【転載】2020年の全世界漏えいデータは360億件


 2020年の全世界漏えいデータは360億件

2020年はデータ侵害という意味では史上最悪な年になる様です。Risk Based SecurityのQ3 Quick viewレポートでは、侵害されたレコードの合計が360億件になったと発表されました。

www.infosecurity-magazine.com

Risk Based Securityによると、公に報告されたデータ侵害の数は2020年の第3四半期に減少しましたが、世界中でさらに数十億のレコードが公開され、今年の合計は360億になりました。

セキュリティベンダーの2020年第3四半期のデータ侵害QuickViewレポートは、公開されているレポート、FOIリクエスト、ニュースレポートの人間による自動分析から作成されました。

2020年は、第3四半期に追加の83億件の記録が公開される前でさえ、これまでに記録された中で最悪の年であると主張しました。ただし、これらの数値には、盗まれたデータだけでなく、情報を危険にさらす可能性があるが悪意のある攻撃者が情報を入手することにはならないクラウドベースの設定ミスも含まれます。

今年の最初の3四半期の情報漏えい報告の数は、前年比51%減の2953件でした。

ベンダーのエグゼクティブバイスプレジデントであるIngaGoddijnは、これはランサムウェア攻撃の増加によって説明できると主張しました。これらは最初の3四半期に報告された違反の21%を占めましたが、さらに多くが記録されていない可能性があります

(Infor Security Magazine記事より引用)※機械翻訳

 

 

元ソース(Risk Based Security)

 

キタきつねの所感

360億件のレコード(個人情報)が漏えい。凄い数字です。2020年の世界人口は77.9億と言われてますので、1人4.6回はデータが漏えいした計算になります。

そして、記事でも書かれていますが、この数字は氷山の一角です。この調査データにも書かれていますが、今年はランサム被害が多く、ランサムに関して言える事は、もしランサムオペレータ―(ハッカー)に対して身代金(ランサム)を払っているとしたら、この調査結果に、その数字には”載らない”可能性が高くなります。

今年は、報じられている事件でも結構な企業/組織がランサムを払った事が記事に出てきたりしていますので、(そうした所はランサム被害を受けた事実は認めても、影響範囲=漏えい件数をリリースに書いてない所が、日本企業においても多く見られます)

 

2020年はまだ終わっていませんのでまだ早いのですが、セキュリティ業界での今年のベスト10を振り返るとすると、確実にランサムビジネス市場の拡大(Ransom as a service)上位にランクインしてくると思います。

 

データの中身を見ると、データ漏えい事件(の報告)件数は前年比49%とかなり減っています。しかし全体の漏えい件数が伸びている事を考えると、大型の流出事件が多かった事を示唆しています。

また、ランサムに関しては、Q3のデータ(83億件)の21%を占めると書かれていますので、約17億件が漏えいした(少なくてもと書くべきでしょうが)事が分かります。

また、日本ではまだこの分野の大型の事件は発生していませんが、特に海外では「ヘルスケア」セクターが大きな被害を受けており、11.5%を占めます。この理由として考えられるのが、攻撃側が、新型コロナウィルスワクチンなどの研究・治験データを狙った、そして機微な患者データを狙った事が考えられます。ランサム(身代金)を支払ってくれる可能性が高い所が集中的に狙われていると言い換えても良いかも知れません。

 

そして、忘れてはいけないのが、「クラウドの設定ミス」です。オンプレからクラウドにデータが移行していくのは、当然の流れかと思いますが、そこでセキュリティ管理が甘くて良いという訳はありません。クラウド環境ミスによって、そこで管理しているサービスの全てのデータが漏えいしてしまうケースも多いのです。

自社の環境外であるクラウドに、機微なデータを大量に預ける事を考えれば、オンプレでの管理体制以上のセキュリティ体制(多層防御)を構築する必要がある事が忘れられているのではないか、そんな風にもこの調査結果から感じました。

 

決して日本でも対岸の火事ではなく、今年データ侵害が報じられた国内著名企業が、意外に漏えい件数を「発表してない」事からも、結構な被害が出ていたと考えて、自社のセキュリティ体制、多層防御を、今一度見直す事が重要なのではないでしょうか。

【転載】フォートブラック陸軍基地のTwitterハッキング騒動

 


フォートブラック陸軍基地のTwitterハッキング騒動

米国最大規模の米軍基地のTwitterアカウントがハッキング・・・脇が甘いのはトランプ大統領だけでなかったのかと思ったのですが、どうやら意外な結末だった様です。


キタきつねの所感

米軍(フォートブラッグの関係者のフォロワーの方々はかなり驚いた事かと思います。突然、平日の午後4時半頃に不適切な投稿へのリプライが、軍のアカウントから発信され、すぐにアカウント調査の為にアカウントが閉鎖されたのですから。

フートブラッグ基地は米国ノースカロライナ州にある米国陸軍基地です。

フォートブラッグ - Wikipedia

 

当該の投稿を探してみると・・・海外ニュースではかなり話題になっていて、マスキングがされてないものも上がっていましたが、かろうじて大丈夫そうな所から投稿を拾ってみますと・・・

f:id:foxcafelate:20201025095013p:plain

 

軍基地の公式アカウントから出るにしては「明らかに」不適切な、Twitterで共有された写真投稿に対するコメントが投稿されています。

※現在当該のツイートは削除され、基地のアカウントが閉鎖されたままです。

 

しかし閉鎖前のコメントをキャプチャーしている人がいて(※下記ツイートだと右下の投稿)ここを見ると、基地側は”ハッキングされた”と明言しています。

fort bragg account manager got horny on the main 😂😂 “hacked” pic.twitter.com/xY6PUw7Pqs

— mike taddow (@taddmike) 2020年10月21日

 

こうした情報を元に、当初は「ハッキング」されたとした記事が多数出ており、当初は(トランプ大統領と同じく)パスワードを推測した第三者による攻撃と見れていました。

 

しかし、翌日の木曜日には調査が進展した結果としてハッキングだったという軍関係者の発表”内容が修正”されています。


木曜日、公式調査の開始後、民間人の従業員がツイートは彼のものであると明らかにした-結局のところ、事件はハッキングではなかったと言った。その従業員は、自分が自分の個人アカウントからツイートしていると誤って信じていたと当局者は語った。

「適切な行動が進行中である」とコマンドスポークスマンのジョー・ブッチーノ大佐は声明の中で述べた。「フォートブラッグのアカウントは、数日中に復元されます。」

(Washington Post記事より引用)※機械翻訳

 

基地の公式Twitterアカウントを管理する民間の従業員(アカウント管理者)が、個人のアカウントからの投稿をしたつもりで、軍のアカウントから投稿してしまった、というオチの様です。

軍(基地)の信用度への影響もさることながら、当該”従業員”の勤務時間は分かりませんが、不適切な投稿が16時半頃の投稿だったとされている事から、勤務時間内の「私的な行動」についても、今後責任が厳しく問われるのかと思います。

 

ここから先は想像になりますが、個人アカウントと公式アカウントを「間違える」という事は、普段から当該従業員が「同じ端末」からTwitter投稿をしていたと推測されます。

軍でBYODが認められている可能性はあまり考えられないので、おそらく軍用の端末(PCかスマホ)だったのかと思うのですが、だとすれば、支給端末を使っての「SNSの私的利用」をしていた事になります。この辺りに、他の企業/組織の方への気づきがある気がします。

 

 

余談ですが、Twitter上では、

 

「Horny」(スケベ)な奴にはTwitterアカウントを任せるべきではない

 

と言った「気づき」が、(正確に言うとそうした投稿ばかりが)ツイートされていました。正論かと思います。

 

【ハリウッドスラング003】若者は「horny」な人ばかり? | Hollywood News - ハリウッドニュース

AWSで障害--多数のサービスに影響(転載)~クラウドサービス使うときは、年1回程度の大規模障害を受け入れる覚悟が必要~


AWSで障害--多数のサービスに影響

 Amazon Web Services(AWS)のデータセンターで米国時間11月25日、大規模な障害が発生している。これにより、同社のサービスの稼働が不安定になり、インターネットで提供されている多数のオンラインサービスに大きな影響が及んでいる。

 影響を受けているその他のサービスには、スマートデバイスや、暗号資産(仮想通貨)ポータル(トランザクション処理で障害が発生している)、ストリーミングおよびポッドキャストサービス(ユーザーによるアカウントへのアクセスが制限されている)などがある。

 また、DownDetectorのページで問題が報告されたサイトには、「Ring」「Prime Music」「Pokemon Go」「Roku」「MeetUp.com」「League of Legends」「Anchestry.com」「Chime」などのサービスがあった。

 同社のステータスページによると、今回の障害はリアルタイムで大容量のデータを集積、分析するために用いられる「AWS Kinesis」を中心に発生しているという。

 この障害による影響で、ステータスページの上部に表示される小さなメッセージ領域を除き、ページ自体の更新もままならないと同社のエンジニアらは述べている。

 現在のところ、大半の問題は主にAWSの北米のリージョンに限定されているようだ。AWSによると、北米ではKinesisのほか、下記のAWSのサービスなどに影響がみられる。また、アジア太平洋、南米、欧州、アフリカ、中東のリージョンでは現在、「Amazon CloudFront」のみに問題があるようだ。

  • ACM
  • Amplify Console
  • AppStream2
  • AppSync
  • Athena
  • AutoScaling
  • Batch
  • CloudFormation
  • CloudTrail
  • CloudWatch
  • Cognito
  • Connect
  • DynamoDB
  • EventBridge
  • IoT Services
  • Lambda
  • LEX
  • Managed Blockchain
  • Marketplace
  • Personalize
  • Rekognition
  • SageMaker
  • Workspaces

 AWSは、米国東部(US-EAST-1)リージョンにおけるKinesis Data Streams APIに影響する問題のほか、影響を受けるすべてのサービスの全面的な復旧に向け作業を続けているなどとしている。

新潟ご当地グルメの通販ショップに不正アクセス(転載)~想定損害賠償額は1,200万円程度か~



新潟ご当地グルメの通販ショップに不正アクセス

新潟県発祥のファーストフードである「イタリアン」を展開するみかづきは、同社が運営するオンラインショップが不正アクセスを受け、顧客情報があ流出した可能性があることを明らかにした。

同社によると、「みかづきオンラインショップ」に脆弱性があり、外部より不正アクセスを受けて顧客が利用したクレジットカード情報が流出し、一部が不正に利用された可能性があることが判明したという。

流出した可能性があるのは、2019年9月30日から2020年5月25日にかけて同サイトでクレジットカード決済を利用した顧客最大464人分の個人情報で、クレジットカードの名義、番号、有効期限、セキュリティコードが含まれる。

6月29日にクレジットカード会社より情報流出の可能性について指摘があり、問題が発覚した。外部事業者による調査を実施し、9月30日に完了。10月5日に警察へ被害を申告、同月12日に個人情報保護委員会へ報告した。

個人情報が流出した可能性のある顧客に対しては、11月25日よりメールで経緯を報告し、謝罪するとしており、心当たりのない請求が行われていないか確認するよう求める。

6月29日より停止している同サイトについては、セキュリティ対策や監視体制を強化し、再開する予定。

「PPAPは無意味」中央官庁でパスワード付zipファイル送信廃止議論(転載)


「PPAPは無意味」中央官庁でパスワード付zipファイル送信廃止議論:


平井卓也デジタル改革担当相は2020年11月17日に開かれた定例会見にて、パスワード付きZIPファイルの送信ルールを廃止する方向で検討を進めると明らかにしました。

問題となっているのは「PPAP」と呼ばれるセキュリティ対策ルールで、プライバシーマークが求める暗号化ルールに適合するために広まったとされる手法です。具体的には、第1段階として送信したいファイルをZIP形式に暗号化したのち、解凍パスワードを別送するというものです。

平井デジタル改革担当相は定例会見にて、このPPAP方式について「セキュリティレベルを担保するための暗号化ではない」と発表。政府の意見募集サービス「デジタル改革アイデアボックス」からも批判する指摘が相次ぎ、河野太郎行政・規制改革担当相らとの対話の末に検討が決定したとしています。

PPAP採用国は先進国で日本だけ?なぜこのようなことになったのか

PPAP方式は日本政府だけでなく、日本国内の民間企業においても広く利用されている方式です。事務担当者であれば、一度は見たことのある人も多いでしょう。

そんなPPAP方式ですが、実は諸外国に目を向けますと、ビジネスレベルで導入されているケースは日本だけで、少なくとも先進各国はPPAP方式など導入していないのが実情です。当然セキュリティ的に無意味との判断で、具体的な理由としては「攻撃者が仮にZIPファイルが入手できるなら、同じ通信方式で送るパスワードも流出している」などの批判が存在します。

では、なぜPPAP方式が日本国内で広まったか。これは、ウェブサービスの安全性を証明するために多くの企業が取得している「プライバシーマーク」が影響していると言われています。プライバシーマークはその監査基準の一つとして通信ファイルの暗号化を求めていますが、外見上はこれに適合できる、PPAPが広まったものと見られています。

“Pマーク”認証団体が見解 パスワード付きファイルのメール送信は「以前から推奨していない」(転載)~JIPDECもPPAP撲滅に向けて前進か!?~

  一般財団法人日本情報経済社会推進協会(JIPDEC)は11月18日、パスワード付きファイルのメール送信について、誤送信した場合に情報の漏えいを防げないなどとして「以前から推奨していない」とする公式見解を発表した。

プレスリリース

 パスワード付きファイルをメールに添付する場合、ファイルとパスワードをそれぞれ別メールで送る場合がある。こうした慣習を「Password付きzipファイルを送ります、Passwordを送ります、An号化(暗号化)Protocol(プロトコル)」の頭文字を短縮し、セキュリティの世界ではPPAPと揶揄(やゆ)することが多い。

 17日に平井卓也デジタル改革担当相が、霞が関でいわゆるPPAPを廃止する方針を示したことを受け、JIPDECに「zipファイルがダメなのか」などの問い合わせが複数寄せられたという。

 JIPDECは事業者の個人情報の取り扱い体制について評価・認証する「プライバシーマーク制度」(Pマーク制度)を運営する団体。JIPDECは通商産業省(現経済産業省)の指導を受け、1998年からPマーク制度を創設した。

「PPAPの総本山ではなかったのか?」ネットの声にJIPDECが回答

 JIPDECの公式発表を受け、ネット上では歓迎する声がある一方、「パスワード付きzip業界の総本山だと思われていたプライバシーマークがそんなことは推奨してないと熱い手のひら返し…!」と驚きの声も上がっている。

 こうした反応について、JIPDECはITmedia NEWS編集部の取材に「ネット上でさまざまなご意見があることは存じている」としつつ、「個人情報を含むファイルをパスワード設定により暗号化してメールに添付し、パスワードを別メールで送信することは以前から推奨していない」と明確に否定した。

 他方、ネット上の反応を見ると、PPAPが社内ルールになっている企業もあるようだ。こうした企業に対する取り組みについて「プライバシーマーク制度は、事業者の自主的な取り組みを促し、状況や場面に合わせて適切な対策を講じていただくことを求めており、その運用状況を確認するものだ」と制度趣旨を説明した上で「特定の手法や手段を推奨、指導することはない」とコメント。具体的な方法は示さなかった。

 JIPDECは「(プライバシーマークの)付与事業者には、個人情報を含むファイルなどをメールで送信する場合は、送信先や取り扱う情報などを踏まえ、リスク分析を行った上で必要かつ適切な安全管理措置を講じていただく事を今後も継続してお伝えしていく」とコメントした。

【転載】Avaddon (まとめ)

f:id:tanigawa:20200928094953p:plain
Avaddon (まとめ):

【要点】

◎RaaSサービスで使用される Ransomware。盗み出したファイルを利用した二重恐喝も開始した。開発者はロシア人の可能性が高い

【ニュース】

◆Phorpiexボットネット用いた攻撃が再び急増 - 6月マルウェアランキング (マイナビニュース, 2020/07/14 10:28)
https://news.biglobe.ne.jp/it/0714/mnn_200714_2411409590.html
https://malware-log.hatenablog.com/entry/2020/07/14/000000_2

◆Avaddon ransomware launches data leak site to extort victims (BleepingComputer, 2020/08/10 14:40)
[Avaddonランサムウェア、被害者を恐喝するデータ流出サイトを立ち上げる]
https://www.bleepingcomputer.com/news/security/avaddon-ransomware-launches-data-leak-site-to-extort-victims/
https://malware-log.hatenablog.com/entry/2020/08/10/000000

◆This Ransomware Comes With Its Own Affiliate Program (Cointelegraph, 2020/08/13)

Crypto crime joins the gig economy.
[暗号犯罪がギグ経済に加わる]

https://cointelegraph.com/news/this-ransomware-comes-with-its-own-affiliate-program
https://malware-log.hatenablog.com/entry/2020/08/13/000000_8

◆The Week in Ransomware - August 14th 2020 - Crime made easy (BleepingComputer, 2020/08/14 11:42)
https://www.bleepingcomputer.com/news/security/the-week-in-ransomware-august-14th-2020-crime-made-easy/
https://malware-log.hatenablog.com/entry/2020/08/14/000000_8

◆ESET、「Avaddon」ランサムウェアの解析レポートを公開 (ASCII.jp, 2020/10/27 11:00)
https://ascii.jp/elem/000/004/031/4031777/
https://malware-log.hatenablog.com/entry/2020/10/27/000000_1


【ブログ】

◆2020年上半期ランサムウェア動向拾遺:「Avaddon」、新たな回避手法、業界別被害事例、など (Trendmicro, 2020/09/11)
https://blog.trendmicro.co.jp/archives/26021
https://malware-log.hatenablog.com/entry/2020/09/11/000000_12


【資料】

◆Avaddon ランサムウェアの解析 (ESET, 2020/10/27)
https://eset-info.canon-its.jp/files/user/malware_info/images/threat/201027/Malware_Report_Avaddon_202010.pdf


【図表】

f:id:tanigawa:20200829153607j:plain
f:id:tanigawa:20200829153620j:plain
出典: https://www.bleepingcomputer.com/news/security/avaddon-ransomware-launches-data-leak-site-to-extort-victims/


【脅迫サイト】

  • avaddonbotrxmuyl.onion


【関連まとめ記事】

全体まとめ
 ◆マルウェア / Malware (まとめ)

◆ランサムウェア (まとめ)
https://malware-log.hatenablog.com/entry/Ransomware

「サイバーセキュリティ対策マネジメントガイドラインVer2.0」公開(転載)

「サイバーセキュリティ対策マネジメントガイドラインVer2.0」公開|JASA | トレンドマイクロ is702

 特定非営利活動法人日本セキュリティ監査協会(JASA)は11月17日、専門監査人ワークグループが作成した「サイバーセキュリティ対策マネジメントガイドラインVer2.0」を公開しました。


「サイバーセキュリティ対策マネジメントガイドライン」は、情報セキュリティマネジメントシステム(ISMS:Information Security Management System)の標準を規定したJIS Q 27001:2014を実装している組織に対して、要求される事項や管理対策のガイドラインを示すものです。


Ver2.0は、2018年1月18日に発行されたVer1.0の改訂版に当たります。Ver1.0発行以降、さらに深刻になったサイバーセキュリティを巡る状況に対応し、組織におけるセキュリティ管理基準を見直した内容となっています。また、ISO/IEC27009に完全に準拠するのではなく、JIS Q 27001およびJIS Q 27002を追補する形にすることで使いやすさも重視したものとなっています。


主な内容としては、用語や定義の説明に加え、JIS Q 27001について、体制の整備・文書化・リスク評価・コミュニケーションといった項目、JIS Q 27002について、CSIRT機能の確立・事業インパクトの緩和といったサイバーセキュリティ管理策が追記されています。

組織を標的としたサイバー攻撃は日々発生しており、規模や業種にかかわらず被害に遭う可能性があります。自組織の対策に漏れや抜けが無いか、本ガイドラインを参考に見直すと良いでしょう。

バックアップ