トップ > 【日刊】Equifaxの情報漏えいから得られる教訓、いたずらでDDoS攻撃を仕掛けた19歳の少年が3年懲役実刑--忙しい人のためのセキュリティニュース(2017/10/21)

【日刊】Equifaxの情報漏えいから得られる教訓、いたずらでDDoS攻撃を仕掛けた19歳の少年が3年懲役実刑--忙しい人のためのセキュリティニュース(2017/10/21)

f:id:nanashi0x:20171022203514p:plain

お疲れ様です。いちです。

本日は以下のセキュリティニュースのダイジェストをお送りします。

それでは早速、参りましょう!

Equifaxの情報漏えいから学べる事

先月、9月初旬に発覚したアメリカのクレジット情報企業”Equifax”の大規模な情報漏えい被害に関して、今後活かせる事をまとめている記事。

この記事は、インシデントの前、インシデント発覚後、インシデント公表後の3段階に分けてそれぞれ振り返りを行っているので、このまとめでも三段階に分けてそれぞれ見ていきたい。

インシデントが起きる前

Equifaxは、サイバー攻撃Apache Struts脆弱性をエクスプロイトした攻撃だったと公表している。Equifaxが攻撃を受けるずっと前から、既に他の企業でインシデントが発生しており、パッチも提供されていた。

にもかかわらず、Equifaxはアップデートを行わず、インシデント発生を許してしまった。

この段階で得られる教訓は以下になる。

学べること
  • 攻撃者がどのような手段を使って、自分の管轄下にあるインフラ、ユーザー、プロセスを攻撃してくるのか把握し、システムの弱点と、攻撃者の可能なアクセス経路について知る。
  • 自分の管轄下にあるシステムに対して、攻撃者がどのような手段を使って攻撃してくる可能性があるかを理解し、どうしたらデジタル資産を守れるか前向きに検討する。
  • サイバーセキュリティ業界の動向とトレンドを掴むためにスレットインテリジェンスプログラムを構築し、それに基いてセキュリティ管理を行う。
  • 業界で基本とされている、攻撃からシステムを守る方法を深めたり、パッチ当て・アップデートを定期的に行う等のセキュリティ文化を自社に広める。
  • 社内秘の情報を含む通信を全て暗号化し、ネットワークのセセグメント化を行う。
  • ユーザーに対して、パスワード管理方法や認証システムの強化に関して教育を行う。
  • 攻撃が起きることを想定した上で、自社の防御プラン、インシデントレスポンス方法のレビューと強化を行う。

インシデント発覚後

今回Equifaxは情報漏えいのインシデントレスポンスを行う必要があっただけでなく、自社のCEOがインシデント発覚前に大量の自社株を売り払っていた。その事からインサイダー取引の疑いをかけられ、政府からの調査も入っていた。更に、Equifaxのカスタマーサービスが、顧客からの問い合わせに対応するキャパシティがなかった。

この段階で得られる教訓は以下になる。

学べること
  • インシデントに関する情報公開を信頼できる個人だけに留める事で、二次災害の発生を防ぐ。どんなに組織が迅速に対応出来るとしても、インシデント発見から公表までに時間がかかる事は自然である。
  • 世間から会社に対する信頼がを損なう事を予想しつつも、世間からどのような評判が立ち、自分の行動がどのような結果を生むか可能な限り分析する
  • 計画されているレスポンス方法を分析し、インシデントが起きたとしても対処できる程の余力(通信インフラ、人員など)を常に確保しておく。

インシデント公表後

インシデント公表後は、セキュリティ研究者やクラッカー達が、インフラに他の脆弱性が存在するか探しに来る。Equifaxのインシデントのときには、顧客のクレジット情報の不正利用を報告するためのポータルサイトが安全でないことが発見された。ニュースが拡散された際には、今回のインシデントは誰の責任で、どのデータが漏洩し、どのようにデータが使用されたか質問が殺到する。これらの質問の答えが、被害にあった企業とその顧客に対する影響を物語る。

この段階で得られる教訓は以下になる。

学べること
  • インシデントが発生した際には明確なコミュニケーションを行う。何が分かっていて、何が不明なのかを公表する。メディアからの推測は、企業に対する世間の信頼を損なう危険性がある。
  • インシデントによって漏洩したデータがオンライン上で取引されていないかリサーチする。インシデントによって獲得したデータが金銭目的のものか知るだけで、その後に発生する更に大きなインシデントに対する対処方法が変わってくるからだ。

Equifaxのインシデントは、世界中の企業に対して継承を鳴らしたインシデントであった。セキュリティ管理者や企業役員はこの機会を使って、自社のネットワークインフラにどんな穴があるか分析する事ができる。本インシデントに関する情報がさらに公開されれば、セキュリティ対策を更に強化することができるようになるだろう。

いたずらでDDoS攻撃を仕掛けた19歳の少年が3年懲役実刑

アメリカの裁判所が、いたずらでDDoS攻撃を仕掛けた19歳の少年に対して、懲役3年を言い渡した。

懲役の対象となった彼の行為は2016年の10月頃、アリゾナ州のMariposa郡で発生した。

彼の罪は、アメリカの緊急通報システムである”911”のネットワークに対してDDoS攻撃を仕掛けた事だ。

少年の名はMeetkumar Hiteshbhai Desaiで、彼は元々Desaiはバグハンターとして活動していた。

Desaiのしたイタズラは以下のステップになる。

Desaiのいたずら
  • DesaiはSNSにリンクを貼り付ける
  • ユーザーはそのリンクをクリックする
  • iOSユーザーの場合、電話アプリを起動する
  • 通話開始→通話終了→911にリダイアルする

実は、Desaiは2種類のマルウェアを作成し、本当は”リンクを踏んだiOS端末にポップアップを表示する”マルウェアのリンクを貼り付けようとしていた。

しかしDesaiは、もう一方のマルウェアを配布してしまい、結果的に有罪判決を言い渡されてしまった。

ちなみに911は、日本で言うと110番や119番を指します。
ReferenceTeen hacker sentenced for serious disruption of Phoenix 911 system