セキュリティ

情報セキュリティ全般

おすすめセキュリティ勉強本27選【ホワイトハッカーを目指せ！】

NIST サイバーセキュリティフレームワーク 2.0を解説｜約10年ぶりの大幅改訂、押さえるべき要点とは？｜ブログ｜NRIセキュア

セキュリティ資格

CISSP(Certified Information Systems Security Professional)

CISSPとは｜ISC2 Japan

【セキュリティ資格】CISSP合格体験記_202310_トレーニング有 - Qiita

通信のセキュリティ

種類

盗聴

なりすまし

改ざん

事後否認

傾向

ランサムウェアの侵入経路は今はVPN機器とかRDPの脆弱性だった。「怪しいメールの添付ファイル開かなきゃ大丈夫」は時代遅れなのか？→有識者の声が続々 - Togetter

対策

暗号化、メッセージ認証コード、デジタル署名

対策の技術^[1]

ハッシュ関数（SHA-2）

公開鍵暗号方式（RSA暗号）

ハイブリッド暗号方式（SSL/TLS）

ディフィ−ヘルマン鍵交換法

MAC（Message Authentication Code）

デジタル署名

デジタル証明書

関連法等

関係法令Q＆Aハンドブック - NISC

Webセキュリティ

IPAが無料で公開しているものが、内容充実しておりおすすめされている。^[2]

安全なウェブサイトの作り方：IPA 独立行政法人 情報処理推進機構

安全なウェブサイトの作り方 （全115ページ、2.16MB）：IPA 独立行政法人 情報処理推進機構

初心者

https://www.itmedia.co.jp/news/articles/2308/09/news091.html

フリーWi-Fi

フリーWi-Fiを使ったら秘密情報を抜かれる経路にはどのようなものがあるか

新規サービス導入検討におけるセキュリティ

「それは、本当に安全なんですか？」　セキュリティ専門家が「GitHub Copilot」の全社一斉導入時に考えたあれこれ - ログミーTech

インシデント

インシデント対応ノウハウ

セキュリティインシデントの発生時にどこまで情報開示すべきか - ZDNET Japan

コンセントを抜く

サイバー攻撃を受けた時「通信ケーブルだけでなく電源ケーブルも引っこ抜く必要がある理由」がまるで攻殻機動隊の世界-Togetter

インシデント実例

重大インシデントとして客観的に判断できるものを掲載する。

AT&T、新たなデータ侵害で“顧客のほぼ全員”の通話記録を盗まれる^[3]

東京海上、6万3千件分の情報漏えいかー令和6年7月11日^[4]

NTTビジネスソリューションズの顧客情報の不正流出について公表資料だけで語る、今回の件のヤバさ「セキュリティ教育資料に最悪の事例として載る」 - Togetter

短縮URLの利用が誤解を生んで、クレジットカード情報の流出につながった例

マイナンバー画像など15万人分漏えいの労務クラウド、クレカ情報も流出していた - ITmedia NEWS

岡山県精神科医療センター　最大4万人分の個人情報流出　サイバー攻撃で｜日テレNEWS NNN

「マジモンの大戦争してたわ」ランサムウェア攻撃に対してサーバーのケーブルを物理的に抜く...ニコニコへのサイバー攻撃と対応の内容が壮絶だった - Togetter

身代金ランサムウェア

英国民保健サービス（NHS）は、英病理検査機関Synnovisがランサムウェア攻撃を受け、患者データがサイバー犯罪グループQilinによって公開されたと発表。攻撃により血液検査システムが使用不能となり、3000件以上の予約や手術が中断。Qilinは約400GBの患者データをダークウェブに公開し、身代金5000万ドルを要求。NHSはデータ検証とシステム復旧に努めていますが、混乱は数カ月続く見通し。^[5]

保守

ソフトウェアのバージョンアップなどを行って常に最新に更新することがとても重要。

情報収集法

国内の情報セキュリティに関連する組織・情報源について

セキュリティの情報は常に更新しないと、すぐに陳腐化するのみならず、かえってリスクとなってしまう。

幸い情報収集の方法についても、参考にできる記事がインターネット上で公開されている。

私のセキュリティ情報収集法を整理してみた（2022年版） - Fox on Security

上記のサイトでも指摘されているように、英語圏の情報にアクセスすることが必須である。

研究

無料で商用利用可能なSQL生成・コーディング・命令フォローなどのエンタープライズタスクに最適化された大規模言語モデル「Snowflake Arctic」が登場 - GIGAZINE

よくある攻撃手法

パスワードがハッシュ値で保存されているサイトのSQLインジェクションによる認証回避の練習問題 - Qiita

PUA（（Potentially Unwanted Application）

不要なソフトウェアの追加インストールやデバイスの設定変更などを行い、ユーザーが承認あるいは想定していない挙動を示すアプリケーション。^[6]

Androidスマートフォンが利用出来なくなるほど、広告が不可をかける。

実際の攻撃例

ロシアのサイバー攻撃グループ「APT29」のクラウド環境への攻撃戦術

米国土安全保障省サイバーセキュリティ・インフラストラクチャーセキュリティ庁(CISA)と英国立サイバーセキュリティセンター(NCSC-UK)がロシアのサイバー攻撃グループ「APT29」のクラウド環境への攻撃戦術を公開。攻撃手法にはブルートフォース攻撃やパスワードスプレー攻撃が含まれ、多要素認証(MFA)をバイパスする試みも報告されている。緩和策として、MFAの使用や強力なパスワードポリシーの実施、最小権限の原則の適用などが推奨されている。^[7]

韓国の造船企業を対象としたサイバー攻撃

韓国の造船企業を対象としたサイバー攻撃についてまとめてみた - piyolog

iPhone等を対象にした例

2023年10月の例

iPhone全モデルと2020年以降のMacからパスワードやメールを盗み出す「iLeakage」が報告される、実際に動作するデモ映像もあり - GIGAZINE

Apple社の開発した中央演算装置に固有のセキュリティリスクが発表された。パスワードを盗まれる可能性があるリスクが、わりと、致命的。

対応策としては、配信されたアップデートを適用することになる。

Mac OSのセキュリティアップデートが発表された。^[8]

なお、広範な機器が影響を受けるため、すでに最新iOSのサポートが終了した機器においても、セキュリティアップデートがアップルから発表されている。^[9]

404ページを対象としたもの

「404 Not Found」ページに悪意のあるコードを埋め込むサイバー攻撃が発見される【やじうまWatch】 - INTERNET Watch

人間だもの

“そうはならんやろコード”はなぜ生まれるのか　セキュリティ専門家・徳丸氏に聞く「脆弱性だらけのWebアプリ」の背景

利用機材の後始末

高機能なモノをわからないまま使うと、それを売るときに困ることがあるそうだ。

サーマルカメラの“顔画像”が流出 まさか残っているなんて… | NHK | デジタルでだまされない

参考