ITpro: 夢見るIT部門は苦境に?合併・統合で待ち受ける6つの落とし穴

Day1を新会社発足日、Day2をシステム統合もしくは分離日を指しますが、Day2時の方針がわからない状態でDay1までのプランを立てるのは難しいですよね。特にDay1までの期間が短い場合は大変です。とりあえず・・・のような感じでDay1を迎えてしまい、Day2までの完全統合・分離と方向性がずれてくる場合があります。

そこで活躍するのが、コンサルティング会社から来るコンサルタント達ですよね。よくあるのがBig4ファームのコンサルがビジネスとITの両方を担当しPMOとして活躍していますね。ですので、なかなか社内の人間は統合・分離に関する作業のマネジメントレベルのスキルがつきませんね。

http://itpro.nikkeibp.co.jp/atcl/column/16/110900256/111400002/

産経ニュース:露、SNS「リンクトイン」初封鎖 ネット統制強化「情報保存で違反」

ロシア人の個人情報はロシア国内に保存しないといけないようですね。ちなみに、この法律はロシア連邦法第242-FZ号といって2015年9月に施行されたようです。

そうすると、今回LinkedInが封鎖されましたが、それ以外のSNSも封鎖されるのでしょうか?これを回避するためには、ロシア人のアカウントかどうかを判断して、保存するデータベース、サービス、サーバ等をロシア内のデータセンターに構築する必要があり、コスト的にも問題が発生しますね。

http://www.sankei.com/economy/news/161118/ecn1611180031-n1.html

読売新聞:自治体サイトなりすまし、旧ドメイン取得し誘導

新居浜市の観光サイトの古いドメインを利用してなりすましのサイトを作成したようです。下のスクリーンショットのようにJapan-101カジノ攻略というページへのリンクが張ってありますね。現在はすでにこのサイトはMcAfeeなどのサイトアドバイザーでは悪意のあるウェブサイトとして認識しているようですが、BulecoatのWebPulseサイト評価では、まだ旅行という分類となっていますね(11月15日20:10)。https://sitereview.bluecoat.com/sitereview.jsp#/?search=http%3A%2F%2Fniihamakanko.com%2F

niihama

http://www.yomiuri.co.jp/national/20161114-OYT1T50089.html?from=ytop_main3

件名のランダム化に失敗したマルウェアファイル付きメール rnd(B,S,F,H,A,D,C,N,M,L)

最近はメールの件名にBilling番号などランダムな数字を表示させたフィッシングメールが多いですが、このメールは失敗したっぽいですね。

rnd(B,S,F,H,A,D,C,N,M,L)の部分ではこのアルファベットの中から1つをランダムに選択してその後の数字に続けたかったのでしょうね。例えばB455085 のように。

 

 

件名:BP Fuel Card E-bill 8549258 for Account (rnd(B,S,F,H,A,D,C,N,M,L)}}455085 08/11/2016

添付ファイル:ebill8549258.zip (トロイの木馬 JS/Nemucod.jg)

内容:

BEVERLEY WILKINS

 

Last & Tricker Partnership

 

3 Lower Brook Mews

Lower Brook Street

Ipswich Suffolk IP4 1RA

T: 01473 252961? F: 01473 233709? M: 07778464004

email: beverley.wilkins@flawlessgateway.com

 

This e-mail and any attachments may contain confidential and privileged information and is intended only for the use of the individual or entity to which it is addressed. If you are not the intended recipient, please notify the sender immediately by return e-mail, delete this e-mail and destroy any copies from your system; you should not copy the message or disclose its contents to anyone. Any dissemination, distribution or use of this information by a person other than the intended recipient is unauthorized and may be illegal. We cannot accept liability for any damage sustained as a result of software viruses and advise you to carry out your own virus checks before opening any attachment.

 

TBS: 経団連にサイバー攻撃か、政府とのやりとりなど漏れた可能性

サイバー攻撃という言い方が正しいのかは今のところ不明ですが、Command and Control用のプログラムがインストールされて外部のC2サーバとの通信があったのかもしれませんね。

通信が深夜と早朝ということで、可能性としては日本の企業に特化したマルウェア、攻撃の場合と、単純にマルウェア自体がローカルの時間の深夜と早朝に通信を行うようにプログラムされていたかのいずれか考えられますね。深夜はもちろん一番気付かれない時間帯であり、モニタリングを行っていてアラートが上がったとしても、対応を開始するのに時間がかかる時間帯です。

エンドポイントのアンチウィルスソフトの定義ファイルが最新であるか、定期的にフルスキャンしているか、スキャンされない例外フォルダがあるか確認して、またその端末(ユーザID)からアクセスできる資源(共有フォルダ)のチェックも必要ですね。

 

http://www.keidanren.or.jp/announce/2016/1110.html

http://news.tbs.co.jp/newseye/tbs_newseye2911883.htm

http://www.sankei.com/politics/news/161110/plt1611100025-n1.html

 

 

jiji: PC乗っ取り容疑で高1逮捕=「チートツール」装い感染?神奈川県警

http://www.jiji.com/jc/article?k=2016110100828&g=soc

ウィルスというよりも、バックドア系のツールをインストールして、リモートアクセスしたという感じですね。このようなツール自体はフリーでインターネット上から入手できますので、ある程度の知識があれば誰でもできますので、このような事件が今後も増えてくると思われます。

セキュリティインシデントハンドリングライフサイクル(Incident Handling Lifecycle)

セキュリティインシデントに対するハンドリングライフサイクルのフレームワークとしては、

  • SANS Incident Handling Process
  • NIST SP 800-61

を参照にするのが良い。2つのフレームワークの内容はほぼ同じだ若干の違いがある。

 

SANS Incident Handling Process

  1. Preparation
  2. Identification
  3. Containment
  4. Eradication
  5. Recovery
  6. Lesson Learned

 

NIST SP 800-61

  1. Preparation
  2. Identification and Analysis
  3. Containment, Eradication, and Recovery
  4. Post-incident analysis

Threat Modeling: 脅威モデル、STRIDEとDREAD

一般的な流れは、STRIDEモデルを利用して脅威(Threat)の洗い出し・特定を行い、DREADモデルにて評価・スコア化を行うことにより、対応すべき脅威(Threat)を特定する。

 

STRIDEモデル:脅威(Threat)の洗い出し

  • Spoofing(なりすまし)
  • Tampering(改ざん)
  • Repudiation/Nonrepudiation(否認、避妊拒否)
  • Information Disclosure(情報漏洩)
  • Denial of Services(サービス拒否)
  • Elevation of Privilege(権限の昇格)

 

DREADモデル:脅威の評価・スコア化

  • Damage(損害の大きさ)
  • Reproducible(再現性)
  • Exploitable(悪用性)
  • Affected Users(影響を受けるユーザ)
  • Discoverability(検出可能性)

DREADモデルの場合は、脅威(Treat)をDREADのそれぞれのカテゴリで1(低)から3(高)で評価する。スコアの合計が12から15の場合はその脅威は高レベル、8から11は中レベル、5から7は低レベルとする。

脆弱性に関する識別子や略語およびそれらの関係

JPCERT/CCやUS-CERTやベンダーのサイトで脆弱性に関する情報を読んでいると様々な識別子や略語が登場します。ここではそれらの識別子や略語に関して説明します。

 

マイクロソフトのKB番号とMS番号

マイクロソフトがリリースするセキュリティ情報やパッチ情報にKB2992611やMS14-066のような番号が付いたものを見つけることができます。KBとはMicrosoft Knowledge Baseの事でマイクロソフトのサポート技術情報に対して番号を振ったものを言います。MSの方はセキュリティ更新プログラムに紐づいています。MS14-066の14は2014年にリリースされたセキュリティ更新プログラムであることを意味しており、066はその年に66番目にリリースされた事を意味しています。

 

AdobeのAPSB

AdobeにもマイクロソフトのようにアップデートにはAPSBという番号が割り振られています。APSBはAdobe Security Bulletinの略ですが、Pが何を指しているのかは不明ですが、多分Adobe Product Security Bulletinではないでしょうか?APSBもマイクロソフトのMS番号と似ており、APSB14-28のような形式となっています。

 

JVNの脆弱性識別番号

JVNとはJapan Vulnerability Notesの略でJPCERT/CCとIPAが運用している日本での脆弱性管理の仕組みです。JVNの脆弱性識別番号には3つの種類があります。

  • JVN#: 情報セキュリティ早期警戒パートナーシップに基づいて、調整・公表される脆弱性情報。
  • JVNVU#: 海外調整機関や海外製品開発者との連携によって公表される脆弱性情報。
  • JVNTA#: 調整の有無に関わらず必要に応じて公表される脆弱性情報。

 

US-CERT Technical Cyber Security Alert

US-CERTがリリースしているセキュリティ情報で、TA14-318Aのような識別子が付けられています。TAの次の数字は年を表しており、その次の318は1月1日から数えて318日目にりリリースされた情報であることを指しています。その次のアルファベットは、その日に最初にリリースされた情報はA、その日に別の情報がリリースされるとB、C、Dのように割り当てます。

 

CVE識別番号

CVEとはCommon Vulnerability and Exposuresの略で、日本語では共通脆弱性識別番号と言います。CVEはMITREという非営利団体が管理しており、US-CERTやベンダーなどと連携して脆弱性情報を収集管理し、その脆弱性に対してCVE識別番号を付与して公開しています。CVEは「CVE-2014-6321」のように年と連番によって採番されています。

 

CVE識別番号、JVNのIDおよびベンダーのパッチ番号の関連

それでは、それぞれの脆弱性情報の関連性を見てみましょう。例えば、MicrosoftのSchannelに関する脆弱性の場合、その脆弱性のCVE識別子はCVE-2014-6321となります。その情報を基にJVNが日本用に情報を公開したものがJVNVU#99732679となります。またその脆弱性に基づいてリリースしたセキュリティ更新プログラム(セキュリティパッチ)がMS14-066という事になります。

脆弱性情報 CVE識別番号 JVNのID ベンダーの対応するパッチ情報
MicrosoftのSchannelにおける任意のコードを実行される脆弱性 CVE-2014-6321 JVNVU#99732679 MS14-066

 

 

セキュリティ・脆弱性情報の入手方法

脆弱性情報の入手(日本)

脆弱性の情報は様々な組織・機関・ベンダーのサイトから入手することができますが、以下の点に注意して情報を入手するサイトを選ぶ必要があります。

  1. 信頼のおける情報かどうか?
  2. 最新の情報が即時に入手できるか?

インターネット上には信頼できる情報もあれば、信頼できない情報も多々あります。また信頼できない情報の中には悪意を持って間違った情報を掲載しているサイトもあります。もし悪意を持って作成されたサイトの情報を基にパッチを適用したり回避策を実行したりすると、セキュリティレベルが低下したり、不正なソフトウェアをインストールしてしまったりします。ですので、信頼した情報を入手する事はとても大切です。

また、情報は最新のものでなければなりません。脆弱性が公開されると、悪意を持った人たちがその脆弱性を利用するために、不正なプログラムなどを作成したり攻撃をする準備を行います。ですので、その不正なプログラムや攻撃が開始される前に脆弱性の対応をしなければなりません。情報が遅いと先に攻撃されたり不正なプログラムによって脆弱性を悪用されてしまう可能性が高くなります。

日本の場合はJPCERTコーディネーションセンター(JPCERT CC)が信頼できる情報を提供しています。JPCERT/CCはJapan Computer Emergency Response Teamという非営利団体の略で主に脆弱性の情報の周知・注意感知、セキュリティインシデントの公開・報告の受付・対応の支援などを行っています。JPCERT/CCが発行するメーリングリストを購読しておけば、脆弱性が発見されたりインシデントが発生した場合にメールで通知してくれますので、いち早く情報を入手することができます。

 

海外での脆弱性情報の入手

JPCERT/CCで脆弱性の情報を入手できるとは言え、実はJPCERT/CCも海外からの情報提供を基に日本語で情報を提供しています。例えば、一番良く参照されるのはUS-CERTという組織の情報です。日本のJPCERT/CCとアメリカのUS-CERTは名前が似ていますが、US-CERTはUnited States Computer Emergency Readiness Teamの略で、日本のJPCERT/CCとはちょっと違いますね。

  • US-CERT: United States Computer Emergency Readiness Team
  • JPCERT: Japan Computer Emergency Response Team

この両団体は全く別団体ですが、お互いに情報の共有・提供を行っています。US-CERTはアメリカの国土安全保障省(U.S. Department of Homeland Security)の配下の組織で各ベンダーや各国の情報セキュリティ団体(各国のCERTなど)との情報共有を図ったり、国家のセキュリティを強化する為にセキュリティ情報や脆弱性情報を普及しています。一般の方でもUS-CERTからメーリングリスト等で情報を即時に入手することができますので、US-CERTのメーリングリストを購読することをお薦めします。

 

ベンダーからの脆弱性・パッチ・アップデート情報の入手

ベンダー1社1社から脆弱性の情報やパッチ・アップデート情報を入手するのは困難です。ですので、JPCERT/CCなどの情報を利用することをお薦めします。ただ、以下のベンダーの情報は良く利用され緊急の対応が必要とする場合が多いですので、定期的にチェックしましょう。

マイクロソフト

ほとんどの企業のユーザがWindowsを利用していると思いますので、毎月パッチの適用が必要となります。マイクロソフトのセキュリティパッチはセキュリティTech Centerから入手することができます。セキュリティパッチの公開は毎月アメリカ時間の第2火曜日となりますので、日本の場合は第2水曜日となります。マイクロソフトプロダクトセキュリティ警告サービスに登録すれば、随時にマイクロソフトからセキュリティ情報をいち早く入手することができます。

Adobe

AdobeはSecurity Notification ServiceというサイトでAdobe製品の脆弱性情報やアップデートの情報を提供しています。ここからAcrobatやFlash Playerのセキュリテイアップデートの情報を入手することができます。