セキュリティの問題を調べる

セキュリティの問題を調べる

ネットワークでの攻撃

ある日会社のネットワークで攻撃があり、突然アクセスできなくなる、会社の機密情報が漏洩する、システムが動かなくなり、大きな機会損失を生む、そんなニュースをいつも見かけると思います。このような問題が起きないようにするためには、どのようにして情報を収集し、予防をすればいいのでしょうか?

私も情報システム監査人ではありますがこの問いに答える十分な知見はありません。そこで伊藤忠商事の上級セキュリティー検査官の佐藤元彦さんお話を伺いました。

以下は彼から教えていただいた内容です。

このような情報については、ここのウェブサイトや検索エンジンを調べればわかる、というものではありません。
システム全体での攻撃や問題を引き起こす可能性があることを脆弱性、その問題をついてシステムの破壊や進入を試みることを攻撃と言います。

脆弱性はさまざまなところに潜んでいます。ソフトウェアだったりOSだったりパソコンやサーバ、ネットワーク機器、あらゆるところに脆弱性がある可能性は潜んでいます。

そのため脆弱性を見つけるにはここを見ればいいというウェブサイトは存在しません。

一方で脆弱性があっても必ず問題になるとは限りません。その脆弱性がシステムの障害や進入につながるような攻撃を受ける可能性がなければ攻撃を受けない、というわけです。

脆弱性の情報の見つけ方

脆弱性の情報を見つけるのに一番使われるのはtwitterです。

CVEで検索すると脆弱性の情報を暗号アルゴリズムの組み合わせである暗号スイートから見つけだすことができます。CVEとはCommon Vulnerabilities and Exposures(共通脆弱性識別子)の頭文字で、CVE-2022-44268は2022年に見つかった脆弱性の連番です。この情報はhttps://cve.mitre.org/に掲載されますが、膨大な数のため問題になりそうな脆弱性はtwitter上で「cve」「cve-2023」「cve-2022」などのキーワード検索によって発見できます。

次に、この脆弱性をつかった攻撃が起きているかどうかを調べます。攻撃がおきていなければ気にする必要なはないからです。攻撃の形跡を見つけたら、その攻撃が自社のサーバーに仕掛けらえていないか調べます。セキュリティ業界では一般的にハニーポッドと呼ばれる、あえて攻撃しやすいようなサーバーをネットワーク上に起き、攻撃を受けやすくすることで、自社を標的とした攻撃を判別するためにつくったサーバの攻撃履歴などを調べます。それで攻撃を受けているようであれば、これは対策をしなければならない、と考えます。

このように日々脆弱性は発見され、その脆弱性を利用した攻撃は起きています。しかしそのような攻撃ではなくても、一般の人は発信した情報がどのように利用され探索されるかの認識が甘いようです。

たとえば投稿した写真でも、Google Lensを使えばその写真から位置情報を拾えるので自宅や会社の特定に利用できます。Google Lensではわからなくても、その太陽の位置や周囲に書かれている文字情報から位置情報を洗い出すことも容易です。また転職活動などで履歴書を提出する時、会社ではなく個人のメアドを使うことも多いと思いますが、そのメアドからソーシャルメディアのハンドルネームを割り出すこともよく行われます。メールアドレス内にハンドルネームに使用している文字列がある場合、Handlefinderというツールを使えば、そのような文字列からあらゆるソーシャルメディアでの行動履歴や投稿内容を見ることができ、隠してるつもりの個人でのソーシャルメディアでの投稿が明るみになることもあります。発信した情報は必ず自分の特定に利用されるという意識を持つ必要があります。

そして、企業や個人のセキュリティ対策の甘さは、クラッカーによる情報収集とその情報を利用した身代金の要求などに利用されます。ダークウェブでは、多くの企業の機密情報や個人情報が身代金の要求とともに「この期限までに振り込まなければ情報を公開する」として並んでいます。ダークウェブでは発信元を割り出すことは不可能です。さらにTelegramなどの個人特定不可能なメッセンジャーをつかって企業とはやりとりをします。暗号通貨での取引をすることで、取引の口座から個人特定することも不可能です。こうやって膨大な機密情報や個人情報は売買されています。

このように取引された個人情報は、ダークウェブなどを使って容易に購入することができます。

このような情報は鍵と鍵師の関係ににています。セキュリティの情報を知れば、クラッキングの手口を知ることになります。モラルのない人が知れば、その情報を悪用します。実際にダークウェブではさまざまな企業のクラッキング手法のテクニックが販売されています。

だからこのような情報をセキュリティの専門家が簡単に人に教えることはありません。教えれば、攻撃者は自分の手口がバレていることがわかり、さらに隠蔽をしようとするからです。

守る方法を知れば攻撃する方法を知ることにつながります。そしてそのような情報は誰にでも検索できる場所にはありません。そしてそのような手法を知るためにはセキュリティの専門家の集うカンファレンスでオフラインのセミナーやワークショップで、信頼できる人にのみ共有されます。

私たちがインターネットで誰でも簡単に調べられる環境の裏側には、限られた人しか知らない危険な情報もあるということを覚えておいた方が良いでしょう。そして個人や機密情報の取り扱いには注意が必要です。

——
最新のネットワークセキュリティについてDiscordで情報交換をしています。
以下リンクで参加できます。
https://discord.gg/BpWWtyS9kB

——

【2023年6月30日出版予定】ずるい検索 賢い人は、「調べ方」を知っている 

グーグルに、ただキーワードを入れて検索していないだろうか。そこで出てくる情報は、正しいとは限らない。求める情報になかなかたどり着けないこともある。そしてそれは、誰にでも集めることのできる情報だ。キーワード検索だけでは、人並み以上の仕事はできない。ネットの発展により、情報が溢れる時代。ビジネスにおける情報の重要性はどんどん増す一方で、正しい情報を知ることはかえって難しくなっている。その中で、目的とする情報を効率的に得る技術が、ビジネスの実力を決める。本書では、ウェブ解析のプロが、正しく効率的に情報を集めるための方法をわかりやすく解説。自分の仕事に合わせて必要なテクニックをすぐに身に付けることができる。

【予約注文はこちらから】https://amzn.asia/d/6Dqib0l