Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

日本型CISOは経営層との距離が肝心

つぶやいてみた。

日本ネットワーク・セキュリティ協会(JNSA)がCISOハンドバックを公開した件が、Zdnetに掲載されていました。

japan.zdnet.com

CISOハンドブック

www.jnsa.org

◆キタきつねの所感

読んでみると、よくまとまっていますが・・・感覚的には堅苦しい作りになっているなと思います。経営層向けという面もあるからかも知れませんが、時間が無い(&CISOとしての知見がまだ足りない)役員級のCISOに読ませる内容としてはどうかなと考えてしまうのは、内閣サイバーセキュリティセンターなどが昨年出した『ネットワークビギナーのための情報セキュリティハンドブック』が頭にあったからかも知れません。

www.nisc.go.jp

もっと読みやすく(頭にスッと入りやすいように)作れなかったのかな・・・と思いますが、必要な事は一通りまとまっているので、読み手の頑張りでカバーされるべきなのでしょう。因みに、読みやすくと工夫されていると思ったのはコラムの解説でした。(勉強になりました)

 

Zdnetの記事では、IPAのCISOの組織上での役職データを出していました。そのデータによると、日本のCISOで、経営会議に出席が可能そうな取締役・執行役は36.9%しかいません。(英語ではCISOの最後のOがOfficer、つまり役員級を指しています)そうであるならば、このハンドブックの対象者である日本型のCISOは、経営層や、その意思決定から遠ければ遠い程、ハンドブックに書かれているCISOの役割を実行する事は困難になる可能性が高いかと思います。

CISOが経営層から遠いかも知れない人が割り当てられている日本企業の現状を考慮して、”橋渡し役”の必要性が問われている訳ですが、単にITシステムに詳しいからという理由だけでCISO(あるいはCISO補佐)を任命し、経営層がサイバーセキュリティ経営の責務を丸投げし、でも大きな権限は与えず、予算は出さない・・・というのは経営層の責務を果たしてないのかも知れません。

 

企業や組織のトップにセキュリティのリーダーシップを求めるが、多忙を極めるトップが実務に近い領域にまで関わるのは難しい。

Zdnet記事より引用)

 

この記事にある、CISOは知見が無くても仕方無い・・という日本企業の現状は、現時点ではそうなのかも知れませんが、私はこのままで良いとは思いません。将来CISOになり得るかも知れないCISO補佐が育った頃には・・・私は海外企業が引抜をかけてくると思います。

CISOは責務が重い訳であり、だからこそその待遇も良くしなければいけなりません。米国では優秀なCISOのリクルートが盛んです。欧米企業並みに、役員級の待遇・・とまではいかないのかも知れませんが、それなりの対価を払う事で貴重な人財を守る事も、これからの経営層には必要な事ではないでしょうか。

 

参考:

forbesjapan.com

 

 

ピラミッド型組織のイラスト

 

更新履歴

  • 2018年6月2日AM(予約投稿)

ディノス・セシールの会員を責めない姿勢

不正アクセス事件 つぶやいてみた。

セシールオンラインショップで中国のIPから不正アクセスがあり、490件の不正ログインが成功した件がSecurity-Nextの記事に出ていました。

www.security-next.com

■公式発表

弊社「セシールオンラインショップ」への不正アクセスとお客様情報流出の可能性に関するお詫びとお知らせ[第2報]

弊社「セシールオンラインショップ」への不正アクセスとお客様情報流出の可能性に関するお詫びとお知らせ

 

今回の攻撃では、不正なログインの試行に用いられた1938件のメールアドレスすべてが、登録されている顧客IDと一致。同社は、情報流出の可能性が高いとして調査を進めていたが、同社経由の流出ではなく、攻撃リストから同社顧客と一致しないデータをふるい落とす「スクリーニング処理」が行われたリストが用いられたとの調査結果を明らかにした。

同社によれば、攻撃者は既存登録者のメールアドレスを重複して登録できない「新規登録」の機能を悪用していたという。同機能ですでに顧客登録済みのメールアドレスであるか事前に確認。選別したリストを用いてログインを試行したと見られる。

(Security Next記事より引用)

 

ディノス・セシールは、最近はディノス側の方が何度もパスワードリスト攻撃を受けており、その攻撃を多くを撃退(防衛)していましたが、今回はどうやら不正アクセスが成立してしまったようです。その攻撃手法として、「新規登録機能の悪用」が気になる所。今回の事件では、ディノス・セシールから2回の公式リリースが6/6と6/8出ているので、第2報を見てみますと、

 

1.本件不正アクセスについて
弊社が運営する「セシールオンラインショップ」において、6月2日(土)10時19分~22分にかけて同一IPアドレス(中国)より、メールアドレス・パスワードを使った、“なりすまし”による不正アクセスが発生し、その一部が不正ログインされ、お客様情報(氏名、所有ポイント数)が第三者に閲覧された可能性があることが判明。そのため、攻撃元IPアドレスを自動遮断処理によってアクセス不可の状態に遷移させたものの、その後も他の複数IPアドレス(全て中国)から不正ログイン試行が続いたため、プロバイダー単位のアクセス遮断対応を実施。

 

≪今回の不正アクセス要因≫
弊社内で顧客情報アクセスログ等を6月6日(水)までに確認したところ、不正なアクセスログは検知されませんでした。同日に外部の調査機関(TIS株式会社)に本件調査を依頼し、本日朝時点で本件は弊社からお客様のメールアドレスが流出したのではなく、「セシールオンラインショップ」の新規顧客登録申請時の二重登録防止機能を悪用した、リストの「スクリーニング」であったことが判明しました。

外部調査機関によると今回の不正アクセスの手段は、以下の通り考えられるとのことです。
①外部で不正に入手したリストのうちメールアドレスを用いて、弊社ECサイトにて「新規顧客登録申請」を行う。
②すでにご登録のあるメールアドレスでは二重に登録ができない機能を悪用し、登録済みのメールアドレスであることを確認。
③弊社ECサイトで登録済みと確認ができたメールアドレスでリストを生成し、外部で不正に入手してあったパスワードにより不正ログインを試行。

上記の根拠としては以下の通りです。
①6月2日(土)午前0時頃から、165,038件(※)と通常以上の新規顧客登録申請があった
②うち3,533件については、すでにお客様登録があったため新規顧客登録はできなかった
③6月2日(土)午前10時過ぎから不正アクセスを受けた1,938件全てが上記3,533件に含まれていた

セシールのリリースより引用)

 ◆キタきつねの所感

基本的なところで、まず最初に書かなければならないのは、ディノス・セシールが悪かったかと言われれば、パスワードを他サイトで使いまわしをする会員が悪い事は間違いありません。この手の事件が発生する度に、ディノス・セシールは、会員に対して(パスワードの使いまわしをしないように)啓蒙の情報を発信しています。

それでも、パスワードリスト型攻撃を受け続けているのです。まずは会員を責めないこのディノスセシールの企業姿勢というのは高く評価されるべきだと思います。

今回の事件に関しても、不正アクセスが成立してしまっていますが、防御側は3分程度で攻撃を検知し、攻撃IPの自動遮断対策に移っています。ここまでのスピードを持って対処できない企業も多いのではないでしょうか。

もう1点すごいなと思うのが、6月2日に攻撃を受けて、事件の自社でのログ調査を6月6日に終わらせており、6月8日には事件の原因まで特定、リリース発表までに至っている点は、賞賛に値すべきだと思います。

(次の情報セキュリティ事故対応アワードにもノミネートされそうな・・・)

 

多くの企業が、「サーバの脆弱性を突かれて個人情報が漏えいしました」とお茶を濁した様な、脆弱性って何だったのですか?と聞きたくなる事故発表しかしない中、こうした他社に参考になるような発表こそ、日本企業が追い求める情報連携のあるべき姿(の1つ)といえるかも知れません。

 

・・・と書いてきて、とは言えディノス・セシール側がやるべきだった(かもしれない)事も気づきました。

それは、夜中の短時間に16万件の新規登録申請が行われ(おそらくツール試行でしょう)、3500件がエラーとなった所です。ログに出ていた訳ですので、ここを監視していれば、事件を防げたか、異常値として監視警戒体制を強められた気がします。

それ以外にも、当然ディノス・セシール側でも気づいていると思いますが、海外(中国)からの同一IPによる短時間での(ツールと推測される)新規登録について、制限をかける事も出来たのかと思います。

今回の事件では人員体制が手薄な真夜中を狙って新規登録がされていますので、やはりAI的な対策しか難しいかったかも知れません。だとすれば、考えられる有効な対策としては、リスクベース認証でしょうか。上記の怪しげな条件は、確実にスコアに反映されると思うので、まず入り口(新規登録)の部分から抑え、その後の不正アクセスでもリスクベース情報を有効に使えれば、効果はあったと思います。

継続的に攻撃を受けている事を考えれば、新規登録への強化対策が無いと今後もリスト型攻撃が成功する可能性が高くなりますので、ディノス・セシールが熟慮の上で実装する対策が、有効な策として他社もよく見ておく必要がありそうです

 

参考:

foxsecurity.hatenablog.com

 

 

小学校の授業のイラスト(女性教師)

 

 

更新履歴

  • 2018年6月9日AM(予約投稿)

トップガンからの気づき②

つぶやいてみた。

先日の名和さんから聞いた話のメモが残っていたのでもう少しご紹介。

www.nhk.or.jp

・機微な情報を持つ、標的型攻撃の対象となる方は、SNSでの情報発信は攻撃の際に使われるので気をつけた方が良い。

・PTA、子供の情報、写真・・SNSで発信された情報をAIが分析し攻撃情報として使う。特に写真は気をつけた方が良い。

・標的型攻撃の手法。相手を信じ込ませてからひっかける。

・趣味がゴルフだとすると、その場に誘導し、異性が待ち構える。ひっかかるのは、ほとんど男性。マタハリ攻撃。

・情報のハブとなる所、例えば人事部。仕事が多忙、その隙をついて攻撃する。電話・Facebook・社内ポータルを乗っ取って近づく手法も。

・Hotなのはオンラインゲーム。チャット見ると色々分かる。

 

◆キタきつねの所感

自分のメモから起こしているので、少し分かりにくいかも知れません。もう少し具体的な事件事例の侵入手口なども講演では話してらっしゃいましたが、内容は伏せるべきかと思うので、ソーシャルエンジニアリングの部分と、最近注目すべき分野して、オンラインゲームの部分だけを気づきとして挙げておきます。

SNSの話は、名和さんが日々取り組まれている国家関係(あるいは重要インフラ)のレイヤーだけでなく、今後一般化される攻撃になり得る気がします。昨年ビジネス詐欺メールで、昨年末にJAL等が被害を受けましたが、人をひっかける(ソーシャルエンジニアリング)部分に、ビックデータとAIを活用してくると、より本物らしいビジネスメールが来たり、水のみ場に誘導された事も気づかないかも知れません。あるいは、分析された情報を元にしたハニートラップ・・・経営陣がひっかかっただけで大きな影響を受けるかも知れません。

そうした意味では、ハリウッド(スパイ)映画の世界が実現しつつある、名和さんは、そう警鐘を鳴らしていたと言えるのかも知れません。

 

講演後に直接お話を伺った際にも少し聞いたのですが、観光客がカシャっと日本で名和さんの写真を撮ったら、それが外国のサイトで写真と場所が緋付けられてUPされていたという例示(おそらく本当の話でしょう・・・)で話されていました。

顔認証(AI)でDB(ビックデータ)照合をかけて、タグ付けする。シンプルですが、これが潜在的に攻撃対象となる方すべてで行われた場合、どこで誰が何をしていた、、、という事まで攻撃型に筒抜けになってしまいます。情報が蓄積されることによって、様々な攻撃に対するデータ活用が考えられます。

 

以前書いたこの記事を思い出しました。犯罪調査・・・という名目とは違うところで、中国だったり、米国は情報を集めている、そう考えても良い気がします。

foxsecurity.hatenablog.com

foxsecurity.hatenablog.com

普通の人は、情報を収集されることに抵抗感が無いかも知れませんが、Facebookの情報漏えい事件の様に、最終的なターゲットに繋がっているのが、自分なのかも知れないと考えると、自分の情報を自分でコントロールできない、こうした国家的な動きについては注意を払うべきかも知れません。

攻撃する際の対象。ハブとなる人=忙しい人・・・有能が故に仕事が集中し、その結果として注意力が散漫になる。攻撃者はそれを知っている訳です。IT部門(防衛)が深夜・休日に手薄になる事と似ているかも知れません。残念ながらそうした防衛側の実情を、攻撃側はよく知っている訳です。

だとすれば・・・そうしたハブとなる人(部門)に対する手当てを企業側が行わない(予算・人・技術を与えない)事は、将来のセキュリティインシデントに繋がってしまう不作為となりかねません。名和さんは、そうした懸念が顕在化しつつあると言っていたように感じました。

最後はオンラインゲーム。射幸心を煽るような課金アイテム、アバター等のデータ自体の販売、RMT・・・セキュリティの脆弱性を常に突かれている業界である事は理解していましたが、ゲームの仮想空間内だけの問題ではなくなりつつあり、例えば人のアカウントを乗っ取るために、外部の個人情報を収集して(自分のためにまず活用=悪用し)、活用し終わったら(関係が無いデータを)DeepWebで販売(公開)する。

今までの犯罪の行動パターンとは違うので、この話を聞いてもピンと来ませんでした。オンラインゲームをやってない多くの方もそうかも知れません。こうした動き・・・オンラインゲームのチャットを追いかけるとよく分かるそうです。いろいろな所にアンテナを張れないと、講演の中で一番考えさせられた話題でした。

 

 

トランプのイラスト「エースのカード」

 

更新履歴

  • 2018年6月9日AM(予約投稿)

メニコンはノーガード戦法であったのか?

つぶやいてみた。 不正アクセス事件 クレジットカード情報漏えい事件

最近の日経xTECHさんの記事は、プレミアム・アウトレット関連の報道を含め、深い取材内容に敬意を表します。メニコンWebサイトからの個人情報漏えいの原因がOpenSSLである事を記事に書かれていました。また、その事件発表のサイトが同じ脆弱性を抱えたサーバである事も追加検証されていました。

tech.nikkeibp.co.jp

4年経った2018年になってもHeartbleedの脆弱性を残したまま運用していた可能性の高いWebサーバーが見つかった。メニコン子会社のダブリュ・アイ・システムのWebサーバーだ。メニコンは5月17日、そのWebサーバーからクレジットカードなどの個人情報が漏洩したことを明らかにした。

 

メニコンの子会社ダブリュ・アイ・システムが運営する「A-Web倶楽部」。情報漏洩が判明した後、おわびページを表示している

(日経XTech記事より引用)

 

f:id:foxcafelate:20180609181344j:plain

◆キタきつねの所感

最近、森永乳業メニコンと実際の被害(不正利用)までつながっている事件が出てきています。ECサイトが丁度、実行計画/改正割賦販売法の影響で、システム対応変更時期に来ている事からその対応中を狙って攻撃を仕掛けてきているハッカーが多いともいえますし、常にECサイト脆弱性を探されていると考える事もできます。

とは言え、今回の「A-Web倶楽部」の情報漏えい事件については、企業側のセキュリティに対する姿勢が疑われても仕方が無い、もっと乱暴に言うならば、ノーガード戦法だったのか?と思える程の致命的な脆弱性を突かれてしまった様です。

 だが、4年経った2018年になってもHeartbleedの脆弱性を残したまま運用していた可能性の高いWebサーバーが見つかった。メニコン子会社のダブリュ・アイ・システムのWebサーバーだ。メニコンは5月17日、そのWebサーバーからクレジットカードなどの個人情報が漏洩したことを明らかにした。

(日経XTech記事より引用)

OpenSSLの脆弱性「HeartBleed」ですか・・・と、2014年のHeartBleedから始まった当時のバタバタについて懐かしく思い出してしまいました。

jp.globalsign.com

当時はあらゆる企業でこの対応について大混乱していたのですが、メニコン(子会社)は、当時の”お祭り”をまったく知らなかったのでしょうか?

たとえそうであったとしても、Web脆弱性診断を定期的に実施していれば、普通に指摘が上がってきていたと思います。何らかの事情でOpenSSLの脆弱性を放置するしかなかったのだとすれば、WAFを入れる等々の緩和策もあったと思うのですが。。。

 

その後の、脆弱性のあるWebサーバで事件に対するお詫びを掲載していた件については、Equifaxの事件サイトが混乱した件を思い出しました。

news.mynavi.jp

フィッシングサイトの乱立と含め、事後対応というのは日大アメフト部の例を挙げるまでもなく、慎重に進めないと影響が拡大してしまう訳ですが、結局のところ、事件が発生して慌てて対応する側にはミスが出やすいのはいたし方がないかと思います。だからこそ、インシデント対応計画で事前にありそうな事態を想定しておく、訓練しておく、そうした平時の対応が重要になっているのではないでしょうか。

いずれにせよ、世の中に知られていた(はずの)大きな脆弱性を、メニコン側が4年放置し、高い代償を払うことになった事を、他社は(特にパッチ管理の重要性について)よく見ておくべきかと思います。

  

 

 

 

ã³ã³ã¿ã¯ãã¸ã£ã°ãªã³ã°ã®ã¤ã©ã¹ã

 

更新履歴

  • 2018年6月9日PM(予約投稿)

 

こうのとりが知らせるのが遅くないか?

つぶやいてみた。 クレジットカード情報漏えい事件 不正アクセス事件

こうのとり検査薬.NETが不正アクセスによりカード情報を漏えいしていたかも知れないと5/23に発表していました。

kensayaku.net

■公式発表

 こうのとり検査薬.NET」への不正アクセス発生についてのご報告とお詫び

 

事件の状況 
  • 2017年8月7日~2018年1月18日までに新規でクレジット決済を利用した11,314名のカード情報が漏えいした可能性が高い
  • 流出した可能性のある個人情報
    • カード会員名
    • クレジットカード番号
    • クレジット有効期限
    • セキュリティコード

 

原因

  • 外部からWebアプリケーションの脆弱性を利用した攻撃によりクレジットカード会員データ等が抜き取られた可能性

公表が遅れた経緯

  • クレジットカード決済代行会社と協議し、不確定な情報の公開はいたずらに混乱を招き、お客様へのご迷惑を最小限に食い止める対策準備を整えてからの告知が不可欠であると説明を受け、発表は調査会社の調査結果、およびカード会社との連携を待ってから行った

 

◆キタきつねの所感

2つの点で(ほとんどの情報流出事件がそうではありますが)、発表は曖昧です。

1つは『外部からWebアプリケーションの脆弱性を利用した攻撃』なるものです。その脆弱性は何であるのか?何故発表しないのか?発表できない程に単純なもの(SQLインジェクション等々)であったのか?という部分です。

2つ目は、1月の事件が公表されるにしては何をしていたの?という部分です。

  • 社内調査
  • フォレンジック調査(カード情報漏えいの疑いがある時はほぼ必須)
  • 決済代行会社/カード会社との調整
  • (事件公表の判断)

この内、社内調査は1-2週間程度で普通に調べられる事は終わると思います。

フォレンジック調査は契約内容や事件の解析困難さ(ログ残っているのか等々)によって違うかと思いますが、1-2ヶ月で最終報告書を受領できるケースが多いようです。

この試算だと1月末までに社内調査完了+フォレンジック調査会社と契約が出来ると思うので、3月末~4月上旬までにはフォレンジック調査会社の最終報告書の受領まで(最短で)たどり着けたと思います。1ヶ月半~2ヶ月も、カード会社との調整がかかるとは思えないのですが、この背景には何があるのでしょうか?もしかすると、森永乳業メニコン子会社の急ぎのフォレンジック調査が優先された・・・という可能性もあるかも知れませんが、セキュリティコードまで漏れている・・・というECサイト側の大きな実装ミスあるいは、決済代行会社側のミスが疑われるケースですので、改正割賦販売法の6/1施行を前にギリギリまで時期を計算して発表したという事なのかも知れません。

 

 

 

 

妊娠検査薬のイラスト

 

更新履歴

  • 2018年6月10日AM(予約投稿)

日本でも公共団体はランサムに気をつけるべき

不正アクセス事件 つぶやいてみた。 海外事件

カナダの5大湖沿いのワサーガ・ビーチ市がランサムウェアに襲われ、ランサム(身代金)を支払ったようです。

www.simcoe.com

Municipal officials say they’ve paid off part of the ransom and received the decryption code to begin unlocking the first of town hall’s three servers — and regain access to data that’s been inaccessible for more than a week.

More than 70 workstations — laptop and desktop computers — need to be scrubbed and reloaded with new software.

(Simcoe.com記事から引用)

4月にWebサイトと複数サービスのコンピュータシステムにランサムウェアがインストールされている事を発見し、3つのサーバにアクセスが出来なくなったと報じられています。影響範囲としては70台の端末に対しソフトウェアの再インストールを余儀なくされたようです。

市側は、ランサムを支払い復号コードを(無事に)受領し、1週間以上アクセスできなかったサーバへ再びアクセスする事が可能となったとの事。(いくら支払ったかは不明)

 

◆キタきつねの所感

米国でまたランサム被害が発生し、そして支払い実績も着実に増しています。日本でまったく同じ攻撃が成功するかは(今回の事件の手口が公開されていませんので)分かりませんが、公共が弱い&住民への影響を考えて身代金を払う傾向が高いという事から、攻撃者は日本の地方公共団体に対しても攻撃を仕掛けてくる頻度は高くなると推測されます。

The Town has also installed a new and secure off-site back-up service to protect the data from future attacks.

(Bayshore broadcasting記事より引用)

 

3月にはアトランタ市でのランサムが報じられていましたが、防御の弱い所を突く攻撃が多数成功している以上、地方団体は攻撃を受ける事を前提とした検知・回復への意識変更が求められているといえるかも知れません。

www.itmedia.co.jp

日本で政府・金融・重要インフラといった分野に防御意識が集中していますが、これ以外で海外事例を見て怖いところが、医療(ヘルスケア)、地方公共団体、そして最近は攻撃を受けつつあり、今大学、、、といった所でしょうか。

閉域網(クローズネットワーク)でも穴を攻められたWannaCryの例を出すまでもなく、どこかネットに繋がってしまっているシステムは、安全であるとは言い切れなくなってきています。これらの分やでは、特にランサムに対しては(閉域網ではまず間違いなくパッチ当ての課題を抱えているはずなので)十分に警戒すべきだと思います。

 

 

参考

foxsecurity.hatenablog.com

 

ランサムウェアのイラスト(パソコン)

 

更新履歴

  • 2018年6月3日AM(予約投稿)

私の情報収集法を見直し中

私のセキュリティ情報収集法

先日の名和さんのお話を聞いて刺激を受けたので、自分の情報収集法も少しづつ変えようとしています。まず手を出したのが、Twitterのフォロー先。下記のような所を参考にして少し増やしました。

www.globalsign.comwww.cyberdb.co

とは言え・・・最近Twitterを見れてない時も結構あるので・・・

 

その他のソースで最近注目しているのが、オーストラリアのセキュリティ専門家、特にHave I Been Pwnedは、プレミアム・アウトレットの情報漏えい等も、ここが発信でした。

Troy Hunt: Have I Been Pwned - Troy Hunt

 

辻さんも、このサイトの機能(自分のメールアドレスが漏えいしたかどうかをお知らせしてくれる)記事を書かれてましたが、

csirt.ninja

上記は、そのブログ記事。更新情報をUPされるのを俯瞰するには、Twitterだと流れてしまう可能性もあるので、こちらをRSS登録しました。

 

他にRSS登録したのが、infosecurityマガジンと、scマガジン。両方共に記事の更新頻度が高いのが良いなと思います。

www.infosecurity-magazine.com

www.scmagazine.com

最後が、Lewis Morgan氏のサイト。月次でデータ侵害事件をまとめた記事をUPされているのですが、日本で報道されてないような、あまり知られていない事件が結構あったりしますので、ブログ・調査の参考にしたりしています。

www.itgovernance.co.uk

名和さんが指摘していた、英語圏以外のソース(ロシア語や中国語サイト)からの情報収集については・・・まだ模索中です。あまり進んでいませんが、何が良い所をみつけたら、書きたいと思います。

 

記者・新聞記者のイラスト

 

更新履歴

  • 2018年6月9日AM(予約投稿)