こんにちは。はなくとです。
今回はお盆休みを利用して、先日IPAより発行された「情報セキュリティ白書2019」を読んでみたので気になった点をつらつらと書いてみます。
ちなみに原本の入手にはIPAの会員登録の上、アンケートに回答する必要があります。
どなたでも入手できますので是非読んでみてください。何を大事と思うかはそれぞれの専門や興味によって異なりますし、全文を読むことで得るものはきっと多いと思います。
原本入手したい方はこちらから(IPAのサイトに飛びます)。
https://www.ipa.go.jp/security/publications/hakusyo/2019.html
1章で気になった箇所
1章では、国内外のセキュリティインシデント・脆弱性、攻撃・手口の動向、セキュリティ対策等について記載されていました。知らない用語や気になった箇所を書いていきます。
・フィッシングサイト数は、約78万6000件で、2017年度より18.6%増加。
ターゲットは、ぺイメント(37.0%)、SaaS/Webmail(21.6%)、金融(15%)
・ビジネスメール詐欺のなりすましに利用されるのは高位職(CEO、取締役)が60%以上
・ランサムウェアの検出件数は、54万5000件(前年比20%減)
企業側の対策が進んだ模様。また、不特定多数を狙うばらまき型は収束傾向。
・攻撃手法の傾向と変化
これまで主流だった悪意のあるプログラムによる攻撃は減少傾向。
Pwershell等の正規アプリのスクリプト実行による攻撃増加。
→特定のバイナリ/実行可能ファイルを使用せず、セキュリティ製品による検知を回避。
・仮想通貨の不正マイニングの検知件数は、仮想通貨の価格に依存する模様。
価格が下がれば件数も減る。
・フィッシング詐欺は、Apple、Amazon、LINE等の身近なサービスをかたる傾向がある。
当初はAndroidのみが標的。現在はiOSを対象としたApple IDやパスワードを等を狙うフィッシングサイトへ誘導する手口が登場。
・標的型攻撃の手口
①脆弱性と正規機能の悪用
標的型攻撃メールに添付されたファイルに脆弱性やDDE(Dynamic Data Exchange)等の正規機能を利用するプログラムが仕込まれている。
→攻撃者は脆弱性に対する修正プログラムが適用されていないことを期待する。
→正規機能を悪用する場合、その挙動が攻撃かおうか判別が難しい。
②ソーシャルエンジニアリングを組み合わせる手口
攻撃者がSNSを通じて標的の技術者と交流。
信用を得た後、標的型攻撃メールを送信し感染。
③正規のオンラインストレージサービスを組み合わせる手口
標的型攻撃メールに文書ファイルを添付するのではなく、オンラインストレージサービスのURLリンクを添付。リンク先に文書ファイルに偽装した実行ファイルを設置。
④件名や本文の内容によるだましの手口
その組織や業界で用いられる言葉を使用。
関係者の署名が書かれる場合もある。
⑤添付ファイルの手口
アイコンの偽装、拡張子の偽装(RLO)、マクロ機能・OLEオブジェクトの悪用。
・標的型攻撃への対策
①利用者向けの対策
ソーシャルエンジニアリング/不審メールに対する注意力向
攻撃手口の理解
②組織体制の構築(CSIRT設置等)
③ウィルス感染を想定した訓練と教育
④システムによる対策
不審メールの確保
ファイル実行防止(ホワイトリスト/ブラックリスト)
保護ビューの設定(Office)
Powershellの実行制限
アクセス制限
修正プログラムの適用
・DDoS攻撃
攻撃代行サービスWebstresser摘発。3年間で400万件の攻撃実績。
マルチベクトル型攻撃が主流
→アプリケーション層/トランスポート層等へ攻撃し、効果や状況に応じ手法を切り替える。
IoT機器がボットネットを構成することもある。Miraiを皮切りに。
・IoT機器を対象とした攻撃
開発者、利用者共、情報システムと同様にセキュリティ対策が必要。
特に、IoT機器はサプライチェーンの考慮も必要。
・パスワードリスト攻撃
不正に入手したID/パスワードをリスト化し、不正ログインを試みる。
複数のWebサービスでパスワードの使い回しをしていると被害に遭う可能性大。
・脆弱性情報を通知してから修正されるまでの日数
10日以内が3割以上。一方で90日以上が2.5割。
・バグバウンティが盛ん。サイボウズ、LINE、Bugcrowd Inc.等
・英国が、IoTセキュリティのベストプラクティスをまとめた「Department for Digital, Culture, Media and Sport:DCMS」を公表。
2章で気になった箇所
2章では、国内外のセキュリティ政策、人材育成、国際標準化、普及活動等について状況が記載されていました。知らない用語や気になった箇所を書いていきます。
・IoTセキュリティのとりくみ
①セキュリティ・バイ・デザイン等の意識啓発
②IoTセキュアゲートウェイの実証実験
→認証・検知・対処は実現できているが、電波が届かず通信が途絶えると誤検知発生。
③重要IoT機器の脆弱性調査
④NOTICEの開始
・総務省が、「クラウドサービス提供における情報セキュリティ・対策ガイドライン(第2 版)」公表。
・警察庁によるサイバー犯罪の検挙数は9040件と過去最多。
・CRYPTECが、量子コンピュータが実用化されても安全性が保てると期待される暗号(耐量子計算機暗号)の調査・検討。
・2019 年1 月1 日、改正著作権法の施行。
基本的には、サイバーセキュリティ目的のリバースエンジニアリングは著作権法上、認められたと解釈できるようになった。ただし、リバースエンジニアリングを禁じるライセンス契約の有効性は、改正著作権法では明らかにされていない。
・日米/EU/ASEAN/インドとのサイバー連携。イスラエルとのサイバー協議。
・日本はGDPRの十分性認定された。
個人データの越境移転に対し手個別契約不要。
イギリスはBrexitするとEU外なので、十分性認定受ける必要あり。
まだ協議されておらず間に合わない可能性大。
・中国では、行動履歴等による信用格付けが本格化。
国民のネット上の行動・購買活動等の履歴からAI 技術等を用いてスコア化。
このスコアにより金融・不動産・医療等のサービスをどれだけ利用できるか決まる。
・APECの越境個人情報保護CBPR((Cross-Border PrivacyRules:越境プライバシールール))
APEC で個人情報を取り扱う事業者が、APEC 内で個人情報の越境移転を行うための制度。
2019 年3 月末時点の加盟国
米国、メキシコ、日本、カナダ、韓国、シンガポール、オーストラリア、台湾。
・サイバーリスクの数値化
JCIC が、保有する個人情報数等の入力により「想定損失額の目安」を算出できる「サイバーリスク指標モデル『想定損失額の目安』簡易シミュレーション」(外部サイト)を公開。
・認証暗号 OCB2
3章で気になった箇所
3章では、個別のテーマとして制御システム、IoT、スマートフォン、ITサプライチェーン、AIのトラストに関するセキュリティについて記載されていました。知らない用語や気になった箇所を書いていきます。
制御システム
・制御システムではネットワーク化・オープン化が進む一方で、外部との接続やサイバー攻撃を想定していないシステムが多数稼働しており、サイバー攻撃の対象となりつつある。
・制御システム内部ではセキュリティ観点での通信制限をしていない場合が多い。
→ウィルスが拡大しやすい。
・サプライチェーンを利用した攻撃も見られる。
サプライヤーのネットワークに侵入。
そこからアップデートや診断経路を利用して制御システムに侵入。
・制御システムの脆弱性評価にはCVSSが利用されている。
→情報システムは機密性・完全性重視。
制御システムは可用性重視
→適切な評価ができない。
・脆弱性対策の課題
修正プログラムを適用した場合の正常動作確認に費用と工数がかかる。
可用性重視のため、システム停止が困難。
・制御システムを狙う攻撃もハードルが低い。
ツールを駆使することで、攻撃スキルもOTの知識を持たずとも攻撃できてしまう。
IoT
・IoT機器への攻撃手法は、辞書攻撃から特定の機器が持つ脆弱性を狙うように進化。
特定機器のID/デフォルトパスワードを組み込んだマルウェアも出現(Okane、Yowai等)
・プロキシサーバとして悪用する機能を追加したマルウェア(OMG)も登場。
攻撃者の匿名性を高める。
・IoT関連のガイドライン(国内)
①IPA
・IoT 製品・サービス脆弱性対応ガイド
・ネットワークカメラシステムにおける情報セキュリティ対策要件チェックリスト
・IoT 開発におけるセキュリティ設計の手引き
②JNSA
・IoT セキュリティガイド 標準/ガイドラインハンドブック 2017 年度
③JPCERT/CC
・工場における産業用IoT 導入のためのセキュリティ ファーストステップ
~産業用IoTを導入する企業のためのセキュリティガイド~
④CCDS
・IoT 分野共通セキュリティ要件ガイドライン2018 年度版(案)
・製品分野別セキュリティガイドライ 2018年 11月ン_ スマートホーム編_Draft 版
・IoT システム調達のためのセキュリティ要件フレームワーク 概要
⑤JSSEC
・JSSEC IoTセキュリティチェックシート 第二版
スマートフォン
・アプリ誘導
「ウィルス検知」と「今すぐ解決が必要」等のメッセージを表示させ、アプリのインストールを誘導。
・公式マーケットにも不正アプリが配布されている。
情報搾取、広告を執拗に表示、だまして課金等。
ITサプライチェーン
・外部からの攻撃
取引先を踏み台とする攻撃や取引先になりすます。
調達する製品やシステムへ不正プログラムを埋め込む。
・開発/運用時の対策不備。
委託先まで仕様やガイドラインが行き届いていない。
または、意識のずれがある。
・内部不正
開発・保守・運用担当者による不正
ルール・規範を逸脱した取引
→契約やガイドラインを現場担当者が理解していないとだめ。
AI
・AIのリスク
①不適切な利用(犯罪、軍事、プライバシー侵害等)
②AIが事故を引き起こした場合の責任の所在、責任分界点
③AIの判断、操作の説明責任。
④性能・品質の評価手法や品質維持の方法論
⑤セキュリティ
アルゴリズムの脆弱性や学習データ/モデルの真正性確保や秘匿、学習・運用の妥当性。
・国際標準化
Ethically Aligned Design, Version2(EADv2)
原則1 Human Rights(人権)
原則2 Prioritizing Well-being(幸福)
原則3 Accountability(アカウンタビリティ)
原則4 Transparency(透明性)
原則5 A/IS Technology Misuse and Awareness of It(悪用への警戒)
・社会がAIを受容するためのトラスト(信頼)の要件
①社会受容のトラスト
②製品・サービスとしてのトラスト
→学習データの妥当性。
→AI利用者に、求める品質・セキュリティレベルについて合意。
おしまい。