悪いIPを晒上げるサイト「AbuseIPDB」

東京オリンピック・パラリンピック開催まで1年を切りました。

世界的なイベントがあると世界中から日本に観光客が押し寄せますが、サイバー攻撃も一緒に押し寄せてきます。

特にオリンピックではDDoS攻撃が想定され、オリンピックの回を重ねるごとに攻撃も激しさを増してきます。

最近はボットを使った業務効率化(RPA)の導入が盛んですが、サイバー攻撃を仕掛ける側も同様にRPAを活用した効率的且つ効果的な攻撃手法を編み出しています。

世の中にはたくさんのIoT機器があり、それらはセキュリティ的に脆弱と言われている。

そんなIoT機器が乗っ取られて、1台1台がRPAで制御されて、特定の攻撃対象に向けて一斉DoS攻撃を仕掛けたら、、、、と思うと少しぞっとする。

ところで、システム管理者の方は、不審なIPから大量のアクセスが来た際、どのように対処するだろうか?

「このIPブロックしたいけど、サービスに影響しないだろうか?顧客からクレームを受けることにならないだろうか?」

こんな悩みからIP遮断に踏み込めないケースは無いだろうか?

そんなときの一助になりそうなのが、

AbuseIPDB

世界中のいろいろな人が悪いIPをこちらに晒上げており、不審なIPが確認できているのであれば、こちらで検索することをオススメする。

リストがあれば躊躇することなくIPブロックをしてしまえばよい。

IPブロックで物足りなければ、自分から不審IPを晒上げることもできる。

セキュリティは国や地域を超えたグローバルコミュニティで成り立っているんだなーと感じる今日この頃。

米国電力業界のセキュリティ基準


先日、IPAより、米国の電力業界で活用されている、セキュリティマネジメント成熟度の評価モデル「ES-C2M2」の解説書およびチェックシートが公開された。

米国の電力業界はコンプライアンスとセキュリティガイドラインの2層で成り立っているようである

【コンプライアンス】

NERC CIP Standard

 North American Electric Reliability Council Cyber-security Critical Infrastructure Protection Standard

 北米電力信頼度協議会が策定した重要インフラ防護基準

 かつ

 アメリカ合衆国連邦エネルギー規制委員会が承認した米国電力業界向け規制標準

 ※2003年の大停電を踏まえて、電力の安定供給を念頭において作成された主に大規模発電施設及び送電施設を対象としたサイバーセキュリティに関する標準

 ※基準且つ規制になっているところがポイント

 ※規制なので、準じないと罰則もある(1,000USD~1,000,000USD)

【セキュリティガイドライン】

ES-C2M2
 
 Electricity Subsector - Cybersecurity Capability Maturity Model Program

 サイバーセキュリティ対策を改善するためのマネジメント手法を記載したガイドライン

NIST IR 7628

 NIST IR 7628 Guidelines for Smart Grid Cybersecurity

 NIST(アメリカ国立標準技術研究所)によって発行されたスマートグリッドを対象にしたセキュリティガイドライン

NIST Framework

 米大統領令によりNISTで策定されたCyberSecurity Framework

日本では罰則付きの規制は金融業界にしかなく、その他の重要インフラ業界は所謂ベストエフォートの対応になっている。

セキュリティはコストとみなす経営者が多く、罰則付きの規制になるともう少しセキュリティ投資が進むのではないかと思った今日この頃。

18億円投じたのに、誰にも利用されず廃止になったセキュリティ対策


ITシステムを作るときに一番苦労するのは利便性とセキュリティのバランスです。

利便性を追求し過ぎ(=セキュリティを無視)して失敗した事例が7pay

で、その逆の事例が今日のネタである、政府共通プラットフォームのセキュアゾーン

日本年金機構の不正アクセス事案を受けて2017年に構築したのだが、セキュリティをガチガチに固めすぎた(=利便性を無視した)結果、どこの省庁も使ってくれず、2019年に廃止決定。

まさに日経コンピュータの「動かないコンピュータ」の格好のネタになりそうな・・・。

ちなみにこのセキュアゾーン、どんな特徴かというと、

1.専用回線から閲覧のみ可能。ダウンロードは出来ず、格納されたデータの取り出しや訂正には職員が直接設置場所へ出向く必要がある。

2.省庁内の別の情報システムとの連携が出来ない。

うーん。この二つの特徴を備えられると、

はっきり言って、用途が無い

ちなみに総務省がシステムの開発・運用を行っていたが、その総務省は最初からセキュアゾーンを使うつもりはなかったらしい。

自分が使うつもりのないモノ作るなよー

このセキュアゾーンの構築に18億円というのも驚きだが、ランニング費用は3.6億/年かかるらしい。

んで、誰も使わないけど年間3.6億円浪費するこのスバラシイ仕組みに会計監査院の調査が入ってめでたく廃止となったらしい。

セキュリティは重要だけど、利便性とのバランスがすごく重要であることを改めて実感した。

パスワードを使い回ししないメリット


JPCERTコーディネーションセンター(JPCERT/CC)が、ウェブサービスで使用するパスワードを使い回すことの危険性を啓発するキャンペーン「STOP! パスワード使い回し! キャンペーン 2019」やっています。

単一のIDとパスワードの組み合わせを複数のサイトで使いまわしている場合、管理がザルなサイトからうっかり情報をお漏らしされると、パスワードリスト攻撃により、根こそぎ被害を受けるリスクがあります。

パスワードリスト攻撃とは、ID・パスワードの組み合わせのリストを、管理がザルなサイトから攻撃者が入手し、その組み合わせでログインできるかどうか複数のサイトで試みる手口。

このパスワードリスト攻撃による被害事例は、ユニクロ(19年4月)クロネコヤマト(19年7月)などがある。

念のため申し上げておくと、ユニクロやクロネコヤマトはパスワードリスト攻撃による「被害者」です。

諸悪の根源は、ID・パスワード情報をお漏らししたサイトで、どこのどいつだという話なのだが、管理がザルなだけにパスワードの保護もしていなければ、不正アクセスにも気付けないダメな企業なので追いようがない。

唯一追跡する方法としては、自身が利用するサイトごとに異なるパスワードを設定することである。

自分は利用するサイトごとに異なるパスワードを設定している。

ある日、「あなたのアカウントをハックした」旨の脅迫メールが届いた。文中にはその証拠としてパスワードが記載されていたのだが、この情報のおかげで、お漏らししたサイトを特定することができた。(当事者はお漏らしの事実を受け入れないのだが・・・・)

こんなメリットもあるので、パスワードの使いまわしはやめましょう。

JPCERT/CCでは「安全なパスワードの条件」として、以下の設定方法を推奨している。

■パスワードの文字列は、長めにする(12文字以上を推奨)

■インターネットサービスで利用できるさまざまな文字種(大小英字、数字、記号)を組み合わせると、より強固になる

■推測されやすい単語、生年月日、数字、キーボードの配列順などの単純な文字の並びやログインIDは避ける

■他のサービスで使用しているパスワードは使用しない

ロボットホテルの末路


ロボットが接客するホテルチェーン「変なホテル」を運営するH.I.S.ホテルホールディングス(HD)は10月17日、「変なホテル舞浜 東京ベイ」(千葉県浦安市)の全100室に設置していた卵型コミュニケーションロボット「Tapia」に脆弱(ぜいじゃく)性が見つかったと発表した。



「変なホテル」は生産性の向上(人件費の削減)を目的に、フロント業務や荷物運びなど、これまで人が担っていた業務のほとんどをロボットに任せていることが最大の特徴。

生産性の向上でロボットを使っている以上、当然ロボットは通信機能を備えている。

通信機能を備えているということは、外部から入り込む余地を与えるということに他ならない。

今回の脆弱性は、「Tapiaのプログラムを書き換えると、他の客の映像や音声を取得し、遠隔地から任意のタイミングで視聴できる」というもので、twitterからの投稿が発端の様だ。

しかし、せっかく脆弱性の指摘をしてくれたのに、対応を放置したH.I.S.ホテルホールディングスとメーカーのMJIの対応はいかがなものかと思う。

個人的には通信機能を備えたロボットを使う以上、常に不正アクセスとの戦いになることは覚悟しなければならないと思う。

生産性の向上は期待できるかもしれないが、人件費削減の代わりに恒常的なセキュリティ投資が求められるため、トータルで見た場合コストパフォーマンスは悪いのではないのだろうか。

コインチェックの貸仮想通貨サービス

アセットアロケーションの一環で少しだけ仮想通貨を保有しています。(保有比率は諸説あるけど、個人的には現在コモディティと同じ扱いで全体の10%未満にしている)

僕の仮想通貨との出会いのきっかけは、実は、アセットアロケーションの師匠でもある内藤忍さんだったりする。

2014年に、内藤忍さん共催の仮想通貨(リップル)セミナーがありました。

有償のセミナーだったんだけど、払ったお金分リップルがもらえる(確か1,500円くらい)という特典付だった。

その時貰ったリップルは気にも留めていなかったのだが、当時のウォレットであった、リップルトレードが2016年に終了となり、リップルのサルベージを行ったところ、80,000円(約40倍)の価値になっていた。

リップルトレードからのサルベージに相当苦労したこともあり、リップルを見限って全額をビットコインに変えました。

2017年後半から空前の仮想通貨(現 暗号資産)ブームが始まり、保有するビットコインの半分をイーサリアムに変え、ICO(Initial Coin Offering:イニシャル・コイン・オファリング)投資にチャレンジしたが、一つとしてヒットすることなく、投下したイーサリアムはほぼ壊滅してしまった。。。

で、難を逃れた残り半分のビットコインは現在も継続保有している。

あまりリスキーな投資をするつもりはないのだが、暗号資産は金と同じで保有するだけでは資産が増えない。

そこで登場するのが貸仮想通貨(レンディング)サービスである。

貸仮想通貨は、要は預貯金と同じで、預けて満期になると金利がついて返ってくるというもの。

コインチェックが、結構前からこの貸仮想通貨のサービスを行っている。

ネム流出事件が起きてからは、会社存続の危機もあり、怖くて預ける気にもならなかったが、マネックスグループ傘下となったことから、安心感が増し、5月に申し込みを行った。

人気で殺到しているのか、運用難で受付できない状態なのか、5ヶ月たっても運用が開始されない。


コールドウォレットに入れたところで、資産は増えないので、気長に待ちます。。。

気長に待つけど、不正アクセスによる流出だけはまじ勘弁。

COMODO社の情報流出事故

米国にCOMODOという会社がある。

TLSサーバー証明書を発行する認証局事業などを手掛けるセキュリティー企業です。

「コドモ」でも「ドコモ」でもなく、「コモド」です。

このセキュリティー企業が運営するフォーラム(掲示板サイト)が不正アクセスを受け、ユーザーの名前や電子メールアドレスなど、約24万5000人の個人情報が流出する事件が起きました。

【原因】
フォーラムで使用している掲示板構築ソフトvBulletinの脆弱性。

2019年9月23日に見つかった脆弱性で、ソフトベンダーから9月25日に修正プログラムが提供。

不正アクセスは9月29日に受けているので、修正プログラムの適用が遅れたために被害に遭った。

【想定被害額】
想定損害賠償額シミュレータの試算結果

・漏洩情報:約24万5000件

・漏洩情報:氏名、メールアドレス

・損害賠償額試算:2,940,000,000円(29億4,000万円)

【所感】

まともにシステム運用しているところであれば、通常検証環境に修正プログラムを適用し、テストを行って数日運用する。

んで、問題なければ本番環境に適用する流れになる。

そうしないと、システムそのものの安定運用が犠牲になってしまうリスクがある。

今回、修正プログラム公開から4日目で攻撃を受けているので、守る側としてはかなりキビシイ時間軸だと思った。

一般企業ならちょっと手に負えない気もする。

セキュリティ企業となると、それでも言い訳は厳しいのかもしれない。

以前マイクソ(マイクロソフトの略)のセキュリティパッチの不具合率を調べたことがあったのだが、セキュリティパッチの3割は不具合を抱えているという結果になった。

それを踏まえるとベンダーがリリースしたパッチを即座に適用するというのは安定稼働の観点からはリスクがある。

一方でパッチを早急に適用しないと、不具合を突いた攻撃を受けることになる。

あ、そこでWAF(Web Application Firewall)の登場となるわけか!

「パープルリス」と「炭鉱のカナリア」


セキュリティのお勉強で久しぶりに英語の雑誌と格闘した。

よく動物を使った格言のようなものがあります。

ちなみに先週知ったのは、

「炭鉱のカナリア」

これは、何らかの危険が迫っていることを知らせてくれる前兆をいいます。

石炭エネルギーが主力だった時代、多くの炭鉱がありましたが、炭鉱では有毒ガスのリスクと闘いながら働くこととなります。

有毒ガスが発生した場合、人間よりも先にカナリアが察知して鳴き声(さえずり)が止むことから、その昔、炭鉱労働者がカナリアを籠にいれて坑道に入ったことに由来するものです。

で、この「炭鉱のカナリア」は投資の世界でも生きていて、株価の急落や景気変調のリスクを示すシグナルの意味で使われます。

ちなみに、先週TOCOM SQUAREのラジオ公開生放送に参加してきたのだが、「炭鉱のカナリア」のサインとして、ハイイールド債から資金が流出しているという話を聞いた。

世界景気の減速は近づいているのだろうか!?




かなり話がそれたので、「パープルリス」の話に戻る。

”Stop Looking for the Purple Squirrel・・・・”というタイトルの記事を見ていたのだが、google先生に翻訳してもらうと、「紫リスを探すのをやめる・・・・」となった。

「パープルリス」って何やねんと思っていたら、驚いたことにWikipedia先生に解説があった・・・。

【Wikipedia先生解説】
パープルリスは、採用担当者が雇用要件に完全に適合する、適切な教育、経験、資格の範囲を正確に備えた求職者を説明するために使用する用語です。含意は、要件の過剰な仕様が紫色のリスと同じくらい見つけにくい完璧な候補になることです。
----

日本もそうですが、米国もセキュリティ業界は人材難な様で、「パープルリス」を探すのではなく、雇用慣行の改善を図ろうという内容でした。

例えば、

・女性や有色人種の登用促進

 それぞれセキュリティ業界の10%程度しかいないらしい

・求人情報の表現見直し
 
 「野心的」、「支配的」、「自信がある」などの男性に関連する言葉が多いらしい

・教育の重視

 資格を持っている人を前提にするのではなく、採用後トレーニングする前提で考える

米国もオープンなようで、あまりオープンではないのですね・・・。