Security Strings News

Security Strings News 2014.10.7

ご挨拶

お客様各位
皆様、お世話になっております。Security Strings、辻根です。
10月のメルマガを、配信させていただきます。ご一読いただけますと幸いです。
　先ずは、弊社の状況をご報告させていただきます。去る9月初め、カナダのMessage Archiving & eDiscoveryの世界的リーディングカンパニー、Global Relay社と、総代理店契約を締結いたしました。
Global Relay社は、各種電子メール(内内、内外のメール)、各種チャットのメッセージ、各種SNS(Facebook, Twitter, LinkedIn等)のメッセージのアーカイヴ(ストレージ無制限)、及びeDiscovery(日本語可)機能をご提供します。世界で数多くの実績を誇るCloud/SaaSメッセージ・アーカイヴ・ソリューションです。その詳細に関しては、今後別途ご紹介させていただきます。
引き続き、どうぞよろしくお願いいたします。

【アナリストの目】ベネッセ事件の再発防止に足りない対策

通信教育大手ベネッセコーポレーションが大量の個人情報漏えい事件を起こしたことは記憶にあたらしい。9月24日には、情報漏えいの対象者に対して500円の金券を配付することを発表した。漏えい件数は、3,500万件以上とされているので、高々500円と言えども175億円の損失につながる失態で経営責任は、免れることはできない。一方、情報を漏えいされた当事者心理としては、500円で許されるものではないだろう。今回の金券送付は、ローソンの個人情報漏えい事件の際に、ローソンが配布した500円の商品券の先例にならったものだろうが、このときは、ローソンで使用できる商品券なので、実質的な損失は500円相当の商品の仕入れ代金である150円程度であり、商品券を使うために来店する顧客の「ついで買い効果」がもたらす粗利と合算すると実質0円かプラスの効果もあった可能性がある。業態が異なるにも関わらず、ローソンの例に倣ったソフトバンクBBは、「たかが500円か！」と逆に批判的に受け止めた顧客も多かったようで、先例に倣うことが必ずしも効果的な謝罪につながらないことを改めて指摘しておきたい。大事なのは、普段からの顧客との信頼関係と業態と照らし合わせた対処方法である。

事件から学ぶべきは再発防止対策

　この種の事件が発生した場合、我々が教訓として学ぶべきは、謝罪のあり方だけでなく再発防止策だろう。最近では例外なく再発防止策を公表することで信頼回復をはかるということが通例になっている。ベネッセも9月25日に「個人情報漏えい事故調査委員会による調査結果のお知らせ」として事件の顛末と再発防止策について公表を行っている。筆者が注目したのは、アクセス制御、とりわけパスワードの管理である。先の「お知らせ」にはこのような記述がある。（下線は、筆者の追記）

「4. 本件データベース内の情報の管理
アクセス権限の管理に関し、シンフォームでは、以下の対応を行っている。
・　アクセス権限の棚卸しを実施し、業務上不要なアクセス権限を削除した。
・　付与するアクセス権限を必要最小限にするため、今後は、一定の期間毎にパスワードの更新を行う運用を開始し（注）、また、業務ごとに必要な一定の短い期間にアクセス権限を限定したパスワードを付与する運用とする方針を決定した。
（注）具体的には、一定期間毎にパスワードが更新される運用になり、各アクセス権限は、当該期間の満了時に必要性を判断の上、更新させることとなる。」

内部犯行にも有効なワンタイムパスワード

　今回のベネッセの事件では、容疑者が本人にアサインされたIDとパスワードを使用するという大胆な行為に及んでいる。この事実そのものが職場に緊張感がなかったと推測させる根拠となりうる。過去の大半の事案では、同僚や上司、部下といった周辺の他人のIDとパスワードを使用して発覚を困難にさせる手口が常用手段だからだ。顧客データベースの運用受託会社シンフォームが再発防止策として提案した「一定期間毎にパスワードが更新される運用」とは、パスワードの有効期間を改めて短い期間に設定することを意味していると思われるが、管理が強化されればされるほど内部犯行には、他人のIDが使用される可能性の方が高くなる傾向にある。スノーデン事件がその最たるものだ。
　内部犯行の防止を考慮した場合、本来、採用すべきパスワードの管理システムとしては、ワンタイムパスワードだろう。パスワードを定期的に変更する手続きを導入しても盗み見されるという脅威は回避できないからだ。ワンタイムパスワードであれば1回のログインで一度しか有効でないため、盗み見されても悪用することはできない。本人が所持する携帯電話やスマートフォンに「セキュリティ・ストリングス」を送信し、本人しか知り得ないPINを生成するPINsafeは、内部犯行の防止にも非常に効果を発揮するツールだ。

エンジニアのここに注目!

shellshock対応について

9月24日、bashの「shellshock」と呼ばれる脆弱性（CVE-2014-6271）が公表されました。
http://www.cvedetails.com/cve/CVE-2014-6271

これは、環境変数にある特殊な構文の bash コードがセットされていると、bash の起動時にそのコードが勝手に実行してしまう、というものですそのため、外部からいずれかの環境変数に書き込むことができると、ShellShock の脆弱性をついた攻撃が可能になってしまい、これにより OSコマンドインジェクションという種類の攻撃が可能になります。

bash は起動時に、設定されている環境変数をReadして処理を行います。通常は環境変数の値としてコードが組み込まれていた場合でも実行はされず文字列として扱われます。
今回は、この処理の部分に不具合があり、bash 起動時の環境変数を読み込むタイミングでコードが実行できてしまうのが、今回の問題点です。

本記事作成時点では随時アップデートパッチが公開されていますので注意が必要です。

次に、Swivel PINsafeにおけるshellshock脆弱性対応についてご説明いたします。

Swivel PINsafeにおいては、アプライアンスへのアクセスは必ずSSHログインにより認証される必要があり、環境変数の書き換えはできない仕組みとなっているため、今回の脆弱性は該当しません。
しかしながら、順次リリースされる脆弱性対策のためのパッチを適用したバーチャルアプライアンス用パッチモジュールを順次公開していきます。
下記のページにパッチモジュールが順次公開されていますので、ご注意下さい。
なお、これらのパッチモジュールの適用でお使いの機器によるサービスの停止は発生しませんので、ご安心下さい。

SecurityStrings Tech Information

バーチャルアプライアンス新バージョンと新製品のご紹介

Swivel Coreのバージョン3.10.2およびアプライアンスのバージョン2.0.16が利用可能になりました。詳細は下記リリースノートをご参照ください。
https://kb.swivelsecure.com/wiki/images/e/eb/1409-RD-Version_3_10_2.pdf

このアップデートをぜひ御社および御社のお客様の環境に適用し新機能をご確認いただくことをお勧めいたします。

今回のリリースに含まれる新機能は次のとおりです。
●下記２つの方式のトークンをサポート
・タイムベース・ワンタイムパスワード（TOTP）トークン
・OATH Challenge-Response Algorithm（OCRA）トークン
●X509証明書のサポート
●マルチチャネル設定オプション
→ユーザはPINpad や TURingイメージによる認証（ブラウザやログイン画面での認証）と同時に、SMS、トークン、スマホアプリ等を認証で使えるようになりました。
●SwivelリモートLDAP同期クライアント
→複数のADとSwivel Serverがクラウド間で同期が出来るようになります。
※詳細は上記リリースノートをご参照下さい。

より詳細な情報および過去のバージョンに関する情報は下記ナレッジベースをご覧ください。
https://kb.swivelsecure.com/wiki/index.php/Versions_FAQ

サザンオールスターズ(SAS)

1978年、「勝手にシンドバット」で電撃的なデビュー以来、数多くのヒット曲を生み出し、今年デビュー36周年を迎えたサザンオールスターズ。そのSASのリーダーである桑田佳祐さんは、みなさんもご存じの通り、茅ヶ崎の出身です。
桑田さんのご両親は、以前市内の駅前で映画館を経営されていたそうで（跡地は現在マンション建設中）、その当時から、もう一人の茅ヶ崎市出身の大スター:加山雄三さんとも親交があったそうです。ちなみに、加山雄三さんの邸宅跡は、現在マンションが建ち、敷地に面する通りは"雄三通り"と命名されています。
SASの成功にあやかり、茅ヶ崎市内には、多くのサザン名称箇所があります。前号でご紹介した、「サザンビーチちがさき」、「サザン通り商店街」、「サザン神社」など。街のいたるところでサザンの曲が流れ、茅ヶ崎市をあげてSASを応援しています。また、SASの歌の中で紹介された茅ヶ崎＆湘南のロケーションも多く、代表的なのは茅ヶ崎のシンボル"烏帽子岩"(茅ヶ崎海岸から2Km沖)、ラチエン通り、稲村ケ崎、行き合橋、鎌倉等々があります。
そして今や伝説となった「茅ヶ崎野球場Live」。初めて行われたのは2000年でしたが、その再現が昨年実現しました。全国から集まった多くのファン及びSASファンの茅ヶ崎市民がコンサート会場に入れず(ローカルな野球場で狭く)、野球場周辺は人・人・人で溢れました。近所の住民の中には、流れて来るサザン・ソングを生BGMに庭でバーベキューを楽しんでいた方も多かったようです。そのコンサートの半ば、桑田さんは「茅ヶ崎名誉市民」として、服部茅ヶ崎市長より表彰されました。
そして、本年10月1日より、茅ヶ崎駅東海道線ホームの発着メロディがSASのヒットソング「希望の轍」になりました。
https://www.youtube.com/watch?v=UozqTFpW6SU&feature=youtu.be
SASファンはもちろんのこと、一度は聞いたことのあるSASの名曲の名所が詰まった茅ヶ崎は、勿論夏よし、秋良し、冬良し、そして夏を待ちわびる春良し！1年を通して魅力溢れる茅ヶ崎にぜひ遊びにいらしてください！

本メールは、過去に弊社出展のイベント・セミナー等でアンケートにご回答いただきましたお客様、名刺交換をさせていただきましたお客様、
弊社Webサイトより登録されたお客様へお送りしております。
本メールに掲載された内容の無断複製・転載を禁じます。
本メールの配信停止をご希望の方は、marketing@securitystrings.com までご連絡下さい。
Security Strings 合同会社 | 東京都千代田区一番町6番地相模屋本社ビル7F


	【アナリストの目】ベネッセ事件の再発防止に足りない対策通信教育大手ベネッセコーポレーションが大量の個人情報漏えい事件を起こしたことは記憶にあたらしい。9月24日には、情報漏えいの対象者に対して500円の金券を配付することを発表した。漏えい件数は、3,500万件以上とされているので、高々500円と言えども175億円の損失につながる失態で経営責任は、免れることはできない。一方、情報を漏えいされた当事者心理としては、500円で許されるものではないだろう。今回の金券送付は、ローソンの個人情報漏えい事件の際に、ローソンが配布した500円の商品券の先例にならったものだろうが、このときは、ローソンで使用できる商品券なので、実質的な損失は500円相当の商品の仕入れ代金である150円程度であり、商品券を使うために来店する顧客の「ついで買い効果」がもたらす粗利と合算すると実質0円かプラスの効果もあった可能性がある。業態が異なるにも関わらず、ローソンの例に倣ったソフトバンクBBは、「たかが500円か！」と逆に批判的に受け止めた顧客も多かったようで、先例に倣うことが必ずしも効果的な謝罪につながらないことを改めて指摘しておきたい。大事なのは、普段からの顧客との信頼関係と業態と照らし合わせた対処方法である。事件から学ぶべきは再発防止対策　この種の事件が発生した場合、我々が教訓として学ぶべきは、謝罪のあり方だけでなく再発防止策だろう。最近では例外なく再発防止策を公表することで信頼回復をはかるということが通例になっている。ベネッセも9月25日に「個人情報漏えい事故調査委員会による調査結果のお知らせ」として事件の顛末と再発防止策について公表を行っている。筆者が注目したのは、アクセス制御、とりわけパスワードの管理である。先の「お知らせ」にはこのような記述がある。（下線は、筆者の追記）「4. 本件データベース内の情報の管理アクセス権限の管理に関し、シンフォームでは、以下の対応を行っている。・　アクセス権限の棚卸しを実施し、業務上不要なアクセス権限を削除した。・　付与するアクセス権限を必要最小限にするため、今後は、一定の期間毎にパスワードの更新を行う運用を開始し（注）、また、業務ごとに必要な一定の短い期間にアクセス権限を限定したパスワードを付与する運用とする方針を決定した。（注）具体的には、一定期間毎にパスワードが更新される運用になり、各アクセス権限は、当該期間の満了時に必要性を判断の上、更新させることとなる。」内部犯行にも有効なワンタイムパスワード　今回のベネッセの事件では、容疑者が本人にアサインされたIDとパスワードを使用するという大胆な行為に及んでいる。この事実そのものが職場に緊張感がなかったと推測させる根拠となりうる。過去の大半の事案では、同僚や上司、部下といった周辺の他人のIDとパスワードを使用して発覚を困難にさせる手口が常用手段だからだ。顧客データベースの運用受託会社シンフォームが再発防止策として提案した「一定期間毎にパスワードが更新される運用」とは、パスワードの有効期間を改めて短い期間に設定することを意味していると思われるが、管理が強化されればされるほど内部犯行には、他人のIDが使用される可能性の方が高くなる傾向にある。スノーデン事件がその最たるものだ。　内部犯行の防止を考慮した場合、本来、採用すべきパスワードの管理システムとしては、ワンタイムパスワードだろう。パスワードを定期的に変更する手続きを導入しても盗み見されるという脅威は回避できないからだ。ワンタイムパスワードであれば1回のログインで一度しか有効でないため、盗み見されても悪用することはできない。本人が所持する携帯電話やスマートフォンに「セキュリティ・ストリングス」を送信し、本人しか知り得ないPINを生成するPINsafeは、内部犯行の防止にも非常に効果を発揮するツールだ。


	エンジニアのここに注目! shellshock対応について 9月24日、bashの「shellshock」と呼ばれる脆弱性（CVE-2014-6271）が公表されました。 http://www.cvedetails.com/cve/CVE-2014-6271 これは、環境変数にある特殊な構文の bash コードがセットされていると、bash の起動時にそのコードが勝手に実行してしまう、というものですそのため、外部からいずれかの環境変数に書き込むことができると、ShellShock の脆弱性をついた攻撃が可能になってしまい、これにより OSコマンドインジェクションという種類の攻撃が可能になります。 bash は起動時に、設定されている環境変数をReadして処理を行います。通常は環境変数の値としてコードが組み込まれていた場合でも実行はされず文字列として扱われます。今回は、この処理の部分に不具合があり、bash 起動時の環境変数を読み込むタイミングでコードが実行できてしまうのが、今回の問題点です。本記事作成時点では随時アップデートパッチが公開されていますので注意が必要です。次に、Swivel PINsafeにおけるshellshock脆弱性対応についてご説明いたします。 Swivel PINsafeにおいては、アプライアンスへのアクセスは必ずSSHログインにより認証される必要があり、環境変数の書き換えはできない仕組みとなっているため、今回の脆弱性は該当しません。しかしながら、順次リリースされる脆弱性対策のためのパッチを適用したバーチャルアプライアンス用パッチモジュールを順次公開していきます。下記のページにパッチモジュールが順次公開されていますので、ご注意下さい。なお、これらのパッチモジュールの適用でお使いの機器によるサービスの停止は発生しませんので、ご安心下さい。


	SecurityStrings Tech Information バーチャルアプライアンス新バージョンと新製品のご紹介 Swivel Coreのバージョン3.10.2およびアプライアンスのバージョン2.0.16が利用可能になりました。詳細は下記リリースノートをご参照ください。 https://kb.swivelsecure.com/wiki/images/e/eb/1409-RD-Version_3_10_2.pdf このアップデートをぜひ御社および御社のお客様の環境に適用し新機能をご確認いただくことをお勧めいたします。今回のリリースに含まれる新機能は次のとおりです。 ●下記２つの方式のトークンをサポート・タイムベース・ワンタイムパスワード（TOTP）トークン・OATH Challenge-Response Algorithm（OCRA）トークン ●X509証明書のサポート ●マルチチャネル設定オプション →ユーザはPINpad や TURingイメージによる認証（ブラウザやログイン画面での認証）と同時に、SMS、トークン、スマホアプリ等を認証で使えるようになりました。 ●SwivelリモートLDAP同期クライアント →複数のADとSwivel Serverがクラウド間で同期が出来るようになります。 ※詳細は上記リリースノートをご参照下さい。より詳細な情報および過去のバージョンに関する情報は下記ナレッジベースをご覧ください。 https://kb.swivelsecure.com/wiki/index.php/Versions_FAQ


	【湘南通信】サザンオールスターズ(SAS) 1978年、「勝手にシンドバット」で電撃的なデビュー以来、数多くのヒット曲を生み出し、今年デビュー36周年を迎えたサザンオールスターズ。そのSASのリーダーである桑田佳祐さんは、みなさんもご存じの通り、茅ヶ崎の出身です。桑田さんのご両親は、以前市内の駅前で映画館を経営されていたそうで（跡地は現在マンション建設中）、その当時から、もう一人の茅ヶ崎市出身の大スター:加山雄三さんとも親交があったそうです。ちなみに、加山雄三さんの邸宅跡は、現在マンションが建ち、敷地に面する通りは"雄三通り"と命名されています。 SASの成功にあやかり、茅ヶ崎市内には、多くのサザン名称箇所があります。前号でご紹介した、「サザンビーチちがさき」、「サザン通り商店街」、「サザン神社」など。街のいたるところでサザンの曲が流れ、茅ヶ崎市をあげてSASを応援しています。また、SASの歌の中で紹介された茅ヶ崎＆湘南のロケーションも多く、代表的なのは茅ヶ崎のシンボル"烏帽子岩"(茅ヶ崎海岸から2Km沖)、ラチエン通り、稲村ケ崎、行き合橋、鎌倉等々があります。そして今や伝説となった「茅ヶ崎野球場Live」。初めて行われたのは2000年でしたが、その再現が昨年実現しました。全国から集まった多くのファン及びSASファンの茅ヶ崎市民がコンサート会場に入れず(ローカルな野球場で狭く)、野球場周辺は人・人・人で溢れました。近所の住民の中には、流れて来るサザン・ソングを生BGMに庭でバーベキューを楽しんでいた方も多かったようです。そのコンサートの半ば、桑田さんは「茅ヶ崎名誉市民」として、服部茅ヶ崎市長より表彰されました。そして、本年10月1日より、茅ヶ崎駅東海道線ホームの発着メロディがSASのヒットソング「希望の轍」になりました。 https://www.youtube.com/watch?v=UozqTFpW6SU&feature=youtu.be SASファンはもちろんのこと、一度は聞いたことのあるSASの名曲の名所が詰まった茅ヶ崎は、勿論夏よし、秋良し、冬良し、そして夏を待ちわびる春良し！1年を通して魅力溢れる茅ヶ崎にぜひ遊びにいらしてください！

本メールは、過去に弊社出展のイベント・セミナー等でアンケートにご回答いただきましたお客様、名刺交換をさせていただきましたお客様、弊社Webサイトより登録されたお客様へお送りしております。本メールに掲載された内容の無断複製・転載を禁じます。本メールの配信停止をご希望の方は、marketing@securitystrings.com までご連絡下さい。 Security Strings 合同会社 \| 東京都千代田区一番町6番地相模屋本社ビル7F