セキュリティの終わりのない道

【ブックレビュー】OSINT実践ガイド

毎年恒例、「ITエンジニア本大賞」。このニュースを聞くと、もう1年も終わりかと遠い目になります(–;) https://www.shoeisha.co.jp/campaign/award/ 今年はやはり生成AI、LLMの本が多いですね。僕も実家に新しいPCを買った時に、Google Geminiを親に教えました。僕の親は今はもうリタイアしていますが日本のコンピュータの普及の歴史と一緒にエンジニアの道を歩んだ人、コンピュータについては同じ年齢の人と比べて詳しいと思います。LLMを使い始めて「恐ろしい時代になった」と言っていました。調べもののスピーディーさが段違いだと。僕もそう思います。今回は唯一エントリーされているセキュリティに関連する書籍「OSINT実践ガイド」についてのレビューになります。「OSINT」というと聞いたことがない用語でしたが、「オシント」と読み、Open Source Intelligence の略です。一般に公開されている情報源からアクセス可能なデータを収集、分析し、意思決定に役立てるための諜報活動の一種です。この情報源は攻撃側も同じ情報を持っており、攻撃に利用しようとします。まさに「敵を知る」こともできるでしょう。敵を知れば敵がどのように攻撃してくるかを予測することができ、防御一辺倒だった状況から「この攻撃が我々に対して行われるかもしれない」と、自分達で能動的にセキュリティを強化する「攻めのセキュリティ」を行うことができます。インテリジェンスとは元々軍事用語です。余談ですが、セキュリティの世界では最高のセキュリティが求められる軍事から転用された用語が少なくありません。様々な「データ」を意味のある「情報」としたうえで、その情報を分析し、自分達の意志判断の手助けとなるモノを「インテリジェンス」と言います。情報をインテリジェンスにすることは簡単ではなく、専用のベンダー（インテリジェンスベンダー）もいます。様々なインテリジェンス手法がありますが、OSINTはその中のひとつで、オープンなソースから情報を収集する活動です。かつて第二次世界大戦などでは雑誌や新聞がOSINTの対象でした。現代のデジタルOSINTはGitHub上のソースコードやSNS、Webサイト、脆弱性データベースやPoC（Proof of...

2024, Dec 15 —

ネットにはびこる詐欺とウソ

インターネットは私たちの生活に欠かすことのできないインフラですが、詐欺・ウソ・偽物が溢れかえっています。だまされると個人的な損害はもちろん、サイバー攻撃の被害者となることで個人漏洩にもつながる可能性があります。日経XTECHの特集にネットにはびこる詐欺・ウソ・偽物という特集があり、画像込みで分かりやすく紹介されていました。残念ながら有料記事なので、詳細をここで紹介することはできませんが・・・。特に身近にあるセキュリティリスクについて多数解説されていて、知らないことも多くたいへん勉強になりました。 SNS偽広告詐欺 SNSに偽広告が上がるのは珍しいことではありませんが、今はやり方が凝っていることを知り恐ろしいと思いました。有名人の名前と画像を無断で使った広告からLINEに誘導、親身に接して最初は利益を上げるように見せかけます。そのうち有名人（になりすましたアカウント）が主催するグループトークに参加させられます。他のメンバーが利益を上げているような投稿をしますが、これもサクラがやっているのでしょう。さも本当に実績があるかのように画像や動画をトークルームで利用します。｢SNS偽広告｣メタ社を全国5地裁に提訴、請求総額4億円超外部の取引サイトすら偽サイトとして本物そっくりに作り込んでいるという。これはプロの詐欺師が用意周到、金をかけていること間違いありません。今話題の闇バイトもかかわっているのでは？実際僕の友人も投資詐欺に引っかかったことがあり、百万円単位で騙されたとのことです。本物を知っている人ほど違和感ない手口、「自分は投資には慣れている」と思う人ほど危ないです。騙される方が悪い、とは言いません。オレオレ詐欺もそうですが、騙す側が相当巧妙になっており、自分が被害者になっても不思議ではありません。SNS側ができることにも限界があるので、なんとかできないものか・・・。悪いのは騙す人間ですからね。そういえば昔、twitterでもお金を配るアカウントがありましたよね。たとえ有名人が善意でやっているとしても関わるのは危険です。仮にお金が口座に実際に振り込まれたとしても、そのお金は闇の人間が洗浄しようとしている汚いお金の可能性があります。振り込め詐欺の入金先として自分の口座が使われると、意図せずに「受け子」になり犯罪者になるケースもあります。「投資」や「お金を配る」などの話しには近づかない・クリックしない。知らない間に「振り込め詐欺の受け子」になって逮捕されてしまった…SNSに潜むワナ、どうやって防ぐ？ QRコード詐欺これは最近現れた詐欺です。「クイッシング」（QR＋フィッシング）と用語も作られるほど普及しています。街中で「新製品のPRしています、QRコードからアクセスしてください！」などとコマーシャル活動を行っているのを見かけたりします。これにも危険が潜んでいます。そのQRコード、真っ当なサイトのURLだとはぱっと見分かりませんよね。本記事では「メールやSNSなどで届くQRコードは100%悪意のあるものと疑ったほうがいい」と断言しています。...

2024, Dec 08 —

CISSPに合格しました！

もともとこのブログを書き始めたきっかけは、2022年にCISSPの試験を受けたものの不合格だった時の自分の感想を書き留めておきたかったからです。 CISSP受験の感想上記の記事内で、当時自分はこう書きました。ネット上の合格記には記載されていないこの点をまだ受験したことのない人に知ってほしいです。 CISSPの試験では上記の試験対策本やUdemyで身につけられる知識問題はほとんど出ません。企業でセキュリティを担当するものとして、もっと実戦的なことが問われます。「問われる」質問の大半は最善な対応はどれかというもの。答えが１つに明快に求められる知識問題ではなく、背景や事情が異なるシチュエーションから、セキュリティの標準に準じたうえで最適な選択肢を選ぶ必要があります。４択から２択くらいには絞れるのですが、ここからは「どっちでも問題ないのでは・・・？」となります。 CISSPはセキュリティの十分な知識と経験があることを保証するための資格、そのため合格後も企業で最低５年間のセキュリティ業務に従事した実績がないと正式に名乗れません、なのである意味ではこの試験内容は理にかなっていると言えます。試験対策では合格できない、実戦経験を積むべしというのが私の伝えたいこととなります。＜略＞今回試験に不合格となったことは財布的にも時間的にもとても悲しいのですが、CISSPに合格するにはセキュリティの業務を一つずつ着実に実践でこなしていくのが王道だと認識できたことが収穫です。そのため、このブログを立ち上げてセキュリティに対する学びや情報をアウトプットしようと思い立ちました。毎日のように我々のセキュリティを脅かす事例がアナウンスされ、またセキュリティを守るためのサービスもリリースされます。サイバーセキュリティがこれほど重視された時代はありませんし、今後軽視されることもないでしょう。ブログのタイトル通り、セキュリティの道に終わりはありません。セキュリティエンジニアと胸をはって名乗れるよう、今後もセキュリティの道を歩み続けたいです。上記の約束のとおり、2023年以降もブログ記事を公開して、セキュリティのアウトプットを継続しました。仕事でもセキュリティ担当として、社内のセキュリティの強化に加え、新規サービス開発プロジェクトでは、これでもかというセキュリティの要望に逃げずに（それは言い過ぎかもですがｗ）立ち向かいました。「ギガンデスとキラーマシーンと戦っているみたいだ」と何度も仕事中に言ったセキュリティ要求の高さでしたが、その分経験値は溜まりました。プロジェクトがひと段落した2024年春、改めてCISSPの試験勉強を始めました。...

2024, Nov 16 —

【ブックレビュー】先読み！サイバーセキュリティ生成AI時代の新たなビジネスリスク

本の表紙に『濃い内容がサクッと読める』と書いてある通り、今インターネットで流行っている、左右に顔アイコンが載っていて、会話形式で話が軽妙に進む本です。これもタイトルに偽りなしですが、生成AIを利用した脅威が高まっていることが話の中心になります。生成AIにより攻撃者が様々な武器を持つようにエピソードは、先日のITmedia Securityでも紹介されていた逆アセンブルやプロンプトインジェクションのことを指すのですが、これを分かりやすく説明しています。セキュリティの従業員に説明するには、こういう本のほうがとっつきやすいでしょうね。そしてサイバーセキュリティの今を関心を引く事件やサイトを使って紹介してくれるのも特徴で、自分も知らない話もありました。 CFO（最高財務責任者）になりすまして2500万米ドルを送金させたディープフェイク技術画像は信用ならない、映像なら信用できる、なんて数年前言われていたのに、今やここまでできてしまうとは。社内の複数のスタッフがオンライン会議に顔つきで参加していたけど、全員ディープフェイクだったらしい。恐ろしいというか、信じがたい。ここまで進化しているとは。 Which Face is Real https://www.whichfaceisreal.com/ こちらは、どちらが本物の顔で、どちらがフェイクかを二者択一で選択するサイト。自分は割と正解率高い印象ですが、それはしっかり凝視しているからかも。焦っている時にパッと見ただけでは間違えてしまうかも。クラウドストライク、セキュリティとITを一元化し、生成AIの能力を強化生成AIが過去の脅威を学習し、（これをどのように実現しているのかは分かりませんが）社内の端末のうち脆弱性がある端末を見つけ出して報告してくれるそうです。サイバーセキュリティと生成AIの関係性を考えた場合、その役割はAIが人間の「目」の代わりとなり、これまで時間をかけて人間がチェックしていた項目を速やかに対応できるようになったということなのか。生成AIは攻撃側にとって有用なだけではなく、防御側にとっても頼れる相棒です。...

2024, Nov 10 —

【ブックレビュー】経営層のためのサイバーセキュリティ実践入門

この本の冒頭にあるように、日本のDXはコロナ禍により大きく変わりました。私は社会人となってはじめてリモートワークを経験し、その後もリモートで働き続けています。苦痛だった通勤ラッシュから解放された一方で、「どこでも働くことができる」ことによるこれまでと異なるセキュリティを考えなくてはいけません。オフィスと違い個人の家には高性能なファイアウォールはありません。入退室管理、管理カメラもありません。VPNを使って社内インフラに接続することは大きなリスクがあります。この内的状況変化に加え、外的な変化としては、これまでも散々当ブログで書いていますように、攻撃者がランサムウェアをサービス化して提供することで、サイバー攻撃のすそ野が広がっているという状況があります。KADOKAWA、イセトーのような大企業のみならず、中小企業すら攻撃対象となります。この本にあるように「まだ自社への順番が来ていないだけ」という危機感を持ったほうがよいでしょう。最近私の会社でも、上司や取引先企業から「会社のセキュリティは大丈夫か」と言われる頻度は増えてきました。セキュリティ対策は待ったなし、契約を締結し売り上げを得るために不可欠な経営課題となっています。現場からボトムアップでセキュリティ対策をおこなうのではなく、事業戦略にセキュリティを組み込みトップダウンで各事業部に対して、できるセキュリティ対策の実施を指示する必要に迫られています。サイバーセキュリティ対策は「コスト」ではなく「投資」、それも必要不可欠な投資。サイバーセキュリティを実践することは経営者の責務、という時代のトレンドになっていることは間違いありません。このことは政府も認識しており、経済産業省が昨年サイバーセキュリティ経営ガイドラインというガイドラインを制定しました。私もこれを読んで取締役向けに資料を提案作成したのですが、優先度が高い別業務が入ってしまい、ほこりをかぶっている状態です。当時は上記サイトを見ながら我流でやったのでよく分かっていなかった（今もよく分かっていませんw）のですが、この本はサイバーセキュリティ経営ガイドラインに掲載されている図や表を使いながら、組織にどう反映させていくのかを分かりやすく説明してくださっています。この本は経営層向けに書かれていますが、経営層と認識を合わせ、手を動かすのは現場のセキュリティ担当です。互いに手元に置いておきたい本です。この本が念を押しているのが、セキュリティは目標達成の「サポート」であるという点。当然ながらビジネスにとって利益を上げることが目的で、セキュリティ対策自体が目的ではありません。つまりセキュリティを考えることが目的化してはならない、考えるべきは「ビジネスの目的を達成するためのセキュリティ」セキュリティの目標はビジネスや組織の目標に紐づくべき。ビジネスに勝つためのセキュリティを提案する（コスト・ビジネスのスピード）セキュリティを適切にコントロールするべき、セキュリティは無くてはならないものの一方、サポートする役割です。ただしそのためにはどこまで対策するかは「どこにリスク受容を置くか」を決めなければいけません。リスクは0にはできませんから。それをふんわり決めるのではなく定量的に決めるためにはSLEやALEを利用できます。しかしそれを算出する時間はそのまま工数だよなぁ・・・。アウトソーシングしたくなりますが、会社として外部委託に任せられる作業と任せられない作業があり（それについてもこの本で説明されています）、注意しましょう。そしてこの本も”インシデントハンドリング”に丸々1章割いていいます。もはや今のトレンドはセキュリティ事故は起こるもの。いかにインパクトを抑えるのかのようです。うんざりな話です。情報としてはCISSPでも出てくる用語が多々ありますが、知っていると実践できるとでは大きな違いがあります。紹介されているランサムウェア事例はこれまで読んできたどの本よりも細かく事象が説明されているので、攻撃を受けてしまった理由の各ポイントが自社で大丈夫なのか、確かめるために役立ちます。セキュリティコントロールに終わりはなく、これだけのセキュリティ対策を行ってもインシデントは起きてしまうことに、自分が所属する業務カテゴリーの途方のなさを感じます。船降りてぇ（N回目）余談ですが、この本はNECのCISOが執筆したこともあり、NECの実例が紹介されています。NEC自身セキュリティ関連のビジネスを展開しているため、宣伝も入っていますが、組織体制や活動報告を読むと「ここまでやっているんだ、大企業はすごいな」となります。真似できないわけですが、大手の取り組みを知ることできました。自分が所属するような、中小企業に仕事を委託してくる大企業はこれに近しい組織体制だったりするのでしょうね。

2024, Nov 01 —

CloudFlare Zero Trust無料化で何ができるのか調べてみた

10.23 現在CloudFlare OneはCloudFlare Zero Trustに改称しているということですので、タイトルをCloudFlare OneからCloudFlare Zero Trustに修正しました。とはいえ、最近の公式の文章の中でもCloudFlare Oneが使われているのをよく見かけます。 CloudFlareは今最も勢いのあるインターネット企業の1つです。僕もCloudFlare Pagesを利用させてもらっています。zipもしくはGitHubのリポジトリから簡単に静的サイトをデプロイできる便利なサービスです。そのCloudFlareが9/24に自社のセキュリティツールを無料化するとアナウンスしました。 Cloudflareが「ゼロトラストセキュリティ」のツールを無料化　何が狙いなのか(ITmedia) ※会員限定記事ですが、無料で読める枠にほぼすべての情報が入っています Cloudflareでより安全なインターネットを：無料の脅威インテリジェンス、分析、新しい脅威検出(CloudFlareブログ) 非常に長い文章が書かれていますが、終盤に登場します。...

2024, Oct 14 —

「isoon文書」とサイバー空間での「認知戦」について

9月、セキュリティクラスタでも話題になったNHKの番組がありました。ＮＨＫスペシャル　調査報道　新世紀　Ｆｉｌｅ６　中国・流出文書を追う過去このブログでも名著「サイバー戦争」を紹介しましたが、今や戦争はミサイルや戦車を街に繰り出すのみならず、インターネット上でも行われています。不正アクセスによるシステムダウンや情報の窃取はもちろん、アメリカ大統領選で実際にロシアがしかけ、トランプ大統領を生み出したとされる世論の誘導など、その影響は多岐にわたることは知られています。しかし実際にテレビで、それも国営放送のNHKで報道されれば今までより多くの人がことを知ることができるでしょう。僕もこの番組を視聴しましたが、映像の力は強い、と改めて感じました。追跡中国・流出文書 1 ～世論操作ツール～今回取り上げられたのは、今年の2月、中国の安洵信息(I-Soon)という、表向きはセキュリティ企業、しかし裏では中国政府とも深い関連があるとされる高度持続的脅威(APT)グループ内部の様々な情報がGitHubに公開されたという事案（意図的だったとされています）。中国の政府系ハッカー企業I-Soonから機密文書がGitHubにアップロードされる、「これまでで最も詳細かつ重要なリーク」と専門家安洵信息技术有限公司（I-SOON）　中国スパイウェア企業からの情報漏洩上記の記事は初報になり、その後世界中のセキュリティ専門組織が協力して、中国政府のインターネット上での活動を調査しました。その結果が番組の中心でした。台湾侵攻を念頭とした道路交通網の情報や、少数民族の抵抗を防ぐための盗聴など、膨大なデータを集めていたようです。そしてリンクをクリックしたらtwitterアカウントを乗っ取り、botのように投稿を行うようになる「Twitter世論コントロールシステム」。これにより自分たちの望むような情報を一気に拡散したり、逆に押し込めたい考えを投稿するユーザに一斉にレスを送り付けるような挙動も可能になります。番組で紹介されていた、コントロールシステムが利用していたとされるアカウント。モザイクかかっていますがどうみてもド〇えもん、このアカウント自分は見たことがあります。自分はフォローしていないのですが、誰かのリツイートで流れてきたのかもしれません。変な投稿をしていた記憶があります。 “変な投稿をしている”と勘づけるのはある程度のリテラシーを持っているからかもしれませんが、一般の人はそうは思わず、安易にリツイートし、結果として偽情報の拡散に協力してしまいます。...

2024, Oct 06 —

【ブックレビュー】ランサムウェア対策実践ガイド

表紙にあるようにこの本は「セキュリティ対策にコストをかけられない」会社や組織に対して、「コスパの良い」対策と具体的な対応策を実例をもとに紹介している本です。コスパという言葉に良くないイメージを持つ人もいるかもしれませんが、実際セキュリティ対策に「コスパ」という概念は重要だと思います。セキュリティは究極的には「時間とお金を書ければいくらでも強固になる」ものですが、それができれば苦労はしねぇ！ヒト・モノ・カネは有限であり、セキュリティ対策自体はおカネを生み出さないため優先度は下がります、小さな会社に勤める僕は大きな会社と取引をしていますが、大きな会社は扱っている情報の質量ともに大きいため、セキュリティに対する施策もたくさんです。対応が面倒だな、と思いつつもその堅牢さは羨ましさを感じます。ですがこれも口を酸っぱくして言い続けていますが、セキュリティ対策は鍵をかけずに外出するようなものであり、攻撃にあえば被害は甚大、経営問題です。これほどランサムウェアが騒がれてもはや今日の天気並みに日常ニュースになってしまっている現在、ランサムウェアを知ること、リスクを下げること、そして万が一被害を受けてしまった場合にどうするかの備えは必須ではないでしょうか。ランサムウェアが流行っている、被害が甚大だ、とはわかるのだけど、具体的な侵入事例などはなかなか公開されていません。この本は数少ない公開事例を分かりやすく説明しています。例えば本では”大手ゲーム会社”と書かれていましたが、大きなニュースになったことで皆さんもご存じでしょう、CAPCOMのランサムウェア被害がどのように発生したのかが図入りで説明されています。やはりVPNルータが攻撃のトップの起点なのか・・・脆弱性があったりパスワードがもろい場合は不正侵入の入り口になってしまいます。また、別の事例ではOSの脆弱性を突く攻撃からランサムウェアに至った事例も解説されていました。特にWindowsはMacOSよりもサイバー攻撃に弱いと言われる一方で普及率は高いため、現場としてはWindowsの対策を欲しているでしょう。このように、この本に記されている対策は「Windowsではこのように設定する」など敢えて特定のOS（Windowsはよく使われているOSとも言えます）にフィーチャーすることにより、現場がすぐ手を動かせる対策が多数掲載されているところが良いと思いました。実際自分の会社の状況と照らし合わせ、「これならできそうだ」「これならやれそうだ」とリストアップしました。これを会社で使っていこう。ランサムウェアは基本的に外部からの攻撃になります。せっかくの二段階認証やIPアドレスによるアクセス制限も、脆弱性によりバイパスされてしまっては意味がありません。アプリやOSのセキュリティパッチを当てるということは当たり前すぎてなおざりになりがちですが、基本のきです。また、情シスが普段からできる対策としてはIPS,IDS/FWのようなアプライアンスだけでなく、IPアドレスのサブネットを事業部ごと切るなど教科書的な対策も重要なようです。そしてセキュリティ製品を導入しても、ちゃんと設定すること、パッチを当てること、パスワードは複雑なモノにして使いまわししないこと、という初歩的な対策も効果的とのこと。次に、ランサムウェアとはどのような組織がどのような手順を踏んで攻撃を仕掛けてくるのかが解説されています。現代はSaaS、PaaS、IaaSなどなんでもサービス化していますがランサムウェアもそれに漏れず、RaAS(ランサムウェア・アズ・ア・サービス）としてエコシステムを構成しています。攻撃は8つのステップを得て段階的に行われる（途中のステップをスキップしたり、前のステップに戻ったりもする）ので、本来警戒するべきは最終ステップの暗号化ではなく、それ以前の侵入や内部での不正な活動に気が付かないといけません。ActiveDirectoryのような端末・アカウント管理ツールや、エンドポイントセキュリティの管理コンソール、本来は自社サービスのセキュリティ強化に利用されるペネトレーションテストツールなど、身近にあるお役立ちツールが不正侵入された攻撃者に使われて社内の防御が次々無効化、システムが丸裸にされていく一連の手順はセキュリティ担当にとってはリアリティがあり、ホラー映画より恐怖です。 8つのステップごとに何を対策すればよいかも紹介されており、やることは多いのですが推奨項目には〇をつけたうえでチェックシート形式で記載されているので現場にも導入しやすいです。セキュリティ強化にすぐ使えるWebサービスも紹介されています。ShodanやViewDNSなど、セキュリティ分野の人にとっては知っていて当然なのかもしれませんが、自分は知りませんでした、参考になります。あとはやった気になったセキュリティ対策ではダメ、ということですね。EDRは各PCに入れました、あとはお任せでは意味がないとは自分では思っていて、EDRが発している警告を毎月減らしていくぞ計画を立てたのですが、この本はさらに一歩進んだことを推奨しています。だいたいのエンドポイントセキュリティソフトにはログ機能が付いています。エージェントがインストールされた業務PCの活動を記録しています。この中身を見ているか、不審な痕跡は残ってないのか、と説きます。そこまではやっていなかった・・・。よくサイバー攻撃を受けた場合LANケーブルを引っこ抜け、もしくはWi-FiをOFFにしろ、は僕も会社で啓蒙している対策ですが、最近のニコニコ動画のランサムウェアでは、電源OFFにしたノートPCが自動で再度電源Onになるという恐怖のプログラムに感染していたとのこと（根本対策は電源ケーブルを引っこ抜いて電源の供給を断つしかなかったとのことです）端末の特定をしようとしてもそれすら偽装されていたり、ログは改ざんされていったりと、自分達だけではインシデント対応は進まないかも。やはり専門業者に依頼しないといけなさそうです（ただし、この本の著者がその「専門業者」であるのでポジショントークを疑ったほうが良いでしょう）最後に、先月読んだ本でも強調されていた（昨今のトレンドなのかな？）インシデント対応について。インシデントハンドリングマニュアルがJPCERT/CCから公開されています。JPCERT/CCがインシデントハンドリングマニュアルを公開しており、この内容通りに従って対応すれば大きくずれはなさそうです。また本書には社内外向けにどのようなコミュニケーションを取る必要があるかを列挙しており、これが有用です。誰もがインシデント対応などしたくはありません、しかし本書に書かれている平時の準備や、不幸にもインシデントが発生してしまった場合の対応フローは用意しておく必要があります。何が必要なのか、割かれている文章の量は短いものの必要なものを抑えてくれています。...

2024, Sep 29 —