何だね君はぁ!「ども、重苦しい自粛の雰囲気を吹き飛ばす高校生カップル、二次元殺法コンビですよ!何しろ 2 次元カップルは、デートしても存在がバーチャルだから、どんなに濃厚接触しても感染が広がることはありません!」今回は長年の課題であるパスワードについて徹底的に説明します。もうね、長すぎて三部作になったよ。
● 2019 プレイバック!! 2019 ってそんな昔だっけ?
久しぶりなので、冒頭にちょいとサービス。IPA とか JNSA などで 10 大脅威とか 10 大ニュースとか 10 大インシデントとか、年初によく見かけたと思う。でも、2019 年を振り返ってみれば、SMS を使用した不正送金は急増したけど、サイバーセキュリティに大きな被害は少なかった。G20 サミットを狙ったサイバー攻撃も、ラグビー W 杯を狙ったサイバー攻撃も、大した攻撃は無かった。台風による災害や交通事故、殺人事件など凄惨な被害や事件が多かった中で、令和元年の祝賀ムードを壊したくなくって、国民は One Team となってラグビー日本代表の活躍だけを見つめた年末だった。
おっと、1 年前の三菱電機、NEC、神戸製鋼所、パスコの防衛産業を狙った不正アクセスは、防衛に関わるような極端に機密性の高い情報を扱う企業以外は、参考にしなくていいぞ。攻撃側に大きなメリットが無い限り、費用対効果から考えて高度で執拗な攻撃は、中小企業はもちろん多くの大企業でも関係無い。攻撃者だって、ビジネスや国の仕事でやっているんだ、無駄働きはしない。
情報漏洩でいうなら、宅ふぁいる便 480 万件、神奈川県庁のHDD、このどちらも、漏洩した当事者の管理はあまりにずさんで、高度で執拗なサイバー攻撃なんかじゃない。
ビットポイントの仮想通貨流出については事件の真相が明らかではない。トヨタ紡織の子会社と楽天が被害にあったビジネス詐欺は・・・別にサイバーに区分しなくても構わないんじゃない? 普通の詐欺でしょう。
サイバー攻撃らしくて、対策しないと防げなかった事例は、7Pay と Emotet くらいじゃないか。先進的な対策として注目された脅威インテリジェンスとか、脅威ハンティングとか、Red Team とか、2019年サイバー事件簿には、あんまり役に立たないんじゃなくなくねぇか。唯一、まぁ EDR だけが Emotet に役立ちそうだけど…。
という訳で、2020 年コラムを書いている最中も、状況がコロコロ変わる。ロンドン オリンピックを狙ったサイバー攻撃は 2 億回! なんてパワーワードも簡単に吹っ飛んだ。こういう余力が無い時ほど、基本に立ち返ろう。やらなければいけないことは何だ。体力的に弱っているところには、少しの上乗せでも大きなダメージになる。よくいうラストストロー、「我慢強いラクダの背中を壊すのは最後の一本の藁」ということわざもある。CSIRT は今こそ考えに考え抜いて、必要な対策が足りているかを見極める時だ。
筆者は、基本的にパッチ適用とパスワード管理が適切に行われていれば、換金性の高いインターネット・バンキングや仮想通貨関連企業、クレジットカード情報を扱う EC サイト以外は、そうそうはインシデントは起きないと考えている。そもそも情報漏洩を防ぐ目的は、個人情報や取引先といったお客様の情報は、取り返しがつかないから守るんだ。自社の機密情報なんて、研究や特許といった知的財産と、企業買収などインサイダーに絡むレベルの営業機密以外は、漏れても結構どうでもいい。リスク分析で万が一とか考えていくと、リスクはどんどん膨らんでいくし、どこの部署の担当者に聞いても、自分の部署の情報は最重要情報だと言うよ。「この中で情報漏洩したことの無い会社だけが、まず、この会社に石を投げなさい」
● 2019 プレイバック!! 2019 ってそんな昔だっけ?
久しぶりなので、冒頭にちょいとサービス。IPA とか JNSA などで 10 大脅威とか 10 大ニュースとか 10 大インシデントとか、年初によく見かけたと思う。でも、2019 年を振り返ってみれば、SMS を使用した不正送金は急増したけど、サイバーセキュリティに大きな被害は少なかった。G20 サミットを狙ったサイバー攻撃も、ラグビー W 杯を狙ったサイバー攻撃も、大した攻撃は無かった。台風による災害や交通事故、殺人事件など凄惨な被害や事件が多かった中で、令和元年の祝賀ムードを壊したくなくって、国民は One Team となってラグビー日本代表の活躍だけを見つめた年末だった。
おっと、1 年前の三菱電機、NEC、神戸製鋼所、パスコの防衛産業を狙った不正アクセスは、防衛に関わるような極端に機密性の高い情報を扱う企業以外は、参考にしなくていいぞ。攻撃側に大きなメリットが無い限り、費用対効果から考えて高度で執拗な攻撃は、中小企業はもちろん多くの大企業でも関係無い。攻撃者だって、ビジネスや国の仕事でやっているんだ、無駄働きはしない。
情報漏洩でいうなら、宅ふぁいる便 480 万件、神奈川県庁のHDD、このどちらも、漏洩した当事者の管理はあまりにずさんで、高度で執拗なサイバー攻撃なんかじゃない。
ビットポイントの仮想通貨流出については事件の真相が明らかではない。トヨタ紡織の子会社と楽天が被害にあったビジネス詐欺は・・・別にサイバーに区分しなくても構わないんじゃない? 普通の詐欺でしょう。
サイバー攻撃らしくて、対策しないと防げなかった事例は、7Pay と Emotet くらいじゃないか。先進的な対策として注目された脅威インテリジェンスとか、脅威ハンティングとか、Red Team とか、2019年サイバー事件簿には、あんまり役に立たないんじゃなくなくねぇか。唯一、まぁ EDR だけが Emotet に役立ちそうだけど…。
という訳で、2020 年コラムを書いている最中も、状況がコロコロ変わる。ロンドン オリンピックを狙ったサイバー攻撃は 2 億回! なんてパワーワードも簡単に吹っ飛んだ。こういう余力が無い時ほど、基本に立ち返ろう。やらなければいけないことは何だ。体力的に弱っているところには、少しの上乗せでも大きなダメージになる。よくいうラストストロー、「我慢強いラクダの背中を壊すのは最後の一本の藁」ということわざもある。CSIRT は今こそ考えに考え抜いて、必要な対策が足りているかを見極める時だ。
筆者は、基本的にパッチ適用とパスワード管理が適切に行われていれば、換金性の高いインターネット・バンキングや仮想通貨関連企業、クレジットカード情報を扱う EC サイト以外は、そうそうはインシデントは起きないと考えている。そもそも情報漏洩を防ぐ目的は、個人情報や取引先といったお客様の情報は、取り返しがつかないから守るんだ。自社の機密情報なんて、研究や特許といった知的財産と、企業買収などインサイダーに絡むレベルの営業機密以外は、漏れても結構どうでもいい。リスク分析で万が一とか考えていくと、リスクはどんどん膨らんでいくし、どこの部署の担当者に聞いても、自分の部署の情報は最重要情報だと言うよ。「この中で情報漏洩したことの無い会社だけが、まず、この会社に石を投げなさい」
![[配信予告] CSIRTの終焉? 平成最後のリスクテイク、桜の名所であの純愛カップルが撮影敢行 画像](/imgs/p/VBQCg88_AM0-DSZSF4-0dQsJwAfOBQQDAgEA/27120.jpg)
