登録セキスぺのゴールド免許証

お客さま情報の不正流出に関するお詫びとお知らせ 派遣社員が“クライアントの顧客情報”900万件を不正持ち出し NTT西グループ おそろしい・・・ もちろん「データのエクスポートのようなリスクあるオペレーションに対して管理者宛に通知される機構が備わっていなかった」とか「外部記憶媒体がPCに挿せる状態になっていた」とかいろいろな原因があるのですが、じゃあ翻ってあなたの会社はそれらが万全なのですか、と言われるとなかなか胸を張って言い返すことはできません。 しかし間違いなく言われることは、自社のサービスであれ、協業して開発しているサービスでアレ、このニュースをもとに「私たち(あなたたち)はこうならないよう、セキュリティ対策はできているのだろうな」と詰められるでしょうね。もちろんそうならないよう、普段から先んじて対策を取っておくべきです、そうすれば後から追加工数、ということにはなりません。 しかしこのニュースを読んで思うのは、いくらテクノロジーや仕組みを駆使して防御を固めても、最大のリスクである「人間」、それも「悪意ある人間」を止めることは難しいということ。ネズミ一匹通らない、完全無欠のシステムは存在しないですし、そんなシステムがあったら何の作業をするにも面倒で仕方ないでしょう、その「もっとスピーディに、利用しやすくしたい」という欲望がセキュリティホールを産むわけで、これはもう避けられない。できることは「やった場合すぐ検知できるぞ、証跡から過去を追えるぞ、損害賠償を請求するって契約の時に書面でやり取りしましたよね」という「やられた後を考慮した抑止力」しかないのでしょうか。 閑話休題。このブログでもたびたび取り上げている情報処理安全確保支援士、通称登録セキスぺ。僕も持っています。僕だけでなく多くの保有者が「維持費が高いくせにそれに見合うインセンティブがない」と不満を挙げていますがそんな登録セキスぺに先日新たな動きがありました。 「ドヤれる」ゴールド登録証は更新者増に効くか、7年目の情報処理安全確保支援士 2ページ目からは有料会員でないと読めない記事ですが、X(旧twitter)での皆さんの反応は、ぜんぜんドヤってってないですね。この記事も懐疑的な内容でしたし。 自分は3年ごとの更新を1度済ませているので手元にある登録証はブルーですが、だからと言ってグリーンのひとより知識・技術共に優れているかといえばそんなことは口が裂けてもいえませんし。10年自動車運転を無事故無違反でゴールドな免許証が手に入るものの、そもそも運転していないという事例を「ゴールドペーパー」と言いますが、それと同じくらいの価値なのでは…。 ゴールド登録証保持者でなければできない業務、みたいなものがあれば価値は出るでしょう。しかし現状は登録セキスぺの独占業務というものは存在せず、私たちの仕事は極端な話、誰でもできる仕事なのです。高いお金を払って、休みの日を使って自習して資格を更新する。エンジニアは独学することを厭わないのでそれはよいのですが、ならばこの資格を持った自分が報われたい、と思う気持ちが間違っているでしょうか?ただでさえセキュリティという分野は「何も起こらないよう努力している時には評価されず、何か起こった場合に叩かれる」仕事なのですから。登録セキスぺの必置化や、企業が案件発注を行う際の基準に「会社内に登録セキスぺが存在すること」が商習慣として定着するなど、そういう動きが進まないと、「CISSPのほうがよほど役に立つ」という話になりますよね。

2023年夏のパスキーのいろいろな動き

このブログでもたびたび名前を挙げていた「パスキー」(2か月前と同じ導入)ですが、最近様々な動きがあり、インターネットニュースでも紹介されることが増えてきました。 気になるニュースを共有します。 パスワードなしでの認証を可能にする「パスキー」技術にはわなが潜んでいる、YubiKeyなどのハードウェア認証デバイスを利用している場合は注意 Yubikeyなどハードウェア認証デバイスでは保存できる鍵のスペースは20〜32個に限られているとのこと、しかも鍵情報は削除できなくなると。ということは複数のYubikeyを買って手元で管理する必要が出てくる、不便ですね。 スマートフォンを利用したパスキーはストレージ容量は緩いので、そこまで心配しなくてもよいとのこと。 X(twitter)で以前「パスキーは鍵ジャラジャラから解放されるわけではない」と指摘されたことがあります。人間が秘密の文字列を大量に覚えなくてよい代わりに、手元のハードウェアに秘密の文字列(非対称鍵)が保管されている、というのは頭の片隅に入れておいて良いのではないでしょうか。 WEB+DB PRESS Vol.136-実践投入パスキー この夏最終刊を迎えたWEB+DB PRESSでもパスキーが特集されていました。人類のパスワードの歴史を紐解き、その問題点と、問題点を解決するべく(そして解決できなかった)生まれた過去の代替案、それと比べてパスキーが優れている点が紹介されています。いくらセキュリティ的に強固でも、不便で正しく用法を守って使われなければ逆にセキュリティホールになってしまいますからね。そしてパスキーを具体的に実装するコードや、Webサービスに導入する際のUIの注意点など、タイトル通り実践に投入する際に役立つ記事になっていました。 パスワードレス認証のセキュリティとユーザー体験のバランスの難しさ、実装のポイントとは WEB+DB PRESSと同じく、パスキーの前に生まれた技術(そもそもパスキーも突然変異の技術ではなく、過去の解決策であるWebAuthnを利用しているのですが)の問題点を語り、そのうえでパスキーの問題として「結局エンドユーザが利用してくれるのか」と提示しています。僕は従来と比べてのメリットを十分理解しており、積極活用していますが、新しいモノが受け入れられるのには時間がかかりますから。 「GitHub」でパスキー認証の一般提供が開始...

「ゼロデイ脆弱性」への素朴な疑問

サムネイルはStableDiffusionWebで生成した画像。なんとなくそれっぽいですね。 この記事を書いているのは9月22日。iPhone15の発売に喜んでいる人もいらっしゃるかもしれませんが、古いiPhoneのセキュリティ対策も怠りなく。 iPhone/iPadにまたゼロデイ脆弱性 ~iOS/iPadOS、macOS、watchOSなどにセキュリティパッチ この記事タイトルを読んで、不思議に思ったことがありました。 記事のタイトルにある「ゼロデイ(0-day)脆弱性」とは、ソフトウェアに見つかったセキュリティ上の脆弱性の中でも、その存在が公表される前や、修正用プログラムがリリースされる前の脆弱性を指します。分かりやすい言葉で説明すると、”『このようなバグがあり(このような攻撃手段により)このような問題が発生する』と判明しているにもかかわらずパッチが存在しない”、つまり無防備な状態にする脆弱性を意味します。 一方、脆弱性を解消するパッチのリリースから、実際にパッチをユーザが適用するまでの期間を「Nデイ(N-day)脆弱性」と呼びます。(3日経過したら3-day脆弱性と呼ぶ、ということはありません) ところで、今回のiOSにおけるセキュリティアップデートは、以下の脆弱性を解消することを目的としています。 CVE-2023-41992:カーネルにおけるローカル特権昇格(iOS 16/17、watchOS 9/10、macOS Ventura/Monterey) CVE-2023-41991:証明書の検証不備(iOS 16/17、watchOS 9/10、macOS...

ディープフェイクによる音声なりすまし

先週は電話番号を成りすましてかかってくる詐欺電話の話しをしました。おりしも自分の携帯電話にもIP電話の番号から詐欺電話がかかってきたところです(–;) 「電話番号がなりすまされても、声を聴けば本人かどうか分かるし騙されないぞ」と思う方もいるかもしれません。しかし現代のテクノロジーの進歩はすさまじいです。 IPAは、「サイバー情報共有イニシアティブ(J-CSIP) 運用状況 (2023年4月~6月)」を公開しました。J-CSIPは、IPAを情報ハブとして参加組織間で情報共有を行い、高度なサイバー攻撃対策につなげる取り組みです。レポートが掲載されているリンクは以下になります。 https://www.ipa.go.jp/security/j-csip/about.html この中で目に留まったのが「電話を併用したビジネスメール詐欺(BEC)」。なんと専務に成りすました攻撃者が電話をかけてきたといいます。AIが生成する画像や動画が本物そっくりなことは皆さん既にご存じでしょうが、音声は画像や動画よりも見抜くのが難しいと思います。 セキュリティ企業オンカスペルスキーが音声のディープフェイク(「ディープラーニング(深層学習)」+「フェイク」)人工知能は、ここ数年で急速に発展し続けています。機械学習を使用すると、説得力のある画像、動画、または音声コンテンツの偽物を作成できます。)がどのように作られているのかを解説しています。 日本だけではない 世界で増加する音声詐欺 驚いたのは単に声を真似するだけでなく、「どのように話すか」「何を言わなければならないか」「どのように言うべき」を踏まえて音声が生成されるということ。 Microsoftは2023年初めに、わずか3秒の音声サンプルを使って人間の声を再現できるアルゴリズムを発表しましたが、どんなに優れたテクノロジーも悪用の余地があります。 そしてこの記事にはさらに恐ろしい未来を示しています。「他人に成りすました音声としゃべりを再現できる」ということは「自分が成りすまされる」ということです。音声で成りすまされて銀行口座に登録された情報を変更されたら、恐ろしいことになります。まだまだ荒削りの分野のようですが、AIイラストでも分かるように機械学習分野は爆発的に進化しています。どう対策すればよいでしょうか。SNSでもそうですが、嘘つき・詐欺師はまず我々の感情を怒りや恐怖、焦りで揺れ動かし冷静な考えを指せないように仕掛けてきます。最終的には映像や声ではなく、「何を言っているのか」から判断するしかないのかもしれませんね。

電話番号が偽装表示されるスプーフィング攻撃によるオレオレ詐欺

僕の会社での肩書が「セキュリティエバンジェリスト」和訳すれば「セキュリティ伝道師」ということで、社内にセキュリティを浸透、啓発するのがミッションです。 コンピュータ・インターネットなくして現代の仕事は成り立ちませんが、誰もが詳しい知識を持っているわけではありません。ことセキュリティに関して情報展開して会社のセキュリティレベルを高めることが大切と考えています。どんなに有用なソフトウェア、サービスを導入してもセキュリティの最前線は結局のところ人(攻撃者も、セキュリティリスクも)なので。5月のSIMスワップ記事と同じ導入でした。 「スプーフィング攻撃」は直訳すると「詐欺攻撃」セキュリティの世界では「IPスプーフィング攻撃」すなわち送信元のIPアドレスを偽装したアクセスが知られていますが、携帯電話スプーフィング攻撃が世間で話題になっています。 オレオレ詐欺から進化した〈スプーフィング攻撃〉とは?電話番号が偽装表示され、本当に身内からの連絡だと思いきや… あの手この手でターゲットをだまそうとする「オレオレ詐欺」、明日は我が身という恐怖があります(こういうのは「自分は大丈夫」と思っている人ほどやられます)、対策の一つが「知らない番号は電話を取らない」。これだと初めて電話を掛けたい相手に対して不都合なのですが、仕方ない。なんで悪人のせいで不便な生活を過ごさなければならないのか…ぶつぶつ。 しかし、電話番号のなりすましって可能なのでしょうか、 [【注意喚起】実在する警察等の電話番号を偽装した詐欺事案])(https://www.ny.us.emb-japan.go.jp/itpr_ja/News_2023-04-06.html) 警視庁の記事を読んでも、その手口までは書かれていません。 5月に以下の記事を公開しました。 SIMスワップ攻撃に注意するよう社内喚起しました しかしSIMスワップ攻撃はあくまで「本人のSIM(電話番号ではない)が他の人が保有するSIMに乗っ取られる」ものであり、電話番号自体が成り済まされるわけではありません。調べたところ、どうも格安のIP電話サービスは電話番号の扱いが雑で、サービス終了時に他の業者に電話番号を売り払ってしまうとか。その電話番号を詐欺組織が購入した場合、こういうケースがあるとか。日本のドコモ・KDDI・ソフトバンクなどはしっかり対策しているので、このようなことはないそうです。

Microsoft 365 Defenderを学ぶ

Microsoft Defender for Office 365とは、メールと Microsoft Teams をセキュリティで保護できるSaaS型サービスで、Microsoft Office 365内のサービスの1つ。 先日Microsoft 365 Defenderについて解説してくれる動画がUdemyで期間限定無料で公開されていたので利用させてもらいました。 【ゼロトラスト】Microsoft 365...

【ブックレビュー】脅威インテリジェンスの教科書

この本の前書きに「セキュリティシステムは常勝を義務付けられているのに、攻撃者は一度勝つだけで良い」とあるようにサイバーセキュリティの世界は圧倒的に有利です。防御側の我々は組織内の『あれが危険』『これが足りない』と分かっていても、その工数も予算も捻出することはできません。だからといってそれを言い訳にセキュリティをなおざりにしてはならない・・・そんな状況で注目されているのが「脅威インテリジェンス」です。 攻撃する意図がある 攻撃できてしまう攻撃対象の状況がある 攻撃者自身に攻撃する能力がある この3つが揃ったときに脅威は現実化します。対してインテリジェンスとは 情報収集・加工・分析評価の成果物 成果物を作成するプロセス それらを行う組織 を指します。 単にデータ(Data)を収集するだけでなく、それを加工して情報(Information)とし、更に分析してインテリジェンス(Interlligence)とします。また脅威インテリジェンスも、対応する期間や組織などにより戦術・運用・戦略と分けられます。現代ではセキュリティは現場の技術者だけが考えればよいのではなく、経営者も検討する必要がある経営課題となっており、戦略が必要となっています。この本はその各分類に分けて、考えることをまとめています。本では様々なセキュリティに関する用語や組織が出てきます。MITRE ATT&CK(マイターアタック) どこかで聞いたことあるな・・・という用語はCISSPで学んだ知識でした。不合格なわけだ(ーー; 伝統的なリスク管理として『コンプライアンス型アプローチ』というセキュリティのAs isをTo beに持っていく方法がありますが、最初に書いたように資産が膨大、人は少ない状況ではすべてを対応するのは不可能です。ましてどんどん新しい脆弱性が生まれ、クラウドサービスなど外部ベンダーが保有するインフラ上で業務する場合、もはや手がつけられない分野も発生し、そこは相手がちゃんとやってくれることを信じるしかありません。...

Microsoft Authenticatorを使いパスワードレスでログイン

このブログでもたびたび名前を挙げていた「パスキー」 パスキーとは iOS・Androidも対応「パスキー」とはなにか? パスワード時代の終焉 パスワードの漏洩が不正ログインの根本原因ですが「複雑にしろ」「定期的に変えろ」「厳密に保管しろ」・・・「面倒くせぇ!」と僕らセキュリティ担当者ですら思います。一般の人ならなおさらでしょう。そりゃよく使われるパスワードも「password」「123456」「123456789」になるわけです。 世界で最も使われるパスワードは「password」「123456」 最新調査レポートにみるパスワード管理と各国の実態 セキュリティの一番の脆弱性ポイントは我々人間であり、パスワードというモノが使われる以上リスクは付きまといます。パスワードに対するブルートフォース攻撃やリスト攻撃、辞書攻撃に対して根本的な解決策として「パスワードレス」が叫ばれていました。 急に専門家っぽいことを書きますがw認証には3つのパターンがあります あなたの知っていること(パスワード・秘密の質問) あなたが所有しているもの(ICカード) あなた自身(指紋・網膜・静脈などの生体認証) 下に行けば行くほど精度の高い認証となりますが、導入にコストがかかります。 パスワードは最も簡単に実装できる認証でした。Webサイトのログイン画面に指紋認証機能を付けるのは非常にたいへんなのは分かると思います。 しかし、スマートフォンの普及が状況を変えました。今や世界中の人が所有しているスマートフォン、そしてスマフォのロック解除には指紋や顔認証など「あなた自身」を使います。これをWebサイトの本人確認でパスワードの代わりに使おう、というのがパスキーの考え方です。...