リスクを軽視したコインチェック社と仮想通貨について思うこと

仕事柄、セキュリティについてのニュースはチェックしていますが、今回は世間を騒がしたコインチェックについて私なりの感想を書きたいと思います。

コインチェック社は2018年1月末ごろにハッキングを受けて2月13日に金融庁へ業務改善命令に係る報告書を提出したことから記者会見を開きました。

コインチェック「事業続ける」「仮想通貨の出金は安全を確認し次第」

同社が預かっていた日本円の出金には応じ、仮想通貨の取引は外部のセキュリティ会社と確認後再開するとのことです。

詳細については捜査などもあるので詳細にはわからないのでここでは技術的な話は書きませんが、単純にやるべきセキュリティをしていなかったのかなと思います

2018/2/14日時点で一番解説として秀逸だと思う記事を紹介します。

コインチェック流出は安全策の不備だけが問題ではない

リモート作業可能とツイート

ハッキングされる前に都内で雪が降ることがありましたが、その前にコインチェックの和田社長は上のような発言をします。

いまは高度な標的型攻撃が一般的になっているので、彼のような立場の人間がリモートアクセスで仕事をしているということを社内メールで通知するのは意味が分かりますが、ハッカーかもしれない人がみて自社がコントロールできないオープンな場でそのような業務連絡をすることがいいとは思いません。

このツイートのせいでハッキングされたとは思いませんが、私がコインチェック社を狙うハッカーであればこの情報から和田社長や社員のPCに潜入して標的型攻撃を行うことを考えつく可能性があると思いました。

標的型攻撃と対策

“リスクを軽視したコインチェック社と仮想通貨について思うこと” の続きを読む

標的型攻撃と対策

標的型攻撃は、今までの無差別な攻撃方法から進化して、攻撃者が狙って攻撃を行うため、一般的なアンチウィルス対策やファイアーウォールなどだけでは防ぐことは難しいです。

完全に防ぐには各ユーザーがどのような作業をしているか詳細び確認することが必要ですが、現実的にそれは難しいと思っています。

防ぐには標的型攻撃の手法を理解することが必要だと思います。

標的型攻撃の手法は、攻撃者がリモートから攻撃を行えるように端末などにバックドアを仕掛け、バックドアを仕掛けた後は、重要な情報が入っているであろうデーターベースやファイルサーバーへの侵入を行う2段階に分かれています。

実行アプリ・セルフ・プロテクション Runtime Application Self-Protection (RASP) を提供するPromon社のモバイルアプリの保護とセキュリティデスクトップアプリの保護とセキュリティアナリティクスとアプリケーションセキュリティモニタリング により万が一、端末側に侵入されたとしてもアプリケーションには問題を生じさせないソリューションがあります。

また、バックドアを仕掛けられたあとデーターベースやファイルサーバーの特権アカウントを攻撃者はコントロールしようとしますが、それを防止するには、Lieberman RED Identity Management のような特権アカウントソリューションを使うことで対応できます。

バックドアを仕掛けるまで

攻撃者はまず標的となる組織に向けて、そのメンバーにメールを送り付けます。メール自体にマルウェアが仕込まれている場合もあれば、メールのリンク先のWebサーバーにアクセスさせマルウェアに感染させる水飲み場攻撃などがあります。 “標的型攻撃と対策” の続きを読む