このブログは「風見鶏」が、日々気づいたこと、思ったこと、したことを気ままに綴る日記です。2008年9月に旧ブログから引っ越しました。バックアップをご覧ください。

ゲストログインがうまくできないので、コメントを承認制にしました。スパムでないことを確認の上、公開します。判断はあくまで「風見鶏」の主観で行いますので、文句は受け付けません。(笑)承認が遅れることもままあると思いますが、あしからず・・・

なお、ここに書いていることは、あくまで個人的な思いであり、いかなる組織をも代表、代弁するものではありませんし、無関係ですので念のため。

情報セキュリティの最近の記事

Interpol World 2017など

| コメント(0) | トラックバック(0)

昨日は、Interop World 2017のコングレスでサイバー犯罪関連のセッションを聴講。昨夜も結局飲んで、画像アップ中に寝落ちしたので、日記はなし。昨日はいい天気で、朝から快晴。

Interpol World は、インターポール(ICPO:国際刑事警察機構)やシンガポール政府などが支援するコンファレンスで、国際的な警察活動に関連したテーマでのコンファレンスやセキュリティ関連製品(物理的なセキュリティを含む)を提供する企業が出展する展示会などがある。初日の昨日はサイバー犯罪関連のトラックがあり、それを聴講した。

最初のセッションは、世界経済フォーラムとインターポールの対話・・というパネル。

サイバー犯罪が国際的に経済活動に与える影響や、捜査機関と民間の連携などについての議論が行われた。どこの国でも、サイバー犯罪にあった企業が捜査機関に連絡しないケースが少なくないようで、それが捜査機関側の懸念。一方、企業側は、どうしても捜査機関に対する不信感などから、躊躇することも少なくない。平時から、互いに信頼関係を醸成する取り組みが不可欠なのだろうと思う。パネリストの一人、Qualcomのサイバーセキュリティ部門の責任者が、モデレータから「暗号技術が操作の妨げになっているのをどう思うか」と質問され、ちょっととまどう場面も。モデレータ氏いわく、「警察は容疑者宅に鍵がかかっていれば、「解錠業者(Locksmith)」を使って鍵を開けられる。暗号でそれができないのは何故か」。まぁ、確かにそうなのだが、これは、捜査機関にマスターキーを預けろ、もしくは捜査機関がアクセス可能なバックドアを作れという議論に発展しかねないため、ちょっと答えにくい。結局は、「暗号技術は多大な恩恵を社会、経済にもたらしている。たしかに犯罪者が悪用しているのは事実だが、そうした問題は議論が続いているので、それに委ねたい」との模範的回答である。

戦略面でのパネルでは、様々なサイバー犯罪の動向に関する「インテリジェンス」が鍵であるという結論。官民、業界などの情報共有、連携は、それだけでは意味をなさず、その情報をもとに戦略を立て、それに基づいて動けるかどうかがポイントであるという。実際、犯罪者側は「インテリジェンス」能力が高い。「インテリジェンス」を売りにするセキュリティサービスも多いが、それを買うだけでは意味がないという話だ。以下の二つの図は、縦軸に(サイバー攻撃の)スキル、横軸にインテリジェンス能力をとったものだが、2013年以前と以後で、もともとインテリジェンス能力が高かったサイバー犯罪者の位置が、国家機関と同様にスキルの高い位置に移っている。これは、犯罪者が、左上のポジションにいる「一匹狼ハッカー」を雇う構図が進んだためである。つまり、サイバー犯罪組織については、国家機関(やその息のかかった組織)と同レベルの警戒が必要であるということだ。

これは、WannaCry感染の世界的な分布図。日本も真っ赤になっている。そういえば、日立の感染は、ドイツの事業所にある電子顕微鏡の制御装置(たぶん、WIndowsベースでパッチもあたっていないもの)が起点だったというニュースが東京新聞で流れていたが、疑問は、それが起点としても、それに感染をもたらした攻撃はなんだったのかという点である。PCならメールとかWebとか考えられるのだが、脆弱性を攻められて感染したのなら、その攻撃をした相手が内部にまだいるはずだ。ちょっと余計にストレスがたまる報道である。

午後からは実際のオペレーションや技術に関してのマイクロソフトやシマンテック、カスペルスキーといったベンダ勢の講演に続いて、オランダとインドでのサイバー犯罪捜査のケーススタディーなど。ダークウエブをベースとした犯罪の追跡は、サイバー技術だけでは困難だが、犯罪者が物理的に動いた瞬間、捜査機関の網にかかる場合が多い。日本では、「遠隔操作」事件がいい例だが、実際に世界中では、こうした従来からの捜査手法でサイバー犯罪者や組織が検挙されるケースが少なくないのである。いわく、「捜査機関は犯罪者のミスを見逃さないし、犯罪者は必ずミスをする」ということなのだそうだ。

さて、夕方からはシンガポール夜景探訪。ホテルのあたりから、マリーナベイまで歩いてみた。

通り道にある「ラッフルズ・ホテル」は由緒あるホテルである。

このあたりは、「お約束」の夜景。

サンズ前の港内で噴水と光のショーが行われている。とりあえず、しばらく眺めながら、マリーナ周辺を歩く。

それからまたホテル近くまで歩いて戻って、ラッフルズ・シティ前のレストランで晩飯+ビヤ(笑)

やはり、昨夜も食い過ぎ、飲み過ぎ。上の料理以外に、カラマリをたのんだのが余計だった。ちょっとした施餓鬼会状態・・・。帰ったらまた減量しないといけない・・・・。

混沌・・・

| コメント(0) | トラックバック(0)

まとわりつくような湿気を帯びた朝。雨は降っていないが、蒸し風呂に入ったような不快さは最悪である。

昨夜は飲んでビデオを観ながら寝落ち・・・。結局復活できず、ずるずると朝まで寝てしまった。そのせいで7時前に起きたのだが、どうもダルい。とりあえず、頑張って散歩に出かけたのだが、すぐに湿気で汗だくになってしまった。

さておき、昨日は、またしてもランサム騒ぎが欧米で勃発。例によって、445/tcpのスキャンが増加傾向である。今回、ウクライナが大きな被害を受けたことから、ロシアの関与が取りざたされているのだが、目くらましの可能性もあって、なんとも言えない。例によって北朝鮮説も流れている。今回使われたマルウエアは、昨年はやったPETYAの亜種であるとの話が最初に出回ったのだが、これがWannaCry同様にEternal Blueのコードが含まれているという話があって、WannaCryの続編っぽい感じだった。しかし、分析が進むにつれ、WannaCryとは異質の攻撃かもしれないという話が出てきている。そもそも使われたマルウエアは、PETYAの亜種というよりは、新種に近く、その目的はランサムというよりも、PCの情報を完全に使えなくしてしまうワイプ攻撃に近いという話がカスペルスキーのブログで書かれていた。また、WannaCryでは、はっきりしていなかったネットワーク経由以外の初期感染ベクターについて、ウクライナのケースでは、MeDocというウクライナの企業で多用されている会計ソフトの更新ダウンロード経由で感染したということも分かっている。つまり、このベンダのソフトウエア更新システムがなんらかの攻撃を受けたということなのだろう。そこには、少なくともウクライナを主要なターゲットにしようという意図が見える。ただ、感染はロシア、ヨーロッパ、米国など広範囲にわたっていて、おそらくこれ以外にも感染源がありそうに思えるから、そうであればこれらの国もしくは特定の企業が標的にされた可能性があって、何者がどういう意図でやったのかという点は謎である。ウクライナは陽動である可能性もあるし、逆の可能性もあって、混沌としている。今回、InterpolやEuropolが動いているようなので、このあたりも解明されるといいのだが・・・。

ともあれ、今朝の散歩はかなり辛かったのだが、なんとか頑張って5Kmほどを歩いた。いつもの高台では、500mlペットボトルの水を一気飲み。とりえあず、CokeOnで一本無料分をゲットした。

一息入れながら眺めた横浜方面は、湿気のせいで霞んでいて、ランドマークも全く見えない状態。ここまで湿気が多いのは、この梅雨で初めてかもしれない。こいつも、今朝はかなりダレ気味である。

今日は洗濯しながら、昨日客先でもらった宿題で、あれこれ。とりあえず秋までの食い扶持の見積を出して、そのあとちょっと手続きに区役所まで行って来た。結局、今日も歩行距離は10Km超え。晩飯の後、見始めたアニメがとまらなくなり、結局また1シーズンを一気観してしまった。この1週間で3回目である。テレビのニュースを見ていても、なにやら疑惑問題ばかりで疲れてしまう。こちらも、なにやら混沌としている。つまらない政局騒ぎと鉄面皮な政治家たちを見ていると、ついつい現実逃避してしまいたくなるのである。

さて、明日は夕方に実家に帰省する予定で、その前に少し書き物仕事などをする予定だ。今回は月曜日に実家から羽田に戻ってそのままシンガポールへ飛ぶ予定なので、一週間ほど留守にすることになる。明日は忘れ物をしないように気をつけよう。

大荒れ・・・

| コメント(0) | トラックバック(0)

昨日は特にネタもなく日記はお休み。とりあえず、昨日の散歩で撮った花と猫など。

昨日の夕方は、こいつとちょっと遊んで癒やされたり・・・・。こいつは、この界隈のキジトラ一家の真ん中。人なつっこくて遊べるのだけど、いつも不在なので、久しぶり。

さて、昨日は比較的いい天気で気温も高かったのだが、今朝はもう天気が崩れて肌寒い朝となった。とりあえず、雨は小雨だったので、傘をさして散歩には出かけたのだが、途中で雨がきつくなってきたので、少し短めで切り上げた。

雨は次第にきつくなり、昼頃には風もきつくなって、ちょっとした嵐になった。まぁ、今日は外出予定がなかったのでラッキーではある。とりあえず、自宅で客先とのメールのやりとりやら、本日締切の原稿書きやらしていたら、あっという間に夕方になってしまった。まだ風がかなりきつかったのだが、雨は小やみになっていたので、買い物がてら少し歩く。公園あたりの道に上には、小枝や木の実が散乱。嵐の後・・といった感じである。

公園の裏山から高台に上がったのだが、またちょっと雨が降ってきたので傘をさそうとしたら、風がきつくて飛ばされそうになった。

日が沈む頃には、少し晴れ間も見えてきたのだが、風は依然として強い。

そういえば、NHKニュースサイトで、ホンダの工場にサイバー攻撃・・というニュース。文面から見ると、WannaCryっぽいのだが、もしかして亜種だろうか・・・。オリジナルなら、もう既にウイルス対策ソフトで検知可能なはずだし、パッチが当たっていればネットワーク経由でも感染はしないはず。一ヶ月以上前に、あれだけ大騒ぎになっていたのに、対策していなかったということなのか・・・。だとしたら、あまりに杜撰としか言いようがない。心当たりのある会社は、さっさと対策した方がいいと思うのである。もし亜種や新種なら、他にも広がる可能性があるので要注意なのだが。詳細な情報が速く出てきて欲しいところだ。

昨夜来の雨は朝には上がって、今朝はちょっと肌寒い曇り空。久々に長袖を着て散歩に出る。

昨日は余り歩けなかったので、今朝は頑張って歩く。気温は低いのだが、長袖はやはり汗をかく。とりあえず、いつものコースを猫や花を見ながら歩く。

高台の自販機で水分補給がてらCOKE-ONのスタンプをゲット。買ったお茶を飲みながら、いつもの景色を眺めて一息入れる。

そんな感じで1時間半ちかく、距離にして5Kmほどを歩いて朝の散歩は終了。これくらいが無理なくていい。

今日も、自宅で仕事などをしていたのだが、昼頃には天気が回復して青空が見えてきた。やはり、今年の梅雨は雨が長続きしない。じとじとが続かないのはいいのだが、ちょっと水不足が心配である。

そう言えば、今日もまたUS-CERTから注意喚起が出ている。今度は北朝鮮の(政府の息がかかった)Hidden Cobra(別名ラザルス)という、金融機関や重要インフラを狙うハッカー集団に関するもの。兆候を見つけたら、近くのFBIオフィスかDHS(国土安全保障省)に連絡するように・・とのことである。こういうアナウンスが出来るのが米国なのだが、日本の警察やお役所は、なかなかそこまでの体制が取れないのが、ちょっと情けない。当然、こうした攻撃は日本に対しても行われるわけで・・・。この話は「北朝鮮」というキーワードのせいか、日本のメディアのニュースでも取り上げられているのだが、少なくとも「対岸の火事」ではないと思うので、メディアは日本政府のコメントも求めるべきだろうと思うのである。

夕方は例によって、買い物がてら散歩。途中、こんな羊みたいな雲。天気は2、3日持ちそう。太平洋高気圧がイマイチのため、梅雨前線が南に下がってしまっているようだ。週末から来週にかけて、徐々に高気圧の勢いが強まって、本州辺りも梅雨本番に入るだろうとの予報である。

そんな感じで今日はまた10Km超を歩いた。気持ちよく晩酌・・・といきたいところだが、今日はぐっと我慢して2日連続の休肝日。酒(ビール)と体重の関係をちょっと見てみたくなったので・・・。まぁ、明日はまた飲むのだろうけれど・・・(笑)

梅雨空

| コメント(0) | トラックバック(0)

今日は朝から雨。昼には結構本降りになった。ようやくの梅雨空だが、気圧配置から言えば、これは梅雨の雨ではなく、気圧の谷にできつつある低気圧の雨。そんな天気で、今日の散歩はちょっと日和見でお休み。今日は執筆中のWeb記事の校正チェックなど。昼過ぎに、ちょっと食い物の買い出しに行って来たら、結構きつい雨で足元がだいぶ濡れてしまった。

ようやくの雨で、紫陽花もそれらしい雰囲気になっている。雨が降ると、どうしても出不精になりがちだが、こういう雰囲気を楽しむことをモティベーションにするのも悪くないかもしれない。

話はかわるが、今日、US-CERTから制御システムを標的としたマルウエア "CrashOverride"に関する注意喚起がリリースされている。以前、ウクライナで行われたサイバー攻撃(ロシアの関与が取りざたされているもの)で使われたマルウエアに関する、ESETDragos両社からのレポートを引き合いに、こうしたマルウエアが米国のインフラに対して使われる可能性を警告している。実際、発電所などが機能停止に追い込まれたサイバー攻撃だが、これはどこの国でも警戒が必要だろうと思う。使われている制御システムの種類が違えば、そのまま同じマルウエアは使えないかもしれないが、方法論は有効である可能性が高いからだ。折しも北朝鮮あたりがなにか仕掛けてきそうな状況でもあり、日本もうかうかしてはいられないかもしれない。

夕方になって、買い出しがてら少し歩いたものの、今日の歩行距離は5Kmにも満たず、しかたがないので、晩酌はやめて休肝日とした。この分だと、梅雨場は休肝日が増えそうである。(苦笑)

しばらくネタもなくて日記をサボっていた。そろそろ画像もたまったので、吐き出しがてら思いついたことなど書きつつ、貼ってみようかなと・・・。

昨日から南紀某所で毎年恒例のイベント。今年はちょっと都合が悪くてパスしたのだが、毎年、「飛行機がもし落ちたら」「津波が来たら」、日本の某業界は終わるな・・と言われつつも、そういう人たちが集まってワイガヤやっている。講演を聴くよりも、どちらかと言えば夜、他の人たちと飲みながらワイワイやるのが楽しいイベントだから、行けないのはちょっと寂しい。今夜も、FBでは飲み食い画像テロが頻発中である。

しかし、今年のテーマは、なにやら流行に流された感じもする。まぁ、それはさておき、どんな感じに結論づけるのか気になるところだが、行けないので確認のしようが無いところである。

IoTに関して言えば、ある意味、想定できる範囲が広すぎるのだが、クリティカルな用途の機器をピンポイントで攻撃された場合、対応も立証も難しくなりそうだ。そもそも、そんなことを想定していない機器で、攻撃後に痕跡を消されてしまえば、それが故障なのか攻撃なのかの判断がそもそもつかないかもしれない。人の命や社会インフラの安全にかかわるものなら、最初からそうした事態を考慮して、なんらかのトラップを入れておくこともできるだろうが、今のところ、そういう発想を持っているメーカーがどれくらいあるか疑問だ。

まして、コンシューマ向け機器に至っては、大量攻撃ならばいざしらず、特定の相手を狙って仕掛けられたら、それこそ「事故」で終わってしまいかねないという危惧もある。まぁ、今のところこれは「妄想」の域を出ないのだが、標的型の攻撃にコンシューマ向けのIoT製品が悪用される可能性も小さくないと思うのである。今のところ、コンシューマ向けで、こうした発想に基づいた設計をしているメーカーは皆無だろうし、現実にあるかどうかわからない攻撃にどこまで対処すべきかという判断も難しい。また、汎用のコンピュータとは異なり、フォレンジック的な解析も難しい製品が多いだろう。メーカーの協力がどこまで得られるかも課題だ。製品の「欠陥」を恐れて協力に消極的になる可能性もあるかもしれない。犯罪への対処(司法機関的に)という意味合いでは、メーカーなどとのコンセンサス作りは不可欠だろうと思うのである。

話がAIとなると、さらにややこしい。世界的には既に議論が始まっているが、それこそロボット三原則的なものを(開発するメーカーの責任を含め)制度化しないといけなくなるかもしれない。犯罪にAIをリアルタイムで使われると、防御は非常に困難である。なにせ、相手は人間よりはるかに速い判断と行動が可能なのだから、いちいち人が対処していたのでは絶対に間に合わない。そうなると、守る側もAIを導入して「悪のAI」に対抗せざるを得なくなりそうである。近い将来、もし「サイバー戦争」が起きるとすれば、それはAI対AIの戦いになる可能性が高い。どちらかが優位になれば、その相手が物理攻撃に出る可能性もあり、実際に戦争になる可能性もあるだろう。映画 War Gameのような事態が(核戦争ではなくても)起きない保証はないのである。

このあたりも、議論すると発散しそうなテーマだろう。実際に、そうした事態は明日起きるかもしれないし、もしかしたら、ずっと起きないかもしれない。だが、ワーストケースのシナリオは破滅的なものになる。まさに自然災害と同じだ。こうした問題は社会的な議論が不可欠である。AIの悪用や暴走に耐えられる社会をどうしたら作れるのか、そろそろ真剣に考える必要がありそうだ。

「悪のAI」はさておき、このところのAIブームはちょっと異常である。まさに、「猫も杓子も」の状態なのだが、今日も新聞を読んでいて、ちょっとした疑問にぶちあたった。日常の仕事や生活の中で行う「判断」をAI(深層学習ベースのもの)に任せるのはいいのだが、その判断の根拠を求められた場合に、それを明らかに出来るのだろうかという疑問だ。深層学習は、ある意味、人間の神経回路の模倣なのだが、「直感」の説明は人間でも難しい。だから、説明を要求される判断は、最初から論理立てて行うことが求められる。しかし、こうした判断に安易にAIを使ってしまうと、説明がつかなくなる可能性があると思うのだ。まして、その判断が間違っていた場合、大きな問題になる可能性がある。そう言う意味では、深層学習ベースのAIを補完する論理的なAIが必要になるだろうと思う。将来的なAIはこの両方を備えた「ハイブリッド」AIなのかもしれない。

そんな妄想をしながら、今日は家で仕事などをして過ごした。朝から本降りの雨だったので、朝の散歩には出ず。書き物仕事をしながら、時々テレビニュースを見たり、ごろ寝したりして過ごす。午後、仕事が一段落したあたりで、雨も上がったので、ちょっと買い物がてら歩いて見た。

途中、近所の猫としばらく遊んで癒やされる。なんとなく、ほっとする時間である。道沿いには、そろそろ紫陽花が花をつけ始めた。

しかし、世の中のニュースはドロドロしている。テロ、武力挑発、政治疑惑、殺人事件・・・。なんとなくニュースを見るのが憂鬱である。

憂鬱といえば、もうそろそろ梅雨の季節。今日も、なんとなく梅雨の走りのような天気だった。

天気が悪いと気分も湿っぽくなってしまうのだが、何か気分を盛り上げるようなネタを見つけて、夏まで凌ぐとしよう。

夏日

| コメント(0) | トラックバック(0)

今日は朝から快晴。しかしながら、二度寝してしまったせいで散歩はなし。結局、ほぼ一日、自宅にこもって仕事などをしていた。気温はだいぶ上がって夏日。部屋の中でも、短パン半袖でちょうどいいくらい。例によって、夕方、ちょっと涼しくなってから買い物がてら少し歩く。

今週末にかけて、気温の高い日が続く。土日は真夏日の可能性もあるというから、ちょっと要注意。しかも、大学時代の仲間が集まるので京都まで行く予定だから、蒸し風呂覚悟になりそうだ。

そう言えば、NHKTBSなどでWannaCry関連のニュースが昨日から放送されているのだが、JPCERT/CCの話として「ネットに繋いだだけで(メールもWebも開かず)感染するウイルス」という解説がなされている。まぁ、確かにそうなのだが、これには条件がある。接続した状態で、インターネットからPCが直接アクセスできる必要があるのである。つまり、PC自体にグローバルIPアドレスが付与されている必要があるのだ。具体的に言えば、PCからモバイル接続で直接ISPに繋いでいる場合で、そのISPがグローバルアドレスを付与しているケース。もうひとつは、自宅回線でルータを使わずにPCから直接プロバイダにPPPoE等で接続しているケースである。最近では、ホームルーターを使っての接続が一般的だから、後者の可能性は高くないだろう。また、モバイル通信に関して言えば、最近、キャリアは端末にプライベートアドレスを振り、ゲートウエイでNATすることが多くなっているから、モバイルでも必ず感染するというわけではない。ただ、企業のVPN用途向けに、モバイル接続で固定IPアドレスを振るようなサービスは標的になる可能性がある。このあたりの条件が、ニュースから完全に抜け落ちているので、聞いていて違和感が強いのである。実際、JPCERT/CCの注意喚起にも書かれているように、初期感染経路についてはいまだ具体的にわかっていない。一般論として、メール、Web、そして、確実なものとしてネット経由の脆弱性攻撃が考えられるという話である。しかも、最後のものは、先に挙げたように条件が付く。条件抜きで繋がっているだけで感染するような攻撃方法は、技術的に考えられないではないが、妄想の域を出ない。これらのニュースのような伝え方をしてしまうと、一般の利用者を疑心暗鬼にさせそうだ。それにしても、最初の一台はどのように感染したのか・・・それがまだ謎である。脆弱性を狙ったのだとすれば、前述のような条件を満たすモバイルキャリアを狙って、攻撃を仕掛けて感染させ、利用者が気づかずにLANに繋いだ時に横展開するといった可能性もあるだろう。ランサムウエアの特性を考えれば、暗号化が完了するまでに一定の時間があるから、それまでの間にシャットダウンして、会社に持ち帰って起動すれば、マルウエアはLAN経由で拡散することになる。最初の一撃は、マルウエアによる感染拡大ではなく、攻撃者による能動的な攻撃だった可能性もある。こうなると米国あたりで出始めている北朝鮮関与説も現実味を帯びてくる。

いずれにせよ、こうした脆弱性を放置することは、大きなリスクを伴うのだから、世のPCユーザはアップデートを怠らないようにしなければならない。PCだけでなく、企業等のWindowsサーバについても同様である。むしろ、停止や障害発生を避けるという理由から、これらのほうが脆弱性の修正は遅れがちであるから、注意したい。

さて、明日は午前中に京都へ移動である。

不穏な・・・

| コメント(0) | トラックバック(0)

ランサム騒動は、とりあえず一段落したようだが、北朝鮮犯人説が出始めた。金集めとテロを兼ねた攻撃という意味では、この説は説得力がある。初期感染ベクターが不明・・・というあたりも含めて、そういう臭いも強いのだが、これはかなり厄介な話だと思う。

タイミングを合わせたのか、我が国の政府で「サイバー反撃」の可能性が検討されるというニュースも出ている。しかし、これはバカげた話だと思う。「反撃」の中身はDDoS想定というのも、きわめて安直な発想だ。そもそも、サイバー攻撃には固定された「拠点」は存在しない。攻撃は、ほとんどが無関係な踏み台経由である。反撃しようにも、ピンポイントで狙いを定めることができるはずもない。モグラ叩きになること必至だ。下手にDDoSなどかけたら、周辺に大迷惑がかかるだろう。こんな馬鹿げた話を政治家に吹き込んだ大馬鹿野郎は誰だろう。とんでもない似非専門家に違いない。

そもそも、サイバー攻撃部隊を対抗手段として持つのは、「抑止力」のためである。ピンポイント反撃が困難ならば、同等以上の広範囲な報復攻撃を行うしかない。攻撃側もそれがわかっているから、サイバー攻撃能力は「抑止力」として働くのである。ある意味、核兵器のようなものだ。互いにインフラを狙ったサイバー戦争になれば、国の社会そのものの崩壊を引き起こしかねないのだから。しかし、日本はこうした報復攻撃を、少なくとも今の憲法下ではできない。つまり、抑止力としては「張り子の虎」以下である。そんなことにカネを使うのなら、インフラの強靱化にもっとカネを回せと言いたい。それとも、反撃を口実に、攻撃部隊を作って、いずれは・・・・を狙っているのか。それも物騒な話だが、今の政権ならば、そう言う政治的な意図もあるのかもしれない。なんとなく不穏な動きである。

海の向こうでは、トランプ政権が日替わり疑惑にさいなまれている。大統領自ら機密漏洩をやらかしたという話や、解任したFBI長官に、その直前に、元大統領顧問についてのロシア疑惑の調査を止めるように要求していたとか・・・。世界一の大国(軍事大国)のトップがこの有様では、世界全体が不安定化しかねない。困った話だと思う。

さておき、昨日、今日は天気もイマイチだったので、自宅で仕事などをして過ごした。明日はいつもの(メタボ)定期診察があるので、今夜は晩酌を抜いて、おとなしくしていることにする。まぁ、直前に頑張っても焼け石に水。検査結果は正直なのだが・・・。気休めである。

先週末は、気が休まらなかった関係者も多いだろう。特に今朝は厳戒態勢をひいた組織も少なくなかったはず。昨日あたりから、世界中のメディアが、週明け警戒を呼びかけていたので。

昨日は私も一日様子を見ていたのだが、とりあえず欧米の騒ぎは下火になってきていた。昨日からFBにあれこれ書いていたので、昨日は日記はお休み。とりあえず、昨日の朝の散歩画像などを並べておく。

天気がイマイチなので、散歩は昨日も今日も短めで終わらせた。

公園に近くの小学校の入学記念植樹。なぜか、この学校は毎年「サルスベリ」である。

公園の野球場では「大人のソフトボール大会」をやっていた、

さておき、今日も、ほぼ一日状況をウォッチしていたのだが、一部の企業で感染沙汰がニュースになったほかは、それほど大騒ぎにもならず。でも、一部のメディア(日テレニュース24)によれば、JPCERT/CCの話として、国内で2000台以上が感染したと伝えられているから、密かに蔓延していたのかもしれない。おそらく、JPCERT/CCの定点観測網で通信を捉えたのだろう。詳細は不明だが、これが本当にJPCERT/CCからの情報ならば確度は高いと思う。欧米メディアでは、「新種」マルウエアが出る可能性も、専門家の指摘として伝えていて、週明け警戒は世界的である。とりあえず、現時点では米国東海岸あたりまでビジネスアワーに入っているが、特に目立った騒ぎは起きていない。うちで観測した445/TCPのスキャンも下火になってきている。

ただ、多くの専門家が言っているように、まだ安心はできない。第二弾、第三弾の攻撃や、別の主体による同種の攻撃も予想できるからである。今回、まだ幸いだったのは、少なくともパッチが供給済みの脆弱性が利用されたことである。メディアは脆弱性とその攻撃コードの出元がNSA(米国国家安全保障局)だったことを取り上げて大騒ぎしているが、もしこれが、いわゆる「ゼロデイ」脆弱性(パッチのまだない脆弱性)を狙った攻撃だったら、被害はこんなものではすまなかっただろうと思う。実際、様々なゼロデイ脆弱性が裏取引されている現状を考えれば、いつ最悪のシナリオが起きても不思議ではないだろう。気になるのは、今回の攻撃に使われたマルウエアの最初の侵入経路がまだ明らかになっていないことである。脆弱性の攻撃をネット経由でやるのは効率が悪いから、普通に考えればメール添付ファイルやWebサイト経由なのだろうが、メディアや専門サイトが報じる原因は推測ばかりで、いずれもはっきりしない。このあたりの情報は、一般の攻撃であれば、すぐに出てくるのだが、不思議な話である。このあたりの情報も注視しておきたい。いずれにせよ、より危険な攻撃を食らう可能性を前提に、感染をどう見つけて、どう拡大を食い止めて対処するかというシナリオをもう一度、再確認しておいたほうがいいだろうと思うのである。少なくとも、ネットワークに繋がっているWindowsマシンは、すべて最新のパッチを至急適用すべきだし、PCにはセキュリティソフトを入れ、最新にしておく必要もある。これは「最低限」の予防線だ。あとは、攻撃の兆候を掴んだときにどう対処するかを考えておく必要がある。感染が疑われるPCやサーバから感染が拡大しないようにする方策は一様ではない。それぞれ、その組織の業務やネットワークの形態にあわせて様々な方法がある。ネットワーク内でのワーム拡大を防ぐための基本は、セグメント間で不要な通信を普段から規制しておくことだが、それに加えて、非常時に簡単に各ネットワークセグメントを分離できるような方法を考えておく必要があるだろう。物理的に「線を抜く」ことがベストプラクティスっぽく言われるが、実際の大規模なネットワークで、これは簡単ではない。それよりも、スイッチやルーターの設定を変更して一気に遮断してしまった方が速い場合も少なくない。非常時に各セグメントを分離もしくは隔離するための設定ファイルやスクリプトをあらかじめ用意しておくことも良い方法だ。復旧作業用にクリーンな環境を作るためのVLANをあらかじめ用意しておくこともできるだろう。対処シナリオを考え、それがもっとも効率よく出来るように、こうした準備をしておく必要がある。それと、なにより、重要なデータはきちんとバックアップしておくことだ。身代金を払っても、データが復旧される保証はないからである。

しばらくは警戒が必要だが、たぶん次の攻撃は忘れた頃にやってくるのだろう。その間に準備をしておきたいものである。

とりあえず、タイトルはおいといて、日記をサボった昨日の話から。午後に、耳鼻科の予約があったのでいつもの某病院へ行ったのだけど、何の手違いか、予約時間を1時間半過ぎても呼び出されず、後の予定があったので、キャンセルして帰るというドタバタなど。ここの耳鼻科は、予約してあっても待ち時間が長いのが普通になっているのだが、流石に1時間半はキレた。で、そのまま歩いてこんなあたりへ。

そろそろ神田祭の時期とあって、秋葉原界隈もあちこちでこんな様子が見られる。アキバに寄ったのは、ソニーのサービスステーションに用事があったから。α5100のイメージセンサーのクリーニングをしてもらうためである。実は、こともあろうにイメージセンサーのホコリを吹き飛ばそうとして、勢い余ってツバを飛ばしてしまったとか・・・・。我ながら情けない。ブロアーを使うのが基本だというのに、横着をしたばっかりに、センサーにシミが付いてしまった次第。とりあえず、30分ほどの作業の間、少し秋葉界隈を歩いて歩数を稼ぎ、完了後受け取って帰り道に腹が減ったので、早めの晩飯。(+ビール)。

昨日から天気はちょっと下り坂。帰る頃には、かなり雲が厚くなっていたのだけれど、夜半からしっかり雨になった。今朝は起きてみたら本降りの雨。散歩に出る気も失せて、朝飯の後、CSのCNNで、またトランプ騒動(今度は、ツイッターでの恫喝発言やら、記者会見をしない発言・・・とか)を見ていたら、「サイバー攻撃」のニュース。イギリスで病院のシステムがダウンした・・・という話で、最初は細部が分からなかったのだが、BBCに切り替えてみたら、病院を標的とした攻撃ではなく、ランサムウエアの大量感染騒ぎがあって、その影響での話らしい。その時点で、99ヶ国75000件の攻撃という数字が上がっていたので、世界的なランサムウエアの一斉攻撃のようである。主要なターゲットは、イギリス、スペイン、ロシア、台湾といったあたり。使われたマルウエアは、WannaCryで、Windows SMBv1の脆弱性を攻撃して横展開するネットワークワームとのこと。最初の感染はおそらくメール添付ファイルとかだろうが、一台に感染して、そこからLAN内で横展開するのは恐ろしい。脆弱性は、3月の更新でパッチが既に提供されているものだが、これが適用されていないとLAN経由で感染してしまう。SMBへの攻撃なので、うちのFWログを調べて見たら、やはり未明から445/TCPのスキャンが一時的に増えていた。

ちなみに、これは、OSSIMのデータをエクスポートしてACCESSに読ませて、集計したものをEXCELでグラフ化するという面倒な手順を経ている。オープンソースバージョンのOSSIM(AlienVault SIEM)では、1時間単位とかで、イベントを集計する機能がないので、やむを得ずである。こうして可視化してみると、確かに今日の未明にかけて大きなピークが出ている。複数のピークは感染地域の時差によるものだろうか。ランサムウエアをワーム化することで、大量感染を引き起こし、身代金の回収効率を上げようという意図だろうか。2000年代のワーム大量感染の悪夢が、今度はランサムウエアの大量感染という姿で再来するのかと思うとぞっとする。今回、日本は主要なターゲットではなかったようだが、使われたマルウエアは日本語環境にも対応しているようだから、第二波以降の攻撃があっても不思議ではない。今回使われたマルウエアはすでに、セキュリティベンダに捕捉され、対策ソフトで検知可能だが、最近では検知されない亜種はすぐに作れるから、次の攻撃が検知出来るとは限らない。油断は禁物である。日本は既に週末だが、週明けの月曜日に、たとえば社員が持ち出して感染したPCから社内に蔓延・・・といった事態も想像できるから、各企業の情報システム部は注意した方がいいだろう。もうひとつ、ど派手な攻撃に紛れての標的型攻撃の可能性もあるので、特に重要なシステムや情報を持つ組織は、これが陽動である可能性も考えておく必要があるかもしれない。さて、そのスジな人たちにとっては、気の休まらない週末である。

お掃除 Part Ⅲ

| コメント(0) | トラックバック(0)

今朝も順調に寝坊。気がついたら9時半。まぁ、寝たのが午前3時だからしかたがないのだが。ちょっと夜更かし癖をなんとかしないといけないかもしれない。そんなわけで、今朝も散歩は無し。

で、今日も部屋の片付けは続く。天気がいいので、とりあえず洗濯しながら、台所周りの片付けなど。ここも、あれこれと手強い部分である。散らかったものを片付けるのに2,3時間。それから、コンロやシンクまわりの、こびりついた汚れを掃除していたら、もう夕方。ちょっと疲れて、最後の詰めはまだできていない。

ついでに、布団干しなどをしたのだが、毛布を干すときに、ファブリーズをかけたつもりが、実はマイペットをかけてしまい、毛布も洗う羽目になってしまった。流石にまだ乾いていないので、ベランダに干しっぱなしである。まぁ、暖かいので、なくても大丈夫か。このまま乾いたら片付けてしまうのもいいかもしれない。(ちなみに、今は毛布だけかけて寝ているのである。夏布団は出してあるから、そっちに換えてもいいかもしれない)

そう言えば、今日、メールを見たら、US-CERTから注意喚起が出ている。複数業種にまたがって、高度なサイバー攻撃の被害が複数出ているから注意しろという話である。攻撃は去年の5月あたりから継続しているようで、REDLEAVESやPlugXといったマルウエアが使われているらしいから、いわゆるAPT系だろう。ローカルやドメインの管理権限をマルウエアで落として・・・という典型的な流れらしい。もちろん、これは米国内での話なのだが、相手がAPTなら、「同盟国」である日本にとっても、対岸の火事とはいかないだろう。気をつけるにこしたことはなさそうである。

6時過ぎに、また買い物に出かけ、途中で猫とちょっと遊んで、晩飯のあとワインで酔っ払う。そろそろまた休肝日を作らないといけないな・・・・。西の低い空に、うすっぺらな月。

もうあと一息。明日は、片付けを終わらせてしまおう。終わったら、そろそろ25年物になる電子レンジを買い換えるつもりである。最近、ターンテーブルが回らなくなってしまったので。そんな感じで、世間的には連休突入である。日曜か月曜には実家に帰ろうと思っている。

ツツジ日和

| コメント(0) | トラックバック(0)

今朝もしっかり朝寝坊して、散歩はコンビニ買い出しのみ。そろそろ新月に近づいて、入江川の水位が大きく下がっている。こうしてみると町中のドブ川なのだが、海に近いこともあって水が入れ替わるのは多少マシである。夏場は水が引くと臭いがきついのだが、この時期はまだそれほどでもない。

今日は、午後から某客先に出かけ、ちょっと打ち合わせをして帰ってきた。

帰りは秋葉経由で、ちょっとヨドバシを冷やかし。買わないまでも、時々、新製品などのチェックは重要である。(笑)帰ってきたら、駅付近のツツジが満開になっていたので、ちょっと見て回る。

八重桜も散り始めて、そろそろツツジの季節である。道路沿いの生け垣も綺麗に咲き揃っている。

そう言えば、「チケットぴあ」のサイトの不正アクセスでカード情報が流出したというニュースを見た。セキュリティコードも流出・・・という話なので、そもそも、そんなものを保存してはいかんだろう・・・・と思って、ニュースリリースを読んで見た。本来保存する仕様になっていなかったはず・・・という話で、知らない間に(勝手に)保存されたり、ログに記録されていたりしていたという文脈である。Struts 2の脆弱性が原因らしいが、なにやら言い訳がましい書きっぷりである。「これらは、3 月初旬より同時多発的に生じている、一連のサイバー攻撃による事象と同じものであり、・・・」と巻き添えを食ったかのような表現有り、開発会社や運営会社の実名を挙げて、責任を強調するような書きっぷりありと、なかなか往生際が悪い。まぁ、それはさておき、この後始末がどうなるのかは興味深い。最近、こうした事例で開発元や運用委託先等の責任を法的に追及する動きも増えてきているのだが、今回の場合、脆弱性を認識していて、その上で修正パッチを当てる作業の判断をどのようなプロセスで行っていたのかはひとつの焦点だろう。これも、ぴあ側は、「まさかカード情報まで保存されているとは思わなかった」と予防線を引いている。おそらくは、(暗黙に)サイトの稼働を優先していた可能性もある。次に問題になりそうなのが、カード情報の取扱に関して、どこまで仕様に明記していたかだろう。「保存禁止」「ログ等への出力禁止」が明記されていれば、ぴあ側に問題はないのだろうが、単に書いていないことをやったという話だと、ややこしい。いまやカード情報の取扱において、セキュリティコードを保存しないのは業界の「常識」のはずだが、まだまだ開発者の常識にはほど遠い。裁判沙汰になれば、そのあたりも争点になるだろう。先般、アプリケーションの脆弱性に関しては、開発元の「常識」欠落の責任を問う判決も出て論議を呼んでいるが、今回は脆弱性に関しては開発元の直接的な責任ではない。ぴあ側が「想定外」としているカード情報保存について、仕様がもし曖昧であったならば、どこまでを「常識」と考えるかという議論が、カード情報についても起きる可能性があるだろう。仕様が具体的であっても、受け入れ時の確認もれに関する責任は、リリースにも書かれているように、ぴあ側も負わざるを得ない。ちょっとウォッチしておきたい事案である。

さて、そんな感じで今日も暮れ、明日は自宅で仕事をしつつ、夕方に都内で一件打ち合わせの予定だ。

そろそろ春本番

| コメント(0) | トラックバック(0)

今朝は快晴。気温は低めだが、日中は暖かくなるという予報である。

散歩道の、この桜はもう満開。早咲きの品種なのだろうが、一足先に春爛漫な景色である。

駅近くの小学校の校庭にある桜も、ちらほら咲き始めていたから、そろそろあちこちでスイッチが入ったようだ。関東地方の開花は早い予想らしいので、下旬には開花宣言が出そうである。

今朝は日差しがいっぱいあって、いつもの猫たちも、のんびり日向ぼっこをしている。木々の上では、日差しを受けて暖まるハトの姿も見られた。

公園脇の花壇のチューリップが、つぼみをつけ始めた。開花も遠くなさそうだ。今朝の散歩は、外出予定があったので後半をショートカットして1時間半くらい。

今日はいつもの客先仕事。この仕事も結構大詰め。夕方まで客先にいて、またいつものように秋葉経由で帰ってきた。

そういえば、久しぶりにUS-CERTからの注意喚起がメールで届いたのだが、今回は、企業等でよく使われているWebセキュリティゲートウエイのTLS横取り機能が結構いい加減だという話のようである。この種の製品は、TLSの通信内容をチェックするために、クライアントからの接続要求をサーバのフリをして一旦受けて、自分自身が再度サーバとのTLSコネクションを確立することで、内容を平文でチェックしている。いわば、MiTM(Man in The Middle)であるのだが、この場合、当然ブラウザ側で不審なサーバだと警告が出る。これを防ぐため、ゲートウエイが発行する証明書を信頼できるものとしてクライアント側にインストールする。これによって、クライアントは無条件にゲートウエイが発行する証明書を、つまりゲートウエイを経由して接続されるサーバを信頼してしまう。この場合、相手側のサーバの証明書確認はゲートウエイの責任なのだが、この確認が多くの製品で結構いい加減だというのが今回の警告の中身である。また、サーバ側で、こうしたゲートウエイを経由していることを認識する方法もいくつかあるようなので、悪意のサーバがそれを逆手にとってクライアントを騙すことができるといった可能性が指摘されている。さすがの、セキュリティをうたう製品でそんなことはないだろうと思っていたのだが、どうやら買いかぶりだったようである。困った話だ。

さて、明日は終日、某協会関係の会合が続く。一日、西新橋方面に詰める予定である。

今朝、ホテルをチェックアウトし、空港へ向かう。ホテルのシャトルが予約制だと知らず、結局タクシーを呼んで空港へ。なんせ、スキーの大荷物なので、バンタイプの車を呼んでもらった。とりあえず、チェックインもセキュリティもスムーズで、ギリギリだったにもかかわらず、問題なく搭乗時刻に間に合った。で、ちょっと遅れながらも無事離陸したので、ようやく今回のRSAの話を書くことができる。

米国のコンファレンスは総じて朝が早い。会場やその近くのホテルに滞在していれば、なんということはないが、今回はちょっと遠い宿だったので、結構、朝はばたばたする。結局、ちょっと出遅れて、キーノートのメイン会場には入れず、別会場での映像観戦となった。

今年は、なにやらちょっと不穏な雰囲気である。最初から「カオス=混沌」というキーワードが飛び出した。どうやら、我々、セキュリティ屋は「混沌」とした状況に直面せざるを得ないらしい。いかにも、セキュリティ業界を代表するコンファレンスらしい、ある意味FUDっぽい話の建て付けなのだが、実際、たしかにサイバーの世界はかなり混沌としてきている。これはセキュリティだけの話ではなく、ITの世界全体の話である。1月のCESで見たように、技術は爆発的に進化、多様化している。それを引っ張っているのが、世界でもトップクラスの研究者や技術者だから、この先の予測は極めて難しい。しかも、それにAIのような、ある面では人間の能力を遙かに凌駕するようなものが、それを後押しするとすれば、これからのITの世界は、どんどん「想定外」の出来事が起きるだろう。政治的、社会的な影響もこれまで以上に大きくなる。戦争の(むしろ、表向きの戦争ではない情報戦の)道具としてこれらが使われる可能性は極めて高い。これらは技術的な問題ではなく、極めて政治的なパワーバランス の問題である。「セキュリティ」という領域を守っていこうとすれば、当然ながら、こうした、いわば「ITの爆発的進化」や環境の変化とと向き合わなければならない。それは、極めて難しいことだ。だから、今回の「混沌」は、セキュリティ業界が、ある意味で行き詰まりつつあるというシグナルなのかもしれないと私は思うのである。

これは、CESが、ITの進化による明るい未来を体現しているのに対して、その対極にあると言っても過言ではない。結論めいたものがあるとすれば、「とにかく、一緒に頑張ろう」という話である。ただ、私が思うに、「一緒に頑張る」相手は、同業者(セキュリティ屋さんたち)ではなく、むしろ、世のIT屋さんたちなのだろう。我々セキュリティ屋は基本的なことは知っていても、最先端のIT分野に自ら対応できるだけのパワーはない。実際、加速度的に拡大するIT技術やビジネスの最前線には、外(門外漢)からの意見を受け入れる余裕もないように思えるのである。思うに、そろそろ「セキュリティ業界」という、いわば「ご意見番」めいたポジションを捨てて、自ら様々な現場に入り込み、その分野の専門家や技術者と一緒に、もしくは自分がそうした存在に変わって、内側からセキュリティを高めていくことが必要になっているのではないだろうか。ある意味、「セキュリティ業界解体論」に近いのだが、そもそも、セキュリティ自体、何かに従属している存在なのだから、これは自然な流れではないかと思うのである。

今回は、フル・コンファレンスのチケットを敢えて買わなかった。たかだか45分程度のセッションの繰り返しのために、早期割引でも十数万円の投資は割に合わないと思ったからである。なので、今回はキーノートでの全体像掌握と、展示会でのベンダ動向の把握に重きを置いてみた。

最近よく見るのは、こうした自国の企業をアピールするブースである。CESでも多かったのだが、アジア系はもとより、最近ではヨーロッパ系も積極的だ。

米国は政府機関の出展も目立つ。こちらはNSAのブース。

今回は、FBI、DHS(国家安全保障省)もブースを出していて、様々な民間支援プログラムなどをアピールしていた。政府系のリサーチから、民間にノウハウを移転するというプログラムも少なくない。、このあたりは、産官学で人材がうまく回っていて、国が主体的に研究や技術開発に踏み込んでいる米国ならではの動きだろう、残念ながら、我が国では一部を除き、「官」は「産」にたよりきりなので、こういうプログラムは機能しない。

キーノートでも話が出ていたのだが、防衛系の企業の出展も目立ち始めている。「サイバー戦争」が現実味を帯びる中、軍需産業の力の入り方も顕著になっている。こうした企業が近い将来、レガシーなセキュリティ企業に取って代わる時代がくるのかもしれない。

こちらは、DHSのブースである。

初日は、そんな感じでキーノートと展示会巡りで終わった。午後に一度宿に戻り、夕方にまたダウンタウンに帰って、日本のお客さんとの会食など。

少し時間があったので、ユニオンスクエアあたりをしばらく散策。一昨日のサンフランシスコは春のような陽気で、夕方は、散歩していて、気持ちがよかった。

宵の明星が出ていたので、ちょっとこんな絵柄を撮ってみた。

ちょうどバレンタインデーとあって、夕暮れのユニオンスクエアは歩くカップルの姿も多い。

もうひとつ、こんな絵も撮ってみる。

そんな感じで、お客さんとの会食も無事終えて、PowellからBARTでMillbraeに戻る。Powell St.のケーブルカー乗り場は遅い時間でもケーブルカーを待っている人がいる。

翌日の朝は、ちょっと雲が多い空模様。この日は、近くのMariottの会場にあるSandboxエリアのIoT/ICS系のステージに詰めてみることにした。

コンファレンスセッションが、参加費の割にはイマイチだと書いたのだが、そういう意味では、Sandboxのセッションは、そこにフォーカスして話を聞きたい人間にはいい。しかも、展示会パスでも聞ける。そのぶん、地べたに座って聞くという、よくあるスタイルなのだが、どちらかと言えば私はそういうスタイルが好きなのだ。

ICSサンドボックスのプレゼンでサンディエゴがスマートシティの先進的な取り組みをしていることを知った、そういえば、CSAのIoT WGのリーダーせある、Brianも、サンディエゴ在住である。これは、もう少しあれこれ調べてみたいところだ。

お隣では、SANSがCTFっぽいイベントをやっている。

こちらは、このところICS系ステージの常連になっているカスペルスキーの連中。今回は、プラントのVRシミュレーションを使って、ICSへの攻撃シミュレーションを可視化しようという面白いシステムの紹介。本物のPLCからの信号をシミュレータに取り込んで、実際のプラントがどう動くかをVRでシミュレーションするというもの。見た目は、VRゲームそのものだが、実際に、PLCからの信号でプラントが異常動作して、それを映像で確認できる。

これは、圧力異常で可燃性ガスが漏れて火がついた状態。

まだ開発途中らしいが、実際のプラント用のステージングシステムに応用すれば、プラントを燃やさなくても(笑)攻撃や異常のシミュレーションができる。すべてをシミュレートするのではなく、実際の制御系のアウトプットを受けて動く部分のシミュレーションであるのが面白い。実際の演習などで有効活用できそうな技術である。

こちらのセッションでは、医療機器の実際のインシデントや医療機関内でのセキュリティの取り組みを医療機関のCISOが語ったセッションである。実際、一般のセキュリティはCIA(機密性、完全性、可用性)のうち、C(機密性)にフォーカスすることが多いが、医療系など、直接人に影響を及ぼすシステムでは、可用性や完全性の欠落は命に関わるため、一般とは違った優先順位で考える必要がある。しかし、医療機関という独特のカルチャーを持つ組織で利用されるITに関してセキュリティの対策や対応を取ろうとすると、そのカルチャーが障害になることが少なくないようだ。たとえば、医療機器を装着した患者に何かあった場合の調査で、機器のフォレンジック調査がタイムリーにうまく出来るか・・・といったあたりである。特にIT畑からのCISOは、そのあたりで苦労するのだとか。

トレンドマイクロの連中は、SHODANを使って、インターネットに公開されて(しまって)いる機器の傾向分析を紹介していた。機器やプロトコル別、地域別の件数で見ると、なかなか面白い傾向があるようだ。ロサンゼルスは全体的に件数が多い。次いでヒューストンが続く・・・と言った感じだが、プロトコルによっては、違う都市がトップに出てくる。これは、脆弱な機器の普及の偏りや、人口、IT化率、その他様々な要因が関連しているのだろうと思う。こうした傾向と、各都市の様々な統計情報を相関させてみると面白い傾向が見えて来るかもしれない。それこそ、ディープラーニングに食わせてみたいテーマである。

今年も、政府系な人のプレゼン。去年はFCCが、5Gに関する話をしたのだが、今年は商務省から。IoT機器の安全を高めるためのコミュニティー作りを呼びかける内容のプレゼンである。米国の役所の偉いところは、こうしたところでの存在感を自然に作り上げているところだろう。偉そうにするでもなく、でも、自分たちの方向性を説明して技術コミュニティーに対して協力を求め、率直にに議論する彼らの姿勢は、どこかの国の役人どもに足の爪の垢でも煎じて飲ませたいところである。まぁ、こうしたことができるのも、米国のように産官学で人が循環している国だからだろうが・・・

さて、今年のRSAはそんな感じで終わった。CESとはなかなか対照的な感じがあってこれはこれで面白かったのだが、我々も、もう一度自分たちの立ち位置や、これからのロードマップを考え直さなければならないだろうと強く感じた次第である。

CSA Summit US 2017

| コメント(0) | トラックバック(0)

だんだん遅れていく日記書き。いろいろ内容があって、まとめる暇がなかなかとれない。今回は、特に宿がMillbraeであることもあって、ダウンタウンへの行き来に時間がかかる点もちょっと影響している。

この駅は、BARTとCaltrainの接続駅である。朝夕はSFO(サンフランシスコ国際空港)を経由しないBARTの直通電車が走っているので、折り返しの時間が省ける。さて、13日はRSAのプレイベントであるCSA Summitに参加した。クラウドの世界も、いよいよ本格的に大規模な導入が進んで、一気に一般化したのだが、そのぶん課題も色々と出てきているようだ。

ガートナーの予測では、2020年までに大企業の98%がハイブリッド・クラウド化した情報システムを持つだろうとされている。今回のSummitでも、その関連の話題がいくつかあったが、ハイブリッド化することで、オンプレミスとクラウドの境界が曖昧になり、結果として企業ネットワーク全体の境界が崩壊する可能性が高い。クラウドを積極的に利用する方向ならば、これは避けがたいことなので、境界を前提にしないセキュリティを考えなければならないわけだ。

結局、エンドプロテクションが重要になるのだが、その要はセキュリティの基本である、ID管理と認証、そしてアクセス制御である。つまりは、これまで「境界」防御に頼って、あいまいにすませてきたアイデンティティの管理を基本に戻ってきちんとやる必要が生じるという話だ。

一方、ハイブリッド化で企業ネットワークと密に繋がるクラウド事業者側では、別の懸念も浮上する。現在、大手のパブリッククラウド事業者のセキュリティレベルは非常に高い。しかし、ユーザのシステムがそれに直結することで、もしかしたら、ユーザ側がバックドアになるかもしれないという懸念である。これは、今まで議論されてきたのとまったく逆の見方なのが興味深い。結局、繋がるということは、どちらにもリスクが生じるわけだが、多くの(レベルが違う)利用者をかかえる事業者側では、より問題が深刻化する可能性があると言うことだろう。

クラウドのアジリティを最大化するDevOpsへのセキュリティプロセス組み込みを意味する、DevSecOpsの話もいくつか。これは、DevSecOpsにおける、開発者、セキュリティ担当者、運用担当者のそれぞれの分野における必要なスキルレベルを示したチャートである。それぞれ、他の分野の知識や経験が少なからず必要となるのは、開発から運用までを一気通貫にし、問題を速やかに開発(設計)にフィードバックするDevSecOpでは、各担当官のコミュニケーションが最も重要になるからだ。

CSA Summitのスピーカーは招待者を除いて、基本的にスポンサー企業である。なので、人によっては企業宣伝の比率が高くなってしまうのが難点といえば難点。一応、製品・サービス紹介だけはダメよ、というルールはあるようなのだが、つまらないと感じるセッションも若干あるのが残念。以前に比べて、最近特にCSAはその傾向が強まっている。あまり、これが強くなると、自己崩壊に向かう可能性もあるから注意して欲しいところである。

この日は終日、CSA Summitに参加して、夕方からはRSAの展示会場でWelcome Receptionに。展示会場で、軽い食事や酒が出るので晩飯代とカロリー軽減のために顔を出す。北館のロビーには、こんなSOCが・・・。なんとなく、こじんまりとしたブースで、ある意味「見世物小屋」的な雰囲気だ。

使われているのは、当然、RSAのSIEMなどの製品である。Interopのようにあれこれ様々な製品が置かれていると面白いのだが。

とりあえず、食って飲んで、ほろ酔い加減でどこにどんなブースがあるのかだけ見て回る。今年もFBIはこんなブースを出している。面白いのは、FBIグッズ(バッジみたいのとか)をブースで売っているところである。Fed系では、NSAやDHSが、やはりブースを出していた。アメリカのいいところは、こうした政府機関が様々な民間支援プログラムを提供している点である。セキュリティ企業は、ともすれば金の儲かる大企業にフォーカスしたソリューションを提供しがちだ。これは日本でも同様である。なので、そうした網からこぼれてしまう企業や業界に対する支援の意味でも、いい形だろうと思うのである。また、民間企業に対して、政府の技術が利用できる枠組みも用意されている。ちょうど、民間ロケット企業にNASAが技術提供しているのと同じ形である。まぁ、どこかの国ではそういうノウハウも、まるごと民間頼みだから無理だろうな・・・・と、ちょっと自虐的な感覚に陥ってしまった。(苦笑)

そんな感じの月曜日。昨日と今日の話は、帰りの飛行機の中ででも書くことにしようかと・・・。そろそろ荷造りして寝るとしようかな。

今日は朝からどんよりしたお天気。雨は降らない予報だが、気温も低くて肌寒い一日になった。

朝からちょっと仕事をしたり、買い物に行ったり。朝のうちに密林に注文してあったBDのシリーズが届く。いやぁ、某☆シリーズにハマってしまい、2シーズン大人買いなど・・・。だんだんダメな人になりつつあるかもしれない。(苦笑)体重オーバーなこともあって、昼飯は抜いて午後からしばらく周辺を歩き回る。

ついでだから、ポケモンハントとポケストップ周りなども併せて。まぁ、このゲームは歩くモティベーションにはつながるので悪くない。

歩いて見ると、同じような奴らが結構いる。まぁ、これで日本国民の健康度が上がるなら悪くない。(笑)

そう言えば、鳥取地震の後、日向灘で中規模の地震があったとか。昔の鳥取大地震の後、東南海地震が起きたこともあって、そういう話も取りざたされているのだが、連動説はさておき、地震活動が活発化していることは間違いないので、注意するにこしたことはなかろうと思う。食料や水の備蓄くらいは、多少考えておいた方がいいだろう。

そうえいば、今日の散歩コースには、ただいまドロドロ渦中のこの建物もある。警察はずいぶんと慎重に捜査しているようで、犯人につながる情報はまだまったく出てこない。なにやら怪しい雰囲気である。そろそろ真相が明らかになってほしいものだと。

調子こいて歩いていたら、ちょっとエネルギー切れっぽくなってしまったので、公園のベンチで一休みする。ふと見たら横浜線を点検用車両が走っていく。

そんな感じで歩き回って、ちょっと疲れたので家に帰って軽く昼寝してから届いたBDを見る。

そんな感じで今日は終了。そう言えば、米国のISPがDDoSを食らってDNSがダウンし、メジャーなサイトがアクセス不能になったようだ。DNSを狙われるとインターネットは崩壊する。そもそも、設計上の問題があると言われているDNSなので、そろそろ真剣に対策を考えた方がいいかもしれない。たとえば、非常時にはDNSをインターネット帯域外で検索できるような仕組みとかも考えた方がいいかもしれないなと思うのである。たとえば、ISP間だけでも、こうしたアウト・オブ・バンド的なDNS連携をやってもいいのではないだろうか。

さて、明日もちょっとお仕事しないといけないな。

またもや地震・・・

| コメント(0) | トラックバック(0)

今日は昨日よりも少し気温が下がって、日中でも半袖だとちょっとスースーする感じ。CODE BLUEは午前中サボって、昼から出かけることにして、朝のうちに買い物とかクリーニング出しとか。

このところ、ちょっと気を許していたら、またしても体重が危険水準になっている。運動量が維持できていないので、多少食い物を減らしても間に合わない。やはり、毎日体重計に乗って自らを戒めた方がよさそうである。

さておき、午後から新宿へ向かい、CODE BLUEを聴く。午後のセッションは、ATMハッキングの話から。物理的に蓋を開けることができれば、いろんなツールでソフトウエアに不正な操作ができるよ・・・という話なのだが、物理的に蓋を開けられるのであれば、直接オカネを抜いた方が・・・などと思ってしまうのは私が俗人だからだろうか。(笑)不正送金マルウエアの無害化オペレーション、C&Cのドメインをひとつ乗っ取って、ボットネットの制御を奪い、無害化するようなコマンドを送りつける方法は興味深い。それをKC庁がやったというのは(法的根拠の意味会いも含め)なかなかインパクトがあるのだが、セッションでも述べられていたとおり、そうした方法は何度も通用しない。結局、地道に国際協力しながらテイクダウンしていくしかないのだろうかな。たとえば、駆除用ソフトウエアをネットに放つ・・・なんてのも将来的には可能になるのだろうか。まぁ、結果としてイタチごっこになって、ネット上で戦争状態に・・・なんてことも予想できそうだから熟慮が必要なんだろう。

某赤い國製ルーターにバックドアが・・・・というセッション。ブラジル人の訛りのキツい英語に閉口しながらも、興味深く聴いた。思うにサプライチェインが複雑化する中で、どこでそうした操作が行われたのかを突き止めるのは難しい。結局の所、それは解明できなかったようだが、実際、そんなことがあるかもしれないという前提で物事を考えなければいけない時代なのかもしれない。しかし、発見したきっかけが、保存した設定ファイルの中に平文でBACKDOORの文字があったというから、間抜けな話というより、もしかしたら悪意というよりも無神経にそうした裏口を作り込んでしまったのかもしれない。たとえば、メンテナンス用みたいな感じで・・・。ただ、それが見つかってしまうと悪用が可能になるのだから、そうしたものも含めてしっかりチェックできないといけないのだろう。

今日も、適当に切り上げて帰ってきた。なんだか、簡単に行ける場所であるコンファレンスは、どうも気合いが入らない・・・(苦笑)まぁ、ちょっとは刺激になったので、また日頃の本業を頑張るとしよう。そんなことをしている間に、鳥取方面で震度6弱の地震があったとか。熊本の地震から半年あまりで、また被害が出る地震が発生した。やはり日本全体で地震や火山活動が活発化しているのだろうか。こちらも、日頃からの備えが重要である。

RSA3日目、最終日の今朝は、ちょっと晴れ間も見えていて、傘は持たずに出かけたのだけど、会場に着いてしばらくしたあたりで雨が降り出した。とりあえず影響はないのだが、なかなか止む様子がない。

午前中はトラック別のセッション。最初のセッションはアジアをターゲットにしたマルウエアなどのお話。日本を標的としたshifuの特徴など。それから、東ヨーロッパのブラックマーケットのお話。表のECサイトばりの、品揃えとサポート体制は、なかなかの驚き。コールセンターもあって、アフターサービスも万全だと言う。まぁ、それを、お客相手のビジネスと考えれば、表も裏も基本は同じなのだろう。製品だけでなく、教育コースなどのサービスもあって、ハッカー講座は、卒業後の就職斡旋もあるらしい。

午前の最後は、開発系のセキュリティ。DevOps(開発、運用の一体化)によるサービスの継続的開発とリリースが流行だが、こうした手法において、システムのセキュリティを低下させないためにどうすべきか、といったセッション。DevOpsの基本は徹底した自動化だが、そこにセキュリティも組み込んでしまおうという話である。ただ、言うは易しで、実際には様々な課題がある。ともすれば、開発とリリースの効率化に逆行しがちなセキュリティだが、それではビジネス的に本末転倒になる。まずは、セキュリティ屋さんも、マインドセットを変える必要があるという話である。

ランチを挟んで、午後はIoT系のセッションを一本聴いたのだが、こちらはちょっとイマイチ。某Web系セキュリティベンダの我田引水的なお話だったので、ちょっとがっかりである。我田引水と言えば、そのあとのキーノートの冒頭で、登壇したアリババのセキュリティ責任者も、英語はひどいし、内容は自社の宣伝・・・。聴いていてちょっと辟易とした。このあたりが、まだまだAP&Jの未熟な部分だろう。

その後のEYの話は、世界的な流れとアジアの傾向の差を、数字ベースで見せてくれたので面白かった。世界的に見ると、セキュリティ投資の比率は「予防」「発見」「対処」をバランスさせる方向にあるが、アジアでは、まだまだ「予防」偏重になっているという話など。これは、日本も例外ではない。防御しきれない脅威が増えている中で、変わっていく必要がある部分だ。

クロージングは、ノーベル平和賞受賞者のSir Bob Geldof氏の講演。貧困や格差の解消に取り組んできた氏からみたデジタルエイジの問題点などについての話。インターネットの発展は、格差を埋める一方で、新たな格差も生み出してしまう。人間自身が追従できないような速さで進む物事が、社会を不安定化させるといった問題などを指摘しつつ、現在の状況と20世紀初頭や19世紀初頭の戦争前夜の状況の類似性を説いていた。なかなか奥の深い話である。

そんな感じで、午後4時前にコンファレンスは閉幕。その後、またU先生、T氏とちょっとお茶をしてからホテルに戻った。しばらく上がっていた雨が夕方からまた降り出したので、晩飯はまた近場のクラークキーあたりにでかけて、川沿いの居酒屋で一杯ひっかける、

小雨が降る中、クラークキー界隈は、それでも結構な人で賑わっている。

そんな感じでほろ酔い加減。ホテルに戻って、またちょっと寝落ちしてしまった。

明日は一日フリーなのだが、ちょっと天気が心配。雨ならホテルで仕事でもしていようかと思っている。

昨日はRSAの2日目。前日同様、夜半過ぎから雷雨になり、朝まで雨が残ったが、ホテルを出る頃には雨も上がって晴れ間がみえてきた。2日目は、午前中、トラック別のセッション。私はThreat Intelligence系のトラックに居座り。

最初は、FireEyeのAP-CTOのセッション。いわゆるAPTによるアジア向けの攻撃の状況について紹介すりもの。APTと言えば、暗黙に赤い國を意味するのだが、非常に組織化され、洗練された攻撃を仕掛けてくる厄介な相手である。戦略、作戦にもたけていて油断がならない。最近、グループの数を絞って、互いの連携を強めるような戦略に変わってきているという。

Level3 Communications というISPのVPが喋った次のセッションも興味深い。ISPながら、NetFlowを使って、通信のソースと宛先の統計を取っている。ボットネットの動きなども監視しているという。C2サーバが置かれているの国のランキングを紹介しながら、知見をいくつか述べていたのだが、最近、一部の国では犯罪組織と国家が協力関係にあり、国が開発した新たなマルウエア技術のテストを犯罪組織がやっているケースもあるという。一方、途上国のインターネット普及はまだ遅れているが、知識や技術を持つ者は増えていて、環境が整うと、これらの人間が儲けに走り、一気に犯罪者が増える可能性も指摘している。

途中の休憩時間に展示会をまわってみる。内容的には、去年と大きくはかわらない。

昼は、いつものように展示会場で立食のバイキング形式のランチ。なんとなく、去年に比べると中身が落ちている感じがする。参加者も減っているようだし、ちょっと先行きが不安な感じである。

会場の冷房がきついので、長袖を持って行ってきているのだが、それでも体が冷えるので、少し外を歩いて体を温める。(少し歩くと、今度は汗だくになるのだが・・・・)

さて、午後はまたキーノートの全体セッション。最初の講演は今回の目玉である、ブルース・シュナイアー。さすがに話はうまいし面白い。なにより、聞き取りやすいのが助かる。まぁ、高い金を取るだけのことはあるのかもしれない。(笑)

話の内容は、IoTである。シュナイアーがIoTというのもちょっとアレだが、とりあえず、IoTがかかえている課題をひととおりおさらいしてくれた。インターネットがセキュリティを大きく変えたように、IoTもまた、攻撃と防御のバランスを大きく変化させるのだという。こうした変化に、なによりも法制度がついていけない点が問題だと彼は言う。特に、IoTのように技術分野の境界を越えて統合が進むことで、行政の縦割り弊害がより顕著になるというのである。そのへんは、納得する話だ。

午後になって、だんだん集中力が切れ始め、特に訛りのきついスピーカーの話がだんだん聞き取れなくなってくる。このあたりが、AP&Jの辛い部分。米国でのコンファレンスに比べ、スピーカーにアジア系の人が多いのが影響している。

そんな感じで、夕方まで聴いて、それからまた、U先生、T氏と、今度はクラークキーあたりに行って飲みながらお話をした。

この人たちとの話で毎回出てくるのが、日本の組織のセキュリティマネジメント力のなさである。人材育成が技術志向に走ってしまっているため、全体の動きをきちんと調整できる人材が極めて少ない。今回のコンファレンスでもみられる傾向だが、攻撃が高度化する中で、インシデント対応などの全体を、きちんと管理することが求められている。しかし、残念ながら日本の人材育成は、そうした方向を向いていない。ある意味、世界から遅れているとも言える。

そんな話を2,3時間して、ホテルに戻ってきた。

結局、酔ってまた寝てしまい、夜中に歯を磨いて寝直すことになる。さて、今日はRSAの最終日。天気はよさそうだ。

朝方の雷雨で、どうなるかと思った天気も、10時頃には薄日がさして回復傾向。とりあえず、会場のマリーナベイ・サンズに向かう。

とりあえず、レジストレーションでバッジとバッグをもらい、持って行ったバッグをたたんで、もらったバッグに荷物を移したのだが、バックが思ったより小さくて、カメラとかを入れるのに難儀した。サンフランシスコはリュックだったのだが、AP&Jはケチケチ作戦らしい。

セッションは午後からなので、少し周辺で時間をつぶす。新調したα7Ⅱの試し撮りなど。

展示会の某協会ブースにちょっと顔を出すなど。ひとつのブースに数社の展示が混在しているので、ちょっと来場者にはわかりにくいかもしれない。協会のPRではなくて、会員企業のPRなので・・・・。

それから、昼飯を食うなどして時間をつぶし、ようやく午後2時45分にコンファレンスが始まる。オープニングは派手なアトラクションから。

続いてシンガポールの「なんとか大臣」の御挨拶。まぁ、政治家らしい挨拶なのだが、この大臣の取り巻きがかなりの大人数。会場の前列数列を占拠している。

しかも、大臣挨拶が終わり、RSAの社長挨拶が終わった段階で、こいつらが一気に、ぞろぞろと退場。次のスピーカーがステージの上がっているのに、いきなり前数列が空席になってしまうという寒い状況に。どこの国でも政治家と役人はそういうものなのだろう。

さておき、今日は、30分~40分ほどのキーノート講演の連続。ベンダ(スポンサー系)のスピーカーなのだが、いちおう製品PRはしない約束なので、比較的、一般論の形をとるのだが、なんとなく歯切れはよくない。ただ、各スピーカーに共通していたのは、セキュリティは最終的には「人」なので、ちゃんと人がツールを使いこなせないといけないという話。まぁ、いまや「銀の弾丸」など作れないことはわかっているので、ベンダの関係者が喋ると、いいわけに聞こえてしまうのは、いたしかたなかろう。セキュリティの状況をできるだけ多面的に可視化して意味づけし、その上で異常を人が見て判断するという原則論に立ち帰ろうという話なのだが、言うは易し・・・である。実際そこが最も難しいところなのだから。同様に、Defence in Depth とか階層防御を見直せ、なんていう話も出ていた。要は、何階層ものセキュリティを入れても、各層が分断されていてはあまり意味が無いのだという話。たしかに、これまでは「防御する」ための階層だったから、それでもよかったのかもしれないが、「見つける」ための階層であれば、各層が連携しないと話にならないだろう。実際、「防御」から「発見」「対処」へ・・・という話も文脈の中で共通している。納得はするものの、ソリューションベンダなら、人にたよらなくていいソリューションを作って見やがれ、と言いたいところだが、まぁ、今の技術ではまだ難しかろうなと思う次第。それこそ、AIがもう少し発達したら・・・という話である。いや、逆に、攻撃側がAIを使い出したら守る側も使わざるを得なくなるから、早晩、セキュリティは人の手を離れていくのかもしれない。

キーノートの最後はFBI。毎回出てきてあれこれ話をする努力をしているのは立派である。ランサムウエアの話では、FBIはできる限りこうした犯罪を防止する方向に動くのだが、不幸にして被害に遭ってしまった場合に、身代金を払うかどうかは、基本的にはビジネス上の判断だと言う。ただ、FBIとして、払うことはお薦めできない。なぜならば、払ったところでデータだ復旧される保証がないことや、なにより犯罪者を儲けさせてしまうのだから、たとえばバックアップなどを確実に行っておくことで、払わずに対処できればそれにこしたことはない、というような言い方をしていた。ある意味、現実的な言い方だろうと思う。あとの話はいつものように、FBIとして民間とどのように連携し、情報を共有していくかといった部分にかなりの時間を使っていた。

今日は全体セッションのみで、そのあと展示会場でレセプション。今回は、レセプションに日本人の顔が少ない感じがしたのだが、日本からの参加者は年々減っているようである。まぁ、シンガポールあたりまで聞きに来ようという奇特な人は、そもそも多くないだろうし、他に金を使うべき部分も多いから自然な流れなのかもしれない。結局、今日は、常連のU先生とその知人のTさんの3人でレセプションで少し話した後、地下のフードコートで飯を食いながらお話しして帰ってきた。

帰りに地下鉄に乗ろうと思ったら、胸のポケットに入れていたEZ-LINKカードがなくなっているのに気がついた。たぶん、胸のポケットに突っ込んだカメラを出し入れする際に、汗でくっついて外に落ちてしまったのだろう。以前にもあったので、朝はちょっと気にしていたのだけど、いつしか忘れてしまっていた。しかたがないのでカードを買い直したら、サンリオのキャラクターバージョンのカードだった。なかなかかわいい。(笑)大事に財布の中に入れておくことにする。

さて、明日は終日コンファレンスである。聴くセッションは一応決めてあるのだが、集中力を切らさないようにしよう。時差が少ないのは助かるのだが、英語のセッションは集中力が切れると辛いので。

月別 アーカイブ

このアーカイブについて

このページには、過去に書かれた記事のうち情報セキュリティカテゴリに属しているものが含まれています。

前のカテゴリは季節です。

次のカテゴリは愚痴です。

最近のコンテンツはインデックスページで見られます。過去に書かれたものはアーカイブのページで見られます。