« 2009年7月 | トップページ | 2009年9月 »

2009年8月の記事

2009年8月31日 (月)

「盗聴ウイルス」が出現

ITproの記事「史上初の「盗聴ウイルス」が出現、Skypeユーザーを狙う」 からです。

この「盗聴ウイルス」は「Trojan.Peskyspy」と呼ばれているようですね。この記事によると、以下のようなもののようです。

 今回のウイルスがターゲットとするのはSkypeユーザー。Skypeがインストールされたパソコンで実行されると、マイクからSkype、Skypeからスピーカーへ送られるデータを盗聴し、mp3ファイルとして保存する。

 Skype間の通信は暗号化されるので、インターネット上での盗聴は極めて困難。だが今回のウイルスは、パソコン上で暗号化される前の送信データと、復号された後の受信データを記録するため、盗聴を防げないという。

 加えてウイルスは、攻撃者(ウイルス作者)がインターネット経由で感染パソコンにアクセスできるようにする。いわゆる「バックドア」である。これにより攻撃者は、感染パソコンに保存されたmp3ファイルを盗み出せる。

現在のところは、被害の可能性は低いとされているようですが、ソースコードがネットに公開されているとのことなので、これを改変して新たなものが出てきそうです。

<関連記事>
「Skypeを盗聴するトロイの木馬、ソースコードがネットに公開」~ITmedia

| | コメント (0) | トラックバック (0)

2009年8月28日 (金)

Man-In-The-Middle(中間者)攻撃を阻止する「ForceHTTPS」

日経ITproの記事「大切なデータには鍵をかけよう:「ForceTLS」で安全な通信プロトコルを選択」からです。

この「ForceHTTPS」という機能は、HTTPサイトがHTTPSサイトを偽装する場合に備えて提案されているものです。
この機能を使うと、「Webサイトは,この機能を搭載したWebブラウザに対して必ずHTTPSでリクエストするよう指示し,暗号化していないHTTPの使用を許可しなくなる」というもの。

さらに、この記事によると「ForceHTTPS」では、以下のようなことが検討されているそうです。

(1)Webブラウザは,ドメインへのアクセス時にHTTPSだけを使うようにする
(2)通信プロトコルをHTTPSに限定する期間はどの程度にすればよいだろうか。例えば,Webサーバーは3日後にHTTPS以外の通信を許可するよう指定できる,という仕様が考えられる。この期限は,新たなHTTPヘッダーが送られてきて,クライアントにデータが届くたびにリセット/変更できるようにする
(3)アクセス対象サイトのサブドメイン(例えば「images.mybank.com」「login.mybank.com」)も強制HTTPS使用の対象にするのか

 ForceTLSは悪質なホットスポットからの防御だけでなく,Webアプリケーションを予想外の非暗号化リクエストに対抗できるよう強化することにも使える。人気Webアプリケーションの多くは,安全なHTTPSと心細いHTTPのどちらででも通信できる。ユーザーがHTTPでなくHTTPSを使うよう指定できるようになっていても,大きなWebアプリケーションのコードには(もちろん誤って)HTTP URIを参照する処理の紛れ込む恐れがある。ユーザがForce-TLSアドオンを導入していれば,自動的にHTTPSプロトコルが使用され,暗号化されていないデータがネットワークにさらされずに済む。

なかなか興味深いアイディアですね。
あとは実用化できるのか否か・・・

| | コメント (0) | トラックバック (0)

2009年8月27日 (木)

アンダーグラウンドで“大人気”のツール

日経ITproの記事「「15万台が感染、国内でも被害多数」、ウイルスツール「Zeus」の脅威」からです。

この記事によると、

 「Zeus(ゼウス)」は、ここ数年アンダーグラウンドで出回っているウイルス作成ツール。個人情報を盗むようなウイルスを簡単に作成できるため“人気”があるという。例えば、感染パソコンのスクリーンショットを取って盗むウイルスや、キー入力を記録して盗むウイルス(いわゆる「キーロガー」)を作成できる。

 そのほか、感染パソコンを乗っ取ってフィッシング詐欺サイトを構築するウイルスや、特定のWebサイトに大量のデータを送信してDoS攻撃を行うウイルス、迷惑メールを送信するウイルスなども作成可能としている。

というものだそうです。

すでに 「Zeus(ゼウス)」を使って作成されたウイルスを7万330種類確認、15万4000台以上のパソコンで感染を検出・・・、というのとなので、その人気の高さと影響の大きさがわかります。(あくまで確認された数なので、実際はもっと多いはず)

| | コメント (0) | トラックバック (0)

2009年8月26日 (水)

成果物、続々・・・

お盆明けに、私が作成に関わった成果物が続々とリリースされました。
ちなみに、以下のものです。

SSCPレビューセミナーテキスト
公認情報セキュリティ監査人研修・トレーニングテキスト(改訂版)
・情報セキュリティ人財アーキテクチャーガイドブック2009年度版

このほか、今年は、
CISSPレビューセミナー テキスト(改訂版)
CISSP CBK E-ラーニング
情報セキュリティプロフェッショナル教科書
改訂CompTIA Security+
も、リリースされました。

いやぁ、我ながらがんばったなぁ~。
もう、今年は打ち止めでしょうか。
いや、そうならないかも・・・

何より、何らかの形で皆様のお役に立っていれば良いのですが・・・

| | コメント (0) | トラックバック (0)

2009年8月25日 (火)

u-Kanagawa推進協議会 情報セキュリティセミナーで講演します

u-Kanagawa推進協議会のHP「情報セキュリティセミナー(第5回~第8回)開催のお知らせ」で開催案内がされています。

私はこの第6回に登場します。
お近くでご興味のある方は、ぜひお越しください。

情報セキュリティセミナー(第6回)
日時:10月21日(水)14:00~
会場:厚木市 厚木商工会議所 501会議室

『情報セキュリティ対策における従業員教育 実践のポイント』

以前執筆したコラムに連動したセミナーです。

当日は、このコラム+αの内容でお話をする予定です。

| | コメント (0) | トラックバック (0)

2009年8月24日 (月)

セキュリティ・リスク管理の標準規格「ISO/IEC 27005:2008」

ITproの記事「セキュリティ・リスク管理の新たな標準規格「ISO/IEC 27005:2008」」
からです。

「ISO/IEC 27005:2008 -- A New Standard for Security Risk Management」は、国際標準化機構(ISO)と国際電気標準会議(IEC)が新たに策定したリスク管理プロセスと情報セキュリティ管理にかかわる作業を規格化し、情報セキュリティ・リスク管理向けのガイドラインです。ISMS(Information Security Management System)規格の「ISO/IEC 27001:2005」で規定された一般概念を補足し、効果的なISMSの実装と運用のためには、情報セキュリティ管理に対する系統立てたプロセスと要素を示しています。

ここで示されている情報セキュリティ・リスク管理プロセスの構成要素と各要素の目的は以下の通り。

・状況規定:リスク管理の境界を定義
・リスク分析(リスク特定/評価の段階):リスクの程度を評価
・リスク調査(リスク分析/評価の段階):意志の決定と,組織の目標考慮
・リスク対応(リスク対応/許容の段階):リスクの低減,状態維持,回避,移動
・リスク情報の伝達:意志決定の担当者とそのほかの関係者との間で,リスク情報の交換/共有を通じてどのようにリスクを管理/合意するか
・リスク監視/レビュー:早い段階で組織の視点から好機を捉えることと,刻一刻と変わるリスク状況を随時把握しておくこと

ここで特に注目したいのは、各段階で「インシデント・シナリオ」という言葉が使われ、この影響評価や見通しの予想をするとされていること。
「インシデント・シナリオ」とは、「情報セキュリティ・インシデントで特定の脆弱性や一連の脆弱性を悪用する脅威について記述したもの」とされています。

つまり、この「インシデント・シナリオ」が作れないと効果的なISMSの実装と運用はできない、と読めます。
ISMSの実装と運用がされている組織では、当然リスク管理が行われているわけですが、「シナリオベース」ということではどこまでどのようにやっているのか(できているのか)・・・

| | コメント (0) | トラックバック (0)

2009年8月22日 (土)

情報セキュリティガバナンス実態調査2008

経済産業省のHPで「情報セキュリティガバナンス実態調査2008 調査報告書」
が公開されていました。

まさに企業の情報セキュリティの実態を示す内容で非常に興味深く(ナナメ読みで)読みました。

で、感想ですが・・・
情報セキュリティガバナンスが浸透するには、まだまだ道は険しいですね。

| | コメント (0) | トラックバック (0)

2009年8月21日 (金)

USBメモリーで変身

9月からの新番組「仮面ライダーW(ダブル)」なんですが、ちょっと驚きました。

なだぎ武が出ている!
でなくて・・・

変身にUSBメモリーを使うそうです。
最近はカードや携帯電話なども変身に使われていましたが、ついにメモリーを使うんですね。

変なもの(マルウェア)が混入したり、データが飛んだり(なにせ、揮発性が高いメディアなので)しないのでしょうか。
そうなると、「ライダーになるはずが、ショッカーの怪人に!」「エラーで変身できません!」などとなるわけですよね?

そんな余計な心配をしてしまいました。

| | コメント (2) | トラックバック (1)

2009年8月20日 (木)

「ディレクトリハーベスト攻撃(DHA)」

日経ITproの記事「「意味不明なメール」の目的はアドレス収集、スパムやウイルスの予兆」 からです。

これは、「意味不明なメール」を使った攻撃のことですが、

 最近出回っている「意味不明なメール」の例として、以下のようなメールを挙げている(送信者名の「xxxxx」は伏せ字)。

(送信者名)joannjasmin8xs@xxxxxx.com
(件名)land
(本文)Those journalists showed them a photograph

(送信者名)clariceboldin9cg@xxxxxx.com
(件名)okay then
(本文)They told her the shortest way.

 通常の迷惑メールやウイルスメールとは異なり、本文には、宣伝文句やリンク(URL)などは記載されていない。意味不明な文章が書かれているだけだ。添付ファイルもない。

 こういったメールの目的は、有効なメールアドレスを収集すること。攻撃者は多数のメールアドレスをランダムに生成し、それらあてにメールを送信する。例えば、「example.com」というドメイン名の企業のユーザーを対象とする場合には、「○○○@example.com」の「○○○」の部分に、さまざまな文字列を入れてメールアドレスを生成し、そのアドレスあてに次々とメール送信する。

 そして、エラーメールが戻ってこなかったアドレスは有効だと判断し、今後、迷惑メールやウイルスメールの送信先として使う。このようにして有効なメールアドレスを収集する手口は、「ディレクトリハーベスト攻撃(DHA)」などと呼ばれる。

「ディレクトリハーベスト攻撃(DHA)」と言うんですね。
この手の攻撃(というか、情報収集)は知っていましたが、なんと呼ぶのかは知りませんでした。

| | コメント (3) | トラックバック (0)

2009年8月19日 (水)

IEEEにセキュリティ作業部会が新設

ITmediaの記事「IEEEにセキュリティ業界の作業部会を新設へ」からです。

標準化団体のIEEE-SA(Standards Association)が、「Industry Connections Security Group」(ICSG)の創設を発表しました。

この記事によると、

 創設メンバーにはAVG Technologies、McAfee、Microsoft、Sophos、Symantec、Trend Microの各社が参加。最初の活動としてマルウェアに関する作業部会を設置した。マルウェアの件数は2006年の12万5000件から2009年上半期には120万件へと激増しており、こうした状況に対抗するため、セキュリティ業界の間でマルウェアに関する情報やサンプルを効率的に共有する方法について話し合う。

とのことで、セキュリティ業界が力を結集してマルウェアなどの脅威に対抗することを目指してのことのようです。

「各社がしのぎを削り、新技術を開発し、脅威に対抗する・・・」というのも、もはや限界ということですね。
マルウエアだけでなく、他の脅威についても同じような動きになっていくのではないかと、私は予想しています。

| | コメント (0) | トラックバック (0)

2009年8月10日 (月)

最も懸念されるセキュリティリスクは従業員

早いもので、もうお盆休みの時期になりましたね。
ということで、今週から来週にかけて、しばらく更新頻度は下がると思います・・・

さて、ITmediaの記事「金融機関が懸念するセキュリティリスクは従業員、トーマツが発表」からです。
これは、世界の金融機関のセキュリティ責任者を対象に実施したセキュリティ意識調査の結果によるものです。

この記事によると、

 回答者の36%は、組織内部の不正行為を懸念点に挙げており、外部からの脅威を挙げた回答者は13%だった。86%の回答者は、人的エラーやセキュリティルールの違反が情報セキュリティに関する障害の代表的な要因だと認識しており、特に経済危機に伴う業務への不安やストレスによって、従業員が通常とは異なる行動をとる恐れがあるという。

とのこと。

従業員のエラーと違反、障害という内的要因が、外的要因を大きく上回っているということですね。

さらに、

 このほか情報セキュリティ侵害では、オンライン詐欺犯罪とともにソーシャルネットワーキングサービス(SNS)やPDA、USBメモリなどの携帯デバイスなどを懸念する回答が目立った。SNSやインスタントメッセージの利用を制限としていると回答者は半数以上に上った。また、情報セキュリティ対策の優先度では規制要件の順守やアクセスおよびIDの管理、データ保護と情報漏えいが上位を占めた

と続いています。

これらの懸念は金融機関だけでなく、一般の組織でも同様だと思いますが、よりその度合いが大きいということでしょうね。

| | コメント (0) | トラックバック (1)

2009年8月 7日 (金)

ブルースクリーンを表示するニセソフト

日経ITproの記事「「ブルースクリーンに慌てるな」、壁紙を変更する「偽ソフト」に注意」からです。

よくあるニセセキュリティソフトなのですが、ブルースクリーンに見せかけた壁紙を表示してあわてさせる、という手口のようです。(画像には、英語で「あなたのコンピューターはスパイウエアに感染しています」といった警告メッセージが出るようです)

以前、会社で使用していたノートPCの調子が悪く、何度かブルースクリーンが出たことがあります。
その時は、あわてるというより、ため息が出ましたけど…

| | コメント (2) | トラックバック (0)

2009年8月 6日 (木)

生まれ変わる「Interop Tokyo」

@ITの記事「相互接続検証の場としての役割を重視 新たな運営主体の下で生まれ変わるInterop Tokyo」からです。

来年から運営会社も変わり、相互接続検証の場としての役割を重視して、「Interop Tokyo」が生まれ変わるということです。

本来なら「期待したいですね」と書きたいところですが、率直なところ「どうなるの?」という不安が先に立ってしまいます。
今年は同時開催だった「RSAカンファレンス」も、来年はどうなるんでしょうね…

| | コメント (0) | トラックバック (0)

2009年8月 5日 (水)

ヌルターミネーション攻撃

COMPUTER WORLDの記事「SSLトラフィックを傍受する“ヌルターミネーション攻撃”―専門家が報告」からです。

SSLトラフィックを狙った新手のMITM(man-in-the-middle:中間者攻撃)のようです。
この攻撃の概要は、以下の通り。

 このタイプのMITM攻撃(man-in-the-middle:中間者攻撃)は察知することができない、とマーリンスパイク氏は説明する。

 マーリンスパイク氏が紹介した攻撃は、SQLインジェクションと呼ばれる手法にきわめて近い。SQLインジェクション攻撃は、特別に作成されたデータをプログラムに送信し、通常は実行できないような作業を行わせるものである。

 同氏は、ヌル文字(\0と表示されることが多い)を含む自身のインターネット・ドメインに対応するヌルターミネーション証明書を作成し、一部のプログラムが同証明書を誤って解釈する可能性があるという事実を指摘した。ヌル文字を認識した時点でテキストの読み込みを停止するプログラムが存在するのである。例えば、www.paypal.com\0.thoughtcrime.orgに対して発行された証明書はwww.paypal.comに帰属するというように、ヌル文字が誤って解釈される可能性がある。

そういえば、偽の証明書が作成できるの件もありました。SSL周りの対策や技術も見直しの時期に来ているのかもしれません。

| | コメント (0) | トラックバック (0)

2009年8月 4日 (火)

考え方次第で変わる

あっという間に8月になってしまいました。
特に6~7月は仕事が立て込んで、いろいろ大変でした。
今月は、普通のペースで仕事ができそうです。

私も関わったSSCPも含め、情報セキュリティ関連の資格も増えてきました。
このようなことについて、人によっていうことが違います。
「セキュリティ資格が充実してきましたね」という人と、「セキュリティ資格がますます乱立してきましたね」という人と。

なぜ言うことが違うかは、まずはこれらの資格を使いこなせているか、使い方がわかっているか、ということだと考えています。
使えれば「充実」だと思えるはずですし、そうでなければ「乱立(ただ多いだけ)」と思えるのでしょう。
CPEにしても「取得の義務」「大変だ」という人もいれば、(少数派ですが)「活動の権利」「楽しい」という人もいます。

つまり「考え方次第」ということですね。
ただそうなると「使えるとはどういうことか」「どうすれば、使えるのか」ということになります。
それを最近いろんなところで話をしております。
※ ここでも、いづれ書いてみます。

| | コメント (0) | トラックバック (0)

2009年8月 3日 (月)

脱・人月のPBC契約

日経ITproの記事「経産省が脱・人月を目指す「情報システムのPBCに関する調査研究」報告書を公開」 からです。

はい、賛成です。「脱・人月」・・・
システム開発に限らず、IT関連では普及させたい考え方です。
それが、以下の「パフォーマンスベース契約(Performance Based Contracting:PBC)」なのですね。

 PBCではユーザーにとっては「無駄な投資が減る等,適正な価格でのIT投資ができる」,「目的を共有することから,ベンダーの積極性を期待することができる」,ベンダーにとっては「システムの効果に応じた適正な対価を得ることができる」,「人月ベースの契約から脱却することで,付加価値の創出や効率化に対するモチベーションが向上する」といったメリットがあるとする。

 PBCのデメリットとしては,ユーザーにとっては「契約時に価格が確定せず,実績により事後的に価格が変動するため,定額固定契約と比べて予算確保が難しい」,ベンダーにとっては「期待した効果が出せない場合,定額固定契約と比べて収益の縮小となる可能性がある」ことなどをあげている。また,価格を決めるための作業が煩雑となる可能性も指摘している。

 報告書はPBCを適用するための工程を5つのステップに分け,その手順を説明している。5つのステップは(1)目的・効果の確認,(2)情報サービスの価値を測定する指標「キーパフォーマンスインジケーター(Key Performance Indicator:KPI)の設定,(3)価格設定,(4)契約内容の決定,(5)KPIの評価と見直し,で構成される。

 価格モデルは「分配モデル」,「レベル設定モデル」,「目標値達成モデル」の3モデルに分類している。

 「分配モデル」は,PBCによって発生した利益をユーザーとベンダーで分配するもの。発生する利益の例としては事業収益の向上分,コスト削減分などがある。

 「レベル設定モデル」は,KPIの指標値とその範囲を設定し,その範囲ごとに価格を設定するもの。KPIの達成状況に応じて事前に設定した価格を支払う。

 「目標値達成モデル」は,最初に標準工期などKPIの指標値(目標値)を設定し,その指標値を達成できた場合に,ベースとなる価格にインセンティブ分を上乗せして支払うもの。

<参考記事>
「情報システムのパフォーマンスベース契約に関する調査研究」報告書の公表について~経済産業省

「情報システムのパフォーマンスベース契約に関する調査研究」報告書の公表について(PDF形式:12KB)

報告書(PDF形式:2,175KB)

| | コメント (0) | トラックバック (0)

2009年8月 1日 (土)

ブラウザーの警告が無視される

COMPUTER WORLDの記事「ブラウザの「SSL証明書が無効です」警告は無意味?―研究者らが指摘」
からです。

この記事によると、

 Webサイトの閲覧中に、「invalid certificate(証明書が無効です)」という警告を目にした経験はないだろうか。恐らく、大抵のユーザーはこの警告を何度も目にしているはずだ。

 この警告は、「Webサイトが保有するセキュリティ証明書(SSL証明書)に何らかの問題がある」ことを意味している。だが、カーネギーメロン大学の研究者らが執筆した最新の報告書によれば、一般的なユーザーは漠然と不安を感じながらもこの警告を無視し、リンクをクリックして先へ進んでしまうという。警告を無視することで、気付かないうちに偽のサイト(フィッシング・サイトなど)へ誘導されてしまうリスクが高まる。

 研究者が同大ラボで行った実験では、調査対象者の55%から100%が証明書に関するセキュリティ警告を無視していた。ブラウザごとにこの警告メッセージの内容は異なるため、被験者の利用するブラウザによって無視する割合は異なる。

とのこと。

ブラウザーをはじめとして、OSやセキュリティソフトなど、いろんなものから警告メッセージが出されています。
それだけ、セキュリティ機能が充実してきたということでもありますが、ユーザーが警告メッセージの意味がわからなかったり、重大なものだと認識できなかったり、「撹乱」されていたりする、ということでもあるわけですね。
(IDSのオペレーターが、警告メッセージに「撹乱」されるように・・・)

| | コメント (0) | トラックバック (0)

« 2009年7月 | トップページ | 2009年9月 »