サイバーキルチェーンとは


サイバーキルチェーンってご存じだろうか?

ちなみにマイクロソフト(略してマイクソ)のIMEで変換すると、「サイバー着るチェーン」となり、少しイラッとする。

以前はこのイライラに耐えかねてATOKを使っていたのだが、ATOKが暴走して日本語入力が不能になる事件が発生。

イライラを抑えるために有償のソフト使っているのに逆にイライラさせられ、結局イライラするけど無償のマイクソIMEに戻った。

サイバーキルチェーンの話に戻るが、これは、サイバー攻撃を構造化(分解)したもの。

2000年代くらいのサイバー攻撃はいたずら中心だったので、比較的シンプルだったが、
最近のサイバー攻撃はビジネス化されており、目立たず人知れずに機密情報を奪い去っていく。

そのためのプロセスがサイバーキルチェーンだといっても過言ではない。

サイバーキルチェーンの攻撃構造を理解し、各段階の攻撃に対して有効なソリューションを適切に導入することが重要となり、多層防御の考え方にも繋がっている。

■■■■
1. 偵察(例:事前調査)

攻撃対象となる企業へ侵入するために事前調査を行う段階。
(標的型攻撃メールを送るために、標的となる人間の情報を集める段階。)

攻撃者はSNSを使って情報を収集。

役員や従業員はFacebookやTwitter、Instagramなど、さまざまなSNSを利用している場合が多い。

場合によっては、企業のページもSNS上で展開していることもある。

それらの情報を集め、組み合わせることで、標的となる人間を決める。

SNSの情報から人間関係や趣味、普段の行動なども把握できる。

※対策:従業員教育(会社のメアドやSNSを使用しない、プライベートのSNSで所属情報を晒さない)

■■■■
2. 武器化(例:標的型攻撃メールの送付)

標的が決まったら、標的の友人や知人、同僚、上司になりすまして標的型攻撃メールを送付。

添付ファイルを開かせたり、特定のURLをクリックさせたりすることで、マルウェアをダウンロードさせようとする。

偵察段階で得た情報を元に作成されたメールは、標的にとって思わず開いてしまうメールとなっている。

マルウェアは常に実行ファイルであるとは限らず、PDFやWord、Excelといったファイルに扮していることもあり、巧妙に細工されている場合が多い。

※対策:従業員教育(メール訓練の実施)、企業のメール環境に対するアンチウイルス対策の実装

■■■■
3. デリバリ(例:C&C通信の確立)

標的の端末のマルウェアに感染に成功すると、次に攻撃者が侵入するためのバックドアの作成が行われる。

不正なコマンドをリモートで行うためのコマンド&コントロールサーバ(C&Cサーバ)と呼ばれる、攻撃者のサーバーへの通信を確立する。

C&Cサーバーへの接続が確立されると、攻撃者は自由に企業内のネットワークで行動できるようになる。

※対策:境界防御の強化(次世代FWの導入、認証型プロキシの導入)

■■■■
4. エクスプロイト(例:内部行動)

最初に侵入した端末を足がかりとし、企業の内部ネットワーク構造を把握したり、機密情報を保存している場所を探したりする。

攻撃者は見つからないように慎重に行動する。

この段階は、長いときには数年にも及ぶ場合もある。

企業内のセキュリティソリューションの情報を収集したり、パソコンを含む機器のぜい弱性情報の収集を通じて、さらに侵入範囲を拡大していく。

※対策:端末のパッチ適用徹底、ネットワークのマイクロセグメンテーション化

■■■■
5. インストール(例:高い権限を持つPCへの侵入)

企業の機密情報を保存しているファイルサーバーやデータベースには、アクセスできる端末が限られている場合が多い。

ここでは、より高い権限を持つ端末(本丸)への侵入や、アクセス権限の盗取を行う。

※対策:PCの権限分離(エンドユーザはuser権限とし、Administrator権限はIT部門等での集中管理とする。データベースアクセスを行う端末は業務端末とは物理的にもネットワーク的にも異なる端末とする。とか)

■■■■
6. 遠隔操作(例:情報の盗み出し)

機密情報の盗み出しや改ざん、破壊などを実施。

機密情報を盗み出す場合は、デリバリーの段階で確立したC&Cサーバーへのバックドアを用い、企業内で一般的に利用されるソフトウェアのプロトコルに偽装するなどして、見つからないように送信する。

※対策:無い?(UEBAとかがあると検知できるのかな?)

■■■■
7. 目的の実行(例:痕跡の消去)

最後に、攻撃者は自身の行動した痕跡(マルウェアの行動履歴や、侵入した端末のログファイルなど)を消去する。

仮に企業側が攻撃されていることに気づいても、ログファイルなどの痕跡が残っていないと攻撃者を追跡することが難しくなる。

攻撃者が痕跡を消去することは、自らの行為を知らないようにすることと、仮に知られても追跡できないようにすることを目的としている。

※対策:SIEM導入


昔はセキュリティ対策と言えばアンチウイルスソフトやファイアウォールに代表されるような、侵入を防ぐことに主眼が置かれていた。

ところが、最近ではサイバーキルチェーンを見れば分かるように、侵入防止を重視しつつも侵入後の早期発見にも主眼が置かれている。

【転載】スクート、ノックスクート利用者に半額分を返金へ 航空券やバウチャーなど対象

スクート、ノックスクート利用者に半額分を返金へ 航空券やバウチャーなど対象:

2020年6月30日 火曜日 8:33 AM 編集部





会社の清算を決めたノックスクートの予約客に対し、シンガポール航空グループのスクートが、ノックスクートの航空券やバウチャー、クレジットシェルの半額分を返金することを、顧客に送付したメールで明らかにした。

ノックスクートは、バンコクのドンムアン空港を拠点とする航空会社で、タイのノックエアとスクートによる合弁企業として、シンガポール航空が運航していたボーイング777-200型機を使用し、札幌/千歳・東京/成田・大阪/関西〜バンコク/ドンムアン線の日本線3路線を運航していた。スクートは49%を出資している。

通常、航空会社が破産や清算をした場合、航空券は無効となり、返金がされないケースが多い。クレジットカードなどで支払った場合、カード会社が補償するケースはあるものの、出資者が一部を負担する事は極めて稀。返金には手続きが必要となる。ノックエア側からの対応は、現段階で発表されていない。

詳細はこちら

【転載】IIJ、インターネットの最新の技術動向・セキュリティ情報の技術レポート「IIR Vol.47 June 2020」を発行

IIJ、インターネットの最新の技術動向・セキュリティ情報の技術レポート「IIR Vol.47 June 2020」を発行:


今号は、定期観測「メッセージングテクノロジー」をはじめ、フォーカス・リサーチ(1)では「農業IoTでのLoRaWAN®普及に向けたIIJの取り組み」、フォーカス・リサーチ(2)では「新型コロナウイルスのフレッツトラフィックへの影響」をご紹介します。
全体(一括)
エクゼクティブサマリ
「定期観測レポート メッセージングテクノロジー」 なりすましメール対策に有効な送信ドメイン認証技術(SPF、DKIM、DMARC)の普及状況を報告し、現在、流通しているフィッシングメールへの対処法についても解説します。
更に、昨年開催されたJPAAWG 2nd General Meetingの様子を紹介します。
フォーカス・リサーチ(1)「農業IoTでのLoRaWAN®普及に向けたIIJの取り組み」 IoTの活用分野の一つとして注目されている農業。IIJでは、同分野におけるIoT活用の最大の課題となっている「通信の確保」のために、最新の無線通信技術「LoRaWAN®」を採用した水田センサーを開発するなど、実績を積んできました。
ここでは、現場での基地局の設置工事や通信性能の評価などを通じて、私たちが実際に体験し手探りで培ってきたノウハウを掘り下げて解説します。
フォーカス・リサーチ(2)「新型コロナウイルスのフレッツトラフィックへの影響」

2020年3月から2020年5月にかけて、新型コロナウイルスCOVID-19の感染拡大によって、全国の学校が一斉休校となり、在宅勤務が推奨されました。
そんな中、家庭でのインターネット利用にどのような変化が見られたのか、またインターネットにどのような影響があったのか、IIJのブロードバンドサービスのトラフィック推移を調査した結果を報告します。
バックアップ

【転載】ノックスクート、取締役会で清算を決議

ノックスクート、取締役会で清算を決議:

2020年6月26日 金曜日 9:09 PM 編集部





ノックスクートは、会社の清算を取締役会で決議した。株主も約14日後に行う株主総会で、同様の決議を行う見通し。

ノックスクートは、シンガポール航空グループのスクートと、タイのノックエアが合弁で2014年に設立。ボーイング777−200型機で、バンコクと日本や中国などを結ぶ路線を運航していたものの、経営状況は当初から芳しくなかった。新型コロナウイルスの感染拡大の影響も甚大で、会社の清算を決議した。

すでに、425人の従業員を、タイの労働法に準拠して解雇し、解雇手当が全額支給されている。清算手続きの完了後に、再就職の優遇措置を受けることができるという。

管財人の任命後、さらなる情報が提供されるとしている。

詳細はこちら

【転載】北朝鮮「国産」アンチウイルスソフト製品レビュー

北朝鮮「国産」アンチウイルスソフト製品レビュー:

北朝鮮。インターネット接続の実態さえ不明な国だが、「国産」アンチウイルスソフトが開発され流通しているという。北朝鮮製アンチウイルスソフトおよびその市場はどうなっているのだろう。



 北朝鮮のセキュリティ研究者は少ないながら世界中に存在する。Kaspersky Global Research & Analysis Team の Mark Lechtik 氏と Ariel Jungheit 氏も、北朝鮮のアンチウイルスについて調査研究を続けているプロフェッショナルたちの一人だ。彼らが、それらの製品のうちバージョン違いを含め 6 つのアンチウイルスソフトを解析したレポートを昨冬行われた AVAR 2019 Osaka で公表している。



●北朝鮮がアンチウイルスソフトを国内開発する理由



 北朝鮮でアンチウイルスソフトが製造され流通していることは、多くの人にとって初めて認識させられる事実ではないだろうか。そもそも、国内にアンチウイルスを市販するほど PC やインターネットが普及しているのかというのが第一の疑問だ。Lechtik、Jungheit 両氏の研究によれば、北朝鮮がアンチウイルスソフトを自主開発する背景には「主体思想」が関係しているという。

《中尾 真二( Shinji Nakao )》


【転載】コスト削減効果の高い内部脅威対策ランキング(日本プルーフポイント)

コスト削減効果の高い内部脅威対策ランキング(日本プルーフポイント):

日本プルーフポイント株式会社は6月24日、内部脅威による事故等により発生するコストに関する調査レポート「内部脅威による損失 グローバルレポート 2020」を発表した。



調査対象は、内部関係者による重大事故を過去に1回以上経験した従業員1,000人以上の北米・ヨーロッパ・中東・アフリカ・アジア太平洋地域のグローバル企業の、ITおよびITセキュリティの担当者約1,000人。



調査によれば内部脅威の60%以上が従業員や委託業者などの過失によるもので、内部脅威が発生すると1社平均年間あたり約12億円(1,145万ドル)の対応コストを要し、各インシデント封じ込めには平均で77日を要した。



主な調査結果は下記の通り。



●内部脅威事故の原因

・従業員または委託業者の不注意や怠慢:60%以上

・悪意を持った内部関係者:23%



種類別の事故発生数




●内部脅威事故発生時の年間コスト1社平均

・2018年 866万ドル

・2019年 1,145万ドル(31%増加)



●事故対応費用

・封じ込めに要した日数:90日:1,371万ドル

・封じ込めに要した日数:30日未満:712万ドル



本調査によれば、コスト調査結果をもとに、内部関係者による事故対策の費用対効果のランキングを求めた。それによれば「ユーザー行動分析(UBA)」「特権アクセス管理」「アウェアネストレーニング」「SIEM」などの費用対効果が高く、反対にさもありなんな「第三者機関による厳格な身元調査」「従業員監視」「DLP」などの費用対効果は低かった。

《高橋 潤哉( Junya Takahashi )》

レポートバックアップ

ハンコと並ぶ無駄な日本文化”PPAP”


@IT主催のIT Security Live Weekがあり、視聴している。

川口設計の川口 洋氏の話は面白かった。

セキュリティと直接関係ないのだが、いつか辞めたい日本の無駄な文化としてハンコとPPAPを挙げられていた。

ちなみに、ピコ太郎さんを出しておいて何なんだが、
PPAPはPen-Pineapple-Apple-Penの略ではない。

ここでのPPAPは下記の略である。

P:Pass付ZIP送ります。
P:Pass送ります。
A:Aん(暗)号化
P:Protocol

会社勤めの人であれば例外なくやっているであろう、メール添付ファイルZIP暗号化。

これ、日本固有の文化であることをご存じだろうか?

海外とのやり取りでこんなことすると、かえって不審がられる。

”日本の常識は世界の非常識”の典型の一つである。

しかも、残念なことにセキュリティ的に効果は無い

武漢ウイルス蔓延を機にハンコ文化が収束に向かうことは歓迎すべきである。

同様に無駄文化のPPAP(ピコ太郎さんじゃないほうね)も何かをきっかけに無くなってほしい。

ちなみに武漢ウイルスとともに蔓延してきた言葉である”テレワーク”だが、個人的には古臭くてどうしても好きになれない。

”リモートワーク”とかもう少しマシな表現はできなかったのだろうか?

【転載】個人情報保護法の改正で押さえるべき4つのポイント(ガートナー)

個人情報保護法の改正で押さえるべき4つのポイント(ガートナー):

img_ogp.png


ガートナー ジャパン株式会社(ガートナー)は6月19日、個人情報保護法の改正を機に、IT/セキュリティ・リーダーが押さえるべき4つのポイントと、取り組むべきアクションを発表した。企業は今回の個人情報保護法改正のポイントや世界的な法規制のトレンドを把握し、セキュリティとプライバシーの観点から必要なアクションを速やかに推進すべきとしている。



4つのポイントは、「個人の権利の在り方」「事業者の守るべき責務の在り方」「データ利活用に関する施策の在り方」「ペナルティの在り方」。



「個人の権利の在り方」では、個人の権利がより尊重され、その幅も拡大される。これは、プライバシーを基本的人権として位置付け「Subject Right (主体の権利)」を重視するEU一般データ保護規則 (GDPR)の考え方に近づく形となっている。企業は個人のプライバシーをより尊重・重視する姿勢が重要になるとしている。



「事業者の守るべき責務の在り方」では、個人情報の漏えい時には、個人情報委員会への報告および本人への通知が義務化される。これもGDPRに近づく動きとなる。セキュリティ・リーダーは、どのような個人情報を取得し、それがどこに流れ、処理、保管され、廃棄されるのかといったフローを把握し、万一の漏えい等を想定したインシデント対応プロセスが機能するかを早期に点検すべきとしている。



「データ利活用に関する施策の在り方」では、Cookieなどの個人関連情報を第三者が個人データとして (つまり個人を識別できるデータとして) 取得することが想定されるときは、本人の同意が得られていることの確認が企業に義務付けられる。また仮名加工情報が新設される。これはデータの利活用が促進される反面、個人情報保護委員会から公表される情報を踏まえ、それに従う必要があるとしている。



「ペナルティの在り方」では、個人情報保護委員会からの命令への違反、同委員会に対する虚偽報告等についての法定刑が引き上げられる。GDPRほどの高額な制裁金には及ばないものの、制裁が行われたときの顧客の信用の失墜や、顧客離れによるビジネスへの負の影響は甚大なものとなる。儲けや利便性のためだけに個人情報を利己的に使い回す企業は、顧客からも社会からも受け入れられなくなるとしている。

《ScanNetSecurity》