社内でもたまに、どうやってセキュリティ関連情報を拾っているのかを聞かれるので、自分の備亡録も兼ねて少し整理してみました。

私の方法はpiyokangoさんの次の記事を受けて、現在進行形で試行錯誤しているものであり、また必ずしも全ての方に向いている情報収集のやり方ではないかと思います。

• 私のセキュリティ情報共有術を整理してみた。

■インプットに使っている情報ツール

• feedly (iOS) (Android)
  
• Yahoo!ニュース (iOS) (Android)
  
• Twitter

feedlyはRSSリーダとして使い勝手が良いので、私は主に通勤電車での情報チェックに使っています。

国内のセキュリティ関連情報限定で考えるのであれば、私はヤフーニュースが使いやすいと思っています。テーマ設定で「サイバーテロ」「インターネット犯罪」「個人情報の流出」「情報漏えい」「情報セキュリティ」をフォローしていますが、事件などの情報はかなり拾えている気がします。

Twitterは、情報ソースとしては即時性も早く自分がまだ入手してない情報を拾える時が結構ありますので、とても便利なのですが、正直、タイムラインが流れるのも早いですし、良いフォロワーを追いかけてないと質の高い（欲しい）情報がうまく取れない気がします。ですので、私は定期的にフォロワー（ソース先）を見直しして、感度の高い人をなるべく追いかけられるようにと思考錯誤しています。

●参考

foxsecurity.hatenablog.com

■インプットで参照している情報源（国内）

• Izumino.jp セキュリティ・トレンド
• Security Next
• ITmedia NEWS セキュリティ
• ScanNetSecurity
• ZDNet セキュリティ
• 忙しい人のためのサイバーセキュリティニュース

Izuminoのセキュリティ・トレンドは、更新頻度、情報量などを考えると、セキュリティ関連の方だったらまず外して欲しくないソースです。ここを1週間分俯瞰するだけで、重要（そう）な事はほとんど把握できるといっても過言ではないでしょう。

Security Nextについても言うまでもないかと思います。セキュリティ専門のニュースメディアとして、2004年の創刊以来、質の高い情報を提供されてきています。セキュリティ関連の検索をGoogle等でするとよく出てくるサイトでもありますので、ここの新着記事をチェックする方も非常に多いかと思います。

ITmedia、ScanNetSecurity、ZDNetSecurityも質の高い情報を多く掲載されています。多岐にわたるセキュリティ情報を取り扱ってらっしゃいますので、必要な所を追いかけるだけでなく、知らない分野を勉強するのにも使わせて頂いております。

忙しい人のためのサイバーセキュリティニュースは、海外の情報が素早く訳されていることと、分かりやすい（そう長くない）記事を出されていますので、まさに忙しい方には最適な情報ソースだと思います。

■アンチウィルスソフト会社のセキュリティ情報発信

• トレンドマイクロ セキュリティblog
• カスペルスキー セキュリティニュース
• マカフィー セキュリティニュース

脆弱性情報の把握という意味だけでなく、素人にも分かりやすい記事が（たまに）出てくるのがアンチウィルスソフト会社のセキュリティ情報発信サイトです。海外の記事を訳してくれている事も多く、海外動向（＝最新犯罪事例）を把握する上では、英語を読むより楽なので、関連記事がUPされているときは目を通すようにしています。3社の中では、カスペルスキーとマカフィーが易しい記事をたくさん上げている印象です。トレンドマイクロは、比較的専門性の高いの方向けの内容が多い（素人には若干とっつきずらい）気がします。

その他、私は通常巡回してはないのですが、以下のサイトもよく情報がまとまっています。

• サイバーセキュリティ.com
• サイバーセキュリティソリューションズ
• 三井物産セキュアディレクション
• 日立ソリューションズ

■インプットで参照している情報源（海外）

• KrebsonSecurity（英語）
• Security Affairs （英語）
• Bank information security (英語）

海外の情報源の一番最初にあげているのが、元ワシントンポストの記者であり、アメリカのセキュリティリサーチャーとしても第一人者と言っても過言でも無い、ブライアン・クレブス氏のサイトです。日本でも数年前に話題になったTarget社の不正アクセス事件のみならず、彼の調査によって発覚した事件は数知れません。記事もさることながら、アメリカのセキュリティ関係の人が非常に多くサイトに訪れるので、記事のコメント欄も読むと非常に面白いです。

●参考

foxsecurity.hatenablog.com

Security Affairsも海外情報としては外せません。情報も早いですし、記事の考察も勉強になります。Twitterなどでも発信していますので、こちらのフォローもお勧めです。

最後が金融系だけでなく全般的なセキュリティ記事がよくまとまっているBank Info Securityです。エンドポイント、アンチウィルス、Awareness&Training（啓蒙・教育）等々、記事の分類がしっかりしているので、欲しい所だけ追うのが楽なサイトです。

■主なクレジットカード会社のリリース（クレジットカード情報漏洩事件）

• JCB　お知らせ&トピックス一覧
• 三井住友カード　セキュリティ情報
• 三菱UFJニコス　重要なお知らせ
• UCカード　重要なお知らせ
• セディナ　お知らせ
• イオンファイナンシャルサービス　お知らせ
• ライフカード　お知らせ
• トヨタファイナンス　重要なお知らせ
• ビューカード　重要なお知らせ一覧
• 東急カード　お知らせ
• アプラス　重要なお知らせ
• セゾンカード　重要なお知らせ

私の専門分野でもある、金融系の関連サイトもご紹介しておきます。上記はクレジットカード情報が漏えいした時にカード会社としてリリースを掲載するページとなります。こうした発表を受けて各ニュースサイトが記事を書きますので、クレジットカード情報漏えい事件だけですが、ここの情報が一番早いことも多いかと思います。

■PCI DSS関連

• PCI SSC(日本語サイト）
• 日本カード情報セキュリティ協議会（JCDSC)
• 日本クレジット協会（JCA)

カード情報が漏えいした際は、大体PCI DSS関連のコメントを書いているのですが、その中身について詳しく知りたい方は上記サイトを見て頂ければ（比較的）分かるかと思います。

 ■脆弱性情報

• JVN 脆弱性対策データベース
• IPA　重要なセキュリティ情報一覧

• ExploitDatabase（英語）
• CVE Details（英語）

その他、マルウェアや０ディ攻撃などの際には、よく上記の脆弱性情報が掲載されているサイトを見ています。

以上が私の2018年初の情報収集法（仮）です。半分は自分のためのメモではありますが、何か皆様の参考になれば幸いです。本年もFox on Securityを宜しく願います。

●参考：セキュリティリサーチャー先輩方（piyokango氏、根岸氏）の共有術

d.hatena.ne.jp

d.hatena.ne.jp

更新履歴

• 2017年12月28日 AM　（予約投稿）
• 2018年2月1日 AM 　カード会社リンク追加 

12月28日の産経ニュースにいかにも年末にありそうな個人情報漏えいの記事が出ていましたので、つぶやいてみます。

www.sankei.com

事件内容としては、個人の勉強目的で女性医師が症例が似た過去の手術記録の写しを取り、バックに入れて診療科の忘年会に参加し、荷物置き場に置いたバックごと盗難被害を受けたため、個人情報が漏えいしたという内容でした。

電車の網棚にバックや背広を置き忘れる様なケースと双璧な、よくありがちな重要書類紛失のケースです。流石に忘年会は・・・そろそろ打ち止めの方が多いかも知れませんが、新年会等々、誰にでもこうした事故リスクはありますので留意すべきだと思います。

上記の事件自体は、個人情報持ち出しの内規（ルール）に沿っていたかどうか、は問われるかと思います。ですが目的が勉強目的であるので、もしかすると許されていた行為かも知れません。（ここを禁止すると残業問題の方に発展する可能性も）しかし、重要情報取り扱いの鉄則である、なるべく身から離すな、という部分では甘い管理だったのかも知れません。対策案としてかかれてたのは、

同病院では、個人情報を取り扱う場合のルールなどを再度周知徹底し、再発防止に努めるとしている。

因みに、一般的な手順改訂の場合は、私でしたら以下の形で整理していきます。

　①飲み会に重要資料をもって参加してはいけない

　②どうしても飲み会に重要資料を持って参加しなければならない場合は、（荷物置き場におかず）

　　肌身離さず（＝この事件の場合は自分の椅子の近くで保管）管理する

　③どうしても・・・場合は、電子ファイル化し、暗号化を施して持ち歩く（＝暗号USBトークン）

酔いお年を・・・

更新履歴

• 2017年12月28日 AM（予約投稿）

12月25日に大麦工房ロアのオンラインショップからクレジットカード情報が流出した可能性があると発表しました。この件について少しつぶやいてみます。

netshop.impress.co.jp

■公式発表　個人情報流出疑いに関するお詫びとご報告

インシデントタイムライン

事件の状況 

• 2015年10月1日～2017年8月7日まで「大麦工房ロアオンラインショップ」にてクレジット決済を新規で利用したお客の情報が最大で24,780件流出したおそれ
• 流出した可能性のある個人情報
  
  • クレジットカード番号
    
  • クレジットカード有効期限
  • セキュリティコード

原因

• フォレンジック調査会社（PCF社）およびカード会社からの指摘から、外部からの不正アクセスと推察されるが、侵入経路や手段は判明してない
  

再発防止策

• 決済代行会社が提供するリンク型システムへの移行（予定）
• ショッピングサイトの脆弱性対策として、プログラムの修正など適切な対処を継続して実施

◆キタきつねの所感

カード会社側は、初期段階からECサイトからカード情報が流出したと判断していますが、非常に珍しい事に、PCF社のフォレンジック調査において、痕跡が出てこなかったとあります。

調査の中身は分かりませんので勝手な推測になりますが、フォレンジック調査に必要だったログが不足していたり、侵入の痕跡が不正アクセス（ハッカー）側が上手く消した、、などが考えられますが、侵入経路や手段が判明しない、、というのは何があったのだろうか・・と思ってしまいます。

とはいえ事件対策としては、リンク型への移行・・は良いのですが、

５、再発防止策
弊社は二度と同様の事案を起こすことのないよう、セキュリティ専門会社のアドバイスのもと、
ショッピングサイトのセキュリティ強化およびチェック機能の強化を実施してまいります。
(１)PCIDSS3.2に準拠した安全なシステムへの改善に全力で取り組んでまいります。（決済代行会社が提供するリンク型システムへ移行準備予定）
(２)ショッピングサイトの脆弱性対策として、プログラムの修正などの適切な対処を継続して実施してまいります。（公式リリースより）

については、（１）リンク型への移行は良いとして、（２）は、不正に侵入されてない自信があるのであれば、「適切な対処の継続」で良いのかと思いますが、入られた可能性があるとリリースを出す訳ですから、更に対策強化していく書き方の方が良かった気がします。

６、公表が遅れた経緯について
今回のご報告に至るまで、時間を要しましたことを深くお詫び申し上げます。
当初個人情報流出の疑いが生じた時点でお客様にご連絡し、注意を喚起すると共に、お詫び申し上げるべきではないかと検討いたしましたが、決済代行会社との協議の中で、「不確定な情報の公開はいたずらに混乱を招くおそれがあるため、お客様へのご迷惑を最小限に食い止める対応準備を整えてからの告知が不可欠である」との説明を受け、当該ショッピングサイトのクレジットのご利用は直ちに停止いたしましたが、公表・ご報告は外部の専門調査会社の調査結果により、事案の概要を把握した上で、クレジットカード会社との連携を確保した後行うべきことと判断いたしました。（公式リリースより）

タイムラインでは、外部の専門調査会社の調査結果が9月30日ですので、クレジットカード会社との連携を確保するのに約3ヶ月という計算になります。普通では考えられない”確保期間”だと思いますので、（勝手な想像になりますが）事件を隠蔽しようと考えていた時間が含まっているように思います。

そして最後に、この事件もセキュリティコードが漏えいした事件となります。細かく集計をまとめきれてませんが、私が調べていた限りにおいて、2017年に国内で公表されたクレジットカード情報漏洩事件の約8割がセキュリティコードを漏えいしています。（ジェネシス・イーシー社ユーザ案件を1件をした場合：ユーザを個別カウントすると9割以上になります）つまり決済後にセキュリティコードを残している、PCI DSS上の実装違反です。既に2018年3月に向けて多くの企業が非保持あるいはPCI DSS準拠に取り組んでいるとは思いますが、実装ミスについては、今一度そのリスクが自社に無いか考えるべきなのではないでしょうか。でなければ、残念ながら2018年もカード情報漏洩事件は多く出てきてしまう可能性が高いかと思います。

関連情報

www.cedyna.co.jp

www.aeon.co.jp

www2.uccard.co.jp

www.jcb.jp

www.smbc-card.com

更新履歴

• 2017年12月28日 AM

7月に不正アクセス被害を発表したハワイアンズモールを運営する常盤興産から最終報告が出ていましたので、その内容を少し見てみます。

今回の最終報告については、内容は他社に対して気づきを与えるような非常に参考になるものでした。原因部分と（今後の）対策部分が一番気になったのですが、原因については、

(２) 本件の原因
弊社によるシステムフォワード社に対するヒアリング調査により、以下の事実が本件の原因であることが判明しました。

①本件サービス開始時において、当時としては安定稼動していたOpenSSLの旧バージョンを使用したこと、そのため脆弱性問題が該当しないと誤信し、旧バージョンのまま放置したこと。

②その後ロードバランサーのOSのバージョンアップと同時にOpenSSLのバージョンアップを実施したが、その際、脆弱性の対策がなされた最新バージョンがあることを確認せず、脆弱性の含まれた旧バージョンのままであったこと。

③前記①、②に対応する手順を定めた規範がなく、セキュリティ情報を逐次更新する体制も存在しなかったこと。

④ペネトレーションテストや脆弱性診断をした事実がなく、そうしたルールも存在しなかったこと。

こうした事実関係から、本件の原因は同社の過失によるものであるとともに、そうした過失を未然に防止し、点検・監督する体制もなく、継続的にセキュリティ情報を確認し安全性を高めるという体制が不十分であったことが、より本質的な原因であると考えています。

（「不正アクセスによる個人情報流出に関する最終ご報告」から引用）

事件の原因（脆弱性）は諸々推測していましたが、OpenSSLであったということは、非常に残念でした。2014年に発生した「Heartbleed」以降の事件ですので、厳しい言い方ですが、ECサイトを構築したシステムフォーワード社がOpenSSLを放置していたことについては「プロでは無かった」としか言えません。

しかしシステムフォーワード社を調べてみると、ECサイト構築パッケージを持っているシステム会社といっても、

www.sysforward.co.jp

社員数

10名　（ 男性 5名　女性 5名 ）

という小さな会社ですので、運営委託先に一義的責任があるかも知れませんが、やはり常盤興産の監督責任も問われるべきです。そのことについても最終報告では触れていました。

 

 

３）弊社と運営委託先との関係
本件は、ハワイアンズモールで利用するクレジットカード情報の取扱いをシステムフォワード社に委託していた案件であり、システムの脆弱性を放置した同社に主要な原因があるものの、弊社において適切な委託先管理を実施してこなかったことが、その脆弱性放置という状況につながった点において、本件の一因を作り出していたことも明らかです。
弊社は、地元企業であるシステムフォワード社との相互信頼は揺るぎのないものと認識しており、同社が弊社のために最善を尽くしているものと過信しておりました。

このような状況から、弊社はシステムフォワード社に対し特段の注意を払うことなく、セキュリティチェックを初めとするセキュリティ対策をおろそかにしていた事実がありました。（「不正アクセスによる個人情報流出に関する最終ご報告」から引用）

両社の業務分担について、あるいは責任分解点については特に記載がありませんが、推測するにかなり曖昧のままサイトは運営されていたのではないかと思います。

私が専門としておりますPCI DSSでは、要件12に外注管理についての記載があるのですが、常盤興産がこうしたクレジット業界の標準的な考え方に基づいて動いていれば、もしかすると事件は防げたかも知れません。

12.8.2サービスプロバイダは、プロバイダが、顧客に代わって所有、保存、処理、送信するカード会員データのセキュリティについて、または顧客のカード会員データのセキュリティに影響を与える範囲について責任を持つことを認める内容の書面による契約書を維持する。

12.8.4少なくとも年に一度、サービスプロバイダのPCI DSS準拠ステータスを監視するプログラムを維持する。　

最終報告における再発防止策には、（臨時のPCI DSSオンサイト監査をクリアしないとクレジットカード決済を再開させてもらえませんので、当たり前といえば当たり前なのですが）委託先管理についての施策がかなり細かく書かれています。

i組織体制の確立
システムフォワード社における業務遂行体制、システム管理体制、セキュリティ管理などの体制整備を点検・監督します。特に、セキュリティ確保に関する規範、職務分担、作業担当者の明確化、作業手順が確立されているかを点検・監督します

ii人的対策
システムフォワード社において、受託業務遂行に関し、十分な知識と情報を確保し、適正な運用が図られるよう社内教育が実施されていることを点検・監督します。

iii技術的対策
システムフォワード社において、セキュリティ技術対策、ウイルス対策、パスワード対策、ファイアウォールの管理が、常に最新の情報に基づき、日々更新されていることを点検 ・監督します。

iv物理的対策（施設の安全管理）
システムフォワード社におけるシステム管理に関し、システム管理場所の安全性が確保されていること、入退室管理が実施されていること、機器端末の持ち出しなどが厳重に管理されていることを点検・監督します。

②セキュリティ報告の徴収
弊社は、システムフォワード社に対して毎月セキュリティ報告を求め、さらに必要に応じて追加での報告を求め、受託業務遂行のための監督を実施するものとします。

（「不正アクセスによる個人情報流出に関する最終ご報告」から引用）

実施する側も、それなりの知見が無いとこれらの運用も実効性が上がりませんが、さすがによく考えているなと思ったのが、委託先監督部門の担当を社内育成する意図としてだと思いますが、

③委託先監督責任者は、外部のセキュリティ専門事業者によるセキュリティ監査を受ける等、監査の実効性を確保するための指導を受け、これを実施するものとします

（「不正アクセスによる個人情報流出に関する最終ご報告」から引用）

という項目が入っていたことです。（自社における）セキュリティ監査を通じて知見を向上させるのは良い手だと思いますし、（担当が育つまでの間）外部のセキュリティ専門事業者の力を借りるのも実効性が高めるのは確実です。米国などでは他社のセキュリティ担当を引っこ抜く、、という手法もよく使われるようですが、特に日本ではPCI DSS関連の専門家は、そんなに多くありませんので、自社育成に主眼を置く方が現実的です。

最終報告の一番最後のところに、ECサイトの営業再開の情報が記載されていました。

5. 公式ショッピングサイト 「ハワイアンズモール」営業再開について
弊社は、前述の再発防止策の実施と並行し、公式ショッピングサイト「ハワイアンズモール」の営業再開に向けた作業に着手してまいりました。
すでに新システムが完成し、PCIDSS準拠の監査、クレジットカード会社の審査等も終了しており、本最終報告を経て、平成29年12月23日より営業を再開いたします。

（「不正アクセスによる個人情報流出に関する最終ご報告」から引用）

5月25日に決済代行会社からカード情報漏えいの可能性を指摘され、「ハワイアンズモール」のクレジットカード決済利用を停止してから、再開するまで7ヶ月かかったことになります。特にECサイトは、ひとつの参考として、この事業リスクを認識しておくべきでしょう。

更新履歴

• 2017年12月22日 PM（予約投稿）