« 2008年12月 | トップページ | 2009年2月 »

2009年1月の記事

2009年1月31日 (土)

「CHECK PCキャンペーン」、今年は?

2009年の「CHECK PCキャンペーン」のサイトがオープンしました。

昨年のキャラクターは、上戸彩(シャーロック・アヤ)でした。
今年は・・・
「セキュリーナ」です。

いろんな意味で、センセーショナルですね。

ちなみに、こちらのキャラクターは、昨年とおなじ「なめ猫」ですね。

| | コメント (0) | トラックバック (0)

2009年1月30日 (金)

2008年度 情報セキュリティ監査シンポジウム 東京in Winter開催

日本セキュリティ監査協会(JASA)のHPで申し込みが開始されています。

テーマは「保証型情報セキュリティ監査」です。
※ ちなみに、日本以外では「助言型監査って何?」「監査(audit)は保証に決まってんでしょ」というのが一般的な理解です。
日本のIT監査がガラパゴス化しないためにも、保証型情報セキュリティ監査の普及促進は重要だと思っています。

■■■■■■■■■━━━━━━━━━━━━━■■■■■■■■■
2008年度 情報セキュリティ監査シンポジウム 東京in Winter開催
            
  『 公正かつ公平な情報セキュリティ監査を目指して 』
   ~保証型情報セキュリティ監査の促進に向けて~
    
お申込みは
http://www.jasa.jp/seminar/sym2008w_tokyo.htmlから
  
■■■■■■■■■━━━━━━━━━━━━━■■■■■■■■■
   
<主  催> 
 経済産業省     
 特定非営利活動法人 日本セキュリティ監査協会(JASA)

<会期/会場>
 2009年2月27日(金) 10:30~17:10(開場:10:00~)
 会場 東京国際交流館 国際交流議事場 プラザ平成
 
        
<参加費> 無料(事前登録制)

<定員> 400名

<プログラム>
10:00~ 開場
10:30~10:35 ご挨拶 JASA会長 土居 範久

10:35~11:20 基調講演
情報セキュリティ第2次基本計画について
 内閣官房情報セキュリティセンター参事官 関 啓一郎 氏

11:20~11:40 JASA活動紹介
  JASA普及促進部会イベント促進WGリーダー 中村 達

11:40~12:20 講演-1
保証型情報セキュリティパイロット監査結果の報告
  JASA保証型監査促進プロジェクトGタスク
  株式会社インフォセック
  公認情報セキュリティ主任監査人 久良知 健

12:20~13:30 昼食(70分)

13:30~14:10 講演-2
保証型情報セキュリティ監査の実施事例紹介
   JASA普及促進部会長
   株式会社 インテック 水野 義嗣

14:10~14:50 講演-3
取引先の保証型情報セキュリティ監査に係わる活動の報告
   JASA保証型監査促進プロジェクト市場開拓担当
   信頼資産マネジメント合同会社 代表
   公認情報セキュリティ主席監査人 永宮 直史

14:50~15:30 講演-4
情報セキュリティ監査における監査手続ガイドライン
   JASA監査手続作成プロジェクトリーダー
   KDDI株式会社情報セキュリティフェロー
   公認情報セキュリティ主席監査人 中尾 康二

15:30~15:40 休憩(10分)

15:40~17:10 公開討論セッション
 
■■■■■■■■■━━━━━━━━━━━━━■■■■■■■■■

| | コメント (0) | トラックバック (0)

2009年1月29日 (木)

ショートカットに感染、ダイアログを偽造するマルウェア

ITmediaの記事「密かに実行:ショートカットに感染するマルウェア出現」、ITproの記事「ダイアログ偽装の「USBウイルス」、「実行」を「表示」に見せかける」 からです。

まず、ショートカットに感染するマルウェアは、

  最近見つかったショートカットを悪用する手口には、複数のパターンがあるという。そのうちの1つは、マルウェアにリンクさせたショートカットファイルをデスクトップ上やスタートアップフォルダ内に作成する。「Spy-Agent.bw」というトロイの木馬の中には、この手口を使う亜種があるという。

 一方「Mokaksu」というウイルスは、デスクトップ上のすべてのショートカットファイルを書き換えて、マルウェアファイルにリンクさせてしまう。Adobe Readerへのショートカットに感染したケースでは、ショートカットをクリックするとAcrobat Readerと同時にMokaksuが起動するが、バックグラウンドで実行されるためユーザーには気付かれにくいという。

 マルウェアの実行ファイルではなく、スクリプトをショートカットに仕込む手口もある。「Downloader-BMF」というトロイの木馬は、ユーザーがショートカットをクリックするとFTPスクリプトを作成してFTPサーバからVBSスクリプトをダウンロードし、そのVBSスクリプトを使ってトロイの木馬ファイルをダウンロードしてくる。

次に、ダイアログを偽造するマルウェアは、

 今回のウイルスは、ダイアログの内容を偽装するという。設定ファイルの“工夫”により、本来は「Run [プログラムファイル名]」(日本語では「[プログラムファイル名]の実行」)と表示されるべきところを、「Open folder to view files」(日本語では「フォルダを開いてファイルを表示」)と表示させる。

 ユーザーが、フォルダーを開くつもりで、偽装された「Open folder to view files」をクリックすると、ウイルスが動き出す。この偽装にだまされないためには、「General options(全般のオプション)」の下の「Open folder to view files(フォルダを開いてファイルを表示)」をクリックするようにする。

 なお、現在確認されている偽装は、「Open folder to view files」と表示するものだけ。つまり、英語版Windowsのユーザーを狙うものに限られている。日本語版のWindowsでも、偽装メッセージは英語で表示されるので、だまされるユーザーは比較的少ないと考えられる。

ということです。

ショートカットやダイアログまで狙われてくるということで、ますます脅威は多様化、巧妙化、見えない化が進んでいるようで・・・

| | コメント (0) | トラックバック (0)

2009年1月28日 (水)

「サイバー・セキュリティは優先事項」~オバマ政権

COMPUTERWORLDの記事「サイバー・セキュリティは優先事項」――オバマ政権が明言からです。

オバマ新大統領といえば「BlackBerry問題」で、かなり話題になってましたが「サイバー・セキュリティは優先事項」という方針、計画を打ち出したようです。

この記事によると、

 バラク・オバマ(Barack Obama)政権が、米国のコンピュータ・ネットワーク保護に向けた計画を発表した。それによると、同政権はサイバー・インフラを「戦略的資産」と位置付け、オバマ大統領直属のサイバー担当顧問を任命する予定だという。

 6項目からなる計画の概要は、国土安全保障に対する新政権の姿勢を示したアジェンダの一部として、米国時間1月21日に発表された。上記以外の項目には、次世代のセキュリティ機能をコンピュータに組み込む「安全なコンピュータの研究開発」や、「追跡できないインターネット支払いシステム」を取り締まりサイバー・スパイやサイバー犯罪と闘う計画などが挙がっている。

 さらに、オバマ政権は、データ漏洩の情報公開を企業に求めるための基準策定を目指す。この問題に関しては現在、各州の州法を部分的に適用して対処している状態だ。
 今回発表された計画は、オバマ大統領が2008年7月16日の選挙演説で初めてその概要に触れたサイバー・セキュリティ戦略を反映している。「サイバー・スパイや一般的なサイバー犯罪がすでに増加傾向にあることは、われわれも承知している。中国などはこうした変化をいち早く認識したが、米国はこの8年間消極的な姿勢を貫いてきた。私が大統領になれば、21世紀にふさわしく、サイバー・セキュリティを最優先事項とするつもりだ」――選挙演説の記録によると、オバマ大統領はこのように述べている。

サイバー・インフラは、国の「戦略的資産」という言葉が重たいですね。
国の「戦略的資産」と考えるなら、「サイバー・セキュリティは優先事項」は当然の方針ということになるでしょうね。

| | コメント (0) | トラックバック (0)

2009年1月27日 (火)

共通脆弱性識別子「CVE」

IPAのHPで「CVE(Common Vulnerabilities and Exposures)~一つ一つの脆弱性を識別するための共通の識別子~」が公開されています。

 共通脆弱性識別子CVE(Common Vulnerabilities and Exposures)は、個別製品中の脆弱性を対象として、米国政府の支援を受けた非営利団体のMITRE社が採番している識別子です。

 脆弱性検査ツールや脆弱性対策情報提供サービスの多くがCVE識別番号を利用しています。
 個別製品中の脆弱性に一意の識別番号「CVE識別番号(CVE-ID)」を付与することにより、組織Aの発行する脆弱性対策情報と、組織Xの発行する脆弱性対策情報とが同じ脆弱性に関する対策情報であることを判断したり、対策情報同士の相互参照や関連付けに利用したりできます。

 CVEは、1999年1月20日~22日に、アメリカのパーデュ大学で開催された2nd Workshop on Research with Security Vulnerability Databasesにおいて、脆弱性に関する情報共有のための方法としてMITRE社によって提案されました。
 現在は、米国政府が推進している情報セキュリティにかかわる技術面での自動化と標準化を実現する技術仕様SCAP(Security Content Automation Protocol)の構成要素のひとつとなっています。

 MITRE社では、CERT/CCやHP、IBM、OSVDB、Red Hat、Symantecなど80を超える主要な脆弱性情報サイトと連携して、脆弱性情報の収集と、重複のない採番に努めています。

 IPAとJPCERT/CCが共同で運営しているJVN、およびJVN iPedia(JVNDB)も、MITRE社と連携してCVE採番の枠組みに参加するため、JVNで公表する脆弱性に対するCVEの割り当てを申請することとし、2008年10月からはMITRE社が公表している「CVE情報源サイト」の一つとして公示されるようになりました

脆弱性に関する情報共有がグローバルに進んでいっているようですね。
ただ、個人的には他の脆弱性関係の要素「CPE」「CVSS」「CWE」(下記の参考情報)あたりの理解も不十分なので、もう一度目を通しておかないと・・・

<参考情報>
「共通プラットフォーム一覧CPE概説(2008年10月23日公開)」

「共通脆弱性評価システムCVSS v2概説(2007年6月21日公開)」

「共通脆弱性タイプ一覧CWE概説(2008年9月10日公開)」

| | コメント (0) | トラックバック (0)

2009年1月26日 (月)

スパム撲滅どころか…

ITmediaの記事「事態は悪質化:ゲイツ氏のスパム撲滅宣言から5年が経過」からです。

5年前にスパム撲滅宣言をしていたのですね。
「ビル・ゲイツ氏が「2年以内にスパムは過去のものになる」とスパム撲滅を宣言したのは2004年1月」とか。
記憶にありませんでした。

この記事にもあるとおり「スパムは絶滅どころか悪質化、巧妙化する一方」です。
よく「セキュリティの専門家は『万全』とか『大丈夫』なんて言葉は使ってはいけない」と言っているのですが「撲滅」や「絶滅」も使うべきではなさそうですね。

| | コメント (0) | トラックバック (0)

2009年1月24日 (土)

「情報セキュリティの日」関連行事

内閣官房情報セキュリティセンターのHPで「情報セキュリティの日」関連行事が公開されています

[報道発表]「情報セキュリティの日」関連行事について

「インターネット安全教室」「サイバーセキュリティに関する講習」「e-ネットキャラバン」などの全国キャラバン的なセミナー、イベントが増えて、それ以外のものは昨年、一昨年に比べると減っているようです。(前年593件→今年585件)

特に大規模なイベントが減っていて、私が参加したい(できる)ものがあまり多くありません。
情報セキュリティのイベントやセミナーは、特にこの期間(1月24日から3月1日)までに集中する必要もないと思いますが、それにしてもちょっとさびしいですね・・・

| | コメント (0) | トラックバック (0)

2009年1月23日 (金)

NIST SP800-37「連邦政府情報システムに対するセキュリティ承認と運用認可ガイド」公開

NIST SP800-37「連邦政府情報システムに対するセキュリティ承認と運用認可ガイド」(Guide for the Security Certification and Accreditation of Federal Information Systems)が、IPAセキュリティセンターのサイトで公開されました。

「ついに」というより「やっと」という感じですけど・・・

「セキュリティ承認と運用認可(Security Certification and Accreditation)」は、システム開発ライフサイクルでは、受入段階の最後に実施されるシステムの総括的(技術的)分析と管理上の判断の一連のプロセスのセットです。(「C&A」という用語で言われることが多いです。ちなみに別の資料や書籍「CISSP認定試験公式ガイドブック」などでは「認証と認定」という訳語になっていたりします)
「C&A」は、運用段階に入るための重要な保証プロセスと考えていただきたいと思います。
(この「C&A」の専門家の教育及び試験に「CAP(Certification and Accreditation Professional)」があります)

日本ではあまり普及していないアプローチ・手順なので、馴染みがない方も多いでしょう。
しかし、今後は普及するでしょうし、普及しないといけないと思っています。

※ ちなみに、単に「C&A」とGoogleなどで調べようとすると、「チャゲ&アスカ」ばかり出てきます。(一部で有名な話です)
  くれぐれもご注意を・・・

| | コメント (0) | トラックバック (0)

2009年1月22日 (木)

SSL証明書が偽造されるリスクについて

日経ITproの記事「認証局のデジタル証明書が偽造されるリスクについて」からです。

認証局(CA)のSSL証明書を偽造するという今回の攻撃を調査した結果が出ています。
結論としては,「リスクの大きさは大して変わらなかった」ということらしいです。

記事によると、今回の攻撃に関する初期評価の結果は,以下の通り。

・この攻撃を作りだした研究調査チームは,非凡な才能と専門知識を持つ顔ぶれだが,それでも問題を突き止めるまで約4カ月かかった。そしてついに、MD5におけるコリジョン(衝突現象)を突き止めるに至ったのである。犯罪者たちの中に極めて高い技術を持つ者がいたとしても,この攻撃を摸倣するまでには時間がかかると思われる。

・研究チームは,一連の攻撃のためにあつらえたハードウエアとソフトウエアを使用。こうした攻撃システムを,米アマゾンの仮想マシン・ホスティング・サービス「Amazon Elastic Compute Cloud(EC2)」を1500~2万ドル分利用するのと比べることは,リンゴとオレンジのように全く異なるものを比較するのと同じで意味がない。また,犯罪者たちが「プレイステーション3(PS3)」ベースのクラスタを複製またはシミュレーションしたり,ボットネットなどに計算を肩代わりさせたりするにしても,時間がかかる。

攻撃を実行するには,予測可能な連続する認証番号を使っている認証局から,MD5で署名されたデジタル証明書をあらかじめ購入しておく必要がある。認証番号がバラバラだったり、MD5署名証明書を発行してもらえなかったりすれば、攻撃は実行不可能となる。米ベリサインの報告では,同社のすべての証明書に対して今回の攻撃が「無効となるよう手を打った」としている。その他の認証局も,攻撃リスクを減らすため迅速に対応する可能性が極めて高い。

・一部の証明書が既に攻撃されているという憶測は,憶測に過ぎない

攻撃が既に「実際に行われている」としたら,ネットワークへの侵入,あるいはネットワークを操作し,Man-in-the-Middle(介入者)攻撃を仕掛けている可能性がある。例えば,DNS/ARPポイズニング攻撃や無線LAN接続を横取りする「Evil Twin」攻撃などだ。これらの攻撃は,既存のツールで検出できる。

・ハッシュ関数は,非常に重要な技術でありながら,問題が多発している。我々の把握するところでは,MD5はこの12年間で廃れてしまった。ご存じのように、短期的にはMD5の後継になりうるとされていた別のハッシュ関数SHA-1も攻撃に対してぜい弱であることが明らかとなり、米国商務省の国立標準技術研究所(NIST)は,SHA-1によるデジタル署名を2010年以降使わないと宣言している。近い将来,MD5の時と同じ様な事態を目の当たりにするだろう。しかも残念ながら,現時点でSHA-1ほど広く採用/導入されているハッシュ関数は存在しない。

・今回の発表から24時間以内に寄せられた反応は,Webサイトの認証についてと,フィッシングに悪用される可能性といったものばかりだった。その他のSSL証明書やX.509証明書に対する影響の検証はこれからであり,警告が出される可能性はある。ただし,今回の攻撃によるリスクの大きさは,攻撃者が積極的に利用するかどうかにかかっている。攻撃の効率が高まり,簡単に使えるようになれば,新たに発見される脆弱性よりもリスクが高まりかねない。

それから、この記事の締めくくりにはこのような文章がありました。

 暗号技術の世界では,「Attacks only get better」(攻撃は必ず強力になっていく)が定説だ。今回の攻撃を実践的な形にしたもの,あるいは効率化したものが今後出てくることは間違いない。

「Attacks only get better」(攻撃は必ず強力になっていく)
確かに・・・

<このブログの関連記事>
「SSL証明書の偽造に成功」

| | コメント (0) | トラックバック (1)

2009年1月21日 (水)

英国警察のサイバー犯罪取締部門、ロンドン五輪の準備

ZDnetの記事「英国警察のサイバー犯罪取締部門、ロンドン五輪の準備を語る」からです。

オリンピックの準備といえば、犯罪やテロについてされていることは多くの方がご存知のことでしょう。
それがサイバーなところでも、ここまで攻撃も準備も進んでいたのですね・・・

 英国の新しいサイバークライム取締り部門であるPolice Central E-Crime Unitは、ハッカーやオンライン犯罪から2012年のロンドン五輪を守るという任務を負い、企業パートナーとの間で、ITインフラの安全性確保に向けた話し合いを進めている。

 PCeUの立ち上げにも関わった、警視のCharlie McMurdie氏によれば、PCeUと業界パートナーは現在、五輪のネットワークインフラストラクチャにおけるあらゆる弱点を洗い出しているという。このインフラは、英国の94カ所の会場からの競技結果を処理し、1秒以内に全世界に中継する。

 McMurdie氏は、警察ではすでに、五輪の公式ウェブサイトと類似したアドレスをもつ詐欺サイトが現れており、人々から金銭や個人情報を盗もうとしていることを認識していると述べた。

 「われわれはすでに、五輪を悪用した不正なウェブサイトを認識しており、ハッキングやDDoS(分散サービス拒否)攻撃に関連した恐喝として、どのようなものが考えられるかを検討している」と同氏はロンドンで開催されたIT Directors Disaster Recovery and Availability Summitで、silicon.comに対し述べた。

 同氏は「これらの不正なサイトが、履歴書の提出を求めたり、五輪に向けたトレーニングのためと称して金銭を求めたりしている」と付け加える。

 北京五輪開催中に、Atos Originは1日あたり1200万件のセキュリティアラートを処理した。同社は2010年に開始される、ロンドン五輪のシステムの試験に20万時間以上を費やす予定

 「われわれは過去の五輪から、攻撃の数と規模を理解しており、五輪ごとに、攻撃が増加していることを知っている」と同氏は述べる。

 McMurdie氏は続けて、「われわれは、Atos Originやインターネットサービスプロバイダー、建築業界の人たちと、あらゆる脅威に関する情報を俯瞰できるようにするための話し合いをもっている」と言う。

| | コメント (0) | トラックバック (0)

2009年1月20日 (火)

2009年に流行するインターネット犯罪

ITmediaの記事「金融危機に便用の手口に注意:2009年に流行するインターネット犯罪」からです。

この記事によると、

最も脅威となるのは個人情報を標的にする犯罪で、フィッシングやソーシャルネットワークキング、押し売り、ハッキングなどの手法を組み合わせて、個人の属性や財務などの情報を狙うという。盗んだ情報は闇市場での売買やなりすまし行為などに使われており、不必要な個人情報の共有、生年月日や住所などの情報を不必要に提供すべきではないとしている。

 犯罪者は、PDFやFlashなどに偽装した不正プログラムに感染させたり、正規サイトに似せたフィッシング詐欺サイトなどを使ったりして、個人情報を盗み出そうとする。また、こうした偽サイトへ誘導するために、「大金が当たります」といったユーザーにとって魅力的なメッセージで関心を引こうする。

 2008年後半からは、失業者や負債者を標的にした手口が急増しているほか、誇大広告や偽造チケット、ソーシャルネットワーキングサイトを使った詐欺行為も引き続き注意が必要だという。

とのこと。

フィッシングなどの詐欺行為を中心に、失業者や負債者を標的にした手口が急増ということですね。
とにかく、好景気でも不況でも、犯罪は増える・・・

<このブログの関連記事>
不況だから、当然セキュリティ・コストは削減される?

勝手に予測・2009年のセキュリティは?

| | コメント (0) | トラックバック (0)

2009年1月19日 (月)

情報セキュリティ対策 中小企業向け指導者育成セミナー

「情報セキュリティ対策 中小企業向け指導者育成セミナー」の開催が、JNSAのHPで告知されています。全国12ヶ所の商工会議所で開催される予定です。

私もどこかの会場で参加するかもしれません。(講師として)
こういう機会は、あまり多くないと思いますので(今後はもっと増えるのかもしれませんが)、ぜひご参加ください。

情報セキュリティ対策 中小企業向け指導者育成セミナー
中小企業の情報セキュリティ対策レベルの向上を図るためには、中小企業のホームページ作成や IT化の支援などを行ない、実際に中小企業のアドバイザー的な役割を担う人々に対して、情報セキュリティに関する知識習得の機会を提供し、中小企業の経営者などに対して、情報セキュリティ対策の必要性をアピールすることが重要であると考えます。

そのため、経済産業省とNPO日本ネットワークセキュリティ協会(JNSA)は、2009年1月から 3月末にかけて、商工会議所職員や商工会職員などの中小企業支援を業務等で行っている方々や、ITコーディネータ資格保持者、その他中小企業へ指導を行う立場にある人に対して、情報セキュリティの知識習得と中小企業向け指導法習得を目的とした指導者育成セミナーを全国で開催いたします。

ぜひこの機会にセミナーに参加し、情報セキュリティの知識を身につけ、中小企業向け指導に役立てていただければ幸いです。

・概要 
主催:経済産業省、NPO 日本ネットワークセキュリティ協会
後援:日本商工会議所 (申請中)、全国商工会連合会、NPO ITコーディネータ協会

定員:各会場 100名
参加対象:商工会議所関係者(商工会議所職員、EC実践講師、日商マスター、エキスパートバンク登録者等)、商工会関係者、ITコーディネータ、その他中小企業へ指導を行う立場にある人
内容:中小企業に対して情報セキュリティに関する指導を行う際に実際に役立つ指導法、基礎知識、指導者が知っておかねばならないことを学んでいただきます。

-トラブルシューティングやインシデント発生時の対応方法
-情報セキュリティ最新情報
-中小企業への指導方法

参加費:無料 (事前登録制)

開催予定地:札幌、仙台、東京、富山、岐阜、静岡、大阪、広島、高松、福岡、鹿児島、沖縄

| | コメント (0) | トラックバック (0)

2009年1月18日 (日)

暗号アルゴリズムの確認制度を導入

ITmediaの記事「迅速な認定を:IPA、暗号アルゴリズムの確認制度を導入」からです。

 情報処理推進機構(IPA)は1月16日、暗号機能を搭載する製品に対する暗号アルゴリズムの実装確認を行う「暗号アルゴリズム確認制度」を導入した。確認書発行までの対応を強化する。

 同制度では、製品ベンダーなどの依頼に基づいて試験機関が実施した暗号アルゴリズムの実装確認の結果をIPAが審査し、確認書を発行する。試験機関では専用ツールを用いて1週間程度で正確性を確認できる。

 IPAでは、2007年4月から暗号モジュールおよび暗号アルゴリズムの試験と認証を行う「JCMVP」制度を導入しているが、実装試験から認証までには数カ月を要していた。このうち、確認制度を独立させることで迅速な対応が可能になるという。

 暗号アルゴリズム確認書発行手数料は、2万1000円となっている。

CC(ISO/IEC 15408)の評価制度に対して、(日本独自の制度として)ST確認・評価制度があります。
今回の「暗号アルゴリズム確認制度」とJCMVPは、それと同じような関係なのですね。

CC、ST、JCMVPと、これらの評価制度があまり普及していないのですが、これがそれを解消するきっかけになるのでしょうか。

<参考(プレス発表)>
暗号モジュール試験及び認証制度における「暗号アルゴリズム確認制度」の追加について

| | コメント (0) | トラックバック (0)

2009年1月17日 (土)

仮想化のリスク

ITmediaの記事「サーバ仮想化のリスクとは」からです。

この記事によると、仮想化のリスクとその対応は、

 具体的なリスクとしては、物理ハードウェアと仮想マシン(VM)の間にあるハイパーバイザーが乗っ取られる「ハイパージャック」の可能性や、ファイルとして存在しているVMがマルウェアに感染する恐れがあることなどを挙げた。

 こうした攻撃を回避する手段としては、データベースのモニタリング、ネットワーク侵入検知、重要資産の防御強化といった措置があるといい、仮想ネットワークのセキュリティ計画では予防的措置を取ることが重要だと解説している。

とのこと。

ふむふむ、VMが狙われるということですね。
「アリだと思います」(天津木村風)

まぁ、そうなるでしょう・・・

明日(正確には今日)も仕事なんで、短いですが今日はこの辺で。オヤシュ(眞鍋かをり風)

| | コメント (2) | トラックバック (0)

2009年1月16日 (金)

新たなる脅威「SPIT」

日経ITproの記事「SPIT――IP電話上でのスパム」 からです。

「SPIT(spam over internet telephony)」とは,IP電話上のスパムのことです。
言葉自体は2004年くらいから使われていたようですね。
※ ちなみに、インスタントメッセンジャー上のスパムは「SPIM」と言ったりします。

では、SPITではどのような攻撃があるのか、この記事によれば、

――毎日のように鳴り続ける電話の音。ワン切りもあれば鳴り続けるものもある。受話器をとれば違法サイトへのアクセスを促すメッセージ。それでなければ,振り込め詐欺の電話。とは言え,そのままにしておくと本当に必要な電話も取れないため受話器をとってそのまま切る。1件あたりの処理にかかる時間は少なくても,かかってくる件数が多いため,トータルでかなりの時間が浪費されてしまう――

というようなものが考えられるとのこと。

そして、

 SPIT発信者側から見ると,既存電話からIP電話への移行による発信コストの低下や,大量呼を発生させる機器の入手,操作の容易さなどを背景に,今後爆発的に広がるのではないかと考えられている。前述のRFC5039では,米国での価格の比較例ではあるが,T1回線(従来の電話)と500kビット/秒のDSL(IP電話)を比較した場合,DSLの方が1コールあたりのコストが最大で4万分の1になるとしている。IP電話の売りである低コストは,皮肉なことにスパム電話を発信する人間にとっても利点となっている。また,使用する機材については,SIP(session initiation protocol)を使う場合は,パソコンとフリーのソフトウエアで十分実行可能だ。

 一方,影響を受ける側から見た場合,SPITはIP電話ユーザーだけに閉じた問題ではない。IP電話ではない既存システムのユーザーの場合でも,同じ影響を受ける。SPITの発信側は,通話コスト面では大きなメリットはないが,自動化という面ではIP電話に対してのシカケと同じものが使用できる。このため,SPITの問題は,PSTN(加入電話)のユーザにとっても他人事ではない。

 さらに中継する事業者にとっては,こうしたSPITがDoS攻撃となり,サービス停止につながる可能性も考慮しておく必要がある。2002年に1時間に9万コールの“ワン切り”が原因でNTTの交換機がダウンする事例があった。最近はサービスを停止させるほどの大量発呼は少なくなったが(むしろ目立たないように間隔を開けて発信するなど巧妙化する傾向にある),いったん発生すると大きな社会問題になる可能性がある。

というような予測もされています。

電話に限らず、今後IPを使う技術は全て、このような攻撃や影響を受ける可能性を考えていかなければなりませんね。
これも、情報セキュリティですから・・・

| | コメント (0) | トラックバック (0)

2009年1月15日 (木)

「DNSキャッシュポイズニング対策」の資料を公開

IPAのHPで「DNSキャッシュポイズニング対策」の資料が公開されています。

「DNSキャッシュポイズニング対策」の資料を公開-DNS(Domain Name System)の役割と関連ツールの使い方-

 今回公表した資料(全48ページ)は、「DNSキャッシュポイズニングの脆弱性」の対策を更に促進することを目的としており、DNSキャッシュポイズニング対策の検査ツールの使用方法や、DNSの適切な設定方法に関する情報等をまとめています。

 第1章では、DNSの役割とその仕組み、DNSキャッシュポイズニングの実現手法とその脅威を解説しています。
 第2章では、DNSの問合せ動作を概説し、その動作の理解を深めて頂くための関連ツールとしてwhoisサービスやnslookupコマンドの使い方を説明しています。
 第3章では、DNSキャッシュポイズニング対策の検査ツールとして活用できるCross-Pollination CheckツールとDNS-OARC Randomness Testツールの使い方と注意点をまとめてあります。
 第4章では、BIND DNSサーバとWindows DNSサーバの適切な設定に関して具体的に記述してあります。

Webサーバー、SMTPサーバーのセキュリティ対策の資料や情報は、それなりにあると思いますが、それに比較してDNSサーバーのセキュリティ対策の資料や情報は少なかったと思います。具体的なコマンドやツール、設定方法などまで書かれているので、役に立ちそうな内容ですね。

「DNSキャッシュポイズニング対策」の資料

| | コメント (0) | トラックバック (0)

2009年1月14日 (水)

不況だから、当然セキュリティ・コストは削減される?

日経ITproの記事「セキュリティ・コスト削減?企業にとっては失うものも大きいはずだ」 からです。

これは、ブルース・シュナイアーさん(「暗号技術大全」「セキュリティはなぜ破られたのか」などの著者)のインタビューの記事です。

-セキュリティとコストについて教えてほしい。不況下ではセキュリティ・コストはまっさきに削られるだろう。そんな中,企業は何をどこまで守るべきなのか。

 セキュリティは時間,利便性,可用性を犠牲にして成り立つものだ。にもかかわらず,セキュリティの効果測定は非常に難しいという問題がある。そのため,短期的には,企業などでコストダウンの要求が高まって「リスクを背負っても構わないから,セキュリティ対策にかかるコストを削減しよう」という動きが出てくるかもしれない。しかし,企業はセキュリティ・コストを削減することで,信頼性など逆に失うものも大きい。

 それとは別に,一つ面白い動きがある。不況下では多くの企業が新しい機器を買えないことが多い。例えばサーバー・マシン,データベースやOSといったソフトウエアでも,古いものをそのまま使って,なかなか新規購入をしないのだ。そうすると古いものを稼働させるために,メンテナンス費用などを使うことになるのだが,ここにセキュリティ費用も含まれる。つまり,セキュリティは「新しいものを買う」よりも安価な代案になりえるのではないか。

-代案としてのセキュリティとは何か。物を買わないということは,教育やポリシーの強化になるのだろうか。

 実際にはさまざまなソリューションの組み合わせになるだろう。ただし,私はセキュリティ教育にはあまり意味がないと思う。人は「その行為の意味が明確に見えること」しかやろうとしないからだ。したがって,システムが自動的にソリューションを実行する仕組みの方が上手くいくだろう。

やはり「トレード・オフ」ということですね。「セキュリティ・コスト削減で何を失うのか、それを考えよう」ということになるのですが、「セキュリティの効果測定は非常に難しい」ということは、それを考えるのも難しいということになります。
あとは、セキュリティを「コスト」と考えるのか、「投資」と考えるのか、それによっても大きく変わってくると思います。
「投資」と考えるのも、「セキュリティの効果測定は非常に難しい」ということですから、難しいということになりますけど…

教育の件は、私も同感です。教育(特にユーザーに対する、意識改革・リテラシー教育)には大きな効果は期待できないと思います。この件は、いづれ別の機会に私の考えを書いてみたいと思います。

| | コメント (2) | トラックバック (0)

2009年1月13日 (火)

「セキュリティ」と「安心」

前回の記事「「抑止機能」だと思っていたものが…」の続きです。

今回の警備会社ステッカーなどの「抑止機能」により、防御する側はよく「安心する」と言います。
「安心」は人の感情や感覚です。これこそ、相対的に測定・評価しにくいものです。
※ 心理的な一定の効果があることは確かです。

組織のセキュリティ対策は、相対的に測定・評価できないものへの対応は困難です。
情報セキュリティでも、よく「安全・安心」という言葉が使われます(時には訳語として用いられる)が、「セキュリティ」と「安心」は違う概念ですし、直接的には結びつけられないと思っています。

| | コメント (2) | トラックバック (0)

2009年1月12日 (月)

「抑止機能」だと思っていたものが…

Yahoo!ニュースの記事「<窃盗>警備会社のステッカーは金持ち…コロンビア空き巣団」からです。

 警備会社のステッカーがある高級住宅を狙って空き巣を繰り返していたとして、警視庁捜査3課は9日、いずれもコロンビア国籍で無職の大阪市中央区日本橋1、アレナス・マタ・セサル(39)=窃盗罪で起訴▽東京都港区南青山1、カルダス・ボテロ・ソランジ(33)=盗品等有償処分あっせん罪で起訴=の2被告を窃盗容疑などで再逮捕したと発表した。

 再逮捕容疑は、セサル容疑者は昨年9月、横浜市青葉区の会社社長(59)宅に侵入し、現金20万円や腕時計7点(約1500万円相当)を盗んだ疑い。ソランジ容疑者は、このうち2点を計約100万円で港区の質店に売却した疑い。

 捜査3課によると、セサル容疑者は「警備会社のステッカーが張られた住宅は金があると思い狙った。警報が作動しても警備員らが到着するまでの約10分間で作業を終えた」と供述しているという。

 同課は07年9月からの約1年間に都内や神奈川県で約50件(被害総額約1億円)の空き巣を繰り返していたとみて追及している。(毎日新聞)

 つまり、警備会社のステッカーが「抑止」の機能をしていると防御する側は思っている。そして、多くの攻撃側には実際「抑止」の機能をした。しかし、すべての攻撃者に「抑止」を機能を果たしたわけではなかったということです。
 「抑止」とは、人間に働きかける機能です。そして、人間の受け取り方は感情や感覚に依存するものですから、まさに様々ということですね。人の感情や感覚は、相対的に測定・評価しにくいものです。だから、それに応じた対策も難しい…

| | コメント (2) | トラックバック (0)

2009年1月10日 (土)

「セキュリティ情報RSSポータルシステム」公開

IPAのHP「セキュリティ情報RSSポータルシステムの公開~セキュリティに関する情報を幅広く利用者に提供~」からです。

「セキュリティ情報RSSポータルシステム」が公開されました

「セキュリティ情報RSSポータルシステム」

●特徴
インターネット上には、様々なWebサイトから多種多様な情報が発信されていますが、その中から必要な情報を検索、取捨選択することは容易ではありません。

 今回、IPAセキュリティセンターでは、インターネット上に発信されている様々な情報から、セキュリティに関する最新情報の存在するURLを収集し、データベース化することで、セキュリティに関する情報を利用しやすく提供するシステム、「セキュリティ情報RSSポータルシステム」を開発しました。 
 本システムは、IPAで事前に審査・検討した信頼度の高いサイトを対象にセキュリティに関するRSS情報を収集します。また、キーワードの入力による個別キーワード検索以外に、下記のセキュリティに関する情報検索が可能です。

1.関連するセキュリティキーワードからの情報参照
  政府、自治体などで広く使われている情報セキュリティ機能要件を参考にしたセキュリティ用語分類カテゴリに従い、情報を分類しました。本機能の使用により、類似のセキュリティキーワードに関する情報検索が容易になります。

2.注目度、話題性の高いセキュリティ情報の参照
  セキュリティに関するキーワードの出現時期、出現数等を時系列的に表示出来ますので、例えば特定のウイルスに関する時期的な注目状況などの傾向を知ることが可能です。

本システムによりセキュリティに関する最新情報を民間、公的機関、ニュースサイトなどから幅広く入手し一元的に管理することで、利用者は技術的な情報だけでなく、世の中のセキュリティに関する動向、最新の脆弱性情報などを確認する事が出来ます。

今後、更に多くのウェブサイトを登録することにより、利用者により幅広く有益な情報を提供できるよう、整備を行っていきます。

使い勝手等は、まだ実際に使ってないので何とも言えないため、コメントはまた後日。(たぶん…)

| | コメント (4) | トラックバック (1)

2009年1月 9日 (金)

IT業界における有力資格10選

ZDNetの記事「IT業界における有力資格10選」からです。

セキュリティ関係では、以下の2つの資格が挙げられています。

#3:Security+
 セキュリティはいつの世においても重要なトピックである。こういった状況が変わることはない。いや、今後さらに重要性が増していくことになるはずだ。データの漏洩を発生させてしまうと、株主価値や顧客の信頼、売上をあっという間に失ってしまうことになるのだ。そして、自身に誇りを持っているIT技術者であれば、そのようなデータ漏洩の責任を取るような状況に身を置きたくはないはずである。

 CompTIAの「Security+」はベンダー中立の権威ある認定資格であり、セキュリティの基本に熟達しているということを証明したい(実務経験2年以上の)IT技術者をターゲットにしている。Security+の試験科目は1科目のみとなっているものの、顧客データやその他の機密情報を管理する立場にあるIT要員は少なくともこの資格を取得しておくべきだとする意見もある。IT要員がシステムのセキュリティやネットワーク、インフラ、アクセス制御、監査、企業のセキュリティ方針に関して適切な教育を受けていると保証することは、とても重要なことと言えるのである。

#9:CISSP
  Security+に関する説明(上記3番)でも触れたように、セキュリティの重要性はますます増してきている。企業の目標や製品、サービスにかかわらず、セキュリティは最優先事項なのである。

 「Certified Information Systems Security Professional」(CISSP)を実施している(ISC)2という組織はこの資格を、ベンダー中立の立派なセキュリティ資格に育て上げることに成功した。フルタイムで5年以上の実務経験を有するIT技術者をターゲットにしており、米国規格協会(American National Standards Institute:ANSI)の認証を受けているCISSPは、業務やネットワーク、機器のセキュリティに関するスキルに加えて、リスクを管理する能力や、セキュリティに関連したコンプライアンスやその他の事項に対する理解を証明する資格として国際的に認知されている。

ちなみに、全体では以下の10の資格が挙げられています。

#1:MCITP(マイクロソフト認定ITプロフェッショナル)~Microsoft
#2:MCTS(マイクロソフト認定テクノロジースペシャリスト)~Microsoft
#3:Security+ ~CompTIA
#4:MCPD(マイクロソフト認定プロフェッショナルデベロッパー)~Microsoft
#5:CCNA ~Cisco
#6:A+ ~CompTIA
#7:PMP ~PMI
#8:MCSE/MCSA(マイクロソフト認定システムエンジニア)(マイクロソフト認定システムアドミニストレータ)~Microsoft
#9:CISSP ~(ISC)2
#10:Linux+ ~CompTIA

日経ITproの「2009年版「いる資格、いらない資格」」と比較するとかなり違いますよね・・・

| | コメント (2) | トラックバック (0)

2009年1月 8日 (木)

SSL証明書の偽造に成功

日経ITproの記事「「SSL証明書の偽造」に研究者らが成功、計算には200台のPS3を使用」 からです。

この記事によると、以下のような内容で「SSL証明書の偽造」に成功したようです。

 米国やスイス、オランダなどのセキュリティ研究者7名は2008年12月30日、ドイツで開催されたセキュリティ関連の国際会議において、SSL通信に使用するデジタル証明書(SSL証明書)の偽造に成功したことを明らかにした。偽造に必要な計算には、ソニー・コンピュータエンタテインメントのゲーム機「プレイステーション3(PS3)」を200台組み合わせて利用したという。

<中略>

 通信の暗号化や認証を可能にするSSLでは、サーバーおよびクライアントの認証や暗号鍵の交換のために、デジタル証明書を利用する。通常、デジタル証明書は第三者の認証局(認証機関、CA)に発行してもらい、その認証局が発行したことを証明するデジタル署名を付与してもらう。デジタル署名が本物かどうかは、Webブラウザーがチェックする。

 今回問題になっているのは、このデジタル署名。デジタル証明書の内容によって、付与されるデジタル署名は異なるため、デジタル署名を検証すれば、特定の認証局が発行したことや、証明書の内容が改ざんされていないことが分かるとされている。

 しかしながら、MD5と呼ばれるアルゴリズム(ハッシュ関数)を使って作成されたデジタル署名については、同じデジタル署名が生成される、任意のデジタル証明書を現実的な時間内に作成できるとされていた。それを実証したのが、今回の発表だ。

 大手認証局が発行したデジタル証明書から、デジタル署名だけを抜き出して、同じデジタル署名が生成されるような証明書を作成。証明書には、悪質サイトを有名サイトに見せかけるような内容を記しておく。このとき、相当な計算量(コンピューターパワー)を必要とするため、今回の発表ではPS3を200台以上使用したという。

 Webブラウザーは、デジタル署名だけを見て、その証明書が大手認証局に発行されたものかどうかを検証する。このため、前述のような偽造証明書を本物だと認識し、ユーザーに警告を出すことなく、SSL通信を開始する。これを悪用すれば、フィッシング詐欺サイトのような悪質サイトを、大手認証局によって証明書を発行された有名サイトに見せかけることが可能となる。

 なお現時点では、現実的な時間内で偽造が可能なのは、MD5で署名されたデジタル証明書のみ。SHAを使っている場合には、影響を受けないとされている。研究者らが3万サイトを対象に調査したところ、およそ9000サイトがMD5で署名された証明書を使用。調査時点では、「RapidSSL」「FreeSSL」「TrustCenter」「RSA Data Security」「Thawte」「verisign.co.jp」といった認証局が、署名にMD5を使っていたという。

ということで、MD5のコリジョンの脆弱性を利用した方法のようです。
「SSL」というだけで、「セキュアな通信」という「思い込み」が常識化している・・・、そんな状況も多いように思います。

そもそも思い込みが危険であり、今までの常識が通用しないのが、サイバーな世界だと思っています。

<参考記事>
「SSL証明書の偽造に成功、ハッシュ関数の脆弱性を応用」~ITmedia

| | コメント (0) | トラックバック (1)

2009年1月 7日 (水)

勝手に予測・2009年のセキュリティは?

私が勝手に予測します。(あくまで、勝手な予測です。あしからず・・・)
まず、キーワードは「クラウド」「モバイル」です。
そうした環境の変化の中での利活用と保護、そこで何が起こっていくのか、だと思っています。

脅威としては、ブラウザ周りのものや、中間者攻撃(man-in-the-middle,meet-in-the-middle)、不正やコードやURLなどの挿入、ウイルス対策システムやIDS/IPSの機能的限界をついた攻撃、などが多くなるでしょう。ますます、「脅威の見えない化」は進みます。そして、「クラウド」「モバイル」という環境では(「脆弱性の見えない化」以前に)「資産の見えない化」も進むでしょう。

また、今までのような「リスク回避」中心のセキュリティ活動は、ますますビジネスの阻害要因となってくるでしょう。
そのため、「リスクテイク」をしながら、セキュリティ活動をする組織とのビジネス効率の格差は拡大します。

ということで、実効的かつ合理的なセキュリティ戦略と活動が重要になってきます。

あれっ?!
結論は今までと同じかも・・・

| | コメント (2) | トラックバック (0)

2009年1月 6日 (火)

「情報セキュリティ人財アーキテクチャー」の続き

昨年の最後の記事「情報セキュリティ人財アーキテクチャー」の続きです。

「NSF2008 2日目(12/18)~情報セキュリティ人財育成シンポジウム~」の講演資料が公開されました。

「情報セキュリティ人財アーキテクチャー(暫定版)」について
(スライド3~4、27~40が、私が作成した部分です)

私は「方法論(利用・運用・評価)」と「今後について」の講演をしました。
モデルとして作成するだけでは、ほとんど意味がないと思っています。
それを理論と実践として繰り返して使って役立てること、それが重要だと思っております。

ということで、皆様のご意見やアイディアなど、広くコメントをお待ちしております。

| | コメント (0) | トラックバック (0)

2009年1月 5日 (月)

今年もよろしくお願いいたします

本日より更新再開です。
今年も今まで通りのペースでこのブログは更新したいと思っておりますので、引き続きよろしくお願いいたします。

さて、そこで「今年は昨年まで以上に、いろんなことが起きるでしょうね・・・」なんてことを書こうと思っていたら、もう起きてましたね。

Winnyねたは個人的にはもうあまり興味がないのですが、今回は起こしてしまった人が立場的によろしくなかったようですね。
私物PCであったため、実害は少ないと思われますが・・・

<参考URL>
「IPA職員がファイル交換ソフトでウイルスに感染、写真など流出」~ImpressWatch

「IPA職員が情報流出 ― 私物パソコンでファイル交換ソフトを使用」~Yahoo!ニュース

「IPA職員の私物パソコンによる情報流出について」~IPA

| | コメント (4) | トラックバック (3)

« 2008年12月 | トップページ | 2009年2月 »