UJP - 文献・統計・参考資料カテゴリのエントリ

I hope this helps.

不正IP報告数

Okan Sensor
 
メイン
ログイン
ブログ カテゴリ一覧

  • カテゴリ 文献・統計・参考資料 の最新配信
  • RSS
  • RDF
  • ATOM

ブログ - 文献・統計・参考資料カテゴリのエントリ

 軽く読んでみた

2022年7月から9月を振り返って
https://www.jpcert.or.jp/newsflash/2022102001.html

 引き続きランサムウェアを用いた攻撃が多く,侵入経路はSSL-VPNやリモートデスクトップが多い模様.
 フィッシング詐欺も相変わらず多いが,Google飜譯の正規URLからリンクなどの手口が新しいそう.うちの迷惑メールの飛び込んでくる壺でも観測隅ですね.
 深刻な脆弱性としては,MovableTypeとTrendMicro Apex Oneだそうです.ミイラ取りがミイラになる的な.


JPCERT/CC 活動四半期レポート
https://www.jpcert.or.jp/pr/2022/PR_Report2022Q2.pdf

JPCERT/CC インシデント報告対応レポート
https://www.jpcert.or.jp/pr/2022/IR_Report2022Q2.pdf


TSUBAMEレポート Overflow(2022年7~9月)
https://blogs.jpcert.or.jp/ja/2022/10/tsubame_overflow_2022-07-09.html

引用:
23/TCPが多くのセンサーでトップとなり、6379/TCPも多くのセンサーでTOP10に入っています。こ

 TELNETの23番とNoSQLデータベース「Redis」の6379番が多いそうです.Redis時代か.

 必要にならないことを祈るけれど必要になった時の為に...

侵入型ランサムウェア攻撃を受けたら読む FAQ
https://www.jpcert.or.jp/magazine/security/ransom-faq.html
 先月のことだけれど,去年に引き続き去年に引き続き参加.オンラインでの参加なので1日目の日中のみ.

サイバー防衛シンポジウム熱海2022
https://www.5th-battlefield.com/purport.html

 陸海空に宇宙,そしてサイバーは第5の戦場と言われていますが,主に防衛省のOBの話で最近のきな臭い出来事やウクライナ情勢に関するものばかりで,サイバーっぽい情報はほとんど無かった.

 ナンシー・ペロシ米下院議長が台湾訪問したときに,台湾を囲むように6箇所艦隊を配置して軍事作戦していたけれど,それによって民間の船も台湾を避けるようになったという話が興味深かった.いわばたった6箇所の区域を押さえるだけで経済制裁状態を作れるということ.
 中国は台湾侵攻の計画は完了しており,タイミングを図っているという見方.中国では習近平の選挙,バイデンも秋に中間選挙があるので何かしら急に動いてもおかしく無いそう.

 ウクライナ侵攻を見ているとハイブリッド戦が失敗すれば高烈度戦争になるとのこと.調べると高烈度とは全世界規模での国家・勢力が本格的に戦争する事のよう.

 最近のハイブリッド戦の傾向は,国民の認識を標的にしているそうです.偽情報を拡散することかな.賢い人が考えた高度なウソは見抜くのが難しいのだろうね.

 「戦場の霧」というナポレオン戦争時代のプロイセン王国のクラウゼヴィッツという軍人によって定義された言葉があって,「指揮官から見た不確定要素」のことらしい.つまりウソの情報を効果的に流せば「戦場の霧」として相手の弱体化を図ることができるということか.真実と虚偽の境界線を曖昧にする.これは普段の生活の中情報から得られるものについても同じだな.

 サイバー戦の話で言えば,やはり法整備.ウクライナではテレグラムでIT ARMYというものを組織して,30万人を集めてDDoS攻撃をしていたけれど,民間,他国の人がそういう「攻撃」に参加したらそれは戦争への参加,軍人と同等として扱うのか,という点.
 ウクライナ侵攻が始まった時に,ウクライナでは民間人が火炎瓶を作ったり支給された銃火器を持って戦うことを求めていたけれど,戦い始めた途端にそれは軍人として扱われるので軽はずみに火炎瓶作って投げたりできないなんて話もあったけど,日本だと?火炎瓶と聞くと大学闘争を思い出すから?!古い時代の熱い人たちの戯れって感じがする.(私だけかな)

 あとはデジタル迷彩というのも面白かった.赤外線を拡散する技術らしい.天下一品のロゴマークを車載AIで「止まれ」標識と間違うという話もあるけれど,戦車とか自動運転技術(つまりドローンだな)で攻撃してきたら,行先を誤魔化すというのが良いのだろうな.
 知り合いが論文書いたというのでメモ.買わなきゃいけないのね.それもちょっとお高い・・・

Vol.105 No.8 (2022/08)
https://www.journal.ieice.org/archive.php?vol=105&num=8&year=2022&lang=J
 Microsoft Exchangeには,不審メールの訓練機能があると聴いたことがあるけれど,日本シーサート協議会からメール訓練の手順書が公開されました.

メール訓練手法検討サブ WG の活動概要
https://www.nca.gr.jp/activity/nca-mail-exercise-swg.html
 72ページ.

 目的の明確化や評価要素について記載があって,あと訓練時に引っかかりそうなプロキシやビーコンについての注意ポイントなどがありますが,実際の具体的なコマンドやツールなどの手順は含まれていません.大企業だと外部ベンダを使うなり戦用チームを作るなりした方が良いのだろうね.

 この言葉が気に入ったのでスクショで.(テキストのコピペができなかった・・・)


 クリックしない!とかじゃなくて「報告させることが重要」ということ.
 日本シーサート協議会なる組織から,FIRSTの製品セキュリティコミュニティによってまとめられた「製品セキュリティインシデント対応チーム(PSIRT)成熟度ドキュメント 運用能力と成熟度レベル」の日本語訳がリリースされていました.

PSIRT Maturity Document 日本語版
https://www.nca.gr.jp/ttc/first_psirt_maturity_document.html

 28ページ程度の読み物です.


追記2022/11/24

 JPCERT/CC WEEKLY REPORT 2022-11-24で紹介されました.

引用:
FIRSTは、製品やサービスを開発し提供する組織によるPSIRTの設置・継続的運
用・能力の向上を支援するためのガイドとして「PSIRT Services Framework」
を作成し公開しています。本フレームワークは、PSIRTの組織モデル、機能、
サービス、成果などを含むPSIRTのコンセプトと全体像を示し、さらに、PSIRT
が果たすべき責任と、PSIRTがその活動に必要な能力を備え、組織内外との連
携によって価値を提供するために必要となる事項について説明しています。

今回、PSIRT Services Framework 1.1 日本語版と PSIRT Maturity Document
1.1 日本語版は、Software ISACと一般社団法人JPCERT コーディネーションセン
ターによって翻訳された後、KONICA MINOLTA PSIRT、Mitsubishi Electric PSIRT、
Panasonic PSIRT によってレビューされ、公開されたものになります。

PSIRT Services Framework と PSIRT Maturity Document
https://www.jpcert.or.jp/research/psirtSF.html

 PSIRT Services Framework Version 1.1は,110ページの大作.

情報セキュリティ白書2022

カテゴリ : 
セキュリティ » 文献・統計・参考資料
ブロガー : 
ujpblog 2022/7/28 12:21
 1年経つのが1年以下に感じる今日この頃.

情報セキュリティ白書2022
https://www.ipa.go.jp/security/publications/hakusyo/2022.html

 買えば2200円(税込)ですがIPAにユーザ登録してダウンロードすれば無料.とはいえ250ページくらいあるのでダウンロードも大変.紙で保管するのはもっと大変だろうなぁ.

NTT Security Japan

カテゴリ : 
セキュリティ » 文献・統計・参考資料
ブロガー : 
ujpblog 2022/7/2 16:52
読み物.

NTT Security Japan
https://insight-jp.nttsecurity.com/

 高度なのでヘタレ園児NEARの私は,参考までにって感じで.
 デジタル庁からガイドラインが出ていました.

政府情報システムにおける脆弱性診断導入ガイドライン 2022(令和 4)年 6 月 30 日 デジタル庁

引用:
1)脆弱性診断サービスの選定
高度化するサイバー攻撃の脅威を未然に防ぐためには、十分な経験と能力を有したセキュリティベンダーの選定を要することから、選定に際しては経済産業省の定義する「情報セキュリティサービスに関する審査登録機関基準7」を満たすことの確認に加えて、脆弱性を検出する能力を測るため、ペネトレーションテストの国際資格の保有状況や CTF(Capture The Flag)等のセキュリティコン
テストにおける上位入賞実績、CVE(Common Vulnerabilities and Exposures)の付与された脆弱性の発見数等を問い合わせること等が有効である。また、診断サービスの調達においては、上記の基準に沿った有識者や有資格者が、診断の実施の中で、どのような役割として、何名、どの期間に関わる予定であるかを確認することが望ましい。
 有名大企業に限るってことですかね.当然そうなるか.
 2022 年 3 月 3 日 (木)に開催されたイベントについて,発表資料が掲示されていました.

フィッシング対策協議会 技術・制度検討 WG 報告会 (オンライン)
https://www.antiphishing.jp/news/event/techwg_openday2021_online.html

 ガイドライン 2022年版 重要 5 項目として次の項目.
 
・利用者に送信するメールには「なりすましメール対 策」を施すこと
・複数要素認証を要求すること
・ドメインは自己ブランドと認識して管理し、利用者に周知すること
・すべてのページにサーバ証明書を導入すること
・フィッシング詐欺対応に必要な組織編制とすること フィッシング詐欺について利用者に注意喚起すること

フィッシングの動向

・2021年は対前年2.3倍の526,504件に増加 この2年間で9倍に増加する深刻な状況(届出件数)

 SMSフィッシングを受け取る人が多くなっていて,主に宅配業者とECサイトとのこと.そして10代,20代の若い男性が引っかかりやすいのだそう.

 そしてCAPY(ログイン時の絵あわせのやつ)の人の発表.

FIDOとは?

引用:
安全性が高く、処理が高速であるオンライン認証技術です。
FIDO Alliance という業界団体により仕様の策定が行われており、 生体認証を安全に使用できるという点で近年注目を浴びています。

U2F
FIDO を用いて二要素認証を実現する仕組みです。 ID、パスワードで認証を行い、それとは別にユーザが保有す る認証器を用いて認証を行います。

UAF
FIDOの認証自体で認証を行う仕組みです。 パスワードの代替として注目を浴びています。

FIDO2 FIDOの新規格
 →専用のソフトウェアに依存せずFIDO認証完結させる
FIDO2でどう変わるか?
→WebAuthn(ウェブオースン) API
 FIDO2をWebブラウザで実装するAPIとして設計されている
 Webブラウザ + FIDO対応の認証器を使用することでFIDO認証が可能
 従来 スマートフォンアプリケーションの開発が必要
→ FIDO2 WebブラウザのAPIをJavaScriptなどから操作する

 パスワードの代替として今後標準になってくる実装ということか.各種ブラウザでも対応しているしYahoo! JapanもFIDO2に準じた指紋認証,顔認証利用のログインに対応してくるそう.

URL配信の課題

 このの報告の中に,こんな結果がありました.

引用:
大半の場合、オンライン上でアクティブな時間は わずか4~8時間程度しかありませんでした。 1時間ごとにリストを更新したとしても、 情報を入手してリストとして提供されるまでに 一般的に3~5日経過しているため、 発表される頃には既に問題のサイトはユーザーから 情報をだまし取った上で消滅している可能性があります。
 そうか.まだテイクダウンされてないサイトを通報した後アクセス不能になっていると思っていたけれど,実はフィッシングサイト側が短時間設置で逃げるパターンで運用しているということなのね.
 なので同じ文面で誘導先URLが違うフィッシングメールが沢山送られてくるのか.



技術的以外の対策
 フィッシングメールに対する技術的なものだけじゃなくて,利用者に対する補償対策.
 フィッシング詐欺にあうことを前提とした事後対策として補償条件はあるにしても騙された利用者が不利益にならないようにしているが,フロントにある企業が積極的対策をしている企業とそうでもない企業では補償に差が出るような仕組みもあったほうがいいねってことか.企業側で推進する動機になるだろうね.
 総務省の改訂版.

中小企業等担当者向けテレワークセキュリティの手引き(チェックリスト)
https://www.soumu.go.jp/main_content/000753141.pdf

 59ページ!
 以前の個人編に引き続き公開.

「情報セキュリティ10大脅威 2022」の組織編含む解説書が公開
https://www.security-next.com/134768
 米国CISA長官の言うセキュリティバイデザインですが,日本ではその1つがこれかな.

オープンソースソフトウェアの利活用及びそのセキュリティ確保に向けた管理手法に関する事例集を拡充しました - 経済産業省
https://www.meti.go.jp/press/2022/05/20220510001/20220510001.html

 最近変なCMで話題?のSCSKの作っているOSS Radar Scopeというのも参考になるかも.

OSS Radar Scope
https://radar.oss.scsk.info/
JPCERT/CC 活動四半期レポート
2022 年 1 月 1 日 ~ 2022 年 3 月 31
https://www.jpcert.or.jp/pr/2022/PR_Report2021Q4.pdf

 redis(6379/TCP)に関するパケット宛の通信を多く観測したそうです.DockerとRedis向け.REST(REdis Serialization Protocol)に応答するハニポでどの様なコマンドを実行しているかも興味深い.Config,Set,Save,infoなど情報取得,設定して保存させるなどの流れってことか.
 Apache Log4jについては興味深い.

引用:
2021 年 12 月 10 日に公表された Apache Log4j の脆弱性(CVE-2021-44228)を悪用する通信を観測しました。同日に概念実証コードがインターネット上に公開され、およそ 2 週間、攻撃パケットの観測件数が急に増えた状態が続いていましたが、その後は急速に減少し 1 月末にはほとんど観測されなくなり
ました。
 大きい問題だたけれど,対策もドタバタしたけれど攻撃しても旨みがないことがわかったってことか?

 脆弱性のあるアプリの開発者が不明,,,となっている一覧が整備されているというのがありました.

連絡不能開発者一覧
https://jvn.jp/reply/index.html

 行旅死亡人みたいな感じか.眺めていると「iFunBox」というのがあった.「iExplorerとiFunBoxでiPhoneからファイルを取り出す」で紹介したやつかなぁ.
V.J.Catkickという人も何かで覚えがある...このサイトのトップ画面で長らく使っていたトガキュー?の関係者の様な気も.
 行旅死亡人みたいでなんかちょっと怖いね.幸せに暮らしていればいいけど.
フィッシングURLやブランド悪用が過去最多 - 報告は8万件超に
https://www.security-next.com/135498

引用:
3月に同協議会へ寄せられたフィッシングの報告は、前月比1.7倍となる8万2380件。前月の4万8611件から3万3769件増加した。これまで最多だった2021年12月の6万3159件を大きく上回る。

1日あたりに換算すると約2657.4件。前月の約1736.1件はもちろん、これまでもっとも多かった12月の約2037.4件の約1.3倍にあたる。
 フィッシングメール大量受信者としては,実感のある数値かな.件数としては多いけれど,誤ってクリックしてしまうような内容のものは減っているかな.そもそも,同じ様なフィッシングメールが何通も来るので,パケットの無駄くらいに感じている人も多かろう.というか電子メールは若い子はスマホで使ってなさそう.
「2021年度 中小企業における情報セキュリティ対策に関する実態調査」報告書について
https://www.ipa.go.jp/security/fy2021/reports/sme/index.html

引用:
 過去3期における「IT投資」の状況について、「投資を行っていない」と回答した企業は30%でした。また、過去3期の「情報セキュリティ対策投資」についても「投資を行っていない」と回答した企業は33.1%でした。「IT投資」については前回調査(47.7%)と比較すると17.7%の改善と考えることができ、ITの導入・活用が中小企業においても一定程度、進んでいる様子がうかがえます。

 中傷は,未来より今日思考というのもあると思うしね.サプライチェーンで大手が支援すれば良いのだろうけれど,そう簡単でもないか.
組織における内部不正防止ガイドライン
https://www.ipa.go.jp/security/fy24/reports/insider/

引用:
 本ガイドラインは、内部不正防止の重要性や対策の体制、関連する法律などの概要を平易な文体で説明しており、「基本方針」「資産管理」「技術的管理」「職場環境」「事後対策」等の10の観点のもと、合計33項目からなる具体的な対策を示しています。
 各対策項目では、「対策の指針」を冒頭に記し、対策しない場合のリスクと、具体的な対策のポイントを整理する構成としています。さらに、内部不正の事例のほか、自組織の内部不正対策の状況を把握するための33項目のチェックシート、対策のヒントとなるQ&A集などを付録として用意しています。

 そういえば事例19「19 大手モバイルキャリア企業に勤務していた男性が、在籍期間中に5Gなどの技術情報を持ち出し、転職先の他のモバイルキャリア企業に漏えいした事例」はどうなったのだろう・・・

 事例9の「大手インターネット証券会社において、システム開発や運用を委託するSCSKの従業員が顧客情報を不正に取得し、約2億円の顧客資産を売却して現金を引き出していた事例」で,ここだけ具体的な会社名が出ているのは何故だろう.
 これもメモ.

「金融分野におけるサイバーセキュリティ強化に向けた取組方針」のアップデートについて(Ver. 3.0)
https://www.fsa.go.jp/news/r3/cyber/torikumi2022.html

 サイバーセキュリティ演習(Delta Wall)が気になるな.
 取り急ぎ,メモ.

「DX時代における企業のプライバシーガバナンスガイドブックver1.2」を策定しました
~トヨタ自動車・ヤフー・セーフィー・NEC・資生堂・JCBなど、プライバシーガバナンス実践企業の具体例を追加!~
https://www.meti.go.jp/press/2021/02/20220218001/20220218001.html
 「29SEC~肉節句~ 情報セキュリティの火を絶やさないイベント」というオンラインイベントに参加(聴講)したのですが,これが気になりました.

データ適正消去 第三者証明サービス
https://adec-cert.jp

 神奈川県のリース切れHDDがオークションで転売されていた件です.最近でも類似の事件がありました.

私物ハードディスク売却後に起きた社内情報の流出についてまとめてみた
https://piyolog.hatenadiary.jp/entry/2022/01/17/003257

 神奈川県の分はヤフオク,今回は若い人だからメルカリなのかな...中古のHDDを買う,ということをしたいとは思わないのですが,Time Machineでバックアップ利用していたことが明白なら,より使いたくないかなぁ...酷使されてそうだし.

 そこでデータ消去技術に関するガイドブック(PDF)を入手できます.無料で登録不要.

データ消去技術ガイドブック【別冊】 暗号化消去技術編をリリース
https://adec-cert.jp/news/detail.php?no=1640225559

データ消去技術 ガイドブック
https://adec-cert.jp/guidebook/index.html

 物理的にこわす,ことで穴を開けるといのがありますが,磁気なので復活させることは可能だそうです.
 水晶は,データは暗号化して置いて,廃棄する場合にはキーを捨てるという行為だそうです.WindowsのBitLockerやmacOSのFileVaultが破られたと言う話は無いしね.
 NISC(内閣サイバーセキュリティセンター)が総括を出していました.

東京大会におけるサイバーセキュリティ対策と今後の取組方針
https://www.nisc.go.jp/active/2020/pdf/Tokyo2020houkoku.pdf

 見える人たちと,見えない人たちとたくさんの組織の連携の結果.何もなければ報道もされないので存在すら怪しい.それが縁の下の力持ち.
 なので,こう言う場合は「4億5千回の攻撃」とかいうキャッチーな数値を出せる様にしておくのが良いのだろうなぁ.そんなことを思った.(数字は裏切らない)

 それにしても情報共有プラットフォーム(JISP)についてヨイショされているけれど,専用SNSとはいえそんなに活発だったのだろうか? こういうのはほとんどはROM(Read Only Member)だからね.

 今後,大阪のEXPOとか,札幌のオリンピック?とかでこのスキームが使われていくんだろうなぁ.
 Podcastを聴いていたら紹介があったので入手しました.

DBIR 2021年データ漏洩/侵害調査報告書
https://www.verizon.com/business/ja-jp/resources/reports/dbir/
 JPCERT/CCが以下の文書を公開.

侵入型ランサムウェア攻撃を受けたら読むFAQ
https://www.jpcert.or.jp/magazine/security/ransom-faq.html

 PDFタイプじゃなくて臨機応変に随時改変するためにWebページのままだそうです.
 陸・海・空・宇宙,そこに第5の戦場と位置付けられるサイバー空間にて防衛・国家安全保障の点から最新情報の共有を目的として開催された「サイバー防衛シンポジウム熱海2021」に参加しました.リモートなので1000円.

サイバー防衛シンポジウム熱海2021
https://www.5th-battlefield.com/index.html

 基本的には防衛省の人やOBが参加しています.
 一番興味深かったのは元防衛庁情報本部長の太田文雄氏の基調講演『敵の可能行動を考える』ですかね.

 これまでのサイバー攻撃を振り返っているのだけれど,新聞の切り抜きの数が半端ない.大手新聞各社も取り上げる案件に違いがあるのだと思うけれど,全網羅かな.ピヨさんも新聞デーがあるね.

 状況を平時,グレイゾーン,有事に分けるのだそうだけれど,普段の活動中,サイバー攻撃に際して「平時」というのは存在しないと思うから,グレイゾーン,有事の前提で活動するんだという話だった.
 Defend Forward.誰が何をしているか常に把握する.セキュリティアナリストレポートなどでよくAPT攻撃グループの報告があるけれど,これらがどの国の支援を受けているか,活発かどうかを注視しておく事が重要な模様.国レベルだと攻撃者も多いだろうからそういう情報網も大事だね.
 APTグループも国会支援型と,国家放任型の2つに分かれるらしい.ロシアっぽいけどロシア政府は関知しないみたいな感じか.
 
 心理戦,偽情報をだして市民・政治家を攻撃みたいなのもある,フェイク動画などで世論を動かすなどもあるけれど,嘘かほんとかを見極める力が必要.これはSNSで拡散されているなんでもない情報も同じ.

先週出版.中国安全保障レポート
http://www.nids.mod.go.jp/publication/chinareport/index.html

 また現役の自衛官の人が初めて公演したそうなのだけれど,資材調達担当をしていて,「買ったものが正しいものか」という視点が重要だと気づいたところから今の営みが始まったという点が面白い.たしかにアマゾンで買い物して偽物に出会ったという話はよく聞くし.
 防衛省の予算で言うとこれまでは人材育成に力を入れていた分が,来年度はスキルマップを整備しようと言う事だそうです.「サイバーセキュリティ」といっても範囲は広いからね.

 サイバーディフェンス研究所 CHO/最高ハッキング責任者の林真吾氏の妄想ハッキングも面白かった.攻撃者になったつもりで,目的を達成する演習をやり続ける.攻撃の対象を定め,どこから攻撃をするのが良いかを考えて行く仮説と検証という感じかな.
 実際にDoSに適したインフラを海外ホスティング会社に定め,スキャンをしたらその会社に何度か注意を受けたとかゆるい格安ホスティングは踏み台に使われやすいんだろうな.


 隣国の整備状況を把握するのも重要.こういうメディアも使ったりするそうだ.

https://jamestown.org/
The Jamestown Foundation

引用:
 ジェームスタウン財団は、ワシントンD.C.に拠点を置く防衛政策シンクタンクです[2]。 1984年にソ連からの亡命者を支援するために設立され、現在では、米国にとって現在の戦略的重要性を持つ出来事や傾向について、政策立案者に情報を提供し、教育することを目的としています。中国、ロシア、ユーラシア、世界のテロリズムなどをテーマにした出版物を発行しています。

 ジェームスタウンというのはアメリカの最初の植民地からとってあるのかな? CHINA BRIEF,EURASIA DAILY MONITOR,TERRORISM MINITORなどがリストされているけれど,中国が一番上にあるんだな.
 世界の動きは,日本のテレビだと得る事が出来ないからなー.

 あと「超限戦」という中国の軍事トップの人が書いた本がすごいらしい.1999年に戦略研究として公開されてその筋だと必読書なのだそうで.

引用:
【目次】
第1部 新戦争論
第一章 いつも先行するのは兵器革命
第二章 戦争の顔がぼやけてしまった
第三章 教典に背く教典
第四章 アメリカ人は象のどこを触ったのか

第2部 新戦法論
第五章 戦争ギャンブルの新たな見方
第六章 勝利の方法を見出す――側面から剣を差す
第七章 すべてはただ一つに帰する――超限の組み合わせ
第八章 必要な原則
 あとは日本の最初のサイバー攻撃ってなんだろうという話がありました.各省庁のホームページが改竄された事件があったけれど,あれは犯人が捕まってないが,それかな?というらしい.

中央官庁Webページ集中改ざん事件(2000年)
http://www.kogures.com/hitoshi/history/virus-2000-web-kaizan/index.html

 その頃の情報はネットにあってもリンク切れや深掘り報道もなかったりしているから,過去事案の情報保全というのも大事だという話も出た.ナショナルサイバーセキュリティの時代.

 あとは実務的なところで言うと,ランサムウェア対策.3か所バックアップと1つは本体からの存在の隠蔽.そして大半のデータが残るようにするという考え方というのが参考になった.

キーワード
ゴーストネット
スタックスネット
C4ISR
対心理情報課程
コモンクライテリア
Red Star OS
サイバーレンジ
 先日開催されたセミナーの資料が配布されています.

フィッシング対策セミナー 2021(オンライン)開催のご案内
https://www.antiphishing.jp/news/event/antiphishing_seminar2021.html

 忘れてて,講演 4の「金融犯罪の不正検知へのAI活用」から聴講しました.ながらだったのであまり頭に入らなかったけれど,講演 5「最近のフィッシング報告の動向」にあった通報サイトは活用させてもらっています.無記名で応募できる気軽さと,貢献?がわからないね...

報告 - フィッシング対策協議会
https://www.antiphishing.jp/registration.html
 中小企業が行っているセキュリティ対策も大手と同じで経営とのバランスで積み上げるだけだから金額だけ言っても仕方ない気がするね.

中小企業の個人情報安全管理コスト、年10万未満が6割強
https://www.security-next.com/131154

中小規模事業者の安全管理措置に関する実態調査(報告書)(令和3年3月
https://www.ppc.go.jp/files/pdf/R2_chuushou_anzenkanri_report.pdf

 水道代,電気代,ガス代,セキュリティ対策代としてインフラとして捉えるかどうか.

個人情報保護委員会 広報・お知らせ 調査等
https://www.ppc.go.jp/news/surveillance/

情報セキュリティ白書2021

カテゴリ : 
セキュリティ » 文献・統計・参考資料
ブロガー : 
ujpblog 2021/9/16 19:33
 1年はあっという間・・・

情報セキュリティ白書2021
https://www.ipa.go.jp/security/publications/hakusyo/2021.html

引用:
最新刊の「情報セキュリティ白書2021」のスペシャルトピックは以下の通りです。

・米国の政策(トランプ政権下のセキュリティ施策、バイデン政権の政策、SolarWinds、ColonialPipeline事案など)
・テレワークの情報セキュリティ(インシデント事例、テレワーク環境を取り巻く脅威、課題、対策など)
・NISTのセキュリティ関連活動(組織の沿革と体制、SP800,1800シリーズなど)

バグの責任

カテゴリ : 
セキュリティ » 文献・統計・参考資料
ブロガー : 
ujpblog 2021/9/15 1:16
 検品OKして納品したら,責任は納品を受けた側じゃ無いの?

従業員が作ったセキュリティホールの責任を会社が取るなんてナンセンスです
https://atmarkit.itmedia.co.jp/ait/articles/2106/21/news016.html

引用:
 自分が作るものには自分で責任を負わなければならず、特にセキュリティについては、これから作ろうとするシステムの脆弱性について内外から情報を集め、検討し、必要に応じて自発的に顧客に提案する。誰に言われなくてもそういうことをしなければならない。自分の身は自分で守るという覚悟を持ってシステム作りにのぞまなければならない時代になったのかもしれない。
 下流工程に責任ぶん投げ判決だったってことか.これは契約書を良く見て判断していかなければいけないね.
届出の社会的意味はあるが実害の方が多い様な.


コンピュータウイルス・不正アクセスに関する届出について
https://www.ipa.go.jp/security/outline/todokede-j.html
あとで読もう.

インシデント損害額調査レポート 2021年版
https://www.jnsa.org/result/incidentdamage/2021.html
 盛れてない方がレア.盛れて良いようにするのが対策.定期的に引っ越しするとか姓名を変えるとか.

個人情報の漏洩や紛失などの報告、2020年度は4141件 - 個情委
https://www.security-next.com/127071

引用:
2020年度に個人情報保護委員会が報告を受けた個人データの漏洩、毀損、滅失に関する事故は4141件だった。マイナンバー関連の漏洩報告も207件あり、「重大事態」にあたるケースも8件あった。
 興味深いリンク集.

マルウェア解析者になるための勉強方法(work-in-progress)
https://github.com/pinksawtooth/how_to_become_a_malware_analyst
 セキュリティ事故も多発しているので,セキュリティエンジニアは引く手数多...年齢が若ければね.
 「JNSA 情報セキュリティ教育事業者連絡会」の発表資料.

ISEPA成果物のご紹介
https://www.jnsa.org/isepa/outputs/

引用:
JTAG財団で定めるサンプルプロファイルを元にキャリアの考察を行った。「キャリアと職種間の相関」や「次のキャリアにつなげるために必要なスキル」には様々なモデルがあると考えている。

 そして.

引用:
「ハイパフォーマーは環境変化や新たな機会をポジティブ に捉える(楽観性)傾向が高い」など興味深い傾向がみられた。

 人生,楽観的なので向いているのかなぁ.

 興味深いのは,この分類.

  • IT専門職(セキュリティ)
    セキュリティを専門とするIT業務に従事する人材
  • IT専門職(非セキュリティ)
    セキュリティ以外の分野でIT業務に従事するIT人材
  • プラス・セキュリティ
    IT以外の分野でセキュリティに関連する業務に従事する人材

     プラス・セキュリティって,部署内,フロアでの消防担当みたいな位置付けで考えられがちだけれど,もうちょっと責任や権限をあたえてモチベーション上げられるようにするのが良いのだろうな.
  •  4月のことだけれど,こういう資料が.

    「サイバーセキュリティ体制構築・人材確保の手引き」(第1.1版)を取りまとめました
    https://www.meti.go.jp/press/2021/04/20210426002/20210426002.html

    引用:
    本手引きは、サイバーセキュリティ経営ガイドラインの10の指示のうち、指示2(サイバーセキュリティリスク管理体制の構築)及び指示3(サイバーセキュリティ対策のための資源(予算、人材等)確保)について具体的な検討を行う際に活用していただくことを目的として作成しています。
     総務省からのご案内.

    テレワークにおけるセキュリティ確保
    https://www.soumu.go.jp/main_sosiki/cybersecurity/telework/

    引用:
    テレワークセキュリティガイドライン(第5版)を2021年5月31日に公表しました。
     中小企業等担当者向けテレワークセキュリティの手引き(チェックリスト)(第2版)を公表しました。
     諸設定資料が次々とリリースされる模様.

    引用:
    設定解説資料は、手引き(チェックリスト)の内容を具体的な環境で実施する際の参考資料として、テレワークで多く利用される製品を対象として補足的に作成している資料です。
    ○設定解説資料(CiscoWebexMeetings)PDF
    ○設定解説資料(Microsoft Teams)PDF
    ○設定解説資料(Zoom)PDF
    ○設定解説資料(Windows)【近日掲載予定】
    ○設定解説資料(Mac)【近日掲載予定】
    ○設定解説資料(iOS)【近日掲載予定】
    ○設定解説資料(Android)【近日掲載予定】
    ○設定解説資料(LanScope An)【近日掲載予定】
    ○設定解説資料(Exchange Online)【近日掲載予定】
    ○設定解説資料(Gmail)【近日掲載予定】
    ○設定解説資料(Teams_chat)【近日掲載予定】
    ○設定解説資料(LINE)【近日掲載予定】
    ○設定解説資料(OneDrive)【近日掲載予定】
    ○設定解説資料(Googleドライブ)【近日掲載予定】
    ○設定解説資料(Dropbox)【近日掲載予定】
    ○設定解説資料(YAMAHA VPNルータ)【近日掲載予定】
    ○設定解説資料(CiscoASA)【近日掲載予定】
    ○設定解説資料(Windowsリモートデスクトップ接続)【近日掲載予定】
    ○設定解説資料(Chromeリモートデスクトップ)【近日掲載予定】
    ○設定解説資料(Microsoft Defender)【近日掲載予定】
    ○設定解説資料(ウイルスバスター ビジネスセキュリティサービス)【近日掲載予定】
     YAMAHAのルータとか,気になる点があるな.
     こちらは4月20日に発表済み.

    インターネット定点観測レポート(2021年 1~3月)
    https://www.jpcert.or.jp/tsubame/report/report202101-03.html

  • やはりこちらでもNTPの123ポートがよく観測されている模様.
  • 送信元が日本となっているPort37215が一時的に増加.HUAMEIのホームゲートウェイの脆弱性が狙われている模様.
  • 「ユーザーに連絡を取りロジテック社製のルーターを利用していることを確認しました。」という情報も.

     これ関係か.

    「Mirai」国内感染ホスト、約半数がロジテック製ルータ
    https://www.security-next.com/126215
  •  定期的なやつ.

    NICTER観測統計 - 2021年1月~3月
    https://blog.nicter.jp/2021/05/nicter_statistics_2021_1q/

  • 総観測パケット数同四半期と同程度
  • イランからの調査スキャンの増加
  • 7001/TCP を含んだポートセットでスキャンするホスト数の増加
  • Sysrv-hello Botnet,仮想通貨Monero のマイニングソフトウェアであるXMRig
  • 12月中旬から2月上旬頃にNTP リフレクション攻撃の増加傾向が観測

    酷い行動は観測されてないようだ.
  • 「政府機関等における情報システム運用継続計画ガイドライン」の改定について
    https://www.nisc.go.jp/active/general/itbcp-guideline.html

    政府機関等における 情報システム運用継続計画 ガイドライン ~(第 3 版)~
    https://www.nisc.go.jp/active/general/pdf/itbcp1-1_3.pdf
     38ページ.また今度読もう.(ブックマークして安心して読み返さない可能性が高い...)

     いま,なんだろうこの・・・コロナ禍によってそれ対応の緊急システム構築とバグ露呈が非難されがちなこの世の中,どこまでどうなんだ,という話もあるよなぁ.
     「Cybersecurity for All」 〜誰も取り残さないサイバーセキュリティ〜ということで.

    次期サイバーセキュリティ戦略の骨子について
    https://www.nisc.go.jp/conference/cs/dai28/pdf/28shiryou01.pdf
     なんかキラキラして読みづらい...後で見てみよう.
     「現行公開版SecBoK2019は、セキュリティ関連業務に従事する人材に求められる1000 を超える知識項目の集合」から「ディクショナリー的な位置 付け」として多くの方に利用いただけることが目的であることを再確認し、「SecBoK2021」 として最新の改訂版を公開」だそうです.

    セキュリティ知識分野(SecBoK)人材スキルマップ2021年版
    https://www.jnsa.org/result/skillmap/

     自組織で何が足りて何が足りないかを把握するのに適していると言う感じかな.
     
     NIST SP800-181rev.1(NICE Framework)というのがあって,「織のサイバーセキュリティ業務を記述するための『共通 言語』として、業務と学習者に求められるものを定義」だそうです.

     ますます,セキュリティ人材は大切ですね(若い人優先だろうけど)

    IT-BCPガイドライン

    カテゴリ : 
    セキュリティ » 文献・統計・参考資料
    ブロガー : 
    ujpblog 2021/5/17 10:46
     クラウド依存は,従来までのメインフレームによるベンダーロックと同等.とおもうのは私だけかなぁ.

    政府、約8年ぶりにIT-BCPガイドラインを改訂 - 新型コロナ踏まえた内容も
    https://www.security-next.com/125833

    引用:
    内閣サイバーセキュリティセンター(NISC)は、「政府機関等における情報システム運用継続計画ガイドライン」を約8年ぶりに改定した。

    同ガイドラインは、政府機関の担当者が「情報システムにおける運用継続計画(IT-BCP)」の作成時における検討手順や留意点をまとめた手引書。


    政府機関等における情報システム運用継続計画ガイドライン」の改定について
    https://www.nisc.go.jp/active/general/itbcp-guideline.html
    「サイバーセキュリティ体制構築・人材確保の手引き」(第1.1版)を取りまとめました
    https://www.meti.go.jp/press/2021/04/20210426002/20210426002.html

    引用:
    今般、この第1版を基に、読者の利便性の観点から内容の拡充及び見直しを行い、第1.1版を取りまとめました。また、経営層を含む幅広い方に手引きの内容を御理解いただくため、手引きの概要も新たに作成しました。
     字散財確保は急務.希望する側はフルスタックスペシャリスト1名に高収入を与えてすませようという姿が多いね.
     年度末に発表されていました.

    「企業ウェブサイトのための脆弱性対応ガイド」改訂版や研究会報告書などを公開
    https://www.ipa.go.jp/security/fy2020/reports/vuln_handling/index.html

     25ページのパワポ資料.経営層向けに噛み砕いて書いてあるけれど,現時点でこの資料の内容に無知な人は,ずっと必要ない人なのかな.
     IPAが次のようなドキュメントを配布.

    情報セキュリティ10 大脅威 2021
    ~よもや自組織が被害に!呼吸を合わせて全力防御!~
    https://www.ipa.go.jp/files/000088835.pdf

     呼吸を合わせるのは,鬼滅の刃の影響だが,そういえば下火になったかな.

     「セキュリティ」ってハッカーがどうだとか言うことばかり考えるけれど,「ネット上の誹謗・中傷・デマ」の部分も多いね.芸能人で,これが原因で命を落としたとされている人も多いし報道されない一般人も数知れずだろうな.

     組織でいうと,「7位 予期せぬ IT 基盤の障害に伴う業務停止」というものが.最近でもみずほ銀行,去年の一番大きかったのは東証,AWS,Azureとかのクラウドは逆に日常的に停止するから,気にしないが,一昨日も「WebViewでAndroidが全面的にアウト」というわけのわからないものまであるから,これはもう対策しようが無い.

    追記2021/04/27
     WebViewの大規模障害について原因と対策がでてた.

    Google、3月22日の大規模Androidアプリ障害の原因と対策を発表
    https://www.itmedia.co.jp/news/articles/2104/21/news083.html
    コロナ禍の法人を脅かす境界線内外の攻撃:2020年1年間の脅威動向を分析
    https://blog.trendmicro.co.jp/archives/27470

    引用:
    旧来の不特定多数に対するばらまき型のランサムウェア攻撃が停滞する一方、法人組織を狙い組織ネットワークへの侵入を前提とした新たなランサムウェア攻撃は全世界に大きな影響を与えました。海外では特に、医療関係、政府関係、製造業など、パンデミックとの戦いの最前線にある基幹産業の多くが標的となりました。
     IT化が遅れている政府機関だと,外部からの脅威も少ないだろうな.
     1週間前に終わったけれど,「サイバーセキュリティ月間」に関して,Googleが次のような文書を公開.

    安心、安全なインターネット利用へ ー 中高生のインターネット利用白書 公開 ー
    https://japan.googleblog.com/2021/02/safer-internet-day-2021.html

    引用:
    Google では、中高生 15, 557 人(中学生 5,835 人/ 高校生 9,722 人)と、中高生の教員 119 名を対象にインターネット利用について調査し、この結果を「中高生インターネット利用白書 2021 」として公開します。
     PDFで入手できます.

    Process Herpaderping

    カテゴリ : 
    セキュリティ » 文献・統計・参考資料
    ブロガー : 
    ujpblog 2021/3/11 0:39
    プロセス情報をデタラメにする攻撃「Process Herpaderping」の内部構造を紐解く
    https://www.mbsd.jp/research/20210219/process-herpaderping/

    引用:
    早速ですが、まずは以下の図1をご覧ください。
    真ん中にメッセージボックスが表示されていますが、このメッセージボックスを表示するプロセスがどこから起動しているのか、つまり、実体EXEファイルの場所がこの図からわかるでしょうか?

    〜略〜

    今回解説する手口を悪用すれば、この図が示したとおり、プロセスから得られる情報はもはや無意味となり、何が真実かを判断することはできなくなってしまいます。
     分析する技能は難しいけれど,もう難しすぎるから全部サラにして安全ポイントから復旧したほうがよさそうだな...

    NISTとは

    カテゴリ : 
    セキュリティ » 文献・統計・参考資料
    ブロガー : 
    ujpblog 2021/3/4 11:08
     要件整理の際に使えそう.


    日本企業の関心が高まる「NIST」とは? ~サプライチェーンの参加要件に~
    https://www.edr.jp/blog/what-is-nist.html

    引用:
    各国で多くの企業が対応を求められている規約は「NIST SP800-171」。仕様書のタイトルは、「連邦政府外のシステムと組織における管理された非格付け情報の保護」、IPA(情報処理推進機構)が翻訳版を公開しています。

    〜略〜

    米国の政府機関が調達する製品や技術を扱う企業に向けたセキュリティ基準で、内容を端的に表すと、“調達活動における製造から供給に至るまでのサプライチェーンにおいて、一貫したセキュリティレベルを担保せよ”というものです。

    〜略〜

    技術要件(77項目)

    1.アクセス制御
    4.構成管理
    5.識別と認証
    7.メンテナンス
    10.物理的保護
    13.システムと通信の保護
    14.システムと情報の完全性

    非技術要件(33項目)
    2.意識向上と訓練
    3.監査と責任追跡性(説明責任)
    6.インシデント対応
    8.メディア保護
    9.要員のセキュリティ
    11.リスクアセスメント
    12.セキュリティアセスメント
     東京商工リサーチによる報告.

    「上場企業の個人情報漏えい・紛失事故」調査(2020年)
    https://www.tsr-net.co.jp/news/analysis/20210115_01.html


    引用:
    2020年に上場企業とその子会社で、個人情報の漏えい・紛失事故を公表したのは88社、事故件数は103件、漏えいした個人情報は2,515万47人分に達した。
     単純計算で,5人に1人は漏洩しているわけだから,逆にいうと漏洩するという前提で生きていかねばなるまい.

    NICTER観測レポート2020

    カテゴリ : 
    セキュリティ » 文献・統計・参考資料
    ブロガー : 
    ujpblog 2021/3/1 10:37
    https://www.nict.go.jp/press/2021/02/16-1.html

    あいかわらずTCP 23番への通信が多い.
    Mirai観戦ホストの増大
    複数の防犯カメラレコーダの脆弱異性を悪用された観戦活動が

     家族やペット,駐車場,店舗などで安い監視カメラを使うのは考えものかもしれないな.せめてアップデータが手に入るメーカのものを選んでいないと.カメラの映像が乗っ取られるとか以前に,攻撃の踏み台になっているわけなので.

     ADB(Android Debug Bridge)の使う5555/TCPを狙った攻撃が増大.裏技的についつい開発者モードをオンにしがちだけれど,これは使わないときはオフにすべきだろうね.でも戻すことは忘れがちだとおもう.

    JVN iPediaの登録状況

    カテゴリ : 
    セキュリティ » 文献・統計・参考資料
    ブロガー : 
    ujpblog 2021/2/3 23:00
      いま,もっとも注目すべき脆弱性はこれだな.

    引用:
    「Zerologon」の脆弱性(CVE-2020-1472)に対する修正プログラムは2020年8月にリリースされましたが、「Netlogon Remote Protocol」がWindows以外の製品にも実装されていることから、Microsoft社はそれらの製品との互換性を考慮し、本脆弱性への対処を2段階に分けて実施すると発表(*6)しました。ソフトウェア製品の利用者およびシステム管理者は、Microsoft社が案内している専用のガイダンスページを参照の上、自組織で必要となる作業を把握し、2段階目のリリース(2021年2月9日公開予定)時には早急に対応できるよう準備を行ってください。


    脆弱性対策情報データベースJVN iPediaの登録状況 [2020年第4四半期(10月~12月)]
    https://www.ipa.go.jp/security/vuln/report/JVNiPedia2020q4.html

    広告スペース
    Google