副題「深刻化する事業への影響:つながる社会で立ち向かえ」
独立行政法人情報処理推進機構(IPA)が発行しています。
241ページもののPDF
https://www.ipa.go.jp/security/publications/hakusyo/2018.html
販売もされていますが、アンケートに答えると貰えます。
ざっくり読んだので意訳しつつ、気になった点などを。
相互認証というか、クロス評価はピアピアな社会において作用点かもしれんですな。
2017年度の主な情報セキュリティインシデント・事件
- 2017/5 Wanna Cryptor(別名WannaCry) 身代金型ウイルス
- 2017/9 JALビジネスメール詐欺 約3億8,400万円の被害(送金先口座変更を伝える偽の電子メール)
- 2017/10 仮想通貨のマイニングツールが確認される(coinhiveがらみ)
- 2017/10 無線LAN の暗号化規格であるWPA2 の脆弱性(KRACK/KRACKs)
- 2018/1 仮想通貨交換取引所Coincheck/から約580億円相当の仮想通貨NEMが不正流出
- 2018/3 最大8,700万人のSNS個人情報が米国選挙工作のため不正利用発覚
気になったのを要約するとこんなかんじ
世界における情報セキュリティインシデント状況
身代金の平均要求額は522 米ドルで、2016年の1,070米ドルの半額以下となった。またランサムウェア提供グループは淘汰され、新たなファミリーの出現は2016年の98から2017年の28に急減した
かなりの推測を含むのだけれども、再利用されているコードなどから北朝鮮などの国家規模での身代金型ウイルスがかなり出回ったのではないかという強い示唆がある。
これが急減した理由などは、おそらく費用対効果の面で仮想通貨などへのアタックのほうが実りが大きいことに気がついたからだと思われる。
それを強く示唆する情報はこの記事の最後にとりあげる国内のコンピューターウイルスの認知数にも現れているように思う。
不正コインマイナー
■図1-1-14 日本における「コインマイナー」の検出台数推移
一般のインターネット利用者に意図しないマイニングをさせるツール「コインマイナー」を拡散させる脆弱性攻撃サイトが2017 年5 月から急増した。また、9月に「Coinhive」が登場し、攻撃者がこれを悪用するようになると、コインマイナー検出台数は過去最多となった。
Coinhive は、Web サイト閲覧者のパソコンでマイニングを行うことで、広告の代替となる収益をWeb サイトの運営者に提供するサービスであるが、この仕組みを悪用して容易に不正マイニングの実行が可能になる※ 20。これが不正マイニングに拍車をかけ、10 ~ 12 月の3ヵ月間だけで13 万5,370 台が検出されることとなった
※ 20 トレンドマイクロ社:不正広告により、仮想通貨発掘ツールが拡散
される http://blog.trendmicro.co.jp/archives/16904〔参照2018-06-05〕Webサイトの広告には、Coinhive だけでなく、私有のマイニングプールに接続する別の仮想通貨発掘ツールも確認
//
Googleのオンライン広告配信プラットフォーム「DoubleClick」を悪用
//
正規の広告が Webページで表示される裏で、二種類の仮想通貨発掘ツールが自身のタスクを実行
昨年は国内ではCoinhiveを自身の管理するサイトに設置しただけで逮捕される案件が十数件発生した。
Coinhiveがお行儀のよいスクリプトかはおいておいて、ブラウザの構造を考えれば、プログラムを取得して実行する主体は閲覧者側であるので、既存のウイルス等作成罪は当てはまらないように思う。既存の広告などとの技術的な区分は難しく正直逮捕の根拠が薄弱であるように思う。
これは以前、こちらの記事に書いた。
https://kuippa.com/blog/%E9%81%95%E6%B3%95%E3%83%9E%E3%82%A4%E3%83%8B%E3%83%B3%E3%82%B0%E3%81%A8%E3%81%95%E3%82%8C%E3%81%9Fcoinhive%E3%81%AE%E6%B3%95%E3%81%A8%E6%8A%80%E8%A1%93%E3%81%AE%E3%81%AF%E3%81%AA%E3%81%97/
他方、ここで話題になっているのは、これらの技術要素をベースに改変し、既存の広告配信プラットフォームに載せ広告掲載主体者と閲覧者の両方を謀る悪意のあるものである。潜伏、発症、増殖というコンピューターウイルスの定義に立てば、こちらは明確に悪意のあるものである。
隠蔽しようとする意図があり利益教授者も匿名化しているものと、自身の利益のために設置したものの区別が怪しいままこれらを十把一絡げに扱い不正としてしまうことに先暗さを覚える。罪刑法定主義は守ってほしいものだ。
ランサムウェアによる被害
ランサムウェアとは「ransom」(身代金)と「software」(ソフトウェア)を組み合わせた造語
個人的印象としては2015-6年ごろのイメージ。
WannaCryかな。
標的型メールによる金銭被害
本来の取引先とは別のメールアドレスから、送金先口座変更を伝える偽の電子メールがJALに届き、それを信じた担当者が、香港の銀行に開設された偽の口座へ送金
巨額だからあれだけれども、ウイルスですらないただのおマヌケ担当だよね。だけれども多分その前の段階でソーシャルハックが試みられてて、取引先の企業情報とかが抜かれてるんだと思う。
サーバー攻撃を受け情報が流出したところと、被害の標的にされるところが必ずしも一致しない事象がこれから増えるかもね。
DDoS攻撃
図1-3-3 DNSリフレクター攻撃のイメージ
図1-3-4 「memcached」を悪用して攻撃を増幅する手口
ザル設定のmemcachedを踏み台にあんぷりふぁいしてDoSの重みを増す。いたずら電話での蕎麦屋ピザ屋寿司屋に相当。
ただいたずら電話よりも物理で重い。memcachedの悪用頻度高いよね。
第2章 情報セキュリティを支える基盤の動向
えっ、私も個人情報取扱事業者!?
2017 年5 月30 日から、すべての事業者に「個人情報保護法」が適用されています。
個人情報保護法が2005 年に施行された後も、取り扱う個人情報の数が5,000 人分以下の事業者には適用されていなかったため、多くの中小企業では適用が除外されていました。
理解が古いままだった。全部の事業者とは知らなかったよ。
2.3.3 欧州のセキュリティ政策
欧州では2018 年5 月9 日に、「ネットワークと情報システムのセキュリティに関する指令(The Directive on
security of network and information systems)」(以下、NIS 指令)2018 年5 月25 日にGDPR が発効GDPR 実施の準備状況2016 年に成立したGDPR ※ 171 は、EU 市民の個人
データの保護に関する包括的な規則である。P107
GDPRの対応はかなり重たいと思う。零細は対応しきれないかもしれないけれども大手で対応してないのだとかなりまずいことになる昨年のビッグキーワード。これだけで章立てしてもよかったんじゃないかと思う。
GDPRについて要約する
- データ主体(Data Subject):サービス間の個人データ移転を容易にするデータポータビリティ、委託した個人データを消去する忘れられる権利等、データ主体の権利が強化。権利保護範囲は個人データが移転され得る第三国にも同等の保護が求められる。
- データ管理者(Data Controller):大規模な個人データ処理を行う企業(データ管理者)は、データ保護責任者を選任して遵守状況を監督機関に報告しなければならない。
- データ処理者(Data Processor):データ管理者を代行してデータ処理を行う。クラウド事業者等も含まれる。データ処理者はデータ管理者によって選任。
GDPR規則の違反行為に対して、制裁金は最大で事業者の全世界年間売上高の4%、または2,000万ユーロのどちらか高額な方。遵守状況報告義務に違反した場合等の制裁金は最大で全世界年間売上高の2%、または1,000万ユーロのどちらか高額な方。
つまり、ちょっと扱いを間違えるだけで軽く死ねる重要なルールの変更だ。巨大な死亡フラグでもある。大して効果もないマーケティングぐらいのために個人情報を保有するぐらいなら、集めない方が事業リスクが確実に低くなった。
2.4 情報セキュリティ人材の現状と育成
項目に期待したのだけれども取り上げるような内容がなかった。
セキュリティ・キャンプだとかハッカソンやりましたぐらいのものだ。残念。
こういうのをやらなきゃいけないとして、日本で基礎的な経営マネジメントの知識を持ってる人どれくらいいるのだろうか。まわりの社長さんたちを見ても実務で理解しているだけで体系的なものは知らない人のほうが多い。
これは無茶が通れば道理がひっこむのごとく、教科書上のことが実務ではまったく環境になってしまっていることも強い要因である。そのような経営環境に引きずられるので、論理的な戦略マネジメント人材の育成をしても活かす場がないように思う。制約条件が強すぎる。
全国には421万社会社があるが、コストセンターにしかなりえないセキュリティ人材が需要により育つのを期待するには、それだけの数の事故がおきなければならない。それは望むべくもないことだ。
それよりは、社長さんに中小企業診断士とかMBAコースの情報システムの基礎を教えるほうが、効果的ではないか。
「産業横断サイバーセキュリティ人材」
会計士とか社労士的な位置づけにして企業間で共有するのは現実味があるかもしれない。たぶん無理だけれども。
3.2 仮想通貨の情報セキュリティ
2017 年4 月、改正資金決済法が施行
金融庁・財務局の登録を受けた事業者のみが、国内において仮想通貨の交換等を行うことができる。
財産保護・マネーロンダリング対策の観点から、利用者財産の分別管理義務や本人確認義務等が課せられる。
足の遅い規制当局にしては早かったような気もする。
2)仮想通貨不正移転問題
2018 年1 月26 日、コインチェック社が運営する取引所「Coincheck」から、5 億2,300 万の仮想通貨「NEM」が何者かによって不正移転された。被害者数は26 万人、被害総額は当時の換算で約580 億円相当に上る
事故がおこったからだけれども。
当初NEM のモザイク機能等を利用することで、ホワイトハッカーらに監視されたものの、その後匿名通貨との交換やダークウェブ取引所を介する等により、ほぼすべてが他の仮想通貨へ交換され、事後追跡が困難となった
つまるところまるまる取り逃がした。
580億の純金融資産となると結構大きめの会社とかに相当する。これを隠蔽できるのは、国家単位での取り組みとか国際的なアンダーグランドな組織だろう。両方かな。
3.2.3 その他の動向
ICOとは、企業等が電子的にトークン(証票)を発行し、公衆から資金を調達する行為の総称である。電子的なトークンを仮想通貨とすることで、国際的かつ自由な資金調達が可能となる。
新規仮想通貨公開(Initial Coin Offering:ICO)のことかな??
自社の仮想通貨発行という感じなのだろうか。
企業が発行するコマーシャルペーパー(無担保約束手形)が電子トークンになった?
日本だと出資法の束縛を逃れられないので流行ることはないだろうが、本位を持たない仮想通貨に企業の信用力をぶつけるのは面白いなと思った。
3.3.3 中高生を対象としたセクストーション被害
セクストーションってなんぞ?
セクストーション(性的脅迫)被害に関する注意喚起
https://kotobank.jp/word/%E3%82%BB%E3%82%AF%E3%82%B9%E3%83%88%E3%83%BC%E3%82%B7%E3%83%A7%E3%83%B3-1711147
sex(性的な)+extortion(脅迫)だそうだ。へー。
二度と見かけることもなさそうな単語だ。
3.3.6 公式マーケット上に配布された不正アプリ
10 月には、仮想通貨のマイニングを勝手に行う不正アプリが確認された。複数種の不正アプリが確認されたが、そのうちのいくつかは仮想通貨マイニングサービスである「Coinhive ※ 156」を利用している。これらのアプリを起動させると、端末のリソースを使って勝手に仮想通貨のマイニングを行う。CPU 使用率は高い数値を示し、パフォーマンスに影響を及ぼす。
これが原因で、トレンドマイクロとかがウイルスのパターンファイルにcoinhiveを認定、そのため管理者がcoinhiveを置いただけで逮捕されるというよくわからん展開になった。ちなみに海外だとオーストラリアのユニセフとかが寄付のかわりとなるものとして設置しているところもある。
※ 156 ITmedia NEWS:話題の「Coinhive」とは? 仮想通貨の新たな可能性か、迷惑なマルウェアか
http://www.itmedia.co.jp/news/
articles/1710/11/news084.htm〔l 参照 2018-05-01〕
まあ、新たな可能性でもあると同時に迷惑なお行儀の悪いスクリプトだとは思う。でも、CPUの使用を20%、10秒とかにしてくれるならアクセスと同時にトラフィックとCPUを食ったり、動画みてる途中とかにわりこんでくる動画広告よりはいいかな。
資料A 2017年のコンピュータウイルス届出状況
■図A-1 ウイルス届出件数推移(2007 ~ 2017 年)
これと文中にあったサイバー犯罪検挙推移をみると、
コンピューターウイルスの時代は終わったな。
なにせみんなサーバーにデータをあげてくれるんだから、サーバーのほうが狙われる。傀儡を増やすためとか、スケープゴート用だとかの踏み台用ぐらいにしか、個人を狙う理由はなくなったように思う。
他感想
漫画村のサイトブロッキングは乗ってないのかなとおもったらまだ今年5月のことかなんだね。
ま、そんなこんなで、情報セキュリティ界隈の話題でした。
