ムーディーズの格付けが「大型情報流出事件」を理由に引き下げられたのは、多くの経営陣にとって警鐘と言えるかと思います。そしてそれは日本でも同じです。

japan.zdnet.com

Moody'sがEquifaxの格付け見通しを引き下げた。1億4000万件を超えるユーザー記録の盗難につながったセキュリティ侵害を理由に挙げている。

　CNBCが報じたところによると、Moody'sは先週、Equifaxの見通しを「安定的」から「ネガティブ」に引き下げることを決定した。

（中略）

　Apache Strutsプロジェクト管理委員会は当時、このデータ流出の背後にいる攻撃者が「パッチの当てられていないEquifaxサーバーに対して、先に発表された脆弱性を使用したか、あるいは現時点では未知の脆弱性を悪用した」と述べた。Equifaxはその後、データ流出が発生する2カ月前にこのバグが開示され、パッチが公開されていたにもかかわらず、システムにパッチが適用されていなかったことが問題だったと明かした。

　つまり、この情報流出は防ぐことが可能だった。この事実は現在もEquifaxに影を落としている。

（中略）

　Moody'sの広報担当者はCNBCの取材に対して、「見通しを変更する理由としてサイバー関係の問題を挙げたのは今回が初めてであるため、わが社はこれを重要な問題として取り扱っている」と述べ、「情報漏えいの影響が格付け見通しの変更の要因になるほど大きくなったのは、これが初めてのことだ」と続けた。

（ZDnet記事より引用）

◆キタきつねの所感

セキュリティに一番厳格であるべきクレジットスコア等のサービスを提供するEquifaxへのデータ侵害が、Apache Struts2のパッチを２カ月当ててなかった事だったのは、当時衝撃的でした。

日本だとApache Struts2の脆弱性を突かれGMO-PGとぴあが大きな被害を受けました。中でもGMO-PGは、かなり早い対応を取ったにも関わらず（運悪く）、冷静に考えると０ディ攻撃だったと言えるにも関わらず、関係各所から非常に叩かれていたのを思い出します。

※因みに、GMO-PGの後に事件を発表した（同時期に攻撃を受けていた）ぴあは、事故対象アワードを受賞していますが、私は未だに、この賞を（この年）受賞すべきだったのはGMO-PGであったと思います。

news.mynavi.jp

参考記事：

情報セキュリティ事故対応アワード - Fox on Security

本題に戻すと、パッチ当てが遅れた事により、大きな被害（1億4000万件）を受けた事について、企業は責任を問わされ始めています。少し前では考えられなかった程のペナルティが課された、このムーディーズの格付け変更はそう受け止める事ができます。

これは、日本に特に多い（気がする）セキュリティへのコストを渋る経営陣に対する警鐘と考える事もできます。

海外ではこうした大型インシデントをきっかけに、経営陣がセキュリティを経営課題との認識を強めつつあり、それは情報セキュリティ担当の役員（CSO・CISO等）の平均給与水準（※下記一例）にも表れているかと思います。

因みに上記のサイトが示すCISOの平均年収は、日本円で約2000万円となります。サイバーインシデントのビジネスへの影響を考慮して、こうした専門性の高い上級役員を置かないのであれば、もしかすると近い将来のインシデントの責任を、CEOが（CISO等を置かなかったが故に）取らなければならない。そんな認識が海外企業には多いかと思います。併せて、サイバーセキュリティ保険の加入率も高くなってきている様です。

振り返ってみて、日本のCISOは、私がお会いした方、あるいは聞き及んでいる限りでは、なんちゃってCISOが多い気がします。情報セキュリティの担当課長・部長…場合によっては担当が、CISOとして任命されている姿を見聞きすると、サイバーセキュリティ経営ガイドラインに書かれているから・・・といった形だけの役職任命は、いつか大きな問題になる気がします。

社長（CEO）は、サイバーセキュリティが経営課題である事を理解し、サイバーセキュリティへ向き合う必要がある訳ですが、CISO等に正しい権限を振らない（なんちゃって）のであれば、インシデントが発生してしまった場合は、社長あるいは経営陣がその責任を問われる可能性がある、そんな風にこのムーディズの記事を改めて考える必要がありそうです。

参考記事：

大きなインシデントは株式市場が教えてくれる？ - Fox on Security

Equifaxのインサイダー取引事件の判決 - Fox on Security

更新履歴

• 2019年6月1日AM（予約投稿）

面白そうな記事を見つけました。ブラックな方は既にご存じな情報、あるいはもっと実践的な技術を既に入手済なのでしょうが、フラッグを取る（CTF系）のホワイトの方、あるいはホワイト（侵入テスター）を目指されている方は、こうしたツールで色々と学べるかと思います。

gbhackers.com

◆キタきつねの所感

最初にこの記事を読んで、『いつか』やってみたい、という感覚だったので、私は多分手を出さないでしょう。いつか・・と思って出来てない事が（本業も含めて）山と積みあがっています。

先日の10連休はどこに行ってしまったのでしょうか・・・

愚痴になってしまいましたが、この記事で紹介されていたハッキングツール５つをご紹介します。日本語でもこうしたツールがあると面白いのですが・・。個人的にはストーリーモードのアップリンク（4番目）が気になりました・・・誰か攻略サイト作ってくれてないかな・・・と探しそうになる自分が悲しくなります。

１）Hack The Box

www.hackthebox.eu

Hack the Boxは、ペネトレーションテストの能力を評価し、知識共有の機会とともに他のハッカーの間であなたをランク付けするオンラインプラットフォームです。

このHacking Simulatorには、ハッカーが侵入テストのスキルを証明するための現実的なシナリオと課題が多数あります。それはまた、制限されたものと一緒に、ハッキングのための多くのマシンを提供し、無料版とVIP版として来ます。シミュレートされたユーザー環境では、ハッカーがネットワークに侵入するためのスウィートスポットを探し回って潜むことによって彼らのスキルを練習することが可能になります。

（GBHackers記事より引用）※機械翻訳

youtu.be

２）ハックムッド

store.steampowered.com

Hackmudは、Intel互換PC用に構築されています。それはパズルと、この幸運が他のハッカーによって盗まれる可能性があるため、ユーザーが勝ちを確保することを縛る課題から構成されています。だからあなたは突破口を開くことができなければならず、また強い防御を築くことができなければならない。これは、コマンドラインインターフェイスプラットフォームであり、進化を続けるコンピュータネットワークです。

ユーザーインターフェースは、古典的なハッキング映画とその放棄されたインターネットの未来に似た直感的なレトロサイバーパンクです。そのため、存在しないユーザーや機能不全の気象ネットワーク用のドローンパインを扱うことになります。

このHacking Simulatorゲームはシングルプレイヤーモードで始まり、ゆっくりとハッキングフェーズに入ります。その後、スクリプトにさらされるマルチプレイヤーサンドボックスにゆっくりと移動します。新しいツールを開発して他のプレイヤーに対する効果的な防御を構築する方法他のプレイヤーの財産を奪うために同盟を築き、罠を仕掛ける。

（GBHackers記事より引用）※機械翻訳

３）NITEチーム4　

www.niteteam4.com

このゲームを簡単に説明すると、ハッカーがコマンドを実行するための情報を取得するためのマイニングコンセプトと、ゲームを完成させるための複数のミニゲームで機能するテキストベースのパズルゲームです。

このゲームは3つのモード、搾取、偵察、そしてミニゲームが付属しています、このゲームはそれがすべてゆっくり始まり、それからハッカーがゲーム内で成功した侵害とキャラクタリゼーションのためにコードをクラックして操作しようとする中毒になるもう一つのハイライトです。

これとは別に、Hacking Simulatorゲームには、ランク付けシステムとともに、クラックに成功したときにハッカーに恩恵をもたらす実際のオープンワールドのシナリオも付属しています。ユーザーがマルチプレイヤーモードに入ると、ミッションをクラックするために共同で作業する必要があります。ビデオ要素のようにこのゲームには最小限の短所がありますが、間違いなく一撃の価値があります。

あなたがリアルタイムのハッキング体験を探しているなら、このハッキングシミュレーターゲーム私はハッキングシミュレーターのあなたのリストにあるべきです。

 （GBHackers記事より引用）※機械翻訳

４）アップリンク　Uplink

他のゲームとは異なり、アップリンクはストーリーモードから始まります。そこでは、競合他社のネットワークやシステムへの侵入、機密データの盗用、データの消去、妨害行為、マネーランドリーなどのハッキングルーチンを含む大企業で働くことを目的とします。あるいは、罪のないユーザーをフレーミングすることによって行為から抜け出すこと。

この役割が発展し、エージェントは彼の行動のためにお金を稼ぎ始めます。それによってあなたはあなたのシステム、ソフトウェアをアップグレードし、あなたのスキルを発展させそしてあなたのエージェントレベルを高めることができます。

あなたのエージェントのレベルが上がるにつれて、あなたはより良い利益のためにもっと複雑で重要なプロジェクトを提供されるでしょう。さまざまなミッションやハッキングプロジェクトで、このゲームはハッキングリストのグランドセフトオートバージョンの詳細です。

あなたがロールプレイングゲームが好きな人なら、Uplinkがあなたのためのものです。

 （GBHackers記事より引用）※機械翻訳

５）盗賊

overthewire.org

他のゲームとは異なり、Bandit Hacking Simulatorは初心者向けに完全に構​​築されています。ユーザーがハッキングに熱心で技術的なスキルを欠いている場合、これはユーザーにとって正しいハッキングシミュレータです。

他のどのゲームでもハッキングミッションでのあなたの達成はその後あなたのレベルを増加させるので、このゲームは34のレベルを持っています。ときどき壁に突き当たり、進むことができないとユーザーは感じることがありますが、ゲームは初心者に基本を理解させるように設計されています。

何よりも、このHacking Simulatorは完全に無料で、ハッカーとしての旅をキックスタートするための優れた教育ツールです。

 （GBHackers記事より引用）※機械翻訳

更新履歴

• 2019年5月19日PM（予約投稿）

少し前の記事ですが、コジマネットのECサイトへの不正アクセス事件を取り上げてみたいと思います。

www.kojima.net

■公式発表　当社インターネットショッピングサイトでの不正アクセスについて

◆キタきつねの所感

先にヤマダ電機の事件を記事にしてしまったので、今更の感がありますが、5/23に発表されたコジマのECサイトへのパスワードリスト攻撃について、少し書いてみます。

現在、公式発表（第一報という感じがしますが）はトップページにリンクがありますが、非常に見にくい場所に掲載されています。トップページから考えると2ページ目辺りにようやく出てきます。

意図的という訳ではなく、単なるページ構成上の話なのだと思いますが、もしこれが消極的表示の意図があるのだとすれば、事件の印象が薄れやすい手法と言えるかも知れません。

リリースの内容は、正直中身がありません。調査中だから言いたく無いのかも知れませんが、『何件が個人情報を閲覧されて（漏洩して）しまったのか』あるいは『何時から何時の間に不正アクセスを受けたのか』意図的に伏せている様に思えます。

不正アクセスされたと思われるお客様の会員ＩＤは、事案発覚後にパスワードを無効化し、パスワードの再設定のお願いをメールで個別にご連絡しております。

本件の詳しい事実関係は現在調査中ですが、既に警察当局には届出をし、捜査に全面的に協力をしております。

（公式発表より引用）

個別にメールが出来る訳ですから、既に漏洩件数についてコジマ側は影響を受けたユーザの特定が済んでいる（最大被害件数を把握している）事が文面から分かります。

またユニクロ・GUの事件と同じとも言えますが、『パスワードの使いまわしをしているユーザが悪い』という様な内容でリリース文面が作られている様です。

お客様におかれましては、会員ＩＤ・パスワードの管理の重要性をご理解賜り、次のことを実施して下さいます様お願い申し上げます。
    ①他のＷｅｂサイト等と同一の会員ＩＤ・パスワードを使用しない。
    ②コジマネットのパスワードを定期的に変更する。

※今回の不正アクセス時に用いられたＩＤ・パスワードは、第三者によって外部で不正に取得されたと思われるものであり、当社内からの外部流出や、コジマネットへの不正アクセスによって取得された痕跡は発見されておりません。

（公式発表より引用）

実際には、公式発表が（意図的に）事件詳細情報を開示してないので、どの程度コジマに瑕疵があったのか、わかりません。もしかすると漏洩件数が非常に少なかった可能性もありますし、攻撃を受けてすぐに気づいて止めたかも知れません。

しかし、公式発表を見る限りは、漏洩件数を発表できない程に、ユニクロ・GU同様に、一定数以上のパスワードリスト攻撃が成功してしまったのではないかなと推測します。

その理由として、コジマのユーザ登録画面でのパスワードポリシーがあります。ユニクロ・GUの記事でも書きましたが、”半角英数６文字以上”は大文字や記号が入ってませんし、桁数も６桁と短い事から、パスワード総当たり攻撃に対しても弱い（弱い強度のパスワードが設定されやすい）傾向があるかと思います。

 今回の事件を受けて、（影響を受けた可能性がある旨の）通知を受けたユーザがパスワードを再設定しようと思っても、コジマ側のシステム（パスワード設定）制約によって、強度が弱いパスワードしか再セットできないとしたら、『パスワードリスト攻撃だからユーザが悪い』という事はなかなか言えないかも知れませんし、また不正アクセス（総当たり攻撃を含む）を受けてしまう可能性も否定できません。

公式発表から読み取れる情報はあまりありませんが、この事件を調べている中で、気になった点があります。

余談となりますが、それが新規ユーザ登録部分のURL（構成）です。

Javaを使っている事はわかるのですが・・何かECサイト構築のフレームワークらしきURLを示しています。 

member/CMmMemberForm.jsp

特徴的なURLのパターンなので検索してみると、たくさん出てきました。相当人気のフレームワークである事が分かります。

少し調べた結果、どうやらECコマース21の癖の様です。

www.commerce21.co.jp

ECコマース21の実績ページを見ると、しっかりとコジマの名前が出ていました。

パスワードリスト攻撃という事ですので、今回の事件とは直接は関係が無いものと思いますが、頻発しているEC-CUBE構築ECサイトへの攻撃と同様に、このパッケージの管理者権限奪取への攻撃は要注意なのかなと思いました。

有償で大中規模のECサイト構築に優れたプラットフォームの様ですので、EC-CUBEの様に事件が定期的に出てくる事はないかも知れませんが、名だたる企業が利用している様ですので、少しウォッチが必要かなと思っています。

更新履歴

• 2019年5月31日PM（予約投稿）

先日、外部の組織の方から執筆のご依頼をいただきました。その打ち合わせの際にキタきつねとして『連絡が取れない』という事を言われたのですが、確かにその通りでした（汗）。

好き勝手に独り言をつぶやいていますので、あまり外部から「何かを一緒にやりませんか？」というお誘いが来る事を（問い合わせがくる事を）想定してないブログとなっており、連絡が取れるメールアドレスすら掲載がありませんでした。

普段は所属している企業の一員としてセミナーにせよ、執筆にせよ（※実名でいくつか書かせて頂いた事があります）対応しており困った事が無かったのですが、よく考えるとそれは企業としての顔で活動しているからに他ならず、あまり読者フレンドリーではなかったと反省しております。。。

そこで、少しブログ掲載内容を見直し連絡先などを追加しました。

また、併せて別ブログ（フォックスエスタ）を作ることとしました。Fox on Securityでの独り言とは違う、調査内容に伴うホワイトペーパー的な情報などをこちらのブログ側で発信できたらと思います。

ハンドルネーム『キタきつね』としての顔は、本業があるが故に時間の制約がある中での活動ではありますが、何かご一緒できる面白いテーマがありましたら、キタきつね　(foxcafelate@gmail.com)まで、お声掛け頂ければ幸いです。

因みに、最初にお声がけ頂いた組織様とは、『キタきつね』名でのホワイトペーパー作成の話が進んでおります。何か面白いモノが仕上げられたらと思いますが、締め切りに追われる日々にもうすぐ突入しそうです。

foxestar.hatenablog.com

更新履歴

• 2019年6月1日AM