第7回北海道セキュリティ勉強会に参加してきた

2011/05/28は第7回北海道セキュリティ勉強会が開催されたので参加してきた。

今回はLACの西本さんデー

サイバー救急センター対応事例と最近の攻撃事例

昨年の予測と結果

• ガンブラーの猛威はまだ続く
  →2010では収束していった
• クラウドとグレーゾーンの話題
  →最近、iPhoneの位置情報保存やDropBoxの脆弱性の問題がでてきた
• クラウドサービスでの事件
  →AmazoneEC2のダウン
• ランサムウェア・スケアウェア
  →日本では発生せず

2010何が起きたか「おさライオン」

• 岡崎図書館
  SIに責任を取らせる空気が無い
• FDDの改ざん事件
  「ふぁっと is this」
  デジタルの証拠の取り扱いのコンセンサスがまだとられていないのでは
• 相撲八百長
• 918事件
• Tomcat上のStrutsの脆弱性をねらったルートキット
• 情報漏えいに関して
  百度で検索（JCB、VISAで検索）
  →自分のサイトを検索して、どう表示されるか見るのもセキュリティ対策
  
  「正当な利用者も攻撃者も接点は検索エンジン」
  「利用者に興味を持たせ、攻撃者に興味を持たせないSEO対策」
  
• 広告サイトが改ざん
  検索サイトからのアクセスでは正常な応答を返す

 

• 古いバージョンJava（JRE）の脆弱性
  社内システムで使用していると最新にバージョンアップできないケースも
• 尖閣ビデオ流出
• 警視庁の情報内部告発
  告発者を支援するネットワークインフラが出来上がっている
• 制御システムへの攻撃
  クローズな環境への侵入と制御を示しデータの持ち出しなどへの可能性を示した
• ソーシャルメディアの威力
  エジプト民主化運動
  日本企業でのソーシャルメディアへの対応
• Web攻撃で株価が動く

IT事件の一般化

• 朝ズバで
• 多くの普通の事件にITが絡んだ

• 取材メディアがストーリーを持っている

震災後のセキュリティ他

2011年、辛卯（かのとう）の年

• 人類史上初めての経験
• 阪神大震災は1995年
  インターネットはまだ普及していない時期だった
• ディズニーランドの4つの行動原則
  安全性・礼節・成果・効率
• パソコンのデータを無償で復旧
  流れたHDDの個人情報の被害届は？
• 漁業もパソコンが無いと作業できない
• 「豊かさの証明と電力」

ソニー事件

ハッカーのType

• A-type：パイオニア
  脆弱性を発見、Jailbraik方法を開発を開発・公開
• B-type：開発者
  仕事を効率よくするなど
• C-type：市民活動
  穏健派、強硬派、部闘派
• D-type：犯罪者
  金銭目的、泥棒、恐喝、インサイダー
• E-type：セキュリティ関係者
  セキュリティ研究者・研究機関・諜報機関

 

• サーバが再起動して気がついた
  →下手を打った？わざとやった？
• ファイルを置いている→金銭目的ではなさそう
• 隔離セキュリティの崩壊
  対策が面倒だから安易な隔離セキュリティ
  →パッチあてられない
  →最新バージョンではない（脆弱性が残っている）
• 経済産業省がソニーに対して「報告の徴収」→「指導」

標的型サイバー攻撃

• ウィルス対策ソフトをかいくぐる
  →ウィルス対策ソフトはウィルスに有効
  →標的型攻撃での不正プログラムはウィルスではない

「ウィルス対策ではない」

• メールは内部に入るための手段でしかない
  →もUSBメモリ、改ざんサイトなど他にも手段はある
• 入った後の対策も必要
  「風邪をひくな、というのはもう無理」
• 江戸時代のセキュリティ方針
  相互監視体制
  入り鉄砲に出女

「入るを図りて出るを制す」

 

「入り鉄砲に出女」の考え方というのは、なかなか勇気がいるというか、もうそういう意識改革が必要になってしまったのかと、ちょっと衝撃だった。

今回はグループディスカッションもあった。初めての体験だったが、なかなか面白かった。何か発言するとなんとなく気持ち良いし。