「標的型サイバー攻撃の特別相談窓口」設置

最近、更新をサボってました。すいません。
（twitterやfacebookは、それなりに更新してますので、ぜひそちらも・・・）

IPAの「プレス発表「標的型サイバー攻撃の特別相談窓口」の設置」からです。

最近、巷で騒動になっている「標的型サイバー攻撃」の相談窓口が開設されました。

今回のIPAでの対応は、以下の通り。

（1）「標的型サイバー攻撃の特別相談窓口」の設置
ITユーザーが標的型攻撃を受けた際に、専門的知見を有する相談員が対応する、特別窓口を設置します。

（2）情報の匿名化およびパートナー間での情報共有
標的型攻撃メールの内容や攻撃に使用されたウイルス等の分析結果を、IPAを介してパートナー間で情報共有することにより、同様の標的型サイバー攻撃の被害を未然に防止することを目指します。

（3）標的型サイバー攻撃の実態調査
IPAが「重大な攻撃が発生している」と判断した場合、対象パートナー企業の協力の下で、攻撃の実態調査を行います。検出された不審ファイルの分析、現地での一次調査などを実施します。

（このような窓口の設置だけにとどまらず）今回の「標的型サイバー攻撃」の件で、日本国としてのサイバーセキュリティの整備や見直しが推進されることを祈ってやみません。

米軍の無人偵察機制御システムがマルウェアに感染か

ITmediaの記事「米軍の無人偵察機制御システムがマルウェアに感染か」からです。

この記事によると、米空軍の無人偵察機「Predator」「Reaper」のコントロールシステムが、キー入力を監視するマルウェアに感染していたことがわかったようです。

「PredatorとReaperは米ネバダ州にある空軍基地で操縦され、そのコントロールに使われるコンピュータシステムはインターネットには接続されていないはずだという。しかし「地図情報などの更新にはUSBメモリースティックが使われているといい、ここから感染した可能性が高い」」とのこと。

これにより「コントロールシステムがマルウェアに感染したことにより、無人偵察機の飛行への干渉や、偵察機の所在や標的についての情報流出が懸念される状況」となっています。

インターネットにつながっていない様々なシステムも今後はマルウエアやサイバー攻撃の標的となる可能性がある、と考えていかなくてはならない時期にいよいよなったのだな、と実感する記事でした。

企業の半数近くがソーシャルエンジニアリングを経験

最近、更新サボり気味で、すいません。
まぁ、ぼちぼち更新しますので、気長にお待ちください。

さて、今回は・・・

日経ITproの記事「企業の半数近くがソーシャルエンジニアリング攻撃を経験」からです。

この記事はソーシャルエンジニアリングに関する調査結果なのですは、非常に興味深いデータとなっています。

  企業の48％は過去2年間で25回以上、ソーシャルエンジニアリング攻撃を受けている。セキュリティ侵害1件あたりの損害額は2万5000ドルから10万ドル以上に上る。

　IT専門職およびセキュリティ専門職の86％は、ソーシャルエンジニアリングの危険性を認識していた。ソーシャルエンジニアリング攻撃の動機として最も考えられるのは「金銭を手に入れるため」（51％）で、続いて「企業秘密を入手するため」（46％）、「競合他社より優位に立つため」（40％）、「報復のため」（14％）が挙げられた。

　ソーシャルエンジニアリングの手口としては「フィッシングメール」（47％）が最もよく使われる。個人情報が公開されている「SNSサイト」（39％）や、セキュリティ保護が不十分な「モバイルデバイス」（12％）も悪用されやすい。

　また、ソーシャルエンジニアリングのワナに陥る危険性が最も高いと懸念されるのは、企業のセキュリティポリシーがあまり身についていない「新規採用された社員」（60％）と「契約社員」（44％）だった。

　ソーシャルエンジニアリングは、セキュリティ対策をする側にとっては、対策（防止、検出）もしにくければ、教育もしにくい攻撃です。このデータが、これらのための貴重なデータになるのではないでしょうか。（動機を排除する、手口を知り対策する、危険因子である人を特定する、などなど）

ネット検索で危ない有名人ランキング

ITmediaの記事「ネット検索で危ない有名人の2011年ランキング、McAfeeが発表」からです。

昨年は、キャメロン・ディアスが第1位だったのですが、今年は・・・

1 ハイディ・クルム 9.17％
2 キャメロン・ディアス 9.08％
3 ピアーズ・モーガン 8.92％
4 ジェシカ・ビール 8.83％
5 キャサリン・ヘイグル 8.67％
6 ミラ・キュニス 8.17％
7 アンナ・パキン 8.08％
8 アドリアナ・リマ 8.00％
9 スカーレット・ヨハンソン 7.83％
10 エマ・ストーン 7.67％

キャメロン・ディアスは、第2位に陥落。昨年第2位のジュリア・ロバーツは圏外へ。
ちなみに、このランキングではキャメロン・ディアスとジェシカ・ビール（昨年第3位）以外は私の存じ上げない有名人ばかり。

あと、日本のランキングも知りたいんですが、調べてもらえませんかね。

＜参考記事＞
・「ネット検索で危険な人物は映画スターとモデル―2010年版ランキング」 ～ITmedia

ネット犯罪による損失、日本は8370億円

日経ITproの記事「ネット犯罪による損失は約30兆円、日本は8370億円」からです。

とても、興味深いレポートです。

この記事によると、

　シマンテックは2011年9月13日、世界のネット犯罪の直接的な金銭被害額が1140億ドル（約8兆7800億円）との試算を発表した。クレジットカードの停止・再発行手続きにかかる手間などネット犯罪で失われた時間の対価としては、さらに2740億ドル（約21兆1000億円）の損失となる。合計で3880億ドル（約29兆9000億円）がネット犯罪によって、直接・間接的に失われている。この金額はマリファナ、コカイン、ヘロインの闇取引総額である2880億ドル（22兆2000億ドル）を上回るとしている。

＜中略＞　

  日本での被害額は直接的な金銭被害が1842億円、間接的な時間の損失による被害が6524億円の合計8366億円と試算している。成人のネット犯罪の被害者数は世界全体で4億3100万人、日本では1150万人と推測する。

とのこと。

日本での被害金額が8370億円、被害者が1150万人という数字は推定値とはいえ、かなりインパクトがありますね。

＜参考資料＞
・「ノートン ネット犯罪レポート」

スマートフォンの利用に8割超が「不安」

ITmediaの記事「スマートフォンの利用に8割超が「不安」」 からです。

国内ユーザーに対するスマートフォンのセキュリティに関する調査ですね。
興味深い結果です。

この記事によると、

　ユーザーの84.9％がスマートフォンの利用に際して、何らかのセキュリティ上の不安を感じていることが明らかになった。一方で15.1％の「不安を感じない」と答え、その傾向は男性(41.8％)よりも女性(58.2％)の方が強い結果となった。

　具体的なセキュリティ上の不安は、「ウイルスなどのマルウェア感染」（57.3％）、「スマートフォンの紛失」（47.7％）、「連絡先や写真データなどの個人情報の流出」（41.1％)の順だった。また、17.5％は「実際にセキュリティ上の問題に遭遇した」と回答。迷惑電話やメールなどの着信や受信（9.9％）が最多だった。「マルウェア感染」（2.7％）、「不正なWebサイトへのアクセスやフィッシング詐欺などの被害に遭った」（2.1％）というユーザーもいた。

＜中略＞

　87.5％は、「スマートフォンにセキュリティ機能が必要」と回答。求める機能の上位は、「ウイルス対策」（67.3％）、「データのバックアップ」（37.8％）、「データのリストア」（27.8％）で、「Webフィルタリング」や「リモートワイプ」「Webプロテクション」などの機能の必要性は低い傾向にあった。

とのこと。

実は、私個人の回答とは違っています。
個人的には、機器そのものの紛失やデータの消失が不安でその対策が必要と思ってます。

この調査、日本以外のユーザーの結果も知りたいですね。

攻撃者が修復を請け負う

日経ITproの記事「攻撃者が「47ドルで修復します」―Webサイト改ざんの新手口」からです。

Webサイト改ざんの新たな手口です。

この記事によると、　

攻撃者とみられる人物から、Webサイトの管理者に対してメールが送られてくる。「miss blacklist」と名乗るその人物のメールには、該当のWebサイトでバグ（欠陥）を発見したことが記されている。

　メールには発見の証拠として、Webサイトに保存されている個人情報（ユーザー名やパスワードなど）が記載されている。

　その人物は、Webサイトの修復を勧めるとともに、30ドルで修復の手伝いを、47ドルで全ての修復を請け負うとしている。メールには脅すような文章はないものの、実質的には“脅迫メール”だといえる。

とのこと。

まさに「マッチポンプ」。
まぁ、セキュリティ屋さんも「マッチポンプなんじゃないの？」などとよく言われますが。（笑）

このような手口は今後も増えそうな気がします。

国内企業の情報セキュリティ対策実態調査結果

まず、今週と来週は、ほとんど更新できないと思います。
あらかじめ、ご了承のほどを・・・。

さて、IDC Japanのプレスリリース「国内企業の情報セキュリティ対策実態調査結果を発表」からです。

このリリースは、国内企業820社の情報セキュリティ対策の実態調査結果です。

・2011年度（会計年）の情報セキュリティ投資は減少傾向、2010年度比では投資抑制は弱まる
・7割以上の企業がウイルスやスパイウェアなどのマルウェアを脅威と感じているが、スマートフォンなどモバイル機器やクラウドサービス利用で脅威を感じている企業は2～3割と低い
・ウイルス対策は7割以上が導入済みと最も高い導入率だが、シングルサインオンや認証システムといったアイデンティティアクセス管理や情報漏洩対策の導入率は4割程度と低い
・現在実施しているセキュリティ対策での脆弱性を把握し、その脆弱性を補完するための対策を検討することが重要

国内では、相変わらず投資は減少傾向なんですね。
それより、この調査では「投資」とされていますが、企業側がそう考えているのかどうかを知りたいです。
ほとんどの企業が「投資」ではなく「コスト」と考えているのではないかと思います。
「コスト」と考えているのであれば、抑制にはあまりためらいがないでしょう。
「投資」と考えているのであれば、その「リターン」を予測できているのでしょうか。
さて・・・。

「CTF（Capture the Flag）」とは

asahi.comの記事「ハッカーの祭典、日本チーム健闘　人材育成に朗報」からです。

DEFCONのCTFに参加した日本チーム「sutegoma2」の健闘が伝えられています。
（本当にお疲れ様でした）

（下記の参考記事にありますが）「CTF（Capture the Flag）」とは、

●CTFのルール
DEFCON CTF本戦のルールは、自分のサーバーを守りながら、相手のサーバーを攻撃して攻略し、点数を競い合うという物だ。

運営者側から各チームに配布された問題には複数のバイナリファイルが含まれていて、これがサーバー上で起動するサービスとなる。ただし、実行しただけでは起動しない。起動するためにはバイナリファイルを解析し、起動に必要なオプションなどを特定する必要がある。

そしてこのバイナリファイルにはリモートバッファオーバーフローの脆弱性が含まれている。この脆弱性をお互いのチームが攻撃し合う。攻撃を防ぐためにはパッチを作成して適用したり、ネットワーク的に防ぐなどの対策をその場で講じることが必要になる。

得点の仕方は2通り。1つはサービスを起動し続けること。運営者側からはサービスが稼働しているかどうか、常にネットワーク越しにチェックされている。起動している間は得点が加点される。

もう1つは、他のチームのサービスを攻撃し、その中にあるキーを読み取ることだ。これにはボーナスもあり、他のチームに先駆けて一番先に攻略すると更に加点されるという仕組みだ。

CTFは守る一方でも勝つことができない。勝つためには相手チームのサービスを攻撃しなければならないのだ。

というもの。

これを機会に「CTF（Capture the Flag）」の認知度があがり、日本でも開催されるようになるといいのですが・・・。
「人材育成に朗報」とありますが、本当に朗報にするためには、そのような動きにつながらないといけませんね。

＜参考記事・ScanNetSecurity＞
・DEFCON CTF 予選2位通過のチーム sutegoma2 へ優勝の期待高まる

・ハッキングコンテストで世界に挑む日本人チーム -- DEFCON CTF 現地速報

・本戦2日目、攻撃力不足 -- DEFCON CTF 現地速報 その2

・DEFCON CTF 最終日 -- DEFCON CTF 現地速報 その3

パッチ適用に数時間

日経ITproの記事「「8月公開のパッチは、適用に数時間かかる場合あり」日本MSが公表」 からです。

今週公開予定のパッチについての日本マイクロソフトからの呼びかけです。
今回のパッチは「同社が8月10日に公開を予定しているセキュリティ情報およびパッチは13件。そのうち、危険度が最悪の「緊急」が2件、危険度が2番目の「重要」が9件、3番目の「警告」が2件。影響を受けるソフトウエアは、Windows XP/Vista/7/Server 2003/Server 2008/Server 2008 R2、Visio 2003/2007/2010、Visual Studio 2005、.NET Frameworkなど」とのこと。
PCによっては（スペック、パフォーマンスの低いPC）適用に数時間かかる場合があるようです。

この記事にもあるとおり、「インストールが完了する前にパソコンの電源を切ると、パッチが破損したり、適用されたパッチを管理するデータベースファイルに不整合が発生したりする恐れ」があり、「完了前に電源を切ってパッチが破損すると、次回、パッチをインストールしようした際に特定のエラーコードが表示されて、インストールに失敗する」とのこと。

昼休みなどに、パッチを適用するユーザーも多いでしょうが、その時間の中で終わらない可能性があるわけですね。
（ちょうど夏休みをとられる方も多い時期ですし）「パッチ適用がされていないPCだらけ・・・」という事態にならないように。