情報処理安全確保支援士試験 (レベル4) シラバス
アプリケーションソフトウェアに対する攻撃を抑制するアプリケーションセキュリティの 対策の仕組み,実装方法,効果を理解する上で、Universally Unique IDentifier(UUID)の利用が挙げられております。
なお、IoTシステムのセキュリティ対策として、情報処理安全確保支援士試験 平成29年度 秋期 午後2. 問1 設問1 に出題されました。
- Zアプリは、モバイル端末にインストールされると、自動的にUUIDバージョン4形式の128ビットのデータを生成し、端末内に保存する。
- アプリIFは、利用者IDとパスワードで認証した後、認証に成功した場合はUUIDを利用者IDに結びつけて保管する。
UUIDの利用例 – Microsoft RPC 分散クライアント/サーバー プログラム –
クライアントが見つけられるように、すべてのインターフェイスをネットワーク上で一意に識別する為、大規模なネットワークで開発者は通常、各インターフェイスにUUIDを割り当てます。
UUIDの利用例 – UUIDについて –
RFC 4122にて標準化されております。
- 時間ベースの UUID を作成するためのアルゴリズム
- 名前ベースの UUID を作成するためのアルゴリズム
- 本当にランダムな値から UUID を作成するためのアルゴリズム
- Motivation
今回紹介したUUID生成アルゴリズムは、必要に応じて1台あたり毎秒1000万個という非常に高い割り当て率をサポートしており、トランザクションIDとして使用することも可能です。
UUIDの利用例 – Elasticsearchでのイベントベースのデータ重複を効果的に防止 –
セキュリティ企業のElasticは、UUIDは128ビット数に基づく識別子で、実用的な目的にかなってユニークでありながら、分散システム全体で横断的に生成可能としております。
UUIDの利用例 – デジタル庁 ベース・レジストリ、 オープンデータの拡充と体制 –
ハイ・バリュー・データセットのデジタルデータ管理の方法として、多数の対象に対して一意のIDを付与するUUIDへの取り組みが挙げられております。
UUIDの利用例 – 岡山県津山市が進めるスマートシティ基盤構築事業
データ連携基盤(都市OS)の共通ID:複数種類のサービスを利用する際に、各サービス側からユーザーを判断するため、一意のIDとしてUUIDを用いております。
注意喚起と受信者側の「対応コスト」について
参考:この度、インテリジェンスに基づく脅威に対する命名分類を改良し、ひと目で分かるアイコンシステムを導入、Microsoft Threat Intelligence コミュニティは情報の共有を通して積極的防御へ移行を支援しています。
Microsoftより 2023 年 5 月のセキュリティ更新プログラム (月例)がリリースされました。
既に悪用および公開されている脆弱性は以下3点です。
なるべく早く更新することをお勧め致します。
Top 20 Coolest Careers でOSINT Investigator / Analyst が11位
SANSのNew to Cyber Field Manualによれば、Top 20 Coolest Careers in cybersecurity で OSINT Investigator / Analyst は11位でした。これから日本もOSINTの認知度が上がり、活躍する人が増えることを予測します。
なお、OSINTは意図せず公開された情報もあり倫理的(Ethical hacker)な対応が求められす。
2021年にリリースされたNew2Cyberマニュアルですが、今回OSINTに関する情報が追加されました!
— SANS Japan (@SANS_JAPAN) May 2, 2023
その他、どのサイバーセキュリティの仕事が適しているのかやその仕事につくためのTipsなど紹介しています!
是非チェックしてください💻https://t.co/RbElOSA3Vn pic.twitter.com/bqQ8EqlJR4
SANS OSINT Summit 2023
プレゼンテーションの募集
提出期限: 5 月 19 日金曜日午後 5 時 (東部標準時)
- オープンソース情報の収集、記録、収集
- 業界/コミュニティにおける OSINT のさまざまなアプリケーションの探索
- ソーシャル メディアへのアクセスとデータの収集
- ツールと自動化されたプロセスを使用して、OSINT の収集またはデータのフィルタリングを高速化する
- OSINT の収集と分析に関する倫理的問題
- あなたが行った調査のOSINTケーススタディ(もちろんサニタイズ済み)
- OSINT と、他の形式の研究、調査、および諜報活動との関係
SANS Open-Source Intelligence Summit 2023 #OSINTSummit Call for Presentations is OPEN! We're looking for #OSINT case studies about capturing, recording, and harvesting #opensource info, and more! @dutch_osintguy @matt0177
— SANS Cyber Defense 🧢 (@SANSDefense) April 3, 2023
Submit your proposal by May 19: https://t.co/7T9mm9p0Nb pic.twitter.com/C19uEdjBXY
オープン ソース インテリジェンス (OSINT) のプライバシー リスク
ユトレヒト大学教授 Prof. dr. J.J. Oerlemans オランダCTIVD上級研究員は、OSINTが専門的で不正アクセスの多い行為へと発展してきたことについて、国家が考慮しセーフガードを用いることを提唱しております。
自動化されたOSINTは、専門的なソフトウェアやウェブアプリケーション(ツール)の助けを借りて、一般に入手可能なデータを収集することであると言えます。オープンソースインテリジェンス(OSINT)は、Googleなどの検索エンジンを使用したり、データを購入することで誰でもデータを入手できるため、不正アクセスではないタイプの調査とみなされることが多いようです。
Privacy risks of (automated) Open Source Intelligence (OSINT)
しかし、こうした従来のOSINTは、専門的かつ不正アクセスの多い手法へと進化を遂げています。ツールの使用により、何百ものオンラインソースを同時に照会することができます。これらのソースは多様で、ソーシャルメディア・サービスで公開されているデータから、携帯電話のアプリの広告によって生成された位置情報、流出したユーザーデータまで、多岐にわたります。自動化されたOSINTは、プライバシーの権利と個人データの保護の権利を以前よりも深刻に妨害しています。オランダの諜報・保安サービスに関する審査委員会(CTIVD)はこのほど、自動化されたOSINTに関する報告書を発表し、この動向を説明するとともに、そこから生じる法的問題を取り上げています(要約は英語版もあります)。
このブログでは、自動化されたOSINTについて簡単に説明し、それがプライバシー権にどのように干渉するかを説明します。また、なぜ国家が自動化されたOSINTについて考慮(規制)すべきかを明確にするために、オランダの規制とCTIVDによるレビューの結果について簡単に説明します。
国土交通省の河川監視カメラが不正アクセスを受けて停止
ネットに公開されている監視カメラですが、1月中旬に国交省近畿地方整備局が設置した199台の簡易型河川監視カメラにおいて、普段にない大量の通信が確認され、不正アクセスとして疑われております。
例えばSHODANから検索しOSINTで利用する場合もあり注意が必要です。
国交省の河川監視カメラ337台が停止、IoT端末なのに無防備で運用https://t.co/QvX6azbDHs
— 日経クロステック IT (@nikkeibpITpro) May 15, 2023
国土交通省の河川監視カメラが不正アクセスを受けて停止——。カメラに外部からアクセスするためのパスワードが初期状態のまま、通信ポートのアクセス制限も未設定など、セキュリティー運用に不備があった。
OSINTとはクローズドなCSINTに対して、オープンなソースという位置付けであり、OSINTは不正アクセスの有無などの定義ではないため、SANS OSINT Data Breach Ethics and OpSec Oh My によれば法的にも倫理的にも適切な対応が必要となります。
つまりOSINTを戦術レベルで効果的に活用する為には、積極的サイバー防御として、政府の協力の下で高インパクト/高リスクなグレーゾーンの法的、倫理的なルールと体制作りが重要です。
将来的には、情勢に応してオフェンシブサイバーとしてCSINT及びOSINTを用いることも付け加えます。
