【ブックレビュー】ランサムウェア追跡チーム

このブログを読む人にとっては知っているよ、という話かもしれませんが、「ランサムウェア」とは「ランサム＝身代金」＋「ソフトウェア」を組み合わせた造語で、サーバ上にあるデータを暗号化、「復号してほしければ金を払え」（なお金を払っても復号する保証はない）という行為のことを指します。そういう意味ではソフトウェア自体を指す用語ではありません。最近は「ノーランサム」という、暗号化をせずに「データを盗んだ、公開されたくなれけば金を払え」というよりお手軽かつ暴力的な行為も行われています（ノーランサムという言葉が本質付いていない気もしますが・・・） 「あの企業、実は情報漏えいしてますよ！」──ランサムウェア集団が自ら政府機関に“告げ口”　米国で新たな手口 さらには自分でデータを盗んでおいて、政府機関に「こいつら個人情報が漏洩したのに貴方たちに報告していないんですけど」と文字通りマッチポンプする事例すら起きています。こんなことが許されていいのか。 この本でも書かれているように、ランサムウェアという横文字になっていますが要するに「データの誘拐事件」であり、人類史上古来からある犯罪です。まずはその歴史を紐解きます。この「コンピュータにアクセスできなくして金銭を要求する」犯罪の始まりは1989年と判明しています。当時はフロッピーディスクが使われていました。この種の犯罪を始めた人物は、今のようにダークネットにだれでも使えるランサムウェアが売られている時代と異なり、頭は良いが変人でした。そんな人物がコンピュータを手に入れた時、それは恐ろしいことを実行できてしまうのです。 一方でランサムウェアが暗号化による脅迫ならば、それを複号するのがハッカーのミッション、それは鏡に映った人間のように、悪人達と同レベルの才能を持つ「はみ出し者」たちが活躍しています。同レベルの能力者が攻防を繰り返すのはさながら漫画や映画のようですが、僕たちには見えにくい場所でリアルで起きていることです。 そんな優秀な人たちが所属する秘密の組織「ランサムウェア追跡チーム」の存在について書かれています。機密データも見れてしまいますし、なにより攻撃者に手の内を明かすわけにはいきませんから、メンバーの選定、入会条件は厳しいそうです。ランサムウェア攻撃者の背後にはロシアや北朝鮮のような特定の国を攻撃することを目的とした組織がいたりします。そうなると同レベルの能力バトルなどという茶化せる話しではなくなり、命に係わります。ランサムウェア追跡チームの詳細が不明なところはそれも理由でしょうね。 ランサムウェアがハッカーの一攫千金の手段から、国家が敵対勢力に危害を加えるために行使するツールへと進化した 実際昔は一部の変人エンジニアやスクリプトキディがばらまいていたランサムウェアですが、最近ではRaaS（ランサムウェア・アズ・ア・サービス、つまりサービスとしてランサムウェアを販売し、サポートしたりすること）も登場しています。彼らは採用試験も行っており、人事や経理をアウトソースしています。恐ろしい。 攻撃側が組織化する一方で、ランサムウェア追跡チームはボランティアないし労力にみあっていない報酬しか受け取っていません。彼らに泣きつく被害者は彼らをイエス・キリストと思ってすがるのかもしれませんが、彼らもまた妻がいて、生活のある一人の人間でしかない。この問題についても記しています（OSSのメンテナーと同じようなシチュエーションですね）しかし彼らがお金を要求しだしたり、「もうやめた！」となってしまうと途端に攻撃側のやりたい放題になってしまうという・・・。 一企業がランサムウェアのターゲットになることよりもさらに深刻な状況として、10章であるように自治体がターゲットになってしまう事例も紹介されています。電気・ガス・水道・交通。これらのインフラがすべて使えなくなってしまいます。現代の社会はコンピュータとインターネットにより運営されているので、それが掌握されてしまうと社会活動がなりたたくなります。しかし犯罪者にお金を払ったとして、データが復元されること、仮に復元されたとしてその数時間後に再度攻撃される可能性を誰が否定できるでしょうか。 本書で特に良い内容と思った省は、巻末の謝辞でも書かれている「恐喝経済」。ランサムウェアをめぐる闇の深い事例も紹介しています。「暗号化されたデータを復号しますよ」と主張する会社が、実際には攻撃者に身代金を払い、顧客には身代金と手数料を上乗せして請求する経済活動を告発しました。良心の呵責に耐えられず、会社を去る人もいます。そして被害者すら「長時間ビジネスが出来なくなるのであれば、その時間コストを考慮して、保険にも入っているしさっさと解決したい」と思ってしまえば、保険会社にとってもWin。全員が共犯者、利益を得るものとなります。「ランサムウェアギャングと交渉して身代金を下げたうえでデータを復元します」と公言している会社もあります。本人としては全社の詐欺会社・二枚舌会社よりよほどフェアだと確信しているようですが、このような会社の存在があってこそランサムウェアという現実に存在し、このような会社があるからランサムウェアは世の中から無くならない、攻撃側と防御側が歪な共闘関係を結んでいるとも取れます。明らかにおかしな話ですが、世の中はユートピアではないということですね。そのキレイでない世の中でいかにまだマシな社会を作っていくか。 また、ランサムウェアの副次的な被害として「身代金を払って復号キーを受け取らないと仕事ができないでしょ、あなたの大切な写真にもうアクセスできないでしょ」という脅迫ですが、そもそもデータが相手に取られてしまった時点で、それをダークウェブなりGoogle検索なりに公開されてしまうというリスクが存在します。これを「二重の脅迫」といいます。 冒頭紹介したランサムウェア集団が政府機関に情報漏洩を告げ口した話、そして「ノーランサム」を紹介しましたが、データを盗まれた時点で戦いには負けているんですよね。よく「ランサムウェア対策に、別の場所にデータをバックアップしておけ」と語られますが、それはランサムウェア被害の一部しか解決しない策です。プライバシーが重視されるにつれ、現場のセキュリティの業務はどんどん重たくなっていってます。 最終章では日本人もニュースで耳にしたかもしれない、コロナ禍のアメリカで起きたコロニアル・パイプランに対するランサムウェア被害の話が紹介されています。コロニアル・パイプラインを攻撃した”ダークサイド”によりアメリカではランサムウェアの脅威は911と同レベルという認識を持たれ、脅威を過小評価していた米国政府の動きも変わりました。まさに藪をつついて蛇を出す。ランサムウェア業界に君臨していた悪名高い組織”ダークサイド”も米国政府の手により閉鎖されます。しかしそこで作られたコードやノウハウは拡散され、別の組織で使われている、ということは「セキュリティのアレ」でも紹介されています。世界は平和になりました、とはならない・・・。 4億円を米石油パイプライン大手から窃取、露ハッカー集団「ダークサイド」が使った手口...

2024, Jan 21   — 

2023年末の目についた記事をピックアップ

2022年の秋からはじめたこのブログも今年で3年目に入ったということですか…早すぎる。 2024年は元旦から大地震、2日目は羽田空港で航空機事故と、なんで年の初めからこんなことが…と思わせられました。SNSは荒れているし、心穏やかに過ごしたいのであれば、テレビもネットも見ない、そんな年末年始でした。 そんな中でもセキュリティに関するニュースは抑えていましたので、気になる記事を紹介します。 パスキーの基本とそれにまつわる誤解を解きほぐす パスキーについては昨年このブログでも何回も紹介していますが、改めて「パスキーとは何ぞや」という疑問に分かりやすく回答してくれています。 重要なのは以下。 パスキーを同期することは、一定のセキュリティを保ちつつ、ユーザー体験を悪化させずに実現できる絶妙なソリューションなのではないかなと思います パスキーも完全無欠ではなく、粗を探せば問題点は出てきます、がそれが現在のID＋パスワードでのユーザ認証を続ける理由にはなりません。セキュリティを強化するツールはこれまでもいっぱいありましたが、パスキーは「使い方が簡単」という点で普及のポテンシャルは高いと思います。パスキーの2024年になってほしいですね。 【書評】『WEB+DB PRESS Vol.136』から学ぶ、パスキー(Passkey)導入で変わるセキュリティとUX 昨年発行が終了したWEB+DB PRESS。その最後の本に記載されていた記事です。僕も読みました。 パスキーは、ユーザーのデバイスと認証サーバーの間とで公開鍵暗号方式で認証を行う「パスワードレス認証」のひとつであり、ユーザーがデバイスを所有していることと、PINコードやFaceIDなどの生体認証を組み合わせて認証することから「多要素認証」でもあります。 パスキーはパスワードのように認証情報をやり取りするのではなく、公開鍵方式で認証します。そして手元の鍵を生態認証で本人確認することから、「あなたが所有しているもの」＋「あなた自身であるもの」の二段階認証を実現しているため、セキュリティ的に強固なのです。...

2024, Jan 08   — 

ミッション：プライバシーマークを更新せよ

世間はクリスマスだというのにセキュリティブログ記事を書いている僕です（😢） 今年最後の記事は、僕がこの1年取り組んでいたプライバシーマーク更新の業務について、どういう作業なのかを記していきます。 サムネイルにも使っているよく見るマークですが、これが何を意味するかというと、この企業は個人情報の取り扱いをしっかりしており、その社内体制や情報の管理の仕方、個人情報漏洩を防ぐための体制が整っていますよ、という第三者認証制度になります。 2年に1度Pマークは更新する必要があり、個人情報管理がちゃんと行われているか、年間のスケジュールに個人情報保護のための計画が準備されているかがチェックされます。 プライバシーマークのポイントは２つあります。１つは「個人情報」の保護に特化しており、ISMS（ISO 27001)のような会社の情報セキュリティ全般をカバーしているわけではないということ。そのためISMSはPマーク取得の知見が流用でき、ISO-27001を取得するならばPマークは更新不要という考えもありです。いっぽうでPマークは「こうしなければならない」というルールが認証機関により決められており、それに従わなければ取得できないのに対し、ISMSは「これをどうするか」という問いに対しての「会社が決めたルール」をレビューし、それを基に取得します。その観点ではPマークはゼロから会社に情報セキュリティを導入する際に利用し、慣れてきたらISMSへレベルアップ、という考えも良いでしょう。 過去僕が勤める会社のPマークは総務が更新作業を行っていました。しかし個人情報はバックオフィスよりもシステム開発部門のほうが多く保持するため、自分が会社の”セキュリティ担当”を拝命したこともあり、様々な業務を担当する傍らPマークの更新業務に取り掛かりました。総務の人は優秀な人で、これまでも何回か更新業務を行ってきたのに対して、自分ははじめての更新業務ということもあり分からないことも多々あったのですが、総務の人の協力もあり、なんとか更新までたどり着くことができました。 Pマークの取得・更新ですが、独力で作業するのは非常に困難です。多くの資料を作成しなければならないのはもちろん、認証機関の求めるルールも定期的に更新されており、それらを踏まえたうえで資料を提出する必要があります。僕もコンサルティング会社（コンサル）の支援の基、更新作業も実施しました。別にやましいことはないです。審査の際に監査員も「コンサルはこの辺りをどう言っていましたか」と質問されたりしたので、コンサルを利用しているのは周知の事実なのでしょう。 ベンチャーのように会社の規模が小さく、セキュリティの専門の部署ではなく、他の仕事を持ちつつプライバシーマークを更新しようとするのであれば、コンサルのサポートは必須と思います。僕も当初はもっと多くの範囲を自分で対応したいと考えていましたが、期限が近づくにつれて、仕事に注力せざるを得なくなり、コンサルへの依存度は増えていきました。 必要な資料の種類や、どういう風に記述すればよいかはコンサルが力を貸してくれます。しかし会社としてどんか個人情報を保有しているのか、それはドキュメントに記載された方法できちんと管理されているのかを調べ、現場に改善を指示し、実際の改善まで導くのはセキュリティ担当の役割です。なので僕のやったことは 管理台帳やログの記録のありかを確認し、抜け漏れがないかを各事業部の担当に確認、最新にメンテナンスする ドキュメントに記載された通りのセキュリティ対応が行われているかをヒアリングして、出来ていないものに関しては改善指示する 彼らは僕以上にセキュリティの素人なので、指示だけでは動けないため、自分のほうで巻き取って対応を進めたりしました。 監査員に資料を提出し、会社のセキュリティ体制や個人情報をどのように管理しているかを質問に回答する 感想として、総務から引き継いだＰマーク関連の資料は、セキュリティの専門家の僕からすれば、かなり物足りない内容でした。セキュリティの観点から、もっと詰めなければならないこと、やらなければならないことをたくさん見つけたからです。つまりＰマークは最低限抑えるところを抑えられれば、そこまで注力しなくても取得・更新できる制度なのでしょう、しかし「資格を取るために資格を取る」ことはもったいない話。せっかく個人情報を保護するためのいろいろなルールを自分でゼロから作らなくても、認定組織が用意してくれているのですから、それに乗っからない手はないというものです。堂々と活用して社内のセキュリティを強化しないと。...

2023, Dec 24   — 

情報処理安全確保支援士(登録セキスぺ)が取得したいIT資格第1位

「取得したいIT資格」は登録セキスペが1位、AWSの6連覇ならず 本当かよ…という感想しかないです。 今年「グラフのウソを見破る技術」という本を読んだのですが、仮にデータが正しいとしても、メディアが情報を発信するときには、裏に何らかの意図・狙いがあり、その「言いたいこと」を補強するために好ましいデータを持ち出す、ということはあり得る話です。 セキュリティ情報を収集していますが、「登録セキスぺを取得したいなぁ〜」という道草の声なき声が聞こえてきたことはないですよ。しかしこのような風土を業界が醸成しようとしているのであれば、そろそろ登録セキスぺの価値が上がる政策施策がアナウンスされるのではないかと…何回期待して何も起こらなかったものかw

2023, Dec 07   — 

稼げるセキュリティ資格

昨日AWS SAPの資格試験を受けてきました。1日経っても合否のメールもなく、受験履歴も更新されなかったため、受験したこと自体「存在しない記憶」だったのかもしれないとだいぶ焦ったのですがw 総合力が問われるSolution ArchitectのProfessional試験。やはり容易ではない難易度でしたが、誰でも簡単にゲットできるような資格では価値がないので難しいところですね。 これで向こう3年はSAPですが、次回更新するのでしょうか。そろそろ若い人に後を託したい気もしたり。 てなわけで試験勉強に忙しく、セキュリティの記事を書くこともままならなかったのですが、気になる記事は抑えていたので、今更ですが紹介します。…と、読みたい記事に限って会員限定だったりする。結局会員でなくても読める記事は以下の1つだけでした。 稼げるセキュリティ資格–初心者や初級者に有効な資格とは 「前回の記事は」と書かれているのに前回の記事を読むには会員登録が必要という悲しさw セキュリティ資格の代名詞ともいえる3つの資格 「Certified Information Systems Security Professional（CISSP）」 「Certified...

2023, Nov 20   — 

登録セキスぺのゴールド免許証

お客さま情報の不正流出に関するお詫びとお知らせ 派遣社員が“クライアントの顧客情報”900万件を不正持ち出し　NTT西グループ おそろしい・・・ もちろん「データのエクスポートのようなリスクあるオペレーションに対して管理者宛に通知される機構が備わっていなかった」とか「外部記憶媒体がPCに挿せる状態になっていた」とかいろいろな原因があるのですが、じゃあ翻ってあなたの会社はそれらが万全なのですか、と言われるとなかなか胸を張って言い返すことはできません。 しかし間違いなく言われることは、自社のサービスであれ、協業して開発しているサービスでアレ、このニュースをもとに「私たち（あなたたち）はこうならないよう、セキュリティ対策はできているのだろうな」と詰められるでしょうね。もちろんそうならないよう、普段から先んじて対策を取っておくべきです、そうすれば後から追加工数、ということにはなりません。 しかしこのニュースを読んで思うのは、いくらテクノロジーや仕組みを駆使して防御を固めても、最大のリスクである「人間」、それも「悪意ある人間」を止めることは難しいということ。ネズミ一匹通らない、完全無欠のシステムは存在しないですし、そんなシステムがあったら何の作業をするにも面倒で仕方ないでしょう、その「もっとスピーディに、利用しやすくしたい」という欲望がセキュリティホールを産むわけで、これはもう避けられない。できることは「やった場合すぐ検知できるぞ、証跡から過去を追えるぞ、損害賠償を請求するって契約の時に書面でやり取りしましたよね」という「やられた後を考慮した抑止力」しかないのでしょうか。 閑話休題。このブログでもたびたび取り上げている情報処理安全確保支援士、通称登録セキスぺ。僕も持っています。僕だけでなく多くの保有者が「維持費が高いくせにそれに見合うインセンティブがない」と不満を挙げていますがそんな登録セキスぺに先日新たな動きがありました。 「ドヤれる」ゴールド登録証は更新者増に効くか、7年目の情報処理安全確保支援士 2ページ目からは有料会員でないと読めない記事ですが、X(旧twitter)での皆さんの反応は、ぜんぜんドヤってってないですね。この記事も懐疑的な内容でしたし。 自分は3年ごとの更新を1度済ませているので手元にある登録証はブルーですが、だからと言ってグリーンのひとより知識・技術共に優れているかといえばそんなことは口が裂けてもいえませんし。10年自動車運転を無事故無違反でゴールドな免許証が手に入るものの、そもそも運転していないという事例を「ゴールドペーパー」と言いますが、それと同じくらいの価値なのでは…。 ゴールド登録証保持者でなければできない業務、みたいなものがあれば価値は出るでしょう。しかし現状は登録セキスぺの独占業務というものは存在せず、私たちの仕事は極端な話、誰でもできる仕事なのです。高いお金を払って、休みの日を使って自習して資格を更新する。エンジニアは独学することを厭わないのでそれはよいのですが、ならばこの資格を持った自分が報われたい、と思う気持ちが間違っているでしょうか？ただでさえセキュリティという分野は「何も起こらないよう努力している時には評価されず、何か起こった場合に叩かれる」仕事なのですから。登録セキスぺの必置化や、企業が案件発注を行う際の基準に「会社内に登録セキスぺが存在すること」が商習慣として定着するなど、そういう動きが進まないと、「CISSPのほうがよほど役に立つ」という話になりますよね。

2023, Oct 22   — 

2023年夏のパスキーのいろいろな動き

このブログでもたびたび名前を挙げていた「パスキー」(2か月前と同じ導入)ですが、最近様々な動きがあり、インターネットニュースでも紹介されることが増えてきました。 気になるニュースを共有します。 パスワードなしでの認証を可能にする「パスキー」技術にはわなが潜んでいる、YubiKeyなどのハードウェア認証デバイスを利用している場合は注意 Yubikeyなどハードウェア認証デバイスでは保存できる鍵のスペースは20〜32個に限られているとのこと、しかも鍵情報は削除できなくなると。ということは複数のYubikeyを買って手元で管理する必要が出てくる、不便ですね。 スマートフォンを利用したパスキーはストレージ容量は緩いので、そこまで心配しなくてもよいとのこと。 X(twitter)で以前「パスキーは鍵ジャラジャラから解放されるわけではない」と指摘されたことがあります。人間が秘密の文字列を大量に覚えなくてよい代わりに、手元のハードウェアに秘密の文字列（非対称鍵）が保管されている、というのは頭の片隅に入れておいて良いのではないでしょうか。 WEB+DB PRESS Vol.136-実践投入パスキー この夏最終刊を迎えたWEB＋DB PRESSでもパスキーが特集されていました。人類のパスワードの歴史を紐解き、その問題点と、問題点を解決するべく（そして解決できなかった）生まれた過去の代替案、それと比べてパスキーが優れている点が紹介されています。いくらセキュリティ的に強固でも、不便で正しく用法を守って使われなければ逆にセキュリティホールになってしまいますからね。そしてパスキーを具体的に実装するコードや、Webサービスに導入する際のUIの注意点など、タイトル通り実践に投入する際に役立つ記事になっていました。 パスワードレス認証のセキュリティとユーザー体験のバランスの難しさ、実装のポイントとは WEB+DB PRESSと同じく、パスキーの前に生まれた技術（そもそもパスキーも突然変異の技術ではなく、過去の解決策であるWebAuthnを利用しているのですが）の問題点を語り、そのうえでパスキーの問題として「結局エンドユーザが利用してくれるのか」と提示しています。僕は従来と比べてのメリットを十分理解しており、積極活用していますが、新しいモノが受け入れられるのには時間がかかりますから。 「GitHub」でパスキー認証の一般提供が開始...

2023, Oct 08   — 

「ゼロデイ脆弱性」への素朴な疑問

サムネイルはStableDiffusionWebで生成した画像。なんとなくそれっぽいですね。 この記事を書いているのは9月22日。iPhone15の発売に喜んでいる人もいらっしゃるかもしれませんが、古いiPhoneのセキュリティ対策も怠りなく。 iPhone/iPadにまたゼロデイ脆弱性 ～iOS/iPadOS、macOS、watchOSなどにセキュリティパッチ この記事タイトルを読んで、不思議に思ったことがありました。 記事のタイトルにある「ゼロデイ(0-day)脆弱性」とは、ソフトウェアに見つかったセキュリティ上の脆弱性の中でも、その存在が公表される前や、修正用プログラムがリリースされる前の脆弱性を指します。分かりやすい言葉で説明すると、”『このようなバグがあり(このような攻撃手段により)このような問題が発生する』と判明しているにもかかわらずパッチが存在しない”、つまり無防備な状態にする脆弱性を意味します。 一方、脆弱性を解消するパッチのリリースから、実際にパッチをユーザが適用するまでの期間を「Nデイ(N-day)脆弱性」と呼びます。（3日経過したら3-day脆弱性と呼ぶ、ということはありません） ところで、今回のiOSにおけるセキュリティアップデートは、以下の脆弱性を解消することを目的としています。 CVE-2023-41992：カーネルにおけるローカル特権昇格（iOS 16/17、watchOS 9/10、macOS Ventura/Monterey） CVE-2023-41991：証明書の検証不備（iOS 16/17、watchOS 9/10、macOS...

2023, Sep 24   —