Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

議事堂乱入の再発防止策は2mフェンス

1月6日にトランプ派が米連邦議会議事堂に乱入した事件は、良くも悪くもトランプ大統領4年間の終幕を印象付け、ハリウッドの映画を見る様でした。この暴動を受けての対策記事が出ていましたので取り上げます。

dcist.com

 陸軍長官ライアン・マッカーシーは本日、フェンスが少なくとも今後30日間は米国議会議事堂を囲むと述べた。フェンスは水曜日の建物での暴動に続いており、トランプ大統領の支持者が大統領エレクトのジョー・バイデンの勝利の証明を停止することを期待して、治安部隊を通り抜けて議会の部屋や事務所に押し寄せた。

高さ7フィートの「スケーラブルでない」フェンスは、コンスティテューションアベニューからインデペンデンスアベニューへ、ファーストアベニューから国会議事堂前の池の近くまで行きます。

スケーラブルでないフェンシングとは、フェンスに足場として機能するのに十分な大きさの穴がないことを意味しますが、上半身の強度が強い人は、7フィートのフェンスを飛び越えて引き上げる可能性があります。フェンスの主な目的は、人々がその地域に入るのを遅らせたり阻止したりすることです。

(Dcist記事より引用)※機械翻訳

 

キタきつねの所感

トランプ大統領の「選挙は不正」と主張する、最後の「切り札」が支持者を連邦議会に向けてデモ行進させる(暴動を起こさせる)事だったのだとすれば、暴徒が一時議会に乱入してバイデン次期大統領の当選を確定させる議事進行を妨害するという「小さな成功」を見せたにものの、結果として味方であるはずの共和党のペンス副大統領や議員も離れていき、政治的には「大きな失敗」に終わったと言えます。

※英語では切り札の事をTrumpとも言います

 

議会に乱入する所までは成功しているので、18世紀のフランスであれば革命は成功したのかも知れません。しかし乱入してもそこには「悪い王様」はいなかったので、事件後に再開された議会では、トランプ大統領が期待していたであろう「大統領選挙の結果が確定」しました。

続きを読む

セキュリティ予算獲得のためにすべき事

日本よりはるかに機能していると思われる海外CISO(最高情報セキュリティ責任者)でも取締役会でのセキュリティ予算獲得には苦労している様ですが、日本でも経営幹部(CISO)への予算上申時に以下の記事の内容は参考となりそうです。

www.darkreading.com

CISO主導のエンタープライズセキュリティプログラムは、セキュリティ違反から保護することを目的としています。経営幹部には、容認できない影響からビジネスを保護する義務がありますが、特定のセキュリティ侵害の結果(および関連する影響)の制御を特定の予算にリンクする、定量化可能でデータ主導のセキュリティ戦略およびアクションプランが提示されることはめったにありません。

(DarkReading記事より引用)※機械翻訳

 

 

キタきつねの所感

セキュリティの重要性はDXが進むにつれて益々重要となってきますが、経営層の理解が必ずしも同じであるとは言えない企業も多いかと思います。

経営層には数字で語れ、とは良く言われる事ですが、DXの光の部分ばかりに目が行き、影の部分には行き届かない状況の中で、セキュリティ予算を通そうとする場合、海外CISOが求める事を把握して資料を準備すると「成功率」が高くなるかも知れません。

※個人の感想です。失敗しても保障できませんので悪しからず

 

海外の経営幹部(CISO)の置かれている現状は概ね日本と同じかと思いますが、記事では以下の様に書かれています。

企業のサイバーリスクへのエクスポージャーに関して、投資家、保険会社、反対の法律顧問、規制当局、顧客などの外部の挑戦者に経営幹部がさらされます。しかし、これらだけが挑戦者ではありません。内部的には、CISOは機会費用戦争で他のビジネスと限られた資金を求めて競争し、はるかに明白な投資収益率を提供する機能と戦っています

(DarkReading記事より引用)※機械翻訳

サイバーリスクの責任を負いつつも、投資効果を明確に数字で語れる営業・販促部門との闘いに日々晒されているのが(御社の)経営幹部(CISO)である。この前提の上で、予算上申の戦略を考えるべきだというのは、なるほど、その通りだなと思います。

 

経営幹部(CISO)説得の為に、記事では「セキュリティ経済アプローチ」として投資に対する良いリターン(ポジティブな結果)を元に考えるべきだとし、以下の観点でチェック(資料を準備)する事を推奨しています。

続きを読む

ソフトバンクの5G情報流出(内部不正)についてまとめてみた

ソフトバンクからの5G情報が競合企業である楽天モバイルに渡ったかも知れないというニュース、両社の見解が異なっており、ソフトバンクの退職者管理問題と共に、持ち出されたとされる機微な情報の行方も気になりました。

www.nikkei.com

高速通信規格「5G」に関するソフトバンクの技術情報を不正に持ち出したとして、警視庁は12日、ソフトバンク元社員の合場邦章容疑者(45)=横浜市鶴見区=を不正競争防止法違反(営業秘密領得)容疑で逮捕した。合場容疑者は持ち出しがあったとされる直後に同業の楽天モバイルに転職していた。


逮捕容疑はソフトバンクに勤務していた2019年12月31日、社外から自分のパソコンで同社のサーバーにアクセスし、営業秘密にあたる5Gの技術情報などを不正に取得した疑い。警視庁は認否を明らかにしていない。

合場容疑者は同日にソフトバンクを退社し、直後の20年1月に楽天モバイルに転職した。ソフトバンクによると、持ち出されたのは同社の4Gと5Gの基地局設備や基地局同士などを結ぶ固定通信網に関する技術情報で、20年2月に被害が判明し警視庁に相談した。警視庁は情報の使い道などについても調べる。

日経新聞記事より引用)

 

公式発表

楽天モバイルへ転職した元社員の逮捕について(1/12)|ソフトバンク魚拓

従業員の逮捕について(1/12)|楽天モバイル魚拓

 

関連情報のまとめ

関連記事が多く出ていますので、まとめておきます。

 【時系列】

日時 出来事
2019年11月

容疑者が、ソフトバンク退職の意向を伝える

2019年12月

容疑者が、複数回に渡りソフトバンクのサーバーにアクセスし、

営業秘密にあたる5G技術情報を不正取得

2019年12月31日 容疑者が、ソフトバンクを退社
同日

容疑者が、自宅のパソコンからソフトバンクのサーバーにアクセスし

5Gの技術情報に関するファイルをみずからのアドレスにメールで送信

2020年1月1日 容疑者が、楽天モバイルに入社
2020年2月

ソフトバンクが、容疑者に貸与していたパソコンを調査し、

営業秘密の5G技術情報流出の疑いがあることが判明

警視庁に相談

2020年4月

楽天が5G商用サービスに参入

2020年8月

警視庁が楽天モバイル本社や容疑者の職場を家宅捜索しパソコン

などを押収 [*11]

2020年9月

楽天モバイルが5G商用サービスを開始

2021年1月12日 警視庁が容疑者を逮捕

【容疑者】

・容疑者は45歳男性(元ソフトバンク従業員、現楽天モバイル社員)[*3]

・容疑者は通信設備の運用などを担う「伝送エンジニア」で、携帯電話のネットワーク構築に関わる業務にソフトバンクで従事 [*5]

・2021/1/12警視庁により逮捕。容疑は不正競争防止法違反(営業秘密の領得)[*3]

不正競争防止法:事業者の営業秘密を不正に利益取得の目的で使用、又は第三者に開示した場合、10年以下の懲役が科される

・容疑者の認否は明らかになっていない [*3]

・容疑者はサーバーへの正規のアクセス権限を保有していた [*4]

・持ち出されたファイルはパスワードで管理されていたが、容疑者はそれを知る立場であった [*7]

・2019/12/31「5Gを含む無線基地局の配置情報などを無断で社外に漏出した疑い」[*4]

私用パソコンで同社のテレワーク用のシステムを通じてサーバーに接続し、フリーメールアドレスに送信 [*9]

・自宅のパソコンからソフトバンクのサーバーにアクセスし(正規の認証情報を用いて)営業秘密にあたる5Gの技術情報に関するファイルをみずからのアドレスにメールで送信 [*7]

・(不正アクセスは)約30回。退職前に集中的に情報を集めていた形跡が確認された [*10]

・容疑者は通信ネットワーク管理ができる「線路主任技術者」の国家資格保持者 [*4]

ソフトバンクには2004年7月~2019年12月31日まで在籍 [*4]

・2020年1月1日付けで楽天モバイルに入社 [*5]

・容疑者は1か月前にはソフトバンクに退社の意向を伝えていた [*7]

 

【流出の可能性がある情報】

・不正に持ち出された営業秘密は、「4Gおよび5Gネットワーク用の基地局設備や、基地局同士や基地局と交換機を結ぶ固定通信網に関する技術情報」 [*1]

ソフトバンクユーザーの個人情報や通信の秘密に関わる情報、法人の取引先に関する情報は流出していない [*1]

・2019年12月31日だけでなく「19年12月ごろに複数回にわたって同様の手法で営業秘密を取得していた」 [*5]

・容疑者退職後の2か月後の2020年2月に流出が判明し、ソフトバンクが警視庁に相談 [*5]

・容疑者に貸与していたパソコンを2020年2月に調べた際、営業秘密にあたるネットワーク技術に関する情報が不正に持ち出された疑いがあることが判明した[*7]

・持ち出されたデータは100点を超える疑いがある[*8]

・持ち出された技術情報ファイルは約1か月間で約170点[*10]

・(ソフトバンクが貸与していた)パソコンにあった秘密情報の多くはファイル名が変更されていた[*11]

 

ソフトバンクの見解】

・「当社は、当該元社員が利用する楽天モバイルの業務用PC内に当社営業秘密が保管されており、楽天モバイルが当社営業秘密を既に何らかの形で利用している可能性が高いと認識しています。今後、楽天モバイルにおいて当社営業秘密が楽天モバイルの事業に利用されることがないよう、当社営業秘密の利用停止と廃棄等を目的とした民事訴訟を提起する予定です。」 [*1]

 

楽天モバイルの見解】

・「弊社では、社内調査を徹底しており、現時点までに、当該従業員が前職により得た営業情報を弊社業務に利用していたという事実は確認されておりません。また5Gに関する技術情報も含まれておりません。」 [*2]

楽天関係者「流出したとされる技術情報がどのようなものか分からないが、転職者に『秘密情報を持ってこい』などと言うことはない。 [*9]

 

ソフトバンクの再発防止策】 [*1] ※2020年3月以降実施済

・情報資産管理の再強化(管理ポリシーの厳格化、棚卸しとアクセス権限の再度見直し)
・退職予定者の業務用情報端末によるアクセス権限の停止や利用の制限の強化
・全役員と全社員向けのセキュリティー研修(未受講者は重要情報資産へのアクセス不可)
・業務用OA端末の利用ログ全般を監視するシステムの導入

 

続きを読む

ニュージーランド準備銀行へのサイバー攻撃

ニュージーランド準備銀行がサイバー攻撃を受けたと報じられていました。

www.nbcnews.com

ニュージーランドウェリントンニュージーランド中央銀行は日曜日、そのデータシステムの1つが、商業的および個人的に機密情報にアクセスする可能性のある身元不明のハッカーによって侵害されたと述べました。

ニュージーランド準備銀行が機密情報を共有および保存するために使用するサードパーティのファイル共有サービスが違法にアクセスされたと、ウェリントンに本拠を置く銀行は声明で述べた。

NBC News記事より引用)※機械翻訳

 

公式発表

Reserve Bank responding to illegal breach of data system(1/10)

Reserve Bank response to illegal breach of data system(1/11)

 

キタきつねの所感

ニュージーランド準備銀行はウェリントンにあるニュージーランドの「中央銀行」ですので、日本で言えば「日銀」です。

世界でもあまり例を見ない中央銀行サイバー攻撃不正アクセス)被害なので、現在までに判明している情報をまとめてみます。

 

まず公式発表でどう言っているかですが、1/10の発表ではサードパーティのファイル共有サービスが影響を受けたと言っているのですが、

 

ニュージーランド準備銀行–TePūteaMatuaは、データシステムの1つが侵害されたことに緊急に対応しています。

銀行が機密情報を共有および保存するために使用するサードパーティのファイル共有サービスが違法にアクセスされました。

(公式発表1/10より引用)※機械翻訳

 

1/11の段階では、ファイル共有アプリケーション側へのサイバー攻撃である事を示唆しています。

ニュージーランド準備銀行–TePūteaMatuaは、外部の利害関係者と情報を共有するために使用されるサードパーティのファイル共有サービスの違反に緊急に対応し続けています。

(中略)

「これはリザーブバンクに対する特定の攻撃ではなくファイル共有アプリケーションの他のユーザーも侵害されたサードパーティプロバイダーからアドバイスを受けました。」

(公式発表1/11より引用)※機械翻訳

続きを読む

■今週のセキュリティ記事(1/3-1/9)

先週読んだセキュリティ関係の記事の中で、気になったものをご紹介します。

f:id:foxcafelate:20210110100354p:plainは英語記事

無印~★★★は主観での推奨レベル(★★★が閲覧推奨記事記事を読んだ個人的な感想ベース

 

■ 今週の三ッ星記事

整理No  

日付

推奨

記事タイトル(リンク) 

21-0021

12月31日

★★★

What’s Next for Ransomware in 2021?

2021年のランサムウェアの次は何ですか? f:id:foxcafelate:20210110100354p:plain

21-0034

1月4日

★★★

Linux Pentesting: What Is It and How Can It Improve Network Security?

Linuxペネトレーションテスト:それは何であり、ネットワークセキュリティをどのように改善できるか? f:id:foxcafelate:20210110100354p:plain

21-0042

1月6日

★★★

2021年展望、これからのサイバー攻撃

21-0077

1月6日

★★★

6 Open Source Tools for Your Security Team

セキュリティチーム向けの6つのオープンソースツール f:id:foxcafelate:20210110100354p:plain

21-0089

1月7日

★★★

ゼロトラストで求められるソリューション - 後編

21-0094

1月6日

★★★

Nissan source code leaked online after Git repo misconfiguration

Gitリポジトリの設定ミス後、日産のソースコードがオンラインで漏洩 f:id:foxcafelate:20210110100354p:plain

 

ランサムウェア

整理No  

日付

推奨

記事タイトル(リンク)

21-0050

1月5日

Babuk Locker is the first new enterprise ransomware of 2021

Babuk Lockerは、2021年の最初の新しいエンタープライズランサムウェアです。 f:id:foxcafelate:20210110100354p:plain

21-0055

1月6日

One month after ransomware attack, Metro Vancouver’s transit system still not up to speed

ランサムウェア攻撃の1か月後、メトロバンクーバーの交通システムはまだ速度が上がっていません f:id:foxcafelate:20210110100354p:plain

21-0059

1月4日

 

Apex Laboratory disclose data breach after a ransomware attack

ApexLaboratoryがランサムウェア攻撃後のデータ侵害を開示 f:id:foxcafelate:20210110100354p:plain

21-0075

1月6日

Anti-Secrecy Activists Publish a Trove of Ransomware Victims' Data

反秘密活動家がランサムウェア被害者のデータの山を公開 f:id:foxcafelate:20210110100354p:plain

21-0119

1月8日

★★

ランサムウェア「Ryuk」の犯罪利益は1.5億ドル超--セキュリティ企業が試算

21-0121

1月8日

 

Ryuk Ransomware:DCHサイバー攻撃から何を学ぶことができますか?

Ryuk Ransomware:DCHサイバー攻撃から何を学ぶことができますか? f:id:foxcafelate:20210110100354p:plain

21-0123

1月8日

Ransomware Attack Costs Health Network $1.5m a Day

ランサムウェア攻撃はヘルスネットワークに1日150万ドルかかる f:id:foxcafelate:20210110100354p:plain

続きを読む

SunburstはMicrosoftクラウド環境を狙った

CISAがSolarWindsOrion製品に対するAPT攻撃に対するアラート(AA21-008A)を1/8に出していました。

us-cert.cisa.gov

このアラートは、CISAがAPTアクターに帰属するアクティビティ(使用される初期アクセスベクトルに関係なく)にも対処します。具体的には、CISAは、被害者のMicrosoft 365(M365)/ Azure環境で侵害されたアプリケーションを使用しているAPTアクターを見てきました。CISAは、このAPTアクターが、追加の資格情報と、民間および公共部門の組織のクラウドリソースへのアプリケーションプログラミングインターフェイスAPI)アクセスを利用していることも確認しています。これらの戦術、技術、および手順(TTP)は、次の3つの主要コンポーネントを備えています。

フェデレーションIDソリューションの侵害またはバイパス。
偽造された認証トークを使用して、Microsoftクラウド環境に横方向に移動します。そして
・被害者のクラウド環境への特権アクセスを使用して、アプリケーションプログラミングインターフェイスAPI)ベースのアクセスのための検出が困難な永続性メカニズムを確立します。

CISA Alerts内容より引用)※機械翻訳

 

キタきつねの所感

米国CISA(Cybersecurity&Infrastructure Security Agency)が1/8に、AA20-352A(つまりSolarWindsへの攻撃)に付随するアラートを出しました。

 参考:SolarWindsへのAPT攻撃 - Fox on Security

    SolarWinds事件は対岸の火事ではない - Fox on Security

 

 

昨年12月のSolar Winds Orion製品に対するロシアが関与すると見られるAPT攻撃(APT29/Cozy Bear)の全体像がようやく見えてきた気がします。

 

 

今回のアラートが出ている部分は、下図で言う右下の部分で、侵害を受けた(受ける可能性がある)組織・企業が注意すべきポイントが挙げられています。

f:id:foxcafelate:20210110073528p:plain

SolarWinds側の初期侵害(上図の左側)に関する追加情報はありませんが、実際の侵害ケースを調査しているCISAが出しているアラートである事を考え、「認証連携」及び「ラテラルムーブメント」の辺りは、セキュリティ担当の方は把握しておいた方が良いかと思います。

※ご興味ある方は、是非原文アラート(英語)を読んでみて下さい。

続きを読む

Ryukはランサムをビジネスにした

代表的なランサムオペレータ「Ryuk」の被害額が推定1.5億ドル(約156億円)に達している可能性がある事がAdvanced IntelligenceとHYASの共同調査により判明しました。

japan.zdnet.com

 ランサムウェア「Ryuk」を利用する犯罪グループが、世界中の被害企業からBitcoinの形で巻き上げた身代金は1億5000万ドル(約160億円)を超えると見られる。

「Ryuk攻撃を受けた企業が著名なブローカー経由で支払う身代金は犯罪グループに多額の利益をもたらしている」と両社は指摘する。「身代金は数百万ドルに上ることもあるが、通常は数十万ドル規模だ」

 Advanced IntelligenceとHYASによれば、被害企業が支払った身代金は一時口座に集められた後、マネーロンダリング資金洗浄)サービスに渡される。その後、再び犯罪市場に環流して他の犯罪サービスの支払いに使用されるか、本物の暗号通貨取引所で現金化される

ZDNet記事より引用)

 

元ソース(Advanced Intelligence)

Crime Laundering Primer: Inside Ryuk Crime (Crypto) Ledger & Risky Asian Crypto Traders(1/8)

 

キタきつねの所感

ランサムを(Darkな)ビジネスとして考えた場合、最も成功しているランサムオペレータはRyukである様です。ZDNet記事に掲載されていたRSA Conference2020のFBIの資料を引用しますが、2018年~2019年のデータでは、”ランサム利益”の約4割をRyukが得ているとされ、2020年はREvil、Maze、Egregorの被害が相当数あったのでこのグラフは変化するとは思いますが、累積利益という意味ではRyukが圧倒的である事は間違い無さそうです。

FBI

 

上記のFBIの資料では、2018年2月~2019年10月のRyukによる被害額が6126万ドルと発表されていることから、約9000万ドルを2020年と2018年以前に稼いでいる事となり、最新数字は出てないものの、2020年もRyukのビジネスは成功した事を示唆しています。

続きを読む