Sec道後2022振り返り day1

サイバーセキュリティシンポジウム道後2022に行ってきた。

直近2年間はオンライン開催だったが、オンラインだと”ながら見”してしまい、正直集中できないため、個人的にカンファレンスはオフライン推しである。

住んでいる場所とは異なる環境で、様々な話を聞くのは良いものである。

異なる場所への移動手段が飛行機になると、なおさら良い。

そんなわけで、講演メモ。

1.総務省におけるサイバーセキュリティ政策

いきなり出鼻をくじかれた。

何がくじかれたかというと、後援者の都合でビデオセミナーになったからである。

オンラインでのライブではなく、予め収録された動画を会場で視聴するという、ただただガッカリな基調講演だった。

メモを取る気も起きず、モチベーションダダ下がりで終了。

2.サイバー犯罪の現状と対策

警察庁の方のお話。

フィッシングやランサムウエア等の一般的な情勢の話だったが、1点聞いていて驚いたのは、例えばemotetに感染した場合、セキュリティ担当やインシデント対応チームが存在しないような小さな組織の場合、メールアドレスのパスワードを変更して対応完了になってしまうらしい。

冷静に考えると、こういったセキュリティカンファレンスに出てくるような人はEmotetの動きや、最低限Emocheckを実施する等は当たり前の認識だが、我々の当たり前と、一般のITユーザーの当たり前は待ったく異なることを改めて考えさせられた。

また、警察の体制の話もあり、サイバー警察局とサイバー特別捜査隊が20022年に設置されたらしく、その体制の概要を聞くことができた。

サイバー特別捜査隊は、端的に言うとこれまで都道府県警察でバラバラに動いていた重大サイバー事案について、一元的に操作を行う部隊になるらしい。

これまで一元化して捜査する組織が警察に存在しなかったことがある意味信じられないが、今後国をまたいだ国際捜査等にも日本の存在感が増えていくことを期待したい。

セキュリティ啓蒙ビデオと言えば、IPAが制作しているイメージがあるが、警察庁も作っているらしい。紹介されたので下に張り付けてみる。

3.セキュリティエデュケーションの曲がり角

知らなかったのだが、集合形式のパネルディスカッションを”カフェスタイル”と言うらしい。

海外に比べて日本のセキュリティレベルが低いことは何となく認識しているものの、そこについて少し掘り下げた議論があった。

日本も「産官学連携」とはよく聞くものの、米国はこの辺が恐ろしく強い。

例えば、NICE Cybersecurity Workforce Framework（SP800-181）を例にとると、ここで必要なスキルセットを決めるとともに、そのスキル要員を充足させるための民間トレーニングも用意し、充足状況をインターネットに公開。必要な資格を取得することで、雇用までもがセットになっている。

では日本にはNICEフレームワークのようなものが無いのかというと、実はある。

それが、「セキュリティ知識分野(SecBoK)人材スキルマップ」というものだが、これが例えば学校のカリキュラムに反映されているのかというと、実は反映されていない。

何故かというと、SecBoKは企業におけるセキュリティ人材育成のための資料となり、内容が実践的であるのに対し、大学は暗号とかネットワークとか、細かい部分を教えたいと考えていることから、”産”と”学”のニーズがズれているのである。ニーズがずれるので雇用に結びつかない。結局ドキュメントを作って終わりというザンネンな状況になっている。

残念ながら、大学で学んだ細かい内容は、起業におけるインシデントレスポンスにおいては、全く役に立たない。

では大学で学ぶ細かい内容は無駄かというと、そういうことはなく、例えば過去に起こった事件をブレイクダウンしていくときに、大学で学ぶような細かい知識が必要になってくる。

ビジネスが分かっていて、セキュリティインシデント発生時に判断できる人がいないと大変なことになる。CISOは全体を考えるが、個々のビジネスについては、例えばシステム停止時の影響などをCISOは考えることはできない(そもそもCISOの範囲外)ため、CISOに丸投げをするのではなく、個々のシステムについてはそれぞれの責任者がしっかりとリスクマネジメントを行うことが重要。

セキュリティはリスクなので、リスクマネジメントの観点で組織合意や社会合意を進めていく必要がある。

ビジネスとセキュリティが組み合わさると謎が多くなり、一元的に「こうすればOK」みたいなものは存在せず、ことごとくケースバイケースになる。

最近のサイバーセキュリティは予測が難しい。昔は、例えば暗号化については、解析時間からある程度のリスクの予測がついた。ネットワークやシステムはアーキテクチャからリスクの予測が付いた。サイバーセキュリティは様々な攻撃手法を駆使するため、リスクの予測が付きにくい（とはいっても、多くは脆弱性とソーシャルエンジニアリングに収斂される気はするが・・・）

ISC2の調査によると、最近のサイバーセキュリティ人材はIT分野からの流入は3割程度しかなく、IT以外の分野や、最初からサイバーセキュリティの専門教育を受けて入ってくる人が多い。

終了後、道後温泉に行ってみたら、改修工事中らしく、派手な覆いで囲まれていた。

もっと道後温泉本館を連想させるデザインにすればいいのにって思った。

電子申請システム受託者のマルウェア感染　2022年7月1日　奈良県

奈良県電子申請システム（e古都なら）の受託事業者のパソコンがマルウェアに感染したことによるメール情報流出と不審メールの注意喚起について（第1報）

1　事案の概要

県と県内39市町村で構成する奈良県地域デジタル化推進協議会の電子申請システム（e古都なら）を受託する（株）NTTデータ関西において、ヘルプデスクで使用しているパソコン8台のうち、1台がマルウェア（Emotet）に感染し、当該パソコンに保存されているメール情報が流出しました。

本電子申請システムを利用している他県の自治体において、ヘルプデスクを装った第三者からの不審メールが発信されていることが確認されました。

2　流出した情報（令和4年7月1日現在・e古都なら分）

令和4年3月10日から6月8日までにヘルプデスクへ問い合わせのあったメール情報（メールアドレス、個人情報を含むメール本文）188件

※本電子申請システムは、全国で約800の自治体が利用しているサービスであり、全国では、7月1日現在、2,312件のメール情報が流出

3　不審メール

奈良県内では確認されていませんが、全国では、9件の不審メールが確認されています。

【不審メールのイメージ】

件　名：RE：（過去にやり取りしたメールの件名）

差出人：第三者のメールアドレス

*****-nara@s-kantan.com<xxx@xxx.xxx.xxx>

　　 (この部分が正しいものと異なります）

※正しくは、*****-nara@s-kantan.com<*****-nara@s-kantan.com >です。

本　文：（過去の問合せ内容の流用、「?」の羅列などの文字化けなど）

添付ファイル：（zipファイルが添付されていることが多い）

4　事案の経緯

5月20日　受託事業者の担当者がヘルプデスクに届いた不審メールを申請者からの問合せと誤認し、添付ファイルを実行し、マルウェアに感染。なお、この時点ではアンチウイルスソフトにより検知されず。

6月6日　ヘルプデスクのアドレスを装った不審メール1件の申告を受託事業者が受領。以降、本電子申請システムを利用する複数の自治体から不審メールの申告を受託事業者が受領。

6月8日　アンチウイルスソフトによりマルウェアを無害化。

6月23日　ヘルプデスクのパソコン1台がマルウェア感染していた痕跡を検出し、5月20日に感染したことが判明。

6月29日　当該パソコンから情報流出したメールを特定。

7月 1日　奈良県及び県内市町村の該当者全員に対し、県及び受託事業者からメールにて、情報流出に関する謝罪と不審メールに関する注意喚起を実施。

5　対応

・流出した情報及びその該当者の特定作業を引き続き進めています。

・受託事業者に対し、情報セキュリティ対策の強化と担当者への教育の徹底など、再発防止策を講ずるよう求めています。

・受託事業者が本事案に対する専用問合せ窓口を設置しています。

奈良県プレスリリース（アーカイブ）

NTTデータ関西プレスリリース（アーカイブ）

配信機能の導入時に作業ミス、一斉メールでメアド流出 - 南海電鉄関連会社

南海電気鉄道の新規事業開発プログラムにより出向起業され、音楽イベントなどを手がけるEvery Buddyは、受託したイベントの案内メールにおいて会員のメールアドレスが流出したことを明らかにした。

同社によれば、2022年7月1日19時過ぎ、イベントを告知するメールを同社ウェブサイトの会員1408人に送信した際、一斉メール配信機能によって本来「BCC」が用いられるところ、メールアドレスが宛先に設定され、送信されたという。

100人を1グループとして複数回にわけて送信したため、同一グループ内でメールアドレスが閲覧できる状態となった。7月1日にメール配信機能を新規で導入したが、開発業者による導入時の作業にミスがあったという。

送信直後に気づき、メール配信機能を開発した業者に改修を指示。対策実施後に対象となる会員に対してメールで謝罪し、誤送信したメールの削除を依頼している。

プレスリリース（アーカイブ）

出典：配信機能の導入時に作業ミス、一斉メールでメアド流出 - 南海電鉄関連会社

決済会社(AsiaPay)にサイバー攻撃、影響受けた可能性 - フランス文化センター

フランス政府が管理、運営するフランス文化センターのアンスティチュ・フランセ日本は、使用していた決済会社がサイバー攻撃を受け、利用者のクレジットカード情報が流出した可能性があることを明らかにした。

同施設によると、2021年2月から同年7月にかけて使用していたオンライン決済サービス会社AsiaPayがサイバー攻撃を受け、講座や試験の受講者がオンライン決済で利用したクレジットカード情報が外部に流出した可能性があるという。

AsiaPayでは、2020年8月4日から2021年5月5日にかけてサイバー攻撃を受け、クレジットカード情報が外部へ流出した可能性が判明する一方、外部事業者による調査結果として、被害対象は日本以外の加盟店とし、同施設利用者が不正アクセスの対象者となった証拠はないとの報告を受けていたという。

しかしながら、同施設の利用者よりクレジットカードに不明な決済があったとの連絡が寄せられたため、情報の公開に踏み切った。

同施設では、AsiaPayがサイバー攻撃を受けたとされる期間において、同施設が提供する講座や試験の支払いなどにクレジットカード決済を利用した場合は、影響を受けた可能性もあるとして、心当たりのない請求などが行われていないかクレジットカードの利用明細を確認するよう呼びかけている。

またウェブサイトの決済に関しては、AsiaPayとの契約はすでに解約しており、異なる決済会社に変更済みだという。

AsiaPayプレスリリース（アーカイブ）

出典：決済会社にサイバー攻撃、影響受けた可能性 - フランス文化センター

山本建設工業株式会社　弊社ウェブサイト改ざんに関するお詫びとご報告　2022年7月12日

6月初旬より、弊社のウェブサイトの一部に、第三者からの不正アクセスがあり、

改ざんが行われていたことが判明いたしました。

本日7月12日、復旧いたしましたことご報告いたします。

なおその間、ご利用頂きましたお客様におかれましては

ご不便とご心配をおかけしましたことを、ここに深くお詫び申し上げます。

当社では、この度の事態を厳粛に受け止め

下記の対応を取り、再発防止を図る所存です。

＜主な対応＞

・改ざんを受けたサーバーのセキュリティー強化

・各種フォーム・検索ページの掲載を安全な方法へ変更

なお、上記の対応に伴い、一部のページで不具合が出る場合がございます。

これらのページにつきましては、順次アップデートさせていただきます。

ご不便をおかけいたしますが、何卒ご了承のほどお願い申し上げます。

本件におかれましてはご利用頂いているお客様にご迷惑及びご心配を

おかけしましたことを、ここに深くお詫び申し上げます。

リリース文（アーカイブ）

【搭乗記】日本航空433便（東京・羽田空港⇒愛媛県・松山空港）

所用で松山へ。

ラウンジに寄ってみると、柿の種の取り放題はまだ復活しておらず、個袋のスナック配布だった。種類は3つ。

午前中のフライトだったが、朝からビール飲むビジネスマン風の人がいてちょっとびっくり。

飛行機は沖止めらしく、バスで移動します。

ゲートには早めに到着したつもりが、すでに最終案内中。。。

沖止めもたまには風情があっていいもんです。

機材はB737。平日の午前中でしたが、満席でした。

伊丹空港と関西国際空港をまとめてみることができました。

関西国際空港と神戸空港もまとめてみることができました。

松山空港到着

リムジンバス激混みだったので、宇和島うどんを食べながら時間を過ごします。

うどん食べていたらリムジンバスが全部出発してしまったので、路線バスで移動します。

今回の飛行経路。

それにしても松山は全くキャッシュレスが進んでいなくて、困りました。

空港にセブン銀行ATMがあるので、空港での現金調達は必須です。

2022年5月16日～31日サイバー攻撃タイムライン / 16-31 May 2022 Cyber Attacks Timeline

2022年5月後半のタイムラインを公開します。120のイベントを収集し、平均7.50イベント/日に相当し、前半の103イベント（7.87イベント/日）に比べて重要な増加であった。

ロシアのウクライナ侵攻は、サイバー空間を特徴づけており、このタイムラインも例外ではありません。イベントの中には、紛争に直接的または間接的に関連する資産を標的とした複数のサイバースパイキャンペーン、偽情報キャンペーン、さらには親ロシアのKillnet集団によるいくつかのDDoS攻撃（最も多いのはイタリア）などが含まれています。

ランサムウェア攻撃は、引き続き一定の存在感を示しており、イベントの10％がソフトウェアコンポーネントにセキュリティホールを活用しています。

同様に、分散型金融プラットフォームに対する攻撃の多さも2022年を特徴づけています。今回は、2ドル以上の暗号通貨が盗まれる被害にあったMirror Protocolの番でした。フィンテックに常に関連しているのは、NFTコレクターを標的とした数多くのキャンペーンです。

例えば、中国のグループ「TA413」などの攻撃者は、いわゆる「Follina」脆弱性（CVE-2022-30190）を悪用しています。同様に、ある攻撃者は、エジプト、アルメニア、ギリシャ、マダガスカル、コートジボワール、セルビア、スペイン、インドネシアのターゲットに対して、複数の脆弱性を悪用して「Predator」スパイウェアをインストールさせるキャンペーンを実施しました。

株式会社Machattは、オンラインショップ「Machatt」において、第三者による不正アクセスにより、最大16,093名の顧客の個人情報が流出した可能性があることが判明。

出典：16-31 May 2022 Cyber Attacks Timeline:

PowerShellを無効化せずにセキュリティリスクを低減 / Keeping PowerShell: Security Measures to Use and Embrace

米国、ニュージーランド、英国のサイバーセキュリティ当局は、PowerShellを完全に削除または無効にするのではなく、PowerShellの適切な設定と監視を行うことを推奨しています。これにより、PowerShell が提供するセキュリティ機能から恩恵を受けると同時に、悪意のある行為者が被害者のネットワークにアクセスした後、検出されずに PowerShell を使用する可能性を低減することができます。以下の推奨事項は、管理者と防衛者による正当な使用を可能にしながら、防衛者が悪意のあるサイバーアクターによる悪用を検知・防止するのに役立ちます。

国家安全保障局（NSA）、サイバーセキュリティおよびインフラセキュリティ局（CISA）、ニュージーランド国家サイバーセキュリティセンター（NZ NCSC）、英国国家サイバーセキュリティセンター（NCSC-UK）によるこのサイバーセキュリティ情報シートは、PowerShellの使用とそのセキュリティ対策について詳細を説明しています。

PowerShellは、Microsoft Windowsに含まれるスクリプト言語およびコマンドラインツールである。オープンソースのオペレーティングシステム（Linuxなど）のBashと同様に、PowerShellはオペレーティングシステムへのインターフェースとして、ユーザーエクスペリエンスを拡張します。PowerShell は Windows Vista で導入され、Windows の各バージョンで進化してきました。PowerShellは、防衛者がWindowsオペレーティングシステムを管理するために、次のような支援を行います。

フォレンジックへの取り組みを可能にする。
インシデントレスポンスの改善
一般的または反復的なタスクの自動化を可能にする。

マイクロソフトのクラウドプラットフォームであるAzureでは、PowerShellがAzureリソースの管理を支援し、管理者や防御者が自動化ツールやセキュリティ対策を構築することを可能にしています。しかし、PowerShellの拡張性、使いやすさ、可用性は、悪意のあるサイバー行為者にとっても好機となる可能性があります。ランサムウェアを含め、公に認められている多くのサイバー侵入は、PowerShellを侵入後のツールとして使用しています。このような手法は目新しいものではなく、悪意のある行為者は、しばしば正規のシステムソフトウェアを標的としたり、利用したりする方法を見つけ出しています。

著者の推奨する方法は、PowerShellの機能を阻害することなくサイバー脅威を軽減するもので、PowerShellの運用を維持するためのMicrosoftのガイダンスと一致しています。 PowerShell をブロックすると、現在のバージョンの PowerShell が提供できる防御機能が阻害され、Windows オペレーティングシステムのコンポーネントが正常に動作しなくなります。PowerShell の機能とオプションが改善された最近のバージョンは、PowerShell の悪用に対抗するために防御者を支援することができます。また、Australian Cyber Security Centre (ACSC) は、PowerShell のセキュリティに関する包括的な設定ガイダンスを提供しています。

PowerShellの現在の守備範囲

PowerShellは7.2が最新版ですが、Windows 10には以前のバージョンである5.1が付属しています。バージョン7.2は、Microsoftによって管理され、オープンソース化されている。Windows 10で適切な設定を行えば、PowerShell 7.2はバージョン5.1用に作成されたすべてのコンポーネントと完全に統合してアクセスできるため、既存のスクリプト、モジュール、コマンドを継続して使用することが可能です。バージョン5.0以前の悪質なPowerShellの使用は、それらのPowerShellアクションを検出するための公的な取り組みの動機となりました。最近のPowerShellのバージョンには、以下のセクションで詳述する防止、検出、認証機能など、セキュリティ対策が強化されています。筆者らは、以下に説明する防御策を回避するために、Windows 10では、非推奨の第2バージョンのPowerShell（つまり、バージョン2）を明示的に無効化およびアンインストールすることを推奨しています。

不正使用を減らすためのPowerShellメソッド

PowerShellに内蔵されているWindowsのセキュリティ機能は、サイバーアクターによる悪用を減らすことができます。著者らは、可能な限りこれらの機能を使用することを推奨しています。

PowerShellリモーティング時のクレデンシャル保護

PowerShellリモーティングは、管理者、サイバーセキュリティアナリスト、およびユーザーがWindowsホスト上でリモートでコマンドを実行できるようにするWindowsの機能です。Windows リモート管理 (WinRM) は、PowerShell リモーティングで使用される基礎的なプロトコルであり、デフォルトの認証プロトコルとして Kerberos または New Technology LAN Manager (NTLM) を使用します。これらの認証プロトコルは、実際の認証情報をリモートホストに送信しないため、認証情報が直接公開されることや、公開された認証情報によって盗難に遭うリスクを回避することができます。

PowerShellリモーティングのネットワーク保護

リモート接続は、強力なリモート管理機能を使用できるため、エンドポイント上のWindowsファイアウォール規則を適切に設定し、許可される接続を制御する必要があります。Windowsのクライアントエディションとサーバーエディションには、PowerShellリモーティングが含まれており、Windows 2012 R2以降のWindowsサーバーではこの機能がデフォルトで有効になっています。PowerShellリモーティングを使用してエンドポイントにアクセスするには、要求側のユーザーアカウントがデフォルトで宛先の管理者権限を持っている必要があります。プライベートネットワークでPowerShellリモーティングを有効にすると、すべての接続を受け入れるためのWindowsファイアウォールルールが導入されます。許可要件とWindowsファイアウォールルールはカスタマイズ可能で、信頼できるエンドポイントやネットワークにのみ接続を制限することで、横移動の機会を減らすことができます。

ネットワークへの接続を制限し、横移動の機会を減らすことができます。組織は、これらのルールを実装して、ネットワークセキュリティを強化することができます。

アンチマルウェア・スキャン・インターフェイス（AMSI）の統合

Windows 10で初めて提供された「アンチマルウェアスキャンインターフェース」機能は、さまざまなWindowsコンポーネントに統合されています。Windowsに登録されたアンチウイルス製品によるメモリ内や動的なファイルコンテンツのスキャンをサポートし、アプリケーションが潜在的に悪意のあるコンテンツをスキャンするためのインターフェイスを公開するものです。内蔵のスクリプト言語（PowerShell、VBScript、JScriptなど）は、登録・サポートされているアンチウイルスソフトウェアによってスクリプトがスキャンされるよう、AMSIを使用しています。この機能を使用するには、Windows Defender、McAfee、Symantec などの AMSI 対応のアンチウイルス製品が必要です。

出典：Keeping PowerShell: Security Measures to Use and Embrace

登録: 投稿 (Atom)