« 2010年11月 | トップページ | 2011年1月 »

2010年12月の記事

2010年12月25日 (土)

JNSA「2010セキュリティ十大ニュース」発表

JNSAが「2010セキュリティ十大ニュース」を発表しています。

今年もいろんなことがありましたね。
来年2011年はどんな年になるのでしょう。

さて、このブログも今回が今年最後の更新となる予定です。
来年は、1月5日頃から再開予定です。

皆様、良いお年を!

<2010セキュリティ十大ニュース> 
【第1位】 「深刻な情報流出続発」
~海上保安庁から、警視庁から?~
【第2位】 「ウィキリークスを舞台に震撼が!?」
~正義の使者か?テロリストか?~
【第3位】 「クラウドセキュリティマネジメントの国際標準、日本発で検討スタート」
~セキュリティを確保して、さあ、みんなでクラウドの果実を、食らうど!~
【第4位】 「ガンブラーウイルス改め『ドライブ・バイ・ダウンロード』攻撃」
~地味にセキュリティ対策をガンブラないと・・・~
【第5位】 「図書館システムのDoS濡れ衣」
~システムの仕様不良がもたらす冤罪~
【第6位】 「スマートフォンのセキュリティ悩み」
~機種本体だけでなくサイトのセキュリティ対策も重要~
【第7位】 「制御システムを狙ったウイルス発生」
~感染の入り口は監視制御PCへのUSB接続~
【第8位】 「Google、中国から撤退」
~現実の超大国とネットの巨人が激しく火花を散らす~
【第9位】 「イカタコウイルス作者 器物損壊容疑で逮捕」
~遅れるIT関連法整備、容疑者は無罪主張~
【第10位】 「検察による証拠改ざん」
~デジタル鑑識が証拠改ざんもあばく~

| | コメント (0) | トラックバック (1)

2010年12月24日 (金)

2010年10大セキュリティ事件

さて、2010年もそろそろ終わるということで・・・
ScanNetSecurityのHPで「編集部選 2010年10大セキュリティ事件」が公開されています。

私が選ぶとすると、1,2,3,4,7,8は入りますが、それ以外は入らないかも。

2010年10大セキュリティ事件

1.Gumblar

2.Stuxnet

3.岡崎図書館

4.クラウドのセキュリティ

5.PDFとFLASHの脆弱性

6.セキュリティベンダのキャンペーンでウイルス配布

7.Wikileaks情報漏えい

8.尖閣映像流出

9.ベリサイン、マカフィー買収

10.セキュリティ&プログラミングキャンプが仕分け対象に

| | コメント (0) | トラックバック (0)

2010年12月23日 (木)

「情報セキュリティ総合的普及啓発シンポジウム」開催

財団法人日本情報処理開発協会(JIPDEC)から、「情報セキュリティ総合的普及啓発シンポジウム」の開催が告知されています。

1日目が情報セキュリティ、2日目がソフトウェア資産管理、というプログラムになっているようです。

「情報セキュリティ総合的普及啓発シンポジウム」

開催目的:
情報セキュリティに関連する取組みは、国をはじめ団体あるいは特定非営利団体(NPO)において、それぞれの視点、立場から行われてお りますが、企業や組織側の視点にたつと、これらの活動や成果に関する情報が個別に提供されるため、相互の関係や位置付けなどが十分理解されない面もあり、今後はこれらの活動の相互連携も必要とされています。
 そこで、昨年度に引き続き第6回として情報セキュリティに取り組む様々な団体が協調して、情報セキュリティに関する総合的なシンポジウムを開催することとなりました。今回は、「クラウド時代における情報セキュリティとソフトウェア資産管理」をテーマとして取り上げて、専門家の方々をお招きしご講演頂くこととしております。
 本シンポジウムを開催することにより、各企業において情報セキュリティに対する取り組みを検討する上での一助となることを期待しております。
 ご多忙の折とは存じますが、多数の方々がご参加下さいますようご案内申し上げます。

開催日時:
 平成23年1月27日(木)、28日(金)

 1日目:午前11時00分~午後5時00分
 2日目:午前10時00分~午後5時00分

会場:
 有楽町朝日ホール

| | コメント (0) | トラックバック (0)

2010年12月22日 (水)

「2010年度 情報セキュリティの脅威に対する意識調査」報告書、公開

IPAセキュリティセンターから「2010年度 情報セキュリティの脅威に対する意識調査」報告書が公開されています。

この報告書も6年目(通産9回目)になるようですが、今回はスマートフォンのセキュリティに関する意識調査も含まれています。

「2010年度 情報セキュリティの脅威に対する意識調査」報告書

4. 調査結果詳細
 4-1. インターネットの利用状況
 4-2. 情報セキュリティの脅威に対する認識
 4-3. 情報セキュリティ対策の実施状況
 4-4. 情報セキュリティに関する被害状況
 4-5. USB メモリのセキュリティ対策状況
 4-6. スマートフォン利用時の意識
 4-7. 情報セキュリティに対する意識・情報収集

年末と年度末は、報告書がたくさん公開されますね。
ナナメ読みしかできていない資料がどんどん増えていく・・・

| | コメント (0) | トラックバック (0)

2010年12月21日 (火)

「『新しいタイプの攻撃』に関するレポート」公開

「IPA テクニカルウォッチ『新しいタイプの攻撃』に関するレポート~Stuxnet(スタックスネット)をはじめとした新しいサイバー攻撃手法の出現~」からです。

ここでいう「新しいタイプの攻撃」とは、海外では「Advanced Persistent Threats(APT)=高度化した執念深い脅威」と呼ばれるようです。
APTは、「ソフトウェアの脆弱性を悪用し、複数の既存攻撃を組合せ、ソーシャルエンジニアリングにより特定企業や個人をねらい、対応が難しく執拗なサイバー攻撃」とされています。その代表的なものが、「Stuxnet」ということですね。

とても、興味深いレポートです。

レポートは、こちら。

IPA テクニカルウォッチ『新しいタイプの攻撃』に関するレポート

<参考記事>
「Stuxnet攻撃」で現実化した社会基盤を狙うセキュリティの脅威

| | コメント (0) | トラックバック (0)

2010年12月20日 (月)

「サービス妨害攻撃の対策等調査」報告書、公開

IPAセキュリティセンターのHPで「サービス妨害攻撃の対策等調査報告書」が公開されています。

以下のような事例も載っていますので、面白くて役だちそうな報告書です。

「サービス妨害攻撃の対策等調査」報告書

2.1 企業へのサービス妨害の事例
2.1.1 オンラインゲームサービス企業等への攻撃事例
2.1.2 サービス妨害攻撃による恐喝・詐欺について
2.1.3 社団法人コンピュータソフトウェア著作権協会(ACCS)への攻撃の事例
2.1.4 海外における民間Webサービスへの恐喝の事例
2.1.5 国内公共施設の事例
2.1.6 サービス妨害攻撃と同様の影響を及ぼした事例

| | コメント (0) | トラックバック (0)

2010年12月18日 (土)

「COBITとアプリケーション統制のマネジメントガイド」公開

ITGIのHPで「COBIT and Application Controls」の日本語版「COBITとアプリケーション統制のマネジメントガイド」が公開されています。

主な内容としては、

アプリケーション統制の定義
アプリケーション統制の設計と導入
アプリケーション統制の運用と保守
アプリケーション統制とIT全般統制の関係
アプリケーション統制の保証

などについて述べられています。

付録では、具体的なコントロールやツールなども示されており、内部統制に関わる方にとっては役立つガイダンスとなりそうですね。

それにしても、153Pもある・・・

| | コメント (0) | トラックバック (0)

2010年12月17日 (金)

「解説クラウド・セキュリティ・ガイダンス」公開

CSA JCのHPで「解説クラウド・セキュリティ・ガイダンス」が公開されています。

この資料は「クラウド・セキュリティ・ガイダンス」の解説です。
「クラウド・セキュリティ・ガイダンス」は、日本語版はまだV1.0ですが、V2.1の翻訳のプロジェクトも始まるようですね。

クラウドセキュリティ関係は、だんだん資料も揃ってきましたね。
まだ、これからも出てくるようですが・・・

<関連記事・このブログ>
日本クラウドセキュリティアライアンス、設立

クラウドセキュリティのガイダンス第2版、公開

「ENISAのクラウドのセキュリティに関するガイドライン」翻訳版公開

クラウド・セキュリティの認定資格「CCSK」

| | コメント (0) | トラックバック (0)

2010年12月16日 (木)

パスワード定期変更という都市伝説

先週、twitterで盛り上がった話なので、ここでも取り上げてみます。

PCIDSSの要件で「ユーザー・パスワードは少なくとも90日ごとに変更する」とされているなど、パスワードの定期変更は、「セキュリティ常識」とされてきたのですが、その根拠が失われており、もはや常識でもない(つまり「都市伝説」)ということです。

だいたい、セキュリティで「常識」という言葉を盛んに使う人や資料は、疑ったほうがいいと思っています。
本当に「常識」なのか、いつの「常識」なのか・・・
「常識」が通用しないのが、サイバーな世界なのです。

詳細は、下記の参考記事に確率などの数学的な根拠で説明されていますので、ぜひご覧ください。

<参考記事>
「パスワード定期変更云々」~pochi-pの日記

「パスワードの定期変更は神話なのか」~ockeghem(徳丸浩)の日記

「続パスワードの定期変更は神話なのか」~ockeghem(徳丸浩)の日記

| | コメント (0) | トラックバック (0)

2010年12月15日 (水)

情報セキュリティ対策における優先課題の変化

まず、この調査「国際情報セキュリティ調査(Global Information Security Survey)」は、

CIO Magazine米国版、CSO Magazine米国版、プライスウォーターハウスクーパースが共同で行った「国際情報セキュリティ調査」は、2010年2月19日から4月30日にかけてオンラインで実施された。調査にあたっては、CIO MagazineおよびCSO Magazineの読者(印刷版およびオンライン版)とプライスウォーターハウスクーパースの顧客に対しアンケートへの協力を依頼した。回答者は、100を超える国々のセキュリティおよびITプロフェッショナル1万2,847名。回答者の地域別内訳は、最大のアジアが37%、以下、ヨーロッパが30%、北米が17%、南米が14%、中東および南アフリカが2%。

というもの。

この記事によると、世界的な経済状況の悪化にも関わらず、ほとんどのCIO/CSOはセキュリティ関連予算を削減していないとのこと。
また、クラウド・コンピューティングベンダーやビジネスパートナーにおけるリスクが増大し、その管理のためのコストが増加すると考えられていることなどが分かります。

「不況下では、セキュリティに関する予算や人員が、真っ先に削られる」という分析も多いのですが、そうでもないということですね。
特に、人員は不況以上に、クラウド・コンピューティングの普及という要因のほうが圧倒的に大きいと思っています。

<参考記事>
「情報セキュリティ対策における優先課題の変化(前編)」

「情報セキュリティ対策における優先課題の変化(中編)」

「情報セキュリティ対策における優先課題の変化(後編)」

| | コメント (0) | トラックバック (0)

2010年12月14日 (火)

新バービー人形でFBIが全米の捜査員に警告

産経ニュース新バービー人形で児童ポルノ撮影の可能性、FBIが全米の捜査員に警告 議論が沸騰」からです。

この記事によると、この新バービー人形は、

人形の内部にデジタルビデオカメラが内蔵されており、カメラのレンズは目立たないように胸元のネックレスに隠されている。背中には液晶ディスプレーを備え、動画と音声を30分、録画することができる。撮影した動画はミニUSB経由でパソコンに取り込むことも可能だ。

(中略)

ところが、米連邦捜査局(FBI)のサクラメント支部が11月30日に「幼児ポルノの倒錯者などが、この人形を使って子供を誘いだし、ポルノを撮影する危険性がある」と全米の捜査官に警告を発していたことが判明した。もともとは、内部向けの警告だったが、米国のテレビ局がコピーを入手。あっという間に世界に広まった。

ということ。

こどもの表情を自然に撮影するためには、このような隠し撮り的なものが欲しいな、と思うことがあります。
そのためには、いい発想の製品だと思うのですが、こんな騒ぎになってしまうとは・・・。

| | コメント (0) | トラックバック (0)

2010年12月13日 (月)

ノートPC紛失のコストは1台当たり5万ドル

ITmediaの記事「ノートPC紛失のコストは1台当たり5万ドル―対策の不備が目立つ」からです。

この記事によると、

 ノートPCをなくしたことに伴う情報や知的財産の流出、生産性悪化、法的措置にかかった費用などを合わせた損失額は、1台当たりの平均で4万9246ドル、8万6455台の合計では21億ドルに達した。

 なくした原因は「単純な紛失」が60%を占め、「盗難」は25%、「盗難の疑い」は15%だった。なくした場所は自宅、他社の会議室、ホテルなどの社外拠点が43%で最も多く、空港、列車、タクシーといった交通機関は33%、自社の社内が12%を占めた。置き忘れたり盗まれたりしたPCが戻ってきたのは5%のみだった。

 なくなったPCのうち46%には機密情報が保存されていたが、このうちHDDが暗号化されていたのは30%にすぎず、71%はデータのバックアップを取っていなかった

とのこと。

紛失の原因、場所、HDDが暗号化されていた場合とそうでない場合の被害・損失、というデータとあわせて、相関的に分析すると傾向がわかりそうですね。

| | コメント (0) | トラックバック (0)

2010年12月10日 (金)

セミナー 「クラウド時代に求められる情報セキュリティマネジメント」、開催

情報セキュリティ強化セミナー「クラウド時代に求められる情報セキュリティマネジメント」が開催されます。

私は、「クラウド時代に求められる情報セキュリティ人材(仮)」というタイトルで登壇する予定です。
実は、この2011年1月21日(金)は、このあとに「ISSスクエア水平ワークショップ『情報セキュリティ人材育成-要請と施策-』」でも登壇する予定になってまして、ダブルヘッダーなんですよね・・・

「両方にご参加を」とは、さすがに言いにくいので、ぜひ、どちらかにご参加ください。

情報セキュリティ強化セミナー 「クラウド時代に求められる情報セキュリティマネジメント」開催概要

受講対象者:
・セキュリティ部門担当者
・ 人事部門
・ 経営企画部門
・ 情報システム部門
・ 監査部門

開催日時:2011年1月21日(金) 13:00~16:00 (受付:12:30~)
定員:300名
金額:無料
会場:時事通信ホール
 東京都中央区銀座5-15-8

| | コメント (0) | トラックバック (0)

2010年12月 9日 (木)

「アナライジング・マルウェア」

オライリーから「アナライジング・マルウェア―フリーツールを使った感染事案対処」という書籍が、12/18に発売されます。

内容は、以下の通り。

本書では、今や社会問題となっているマルウェアへの対策として、効率的にバイナリレベルで検体を解析し、対処方法を導き出すためのテクニックを紹介します。解析対象はWindowsに感染するマルウェアです。ファイルをダウンロードするマルウェア、パックされているマルウェア、動的解析を妨害するマルウェア、コードインジェクションをするマルウェア、カーネルモード(Ring0)で動作するマルウェアといった特徴的な事案をピックアップし、それらを解析するためのツールやテクニックを日本人著者が実践的な形式で解説します。/ART/OF/REVERSINGシリーズ、ここに極まれり。

発売記念イベントが12/17に開催されたり、サポートページが開設されており、そこでサンプルコードも公開されていたりします。

大変おもしろそうな書籍なのですが、「バイナリレベルでの解析」ということになると、個人的にはついていけなさそう・・・

| | コメント (0) | トラックバック (0)

2010年12月 8日 (水)

電子メールソフトのセキュリティ設定

JPCERT/CCから「電子メールソフトのセキュリティ設定について」が公開されています。

内容は、以下の通り。

目次
•はじめに
•本文書がカバーする電子メールソフト
•電子メールソフト設定に関する説明
•代表的な電子メールソフトの設定方法
Apple Mail.app
Becky! Internet Mail
Microsoft Outlook Express
Microsoft Outlook 2003
Microsoft Outlook 2007
Microsoft Windows Live Mail
Mozilla Thunderbird
Gmail
Yahoo! メール

付録 : 用語説明

そして、以下のような設定について、説明されています。

•受信メール一覧で表示される情報の拡張
•メールヘッダ情報の確認方法
•メールアドレスの表示形式の設定
•S/MIMEによる署名メールの表示例
•PGP対応
•迷惑メールフィルタの設定
•メール送信フォーマットに関する設定
•HTMLメールの表示に関する設定
•開封確認機能に関する設定

よく「メールソフトやブラウザのセキュリティ設定をしましょう」というような教育や呼びかけが行われていますが、具体的にどうしていいかわからないユーザーがほとんどなんですよね・・・

| | コメント (0) | トラックバック (0)

2010年12月 7日 (火)

既知の脆弱性検証ツールの最新版×2、公開

出遅れましたが、IPAセキュリティセンターから、既知の脆弱性検証ツールの最新版が2つ公開されていました。

TCP/IPに係る既知の脆弱性検証ツール V5.0

#検証可能な脆弱性

<TCP( Transmission Control Protocol )関連>
1. ◎ TCPの初期シーケンス番号予測の問題
2.   TCP接続の強制切断の問題
3. ◎ SYNパケットにサーバ資源が占有される問題(SYN Flood Attack)
4. ◎ 特別なSYNパケットによりカーネルがハングアップする問題(LAND Attack)
5. ◎ データを上書きするフラグメントパケットがフィルタリングをすり抜ける問題
  (Overlapping Fragment Attack)
6. ◎ 十分に小さい分割パケットがフィルタリングをすり抜ける問題
  (Tiny Fragment Attack、Tiny Overlapping Fragment Attack)
7.   PAWS機能の内部タイマを不正に更新することで、TCP通信が強制的に切断される問題
8.   Optimistic TCP acknowledgementsにより、サービス不能状態に陥る問題
9. 〇 Out of Band(OOB)パケットにより、サービス不能状態に陥る問題

<ICMP( Internet Control Message Protocol )関連>
10. ◎ パケット再構築時にバッファが溢れる問題 (Ping of death)
11. ◎ ICMP Path MTU Discovery機能を利用した通信遅延の問題
12. ◎ ICMPリダイレクトによるサービス応答遅延の問題
13. ◎ ICMPリダイレクトによる送信元詐称の問題
14. 〇 ICMP始点抑制メッセージによる通信遅延の問題
15. ◎ ICMPヘッダでカプセル化されたパケットがファイアウォールを通過する問題
  (ICMPトンネリング)
16. ◎ ICMPエラーによりTCP接続が切断される問題
17. ◎ ICMP Echoリクエストによる帯域枯渇の問題
  (Ping flooding, Smurf Attack, Fraggle Attack)

<IP( Internet Protocol )関連>
18. ◎ フラグメントパケットの再構築時にシステムがクラッシュする問題(Teardrop Attack)
19. 〇 パケット再構築によりメモリ資源が枯渇される問題(Rose Attack)
20.   IP経路制御オプションが検査されていない問題 (IP Source Routing攻撃)
21. 〇 IPヘッダオプションのデータ長が0のパケットの問題
22.   IP経路制御機能(ソース・ルーティング機能)により、サービス不能状態に陥る問題
23. □ IPv6IPCompパケットの処理によるサービス不能状態に陥る問題

<ARP( Address Resolution Protocol )関連>
24. 〇 ARPテーブルが汚染される問題
25. 〇 ARPテーブルが不正なエントリで埋め尽くされる問題

<その他( TCP/IP全般 )>
26.   通常でないパケットへの応答によってOSの種類が特定できる問題
(TCP/IP Stack Fingerprinting)

(注) 〇 :IPv4(Internet Protocol Version 4)環境で検証が可能な項目
  □ :IPv6(Internet Protocol Version 6)環境での検証が可能な項目
  ◎ :IPv4、IPv6環境での検証が可能な項目

SIPに係る既知の脆弱性検証ツール V2.0

<新たに検証可能になった脆弱性>
・SIP認証パスワードの解読
 SIPの認証処理においてパスワードが解読される問題。
・DoS攻撃によるSIPサービスの妨害
 DoS攻撃によりSIPサービスが妨害される問題。
・RTPメディアの偽装から起こる問題
 RTPメディアデータを第三者に偽装されることにより、サービスが妨害される問題。
・RTCPの偽装から起こる問題
 RTCPを偽装することで、特定のRTPメディアストリームが停止させられる等の問題。
・Call-IDを予測しやすい問題
 SIPの通信においてメッセージ毎に付与されるCall-IDが予測されやすい実装の問題。

どちらのツールも開発者向けに無償貸出されますが、一般の人には提供されないのですね。
使用した感想など、ぜひ聞いてみたいものですが・・・

| | コメント (0) | トラックバック (0)

2010年12月 6日 (月)

「企業における情報セキュリティ実態調査2010」公開

NRIセキュアのHPで「企業における情報セキュリティ実態調査2010」が公開されています。

137ページもありますね。斜め読みもたいへん・・・

ところで、この調査で「対策の実施にあたって困っていること」の1位が「情報セキュリティ担当者など、人的リソースの不足」(48.4%)でした。人手不足というより量の問題ではなく、むしろ適材がいないという質とミスマッチの問題でしょうね。

<関連記事>
「情報セキュリティの現状―対策は十分でも「人」に難あり」~ITmedia

| | コメント (0) | トラックバック (0)

2010年12月 3日 (金)

「Network Security Forum 2011」 開催

「Network Security Forum 2011」 開催が告知されています。

名 称:Network Security Forum 2011(NSF2011)
日 時:2011年1月25日(火) 10:00~18:00
会 場:ベルサール神田 3階 Room1・2・3 (千代田区神田美土代町7住友不動産神田ビル)
主 催:NPO 日本ネットワークセキュリティ協会
後 援:総務省、経済産業省、独立行政法人情報処理推進機構(IPA) ※以上 予定
定 員:基調講演(250名)、トラックA(120名)、トラックB(140名)
料 金:無料(事前登録制)
対 象:情報セキュリティに興味をお持ちの方 全般

私は、午後のセッション「情報セキュリティ女子育成BoF」でコーディネータを務めます。
パネラーは、すべてセキュリティ女子の方になる予定です。

楽しいセッションになるようがんばりますので、セキュリティ女子の方ぜひご来場ください。

| | コメント (0) | トラックバック (1)

2010年12月 2日 (木)

サービス妨害攻撃か否かの判断基準、IPAが例示へ

INTERNET Watchの記事「サービス妨害攻撃か否かの判断基準、IPAが例示へ、システム不具合の可能性も」からです。

これは、岡崎市立中央図書館の事件(新着図書の情報を収集していた男性が、サイバー攻撃を仕掛けたとして逮捕され、起訴猶予処分となった)がきっかけになっているのでしょう。

この問題は、この男性のアクセス行為が不正かどうかの判断を誤った(結果として、攻撃とみなした)というところだけでなく、システムそのものの障害点や運用の不備を見極められなかったということにもあります。

この判断基準そのものも必要と思いますが、むしろそちらを解決しないと同様の事件の再発防止にはならないかな、と個人的には考えております。

| | コメント (0) | トラックバック (0)

2010年12月 1日 (水)

現存マルウエアの3割が2010年に発生

日経ITproの記事「現存マルウエア6000万種の3割が2010年に発生」からです。

この記事によると、

 現存するマルウエアのうち34%が同年1~10月に発生した新型・亜種だという。同年に発生した新型・亜種は、すでに約2000万種あり、前年1年間の総数と並んだ。

 2010年における新型・亜種の1日当たりの平均発生数は6万3000種で、前年の5万5000種に比べ14.5%増えた。また、マルウエアの54%は活動期間が24時間にとどまった。これに対し2009年は、数カ月にわたって活動するマルウエアが一般的だったという。

とのこと。

現存するマルウェアの1/3以上が、この10ヶ月で量産されたということになります。
亜種や変種を作るという技術がかなり一般的になったこと(新種を作る必要性があまりなくなった、そして効率が悪い、ということも・・・)、亜種や変種で検出を逃れようとする攻撃側の動向、などが窺い知れる記事です。

<関連記事>
「今年出現のマルウェアが2000万に 量産態勢強化か」~ITmedia

| | コメント (0) | トラックバック (0)

« 2010年11月 | トップページ | 2011年1月 »