「犯罪に強い社会の実現のための新たな行動計画（仮称）」（案）

このブログで取り上げるのを忘れてました。
そして「そういえば、パブコメ募集中だったな・・・」ということで、いまさら読んでいたら、パブコメの期限が明日11/28でした。（正確には、今日か・・・）

主には「防犯」という視点で書かれているものですが、その中には「サイバー犯罪」も含まれています。
それから、物理環境セキュリティの参考になることも多く、情報セキュリティプロフェッショナルを目指す人なら、ざっと目を通しておいても良いのではないかと思います。

ところで、これに限らずこのテの文書には「安心」「安全」という言葉が多く使われています。これらの言葉と「セキュリティ」とは、その概念上、私は別のものと考えています。
特に「安心」とは、人間の感覚とか感情のものですから・・・

●「犯罪に強い社会の実現のための新たな行動計画（仮称）」（案）に対する意見の募集（パブリックコメント）について～内閣官房

・「犯罪に強い社会の実現のための新たな行動計画（仮称）」（案）

・「犯罪に強い社会の実現のための行動計画」（2003年12月）

※ サーバー犯罪関係の内容は、おもにP.25～28「第5 安全なサーバー空間の構築」にあります。そのほかにも、チラホラありますけど。

最近のアンダーグラウンド市場の実態

2つの記事で紹介されていました。
大量に売買されているせいか、情報もツールも価格が下がっている気がします。
市場規模は拡大しているようですが・・・

●ITmediaの記事「Symantecのアンダーグラウンド報告書：盗んだ個人情報など2億7600万ドル――闇市場の売買実態」

　アンダーグラウンド市場ではフィッシング詐欺やデータベースへの不正アクセスといった手口で盗み出したクレジットカード番号、銀行口座情報、社会保障番号、電子メールアドレスやメールアカウントなどの個人情報が大量に売買されている。

　報告書では、2007年7月1日から2008年6月30日までの1年間に収集したデータを分析した。その結果、宣伝されている「商品」のうち最も多いのはクレジットカード情報で、全体の31％を占め、値段はカード1枚当たり10セント～25ドルだった。次いで銀行口座情報が20％を占め、口座1件当たりの値段は10～1000ドル。口座残高は平均4万ドルだった。

　このほか、攻撃用コードやフィッシング詐欺ツール、詐欺サイトホスティングといったサービスも盛んに宣伝され、攻撃コード開発者やフィッシング詐欺パートナーなどの人材募集もあるという。

●日経ITproの記事「「カード番号は10円から、アドレスは1MBで30円」売買される個人情報」

　カード情報の価格は、10セント（10円弱）から25ドル（およそ2400円）。まとめ売りされていることも多い。それらの利用限度額の平均は4000ドル（およそ39万円）以上。シマンテックの計算によれば、売りに出されていたカードの潜在的な価値の総額は53億ドル（およそ5141億円）に上るだろうとしている。

　カード情報の次に多かったのは銀行口座情報で、全体の20％を占めた。口座情報の価格は10ドルから1000ドル。残高の平均額はおよそ4万ドルだったという。

　アンダーグラウンド・エコノミー・サーバーでは、メールアドレスやフィッシング詐欺用のツールなども売買されている。メールアドレスは低価格で、アドレスを収めたリスト（ファイル）1Mバイト当たりわずか30セント（およそ29円）。詐欺用ツールの平均価格は10ドル以下だという。

知っているだけとは、つまり・・・

以前の記事「知っていればいいという「知識」」で、「そんなものは存在しないはずですし、だったら知らなくてもいい、というのが私の考えです」と書きました。

この記事はそれなりに反響がありましたので、ちょっと補足します。
「そんなものは存在しないはず」と書いたのは、正確には「知っているだけなら「知識」ではなく別のもの」とすべきですね。
知っているだけとは、つまり「情報」に過ぎないと考えています。

「知識」と「情報」は違うはずです。
同じ「得る」という表現でも「知識」は習得するもの、「情報」は収集するもの。
これは区別されなければならない、と思っています。

「情報セキュリティのためのリスク分析・評価 第2版」

実は購入したのではなく、出版社の方から献本していただきました。
ちなみに、第1版はちゃんと購入しましたよ。

「情報セキュリティのためのリスク分析・評価 第2版―官公庁・金融機関・一般企業におけるリスク分析・評価の実践」

【主要内容】
　本書の初版は、2004年に刊行以来「リスク分析・評価の解説が具体的でよくわかる！」との好評をいただきました。その増補改訂版にあたる本書はISO/IEC 27001の要求事項に合わせて、用語を見直しました。また、「リスク対応の選び方」や「管理策の有効性評価」について、具体例を用いた解説を加筆したことでより実践的な書として生まれ変わりました。
本書は、ISOQ27001:2006(ISO/IEC27001:2005)に従ったISMSの構築の手助けになります。この一冊でリスクマネジメントのすべてがわかります。

□本書の特徴
１．リスク分析・評価の体系化／２．戦略的なリスク分析・評価方法の選択　リスク分析・評価のもつ互いの欠陥を補完し、経済的かつ検出力の高いリスク分析・評価方法の提供／３．実務家ならびにコンサルタントのノウハウを提供　リスク分析・評価のチェック項目をコンテンツとして提供／４．各分野のリスク分析・評価の事例を提供

【主要目次】
第１章　リスク分析と評価のプロセス
第２章　トップダウン・アプローチとボトムアップ・アプローチ
第３章　リスク分析と評価
第４章　情報システムのリスク評価と保護
第５章　ネットワークシステムのリスク評価と保護
第６章　脆弱性の調査技法と診断ツール
第７章　金融機関のリスク評価と保護
第８章　電子自治体のリスク評価と保護
第９章　電子商取引と電子政府のリスク評価と保護
第10章　顧客（個人）情報・技術情報の事例
第11章　電子自治体の事例
第12章　電子商取引の事例
第13章　金融機関の事例
付録１　ベースラインカタログの例－情報システム編
付録２　ギャップ分析シートの例－ネットワークシステム編

なるほど、ISMSの構築の手助けになりそうです。

ちなみに私は、「ISMSの構築」と「ISMSの維持・向上」では、「リスク分析は同じ手法でいいのだろうか？」と考えている今日この頃です。

「Network Security Forum 2008」開催

JNSAのHPで公開されています。

名　称：Network Security Forum 2008（NSF2008）

日　時：2008年12月17日(水)～18日(木)　10：00～17：00
会　場：ベルサール八重洲２階　B・C・D Room
（中央区八重洲1-3-7 八重洲ファーストフィナンシャルビル）
主　催：NPO 日本ネットワークセキュリティ協会
後　援（申請中）：情報セキュリティ政策会議、経済産業省、総務省
定　員：Room B 63名、Room C 72名、Room B＋C 144名
料　金：無料（事前登録制）
対　象：情報セキュリティに興味をお持ちの方　全般

17日は、「語り合おう情報セキュリティ！＜情報セキュリティの現状と今後を見据えて＞」と題し、マネジメント系トラックと技術系トラックに分かれて、ディスカッションを中心としたセッションで構成します。マネジメント系トラックでは、国際標準の動向とその戦略的アプローチの提案、中小企業、個人までの幅広い分野における課題について検討し、技術系トラックでは、セキュリティ運用やJNSAメンバーが行った日本発PKI国際標準化提案の経緯などについて講演並びにディスカッションを行います。

18日は「情報セキュリティ人財育成シンポジウム」と題し、人材を育成する側、される側双方の視点からの議論を展開する予定です。

ちなみに、私は18日に登壇の予定です。

Man-in-the-Middle攻撃への対抗新技術

「ZTIC（Zone Trusted Information Channel）」というらしいです。

以下、日経ITproの記事「Webブラウザを狙う中間者攻撃の対抗手段「ZTIC」」より。

　ZTIC（Zone Trusted Information Channel）は特殊なUSBセキュリティ・デバイスで，銀行と顧客間の安全な通信（および認定プロセス）を実現するために設計された（関連記事）。特に，マルウエアの感染した顧客のパソコンに通信を仲介させないようになっている。

　オンライン・バンキング取引において，顧客用の認証プロセスとそれに続く認定プロセスの主要処理をWebブラウザに任せないようにすることで，銀行狙いのトロイの木馬（とそのMan-in-the-Browserプロキシ機能）による通信データの盗聴と改ざんを阻止する。さらにZTICの内部でSSL/TLSを処理して通信を暗号化し，秘密の通信が従来のMan-in-the-Middle攻撃でコピーされたり盗聴されたりしないようにする。

う～ん、わかったようでわからない・・・
とにかく、「ZTIC」というデバイスの仕組みがわからないと。（企業機密なんでしょうね）

「Man-in-the-Middle（中間者）攻撃」の中でも、Webブラウザを狙うものは「Man-in-the-Browser（Webブラウザを狙う中間者）攻撃」と呼ばれているようです。

＜参考記事＞
「IBM，オンライン・バンキング取引を安全に行うためのUSB機器を開発」～日経ITpro

続・「ヘルプ」を悪用して攻撃

10月25日のこのブログの記事「「ヘルプ」を悪用して攻撃」の続きです。

YouTubeで、この攻撃デモが公開されています。（こちら）

他にも、いろんなデモがYouTubeに登録されるといいなぁ、と思いました。

＜参考記事＞
「Microsoftの「Help and Support Center Viewer」を悪用したWeb攻撃」～日経ITpro

「スター育成プロジェクト」近況、ミニ速報

すいません、またいろいろ立て込んでまして、本日は手短に更新します。

こちら（CompTIA日本支局のHP）です。

知識と実践、両面でがんばってます。

こちら（ご本人のブログ）でも報告されています。

あとは、来月あらためてご報告できると思います。

お楽しみに。

＜参考記事～このブログの過去記事＞
「スター育成プロジェクト、候補生のブログがオープンしました」

「ビジネス・コミュニケーション・スキル診断（BCSA）」

知っていればいいという「知識」

以前からちょくちょくそういう表現を聞いていたのですが、最近また何度か聞いたので気になっています。
中には「セキュリティは暗記もの」という、私にとっては信じられない言葉も聞いたりしました。

そんなものは存在しないはずですし、だったら知らなくてもいい、というのが私の考えです。
知識には必ず使い道が存在するはず、使い道がない知識はおそらく必要ない、と言ったほうがより良いでしょうか。

知識を習得する側もさせる側も、その必要性とどう使うかを考えてみる必要があります。

そんなこともあって、私は講習をする際に「覚えてください」という表現はしません。
また講習の後に、受講された方にお会いした際には「あの知識は、どこかで役に立ちましたか」と訊ねることが多いです。

とにかく、知る（know）だけにとどまるなく、考える（ｔｈｉｎｋ）、そして実践する（do）、それが知識の使い道のはずです。

セキュリティルールは大切だが、便利さを優先

ITmediaの記事「セキュリティルールは大切だが、便利さを優先――Webやメールを使う社員の実態」からです。

　クリアスウィフトは11月12日、50人以上が所属する国内企業の社員1030人を対象に実施したセキュリティ実態調査の結果を発表した。社内ルールの重要性を認識しつつも、制限されたサービスを利用したがる傾向が分かった。

　企業がセキュリティルールで禁止しているサービスでは、「業務に関係しないサイトへのアクセス」（54％）が最多で、以下、「業務情報の書き込みやアップロード」（35％）、「個人情報の送付」（33％）、「Webメール」（26％）だった。職場での電子メールやWeb利用で問題視しているのは、「ウイルス感染」（98％）、「情報漏えい」（97％）、「フィッシング詐欺」（96％）だった。

　利用経験があるのは、「Webメール」（69％）、「掲示板（50％）、「ブログ」（41％）、「オンラインショッピング」（39％）、「ファイル転送サービス」（36％）。また、情報漏えいにつながる可能性のある利用形態では、「電子メールの私的利用」（64％）、「職場でのオンラインショッピング」（39％）、「業務内容を個人アドレスあてに送る」（37％）、「個人情報の送付」（18％）だった。

　回答者の意見では、「Webメールは欠かせない」「仕事のデータを個人アドレスへ送るのは便利」「休憩時間の自由にWebサイトを利用したい」「大容量データの転送サービスは便利」「ブログや掲示板は広告効果がある」といったものだった。

利便性を考慮しない対策というのは実効性が低いし、抜け道も作られやすいんですよね・・・
それに私的利用の禁止やその監視（モニタリング）よりも、実施すべきものが別にある、そういうケースも多いですよね。

以上、私の経験より。

続・WPAも破られた？

日経ITproの記事「WPA1は簡単に破られ，NICも乗っ取られる」からです。

この記事は、「PacSecカンファレンス2008」のために来日した，同会議の主催者であるDragos Ruiu氏へのインタビューですが、それによると、

　低レイヤーを狙った攻撃についてカンファレンスで発表される論文の例を，2つ紹介しよう。1つは無線LANの暗号通信技術の1つであるWPA1（WPA-TKIP）を900秒以内に破れる，というもの。Erik Tews氏という学生の論文であり，一般向けには11月6日に発表したばかりのホットな話題だ。

　対策として今言えることは，WPA1ではなくWPA2（WPA-AES）を使うことと，ネゴシエート時に旧製品に合わせてWPAにダウングレードすることのないように設定することだ。もしWPA-TKIPを使い続けなければならないのであれば，データ暗号鍵を生成する際のベースとなるキーを120秒ごとに“Rekey”（変更）するべきである。

　もう1つの低レイヤーを狙った例は，スイスの研究者から寄せられたもので，NIC（ネットワーク・インタフェース・カード）に中継攻撃用のSSHサーバーを送り込んで稼働させてしまう，という攻撃だ。一般に，クライアント・マシン上で動作しているセキュリティ・ソフトは，CPUを用いて動作するプログラムの挙動しか監視しない。NICを狙うのは新しく効果的だ。

ということです。

もう少し詳しく知りたいですね。
引き続き、この話題は追っかけたいと思います。

＜過去記事・このブログ＞
・「WPAも破られた？」

専門家のやることじゃない

どういうわけか、ネットの記事や書籍に書いてあることは「正しい」「事実」と思われがちのようです。
「しかし、そうでないものがかなり多いかもしれない」ということは読み手としては知っておくべきでしょう。
特に「事実」でないもの（個人的な主張、思い込みに過ぎないもの）が、そう見えるような書き方がされているものは要注意です。
これは、意図的にされている場合とそうでない場合と両方あるでしょう。

さて、以下は私のあるセキュリティ仲間とのネットでの、ごくごく最近のやりとりの私のコメントです。
（ネットのある記事を読んでの感想です。情報セキュリティのリスクについてのものでした）

情報セキュリティ対策とは、本来は資産の利活用のために実施すべきものです。
この記事の目的や意図がそこにあるかどうかわかりませんが、結果としてそれは読み取れません。

危険性だけ煽ってインパクトを強め、「記事を読んでもらおう」とか「製品を買ってもらおう」というのは専門家や有識者のすべきことではないと思っています。（というより、そういうことをする人は、真の専門家や有識者ではないと思っています）

意図的にするということは、専門家としては絶対にやってはいけないことです。
意図的でない場合は、「事実」とそうでないものを区別して主張しなければなりません。
倫理的にも、道徳的にも、能力的にも、専門家はそうでなければならないはずです。

以上、これは個人的な見解と主張です。

ということで、私もこのようなことを肝に銘じ、努力精進する所存なのでした・・・

知識の陳腐化よりも怖いもの

それは「思い込み」であり、それに気がつかないことです。
そして、「考える習慣」「使う習慣」の欠如です。

スキル・能力の維持のために、多くの書籍や資料を読み、セミナーを聴講し、新たに資格を取得する・・・
確かに、これらは有効な手段であるかもしれません。
しかし、いくら知識を蓄積しても、「思い込み」に気がつかず、「考える習慣」「使う習慣」がないのでは、それを有効な価値あるものにはできません。

最近、いろんなところで、それを実感しております。
今日は、そんな独り言でした・・・

「偽ソフト」もバージョンアップ

日経ITproの記事「「Windows Defenderと間違えないで」、偽ソフト「WinDefender」に新版」からです。

つまり、騙す側（「WinDefender」）も、「本家」（「Windows Defender」）のバージョンアップに追従していかないとならないわけです。
しかし、「malware（マルウエア）」と書くべきところを「mailware（メールウエア）」と誤記していたりします。（やっちまったな、おい・・・）
騙し続けるというのも、なかなか大変なものです。（だから、うそをつくのは嫌だし、面倒だと思っています）

「偽ソフト」の押し売りに関しては、IPAセキュリティセンターなどからも注意喚起（こちら）されていたりもしていますね。

＜参考記事＞
・「「偽ソフト」の押し売りにご用心――IPAが警告」～日経ITpro

WPAも破られた？

ITmediaの記事「無線LAN暗号のWPA、部分クラッキングに成功」からです。

WEPの解読については、このブログでも何度か書いてきました（過去記事をご覧ください）が、今度はWPAです。

この記事は、SANS Internet Storm Centerのニュースサイトからによるものですが、それによると「研究者はWPAに使われているTKIP暗号鍵を破る方法を発見した。辞書攻撃でTKIP鍵を破る方法は以前から報告されていたが、今回は辞書攻撃ではなく、報道によればクラッキングにかかる時間も12～15分と大幅に短縮されたという」

ということで、まだ部分的に解読されたということですが、「無線LANのセキュリティをめぐっては、従来規格のWEPにさまざまな危険性が指摘されてきたが、今回の研究によってWPAの方がいいともいえない状況になってきたとSANSは指摘。今のところWPA2はまだクラッキングされていないため、WEPやWPAを使っている場合はWPA2に切り替えることを勧めている」とのことで、無線LANのセキュリティに大きなインパクトを与えそうなニュースです。

＜参考記事（このブログの過去記事）＞
・「WEPは、いよいよ終わったか」

・「WEPを1分足らずでクラック」

「情報セキュリティ管理基準 V2」告示

情報セキュリティ監査制度の「情報セキュリティ管理基準（平成20年改正版）」、いわゆるV2が告示されました。

・「情報セキュリティ管理基準（平成20年改正版）」

コントロールの数が、また増えています。
マネジメントの基準、ポイントが新たに加えられたことが、今回の最大の改訂のポイントです。

「ITスキル標準V3 2008」公開

「ITスキル標準V3　2008」が公開されていました。

【IT スキル標準V3 2008 改訂のポイント】
（1） 共通キャリア・スキルフレームワークとの整合化推進
・ 共通キャリア・スキルフレームワークとIT スキル標準の職種との対応
【共通キャリア・スキルフレームワークからの引用】
（2） レベル評価手段として情報処理技術者試験の活用（レベル4）
・ 客観的な人材評価メカニズムの構築を可能にするため、IT スキル標準のレベル4の評価手段として、情報処理技術者試験の位置づけを明確にしました。
（3） 研修ロードマップの改訂
・ IT スキル標準V3 において、レベル1 及びレベル2 の職種の定義を一本化したことに対応しました。

●「ITスキル標準V3　2008ダウンロード」

「スキルディクショナリ」というのが、今回の改訂で新たに公開されているものですね。（情報処理技術者試験の位置づけなどと県連付けられています）

で、どう使えばいいんだろう、これ・・・

「振り込め詐欺」で思うこと（2）

はい、（珍しく？！）約束どおり、前回の続きです。

「振り込め詐欺」は、日本以外でも同様の犯罪があるようです。（そりゃ、あるでしょうね。よく考えれば当たり前のこと・・・）
韓国などがその例で、"Voice Phishing"と呼んでいるそうです。（"Vhishing"と紛らわしいですけど）
つまり、手段がメールなのか、電話なのか、その違いだけで同じ"Phishing"ということなのですね。
個人的には、それなりに納得です。

なぜならば・・・
今後、個人のPCリテラシーが向上し、インターネットバンキング利用者が増加すれば、「振り込め詐欺」も電話だけではなく、電話とメールの併用（さらには、メールだけ）というような手口に変わってくるでしょう。
そうなると「振り込め詐欺」＝"Voice Phishing"というのも、ピッタリくる表現になるのかもしれないからです。

さて、この件はまだ続きます。（という予定）

「振り込め詐欺」で思うこと（1）

「いつかは書かなきゃ」と思っていたのですが、ついつい忘れてました・・・

「振り込め詐欺」対策ということで、ここしばらくATMの前に警官の皆さんが立っていることが多くなってますね。
にも関わらず、「振り込め詐欺」被害は減っていない、むしろ増えている、という報道などもされています。
つまり、今のところ効果が出ていない、いうことになります。

その原因を、いくつか考えてみましょう。

・ATMの数と配備される警官の数の差が大きすぎる。
・振り込みの現場を見落としている。
・詐欺の手口が変化している。

まずは、こんなところでしょうか。

ちなみに私が「ATMの前に警官の皆さんが立っている」という光景を見た際の最初の感想は以下の2つです。

・おそらく効果はないだろう。効果があっても長続きはしないだろう。
・これだけの警官を配備していることで、別の脆弱性が生まれているのではないか。

皆さんは、どうお考えですか？

※ この続きは、また。（といいながら、続きを書いてなかったりする記事もありますが、何卒ご容赦を・・・）