今宵のサイバーセキュリティについて気になること:支援士試験 シラバス UUID の利用 、Microsoft 2023 年 5 月のセキュリティ更新、SANS OSINT Summit 2023など

情報処理安全確保支援士試験 (レベル4) シラバス

アプリケーションソフトウェアに対する攻撃を抑制するアプリケーションセキュリティの 対策の仕組み,実装方法,効果を理解する上で、Universally Unique IDentifier(UUID)の利用が挙げられております。

出典:IPA 情報処理安全確保支援士試験(レベル4)シラバス 追補版(午前Ⅱ)

なお、IoTシステムのセキュリティ対策として、情報処理安全確保支援士試験 平成29年度 秋期 午後2. 問1 設問1 に出題されました。

出典:平成29年度 秋期 情報処理安全確保支援士試験 午後2
  • Zアプリは、モバイル端末にインストールされると、自動的にUUIDバージョン4形式の128ビットのデータを生成し、端末内に保存する。
  • アプリIFは、利用者IDとパスワードで認証した後、認証に成功した場合はUUIDを利用者IDに結びつけて保管する。

UUIDの利用例 – Microsoft RPC 分散クライアント/サーバー プログラム –

クライアントが見つけられるように、すべてのインターフェイスをネットワーク上で一意に識別する為、大規模なネットワークで開発者は通常、各インターフェイスにUUIDを割り当てます。

出典:Microsoft インターフェイス UUID の生成

UUIDの利用例 – UUIDについて

RFC 4122にて標準化されております。

  • 時間ベースの UUID を作成するためのアルゴリズム
  • 名前ベースの UUID を作成するためのアルゴリズム
  • 本当にランダムな値から UUID を作成するためのアルゴリズム
出典:IETF RFC4122
  • Motivation

今回紹介したUUID生成アルゴリズムは、必要に応じて1台あたり毎秒1000万個という非常に高い割り当て率をサポートしており、トランザクションIDとして使用することも可能です。

出典:IETF RFC4122

UUIDの利用例 – Elasticsearchでのイベントベースのデータ重複を効果的に防止 –

セキュリティ企業のElasticは、UUIDは128ビット数に基づく識別子で、実用的な目的にかなってユニークでありながら、分散システム全体で横断的に生成可能としております。

出典:Elasticブログ

UUIDの利用例 – デジタル庁 ベース・レジストリ、 オープンデータの拡充と体制 –

ハイ・バリュー・データセットのデジタルデータ管理の方法として、多数の対象に対して一意のIDを付与するUUIDへの取り組みが挙げられております。

出典:デジタル庁 令和5年2月28日 データ戦略推進ワーキンググループ(第6回)

UUIDの利用例 – 岡山県津山市が進めるスマートシティ基盤構築事業

データ連携基盤(都市OS)の共通ID:複数種類のサービスを利用する際に、各サービス側からユーザーを判断するため、一意のIDとしてUUIDを用いております。

出典:デジタル田園都市国家構想交付金デジタル実装タイプ(TYPE2/3)の活用事例

注意喚起と受信者側の「対応コスト」について

参考:この度、インテリジェンスに基づく脅威に対する命名分類を改良し、ひと目で分かるアイコンシステムを導入、Microsoft Threat Intelligence コミュニティは情報の共有を通して積極的防御へ移行を支援しています。

出典;Microsoft shifts to a new threat actor naming taxonomy

Microsoftより 2023 年 5 月のセキュリティ更新プログラム (月例)がリリースされました。

2023 年 5 月のセキュリティ更新プログラム (月例)

既に悪用および公開されている脆弱性は以下3点です。

なるべく早く更新することをお勧め致します。

Top 20 Coolest Careers でOSINT Investigator / Analyst が11位

SANSのNew to Cyber Field Manualによれば、Top 20 Coolest Careers in cybersecurity で OSINT Investigator / Analyst は11位でした。これから日本もOSINTの認知度が上がり、活躍する人が増えることを予測します。
なお、OSINTは意図せず公開された情報もあり倫理的(Ethical hacker)な対応が求められす。

SANS OSINT Summit 2023

プレゼンテーションの募集
提出期限: 5 月 19 日金曜日午後 5 時 (東部標準時)

  • オープンソース情報の収集、記録、収集
  • 業界/コミュニティにおける OSINT のさまざまなアプリケーションの探索
  • ソーシャル メディアへのアクセスとデータの収集
  • ツールと自動化されたプロセスを使用して、OSINT の収集またはデータのフィルタリングを高速化する
  • OSINT の収集と分析に関する倫理的問題
  • あなたが行った調査のOSINTケーススタディ(もちろんサニタイズ済み)
  • OSINT と、他の形式の研究、調査、および諜報活動との関係

オープン ソース インテリジェンス (OSINT) のプライバシー リスク

ユトレヒト大学教授 Prof. dr. J.J. Oerlemans オランダCTIVD上級研究員は、OSINTが専門的で不正アクセスの多い行為へと発展してきたことについて、国家が考慮しセーフガードを用いることを提唱しております。

自動化されたOSINTは、専門的なソフトウェアやウェブアプリケーション(ツール)の助けを借りて、一般に入手可能なデータを収集することであると言えます。オープンソースインテリジェンス(OSINT)は、Googleなどの検索エンジンを使用したり、データを購入することで誰でもデータを入手できるため、不正アクセスではないタイプの調査とみなされることが多いようです。
しかし、こうした従来のOSINTは、専門的かつ不正アクセスの多い手法へと進化を遂げています。ツールの使用により、何百ものオンラインソースを同時に照会することができます。これらのソースは多様で、ソーシャルメディア・サービスで公開されているデータから、携帯電話のアプリの広告によって生成された位置情報、流出したユーザーデータまで、多岐にわたります。自動化されたOSINTは、プライバシーの権利と個人データの保護の権利を以前よりも深刻に妨害しています。オランダの諜報・保安サービスに関する審査委員会(CTIVD)はこのほど、自動化されたOSINTに関する報告書を発表し、この動向を説明するとともに、そこから生じる法的問題を取り上げています(要約は英語版もあります)。
このブログでは、自動化されたOSINTについて簡単に説明し、それがプライバシー権にどのように干渉するかを説明します。また、なぜ国家が自動化されたOSINTについて考慮(規制)すべきかを明確にするために、オランダの規制とCTIVDによるレビューの結果について簡単に説明します。

Privacy risks of (automated) Open Source Intelligence (OSINT)

国土交通省の河川監視カメラが不正アクセスを受けて停止

ネットに公開されている監視カメラですが、1月中旬に国交省近畿地方整備局が設置した199台の簡易型河川監視カメラにおいて、普段にない大量の通信が確認され、不正アクセスとして疑われております。
例えばSHODANから検索しOSINTで利用する場合もあり注意が必要です。

OSINTとはクローズドなCSINTに対して、オープンなソースという位置付けであり、OSINTは不正アクセスの有無などの定義ではないため、SANS OSINT Data Breach Ethics and OpSec Oh My によれば法的にも倫理的にも適切な対応が必要となります。

出典:「我が国が戦略的に育てるべき安全・安心の確保に係る重要技術等の検討業務」

つまりOSINTを戦術レベルで効果的に活用する為には、積極的サイバー防御として、政府の協力の下で高インパクト/高リスクなグレーゾーンの法的、倫理的なルールと体制作りが重要です。

出典:「我が国が戦略的に育てるべき安全・安心の確保に係る重要技術等の検討業務」

将来的には、情勢に応してオフェンシブサイバーとしてCSINT及びOSINTを用いることも付け加えます。

投稿者: 二本松 哲也

SPbD:Security&Privacy by Design Founder ー OWASP Member ー ITは人々の生活をあらゆる面でより良い方向に変化させること ー 競争原理から共創原理へ