セキュリティインシデントのタレコミ(相談)先（警察関係）

最近、とあるインシデント対応でJPCERT/CCのお世話になっているのだが、その絡みで全国47都道府県警にもサイバー犯罪相談窓口が存在し、しかもそれが一覧化されたページがあることを発見。

警察ってサイバー犯罪対策を強化しているイメージはあったが、
各都道府県警察で窓口が整備されている認識はなかったので、少しびっくり。

なんとなく共有したくなったので、リンク先を記載しておく。

ネット関係のタレコミ先(相談窓口)って、IPA、JPCERT/CCを皮切りにインターネット・ホットラインセンター、国民生活センター、日本弁護士連合会、マスコミ、Google、フィッシング対策協議会、迷惑メール相談センター、サイバー110番、などなど、自分も悩むくらい多くあるので、使い分ける・・・というよりかは複数の窓口を並行して使うのが良いのかな？

【リンク】
都道府県警察本部のサイバー犯罪相談窓口等一覧

メール受信不可、ブログ閉鎖、いったい何が・・・

さあ今週も一週間頑張ろうと、元気に月曜を過ごしていたのだが、昼頃私用のメールをチェックしてみると今朝から1通も来ていない。

いくら何でも1通も来ていないことはないはずなのだが・・・・

自分は最近Gsuiteに移行したばかりなので、メール転送を行っている。

転送元のメールをチェックしてみるとやはり来ているではないか！！

これはGoogleの障害か？Gmailですらこれまで障害にあったことがないのに有償サービスで障害とはけしからん。

とか、考えていたのだが、事象としてGmailにはアクセスできるが新しいメールが来ない。

うーん。スマホの不具合か？
こういう時はWindows時代から変わらぬ伝家の宝刀「再起動」

・・・やはりWindowsとは違う。再起動しても来ないものは来ない。

ということは自分何かやらかしてGoogleからペナルティ受けたのか？

念のため、ブログサイトも確認してみよう。

・・・拒否られた。

なんか過激な記事書いてブロックされたのだろうか？

次にSearch Consoleを見てみる。

最近ペナルティ食らってフィッシングサイト扱いされた事件を目の当たりにしているので、自分がそうであればSearch Consoleに何かメッセージが届いているに違いない。

・・・なーんにもメッセージがない。というか至って平常のステータス。。。

そうこうしてSearch Consoleいろいろ見ていると、Search Consoleに表示される各ドメインのページのサムネイルの異変に気が付く。

自分のドメイン、トップページは空白の画面のはずなのに何か表示されている。。。

というわけで、さっそく空白のはずの自分のドメインのURLをたたいてみる。

ででーん

「ICANNの確認待ちのドメインに到達しました」と。

要はメールアドレスが確認されないので停止されましたと。。。

さっそくメール認証してみる。

ところがメールが来ない。

あ、ドメイン停止されているからか。
うおー。自分ドツボにはまってる。。。

とりあえずGoogle管理コンソール経由でドメインの管理画面に入る。

設定を見てみると停止されたドメインではなく、別のアドレス設定していた。

早速その別のアドレスを見てみる。

あ、レジストラからメール認証の催促がたくさん届いてる・・・・

あ、あ、メール転送有効になっていない・・・

これが原因か。

結局メールは来なかったものの、てんぱっているうちに自然復旧しました。
レジストラでメール認証やってくれたのだろうか？

うーん。なんとも恥ずかしい。

そんなわけで無事復旧しました。

月曜から疲れました。。。

【参考】
恥ずかしながら、ドメインが利用できない状態に・・・

セキュリティインシデントのタレコミ先（マスコミ）

昨年SKYSEAの脆弱性が結構話題になったが、どうもメーカーの対応があまり良くなかったらしく、マスコミに相談に行った企業が存在したらしい。

いくら自社の採用製品に問題があり、メーカーの対応がクソだからといって、マスコミに相談に行くというのはまったくもって前代未聞で、かなり新鮮だった。

ま、冷静に考えると、パッケージ製品の不具合なので、IPAやJPCERT/CC、セキュリティベンダー等への相談はちょっと難しく（仮に問い合わせても「メーカーのサポートにお問い合わせください」と言われるであろう）、メーカーのサポートに問い合わせても「調査中です」の一点張りであれば、事の真相を求めてマスコミに行くのは分からなくもない。

社会的な影響も大きい製品であれば、最後の手段としてマスコミにタレこむのもありかもしれない。

しかし、タレこんだ組織の情報も報道されるリスクがあるので、この辺はいろいろ天秤にかける必要がありそう。

当然ながら、機密情報をリークする場合は暗号化は忘れないでね。

とあるサイトに連絡先があったので、スクショでこちらにも残しておきます。住所/TEL/FAXは古いかもしれませんのであしからず。

セキュリティの資格

先日、とあるセミナーでセキュリティ人材の話を聞いてきた。

セキュリティ人材の採用で、資格を持つ人材や経験のある人材を探すことは向こう10年くらい困難な状況が続くらしい。

そんなわけで、セキュリティ業務はアウトソースを考える必要があるというのがオチであったのだが、セキュリティ資格について少しだけ触れられていたので、グローバルなセキュリティ資格を紹介したい。

※ちなみに順不同です。

■CISM：Certified Information Security Manager
・概要：ISACAの資格で、マネージメントレベルの情報セキュリティの国際資格
・保有者：約27,000名

■GSEC：GIAC Security Essentials Certification
・概要：SANSの資格で、テクニカル(Security Essentials、セキュリティ監査、侵入検知、インシデント・ハンドリング、ファイアウォール、フォレンジック、 Windows OS、Unix/Linux OSなど、入門レベルから高度な専門性を要求されるすべての分野)な情報セキュリティの国際資格
・保有者：約4,300名

■CISA：Certified Information Systems Auditor
・概要：ISACAの資格で情報システムの監査、セキュリティ、コントロールに関する国際資格。
・保有者：約115,000名

■GPEN：GIAC Certified Penetration Tester
・概要：SANSの資格で、脆弱性診断の技術資格。
・保有者：約1,300名

■ComTIA Security+
・概要：ComTIAの資格で、ITセキュリティ的なインシデントに対応するためのセキュリティ技術に関しての知識を問われる国際資格｡
・保有者：（不明）

■GCIH：GIAC Certified Incident Handler
・概要：SANSの資格で、インシデントハンドリングに関する国際資格｡
・保有者：約33,000名

■CEH：Certified Ethical Hacker
・概要：EC-Councilの資格で、ホワイトハッカーの認定資格｡
・保有者：(不明)

■CISSP：Certified Information Systems Security Professional
・概要：ISC2のセキュリティに関する国際資格。
・保有者：約128,000名

[まとめ]
大別するとISACAの資格、SANSの資格、ComTIAの資格、ISC2の資格がグローバル資格（少なくとも米国では通用する資格）として有名というところか。

個人的に良く見聞きするのはISACAとISC2かな。

ISACAは自分もメンバーというのがあるが、日本国内においてコミュニティがかなり整備されている。ISACAは国内に4つ支部があり、国内各支部で毎月勉強会を実施しており、CPE(継続教育ポイント：資格の維持に必要)獲得の機会がある。

ISC2も毎月は無いが不定期での勉強会や後援セミナーが結構多い印象。

いずれも受験料が非常に高額なので、なかなか受験するのには勇気がいる。

自分がCISAを志した際はスクールに通い、高額な受験料が無駄にならないように万全を期しました。

一方でSANSとComTIAはほとんど見聞きしない。

SANSはテクニカルな領域で最高峰のイメージで、尊敬の意味を込めて自分には縁のない感じ。

ComTIAは国内でもかなりマイナーなイメージ。この資格をアピールしている人をこれまで見たこともなく、正直価値が良く分からない・・・。

【関連資料】
セキュリティ人材の展望2018（非公開）

セキュリティ白書2018で気になったトピックス：年金データ無断再委託）

IPAより『情報セキュリティ白書2018』がリリースされました。

2018年も半分が終わりましたが、コインチェックへの不正アクセスによる仮想通貨流出や年金関連で個人情報を勝手に中国の業者に委託していた事件など、今年もいろいろ起きています。

そういえば、国から預かった個人情報を勝手に海外に横流しした国賊的事件が気になったので、改めて整理してみたい。

ちなみに皆さんは国民年金ってどう考えているのだろう？もともと社会保険庁がずさんな管理を行っていたことが発覚し、日本年金機構に生まれ変わったものの、2015年に標的型メール攻撃によるマルウエア感染で情報流出したり、委託先の業者が勝手に中国の業者に再委託したり、なんとも呪われた組織体のイメージが強い。。。

----
■株式会社SAY企画　※2018年6月5日解散
[企業情報]
業種：情報・通信業（コンピュータによる情報処理事業、インターネットを利用した各種情報提供サービス業）
資本金：5000万円
従業員数：80人
企業URL　http://www.say-p.co.jp/
（魚拓）　https://web.archive.org/web/20180319234516/http://www.say-p.co.jp/

[インシデント発覚]
2018年2月

[インシデント概要]
日本年金機構との契約に反して無断で扶養親族等申告書の入力業務を中国の業者に委託。

[被害/影響]
528万人分の個人情報（漢字氏名、フリガナ）

[想定損害額]
10,560,000,000円

[原因]
・社長が阿保だから？
　-入力量が多く、関連会社という甘い認識で作業を分担した。契約違反だとは思わなかった。
　-（中国の業者は）自分が役員を務める中国・大連にある会社で、再委託に当たらないと思った。
　-発注した作業は氏名の読みと漢字をデータから抜き出すだけで、個人情報を扱っているという認識はなかった。

[コメント]
委託業務を日本の給与水準で考えた場合、少なくともどの程度の金額感になるのかは想定がつくはず。

国から預かったデータを中国に流すSAY企画は国賊企業認定だが、安かろう悪かろうを想定できなかったのは日本年金機構も阿呆すぎる。

日本年金機構は、呪われた組織なのではなく、単なる「ザンネン」な組織なのだろうか・・・。
----

ちなみに、自分は年金は信用しない派（自分が年金受給するころには年金制度破綻している考え）です。自分の年金は自給自足すべくリスク取って資産運用やっています。

【参考】
情報セキュリティ白書2018
日本年金機構における業務委託のあり方等に関する調査委員会報告書（概要）

フィッシングサイトのタレコミ先（Google SafeBrowsing）

※ITリテラシー上級者向け

スパムメール、ウイルスメール、フィッシングメールが来ても、基本的な対応は無視です。うっかり返信などすると、そのアドレスはリアルユーザーのものだと分かり、更なる被害拡大のリスクが出てきます。

もしあなたがフィッシングサイトを見つけたものの、黙っていられなくなった場合は、世のため人のために、ぜひ関係機関にタレコミ(情報提供)してあげてください。

自分の最近のお気に入りは下記です。

Google Safe Browsing フィッシング詐欺の報告ページ

投稿すると少し世の中の役に立った気がします。

インシデント発生時の概算被害額の算出方法

インシデントが発生した時の企業の損害額はいくらになるのでしょう？

2014年にベネッセがやらかした個人情報流出事件で一人500円の金券がお詫びとして送られたことから、個人情報が漏洩した時の一人当たりのお詫び額としては500円というのが一つの基準です。

しかし、実際に個人情報が流出した企業の損害額は流出件数x500 なんて単純な算出はできないです。

集団訴訟起こされたら裁判対応費用も発生するし、原因調査やら再発防止策やらプレスリリースやらでとにかくお金がかかります。

そんなわけでぱっと損害額を出すのは難しいのですが、日本ネットワークセキュリティ協会（JNSA）さんがこの難問に果敢に挑戦し、一つの解を導き出してくれました。

今後インシデントネタを書く際はこの想定損害額算出プロセスを使って、企業へのダメージを定量的に表現してみたいと思います。

と思っていたら、今度はJNSAの想定損害額算出プロセスのシミュレータを公開されているサイトを発見。

なんともありがたいことです。今後有効活用させていただきます。

【参考URL】
想定損害賠償額シミュレータ
JNSA 情報セキュリティインシデントに関する調査報告書

oneworldのサイト閉鎖！？

マイルをためるのが趣味で、来年のゴールデンウィークはマイルを活用してヨーロッパビジネスクラスの旅を計画しています。専らJALでマイルをためていますが、繁忙期にJALのビジネスクラス特典航空券を確保するのは至難の業なので、JALが加盟するoneworld加盟航空会社を使った旅程を計画しています。

んで、oneworldのサイトにアクセスしたら、下記のエラーが。。

パスワードやクレカ情報が盗まれる可能性があると、穏やかではない警告が。

調べたところ、どうも証明書が切れているようです。

証明書は有効期限があるので、しっかり管理していかないと、こんな事態に陥ります。

しかも、証明書切れてから証明書手配しようとしてもいろいろ手続きがあるので、1週間くらいはかかると思います。

しかもこうなってしまうと、一般企業ならイメージダウンは避けられませんね。

ちなみにマイクロソフト（通称：マイクソ）のInternet Explorerだと、問題を承知で先に進めることができます。
ブラウザシェア世界No1のGoogle Chromeはこういういい加減な状態は一切許す気がないらしく、どう頑張っても先に進めることができません。

ちなみに証明書には3種類あります。

・ドメイン認証型（DV）：ドメインの管理権限を元に発行されるSSL証明書。一番安い
・実在証明型（OV）：組織情報の審査が行われるため、サイト運営者のなりすまし防止が可能
・実在証明拡張型（EV）：OVよりも厳格な審査を受けてから発行。アドレスバーがグリーンになり、組織情報が表示されるようになる。

企業が証明書を導入する場合、多いのはOVですね。推奨はEVなのでしょうが、高額なのと、費用対効果の兼ね合いからあまり導入は進んでいない感じ。

セキュリティ対策の最適解

今日、とあるガートナーのレポートを目にする機会があったのだが、「セキュリティ対策をどこまでやるか」に対する面白いアプローチがあった。

そのアプローチとは、
1.セキュリティ対策ができていない「二流以下の企業」から、必要最低限の対策を検討する
2.セキュリティ対策ができている「一流企業」から、次の一手を検討する

というものであった。
答えがない領域に対して答えを求めていくアプローチとしてとても面白いと思った。

せっかくなので、レポートの中から、セキュリティ対策ができていない「二流以下の企業」向けの推奨セキュリティ対策をまとめていきたい。

ちなみに、「二流以下の企業向けの推奨セキュリティ対策」とは、「40%以上の企業で実施済みのセキュリティ対策」のことである。

・ポリシーやガイドラインの整備

・教育 (標的型メールの教育や訓練等)

・認証、アクセス権管理

・ネットワーク設計の見直し (セグメンテーションやアウトバウンドの不審な通信への対応
等)

・エンドポイントセキュリティの基本実装 (パターンマッチング型のアンチウイルスソフト導入等)

・サーバやPCへのパッチ適用 (OSだけでなくアプリも)

・セキュアWebゲートウェイ

・セキュアメールゲートウェイ

【参考資料】
サイバーセキュリティの最適解を探る（非公開）

[インシデント]株式会社ソニー・ミュージックマーケティング

■株式会社ソニー・ミュージックマーケティング
[企業情報]
業種：情報・通信業（音楽ソフトの製造・販売・音楽配信）
資本金：4億8000万円
従業員数：150人
企業URL　http://www.sme.co.jp/sme/corporate/smm.html
被害URL　https://fortunemusic.jp/

[インシデント発生日]
2018年7月12日

[インシデント概要]
7月12日14時から16時にかけて、サイトのリニューアルにともなうメンテナンスの影響により、システム障害が発生。期間中に同サイトへログインし、商品一覧ページから直接マイページへ移動した場合、ログアウトするまでの間、他顧客としてログインした状態になった。

[被害/影響]
　他のお客様にマイページを閲覧された可能性がある方：64名
　他のお客様のマイページを閲覧した可能性がある方：116名

[原因]
サービス提供時間中のシステム変更作業および、変更作業中の障害発生(オペミス？)

[プレスリリース]
【重要】forTUNE musicシステム障害に関するお詫び

[コメント]
システム運用におけるべき論でいえば、サービス提供時間外にメンテナンスウィンドウを定期的に設定し、その時間で作業をするのがベスト。
メンテナンスウィンドウ内であれば、ミスがあってもリカバリできるが、今回のようにサービス提供中にメンテナンス作業を実施して失敗すると、余計な仕事が増える結果となる。
余計な仕事が増えるだけならよいが、下手するとブランドイメージも傷をつけることとなる。

国立研究開発法人 産業技術総合研究所でのセキュリティインシデント～クラウドサービスで認証突破される～

■国立研究開発法人 産業技術総合研究所

[組織情報]
組織形態：国立研究開発法人（国立研究開発法人産業技術総合研究所法により「鉱工業の科学技術に関する研究及び開発等の業務を総合的に行うことにより、産業技術の向上及びその成果の普及を図り、もって経済及び産業の発展並びに鉱物資源及びエネルギーの安定的かつ効率的な供給の確保に資すること」を目的とする。）

予算：969億85百万円（2010年度決算）

従業員数：2,949人

URL　http://www.aist.go.jp/

[インシデント発生日]
2018年2月6日

[インシデント概要]
産総研の主たる情報システムである
　・クラウドサービスを利用するメールシステム（⇒Office365）
　・独自に構築する内部システム

の双方に順次不正なアクセスが行われ、
　①職員のログイン ID の窃取
　②パスワード試行攻撃によるパスワード探知
　③職員のログイン ID・パスワードを用いた、内部システムへの不正侵入
　④内部システムのサーバの「踏み台」化
　⑤メールシステム及び内部システムの複数のサーバに保管したファイルの窃取又は閲覧
といった一連の不正行為が行われた。

[規模]
下記が外部へ漏えい又は閲覧された可能性。
　・未公表の研究情報 120 件
　・共同研究契約等に関する情報 約 200 件
　・個人情報を含む文書 約 4700 件
　・全職員の氏名・所属
　・143 アカウント分の電子メール及び添付文書

[原因]
メールシステム(Office365)へのブルートフォース攻撃によるアカウント情報搾取？

※個人的な見解は「クラウドメールサービスのセキュリティ設定不備」

[プレスリリース・参考資料]
20180213弊所に対する不正なアクセスに関する事案について
20180720「産総研の情報システムに対する不正なアクセスに関する報告」について
【参考】導入事例：産業技術総合研究所様（Microsoft Office 365）

[コメント]
メールシステム（Office365）への不正なアクセスを皮切りに内部ネットワークに侵入されたという、少し釈然としない原因。

何が釈然としないかって、悪意のある第三者がメールシステムに対して不正ログインの試みが可能な点。

普通メール環境をクラウドに持っていったら、セキュリティ強化の観点でアクセス元IPの制御はするはず。少なくとも自分が過去に関わってきている会社は全てそうしてる。

それをしていなければこのような事態が起きることは想像に難くない。
（各ユーザーの認証に二段階認証とかを用いていれば別だが）

あと、プレスリリースで自組織の環境を明かすのもNG。

悪意のある第三者に不正アクセスをさせるためのヒントを与えているようなもの。

元ソニー社長の中鉢さんが理事長されている組織なのでぜひ頑張ってほしい。

セキュリティはPDCAよりOODA？ いえ、OPDAです！！

PDCA(Plan Do Check Action)は非常に有名なメソッドですね。

PDCAは特に情報システムで構築して運用フェーズに入って改善して・・・みたいな感じで、もともとITインフラ運用が長かった自分もお気に入りのメソッドです。

なので、セキュリティもPDCAで強化できると考えていたのですが、PDCAはなかなか難しいと感じることがあります。

IT運用の場合、例えば障害が発生すると、その対応を通じて再発防止策を打つことで、類似の障害は起きなくなります。ITシステム自体はコンポーネントが有限なのでPDCAサイクルを通じた品質強化を行っていくと、非常に高いレベルのサービスレベルの実現が可能となります。

一方、サイバーセキュリティは基本的に再現性がなく、あるインシデントを受けて改善策を打っても、次に来るインシデントには前回打った施策が役に立たないなんてことがたくさんあります。

IT運用の場合、必ず管理システムのコンポーネントのどこかが壊れるわけで、極端な話、その範囲は有限なのですが、サイバーセキュリティは毎回新しい攻撃が発生するため、範囲は無限になります。

前置きが長くなりましたが、OODAループというものがあります。
OODAループとは、「Observe - Orient - Decide - Act」の4つの頭文字から名付けられ、アメリカ空軍の大佐が提唱した意思決定のメソッドの1つです。もともとはアメリカ海軍で戦闘時の判断を最適にするための理論として生まれたものだそうです。

情報収集してそこから分析して対策を打つ流れにSOC(Security Operation Center)に近いものを感じます。

一方で、個人的に整理がつかなかったのが、OrientとDecide。
「方向付け」と「意思決定」の位置づけというか、関係というかが、分かったようで分からない感じ。

あ、OPDA（Observe - Plan - Decide - Act）ってすると個人的にすっきりするかも。

情報収集して、(分析&)対策検討し、意思決定を経て対策を打つ。

セキュリティ強化のメソッドにもPlanは必要です！！

【参考】
OODA vs. PDCA 継続的なセキュリティ強化にはどちらが有効？

いくらクラウドがセキュリティに強いからって、利用者側の管理が駄目なら情報漏洩します。

IPAから「ウェブサイト開設等における運営形態の選定方法に関する手引き」がリリースされています。

クラウド活用が順調に広まってきていますが、IaaS、PaaS、SaaS等いろいろな種類のクラウドサービスがあり、各サービスで提供者と利用者の役割分担や責任分界点が変わってきます。

この資料ではオンプレも含めたクラウドサービスは下記の通り。
ちなみに一番上が最も利用者の役割分担と責任分担と自由度が小さい形態。
逆に下に行くほど利用者の役割分担と責任分担と自由度が大きい形態。

・モール（楽天市場とかAmazonとか）
・ASP、SaaS（Salesforce、Gsuite、Office365とか）
・PaaS、レンタルサーバ（AwS、Azure、Zenlogicとか）
・IaaS
・ハウジング
・オンプレミス

んで、なかなかよくまとめられていると感じたのが下記の図

クラウド移行後も利用者の責任となる部分がきれいに整理されています。
個人的には業務セキュリティ対策の中にアカウント管理も入れておいてほしかったかな。

クラウドが日本よりも進んでいる海外ではクラウド環境ゆえのインシデントが起きています。

まずSaaS。Office365やGsuiteに移行したのはいいが、利用者側の特権アカウントの管理がずさんで、乗っ取られてしまい、全ユーザーのメール情報が漏洩してしまう事件が起きています。特権アカウントの管理は結構ずさんになりがちですが、定期的なパスワード変更や二要素認証などを導入して管理強化を図る必要があります。

次にPaaS。これまでオンプレであった場合、インターネットとの間にF/Wを設置するので、サーバ担当がオペミスしてもF/Wで何とかなっていましたが、PaaSになるとF/Wもサーバもマウス操作で簡単に変更できてしまいます。そのため、例えばAwSのS3で設定ミスって内部情報をインターネットに向けて公開してましたって事件が起きています。
直近ではホンダのインド法人Honda Cars Indiaで、AwSのS3の設定ミスって5万人分の個人情報をインターネットに向けて公開しちゃってた事件があります。

クラウドが普及して一見ITの知識は不要になるように見えても、ITの知識とリテラシーを備えた人材はユーザー企業でも確保しておく必要があります。

【関連資料】
ウェブサイト開設等における運営形態の選定方法に関する手引き（IPA）
ホンダの海外法人が5万人分を超える顧客情報をクラウド上で公開していた
Honda leaked personal information from its Honda Connect App
Honda India Left Details of 50,000 Customers Exposed on an AWS S3 Server

Windowsプロトコル「SMB」の脆弱性を悪用する攻撃

ESET社からマルウェアレポートが出たのだが、SMBの脆弱性を突いた攻撃が多発しているらしい。これ、MS17-010という2017年3月にリリースされたパッチを適用することで対策ができるのだが、攻撃検知数が増加するということは、いまだにパッチを当てていないPCが多数存在するということだろうか？

これ、そもそもはNSA（アメリカ国家安全保障局）が開発したとされる脆弱性攻撃ツール群が、Shadow Brokersというハッカー集団によって盗まれた事に端を発しています。
盗まれたツール群の中にEternalBlueとDoublePulsarと呼ばれるツールがあり、これらのツールが悪用されて今回の脆弱性やWannaCryと呼ばれるランサムウェアの大流行に繋がっています。

蛇足ですが、マルウェアは、不正かつ有害な動作を行う意図で作成された悪意のあるソフトウェアや悪質なコードの総称ですが、NSAの様な当局が作成した脆弱性攻撃ツールはガバメントマルウェアとか言ったりもします。

ちなみに、根本対策はパッチ適用ですが、確かSMB1.0の無効化も効果あったと思います。

【出展】
2018年6月 マルウェアレポート

情報処理安全確保支援士について（その1）

情報処理安全確保支援士についてちょっと気になったのでメモ。

情報処理安全確保支援士ってサイバーセキュリティ分野初の士業ということだけれども、今回はこの「士業」という部分が気になったので書き連ねます。

Wikipedia先生を参考に想像するに、
「士業」の言葉をたどっていくとサムライ(武士)にたどり着く模様。
日本の近代国家創成期に職能資格を取得したのは、基礎教育を受けた武士が多く、そこから「〇〇士」という呼称が広がったのかと。
現代では「-士」だけに限らず、「-師」との名称がある資格も含むことがあるため、「士師業」「師士業」などとも呼ばれている。

ちなみに士業(資格)には2パターンあります。
1.無資格者の実施が禁止されている業務を行うことが許可される業務独占資格
2.その名称を用いて業務を行うことが許される名称独占資格

1.で容易に想像がつく例は医師や弁護士ですな。

情報処理安全確保支援士は2.に分類され、名称独占資格ということになります。

ちなみに個人的には情報処理安全確保支援士がIT業界初の士業と思い込んでいましたが、IT業界には既に技術士という資格が存在しています（自分一応大学からITに関わっていたけど、初めて知った・・・）。ちなみに技術士は文部科学省管轄となりますが、情報処理安全確保支援士は経済産業省管轄となります。

気が向いたら資格の意義とか、類似の資格とか、もう少し整理していきます。

[インシデント]株式会社葵

■株式会社葵
[企業情報]
業種：サービス業（インターネット学習塾の経営、中学生・高校生を対象とする進学塾の運営、eラーニングシステム・アプリの開発）
資本金：1億6900万円
従業員数：39人
企業URL　http://corporate.aoi-zemi.com/

[インシデント発生日]
2018年6月27日

[インシデント概要]
同社が利用するスペインTypeform社が運営するアンケートシステムが不正アクセスを受け、「スマホ学習塾 アオイゼミ」で実施したアンケートの一部回答(具体的には2017年5月8日から2018年3月9日にかけて回答されたのべ5461件のデータ)が外部に流出。流出データにはユーザーID、デバイス情報などのほか、141件のレコードに生徒や保護者の氏名、電話番号、メールアドレスなど131人分の情報が含まれていた。

[規模]
141 件

[原因]
Typeform社による不正アクセスの検知（根本原因は不明）

[プレスリリース]
お客様情報の流出に関するお詫びとお知らせ
(参考)Typeform社の声明

[コメント]
SaaSって、セキュリティ面も含めてサービスを担保してもらっているのに、サイバー攻撃を受けて情報漏洩されてしまっては、SaaSの価値がなくなってしまう気がする。
SaaSベンダーのセキュリティ事故が多発するようであれば、企業はクラウドからオンプレに逆流する流れをとるであろう。SaaSベンダーには特に真剣にセキュリティ対策に取り組んでもらいたい。
株式会社葵は今回完全な被害者になると想定されるが、今後の対策としては、このようなセキュリティ事故を起こしたSaaSはやめ、別のもっとセキュリティ対策がしっかりされたSaaSベンダーに乗り換えるべきであろう。

[ニュース]ファーストサーバで長期障害

 

概要は上記リンク参照。

この会社、2012年にもオペミスによるデータ消失事件起こしているんだよね。

今回の障害もメンテナンス開始のアナウンスは直前だったというし、メンテナンス終了は予定を大幅に超過しているというし、前回の事件に引き続き顧客軽視甚だしい感じ。というか、安かろう悪かろうのサービスなので、利用者側はそのリスクを認識したうえで使わなければならない。

安物買いの銭失いとはまさにこのこと。

[インシデント]株式会社フレーバーライフ社

■株式会社フレーバーライフ社

[企業情報]
業種：卸売業・小売業
資本金：1,000万円
従業員数：28人
企業URL　http://www.flavorlife.com/

[インシデント発生日]
2018年6月28日

[インシデント概要]
不正アクセスによる個人情報(氏名、性別、生年月日、住所、電話番号、メールアドレス、パスワード、利用履歴、お問い合わせなどお客様から受信したメール)流出。
クレカ情報の流出は無し

[規模]
11,156 件

[原因]
問い合わせ等のお客様からの入力ができるコンテンツからと推測

[プレスリリース]
【重要】弊社提携外部サーバーへの不正侵入及び情報流出に関するお詫び
弊社提携外部サーバーへの不正侵入及び情報流出に関するお詫び
弊社提携外部サーバーへの不正侵入について（第二報）

[コメント]
詳細が分からないが、サイト構築時やその後の定期的な脆弱性診断をやっていなかったのだろう。クレジットカード情報の流出がなかった点は不幸中の幸い。

ランサムウェア被害の韓国企業、身売りと引き換えにサービスを復旧（転載）～結局身代金を払っても完全復旧に至らず～

韓国のホスティングサービス企業のNAYANAが、ランサムウェア攻撃によってサービス停止に追い込まれている。同社は身売りによって資金を調達し、これを身代金として攻撃者へ支払い続けながら、復旧作業を進めている。

同社によると、被害は6月10日に発生した。153台のLinuxサーバがランサムウェア「Erebus」に感染し、データベースや動画像などのさまざまなデータが暗号化され、使用不能になったという。攻撃者は当初、サーバ1台あたり10ビットコイン（約3271万ウォン＝約321万円）を支払えば、回復に必要な復号鍵を提供すると持ち掛けてきた。

同社はセキュリティ対策や二重のバックアップを講じていたが、バックアップデータまで暗号化されたため、自前での復旧を断念。被害発生について利用者に謝罪し、韓国インターネット振興院（NIDA）や警察機関にも通報した。

復旧には、総額で約50億ウォン（＝約4億9000万円）が必要なものの、交渉によって14日までにサーバ1台にあたり5.4ビットコイン（約1755万ウォン＝約172万円）、総額では約18億ウォン（＝約1億7657万円）に減額された。しかし同日時点で、同社が準備できる資金は、4億ウォンが限界だったという。

攻撃者側の要求額との差は依然大きく、同社はブログで交渉内容も一般に公開し、最終的に13億ウォンを支払うことで妥結した。足りない費用については、同社の株式を担保に、復旧後に同社を買収する予定の企業から資金を順次調達。入金状況に応じて攻撃者から復号鍵を受け取り、17日までに全てサーバの復旧に必要な復号鍵を入手できる見込みだという。

16日の時点で一部のサーバは復旧に成功したものの、復号に失敗するサーバもあるもようだ。スケジュールは流動的だとしつつ、今後は来週までに90％以上のサーバについてサービスの回復を目指すと説明している。

退職者(内部犯行)によるインシデント事例 / Fired techie created virtual chaos at pharma company（転載）～退職者のアカウント管理は重要～

 Fired techie created virtual chaos at pharma company

ジョージア州スマーナのマクドナルド・レストランからログインして、米国の製薬会社の元従業員が、今年初めに同社のコンピュータ・インフラのほとんどを消去してしまった。

日本の製薬会社「塩野義製薬」の米国子会社でITスタッフを務めていたジェイソン・コーニッシュ氏（37歳）は、2011年2月3日に行われた攻撃に関連して、コンピュータへの侵入容疑で火曜日に有罪を認めた。同氏は、ニュージャージー州フローラム・パークにある同社の電子メール、注文追跡、財務などのサービスを実行していた15台のVMwareホストシステムを破壊しました。

「2月3日の攻撃により、塩野義製薬の業務は数日間にわたって事実上停止し、従業員は製品の出荷や小切手の発行、電子メールでの連絡すらできない状態に陥りました」と米国司法省は裁判資料で発表しています。シオノギ社の被害総額は80万米ドルです。

コーニッシュは、2010年7月に経営陣と対立して退職したが、その後2カ月間はコンサルタントとして勤務していた。

そして2010年9月、製薬会社はコーニッシュをはじめとする従業員を解雇したが、ネットワークのパスワードを無効にしたのはまずかった。コーニッシュの友人であり、元上司でもあったある社員は、ネットワークのパスワードを会社関係者に渡すことを拒み、最終的にはそれが原因で解雇されたと言われている。

コーニッシュは塩野義製薬のアカウントを使って、2月にマクドナルドの公衆インターネット回線から会社のネットワークにログインし、数週間前に会社のネットワークに密かにインストールしたvSphere VMware管理コンソールを起動することができました。

vSphereを使って、88台の会社のサーバをVMwareのホストシステムから1台ずつ削除しました。

コーニッシュは7月に起訴されました。11月10日の判決では、最高で10年の懲役刑が科せられることになります。火曜日にはコメントを得ることができませんでした。塩野義製薬は、コメントを求めるメッセージを受け取っていません。