こんにちは、ひろかずです。
情報セキュリティワークショップin越後湯沢2019に行ってきたので、一筆書きます。
今年は20回大会
今年はDigital Transformationがテーマです。
台風が近づく中、会場満席
今年も熱気が半端ないですね!
講演1 DXセキュリティの全体像 ~DXセキュリティ検討段階における不都合な真実と処方箋~
NRIセキュアテクノロジーズ株式会社 石井晋也氏
越後湯沢は初めての参加
キャリアとしては、デジタルアイデンティティ(ID管理・認証・認可)から始まって、ID/APIセキュリティを経て、デジタルリスク分析やゼロトラストをやっている
今日のトピック
- DXで変わるリスク
- DX推進現場の不都合な真実
- 我々は、何を、どのように変わらなければならないか?
DXで変わるリスク
デジタル技術の発展でIoTやブロックチェーンなどが生み出されて、それぞれが修練してお祭り騒ぎになっている
デジタル技術のイン・アウト
- インプット:ヒト・モノ・カネの営み
- デジタル技術:IoTやAPI、AI、ブロックチェーンなど
- アウトプット:すべてのじょうほうをデータとして処理して、仕事のやり方を変える
DXとは、デジタル技術を使った変法(伝統的な制度を全面的に改革すること)
日本の投資意欲は旺盛で、2030年までに200兆円の投資が見込まれている
リアルワールドとサイバーワールド
- リアルワールドの実体(人)
- サイバーワールドではサイバー世界上の分身
属性の集合:ユーザー識別子、クレデンシャルなど
- 同一性を証明するもの:クレデンシャル
- 形質を表明するもの:ユーザー属性
- 他社との関係を示すもの:サービス利用履歴、関係性・評判
アイデンティティとリレーションシップ
- 他社との関係を示すものを整理していくと、様々な関係性が見えてくる
- 権限を移譲してサービスを使うものが増えているので、自分が直接サービスを操作することは減っている
デジタルアイデンティティは、サービス利用・関係性とともに成長している
- 使うたびに、属性や行動履歴、評判、発言を渡している
- これらがデジタル空間で人格として組み上げられている
デジタルアイデンティティは、リアルとサイバーをつなぐ架け橋
ここを抑えないと、ミスリードしてしまう
アイデンティティとライフサイクル管理
- どの情報を渡して、どこと連携しているなどを棚卸しし続ければ、攻撃者に情報を渡すことはない
- だが、そうも行かなくて、ほころびが見えてきている
アイデンティティによりつながる世界
- ユーザーとWebサービスをみていれば良いわけではない
- 攻撃社は、デジタルアイデンティティを狙ってくる
メルセデスのテレマティクスサービスにより、車両リモート操作が可能になる事例
- 一つのサービスを作ってリリースしても、他と繋ぎ合わさることで、思いがけない結果になることもある
サイバー世界のアカウント停止は、リアルに影響拡大
- 垢バンされたら様々なリアルサービスが利用できなくなる
Googleトロントスマートシティ構想
- データドリブンの都市構成要素が動作する
- ユーザーはパーソナライズされた都市サービスにアクセス
- Googleアカウントがバンされたら、その街では生活できない
自己主権型、分散型アイデンティティという選択肢
- IdPは、自身の証明をIdPに依存してしまう
- 分散台帳に自分の証明書を書き込んでおいて、台帳にある限り、自己を証明できる
プライバシーという新しい課題
- プライバシーを国際標準とする流れになるのは避けられない
- アイデンティティは、相手との関係性で複数定義される
- 自分のアイデンティティを提供して、拡張させてる状況で、見せたくない人に見られてしまう可能性がある
- プライバシーの尊重とは、個人が保とうとしている関係性を尊重することである
見せたい人に、見せたい部分を見せる
- スポンサードされている人が、別のメーカーの商品を使っているのを密告される
- 店にだけ公開を同意したのに、メーカーに流れていってしまう
- 意識しないと、問題が発生してしまう
プライバシー問題の実例
- FBアプリの開発企業が個人情報を不当に第三者に提供(漏洩)
- グローバル ソーシャル リサーチ(性格診断アプリ)で、友達の友達の情報まで抜き取っていた
- Googleでは、児童の保護者に同意がないまま、情報を取られ、偏向した情報を提供されてしまう
従来なかった前提条件の変化
- バリューチェーンの複雑化
- 思わぬ法規制や穴に対する攻撃
- データ取得活用の進展
- 勝手に格付けされる
デジタルサービスリスク
- デジタルとトラスト
- トラストとは
- レピュテーション(社会的責任)-> 悪事千里を走る
- プライバシーは人権保護。セキュリティとは一線を画す
DX推進現場の不都合な真実
決済サービスのセキュリティインシデントが相次ぐ
- デジタルサービスは、世界
- SIMプール(猫池)を並べて、RPAを使って、クーポンを刈り取る(クーポン破産)
- 羊毛党:退路油のアカウントを作って、ポイントを荒稼ぎする(250億円キャンペーンで112億円を稼ぐ)
- 黄牛党:優待キャンペーンで安く買い集めて、転売しまくる
デジタルサービスリスクの例
- 他社バリューチェーンやRPAを絡めて攻撃するので、追跡が大変
- 買い子と売り子
- コインロッカーをハブに非対面でやり取り
サービス企画者は、これらの脅威やサービスリスクを念頭に設計できるか?
- サービス企画の段階で、リスクややってはいけないことを織り込まないと実装されない
典型的なインシデント・レスポンスカーブ
- 発生前に予兆はあった
- 脆弱性情報や他社事例
デジタルアイデンティティの不正パターンを理解しているか?
- 専門家を入れるということも考える
サイロに安住していないか?
- 新しいサービスはバリューチェーンの通過点に過ぎず、ID管理システムや、外部ポイントシステム等を狙われる
- 新しいサービスだけをアセスメントすれば良いわけではない
我々は、何を、どのように変わらなければならないか?
- 設計、開発前のリスク評価
- プラットフォームだけではなく、サービス仕様の穴を探す
- 表だけではなく、裏のユースケースの存在を知る
- 類似サービス攻撃、同業企業への攻撃、よそ技術敵な攻撃事例を収集しておく
- デジタルアイデンティティ専門家の参画
- セキュリティをプロセスとアーキテクチャに埋め込んでいく
- セキュリティを埋め込み型にする(個別開発ではない)
- デジタルリスクを統括する組織組成
- CSIRTとは別に必要なんじゃないか
SSIRT
- サービスレイヤーのリスク統制組織を作る
- 小規模金額の開発でもセキュリティランクは高くなることもある
- CSIRTの責任範囲は、コーポレートITであるとしたら
- SSIRTは、顧客資産や社会的責任をスコープにする
- 経営者の説明責任
- 7pay問題では、他人事ではない。デジタルアイデンティティはDXの要である
講演2 これまでとこれからのサイバー空間の脅威への対処
警察庁情報通信局情報技術解析課理事官 間仁田裕美氏
警察におけるサイバー空間の脅威への対処
縦割りでサイバー部署が乱立している
- デジタル・フォレンジック
- サイバーフォース(インターネットの脅威情報をモニタリング)
- インターネット定点観測
- 令1上期では32万件の不審な通信
- IoT機器23ポートが多い
サイバー空間の脅威の動向
サイバー犯罪
- 不正アクセス禁止法違反、コンピューター電磁的記録対象犯罪等、その他詐欺や著作権法違反
- SMSを通じて、モバイルを対象としたフィッシング
- スミッシング
- 宅配事業者を騙ったスミッシング
- 通信事業者を騙ったスミッシング:メッセージの割り込み
インターネットバンキング不正送金の発生状況
- 今年は低調だったが、直近でバンキングマルウェアやフィッシングが盛り返してきてる
イギリス主要フォレンジック企業におけるランサムウェア
- 民間に委託してたけど、一部の会社がランサムウェアで業務停止してた
ウクライナ電力会社いおけるサイバー攻撃
アメリカ電力網に対するサイバー攻撃
- 海外の事例を参考にしないとね
サイバーインテリジェンス
標的型メール攻撃等で、機密情報などを窃取していく
- 大統領選挙に対するサイバー攻撃
- 国家に対する脅威になっていく
- 平昌オリンピックでのサイバー攻撃
- パートナー企業に対して攻撃が激しかった
- サプライチェーンリスク
- 脅威の変遷を意識していく
直近のイベントでの可能性
- ウィルス感染に拠る業務、サービス停止
- 不審なアクセスポイントの設置
- DDoS攻撃
日本にとってのサイバー空間の脅威とは
警察でもわかること、わからないことがある
- 刑法犯認知件数が、過去最低(ピークは平成14年)
- サイバー犯罪の検挙件数は、過去最高
- インターネットバンキングは減ってる
- クレジットカード不正利用被害は結構増えてる
- オンラインで摂取されて、オンラインで使われている
- 昔は、スキミングされて、実店舗で使われていた
- クレジットカードは、カード会社が保証しているので、警察に行かないケースもある
- 警察とカード会社と連携して、脅威を認識している
- フィッシングメール、フィッシングサイトでカード情報を抜かれている
- ECサイトのフォームジャッキングでもカード情報を抜かれている
- 改ざんされたサイトから、ニセの決済サイトに飛ばされて、カード情報入力後に正規サイトに飛ばされる
- キャッシュレスサービスを悪用した犯罪
- paypayで不正利用
- 偽アプリでカード情報を抜かれていた
- SMSの割り込みメールで誘導されており、そこで端末が乗っ取られる
- 端末を乗っ取っているので、以後の端末認証はクリアされてしまい、どんどんアプリを入れられてしまう
- ビジネスメール詐欺
IPAの情報セキュリティ10大脅威
- 警察で分かりにくいこと
- IoTに対する攻撃
- カード情報の窃取・不正利用
サイバー脅威にどう対処していくべきであるか?
- めんどくさいシステムでは、安心安全はやってこない(手書きが一番早くなる)
- JC3の情報知見の共有スキームを活用するのが良いのかもしれない
- ダークマーケットや闇市場でカード情報
- 警察が必要としている情報がわからないのが実情
- 攻撃者の分担、高度化、有機的国際的組織化
- それぞれが専門家、アルバイト、指示役と別れている
- ヨーロッパでは、官民で情報連携して詐欺サイトをテイクダウンしている例もある
- ALL日本で連携していこう
QA
- JC3では、不審メールの件名や文面を出してもらっていて、助かってる
- なんでそのメールを取り上げたのか、仕組みを教えてほしい
- ボットネットを使って配信されているメールを引っ掛けている
- 銀行サイトDesignがダサいところはやられる
- やられた会社ならではのゆるさとか教えてもらえる?
- 関連の関連の関連からアクセスされた
- 警察の注意喚起は、実例ベースでやってる
- 不審者情報もマスクされた結果なので、実際はそんな単純な状況ではない
- 注意を引くイベントはある?
- ヒト・モノ・カネが集まるイベントは狙われる
- 会場も多岐にわたっていて、準備が行き届かない会場もあるので、ちょっと心配している
講演3 DXとサイバー犯罪
西村あさひ法律事務所 弁護士 北條孝佳氏
今回は法律視点重視とのこと
経営者のための情報セキュリティQ&A45発売します
キャッシュレス決済の紹介
プラットフォーマー達によるアカウントを中心にしたサービスが群雄割拠
これからは、ビックデータの売買や、匿名加工サービスやプロファイリングサービス
- 犯罪への活用も予想される
キャッシュレス決済の方式
- 前原い:資金移動業、前払式支払手段
- 即時払い:電子決済代行業、為替取引
- 後払い:割賦販売法
メリット
事業者
- 業務効率化
- オペミスの削減
- マーケティング
- 外国人観光客の取り込み
国家
- Blackmoneyの排除
- タンス預金の流通促進
- 脱税防止
- お金と個人の紐付けが協力になる
消費者
- 利便性の向上
- 家計管理の簡易化
事業者の便益が大きいので、消費者保護をもっとやっても良いのでは?
前払式支払手段の場合
- 自家型が増えている
- 第三者型は減っている
主な決済事業者
- かなり乱立している
加盟店登録申請状況
- 54万店舗
- 58%が小売業
- 今はアプリで見れる(データダウンロードが多くて重い。。。
キャッシュレス決済の補償
不正被害の補償
- 8割が明記なし
主要サービス
- メルペイ
- 補償なし(後に改定)
- ユーザーの故意過失によらず、不正利用が生じた時に、届け出ベースで妥当と判断された際に、不正利用額を限度において補償する
- d払い
- 補償なし(後に改定)
- ユーザーの故意過失によらず、ユーザーの管理不十分もない場合、30日以内に書類を提出した場合、妥当と判断された場合に補償する
- Line
- ユーザーの重過失もない場合、遅滞なく書類を提出した場合、10万を限度にに補償する
サービス連携による複雑化
- どこが被害者で、どれが犯罪行為かの見極めが難しい
- リスト型アカウントハッキング
- 不正アクセス禁止法違反
- 不正チャージ目的のアカウント作成
- 私電磁式記録不正作出強要罪の可能性
- クレジットカードに拠る不正チャージ
- 電子計算機不正使用
ECサイトで不正チャージ電子マネーでの購入
- 窃盗罪の可能性
対面取引で不正チャージ電子マネーの購入
- 詐欺罪の可能性
クレカ版後のフィッシング等の不正取得
- 割賦販売法違反
アカウントのフィッシング+不正利用
- フィッシング剤+取得(不正アクセス禁止法)
クレジットカード等の不正取得
カード番号を結んだ場合
- 割賦販売法49条の2
- 人を欺いてクレジットカード番号等を提供させた者...
- 2項詐欺罪
- 押し入り強盗で暗証番号を言わせた(強盗罪成立)
- ATMの払い戻し前に成立しているけど...
- 暗証番号そのものの経済的価値はない
- 払い戻しを受ける地位を得たというところがポイント
クレジットカードの3Dセキュアの情報取得
- フィッシング罪
- フィッシングサイトを作るのは無罪?2項未遂?
偽ドメイン問題
世界中で問題になっている
- Googleはドメインの差し押さえができたけど、日本では無理
- 自分の会社の偽ドメインを探す
- 注意喚起するしか無い
ドコモd払いなどのQRコード決済
- キャリア決済
- SMSでニセ投稿からのフィッシングサイトへの誘導
ビジネスメール詐欺
- メールのアカウントを乗っ取る
- 似たメールアカウントのドメインを作って、請求書を窃取して、銀行の振込先講座番号を書き換える
- 民法478条 債権の準占有者に対してした弁済は、過失がなかった時に限り効力を有する
- 電話した?確認した?本当に過失がないと言える?
- 結局二重払せざるを得ないのではないか
ECサイトの問題
割賦販売法35条の16条1項
- クレカ情報取り扱い業者は経済産業省令で定める基準に従って...
- 事故事件の発生を防ぐ対策(PCIDSS)
- 非保持化をしたサイトでも、サイト開発運用段階での対応が不十分だとリスクがある
- 定期的な点検や追加的な対策に実施が重要
- ECサイトの脆弱性対策を行うことは重要(法律で定められているレベル)
クラウドサービス・外部連携の問題
管理用のアクセスキーとシークレットアクセスキーを窃取された
- 複数のインスタンスが起動されてマイニング
- 数百万の請求に及ぶ
ユーザー企業の保護
- すべてユーザー企業の責任?
- ユーザー企業なセキュアな状態を支援不要?
- 不正利用を検知して停止できないの?
多要素認証
- FaceIDの突破
- 指紋認証をグミで突破
- SIMスワッピング
- 銀行APIへの攻撃
- 外部IDが乗っ取られた
外部サービス連携
- セキュリティレベルが低いユーザーを排除するところまでしてもいいのでは?
終わりに
普段とは違う視点での切り口で刺激になりました!
また参加したいですね
今日はここまでです。
お疲れ様でした。