[第16号]

Weekly CyberSecurity Column201603

弊社上級ネットワークエンジニアによる、セキュリティーに関するコラムをお届けします。
会社の公式文書という形ではない、作者個人の現場感あふれるコラムをお楽しみいただきつつ、日頃の営業活動へのヒントやお客様へのコミュニケーションなどにご利用頂ければ、幸いです。

著者 okun
ネットワーク ・ セキュリティー「一筋」?十年。社内外のネットワークインフラ構築を担当する。社内の新人向けから技術者向けまでネットワークやインターネットの講座を幅広く開催している。

[第16号]

インターネットに関連するさまざまなセキュリティーニュースとコラムを、定期的(ほぼ週刊)にお届けします。
今週は、1月になってから発生したサイバーセキュリティー関連のイベントと、CoCo壱番屋の廃棄製品の横流し事件をサイバーセキュリティーの観点から注目してみたいと思います。
1月20日から22日には、ネットワーク技術者中心のカンファレンス「JANOG37 ミーティング」が名古屋で開催され、それに参加してきました。JANOG37の開幕直前に発生された脆弱性のため、間に合わなかった技術者がかなりいました。

1)1月のサイバーセキュリティーイベント

① OpenSSHクライアントに情報漏えいの脆弱性(1月15日)
実験的にクライアント側のみに組み込んだSSH接続再開機能のため、悪意あるサーバに接続すると、秘密鍵をサーバ側に送信する脆弱性が存在した。

参照URL:
https://jvn.jp/vu/JVNVU95595627/

 

② BIND 9 にサービス運用を停止させられる脆弱性(1月20日:JANOG37開幕日)
これが、冒頭に述べた多くの技術者の到着を遅らせた脆弱性です。インターネット上の機器を区別するドメイン名を処理するために、世界で最も多く使用されているBINDというオープンソースのソフトウエアで発見されたために、データセンターをはじめとするあらゆるところで早急の対策を余儀なくされました。

参照URL:
https://www.jpcert.or.jp/at/2016/at160006.html

 

③ホームページの閲覧障害
成田空港:1月23日、厚労省:1月26日
ホームページが閲覧できなくなるとか、表示が非常に遅いとかの閲覧障害のニュースがたくさん流れています。アノニマス集団の攻撃かという報道もされていますが、本当のところはわかりません。事実は、たまたま閲覧が多かったために遅延が発生している可能性もあるわけです。いくらアノニマスが攻撃を宣言したといっても、それを鵜呑みにすることなく、事実を把握することが大切です。

 

2)CoCo壱番屋(以下ココイチ)のすごさをサイバーセキュリティーから考えてみる(前篇)
1月14日から、いろいろなメディアで大きく取り上げられている、CoCo壱番屋の廃棄ビーフカツ不正転売事件については、当初悪者のように扱われていたココイチが素晴らしい対応をしていたことがわかり、大きく株をあげました。私も最初にニュースを知った時には、またやったかと思ったことを恥じ入るばかりです。

事件のあらましを整理しますと

① 2015年10月19日
製造工場で、8mm の合成樹脂が冷凍ビーフカツに混入した可能性があるため、製造全量(約4万枚)を廃棄処理業者に委託。

②2016年 1月11日
フランチャイズ店のパート従業員が、スーパーマーケットでの買い物中に、ココイチのビーフカツと疑われる商品を発見し、本部に連絡。

②1月14日
商品調査から、ココイチのものと確定して、廃棄処理業者を特定し、その業者から転売されたものであることを突き止め、公表。

④ 1月15日
その他の製品も転売されていることを突き止め、その業者に廃棄依頼した全製品の情報を公表。

⑤ 1月19日
再発防止策の発表。

 

詳しくは、以下のココイチのURLを参照してください。
http://www.ichibanya.co.jp/whatsnew/

 

この一連のニュースからわかることは、

[1]フランチャイズ店のパート従業員という末端まで、顧客を大切にする意識教育がきちんとされていること。
自店舗に無関係なプライベートな買い物において、ココイチのラベルの付いていない(外販しないから当たり前ですね)商品を自社のものと見破り、本部に連絡しています。たとえ普段から調理している製品とはいえ、外販しているならまだしも、外販していないのに店頭で気が付くということは、このようなケースを想定した教育がなされているのでしょうか。ぜひ聞いてみたいところです。
もし、このようなケースの教育がないにもかかわらず発見できたのであれば、普段の店舗内においても、常に調理前の商品チェックや調理中の異変などに対して、細やかな心配りをする意識教育のたまものでしょう。パート従業員を末端と書いている時点でもう私の負けですね。

 

[2]届けられた2日後には、廃棄業者からの転売を特定し、公表していること。
上記のあらましは、ココイチがホームページで公表した日付ですが、実際に報道機関には、1日前の13日の午後8時に流しています。パート従業員が11日に発見して、本部に持ち込み、廃棄業者を特定し、その業者から転売したことの証言をとり、公表をしています。
文字で書けば、たったの1行ですが、実際には、自社の製品であることの検証と危機管理マニュアルに基づく危機管理チームの編成と召集、そして、製品の廃棄ルートの追跡、特定した廃棄業者の特定、報道機関への公表と捜査本部への告発が必要です。

これらのことを、2日程度でやってのけた訳です。素晴らしいスピードに感服するばかりです。
これらのことは、サイバーセキュリティーに関連する、重要な要素をたくさん含んでいます。長くなりましたので、続きは次号でお送りします。

 

3)その他
先週の金曜日に怖いニュースが流れました。いくつかのニュースサイトなどでも取り上げられたのでご存知の方も多いと思いますが、アメリカ国防省の研究機関DARPA(インターネットのきっかけを作った研究所として有名ですね)が、兵士の脳内に埋め込んだチップ経由で、情報収集をするだけでなく、実際の戦闘行動を行わせるテクノロジーの開発に取り組んでいることが報道されました。脳内にチップを埋め込む事は、実際にパーキンソン病の治療などで行われているという聞いたことがありますが、今回の報道は、脳内に数百万のセンサーチップを埋め込んでサイボーグ戦士を生み出そうというものです。

私は、このニュースから子供のころに読んだ「仮面ライダー」で有名な石ノ森章太郎氏の漫画(今はコミックというのかな)「サイボーグ009」を思い出します。内容は、悪の組織が誘拐した人間に手術を施して改造し、特殊な能力(速く走る、火炎放射をする、テレパシーで通信するなど)を獲得させて、戦闘員として活動させるつもりが脱走されて、逆にこの組織の壊滅のために活動されるというものです。これらの能力の中で、今回のニュースにかかわるものとして、テレパシーの能力の実現があると思います。それは、頭の中で相手に伝えたい事を考えるだけでその内容が相手に届くというものです。これが実現すれば、瞬時に統率された行動ができる恐ろしい先頭集団ができてしまいます。

私は、このようなことが、実現しないことを祈るばかりです。

次号では、ココイチの事件の後編とIoTのセキュリティーについてお送りします。

以上、16号でした。