SlideShare a Scribd company logo

Securitytopics 2020 07

SQATjp
SQATjp

直近1か月に話題となったセキュリティにまつわるトピックをお届けしています。 https://www.sqat.jp

Data & Analytics
1 of 15
Download to read offline
Copyright©BroadBand Security, Inc. 便利で安全なネットワーク社会を創造するCopyright©2020 BroadBand Security, Inc. セキュリティトピックス 2020年7月 2020年7月10日 本記事において記載されている会社名、商品名、サービス名は各社の商標または登録商標です。 なお、本文中では、商標または登録商標を表すマークを特に提示していない場合があります。
便利で安全なネットワーク社会を創造するCopyright©2020 BroadBand Security, Inc. 脆弱性・マルウェア関連 2020年6月29日、パロアルトネットワークス社は、同社製 品で使用されているOS「PAN-OS」の脆弱性を公開した。 CVE番号はCVE-2020-2021。SAML認証が有効、かつ Validate Identity Provider Certificateのオプションが 無効である場合に、署名検証の不備に起因する問題により 認証を回避され、SAML認証で保護しているリソースにアク セスされる可能性がある。対象となるのは、PAN-OS 9.1系、 9.0系、8.1系、8.0系の特定バージョン。 攻撃には複数の条件が揃うことが必要であるものの、条件が 揃った場合の被害は甚大になることが想定され、同社による 深刻度評価は、CVSS v3で最も高い10.0となっている。 同OSを利用している組織では、早急に設定を確認し、 脆弱性が修正されたバージョンへアップデートすることが求め られる。なお、8.0系は、2019年10月31日にサポートが終 了しているため、別途アップグレードを検討する必要がある。 1 参考情報: https://security.paloaltonetworks.com/CVE-2020-2021、 https://www.jpcert.or.jp/newsflash/2020063001.html  PAN-OSに認証回避の脆弱性(CVE-2020-2021) 影響を受ける バージョン 脆弱性対策が 施されたバージョン 9.1系:9.1.3より 前のバージョン 9.1.3 およびそれ以降のバージョン 9.0系:9.0.9より 前のバージョン 9.0.9 およびそれ以降のバージョン 8.1系:8.1.15より 前のバージョン 8.1.15 およびそれ以降のバージョン 8.0系: すべてのバージョン 提供なし。2019年10月31日でサポート終了のため、 脆弱性対策が施されたバージョンへのアップグレードが必要 攻撃元区分(AV) ネットワーク 攻撃条件の複雑さ(AC) 低 必要な特権レベル(PR) なし ユーザ関与レベル(UI) なし スコープ(S) 変更あり 機密性への影響(C) 高 完全性への影響(I) 高 可用性への影響(A) 高 深刻度はCVSS v3で最も高い10.0[Critical] (パロアルトネットワークス社による評価)
便利で安全なネットワーク社会を創造するCopyright©2020 BroadBand Security, Inc. 脆弱性・マルウェア関連  SMB関連の新たに公開された脆弱性への影響と対策について(1) 2 2020年6月9日、Microsoftが月例のセキュリティパッチをリリース、その中でSMBに関する2件の情報をピックアップ。概要は下記の表のとおり。 CVE番号 CVE-2020-1301(SMBLost) リスクレベル HIGH CVSS v3 8.8 対象 Windows 7~10の複数製品 Windows Server (1803,1903,1909,2004)*Server Core版 Windows Server 2008~2019の複数製品 概要 Microsoft Server Message Block 1.0 (SMBv1) プロトコルが特定のリクエストを処理 する方法に脆弱性が存在し、悪用された場合に リモートコード実行の恐れがある。 攻撃にあたっては認証が必要となる。 CVE番号 CVE-2020-1206(SMBleed) リスクレベル HIGH CVSS v3 7.5 対象 Windows 10 (1903,1909,2004) Windows Server (1903,1909,2004)*Server Core版 概要 Microsoft Server Message Block 3.1.1.1 (SMBv3) プロトコルが特定のリクエストを処理す る方法に脆弱性が存在し、悪用された場合に情 報漏洩の恐れがある。 攻撃にあたっての認証は不要。
便利で安全なネットワーク社会を創造するCopyright©2020 BroadBand Security, Inc. 脆弱性・マルウェア関連  SMB関連の新たに公開された脆弱性への影響と対策について(2) 3 各脆弱性により想定される影響は以下のとおり。 ■CVE-2020-1206(SMBleed) SMBv3.1.1の圧縮機能の脆弱性であり、当該機能が有効な状 態で公開されている機器は日本で約31,000台あると推測される (2020年7月時点で弊社が確認したShodan検索結果) 。 PoC(脆弱性実証コード)が公表されている。 過去に公表されたCVE-2020-0796(SMBGhost、こちらも SMBv3の圧縮機能の脆弱性に起因する)の流れで見つかったと 推測される。先日SMBGhostにもPoC(脆弱性実証コード)が 公表されたので注意が必要。 ■CVE-2020-1301(SMBLost) SMBv1プロトコルそのものの脆弱性であり、サービスが有効な状態 で公開されている機器は日本で約61,000台あると推測される。 (2020年7月時点で弊社が確認したShodan検索結果) 影響度  Microsoft社より公開されているパッチの適用(共通)  SMBサービス(445/TCP)の公開状況とサービスへの アクセス制御の確認(共通)  SMBv3 圧縮機能無効化(CVE-2020-1206、 CVE-2020-0796)  SMBv1無効化(CVE-2020-1301) 対 策 参考情報:https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-1301 https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-1206
便利で安全なネットワーク社会を創造するCopyright©2020 BroadBand Security, Inc. 4 脆弱性・マルウェア関連  IoT機器で広く採用されている Treck製IPスタックに複数の脆弱性(1) イスラエルのサイバーセキュリティ企業JSOFは、Treck社が開発したTCP/IPスタックに存在する19件の脆弱性を公開した。 「Ripple20」と命名されたこれらの脆弱性は、ITサプライチェーンにおいて関連するベンダの何億ものデバイスに影響すると考えられる。 影響を受ける製品が使用されているとされる業界の例 出典:https://www.jsof-tech.com/ripple20/ 「Ripple20」に割り当てられたCVE番号はCVE-2020-11896~CVE-2020-11914で、 そのうち4件は、CVSS値が9.0以上の深刻度Criticalと評価されている。 <「Ripple20」 について> 影響を受ける業界は通信、小売、商社、医療、輸送、工業、エネルギーなど広範に及んでおり、個人 経営の小規模な企業から、Ciscoや電機メーカーのシュナイダー、IT製品大手のIntelやHPなどの 「Fortune 500」に名を連ねる企業まで、多様なベンダがこの脆弱性の影響を受けるとされる。 JSOFの研究者は、この中で最も危険な脆弱性の1つに、デバイスからの単一のDNSリクエストに応答 することでリモートコード実行される脆弱性(CVE-2020-11901)をあげている。DNSキャッシュポイ ズニングなどの方法を介して、インターネットへ公開されていない機器に対しても、外部から脆弱性を悪 用することが可能であるとし、詳細は2020年8月の「Black Hat USA」で発表が予定されている。 同様の脆弱性の一部は、過去にTreck社と提携していた図研エルミック社の「KASAGO TCP/IP」に も存在するため、図研エルミック社に関連するITサプライチェーンの製品にも影響がある。
便利で安全なネットワーク社会を創造するCopyright©2020 BroadBand Security, Inc. 脆弱性を修正するセキュリティパッチはTreck社から提供されているが、エンドユーザが直接適用することはできず、製品ごとにベンダを介して適 用する必要がある。ただし、エンドユーザに製品を提供しているベンダが、自社製品がこれら脆弱性の対象であるかは現在調査中であり、影 響範囲の全容は不明瞭である。 そのため、各ベンダがエンドユーザ向けの対象機器の情報の公開、および、セキュリティパッチの提供を開始するまでは、根本的な対策を実施 できない。そのような事情で、対策(セキュリティパッチを適用)が難しい場合、ベンダの公開する脆弱性情報に注視しつつ、該当する可能 性がある機器ごとに、適切な緩和策を実施することが推奨される。 5 脆弱性・マルウェア関連 対象 緩和策 ネットワーク機器 重要なIoTデバイスのインターネット接続を最小限にする。脆弱性のあるデバイスをネットワークから切り離す。ネットワーク セグメンテーション、ネットワークポリシーの制御。仮想プライベートネットワークの使用。 DNSサーバ 内部DNSサーバの使用。IoTデバイスが接続するネットワークでDNSプロキシを構成。  IoT機器で広く採用されている Treck製IPスタックに複数の脆弱性(2) なお、使用している機器が本脆弱性の対象であるかは、国内ベンダについてはJPCERT/CCと情報処理推進機構(IPA)が運営するJVN、 海外ベンダの場合はCERT/CCが運営するポータルサイト等を通じて、注意喚起などか実施されると考えられる。 参考情報:https://www.jsof-tech.com/ripple20/ https://www.elwsc.co.jp/wp-content/uploads/2020/06/KASAGO202006-1.pdf https://kb.cert.org/vuls/id/257161 https://jvn.jp/vu/JVNVU94736763/
便利で安全なネットワーク社会を創造するCopyright©2020 BroadBand Security, Inc. 脆弱性・マルウェア関連 対象製品 概要 CVE CVSSv3.x 基本値 参考情報 BIND BIND 9.xにおける実装上の不具合 により、namedに対する外部から のサービス不能(DoS)攻撃が可 能となる脆弱性。 CVE-2020-8619 CVE-2020-8618 4.9 https://jprs.jp/tech/security/2020- 06-18-bind9-vuln-asterisk.html https://jprs.jp/tech/security/2020- 06-18-bind9-vuln-zone-transfer.html https://kb.isc.org/docs/aa-00913 WordPress 遠隔の第三者がユーザのブラウザ 上で任意のスクリプトを実行する などの可能性がある脆弱性。 CVE-2020-4046 ~CVE-2020- 4050 6.8 (CVE-2020- 4047) https://wordpress.org/news/2020/0 6/wordpress-5-4-2-security-and- maintenance-release/ IP-in-IPを サポートす る 機器 IP-in-IP プロトコルをサポートし ている機器において、認証されて いない第三者によって予期せぬ通 信が行われてしまう脆弱性。 CVE-2020- 10136 5.3 https://jvn.jp/ta/JVNTA90492923 https://kb.cert.org/vuls/id/636397  2020年6月に公開された主な脆弱性 2020年6月に影響度の高い脆弱性情報が複数公開された。以下に概要をまとめる。 6
便利で安全なネットワーク社会を創造するCopyright©2020 BroadBand Security, Inc. 攻撃・インシデント関連 Ciscoは5月28日にSaltStack Saltの脆弱性を原因とする脆弱性が同社製品に発生したことを公表した。通常、こういった情報は 脆弱性情報の一つとして伝えるところだが、公表された情報には製品開発に携わる人がパッケージを利用する際に教訓となることが含 まれているため、単なる脆弱性情報とは違った切り口で取り上げる。まず、時系列で経緯をまとめる。 2020年4月29日 • SaltStack Saltの脆弱性 が公開される • CVE-2020-11651 (認証回避) • CVE-2020-11652 (ディレクトリトラバーサル) 5月2日~6日 • モバイルOS・ LineageOSの基幹イン フラ、ブログプラットフォー ムGhostなどでSaltの脆 弱性を悪用した侵害行 為が発生・公表 5月7日 • Ciscoが運用するCisco VIRL-PE向けのsalt- masterサーバへの侵害 行為が発覚し、修復を 実施 5月28日 • Saltを含むCisco CML、 Cisco TelePresence® IX5000(EOL)への脆弱 性の公開と同時にVIRL- PEのsalt-masterサーバへ の侵害行為と脆弱性情報 を公開  SaltStack Saltの脆弱性を原因とする複数のCisco製品の脆弱性から学ぶこと(1) 参考情報:https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-salt-2vx545AG 5月2日~6日に発生した代表的な被害には次のものがある。 https://twitter.com/LineageAndroid/status/1256821056100163584 https://status.ghost.org/incidents/tpn078sqk973 https://twitter.com/xenorchestra/status/1257274022477389831 https://groups.google.com/a/chromium.org/forum/#!topic/ct- policy/aKNbZuJzwfM https://blog.algolia.com/salt-incident-may-3rd-2020-retrospective-and-update/ 7
便利で安全なネットワーク社会を創造するCopyright©2020 BroadBand Security, Inc. 攻撃・インシデント関連 現時点で、 Ciscoからsalt-masterサーバへの侵害行為の発見から修復、情報公開に至るまでの、詳細な経緯は公表されていない。 しかし、公開された情報の中から学ぶべき教訓をいくつか見出すことができる。 • 原因となる脆弱性が公開されてからパッチ適用までに160時間程度を要している点 – 同じソフトウェアを使用している他社が該当する脆弱性を悪用した侵害行為の被害に遭っていることを、ニュースサイトやSNSなどで知りえた状況で あった。これを踏まえると、5月6日までに36%の公開Saltサーバが適用を終えていたパッチの適用はもちろん、ログの確認やふるまい検知など、5月 7日までに侵害行為の発見がなぜできなかったのかという疑問が残る。 • 侵害行為発覚後、事実を公表するまでに21日間を要した点 – 5月28日にはVIRL-PEのsalt-masterサーバへの侵害行為の公表に加えて、 関連製品であるCMLとEOL製品・IX5000の脆弱性を公開している。 – VIRL-PEへの侵害行為の公開を行うことで、他の製品のゼロデイ状態の脆弱性 の存在を事実上公開する可能性があったことや、2019年12月から2020年1月 のCitrix ADCなどのゼロデイ脆弱性への攻撃の状況などを踏まえると、やむを得な い判断だったとも考えられる。  SaltStack Saltの脆弱性を原因とする複数のCisco製品の脆弱性から学ぶこと(2) 2020年5月1日 5月6日 5月12日 5841台 3722台 2928台 製品やサービスを構築・運用するうえでパッケージを利用しないということは稀有だろう。また、いったん導入したパッケージは複数のサービス や製品で展開・利用するケースが多いのではないだろうか。この事例が、攻撃への転用が容易な脆弱性が広範に利用しているパッケージ で発見・公開された場合の対応を検討するきっかけのひとつになることに期待したい。 公開されたパッチ未適用のSaltサーバ数の推移 8 参考情報:https://censys.io/blog/saltstack-cve-keep-patching
便利で安全なネットワーク社会を創造するCopyright©2020 BroadBand Security, Inc. 攻撃・インシデント関連  海外のサイバー攻撃の動向~オーストラリア・ニュージーランド~(1) 2020年6月、マイクロソフトは「セキュリティエンドポイント脅威レポート 2019」を発表し、2019年のアジア太平洋地域のセキュリティ脅威状 況を調査した結果を公開した。このレポートによれば、当該地域におい てサイバー攻撃被害の遭遇率が低い国として、日本以外に、オースト ラリア、ニュージーランドがあがっている。 立て続けに発生した日本関連企業へのランサムウェア攻撃 安全性が高いとされてきた同地域で事業展開している日本の事業者 も多い。しかし、2020年に入ってからオーストラリア、ニュージーランドで は、オーストラリア・ニュージーランドで事業を行っている日本企業傘下 の大手ビール酒造メーカーや、大手運輸業者が相次いでサイバー攻 撃を受けている。 これらはどちらもランサムウェアによるもので、その情報の一部がダーク ウェブ上に公開されたという共通点がある。近年、身代金の支払いを 回避しようとする事業者に対して、攻撃者が脅しのためにダークウェブ 上に一部のデータを公開するという手口が増えている。 出典: (Microsoft Security Endpoint Threat Report 2019 – Asia Pacific) https://3er1viui9wo30pkxh1v2nh4w-wpengine.netdna-ssl.com/wp- content/uploads/prod/sites/43/2020/06/APAC-Threat- Landscape_Infographic.pdf 9
便利で安全なネットワーク社会を創造するCopyright©2020 BroadBand Security, Inc. 攻撃・インシデント関連 参考情報: https://news.microsoft.com/ja-jp/2020/06/18/200618-it-environment-security-posture/ https://www.lionco.com/media-centre/lion-update-re-cyber-issue https://www.tollgroup.com/toll-it-systems-updates https://www.cyber.gov.au/acsc/view-all-content/advisories/advisory-2020-008-copy-paste-compromises- tactics-techniques-and-procedures-used-target-multiple-australian-networks https://www.cert.govt.nz/it-specialists/advisories/active-ransomware-campaign-leveraging-remote- access-technologies/  海外のサイバー攻撃の動向~オーストラリア・ニュージーランド~(2) ACSC(オーストラリアサイバーセキュリティセンター)がアラートを発表 オーストラリアではACSCが、既知のリモートコード実行を引き起こす脆弱 性やスピアフィッシング攻撃をもちいた攻撃キャンペーンが実施されていると 発表している。このキャンペーンにはMicrosoft IIS、SharePoint、 Citrix製品の脆弱性が悪用されているという。 ACSCおよびCERT NZのアラー トに関して推奨される緩和策 CERT NZ(ニュージーランドCERT)がアラートを発表 ニュージーランドではCERTからリモートデスクトッププロトコル(RDP)や 仮想プライベートネットワーク(VPN)などのリモートアクセスシステムを介 して組織のネットワークにアクセスするサイバー攻撃キャンペーンに関してア ラートが発表されている。 ソフトウェア、OS デバイスに対する 迅速なパッチ適用 認証機構における 多要素認証の実装 Windowsイベントログと 転送およびシステム監視 に関する適切な運用 10 オーストラリアとニュージーランドにおけるセキュリティ関連の動向
便利で安全なネットワーク社会を創造するCopyright©2020 BroadBand Security, Inc. クライアント側のAPI 1. Webサイトは(SMS等の)指定した転送方法でOTPを取得するためにブラ ウザAPIを呼び出す。 2. ブラウザはSMSの受信とWebサイトへの引き渡しを仲介するため、非同期で Promiseを返す処理を行う。 let {code, type} = await navigator.credentials.get({ otp: { transport: ["sms"] } }); 法令・制度関連 11  Google Chrome 84、Web OTP API導入へ Google社は2020年5月28日にリリースしたGoogle Chrome 84ベータ版において、Web OTP API(旧称SMS Receiver API)を導入した。Web OTP APIを使用すると、Webアプリ側で特別なフォーマットのSMSメッセージを受信し、プログラムでOTP (ワンタイムパスワード)取得することが可能になる。なお、SMSでOTPが発行される際に送られるメッセージのフォーマットは、2020 年4月6日にWeb Platform Incubator Community Group(WICG)で公開されたドラフトにて提案されている。 参考情報:https://wicg.github.io/web-otp/、https://github.com/WICG/web-otp/blob/master/explainer.md クライアント側のAPI(例) サーバ側のAPI 1. クライアント側のAPIが呼び出されたら、Webサーバは要求された転送方法 でOTPを送信する。 2. 要求された転送方法ごとに、準拠するフォーマット基準が規定されている。 これにより、ユーザの資格情報(電話番号・メールアドレスなど)をプログラムで検証できるようになる。 セキュリティの観点からは、送信側と受信側のオリジンの境界を越えること等が考慮事項としてあげられる。また、このAPIは①Topレベルのフ レームである(サードパーティ性のiframeやライブラリの不正使用防止のため)、②HTTPS(または開発目的でlocalhost)を介している、 これらの場合にのみ有効である。 Webアプリにおいては今回の提案内容を確認したうえで開発に臨みたい。 Your verification code is: 123ABC78 @example.com #123ABC78 サーバ側のフォーマット(例)
便利で安全なネットワーク社会を創造するCopyright©2020 BroadBand Security, Inc. その他 世界のセキュリティ専門家による非営利団体Shadowserver Foundation は 、 VARIoT ( Vulnerability and Attack Repository for IoT:IoTの実用的なセキュリティ情報サービス 立ち上げを目指すEUのプロジェクト)に参画している。 2020年6月、Shadowserverはその活動の一環として日々実施 している、インターネット上のIoT機器を調査するポートスキャンによ り、 大量のIPP(Internet Printing Protocol)使用プリンタが、適 切なアクセス制御や認証機構のないままインターネット接続されてい ることを公表した(右参照)。 該当するプリンタの製品名には、ビジネスユースと思われるものも含 まれている。国別割合では36,300件の韓国が圧倒的に多く、13 番目の日本からは860件検出されたとのこと。 ネットワーク接続プリンタはインターネット時代を迎えて以来—それこ そIoT時代のはるか前から—長らく使用されているが、セキュリティ対 策は、ないがしろにされがちであるという実態が明らかになった。  インターネット上に公開されている大量のIPPプリンタ https://www.shadowserver.org/news/open-ipp-report-exposed-print er-devices-on-the-internet/ 実施概要 • TCP631ポートに対しIPPプリンタ属性取得要求送信 • 40億(IPv4)アドレスに対する定期スキャン 結果 • 1日約8万ものプリンタ情報がインターネット上にさらさ れている。 • プリンタ名、ロケーション、ファームウェアのバージョン、組 織名、SSID等の情報も取得できたものが多い。 • プリンタに実装されたCUPS*のうち、バージョン情報を返 した約5万8千台の大半が旧バージョン(脆弱性あり)。 *Common Unix Printing System:UNIX系OS用オープンソース印刷 システム 参考情報: インターネット上に情報がさらされているこれらのプリンタは、サイバー攻撃を受 ける危険性があるため、ファイアウォールや認証機構を実装する必要がある。 12
便利で安全なネットワーク社会を創造するCopyright©2020 BroadBand Security, Inc. 今後のセキュリティ脅威傾向の予測 ※ 赤字は今月のトピックスで 紹介した項目 標的型攻撃(APT含む)の巧妙化および増加  マルウェア・ランサムウェア・ワイパーウェア攻撃のさらなる増加  IoT機器・5Gに対する脅威やセキュリティ対策  ITサプライチェーンの弱点を狙った攻撃  東京五輪の開催に向けた海外から日本国内へのサイバー攻撃の増加  キャッシュレス社会の進展にともなうリスク  クラウドサービスにおけるセキュリティリスク  ビッグデータ・AI技術を用いたサイバー攻撃  個人情報の保護と各種法令の遵守課題  認証技術の転換と対応の遅れによるリスク 13
便利で安全なネットワーク社会を創造するCopyright©2020 BroadBand Security, Inc. 今後のセキュリティ脅威に対する基本的対策例  自組織のCSIRTの成熟化、自組織外の機関との連携強化 (⇒定期的な情報セキュリティに関する訓練や演習の実施)  多方面から鑑みた総合的なセキュリティ対策の強化(特に人的対策の強化)  多要素認証の導入  SLAやサポート条件等の評価に基づくサービス・ベンダの選定  クラウド環境におけるセキュリティ設定の徹底  アセット・インベントリ管理の充実  各種法令の把握と体制構築  定期的な診断の実施とセキュアコーディングの徹底 14

Recommended

Securitytopics 2020 05
Securitytopics 2020 05Securitytopics 2020 05
Securitytopics 2020 05SQATjp
 
クラウド時代の「ID管理」と「認証セキュリティ」
クラウド時代の「ID管理」と「認証セキュリティ」クラウド時代の「ID管理」と「認証セキュリティ」
クラウド時代の「ID管理」と「認証セキュリティ」Tatsuya (達也) Katsuhara (勝原)
 
Securitytopics 2020 06
Securitytopics 2020 06Securitytopics 2020 06
Securitytopics 2020 06SQATjp
 
20150723 最近の興味動向 fido編
20150723 最近の興味動向 fido編20150723 最近の興味動向 fido編
20150723 最近の興味動向 fido編Tatsuya (達也) Katsuhara (勝原)
 
【A2iセミナー】できることからやってみたスマートフォン・Twitterのアクセス解析
【A2iセミナー】できることからやってみたスマートフォン・Twitterのアクセス解析【A2iセミナー】できることからやってみたスマートフォン・Twitterのアクセス解析
【A2iセミナー】できることからやってみたスマートフォン・Twitterのアクセス解析Masaki Saito
 
APIdays Australia 2017 TOI #APIdaysAU
APIdays Australia 2017 TOI #APIdaysAUAPIdays Australia 2017 TOI #APIdaysAU
APIdays Australia 2017 TOI #APIdaysAUTatsuo Kudo
 
#jics2014 そろそろ「社員IDでログインできます」 始めてみませんか? サービス・プロバイダーの立場から考える 「エンタープライズ・アイデンテ...
#jics2014 そろそろ「社員IDでログインできます」 始めてみませんか? サービス・プロバイダーの立場から考える 「エンタープライズ・アイデンテ...#jics2014 そろそろ「社員IDでログインできます」 始めてみませんか? サービス・プロバイダーの立場から考える 「エンタープライズ・アイデンテ...
#jics2014 そろそろ「社員IDでログインできます」 始めてみませんか? サービス・プロバイダーの立場から考える 「エンタープライズ・アイデンテ...Tatsuo Kudo
 
NRIセキュアが考える持続可能なID&アクセス管理基盤の実現
NRIセキュアが考える持続可能なID&アクセス管理基盤の実現NRIセキュアが考える持続可能なID&アクセス管理基盤の実現
NRIセキュアが考える持続可能なID&アクセス管理基盤の実現Tatsuo Kudo
 

Recommended

Securitytopics 2020 05
Securitytopics 2020 05Securitytopics 2020 05
Securitytopics 2020 05SQATjp
 
クラウド時代の「ID管理」と「認証セキュリティ」
クラウド時代の「ID管理」と「認証セキュリティ」クラウド時代の「ID管理」と「認証セキュリティ」
クラウド時代の「ID管理」と「認証セキュリティ」Tatsuya (達也) Katsuhara (勝原)
 
Securitytopics 2020 06
Securitytopics 2020 06Securitytopics 2020 06
Securitytopics 2020 06SQATjp
 
20150723 最近の興味動向 fido編
20150723 最近の興味動向 fido編20150723 最近の興味動向 fido編
20150723 最近の興味動向 fido編Tatsuya (達也) Katsuhara (勝原)
 
【A2iセミナー】できることからやってみたスマートフォン・Twitterのアクセス解析
【A2iセミナー】できることからやってみたスマートフォン・Twitterのアクセス解析【A2iセミナー】できることからやってみたスマートフォン・Twitterのアクセス解析
【A2iセミナー】できることからやってみたスマートフォン・Twitterのアクセス解析Masaki Saito
 
APIdays Australia 2017 TOI #APIdaysAU
APIdays Australia 2017 TOI #APIdaysAUAPIdays Australia 2017 TOI #APIdaysAU
APIdays Australia 2017 TOI #APIdaysAUTatsuo Kudo
 
#jics2014 そろそろ「社員IDでログインできます」 始めてみませんか? サービス・プロバイダーの立場から考える 「エンタープライズ・アイデンテ...
#jics2014 そろそろ「社員IDでログインできます」 始めてみませんか? サービス・プロバイダーの立場から考える 「エンタープライズ・アイデンテ...#jics2014 そろそろ「社員IDでログインできます」 始めてみませんか? サービス・プロバイダーの立場から考える 「エンタープライズ・アイデンテ...
#jics2014 そろそろ「社員IDでログインできます」 始めてみませんか? サービス・プロバイダーの立場から考える 「エンタープライズ・アイデンテ...Tatsuo Kudo
 
NRIセキュアが考える持続可能なID&アクセス管理基盤の実現
NRIセキュアが考える持続可能なID&アクセス管理基盤の実現NRIセキュアが考える持続可能なID&アクセス管理基盤の実現
NRIセキュアが考える持続可能なID&アクセス管理基盤の実現Tatsuo Kudo
 
IoT時代のインターネット技術動向 -アプリケーションプロトコル編-
IoT時代のインターネット技術動向 -アプリケーションプロトコル編-IoT時代のインターネット技術動向 -アプリケーションプロトコル編-
IoT時代のインターネット技術動向 -アプリケーションプロトコル編-Masaru Kurahayashi
 
InternetWeek2016 企業を取り巻くDigital Identityの今とこれから - Identity Is The New Perimet...
InternetWeek2016 企業を取り巻くDigital Identityの今とこれから - Identity Is The New Perimet...InternetWeek2016 企業を取り巻くDigital Identityの今とこれから - Identity Is The New Perimet...
InternetWeek2016 企業を取り巻くDigital Identityの今とこれから - Identity Is The New Perimet...Tatsuya (達也) Katsuhara (勝原)
 
クラウド過渡期、Identityに注目だ! idit2014
クラウド過渡期、Identityに注目だ! idit2014クラウド過渡期、Identityに注目だ! idit2014
クラウド過渡期、Identityに注目だ! idit2014Egawa Junichi
 
FIDO2によるパスワードレス認証が導く新しい認証の世界
FIDO2によるパスワードレス認証が導く新しい認証の世界FIDO2によるパスワードレス認証が導く新しい認証の世界
FIDO2によるパスワードレス認証が導く新しい認証の世界Kazuhito Shibata
 
Monaca ug osaka_20190522
Monaca ug osaka_20190522Monaca ug osaka_20190522
Monaca ug osaka_20190522Daisuke Yamashita
 
エンタープライズITでのOpenID Connect利用ガイドライン
エンタープライズITでのOpenID Connect利用ガイドラインエンタープライズITでのOpenID Connect利用ガイドライン
エンタープライズITでのOpenID Connect利用ガイドラインTatsuo Kudo
 
OpenID Connect, December 2011
OpenID Connect, December 2011OpenID Connect, December 2011
OpenID Connect, December 2011Tatsuo Kudo
 
利用者本位のAPI提供に向けたアイデンティティ (ID) 標準仕様の動向
利用者本位のAPI提供に向けたアイデンティティ (ID) 標準仕様の動向利用者本位のAPI提供に向けたアイデンティティ (ID) 標準仕様の動向
利用者本位のAPI提供に向けたアイデンティティ (ID) 標準仕様の動向Tatsuo Kudo
 
OpenID Connect のビジネスチャンス
OpenID Connect のビジネスチャンスOpenID Connect のビジネスチャンス
OpenID Connect のビジネスチャンスOpenID Foundation Japan
 
VPNはもう卒業!FIDO2認証で次世代リモートアクセス
VPNはもう卒業!FIDO2認証で次世代リモートアクセスVPNはもう卒業!FIDO2認証で次世代リモートアクセス
VPNはもう卒業!FIDO2認証で次世代リモートアクセスFIDO Alliance
 
IoTデバイスを脅威から守るセキュリティ機能-RXセキュリティMCUのご紹介
IoTデバイスを脅威から守るセキュリティ機能-RXセキュリティMCUのご紹介IoTデバイスを脅威から守るセキュリティ機能-RXセキュリティMCUのご紹介
IoTデバイスを脅威から守るセキュリティ機能-RXセキュリティMCUのご紹介Trainocate Japan, Ltd.
 
OpenID Connect Summit Transfer of Information
OpenID Connect Summit Transfer of InformationOpenID Connect Summit Transfer of Information
OpenID Connect Summit Transfer of InformationTatsuya (達也) Katsuhara (勝原)
 
Idcon gomi-052715-pub
Idcon gomi-052715-pubIdcon gomi-052715-pub
Idcon gomi-052715-pubHidehito Gomi
 
Random Thoughts on Digital Identity Professional #openid_eiwg
Random Thoughts on Digital Identity Professional #openid_eiwgRandom Thoughts on Digital Identity Professional #openid_eiwg
Random Thoughts on Digital Identity Professional #openid_eiwgTatsuo Kudo
 
Active Directory のクラウド武装化計画 V2~"AD on Azure IaaS" or "Windows Azure Active Di...
Active Directory のクラウド武装化計画 V2~"AD on Azure IaaS" or "Windows Azure Active Di...Active Directory のクラウド武装化計画 V2~"AD on Azure IaaS" or "Windows Azure Active Di...
Active Directory のクラウド武装化計画 V2~"AD on Azure IaaS" or "Windows Azure Active Di...junichi anno
 
AWS IoT サービスこの1年の進化
AWS IoT サービスこの1年の進化AWS IoT サービスこの1年の進化
AWS IoT サービスこの1年の進化Jun Ichikawa
 
20200219-iot@loft#8_security_of_smarthome
20200219-iot@loft#8_security_of_smarthome20200219-iot@loft#8_security_of_smarthome
20200219-iot@loft#8_security_of_smarthomeAmazon Web Services Japan
 
Securitytopics 2020 08
Securitytopics 2020 08Securitytopics 2020 08
Securitytopics 2020 08SQATjp
 
202204 AWS Black Belt Online Seminar AWS IoT Device Defender
202204 AWS Black Belt Online Seminar AWS IoT Device Defender202204 AWS Black Belt Online Seminar AWS IoT Device Defender
202204 AWS Black Belt Online Seminar AWS IoT Device DefenderAmazon Web Services Japan
 
Oracle Cloud の セキュリティ・コンプライアンス 最新情報(Oracle Cloudウェビナーシリーズ: 2020年7月16日)
Oracle Cloud の セキュリティ・コンプライアンス 最新情報(Oracle Cloudウェビナーシリーズ: 2020年7月16日) Oracle Cloud の セキュリティ・コンプライアンス 最新情報(Oracle Cloudウェビナーシリーズ: 2020年7月16日)
Oracle Cloud の セキュリティ・コンプライアンス 最新情報(Oracle Cloudウェビナーシリーズ: 2020年7月16日) オラクルエンジニア通信
 
クラウドの汎用的な基礎知識に自信はありますか?
クラウドの汎用的な基礎知識に自信はありますか?クラウドの汎用的な基礎知識に自信はありますか?
クラウドの汎用的な基礎知識に自信はありますか?Masanori KAMAYAMA
 
ゼロトラスト時代のクラウドセキュリティ~ グローバル比較で見えてきたこれから取り組むべきこと (Oracle Cloudウェビナーシリーズ: 2020年9...
ゼロトラスト時代のクラウドセキュリティ~ グローバル比較で見えてきたこれから取り組むべきこと (Oracle Cloudウェビナーシリーズ: 2020年9...ゼロトラスト時代のクラウドセキュリティ~ グローバル比較で見えてきたこれから取り組むべきこと (Oracle Cloudウェビナーシリーズ: 2020年9...
ゼロトラスト時代のクラウドセキュリティ~ グローバル比較で見えてきたこれから取り組むべきこと (Oracle Cloudウェビナーシリーズ: 2020年9...オラクルエンジニア通信
 

More Related Content

What's hot

IoT時代のインターネット技術動向 -アプリケーションプロトコル編-
IoT時代のインターネット技術動向 -アプリケーションプロトコル編-IoT時代のインターネット技術動向 -アプリケーションプロトコル編-
IoT時代のインターネット技術動向 -アプリケーションプロトコル編-Masaru Kurahayashi
 
InternetWeek2016 企業を取り巻くDigital Identityの今とこれから - Identity Is The New Perimet...
InternetWeek2016 企業を取り巻くDigital Identityの今とこれから - Identity Is The New Perimet...InternetWeek2016 企業を取り巻くDigital Identityの今とこれから - Identity Is The New Perimet...
InternetWeek2016 企業を取り巻くDigital Identityの今とこれから - Identity Is The New Perimet...Tatsuya (達也) Katsuhara (勝原)
 
クラウド過渡期、Identityに注目だ! idit2014
クラウド過渡期、Identityに注目だ! idit2014クラウド過渡期、Identityに注目だ! idit2014
クラウド過渡期、Identityに注目だ! idit2014Egawa Junichi
 
FIDO2によるパスワードレス認証が導く新しい認証の世界
FIDO2によるパスワードレス認証が導く新しい認証の世界FIDO2によるパスワードレス認証が導く新しい認証の世界
FIDO2によるパスワードレス認証が導く新しい認証の世界Kazuhito Shibata
 
エンタープライズITでのOpenID Connect利用ガイドライン
エンタープライズITでのOpenID Connect利用ガイドラインエンタープライズITでのOpenID Connect利用ガイドライン
エンタープライズITでのOpenID Connect利用ガイドラインTatsuo Kudo
 
OpenID Connect, December 2011
OpenID Connect, December 2011OpenID Connect, December 2011
OpenID Connect, December 2011Tatsuo Kudo
 
利用者本位のAPI提供に向けたアイデンティティ (ID) 標準仕様の動向
利用者本位のAPI提供に向けたアイデンティティ (ID) 標準仕様の動向利用者本位のAPI提供に向けたアイデンティティ (ID) 標準仕様の動向
利用者本位のAPI提供に向けたアイデンティティ (ID) 標準仕様の動向Tatsuo Kudo
 
OpenID Connect のビジネスチャンス
OpenID Connect のビジネスチャンスOpenID Connect のビジネスチャンス
OpenID Connect のビジネスチャンスOpenID Foundation Japan
 
VPNはもう卒業!FIDO2認証で次世代リモートアクセス
VPNはもう卒業!FIDO2認証で次世代リモートアクセスVPNはもう卒業!FIDO2認証で次世代リモートアクセス
VPNはもう卒業!FIDO2認証で次世代リモートアクセスFIDO Alliance
 
IoTデバイスを脅威から守るセキュリティ機能-RXセキュリティMCUのご紹介
IoTデバイスを脅威から守るセキュリティ機能-RXセキュリティMCUのご紹介IoTデバイスを脅威から守るセキュリティ機能-RXセキュリティMCUのご紹介
IoTデバイスを脅威から守るセキュリティ機能-RXセキュリティMCUのご紹介Trainocate Japan, Ltd.
 
Idcon gomi-052715-pub
Idcon gomi-052715-pubIdcon gomi-052715-pub
Idcon gomi-052715-pubHidehito Gomi
 
Random Thoughts on Digital Identity Professional #openid_eiwg
Random Thoughts on Digital Identity Professional #openid_eiwgRandom Thoughts on Digital Identity Professional #openid_eiwg
Random Thoughts on Digital Identity Professional #openid_eiwgTatsuo Kudo
 
Active Directory のクラウド武装化計画 V2~"AD on Azure IaaS" or "Windows Azure Active Di...
Active Directory のクラウド武装化計画 V2~"AD on Azure IaaS" or "Windows Azure Active Di...Active Directory のクラウド武装化計画 V2~"AD on Azure IaaS" or "Windows Azure Active Di...
Active Directory のクラウド武装化計画 V2~"AD on Azure IaaS" or "Windows Azure Active Di...junichi anno
 

What's hot (15)

IoT時代のインターネット技術動向 -アプリケーションプロトコル編-
IoT時代のインターネット技術動向 -アプリケーションプロトコル編-IoT時代のインターネット技術動向 -アプリケーションプロトコル編-
IoT時代のインターネット技術動向 -アプリケーションプロトコル編-
 
InternetWeek2016 企業を取り巻くDigital Identityの今とこれから - Identity Is The New Perimet...
InternetWeek2016 企業を取り巻くDigital Identityの今とこれから - Identity Is The New Perimet...InternetWeek2016 企業を取り巻くDigital Identityの今とこれから - Identity Is The New Perimet...
InternetWeek2016 企業を取り巻くDigital Identityの今とこれから - Identity Is The New Perimet...
 
クラウド過渡期、Identityに注目だ! idit2014
クラウド過渡期、Identityに注目だ! idit2014クラウド過渡期、Identityに注目だ! idit2014
クラウド過渡期、Identityに注目だ! idit2014
 
FIDO2によるパスワードレス認証が導く新しい認証の世界
FIDO2によるパスワードレス認証が導く新しい認証の世界FIDO2によるパスワードレス認証が導く新しい認証の世界
FIDO2によるパスワードレス認証が導く新しい認証の世界
 
Monaca ug osaka_20190522
Monaca ug osaka_20190522Monaca ug osaka_20190522
Monaca ug osaka_20190522
 
エンタープライズITでのOpenID Connect利用ガイドライン
エンタープライズITでのOpenID Connect利用ガイドラインエンタープライズITでのOpenID Connect利用ガイドライン
エンタープライズITでのOpenID Connect利用ガイドライン
 
OpenID Connect, December 2011
OpenID Connect, December 2011OpenID Connect, December 2011
OpenID Connect, December 2011
 
利用者本位のAPI提供に向けたアイデンティティ (ID) 標準仕様の動向
利用者本位のAPI提供に向けたアイデンティティ (ID) 標準仕様の動向利用者本位のAPI提供に向けたアイデンティティ (ID) 標準仕様の動向
利用者本位のAPI提供に向けたアイデンティティ (ID) 標準仕様の動向
 
OpenID Connect のビジネスチャンス
OpenID Connect のビジネスチャンスOpenID Connect のビジネスチャンス
OpenID Connect のビジネスチャンス
 
VPNはもう卒業!FIDO2認証で次世代リモートアクセス
VPNはもう卒業!FIDO2認証で次世代リモートアクセスVPNはもう卒業!FIDO2認証で次世代リモートアクセス
VPNはもう卒業!FIDO2認証で次世代リモートアクセス
 
IoTデバイスを脅威から守るセキュリティ機能-RXセキュリティMCUのご紹介
IoTデバイスを脅威から守るセキュリティ機能-RXセキュリティMCUのご紹介IoTデバイスを脅威から守るセキュリティ機能-RXセキュリティMCUのご紹介
IoTデバイスを脅威から守るセキュリティ機能-RXセキュリティMCUのご紹介
 
OpenID Connect Summit Transfer of Information
OpenID Connect Summit Transfer of InformationOpenID Connect Summit Transfer of Information
OpenID Connect Summit Transfer of Information
 
Idcon gomi-052715-pub
Idcon gomi-052715-pubIdcon gomi-052715-pub
Idcon gomi-052715-pub
 
Random Thoughts on Digital Identity Professional #openid_eiwg
Random Thoughts on Digital Identity Professional #openid_eiwgRandom Thoughts on Digital Identity Professional #openid_eiwg
Random Thoughts on Digital Identity Professional #openid_eiwg
 
Active Directory のクラウド武装化計画 V2~"AD on Azure IaaS" or "Windows Azure Active Di...
Active Directory のクラウド武装化計画 V2~"AD on Azure IaaS" or "Windows Azure Active Di...Active Directory のクラウド武装化計画 V2~"AD on Azure IaaS" or "Windows Azure Active Di...
Active Directory のクラウド武装化計画 V2~"AD on Azure IaaS" or "Windows Azure Active Di...
 

Similar to Securitytopics 2020 07

AWS IoT サービスこの1年の進化
AWS IoT サービスこの1年の進化AWS IoT サービスこの1年の進化
AWS IoT サービスこの1年の進化Jun Ichikawa
 
Securitytopics 2020 08
Securitytopics 2020 08Securitytopics 2020 08
Securitytopics 2020 08SQATjp
 
202204 AWS Black Belt Online Seminar AWS IoT Device Defender
202204 AWS Black Belt Online Seminar AWS IoT Device Defender202204 AWS Black Belt Online Seminar AWS IoT Device Defender
202204 AWS Black Belt Online Seminar AWS IoT Device DefenderAmazon Web Services Japan
 
Oracle Cloud の セキュリティ・コンプライアンス 最新情報(Oracle Cloudウェビナーシリーズ: 2020年7月16日)
Oracle Cloud の セキュリティ・コンプライアンス 最新情報(Oracle Cloudウェビナーシリーズ: 2020年7月16日) Oracle Cloud の セキュリティ・コンプライアンス 最新情報(Oracle Cloudウェビナーシリーズ: 2020年7月16日)
Oracle Cloud の セキュリティ・コンプライアンス 最新情報(Oracle Cloudウェビナーシリーズ: 2020年7月16日) オラクルエンジニア通信
 
クラウドの汎用的な基礎知識に自信はありますか?
クラウドの汎用的な基礎知識に自信はありますか?クラウドの汎用的な基礎知識に自信はありますか?
クラウドの汎用的な基礎知識に自信はありますか?Masanori KAMAYAMA
 
ゼロトラスト時代のクラウドセキュリティ~ グローバル比較で見えてきたこれから取り組むべきこと (Oracle Cloudウェビナーシリーズ: 2020年9...
ゼロトラスト時代のクラウドセキュリティ~ グローバル比較で見えてきたこれから取り組むべきこと (Oracle Cloudウェビナーシリーズ: 2020年9...ゼロトラスト時代のクラウドセキュリティ~ グローバル比較で見えてきたこれから取り組むべきこと (Oracle Cloudウェビナーシリーズ: 2020年9...
ゼロトラスト時代のクラウドセキュリティ~ グローバル比較で見えてきたこれから取り組むべきこと (Oracle Cloudウェビナーシリーズ: 2020年9...オラクルエンジニア通信
 
Introduction_of_CNSec_three_dogs _AWS_Dev_Day_LT
Introduction_of_CNSec_three_dogs _AWS_Dev_Day_LTIntroduction_of_CNSec_three_dogs _AWS_Dev_Day_LT
Introduction_of_CNSec_three_dogs _AWS_Dev_Day_LTTyphon 666
 
Lt4 aws@loft #11 aws io-t for smart building
Lt4 aws@loft #11 aws io-t for smart buildingLt4 aws@loft #11 aws io-t for smart building
Lt4 aws@loft #11 aws io-t for smart buildingAmazon Web Services Japan
 
パスワードのいらない世界へ
パスワードのいらない世界へパスワードのいらない世界へ
パスワードのいらない世界へKeiko Itakura
 
次世代 IDaaS のポイントは本人確認 NIST と、サプライチェーンセキュリティと、みなしご ID - OpenID Summit 2020
次世代 IDaaS のポイントは本人確認 NIST と、サプライチェーンセキュリティと、みなしご ID - OpenID Summit 2020次世代 IDaaS のポイントは本人確認 NIST と、サプライチェーンセキュリティと、みなしご ID - OpenID Summit 2020
次世代 IDaaS のポイントは本人確認 NIST と、サプライチェーンセキュリティと、みなしご ID - OpenID Summit 2020OpenID Foundation Japan
 
進むクラウドセキュリティ
進むクラウドセキュリティ進むクラウドセキュリティ
進むクラウドセキュリティMasahiro Morozumi
 
IoT@Loft #4 - IoT製品の量産化および運用を効率化させるためのAWS サービスの使い方
IoT@Loft #4 - IoT製品の量産化および運用を効率化させるためのAWS サービスの使い方IoT@Loft #4 - IoT製品の量産化および運用を効率化させるためのAWS サービスの使い方
IoT@Loft #4 - IoT製品の量産化および運用を効率化させるためのAWS サービスの使い方Amazon Web Services Japan
 
20190919 よくご相談いただくセキュリティの質問と考え方
20190919 よくご相談いただくセキュリティの質問と考え方20190919 よくご相談いただくセキュリティの質問と考え方
20190919 よくご相談いただくセキュリティの質問と考え方Amazon Web Services Japan
 
認証技術、デジタルアイデンティティ技術の最新動向
認証技術、デジタルアイデンティティ技術の最新動向認証技術、デジタルアイデンティティ技術の最新動向
認証技術、デジタルアイデンティティ技術の最新動向Tatsuo Kudo
 
20200722 AWS Black Belt Online Seminar AWSアカウント シングルサインオンの設計と運用
20200722 AWS Black Belt Online Seminar AWSアカウント シングルサインオンの設計と運用20200722 AWS Black Belt Online Seminar AWSアカウント シングルサインオンの設計と運用
20200722 AWS Black Belt Online Seminar AWSアカウント シングルサインオンの設計と運用Amazon Web Services Japan
 
NVIDIA Jetson導入事例ご紹介
NVIDIA Jetson導入事例ご紹介NVIDIA Jetson導入事例ご紹介
NVIDIA Jetson導入事例ご紹介NVIDIA Japan
 
AWS のヘルスケア&ライフサイエンス 領域における取り組み
AWS のヘルスケア&ライフサイエンス 領域における取り組みAWS のヘルスケア&ライフサイエンス 領域における取り組み
AWS のヘルスケア&ライフサイエンス 領域における取り組みSohOhara
 

Similar to Securitytopics 2020 07 (20)

AWS IoT サービスこの1年の進化
AWS IoT サービスこの1年の進化AWS IoT サービスこの1年の進化
AWS IoT サービスこの1年の進化
 
20200219-iot@loft#8_security_of_smarthome
20200219-iot@loft#8_security_of_smarthome20200219-iot@loft#8_security_of_smarthome
20200219-iot@loft#8_security_of_smarthome
 
Securitytopics 2020 08
Securitytopics 2020 08Securitytopics 2020 08
Securitytopics 2020 08
 
202204 AWS Black Belt Online Seminar AWS IoT Device Defender
202204 AWS Black Belt Online Seminar AWS IoT Device Defender202204 AWS Black Belt Online Seminar AWS IoT Device Defender
202204 AWS Black Belt Online Seminar AWS IoT Device Defender
 
Oracle Cloud の セキュリティ・コンプライアンス 最新情報(Oracle Cloudウェビナーシリーズ: 2020年7月16日)
Oracle Cloud の セキュリティ・コンプライアンス 最新情報(Oracle Cloudウェビナーシリーズ: 2020年7月16日) Oracle Cloud の セキュリティ・コンプライアンス 最新情報(Oracle Cloudウェビナーシリーズ: 2020年7月16日)
Oracle Cloud の セキュリティ・コンプライアンス 最新情報(Oracle Cloudウェビナーシリーズ: 2020年7月16日)
 
クラウドの汎用的な基礎知識に自信はありますか?
クラウドの汎用的な基礎知識に自信はありますか?クラウドの汎用的な基礎知識に自信はありますか?
クラウドの汎用的な基礎知識に自信はありますか?
 
ゼロトラスト時代のクラウドセキュリティ~ グローバル比較で見えてきたこれから取り組むべきこと (Oracle Cloudウェビナーシリーズ: 2020年9...
ゼロトラスト時代のクラウドセキュリティ~ グローバル比較で見えてきたこれから取り組むべきこと (Oracle Cloudウェビナーシリーズ: 2020年9...ゼロトラスト時代のクラウドセキュリティ~ グローバル比較で見えてきたこれから取り組むべきこと (Oracle Cloudウェビナーシリーズ: 2020年9...
ゼロトラスト時代のクラウドセキュリティ~ グローバル比較で見えてきたこれから取り組むべきこと (Oracle Cloudウェビナーシリーズ: 2020年9...
 
Sase
SaseSase
Sase
 
Introduction_of_CNSec_three_dogs _AWS_Dev_Day_LT
Introduction_of_CNSec_three_dogs _AWS_Dev_Day_LTIntroduction_of_CNSec_three_dogs _AWS_Dev_Day_LT
Introduction_of_CNSec_three_dogs _AWS_Dev_Day_LT
 
Lt4 aws@loft #11 aws io-t for smart building
Lt4 aws@loft #11 aws io-t for smart buildingLt4 aws@loft #11 aws io-t for smart building
Lt4 aws@loft #11 aws io-t for smart building
 
03_AWS IoTのDRを考える
03_AWS IoTのDRを考える03_AWS IoTのDRを考える
03_AWS IoTのDRを考える
 
パスワードのいらない世界へ
パスワードのいらない世界へパスワードのいらない世界へ
パスワードのいらない世界へ
 
次世代 IDaaS のポイントは本人確認 NIST と、サプライチェーンセキュリティと、みなしご ID - OpenID Summit 2020
次世代 IDaaS のポイントは本人確認 NIST と、サプライチェーンセキュリティと、みなしご ID - OpenID Summit 2020次世代 IDaaS のポイントは本人確認 NIST と、サプライチェーンセキュリティと、みなしご ID - OpenID Summit 2020
次世代 IDaaS のポイントは本人確認 NIST と、サプライチェーンセキュリティと、みなしご ID - OpenID Summit 2020
 
進むクラウドセキュリティ
進むクラウドセキュリティ進むクラウドセキュリティ
進むクラウドセキュリティ
 
IoT@Loft #4 - IoT製品の量産化および運用を効率化させるためのAWS サービスの使い方
IoT@Loft #4 - IoT製品の量産化および運用を効率化させるためのAWS サービスの使い方IoT@Loft #4 - IoT製品の量産化および運用を効率化させるためのAWS サービスの使い方
IoT@Loft #4 - IoT製品の量産化および運用を効率化させるためのAWS サービスの使い方
 
20190919 よくご相談いただくセキュリティの質問と考え方
20190919 よくご相談いただくセキュリティの質問と考え方20190919 よくご相談いただくセキュリティの質問と考え方
20190919 よくご相談いただくセキュリティの質問と考え方
 
認証技術、デジタルアイデンティティ技術の最新動向
認証技術、デジタルアイデンティティ技術の最新動向認証技術、デジタルアイデンティティ技術の最新動向
認証技術、デジタルアイデンティティ技術の最新動向
 
20200722 AWS Black Belt Online Seminar AWSアカウント シングルサインオンの設計と運用
20200722 AWS Black Belt Online Seminar AWSアカウント シングルサインオンの設計と運用20200722 AWS Black Belt Online Seminar AWSアカウント シングルサインオンの設計と運用
20200722 AWS Black Belt Online Seminar AWSアカウント シングルサインオンの設計と運用
 
NVIDIA Jetson導入事例ご紹介
NVIDIA Jetson導入事例ご紹介NVIDIA Jetson導入事例ご紹介
NVIDIA Jetson導入事例ご紹介
 
AWS のヘルスケア&ライフサイエンス 領域における取り組み
AWS のヘルスケア&ライフサイエンス 領域における取り組みAWS のヘルスケア&ライフサイエンス 領域における取り組み
AWS のヘルスケア&ライフサイエンス 領域における取り組み
 

Securitytopics 2020 07

  • 1. Copyright©BroadBand Security, Inc. 便利で安全なネットワーク社会を創造するCopyright©2020 BroadBand Security, Inc. セキュリティトピックス 2020年7月 2020年7月10日 本記事において記載されている会社名、商品名、サービス名は各社の商標または登録商標です。 なお、本文中では、商標または登録商標を表すマークを特に提示していない場合があります。
  • 2. 便利で安全なネットワーク社会を創造するCopyright©2020 BroadBand Security, Inc. 脆弱性・マルウェア関連 2020年6月29日、パロアルトネットワークス社は、同社製 品で使用されているOS「PAN-OS」の脆弱性を公開した。 CVE番号はCVE-2020-2021。SAML認証が有効、かつ Validate Identity Provider Certificateのオプションが 無効である場合に、署名検証の不備に起因する問題により 認証を回避され、SAML認証で保護しているリソースにアク セスされる可能性がある。対象となるのは、PAN-OS 9.1系、 9.0系、8.1系、8.0系の特定バージョン。 攻撃には複数の条件が揃うことが必要であるものの、条件が 揃った場合の被害は甚大になることが想定され、同社による 深刻度評価は、CVSS v3で最も高い10.0となっている。 同OSを利用している組織では、早急に設定を確認し、 脆弱性が修正されたバージョンへアップデートすることが求め られる。なお、8.0系は、2019年10月31日にサポートが終 了しているため、別途アップグレードを検討する必要がある。 1 参考情報: https://security.paloaltonetworks.com/CVE-2020-2021、 https://www.jpcert.or.jp/newsflash/2020063001.html  PAN-OSに認証回避の脆弱性(CVE-2020-2021) 影響を受ける バージョン 脆弱性対策が 施されたバージョン 9.1系:9.1.3より 前のバージョン 9.1.3 およびそれ以降のバージョン 9.0系:9.0.9より 前のバージョン 9.0.9 およびそれ以降のバージョン 8.1系:8.1.15より 前のバージョン 8.1.15 およびそれ以降のバージョン 8.0系: すべてのバージョン 提供なし。2019年10月31日でサポート終了のため、 脆弱性対策が施されたバージョンへのアップグレードが必要 攻撃元区分(AV) ネットワーク 攻撃条件の複雑さ(AC) 低 必要な特権レベル(PR) なし ユーザ関与レベル(UI) なし スコープ(S) 変更あり 機密性への影響(C) 高 完全性への影響(I) 高 可用性への影響(A) 高 深刻度はCVSS v3で最も高い10.0[Critical] (パロアルトネットワークス社による評価)
  • 3. 便利で安全なネットワーク社会を創造するCopyright©2020 BroadBand Security, Inc. 脆弱性・マルウェア関連  SMB関連の新たに公開された脆弱性への影響と対策について(1) 2 2020年6月9日、Microsoftが月例のセキュリティパッチをリリース、その中でSMBに関する2件の情報をピックアップ。概要は下記の表のとおり。 CVE番号 CVE-2020-1301(SMBLost) リスクレベル HIGH CVSS v3 8.8 対象 Windows 7~10の複数製品 Windows Server (1803,1903,1909,2004)*Server Core版 Windows Server 2008~2019の複数製品 概要 Microsoft Server Message Block 1.0 (SMBv1) プロトコルが特定のリクエストを処理 する方法に脆弱性が存在し、悪用された場合に リモートコード実行の恐れがある。 攻撃にあたっては認証が必要となる。 CVE番号 CVE-2020-1206(SMBleed) リスクレベル HIGH CVSS v3 7.5 対象 Windows 10 (1903,1909,2004) Windows Server (1903,1909,2004)*Server Core版 概要 Microsoft Server Message Block 3.1.1.1 (SMBv3) プロトコルが特定のリクエストを処理す る方法に脆弱性が存在し、悪用された場合に情 報漏洩の恐れがある。 攻撃にあたっての認証は不要。
  • 4. 便利で安全なネットワーク社会を創造するCopyright©2020 BroadBand Security, Inc. 脆弱性・マルウェア関連  SMB関連の新たに公開された脆弱性への影響と対策について(2) 3 各脆弱性により想定される影響は以下のとおり。 ■CVE-2020-1206(SMBleed) SMBv3.1.1の圧縮機能の脆弱性であり、当該機能が有効な状 態で公開されている機器は日本で約31,000台あると推測される (2020年7月時点で弊社が確認したShodan検索結果) 。 PoC(脆弱性実証コード)が公表されている。 過去に公表されたCVE-2020-0796(SMBGhost、こちらも SMBv3の圧縮機能の脆弱性に起因する)の流れで見つかったと 推測される。先日SMBGhostにもPoC(脆弱性実証コード)が 公表されたので注意が必要。 ■CVE-2020-1301(SMBLost) SMBv1プロトコルそのものの脆弱性であり、サービスが有効な状態 で公開されている機器は日本で約61,000台あると推測される。 (2020年7月時点で弊社が確認したShodan検索結果) 影響度  Microsoft社より公開されているパッチの適用(共通)  SMBサービス(445/TCP)の公開状況とサービスへの アクセス制御の確認(共通)  SMBv3 圧縮機能無効化(CVE-2020-1206、 CVE-2020-0796)  SMBv1無効化(CVE-2020-1301) 対 策 参考情報:https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-1301 https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-1206
  • 5. 便利で安全なネットワーク社会を創造するCopyright©2020 BroadBand Security, Inc. 4 脆弱性・マルウェア関連  IoT機器で広く採用されている Treck製IPスタックに複数の脆弱性(1) イスラエルのサイバーセキュリティ企業JSOFは、Treck社が開発したTCP/IPスタックに存在する19件の脆弱性を公開した。 「Ripple20」と命名されたこれらの脆弱性は、ITサプライチェーンにおいて関連するベンダの何億ものデバイスに影響すると考えられる。 影響を受ける製品が使用されているとされる業界の例 出典:https://www.jsof-tech.com/ripple20/ 「Ripple20」に割り当てられたCVE番号はCVE-2020-11896~CVE-2020-11914で、 そのうち4件は、CVSS値が9.0以上の深刻度Criticalと評価されている。 <「Ripple20」 について> 影響を受ける業界は通信、小売、商社、医療、輸送、工業、エネルギーなど広範に及んでおり、個人 経営の小規模な企業から、Ciscoや電機メーカーのシュナイダー、IT製品大手のIntelやHPなどの 「Fortune 500」に名を連ねる企業まで、多様なベンダがこの脆弱性の影響を受けるとされる。 JSOFの研究者は、この中で最も危険な脆弱性の1つに、デバイスからの単一のDNSリクエストに応答 することでリモートコード実行される脆弱性(CVE-2020-11901)をあげている。DNSキャッシュポイ ズニングなどの方法を介して、インターネットへ公開されていない機器に対しても、外部から脆弱性を悪 用することが可能であるとし、詳細は2020年8月の「Black Hat USA」で発表が予定されている。 同様の脆弱性の一部は、過去にTreck社と提携していた図研エルミック社の「KASAGO TCP/IP」に も存在するため、図研エルミック社に関連するITサプライチェーンの製品にも影響がある。
  • 6. 便利で安全なネットワーク社会を創造するCopyright©2020 BroadBand Security, Inc. 脆弱性を修正するセキュリティパッチはTreck社から提供されているが、エンドユーザが直接適用することはできず、製品ごとにベンダを介して適 用する必要がある。ただし、エンドユーザに製品を提供しているベンダが、自社製品がこれら脆弱性の対象であるかは現在調査中であり、影 響範囲の全容は不明瞭である。 そのため、各ベンダがエンドユーザ向けの対象機器の情報の公開、および、セキュリティパッチの提供を開始するまでは、根本的な対策を実施 できない。そのような事情で、対策(セキュリティパッチを適用)が難しい場合、ベンダの公開する脆弱性情報に注視しつつ、該当する可能 性がある機器ごとに、適切な緩和策を実施することが推奨される。 5 脆弱性・マルウェア関連 対象 緩和策 ネットワーク機器 重要なIoTデバイスのインターネット接続を最小限にする。脆弱性のあるデバイスをネットワークから切り離す。ネットワーク セグメンテーション、ネットワークポリシーの制御。仮想プライベートネットワークの使用。 DNSサーバ 内部DNSサーバの使用。IoTデバイスが接続するネットワークでDNSプロキシを構成。  IoT機器で広く採用されている Treck製IPスタックに複数の脆弱性(2) なお、使用している機器が本脆弱性の対象であるかは、国内ベンダについてはJPCERT/CCと情報処理推進機構(IPA)が運営するJVN、 海外ベンダの場合はCERT/CCが運営するポータルサイト等を通じて、注意喚起などか実施されると考えられる。 参考情報:https://www.jsof-tech.com/ripple20/ https://www.elwsc.co.jp/wp-content/uploads/2020/06/KASAGO202006-1.pdf https://kb.cert.org/vuls/id/257161 https://jvn.jp/vu/JVNVU94736763/
  • 7. 便利で安全なネットワーク社会を創造するCopyright©2020 BroadBand Security, Inc. 脆弱性・マルウェア関連 対象製品 概要 CVE CVSSv3.x 基本値 参考情報 BIND BIND 9.xにおける実装上の不具合 により、namedに対する外部から のサービス不能(DoS)攻撃が可 能となる脆弱性。 CVE-2020-8619 CVE-2020-8618 4.9 https://jprs.jp/tech/security/2020- 06-18-bind9-vuln-asterisk.html https://jprs.jp/tech/security/2020- 06-18-bind9-vuln-zone-transfer.html https://kb.isc.org/docs/aa-00913 WordPress 遠隔の第三者がユーザのブラウザ 上で任意のスクリプトを実行する などの可能性がある脆弱性。 CVE-2020-4046 ~CVE-2020- 4050 6.8 (CVE-2020- 4047) https://wordpress.org/news/2020/0 6/wordpress-5-4-2-security-and- maintenance-release/ IP-in-IPを サポートす る 機器 IP-in-IP プロトコルをサポートし ている機器において、認証されて いない第三者によって予期せぬ通 信が行われてしまう脆弱性。 CVE-2020- 10136 5.3 https://jvn.jp/ta/JVNTA90492923 https://kb.cert.org/vuls/id/636397  2020年6月に公開された主な脆弱性 2020年6月に影響度の高い脆弱性情報が複数公開された。以下に概要をまとめる。 6
  • 8. 便利で安全なネットワーク社会を創造するCopyright©2020 BroadBand Security, Inc. 攻撃・インシデント関連 Ciscoは5月28日にSaltStack Saltの脆弱性を原因とする脆弱性が同社製品に発生したことを公表した。通常、こういった情報は 脆弱性情報の一つとして伝えるところだが、公表された情報には製品開発に携わる人がパッケージを利用する際に教訓となることが含 まれているため、単なる脆弱性情報とは違った切り口で取り上げる。まず、時系列で経緯をまとめる。 2020年4月29日 • SaltStack Saltの脆弱性 が公開される • CVE-2020-11651 (認証回避) • CVE-2020-11652 (ディレクトリトラバーサル) 5月2日~6日 • モバイルOS・ LineageOSの基幹イン フラ、ブログプラットフォー ムGhostなどでSaltの脆 弱性を悪用した侵害行 為が発生・公表 5月7日 • Ciscoが運用するCisco VIRL-PE向けのsalt- masterサーバへの侵害 行為が発覚し、修復を 実施 5月28日 • Saltを含むCisco CML、 Cisco TelePresence® IX5000(EOL)への脆弱 性の公開と同時にVIRL- PEのsalt-masterサーバへ の侵害行為と脆弱性情報 を公開  SaltStack Saltの脆弱性を原因とする複数のCisco製品の脆弱性から学ぶこと(1) 参考情報:https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-salt-2vx545AG 5月2日~6日に発生した代表的な被害には次のものがある。 https://twitter.com/LineageAndroid/status/1256821056100163584 https://status.ghost.org/incidents/tpn078sqk973 https://twitter.com/xenorchestra/status/1257274022477389831 https://groups.google.com/a/chromium.org/forum/#!topic/ct- policy/aKNbZuJzwfM https://blog.algolia.com/salt-incident-may-3rd-2020-retrospective-and-update/ 7
  • 9. 便利で安全なネットワーク社会を創造するCopyright©2020 BroadBand Security, Inc. 攻撃・インシデント関連 現時点で、 Ciscoからsalt-masterサーバへの侵害行為の発見から修復、情報公開に至るまでの、詳細な経緯は公表されていない。 しかし、公開された情報の中から学ぶべき教訓をいくつか見出すことができる。 • 原因となる脆弱性が公開されてからパッチ適用までに160時間程度を要している点 – 同じソフトウェアを使用している他社が該当する脆弱性を悪用した侵害行為の被害に遭っていることを、ニュースサイトやSNSなどで知りえた状況で あった。これを踏まえると、5月6日までに36%の公開Saltサーバが適用を終えていたパッチの適用はもちろん、ログの確認やふるまい検知など、5月 7日までに侵害行為の発見がなぜできなかったのかという疑問が残る。 • 侵害行為発覚後、事実を公表するまでに21日間を要した点 – 5月28日にはVIRL-PEのsalt-masterサーバへの侵害行為の公表に加えて、 関連製品であるCMLとEOL製品・IX5000の脆弱性を公開している。 – VIRL-PEへの侵害行為の公開を行うことで、他の製品のゼロデイ状態の脆弱性 の存在を事実上公開する可能性があったことや、2019年12月から2020年1月 のCitrix ADCなどのゼロデイ脆弱性への攻撃の状況などを踏まえると、やむを得な い判断だったとも考えられる。  SaltStack Saltの脆弱性を原因とする複数のCisco製品の脆弱性から学ぶこと(2) 2020年5月1日 5月6日 5月12日 5841台 3722台 2928台 製品やサービスを構築・運用するうえでパッケージを利用しないということは稀有だろう。また、いったん導入したパッケージは複数のサービス や製品で展開・利用するケースが多いのではないだろうか。この事例が、攻撃への転用が容易な脆弱性が広範に利用しているパッケージ で発見・公開された場合の対応を検討するきっかけのひとつになることに期待したい。 公開されたパッチ未適用のSaltサーバ数の推移 8 参考情報:https://censys.io/blog/saltstack-cve-keep-patching
  • 10. 便利で安全なネットワーク社会を創造するCopyright©2020 BroadBand Security, Inc. 攻撃・インシデント関連  海外のサイバー攻撃の動向~オーストラリア・ニュージーランド~(1) 2020年6月、マイクロソフトは「セキュリティエンドポイント脅威レポート 2019」を発表し、2019年のアジア太平洋地域のセキュリティ脅威状 況を調査した結果を公開した。このレポートによれば、当該地域におい てサイバー攻撃被害の遭遇率が低い国として、日本以外に、オースト ラリア、ニュージーランドがあがっている。 立て続けに発生した日本関連企業へのランサムウェア攻撃 安全性が高いとされてきた同地域で事業展開している日本の事業者 も多い。しかし、2020年に入ってからオーストラリア、ニュージーランドで は、オーストラリア・ニュージーランドで事業を行っている日本企業傘下 の大手ビール酒造メーカーや、大手運輸業者が相次いでサイバー攻 撃を受けている。 これらはどちらもランサムウェアによるもので、その情報の一部がダーク ウェブ上に公開されたという共通点がある。近年、身代金の支払いを 回避しようとする事業者に対して、攻撃者が脅しのためにダークウェブ 上に一部のデータを公開するという手口が増えている。 出典: (Microsoft Security Endpoint Threat Report 2019 – Asia Pacific) https://3er1viui9wo30pkxh1v2nh4w-wpengine.netdna-ssl.com/wp- content/uploads/prod/sites/43/2020/06/APAC-Threat- Landscape_Infographic.pdf 9
  • 11. 便利で安全なネットワーク社会を創造するCopyright©2020 BroadBand Security, Inc. 攻撃・インシデント関連 参考情報: https://news.microsoft.com/ja-jp/2020/06/18/200618-it-environment-security-posture/ https://www.lionco.com/media-centre/lion-update-re-cyber-issue https://www.tollgroup.com/toll-it-systems-updates https://www.cyber.gov.au/acsc/view-all-content/advisories/advisory-2020-008-copy-paste-compromises- tactics-techniques-and-procedures-used-target-multiple-australian-networks https://www.cert.govt.nz/it-specialists/advisories/active-ransomware-campaign-leveraging-remote- access-technologies/  海外のサイバー攻撃の動向~オーストラリア・ニュージーランド~(2) ACSC(オーストラリアサイバーセキュリティセンター)がアラートを発表 オーストラリアではACSCが、既知のリモートコード実行を引き起こす脆弱 性やスピアフィッシング攻撃をもちいた攻撃キャンペーンが実施されていると 発表している。このキャンペーンにはMicrosoft IIS、SharePoint、 Citrix製品の脆弱性が悪用されているという。 ACSCおよびCERT NZのアラー トに関して推奨される緩和策 CERT NZ(ニュージーランドCERT)がアラートを発表 ニュージーランドではCERTからリモートデスクトッププロトコル(RDP)や 仮想プライベートネットワーク(VPN)などのリモートアクセスシステムを介 して組織のネットワークにアクセスするサイバー攻撃キャンペーンに関してア ラートが発表されている。 ソフトウェア、OS デバイスに対する 迅速なパッチ適用 認証機構における 多要素認証の実装 Windowsイベントログと 転送およびシステム監視 に関する適切な運用 10 オーストラリアとニュージーランドにおけるセキュリティ関連の動向
  • 12. 便利で安全なネットワーク社会を創造するCopyright©2020 BroadBand Security, Inc. クライアント側のAPI 1. Webサイトは(SMS等の)指定した転送方法でOTPを取得するためにブラ ウザAPIを呼び出す。 2. ブラウザはSMSの受信とWebサイトへの引き渡しを仲介するため、非同期で Promiseを返す処理を行う。 let {code, type} = await navigator.credentials.get({ otp: { transport: ["sms"] } }); 法令・制度関連 11  Google Chrome 84、Web OTP API導入へ Google社は2020年5月28日にリリースしたGoogle Chrome 84ベータ版において、Web OTP API(旧称SMS Receiver API)を導入した。Web OTP APIを使用すると、Webアプリ側で特別なフォーマットのSMSメッセージを受信し、プログラムでOTP (ワンタイムパスワード)取得することが可能になる。なお、SMSでOTPが発行される際に送られるメッセージのフォーマットは、2020 年4月6日にWeb Platform Incubator Community Group(WICG)で公開されたドラフトにて提案されている。 参考情報:https://wicg.github.io/web-otp/、https://github.com/WICG/web-otp/blob/master/explainer.md クライアント側のAPI(例) サーバ側のAPI 1. クライアント側のAPIが呼び出されたら、Webサーバは要求された転送方法 でOTPを送信する。 2. 要求された転送方法ごとに、準拠するフォーマット基準が規定されている。 これにより、ユーザの資格情報(電話番号・メールアドレスなど)をプログラムで検証できるようになる。 セキュリティの観点からは、送信側と受信側のオリジンの境界を越えること等が考慮事項としてあげられる。また、このAPIは①Topレベルのフ レームである(サードパーティ性のiframeやライブラリの不正使用防止のため)、②HTTPS(または開発目的でlocalhost)を介している、 これらの場合にのみ有効である。 Webアプリにおいては今回の提案内容を確認したうえで開発に臨みたい。 Your verification code is: 123ABC78 @example.com #123ABC78 サーバ側のフォーマット(例)
  • 13. 便利で安全なネットワーク社会を創造するCopyright©2020 BroadBand Security, Inc. その他 世界のセキュリティ専門家による非営利団体Shadowserver Foundation は 、 VARIoT ( Vulnerability and Attack Repository for IoT:IoTの実用的なセキュリティ情報サービス 立ち上げを目指すEUのプロジェクト)に参画している。 2020年6月、Shadowserverはその活動の一環として日々実施 している、インターネット上のIoT機器を調査するポートスキャンによ り、 大量のIPP(Internet Printing Protocol)使用プリンタが、適 切なアクセス制御や認証機構のないままインターネット接続されてい ることを公表した(右参照)。 該当するプリンタの製品名には、ビジネスユースと思われるものも含 まれている。国別割合では36,300件の韓国が圧倒的に多く、13 番目の日本からは860件検出されたとのこと。 ネットワーク接続プリンタはインターネット時代を迎えて以来—それこ そIoT時代のはるか前から—長らく使用されているが、セキュリティ対 策は、ないがしろにされがちであるという実態が明らかになった。  インターネット上に公開されている大量のIPPプリンタ https://www.shadowserver.org/news/open-ipp-report-exposed-print er-devices-on-the-internet/ 実施概要 • TCP631ポートに対しIPPプリンタ属性取得要求送信 • 40億(IPv4)アドレスに対する定期スキャン 結果 • 1日約8万ものプリンタ情報がインターネット上にさらさ れている。 • プリンタ名、ロケーション、ファームウェアのバージョン、組 織名、SSID等の情報も取得できたものが多い。 • プリンタに実装されたCUPS*のうち、バージョン情報を返 した約5万8千台の大半が旧バージョン(脆弱性あり)。 *Common Unix Printing System:UNIX系OS用オープンソース印刷 システム 参考情報: インターネット上に情報がさらされているこれらのプリンタは、サイバー攻撃を受 ける危険性があるため、ファイアウォールや認証機構を実装する必要がある。 12
  • 14. 便利で安全なネットワーク社会を創造するCopyright©2020 BroadBand Security, Inc. 今後のセキュリティ脅威傾向の予測 ※ 赤字は今月のトピックスで 紹介した項目 標的型攻撃(APT含む)の巧妙化および増加  マルウェア・ランサムウェア・ワイパーウェア攻撃のさらなる増加  IoT機器・5Gに対する脅威やセキュリティ対策  ITサプライチェーンの弱点を狙った攻撃  東京五輪の開催に向けた海外から日本国内へのサイバー攻撃の増加  キャッシュレス社会の進展にともなうリスク  クラウドサービスにおけるセキュリティリスク  ビッグデータ・AI技術を用いたサイバー攻撃  個人情報の保護と各種法令の遵守課題  認証技術の転換と対応の遅れによるリスク 13
  • 15. 便利で安全なネットワーク社会を創造するCopyright©2020 BroadBand Security, Inc. 今後のセキュリティ脅威に対する基本的対策例  自組織のCSIRTの成熟化、自組織外の機関との連携強化 (⇒定期的な情報セキュリティに関する訓練や演習の実施)  多方面から鑑みた総合的なセキュリティ対策の強化(特に人的対策の強化)  多要素認証の導入  SLAやサポート条件等の評価に基づくサービス・ベンダの選定  クラウド環境におけるセキュリティ設定の徹底  アセット・インベントリ管理の充実  各種法令の把握と体制構築  定期的な診断の実施とセキュアコーディングの徹底 14