Windows 用セキュリティツール「DetExploit」


■Windows 用セキュリティツール「DetExploit」

高校生 2 年生が、

Windows 用のセキュリティツールを

開発したらしい。

高校2年生が開発したWindows専用脆弱性スキャナー「DetExploit」がリリース

なんとも素晴らしい話。

高校生の時にこんなこと

絶対できんかったなー。

内容的には、

NVD や JVN、ExploitDB などから

情報を持ってきて、

本ツールをインストールした

Windows の脆弱性を調べる、

というものらしい。

結果は HTML で表示される。

脆弱性の情報をもってきて

中身を調べる、という意味では、

Vuls の Windows 版

といった感じか。

自分でも少し試してみたが、

動きは Vuls と引けを取らないどころか、

脆弱性情報のダウンロードなどは、

Windows に限定しているためか、

結構早いと感じた。

当たってないパッチなども

表示してくれているようなので、

結構使い道はあるんじゃないだろうか。



ただ、Vuls とは違い、

自動検査や slack 等への

通知機能はまだっぽい。

とはいえ、まあその辺は

外部スクリプトでやってもよいし、

今後アドオンなどで出てくるかも

しれないので、そんなに

大きな問題ではないと思われる。

現状では Windows の自動アップデートが

結構効いているので、

通常の家庭での利用には

それほど意義を見出せないかもしれないが、

会社で使っている Windows PC などを

IT 部門などが管理するとか、

システム上で動いている

Windows マシンの状態を

確認する、などにはよいかもしれない。

いずれにせよ、

結構使い道はあると思われるし、

なにより高校生がこんなのを

開発するっていうのがすごいと思う。

こんな人が出てきたら、

どんどん追いやられていくんだろうな、

と思わなくもないが、

こういった若くて有能な

セキュリティ技術者が出てくることは、

非常に喜ばしいことだと思う。

是非、白い方の道で

その力を発揮していってほしいものだ。




Copyright (c) 2017 Webmaster of this site All Rights Reserved.
カテゴリー: 未分類 | コメントする

サイト開設からの軌跡(二年五ヶ月経過)


■サイト開設からの軌跡(二年五ヶ月経過)

サイト開設から二十九ヵ月経過。

今月も、素人がサイト開設したらどうなるか、の記録として、

PV 数などを残しておこうと思う。

  1. PV 数の推移
  2. 読まれている内容
  3. 今後の予定
  4. 所感

PV 数の推移

この二十九ヵ月における Page View 数、訪問者数、および記事数の推移は以下の通り。

経過月数 年月 月間 PV 数 一日平均 PV 数 訪問者数 記事数
1 2017/06 23 1 17 15
2 2017/07 124 4 46 20
3 2017/08 228 7 74 20
4 2017/09 533 17 250 8
5 2017/10 1280 41 599 8
6 2017/11 1690 56 854 16
7 2017/12 2546 82 1355 22
8 2018/01 4107 132 2015 17
9 2018/02 4673 166 2322 14
10 2018/03 4928 159 2557 14
11 2018/04 4822 161 2444 6
12 2018/05 6947 224 2982 7
13 2018/06 6911 230 3430 7
14 2018/07 9540 308 4755 5
15 2018/08 8801 284 4328 7
16 2018/09 8648 288 4146 6
17 2018/10 13262 428 6373 4
18 2018/11 12006 400 5749 4
19 2018/12 10829 349 5045 6
20 2019/01 14256 460 6416 4
21 2019/02 13516 482 6708 4
22 2019/03 11793 380 6171 6
23 2019/04 11582 386 5880 5
24 2019/05 10915 352 5675 5
25 2019/06 15154 505 7997 5
26 2019/07 16156 521 7953 4
27 2019/08 13647 440 6676 4
28 2019/09 12014 400 6203 2
29 2019/10 14369 464 7147 3

記事数は前月より増えたとはいえ、

たった 3 記事。

多忙は続いている。

落ち着くはずだったんだけどなぁ。

それもあって、PV 数は減少の一途を

たどるかと思いきや、結構復活。

情報処理安全確保支援士関連の記事が

かなりの伸び率を見せてくれた。

さて、今月はどうなることやら。



読まれている内容

先月の PV 数 Top 3 のうち、上位三記事は、

専用カメラモジュールを使う
午後問題対策
動いたぞ! DC モーター! – Raspberry Pi でラジコン戦車 –

となり、

午後問題対策

がなんと二位にランクイン。

2017 年に公開した記事が、

今頃になって過去最高を記録。

また、この記事を含む

情報処理安全確保支援士関連の

Index page である

情報処理安全確保支援士への道

に関しても、

前月の二倍以上の PV 数を獲得し、

四位にまで上がってきている。

情報処理安全確保支援士への

注目度が上がってきていることが

要因ではないだろうか?

そして、前回三位の

metasploit の使い方

は、順位を五位へと落としたものの、

PV 数自体は増加している。

最近触っていないから、

なんかこれを使ってやっていきたいとも思う。

ちなみに、最近安定的に Top 10 入りしている

Raspberry Pi でブラウザから操作できるラジコン戦車を作る! – WebIOPi から DC モーターを制御する –
ライブカメラ(監視カメラ)を作る!

は、順位こそ下がったものの、

PV 数自体はそんなに大きな変動がない。

これから考えても、

先月は完全に、

情報処理安全確保支援士試験

があったことが大きく影響しているといえるだろう。

さて、今月はどうなることやら。

今後の予定

毎回代わり映えしないが、進捗確認の意味も込めて。

■Blog
・セキュリティ+ラズパイ関連ニュース(継続)

■セキュリティ
・脆弱性検査ツールの使い方と比較(継続)
armitage どうしようかなぁ。
あと、高校生が開発したという、
DetExploit
はちょっと試してみたいと思う。

・CTF 関連(未)
まだまだ着手できてない…。

・Bug Bounty Program(未)
こちらで稼げるようになりたいのだがねぇ…。

■linux
・HTTPS/FTPS 化(未)
HTTPS/FTPS 化もどっかでやらないとなぁ。

■電子工作
・UART 設定(未)
一応残しているが…。

・OpenCV の利用(未)
ペンディング継続。

・機械学習(未)
まだ本すら買ってない。

・家庭用セキュリティ機器の作成(未)
これもペンディングかな。

・Python 学習(未)
Python 使うどころか、構想で止まってる。
うーん、時間が…。

・PHP 学習(未)
これも同上。



所感

先月もまた、記事もかけずメンテもできず。

ただ、情報処理安全確保支援士関連の

試験があったことと、そもそも注目度が

上がってきたと思われることから、

これらに関する記事の PV 数増があって、

PV 数自体は増加した。

ま、今月は持たないだろうけど。

当サイトの神ページである

専用カメラモジュールを使う

も、PV 数自体は落ちてきているので、

やっぱり何か新しいことやっていきたいなぁ。

やりたいことや試したいことは

ないわけじゃないんだけど、

如何せん時間と精神力が随分減っている。

そして今後もこれらが回復する

見込みがあまりない。

うーん、どうしよう。




Copyright (c) 2017 Webmaster of this site All Rights Reserved.
カテゴリー: ブログ | コメントする

「変なホテル」でロボットの脆弱性発覚


■「変なホテル」でロボットの脆弱性発覚

まぁ、正直遅かれ早かれ

こういった話は出てくるだろうな、

と思っていたが、

現実的に出てきたので取り上げてみる。

「変なホテル舞浜」の卵型ロボ「Tapia」に脆弱性 不正操作が可能な状況 Twitter上の指摘で発覚

変なホテル、というのは、

ホテルの宿泊に関する各種サービスを

人ではなくロボットがやってくれる、

という結構先端的な取り組みをしている

ホテルの模様。

変なホテル

泊ったことはないが、コンセプトが

興味深かったこともあり、覚えていた。

そしてまた、

セキュリティにも配慮はしているだろうが、

いずれ脆弱性の存在は指摘されるだろうな、

とも思っていた。

で、案の定、舞浜のホテルで使っている

ロボットに脆弱性が発見され、

今回ニュースとなった、というものだ。



続報によれば、

指摘された脆弱性は、

NFC 経由でロボット内のシステムにアクセスできる

というものらしい。

卵型ロボ「Tapia」、家庭用モデルにも「変なホテル」と同じ脆弱性 NFC経由で乗っ取られる恐れ

NFC はその名の通り、

Near Field Communication

なので、近場からしか攻撃が成立しない。

まぁ、Blutooth の中継増幅器を使って

数キロ先から攻撃できる、なんて

事例も公表されたりしているが、

現実的なリスクとしては、

近距離からの攻撃のみを想定すればいいため、

家庭用の方はリスク判断として

大きな問題はないと思う。

一方、ホテルに置く、となると、話は別。

家庭内とは異なり、

ある宿泊客がシステムにアクセスして

不正なアプリを入れてしまえば、

その後同じ部屋に宿泊する人の

プライバシーはないに等しいものとなる。

よって、同じ脆弱性であっても、

利用環境次第では、リスクが大きく異なる。

特に、昨今の事例からも、

・スマートスピーカー越しに誰かに話しかけられた
・見守りカメラを勝手に操作された

など、プライバシーを侵害するような攻撃は、

心理的に大きな影響を与えるため、

大きく取り上げられることが多いし、

影響も大きい。

その意味で、ホテル側として、

すべての部屋から該当ロボットを

一旦撤去した、という対応と、

ロボット開発元もすぐさま脆弱性を

修正した、というのは、

よい対応なのだと思う。



一方で、指摘者に対する対応としては、

明らかにまずかったと思われる。

指摘を受けた後、調査をしたものの、

不正操作のリスクが少ない、との判断で、

報奨金目的の不審な連絡と結論付け、

報告者と接触を絶っていた、という点だ。

指摘を受け、調査した、という所までは、

ちゃんとリスクを理解して対応されていたのだと思う。

が、まずかったのは、

1. リスクを正しく認識できなかった

という点と、

2. 接触を断ってしまった

という点だと思う。

1 に関して、自分たちで調査して

見つからなかったのであれば、

報告者に対し、

「報告感謝する。我々では見つけきれなかった。
具体的な PoC や攻撃成功の証跡などはあるか?」

と確認すればよかったのではなかろうか?

また、万が一攻撃が可能であった場合、

どういうリスクがあるか、という所も、

少し見積もりが甘かったように思える。

こういったプライバシーが侵害される系の攻撃は、

一般的に嫌悪感を抱きやすいものであり、

そのため、メディアでも非常に取り上げられやすい。

一旦取り上げられてしまうと、

「あのホテルに泊まると覗かれる!?」

みたいな、一部風評的な被害が出てしまうことも

想定しておくべきだったのだと思う。

その意味で、リスクの見積もりが少し甘かったのは

否めないように思うし、仮に指摘が正しかったら、という

前提で動くべきだったと思う。

また、2 にしても、ひとまず

「ありがとう!」

という所から始まり、敵に回さないような

コミュニケーションがとれていれば、

こういった状況にはならなかっただろう。

悪意ある攻撃者だったら、というリスクは

もちろん理解できるが、そうなったら

その際に連絡を絶つなり、

別途警察に報告するなりすればよい話。

このあたり、もう少しうまいやり方が

あったように思う。



とまぁいろいろ書いてきたが、

個人的にホテル側を非難したいわけではなく、

うーん、惜しいなぁ、

という感じ。

リスク判断やその後の対応に

疑問を抱く点はあるものの、

全体としてはちゃんと対応しようとしていたのだし、

全く何にも考えずにほったらかしに

しておいたというような、

馬鹿じゃないの?

と思える対応をしていたわけではない。

大体、脆弱性なんて

見つからないほうが奇跡的

なぐらいで、

見つけようと思ったら

大体何かしらは見つかるものだ。

よって、ホテルの方々には、

これにめげることなく、

今回の件を糧として、

さらなるセキュリティ対応の向上に

勤めてもらえれば、などと勝手に思っている。

こういったことを通じて、

いろんな業種で全体的に

適切なセキュリティ対応が

なされている世の中になればよいな、と思う。




Copyright (c) 2017 Webmaster of this site All Rights Reserved.
カテゴリー: ブログ | タグ: , | コメントする

じわじわ上昇!?情報処理安全確保支援士人気


■じわじわ上昇!?情報処理安全確保支援士人気

10 月 20 日はいよいよ、

情報処理安全確保支援士

の試験日。

受験生の皆さんには、

是非とも頑張っていただきたいと思う。

そんなさなかではあるが、

先日、情報処理安全確保支援士の

10 月度登録者数に関する発表が

IPA からあった。

情報処理安全確保支援士 2019年10月登録者の属性について

これによれば、

今回の登録者数は総勢 1,200 名とのこと。

前回の登録者数は 1,000 名強だったため、

200 名程度増加している。

また、直近試験の合格者による登録も増えており、

前回が合格者数 2,818 名中 679 名なのに対し、

今回は合格者数 2,744 名中 786 名となっている。

割合的にみても、

前回が 24% なのに対し、

今回は 28.6% となっている。

四人に一人程度しか登録していない、

という意味では、まだまだ、といった所だが、

これまで減少の一途だった登録者数が

今回初めて増加に転じたのは驚きだ。



では、なぜ登録者数は増加したのだろうか?

あくまで勝手な推測だが、

一つ目の理由としては、

『ようやく発生!?情報処理安全確保支援士になるメリット』

にも書いた通り、

情報処理安全確保支援士になるメリット

が具体的に提示されたことが考えられる。

これまでは、

1. 登録維持費用が三年で 14 万円と高額
2. 登録した所で明確なメリットがない

という所がピックアップされ、

試験は受けるが登録まではしない

という人が多かったように思う。

かく言う私もその一人だ。

これに対して、上述の通り、

情報処理安全確保支援士として

登録しない限りできない仕事

というのが明示的に示されたことで、

2 のデメリットが若干減少している。

とはいえ、正直まだ一件ぐらいだし、

2 のデメリットを解消するほどの

メリットだとは思えない。

ということで、一つ目の理由はほぼ影響がないかと思われる。



じゃぁなにが影響したのか?

こちらも明確な因果関係を示せるものではないが、

昨今のセキュリティ人材不足に関する

関心の高まりがあげられるのではないだろうか。

ここ一、二年、

・セキュリティ人材が不足している
・セキュリティ人材育成が急務

などといったニュースをよく目にするようになった。

例えば、

セキュリティ人材不足が深刻化、ガートナーはなぜ「チームの解体」を推奨するのか

とか、総務省の

我が国のサイバーセキュリティ人材の現状について

とか、IPA の

情報セキュリティ人材の育成に関する基礎調査 結果概要

とかとかとか。

google 先生に

「セキュリティ人材」

と入れてお伺いを立ててみると、

まぁ 2018 年から 2019 年あたりの

記事がたくさん出てくる。
*一方で「いらない」なんて記事もでてくるが。

となると、

・セキュリティ人材になれれば、仕事がある
・セキュリティ人材になれれば、給料が上がる、転職できる

と思う人も増えるだろう。

そうなると、手っ取り早く、

セキュリティ人材

となる(示す)ためには、資格が有益だと考えるだろう。

しかも国家資格なら、そのアピール度はより高まる。

これにより、

情報処理安全確保支援士として登録する人

が増えてきたのではないだろうか。

まぁ、結局勝手な推測の域はでないわけだが。



ということで、結局明確な理由はわからないが、

事実として登録者数が増えている。

個人的には、喜ばしいことである。

これまでは減少の一途をたどっていたため、

下手をすると、このままどんどん

衰退していく恐れもあった。

しかしながら、

試験自体はよい内容であると思うし、

国家資格であることもあって、

名乗れるものなら名乗りたいものでもある。

よって、できればどこかで盛り返してもらい、

この制度自体が発展してほしかったからだ。

この増加がこの先も続くかどうか、

それはわからない。

ただ、前述のセキュリティ人材不足に対する

受験者側の需要増が理由であれば、

次回以降も期待できる状況ではある。

とはいえ、維持費が高いというデメリットは、

現時点で解消されていない。

経産省や IPA には、登録者数増に胡坐をかくことなく、

維持費の問題を今一度検討してもらいたいものだ。

ただ、そんなことにかかわらず、

明後日の試験に臨む方々には、

是非とも頑張って合格していただきたい。




Copyright (c) 2017 Webmaster of this site All Rights Reserved.
カテゴリー: 情報処理安全確保支援士 | タグ: | コメントする

サイト開設からの軌跡(二年四ヶ月経過)


■サイト開設からの軌跡(二年四ヶ月経過)

サイト開設から二十八ヵ月経過。

今月も、素人がサイト開設したらどうなるか、の記録として、

PV 数などを残しておこうと思う。

  1. PV 数の推移
  2. 読まれている内容
  3. 今後の予定
  4. 所感

PV 数の推移

この二十八ヵ月における Page View 数、訪問者数、および記事数の推移は以下の通り。

経過月数 年月 月間 PV 数 一日平均 PV 数 訪問者数 記事数
1 2017/06 23 1 17 15
2 2017/07 124 4 46 20
3 2017/08 228 7 74 20
4 2017/09 533 17 250 8
5 2017/10 1280 41 599 8
6 2017/11 1690 56 854 16
7 2017/12 2546 82 1355 22
8 2018/01 4107 132 2015 17
9 2018/02 4673 166 2322 14
10 2018/03 4928 159 2557 14
11 2018/04 4822 161 2444 6
12 2018/05 6947 224 2982 7
13 2018/06 6911 230 3430 7
14 2018/07 9540 308 4755 5
15 2018/08 8801 284 4328 7
16 2018/09 8648 288 4146 6
17 2018/10 13262 428 6373 4
18 2018/11 12006 400 5749 4
19 2018/12 10829 349 5045 6
20 2019/01 14256 460 6416 4
21 2019/02 13516 482 6708 4
22 2019/03 11793 380 6171 6
23 2019/04 11582 386 5880 5
24 2019/05 10915 352 5675 5
25 2019/06 15154 505 7997 5
26 2019/07 16156 521 7953 4
27 2019/08 13647 440 6676 4
28 2019/09 12014 400 6203 2

記事数は過去最少。

たった 2 記事しかかけていない。

今月も新しいものに取り組めていないし、

ネタも少ないし、というのもあるが、

そもそも多忙でそれどころじゃなかった。

元々減少傾向にあった PV 数は、

当然のことながら相当減少。

ある意味一日 400 PV をキープできたのは

奇跡に近いかもしれない。

はてさて、どうやって立て直していこうか。



読まれている内容

先月の PV 数 Top 3 のうち、上位三記事は、

専用カメラモジュールを使う
動いたぞ! DC モーター! – Raspberry Pi でラジコン戦車 –
metasploit の使い方

となり、先々月と変わらず。

それぞれの PV 数も、先々月と大差ない。

そして、前回の四位、五位だった

Raspberry Pi でブラウザから操作できるラジコン戦車を作る! – WebIOPi から DC モーターを制御する –
ライブカメラ(監視カメラ)を作る!

は、各々順位が入れ替わったぐらい。

ただ、PV 数は落ちているため、

まぁこれ以降の記事で

PV 数減が発生したということだろう。

情報処理安全確保支援士関連の記事は

Index page である

情報処理安全確保支援士への道

が Top 10 陥落。

午後問題対策

が六位にランクアップしているが、

これは、

試験がいよいよ今月に迫っているから、

という季節要因だろう。

Raspberry Pi でブラウザから操作できるラジコン戦車を作る!

シリーズは、

Raspberry Pi でブラウザから操作できるラジコン戦車を作る! – WebIOPi から DC モーターを制御する –

のみがランクイン。

PV 数は 100 減なので、

まぁ伸びたわけではない。

なかなか思い通りにはいかないもので。

今後の予定

毎回代わり映えしないが、進捗確認の意味も込めて。

■Blog
・セキュリティ+ラズパイ関連ニュース(継続)

■セキュリティ
・脆弱性検査ツールの使い方と比較(継続)
armitage は使い勝手がありそうなのだが、
全然試せていない。ちょっと頑張ってみよう。

・CTF 関連(未)
まだまだ着手できてない…。

・Bug Bounty Program(未)
こちらで稼げるようになりたいのだがねぇ…。

■linux
・HTTPS/FTPS 化(未)
HTTPS/FTPS 化もどっかでやらないとなぁ。

■電子工作
・UART 設定(未)
一応残しているが…。

・OpenCV の利用(未)
ペンディング継続。

・機械学習(未)
まだ本すら買ってない。

・家庭用セキュリティ機器の作成(未)
これもペンディングかな。

・Python 学習(未)
Python 使うどころか、構想で止まってる。
うーん、時間が…。

・PHP 学習(未)
これも同上。



所感

先月は、記事もかけずメンテもできず、で

PV 数はダダ下がり。

まぁもうその辺は割り切って、

自分の勉強になることをやっていきたいが、

如何せん忙しい。

なんだこれは?ってぐらい。

自己成長の時間も確保したいんだけどなぁ。

セキュリティ技術については

結構迷い気味。

結局自分は何の技術を

身に着けるべきか?

なんかでちょっと混乱中。

まぁ一回リフレッシュして、

しっかり考えてみよう。




Copyright (c) 2017 Webmaster of this site All Rights Reserved.
カテゴリー: ブログ | タグ: | コメントする

リモートデスクトップ接続には十分にご注意を!


■リモートデスクトップ接続には十分にご注意を!

リモートデスクトップ接続は、

自身が手元でログインしているパソコン上で、

リモート接続されているパソコンの

デスクトップ画面を共有し、

その画面上で操作することで、

リモート接続されている側のパソコンを

自由に操作できるものである。

このため、このリモートデスクトップ接続を

他者に利用されてしまうと、

リモート接続されている側のパソコンが

完全に乗っ取られてしまう。

利便性は高い一方で、

セキュリティに十分配慮して用いないと、

非常に危険な代物となる。

このため、攻撃者にはよく狙われるポイントなのだが、

現実的にどれぐらい攻撃されるのだろうか?

また、攻撃されると、なんでもできるとはいえ、

具体的どんなことをやられてしまうのだろうか?

そんな内容が非常にわかりやすく、

かつ詳細に記載されている体験記事があったので、

以下に紹介する。



その記事はこちら。

簡単なパスワードでRDPを空けておいたら、数時間でハッキングされマイニングツールを仕込まれた話

リモートサポートのため、

RDP でよく使われる 3389 ポートを開放し、

管理者パスワードを簡単なものに変えたら、

わずか 6 時間で乗っ取られてしまった、

という内容。

実際に乗っ取られるとどうなるか、

どうやって乗っ取られたのか、

その調査はどのようにすればよいか、

など、非常に興味深い内容が

実体験に基づいて詳細かつわかりやすく記載されている。

こういった事例を出してもらえると、

他の人に注意喚起する際にも、

危ないですよ、危険ですよ

というだけでなく、

実際にわずか 6 時間で乗っ取られた例がありますよ

と事例を通じて話すことができるので、

非常にありがたい。

詳細な内容を公開してくださった筆者の方に感謝。

しかし、著名な企業のサーバーでもないのに、

ちょっと RDP を有効にしていただけで、

こうも簡単にやられてしまうものなのだろうか?

もちろん、実際にやられた、という記事なので、

やられてしまっているのだが、これは

誰にでも起こりうることなのだろうか?

ということで、リモートデスクトップ接続に関する

攻撃の状況をもうちょっと調べてみた。



RDP は攻撃者に常に狙われている状況である

2019 年 6 月 24 日に

警視庁が発表した注意喚起によれば、

リモートデスクトップサービスに対する

アクセスが増加している、ということであった。

脆弱性のあるリモートデスクトップサービスを探索するアクセスが増加(警察庁) 1枚目の写真・画像

このグラフによれば、多い時で一日に

40,000 IP address

からアクセス試行があったことになる。

少ない時でも数百はあるように見える。

また、JPCERT/CC の

インターネット定点観測(RDP)

を見ても、1 時間あたり 2 から 3 回の

スキャンがカウントされている。

telnet の 23 番などに比べれば

1/10 程度と随分少なく感じるが、

インターネット上では、恒常的に

スキャンされているポート番号だといえるだろう。

すなわち、それだけ狙われているということになる。

ということで、インターネット側から

アクセスできる状況でリモートデスクトップを

立ち上げていれば、かなりの確率で

スキャンされ、狙われる状況になる、

ということが言えるかと思う。



スキャンで特定されてしまえば、攻撃ツールを使われる

一旦スキャンでリモートデスクトップが

立ち上がっていることが特定されてしまうと、

当然攻撃対象として狙われることになる。

攻撃の一つの手段としては、

設定してあるパスワードを特定する

というのがある。
*パスワード未設定は論外として。

具体的には、本サイトでも紹介している

hydra などのパスワード特定ツールの他、

RDS 用のツールである NLBrute という

のもある模様。

ランサムウェアの拡散に悪用される RDP (リモートデスクトッププロトコル)

ということで、簡単なパスワードを設定していると、

こういったツールで容易に乗っ取られてしまう。

最近は脆弱性の利用がメイン?

上述のように、

パスワードを特定してアクセス権を得る、

という方法もあるが、

最近は、RDS に関する影響の大きい脆弱性が

再び発見されており、攻撃用プログラムも

存在するため、そういったものが

利用されることも多いようである。

RDPの脆弱性を標的とした「BlueKeep/GoldBrute」による攻撃

ということで、

リモートデスクトップサービスを立ち上げている場合、

攻撃の標的となる可能性はかなり高く、

かつセキュリティ対策が不十分な場合、

現実的に乗っ取られてしまう恐れが十分にある、

ということが言えるかと思う。

相変わらずなかなか恐ろしい世の中だ。



どのように対策すればよい?

では、対策はどうすればいいのだろうか?

最も簡単かつ有効な対策は、

「そもそも使わない」

である。

RDS を使う必要が本当にあるのかどうか、

公開鍵設定の SSH ではだめなのか、

などなど、必要性や代替策の有無を今一度吟味し、

使う必要がそこまでないのであれば、

使わないようにしてしまうのが一番良いだろう。

とはいえ、機能としては非常に便利だし、

使わないわけにはいかないから

使っているのだ、という状況も多いだろう。

そんな場合にやることの第一歩は、

「インターネットに公開しない」

だろう。

インターネット側からアクセスできるように

していると、上述のようにスキャンで特定され、

各種ツールや脆弱性を使って攻撃される可能性が高い。

これが無差別に行われている以上、

インターネット側からアクセスできないように

しておく必要があるだろう。

とはいっても、インターネット側から

アクセスしたいことも多々あるとは思われる。

そのような場合、リモートデスクトップ自体は

ローカルネットワーク(LAN)からのみ

アクセスできるようにしておき、

インターネットから LAN に VPN で接続した上で

リモートデスクトップ接続を利用する、などである。

そういったことを考慮して使うべきだろう。

じゃぁ、LAN 内なら安全か、と言われると、

当然そうとは言い切れない。

環境によっては、LAN 内に攻撃者が

いないとは限らないし、ウィルスが潜んでいる

可能性もある。

このため、上述の対策に加え、

「使いまわしていない、強固なパスワードを設定する」

「脆弱性対策のパッチを常に適用する」

ということを実施しておくことが必要。

こういった対策を実施した上で、

「利用しないときはサービスを止める」

など、攻撃の機会を減らすことも重要だと思う。

ということで、

今回はリモートデスクトップ接続について、

そのリスクや対策を記載してみた。

冒頭の記事にあるように、

ちょっとセキュリティ設定を甘くしただけでも

すぐにやられてしまう現状がある以上、

利用時には十分な注意を払い、

しっかりと対策しておくことが、

非常に重要だと思う。




Copyright (c) 2017 Webmaster of this site All Rights Reserved.
カテゴリー: ブログ | タグ: , | コメントする

サイト開設からの軌跡(二年三ヶ月経過)


■サイト開設からの軌跡(二年三ヶ月経過)

サイト開設から二十七ヵ月経過。

今月も、素人がサイト開設したらどうなるか、の記録として、

PV 数などを残しておこうと思う。

  1. PV 数の推移
  2. 読まれている内容
  3. 今後の予定
  4. 所感

PV 数の推移

この二十七ヵ月における Page View 数、訪問者数、および記事数の推移は以下の通り。

経過月数 年月 月間 PV 数 一日平均 PV 数 訪問者数 記事数
1 2017/06 23 1 17 15
2 2017/07 124 4 46 20
3 2017/08 228 7 74 20
4 2017/09 533 17 250 8
5 2017/10 1280 41 599 8
6 2017/11 1690 56 854 16
7 2017/12 2546 82 1355 22
8 2018/01 4107 132 2015 17
9 2018/02 4673 166 2322 14
10 2018/03 4928 159 2557 14
11 2018/04 4822 161 2444 6
12 2018/05 6947 224 2982 7
13 2018/06 6911 230 3430 7
14 2018/07 9540 308 4755 5
15 2018/08 8801 284 4328 7
16 2018/09 8648 288 4146 6
17 2018/10 13262 428 6373 4
18 2018/11 12006 400 5749 4
19 2018/12 10829 349 5045 6
20 2019/01 14256 460 6416 4
21 2019/02 13516 482 6708 4
22 2019/03 11793 380 6171 6
23 2019/04 11582 386 5880 5
24 2019/05 10915 352 5675 5
25 2019/06 15154 505 7997 5
26 2019/07 16156 521 7953 4
27 2019/08 13647 440 6676 4

記事数的には相変わらず少ない。

これまで同様、多忙、気力の低下もあり、

新たなことにチャレンジできていない。

PV 数は結構減少。

一日平均も 500 PV/日を割り込んだ。

やはり、先々月の後半からの落ち込みが大きい。

やっぱりちゃんと面白いことをやって、

読んでもらえるような記事を書いていかないとな。



読まれている内容

先月の PV 数 Top 3 のうち、上位三記事は、

専用カメラモジュールを使う
動いたぞ! DC モーター! – Raspberry Pi でラジコン戦車 –
metasploit の使い方

となった。

一位二位は変わらずだが、

一位は 600 PV 程度減少。

本サイトの PV 数を一手に担ってきてくれた

うちの神ページだが、いよいよ神通力も

なくなってきたか。

そして前回三位だった

ライブカメラ(監視カメラ)を作る!

は五位につけている。

ただ、びっくりしたのは

metasploit の使い方

が三位に来たということ。

全般的に他が落ちたから、というのはあるが、

まさか上がってくるとは思わなかった。

個人的にも、もっとちゃんと

使いこなせるようにしたい。

意外と落ちなかったな、というのが

情報処理安全確保支援士関連の記事は

2 記事ほど Top 10 入りを継続している。

特に、Index page である

情報処理安全確保支援士への道

が Top 10 入りを継続しているのはうれしい。

もっと素晴らしいページも

たくさんあるだろうが、

興味を持つきっかけや勉強のきっかけに

してもらえると嬉しい。

さて、相変わらず

主力になってほしい!

と期待している

Raspberry Pi でブラウザから操作できるラジコン戦車を作る!

シリーズは、

前回五位だった

Raspberry Pi でブラウザから操作できるラジコン戦車を作る! – WebIOPi から DC モーターを制御する –

が、四位にランクアップ。

PV 数はほぼ変わらずだが、

このまま真の主力になってほしい。

今後の予定

毎回代わり映えしないが、進捗確認の意味も込めて。

■Blog
・セキュリティ+ラズパイ関連ニュース(継続)

■セキュリティ
・脆弱性検査ツールの使い方と比較(継続)
armitage、すっかり忘れてた。
もう一回チャレンジしてみよう。
あと、OpenSCAP はちょっと微妙。
もう少し様子を見ようと思う。

・CTF 関連(未)
まだまだ着手できてない…。

・Bug Bounty Program(未)
こちらで稼げるようになりたいのだがねぇ…。

■linux
・HTTPS/FTPS 化(未)
HTTPS/FTPS 化もどっかでやらないとなぁ。

■電子工作
・UART 設定(未)
一応残しているが…。

・OpenCV の利用(未)
ペンディング継続。

・機械学習(未)
まだ本すら買ってない。

・家庭用セキュリティ機器の作成(未)
これもペンディングかな。

・Python 学習(未)
ちょっと作りたいアプリがあるので、
勉強かねて Python 使ってみようと思う。

・PHP 学習(未)
これも同上。



所感

先月は、先々月後半の落ち込みを引きずり、

結構 PV が下がってしまった。

また、記事作成も相変わらず停滞気味。

機械学習など、やりたいことがないわけじゃないが、

正直多忙。

また、やっぱり、

「AI でこれを実現したいんだ!」

というものがないと、

漠然と、知りたい、だけでは

なかなか手が出せない。

こんなことではいかんのだが…。

あと、個人的には、

実際のサイバーアタックに対する対応法

という観点で考えた場合、

まず何から始めればいいか、

どこまでやれば妥当といえるか、

など、経験を積まないと、と思うことが多々出てきた。

今一度 raspberry pi でハニーポットとかを作ってみて、

攻撃者のふるまいや防御方法などについて、

実体験できる状況を考えてみたいと思う。




Copyright (c) 2017 Webmaster of this site All Rights Reserved.
カテゴリー: ブログ | タグ: | コメントする

IPA、情報セキュリティ 10 大脅威 2019 発表


■IPA、情報セキュリティ 10 大脅威 2019 発表

ちょっと時間がたってしまっているが、

IPA が、

情報セキュリティ10大脅威 2019

を発表していたので、取り上げる。

個人に対する脅威の順位は以下の通り。

  1. クレジットカード情報の不正利用
  2. フィッシングによる個人情報等の詐取
  3. 不正アプリによるスマートフォン利用者への被害
  4. メール等を使った脅迫・詐欺の手口による金銭要求
  5. ネット上の誹謗・中傷・デマ
  6. 偽警告によるインターネット詐欺
  7. インターネットバンキングの不正利用
  8. インターネットサービスへの不正ログイン
  9. ランサムウェアによる被害
  10. IoT 機器の不適切な管理

中にはちょっとどうしようもないものもあるが、

個人として被害にあわないような対策や、

被害発生時に取るべき行動など、

個人的に考えられる対策を述べてみたいと思う。
*絶対的なものではなく、
*あくまで参考程度としてとらえて頂きたい



クレジットカード情報の不正利用

クレジットカード番号の流出はなかなか止まらない。

ちょっと調べただけでも、

NHK からの流出
チケットぴあからの流出
ヤマダ電機からの流出

など、登録したサイトからの流出は

枚挙にいとまがない状態。

他にも、

・フィッシングによって盗られる
・不正ログインされて盗られる
・不正アプリの利用により盗られる

など、様々な手法が存在している。

少し古い情報ではあるが、

クレジットカード番号が

取得される経路に関しては、

クレジットカード情報はどうやって盗まれるのか?

などにまとめられている。

個人として対応できるものは

やっておくべきだが、

登録したサイトがサイバー攻撃を受けて

盗られてしまった!などは

個人として対応のしようがない。

また、一度盗られてしまうと、

これを回収したり、

出回らないようにしたりするのは、

現実不可能となり、

個人レベルでできることは、

不正利用されないことを祈る

ぐらいだろう。

被害にあわないようにするには?

前述の通り、取得されること自体を

完全に防ぐことは、個人レベルでは不可能。

ただ、取得されにくくするためには、

・不用意にカード番号を登録しない
・サイトのログインパスワードを強固にする
・不正アプリを利用しない
・フィッシングに注意する

など、できる努力をしておくべきだと思う。

とはいえ、取得されてしまうことはある。

そういった場合に備え、最も有効なのは、

「常に利用明細・利用履歴をチェックする」

ということだと思う。

利用明細や利用履歴を頻繁にチェックしておけば、

不正利用されたとしても、すぐに発見できる。

不正利用と思しき内容が発見できれば、

カード会社に連絡し、調査してもらえる。

不正利用であることが確認できれば、

こちらは請求されることがなくなる、

もしくは不正利用分の払い戻しを受けられる。

これが最も有効な対応策だと思う。

私の場合、随分昔のことになるが、

二度ほど不正利用の被害にあったことがある。

いずれも海外での利用時だが、

一度目はどうもスキミングされたらしい。

帰国後、カード会社から電話がかかってきて、

「〇月×日に△△国のどこどこで

20 万のブランドバックを買ったか?」

と確認が入った。

非常に驚いて、買ってない!と伝えると、

恐らく不正利用なのでこちらキャンセルしておく、

と対応してもらえた。

このように、通常利用とはかけ離れた

高額利用など、カード会社側で不正を

見抜いてくれることはある。

一方、二度目の事例では、

お土産店で買い物をした結果、

二重請求されていたのだが、

明細を確認していて発覚。

カード会社に連絡したものの、

・正規請求であり、こちらでは対応できない
・調査するとなると 1 ヶ月以上かかる

といわれ、自分で請求元に連絡することとなった。

結果的に、請求元はまともな企業であったこと、

処理ミスを認めてキャンセルしいてくれたこと、

から、二重請求問題は解消できたが、

明細書を確認していなかったら、

普通に請求されて終わっていたと思う。

ということで、カードの不正利用に関しては、

やはり明細や利用履歴の確認が一番重要だと思われる。



フィッシングによる個人情報等の詐取

第二位には、

フィッシングによる被害

が上がっている。

フィッシングの語源は、

魚釣り。そのまんま。

ただ、通常の魚釣りと区別するため、

綴りは phishing となっている。

まぁ、被害者を一本釣りするわけだ。

その手法としては、仕事上の取引先や、

契約している銀行、登録している SNS サイトなど、

一件信頼がおけそうな相手を装って

被害者に URL 付きメールなどを送り付け、

不正サイトに誘導して、

ID、パスワードやクレジットカード番号、

暗証番号などを盗み取る、というもの。

その概要や被害事例については、

フィッシング詐欺まとめ | 被害・実例・対策

などにまとまっているので、

一度見ていただくのがよいだろう。

被害にあわないようにするには?

こちらは、標的型攻撃として、

攻撃側が特定の被害者を狙って

仕掛けてくることが多々ある。

このため、一度引っかかってしまうと、

ほぼ確実に被害にあってしまうことが

十分に想定される。

よって、被害にあわないようにするためには、

フィッシングに引っかからない

しかないだろう。

では、どうやったら引っかからずに済むのか。

これは結構難しい問題で、

意識を高めて、フィッシングかどうかを見抜く

というぐらいしかないと思う。

となると今度は、

どうやったら見抜けるのか、

が問題となる。

これに関しては、

1. 自分も対象となりえるという自覚を持つ
2. ちょっとでも怪しいと思ったら確認する
3. より多くの手口(事例)を知る

というぐらいしかないように思える。

これを実現するには、

先ほどのノートンのサイトだったり、

フィッシング対策協議会

などを確認し、手口を知っておくのが有効。

常日頃からこういった事例を収集しておき、

自分も対象となりうるという意識をもって、

ちょっとでも怪しいと思ったら確認する、

が重要だと思われる。



不正アプリによるスマートフォン利用者への被害

第三位は不正アプリによる被害。

これも多分なくならない脅威。

不正アプリの種類としては、

・正規人気アプリの偽物
・正規人気アプリの周辺アプリ
・消費電力を抑える!等パフォーマンス向上系
・出会い、アダルト系

などなど、利用者が思わず

使いたくなるようなものが多い。

こういうものは、利用者自身が使いたいと思って

ダウンロード、インストールするものなので、

なかなか抑止が難しいように思える。

被害にあわないようにするには?

こちらも、結局のところ、

・不正アプリかもしれない

と思えるかどうか、が重要。

不正アプリのリスクがある、

と思えさえすれば、

例えば以下のような対処法・確認法を実践できる。

不正アプリの予防策ともしも感染した場合に取るべき対処法

セキュリティアプリといっても、

結局後追いになってしまい、

最新の脅威には対応できないことが

ままあるので、

脅威を認識し、意識を高く持っておくことが

重要だ、と言わざるを得ないだろう。



メール等を使った脅迫・詐欺の手口による金銭要求

今回の Top 10 としては、

New!

ということで新たにランクインしているが、

昔からよくある手口ではある。

少し違う所は、

・ハッキングした!お前のことは知っているぞ!

など、恐怖心をあおる手段が少し進化したことだろう。

一般の人にとっては、

自分なりにセキュリティ対策をやっていたとしても、

それで十分かどうかなんてわからないだろうし、

ハッカーとか言われたら、

なんか自分がわからないすごい技術を使って

なんでもできてしまう人、

という風に思えてしまうだろう。

なので、ハッキングした、などと言われると、

えっ!?どうしよう!

と動揺するのは、致し方ない話だと思う。

しかも、

・アダルトサイトを見ている動画をとらえた!

とか、

・あなたのパスワードはこれです!

とか言われて心当りがあったら、

まぁ動揺することは間違いないだろう。

脅威としては昔からある話だが、

手口が巧妙化してきている。

根本的には、通常の詐欺と同じだが、

詐欺がなくならないのと同様に、

まぁ厄介な脅威である。

被害にあわないようにするには?

被害にあわないようにするためには、

結局のところ、

・詐欺と同じ対策

になると思う。

まぁ簡単にいうと、

・無視するのがよい

かと。

アダルトサイトを見ていたことがあるから、

ドキッとする、パスワードが当たってるから

ドキッとする、というのはあると思う。

が、詐欺師側にしてみれば、

いろんなメールアドレスに何千万通と

同じような文面を送信し、

一人、二人でも当たればもうかるのだ。

なので、標的型攻撃とは異なり、

本当にハッキングされて、

自分のことがばれて脅迫されているわけではない、

と考えて、まず間違いないだろう。

本当にハッキングされていたら、

そんな脅迫などせず、

バレないようにこっそり悪行を行うはず。

わざわざ脅迫してくる、ということは、

即ちだまそうとしている、ということで

間違いない。

ただ、パスワードがばれている可能性がある場合には、

即座にパスワードを変更したほうがよいだろう。

なお、フィッシングでも同様なのだが、

こういったメールを受け取った際には、

インターネット上における犯罪に関する情報提供

などに情報提供するとともに、

IPA の

情報セキュリティ安心相談窓口

に相談するとよいだろう。



ネット上の誹謗・中傷・デマ

これは難しい。

デマはまだ確認の使用もあるが、

誹謗・中傷は

個人でコントロールできない場合が大きい。

これも厄介な脅威。

被害にあわないようにするには?

デマに関しては、

・複数の情報源を確認する
・信頼のできる情報源を確認する

などでおおよそ防げると思う。

一方、誹謗中傷は防ぎようがない。

こちらは、先ほども記載したが、

都道府県警察本部のサイバー犯罪相談窓口等一覧

などを使って、警察に相談するのが一番だろう。

どこまで動いてくれるのか、という懸念はあるが…。



偽警告によるインターネット詐欺

これも確かに最近出だしている脅威。

ウィルス感染しているから、

急いでこのアプリを買え!

とか言って脅かすもの。

ただ、結局これも、第四位の

メール等を使った脅迫・詐欺の手口による金銭要求

と同じ。

落ち着いて、他の情報源を

当たったりするのがよかろうと思う。



インターネットバンキングの不正利用

これは結局、

・ID/パスワードが露呈した

ということに尽きる。

露呈の手段としては、

・他サイトから漏洩したパスワードの利用
・パスワードの推測

などがあげられる。

一旦ログインされてしまうと、

もう後はやりたい放題されてしまうので、

非常に注意が必要な脅威だといえる。

被害にあわないようにするには?

対応策としては、大きく分けて二つあると思う。

1 つめは、

そもそも不正利用されないようにする

ということ。

前述の通り、ID/パスワードが露呈すると、

もう何でもできてしまうため、

これを防ぐことが重要となる。

具体的には、

・二要素認証を使う
⇒ これは銀行側で対応してくれないとどうしようもないが、
昨今のネットバンキングでも、ハードウェアトークンなどは
発行されていることが多い。
これを利用しておけば、仮に ID/パスワードがわかっても、
ハードウェアトークンを持っていないとログインできない。

・パスワードの使いまわしをしない
⇒ 基本中の基本ではあるが、他サイトでも利用しているような
パスワードを使っていると、そのサイトから漏洩してしまって
インターネットバンキング用のパスワードも露呈することが
考えられる。よってこれは厳禁。

・簡単に推測可能なパスワードにしない
⇒ なるべく長いパスフレーズにするとか、
文字数制限がある場合は複雑なパスワードにする等、
そもそもパスワードが推測できなくするのも重要。

・パスワードを不用意に教えない、入力しない
⇒ フィッシングで抜き取る、不正アプリで抜き取る、
とかもあるので、上位脅威への対策も必要。

・パスワードを不用意に教えない、入力しない
⇒ フィッシングで抜き取る、不正アプリで抜き取る、
とかもあるので、上位脅威への対策も必要。

・PC、スマホを最新の状態に保つ
⇒ ウィルス感染等で情報を抜き取られないように、
こういった基本的対策も重要。

あたりかと思う。

二つ目は、それでもログインされてしまった場合の対応。

これも、クレジットカードの不正利用と同じく、

こまめに利用履歴をチェックする

ということが重要。

どこまで被害を回復できるかは不明だが、

被害が発生したときにいち早く気づく、

というのは、その後の対応も含めて

非常に重要。

発見したらすぐに銀行に連絡すべき。



インターネットサービスへの不正ログイン

7 位のバンキングだって

インターネットサービスじゃないか、

と思うのだが、まぁそれは置いとくとして、

結局これもインターネットバンキングの場合と同じ。

パスワードが何らかの形で露呈することが

主要因となっている。

ということで、対策としては第七位の

インターネットバンキングの不正利用

と同じになると思うので、省略。



ランサムウェアによる被害

これは結局ウィルス感染。

ただ、感染時の挙動が、

・利用している PC の暗号化等による利用不可能化
・利用可能にするための身代金要求

というだけの話。

とはいえ、

一時大流行した WannaCry の元となった

エクスプロイトである、

エターナルブルー

による攻撃試行はまだまだ続いている。

少し古いデータだが、

1年の時を経てもなお、「エターナルブルー」エクスプロイトは「ワナクリプター」勃発時以上に活動中

などもある。

ということで、依然として大きな脅威だろう。

被害にあわないようにするには?

これ自体は非常に簡単。

・不審なファイルは開かない
・パソコンやスマホは常に最新の状態を保つ
・ウィルス対策ソフトなどを導入し、最新の状態にする

個人レベルでできることは、

基本これ以外ないだろう。

あと、万が一感染したとしても、

慌てずに、情報を調査しよう。

場合によっては、復号用の鍵が既に

公開されている場合がある。

IPA の特設ページ

ランサムウェア対策特設ページ

などを確認するとよい。



IoT 機器の不適切な管理

企業のパソコンやサーバーに対する攻撃は

まだまだ継続して行われているが、

対策が進んできて、容易に侵入できない

サーバーなども増えてきている。

そんな中、次にターゲットとされているのが、

インターネットにつながる家電製品等の、

いわゆる IoT 機器。

開発用の telnet が残っていたり、

脆弱性のある状態だったりして、

攻撃者にとっては恰好の獲物となっている。

攻撃の目的は様々で、

監視カメラなどであれば、

単純にのぞき見目的で攻撃される。

攻撃者には、本当にのぞき見したい人もいるだろうが、

「こうすればのぞき見できますよ!」

「のぞき見されるといやでしょう?」

といって成果をアピールしたい

セキュリティ企業等もいる。

また、パソコンよりも性能は低いとはいえ、

Linux パソコンみたいなものだったりもするので、

これをたくさんのっとって、

DDoS 攻撃を仕掛けるボットネット化したり、

仮想通貨のマイニングに利用したりもされる。

ということで、数年前からホットな

攻撃対象となっているため、

気を付けなければならない脅威だ。

特に、ルーターやカメラ系などが狙われやすいが、

これに限った話でもないので、やっかい。

被害にあわないようにするには?

こちらも基本的には、

・ファームウェアを最新版にする
・パッチが出たらすぐに当てる

というのが根本対策になるだろう。

しかしながら、古いものだったりすると、

企業側がパッチや新しいファームウェアを

提供しない、またはできない場合も多々存在する。

そんな時には、

・FireWall などで通信先を限定する

など、ネットワーク側での対応が必要になる。

とはいえ、これもパソコンの脆弱性と同じで、

基本的には常に最新版にアップデートする

というのが一番有効な対策だと思われる。



まとめ

ということで、超長くなってしまったが、

IPA 提供の、

情報セキュリティ 10 大脅威 2019

について、

各脅威と基本的な対策や対応策を書いてみた。

いずれの脅威に関しても、

私たち自身がセキュリティに高い意識を持ち、

自分たちでできることをしっかりやっておくことが、

被害を受けない・軽減する上で非常に重要となる。

なのでこれからもアンテナを張って

いろんな情報を集めて把握しておきたいと思うし、

本サイトでもなるべく発信していこうと思う。

また、不幸にも被害にあってしまった場合、

またはそこまでいかずとも不安に思う事態が

発生した場合には、

IPA の

情報セキュリティ安心相談窓口

や、

都道府県警察本部のサイバー犯罪相談窓口等一覧

などに相談されることをお勧めする。

こんな脅威を感じずに済む世の中であるのが

一番だが、形は違えどどんな時代でも

人を騙して儲けようという人間はいるもの。

被害にあわないためにも、

自分でできることは可能な限りやっておくのが

やっぱり重要だと思う。




Copyright (c) 2017 Webmaster of this site All Rights Reserved.
カテゴリー: ブログ | タグ: , | コメントする

iMessage に深刻な脆弱性発覚


■iMessage に深刻な脆弱性発覚

既にいろんな所で注目されているので、

私がいちいち言うまでもないようにも思うが、

一応注意喚起。

iPhone のメッセージアプリである、

iMessage

に、非常に深刻な脆弱性があるとのこと。

Black Hat で Google の Project Zero が

発表したらしい。

脆弱性の内容は、

iPhone で悪意ある iMassage 向けのメッセージを

受信しただけで、デバイスの乗っ取りや

任意コードの実行ができてしまう、

というものだとのこと。

iMessage受信だけでハッキング? 知っておくべきiPhoneの脆弱性

攻撃者が悪意あるメッセージを送りつけるだけで、

デバイスが乗っ取れてしまう、

というのは、危険性が非常に高い。

攻撃者としては、受信者に何か

操作をしてもらう必要がないのだ。

状況的には、WhatsApp の時と同じ。

WhatsApp の脆弱性では、

攻撃者が対象に対して

細工した攻撃パケットを送信するだけで、

リモートで任意コードを実行可能というもの。

こちらも、対象者による受信等、

被害者側が何も操作しなくても、

攻撃が成功してしまう。

本脆弱性に関しては、

piyokango さんのブログにまとめがあるので、

そちらを参照していただければと思う。

WhatsAppの脆弱性CVE-2019-3568についてまとめてみた



WhatsApp の脆弱性に関しては、

既に攻撃が観測されているということで、

実際に被害が出ていると思われる。

そう考えると、今回の iMessage の脆弱性に関しても、

遅かれ早かれ攻撃ツールが出回ると思われる。

もちろん、一般的なインターネット上で

出回るかどうかは不明だが、

ダークウェブ上で売買はされると思われる。

高い値段かもしれないが、

政府高官や企業のトップを狙う

ブラックな攻撃者であれば、

実際に購入して攻撃することが考えられるだろう。

また、そうこうしているうちに、

インターネット上にも PoC(Proof of Concept)を

ベースとした攻撃ツールが出回ることも想定される。

なので、一般の人でも十分に

狙われる恐れがあるということだ。

幸いなことに、一部未対応なものはあるものの、

iOS 12.4 以降であれば、

本脆弱性は修正されているとのこと。

iPhone をお使いの方は、

他人事と思わず、

こまめにアップデートしておくことを

強くお勧めする。




Copyright (c) 2017 Webmaster of this site All Rights Reserved.
カテゴリー: ブログ | タグ: , | コメントする

ようやく発生!?情報処理安全確保支援士になるメリット


■ようやく発生!?情報処理安全確保支援士になるメリット

これまで、情報処理安全確保支援士制度に関して、

・試験自体はよいもの
・合格することには意義がある
・登録するメリットはないに等しい
・更新費用面でのデメリットが大きい

ということで、

試験への挑戦は強く進めるが、登録はお勧めしない

という形で個人的な見解を記載してきた。

が、今回、初めて、

登録することによるメリット

というのが出てきたと思えるので、

それについて記載してみようと思う。



今回、具体的なメリットとして

取り上げるのは、こちら。

中小企業の情報セキュリティマネジメント指導業務

IPA が、情報処理安全確保支援士などの専門家を活用し、

中小企業の情報セキュリティ確保を支援する、

というもの。

全 4 回で訪問指導を行う上、

すべて無料というものらしい。

主な内容は、

・リスクの洗い出し
・対策の決定、基本方針策定
・関連規定の特定と策定に向けた検討
・レビューとまとめ

ということらしい。

正直、情報処理安全確保支援士試験に

受かっただけ、という人であれば、

これらの内容をすべて適切に実施するのは

難しいのではないか、と思う。

試験内容的に。

ただ、実務経験豊富な人もいるだろうし、

どうも更新に必要な各種講座を受けていれば、

IPA が提供している各種ガイドブックなどの

内容は理解できるっぽいので、

それらを組み合わせれば何とかなるかもしれない。

まぁ十分ではないのかもしれないが、

中小企業には重要な企業が多い一方、

・あまりセキュリティ意識が高くない
・対策したくとも費用が掛けられない

などの状況が多いことを鑑みれば、

無料だと、

「ちょっと聞いてみようか、やってみようか」

と思う企業も多いだろうし、

一度受けて、その内容がよければ、

次はどうすればいい?これで十分か?

など、次回以降も担当してくれた

情報処理安全確保支援士に

連絡を取っていくことが考えられる。

そうなると、支援士の意義も上がるし、

支援士自体の収入にもつながっていく可能性がある。

そう考えると、ようやく、

・試験合格ではなく、登録することの具体的メリット

が出てきたといえるだろう。

これは最初の一歩として、非常に有意義だと思う。



では、支援する側の情報処理安全確保支援士は、

どのように選ばれるのだろうか?

これは、どうも説明会への参加が必要っぽい。

中小企業の情報セキュリティマネジメント指導業務説明会のご案内

ということで、説明会に参加しないと

詳細はわからないっぽい。

また、謝礼が支払われる、ということだが、

いったいいくら支払われるのだろうか?

勝手な予想だが、1 万円とか、

正直その程度だと思う。

まぁ、数万円出ればよいほうだろう。

そもそも中小企業側は無料だし、

国の事業だから、むやみやたらと

税金投入すべきでもないし、

を考えれば、致し方ないとは思う。

内容的には結構大変な仕事ではあるので、

一件受注すれば個人であれば一月は生活できる、

ぐらいの料金はほしいものの、

初回ということでまぁその高望みは無理だろう。

しかし、平日の昼か…。

一回ぐらい参加してみたいが、

仕事を休んでまでいくのもなぁ。

とはいえ、実態把握として、

一度ぐらいは聞いてみたい。

所で、支援士じゃないと参加できない、

みたいな制約は今のところ書いてないのだが、

試験合格者ではだめなんだろうな、きっと。

まぁとはいえ話ぐらいは聞いてみたいものだ。



ということで、

今まで全くと言っていいほど

登録するメリットを感じなかった、

情報処理安全確保支援士制度

であるが、今回初めて、

メリットらしいメリット

が出てきたことになる。

試験合格だけではだめで、

ちゃんと登録して支援士にならないと、

この仕事は受注できない。

報酬がいくらか、によって、

メリットの大きさは当然変化するが、

登録のメリットであることには変わりない。

今後、メリットがより大きくなるよう、

こういった制度の整備・拡張を

続けてほしいものである。

あと、これも推測だが、こういった業務は

恐らくフリーランスでやっている人でないと、

受注できないように思える。

業務として、それなりに時間がとられる内容だし、

4 回の講習会も恐らく平日だろうし。

そうなってくると、IPA 自身が調査した通り、

企業でいろんな仕事を抱えながら

セキュリティの仕事を実施している人にとっては、

よそのことまで手が回らず、

そもそも応募する気にならないことが考えられる。

「情報処理安全確保支援士(登録セキスペ)の活動に関する実態調査」調査報告書について

仮にこれが正しければ、そもそも応募する支援士側も

少なくなってしまうので、こういった制度が

うまく回らなくなる可能性も出てくると思う。

経産省や IPA には、さらなる制度の発展を

検討してもらうとともに、支援士を抱える企業側も、

「これは勉強になるから、副業としてぜひ行ってこい!」

となってもらえれば、支援士側としては、

・資格の保持により収入の幅が広がる
・他企業の状況を知ることで、自分の知見が広がる

という金銭面でも自己成長面でも大きなメリットが出る。

支援士を抱える企業側としても、

・副業を許容することで、社員(支援士)の満足度向上(離職防止)につながる
・副業により、支援士の能力(実践力)向上が期待できる
・向上した能力により、自社のセキュリティ向上にもつながる

という形で、十分なメリットを得られるのではないか。

また、国としても、

・メリット増に伴う資格取得希望者の増加(更新費用収入増)
・各企業・団体におけるセキュリティの向上

ということが実現できると思われる。

まぁもちろん、いきなりそんなに

うまくいくとは思えない。

が、こういった制度を発展させていくことで、

全員が win-win の関係になれるのではないだろうか。

これまで、支援士への登録については、

基本的に批判的な内容ばかりを書いてきた私だが、

十分満足な内容ではないとはいえ、

こういった制度がどんどん広がることは、

非常に歓迎すべきことだと思っている。

今後、全員が十分なメリットを感じられる

制度に発展していくことを期待している。




Copyright (c) 2017 Webmaster of this site All Rights Reserved.
カテゴリー: ブログ, 情報処理安全確保支援士 | タグ: , | コメントする