IPA(情報処理推進機構)より、「情報セキュリティ10大脅威 知っておきたい用語や仕組み」が2023年5月30日に発表されています。
ソース:
https://www.ipa.go.jp/security/10threats/ps6vr7000001po5u-att/yougoyashikumi_2023.pdf
このうち8項目の用語について、私なりに(脱線しながら)補足・解説を行いたいと思います。
ちなみに用語の数は10個ではありません。
別に10大脅威のランキングページが、こちらにあります。
*なお医療セキュリティから遠い話は割愛しています。
1-1 脆弱性
ソルトウェアの弱点、セキュリティ上の穴です。見つかっているか見つかっていないかの違いだけで、人間が作ったものには必ずあると思った方が良いです。
これが発見されると当該ソフトウェアを開発・発売した会社は、可及的速やかに修正パッチと呼ばれる修正ソフトを開発して公開します。
ユーザーは各自これをダウンロードしアップデートしてソフトウェア上の穴を塞ぎます。
(これを「パッチを当てる」と言ったりします。)
但しあまり古いソフトや機器は修正パッチが公開されなくなり、これが「サポート対象外」の状態です。
脆弱性は以下の段階に分けられます。
- まだ誰にも見つかっていない脆弱性
- 犯罪者側だけが知っている脆弱性
- 脆弱性が公表されて皆が知っているが、まだ修正パッチが公開されていない時期。
- 修正パッチが公開されている(けど当てられていない状態)
2. と3. の時期に攻撃をされることをゼロデイ攻撃と呼びます。まだ修正パッチが出来ていませんので対策が困難な時期です。
3. の段階になると米国政府の支援を受けた非営利団体のMITRE社が、共通脆弱性識別子CVE(Common Vulnerabilities and Exposures)でとしてナンバリングして公開します。
4.の段階ではできるだけ早期に修正パッチを適用する必要があります。
なぜなら当然犯罪者集団もその脆弱性を認知しており、かつ脆弱性を悪用するツールがデータベース化されてすぐに市場に出回るからです。
さらには、IAB(イニシャル・アクセス・ブローカー)という、脆弱性を修正していない機器を探し周ってその情報を集めて売る専門業者まで存在します。
1-2 他段階認証、多要素認証
IDとパスワード以外のもう一つ追加の認証を必要とされる認証手段です。病院の電子カルテでは、追加で IDカードをかざす方式が多いと思われます。
お役所のガイドライン(医療情報システムの安全管理に関するガイドライン 第5.2版(令和4年3月)) にもそのように書かれており( 21ページ 6.5 (1) )、当院でも電子カルテ更新のタイミングで新たにIDカードを持たされました。
- 1-3 キャッシュレス決済、スマホ決済
- 1-4 写真の位置情報
- 1-5 ドメイン名
- 1-6 アプリ利用に必要な権限
以上は省略
1-7 アップデート、更新、修正プログラムの適用
アップデートは必ず速やかに行いましょう。脆弱性を一刻も早く修正するためです。
院内にはたくさんの機器があり、その全部のアップデート情報を把握するのは骨が折れますけどね。
但しアップデートしてはいけない場合が1つだけあります。
それはすでに侵入を許してしまった場合です。
その場合は、現場検証(フォレンジック)のため現状保存をしなければならないので、迂闊にアップデートをして侵入の痕跡を消してしまってはいけません。侵入経路の解析が遅れる(不可能になる)ため、その後の対策に支障を来たすためです。
- 2-1 リスクベース認証
- 2-2 オンライン本人確認(eKYC)
- 2-3 cookie
以上は省略
2-4 VPN
インターネットの途中にトンネルを作り、そのトンネルの中は暗号化して安全にデータ通信する技術。
トンネルの出入り口にVPN機器を設置します。(トンネルの片側がVPNソフトのみの場合もあり)
ちなみにH田病院や0医療センターの事件以来、VPN装置は侵入経路として悪名高いものとなってしまいました。脆弱性に修正パッチを当てられず放置されていたためです。
なおVPNサービスを提供する業者自体からの秘密漏洩の潜在的な危険性は残ります。
- 2-5 3Dセキュア
- 2-6 キャプチャ認証
以上は省略
3-1 HDDのデータ消去
ファイルをゴミ箱に入れゴミ箱を空にするとファイルが消去されますが、実は消去されているのは目次部分だけで、ファイル本体は残っているという話。目次が消えるので簡単には探し出せなくなりますが、丹念に時間をかけて探せば高い確率で見つかります。
本体まで完全に消去する方法もありますが、これは非常に時間がかかります。(強い磁気などで物理的に消去する手段も別にあります)
3-2 その他のIT用語
3-2-1踏み台
「踏み台にされる」とは、乗っ取られることにより、知らない間に犯罪に加担させられてしまう状態。
掲示板に自分の名前(IPアドレス)を語られて犯罪予告の書き込みをされたりとか、DDos(大勢で1カ所に接続要求を集中させて対象を麻痺させる攻撃)に強制参加させられたりなど。
最近では IoT(ネットに繋がった物:例:監視カメラとかプリンタとかネット接続されている周辺機器)がボットネットというマルウェアに乗っ取られて、多数の乗っ取られた監視カメラたちがC&C(コマンド&コントロールサーバー:犯人からの命令を発するサーバー)の指令を受けてDDos攻撃を行ったりします。
PC本体よりも周辺機器の方が、数が多いし管理が甘いですからね。数に物を言わせるDDos攻撃には有利です。
2016年、IoTを操る ” Mirai (=未来)” というボットネットのソースコード(プログラムの設計図)を ” アンナ先輩(Anna-senpai) ” という人物が公開し、その後その亜種が盛んに作成されています。大規模な接続障害は、このIoTを使ったDDosが原因で起こることが多いです。何しろ数の多さが違いますから。
” アンナ先輩 ” は日本人ではないと思われていますが、日本アニメのファンでしょうね。
3-2-2マルウェア
以前はウイルスやワームと言われていました。現在もこの名称は使われますが、それより広い概念の色々な悪意のプログラムが増えてきて、マル(=悪い)ウェア(=ソフトウェア)と総称して呼ばれています。
例えば、前項で紹介したボットネット ” Mirai ” は、ネットで繋がった周辺機器に住み着く(そして命令を受けてDDos攻撃を仕掛ける)マルウェアですが、再起動させると一旦消滅してしまいます。
しかしネットに再接続するとともに、ものの3-4分で再感染します。
ログインパスワードを変更することにより再感染を防げますが、これらの周辺機器は厄介なことにデフォルトのパスワードが元々変更出来ないものも多く、闇は深いです。
- 3-2-3 炎上
- 3-2-4 スクショ / キャプチャ
以上は省略
3-2-5 フェイクニュース / デマ
chat GPTによるもっともらしい滑らかな文章によるデマの合成ができるようになりました。
AIで最もらしいフェイクの写真の合成も可能です。
つまり嘘のレベルもこれまでよりも上がっていますので、騙されないように注意する必要があります。
まとめ
用語を知っておかないと、IT業者と渡りあえません。(医療機関管理者)
コメント