オルタナティブ・ブログ > 新倉茂彦の情報セキュリティAtoZ >

~攻撃は最大の防御なり~正解のない対策を斜めから斬る

地上経済よりも活性化している「地下経済」に景気は関係ない?

»

今日(2010/08/31)のマーケットは、日経平均が8,824.06円、ドルは84.28円です。一方のアンダーグラウンドエコノミーである地下経済は活性化しているように思います。景気の悪化と逆に動くのか?そもそも景気に左右されないのか?・・・いずれにしても、そこに買い手がいるから。。。成立するのでしょう。

 フィッシングや個人情報の盗難に絡んで行われるのは、金銭の窃盗だけにとどまりません。サイバー犯罪者は、財務データや収集した情報を利用し、法的な文書を偽造し、販売することなどによって、収入を得ています。

 偽造文書の供給は、マルウェアの販売、ボットネットの貸し出し、サービス拒否攻撃の実行とともに報酬の高いサイバー犯罪の1です。

 最も一般的な偽造文書の1つに、パスポートが上げられます。以下のWebサイト(画像1参照)では、国ごとに分類された大量のパスポートが提供されています。最も値段が安いのは、アゼルバイジャンの870ドルのパスポートです。フランスのパスポートは5530ドルです。偽造者に個人情報と署名、写真を送信したら、後は偽造者が自動的に作成してくれます。

インターネットや、情報の大容量データ化などが、追い風になっています。パスポートの場合、平均すると5000ドルくらいのようです。ほぼ全自動のように作ってくれるようです。って、対面でアフターサービス付き♪って類のブツではないので、そんなものなのでしょうか? 作ったことがないからわかりません(笑)

残高が2000~1万5000ドルのクレジットカード(10枚1組)も大量に提供されています。プラチナカードの中には、最大5万ドルの保証付きのものもあります

クレジットカードも3000ドルから4000ドルの範囲で、カードブランドやゴールドなどの種類などによって変わるようです。4000ドルで買った偽造カードで購入価格以上に使えなければ、意味がないでしょう。カードが証明書の変わりに使える場合もあるので・・・いずれにしても、購入価格以上の価値があるのでしょうね。随分前にクレジットカードの番号を作り出すソフトを見たことがあります。現在も使えるのかどうかわかりません。いたちごっこなのでしょう。

となると、これだけの情報に相当な価値があることになります。ICチップ入りなど偽造防止技術も進んでいても、地球上で作り出せる以上、何らかの方法で利用することは出来る。だからこうなっていると。

結局、購入者がいるから成立する。購入者だけでは商売にならず、仕入れとしての情報が必要です。個人情報が売買される理由があるから、地下経済がある。

個人情報だけでも、これだけの商売になるならば、機密情報の場合はどうでしょう? 少なくともWebで売買される情報ではありません。生々しいものは多く見てきましたが、セキュリティ対策がしっかりしているにも関わらず結構多くあります。

これは単純な話です。情報を狙う(攻撃)側のが、情報を管理(防御)側よりも常に優位だからです。弱点を探してそこを突くだけです。攻撃視点で対策を行わう必要があります。弱点を弱点と認識しているものは対策されている(はず?)だからです。

こんな調査結果もありました。

もしも明日解雇されるならば、私は機密を持ち出す---回答者の88%・・・らしい

機密情報をIT管理者の88%が解雇されれば持ち出し、35%は無断アクセスする(米国調査)

解雇されれば情報を持ち出す・・・現実味が増してきた世の中の変化

やるときは誰でもやってしまうものです。そんな時は実行者は正常な判断が出来てないケースが多くありますが、それは防御側である企業の理由になりません。

セキュリティの管理とは、ブルース・シュナイアーの安全対策とセキュリティの違いがとても重要と思っています。

 安全対策 セキュリティ
同時に起きる偶発的な火災を処理するには消防署がいくつ必要か?と考える。

放火魔が消防署の能力を超える数の火災報知器を動作させ、放火攻撃の効果を高める危険がある。と考える。

機内持ち込み荷物にナイフがあっても、X線検査で見つけられる。と考える。

X線で検出されにくい材質のナイフを検出されにくく持ち込もうとする者がいる。と考える。

緊急時、安全に避難出来る非常口の数を考える。 非常口を封印してビルに火をつけ、殺人を行う者がいる。と考える。


出典:ブルース・シュナイアー: 『セキュリティはなぜやぶられたのか』、p74、日経BP社、2007

そこまで考えるのか?とよく言われますが、そこまでしてくる。そんな事はあり得ないと思うようなことであっても、実際にあればあるのです。視点を変えることです。

一部分的なセキュリティを考えずに、統合的なセキュリティのグランドデザインを攻撃視点で考える時代になってきていると感じています。今一度確認してみて下さい。

Comment(0)

コメント

コメントを投稿する