CODE BLUE 2021 振り返り

CODE BLUE 2021 振り返り

代表理事の西川です。

ココン株式会社様より、招待いただきましてCODE BLUE 2021(https://codeblue.jp/2021/)にオンライン参加させていただきました。

今年の講演はランサムウェアやVPN、ソフトウェアサプライチェーンの話が多かった印象です。

VPNを狙った攻撃の話では日本企業が設定ミスによって侵害されている事例が散見されているという話がありました。ここ数年間でVPN機器の脆弱性は複数確認されていて、そういったものを利用してハッキングが行われているようです。VPNを利用している企業は改めて、最新のパッチが当たっているか、最新のパッチが当たっていない期間が長ければ、認証情報を変更することも検討していただいた方がよいでしょう。また、外からアクセスが可能なものになりますので、弱いパスワードを設定している場合は、そちらも見直しをしていただきたいなと思います。そして、時々はログを確認して不審なアクセスがないか確認していただきたいと思います。観点としては、不自然な時間帯での認証やIPのロケーションを確認する方法などがあるかと思います。


攻撃者は、Shodanというインターネットに接続されている機器の開放されているポートを収集しているサイトを使って、攻撃できそうな機器を調べているとのことでした。逆に守る側も同じようにShodanを利用して、自組織の機器に余計なポートが空いていないか調べて対応しましょうという話がありました。なかなか普段Shodanを使うことはないかもしれませんが、一度試してみてはいかがでしょうか。意図せず、webカメラが公開になっているケースもこういったサイトを利用することにより確認されるケースも存在します。

ソフトウェアサプライチェーンの話では、CI/CDを狙ったものから、ウェブマーケターが追加するサードパーティースクリプトまで様々な話がありました。特に、リリースされるまでのソフトウェアサプライチェーンはSAST(静的アプリケーションセキュリティテスト)やDAST(動的アプリケーションセキュリティテスト)を通ってからリリースされるため、ある程度の安全性が保証されるわけですが、その先のユーザーが利用するまでの「ラストワンマイル」にウェブマーケターがリリース後に追加したサードパーティスクリプトが存在します。そういったサードパーティースクリプトに脆弱性がある場合に、セキュリティ担当者が気付くことができない可能性があるという話がありました。中にはユーザー操作をビデオにして再現できるスクリプトもありますが、そういったスクリプトが機密情報の入ったページに導入されてしまっていたりすると、情報資産としての管理対象外になってしまって、気づかない間に情報を漏洩してしまうことが考えられます。
また、もしウェブマーケターが悪意を持っていたらと考えるとセキュリティ担当者は頭を悩ませるのでは無いでしょうか。意外と見過ごされてしまいがちなポイントなので、マーケティング担当者には開発とは別の観点でセキュリティ教育を行なっていく必要性を感じました。


サードパーティーのスクリプトの管理を行なっていくうえで、それがメンテナンスされていて、アクティブなプロジェクトなのかどうかなどの観点でのチェックも必要であるかと思いますし、このラストワンマイルは意外とケアしないといけないところですが疎かになっている気がしました。

こういった問題は教育だけで済む場合もあれば、セキュリティ担当者やIT担当者がルールを作ってあげるなどの検討も必要かと思います。また、この問題を解決するためにセキュリティ担当者はマーケターと一緒に働きましょうという提案もされていました。

ガチガチにセキュリティを固めてしまっては、マーケティングがしづらくなってしまったりするので、匙加減が難しいところではあるのですが、なんらかの手立ては講じておきたいところですね。

ソフトな内容としては、どのようにわかりやすく伝えるか、専門用語をどう伝えるかみたいな話がありましたが、こちらはみなさん苦労していそうでした。この辺は別の機会にまとめられたらと思います。

業務端末を使用して個人のSNSを使っている場合に、攻撃者がそれを狙ってSNS経由で攻撃を仕掛け、マルウェアに感染させているという話もありました。こういったこともあるので、業務端末と個人利用を行う端末はきちんと分けた方がよさそうですね。あとはチャットサービスを狙われるとのことで、業務で利用するものに関しては強いパスワードを使って、できるだけ二要素認証を心がけてほしいと思います。

こういうカンファレンスがあったりすると、攻撃手法ばかりが取り上げられて、
“守るためにはお金を掛けないといけない”
と思ってしまいがちですが、意外と基本的な部分、例えば最小権限(必要最小限の権限を付与すること)、職務の分離などを徹底することによって、攻撃を難しくすることができます。
個人的にはこの基本的なところが徹底できるかどうかが、その後の対策がきちんと作用するかどうかに掛かってくるのではないかと思っています。ここをないがしろにして、いくら製品を導入したところで、攻撃者からみると攻撃しやすいのではないでしょうか。

というところを今回のCODE BLUEではあらためて感じました。

今回は仕事も重なって参加を迷っていたのですが、ココン株式会社の山下様よりお声がけいただき、参加を決心しました。結果的にたくさんの学びがあり、山下様には心から感謝しております。

代表理事 西川 彰