「セキュリティ」の版間の差分
| (同じ利用者による、間の42版が非表示) | |||
| 1行目: | 1行目: | ||
[[Category:ICT]] | |||
[[ファイル:セキュリティに失敗した恐怖.jpeg]] | |||
==情報セキュリティ全般== | |||
[https://gintachan.com/whitehacker-recommended-books-27/ おすすめセキュリティ勉強本27選【ホワイトハッカーを目指せ!】] | |||
[https://www.nri-secure.co.jp/blog/nist-cybersecurity-framework-2.0 NIST サイバーセキュリティフレームワーク 2.0を解説|約10年ぶりの大幅改訂、押さえるべき要点とは?|ブログ|NRIセキュア] | |||
===セキュリティ資格=== | |||
====CISSP(Certified Information Systems Security Professional)==== | |||
[https://japan.isc2.org/cissp_about.html CISSPとは|ISC2 Japan] | |||
[https://qiita.com/gadagizi/items/ed2cdb39537afd90973a 【セキュリティ資格】CISSP合格体験記_202310_トレーニング有 - Qiita] | |||
==通信のセキュリティ== | |||
===種類=== | |||
盗聴 | |||
なりすまし | |||
改ざん | |||
事後否認 | |||
===傾向=== | |||
[https://togetter.com/li/2387446 ランサムウェアの侵入経路は今はVPN機器とかRDPの脆弱性だった。「怪しいメールの添付ファイル開かなきゃ大丈夫」は時代遅れなのか?→有識者の声が続々 - Togetter] | |||
===対策=== | |||
暗号化、メッセージ認証コード、デジタル署名 | |||
===対策の技術<ref>[https://amzn.to/3Exjtlj アルゴリズム図鑑 増補改訂版 絵で見てわかる33のアルゴリズム. 石田 保輝 他1名]</ref>=== | |||
ハッシュ関数(SHA-2) | |||
公開鍵暗号方式(RSA暗号) | |||
ハイブリッド暗号方式(SSL/TLS) | |||
ディフィ−ヘルマン鍵交換法 | |||
MAC(Message Authentication Code) | |||
デジタル署名 | |||
デジタル証明書 | |||
===関連法等=== | |||
[https://security-portal.nisc.go.jp/guidance/law_handbook.html 関係法令Q&Aハンドブック - NISC] | |||
==Webセキュリティ== | ==Webセキュリティ== | ||
| 6行目: | 64行目: | ||
[https://www.ipa.go.jp/files/000017316.pdf 安全なウェブサイトの作り方 (全115ページ、2.16MB):IPA 独立行政法人 情報処理推進機構] | [https://www.ipa.go.jp/files/000017316.pdf 安全なウェブサイトの作り方 (全115ページ、2.16MB):IPA 独立行政法人 情報処理推進機構] | ||
===初心者=== | |||
https://www.itmedia.co.jp/news/articles/2308/09/news091.html | |||
===フリーWi-Fi=== | |||
[https://qiita.com/ockeghem/items/c6a3602d2c2409f89fbb フリーWi-Fiを使ったら秘密情報を抜かれる経路にはどのようなものがあるか] | |||
==新規サービス導入検討におけるセキュリティ== | |||
[https://logmi.jp/tech/articles/329510 「それは、本当に安全なんですか?」 セキュリティ専門家が「GitHub Copilot」の全社一斉導入時に考えたあれこれ - ログミーTech] | |||
==インシデント== | |||
===インシデント対応ノウハウ=== | |||
[https://japan.zdnet.com/article/35218468/ セキュリティインシデントの発生時にどこまで情報開示すべきか - ZDNET Japan] | |||
====コンセントを抜く==== | |||
[https://togetter.com/li/2384530 サイバー攻撃を受けた時「通信ケーブルだけでなく電源ケーブルも引っこ抜く必要がある理由」がまるで攻殻機動隊の世界-Togetter] | |||
===インシデント実例=== | |||
重大インシデントとして客観的に判断できるものを掲載する。 | |||
AT&T、新たなデータ侵害で“顧客のほぼ全員”の通話記録を盗まれる<ref> AT&T、新たなデータ侵害で“顧客のほぼ全員”の通話記録を盗まれる - ITmedia NEWS </ref> | |||
東京海上、6万3千件分の情報漏えいかー令和6年7月11日<ref>[https://www.47news.jp/11176725.html 【速報】東京海上、6万3千件分の情報漏えいか|47NEWS(よんななニュース)]</ref> | |||
[https://togetter.com/li/2243196 NTTビジネスソリューションズの顧客情報の不正流出について公表資料だけで語る、今回の件のヤバさ「セキュリティ教育資料に最悪の事例として載る」 - Togetter] | |||
[https://piyolog.hatenadiary.jp/entry/2023/11/12/014635 短縮URLの利用が誤解を生んで、クレジットカード情報の流出につながった例] | |||
[https://www.itmedia.co.jp/news/spv/2406/01/news047.html マイナンバー画像など15万人分漏えいの労務クラウド、クレカ情報も流出していた - ITmedia NEWS] | |||
[https://news.ntv.co.jp/category/society/rncee507428f1a49b4b8d5c8b7ffe0639c 岡山県精神科医療センター 最大4万人分の個人情報流出 サイバー攻撃で|日テレNEWS NNN] | |||
[https://togetter.com/li/2384162 「マジモンの大戦争してたわ」ランサムウェア攻撃に対してサーバーのケーブルを物理的に抜く...ニコニコへのサイバー攻撃と対応の内容が壮絶だった - Togetter] | |||
[https://togetter.com/li/2445560 クレカ情報の流出があったタリーズオンラインストアのWebアーカイブから原因を特定した猛者が現れる→集まった有識者たちにより巧妙な手口が明らかに - Togetter] | |||
====身代金ランサムウェア==== | |||
英国民保健サービス(NHS)は、英病理検査機関Synnovisがランサムウェア攻撃を受け、患者データがサイバー犯罪グループQilinによって公開されたと発表。攻撃により血液検査システムが使用不能となり、3000件以上の予約や手術が中断。Qilinは約400GBの患者データをダークウェブに公開し、身代金5000万ドルを要求。NHSはデータ検証とシステム復旧に努めていますが、混乱は数カ月続く見通し。<ref>[]</ref> | |||
==保守== | |||
ソフトウェアの[[バージョンアップ]]などを行って常に最新に更新することがとても重要。 | |||
==情報収集法== | ==情報収集法== | ||
[https://qiita.com/securityn00b23/items/2f98b153b65b8e258e75 国内の情報セキュリティに関連する組織・情報源について] | |||
セキュリティの情報は常に更新しないと、すぐに陳腐化するのみならず、かえってリスクとなってしまう。 | セキュリティの情報は常に更新しないと、すぐに陳腐化するのみならず、かえってリスクとなってしまう。 | ||
| 16行目: | 126行目: | ||
上記のサイトでも指摘されているように、英語圏の情報にアクセスすることが必須である。 | 上記のサイトでも指摘されているように、英語圏の情報にアクセスすることが必須である。 | ||
==研究== | |||
[https://nazology.net/archives/149143 無料で商用利用可能なSQL生成・コーディング・命令フォローなどのエンタープライズタスクに最適化された大規模言語モデル「Snowflake Arctic」が登場 - GIGAZINE] | |||
==よくある攻撃手法== | |||
[https://qiita.com/ockeghem/items/787f74801a24e1fc6960 パスワードがハッシュ値で保存されているサイトのSQLインジェクションによる認証回避の練習問題 - Qiita] | |||
===PUA((Potentially Unwanted Application)=== | |||
不要なソフトウェアの追加インストールやデバイスの設定変更などを行い、ユーザーが承認あるいは想定していない挙動を示すアプリケーション。<ref>[https://ascii.jp/elem/000/004/201/4201013/ ASCII.jp:4月に検出数が急増。意図せずインストールされる「PUA」とは?]</ref> | |||
Androidスマートフォンが利用出来なくなるほど、広告が不可をかける。 | |||
==実際の攻撃例== | |||
===ロシアのサイバー攻撃グループ「APT29」のクラウド環境への攻撃戦術=== | |||
米国土安全保障省サイバーセキュリティ・インフラストラクチャーセキュリティ庁(CISA)と英国立サイバーセキュリティセンター(NCSC-UK)がロシアのサイバー攻撃グループ「APT29」のクラウド環境への攻撃戦術を公開。攻撃手法にはブルートフォース攻撃やパスワードスプレー攻撃が含まれ、多要素認証(MFA)をバイパスする試みも報告されている。緩和策として、MFAの使用や強力なパスワードポリシーの実施、最小権限の原則の適用などが推奨されている。<ref>[https://news.mynavi.jp/techplus/article/20240228-2893782/ ロシアのサイバー攻撃グループの戦術が公開、クラウド管理者は要注意 | TECH+(テックプラス)]</ref> | |||
===韓国の造船企業を対象としたサイバー攻撃=== | |||
[https://piyolog.hatenadiary.jp/entry/2023/10/05/183012 韓国の造船企業を対象としたサイバー攻撃についてまとめてみた - piyolog] | |||
===iPhone等を対象にした例=== | |||
アカウント乗っ取り | |||
[https://newsdig.tbs.co.jp/articles/-/1286377 突然スマホに届いた領収書「見知らぬゲームに課金17万円」 “Apple ID”乗っ取られたか 番組スタッフも被害 “不正利用”の実態と対処時の“落とし穴” | TBS NEWS DIG] | |||
2023年10月の例 | |||
[https://gigazine.net/news/20231026-ileakage-iphone-ipad-mac/ iPhone全モデルと2020年以降のMacからパスワードやメールを盗み出す「iLeakage」が報告される、実際に動作するデモ映像もあり - GIGAZINE] | |||
Apple社の開発した中央演算装置に固有のセキュリティリスクが発表された。パスワードを盗まれる可能性があるリスクが、わりと、致命的。 | |||
対応策としては、配信されたアップデートを適用することになる。 | |||
Mac OSのセキュリティアップデートが発表された。<ref>[https://applech2.com/archives/20231026-macos-12-monterey-and-13-ventura-security-update.html Apple、複数の脆弱性を修正した「macOS 12.7.1 Monterey」と「macOS 13.6.1 Ventura」、「Safari 17.1」をリリース。]</ref> | |||
なお、広範な機器が影響を受けるため、すでに最新iOSのサポートが終了した機器においても、セキュリティアップデートがアップルから発表されている。<ref>[https://applech2.com/archives/20231026-ios-15-8-build-19h370-security-update.html Apple、iPhone 6s/7やSE (第1世代)やiPod touch (第7世代)、iPad Air 2/mini 4向けにKernelのゼロデイ脆弱性を修正した「iOS/iPadOS 15.8」をリリース。]</ref> | |||
===404ページを対象としたもの=== | |||
[https://internet.watch.impress.co.jp/docs/yajiuma/1540022.html 「404 Not Found」ページに悪意のあるコードを埋め込むサイバー攻撃が発見される【やじうまWatch】 - INTERNET Watch] | |||
==人間だもの== | |||
[https://www.itmedia.co.jp/news/articles/2305/08/news074.html “そうはならんやろコード”はなぜ生まれるのか セキュリティ専門家・徳丸氏に聞く「脆弱性だらけのWebアプリ」の背景] | |||
==利用機材の後始末== | |||
高機能なモノをわからないまま使うと、それを売るときに困ることがあるそうだ。 | |||
[https://www3.nhk.or.jp/news/html/20230910/k10014179331000.html サーマルカメラの“顔画像”が流出 まさか残っているなんて… | NHK | デジタルでだまされない] | |||
==参考== | |||
<references /> | |||
2024年10月6日 (日) 05:29時点における最新版
情報セキュリティ全般
おすすめセキュリティ勉強本27選【ホワイトハッカーを目指せ!】
NIST サイバーセキュリティフレームワーク 2.0を解説|約10年ぶりの大幅改訂、押さえるべき要点とは?|ブログ|NRIセキュア
セキュリティ資格
CISSP(Certified Information Systems Security Professional)
【セキュリティ資格】CISSP合格体験記_202310_トレーニング有 - Qiita
通信のセキュリティ
種類
盗聴
なりすまし
改ざん
事後否認
傾向
ランサムウェアの侵入経路は今はVPN機器とかRDPの脆弱性だった。「怪しいメールの添付ファイル開かなきゃ大丈夫」は時代遅れなのか?→有識者の声が続々 - Togetter
対策
暗号化、メッセージ認証コード、デジタル署名
対策の技術[1]
ハッシュ関数(SHA-2)
公開鍵暗号方式(RSA暗号)
ハイブリッド暗号方式(SSL/TLS)
ディフィ−ヘルマン鍵交換法
MAC(Message Authentication Code)
デジタル署名
デジタル証明書
関連法等
Webセキュリティ
IPAが無料で公開しているものが、内容充実しておりおすすめされている。[2]
安全なウェブサイトの作り方:IPA 独立行政法人 情報処理推進機構
安全なウェブサイトの作り方 (全115ページ、2.16MB):IPA 独立行政法人 情報処理推進機構
初心者
https://www.itmedia.co.jp/news/articles/2308/09/news091.html
フリーWi-Fi
フリーWi-Fiを使ったら秘密情報を抜かれる経路にはどのようなものがあるか
新規サービス導入検討におけるセキュリティ
「それは、本当に安全なんですか?」 セキュリティ専門家が「GitHub Copilot」の全社一斉導入時に考えたあれこれ - ログミーTech
インシデント
インシデント対応ノウハウ
セキュリティインシデントの発生時にどこまで情報開示すべきか - ZDNET Japan
コンセントを抜く
サイバー攻撃を受けた時「通信ケーブルだけでなく電源ケーブルも引っこ抜く必要がある理由」がまるで攻殻機動隊の世界-Togetter
インシデント実例
重大インシデントとして客観的に判断できるものを掲載する。
AT&T、新たなデータ侵害で“顧客のほぼ全員”の通話記録を盗まれる[3]
東京海上、6万3千件分の情報漏えいかー令和6年7月11日[4]
NTTビジネスソリューションズの顧客情報の不正流出について公表資料だけで語る、今回の件のヤバさ「セキュリティ教育資料に最悪の事例として載る」 - Togetter
短縮URLの利用が誤解を生んで、クレジットカード情報の流出につながった例
マイナンバー画像など15万人分漏えいの労務クラウド、クレカ情報も流出していた - ITmedia NEWS
岡山県精神科医療センター 最大4万人分の個人情報流出 サイバー攻撃で|日テレNEWS NNN
「マジモンの大戦争してたわ」ランサムウェア攻撃に対してサーバーのケーブルを物理的に抜く...ニコニコへのサイバー攻撃と対応の内容が壮絶だった - Togetter
クレカ情報の流出があったタリーズオンラインストアのWebアーカイブから原因を特定した猛者が現れる→集まった有識者たちにより巧妙な手口が明らかに - Togetter
身代金ランサムウェア
英国民保健サービス(NHS)は、英病理検査機関Synnovisがランサムウェア攻撃を受け、患者データがサイバー犯罪グループQilinによって公開されたと発表。攻撃により血液検査システムが使用不能となり、3000件以上の予約や手術が中断。Qilinは約400GBの患者データをダークウェブに公開し、身代金5000万ドルを要求。NHSはデータ検証とシステム復旧に努めていますが、混乱は数カ月続く見通し。[5]
保守
ソフトウェアのバージョンアップなどを行って常に最新に更新することがとても重要。
情報収集法
セキュリティの情報は常に更新しないと、すぐに陳腐化するのみならず、かえってリスクとなってしまう。
幸い情報収集の方法についても、参考にできる記事がインターネット上で公開されている。
私のセキュリティ情報収集法を整理してみた(2022年版) - Fox on Security
上記のサイトでも指摘されているように、英語圏の情報にアクセスすることが必須である。
研究
無料で商用利用可能なSQL生成・コーディング・命令フォローなどのエンタープライズタスクに最適化された大規模言語モデル「Snowflake Arctic」が登場 - GIGAZINE
よくある攻撃手法
パスワードがハッシュ値で保存されているサイトのSQLインジェクションによる認証回避の練習問題 - Qiita
PUA((Potentially Unwanted Application)
不要なソフトウェアの追加インストールやデバイスの設定変更などを行い、ユーザーが承認あるいは想定していない挙動を示すアプリケーション。[6]
Androidスマートフォンが利用出来なくなるほど、広告が不可をかける。
実際の攻撃例
ロシアのサイバー攻撃グループ「APT29」のクラウド環境への攻撃戦術
米国土安全保障省サイバーセキュリティ・インフラストラクチャーセキュリティ庁(CISA)と英国立サイバーセキュリティセンター(NCSC-UK)がロシアのサイバー攻撃グループ「APT29」のクラウド環境への攻撃戦術を公開。攻撃手法にはブルートフォース攻撃やパスワードスプレー攻撃が含まれ、多要素認証(MFA)をバイパスする試みも報告されている。緩和策として、MFAの使用や強力なパスワードポリシーの実施、最小権限の原則の適用などが推奨されている。[7]
韓国の造船企業を対象としたサイバー攻撃
韓国の造船企業を対象としたサイバー攻撃についてまとめてみた - piyolog
iPhone等を対象にした例
アカウント乗っ取り
突然スマホに届いた領収書「見知らぬゲームに課金17万円」 “Apple ID”乗っ取られたか 番組スタッフも被害 “不正利用”の実態と対処時の“落とし穴” | TBS NEWS DIG
2023年10月の例
iPhone全モデルと2020年以降のMacからパスワードやメールを盗み出す「iLeakage」が報告される、実際に動作するデモ映像もあり - GIGAZINE
Apple社の開発した中央演算装置に固有のセキュリティリスクが発表された。パスワードを盗まれる可能性があるリスクが、わりと、致命的。
対応策としては、配信されたアップデートを適用することになる。
Mac OSのセキュリティアップデートが発表された。[8]
なお、広範な機器が影響を受けるため、すでに最新iOSのサポートが終了した機器においても、セキュリティアップデートがアップルから発表されている。[9]
404ページを対象としたもの
「404 Not Found」ページに悪意のあるコードを埋め込むサイバー攻撃が発見される【やじうまWatch】 - INTERNET Watch
人間だもの
“そうはならんやろコード”はなぜ生まれるのか セキュリティ専門家・徳丸氏に聞く「脆弱性だらけのWebアプリ」の背景
利用機材の後始末
高機能なモノをわからないまま使うと、それを売るときに困ることがあるそうだ。
サーマルカメラの“顔画像”が流出 まさか残っているなんて… | NHK | デジタルでだまされない
参考
- ↑ アルゴリズム図鑑 増補改訂版 絵で見てわかる33のアルゴリズム. 石田 保輝 他1名
- ↑ Web開発者はもっと「安全なウェブサイトの作り方」を読むべき - Flatt Security Blog
- ↑ AT&T、新たなデータ侵害で“顧客のほぼ全員”の通話記録を盗まれる - ITmedia NEWS
- ↑ 【速報】東京海上、6万3千件分の情報漏えいか|47NEWS(よんななニュース)
- ↑ []
- ↑ ASCII.jp:4月に検出数が急増。意図せずインストールされる「PUA」とは?
- ↑ ロシアのサイバー攻撃グループの戦術が公開、クラウド管理者は要注意 | TECH+(テックプラス)
- ↑ Apple、複数の脆弱性を修正した「macOS 12.7.1 Monterey」と「macOS 13.6.1 Ventura」、「Safari 17.1」をリリース。
- ↑ Apple、iPhone 6s/7やSE (第1世代)やiPod touch (第7世代)、iPad Air 2/mini 4向けにKernelのゼロデイ脆弱性を修正した「iOS/iPadOS 15.8」をリリース。
