不正防止

モノのインターネットはビッグ ブラザーの再来か

長年、私のPCはXP上で動いてきました。Microsoftが誇る最も堅牢で安定している不屈のオペレーティング システムです。何年も乗りに乗って、走行距離計が32万キロに達してもまだ走れた私の愛車ダッジ アスペンによく似ています(まさに当時のEnergizerです)。しかし、私が愛したグリーンのツートンカラーに塗り分けられたこのガス食い虫も、ついに買い換えなければならなかったように、私のタワーPCも(Microsoftのパッとしないレビューにも関わらず)後継のWindows 7、Windows 8、そしてWindows 10に換えなければなりませんでした。そのインストール中に、私と家族のプライバシーがどのようにして突然露呈し、どの程度のリスクにさらされるかに気付きました。 それはすべて、Microsoftのプライバシーに関する声明に由来します。この声明は、私がWindows 10を購入したときにデフォルトで同意し、エンド ユーザー ライセンス契約を締結したもので、次のような文言が含まれていました。 Microsoftは効率的に業務を行い、サービスでは最高の利用体験を提供するために個人情報を収集しています。ユーザーがMicrosoftアカウントを作成する際、Bingへ検索クエリーを送信する際、Cortanaに音声コマンドを行う際、文書をOneDriveにアップロードする際、サポートにご連絡いただく際など、直接個人情報を弊社に提供していただきます。その一部は、お客様が弊社サービスをどのように利用しているかを記録することで入手します。そのための手段として、たとえば、Cookieなどの技術を使用したり、お客様のデバイスで実行されているソフトウェアからエラー レポートや使用データを受信したりします。また、(他社を含む)サード パーティからデータを入手することもあります。  おぉ、非常に具体的です。次のようにも書かれていました。           ユーザーの同意の下、または取引を完了する、またはユーザーが要求した、または認証したサービスを提供するのに必要な範囲で、弊社はユーザーの個人情報を共有します。また、弊社はMicrosoft 関連会社、子会社、および代理で業務を遂行するベンダーと、法律により要求される、または法的手続きに対応する際に、またはお客様を守るため、命を守るため、サービスのセキュリティを維持するため、およびMicrosoftの権利または財産を守るために個人情報を共有します。  言い換えると、Microsoftの顧客としては、サービスをどのように利用してもプライバシーなどないということです。実際にこの使用条件によると、同社にとっては、ユーザーの行動から収集したデータを集約して処理し、同社が望む任意の対象として、子会社、ベンダーなどの他、同社が必要とみなせば、法的執行機関にも配布することが解禁されたのと同様です。 これはほんの一例で、インターネットの危険性という氷山の一角に過ぎません。SHODAN(Sentient Hyper-Optimized Data Access Network)に関する最近のこの投稿について考えてみましょう。SHODANはインターネット接続デバイス(たとえば、IoTなど)を対象とするオンライン「検索エンジン」です。 投稿に書かれているように、ShodanはGoogleのスパイダー ボットのようにネットをクロールし、サービスに入り込み、そこで見つけたものを記録した上で、検索可能な索引を生成します。 これは必ずしも悪いことではなく、ホーム ルーターにハッカーを寄せ付けないようにする場合などに特に有効です(これが発生する原因と手法はこの投稿に書かれています)。しかし、このような公開によって、あらゆる種類のいたずらに対してルーターを開放してしまうことになります。 最もおぞましい結果として考えられるのは、設置したWebカメラにインターネットからアクセスされることでしょう。ShodanはWebカメラを発見して索引化し、ログイン プロンプトさえも記憶できます。子供部屋に設置したWebカメラを通じて不審者が「盗聴」したり、家の中の別の場所を盗み見たりする不気味さを想像してみてください。案の定、Shodanで最も人気がある上位5位の検索のうち、3件がオンライン カメラに関するものです。したがって、すべての条件が揃った上、使っているオンライン カメラが十分に安全でなければ、Shodanはオンライン カメラに侵入し、子供部屋や、もしかしたらあなたの寝室からライブ フィードを直接送信できてしまいます。 私たちのプライバシーは、インターネットからのリスクにさらされていると考えられます。では、このようなプライバシー侵害をまったく新しいレベルに引き上げる可能性のある、モノのインターネットではどうなるでしょうか。次のような例について考えます。 Microsoft Xbox。このKinectデバイスにはビデオ カメラとマイクロフォンが搭載されていて、ユーザーのやり取りを取得して記録し、同社に送信することができます。実際に、この製品の使用条件には、デバイスの使用時は「ユーザーはどのレベルのプライバシーも期待すべきではない」と明記されています (どこかで読んだ記憶はありませんか)。 Verizon。同社は定性的なターゲティング広告の精度を高めるために、薄型テレビやDVRに組み込んで「環境アクション(ambient action)」を監視するカメラの特許を取得しようとしました。つまり、ユーザーの挙動を逐一観察して、ユーザーが次回のコマーシャル タイムに興味を示しそうな広告の種類を決める仕組みです。 Google。  同社は2014年、サーモスタットに接続されたモノのインターネットを扱うNestを30億ドル以上で買収しました。スマートフォンを使用してリモートからサーモスタットを設定し、屋内でのエネルギー消費を効率よく管理したり、煙や一酸化炭素の警報を受信したりすることが本来の目的ですが、このデバイスはプライバシー問題について、「ハチの巣をつつくような」騒ぎを引き起こす非常に現実的な可能性があります。これには、毎月の電気料金をGoogleが把握して毎日の行動に基づくプロファイルを作るという無害なものも含まれますが、悪用すれば、ターゲティング広告に影響を与えるだけでなく、留守宅の安全性に関して非常に現実的なリスクを与えることになってしまいます。 「スマート」街灯。米国の3都市(シカゴ、デトロイト、ピッツバーグ)では、エネルギー管理とセキュリティを補助する目的で、いわゆる「スマート街灯」(ハイテクを駆使した街灯)が設置されています。しかし、この街灯はストリート上の人々の行為を監視することもできます。広く一般市民に向けて放送を流すことも可能です。また、テロ対策の時代にふさわしく、通行人を監視して会話を記録する機能さえも持っています。 これらのすべてのことが、ジョージ・オーウェルの往年のディストピア小説「1984」に似ていると思う人は少なくないはずです。  私たちはテクノロジーによって生活を向上させ、ものごとを簡単にしたいと望んでいますが、その利便性を得るために、どれぐらいのプライバシーを進んで犠牲にすればいいのでしょうか。オーウェルの小説の結末で、アンチ ヒーローのウィンストン・スミスは「ビッグ ブラザー」を愛するようになりましたが、私の気持ちはこれとは異なります。これまで簡単に紹介してきたように、モノのインターネットによるプライバシーの侵害があるとすれば、私はこのような特殊な感情を抱くことは当分の間ないでしょう。  

リアルタイム決済がもらす金融詐欺の影響

数週間前に、Australian Payments CouncilのAustralian Payments Planの概要を紹介する記事を公開しました。 このプランは、オーストラリアにおける将来の決済の戦略的なロードマップ、特にNPP(New Payments Platform)を中心としたイニシアチブとして策定されています。 簡単に説明すると、NPPでは今後、オーストラリアの決済市場内部の競争力と技術革新を高める手段として、オンライン バンキングを介したリアルタイムでの送金機能を導入する、ということです。 現在、オンライン バンキングを介して受取人(個人または法人)に送金する場合、通常は資金が入手できるようになるまで24時間の遅れが生じます。 送金元と送金先が同一の銀行の場合など、いくつかの例外はありますが、概ね翌日まで送金が遅れます。 「リアルタイム」モデルへの移行はオーストラリアにおける決済のあり方を一新するものとなり、次のような影響が予想されます。 利用者には、決済の低コスト化や機能の向上などのメリットがもたらされる 銀行、販売業者、決済業者には、商業的なインパクトがもたらされる オンライン バンキングでの詐欺行為や損失が増加する 利用者のメリット 利用者はNPPが想定している中心的な受益者になります。これは利用者にとって、決済方法の選択肢が大幅に広がり、最終的には市場での競争の活性化につながるからです。 メリットは3つの幅広い分野に分かれると予想されます。 当事者どうしによる決済:家族や友人への送金が簡単かつスピーディに行える ビジネス決済:商品やサービスのシンプル(安価)な決済オプション E-コマース:クレジット カードやデビット カードの代わりとなるオンライン決済オプション 商業的なインパクト NPPがもたらす商業的な影響のすべてを予測することはきわめて困難ですが、それらは非常に重大なものになるでしょう。 NPPによって、まったく新しい代替の決済手段が提供されるわけですが、それは現在の業者の多くに直接対抗するものとなるでしょう。 NPPは業界団体として、今後、商品やサービスの新しい決済手段を顧客に提供し、決済処理コストの削減をもたらすと予想されます。 決済業者にとっては、新たな競争相手に対抗するために価格体系や製品体系の見直しや調整が求められることになります。 詐欺行為への影響 私は職業柄、NPPがオーストラリアにおけるオンライン バンキング詐欺にどのような影響を及ぼすのかについて特に関心を持っており、 2つのことを予想しています。1つは、オンライン バンキングでの詐欺行為のスピードが激化して件数が増加することで、もう1つは、オンライン バンキング詐欺の回収率が低下することです。 1つ目の予想の根拠としているのは、単純に、悪人は最も少ない手間で最も多くの利益を上げようとするという事実です。オンライン バンキング アカウントのセキュリティを侵害することにより、リアルタイム決済を通じて直ちに現金が手に入るという状況は、彼らにとって非常に魅力的なことなので、攻撃の件数は今後増加するものと予想されます。 いわば、悪人のROIです。 2つ目の予想の根拠は、現行の遅延決済の仕組みは、銀行側が(マルウェア、フィッシング、データのセキュリティ侵害、ソーシャル エンジニアリングなどを原因とする)不正送金を検出し、保留し、回収するための余地になっているという事実です。 大多数の決済において、NPPはこうしたセーフティ ネットをなくすものとなり、詐欺の損失がもたらす影響の可能性は重大なものになります。 現在のオンライン バンキング詐欺の検出率(決済後)が80%であれば、送金先の(不明朗な)アカウントが消される前に、そうした資金を保留して回収するチャンスが残ります。 企業が100万ドルの不正送金を許したとしても、回復措置が完了すれば、実質的な損失は20万ドルほどで済みます。 リアルタイム決済ではこうした余地がなくなることになります。 カード詐欺(カード発行会社側)の観点から見て、これは回収の仕組みとしての支払拒否が完全になくなるようなものです。 こうした考えはカード詐欺の対策責任者にとって最大の悪夢となることでしょう。なぜなら、通常はカード詐欺で生じたすべての損失のうち少なくとも60~70%が支払拒否の手続きを介して回収されているからです。 詐欺による損失がもたらす潜在的な影響はどのくらいなのでしょうか。イギリスで2008年5月に導入されたFaster Payments(決済迅速化)が参考になります。 次のグラフで明らかなように、イギリスではリアルタイム決済の導入後、詐欺事件が急増しています。 イギリスの事例に従えば、NPPの導入後、オーストラリアでのオンライン バンキング詐欺による損失が少なくとも倍になると予想しても、さして的外れというわけではありません。 その理由は先ほども述べたように、不正送金後の詐欺の検出と回収を行うセーフティ ネットの余地が実質的になくなってしまうからです。 潜在的な影響をもっと実感してもらえるように、参考として、イギリスの具体的な数値をオーストラリアの市場に適用してみます。 イギリスにおける1人あたりのオンライン…

ログインの先へ:小売業の不正対策に有効なWeb行動分析

詐欺や不正行為、悪意のある行為を実行する者があふれる世界で、そうした行為を防止しようとするITプロフェッショナルたちが肝に銘じている不変のルールが2つあります。  ルール1:何か現金化できるものがあれば、サイバー犯罪者たちはそれを見つけます。  ルール2:Webサイトにループホールや弱点があれば、サイバー犯罪者たちはそれを見つけます。 高い評価を受けているBrian Krebs氏は最近の投稿で、Amazon.comがお客様を不正行為から守るための対策として多要素認証を導入したことを紹介しています。 Krebs氏が述べているように、この「多要素」認証、つまり2要素認証では、犯罪者は盗んだアカウントのユーザー名とパスワードを運よく見つけ出したとしても、「第2の」要素(携帯電話番号など)が分からなければAmazonのサイトに自由にアクセスすることはできません。 しかし、多要素認証を導入しているAmazonでは、各ユーザーとそのユーザーのデバイスは「記憶」されています。そのアカウントに関連づけられている認証情報を使用しようとすると、保存されている第2の「要素」(モバイル デバイスの電話番号、テキスト メッセージやSMSのメッセージなど)から正しいコードを入力するよう求めるプロンプトが自動的に表示されます。この「手順」(2要素認証など)を正しく完了することができなければ、Amazonでは偽のユーザーがショッピング カートに何かを入れることはできません。 不正行為を検出するためにオンライン ストアやその他のeコマース プロバイダーの間でさらに広く活用されているもう1つの方法として、Web行動分析があります。行動分析ソリューションでは、ユーザーの行動を解析し、そのWebサイトで大半の訪問者に見られる一般的な行動パターンにあてはまらない、疑わしいパターンを探します。たとえば、サイト内でページ間をどのように移動しているか、それは同時期の他の「通常の」ユーザー セッションと同様のものか、そのユーザーのページ移行、クリック数、ページごとのクリック頻度は通常見られるパターンと異なっているか、といったことです。 Web行動分析では、そうした差異を探し出し、それに解釈を加えて提示し、何らかのレベルの不正行為が行われようとしていることを実証できます。 最近のある投稿では、行動分析によってトランザクション レベルでの例外(たとえば、同一のIPアドレスを使用して数分間で同時に数百ものアカウントを開設するなど)を特定できるだけでなく、個々のカード不在(CNP)取り引きも特定できると述べられています。 たとえば、ある個人が1回のトランザクションで複数の片道航空チケットを購入する場合を考えてみましょう。これは何か異常なことのように思われるかもしれませんが、これだけで異常な兆候と判断することはできません。しかし、この個人が、さまざまな出発日、出発時間、航空会社のページを閲覧せずにほぼ瞬時にショッピング カートに移動してチェックアウトした場合には、そのような行動をさらに精査する必要があることはほぼ間違いありません。 行動分析ソリューションを活用して潜在的な脅威を特定できるシンプルなルールの一例を、以下にご紹介します。   メール変更後の不審なアクティビティ。特に、その変更が非常に短時間のうちに計画的に行われている場合は注意します。このような人は、以前にも同様のことを行っている可能性があります。   メールを更新して、同一のIPアドレスで複数のアカウントを開設する。     アカウント認証情報のチェック。犯罪者は別のサイトでパスワード情報を盗んだ後、ある時点で1つのIPアドレスを使って複数のログイン認証情報をチェックします(多くの場合、ほとんどのお客様は複数のサイトで同一のパスワードを使い回す傾向があるからです)。     複数のIPアドレス、特に地理的に分散した場所から同一のアカウントにアクセスする。     ITセキュリティに力を入れている今日のプロフェッショナルにとって、一般に多要素認証と行動分析はどちらも不正行為防止というパズル全体を構成する一部のピースにすぎません。  実際、自社サイトのユーザー エクスペリエンスを徹底的に理解し、脅威に対処できるようにサイトを調整して、複数のアクセス ポイントにたどり着くのを難しくしてはじめて、悪者にアクセス ポイント、つまりあなたの企業を悪用されにくくすることができるのです。  

サイバー犯罪におけるTorの役割

前回の投稿で、ディープWebのレイヤーについて考察し、匿名化テクノロジー(Torなど)が違法な闇市場をどのように助長しているかという概略を説明しました。  今回の投稿では、Torがどのように機能し、それによってインターネット上でどのように匿名性が実現されるのか、その概念を説明します。 Torとインターネットの匿名性の概要 インターネット上で匿名性が実現される仕組みを理解するためには、まず、インターネット上の一般的なアクティビティではIPアドレスによってIDが開示されるということを理解する必要があります。  たとえば、あるWebサイトに接続しようとする場合、私たちはそのサイトをホストしているサーバーに対して、コンテンツのリクエストを自分のIPアドレスとともに送信します。 すると、そのサーバーはそのIPアドレスをリターン アドレスに使用してコンテンツを返送します。  このアドレスによって、地理的な位置や接続を提供しているISPなど、私たちに関する何らかの情報が開示されることがあります。  またISPも、どのIPアドレスが誰に割り当てられているかというログを常に保持しています。  そのため、インターネットのトラフィックを監視する者(とりわけ、政府機関)は、大半のインターネット トラフィックに関わる当事者を簡単に特定できます。  一般的なネットサーフィンは匿名ではないのです。 では、どうすれば匿名になるのでしょうか? 匿名性を実現する1つの方法は、暗号化です。現在多くのサイトでは、ユーザー データやその他のコンテンツがインターネット内を移動するときに暗号化プロトコル、SSL(Secure Sockets Layer)を使用してそれらを保護しています。SSLは暗号化プロトコルの中で最も広く利用されています。 SSLを介して接続されていることを示すものの一例が、「https://」で始まるURLです。  これはオンライン ショッピングなどのアクティビティではすっかり定着しています。私たちは、クレジット カード番号など個人が特定される情報を保護したいと考えているからです。 しかし、暗号化すると転送されるコンテンツは隠せますが、通信やその通信に関わった当事者の記録は隠せません。  つまり、通信の内容はわからないが、いつ誰と通信したかはわかるということです。 二者間でインターネット通信が行われたことを隠すためには、一方の当事者が「中継」コンピューター、つまりプロキシ サーバーを使用すればよいのです。 たとえば、Ashleyはcnn.comにアクセスする必要があるが、アクセスしたことは隠したいという場合を考えてみましょう。 このような場合、Ashleyは自分のコンピューターからのリクエスト(cnn.comへのアクセス)をCNNサーバーに直接送信するのではなく、プロキシ サーバーに送信するように設定できます。 プロキシ サーバーは、このリクエストを受け取るとそれをCNNサーバーにリダイレクトしてサイトのコンテンツを取得し、そのコンテンツをAshleyに返送します。 このようにすることで、他者(彼女の雇用主、ISP、その他偶然ネットワーク トラフィックを監視していた者)は彼女がプロキシ サーバーに接続したことはわかっても、CNNに接続したことはわかりません。 このプロキシ サーバーのトラフィックが監視されていると、さまざまなユーザーからさまざまなWebサイトへ多くのリクエストがあったことは明らかになりますが、個々のユーザーが何をしていたか、具体的にはわかりません。ただし、調査担当者がプロキシ サーバーのログへのアクセス権を持っていれば、AshleyのIPアドレスと彼女がリクエストしたサイトのIPアドレスが突き止められる可能性はあります。 したがって、この例ではある程度の匿名性は実現されますが、完璧ではありません。 そこで登場するのがTorです。そして次のような疑問です。 Torとは何でしょうか?どのようにしてオンラインの匿名性を保持するのでしょうか? Torは「The Onion Router」の頭字語で、Web上の匿名性を促進する無料のプラットフォームです。Torを使用するとWebトラフィックの送信者と受信者の双方が匿名になります。このプラットフォームには次のような2つの独自機能があります。   すべてのWebサイトへのアクセスが匿名になり、誰がどのWebサイトを閲覧しているかを見極めることが不可能になります。   Torを使用せずにアクセスを試みるとブロックされるWebサイト(「秘匿サービス」)に、アクセスできます。     Torでは、いわゆるOnion Routingを使用してユーザーの匿名性を実現しています。Onion Routingはトラフィックを暗号化して、それを中継コンピューターのネットワークを介してランダムに転送します。  中継コンピューターはそれぞれ独自の暗号化レイヤーを使用し(これが「玉ねぎ」にたとえられる理由)、匿名性を確保します。 このシステムが機能する仕組みを説明するにあたって、まず、玉ねぎのたとえを何重にも重なった封筒に置き換えてみましょう。 あるクラスの学生であるDavidが、秘密のメモをJamesに渡したいとします。Davidは、誰がそのメモを渡したかをJamesも含め誰にもわからないようにする方法を考え出そうとします。 …

スタッフ急募:サイバー タレントのパイプライン拡大

前回のブログ投稿では、NICE(National Institute for Cyber Education)Conference 2015での私の経験について紹介しました。今回は、現状を変更し、次世代のサイバー プロフェッショナルを育成するためのアクションと主要なアイデアについて説明します。 業界は、このサイバー セキュリティ教育の問題について、より積極的に関与する必要がある。  「業界の声を聞く必要があります」という言葉を聞くたびに10セントもらえたとしたら、どんなによかったでしょう!会議の参加者は主に学術教育機関と行政機関で、企業の参加はほとんどありませんでした。学術教育機関と行政機関の専門家たちは、業界とのコラボレーションを希望しており、大きな成功を収めるためには、それが必要であることを認識しています。この取り組みにおいては、私たち「全員」に役割があるのです。学術教育機関と行政機関は、タレント育成に向けて大きな努力をしています。しかし、学術教育機関と行政機関はその性質ゆえにサイロ化しています。つまり、「どのような」スキルが必要か、「どの」役割が重要か、「どのように」必要なタレントを育成するかに関する十分な背景を把握していません。業界は、サイロを壊してコラボレーションを構築するため、積極的に関与する必要があります。つまり、業界は「自己利益」や「利益の動機」から一度離れて、より大きな目標のために力を貸す必要があるということです。これは、次の点につながります。   ギャップを埋めるには、さらなるコラボレーションが必要。 NICEフレームワークは良いスタートですが、広く導入されているわけではなく、問題を総合的に解決することはできません。いくつかの州政府の職員から、「サイバー教育と言ったときに、私の州の名前が真っ先に出てくるようにしたいのです」という話を聞きました。そのような考え方ではすぐに失敗するか、せいぜい月並みな結果しか得られないでしょう。なぜ知識を共有して連携することを考えないのでしょう。  あまりにも多くの人たちが、同じ目的に向かって別々に努力を重ねているのです。 イノベーションと俊敏性が切実に求められている今日、多くの人たちは協力することよりも競争することを選んでいます。 Booz Allen HamiltonのRon Sanders氏は、サイロを壊す方法の良い例を示しました。 卒業予定者のスキルのギャップの大きさに失望した同社では、クライアントの望むスキルを獲得するための速習カリキュラムを従業員向けに作成しました。 今では、同社はそのトレーニングを教育機関に提供しています。 ただし、従来の硬直した手続きを廃止し、パートナー関係において俊敏に行動できることを実証した教育機関のみが選ばれています。   学生たちとより早く頻繁に交流する必要がある。これは、スポーツ選手を育成する方法とよく似ています。おもちゃのボールで野球をするおおぜいの子供がいるとします。その一部はリトル リーグに進み、そのまた一部がメジャー リーグに進みます。レベルが進むたびに人数は減っていきますが、その過程で、高い意識と関心を持ち、基本的なスキルを備えた大きなグループが育ちます。また、最も重要なことは、早くからスタートすることにより、グループの関与を強め、生涯に渡り興味を持続できる道すじを示すことができるという点です。このモデルは、サイバー教育で効果のあることが実証済みですが、それに加えてサイバー教育には、世界をより良く変えていこうという自然なモチベーションを引き出す効果もあります。大切なのは使命です。   おもちゃのボールからMLBへの道のりと同様、サイバー選手育成の最も効果的な方法は、スター育成のプロセス全体を理解することです。さらに、学生たちと早くから交流することも大切です。 大学でのサイバー教育まで待つとしたら、コンピューター科学への関心が強い学生だけが選ばれることになるでしょう。 しかし、現在ではすべての学生がデジタル テクノロジーを使用しており、関心を持っています。 デジタル テクノロジーは生活の一部なのです。 ですから、デジタル テクノロジーのしくみや、それを安全に使用することの大切さについて、早い時期から学生に説明し、彼らが生まれつき持っている好奇心を育てましょう。 より早い時期から始めれば、より多様な人たちに早くから関与してもらうことができます。   多様性の問題を解決する必要がある。  データ主導型ディスカッションの会議では、多様性に関する際立った問題にかなりの焦点が当てられました。女性の貢献がわずか11%に減少していることを示した、(ISC)2の「Women in Infosec」レポートについて議論されました。マイノリティーに関する結果について掘り下げる時間はありませんでした。  あるパネリストは、女性をサイバーの世界に呼び込むことが、スキルのギャップを埋める唯一の方法だと考えていると述べました。 女性の構成比率が低いことは大きな問題です。これまで何回も指摘してきたように、サイバーにおいては多様な視点とタレントが必要だからです。 多様性を高めなければ、Andrew Lee氏がESETで「金持ちの白人男性のバイアス」と呼んでいたものに苦しむことになるでしょう。 興味深いオープニング キーノートで、彼は、白人男性が他のグループより、内在的リスクを信じていないことを示すデータを強調しました。 サイバーでは、リスク レベルを過小評価すると破壊的な結果が引き起こされる場合があります。 会議では、サイバー セキュリティ プロフェッショナルのパイプラインを拡大する機会がどれだけあるかという点が強調され、ギャップを埋めることの課題にも焦点が当てられました。次世代のプロフェッショナルを動員するために今なにかをしなければ、正しい教育を受けた、優秀で情熱的なサイバー セキュリティ プロフェッショナルに対するニーズは大きくなるばかりです。そのためには、この問題に対する業界のさらなる関与、コラボレーションの拡大、早期採用、多様性の強化が必要です。もし私たちが何もしなければ、デジタルの世界を保護し続けることができなくなるのです。

PSD2およびリスク ベースの認証の詳細

2015年10月8日、欧州はより安全なオンライン バンキングの導入に向けて大きく前進しました。欧州議会が改正された決済サービス指令(PSD2)を正式に採択したのです。 これは、ユーロ圏およびEU/EEA諸国の国立銀行、銀行、カード発行会社/カード取得者/カード加盟店、支払いサービス提供者にとっては特に重要ですが、世界のその他の国々も注視しています。 では、これまでの経緯とその意味を詳しく見ていきましょう。 2013年1月、SecuRe Payフォーラムが最終のRecommendations for the Security of Internet Payments(インターネット決済のセキュリティに関する推奨事項)を公開しました。ただし、正式な採択は行われず、法的拘束力のない推奨事項にとどまりました。 2014年12月、PSD2が2017~2018年に施行されるまでの法的根拠を示すためにFinal Guidelines on the Security of Internet Payments(インターネット決済のセキュリティに関する最終ガイドライン)が発行され、EBA(欧州銀行監督機構)がこれに従いました。 EBAは、業界の反対を受けたにもかかわらず、不正行為が増加していることから施行の先延ばしは許容できないと判断し、「2段階のアプローチ」を採用したのです。つまり、EBAのガイドラインは2015年8月1日から発効されたことになります。業界は現在、ガイドラインの遵守*に取り組んでいますが、PSD2に関する追加措置が後で必要になる可能性もあります。 PSD2は2013年から策定が進められており、欧州議会によって採択されたことで、最後の障害の1つをようやく乗り越えたところです。正式な発効は2017年後半になる予定で、一部のセキュリティ対策は最大18か月後に発効されることになっています。 次に、PSD2のいくつかの重要なポイントを見ていきましょう。 支払いアカウントへのオンライン アクセス時、電子決済処理の開始時、不正な支払いのリスクがあるリモート チャネル経由のその他のアクションを行うときの強力な顧客認証。 トランザクション金額および支払い先の詳細を強力な認証機能にリンクする必要がある。 リスク レベルに基づく強力な認証機能の使用の免除。 カスタマー エクスペリエンスの向上:「ユーザー フレンドリーで利用しやすい、革新的な支払い手段を開発可能」 PSD2で規定された強力な顧客認証機能では、次のうち2つ以上を利用する必要があります。知識:知っていること(PIN、パスワードなど)、所有:持っているもの(トークン、カード リーダー、スマートフォンなど)、特徴:本人であることを示すもの(バイオメトリックなど)。さらに、強力な認証機能を独立させて、1人に対する侵害によって他の人を危険にさらさないようにする必要があります(欧州委員会がPSD2に関するFAQページを公開しています)。 PSD2の範囲に含まれるチャネルの一部には、デスクトップ向けWebブラウザー、モバイル向けWebブラウザー、ネイティブのモバイル アプリケーション、CNP(Card Not Present)3D Secureトランザクションが含まれています(MasterCardが3D Secureトランザクションに関するFAQのドキュメントを公開しています)。 強力な認証方法の一部として、支払い先や金額の詳細などのトランザクションの詳細を顧客に提示する必要があります。これには、ワンタイム コードと共にSMSで提供する方法や、トークン コードまたはバイオメトリック認証チャレンジのリクエストと組み合わせてモバイル アプリケーション内で提示する方法などを使用します。 PSD2ではリスク評価について具体的に言及しており、低リスクのアクティビティの場合、強力な認証機能を使用しなくてもよいことが認められています。 これは当然、最後のポイントである顧客の利便性(ユーザー フレンドリー、利用のしやすさ、革新性)の向上につながります。アクティビティのリスク評価の結果、低リスクであることがわかった場合、すべてのアクティビティに対して強力な認証機能を使用する必要はありません。ただし、強力な認証機能を簡単に操作できるようにする必要もあります。 RSAではこのようなアプローチを積極的にサポートしています。また、RSAのテクノロジーは10年以上にわたって、お客様によるこうした取り組みを支援してきました。RSAのリスク エンジンをベースにして構築されたRSAのソリューションは、不正行為検出率が極めて高いうえ、チャレンジ レートが低いことから、市場をリードしています。 RSA Adaptive Authenticationは、銀行、オンライン ストア、金融サービス プロバイダーのログイン、トランザクション、ログイン後の機密性の高いアクティビティを保護します。強力な認証機能では、リスク評価をポリシー…

サイバー教育会議から戻る機上で考え、心を高ぶらせたこと

私は、サイバー教育を推進するための産官学の最初の集まりであるNational Institute for Cyber Education(NICE)Conference 2015に出席してきたばかりです。このカンファレンスの使命は明確です。それは、米国の次世代のサイバーセキュリティ専門家を育成し、大幅なスキル不足(サイバーセキュリティ関連の求人数に対し、このような求人を埋めるための関連スキルを持った人材が不足していること)の解消を図ることです。会議はまさに盛況でした。この問題を解決できる分岐点に近づきつつあるとう意見もありましたが、やるべきことはまだたくさんあるという認識が圧倒的でした。今回の投稿記事では、カンファレンスからのデータ、考察、重要ポイントを紹介します。次回の投稿記事では、教育を通じてサイバー関連の専門家を育成するために必要な取り組みについて考察します。 関心を持つべき理由とは?サイバーセキュリティ分野は深刻な人材不足に陥っています。適格な人材が世界中で約30万人も不足しており、その数は増え続けています。62%の企業が現在のニーズを満たすために必要な情報セキュリティ分野の人材が不足していると答えています。サイバー関連職の人材不足は多大な影響をもたらします。それは、私たちがデジタル世界を十分に保護することができず、数えきれないリスクにさらされていることを意味しています。私たちは数の上ではすでに負けており、体系的に対処しなければ、問題は悪化する一方であることを認識しています。市民の安全を守るために必要な警官の数が不足していると、62%の地方自治体が発表したとすれば、国中が大騒ぎになるでしょう。サイバーの分野でもそれは同じです。 このような人材不足の影響はすでに現れています。新卒者はサイバーセキュリティ関連職に就くには準備不足です。一方、優秀な経験者をめぐっては競争が激化しているため、人件費や離職が増加しています。その間も、侵害は止むことなく続き、私たちのデジタル世界はさらなる脅威にさらされています。現在の状況を続けていくことはできません。脅威が増大し続けるにしたがって、人材不足もさらに深刻さを増していくでしょう。Ciscoの2014年度の年次セキュリティ レポートによると、人材の不足数は、2019年までに150万人にもなると予測されています。 カンファレンスでは、対処が必要な重点分野として次の4つが挙げられました。 サイバー教育について協議する際には、産業界からより多くの代表者が参加する必要があります。産業界は、この問題の解決にもっと積極的に関与する必要があります。現在および将来にどのようなスキルが必要とされるかについて検討したうえで、必要なスキルを育成するためのプログラムやコンテンツの作成を支援する必要があります。 人材不足を解消するために連携を強化する必要があります。主要なステークホルダーである産官学の三者はサイロ化を解消し、知識とベスト プラクティスを共有する必要があります。現在は、自己の利益があまりにも優先されています。組織やセクター内でも同様です。私たちは連携する必要があります。 学生との関わりをより早期に開始し、より頻繁に持つ必要があります。 データによると、サイバー関連職を選択する人たちは、多くの場合、年少期にこれらの職業に触れています。たいていの人は、一般的に、デジタル世界の安全性とセキュリティを確保することの重要性を理解しています。しかし、私たちは、これが成功可能でやりがいのある職業であることを理解してもらうために十分な活動をしているとは言えません。学生たちと、より早期に、より頻繁に関わる必要があります。 多様性の問題を解決する必要があります。様々な観点を取り入れて、成長を続けるには、人材プールの多様性を強化する必要があります。 スキルを向上させ、次世代のサイバー関連人材を十分に供給できるようにするために多大な努力がなされています。しかし、問題解決の分岐点を超えるまでには至っていません。そのためには、問題に優先的に取り組むことと、協力することが必要です。次回の投稿では、続編として、違いをもたらすための有意義な行動を提案します。お見逃しなく。

バイオリニストからバイオメトリクスまで – RSAチャージの報告

実用的なインテリジェンス、変則的なパターン、第3のプラットフォームへの転換、迅速な対応、モバイルの普及。これらの専門用語は、RSA Chargeの期間中に、シカゴのマコーミック プレイスの会場を埋め尽くした数百のプレゼンテーション、ブレークアウト セッション、ラボなどを特徴づけたテーマの一例にすぎません。パートナーやお客様の熱気は会場全体に伝染していました。ヒップ ホップ バイオリニストのエネルギー溢れるステージを幕開けに、RSAのUnified製品担当VPが、ムーアの法則に基づくSingularity Hubからの示唆に富む予言を紹介しました。これによると、2025年には、人間の脳と同等のコンピューティング能力、つまり1秒あたり1京のサイクル数を持つコンピューターを1000ドルで購入できるようになるそうです。AIは着実に進化しています。ロボット掃除機は、進化途上の恐竜と言えるでしょう。GRCの出席者が会場を埋めるなか、不正対策エリアでは、バイオメトリクスが大きな注目を集め、活気のあるざわめきを引き起こしていました。 オキュラス リフトの拡張現実によるマルウェア破壊ステーションも関心を集めていましたが、それ以上に人気を集めていたのは、Evolution of Cybercrime Trends(サイバー犯罪の傾向の進化)という1時間のブレークアウト セッションでした。RSA不正対策指令センターの責任者が、初期のフィッシング キットから、サービスとしてのクライムウェア モデルに至るまでのタイムラインについて詳細に説明しました。RSAが紹介した驚くべき統計によると、モバイル トラフィックは対前年比で60%増加し、モバイルの不正行為は80%増加しました。悪意のある攻撃キャンペーンを開始するには、今やキットを調達する必要もスキルを習得する必要もありません。キットは今でもレンタル用のボットとともに売られていますが、専門知識を簡単なクラス形式で提供する、スキルを持った犯罪者が数多く存在します。盗まれた膨大な量のクレジット カードが、サイバー犯罪の闇社会に絶え間なく流れ込んでいます。EMVチップ カードは、このような状況を解決するために登場したばかりですが、RSA不正対策指令センターでは、すでにEMVカード用の詐欺ソフトウェア キットがスペインのサイバー犯罪市場で売り出されているのを確認しています。今年のホリデー シーズンにレジで待つ時間を長引かせる原因となるチップ&ピン カードや、新しいPOSをマスターしようとしているレジ係に私たちがすっかり慣れる頃には、今以上に自撮りが増えることを覚悟する必要があります。 預金口座の残高を確認するために、あなたが最後にご自分の目のイメージを撮影したのはいつですか?あなたがいつも、秘密の質問や、1回限りのパスコードを通知するSMSテキスト メッセージを使用しているなら朗報です。近い将来、新しいバイオメトリクス製品として目の静脈確認が認証プロセスに組み込まれるようになるからです。目の血管のパターンは人によってすべて異なっています。また、ほとんどのスマートフォンに組み込まれたカメラの画素数は、ユーザーを正しく特定するために必要な2~3メガピクセルを大幅に上回っています。自撮りは、認証を強化するためのもう一つのオプションとなるでしょう。お酒を数杯飲んでからログ インする場合でも心配する必要はありません。眼の強膜の静脈は、年齢、充血、アルコール摂取などによって変化することはありません。目の静脈を認識することで得られるおよそ100個の特徴は、安全な暗号化テンプレートとして機能し、スマートフォン上にローカルに保存されます。バイオメトリクスは過去に話題になったことがありますが、簡単で安全性の高い組み込みバイオメトリクスに一般消費者向けのテクノロジーを活用できるようになったことで、絶好の転換点を迎えています。Z世代はバイオメトリクスを支持しています。あなたはどうですか?

デジタル ユニバースにおける学生のサイバー セキュリティ防御者の活用事例

「学生の皆さん、デジタル ユニバースにおける次の防御者になりましょう」のブログを書いた後、RSAの不正対策指令センターの取り組みや、Purdue Universityとの連携方法に関する複数の問い合わせがありました。National Cyber Security Awareness Monthの今週のテーマは「Building the Next Generation of Cyber Professionals」であるため、セキュリティ組織がどのように次世代のサイバー防御者の育成を支援できるかということを掘り下げて考える絶好のタイミングです。 第一に、RSA AFCC(不正対策指令センター)は悪意のあるWebを24時間365日体制で執拗に追尾する、140人を超えるサイバー犯罪ハンターで構成されたチームであり、世界中で数百万人ものユーザーを保護してきました。一般に紹介されていないチームの活動について詳しく知りたい方は、こちらのビデオをご覧ください。このチームは3年前にPurdue Universityと提携し、サイバー犯罪と闘う現場で実践的な経験を積むことで大学生を訓練する育成センターを設立しました。 よりはっきりとした全体像をつかんでいただくために、Purdue AFCCチームのリーダー2人とRSA AFCCの責任者にインタビューしました。 Alon Shmilovitz(RSA不正対策指令センター責任者) 質問:3年前にPurdue AFCCをスタートさせてから、大学とのパートナー関係の重要性が高まりましたか。 「もちろんです。 ここ2~3年、フィッシング攻撃が世界中で増え続けています。 実際、2015年は世界中で50万件を超える攻撃の発生が予測されており、これは新しい記録になるでしょう。 こうしたサイバー犯罪情勢の中で重要なことは、24時間365日グローバルな俊敏性を維持することです。そこで重要な要素となるのが、Purdue Universityです。 このパートナー関係によってAFCCチームを拡大できるだけでなく、学生は大学で学んでいることを実環境でのシナリオに応用することができます」 Matthew Riedle(Purdue AFCCチーム リーダー) 質問: 2012年のスタート時からPurdue AFCCセンターに関わっていらっしゃいますが、チームへの参加やサイバー セキュリティの学習を希望する大学生は増加していますか。 当センターはサイトとして拡大を続け、ますます多くのセキュリティ アナリストを採用するようになりました。それにつれて、応募してくる学生の関心もますます高まっています。 こうした応募者の増加は、現在のアナリストたちの成功やサイト全体の成功に起因すると考えられます。 サイトのアナリストの数は、11人から約40人へと成長しました。そのため、多くの人たちが評判を広め、友人やクラスメートに応募を勧めてくれています。 さらに、サイトの評判と実績が高まるにつれて、教授やアドバイザーの間でも、当センターへの応募を学生に勧めることへの関心が高まっています。   質問: NCSAMの今週のテーマは「Building the Next Generation of Cyber Professionals(次世代サイバー プロフェッショナルの育成)」ですが、企業と大学との連携がこの目標の達成にどのように役立つと思いますか。  サイバー プロフェッショナルを育成する上で、企業が提供するリソースは重要な部分を占めていると思います。 もちろん、不正対策アナリストとして仕事をするだけでもサイバー…

E2 – マエストロの楽譜 – テクニカル ダイアログ

エピソード2「マエストロの楽譜」では、ハンターが、マエストロの企てた不埒な策略を詳細に調査します。ハンターは、王国の重要な拠点に忍び寄る不審な男たちを特定したあと、調査を開始します。この調査によって、ハンターとその勇猛果敢な相棒のキャットは、ハンターが信頼を置く指導者メンターの粗末で古ぼけた住居から、王国の重要な守護者の一人であるゲート キーパーのオフィスへ、そして王の護衛隊の迷宮へと導かれます。ハンターは謎を紐解くにしたがって、王国の交易と収益の流れに関して複雑な偵察が行われていることを突き止めます。エピソードは、最終的な目的が明かされないまま、「野獣を解き放て」という恐ろしい最終指令とともに幕を閉じます。 攻撃のシナリオを解明し、攻撃のベクトルを把握するのは複雑なプロセスです。Defend the Kingdomシリーズのエピソード2では、セキュリティ インシデントを把握する際の一般的な課題をいくつか取り上げています。 まず、マルウェア分析は、一般的に、今日のインシデント調査の一部です。マルウェア、特に、エピソード1で取り上げたインフラストラクチャのコマンドおよびコントロール タイプを使用するのは典型的なシナリオです。マルウェアを分析する方法にはいくつかあります。 シグネチャ分析:一部のマルウェアはすでに分析されており、そうしたマルウェアの属性はカタログされています。一部のタイプのマルウェアを特定するうえで役立つ動作、ファイル名、ペイロード、その他の「指紋」によってプロファイルを作成することで、既知のマルウェアをすばやく特定することができます。しかし、今日のマルウェアには、通常、多くのタイプの難読化手法が用いられているため、シグナチャ分析が難しくなっています。 静的分析:マルウェアは、マルウェア攻撃に利用されるバイナリとファイルを評価することで静的に分析することができます。ファイルのフィンガープリントの作成、パッカーの検出、逆アセンブル技術によって、マルウェアが詳細に調査され、可能性のある属性と動作が特定されます。 動的分析:動的分析では、詳細に監視および保護された既知の環境(サンドボックス)でマルウェアを実行し、その動作、出力、通信を観察します。 エピソード2では、このような技術が複数使用されています。たとえば、メンターが過去に解読したことのある暗号とメッセージを比較したり(シグネチャ分析)、男たちから送られたメッセージの解析や調査が行われたり(静的分析)、保護された環境(迷宮)でハンターが男たちに繰り返し尋問したりします。結局、最終的に暗号を解読できたのは、ハンターが尋問中にある1つのことに気づいたからです。マルウェア分析は、多くの場合、これと似ています。全体像を完成させるのは、一つの単純な隠れた要因です。 次に、攻撃のタイムラインと方法を分析することが、インシデントの実際のインパクトを把握するうえで重要な要素となります。攻撃のタイムラインはすべて異なります。しかし、次に挙げるとおり、調査すべき攻撃の共通属性も存在します。 攻撃がもたらすビジネス インパクトの把握:攻撃対象のビジネス システムを把握することなく、攻撃の実際のインパクトを把握することは極めて困難です。侵害されたシステムが特定された場合、調査におけるイベントの優先度と次のステップを決定し、リスクの程度やリスク実現の可能性を経営陣に絶えず知らせておくうえで、このような資産を利用することは極めて重要になります。 最初のエントリー ポイント:適切なタイムラインを組み立て、インシデントにおいて実際に何が発生したかを追跡するうえで、攻撃の根幹点を把握することは非常に重要です。 リープフロッグ攻撃/システムの侵害:重大な攻撃は、1つのシステムを侵害するだけではありません。攻撃者がターゲット システムだけを攻撃することはめったになく、多くの場合、ウィーク ポイントが悪用され、その後、攻撃者は内部の認証情報を利用するか、他の脆弱性を悪用することで他のシステムに移動します。 認証済み/特権アカウントの侵害:多くの場合、攻撃者は特権アカウント(root、ドメイン管理者など)をターゲットにしますが、これには理由があります。これらのアカウントは、他のシステムへのアクセスを可能にするだけでなく、通常、セキュリティ レイヤーをバイパスすることができます。 意識向上と教育:エンド ユーザーは、最初の防衛線の重要な一端を担っています。エンド ユーザーは、たとえ1名であっても、重大なセキュリティ侵害を招く可能性があります。 エピソード2「マエストロの楽譜」では、次のような、典型的な調査のこうした要素をいくつか取り上げています。 マーティーは、マグナコープ社のCISOであるデイブ・ラインハートに調査の経過を説明する際に、IT資産(IPアドレス、サーバー)をビジネス システムと関連付けることができ、デイブがより広範な経営陣にリスクのレベルを伝えるために必要とする情報を提供します。 ハンターは、ゲート キーパーと協力し、攻撃のタイムラインを作成するとともに、侵害され、悪用された入国地点(エントリー ポイント)と脆弱性について調べます。彼らは弱点を明らかにするだけでなく、危険な状況をもたらした全体的な原因または根本原因と、防衛を改善する戦略についても話し合います。 最初の男は、新米の守備隊司令官の経験不足(認識の欠如)を悪用して王国に忍び込み、その後、交易管理者(特権ユーザー)の身分証を盗んで仲間に利用させます。 インシデントの対応と調査は、今日のセキュリティの脅威に備えるうえで非常に重要な要素となります。考慮が必要な項目には次のようなものがあります。 攻撃の詳細を明らかにするには、マルウェア分析や、ネットワークおよびパケット トラフィックの詳細な調査を実行する能力が必要になります。これには、適切な技術インフラストラクチャとスキルのあるリソースの両方が必要です。 IT資産に関するビジネス コンテキストを構築することによって、イベントの優先度を決定する能力だけでなく、経営陣にリスクのレベルを伝えるための能力も大幅に向上させることができます。ビジネス リスクの観点でセキュリティ イベントを見ることは、適切なレベルの保護策の実施および組織によるリスクの把握と優先度の決定を確実にするうえで非常に重要です。 システム イベントを解き明かすには、機能間の連携が必要になります。セキュリティ インシデントは、多くの場合、機能的な境界を越えます。そのため伝達方法と合わせて、セキュリティやIT管理といった各業務機能間で定義された役割と責任を定めておくことにより、調査を効率化することができます。 特権アカウントが攻撃者のターゲットであることはよく知られています。重要なシステム アカウントの監視と使用など、こうしたアカウントに関するセキュリティは強化しなければなりません。 エンド ユーザー コミュニティがセキュリティの脅威を理解し、適切な決定を下すことができるようになるには、意識向上と教育が、情報セキュリティ戦略において積極的な役割を果たす必要があります。