NHK子会社社員を懲戒解雇 2800万円分チケット換金、私的流用
仕事で使うと装って旅行会社から新幹線のチケット約2,800万円分をだまし取り、現金化して私的に使ったとして、NHKの子会社NHKグローバルメディアサービスは2021年12月10日、40代の男性社員を懲戒解雇にし、発表した。
同社によると、社員は2021年7月~10月、取引先プロダクションの架空の出張名目で85件約2800万円分のチケットを旅行会社から受け取り、JRの窓口で払い戻して、自身のローンの返済などにあてていたという。代金は未払いで、グローバル社が弁済した。
2017年から今年7月までに同様の方法で購入、現金化したチケットは計約1億5千万円分にのぼり、代金は新たなチケットの払い戻しなどで支払ってきたといい、今回の未払い分も「いずれは返すつもりだった」と話しているという。
同社は告発などについて警察と相談しているといい「あるまじき行為であり、深くおわびいたします。再発防止に向けて全社的な取り組みを徹底してまいります」とのコメントを出した。
「スイーツパラダイスの公式通販サイトを利用した後、クレジットカードが不正利用された」——そんな報告がTwitter上で相次いでいる。スイーツバイキングチェーン店「スイーツパラダイス」を運営する井上商事は報告を受け、2021年12月9日に公式通販サイトを一時閉鎖。取材に対し「事態は認識しており、原因がどこにあるのか確認中」としている。
Twitterでは9日午後8時ごろ、11月下旬に開催されたオンラインゲーム「原神」のコラボカフェイベントなどの際に同サイトでクレジットカード決済を行った人々から、上記のような報告が上がり始めた。海外のショッピングサイトやAppleなどの名義で身に覚えのない引き落としがあったという。
井上商事に問い合わせたところ「Twitterでの報告を見て気付き、被害が拡大しないよう公式通販サイトをメンテナンス中とした」と説明。「問題の原因が当社にあるのか、別のところにあるかを含めて現在調査中」としている。
Sylvain Hajriさんから、インターポール(国際刑事警察機構)が提供する、盗まれた美術品を特定するための新しいアプリを教えていただきました。このアプリは、データベースにアクセスして、種類、名前、アーティスト、国別に検索することができます。作品の写真を比較した後、作品そのものを通報することもできます。もう一つの機能は、他のオブジェクトやサイトにタグを付けることで、例えば破壊行為に対してタグを付けることができます。ご興味のある方は、アプリの紹介ビデオをご覧いただくか、AndroidまたはiOSでダウンロードしてください。
小技: Craig Silverman Newsletter
クレイグ・シルバーマンがニュースレターを再開することになりました。第1号では、Facebookについての長文のパートがあります。次にosintmeのブログ記事があり、続いてAmazonがウェブストアで自社製品を競合他社よりも押し出していることが紹介されています。そして、最後の項目は再びFacebookについてで、詐欺師たちに素晴らしいプラットフォームを提供しているというものです。次号がどんな内容になるのか楽しみですが、すでに素晴らしいスタートを切っていますね。
サイト: 360Cities
Ritu Gillは絶好調で、自身のTwitterアカウントで素晴らしいリンクを共有し続けています。今回は、360°の画像や動画を集めたサイト「360cities」です。このサイトには、さまざまな視点、豊富なキュレーションセット、そしてギガピクセルギャラリーなどの優れた機能があります。ギガピクセル・ギャラリーといえば、こちらのサイトもお忘れなく。
小技: Browser Privacy
Ritu Gillがシェアしたもう一つのリンク、今回はブラウザのプライバシーについてです。Braveは、スタート画面の肥大化や暗号の自動入力問題など、ここ2、3年でニュースになった話題にもかかわらず、高い評価を得ています。また、Braveにはたくさんの設定項目があるという問題がありますが、これは非常にタイトなもので、真にプライベートなオプションとなりますし、オープンソースです。Chrome、Safari、Edgeなどの標準的なブラウザが苦手な方も、この概要を読めば、他のブラウザやあなたのプライバシーの取り扱いについて十分な情報が得られるでしょう。
小技: Google Mobile Friendly Test
TOCPの10分Tipsのひとつに、LinkedInのプロフィールを匿名で見る方法がありました。また、Googleのモバイルフレンドリーテストが少し見直されたようです。スクリーンショットやHTMLコードを見るには、まず、フレンドリー度の評価の下にあるview tested pageをクリックします。また、サーバーから送られてきたレスポンスヘッダーなど、技術的な情報も掲載されています。
サイト: AllYouCanRead
Nico 'Dutch OSINT Guy' Dekens氏は先日、「AllYouCanRead.com」というとてもクールなサイトを紹介してくれました。このサイトには、新聞、雑誌のほか、クラシファイド、ジョブ、ソーシャルネットワークなどのサイトへのリンクが多数掲載されています。外国で何か情報源を探す必要があるなら、絶対にここを利用すべきだと思います。この素晴らしいサイトに感謝します。
メディア: Dark Web Queries for Shodan
Sinwindieさんが、Shodanを使ってTorサーバーの匿名性を解除するための基本的なテクニックを紹介する動画をアップしました。このビデオでは、オニオンリンクの検索方法、ファビコンを使ったサーバーの検索方法、サーバーからのリクエストとレスポンスのヘッダーがどのようにマッチするかを特定する方法などを紹介しています。これらの基本的なテクニックは、Torサイトの所有者がサーバーを正しく設定していない場合に結果を出すことができ、実際のIPアドレスを見つけることができます。
米国CIS(Center for Internet Security)が発行しているCIS Controls(シーアイエス コントロール)は、あらゆる規模の組織が活用できる、サイバーセキュリティ対策の具体的なガイドラインです。IT環境の変化や攻撃の高度化に伴い、クラウドコンピューティングやモビリティ、サプライチェーン、テレワーク環境などに対する、新しい攻撃手法への対応を加えたバージョン8が2021年5月18日にリリースされました。
このCIS Controls バージョン8の日本語版が米国CISのWebサイトからダウンロードできます。この記事では、CIS Controlsのコンセプトと活用方法についてご紹介します。
CIS Controls Version 8(日本語版)のダウンロード
CIS Controlsとは何か
CIS Controlsは、米国のセキュリティ非営利団体であるCISが、企業がサイバーセキュリティ対策として取り組むべきことをまとめたガイドラインです。もともとは2008年にアメリカ国防総省(DoD)とアメリカ国家安全保障局(NSA)が外部脅威による情報漏洩を防ぐガイドラインとして策定を開始したのが始まりです。その後、SANS InstituteやCCSのもとで改訂を重ね、2015年からはCISが管理しています。
CISでは、CIS Controls以外にも様々なフレームワークやツールを提供しています。その中でもサイバーセキュリティ対策に取り組む企業が最初に参照すべきリソースがCIS Controlsです。CIS Controlsは、サイバー攻撃対策に焦点を当て、具体的に何をするべきかを、あらゆる規模の組織が利用できるように書かれています。現状の自社対策レベルを評価し、不足しているところや強化すべき箇所を整理できます。
具体的な実装のベストプラクティスについてはCISの他のドキュメントが参考になります。例えばCIS Benchmarks(ベンチマーク)はOSやミドルウエアの安全な設定に関するベストプラクティス集です。日々、CISとコミュニティがレビューを重ねているので対象となるソフトウエアも増加し、最新バージョンに適合するように更新されています。
CIS Controlsの構成と主なコンセプト
CIS Controlsには、「18のコントロール」と「153の具体的なセーフガード(保護手段)」が記載されています。ITの複雑化と攻撃手法の高度化に伴い、セキュリティソリューションも複雑化しています。CIS Controlsでは、あらゆる規模の組織が適切な優先順位でセキュリティ対策を実施できるよう、対象となる企業を3つのグループに分けています。
最初のグループ(IG1)は、IT資産や人員を保護するためのITおよび、サイバーセキュリティのリソースが限られている中小企業です。次のグループ(IG2)は、システムが取り扱うデータの機密性やサービスのクリティカル度はIG1に属する企業群より高くなり、自社内にITインフラの運用管理とITセキュリティを担当する部署を持つ大企業が該当します。最後のグループ(IG3)ではデータの機密性やサービスのクリティカル度は非常に高くなり、高度なセキュリティ専門部門が必要となります。IG3は公的サービスを提供する企業や業界規制遵守が求められる企業が該当します。
※ IG(Implementation Group):実装グループ
18のコントロールにある「153の具体的なセーフガード(保護手段)」には、IG1からIG3のそれぞれのグループにおいて、その対策が推奨かどうか示されています。企業はこのマトリクスを利用することで、自社のセキュリティ対策が必要な水準に達しているかどうか、現状の対策レベルをアセスメントできます。そして不十分なセキュリティ対策については、対応の優先順位を決めて計画立案できるようになります。
CIS Controlsから感じ取った3つのメッセージ
個々のコントロールと具体的なセーフガード(保護手段)については資料をご覧いただくとして、ここではCIS Controlsのメッセージを3つご紹介します。
平時のIT衛生管理(ハイジーン)の重要性
まず、最初に挙げるのはサイバーセキュリティ対策における「平時の衛生管理の重要性」です。サイバーセキュリティ対策において「平時の衛生管理」とは、「(PCなどの)アセットの把握と管理」、「(利用している)ソフトウエアの把握と管理」、「(保持している)データの把握と管理」、「(ソフトウエアやサービスの)安全な設定」、「アカウントの把握と管理」、「アクセス権の把握と管理」などです。このような当たり前の基本的なことをシッカリと着実に実施することが重要です。
先ほどの実装グループのうち、IG1は「基本的なサイバーハイジーン」であり、「すべての組織が適用すべきサイバー防御の基本的な保護手段のセット」と定義されています。「ハイジーン(Hygiene)」とは「衛生」という意味の英単語です。コロナ禍の感染予防策として「手洗い・うがい」、「マスク着用」、「ソーシャル・ディスタンス」などの平時の衛生管理をキチンと行うことの重要性を多くの方が認識したと思います。サイバーセキュリティ対策においても平時からの衛生管理が重要です。
CISの調査によると、IG1の対策を実装することで、マルウェア、ランサムウェア、Webアプリケーションハッキング、内部特権者の不正と過失、標的型攻撃などの主要なサイバーセキュリティリスクの70%以上を回避できるとされています。詳細については以下のレポートを参照ください。
CIS Introduces v2.0 of the CIS Community Defense Model
サイバーセキュリティ対策の自動化
次に挙げるのは、サイバーセキュリティ対策の「自動化」です。CIS Controlsでは各コントロールの「手順と対策」において、サイバーセキュリティ対策の実装と自動化を可能にするプロセスとテクノロジーについて説明が記載されています。
ここでCIS Controlsが意図している「自動化」はオートメーションというより、ツールなどを使うことで正確な情報を収集し、再現可能性を担保することを意識しているようです。先に記載した平時のIT衛生管理で必要な事(PC、ソフトウエア、アカウント、アクセス権の把握と管理)を着実に繰り返し実施していくためには何らかの自動化ツールが不可欠でしょう。
最新の話題と安定性のバランス
最後に挙げるのは「最新の話題と安定性のバランス」です。IT環境の複雑化と攻撃手法の高度化に伴い、セキュリティソリューションも複雑化してきています。CIS Controlsでは新しい防御技術に目を向ける一方で、あまりに複雑で新しすぎるソリューションについては「真新しいおもちゃ」として除外すると宣言しています。こうした「最新と安定のバランス」がCIS Controlsが支持される理由の1つではないかと考えます。
サイバーセキュリティ対策に関する最新の話題として、「ゼロトラストセキュリティ」に関心が集まっています。バージョン8では「ゼロトラスト」という明確な表現は出てきませんがクラウドの活用やリモートワークを意識した内容になっています。バージョン6(またはそれ以前)のCIS Controlsを使用している場合は、可能な限り早くバージョン8への移行計画を開始することが推奨されています。クラウド活用が進んでいる今こそ、スタンダードをバージョン8に切り替えるべきではないかと考えます。
ー2021/12/12追記ー
■CIS Controls v8で見直されたコンセプトの変更
①「リスク管理」ではなく「情報保護」
v7.1までは「Sub Controls」という表現が使われていたが、v8では「Safeguards」という表現に変わっている。Safeguardsとすることで、より情報を保護する意味合いが強調され、リスクをコントロールするための管理策のままでは、情報保護の実効性が得られないと考えたのではと推察できる。これまでは、管理策としてこういう活動が必要だという記載であったのを「どのように物事を管理していくのか」と踏み込んだ記述になっているのもガイドとしての価値が向上したと考えられる。
②管理策を統合し、抽象度を上げて保護策のカテゴリ数や項目数を減少
カテゴリ数は20から18に減少している。より重要なものが分かるように、また、使いやすいように見直された。
保護策の項目数も171→153に減少、要求事項が少なくなったというより、冗長な記述となっていた個所は統合されており、やや抽象的な表現となっている。例えば、v7.1の「特権IDのログイン失敗ログの検知」や「特権アカウントの追加の通知」という項目は、v8ではまとめて「詳細なログを集める」のような記載となっている。そのため、活用にあたっては、保護策の実施や適用状況の評価に際して自ら評価環境を理解するとともにリスクを特定する必要がある。抽象度が高い保護策は、組織内で行われるべき具体的な対策を自ら考え、その妥当性を評価することになる。この点は、これまでより正しく活用するための難易度を上げたとも考えられる。
③Basic ControlsからBasic Cyber Hygieneに
v7.1ではトップレベルの#1から#6をBasic Controls(基礎的対策)とし、基礎的対策を行うことがサイバー攻撃による侵害のリスクを85%低減されるとされていた。
v8ではBasic Cyber Hygiene(サイバーセキュリティ確保のための基本となる事前対策)として、18のカテゴリそれぞれに、どんな組織も必ず、先行して取り組むべきという推奨保護策が記述されている。53と限定的でより簡単に組織が具体的なセキュリティ対策のための活動に取り組みやすくなっている。
④ネットワークの内と外を区別しない
ゼロトラストアーキテクチャでも強調されていることではあるが、CIS Controls v8においても、インターネットと社内LANを区別する境界防御の表現はなくし、"Network Monitoring and Defense"に変更されている
⑤単なる自動化では不十分、保護策が連携され機能している状態が必要
CIS Controls v8では、2017年に米調査会社フォレスター・リサーチ社により再定義されたZero Trust extended(ZTX)の7つの項目のうち、「Automation and Orchestration(自動化と調和)」を発展させ、Align(連携)という概念が強調されている。CIS Controlsでは、ツールを使ってシステム的にリスク対応策を実装し、常時繰り返し可能、かつ、抜け漏れなくリアルタイムにサイバー攻撃から組織を保護することを推奨してきた。自動化と調和を強調した保護策連携について、最新の事例を挙げると、ネットワーク上のサンドボックスのアラート情報をAPI連携してエンドポイントの管理センターに送り、端末の状態を修復するところまでを自動対応できるように構築する等のテクニックがある。
Top 200 Most Common Password List 2021
NordPass版の”最悪なパスワード2021”が公開されました。従来のグローバル統計に加えて、今年は国別データも開示されたので、日本人のよく使う”パスワード”について分析してみます。
今回はNordPassの調査データですが、例年ですと12月にSplashDataが”最悪なパスワード”として同様な調査データを公開していますが、正直な話、多少の違いはあれ、上位ランキングに掲載される脆弱なパスワードは大きくは変わらない事を確認する行事と化しています。
(おそらく今回の調査結果から登場した)日本のデータを見ていくと、過去のグローバル統計データには無い、日本人ならではと思える特徴が見えてきました。
NordPassのサイトでは、各国を選択し上位200位までのパスワードリストを見る事ができます。
グローバルデータと同じ様に、「数字」や「英語辞書単語」「キーボード配列」は多い印象です。
おそらく10年以上、こうした脆弱なパスワードは使ってはいけないと、こうした調査データを元に、ユーザーは何度もセキュリティ教育を受けてきたと思うのですが、結論から言えば、ユーザーは自身の脆弱なパスワードを「変える気が無い」事を証明し続けています。
その全てが無駄という訳ではありませんが、システム管理者(セキュリティ担当)は、ユーザーが「脆弱な状態を好む」という事をしっかりと頭に置き、過度にユーザーのセキュリティ意識(IDパスワード)に期待せずに、多要素認証など、多層防御に軸足を移す事が必要なのかと思います。
