トリコロールな猫/セキュリティ

思いついたことをぼちぼち書いてます。

2016年9月のセキュリティ関連記事トップ20

月ごとにセキュリティ関連記事のはてブ数とFacebookのいいね!数をカウントし、トップ20を探る試み。英語と日本語に分けています。

security.nekotricolor.com

日本語

順位 タイトル はてぶ数 いいね数
1 無料Wi-Fi 一度登録すれば全国的に利用可能へ | NHKニュース 540 4703 5243
2 『Androidアプリのセキュア設計・セキュアコーディングガイド』【2016年9月1日版】を公開しました。 | JSSEC 21 2940 2961
3 不正アクセスによる個人情報流出に関するお詫びと再発防止策のご報告(第2報)|印刷通販のグラフィック 468 2135 2603
4 記者の眼 - 「シン・ゴジラ」にみる、ニッポンのITインフラの虚構と現実:ITpro 508 1891 2399
5 MySQLに重大な脆弱性見つかる、パッチ存在せずデフォルトで影響 - ITmedia ニュース 401 1621 2022
6 ING銀行の基幹データセンター、消防訓練で消火ガス噴射の衝撃音が大量のハードディスクとサーバを破壊。ATMや決済サービスが停止に - Publickey 595 1386 1981
7 日本国内で、ガス消火設備の放射音がデータセンターのハードディスクを破壊する可能性についてメーカーが注意喚起済み。実験でも回復不能になる事象を確認 - Publickey 412 1145 1557
8 国産クラウドがグローバル展開できないたった一つの理由|青野慶久|note 350 1186 1536
9 【資料公開】カイゼンの基本 1364 166 1530
10 IoT機器を踏み台にした史上最大規模のDDoS攻撃が続々発生 - Computerworldニュース:Computerworld 127 1258 1385
11 政府“異例”の「Pokemon GOチラシ」、実は「1日で作った」 電光石火を支えた秘策は (1/3) - ITmedia ニュース 315 980 1295
12 「iOSを至急更新して」 IPAが緊急で呼び掛け 60 1217 1277
13 マイクロソフトだってウイルスに感染します – 日本のセキュリティチーム 363 825 1188
14 危険なUSBメモリが自宅のポストに入れられていることが発覚 - GIGAZINE 47 1128 1175
15 「郵便受けにUSBメモリ」がマルウェアの新たな感染経路に (ITmedia ニュース) - Yahoo!ニュース 16 1097 1113
16 サイバー攻撃対策の専門家養成機関 国が設立へ | NHKニュース 53 1017 1070
17 LINE、外部との通知連携サービス「LINE Notify」発表 GitHub、IFTTT、Mackerelと連携 - ITmedia ニュース 86 965 1051
18 【レビュー】Webブラウザーの動作を妨げる迷惑ソフトを一掃してくれるGoogle製のクリーナーツール - 窓の杜 596 412 1008
19 「郵便受けにUSBメモリ」がマルウェアの新たな感染経路に (1/2) - ITmedia ニュース 227 766 993
20 毎秒1テラビットという史上空前のDDoS攻撃が発生、攻撃元はハッキングされた14万5000台ものウェブカメラ - GIGAZINE 97 870 967

2016年7月のセキュリティ関連記事トップ20

月ごとにセキュリティ関連記事のはてブ数とFacebookのいいね!数をカウントし、トップ20を探る試み。英語と日本語に分けています。

security.nekotricolor.com

日本語

順位 タイトル はてぶ数 いいね数
1 <ポケモンGO>政府が注意喚起 「みんなへおねがい♪」 (毎日新聞) - Yahoo!ニュース 119 6019 6138
2 ポケモンGOついに日本で開始!登録時の注意点はアカウント・ニックネーム・課金(三上洋) - 個人 - Yahoo!ニュース 36 5810 5846
3 「犯罪ほのめかす人にはGPSを」元副議長が持論展開(テレビ朝日系(ANN)) - Yahoo!ニュース 376 3343 3719
4 総務省|非常勤職員採用情報 情報流通行政局(情報流通振興課情報セキュリティ対策室) 597 2076 2673
5 お客様へ重要なお知らせ|印刷通販のグラフィック|オリジナルネットプリント作成の決定版! 466 2125 2591
6 「最大4000万人分のiCloudパスワードが漏れた可能性があるので今すぐパスワード変更すべき」と有名アンチウイルスソフトメーカーのカスペルスキーが警告 - GIGAZINE 222 2332 2554
7 20年以上の時を超えてセガサターンをクラックした猛者が登場 - GIGAZINE 374 1840 2214
8 自分のメールアドレスが流出していないか確かめる方法 [ウィルス対策・セキュリティソフト] All About 26 1964 1990
9 NISC@みんなのサイバー天気予報さんのツイート: "ni( ^s^)c < 「#ポケモンGO」のリリースに先立ちまして、内閣サイバーセキュリティセンターより「おねがい」をお送りします。 みんながニコニ 46 1784 1830
10 ASCII.jp:緊急!今すぐお使いのAppleデバイスをアップデートしてください 15 1747 1762
11 SMSを使った二要素認証を非推奨〜禁止へ、米国立技術規格研究所NISTの新ガイダンス案 | TechCrunch Japan 260 1117 1377
12 アンチウイルスソフト「Avast!」がライバルの「AVG」を1300億円で買収へ - GIGAZINE 286 1045 1331
13 「ポケモンGOは日米合作の中国侵略ソフトだ」 | ロイター | 東洋経済オンライン | 経済ニュースの新基準 40 1284 1324
14 企業のインシデント対応訓練を行うボードゲーム形式の教材を無償提供 | トレンドマイクロ 56 1181 1237
15 エンジニアなら知っておきたい、絵で見てわかるセキュア通信の基本 - Qiita 960 194 1154
16 HTTPSにまつわる怪しい伝説を検証する - Google I/O 2016のセッションから - Qiita 791 307 1098
17 Symantecのアンチウィルスに「最悪」な脆弱性をGoogleが発見。いますぐアップデート忘れずに : ギズモード・ジャパン 35 1020 1055
18 半径300メートルのIT:マイナンバーカード交付、お役所の残念すぎる運用実態 (1/2) - ITmedia エンタープライズ 64 822 886
19 本の虫: ダイヤルQ2風の電話番号でInstagramやGoogleやMicrosoftから金をむしりとれる脆弱性 735 128 863
20 Mac用のセキュリティソフトは一体どれが最も優れているのか? - GIGAZINE 80 764 844

2016年8月のセキュリティ関連記事トップ20

月ごとにセキュリティ関連記事のはてブ数とFacebookのいいね!数をカウントし、トップ20を探る試み。英語と日本語に分けています。

security.nekotricolor.com

日本語

順位 タイトル はてブ数 FBいいね!数 合計
1 スノーデンの警告「僕は日本のみなさんを本気で心配しています」(小笠原 みどり) | 現代ビジネス | 講談社(1/5) 182 15581 15763
2 「ln.is」で始まるリンクにご用心 2013年のスパムが「語彙力テスト」きっかけで再び拡散中 - ねとらぼ 181 5570 5751
3 まさにプロの犯行!? Twitterの鍵アカを自在に開けさせる達人女子にその手口を聞いてきた - トゥギャッチ 993 763 1756
4 リンクを踏むだけでiPhoneの全情報を奪われるゼロデイ攻撃が発覚、「iOS 9.3.5」適用で対策可能 - GIGAZINE 58 1685 1743
5 「最近の偽装メールはここまでやらないと確認できないのか?」・・・という話 - Togetterまとめ 412 1186 1598
6 Windows10 Anniversary updateで知らぬ間にSSHdが起動している : やすひでぶろぐ 489 1084 1573
7 日本型セキュリティの現実と理想:第28回 アムロにガンダムを持ち出された地球連邦みたいにならないための機密情報管理術(前編) (1/3) - ITmedia エンタープライズ 39 1455 1494
8 サイバーセキュリティの「守護神」育成へ 若き精鋭の熱い夏 - Yahoo!ニュース 74 1418 1492
9 実は危ない、パスワードの定期変更  :日本経済新聞 407 1054 1461
10 「iOSを至急更新して」 IPAが緊急で呼び掛け - ITmedia エンタープライズ 60 1215 1275
11 世界で最も危険なWiFiスポットはリオ五輪 「ハッカーの祭典」状態に (Forbes JAPAN) - Yahoo!ニュース 27 1239 1266
12 中国最大級の認証局「WoSign」がニセの証明書を発行していたことが判明 - GIGAZINE 311 847 1158
13 日本人はネットセキュリティ意識が低すぎる | インターネット | 東洋経済オンライン | 経済ニュースの新基準 35 1082 1117
14 TLS徹底演習 // Speaker Deck 675 297 972
15 部屋の温度を極寒に固定して身代金を要求するIoT機器のランサムウェアが初登場 - GIGAZINE 61 906 967
16 2016年現在、WebSocketはおすすめできない - Qiita 798 141 939
17 国民ほぼ全員分の個人情報が手違いで中国へ送られるハプニングが発生 - GIGAZINE 95 821 916
18 「Chromeユーザーの皆様、」のポップアップ表示は“アンケート詐欺”、繰り返される手口にトレンドマイクロが注意呼び掛け -INTERNET Watch 43 872 915
19 9億台以上のAndroid端末にデバイスを乗っ取られる脆弱性があることが判明、脆弱性の有無の調べ方はコレ - GIGAZINE 45 864 909
20 感染すればネットワークから隔離されたPCからでもデータを盗み出せる恐るべきマルウェア「USBee」 - GIGAZINE 55 834 889

はてブ数といいね数から月ごとのセキュリティ関連の人気記事を探る

セキュリティ関連の記事を手動ではてブして、それを月ごとに自動的にまとめるスクリプトを作ったんですよ。

security.nekotricolor.com

でも1日ほっとくだけで未読がものすごい数になるのであっさり挫折しました。で、なんか自動的にできないものかと思って、はてブとFacebookのいいね!がたくさんされているものを探る試み。

RSSフィードのリストを取得

まずは過去記事を取得しなきゃいけません。
私はRSSリーダー「Feedeen」というのを2014年7月頃から使っています。

Feedeen - いつでもどこでも新鮮な情報を

ニュース関連のサイトで登録済みのRSSは以下のとおり。

注意喚起情報・脆弱性情報 RSS
セキュリティレポート RSS
エフセキュアブログ RSS
トレンドマイクロ セキュリティブログ RSS
インターネット セキュリティ ナレッジ RSS
トレンドマイクロ - 脆弱性情報 RSS
マカフィー セキュリティブログ RSS
Save the Worldの思いを伝えたい カスペルスキー公式ブログ RSS
ITpro セキュリティ RSS
タグ「セキュリティ」を検索 - はてなブックマーク RSS
スラド: セキュリティ RSS
ITmedia エンタープライズ「セキュリティ(ニュース)」 最新記事一覧 RSS

これの既読のリストを取得できないかなーと思っていたらFeedeenに素晴らしい機能が。

feedeen.blogspot.jp

Google Driveと接続して[すべての過去アイテムをアーカイブする]で、Feedeenを使い始めてから今まで取得してきたアイテムが全て手に入るのです!ありがとうFeedeen!

月ごとのフィードをまとめる

ということでアーカイブされたZipファイルを展開すると、1フィード1テキストファイルになっていて、フォーマットはこんな感じ。

updated: 2016-09-27T01:00:53Z
feed_url: https://blog.kaspersky.co.jp/feed/
title: 自分のApple IDのセキュリティ質問をハッキングしてみた
url: https://blog.kaspersky.co.jp/security-questions-are-insecure/12630/
feed_name: Save the Worldの思いを伝えたい | カスペルスキー公式ブログ
feed_id: 344821
published: 2016-09-27T01:00:53Z
id: 380622968
feed_site: https://blog.kaspersky.co.jp

パスワードを忘れたときなどに聞かれる秘密の質問(セキュリティ質問)。よくある「お母さんの旧姓は?」などはあまりお勧めできません。セキュリティ質問とその回答を考える際のヒントを紹介します。

[published]をチェックして該当月の場合は[title]と[url]を保存する、という感じでよさげ。はてブのタグ検索に引っかかるとメディアのRSSフィードのものと重複する場合が多いので、URLが重複しているものは省くことにする。英語日本語混じってますけどその辺はまあおいおい。

はてブ数、Facebookのいいね!数を取得する

Google+やTwitter、Pocketなんかのシェア数も使いたいところですが、公式APIを公開しているのがこの2つのみなんで、とりあえずこれだけで。

1.はてなブックマーク数

以下のGETリクエストでさくっと取得可能です。ダイレクトにはてブ数だけ返してくれます。

http://api.b.st-hatena.com/entry.count?url=[取得したいページのURL]

2. Facebookのいいね!数

これも以下のGETリクエストで取得可能です。

http://graph.facebook.com/?id=[取得したいページのURL]

JSONで返ってきます。

{
"id": "[URL]",
"share": {
"comment_count": [コメント数],
"share_count": [いいね!数]
}
}

シェア数=いいね!数みたいですね。Facebookのこの辺の仕組みはよくわからん・・。

Facebookはすぐ制限がかかっちゃうので適当にsleepしてます。トークンを使ってる場合は600秒間に600回、という制限があるようですが、トークンを使っていない場合の制限についての情報は得られず。

qiita.com
developers.facebook.com

人気記事を探る

重み付けはあとで考えるかもしれませんが、とりあえず1はてブ=1いいね!=1ポイントとして数えてみました。

ただし、記事数が多くてFacebookの制限に引っかかりまくるので、まずはてブ数を調べ、10はてブ以下のものは対象から除外しています。ので実質タグ「セキュリティ」を検索 - はてなブックマークのものしか出てこない・・。

また、インターネットセキュリティにあまり関係ない記事も除外します。たとえば7月だと生前退位の話やカスタマーサービスの対応についての話などは除外。

7月、8月のトップ5は以下のとおり。日本語英語で分けてみた。

作ってみた感想

毎回言ってますけどほんとRubyが書けるようになってよかったよね。こういうちょっとした思いつきをすぐ形にできるのすごく嬉しい。

最初はタイトルを形態素解析してバズワードを探してみたんですが、タイトルだけだと端的すぎてうまく解析できませんでした。特定の単語の出現頻度を時系列で追うとかいう方がよさそう。

トップ20を決めるやつははてブとFacebookだけだと偏る気がするんですよね。はてブは中身がアレでもコメント付けたい勢がいるから。ということでこんなことを考えてます。


ていうか実際並べてみるとはてブといいね数は全然相関がないように見えますね。この辺もう少し詳しく調べてみるのも面白いかも。

それと英語の記事でも同じことをやってみたいなと思ってます。今回も英語の記事がありますけど、あくまではてブベースなので。英語圏だとdel.icio.usとかですかね。Redditのコメント数でもいけるか?取れるかわからないけど。とりあえずRSSの見直しからだなー。

インターネットセキュリティと関連の薄い記事をはぶくという作業、結構数が多くて手動だと大変なんで自動化したいけど、これは難しいだろうなあ。はてブの「セキュリティ」タグに関係ない記事がありまくりなんだけどこれ以外でいいのが思いつかない。

そしてFeedeenはいいRSSリーダーです。余計な機能が付いてない、でも細々と便利な機能を追加していってくれている。過去記事のアーカイブが手に入るのも本当にありがたい。

この手のデータってとりあえずためとくとこうやって使い道があっていいですね。またなんか思いついたらやってみます。

著名なOSやソフトウェアなどの脆弱性情報を網羅的に収集するために私がやっていること

ここでいう脆弱性情報とは、

  • 脆弱な製品とバージョン
  • 脅威(= 攻撃者ができること(任意のコード実行、DoS攻撃など)
  • 対策の有無

のことです。

情報収集の基本的な流れ:

  1. US-CERT・CERT/CC・JVNをチェック(RSS購読。この3つにあがってこないものはベンダ情報)
  2. ベンダ情報を確認
  3. 2.が曖昧な場合はNVD、SecurityFocusを確認
  4. 3.でもダメならググる

US-CERT・CERT/CC・JVN

ベンダ情報のほうが早いですが追いきれないのでこの3つが基本。それぞれ特徴があります。

US-CERT

  • 著名なベンダのアップデートが出ると公開される感じ
  • 脅威を記載
  • 脆弱なバージョンについての言及はあまりない

www.us-cert.gov

CERT/CC

  • ここに出ると、それが翻訳されたJVNが出る
  • 脆弱なバージョンの記載はまちまち
  • CWEベースで脅威を記載
  • JVNでの公開が待てるならあんまり見なくていいかも

www.kb.cert.org

JVN

  • CERT/CC公開の翌日には翻訳が出てる
  • 日本のアプリなど独自のものも公開
  • 脆弱なバージョンが統一されたフォーマットで書かれている(〜より前のバージョン/〜およびそれ以前)
  • 脅威はCERT/CCよりシンプルに記載

JVNさんいつもありがとう。とっても見やすくて助かってます。

Japan Vulnerability Notes

上記3つにあがってこないもの

Python、Ruby、PHP等言語の脆弱性はまず出てこないですね。よっぽど深刻だと出るのかな?

PythonはWindows版Pythonの脆弱性があったかな。

JVN#49503705: Windows 版 Python における任意のDLL読み込みに関する脆弱性

RubyもRailsのはあった。ここ数年では多分これだけ。

JVN#83881261: Ruby on Rails 用ライブラリ Paperclip におけるクロスサイトスクリプティングの脆弱性

PHPは全くないっぽい。

なのでそれぞれの公式サイトのRSSから情報を得ます。

ベンダ情報

これもベンダごとに書かれ方がかなり違います。いくつかピックアップしてご紹介。後半はただの愚痴です。

Microsoft

月例になって楽になりましたね。脆弱な製品や脅威もシンプルでわかりやすい。

vuln-info-ms
*1


と、脆弱性情報はかなり整理されていますが情報の"場所"が煩雑なのは相変わらず。MS**-***なのかKB******なのか。ブログにも他と違う形式で載ってるし。月例のものは「MS16-AUG」みたいにMS[西暦下2桁]-[月の英略語]で、基本的にはこれを追ってれば大丈夫。下記からいけます。

セキュリティ情報の概要

昔ほど脆弱性で騒がれなくなったのは月例になったからなのか、OSやフレームワークで攻撃条件が複雑になってるのか、他に理由があるのか、なんなんだろう。

Apple

最近はMicrosoftよりAppleの方が騒がれてますね。まあMacやiPhoneのユーザが増えて注目度が上がってるだけかもしれませんが。

製品とバージョンは明確だし、脅威も分かりやすい。

Available for: OS X El Capitan v10.11 and later
Impact: An application may be able to execute arbitrary code with kernel privileges
Description: A memory corruption issue was addressed through improved memory handling.
CVE-ID
CVE-2016-1792 : beist and ABH of BoB

*2

Adobe

2016年7月くらいまでは頻繁に出てましたが最近めっきり減りましたね。製品とバージョンについては他のベンダもこの書き方で統一していただきたいくらいスッキリと分かりやすい。

vuln-info-adobe

脅威についても「Vulnerability Details」に欲しい情報全部書いてある。

These updates resolve type confusion vulnerabilities that could lead to code execution (CVE-2016-4144, CVE-2016-4149).
These updates resolve use-after-free vulnerabilities that could lead to code execution (CVE-2016-4142, CVE-2016-4143, CVE-2016-4145, CVE-2016-4146, CVE-2016-4147, CVE-2016-4148).

*3

さすが致命的な脆弱性を数多く出してるだけあって情報のまとめ方を心得てらっしゃる。

VMware

ここも表でまとまってて見やすい。

vuln-info-vmware
*4

複数の脆弱性があると表も複数個になるのでそこまとめてもらえるともっと楽なんだけどー。

Mozilla

月例・・というわけでもないみたいで、ある程度まとまったら出すことになってるんですかね。個々のアドバイザリは見やすいんだけどすべてのリンクが1つのページに載ってるのはいただけない。月ごとに個別のURLつけてほしい。

vuln-info-mozilla
*5

Wordpress

インパクトが大きい割に脅威があまり明確でないですね。「パストラバーサル」といわれても任意のファイルがアップロードできるのか情報を取得できるのかで違うと思うんですが。CVE-IDが付与されているはずなのに載ってないのも痛い。

アップグレードパッケージのアップローダーにあるパストラバーサルの脆弱性です。

*6

Cisco

最近出しすぎ。製品名長すぎ、複雑すぎ。

vuln-info-cisco
*7
最近出ると一番ウゲーとなるベンダです。タイトルに「Arbitrary Code Execution」「Information Disclosure Vulnerability」など脅威が含まれているのはいいのですが。

PHP

ほんとわかりづらいんですよ。Changelogで1個1個バグを見てかないと脅威がわからないし、見てっても結局分からないことがある。

vuln-info-php
*8

CVE-IDが明記されてるものはまだいいんですけどね。それなりの頻度で出てくるのでもう少し何とかして欲しいところ。

CVE

CVEとは、ざっくりいうと世界中の脆弱性につける識別子のことで、「CVE-[西暦4桁]-[連番]」というCVE-IDが、脆弱性にはほぼ確実に付与されています。このIDがつくと、

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-[西暦4桁]-[連番]

というページにその脆弱性の情報が集約されます。例えばこんなん。

cve.mitre.org

で、CVE-IDが割り当てられると、NISTのNVD(National Vulnerability Database)にも以下のようなページが作られます。

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-[西暦4桁]-[連番]

こんな感じです。

Vulnerability Summary for CVE-2007-5000

Mitreのサイトは脆弱性の端的な説明と参照サイトが中心なのに対し、NVDはCVSS(脆弱性の影響度をスコア化したもの)やパッチの情報なども載ります。ただ、番号の割り当ては早いんですがNVDは情報が出るのが遅いんすよ。該当CVE-IDのNVDにアクセスしても中身はたいてい

CVE ID Not Found
A vulnerability has been identified, and possibly a CVE has been assigned, why is it not in your database?

Although a CVE ID may have been assigned by either CVE or a CAN, it will not be available in the NVD if it has a status of RESERVED by CVE.

です。なのでリアルタイムに追いたい場合はあんまり役に立ちません。が、出ると欲しい情報全部載っててちょー便利。ぐぬぬ

Security Focus

2000年ごろからお世話になってます。ここは網羅性が高く、バージョンや脅威だけでなくPoCも載せるので世話になってる人が多いのでは。昔は各タブの情報が豊富でしたが、さすがに最近は量も多いしそうでもないみたいですね。

vuln-info-securityfocus
*9

最初からここを見ればいい気もしますが、バージョン情報の書き方がベンダのアドバイザリと違ったりする(ベンダだと「**より前のバージョン」なのにこっちだと具体的なバージョンが羅列されてるとか)ので、最近はあくまで補助的な情報源として使ってます。

その他所感

最近は各ベンダがちゃんとアドバイザリを出すのでかなり情報を集めやすくなりました。識別子CVEと影響度のCVSSのおかげで脅威の把握も容易です。贅沢をいえば各ベンダのアドバイザリのフォーマットは統一して欲しいなー。

最終手段はググるわけですが、JVNやベンダのアドバイザリにない情報をググって得られるということはほとんどないです。UbuntuとかLinuxディストリビューションのパッチ情報があれば引っかかるかなーくらい。

とはいえほんとにヤバいのはここにある方法で確実にキャッチできるはずです。

結局一次情報しか参照にしてなくて、今どきならTwitterとかFacebookのようなSNSを使った情報収集もしたいなあと思ってるんですがなかなか難しいですね。確度低いし。ただウイルスが添付されたばらまき型メールなんかは、タイトルや添付ファイル名をTwitterで検索するとヒットしたりするので、広範囲なインシデントを知るにはいいかもしれません。ただそれも自分のところに来て初めて検索するわけで、予防としてはあんまり効果ないかなあ。一時期はTwitter APIを使ってセキュリティ関連情報のトレンドを追うような仕組みを作ろうと頑張ってましたが結局うまくいかなくて。その辺は今後の課題です。

2016年6月に日本語で公開された主な脆弱性・インシデント・セキュリティ情報

この記事ははてなブックマークフィードから自動生成しました。

security.nekotricolor.com

インシデント・脆弱性

2016/06/01 TumblrやMyspaceから盗まれたログイン情報、ネットで大量流通を確認 - ITmedia エンタープライズ
 "盗まれたのは、2013年6月11日より前にMyspaceの旧プラットフォームで作成されたアカウントのメールアドレス、ユーザー名、パスワード"
2016/06/14 JTBへの不正アクセスについてまとめてみた - piyolog
 "JTBは開封してしまった担当オペレーターを責めておらず、一方で社内のルールの見直しも検討する必要があると会見にてコメント"
2016/06/29 「お届け予定eメール」を装った不審メールにご注意ください
 "ヤマト運輸の「お届け予定eメール」を装った不審なメールが送られています。不審メールにはZIP形式のファイルが添付されています"

読み物

2016/06/01 総務省と経産省、「IoTセキュリティガイドライン」(案) -INTERNET Watch
 "一般利用者向けとなる3章では、問い合わせ窓口やサポートがない機器やサービスの購入・利用を控える、初期設定に気を付ける、、使用しなくなった機器については電源を切る、機器を手放す時はデータを消す"
2016/06/01 成迫剛志の『ICT幸福論』:「プライバシー侵害はイヤ、でも対策はしない」日本人 - ITmedia エンタープライズ
 "政府のプライバシー保護の施策に最も不満を抱いている人が多い" "SNSなどのプライバシー設定をカスタマイズしている割合も50%で最下位"
2016/06/01 オンラインゲームのチートとセキュリティ
 "難読化する • デコンパイルされたとき、綺麗にソースコードが見えていた。 • デコンパイルされてもコードが読みずらくさせる。 →難読化されてるだけであきらめる人は多い"
2016/06/02 日本の金融が標的に--IBMのセキュリティ専門家が語るサイバー犯罪 - ZDNet Japan
 ”オーバーレイマルウェア” "ユーザーがバンキングなどのアプリケーションを開くとフェイクのウィンドウを重ねて表示するもの"
2016/06/03 サウジアラビアのセキュリティ求職者を対象にしたAndroidスパイウェア : マカフィー株式会社 公式ブログ
 "政府や軍隊のセキュリティ人材の求人ウェブサイトと連携したモバイルマルウェアの活動を確認" "感染した端末から電話帳、SMSメッセージ、通話音声を盗み、攻撃者のサーバーに送信"
2016/06/03 セキュリティ・アディッショナルタイム(8):地雷を踏み抜き、失敗から学べ! 運用力を磨く「情報危機管理コンテスト」 (1/3) - @IT
 楽しそう>"机の上の電話が鳴り、次のように告げられる。「先ほど、お客さまからうちのWebページが見られないという連絡を頂いたんです。対応と原因追求をお願いします」——ここから、各チームの格闘が始まった。"
2016/06/06 SNSを機能不全に陥らせるほど猛威を振るったワームを作り、歴史に名が残る大事件を起こしたハッカー - GIGAZINE
 "Kamkar氏は、「Kamkar氏のプロフィールを見たユーザーが、自動的に相互友達になる」というコードを作成。さらに、このコードは相手ユーザーのプロフィールにも同じコードがコピーされるという非常に強力なものでした。"
2016/06/06 10の疑問を試して解明 セキュリティ大実験室 - 脆弱性を悪用するのは簡単か?:ITpro
 Metasploitで簡単にやれると
2016/06/06 市区町村の情報セキュリティ(1):市区町村のセキュリティ対策「4要件」とは (1/2) - @IT
 割と地に足ついてる>「持ち出し不可設定」「二要素認証」「ネットワークの分割」「通信の無害化」
2016/06/06 偽造カードで計20億円が一気に引き出された! セキュリティの脆弱性を突いた大胆手口とは (1/3) - ITmedia ニュース
 "遅れは加盟店のカード読み取り端末の多くが磁気ストライプ式にしか対応していないためで、経済産業省は平成30年にもIC対応端末の導入を加盟店に義務づける方針"
2016/06/07 趙 章恩「Korea on the Web」 - データを人質にする事件多発、韓国警察がサイバーテロ型犯罪取り締まり強化:ITpro
 "会社にばれたら「セキュリティ規定を守らなかったのではないか」、「会社のデータ管理を疎かにしたのではないか」と責任を取らされ解雇されるからという理由で、社員が個人的に身代金を払うケースも"
2016/06/07 新しい世代がデータプライバシーを切り拓く(1)なぜプライバシーの議論は分かりにくいのか - WirelessWire News(ワイヤレスワイヤーニュース)
 "動機や方法が全然異なるものであるはずが、「炎上リスク」とひとくくりにされ、企業の現場を委縮させる要因となっている"
2016/06/08 USB経由のスマートフォン充電に潜む危険 | Kaspersky Daily - カスペルスキー公式ブログ
 "初期設定のMTP(メディア転送プロトコル)モードで接続すると、スマートフォン内のファイルすべてがアクセス可能に"
2016/06/09 CNN.co.jp : シンガポール、省庁のネット接続遮断へ 安全性の向上図る
 "シンガポール政府は来年5月までに、各省庁にある約10万台のコンピューターのインターネットへの接続を遮断、公務員の勤務中のネットアクセスを不可能にする"
2016/06/09 インシデント調査に欠かせないログ管理、製品の相場観は? - ITmedia エンタープライズ
 "自社でインシデントを監視する場合はSIEMが必要になり、導入には700万円以上を要する"
2016/06/10 IT人材不足が深刻化、2030年には78.9万人不足に 経済産業省調べ - ITmedia ビジネスオンライン
 "各国のIT人材の年収比較調査でも、日本は年収500万円前後に回答者が集中している一方、米国では年収1000万円から2000万円の間に回答者が広く分布"
2016/06/10 マクロ悪用ウイルス復活、再燃の一因は「Officeの表示のせい」 - ITmedia エンタープライズ
 "Office 2010~2013になると、警告バーの「マクロを無効にしました」という通知の隣は「コンテンツを有効にする」というボタン" "これでマクロを有効にすればどうなるかをユーザーが理解しないまま、有効にしてしまう"
2016/06/13 Twitter、パスワードが流出したユーザーのアカウントを凍結 - ITmedia ニュース
 "位置情報や使用デバイス、ログイン履歴などからアカウントへの不審なアクセスを検出している"
2016/06/14 モバイル向けランサムウェア「FLocker」、スマートテレビにも影響 | トレンドマイクロ セキュリティブログ
 "Android版端末ロック型ランサムウェア「FLocker(エフロッカー)」がスマートテレビをロックした事例を確認"
2016/06/14 暗号化型ランサムウェア「JIGSAW」、顧客サポートを開始、支払いを促す | トレンドマイクロ セキュリティブログ
 "「JIGSAW」のタイマーは、感染PC の cookie の設定に基づいているだけなので、cookie が削除されればカウントダウンはリセットされ、24時間に戻ります"
2016/06/14 http://www3.nhk.or.jp/news/html/20160614/k10010556681000.html
  "松山市民およそ13万人分の名前や住所、それに電話番号などの個人情報データが入ったパソコンとUSBを県内の会社の関係者に提供"
2016/06/15 News & Trend - [詳報]JTBを襲った標的型攻撃:ITpro
 「問い合わせ内容も特段おかしいものではなかった。一目しただけでは(攻撃メールかどうか)分からない」
2016/06/15 パスポート番号漏えい、偽造のリスクは? 外務省に聞いた - ITmedia ニュース
 "日本のパスポートには、偽造対策としてICチップが内蔵されており、偽造や改ざんが困難になっている"
2016/06/16 小さい会社に不審な?メールが着弾した時の対応を考える。 - 家庭内インフラ管理者の独り言(はなずきんの日記っぽいの)
 おっしゃる通り>"それを気を付けないのはセキュリティ教育がなってないからだとか言われる""やれサンドボックスだ、疑似メール送信訓練だとか言われても、そんなの会社規模によって違うはず"
2016/06/20 自治体のセキュリティを強化せよ! - ディスカッション1 セキュリティガバナンスのあり方:ITpro
 "組織改編を実現できたのは、2015年7月にマルウエア被害に遭った経験が大きい""東北や関東など地域ブロックごとにセキュリティゲートウエイを設置して、振る舞い検知など高度な解析をやってもらいたい"
2016/06/21 記者の眼 - JTBの情報漏洩事故報告は遅すぎだ! ではいつだったら良かったのか?:ITpro
 確かに>"セキュリティ事故の公表タイミングを、企業側の判断にゆだねるのは無理なのではないか。政府がガイドラインを公表するなど、目安を示すべき時期に来ているのではないか"
2016/06/21 総務省が発表したAI(人工知能)の20の主なリスク(制御不能・反乱・野良ロボットなど)
 "人間に投棄された「野良ロボット」が徒党を組んで人間に対して参政権等の権利付与を要求するリスク"
2016/06/27 【やじうまWatch】「パスワードの定期変更をユーザーに求めるべきではない」……NISTの文書でついに明示へ - INTERNET Watch
 "併せて秘密の質問も使用するべきではないとしており"
2016/06/27 プレス発表 “情報処理安全確保支援士”と現行の情報セキュリティスペシャリスト試験の位置付けについて:IPA 独立行政法人 情報処理推進機構
 "支援士試験は、現在実施している国家試験「情報処理技術者試験」の「情報セキュリティスペシャリスト試験(以下、SC試験)」の内容をベースに実施されます"
2016/06/28 観光庁、旅行会社と「情報共有会議」、JTB問題受け | 旅行業界 最新情報 トラベルビジョン
 "観光庁は7月以降、業界関係者などからなる「旅行業界情報流出事案検討会」で再発防止策に関する検討を開始し、同月中の取りまとめをめざす"
2016/06/28 不正アクセス 少年「管理の甘さからかっていた」 | NHKニュース
 不正アクセスだから変に騒がれてるけど、「盗める場所にあったら盗んでいいのか」という万引きなんかに通じる問題だと思う。対策をすること、犯罪行為は罰すること、やらないように啓蒙すること、が大事なのでは
2016/06/28 事実と数字が語るランサムウェアの歴史と進化 | Kaspersky Daily - カスペルスキー公式ブログ
 画面ロック型ランサムウェア(ショートコードや電子ウォレットへ送金)が電子決済システムの規定変更で廃れて、ビットコインの普及で復活した、らしい
2016/06/29 ASCII.jp:単体では無害だが……アプリの「共謀」に注意、データ流出の恐れ
 "アプリAがアクセスした情報が、アプリケーション間通信を使用してアプリBに渡され、外部に流出してしまう恐れがある"
2016/06/29 「あやしいメールを開くな」は無意味? 掛け声で終わらせない方法 - ITmedia エンタープライズ
 せっかく擬似メールの訓練があっても、訓練後の解説が「怪しい添付ファイル/URLは絶対に開かないように!」ってだけだとうんざりしますよホント。それがわかれば苦労しないっつーの
2016/06/29 防犯カメラがDDoS攻撃、無防備なIoTデバイスに警鐘も - ITmedia エンタープライズ
 "世界105カ国に設置された防犯カメラ2万5000台を踏み台にして、大量のトラフィックを特定の標的に送り付ける分散型サービス妨害(DDoS)攻撃が仕掛けられる事件が発生"
2016/06/29 品川区、サイバー攻撃などによる情報漏えいを防ぐ新機能を装備 - ITmedia エンタープライズ
 "インターネット環境と機密情報を取り扱うイントラネット環境を分離し、職員のPCにはWebサイトの画面だけを転送することで、サイト閲覧によるウイルス感染を防ぐ"
2016/06/30 【やじうまWatch】暗号化のキホンをゲーム感覚で学ぶ、ユニークな学習支援ツールがMozillaから登場 - INTERNET Watch
 "1つの暗号化キーによってメッセージがどのように書き替わるのかといった、セキュリティの基礎を知るのにはぴったり"
2016/06/30 備忘録: ランサムウェアを拡散する「ばらまき型」スパムメールに対する対策
 "メールに添付されるJavaScriptは、ブラウザ上で実行されるのではなく、Windows上のWindows Script Host (WSH) で実行される。WSHには、ブラウザでのサンドボックスの様な制限はなく、実行ファイルと同様の処理が実行できてしまう"
2016/06/30 備忘録: 続・巧妙な標的型メールを見抜くポイントはある。しかも、Windowsの標準機能だけで、
 素晴らしい。「怪しい添付ファイルを開くな」という人はこれくらいキッチリ見極める方法を説明してほしい。
2016/06/30 【新連載】今日から始める「性悪説セキュリティ」:“性善説”で考えるセキュリティ、もうやめませんか? (1/2) - ITmedia エンタープライズ
 セキュリティ屋はずっと昔から性悪説信者だと思います。因業な職業です。

情報セキュリティスペシャリストの午後問題はインシデント対応の訓練にいいかもしれない

今さらですけど情報セキュリティスペシャリスト試験に受かりました。

www.jitec.ipa.go.jp

まず自慢

受かりましたいえーい。

過去2回受けてどちらも午前Iが通らなかったんですよ、ハイ。今回初めて午前Iで6割を超えて無事合格しました。今回の午前Iは前回前々回と比べるとかなり解きやすかった印象。午後IIは若干ハマって自己採点ではギリギリ落ちたかなーと思ったものの通ってました。

このまとめと文書メモ作成のために公的機関の文書を読んでいたことがかなり助けになった感。

security.nekotricolor.com

文書メモは「政府系の文言に慣れる」のに大変役に立ちます。自画自賛。

security.nekotricolor.com

と思ったらこの資格、来年度廃止になるそうでw

itpro.nikkeibp.co.jp

SCあれば情報処理安全確保支援士の資格がもらえるじゃんて話ですけど、前身の「情報セキュリティアドミニストレータ」は持ってるのであまり意味はなかった。

まあいいんだ。受かったし。

インシデント対応の訓練に

閑話休題。

午後問題は誰かが何かする→マルウェア感染発覚→原因追求→駆除・復旧→対策みたいな、インシデント対応に関する問題が1問は入っています。問題には簡略なネットワーク構成図やアクセス制御・フィルタリングルールなどの現状、インシデント発生時のログなど、現場以外ではなかなか見られないものが揃っています。最初に施した対策では不十分で再検討とか、システムだけでなくポリシーも変更が必要とか、ストーリー性も高く、「あーこれあの事件かなあ」と思わせる時事ネタを絡めてきていたり、趣向が凝らしてある。

たとえば平成24年度秋期の午後I問4(この時はまだ4問から2問選択)。

こんなネットワーク構成図があり、

sc1

Webサーバのログや、

sc2

IDSやファイアウォールのログ、サーバのリソースグラフなどが与えられ、インシデントの暫定対策と恒久対策について問われます。


もう一つサンプル。平成27年春期午後II問1のウイルス対策の問題。

ネットワーク構成図:

sc3

プロキシサーバやメールサーバでのウイルススキャンや、社員貸与のPCのウイルス対策などの説明があり、GW後にウイルス感染を発見するところからストーリーが始まります。

sc4

休み明けはウイルス対策ソフトの更新に時間がかかることなんかも問題視されています。

たとえば不幸にもCSIRTに組み込まれちゃった人や、IT部門でセキュリティ担当を押し付けられちゃった人が午後問題を解いてみると、インシデント対応がどんな感じか雰囲気はつかめるんじゃないかなあと思いました。現状とログを突き合わせて問題を探るというのはなかなかできないことなので、机上ではありますがいい題材なんじゃないかと。いつか「ここSC試験でやったところだ!」となる可能性もあるかもしれない。

残念ながら、問題に出てくるような気前と聞き分けのいいH事業部長や、機転のきくG主任などは想像上の人物ですけどね。

IPA 独立行政法人 情報処理推進機構:過去問題

試験対策

試験対策みたいのも一応書いておく。現役セキュリティ技術者向け。

午前問題は「応用情報技術者試験ドットコム」様のWebアプリ過去問道場だけやっとけばいいと思います。平成21年からの過去問をWeb上で解くことができます。ユーザ登録すれば学習記録もつけられます。ありがたいことです。それでも午前Iで2回落ちてるのは私がアホだからです。

www.ap-siken.com

なお、午前IIに不安がある方は「情報セキュリティスペシャリストドットコム」というのもありますのでそちらでどうぞ。

www.sc-siken.com

午後問題は独特の言い回しが結構あって、実務でバリバリやってる人でも受からないこともあるんじゃないでしょうか。問題の意図が読み取れないことも多い。

そこでお勧めしたいのはこの本。

ポケットスタディ 情報セキュリティスペシャリスト 第2版 (情報処理技術者試験)

ポケットスタディ 情報セキュリティスペシャリスト 第2版 (情報処理技術者試験)

後半の「速攻サプリ」を一通り読むと勘所がかなり分かるので、それから過去問題を解くのがいいと思います。
午後問題は慣れてくると推理小説を読み解くような面白さが出てきます。あーこの言い回し、伏線なんだろうなあ、みたいな。

CISSPやGSEを持っているような人には必要なさそうですが、たった5,700円で受けられ、過去問も全部公開されているわけですから、お得っちゃお得な資格かと。来年度以降は「情報処理安全確保支援士試験」となりますが、おそらく問題に大差はないと思われます。

itpro.nikkeibp.co.jp

政府もセキュリティ人材が不足してるというなら、CISSPの研修を教育訓練給付制度の対象にするとか(現状なってないよね?)、合格したら受験料や維持費用を援助するとかしてくれないかなぁw 個人で受けるには敷居が高すぎる。