家studyをつづって

IT技術に関することやセキュリティ、ガイドライン等学んだことをつづっていきます。

CMMとIDEAL

CMMとは
CMM(Capability Maturity Model,能力成熟度モデル)は組織の能力成熟度モデルの一つで、システム開発を行う組織がプロセス改善を行うためのガイドラインとなるものです。ソフトウェア工学研究所(SEI)で考案され、主にソフトウェアの開発プロセスを5段階のレベル評価で使用されます。

 

CMMの能力成熟度レベル

  • CMMレベル1「初期(initial)」
    決まった開発手順がなく、組織のメンバー個々の能力次第で品質や生産性が変わる属人的なソフト開発を行っている段階。
  • CMMレベル2「反復できる(repeatable)」
    コスト管理、スケジュール管理等の基本的な管理を実施している段階。
  • CMMレベル3「定義された(defined)」
    組織全体で開発プロセスが標準化・統合化され、成果物が明確に定義されている、高度な段階。
  • CMMレベル4「管理された(managed)」
    組織の進捗状況を常に定量的に監視し、問題が予見されれば直ちに解決する能力を持つ、かなり高度な段階。
  • CMMレベル5「最適化する(optimizing)」
    自発的かつ恒常的に開発プロセスを改善・高度化する能力を持つ、最高の段階。

プロセスの改善を進める上での考え方の一つとして、SEIではIDEALというプロセス改善の方法を提唱しています。

 

IDEALとは
IDEALモデルはプロセス改善を推進する際に具体的な活動内容を計画・定義できるよう、改善活動の典型的なライフサイクルを示したリファレンスモデルです。
「開始」「診断」「確立」「行動」「学習」の5つのフェーズで構成されており、各フェーズの頭文字をとってIDEALモデルと呼ばれています。

f:id:iestudy:20191014003922p:plain

IDEALモデル

各フェーズの概要

  • 開始フェーズ( Initiating )
    開始フェーズとは、プロセス改善の実施に先立ち、改善の動機付けを行い、改善内容の定義や支援体制(組織の上級管理層のスポンサーシップ)・活動体制を確立したうえで、目標設定や計画立案をするフェーズです。
    IDEALモデルでは、各フェイズを繰り返し行うことが前提ですが、開始フェーズは原則として最初に1回だけ実施します。
  • 診断フェーズ( Diagnosing )
    診断フェーズとは、アセスメント(診断)などを実施することにより現状を認識し、プロセスの視点からプロジェクトおよび組織の強い点、弱い点を明確にし、改善対象のプロセスを明確にしたうえで、改善ポイントの提案を実施するフェーズです。
  • 確立フェーズ( Establishing )
    確立フェーズとは、診断フェーズで得られた結果を基に、戦略、優先順位、アプローチを確定し、具体的な改善計画を作成するフェーズです。
  • 実践フェーズ( Acting )
    実践フェーズとは、作成された改善計画に従ってプロセス改善の試行、および適用を実施する。パイロットプロジェクトで改善策を実施、洗練し、成功事例などのプロセス改善活動を組織全体に拡大、定着させるフェーズです。
  • 学習フェーズ( Learning )
    学習フェーズとは、プロセス改善の実施結果について、教訓や意図した改善効果が得られているかなどを分析し、プロセス改善活動をより効果的かつ効率的に実施する方法を提案し、継続的改善を定着させるフェーズです。

参考にさせていただいたサイト

tech.nikkeibp.co.jp

www.nttcom.co.jp

 

tech.nikkeibp.co.jp

 

https://www.juse.or.jp/sqip/workshop/report/attachs/2005/1_b_report.pdf

ア‌ジャ‌イ‌ル‌開‌発‌宣‌言‌と‌は‌ ‌

ア‌ジャ‌イ‌ル‌ソ‌フ‌ト‌ウェ‌ア‌開‌発‌宣‌言‌の‌読‌み‌と‌き‌方‌ ‌
発‌行‌機‌関‌:‌情‌報‌処‌理‌推‌進‌機‌構‌(‌IPA‌)‌ ‌
発‌行‌年‌月‌日‌:‌2018‌年‌4‌月‌ ‌

https://www.ipa.go.jp/files/000065601.pdf‌

 

アジャイル開発とは
アジャイル(agile)は「素早い」や「機敏」という意味があります。
アジャイル開発で使われるアジャイルとは、ソフトウェアの軽量な開発、ソフトウェアを早く、かつ継続的に提供するという意味があります。
ソフトウェア開発に「アジャイル」という概念が取り入れられた背景には、顧客の要望に答えるシステムをできるだけ短い時間でリリースすることによって、顧客のビジネスのスタートを早めようという考え方があります。


アジャイル開発宣言とは

「アジャイル」という概念が誕生するきっかけとなったとなったのは、2001年にアジャイルソフトウェア開発の分野において専門性の高いメンバーが集い行った「アジャイルソフトウェア開発宣言」です。

 

アジャイルソフトウェア開発宣言

私たちは、ソフトウェア開発の実践あるいは実践を手助けをする活動を通じて、よりよい開発方法を見つけだそうとしている。
この活動を通して、私たちは以下の価値に至った。

プロセスやツールよりも個人と対話を、包括的なドキュメントよりも動くソフトウェアを、契約交渉よりも顧客との協調を、計画に従うことよりも変化への対応を、価値とする。すなわち、左記のことがらに価値があることを認めながらも、私たちは右記のことがらにより価値をおく。

 

agilemanifesto.org


「アジャイルソフトウェア開発宣言」はその背後に、「アジャイル宣言の背後にある原則」というものがあります。これは、「アジャイルソフトウェア開発宣言」で表明されているマインドセットを実現するために従うことが望ましい原則、取り組み姿勢が書かれています。

「アジャイルソフトウェア開発宣言の読みとき方」は、「アジャイルソフトウェア開発宣言」および「アジャイル宣言の背後にある原則」の解釈についてまとめた資料です。

補足:マインドセット
マインドセット
mind set
マインドセットとは、経験、教育、先入観などから形成される思考様式、心理状態。暗黙の了解事項、思い込み(パラダイム)、価値観、信念などがこれに含まれる。 

mba.globis.ac.jp

 

「アジャイル宣言の背後にある原則」

IPAの解釈 原文
顧客の満足を求め続ける

「顧客満足を最優先し、価値のあるソフトウェアを早く継続的に提供します。」

“Our highest priority is to satisfy the customer through early and continuous delivery of valuable software.”

要求の本質を見抜き、変更を前向きに

「要求の変更はたとえ開発の後期であっても歓迎します。変化を味方につけることによって、お客様の競争力を引き上げます。」

“Welcome changing requirements, even late in development. Agile processes harness change for the customer's competitive advantage.”

成果物を2-3週間で、リリースし続ける

「動くソフトウェアを、2-3週間から2-3ヶ月というできるだけ短い時間間隔でリリースします。」

“Deliver working software frequently, from a couple of weeks to a couple of months, with a preference to the shorter timescale.”

全員で共通の目標に向かおう

「ビジネス側の人と開発者は、プロジェクトを通して日々一緒に働かなければなりません。」

“Business people and developers must work together daily throughout the project.”

人の意欲は信頼から

「意欲に満ちた人々を集めてプロジェクトを構成します。環境と支援を与え仕事が無事終わるまで彼らを信頼します。」

“Build projects around motivated individuals. Give them the environment and support they need, and trust them to get the job done.”

顧客も開発チームも直接対話で

「情報を伝えるもっとも効率的で効果的な方法はフェイス・トゥ・フェイスで話をすることです。」

“The most efficient and effective method of conveying information to and within a development team is face-to-face conversation.”

進捗も品質も現物で

「動くソフトウェアこそが進捗の最も重要な尺度です。」

“Working software is the primary measure of progress.”

一定のペースでプロジェクトにリズムを

「アジャイル・プロセスは持続可能な開発を促進します。一定のペースを継続的に維持できるようにしなければなりません。」

“Agile process promote sustainable development. The sponsors, developers, and users should be able to maintain a constant pace indefinitely.”

よい技術、よい設計、よい品質の追求

「技術的卓越性と優れた設計に対する不断の注意が機敏さを高めます。」

“Continuous attention to technical excellence and good design enhances agility.”

ムダ=価値を生まない、を探してヤメる

「シンプルさ(ムダなく作れる量を最大限にすること)が本質です。」

“Simplicity--the art of maximizing the amount of work not done--is essential.”

よいモノはよいチームから

「最良のアーキテクチャ・要求・設計は、自己組織的なチームから生み出されます。」

“The best architectures, requirements, and designs emerge from self-organizing teams.”

自分たちのやり方を毎週、調整する

「チームがもっと効率を高めることができるかを定期的に振り返り、それに基づいて自分たちのやり方を最適に調整します。」

“At regular intervals, the team reflects on how to become more effective, then tunes and adjusts its behavior accordingly.”

共連れとアンチパスバック

入室する際に社員証などのICカードをかざしてはいるような施設でたまに、「アンチパスバックエラーです」といわれて部屋から出られない、ということがあります。
これまで聞き流していたアンチパスバックについて調べてみました。

 

アンチパスバックとは
アンチパスバックとは、入室時と退室時にIDカードを用いて認証を行い、入退室を管理する区画において、入室時の認証に用いられなかったIDカードでの退室を許可しない、
又は退室時の認証に用いられなかったIDカードでの再入室を許可しないコントロールを行う仕組みのことをいいます。

f:id:iestudy:20191010221905p:plain

アンチパスバックのイメージ

 

上記のような状態になる理由として、共連れがあります。

 

f:id:iestudy:20191010221947p:plain

共連れのイメージ

参考にさせていただいたサイト

secureinc.co.jp

 

ISMSの入退室管理の記載
ISMSでは、物理的セキュリティとして「A.11.物理的及び環境的セキュリティ」があり、 その中で「A.11.1.2 物理的入退管理策」が定められています。
審査では、「A.11.1.2 物理的入退管理策」として「物理的入退室管理のルールが周知され、守られているか」をチェックが行われます。

 

情報処理試験の問題

アンチパスバックに関してはIPAの情報処理試験にも取り上げらています。

learning.zealseeds.com

 

アンチパスバック以外の共連れ防止策
アンチパスバックで完全に共連れを防止できるわけではありません。
共連れで入室したのと同じように、共連れで退出する、という方法が可能性としてあるためです。

セキュリティゲート
駅の改札口のように、物理的に1人ずつしか通ることのできないセキュリティゲートを設ける手段です。

監視カメラ
エントランスに監視カメラを設置して監視します。この手法は共連れを発見できますが入室を止める手段にはなりません。

インターロックゲート(二重扉)
ドアを二重に設置して、同時の解錠を防ぎ、確実に1人ずつしか通さない仕組みです。

f:id:iestudy:20191010222332p:plain

インターロックゲートのイメージ

locksystem.co.jp

その他 2名照合機能(ツーパーソン機能/ダブル認証機能)
共連れとは逆に、常に2名の認証を求めるシステムもあります。データセンターや開発実験室のような、極めて厳重なセキュリティが要求される施設で設置されます。
正規の入室であっても、1人だと不正な行為を行う危険性が高まります。
それを避けるのがこの機能で、必ず2人で入って2人で出ます。1人を残して1人が退室することはできません。 

 

連邦政府情報システムに対するリスクマネジメントフレームワーク適用ガイド(NIST SP800 37)

連邦政府情報システムに対するリスクマネジメントフレームワーク適用ガイド

発行機関:NIST(IPA訳)
発行年月日:2010年2月

https://www.ipa.go.jp/files/000025329.pdf

 

概要
情報システムに対する脅威には、環境破壊や人的ミス、システムのエラ-、外部からの攻撃があります。情報システムを取り巻く脅威は増大しているため、組織においては自組織で運用するシステムのリスク管理が重要になります。
本ガイドラインでは適切なリスク管理の実施により、情報システムのセキュリティを向上させることを目的として公開されています。リスクマネジメントの実施は組織全体で取り組む必要があり、以下の図のように段階的に取り組むことを示しています。

 

f:id:iestudy:20191009090730p:plain

段階的なリスクマネジメントアプローチのイメージ

第1層
第1層では、組織的観点からリスクに対処します。

  • リスク評価の手法の周知
  • リスクマネジメントを実施する対象の決定
  • 許容するリスクレベルの決定 等


第2層

  • 組織の主要な任務および業務プロセスを定義する
  • 組織の目標と目的に照らし合わせて、各任務および業務プロセスに優先順位をつける 等

第3層
表題にもあるリスクマネジメントフレームワーク(RMF)は第3層で活用します。

 

RMFのステップ

分類
情報システム、およびそのシステムによって処理、格納、および伝送される情報を、影響分析結果に基づいて分類する。

選択
セキュリティ分類結果に基づいて、情報システムに対するベースラインセキュリティ管理策の初期セットを選択する。また、リスク、およびローカルな状況のアセスメント結果に基づいて、必要に応じてセキュリティ管理策ベースラインを調整し、補足する。

実施
セキュリティ管理策を実施する。また、情報システム、およびその運用環境において、セキュリティ管理策をどのように採用するかについて、記述する。

アセスメント
セキュリティ管理策がどの程度正しく導入されているか、どの程度意図した通りに運用されているか、システムのセキュリティ要求事項に対する適合性の観点から所望の結果をどの程度産出しているかを判断するために、適切なアセスメント手順を用いて、セキュリティ管理策をアセスメントする。

運用認可
情報システムの運用から生じる組織の業務や資産、個人、他の組織、および国家に対するリスクを評価し、そのリスクを受容できると判断した場合に、情報システムの運用を認可する。

監視
情報システムに導入されているセキュリティ管理策を継続的に監視する。これには、管理策の有効性の評価、システムまたはその運用環境に対する変更の文書化、関連する変更によるセキュリティ影響の分析、システムのセキュリティ状態の指定された職員への報告が含まれる。

 

f:id:iestudy:20191009091039p:plain

リスクマネジメントのステップ

リスクマネジメントを成功させるには、一貫性を持って実施することが重要になります。リスクマネジメントを実施するのに必要なリソースを割り当てるには、経営層の支援も必要になります。
ガイドラインでは、リスクマネジメントの各ステップにおけるタスクと責任を負うべき役割についてもまとめています。

 

RMF ステップ 1-情報システムの分類

タスク 概要 主な責任を持つ者 補助的な役割
セキュリティ分類 情報システムを分類し、セキュリティ分類の結果をセキュリティ計画に記載する。 情報システムのオーナー、情報のオーナー/スチュワード

リスクエグゼクティブ(機能)

運用認可責任者または指名された代理人

最高情報責任者

上級情報セキュリティ責任者

情報システムセキュリティ責任者

情報システムに関する記述 情報システム(システム境界を含む)について説明し、その内容をセキュリティ計画に記載する。 情報システムのオーナー

運用認可責任者または指名された代理人

上級情報セキュリティ責任者

情報のオーナー/スチュワード

情報システムセキュリティ責任者

情報システムの登録 組織内の適切な計画局/管理局に情報システムを登録する。 情報システムのオーナー 情報システムセキュリティ責任者

 

RMF ステップ 2-セキュリティ管理策の選択

タスク 概要 主な責任を持つ者 補助的な役割
共通管理策の明確化 組織の情報システムに対する共通管理策として組織が提供しているセキュリティ管理策を明確にし、セキュリティ計画(またはそれと同等の文書)に記載する。 最高情報責任者または上級情報セキュリティ責任者、情報セキュリティアーキテクト、共通管理策の提供者

リスクエグゼクティブ(機能)

運用認可責任者または指名された代理人

情報システムのオーナー

情報システムセキュリティエンジニア

セキュリティ管理策の選択 情報システムに導入するセキュリティ管理策を選択し、それらの管理策について、セキュリティ計画に記載する。 情報セキュリティアーキテクト、情報システムのオーナー

運用認可責任者または指名された代理人

情報のオーナー/スチュワード

情報システムセキュリティ責任者

情報システムセキュリティエンジニア

監視戦略 セキュリティ管理策の有効性、ならびに、情報システムおよびシステムの運用環境に対して提案されている、あるいは、実際に実施された変更を継続的に監視するための、戦略を策定する。 情報システムのオーナーまたは共通管理策の提供者

リスクエグゼクティブ(機能)

運用認可責任者または指名された代理人

最高情報責任者

上級情報セキュリティ責任者

情報のオーナー/スチュワード

情報システムセキュリティ責任者

セキュリティ計画の承認 セキュリティ計画をレビューし、承認する。 運用認可責任者または指名された代理人

リスクエグゼクティブ(機能)

最高情報責任者

上級情報セキュリティ責任者

 

RMF ステップ 3-セキュリティ管理策の実施

タスク 概要 主な責任を持つ者 補助的な役割
セキュリティ管理策の実施 セキュリティ計画に記載されているセキュリティ管理策を実施する。 情報システムのオーナーまたは共通管理策の提供者

情報のオーナー/スチュワード

情報システムセキュリティ責任者

情報システムセキュリティエンジニア

セキュリティ管理策の文書化 必要に応じて、セキュリティ管理策の実施について、機能面での記述(予定しているインプット、予想される挙動、および予想されるアウトプットを含む)と併せて、セキュリティ計画に記載する。 情報システムのオーナーまたは共通管理策の提供者

情報のオーナー/スチュワード

情報システムセキュリティ責任者

情報システムセキュリティエンジニア

 

RMF ステップ 4-セキュリティ管理策のアセスメント

タスク 概要 主な責任を持つ者 補助的な役割
アセスメントの準備 セキュリティ管理策のアセスメント計画を策定、レビューし、承認する。 セキュリティ管理策アセサー

運用認可責任者または指名された代理人

最高情報責任者

上級情報セキュリティ責任者

情報システムのオーナーまたは共通管理策の提供者

情報のオーナー/スチュワード

情報システムセキュリティ責任者

セキュリティ管理策のアセスメント セキュリティアセスメント計画に記載されているアセスメント手順に従ってセキュリティ管理策をアセスメントする。 セキュリティ管理策アセサー

情報システムのオーナーまたは共通管理策の提供者

情報のオーナー/スチュワード

情報システムセキュリティ責任者

セキュリティアセスメントレポート セキュリティ管理策のアセスメントを通じて発見された問題、導かれた結論および推奨事項を文書化した、セキュリティアセスメントレポートを用意する。 セキュリティ管理策アセサー

情報システムのオーナーまたは共通管理策の提供者

情報システムセキュリティ責任者

是正活動 セキュリティアセスメントレポートに記載されている結論と推奨事項に基づいて、セキュリティ管理策に対する初期の是正活動を実施し、是正された管理策(複数)を適宜、再アセスメントする。 情報システムのオーナーまたは共通管理策の提供者、セキュリティ管理策アセサー

運用認可責任者または指名された代理人

最高情報責任者

上級情報セキュリティ責任者

情報のオーナー/スチュワード

情報システムセキュリティ責任者

情報システムセキュリティエンジニア

セキュリティ管理策アセサー

 

RMF ステップ 5-情報システムの運用認可

タスク 概要 主な責任を持つ者 補助的な役割
行動計画とマイルストーン セキュリティアセスメントレポートに記載されている結論と推奨事項に基づいて、行動計画とマイルストーンを作成する(ただし、既に実施されたすべての是正活動を除く)。 情報システムのオーナーまたは共通管理策の提供者

情報のオーナー/スチュワード

情報システムセキュリティ責任者

セキュリティ運用認可パッケージ セキュリティ運用認可パッケージをまとめて、運用認可責任者に提出し、裁定を仰ぐ。 情報システムのオーナーまたは共通管理策の提供者

情報システムセキュリティ責任者

セキュリティ管理策アセサー

リスクの判断 組織の業務(任務、機能、イメージ、または評判を含む)、組織の資産、個人、他の組織、または国家に対するリスクを判断する。 運用認可責任者または指名された代理人

リスクエグゼクティブ(機能)

上級情報セキュリティ責任者

リスクの受容 組織の業務、組織の資産、個人、他の組織、または国家に対するリスクが受容できるかどうかを判断する。 運用認可責任者

リスクエグゼクティブ(機能)

運用認可責任者が指名する代理人

上級情報セキュリティ責任者

 

RMF ステップ 6-セキュリティ管理策の監視

タスク 概要 主な責任を持つ者 補助的な役割
情報システムやその運用環境に対する変更 タスク 6-1: 情報システムおよびシステムの運用環境に対して提案されている、あるいは、実際に実施された変更がもたらすセキュリティへの影響を判断する。 情報システムのオーナーまたは共通管理策の提供者

リスクエグゼクティブ(機能)

運用認可責任者または指名された代理人

上級情報セキュリティ責任者

情報のオーナー/スチュワード

情報システムセキュリティ責任者

継続的なセキュリティ管理策アセスメント 組織が定めた監視戦略に従って、情報システムに導入される、または情報システムによって継承される技術面、管理面、および運用面でのセキュリティ管理策の中から選択された、管理策のサブセットをアセスメントする。 セキュリティ管理策アセサー

運用認可責任者または指名された代理人

情報システムのオーナーまたは共通管理策の提供者

情報のオーナー/スチュワード

情報システムセキュリティ責任者

継続的な是正活動 継続的監視活動の結果、リスクアセスメント結果、および行動計画とマイルストーンにリストアップされている重要な項目に基づいて、是正活動を実施する。 情報システムのオーナーまたは共通管理策の提供者

運用認可責任者または指名された代理人

情報のオーナー/スチュワード

情報システムセキュリティ責任者

情報システムセキュリティエンジニア

セキュリティ管理策アセサー

重要な更新 継続的監視プロセスの結果に基づいて、セキュリティ計画、セキュリティアセスメントレポート、および行動計画とマイルストーンを更新する。 情報システムのオーナーまたは共通管理策の提供者

情報のオーナー/スチュワード

情報システムセキュリティ責任者

セキュリティ状況の報告 監視戦略に従って、継続的に、情報システムのセキュリティ状況(情報システムに導入されるセキュリティ管理策、および情報システムによって継承されるセキュリティ管理策の有効性を含む)を運用認可責任者および組織内の他の適切な職員に報告する。 情報システムのオーナーまたは共通管理策の提供者 情報システムセキュリティ責任者
継続的なリスク判断および受容 監視戦略に従って、情報システムのセキュリティ状況に関する報告内容(情報システムに導入される、または情報システムによって継承されるセキュリティ管理策の有効性を含む)を継続的に見直すことによって、組織の業務、組織の資産、個人、他の組織、または国家に対するリスクが、ひきつづき受容可能か否かを判断する。 運用認可責任者

リスクエグゼクティブ(機能)

運用認可責任者が指名する代理人

上級情報セキュリティ責任者

情報システムの切り離しおよび廃止 必要に応じて、情報システムの廃止戦略を実施する。この戦略は、システムがサービスから切り離された時に必要となる活動を実施するためのものである。 情報システムのオーナー

リスクエグゼクティブ(機能)

運用認可責任者が指名する代理人

上級情報セキュリティ責任者、情報のオーナー/スチュワード

情報システムセキュリティ責任者

2019年10月のIT・セキュリティトピック

2019年10月に気になったニュースをまとめます。

記事の投稿日 概要
2019/10/01 「Orifuri」PC用サイトがフィッシングサイトへ誘導される改ざん被害(ハリス)
2019/10/01 店の宣伝スクリーンにポルノ動画、アシックスが謝罪 NZ
2019/10/01 テストラボ環境への不正アクセス報道、社内の調査結果を発表(トレンドマイクロ)
2019/10/01 米ソーシャルゲーム大手Zyngaが不正アクセス被害、約2億件のアカウント情報流出の可能性も
2019/10/01 FONルーター「FON2601E」にオープンリゾルバの脆弱性、意図せずDDoS攻撃に加担してしまう可能性も
2019/10/02 ネットバンキングへ不正アクセスと不正送金確認、対策呼びかけ(沖縄銀行)
2019/10/02 ペネトレーションテスターが業務中に逮捕される、“信じられないほどの不手際が重なった” のか(The Register)
2019/10/02 ソフトバンク、SIMロック即日解除に一部対応 総務省の方針受け
2019/10/02 日本仮想通貨ビジネス協会、セキュリティトークンに関して提言公表 | 開示義務や二次流通市場整備など ...
2019/10/03 ふくおかFG、次世代バンキングシステムをGCPで構築へ--デジタル技術で銀行を“再定義”
2019/10/03 Google、「パスワードチェックアップ」を「Googleアカウント」の機能として追加
2019/10/03 米ヤフー元社員が女性アカウントに侵入、写真や動画を奪う
2019/10/03 セキュリティ大手のComodoが大失態、自社サイトがハッキング被害に遭う
2019/10/03 「Elasticsearch」の脆弱性を狙うアクセスが増加(警察庁)
2019/10/05 米MSにサイバー攻撃 被害も
2019/10/08 Avaya、コンタクトセンター基盤をAzure上で提供へ--Dynamics 365とも連携
2019/10/08 港湾局公開サイトから公序良俗に反する内容を含むサイトへの接続を確認、ドメイン権利期間終了のため(大阪市)
2019/10/08 「Windows 10」セキュリティアップデートに複数の問題が報告される
2019/10/08 FBIが多要素認証を迂回する攻撃について注意喚起
2019/10/08 ブラジルで9200万人の個人情報が流出、闇サイトで販売中
2019/10/08 最大約9万1593人分の個人情報が流出、西京漬専門店「京都一の傳」 セキュリティーコードなど
2019/10/08 ポケGO乗っ取りの男起訴 青森、4万円で不正販売
2019/10/08 バラクーダネットワークスジャパン株式会社:脅威スポットライト:政府のランサムウェア攻撃【メール ...
2019/10/09 旅館業を狙うSQLインジェクション攻撃を多数検知(ラック)
2019/10/09 教職員にフィッシングメール、不正アクセスによる大量の迷惑メール送信(金沢大学)
2019/10/09 「Windows 10 20H1」新プレビュー、PCで「Android」スマホの通話を可能に
2019/10/09 他人名義の“7pay”で不正決済
2019/10/09 「個人情報ばらまかれてるけど大丈夫?」 Twitterで不審なDM報告、新手のスパム手口か URLは開かないで
2019/10/09 富士ソフト---AWSのプログラムで「政府機関コンピテンシー」認定取得、国内初
2019/10/10 「xn--ec-6g4atd0nb.com」利用者のカード情報が流出、7月中旬に漏えい疑いあるも詳細情報得られず(ホビボックス)
2019/10/10 ライブハウス「O-Group」サイトが改ざん被害、閲覧者はウイルス感染の可能性(シブヤテレビジョン)
2019/10/10 「10mois WEBSHOP」への不正アクセス、第二報を発表(フィセル)
2019/10/10 セブンペイ/不正アクセス問題で小林社長退任、後任に水落取締役
2019/10/10 米ウェストバージニア州のブロックチェーン投票アプリでハッキング未遂、FBIが大学生を捜査
2019/10/10 ランサムウェア被害者が攻撃者のDBハック、約3千人分の復号化キー公開

 

2019年上半期セキュリティ動向

トレンドマイクロが、2019年1月から6月にかけてのセキュリティレポートを公開しています。

resources.trendmicro.com

 

2019年上半期の日本国内の攻撃傾向としては、以下の傾向があげられています。

  • ランサムウェア被害から明らかになるネットワーク侵入と内部活動の実態
  • 金銭を狙うAndroid 向け不正アプリの攻撃が顕在化
  • 継続するフィッシング詐欺の中でモバイルからの誘導が増加傾向

また、当該レポートではグローバルでの攻撃傾向もまとめていますが、グローバルにおいてもランサムウェアの脅威についてまとめられています。

 

 

ランサムウェアの脅威(グローバルの脅威レポートより引用)

ランサムウェア名 攻撃経路 拡散手法 その他特徴 被害事例
Clop ADを侵害 RDPを狙った攻撃 検出を回避するために正規のデジタル署名とともに実行ファイルを拡散 韓国での感染が多い?
Dharma スパムメール RDPに対するブルートフォース攻撃 セキュリティソフトのインストールプロセスを使用した撹乱 米テキサス州の病院
NamPoHyu Virus インターネットに露出したSambaサーバを侵害 Sambaサーバに対するブルートフォース攻撃 ファイルサーバを暗号化する 参考
GandCrab スパムメール、エクスプロイトキット、不正広告、改ざんしたWebサイト、インターネットに露出したデータベースの侵害、脆弱性が存在するソフトウェアの悪用 アフィリエイトのカスタマイズにより拡散手法が異なる サービスとしてのランサムウェア(Ronsomware as a Service、RaaS)として提供される 国内でも感染
MongoLock インターネットに露出し、セキュリティが不十分なオープンソースソフトウェアデータベース「MongoDB」を侵害 インターネットに露出し、セキ ュリティが不十分なMongoDB を「Shodan」等のサービスで検索する

ファイルを暗号化せず削除する。

またバックアップのドライブがある場合はそれをフォーマットする

 
Ryuk スパムメール 感染したルータ、「Trickbot」 や「Emotet」、脆弱性 「EternalBlue」 感染したシステムを起動不可にする フロリダの事例
LockerGoga 窃取した認証情報を利用 システム管理ツール、ペネトレ ーションテスト、ハッキングツール等で拡散。正規の認証情報 を使用して検出回避を図る。 感染したシステムのアカウントのパスワードを変更し、システムの再起動を阻止する ノルスク・ハイドロの事例
Nozelesn マルウェアスパム Emotetを利用し、ネットワーク内の他のシステムへ自身を感染させる ファイルレス活動を用いて、ダウンローダ「Nymaim」がランサムウェアをダウンロードする  
RobbinHood セキュリティが不十分なRDPを侵害またはダウンローダ ドメインコントローラ等を侵害 (「Empire」やPowerShell、PsExec を悪用) 固有の鍵を用いて各ファイルを暗号化する メリーランド州の事例
BitPaymer 管理者権限のアカウントを侵害、 バンキングトロジャン「Dridex」 Dridex(ネットワーク情報を窃 取)、サプライチェーン攻撃 、リモートデスクトップの侵害 正規ツールPsExec を悪用  
MegaCortex ドメインコントローラの侵害 名称変更を施したPsExec を介して感染 特定プロセスを無効化する  

 

なお、ランサムウェアに関する攻撃動向は、他のセキュリティベンダーでも報告されています。

 

カスペルスキーのレポート

https://www.kaspersky.co.jp/about/press-releases/2019_vir29082019

 

securityintelligence.com

 

ランサムウェアの感染時にはいろいろな点を確認する必要がありますが、対処の考え方の一つの指標になりそうなチェック項目(案)も公開されています。

https://www.lac.co.jp/service/pdf/digitalforensic_introductory_02.pdf

 

グローバルアドレスの偽装

インターネットに接続する場合はグローバルアドレスが必要になります。自分の端末がインターネットで通信する際に使用するグローバルアドレスを変更(偽装)する方法の一つとして、VPNを使ったものがあります。

VPNbookはフリーで利用可能なVPN接続サービスです。

www.vpnbook.com


VPNbookを使用することで自分のグローバルアドレスを変更(なりすまし/隠ぺい)することができます。

www.youtube.com

 

上記の動画の例では、元のグローバルアドレスから、EU圏内のグローバルアドレスに変更し、Web閲覧ができました。


※調べている過程で、VPNbookの設定にあるポート番号が20000のものは使用しないほうがいいらしい、という話がありました。