Office365 & セキュリティ対策セミナー
Office365 & セキュリティ対策セミナー
普通私の行く勉強会と言うのは、どっちかというと私用で参加するOSS関連の勉強会が多いのですが、たまに仕事関係のお誘いで平日昼間のセミナーで勉強させて頂くこともあります。
今回は某取引先主催のセミナーですが、セキュリティ対策セミナーのMSのエバンジェリストの人が登壇するらしいので、ぜひにと思って出席しました。NSEG関係者やソフト協関係者もおいでで、いろいろびっくりしましたw
セキュリティ対策セミナー
MSの蔵本雄一氏が講師です。セキュリティ関係の偉い人。そういやMSのエバンジェリストというとなんかスキンヘッドぽい人が多い気がする。気のせいですか?
攻撃手法と多重防御
攻撃についてはWindowsネットワークへの攻撃の実演があるらしいです。
攻撃者はどのようにWindowsを乗っ取るのか。 その裏でどのようなjことをが起こっているのか。 どうやって守ればいいのか。
興味津津。
MSの働き方
Windows10を素のままで使うのが多いらしいです。いれてもWindows diffenderくらい。Win10はいろいろと最近の評判がアレですけどw、セキュリティに関してはWin7よりはるかに向上しているので、使うべき、だそうです。
MSではクラウドの活用で、会社に在社するコアタイムがなくなったらしいです。いつどこで仕事をしててもちゃんと実績だけだしてればOK。うーむ、進んでる。
ランサムウェアに感染してみた
おう、「感染してみた」シリーズ。 ランサムウェアは最近のはやりで、勝手にPCを暗号化したり消去したりして、戻して欲しくばお金を払えという攻撃ですが、非常にマネタイズが分かりやすい攻撃ですよね。
ここではPETYAというランサムウェアに感染したケースを紹介してくれました。 blog.trendmicro.co.jp
.onionとかtorとかダークネットとかGramsとかいかがわしい話題が続出。うーん、楽しい。 Gramsでは薬から殺しからなんでも取り扱ってるらしいですが、最近では脆弱性を突くツールと取引されてるらしいです。AcrobatやFlash関連が高い。次がIEとか。やっぱビューアとかブラウザ関係が高値らしいですね。
RaaS???
ランサムウェアもRaaSの世界に行っているそうです。Ransomware as a Service.何それおいしいの。
要するにお金を払ったらちゃんと戻せるという保証がなければ、お金にならない。彼らはマネタイズのためにやっているわけですから、信用してお金を払ってもらわないと困るわけです。
したがってサービスも向上していて、サイトに行くとお試し復旧とかも無料でちょっとできるようになってる。なにそれ。「お困りですか?」とサイトで言われても今まさにお前に困らされるんですが。
そういう状況の中で、ランサムウェアもアウトソースしてサービス化してきている、ということらしいのです。電話問い合わせすると親切に対応してくれる。これなら金払おうって気がするってもんだ。
攻撃手法
で、実際のWindowsネットワークへの攻撃デモです。
最初はメール添付のPPTXファイルを開かせるところから始まります。anexe.pptxというファイル。アイコンはPowerPoint。どう見てもPowerPoint文書。
びっくりすることにこれがEXEファイルなんですよ。詳しくは説明しないけれど、偽装されてるんです。たぶん私にも見分けはつきません。
ここから始まって、ローカルPCが落とされ、ローカルアカウントが取られ、ドメインアカウントがハックされて、DCにアクセスされ、アドミのアカウントが取られて、DCが乗っ取られるまで、あっという間でした。
速すぎてどんな攻撃だったのかよくわかんない。でもやられてましたw
これが危険なファイルと分かる人だけが、リテラシーの低い人に石を投げなさい。
普通、添付ファイル開いてPC乗っ取られましたと言えば、つい馬鹿扱いしますが、これだけ巧妙になっているわけですから、ほとんどのネットワークは侵入されていると考えるべき、というのが蔵本氏の主張です。
多層防御は貫通されていることを前提に「では何を守るか」と言う点に発想を転換するべきだという主張です。
そのなかで「株価に影響しない情報流出は問題にならない」というのも一つの割り切り方。何をどこまで守るかと考えるべきで、全ての攻撃を防御するのはコスト的にも利便性上も引き合わない、と考えた方がいいそうです。
事故るんですよぜったい。
MSの人も、EXEで普通にやられている。そうです。高級なrootkit仕込まれたとか、そういう複雑なこうげきはあんまりなくて、普通にexe踏んで踏んで死んでる。
したがって、リテラシーが高いとか、ポリシーがいいとか、そういう状況であってもやられる。やられてないと言う人は、やられてるけれど発覚していないだけと思った方がいいそうです。
結局、事故は必ず起こる。車が当たらないように運転するのではなくて、当たっても丈夫なようにする。に代わってきているということだそうです。
何故攻撃されるか
iPhoneをハックできたらお金くれるサイトがあるそうです。Appleに連絡すると感謝されるだけだけれど、黒い連中に売れば、たとえばIOSの脆弱性は50万ドルで売れる。そうすると、脆弱性を発見した人は、みんなこっちにもっていってナレッジがダークサイドの方にたまるわけです。
だからずっとゼロディ攻撃はなくならないと。
攻撃は食らう。
ではどうするかと考えます。 ランサムウェアで説明されましたが、彼らは金を巻き上げることができるから攻撃するのですね。 したがって巻き上げられなければ攻撃は停止します。
匿名のクラッカーに「どのくらいの期間攻撃しますか」とアンケートを取ったところ(おいおいw) 9日間攻撃してダメなら次に行く。と言う例があったそうです。
彼らは金でにすることが目的。ダークネットで仕入に使った資金の急いでるわけですね。 つまり、めんどくさがれれば勝ちなわけ。
私も出来ればすべてを防御したい方で、いろいろと制限を掛けたがる方だったのですが、お話聞いてちょっと考えなおしました。
社内のセキュリティポリシーも改変の時期が近いものですから、もっといろいろ勉強していきたいと思います。
大変勉強になったセミナーでした。開催された取引先様に感謝です。