【転載】オンライン翻訳サービスにおけるセキュリティリスクについて

グーグル超えで話題のDeepL。無料版と有料版でのセキュリティリスクの違いは考慮出来ていますか?(大元隆志) - 個人 - Yahoo!ニュース:



ドイツに本社を構える「DeepL GmbH」社が提供する翻訳サービス「DeepL」が、翻訳精度の高さで有名なGoogle翻訳を超えたと話題を集めている。


 参考:DeepL翻訳 TOEIC950点レベル匹敵も「人間ではあり得ないミス」が起こる理由

では、セキュリティという観点ではどうだろうか?日本企業が利用しても安全なレベルのセキュリテイなのか考察したい。


■翻訳サービス利用上のリスク

クラウド型で提供される翻訳サービスは以下のような動作で翻訳を実行する。


 1) 利用者がクラウドに翻訳したい文書をアップロードする


 2) クラウド上で文書が翻訳される


 3) 翻訳結果が表示される


 こういった動作となるため、翻訳したい文書はクラウド上に一時的に保存されることになる。翻訳サービスのセキュリテイを考慮する上で、ここに保存された文書がどのように扱われるかを考えることが重要である。


 例えば、ilovetranslation.comという翻訳サイトがあるが、この翻訳サイトで翻訳した結果は、Googleのデータベースに登録され、誰でも検索結果として閲覧出来る。下図はある検索ワードでヒットしたものだが、契約書を含むメールに勝手にメールアドレスが追加されており、情報漏えいの観点から追加した理由を問いただすメールなのだが、Googleインデックスに登録され、全世界に公開されてしまっている。


ilovetranslationにて翻訳された文書。契約書のメールに勝手に追加されたメールアドレスを問いただすメールの文書が、Google検索によって世界に公開されている。ilovetranslationにて翻訳された文書。契約書のメールに勝手に追加されたメールアドレスを問いただすメールの文書が、Google検索によって世界に公開されている。

このように、翻訳サービスは非常に便利なサービスではあるが、サービスの特性上、情報漏えいリスクには注意を払わなければならないサービスの一つである。


■2つ存在するDeepLの翻訳サービス

DeepLのセキュリテイに話を戻そう。DeepLの翻訳サービスには、2つのエディションが存在し無料版のDeepL翻訳と、有料版のDeepL PROが存在する。


 ・DeepL翻訳(無料版)

  DeepL翻訳の利用規約には以下の記載があり、Deeplに送信された文書はDeepLサーバ上に保存され翻訳アルゴリズムの改善のために一定期間保存されると明記されている。また、いかなる個人情報も翻訳しないように注意書きがなされている。恐らくこれは、DeepLの開発元がドイツに存在するためGDPRに対する配慮と思われる。


4.テキストと訳文(無料のDeepL翻訳)


個人情報の類が含まれるテキストはいかなる場合も使用しないでください。


翻訳サービスをご利用の際に入力したテキストはすべてDeepLのサーバーに送信されます。テキストのサーバーへの送信は、翻訳サービスを提供するために不可欠です。入力したテキストとその翻訳は、翻訳アルゴリズムの強化及び性能向上を目的として、一定期間保存されます。


皆様が訳文に加えた訂正内容も、翻訳の精度を確認したり、必要であれば訂正内容に合わせて訳文をアップデートしたりするためにDeepLのサーバーに送信されます。入力した訂正内容も、当社の翻訳アルゴリズムの強化及び性能向上を目的として、一定期間保存されます。
出典:DeepLの利用規約より引用

 ・DeepL Pro(有料版)

 次に、有料版のDeepL Proの利用規約を見てみよう。無料版との違いは入力した文書と翻訳後の文書はDeepLサーバーに保存されることはないと明記されている。また、Pro版であっても、個人情報を含む文書の利用は禁止されている。


5.テキストと訳文(DeepL Pro)


DeepL Proをご利用の場合、入力したテキストと訳文はサーバーに保存されることはなく、翻訳時にのみ使用されます。DeepL Proでは、翻訳サービスの品質向上を目的として皆様のテキストを使用することはありません。 詳しくは、 DeepL Pro利用規約をご確認ください。


個人情報の類が含まれるテキストはいかなる場合も使用しないでください。
出典:DeepL Proの利用規約より引用

■機密文書の翻訳にはDeepL Proが必須

DeepL翻訳、DeepL Proのどちらであっても通信経路はHTTPSにて暗号化されている。従って、翻訳前の文書と翻訳結果がDeepL上に保存されないDeepL Proであれば通信経路上でもクラウド上でも情報漏えいに繋がるリスクは低そうだ。


 一方で、無料のDeepL翻訳については、通信経路はHTTPSで暗号化されているが、翻訳前の文書と翻訳結果がDeepL上に保存されてしまう。Googleのインデックスに登録されるようなリスクは現時点では存在しないが、翻訳前のデータがクラウドサービス事業者の設備に保存されることに変わりはないため、機密文書等は翻訳しないように社内でも周知する必要があるだろう。


■クラウド・セキュリティ評価のCASBによるチェック

最後に、クラウドのセキュリティリスクアセスメントに用いられるCASBソリューションにて、Google翻訳、マイクロソフト翻訳、DeepL Proを比較してみた。


 最も評価が高かったのがマイクロソフト翻訳、次いでGoogle翻訳となり、翻訳精度の高さでは最も優秀という評価であったDeepL PROだが、セキュリティという観点では最下位となった。


マカフィー製CASBのMvision Cloudによる翻訳サービスの比較。セキュリティという視点ではDeepL Proは最下位となった。マカフィー製CASBのMvision Cloudによる翻訳サービスの比較。セキュリティという視点ではDeepL Proは最下位となった。

 但し、最下位だったからといって企業での利用が推奨されないかというとそういう訳ではない。今回のクラウド・セキュリティリスクアセスメントに用いたMvision Cloudではクラウドサービスを1~10点で評価し、企業内での利用を許可して良いレベルのものには1~6点の範囲のものとなるので、今回3つのサービス共にこの範囲内に収まっている。


 また、翻訳サービスの特性として匿名利用可能である点や、各種ログを取得していないといった点がスコアを落とす要因となっているが、これらく翻訳サービスとしてはむしろ好ましい特性であるため、CASBの基準では低く評価されても、実害は無い。


 CASBのDeepL Proに対する評価で筆者が気になった点は、セキュリティ運用体制に関する第三者機関が発行するCertificationを取得していない点だ。DeepL Proはドイツの企業が開発しているため、GDRPの基準を満たしているとしているが、CASBの評価どおり第三者機関が提供するCertificationを取得していないとすれば、「データの管理は万全です」と言われても、それを証明する証拠が存在していない。この点については、DeepL Proの契約を検討している企業は注意を払う必要性があるだろう。


■翻訳サービスは便利。しかし、ルールの整備が必要

DeepLの翻訳精度は確かに高く、筆者も利用している。ただ、企業としてDeepLのような翻訳サービスを業務利用するには、翻訳サービス上で翻訳してもよいサービスと、禁止すべき文書ファイルを定義しルールを整備する必要があるだろう。そして、機密文書を翻訳する場合にはDeepL Proの利用を必須とすべきだ。


 また、利用者の多くは翻訳サービス利用上の注意点や利用規約等は読まないため、トレーニングの提供も実施する必要があるだろう。便利なサービスも使い方を誤れば情報漏えいツールとなってしまうため、安全な利用方法も合わせて周知することが大切だ。


組織がランサムウェア攻撃で身代金を支払った場合、 被害の回復にかかる費用が2倍になる!?(転載)~ランサムウェア攻撃を受けた日本企業の3分の1(31%)が、身代金を支払ったことを認めている~



ネットワークおよびエンドポイントセキュリティのグローバルリーダー企業である英国ソフォス(日本法人:ソフォス株式会社 東京都港区)は、世界的に実施した調査に関するレポート『The State of Ransomware 2020(ランサムウェアの現状2020年版』を発表しました。この調査結果により、組織がランサムウェア攻撃を受けた際、暗号化されたデータを復元するためにサイバー犯罪者に身代金を支払うことは、被害を回復するための容易で安価な方法ではないことが明らかになりました。実際、組織が身代金を支払うと、被害を回復するのに必要な総費用は約2倍になっています。本調査は、欧州、南北アメリカ、アジア太平洋および中央アジア、中東、およびアフリカを含む6大陸の26カ国の企業の5,000人のIT意思決定者を対象に実施されました。

日本企業の約半分(42%)が過去12か月間にランサムウェア攻撃を受けており、調査したITマネージャーの55%が身代金を支払うことなくバックアップからデータを復元していました。この調査によると、調査対象の国の中で日本はランサムウェア攻撃によるデータ暗号化の防止に最も効果的な結果を得ておらず、93%の攻撃がデータの暗号化に成功しています。日本はまた、ランサムウェア攻撃の被害を回復するのに最も費用がかかっている国の1つであり、1位のスウェーデンに次いで第 2 位となっています。

身代金を含まない、ビジネスのダウンタイム、受注の損失、運用コストなど、ランサムウェア攻撃による影響に対処するための総費用は平均73万米ドルでした。企業が身代金を支払った場合、この平均コストは140万米ドルに上り、ほぼ倍になりました。ランサムウェア攻撃を受けた日本企業の3分の1(31%)が、身代金を支払ったことを認めています。日本では、身代金を支払ってもデータを復元できなかった事例は確認されませんでした。

ソフォスの主任リサーチサイエンティストのChester Wisniewskiは、次のように述べています。「ダウンタイムの発生による被害を避けるためには身代金を支払わなければならないと考えてしまうかもしれません。身代金を支払うことは、表面上、データを復元する効果的な方法のように見えるかもしれませんが、これは幻想にすぎません。ソフォスの調査結果は、身代金を支払っても、時間と費用面で復元のための負担はほとんど変わらないことを示しています。これは、すべてのデータを復元するための鍵が1つだけであることがほとんどないためと考えられます。多くの場合、攻撃者はいくつもの鍵を共有しており、これらの鍵を使用してデータを復元する場合、作業が複雑となり時間がかかるのです」

世界的には、5%の公的機関の組織が身代金を支払ってもデータを復元できませんでした。実際、暗号化されたデータを復元できなかった組織は全世界では6%でしたが、調査した公的機関の組織ではその数値は13%に上ります。

しかし、通説とは逆に、公的機関はランサムウェアによる影響が世界で最も少なくなっています。前年に大きなランサムウェア攻撃を受けたと回答した調査対象の公的機関組織は45%に留まっています。世界的には、民間のメディア、レジャー、エンターテインメント企業がランサムウェアの影響を最も受けており、回答した組織の60%が攻撃を受けたことを報告しています。

【転載】企業ネットワークの68%はハッカーが本気出せば侵入可能!?

two hackers trucker hat hoodie pentesters

企業ネットワークは狙われている:

セキュリティ情報会社Positive Technologiesの侵入テストレポートが興味深いものがありました。テスターが30分未満で企業ネットワークに侵入できるケースもある様です。

www.techrepublic.com



ペンテストを受けた企業の6分の1が、過去の攻撃の痕跡を明らかにした。ローカルネットワークへの侵入にかかる平均時間は4日でしたが、ペンテスターたちは、最短30分で侵入できることを発見しました。しかし、大多数のケースでは、成功した攻撃はそれほど複雑ではなく、ペンテスターは、攻撃は「中程度の」スキルを持つハッカーの権限の範囲内であると述べています。

テストしたシステムのうち、侵入に耐えられるだけの十分な性能を持つものはわずか7%でしたが、25%が1ステップ、43%が2ステップ、25%が3~6ステップでハッキングされていました。

テストでは、71%の企業では、スキルのないハッカーでも社内ネットワークに侵入することができたという事実を含め、いくつかの驚くべき脆弱性が明らかになりました。

また、侵害の77%はウェブアプリケーションの保護が不十分なことに関連しており、ペンテスターは86%の企業で少なくとも1つのベクターを発見しました。報告書で説明されている侵入ベクトルとは、ネットワーク境界での違反を可能にした弱点を探る方法のことである。

(TechRepublic記事より引用)※機械翻訳


元レポート(Positive Technologies)





キタきつねの所感

ホワイトハッカーの侵入テスト結果の統計データは中々表に出てくる事が無い気がします。しかし、この海外の調査結果を見ると、日本企業の侵入テスト調査データは「怖くて発表出来ない」状況かも知れません。

※侵入テストをした企業の1/6が既に「攻撃を受けていた」データがありますが、日本企業でも同程度の比率であったとすると、やはり開示しない企業も多いかと思います。



要塞化されているとはずの企業ネットワークが2Stepの攻撃で68%が破られており、攻撃をはじき返して合格点を得たのはわずか7%の企業だけです。

この数字を見ると、最近攻撃者(ハッカー)がランサムウェア等を駆使して2重恐喝を企業に仕掛けて問題となっているのも、この辺りに原因がある気がしてなりません。



しかし、データとして一番衝撃だったのは「中」程度のスキルのペンテスター(ホワイトハッカー)がほとんどのケースで侵入出来た事です。

つまりこれは、本当の攻撃者(ブラックハッカー)も1ステップ(大した攻撃スキルがなくても)侵入が出来てしまう事に他なりません。

f:id:foxcafelate:20200829093938p:plain

※Positive Technologiesレポートより引用



その攻撃手法(=脆弱点)も調査レポートには載っていて、



f:id:foxcafelate:20200829094056p:plain

※Positive Technologiesレポートより引用



Webアプリケーションの脆弱性が77%ブルートフォース攻撃(DB管理認証とリモートアクセス認証)で21%であって、内部ネットワークには、これらの脆弱点を突く攻撃、つまり既知の脆弱性でほとんどのケースで侵入が出来てしまった事が浮かび上がってきます。

ゼロディ脆弱性に関しては14%しか使われてない事から、高度なスキルを持つペンテスター(ホワイトハッカー)でなくても、企業ネットワークへの侵入が可能であるというのはこのデータにも表れていそうです。



企業が求められる対策は、要は、



可及的速やかにパッチを当てる



の一言で済んでしまうのですが、レポートにはペンテスターが侵入に使った脆弱性のレベル(CVSS v3.1ベース)が載っていて、これが各企業がパッチ管理を考える上で参考になるかと思います。

f:id:foxcafelate:20200829095006p:plain

※Positive Technologiesレポートより引用

Webアプリ、パスワードポリシーフロー、Configフローについては、当然と言えば当然ですが、CVSSの緊急(Critical)と高リスク(High)のパッチを意識していれば、60~80%はカバーされる事が分かります。

一方で、脆弱なソフトウェアに関しては中リスク(Medium)までの脆弱性パッチを当てないと、ペンテスターの攻撃(=ブラックハッカーの攻撃)の多くを防げないと思われます。



パッチ管理については、全てのパッチファイルを当てるのが理想ではありますが、なかなかそうも言えない場合も多いかと思いますので、リスク軽減策として、こうしたデータを活用し、カバーしきれない脆弱点はWAFや監視ツール等の併用といった多層防御を考えていく事が必要なのかと思います。



日本で調査した場合、どういったデータになるのか気になる所ですが、テレワーク環境など、企業が守るべき情報資産は日々拡大していますので、外部のホワイトハッカーを使って自社のセキュリティ状況を定期的にテストする事も、これからは必須になってくるのではないでしょうか。





※その他、テスターの攻撃例(詳細)なども掲載されていますので、ご興味ある方は元レポートをご覧になって下さい。

    無金利ローン「CREZIT(クレジット)」の用途を考える

     

    以前株主優待に積極的にチャレンジしていた際、資金効率をいかに上げるかに腐心していた。

    というのも、株主優待の権利落ちは月1回。しかもエントリーした翌日には決済してしまうため、1ヶ月のうち、1週間程度の資金需要を満たせればよいのである。

    当時取った方法は、サラ金のノーローンを使う方法だった。

    ここは、少し条件があるものの、何度でも1週間無利息で借り入れることができ、その借り入れや返済もオンラインで行う事ができたため、非常に使い勝手が良かった。

    しかし、無利息借り入れを3年くらい続けていたら、契約を打ち切られてしまった。

    最近久しぶりにサイトにアクセスしたら、2020年6月末日で一般ローンの受付を終了してしまったらしい。

    そんな中、新たな無金利ローンを見つけた。

    それが、

    CREZIT(クレジット)

    である。

    スマホ完結型というのが、個人的には気に入らないのだが、とりあえず登録してみた。

    最初は10万円までしか借り入れができないようだが、借入と返済を繰り返すことで信用スコアが積み上がり、借入可能額が増えていく仕組みのようだ。

    株主優待での活用を考えてみることにしよう。 

    【転載】総務省ガイドラインの各項目チェック+コンサル、テレワーク環境の情報漏えいリスク可視化サービス(サイバートラスト、DNP)

    総務省ガイドラインの各項目チェック+コンサル、テレワーク環境の情報漏えいリスク可視化サービス(サイバートラスト、DNP):

    img_ogp.png

    サイバートラスト株式会社と大日本印刷株式会社(DNP)は7月22日、テレワーク環境での情報漏えいリスクの可視化を行うサービスを開始すると発表した。



    新型コロナウイルスの感染防止対策として企業等でのテレワークの導入が進む一方で、家庭やサテライトオフィスなど利用環境が多岐にわたり、サイバー攻撃やウイルス感染、盗聴・なりすまし等の被害が発生する可能性が高まり、情報端末や外部記憶媒体の紛失・盗難によるリスクが増大している。



    両社では、企業の情報漏えい対策やサイバー攻撃対策等を立案・実施してきた実績を掛け合わせ、短期間でテレワーク環境を整えたい企業等に対し、これらのリスクを可視化し対策を判断するサービスを開始する。



    同サービスでは、企業がチェックシートに回答した後に電話やメールによる質疑応答を行い、情報セキュリティのコンサルタントがリスクチェックを実施、企業の情報資産の把握とリスクの可視化、予算や状況に合わせた管理上の対策立案までを実施する。



    同サービスは下記2つの診断コースを提供する。



    1.フル診断コース

    総務省「テレワークセキュリティガイドライン」約30項目のチェック、リスクの可視化と対策の提示。

    リスクチェック結果をもとにリスクの度合いを算出し脅威の発生度合いを可視化

    価格:100万円(テレワーク用サーバ等の対象機器設置場所が1箇所の場合)

    期間:最長で2週間程度



    2.スピード診断コース

    総務書「テレワークセキュリティガイドライン」約20項目のチェック、リスクの可視化と対策の提示。

    テレワークに使う情報端末やサーバー等を明確に把握するための「資産台帳(簡易版)」の作成支援。

    価格:30万円(テレワーク用サーバー等の対象機器設置場所が1箇所の場合)

    期間:最長で1週間程度

    《高橋 潤哉( Junya Takahashi )》

    総務省「テレワークセキュリティガイドライン」バックアップ

    【転載】JPCERT/CC Eyes「ログ分析トレーニング用コンテンツの公開」

    お知らせ:JPCERT/CC Eyes「ログ分析トレーニング用コンテンツの公開」:

    Log_Analysis_Training_1-800wi.png

    JPCERT/CCは、Internet Week 2016 ~ 2019にて「インシデント対応ハンズオン」と題し、標的型攻撃を受けた際のセキュリティインシデント(以下、インシデント)調査手法に関するハンズオンを行ってきました。受講者の方から高く評価していただいていた「インシデント対応ハンズオン」ですが、公開の要望が多かったため、この度、GitHub上でコンテンツを公開することとしました。コンテンツは以下のURLから確認できます。

    Log Analysis Training

    https://jpcertcc.github.io/log-analysis-training

    本コンテンツは実際の標的型攻撃の事例をもとに作成しており、攻撃者のネットワーク侵入時にどのような痕跡がログに残るか、また、侵入の痕跡を発見するためにどのようなログ取得設定が必要か、をシナリオに沿って理解できる内容になっています。

    今回は、本コンテンツの概要についてご紹介します。

    トレーニング対象者

    本コンテンツは、以下のようなインシデント調査、分析に関わる初級者を対象としています。

    • 現場のシステム管理者
    • 組織のセキュリティ窓口担当者
    • インシデント分析に関心のある方

    得られる知識

    本コンテンツを通して、以下の知識を得ることができます。

    • 攻撃者の典型的なネットワーク侵入の手口
    • 侵入の痕跡を見つけるために必要なWindowsのログ設定
    • Windowsログの調査手順
    • ログ調査のポイント
    • Active Directoryログから攻撃の痕跡を分析する手法の基礎

    トレーニングの概要

    本コンテンツは、座学のパートとハンズオンのパートに分かれています。各パートの概要は以下の通りです。

    座学
    • 標的型攻撃に関する説明
    • 侵入後のネットワーク内部での攻撃パターンについて
    • 「インシデント調査のための攻撃ツール等の実行痕跡調査に関する報告書」の解説
    ハンズオン

    • ツールを使用したイベントログの抽出
    • Windowsクライアントのイベントログの調査
    • Proxyログの調査
    • 侵入端末の特定
    • Active Directoryログの調査

    おわりに

    このコンテンツは、Windowsイベントログの調査手法を学ぶことがメインとなります。Windowsのデフォルト設定では、イベントログにインシデント調査に活用できる情報があまり保存されないことから、イベントログはインシデント調査時に軽視されがちです。しかし、適切な設定がされていれば、重要な情報を記録することが可能です。このコンテンツを通して、Windowsイベントログ分析の重要性を理解してもらえればと思います。質問や要望などがありましたら、GitHubでIssueを作成していただきますようお願いします。

    インシデントレスポンスグループ 田中 信太郎

    田中 信太郎(Shintaro Tanaka)

    田中 信太郎(Shintaro Tanaka)

    2016年9月より現職。主に、インシデントのコーディネーション、マルウエア分析に従事。

    バックアップ