タグ別アーカイブ: セキュリティ

日本語SPAM

スパムメール

従来は、海外メールばかりだったので当分大丈夫と思っていたのですが、この3週間で一気に増えてきました

この半年よく見られた手法は

@前のテキスト列を固定セットで、ホスト名を存在するドメインに当てはめて、強制送信するスパム

跳んでくるスパムと、メール登録型のメルマガの挙動で、動きは明白でした。

その上で、最近目立ってきたのが日本語スパム

以前だと、おかしい日本語だったので、一目瞭然ですが

楽天、決済メール、佐川の請求書など、テンプレありきのあと一歩で騙されるかもと言う内容のスパムが増えてきました。

日本語の壁で守られてきた、日本のITもそろそろ真剣にセキュリティを考え無いと駄目な時代なのかもと感じました

理想と現実

某社の引き継ぎを受けたサーバー

正確に言うと、他社共有サーバーでレンタルしているサーバーの支払と相手会社への請求を引き継いでいるサーバーでの話

どうもハッキングされたらしいと相談が有りました。
勿論、保守契約、セキュリティ契約は結んでおりませんw

相談内容は

  • 初期対応はどうすれば良いのか?
  • その後の対応は?

共有サーバーであること
使っているシステム

を知っていたので、経験上、ある程度原因は見えてくるので

  • 調査
  • 初期対策
  • システムの停止を求めました

その後、その返事を待つ前に

  • 海外にメールが届かなくなった。

つまり、踏み台にされて、スパムの送り先にもなって居る事が類推できました。

ここまでは良くありがちな事なので、早めの調査とシステムストップを代理店に伝え、返事を待っていたのですが・・・・・・

最終的には

  • 相手会社を説得できなかった
  • システムは止めない
  • システムはリニューアルする

という、小規模企業ではありがちな結果になりました

現状は、

・中のファイルを置き換えられ、他サイトへの誘導
・スパム配信(もしくは、二次被害の幇助)

良くある形の、スクリプト攻撃だと思われます
(これは、相手側にも依頼されてない事なので、勝手にチェックもできません)

 

まず、ECサイトを運営しようと会社側に対してですが

自社で、開発、運用する場合は、自社の責任になりますので、それ以外の方が対象です。

代理店、もしくは、社内開発出来ない所に委託開発し、システム運用も外部に任せる場合、責任の所在をはっきりさせる事が必要です。

そして、今一度、運用&保守と、セキュリティ はお金が掛かる事を理解する事が必要です。

そして、いざ、システムが破られれば、顧客だけではなく、今後は被害者になるという自覚は、必ず必要です。

・委託会社を見極める事
・意見を聞ける会社を別に持つ事
が重要になってきます
第三者の意見は、特定の会社に依存していると、そこの話を信用するしか無くなるからです

 

代理店側に対して

今回の事例で言うと、原因を調べずに次の開発に入り、新システムを納品する選択を選びました

問題を先送りしただけです。

今回の問題は

運用と、セキュリティ2重にあります

最新のアプリにした、最新のセキュリティアプライアンスを入れた、それだけでは、解決にはなりません。

同じような事は、ここでなくても、いつかは起こるでしょう。

一つだけ面白かったのは、自力でやろうとする事

システムは外注でやろうとするのに、何故かセキュリティは自分たち出来ると思っている、これも、原因なのかも知れません。

何でも出来る人は居ないと諦める事が必要です
それと、出来ないと言えない代理店、技術者が多いのも事実。
20年ぐらいこの業界いますが、本当に、ブローカーみたいな人も多いです。細かいレベルでやれる、やれないとはっきり言える業者さんの方が、実は安心できたりします(経験から)

 

この辺りが、現実なのかも知れません。
不条理、出鱈目をどう、ボロが出ないように渡っていくのか?
理想通りに行くのが幸せなんですけど、現実は厳しいですね。

 

 

 

髪の毛その後

image

 

染めるの辞めて、ちょうど2月。
昨日髪をすいてみました

もうかなり白色です。
完全に抜けたらジョージクルーニーのような髪型にするかなw

 

機構のパスワード流出の件で
相談が多数寄せられました

運用の問題と言い切りましたが
運用でセキュリティを確保=安価

ではありません。

  • セキュリティアプライアンスの導入
  • ネットワークの再設計
  • セキュリティ設計
  • 上記の運用
  • 管理人の確保

これが、サーバー、ローカル、各クライアントに適用と為ると、可愛い額ではありません。

しかし運用で確保しようとしても
厳密に対応すれば、安くありません。
・最低限のハードウェアの導入
・運用ルールの策定

・管理人

この辺りは必ず必要だからです。

セキュリティや、運用に関しては、正直ここまでやったから、完全というところが有りません。

それと、もう一つ、セキュリティを上げれば上げるほど、便利さとの引き替えになります。この辺のバランスをどうするか?これも課題であり、コンサルの腕の見せ所です。

問題が起こる前に、今一度専門家に相談してみるのは如何でしょうか?

そして今回の問題で更に思ったこと。

メールの標的型攻撃

が主たる原因なのですが、やってることは、ローテクの積み重ねです。
ネットで叫ばれている議論などを見ると、非常に面白いです。
改めて思うのが、商売と同じで、押さえるところを押さえておかないと、間違うなと再確認しました。

さて、サーバーです

日本年金機構の情報漏洩について

元セキュリティエンジニア
運用コンサルティングをやる立場から思ったこと

まとめはpiyologさんの所が詳しいので下の記事でそこで

日本年金機構の情報漏洩についてまとめてみた(piyolog)

http://d.hatena.ne.jp/Kango/20150601/1433166675

・攻撃は普通のマルウェア
・システムも当たり前のセキュリティは構築しているはず
ですので

ポイントは、

  • 職員のPCと、漏洩しては困る情報の隔離
  • 上記の環境でネットにつなげるのであれば、インバウンドは厳密に決めるべきだが、アウトバウンド側のルールをもっと縛っておくべきだった(通常はつなげないのが当たり前。)

つまり、当たり前の運用ルールを徹底して運用して無かった事が問題と思われます

所謂、単なる使い方の問題

それだけの話です

技術的な事、運用のことは、様々な人が議論をすると思われるので
そこも置いておき

頻繁に起こる漏洩問題に対しての対応&責任の取り方です

中の人は、その組織の中で重い責任はとらされると思います
世間的にどの程度の内容でしょうか?

お役所仕事と言われるように上の人ほど、3,4年で別の部署が国の組織です。その間だけ何とかなれば、逃げ切れてしまう。(ここは、日本の国が良くならない理由だと思っています、官僚が悪いのではなく、人事制度。)

必ずやるであろうセキュリティアプライアンス導入やコンサルティングを請け負う業者さんが儲かるだけなんでしょうか?

このシステム、原発問題と同じで、トラブルは起こら無い前提だったと思います。
信じられないくらいの予算が与えられ、普通に考えたら堅牢なシステムだったと思います

その次に、大規模な漏洩事件も頻繁に起こるようになりました。
ここ最近ではベネッセです。

マイナンバー導入が決まった今、もっと真剣に考えていかなければ、ならないのではないでしょうか?

個人的に、漏洩事件に一般の人が慣れてきているのも心配です
各企業のインシデント後の対応も、実際あれで良いのか心配になります。
こう言っては駄目なのでしょうが、破られたら考える。本気でそう考える人も出てくる気がします。

完璧なシステムは無い、だからこそ、今一度運用、システムは勿論ですが、セキュリティについては考えて行きたい問題です。

今回は国が起こした問題として問題は根深いです