Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

★★★今週のセキュリティ記事(6/26-7/2)

この記事は約1分で読めます。

先週読んだセキュリティ関係の記事の中で、気になったものをまとめてご紹介します。

【キタきつねEye:週間5トピックス】

①先週のセキュリティ関係の話題の中ではLockbit3.0のリークサイトが立ち上がった件が最も印象に残りました。本朝Lockbit2.0のサイトを確認してみたのですが、Lockbit3.0のサイトに転送がされる様になっており、リーク(交渉)基盤は完全にLockbit3.0(新基盤)に移転した様です。新しいリークサイトではサイトの持つ機能もいくつか変わっていますが、多くの方が警戒したのが、バグバウンティ(報奨金)プログラムかと思います。1000ドル~100万ドルの報奨金というのは、Lockbitが当局に警戒されているグループである事を含め、そう高額な報奨金であるとまでは言えないかと思いますが、まだ”調整中”である可能性も考慮すると決して侮れるものではないかと思います。こうしたプログラムが上手く機能すると、Lockbitが直接的に”武器”を入手できる事となり、武器を使う相手(攻撃対象)を見極める事にも優れているLockbitは、ランサムビジネスの中で更なる成功を収める可能性が高くなります。他にもリークサイトには”攻撃の改良点”と思わしき修正がいくつも施されており、今後もLockbitからは目が離せない様です。

②国内ニュースの中では、メタップスペイメント社に対して経産省が異例の業務改善命令(6/30)を出した事を挙げます。改善命令を受けてメタップスペイメント社からは「行政処分に関するお知らせ」(7/1)と「不正アクセスによる情報流出に関する対応状況について」(7/1)という2つのリリースが出されています。経産省の業務改善命令の『処分理由』の部分にも相当驚いたのですが、「不正アクセスによる情報流出に関する対応状況について」のページの一番下に添付されている『別添1. 第三者委員会調査報告書(公表版)』はカード関連に携わる方であれば必読の報告書と言えるかと思います。少し前にリリースされた半田病院の有識者会議調査報告書にも、(やってはいけない事についての)気づきが多かったのですが、PCI DSSを専門とする立場としては、今回のメタップスペイメントの調査報告書は、決済代行会社として今後メタップスペイメント社が信用回復させるのは相当困難であると想像させる程に、【酷い】内容ばかりが書かれていました。メタップスペイメント社のPCI DSSの審査会社(※ICMS社だと思われます)がどうしてインシデントの原因となるSQLインジェクションを見逃したのか?というのが引っかかっていたのですが、言葉を選ばずに言えば、『審査会社を騙して証跡を出していた』事によって、善意の審査会社が騙されたという形だった様です。審査スコープ拡大(ネットワーク接続上の重大な変更)も審査会社に伝えられてなかった事、検知された重大な脆弱性が会社上層部(担当役員)まで報告されていたにも関わらず、脆弱性が長く放置されていた事、カードブランド、業界団体が定めたルール(クレジットカード・セキュリティガイドライン)や、PCI DSS準拠というコンプライアンス意識が”0”であったと言われても仕方が無いのではないでしょうか。

③先週は「事故対応アワード」が発表され、特別賞を受賞した半田病院のスピーチはなかなか聴きごたえがありました。マイナビでも記事にされていますが、やはり”生”(オンライン)で聞いたのは貴重な経験だった気がします。事件を発生させた原因部分については、有識者会議はベンダー側の責任を相当指摘していますが、私はそれにも増して病院側が悪かった部分(ベンダーの監督責任も含め)も多いと感じています。しかしインシデント後の対応、という点では調査報告書のほとんどの部分を開示した事も含め、受賞に値する対応だったかと思います。スピーチの中で特に印象的だったのは、南海トラフ地震のBCPを策定し、事前訓練をしていたから紙運用にギリギリ耐えられたという見解です。ランサム対応を想定したなかった為に影響は大きかったのは間違いないかと思いますが、復旧目標を立てて、それに向かって職員一丸となって復旧プロジェクトを進める部分については、多くの企業・組織のインシデント対応計画に参考になるかと思います。アワード関連では、メルカリの記事(直接的なアワードスピーチではありませんが)も出ており、アワードを聴講できなかった方にも、当日の雰囲気が伝わるかも知れません。

※来年のノミネートには上記②の会社も確実にノミネートされると思いますが・・何となく受賞は辞退する気がします。

④ゼロトラストの狙い方というトライコーダの上野宣氏のセミナー記事も出ていました。ペンテスト(及び脆弱性診断)の重要性については今更私が書くまでもありませんが、PCI DSS準拠などでも年に1回の”儀式”と化している所は決して少なくありません。サイバー攻撃は近年高度化、巧妙化しており、通り一遍の診断でアリバイの様にやり過ごしていると、思わぬ所で足を救われかねません。特に重要なのがネットワーク接続の確認で、重要資産を保有する場所に対するアクセスの把握が不十分だと、守りが手薄な裏口を攻められてデータ侵害に繋がってしまう事も考えられます。そして残念な事にネットワーク接続というのは、ビジネス側の都合、あるいは機器・システム更新に伴って変化していくものであり、前提条件であるネットワーク接続(ネットワーク図)を間違えているケースも考えられるのです。そうした中、プロであるペンテスターの意見(事前ヒアリング)を聞くと、意外な盲点が炙り出される事があり、攻撃側が見つける前に防衛側が盲点を気づけるという点で、ペンテストの重要性は今後更に増していくかと思います。ペンテスター(ホワイトハットハッカー)視点での考え方は、あまり多くは語られる事が無いのですが、上野氏やGMOサイバーセキュリティ byイエラエ株式会社などのセミナー記事がたまに出ていますので、四角い頭を丸くするためにも、そうした記事(セミナー)を見かけた時は一読される事をお勧めします。

⑤最後はチップメーカーのAMDがRansomHouseのサイバー攻撃を受けた件です。大手企業の中でサイバー攻撃に遭ってない企業はおそらく無いかと思いますが、攻撃成功の鍵が”酷いパスワード”だったと報じられており、おそらく何年啓蒙しても治らない”不治の病”と化しているパスワード問題がまたクローズアップされそうです。FIDO2の様なパスワードレスがいよいよ本格実装されそうな中ではありますが、未だにパスワードに頼っているサービスは多くある事を考えると、延命措置でしかありませんが、過去に漏えいしたパスワードをパスワード登録の際に参照する(拒否する)実装は、サービス事業者側の責務な気がします。

※パスワード辞書についてはネット上に多数転がっていますが、オススメはHave I Been Pwnedのトロイハント氏のサイトに掲載されている辞書です。

====

※フリー版(★3記事+ランサム記事)は、下記のフォルダにファイルを置いておきますので参照下さい。ファイルが閲覧できない(リンクがおかしい)等、何かありましたらブログのコメント欄にでもコメントを頂けますと幸いです。

■■GoogleDrive(Free-Contents)■■

 

※サブスクリプション登録をされている方は、codocにログインしてファイルを入手(ご覧)ください。

この続きはcodocで購読
Remaining: 175charactors
  • キャプチャ.JPG
    月額サブスクリプション
    ¥300 monthly
    Trial period7days
    Fox on Security/Fox Research等 限定コンテンツの月額サブスクリプション費となります。 ・セキュリティニュースまとめ ・インシデント調査記事 等の調査記事(データ)の閲覧が可能となります。 ※週次まとめは月曜中、日次まとめは平日15-16時頃までの配信を予定していますが、諸般の事情で遅れる場合もあります。 ※出張や祝日等を考慮し、月20日程度の配信を目標としています。(休載時は可能な限りその旨を予め掲載いたします。※土日祝は翌平日にまとめて配信予定)
  • キャプチャ.JPG
    年額サブスクリプション
    ¥2,500 annually
    Trial period7days
    Fox on Security/Fox Research等 限定コンテンツの年額サブスクリプション費となります。 ・セキュリティニュースまとめ ・インシデント調査記事 等の調査記事(データ)の閲覧が可能となります。 ※週次まとめは月曜中、日次まとめは平日15-16時頃までの配信を予定していますが、諸般の事情で遅れる場合もあります。 ※出張や祝日等を考慮し、月20日程度の配信を目標としています。(休載時は可能な限りその旨を予め掲載いたします。※土日祝は翌平日にまとめて配信予定)

 

本日もご来訪ありがとうございました。

Thank you for your visit. Let me know your thoughts in the comments.

 

f:id:foxcafelate:20211108061841j:plain

 

更新履歴

  • 2022年7月4日 AM