NIS-Be通信+(No.6)

NIS-Be通信(第6号:2021年4月1日号)

《TOPIC》

  • セキュリティのさじ           :サイバー犯罪/みずほ銀行のATM障害
  • NIS-Be最新情報                :海外最新情報を新規追加
  • コラム                             :電子署名付きメール(S/MIME)について(特別寄稿)
  • One TERM(用語解説)        :サイバー攻撃その1(ソーシャルエンジニアリング

【セキュリティのさじ:情報セキュリティに関する最近の話題をピックアップし掘り下げます】

●相変わらずサイバー攻撃に関する記事は多く見受けられますが、今回は「サイバー犯罪」という視点での警察庁による最新状況報告・今後の取組みに関する提言や、マスコミによる過去からのサイバー犯罪の経緯や対策の現状についての解説記事が目に止まりました。

 これらの記事の背景には、情報の発信元である警察庁としての危機感があるのは当然として、マスコミも一過性の事例・事件としてではなく、継続的にフォローすべき事柄であり、広く世の中に注意喚起する必要があると認識しているからではと感じています。

●2月28日にみずほ銀行でATMの障害が発生し、昨年10月に発生した「東証トラブル」に続くIT関連のトラブルとして各紙一面で報道されました。共に社会に大きな影響を与えておりセキュリティの観点からも重要であることから、当欄としても触れておきます。

 トラブルの直接原因は究明・是正されなければならないのは当然として、トラブル発生後における被害極小化のための「異常時の対応」など、リカバリープランやリスクマネジメントが十分でなかった点についての究明や是正はより重要であると思いますし、報道もそういった点を重要視していると感じます。

 現状では報道はトラブルの外観的な内容に止まっていますが、今後の調査報告や是正策の公表が待たれるところです。また「東証のトラブル」とも運用面やリスクマネジメント面で共通点があるように思われ、最新の「ゼロリスク云々」の報道などは直接今回のみずほの障害には触れていませんがそれらの視点で書かれていると感じました。これらの点はセキュリティトラブル対応でも共通しており、興味をお持ちの方は「NIS-Be通信(第1号)」も合わせて参照ください。

  • 参考:「「4時間待っても誰も来ない」 みずほATM障害で混乱」         :日経新聞 2/28
  •   :「甘い運用、顧客にしわ寄せ みずほATM障害」                       :日経新聞 3/2
  •   :「みずほ障害、事後対応の課題浮き彫り」                                  :日経新聞 3/2
  •   :「ゼロリスク」油断招く「アクション伴わねば意味なし」              :日経新聞 3/13

NIS-Be最新情報:更新情報、活動報告、海外最新情報】

 海外最新情報(ヘッドライン)記事の詳細を知りたい方は、NIS-Beサイトを参照ください。

  • 米国)一般調達局上級幹部の発言「CMMCのレベルはオーダ毎に固有」             :Fed Scoop  2/18
  • 米国)一般調達局上級幹部の発言「CMMCについて多くの政府機関と協議」       :MeriTalk  2/19
  • Gav・米国)上院特別委員会で「ソーラウィンズ事件」での被害企業の調査活動を擁護」:ロイター  2/23
  • 米国政府機関へのログイン情報をターゲットにしたフィッシング攻撃前年比67%増加            :Next Gov  2/24
  • 米国空軍は監査院によると現時点でサイバーセキュリティ要件を定義した唯一の軍組織    :Next Gov  3/9
  • CMMC)ABの理事2名が辞任も、詳細不明                                                     :FCW  3/11
  • ホワイトハウス、セキュリティ事故頻発で、密な官民連携アプローチを模索       :NYT  3/14

 ___________________________________________

【コラム(特別寄稿):防衛装備庁が実施する「電子署名付きメールの運用」について】  筆者:小島 和浩(BSK)

 昨年10月1日から運用が開始された防衛装備庁の「電子署名付きメールの運用」について紹介します。

 防衛装備庁は、昨今頻発する「標的型メール」および「なりすましメール」への対策として、外部とのやり取りに使用する全てのメールに対し電子署名を添付することにより、防衛装備庁職員からのメールであることを保証し、これにより同庁からの送信メールに対する真正性を確保することとしました。

 S/MIMEとは、電子メール公開鍵方式による暗号化デジタル署名に関する標準規格です。残念ながら防衛省における各種制約から、今回の防衛装備庁の運用では、暗号化の機能を使用せずデジタル署名により送信者を保証するにとどまります。(全文はNIS-Be会員サイトにてお読みいただけます)

◇(参考)防衛装備庁ホームページ「電子署名付きメールの運用」はこちらから

___________________________________________

【One TERM(用語解説)】

●サイバー攻撃その1(ソーシャルエンジニアリング

 巻頭『セキュリティのさじ』で毎号のように「サイバー攻撃」について取り上げていますが、なかなか特殊な用語も多く、ここで特集するのにふさわしいと考え、今号から「サイバー攻撃」として連載をしようと思います。

 その第一弾として、最近よく使われている「ソーシャルエンジニアリング」という用語について解説することとしました。

ソーシャルエンジニアリング

 「ソーシャルエンジニアリング」という言葉を聞かれて、皆さんは何を思い浮かべますか?実は筆者は、1年ほど前にこの言葉をニュースで見た時には「社会科学を元にしたエンジニアリング」と考えていました。

 それは必ずしも間違えている訳ではなく、直訳した「社会工学」という用語は「大規模な集団における、大衆の姿勢や社会的なふるまいの影響への働きかけを研究する学問(出典:Wikipedia)」として、今でも国内外の工学系大学の多くで研究分野として存在しています。

 ただニュース等でこの言葉が「カタカナ」で使われる時は、皆さんご存じのようにセキュリティ分野に特化して記述されている場合が多く、「人間の心理的な隙や、行動のミスにつけ込んで個人が持つ秘密情報を入手する方法(出典:Wikipedia)」という意味で使われています。

 見方を変えると、社会工学の研究の成果や手法を悪い目的に活用している行為を指していると言えますが、その行為からわたしたちを防御するため社会工学の成果や手法を活用するなどの「前向きな行為」にこの言葉が使われているのはあまり見かけません。

 ある意味「人を騙す」という行為は人類の文化発祥以来続いていることですが、セキュリティ分野において「ソーシャルエンジニアリング」という言葉で、本来の学術用語としての意味から離れた詐欺的手法を表す場合が非常に増えているのには2つの理由があると考えています。

 一つは、急拡大するデジタル関連ビジネスを(都合の)よい「狩場」として目をつけたふとどき者たちが、攻略コストがあまりかからない「人」を糸口に(または技術的なスキを突くやり方と組み合わせて)荒稼ぎしようと暴れまわっているという攻撃側の事情です。

 そしてもう一つは、今まで以上に多くの人がデジタル環境を利用せざるを得ない状況に置かれるとともに、ぼんやりとした「(詐欺にとっては一番おいしい)不安」を感じている層も増大している(警察庁が2021年9月実施のアンケートで不安との回答者が75%以上)という、利用者意識の脆弱性拡大です。

 それでは、急増している「ソーシャルエンジニアリング」による攻撃から身を守るにはどうすれば良いのでしょう。私は、従来型のデジタル技術を駆使しての防御とは違う対応も必要になると考えます。「人」をターゲットにした攻撃には、情報公開や周知による意識改革や実践的な研修などによる「人のリテラシー」を向上させる対策が有効ではないかと思いますし、最新のNIST SP 800-53rev5でも、「意識向上と訓練(AT)」などの項目で言及されています。

 こういったセキュリティを向上させる前向きな動きがもっと活性化していくと、「ソーシャルエンジニアリング」という言葉が意味する内容も、本来の姿に変わっていくのかもしれません。

——————————————————————————————————

【編集後記】                 

 最近本を購入する時、本屋に行かずアマゾンでネット購入することがほとんどになっています。そういった中、先日アマゾンより「アカウントが凍結されました」とメールが来て、「何故?」と不安になり慌ててメールを開くと、「怪しいログインを検知し凍結した」との内容で、「やばい!」と急いで解除手続き(メール表示のボタン押下)をしようとしました。

 ただ、なんとなくメールの内容に違和感を感じ、一旦手を止めて直接アマゾンのサイトにアクセスをしたところ、凍結などされていませんでした。

 そこで、改めてメールを確認したところ、「ロゴマーク」は似せているも差出人のメールアドレスは怪しげだったので、フィッシングと判断しメールを削除した上で当該メールアドレスをブラックリストに登録しました。

 筆者のメールアドレスの入手方法は不明ですが、「不安」に駆られ「慌てる」と詐欺にかかることは他人事でないと改めて実感しました。

                                      (佃)