2009年7月
      1 2 3 4
5 6 7 8 9 10 11
12 13 14 15 16 17 18
19 20 21 22 23 24 25
26 27 28 29 30 31  

携帯URL


携帯にURLを送る

ニュース

2009年7月 6日 (月)

ディザスタリカバリ、4回に1回は失敗

@ITの記事「ディザスタリカバリの復旧作業は4回に1回は失敗」からです。

日本と世界における災害対策(ディザスタリカバリ)に関する調査の結果です。
(2009年5月から6月にかけて実施。全世界1650社(うち日本企業50社)からの回答)
以下、記事からの抜粋。

 これまでに経験したことのある災害の種類では、コンピュータシステムエラーが最も多く日本で88%、グローバルで79%、ウイルスやハッカーなどの外部からの脅威が同78%/71%、停電や電力障害が同68%/59%と続いた。

 ディザスタリカバリ委員会への参加者では、CIO/CTO/ITディレクタが最も多く日本が70%、グローバルも70%だった。2番目に多かったのは、部門または部署のIT管理者で同64%/49%だった。

 また、ディザスタリカバリの予算は、日本において今後6カ月は減少が14%、横ばいが36%、増加するが50%だが、今後12カ月以降は徐々に増えていく傾向になった。

 IT予算に対するディザスタリカバリへの割合は、日本が22.5%、グローバルが30%で、日本がグローバルに比べて低い数値となった。予算の内訳は、ローカルリカバリへのバックアップやアーカイブが一番多く日本で15%、グローバルで20%、ディザスタリカバリ用のバックアップが同10%/15%、継続的なデータ保護が同10%/14%となった。また、ディザスタリカバリにかかる時間は、基幹業務の復旧が日本が6時間、グローバルが3時間、大部分のバックアップと実行が同6時間、4時間、通常業務の100%の回復が同6時間、4時間とすべての項目で、日本はグローバル平均より2時間以上多くかかることが分かった。

 また、ディザスタリカバリのテストに関しては、クリティカルなデータやアプリケーションを目標復旧時間や目標復旧ポイント内に回復できる確率が、日本が77.5%、グローバルが70%となり、日本・グローバルともに3~4回に1回は失敗していることが判明した。失敗の理由は、「担当者が想定どおりに実施できなかった」が一番多く、日本は54%、グローバルが44%、「プロセスが不適切だった」が同50%/36%、「DRサイトのITインフラが十分でなかった」が同46%/29%となった。

 日本と世界との差が、かなりくっきり出た調査結果です。
 残念ながら、DRでも日本は世界から後れをとっていると言えそうです。

投稿日時 2009年7月 6日 (月) 00時10分 ニュース | | コメント (0) | トラックバック (0)

2009年6月30日 (火)

「スマート・クラウド研究会」、7月にも立ち上げ

日経NETの記事「「クラウド」官民研究会、総務省が7月にも立ち上げ」からです。

 総務省は、ネットワーク経由でソフトやサービスを提供する「クラウドコンピューティング」事業の国内での拡大に向け、7月にも民間企業などとともに研究会を立ち上げる。この分野では米グーグルや同アマゾン・ドット・コムなどが独走し、日本の利用者は米国勢に取り込まれている。クラウド事業を育成していくことで、国内通信関連企業などの事業拡大を後押しする。

 「スマート・クラウド研究会」の座長には、大阪大学の宮原秀夫名誉教授が就く。日本IBMの大歳卓麻会長や、インターネットイニシアティブの鈴木幸一社長などもメンバーに入る予定だ。

日本でも、ついにというか、やっとというか、とにかく始まるようですね。

ところで、この記事で「クラウドコンピューティング事業の国内での拡大」がこの研究会の立ち上げ目的に見えますけど、ほんとにそれだけじゃないでしょうねぇ?
「セキュリティ」入ってますよね??

ちょっと、心配になってきました・・・

<関連記事・このブログ>
「Cloud Security Alliance」が近く発足

投稿日時 2009年6月30日 (火) 00時10分 ニュース | | コメント (0) | トラックバック (0)

2009年6月29日 (月)

CIOの業務内容

CIO Onlineの記事「「CIO実態調査2009」に見る米国CIOの実像」からです。

いろいろな実態調査の結果が出ていますが、特に「CIOの業務内容」という項目が気になりました。

CIOの業務内容

1.ITとビジネスの目標を調整
2.ITとビジネスのパートナーシップを育成
3.ITオペレーションとシステム・パフォーマンスの改善
4.リーダーとして変革を推進
5.新しいシステムとアーキテクチャの導入
6.業務革新の推進
7.ビジネス・プロセスの刷新
8.ITコストの抑制
9.ビジネス戦略の策定
10.競合他社との差別化
11.ITの危機管理
12.セキュリティ管理
13.ベンダーとの交渉
14.事業戦略と技術の開発
15.市場動向と顧客ニーズの調査

なるほど・・・

さらに、ITリーダーの最も重要な資質として、「長期的な戦略思考/プランニング」を挙げた回答者が、70%(前回は56%)ということです。

ということで、やはり「ITガバナンス」「エンタープライズアーキテクチャー(EA)」というようなところが落とし所になるのでしょうね。

投稿日時 2009年6月29日 (月) 00時14分 ニュース | | コメント (0) | トラックバック (0)

2009年6月27日 (土)

金融庁が三菱UFJ証券に業務改善命令

ITmediaの記事「三菱UFJ証券、情報漏えいの再発防止について表明」からです。

今回、金融庁が三菱UFJ証券に出した業務改善命令は、以下のような内容です。

●業務改善命令の内容
1.情報が流出した顧客などの保護や被害拡大の防止に向けて、必要な措置を講じること
2.大量の顧客情報などを流出させ、顧客などに被害を生じさせたという事案の重大性を踏まえ、経営陣を含む責任の所在の明確化を図ること
3.今回の事案を踏まえ、リスク管理の実効性を確保する観点から、経営管理態勢の改善を図ること
4.例えば以下の観点から、情報セキュリティ管理態勢の充実、強化を図ること。「部門間の牽制機能の確保」「外部委託先を含めた各種手続の運用実態の検証とその実効性の確保」「不正行為を可能とする一連の権限などの特定職員への集中状況の検証と、当該権限などの分断または幅広い権限などを有する職員への管理、牽制の強化」「不正行為の隠ぺい防止」
5.不正行為の未然防止に向けて、人事管理などの改善を図ること。特に、職業倫理の強化などを図る観点から教育、研修のあり方を見直し、適切に実施すること
6.3ないし5への対応状況を含めた情報セキュリティ管理などのあり方について、内部監査の充実、強化や外部監査の活用などにより検証し、その結果を踏まえてさらなる改善を図ること
7.1ないし6への対応状況について、2009年7月3日までに(および必要に応じて随時)に、書面で報告すること。併せて、これらの対応状況について、顧客などへの周知を図る観点から、その概要を公表すること。

●個人情報保護法律に基づく勧告内容
1.個人データの安全管理のための実効性のある措置を確保すること
2.個人データの安全管理を図るための従業者に対する監督を徹底すること
3.1および2への対応として行った措置について、2009年7月3日までに、書面で報告すること

逮捕された元社員が特権を持ちながら監視対象外だったというのが、「内部管理態勢が不十分」の最大の理由ということになるのでしょうね。

今までの報道記事などからの個人的な意見と感想ですが「業務改善」以前に「組織改革」が必要な気がします。

<関連記事>
「三菱UFJ証券の元部長代理を逮捕 5万人分の顧客情報売却」~ITmedia

「「内部管理態勢が不十分」、金融庁が三菱UFJ証券に業務改善命令」~日経ITpro

「弊社元社員の逮捕について」~三菱UFJ証券株式会社 プレスリリース(2009.6.25)

「金融庁による行政処分について」~三菱UFJ証券株式会社 プレスリリース(2009.6.25)

「三菱UFJ証券株式会社に対する行政処分について」~金融庁

投稿日時 2009年6月27日 (土) 00時13分 ニュース | | コメント (0) | トラックバック (0)

2009年6月25日 (木)

EUがセキュリティ政策「CIIP」を推進

COMPUTERWORLDの記事「EUが対サイバー攻撃に本腰、セキュリティ政策「CIIP」を推進」からです。

この記事によると、EUのセキュリティ政策の推進は以下の通り、進むらしい。

 欧州連合(EU)がサイバー攻撃への対応力強化に取り組んでいる。「Critical Information Infrastructure Protection(CIIP)」と呼ばれる一連の政策計画が目指すのは、コンピュータ・セキュリティ危機への対応力の強化と、EU加盟国におけるインターネット・インフラの回復力向上だ。

 CIIPは、EUの行政執行機関である欧州委員会で今年3月下旬に採択された。同委員会の政策責任者であるアンドリー・グロリオーソ(Andrea Glorioso)氏は、6月18日にエストニアのタリンで開催された「Conference on Cyber Warfare」でプレゼンテーションを行い、大規模なサイバー攻撃やネットワーク・トラブルの発生時における加盟国の対応力強化をCIIPの大きな目的に挙げている。

 CIIPには幅広い施策が盛り込まれている。その1つは、EU加盟各国の政府系コンピュータ・セキュリティ機関、Computer Emergency Response Team(CERT)が果たすべき役割の設定だ。

 また、攻撃を受けたネットワークの迅速な復旧に向けて、民間セクターと政府の密接な協力を促進すると同時に、EU加盟国間の情報共有を強化する機関の創設も計画されている。

 さらには、欧州全体でのネットワーク・セキュリティ訓練の実施を視野に入れ、EU加盟国に国レベルでサイバー・セキュリティ訓練を行うよう呼びかける計画も含まれている。

 欧州委員会では、インターネットの安定性に重点を置き、ネットワークの堅牢性確保や、重要インフラの特定を目的とした原則とガイドラインの定義に取り組む方針も明らかにした。そのほか、サイバー攻撃情報を企業に配信するEuropean Information Sharing and Alert System(EISAS)のロードマップを整備するとしている。

米国オバマ政権もサイバーセキュリティは優先事項であり、対策を強化すると声明しています。
日本でも、もちろんセキュリティ政策が推進されているのですが、「どうもスピード感や本気度が違うなぁ」と思ってしまいます。(実際は、そうでもないのかもしれませんが)
つまり、そのように感じないように、もっと「本腰」にならないといけないのでしょうね。

<関連記事・このブログ>
「米政府、サイバー攻撃対策を強化」

「サイバー・セキュリティは優先事項」~オバマ政権

投稿日時 2009年6月25日 (木) 00時07分 ニュース | | コメント (0) | トラックバック (1)

2009年6月23日 (火)

ボットネットがデジタル資産に

ITproの記事「ボットネットは複数回売買できるデジタル資産に変化」からです。

この記事によると、つまり以下のような実態らしいです。

 マルウエアに感染したパソコンを売買するGolden Cashネットワークでは,感染したパソコン1000台を5~100ドルで購入して,これらを25~500ドルで販売している。購入価格は地域によって異なり,香港,台湾,日本,中国を含む極東地域では1000台当たり5ドル,オーストラリアでは100ドルとなっている。

 Finjanによれば,これらのパソコンは,新しい“オーナー”に購入されるごとに別のマルウエアに感染させられている可能性があるという。

なるほど・・・
つまり、ボットネットを作った側は直接手を下さなくても(ボットネットを使ってDDoS攻撃やスパムの大量配信などの行為をしなくても)儲かる、ということですね。
つまり、(地下市場では)これだけで立派なビジネスと動機になっている、ということ。

ワームや攻撃コードを作るというのも同じことですね。直接手を下さなくても、売れればいいわけです。
「作っただけでは、罪にならない」という法規制や考え方は見直さなければなりません。
ただし、「悪意を持って作った」ということが立証できないといけませんが・・・

投稿日時 2009年6月23日 (火) 00時03分 ニュース | | コメント (0) | トラックバック (0)

2009年6月20日 (土)

パスワードを盗むつもりが盗まれる

日経ITproの記事「盗むつもりが盗まれる」――偽のパスワード解析プログラムに注意」からです。

この記事によると、以下のようなプログラムと手口のようです。

 プログラムの名称は「Gmail Hacker」。自分のGmailアドレスとパスワードを入力し、パスワードを盗みたい相手のGmailアドレスを入力すれば、そのパスワードが表示されるとしている。

 しかしながら、これらの情報を入力してスタートボタン(「Hack Them」ボタン)を押しても、最終的には「問題が発生しました。後で試してください」といったダイアログが表示されるだけ。目的とするパスワードが表示されることはない。

 解析したところ、このプログラムには攻撃者のメールアドレスが登録されていて、入力したGmailアドレスとパスワードは、そのアドレスに送信されるようになっていたという。

悪意を持ったやつが別の悪意を持ったやつにだまされる、ということですね。
「だったら、注意呼びかけなくてもいいんじゃない」と、ちょっと思ったりしましたが、そういうわけにも行きませんね。(これを使おうとしている人がすべて悪意を持っているわけではないので)

この記事を読んで、「『クロサギ』(漫画映画ドラマ)みたいな話だな・・・」と思ってしまいました。(詐欺師をだます詐欺師の話です)

投稿日時 2009年6月20日 (土) 00時10分 ニュース | | コメント (0) | トラックバック (0)

2009年6月19日 (金)

約9割がフィッシング・サイトを見抜けない

日経ITproの記事「フィッシング・サイトを見抜けない米国ネット・ユーザーは約9割」からです。

この記事によると、

 米VeriSignは米国時間2009年6月15日,フィッシング・サイトに関する調査結果を発表した。それによると,米国のインターネット・ユーザーのうち,企業が運営するWebサイトそっくりのフィッシング・サイトを見抜けないユーザーは88%に達した。

 ブラウザの鍵マークがないことに気づかないユーザーが68%にのぼり,URLに正規のドメイン名ではなく数字を用いていることを見落としたユーザーは42%。また,本来なら不要であるはずの詳しいアカウント情報を要求されても不審に思わないユーザーは33%だった。

とのことです。

この記事では、対策も示されていて、「フィッシング・サイトでないことを確認するために,URLが「https://」で始まっていること,鍵マークがWebページ内ではなくブラウザのインタフェース上に表示されていること,正規のドメイン名であることなどをチェックするように」と書かれています。

また、こういう記事になると「教育や啓蒙が足らん・・・」という話になりそうなのですが、果たしてそれでよいのでしょうか。
「対策を知らない」というよりも、「いちいちチェックしてないよ(できないよ)」というのがこの結果だと思っています。
フィッシングやファーミングの手口も、今後さらに巧妙化と多様化していくことでしょうから、ユーザーだけに対策を押し付けるのではなく、ほとんどは技術(対策ソフトなどで検出する)でやっていかないと無理だろうと思っています。

投稿日時 2009年6月19日 (金) 00時12分 ニュース | | コメント (0) | トラックバック (0)

2009年6月18日 (木)

パスワードの記憶の限界

日経ITproの記事「ネットユーザーの9割以上がID・パスワードを違うサイトで使い回し」からです。

この記事は、ユーザー1000人を対象にしたインターネットで使用するIDとパスワードに関する調査の結果です。

 ID・パスワードの設定方法では、回答者の25.8%が「ひとつに統一する」と回答。「いくつかのID・パスワードの中から選ぶ」を合わせると、と92.5%がID・パスワードを“使い回し”ていた。IDとパスワードを使ってログインするサイト数は、「ほぼ毎日使うサイト」が平均で6.7サイト、「たまに使うサイト」も平均6.7サイトで、合わせると平均13.4にも上る。

 一方、記憶可能なID・パスワードの数は、「2~3組」が54.5%で最も多く、「4組以上」可能な人は32%。平均では3.1組だった。また「1組」は8.8%で、「1組でも自信がない」も4.7%あった。ID入力が必要なサイトを「いつも使用する」頻度からみると、Webメール(42.5%)、ネットショップ(33.3%)、ネットバンキング(30.1%)の順だった。

ということで、およそ3.1組がパスワードが記憶できて使い分けられる限界ということのようですね。
ここに「定期的に変更」という条件がついたら、どうなるんでしょうね・・・
やはり、人間としてはここらが能力的限界ということでしょう。

ということで、世の中のほとんどのパスワードに関するガイドラインには実効性がない、ということにもなりますね。

<関連記事・このブログ>
「3割のユーザーは同じパスワードを使い回す」

投稿日時 2009年6月18日 (木) 00時17分 ニュース | | コメント (0) | トラックバック (0)

2009年6月17日 (水)

クラウド事業者に確認すべきこと

COMPUTERWORLDの記事「クラウド・プロバイダーと契約するときに確認したい“5つのポイント”」からです。

その5つのポイントとは、以下の通り。

#1:現在利用しているアプリケーションは使えるか?

現在利用しているアプリケーションが、部分的に修正すればクラウド環境でも使えるのか、それとも完全に作り直さなければならないのかを見極めるのがいちばん大切だ

#2:データの“地理的な”保管場所はどこか?

論理的な場所だけではなく、“地理的な”データの保管場所も教えてくれるクラウド・プロバイダーとつきあうのが望ましい

#3:データ保護のための対策は?

クラウド環境においてセキュリティ要件を満たすためには、データの転送や保管の際にセキュア・プロトコルを用いた暗号化を適用したり、クラウド・プロバイダの提供するアクセス制御機構を入念にチェックしたりすべきだ

#4:どんなサポート・メニューを用意しているか

クラウドへの移行時には多くの問題が発生する。だが、大半のIT部門にはそれらすべてに対処している時間はないだろう。そこで、外部からの手助けが必要になる

#5:サービスを解約した後はどうなる?

契約を解除した場合はどうなるのか。
クラウド導入の検討時には、アプリケーションのポータビリティ(移植性)も考慮すべきである。「データをクラウドに置く場合、それを“取り戻す”方法についてもあらかじめ検討しておく必要がある。

さらに、もう1つ、こういう記事もありました。

ITmediaの記事「クラウド事業者に聞くべき15の質問」です。

ここで挙げられている15の質問の項目と、これの対策が講じられている場合のメリットは以下の通りでした。

●必須項目
1.だれがIDを管理するのか
2.目的に沿ったほかのサービスとの連係をどのように実現しているのか
3.データをどのように利用し、どのように守るのか
4.ユーザーが利用するすべてのインフラをどのように知ることができるか
5.利用者やデータ、アプリケーションが信頼できるということをどうやって確認するのか
6.クラウド型アプリケーションを、法規制などに適切に従って利用するにはどうすべきか
7.クラウドと従来の情報システムをどのように相互利用すればいいか
8.問題があった場合、だれに連絡をすればいいのか

●特に懸念すべきセキュリティ上の課題
1.サービス提供者のリスク管理手腕がどのようなものか
2.アプリケーションをクラウド化する際のセキュリティへの影響
3.信頼できるクラウドスタックが構築されているか
4.セキュリティ要件と法規制などに準拠しているか
5.実データはどこに存在しているのか
6重要データと実施可能なセキュリティ対策の影響度
7.サービス事業者の障害対策に柔軟性があるか

 クラウドサービス事業者が適切なセキュリティ対策を講じている場合、以下のようなメリットをユーザーは享受できるという。

・セキュリティとデータ管理がサービスの基本に位置付けられている
・セキュリティが考慮された拡張性のある共有サービスを利用できる
・コンプライアンスがサービスに組み込まれている
・クロスドメイン環境である
・IDとアクセス権が統合されている
・構成や変更の管理、アップデート管理が適切に行われる
・個人情報の保護プロセスが透明である
・事業継続性が提供される

リスクの見直し、SLAの締結(まずは水準の決定)、第三者による保証・・・、これらが必要ということになる、と私は考えてます。

<関連記事・このブログ>
「クラウドへの移行は、IT資産の制御権を手放すこと」

「クラウド・コンピューティングのリスク」

投稿日時 2009年6月17日 (水) 00時21分 ニュース | | コメント (0) | トラックバック (0)

2009年6月16日 (火)

ワイヤレス・ネットワークを脅かす新手のDoS攻撃

COMPUTERWORLDの記事「ワイヤレス・ネットワークを脅かす新手のDoS攻撃に注意せよ」からです。

この記事では、以下の5つがワイヤレス・ネットワークへの新手のDoS攻撃として挙げられています。
今後は、有線ネットワークからのDoS攻撃よりも、大きな脅威になるかも・・・

●シグナリングDoS
 この攻撃は、ネットワーク内のアクティブなモバイル・セッションを悪用するものである。この攻撃では、セッションの切断後に少量のデータを送信して、セッションを再開させる。これによって、RNC(Radio Network Controller)上で輻輳が発生して大きな負荷がかかるろ、加入者向けサービスが不能になってしまう。

●バッテリー消耗
 この攻撃も、ネットワーク内のアクティブなモバイル・セッションを悪用するものだ。モバイル・デバイスにパケットを送信し続けてセッションを保ち、デバイスをスリープ・モードに入らせない。例えば、10秒ごとに40バイトのデータを送りつけるといった具合だ。これによって無線リソースを浪費させ、モバイル端末のバッテリーを消耗させる。

●ピア・ツー・ピア(P2P)アプリケーション
 Bell Labsでは、ある1人の加入者がP2P Webサイトを過度に利用した結果、北米のあるキャリアの3G(第3世代)携帯ネットワークのパフォーマンスに悪影響を与えていたことを発見した。この加入者は、5,000のeDonkeyサイトおよび3万7,000のGnutellaサイトと通信しながら、1GBのデータをアップロードし、3.5GBのデータをダウンロードしていた。

●無線カードの不正使用
 上述した北米の携帯キャリアでは、無線カードの不正使用に起因する過負荷によって、サービス・トラブルに見舞われたこともあった。Bell Labsが不正なデバイスを突き止めるのに数人月を要した。

●頻繁なポート・スキャン
 Bell Labsは、上述のキャリア・ネットワーク上で、ワームとポート・スキャンによって大量のリソースが浪費されていたことも発見した。このワームは、ポート135番、137番、1026番、5900番に対する攻撃を行っていた。

投稿日時 2009年6月16日 (火) 00時11分 ニュース | | コメント (0) | トラックバック (0)

2009年6月13日 (土)

ソーシャル・ウェブで注意すべき4つのポイント

COMPUTERWORLDの記事「Web 2.0時代のセキュリティ――ソーシャル・ウェブで注意すべき4つのポイント」からです。

私も、このブログをはじめ、いくつかソーシャル・ウェブを使っていますので、以下の4つのポイントは納得できるものですね。
そういえば、「インターネットの脅威の最新動向」というような話をする際、最近はこの4つはすべて話しているような気がします。

1. ブログやフォーラムの投稿は、ほとんどが迷惑コンテンツと考えよ

ブログやフォーラムに投稿された85%が迷惑コンテンツ(スパムやマルウェア)で、そのうちの5%がマルウェアや詐欺、フィッシングの被害につながっていることが判明している。

2. Google検索結果の上位サイトでも疑ってかかるべし

検索サイトの検索結果の上位に、悪意あるコードやスパムをばらまくWebサイトを表示させるSEOポイズニングが、サイバー犯罪者の間で広く用いられるようになってきている。

3. 偽ウイルス対策ソフトウェアには要注意

ユーザーからクレジットカード番号などの個人情報を手に入れるために、いわゆる「偽ウイルス対策ソフトウェア」を使うサイバー犯罪者が増えている。

4. ソーシャル・ネットワーク上だけの“トモダチ”を信用するな

「Twitter」上において、「Web 2.0系技術を利用したWebサイトにおいて、パーソナルなソーシャル・ネットワーキングを介して広がる脅威が深刻化している。“トモダチ”からでも、不審なメッセージは真に受けるべきではない」

投稿日時 2009年6月13日 (土) 00時18分 ニュース | | コメント (0) | トラックバック (0)

2009年6月12日 (金)

ボットネットISPを遮断、スパムが一時的に減少

COMPUTERWORLDの記事「FTCが悪名高いボットネットISPを遮断、スパムが一時的に減少」からです。

つまり、遮断が一時的にしか効果がなかった、ということです。

この記事によると、

 米国の連邦地裁は6月2日、FTCからの申し立てに応え、「Pricewert」という悪名高いISPに対する業務停止命令を下した。
 FTCによると、Pricewertはウイルスはスパイウェア、フィッシング、児童ポルノといった犯罪の温床になっていたという。「Pricewertはオンライン・セキュリティ・コミュニティからの度重なる業務改善要求を無視したうえ、捜査の目をごまかすために犯罪行為が行われているIPアドレスを変更するなどして、犯罪者を積極的にかくまっていた」(FTCの声明より)。
 Pricewertは「3FN」や「APS Telecom」といった別名義でもISP事業を展開していたが、複数の上流ISPが同社へのサービス提供を停止したことで、インターネットから完全に遮断されることとなった。
 電子メール・セキュリティ・ベンダーである英国Marshal8e6によると、Pricewertの遮断により、先週のスパム・メールの流量は約15%減少した。「先週半ばから週末にかけてかなり減少した。以前と比べてずいぶん静かになった」と、Marshal8e6のアナリスト、フィル・ヘイ(Phil Hay)氏は証言している。

(中略)

 昨年11月には、ボットネット運営者にサービスを提供していた米国のISP、McColoが同じようにインターネットから遮断されている。このケースでは、スパムの流量は最大で50%近くも減少し、元の水準に戻るまでには数カ月かかった。 だが、今回のPricewertのサービス停止では、McColoほど劇的な効果は見られなかった。米国Cisco Systemsの調査データによると、スパム件数は先週末に30%ほど減少したものの、6月7日から8日にかけて早くも元の水準に戻っているという。

 セキュリティ専門家の間では、スパマーがMcColo事件を教訓として、ボットネットを制御するサーバの“バックアップ・システム”を用意したのではないかと見られている。非営利のスパム対策組織、Spamhaus ProjectのCIOを務めるリチャード・コックス(Richard Cox)氏は、「McColoのときとはまったく異なる結果だ。スパマーたちはサービス停止を予期していたのだろう」と述べている。

とのことです。

McColoと時には数ヶ月かかったのが、今回は4~5日。
すでに想定されていて、あらかじめ対応もされていたということですね。(事業継続性、高い・・・)

<参考記事>
「米連邦地裁が悪徳ISPに業務停止命令、FTC発表」~ITmedia

投稿日時 2009年6月12日 (金) 00時34分 ニュース | | コメント (0) | トラックバック (0)

会社のセキュリティルールは破って当たり前

ITmediaの記事「会社のセキュリティルールは破って当たり前、実態調査で明らかに」からです。

 この記事によると、「多くの企業で、従業員が社外秘情報をUSBメモリにコピーして持ち出したり、同僚と同じパスワードを使ったりするなど、会社のセキュリティポリシーを無視した行為が日常化している」とのことで、以下のような調査結果が出たようです。

 従業員の69%が社外秘などの情報をUSBメモリにコピーしていると回答。しかし、会社のポリシーでこのような行為が認められているのは13%のみで、48%がポリシーに従っていないことが分かった。
 USBに記録した情報を、会社のネットワークに所属しない別のコンピュータにコピーしているとの回答も61%に上った。

 「個人で使うインターネットソフトを会社のコンピュータにダウンロードしている」という従業員は53%、「職場のコンピュータのセキュリティ設定やファイアウォールを無効にしている」は21%、「同僚と同じパスワードを使っている」は47%。「情報を記録したリムーバブルメディアを紛失したことがある」と答えた43%のうち、72%はすぐには会社に届け出なかったと打ち明けた。

 58%は「情報セキュリティポリシーについて、会社が適切な研修を実施していない」と答え、約半数では「従業員や管理職はセキュリティポリシーをほとんど無視している」という実態にあることが分かった。

ある程度は、そうだろうとみんな思っているのでしょうが、実際に調査データがでてくると、やはりインパクトありますね。
「破って当たり前」という記事ですが、「破られて当たり前」という読み方もあると思います

さらに、以下のような記事もありました。

「ITスタッフの3分の1が機密データのぞき見」~ITmedia

 データセキュリティ企業Cyber-Arkが米国と英国の上級ITスタッフ400人を調査したところ、35%が機密情報ののぞき見を認め、74%は仕事に関係のない情報にアクセスできると答えた。
 12カ月前の同様の調査では、のぞき見を認めたITスタッフは33%だった。

 Cyber-Arkによると、のぞき見が最も多かったのは人事記録で、それに顧客データベース、M&Aの計画、レイオフリスト、マーケティング情報が続く。

 「もしも解雇されたらどのようなデータを持ち出すか」という質問に対しては、「機密データ」「競争上のアドバンテージや企業セキュリティの維持に欠かせない情報」という回答が1年前に比べて大幅に増えたという。
 財務報告書やM&A計画を持ち出すと答えたITスタッフは6倍に増え、CEOのパスワードや研究開発計画を挙げたスタッフは4倍に増えた。

形式的なルールとありきたりな従業員教育(まず、それも不十分ということ)だけでは、対策になってないってことが、またまた確認された記事でした。

<関連記事・このブログ>
「退職社員の6割が社外秘情報を持ち出し」

「明日解雇されるなら、機密情報を持ち出す」

投稿日時 2009年6月12日 (金) 00時11分 ニュース | | コメント (0) | トラックバック (0)

2009年6月11日 (木)

オンライン犯罪のサプライ・チェーン

ITmediaの記事「役割分担で効率化:オンライン犯罪で形成されるエコシステム」
からです。(RSAセキュリティの報告会の記事)

 オンライン犯罪で、「攻撃者の組織化や分業化によってエコシステムが形成され、犯罪の手口がますます巧妙化している」とのことです。

 さらに具体的には「攻撃者の集団は役割に応じて犯罪の企画・指揮、換金などを行うグループと、実際に個人情報やクレジットカード情報を盗み出す2つのグループに分かれる。2つのグループは、インターネット掲示板やチャットを介して綿密に連絡を取り、情報の売買を行う。しかし、実際のやり取りはオンライン上でのみ行われ、直接相対するようなことはない」 「掲示板にはいくつものコミュニティーがあり、数千もの犯罪者が参加している。コミュニティーに入るには管理者の承認が必要で、例えば盗んだ個人情報で実際に金銭を引き出せることを証明し、管理者の信頼を得るといったことで参加できる」ということです。

   表の世界では、情報セキュリティ専門家のコミュニティつくりに苦労しているのに、裏の世界(アンダー・グラウンド)では攻撃者のコミュニティやさサプライ・チェーンがしっかり確立できているなんて、皮肉なことで。

それから、このサプライ・チェーンのプロセスは、以下の通りのようです。

・掲示板に「クレジットカード情報がほしい」などと企画者グループが書き込み、犯罪を持ちかける
・実際に情報を盗み出すグループが、トロイの木馬などのマルウェアや詐欺ツール、攻撃サーバなどを用意
・対象先を選定し、攻撃する
・盗み出した情報を企画者グループに売り込み(もしくは共有化)
・企画者グループは、「Mules」(運び屋)を介して送金を繰り返し、第三国で現金化する

なるほど・・・

(個人的には)まずは、表の世界のコミュニティつくりとサプライ・チェーンの確立が必要だな、と再認識しました。
裏(アンダー・グラウンド)でできることが、表ではできないなんて言ってられませんよね・・・

<参考記事>
「「CEOのアドレスは50ドル」---オンライン不正行為のサプライ・チェーンを認識せよ,RSAが説明会」~日経ITpro

投稿日時 2009年6月11日 (木) 00時05分 ニュース | | コメント (0) | トラックバック (0)

2009年6月 6日 (土)

タイポ・スクワッティングが多いドメイン

TECHWORLDの記事「入力ミスを攻撃につなげる──タイポ・スクワッティング」
からです。

タイポ・スクワッティングについては、このブログではかなり以前に書きましたが、この記事では「タイポ・スクワッティングが多いドメイン」が示されています。

やはり、ユーザーが多いサイトのドメインが狙われるようで。

<参考記事・このブログ>
「タイポスクワッティング」攻撃とは

投稿日時 2009年6月 6日 (土) 00時19分 ニュース | | コメント (0) | トラックバック (0)

2009年6月 5日 (金)

クラウドへの移行は、IT資産の制御権を手放すこと

日経ITproの記事「クラウド・コンピューティングによる情報セキュリティの変化」からです。

この記事では、クラウド・コンピューティングによる情報セキュリティの変化を「最高情報責任者(CIO)/最高セキュリティ責任者(CSO)の観点だと,クラウド・コンピューティングへの移行は「コスト削減手段」にとどまらず,「IT関連資産の制御権を優雅に手放す変化」と表現しています。

なるほど・・・
「IT関連資産の制御権を優雅に手放す変化」とは、今までなかった表現ですね。

さらに、

クラウド・コンピューティングへの移行がIT資産の制御権を思い切って手放す行為なら,手放し方をきちんと考えなければならない。我々が「十分な安全性とはどの程度なのか」「十分な安全性は何らかの確実性の高い情報でどのように予測されたのか」を自問できるようになったことについて,筆者がどう記したか覚えているだろうか。確実性の高い情報は,クラウド・コンピューティングによって失われようとしている。これらの情報は,潔くあきらめなければならない「制御権」の大きな構成要素でもある。そこでどうなれば「十分に安全」なのか理解するために,クラウド・コンピューティング業者に「確実性がどの程度なのか」尋ねることとなる。その結果,確実性が不十分だったら,どの程度の透明性があれば十分だろうか。さらに情報分析を行うとしたら,許容できる不確実性の程度を決めることにしよう。

と続いています。

「透明性」と「不確実性」の程度を決める、これも重要キーワードでしょうね。

<関連記事・このブログ>
クラウド・コンピューティングのリスク

投稿日時 2009年6月 5日 (金) 00時15分 ニュース | | コメント (0) | トラックバック (0)

2009年6月 4日 (木)

企業PCの9割はセキュリティに不備

ITmediaの記事「企業PCの9割はセキュリティに不備」からです。

英Sophos社の調査の結果です。

まずは、パッチが適用されていない割合が、

Windows OS(59.1%)
Office(36.3%)
Internet Explorer(19.7%)
Media Player(12.7%)
Flash Player(7.1%)

とのこと。

ウイルス対策ソフトとファイアウォールについては

ウイルス対策ソフトが無効になっていたり最新の状態になっていないPCは全体の24%を占め、ファイアウォールが無効になっていたり、まったく検出されなかったりしたPCは49%

とのこと。

「やってます」と「できてます」は、違うということですね。

投稿日時 2009年6月 4日 (木) 00時14分 ニュース | | コメント (0) | トラックバック (0)

2009年6月 2日 (火)

米政府、サイバー攻撃対策を強化

NIKKEI NETの記事「米大統領、サイバー攻撃対策を強化 ホワイトハウスに新組織」
からです。

 オバマ米大統領は29日の記者会見で、インターネットを通じてハッカーが国家の機密情報を盗んだり、情報システムを破壊したりする「サイバー攻撃」への安全保障政策を強化すると表明した。「サイバー上の脅威は国家の最も深刻な問題の一つ」と強調。ホワイトハウスに新組織を設置し、調整官を任命すると発表した。

 米政府では通信傍受にあたる国家安全保障局(NSA)や米軍などが対応にあたってきたが、ホワイトハウスで対策を一元化する。大統領はアルカイダなど国際テロ組織によるサイバーテロにも警戒する必要があると指摘した。

 民間企業とも協力すると表明。ただ「インターネットは開放的で自由でなければならない」とも語り、過度な政府規制はしないと明言した。

「サイバー上の脅威は国家の最も深刻な問題の一つ」「インターネットは開放的で自由でなければならない」、このあたりの考え方が日本とは、かなり違うような気がします。

そういえば、日本ではサイトの改ざんが放置されていたようですね。(関連記事をご参照ください)
違うのは、考え方だけではなさそうです。

<関連記事>
「米政府,情報インフラのセキュリティ対策強化に向け“調整役”新設へ」~日経ITpro

「厚労・国交省、公式サイトのハッカー攻撃を長期間放置」~Yahoo!ニュース

投稿日時 2009年6月 2日 (火) 00時06分 ニュース | | コメント (0) | トラックバック (0)

2009年5月30日 (土)

3Kは大した問題ではない

@ITの記事「「3Kは大した問題ではない」――今年の学生は模範的?」からです。

「IPAX2009」で行われた座談会についての記事です。
(ちなみに昨年も行われていて、こんなことになってしました)

ところで、この3K問題については、

「3Kはあると思うか」という質問に対して、学生全員が手を挙げた。「それは大した問題ではないし、ほかの業界も同じだと思う」という学生は、8人中7人だった。

という結果だったようです。

まずは、その仕事に興味を持てるか否か、好きになれるか否か、そこが問題です。
興味もない、好きになれない、という人は3K以前で問題にもならないわけです。
そのうえで、3Kを解消してもっと魅力のある仕事にしよう、というのが、この問題の議論の落としどころでは?、というのが私の個人的意見です。

<関連記事・このブログ>
IT業界の「3K」とは?

投稿日時 2009年5月30日 (土) 00時50分 ニュース | | コメント (2) | トラックバック (0)

2009年5月29日 (金)

最も危険なネット検索用語

ITmediaの記事「最も危険なネット検索用語とは?」からです。

この記事は、Google、Yahoo!などで検索件数の多い用語約2600語について、検索結果にスパイウェアやアドウェア配布サイト、フィッシング詐欺サイトといった悪質サイトが表示される確率を調査したもので、その結果は、

 最も危険な検索用語は「screensavers」で、最大危険度は59.1%。つまり、検索結果に表示される上位10件のリンクうち、ほぼ6件を悪質なサイトが占める計算になる。次いで危険なのは「lyrics」(歌詞)という用語で、2件に1件の割合で悪質なサイトが表示された。

 「free」(無料)という用語も危険度が高く、この単語を含んだ検索をかけると21.3%の割合で悪質なページが表示される。また、不況で自宅でできる仕事への関心が高まる中、「Work from home for free」(無料で在宅勤務)の検索で表示されるリンクの40%が悪質なサイトだった。

ということでした。

やはり、「free」(無料)という言葉には、たいていの人は弱いものですよね・・・

投稿日時 2009年5月29日 (金) 00時15分 ニュース | | コメント (0) | トラックバック (0)

2009年5月28日 (木)

クラウド・コンピューティングのリスク

日経ITproの記事「クラウド・セキュリティの評価ポイントは事後対策にあり---IPAX2009パネルより」 からです。

この中で、横浜国立大学大学院 環境情報研究院の松本勉教授の挙げられたクラウド・コンピューティングのリスクに注目してみました。

この記事では

冒頭にまず松本氏は,議論の前提となる「クラウド」を定義。カリフォルニア大学バークレー校の「SaaS+ユーティリティ・コンピューティング」,業界の共通理解として「インターネット」「オンデマンド利用で従量課金」「SaaS,PaaS,IaaSに大分類」「中身は雲の中」といった特徴を挙げたうえで,クラウド固有のセキュリティの懸念を整理した。松本氏によると「分散処理なので障害に強い」,「セキュリティ専門家を抱えているはずなのでセキュア」といったメリットは,裏を返せば「データの物理的な場所がユーザーから見えない」といったセキュリティ上の不安材料となる。「雲の中にあるものを裏付ける評価指標がないため,ユーザー側では端末や通信路,クラウド側ではSLAの項目が鍵になる」

と書かれています。

この「クラウド固有のセキュリティの懸念」は「クラウド・コンピューティングのリスクアイテム」として、以下のように示されています。

●クラウドコンピューティングに固有のセキュリティリスク
・分散処理環境に関するもの
・仮想化環境に関するもの
・バックボーンネットワーク環境に関するもの
●SLAの項目と内容
・アップタイム保証
・障害回復時間保証
・データ、プロセスのセキュリティ保証
・ストレージに関する特約:機密性、場所
・ユーザ認証の精度保証
・賠償規程
●クラウドプロバイダをどう信頼するか
●マッシュアップ/相互接続性/移行性
●クライアントのセキュリティ
・端末・ネットワークの管理
・ユーザ管理
●その他

先日、あるところで講演した際に「クラウドプロバイダを信頼するには、どのようなことが必要か?」という旨の質問を受けました。
その際に回答したのが「SLAとその保証のための仕組み」でした。
ということで、上記の「クラウド・コンピューティングのリスクアイテム」には個人的には納得。

それにしても「SLAとその保証のための仕組み」が普及しませんね。
普及させないと・・・

<関連記事・このブログ>
「Cloud Security Alliance」が近く発足

キーワードは「Webセキュリティ」「クラウド」「中間者攻撃」

投稿日時 2009年5月28日 (木) 00時05分 ニュース | | コメント (0) | トラックバック (0)

2009年5月27日 (水)

1カ月に出現するウイルスは70万種類以上

日経ITproの記事「1カ月に出現するウイルスは70万種類以上、累計では1600万種類以上に」からです。

この記事によると、

2008年末までに確認されたウイルスは1658万7800種類。2008年12月中に確認されたウイルスは73万5049種類だった。

とのこと。

そりゃ、定義ファイルも追いつかないわけだ。

1ヶ月に約735,000種類ということは、

1日あたり、約23,710種類
1時間あたり、約988種類
1分あたり、約16種類

3.6秒に1種類のウイルスが出現している、ということになるわけですね。

ということで、今日は算数、もとい、ウイルスのお話でした・・・

<関連記事・このブログ>
「マルウェア検出手法、刷新へ」

投稿日時 2009年5月27日 (水) 00時13分 ニュース | | コメント (0) | トラックバック (0)

2009年5月26日 (火)

ボットネットの内側

CNET Japanの記事「フォトレポート:知られざるボットネットの内側」からです。

ボットネットの内側を多数のスクリーンショットを使ってレポートしています。
ちなみに「これらの画像は、この1年間に、オープンソースインテリジェンスによって、つまり、感染している指揮統制(C&C)IRCチャネルに加わるか、ボットネットマスターの間で行われている通信を監視することで収集したものだ」とのこと。

実に興味深いです。
その実態が解明しにくいボットネットですが、それが少しわかった気がしました。

投稿日時 2009年5月26日 (火) 06時13分 ニュース | | コメント (0) | トラックバック (0)

2009年5月25日 (月)

「情報漏洩、5万人に1万円」の理由

ITproの記事「[続々報]三菱UFJ証券の情報漏洩、5万人に1万円相当のギフト券送付」からです。

この記事によると、

  三菱UFJ証券は2009年5月20日、同社システム部の部長代理だった元社員(4月8日付で懲戒解雇処分)が不正に取得した約148万人分の顧客情報のうち約5万人分を売却した事件で、情報を売却された約5万人に1万円相当のギフト券を送付すると発表した。この種の漏洩事件の謝罪として1万円は異例の高額。これまでの相場は500円から1000円程度だった。

とのこと。

これが実例として、今後の基準(尺度)的金額になっちゃうんでしょうか。

さらに、この記事では、「1万円という金額については、有識者らの意見や過去の事例を参考に判断」とあるのですが、その有識者がどんな方々で、参考にしたした過去の事例が何なのか知りたいですねぇ・・・

投稿日時 2009年5月25日 (月) 00時11分 ニュース | | コメント (0) | トラックバック (0)

2009年5月24日 (日)

死にかけのITスキル10選

ITmediaの記事「市場価値を失いつつあるITスキル10選」からです。

この結果は、ITスキルと給与水準の関係の調査からのようです。
挙げられている「死にかけのITスキル」は、以下の通りです。

・非同期転送モード(ATM)
・Novell NetWare
・Visual J++
・無線アプリケーションプロトコル(WAP)
・ColdFusion
・RAD/エクストリームプログラミング
・Siebel
・SNA(Systems Network Architecture)
・HTML
・COBOL

そういえば、「以前は私も」というスキルもいくつかあります。
HTMLはちょっと意外な気がしましたが、よく考えたら確かに価値は下がってますね。

投稿日時 2009年5月24日 (日) 08時45分 ニュース | | コメント (2) | トラックバック (0)

2009年5月18日 (月)

新型インフルエンザ、急速に拡大

この週末に急展開ですね。日本でも現実的な脅威になってしまいました。
情報セキュリティの枠を超えて(個人的には、このようなパンデミック対策も情報セキュリティの一部と思っていますが)、考えてみたいと思います。

Yahoo!ニュースの記事「新型インフル 国内流行に身近でできる予防策」によると、

 ウイルスは主に患者のせきやくしゃみのしぶきを通じて広がる。そのため、マスクの着用や帰宅時の手洗い、うがいは基本だ。特にマスクは自分への感染を予防するだけでなく、自分が感染した場合、他人への感染拡大の防止にも役立つ。マスクは「不織布製」が推奨されている。

 手洗いも、ドアノブや手すりなどを触った手で食事したり目をこすったりして感染するリスクを軽減できる。せっけんを使い、最低15秒以上が望ましい。

 せきやくしゃみのしぶきが飛ぶ範囲は1~2メートルといわれており、繁華街や人込みは極力避けるべきだろう。満員電車も感染リスクを高めるため、政府は時差通勤・通学や自転車の利用などを呼びかけている。

というのが、基本的予防策のようです。

この機会に、いろいろ考えながら実践してみようと思います。

<参考URL・厚生労働省>
「インフルエンザにかからないために」

[動画]「新型インフルエンザから身を守る知っておきたい感染予防策」

<参考記事・このブログ>
「情報セキュリティどころではない?」

投稿日時 2009年5月18日 (月) 00時48分 ニュース | | コメント (0) | トラックバック (0)

2009年5月15日 (金)

偽ソフト、ますます巧妙に

ITmediaの記事「Flash Player装うマルウェア、巧妙な細工に注意を」からです。

Adobe Flash Playerに見せかけたマルウェアなのですが、よく見ると・・・
よく見ても偽ものだとわからない。

感心している場合ではないですが、よくできてるなぁ、と思ってしまいました。

ちなみに、エラーの警告画面も接続されるサイトも偽ものですが、これも良くできています。
さらに、ダウンロードされるファイルが「install_flash_player.exe」と、いづれも正規のものに見えます。

しかし、さすがにデジタル署名で本物でないのがわかるそうです。

もはや、人間が識別するのは限界なのでしょうか・・・

そして、以下の参考記事の偽ソフトも、良くできてますね。

<関連記事>
「好奇心によるグーグル検索は偽ウイルス対策ソフト/マルウエアの罠」 ~日経ITpro

「偽ウイルス対策ソフトに「身代金要求」の新機能」~ITmedia

投稿日時 2009年5月15日 (金) 00時14分 ニュース | | コメント (0) | トラックバック (0)

2009年5月14日 (木)

グーグル、ストリートビューで対策

Yahoo!ニュースの記事「ストリートビューで対策=プライバシー批判受け-グーグル日本法人」からです。

この記事によると、

 米グーグルの日本法人(東京)は13日午前、道路から撮影した街並みの画像をウェブ上で提供する「ストリートビュー」で、現在公開中のすべての画像に対し、自動車のナンバープレートをぼかす処理を同日施したと発表した。地域住民や地方議会などから「個人のプライバシーを侵害している」との批判が高まっており、こうした声に応えた。同社は同サービスを世界9カ国で展開しているが、今回の措置は日本独自としている。
 グーグルはさらに、自動車に搭載した撮影用カメラの高度を40センチ下げ、数カ月以内にすべてのエリアで再撮影を行う。これにより、塀に囲まれた住宅の内部が撮影されるような問題についても、「相当程度防げるのではないか」(同社)としている。また、インターネットを利用しない人が画像公開停止を依頼できるよう、専用ダイヤル(0570)010041を設けた。 

とのことでした。

この記事の「今回の措置は日本独自」というところが、個人的にひっかかりました。
つまり、日本が過剰反応なのか、それとも日本以外の国がリスクに対しての反応が鈍いのか、ということです。

あくまで、個人的な見解ですが・・・
日本が過剰反応ではないでしょうか。

投稿日時 2009年5月14日 (木) 00時13分 ニュース | | コメント (0) | トラックバック (0)

2009年5月13日 (水)

用済みHDDの処分方法

ITmediaの記事「用済みPCを安全に処分するには」からです。

この記事によると、HDDからのデータの削除の方法としては、

 「データを消去すればHDDから情報が削除され、特殊なユーティリティソフトやテクニックを用いないかぎり、その情報を読み出すことはできない。しかしこれは、データを永遠に削除するものではなく、コンピュータにそのデータのことを“忘れさせる”だけなのだ。サニタイズというのは、通常のリカバリ方法では絶対に復元できず、研究所レベルのリカバリ手法でも復元がほとんど不可能な程度にまで、メディアから機密データを削除するプロセスだ」

などが示されている。(他には消磁、物理的破壊など)

こういうところでも「サニタイズ」という言葉を使うのですね。
それにしても「通常のリカバリ方法では絶対に復元できず、研究所レベルのリカバリ手法でも復元がほとんど不可能な程度にまで、メディアから機密データを削除」って、具体的にはどうするのでしょう。
それって、アンチフォレンジック技術なんじゃないのでしょうか。

この記事を読んで、そんなところが気になってしまいました・・・

<参考記事・このブログ>
「中古HDDの34%に機密情報が残る」

投稿日時 2009年5月13日 (水) 00時15分 ニュース | | コメント (0) | トラックバック (0)

2009年5月12日 (火)

パートナー選定時に情報セキュリティ対策を意識する?

ITproの記事「「ビジネスパートナー選定時に情報セキュリティ対策を意識する」企業は7割超」 からです。

この記事によると、

この調査は,2009年2月11日~16日に,国内企業1755社を対象に,情報セキュリティシステムの導入実態などについて聞いたもの。その中で,「ビジネスパートナーを選定する際に,その企業の情報セキュリティ対策を意識しているか」という質問に対して,「非常に意識している」という回答が24.0%,「やや意識している」が48.8%となり,合計で72.8%を占めた。企業の情報セキュリティ対策への取り組みは,自社の内部統制ばかりでなく,外部の組織とビジネスを進めていくうえでも重要な条件になりつつあるようだ。

とのことなんですが・・・

さて、そうなるといかにして、パートナーの情報セキュリティ対策の評価をするかが重要になってくるのです。
相手の自己宣言?、認証(ISMS、プライバシーマークなど)の取得状況?、・・・
これらで十分でしょうか?

SCM(サプライチェーン管理)、SLA(サービスレベル合意契約)、セキュリティ監査、などが必要なはずなんですけど、なかなか普及しませんね。

投稿日時 2009年5月12日 (火) 00時02分 ニュース | | コメント (0) | トラックバック (0)

2009年5月11日 (月)

中古HDDの34%に機密情報が残る

ITmidiaの記事「中古HDDの34%に機密情報が残る」からです。

この結果は、eBayのオークションなどを通じて英国、米国、ドイツ、フランス、オーストラリアで購入した約300台のコンピュータのHDDを調査したものです。

 全体の34%に個人または企業を特定できる情報が記録されていた。具体的には銀行口座情報、医療記録、社外秘の事業計画、金融機関のデータ、暗証番号などが残っていたという。

 eBayで売られていたHDDには、米軍の地対空ミサイル発射手順に関する情報まで記録されていた。このHDDには同ミサイルシステムを設計したLockheed Martinのセキュリティポリシーや施設設計図、社員の個人情報も保存されていたという。

 フランスで購入したHDDからは在仏ドイツ大使館のネットワーク情報とセキュリティログ記録が見つかり、米国の銀行のHDDからは口座番号や他国の組織との取引などに関する情報が見つかった。

消去が適切な方法で実施されていない、というよりは本来は廃棄しなければならないものを売却しているケースが多いということでしょうね。

投稿日時 2009年5月11日 (月) 06時37分 ニュース | | コメント (0) | トラックバック (0)

2009年4月28日 (火)

GoogleのCAPTCHAを破る新ワーム

ITmediaの記事「GoogleのCAPTCHAを破る新ワームが現る」からです。

この記事によると、「CAPTCHAを破る新ワーム」とは

 感染したマシンで自動的にInternet Explorer(IE)を開いてGoogleのCAPTCHAを破り、Gmailの新規アカウントを登録してその情報を「clitcommander.110mb.com」というサイトに送り続ける。Gmail側に感染マシンからのアクセスを遮断されると、ワームはその時点で自らを消去する。
 しかし、このマシンのユーザーはアクセスを遮断されているため、以後Gmailアカウントの新規登録ができなくなる。

というものらしい。

「なお、このビデオは自動的に消滅する・・・」なんてセリフを思い出しました。
「やっぱり、ぐるぐる回す新手法(参考記事をご覧ください)でないとダメなのか、それもいつまで通用するのか」などとも考えてしまいました。

<参考記事・このブログ>
「CAPTCHAの新手法」

投稿日時 2009年4月28日 (火) 00時16分 ニュース | | コメント (0) | トラックバック (0)

2009年4月27日 (月)

タスポが“失敗”した理由

Yahoo!ニュースの記事「タスポが“失敗”した理由 普及進まず」からです。

タスポについては、導入当初から様々な意見がありましたが、その普及がいまだ33.7%にとどまっているとのこと。
さらに、未成年者の喫煙防止のために導入されたものの、中学生にたばこを販売した業者が摘発されたり、年齢をごまかしてコンビニエンスストアなどで購入というケースが多かったり、と多くの問題が起こっています。

(ネットの別のところでも議論になったのですが)そもそも、このタスポがたばこを購入するという「権限」のための「識別」と「認証」になっているのかどうか、ということを考えてみるべきだと思っています。そして、その運用が実質的にユーザー側とたばこを販売する側にゆだねられているということがどういうことなのかも考えてみるべきでしょう。

それを考えれば、合理的でも実効的でもないというのがわかりそうなものですが…

ちなみに、情報システムの認証でも同じようなケースはありますね。

投稿日時 2009年4月27日 (月) 07時19分 ニュース | | コメント (2) | トラックバック (0)

2009年4月23日 (木)

良心に反しても指示に従う

Yahoo!ニュースの記事「新入社員意識調査、「良心に反しても指示に従う」4割で過去最高」からです。

この記事によると、

「良心に反する手段でも指示通りの仕事をするか?」の設問は、07年から聴取しており【指示の通り行動する】人は、07年が37.2%、08年が37.5%と推移し、今年は前年を3.1%上回る40.6%だった。また、仕事に関して「法律に反しないことであれば、どんな方法をとっても問題はないと思うか?」の質問でも、【そう思う】と回答した人が22.2%で過去最高となった。

とのこと。

「良心」とか「倫理」とか、そのあたりには意識や理解が低いようで。
ただ、これは新入社員に限ったことではないような気がします。

その結果、組織ぐるみの不正行為なったり、ということにもつながってくるんでしょうね。
こうなると、「情報セキュリティ以前の問題」ってことになると思います。

その他には、以下のような結果も出ているようです。

1.担当したい仕事は「チームを組んで成果を分かち合える仕事」が過去最高(83.5%)
2.「今の会社に一生勤めようと思う」が昨年に比べ大幅に増加、過去最高(55.2%)
3.「良心に反する手段でも指示通りの仕事をする」が過去最高(40.6%)
4.「仕事を通じてかなえたい『夢』がある」が4年連続で増加、過去最高(71.6%)

ちょっと、意外な結果だった気がします。

<参考URL>
「第20回 2009年度 新入社員意識調査」~(財)日本生産性本部

※ 報告書は、こちら

投稿日時 2009年4月23日 (木) 00時09分 ニュース | | コメント (0) | トラックバック (0)

2009年4月22日 (水)

CAPTCHAの新手法

ITproの記事「この絵をぐるぐる回して下さい---Googleの3氏がCAPTCHAの新手法」
からです。

以前、何度か取り上げたCAPTCHA破りへの対応策です。
どのようにして、人間か否かを識別するかということですが、以下のような方法のようです。

 米GoogleのRich Gossweiler,Maryam Kamvar,Shumeet Balujaの3氏は米国時間2009年4月16日,Webサイトにアクセスしているのが人間かどうかを確認するための技術「CAPTCHA」の新しい手法を発表した。ランダムに回転した画像を正しい向きに直せるかどうかで,人間を識別するというものだ。

(中略)

 今回3氏が発表したのはこれに代わる新たな技術。物や風景などの画像をランダムに回転させて提示し,正しい向きに直してもらうことで,人間かどうかを判別する。このシステムに採用する画像は,Web検索で得られるような大量の画像になるという。

 ただし,どんな画像でもよいわけではない。例えば,人間の顔,青い空,文字などが写った画像は不正プログラムが向きを判別できる可能性があるので,自動的に採用の対象から除外するという。また,抽象的な画像や平面的な画像など,人間にも向きの判別が難しいタイプの画像もある。こうした画像を除外するために,ユーザーに複数の画像を回転してもらい,大勢の人間の回答が一致しないような画像を対象から外すという。

なるほど、考えましたね・・・
これなら、人間以外は破れない、ってことになるんでしょうか。

今後の情報にも注目したいです。

<参考記事・このブログ>
「変形文字「CAPTCHA」はもう無意味?」

「偽のブログも自動作成」

「CAPTCHA、もう限界か?」

投稿日時 2009年4月22日 (水) 00時24分 ニュース | | コメント (0) | トラックバック (0)

2009年4月21日 (火)

「人間工学に基づく設計戦略」

日経ITproの記事「セキュリティ人間工学と,バックオフィス詐欺防止テクニック」 からです。

まず、この記事の背景は以下のようなこと。

Web開発者が基本的にはユーザーを理解せずアプリケーション開発に従事している,ということである。特に,クライアント側での「保護」を強調するあまり,エンドユーザーに「セキュリティ」の責任を押しつけている。

(中略)

Web環境におけるこれら保護技術は万能の解決策ではなく,むしろWebアプリケーション自体のセキュリティ対策が不十分である。

そして、「セキュリティ人間工学」と題した講演を行そうで、その概要が以下の通りということです。

アプリケーションの高度化や高機能化が進んでいるせいで,セキュリティの脅威や攻撃手段はますます増えている。「必要なことはやった」としてユーザーにセキュリティの責任を押し付けるのではなく,こうした状況を改善するには何ができるだろうか。現状から前進するには,アプリケーションの設計/開発でセキュリティに関する人間工学を考慮する必要がある。

IT業界は,クライアント側に綿密なセキュリティ戦略を導入することで,セキュリティの責任を最終的なユーザーに押しつける傾向が強まっている。よく見てみると,これらセキュリティ保護策の多くはバックエンド・システムに移管可能だ。
移管すれば,改ざんやユーザー側での侵入の可能性が減るうえ,「フォールス・ポジティブ」(正当な行為を不正と誤判断すること)や「フォールス・ネガティイブ」(不正行為を正当と誤判断すること)に陥る可能性も少なくなる。企業の事業継続において,最大のリスクは自社のユーザーや顧客だ。企業はこの新たな脅威と向き合わざるを得ないため,人間工学に基づくアプリケーション設計戦略は今後ますます必要不可欠になるだろう。

うん、うん、その通りですね。
Webアプリケーションだけではなく、他のセキュリティ対策でも「エンドユーザーに「セキュリティ」の責任を押しつけている」というケースは多いですよね。
ということで、「人間工学に基づく設計戦略」は他でも必要不可欠だと思います。

投稿日時 2009年4月21日 (火) 00時13分 ニュース | | コメント (0) | トラックバック (0)

2009年4月18日 (土)

スパムのインパクト

ITmediaの記事「スパムが地球温暖化に与えるインパクトは?」からです。

この記事は、スパムメール送受信に伴う温室効果ガス排出量について試算(11カ国でスパムメールの作成、保存、閲覧、遮断のために使われる電力消費量を計算し、地球全体に与える影響を試算)した報告書を発表した、というものです。

この記事によると

 スパムメール1通当たりの二酸化炭素(CO2)排出量は平均0.3グラム。年間のスパム流通量に換算すると、車で地球を160万周するのと同じ排出量になるという。

 電力消費の80%近くは、ユーザーがスパムを削除して正規のメールを探し出す作業のために使われていたという。スパム対策フィルタを使えば、年間で135テラワット時の電力が節約でき、約1300万台の車を減らすのと同じ量のCO2が削減できるといい、スパムはサイバー犯罪につながるだけでなく、環境にも悪い影響を与えるとことが分かったと結論付けている。

とのこと。

情報セキュリティの影響や損失を考えるとき、今後はこういう要素も考えるべきなのかなぁ、と考えてしまいました。

投稿日時 2009年4月18日 (土) 00時27分 ニュース | | コメント (0) | トラックバック (0)

2009年4月17日 (金)

イベントレポート「THE SECURITY INSIGHT 2009」

COMPUTERWORLDに「THE SECURITY INSIGHT 2009レポート」が載りました。

去る3月17日に「THE SECURITY INSIGHT 2009」で「CIO/CISOの必要性-求められるものとそのキャリアパスへの考察」というセッションで登壇したのですが、そのときのレポートも掲載されています。

たくさん話したんですけど、記事になるとあっけないですね・・・(しかたないですけど)

それから、3月5日の「JASA情報セキュリティ人材育成セミナー2009 in Winter」のレポート
も出てました。
(こちらはイベントレポートが出るとは思ってませんでした)

そのうち、ここで他にどんなことを話したかなども書きたいと思います。

投稿日時 2009年4月17日 (金) 00時06分 ニュース | | コメント (0) | トラックバック (0)

2009年4月14日 (火)

ノートPCの持ち出し禁止問題

日経ITproで「ノートPCの持ち出し禁止問題を考える」という連載が始まりましたね。

ここでの「ノートPCの持ち出し禁止問題」とは「“いつでも、どこでも”利用するために生まれたノートPC。それが今、内部統制や情報漏洩対策の強化を理由に、持ち出しを禁止されたり制限されたりしている」ということです。

つまりこの方法は「リスク回避」であり、そのトレードオフとして何か失っているわけです。
それが組織にとって合理的判断なのか、まずそこを考えて欲しいものです。

これ以上の私の個人的な意見などは、この連載をもう少し見てから後日書きたいと思います。

といいながら、1つだけ感想を。
本当は、ノートPCだけでなく「情報の持ち出し禁止」を取り上げて欲しかったです。

投稿日時 2009年4月14日 (火) 00時09分 ニュース | | コメント (0) | トラックバック (0)

2009年4月13日 (月)

「CIOいらない」

@ITの記事「「CIOいらない」、経営者の6割強が回答」からです。

このデータは、JUAS(社団法人日本情報システム・ユーザー協会)の「企業IT動向調査2009」 からのものです。

この記事によると、

 IT部門が経営層から期待されている領域」としては、「ビジネスプロセスの変革」が約8割、その期待に答えている企業は約7割という結果が出た。ただ、大企業の8割がCIOまたはIT担当役員を設置していながら「CIO」という役職を明確に定義している企業はわずか14%にとどまった。

 その理由としては「経営者がCIOを必要としていない」とする大企業が実に65%を記録。今後のCIO設置希望についても「社内に適任がいれば設置したい」が39%、「社外に適任がいれば設置したい」「外部コンサルタントなどにCIOの役を担わせたい」とする回答は極めて少数であり、CIOという役職そのもの、またIT経営におけるCIOの重要性に対する認知度の低さが浮き彫りとなった。

という結果が出たようで。

この結果の背景としては、多くの企業では、IT経営よりもさらに先立つ問題があるから、というのもあるのでしょう。
しかし、経営の効率化、経済先進国、IT先進国への道は険しそうですね。

<参考資料>
「企業IT動向調査2009」 ~JUAS

投稿日時 2009年4月13日 (月) 00時17分 ニュース | | コメント (0) | トラックバック (0)

2009年4月 9日 (木)

セキュリティ・コスト削減「3つのキーワード」

COMPUTERWORLDの記事「セキュリティ・コストを削減に導く「3つのキーワード」」 からです。

「3つのキーワード」とは、
 ・統合
 ・SaaS
 ・セキュリティ・サービス
だそうです。

具体的には、以下の通り。

 「統合」とは、複数のセキュリティ機能を1つの機器に収めること、すなわちセキュリティ・ゲートウェイやUTM(統合セキュリティ管理)のことを指す。これまでばらばらに存在し、それぞれに運用コストが必要だったセキュリティ対策を、1つにまとめて管理性を高める。それが、「統合」の目指すところだ。

 2番目の「SaaS」は“Security as a Service”のことである。昨今注目されている“Software as a Service”のセキュリティ版ととらえると、わかりやすいだろう。SaaSのメリットは主に3つある。単体の機器などでは実現できないパフォーマンス、セキュリティ専門家の管理下にあるという安全性、そして直接管理する必要がないという管理効率である。

 最後の「セキュリティ・サービス」は、セキュリティ・ベンダーが提供するサービスをもっと活用しようという意味だ。例えば、前述した“脆弱性の解消”を実践するためには、どこに脆弱性が潜んでいるかを発見し、高度なセキュリティ知識と多くの人員を投入して、発見した脆弱性を解消する必要がある。また、セキュリティ対策で重要とされるPDCA(Plan-Do-Check-Act)サイクルを的確に回していくうえでも、ベンダーが有する知識は必須だ。高度なセキュリティ対策を適切なコストで施すための方策と考えていただきたい。

「統合」は「大きなトレードオフもあるよね」というところ。
「統合」というのは、単一障害点を作り出すことでもあるので・・・

「SaaS(Security as a Service)」は前回の記事で取り上げた「仮想化技術を利用したセキュリティソリューション」とともに、個人的に注目しているサービス(技術)です。

<関連記事>
「国内中堅・中小企業のIT予算、2009年度は約4割の企業で「減少」」~COMPUTERWORLD

投稿日時 2009年4月 9日 (木) 00時14分 ニュース | | コメント (0) | トラックバック (0)

2009年4月 8日 (水)

未来のセキュリティ技術

ZDNetの記事「シマンテック研究所が開発する、未来のセキュリティ技術」からです。

1つは「VIBES」という、仮想化技術を利用したセキュリティソリューション。もう1つは「DeepClean」という、ホワイトリストを作成するための技術、

の2つの技術が紹介されています。

まず、1つ目は・・・

 VIBESは、ユーザーのコンピュータ上にセキュリティレベルの異なる複数の仮想コンピュータ(VM)を設定し、ユーザーが利用しているアプリケーションやサービスに応じて、自動的にVMを切り替えるというものだ。

 例えばECサイトで商品を買うために個人情報を入力する場合は、「Trustedモード」と呼ばれるセキュリティレベルの高いVMに切り替わる。

Trustedモードではコンピュータが高い頻度でスキャンされ、不審なプログラムなどがインストールされている危険がないかを常に検査しているという。逆に、新しいソフトをインストールする場合などは「Playground」と呼ばれるVMに切り替わる。ここでは、万が一問題のあるプログラムをインストールしてもほかのデータやアプリケーションに影響が及ばないように、システム自体を切り出しているのだという。

続いて、2つ目は、

 DeepCleanは、世界中のユーザーがダウンロードしたソフトのデータを元に、安全なソフトウェアのリスト(ホワイトリスト)を作り上げる技術だ。

 (中略)

 具体的には、それぞれのソフトがどの開発元から配布されているかを見て、問題ない開発元であればソフトをホワイトリストに追加する。DeepCleanの導入企業は、それぞれのユーザーがどんなソフトをインストールしたかを管理画面で一覧できる。DeepCleanで集めた情報は、Symantecが企業向け製品の開発に利用するという。現在は実験段階で、米国、欧州、アジアの一部で試運用を始めているとのことだ。

どちらも面白そうな技術ですね。
これらの技術を現在のウイルス対策システムやフィルタリングシステムなどに、将来的には搭載してくるということでしょうか。
今後も注目したいと思います。(特に、仮想化技術を利用したセキュリティソリューションに)

投稿日時 2009年4月 8日 (水) 00時10分 ニュース | | コメント (2) | トラックバック (1)

2009年4月 7日 (火)

無料セキュリティソフト10選

CNET Japanの記事「無料でコンピュータの安全を守る、セキュリティソフト10選」
からです。

ここで紹介されているのは、以下の10製品。
※ (J)は、日本語版があるものです。

1.アンチウイルス:「AVG Anti-Virus Free Edition 8.5」(J)

2.スパイウエア・ボット対策:「Spybot-Search & Destroy」(J)

3.アンチウイルス:「avast! Home Edition」(J)

4.ファイアウォール:「ZoneAlarm Free Firewall」(J)

5.ファイアウォール:「Online Armor Free」(E)

6.ファイアウォール&アンチウイルス:「COMODO Internet Security」(E)

7.アンチウイルス:「Avira AntiVir Personal」(E)

8.スパイウエア対策:「Spyware Terminator」(E)

9.アンチウイルス:「PC Tools AntiVirus Free Edition」(J)

10.USBメモリ経由マルウェア対策:「Panda USBワクチン」(J)

「AVG Anti-Virus」や「ZoneAlarm Free Firewall」は、かなり有名な製品ですね。

実は、上記10製品を私ははすべて触ったことがありません。
いくつか試してみようかな・・・

投稿日時 2009年4月 7日 (火) 00時04分 ニュース | | コメント (0) | トラックバック (0)

2009年4月 5日 (日)

「Cloud Security Alliance」が近く発足

ZDNetの記事「Cloud Security Allianceが近く発足--クラウドのセキュリティ確保を目指す」からです。

これは、米国で3/31に設立が発表された業界団体で「クラウドコンピューティングのセキュリティを確保するために最適な方策の普及促進と、クラウドコンピューティングを利用してそれ以外の種類のコンピューティングを保護する方法を提示していく」ということです。
詳細は、4/21にサンフランシスコで「RSA Conference」にて発表されるようです。
今後の活動に注目したいと思います。

ところで、日本ではこのような業界団体や研究会などは立ち上がらないんでしょうか。

<参考URL>
「Cloud Security Alliance」

投稿日時 2009年4月 5日 (日) 00時10分 ニュース | | コメント (0) | トラックバック (0)

2009年4月 2日 (木)

世界規模のスパイ・ネットワーク「GhostNet」

日経ITproの記事「世界規模のスパイ・ネットワーク「GhostNet」,トロント大学らが報告」からです。

この記事によると、

 世界103カ国のパソコン計1295台以上がすでにGhostNetに取り込まれている。さらにその3割が外交機関や国際組織,報道メディア,非政府組織(NGO)といった,機密性の高い情報を扱うことの多い組織で使われているという。

 GhostNetはさまざまな機能を持っており,取り込んだパソコンを通じて政治的な機密情報にアクセスできる状態にあると同プロジェクトは指摘する。例えば,GhostNetに取り込まれたチベットのパソコンは,チベット仏教の最高指導者ダライ・ラマ14世の事務所から文書を取得可能な状態になっていたという。悪用されているパソコンは,中国からの攻撃により諜報ネットワークに組み込まれたと考えられる証拠もあるとしている。

とのこと。

機密性の高い情報を扱うPCを取り込んでいるというところに、個人的に興味深々です。
しかし・・・「ただし,このレポートでは攻撃の首謀者や動機についての明言を避けており,GhostNet用マルウエアがいかにして感染するかについても,明らかにしていない」とも書かれており、「肝心(知りたい)なのは、そっちなのに」とちょっと消化不良気味です。

投稿日時 2009年4月 2日 (木) 00時15分 ニュース | | コメント (0) | トラックバック (0)

2009年4月 1日 (水)

「国際情報セキュリティ調査2008」報告

CIO Onlineの記事「「国際情報セキュリティ調査2008」報告」からです。

なかなか興味深い調査報告ですね。
3/17の「THE SECURITY INSIGHT 2009、「CIO/CISOの必要性-求められるものとそのキャリアパスへの考察」というセッションをやったばかりなので、なおさら興味深いです。

この記事では、サマリーとして

結論から言えば、“企業の情報セキュリティ対策は、いまだに受動的で、能動的ではない”ということである。情報セキュリティの先進企業を目指すならば、監視ツールから得たデータを分析し、セキュリティ侵害の発生を予測・防止できるようにならなければならない

と書かれております。

つまり「やらされ情報セキュリティ対策」、かつ「対症療法的情報セキュリティ対策」にとどまっているということですね。

投稿日時 2009年4月 1日 (水) 00時05分 ニュース | | コメント (0) | トラックバック (0)

2009年3月30日 (月)

ファイルを勝手に暗号化して「人質」に

ITmediaの記事「ファイルを勝手に暗号化して人質に、有料ソフトの購入迫る」からです。

ファイルだから「人質」ではなく「モノ質」だけどね。
それはおいといて・・・

この記事によると、

  問題のマルウェア「Vundo」はユーザーのシステムに感染すると、PDF、Word、JPGなどのファイルを暗号化してしまい、暗号を解除するために有料プログラム「FileFix Pro 2009」を購入するよう迫る。ユーザーは、脅しの手に乗るのは馬鹿げていると分かっていても、ファイルを人質に取られている以上、言われた通りのソフトを購入するしか手がなくなるという。

 しかしFileFix Proを入手しても、復旧できるのは一部のファイルのみ。システムに感染したままのマルウェアによって、再び暗号化される悪循環に陥るという。このマルウェアがファイル共有サービスのLimeWireでMP3ファイルに見せかけて配布されているという情報もある。

というのが今回の手口らしい。

人間よりもモノのほうが「さらう」手間もリスクも少ないでしょう。要求できるお金も高いかもしれない、なんてことを考えてしまいました。

投稿日時 2009年3月30日 (月) 00時00分 ニュース | | コメント (0) | トラックバック (0)

2009年3月27日 (金)

CPUのSMM攻撃

ITmediaの記事「Intel製CPUのSMM攻撃、研究論文で手法公開」からです。

 セキュリティ研究を手掛けるInvisible Things Labは3月19日、Intel製CPUのキャッシュポイズニングを使ったシステムマネジメントモード(SMM)攻撃に関する論文を発表した。

 この攻撃ではSMMベースのマルウェアを簡単に作成し、Intel CPU搭載システムのSMMを制御することが可能になる。論文では、SMMの保護措置が簡単に回避できてしまうかを説明しているという。

 SANS Internet Storm Centerによれば、一部ではSMM rootkitがリリースされたとのうわさも出回ったが、そのような事実はないという。リリースされたコンセプト実証コード(PoC)は、「まったく無害なシェルコードだ」と、Invisible ThingsのCEOで著名なセキュリティ研究者のジョアンナ・ルトコウスカ氏は強調している。

ちなみに「SMM攻撃」というのは、この記事ではじめて知りました。
よく講習で「今後は(アプリケーション層、ネットワーク層だけでなく)物理層の攻撃も増えるだろう」と話しております。
その場合は、ケーブル結線に対する盗聴、サイドチャネル攻撃あたりの話なのですが・・・

この記事ですと、どの程度の脅威なのか読み取りにくいのですが、今後「SMM攻撃」は注目しておきたいと思います。

投稿日時 2009年3月27日 (金) 00時04分 ニュース | | コメント (2) | トラックバック (0)

2009年3月26日 (木)

「Safari」が約10秒で陥落

CNET Japanの記事「Pwn2Ownセキュリティカンファレンス開催--「Safari」が約10秒で陥落」からです。

2008年に「MacBook Air」を2分未満でハッキングして1万ドルの賞金を得たセキュリティ専門家が、「MacBook」を使用して今度は「Safari」に存在するセキュリティホールの攻撃に10秒ほどで成功し5000ドルの賞金を獲得した、とのことです。さらにこの際に使用したMacBookを手にしたとのこと。

この専門家は以前、2007年に「iPhone」が発売された直後に、Safariのモバイル版のセキュリティホールも発見しているそうです。

とにかく「秒殺」とは恐れ入りました。高度な技術を持つ専門家にかかれば、この程度の時間で十分だということなのですね。

このコンテストでは他に、ドイツのオルデンバーグ大学でコンピュータサイエンスを専攻する25歳の学生が、「IE 8」、「Safari」、「Firefox」におけるエクスプロイトを示し、1万5000ドルを獲得した。さらに、エクスプロイトを示すのに用いた「Sony Vaio」を与えられたそうです。

ということで、1つの脆弱性とそれを攻略するエクスプロイトごとに、5000ドルの賞金だったようです。
思ったよりは高額ではないような気もしますが、「秒殺」ということは「自給でいくら?」などとも考えてしまいました。

<関連記事>
「Pwn2Own 2009:Safari/MacBookが秒殺」~ZDNet

投稿日時 2009年3月26日 (木) 00時22分 ニュース | | コメント (0) | トラックバック (0)

2009年3月23日 (月)

ATMを狙うマルウェア

日経ITproの記事「ATMからカード情報を盗むウイルス出現、ただし感染させるのは困難」からです。

ATMで使われているプログラムがWindows上で動いているものが多いので、そのうち「あると思います」(天津木村風)だったのですが・・・

 ウイルスのプログラムを詳細に解析すると、いずれも、ATMで処理されるカード情報や暗証番号を盗むために作成されたことが判明した。ATMのOS上で実行されたウイルスは、別のウイルスを生成。このウイルスは、ATMに挿入されたカード情報や、キー入力された暗証番号などを記録する。

 このATMに、ある細工を施したカードを挿入すると、ウイルスはそれまでに記録したカード情報などを暗号化した上で、そのカードに書き込むという。この情報を悪用すれば、攻撃者はカードを偽造できる。

実際に、日本のATMでもけっこうWindows上で動いているものが多いですよね・・・
(一度、私が使っていたATMがフリーズして、Windows NT 4.0の画面が出てきたことがありました)

この記事では「ただし実際には、今回のウイルスを悪用することは難しいだろうという。ウイルスを感染させるには、ATMに物理的にアクセスする必要があるからだ」とされていますが、個人的には「そう言いきれるのかな?」と思っております。

<参考記事>
「ATMを狙うマルウェア、暗証番号を盗む仕組みを搭載」~ITmedia

投稿日時 2009年3月23日 (月) 00時05分 ニュース | | コメント (0) | トラックバック (0)

2009年3月18日 (水)

アクセス場所で見出しを変える偽ニュース

日経ITproの記事「「世田谷で爆発事故!?」アクセス場所で見出しを変える偽ニュース」 からです。

この記事によると、

 今回確認された手口も、偽のニュースメールでユーザーを誘導する。従来の手口と異なるのは、アクセスしたユーザーによってニュースの内容(見出し)を変えること。偽サイトでは、アクセスしたユーザーのIPアドレスから、おおよその場所を突き止め、その都市名を見出しに盛り込む。

 悪質サイトで表示される偽ニュースは「Powerful explosion burst in ○○○ this morning.(今朝、○○○で大爆発事故発生)」。この○○○部分が、アクセスした場所によって変わってくる。ソフォスの情報によれば、カナダのバンクーバーオフィスからアクセスした場合には「Vancouver(バンクーバー)」と表示されたが、別のオフィスからアクセスしたときにはオランダのアムステルダム(Amsterdam)が表示されたという。

というのが今回の手口です。

人間の心理を読み、Webの技術を使ってだます。
今後も、このような手口は次から次へと出てくるでしょうね。

<参考記事>
「「あなたの街で爆発」:ユーザーの居場所を突き止めるカスタマイズ攻撃が横行」~ITmedia

「「あなたの街で爆弾」,ユーザーの地名使った偽ニュースでマルウエア配布」~日経ITpro

投稿日時 2009年3月18日 (水) 00時05分 ニュース | | コメント (0) | トラックバック (0)

2009年3月16日 (月)

3割のユーザーは同じパスワードを使い回す

日経ITproの記事「3割のユーザーは同じパスワードを使い回す」からです。

これは英ソフォス社の調査による結果ですが、この記事によると、

「2~3のパスワードを使い回す」で48%を占めた。次いで、「どのWebサービスでも、同じパスワードを使う」が33%、「同じパスワードは使わない」が19%だった。

とのことでした。

個人的な感想としては、「困ったもんだ」というよりも「ほんとに19%もの人が、違うパスワードを使っているの?」という疑わしい気持ちでした。

さらにこの記事では、

3年前に実施した同様の調査では、「同じパスワードを使う」が41%、「同じパスワードは使わない」は14%だったので、状況はそれほど変わっていないという。

とのこと。

これを「ユーザーのセキュリティ意識が上がっていない」と考えるか、「人間の特性や能力上、この程度がそろそろ限界点では(別の認証手段が必要なのでは)?」と考えるか…
ユーザー教育や普及啓蒙の観点からは前者なんでしょうけど、コントロールの実効性の観点からは後者のような考え方も必要だと思っています。

投稿日時 2009年3月16日 (月) 00時09分 ニュース | | コメント (0) | トラックバック (0)

2009年3月13日 (金)

2009年度のIT予算、国内企業の62%で「減少」

COMPUTERWORLDの記事「2009年度のIT予算、国内企業の62%で「減少」」 からです。

もともと、IT投資マインドが低いのに、さらに投資抑制傾向が強まるのですね。

ですが、この記事では、

 IT予算の削減・保留対象となる製品についての質問では、前回調査ではPCを中心とするハードウェア分野が全般的に高い回答率となっていたが、今回の調査では、これに加えてソフトウェア分野、ITサービス分野でも回答率が高くなっている。そうしたなか、セキュリティやコンプライアンスといった、企業の危機管理にかかわる製品については、予算を削減することなく継続して投資する企業が多い。

とのことです。

ということは、セキュリティ製品や情報セキュリティプロフェッショナルは不況に強いのか?

(個人的な感想ですが)「強い」とは思いませんが、弱くはないと思ってます。
皆様はいかがでしょう?

<参考記事・このブログ>
「不況だから、当然セキュリティ・コストは削減される?」

「国内IT投資は堅調に推移、というけれど…」

投稿日時 2009年3月13日 (金) 00時11分 ニュース | | コメント (2) | トラックバック (0)

2009年3月11日 (水)

ボットネット運営者に4年の懲役刑

COMPUTERWORLDの記事「ボットネット運営者に4年の懲役刑」 からです。

この記事によると、

 ジョン・シーファー(John Schiefer)被告は3月4日、ハッキング、詐欺および盗聴容疑について有罪を認め、連邦裁判所から刑を言い渡された。被告は、連邦捜査局(FBI)がボットネット運営者を検挙するために実施した「Operation Bot Roast II」の網にかかり2007年に逮捕された。

 ボットネットを運営している人物が連邦盗聴法に基づいて起訴されたのは、この裁判が初めてとなる。本件でシーファーは、最長5年の懲役刑が科せられる可能性があった。

とのこと。

「ボットネットを作って、何の法律に抵触し何の罪にあたるのだろう」ということに個人的興味があったのですが、「連邦盗聴法」(あとは、詐欺)なのですね。

そして、この記事は最後に「検察によれば、シーファーは出所後、情報セキュリティ分野で職に就くことを希望しているという」という文で締めくくられています。「その通りに、どこかで雇用されちゃうんだろうな・・・」と、思ってしまいます。
こういう就活目的の売名行為が成り立つことも、サイバー犯罪の動機の排除の阻害要因だと思います。

投稿日時 2009年3月11日 (水) 00時12分 ニュース | | コメント (0) | トラックバック (0)

2009年3月 6日 (金)

不正アクセス、「動機は金銭」が8割以上

日経ITproの記事「2008年の不正アクセス検挙数は過去最多、「動機は金銭」が8割以上」からです。

この記事によると、

 不正アクセスに使ったパスワードなどの入手方法として最も多かったのは、「利用権者のパスワードの設定・管理の甘さにつけ込んだもの」が1368件。次いで、「識別符号を知り得る立場にあった元従業員や知人等によるもの」が163件、「フィッシングサイトにより入手したもの」が88件。2007年は、フィッシング詐欺によるものが1157件だったので、大幅に減少したことになる。

 不正アクセス行為で検挙された人物と、パスワードなどを悪用された人物の関係は、「元交際相手や元従業員等の顔見知り」が最も多く60名。次いで、「交友関係のない他人」は55名、「ネットワーク上のみの知り合い」が22名だった。

 不正アクセスの動機は、2007年と同様に「不正に金を得るため」が最多で1498件。次いで、「オンラインゲームで不正操作を行うため」が120件、「嫌がらせや仕返しのため」が52件、「好奇心を満たすため」が17件。

 不正アクセス後の行為としては、ネットオークションの不正操作(他人になりすましての出品など)が最多で1559件。次いで、オンラインゲームの不正操作が457件、Webページの改ざんや消去が152件、情報の不正入手(メールの盗み見など)が46件だった。

とのこと。

動機は金銭が8割以上、ということですが、個人的感想としては「もっと、多いんじゃないの」というところです。

とにかく「動機」の解明は重要ですね。
「動機」が排除できなければ、適切な「抑止」はできません。
それから、不正アクセスは「手段」であり、「目的」ではないからです。(なので、不正アクセス後の行為の「動機」も解明しないといけないはずなのですが・・・)

投稿日時 2009年3月 6日 (金) 00時04分 ニュース | | コメント (0) | トラックバック (0)

2009年2月28日 (土)

「セプターカウンシル(CEPTOAR-Couciel)」創設

日経ITproの記事「国家レベルで情報インフラの安全性強化目指す団体、産官で発足」からです。

この記事によると、

 政府と重要インフラ事業社各社は2009年2月26日、情報システムの障害を防ぐためにセキュリティ情報を分野横断で共有する任意団体「セプターカウンシル」を創設した。年1回の総会などで各分野ごとに蓄積した情報や対策事例を共有していくことで、サービスの停止や低下を防ぐ。日本で初めての試みであり、各分野で培ったノウハウや対策を共有する狙い。

 「セプター」とは重要インフラ10分野(情報通信、金融、航空、鉄道、電力、ガス、政府・行政、医療、水道、物流)の分野ごとに事業者が集まって情報セキュリティの情報共有や分析を行う集まりだ。事業範囲の広さを勘案して、情報通信分野は二つ、金融分野は四つのセプターに分かれており、合計で14のセプターがある。06年から2年をかけて整備が進んだ。

 今回、カウンシルは11のセプターで構成する。07年に整備された鉄道、医療、物流のセプターはオブザーバーとして参加する。

オブザーバーには経団連や日銀、監督官庁などが名を連ねており必要に応じて政府機関とも意見交換を行う。

とのこと。

整備からここまで、足掛け3年かかったということです。(計画からは、足掛け4年)
ようやく、発足したという感じですね。
今後、政府と重要インフラ事業社間での活発な情報共有がされることを期待したいともいます。

※注:セプター(CEPTOAR: Capability for Engineering of Protection, Technical Operation, Analysis and Response)

<参考資料>
「セプターカウンシルの創設について」~セプターカウンシル

投稿日時 2009年2月28日 (土) 00時13分 ニュース | | コメント (0) | トラックバック (0)

2009年2月26日 (木)

「退職社員の6割が社外秘情報を持ち出し」

ITmediaの記事「退職社員の6割が社外秘情報を持ち出し」からです。

この記事によると、

 持ち出した情報は電子メールアドレス一覧、従業員情報、顧客情報など。持ち出しの形態はCDまたはDVDへのコピーが53%、USBメモリへの保存が42%、自分の個人メールアカウントへの送信が38%を占めた。情報持ち出しを認めた従業員のうち61%は、勤務先に対して良い印象を持っていなかった。

 回答者の82%は、辞めるときに勤務先から書類や電子文書を検査されることはなかったと回答。辞めた後に会社のコンピュータシステムやネットワークにアクセスしたとの回答も24%に上った。

とのこと。

「辞めるときに勤務先から書類や電子文書を検査されることはなかった」が82%、「辞めた後に会社のコンピュータシステムやネットワークにアクセスした」が24%というのが、個人的にはインパクトが大きいです。

ところで、以前の記事(下記の<参考記事・このブログ>をご参照ください)では、情報の持ち出しについて、私はこんなことを書いてました。

適切なアクセスコントロール、そのモニタリングと監査(つまり適切かつ十分な「検出」)が必要です。
結局、「持ち出そう」という動機、「持ち出せる」という手段と機会、これらを排除できなければ、「抑止」などできん、ということです。

うん、その通り。(自分で自分の主張に納得して、どうする!?)
やはり、アクセスコントロール、モニタリングと監査ですね。

<参考記事・このブログ>
「明日解雇されるなら、機密情報を持ち出す」

投稿日時 2009年2月26日 (木) 00時15分 ニュース | | コメント (0) | トラックバック (0)

2009年2月21日 (土)

ソーシャル・エンジニアリングの起源

TECHWORLDの記事「ソーシャル・エンジニアリングの起源」からです。

TECHWORLDから、またソーシャル・エンジニアリング関連の記事です。
個人的には、うれしいかぎりです。

この記事によると、古代よりソーシャル・エンジニアリングチックなことは行われていたようですね。
まずは、ギリシャ神話のプロメテウスが出てきたりしています。

というよりも、ソーシャル・エンジニアリングとは人をだますことなので、昔からあってあたりまえでしょうし、現代の人をだます行為は環境や手段が変わっているだけに過ぎないわけですから。

この記事を読んで、やはり人間の持つ「人間性」は変えようがない、ということが確認できました。

投稿日時 2009年2月21日 (土) 00時05分 ニュース | | コメント (0) | トラックバック (0)

2009年2月19日 (木)

CAPTCHA、もう限界か?

ITmediaの記事「CAPTCHA破り対策も効果なし、Hotmailで繰り返される攻撃」からです。

CAPTCHAとは、この記事の言葉をそのまま借りると「相手が人間かどうかを見分けるために各種Webサイトが導入している変形文字」のこと。
スパマーなどが使うツールによるなりすましなどで、不正にアカウントを登録されたり乗っ取られたりを防ぐために導入されているものです。

しかし…

 Microsoftが悪用を防ごうとCAPTCHAに手を加えるたびに、スパマーはそれに対応する。CAPTCHAを破ってメールアカウントを登録し、大量にスパムメールなどを送ってユーザーのマシンをマルウェアに感染させ、情報を盗み出しているという。

 CAPTCHA破りの手口も高度化している。攻撃側はマルウェアに感染させた被害者のマシンからLive Hotmailサービスにアクセスし、スパマーが運営するボットサーバと暗号を使って交信しながらCAPTCHAを破ってアカウントを登録するプロセスを繰り返しているという。

CAPTCHAという技術は、もう限界なんでしょうか・・・

<関連記事>
「またも破られたマイクロソフトの画像認証、Live IDを不正取得される」~日経ITpro

「変形文字「CAPTCHA」はもう無意味?」~このブログ

投稿日時 2009年2月19日 (木) 00時08分 ニュース | | コメント (2) | トラックバック (0)

2009年2月18日 (水)

フィッシングサイトの多い国 日本は8位

nikkei BPnetの記事「フィッシングサイトの多い国 アメリカが1位、日本は8位」からです。

この調査は、米IBMの2009年2月2日のインターネットのセキュリティについての調査報告書「IBM Internet Security Systems X-Force 2008 Trend & Risk Report」(英文)によるものです。

この記事によると、

フィッシング詐欺サイトの多い国は、1位がアメリカで20.2%、2位はシンガポールで18.9%、3位は韓国で17.1%、日本は8位で、2.3%。

フィッシングメールの送信国(送信したメールサーバーの設置国)の1位はスペインで15.1%、2位はイタリアで14.0%、3位は韓国で10.8。日本は10以内には入っていない。

とのこと。

また、この記事では、以下のような仮説が立てられています。(今回の調査結果やフィッシング対策協議会への届け出結果などから)

(a)フィッシング犯は、他国の人を騙すためのフィッシングサイトを日本に設置している。
(b)日本はフィッシングサイトをチェックする対策が遅れている。あるいは、警察などの捜査が行き届いていない。

ということで、フィッシング送信者が少ないのと、フィッシングサイトの数が違うこと、つまり他国の攻撃者により、サイトが設置され利用されていることが確認できるデータだと思います。(そして、フィッシングの脅威や影響の度合いも、またこれらとは合わない)

投稿日時 2009年2月18日 (水) 00時06分 ニュース | | コメント (2) | トラックバック (0)

2009年2月17日 (火)

なぜ人はソーシャル・エンジニアリングにだまされるのか(5)

今回もTECHWORLDの記事「なぜ人はソーシャル・エンジニアリングにだまされるのか」からのつづきです。

今回は、人に対する教育についてです。

 2007年に米国連邦捜査局(FBI)が行った「CSI/FBI Computer Crime and Security Survey」(コンピュータ犯罪とセキュリティ調査)によると、「ソーシャル・エンジニアリングに対する社員教育の効果が確認できている」と答えたのは全体の13%に過ぎなかった。この13%という数字は低いように見えるが、この調査では、ソーシャル・エンジニアリングに関する教育をまったく行っていないという回答はなかった。

 ソーシャル・エンジニアリング対策としてまず行うべきことは、セキュリティ・ポリシーを構築し、ユーザーに対する教育を強化することだ。科学的な裏付けがあれば、ソーシャル・エンジニアリング対策の説得力も増す。社員研修の資料で、ソーシャル・エンジニアリングが悪用する認知的偏向を取り上げ、それを悪用した実例をビデオなどで見せれば、より効果的になるだろう。

 人の持つ“人間性”を変えることはできない。人は、感情と理性の両面を持ち、心理的な誤りを犯しがちな生き物である。これは当然のことかもしれないが、ソーシャル・エンジニアに悪用されると危険な状況を引き起こす可能性がある。攻撃から身を守るためには、ソーシャル・エンジニアリングの手口と特性をユーザーによく理解させることが重要だ。

「ソーシャル・エンジニアリングに対する社員教育の効果」ということでは、「効果が確認できている」が13%もあるというのは驚いていますし、信用してよいかどうか難しいと思っています。まずは、何を持って「効果」としているかです。それが単に理解度であるなら、ソーシャル・エンジニアリング対策の実効性はほとんどないからです。教育は、単なる「理解」ではほとんどの場合、効果がないと考えています。実際に判断や行動ができるようになること、それが目指すべき効果であると思うからです。
そのためにも、まずは「ソーシャル・エンジニアリングの手口と特性をユーザーによく理解させる」こと。そして、どうすればよいか考えさせ、適切な判断や行動ができるようにすること、それがソーシャル・エンジニアリング対策(に限らずですが)の教育のおるべき形ということです。

しかし、その教え方が難しいのですね。現在、トライ中です。(可能なら、近いうちここでご報告します)

投稿日時 2009年2月17日 (火) 05時59分 ニュース | | コメント (0) | トラックバック (0)

2009年2月16日 (月)

なぜ人はソーシャル・エンジニアリングにだまされるのか(4)

今回もTECHWORLDの記事「なぜ人はソーシャル・エンジニアリングにだまされるのか」からのつづきです。

 社会心理学では、自身を取り巻く環境について結論を出す際に使用する知識の枠組みのことを「スキーマ」と呼ぶ。例えば、わたしたちは子どものころ、「他人に親切にすることはよいことだ」と教えられる。今では、こうして教えられたことを基に、人へ親切を行おうとする。それがスキーマだ。
 悪名高いクラッカーであるケビン・ミトニック(Kevin Mitnick)氏によると、攻撃者たちはこの点をよく理解しており、「相手の信頼を最大限に利用しながら、疑いの余地がまったくない要求」を行うという。ソーシャル・エンジニアは、わたしたちの社会的スキーマを悪用しているのだ。

悪用される「社会的スキーマ」として、以下の3つが挙げらている。

基本的な帰属の誤り:わたしたちは、“他者の行動には当人の内面的な特性が反映されている”と考える傾向がある。つまり、誤った第一印象を持ちやすいということだ。そこでソーシャル・エンジニアは、好感度の高い第一印象を熱心に作り上げる。そのほかの攻撃者も、何かを画策したり、相手に何かをさせようとするときには、相手に好印象を与えようとする。被害者は、相手が演技をしていることも、目的を達成するために攻撃者が状況に応じて態度を変えることにも、まったく気付かない。

顕著性の効果:集団では、最も影響力の大きい人物、あるいは最も影響力の小さい人物に注目が集まるものである。ソーシャル・エンジニアは、周囲に溶け込む能力に長けており、自身に優位に働くように“顕著性の効果”を最大限に利用する。つまり、ビジネス・スーツを着こなして顧客を装ったり、作業服を着て作業員に成り済ましたりするのだ。竹馬に乗って曲芸師の真似をするようなことはしない。外見に限らず、ターゲットの社内で使われている専門用語を使ったり、イベントや従業員の情報に詳しくなったり、地方の方言を使ったりすることもある。
 例えば、カリフォルニア州のソーシャル・エンジニアが、ボストンにある企業Aに侵入しようとする。彼はまず、赤ん坊の生まれた社員やライバル会社に転職した元社員のことなと、その会社の従業員でなければ知り得ない情報を入手する。そして、受付でこの話題をボストンなまりで話し出し、情報機器の修理を行うために事務所に入る必要があると訴えるのだ。

協調、従順、服従:人は自身の振る舞いを変えることで、協調・従順・服従から来る圧力に対応している。ソーシャル・エンジニアリングの多くは、このような圧力に対する被害者の対応を予測する。
 ある女性が、取引先の重役に成り済まし、若い警備員に対して入館許可証がなくても社内に入れてくれるように頼んだとしよう。警備員に何か謝礼をしたり、脅しをかけたりするかもしれない。不慣れで圧力に弱い警備員であれば、これに応じてしまうこともあるだろう。

この「社会的スキーマ」から、「信頼」という「先入観」が生み出されているわけです。そのために、騙されているということに気がつかない。
このようなことに対応できるには「懐疑心」が必要と私は考えています。しかし、「懐疑心」を常に使うわけにはいかないですし、これを持って適切に使うこと自体が難しいのです。何より、「懐疑心」を持つことは、ある意味でこの「社会的スキーマ」という枠組みに矛盾していて、人間の思考や感情としては葛藤を起こすからです。

また、次回以降にこのつづきを書きます。(あと1回、たぶん)

投稿日時 2009年2月16日 (月) 05時53分 ニュース | | コメント (2) | トラックバック (0)

2009年2月13日 (金)

なぜ人はソーシャル・エンジニアリングにだまされるのか(3)

TECHWORLDの記事「なぜ人はソーシャル・エンジニアリングにだまされるのか」からのつづきです。

 ソーシャル・エンジニアは、感情以外のものを悪用することもある。それは、人が情報を処理するときの心理的な傾向─つまり、経験として得られている知識である。

 経験があまり当てにならないことは認識しておくべきだが、われわれは経験がなければ何もすることはできない。経験を持たず、物事に対してその都度対応しなければならないとすれば、生きていくのは容易ではない。心理学者であるロバート・チャルディーニ(Robert Cialdini)氏は、経験の必要性を次のように述べている。
われわれは、個人、出来事、たった1日の間に遭遇する状況でさえ、すべてを認識して分析することはできない。人は、そうする時間もエネルギーも、能力もない。その代わり、ステレオタイプ─つまり常識を使い、それらを幾つかの特徴的なグループに分類し、それらの動機要因を認識して無意識のうちに反応するのである。

 ソーシャル・エンジニアは、このような「被害者の無意識の反応」を引き出し、だます。その1つが心理的な誤り「認知的偏向」であり、この記事では以下の4つの例が挙げられています。

選択支持偏向:わたしたちは、過去に行った「選択」を覚えている。特に、ネガティブなものよりは、ポジティブな選択をよく記憶しているものだ。例えば、オンライン・ショッピングを利用する人が、口コミで特売情報を知り、商品を格安で購入できたことを覚えているとしよう。そこでソーシャル・エンジニアは、あたかも口コミ情報のようなスパム・メールを被害者に送り、不正なWebサイトに誘導してクレジット・カード番号を入力させる。

確認偏向:人は、自分の考えに合致する証拠を集めて、都合よく解釈しようとする。例えば、A社がオフィスのプリンタの保守契約をB社と結んだとしよう。B社の作業員は、全員グレーの長袖シャツを着用し、胸に名札を付けている。時間が経つにつれ、A社の社員は、B社の制服(グレーの長袖シャツと名札)を着用している人物を、すべてB社の作業員だと思い込むようになる。するとソーシャル・エンジニアは、B社の制服を盗み出したり偽装したりしてB社の作業員に成り済ませば、身分を疑われることなくA社に侵入できるようになる。

接触効果:人は、親近度によって物事や人物を判断する。天災や事故に関するニュースは、人の親近感につけ込むフィッシング詐欺サイトの格好の材料となる。つまり、話題の事件に関する情報が得られると称するフィッシング詐欺サイトに、疑いもせずに訪問してしまうのだ。

アンカリング:人は、何かを決断する際に、最初に触れたものに意識が集中してしまう傾向がある。例えば、銀行のWebサイトを偽装する不正なサイトは、銀行の本物のロゴを表示してユーザーをだまそうとする。ほかの個所をよく見れば、容易に偽装サイトと判断できるにもかかわらず、最初に目に付いたロゴによってだまされてしまうユーザーが少なくない。

ここでの重要なキーワードとして、「経験」「常識」「無意識」というものが挙げられると思います。
「経験」はあてにならない(特に「年数」)ことも多い。「常識」は昔のものや特定の狭い範囲のものは、ほとんど通用しない。
これらが「思考」を停止させ、「判断」や「行動」を誤らせる。そして「たった1日の間に遭遇する状況でさえ、すべてを認識して分析することはできない。人は、そうする時間もエネルギーも、能力もない」のも事実(人間としての能力的限界)です。
しかし、われわれはソーシャル・エンジニアリングにも対抗しなければならないのです。

また、次回以降にこのつづきを書きます。(あと2回くらい、かな)

投稿日時 2009年2月13日 (金) 00時07分 ニュース | | コメント (1) | トラックバック (0)

2009年2月12日 (木)

なぜ人はソーシャル・エンジニアリングにだまされるのか(2)

TECHWORLDの記事「なぜ人はソーシャル・エンジニアリングにだまされるのか」からのつづきです。

 感情は、脳内の小さな部分から生まれるものではない。感情は湧き出るものである。それはむしろ、皮質の前頭葉や側頭葉などの多くの部分が、入り組んだ相互作用の結果として生まれ出てくるのである。
 感情と論理的思考を司る脳の部分が、互いに反目する場合もある。これが理性と感情を分けることが難しい理由だ。これらの部分が衝突すると、感情が論理を圧倒してしまう。

 例えば、人が恐怖に対してどのように対処するかを考えてみよう。サイエンス・ライターであるSteven Johnson(スティーブン・ジョンソン)氏は、目前に迫る危険に対する人の反応を調べ、恐怖に対する反応を「瞬間的かつ精巧な生理学的機能の複合」であると指摘している。闘争・逃走反応とよく言われるが、この反応を見れば、脳と身体が意識とは独立して機能する自律システムであることがよくわかる。

 人は、以前に闘争・逃走反応を起こした状況に再び遭遇すると、感情的反応に支配される。このような反応が何の得もないと論理的に感じていても、感情的な反応をしてしまうのだ。
 悪徳政治家やスパイ、詐欺師などは、感情──特に恐怖に訴えることで感情的反応を引き出すことが有効な手段であることを知っている。ソーシャル・エンジニアも同様だ。

(中略)

 多くのソーシャル・エンジニアは、人の恐怖、好奇心、欲そして同情心につけ込む。これらは普遍的な感情であり、だれもが恐怖を抱いたり、興味を持ったり、貪欲になったり、同情的になったりするためである。

 もちろん、恐怖と好奇心が役に立つことも少なくない。燃えさかる家から逃げるのは当然のことであるし、好奇心は自分に目標を課したり、新しいことを学ぶのに役立つ。しかし、その反面、恐怖心や好奇心に駆られて危険な行動に出たり、好ましくない結果を引き起こしたりする。

(どこかの論理的思考の本のオビにも書いてあったような気がするが)論理的思考の最大の阻害要因は「感情」と「先入観(思い込み)」だとされています。これは私も同感しています。これらにより論理的思考(理性)が圧倒され、本来できるべき判断や取るべき行動もできなくなってしまう、ということですね。

そして、これらを巧みに操り、自分の意図するように相手の行動を誘導するのが、ソーシャル・エンジニアリングです。この記事にあるように「恐怖と好奇心が役に立つことも少なくない」わけで、これは人間が日常生活をする上で、重要な能力でもあるわけです。しかし、これ(感情)を時と場合によっては制御し、論理的思考(理性)を優先させて判断や行動をする…、ということはかなり困難なことです。

だから、騙されやすいし、不正も見抜けなくなる、そうなるのです。これは、まさに人間としての能力的限界でもあると思っています。

また、次回以降にこのつづきを書きます。

投稿日時 2009年2月12日 (木) 00時06分 ニュース | | コメント (0) | トラックバック (0)

2009年2月11日 (水)

なぜ人はソーシャル・エンジニアリングにだまされるのか(1)

TECHWORLDの記事「なぜ人はソーシャル・エンジニアリングにだまされるのか」

からです。

もう少し早く、この記事については取り上げようと思っていたのですが、何度か読み返しているうちに書くのが遅くなってしまいました。
このネタは何度かに分けて書いてみたいと思います。

まずは、今回はその1です。

この記事によると、「どのようなセキュリティ・システムも“人”が最大の弱点となる」とのこと。

 ある有名な情報セキュリティ理論では、「どのようなセキュリティ・システムでも、人が最大の弱点となる」と定義されている。

  サイバー攻撃が巧妙化するに従って、その防御策も進化しているが、人間の性質そのものは変わらない。攻撃者にしてみれば、総当たり攻撃で暗号化パスを解読したり、ソフトウェアの新しい脆弱性を発見したり、複雑なマルウェアを作成するよりも、ソーシャル・エンジニアリングの方がはるかに効果的で簡単なのだ。前述した事件の詐欺師は、トロイの木馬を顧客にインストールさせるだけで、堅牢な金庫室に侵入することなく大金を手にしている。

 人はだまされやすく、欲深で、好奇心の強い存在である。ソーシャル・エンジニアリングの手法は、このような人間の感情や理性を巧みに利用して、犠牲者からさまざまなものを詐取する。しかし、なぜ人はだまされてしまうのだろうか。

 著名なセキュリティ専門家であるブルース・ シュナイアー(Bruce Schneier)氏は、セキュリティ心理学には「行動経済学」「意思決定の心理」「リスクに対する心理」「神経科学」という4つの研究領域があり、これらを研究することでセキュリティに対する人の意識のズレを解明できるとしている。

「どのようなセキュリティ・システムも“人”が最大の弱点となる」という言葉は様々なところで何度も見ています。そのたびに考えてみるのですが、やはり「その通りだ」と言わざるを得ません。このようなことを考えるにあたっては「論理的かつ科学的アプローチが必要」と以前から考えていたのですが、そこに(さすが、ブルース・ シュナイアー氏)「セキュリティ心理学には「行動経済学」「意思決定の心理」「リスクに対する心理」「神経科学」という4つの研究領域」というこの記事を読み、納得し、共感し、感激してしまいました。「セキュリティ」と「人」というと、「性善説と性悪説」というような議論や記事ばかりで、私としては納得も共感もできていなかったからです。

次回以降では、この続きの記事を書いていきたいと思っております。

投稿日時 2009年2月11日 (水) 00時05分 ニュース | | コメント (0) | トラックバック (0)

2009年2月 8日 (日)

日本のCIO、データ保護は“内向き”志向

ITmediaの記事「データ保護は“内向き”志向、日本のCIO意識」からです。

 米国と英国、ドイツ、日本、中国、インド、ブラジル、ドバイで従業員500人以上の企業のCIO約800人を対象に、知的財産など重要情報の保管、移動、流出などの状況について尋ねたという調査でのものです。

この記事によると、

 重要情報を自国で保管しているという回答は平均で39%だったが、日本は97%だった。また、情報セキュリティ監査による外部からの指摘に対応する企業は平均で60%だったが、日本は25%だった。セキュリティ対策を実施する理由として、日本と英国の多数のCIOが「ネガティブな評判や世間体から会社を保護するため」としたのに対し、ほかの6カ国では「自社の利益や価値を保護するため」という回答が目立った。

とのこと。

「CIOの意識」というより、組織としてのITとセキュリティに対する投資のマインドやアプローチ自体が「内向き」だと思いますけどね。何とかせねば・・・

投稿日時 2009年2月 8日 (日) 00時10分 ニュース | | コメント (0) | トラックバック (0)

2009年2月 6日 (金)

やはり、特権管理が重要

日経ITproの記事「管理者権限の制限がセキュリティ向上に効果的」からです。

この記事によると、

 Microsoftが公表した深刻度「Critical(緊急)」のセキュリティ・ホールのうち92%は,ユーザーに管理者権限を与えなければ脅威の緩和が可能であると分かった。特定種類のセキュリティ・ホールをみると,遠隔コード実行に悪用可能なセキュリティ・ホールの87%がこの対策で緩和できそうだ。影響を受けるソフトウエア別だと,この対策は「Microsoft Office」「Internet Explorer(IE)」関連セキュリティ・ホールの4分の3以上,「Windows」関連セキュリティ・ホールの半数以上に効果がある。

 BeyondTrustのCEOであるJohn Moyer氏は「当社の調査から,こうした脅威の対抗手段として,管理者権限を制限することの重要性が浮き彫りになった。必要最低限の権限だけを与える,という簡単なセキュリティ戦略1つで実施可能な対策」と述べる。

だそうです。

講習などでも、特権管理の重要性、「最少特権の原則」などの話を私も頻繁にしますが、この調査データはその裏づけとなるものですね。

投稿日時 2009年2月 6日 (金) 00時03分 ニュース | | コメント (0) | トラックバック (0)

2009年2月 5日 (木)

現実と仮想の組み合わせ

日経ITproの記事「新手口!駐車違反の警告ビラでウイルスに感染させる」からです。

この手口は「駐車している乗用車に、駐車違反を警告する偽のビラを置く。ビラには、当局のサイトに見せかけた偽サイトのURLを記載。偽サイトにユーザーを誘導し、ウイルスをダウンロードおよび実行させようとする」というものです。具体的には、 

 
 ダウンロードされるのは、偽ソフトをインストールさせようとするウイルス。ここでの偽ソフトとは、大した機能を持たないにもかかわらず、ウイルス対策などの機能を備えていると偽って配布されるソフトのこと。インストールすると勝手に動き出して「ウイルスが見つかった」といった偽の警告を表示。駆除するには有料版が必要だとして購入サイトに誘導し、クレジットカード番号を入力させようとする。

 ダウンロードされたウイルスに感染すると、Internet Explorerの警告に見せかけた偽のダイアログを表示(図2)。「Antivirus 360」という偽ソフトの配布サイトへ誘導し、インストールするよう迫る。

偽サイトに誘導してからは、ありがちな手口ですが、ビラ(現実社会)と偽サイト(仮想社会)との組み合わせという手口は珍しいでしょう。今後はさらに巧妙な手口が出てくるかもしれません。

投稿日時 2009年2月 5日 (木) 07時42分 ニュース | | コメント (2) | トラックバック (0)

2009年2月 4日 (水)

フィッシングで盗んだデータの送信方法

日経ITproの記事「フィッシングで盗んだデータの送信方法」 からです。

この記事によると、フィッシングで盗んだデータの送信方法は、

 動的言語で作られたフィッシング・キットは,偽Webサイトをホスティングしているサーバー上にテキスト・ファイルを作り,そこに被害者から集めた情報を書き込む。情報をメールで外部に送信することも可能だ。なお,情報をメールで送信する場合は,フィッシング・キットに組み込まれた自前のPHPメール・エンジンを使う。これに対し,前述のWebフォームは,フィッシング・キットと無関係の外部メール送信「サービス」に頼っていた。

 集めた個人情報を送信する手段として,メールを使う方法は現在でも主流だ。状況によっては,サーバー上のテキスト・ファイルも利用される。ただし,テキスト・ファイル方式は,別の詐欺師や,標的であるはずの金融機関そのものといった他者にもデータを読まれかねない。これは,詐欺師にとってリスクであり,受け入れがたい欠点だろう。個人情報の送信にぜい弱なメール送信Webフォーム用プログラムを悪用する旧式の攻撃でさえ,いまだ現役である。

(中略)

 外部から自由に使用可能なメール送信Webフォーム用のCGIプログラムは見かけなくなってきたが,同じ目的に利用できるWebアプリケーションの各種ぜい弱性が存在する状況は変わっていない。これら新たなセキュリティ・ホールの悪用事例はまだないが,攻撃手段として実際に使われるのは時間の問題だと思う。

ということです。

思ったよりも攻撃側の技術が進んでいないように感じましたが、技術が進むのは時間の問題なんでしょうね。
それから、攻撃側のリスクを大きくすること、つまり「動機の排除」が「手段の排除」以上に(フィッシングに限らず)重要だと考えております。

投稿日時 2009年2月 4日 (水) 00時11分 ニュース | | コメント (0) | トラックバック (0)

2009年1月29日 (木)

ショートカットに感染、ダイアログを偽造するマルウェア

ITmediaの記事「密かに実行:ショートカットに感染するマルウェア出現」、ITproの記事「ダイアログ偽装の「USBウイルス」、「実行」を「表示」に見せかける」 からです。

まず、ショートカットに感染するマルウェアは、

  最近見つかったショートカットを悪用する手口には、複数のパターンがあるという。そのうちの1つは、マルウェアにリンクさせたショートカットファイルをデスクトップ上やスタートアップフォルダ内に作成する。「Spy-Agent.bw」というトロイの木馬の中には、この手口を使う亜種があるという。

 一方「Mokaksu」というウイルスは、デスクトップ上のすべてのショートカットファイルを書き換えて、マルウェアファイルにリンクさせてしまう。Adobe Readerへのショートカットに感染したケースでは、ショートカットをクリックするとAcrobat Readerと同時にMokaksuが起動するが、バックグラウンドで実行されるためユーザーには気付かれにくいという。

 マルウェアの実行ファイルではなく、スクリプトをショートカットに仕込む手口もある。「Downloader-BMF」というトロイの木馬は、ユーザーがショートカットをクリックするとFTPスクリプトを作成してFTPサーバからVBSスクリプトをダウンロードし、そのVBSスクリプトを使ってトロイの木馬ファイルをダウンロードしてくる。

次に、ダイアログを偽造するマルウェアは、

 今回のウイルスは、ダイアログの内容を偽装するという。設定ファイルの“工夫”により、本来は「Run [プログラムファイル名]」(日本語では「[プログラムファイル名]の実行」)と表示されるべきところを、「Open folder to view files」(日本語では「フォルダを開いてファイルを表示」)と表示させる。

 ユーザーが、フォルダーを開くつもりで、偽装された「Open folder to view files」をクリックすると、ウイルスが動き出す。この偽装にだまされないためには、「General options(全般のオプション)」の下の「Open folder to view files(フォルダを開いてファイルを表示)」をクリックするようにする。

 なお、現在確認されている偽装は、「Open folder to view files」と表示するものだけ。つまり、英語版Windowsのユーザーを狙うものに限られている。日本語版のWindowsでも、偽装メッセージは英語で表示されるので、だまされるユーザーは比較的少ないと考えられる。

ということです。

ショートカットやダイアログまで狙われてくるということで、ますます脅威は多様化、巧妙化、見えない化が進んでいるようで・・・

投稿日時 2009年1月29日 (木) 00時06分 ニュース | | コメント (0) | トラックバック (0)

2009年1月28日 (水)

「サイバー・セキュリティは優先事項」~オバマ政権

COMPUTERWORLDの記事「サイバー・セキュリティは優先事項」――オバマ政権が明言からです。

オバマ新大統領といえば「BlackBerry問題」で、かなり話題になってましたが「サイバー・セキュリティは優先事項」という方針、計画を打ち出したようです。

この記事によると、

 バラク・オバマ(Barack Obama)政権が、米国のコンピュータ・ネットワーク保護に向けた計画を発表した。それによると、同政権はサイバー・インフラを「戦略的資産」と位置付け、オバマ大統領直属のサイバー担当顧問を任命する予定だという。

 6項目からなる計画の概要は、国土安全保障に対する新政権の姿勢を示したアジェンダの一部として、米国時間1月21日に発表された。上記以外の項目には、次世代のセキュリティ機能をコンピュータに組み込む「安全なコンピュータの研究開発」や、「追跡できないインターネット支払いシステム」を取り締まりサイバー・スパイやサイバー犯罪と闘う計画などが挙がっている。

 さらに、オバマ政権は、データ漏洩の情報公開を企業に求めるための基準策定を目指す。この問題に関しては現在、各州の州法を部分的に適用して対処している状態だ。
 今回発表された計画は、オバマ大統領が2008年7月16日の選挙演説で初めてその概要に触れたサイバー・セキュリティ戦略を反映している。「サイバー・スパイや一般的なサイバー犯罪がすでに増加傾向にあることは、われわれも承知している。中国などはこうした変化をいち早く認識したが、米国はこの8年間消極的な姿勢を貫いてきた。私が大統領になれば、21世紀にふさわしく、サイバー・セキュリティを最優先事項とするつもりだ」――選挙演説の記録によると、オバマ大統領はこのように述べている。

サイバー・インフラは、国の「戦略的資産」という言葉が重たいですね。
国の「戦略的資産」と考えるなら、「サイバー・セキュリティは優先事項」は当然の方針ということになるでしょうね。

投稿日時 2009年1月28日 (水) 00時04分 ニュース | | コメント (0) | トラックバック (0)

2009年1月26日 (月)

スパム撲滅どころか…

ITmediaの記事「事態は悪質化:ゲイツ氏のスパム撲滅宣言から5年が経過」からです。

5年前にスパム撲滅宣言をしていたのですね。
「ビル・ゲイツ氏が「2年以内にスパムは過去のものになる」とスパム撲滅を宣言したのは2004年1月」とか。
記憶にありませんでした。

この記事にもあるとおり「スパムは絶滅どころか悪質化、巧妙化する一方」です。
よく「セキュリティの専門家は『万全』とか『大丈夫』なんて言葉は使ってはいけない」と言っているのですが「撲滅」や「絶滅」も使うべきではなさそうですね。

投稿日時 2009年1月26日 (月) 07時18分 ニュース | | コメント (0) | トラックバック (0)

2009年1月22日 (木)

SSL証明書が偽造されるリスクについて

日経ITproの記事「認証局のデジタル証明書が偽造されるリスクについて」からです。

認証局(CA)のSSL証明書を偽造するという今回の攻撃を調査した結果が出ています。
結論としては,「リスクの大きさは大して変わらなかった」ということらしいです。

記事によると、今回の攻撃に関する初期評価の結果は,以下の通り。

・この攻撃を作りだした研究調査チームは,非凡な才能と専門知識を持つ顔ぶれだが,それでも問題を突き止めるまで約4カ月かかった。そしてついに、MD5におけるコリジョン(衝突現象)を突き止めるに至ったのである。犯罪者たちの中に極めて高い技術を持つ者がいたとしても,この攻撃を摸倣するまでには時間がかかると思われる。

・研究チームは,一連の攻撃のためにあつらえたハードウエアとソフトウエアを使用。こうした攻撃システムを,米アマゾンの仮想マシン・ホスティング・サービス「Amazon Elastic Compute Cloud(EC2)」を1500~2万ドル分利用するのと比べることは,リンゴとオレンジのように全く異なるものを比較するのと同じで意味がない。また,犯罪者たちが「プレイステーション3(PS3)」ベースのクラスタを複製またはシミュレーションしたり,ボットネットなどに計算を肩代わりさせたりするにしても,時間がかかる。

攻撃を実行するには,予測可能な連続する認証番号を使っている認証局から,MD5で署名されたデジタル証明書をあらかじめ購入しておく必要がある。認証番号がバラバラだったり、MD5署名証明書を発行してもらえなかったりすれば、攻撃は実行不可能となる。米ベリサインの報告では,同社のすべての証明書に対して今回の攻撃が「無効となるよう手を打った」としている。その他の認証局も,攻撃リスクを減らすため迅速に対応する可能性が極めて高い。

・一部の証明書が既に攻撃されているという憶測は,憶測に過ぎない

攻撃が既に「実際に行われている」としたら,ネットワークへの侵入,あるいはネットワークを操作し,Man-in-the-Middle(介入者)攻撃を仕掛けている可能性がある。例えば,DNS/ARPポイズニング攻撃や無線LAN接続を横取りする「Evil Twin」攻撃などだ。これらの攻撃は,既存のツールで検出できる。

・ハッシュ関数は,非常に重要な技術でありながら,問題が多発している。我々の把握するところでは,MD5はこの12年間で廃れてしまった。ご存じのように、短期的にはMD5の後継になりうるとされていた別のハッシュ関数SHA-1も攻撃に対してぜい弱であることが明らかとなり、米国商務省の国立標準技術研究所(NIST)は,SHA-1によるデジタル署名を2010年以降使わないと宣言している。近い将来,MD5の時と同じ様な事態を目の当たりにするだろう。しかも残念ながら,現時点でSHA-1ほど広く採用/導入されているハッシュ関数は存在しない。

・今回の発表から24時間以内に寄せられた反応は,Webサイトの認証についてと,フィッシングに悪用される可能性といったものばかりだった。その他のSSL証明書やX.509証明書に対する影響の検証はこれからであり,警告が出される可能性はある。ただし,今回の攻撃によるリスクの大きさは,攻撃者が積極的に利用するかどうかにかかっている。攻撃の効率が高まり,簡単に使えるようになれば,新たに発見される脆弱性よりもリスクが高まりかねない。

それから、この記事の締めくくりにはこのような文章がありました。

 暗号技術の世界では,「Attacks only get better」(攻撃は必ず強力になっていく)が定説だ。今回の攻撃を実践的な形にしたもの,あるいは効率化したものが今後出てくることは間違いない。

「Attacks only get better」(攻撃は必ず強力になっていく)
確かに・・・

<このブログの関連記事>
「SSL証明書の偽造に成功」

投稿日時 2009年1月22日 (木) 00時26分 ニュース | | コメント (0) | トラックバック (1)

2009年1月21日 (水)

英国警察のサイバー犯罪取締部門、ロンドン五輪の準備

ZDnetの記事「英国警察のサイバー犯罪取締部門、ロンドン五輪の準備を語る」からです。

オリンピックの準備といえば、犯罪やテロについてされていることは多くの方がご存知のことでしょう。
それがサイバーなところでも、ここまで攻撃も準備も進んでいたのですね・・・

 英国の新しいサイバークライム取締り部門であるPolice Central E-Crime Unitは、ハッカーやオンライン犯罪から2012年のロンドン五輪を守るという任務を負い、企業パートナーとの間で、ITインフラの安全性確保に向けた話し合いを進めている。

 PCeUの立ち上げにも関わった、警視のCharlie McMurdie氏によれば、PCeUと業界パートナーは現在、五輪のネットワークインフラストラクチャにおけるあらゆる弱点を洗い出しているという。このインフラは、英国の94カ所の会場からの競技結果を処理し、1秒以内に全世界に中継する。

 McMurdie氏は、警察ではすでに、五輪の公式ウェブサイトと類似したアドレスをもつ詐欺サイトが現れており、人々から金銭や個人情報を盗もうとしていることを認識していると述べた。

 「われわれはすでに、五輪を悪用した不正なウェブサイトを認識しており、ハッキングやDDoS(分散サービス拒否)攻撃に関連した恐喝として、どのようなものが考えられるかを検討している」と同氏はロンドンで開催されたIT Directors Disaster Recovery and Availability Summitで、silicon.comに対し述べた。

 同氏は「これらの不正なサイトが、履歴書の提出を求めたり、五輪に向けたトレーニングのためと称して金銭を求めたりしている」と付け加える。

 北京五輪開催中に、Atos Originは1日あたり1200万件のセキュリティアラートを処理した。同社は2010年に開始される、ロンドン五輪のシステムの試験に20万時間以上を費やす予定

 「われわれは過去の五輪から、攻撃の数と規模を理解しており、五輪ごとに、攻撃が増加していることを知っている」と同氏は述べる。

 McMurdie氏は続けて、「われわれは、Atos Originやインターネットサービスプロバイダー、建築業界の人たちと、あらゆる脅威に関する情報を俯瞰できるようにするための話し合いをもっている」と言う。

投稿日時 2009年1月21日 (水) 00時13分 ニュース | | コメント (0) | トラックバック (0)

2009年1月20日 (火)

2009年に流行するインターネット犯罪

ITmediaの記事「金融危機に便用の手口に注意:2009年に流行するインターネット犯罪」からです。

この記事によると、

最も脅威となるのは個人情報を標的にする犯罪で、フィッシングやソーシャルネットワークキング、押し売り、ハッキングなどの手法を組み合わせて、個人の属性や財務などの情報を狙うという。盗んだ情報は闇市場での売買やなりすまし行為などに使われており、不必要な個人情報の共有、生年月日や住所などの情報を不必要に提供すべきではないとしている。

 犯罪者は、PDFやFlashなどに偽装した不正プログラムに感染させたり、正規サイトに似せたフィッシング詐欺サイトなどを使ったりして、個人情報を盗み出そうとする。また、こうした偽サイトへ誘導するために、「大金が当たります」といったユーザーにとって魅力的なメッセージで関心を引こうする。

 2008年後半からは、失業者や負債者を標的にした手口が急増しているほか、誇大広告や偽造チケット、ソーシャルネットワーキングサイトを使った詐欺行為も引き続き注意が必要だという。

とのこと。

フィッシングなどの詐欺行為を中心に、失業者や負債者を標的にした手口が急増ということですね。
とにかく、好景気でも不況でも、犯罪は増える・・・

<このブログの関連記事>
不況だから、当然セキュリティ・コストは削減される?

勝手に予測・2009年のセキュリティは?

投稿日時 2009年1月20日 (火) 00時19分 ニュース | | コメント (0) | トラックバック (0)

2009年1月18日 (日)

暗号アルゴリズムの確認制度を導入

ITmediaの記事「迅速な認定を:IPA、暗号アルゴリズムの確認制度を導入」からです。

 情報処理推進機構(IPA)は1月16日、暗号機能を搭載する製品に対する暗号アルゴリズムの実装確認を行う「暗号アルゴリズム確認制度」を導入した。確認書発行までの対応を強化する。

 同制度では、製品ベンダーなどの依頼に基づいて試験機関が実施した暗号アルゴリズムの実装確認の結果をIPAが審査し、確認書を発行する。試験機関では専用ツールを用いて1週間程度で正確性を確認できる。

 IPAでは、2007年4月から暗号モジュールおよび暗号アルゴリズムの試験と認証を行う「JCMVP」制度を導入しているが、実装試験から認証までには数カ月を要していた。このうち、確認制度を独立させることで迅速な対応が可能になるという。

 暗号アルゴリズム確認書発行手数料は、2万1000円となっている。

CC(ISO/IEC 15408)の評価制度に対して、(日本独自の制度として)ST確認・評価制度があります。
今回の「暗号アルゴリズム確認制度」とJCMVPは、それと同じような関係なのですね。

CC、ST、JCMVPと、これらの評価制度があまり普及していないのですが、これがそれを解消するきっかけになるのでしょうか。

<参考(プレス発表)>
暗号モジュール試験及び認証制度における「暗号アルゴリズム確認制度」の追加について

投稿日時 2009年1月18日 (日) 00時38分 ニュース | | コメント (0) | トラックバック (0)

2009年1月17日 (土)

仮想化のリスク

ITmediaの記事「サーバ仮想化のリスクとは」からです。

この記事によると、仮想化のリスクとその対応は、

 具体的なリスクとしては、物理ハードウェアと仮想マシン(VM)の間にあるハイパーバイザーが乗っ取られる「ハイパージャック」の可能性や、ファイルとして存在しているVMがマルウェアに感染する恐れがあることなどを挙げた。

 こうした攻撃を回避する手段としては、データベースのモニタリング、ネットワーク侵入検知、重要資産の防御強化といった措置があるといい、仮想ネットワークのセキュリティ計画では予防的措置を取ることが重要だと解説している。

とのこと。

ふむふむ、VMが狙われるということですね。
「アリだと思います」(天津木村風)

まぁ、そうなるでしょう・・・

明日(正確には今日)も仕事なんで、短いですが今日はこの辺で。オヤシュ(眞鍋かをり風)

投稿日時 2009年1月17日 (土) 00時19分 ニュース | | コメント (2) | トラックバック (0)

2009年1月16日 (金)

新たなる脅威「SPIT」

日経ITproの記事「SPIT――IP電話上でのスパム」 からです。

「SPIT(spam over internet telephony)」とは,IP電話上のスパムのことです。
言葉自体は2004年くらいから使われていたようですね。
※ ちなみに、インスタントメッセンジャー上のスパムは「SPIM」と言ったりします。

では、SPITではどのような攻撃があるのか、この記事によれば、

――毎日のように鳴り続ける電話の音。ワン切りもあれば鳴り続けるものもある。受話器をとれば違法サイトへのアクセスを促すメッセージ。それでなければ,振り込め詐欺の電話。とは言え,そのままにしておくと本当に必要な電話も取れないため受話器をとってそのまま切る。1件あたりの処理にかかる時間は少なくても,かかってくる件数が多いため,トータルでかなりの時間が浪費されてしまう――

というようなものが考えられるとのこと。

そして、

 SPIT発信者側から見ると,既存電話からIP電話への移行による発信コストの低下や,大量呼を発生させる機器の入手,操作の容易さなどを背景に,今後爆発的に広がるのではないかと考えられている。前述のRFC5039では,米国での価格の比較例ではあるが,T1回線(従来の電話)と500kビット/秒のDSL(IP電話)を比較した場合,DSLの方が1コールあたりのコストが最大で4万分の1になるとしている。IP電話の売りである低コストは,皮肉なことにスパム電話を発信する人間にとっても利点となっている。また,使用する機材については,SIP(session initiation protocol)を使う場合は,パソコンとフリーのソフトウエアで十分実行可能だ。

 一方,影響を受ける側から見た場合,SPITはIP電話ユーザーだけに閉じた問題ではない。IP電話ではない既存システムのユーザーの場合でも,同じ影響を受ける。SPITの発信側は,通話コスト面では大きなメリットはないが,自動化という面ではIP電話に対してのシカケと同じものが使用できる。このため,SPITの問題は,PSTN(加入電話)のユーザにとっても他人事ではない。

 さらに中継する事業者にとっては,こうしたSPITがDoS攻撃となり,サービス停止につながる可能性も考慮しておく必要がある。2002年に1時間に9万コールの“ワン切り”が原因でNTTの交換機がダウンする事例があった。最近はサービスを停止させるほどの大量発呼は少なくなったが(むしろ目立たないように間隔を開けて発信するなど巧妙化する傾向にある),いったん発生すると大きな社会問題になる可能性がある。

というような予測もされています。

電話に限らず、今後IPを使う技術は全て、このような攻撃や影響を受ける可能性を考えていかなければなりませんね。
これも、情報セキュリティですから・・・

投稿日時 2009年1月16日 (金) 11時46分 ニュース | | コメント (0) | トラックバック (0)

2009年1月14日 (水)

不況だから、当然セキュリティ・コストは削減される?

日経ITproの記事「セキュリティ・コスト削減?企業にとっては失うものも大きいはずだ」 からです。

これは、ブルース・シュナイアーさん(「暗号技術大全」「セキュリティはなぜ破られたのか」などの著者)のインタビューの記事です。

-セキュリティとコストについて教えてほしい。不況下ではセキュリティ・コストはまっさきに削られるだろう。そんな中,企業は何をどこまで守るべきなのか。

 セキュリティは時間,利便性,可用性を犠牲にして成り立つものだ。にもかかわらず,セキュリティの効果測定は非常に難しいという問題がある。そのため,短期的には,企業などでコストダウンの要求が高まって「リスクを背負っても構わないから,セキュリティ対策にかかるコストを削減しよう」という動きが出てくるかもしれない。しかし,企業はセキュリティ・コストを削減することで,信頼性など逆に失うものも大きい。

 それとは別に,一つ面白い動きがある。不況下では多くの企業が新しい機器を買えないことが多い。例えばサーバー・マシン,データベースやOSといったソフトウエアでも,古いものをそのまま使って,なかなか新規購入をしないのだ。そうすると古いものを稼働させるために,メンテナンス費用などを使うことになるのだが,ここにセキュリティ費用も含まれる。つまり,セキュリティは「新しいものを買う」よりも安価な代案になりえるのではないか。

-代案としてのセキュリティとは何か。物を買わないということは,教育やポリシーの強化になるのだろうか。

 実際にはさまざまなソリューションの組み合わせになるだろう。ただし,私はセキュリティ教育にはあまり意味がないと思う。人は「その行為の意味が明確に見えること」しかやろうとしないからだ。したがって,システムが自動的にソリューションを実行する仕組みの方が上手くいくだろう。

やはり「トレード・オフ」ということですね。「セキュリティ・コスト削減で何を失うのか、それを考えよう」ということになるのですが、「セキュリティの効果測定は非常に難しい」ということは、それを考えるのも難しいということになります。
あとは、セキュリティを「コスト」と考えるのか、「投資」と考えるのか、それによっても大きく変わってくると思います。
「投資」と考えるのも、「セキュリティの効果測定は非常に難しい」ということですから、難しいということになりますけど…

教育の件は、私も同感です。教育(特にユーザーに対する、意識改革・リテラシー教育)には大きな効果は期待できないと思います。この件は、いづれ別の機会に私の考えを書いてみたいと思います。

投稿日時 2009年1月14日 (水) 07時35分 ニュース | | コメント (2) | トラックバック (0)

2009年1月12日 (月)

「抑止機能」だと思っていたものが…

Yahoo!ニュースの記事「<窃盗>警備会社のステッカーは金持ち…コロンビア空き巣団」からです。

 警備会社のステッカーがある高級住宅を狙って空き巣を繰り返していたとして、警視庁捜査3課は9日、いずれもコロンビア国籍で無職の大阪市中央区日本橋1、アレナス・マタ・セサル(39)=窃盗罪で起訴▽東京都港区南青山1、カルダス・ボテロ・ソランジ(33)=盗品等有償処分あっせん罪で起訴=の2被告を窃盗容疑などで再逮捕したと発表した。

 再逮捕容疑は、セサル容疑者は昨年9月、横浜市青葉区の会社社長(59)宅に侵入し、現金20万円や腕時計7点(約1500万円相当)を盗んだ疑い。ソランジ容疑者は、このうち2点を計約100万円で港区の質店に売却した疑い。

 捜査3課によると、セサル容疑者は「警備会社のステッカーが張られた住宅は金があると思い狙った。警報が作動しても警備員らが到着するまでの約10分間で作業を終えた」と供述しているという。

 同課は07年9月からの約1年間に都内や神奈川県で約50件(被害総額約1億円)の空き巣を繰り返していたとみて追及している。(毎日新聞)

 つまり、警備会社のステッカーが「抑止」の機能をしていると防御する側は思っている。そして、多くの攻撃側には実際「抑止」の機能をした。しかし、すべての攻撃者に「抑止」を機能を果たしたわけではなかったということです。
 「抑止」とは、人間に働きかける機能です。そして、人間の受け取り方は感情や感覚に依存するものですから、まさに様々ということですね。人の感情や感覚は、相対的に測定・評価しにくいものです。だから、それに応じた対策も難しい…

投稿日時 2009年1月12日 (月) 00時18分 ニュース | | コメント (2) | トラックバック (0)

2009年1月10日 (土)

「セキュリティ情報RSSポータルシステム」公開

IPAのHP「セキュリティ情報RSSポータルシステムの公開~セキュリティに関する情報を幅広く利用者に提供~」からです。

「セキュリティ情報RSSポータルシステム」が公開されました

「セキュリティ情報RSSポータルシステム」

●特徴
インターネット上には、様々なWebサイトから多種多様な情報が発信されていますが、その中から必要な情報を検索、取捨選択することは容易ではありません。

 今回、IPAセキュリティセンターでは、インターネット上に発信されている様々な情報から、セキュリティに関する最新情報の存在するURLを収集し、データベース化することで、セキュリティに関する情報を利用しやすく提供するシステム、「セキュリティ情報RSSポータルシステム」を開発しました。 
 本システムは、IPAで事前に審査・検討した信頼度の高いサイトを対象にセキュリティに関するRSS情報を収集します。また、キーワードの入力による個別キーワード検索以外に、下記のセキュリティに関する情報検索が可能です。

1.関連するセキュリティキーワードからの情報参照
  政府、自治体などで広く使われている情報セキュリティ機能要件を参考にしたセキュリティ用語分類カテゴリに従い、情報を分類しました。本機能の使用により、類似のセキュリティキーワードに関する情報検索が容易になります。

2.注目度、話題性の高いセキュリティ情報の参照
  セキュリティに関するキーワードの出現時期、出現数等を時系列的に表示出来ますので、例えば特定のウイルスに関する時期的な注目状況などの傾向を知ることが可能です。

本システムによりセキュリティに関する最新情報を民間、公的機関、ニュースサイトなどから幅広く入手し一元的に管理することで、利用者は技術的な情報だけでなく、世の中のセキュリティに関する動向、最新の脆弱性情報などを確認する事が出来ます。

今後、更に多くのウェブサイトを登録することにより、利用者により幅広く有益な情報を提供できるよう、整備を行っていきます。

使い勝手等は、まだ実際に使ってないので何とも言えないため、コメントはまた後日。(たぶん…)

投稿日時 2009年1月10日 (土) 00時08分 おすすめサイト, ニュース | | コメント (4) | トラックバック (1)

2009年1月 9日 (金)

IT業界における有力資格10選

ZDNetの記事「IT業界における有力資格10選」からです。

セキュリティ関係では、以下の2つの資格が挙げられています。

#3:Security+
 セキュリティはいつの世においても重要なトピックである。こういった状況が変わることはない。いや、今後さらに重要性が増していくことになるはずだ。データの漏洩を発生させてしまうと、株主価値や顧客の信頼、売上をあっという間に失ってしまうことになるのだ。そして、自身に誇りを持っているIT技術者であれば、そのようなデータ漏洩の責任を取るような状況に身を置きたくはないはずである。

 CompTIAの「Security+」はベンダー中立の権威ある認定資格であり、セキュリティの基本に熟達しているということを証明したい(実務経験2年以上の)IT技術者をターゲットにしている。Security+の試験科目は1科目のみとなっているものの、顧客データやその他の機密情報を管理する立場にあるIT要員は少なくともこの資格を取得しておくべきだとする意見もある。IT要員がシステムのセキュリティやネットワーク、インフラ、アクセス制御、監査、企業のセキュリティ方針に関して適切な教育を受けていると保証することは、とても重要なことと言えるのである。

#9:CISSP
  Security+に関する説明(上記3番)でも触れたように、セキュリティの重要性はますます増してきている。企業の目標や製品、サービスにかかわらず、セキュリティは最優先事項なのである。

 「Certified Information Systems Security Professional」(CISSP)を実施している(ISC)2という組織はこの資格を、ベンダー中立の立派なセキュリティ資格に育て上げることに成功した。フルタイムで5年以上の実務経験を有するIT技術者をターゲットにしており、米国規格協会(American National Standards Institute:ANSI)の認証を受けているCISSPは、業務やネットワーク、機器のセキュリティに関するスキルに加えて、リスクを管理する能力や、セキュリティに関連したコンプライアンスやその他の事項に対する理解を証明する資格として国際的に認知されている。

ちなみに、全体では以下の10の資格が挙げられています。

#1:MCITP(マイクロソフト認定ITプロフェッショナル)~Microsoft
#2:MCTS(マイクロソフト認定テクノロジースペシャリスト)~Microsoft
#3:Security+ ~CompTIA
#4:MCPD(マイクロソフト認定プロフェッショナルデベロッパー)~Microsoft
#5:CCNA ~Cisco
#6:A+ ~CompTIA
#7:PMP ~PMI
#8:MCSE/MCSA(マイクロソフト認定システムエンジニア)(マイクロソフト認定システムアドミニストレータ)~Microsoft
#9:CISSP ~(ISC)2
#10:Linux+ ~CompTIA

日経ITproの「2009年版「いる資格、いらない資格」」と比較するとかなり違いますよね・・・

投稿日時 2009年1月 9日 (金) 00時09分 CISSP, その他のセキュリティ資格(CISSP以外), ニュース | | コメント (2) | トラックバック (0)

2009年1月 8日 (木)

SSL証明書の偽造に成功

日経ITproの記事「「SSL証明書の偽造」に研究者らが成功、計算には200台のPS3を使用」 からです。

この記事によると、以下のような内容で「SSL証明書の偽造」に成功したようです。

 米国やスイス、オランダなどのセキュリティ研究者7名は2008年12月30日、ドイツで開催されたセキュリティ関連の国際会議において、SSL通信に使用するデジタル証明書(SSL証明書)の偽造に成功したことを明らかにした。偽造に必要な計算には、ソニー・コンピュータエンタテインメントのゲーム機「プレイステーション3(PS3)」を200台組み合わせて利用したという。

<中略>

 通信の暗号化や認証を可能にするSSLでは、サーバーおよびクライアントの認証や暗号鍵の交換のために、デジタル証明書を利用する。通常、デジタル証明書は第三者の認証局(認証機関、CA)に発行してもらい、その認証局が発行したことを証明するデジタル署名を付与してもらう。デジタル署名が本物かどうかは、Webブラウザーがチェックする。

 今回問題になっているのは、このデジタル署名。デジタル証明書の内容によって、付与されるデジタル署名は異なるため、デジタル署名を検証すれば、特定の認証局が発行したことや、証明書の内容が改ざんされていないことが分かるとされている。

 しかしながら、MD5と呼ばれるアルゴリズム(ハッシュ関数)を使って作成されたデジタル署名については、同じデジタル署名が生成される、任意のデジタル証明書を現実的な時間内に作成できるとされていた。それを実証したのが、今回の発表だ。

 大手認証局が発行したデジタル証明書から、デジタル署名だけを抜き出して、同じデジタル署名が生成されるような証明書を作成。証明書には、悪質サイトを有名サイトに見せかけるような内容を記しておく。このとき、相当な計算量(コンピューターパワー)を必要とするため、今回の発表ではPS3を200台以上使用したという。

 Webブラウザーは、デジタル署名だけを見て、その証明書が大手認証局に発行されたものかどうかを検証する。このため、前述のような偽造証明書を本物だと認識し、ユーザーに警告を出すことなく、SSL通信を開始する。これを悪用すれば、フィッシング詐欺サイトのような悪質サイトを、大手認証局によって証明書を発行された有名サイトに見せかけることが可能となる。

 なお現時点では、現実的な時間内で偽造が可能なのは、MD5で署名されたデジタル証明書のみ。SHAを使っている場合には、影響を受けないとされている。研究者らが3万サイトを対象に調査したところ、およそ9000サイトがMD5で署名された証明書を使用。調査時点では、「RapidSSL」「FreeSSL」「TrustCenter」「RSA Data Security」「Thawte」「verisign.co.jp」といった認証局が、署名にMD5を使っていたという。

ということで、MD5のコリジョンの脆弱性を利用した方法のようです。
「SSL」というだけで、「セキュアな通信」という「思い込み」が常識化している・・・、そんな状況も多いように思います。

そもそも思い込みが危険であり、今までの常識が通用しないのが、サイバーな世界だと思っています。

<参考記事>
「SSL証明書の偽造に成功、ハッシュ関数の脆弱性を応用」~ITmedia

投稿日時 2009年1月 8日 (木) 00時10分 ニュース | | コメント (0) | トラックバック (1)

2009年1月 5日 (月)

今年もよろしくお願いいたします

本日より更新再開です。
今年も今まで通りのペースでこのブログは更新したいと思っておりますので、引き続きよろしくお願いいたします。

さて、そこで「今年は昨年まで以上に、いろんなことが起きるでしょうね・・・」なんてことを書こうと思っていたら、もう起きてましたね。

Winnyねたは個人的にはもうあまり興味がないのですが、今回は起こしてしまった人が立場的によろしくなかったようですね。
私物PCであったため、実害は少ないと思われますが・・・

<参考URL>
「IPA職員がファイル交換ソフトでウイルスに感染、写真など流出」~ImpressWatch

「IPA職員が情報流出 ― 私物パソコンでファイル交換ソフトを使用」~Yahoo!ニュース

「IPA職員の私物パソコンによる情報流出について」~IPA

投稿日時 2009年1月 5日 (月) 00時17分 ニュース, 日記・コラム・つぶやき | | コメント (4) | トラックバック (3)

2008年12月29日 (月)

「2008セキュリティ十大ニュース」発表

NRA(特定非営利活動法人ネットワークリスクマネジメント協会)のHPで「2008セキュリティ十大ニュース」が発表されていました。

===■2008セキュリティ十大ニュース■===

【第1位】11月4日  裏ビジネス化するサイバー攻撃~カネ目当ての犯罪が激増~
【第2位】6月11日  青少年ネット規制法が成立~割れ窓理論という規制強化のネット社会へ~
【第3位】11月13日 問われる認証制度の在り方~繰り返される「お客様情報流出に関するお詫び」~
【第4位】8月5日  日本でGoogleストリートビュー開始~新サービスがもたらす波紋の行方~
【第5位】8月    偽セキュリティソフトの氾濫~狙いはソフト売り上げにあらず~
【第6位】8月21日  総務省 地方公共団体ICT部門のBCPガイドライン公表~今にも必要な「その時」のための備え~
【第7位】10月20日 悪用される有名企業のWebサイト~崩れる信頼、歯止めはないのか~
【第8位】12月15日 情報漏えい いまだ尽きず~リスクにあったセキュリティ対策の必要性~
【第9位】12月1日  改正・迷惑メール対策法が施行~抑止力はどこまで高まったのか、対策の実効性に期待~
【第10位】3月12日  SQLインジェクション猛攻~絶えない悪と絶え間ない対策のせめぎ合い~

個人的は、第1位、第5位、第7位、第8位、第10位あたりに興味がありますね・・・

投稿日時 2008年12月29日 (月) 00時08分 ニュース | | コメント (2) | トラックバック (0)

2008年12月28日 (日)

マルウェアサイト誕生は4.5秒に1件

ITmediaの記事「Webの脅威が明確に:マルウェアサイト誕生は4.5秒に1件、Sophosが年間リポート」からです。

この記事によると、

 Sophos社の解析センターが検知した新規のマルウェア感染サイトは1日当たり約2万サイトで、4.5秒に1サイトのペースで増加していることが分かった。2007年は平均で14秒に1サイトだった。

 感染サイトの大半は、SQLインジェクション攻撃などによって不正な改ざんを受けた正規サイトで、アクセス数の多い著名なサイトや大手企業サイト、ニュースサイトなどが標的になっていた。また、マルウェアに感染しているとユーザーを脅して個人情報の搾取や金銭を脅し取る偽ウイルス対策ソフトウェアによる感染被害も拡大した。同社の観測では、1日当たり5種類登場し、多い日には20種類以上も登場した。

ということです。

特に「SQLインジェクション攻撃などによって不正な改ざんを受けた正規サイト」が増えています。
ますます「信頼できない正規サイト」が増えているということになります。

投稿日時 2008年12月28日 (日) 00時20分 ニュース | | コメント (0) | トラックバック (0)

2008年12月24日 (水)

このところ、攻撃増加中・・・

日経ITproの記事「悪質業者の「ネット遮断」で減った迷惑メールが増加、遮断前の8割に」「SQLインジェクション攻撃急増,「1日当たりに従来の1カ月分の攻撃を観測」」からです。

SPAM、SQLインジェクション攻撃が、この12月増加しているようです。
SPAMのほうは、ISP業者によって遮断されたボットネットを構築し直し送信を再開したようです。
SQLインジェクション攻撃のほうは、詳しい原因は今のところ不明。

「年末年始における注意喚起」なども既に出ていますが、このような呼びかけとは別に注意が必要でしょう。

投稿日時 2008年12月24日 (水) 07時18分 ニュース | | コメント (0) | トラックバック (0)

2008年12月18日 (木)

キーワードは「Webセキュリティ」「クラウド」「中間者攻撃」

日経ITproの記事「キーワードは「Webセキュリティ」「クラウド」「中間者攻撃」--CSI 2008にて」からです。

先日の記事「さて、来年はどうなることやら」の続きということになりそうですね。

特に今回は「Man-in-the-Middle(中間者)攻撃」に注目したいと思います。
(「Webセキュリティ」「クラウド」は、先日と重複していますので)

この記事によると「Man-in-the-Middle(中間者)攻撃は進化しており,手口が一段と攻撃目標に合わせてカスタマイズされ,攻撃の矛先はWebブラウザにシフトしている」とのことです。

今後のWebやPCの利用環境の変化(ユビキタス、クラウド・・・)を考えると「Man-in-the-Middle(中間者)攻撃」は大きな脅威であることは間違いないでしょうね。 (「Meet-in-the-Middle攻撃」と呼ばれる中間者攻撃も含めて)

投稿日時 2008年12月18日 (木) 07時54分 ニュース | | コメント (0) | トラックバック (0)

2008年12月17日 (水)

マルウェア検出手法、刷新へ

COMPUTERWORLDの記事「セキュリティ・ベンダー各社、来年は「マルウェア検出手法の刷新を図る」」からです。

マルウェアの急増に対して、シグネチャ・ベースの検出技術(定義ファイルによるパターン・マッチング)はもう限界、ということで、ベンダー各社が手法の刷新を図っていくということです。

この記事によると、(このまま、シグネチャ・ベースの検出技術を中心としていくと)「2015年には、マルウェアの増殖に追いつくためだけでも、1時間ごとに2万5,000件以上の新たなシグネチャが必要になる」とのこと。
今後は「ビヘイビア検出、ヒューリスティクス、評判分析、さらにはホワイト・リスト/ブラック・リストといった技術とのハイブリッド化が進む見込み」ということで、シグネチャ・ベースの検出技術よりもこれらの技術のウエイトが上がっていくようです。

多様化する攻撃に対抗するには、防御する側も多様化していかなければならない、ということですね・・・

投稿日時 2008年12月17日 (水) 05時57分 ニュース | | コメント (0) | トラックバック (0)

2008年12月15日 (月)

さて、来年はどうなることやら・・・

まだ来年の話は早いかもしれませんが、今後の情報セキュリティ動向を予想する上で重要な記事が2つほど・・・

●ITmediaの記事「犯罪者にも魅力的:2009年は「クラウド攻撃元年」に?」

クラウドサービスやWebアプリケーションを悪用した攻撃の発生、ブログやSNSの悪用増加などを見込んでいるようです。

●日経ITproの記事「2008年のウイルスは150万種類、たった1年で過去21年分の2倍」

2008年中に検出したウイルス(悪質なプログラム)はおよそ150万種類で、1987年から2007年までに検出した総数75万種類の2倍に該当するということです。そして、今後もこの傾向は続くと予想されています。

ということで、来年もがんばんなきゃ。

投稿日時 2008年12月15日 (月) 00時04分 ニュース | | コメント (2) | トラックバック (0)

2008年12月10日 (水)

「ウイルスの感染経路、過半数はWeb経由」

ITmediaの記事「ウイルスの感染経路、過半数はWeb経由」からです。

この記事によると、

 ワールドワイドでは、悪質なWebサイトへのアクセスや、迷惑メール中のリンクのクリックによる「インターネットからのダウンロード(Downloaded from the Internet)」が最多で、全体の53%。既に感染しているウイルスが、別のウイルスを生成(あるいはダウンロード)するケースが2番目で43%だった。

 そのほか、メール経由での感染は12%、USBメモリーなどの外部記憶メディア経由が10%など。なお、複数の感染方法(感染経路)を備えるウイルスが多数存在するため、数字の合計は100%以上になっている。

 同社は、地域別の集計データも公表。例えばアジア・オーストラリア地域では、「他のウイルスによる生成(Dropped by other malware)」が最も多く43.33%(図2)。次いで、「インターネットからのダウンロード」が41.67%。USBメモリーなどを経由した感染は15%で、ワールドワイドよりも高い割合を示した。

だそうです。

インターネットからのダウンロード(Downloaded from the Internet)、他のウイルスによる生成(Dropped by other malware)が圧倒的に多いということですね。ますます進んだ「脅威の見えない化」を裏付けるようなデータとなっている気がします。

投稿日時 2008年12月10日 (水) 00時11分 ニュース | | コメント (0) | トラックバック (0)

2008年12月 7日 (日)

DHCPサーバー機能を持ったマルウェアの続き

昨日のねたの続きです。
CISSP ホルダーにしてSF者であるいかちょーさんのブログに注目したい記事があります。

「本当にDHCPサーバからIPアドレスを取得しなければ、単にPCをつなぐだけならウイルスは拡散しないのか」ということ。

さぁ、みんなでよく考えよう!

よく考えなくても、答えは「No」かな・・・
いかちょーさんとネットの別のところでやりとりしたんですが、プロトコルやプログラムでできる可能性のあることを、「ありえない」なんて思い込んでいると、こういう脅威が想定できなくなるんじゃないかと思っています。

<参考記事・いかちょーさんのブログ>
「DHCP サーバから IP アドレスを取得しなければ、ウィルスは拡散しない?」

「情報処理技術者試験 平成20年度 秋期 「情報セキュリティアドミニストレータ」 午後問題 解答 発表」

投稿日時 2008年12月 7日 (日) 09時53分 ニュース, 日記・コラム・つぶやき | | コメント (0) | トラックバック (0)

2008年12月 6日 (土)

続・マルウェア、いろいろ

昨日の記事「マルウェア、いろいろ」のつづきです。

今度は、DHCPサーバー機能を持つウイルスだそうです。
ProxyサーバーやSMTPサーバー機能を持つものは、今まであったのですが・・・

<参考記事>
「DHCPサーバー機能を持つウイルス出現、非感染パソコンを悪質サイトに誘導」~日経ITpro

投稿日時 2008年12月 6日 (土) 07時12分 ニュース | | コメント (6) | トラックバック (2)

2008年12月 5日 (金)

マルウェア、いろいろ

McDonald'sとCoca-Colaのクリスマスキャンペーンと称し、割引クーポンや懸賞ゲームを装ってマルウェアに感染させようとするスパムメール。
Firefoxブラウザのプラグインを装ってインターネットバンキングのパスワードを盗み出す新手のトロイの木馬。
スキルのないユーザーでも、複数(約50種)の機能を備えた新種ウイルスを、短時間で作成できるようになっていたり・・・

手を変え品を変え、いろいろ出てきますね。
マルウェアだけではなく、ネットの「騙し」全般に言えることですけど。
「USBメモリ型ウイルス」の件も含め、まずは本質の理解ができるユーザー教育が必要ですね。

<参考記事>
「割引のはずがマルウェア感染:今度はマクドナルドの偽クーポン出現」~ITmedia

「銀行情報を盗む:Firefoxプラグインを装うマルウェア出現」~ITmedia

「「お好みの“機能”を選ぶだけ」、簡単操作のウイルス作成ツール出現」~日経ITpro

投稿日時 2008年12月 5日 (金) 19時09分 ニュース | | コメント (0) | トラックバック (0)

2008年12月 3日 (水)

「USBメモリ型ウイルス」と呼ばないで欲しい・・・

IPAセキュリティセンターのHP「コンピュータウイルス・不正アクセスの届出状況[11月分]について」から。

ここでの「今月の呼びかけ」「外部記憶メディアのセキュリティ対策を再確認しよう!― USB メモリ、便利のウラに落とし穴 ―」なのですが、そこで「USB メモリ型ウイルス」という表現を使っています。

メディアの記事でも同様に「USB メモリ型ウイルス」または「USBメモリウイルス」という名称で呼ばれております。
こういう呼び方は適切ではないので、ぜひ変えていただきたいと、以前から思っておりました。

何が悪用され、どういうことが起こるのか、その事実や本質というものがわからない、または誤解されるからです。
実際は自動実行機能(Autorun)が悪用されるわけですが、それがわからないのです。
これでは「USB メモリ」が原因であり、「悪者」に見えることでしょう。

「悪者」といえば、USBメモリは情報漏えいの元凶のように言われることも多く、それもその事実や本質というものがわからない、または誤解されることの典型例のように思います。

だいたい「技術」や「道具」を「悪者」扱いするのが、根本的な誤りなのです。
そうして、合理的・実効的な対策ができなくなっていくのです。

<参考記事>
「USBメモリウイルスが猛威、感染ペースが爆発的な勢いに~ITmedia

「自動実行機能を悪用したマルウエアが急増」~日経ITpro

投稿日時 2008年12月 3日 (水) 00時12分 ニュース | | コメント (2) | トラックバック (0)

2008年12月 2日 (火)

ボットネットの“アップグレード”が完了

ITproの記事「ネットの犯罪組織が活動再開、フィッシング詐欺が再び増加」からです。

この記事によると、

 RSAセキュリティの観測によれば、月間のフィッシング攻撃数は、2008年4月にここ最近のピークとなる1万5002件に達したものの、その後減少。2008年8月には、過去1年間で最低となる7099件まで減った。

 この原因として同社では、通常はフィッシング攻撃の過半数を仕掛けているRock Phishが、インフラ整備のために手を緩めているためだと推測した。

 Rock Phishは“正体不明”のオンライン犯罪組織。RSAセキュリティの観測によれば、Rock Phishはいくつかのボットネットをフィッシング詐欺のインフラとして利用。ボットネットに偽サイトを構築したり、ボットネットを使ってフィッシング目的の偽メール(フィッシングメール)を送信したりしている。

 だが、Rock Phishは2008年8月にインフラの整備を完了。さらに2008年9月以降は、ボットネットに加え、悪質なホスティング業者が提供するネットワークを使ってフィッシング攻撃を開始。それにより2008年9月以降は、フィッシング攻撃数が増加し、2008年8月以前の水準に“回復”しつつあるという。

とのことで、やはり推測は当たっていたようです。

<参考記事・このブログの過去記事>
「攻撃する側もメンテナンス」

投稿日時 2008年12月 2日 (火) 07時24分 ニュース | | コメント (0) | トラックバック (0)

2008年11月27日 (木)

最近のアンダーグラウンド市場の実態

2つの記事で紹介されていました。
大量に売買されているせいか、情報もツールも価格が下がっている気がします。
市場規模は拡大しているようですが・・・

●ITmediaの記事「Symantecのアンダーグラウンド報告書:盗んだ個人情報など2億7600万ドル――闇市場の売買実態」

 アンダーグラウンド市場ではフィッシング詐欺やデータベースへの不正アクセスといった手口で盗み出したクレジットカード番号、銀行口座情報、社会保障番号、電子メールアドレスやメールアカウントなどの個人情報が大量に売買されている。

 報告書では、2007年7月1日から2008年6月30日までの1年間に収集したデータを分析した。その結果、宣伝されている「商品」のうち最も多いのはクレジットカード情報で、全体の31%を占め、値段はカード1枚当たり10セント~25ドルだった。次いで銀行口座情報が20%を占め、口座1件当たりの値段は10~1000ドル。口座残高は平均4万ドルだった。

 このほか、攻撃用コードやフィッシング詐欺ツール、詐欺サイトホスティングといったサービスも盛んに宣伝され、攻撃コード開発者やフィッシング詐欺パートナーなどの人材募集もあるという。

●日経ITproの記事「「カード番号は10円から、アドレスは1MBで30円」売買される個人情報」

 カード情報の価格は、10セント(10円弱)から25ドル(およそ2400円)。まとめ売りされていることも多い。それらの利用限度額の平均は4000ドル(およそ39万円)以上。シマンテックの計算によれば、売りに出されていたカードの潜在的な価値の総額は53億ドル(およそ5141億円)に上るだろうとしている。

 カード情報の次に多かったのは銀行口座情報で、全体の20%を占めた。口座情報の価格は10ドルから1000ドル。残高の平均額はおよそ4万ドルだったという。

 アンダーグラウンド・エコノミー・サーバーでは、メールアドレスやフィッシング詐欺用のツールなども売買されている。メールアドレスは低価格で、アドレスを収めたリスト(ファイル)1Mバイト当たりわずか30セント(およそ29円)。詐欺用ツールの平均価格は10ドル以下だという。

投稿日時 2008年11月27日 (木) 00時46分 ニュース | | コメント (0) | トラックバック (0)

2008年11月20日 (木)

Man-in-the-Middle攻撃への対抗新技術

「ZTIC(Zone Trusted Information Channel)」というらしいです。

以下、日経ITproの記事「Webブラウザを狙う中間者攻撃の対抗手段「ZTIC」」より。

 ZTIC(Zone Trusted Information Channel)は特殊なUSBセキュリティ・デバイスで,銀行と顧客間の安全な通信(および認定プロセス)を実現するために設計された(関連記事)。特に,マルウエアの感染した顧客のパソコンに通信を仲介させないようになっている。

 オンライン・バンキング取引において,顧客用の認証プロセスとそれに続く認定プロセスの主要処理をWebブラウザに任せないようにすることで,銀行狙いのトロイの木馬(とそのMan-in-the-Browserプロキシ機能)による通信データの盗聴と改ざんを阻止する。さらにZTICの内部でSSL/TLSを処理して通信を暗号化し,秘密の通信が従来のMan-in-the-Middle攻撃でコピーされたり盗聴されたりしないようにする。

う~ん、わかったようでわからない・・・
とにかく、「ZTIC」というデバイスの仕組みがわからないと。(企業機密なんでしょうね)

「Man-in-the-Middle(中間者)攻撃」の中でも、Webブラウザを狙うものは「Man-in-the-Browser(Webブラウザを狙う中間者)攻撃」と呼ばれているようです。

<参考記事>
「IBM,オンライン・バンキング取引を安全に行うためのUSB機器を開発」~日経ITpro

投稿日時 2008年11月20日 (木) 00時04分 ニュース | | コメント (2) | トラックバック (0)

2008年11月19日 (水)

続・「ヘルプ」を悪用して攻撃

10月25日のこのブログの記事「「ヘルプ」を悪用して攻撃」の続きです。

YouTubeで、この攻撃デモが公開されています。(こちら)

他にも、いろんなデモがYouTubeに登録されるといいなぁ、と思いました。

<参考記事>
「Microsoftの「Help and Support Center Viewer」を悪用したWeb攻撃」~日経ITpro

投稿日時 2008年11月19日 (水) 07時03分 ニュース | | コメント (0) | トラックバック (0)

2008年11月14日 (金)

セキュリティルールは大切だが、便利さを優先

ITmediaの記事「セキュリティルールは大切だが、便利さを優先――Webやメールを使う社員の実態」からです。

 クリアスウィフトは11月12日、50人以上が所属する国内企業の社員1030人を対象に実施したセキュリティ実態調査の結果を発表した。社内ルールの重要性を認識しつつも、制限されたサービスを利用したがる傾向が分かった。

 企業がセキュリティルールで禁止しているサービスでは、「業務に関係しないサイトへのアクセス」(54%)が最多で、以下、「業務情報の書き込みやアップロード」(35%)、「個人情報の送付」(33%)、「Webメール」(26%)だった。職場での電子メールやWeb利用で問題視しているのは、「ウイルス感染」(98%)、「情報漏えい」(97%)、「フィッシング詐欺」(96%)だった。

 利用経験があるのは、「Webメール」(69%)、「掲示板(50%)、「ブログ」(41%)、「オンラインショッピング」(39%)、「ファイル転送サービス」(36%)。また、情報漏えいにつながる可能性のある利用形態では、「電子メールの私的利用」(64%)、「職場でのオンラインショッピング」(39%)、「業務内容を個人アドレスあてに送る」(37%)、「個人情報の送付」(18%)だった。

 回答者の意見では、「Webメールは欠かせない」「仕事のデータを個人アドレスへ送るのは便利」「休憩時間の自由にWebサイトを利用したい」「大容量データの転送サービスは便利」「ブログや掲示板は広告効果がある」といったものだった。

利便性を考慮しない対策というのは実効性が低いし、抜け道も作られやすいんですよね・・・
それに私的利用の禁止やその監視(モニタリング)よりも、実施すべきものが別にある、そういうケースも多いですよね。

以上、私の経験より。

投稿日時 2008年11月14日 (金) 00時05分 ニュース | | コメント (0) | トラックバック (0)

2008年11月13日 (木)

続・WPAも破られた?

日経ITproの記事「WPA1は簡単に破られ,NICも乗っ取られる」からです。

この記事は、「PacSecカンファレンス2008」のために来日した,同会議の主催者であるDragos Ruiu氏へのインタビューですが、それによると、

 低レイヤーを狙った攻撃についてカンファレンスで発表される論文の例を,2つ紹介しよう。1つは無線LANの暗号通信技術の1つであるWPA1(WPA-TKIP)を900秒以内に破れる,というもの。Erik Tews氏という学生の論文であり,一般向けには11月6日に発表したばかりのホットな話題だ。

 対策として今言えることは,WPA1ではなくWPA2(WPA-AES)を使うことと,ネゴシエート時に旧製品に合わせてWPAにダウングレードすることのないように設定することだ。もしWPA-TKIPを使い続けなければならないのであれば,データ暗号鍵を生成する際のベースとなるキーを120秒ごとに“Rekey”(変更)するべきである。

 もう1つの低レイヤーを狙った例は,スイスの研究者から寄せられたもので,NIC(ネットワーク・インタフェース・カード)に中継攻撃用のSSHサーバーを送り込んで稼働させてしまう,という攻撃だ。一般に,クライアント・マシン上で動作しているセキュリティ・ソフトは,CPUを用いて動作するプログラムの挙動しか監視しない。NICを狙うのは新しく効果的だ。

ということです。

もう少し詳しく知りたいですね。
引き続き、この話題は追っかけたいと思います。

<過去記事・このブログ>
「WPAも破られた?」

投稿日時 2008年11月13日 (木) 07時21分 ニュース | | コメント (0) | トラックバック (0)

2008年11月10日 (月)

「偽ソフト」もバージョンアップ

日経ITproの記事「「Windows Defenderと間違えないで」、偽ソフト「WinDefender」に新版」からです。

つまり、騙す側(「WinDefender」)も、「本家」(「Windows Defender」)のバージョンアップに追従していかないとならないわけです。
しかし、「malware(マルウエア)」と書くべきところを「mailware(メールウエア)」と誤記していたりします。(やっちまったな、おい・・・)
騙し続けるというのも、なかなか大変なものです。(だから、うそをつくのは嫌だし、面倒だと思っています)

「偽ソフト」の押し売りに関しては、IPAセキュリティセンターなどからも注意喚起(こちら)されていたりもしていますね。

<参考記事>
「「偽ソフト」の押し売りにご用心――IPAが警告」~日経ITpro

投稿日時 2008年11月10日 (月) 00時06分 ニュース | | コメント (0) | トラックバック (0)

2008年11月 8日 (土)

WPAも破られた?

ITmediaの記事「無線LAN暗号のWPA、部分クラッキングに成功」からです。

WEPの解読については、このブログでも何度か書いてきました(過去記事をご覧ください)が、今度はWPAです。

この記事は、SANS Internet Storm Centerのニュースサイトからによるものですが、それによると「研究者はWPAに使われているTKIP暗号鍵を破る方法を発見した。辞書攻撃でTKIP鍵を破る方法は以前から報告されていたが、今回は辞書攻撃ではなく、報道によればクラッキングにかかる時間も12~15分と大幅に短縮されたという」

ということで、まだ部分的に解読されたということですが、「無線LANのセキュリティをめぐっては、従来規格のWEPにさまざまな危険性が指摘されてきたが、今回の研究によってWPAの方がいいともいえない状況になってきたとSANSは指摘。今のところWPA2はまだクラッキングされていないため、WEPやWPAを使っている場合はWPA2に切り替えることを勧めている」とのことで、無線LANのセキュリティに大きなインパクトを与えそうなニュースです。

<参考記事(このブログの過去記事)>
「WEPは、いよいよ終わったか」

「WEPを1分足らずでクラック」

投稿日時 2008年11月 8日 (土) 08時42分 ニュース | | コメント (0) | トラックバック (0)

2008年10月31日 (金)

なぜ社員はセキュリティ・ポリシーを無視するのか

COMPUTER WORLDの記事「なぜ社員はセキュリティ・ポリシーを無視するのか」 からです。

タイトルを見た瞬間に「そりゃ、そうだろう」と中身も見ないで、なんとなく自分勝手に納得しました。

この記事では、セキュリティ・ポリシー無視の具体例として「例えばセキュリティ・ポリシーでWebメールの使用を禁止しているが、社内から米国Googleが提供する『Gmail』が使える環境だったとしよう。もし、大容量ファイルを送信しなければいけない状況が発生し、会社のメールで大容量ファイルが送信できなければ、わたしなら(禁止されていても)Gmailを使用するだろう」などという状況を挙げています。
これは「思い当たる」という人も多いと思います。

この記事でも「社員はしばしば、セキュリティ・ポリシーが生産性を低下させるものであると考えてしまう。そして、実際その通りであることも多い」「セキュリティ・ポリシーが業務の足かせになっている」というようなことが書かれていますが、それ以前に、多くの組織でセキュリティ・ポリシーが形骸になってしまっていて、それが認識されていない、または放置されているというのが、まずは根本的問題ではないかと考えています。

投稿日時 2008年10月31日 (金) 00時14分 ニュース | | コメント (0) | トラックバック (0)

2008年10月25日 (土)

「ヘルプ」を悪用して攻撃

ITmediaの記事「「Microsoftヘルプ」を悪用する新たな手口が発覚」からです。

これは「攻撃者がMicrosoftの正規アプリ「Help and Support Center Viewer」を利用し、被害者のシステムで直ちに悪質なコードを実行させる」という手口です。
さらに具体的には「まずファイル上書きの脆弱性を突く不正なWebページを作成し、ユーザーをおびき寄せる。ユーザーがこのページを閲覧すると、Help and Support CenterのHTMLファイルが上書きされ、不正動作を実行するスクリプトコードに書き換えられてしまう。続いて攻撃側は「window.location =hcp://system/sysinfo/sysinfomain.htm」などのwindow.locationメソッドを使い、被害者のブラウザをリダイレクトさせる。「hcp://」リンクを処理するHelp and Support Center Viewerで攻撃スクリプトを処理させ、悪質コードを実行させる」ということです。

その結果、「これまでの攻撃では、悪質なファイルをユーザーにダウンロードさせても直ちに実行させるのが難しかったが、攻撃側はその問題を解消した」ということになるわけですね。

投稿日時 2008年10月25日 (土) 00時07分 ニュース | | コメント (0) | トラックバック (0)

2008年10月24日 (金)

ボット専門店の価格表

TECH WORLDの記事「ボット専門店の価格表【ロシア】」からです。

この記事によると、ロシアのサイトで以下のようなボットを始めとするマルウェアの価格、様々な情報の価格のリストが出ているようです。

DDoS機能を備えたボットビルダー:250ドル
ボットビルダ:35ドル
ボット:25ドル
ダウンローダ(サイズ5KB~6KB):10ドル
フォームグラバー:350ドル
キーロガー:20~30ドル
Downloader-BW:60ドル

WebサイトとWeb掲示板への侵入:50ドル
mail.ruおよびyandex.ruのメールボックスへ侵入(保証付き):45ドル
トロイの木馬およびスパイウェアの大量展開:100ドル
スパムメール配信:70ドル

企業40万社ぶん:55ドル
個人180万人ぶん:100ドル
サンクトペテルブルクの企業9万社ぶん:30ドル
ウクライナ在住の個人45万人ぶん:50ドル
ロシア国内の個人600万人ぶん:150ドル
@mail.ruのメールアドレス400万件ぶん:200ドル

なるほど、サイバーな地下経済が少しわかったような気がします。

投稿日時 2008年10月24日 (金) 00時08分 ニュース | | コメント (0) | トラックバック (0)

2008年10月23日 (木)

キーボード打鍵時の電磁波で情報漏えい

INTERNET Watchの記事「キーボード打鍵時の電磁波で情報漏えい、スイスの研究者が実証」 からです。

この記事によると、スイスの研究者によって、「キーボードを叩く際に放射される電磁波を傍受することによって、情報が実際に漏えいすることが実験によって証明された」とのこと。

具体的には「キーを打つ際に電子部品からは微弱な電磁波が放射される。この電磁スペクトルを傍受・解析することにより、最大で20メートルの距離から、また隣室で壁によって隔てられていてもキーボードで打った文字を再現できることがわかった」らしいです。

ディスプレイからの電磁放射から情報を読み取れる、ということは以前から知られていましたが、キーボード打鍵時というのは初めてですね。

投稿日時 2008年10月23日 (木) 00時10分 ニュース | | コメント (0) | トラックバック (0)

2008年10月20日 (月)

「第4回IPA情報セキュリティ標語・ポスター」入選作品決定

IPAのHPで発表されています。

ちなみに標語の大賞は、
「相手は四角い箱じゃない。ネットの向こうの何億人」
という作品でした。

サイバーな世界は、目に見えているものだけではない、ということです。
それがわからないと、インターネットで起こること、脅威も見えない、想定できないということですね。

実はその引用として、昨日ある講習で話してきました。

投稿日時 2008年10月20日 (月) 07時42分 ニュース | | コメント (0) | トラックバック (0)

2008年10月17日 (金)

セキュリティ対策ソフトウェアの大半がエクスプロイトを満足に検知できない

TECHWORLDの記事「大半のセキュリティ対策ソフトはぜい弱性を突くプログラムを検知できない」からです。

この記事によると「10数種類のインターネットセキュリティスイートを用いて、ソフトウェアの脆弱性を突く攻撃をどの程度検知できるか、既知の脆弱性に対応する作業用のエクスプロイトを300種類作成し調査した」ということです。

その結果はというと「このテストで最もよい成績を収めたのは米国Symantecの製品だったが、それでも決して優秀とは言えなかった。同社の「Internet Security Suite 2009」は、300種類のエクスプロイトのうち64種類を検知した(検知率は21.33%)」となっています。

う~ん、最高で21.33%ですか・・・
以前の記事(下記の参考記事)にも書きましたが、パターンマッチング方式は限界に近づいているのかもしれません。

<参考記事>
「世の中に存在するプログラムの65%はウイルス」

投稿日時 2008年10月17日 (金) 00時15分 ニュース | | コメント (0) | トラックバック (0)

2008年10月16日 (木)

WEPは、いよいよ終わったか

Gigazineの記事「一瞬にして無線LANのWEPを解読する方法がついに登場、まもなく解読プログラムを公開予定」からです。

「CSS2008」において、神戸大学大学院の森井教授から、WEPを瞬時にして解読する方法が発表されたようです。

今まで発表されてきた解読方法は特殊な環境が必要なものでした。しかし、今回発表された方法は、以下のような環境で実現したものであり、大きなインパクトがあります。

OS:Windows XP SP2
CPU:Athlon 64 X2 4600+ 2.41GHz
メモリ:1GB
使用言語:C

この環境で「20MBの通信を盗聴、解読した時間はわずか10秒で、104bit WEP鍵を解読することに成功。つまり、通常のWEP無線LAN環境において、任意のIPパケットからWEP鍵を一瞬で導出できることを証明した」ということなのです・・・

さらに、PCI DSSではWEPの使用を禁止する旨の変更もありました。(下記、参考記事参照)

いよいよ、ついにWEPは終焉を迎えた気がします。

<参考記事>
「CSS2008において,WEPを一瞬にして解読する方法を提案しました」~「情報の世界」ブログ:森井個人ブログ (森井昌克 神戸大学大学院教授)

「WEPを一瞬で解読する方法...CSS2008で「WEPの現実的な解読法」を発表」~神戸大学 教養原論「情報の世界」講義(大学院工学研究科 森井昌克教授)

「WEPを禁止する新基準、クレジットカード業界が作成」~ITmedia

「WEPを1分足らずでクラック」

投稿日時 2008年10月16日 (木) 06時46分 ニュース | | コメント (0) | トラックバック (0)

2008年10月14日 (火)

ブルース・シュナイアー氏も物理学

さて、また物理学ねたです。
『暗号技術大全』、『暗号の機密とウソ』、『セキュリティはなぜやぶられたのか』
の著書で知られるブルース・シュナイアー氏は、実は物理学博士。

暗号というと、数学または情報工学というイメージが大きいでしょうし、実際に専門家のほとんどは数学博士だったりします。

物理学と情報セキュリティ、何か通じるところがあるのでしょう。それが何か、最近ひしひしと知りたいと思っています。それから専門外と思われるところから得られることも多いことも改めて思い知っている今日この頃です。

<参考記事など>
「Bloggers On Blogging: ブルース・シュナイアー」(Bloggers On Blogging: Bruce Schneier の日本語訳)

「CRYPTO-GRAM日本語版」


『セキュリティはなぜやぶられたのか』

投稿日時 2008年10月14日 (火) 07時04分 ニュース | | コメント (0) | トラックバック (0)

2008年10月 7日 (火)

「世の中に存在するプログラムの65%はウイルス」

日経ITproの記事「世の中に存在するプログラムの65%はウイルス」からです。

これが本当だとすると、この記事の通り、定義ファイルによるパターンマッチング方式はいよいよ限界なのでしょう。

そして、(以前に、このブログでも書いた通り)
世の中のメールのほとんど(8割以上)はスパム。
世の中のブログの4割はスパム。

そうなるとメールフィルタリング、URLフィルタリングも含め、様々なパターンマッチング方式は従来の技術からの転換期を迎えているのかもしれません。

<参考記事>
ブログの4割は「迷惑ブログ」

投稿日時 2008年10月 7日 (火) 00時05分 ニュース | | コメント (0) | トラックバック (0)

2008年10月 3日 (金)

ITセキュリティ予防接種

JPCERT/CCで「ITセキュリティ予防接種 実施協力企業の募集」をしています。

ところで「ITセキュリティ予防接種」とは・・・

 標的型攻撃を模した無害なメールと添付ファイルを複数の従業員に宛てて送信し、従業員のコンピューターセキュリティに関する意識と適切な対応方法の理解を促進させる訓練です。

ということです。

費用は無料。
非常に面白い試みですね。
何社くらい集まるでしょうか。

投稿日時 2008年10月 3日 (金) 00時41分 ニュース | | コメント (0) | トラックバック (0)

2008年10月 2日 (木)

第2回ISLAプログラム受賞者、発表

(ISC)2のニュースリリース「第2回ISLAプログラム受賞者を発表」からです。

(ISC)2は、昨年より始まったISLA(Information Security Leadership Achievements)を通して、アジア・パシフィック地域において、高度情報セキュリティ人材育成のための継続的な取り組むに大きな役割を果たし、情報セキュリティの向上と発展に貢献したセキュリティ・リーダーを顕彰しており、第2回目となる本年の審査では、以下3つのカテゴリーから日本人5名を含む15名が選ばれました。

ということで、15名中、日本勢が5名(1/3)です。
すばらしい!おめでとうございます!
ホルダーの数では、アジア・パシフィックでは日本より多い国(韓国、香港)もあるんですけどね。
来年以降も、継続的に日本から受賞者を出していきたいです。

実は日本以外の他国では、このISLAはもっと扱いが大きいらしいのですが…(授賞式もTV局が来たり、とか)

ちなみに、私は昨年の第1回の受賞者であります。(恥ずかしながら)

<参考記事>
ISLA~(ISC)2

「(ISC)2 ISLAを受賞しました」~このブログの過去記事

投稿日時 2008年10月 2日 (木) 00時08分 ニュース | | コメント (0) | トラックバック (0)

2008年9月30日 (火)

新たな攻撃「クリックジャッキング」

ITmediaの記事「「クリック乗っ取り」の脅威が出現、主要なブラウザに影響か」からです。

この記事によると「クリックジャッキング」とは、

クリックジャッキング攻撃では、ユーザーがWebページ上でほとんど気付かないリンクやボタンなどをクリックさせられる恐れがある。つまり、ユーザーは自分が見ているWebページのコンテンツをクリックしたつもりでも、実際には別のページのコンテンツをクリックさせられている可能性があるという。

ということのようです。

CERT/CCなどで報告されているのですが、詳細は未公表。
今後の情報を待ちたいと思いますが、かなりインパクトの強い脅威です。

<関連記事>
「「クリックを乗っ取る」攻撃が報告、ほとんどのブラウザーに影響」~日経ITpro

投稿日時 2008年9月30日 (火) 00時09分 ニュース | | コメント (0) | トラックバック (0)

2008年9月29日 (月)

攻撃する側もメンテナンス

日経ITproの記事「フィッシング詐欺が半減、原因は犯罪組織「Rock Phish」のインフラ整備」からです。

RSAセキュリティの観測によると、2008年8月のフィッシング詐欺が、ここ最近では「記録的な少なさ」とのこと。
その原因は、「オンライン犯罪組織「Rock Phish」が、攻撃用のインフラ(ボットネット)をアップグレードしている最中であるため」と推測している。

つまり、攻撃する側もメンテナンスをしているということ。メンテナンスが終われば、いつも通りに攻撃は行われ、今まで以上にフィッシング詐欺が記録される、ということになるのでしょう。

投稿日時 2008年9月29日 (月) 07時06分 ニュース | | コメント (0) | トラックバック (0)

2008年9月19日 (金)

社会保険庁、年金記録改ざん問題で

また「不正」に関わる話です。やはり、これも情報セキュリティに通じる問題だと思っています。

新聞やニュースで、約69,000件の厚生年金のデータが改ざんされている疑いがあることが報道されています。
まだ未調査のデータも多く、この約69,000件も「氷山の一角」である可能性が高いようですので、これから出てくるものもあるのでしょうけど。
ここで私が深刻だと思うのは、改ざんの主体が社会保険庁職員であり、さらに組織的関与があったと認められていることです。
つまり「特権」を持つものが、日常的に共謀していたということです。
人間もデータも信頼できないわけですから、このシステム全体が信頼できないことになります。

そうなると、改ざんされていない時点のデータに遡り、そこから記録の復元…、ということが急務になりますが、それも困難を極めているようです。
まずは、どこからが改ざんされていない時点のデータなのかがわからない、ということです。どこから改ざんが始まったのかが特定できなければ、もちろん、これは究明できません。そして、社会保険庁職員が口を閉ざし、事実が隠ぺいされている可能性が高いことです。

外添厚生労働大臣は「関わったことがわかった職員は、全員解雇する」と繰り返しており、これがこのような状況にさらに拍車をかけているようです。最優先の問題は真相の究明であり、職員の処罰ではないと思うのですが・・・(というより、真相を究明しなければ、職員の処罰も適切にも十分にもならないと思います)

投稿日時 2008年9月19日 (金) 06時16分 ニュース | | コメント (2) | トラックバック (0)

2008年9月17日 (水)

悪質なFlashリダイレクタ

日経ITproの記事「悪質なFlashリダイレクタ」からです。

この記事によると、以下のような手口のようです。

悪人は,Flashアプリケーションを作り,無料Webホスティング・サービスを使って配布用Webサイトを開設し,スパム・メールでそのサイトのURLをばらまく。このURLは直接Flashアプリケーション(SWF形式のファイル)を指すことが多く,クリックしたユーザーを自動的に別の場所へ誘導する。悪人から見ると,Flashアプリケーション内のコンテンツは読むことが困難で,さらにJavaScriptと同じく難読化できる点がメリットとなる。そのため,リアルタイムに解析することが難しい。

私が読んだ印象では「悪質」というより「巧妙」という感じがしました。
JavaScriptは警戒しているけど、Flashはあまり…、という人が多いと思います。
でも、JavaScriptと同様の脅威であるということですね。

投稿日時 2008年9月17日 (水) 21時15分 ニュース | | コメント (0) | トラックバック (0)

2008年9月12日 (金)

IP電話への攻撃多発

日経ITproの記事「IP電話に無言電話が着信する現象が多発,原因はインターネット上からの不正攻撃」からです。

このような攻撃があることはすでに知られていましたが、いよいよ顕在化してきたということですね。
IP電話に限らず、近い将来IPベースで使用される機器(家電も含め)は、すべて攻撃の対象になりうるということです。

投稿日時 2008年9月12日 (金) 00時15分 ニュース | | コメント (0) | トラックバック (1)

2008年9月 5日 (金)

「心当たりのないメール」と言われても…

日経ITproの記事「ワンクリック詐欺の相談が「1カ月で545件」に、「過去最多」を更新中」からです。

「振り込め詐欺」もですが、「ワンクリック詐欺」も減少するどころか、増加しているということです。

今月のIPAのサイトでも、引き続き以下のような呼びかけがされています。

「心当たりのないメールは、興味本位で開かずにすぐ捨てよう!」
― 迷惑メールから始まる様々な被害が増えています ―

こういう呼びかけを見るたび、思うことは「心当たりのないメール」と言われて、見ているほうは理解できてるの?ということです。それに、実際にメールを開いた人の多くはこのような呼びかけを知っていたか、またはリスクがあることも知っていたということもデータとしてあったりします。

それから、IPAのサイトでは以下のような「迷惑メールの見分け方」も公開されています。

●迷惑メールの見分け方
 迷惑メールなど、注意が必要なメールはその性質などにより概ね4つの種類に分類されます。以下に4種類それぞれの主な特徴を挙げます。このような特徴を持つメールを見つけたら、本文を開いて見ることをせず、すぐに削除してください。

(a) 無差別広告などのメール
 ・同じところから繰り返し送られてくるメール

(b) 差出人はいろいろ変わっているが本文が同じ内容のメール
 ・差出人は異なっているが、同じ件名で本文が同じ内容のメール
 ・差出人も件名も異なるが本文が同じ内容のメール

(c) 差出人が見知らぬ人で、内容にも覚えがないメール
 ・自分のアドレスを登録した覚えのないところから来る広告などのメール
 ・懸賞に当選したなどの件名で届くメール

(d) 差出人は知り合いであるが、件名が妙なものや普段と何か違うと感じられるメール
 ・普段日本語でしかやりとりをしていない人から届いた本文が外国語のメール
 ・普段添付ファイルを送ってこない人から届いた添付ファイルありのメール

内容にケチをつけるわけではありませんが、呼びかけ(啓蒙、注意喚起)の仕方もそろそろ工夫が必要な気がします。

このブログの最近の記事「セキュリティ教育、ユーザーを脅かすだけでは逆効果」を読んでいただければ、その理由もお分かりいただけると思います。

投稿日時 2008年9月 5日 (金) 00時07分 ニュース | | コメント (0) | トラックバック (0)

2008年9月 3日 (水)

ICT人材不足の要因

@ITの記事「IT人材不足の要因は「産業構造」「育成環境」「育成機会」」からです。

これは、去る8/29の「CompTIA Breakaway Japan2008」での総務省・平林氏の基調講演からですね。
(「CompTIA Breakaway Japan2008」では、私もパネルディスカッションで登壇しましたが)

さて、この記事によると「ICT人材の現状は「50万人ほど不足している。特に、高度ICT人材の不足数は約35万人」だという。高度ICT人材は技術系(プロジェクトマネージャ、上級システム設計・開発など)とマネジメント系(CIO、CTO、システム企画など)に分かれるとし、特にマネジメント系の不足が著しい」とのこと。

そして、その人材不足の要因は「産業構造」「育成環境」「育成機会」であり、具体的には以下の通りとのことです。

■産業構造 
●ICT企業
・国内企業からのオーダーメイド型の受託開発中心
・人月単価主義
・分化・分業が不十分
・多重下請け構造
・オフショア化の進展

●ICT利用企業など
・新たな付加価値を創造するようなICT利活用が不十分
・人材の質的な不足による、ICT投資の高コスト化

■人材の活躍の場(人材育成環境)
●ICT企業
・長時間労働の慢性化などにより、人材育成のための時間確保が不十分
・OJT、OFF-JT機会の減少
・能力に応じた適正な処遇が不十分
・キャリアパスが不明確

●ICT利用企業など
・マネジメント層のICT部門、ICT人材への理解・評価が不十分
・ICT部門の子会社化などにより、企業内人材の不足および質の維持が困難

■人材の育成の場(人材育成機会)
●中等教育まで
・ICTの社会的意義・魅力・ICTリテラシーの習得が不十分
・ソフトスキル(コミュニケーション能力など)の不足

●高等教育機関
・産業界側のニーズとのミスマッチ(実務上必要なICTに関する基礎知識・スキルなどの習得が不十分)
・研究重視の風潮
・産業界出身の人材受け入れ体制が不十分

●研修事業者
・地方・中小事業者における講師の不足

つまり、ここでの結論としては、主にインフラと機会の問題、ということですね。
おおよそ、その通りと思います。

人材不足というと(ここでもそうですが)、まずは「量」、次に「質」の問題だとされているんですが、それ以外に「ミスマッチ」という問題もあるはずなのです。
それから「産業構造」というよりは「社会構造」の問題ではないか、と思っていますけど…
また、本来は「ICT人材」という切り口ではなく「社会に必要な人材のうち、ICTに関連する人材」という切り口であるべき、とも思っています。

投稿日時 2008年9月 3日 (水) 00時16分 ニュース | | コメント (0) | トラックバック (0)

2008年9月 2日 (火)

セキュリティ教育、ユーザーを脅かすだけでは逆効果

日経ITproの記事「セキュリティ教育、オオカミ少年になってませんか? 「ユーザーを脅かすだけでは逆効果」と米の専門家が警告」からです。

つまり、「情報セキュリティ対策をしないと、こんな影響や被害が…」という教育はもちろん効果があるが、それを続けると「オオカミ少年(嘘をつく子ども)の寓話(ぐうわ)と同じように、ユーザーは信用しなくなって、耳を貸さなくなる」というものです。
さらに「回避策や緩和策を示さずに、危険性だけを強調すると、ユーザーはどうしたらよいのか分からなくなる。その結果、ユーザーは話を聞かなくなるか、自分には関係のない話だと思い込もうとする」ということです。

そうならないためには、以下の2つが重要だとされています。

事実のみ話すこと、ユーザーから求められたら、話が本当であることを実証できるようにしておくこと。
脅威を回避あるいは軽減(緩和)する方法を分かりやすく説明すること。

うん、同感ですね…
私も「「脅迫」と「べから