「本音をぶっちゃけ! 帰ってきたセキュリティ三銃士座談会　―2014年を振り返り、2015年を予測する」に行ってきました。

徳丸さん、根岸さん、辻さんというセキュリティ界隈の大御所達のパネルで大変面白い話が聞けました。

スライドが無く聞きながら記録したので雑な点、表現がおかしな点がありますがメモしました。

・2014年で印象に残ったセキュリティインシデント

徳丸さん
オンラインバンキングに対する一連の不正送金
　- 法人口座が狙われ始めた
　やられると銀行が補填してくれない

辻さん
ddosサービスを利用した高校生が書類送検
　- 800円程度でゲームサイトを落とした
　booterやリザードストレッサーといったDDosサービスで攻撃をした。
　これらのサービスを辻さんはDDos as a Service（DaaS）と呼んでいる。
　海外でもそう呼ばれていることもあるそう。

　- DDos攻撃のサービス
　4.2ドル支払えば1000秒継続（最大サイズ5GB）するDDos攻撃を１週間の間であれば何回でも可能
　もっとお金払うと大きいサイズで送れる。

　検証とかすると上位（回線キャリア）に迷惑かかるのでできない。

　DaaS同士のDDos攻撃のやり合いもある。

　リザードスクワット（XBoxやPSNW落とした集団）もストレッサーを使ってる。
　脆弱な家庭用ルータを踏み台にして攻撃させる。
　対策は回線事業者だけでなく、個人個人もパッチを当てるなり気をつける必要がある。　

根岸さん
400Gbps超えのDDos攻撃
　- NTPを悪用したDDos攻撃
　国内でも10Gbps超えの攻撃は頻繁に起こっており、100Gbps超えもぼちぼち出てくる。
　NTP以外にもSSDPも目立つ。家庭用ルータが狙われることが多い
　キャリアだけでの防御は難しい、家庭用ルータでもパッチやファームアップが必要。

・2014年、世間の注目は浴びなかったが、注意が必要なセキュリティインシデント

徳丸さん
Drupalの脆弱性CVE-2014-3704に対する攻撃
　- Drupalはセキュアと言われていた。
　重要官庁やホワイトハウスで使われている。
　企業でもよく使われているので注意が必要
　利用していることが分かれば簡単に攻撃できる
　Chrome拡張で利用しているサーバとか分かるものがあるので、それでクロールされるとすぐ発見されてしまう。

辻さん
技術評論社のWebサイト改ざん
　- Webサーバの脆弱をつかれた訳でない。
　クラウドサービスのログイン画面を模倣したものに、社員が誤ってログインし管理者ID/パスワードを盗まれて改ざんされた。
　その情報でクラウドサービスにログインされてしまいOSを入れ替えられた。
　
根岸さん
iCloudハッキング
　- 海外セレブの写真が漏えいした。
　Apple（iCloud）の脆弱性と思いきや、実際は被害にあった有名人の情報（ID/パスワード/秘密の質問）を推測してログインされた。
　iCloud2週間後、２要素認証をリリースした。
　2要素認証は利用するべきで、2要素が出来るサイトはクリティカルなサイトが多い。
　2要素認証があることによって利便性を損なわない実装が重要。
　撮影した写真がクラウドにアップされる
　　▶︎誰もがアクセスできる環境に写真があるリスクを忘れない
　便利な物は悪いことする人にも便利なことが多い

2ファクタ認証とは 〔 二要素認証 〕 【 2-factor authentication 】 - 意味/解説/説明/定義 ： IT用語辞典

・2014年の誉めてあげたい人・組織

徳丸さん
技術評論社
　- 詳細な侵入過程包み隠さず公開し、対応が良かった。隠したがる企業は多いはず。

辻さん
金沢市のコンビニ店員
　- コンビニでプリペイド買って裏の番号写真を撮影するような詐欺手口
　大量に買おうとしていたお客さんに「LINE詐欺」じゃないですかと聞いた。未然に防いだ。
　店員の判断でやったことが評価
　技術でなんとかしようと思いがち。意外にコストがかかったりする。
　このような人でできるものもあることを忘れてはいけない。

根岸さん
Edward Snowden氏
　-まだまだ情報のリークが続いている。日本では関心が薄い。
　　インターネットを利用している方が関心をもつことが沢山あるのでもっと注目されてもいい

　無関心でも無関係ではない。
　　海底ケーブルもタッピングされており、日本からの通信も流れており、関心は無いけど
　　自分の通信が流れている（関係）かもしれない。

・2014年 思い出に残るミスリード（取り上げられ方が違うよねって感じのこと）

徳丸さん
脆弱性に対する過剰反応
　- ゴールデンウイークIEの脆弱性
　テレビでIE使わない方がいいとアドバイス（別のブラウザを使えばいいのではという意味で）
　　▶︎世間ではインターネットが危ないのでは？と言う形でとらわれてしまった。
　　　またyahooやめてgoogleであればいい？なんてのも出てきた。
　利用者のことも考えて発言すべきだった。

　- 脆弱性に慣れる必要がある。
　極められた対処方法を淡々とこなせばよい
　名前がつくと俄然大事になりがち

　- shellshock
　基本パッチは当てる。
　　▶︎イントラなら当てなくていいでしょ？
　　　何とかして当てない方法を模索している
　ソフトバンクさんの見解がベスト
　影響は無いけど、１ヶ月後の定期メンテナンスで当てる（ソフトバンクさん）

bashに存在する脆弱性 「Shellshock」 | トレンドマイクロ セキュリティブログ

辻さん
脆弱性のあたり年報道 or Gmailアドレスとパスワードが約500万漏えい
　- メディアがあおり過ぎ（緊急とか危険）。更に伝言ゲームでおかしくなる。
　淡々と対応する手順
　緊急かどうかの判断フロー

　- Ghost発見者の最後に攻撃が難しいことやapacheだとかのメジャーソフト影響無いと書いてある。

Linuxに存在する脆弱性「GHOST」、システム管理者は落ち着いて対処を | トレンドマイクロ セキュリティブログ

根岸さん
模倣サイトに関する注意喚起（3s3s）
　匿名プロキシサイト、害はあるかもしれないが本来の使い方では有害ではないのに取り上げられてしまった。
　適切な判断が必要
　　▶右に習えではいけない

　3s3s.orgにいくと利用方法が書いてある。

プロキシサービスの3s3s.org、公的機関や企業から模倣サイト扱いされる | スラッシュドット・ジャパン セキュリティ

・是正したい世間の勘違い

徳丸さん
パスワード認証に主な脅威は外部からの総当たり攻撃である
　- 総当たり攻撃の話でパスワード8桁では足りなくて12桁とか必要とか言われてる。
　ちゃんとすれば６桁でも問題ないパスワードができる

辻さん
無線lanは暗号化されていれば安全
　- フリーのwifiが多くなってくると思われる。
　空港会社提供のwifiは平文。そういうものと思っている。平文危なくないのか？
　　▶︎では暗号化していれば大丈夫か？
　　　wpa、wpa2　暗号化するための鍵が同じ
　　　みんなで同じ暗号を使っているので戻すこと可能
　- 偽のアクセスポイントの可能性
　よく勉強会とかで貼ってあるID、パスワード同じもののAP使ってると抜かれる
　可能性ある（その勉強会会場が提供しているか検証はできない）
　　▶︎radiusとかあれば…
　
　- 重要な通信は公衆lanではやらない自己防衛。
　極論使わないってことも…
　企業であれば会社経由でのVPN。個人であれば自分のモバイルルータとかを利用推奨。
　お金に関わる通信はフリーwifi経由では行わない

根岸さん
暗号化しているクラウドサービスは安全（データ保管、パスワード管理）
　- プライバシーに関わる者は共有クラウドストレージに置くな（スノーデン氏）
　暗号化していてもサービス提供事業者は戻すこと可能
　ユーザー側で暗号化しているから安心していい訳ではない

　- パスワード管理サービスのマスターパスワード鍵はどこでどうやって管理しているのか
　物によってはマスターパスワード（複合鍵）をサーバに送っているサービスもあるよう
　　▶︎難しいかもしれないが自分で調べてそのようなサービスは利用しない

・ベンダー/パートナー選びのポイント

徳丸さん
お客様の課題を十分に理解して、課題に即した提案ができるか
　- セキュリティベンダは自分の意見だけ言うのが多い傾向がある。
　課題に則した提案をしてくれるベンダがよい。

　- あるセキュリティベンダのセミナーでの話
　事前にWAFを入れておくことがプロアクティブな対応。◀︎ はっ？これ如何なものか…

辻さん
一緒に悩んでくれるか否か。
　- 人生相談みたいなケースもある。
　データセンタに行ったらスクリーンセーバーに「人間らしい生活がしたい」ってww
　セキュリティ提案は簡単に答えが出るものではない。
　一方的にあおって自分とこの製品を売りつけるようなのはダメ。
　答えがすぐに出ないこともある。時間をかけて一緒に決めるようなとこ。

根岸さん
インシデントの際に相談できるか、信頼できる情報をいち早くつかんでくれるか
　- 何か分からないことがあったら聞けるベンダ。
　脆弱性に関して的確なアドバイス（すぐ対処すべき、世間が騒いでるだけ等）をはっきり言ってくれるところ
　
　やるべきこと＋α　あったら嬉しいだろうなという情報、プロアクティブな対応策の情報提供が出来るベンダ（辻さん）

・2015年の予測、注目ポイント

徳丸さん
パスワードに対する洗練された攻撃
　- 以前は最初から一気にサーバ攻撃してきてて、ゆっくりやればいいのにと思っていたらそんな攻撃が出てきた。
　githubはゆっくりパスワードアタックされた。
　現在はそういう攻撃が起きている。

根岸さん
カジュアルかつ大規模なDDos攻撃
　- DDos攻撃の規模や攻撃方法が拡大してきている。
　DDos攻撃させさないのは無理なので、どうやってうまくかわすか。
　大きなイベント（W杯、オリンピック）はDDos攻撃が盛んになる傾向
　大きなイベントに向けて強靭なインフラを作る

辻さん
2014年までに出来上がった下地の活用
　金銭被害に繋がった物が後半多かった、前半はその準備だと思う。ログインされて終わり、個人情報見るだけ等。
　リスト型攻撃が減り始めた頃、大手２社宅配業者がやられた。
　ネコの宅配業者：ポイントためても金銭に変えれない。ポイント使って抽選権利獲得。金銭メリットが全くない。
　にも関わらず狙われた。
　宅配業者への情報提供は自宅の情報は正しいものを必ず入れる。

　リスト型攻撃はメール、パスワードの組み合わせが多い。
　電話番号もある。
　この辺りの情報目当てで宅配業者が狙われたのでは。
　そこで得た情報が活用される年かと思う。

　攻撃側もツールの共有している（根岸さん）
　
　日本以外からのアクセスを遮断しても攻撃者は日本にプロキシ置く。
　▶︎攻撃側もプロアクティブ

Q＆A

徳丸さんへの質問

@ikepyon J-LISのモデルプランでは「これこれの脆弱性がないこと」と要求していて、その上で、脆弱性検査をすること、開発ガイドラインを提示すること、セキュリティ保証期間（想定5年）内に当該脆弱性が発覚した場合は無償修補を要求しています

— 徳丸　浩 (@ockeghem) February 10, 2015

webシステムのRFPにどうか書けばよいか。
　現状はいろいろな方が手探りで行っている

　主流の考え方は２つ。
　　発注者側がSQLインジェクション対策としてSQL文やプレースホルダを使う等、発注者側が細かい指示を出す。

※最後のQ＆Aは聞き取れない部分があり中途半端ですいません。