「ゼロデイ脆弱性」への素朴な疑問

サムネイルはStableDiffusionWebで生成した画像。なんとなくそれっぽいですね。 この記事を書いているのは9月22日。iPhone15の発売に喜んでいる人もいらっしゃるかもしれませんが、古いiPhoneのセキュリティ対策も怠りなく。 iPhone/iPadにまたゼロデイ脆弱性 ～iOS/iPadOS、macOS、watchOSなどにセキュリティパッチ この記事タイトルを読んで、不思議に思ったことがありました。 記事のタイトルにある「ゼロデイ(0-day)脆弱性」とは、ソフトウェアに見つかったセキュリティ上の脆弱性の中でも、その存在が公表される前や、修正用プログラムがリリースされる前の脆弱性を指します。分かりやすい言葉で説明すると、”『このようなバグがあり(このような攻撃手段により)このような問題が発生する』と判明しているにもかかわらずパッチが存在しない”、つまり無防備な状態にする脆弱性を意味します。 一方、脆弱性を解消するパッチのリリースから、実際にパッチをユーザが適用するまでの期間を「Nデイ(N-day)脆弱性」と呼びます。（3日経過したら3-day脆弱性と呼ぶ、ということはありません） ところで、今回のiOSにおけるセキュリティアップデートは、以下の脆弱性を解消することを目的としています。 CVE-2023-41992：カーネルにおけるローカル特権昇格（iOS 16/17、watchOS 9/10、macOS Ventura/Monterey） CVE-2023-41991：証明書の検証不備（iOS 16/17、watchOS 9/10、macOS...

2023, Sep 24   — 

ディープフェイクによる音声なりすまし

先週は電話番号を成りすましてかかってくる詐欺電話の話しをしました。おりしも自分の携帯電話にもIP電話の番号から詐欺電話がかかってきたところです(–;) 「電話番号がなりすまされても、声を聴けば本人かどうか分かるし騙されないぞ」と思う方もいるかもしれません。しかし現代のテクノロジーの進歩はすさまじいです。 IPAは、「サイバー情報共有イニシアティブ（J-CSIP） 運用状況 （2023年4月～6月）」を公開しました。J-CSIPは、IPAを情報ハブとして参加組織間で情報共有を行い、高度なサイバー攻撃対策につなげる取り組みです。レポートが掲載されているリンクは以下になります。 https://www.ipa.go.jp/security/j-csip/about.html この中で目に留まったのが「電話を併用したビジネスメール詐欺（BEC）」。なんと専務に成りすました攻撃者が電話をかけてきたといいます。AIが生成する画像や動画が本物そっくりなことは皆さん既にご存じでしょうが、音声は画像や動画よりも見抜くのが難しいと思います。 セキュリティ企業オンカスペルスキーが音声のディープフェイク(「ディープラーニング（深層学習）」+「フェイク」）人工知能は、ここ数年で急速に発展し続けています。機械学習を使用すると、説得力のある画像、動画、または音声コンテンツの偽物を作成できます。)がどのように作られているのかを解説しています。 日本だけではない 世界で増加する音声詐欺 驚いたのは単に声を真似するだけでなく、「どのように話すか」「何を言わなければならないか」「どのように言うべき」を踏まえて音声が生成されるということ。 Microsoftは2023年初めに、わずか3秒の音声サンプルを使って人間の声を再現できるアルゴリズムを発表しましたが、どんなに優れたテクノロジーも悪用の余地があります。 そしてこの記事にはさらに恐ろしい未来を示しています。「他人に成りすました音声としゃべりを再現できる」ということは「自分が成りすまされる」ということです。音声で成りすまされて銀行口座に登録された情報を変更されたら、恐ろしいことになります。まだまだ荒削りの分野のようですが、AIイラストでも分かるように機械学習分野は爆発的に進化しています。どう対策すればよいでしょうか。SNSでもそうですが、嘘つき・詐欺師はまず我々の感情を怒りや恐怖、焦りで揺れ動かし冷静な考えを指せないように仕掛けてきます。最終的には映像や声ではなく、「何を言っているのか」から判断するしかないのかもしれませんね。

2023, Sep 17   — 

電話番号が偽装表示されるスプーフィング攻撃によるオレオレ詐欺

僕の会社での肩書が「セキュリティエバンジェリスト」和訳すれば「セキュリティ伝道師」ということで、社内にセキュリティを浸透、啓発するのがミッションです。 コンピュータ・インターネットなくして現代の仕事は成り立ちませんが、誰もが詳しい知識を持っているわけではありません。ことセキュリティに関して情報展開して会社のセキュリティレベルを高めることが大切と考えています。どんなに有用なソフトウェア、サービスを導入してもセキュリティの最前線は結局のところ人（攻撃者も、セキュリティリスクも）なので。5月のSIMスワップ記事と同じ導入でした。 「スプーフィング攻撃」は直訳すると「詐欺攻撃」セキュリティの世界では「IPスプーフィング攻撃」すなわち送信元のIPアドレスを偽装したアクセスが知られていますが、携帯電話スプーフィング攻撃が世間で話題になっています。 オレオレ詐欺から進化した〈スプーフィング攻撃〉とは？電話番号が偽装表示され、本当に身内からの連絡だと思いきや… あの手この手でターゲットをだまそうとする「オレオレ詐欺」、明日は我が身という恐怖があります（こういうのは「自分は大丈夫」と思っている人ほどやられます）、対策の一つが「知らない番号は電話を取らない」。これだと初めて電話を掛けたい相手に対して不都合なのですが、仕方ない。なんで悪人のせいで不便な生活を過ごさなければならないのか…ぶつぶつ。 しかし、電話番号のなりすましって可能なのでしょうか、 [【注意喚起】実在する警察等の電話番号を偽装した詐欺事案])(https://www.ny.us.emb-japan.go.jp/itpr_ja/News_2023-04-06.html) 警視庁の記事を読んでも、その手口までは書かれていません。 5月に以下の記事を公開しました。 SIMスワップ攻撃に注意するよう社内喚起しました しかしSIMスワップ攻撃はあくまで「本人のSIM（電話番号ではない）が他の人が保有するSIMに乗っ取られる」ものであり、電話番号自体が成り済まされるわけではありません。調べたところ、どうも格安のIP電話サービスは電話番号の扱いが雑で、サービス終了時に他の業者に電話番号を売り払ってしまうとか。その電話番号を詐欺組織が購入した場合、こういうケースがあるとか。日本のドコモ・KDDI・ソフトバンクなどはしっかり対策しているので、このようなことはないそうです。

2023, Sep 09   — 

Microsoft 365 Defenderを学ぶ

Microsoft Defender for Office 365とは、メールと Microsoft Teams をセキュリティで保護できるSaaS型サービスで、Microsoft Office 365内のサービスの1つ。 先日Microsoft 365 Defenderについて解説してくれる動画がUdemyで期間限定無料で公開されていたので利用させてもらいました。 【ゼロトラスト】Microsoft 365...

2023, Aug 26   — 

【ブックレビュー】脅威インテリジェンスの教科書

この本の前書きに「セキュリティシステムは常勝を義務付けられているのに、攻撃者は一度勝つだけで良い」とあるようにサイバーセキュリティの世界は圧倒的に有利です。防御側の我々は組織内の『あれが危険』『これが足りない』と分かっていても、その工数も予算も捻出することはできません。だからといってそれを言い訳にセキュリティをなおざりにしてはならない・・・そんな状況で注目されているのが「脅威インテリジェンス」です。 攻撃する意図がある 攻撃できてしまう攻撃対象の状況がある 攻撃者自身に攻撃する能力がある この3つが揃ったときに脅威は現実化します。対してインテリジェンスとは 情報収集・加工・分析評価の成果物 成果物を作成するプロセス それらを行う組織 を指します。 単にデータ（Data）を収集するだけでなく、それを加工して情報（Information）とし、更に分析してインテリジェンス（Interlligence)とします。また脅威インテリジェンスも、対応する期間や組織などにより戦術・運用・戦略と分けられます。現代ではセキュリティは現場の技術者だけが考えればよいのではなく、経営者も検討する必要がある経営課題となっており、戦略が必要となっています。この本はその各分類に分けて、考えることをまとめています。本では様々なセキュリティに関する用語や組織が出てきます。MITRE ATT&CK（マイターアタック） どこかで聞いたことあるな・・・という用語はCISSPで学んだ知識でした。不合格なわけだ（ーー； 伝統的なリスク管理として『コンプライアンス型アプローチ』というセキュリティのAs isをTo beに持っていく方法がありますが、最初に書いたように資産が膨大、人は少ない状況ではすべてを対応するのは不可能です。ましてどんどん新しい脆弱性が生まれ、クラウドサービスなど外部ベンダーが保有するインフラ上で業務する場合、もはや手がつけられない分野も発生し、そこは相手がちゃんとやってくれることを信じるしかありません。...

2023, Aug 20   — 

Microsoft Authenticatorを使いパスワードレスでログイン

このブログでもたびたび名前を挙げていた「パスキー」 パスキーとは iOS・Androidも対応「パスキー」とはなにか? パスワード時代の終焉 パスワードの漏洩が不正ログインの根本原因ですが「複雑にしろ」「定期的に変えろ」「厳密に保管しろ」・・・「面倒くせぇ！」と僕らセキュリティ担当者ですら思います。一般の人ならなおさらでしょう。そりゃよく使われるパスワードも「password」「123456」「123456789」になるわけです。 世界で最も使われるパスワードは「password」「123456」 最新調査レポートにみるパスワード管理と各国の実態 セキュリティの一番の脆弱性ポイントは我々人間であり、パスワードというモノが使われる以上リスクは付きまといます。パスワードに対するブルートフォース攻撃やリスト攻撃、辞書攻撃に対して根本的な解決策として「パスワードレス」が叫ばれていました。 急に専門家っぽいことを書きますがｗ認証には3つのパターンがあります あなたの知っていること（パスワード・秘密の質問） あなたが所有しているもの（ICカード） あなた自身（指紋・網膜・静脈などの生体認証） 下に行けば行くほど精度の高い認証となりますが、導入にコストがかかります。 パスワードは最も簡単に実装できる認証でした。Webサイトのログイン画面に指紋認証機能を付けるのは非常にたいへんなのは分かると思います。 しかし、スマートフォンの普及が状況を変えました。今や世界中の人が所有しているスマートフォン、そしてスマフォのロック解除には指紋や顔認証など「あなた自身」を使います。これをWebサイトの本人確認でパスワードの代わりに使おう、というのがパスキーの考え方です。...

2023, Aug 11   — 

【ブックレビュー】ポストモーテム　みずほ銀行システム障害　事後検証報告

twitterでも「GitHubが繋がらなくなった』「AWSが障害発生した」と度々トレンドになるように、たとえ一流のエンジニアが開発運用しているサービスでも障害は発生します。それはそうでしょう。規模も大きすぎてすべてをコントロールするのは困難でしょうし。トラブルのニュースが流れるたびに、中で奮闘しているエンジニアのことを思うと胃が痛くなります。 企業が利用・提供するサービスで障害あるいはヒヤリハットが発生した際、何が原因だったのか、どう対応したのか、改善しなければならない点は何か、をまとめたものをポストモーテムと呼びます。GoogleがかつてGmailの障害におけるポストモーテムを公開し、結果としてGoogleへの信頼が高まったという話があります。他社の障害対応はは他山の石になるため、僕ももっと読みたいのですが、企業秘密が関わることもあり、また恥ずべきものというイメージもあるのかなかなか公開されないのが現状。この本は2021年大きな問題となった、みずほ銀行のATMで障害が発生し、お金を引き落とせなくなるなど利用者に重大なダメージを与えた障害のポストモーテムとのことなので参考になるかと思い読んでみました。 ちなみにこの本、「ポストモーテム」と銘打っていますが、自分の考えるポストモーテムよりは些か文学的な書かれ方をされています。本来はこんな長文では書かれず、箇条書きで書かます。それだと読み物にはならないからでしょうが。 みずほは３つの銀行が統合して生まれたスーパーメガバンク。組織も従業員も顧客も大きいですし。そんなみずほ銀行が業務で利用しているシステムも間違いなく巨大なシステムのはず。エンジニアの苦労が忍ばれます。そんなシステムの大規模障害は、バグだけでなく、仕様の問題、ハードウェアの故障、検証で発覚した問題を解消しなかった問題、ヒューマンエラー、そして組織の体質。それらが超巨大なシステムの中で少しずつ連鎖反応あるいはタイムラグで1年にわたり発生していたようです。発生した障害のタイムラインを読むと、現場が地獄だったことが想像できます・・・。『7つの不手際のうち1つでも正しく処置できていればこれほど大きなトラブルにはならなかった』という結論は本当につらい。その不手際の真因も統合の前から脈々と続いていた問題だったことをみずほ銀行のシステムの歴史から紐解きます。そういえば大学生の頃、みずほ銀行で2重振込や2重引き落としのニュースがあったなぁ。「2重振込ならぜひ発生してほしいｗ」なんて冗談で当時言っていましたが、現場としてはたまったものではなかったのでしょう。 過去複数回の大規模障害を教訓に刷新された基幹系システムMINORIは過去のコードを採用せず、SOAを採用し、できるだけ生のコードを書かせなくして属人性を排除するなど優れたアーキテクチャで構成されていました。でもマシンだけでは駄目でマンも正しく動かなければならない・・・そのためにはやっぱり障害対応組織を作ることと、年に1度は復旧デモンストレーションを行うことが必要と、思ってはいるんですけど・・・てやつですね。 このポストモーテムから以下のような教訓を得ました。 疎結合＝正義、密結合＝悪ではなく、やりたいことを実現する優れたアーキテクチャをシステムの重要性などを考慮して採用する必要がある。 速度の関係でディスクではなくメモリにデータを保存する場合、容量のサイズには気をつける必要がある。なおAWSのマネージドキャッシュは自動で大きさを拡張するのでそこは大丈夫と思われる。念のためキャッシュサイズを監視することが大事。 利用者の声を聞くべく、twitterで自社名、自社プロダクトの単語を引っ張ってSlackに通知できるように・・・はtwitter APIの有料化により難しくなったのか。 障害発生時に自分たちで集まり、情報を共有、対応を勧めていけるようCSIRTはやっぱり必要。 事前に定めていた復旧手順では復旧できないというのはあるあるである。やっぱり年に1度は復旧デモンストレーションを行わなくてはという気持ちになりました。なった、だけだと駄目なのは分かっているのですが・・・。 「積極的に声を上げることでかえって責任問題となるよりも、自分の持ち場でやれることはやっていた、といえる行動をとる方が、合理的な選択」は大組織ならではなのかもしれませんが、風通しの良さと心理的安全性の大切さを感じました。

2023, Jul 23   — 

【ブックレビュー】今知りたいサイバー犯罪事件簿-セキュリティの「落とし穴」を示す15の事件-

サイバーセキュリティに関する書籍はこのブログでも何度も紹介していますが、今回紹介する本は３つの特徴があります。 1つは2023年に発売されたばかりの本ということ。サイバー犯罪における最新の情報を知る事ができます。日本でも現在進行系で発生しているランサムウェア攻撃、ロシア・ウクライナ戦争で使われているAIによるディープフェイク、SNSを活用したプロバガンダ・・・サイバー犯罪の進化はとどまることを知りません。一方で政府機関や企業がサイバー犯罪を防ぐための行動もまた、マルウェアを利用するなど物議を醸しています。サイバー犯罪の攻防はどちらも同じ技術が使われており、世のため人のためのために使う、と宣言した技術はいくらでも悪用可能なのです。 2つ目の特徴として、日本人が日本人向けに書いた本であること。日本人にも非常に読みやすい言葉が使われているうえ、日本で書かれた本ならではのエピソード「LINEのデータ管理」があります。LINEはコロナ対応でも使われるなど、日本社会にとって基幹インフラといえるアプリですが、その情報管理が甘かったことで批判を浴びました。クラウド上でのストレージにデータを保管することはどこでもやっています（僕の会社でももちろんやっています）が、データを保存している現地の法律が適用されるので、特に個人情報を保管する場合は注意が必要になります。 本書の最大の特徴は、一般人にとっては『それってサイバー犯罪なの？』と思いがちな「プライバシー」について多くのページを割いている点です。たとえば、Webサーフィンでブラウザに表示されるインターネット広告。これに用いられるユーザ識別子についても説明があります。「あなたが今欲しい商品、見たいサービスはこれですよね」が分かるインターネット広告はテレビのCMより効果が高いですが、裏を返せば企業に個人の嗜好を把握されているのです。Appleはプライバシーを重視する企業として知られ、また欧州ではプライバシーの意識が高く、GDPR のような法律も制定されました。プライバシーを侵犯することは犯罪という認識は世界で広がってます。みなさんも家の中が盗撮されていたり、読んでいる本がバレたり（思想の自由）するのは嫌なはず、しかし当たり前のように使っているインターネットサービスを提供している企業は同レベルのことが技術的に可能なのです。 一方でGoogleのサービスを無料で使えるのも、Googleがインターネット広告で利益を得ているからで、企業は利益を得られなければ存続できません。そのためOSや法律の規制を逃れてユーザ情報を取得しようという企業の動きは盛んです。にしても、Tiktokの『端末上の文字入力を取得してサーバに送信』は流石にやり過ぎでは・・・。 ユーザの閲覧履歴だけでなく、位置情報もプライバシーとなります。Googleマップを使っていると、位置情報のありがたさを実感します。その一方で『いつ、どこにいる』『どこに住んでいる』という情報は悪用された場合大きな問題となります。Googleの”ダーク・パターン”は、スマフォの設定で位置情報をOFFにしても、他の様々な場所のオプションをOFFにしない限り、Google自体には位置情報が送られ続けていた、というスクープです。不誠実ですよね。現代において『利便性』と『プライバシー』はシーソーの関係です。インターネット広告も僕にとっては「欲しい物がレコメンドされる」ということでありがたい面もあります。とはいえプライバシーには配慮してほしい。バランスが求められます。 僕自身インターネットを利用してサービスを提供する会社で働いているセキュリティ担当、この本に書かれていることは知っていなくては、そして考えなくては、と思いました。Googleがかつて標語としていた「Don’t be evil、（邪悪になるな）」は僕ら常々頭に入れておきたい。

2023, Jul 09   —