研修・セミナー・カンファレンス
企業は賞金稼ぎとどう向き合えばいいのか ~ バグバウンティを考えるなら知っておきたいこと
脆弱性ハンドリングについては一定のルールが確立されている。グローバルで標準化された枠組みがあるものの、最近ではそれとは違った動きもみられる。脆弱性の発見と修正に懸賞金をかけることで、バグやセキュリティホールを潰すという考え方だ。
2019.12.06(金)
脆弱性ハンドリングについては一定のルールが確立されている。グローバルで標準化された枠組みがあるものの、最近ではそれとは違った動きもみられる。脆弱性の発見と修正に懸賞金をかけることで、バグやセキュリティホールを潰すという考え方だ。
ラジコン機器や金型などで知られる双葉電子工業のフィリピン子会社が、マルウェア感染により同社のPCからメールアドレスが窃取されたことを発表しました。Emotet (エモテット)に類似しているスパムメールを受信したことで、アンチウイルスソフトが検出したとのことです。
モダンな C2 サーバーは、たとえば VirusTotal のようなセキュリティインフラすら利用して標的のデータを窃取し、クラウドサービス上に潜み、DNS 悪用してドメインを乗っ取っている。
2019 年 10 月に、Elasticsearch のプラグインである Kibana で 2019 年 2 月に報告された脆弱性を悪用して、遠隔から任意のコードが実行可能となるエクスプロイトコードが公開されています。
攻撃者視点で見た企業の脆弱性とはどのようなものか、TLPTについての概要説明と、実施することによる効果や課題について高野氏が解説した。
米国の軍需会社レイセオンは、軍用機の「サイバー上のアノマリー」対策に効果の期待できるセキュリティスイート製品を市場に問うている。
独裁者にこよなく愛されているフィンフィッシャー・スパイウェアスイート作成企業がドイツのジャーナリストに法的な脅迫状を送り付けた。
米国の軍需会社レイセオンは、軍用機の「サイバー上のアノマリー」対策に効果の期待できるセキュリティスイート製品を市場に問うている。
独裁者にこよなく愛されているフィンフィッシャー・スパイウェアスイート作成企業がドイツのジャーナリストに法的な脅迫状を送り付けた。
連邦捜査局(FBI)はこれまで、ランサムウェア攻撃を受けた企業が身代金を支払うことに否定的だったが、その断固たる姿勢を少し軟化させている。
ドイツ内務省がこの度明らかにしたところによると、同省は今後、特定の IT サプライヤー(とりわけマイクロソフト)への依存を減らし、「デジタル主権」の強化を目指して行くという。
2019 年 10 月に、Elasticsearch のプラグインである Kibana で 2019 年 2 月に報告された脆弱性を悪用して、遠隔から任意のコードが実行可能となるエクスプロイトコードが公開されています。
2019 年 7 月に、Linux Kernel に管理者権限の奪取が可能となる脆弱性が報告されています。
2019 年 10 月に、Microsoft Windows において、任意のファイルの操作が可能となる脆弱性が報告されています。
プログラミング言語 PHP に disable_functions による実行制限を回避して、任意の PHP 関数が実行可能となる脆弱性が報告されています。
![双葉電子工業のフィリピン子会社が Emotet 感染 ほか ~ 2019 年 11 月のふりかえり [Scan PREMIUM Monthly Executive Summary]](/imgs/std_l/29346.png)
ラジコン機器や金型などで知られる双葉電子工業のフィリピン子会社が、マルウェア感染により同社のPCからメールアドレスが窃取されたことを発表しました。Emotet (エモテット)に類似しているスパムメールを受信したことで、アンチウイルスソフトが検出したとのことです。
CrowdStrike 社は、中国の国家安全部職員やセキュリティ研究者、標的企業の関係者など多数の人物が関わった国家ぐるみのハッキングが、中国で開発中の航空機「 COMAC C919 」のために行われていたという実態を報告しました。
米国防総省はサプライチェーンに関連した脅威を重く受け止め、ペンタゴンの機密データを扱う請負業者向けに Cybersecurity Maturity Model Certification ( CMMC )を公開しました。複雑でクモの巣のようなサプライチェーンを隅々まで保護することを目的としています。
Carbon Black 社が「Cognitive Attack Loop」を提唱し、NIST が APT に対する「Cyber Resilience Guidance」を9月にリリースすることを発表するなど、サイバーセキュリティ対策において新たな動きがありそうです。
こんまりメソッドは5つのステップで考えるそうだ。後半は、前半と重複する話も含まれるけど、順を追っていこう。最後には、ラスボスが待っている。
こんまりメソッドの片付けの手法でセキュリティ対策を片付けて、セキュリティでときめくことはできないか、考えてみたよ。
これまでのお話で分かると思うけど、CSIRT体制構築は成熟期に向かう過渡期にあり、評価や話題性でみると終焉に向かいつつある。低コストで維持しやすい組織を目指した方がいい。
既に、CSIRT体制構築ブームに乗って、日本シーサート協議会に登録、あわよくばIT系のニュースで事例紹介されたい、なんてCSIRTゴールは飽きられ始めている。新鮮味が薄くなったんだ。ITに疎い経営者も少なくなった。
サービスのミスマッチが発生する状況について、セキュリティ診断サービスの標準化に取り組む企業、株式会社SHIFT SECURITY 執行役員 松尾 雄一郎(文中敬称略)に話を聞いた
これまで「高度な職人技」とみなされてきた脆弱性診断。その診断業務の標準化を積極的に進める株式会社SHIFT SECURITYが、今回は脆弱性診断内製化をテーマに、セミナー「サイバーセキュリティアカデミー」を7月下旬都内で開催した。
昨今、代表的画面だけ診断をやればいい時代ではなくなっている。ほとんどの画面を各企業が診断する傾向が強まっており、 SHIFT SECURITY が提供する「すべてにおいて必ず80点」というニーズが高まっていると濱本は考えている。
EC サイトをターゲットとしたサイバー攻撃被害が増加する昨今、「EC-CUBE 向け無償簡易セキュリティ診断」の取り組みの目的やサービス内容について、診断を行うふたりの技術者、森藤将武氏、小田真司氏に話を聞きました。
CrowdStrikeの最新レポートでは、モバイルデバイスを脅かすいくつかの脅威を詳細に分析し、組織が自社のデータとネットワークをモバイル脅威から守るための推奨事項を紹介しています。
「CrowdStrike アドバーサリーカレンダー」は「アドバーサリー(敵性国家)」に関わる、サイバー攻撃に影響を及ぼす可能性がある(あるいは過去影響を及ぼした)地政学的出来事の情報を提供している点に最大の特長があります。記事末尾には当月の記載事項を付記します。
Big Game Huntingの攻撃者が最近好んで狙っている標的が学校です。今や攻撃者グループの傾向と、年間を通したイベントカレンダーを観察することが重要になっています。
CrowdStrike 社は、中国の国家安全部職員やセキュリティ研究者、標的企業の関係者など多数の人物が関わった国家ぐるみのハッキングが、中国で開発中の航空機「 COMAC C919 」のために行われていたという実態を報告しました。
![双葉電子工業のフィリピン子会社が Emotet 感染 ほか ~ 2019 年 11 月のふりかえり [Scan PREMIUM Monthly Executive Summary] 画像](/imgs/p/sRyg1IyWe_nbMeR4tZhcHm8JOgc0BQQDAgEA/29346.png)
新潟県は12月4日、県地域政策課にてふるさと納税に係る領収書等1名分の誤送付が判明したと発表した。
医療法人財団康生会武田病院は10月15日、同院の診療に関する書類を廃棄作業場に運搬中に梱包したダンボールが一般道に落下し書類の一部の紛失が発生したと発表した。
東北労働金庫は11月29日、同金庫にて顧客情報が記載された帳票の紛失が判明したと発表した。
大阪市は12月3日、大阪市立中学校の教員が技術科2学期期末テストの解答用紙を紛失したことが判明したと発表した。
ACCSによると、京都府警察・兵庫県警察共同捜査本部は、京都市内および神戸市内のゲームバー4店舗において、家庭用ゲームソフトを客に遊戯させて無断上映し、ゲームソフトメーカー各社の著作権を侵害していたとして著作権法違反の疑いで店舗経営者・店長4名を逮捕した。
11月29日から12月2日にかけて、一般社団法人日本ネットワークインフォメーションセンター(JPNIC)主催の「Internet Week 2016 ~見抜く力を!~」が、浅草橋のヒューリックホール&カンファレンスで開催される。
BSAは、福岡地裁が福岡県内の20代男女に対して著作権法と商標法違反で有罪判決を下したと発表した。
ACCSによると、大阪府警サイバー犯罪対策課、箕面署、茨城県警生活環境課、取手署の共同捜査本部は、動画配信支援ツールを用いてアニメ作品を無断配信していた被疑者6名を、著作権法違反の疑いで送致した。
IPAは、2019年度上半期の「サイバーレスキュー隊(J-CRAT)活動状況」を発表した。
IPAは、2019年7月から9月の四半期における「サイバー情報共有イニシアティブ(J-CSIP)運用状況」を公開した。
IPAは、「情報セキュリティ安心相談窓口の相談状況[2019年第3四半期(7月~9月)]」を発表した。
IPAは、「ソフトウェア等の脆弱性関連情報に関する届出状況[2019年第3四半期(7月~9月)]を発表した。
JPCERT/CCは、「マルウエア Emotet の感染に関する注意喚起」を発表した。
JPCERT/CCは、2019年7月から9月における「インターネット定点観測レポート」を公開した。
JPRSは、「BIND 9.xの脆弱性(DNSサービスの停止)について(CVE-2019-6476)」の注意喚起を発表した。IPAおよびJPCERT/CCも、「ISC BIND 9 における複数の脆弱性」を発表している。
JPCERT/CCは、2019年7月1日から9月30日までの四半期における「インシデント報告対応レポート」および「活動概要」を公開した。
警察庁は、「PHP-FPMの脆弱性(CVE-2019-11043)を標的としたアクセスの観測等について」とする注意喚起を「@police」において公開した。
警察庁は、「vBulletin の脆弱性(CVE-2019-16759)を標的としたアクセスの観測等について」とする注意喚起を「@police」において公開した。
警察庁は、「Elasticsearchの脆弱性を標的としたアクセスの増加等について」とする注意喚起を「@police」において公開した。
警察庁は、「Webminの脆弱性(CVE-2019-15107)を標的としたアクセスの観測について」を発表した。
NISCは、政府のサイバーセキュリティに関する予算(令和2年度予算概算要求)について発表した。
NISCは、「小さな中小企業とNPO向け情報セキュリティハンドブック」を公開したと発表した。
NISCは、「APT10といわれるグループによるサイバー攻撃について」とする注意喚起を発表した。
NISCは、政府のサイバーセキュリティに関する予算(平成31年度予算概算要求)について発表した。
内閣サイバーセキュリティセンター(NISC:National center of Incident readiness and Strategy for Cybersecurity)特集をもっと見る
![[鋭意準備中] ScanNetSecurity に夏を告げる紳士を取材しました ~ Black Hat USA 2019 の見どころ 画像](/imgs/p/sRyg1IyWe_nbMeR4tZhcHm8JOgc0BQQDAgEA/28068.jpg)
![[配信予告] CSIRTの終焉? 平成最後のリスクテイク、桜の名所であの純愛カップルが撮影敢行 画像](/imgs/p/sRyg1IyWe_nbMeR4tZhcHm8JOgc0BQQDAgEA/27120.jpg)
