2024年6月の気になるインターネット記事をピックアップ
6月は気になるセキュリティニュースがたくさんありました。
「当社の情報が漏えいしました」──世間へどう発表すべき? タイミングは? セキュリティ専門家に根掘り葉掘り聞いてみた ふーん、という感じの記事でした。
何かあった際「対外的な発表に向けた動きはどうする」「記者対応はどうする」という訓練までしている企業は、そこまで多くないんじゃないかと思うんですよね。 <略> 社内情報がマスコミを通して漏れてしまうと、結果として企業は説明責任を果たしにくくなる。インシデントが発生した際にはこういう対応をしました、と(企業自ら)説明責任を果たせるかどうかも、訓練の有無で変わると思います。
まさに今ニコニコ動画がこの状況になってしまっています(NewsPicskがスクープで内部情報を暴露した)。
山口さん:ある通信系の社長さんは知識豊富で、記者からの技術的な質問にも回答できており、企業のトップとしてあるべき姿と思います。ただ、全員が全員同じ対応を取るのは難しい。
これは2022年のKDDIの障害対応のことでしょうね。アレは評価爆上がりでしたよね。
20 free cybersecurity tools you might have missed
サイバーセキュリティを助けてくれるフリーのツールを紹介してくれてます。しかしこれらのツールは日本語で紹介されているモノはわずか。英語が分からないと役立つ情報をキャッチできないということを再認識。
気になったサービスは以下。
特にFail2banはAWS WAFに標準搭載してほしい機能ですね(IPでアクセス制限することはできるが、認証で失敗するIPアドレスをBanするにはログを基に自作で作りこむ必要があるので)
セキュリティ情報融合基盤 “CURE” のカスタム通知機能を開発 〜『Watcher』(ウォッチャ)による通知で自組織のセキュリティ向上に貢献〜
CURE(Cybersecurity Universal REpository)は、サイバーセキュリティ関連情報を一元的に集約し、異種情報間の横断分析を可能にするセキュリティ情報融合基盤。個別に散在していた情報同士を自動的につなぎ合わせ、サイバー攻撃の隠れた構造を解明し、リアルタイムに可視化する。
WatcherにIPアドレスやドメイン名など自組織に関連した情報を通知対象として設定しておくと、それらの情報がCUREの中に現れた際に自組織宛てに即時通知が行われます。
おお、すごそう!
iOS18などの新機能「パスワード」アプリ実使用レポート、既存機能とどう違う?
iOS18は9月にリリースされるとのことです。見た感じ1passwordと似た感じで使えそうですね。 「Windows用iCloud」アプリを利用すればWindowsのブラウザでもパスワード管理機能が利用できるというのが魅力ですね、Microsoft謹製のパスワード管理アプリ、Microsoft AuthenticatorはPCに対応していないので。会社で一気に普及させてパスワード管理を強化するチャンスかも。
ついにブロックができるようになった!Amazon GuardDuty Malware Protection for Amazon S3が発表されました!
GuardDutyは不正侵入を検知するAWSのサービス、とりあえず有効化しておけばあとはよしなにやってくれ、不審なIPアドレスからのリソースへのアクセスや普段ログインしないユーザやルートユーザのログインなどを通知してくれます。EC2に対しては不審な挙動を検出したら実際にEC2内部(つまりEBS)にマルウェアが含まれていないかスキャンすることが可能でした。が、このマルウェアスキャンがS3に対しても実行できるようになりました。ユーザによりファイルをアップロードされる場合マルウェアスキャン&隔離ができる設定を有効化したバケットを利用するとよさそうです。
「リスク」と「脅威」は別です。このスライドにあるように、両者が混合して会話されることも多いです。「脅威」は「脆弱性」を突く存在、例えば自然災害だったりハッカーだったりします。つまり「脆弱性」は存在する”だけ”では「リスク」とはならず、それを突く「脅威」があって初めて「リスク」となります。
リスクとは「影響度」×「可能性」によって導き出されます。つまり「会社のデータがすべて消え去る」という影響度は極大ですが、その可能性がほぼないのでしたら、そのために一生懸命対策をおこなうのは割に合わないという話です。セキュリティはいかに優先度を決め、効果的な対策を行うのかが大切です。 ただ、スライドにあるように細かい用語の定義よりも、関係者が共通の言葉の意味を使っていることが大事でしょうね。CVEはそのためにあります。 真面目に読んでいたら鬼畜ロボ出てきたw
ランサムウェアの侵入経路は今はVPN機器とかRDPの脆弱性だった。「怪しいメールの添付ファイル開かなきゃ大丈夫」は時代遅れなのか?→有識者の声が続々
X(旧twitter)のまとめ記事です。最近悪貨が良貨を駆逐している感のあるXですが、悪いのが目立っているだけで、大半のユーザの会話はまっとうであり、このまとめも良質です。 表題の件は最近よく言われています。従業員のメール詐欺が最大のリスクなので、その啓蒙を・・・とやっていると情シスが足をすくわれます。 ソースは警視庁:サイバー空間をめぐる脅威の情勢等。
VPN、RDPとも侵入されてしまったらやりたい放題やられてしまう危険な存在。そのためのゼロトラスト、ふるまい検知機能がありますが、価格も導入敷居も高く、なかなか導入できない存在です。結局便利なソフトウェアはほぼすべて悪用されてしまう、ということでしょうか。辛い。
もう一つ、最近X(旧twitter)を読んでいて同感と共感しかなかったケビン松永氏のツイートがまとめられていました。
サイバー犯罪に対してセキュリティ運用担当者が白旗を上げるしか無い理由…新しい脆弱性が多すぎて運用実務が限界?
次回の記事でも紹介するのですが、ハッカーに被害企業の情報が暴露されることにさほど価値がないとしても、被害企業の業務を止めてしまうことができればそれ自体が脅迫、身代金を稼げるため、昔のように大企業や高度な情報を持っている企業だけでなく、今や中小企業ですらターゲットです。中小は十分な費用も人員もおらず、セキュリティ対策は「分かっていても手を付けられない」というのが現状。普段は評価されず、かといって何かが起こるとぼこぼこに非難される、哀しい職種と言えます。