3月23日に情報セキュリティ・セミナーに参加してきました
参加のきっかけ
今年の4月から大学のセキュリティ学科に入学します。朝から入学準備説明会に参加していました。家に帰り、たまたまTwitterを見ていたらあるセキュリティ学科の先輩が午後から大学でセキュリティセミナーがあるとTweetしていたので「これは参加せねば」と思い参加しました。
今日は大学でセキュリティセミナーがあります!
— 🌸機械音痴の鯖防人🌸⛅ (@server_boujin) 2019年3月23日
発表するのは、セキュリティ業界で有名なあの方!
学生向けの内容ではないかと思いますが、予定が空いてる学生や、新入生も参加可能だと思いますhttps://t.co/T1sHoqnjM1
講師の名和 利男 氏はセキュリティ学科のパンフレットにもコメントを寄せておられます。こういった方のお話を聞く絶好の機会でした。
内容
以下はセミナーの後、レジュメを見ながら自分の記憶を頼りに書いたメモ(一部加筆あり)です。もし内容に誤り、抜け漏れがある場合、指摘してください。
テーマ:社会的出来事と連動するサイバー攻撃と今後想定すべきサイバー脅威
ページ番号は当日配布されたレジュメのものである。
P.4
2017年は諸外国がサイバー空間での対策を完了した年である。
(例) ロシアの電子戦能力の保持
なお、日本がサイバー・電子戦対策を強化した防衛大綱を発表したのは2018年12月11日のこと。
P.5~6
トレンドは水飲み場攻撃
ターゲットを直接攻撃するのではなくターゲットがアクセスするサーバーに罠を仕掛ける。
(例) 金融監督局のサーバーに侵入される→主要銀行で不正送金の被害
P.7~8
ネットに繋がっていない≠安全
スタンドアローンでも外部媒体経由でマルウェア感染する。(ラテラルムーブメント)
マルウェアがPCのセキュリティ機能を停止させてしまうため対策ソフトが入っていても反応しない。
感染拡大するまでに時間がかかるがシステムに異常が出ないため誰も気づかない。
P.11~12
電力会社をターゲットにした攻撃
発電所・送電ネットワークへ攻撃するのではなく、遠隔監視操作拠点を攻撃する。
P.15~16
アプリ配信プラットフォームでの悪意のあるアプリ配布
連絡先、カメラ、マイク等の権限を取得し外部に送信する。
P.17~18
個人宅のIoT機器(ゲーム機、コーヒーメーカー、冷蔵庫等)が標的になる。そのため総務省がNOTICEを始めた。
名和氏によると「NOTICEは政府による不正アクセスだ」と非難する人はIoT機器がすでに悪用されているという現状を知らないだけだそうだ。
つまり情報セキュリティにおいては正確な現状の認識が重要である。
P.22
スマホは皆、常に持ち歩いているため格好の標的となる。
スマホの音声認識入力(Siri、Googleアシスタント等)、AIスピーカーも盗聴器となりうる。
名和氏のスマホのGPSは物理的に破壊してあるそうだ。(位置情報を知られないために)
P.23
中間者攻撃
攻撃者がニセのWi-Fi(ターゲットが使っているSSIDと同じものを作成)を用意してターゲットにアクセスさせる。(evil twin攻撃)
(例) 原子力発電所の近くに車を止めて、その車からWi-Fiを発信、発電所内の機器の情報を抜き取る
日本でも首相官邸の近くでニセのWi-Fiを発見した。委託業者へのサイバー攻撃
下請けSIer等を経由してシステムに侵入する。
社内に出入りしている清掃員等になりすまして盗聴、盗撮をする。スマホへのサイバー攻撃
社員のスマホを乗っ取り、位置情報の取得、盗聴、盗撮をする。
(参考) フィットネスアプリで軍事機密が流出、米軍が使用禁止令
P.36
2019年以降のサイバー環境の変化
OTT事業の拡大
コンシューマーはTVからスマホへ遷移してきている。
なので広告スポンサーの出資もTVからネットサービスへ。
(参考1)ディズニーはHuluへの投資で600億円以上の赤字、それでもストリーミング配信でNetflix・Amazonを追撃する
(参考2)世界バレー、TBSが億単位の赤字見込み CM収入低迷
クリスマスプレゼントも物理的なものからオンラインアイテムへ。
(参考) ドイツ取引所、ゲームアイテムの取引市場を設立へ- 利便性向上とセキュリティの関係利便性が向上すればするほどセキュリティは低くなる。
(例)地震の際、避難を指示するアナウンスが全て日本語だったため訪日外国人が危険な場所に行ってしまった。このようなことを避けるため翻訳できるシステムを導入した。しかしそのシステムのセキュリティが弱いため避難を促すアナウンスが改ざんされる恐れがある。
P.45
セキュリティ事案への対処
認知(ユーザー・システム等)→意思決定(管理者・経営層等)→対処(専門機関)というプロセスが大切
WannaCryはMicrosoftから修正パッチが出ていたのにそれを適用できなかったマシンが感染した。
なぜパッチを当てることのできないマシンがあったのか?
それはパッチが配布されたのが2017年3月であり、近くに株主総会や決算報告を控えシステムを簡単に止められる環境ではなかったことが原因。そして2017年5月までそのままだったマシンが被害にあったということだ。(P.9参照)
この場合、情シスや経理では適切な判断ができない。そこで経営層が状況把握→判断・合意→指示することが重要となる。
質疑応答
Q.強度の高い暗号を利用しても情報を抜き取られてしまうのか?
A. 抜き取られてしまう。攻撃者は暗号化する前のデータを狙うため暗号の強度に関係ない。
Q. セキュリティ人材を育成するための環境はどのようにすればよいのか?
A. 最近は規則が厳しくなり自由なことができなくなってきているので人材育成もしにくくなってきている。人材育成のカリキュラムを受ける人が自由に暴れることができる環境があれば良いのではないか。また日本ではしっかり環境が整っていないため海外の軍隊で実務を積むのが手っ取り早い方法である。
Q. (利便性向上とセキュリティの関係 の話を踏まえ)利便性とセキュリティのバランスの取れた開発はどのようにすればよいのか?
A.(OSi参照モデル
を見ながら)今まで上の層のセキュリティを重視した開発・研究が行われてきた。一方下の層(ネットワーク層より下)は昔とあまり変わりがない。下の層のセキュリティを研究して強化していけば良い。
感想
一般の方を対象としたセミナーでしたがこれからセキュリティを専攻する学生にとっても、有意義なものでした。また参加者は高校生から高齢の方まで老若男女問わず多岐に渡っていたのが意外でした。
セミナーが始まる前にスクリーンに映し出されていた、海外のクラッカーたちが電光掲示板をハッキングする映像にかなりの衝撃を受けました。
セミナーの中で名和氏は「目、耳、鼻を使って問題を認知する」という言葉を随所でおっしゃっていました。マルウェアによる仮想通貨のマイニングでも触れていたように情報セキュリティにおいて正確な現状の認識がいかに大切なのかが改めて実感できました。
自分はこのようなセミナーに参加するのは初めてで(今まで参加できるような環境がなかった)お話を聞いて感動し、勢いでこれを書きました。
今後もこのようなセミナーには積極的に参加したいです。