Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

委託先企業のセキュリティは無条件に信じてはいけない。

つぶやいてみた。

IPAの調査結果を見ると海外企業が考えているセキュリティと日本企業のソレに差分を感じました。

japan.zdnet.com

◆調査結果(IPA)

「ITサプライチェーンの業務委託におけるセキュリティインシデント及びマネジメントに関する調査」報告書について:IPA 独立行政法人 情報処理推進機構

 

f:id:foxcafelate:20180331133349j:plain

業務委託先でのインシデント発生が3年間で16.4%。この数字が大したことが無いと思われる方も多いかと思いますが、10年ベースだと半分以上の企業がインシデントが発生する計算になり、無視して良いデータではないと思います。しかし、システム障害が主なインシデント内容となっていますので、ASPサービス利用あるいは業務サーバのデータセンタ利用における、DDoS攻撃によるサービス停止などがこの中にかなりの部分含まれていますので、情報漏えいを含めた大きなインシデントという訳ではないのかも知れません。

f:id:foxcafelate:20180331133604j:plain

一方で受託企業側でのデータでは、インシデントは21.3%となっており、委託元よりインシデントが発生している事も分かります。また再委託先以降でもかなりインシデントを経験している結果となっています。この差分は何であるか・・は委託先企業が関係ない、受託企業側だけのインシデントも含まれてますので、必ずしもそうとばかりは言えないのですが、このデータの裏側には「隠しているインシデント(インシデント寸前の事件)」もありそうです。

 

この原因は何であるか、報告書では考察もあり、いくつかの可能性が伺えますが、委託先に対する管理責任が曖昧である企業が多いのかと思います。業者任せである事は、それまでに培った信頼関係の証かも知れませんし、業務委託契約等々でそうしたリスクはカバーされているものだとは思いますが、このご時勢、委託元がセキュリティに対するしっかりとした知見を持っているべき、それが業務発注側の責務ではないでしょうか。

 

委託元企業(の担当)がセキュリティに対する意識が低いと感じるデータがありました。それが仕様書でのセキュリティ対策の明記の設問です。3割しか委託先のセキュリティを考慮していません

 

f:id:foxcafelate:20180331133931j:plain

調査対象がITシステムやサービス提供会社という事もあり、委託や再委託が普通な点も影響している気がしますが、先日の日本年金機構の中国業者への業務再委託事件などを考えると、「それで良いのでしょうか?」と聞きたくなる数値です。特に製造業と小売業の意識の低さは、業界としての課題と言っても良さそうです。

余談となりますが、私が大手企業の方と話をしていて、『セキュリティ対策にはお金をかけない』と話される方は未だに結構いらっしゃいます。その方の会社のセキュリティ対策は(情報システム部門が頑張って)しっかりしているものと信じてはいますが、(業務発注)担当の方でセキュリティへの意識が低い方は、『コストしか見ない』傾向が強い気がします。そこも調査結果に出ていました。

 

f:id:foxcafelate:20180331135107j:plain

 

セキュリティ対策コストは社内に説明できない」。この言葉に尽きるのでしょうが、例えば無料のアンチウィルスソフトがあっても、多くの企業の方はサポートや安心を買って有償版のアンチウィルスソフトを選ばれれていると思います。それと同様に企業のサービスや資産を守るためには・・・委託先選定にセキュリティ対策が含まれているべきであり、その安心を買うには一定の対価が必要のではないでしょうか?

『社内で理解されない』ので、セキュリティ対策には目をつぶり、コストが安い所を使うのは経済的には合理的な理由があります。とは言え、先日も日本年金機構の委託先企業が中国の再委託先を使っていて問題となりましたが、それによって生じるリスクも併せて検討した上で、コストが安い所を使う判断をしてない企業がとても多いようです。

委託先の情報セキュリティに関する取り組みについては、委託元にも業務委託(先監督)の責任があるのですから、委託先のセキュリティ対策についてのリスクを正しく把握する、すなわち『委託先企業を信じない』観点が必要となってきているのではないでしょうか。

 

更新履歴

  • 2018年3月31日PM(予約投稿)

東京の安全でない公衆無線LANは必要なのか?

つぶやいてみた。

レコードチャイナの3月22日の、東京の公衆無線LANの安全性についての記事は深刻に受け止める必要があるかもしれません。

www.recordchina.co.jp

2018年3月21日、在日本中国大使館は日本で生活を送っている中国系や日本を訪れた中国人観光客に対し、都内の公衆無線LANは安全でないものもあるため不用意に使わないよう呼び掛けた

 

ある調査によると、東京都内の新宿や渋谷、六本木、秋葉原などの繁華街では公衆無線LANサービスの14%がパスワードなどセキュリティーのない状態で利用できるという。

(レコードチャイナ記事より引用)

 

◆キタきつねの所感

日本でも同様な記事が定期的にUPされていますし、2020年の東京五輪に向けて政府もこの課題を解決していこうとしています(※下記、3月22日の「公衆無線LANセキュリティ分科会報告書」参照)。しかし、中国からの観光客向けに「中国大使館」がメッセージを出している、その事の重みは計り知れません。実際には安全なWifiネットワークもある訳ですが、日本に来る中国人観光客の多くが、日本の無線LANは安全ではない、という先入観を持ってしまう事が大きな問題かと思います。

 

www.soumu.go.jp

因みに、公衆無線LANセキュリティ分科会報告書では、暗号化通信の重要性を説きつつも、キャリア提供の通信では電話番号等の一定のトレーサビリティが確保できているとしているが、自治体やフリーWifiでは認証もなく、トレーサビリティが十分に確保できないケースもあるとして、2段階認証や監視カメラの併用や、安全な使い方をユーザに啓蒙する必要性などが提言されています。

2020年に向けて、既存のフリーWifiを徐々にセキュリティ強化していこうとの思惑も含んだ報告書になっているようです。

日本も外国人旅行客への(安全なフリーWifi、危ないWifiの見分け方といった)啓蒙活動も前倒していかないと、今回の在任日本中国大使館の発表を受けて、不安に思う中国人観光客も増えてしまうかも知れません。

www.anzen.mofa.go.jp

 

因みに・・個人的には、怪しいフリーWifiは、お役所が見つけたら改善させるか止めさせるべきであって、暗号化無しを許すのであれば、身元のしっかりした(トレーサビリティを担保できる)キャリア回線か、短時間利用しか認めない海外でのホテルロビーのWifi(情報漏えいするかも知れないから自己責任で使えとのアナウンス画面にOKを出した後で使える)位にした方が良いのではないかと思っています。

東京(日本)は世界で一番治安の良い都市(国)である、という話が都市伝説にならないように、オリンピックでもに向けてWifiも安全な回線がほとんどという状態(フリーWifiは自己責任)になると良いのですが。

 

「Free Wi-Fi」のイラスト文字

 

更新履歴

  • 2018年3月25日PM(予約投稿)

ゲーム感覚の軍隊

つぶやいてみた。

Gizmodeの3月23日記事に、米国海軍の最新鋭潜水艦の一部機器操作に「XBOX」のコントローラーが使われているとの内容がありました。

www.gizmodo.jp

使われる箇所は、潜望鏡の代わりに使われる「フォトニクスマスト」という部分で、以下の点でXBOXコントローラーが優れているので切替となったようです。

  • コスト削減(38,000ドル > 40ドル)
  • 訓練時間の短縮 ※多くの軍人が既に使い方を分かっている

 

同じような記事を去年見た?と思って探してみると、去年10月にも多くの記事がUPされていました。なる程、この時は実証実験で、今回が正式リリースという事になるのですね。

 

gigazine.net

現在「フォトニクスマスト」が搭載されるバージニア原子力潜水艦は13艦あるので、コロラド以降も順次XBOXコントローラーに切替られていくようです。よく軍事技術を民需製品に移管していく話は聞きますが、軍需技術の粋たる米軍の潜水艦で、民需が大々的に使われるようになっていくのはあまり聞いた事があります。それは、コスト削減の観点では現実的ですが、それだけでなく、軍需と民需製品の垣根がなくなりつつある事の象徴なのかも知れません。

 

(勝手な妄想ですが)将来、最新潜水艦や最新戦闘機のコントローラーがXBOX・・だけでなく、PS4やSwitchなどのコントローラーになっていくのかも知れません。そうした場合・・・学生さんで戦闘ゲームのスコアが良い人には・・・ネットワーク越しで米軍(自衛隊)からスカウトが来る・そんな時代ももうすぐなのかも知れません。

 

その頃にはコナミコマンドも潜水艦に実装されているかも・・・

f:id:foxcafelate:20180325144321p:plain

 

参考:

www.usatoday.com

ゲームに熱中している男の子のイラスト

 

 

更新履歴

  • 2018年3月25日PM(予約投稿)

Under Armour子会社の会員サイトから1.5億件のデータ漏えい

海外事件 不正アクセス事件 調べてみた。

下着メーカーで有名なUnder Armourが3/29に食べ物と栄養のアプリケーションとWebサービスを提供する「MyFitnessPal」でユーザ情報が漏えいしたと発表しました。

mainichi.jp

■公式発表

Under Armour Notifies MyFitnessPal Users Of Data Security Issue (NYSE:UAA)

 
事件の状況 
  • 3月25日にMyFitnessPalチームが不明の第三者が2月下旬のユーザアカウント情報が漏えいした事を認識し、業界トップのデータセキュリティ会社と関係当局と事件を調査中
  • 最大で150百万(1.5億)ユーザアカウントが影響を受けた可能性がある
    (ユーザ名、Eメールアドレス、ハッシュパスワード<bcrypt>/一部ハッシュはSHA1
  • クレジットカード情報や社会保障番号、運転免許情報等は漏えいしていない
  • MyFitnessPalユーザにはパスワード変更を推奨

インシデントタイムライン

日時 出来事 備考
2018/2後半 MyFitnessPalのアカウントデータが漏えいした可能性  
2018/3/25 不明な第三者がユーザデータを入手した事をMyFitnessPalチームが認識  
2018/3/29 事件を公表 *公式リリース

 

◆キタきつねの所感

不正に会員データを奪取された(不正アクセスの)理由がまだ出てきておらず、”不正に会員データを入手された”ところからのニュースリリースなのでよく分からない部分もあるのですが、会員データが漏えいしている事を「発見した」のは、推測ではありますが、DarkWebに会員データが売りに出されていたのを見つけたのかと思います。

iedge.tech

iedgeの記事によると、

アンダーアーマーは2015年、当時ユーザー数8000万人だったMyFitnessPalを4億7500万ドルで買収しました。それ以来フィットネストラッカーとの連携やアプリの改良を推し進め、登録ユーザー数は3年で約2倍になりました。

とありますので、買収した子会社のアプリ(Web)からの情報漏えい事件のとなります。

一般論ですが、買収した会社のセキュリティについては(FinTech企業の勢いを削がないために)、強力なセキュリティ対策を親会社が追加要求しないケースが多いといわれており、ましてや今回のケースでは親会社がUnder Armourですので、そうした防御体制に穴があったのかなと思います。

漏えい経路は分かりませんが、漏えいした情報の中で重要度が高いのは「ハッシュ化されたパスワード」くらいでしょうか。クレジットカード情報も漏れてませんし、住所や電話番号がもれている訳でもありませんので、毎月の様に大きな個人情報漏えい事件が発生する米国での事件にしては、そう大きな漏えい範囲では無い気もします。

一方で、Under Armour社は、漏えいした可能性がある(1.5億人の)ユーザに対し「パスワード変更」をお願いしています。パスワードのハッシュはbcryptとリリースに書かれていたので、現役のハッシュ方式で何で急いで変更依頼する必要があるのか?と疑問に思ったのですが、その答えは、Under Armour社の事件に関するFAQの中にありました。

5. What is "bcrypt"?

Bcrypt is a password hashing mechanism that incorporates security features, including multiple rounds of computation, to provide advanced protection against password cracking.

6. What hashing function was used to protect the MyFitnessPal account information that was not protected by bcrypt?

The MyFitnessPal account information that was not protected using bcrypt was protected with SHA-1, a 160-bit hashing function.

6番に「bcrypt」で守られてないアカウント情報は何のハッシュが使われていたのか?という質問とその回答があり、要するに「bcrypt」と「SHA-1」の両方が使われていた事が暗示されています。SHA-1が混じっていたとしたら、全ユーザにパスワード変更をして貰った方が良いという判断に至ったのも何となく分かります。

 

侵入経路が気になるので続報が出たら(それに気づけたら)、また記事を書くかも知れません。

 

参考:SHA-1

www.ipa.go.jp

 

スマートウォッチを使う人のイラスト

 

更新履歴

  • 2018年3月31日PM(予約投稿)

産総研の北風ガバナンスは吉と出るか?

つぶやいてみた。

産総研が、3月26日付けで不正アクセス事件後で(多少は関連すると思われる)1職員を懲戒処分した旨を発表しました。

 

f:id:foxcafelate:20180401160245j:plain

2月13日に発表があった、産総研不正アクセス事件についてウォッチしているのですが、気になるお知らせが出ていたので、つぶやいてみます。

尚、私自身は産総研とはまったく関係はありません。

産総研の記事は、過去に3本書いていますが、Upした日に急にアクセス数が伸びているので、おそらく産総研の方もご覧になっている可能性が高いと思うので念のため補記しておきます。

 

f:id:foxcafelate:20180401161545j:plain

お知らせの中で、3月26日に突然「職員の懲戒処分について」という内容が上がっていました。事件に関連してそうな気配があったので、見てみると就業規則違反による懲戒処分・・とあります。

事件の発表ではなかったのか・・・

当研究所つくばセンターの職員が、上司の業務命令に違反する行為等、就業規則に反する行為を繰り返し行ってきました。

同職員に対しては、再三にわたりこれらの行為をやめるように注意及び警告してきましたが、改善がみられないため、懲戒解雇の処分としました。

実際に何を元にした懲戒処分なのか、これだけでは分かりにくいのですが、某掲示板では内部関係者からと思われる書込みに対し、「こんな所に書き込んでいると処分対象になるぞ」といった管理側と思わしきコメントも多数載っていましたので、不正アクセス事件によってインターネット遮断された事で内部の方々に溜まった不平・不満(及び某掲示板での書込み)が影響している可能性も否定できません。

 

このリリースを受けて某掲示板を見てみたのですが、前日に、

f:id:foxcafelate:20180401162257j:plain

といった注意喚起が載っていました。(組織としてこの対応をするのは良く分かりますが、、)

 

しかし、

f:id:foxcafelate:20180401162328j:plain

こうした書込みまで縛ろうとするのであれば、経営側はやるべき事を急ぐべきだったのではないでしょうか。

2ヶ月近くインターネットが遮断され、年度末で研究成果を問われる方々を含め、関係者と思われる切実な”愚痴”コメントは、内部に居たら私も、少なくても飲み屋さんで、経営(IT部門)側の責任を愚痴っていたと思います。

 

普通の不正アクセス事件の事後対応としては、あまりにも現場を考えない手法(影響を無視してネット遮断調査経過報告が内部に対しても無い)を考えると、その対応の稚拙さについて、某掲示板への愚痴をかかれてしまうのは、、、当然ではないかなと心情的には思ってしまいます。

 

一方で、ようやくインターネット接続は3月末に復帰したようです。

f:id:foxcafelate:20180401162340j:plain

このコメントが何を意味するのか、普通では無い状態を多くの研究者に強いていた事を、経営側は深く考えるべきではないでしょうか。

 

不幸な不正アクセス被害の事件、ある意味経営側も研究者側も被害者なのです。その被害の(外部)影響度を抑える為とはいえ、経営側が取った手法は、寓話で言う「北風と太陽」の北風と言えるのではないでしょうか?

強制を強めると反発する人も出てくる、それはもしかすると、辞めさせられた人からポロっと(マスコミに?)出てきてしまう事もあるかも知れません。

f:id:foxcafelate:20180401163020j:plain

ちょっと調べるだけで当該の方に行き着いてしまう。それがネット社会なのですから。

(FBの中身は拝見してませんが、3月26日と明記する事に隠された想いを感じてしまいます)

 

さて、インターネット接続が復旧した訳ですから、

内容

平成30年2月6日(火)、弊所に対して外部からの不正なアクセスがあったことを確認しました。当該事案は重大なセキュリティインシデントであると判断し、弊所の情報セキュリティ規程第20条に基づき情報セキュリティ対策本部を設置、外部の専門事業者にも依頼して原因究明を進めているところです。

今後の対応

三者及び弊所の知的財産に関する情報保有個人情報の漏えいの可能性なども懸念されることから、引き続き、早急に、原因及び影響範囲等の調査を進めます。

(2月13日の産総研リリースより引用)

経営陣には、2ヶ月もかけて詳細調査された内容を早く発表して貰いたいものです。普通にフォレンジック調査会社を入れていれば、既に情報漏えいがあったか無かったかについては判明しているものと思います。(その影響範囲確定には時間がかかるにしても)

一般企業では、調査に時間がかかる場合には続報という形で経過報告を行うケースが多いかと思います。何故、産総研は行わないのか疑問ではありますが、重大インシデントである、と自ら認めて2月13日のリリースを出している訳ですから、その説明責任を早く果たしてもらいたいものです。

 

※無いとは思いますが(あまりに発表が遅いので)、もしフォレンジック調査会社を入れてないのだとすれば、『副理事長の下に設置された情報セキュリティ対策本部』が厳しく責任を問われるべきだと思います。

 

参考:

foxsecurity.hatenablog.com

foxsecurity.hatenablog.com

リストラ・解雇のイラスト(男性)

 

 

更新履歴

  • 2018年4月1日PM(予約投稿)

東京五輪のサイバー攻撃対策は公開する必要があったのか?

つぶやいてみた。

産経ニュースの3月22日記事に、東京五輪サイバー攻撃対策の内容が記載されていました。

www.sankei.com

 

きっと私は考えすぎ・・・と言われるかも知れませんが、

政府のまとめた「2020年東京五輪パラリンピックを見据えたサイバー攻撃への対策」のリーク記事が各ニュースソースに上がっていました。この記事を読んで、セキュリティの考え方からすると、「何を対策しているのかを知らせない」方が良かったのではないかと思うのです。

 

とは言え、大した事は書いてません。

  • 各競技場に非常用発電機を配備(電源システムへの攻撃想定)
  • 制御系システムの復旧方法を構築
  • (制御系システムにサイバー攻撃を受け被害が出た)想定の訓練を実施
  • 厚労省がNISCからの要請を受け、医療機関のリスク分析に協力
  • NISCの医療分野の事務局を日本医師会に移す
  • 水道の情報システム障害が発生した際の復旧・代替手段を明記したガイドラインを改訂
 

 

記事を見た限り、こんなところでしょうか。

ざつくりと言えば、非常用発電機の各競技場整備以外は、インシデント対応計画を整備する事、制御系システムのインシデント対応訓練を実施する、こんな所がメインとなって検討を進めるようです。ガイドラインや手順の中身までは判明していないので、サイバー攻撃対策全容判明」の産経ニュースの標題が東スポに見えてしまう所ではありますが、「非常用発電機配備」や対応マニュアル整備などの大した事の無い情報であっても、攻撃側にヒントを残す事があまりよくないのではないかと思ってしまいます。

各競技場に非常用発電機があるならば、攻撃側は、電気インフラと非常用発電機の両方を想定した攻撃プランを立てるかも知れません。あるいは、非常用発電機切替の脆弱性を狙った攻撃(詳しく書けませんが、いくつか想像されるケースがあります)を考えるかも知れませんし、例えば水道はガイドラインだけ策定して想定訓練を行わないのであれば、攻撃成功率が高くなると判断して攻撃してくるかも知れません。

単なる想像の攻撃に過ぎませんし、これから更に東京五輪サイバー攻撃対策は強化されていくものと思いますが、「その情報を元に狙われる可能性がある」という意識の元、記者さんの”攻撃”にも政府や関係者の皆様は(対策の詳細は答えないという防御をして欲しいと、東京五輪の成功を祈る1都民として、切に希望します。

 

肩をすくめる白人男性のイラスト

 

更新履歴

  • 2018年3月25日PM(予約投稿)

ランサム支払いしても復旧は5割

つぶやいてみた。

3月13日のニッポン消費者新聞に、英国のランサム被害事情が載っていました。

www.jc-press.com


2017年に行われた世界1176社を対象とした調査によると、身代金を支払わずにデータ復旧ができた企業は53.8%支払わなかったがデータ損失となった企業が8%あった。残る4割近くは身代金を支払ってしまった企業。支払い後にデータ普及できた企業は19.1%で、支払ったのにデータ損失した企業は19.6%に上った。

(ニッポン消費者新聞記事より引用)

 

少し分かりにくい数字の書き方になっていますが、この統計データは、私の理解では、

  1. 身代金支払いをせず、自社でデータ復旧した(53.8% [87%])
  2. 身代金支払いをせず、自社でのデータ復旧に失敗した(8% [13%])
  3. 身代金支払いをし、(解除キーをもらい)データ復旧を成功した(19.1% [49%])
  4. 身代金支払いをしたが、データは復旧できなかった(19.6% [51%])

という意味だと思います。

 

非常に乱暴な私の見立てでは、

1番目の自社データ復旧組は、自社バックアップからの復旧を果たした優等生ケース

2番目の自社データ復帰失敗組は、「バックアップデータから復旧できる!」と思っていたら駄目でした、のケアレスミス平均点ケース

3番目の支払って解除キーからデータ復帰できた組は、「運が良かった!」が、今後は気をつけましょうの及第点ケース

最後の支払ったのに・・・組は、「バックアップ不備とランサム被害の勉強代が高くついた赤点ケース

といえるのではないかと思います。

 

ランサム被害が全世界的に増加傾向である現状を考えると、企業は1番目の状態を目指すべきであり、(1番目の手があるが、スピードを買ってランサム支払いを選ぶ様な)どうしても仕方がない場合に3番目を選べるのが理想だと思います。2番目はバックアップ確認が出来ているという思い込み、あるいは実はバックアップもランサム被害を受けていた・・・というショッキングな事実を後から知った企業という事になりますが、バックアップの考え方(正しく実装できているか)を定期的にチェックするのも重要だと教えてくれているといえます。

 

最後の4番目の選択肢・・・できればおきて欲しくない事態です。この事態になったということは、ランサム(身代金)支払いをする、しないの前に、バックアップをちゃんと取ってなかった、という事とランサム攻撃に対する防御(検知・回復)が出来てなかった事になるのかと思います。

 

ランサム支払いの「データ復旧の確率5割」のチケットを買う前にやるべき事(セキュリティ対策)をきちんとやる事が、多くの企業にも求められていると言えるのかも知れません。

 

 

参考まで、同じく英国の2016年調査結果がITmediaさんの記事にありましたが、「身代金と引き換えにデータを取り返すことができたと答えたのは45%」とありましたので、ほぼ同じような傾向(データ復旧は5割程度)が続いているようです。

www.itmedia.co.jp

ランサムウェアのイラスト(パソコン)

更新履歴

  • 2018年3月18日PM(予約投稿)