けていること、陰謀論を支持していること、主要なリリースの前後に論説を展開する傾向があることなどを批判している。Bestは、"彼らの情報源やデータさえも欺いている "と表現しました。

WikiLeaksがアサンジというカルト的な人物を中心に反帝国主義的な神秘性を醸成していたのに対し、DDoSecretsはもっと地味なものを公言している。それは、ジャーナリストや関心のある市民に有用な情報を提供するという純粋なコミットメントである。DDoSecretsのウェブサイトによると、データは2つの基準を満たさなければならないとされている。それは、「公共の利益になるか」と「その内容の真実性を一応証明できるか」というものだ。このテストに合格し、現在約10名のメンバーに加え、諮問委員会やボランティアの貢献者が集まり、情報源を保護できると判断した場合、アーカイブを公開します。簡単にダウンロードできるtorrentとして公開することもあれば、少しアクセスしにくいオニオンサイトから公開することもあります。多くのアーカイブは広く公開されているが、中には非公開で、ジャーナリストの要求があった場合にのみ提供されるものもある。また、内容を公開せずに受け取ったデータを記事にするケースもある。

DDoSecretsの活動は、最高の状態で、公式の透明性の限界を明らかにしています。公認された政府のリーク情報や、段階的に行われるビートレポート、何ページにもわたって無駄な編集が行われる情報公開請求などです。このことは、BlueLeaksほど顕著ではありません。「訂正されていないハッキングされた文書を読むと、公開記録担当者から得られる選択情報とはまったく異なる印象が得られます」と、現代の監視国家について書かれた『Pacifying the Homeland』の著者、ブレンダン・マクウェイド氏は言います。ブレンダン・マクウェイドは、BlueLeaksの情報をもとに、警察の不正行為を暴く記事を書き、メイン州情報分析センター(MIAC)に対する連邦内部告発訴訟に注目を集めました。その後、メイン州議会はこのサイトの閉鎖を決議しました(ただし、この法案は上院を通過しませんでした)。マクウェイドやDDoSecretsのメンバーにとって、ハッキングされたデータは、公式のチャンネルでは得られない、真実と説明責任の可能性を提供してくれます。

DDoSecretsは、数年前に不倫相手との出会い系サイト「Ashley Madison」からハッキングしたアーカイブを公開し、撤回したことで批判を浴びましたが、この経験から学んだとしています。BlueLeaksのアーカイブには、約70万人の法執行官の電子メールや自宅の住所などの個人情報も含まれていた(ただし、このデータダンプからは何も生まれていないようだ)。DDoSecretsは、自分たちが法律に違反したり、ハッキングされた情報を求めたりすることはないと断言している。しかし、DDoSecretsのメンバーはハクティビストのアンダーグラウンドに紛れ込んでおり、そこには潜在的な犯罪行為に従事している人々も含まれている。多くのジャーナリズム団体と同様に、この団体もハッキングされた素材や盗まれた素材を公開していますが、これは長年にわたって、報道の自由のために法的に保護されてきた行為です。最近では、ジャーナリストは、内部告発者やリーク者の告発から逃れるために、スパイのように振る舞わなければならないことが多いのです。DDoSecretsの活動に不正のにおいがするとすれば、それは公的な秘密主義、大量の監視、訴追の脅威、そして検閲当局へのビッグテックの協力が、ジャーナリストとリークデータのパブリッシャーの活動能力を同様に妨げているからだ。

フレディ・マルティネスは、DDoSecretsを生み出した民主的な説明責任のシステムの崩壊をなんとか修復できないかと考えました。「私たちは無用の長物になるかもしれませんが、それもいいかもしれませんね。今のところ、このグループは少額の寄付を募っています。また、ハーバード大学の定量的社会科学研究所と提携し、連邦捜査の主な標的とされているジャーナリスト、Best氏のための弁護基金を設立しました。

Best氏は、米国当局の要請を受けたスイスの司法当局が、巨大な商用監視カメラネットワークのセキュリティ脆弱性をジャーナリストに警告したハッカー、ティリー・コトマンを逮捕した後、「真実は影響力を持つ」と書きました。「世界はもはや、ハッカーやリークティビストを排除することはできない。人々が喜んでいる限り、そうはならない」。