2019/7/29の月曜日に秋葉原の以下の勉強会にスピーカーとして参加してきましたので記事にしていきます。
今回も初めて来られる方が数名いました。参加者は30名程でそのうち発表者は5名でした。
発表内容のまとめ
毎回恒例ですが、発表内容の簡単なまとめ(メモ)を以下に記載します。
取り漏れも多少あり、間違えてメモしている個所もある可能性があるので、その場合は指摘していただければ適宜修正します。私は一番最後の発表でした。
「ここ3ヶ月のセキュリティ事故をまとめてみた」:ytakahashi1228 さん
・セキュリティ事故とは?
主に情報漏洩やどこから攻撃された、マルウェア感染など
・事故の情報収集元
Security NEXTで収集
最新の情報セキュリティに関するニュースを日刊で提供
三か月で統計を取った
2019.5.1~7.29まで
主に情報漏洩がメイン
いまだに誤送信や紛失によるうっかりミスによる情報漏洩が半分以上あった。
自治体や一般企業が多かった。
公共機関に近いところでの情報漏洩が半分以上
2019年の月ごとでは
5月31件
6月22件
7月33件
とあまり変わらなそう
自治体系:誤送信や紛失などの過失が多い
一般企業:不正アクセスが目立つ
・自治体が事故を無くすため⇒研修とかセキュリティ教育が重要?
・暗号化ツールの導入が効果ありかも。。。
所感
話の中であったニュースのサイトについては私もちょこちょこ見ております。
ブログとかでニュースにする場合もこのサイトから引用することが多いので、気付いている人はいるかと思いますが。
事故を無くすことは難しいかもしれませんが、もし事故が発生した場合に被害を少なくできるように日頃から訓練することが重要ですね。
「認証にまつわるお話~7pay事案を読み解く~」:hiro さん
コンパス上に資料あり以下のリンクから見れます。
認証の役割
本人確認(権限の利用許可、なりすましの防止)
行政手続き
・運転免許証
・健康保険証、等
ITにおける本人確認
知識
所有
生体
パスワードの定期変更
定期変更しない方が良い理由
⇒定期変更を強制すると、簡単な文字列になりがち
破られやすいものになる傾向(NIST、NISC等)
・定期変更しなくてもいい理由
十分に長い(12文字以上)パスワードを設定していれば今のところ安全
・定期変更した方が良い場合
利用しているサービスのパスワードが漏洩した場合、等
多要素認証
知識認証、所有物認証、生体認証がある
パスワードの類推
初期パスワードが簡単⇒すぐに変更する必要あり
パスワードの解析
・パスワードリスト攻撃等
所感
hiroさんはいつも資料がきっちりされていて非常に参考になります。
7payについては2019/8/1のニュースで9月末でサービスが終了になるとのことでしたね・・・
会社まで作ってやったサービスでしたが、僅か三か月で終了とは。。。
・7pay終了 不正利用防止のセキュリティー対策は困難 未使用分は返金
この件でセキュリティやシステムの作り方等、気を付けなければいけないと感じた組織もあるかと思います。
現在、セキュリティはどの組織でも重要度が高いものになってきていますので、この事件をきっかけに少しでも安全で良いモノづくりが日本企業でできるよう私個人も努力しないとな~と。
「(個人的&基本的)Windowsセキュリティパッチ三不思議」:massu-tochimasu さん
キュリティパッチって適応しないとダメ?
⇒義務ではないが適用が推奨されている
適用するかしないかは本来自由だが以下を検討して個人で責任を持って対応する必要がある
・パッチを適用しないことのリスク
・パッチを適用することのリスク
・パッチを適用することによるコスト
・適用しないことによるリスク
所感
個人については本当に個人次第だが、組織内では個人PCは自動アップデートになっているところが大半であるかと考えています。
※相当特別な要件が無い限り。
サーバについてはアプリやシステムが動かなくなる可能性があるので、慎重にアップデートする必要があるが、外部公開されているシステムであれば「アップデートしない」という判断はしにくいのではないだろうか。
PowerShellでアップデートの確認ができるのは初めて知った。まあよく考えればできそうだなと思うが。
たまにある特定のアップデートは実施しないで欲しいという案件の場合、コマンドで消したりできるのは非常に便利だなあと思った。
※まあそんな案件はそこまでないが・・・
「APT攻撃についてまとめてみた」:kmrr さん
APT攻撃とは
サイバー攻撃の一種で特定の組織や個人をターゲットにして、複数の攻撃手法を用いて継続的に行うというもの
IPAより
標的型諜報攻撃(APT)
国の経済や安全保障等に影響を及ぼす組織情報を窃取する活動を背景にし、特定目標組織を
継続的に情報偵察する一連の攻撃。米国等で言われている「APT」は、この攻撃パターンの事。
Operation Aurora
防衛関連企業数社への攻撃
人権活動家の情報や、軍事関連製品の情報を取得するといった明確な目的がある。
所感
APT攻撃の名前の付け方に意図があるんだなと。
攻撃する側には立ったことがないのでわからないが、攻撃対象になるところや時期等、事前にわかるものがあれば対策もしやすいと思う。
国家機関などはインターネット経由だけではなく、デモなどの直接的な攻撃?も年中攻撃を受けてそうであるが。
「metasploitを使ってみた」:tokoroten
私の発表です。metasploitのデモをメインに話をしてきました。
このブログでも実際のmetasploitの実行個所はまだ記事にしていなかったので、早めに記事にします。
しばしお待ちを・・・
その後
いつもであれば、ご飯なり、お酒を飲みにと繰り出すのですが、次の日(7/30)に朝から家族旅行に行く予定があったので、そそくさと帰りました。
また、明日(8/2)に以下の勉強会を急遽することになったので、現在進行形で準備をしている次第です。
・[秋葉原] ハッキング・ラボのつくりかた – 仮想環境におけるハッカー体験学習 – 勉強会
VMの作成~metasploitの実践までと非常に優しい内容にしております。
VMを触ったとこが無い方や、俗にいう「シェルをとる」というのを見たことがない人に見てもらい、やってもらいたいといった方針で企画しました。
全編私が話をする予定です。(体力もつかな・・・)
興味がある方は参加してみてはいかがでしょうか。
人数が既にいっぱいなので、今回参加が難しくもう一回やってほしいという要望があれば連絡をお願います。(会場側はウェルカムだと思います。)
不明点や要望、こういったこともやって欲しいとの希望があれば、お問い合わせページやコメント、ツイッターからでも結構ですので、気軽にご連絡ください。
コメント