Tokyo Techies Cyber Security Training Program

サイバーセキュリティトレーニングの重要性

私たちは前例のない相互接続性の時代に生きています、そしてこれは同様に過去に例を見ない危険な事態を引き起こしているのです。それは何故か、テクノロジーの性質が変わったのです。私たちは、機器の内部の動作(車、電子レンジなど)を理解せずにそれらを日常的に使用してきましたが、少なくともそれらの誤用の限界は推定可能でした。

しかしこれはパソコンの登場で変わりました。私たちは、地球上で最大の情報ネットワークにアクセスできるデバイスを入手したのです。パソコンを使うと、どこからでもコミュニケーション、学習、仕事、遊ぶ事ができます。しかし、この相互接続性の便利さには代償があり、外側に向けてドアを開くという事は、外界であるネットワークが私達の生活に侵入するという事でもあるのです。

そのため、私たちはデジタル情報とオンラインサービスを保護するためにサイバー防御を実装しなければなりません。私たちは自身の情報漏洩、プライバシー侵害、生産性の低下、作業の中断、機密性が損なわれる等の事態に陥らないようにしなくてはなりません。

サイバーセキュリティの最新ニュース

脆弱性:WordPress用のWooCommerceプラグイン、脆弱なオーソリゼーション

 

https://thehackernews.com/2018/11/woocommerce-wordpress-hacking.html

WordPressは、インターネット上のWebサイト[W3Tech]の約30%のシェアを占めるコンテンツ管理システムです。コンテンツを整理して提供することができる対話型モジュールの複雑なシステムです。WordPressは非常に人気があるので、悪意ある者によって悪用される可能性が高く、そのモジュールに影響を及ぼすセキュリティ上の欠陥に注意を払うことが重要です。

Eコマースのウェブサイトの35%を駆動するWooCommerceプラグインには、セキュリティ上の欠陥があります。WooCommerceプラットフォームをアクティブにすると、ファイルを削除する特権を持つ「ショップマネージャー」アカウントがインストールされますが、それらの権限はWooCommerceプラグイン自体の中のリミッターによって抑制されています。

しかし問題は、WooCommerceが無効になっている時に発生します。特権アカウントを手放した際に、特権アカウントのリミッターが解除されてしまうのです。したがって、ショップマネージャーは管理者アカウントを削除もしくはリセットし、アクセス権を取得する事が出来るのです。さらに、ショップマネージャーは特定のファイルを削除することによってWooCommerceを無効化する事ができます。

ただ、この脆弱性は攻撃者がショップマネージャーのアカウントにアクセスすることを必要とするので、誰でもがランダムにWooCommerceのウェブサイトに侵入して実行できるようなものではありません。

もしあなたが、WooCommerceウェブサイトを管理していたり、Woocommerceウェブサイトに関与している場合は、WooCommerceプラグインがバージョン3.4.6に更新されているか確認する事をお奨めします。

解読されたSSD暗号法:あなたの暗号化機能付きハードウェアを確認しましょう!

 

https://thehackernews.com/2018/11/self-encrypting-ssd-hacking.html

暗号化は現代において根本的に重要なものです。解読困難な数学の力を活用して、情報を「ロック」する方法です。これはかつてスパイ小説に限定される内容でしたが、現在ではデジタルデータを保護するための最も一般的な方法であり、私たちのデータを非公開および機密に保つことは非常に重要なのです。私たちは、顧客の記録を安全に保管したり、銀行の詳細を非公開にしたり、私生活を詮索好きな人の目から隠す必要があります。

ただし、正しく行われないと暗号化はその強みをすべて失います。このような事態が、一部のCrucialおよびSamsungの自己暗号化ソリッドステートドライブ (ハードウェア暗号化を使用して、より簡単かつ高速にする) で発生しました。ハードウェア暗号化の問題点は、隠し暗号方式を実装した独自のハードウェアを使用していることです。そのため、製造元が暗号セキュリティに関して必要な処理をしたかを確認するのは困難です。

一方、ソフトウェアの暗号化は簡単に配布可能であり、多くの場合オープンソースであり、AES、3DES、TwoFishなどの標準的な暗号化方法を使用します。それはどのようなプラットフォームでもできるので、移植性があります。

あなたに選択肢があるならば、危険にさらすチャンスを減らす事ができるソフトウェアの暗号化を選ぶべきです。ハードウェア製造元を信頼できる場合にのみ、ハードウェア暗号化を使用するべきです。

脆弱性:BLEプロトコルを使用しているTexas Instruments製のBluetoothデバイスは乗っ取りが可能である

https://www.zdnet.com/article/new-bleedingbit-zero-day-vulnerabilities-impact-majority-of-enterprises-at-the-chip-level/

Bluetooth Smart(BLEとも呼ばれる)を使用するデバイス(アクセスポイントなど)を購入した場合は、セキュリティアップデートについてTexas InstrumentsとCiscoのWebサイトを確認しましょう。セルフパッチオプションが含まれている場合はルーターにパッチを適用してください。 これが無理な場合は、これらのデバイスでBluetoothを無効にすることを検討した方がよいでしょう。

この点から、IoTテクノロジーに関して身が引き締まるような教訓を得る事ができます。私たちは、リモートの攻撃者に対してどのような防御ができるでしょうか?あなたの家電製品がインターネットに接続されている場合、悪意のあるエージェントからそれらを守るためにどの程度の考慮が払われていますか?

 

サイバーセキュリティの脅威からの防御方法

Tokyo Techiesは、あらゆる組織において従業員のサイバーセキュリティに関する知識と能力を改善する必要があると考えています。「従業員がセキュリティの最大の弱点」と言っても過言ではない程に、テクノロジーは急速に進歩しています。あなた自身のセキュリティ知識と意識に投資するのが、あなたの防御を強化するための最善の方法なのです。私たちは、すべてのITエンジニアが倫理的な方法でハッキングする方法を学ぶべきであると考えています。ハッキング方法について学ぶこと(そしてそれらを倫理的に適用すること)は、悪意のあるハッカーがコンピュータシステムを危険にさらす方法を学ぶ事に等しく、それによって、デジタル市民および従業員は自分を防御する準備をする事が出来るのです。

従業員は、自分の通信ネットワークがどのように機能するか、無線ネットワーク、アクセスポイント、および仮想プライベートネットワークの対処方法を知っている必要があります。通信プロトコルの勉強をする事で、従業員は適切な通信チャネルを選択できるようになります。

暗号化や総当たり攻撃のツールに関する知識があれば、従業員はそのような攻撃に強いパスワードを作成・使用できるようになります。パスワードはインターネットで最も一般的な認証方法であるため、デジタル市民がそれらの使用方法を知っていることが大切となってきます。デジタル市民は、実在する人や企業と通信していることを認識できるように、認証テクノロジーについて知識を得る必要があります。デジタル証明書、エンドツーエンドの暗号化、チェックサム、および2要素認証の活用方法に関する知識は、あなたやあなたの同僚の機密情報が漏洩するのを防ぐのに役立ちます。

マルウェアは深刻な問題になりつつあり、何十億ドルもの経済的な負担がかかっています。マルウェアとは、害をおよぼすように設計されているソフトウェアで、さまざまな形態があります。マルウェアは自動的に拡散し(ウイルス/ワーム)、情報を盗み取り(スパイウェア)、暗号化して情報を詐取し(ランサムウェア)、サーバーや接続に過負荷をかけることがあります(ボットネット)。従業員はマルウェアに対する予防策を積極的に設定し、感染を封じ込め、防止するために、自社のデバイス上のソフトウェアに注意を払うべきです。

Tokyo Techiesとサイバーセキュリティ

Tokyo Techiesでは、サイバーセキュリティの脅威を理解し、防御するためのトレーニングを行っています。11月26~28日に開催される次回のサイバーセキュリティワークショップに是非ご参加ください。

詳細はフェイスブックをご覧ください。

https://www.facebook.com/tokyotechies/

© 2020 Tokyo Techies. All rights reserved.