piyolog

piyokangoの備忘録です。セキュリティの出来事を中心にまとめています。このサイトはGoogle Analyticsを利用しています。

第14回 まっちゃ445目覚ましの会に行ってきた。


本日行われた「まっちゃ445勉強会」に参加してきました。今回で第14回目だそうです。歴史を感じます。piyokangoは前回に引き続き2回目の参加となります。なお、会場はIIJです。IIJの会議室は他と比べてもかなり快適なので、私は大好きです。

月曜日になるとモチベーションが下がってまとめる気なんて一切起きないので、帰ってすぐの今のうちにまとめてしまいたいと思います。なお、まとめ的な書き込みは不慣れなので、読みにくい点などあるかと思いますがご容赦ください。誤っている個所等がございましたら@piyokango宛までご連絡ください。
 
■まっちゃ目覚ましの会
 今回から「勉強」という文字を取ったみたいです。午後からの部とごっちゃになるのを避けるらしいです。この目覚ましの会というのは、午前10時半から1時間にわたって3人ぐらいの方がLTをするというものです。参加にあたっては、私も前回ドキドキしたのですが午後の部に申し込んでいさえすれば特に前もって出欠取らないみたいです。
 
(1) LT1「ITSec_JP」活動の紹介
登壇者は睦月(@mutsuki99)さん。
10月から始められているITSec_JPの活動紹介です。
@itsec_jpという名前で、ITセキュリティ関連情報をTwitterを通じて発信しているそうです。また、ハッシュタグは#itsec_jpで、セキュリティに関係した内容であれば、何でもOKだそうです。この活動を始められた理由は、ツイッターでこの手の情報を呟いている人がおらず、たりきさん(@Vipper_the_Neet)が「もし、そういうのがあったら読みたいね」といった発言を機に、半分勢いで(10分ぐらい考えて)はじめられたそうです。ITセキュリティ情報は、収集するに当たり効率が悪く、例えば沢山のニュースサイトや個人サイト、ベンダーサイトなど、1日にフォローしておくべき量が非常に多く、見なきゃいけないサイトが多いというのを上げていました。

ツイッターでも同じでは?という部分については、ツイッターでは流し読みするには最適で古い情報を気にする必要もなく、重要度が高い情報は自然にリツイートされていくので、セキュリティ情報の取捨選択を人に任せることができることを狙っているそうです。(とはいえ、活動初期の段階は睦月さんががんばられるそうです。)
セキュリティ情報をまとめられているサイトとしては、すでにセキュリティホールメモなどもあるので、幅広く見ていきたい方はそういったサイトも併用していただければとのことです。
「セキュリティって難しい」という悩みをツイッターの敷居の低さを利用して、解決していきたいとのことで、この背景には同じ会社に勤められている後輩社員の方(3名)がセキュリティホールに関する部分の説明が出来ていなかったことからもあるそうです。このような問題も、ツイッターでRTをつけて、即質問することで解消できるんじゃないかと考えているそうです。最後にお願いとして、ぜひ#itsec_jpタグを通じて情報の提供をしてくださいとのことです。合言葉は「あなたの知っていることは、みんなが知りたいこと。」だそうです。

質問であがったものは下記の通りです。
現在の@itsec_jpのフォロワーの状況は?
→正確な数字は知らないが、1日1.3名ぐらい増えている。始めたのは10月1日で、まだ30〜40人ぐらい。
自動化できるといっていたが、どのようなものをどのようにひっぱる?
→現状はセキュリティベンダのRSSを流しているのみ。他のベンダサイトからはどのようにセキュリティにフォーカスした情報を検討している。
 
(2) LT2 で、みんなはクラウドの何が怖いんだろう? 〜 iisec 原田研究室の調査から 〜
LT2番目の登壇者は、IISEC客室研究員のmiryu-san(@miryu)さん。
今年の夏ごろに行われた原田研究室の調査を元にクラウドについて企業が感じている部分にポイントをおいて紹介されていました。ちなみに原田研究室の調査資料はここからダウンロードして閲覧することが出来ます。
クラウドに対する注目は大きいものの、「セキュリティへの不安」が54%もあり、導入への不安が大きいそうです。
なお今回調査にあたり、質問項目の設定はENISAのCloud Computing Risk Assessmentのリスク評価項目、経産省のSaaS向けSLAガイドライン等を参考にされているそうです。ENISAの資料は英語なので和訳はyumanoさんに期待しましょう。(謎)
さて、内容についてですが組織的、技術的、法的、それぞれのリスクについての調査を行っており、それに基づいて、ENISAの調べた欧州の企業と日本企業が思うところの違いを挙げられていました。まず組織的に見た場合、日本企業は止まらないサービスを求めている点が欧州と明確に異なっており、欧州はその点についてのリスクはLowなのに比べ、日本はHighリスクと考える企業が多いみたいです。次に技術的なリスクについては、渡したデータに対して何か悪いことが行われてしまうのではないかといった点にリスクを感じているみたいで、この背景としてクラウドベンダー事業者のセキュリティ水準が引くために、結果的に自分自身のセキュリティ水準もそれに準じて低くなってしまうのではないかという点を感じている模様です。まとめると他者にデータを預けるのは怖いという点だそうです。法的なリスクは証拠保全について特に感じているみたいです。欧州、日本と共通として見えることは、ネットワークの管理などについてあげられるそうです。またログの紛失などについてもリスクとみている企業が多いそうです。
最後にまとめとして、日本企業は自組織以外はあまり信用しておらず、見えないところに情報が置かれることを嫌がっているみたいで、ただ、それ自体はクラウド云々ではなく、アウトソーシングの問題ではないかと考えることも出来ると。また、海外と国外どちらでという点で見た場合もクラウド対象の事業者としては半数以上は国内で、つまるところ見えるところに大事なデータは置きたいという考えが見えるとのこと。

質問であがったものは下記の通りです。
コールセンターなどのアウトソーシング業務は業界標準の団体もあり、ISOやプライバシーマークなどの第三者認証を取っているが、クラウドを扱う業界もそのような動きはないのか。
→アンケートにはISOやPマークなどを取ってほしいというのが伸びているので、似たような動きが起きるかもしれない。また業界団体などについては、クラウドセキュリティアライアンス(CSA)の他、クラウド利用促進機構なるものができたのでそこらへんが頑張ると思う。
クラウド業者を利用している場合の内部監査はどうなるのか。
SalesForce.comとかは内部を見ることは可能の模様。とはいっても、実際中の状態はほとんどオートメーション化されており、人はおらず、当然データも見れる状態にないので、来るだけ来て安心してもらっておしまいという流れが大体の模様。監査として、何を見れば安全なのかについても明確になっていないので、ユーザー側でもどのようにして安心するのかを明確にする必要がある。隠すと怪しまれるので、業者側は公開する姿勢になっている。
 
(3) LT3 踏んじゃいました。
午前最後の登壇者はtotoro(@totoromasaki)さん。
今まで見たことのない新種のコンピュータウィルスに感染するお話し。グロ黒いお話です。

状況としては、某学校で起きた話で、学生が動画のまとめサイトから某国の動画共有サイトへアクセスし、ナ○シカや、ガン○ムなどを見ていて感染したとのこと。ウィルスの挙動としては、外部サーバーにSSHのセッションを張るもので、毎分に10回程度SYNパケットが飛ぶ模様。当初はウィルス媒体はWebページに仕込まれているのかと思っていたところどうもそうではなく、ページを見ている時だけ外部へ通信ポート843へ動くらしい。またどのAntiVirusベンダーも当該ページを「安全」と表示している。外部の調査機関へすでに報告済みで、新種のウィルスであることは確認が出来ているらしいです。
現在も解析中だそうですがわかっている範囲として、JavaScriptに見えるが実はバイナリのものが落ちてくるようで、しかしながら何のバイナリかは解析が済んでいないそうです。また、パケットダンプを見てみるとFrom側のポート番号は変わりながら、SSHのセッションはつながりっぱなしで、シーケンスナンバーが全て0。パケットの長さも0.ウィンドウサイズは馬鹿でかいサイズが指定されており、つまるところこのような結果からルーターなりが途中で分割を行い、経路上のIPSなどは不審には思いながらも、何のことなのかのチェックは難しいのではないかとのことです。
肝心の対策についてですが、現状(昨日の段階)ではまだAntivirusでは検知が行われないそうです。理由としてはパターンファイル化が出来ないためで、ヒューリスティックな検知でしか現在のところ対応できないのではないかとのことでした。ただ、感染元のURL自体は判明しているので、ルーターやファイアーウォール等でアクセスを制御することで回避策とすることは出来るみたいです。抜本的な対策はいずれ公開予定で、現状はWindows以外の動作は確認できていないそうです。
最後にデモが行われましたが、Windows7で動画を見始めると管理者権限でSSHを使って攻撃をばんばんやっていました。とりあえずSYNだけみたいです。(環境的な問題もあるかもとのこと)また、追加情報としてフラッシュ(@flash_takahashi)さんによると再現しないケースも見受けられ地域性があるかもとの話もありました。

質問は下記の通りです。
感染したのはtotoroさんの学校だけ?
→他のところも感染しているかもしれないが、チェック不備等により発覚してないのかもしれない。

ちなみにとりあえずニ○ニ○動画だろうが、You○ubeだろうが応用が利く方法のようなので、しばらくは動画サイトを見ないほうがいいかもしれないとのことでした。また、ブラウザは限定しないそうで、WindowsであればXP以降すべてのOSで再現が認められたみたいです。