トリコロールな猫/セキュリティ

思いついたことをぼちぼち書いてます。

著名なOSやソフトウェアなどの脆弱性情報を網羅的に収集するために私がやっていること

ここでいう脆弱性情報とは、

  • 脆弱な製品とバージョン
  • 脅威(= 攻撃者ができること(任意のコード実行、DoS攻撃など)
  • 対策の有無

のことです。

情報収集の基本的な流れ:

  1. US-CERT・CERT/CC・JVNをチェック(RSS購読。この3つにあがってこないものはベンダ情報)
  2. ベンダ情報を確認
  3. 2.が曖昧な場合はNVD、SecurityFocusを確認
  4. 3.でもダメならググる

US-CERT・CERT/CC・JVN

ベンダ情報のほうが早いですが追いきれないのでこの3つが基本。それぞれ特徴があります。

US-CERT

  • 著名なベンダのアップデートが出ると公開される感じ
  • 脅威を記載
  • 脆弱なバージョンについての言及はあまりない

www.us-cert.gov

CERT/CC

  • ここに出ると、それが翻訳されたJVNが出る
  • 脆弱なバージョンの記載はまちまち
  • CWEベースで脅威を記載
  • JVNでの公開が待てるならあんまり見なくていいかも

www.kb.cert.org

JVN

  • CERT/CC公開の翌日には翻訳が出てる
  • 日本のアプリなど独自のものも公開
  • 脆弱なバージョンが統一されたフォーマットで書かれている(〜より前のバージョン/〜およびそれ以前)
  • 脅威はCERT/CCよりシンプルに記載

JVNさんいつもありがとう。とっても見やすくて助かってます。

Japan Vulnerability Notes

上記3つにあがってこないもの

Python、Ruby、PHP等言語の脆弱性はまず出てこないですね。よっぽど深刻だと出るのかな?

PythonはWindows版Pythonの脆弱性があったかな。

JVN#49503705: Windows 版 Python における任意のDLL読み込みに関する脆弱性

RubyもRailsのはあった。ここ数年では多分これだけ。

JVN#83881261: Ruby on Rails 用ライブラリ Paperclip におけるクロスサイトスクリプティングの脆弱性

PHPは全くないっぽい。

なのでそれぞれの公式サイトのRSSから情報を得ます。

ベンダ情報

これもベンダごとに書かれ方がかなり違います。いくつかピックアップしてご紹介。後半はただの愚痴です。

Microsoft

月例になって楽になりましたね。脆弱な製品や脅威もシンプルでわかりやすい。

vuln-info-ms
*1


と、脆弱性情報はかなり整理されていますが情報の"場所"が煩雑なのは相変わらず。MS**-***なのかKB******なのか。ブログにも他と違う形式で載ってるし。月例のものは「MS16-AUG」みたいにMS[西暦下2桁]-[月の英略語]で、基本的にはこれを追ってれば大丈夫。下記からいけます。

セキュリティ情報の概要

昔ほど脆弱性で騒がれなくなったのは月例になったからなのか、OSやフレームワークで攻撃条件が複雑になってるのか、他に理由があるのか、なんなんだろう。

Apple

最近はMicrosoftよりAppleの方が騒がれてますね。まあMacやiPhoneのユーザが増えて注目度が上がってるだけかもしれませんが。

製品とバージョンは明確だし、脅威も分かりやすい。

Available for: OS X El Capitan v10.11 and later
Impact: An application may be able to execute arbitrary code with kernel privileges
Description: A memory corruption issue was addressed through improved memory handling.
CVE-ID
CVE-2016-1792 : beist and ABH of BoB

*2

Adobe

2016年7月くらいまでは頻繁に出てましたが最近めっきり減りましたね。製品とバージョンについては他のベンダもこの書き方で統一していただきたいくらいスッキリと分かりやすい。

vuln-info-adobe

脅威についても「Vulnerability Details」に欲しい情報全部書いてある。

These updates resolve type confusion vulnerabilities that could lead to code execution (CVE-2016-4144, CVE-2016-4149).
These updates resolve use-after-free vulnerabilities that could lead to code execution (CVE-2016-4142, CVE-2016-4143, CVE-2016-4145, CVE-2016-4146, CVE-2016-4147, CVE-2016-4148).

*3

さすが致命的な脆弱性を数多く出してるだけあって情報のまとめ方を心得てらっしゃる。

VMware

ここも表でまとまってて見やすい。

vuln-info-vmware
*4

複数の脆弱性があると表も複数個になるのでそこまとめてもらえるともっと楽なんだけどー。

Mozilla

月例・・というわけでもないみたいで、ある程度まとまったら出すことになってるんですかね。個々のアドバイザリは見やすいんだけどすべてのリンクが1つのページに載ってるのはいただけない。月ごとに個別のURLつけてほしい。

vuln-info-mozilla
*5

Wordpress

インパクトが大きい割に脅威があまり明確でないですね。「パストラバーサル」といわれても任意のファイルがアップロードできるのか情報を取得できるのかで違うと思うんですが。CVE-IDが付与されているはずなのに載ってないのも痛い。

アップグレードパッケージのアップローダーにあるパストラバーサルの脆弱性です。

*6

Cisco

最近出しすぎ。製品名長すぎ、複雑すぎ。

vuln-info-cisco
*7
最近出ると一番ウゲーとなるベンダです。タイトルに「Arbitrary Code Execution」「Information Disclosure Vulnerability」など脅威が含まれているのはいいのですが。

PHP

ほんとわかりづらいんですよ。Changelogで1個1個バグを見てかないと脅威がわからないし、見てっても結局分からないことがある。

vuln-info-php
*8

CVE-IDが明記されてるものはまだいいんですけどね。それなりの頻度で出てくるのでもう少し何とかして欲しいところ。

CVE

CVEとは、ざっくりいうと世界中の脆弱性につける識別子のことで、「CVE-[西暦4桁]-[連番]」というCVE-IDが、脆弱性にはほぼ確実に付与されています。このIDがつくと、

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-[西暦4桁]-[連番]

というページにその脆弱性の情報が集約されます。例えばこんなん。

cve.mitre.org

で、CVE-IDが割り当てられると、NISTのNVD(National Vulnerability Database)にも以下のようなページが作られます。

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-[西暦4桁]-[連番]

こんな感じです。

Vulnerability Summary for CVE-2007-5000

Mitreのサイトは脆弱性の端的な説明と参照サイトが中心なのに対し、NVDはCVSS(脆弱性の影響度をスコア化したもの)やパッチの情報なども載ります。ただ、番号の割り当ては早いんですがNVDは情報が出るのが遅いんすよ。該当CVE-IDのNVDにアクセスしても中身はたいてい

CVE ID Not Found
A vulnerability has been identified, and possibly a CVE has been assigned, why is it not in your database?

Although a CVE ID may have been assigned by either CVE or a CAN, it will not be available in the NVD if it has a status of RESERVED by CVE.

です。なのでリアルタイムに追いたい場合はあんまり役に立ちません。が、出ると欲しい情報全部載っててちょー便利。ぐぬぬ

Security Focus

2000年ごろからお世話になってます。ここは網羅性が高く、バージョンや脅威だけでなくPoCも載せるので世話になってる人が多いのでは。昔は各タブの情報が豊富でしたが、さすがに最近は量も多いしそうでもないみたいですね。

vuln-info-securityfocus
*9

最初からここを見ればいい気もしますが、バージョン情報の書き方がベンダのアドバイザリと違ったりする(ベンダだと「**より前のバージョン」なのにこっちだと具体的なバージョンが羅列されてるとか)ので、最近はあくまで補助的な情報源として使ってます。

その他所感

最近は各ベンダがちゃんとアドバイザリを出すのでかなり情報を集めやすくなりました。識別子CVEと影響度のCVSSのおかげで脅威の把握も容易です。贅沢をいえば各ベンダのアドバイザリのフォーマットは統一して欲しいなー。

最終手段はググるわけですが、JVNやベンダのアドバイザリにない情報をググって得られるということはほとんどないです。UbuntuとかLinuxディストリビューションのパッチ情報があれば引っかかるかなーくらい。

とはいえほんとにヤバいのはここにある方法で確実にキャッチできるはずです。

結局一次情報しか参照にしてなくて、今どきならTwitterとかFacebookのようなSNSを使った情報収集もしたいなあと思ってるんですがなかなか難しいですね。確度低いし。ただウイルスが添付されたばらまき型メールなんかは、タイトルや添付ファイル名をTwitterで検索するとヒットしたりするので、広範囲なインシデントを知るにはいいかもしれません。ただそれも自分のところに来て初めて検索するわけで、予防としてはあんまり効果ないかなあ。一時期はTwitter APIを使ってセキュリティ関連情報のトレンドを追うような仕組みを作ろうと頑張ってましたが結局うまくいかなくて。その辺は今後の課題です。

2016年6月に日本語で公開された主な脆弱性・インシデント・セキュリティ情報

この記事ははてなブックマークフィードから自動生成しました。

security.nekotricolor.com

インシデント・脆弱性

2016/06/01 TumblrやMyspaceから盗まれたログイン情報、ネットで大量流通を確認 - ITmedia エンタープライズ
 "盗まれたのは、2013年6月11日より前にMyspaceの旧プラットフォームで作成されたアカウントのメールアドレス、ユーザー名、パスワード"
2016/06/14 JTBへの不正アクセスについてまとめてみた - piyolog
 "JTBは開封してしまった担当オペレーターを責めておらず、一方で社内のルールの見直しも検討する必要があると会見にてコメント"
2016/06/29 「お届け予定eメール」を装った不審メールにご注意ください
 "ヤマト運輸の「お届け予定eメール」を装った不審なメールが送られています。不審メールにはZIP形式のファイルが添付されています"

読み物

2016/06/01 総務省と経産省、「IoTセキュリティガイドライン」(案) -INTERNET Watch
 "一般利用者向けとなる3章では、問い合わせ窓口やサポートがない機器やサービスの購入・利用を控える、初期設定に気を付ける、、使用しなくなった機器については電源を切る、機器を手放す時はデータを消す"
2016/06/01 成迫剛志の『ICT幸福論』:「プライバシー侵害はイヤ、でも対策はしない」日本人 - ITmedia エンタープライズ
 "政府のプライバシー保護の施策に最も不満を抱いている人が多い" "SNSなどのプライバシー設定をカスタマイズしている割合も50%で最下位"
2016/06/01 オンラインゲームのチートとセキュリティ
 "難読化する • デコンパイルされたとき、綺麗にソースコードが見えていた。 • デコンパイルされてもコードが読みずらくさせる。 →難読化されてるだけであきらめる人は多い"
2016/06/02 日本の金融が標的に--IBMのセキュリティ専門家が語るサイバー犯罪 - ZDNet Japan
 ”オーバーレイマルウェア” "ユーザーがバンキングなどのアプリケーションを開くとフェイクのウィンドウを重ねて表示するもの"
2016/06/03 サウジアラビアのセキュリティ求職者を対象にしたAndroidスパイウェア : マカフィー株式会社 公式ブログ
 "政府や軍隊のセキュリティ人材の求人ウェブサイトと連携したモバイルマルウェアの活動を確認" "感染した端末から電話帳、SMSメッセージ、通話音声を盗み、攻撃者のサーバーに送信"
2016/06/03 セキュリティ・アディッショナルタイム(8):地雷を踏み抜き、失敗から学べ! 運用力を磨く「情報危機管理コンテスト」 (1/3) - @IT
 楽しそう>"机の上の電話が鳴り、次のように告げられる。「先ほど、お客さまからうちのWebページが見られないという連絡を頂いたんです。対応と原因追求をお願いします」——ここから、各チームの格闘が始まった。"
2016/06/06 SNSを機能不全に陥らせるほど猛威を振るったワームを作り、歴史に名が残る大事件を起こしたハッカー - GIGAZINE
 "Kamkar氏は、「Kamkar氏のプロフィールを見たユーザーが、自動的に相互友達になる」というコードを作成。さらに、このコードは相手ユーザーのプロフィールにも同じコードがコピーされるという非常に強力なものでした。"
2016/06/06 10の疑問を試して解明 セキュリティ大実験室 - 脆弱性を悪用するのは簡単か?:ITpro
 Metasploitで簡単にやれると
2016/06/06 市区町村の情報セキュリティ(1):市区町村のセキュリティ対策「4要件」とは (1/2) - @IT
 割と地に足ついてる>「持ち出し不可設定」「二要素認証」「ネットワークの分割」「通信の無害化」
2016/06/06 偽造カードで計20億円が一気に引き出された! セキュリティの脆弱性を突いた大胆手口とは (1/3) - ITmedia ニュース
 "遅れは加盟店のカード読み取り端末の多くが磁気ストライプ式にしか対応していないためで、経済産業省は平成30年にもIC対応端末の導入を加盟店に義務づける方針"
2016/06/07 趙 章恩「Korea on the Web」 - データを人質にする事件多発、韓国警察がサイバーテロ型犯罪取り締まり強化:ITpro
 "会社にばれたら「セキュリティ規定を守らなかったのではないか」、「会社のデータ管理を疎かにしたのではないか」と責任を取らされ解雇されるからという理由で、社員が個人的に身代金を払うケースも"
2016/06/07 新しい世代がデータプライバシーを切り拓く(1)なぜプライバシーの議論は分かりにくいのか - WirelessWire News(ワイヤレスワイヤーニュース)
 "動機や方法が全然異なるものであるはずが、「炎上リスク」とひとくくりにされ、企業の現場を委縮させる要因となっている"
2016/06/08 USB経由のスマートフォン充電に潜む危険 | Kaspersky Daily - カスペルスキー公式ブログ
 "初期設定のMTP(メディア転送プロトコル)モードで接続すると、スマートフォン内のファイルすべてがアクセス可能に"
2016/06/09 CNN.co.jp : シンガポール、省庁のネット接続遮断へ 安全性の向上図る
 "シンガポール政府は来年5月までに、各省庁にある約10万台のコンピューターのインターネットへの接続を遮断、公務員の勤務中のネットアクセスを不可能にする"
2016/06/09 インシデント調査に欠かせないログ管理、製品の相場観は? - ITmedia エンタープライズ
 "自社でインシデントを監視する場合はSIEMが必要になり、導入には700万円以上を要する"
2016/06/10 IT人材不足が深刻化、2030年には78.9万人不足に 経済産業省調べ - ITmedia ビジネスオンライン
 "各国のIT人材の年収比較調査でも、日本は年収500万円前後に回答者が集中している一方、米国では年収1000万円から2000万円の間に回答者が広く分布"
2016/06/10 マクロ悪用ウイルス復活、再燃の一因は「Officeの表示のせい」 - ITmedia エンタープライズ
 "Office 2010~2013になると、警告バーの「マクロを無効にしました」という通知の隣は「コンテンツを有効にする」というボタン" "これでマクロを有効にすればどうなるかをユーザーが理解しないまま、有効にしてしまう"
2016/06/13 Twitter、パスワードが流出したユーザーのアカウントを凍結 - ITmedia ニュース
 "位置情報や使用デバイス、ログイン履歴などからアカウントへの不審なアクセスを検出している"
2016/06/14 モバイル向けランサムウェア「FLocker」、スマートテレビにも影響 | トレンドマイクロ セキュリティブログ
 "Android版端末ロック型ランサムウェア「FLocker(エフロッカー)」がスマートテレビをロックした事例を確認"
2016/06/14 暗号化型ランサムウェア「JIGSAW」、顧客サポートを開始、支払いを促す | トレンドマイクロ セキュリティブログ
 "「JIGSAW」のタイマーは、感染PC の cookie の設定に基づいているだけなので、cookie が削除されればカウントダウンはリセットされ、24時間に戻ります"
2016/06/14 http://www3.nhk.or.jp/news/html/20160614/k10010556681000.html
  "松山市民およそ13万人分の名前や住所、それに電話番号などの個人情報データが入ったパソコンとUSBを県内の会社の関係者に提供"
2016/06/15 News & Trend - [詳報]JTBを襲った標的型攻撃:ITpro
 「問い合わせ内容も特段おかしいものではなかった。一目しただけでは(攻撃メールかどうか)分からない」
2016/06/15 パスポート番号漏えい、偽造のリスクは? 外務省に聞いた - ITmedia ニュース
 "日本のパスポートには、偽造対策としてICチップが内蔵されており、偽造や改ざんが困難になっている"
2016/06/16 小さい会社に不審な?メールが着弾した時の対応を考える。 - 家庭内インフラ管理者の独り言(はなずきんの日記っぽいの)
 おっしゃる通り>"それを気を付けないのはセキュリティ教育がなってないからだとか言われる""やれサンドボックスだ、疑似メール送信訓練だとか言われても、そんなの会社規模によって違うはず"
2016/06/20 自治体のセキュリティを強化せよ! - ディスカッション1 セキュリティガバナンスのあり方:ITpro
 "組織改編を実現できたのは、2015年7月にマルウエア被害に遭った経験が大きい""東北や関東など地域ブロックごとにセキュリティゲートウエイを設置して、振る舞い検知など高度な解析をやってもらいたい"
2016/06/21 記者の眼 - JTBの情報漏洩事故報告は遅すぎだ! ではいつだったら良かったのか?:ITpro
 確かに>"セキュリティ事故の公表タイミングを、企業側の判断にゆだねるのは無理なのではないか。政府がガイドラインを公表するなど、目安を示すべき時期に来ているのではないか"
2016/06/21 総務省が発表したAI(人工知能)の20の主なリスク(制御不能・反乱・野良ロボットなど)
 "人間に投棄された「野良ロボット」が徒党を組んで人間に対して参政権等の権利付与を要求するリスク"
2016/06/27 【やじうまWatch】「パスワードの定期変更をユーザーに求めるべきではない」……NISTの文書でついに明示へ - INTERNET Watch
 "併せて秘密の質問も使用するべきではないとしており"
2016/06/27 プレス発表 “情報処理安全確保支援士”と現行の情報セキュリティスペシャリスト試験の位置付けについて:IPA 独立行政法人 情報処理推進機構
 "支援士試験は、現在実施している国家試験「情報処理技術者試験」の「情報セキュリティスペシャリスト試験(以下、SC試験)」の内容をベースに実施されます"
2016/06/28 観光庁、旅行会社と「情報共有会議」、JTB問題受け | 旅行業界 最新情報 トラベルビジョン
 "観光庁は7月以降、業界関係者などからなる「旅行業界情報流出事案検討会」で再発防止策に関する検討を開始し、同月中の取りまとめをめざす"
2016/06/28 不正アクセス 少年「管理の甘さからかっていた」 | NHKニュース
 不正アクセスだから変に騒がれてるけど、「盗める場所にあったら盗んでいいのか」という万引きなんかに通じる問題だと思う。対策をすること、犯罪行為は罰すること、やらないように啓蒙すること、が大事なのでは
2016/06/28 事実と数字が語るランサムウェアの歴史と進化 | Kaspersky Daily - カスペルスキー公式ブログ
 画面ロック型ランサムウェア(ショートコードや電子ウォレットへ送金)が電子決済システムの規定変更で廃れて、ビットコインの普及で復活した、らしい
2016/06/29 ASCII.jp:単体では無害だが……アプリの「共謀」に注意、データ流出の恐れ
 "アプリAがアクセスした情報が、アプリケーション間通信を使用してアプリBに渡され、外部に流出してしまう恐れがある"
2016/06/29 「あやしいメールを開くな」は無意味? 掛け声で終わらせない方法 - ITmedia エンタープライズ
 せっかく擬似メールの訓練があっても、訓練後の解説が「怪しい添付ファイル/URLは絶対に開かないように!」ってだけだとうんざりしますよホント。それがわかれば苦労しないっつーの
2016/06/29 防犯カメラがDDoS攻撃、無防備なIoTデバイスに警鐘も - ITmedia エンタープライズ
 "世界105カ国に設置された防犯カメラ2万5000台を踏み台にして、大量のトラフィックを特定の標的に送り付ける分散型サービス妨害(DDoS)攻撃が仕掛けられる事件が発生"
2016/06/29 品川区、サイバー攻撃などによる情報漏えいを防ぐ新機能を装備 - ITmedia エンタープライズ
 "インターネット環境と機密情報を取り扱うイントラネット環境を分離し、職員のPCにはWebサイトの画面だけを転送することで、サイト閲覧によるウイルス感染を防ぐ"
2016/06/30 【やじうまWatch】暗号化のキホンをゲーム感覚で学ぶ、ユニークな学習支援ツールがMozillaから登場 - INTERNET Watch
 "1つの暗号化キーによってメッセージがどのように書き替わるのかといった、セキュリティの基礎を知るのにはぴったり"
2016/06/30 備忘録: ランサムウェアを拡散する「ばらまき型」スパムメールに対する対策
 "メールに添付されるJavaScriptは、ブラウザ上で実行されるのではなく、Windows上のWindows Script Host (WSH) で実行される。WSHには、ブラウザでのサンドボックスの様な制限はなく、実行ファイルと同様の処理が実行できてしまう"
2016/06/30 備忘録: 続・巧妙な標的型メールを見抜くポイントはある。しかも、Windowsの標準機能だけで、
 素晴らしい。「怪しい添付ファイルを開くな」という人はこれくらいキッチリ見極める方法を説明してほしい。
2016/06/30 【新連載】今日から始める「性悪説セキュリティ」:“性善説”で考えるセキュリティ、もうやめませんか? (1/2) - ITmedia エンタープライズ
 セキュリティ屋はずっと昔から性悪説信者だと思います。因業な職業です。

情報セキュリティスペシャリストの午後問題はインシデント対応の訓練にいいかもしれない

今さらですけど情報セキュリティスペシャリスト試験に受かりました。

www.jitec.ipa.go.jp

まず自慢

受かりましたいえーい。

過去2回受けてどちらも午前Iが通らなかったんですよ、ハイ。今回初めて午前Iで6割を超えて無事合格しました。今回の午前Iは前回前々回と比べるとかなり解きやすかった印象。午後IIは若干ハマって自己採点ではギリギリ落ちたかなーと思ったものの通ってました。

このまとめと文書メモ作成のために公的機関の文書を読んでいたことがかなり助けになった感。

security.nekotricolor.com

文書メモは「政府系の文言に慣れる」のに大変役に立ちます。自画自賛。

security.nekotricolor.com

と思ったらこの資格、来年度廃止になるそうでw

itpro.nikkeibp.co.jp

SCあれば情報処理安全確保支援士の資格がもらえるじゃんて話ですけど、前身の「情報セキュリティアドミニストレータ」は持ってるのであまり意味はなかった。

まあいいんだ。受かったし。

インシデント対応の訓練に

閑話休題。

午後問題は誰かが何かする→マルウェア感染発覚→原因追求→駆除・復旧→対策みたいな、インシデント対応に関する問題が1問は入っています。問題には簡略なネットワーク構成図やアクセス制御・フィルタリングルールなどの現状、インシデント発生時のログなど、現場以外ではなかなか見られないものが揃っています。最初に施した対策では不十分で再検討とか、システムだけでなくポリシーも変更が必要とか、ストーリー性も高く、「あーこれあの事件かなあ」と思わせる時事ネタを絡めてきていたり、趣向が凝らしてある。

たとえば平成24年度秋期の午後I問4(この時はまだ4問から2問選択)。

こんなネットワーク構成図があり、

sc1

Webサーバのログや、

sc2

IDSやファイアウォールのログ、サーバのリソースグラフなどが与えられ、インシデントの暫定対策と恒久対策について問われます。


もう一つサンプル。平成27年春期午後II問1のウイルス対策の問題。

ネットワーク構成図:

sc3

プロキシサーバやメールサーバでのウイルススキャンや、社員貸与のPCのウイルス対策などの説明があり、GW後にウイルス感染を発見するところからストーリーが始まります。

sc4

休み明けはウイルス対策ソフトの更新に時間がかかることなんかも問題視されています。

たとえば不幸にもCSIRTに組み込まれちゃった人や、IT部門でセキュリティ担当を押し付けられちゃった人が午後問題を解いてみると、インシデント対応がどんな感じか雰囲気はつかめるんじゃないかなあと思いました。現状とログを突き合わせて問題を探るというのはなかなかできないことなので、机上ではありますがいい題材なんじゃないかと。いつか「ここSC試験でやったところだ!」となる可能性もあるかもしれない。

残念ながら、問題に出てくるような気前と聞き分けのいいH事業部長や、機転のきくG主任などは想像上の人物ですけどね。

IPA 独立行政法人 情報処理推進機構:過去問題

試験対策

試験対策みたいのも一応書いておく。現役セキュリティ技術者向け。

午前問題は「応用情報技術者試験ドットコム」様のWebアプリ過去問道場だけやっとけばいいと思います。平成21年からの過去問をWeb上で解くことができます。ユーザ登録すれば学習記録もつけられます。ありがたいことです。それでも午前Iで2回落ちてるのは私がアホだからです。

www.ap-siken.com

なお、午前IIに不安がある方は「情報セキュリティスペシャリストドットコム」というのもありますのでそちらでどうぞ。

www.sc-siken.com

午後問題は独特の言い回しが結構あって、実務でバリバリやってる人でも受からないこともあるんじゃないでしょうか。問題の意図が読み取れないことも多い。

そこでお勧めしたいのはこの本。

ポケットスタディ 情報セキュリティスペシャリスト 第2版 (情報処理技術者試験)

ポケットスタディ 情報セキュリティスペシャリスト 第2版 (情報処理技術者試験)

後半の「速攻サプリ」を一通り読むと勘所がかなり分かるので、それから過去問題を解くのがいいと思います。
午後問題は慣れてくると推理小説を読み解くような面白さが出てきます。あーこの言い回し、伏線なんだろうなあ、みたいな。

CISSPやGSEを持っているような人には必要なさそうですが、たった5,700円で受けられ、過去問も全部公開されているわけですから、お得っちゃお得な資格かと。来年度以降は「情報処理安全確保支援士試験」となりますが、おそらく問題に大差はないと思われます。

itpro.nikkeibp.co.jp

政府もセキュリティ人材が不足してるというなら、CISSPの研修を教育訓練給付制度の対象にするとか(現状なってないよね?)、合格したら受験料や維持費用を援助するとかしてくれないかなぁw 個人で受けるには敷居が高すぎる。

はてなブックマークフィードを利用して月ごとのはてブをまとめる

今年毎月まとめているセキュリティに関する記事。「文書公開」「インシデント・脆弱性」「読み物」の3つのカテゴリに分けてまとめています。

security.nekotricolor.com

最初は地道に手でコピペしてましたがさすがに面倒なのと、せっかくはてなに越してきたのではてブを使いたい。ということで、「気になる記事ははてブしておき、月ごとにまとめる」ということにしてみました。

で、はてブはいろんなAPIを公開しているので、最初ははてブの各エントリの情報を取得して加工しようかと思っていました。

はてなブックマークエントリー情報取得API - Hatena Developer Center

が、フィードを取ってくれば、RubyでXML処理するだけでいけそう。

はてなブックマークフィード仕様 - Hatena Developer Center

タグの情報が入る要素があるので、しかるべきタグをつけておけば、各カテゴリについて簡単にまとめられそうです。

ブックマークのルール

記事に必要な情報は、

  • 記事作成日時
  • 記事タイトル
  • 情報源
  • 記事の引用・コメント

の4つ。

記事タイトルと情報源は、はてな記法の[記事のURL:title]の形で表示されるものをそのまま使います。

ということで、以下のようなルールでブクマするようにします。

文書公開 [YYYYMM][YYYYMMDD][securitydocument] 引用orコメント
インシデント・脆弱性 [YYYYMM][YYYYMMDD][securityincident] (引用orコメント)
読み物 [YYYYMM][YYYYMMDD][securitynews] 引用orコメント

2016年5月はこのルールでブクマしてみました。

201605に関するnekotricolorのはてなブックマーク

はてなブックマークフィードの仕様

ルールに沿ってつけたブックマークのフィードを取得し、Rubyを使って月次でまとめていきます。

フィードの使用については前述のここで説明されています。

はてなブックマークフィード仕様 - Hatena Developer Center

たとえば

http://b.hatena.ne.jp/nekotricolor/atomfeed?tag=201605&tag=securitynews

というURLから、以下のようなXMLファイルをGETできます。

<feed xmlns="http://purl.org/atom/ns#" xmlns:opensearch="http://a9.com/-/spec/opensearchrss/1.0/" xmlns:dc="http://purl.org/dc/elements/1.1/" xmlns:taxo="http://purl.org/rss/1.0/modules/taxonomy/" xml:lang="ja">
<title>201605とsecuritynewsに関するnekotricolorのはてなブックマーク (12)</title>
<link type="text/html" rel="alternate" href="http://b.hatena.ne.jp/nekotricolor/201605/securitynews/"/>
<link type="application/x.atom+xml" rel="service.post" href="http://b.hatena.ne.jp/atom/post" title="201605とsecuritynewsに関するnekotricolorのはてなブックマーク (12)"/>
<entry>
<id>
tag:hatena.ne.jp,2005:bookmark-nekotricolor-287084623
</id>
<title>
【セキュリティ ニュース】TFTPのリフレクション攻撃に注意 - 約60倍の増幅率(1ページ目 / 全1ページ):Security NEXT
</title>
<link type="text/html" rel="related" href="http://www.security-next.com/069607"/>
<link type="text/html" rel="alternate" href="http://b.hatena.ne.jp/nekotricolor/20160510#bookmark-287084623"/>
<link type="application/x.atom+xml" rel="service.edit" title="【セキュリティ ニュース】TFTPのリフレクション攻撃に注意 - 約60倍の増幅率(1ページ目 / 全1ページ):Security NEXT" href="http://b.hatena.ne.jp/atom/edit/287084623"/>
<summary>
“IPアドレスを詐称してTFTPサーバへファイルの要求を行うもので、要求を受けたサーバは、詐称されたIPアドレスに対し、ファイルの送信を繰り返し試みる”
</summary>
<content type="html">...</content>
<issued>2016-05-10T12:01:55+09:00</issued>
<author>
<name>nekotricolor</name>
</author>
<dc:subject>201605</dc:subject>
<dc:subject>20160509</dc:subject>
<dc:subject>securitynews</dc:subject>
</entry>
(略)
</feed>

ブログに必要な情報は以下のタグに入っています。

記事作成日時 feed/entry/dc:subject
記事のURL feed/entry/linkのrel="related"
引用・コメント feed/entry/summary

この3つの情報は、たとえば2016年5月分のsecuritynewsタグをつけたブックマークのフィードを「201605-securitynews.xml」として保存した場合、以下ようなRubyで取ってくることができます。
# 日付はYYYYMMDDをYYYY/MM/DDに変換してます。

require 'rexml/document'
doc = REXML::Document.new("201605-securitynews.xml")
date = url = summary = ""

doc.elements.each('feed/entry') {|entry|
 entry.elements.each('dc:subject'){|element|
   if element.text =~ /\d\d\d\d\d\d\d\d/
    date = element.text.scan(/(\d\d\d\d)(\d\d)(\d\d)/).join("/")
   end
 }
 url = entry.elements['link[@rel="related"]'].attributes['href']
 summary = entry.elements['summary'].text
}

これをうまいことはてな記法に入れ込めば記事完成。「文書公開」に関しては情報源も重要なので、手動で確認して書いてます。まあ数が少ないから気にならない。

なお、このフィードには1ページ20件しか出力されないので、ofパラメータを使って全件取ってくる必要があります。たとえば、2ページ目と3ページ目のURLは以下のようになります。

http://b.hatena.ne.jp/nekotricolor/atomfeed?tag=201605&tag=securitynews&of=20
http://b.hatena.ne.jp/nekotricolor/atomfeed?tag=201605&tag=securitynews&of=40

ブクマ数の表示

読み物については、ブクマ数も表示するようにしました。こんなことできるんですね。

自分のブログに「○○users」を表示する - はてなブックマークヘルプ

http://b.hatena.ne.jp/entry/image/エントリーのURL
という URL を指定すると、そのエントリーのブックマーク数を画像で取得することが可能です。

以上の手順でまとめたのが2016年5月の記事です。

security.nekotricolor.com

うん、この方が断然後から見直しやすい。

今後の課題

記事作成日時については、記事の中から作成日時が書かれている場所を探して手動でタグをつける、というようなことをやっていて、これはなんとか自動化したいところなんですがダメですね。フィードとかはてなの仕様とかではなく、そもそも記事の作成日時は、その記事の中を見ないとわからないんですよね。

みなさん苦戦しているようです。

upa-pc.blogspot.jp


英語の記事でもあった。

www.makeuseof.com


Google検索は結果にその記事がいつ書かれたか表示されるので、上記記事にはそれを利用する方法も書かれています(検索時に「&as_qdr=y15」をつけると確実に表示されるそうで)。ただこれはあくまでGoogleがその記事の存在を認識したときなので、正確ではない可能性も。

This date isn’t guaranteed to be the publication date. It’s usually the date that Google last noticed an update to that page.

Wayback Machineだと正確な日時が分かりそうですがそこまでするのもなあ。

Internet Archive’s Wayback Machine lets you know how many times the archive has saved a specific page, and between which dates. Often, you can even look at what that page looked like at specific points in time. This means you can prove that the quote or data you’re referencing was actually there on that date.

RSSからは当然作成日時が取れるのでなんとかなりそうなもんですが、今のところスマートに取得する方法は思いつきません。Readabilityに保存すると掲載日も保存されて「おっ」と思いましたが保存されない記事もあったりして。

最初に記事が公開された時刻というのは割と重要だと思うんですけど、表示方法が統一されてないですよね。HTML5では「pubdate」というのが公開日時を表す属性になる予定だったのが廃止になったそうで、代わりにSchema.orgの「dataPublished」を使えということになっています。

あなたが見逃してるかもしれないHTML5で廃止された5つの要素・属性 - Coding Design's Tumblr

pubdateを使うかわりにブログポスト用のスキーマを使うのがよいということになってるようです。

ちなみにはてなブログでは「pubdate」を使ってますね。以下ソース。

<a href="http://security.nekotricolor.com/entries/2015/04/16" rel="nofollow">
       <time pubdate datetime="2015-04-16T10:04:30Z" title="2015-04-16T10:04:30Z">
            <span class="date-year">2015</span>
            <span class="hyphen">-</span>
            <span class="date-month">04</span>
            <span class="hyphen">-</span>
            <span class="date-day">16</span>
       </time>
 </a>

作成日時に限らず、このHTMLの書き方の自由さというのには
セキュリティ新着情報をつぶやくボットの方でも苦労させられていて、少なくとも政府系では新着情報の書き方とか、せめて日時のフォーマットくらいは統一しろやと思うんですけど、HTML5が普及すればこの辺もラクになるのかしら(ならないんだろうなあ。

感想

4月まではタイトルが気になったものをとりあえず残している感じでしたが、それだとあんまり意味がないのでサラッとでも読んで要約になりそうな部分を引用するようにしたらだいぶいい感じになってきました。自分がなんの分野に興味があるのかも分かるし(最近はランサムウェア"業界"の変容ぶりが気になる)。その代わりAppleとFBIの攻防とか、興味のない分野は根こそぎ無視するのでそれはそれでいいのかなーと思いつつ。まあこういうのは後から意味が出てくるもので継続が大事なので、変に義務を課すようなことはせず、ストレスにならない方法を今後も模索していくつもりです。

セキュリティに限らず自分のはてぶをこういう風にまとめて置いておくっていうのは他にも使えそうな方法だな。ほんとRubyが書けるようになってよかった。

2016年5月に日本語で公開された主な脆弱性・インシデント・セキュリティ情報

2016年に目についた脆弱性やセキュリティインシデント、面白かった記事などを時系列で追えるようにする試み。

なお、以下の表ははてなブックマークフィードを使ってRubyで生成しています。

security.nekotricolor.com

インシデント・脆弱性

2016/05/03 OpenSSLの更新版公開、複数の脆弱性を修正 - ITmedia エンタープライズ
 “リモートの攻撃者にシステムを制御されたり、中間者攻撃を仕掛けられてトラフィックの暗号を解除されたりする可能性”
2015/05/04 ImageMagickの脆弱性(CVE-2016-3714他)についてまとめてみた - piyolog
 
2016/05/10 QuickTime for Windows の脆弱性対策について:IPA 独立行政法人 情報処理推進機構
  “当該製品の利用者は速やかにアンインストールを行い、代替製品の使用を検討してください”
2016/05/11 Amebaに不正ログイン5万件 リスト型攻撃受け、全ユーザーにパスワード変更呼び掛け - ITmedia ニュース
  "7日までに約5万件の不正ログインがあった""不正ログインの試行回数は223万回"
2016/05/19 今すぐLinkedInのパスワードの変更を | Kaspersky Daily - カスペルスキー公式ブログ
 “2012年に流出したログインとパスワード1億1700万人分が、売りに出されている”
2016/05/26 2016年5月の文科省なりすましメールについてまとめてみた - piyolog
 "慶應義塾大学の職員6名へなりすましメールが届いたことが確認されている"

読み物

2016/05/01 パスワードを定期的に変更させるシステム仕様には問題がある - GIGAZINE
  “イギリス政府通信本部の情報通信セキュリティ部門CESGが2015年に発表したパスワード運用ガイダンスは、定期的なパスワード変更に対して明確に反対しています”
2016/05/02 危険すぎる...病院へのサイバー攻撃が恐ろしく進化しているけど病院の準備不足が深刻化 : ギズモード・ジャパン
  “IT面アップデート用の資金捻出に苦労している病院もある" "古いシステムと、きちんとトレーニングされていないスタッフのコンビネーション”
2016/05/03 【海外セキュリティ】 USBメモリばらまき実験/セキュリティベンダーの年次報告書 - INTERNET Watch Watch
 “細工を施したUSBメモリを拾わせるという攻撃手法が有効であることを、ある程度証明した”
2016/05/06 エフセキュアブログ : 暗号化ランサムウェアのマネタイズ
 “バンキング型トロイの木馬のような他のマルウェアのモデルから取って代わり続けている”"時にはカレンダー上の行事に合わせている" 一億総バックアップ時代到来
2016/05/06 @ITセキュリティフォーラムGW特別企画:GW中に読みたいサイバーセキュリティ関連記事まとめ (1/2) - @IT
 “2016年1月~4月に@IT「Security & Trust」フォーラムで公開した記事の中から、「各月最も読まれた記事トップ3」を紹介”
2016/05/06 IEとEdge、7月からSHA-1証明書使用サイトの鍵アイコン消滅 - ITmedia エンタープライズ
 “「Windows 10 Anniversary Update」以降、EdgeとInternet Explorer(IE)では、SHA-1証明書を使ったWebサイトが安全とは見なされなくなり、アドレスバーの鍵アイコンが表示されなくなる”
2016/05/09 システムを感染させるためにマルウェアが使うPowerShell : マカフィー株式会社 公式ブログ
 “多くのサンドボックスシステム上では検知できないPowerShellと.lnkの組み合わせ”
2016/05/09 インタビュー&トーク - 「大こけ」の反省から生まれた新バージョン 海外でも手応え十分 :ITpro
 “社外での追跡消去もいいんだけど、それよりも社内を守りたい”"ファイルサーバーから社員のローカルPCにデータをコピーした時点でもう統制できなくなってしまう"
2016/05/09 2.7億件のログイン情報流出との報道、ほぼすべてのパスワードは無効--グーグルら声明 - CNET Japan
 “発見された2億7230万件のパスワードのサンプルを調査し、その大半は対応する電子メールアカウントと無関係であると判断した”
2016/05/09 【セキュリティ ニュース】TFTPのリフレクション攻撃に注意 - 約60倍の増幅率(1ページ目 / 全1ページ):Security NEXT
 “IPアドレスを詐称してTFTPサーバへファイルの要求を行うもので、要求を受けたサーバは、詐称されたIPアドレスに対し、ファイルの送信を繰り返し試みる”
2016/05/10 News & Trend - サイバー新国家資格「情報処理安全確保支援士」の全容、講習義務化で能力維持:ITpro
 “登録番号や登録年月日など支援士資格確認のために必要な事項の公開は必須とするが、氏名や勤務先などの公開は任意とする”
2016/05/10 DDoS攻撃クロニクル(3):インターネットにおけるDDoS対策が難しい理由(その2) (1/4) - @IT
 “この1年ほどでリフレクション攻撃が急増した""リフレクション攻撃は、図5のようにUDPベースで提供されるネットワーク上のさまざまなサービスを悪用して行われる”
2016/05/10 ランサムウェア「CryptXXX」に暗号化されたデータの復号ツールをKasperskyが無償公開 - 窓の杜
  "ファイルを復号するには、「CryptXXX」に暗号化されてしまったファイルの元のバージョン(暗号化されていない状態のファイル)が最低1つ必要で、暗号化されずにいるファイルが多いほど復号が機能"
2016/05/12 Verizon社のデータ漏洩/侵害調査報告書が重要である理由 : マカフィー株式会社 公式ブログ
 “データ漏洩・侵害の63%は弱いパスワードが関係”"フィッシングメールを受け取った人の30%がメールを開き、そのうち13%が添付ファイルやリンクをクリック"
2016/05/12 日本型セキュリティの現実と理想:第22回 ランサムウェアの意外な歴史といま猛威を振るう理由 (1/3) - ITmedia エンタープライズ
 “フロッピーディスクのラベルには「エイズ・ウイルス情報入門」とあり、受け取った人が信頼してこのプログラムをインストールすると、ランサムウェアに感染してしまう”
2016/05/12 SAP製品の古い脆弱性を突く攻撃横行、日本企業に被害 - ITmedia エンタープライズ
 “悪用された場合、HTTPを経由してSAPシステムに管理者権限でアクセスされ、情報やプロセスを制御される恐れ”
2016/05/12 通信の安全を守るためにエンジニアができること
 “相互接続性優先の考えは脆弱である いくら強い暗号スイートを優先的に利用できるようにしていても 中間者攻撃、ダウングレード攻撃に対して無力”
2016/05/13 Facebook、セキュリティ向上のためCTFキットをオープンソース化 | マイナビニュース
 “中高生レベルのセキュリティ教育に貢献するため、CTFを実行するためのバックエンドやゲームマップ、チーム登録やスコアリングシステムをオープンソース化した”
2016/05/13 匿名FTPサーバで重要情報が公開されていることへの注意喚起 | セキュリティ情報 | 株式会社ラック
 “情報が公開状態となっていたのは国内の約3400組織・個人”"管理が不十分なまま匿名FTPサーバを使っているのは、個人以外では中小企業がほとんど"
2016/05/16 セキュリティ・ダークナイト ライジング(外伝):「言葉では言い表せない絶望感だった」――ランサムウェア被害者が語る (2/5) - @IT
 “ランサムウェアは『業者でも身代金を払って復元している』。その後で、依頼者に高額の料金を請求している”
2016/05/17 【やじうまWatch】「cyberjapan.jp」廃止に伴う国土地理院のなにげない発表にネットユーザー絶句 - INTERNET Watch Watch
 “「廃止」ではなく「運用停止」との表現に”
2016/05/17 ランサムウェアの被害はどこまで深刻化する?--企業はどう備えるべきか - ZDNet Japan
 “「Android」機器が「Dogspectus」というランサムウェアの標的となり、Linuxシステムも暗号化型ランサムウェアの標的となる事例が増加している。また「OS X」も最近、「KeRanger」というランサムウェア”
2016/05/17 豪州「サイバー報復」を明言 新サイバーセキュリティ戦略に注目が集まる | THE ZERO/ONE
 “サイバー攻撃から自国を守る戦略ではなく、「相手国をサイバー攻撃する」戦略”
2016/05/18 セキュリティ、いまさら聞いてもいいですか?(8):なぜ、GPSをオフにしても「位置情報」が取得できるの?――最低限押さえておくべき位置情報取得の仕組み (3/4) - @IT
 “超音波を発生させる装置を店舗に設置し、その音波を「スマートフォンのマイクで拾う」”
2016/05/18 TeslaCrypt shuts down and Releases Master Decryption Key
 "while their previous distributors have been switching over to distributing the CryptXXX ransomware.”” used the support chat on the Tesla payment site to ask if they would release the master TeslaCrypt decryption key." "they agreed to do so"
2016/05/19 ランサムウェア TeslaCryptによって暗号化されたファイルの復号手順メモ | (n)inja csirt
 “手元で暗号化の後拡張子を「.mp3」に変更するTeslaCryptに感染し、そのファイルを公開されているツールで復号することができるかどうかを試しましたのでその手順を公開します。”
2016/05/19 スマホの位置情報をアプリが無断で広告サービスへ提供していたことが発覚、アプリ開発元が謝罪 - GIGAZINE
 “RunkeeperのAndroidアプリ内で使われている、「Kiip」というサードパーティー製の広告サービスに関連するバグ”
2016/05/19 LinkedInの2012年の情報流出、新たに1億1700万人のパスワードが闇市場で流通 - ITmedia エンタープライズ
 “パスワードはSHA-1を使ってハッシュ化されているものの、強度を高めるためのソルトは行われていなかった”
2016/05/20 さらば、TeslaCrypt:最終ラウンド | Kaspersky Daily - カスペルスキー公式ブログ
 “TeslaCryptをばら撒いていた活動は、CryptXXXのばら撒きにシフトしています(Kaspersky Labは救済ツールを開発済み)”
2016/05/21 政府、サイバー攻撃に対応するための新組織を設置する方針 | スラド セキュリティ
 “公務員身分じゃなくて、非常勤職員(月額14万円くらい、3年任期)で雇う側に都合のいい人材を集めたいだけなんでは?”
2016/05/22 http://headlines.yahoo.co.jp/hl?a=20160521-00050136-yom-soci
 “約2時間半の間に、100人以上の犯人グループが各地で引き出した”
2016/05/22 LinkedInから流出したパスワードトップ50 | マイナビニュース
 “123456 linkedin password”
2016/05/24 グーグル、パスワード入力に代わる「Project Abacus」を今夏試験運用へ - CNET Japan
 “ユーザーの入力方法や話し方を解析し、端末上のセンサからの信号を組み合わせて、本人であることの確からしさを計算”
2016/05/24 「セキュリティ心理学」入門(5):「ヒューマンエラー」は個人の責任ではない (1/3) - @IT
 "個人の努力だけでエラーに対応するのは難しい"
2016/05/25 止まらぬランサムウェアの猛威、2016年1~3月期の脅威動向を分析 | トレンドマイクロ セキュリティブログ
 "ランサムウェアの検出台数は国内では前年同期比9.2倍、海外でも前年同期比3.7倍となっており、法人、個人を問わず世界的に増加" "メール経由での攻撃の拡大"
2016/05/25 Tech TIPS:Windowsのセキュリティ設定を記述するSDDL文字列とは? - @IT
 “監査の設定や、DCOMのセキュリティ設定など、セキュリティ関連の設定項目で広く利用されている表記方法”
2016/05/25 コンビニATM14億円不正引き出し、管理甘い日本が狙われる | ワールド | 最新記事 | ニューズウィーク日本版 オフィシャルサイト
 "より新しく安全性が高い「チップ・アンド・ピン」システムを導入しておらず、旧式で安全性の低い「磁気ストライプ」のカードが通用する国"
2016/05/25 定期的なパスワード変更は危険? World Password Dayに英諜報機関が警告 | THE ZERO/ONE
 “これまで使ってきたパスワードに少しだけ変化を加えた文字列を設定したり、パスワードをどこかに書き留めてしまったり、ひとつの「新しいパスワード」を複数の認証で利用したりする”
2016/05/26 自分のメールアドレスの漏洩状況をチェックできる「Have I been pwned?」 - 知っ得!旬のネットサービス - 窓の杜
 “メールアドレスを登録することで、新規に発生したインシデントにメールアドレスが含まれていた際に通知を受け取る機能も用意”
2016/05/27 最近の不正ログインの傾向 Yahoo編: 独房の中
 "YahooメールにIMAPでの不正ログイン"
2016/05/27 10の疑問を試して解明 セキュリティ大実験室 - 無線LANのSSIDを隠すのは効果ある?:ITpro
 “本当に、隠蔽されたSSIDは簡単に解析できるのか。実際に試した”
2016/05/27 Microsoft、安易なパスワードを使用禁止 攻撃にも対抗措置 - ITmedia エンタープライズ
 "どのようなパスワードが狙われているのかを分析し、当座の攻撃対象になっていると思われるパスワードをMicrosoft Accountなどで使えないようにする対抗措置" "禁止パスワードのリストは動的に更新"
2016/05/30 安易なコピー&ペーストによりユーザーに任意のコードを実行させるPoC「Pastejacking」の危険性。 | AAPL Ch.
 “一見目的のコードしか記載されていないWebページでもJavaScriptを利用することでクリップボードへ任意のコードを送り、クリップボードへペーストした時点でそのコードを実行させる”
2016/05/30 【清水理史の「イニシャルB」】 セキュリティ被害発生! 「調べてよ」と言われたときの準備は大丈夫? - INTERNET Watch Watch
 “キャプチャしたパケットからファイルを取り出す方法や一部の情報しか与えられていなログから感染端末を探す方法など、実戦で役立つ情報がかなり詰め込まれている”
2016/05/31 総務省|「IoTセキュリティガイドライン」(案)に関する意見募集
 
ランサムウェアのイラスト(スマートフォン) | 無料イラスト かわいいフリー素材集 いらすとや
 どこかで使うかも

デジタル・フォレンジック研究会「証拠保全ガイドライン第5版」メモ

@nekotricolorはCTF for GIRLSの運営のお手伝いをしています。

girls.seccon.jp

で、次回のCTF for GIRLSのテーマはフォレンジックです。

ということで読んでみました。2016年4月21日に公開されたものです。

digitalforensic.jp

構成

1 事前に行う準備
1.1 インシデントレスポンスを想定した初動対応、証拠保全プロセスの検討及び体制の確立
1.2 インシデントレスポンスに関連する情報収集、情報共有及び分析
1.3 インシデントレスポンス(初動対応、証拠保全)時に必要と考えられる資機材等の選定及び準備
1.4 インシデントレスポンス時に使用する資機材等の熟達
1.5 Web で提供されているサービスの保全
1.6 クラウド環境の保全

2 インシデント発生(又は発覚、以下同じ)直後の対応
2.1 インシデントレスポンスが未実施の場合の活動
2.2 インシデントレスポンスが着手済みである場合の活動
2.3 インシデントレスポンスを円滑に進めるための活動

3 対象物の収集・取得・保全
3.1 対象物の状態の把握
3.2 収集・取得・保全するための対象物の処置
3.3 その他、収集・取得・保全する必要性がある対象物

4 証拠保全機器の準備
4.1 複製先(コピー先、以下同じ)に用いる媒体(記憶装置) 
4.2 証拠保全機器に求められる機能
4.3 証拠保全ツールに関する要件
4.4 その他、証拠保全に必要な機器・機材・施策の準備

5 証拠保全作業中・証拠保全作業後
5.1 代替機・代替ツール・代替手段の準備
5.2 立会人等
5.3 同一性の検証
5.4 証拠保全の正確性を担保する作業内容の記録
5.5 複製先の取扱い
5.6 Web で提供されているサービスに係る収集・取得・保全
5.7 ネットワークログからの証拠データ抽出

付録。濃ゆい。

1 チェックシート(デスクトップ PC の場合)
2 証拠保全ガイドライン用語集(Glossary)
3 デジタル・フォレンジックに関連する我が国の主な刑事法
4 関連資料紹介
5 Chain of Custody(CoC)シート例
6 刑事・⺠事におけるデータ収集と解析フローイメージ図
7 参考資料
I 「供述証拠と事実認定の実務(概論)」
II 「デジタルデータの証拠化・同一性確認調査手続き報告書例」
III 「今後のデジタル・フォレンジックの在り方と課題」
IV 「代表的な収集及び分析ツール」
8 IDF 団体会員「製品・サービス区分リスト」
9 「証拠保全ガイドライン」改訂WGメンバー(委員・オブザーバー及び事務局)

感想

とりあえず目次にページ番号つけてほしい・・。

「3.2 収集・取得・保全するための対象物の処置」以降は非常に具体的に書かれていてものすごく参考になります。対象物の電源が入っているか、ノートPCかデスクトップか、などケース別に実際の処置方法が記されています。ケーブルを刺した状態で写真を撮っておくとか思いつかなかった。

 各装置・ケーブルの取り外しの際は、解析時におけるシステムの正確な再現、作業後の現状復 帰を可能にするため、どのケーブルや機器が、どこに取り付けられていたかを、粘着性の低い タグ、専用の荷札タグ等を貼って明確にする*1

ジャンパーピンの状態まで記録しろって書いてある。

○ 対象となる HDD にジャンパーピンがある場合には、その状態を記録しておき、証拠取得時の影響 について検討する。*2

どうしてもネットワークトラフィックやログなどのソフトウェア的な部分に目が行きがちですが、取り外してどこかに調査を依頼したり証拠として提出したりする事を考えると、ハードウェア的な部分も重要ですよね。

デスクトップPCの場合の処置手順をまとめた付録1のチェックシートはそのまま使えそうです。実際にここまでやるのは大変そうですけどねー。

付録 3「デジタル・フォレンジックに関連する我が国の主な刑事法」はフォレンジックに限らずセキュリティに関わる人は読んでおいたほうがよさそう。関連する法律の列挙だけでなく解説も入ってます。

なお、技術者の間で、完成度の低いOSや、深刻なバグを含むプログラム自体がこの「不正指令電磁的記録」にあたるのではないかという誤解があるようであるが、(略)一部の者だけが、 「このようなプログラムは、けしからん」などと言っていても通用せず、一般のコンピュータ・ユーザ ーが「このプログラムはウイルスだ」という認識を持つことが必要であろう。*3

こんな風にざっくばらんに解説されているので面白いです。

「3.3.2 対象物のマニュアル・ユーザガイド等のドキュメント類」にあった、メーカーごとのBIOS起動キーをまとめたこの表はフォレンジックに限らず使えそう。

PC 製造者 BIOS 起動キー
Acer Del 若しくは F2
旧 Compaq F10 若しくは F1, F2, Del
Dell F2
eMachines Tab 若しくは Del, 或いは F2
Fujitsu F2
Gateway F1
Hitachi F2
HP F10
IBM/Lenovo F1 若しくは F12
Lenovo F1 若しくは F12
NEC F2
Panasonic F2
Phoenix Award BIOS 標準 DEL
Sony F2 若しくは F3 のち F2, F3のちF1
Toshiba Esc のち F1

*4

改訂履歴を見つけられなかったので第4版との差分はよくわかりません。目次の中項目を比べてみましたが変わっていないようです。

*1:P.18「3.2.1 対象物がコンピュータで、電源が OFF の状態の場合」

*2:P. 28「4.4.3 IDE HDD に設置されているジャンパーピンの取扱い」

*3:P.43〜P.44 「不正指令電磁的記録作成等」の解説部分抜粋

*4:P.24 表 2 製造者別の主な BIOS 起動キー

2016年4月に日本語で公開された主な脆弱性・インシデント・セキュリティ情報

2016年に目についた脆弱性やセキュリティインシデント、面白かった記事などを時系列で追えるようにする試み。

脆弱性・インシデント

日付 記事
2016/04/04 アダルトサイトの広告から侵入、日本語のAndroid向けランサムウェアが上陸 | アプリオ
2016/04/05 米CNBCがセキュリティ記事を悪用してパスワードを収集・共有していたことが明らかに | スラド セキュリティ
偽のjQueryを利用した攻撃、「WordPress」「Joomla」を利用するサイトで急増 - ZDNet Japan
2016/04/06 緊急注意喚起-国内民間企業でも被害が深刻化するランサムウェアの脅威 | トレンドマイクロ セキュリティブログ
ニュース - ウイルスメールに注意! ユーザー名を固定してドメイン名を入れ替える珍しい手法:ITpro
「iOS 9.3.1」にバグ--ロック画面から連絡先や写真にアクセス可能に - CNET Japan
2016/04/11 【セキュリティ ニュース】会員約1.3万件の不正ログインが判明、個人情報取得が目的か - JR東日本(1ページ目 / 全2ページ):Security NEXT
2016/04/12 SQL Server 2005 移行促進キャンペーン - MSBC
Badlock (CVE-2016-2118/CVE-2016-0128)についてまとめてみた - piyolog
2016/04/13 2016年4月 Microsoft セキュリティ情報 (緊急 6件含) に関する注意喚起
2016/04/15 US-CERT、「QuickTime」を「Windows」PCから削除するよう勧告 - CNET Japan
2016/04/22 プレスリリース - 【重要】ケータイキット for Movable Typeの脆弱性について | アイデアマンズ株式会社
J-WAVE Webサイトへの不正アクセスについてまとめてみた - piyolog
2016/04/27 Apache Struts2 の脆弱性対策について(CVE-2016-3081)(S2-032):IPA 独立行政法人 情報処理推進機構
ニュース - Struts 2の脆弱性狙う攻撃が国内でも発生、至急回避策を:ITpro
2016/04/28 NTPに複数の脆弱性、更新版で修正 - ITmedia エンタープライズ
ドイツの原子力発電所のコンピューターからウイルスが発見される - GIGAZINE

読み物