情報処理 セキュリティブログ

情報処理系の話、セキュリティの話など書いていきます。

CDN切り替え作業における、Web版メルカリの個人情報流出の原因につきまして - Mercari Engineering Blog


CDN切り替え作業における、Web版メルカリの個人情報流出の原因につきまして - Mercari Engineering Blog

 

メルカリで個人情報流出です。

CDNですが、Content Delivery Networkの略です。

 

すっごくざっくり説明すると、

「あなたから一番近いところから情報とってくるよ」

という仕組みです。

 

詳しくは知りませんが。。。

中間サーバーにキャッシュがあり、他人のキャッシュを表示してしまったとのことです。

 

個人的に釈然としないのが、中間サーバーはなぜ他人を同一人物と判断したのかです。

 

時間があれば詳しく見てみます。

IoT時代の情報セキュリティ

こんばんわ。

koutaです。

 

IoTという言葉。

最近よく聞くと思いますが皆さん知ってますか?

 

Internet of Thingsの略です。

oが小文字の理由は知りません。

 

物のインターネットです。

ちなみにですが、

IoH(Internet of Human)

IoX(NOSOLの登録商標)

という言葉もあります。

 

簡単に言えばなんでもインターネットにつなげるのです。

これがどれほど危険な事かわかりますか?

 

世の中的にはIoTばかりもてはやされセキュリティ的な話は専門の会社か一部のコンサルティング会社くらいでしか聞きませんね。

 

身近な例ですと、

玄関のドアがIoT化されて、鍵がちゃんと閉まってるかスマホから確認できるようになりました。

空いている場合は、鍵を閉めるという処理ができますが、開けるという処理はできません。

 

という商品だったとします。

心配性な人は導入したくなる製品です。

 

商品仕様としては、「開ける」はできませんが、

ハッキングしたら開けることができてしまいます。

閉めると逆回転に鍵が回る指示を出すだけですから。

 

鍵は右回りで閉めるものと左回りで閉めるものがあります。商品の提供元は当然どちらにも対応します。

 

こんな風に簡単に被害が想定できるのですが。。。

セキュリティは後回し(の事が多い)。

診断にもお金かかりますからね。

かなりね。


でも。。。怖くないですか?

 

ということで、私一人の力ではこんな社会は変えられないので皆様も自社で同様な事があれば、声高く指摘してくださいね☆

ボトムアップとトップダウン

こんばんわ。

koutaです。

 

今日はIT投資について考えてました。

(仕事はしてましたよ)

 

IT投資はボトムアップであるべきかトップダウンであるべきか。

という、自身の業務には到底関係ないことを考えていました。

(将来的には業務範囲にしたいです)

 

結論は出ませんでした。

ケースバイケースだと思います。

 

ボトムアップの場合は、現場に最適化されることになります。

経営者視点からは無駄な部分も出てくると思いますが、現場でのコストダウンには有用です。

 

トップダウンの場合は、投資効率の観点では正解だと思います。

ただし現場に最適化されていないということは、現場でのコストダウンは一定以上望めなくなる場合や、定形外業務には対応できなさそうです。

 

どちらが良いかは一長一短かなという気がします。

 

体制的に言うと、IT部門を全社部門とするか、事業部に持つかの違いなのですが。。。

 

何とも言えないですね。

個人的には現場からボトムアップで、

まとめ役が全社部門にいて、調整弁的な役割になると理想と思いますが。。。

 

現実的には業務が違いすぎて調整もくそもないと思いますので。。。

機能的には現場に最適化、データ的には全社で一括というのが良いかなと思いました。

 

インシデント発生の対応。

こんばんわ。

koutaです。

 

何も決めてくれないPLのせいで私の業務時間がただただ増えてます。

何回も

自分で考えろや!!

と言いそうになりました(笑)

 

情報セキュリティインシデントついてです。

見つけ方とかそういう話ではないです。

 

ランサムウェアとか脆弱性とか賑わってましたが、

そういう対応よりも必要なのが普段の業務につながるものです。

いわゆる体制のお話。

メール誤送信とか、無断の情報持ち出しとかね。

 

発生したあとの報告でよくあるのは

  1. 気の緩みです。
  2. ちゃんと確認してください。
  3. 気をつけて下さい

ですね。

 

もっともな内容ですが、

読者の方の所属組織にこんな連絡がきたら、

CSIRTや情報セキュリティ委員会といったものは機能してないということになります。

 

気をつけてもなくならないから対策するのです。

 

メール誤送信であれば、

送信前に確認をするソフトの導入。

アドレス帳に登録られてない送信先への禁止ソフトの導入。

適切なアドレス帳の作り方の指導。

組織外へのメールの警告。

で減ります。

 

無断の情報持ち出しであれば

適切な権限付与。

ゾーニング

規則による牽制(たまにみせしめ)。

 

双方、教育をきちんとやれば大分変わるはずです。

 

個人に起因するものは100%な対策はありません。

事前対策をしておくことで被害拡大を防ぐ事が大切ですね。

 

そんなことをやらずに「気をつけましょう」だけ言う組織は正すようにしてくださいね。

世界中で感染が拡大中のランサムウェアに悪用されているMicrosoft製品の脆弱性対策について:IPA 独立行政法人 情報処理推進機構


世界中で感染が拡大中のランサムウェアに悪用されているMicrosoft製品の脆弱性対策について:IPA 独立行政法人 情報処理推進機構

 

すでに遅いかもしれませんが。

世界的な被害です。

 

かっこいい名前をつける必要性を感じませんが。。。

感染した場合、

基本的にはお金は払わないでください。

一時的に解除される場合もありますが、

バックドアを仕込まれて情報を盗まれると思います。

 

外部メディアにバックアップが有るなら、初期化してそれを適用してください。

 

ビジネスに必要な場合は、払うという選択肢もありだとは思いますが。。。

 

うまく判断してください。

 

 

struts2の脆弱性どうしておけばよかったか。。。

こんばんわ。

koutaです。

 

何回かstruts2脆弱性について書きました。

 

これだけ書いたら対策してくれていることを祈っています。

 

今日はどうしたら良かったか?です。

 

まず問題の原因ですが、

struts2のOGNL(Object Graph Navigation Library)の解釈の問題です。

ある攻撃をした時に上記の機構が働いてなんでもできる状態になってました。

(ぼやかし過ぎたら意味わからなくなってます)

 

OGNL式をインジェクションすると、動いてしまうというわけです。

実際にサーバーのコマンドが実行できました。

 

ではどうするか?

 

  1. 攻撃されてもすぐに気づける環境を構築する。
  2. すぐにアップデートできる準備をしておく。
  3. 情報流出が起こっても大丈夫なようにしておく。

 

こんなところです。

 

次回は一つずつ解説していきます。

 

USB ストレージに保存されたデータを窃取するサイバー攻撃に関する注意喚起

https://www.jpcert.or.jp/at/2017/at170012.html
USB ストレージに保存されたデータを窃取するサイバー攻撃に関する注意喚起

 

お久しぶりです。

koutaです。

 

本日はこんなの出てました。

共有します。

 

USBよく使う人。

気を付けて下さい!!