情報セキュリティワークショップin越後湯沢2019に行ってきた

こんにちは、ひろかずです。
情報セキュリティワークショップin越後湯沢2019に行ってきたので、一筆書きます。

今年は20回大会
今年はDigital Transformationがテーマです。

台風が近づく中、会場満席
今年も熱気が半端ないですね!

講演1 DXセキュリティの全体像 ~DXセキュリティ検討段階における不都合な真実と処方箋~

NRIセキュアテクノロジーズ株式会社 石井晋也氏

越後湯沢は初めての参加
キャリアとしては、デジタルアイデンティティ(ID管理・認証・認可)から始まって、ID/APIセキュリティを経て、デジタルリスク分析やゼロトラストをやっている

今日のトピック

  • DXで変わるリスク
  • DX推進現場の不都合な真実
  • 我々は、何を、どのように変わらなければならないか?

DXで変わるリスク

デジタル技術の発展でIoTやブロックチェーンなどが生み出されて、それぞれが修練してお祭り騒ぎになっている

デジタル技術のイン・アウト

  • インプット:ヒト・モノ・カネの営み
  • デジタル技術:IoTやAPI、AI、ブロックチェーンなど
  • アウトプット:すべてのじょうほうをデータとして処理して、仕事のやり方を変える

DXとは、デジタル技術を使った変法(伝統的な制度を全面的に改革すること)
日本の投資意欲は旺盛で、2030年までに200兆円の投資が見込まれている

リアルワールドとサイバーワールド

  • リアルワールドの実体(人)
  • サイバーワールドではサイバー世界上の分身

属性の集合:ユーザー識別子、クレデンシャルなど

  • 同一性を証明するもの:クレデンシャル
  • 形質を表明するもの:ユーザー属性
  • 他社との関係を示すもの:サービス利用履歴、関係性・評判

アイデンティティとリレーションシップ

  • 他社との関係を示すものを整理していくと、様々な関係性が見えてくる
  • 権限を移譲してサービスを使うものが増えているので、自分が直接サービスを操作することは減っている

デジタルアイデンティティは、サービス利用・関係性とともに成長している

  • 使うたびに、属性や行動履歴、評判、発言を渡している
  • これらがデジタル空間で人格として組み上げられている

デジタルアイデンティティは、リアルとサイバーをつなぐ架け橋
ここを抑えないと、ミスリードしてしまう

アイデンティティとライフサイクル管理

  • どの情報を渡して、どこと連携しているなどを棚卸しし続ければ、攻撃者に情報を渡すことはない
  • だが、そうも行かなくて、ほころびが見えてきている

アイデンティティによりつながる世界

  • ユーザーとWebサービスをみていれば良いわけではない
  • 攻撃社は、デジタルアイデンティティを狙ってくる

メルセデスのテレマティクスサービスにより、車両リモート操作が可能になる事例

  • 一つのサービスを作ってリリースしても、他と繋ぎ合わさることで、思いがけない結果になることもある

サイバー世界のアカウント停止は、リアルに影響拡大

  • 垢バンされたら様々なリアルサービスが利用できなくなる

Googleトロントスマートシティ構想

  • データドリブンの都市構成要素が動作する
  • ユーザーはパーソナライズされた都市サービスにアクセス
  • Googleアカウントがバンされたら、その街では生活できない

自己主権型、分散型アイデンティティという選択肢

  • IdPは、自身の証明をIdPに依存してしまう
  • 分散台帳に自分の証明書を書き込んでおいて、台帳にある限り、自己を証明できる

プライバシーという新しい課題

  • プライバシーを国際標準とする流れになるのは避けられない
  • アイデンティティは、相手との関係性で複数定義される
  • 自分のアイデンティティを提供して、拡張させてる状況で、見せたくない人に見られてしまう可能性がある
  • プライバシーの尊重とは、個人が保とうとしている関係性を尊重することである

見せたい人に、見せたい部分を見せる

  • スポンサードされている人が、別のメーカーの商品を使っているのを密告される
  • 店にだけ公開を同意したのに、メーカーに流れていってしまう
  • 意識しないと、問題が発生してしまう

プライバシー問題の実例

  • FBアプリの開発企業が個人情報を不当に第三者に提供(漏洩)
  • グローバル ソーシャル リサーチ(性格診断アプリ)で、友達の友達の情報まで抜き取っていた
  • Googleでは、児童の保護者に同意がないまま、情報を取られ、偏向した情報を提供されてしまう

従来なかった前提条件の変化

  • バリューチェーンの複雑化
    • 思わぬ法規制や穴に対する攻撃
  • データ取得活用の進展
    • 勝手に格付けされる

デジタルサービスリスク

  • デジタルとトラスト
    • トラストとは
    • レピュテーション(社会的責任)-> 悪事千里を走る
    • プライバシーは人権保護。セキュリティとは一線を画す

DX推進現場の不都合な真実

決済サービスのセキュリティインシデントが相次ぐ

  • デジタルサービスは、世界
  • SIMプール(猫池)を並べて、RPAを使って、クーポンを刈り取る(クーポン破産)
    • 羊毛党:退路油のアカウントを作って、ポイントを荒稼ぎする(250億円キャンペーンで112億円を稼ぐ)
    • 黄牛党:優待キャンペーンで安く買い集めて、転売しまくる

デジタルサービスリスクの例

  • 他社バリューチェーンやRPAを絡めて攻撃するので、追跡が大変
  • 買い子と売り子
    • コインロッカーをハブに非対面でやり取り

サービス企画者は、これらの脅威やサービスリスクを念頭に設計できるか?

  • サービス企画の段階で、リスクややってはいけないことを織り込まないと実装されない

典型的なインシデント・レスポンスカーブ

  • 発生前に予兆はあった
    • 脆弱性情報や他社事例

デジタルアイデンティティの不正パターンを理解しているか?

  • 専門家を入れるということも考える

サイロに安住していないか?

  • 新しいサービスはバリューチェーンの通過点に過ぎず、ID管理システムや、外部ポイントシステム等を狙われる
  • 新しいサービスだけをアセスメントすれば良いわけではない

我々は、何を、どのように変わらなければならないか?

  • 設計、開発前のリスク評価
    • プラットフォームだけではなく、サービス仕様の穴を探す
    • 表だけではなく、裏のユースケースの存在を知る
    • 類似サービス攻撃、同業企業への攻撃、よそ技術敵な攻撃事例を収集しておく
  • デジタルアイデンティティ専門家の参画
  • セキュリティをプロセスとアーキテクチャに埋め込んでいく
    • セキュリティを埋め込み型にする(個別開発ではない)
  • デジタルリスクを統括する組織組成
    • CSIRTとは別に必要なんじゃないか

SSIRT

  • サービスレイヤーのリスク統制組織を作る
  • 小規模金額の開発でもセキュリティランクは高くなることもある
  • CSIRTの責任範囲は、コーポレートITであるとしたら
    • SSIRTは、顧客資産や社会的責任をスコープにする
  • 経営者の説明責任
    • 7pay問題では、他人事ではない。デジタルアイデンティティはDXの要である

講演2 これまでとこれからのサイバー空間の脅威への対処

警察庁情報通信局情報技術解析課理事官 間仁田裕美氏

警察におけるサイバー空間の脅威への対処

縦割りでサイバー部署が乱立している

  • デジタル・フォレンジック
  • サイバーフォース(インターネットの脅威情報をモニタリング)
  • インターネット定点観測
    • 令1上期では32万件の不審な通信
    • IoT機器23ポートが多い

サイバー空間の脅威の動向

サイバー犯罪

  • 不正アクセス禁止法違反、コンピューター電磁的記録対象犯罪等、その他詐欺や著作権法違反
  • SMSを通じて、モバイルを対象としたフィッシング
    • スミッシング
    • 宅配事業者を騙ったスミッシング
    • 通信事業者を騙ったスミッシング:メッセージの割り込み

インターネットバンキング不正送金の発生状況

  • 今年は低調だったが、直近でバンキングマルウェアやフィッシングが盛り返してきてる

イギリス主要フォレンジック企業におけるランサムウェア

  • 民間に委託してたけど、一部の会社がランサムウェアで業務停止してた

ウクライナ電力会社いおけるサイバー攻撃
アメリカ電力網に対するサイバー攻撃

  • 海外の事例を参考にしないとね

サイバーインテリジェンス

標的型メール攻撃等で、機密情報などを窃取していく

  • 大統領選挙に対するサイバー攻撃
    • 国家に対する脅威になっていく
  • 平昌オリンピックでのサイバー攻撃
    • パートナー企業に対して攻撃が激しかった
    • サプライチェーンリスク
    • 脅威の変遷を意識していく

直近のイベントでの可能性

  • ウィルス感染に拠る業務、サービス停止
  • 不審なアクセスポイントの設置
  • DDoS攻撃

日本にとってのサイバー空間の脅威とは

警察でもわかること、わからないことがある

  • 刑法犯認知件数が、過去最低(ピークは平成14年)
  • サイバー犯罪の検挙件数は、過去最高
  • インターネットバンキングは減ってる
  • クレジットカード不正利用被害は結構増えてる
    • オンラインで摂取されて、オンラインで使われている
    • 昔は、スキミングされて、実店舗で使われていた
    • クレジットカードは、カード会社が保証しているので、警察に行かないケースもある
    • 警察とカード会社と連携して、脅威を認識している
  • フィッシングメール、フィッシングサイトでカード情報を抜かれている
  • ECサイトのフォームジャッキングでもカード情報を抜かれている
    • 改ざんされたサイトから、ニセの決済サイトに飛ばされて、カード情報入力後に正規サイトに飛ばされる
  • キャッシュレスサービスを悪用した犯罪
    • paypayで不正利用
    • 偽アプリでカード情報を抜かれていた
    • SMSの割り込みメールで誘導されており、そこで端末が乗っ取られる
    • 端末を乗っ取っているので、以後の端末認証はクリアされてしまい、どんどんアプリを入れられてしまう
  • ビジネスメール詐欺

IPAの情報セキュリティ10大脅威

  • 警察で分かりにくいこと
    • IoTに対する攻撃
    • カード情報の窃取・不正利用

サイバー脅威にどう対処していくべきであるか?

  • めんどくさいシステムでは、安心安全はやってこない(手書きが一番早くなる)
  • JC3の情報知見の共有スキームを活用するのが良いのかもしれない
    • ダークマーケットや闇市場でカード情報
    • 警察が必要としている情報がわからないのが実情
  • 攻撃者の分担、高度化、有機的国際的組織化
    • それぞれが専門家、アルバイト、指示役と別れている
  • ヨーロッパでは、官民で情報連携して詐欺サイトをテイクダウンしている例もある
  • ALL日本で連携していこう

QA
– JC3では、不審メールの件名や文面を出してもらっていて、助かってる
– なんでそのメールを取り上げたのか、仕組みを教えてほしい
– ボットネットを使って配信されているメールを引っ掛けている

  • 銀行サイトDesignがダサいところはやられる
  • やられた会社ならではのゆるさとか教えてもらえる?
    • 関連の関連の関連からアクセスされた
    • 警察の注意喚起は、実例ベースでやってる
    • 不審者情報もマスクされた結果なので、実際はそんな単純な状況ではない
  • 注意を引くイベントはある?
    • ヒト・モノ・カネが集まるイベントは狙われる
    • 会場も多岐にわたっていて、準備が行き届かない会場もあるので、ちょっと心配している

講演3 DXとサイバー犯罪

西村あさひ法律事務所 弁護士 北條孝佳氏

今回は法律視点重視とのこと
経営者のための情報セキュリティQ&A45発売します

キャッシュレス決済の紹介

プラットフォーマー達によるアカウントを中心にしたサービスが群雄割拠
これからは、ビックデータの売買や、匿名加工サービスやプロファイリングサービス

  • 犯罪への活用も予想される

キャッシュレス決済の方式

  • 前原い:資金移動業、前払式支払手段
  • 即時払い:電子決済代行業、為替取引
  • 後払い:割賦販売法

メリット
事業者

  • 業務効率化
  • オペミスの削減
  • マーケティング
  • 外国人観光客の取り込み

国家

  • Blackmoneyの排除
  • タンス預金の流通促進
  • 脱税防止
    • お金と個人の紐付けが協力になる

消費者

  • 利便性の向上
  • 家計管理の簡易化

事業者の便益が大きいので、消費者保護をもっとやっても良いのでは?

前払式支払手段の場合

  • 自家型が増えている
  • 第三者型は減っている

主な決済事業者

  • かなり乱立している

加盟店登録申請状況

  • 54万店舗
  • 58%が小売業
  • 今はアプリで見れる(データダウンロードが多くて重い。。。

キャッシュレス決済の補償

不正被害の補償

  • 8割が明記なし

主要サービス

  • メルペイ
    • 補償なし(後に改定)
    • ユーザーの故意過失によらず、不正利用が生じた時に、届け出ベースで妥当と判断された際に、不正利用額を限度において補償する
  • d払い
    • 補償なし(後に改定)
    • ユーザーの故意過失によらず、ユーザーの管理不十分もない場合、30日以内に書類を提出した場合、妥当と判断された場合に補償する
  • Line
    • ユーザーの重過失もない場合、遅滞なく書類を提出した場合、10万を限度にに補償する

サービス連携による複雑化

  • どこが被害者で、どれが犯罪行為かの見極めが難しい
  • リスト型アカウントハッキング
    • 不正アクセス禁止法違反
  • 不正チャージ目的のアカウント作成
    • 私電磁式記録不正作出強要罪の可能性
  • クレジットカードに拠る不正チャージ
    • 電子計算機不正使用

ECサイトで不正チャージ電子マネーでの購入

  • 窃盗罪の可能性

対面取引で不正チャージ電子マネーの購入

  • 詐欺罪の可能性

クレカ版後のフィッシング等の不正取得

  • 割賦販売法違反

アカウントのフィッシング+不正利用

  • フィッシング剤+取得(不正アクセス禁止法)

クレジットカード等の不正取得

カード番号を結んだ場合

  • 割賦販売法49条の2
    • 人を欺いてクレジットカード番号等を提供させた者…
  • 2項詐欺罪
    • 押し入り強盗で暗証番号を言わせた(強盗罪成立)
    • ATMの払い戻し前に成立しているけど…
    • 暗証番号そのものの経済的価値はない
    • 払い戻しを受ける地位を得たというところがポイント

クレジットカードの3Dセキュアの情報取得

  • フィッシング罪
  • フィッシングサイトを作るのは無罪?2項未遂?

偽ドメイン問題

世界中で問題になっている

  • Googleはドメインの差し押さえができたけど、日本では無理
  • 自分の会社の偽ドメインを探す
    • 注意喚起するしか無い

ドコモd払いなどのQRコード決済

  • キャリア決済
  • SMSでニセ投稿からのフィッシングサイトへの誘導

ビジネスメール詐欺

  • メールのアカウントを乗っ取る
  • 似たメールアカウントのドメインを作って、請求書を窃取して、銀行の振込先講座番号を書き換える
    • 民法478条 債権の準占有者に対してした弁済は、過失がなかった時に限り効力を有する
    • 電話した?確認した?本当に過失がないと言える?
    • 結局二重払せざるを得ないのではないか

ECサイトの問題

割賦販売法35条の16条1項

  • クレカ情報取り扱い業者は経済産業省令で定める基準に従って…
    • 事故事件の発生を防ぐ対策(PCIDSS)
  • 非保持化をしたサイトでも、サイト開発運用段階での対応が不十分だとリスクがある
    • 定期的な点検や追加的な対策に実施が重要
    • ECサイトの脆弱性対策を行うことは重要(法律で定められているレベル)

クラウドサービス・外部連携の問題

管理用のアクセスキーとシークレットアクセスキーを窃取された

  • 複数のインスタンスが起動されてマイニング
    • 数百万の請求に及ぶ

ユーザー企業の保護

  • すべてユーザー企業の責任?
  • ユーザー企業なセキュアな状態を支援不要?
  • 不正利用を検知して停止できないの?

多要素認証

  • FaceIDの突破
  • 指紋認証をグミで突破
  • SIMスワッピング
  • 銀行APIへの攻撃
  • 外部IDが乗っ取られた

外部サービス連携

  • セキュリティレベルが低いユーザーを排除するところまでしてもいいのでは?

終わりに

普段とは違う視点での切り口で刺激になりました!
また参加したいですね

今日はここまでです。
お疲れ様でした。

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です