Posts

profile

「2017年11月号」大手企業を狙ったサイバー攻撃、その被害規​模が恐ろしい?!Web脆弱性からコネクテ​ィッドカーまで、セキュリティ情報まとめ!

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

■□■ ペンタセキュリティシステムズ メールマガジン 2017/11/28 ■□■

https://www.pentasecurity.co.jp

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

目次

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

【01】【特別記事】第10回 オートモーティブワールド2018「コネクティッドカーEXPO」に出展!

【02】【プレスリリース】仮想通貨取引所に論理演算分析エンジン搭載WAF「WAPPLES」を提供

【03】【月間レポート】最新Web脆弱性トレンドレポート2017年10月号公開

【04】【ニュースまとめ】大手企業を狙ったハッキングで流出される顧客情報の規模が恐ろしい。

【05】【コラム】2017年11月号 「安全だと思ったWi-Fiセキュリティ、WPA2が崩れた。」

【06】【特別連載】Q&Aで分かるコネクティッドカーのすべて

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

【01】 【特別記事】第10回 オートモーティブワールド2018「コネクティッドカーEXPO」に出展!

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

今年1月、ペンタセキュリティは第9回オートモーティブワールドの「コネクティッドカーEXPO」に

出展し、自動車通信プロトコルに最適化されたファイアウォールのAutoCrypt AFWと自動車と外部

インフラ間の安全な通信システムのAutoCrypt V2X、自動車用PKI認証システムのAutoCrypt PKIや

自動車内部の暗・復号化を担当する鍵の管理システムのAutoCrypt KMSの4つで構成されている

AutoCrypt(アウトクリプト)を紹介し、大きな反響を起こしました。来年のオートモーティブワールド

2018にも出展することになりましたが、展示会に来場する方々がさらにオートモーティブワールドを

活用できるように、展示会に行く前にチェックしておけば良いことをご紹介いたします。

オートモーティブワールドに参加予定の方々、また興味を持っている方なら、是非ご確認ください。

 

>> オートモーティブワールド2018特集記事全文はこちら

 

https://goo.gl/KYu9Gj

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

【02】【プレスリリース】仮想通貨取引所に論理演算分析エンジン搭載WAF「WAPPLES」を提供

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

ペンタセキュリティが11月14日からブロックチェーンプラットフォーム専門企業「CERTON」が運営

する仮想通貨取引所の「コインリンク」に、自社開発の論理演算分析エンジンを搭載したWebアプリ

ケーションファイアウォールの「WAPPLES(ワッフル)」を提供することになりました。

日本では、2017年上半期に個人の仮想通貨口座をハッキングした事件が33件発生し、これによって、

約7650万円の仮想通貨が盗まれた事件があり、その他にも香港、韓国など、仮想貨幣取引所を狙った

サイバー攻撃が急増して、多数の仮想貨幣取引所はセキュリティの重要性を認知するようになり、

本格的にセキュリティシステムを構築し始めました。コインリンクもセキュリティ強化の一環として

今回ペンタセキュリティのWAPPLES(ワッフル)を導入したのです。

より詳しい内容は、下記のプレスリリース全文をご参照ください。

 

>> プレスリリース全文はこちら

https://goo.gl/d8EVj8

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

【03】【月間レポート】最新Web脆弱性トレンドレポート2017年10月号公開

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

ペンタセキュリティが毎月(年12回)提供しているExploit-DBのWeb脆弱性項目をもとにしたトレン

ドレポートです。本レポートは、世界的に幅広く参考している脆弱性関連のオープン情報である

Exploit-DBより公開されているWeb脆弱性について、ペンタセキュリティのR&Dセンターのデータ

セキュリティチームの専門的知識と経験を活かし作成されています。

 

【概要】

2017年10月に公開されたExploit-DBの脆弱性報告件数は、総67件であり、その中でSQLインジェク

ションが51件で最も多い件数で発見されました。10月の攻撃の中で最も危険度の高い攻撃は、コマンド

・インジェクション(Command Injection)攻撃でした。コマンド・インジェクション(Command

Injection)攻撃は、意図しないシステムコマンドを実行することができる攻撃で、今月に公開された

攻撃は主に1)multipart/form-dataを活用した方式、2)JSON形式でコマンドを挿入する方式、3)コマンド

をbase64とhashで変調する方式、4)コマンドが挿入されたxmlファイルを参考する方式などがありました。

該当脆弱性を予防し、持続的なセキュリティを維持するためにはWebアプリケーションファイアウォール

とセキュアコーディング、最新パッチを通じて深層防御(Defense in depth)実装を考慮しなければなりません。

 

>> 最新Web脆弱性トレンドレポート全文はこちら

無料ダウンロード: https://goo.gl/s4AQ8u

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

【04】【ニュースまとめ】大手企業を狙ったハッキングで流出される顧客情報の規模が恐ろしい。

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

最近、不正アクセスによる個人情報漏えいに関するニュースが連日報道されています。企業の情報

を狙った不正アクセスにより、顧客の機密情報やクレジットカード情報などの敏感な情報が流出される

など、企業の被害件数も増加しています。今回のニュースまとめでは、特に注意しなければならない大手

企業の事例です。大手企業を狙った3つのハッキング事件について、事件の概要から経緯まで詳しくご

説明いたします。サイバー攻撃はその攻撃を受けた企業の規模により、被害規模も変わりますが、大手

企業の場合、その被害規模は実に恐ろしいです。詳しい内容は全文をクリックしてください。

 

目次は、以下の通りです。

(1) 米ヤフーユーザー30億人の情報流出―「世界の半分」の情報が盗まれる!

(2) TOKYO MXに不正アクセスー30万人以上の個人情報流出の可能性

(3) GMO、1万4612件の顧客情報が流出ーサイト売買サービスに不正アクセス

 

>>ニュースまとめ全文はこちら

https://goo.gl/BU8BBP

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

【05】【コラム】2017年11月号 「安全だと思ったWi-Fiセキュリティ、WPA2が崩れた。」

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

毎月ペンタセキュリティの R&D センターからコンテンツ作成し、配信しているセキュリティコラムを

紹介いたします。

【概要】

「WPA2(Wi-Fi Protected Access 2)」も崩れた。Wi-Fiセキュリティの不安というのはいつも話題に

なっていたが、そのたびにWPA2は唯一の安全な方法としておすすめされたりした。

以前の「WEP(Wired Equivalent Privacy)」に比べて、WPA2は名前から’Protected’だったので、

十分に保護されているような気がした。セキュリティ専門家たちもWPA2だけは安全だと言ってたので、

利用する人たちは安心した。しかし、そのWPA2も崩れたのだ。

———————————————————————————————

いつのまにかWi-Fiは私たちの日常生活では欠かせないものになりましたが、安全だと信じていた

このWPA2(無線LAN規格)から脆弱性が発見されたことにより、全世界が大騒ぎになりました。

それで今回は、脆弱性が発見されたこのWPA2のどこから欠陥があったのか、またそれでWPA2方式

は本当に安全な方式ではないか?などの疑問について解説いたします。

詳しい内容は、本コラムからご確認ください。

 

>>コラム「安全だと思ったWi-Fiセキュリティ、WPA2が崩れた。」全文はこちら

https://goo.gl/xeNF7k

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

【06】 【特別連載】Q&Aで分かるコネクティッドカーのすべて

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

運転席で一眠りして起きたら。自動車が自ら運転して、目的地まで送ってくれる場面をニュース

などで見たことがありますか? こういう話は今はもう映画の中の話だけではなく、現実です。コネクティ

ッドカーあるいは自律走行車がそれです。世界有数の自動車会社とIT会社がスマートな自動車を

リリースして、映画の中で見たのが現実になっていて、みんなが驚いています。

しかし、もし、ハッカーらが自律走行車を攻撃すれば、恐ろしい事故が起こる恐れもあります。それ

で、今回は近未来に商用化される自律走行車、コネクティッドカーをテーマにして紹介と共に、セキュ

リティの重要性、二重三重のセキュリティシステムなどについてQ&Aでご解説いたします。

 

>>Q&Aで分かるコネクティッドカーのすべて全文はこちら

https://goo.gl/XqeMTx

 

▼ 他の特別連載記事はこちら ▼

≫≫ Q&Aで分かる「情報セキュリティ」のすべてhttps://goo.gl/dQSDTK

≫≫ Q&Aで分かる「ネット銀行(ネットバンク)」のすべてhttps://goo.gl/F9qLLz

≫≫ Q&Aで分かる「モノのインターネット(IoT)」のすべてhttps://goo.gl/ZfHFRh

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

■ 製品・パートナシップに関するお問い合わせ

ペンタセキュリティシステムズ株式会社 日本法人

Tel:03-5361-8201 / E-mail: japan@pentasecurity.com

 

■ 本件に関するお問い合わせ

ペンタセキュリティシステムズ株式会社

Tel:03-5361-8201 / E-mail: mkt1@pentasecurity.com

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

automotive cyber security

【コラム】 2017年自動車サイバーセキュリティの現状

2017年自動車サイバーセキュリティの現状

自動車ITセキュリティは、大衆の興味を集めるテーマである。よく知られている致命的なハッキング事件があった自動車メーカーだけでなく、潜在的にこのような可能性を持っている自動車製造業者も、今後の自動車産業がどんな姿であろうかを予測するために、素早く動いている。 2017年現在、こういう動きは私たちにどういう意味であろうか。


ほとんどの人たちは自動車産業について話すとき、広範囲につながるスマート道路や自主走行車のような未来の自動車について興味を持つ。しかし、製造社と個人は最近生産されている自動車のサイバーセキュリティ問題についてはどう思っているだろう。
最近、日本の自動車製造会社や供給会社の役員たちと自動車セキュリティに関して非常に興味深い対話を交わした。彼らは、自動車セキュリティの必要性と安全がどれほど重要であろうかについて、確実に認識していた。自動車と様々な機器との連結が増えることにより、安全性と顧客の個人情報保護に影響を及ぼしかねない弱点を理解して解決しなければならないと話した。短い対話だったが、彼らのような自動車業界で影響力を持っている人たちが産業の重要性と競争力を維持するための核心要素として、サイバーセキュリティについて考えているという点は、非常に強い印象を残した。


しかし、セキュリティに対する高い理解度を持っていて、それを実践しようとする意志を持っていたとしても、収益性に影響を及ぼすイシューは無視できない。特に、企業で「自動セキュリティ(Auto Security)」を全ての製品とモデルに対して適用するというのは非現実的に見える可能性もある。
例えば、高級車両の場合、中・低価の車両に比べて、より多くのセンサーチップを持っている。多分、ハイエンドサービスは、高級車両での高コストチップを正当化し、収益を創出することができるだろう。しかし、中・低価車両の場合、内在されたチップにセキュリティ機能を付与する場合は、中・低価車両と言えないほど、費用が大幅に上昇する可能性がある。


彼らは「自動車セキュリティ(Automotive Security)」を暗号化機能が含まれた最先端チップのセキュリティと定義しながら、チップの製造会社が情報セキュリティの核心である暗号化のために、あらゆるチップをアップデートしなければならないと話した。しかし、安全なチップを保有しているとして、セキュリティが保証するわけではないし、たとえチップ自体がセキュリティを維持していても、その機能を果たすことができなければ、現時点で役に立たない可能性がある。それで、今必要なことではない。では、今後のコネクティッドカーにはどんな方法でセキュリティを構築しなければならないのか。


現在のコネクティッドカーに内在されている部品の中では必要以上に高いチップが入っている場合が多い。チップが相互通信できるようにするプラットフォームであるCAN通信は、車両のチップの間にどのような種類の通信もサポートできないため、このような目的のための暗号化モジュールを必要としない。実際、CAN通信は、今日の自動車やクラウドサービス、スマート高速道路インフラのような外部に存在する全ての暗号化されたトラフィックをサポートすることができない。それにもかかわらず、暗号化された通信を処理できるチップらがすでに市販されており、チップ製造会社では、新しくて高いチップを売るために血眼になっている。車両内部に最先端チップを使用するのは、もちろん利点もあるが、それに相応するセキュリティ脅威をもたらす恐れがある。


加えて、製造メーカーやモデルまたは費用に関係なく自動車に対する外部攻撃を遮断することが欠かせないことだ。機器、インフラ、他の車両、クラウドなどとの安全な外部通信を促進する安全な外部ゲートウェイは非常に重要である。コネクティッドカーのどんな外部構成要素としても、連結された以上、安全に保護されなければならない。このようなことは、ゲートウェイへのトラフィックをモニタリングし、トラフィックの流れを制御して、悪性トラフィックを検知して、データセキュリティや個人情報を保護することにより実現できる。


近未来に自動車の各部品がセキュリティモジュールを備えるのは多少やり過ぎかもしれない。各チップに暗号化機能を備えるためには、自動車が連結しなければならないすべてのサービスや製品がよりアップグレードされなければならず、同時に、はるかに早い速度の通信が必要である。


しかし、逃してはならない部分は、運転者と自動車周辺要素などを保護するためのモニタリングは必須ということだ。現在として幸いなことは、すべての車両のレベル、ブランド、モデルなどとは関係なしにほとんどのモニタリングが行われているという点だ。また、トラフィックを制御し、車の外部で発生する攻撃を検知することに対する費用は大きく増加しないはずだ。ほとんどの内部構成要素がそのまま維持できるためである。


各構成要素が暗号化された通信およびPKI認証をサポートしなければならない時期がもうすぐ到来するだろう。車両の内部構成要素は、車両外部だけでなく、車両内部でも通信するためである。このような精巧なレベルのセキュリティは現在としては高級型ハイエンド車両で使用が可能である。しかし、現在すべての車両に適用することは多少時間がかかるだろう。


これは、今後、数年以内に発売される自動車が確保しなければならない最も重要な構成要素を考慮した短期的な観点である。この観点は、今日自動車メーカーが直面している実質的な現実、つまり、今後必然的に向き合うビジネスモデルの変化を考慮したものだ。同時に、我々は自動車と運転者、そして周辺環境の安全性の重要性については妥協しない。コネクティッドカーが未来により多くの機能とサービスを提供するためには、コネクティッドカーがどれだけたくさん売れるのかとは関係なく、すべてのモデルに包括的なセキュリティを必要とするだろう。


今日ではなくても、その日は、思ったよりももっと早く来るかもしれない。


本内容は、2017年9月21日ITPro Portalに掲載された「The state of automotive cyber security in 2017」を翻訳したものです。