リモートデスクトップ接続には十分にご注意を!


■リモートデスクトップ接続には十分にご注意を!

リモートデスクトップ接続は、

自身が手元でログインしているパソコン上で、

リモート接続されているパソコンの

デスクトップ画面を共有し、

その画面上で操作することで、

リモート接続されている側のパソコンを

自由に操作できるものである。

このため、このリモートデスクトップ接続を

他者に利用されてしまうと、

リモート接続されている側のパソコンが

完全に乗っ取られてしまう。

利便性は高い一方で、

セキュリティに十分配慮して用いないと、

非常に危険な代物となる。

このため、攻撃者にはよく狙われるポイントなのだが、

現実的にどれぐらい攻撃されるのだろうか?

また、攻撃されると、なんでもできるとはいえ、

具体的どんなことをやられてしまうのだろうか?

そんな内容が非常にわかりやすく、

かつ詳細に記載されている体験記事があったので、

以下に紹介する。



その記事はこちら。

簡単なパスワードでRDPを空けておいたら、数時間でハッキングされマイニングツールを仕込まれた話

リモートサポートのため、

RDP でよく使われる 3389 ポートを開放し、

管理者パスワードを簡単なものに変えたら、

わずか 6 時間で乗っ取られてしまった、

という内容。

実際に乗っ取られるとどうなるか、

どうやって乗っ取られたのか、

その調査はどのようにすればよいか、

など、非常に興味深い内容が

実体験に基づいて詳細かつわかりやすく記載されている。

こういった事例を出してもらえると、

他の人に注意喚起する際にも、

危ないですよ、危険ですよ

というだけでなく、

実際にわずか 6 時間で乗っ取られた例がありますよ

と事例を通じて話すことができるので、

非常にありがたい。

詳細な内容を公開してくださった筆者の方に感謝。

しかし、著名な企業のサーバーでもないのに、

ちょっと RDP を有効にしていただけで、

こうも簡単にやられてしまうものなのだろうか?

もちろん、実際にやられた、という記事なので、

やられてしまっているのだが、これは

誰にでも起こりうることなのだろうか?

ということで、リモートデスクトップ接続に関する

攻撃の状況をもうちょっと調べてみた。



RDP は攻撃者に常に狙われている状況である

2019 年 6 月 24 日に

警視庁が発表した注意喚起によれば、

リモートデスクトップサービスに対する

アクセスが増加している、ということであった。

脆弱性のあるリモートデスクトップサービスを探索するアクセスが増加(警察庁) 1枚目の写真・画像

このグラフによれば、多い時で一日に

40,000 IP address

からアクセス試行があったことになる。

少ない時でも数百はあるように見える。

また、JPCERT/CC の

インターネット定点観測(RDP)

を見ても、1 時間あたり 2 から 3 回の

スキャンがカウントされている。

telnet の 23 番などに比べれば

1/10 程度と随分少なく感じるが、

インターネット上では、恒常的に

スキャンされているポート番号だといえるだろう。

すなわち、それだけ狙われているということになる。

ということで、インターネット側から

アクセスできる状況でリモートデスクトップを

立ち上げていれば、かなりの確率で

スキャンされ、狙われる状況になる、

ということが言えるかと思う。



スキャンで特定されてしまえば、攻撃ツールを使われる

一旦スキャンでリモートデスクトップが

立ち上がっていることが特定されてしまうと、

当然攻撃対象として狙われることになる。

攻撃の一つの手段としては、

設定してあるパスワードを特定する

というのがある。
*パスワード未設定は論外として。

具体的には、本サイトでも紹介している

hydra などのパスワード特定ツールの他、

RDS 用のツールである NLBrute という

のもある模様。

ランサムウェアの拡散に悪用される RDP (リモートデスクトッププロトコル)

ということで、簡単なパスワードを設定していると、

こういったツールで容易に乗っ取られてしまう。

最近は脆弱性の利用がメイン?

上述のように、

パスワードを特定してアクセス権を得る、

という方法もあるが、

最近は、RDS に関する影響の大きい脆弱性が

再び発見されており、攻撃用プログラムも

存在するため、そういったものが

利用されることも多いようである。

RDPの脆弱性を標的とした「BlueKeep/GoldBrute」による攻撃

ということで、

リモートデスクトップサービスを立ち上げている場合、

攻撃の標的となる可能性はかなり高く、

かつセキュリティ対策が不十分な場合、

現実的に乗っ取られてしまう恐れが十分にある、

ということが言えるかと思う。

相変わらずなかなか恐ろしい世の中だ。



どのように対策すればよい?

では、対策はどうすればいいのだろうか?

最も簡単かつ有効な対策は、

「そもそも使わない」

である。

RDS を使う必要が本当にあるのかどうか、

公開鍵設定の SSH ではだめなのか、

などなど、必要性や代替策の有無を今一度吟味し、

使う必要がそこまでないのであれば、

使わないようにしてしまうのが一番良いだろう。

とはいえ、機能としては非常に便利だし、

使わないわけにはいかないから

使っているのだ、という状況も多いだろう。

そんな場合にやることの第一歩は、

「インターネットに公開しない」

だろう。

インターネット側からアクセスできるように

していると、上述のようにスキャンで特定され、

各種ツールや脆弱性を使って攻撃される可能性が高い。

これが無差別に行われている以上、

インターネット側からアクセスできないように

しておく必要があるだろう。

とはいっても、インターネット側から

アクセスしたいことも多々あるとは思われる。

そのような場合、リモートデスクトップ自体は

ローカルネットワーク(LAN)からのみ

アクセスできるようにしておき、

インターネットから LAN に VPN で接続した上で

リモートデスクトップ接続を利用する、などである。

そういったことを考慮して使うべきだろう。

じゃぁ、LAN 内なら安全か、と言われると、

当然そうとは言い切れない。

環境によっては、LAN 内に攻撃者が

いないとは限らないし、ウィルスが潜んでいる

可能性もある。

このため、上述の対策に加え、

「使いまわしていない、強固なパスワードを設定する」

「脆弱性対策のパッチを常に適用する」

ということを実施しておくことが必要。

こういった対策を実施した上で、

「利用しないときはサービスを止める」

など、攻撃の機会を減らすことも重要だと思う。

ということで、

今回はリモートデスクトップ接続について、

そのリスクや対策を記載してみた。

冒頭の記事にあるように、

ちょっとセキュリティ設定を甘くしただけでも

すぐにやられてしまう現状がある以上、

利用時には十分な注意を払い、

しっかりと対策しておくことが、

非常に重要だと思う。




Copyright (c) 2017 Webmaster of this site All Rights Reserved.
カテゴリー: ブログ | タグ: , | コメントする

サイト開設からの軌跡(二年三ヶ月経過)


■サイト開設からの軌跡(二年三ヶ月経過)

サイト開設から二十七ヵ月経過。

今月も、素人がサイト開設したらどうなるか、の記録として、

PV 数などを残しておこうと思う。

  1. PV 数の推移
  2. 読まれている内容
  3. 今後の予定
  4. 所感

PV 数の推移

この二十七ヵ月における Page View 数、訪問者数、および記事数の推移は以下の通り。

経過月数 年月 月間 PV 数 一日平均 PV 数 訪問者数 記事数
1 2017/06 23 1 17 15
2 2017/07 124 4 46 20
3 2017/08 228 7 74 20
4 2017/09 533 17 250 8
5 2017/10 1280 41 599 8
6 2017/11 1690 56 854 16
7 2017/12 2546 82 1355 22
8 2018/01 4107 132 2015 17
9 2018/02 4673 166 2322 14
10 2018/03 4928 159 2557 14
11 2018/04 4822 161 2444 6
12 2018/05 6947 224 2982 7
13 2018/06 6911 230 3430 7
14 2018/07 9540 308 4755 5
15 2018/08 8801 284 4328 7
16 2018/09 8648 288 4146 6
17 2018/10 13262 428 6373 4
18 2018/11 12006 400 5749 4
19 2018/12 10829 349 5045 6
20 2019/01 14256 460 6416 4
21 2019/02 13516 482 6708 4
22 2019/03 11793 380 6171 6
23 2019/04 11582 386 5880 5
24 2019/05 10915 352 5675 5
25 2019/06 15154 505 7997 5
26 2019/07 16156 521 7953 4
27 2019/08 13647 440 6676 4

記事数的には相変わらず少ない。

これまで同様、多忙、気力の低下もあり、

新たなことにチャレンジできていない。

PV 数は結構減少。

一日平均も 500 PV/日を割り込んだ。

やはり、先々月の後半からの落ち込みが大きい。

やっぱりちゃんと面白いことをやって、

読んでもらえるような記事を書いていかないとな。



読まれている内容

先月の PV 数 Top 3 のうち、上位三記事は、

専用カメラモジュールを使う
動いたぞ! DC モーター! – Raspberry Pi でラジコン戦車 –
metasploit の使い方

となった。

一位二位は変わらずだが、

一位は 600 PV 程度減少。

本サイトの PV 数を一手に担ってきてくれた

うちの神ページだが、いよいよ神通力も

なくなってきたか。

そして前回三位だった

ライブカメラ(監視カメラ)を作る!

は五位につけている。

ただ、びっくりしたのは

metasploit の使い方

が三位に来たということ。

全般的に他が落ちたから、というのはあるが、

まさか上がってくるとは思わなかった。

個人的にも、もっとちゃんと

使いこなせるようにしたい。

意外と落ちなかったな、というのが

情報処理安全確保支援士関連の記事は

2 記事ほど Top 10 入りを継続している。

特に、Index page である

情報処理安全確保支援士への道

が Top 10 入りを継続しているのはうれしい。

もっと素晴らしいページも

たくさんあるだろうが、

興味を持つきっかけや勉強のきっかけに

してもらえると嬉しい。

さて、相変わらず

主力になってほしい!

と期待している

Raspberry Pi でブラウザから操作できるラジコン戦車を作る!

シリーズは、

前回五位だった

Raspberry Pi でブラウザから操作できるラジコン戦車を作る! – WebIOPi から DC モーターを制御する –

が、四位にランクアップ。

PV 数はほぼ変わらずだが、

このまま真の主力になってほしい。

今後の予定

毎回代わり映えしないが、進捗確認の意味も込めて。

■Blog
・セキュリティ+ラズパイ関連ニュース(継続)

■セキュリティ
・脆弱性検査ツールの使い方と比較(継続)
armitage、すっかり忘れてた。
もう一回チャレンジしてみよう。
あと、OpenSCAP はちょっと微妙。
もう少し様子を見ようと思う。

・CTF 関連(未)
まだまだ着手できてない…。

・Bug Bounty Program(未)
こちらで稼げるようになりたいのだがねぇ…。

■linux
・HTTPS/FTPS 化(未)
HTTPS/FTPS 化もどっかでやらないとなぁ。

■電子工作
・UART 設定(未)
一応残しているが…。

・OpenCV の利用(未)
ペンディング継続。

・機械学習(未)
まだ本すら買ってない。

・家庭用セキュリティ機器の作成(未)
これもペンディングかな。

・Python 学習(未)
ちょっと作りたいアプリがあるので、
勉強かねて Python 使ってみようと思う。

・PHP 学習(未)
これも同上。



所感

先月は、先々月後半の落ち込みを引きずり、

結構 PV が下がってしまった。

また、記事作成も相変わらず停滞気味。

機械学習など、やりたいことがないわけじゃないが、

正直多忙。

また、やっぱり、

「AI でこれを実現したいんだ!」

というものがないと、

漠然と、知りたい、だけでは

なかなか手が出せない。

こんなことではいかんのだが…。

あと、個人的には、

実際のサイバーアタックに対する対応法

という観点で考えた場合、

まず何から始めればいいか、

どこまでやれば妥当といえるか、

など、経験を積まないと、と思うことが多々出てきた。

今一度 raspberry pi でハニーポットとかを作ってみて、

攻撃者のふるまいや防御方法などについて、

実体験できる状況を考えてみたいと思う。




Copyright (c) 2017 Webmaster of this site All Rights Reserved.
カテゴリー: ブログ | タグ: | コメントする

IPA、情報セキュリティ 10 大脅威 2019 発表


■IPA、情報セキュリティ 10 大脅威 2019 発表

ちょっと時間がたってしまっているが、

IPA が、

情報セキュリティ10大脅威 2019

を発表していたので、取り上げる。

個人に対する脅威の順位は以下の通り。

  1. クレジットカード情報の不正利用
  2. フィッシングによる個人情報等の詐取
  3. 不正アプリによるスマートフォン利用者への被害
  4. メール等を使った脅迫・詐欺の手口による金銭要求
  5. ネット上の誹謗・中傷・デマ
  6. 偽警告によるインターネット詐欺
  7. インターネットバンキングの不正利用
  8. インターネットサービスへの不正ログイン
  9. ランサムウェアによる被害
  10. IoT 機器の不適切な管理

中にはちょっとどうしようもないものもあるが、

個人として被害にあわないような対策や、

被害発生時に取るべき行動など、

個人的に考えられる対策を述べてみたいと思う。
*絶対的なものではなく、
*あくまで参考程度としてとらえて頂きたい



クレジットカード情報の不正利用

クレジットカード番号の流出はなかなか止まらない。

ちょっと調べただけでも、

NHK からの流出
チケットぴあからの流出
ヤマダ電機からの流出

など、登録したサイトからの流出は

枚挙にいとまがない状態。

他にも、

・フィッシングによって盗られる
・不正ログインされて盗られる
・不正アプリの利用により盗られる

など、様々な手法が存在している。

少し古い情報ではあるが、

クレジットカード番号が

取得される経路に関しては、

クレジットカード情報はどうやって盗まれるのか?

などにまとめられている。

個人として対応できるものは

やっておくべきだが、

登録したサイトがサイバー攻撃を受けて

盗られてしまった!などは

個人として対応のしようがない。

また、一度盗られてしまうと、

これを回収したり、

出回らないようにしたりするのは、

現実不可能となり、

個人レベルでできることは、

不正利用されないことを祈る

ぐらいだろう。

被害にあわないようにするには?

前述の通り、取得されること自体を

完全に防ぐことは、個人レベルでは不可能。

ただ、取得されにくくするためには、

・不用意にカード番号を登録しない
・サイトのログインパスワードを強固にする
・不正アプリを利用しない
・フィッシングに注意する

など、できる努力をしておくべきだと思う。

とはいえ、取得されてしまうことはある。

そういった場合に備え、最も有効なのは、

「常に利用明細・利用履歴をチェックする」

ということだと思う。

利用明細や利用履歴を頻繁にチェックしておけば、

不正利用されたとしても、すぐに発見できる。

不正利用と思しき内容が発見できれば、

カード会社に連絡し、調査してもらえる。

不正利用であることが確認できれば、

こちらは請求されることがなくなる、

もしくは不正利用分の払い戻しを受けられる。

これが最も有効な対応策だと思う。

私の場合、随分昔のことになるが、

二度ほど不正利用の被害にあったことがある。

いずれも海外での利用時だが、

一度目はどうもスキミングされたらしい。

帰国後、カード会社から電話がかかってきて、

「〇月×日に△△国のどこどこで

20 万のブランドバックを買ったか?」

と確認が入った。

非常に驚いて、買ってない!と伝えると、

恐らく不正利用なのでこちらキャンセルしておく、

と対応してもらえた。

このように、通常利用とはかけ離れた

高額利用など、カード会社側で不正を

見抜いてくれることはある。

一方、二度目の事例では、

お土産店で買い物をした結果、

二重請求されていたのだが、

明細を確認していて発覚。

カード会社に連絡したものの、

・正規請求であり、こちらでは対応できない
・調査するとなると 1 ヶ月以上かかる

といわれ、自分で請求元に連絡することとなった。

結果的に、請求元はまともな企業であったこと、

処理ミスを認めてキャンセルしいてくれたこと、

から、二重請求問題は解消できたが、

明細書を確認していなかったら、

普通に請求されて終わっていたと思う。

ということで、カードの不正利用に関しては、

やはり明細や利用履歴の確認が一番重要だと思われる。



フィッシングによる個人情報等の詐取

第二位には、

フィッシングによる被害

が上がっている。

フィッシングの語源は、

魚釣り。そのまんま。

ただ、通常の魚釣りと区別するため、

綴りは phishing となっている。

まぁ、被害者を一本釣りするわけだ。

その手法としては、仕事上の取引先や、

契約している銀行、登録している SNS サイトなど、

一件信頼がおけそうな相手を装って

被害者に URL 付きメールなどを送り付け、

不正サイトに誘導して、

ID、パスワードやクレジットカード番号、

暗証番号などを盗み取る、というもの。

その概要や被害事例については、

フィッシング詐欺まとめ | 被害・実例・対策

などにまとまっているので、

一度見ていただくのがよいだろう。

被害にあわないようにするには?

こちらは、標的型攻撃として、

攻撃側が特定の被害者を狙って

仕掛けてくることが多々ある。

このため、一度引っかかってしまうと、

ほぼ確実に被害にあってしまうことが

十分に想定される。

よって、被害にあわないようにするためには、

フィッシングに引っかからない

しかないだろう。

では、どうやったら引っかからずに済むのか。

これは結構難しい問題で、

意識を高めて、フィッシングかどうかを見抜く

というぐらいしかないと思う。

となると今度は、

どうやったら見抜けるのか、

が問題となる。

これに関しては、

1. 自分も対象となりえるという自覚を持つ
2. ちょっとでも怪しいと思ったら確認する
3. より多くの手口(事例)を知る

というぐらいしかないように思える。

これを実現するには、

先ほどのノートンのサイトだったり、

フィッシング対策協議会

などを確認し、手口を知っておくのが有効。

常日頃からこういった事例を収集しておき、

自分も対象となりうるという意識をもって、

ちょっとでも怪しいと思ったら確認する、

が重要だと思われる。



不正アプリによるスマートフォン利用者への被害

第三位は不正アプリによる被害。

これも多分なくならない脅威。

不正アプリの種類としては、

・正規人気アプリの偽物
・正規人気アプリの周辺アプリ
・消費電力を抑える!等パフォーマンス向上系
・出会い、アダルト系

などなど、利用者が思わず

使いたくなるようなものが多い。

こういうものは、利用者自身が使いたいと思って

ダウンロード、インストールするものなので、

なかなか抑止が難しいように思える。

被害にあわないようにするには?

こちらも、結局のところ、

・不正アプリかもしれない

と思えるかどうか、が重要。

不正アプリのリスクがある、

と思えさえすれば、

例えば以下のような対処法・確認法を実践できる。

不正アプリの予防策ともしも感染した場合に取るべき対処法

セキュリティアプリといっても、

結局後追いになってしまい、

最新の脅威には対応できないことが

ままあるので、

脅威を認識し、意識を高く持っておくことが

重要だ、と言わざるを得ないだろう。



メール等を使った脅迫・詐欺の手口による金銭要求

今回の Top 10 としては、

New!

ということで新たにランクインしているが、

昔からよくある手口ではある。

少し違う所は、

・ハッキングした!お前のことは知っているぞ!

など、恐怖心をあおる手段が少し進化したことだろう。

一般の人にとっては、

自分なりにセキュリティ対策をやっていたとしても、

それで十分かどうかなんてわからないだろうし、

ハッカーとか言われたら、

なんか自分がわからないすごい技術を使って

なんでもできてしまう人、

という風に思えてしまうだろう。

なので、ハッキングした、などと言われると、

えっ!?どうしよう!

と動揺するのは、致し方ない話だと思う。

しかも、

・アダルトサイトを見ている動画をとらえた!

とか、

・あなたのパスワードはこれです!

とか言われて心当りがあったら、

まぁ動揺することは間違いないだろう。

脅威としては昔からある話だが、

手口が巧妙化してきている。

根本的には、通常の詐欺と同じだが、

詐欺がなくならないのと同様に、

まぁ厄介な脅威である。

被害にあわないようにするには?

被害にあわないようにするためには、

結局のところ、

・詐欺と同じ対策

になると思う。

まぁ簡単にいうと、

・無視するのがよい

かと。

アダルトサイトを見ていたことがあるから、

ドキッとする、パスワードが当たってるから

ドキッとする、というのはあると思う。

が、詐欺師側にしてみれば、

いろんなメールアドレスに何千万通と

同じような文面を送信し、

一人、二人でも当たればもうかるのだ。

なので、標的型攻撃とは異なり、

本当にハッキングされて、

自分のことがばれて脅迫されているわけではない、

と考えて、まず間違いないだろう。

本当にハッキングされていたら、

そんな脅迫などせず、

バレないようにこっそり悪行を行うはず。

わざわざ脅迫してくる、ということは、

即ちだまそうとしている、ということで

間違いない。

ただ、パスワードがばれている可能性がある場合には、

即座にパスワードを変更したほうがよいだろう。

なお、フィッシングでも同様なのだが、

こういったメールを受け取った際には、

インターネット上における犯罪に関する情報提供

などに情報提供するとともに、

IPA の

情報セキュリティ安心相談窓口

に相談するとよいだろう。



ネット上の誹謗・中傷・デマ

これは難しい。

デマはまだ確認の使用もあるが、

誹謗・中傷は

個人でコントロールできない場合が大きい。

これも厄介な脅威。

被害にあわないようにするには?

デマに関しては、

・複数の情報源を確認する
・信頼のできる情報源を確認する

などでおおよそ防げると思う。

一方、誹謗中傷は防ぎようがない。

こちらは、先ほども記載したが、

都道府県警察本部のサイバー犯罪相談窓口等一覧

などを使って、警察に相談するのが一番だろう。

どこまで動いてくれるのか、という懸念はあるが…。



偽警告によるインターネット詐欺

これも確かに最近出だしている脅威。

ウィルス感染しているから、

急いでこのアプリを買え!

とか言って脅かすもの。

ただ、結局これも、第四位の

メール等を使った脅迫・詐欺の手口による金銭要求

と同じ。

落ち着いて、他の情報源を

当たったりするのがよかろうと思う。



インターネットバンキングの不正利用

これは結局、

・ID/パスワードが露呈した

ということに尽きる。

露呈の手段としては、

・他サイトから漏洩したパスワードの利用
・パスワードの推測

などがあげられる。

一旦ログインされてしまうと、

もう後はやりたい放題されてしまうので、

非常に注意が必要な脅威だといえる。

被害にあわないようにするには?

対応策としては、大きく分けて二つあると思う。

1 つめは、

そもそも不正利用されないようにする

ということ。

前述の通り、ID/パスワードが露呈すると、

もう何でもできてしまうため、

これを防ぐことが重要となる。

具体的には、

・二要素認証を使う
⇒ これは銀行側で対応してくれないとどうしようもないが、
昨今のネットバンキングでも、ハードウェアトークンなどは
発行されていることが多い。
これを利用しておけば、仮に ID/パスワードがわかっても、
ハードウェアトークンを持っていないとログインできない。

・パスワードの使いまわしをしない
⇒ 基本中の基本ではあるが、他サイトでも利用しているような
パスワードを使っていると、そのサイトから漏洩してしまって
インターネットバンキング用のパスワードも露呈することが
考えられる。よってこれは厳禁。

・簡単に推測可能なパスワードにしない
⇒ なるべく長いパスフレーズにするとか、
文字数制限がある場合は複雑なパスワードにする等、
そもそもパスワードが推測できなくするのも重要。

・パスワードを不用意に教えない、入力しない
⇒ フィッシングで抜き取る、不正アプリで抜き取る、
とかもあるので、上位脅威への対策も必要。

・パスワードを不用意に教えない、入力しない
⇒ フィッシングで抜き取る、不正アプリで抜き取る、
とかもあるので、上位脅威への対策も必要。

・PC、スマホを最新の状態に保つ
⇒ ウィルス感染等で情報を抜き取られないように、
こういった基本的対策も重要。

あたりかと思う。

二つ目は、それでもログインされてしまった場合の対応。

これも、クレジットカードの不正利用と同じく、

こまめに利用履歴をチェックする

ということが重要。

どこまで被害を回復できるかは不明だが、

被害が発生したときにいち早く気づく、

というのは、その後の対応も含めて

非常に重要。

発見したらすぐに銀行に連絡すべき。



インターネットサービスへの不正ログイン

7 位のバンキングだって

インターネットサービスじゃないか、

と思うのだが、まぁそれは置いとくとして、

結局これもインターネットバンキングの場合と同じ。

パスワードが何らかの形で露呈することが

主要因となっている。

ということで、対策としては第七位の

インターネットバンキングの不正利用

と同じになると思うので、省略。



ランサムウェアによる被害

これは結局ウィルス感染。

ただ、感染時の挙動が、

・利用している PC の暗号化等による利用不可能化
・利用可能にするための身代金要求

というだけの話。

とはいえ、

一時大流行した WannaCry の元となった

エクスプロイトである、

エターナルブルー

による攻撃試行はまだまだ続いている。

少し古いデータだが、

1年の時を経てもなお、「エターナルブルー」エクスプロイトは「ワナクリプター」勃発時以上に活動中

などもある。

ということで、依然として大きな脅威だろう。

被害にあわないようにするには?

これ自体は非常に簡単。

・不審なファイルは開かない
・パソコンやスマホは常に最新の状態を保つ
・ウィルス対策ソフトなどを導入し、最新の状態にする

個人レベルでできることは、

基本これ以外ないだろう。

あと、万が一感染したとしても、

慌てずに、情報を調査しよう。

場合によっては、復号用の鍵が既に

公開されている場合がある。

IPA の特設ページ

ランサムウェア対策特設ページ

などを確認するとよい。



IoT 機器の不適切な管理

企業のパソコンやサーバーに対する攻撃は

まだまだ継続して行われているが、

対策が進んできて、容易に侵入できない

サーバーなども増えてきている。

そんな中、次にターゲットとされているのが、

インターネットにつながる家電製品等の、

いわゆる IoT 機器。

開発用の telnet が残っていたり、

脆弱性のある状態だったりして、

攻撃者にとっては恰好の獲物となっている。

攻撃の目的は様々で、

監視カメラなどであれば、

単純にのぞき見目的で攻撃される。

攻撃者には、本当にのぞき見したい人もいるだろうが、

「こうすればのぞき見できますよ!」

「のぞき見されるといやでしょう?」

といって成果をアピールしたい

セキュリティ企業等もいる。

また、パソコンよりも性能は低いとはいえ、

Linux パソコンみたいなものだったりもするので、

これをたくさんのっとって、

DDoS 攻撃を仕掛けるボットネット化したり、

仮想通貨のマイニングに利用したりもされる。

ということで、数年前からホットな

攻撃対象となっているため、

気を付けなければならない脅威だ。

特に、ルーターやカメラ系などが狙われやすいが、

これに限った話でもないので、やっかい。

被害にあわないようにするには?

こちらも基本的には、

・ファームウェアを最新版にする
・パッチが出たらすぐに当てる

というのが根本対策になるだろう。

しかしながら、古いものだったりすると、

企業側がパッチや新しいファームウェアを

提供しない、またはできない場合も多々存在する。

そんな時には、

・FireWall などで通信先を限定する

など、ネットワーク側での対応が必要になる。

とはいえ、これもパソコンの脆弱性と同じで、

基本的には常に最新版にアップデートする

というのが一番有効な対策だと思われる。



まとめ

ということで、超長くなってしまったが、

IPA 提供の、

情報セキュリティ 10 大脅威 2019

について、

各脅威と基本的な対策や対応策を書いてみた。

いずれの脅威に関しても、

私たち自身がセキュリティに高い意識を持ち、

自分たちでできることをしっかりやっておくことが、

被害を受けない・軽減する上で非常に重要となる。

なのでこれからもアンテナを張って

いろんな情報を集めて把握しておきたいと思うし、

本サイトでもなるべく発信していこうと思う。

また、不幸にも被害にあってしまった場合、

またはそこまでいかずとも不安に思う事態が

発生した場合には、

IPA の

情報セキュリティ安心相談窓口

や、

都道府県警察本部のサイバー犯罪相談窓口等一覧

などに相談されることをお勧めする。

こんな脅威を感じずに済む世の中であるのが

一番だが、形は違えどどんな時代でも

人を騙して儲けようという人間はいるもの。

被害にあわないためにも、

自分でできることは可能な限りやっておくのが

やっぱり重要だと思う。




Copyright (c) 2017 Webmaster of this site All Rights Reserved.
カテゴリー: ブログ | タグ: , | コメントする

iMessage に深刻な脆弱性発覚


■iMessage に深刻な脆弱性発覚

既にいろんな所で注目されているので、

私がいちいち言うまでもないようにも思うが、

一応注意喚起。

iPhone のメッセージアプリである、

iMessage

に、非常に深刻な脆弱性があるとのこと。

Black Hat で Google の Project Zero が

発表したらしい。

脆弱性の内容は、

iPhone で悪意ある iMassage 向けのメッセージを

受信しただけで、デバイスの乗っ取りや

任意コードの実行ができてしまう、

というものだとのこと。

iMessage受信だけでハッキング? 知っておくべきiPhoneの脆弱性

攻撃者が悪意あるメッセージを送りつけるだけで、

デバイスが乗っ取れてしまう、

というのは、危険性が非常に高い。

攻撃者としては、受信者に何か

操作をしてもらう必要がないのだ。

状況的には、WhatsApp の時と同じ。

WhatsApp の脆弱性では、

攻撃者が対象に対して

細工した攻撃パケットを送信するだけで、

リモートで任意コードを実行可能というもの。

こちらも、対象者による受信等、

被害者側が何も操作しなくても、

攻撃が成功してしまう。

本脆弱性に関しては、

piyokango さんのブログにまとめがあるので、

そちらを参照していただければと思う。

WhatsAppの脆弱性CVE-2019-3568についてまとめてみた



WhatsApp の脆弱性に関しては、

既に攻撃が観測されているということで、

実際に被害が出ていると思われる。

そう考えると、今回の iMessage の脆弱性に関しても、

遅かれ早かれ攻撃ツールが出回ると思われる。

もちろん、一般的なインターネット上で

出回るかどうかは不明だが、

ダークウェブ上で売買はされると思われる。

高い値段かもしれないが、

政府高官や企業のトップを狙う

ブラックな攻撃者であれば、

実際に購入して攻撃することが考えられるだろう。

また、そうこうしているうちに、

インターネット上にも PoC(Proof of Concept)を

ベースとした攻撃ツールが出回ることも想定される。

なので、一般の人でも十分に

狙われる恐れがあるということだ。

幸いなことに、一部未対応なものはあるものの、

iOS 12.4 以降であれば、

本脆弱性は修正されているとのこと。

iPhone をお使いの方は、

他人事と思わず、

こまめにアップデートしておくことを

強くお勧めする。




Copyright (c) 2017 Webmaster of this site All Rights Reserved.
カテゴリー: ブログ | タグ: , | コメントする

ようやく発生!?情報処理安全確保支援士になるメリット


■ようやく発生!?情報処理安全確保支援士になるメリット

これまで、情報処理安全確保支援士制度に関して、

・試験自体はよいもの
・合格することには意義がある
・登録するメリットはないに等しい
・更新費用面でのデメリットが大きい

ということで、

試験への挑戦は強く進めるが、登録はお勧めしない

という形で個人的な見解を記載してきた。

が、今回、初めて、

登録することによるメリット

というのが出てきたと思えるので、

それについて記載してみようと思う。



今回、具体的なメリットとして

取り上げるのは、こちら。

中小企業の情報セキュリティマネジメント指導業務

IPA が、情報処理安全確保支援士などの専門家を活用し、

中小企業の情報セキュリティ確保を支援する、

というもの。

全 4 回で訪問指導を行う上、

すべて無料というものらしい。

主な内容は、

・リスクの洗い出し
・対策の決定、基本方針策定
・関連規定の特定と策定に向けた検討
・レビューとまとめ

ということらしい。

正直、情報処理安全確保支援士試験に

受かっただけ、という人であれば、

これらの内容をすべて適切に実施するのは

難しいのではないか、と思う。

試験内容的に。

ただ、実務経験豊富な人もいるだろうし、

どうも更新に必要な各種講座を受けていれば、

IPA が提供している各種ガイドブックなどの

内容は理解できるっぽいので、

それらを組み合わせれば何とかなるかもしれない。

まぁ十分ではないのかもしれないが、

中小企業には重要な企業が多い一方、

・あまりセキュリティ意識が高くない
・対策したくとも費用が掛けられない

などの状況が多いことを鑑みれば、

無料だと、

「ちょっと聞いてみようか、やってみようか」

と思う企業も多いだろうし、

一度受けて、その内容がよければ、

次はどうすればいい?これで十分か?

など、次回以降も担当してくれた

情報処理安全確保支援士に

連絡を取っていくことが考えられる。

そうなると、支援士の意義も上がるし、

支援士自体の収入にもつながっていく可能性がある。

そう考えると、ようやく、

・試験合格ではなく、登録することの具体的メリット

が出てきたといえるだろう。

これは最初の一歩として、非常に有意義だと思う。



では、支援する側の情報処理安全確保支援士は、

どのように選ばれるのだろうか?

これは、どうも説明会への参加が必要っぽい。

中小企業の情報セキュリティマネジメント指導業務説明会のご案内

ということで、説明会に参加しないと

詳細はわからないっぽい。

また、謝礼が支払われる、ということだが、

いったいいくら支払われるのだろうか?

勝手な予想だが、1 万円とか、

正直その程度だと思う。

まぁ、数万円出ればよいほうだろう。

そもそも中小企業側は無料だし、

国の事業だから、むやみやたらと

税金投入すべきでもないし、

を考えれば、致し方ないとは思う。

内容的には結構大変な仕事ではあるので、

一件受注すれば個人であれば一月は生活できる、

ぐらいの料金はほしいものの、

初回ということでまぁその高望みは無理だろう。

しかし、平日の昼か…。

一回ぐらい参加してみたいが、

仕事を休んでまでいくのもなぁ。

とはいえ、実態把握として、

一度ぐらいは聞いてみたい。

所で、支援士じゃないと参加できない、

みたいな制約は今のところ書いてないのだが、

試験合格者ではだめなんだろうな、きっと。

まぁとはいえ話ぐらいは聞いてみたいものだ。



ということで、

今まで全くと言っていいほど

登録するメリットを感じなかった、

情報処理安全確保支援士制度

であるが、今回初めて、

メリットらしいメリット

が出てきたことになる。

試験合格だけではだめで、

ちゃんと登録して支援士にならないと、

この仕事は受注できない。

報酬がいくらか、によって、

メリットの大きさは当然変化するが、

登録のメリットであることには変わりない。

今後、メリットがより大きくなるよう、

こういった制度の整備・拡張を

続けてほしいものである。

あと、これも推測だが、こういった業務は

恐らくフリーランスでやっている人でないと、

受注できないように思える。

業務として、それなりに時間がとられる内容だし、

4 回の講習会も恐らく平日だろうし。

そうなってくると、IPA 自身が調査した通り、

企業でいろんな仕事を抱えながら

セキュリティの仕事を実施している人にとっては、

よそのことまで手が回らず、

そもそも応募する気にならないことが考えられる。

「情報処理安全確保支援士(登録セキスペ)の活動に関する実態調査」調査報告書について

仮にこれが正しければ、そもそも応募する支援士側も

少なくなってしまうので、こういった制度が

うまく回らなくなる可能性も出てくると思う。

経産省や IPA には、さらなる制度の発展を

検討してもらうとともに、支援士を抱える企業側も、

「これは勉強になるから、副業としてぜひ行ってこい!」

となってもらえれば、支援士側としては、

・資格の保持により収入の幅が広がる
・他企業の状況を知ることで、自分の知見が広がる

という金銭面でも自己成長面でも大きなメリットが出る。

支援士を抱える企業側としても、

・副業を許容することで、社員(支援士)の満足度向上(離職防止)につながる
・副業により、支援士の能力(実践力)向上が期待できる
・向上した能力により、自社のセキュリティ向上にもつながる

という形で、十分なメリットを得られるのではないか。

また、国としても、

・メリット増に伴う資格取得希望者の増加(更新費用収入増)
・各企業・団体におけるセキュリティの向上

ということが実現できると思われる。

まぁもちろん、いきなりそんなに

うまくいくとは思えない。

が、こういった制度を発展させていくことで、

全員が win-win の関係になれるのではないだろうか。

これまで、支援士への登録については、

基本的に批判的な内容ばかりを書いてきた私だが、

十分満足な内容ではないとはいえ、

こういった制度がどんどん広がることは、

非常に歓迎すべきことだと思っている。

今後、全員が十分なメリットを感じられる

制度に発展していくことを期待している。




Copyright (c) 2017 Webmaster of this site All Rights Reserved.
カテゴリー: ブログ, 情報処理安全確保支援士 | タグ: , | コメントする

サイト開設からの軌跡(二年二ヶ月経過)


■サイト開設からの軌跡(二年二ヶ月経過)

サイト開設から二十六ヵ月経過。

今月も、素人がサイト開設したらどうなるか、の記録として、

PV 数などを残しておこうと思う。

  1. PV 数の推移
  2. 読まれている内容
  3. 今後の予定
  4. 所感

PV 数の推移

この二十六ヵ月における Page View 数、訪問者数、および記事数の推移は以下の通り。

経過月数 年月 月間 PV 数 一日平均 PV 数 訪問者数 記事数
1 2017/06 23 1 17 15
2 2017/07 124 4 46 20
3 2017/08 228 7 74 20
4 2017/09 533 17 250 8
5 2017/10 1280 41 599 8
6 2017/11 1690 56 854 16
7 2017/12 2546 82 1355 22
8 2018/01 4107 132 2015 17
9 2018/02 4673 166 2322 14
10 2018/03 4928 159 2557 14
11 2018/04 4822 161 2444 6
12 2018/05 6947 224 2982 7
13 2018/06 6911 230 3430 7
14 2018/07 9540 308 4755 5
15 2018/08 8801 284 4328 7
16 2018/09 8648 288 4146 6
17 2018/10 13262 428 6373 4
18 2018/11 12006 400 5749 4
19 2018/12 10829 349 5045 6
20 2019/01 14256 460 6416 4
21 2019/02 13516 482 6708 4
22 2019/03 11793 380 6171 6
23 2019/04 11582 386 5880 5
24 2019/05 10915 352 5675 5
25 2019/06 15154 505 7997 5
26 2019/07 16156 521 7953 4

記事数的には相変わらず少ない。

新たなことにチャレンジできていないのと、

多忙、気力の低下が原因。

もうちょっとモチベーションを上げないと。

PV 数は、ありがたいことに、先々月から続伸。

一日平均も 500 PV/日越えを継続。

とはいえ、前半は一日 600 PV を超えることが

当たり前だったのだが、ここ最近は平日でも

400 PV 行くかいかないか、なんて日がある。

なので、先月は前半の上昇による貯金で PV 数増加も、

後半悪化しているため、今後はちょっと心配かな。



読まれている内容

先月の PV 数 Top 3 のうち、上位三記事は、

専用カメラモジュールを使う
動いたぞ! DC モーター! – Raspberry Pi でラジコン戦車 –
ライブカメラ(監視カメラ)を作る!

となった。

一位二位は変わらずだが、

一位は 300 PV 程度減少。

一時の盛り上がりはなんだったんだろうか?

そして前回三位だった

過去最低の応募者数 – 情報処理安全確保支援士試験 –

は予想通り Top 3 陥落も、

四位につけている。

意外と落ちなかったな、というのが

正直な感想。

情報処理安全確保支援士関連の記事は

3 記事ほど Top 10 入りしているので、

まだ試験合格発表の影響が残っていたのかもしれない。

さて、相変わらず

主力になってほしい!

と期待している

Raspberry Pi でブラウザから操作できるラジコン戦車を作る!

シリーズは、

前回八位だった

Raspberry Pi でブラウザから操作できるラジコン戦車を作る! – WebIOPi から DC モーターを制御する –

が、五位に復帰。

PV 数自体も伸びているので、

このまま真の主力になってほしい。

今後の予定

毎回代わり映えしないが、進捗確認の意味も込めて。

■Blog
・セキュリティ+ラズパイ関連ニュース(継続)

■セキュリティ
・脆弱性検査ツールの使い方と比較(継続)
armitage に着手を試みたが、
いままだ停滞中。ちゃんと理解しないと。
あと、OpenSCAP 忘れてたので、
こちらも調査を開始したい。

・CTF 関連(未)
まだまだ着手できてない…。

・Bug Bounty Program(未)
こちらで稼げるようになりたいのだがねぇ…。

■linux
・HTTPS/FTPS 化(未)
HTTPS/FTPS 化もどっかでやらないとなぁ。

■電子工作
・UART 設定(未)
一応残しているが…。

・OpenCV の利用(未)
ペンディング継続。

・機械学習(未)
まだ本すら買ってない。

・家庭用セキュリティ機器の作成(未)
これもペンディングかな。

・Python 学習(未)
ちょっと作りたいアプリがあるので、
勉強かねて Python 使ってみようと思う。

・PHP 学習(未)
これも同上。



所感

先々月時点では、

まだ伸びる余地はあるのかな、

と思っていたが、直近はまた停滞気味。

興味のあるネタも減ってきているし、

時間も取れなくなってきているし、

電子工作は進められていないし、の三重苦。

また面白いネタをみつけて、

それに向かって自分の気持ちが盛り上がり、

知識も経験も増えて、

というポジティブスパイラルに

戻していければいいんだけれど。

まぁいろいろ情報探査は継続しているので、

もうちょっとしたらまたそんな時期が来ると

勝手に信じて、継続していこうと思う。




Copyright (c) 2017 Webmaster of this site All Rights Reserved.
カテゴリー: ブログ | タグ: | コメントする

Raspberry Pi 4 関連情報


■Raspberry Pi 4 関連情報

先日、

遂に登場!ラズパイの新型! – raspberry pi 4 –

でラズパイ 4 の新型発表について紹介した。

日本での発売はまだだが、

関連情報が色々出てきたので、

ちょっとまとめてみようと思う。



まずはパフォーマンスから。

これに関してはこちらが詳しい。

Initial Raspberry Pi 4 Performance Benchmarks

・Raspberry Pi 4 Model B 2 GB
・Raspberry Pi 4 Model B 4 GB

を、

・Raspberry Pi 3 Model B+ 2 GB
・Libre Board ALL-H3-CC H5
・Firefly ROC-RK3328-CC
・ASUS Tinker Board

などと比較している。

CPU パフォーマンス的には

2 GB と 4 GB、および ASUS が

Top 3 でほぼ同じ。

Raspberry Pi 3 Model B+ より

随分とよい結果となっている。

Video エンコードは

2GB -> ASUS -> 4GB

の順となっており、2GB 版が

ちょっと抜けている状態。

その他の圧縮やエンコード関連は

Raspberry Pi 3 Model B+

が抜きんでている一方で、

Web Page Serving だと

やっぱり

Raspberry Pi 4 Model B 2GB/4GB

が圧勝。

その他、結構いろいろ比較されているので、

購入を検討している人は見てみるとよいと思う。

英語サイトだが、グラフで表示されているので、

意外とわかりやすいと思う。

あと、ASUS Thinker Board が意外と優秀。

とはいえ、Raspberry Pi 4 よりは

全般的に劣ると思われるので、

コストパフォーマンス観点でも

Raspberry Pi 4

のほうがよさそうだ。



ということでパフォーマンスは

結構優秀だと思えるのだが、

発熱による問題も指摘されている。

「Raspberry Pi 4」は発熱が懸念されるも新ファームウェアで改善可能だとのレビュー結果

ファームウェアアップデートで

解消するとのことだが、

発熱はやっぱり随分とパフォーマンスに

影響するため、

念のためという意味でも

ヒートシンクかファンは

一緒に購入するのがよいかもしれない。

実際、ケースに穴をあけて

ファンを取り付けてしまうような

猛者まで現れているし。

発熱が気になる「Raspberry Pi 4」のケースにドリルで穴を開けてファンを取り付けてしまった猛者が現れる

そして最後にちょっと気になる点。

現時点では電源インターフェースである

USB-C が、

一部のケーブルに対応できない

という状況のようなのだ。

Raspberry Pi 4は一部のUSB-Cケーブルに対応せず

実際どれぐらいのケーブルが

対応できないのか、は不明だが、

手持ちのケーブルを刺してみても

うんともすんとも言わない、

という状況があり得る、ということだ。

自分の手持ちがそうなったら困るが、

そんな時はもう正規ケーブルを

購入するしかないだろう。

日本での発売までに直してくれんもんかねぇ。



ということで、現時点でわかっている情報を

いくつかピックアップしてまとめてみた。

パフォーマンスはやっぱり結構よさそうだし、

それ以外の問題もそれほど大きなものでは

なさそう(回避策がある)なので、

買いといえば買いかなぁ、とは思う。

が、Display 表示させず、

サーバーとして動かす分には、

Raspberry Pi 3 Model

でも現状不満はないぐらい。

そうなると PC として使いたくなるが、

どうしようかなぁ。

もうしばらく悩んでみようと思う。




Copyright (c) 2017 Webmaster of this site All Rights Reserved.
カテゴリー: ブログ | コメントする

令和元年秋期情報処理安全確保支援士試験受付開始


■令和元年秋期情報処理安全確保支援士試験受付開始

すげー、タイトル全部漢字だ…。

そんなことはさておき、

いよいよ、元号が令和となって初めての、

情報処理安全確保支援士試験

に関して、その申し込み受付が開始されたようだ。

令和元年度秋期試験について

申し込み締め切りは、

インターネット :8/14(水)18:00
郵送 :8/8(木)消印有効

ということらしい。

まだ一ヶ月ぐらい余裕はあるものの、

締め切りギリギリだとアクセス集中で

うまくアクセスできなくて時間切れ、

ということがあるようなので、

申し込みする方は、

さっさとやってしまったほうが

よいだろう。



さて、情報処理安全確保支援士関連の

記事を書くたびに、

毎回この制度について

結構ぼろくそに言っている癖に、

なぜ試験関連の話はこのように紹介するのか。

それは、私が批判しているのが、

あくまで、

現行制度の適切性は費用対効果の観点で大いに疑問

ということと、

その状況を改善しようとしない経産省の姿勢

であって、

試験の内容そのものではないからだ。

試験の内容自体は、

よく考えられた良問が多いように思える。

また、技術や世の中の動向をきちんと

キャッチアップしており、それなりに

現実的な状況を想定した問題となっている。

加えて、攻撃技術や攻撃動向も

きちんと追随しているようで、

知識レベルではあるが、結構実践的な

内容に年々なってきていると思われる。

そういった意味で、この試験自体は

私は結構よい試験だと思っている。

まぁ、ネックは、

午後問題がかなり国語力を問われる問題になっている

というぐらいか。

とはいえ、他にも、

・試験費用が安い

・年二回試験が行われる

など、チャレンジが非常にしやすい、というメリットもある。

ただ、なんといってもやっぱり一番のメリットは、

・自分自身の知識が広がり、深まる

ということに尽きる。

それなりに難易度が高い試験ではあるので、

あやふやな知識では正解できない問題が多い。

過去問などをやっていても、

あれ、これ知ってるつもりだったんだけど…

というものが結構あったりする。

そういったところを今一度きちんと

調べなおしたりすることで、

「あぁ、そういうことだったのか」

というのが得られ、正確な理解につながっていく。

また、試験範囲も結構広めのため、

自分の得意分野でなくても、

一通り勉強しておかなければならない。

これにより、大体どんな話を聞いても、

「あぁ、あのことか」

とついていくことができる。

セキュリティの分野は非常に幅広いので、

一概に

「セキュリティの専門家です」

といったとしても、結構話がかみ合わない、

または相手の言ってることがわからない、

ということはままある。

が、こういった試験勉強を通じて、

幅広い知識を獲得しておけば、

そういう状況でも何とか対応していけるし、

さらに深めていくこともできる。

もちろん、試験に受かれば即戦力となれるか、

といわれると、やはり答えはノーである。

が、試験に合格するぐらいの知識や

思考力、過去問などを通じた状況理解などを

持っておけば、少なくとも、実践の場を経験した際に

自分の力の伸び率が圧倒的に異なる。

もちろん、この試験の問題自体が

質の良い問題だから、そういうことが言える。

こういった観点から、セキュリティの専門家を

目指す方には、この試験に取り組むことを

強くお勧めする次第である。

合格しても登録しなければお金はそんなにかからないし、

でも合格するだけで

「国家資格試験合格者」

は名乗れるし、自分のためにもなるし、

ということで、少しでも興味があれば、

是非とも取り組んでいただきたいと思う。

勉強のやり方や、試験の状況などに関しては、

情報処理安全確保支援士への道

などにも書いておいたので、

興味があればこちらも見ていただければと思う。

今回は令和になって第一回目という

記念すべき試験でもあると思うので、

セキュリティに興味がある人は、

一度受験を検討してみてはいかがだろうか?




Copyright (c) 2017 Webmaster of this site All Rights Reserved.
カテゴリー: ブログ, 情報処理安全確保支援士 | コメントする

7pay(セブンペイ)問題


■7pay(セブンペイ)問題

今日は 7 月 7 日。

言わずと知れた、七夕だ。

7 がならなぶこの日、

7 にちなんで、7pay 問題について

取り上げてみようと思う。



・7pay 問題とは?

7pay 自体は、セブンイレブンで利用できる

スマホ決済サービス。

クレジットカードを登録し、

そこからチャージしておくことで、

セブンイレブンで簡単決済が可能というもの。

登録でおにぎり無料とか、

決済する度に nanaco ポイントが付与されるとか、

色々特典もついてきている。

で、今回の問題は、この 7pay に登録した人が、

登録したクレジットカードを不正に利用された、

というもの。

これ自体は、現時点で詳細原因不明。

ただ、これをきっかけに、

・二段階認証を用いていなかった
・パスワードリセットが会員 ID、生年月日等のみで可能
・リセット済みパスワードを別メールに転送可能
・iOS からの新規登録時には生年月日なしで登録可能

等々、様々な問題点が指摘されている。

このあたりの詳しい問題に関しては、

piyokango さんが

7payの不正利用についてまとめてみた

に詳しくまとめておられるので、

こちらを見ていただくのがよいだろう。



・私の考える根本的問題点とは?

そもそも仕様上の脆弱な仕組みになっていた、

という問題に関しては、上述のブログの他、

いろんな所で指摘されているので、

改めて言うまでもないだろう。

加えて、今回の問題をさらに盛り上げているのは、

記者会見で社長が二段階認証を知らなかったとか、

そういった、基本のき、すらわかっていないのに

決済サービスに手を出してしまうなんて、というような

まぁ誰しもが叩きやすい状況になっているから、

というのもあると思う。

もちろん、これらの批判は至極全うだと思うし、

答えられないっていうのも企業としてどうかとは思う。

一方で、実質ベンチャー企業でもなく、

IT 畑で歩んできたわけでもなかろう社長が、

そんなこと知ってるか?

とも思うし、知ってなくて当然だと思う。

知っておけ、というほうが無理だろう。

では、何が問題なのか。

社長が答えられないのは致し方ないなら、

今回の問題は致し方ないのか?

もちろん、そうではない。

社長が答えられない場合、普通は

「技術的内容に答えられる部下」

に答えさせるものである。

にもかかわらず、

誰も適切に答えられなかった、

というのが深刻な問題なのだと思う。

つまり、

社内にセキュリティに関する専門家がいなかった、

あるいは

いるが認識されていなかった

というのが問題だと思うのだ。

これは即ち、経営者の認識不足以外の何物でもない。

これだけセキュリティ問題が叫ばれている昨今、

決済サービスという狙われやすいサービスを

立ち上げるにもかかわらず、

自社に専門家も置いていないなど、

経営リスクを甘く見すぎているとしか

正直思えない。

また、すでに事件が起こっているにもかかわらず、

利便性とのトレードオフ

などと述べている時点で、

認識はまだまだだな、というのが正直な感想。

しばらくはまだまだダメダメ状態が続くだろう。



しかも、今回の事件を受けて、

セキュリティ対策強化を目的とした新組織を

発足したらしいが、これまた大丈夫か?と思う。

「7pay(セブンペイ)」に対する不正アクセスの件(第 3 報)
セキュリティ対策の強化を目的とした新組織発足のお知らせ

PL 二人いる割にどっちが何担当かわからんし、

セキュリティアドバイザーは外部のみだし、

内部でアドバイスを実現できると思えないし、

そもそも組織じゃなくて Pj. だし、

その割にいつまでにどこまでやるって書いてないし。

認識なんてそう急激に上がるものではないが、

事故が起こってもこの程度、というのは、

まぁ酷いと言わざるをえないだろうなぁ。

そして酷いといえば、経産省。

7pay、「基礎の基礎をやっていなかった」経産省も厳しい目 それでもセブン&アイは…

少なくとも、あんたらが管轄する資格なんだから、

情報処理安全確保支援士を〇名は置け!

とか指導しろよ。

正直、いたから防げたかというと

別問題だとは思うが、

ただでさえ知名度低いんだから、

こういう所できちっと有益性訴えないと、

どんどん登録者数減っていくよ?

やっぱり本気で推進しようとは思えない。

酷い酷いと愚痴ばっかりいってても

しょうがないと思って記事書き始めたけど、

どんどん酷さに腹立ってきた。

こういうの、どうすれば改善していくんだろうか。




Copyright (c) 2017 Webmaster of this site All Rights Reserved.
カテゴリー: ブログ | コメントする

サイト開設からの軌跡(二年一ヶ月経過)


■サイト開設からの軌跡(二年一ヶ月経過)

サイト開設から二十五ヵ月経過。

先月からいよいよ三年目に突入。

今月も、素人がサイト開設したらどうなるか、の記録として、

PV 数などを残しておこうと思う。

  1. PV 数の推移
  2. 読まれている内容
  3. 今後の予定
  4. 所感

PV 数の推移

この二十五ヵ月における Page View 数、訪問者数、および記事数の推移は以下の通り。

経過月数 年月 月間 PV 数 一日平均 PV 数 訪問者数 記事数
1 2017/06 23 1 17 15
2 2017/07 124 4 46 20
3 2017/08 228 7 74 20
4 2017/09 533 17 250 8
5 2017/10 1280 41 599 8
6 2017/11 1690 56 854 16
7 2017/12 2546 82 1355 22
8 2018/01 4107 132 2015 17
9 2018/02 4673 166 2322 14
10 2018/03 4928 159 2557 14
11 2018/04 4822 161 2444 6
12 2018/05 6947 224 2982 7
13 2018/06 6911 230 3430 7
14 2018/07 9540 308 4755 5
15 2018/08 8801 284 4328 7
16 2018/09 8648 288 4146 6
17 2018/10 13262 428 6373 4
18 2018/11 12006 400 5749 4
19 2018/12 10829 349 5045 6
20 2019/01 14256 460 6416 4
21 2019/02 13516 482 6708 4
22 2019/03 11793 380 6171 6
23 2019/04 11582 386 5880 5
24 2019/05 10915 352 5675 5
25 2019/06 15154 505 7997 5

記事数的には相変わらず少ないものの、

先々月に引き続き、

Kali Linux で Vuls を使う方法

シリーズの作成を継続し、いったん完了。

元々予定していたものに加え、

Kali Linux で OpenVAS を使う方法

まで作成し、Vuls との比較までできた。

各種セキュリティツールがある中、

同じ対象に対してその結果を比較することで、

どのツールがどういう風に使えるのか、

という所を自分なりに理解できたのはよかった。

で、肝心の PV 数はというと、

月間 PV 数が初の 15,000 越え、

一日平均でも初の 500 PV/日を達成。

ここ半年は基本的に右肩下がりだったので、

ここにきての過去最高はうれしい。

また、直近目標として一日 500 PV という所を

意識していたので、これを達成できたのもよかった。

まぁ、先月は情報処理安全確保支援士試験の

合格発表があったため、支援士関連記事の

PV 数が急増する、という季節要因も大きいのだが、

それ以外の PV 数も全体的に伸びている。

何があったのか、はわからないが、

素直にうれしい限りである。



読まれている内容

先月の PV 数 Top 3 のうち、上位三記事は、

専用カメラモジュールを使う
動いたぞ! DC モーター! – Raspberry Pi でラジコン戦車 –
過去最低の応募者数 – 情報処理安全確保支援士試験 –

となった。

Top は相変わらずうちの神ページだが、

先月は先々月に比べて 600 PV も上昇し、

ここだけで 2,000 PV 以上を達成している。

いったい何が起こったのだろう?

二位も先々月と同じだが、

100 PV ぐらい上昇している。

そして三位は完全に季節要因。

情報処理安全確保支援士試験合格発表の影響で、

前回の Top 10 外から、300 PV ぐらい増やして

一気に Top 3 まできた。

まぁ、今月はまたランク外確実だけど。

そして、今回 Top 3 陥落だった

ライブカメラ(監視カメラ)を作る!

だが、PV 数的にはこちらも

100 PV ほど増えている。

順位は下がったが増加はうれしい。

さて、相変わらず

主力になってほしい!

と期待している

Raspberry Pi でブラウザから操作できるラジコン戦車を作る!

シリーズは、

前回四位だった

Raspberry Pi でブラウザから操作できるラジコン戦車を作る! – WebIOPi から DC モーターを制御する –

が、八位に、

九位だった

Raspberry Pi でブラウザから操作できるラジコン戦車を作る!

が十四位と、各々ランクダウン。

が、これも各々、PV 数自体は伸びているので、

まったくもって悲観はしていない。

ありがたい話である。

季節要因の

情報処理安全確保支援士

関連は今月落ちるのが目に見えているが、

全体的に伸びているので、

今月も継続してほしいものだ。

今後の予定

毎回代わり映えしないが、進捗確認の意味も込めて。

■Blog
・セキュリティ+ラズパイ関連ニュース(継続)

■セキュリティ
・脆弱性検査ツールの使い方と比較(継続)
Kali Linux で Vuls を使う記事は作成完。
Kali Linux に OpenVAS を入れたり、
比較したり、という所も一通りできた。
これで終わってもいいのだが、
最近は armitage に興味を持っている。
ということで、armitage の使い方について
ちょっと調べて、記事にしていきたいと思う。

・CTF 関連(未)
まだまだ着手できてない…。

・Bug Bounty Program(未)
こちらで稼げるようになりたいのだがねぇ…。

■linux
・HTTPS/FTPS 化(未)
HTTPS/FTPS 化もどっかでやらないとなぁ。

■電子工作
・UART 設定(未)
一応残しているが…。

・OpenCV の利用(未)
ペンディング継続。

・機械学習(未)
まだ本すら買ってない。

・家庭用セキュリティ機器の作成(未)
これもペンディングかな。

・Python 学習(未)
ちょっと作りたいアプリがあるので、
勉強かねて Python 使ってみようと思う。

・PHP 学習(未)
これも同上。



所感

いよいよ三年目に突入したが、

今のところはまだ伸びる余地はあるのかな、

という感じ。

自分の興味的にも結構広がってきているが、

如何せんなかなか時間が取れないのが痛い。

もうちょっといろいろ遊びながら

勉強したいのだがなぁ。

忙しさにかまけ、ついついさぼりがちになるが、

楽しいことでもあるのだし、

今後もいろいろネタを見つけて

頑張っていこうと思う。




Copyright (c) 2017 Webmaster of this site All Rights Reserved.
カテゴリー: 未分類 | コメントする