ウェブサイトのセキュリティを向上させるために重要な12の施策

今日のデジタル時代において、ビジネスウェブサイトは成功のために不可欠です。潜在的な顧客に製品やサービスに関する情報を提供するだけでなく、顧客と直接つながり、関わりを持つことができるからです。

しかし、単にウェブサイトを持つだけでは十分ではありません。効果的で安全なサイトを作るには、必要なセキュリティ機能をすべて備えていることを確認する必要があります。今回は、ビジネスサイトが必ず備えておくべき12のセキュリティ機能について解説します。

1. プラグインやソフトウェアの自動アップデートを有効にする

WordPressサイトを保護するための最もシンプルで効果的なセキュリティ対策の1つは、すべてのプラグインとソフトウェアを最新の状態にすることです。古いソフトウェアは、攻撃者がウェブサイトにアクセスするための最も一般的な方法の一つです。すべてを最新の状態に保つことで、脆弱性が悪用されるのを防ぐことができます。

ほとんどのプラグインやソフトウェアは、設定メニューから自動更新を有効にすることができます。WordPressの場合は、Easy Updates Managerというプラグインもあり、簡単に最新の状態にすることができます。

2.  強固なパスワードポリシー

強力なパスワードポリシーは、悪意のある行為者からウェブサイトを保護するための第一歩です。強力でユニークなパスワードを要求することで、攻撃者がサイトにアクセスするのを大幅に難しくすることができます。Webサイトのバックエンドをしっかりと保護し、許可されたユーザーだけがアクセスできるようにする必要があります。そのためには、パスワードマネージャーを使用して、強力なパスワードを生成し、保存することを検討する必要があります。また、複数のサイトで同じパスワードを使用することは絶対に避けてください。

3. 二要素認証

二要素認証（2FA）は、Webサイトに導入することを検討すべき重要なセキュリティ対策です。2FAは、ユーザーがサイトにアクセスする前に2つの情報を提供するよう要求することで、セキュリティのレイヤーを追加するものです。これには、パスワードと、携帯電話のアプリで生成されるワンタイムコードが含まれる場合があります。2FAは、攻撃者がパスワードを知っていても、サイトにアクセスできないようにすることができます。

4.  SSL（セキュア・ソケット・レイヤー）証明書

SSL証明書は、ユーザーの情報を保護したいWebサイトには必須のものです。SSLは、あなたのウェブサイトとユーザーのウェブブラウザとの間の通信を暗号化します。つまり、攻撃者が通信を傍受できたとしても、それを読み取ることはできないのです。また、SSLは認証機能も備えており、攻撃者が設定した偽のサイトではなく、ユーザーが意図したサイトと通信していることを確認することができます。

HTTPSやSSL証明書のようなものがGoogleのランキング指標の一部となり、ウェブサイトのSEOに貢献することが増えています。訪問者やユーザー（機密性の高いクレジットカード情報を提供する人々）を保護するための努力を怠ると、彼らは他の場所に仕事を移してしまうかもしれません。

5. ウェブアプリケーションファイアウォール(WAF)

Webアプリケーションファイアウォール（WAF）は、Webサイトとインターネットの間に設置されるソフトウェアの一部です。WAFは、お客様のサイトへのトラフィックをフィルタリングし、悪意があると判断したリクエストをブロックします。WAFは、SQLインジェクションやクロスサイトスクリプティング（XSS）などの攻撃を阻止するのに非常に効果的です。

6. 侵入検知・防御システム(IDPS)

侵入検知防御システム（IDPS）は、Webサイトへの攻撃を検知・防御するために設計されています。IDPSシステムには、ホスト・ベースとネットワーク・ベースの2種類があります。ホストベースのIDPSは、Webサイトをホストしているサーバーにインストールされます。サーバーへのトラフィックとサーバーからのトラフィックを監視し、攻撃を検出してブロックすることができます。ネットワークベースのIDPSは、お客様のネットワークにインストールされ、WebサイトへのトラフィックとWebサイトからのトラフィックを監視します。どちらのタイプのIDPSも攻撃を阻止するのに有効ですが、それぞれ長所と短所があります。

7. セキュリティロギングとモニタリング

セキュリティロギングと監視は、あらゆるWebサイトにとって重要なセキュリティ対策です。サイト上のすべてのアクティビティをログに記録することで、悪意のあるアクティビティを追跡し、適切な対処を行うことができます。また、ログを定期的に監視して、異常な活動がないかどうかを確認する必要があります。

8. 安全なホスティング環境

安全なホスティング環境は、どのようなウェブサイトにも不可欠です。ホストは、最新のセキュリティパッチを適用した安全なサーバーを提供する必要があります。彼らはまた、ウェブサイトのホスティングの経験を持っており、あなたがそれを必要とする場合は、専門家のサポートを提供することができるはずです。DDOS保護とバックアップのようなものはまた、重要な考慮事項です。サービス拒否攻撃は増加傾向にあり、ウェブサイトの所有者は、準備する必要があります。ホスティングプロバイダーが誰であるかは、違いを生みます。

9. 定期的なセキュリティスキャン

定期的なセキュリティスキャンは、Webサイトのセキュリティにとって不可欠な要素です。スキャンは、サイトの脆弱性を特定し、攻撃者に悪用される前に修正するのに役立ちます。セキュリティ・スキャンには、ウェブアプリケーション・スキャン、ネットワーク・スキャン、マルウェア・スキャンなど、さまざまな種類があります。

10. マルウェアのスキャンと除去

マルウェアは、あらゆるWebサイトにとって深刻な脅威です。悪質なコードは、機密情報の窃取やサイトの改ざん、さらにはオフラインにするために使用されることもあります。定期的にマルウェアのスキャンを行い、発見されたマルウェアを削除することが重要です。

11. スパム対策

スパムは、多くのWebサイトにとって大きな問題です。コメント欄や問い合わせフォーム、さらにはウェブサイトのデータベースまでが詰まってしまうことがあります。CAPTCHAコードの使用や、コメントの登録を義務付けるなど、スパムに対抗する方法はいくつもあります。AkismetはWordPressの人気プラグインで、スパムを阻止するのに優れた働きをします。

12. 従業員への周知

最も重要なセキュリティ対策の1つは、ウェブサイトのセキュリティについて従業員を教育することです。従業員は、フィッシングメールの見分け方、自分のコンピューターがマルウェアに感染していると疑われる場合の対処法、パスワードの安全な管理方法などを知っておく必要があります。また、セキュリティ侵害が発生した場合の対応についても、明確な方針を定めておく必要があります。

出典：12 Essential ways to improve your website security

パスワード管理ツールのリスクは？ / What About Password Manager Risks?

すべてのユーザーがパスワード管理ツールを使用して、完全にランダムなパスワードを作成し使用することを推奨しています。完全にランダムな12文字以上のパスワードは、既知のすべてのパスワード推測およびクラッキング攻撃に対して不死身です。人間が作成したパスワードは、20文字以上でなければ同じ保護は得られません。人間は、非常に長い（時には複雑な）パスワードを作成または使用することを好まないので、我々は代わりに信頼できるパスワードマネージャのプログラムを使用することをお勧めします。

よくある質問は、パスワード管理ツールはお金を払ってまで使う価値があるのか、というものです。

その答えは「イエス」だと考えています。パスワード管理ツールを使うことで人が得るリスクの増加は、すべてのメリットによって相殺され、デメリットからリスクを減少させ、徹底的に相殺されると考えています。

パスワード管理ツールを使用するリスクとメリットを見てみましょう。それらは次のようにまとめることができます。

デメリット

• パスワード管理ツールを入手し、インストールする必要がある
• パスワード管理ツールの使用方法を習得する必要がある
• パスワード管理ツールを使用すると、パスワードの作成または入力に時間がかかる場合がある（ただし、必ずしもそうとは限りません）。
• 攻撃される可能性がある
• パスワード管理ツールは、すべてのプログラムまたはデバイスで動作するわけではない
• パスワード管理ツールにアクセスできない場合（破損、ログイン権限の喪失など）、ユーザはそこに含まれるすべてのログイン情報へのアクセスを一度に失うことになる
• 攻撃者がパスワード管理ツールを侵害した場合、攻撃者はユーザーのすべてのパスワード（および所属するサイト）に一度にアクセスし、取得できる可能性がある

メリット

• 完全にランダムなパスワードを作成し、使用することができます。
• サイトやサービスごとに異なるパスワードを簡単に作成し、使用することができます。
• パスワードフィッシングの防止に使用できる
• MFAソリューションのシミュレーションに使用できるため、ユーザーは個別のMFAプログラムやトークンを必要としない
• デバイス間でパスワードを共有できるため、ユーザが必要な場所にパスワードを置くことができます。
• パスワードのバックアップをより簡単に、より安全に行うことができます。
• すべてのパスワードは、パスワードマネージャへのMFAログイン要件によって保護される場合があります。
• ユーザが気づかなかったパスワードの漏洩を警告することができる
• 異なるサイトやサービス間で使用されている同一のパスワードについて警告することができます。
• 元のユーザーが一時的または恒久的に能力を失った場合、または使用できない場合、必要なときに信頼できる人と共有することができます。

誰かのパスワード管理ツールが漏洩し、その漏洩から、保存されているすべてのサイトやサービスに対するユーザーのすべてのパスワードが一度に非常に速く盗まれるというのは、非常に現実的なリスクです。これは、パスワード管理ツールを使用している管理者またはユーザーが検討する必要がある巨大なリスクです。

リスク評価

このリスクに対しては、次のように考えます。まず、ユーザーのパスワード管理プログラムを侵害するためには、ほとんどの場合、攻撃者はパスワード管理プログラムを実行しているユーザーのデバイスにアクセスし、開いた状態でアクセスするか、すべてのパスワードを簡単に盗むことができるようにその設定を操作する必要があります。もし、攻撃者がユーザーのデバイスにアクセスできたら、もうほとんどゲームオーバーです。ハッカー（またはマルウェア・プログラム）は、ユーザーがパスワードを入力または使用する際に単純にキーロギングするなど、他のさまざまな方法を用いてパスワードの一部または全部を取得することができます。

また、パスワード管理ツールのソフトウェアの脆弱性を悪用しようとする攻撃もありますが、ベンダーが既知の欠陥に迅速にパッチを適用し、ユーザーがそのパッチを迅速に適用する限り（ほとんどのパスワード管理ツールのプログラムは自動更新）、それは一瞬の、より小さな問題に過ぎません。ユーザーのパスワードは、パスワード管理ツールベンダーのクラウドネットワークに保存されることもあり、危険にさらされると、攻撃者はそこに保存されているすべてのパスワードにアクセスすることができます。これもリスクだが、ほとんどのパスワード管理ツールベンダーは、顧客の「パスワード保管庫」を自社のネットワーク内の安全性の高い場所に保管しようとしている。

※製品のバグで勝手にパスワードが消去されてしまう事例は経験があるため、必ずゴミ箱昨日のあるパスワード管理ツールを選ぶようにしています。

ですから、攻撃者がユーザーのデバイスにアクセスし、パスワード管理ツールにアクセスし、すべてのパスワードを盗むというのが主なリスクとなります。これは現実的なリスクです。実際に起きたという話も聞きますが、今のところ、それほどポピュラーな攻撃ではありません。将来、パスワード管理ツールが広まって誰もが使うようになれば、一般的な攻撃になるかもしれません。しかし、たとえそれが一般的な攻撃であったとしても、攻撃者やそのマルウェアがユーザーのデスクトップにアクセスできるようになった時点で、ほぼゲームオーバーになると私は考えています。彼らは何でもできるのです。パスワード管理ツールを攻撃してパスワードを盗むというのは、大きな問題のひとつに過ぎないのです。

誰もがパスワード管理ツールを使うべき理由

この大きなリスクにもかかわらず、誰もが自分のパスワードにパスワードマネージャーを使うべきだと思います。なぜなら、パスワードのリスクは、ユーザーが利用しているサイトやサービスから盗まれたパスワードと、推測されてハッキングされる弱いパスワードによるものだからです。米国国立標準技術研究所（NIST）や他のパスワードの権威によると、パスワードの最大のリスクは、関連性のないウェブサイトやサービスでのパスワードの再利用と、ユーザーがハッカーに予測される「パスワードパターン」を作成できることだそうです。

平均的なユーザーは、170を超えるサイトやサービスで使用するパスワードを4～7個持っていると言われています。これらのパスワードは、本来使用されるべきでない場所で、同じパスワードが使用されていることになります。問題は、ハッカーがあなたのウェブサイトの1つに侵入してパスワードを入手すると、他のサイトやサービスでもそれを使用できるようになるということです。1つ、または数個の侵害は、すぐにさらなる侵害の束につながるのです。これは、ソーシャルエンジニアリングに次ぐ、大きなリスクと考えられています。パスワード管理ツールは、このリスクを取り除くことができます。

パスワード管理ツールは、サイトやサービスごとに異なる、まったく関連性のないパスワードをより簡単に作成し、使用できるようにします。パスワード・マネージャーを使用すると、使用されているパスワードさえもわからなくなる可能性があります。これは、パスワードの最大のリスクの一つを取り除くものであり、これだけでもパスワードマネージャーは使用されるべきものです。しかし、それだけではありません。

パスワードマネージャーは、完全にランダムなパスワードを作成します。12文字以上の完璧にランダムなパスワードは、既知の方法では推測もハッシュクラックも不可能です。そして、その完全にランダムで安全なパスワードは、ウェブサイトやサービスごとに異なるものにすることができます。

ソーシャルエンジニアリングが最大のリスク

あらゆるパスワードの最大のリスクは、ユーザーがソーシャルエンジニアリングによってパスワードを盗まれることです。ソーシャルエンジニアリングによるパスワードの盗難は、成功したパスワード攻撃の約半分に関与しています。ほとんどのパスワード管理ツールでは、ツール内からサイトやサービスにログインすることができ、真の正規のサイトやサービスにのみユーザーを誘導します。これにより、最も一般的なパスワードソーシャルエンジニアリング攻撃を防ぐことができます。攻撃者は、不正なURLリンクを含むソーシャルエンジニアリングメールを送信し、偽の偽サイトに正規の認証情報を開示させようとするものです。

パスワード管理ツールの利点は、最大のパスワード攻撃（ソーシャル・エンジニアリング、推測/クラッキング、再利用など）を軽減することです。パスワードの専門家なら誰でも、この3種類のパスワード攻撃がパスワードのリスクの大部分を占めていると言うでしょう。そのため、誰もがパスワードマネージャーを使うべきであり、少なくとも単一障害点による大きなリスクと比較検討する必要があります。

パスワード管理ツールに信頼を寄せるか、あるいはユーザー自身に信頼を寄せるかは、あなた自身にかかっています。可能であれば、まずフィッシングに強い多要素認証(MFA)に移行してもらうようにしましょう。しかし、サイトやサービスがフィッシング防止MFAに対応しない場合は、パスワード管理ツールの使用を検討してください。パスワード管理ツールは、より多くのパスワード専門家によって日々推奨されるようになってきています。

出典：What About Password Manager Risks?

ブラウザ拡張機能5選 / 5 free Chrome browser extensions we can’t live without

 

ブラウザの拡張機能は、インターネットを探索する体験を向上させます。ほんのひと握りで、時間、お金、正気を節約し、セキュリティとプライバシーを守ることができます。

誰もがお気に入りのアドオンを持っています。そして、PCWorldのスタッフのお気に入りは、重なり合う傾向があります。たとえば、同僚のMark HachmanによるEdge拡張機能のトップ5リストは、私自身のラインナップをこっそり紹介するようなものです。

しかし、同じようなテーマが出てきても、実際に私が選ぶものは違います。この世界にはたくさんの選択肢があり、自分のニーズや関心に合わせて経験をカスタマイズすることができます。私の場合は、ネット上での安全確保、お得な情報収集、ソーシャルメディアに振り回されないことなどが中心となっています。

uBlock Origin

広告は、ウイルス、マルウェア、エクスプロイトなど、インターネット上の病気の媒介となる厄介な存在です。広告ブロッカーをインストールすることで、悪意のある活動の経路を遮断し、より安全にインターネットを利用することができます。広告ブロッカーを導入することで、悪意のある活動の経路を遮断することができます。また、購読や定期的な寄付など、お気に入りのサイトを直接サポートすることで、最終的に誰もがより良い結果を得ることができます。

また、広告ブロッカーを使用すると、ブラウジングがより快適になります。Webサイトの余分な広告やスクリプトを完全に読み込むのに時間がかかるため、コンピュータの動きが鈍くなったり、遅く感じたりすることがあります。広告がなければ、サイトは高速で表示され、また、洗練された外観になります。

フィルタリングされる内容については、まだ多くの柔軟性を保持しています。あるサイトに現金を寄付する余裕がない場合、そのサイトを許可リストに追加すれば、そのサイトの広告を表示することができます。そのサイトの広告が表示されるように、許可リストに追加することができます。また、ニュースレターのリンクや検索エンジンのショッピングサジェストに必要なトラッキングサイトの読み込みを許可するよう、設定を細かく調整することもできます。

uBlock Originの強みは、Adblock Plusのようなライバルと比較して、実際にすべての広告をブロックすることです。(ABPは、いくつかの "非侵入型 "広告を通過させることができます）また、あなたのシステムリソースへの影響が少なくなっています。

Social Fixer

Facebookは、特に特定の人や約束のためにしか利用していない場合、人をイライラさせることがあります。Social Fixerは、そのような体験を軽減します。もうアルゴリズムが送り出すものをかき分ける必要はありません。この拡張機能を使えば、フィードに表示されるコンテンツをコントロールできます。

キーワードに基づいた投稿を非表示にしたいですか？簡単にできます。「知っているかもしれない人」や「おすすめの投稿」を見るのにうんざりしていませんか？すぐに解消できます。投稿の内容や投稿者、その他の条件に基づいて投稿をフィルタリングしたいですか？もちろん可能です。

また、インターフェイスのカスタマイズも可能で、投稿を新しい順に並べたり、タイムスタンプを正確な日付で表示したり、インタラクティブなフィールドをすべて削除して、誤って投稿にコメントや「いいね！」をせずにブラウジングできるようにするなど、さまざまなことができます。その結果、政治ネタ、テレビ番組や映画のネタバレ、大切な人へのべた褒め、その他あなたを追い詰めるような投稿のない、適切にキュレートされたフィードが出来上がります。また、自分の最悪の傾向から身を守り、ケンカが始まるとわかっていることにはコメントしないようにすることもできます。

一番の魅力は？開発者のMatt Kruseは、常にFacebookの変更に対応し、さらに機能を追加するために努力しています。そして、これらの努力はすべて無料で行われています。最初にインストールするときに、寄付のための小さなリクエストが表示されるだけです。

Bitwarden

Bitwardenパスワード管理ツールで、その無料サービスは素晴らしく、プレミアム機能も年間10ドルしかかかりません。

ブラウザのアドオンは、パスワードマネージャーをいかにシームレスにあなたの生活にフィットさせるかに大きな役割を果たします。アドオンをインストールすれば、サービスのウェブサイトにログインして必要な項目を探したり、携帯電話のアプリを見ながら手動で情報を入力したりする必要がなくなります。代わりに、拡張機能があなたが今いるサイトを認識し、認証情報を自動入力することができます。また、新しいパスワードをその場で簡単に作成したり、既存のパスワードを変更することもできます。

パスワード保管庫を保護するのも簡単です。一定時間が経過すると自動ロックされるように拡張機能を設定するだけで、アクセスを回復するにはパスコードか完全なパスワードが必要です。これにより、あなたのPCを借りた人（あるいは、あなたが知らないうちにリモートアクセスした人）が、あなたのデジタルライフを破壊する可能性を減らすことができます。

Teleparty

Telepartyは、Netflix、Disney+、Hulu、HBO Max、Amazon Primeと連携しています。また、1つのパーティーで最大1,000人のユーザーまで対応し、すぐに視聴できるシンプルなインターフェースも備えています。参加者は、他の参加者と同じように、自分のストリーミングサービスにログインします。そして、パーティーを始めるには、アドレスバーの横にある拡張機能の赤いTPボタンをクリックし、生成されたリンクを共有します。(Telepartyのアイコンが見えない場合は、Chromeのツールバーにピン留めする必要があるかもしれません)。

この拡張機能には制限があります。再生コントロールができる人の設定は、パーティーを作る前に設定する必要があります - 部屋が作られた後に設定を変更することはできません。ページをリフレッシュすると、ルームから抜け出し、戻るには直接リンクが必要です。しかし、非常にスムーズに動作するので、無料サービスとしては十分です。

Distill.io

この拡張機能は、PCWorldのトップであるJon Phillipsからの情報で、ラインナップに新しく追加されたものです。Distill.ioは、ウェブサイト上のあらゆる変更を追跡するために使用することができ、追跡が困難なアイテムの価格変更を常に把握するために非常に便利です。

以前は、Slickdeals や /r/buildapcsales などのクラウドソーシングサイトを調べ、Twitter アカウントをフォローして Discord サーバーに参加し、携帯電話にアラートが届くのを待ちました。Distill.ioは、そのような作業を軽減し、時間を短縮してくれます。頻繁に使用する必要はありませんが、私の武器が一つ増えました。インフレが物価に大打撃を与えている現在、あらゆる手を使ってお金を節約する人は私だけではないでしょう。

出典：5 free Chrome browser extensions we can’t live without

採用活動における個人情報漏えいの可能性に関するご報告とお詫び 2022年5月16日 株式会社エイチーム

　この度、当社グループの採用活動に関する個人情報が外部から閲覧可能な状態であったことを確認いたしました。多大なるご迷惑とご心配をおかけいたしますこと、心より深くお詫び申し上げます。

　情報の対象となった皆様には大変ご迷惑をおかけしますが、不審な問い合わせについては十分ご注意いただきますようお願い申し上げます。弊社では、被害の拡大防止に取り組んでまいりますが、万が一、第三者の悪用を確認した場合は、更なる被害を防ぐために末尾の問合せ窓口へ連絡をお願いします。

概要

　当社グループの採用に関する情報がインターネット上で閲覧可能になっているとの指摘を受けて事実関係を調査したところ、一部の個人情報がインターネット上で閲覧可能な状態にあったことが社内監査により判明いたしました。クラウドサービス上で作成したファイルで採用に関わる個人情報を管理しておりましたが、閲覧範囲を「このリンクを知っているインターネット上の全員が閲覧できます」と設定したことから、リンクを知っていれば誰でも閲覧できる状態であり、一部の方の「氏名」「学校名」「メールアドレス」「電話番号」「口座番号」などの個人情報がインターネット上において閲覧できる状態でありました。

　なお、現在、個人情報を閲覧できる状態は解消し、5月13日（金）より対象の皆様へ個別にご連絡を差し上げております。本件に関し、ご報告の現時点においては不正使用などの被害が発生した事実は確認されておりません。

１．個人情報漏えいの可能性がある対象者

(1)2018年卒～2021年卒を対象にした新卒採用イベントやインターンシップに参加した学生及び当社グループ従業員
(2)2016年～2017年に実施した中途採用イベントに参加した方
(3)2017年8月～2021年10月に当社オフィスに来社し、面接等の交通費を支給した方

２．漏えいした可能性のある情報と件数

(1)新卒採用イベントやインターンシップに参加した学生及び当社グループ従業員：学生4,588名、従業員161名、合計4,749名分の個人情報

＜2018年卒～2021年卒を対象にした新卒採用イベントやインターンシップに参加した学生：4,588名＞
・氏名、学校名
※また、一部の学生においては下記の個人情報が該当
・メールアドレス、電話番号、インターンシップ参加時に作成された自己紹介シート、インターンシップ参加学生の評価、顔写真、出身地

＜新卒採用活動に参加した当社グループ従業員：161名＞
・氏名
※また、一部の従業員自身の自己紹介シートに記載された下記情報
・所属部署、顔写真、出身地、出身校

(2)2016年～2017年に実施した中途採用イベントに参加した方：30名
・氏名、メールアドレス、職業　
※また、一部の方において記載あり
・電話番号、年齢

(3)2017年8月～2021年10月に当社オフィスに来社し、面接等の交通費を支給した方：1,078名
・氏名、振込先口座番号

３．インターネット上で閲覧が可能となっていた期間

(1)新卒採用イベントやインターンシップに参加した学生
　2017年4月～2022年4月21日（木）

(2)中途採用イベントに参加した方
　2016年4月～2022年5月11日（水）

(3)当社オフィスに来社し、面接等の交通費を支給した方
　2016年4月～2022年5月10日（火）

４．経緯

　2022年4月7日（木）10時頃に、クラウドサービス上に作成されたファイル内に個人情報を含むファイルがあること、また個人情報が漏えいしているリスクがあることを、エイチーム監査役より社長室長、管理部長、ITシステム部門マネージャーに報告が入りました。

　調査の結果、クラウドサービス上で管理していたファイルに個人情報が含まれておりました。当該ファイルは、インターネット上でリンクを知る全ての人が外部から閲覧ができる状態となっており、個人情報が漏えいしている可能性があることが判明いたしました。

５．原因

　特定のクラウドサービスを利用して作成した個人情報を含むファイルに対して、閲覧範囲の公開設定を「このリンクを知っているインターネット上の全員が閲覧できます」としており、閲覧範囲の設定が適切に行えていなかったことによるものです。

６．対応状況

　個人情報を含むすべてのファイルに閲覧制限を実施し、社外からのアクセスができない状態に変更しました。

７．当事者の皆さまへの連絡について

　情報が漏えいした可能性のある方で、ご連絡先が把握できた皆様には、順次、個別に電子メールによりお詫びと現在の状況及び今後の対応についてご連絡させていただいております。

８．二次被害の有無とその可能性について

　本件に関し、ご報告の現時点においては不正使用などの被害が発生した事実は確認されておりません。

９．再発防止策

　クラウドサービスを利用したファイルの管理・共有におけるアクセス範囲設定を見直し、個人情報を含むすべてのデータへのアクセスの制限を実施します。

　また、今後、一般的に利用できる本クラウドサービスで作成したファイルの業務利用禁止を社内で周知し、会社で管理されている本クラウドサービスで作成したファイルの利用を徹底・遵守します。この措置により、アカウントのIDやパスワードを適切に管理し、情報システム部門による厳格な管理によって情報漏えいのリスクを抑えます。加えて、社内でのチェック体制を強化するとともに、個人情報に関する管理体制の強化、情報管理に関する規程やルール等の見直し及び社内への周知徹底し、再発防止に努めてまいります。

また、本件に関して個人情報保護委員会に報告いたしました。

　今回の事態を重く受け止め、今後このような事態が発生しないよう、再発防止に向けて個人情報の管理強化・徹底に努め、信頼回復に全力を尽くしてまいります。この度は、多大なるご迷惑とご心配をおかけいたしますこと、心より深くお詫び申し上げます。

プレスリリース（アーカイブ）

パスワードマネージャーとは、すべてのパスワードを生成し、安全な場所に保存することができるプログラムのことです / A password manager is a program that allows you to generate and store all your passwords in a safe location.（転載）～トレンドマイクロのパスワードマネージャーは使ってはいけない～

A password manager is a program that allows you to generate and store all your passwords in a safe location. 

cybernews.com/best-password-…

多くの人は、アカウントを登録することも、パスワードを作ることも嫌います。そのため、アカウント作成時に何度もパスワードを使いまわしてしまうのかもしれません。登録という問題は解決されますが、セキュリティ上のギャップが残り、それがある日突然爆発する可能性があります。

その解決策のひとつがパスワードマネージャーです。これを使えば、複雑なパスワードを作成して保存することができます。ここでは、パスワードマネージャーがどのように機能するのか、また、ウェブ上での安全性を高めるためにどのように利用できるのかをご紹介します。

尚、パスワードマネージャーの不具合でパスワードを消失するリスクもあります。

ツールの活用は重要ですが、ツールだけに頼るのは注意しましょう。

パスワードマネージャーとは何ですか？

パスワードマネージャーとは、すべてのパスワードを生成し、安全な場所に保存することができるプログラムです。ほとんどのパスワードマネージャーでは、クレジットカード情報や安全なメモなども保存することができます。さらに安全性と利便性を高めるために、パスワードマネージャーはマスターパスワードの代わりにバイオメトリックデータ（指紋や顔）の使用をサポートしています。また、選択した情報をメールやインスタントメッセージにコピーペーストすることなく、家族や友人と共有することもできます。

そのため、各サイトで使用するすべてのログイン情報を記憶するのではなく、パスワードマネージャーを使用する場合は、1つのマスターパスワードを記憶するだけで済みます。また、自動保存や自動入力機能のおかげで、すべてのアカウントに簡単に接続できるようになります。

パスワードマネージャーはどのようにしてパスワードを保護するのですか？

パスワードマネージャーを分類する方法は複数あります。しかし、今回は3つの技術を紹介し、それらがどのように機能するかを説明したいと思います。また、プロバイダによっては、データを保存するために複数の方法を提供していることも指摘しておかなければならない。ほとんどのプロバイダは、あなたの金庫を保護するマスターパスワードを使用する必要があります。

ここでは、3種類のパスワードマネージャーを紹介します。

• ローカルにインストールされた、またはオフラインのパスワードマネージャー
• ウェブベース（オンライン）のパスワード管理サービス
• ステートレスまたはトークンベースのパスワードマネージャ

それでは、それぞれについて詳しく見ていきましょう。

ローカルにインストールされた、またはオフラインのパスワードマネージャー

その名の通り、ローカルにインストールされたパスワードマネージャーは、オフラインパスワードマネージャーとも呼ばれ、あなたのデータをあなたのデバイスに保存します。パソコンでもスマートフォンでも、お好みに応じてご利用いただけます。パスワードは、パスワードマネージャー本体とは別に、暗号化されたファイルに保存されています。パスワードマネージャーの中には、それぞれのパスワードを別々のファイルに保存できるものもあり、全体のセキュリティを大幅に向上させることができます。

いつものように、オフラインの金庫にアクセスするには、マスターパスワードが必要です。強力なパスワードであれば、政府やハッカーがあなたのローカルデータベースに侵入する可能性は最小限に抑えられます。というのも、軍用の暗号を解読するには膨大な時間がかかるからです。さらに、すべてのパスワードが入ったデバイスをオフラインにしておけば、押収しない限りアクセスすることはできません。

オフラインのパスワードマネージャには、当然ながらいくつかの欠点があります。まず、複数のデバイスで使用するのは難しいでしょう。保管場所は1つしかなく、他のデバイスは保管場所のあるデバイスと何らかの方法で同期する必要があります。これは通常、ローカルにインストールされたパスワードマネージャーのあるデバイスをオンラインにすることを意味し、第三者がアクセスできるようになります。最後に、オフラインのパスワードマネージャーがインストールされたデバイスが故障し、バックアップがない場合、面倒な手作業を覚悟しなければなりません。

オフラインまたはローカルにインストールされたパスワードマネージャーがあれば、パスワードはローカルに保存されていることになります。正確に言うと、それはあなたが金庫として選んだデバイスです。ただし、複数のデバイス間でパスワードを同期させることができるので、すべてのデバイスがオンラインになっている必要があります。さらにセキュリティを強化したい場合は、パスワードを異なるファイルに保存し、それぞれに固有のキーを必要とすることができます。

【メリット】

• 誰かにパスワードの保管場所を破られるリスクを排除できる
• 通常、無料のサービスです

【デメリット】

• 1台のデバイスでしかVault(金庫≒マスターデータ)にアクセスできない
• デバイスを紛失した場合、Vaultも紛失。

ウェブベースまたはオンラインのパスワード管理サービス

最も普及しているウェブベースのパスワードマネジャーは、パスワードをクラウド（通常はプロバイダーのサーバー）に保存します。このように設定することで、オンラインパスワードマネージャーのソフトウェアをインストールしなくても、いつでもどこからでもパスワードにアクセスできるようになります。ウェブアプリケーションでアクセスできない場合は、ブラウザの拡張機能やモバイルアプリケーションが必要となります。

しかし、自分のパスワードがプロバイダからアクセスできないことをどうやって知ることができるでしょうか。評判の良いオンラインパスワードマネージャーは、すべてゼロトラストテクノロジーを使用しています。つまり、データをサーバーに送信する前に、あなたのデバイス上でデータを暗号化するということだ。これは、お客様のデータは、お客様のデバイス上で暗号化され、サーバーに送信されますが、お客様のデータは、24時間365日、第三者がアクセスできる状態にあります。さらに、あなたのデバイスにキーロガー・マルウェアがあり、二要素認証を使用していなければ、セキュリティ対策は何の意味もありません。

最後に、ウェブベースのパスワードマネージャーにはお金がかかると思ってください。素晴らしい無料版もありますが、デバイスの制限やダークウェブのスキャンなど一部の機能は常に有料です。とはいえ、ほとんどの有料オンライン・パスワード・マネージャーは、特に長期的に利用するのであれば、銀行を破綻させることはないでしょう。

あなたはオンライン（またはウェブベース）のパスワードマネージャーを使っているかもしれません。この場合、あなたのパスワードはオンラインで保存されます。マスターパスワードさえあれば、24時間いつでもどこからでも利用できます。パスワードマネージャークライアントをインストールする必要はありません。ほとんどの場合、ブラウザの拡張機能で十分です。ほとんどの場合、ブラウザの拡張機能で十分です。時々、プロバイダのウェブサイトで利用可能なウェブアプリケーションを介してボールトにアクセスできます。

【メリット】

• すべてのデバイスでVaultを同期できる
• 通常は有料のサービスとなります

【デメリット】

• 認証にはインターネットへの接続が必要です。
• 認証情報が未知の場所に保存されている

ステートレスまたはトークンベースのパスワードマネージャー

最後にご紹介するのは、トークンベースまたはステートレスのパスワードマネージャーです。このシナリオでは、フラッシュUSBデバイスなどのローカルハードウェアに、特定のアカウントのロックを解除するためのキーが格納されている。ログインするたびにパスワードが生成されるため、パスワードの保管場所もありません。安全性を高めるために、トークンだけでなく、マスターパスワードも使用することをお勧めします。こうすることで、二要素認証を実現することができます。

ステートレス型のパスワードマネージャーは、そもそもデータベースが存在しないため、デバイス間の同期が不要です。ある意味では、ハッカーがすべてのパスワードを見つけられる場所がないので、そのほうが安全です。ただし、トークンベースのパスワードは、マスターパスワードと1つのアカウントを知っていれば、ハッキングすることができます。

オンラインのパスワードマネージャーとは異なり、これらは通常、無料でオープンソースである。そのため、フォーラムやナレッジベースでのサポートしか受けられないため、アマチュアユーザーには特にお勧めできない。その上、トークンを生成するためには、スマートカードリーダーやUSBスティックが必要になります。

トークンベースのパスワードマネージャー（ステートレス・パスワードマネージャーとも呼ばれる）を使っている人は、パスワードがどこにも保存されていないことになります。どうしてそうなるのでしょうか？その名のとおり、パスワードの保管場所はなく、特定のアカウントにアクセスするたびにトークンが生成されるだけだからだ。トークンは、USBメモリなどの外部デバイスで生成することができます。

【メリット】

• 認証情報は別のデバイスに保存されます

【デメリット】

• デバイスを紛失すると、アクセス権も失われる
• この方法では、通常、専用のハードウェアとソフトウェアが必要

パスワードマネージャーはどのようにパスワードを暗号化するのですか？

256ビットのAES暗号は、データの暗号化と復号化を行い、許可された人だけがアクセスできるようにするために使用される軍用レベルの暗号です。2005年にNSAや大手企業が採用したことで、仮想プライベートネットワーク、ファイアウォール、パスワードマネージャーなどの標準仕様となりました。

AESが暗号化であるのに対し、256ビットは鍵である。暗号化キーは0と1のランダムな文字列です。この場合、2の256乗通りの組み合わせがあるということになります。組み合わせが多ければ多いほど、ブルートフォースで正しいものを作るのが難しくなります。

AES 256ビットは、いわゆる共通鍵暗号化アルゴリズムです。鍵はデータの暗号化と復号化の両方に使用されるため、双方がそれを知っている必要があります。一方、公開鍵暗号では、暗号化に公開鍵を使用し、復号化に秘密鍵を使用します。そのため、秘密鍵はデバイスから離れる必要がなく、セキュリティが向上します。

すべてのパスワードマネージャが AES-256 暗号化を使用するわけではありません。安全性の低い（ブルートフォースが極めて困難な）AES128ビット規格を採用しているものもあります。このようなパスワードマネージャーは、無料のオープンソースのパスワードマネージャーであることが多く、アップデートの頻度は低いです。

しかし、AES 256ビットよりも優れた暗号化は、すでに XChaCha2 という名前で登場しています。今のところ、プレミアムパスワードマネージャーの中で、NordPassだけがこの次世代暗号を実装しています。NordPassには鍵の抽出にArgon2が搭載されており、XChaCha2はパスワード保管庫を暗号化します。

パスワードマネージャーを使う理由は？

1. パスワード生成。パスワードを考えるために、自分の好きなものについて15分も考え込む必要はありません。いくつかのパスワードマネージャでは、複雑さを変えた安全なパスワードを生成することができます。時間の節約になるだけでなく、よりよいパスワードを考え出すことができます。
   
   
2. プロセスの簡略化。パスワードマネージャは、パスワードを保存する最も安全な方法のひとつであるだけではありません。信頼できるパスワードマネージャーツールを使えば、1つのアプリケーションですべてのログインを管理することができます。多数のウェブサイトやプラットフォームを利用している人の救世主となる。
   
   
3. イチイチ入力不要。ほとんどのパスワードマネージャーには、パスワードやその他の定期的な情報を自動入力する機能が組み込まれています。それは、支払い情報や住所などにも及びます。パスワードをいちいち覚えておく手間が省けます。
   
   
4. 安全なパスワードの共有。多くの人が友人や家族とアカウントを共有しています。Netflixでは、すべてのユーザーが同じパスワードでログインできるようになっています。しかし、パスワードを共有するための最良の方法は、それをチャットに貼り付けることではありません。これではトラブルの元になってしまいます。そこでパスワードマネージャーは、ユーザーが他のユーザーと安全にパスワードを共有できるようにしました。
   
   
5. 複数プラットフォームに対応。アプリケーションとして、パスワードマネージャーは全く複雑ではなく、多くのリソースを必要としません。つまり、Webブラウザやスマートフォンのアプリなど、さまざまなプラットフォーム向けに開発することがはるかに容易なのです。エンドユーザーにとっては、どのような接続方法であっても、同じパスワード保管庫を利用することができるということです。
   
   
6. 多要素認証。ハッカーがキーロガーをインストールしてマスターパスワードを入手したとしても、二要素認証を有効にしていれば、世界の終わりを意味するものではありません。二要素認証がなければパスワードは使えませんから、あなたは安全ですし、金庫もロックされたままになります。

パスワードマネージャーの設定

その答えは、どのようなタイプのパスワードマネージャーを使おうとしているかによって異なります。トークンベースであれば、まず鍵の生成に使用するデバイスの種類を決める必要があります。また、オフラインのパスワードマネージャーに決めている場合は、データベースを保存する主なデバイスを選択する必要があります。また、オンラインサービスを利用する場合は、無料か有料かを選択することで、時間を大幅に短縮することができます。

7ステップのパスワードマネージャー設定

Webベースのパスワードマネージャーは最もユーザーフレンドリーなので、ここではそれを例に説明します。以下は、パスワードマネージャーを設定する際の主な手順です。

1. パスワードマネージャーをどのデバイスで使うかを決めます。スマートフォンにしますか？その場合、他の誰かがあなたのアクセスコードを知っていますか？タブレットやスマートテレビなど、家庭内の共有デバイスはどうしますか？職場のコンピューターでもパスワードマネージャーを使用しますか？これらは、金庫をセットアップする前に、自分自身に問いかけるべき最も重要な質問です。
   
   
2. 選んだパスワードマネージャーをインストールする。無料のものも有料のものもたくさんありますが、最高のパスワードマネージャーだけを使うことをお勧めします。無料版にどんな機能があるか（ある場合）、追加された特典が価格に見合うものかどうかを確認する必要があります。その上で、お使いのOSやブラウザに対応しているかどうかを確認してください。また、現在使っている金庫をインポートしようと思っているなら、まずそれが可能かどうかを確認しましょう。最後に、24時間365日のカスタマーサポートを受けるために多少の費用を払うことは、しばしば利益につながります。
   
   
3. 安全なマスターパスワードを作成する。選択したパスワードマネージャーがマスターパスワードの復元を可能にしている場合でも、覚えやすく、かつ推測しにくいパスワードを選択する必要があります。最後の条件を満たすためには、ランダムに選ばれた4〜5個の単語を含むパスフレーズを使用するのがよいでしょう。最後に、奇妙に聞こえるかもしれませんが、あなたが最も信頼している人とマスターパスワードを共有し、あなたに何かあったときに、その人があなたの金庫にアクセスできるようにしましょう。
   
   
4. 2要素認証（2FA）を有効にする。2FAを追加すると、パスワードのセキュリティが大幅に向上します。2つ目の要素は、「あなたが持っているもの」（おそらくスマートフォン）でもよいのですが、「あなた自身が持っているもの」を選び、生体認証を利用することをお勧めします。デバイスによっては、指紋だけでなく、顔認証も利用できます。さらに、マスターパスワードの代わりに2FAを使えば、タッチスクリーン端末での使い勝手が格段に向上します。
   
   
5. パスワードの入力を開始する。新しいパスワードマネージャーに慣れる前に、また、マスターパスワードがまだうまく覚えられないうちに、まずは重要度の低いパスワードを入力してみてはいかがでしょうか。マスターパスワードの復旧に使用するメールには、強力なパスワードを設定しておくとよいでしょう。そうしないと、ハッカーはメールボックスに侵入した後、簡単にあなたのデータベースを手に入れることができます。
   
   
6. 他のデータの追加も検討しましょう。パスワードマネージャの大半は、ログイン情報だけでなく、クレジットカードの詳細や安全なメモなども保存できるようになっています。オンラインショッピングが多い人は、支払い情報を自動入力できるようにしておくと、かなりの時間を節約できます。また、最も信頼できる友人にしか教えたくないような秘密を保管するのに、これほど適した場所はないでしょう。
   
   
7. ログイン情報を共有する。遅かれ早かれ、誰かがあなたのNetflixアカウントを尋ねるでしょう。ユーザー名とパスワードをコピーして貼り付けるのは最善の方法ではありません。そのため、パスワードマネージャーでは、他の人とログイン情報を共有することができます（少なくとも一部のサービスでは可能です）。一部のサービスでは、機密性が低く、共有されることの多いパスワードを保存するフォルダを作成することもできます。

パスワードマネージャーは、複数のデバイスやスマホアプリで使えますか？

すべてのパスワードマネージャーが、スマートフォンを含む複数のデバイスで動作するわけではありません。ステートレスなパスワードマネージャーは、1つのデバイスだけがアカウントのパスワードを生成できるという考え方に基づいています。さらに言えば、パスワードの保管場所を確認できるようなものでもありません。

また、ローカルにインストールされたパスワードマネージャーは、たくさんのデバイスでの使用には適していません。なぜなら、1台のパソコンやスマートフォンにデータベースを保存しているので、すべてのデバイス間での同期は可能ですが、便利ではないからです。もちろん、多要素認証を使用することになれば、互換性のある2つのデバイスが必要になるでしょう。

ウェブベースのパスワードマネージャは、複数のデバイス、モバイルアプリ、さらにはブラウザの拡張機能で動作する。また、プロバイダーのウェブサイトからアクセスできるウェブアプリケーションを提供しているところもあります。パスワードマネージャーはクラウドに保存されているため、デバイスを選ばず、最大限の使いやすさが保証されているのです。実際の利用範囲は、利用しているサービスによって異なります。

ダークウェブスキャナ - 電子メールとパスワードがハッキングされていないか確認する / Dark Web Scanner – Find Out If Your Email And Passwords Have Been Hacked（転載）

Dark Web Scanner – Find Out If Your Email And Passwords Have Been Hacked:

Dark Web Scanner, the tool that checks if your email has been hacked

パンダセキュリティは、ウォッチガード社の協力を得て、ダークウェブをスキャンして、お客様のアカウントに関連する情報が協力されているかどうかをチェックするツールを作成しました。

パンダセキュリティでは、サイバー犯罪者から自由に使えるツールがないことが多いユーザーのオンラインセキュリティを守るために、「ダークウェブスキャナー」を無料で提供しています。

実際、サイバー攻撃は、暗い画面にバイナリコードが並んでいるという、一般的に想像されているイメージとは大きく異なります。一度に何十万人ものユーザーに影響を与えるデータ侵害は、多くの場合、単純な方法で行われ、サイバー犯罪者は、気づかれないことが多いツールの見かけ上の無害さを利用して大成功を収めています。

必要な予防措置を講じているにもかかわらず、故意にデバイスを使用している間に、パスワードや個人情報が流出したり、ディープウェブ上で販売されたりする可能性があります。お客様のデータが盗まれた場合、ハッカーはそのデータを使って、お客様の現在の口座にアクセスしたり、お客様の資産にアクセスしたり、お客様のアイデンティティを盗むことができます。

パンダセキュリティのコンシューマープロダクトマネージャーであるAlberto Añón氏は、「データ、特にログイン認証情報の盗難が、サイバー犯罪者にとって非常に重要な資金源になっている時代です。」と語っている。

お客様の個人情報が盗まれたかどうかを確認する方法

パンダセキュリティは、シンプルで無料のソリューションを提供しています。WatchGuardのサポートにより、ダークウェブをスキャンし、お客様のアカウントに関連する情報が侵害されていないかどうかをチェックするツールが開発されました。その名も、「Dark Web Scanner」です。

「このPanda Domeの新機能は、お客様からのご要望と、ますます複雑化するデジタルの世界に適応するための絶え間ない必要性から生まれたものです。パンダセキュリティは、ユーザーの皆様のサービスとセキュリティを継続的に向上させることをお約束します」とパンダセキュリティのコンシューマープロダクトマネージャー、Alberto Añón氏は付け加えます。

ダークウェブスキャナーは、マイパンダアカウントからアクセスできます。

しかし、My Pandaアカウントをお持ちでない方は、パンダセキュリティのお客様でなくてもDark Web Scannerをご利用いただけます。

Cl0Pランサムの追跡記事 / Meet the Ransomware Gang Behind One of the Biggest Supply Chain Hacks Ever（転載）

Cl0Pランサムの追跡記事

Meet the Ransomware Gang Behind One of the Biggest Supply Chain Hacks Ever

キャット・ガルシアは、Emsisoft社のサイバーセキュリティ・リサーチャーで、仕事の一環として、Cl0pと呼ばれるランサムウェア・ギャングを追跡しています。

しかし、先月末にハッカーからメールが届いて彼女は驚いた。そのメールの中で、Cl0pのハッカーたちは、妊婦向けの衣料品店のサーバーに侵入し、彼女の電話番号、メールアドレス、自宅住所、クレジットカード情報、社会保障番号を知っていると言っていました。

"この会社から連絡がない場合、あなたとあなたの購入した商品に関する情報、およびあなたの支払い情報がダークネット上に公開されることをお知らせします。" とハッカーたちは書いています。"このお店に電話か手紙で、プライバシー保護をお願いします。"

ガルシアは、今回の事件について、"脅威となる人物が犯罪を収益化するためにどれだけのことをするかを示している "と述べています。

C10pのサイバー犯罪者たちは現在、侵入された企業の顧客を募り、自分たちがハッキングした企業への督促に協力してもらおうとしています。これは、被害者から金銭を搾取しようとするハッキンググループの最新の動きであり、2021年初頭にCl0pが最も興味深く、恐ろしいハッキンググループの一つとなった理由の一つでもあります。

"ランサムウェアの追跡を専門とするEmsisoft社のセキュリティ・リサーチャーであるBrett Callow氏は、電話で次のように述べています。「ランサムウェアのグループが、顧客の連絡先情報を使って電子メールで一斉に連絡を取るというのは、私の記憶では初めてのことです。

"In our team there is no me, there is only us, as a rule, most people are interchangeable."

Cl0pを追跡したセキュリティ研究者は、ブログやMotherboardへの寄稿で、このグループを「冷酷」「洗練された革新的」「よく組織された構造」「非常に活発で、ほとんど疲れを知らない」という「犯罪企業」と表現しています。

このグループの最近の被害者には、石油大手のシェル、セキュリティ企業のクオリス、米国の銀行フラッグスター、話題のグローバル法律事務所ジョーンズ・デイ、スタンフォード大学、カリフォルニア大学などが含まれており、ファイル転送アプリケーションを提供しているアクセリオンに対するサプライチェーンハッキングの被害者となっています。

このグループを追跡している複数のセキュリティ企業によると、「TA505」や「FIN11」と呼ばれる「Cl0p」は、少なくとも3年前から存在していました。しかし、このハッカーたちは最近になって、何十社もの企業の機密データの宝庫にアクセスできるようになったことで、大きな話題となり、注目を集めています。

Accellion社によると、このハッカーたちは、世界中の約300社で利用されているファイル共有サービス「Accellion File Transfer Appliance（FTA）」に対するサプライチェーン攻撃の恩人であり、また犯人であるという見方もあります。セキュリティ研究者たちは、Cl0pがAccellion社を危険にさらしたハッキンググループなのか、それとも元々のハッキンググループがアクセス権を与えた後に、盗まれたデータを収益化しているグループなのか、まだはっきりとは分かっていません。

マザーボードはメールでの会話の中で、Accellion社のサプライチェーンハッキングの背後にいるのは自分たちなのか、そしてどのようにそれを行ったのかをハッカーたちに尋ねました。

"Yes, Somehow" とハッカーたちは答えました。

Cl0pは、ウェブサイト「CL0P^_- LEAKS」で、企業名と盗まれたデータのサンプルを公開していました。韓国のサイバーセキュリティ企業S2WLABの一部門であるTalonの研究者が電子メールで述べているように、「ダークウェブ上のデータ流出ページで削除されている企業も見受けられる」とのことで、おそらく身代金を支払ったためだと思われる。

先週の時点でCL0P^_- LEAKSには52社が登録されている。これらは、ハッカーが要求した身代金を支払っていない企業と推測される。このグループを研究しているFox-IT社の研究者、Antonis Terefos氏は、このグループが150社以上の企業をハッキングしていると推定している。

Cl0pは、被害者の名前、社会保障番号、自宅住所、金融機関の書類、パスポート情報などの機密データをウェブサイトに掲載し、自分たちが手にしているデータや、被害者がお金を払わなければ何ができるのかを示そうと、ハッキングを公表しています。

Accellion社の広報担当者は、今回のハッキングの規模を軽視し、「FTAの全顧客約300社のうち、攻撃を受けたのは100社未満である。このうち、重要なデータが盗まれたと思われるのは25社以下である」と述べています。

Cl0pは通常、侵害された企業に直接メールで連絡を取り、盗んだデータが自社のチャットポータルに流出するのを避けるために、支払いの交渉を持ちかけます。企業が同意してすぐに支払えば、ハッカーはデータを漏らさず、企業名もウェブサイトに掲載しません。時には、支払い後に機密データを削除したことを証明するビデオを見せることもあります。Cl0pを追跡している複数のセキュリティ研究者によると、企業が関与を拒否した場合、ハッカーはデータの漏洩を開始します。 

"私たちが見た被害者とのコミュニケーションでは、彼らは比較的プロフェッショナルで敬意を払っています。だから、彼らは割引を提供しているのです」と、FireEye社の金融犯罪分析チームのマネージャーであるキンバリー・グッディは、Motherboard社に電話で語った。

Cl0pは、いくつかの大きな被害者を出しさえすれば、いいお金を稼げることを知っているようです。

2020年末にFireEyeが観測したあるケースでは、Cl0pのハッカーは被害者に2000万ドルを要求しました。交渉の結果、被害企業は600万ドルまで値下げすることができたという。韓国のセキュリティ企業S2WLABは、1月に220ビットコインを支払う被害者を目撃したと述べており、これはFireEyeが観測したのと同じケースと思われる。

別のケースでは、ハッカーが別の被害者に、合意に達するまでの期間に応じた割引を提示していました。グッディによると、3〜4日以内なら30％、10日以内なら20％、20日以内なら10％の割引とのこと。

しかし、ハッカーたちはいくつかのミスを犯しています。Cl0pは、被害者とのコミュニケーションに、パスワードで保護されていない独自のチャットポータルを使うことがあります。グッディによると、そのために研究者や、URLを推測できる人なら誰でも交渉の様子を見ることができるとのことです。

Cl0pは、Netwalker、REvil、CONTIなどの他のランサムウェアグループとは異なり、アフィリエイトプログラムを運営していません。つまり、彼らは自分たちのマルウェアを他のサイバー犯罪者と共有して、その収益の一部を得ることはありません。Cl0pは、ハッキング活動の最初から最後までを運営しているようで、そのため収益の規模が小さくなっているとGoody氏は指摘しています。

"彼らは、ゆっくりとした着実なペースに満足しています。つまり、成功すれば何百万ドルも要求される彼らが、こうした妥協から大金を稼げない可能性がないわけではないのです」とグッディは言います。"彼らは、他の俳優たちのように、必ずしも貪欲ではないのです。

"見知らぬ人にいくら稼いでいるかを尋ねるのは下品だ」とハッカーは言っています。

また、ハッカーたちは自分たちのことをあまり語らなかった。

"私たちのチームには、私は存在せず、私たちだけが存在します。原則として、ほとんどの人が入れ替わります。" 彼らは、メールインタビューでこう書いています。"チームには何人かの人がいて、数年前から存在しています。"

ハッカーの身元は不明ですが、セキュリティ研究者の間では、ロシアと旧ソ連諸国で形成されている独立国家共同体（CIS）の一部の国を拠点としている可能性が高いと考えられています。

"It's only a matter of time before they make a mistake which will help [law enforcement to identify its members."

Goody氏によると、Cl0pのランサムウェアにはロシア語のメタデータが含まれており、ハッカーたちはロシアの祝日に活動を停止するようです。さらに、Cl0pのランサムウェアは、感染したコンピュータがロシア語の文字セットやCIS諸国のキーボードレイアウトを使用しているかどうかをチェックするようにプログラムされているといいます。そのような場合、ランサムウェアは自分自身を削除します。

これは、自国民に影響を与えない限りサイバー犯罪を容認すると考えられているロシアや他の東欧諸国の当局の目に留まらないようにするための、真の意味での戦略なのです。このような対策にもかかわらず、Cl0pは少し人気が出すぎているのではないかという意見もあります。

"「彼らは注目されすぎていて、良いことではありません。去年は誰も興味を示さなかった。去年は誰も興味を持っていなかったが、今では多くの報道がなされ、（法執行機関による）訴訟も続いている」と、報道機関への取材許可を得ていないため匿名を希望したあるセキュリティ研究者はMotherboardにメールで語っています。"他のランサムウェアギャングのように、注目されないようにブランドを変更するかもしれません。また、独立国家共同体（Commonwealth of Independent States）のような安全な場所に住んでいるため、活動を続けているのかもしれません。願わくば、ある朝、彼らのドアが蹴破られることを...」。

Terefos氏も同じ意見です。

「法執行機関がメンバーを特定するのに役立つようなミスを犯すのは時間の問題だ」と彼は言う。

Passwordstateの更新配信サーバが不正アクセスを受け、不正なDLLを混入される。 / Passwordstate hackers phish for more victims with updated malware（転載）～サプライチェーンリスクの顕在化事例～

Passwordstate hackers phish for more victims with updated malware:

企業向けパスワードマネージャー「Passwordstate」を提供しているクリックスタジオ社は、「Moserpass」という最新のマルウェアを使ったフィッシング攻撃が続いているとして、顧客に警告を発しています。

先週、クリックスタジオ社は、4月20日から4月22日の間に、攻撃者がパスワードマネージャーの更新メカニズムを悪用して、情報を盗むマルウェア「Moserpass」を、まだ公表されていない数の顧客に配信することに成功したと、ユーザーに通知しました。

クリックスタジオ社は日曜日に2回目の勧告を発表し、"上記の時間帯に所定のアップグレードを行った顧客のみが影響を受けていると考えられ、Passwordstateのパスワード記録が盗まれている可能性がある "と述べた。

フィッシングメッセージのコピー ソーシャルメディアで共有されるClick Studiosメール

それ以来、クリックスタジオ社は、影響を受けた可能性のあるお客様に電子メールで支援を行い、お客様のシステムからマルウェアを取り除くためのホットフィックスを提供してきました。

しかし、今回の勧告で明らかになったように、クリックスタジオ社から受け取ったメールがソーシャルメディア上で顧客に共有されたことで、未知の脅威行為者が同社の対応に似せたフィッシングメールを作成し、新たなMoserpassの亜種を押し付けていました。

Passwordstateのお客様を対象とした、Moserpassデータ盗難マルウェアに感染させようとする継続的なフィッシング攻撃は、少数のお客様を対象としていると報告されています。

同社は現在、不審な電子メールを受け取った方に、「警戒を怠らず、あらゆる電子メールの有効性を確認してください」と呼びかけています。

" メールが当社からのものかどうかわからない場合は、テクニカルサポートにメールを添付して送信し、確認してください」とクリックスタジオは付け加えています。

初期分析によると、このファイルには、不正なMoserware.SecretSplitter.dllの新しい修正バージョンが含まれており、読み込み時に別のサイトを使用してペイロードファイルを取得しようとします。このペイロードファイルは現在も分析中です。- クリックスタジオ社

お客様には、保存されているすべてのパスワードをリセットするようお願いします。

Moserpassマルウェアは、システム情報とPasswordstateのデータベースから抽出した以下のようなパスワードデータの両方を収集し、流出させるように設計されています。

• コンピュータ名、ユーザ名、ドメイン名、現在のプロセス名、現在のプロセスID、実行中のすべてのプロセス名とID、実行中のすべてのサービス名、表示名、ステータス、Passwordstateインスタンスのプロキシサーバアドレス、ユーザ名とパスワード
  
  
• タイトル、ユーザー名、説明、GenericField1、GenericField2、GenericField3、メモ、URL、パスワード

クリックスタジオ社は、今回の侵害でクライアントをアップグレードしたPasswordstateのお客様に、データベースに保存されているすべてのパスワードをリセットするようアドバイスしました。

Passwordstateは、開発元が主張しているように、世界中の29,000社で働く37万人以上のIT専門家が使用しているオンプレミス型のパスワード管理ソフトです。

クリックスタジオ社のソフトウェアは、政府、防衛、航空宇宙、金融、ヘルスケア、自動車、法律、メディアなど、幅広い業種の企業（フォーチュン500ランキングに入っている企業も多数）に採用されています。

マーケティングプラットフォームApollo.ioが不正アクセスを受け、1,100万件の個人情報が盗取＆販売される / 11 million records of French users stolen from marketing platform and put for sale online（転載）～日本で起きた場合、想定損害賠償額は110億円程度か～

11 million records of French users stolen from marketing platform and put for sale online:

今回の流出により、数百万人のApollo.ioユーザーとその雇用者が、フィッシングやソーシャルエンジニアリング攻撃、ブルートフォース攻撃などの危険にさらされる可能性があります。

人気のハッキング・フォーラムのユーザーが、米国のセールス・エンゲージメントおよびデジタル・マーケティング企業であるApollo社から盗まれた約1,100万件のユーザー記録を含むとされるデータベースを販売しています。

流出したアーカイブに含まれるファイルには、データが盗まれたとされるフランス在住の10,930,000人のユーザーに関する、フルネーム、電話番号、位置座標、職場情報、ソーシャルメディアのプロフィールなど、さまざまな情報が含まれています。

この投稿者は、データがどのようにしてApollo社から流出したのかについて、追加情報を提供していません。また、Apollo社の顧客データベースのうち、フランス国内の部分だけでなく、それ以外の部分も脅威となる人物が保有しているのか、あるいは、以前にApollo社が被った不正アクセスから盗まれたデータなのかは不明です。

Apollo社に、このリークが本物であることを確認できるかどうか、また、ユーザーや顧客に警告を発しているかどうかを尋ねましたが、このレポートを書いている時点では、同社からの回答は得られていません。

自分のオンラインアカウントが他のセキュリティ侵害で公開されていないかどうかを確認するには、150億件以上の侵害記録を収録した個人情報漏洩チェックツールをご利用ください。

何が漏洩した?

流出したアーカイブから見たサンプルによると、Apollo社がLinkedInのプロフィールから収集した可能性のある、ユーザーの様々な主に職業上の情報が含まれているようです。

• フルネーム
• 個人および仕事上のEメールアドレス
• 電話番号
• ユーザーとその雇用者の位置座標
• 現在および過去の雇用形態、詳細な雇用主情報などの職業データ
• LinkedInプロファイルへのリンク

流出したデータの一例：

漏洩した会社はどこですか？

Apollo社は、サンフランシスコを拠点とするソフトウェア企業で、企業がマーケティング目的でコンタクトを取るべき新しい見込み客を識別、分析、発見するためのデジタルプラットフォームを開発しています。

Apollo社自身によると、同社は四半期ごとにセキュリティ監査を実施し、定期的に侵入テストを行い、侵入検知システムをオンラインで運用しているとのことです。そうは言っても、Apollo社がデータを流出させたのは今回が初めてではありません。2018年には、2億人のユーザー記録を含むデータベースが脅威主体に侵入されたことで、同社は批判にさらされました。

漏洩の影響は?

Apollo社のデータベースで見つかったデータは、情報が流出したユーザーや雇用者に対して様々な形で使用される可能性があります。

• ターゲットを絞ったフィッシング攻撃の実施
• 1,100万件の電子メールおよび電話番号へのスパム送信
• 個人の電子メールアドレスやLinkedInのプロフィールのパスワードを強制的に変更する行為
• 勤務先の企業ネットワークに侵入するために、勤務先の電子メールアカウントに侵入しようとする行為

今回流出したアーカイブには、社会保障番号、文書スキャン、クレジットカード情報などの機密情報は含まれていないようですが、電子メールアドレスだけでも、脅威をもたらすには十分な情報となります。

特に決意の固い攻撃者は、流出した情報を他の侵害事件のデータと組み合わせて、潜在的な被害者のより詳細なプロファイルを作成し、被害者やその雇用者に対してフィッシングやソーシャルエンジニアリングの攻撃を仕掛けたり、あるいは個人情報の窃盗を行ったりすることができます。

Next steps

フランスにお住まいの方で、今回の漏洩事件でご自身のデータが流出した可能性があると思われる方は、以下の点にご注意ください。

• アポロの個人データ削除ページにアクセスし、プロのプロフィールを削除するよう依頼します。
• 個人用と仕事用のメールアカウント、およびLinkedInアカウントのパスワードを変更します。
• 強力なパスワードを作成し、それを安全に保管するために、パスワードマネージャーの使用を検討する。
• すべてのオンラインアカウントで2ファクタ認証（2FA）を有効にする。

フィッシングの可能性のあるメールやテキストメッセージに注意してください。怪しいものをクリックしたり、知らない人に返信したりしないでください。

米CISA/MS-ISAC発行「ランサムウェアガイド 2020年9月」ランサムウェア対応チェックリスト試訳（転載）

piyokango retweeted: @piyokango 米CISA/MS-ISAC発行「ランサムウェアガイド 2020年9月」ランサムウェア対応チェックリスト試訳 qiita.com/todkm/items/6f… #Qiita:

piyokango retweeted:

@piyokango 米CISA/MS-ISAC発行「ランサムウェアガイド 2020年9月」ランサムウェア対応チェックリスト試訳 qiita.com/todkm/items/6f… #Qiita

はじめに

以下は、米サイバーセキュリティ・インフラストラクチャー・セキュリティ局(CISA)と州横断ISAC(Multi-Sate ISAC)が2020/09/30に共同でリリースした ‘RANSOMWARE GUIDE SEPTEMBER 2020’ の後半部分 Part 2: Ransomeware Response Checklist で、ランサムウェア被害にあったときのチェックリスト形式の対応マニュアルです。一般的な企業なら必要十分でコンパクトな内容だと思います。

直訳で意味が通りづらい部分は適宜意訳しています。米国特有の固有名詞は正確な翻訳を意図していません。

また見出しが長文で書かれている個所は、独自に簡潔な見出しに変更し、見出しだった文章をそのセクションの最初の文にスライドさせています。

Part 2: ランサムウェア対応チェックリスト

万一あなたの組織がランサムウェアの被害者になった場合、CISAは以下のチェックリストを利用して対応することを強く推奨する。最初の3つのステップ（訳注：下記1.～3.のこと）は必ず実施すること。

検知と分析

1. 影響を受けたシステムの特定と即時の隔離

• 複数のシステムまたはサブネットが影響を受けたと思われる場合、ネットワークをスイッチレベルでオフラインにする。インシデント発生中にシステムを個別に切断できない場合があるため。
  
  
• ただちにネットワークを一時的にオフラインにすることができない場合は、ネットワークケーブル(例. イーサネット)の場所を特定し、感染を封じ込めるために、影響を受けたデバイスのプラグを抜くかWi-Fiから切断する。
  
  
• 最初に侵入した後、攻撃者はあなたの組織の活動や通信を監視して、自分たちの攻撃が検知されていないかを知ろうとする。したがって、組織で協力して、攻撃を検知したことや対策を取ろうとしていることを攻撃者に知られないように、電話などネットワーク以外の通信手段でシステムを隔離すること。さもないと攻撃者は横展開して攻撃を続けようとしたり(これはすでにありふれた戦術になっている)、ネットワークをオフラインにされる前にランサムウェア感染を拡大しようとする。

2. デバイスの電源を落とす例外的なケース

ネットワークからデバイスを切り離せない場合のみ、ランサムウェアのさらなる感染拡大を防ぐため電源を落とす

3. リストアとリカバリの優先順位付け

• リストアすべき重要システムの特定と優先順位付けをおこない、影響を受けたシステム内のデータの性質を確認する。
  
  
• リストアやリカバリの優先順位付けは、あらかじめ定義しておいた重要情報資産リストに基づいて行う。そのリストには安全衛生、収益源となるシステム、他の重要な情報システムや、それらシステムが依存するシステムも記載しておくこと。
  
  
• 影響を受けていないと思われるためリストアやリカバリの優先順位を下げたシステムやデバイスも記録しておくこと。そうすればあなたの組織はより効率的に業務を再開できるようになる。

4. 初期分析の文書化

あなたのチームと話し合って、起こった事実について最初の分析にもとづく最初の理解を文書化しておく

5. 利害関係者と今後の対応についての合意形成

社内外のチームや関係者がインシデントによる被害の低減や対応、リカバリのために何ができるかを合意しておく。

• あなたが入手できる情報を共有して、インシデントに関係する支援をいちばんタイムリーに受けられるようにすること。状況の変化に応じて、マネジメントや管理職に定期的に情報提供すること。関係者の中には、IT部門、マネージド・セキュリティサービスプロバイダー、サイバー保険会社、各部署の選任されたリーダーを含めること。
  
  
• 関係する政府機関や、ISAC、地方や国家の司法機関などの支援をうけることも考慮すること。下記連絡先リストを参照。
  
  
• 必要に応じて、広報部門と連携して社内および社外に正確な情報が伝わるようにすること。
  
  
• 'Public Power Cyber Incident Response Playbook' には組織としてのコミュニケーション手順の指針や、対外的なセキュリティインシデント発表のひな型があるので、あなたのチームと協力してできるだけ早く同様の手順や公式発表の草稿を作っておくこと。インシデント発生中に公式発表文を作成するのは最善策ではない。社内外とどの程度詳細に情報共有するのが適切か、情報をどのように流すのかは、このPlaybookを参照すれば事前に決めておくことができる。

封じ込めと除去

6. システムイメージとメモリキャプチャの採取

影響を受けたデバイス(例 ワークステーションやサーバ)のサンプルからシステムイメージとメモリのキャプチャを採取する。

さらに関連するログと、先行して侵入しているマルウェアのバイナリ、それに関連する観測事項やセキュリティ侵害インディケーター(IoC)をすべて収集すること(例. 疑わしいコミュニケーション・アンド・コントロールのIPアドレス、疑わしいレジストリエントリ、その他の検知された関連ファイル)。下記連絡先リストはこれらの作業を支援してくれる。

• 非常に消失しやすい性質のエビデンスや、一部しか確保できないエビデンスについては、損失や改ざんを防ぐために十分注意して保存すること(例. システムメモリ、Windowsセキュリティログ、ファイアウォールのログバッファ内のデータ)

7. 法執行機関への相談

入手可能な復号方法があるかもしれないので国の法執行機関に相談する。セキュリティー・リサーチャーはすでにいくつかのランサムウェアの暗号化アルゴリズムを解明している。

引き続きインシデントの封じ込めと被害の低減のため、以下のステップを続けること。

8. 影響を受けたシステムの特定と封じ込め

特定のランサムウェアについて信頼できるガイダンスを調査し(例. 政府や各種ISAC、著名なセキュリティーベンダー等)、追加の推奨手順を実施して、影響を受けたことが確定しているシステムを特定し、封じ込める。

• 既知のランサムウェアのバイナリの実行を停止、または無効化し、システムに対する被害や影響を最小化する。その他、関連する既知のレジストリ値やファイルを削除する。

9. 最初に不正侵入を受けたシステムとアカウントの特定

電子メールアカウントも含む。

10. 関連システムの封じ込め

ここまでで特定された不正侵入や侵害にもとづいて、さらなる不正侵入に継続的に悪用される可能性のある関連システムをすべて封じ込める。

不正侵入は機密情報の大量窃取をともなうことが多い。引き続き認証情報の悪用による不正アクセスから、ネットワークやその他の情報源を守るには、以下の対策を含めてもよい：

• VPN、リモートアクセスサーバー、シングルサインオン、クラウド、その他の外部公開されている情報資産の無効化。

11. 推奨する追加対策：サーバ側データ暗号化の迅速な特定

• 感染したワークステーションによってサーバ側のデータまで暗号化されてしまった場合、それを素早く特定する手順は以下のとおり。

1. 関連するサーバーで「コンピュータの管理」＞「セッション」および「開いているファイル」をチェックし、それらのファイルにアクセスしているユーザーやシステムを特定する。
   
   
2. 暗号化されたファイルやランサムノートのファイルプロパティーをチェックし、それらのファイルの所有者となっているユーザーを特定する。
   
   
3. ターミナルサービスのリモート接続マネージャーのイベントログをチェックし、成功しているRDP接続がないか確認する。
   
   
4. Windowsセキュリティログ、SMBイベントログ、関連するすべてのログをチェックし、重要な認証イベントやアクセスイベントがないか確認する。
   
   
5. 影響を受けたサーバーでWiresharkを実行し、ファイルの書き込みや名前の変更に関係するIPアドレスをフィルタで特定する(例 “smb2.filename contains cryptxxx”)。

12. 侵入検知・防止システムのログ精査

組織にある既存の検知システムまたは防止システム(ウイルス対策、エンドポイント検知対応(EDR)、IDS、侵入防止システム(IPS)等)およびログの精査をする。

それによって攻撃の初期段階に関係していた、別のシステムやマルウェアについてエビデンスを明らかにできる。

• 先行して侵入している「ドロッパー」マルウェアのエビデンスを探す。ランサムウェア感染はそれ以前に起こっていた未解決のネットワーク不正侵入の証拠かもしれない。ランサムウェア感染は、TrickBot、Dridex、Emotetといったランサムウエアがすでに存在していた結果であることが多い。
  
  
• これら最新のマルウェアのオペレーターはネットワークへのアクセス方法を販売していることが多い。場合によっては、攻撃者はそうしたアクセス方法を悪用してデータを窃取してから、データを公開するぞと脅迫した後で、さらに被害者を脅迫して支払いを迫ろうとネットワークをランサムウェアに感染させる。
  
  
• 攻撃者はネットワークに手動でランサムウェアをドロップし、不正侵入後の活動を分かりにくくする場合がある。継続的な侵入を防ぐには、バックアップから復旧させる前にそのようなドロッパーを注意して特定しておく必要がある。

13. 継続的攻撃の分析

外部から内部、内部から外部への継続的攻撃のメカニズムについて踏み込んだ分析を行う

• 外部から内部(outside-in)の継続的攻撃には、不正アカウントによる外部システムへの認証済みアクセスや、境界システムのバックドア、外部システムの脆弱性の不正利用などが含まれることがある。
  
  
• 内部から外部(inside-out)の継続的攻撃には、内部ネットワークに埋め込まれたマルウェア、または環境寄生(自給自足)型のシステム変更(例. Cobalt Strikeのような市販の侵入テストツールの悪用、PsExecを含むPsToolsの悪用、マルウェアを遠隔インストールし制御することによるWindowsシステムの情報収集や遠隔管理操作、PowerShellスクリプトの悪用)が含まれることがある。
  
  
• これらを特定する方法として、エンドポイント検知・対応(EDR)ソリューションの導入や、ローカルとドメインのアカウント監査、集中ログ収集システムで見つかったデータの精査、環境内での動きが一度でも特定された場合は、その該当するシステムのより深いフォレンジック分析が含まれることがある。

14. 優先順位に基づくシステム復旧

重要なサービスの優先順位付けに基づいてシステムを復旧する。（例：安全衛生または収益源となるサービス）

できればあらかじめ設定済みの標準イメージを利用する。

15. パスワードリセットと未対応部分への対処

環境が完全にクリーンにされ復旧した後(影響を受けたすべてのアカウントや継続的な不正メカニズムの除去を含む)、影響を受けたすべてのシステムのパスワードリセットを行い、セキュリティ面や可視化されていなかった部分の脆弱性や未対応部分に対処すること。

パッチの適用、ソフトウェアのアップグレード、その他それまで講じていなかったセキュリティ予防策の実施が含まれることもある。

16. インシデント終了宣言

上述の手順を踏むことや外部の支援を得ることも含め、確立された規準にもとづいて、所定のIT部門またはITセキュリティ責任者がランサムウェア・インシデントの終了を宣言する。

復旧とインシデント終了後の活動

17. システムの再接続とデータのリストア

システムを再接続し、重要なサービスの優先順位付けにもとづいてオフラインで暗号化されたバックアップからデータをリストアする。

リカバリー中にクリーンなシステムを再感染させないように注意すること。例えば、リカバリのために新たなVLANを構成する場合、確実にクリーンなシステムのみを追加すること。

18. 学びや対応結果の文書化

インシデントからの学びや関連するインシデント対応活動を文書化することで、組織のポリシー、計画、手順を更新・改善するための情報源として活かし、同様のインシデントについて今後の演習のガイドとする。

19. 当局や業界団体などとの情報共有

インシデントからの学びや関連する侵害インディケーター(IoC)を当局に共有し、さらに業界ISAC、情報共有分析機関(ISAO)にも共有し、コミュニティー内部の他の人々や組織の利益にもなるように考慮する。

バックアップ（RANSOMWARE_GUIDE_SEPTEMBER2020）

CISベンチマーク 2021年1月アップデート / CIS Benchmarks January 2021 Update（転載）

Blog | CIS Benchmarks January 2021 Update:

CISは、以下のCISベンチマークのリリースを発表します。これらのCIS Benchmarkのリリースは、チケット、コメント、コミュニティコールへの参加など、コミュニティへの貢献者の皆様の時間とサポートなしでは実現できませんでした。皆様の貢献は、私たちのコンセンサスプロセスにとって非常に貴重なものであり、ボランティア活動に感謝しています。

CIS Cisco NX-OS Benchmark v1.0.0

Cisco NX-OS を実行している Cisco デバイスの安全な設定を確立するための規定的なガイダンス。

この初期リリースに貢献してくれた Rob Vandenbrink に感謝します。

Download the CIS Cisco NX-OS Benchmark PDF

CIS SecureSuiteメンバーは、CIS WorkBenchにアクセスして、他のフォーマットや関連リソースをダウンロードすることができます。

CIS Apache Tomcat 9 Benchmark v1.0.0

Linux 上で動作する Apache Tomcat バージョン 9.0 のために安全な設定を確立するための指針です。このガイドは、Apache が提供する tar パッケージによってインストールされた Apache Tomcat 9.0 に対してテストされました。このリリースでの主な変更点：

• 勧告「厳格なサーブレットのコンプライアンスを有効にする」は、その影響の可能性があるため、レベル 2 に移動されました。
• TLS の使用に関するガイダンスが更新され、TLS バージョン 1.2 および/または 1.3 を推奨するようになりました。
• マネージャーアプリケーションパスワードを暗号化するための新しい推奨事項が追加されました。
• アーティファクトは、CIS-CATの将来のリリースに含まれる新しい自動化された評価コンテンツをサポートするために、多数の推奨事項に追加されました。

このリリースに貢献してくれたJoern Krueger氏、James Scott氏、Ardnor Zeqiri氏に特別な感謝の意を表します。

Download the CIS Apache Tomcat 9 Benchmark PDF

CIS SecureSuiteメンバーは、CIS WorkBenchにアクセスして、他のフォーマットや関連リソースをダウンロードすることができます。

CIS Apple macOS 10.12 Benchmark v1.2.0

Apple macOS 10.12のセキュアな構成姿勢を確立するための処方的なガイダンスです。このガイドはApple macOS 10.12に対してテストされています。このリリースでの主な変更点：

• パスワードポリシーセクションの監査と是正処置を更新しました。
• CIS コントロール v7.1 を追加しました。

このリリースに携わってくれたロン・コルビンとウィリアム・ハリソンに特別な感謝の意を表します。

Download the CIS Apple macOS 10.12 v1.2.0 Benchmark PDF

CIS Alibaba Cloud Foundation Benchmark v1.0.0

これは、Alibaba Cloud のための新しい CIS ベンチマークである。このベンチマークには、基礎的な設定、テスト可能な設定、アーキテクチャに依存しない設定に重点を置いた、Alibaba Cloud サービスのサブセットのセキュリティオプションを設定するための指針が記載されている。ここでは、その内容を簡単に紹介する。

• アイデンティティとアクセス管理（IAM）の設定
• ロギングとモニタリング構成
• ネットワーク設定
• 仮想マシンの設定
• ストレージ構成
• リレーショナルデータベースサービス（RDS）の設定
• Kubernetesエンジンの設定
• アリババクラウドセキュリティセンターの設定

コミュニティ、編集者、Alibaba Cloudチームに感謝します。

Download the CIS Alibaba Cloud Foundation Benchmark PDF

ZOZO、全社にパスワード管理ツール「1Password」導入（転載）～1Passwordの企業への導入事例は珍しいかも～

パスワード管理ツール1Passwordの全社導入から運用まで - ZOZO Technologies TECH BLOG:

 パスワード管理ツールの必要性

パスワード管理の基本は、強固なパスワードを作成し使いまわしせず、なるべく漏洩しないようにすることが挙げられると思います。ありがちなものとしては、以下のような方法があります。

• 付箋や紙に書いて管理
• PCのメモ帳で管理
• Excelで管理
• ブラウザに保存

ですがセキュリティや管理・運用のしやすさを考えると、上記の方法よりも専門ツールであるパスワード管理ツールを利用する方が優れています。

「パスワードなんてブラウザに保存できるからそれで事足りる」と思う方もいらっしゃると思います。しかし会社としてパスワード管理の基盤がないと、チームごとに管理方法が違ったりパスワードの共有に平文が用いられてしまったり様々なリスクが生じます。

パスワード管理ツールは、便利なだけではなくそういった問題を解決できるので、利用者側、管理者側ともに非常に有益なものと言えます。

パスワード管理ツールの選定

パスワード管理ツールは色々あります。

• 1Password
• LastPass
• パスワードマネージャー
• Keeper
• True Key
• Dashlane
• Bitwarden

ざっと調査しただけで、上記が挙げられます。

上記の全てを比較したわけではありませんが、どれも基本的な機能としては大差ありません。例えば下記のような機能があります。

• 複雑なパスワードの自動生成
• ID・パスワードの自動入力
• パスワードの強度や使い回しのチェック
• 多要素認証
• ID・パスワードの共有

強度の高いパスワードを生成でき、利用者は自身のマスタパスワードだけを覚えれば他のパスワードを覚える必要がなく、保存された情報は暗号化され安全に共有できます。もちろんパスワード以外のセンシティブな情報も保存できます。パスワード管理ツールはそのような機能を備えたツールです。

1Passwordの優位性

弊社では主に以下の点で、1Passwordを採用するに至りました。

Secret Keyの仕組みがある

1Passwordにはマスタパスワードに加えてSecret Keyがあり、たとえマスタパスワードが漏洩したとしても、Secret Keyを知らなければアクセスできません。マスタパスワードはデバイス上のデータを保護し、Secret Keyはデバイスからデータを保護してくれるとのことで、この二段構えの構成は安心できます。

グループ単位で管理できる

ビジネスプラン以上ではユーザグループを作成できます。グループにユーザを追加し、グループを保管庫（Vault）に紐付けることで権限付与が可能です。

CLI（コマンドライン）ツールがある

1Passwordにはコマンドラインツールがあります。コマンドラインツールに対応していることは、運用の自動化を考慮する上で重要な要素と捉えています。

例えば以下のようなことができます。

# ユーザ招待
op create user <メールアドレス> <氏名>
# ユーザの停止と再開
op (suspend | reactivate) <user>
# ユーザ削除
op delete user <user>
# 一覧取得
op list (users | groups | vaults | items | documents | templates) [--vault <vault> | --group <group>]

レポーティング（パスワード漏洩チェック）機能がある

1Passwordにはドメイン侵害レポートがあります。自社が管理するドメインを登録しておくと、漏洩に巻き込まれたアドレスを見つけることができます。このレポートを元にしてパスワードの変更をユーザへ促すことができます。

導入にあたっての課題

課題は大きく3つありました。

• プランの検討
• SSO（シングルサインオン）が可能か
• プロビジョニングが可能か
  
  

プランの検討

1Passwordのビジネス向けプランは3つあります。

• Teams
• Business
• Enteprise

結論から言うと弊社はBusinessプランを選択しました。

Teamsプランでは、詳細な権限管理ができないため、全社的に導入するとなると機能不足でした。

Businessプランでは、より詳細な権限管理からログ管理やレポート閲覧まで豊富な機能を備えているため、SaaS製品としての機能が十分であると判断しました。また、Azure Active Directory、Okta、OneLoginと連携できるのもこのプラン以上になっています。弊社としては、グループで管理できることが運用上大きなメリットでした。ユーザ単位で権限管理をするのは運用が煩雑になると思います。

Entepriseプランでは、上記の機能に加えて専用窓口を設けてくれたり、導入にあたりトレーニングを受けられるなどのメリットがあるそうです。ですが弊社ではそこまでのサポートは必要なく、Businessプランで利用できる機能さえあれば十分でした。

SSO（シングルサインオン）が可能か

弊社のシステム選定基準では、基本的にSSOが利用できるシステムを選定しています。しかし、1Passwordの仕様上SSOは不可でした。SSOできないことは利用者目線に立つとある程度の不便さはあります。ですが1Passwordの認証の堅牢性の土台となっているSecret Keyの有用性とのバランスを考慮して、SSO不可であることを許容しました。

プロビジョニングが可能か

プロビジョニングを行うためには1Password SCIM bridgeを構成する必要があります。

• Google Cloud Platform Marketplace
• Docker, Kubernetes or Terraformで構築

SCIM bridgeサーバを構築するために、主要なクラウドサービスにおいて試算を行いました。しかし、現状ではコストメリットが無さそうだったためプロビジョニングの導入は一旦見送りました。会社の規模拡大に合わせ、再度検討したいと思っています。プロビジョニングの代わりに、前述のコマンドラインツールを活用し運用することにしました。

実際の運用

全社導入前に一部の部署で1Passwordを先行利用していたのですが、その時はグループを利用しておらずユーザを保管庫に直接割り当てる運用をしていました。しかしこれでは統一性もなく管理が煩雑だったため、グループベースで管理するように運用を変更しました。ユーザからの利用申請も、kintoneを用いたワークフローで管理し、保管庫とグループの一覧はスプレッドシートにて管理することにしました。

スプレッドシートで管理した理由は2つあります。

1つはグループや保管庫、グループ内メンバーの一覧と、グループがどの保管庫と紐付いているかをユーザが確認できるようにするためです。ワークフロー申請時にどのグループの権限を変更するかなどを記載してもらう際に必要な情報だからです。

もう1つは各保管庫の運用管理者を把握し、ワークフローにおける承認ルートにその保管庫の運用管理者を入れるためです。1Passwordの管理者からでは、各保管庫が実際にどういった使われ方をしているのか分かりません。そのためメンバー追加などの依頼時に各保管庫の運用管理者の承認を確実に得た状態で、管理作業を行っています。

導入効果

パスワード管理の理想的な運用基盤を構築できたことが大きな効果でした。人に依存した運用ルールで安全にパスワードを管理することは限界があります。パスワード管理ツールを用いることで、半強制的にガイドラインに沿った運用へ切り替えることができました。また冒頭で記載した通り、パスワードを平文で保存することはセキュリティリスクになります。そのためパスワードを暗号化できるパスワード管理ツールは、セキュリティの監査に対する解決策の1つとしても有効です。

分かりやすい効果としては以下のようなものがありました。

共有アカウントのパスワードを安全に共有できる

様々なパスワードを覚える必要がなくなり、パスワードジェネレータによって強力なパスワードの生成が容易になりました。例えば自分が共有しているパスワードを変更したとしても、1Password上のパスワードさえ更新されていれば、他の人に新しいパスワードを都度共有し直す必要はありません。利用者は自分のマスタパスワードだけを覚えていればよく、パスワードが変更されたことを知らずともログインできるからです。

また、セキュアにID・パスワードの共有が可能になり、閲覧権限の範囲をコントロールし易くなりました。例えば範囲がチームをまたぐような場合でも、専用のグループを作って該当者を入れてそのグループに保管庫の閲覧権限を割り当ててあげればよいわけです。

多要素認証のワンタイムパスワードの代替

さらに便利だと思ったのは、多要素認証で使用するワンタイムパスワードを1Password上に保存できることです。Authenticator系のアプリと同じように秘密鍵を1Passwordに保存することで、1Password上にワンタイムパスワードが表示されるようになります。

通常、多要素認証ではSMS（ショートメッセージサービス）やAuthenticator系のアプリでワンタイムパスワード（認証コード）を得るため必ずモバイル端末が必要になってしまいます。多要素認証を1Password上に保存すれば端末に縛られない運用が可能になります。

具体的な手順を解説します。

1. まずは設定したいシステムの設定画面で、多要素認証の追加（もしくは変更）を実行し、その手順の中で秘密鍵を取得
   
   Authenticator系のアプリで読み取るためのQRコードが発行される画面などで、秘密鍵を表示できる箇所があると思いますので調べてみてください。※各システムによって異なります
   
   
2. 秘密鍵を入手したら1Passwordのアイテム編集に移動
   
   
3. 1Passwordのアイテム編集画面でラベルの欄にある…（三点リーダー）アイコンを選択
   
   
   
   
   
4. ワンタイムパスワードを選択
   
   
   
   
   
5. ワンタイムパスワードの欄に、先程入手した秘密鍵を貼り付けて保存
   
   
   
   

以上の手順でワンタイムパスワードが表示されるようになりました。元の秘密鍵を入手した画面（手順1）に戻り、6で表示されているワンタイムパスワードを入力して認証し作業は完了です。

まとめ・残課題

実際に導入してみて、パスワード管理ツールに慣れていないユーザからはいまいちよく分からないツールだと思われてしまう印象がありました。そのためマニュアルとは別に使い方を解説する動画を制作し、ユーザがより理解しやすいように工夫しました。

パスワード管理ツールは入れて終わるツールではありません。例えばパスワードをブラウザへ保存してるユーザに対して1Passwordへの移行を促す必要があります。また、ドメイン侵害レポートをチェックし、漏洩したパスワードを使用しているユーザにパスワードの変更を呼びかけることも重要です。活用方法や正しいパスワードの管理方法などは都度啓蒙していく必要があると感じています。