Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

在宅勤務時のデータ侵害コスト

テレワーク(在宅勤務)時のデータ侵害のコストは、そうでない時よりも100万ドル(1億円)以上高いとの調査データが出ていました。

www.theregister.com

このレポートは、世界中の500を超える組織からの「実際のデータ侵害」と呼ばれるものに基づいており、サイバーインシデントの平均コストは現在、過去最高の424万ドルであることがわかりました。

しかし、アナリストが在宅勤務を行っている組織を調べたところ、データ漏えいの平均総コストは平均を上回っており、500万ドルに過ぎないことがわかりました。

 

元ソース

Cost of a Data Breach Report 2021 IBM)

 

キタきつねの所感

薄々「そうではないかな」と思っていた事が、IBMの調査データに出ていました。

IBMが全世界500以上のインシデント事例を分析した結果、データ侵害インシデントの平均損害額が4.24百万ドル(約4.6億円)であるのに対し、テレワーク時での平均は100万ドル以上高い事が判明しました。

f:id:foxcafelate:20210730093556p:plain

テレワーク等で企業の持つ情報資産が拡散し、境界が曖昧になる中、1人1人の従業員が(会社の規則に従って)しっかりセキュリティ対策をした上でテレワークを実施している”であろう”という性善説ベースの考え方がいかに危険かは、このインシデント被害額の”差”にはっきりと表れている気がします。

 

IBMの調査データでは、2020年~2021年は平均損害コストが10%以上増えているとも分析しており、この中にはテレワーク環境の脆弱性を突かれた(あるいは従業員のミスによる)損害額が含まれているものと思われます。

f:id:foxcafelate:20210730093635p:plain

続きを読む

「No More Ransom」の価値は1,300億円

ランサムウェア対策をリードしてきた「No More Ransom」プロジェクトが5周年を迎えてサイトがリニューアルされました。

japan.zdnet.com

ランサムウェア対策を手掛ける「No More Ransom」プロジェクトが提供する無料の復号ツールにより、ランサムウェア犯罪グループに10億ユーロ(約1300億円)以上の身代金が支払われるのを防ぐことができた

 このプロジェクトは2016年に、欧州刑事警察機構(ユーロポール)、オランダ国家警察KasperskyMcAfee(当時はIntel Security)が立ち上げた。現在、法執行機関、サイバーセキュリティー企業、学術機関など、170のパートナーが参加するまでに成長している。

 No More Ransomのポータルでは、ランサムウェアの復号ツール121種類を無料で提供しており、151種類のランサムウェアファミリーに対応している。これまでに、無料で暗号化されたファイルの復号を手助けした人は600万人を超えた。これらのランサムウェア被害者は、身代金を脅し取ろうとするサイバー犯罪者の要求に屈しないで済んだ。

 

元ソース

No More Ransom(日本語有)

 

キタきつねの所感

何年か前にKasperskyの記事でこの「No More Ransom」サイトを知りました。このプロジェクトが無かったら、ランサムウェアのブラックビジネス化は更に早く進行し、日本でも今以上に大きなランサム被害を受けていたかも知れません。

 

以前のサイトは以下の様なトップ画面で、お世辞にも洗練された感じはありませんでしたが、ランサム暗号化被害を受け、結果として「このページにたどり着いた」方は、日本人でも相当数いたのではないかと思います。

このサイトの何より凄いのが、ランサムの復号ツールがこのサイトに公開されている場合があるという事です。

※全てのランサムの復号ツールがあるという訳ではありません。

 

f:id:foxcafelate:20210729050122p:plain

 

ランサム攻撃者に身代金(ランサム)を渡す事は、犯罪者のビジネスを助ける事でもあります。ランサム被害を受けた方(企業)の中には、様々な事情によって身代金を支払う事を選択する事を考える方もいるかと思います。

そうした方が、最後の駆け込み寺としてこのサイトに解除ツールがあるかどうかを確認しに来るのですが、日本ではそれほど認知度が高くない様にも思えるのが残念なところです。

 

このサイトに解除ツールによって5年間で600万人超の方が救われ、約1300億円がランサム攻撃者(犯罪者)に渡らずに済んだとされる”実績”を考えると、もっと多くの方が知っておいて(協力して)も良いサイトかと思います。

 

とっつきづらかったサイトデザインが5周年を迎えて一新されました。以前に比べて大分見やすくなった気がします。

f:id:foxcafelate:20210729051950p:plain

 

ランサムウェアの特定ランサムウェアQ&A被害防止のアドバイス復号ツール犯罪を報告する、といったメニューがあり、ランサム関連のポータルサイトと言っても過言ではないかも知れません。

 

ランサムウェアの特定では、ランサムかされたファイルをアップロードする事で、どのランサム被害を受けたか、その解決策があるかどうかを判定してくれます。

全てのランサムに対応している訳ではありませんが、ここで”当たれば”、暗号化されたファイルを復号化できる可能性が高くなります。

f:id:foxcafelate:20210729052751p:plain

 

最初からランサムウェアの種類が特定されている場合は、解除ツールのページを探すのも良いかと思います。

※復号化ツールを使う前に、ランサムに被害を受けた≒マルウェア等が残っている可能性もあるのでアンチウィルス対策ソフト、あるいは検出ツール等でマルウェアが無いかを確認する必要があります。

f:id:foxcafelate:20210729053835p:plain

 

全てのランサムに対応している訳ではない事には留意が必要です。例えばREvilやContiといったランサムオペレータの解除ツールは検索しても出てきません。

しかし、(先日)活動を停止したAvaddonや、

f:id:foxcafelate:20210729054322p:plain

米国のコロニアル・パイプライン社を攻撃したとされるDarkSideなどは解除ツールが掲載されています。

f:id:foxcafelate:20210729054355p:plain

 

余談です。このサイトがあった事で救われた方も多かったかと思いますが、ランサムウェア対策の基本は自己防衛です。

定期的なデータバックアップ、不審な添付ファイルを開かない、多要素認証の利用といった”当たり前”の事を確実にこなすといった基本的な事を個人ベースでは実行すべきです。

参考:

youtu.be

 

企業は・・・守るべき(注意すべき)ポイントが多いので、No More Ransomサイトの助言チェックリストにして使うと有償の外部コンサル(※私もそうですが)使わないでも、自社で対策点検が出来るかと思います。

 

 

本日もご来訪ありがとうございました。

Thank you for your visit. Let me know your thoughts in the comments.

 

ランサムウェアのイラスト(パソコン)

 

更新履歴

  • 2021年7月29日 AM

セキュリティ記事まとめ(7/28)

この続きはcodocで購読

 

 

本日もご来訪ありがとうございました。

Thank you for your visit. Let me know your thoughts in the comments.

 

f:id:foxcafelate:20210708121820j:plain

 

更新履歴

  • 2021年7月28日 AM

「KQLFT TOOLS」からのカード情報漏えい

この続きはcodocで購読

 

 

EC-CUBEバージョンの簡易推定表

リリース日 バージョン
2007/12/4 EC-CUBEv2.0 リリース
2008/4/10 EC-CUBEv2.1 リリース
2008/10/1 EC-CUBEv2.3 リリース
2009/5/19 EC-CUBEv2.4 リリース
2011/3/23

EC-CUBEv2.11.0 リリース

2012/5/31

EC-CUBEv2.12.0 リリース

2012/7/5

EC-CUBEv2.12.1 リリース

2012/8/30

EC-CUBEv2.12.2 リリース

2013/2/8

EC-CUBEv2.12.3 リリース

2013/5/22

EC-CUBEv2.12.4 リリース

2013/6/26

EC-CUBEv2.12.5 リリース

2013/8/29

EC-CUBEv2.12.6 リリース

2013/9/19

EC-CUBEv2.13.0 リリース

2013/11/19

EC-CUBEv2.13.1 リリース

2014/6/11

EC-CUBEv2.13.2 リリース

2014/11/7

EC-CUBEv2.13.3 リリース

2015/7/1 EC-CUBEv3.0.0 リリース
2015/10/23

EC-CUBEv2.13.4 リリース

2015/11/13

EC-CUBEv2.13.5 リリース

2018/10/11

EC-CUBEv4.0.0 リリース

2019/2/26

EC-CUBE ec-cube.co リリース

2019/11/29~2020/11/10

▲KQLFT TOOLSが侵害を受けていた時期
2019/10/31 EC-CUBEv2.17.0 リリース 
2019/12/20 経産省注意喚起
2019/12/23  EC-CUBE注意喚起
2021/7/6

EC-CUBEへのクロスサイトスクリプティング攻撃(Water Pamola)についてJPCERT/CCから詳細のレポートが出ています。

EC-CUBEユーザ以外でも例えばサードパーティプラグイン等でXSS脆弱性が出た場合、同様な攻撃につながる可能性もありますので留意下さい。

2020/6/30  EC-CUBEv2.17.1 リリース
2021/5/24 > 2021/6/29

 EC-CUBE4系の緊急パッチ(EC-CUBE 4.0.5-p1)リリース > 最新パッチ(EC-CUBE 4.0.6-p1) リリース

クロスサイトスクリプティングXSS)の脆弱性は、2系でも影響がある可能性がある為、2系ユーザも攻撃の確認方法を確認される事を推奨します。

 

本日もご来訪ありがとうございました。

Thank you for your visit. Let me know your thoughts in the comments.

 

 木工工作をする人のイラスト(男性)

 

更新履歴

  • 2021年7月28日 AM

Twitter2020ハッキングで4人目の逮捕者

2020年7月、著名なTwitterアカウントがハッキングされ、暗号通貨詐欺の投稿がされて10万ドル以上のビットコインが集まった事件から1年が経ちます。この事件では色々な憶測がされていましたが、4人目の22歳英国人の容疑者が7/21に逮捕されました。

therecord.media

 

キタきつねの所感

イーロンマスク氏、ビルゲイツ氏、ジョーバイデン氏、ワレンビュフェット氏ら著名人のアカウントが約130侵害されたのは衝撃的でした。

ハッキング自体は数時間で収まりましたが、ある日突然、イーロンマスク氏の公式アカウントが、ビットコインをくれたら2倍にして返す」と呟いたら、ひっかかる人は・・・やはりいるという事を証明しました。

 

こちらも以前どこかの記事で見かけましたが、侵害の原因はTwitter社内部で利用していたSlackチャネルへの不正侵入で、ここ経由でTwitterの管理者資格が窃取されたのは間違いない様です。

「j0e」としてオンラインになったO'Connerは、他の3人と協力して、Twitterの内部Slackチャネルの1つにアクセスしました。このグループは、Slackの職場で、Twitterのモデレートパネルにアクセスできる資格情報を見つけました

(The Recorded.記事より引用)※機械翻訳

 

コロナ禍で必要に迫られて様々な新しいツールが各企業に導入されたかと思います。そうしたツール類は、テレワーク等の新しい働き方を強力にサポートしてくれたのは事実かと思いますが、反面、その怖い部分がほとんど検証されずに導入された事を、このハッキング事件は教えてくれている気がします。

 

逮捕された4人は、簡単に足がつく形でTwitterアカウントハッキングからビットコイン詐欺という手段に出ましたが、これがもっと知恵のある脅威アクター(例えばランサムオペレータ)だった場合、もっと深刻なダメージを与えるシナリオに発展する事は十分に考えられたと思います。

 

SNSの管理者権限が奪取された場合、ユーザアカウント(ハッキングされた著名人)はSNS運営側にクレームを出す以外の手は無いのですが、アカウントは乗っ取られるかも知れないといった警戒心は常に持っておく必要があります。

しかし、もっと怖いのは会社の内部ツールへの不正侵入かも知れません。相手が見えない、または乗っ取られたアカウント保有者だと思って、内部の機密情報を窃取さえるかも知れない、この考え方(ゼロトラスト思考)で、自社の内部運用を点検する事は、先々のインシデントを防ぐ事につながるのではないでしょうか。

 

余談です。ハッキングに重要な役割を果たした”侵入手口”について、まだ訴訟で明らかになってはいませんが、以前Krebs氏がSIMスワッパーの可能性について指摘していました。

日本では携帯キャリア会社がしっかりしているからか、類似の事例は聞きませんが、SMS-OTPが破られる海外の手口を考えると、潜在的脆弱性を抱えるSMS-OTPではない多要素認証への移行を、サービス事業者は検討しておくべきかと思います。

 

本日もご来訪ありがとうございました。

Thank you for your visit. Let me know your thoughts in the comments.

 

 ネット炎上のイラスト(女性)

 

更新履歴

  • 2021年7月24日 PM