5月25日(土)に開催された、第15回北海道情報セキュリティ勉強会(せきゅぽろ)に参加しました。
トレンドマイクロ株式会社 平原伸昭さん、北海道大学大学院法学研究科 町村泰貴 先生のお二方からお話を聞きました。
今回の話は、業務とクロスしない部分も多く、ちょっと難しかったのですが、役に立つ話もたくさんありました。

標的型攻撃の説明とその対策(平原さん)

トレンドマイクロの平原さん、標的型攻撃の解析などを行っているそうです。
標的型攻撃をどうやって発見するか、どのように対策をするか、最近の事例についてお話していただきました。
全体の流れでは知らない技術もあり、難しい部分もありましたが、お話ししている事は普段の自分にも関係ある事でした。

攻撃を見つける

「標的型攻撃」というと、どうしても脆弱性をつく攻撃であるとかウィルス被害などを想定する事が多いが、攻撃者は「(本当の)サーバ管理者が普段行う操作」をする事もある。
攻撃者も「標的」の事は研究し尽くしているので、不正プログラムであっても標的が使用しているウィルスセキュリティソフトでは検知しない事を事前に確認している(ウィルスチェックでは見つからない)。
なので、「真っ黒な活動」だけではなく「不審な活動」に注目する事が大切なそうです。
例えば

  • 管理共有フォルダへの実行ファイルのコピー
  • リモートからのジョブファイルの作成

これらは単体で見ると、普段使うコマンドだったり操作だったりするのですが「このユーザでジョブファイル作成しなくない?」など不審な活動がないかを確認する事で攻撃に気づく事が出来るかもしれないとのこと。

「ウィルス被害ばかりに着目しているの攻撃の全体像が見えなくなる」

という言葉が印象的でした。

点と点をつなぐ対策

入口と出口でのチェックももちろん大切なのですが、最近は攻撃者が巧妙になり不正ではないアクセス方法での侵入・データの流出を行う事もあるそうです。(攻撃にAWSやDropboxが使われる事もあるそう)

なので、内部対策が大切になります。
内部の対策では、点(ポイント)のチェックをするだけでなく、点と点をつないで「線」にして状況を把握する事が大切なそうです。
「線」にするためには知見を有する人が必要であり、相関分析や対策を行う人の重要度は増しています。
迅速に分析が行える環境を整えておくために、具体的には

  • ログをしっかり取る
  • 従来のウイルス対策(ファイル更新)も定期的に行う
  • アカウント管理・パスワード的変更
  • 重要個所(レジストリなど)の変更監視
  • インシデントが発生した際の連絡先

このような基本的な対策をしっかりとる事が大切なそうです。

「会社管理しているローカルマシンのadminパスワード、全マシンで同じにしていることが多いけれど、それだと1つ漏洩したら全部のマシンが危険になる」など、気をつけるべき観点やポイントには頷ける部分が多かったです。

オンラインプライバシー(町村先生)

個人情報とプライバシーの違い、SNSが発達した現代のオンラインでの行動とプライバシーの関係、ビッグデータの活用とプライバシーについて、という最近話題になっている事柄を中心に法律の解釈としてどのように考えられるかというお話。

個人情報とプライバシー

個人情報とは「個人情報保護法」により定義されている “特定の個人を識別する事ができるもの”。
プライバシーとは “私的生活領域・私的事実” のこと。明確に規定した法律はない。
(基本的には個人情報より広い解釈をされるのではないかなあ)
「プライバシーの侵害だ!」とよく言いますが、明示的にプライバシーの侵害を罰則化している法律はないです。
民法709条(不法行為)とか憲法13条(幸福追求権と公共の福祉)を根拠に、プライバシーの侵害を認めている判例があるそうです。
具体的に「プライバシーを侵害されない」というのには、こういうものがあります。

  • 私的生活領域へ侵入されない(X月X日にこんなお店にいたよとか)
  • 他人に知られたくない私的事実の公開(性癖とか秘密の趣味とか好きな人とか)
  • 誤った印象を与える事実の公表
  • パブリシティ権(芸能人の行動をtwitterで公開されたとか)

オンラインの個人情報とプライバシーの危険

今の時代、SNSなどで個人の情報を公開している人は多い。
それぞれの情報を管理しているつもりでも、細切れに公開された断片的な情報を集めて整理すると…….!!
最近よくある、「Twitterで不適切な発言をして2chで個人情報が暴かれる」というのは、まさにこの形。
自分も何かと何かが結びつけて系統立てたら、色んな事まるわかりになるよなあ。

ビッグデータの活用とプライバシー

各個人の情報(オンライン上の活動や思想)をビッグデータとして扱うときの懸念事項や危険性。
例えばTカードは、情報そのものは匿名性の高いビッグデータで扱っているとしても、情報を取得する段階では個人の情報と結びついている可能性がある(購入履歴などであればクレジットカード情報と結びつく)。
このような時代のプライバシー保護として以下の3つが必要とお話しされていました。

  • インフォームドコンセント(十分に情報を与えた上での同意)
  • データ漏洩防止の保証
  • 忘れられる権利・オプトアウトの権利

これらの技術が発達した事により、情報収集やマーケティングが効率的になったという側面もありますが、「効率的が必ずしも正しいとは限らない」とおっしゃっていました。
学生の時、町村先生の授業があったら受けたかったなあ。

secpolo-15

難しい話も多かったですが、おやつで糖分を補給しつつ、充実した時間となりました。
ありがとうございました。