Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

Amazonのやらせレビュー工場

考えてみた。

偶然のリアルタイムで見ていたクローズアップ現代ですが、NHKらしさが出ていて引き込まれました。

www.nhk.or.jp

 

◆キタきつねの所感

前々からAmazonレビューについては、懐疑的な目で見ていましたが、番組の中で日本人の特性に基づく「攻撃」である事が良くわかりました。日本人は、安いだけだと疑いの目で見て、「他人が良いと評価」した商品を信じる傾向が強く、やらせレビューがないと商品をあまり買ってくれないという傾向が強い様です。

自分の購買傾向などを見ても、まずは評価の高いものを・・・という癖があるので、当たっている気がします。

 

番組の中で驚いたのは、やらせレビュワーだけでなくスマホを大量に並べて自動でやらせレビューを書き込む映像が紹介されていた事です。イメージが沸かないと思いますので、番組HPから写真を下記に引用させて頂きますが、プログラムで勝手に商品を購入しその後やらせレビューを自動で書いていました。その姿はまさに工場・・・もうここまで来ているのか、と衝撃を受けました。

 

 ※クローズアップ現代の番組記事より引用 

 

ユーザ側の対抗措置としては、レビューをじっくり見る事が有効なのですが、

実際に商品を購入したとは思えないコメントや、怪しげな日本語の文章、レビュワーが日本人名で無い投稿だったり、ところなどでやらせレビューを判別できたりしましたが、残念ながら大分改善されてしまって(やらせ側の対抗処置が出来てきて)いる様です。

 

またAmazon側でもやらせレビュワーややらせレビュー投稿を規約違反で削除している様ですが、消される以上に早いスピードで新しいやらせレビュー投稿をさせている事から、Amazonユーザ側は、あまり信用できないレビューを参考に購買をしてしまっているのが現状の様です。

 

自衛の手段として、番組では今年7月に公開された「サクラチェッカー」を取り上げていました。

https://sakura-checker.jp/

 

実際使ってみましたが、IT大手のエンジニアの方が作っただけあって、一定上のやらせ商品を検知できている気がします。

 

例えば、私もたまにお世話になるスマホの充電ケーブルで調べてみると、Amazonでの評価が高いこのケーブルが、、、

f:id:foxcafelate:20191005175608p:plain

 

サクラチェッカーではレビューに問題がある可能性が高い事をすぐに調べてくれます。

f:id:foxcafelate:20191005175817p:plain

 

やらせを見抜くポイントについて、別のNHKの記事で書かれていたので引用しますと、

www3.nhk.or.jp

 

「サクラチェッカー」では、こうした不自然な文章や評価の偏り、書き込まれた日付の偏りのほか、レビューを書き込んだ人の履歴や商品名の付け方がアマゾンの規約に違反しているかなど、独自の基準を設けて、「サクラ度」を判定している。これまでに分析した商品は10万点。このうち、サクラ度が60%を超えていると判定した商品は、およそ1万7000点、全体の16%を占めていた。

NHK記事より引用)

 

自分で商品レビュー投稿を判別する際にも参考になる視点でサクラ判定をしている事がわかります。とは言え、悪徳業者(やらせレビュワー側)といたちごっこになりつつある気がします。

 

判定ポイントについては未だ有効だとは思うのですが、私は業者の対抗措置は早いと思います。(チェッカーも進化しないとならない)例えば、上記に挙げたチェックポイントは、

 ・不自然な日本語 

   > 日本人のサクラレビュワーに書かせることで回避ができる

 ・書き込まれた日付の偏り 

   > 中間業者(やらせ募集する人)が投稿レビュワー数をばらつかせれば回避ができる

 ・レビューを書き込んだ人の履歴 

  > 商品を実際にレビュワーに買わせ、やらせレビュー報酬として返金(WeChatPay支払い)

    する事で f:id:foxcafelate:20191005180943p:plainと表示させて信用度を向上させている

 ・商品名の付け方がAmazon規約違反

  > 日本人のサクラレビュワーに対する書き込みマニュアルが強化されるとチェックが難しくなる

 

もちろん、公表してない判定ポイントはまだまだあるので当面は有効だとは思います。

 

 

余談ですが、実際に「サクラチェッカー」を使ってみての感想としては、投稿レビュワーの投稿傾向の判定がまだ弱い気がします。

私がAmazon商品を購入する際にレビューをチェックする場合、過去のレビューのほぼ全てに「★5」をつけている方そういうレビュワーが多い商品はあまり信用しません。

 

たとえば、サクラチェッカーでサクラ度10%(やらせではない判定)が出たiPhoneケーブルを見ると、

f:id:foxcafelate:20191005182850p:plain

Amazonでも高評価(Amazon's Choice商品)でしたが、

f:id:foxcafelate:20191005183049p:plain

 

そのレビューを見ると、1人目は・・・16レビューを書いていて15レビューが「★5」で、

f:id:foxcafelate:20191005182557p:plain

 

また別なレビュワーの方は、なんと36レビュー中36レビューに「★5」を付けています。

f:id:foxcafelate:20191005182810p:plain

 

 

余談の余談です、Twitterに結構募集が出てきますね。

※私はおススメしませんが、良い副業(やらせレビュー購入>返金>商品をメルカリやヤフオクで転売が一般的の様です)になるのだから、多くのやらせレビューがはびこっていると思いますので、ご興味がある方は、Amazon レビュー 募集」TwitterFacebookを検索されてみては如何でしょうか。

 

 

因みに、、こんな感じで出てきます。フォロワー=副業(バイト)募集がかかるのを待ち受ける「やらせレレビュワー」という事になるのかと思います。結構いますね。

f:id:foxcafelate:20191005173011p:plain



そして仲介業者も結構検索で出てきます。。。ビジネスとして完全に成り立っているのかが伺えます。

ちょっと副業に興味でてきました

 f:id:foxcafelate:20191005173139p:plain

 


最終的には、NHKの取材にも出てきた様に、全て「やらせレビュー工場」でレビューが投稿される様になっていくと思います。

 

では何故、今日本人のやらせレビュワーを募集しているかと考えると、まだやらせ側のAIが完全自動化に対応できてない何ががあるのかと推測します。つまり日本人レビュワーが書いている効果があった文章パターンをAIで吸い上げている段階で、暫くすると徐々にこの「美味しいバイト」は無くなっていくのではないでしょうか。
 

 

 

日本人のためのパスワード2.0   ※JPAC様 ホームページ

7/8に日本プライバシー認証機構(JPAC)様からホワイトレポートをリリースしました。キタきつねとしての初執筆文章となります。「パスワードリスト攻撃」対策の参考として、ご一読頂ければ幸いです。

 

 f:id:foxcafelate:20191005083001p:plain


 

更新履歴

  • 2019年10月5日PM(予約投稿)

 

 

顔認証キャッシュレスは普及するか

考えてみた。

顔認証キャッシュレスの普及・・・その波が近づいている様です。

diamond.jp

 

 そんな中国で次世代決済として始まっているのが顔認証決済だ。顔認証技術は、監視カメラやATMなどで実用化はされていたが、決済での実用化は世界で初めて。2017年秋に中国杭州ケンタッキーフライドチキンで実用化されている。

「Smile to Pay」と称された、このサービスはALIPAY」のアリババグループが運営しているもの。事前にモバイル決済のできる「ALIPAY」アカウントに顔情報を登録すれば利用が可能になる。

 中国では「ALIPAY」「WeChat Pay」が競って中国全土に顔認証決済システムの売り込み攻勢をかけている。そのため、現地では自動販売機や食料雑貨店でも顔認証決済が行えるという。

 日本でもNECが顔認証決済の実証実験を行い、ファミリーマートパナソニックが顔認証で入店、決済が可能な実験店舗を今年4月にオープンさせた。日本においても、顔認証決済の夜明けは近いといえよう。

(Diamond online記事より引用)

 

◆キタきつねの所感

中国は、日本のキャッシュレスがQRコードである事を冷ややかな目で見ている気がしますが、更に先を行って、顔認証決済が本格化しようとしている様です。記事にあるAlibabaの「smile to pay」を調べてみると、気にある通り2017年から実証化していました。

 

参考まで2017年の日本語記事を貼っておきます

jp.techcrunch.com

 

中国はプライバシー侵害懸念が日本のそれよりも問題視されてませんので、AlibabaやWeChat等の既にQR決済などで巨人となっているプレイヤーが実装すれば、次のディファクトスタンダート(中国語圏の)になってしまう可能性が高い訳ですが、日本で”同じ仕組み”がすぐに普及するかと言えば少し疑問です。

 

AlibabaのSmile to Payの基本技術は、Megvii社のFace++というプラットフォームを利用して構築されている様ですが、調べる限りでは

chaitech.jp

 

彼らの顔認識システムのプラットフォームでは、クラウドベースのAPISDK等が提供されており、世界中の開発者と研究者は、自身のプロダクトでFace++の顔認識システムを使用することが出来るようになっています。

現在の彼らの顔認識プラットフォームには、10万人以上の開発者が登録されており、これまでに1億人以上の顔が登録されています。

(中略)

現在まで、Face++顔認識システムオープンプラットフォームには、1億人以上の顔と10億枚以上の写真が登録されており、彼らのオープンプラットフォームを使用するアプリケーションやプロダクトの数は15000件以上存在するとされています。

彼らは、アリババ等から継続的な融資を獲得しており、アリババグループのアントフィナンシャルサービスや、中国の銀行、政府等、大小様々なパートナーへ、そのプラットフォームを提供しています。

(Chaitech記事より引用)

 

顔認証用の生体(特徴点)データは、サーバ保管方式の様です。

 

一方でiPhoneスマホに標準実装されている顔認証(FaceID等)は、端末に生体データを保管する方式です。顔認証精度を高めるためには、Megvii社のFace++のサーバ型の設計思想は優れていると思いますし、既にOpenプラットフォーム化もしている様ですので、特に中国語圏では、更にこの分野では利用が進んでいくと思います。

 

しかし、日本や米国、欧州等でデリケートな問題となっているプライバシー侵害の観点から考えると、サーバ型はセキュリティの要塞化をしても、天才的なハッカーがその壁を破って生体データを入手されてしまうと、漏洩したデータが、パスワードの様に変更が出来ない人間の特性(特徴)に元づくデータであるが故に問題が出てきます。一方で、Alibabaが顔認証データ、あるいは照合技術を、政府などに提供した場合・・・犯人逮捕などの良い面も多々出てくるとは思いますが、一方で『特定個人の監視』にも使えてしまう可能性があります。

 

日本での普及を考えた場合、QRコード決済で乱立している様な・・・顔認証決済プラットフォーマーが、また乱立してしまう可能性が高い気がします。その場合はビジネス上のコストメリット(利益)も分散されるでしょうし、AIの照合技術もMegvii社ら海外のユニコーン企業に追いつく事は出来なくなる可能性がありそうです。

 

そう考えてくると、顔認証キャッシュレスは、顔画像データ保管が、サーバ型か端末型は分かりませんが、世界での普及が進むにつれて、日本でも普及していくものと思いますが、、、AppleGoogle、あるいは中国のAlipayやAlibaba等の海外の巨大なプラットフォーマーの技術がディファクトになってしまう未来の方が近い気がします。

 

もし日本企業がこうした中国のユニコーン企業に対抗するなら、国際規格に近いと言われるFIDOの設計思想※端末側に生体データを保管する)を推し進めて、サーバ型で進めている先行企業の優位性を崩す動きをする位でしょうか・・・

 

余談ですが、Megvii社のホームページでは顔認証だけでなく、「Human Body Recognition」(体認証)が2つ目の生体認証技術として掲載されています。入出国審査などの国境(ボーダー)管理では、ボディスキャナー(不審物検査)の実装が進んでいますが、併せて本人認証も体認証で出来る様になると入出国のスピードが上がりそうな気がします。こちらは、プライバシー侵害の問題も少なく、サーバ型(クローズ型)の方が向いているので、日本でも導入が期待される技術となりそうな気がします。

f:id:foxcafelate:20191005072223p:plain





 

日本人のためのパスワード2.0   ※JPAC様 ホームページ

7/8に日本プライバシー認証機構(JPAC)様からホワイトレポートをリリースしました。キタきつねとしての初執筆文章となります。「パスワードリスト攻撃」対策の参考として、ご一読頂ければ幸いです。

 

 

f:id:foxcafelate:20191005064304p:plain

 


 

更新履歴

  • 2019年10月5日AM(予約投稿)

エアバス社へのAPT攻撃

海外事件 不正アクセス事件 つぶやいてみた。

エアバス社へのAPT攻撃の記事が出ていました。サプライチェーン攻撃の手法も進化しつつあるところが日本企業でも要注意かも知れません。

www.france24.com

 

欧州の航空宇宙大手であるエアバスは、ハッカーによる一連の攻撃に見舞われ商業的秘密を探すためにサプライヤーを標的にした、とセキュリティ筋はAFPに語り、中国へのリンクが疑われると付け加えた。

ハッキングの調査に関与した2つのセキュリティソースによると、過去12か月間にエアバスに対する4つの主要な攻撃がありました。

1月に、「データへの不正アクセスをもたらした」セキュリティインシデントを認めましたが、攻撃を知っている人々は、昨年の協調的ではるかに大きなオペレーションの概要を説明しました。

ハッカー、英国のエンジンメーカーRolls-Royceとフランスの技術コンサルタント会社であるExpleo、およびAFPが特定できなかったエアバスで働いているフランスの2つの請負業者を標的にしました。

エアバスロールスロイスは、AFPのコメント要求にすぐには返信しませんでした。Expleoは、それが標的にされたことを「確認も否定もしない」と述べた。

航空宇宙セキュリティのスペシャリストであるBoostAerospaceのRomain Bottanは、攻撃は、ハッカーエアバスのシステムを危険にさらすためにチェーン内の弱いリンクを探していることを示したと言いました。

(中略)

いくつかの情報筋は、APT10として知られる中国共産党に関連するハッカーのグループが攻撃の背後にいる可能性があると考えていると述べました。

米国は、APT10を中国のintelligence報機関および軍隊にリンクされた国家支援のハッカーと見なしています。

しかし、別の情報源は江蘇省沿岸地域の治安部下で活動していると考えられているJSSDとして知られる中国のハッカーの別のグループを指しています。

「JSSDは航空宇宙産業に焦点を当てています」とある情報筋は、「言語、ソフトウェア、および航空宇宙コードに精通している」人々を雇用していると説明しました。

(France24記事より引用)※機械翻訳

 

◆キタきつねの所感

エアバスへのAPT攻撃と考えて良いのかと思いますが、1年間で4回の攻撃というのはかなり執拗な攻撃と言えそうです。記事の内容は9月下旬にAFPが出していたものと同じものの様ですが、攻撃手法の部分が少し詳しく書かれているので、France24の記事内容を見ていきます。

エアバス供給企業にサイバー攻撃相次ぐ、過去1年で4回か 写真1枚 国際ニュース:AFPBB News

 

 

一つ注目すべき点は、攻撃は”弱い輪”サプライチェーン)を狙っている事です。

前々からサプライチェーンは下位が狙われると警鐘が鳴らされてきていますが、今回攻撃を受けたのはその中でもある程度セキュリティ体制があったであろう、技術コンサルティング会社のExpleo英国子会社、エンジン供給を行っているRolls-Royce社、そして名前が出てない請負業者2社と、エアバスサプライチェーンの4社であったのは警戒すべき事な気がします。

 

大規模なサイバー攻撃の事例では、米国流通のTarget社がベンダーネットワーク経由でPOSシステム網に入られた事件等が有名ですが、エアバス社の場合はより安全であるべき(普段から機密情報が交換されている)サプライヤとのVPN接続網が狙われた事を考えると、Target等より洗練された攻撃を受けたと言っても良いかと思います。

 

-VPNエントリポイント-

Expleoに対する攻撃は昨年末に発見されましたが、グループのシステムはずっと前に侵害されていた、と情報源の1つは匿名を条件にAFPに語りました。

「それは非常に洗練されていて、会社をエアバスに接続するVPNを標的にした」と情報筋は語った。

VPN(仮想プライベートネットワーク)は、従業員が会社のシステムにリモートでアクセスできるようにする暗号化されたネットワークです。

エアバスのサプライヤは、飛行機メーカーの同僚とリンクするVPNで動作する場合があります。

他の攻撃も同じ方法を使用し、最初の攻撃は、以前はAssystemとして知られていたExpleoの英国子会社、およびエアバス飛行機のエンジンを提供するRolls-Royceで検出されました。

いくつかの情報源によると、ハッカーエアバス航空機のさまざまな部分の認証プロセスに関連する技術文書に関心があるようです。

彼らはまた、いくつかの盗まれた文書は、世界で最も強力なプロペラエンジンのいくつかを備えたエアバス軍用輸送機A400Mのエンジンに関連していると述べました。

(France24記事より引用)※機械翻訳

 

攻撃で入手しようとしていた技術的情報は、軍事機密を含むエンジン関連の情報であったり、認証プロセスですので・・外部ハッキング等を意識していたものなのかも知れませんが、更なる攻撃の脆弱点を探る動き(ラテラルムーブメント)だったのかと思います。

 

BoostAerospaceのBottan氏は、「航空宇宙セクターは、主にスパイやこの業界から金をtoけようとする人々を通じて、サイバー攻撃に最も苦しんでいるセクターです。」

また、エアバスには重大な産業上のリスクがあり、ハッカーは生産に影響を与える戦略的サプライヤーの生産をノックアウトできる可能性があります

「誰かが生産を遅くしたいなら、彼らは重要なサプライヤー、彼らの役割においてユニークな単一のソースを迅速に特定することができます」とある専門家は言いました。

ベルギーの航空宇宙設計および製造会社のASCOは、今年初めにマルウェアに起因する主要なITメルトダウンが発生し、そのシステムを復元するのに1か月かかりました。

その事件はエアバスの生産を襲った。

(France24記事より引用)※機械翻訳

 

このASCOのランサム被害が、一連のAPT攻撃に関連したものであったかどうかは不明ですが、日本の航空宇宙産業、および自動車等の製造業も・・・エアバスVPN接続までAPTで狙われたという事実をよく理解し、同じような穴が無いかどうか自社のサプライチェーンのセキュリティ体制を再チェックすべき時期に来ていると言えるかも知れません。

 

 

 

日本人のためのパスワード2.0   ※JPAC様 ホームページ

7/8に日本プライバシー認証機構(JPAC)様からホワイトレポートをリリースしました。キタきつねとしての初執筆文章となります。「パスワードリスト攻撃」対策の参考として、ご一読頂ければ幸いです。

 

 

プライベートジェットのイラスト


 

更新履歴

  • 2019年10月5日PM(予約投稿)

令和初の3億円事件

考えてみた。 内部犯行

セキュリティの世界では内部からの攻撃(内部犯行)は、件数は少ないけれども成功すると被害額が大きいと言われますが、令和の3.6億円事件はそのリスクをまざまざと見せつけたと言えるかも知れません。

www.fnn.jp

 

◆キタきつねの所感

FNNの記事で実に良い外景写真を使われていたので引用させて頂きますが、ISO9001、ISO27001(ISMS)、ISO14001の国際認証を取得しているとはいえ・・・1人で金庫の現金へアクセスでき、外部に持ち出せた事を考えると、内部犯行に対する備え(インシデント対応計画)は”無い”と言われても仕方がない状態だったのかと思います。

f:id:foxcafelate:20190929205254p:plain

 

ホームページを見ても、事件に対するリリースも出てないのも如何なものかと思いますが、

 

f:id:foxcafelate:20190929205631p:plain

売上金管理については、もう少し体制を考えた方が良いかも知れません。

 

 

会社案内を見ると、、、セコムの100%子会社であったので、

f:id:foxcafelate:20190929205939p:plain

 

親会社のニュースリリースもみて見ましたが、、、特に記載はありませんでした。この辺り、もう少し・・対外公表を考えるべきなのではないでしょうか。

 

結果で言えば、伊藤容疑者は23日間の逃走の末に逮捕され、3.6億円のほぼ全ても無事に見つかったという形で終わった訳ですが、

 

事件の時系列をまとめてみたところ、興味深い点がいくつもありました。

日時 出来事
8月28日頃 【伊藤容疑者】東京・渋谷区内で「私書箱」を開設
9月4日午前中 【伊藤容疑者】アサヒセキュリティ新三郷オフィスの金庫室から現金3.6億円を段ボールに入れて盗む(防犯カメラに映る)
  【伊藤容疑者】会社の配送業者を使って、ほかの商品と一緒に現金3億6,000万円を「私書箱」へ配送し、手ぶらで退社
  【伊藤容疑者】私書箱から盗んだ現金をスーツケースなどに入れ替える
9月5日 【伊藤容疑者】中央区のホテルからリュックを背負い、スーツケース2個を持って出てくる(防犯カメラに映る)
9月6日 【アサヒセキュリティ】2日間無断欠勤した為、同僚が自宅を訪問
  【アサヒセキュリティ】不審に思い、金庫室の防犯カメラを確認し事件が発覚
  【アサヒセキュリティ】県警吉川署に110番通報
9月9日 【埼玉県警】全国に指名手配
9月27日 伊藤容疑者に似た男が渋谷区内にいるとの通報が寄せられる

9月27日

午後1時半頃

【警視庁】JR渋谷駅近くで伊東容疑者を発見し、身柄を確保
  スーツケース1つとリュックサックが渋谷区内のコインロッカーで見つかる
  もう1つのスーツケースが千葉県船橋市のコインロッカーから見つかる

 

まず、セキュリティのプロであるべき、アサヒセキュリティが内部犯行を起こさせる隙があり過ぎた事が浮かび上がってきます。個人的に問題があると思うポイントはいくつもあり、

 ①金庫での1人作業が認められている

 ②監視カメラを普段からアサヒセキュリティは見てない(常時監視してない)

 ③無断欠勤2日経ってから伊藤容疑者を訪問している(この時点ではまだ内部犯行を疑っていない)

 ④業務終了時、あるいは業務開始時に「現金棚卸」できていない

 ⑤犯行の1カ月前にマネージャーに昇格していたが「苦痛な生活から脱却したくて1人でやった」と供述

 

①と②に関して言えば、管理者すら疑え・・という最近のゼロトラストの考え方は皆無ですし、そこを伊藤容疑者が分かっていたから犯行に及んだという事が推測されます。(会社側に隙があったと言えます)

また、③の無断欠勤の時点で、管理者権限を付与している伊藤容疑者の金庫業務レビューを行う手順になっていたら、もっと早く足取りが掴めたかも知れません。

④は体制の問題ですが、銀行や飲食店だったら日時の締め処理で『現金が合わない』事態になったら大問題となりますが、アサヒセキュリティは、常時現金の出し入れがあったにせよ、いくら金庫に現金があるか、少なくても2日以上に渡ってチェックしてない事が時系列上から浮かび上がってきます。

⑤は現金管理部署のマネージャーに昇進していて給与が増えるはずですので、一般的には金銭的動機が薄れると思うのですが・・・あまり目に見えた昇給ではなかったのではないでしょうか?だとすると対価に見合わない仕事内容というのが、犯行動機になってしまっている所がもっとフォーカスが当てられても良い気がします。

 

こんな会社側のザルな状況なら令和初の3億円(以上)事件が発生しても仕方が無いのではないでしょうか。たまたま持ち出された金額のほとんどが回収できたとは言え、すぐ海外まで高飛びされていたら、もっと捕まえるのが大変だったでしょうし、”善意の第三者”にお金が渡っていたら回収も難しかったでしょうから、たまたま被害が少ない状況で逮捕できたという事でしかないかと思います。

 

もう1つ言えるのは、、、伊藤容疑者は会社の監視カメラで犯人特定できるところを今一つ理解してない様に思える所でしょうか。ある意味、会社側の(犯行を思いとどまらせる)教育不足を感じます

 

一方で、警察が最後にタレコミ情報で捕まえた部分に関して、様々な記事を比較すると、東京と千葉で、身分証提示が不要マンガ喫茶や個室DVD店等の宿泊施設を転々としていた事、山手線を乗り継ぎ逃走していたり、移動にタクシーを利用していた事などで、足がつきずらかった様ですが、通達が行きわたりやすいホテルや、鉄道の出改札記録+監視カメラで逃走エリアを絞り込む警察の捜査手法を掻い潜ろうとしていた、容疑者の行動が、20日以上の逃走を許した部分については、考えるべきところがあるのかと思います。

 

 

 

 

日本人のためのパスワード2.0   ※JPAC様 ホームページ

7/8に日本プライバシー認証機構(JPAC)様からホワイトレポートをリリースしました。キタきつねとしての初執筆文章となります。「パスワードリスト攻撃」対策の参考として、ご一読頂ければ幸いです。

 

  

f:id:foxcafelate:20190929205142p:plain


  

更新履歴

  • 2019年9月29日PM(予約投稿)

中小企業はセキュリティ予算の配分を考えるべき

つぶやいてみた。

面白そうな記事だな・・と思ったら有料記事でした。残念。

mainichi.jp

 

 中小企業は国内企業の99.7%を占め、日本のものづくりの技術力を支えている。パソコンやウェブサイトを活用した情報発信のほか、会計や調達関連のITツールの導入による生産性向上に取り組んでいる中小企業も多い。だが、中小企業のサイバーセキュリティー対策は遅れていると言わざるをえない。

 大阪商工会議所が2017年3~6月に、会員の中小企業などを対象にアンケートしたところ、セキュリティーに関して専任の担当者を置いているのはわずか4%で、担当者を決めていない会社が50%に達した。

 年間のセキュリティー予算が50万円以下という回答が8割。「セキュリティー対策が十分でない」

毎日新聞記事より引用)

 

◆キタきつねの所感

毎日新聞の有料サービスは申し込んでないので、記事の結論を見て無いのですが、、、記事にてNTTの松原氏が気にしている部分については、よく分かる気がします。

 

中小企業の年間のセキュリティ予算が50万円以下と言う回答は、2018年7月にNRIセキュアテクノロジーズ株式会社と、KDDI まとめてオフィス株式会社が中堅企業・中小企業を中心とした約1,800社の情報セキュリティ担当者へのアンケート調査でも、7割の企業が「セキュリティ対策が十分でない」、セキュリティ予算は従業員規模が100名以下の企業では8割近い企業が月額50万円以下と回答しており、500人未満の企業では、6割程度という結果が出てましたので、1年経っても傾向は同じだと思われます。

 

NRIセキュアとKDDI まとめてオフィス、中堅企業・中小企業の情報セキュリティ実態調査に関するホワイトペーパーを公開


セキュリティ予算や人員については、経営層のセキュリティの重要性に対する理解が進んでない事が大きいのかと思いますが、「自社は狙われるだけの資産は無いので攻撃を受けない」という過信も大きいかも知れません。事故・あるいは事故に近いヒヤリ・ハットでも経験しない限りは急には予算や人は増えないかと思いますので、今あるリソースをどう効果的に使うか、というのが中小企業のIT担当が考えなければならない優先課題と言えそうです。

 

個人的には、セキュリティ要求の外圧(サプライチェーン上位企業、あるいは法制度)が無いと、中小企業経営者のマインドは、なかなか変わらない気もしますが、自分がその担当であればそんな事は言えないかと思いますので、50万円(以下)で出来る事を考えていくしかないと思います。

50万円と言えば、、、アンチウィルスソフトですら全員に行きわたらない程度の予算でしかありません。もしかすると、無料で評判の良いアンチウィルスソフトや、Windows標準のDefenderに寄せてしまうのも良いかと思いますし、FW等の対策効果は高いかも知れませんが、値が張るセキュリティ機器の導入が難しいのであれば、ネットにつなぐ端末を制限してしまう事でリスク回避する事も考える余地があるかも知れません。

 

また、低予算セキュリティ対策の象徴たる存在である、パスワード管理にフォーカスを当てるのも良い事かと思います。目をつぶっているだけで、パスワードの使い回し、容易に推測できるパスワードは、個人だけでなく、会社の認証でもそこら中にウィルスの様に蔓延しているはずです。まずはここから手を付けて、「人」を教育する事から始めても良いのではないでしょうか。

 

 

日本人のためのパスワード2.0   ※JPAC様 ホームページ

7/8に日本プライバシー認証機構(JPAC)様からホワイトレポートをリリースしました。キタきつねとしての初執筆文章となります。「パスワードリスト攻撃」対策の参考として、ご一読頂ければ幸いです。

 

 

 f:id:foxcafelate:20190928221200p:plain

 


 

更新履歴

  • 2019年9月28日PM(予約投稿)

企業のインシデント報告の義務化

不正アクセス事件 つぶやいてみた。

この流れは・・・義務化でほぼ確定という事になりそうな気がします。

active.nikkeibp.co.jp

 

個人情報保護委員会は2019年8月30日、企業が個人情報を漏洩した場合などの報告について、次期法改正で義務化する方向で検討を進めると明らかにした現行法令は法的義務を課してないが、同日の委員会では海外の法令調査や事故報告制度を持つ国の他の法令を参考に議論した。

 同委員会によると、英国やカナダ、フランスなどが近年、漏洩報告を義務化している。各国の監督機関へのヒアリングでは、義務化は正直に報告する事業者と消極的な事業者の間にあった不平等の解消につながるといった回答が多かった。

(中略)

 同委員会がまとめた次期法改正に向けた中間整理へのパブリックコメント(意見公募)では「義務化は不必要」という意見も多かった。しかし、「本人や事業者、監督機関にとって多くの意義があり、国際的潮流にもかなう」(同委員会)として、企業の負担軽減策を含めて「漏洩報告を義務化する方向で具体的な論点を検討する」(同)という。

(日経XTECH記事より引用)

 

 

◆キタきつねの所感

パブコメで反対意見が多かったにも関わらず、義務化を検討という事ですので、改正される流れがほぼ確定したのかと思います。

個人情報漏洩のインシデントは、リリース件数や様々な統計を見ていると、氷山の一角という気がしています。

昨年末のPayPayの発表の仕方などはこの典型で、公式発表と海外のセキュリティ企業が出すレポートと差分は、義務化によって多少は改善されるかも知れません。

foxsecurity.hatenablog.com

 

一方で、企業がインシデント報告(発表)した内容について、マスコミはもう少し内容を精査して報道する必要もあるのかと思います。

インシデントを発生させた原因はあり、その企業に事件の(一部の)責任があるのは間違いありませんが、企業側も被害者なのであり、攻撃者ハッカー)が一番悪いにも関わらず、企業が一番悪い!という風潮で報じてきた事から、「事件を隠蔽して発表しない方が得」という風潮を作ってきた責任の一端は、マスコミにもあるので、インシデントリリース=企業が悪いという型が、もう事件内容を考慮した内容になっていって欲しいなと思います。

 

余談ですが、ディノス・セシールは、過去に何度もパスワードリスト攻撃を受けていますが(※パスワードの使い回しが推定原因と毎回発表している)、1件でも侵害があった場合はほぼ数日以内にリリースを出しています。

foxsecurity.hatenablog.com

 

こうした企業姿勢はもっと評価されるべきではないでしょうか?

 

個人情報保護委員会で検討されていくのは、報告の義務化=対外リリース義務化ではなさそうな気もしますが、事故報告の際の最低限発表しなければいけないひな形が整理されると、企業にとって迷う事が少なくなるので良い取り組みになるのではないかと思います。

せっかく義務化するのであれば、行政サイドだけが情報を得る為に改正するのではなく、対外リリースも含めて検討が進むことを切に願います。

 

 

 

日本人のためのパスワード2.0   ※JPAC様 ホームページ

7/8に日本プライバシー認証機構(JPAC)様からホワイトレポートをリリースしました。キタきつねとしての初執筆文章となります。「パスワードリスト攻撃」対策の参考として、ご一読頂ければ幸いです。

 

 

報告・連絡・相談(ほうれんそう)のイラスト文字

 


 

更新履歴

  • 2019年9月28日PM(予約投稿)

端末はシャットダウンして帰ろう

つぶやいてみた。 海外事件

地方自治体(公共機関)、病院、学校・・・これらは最近、海外でランサム攻撃の対象となっているセクターで、ランサムで大きな被害を出しています。一方で5.6億円もコストカットに成功した自治体が現れた様です。

gigazine.net

 

アメリカのマサチューセッツ州ニューベッドフォード市がランサムウェアによる530万ドル(約5億6000万円)もの身代金要求を拒否し、アクセス権を奪取されてしまったファイルを自力で回復させて問題を解決しました

 

ハッカーランサムウェアを使ってニューベッドフォード市のネットワークに侵入し、ランサムウェア「Ryuk」を用いた攻撃を行ったのは2019年7月4日の深夜のこと。この攻撃は教育機関や警察などを含む市のネットワーク全てを対象としたものでしたが、攻撃を実行したのが夜間で市のPCのほとんどがオフにされていたため感染したPCは約3500台中158台にとどまったとのこと。翌朝になってITスタッフがランサムウェアを発見。感染したPCを内部ネットワークから隔離し、被害を最小限に収めました。

Gigazine記事より引用)

 

◆キタきつねの所感

「Ryuk」(LockerGoga)と言えば、2018年8月に出てきたランサムウェアで、ノルウェー世界的アルミニウム製造企業のハイドロ等が大きな被害を出した事でも有名です。

 

参考:

foxsecurity.hatenablog.com


ニューベッドフォード市は、7月4日(※注:米国独立記念日の祝日)に攻撃を受けている事から、「Ryuk」の亜種であったと推測されます。

トレンドマイクロの記事では、「Ryuk」はサンドボックスでの検出や、機会学習ベースの検出エンジンを回避する亜種が既に出ている様ですので、監視の緩くなるであろう独立記念日に合わせて攻撃がされた可能性は十分ありそうです。

 

暗号化型ランサムウェア「LockerGoga」について解説 | トレンドマイクロ セキュリティブログ

 

攻撃者にとって不幸だったのは、感染させたいPCのほとんど電源が落とされていた事だと思います。アメリカ人にとって独立記念日はかなり重要な祝日(お祭り)なので、前日は仕事を終わらせて早く帰ろうという意識が強く、普段より電源がオンになっているPC端末が(幸いにして)少なかったのではないでしょうか。

また、RyukはWannaCryやNotPetyaの様に、一気に拡散するタイプのランサムではなかった事も被害を抑えられた原因かも知れません。

 

ハイドロの事例では、PCの電源が落ちてない、あるいは操業に影響があって落とせない端末が数多くあって被害を拡大したのですが、企業のランサム対策(インシデント対応計画)では、常駐で落とせない端末を位置をITチームが把握しておく事が重要になってきています。

あるいは、インシデント対応計画に、ランサム懸念がある際は生産に影響が出たとしてもネットワークを止める(隔離する)事、あるいは止めるべき判断基準を予め定めておく事が必要かも知れません。

 

いずれにせよ、今回の事件を受けて改めて大事だと感じたのは、「業務が終わったら端末はきちんとシャットダウンして帰ろう」という当たり前の事でした。

 

 

 

日本人のためのパスワード2.0   ※JPAC様 ホームページ

7/8に日本プライバシー認証機構(JPAC)様からホワイトレポートをリリースしました。キタきつねとしての初執筆文章となります。「パスワードリスト攻撃」対策の参考として、ご一読頂ければ幸いです。

 

 

機動隊のイラスト

 


 

更新履歴

  • 2019年9月28日PM(予約投稿)