金融業界は金融庁がにらみを利かせていてガチガチのお堅い世界だと思っていたが、以外に官民連携で新しい技術を受け入れつつ、ガバナンスをどう確立していくかを考えている姿勢が伺えて面白かった。
以前は定期的に金融庁が金融機関に対して検査を行っていたが、金融機関のベースラインが上がってきたこともあり、「検査」から「モニタリング」に移行させているあたり、金融庁の(意外な)柔軟姿勢を垣間見ることができた。
恐らくこの柔軟な姿勢が仮想通貨の初期段階における寛容さに繋がったのであろう。
本来であればここで仮想通貨取扱事業者が自社のセキュリティ対策やITガバナンスを主体的にきっちりやっていれば問題なかったのだが、インシデント多発により、金融庁も厳しい姿勢で臨まざるを得なくなったのかと想像する。
金融庁が過去に報告されてきたインシデント事例をまとめてレポートとして公表している点も面白かった。
金融機関って最もITやセキュリティに投資をしている業界だが、それでも結構なインシデントが発生している点は興味深かった。
スマホ用ブラウザー「Smooz」がサービスの終了を発表した。時を同じくして、同じ運営元の「在庫速報.com」がアクセス不能となったことで、さまざまな憶測が飛び交っている。
ユーザーの閲覧情報をサーバーに送信している疑いが発覚し、アプリの公開を停止していたSmoozは23日、「Smoozの提供を継続することは困難」とし、サービスの終了を発表。詳しい説明がほとんどないまま終了に至ったことで、ネット上では物議を醸している状況だが、一方で注目を集めているのは、同じ運営元が提供している価格比較サービス「在庫速報.com」が、23日早朝から見られなくなっていること。同じアスツール株式会社が運営しているというだけでサービスそのものには特に関連性はないはずだが、公式Twitterでのアナウンスもないまま、サーバーが「503」を返し続けており、ユーザーの間ではそのタイミングの一致を巡って、さまざまな憶測が飛び交っている状況だ。
株式会社インターネットイニシアティブ(IIJ)は、ITエンジニアを対象とした年次の技術イベント「IIJ Technical WEEK 2020」を開催した。会期は12月14日から17日の計4日間で、今回はオンライン開催となった。
4日間それぞれにテーマが設定され、DAY1は「セキュリティ」、DAY2は「インターネット・バックボーン」、DAY3が「アプリケーション」、DAY4が「データセンター」となっている。
本稿では、DAY1(14日)のセキュリティに関するセッションの模様をレポートする。なお、セッション内容は後日、動画でも公開されている。記事の最後に紹介しているので、詳しく見たい方はそちらも見てほしい。
IIJのセキュリティ本部長の齋藤衛氏による「セキュリティ動向2020」は、1年のセキュリティ動向を振り返る、毎年恒例のセッションだ。
齋藤氏はまず、この1年の概況をリストアップしたスライドで振り返った。Emotetの間接活動など、同セッションのこの後の各論で解説する重要事案はここで置いておいて、それ以外から語られた。
まずVPNへの攻撃。コロナ禍のリモートワークで問題が注目されたが、実は昨年ぐらいに発見された脆弱性の対策が終わっていなくて、そこが攻撃されたという。
次は、NTTコミュニケーションズで外部からの不正アクセスにより情報が漏洩した事件。これについては、通信事業者どうしということで注目していることや、NTTコミュニケーションズの人がカンファレンス等で情報を公開していることが紹介された。
その次は、クラウドサービスの障害による業務や生活環境への影響。「クラウドサービスがよくも悪くも生活の基盤になって、障害が大きく扱われるようになった。先日も、ある大手パブリッククラウド(筆者注:AWSと思われる)の障害の結果、IoTデバイスが動作しなくなって電気を消せない、といった声も起こるようになった」(齋藤氏)。ちなみに奇しくも同日夜には、Googleの障害が発生し、同様にIoTデバイスの問題が報告されていた。
さて、各論の最初はメールで伝播するマルウェアだ。
齋藤氏は20世紀からのメール添付されたマルウェアに触れつつ、今年はEmotetが話題になっていたことを取り上げた。Emotetは、2014年に発見された当初はオンラインバンキングの認証情報を盗むものだったが、現在ではいろいろな機能が追加され、ボットや他のマルウェアのダウンローダとして活動しているという。
「Emotet」については、IIJのSOCチームがまとめている観測レポートも紹介された。この約1年で、2019年9月、12月~2020年2月、7月、9月の4回の盛り上がりがあったという。特に7月がひどく、全マルウェア検出数の80%以上をEmotetが占める日もあったと齋藤氏は語った。
同レポートでは、文言やどのようなメールに添付されるかも公開している。その一部では、正当なメールに返信する形で感染活動を行う、やりとり型攻撃に似た方式のメールもあるということで、齋藤氏は注意を呼びかけた。
そのほか、パスワード付きZIPファイルについても言及された。パスワードで暗号化されているため、「多くのゲートウェイ型検知システムで検査されない」という問題があるという。11月からは、パスワード付きZIPファイルで感染活動するマルウェア「IcedID」も登場している。
各論の次のテーマは、標的型ランサムウェアだ。ディスクに記録した情報を勝手に暗号化して人質にし、金銭を要求するランサムウェアは、一般にも有名になった。
さらに2~3年前からは、身代金を支払いそうな特定の標的に対してランサムウェアによる攻撃を仕掛ける、標的型ランサムウェアが登場しているという。
また、標的ランサムウェアでは、データを人質にするだけでなく、情報を窃取して、リークサイトに暴露すると恐喝するものも登場していることを齋藤氏は紹介した。
各論の次のテーマはDDoSだ。DDoSは古くから続いている攻撃で、IIJでは2003年頃から脅威として取り上げているとのこと。現在は1日平均10回以上発生し、100Gbpsを超える規模のものもあると齋藤氏は報告した。IoTボットも依然として脅威だという。
DDoSの中で、DDoS攻撃して金銭を要求する恐喝DDoS攻撃も、2007年ごろから発見されている。去年の同セッションでも方向されたテーマだ。
「今年も夏ごろに世界中の金融期間に攻撃が発生した」として、齋藤氏は韓国やニュージーランド、国内の事例を紹介した。
各論の次のテーマは、コロナ禍の影響だ。ネットワークについては、直接セキュリティではないが、テレワーク関連で通信の契約が伸びていることを紹介した。また、トラフィックが昼間は会社から・夜は自宅からという波が平準化して、一日中同じようにトラフィックがあるという。
仕事の仕方も変化し、テレワークが増えた。ちょうど情報資産がオンプレミス環境だけでなくクラウド環境にも置かれるようになってきている。この2つが同時に進行して、会社からオンプレミス環境にアクセスするだけでなく、会社からクラウド環境にアクセス、自宅がオンプレミス環境にアクセス、自宅からクラウド環境にアクセス、という4パターンが広まった。
これに運用体制が対応できているかどうかの問題を齋藤氏は取り上げた。オンプレミスでは、誰がいつどの情報にアクセスしたかログが残り、情報漏洩などの内部犯行への抑止力となっている。「たとえば自宅からクラウド環境にアクセスしたときにログが取れているか?」として、齋藤氏は注意を喚起した。
セキュリティ技術者不足、クラウドコンピューティングへの迅速な移行、規制コンプライアンス要件、脅威のとどまるところを知らない進化――これらは、以前からセキュリティ上の大きな課題となっている。
だが、2020年においては、新型コロナウイルス感染症の大流行(パンデミック)への対応も、ほとんどのセキュリティチームにとって重大な課題となっている。
「パンデミックとそれがビジネス界にもたらした変化は、ほとんどの企業でビジネスプロセスのデジタル化やエンドポイントモビリティー、クラウドコンピューティングの導入拡大を加速し、レガシーな考え方や技術を明らかにした」。Gartnerのアナリストでバイスプレジデントのピーター・ファーストブルック(Peter Firstbrook)氏は、同社が2020年9月に開催したバーチャルカンファレンス「Gartner Security and Risk Management Summit 2020」でそう語った。
パンデミックに伴い、セキュリティチームは、LAN接続を必要としないクラウドベースのセキュリティツールやオペレーションツールの価値に再注目した。そして、リモートアクセスポリシーおよびツールの見直しや、クラウドデータセンターとSaaSアプリケーションへの移行および対面のやりとりを最小限に抑えるための新しいデジタル化の取り組みを進めている。
Gartnerは、先進的な組織の対応を調査し、広範かつ長期的な影響を及ぼすと予測される、2020年の9つのトップトレンドを特定した。これらのトップトレンドは、セキュリティエコシステムの戦略的なシフトを浮き彫りにしている。これらのシフトはまだ広く認識されていないが、多数の業界に大きな影響を与え、ディスラプション(創造的破壊)を起こす可能性が高い。
さまざまなセキュリティ製品から自動的にデータを収集し、相関させ、脅威検知の改善とインシデント対応につなげる「拡張型検知/対応」(XDR)ソリューションが登場している。このソリューションでは、例えば、電子メールやエンドポイント、ネットワークに関するアラートを組み合わせて分析し、1つのインシデントにまとめることができる。XDRソリューションの主な目的は、検知精度を高め、セキュリティオペレーションの効率と生産性を改善させることにある。
「データの一元化と正規化も、多くのコンポーネントからの弱いシグナルを組み合わせて、他の方法では無視されてしまうかもしれないイベントを検知することで、検知の改善に役立つ」(ファーストブルック氏)
スキルの高いセキュリティ実務者が不足する一方、セキュリティツールで自動化機能が提供されるようになったことで、セキュリティプロセスの自動化が進んできた。この技術は、コンピュータ中心型セキュリティオペレーションに関する作業を、定義済みのルールやテンプレートに基づいて自動化する。
自動化されたセキュリティ作業ははるかに高速に、スケーラブルに実行でき、エラーの発生が少なくなる。だが、自動化を実現し、維持していくと、リターンは減っていく。セキュリティとリスクマネジメントのリーダーは、多くの時間がかかる反復作業の代替に役立つ自動化プロジェクトに投資し、担当者がより重要なセキュリティ作業に集中できる時間を増やさなければならない。
AI、特に機械学習(ML)は、セキュリティやデジタルビジネスの幅広いユースケースで、人間の意思決定の自動化や拡張に利用されるようになっている。だが、これらの技術に関連する3つの重要課題に対処するには、セキュリティノウハウが必要になる。これらの課題は、AIベースのデジタルビジネスシステムを保護すること、パッケージ化されたセキュリティ製品でAIを利用してセキュリティ防御を強化すること、攻撃者によるAIの不正利用を予測することだ。
2019年には、従来のエンタプライズITシステム以外のインシデント、脅威、脆弱(ぜいじゃく)性の発覚が増加した。これを受けてリーディングカンパニーは、サイバー世界と物理世界の全体にわたってセキュリティを再考した。新たな脅威――例えば、ビジネスプロセスに対するランサムウェア攻撃やビル管理システムに対するシージウェア攻撃(ランサムウェアとビルオートメーションシステムを組み合わせ、機器制御ソフトウェアの悪用によって物理的なビル施設の安全性を脅かす攻撃)、GPSスプーフィング、OT/IoT(オペレーションテクノロジー/モノのインターネット)システムで相次いで発見される脆弱性などは、サイバー環境と物理環境の両方にまたがっている。主に情報セキュリティを担当する組織は、セキュリティ障害が物理的な安全性に及ぼす影響に対処する体制が整っていない。
そのため、サイバーおよび物理システムを展開しているリーディングカンパニーは、全社レベルのCSOを置くようになっている。防御目的で、そして場合によっては、ビジネスを支える目的でセキュリティのさまざまなサイロを統合するためだ。CSOは、ITセキュリティ、OTセキュリティ、物理セキュリティ、サプライチェーンセキュリティ、製品管理セキュリティおよび健康、安全、環境プログラムを、一元的な組織とガバナンスのモデルに集約できる。
プライバシーは、もはやコンプライアンス、法務、監査の一部として取り組む領域ではない。定義された独立した領域として影響力を増しており、その影響範囲は組織のほぼあらゆる側面にわたっている。
プライバシーは急速に広がっている領域であり、組織全体にわたって統合を進める必要がある。特に、プライバシー分野は企業戦略を左右する要因の1つとなっており、そのためにセキュリティ、IT/OT/IoT、調達、人事、法務、ガバナンスなどとの緊密な整合性を確保しなければならない。
ソーシャルメディアから小売店まで、消費者がブランドとやりとりするタッチポイント(接点)は多様化している。消費者がそれらの接点でどの程度安全と感じるかは、ビジネスの差別化要因になる。多くの場合、こうした接点のセキュリティは別々の組織が管理している。各ビジネス部門が担当分野についてのみ管理を手掛けているからだ。だが、企業は、部門横断型の信頼・安全チームが全てのやりとりを統括し、消費者が企業とやりとりする各分野全体にわたって、標準的なセキュリティレベルを確保する体制への移行を進めている。
リモートオフィス技術の進化に伴い、クラウドベースのセキュリティサービスの人気が上昇している。セキュアアクセスサービスエッジ(SASE)技術により、企業はモバイルワーカーやクラウドアプリケーションをよりよく保護できる。トラフィックをバックホールし、データセンター内の物理セキュリティシステムを通過させるのではなく、クラウドベースのセキュリティスタックを経由してトラフィックを送信できるからだ。
多くの組織が、サーバワークロードに使用したのと同じセキュリティ製品を、エンドユーザー向けエンドポイントにも使用する。この手法は、“リフト&シフト”のクラウド移行でも継続されることが多かった。だが、クラウドネイティブアプリケーションでは異なるルールや手法が必要になる。そこでクラウドワークロード保護プラットフォーム(CWPP)が開発された。しかし、アプリケーションがますます動的になるにつれて、セキュリティの選択肢もシフトすることが求められている。CWPPと新しいクラウドセキュリティの状態管理(CSPM)を組み合わせることで、当面はクラウドネイティブアプリケーションにおけるセキュリティニーズの全ての進化に対応できる。
新型コロナウイルス感染症のパンデミックは、従来のVPNにおける多くの問題を浮き彫りにした。新しいゼロトラストネットワークアクセス(ZTNA)により、企業は特定のアプリケーションへのリモートアクセスを制御できる。ZTNAはより安全な選択肢だ。アプリケーションをインターネットから“秘匿”するからだ。これは、ZTNAがZTNAサービスプロバイダーとのみ通信を行い、ZTNAプロバイダーのクラウドサービスを介してのみアクセスすることで可能になる。
ZTNAは、攻撃者がVPN接続を悪用して他のアプリケーションを攻撃するリスクを軽減する。ただし、企業がZTNAを本格的に導入するには、どのユーザーがどのアプリケーションにアクセスする必要があるかを正確にマッピングしなければならない。そのため、本格導入には時間がかかりそうだ。
出典:Gartner Top 9 Security and Risk Trends for 2020(Smarter with Gartner)
ーー
OSINTのリソースは多種多様であり、常に流動的な状態にある。一日おきに新しいツールが登場する一方で、古いものは静かに引退していきます。だからこそ、多くの市民ジャーナリストや研究者、調査員が毎日start.meを使っているのです。それはあなたのOSINTの仕事をより簡単にしてくれます。
OSINTコミュニティで有名なTechnisette氏とLoránd Bodó氏に説明を求めた。
ロラーンド:Twitterで知りました。最初にstart.meのページを持っていた人が誰だったかは覚えていませんが、technisette.comのTechnisetteさんだったと思います。彼女のページを見たとき、私は「すごい!」と思いました。これはすごい!」と思いました。その時、start.meページはまさに私が探していたもので、OSINTのブックマークを簡単に管理できるソリューションでした。
ブックマークやリンクの管理も簡単です。これはOSINTにとって非常に重要です。
ツールやテクニックなどのリソースをすぐに見つけられるように、自分のページを作って自分の思い通りにデザインすることにしました。
テクニセットです。私の同僚がテクニセットを紹介してくれました。彼はそれがどのように動作するかを教えてくれましたし、とても使いやすかったので、私はすぐにコレクションを構築しました。
テクニセット。特に何かを持っているわけではありません。主に、すべてのものを分類できる別のボックスを持つオプションがあること。
Loránd。私はリンク切れチェッカーが欲しかったので、PROアカウントを持っています。これを使えば、どのリンクが壊れていて削除すべきかを自動的に確認することができます。ソースは頻繁に来ては消えていくので、自動的にすべてのリンクをスキャンしてくれる機能が欲しかったのです。どのリンクも機能しないブックマークページは嫌です。それがPROアカウントを取得することを決めた主な理由の一つです。
また、私はRSSフィードを作成したいと思っていましたが、これは私が特定のトピックやニュースを監視するために驚くほど便利で超便利だと思います。あなたはstart.meで簡単にそれを行うことができます
テクニセットです。私がページの更新をやめた理由は、各ブックマークに添付されているコメントで検索できなかったからです。それがうまくいくと助かります。
Quick start.meの反応。ブックマークの説明文でも検索できるようになりました。このサポート記事を読んでみてください。
Loránd. 大きく気になることの一つにプライバシーがあります。これについては2つの角度から考えています。ダッシュボードを作成するユーザーの視点から:start.meを使用する際に、どのような情報を提供したり、漏洩したりするのか?そして、エンドユーザーの視点からは、私がそのようなダッシュボードにアクセスするときに、start.meはどのような情報を収集するのか?このようなサービスには明確さが必要であり、非常に重要です。
start.meの迅速な対応。私たちは、物事を明確にするために、プライバシーポリシーに平易な英語での紹介を追加しました。
Loránd. テロと過激化 start.meページに目次を作成しました。 もしこのようなカテゴリをもっと簡単に作成できる機能があれば、それを望む人もいると思います。つまり、ページを作成するだけでなく、ワンクリックでサブカテゴリを作成して、ユーザーが相互にリンクした素晴らしいダッシュボードをコンパイルできるようにすることができます。あなたはアイデアを得る。異なるページに自動的にリンクする方法。
Technisetteとのメールによるインタビューは、2020年10月9日に行われました。Loránd Bodóとのスカイプインタビューは、2020年10月19日に行われました。その会話の中で、彼はstart.meを改善するためにさらに多くのアイデアに言及した。
今年もまた、この12カ月間で、パスワードのセキュリティが改善されたかどうかを確認すべき時期がやってきた。
2015年を振り返ると、もっともよく使われている最悪のパスワードの中に「123456」や「password」といったものが含まれていた。しかし5年経った今でも、こうした例はなくなる気配がない。
NordPassとそのパートナーは、2020年の情報漏えいインシデントで流出した2億7569万9516件のパスワードを分析した。同社は、出現頻度が高いパスワードは極めて容易に推測できるものが多く、こうしたパスワードを使用しているアカウントは数秒で破られてしまう可能性があると述べている。「ほかに同じものがないパスワード」だと考えられるものは、全体の44%にすぎなかった。
パスワードマネージャーを提供している企業であるNordPassは米国時間11月18日、パスワードセキュリティの現状がうかがえるレポートを発表した。頻度が高かったパスワードの上位に来たのは、「123456」「123456789」「picture1」「password」「12345678」だった。
これらのパスワードは、総当たり攻撃で破るのに約3時間かかる「picture1」を除けば、どれも辞書攻撃を行うスクリプトなどを使って数秒で破れるものばかりで、人間でも推測できるレベルのものだった。
200件強のリストの中には「whatever(どうでもいい)」というパスワードもあった。いまだに強力でクラックしにくいパスワードを使うつもりがない人が多いことを考えれば、これはパスワードセキュリティの現状をうまく表したフレーズだといえるかもしれない。リストには他にも、「football」「iloveyou」「letmein(Let me in、自分を中に入れてくれの意)」「pokemon」などのパスワードが含まれていた。
NordPassのデータセットによれば、2020年のもっとも頻度が高かったパスワードのトップ10は以下の通りだ。
パスワードを選ぶ際は、キーボード上で隣り合っている文字や数字を並べるなどの単純なパターンや繰り返しは避けるべきだろう。大文字や記号、数字などを意外な場所に入れることも効果的だ。また、どんな場合でも誕生日や名前などの個人情報をパスワードに使うべきではない。
ベンダー側でも単純な組み合わせはユーザーのプライバシーやセキュリティの守る上で役に立たないことを意識すべきだが、ユーザー側でも、自分のアカウントを責任を持って守る必要がある。
C.フォーラムへのアクセス
1.データの所有権
2.データの性質
3.売主の性質