ここが変だよ日本のセキュリティ 第41回 「これでパスワードの不安はパッと消えますよ!」(前編) | ScanNetSecurity
2020.08.12(水)

ここが変だよ日本のセキュリティ 第41回 「これでパスワードの不安はパッと消えますよ!」(前編)

そう、営業トークに不安を煽られてはいけない。自分で考えるんだ。それは本当に必要な対策か?むしろ大事なことは、基本的な対策でありながら、多くの組織ではできていないここと、パッチ適用とパスワード管理問題だろう。

国際 TheRegister
写真:2020年7月17日開催のScanNetSecurity編集長就任10周年オンライン飲み会の練習に余念がない2次元殺法コンビ先生
写真:2020年7月17日開催のScanNetSecurity編集長就任10周年オンライン飲み会の練習に余念がない2次元殺法コンビ先生 全 1 枚 拡大写真
 何だね君はぁ!「ども、重苦しい自粛の雰囲気を吹き飛ばす高校生カップル、二次元殺法コンビですよ!何しろ 2 次元カップルは、デートしても存在がバーチャルだから、どんなに濃厚接触しても感染が広がることはありません!」今回は長年の課題であるパスワードについて徹底的に説明します。もうね、長すぎて三部作になったよ。

● 2019 プレイバック!! 2019 ってそんな昔だっけ?

 久しぶりなので、冒頭にちょいとサービス。IPA とか JNSA などで 10 大脅威とか 10 大ニュースとか 10 大インシデントとか、年初によく見かけたと思う。でも、2019 年を振り返ってみれば、SMS を使用した不正送金は急増したけど、サイバーセキュリティに大きな被害は少なかった。G20 サミットを狙ったサイバー攻撃も、ラグビー W 杯を狙ったサイバー攻撃も、大した攻撃は無かった。台風による災害や交通事故、殺人事件など凄惨な被害や事件が多かった中で、令和元年の祝賀ムードを壊したくなくって、国民は One Team となってラグビー日本代表の活躍だけを見つめた年末だった。

 おっと、1 年前の三菱電機、NEC、神戸製鋼所、パスコの防衛産業を狙った不正アクセスは、防衛に関わるような極端に機密性の高い情報を扱う企業以外は、参考にしなくていいぞ。攻撃側に大きなメリットが無い限り、費用対効果から考えて高度で執拗な攻撃は、中小企業はもちろん多くの大企業でも関係無い。攻撃者だって、ビジネスや国の仕事でやっているんだ、無駄働きはしない

 情報漏洩でいうなら、宅ふぁいる便 480 万件、神奈川県庁のHDD、このどちらも、漏洩した当事者の管理はあまりにずさんで、高度で執拗なサイバー攻撃なんかじゃない。

 ビットポイントの仮想通貨流出については事件の真相が明らかではない。トヨタ紡織の子会社と楽天が被害にあったビジネス詐欺は・・・別にサイバーに区分しなくても構わないんじゃない? 普通の詐欺でしょう

 サイバー攻撃らしくて、対策しないと防げなかった事例は、7Pay と Emotet くらいじゃないか。先進的な対策として注目された脅威インテリジェンスとか、脅威ハンティングとか、Red Team とか、2019年サイバー事件簿には、あんまり役に立たないんじゃなくなくねぇか。唯一、まぁ EDR だけが Emotet に役立ちそうだけど…。

 という訳で、2020 年コラムを書いている最中も、状況がコロコロ変わる。ロンドン オリンピックを狙ったサイバー攻撃は 2 億回! なんてパワーワードも簡単に吹っ飛んだ。こういう余力が無い時ほど、基本に立ち返ろう。やらなければいけないことは何だ。体力的に弱っているところには、少しの上乗せでも大きなダメージになる。よくいうラストストロー、「我慢強いラクダの背中を壊すのは最後の一本の藁」ということわざもある。CSIRT は今こそ考えに考え抜いて、必要な対策が足りているかを見極める時だ。

 筆者は、基本的にパッチ適用とパスワード管理が適切に行われていれば、換金性の高いインターネット・バンキングや仮想通貨関連企業、クレジットカード情報を扱う EC サイト以外は、そうそうはインシデントは起きないと考えている。そもそも情報漏洩を防ぐ目的は、個人情報や取引先といったお客様の情報は、取り返しがつかないから守るんだ。自社の機密情報なんて、研究や特許といった知的財産と、企業買収などインサイダーに絡むレベルの営業機密以外は、漏れても結構どうでもいい。リスク分析で万が一とか考えていくと、リスクはどんどん膨らんでいくし、どこの部署の担当者に聞いても、自分の部署の情報は最重要情報だと言うよ。「この中で情報漏洩したことの無い会社だけが、まず、この会社に石を投げなさい」

《2次元殺法コンビ》

関連記事

この記事の写真

/
PageTop

特集

アクセスランキング

  1. やけど虫の駆除方法、体液が皮膚に付いてしまった場合の対策について

    やけど虫の駆除方法、体液が皮膚に付いてしまった場合の対策について

  2. IDの登録情報システムに不具合、最大38万件が別ユーザーに上書きされる(ヤフー)

    IDの登録情報システムに不具合、最大38万件が別ユーザーに上書きされる(ヤフー)

  3. 決済サービス用コンピュータに不正アクセスし決済情報を偽る、21歳男性を逮捕(三重県警察)

    決済サービス用コンピュータに不正アクセスし決済情報を偽る、21歳男性を逮捕(三重県警察)

  4. 11拠点のパソコンがEmotet感染、なりすましメールを送信(ネッツトヨタ静岡)

    11拠点のパソコンがEmotet感染、なりすましメールを送信(ネッツトヨタ静岡)

  5. iPhoneに不審なカレンダーなどが表示される報告が相次ぐ(IPA)

    iPhoneに不審なカレンダーなどが表示される報告が相次ぐ(IPA)

  6. 不正なログインによりパスワードを無効化したとするAmazon偽メール(フィッシング対策協議会)

    不正なログインによりパスワードを無効化したとするAmazon偽メール(フィッシング対策協議会)

  7. 「アカウントを更新できなかった」とする偽Amazonメール(フィッシング対策協議会)

    「アカウントを更新できなかった」とする偽Amazonメール(フィッシング対策協議会)

  8. 「ゼロトラストNW」「SASE」新規追加、2020年版ハイプサイクル(ガートナー ジャパン)

    「ゼロトラストNW」「SASE」新規追加、2020年版ハイプサイクル(ガートナー ジャパン)

  9. 職員のアカウントを踏み台に1,733名に不審メール送信(LINK-J)

    職員のアカウントを踏み台に1,733名に不審メール送信(LINK-J)

  10. サイバー犯罪の検挙件数、2019年は9,542件に(警察庁)

    サイバー犯罪の検挙件数、2019年は9,542件に(警察庁)

ランキングをもっと見る