IoTセキュリティは端末の問題だけではない

Dark Readingの記事を読んで、IoT端末の脆弱性だけではなく、ネットワーク全体の保護の観点が抜け落ちていそうで不安になりました。

www.darkreading.com

組織が直面するリスクは、IoTの採用ペースによって悪化します。InternationalDataCorporationの予測では、2025年までに416億の接続されたIoTデバイスまたは「モノ」が存在すると予測されています。

さらに、COVID-19のパンデミックにより、エンタープライズネットワークの境界が破壊されました。現在、ネットワークはリモートブランチ、モバイル従業員、さらには自宅を含めて高度に分散されているため、多くの組織はこれらのIoTデバイスとトラフィックをほとんど把握できません。

問題をさらに悪化させているのは、現在パーソナルIoTデバイスを含むIoTデバイスのこれらの分散ネットワークは、機密性の高いエンタープライズデータの伝送に依存しており、既存のIoTデバイストラフィックの98％が暗号化されていないままです。

（Dark Reading記事より引用）※機械翻訳

キタきつねの所感

IoT端末にも「ゼロトラスト」の足音がすぐそこまで迫ってきている様に感じました。

下記IDCの調査データを引用しますが、インターネットに接続されるIoT機器は、2025年までに416億台、IoT機器のデータ生成量は約80兆GBにも達する見込みです。

※今年の予想数字が300億台／20兆GB＋と言う所にも驚きがありますが・・・

こうしたデータは以前からも出ていたので驚きは無いのですが、記事での指摘に思わずハッとしたのが、企業のIoT機器だけでなく、パーソナルIoT機器を含めるとリモート拠点、自宅、クラウド等にIoT機器は分散しており、企業の従来のセキュリティ監視下にない（トラフィックを監視できていない）という状況仮説です。

2021-01-21

サイバーセキュリティトレーニングは予算不足

つぶやいてみた。

海外の最新調査レポート(iomart)によると、回答者の70%がすべての従業員にサイバーセキュリティトレーニングを提供していないため、深刻なデータ侵害が発生し、企業価値が大幅に下がる可能性があると述べています。

www.infosecurity-magazine.com

iomartのCybersecurityInsights Reportによると、会社の取締役の4分の1（25％）は、予算上の制約により、スタッフにサイバーセキュリティトレーニングを提供することができません。

経営幹部、取締役、マネージャー、従業員レベルにわたる英国を拠点とする労働者の調査では、28％の企業がサイバーセキュリティトレーニングをまったく提供していないことがわかりました。さらに、42％は、一部のトレーニングは自社が提供しているものの、一部のスタッフしか利用できないと回答し、回答者の3分の2（70％）は、自社がすべての従業員にトレーニングを提供しているわけではないと述べています。

トレーニングを受けたことを確認した人のうち、82％は、これが包括的なコースではなく短いブリーフィングのみで構成されていることを認め、わずか17％がサイバーセキュリティに関連する定期的なセッションを受けました。

（Infosecurity Magazine記事より引用）※機械翻訳

元ソース（iomart）

・CYBER SECURITY INSIGHTS 2020 BY IOMART

キタきつねの所感

iomartのこの調査データに日本企業が含まれてないと思いますが、自社、あるいは仕事上で付き合いがある他社の方々の話から想像すると、日本でもこの結果を「笑ってはいられない」状況にあるのではないのではないでしょうか。

コロナ禍において、自社のビジネスや雇用を守るのに精一杯という状況があるにせよ、コロナのパンデミックによってテレワーク（在宅勤務）が大幅に拡大した結果、サイバー攻撃が増加している全世界的な状況を考えると、ランサム攻撃などのDarkなビジネスは2021年も大きな成功を収めそうな気がしてなりません。

セキュリティの構成要素は経営資源と同じで、人（People）、プロセス（Processes）、製品・技術（Products/Technology)で考える事が多いのですが、ITサービスマネジメントの最良事例であるITIL（Information Technology Infrastructure Library）では、4つ目のPとしてパートナー（Partners）も入れた対策が重要であるとしています。

4要素の内、セキュリティトレーニングは人（People）に該当し、ここの予算を削る事は他の要素が強化されているならば別かと思いますが、全般的なセキュリティの”強度”にも影響する可能性があります。

2021-01-20

2020年はランサム攻撃により77億件のデータが漏えい

考えてみた。

Tenableの最新レポートでは、2020年に全世界で220億件のデータが漏えいし、その35%がランサムウェアに関連していた述べられています。

www.ehackingnews.com

サイバーエクスポージャー企業のTenableのセキュリティ対応チーム（SRT）は、データ漏洩の14％が2020年1月から2020年10月までの期間の電子メール侵害の結果であると分析しました。脅威アクターが使用した主な戦術は、ストライキにおけるパッチが適用されていない感受性への依存でした。一方、他の複数の脆弱性を含みます。

TenableのスタッフリサーチエンジニアであるSatnamNarangは、洞察を与えながら、次のように述べています。「インドおよびその他の国々のサイバーセキュリティ専門家は、組織を危険にさらす可能性のある新たな課題と脆弱性に毎日直面しています。2020年だけで開示された18,358の脆弱性は、サイバー防御者の仕事が拡大し続ける攻撃対象領域をナビゲートするにつれてますます困難になっているという新しい通常の明確な兆候を反映しています。

Common Vulnerables and Exposures（CVE）の成長率は、2015年から2020年にかけて平均36.6％増加しました。2020年には、2015年と比較して183％まで急上昇しました。2015年の6,487に対して、2020年には18,358のCVESが報告されました。

「仮想プライベートネットワーク（VPN）ソリューションの既存の脆弱性（その多くは2019年以前に最初に開示されました）は、サイバー犯罪者のお気に入りの標的であり続けています」とNarang氏は述べています。

（ehacking News記事より引用）※機械翻訳

元ソース（Tenable）

・TL;DR: The Tenable Research 2020 Threat Landscape Retrospective

キタきつねの所感

レポートではデータ漏えいの約35％がランサム攻撃に関連していたとされているので、Tenableが分析した730件で考えると250件、データ侵害件数220億で考えると約77億件がランサム被害となる様です。

2020年のランサム被害が250件というのは「判明分」に過ぎないかと思います。名が知れたランサムオペレーターだけでも20-30にはなりますが、仮に20としても平均して１オペレーターで10-20件というのはあまり現実的ではありません。

ランサムオペレーター（攻撃者）と交渉して身代金を支払い、公表を回避した企業や組織も結構多いかと思いますので、「ランサム被害」はこのレポートのデータよりもっとあったと考えてデータを見るべきなのかと思います。

攻撃を受けたポイント（脆弱性）は記事にも書かれていますが、テレワーク（在宅勤務や遠隔教育）と脆弱性管理に尽きると言えそうです。

特にVPNのパッチ不備は、日本でも問題となりましたが、全世界的な傾向としても「サイバー犯罪者がロックオンしている」状況である事がこのレポートからも分かります。

2021-01-19

アイビー・シー・エスの広報戦略

PCI DSS クレジットカード情報漏えい事件不正アクセス事件調べてみた。

今年最初のカード情報漏えい事件としてカウントされるのは、アイビー・シー・エス運営の2サイト「IVYCS FEE PAYMENT（青山学院会費）」「東京女子大学購買センター Web Shop」となる様です。

www2.uccard.co.jp

公式発表

・弊社が運営する「IVYCS FEE PAYMENT（青山学院会費）」への不正アクセスによる個人情報漏洩の可能性に関するお詫びとお知らせ（第 2 報）1/18（魚拓）

・弊社が運営する「IVYCS FEE PAYMENT」への不正アクセスによる個人情報漏洩の可能性に関するお詫びとお知らせ　2020/10/8（魚拓）

・弊社が運営する「東京女子大学購買センター Web Shop」への不正アクセスによる個人情報漏洩の可能性に関するお詫びとお知らせ（魚拓）

キタきつねの所感

昨年10月にカード情報の漏えいを発表した「青山学院購買会」サイトの運営事業者（株式会社アイビー・シー・エス）の別２サイトが同時期に攻撃をされていた様です。

当該2サイトから個人情報漏えいが漏えいした可能性があり、カード情報についてはフォレンジック調査の結果、漏えいまでは確認できなかったものの、偽の決済フォーム（フィッシングサイト）が設置されていた可能性が否定できない為、侵害が確認された期間中にカードを利用した顧客を漏えいの最大件数（IVYCS FEE PAYMENT：48件、東京女子大学購買センター：162件）として発表しています。

2サイトの公式発表を見ると違和感がありました。

カード情報漏えい懸念がカード会社から伝えられたのが2020年5月12日、フォレンジック調査が完了したのが2020年6月29日となっています。

1.経緯
2020 年 5 月 12 日、一部のクレジットカード会社から、弊社が運営する別のサイトを利用したお客様のクレジットカード情報の漏洩懸念について連絡を受け、同日弊社が運営する「IVYCS FEE PAYMENT」での年会費集金サービスを停止いたしました。
同時に、第三者調査機関による調査も開始いたしました。2020 年 6 月 29 日、調査機関による調査が完了

（IVYCS FEE PAYMENT公式発表より引用）

1.経緯
2020 年 5 月 12 日、一部のクレジットカード会社から、弊社が運営する別のサイトを利用したお客様のクレジットカード情報の漏洩懸念について連絡を受け、13 日、弊社が運営する「東京女子大学購買センター Web Shop」での商品販売を停止いたしました。
同時に、第三者調査機関による調査も開始いたしました。2020 年 6 月 29 日、調査機関による調査が完了

（東京女子大学購買センター公式発表より引用）

同一ECサイト運営事業者のサイトですので、同時にフォレンジック調査をしたのは当然なのですが、昨年10月にカード情報漏えいを発表し、こちらは偽の決済フォームへの誘導が確認された「青山学院購買会」も、カード情報漏えい懸念がカード会社から伝えられたのが2020年5月12日、フォレンジック調査が完了したのが2020年6月29日となっているのです。

参考：青山学院購買会もEC-CUBE - Fox on Security

1.経緯
2020 年 5 月 12 日、一部のクレジットカード会社から、弊社サイトを利用したお客様のクレジットカード情報の漏洩懸念について連絡を受け、同日弊社が運営する「青山学院購買会通販サイト」での商品販売を停止いたしました。
同時に、第三者調査機関による調査も開始いたしました。2020 年 6 月 29 日、調査機関による調査が完了

（青山学院購買会通販サイト公式発表より引用）

同時期に3サイトのフォレンジック調査をしている事は何ら不思議ではありませんが、6月29日には、フォレンジック調査が3サイト全てで完了している事を考えると、今回発表があった「IVYCS FEE PAYMENT」と、「東京女子大学購買センター」をカード情報漏えいが確認されなかったとして発表しないのであれば分かるのですが、「青山学院購買会通販サイト」と同時期に発表せずに時期をずらした事に、3サイトの運営事業者であるアイビー・シー・エスの”広報戦略”を感じました。

2021-01-18

■今週のセキュリティ記事（1/10-1/16）

今週のセキュリティ記事

先週読んだセキュリティ関係の記事の中で、気になったものをご紹介します。

※ f:id:foxcafelate:20210110100354p:plain は英語記事

※無印~★★★は主観での推奨レベル（★★★が閲覧推奨記事）／記事を読んだ個人的な感想ベース

■ 今週の三ッ星記事

整理No	日付	推奨	記事タイトル（リンク）
21-0132	1月8日	★★★	A Look Ahead at 2021: SolarWinds Fallout and Shifting CISO Budgets 2021年の展望：SolarWindsのフォールアウトとCISO予算の変化
21-0170	1月14日	★★★	ソフトバンクvs楽天モバイル・営業秘密侵害事件－双方の主張が食い違うのは当然かも・・
21-0176	1月14日	★★★	NSA advises companies to avoid third party DNS resolvers NSAは、サードパーティのDNSリゾルバを避けるように企業にアドバイスしています
21-0177	1月14日	★★★	Cloud Attacks Are Bypassing MFA, Feds Warn クラウド攻撃はMFAを迂回している、連邦政府は警告する
21-0187	1月14日	★★★	楽天モバイル社員逮捕、企業の秘密流出で知っておきたい10のこと
21-0196	1月15日	★★★	ソフトバンク、驚きのセキュリティ管理
21-0199	1月15日	★★★	マイクロソフトのプレジデントが語った今見直すべきITの倫理、サイバーセキュリティ--CES 2021
21-0206	1月15日	★★★	Joker’s Stash Shutting Down—for Good This Time ジョーカーの隠し場所のシャットダウン—今回はずっと

※「今週の三ッ星記事」掲載の記事は以下のカテゴリー別の記事と重複しています

①ランサムウェア

整理No	日付	推奨	記事タイトル（リンク）
21-0129	1月9日	★★	Dassault Falcon Jet hit by Ragnar Locker ransomware gang ダッソーファルコンジェットがラグナーロッカーランサムウェアギャングに襲われた

整理No

日付

推奨

記事タイトル（リンク）

21-0129

1月9日

★★

Dassault Falcon Jet hit by Ragnar Locker ransomware gang

ダッソーファルコンジェットがラグナーロッカーランサムウェアギャングに襲われた f:id:foxcafelate:20210110100354p:plain

2021-01-17

Joker's Stashの閉鎖予告

PCI DSS 海外事件つぶやいてみた。

悪名名高きカードダンプデータの販売サイト「Joker's Stash」が30日以内（~2/15）に営業を停止すると発表しました。

www.flashpoint-intel.com

2021年1月15日、「ジョーカーズスタッシュ」として知られる悪名高い信頼性の高いカードショップは、本日、30日以内に営業を停止すると発表しました。

このカードショップに慣れていない人にとっては、盗まれたカードやデータダンプを購入する場所であり、購入した違法な商品がアクティブであるか、そうでなければ合法であるという高い確信を持って購入することができます。それらの使用。サイバー犯罪者や詐欺師にとって、このニュースは確かに大ヒットとなります。彼らの違法な営利活動を傷つけたり、進行中の攻撃を妨害したりします。

（Flashpoint記事より引用）※機械翻訳

キタきつねの所感

2014年のオープン以来、カード不正犯罪の一翼を担ったと言っても過言ではない、DarkWeb最大のカーディングマーケットプレイスのJoker's Stashが、2021年2月15日に営業を停止すると発表しました。

※Flashpoint記事より引用

クレジットカード周辺のセキュリティ（PCI DSS）に携わっている方であれば、Joker's Stashは当然把握しておくべきDarkWebマーケットプレイス（カード情報の不正売買サイト）であり、事実、過去数多くのインシデントが突如このサイトで販売が開始された漏えいカード情報（Dump）から判明してきました。

ここ数年で日本でも磁気カードからICカードへの切り替え（EMVカードとIC対応POS端末の普及）が進んでいます。特に米国では5年前は99%磁気カード市場と言われていましたが、大規模チェーン加盟店（レストラン等の小売業）のPOSシステム（磁気）に対するマルウェア攻撃やサイバー攻撃が多発した事により、ICカード化や非接触決済が急速に進みました。

多くの犯罪者が「磁気クレジットカード」を狙ったのは、Joker's Stashの様な安全な「（Dark）販売市場」があったからと言われています。このサイトは推定で10億ドル（約104億円）の累積収益を上げていたと見られており、過去には同様なサイトで多額の収益を上げていたサイトはあるものの、（現時点で）主催者が逮捕されてないDarkマーケットプレイスとしては、最も成功したマーケットの１つと言っても良いかと思います。

昨年12月には、FBIとインターポールがJoker's Stashを狙い撃ちにした作戦によって一部のブロックチェーンドメインをホストしているサーバーを閉鎖させました。

この作戦の影響はJoker's Stash側は軽微だった（Torネットワークのサーバーは影響を受けてなかった）とコメントしていますが、今回の閉鎖発表に何らかの影響があったかも知れません。

www.zdnet.com

Darkビジネスとして大成功している彼らが、当然サイトを閉鎖する事について、海外の関連記事ではいくつかの原因を指摘しています。

その１つが上記のFBI／インターポールの共同作戦であり、捜査の足音が聞こえてきた事を主催者側が警戒したというものですが、関連記事を読んでいると、これが主原因では無い気がしました。

2021-01-16

赤坂御用地への不正侵入

つぶやいてみた。

米国だけでなく、日本の重要施設の物理セキュリティも色々と潜在課題がある様です。

news.tbs.co.jp

　この事件は、今月２日午後９時４０分すぎ、２０代の男が迎賓館の門を乗り越え、その後、天皇皇后両陛下のお住まいがある赤坂御用地の敷地に侵入したものです。男は迎賓館に侵入したおよそ４０分後、迎賓館と赤坂御用地の境界にある扉から御用地に入り、侵入に気づき、捜索していた皇宮警察の護衛官に三笠宮邸付近で身柄を拘束され、現行犯逮捕されました。

　「男は、迎賓館西門の高さ２メートル以上ある門を乗り越えました。門の近くには警備を担当する内閣府の警衛官がいましたが、気づかなかったということです」（記者）

　迎賓館の警備は内閣府の警衛官が、赤坂御用地の警備は皇宮警察の護衛官が担当していますが、迎賓館に男が侵入した後、侵入を知らせるセンサーが複数回鳴ったにもかかわらず、内閣府の警衛官がセンサーを切っていたことが関係者への取材で分かりました。小動物などによる誤作動と勘違いした可能性があるということです。

　警衛官は男の侵入に気づかず、警察にも通報していなかった

（TBSニュースより引用）

キタきつねの所感

当該の内閣府の警衛官は「何も発生しない」というバイアスが掛かっていたとしか思えない怠慢さです。

このニュースでは警備担当が２つに分かれている事が分かります。ミスを犯したのは「内閣府の警衛官」であり、最終的に侵入者を捕まえたのが「皇宮警察の護衛官」と報じられています。各々の担当は迎賓館警備が内閣府の警衛官、御用池（より内側の両陛下のお住まいのエリア）が皇宮警察となっている様です。

普通に考えれば、重要施設における警備のプロである警衛官が、２ｍのフェンスを侵入者が乗り越える所を気づかないだけでなく、複数回のセンサー警報を誤検知だと判断し、しかも自組織で侵入者の身柄を拘束できないという事は想像がつかないのですが、現実問題として、この「ヒヤリ・ハット」が発生しているので、日本の他の重要施設でも同様な侵入を防ぎきれない可能性がある事を示唆している気がします。