今年3月から友人のエンジニアとセキュリティ関連の勉強会をしている。最初はOWASP TOP 10を二人で読んで議論したりするのがメインだったが、最近は近くのセキュリティ問題を取り上げたりする機会が増えた。
その中でもでてきた話題や事案をまとめてみるのもいいかなと思って記事にしてみることにした。
読んでいたセキュリティ関連の文書
七月に読んでいた本とか文書とか。一通り目を通したけど途中であったりとか、まだ途中なものも。
- 情報セキュリティ白書2021(途中)
- OWASP Top10 2017(途中)
- OWASP Top10 2021(途中)
- ホワイトハッカーの教科書(途中)
- PCIDSS-20190215(途中)
- PCIDSS v3 セキュリティ評価手順(途中)
- EU一般データ保護規則入門編(読了/一巡目)
- EU一般データ保護規則実装編(読了一巡目)
GDPRは色々厳しそうという話は聞いていたけど、思った以上に厳しかった。
PCIDSSはBASEの時に同僚のセキュリティエンジニアが対応していたのをみていたけど、こんなに大変なものなのかと改めて確認。彼のことは尊敬していたけど、もっと尊敬する気持ちが強くなった。
情報セキュリティ白書は読み始めたばかりだが、テーマが多岐にわたっているのと2022年のウクライナ危機のあたりまでを取り扱っているので、知見を取り入れるなら今という感じ。次の情報セキュリティ白書が出るまでには読み終えたいところ。
OWASPは2017から2021で順位の変動があった。個人的にはコンポーネントの話が順位があがったのは、アップデートしようぜ話がおおいんだなという感想。
企業のセキュリティ事故
セキュリティと一緒に情報漏洩について考える機会が増えたので、勉強会で取り扱った事例。
企業ではないけどイベントでのGoogleフォームのデータを見れるようにしてしまったらしい。Googleフォームの結果はGoogle Spreadsheetに自動で保存してくれるんだけど、そちらのパーミッションを適切に設定していないとこうなってしまう。
最近では医療業界が狙い目にされている。お金もっているだろうしということなんだろうが、このご時世で医療を狙うのはやめたほうがいいのでは……感はある。
同じ企業がなんども餌食になるとのこと。まあやればお金くれるならやるよな。。いじめっこの心理だと思う。
ソフトウェア・ファームウェア関連
任天堂のwifiコネクタ、セキュリティ上の懸念があるので使用停止を呼びかけられている。今でこそゲーム機器のwifiは当たり前だけど、昔はそんなのなかったからなあ。
やっぱり通信ケーブルが一番ですよ(初代ゲームボーイ世代)
OWASPのデシアライズ回を読んでいて、Railsのデシアライズについて書いてくれた方がいたのを思い出して読んでいた。以前僕が参加していたRailsウォッチでも取り上げられていた。
暗号化関連の技術をまとめたプロジェクトへのリンクがあったのでみていた。とても強い。
フィッシング詐欺
七月はAmazonのプライムデーがあったのでそれに便乗してフィッシング詐欺が増えたらしい。
SMSが送られてきて、クリックして飛んだ先でうっかりアカウント情報を入力するという手口。
インターネットリテラシーがない人たちはうっかりカード番号入力してしまうんだろうなと思う。でもドメインを確認するということをする癖がないと、インターネット使い慣れているひともかかってしまうのかもしれない。
ランサムウェア・マルウェア
最近はランサムウェアによる事故が増えている感じがする。リモートワークでVPN経由で会社のネットワークにつなげているときに変なメールを開いて添付ファイルのあかんやつが動作したりする、という感じなのかもしれない。
Emotetは本物を偽装してくるやつで、タチが悪そうだった。
少し前のカプコンを襲ったのもランサムウェアだった
対策手法関連
じゃあ実際攻撃やランサムウェアにかからないようにするためにはどうすればいいのか?てことでいくつか手法があったのを見ていた。
リスクマネジメントは知っていたがクライシスマネジメントという言葉を初めて知った。なるほどなー。
僕はもっと用語を学んでいかないといけない気がしている。
まとめ
前半のDraftは手元になく別なところにあったのだが、今日それらのドキュメントへのアクセス権が全てなくなってしまったので、個人のnotionにあるDraftから今回の記事を作った。来月は4回分をまとめるので、もう少し多くなりそう。