研修・セミナー・カンファレンス
デロイト丸山満彦の危機管理広報論~セキュリティインシデント発生後のマスコミ対応ポイント
JSSECは「情報漏洩による危機管理対応セミナー」を、井之上PR、DTRSとともに開催した。このセミナーを2回にわたりレポートする。
2017.09.21(木)
![ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]](/base/images/header-logo.png){kind=logo}
JSSECは「情報漏洩による危機管理対応セミナー」を、井之上PR、DTRSとともに開催した。このセミナーを2回にわたりレポートする。
Apache Struts のバージョン 2 系に、遠隔から任意のコードが実行可能となる脆弱性が報告されています。
新たな調査で、フィッシング詐欺を支える偽Webサイトビジネスの好況な実態が判明した。
巨大ボットネットの解体は、民間企業やNPO、行政エージェントの活動だけでなく、警察や裁判所など法執行機関の関与がなければなかなか成功しない。Blackhat USA 2017ではFBIの担当者によるボットネット解体の法執行機関側からの報告があった。
3つ目のセッションは、ヤフー株式会社の日野隆史氏による「セキュリティ教育とUXの知られざる関係? 結ばれていた赤い糸?」だ。 セキュリティ教育教育の課題解決にUXデザインの思考プロセスを活用した社内外の教育事例を紹介し、今後の進むべき方向についての提案を行った。
Microsoft Windows OS の主要コンポーネントである GDI (Graphics Device Interface) に、整数オーバーフローの脆弱性が報告されています。
セキュリティ業界では何年も前から、自動車ECUのハッキングやコネクテッドカーのハッキングが行われ、検証実験レベルでは現実のものとなっている。報道されるハッキング実験はたいてい成功しているのだが、本当に自動車は危ないのだろうか。
ニュースを始めとしたメディアで毎日のように取り上げられるサイバー犯罪。それらの犯罪の裏にどのようなアクターが存在しているのか。僕が話をする前にちょっと想像してみてほしい。彼らはどんな目的で、どんな環境で攻撃を仕掛けているのか。
フォーティネットは、同社FortiGuard Labsによる「2017年第2四半期の脅威レポート(日本語版)」をフォーティネット倶楽部会員向けに発表するとともに、記者説明会を開催した。
2つ目のセッションは、EGセキュアソリューションズ株式会社 徳丸 浩氏による「セキュリティ対策の都市伝説を暴く」だ。 「セキュリティ対策の都市伝説」は本当に有効なのか、もっと良い対策があるのではないかを徳丸氏が5つの事例を挙げて実証した。
企業の情報システム部門の実態把握と、幸せ向上(アンケート実施組織の担当者コメント)を目的として、「情シス」を対象としたアンケート調査「情シス一斉調査」の結果が8月末公開され、組織における情報システム部門の実態と課題がつまびらかにされた。
日本政府は、2013年度より「サイバー攻撃対策防御モデル・実践演習の実証実験」事業の一環として、サイバー攻撃への対応策を検討してきました。 この取り組みの成果として、総務省は7月10日、「サイバー攻撃(標的型攻撃)対策防御モデルの解説」を公表しました。
6月末から7月上旬にかけても、再びランサムウェアの大規模感染が確認されました。今回新たに観測されたのは、「Petya(ペトヤ/ペチャ)」と呼ばれるマルウェアの亜種(通称「GoldenEye」)による攻撃です。
新たな調査で、フィッシング詐欺を支える偽Webサイトビジネスの好況な実態が判明した。
分析
「従来の武力衝突に関して言えば、国際連合安全保障理事会やジュネーヴ条約があり、非常に形式的な体制が整っています」と大臣は述べた。「現在のところサイバー空間は、法律や基準に関しては依然として相当に野放しの状態です。これは私たちが対処すべき問題です」
分析
ラスベガスでは3組のセキュリティカンファレンスが開催され、悪臭放つ賭博場にハッカーが飛び込んでくるというので、現地の企業は自社システムをロックダウンしている。
Apache Struts のバージョン 2 系に、遠隔から任意のコードが実行可能となる脆弱性が報告されています。
Microsoft Windows OS の主要コンポーネントである GDI (Graphics Device Interface) に、整数オーバーフローの脆弱性が報告されています。
Metasploit 用のエクスプロイトコードの他に、多数の検証用コードが GitHub 上に公開されています。クローンすることにより、テスト用のコードの実行を試みるものですが、悪意のあるレポジトリが存在する可能性があるため注意が必要です。
Windows OS のファイル共有サービスである SMB に、プロトコルの実装上の問題を悪用してサービス不能攻撃が可能となる問題点が報告されています。
Apache Struts のバージョン 2 系に、遠隔から任意のコードが実行可能となる脆弱性が報告されています。
筋肉質の経営なんてビジネス雑誌のサイトでよく見る聞こえの良い言葉だけど、不景気や業績が傾いたときになって削られる間接部門って、俺たちの仕事は贅肉かよ!体脂肪かよ!酷い話だよね。
最近、現セキュリティ担当者に会議後に「CSIRTって知らないと思いますけど、今、セキュリティ対策としてとても効果的なんですよ。」と言われちまったオイラ。いやいや、オイラは10年前、まさに君の前前前世のセキュリティ担当者だったのだ。
ちゃんと運用すれば効果はそれなりにあるはずなんだ。でも、なんで効果が出てこないか、その辺りの理由も、ダイエットとセキュリティはよく似ている。
経営者はITに詳しくない、新しい技術に疎い、なんてことを心配している次元では無くなってきた。経営者にそこまで広い知見はあるかというと、さすがに偉くなってきた、勝ち残ってきただけの優秀さは持っている。ただの50代、60代のおっさんとかとは、桁違いに切れる。
佐賀県の教育情報システムに17歳の少年が不正アクセスし、教師や生徒の個人情報が洩れるという事件が2016年6月26日に報道された。しかし、さすがに犯罪者を褒め称えてしまっては、同じようにヒーロー扱いされたいと模倣犯が出てきたりしかねない。
ジェムアルトは、世界中で公表されたデータ漏えいインシデントのデータベースである「2017年上半期Breach Level Index」(BLI:情報漏えい危険度指数)の集計結果を発表した。
イードは、海外で発生した大規模個人情報漏えい事件・事故を調査分析した資料「サイバー空間における日本企業及団体の情報漏えい実態調査2017」を10月24日に発刊すると発表した。
エイチ・アイ・エス(H.I.S.)は、首都圏を出発地とする国内バスツアーサイトツアーの申し込んだ顧客の個人情報1万1975人分が外部からのアクセスで流出したと発表した。
株式会社ゴゴジャンは7月25日、同社が運営する「fx-on」に外部からの不正アクセスがありクレジットカード情報が流出した可能性があることが判明したと発表した。
![「入口対策」再評価、パスワード付ZIPにも対応したメール無害化ソリューション(クオリティア)[Security Days 2017インタビュー] 画像](/imgs/p/sRyg1IyWe_nbMeR4tZhcHm8JOgc0BQQDAgEA/23077.jpg)
![米メールセキュリティ企業が提供するBEC対策 (日本プルーフポイント) [ Email Security Conference 2017インタビュー] 画像](/imgs/p/sRyg1IyWe_nbMeR4tZhcHm8JOgc0BQQDAgEA/23074.jpg)
![IoTセキュリティはハードウェアが信頼の起点に(インフィニオン テクノロジーズ ジャパン)[Security Days 2017インタビュー] 画像](/imgs/p/sRyg1IyWe_nbMeR4tZhcHm8JOgc0BQQDAgEA/23034.jpg)
![ADCベンダのDDoS対策とWAFの優位性とは(F5ネットワークスジャパン) [Security Days 2017インタビュー] 画像](/imgs/p/sRyg1IyWe_nbMeR4tZhcHm8JOgc0BQQDAgEA/23032.jpg)
今回の事件は複数の専門家から見解が示されています。しかし実際はどうだったのでしょうか。
Anonymousによる攻撃示唆の投稿は合計すると100以上にも及び、障害も似たような件数が発生していたものと考えられますが、それらすべてが報道されていたわけではありません。
残念ながら攻撃者から見れば広告経由で拡散できる手段は魅力的に映っているのだろうと思います。今後も不正広告の事例が出てくるはずです。業界としての取り組みを期待するとともに、広告は身近な存在であるために油断せずに自衛手段を行っておきたいものです。
しかし、カスペルスキーが6月4日に発表した標的型攻撃のキャンペーン「Blue Termite」は大変興味深いものでした。外部の指令サーバーへ通信を行っていたIPアドレスが少なくとも300個確認され、内73%が国内のもので、この中には日本年金機構も含まれていたそうです。
IPAおよびJPCERT/CCは、デジタルアーツが提供する有害サイトフィルタリングソフト「i-フィルター 6.0」のインストール プログラムおよびインストーラに、DLL読み込みや実行ファイル呼び出しに関する脆弱性が存在すると「JVN」で発表した。
IPAおよびJPCERT/CCは、DENX Software Engineeringが提供する、AESで暗号化されたファイルから設定を読み込むことができるデバイスブートローダ「Das U-Boot」に、複数の脆弱性が存在すると「JVN」で発表した。
IPAおよびJPCERT/CCは、NTTドコモが提供するLG Electronics製「Wi-Fi STATION L-02F」にバックドアの脆弱性が存在すると「JVN」で発表した。
IPAおよびJPCERT/CCは、富士通ビー・エス・シーが提供する、FENCE-Pro などで作成された「FENCEブリーフケース」ファイルの閲覧・編集ツール「FENCE-Explorer」のインストーラに、DLL読み込みや実行ファイル呼び出しに関する脆弱性が存在すると「JVN」で発表した。
IPAは、「Microsoft 製品の脆弱性対策について(2017年9月)」とする注意喚起をを発表した。
IPAは、2017年第2四半期(4月から6月)における「脆弱性対策情報データベース『JVN iPedia』の登録状況」を発表した。
IPAは、Oracle社がJavaのアップデートを公開したことを受け、「Oracle Java」の脆弱性対策について注意喚起を発表した。
IPAは、「2016年度 中小企業における情報セキュリティ対策に関する実態調査」報告書について発表した。
ランサムウェアと呼ばれるマルウェアを使ったサイバー犯罪。オレは何度も扱ったことがある。
末期の重病を苦に自殺した少女のTwitterアカウントが死後復活した。フォロアーもフォローも1名だけのアカウントのツイート数は毎日増え続ける・・・
それから地下鉄構内のエクセルシオールカフェに入る。まずいコーヒーを注文し、口をつけないまま、PCを操作する。ここでは、Metro Free Wi-Fi という公衆無線LANを利用してインターネットに接続できる。
社長は財務とグルになって、秘密の口座に金をため込んでいる。たまたまそのことを知ったオレは、盗めるんじゃないかと思うようになった。もちろん犯罪だ。しかし、盗んでも社長は表沙汰にできない。なにしろ、隠し口座なんだから。
![[配信予告] 情報漏えい事故後の謝罪記者会見ワークショップを取材しました](/imgs/p/L-fjDqaI-JUAKQzArv9bfG8IKgeyBQQDAgEA/22971.jpg)
7月下旬に一般社団法人日本スマートフォンセキュリティ協会の主催で行われた「情報漏洩による危機管理対応セミナー」の詳細レポート記事を Scan PREMIUM 会員向けに近日配信予定です。本誌ベテランライター吉澤亨史が密着取材しました。
今夏開催されたあの国際会議の公式リュックサックと梱包ノベルティ一式(まるまる全部)を抽選で1名様にプレゼントいたします。
ScanNetSecurity の夏の恒例となりましたインタビュー記事を現在準備中です。
軍司氏の寄稿は、かつてなかったほどの「サイバー・ノワール」と呼べるような濃密な連載となりそうです。
