エフセキュアブログ

トランプ政権のサイバーセキュリティ政策

2017年1月20日にドナルド・トランプ氏が大統領に正式就任し、約2ヶ月が経過したが、トランプ政権でのサイバーセキュリティ政策は一体どのようなものになるのだろうか? じつはサイバーセキュリティ政策についての大統領令は、すでにドラフトが上がっている。(PDF)

簡単にまとめた分析によると、この政策は、まず軍・インテリジェンス機関を含む各省でのセキュリティ対策状況を監査レビューし、現在は各省ごとに行なわれているサイバーセキュリティ対策をホワイトハウスの予算管理の元に横断的に一本化するといったもので、また学校で教えるサイバーセキュリティについて国防省と国土安全保障省がレビューするという項目もあるようだ。

とはいえ、トランプ政権のサイバーセキュリティ担当として選ばれたのはその分野の経験があるとは思えないルドルフ・ジュリアーニ元ニューヨーク市長であり、また2月中旬にサンフランシスコで開催されたRSAコンファレンスにはトランプ政権からは誰も顔をだしていないなど、トランプ政権のサイバーセキュリティに対しての本気度を疑問視する声もある。

さらに2月19日にはトランプ氏のウェブサイトがイラクのハッカーにより侵入され書き換えられるなど、トランプ氏自身でサイバーセキュリティ問題を経験することになったようだ。

また、トランプ氏は以前から使っているAndroidスマートフォンを大統領就任後も手放さず毎日Twitter投稿に明け暮れているが、この電話機もいつハッキング攻撃の対象に狙われてもおかしくない。

もし実際に政府レベルでのサイバーセキュリティのインシデントが起きた場合にトランプ政権が対応できるのかについても厳しい見方がある。さらに、スノウデンによるNSAのサーベイランス・プログラムが多数暴露された際によく公聴会に呼び出されていたDirector of National Intelligenceだったジェームズ・クラッパー氏は1月末で任期が切れているのだ。しかし少なくともクラッパー氏はサイバーセキュリティ脅威を通常のテロリズムより重視していたので、そのような問題の理解者がいないまま大統領令を出したところで、現実的に何ができるのだろうか。

さらに現在のトランプ政権の動きは、サイバーセキュリティだけでなく各種プライバシー情報を含むパーソナルデータの保護にも大きな影響を与えると思われる。トランプ政権が選んだFCC(連邦通信委員会)の委員長アジット・ペイ氏はテレコム企業出身で、ネット中立性に反対を唱えてきた人物だからだ。それを後押しするように、3月22日、共和党が多数派を占める米議会上院は、たった数カ月前の2016年10月にオバマ前政権のもとで成立したブロードバンドのプライバシー保護規則を撤回する決議を、50対48で可決したのだ。これにより、ISPやモバイルインターネット通信事業者が、運営するネットワークを流れる利用者のデータを、利用者の同意なしにマーケティング企業などに売ることができるようになるのだ。これは、EUで成立したパーソナルデータ保護法制度の「EU General Data Protection Regulation」と、さらに2018年に同時に施行予定の「EU ePrivacy Regulation」とも対立しうるはずで、そのため2016年に成立したEUとアメリカの間でのパーソナルデータ移動を認める合意である「EU US Privacy Shield」合意が反故になる可能性があると思われる。



実際のところ、トランプ政権のホワイトハウスは日に日に混迷状況をあらわにしているように見える。

当初の政権人事として国家安全保障担当大統領補佐官に選ばれたマイケル・フリン氏は、就任前に駐米ロシア大使と対ロシア制裁措置について協議した件が明るみに出たため、早くも辞任した。じつはドナルド・トランプ氏は大統領選挙前から、ロシアの犯罪組織のボスから工面してもらった金で破産を免れたといった話題が流れるなど、ロシアとの関係に疑惑が持たれている。

また選挙中からトランプ候補の戦略を担当していたスティーブン・バノン氏が大統領主席戦略官として政権参加した上、さらにトランブ氏により国家安全保障会議(NSC)へのメンバーとして選ばれたことが発表されると大きな波紋を呼んだ。バノン氏はトランプ氏の選挙戦略を担当する以前は、Alt Rightと呼ばれる新興右翼勢力のメディア「Breitbart」ニュースの元会長で白人至上主義や排外主義のヘイト記事を多数執筆していた人物であり、政府機能の経験はまったく持っていない。そして一部ではトランプ政権を裏ですべて操っているのはバノン氏であるとすら噂されている。

さらにこの選択では、今までの政権では国家安全保障会議に通常参加していたインテリジェンス機関の代表になるDirector of National Intelligence担当者と、軍の代表になるJoint Chief of Staff担当者を外した上で、トランプ氏はバノン氏を選んだ。インテリジェンス機関代表と軍の代表の参加しない国家安全保障会議は前代未聞といえるし、実際それで有事に際して何か有効な決定を行えるのかはまるで疑問だ。マイケル・マレン元統合参謀本部議長などもこのバノン氏の採用を激しく非難した。

またトランプ政権に失望したという声は、就任後すぐにCIAなどのインテリジェンス機関からも聞こえてきた。

そしてついに2月24日には、ホワイトハウス内部の報道官室での記者会見からCNN、BBC、AFP、New York Times、Los Angeles Timesなどの主要メディアを締め出すなど、トランプ政権はおよそ独裁政権しか行わないような行動に出た。

そしてトランプ氏が公の場での演説やTwitterへの投稿で繰り返す、感情のアップダウンの激しい見境のない不適切な言動は問題となりつつある。大統領に職務遂行能力がない場合の手続きを定めた合衆国憲法修正第25条第4項を使って政権内クーデターを起こしてトランプ氏を追い出し、元副大統領のマイク・ペンス氏が大統領代理を執務するという憶測すら既にでている。

アメリカメディア調査での3月のトランプ大統領の支持率は新たな最低レベルの更新で36%と言われ、現在のところは当面トランプ政権の行方は予測しても不透明なままとしか思えない。

Rakuten Global CISO Summit

 みなんさん、こんにちは。Rakuten-CERTの福本です。
 先日、楽天初のRakuten Global CISO Summitを開催しました。今回はそのイベントの共有をしたいと思います。実は昨年、楽天グループ全社においてCISOの任命を義務づける新たなポリシーを策定し、本社CISO及び子会社CISOを数十名任命しました。これは楽天グループの重要なディレクションで、セキュリティガバナンスの強化は経営課題であり、そして僕らのセキュリティが次のステージに向かっていることを意味しています。そして、今回、全てのCISOが集まり、Rakuten Group CISO communityをスタートさせることが出来ました。このイベントを通じて楽天グループ全体のセキュリティにとっての大事な一歩が踏み出せたのかなと思います。
summit_logoDSC_8251DSC_8249fukumoto

 2日間の盛り沢山のセッションで構成されたCISOサミットですが、豪華なゲストスピーカーにもご登壇頂きました。OWASPでも有名なTobias GondromさんとJerry Hoffさんからは大変参考になる最新のセキュリティトピックやセキュリティマネジメントに関するお話を頂き、また、3人でパネルディスカッションも出来て、とても刺激的なセッションになりました。また、各社CISOからの最新の取り組みやチャレンジを共有してもらったり、セキュリティ改善のアクションアイテムを決めるワークショップを実施したり、CISO向けのセキュリティトレーニングセッションを提供したり、大変実りの多いイベントになったと思います。
 
P2090288P2090241booth3workshop

 最後に、CISOという仕事には相当な覚悟がいるかなと思います。No upside, nobody will do it for you, your responsibility. その覚悟を背負って、組織のセキュリティのためにリーダーシップを発揮するということは並大抵な事ではないと思います。何を大義名分にしてCISO業務を邁進するか。本気でセキュリティをやる上で、そこは大事なポイントだと思います。

THE FIGHT AGAINST CYBERCRIME

 みなさん、こんにちは。Rakuten-CERTの福本です。
ちょっと前の話です。今年6月の韓国でのFISRTカンファレンスで、とある方と情報交換をしてある気づきを得たのですが、今日はその話をしたいと思います。

 近年、僕らはインターネットセキュリティ対策に関する業務よりも、サイバー犯罪対応の業務のウェイトの方が多くなっているという事実を真剣に考えないといけません。実際、楽天でもその傾向が顕著に出ています。昨年末の沖縄のCyber3 Conferenceでインターポールの中谷さんも仰ってましたが、犯罪がフィジカルからインターネットに大きくシフトしています。中谷さんいわく、イギリスの(物理的な)銀行強盗は1992年に800件ほどあったそうですが、2014年には88件に減少したとのことです。一方で金融被害は飛躍的に増えていると。命をかけて刃物や拳銃で銀行を襲うよりも、国をまたいだインターネット経由の犯罪行為(不正送金マルウェアとか)の方が犯罪者としてはより安全なわけですから。

 楽天も、これまでの常識を遥かに超える数、いわゆるリスト型アカウントハッキングによる不正ログイン試行を観測しており、そのため楽天では数年前にサイバー犯罪対策室を設置し、不正ログイン試行や不正利用モニタリング、そして警察への対応を強化していて、サイバー犯罪の犯人逮捕にも惜しみない協力をしています。サイバー犯罪担当の警察官の研修受け入れについても、来年も積極的に実施する予定です。これまでは犯人逮捕というアクションはあまり力を入れてこなかったのですが、今は事情が全く逆です。警察側もサイバー犯罪は無視する事が出来ないものとなりかなり力が入っています。では、犯罪の温床を叩く意味について、2014年11月の中継サーバー業者の逮捕後の楽天での不正ログイン試行の状況を見てみましょう。(すいません、実数は非公開で・・)

login

 実際、不正業者の逮捕後は攻撃は激減しました。

 インターネットサービス企業において、セキュリティ技術や対策プロセス、人材育成と教育、という基本的なアプローチだけではもはや守りきれなく、事後対応能力も高めなくてはなりません。(注:プロアクティブセキュリティはきちんとやるのは大前提で)CSIRTの活動を通じた外部組織とのインシデント対応力だけではなく、犯人を追いつめて犯罪行為を牽制する力も必要です。何もしなければ犯罪し放題ですから。ですので、渉外対応やスレットインテリジェンス、Fraud分析あたりはこれから重要なキーワードになると思います。ちなみにSGR2016ではそのあたりのお話をさせて頂きました。

 また、最近では楽天を装った偽サイトは6000件、楽天を装ったフィッシングメールもかなり増えています。これらは別に新しい攻撃というわけではなく昔からあるユーザーを狙った金銭目的のサイバー犯罪ですが、激しさを増しているところに違いがあります。既にやっているユーザーへの啓発や注意喚起だけでは限界があり、大事なユーザーをどう守っていくか、それが今後のインターネットサービスの発展にとって重要な事であり、また業界全体で取り組む必要がある大きな課題なのかなと思います。さらに言うとこれがIoTの発展に伴ってサイバー犯罪は大きな問題となるはずで(特にランサムウェアはお金になりそうでやばい)、犯罪者にやりたい放題されないよう、インターネットの向こう側にいる犯罪者と戦っていかないといけないと、僕は思うのです。   

QuickPost: さらなる拡大を予感させるMirai Botnetの攻撃インフラ網

Mirai IoT Botnet に手を加えたと推測されるマルウェアが話題に挙っています。
攻撃を受けた際のログやマルウェアの検体解析などから、Miraiのソースコードを改造し、Metasploit moduleを組み込んだものとみられています。
すぐに根本的な対応ができるわけではありませんが、IoT機器を悪用した攻撃が本格化してきたなぁ、といった印象がありますね。

 (参考)

また、これらの動きに拍車を掛けそうなのが、ダークウェブでのレンタルBotnetサービス動きです。以前からこれらのサービスは確認はされていましたが、今回の一件でより人気(?)がでるかもしれません。そうなりますと、一般的なところではDDoS攻撃による脅迫行為の増加などが容易に想像ができますので、新たなサイバーギャングらが新たに登場するのでしょう。サイバー空間内の脅威が次代へ移り変わっていることをヒシヒシと感じられますね。


rent_iotbot

しばらく目が離せない脅威であるとともに、攻撃を受けた際の対応を改めて考えさせられる一件であるように思います。

ではでは。





未来のチカラ

 みなさん、こんにちは。Rakuten-CERTの福本です。
 世界的にセキュリティ人材が不足と言われている昨今、需給バランスの改善にはセキュリティ人材教育プログラムの充実、セキュリティ対策プロセスの標準化がますます重要になってくるかと思います。そんな背景もあり、楽天は昨年、産学連携のひとつのきっかけ作りとして東工大とセキュリティキャンプでの集中合宿を実施したのですが、そのセキュリティイベントは今年から東工大大学院の特別専門学修プログラムのコア科目であるサイバーセキュリティ攻撃・防御第二となりました。

  楽天株式会社は、オフィシャルに東工大のサイバーセキュリティ特別専門学修プログラムに協力しています。
 

123
こちらは会場の様子。某合宿会場にて、授業にも熱が入る。

4
夜も教授部屋に集まって、ヒントをもらいながらハンズオントレーニングの課題を解く学生たち。

 今年はWebサイトへの攻撃メカニズムを理解するためのハンズオントレーニングがメインでしたが、来年はセキュアコーディングなどディフェンス側のトレーニングコンテンツも充実出来ればと思います。(そしてその先はインシデント分析、ハンドリングまで将来的に拡張したい)最後合宿が終わって、多くの学生さんから楽しかったと言ってもらえてほんとうれしかったですし、また東工大の担当教員の方々からも多大なご支援を頂き、本当にありがとうございました。まだスタートしたばかりですが、継続することによっていつかこの活動がインターネットセキュリティを支える力となることを願っています。







マルウェアの歴史: CODE RED(コードレッド)

15年前(5479日前)の7月19日、Code Redが感染拡大のピークを迎えた。悪名高いコンピューターワームCode Redは、Microsoft Internet Information Server(IIS)の脆弱性を悪用して感染を拡げた 。

感染したサーバには、以下のメッセージが表示された。

検出ロジックの現状はどうなっているか

検出ロジックは、最新のエンドポイント保護ソフトウェアにおけるさまざまなメカニズムによって使用されている。また、サイバーセキュリティ業界では、多くの別の名前でも知られている。セキュリティ業界で「マルウェア」と呼んでいるものが、一般には、「ウイルス」という言葉で呼ばれている(技術的に言えば、「ウイルス」とは、別のプログラム、データファイル、またはブートセクタに自身のコピーを作成することによって拡散するプログラムを指す)のと同様に、検出ロジックは、「シグネチャ」から「フィンガープリント」、「パターン」、「IOC」まで、さまざまな呼び方をされてきた。誰かがウイルスの話をしていると思ったら、本当はマルウェアについての話だったということがよくある。そして、誰かがシグニチャの話をしていると思ったら、実は検出ロジックについての話だったということもたびたびある。もっとも、80年代や90年代に用いられたシンプルな検出ロジックが話題になっていたのだとしたら、話は別なのだが。
当社、エフセキュアでは、「detection logic(検出ロジック)」のことを、単に「detections(検出)」と言うこともよくある。 
バックナンバー
セキュリティ関連リンク
セキュリティ機関

政府関連

セキュリティ関連団体

研究機関・大学
詳細カテゴリ
メディア関係者の皆様へ
エフセキュアブログメンバー
エフセキュアブログメンバー
ミッコ・ヒッポネン
エフセキュア CRO(セキュリティ研究所主席研究員)(ヘルシンキ)
(Twitterアカウント)
(研究所Twitter)
ショーン・サリバン
エフセキュア セキュリティ・アドバイザー(ヘルシンキ)
(Twitterアカウント)
高間 剛典
メタ・アソシエイツ代表
(公式ブログ)
(Twitterアカウント)
星澤 裕二
株式会社セキュアブレイン 最高技術責任者
(公式ブログ)
(人物紹介)
岩井 博樹
デロイト トーマツ リスクサービス株式会社 (〜2013年3月 株式会社ラック) 情報セキュリティ大学院大学 客員研究員
(Twitterアカウント)

(人物紹介)
福森 大喜
株式会社サイバーディフェンス研究所 上級分析官
CDI-CIRTメンバー
(人物紹介)
鵜飼 裕司
株式会社FFRI 代表取締役社長
(人物紹介)
福本 佳成
楽天株式会社
執行役員
OWASP Japan
アドバイザリーボード
Rakuten-CERT representative
(人物紹介)
神田 貴雅
エフセキュア株式会社 プロダクトグループ 部長
富安 洋介
エフセキュア株式会社 プロダクトグループ
コーポレートセールスチーム
エフセキュア株式会社
(エフセキュアブログ公式Twitterアカウント)

海外記事翻訳
株式会社イメージズ・アンド・ワーズ
エフセキュアメールマガジン

ブログに載らないメルマガ限定情報や、技術者インタビュー、製品情報、技術解説を掲載して毎月一回配信します。アドレスのみの登録で購読無料。

エフセキュアブログQRコード
QRコード