第3回九州サイバーセキュリティシンポジウム振り返り

 

第3回九州サイバーセキュリティシンポジウム(3/16~3/17)に参加してきた。

昨年は北九州開催で1日のみだったが、今回は長崎開催で2日間。

2日目は午前中でシンポジウム終わりなので、金曜午後と土、日は長崎観光にして地域経済にも貢献することを試みる。

では講演メモ

①産業分野におけるサイバーセキュリティ政策

いざというときに備えて、平時からインシデント対応ベンダーの確保をしておきましょうという話があったが、自分はあまり考えていなかった。

冷静に考えると、コロナ過の初期にPCR検査や発熱時の相談先でかかりつけ医がいる人はかかりつけ医に相談できたのに対して、かかりつけ医がいない人は右往左往したのと同じ理屈なのかもしれない。

インシデント対応が自組織で完結できれば良いが、そんな組織はほとんどなく、日ごろから特定のセキュリティベンダーとの付き合いは必要であることを学んだ。

最近セキュリティにおけるサプライチェーンリスクの顕在化事例が多くなってきている(個人的にはメタップスペイメントショーケースなどがそうだと思っている)が、特に中小企業に対するセキュリティ対策について独禁法や下請け法的な観点でどこまで求めるべきなのかという相談が経産省に対して多く寄せられているらしい。

サイバーセキュリティ対策の要請自体は直ちに問題になることはないというのが後援での見解で、関連文書が出ていることを教えてもらった。

サプライチェーン全体のサイバーセキュリティの向上のための取引先とのパートナーシップの構築に向けて

また、近年ITマネジメントがロクに出来ない企業がEC-CUBEのようなオープンソースに手を出して大やけど(クレカ流出被害)する事例が続出しているが、OSS管理手法に関する事例集についてのリマインドがあった。(自分もすっかり存在を忘れていた・・・)

SBOMについてはその重要性が取りざたされているが、SBOMを食品の成分表に例えた話はとても分かりやすかった。

最後に、「ECサイト構築・運用セキュリティガイドライン」のリリースの共有があった。

先日、被害事例が絶えないEC-CUBEの自組織への導入を阻止したところ、「じゃー何ならいいんだ」みたいな話になっているので、参考にしようと思う。

②TOTO株式会社におけるセキュリティ対策について

TOTOが北九州に本社がある会社であることをこの時初めて知った。

個人的にはユーザー企業の事例紹介が一番好き。

いくつも参考になる話があったが、何点か感じたことをあげてみる。

・EDRはMDRとセットにしないと、正直役に立たないのではないかと感じた。

・グローバルでのインシデント対応体制の確立
 ⇒緊急時に現地の専門家の支援を受けられるようにする
  ⇒ユーザー企業で社員を現地に向かわせるのはいろいろハードルが高い。

・セキュリティツールは全端末に導入
 ⇒未導入端末は検出して督促し、確実に穴を塞ぐ

・EPPとEDRは相性問題が発生する可能性も考慮する
 ⇒相性問題発生時はどちらかをチューニングする必要がある

・リモートワークの常態化を踏まえるとVPNは無くしたい
 ⇒業務がブラウザベースであればSWGに移行

・ホワイトリスト運用は破綻するリスクが高い

・ログ分析で使えるツール
 ⇒CDIRコレクタ
 ⇒CyberChef

・セキュリティ対策は終わりも完成もない

③地域医療における医療DX ~長崎県@あじさいネットの取り組み~

(略)

④パネルディスカッション

FFRI前田氏、サイボウズ松本氏、EY松下氏、LAC西本社長による地域セキュリティコミュニティに関するパネルディスカッション。

西本社長が司会をするパネルディスカッションは毎回聞いていて面白い。

「公助」という言葉を強く意識させられたパネルディスカッションだった。

特に中小企業や一人情シスの組織なんかは「公助」が命綱に近い存在なのかもしれない。

一つ私が知らなかったのは、Grafsecという組織の存在。

こういうのに参加することで、日本のセキュリティレベルの底上げに貢献できるのではと思った(活動時間をどうねん出するかは悩ましいが・・・・)

食事・ナイトセッション

参加者には長崎名物卓袱(しっぽく)弁当とドリンクが振舞われた。


ご当地ドリンク、クラフトチューハイはアルコール度8%。


酔いが回ってナイトセッションはほとんど記憶がありません・・・

⑤業務執行としての情報セキュリティ再考

二日目の最初のセッション。

視点が重要。セキュリティ担当者は特損の発生を防ぐために日々頑張るが、経営層はDX(セキュリティ含む)で事業に対してプラスの効果を出したい。

机上演習は重要で、実施後の評価とフィードバックが重要(社長の発言内容が一般常識から乖離していないかのチェック。記者会見で「寝てないんだよ!」とかの失言はないか、とか)

インシデント対応を進めていくと、「原因究明派」と「拡大防止派」との派閥争いが起きるらしい(すごくわかる気がする・・・)

個人情報保護委員会のサイトによると、全てのケースが必ずしも公表しなければならないわけではない(公表しない方が良いケースも存在する)

参考:サイバー攻撃被害に係る情報の共有・公表ガイダンスのポイント

⑥なぜ、Zホールディングスはバグバウンティを推進するのか

バグバウンティの最大のデメリットの一つがハッカーの身元保証をどうするかであるが、セキュリティプラットフォーム(HackerOne、Synack)を活用、というか信用することにしているらしい。

2019年~2022年までの実績のデータはとても興味深いものだった(その場限りの情報だと思うので、ここでは控えることにする)。

バグバウンティは開催期間が長くなると参加者が減る傾向にあるが、報奨金を増やすことで参加者も増えるらしい。

⑦船舶を取り巻くサイバーセキュリティの現状について

外航海運は貿易量の99.5%を占める。それを担う隻数は2,000超で、日本の人口が急減しない限り、輸入大国の日本はこの規模の船が必要。

にもかかわらず、海運は重要インフラの14分野に入っていない。

船も今後自動航行等の技術革新が起きるが、それに伴ってサイバーセキュリティの問題が起きる(2017年にはGPSスプーフィングにより、黒海で別の位置に誘導されるインシデントが発生)

⑧サイバー犯罪の現状と対策

(略)

--

2022年は参加者全員にお土産が配られたが、今年は抽選に変わっていてちょっと残念だった。

九州サイバーセキュリティシンポジウムは毎年開催場所が変わるということで、毎年参加できると必然的に九州の様々な地を旅することができる。

これは素晴らしい企画である。是非継続してほしい。

強いて難点を言うとすれば、チケットがやや争奪戦気味になっている点。ふつーに開催1週間前でもチケットが購入できるような環境になると嬉しい。

あと、小耳にはさんだ話、九州域内には数百人規模でカンファレンスを行う様な場所(ハコ)が少ないらしい。

ちなみに今回の会場となった出島メッセ長崎もつい最近できた施設の様である。

主催者の皆様、ご苦労様です。応援しています。

参考:第3回九州サイバーセキュリティシンポジウムアーカイブ

【セキュリティ事件簿#2023-097】宮崎市の職員が職権乱用して知人の住所や納税情報に勝手にアクセスして処分される

 

宮崎市の職員が業務に関係がないのに職場のシステムを使い、知り合い4人の住所や納税などに関する個人情報を無断で盗み見ていたとして、2023年3月22日、戒告の懲戒処分を受けました。

処分を受けたのは、宮崎市佐土原総合支所に勤務する20代の男性職員です。

市によりますと、この職員は業務上の必要性がないにもかかわらず、去年の3月から12月にかけて職場の業務管理システムを使って知り合い4人の個人情報を、のべ17回、無断で盗み見ていました。

閲覧した情報には住所や所得額が分かる納税に関するものなどが含まれていたということです。

これまでのところ、外部への情報漏えいや悪用による被害は確認されていないということです。

宮崎市は、業務以外で市の管理する情報へのアクセスを禁じた「情報セキュリティポリシー」に違反し、信用を失墜させたとして、この職員を22日付けで戒告の懲戒処分にしました。

職員は市の聞き取り調査に対し、「個人的に知りたかった」と話しているということです。

また、市は上司2人についても監督不行き届きを理由に厳重注意の処分を行いました。

参考:宮崎市 職場のシステム使い個人情報を無断で閲覧した職員処分

【セキュリティ事件簿#2023-096】古河電池株式会社 弊社パソコンのマルウェア感染に関するお詫びとお知らせ 2023年3月16日


この度、今市事業所(栃木県日光市)社員のパソコンがコンピュータウイルス「Emotet(エモテット)」に感染し、個人情報等のデータ流出が発生した可能性があることを確認いたしました。

現在、「Emotet」が原因と思われる、不審なメール(なりすまし)の送信などは確認されておりませんが、弊社と電子メールでの連絡を行われていた皆さまには、今後、当社を名乗る不審なメールを受信される可能性もあり、関係する皆さまには、多大なご迷惑とご心配をおかけすることとなり、心よりお詫び申し上げます。

対応としましては、感染が判明した当該パソコンをすべてネットワークから遮断する対策を講じるとともに、弊社今市事業所で使用しているすべてのパソコンの検査を進めております。また、外部の専門機関の助言を得ながら、データ流出の有無を確認して参ります。詳細が判明しましたら改めてお知らせいたします。

弊社は、下記ドメインのメールアドレスを使用しております。弊社からメールを受信された際には、お手数ですが送信元のメールアドレスに誤りがないか、ご確認をいただきますようお願い申し上げます。

不審なメールを受信された場合は、添付されたファイルやメール本文に記載のURLは開封せず、メールごと削除いただきますようお願い申し上げます。

<弊社の正しいドメイン>
「****@furukawadenchi.co.jp」
「****@furukawabattery.co.jp」
「****@abri.co.jp」

弊社では、これまでも個人情報を含むデータの適正な管理に努めてきたにもかかわらず、今回の事態が発生したことを重く受け止め、再発防止に万全を期してまいります。

【セキュリティ事件簿#2023-095】工場出荷時のままインターネットに接続された国土交通省の河川監視カメラ、当然のごとく不正アクセスを受ける

 

国土交通省近畿地方整備局が、洪水被害などを防ぐために関西を中心とする2府6県に設けた河川監視カメラ261台に、何者かが不正アクセスした疑いがあることが2023年3月2日、同整備局への取材で分かった。1月から運用を休止しており、再開時期は未定。一部は通常時と比べ、通信量が100倍ほどになっていた。

同整備局によると、カメラは大雨による増水や氾濫などから住民らの早期避難を促すために設置。インターネットに接続されており、河川の様子を一定の時間間隔で捉えた静止画を配信し、国交省の「川の防災情報」などで誰でも閲覧できる。

インターネット回線の業者から1月中旬に、261台のうち「199台の数日間の通信量が異常な数値になっている」と指摘があった。他の62台に変化はなかったが、全てに不正アクセスがあったとみて、運用を止めた。海外サーバーを経由してアクセスされた可能性がある。

参考:
河川の監視カメラ、不正アクセスか 関西中心に261台休止 再開時期未定
河川カメラ338台が稼働停止、初期パスワード変更せずサイバー被害

【セキュリティ事件簿#2023-094】株式会社放送映画製作所 ランサムウェアによる被害及び情報流出の可能性についてお知らせとお詫び 2023年3月15日

当社が運用するサーバのランサムウェアによる感染被害および現状についてお知らせします。また、情報が外部流出した可能性を否定できないため、お取引先さま、関係先の皆さまにご迷惑をおかけしますことを深くお詫び申し上げます。

【発生】
3 月 5 日(日)正午頃、サーバに障害が発生し原因を調べたところ、第三者による不正アクセスの痕跡を発見いたしました。さらなる拡大を防ぐため直ちに外部との接続を遮断し、(株)MBS メディアホールディングスの協力のもとで不正アクセスを受けたサーバの状況・原因等の調査・復旧の検討を開始いたしました。

【調査経緯】
初期調査段階で、当社のサーバへの不正な侵入と内部データがロックされていることを確認いたしました。データフォルダ内には、当社の業務(番組制作、配信業務、イベント・VP 制作等)に関わる情報が含まれていることがわかりました。情報が外部流出した可能性を完全に否定することは難しく、2 次被害を防ぐ為に今回お知らせすることといたしました。
なお、ウィルスは検出され解析したところランサムウェアと判明し、感染経路・原因については、現在調査中です。

【現在】
引続き、専門機関と連携して調査をする予定です。なお、現時点で情報漏洩の被害は確認されておりません。
個人情報保護委員会への報告は完了しております。警察には被害の相談をしております。


【セキュリティ事件簿#2023-093】沼尻産業株式会社 当社ファイルサーバーのランサムウエア感染による情報流出の可能性についてお知らせとお詫び 2023年3月12日


沼尻産業株式会社(所在地:茨城県つくば市、代表取締役社長:沼尻年正)は、当社が管理運用するファイルサーバーのランサムウエア感染により、お客さま、お取引先さま、当社関係者の皆さまの情報が外部流出した可能性を完全に否定できないことがわかりましたので、お知らせします。現在、外部の専門機関と連携して調査を進めておりますが、現時点で不正利用等は確認されていません。

本件の対象となる皆さまに対しては順次個別のご連絡を差し上げるとともに、お問い合わせ窓口を設置します。お客さま、お取引先さま、関係者の皆さまに多大なご心配とご迷惑をおかけしますことを、深くお詫び申し上げます。

現在も調査を継続しており、今後新たな情報が判明する可能性がありますが、現時点で確認できている状況および当社対応は以下のとおりです。

1.外部流出した可能性のある情報

(1)個人・法人名刺情報(パスワード付)

・氏名・社名、住所、電話番号、メールアドレス

(2)取引先情報(パスワード付)

・代表者名・社名、住所、電話番号、メールアドレス、契約内容

(3)業務受託先の法人顧客情報(パスワード付)

・代表者名・社名、住所、電話番号、メールアドレス、契約内容

(4)退職者含む従業員情報(パスワード付)

・氏名、住所、電話番号、生年月日 等(退職者含む)

※クレジットカード情報の保有はございません。

2.本件に関するお問い合わせ窓口

3.経緯

・3月11日03時、当社ファイルサーバーがランサムウエア感染したことを当社従業員が確認。確認した時点でさらなる被害の拡大を防ぐため、ファイルサーバーの停止および外部とのネットワークを遮断しました。

・3月11日に対策本部を立ち上げ、外部専門機関と連携しながらランサムウエア感染による流出情報の有無、要因、経路などの調査を開始しました。3月11日17時頃、顧客情報を含む情報が外部流出した可能性を完全に否定できないことを確認しました。 

4.現時点および今後の当社対応

・このたびのランサムウエア感染の原因や経路などにつきましては、外部専門機関の協力を得ながら引き続き調査を進め、詳細が分かり次第、すみやかにご報告します。

・また、当社はこのたびの事態を厳粛に受け止め、セキュリティー体制の厳格化や監視体制の強化を図り、再発防止に取り組んでいきます。

 

このたびはお客さま、お取引先さま、関係者の皆さまに多大なご心配とご迷惑をおかけしますことを、重ねて深くお詫び申し上げます。

【搭乗記】日本航空307便(羽田空港⇒福岡空港)

 

2022年に人生初の海外(バンコク)発券を敢行。

その時、バンコク(BKK)-東京(TYO)の往復航空券と、バンコク-東京-福岡(FUK)の往復航空券が同じ金額だったので、福岡往復のチケットを購入した。

丁度九州に用事があったので、朝8時のフライトにし、朝7時に羽田空港に到着したのだが、この時点で手荷物検査場が激混み。。。


写真に撮り忘れたが、JGC用カウンターも30人くらいの行列ができていた。

ただ、思ったよりもスムーズに流れ、無事手荷物検査完了。

以前はカバンからPCを出す必要があったが、最近はそれが不要になったので助かる。

手荷物検査を終えたらラウンジ直行。


大人しく水でも飲んでいようと思ったら、変なものが浮いていたので、アップルジュールに変更


JALのA350は今更ながら初搭乗。


正直、国内線で各座席にディスプレイがいるのかという疑問があるが、


外部カメラがあるのは斬新でいい感じ。


フライト時間は2時間だったが、ほとんど寝ていたため、あっという間に福岡空港着陸。


国際線ターミナル発のバスに乗る必要があったため、バスで国際線ターミナルに移動


20年位前に東京発福岡乗り継ぎで中国に行ったことがある。当時、預け入れ荷物は国際線ターミナルで受け取れるものと勘違いし、危うく福岡発の国際線に乗れなくなるリスクが発生したが、当時のANAのスタッフさんが全力でサポートしてくれ、何とか間に合った記憶が蘇ってきた。

少し時間があったので、なんか食べようと国際線ターミナルを散策してみる。


国際線ターミナル4Fに行ってみると、うどん屋さんがあったものの、激混みで断念。

他をあたってみるも、国際線ターミナル4Fで営業しているお店はうどん屋さんのみで、あとは閉鎖のシャッター街と化している。


シャッター街と化している割に、近距離国際線はそれなりにある。

LCCとスターアライアンス(エバー航空、シンガポール航空、タイ航空が就航)、スカイチーム(大韓航空、ベトナム航空が就航)が強い感じで、ワンワールドの存在感は皆無。ワンワールドにはかなり頑張ってほしい


ザンネンな国際線ターミナルからバスで目的地に出発。


【セキュリティ事件簿#2023-092】石巻地区広域行政事務組合 石巻地区広域行政事務組合庁内ネットワークサーバーのコンピューターウイルス感染について 2023年3月9日


石巻地区広域行政事務組合庁内ネットワークサーバーのコンピューターウイルス感染について、コメントを申し上げます。

本組合におきましては、これまでもサイバーセキュリティ対策を講じてきておりましたが、この度の事案の発生により、圏域住民の皆様及び関係機関・関係団体の皆様に、多大の御心配やお手数をお掛けいたしておりますことを、深くお詫び申し上げます。

現在、ウイルスによる個人情報をはじめデータの流出は確認されておらず、皆様への支障を最小限にするため、工夫して業務を継続いたしております。

今後、引き続き調査を行い、再発防止策について検討するとともに、早期に通常業務へ戻れるよう努めてまいりますので、御理解、御協力を賜りますよう、お願い申し上げます。

1 概要
事務局内の庁内ネットワークサーバーが不正アクセスによりコンピューターウイルスに感染したため、サーバー内のデータが暗号化され使用不能となったもの。

2 発生の経緯及び原因
(1) 令和5年2月24日(金)~25日(土)
 深夜にサーバー内のデータが暗号化される。
(2) 令和5年2月27日(月)
 朝出勤した職員がデータに異常があることを発見した。
 庁内ネットワーク保守点検業務委託業者に連絡し、サーバーを確認したところ、コンピューターウイルス(ランサムウエア)への感染が判明した。

3 情報流出の有無
当該サーバーには過去から現在までの、各審査会委員及び事業参加者等のデータ(氏名・生年月日・住所・電話番号等)が含まれておりましたが、現時点において、サーバー内のデータが抜き取られた痕跡は認められず、情報の流出は確認されていないものの、引き続き調査を継続する。

4 業務への影響
総務企画課、施設管理課、介護認定審査課及び石巻広域クリーンセンターの業務の一部に支障が生じているものの、バックアップデータ等を活用し、業務は継続して行っている。

5 対応状況
(1) 令和5年2月27日(月)
 保守点検業者において、感染経路及びデータの復旧等について、調査を開始した。
(2) 令和5年2月28日(火)
 石巻警察署へランサムウエアによる被害があったことを通報の上、対応等について相談し、捜査に協力している。
庁内ネットワークへ接続している全てのパソコンのウイルススキャンを実施し、異常がないことを確認した。
(3) 令和5年3月2日(木)
 保守点検業者により、バックアップデータによるサーバーの仮復旧が完了した。
※ 感染経路等については、サーバーのログ等を確認したが特定には至っていない。

6 今後の再発防止策
セキュリティ対策の強化、データのバックアップの方法等、必要な対応について、調査・検討する。