皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

冒頭に書いたハッキング事件の中に含まれているとされるウイルス（セキュリティ）対策企業において、今回は内部的な不正流出事件が発覚しました。

今日はその情報をお伝えします。

顧客情報が不正流出した企業とは

昨日からメディアでも報道されているようですが、今回、顧客情報が不正流出した企業はウイルス（セキュリティ）対策で知られる『トレンドマイクロ社』です。

同社の発表では、テクニカルサポートに所属していた元従業員が海外市場で個人向け製品を利用している一部の顧客情報を持ち出し、第三者に提供したとされています。

（第三者は入手した情報を悪用してサポート詐欺犯罪を行っていたという情報も。。。）

日本市場においては問題なく、クレジットカード情報や金融機関の口座番号などは含まれていないとされていますが、『セキュリティ対策』でビジネスを行っている大手企業としてはあまりにもお粗末な話です。

何か、このような企業のセキュリティ製品を使用していて大丈夫なのだろうか？という不安さえ覚える人もいるでしょう。

しかし、これは他人事ではありません。

自社において同じような事案が発生してしまう可能性はどの企業にもあります。

このようなことが起きないよう社内全体に周知徹底を図ることは当然ですが、問題が起きた場合にはそれぞれがどのような立場に追い込まれてしまうのかなどの説明をわかりやすく行い、社員にそれらを理解してもらうことが重要でしょう。

ちなみに、個人的にはトレンドマイクロ社の製品をお勧めはしません。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

非常に大きな事件が起きています。

ユーザーのコンピュータを保護するソフトウェアを提供しているウイルス対策（セキュリティ）企業がハッキングの被害に遭ったという事件です。

ウイルス対策企業がハッキングの被害に

さて、これを報じたアメリカのセキュリティ企業は以下のようにブログに掲載しています。

In March 2019, Fxmsp stated they could provide exclusive information stolen from three top anti-virus companies located in the United States. They confirmed that they have exclusive source code related to the companies’ software development. They are offering to sell it, and network access, for over $300,000 USD.
（2019年3月、Fxmspは、米国にある3つのトップアンチウイルス企業から盗まれた独占的な情報を提供できると述べました。彼らは、彼らが会社のソフトウェア開発に関連する独占的なソースコードを持っていることを確認しました。彼らはそのデータとハッキング方法を30万ドル以上で売っている。）

盗み出されたとされるものは開発資料、機械学習に基づく分析データ、ウイルス対策ソフトとセキュリティプラグインのソースコードなどとされており、そのデータは合計で30TB分もあるとされています。

どこのウイルス対策企業がハッキング被害にあったのかは公表されていませんが、一部の情報では3社の内の1社は『トレンドマイクロ社』であることは間違いないという情報もあります。

今後もこのような事件は増えていくと思われますが、事業者としてはやれることをやっておくという準備（対策）が被害の軽減につながります。

それは決して無駄なことにはならないです。

しかし、それはロシアから送られてきたレポートでした。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

私は普段、偽装メール（なりすまし）対策の一環としてSPFやDKIM、DMARCを使うことをお勧めしていますが、この偽装メール（なりすまし）は日本国内に限った話しではありません。

ロシアから届いたDMARCレポート

普段、DMARCレポートが届くのは現状Googleからのみであったのですが、ある日、ロシアからDMARCレポートが届きました。

その段階では、このロシアからのDMARCレポートそのものがスパムメールなのでは？と疑いをもち、メールのヘッダ情報などを調査しましたが問題は見受けられませんでした。

何かしっくりこず、セキュリティチェックを通してレポートファイルを確認したところ、どうやらロシアのIPアドレス宛にコーポレートドメインを偽装してメールが配信されたようでした。

前者の方はロシアでメールを含めたサービスを提供している企業で、その企業がDMARCレポートを配信する仕組みを取り入れていたことからコーポレートドメインのDMARCレポートが届いたということで、実際に問題な行為を行ったのは後者のIPアドレスを利用した者と考えられます。

このように、偽装メール（なりすまし）は日本国内宛にとどまらず海外宛にまで及んでいます。

現在、コーポレートドメインをはじめすべてのドメインに対してDMARCを採用しているのですが、メールに対する制御は『none：そのまま受信させる』のまま様子見をしていた状態でした。

今回のことを考えると、やはり『quarantine：隔離させる』か、『reject：受信を拒否する』に変更していくことになるでしょう。

これらに変更することで、受信者のメールサーバーに対して隔離、もしくは拒否を依頼することができますので被害を抑制することが可能です。

しかし、課題も残ります。

先日起きたケースとして、相手先がGmailなどに自動転送していた場合、Fromは送信元メールアドレスのままなであったものの、出力されるIPアドレスは転送元のIPアドレスでした。

（相手先の契約サーバーの仕様によって左右されます。）

このような場合はつじつまがあわないことになりますのでSPF認証は失敗となり、DMARCにおけるメールの制御によっては相手にメールが届かないケースが出てきたりします。

皆さん、こんにちは。

業務改善を行う業務コンサルタント、高橋です。

さて、多数のメディア報道にてご承知の通り、米英仏によるシリア空爆によってロシアとの対立が深まっており、これに関連し、ロシアからのサイバー攻撃に対して警戒するよう呼び掛けています。

世界のネットワークインフラが標的に

共同アラートでは、世界各国のルータ、ファイアウォール、ネットワークベースの侵入検知システムなど、ネットワーク機器を狙った攻撃を仕掛けているとされています。

政府機関、民間組織、基幹インフラプロバイダー、業界を支えるISP（インターネットサービスプロバイダー）が主なターゲットとなっており、スパイ活動支援、知的財産の取得、ネットワークへの常駐、今後の破壊活動の基盤固めを狙っているとされ、レガシープロトコル、弱いプロトコル、サービスポートなどを使って脆弱性のある機器を見つけ、ファームウェアやOSの改ざんなどを行っているとされています。

影響を受けるとされているのは、GRE（Generic Routing Encapsulation）、Cisco Smart Install（SMI）、SNMP（Simple Network Management Protocol）が有効になっている機器。

また、セキュリティ対策が不十分なままインストールされた機器、メーカーのサポートが終了し、パッチが提供されない機器なども悪用されているようです。

被害に遭う前にチェックしておきたいところです。

また、北朝鮮も同様の技術を得た恐れがあるともされています。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

朝から好ましくないニュースを見てしまいました。

AI（人工知能）を使ったサイバー戦争が始まりそうな感じです。

サイバー攻撃にAIが使われる

近い将来、サイバー攻撃にもAI（人工知能）を使い、自動化された攻撃が始まりそうです。

AIを使えば、非常に効率的に攻撃を仕掛けることが可能になるでしょう。

全世界のパソコン・スマートフォンなどのデバイスにウイルスを送りつけることもできれば、人間が関与しなくてもハッキングが行えてしまいます。

AIは自ら学習しますので、あっという間に高度な攻撃手法を学んでしまうと思われます。

AIを搭載したセキュリティ製品

現状ではごく一部でしか搭載されていないはずですが、既にAIを搭載したセキュリティ製品が販売されています。

日本でよく知られたところでは、トレンドマイクロ社がAI技術を搭載したウイルス対策製品をリリースしています。

今後、同社に限らず他社においてもAI技術を搭載したセキュリティ製品がリリースされてくると思われますが、何よりも重要なのは準備を怠らないことです。

使用しているOSやアプリケーション類などは脆弱性に対応済みの最新版を使い、セキュリティ製品も新しい技術を搭載したものに入れ替えておくなど、どの事業者においても可能な最低限のことは常日頃から行い、社内のスタッフに対しても徹底して意識を持たせておくことも重要です。

皆さん、こんにちは。

業務改善を行う業務コンサルタント、高橋です。

先日投稿したGoogle Analyticsでのスパムの記事の最後に、『Google Analyticsにてフィルタリングする方法とは別の方法もありますが、それはまたの機会にお伝えできればと思います。』とお書きしました。

今日はそれを取り上げてみたいと思います。

海外からのアクセスをブロックする

海外からのアクセスをブロックしたい場合、Google Analyticsなどのアクセス解析上でのフィルタリングだけではなく、そもそものアクセスを拒否してしまう方法もあります。

それには.htaccessなどの中に少々アクセス制限を加えることになります。

例えば、ロシアと中国からのアクセスを拒否したい場合の例として、以下のように記述します。

GeoIPEnable On
GeoIPDBFile /path/to/GeoIP.dat
SetEnvIf GEOIP_COUNTRY_CODE CN BlockCountry
SetEnvIf GEOIP_COUNTRY_CODE RU BlockCountry
Deny from env=BlockCountry

ただし、これはGeoIPという位置情報を取得するためのモジュールがサーバにインストールされている場合に限ります。

これが使えない場合、Geo Liteという同じようなモジュールなら使える場合があります。

その場合は以下のように記述します。

SetEnvIf MM_COUNTRY_CODE CN BlockCountry
SetEnvIf MM_COUNTRY_CODE RU BlockCountry
Deny from env=BlockCountry

また、これらのいずれも使えない場合にはIPアドレスをブロックするか、もしくは許可するIPアドレスだけを記述することなら大半のレンタルサーバにて可能です。

プロキシ経由などのアクセス

しかし、これらの方法は一定の効果はあっても完全ではありません。

CN（中国）やRU（ロシア）などの国コードにはIPアドレスが紐づいており、それらの物理的な場所が第三国になっていた場合もあったりしますし、プロキシ経由にてアクセスされてしまえばアクセスは可能になってしまいますので、ある一定レベルのものを制御するという認識の下で行った方が良いかもしれません。

皆さん、こんにちは。

業務改善を行う業務コンサルタント、高橋です。

11月あたりから、私どものウェブサイトも含め、お客様のウェブサイトにおいてもリファラスパムが見受けられるようになりました。

これらは無視しておいてもウェブサイトの表示などに問題が生じるものではないですが、アクセス解析をする上で指標を大きくくるわせてしまいます。

今日はその対策をお伝えします。

Google Analyticsに現れたもの

11月に入り、意味不明な言語でのアクセスが見受けられるようになりました。

このようなものです。

１．Secret.ɢoogle.com You are invited! Enter only with this ticket URL. Copy it. Vote for Trump!

２．o-o-8-o-o.com search shell is much better than google!

３．Google officially recommends o-o-8-o-o.com search shell!

４．Vitaly rules google ☆*:｡゜ﾟ･*ヽ(^ᴗ^)ﾉ*･゜ﾟ｡:*☆ ¯\_(ツ)_/¯(ಠ益ಠ)(ಥ‿ಥ)(ʘ‿ʘ)ლ(ಠ_ಠლ)( ͡° ͜ʖ ͡°)ヽ(ﾟДﾟ)ﾉʕ•̫͡•ʔᶘ ᵒᴥᵒᶅ(=^ ^=)oO

これらはリファラスパムと呼ばれるもので、おそらく宣伝目的に行っているのでしょうが、アクセス解析を正確に把握しようとしている人にとっては影響大です。

※　これらの多くはロシアからのもので、中でもモスクワとサンクトペテルブルクが非常に多いです。

リファラスパムへの対策

これらをアクセス解析上から除外するには、除外するためのフィルタを追加してあげる必要があります。

Google Analyticsの管理において、以下のようにフィルタ追加をしてみてください。

１．フィルタ名：何でも構いません。

２．フィルタの種類：カスタム・除外

３．フィルタフィールド：言語設定

４．フィルタパターン：Secret.ɢoogle.com You are invited! Enter only with this ticket URL. Copy it. Vote for Trump!

５．保存

※　これらは個別に1つずつ設定し、除外したいビューすべてにフィルタを適用しておきます。

他の方法として、参照元などを見てドメインでフィルタリングする方法もあります。

その場合、フィルタフィールドを『参照』にし、フィルタパターンに参照元ドメインを入れてあげればOKです。

Google Analyticsにてフィルタリングする方法とは別の方法もありますが、それはまたの機会にお伝えできればと思います。