エフセキュアブログ

OWASP World Tour Tokyo

2017年10月04日09:43

yoshinari_fukumoto

　みなさん、こんにちは。Rakuten-CERTの福本です。
　先日、東京工業大学蔵前会館にてOWASP World Tour Tokyoが開催されました。このOWASPの本格的なトレーニングイベントはなんと無償で提供され、有志のボランティアによって運営されました。サテライト会場も含め総勢700名を超える参加者が集まり、これだけのイベントがスポンサー無しで実施できたということが、いまのOWASP Japanのセキュリティコミュニティの強さを示しているのかなと思います。今回のトレーニング内容についてですが、各所での様々なOWASPのプロジェクトの活用例が充実しており、会場からは、このケーススタディを参考にして自社で同じような取り組みをやってみたいね、という声が多く聞かれました。参加出来なかった方も、こちらからトレーニング資料を見ることが出来ますので興味があればぜひ参考に！

会場の様子。すごい熱気。

　そして、トレーニング会場をご提供頂いた東京工業大学の田中教授からのウェルカムスピーチの中で、なんとこの日、東京工業大学がOWASP Academic Supporterの申請をしたという発表は本当にサプライズでしたね！横にいたチャプターリーダーの岡田さんのリアクションも大きかったですねｗ

セキュリティ人材育成に取り組んでいらっしゃる田中教授のスピーチの様子。

　世の中的にセキュリティ人材の採用競争が激化する中、セキュリティ人材育成はインターネット社会の健全な発展のためにも非常に大事な要素なので、今後の東京工業大学とOWASPとのコラボレーションに大いに期待しています！

この記事のURL

トランプ政権のサイバーセキュリティ政策

2017年03月28日12:44

gohsuke_takama

オフィシャルコメント

by：高間剛典

2017年1月20日にドナルド・トランプ氏が大統領に正式就任し、約2ヶ月が経過したが、トランプ政権でのサイバーセキュリティ政策は一体どのようなものになるのだろうか? じつはサイバーセキュリティ政策についての大統領令は、すでにドラフトが上がっている。(PDF)

https://assets.documentcloud.org/documents/3424611/Read-the-Trump-administration-s-draft-of-the.pdf

簡単にまとめた分析によると、この政策は、まず軍・インテリジェンス機関を含む各省でのセキュリティ対策状況を監査レビューし、現在は各省ごとに行なわれているサイバーセキュリティ対策をホワイトハウスの予算管理の元に横断的に一本化するといったもので、また学校で教えるサイバーセキュリティについて国防省と国土安全保障省がレビューするという項目もあるようだ。

https://nakedsecurity.sophos.com/2017/02/01/draft-of-trumps-cybersecurity-plan-emerges-heres-what-experts-think/

とはいえ、トランプ政権のサイバーセキュリティ担当として選ばれたのはその分野の経験があるとは思えないルドルフ・ジュリアーニ元ニューヨーク市長であり、また2月中旬にサンフランシスコで開催されたRSAコンファレンスにはトランプ政権からは誰も顔をだしていないなど、トランプ政権のサイバーセキュリティに対しての本気度を疑問視する声もある。

https://theintercept.com/2017/02/16/trumps-cybersecurity-plan-is-a-big-no-show-at-key-event/

さらに2月19日にはトランプ氏のウェブサイトがイラクのハッカーにより侵入され書き換えられるなど、トランプ氏自身でサイバーセキュリティ問題を経験することになったようだ。

http://thehackernews.com/2017/02/donald-trump-website-hacked.html

また、トランプ氏は以前から使っているAndroidスマートフォンを大統領就任後も手放さず毎日Twitter投稿に明け暮れているが、この電話機もいつハッキング攻撃の対象に狙われてもおかしくない。

https://www.businessinsider.jp/post-556

もし実際に政府レベルでのサイバーセキュリティのインシデントが起きた場合にトランプ政権が対応できるのかについても厳しい見方がある。さらに、スノウデンによるNSAのサーベイランス・プログラムが多数暴露された際によく公聴会に呼び出されていたDirector of National Intelligenceだったジェームズ・クラッパー氏は1月末で任期が切れているのだ。しかし少なくともクラッパー氏はサイバーセキュリティ脅威を通常のテロリズムより重視していたので、そのような問題の理解者がいないまま大統領令を出したところで、現実的に何ができるのだろうか。

https://www.technologyreview.com/s/603898/sizing-up-trumps-cyberwar-strategy/

さらに現在のトランプ政権の動きは、サイバーセキュリティだけでなく各種プライバシー情報を含むパーソナルデータの保護にも大きな影響を与えると思われる。トランプ政権が選んだFCC(連邦通信委員会)の委員長アジット・ペイ氏はテレコム企業出身で、ネット中立性に反対を唱えてきた人物だからだ。それを後押しするように、3月22日、共和党が多数派を占める米議会上院は、たった数カ月前の2016年10月にオバマ前政権のもとで成立したブロードバンドのプライバシー保護規則を撤回する決議を、50対48で可決したのだ。これにより、ISPやモバイルインターネット通信事業者が、運営するネットワークを流れる利用者のデータを、利用者の同意なしにマーケティング企業などに売ることができるようになるのだ。これは、EUで成立したパーソナルデータ保護法制度の「EU General Data Protection Regulation」と、さらに2018年に同時に施行予定の「EU ePrivacy Regulation」とも対立しうるはずで、そのため2016年に成立したEUとアメリカの間でのパーソナルデータ移動を認める合意である「EU US Privacy Shield」合意が反故になる可能性があると思われる。

https://japan.cnet.com/article/35098649/

実際のところ、トランプ政権のホワイトハウスは日に日に混迷状況をあらわにしているように見える。

当初の政権人事として国家安全保障担当大統領補佐官に選ばれたマイケル・フリン氏は、就任前に駐米ロシア大使と対ロシア制裁措置について協議した件が明るみに出たため、早くも辞任した。じつはドナルド・トランプ氏は大統領選挙前から、ロシアの犯罪組織のボスから工面してもらった金で破産を免れたといった話題が流れるなど、ロシアとの関係に疑惑が持たれている。

http://foreignpolicy.com/2017/02/14/donald-trumps-russia-scandal-is-just-getting-started/

http://www.alternet.org/election-2016/donald-trump-was-bailed-out-bankruptcy-russia-crime-bosses

また選挙中からトランプ候補の戦略を担当していたスティーブン・バノン氏が大統領主席戦略官として政権参加した上、さらにトランブ氏により国家安全保障会議(NSC)へのメンバーとして選ばれたことが発表されると大きな波紋を呼んだ。バノン氏はトランプ氏の選挙戦略を担当する以前は、Alt Rightと呼ばれる新興右翼勢力のメディア「Breitbart」ニュースの元会長で白人至上主義や排外主義のヘイト記事を多数執筆していた人物であり、政府機能の経験はまったく持っていない。そして一部ではトランプ政権を裏ですべて操っているのはバノン氏であるとすら噂されている。

http://www.newsweekjapan.jp/stories/world/2017/02/post-7033.php

https://ja.wikipedia.org/wiki/%E3%83%96%E3%83%A9%E3%82%A4%E3%83%88%E3%83%90%E3%83%BC%E3%83%88%E3%83%BB%E3%83%8B%E3%83%A5%E3%83%BC%E3%82%B9%E3%83%BB%E3%83%8D%E3%83%83%E3%83%88%E3%83%AF%E3%83%BC%E3%82%AF

さらにこの選択では、今までの政権では国家安全保障会議に通常参加していたインテリジェンス機関の代表になるDirector of National Intelligence担当者と、軍の代表になるJoint Chief of Staff担当者を外した上で、トランプ氏はバノン氏を選んだ。インテリジェンス機関代表と軍の代表の参加しない国家安全保障会議は前代未聞といえるし、実際それで有事に際して何か有効な決定を行えるのかはまるで疑問だ。マイケル・マレン元統合参謀本部議長などもこのバノン氏の採用を激しく非難した。

https://www.businessinsider.jp/post-738

またトランプ政権に失望したという声は、就任後すぐにCIAなどのインテリジェンス機関からも聞こえてきた。

https://www.businessinsider.jp/post-582

そしてついに2月24日には、ホワイトハウス内部の報道官室での記者会見からCNN、BBC、AFP、New York Times、Los Angeles Timesなどの主要メディアを締め出すなど、トランプ政権はおよそ独裁政権しか行わないような行動に出た。

http://www.huffingtonpost.jp/kazuhiro-taira/trump-media_b_15015344.html

https://www.nytimes.com/2017/02/24/us/politics/white-house-sean-spicer-briefing.html

そしてトランプ氏が公の場での演説やTwitterへの投稿で繰り返す、感情のアップダウンの激しい見境のない不適切な言動は問題となりつつある。大統領に職務遂行能力がない場合の手続きを定めた合衆国憲法修正第25条第4項を使って政権内クーデターを起こしてトランプ氏を追い出し、元副大統領のマイク・ペンス氏が大統領代理を執務するという憶測すら既にでている。

http://www.newsweekjapan.jp/stories/world/2017/02/199.php

アメリカメディア調査での3月のトランプ大統領の支持率は新たな最低レベルの更新で36%と言われ、現在のところは当面トランプ政権の行方は予測しても不透明なままとしか思えない。

Rakuten Global CISO Summit

2017年02月22日16:41

yoshinari_fukumoto

オフィシャルコメント

by：福本佳成

　みなさん、こんにちは。Rakuten-CERTの福本です。

　先日、楽天初のRakuten Global CISO Summitを開催しました。今回はそのイベントの共有をしたいと思います。実は昨年、楽天グループ全社においてCISOの任命を義務づける新たなポリシーを策定し、本社CISO及び子会社CISOを数十名任命しました。これは楽天グループの重要なディレクションで、セキュリティガバナンスの強化は経営課題であり、そして僕らのセキュリティが次のステージに向かっていることを意味しています。そして、今回、全てのCISOが集まり、Rakuten Group CISO communityをスタートさせることが出来ました。このイベントを通じて楽天グループ全体のセキュリティにとっての大事な一歩が踏み出せたのかなと思います。

　2日間の盛り沢山のセッションで構成されたCISOサミットですが、豪華なゲストスピーカーにもご登壇頂きました。OWASPでも有名なTobias GondromさんとJerry Hoffさんからは大変参考になる最新のセキュリティトピックやセキュリティマネジメントに関するお話を頂き、また、3人でパネルディスカッションも出来て、とても刺激的なセッションになりました。また、各社CISOからの最新の取り組みやチャレンジを共有してもらったり、セキュリティ改善のアクションアイテムを決めるワークショップを実施したり、CISO向けのセキュリティトレーニングセッションを提供したり、大変実りの多いイベントになったと思います。

　最後に、CISOという仕事には相当な覚悟がいるかなと思います。No upside, nobody will do it for you, your responsibility. その覚悟を背負って、組織のセキュリティのためにリーダーシップを発揮するということは並大抵な事ではないと思います。何を大義名分にしてCISO業務を邁進するか。本気でセキュリティをやる上で、そこは大事なポイントだと思います。

この記事のURL

THE FIGHT AGAINST CYBERCRIME

2016年12月06日21:24

yoshinari_fukumoto

オフィシャルコメント

by：福本佳成

　みなさん、こんにちは。Rakuten-CERTの福本です。

ちょっと前の話です。今年6月の韓国でのFISRTカンファレンスで、とある方と情報交換をしてある気づきを得たのですが、今日はその話をしたいと思います。

　近年、僕らはインターネットセキュリティ対策に関する業務よりも、サイバー犯罪対応の業務のウェイトの方が多くなっているという事実を真剣に考えないといけません。実際、楽天でもその傾向が顕著に出ています。昨年末の沖縄のCyber3 Conferenceでインターポールの中谷さんも仰ってましたが、犯罪がフィジカルからインターネットに大きくシフトしています。中谷さんいわく、イギリスの（物理的な）銀行強盗は1992年に800件ほどあったそうですが、2014年には88件に減少したとのことです。一方で金融被害は飛躍的に増えていると。命をかけて刃物や拳銃で銀行を襲うよりも、国をまたいだインターネット経由の犯罪行為（不正送金マルウェアとか）の方が犯罪者としてはより安全なわけですから。

　楽天も、これまでの常識を遥かに超える数、いわゆるリスト型アカウントハッキングによる不正ログイン試行を観測しており、そのため楽天では数年前にサイバー犯罪対策室を設置し、不正ログイン試行や不正利用モニタリング、そして警察への対応を強化していて、サイバー犯罪の犯人逮捕にも惜しみない協力をしています。サイバー犯罪担当の警察官の研修受け入れについても、来年も積極的に実施する予定です。これまでは犯人逮捕というアクションはあまり力を入れてこなかったのですが、今は事情が全く逆です。警察側もサイバー犯罪は無視する事が出来ないものとなりかなり力が入っています。では、犯罪の温床を叩く意味について、2014年11月の中継サーバー業者の逮捕後の楽天での不正ログイン試行の状況を見てみましょう。(すいません、実数は非公開で・・)

　実際、不正業者の逮捕後は攻撃は激減しました。

　インターネットサービス企業において、セキュリティ技術や対策プロセス、人材育成と教育、という基本的なアプローチだけではもはや守りきれなく、事後対応能力も高めなくてはなりません。（注：プロアクティブセキュリティはきちんとやるのは大前提で）CSIRTの活動を通じた外部組織とのインシデント対応力だけではなく、犯人を追いつめて犯罪行為を牽制する力も必要です。何もしなければ犯罪し放題ですから。ですので、渉外対応やスレットインテリジェンス、Fraud分析あたりはこれから重要なキーワードになると思います。ちなみにSGR2016ではそのあたりのお話をさせて頂きました。

　また、最近では楽天を装った偽サイトは6000件、楽天を装ったフィッシングメールもかなり増えています。これらは別に新しい攻撃というわけではなく昔からあるユーザーを狙った金銭目的のサイバー犯罪ですが、激しさを増しているところに違いがあります。既にやっているユーザーへの啓発や注意喚起だけでは限界があり、大事なユーザーをどう守っていくか、それが今後のインターネットサービスの発展にとって重要な事であり、また業界全体で取り組む必要がある大きな課題なのかなと思います。さらに言うとこれがIoTの発展に伴ってサイバー犯罪は大きな問題となるはずで（特にランサムウェアはお金になりそうでやばい）、犯罪者にやりたい放題されないよう、インターネットの向こう側にいる犯罪者と戦っていかないといけないと、僕は思うのです。

QuickPost: さらなる拡大を予感させるMirai Botnetの攻撃インフラ網

2016年11月29日13:40

hiroki_iwa1

オフィシャルコメント

by：岩井博樹

Mirai IoT Botnet に手を加えたと推測されるマルウェアが話題に挙っています。
攻撃を受けた際のログやマルウェアの検体解析などから、Miraiのソースコードを改造し、Metasploit moduleを組み込んだものとみられています。
すぐに根本的な対応ができるわけではありませんが、IoT機器を悪用した攻撃が本格化してきたなぁ、といった印象がありますね。

　（参考）

また、これらの動きに拍車を掛けそうなのが、ダークウェブでのレンタルBotnetサービス動きです。以前からこれらのサービスは確認はされていましたが、今回の一件でより人気（？）がでるかもしれません。そうなりますと、一般的なところではDDoS攻撃による脅迫行為の増加などが容易に想像ができますので、新たなサイバーギャングらが新たに登場するのでしょう。サイバー空間内の脅威が次代へ移り変わっていることをヒシヒシと感じられますね。

しばらく目が離せない脅威であるとともに、攻撃を受けた際の対応を改めて考えさせられる一件であるように思います。

ではでは。

タグ：: デロイト; Mirai; ダークウェブ

未来のチカラ

2016年09月26日09:56

yoshinari_fukumoto

オフィシャルコメント

by：福本佳成

　みなさん、こんにちは。Rakuten-CERTの福本です。

　世界的にセキュリティ人材が不足と言われている昨今、需給バランスの改善にはセキュリティ人材教育プログラムの充実、セキュリティ対策プロセスの標準化がますます重要になってくるかと思います。そんな背景もあり、楽天は昨年、産学連携のひとつのきっかけ作りとして東工大とセキュリティキャンプでの集中合宿を実施したのですが、そのセキュリティイベントは今年から東工大大学院の特別専門学修プログラムのコア科目であるサイバーセキュリティ攻撃・防御第二となりました。

　楽天株式会社は、オフィシャルに東工大のサイバーセキュリティ特別専門学修プログラムに協力しています。

こちらは会場の様子。某合宿会場にて、授業にも熱が入る。

夜も教授部屋に集まって、ヒントをもらいながらハンズオントレーニングの課題を解く学生たち。

　今年はWebサイトへの攻撃メカニズムを理解するためのハンズオントレーニングがメインでしたが、来年はセキュアコーディングなどディフェンス側のトレーニングコンテンツも充実出来ればと思います。（そしてその先はインシデント分析、ハンドリングまで将来的に拡張したい）最後合宿が終わって、多くの学生さんから楽しかったと言ってもらえてほんとうれしかったですし、また東工大の担当教員の方々からも多大なご支援を頂き、本当にありがとうございました。まだスタートしたばかりですが、継続することによっていつかこの活動がインターネットセキュリティを支える力となることを願っています。