バッファローが一部Wi-Fiルーターで脆弱性の注意喚起。対応しました

最近大きくニュースになっているこの話題を共有します。 バッファローが一部Wi-Fiルーターで注意喚起、bot感染増加を受け　パスワード変更やファームウェア更新を こちらがバッファロー公式のアナウンスです。 NICTERの投稿に関する重要なお知らせ 感染の疑いのある商品シリーズは以下になります。 WHR-1166DHP2 WHR-1166DHP3 WHR-1166DHP4 WSR-1166DHP3 WSR-600DHP WEX-300HPTX/N WEX-733DHP2 バッファローのWi-Fiルーターは価格と性能のバランスが良いことから大きなシェアを獲得しています。僕の自宅のWi-Fiルータも、実家のWi-Fiルータもバッファロー製です。 自宅のルータの種類を調べたところ「WSR-1166DHPL」でした。リストには載っていませんが念のため調べてみたところ、バッファロー公式Xのアカウントに、上記の機種は問題ないかを質問してくれた方がいました。感謝。 以下がバッファロー公式の回答です。...

2024, May 25   — 

2024年4月の気になるインターネット記事をピックアップ

ゴールデンウィークも終わり、また厳しい戦いの日々が始まります。3,4月に気になった記事をストックしていたので紹介します。 OTのセキュリティでこれから必須になるインシデントへの対応 “OT”とは産業制御のこと。IoTとは別のセキュリティ対策が必要になるということなので、無関係と言わず読んでみることに。ソフトウェアのみならず、物理的な産業機械も今やインターネットにつながるのは当たり前で、サイバー攻撃の被害を受けています（アメリカのコロニアル・パイプラインに対してや、トヨタ自動車工場に対して等） エネルギー業界では2023年12月21日に、「高圧ガス保安法等の一部を改正する法律」と「認定高度保安実施事業者制度」が施行された ＜中略＞ 　「事故（インシデント）調査は、事業者の報告を受けて国が必要と判断すればIPAも携わることになる。国の機関も対応するということは当該業界にとって非常に重要なことを意味する」 IPAが調査に関わる場合は、書面による調査と現場の調査が行われ、最終報告書が作成される。一連の調査では、影響の可能性があるシステムや機器、ネットワークなどの各種ログデータの保全や分析といったことが実施される。事業者側もこうしたことを可能にしておかなければならず、新たな対応コストとノウハウや人材などの不足が問題になる セキュリティインシデント対応のため、統一されたフォーマットを各企業が用意する必要があるこの運用は今後産業制御業界だけでなく、ソフトウェア業界にも広がるのではないか、と思いました。 クラウドセキュリティにおける具体的な対策を検討、実践する上で知らないと損する文書まとめ AWSを使っていますが、クラウドを利用することによるセキュリティのメリットは感じます。業界のセキュリティ標準に合致した様々なサービス（AWS Config、GuardDuty、Secutiry Hub、AWS WAFなどなど・・・）をマネージドサービスとして利用でき、EC2インスタンスやRDSのような基本サービス自体にもプロバイダ側がセキュリティ対策を施してくれています、その上冗長でシステムを作ることで全ダウンなどを防いでくれています、これを自力で同じものを作ろうとしたら時間もお金も膨大でしょう。 そのうえで、我々がここでやらなければならないものもあります。 どんな業務が、どれぐらい重要で、誰に割り当てられ、今どの程度できているのかを表にした「セキュリティ関連業務サービスポートフォリオ」を作ることを推奨する。...

2024, May 12   — 

情報処理安全確保支援士のオンライン講習を受講しました(2023年度)

※”情報処理安全確保支援士”は長いのでこの後は通称の”登録セキスペ”という単語を使います。 河野太郎デジタル大臣のXへの投稿によるとマイナンバーカードの利用が登録セキスぺでも使われるとか。登録セキスぺは国家資格ですからね。どういう風に利用されるのかは分かりませんが、刑事ドラマのように「わたくし、こういうものです」とマイナンバーカードを取り出したりするのかしら(笑)いずれにせよずっと言っていますが、もっと登録セキスぺの社会的価値が上がってほしい。欲しい欲しいというだけでなく、自分のこのブログもその一助になればと思っています。 1年に1度の情報処理安全確保支援士（通称登録セキスペ）の更新期限が迫ってきました。今年もちゃんとオンライン研修を受けました。この半年間セキュリティに関する活動をほとんど行うことができなかったのが、自分の目標達成にも近づくことができず不完全燃焼です。 まず第1章は「登録セキスぺに期待される役割と知識」。登録セキスぺの業務には 経営課題への対応 システムなどの設計・開発 運用、保守 緊急対応 がありますが、この中で一番難易度が高いのは1つ目の「経営課題への対応」だと思います。そのほかの3つは現場で”よしなに”対応できるわけですが、1つ目だけは経営層を巻き込まないといけないこと、そして経営層から許可と予算をゲットしないと残り3つの動きも十分にできないということ。利益に関する仕事をずっとやっていく中で「セキュリティ担当」としてできることを責任もってやってきましたが、もどかしさを感じています。セキュリティは利益という数字として出せないから、どうしても積極策が取れない。 今年の研修では 「世界一安全な日本」創造戦略2022 という閣議決定が紹介されていました。 「世界一安全な日本」創造戦略2022の策定について 日本の治安の良さは海外からも言われていますが、目に見えないサイバー空間での治安はどうか。知らぬ間にプライバシーや安全に関する情報が盗み取られ、サイバー攻撃に利用されているかもしれません。サイバー攻撃に対するに本人認証や不正検知に民間と協力して体制強化するとのことです。特にインターネットの脅威の第1位である電子メールからのランサムウェア、マルウェア、偽サイトへの誘導による機密情報や金銭の摂取に対して送信ドメイン認証技術（DMARC、SPF、DKIM等）の導入等のなりすましメール対策を進めるということですが、問題は一般の人が認証情報を確認してくれるのか。人にチェックを意識づけるより、GoogleやMicrosoftなどメーラーを提供している民間事業者になりすましをはじくフィルタリング機能をより強化するようお願いするほうが効果がありそうですね。 ただ、デジタルワールドが世界一安全と名乗るのは容易ではなさそうです。そもそもデジタル社会が世界一安全なのは、規制や検閲の強化とい問題とコインの裏表です。...

2024, Apr 29   — 

【ブックレビュー】どうしてこうなった？ セキュリティの笑えないミスとその対策51 ちょっとした手違いや知識不足が招いた事故から学ぶITリテラシー

この本に書かれているのは本当に初歩の初歩、だからこそセキュリティの専門家でない人にとって起こしがち（もちろん専門家とて油断禁物）の事例です。 「Googleフォームが全体公開になっていた」「zoomやslackのWeb会議画面共有で見えてはいけない資料・メッセージが見えてしまった」「電車内で機密情報を喋った」など、あるあるです。ヒヤリ・ハットした経験がある人もいるのではないかと。僕だって身に覚え有ります。 そしてやっぱりメールに関するセキュリティ事例の話が多いです。添付ファイルからのマルウェア感染、BCCと間違えてCCで送ってしまった、宛先を間違えた、メーリングリストに返信した、などなど。「手でメアドを入力しないようアドレス帳から選ぶようにしろ」と前職ではルール化されていましたが、それは結局アドレス帳から間違えて宛先を選んだ場合の誤送信を回避できませんよね。人間は疲労や精神的な同様、その他さまざまな理由により過ちを犯すものなので。メールは一度送ってしまったら最後、取り消しできないのもリスクを増長しています。昨今企業はLINEのようなSNSを使って顧客にアプローチすることが増えていますが、これには電子メールにごみメールばかり来て読まれない、という商売的な理由だけでなく、電子メールが古いツールゆえのセキュリティのリスクを避けたいという意図もあるのではないかと思っています。 業務で使う身近なツールに潜むセキュリティリスクも多数掲載されています。SNSという手軽に投稿でき、あっという間に拡散するツールと、”喋りたくてしょうがない”という人間の欲が悪魔合体すると、会社の機密情報を発信して懲戒解雇、という恐ろしい事態が起こります。僕も過去に従業員のSNS投稿の写真に第三者が映っているのを見つけ、「この写真、許可得て使っているの？」と聞いて無許可と知りびっくり。掲載を取り消してもらい、その後会社で「SNS利用の注意」と題した啓蒙動画を発信したことがあります。 PDFはAdobe Acrobatの黒塗り機能により文字を隠すことができますが、実際にはデータを読むことができる、というネタも会社のコラムで記事書いたことがあります。この本もそのリスクが掲載されており、この本の目の付け所はテクノロジーを深く理解しているエンジニア向けではなく、コンピュータを日常業務で使用している一般従業員向け、つまり現場と近い本だと思いました。 セキュリティの専門家にとっては「知っているよそんなこと」という内容ですが、だからこそこの本を僕は評価します。結局一般の人こそがセキュリティのリスクなのですから。この本はとても丁寧にセキュリティリスクを紹介していますが、問題なのは一般の人はなかなか自発的にこのような本を読まないということです。 そのため今年の新入社員教育で、この本の内容を引用させていただきました（もちろん「引用」と言えるレベルでです）。 電子メールの添付ファイルを開かないこと 携帯電話や業務PCの紛失に気を付けること オフィスの外で業務を行うこと、公衆無線LANを利用するリスク SNSを使う際のルール これらの資料は社内で啓発活動を行うために過去作ってきましたが、作っては忘れ去られてきたため、今回再利用しました。新人教育にだけ使うのはもったいないので社内にも共有しよう。

2024, Apr 17   — 

AWS認定 AWS Security Specialityを更新しました

もっとセキュリティの仕事を極めたい、セキュリティ担当の僕です。 AWSの資格は現在 Solution Architect Professional Devops Engineer Professional Security Speciality の3つを保有しています。DevOpsはあまり意味のない資格でしたが、残りの2つはこれからも保持し続けたいと思っています。 昨年のSAP更新後3ヶ月ほど勉強し挑んだ今回の試験。「あれ、思ったより難易度が高いぞ？」という感想です。3年前は単純な知識を問われる比率が多かった記憶があるのですが、今回出てきた問題は、サービスを組み合わせて利用する応用問題が多かったです。加えて、S3のボールトロックや、IAM Identity Center（元AWS SSO）など、普段遣いしないサービスに対する問題も出てきてかなり悶絶しました。...

2024, Mar 31   — 

2段階認証アプリ「Authy」デスクトップ版サポート終了について

そもそも2段階認証アプリとは IDとパスワードによる認証がもはや安全ではないことは皆さんご存知と思いますが、インターネット上の一部サービス、たとえばAWSやMicrosoft Teams、Githubなどでは「2段階認証(2 factor authentication）」またの名を「多要素認証(multi factor authentication)」が利用可能、あるいは必須としているサービスも存在します。 「2段階認証」とはその名の通りパスワードとは別の認証を追加することで、不正ログイン対策を強化しています。 2段階認証アプリは以下の流れで利用します。 まずアプリをインストールすると、電話番号の登録を求められます。これは「SMSメッセージは本人しか受け取れない」ということを前提としているためです。電話番号にアプリからURLが送られて、クリックすることでアプリが電話番号、つまり本人だけしか見ることができないアプリとして登録されます。 次に、2段階認証に対応したサービスで「2段階認証を有効化する」を選択すると、QRコードが表示されます。アプリからQRコードを読み込むと、そのサービスの認証データ（30秒ごと更新される6桁の数字）が登録されます。この後はサービスへIDとパスワードに加え、6桁の数字を入力してログインします。 仮にパスワードが流出しても、6桁の数字が分かるのは本人だけなので、不正ログインを防ぐことができるという考え方です。 本題 デスクトップ版Authyが2024/3/19つまり明日、サービス終了いたします。 User...

2024, Mar 18   — 

2024年2月の気になるインターネット記事をピックアップ

今月頭にインフルエンザに罹ってしまい1週間おとなしくしていました。ウィルスはやっつけましたがまだ風邪の症状が残っており、体力も落ちてしまいました。しかしセキュリティの情報は収集し続けていましたし、今月もまとめて先月気になった情報を発信できればと。 【雑記】「セキュリティ戦略」の作り方 私は会社でセキュリティ担当として活動していますが、自分の活動はこの記事で書かれているような「最前線」かつ「ボトムアップ」なタスクを１つずつ潰すタスクをしています。それはそれで非常に大事なのですが、同時にセキュリティは経営課題であることから、もっとトップダウンアプローチができればなぁ、と思っています。しかし記事にあるように数か月間かけて分析、検討を行い数年間のプランを立てるには、別作業の片手間に行うのではなく、それ用にしっかり時間を確保する必要があると思います。 １点目は、大きすぎるタネを早めに砕いておくことです。特に経営層へのヒアリングでは粒度が大きく抽象的なキーワードが出がちです。ゴールイメージが湧かないタネが登場した場合は「どんな状態になったら達成と言えるか」を掘り下げて定義しておく必要があります。 ２点目は、セキュリティマネージャ自身がしっかり考える時間を取ることです。様々な洗い出し手法を書いたものの、セキュリティの課題意識や目指したい思いを一番持っているのはセキュリティマネージャ自身です リスク分析について、昔会社のすべてのリソースに対してきちんと表を作って作業を行ったのを思い出しました。しかしこういうのはシステムと一緒で「作って終わり」ではなく、定期的な見直しと修正を行わないと、何の意味もなさない骨董品になってしまいます。自分が長い間携わった成果物を骨とう品にはしたくない。手を付けたいもどかしさがあります。 この記事に書かれている手順はかつて自分が進めたセキュリティポリシー委員会のやりかたと共通しています、そして分かりやすいです。僕も最初からこのような記事があれば、参考にしたのだろうに。 現在セキュリティ人材は非常に不足しており、この記事に書かれているようなことができれば年収1000万円とのことです。言うは易く行うは難しだと現場の人間としては思います。（このブログのタイトルそのものですが）セキュリティには「これで完璧、おしまい、終わり！」ということが無いので。 2020年にサイバー攻撃受けたNTTコムに聞く“当時の教訓”　反省を踏まえ、どう変わったか この記事の冒頭にもあるように、企業は「セキュリティの脆弱性の何を突かれ、どのような被害が発生し、どうやって問題解決したか」を教えてくれることは少ないのですがNTTコムがいろいろ語ってくれました。NTTほどの大企業、取り扱う個人情報の量も、ターゲットとしてサイバー攻撃を受ける頻度も一般的な会社よりずっと大きいでしょう。ITmediaの記事にして珍しく会員限定記事でないので紹介します。 46億行のファイルアクセスログや26億行のADサーバの認証ログを含む46種類のデータをビッグデータ解析にかけ、最終的に攻撃者が閲覧したデータを特定した 凄い世界だ…。ツールの導入と自動化。NTTの精鋭エンジニアを投入してのレッドチーム演習（実際に攻撃を行い、社内の脆弱性を探し出す）。これらはセキュリティに対してきっちりカネ・モノ・ヒトを透過できるからこそ実行できる話です。 やっぱり「情報セキュリティ部長」という役職の人がいるのですね。羨ましい・・・。 最後まで読んでこの記事が会員限定記事でない理由分かりました。これPR記事ですわ(笑)やられたー。 ロシアのサイバー攻撃グループの戦術が公開、クラウド管理者は要注意...

2024, Mar 09   — 

【ブックレビュー】サイバーセキュリティ対応の企業実務

X(旧twitter)でも話題の書籍。そういえばBluesky、招待制のうちにアカウントを作っていたのに、結局全く使っていない。Xの荒廃加減は目を覆うような状態ですが。 第１章ではなぜ今サイバーセキュリティの組織対応が必要なのかが問われます。実際体感でも情報漏洩のニュースは増えているように思えます。世界でも目に見えてサイバー戦争が起きており、ランサムウェア犯罪は国際化・洗練化しているのは過去紹介してきたほんのとおり。なのにサイバーセキュリティ人材は不足しています。この本でも紹介されている「サイバーセキュリティ経営ガイドライン」は僕も会社に導入できないか取り組んだこともあります（が、セキュリティだけ手を付けていられないのはベンチャー企業の宿命かもしれません） この本に書かれている内容は王道にして結局のところ最短の道です。自分がセキュリティレベルを高めるにあたり参考にした公的なドキュメントがたくさん紹介されています。最初からこの本を知っていれば、という感じですｗ 職場でセキュリティ業務に携わっている身からすると、セキュリティリスクを０にすることは不可能です。どんなにツール・ルールを充実させてもお金をかけても、最大の弱点は人間であり、完璧な人間などいないのですから完璧なセキュリティも存在しません。そのため肌感として、情報漏洩を完全に防ぐことを目標とはせずに、いかに早くセキュリティ事故に気がつくか、いかに早くデバイスをロックしたり、データを遠隔削除したりするなどで情報漏洩を防ぐか、に注力するべきと考えます。 もう一つはその最大の弱点である従業員のセキュリティレベルを向上させること。昨年は会社でeラーニング（優秀者の懸賞）、セキュリティのコラム（自作記事）、アップデート情報の共有などそれなりに力を注ぎました。今年はフィッシングメール訓練もやりたい・・・。 この本の大きな特徴として「平時の備え」に多くのページを割いていること。CSIRT（Computer Security Incident Response Team）という名前からはインシデント対応組織の印象がありますが、実際には平時の備え、事前のセキュリティ強化でインシデントが発生しないように努めることが大きなミッションです（そのせいで「セキュリティ事故起こらないじゃん」と予算削減の憂き目にあう哀しい組織なのですが）情報収集、社員への啓発、社内のセキュリティ状態の分析と予防施策などやるべきことがたくさん。参考リンクを載せて紹介されています。クラウドを使用した越境（国をまたぐ）情報保持がDR目的で行われることも検討されることが少なくない時代ですが、この本はかなり広く深く実践的に説明しています。GDPRで知られるEUから米国、中国のリスクについても。検討が必要な人にとってはありがたいでしょう。 やることが多い、とてもやりきれないという絶望感がありますが、いきなりあれこれ手を付けるのではなく、Xヵ年計画を立てて適宜修正しながらやっていくとよさそうです。 今一度2年前に会社で立ち上げたセキュリティーポリシー委員会の成果をクラウドストレージの奥底から取り出して、メンテナンスと品質改善をしなければ、という気持ちになりました。 様々な人のインタビューが掲載されているのも特徴。トヨタの人のインタビューでは、サイバーセキュリティとは自動車のシートベルトのようなものと書かれています。シートベルト無くても自動車を運転できないわけではありませんが、安全・備えとなります。セキュリティもそれと同じ。技術、製品、サービスを導入することはもちろん、それに対して従業員に意識を向けることが大事。トヨタの人も「組織が大きくなるほど持ち出しリスクは０にできないため、むしろ暗号化やリモートワイプ、迅速な情シスへの報告が大事」と僕の肌感覚と同じことを言っていました。 イオンの人へのインタビューでは、平時でもレポートを提出する重要性が語られ、ランサムウェアを受けて有名になった半田病院へのインタビューでは、VPN使っているから＝十分な対策にはならないという耳の痛い言葉も。 この本を読んで改めて実感するのは平時の備えの大切さ。...

2024, Feb 18   —