ITに強いはずのハイテク企業で、1億人超の個人情報が流出…… 「新技術こそ優れている」という思い込みが招いた大規模事件

連日さまざまなサイバーセキュリティ犯罪のニュースが報じられる中、いまだに日本のセキュリティレベルは高いとは言えない状況にあります。一方で、企業がサイバーセキュリティ対策を進める上では、人材不足や経営層の意識・関心、コスト、導入による利便性の低下など、さまざまな壁が立ちはだかっています。 そこで今回は、株式会社網屋が主催する「Security BLAZE 2023」より、サイバーセキュリティのエキスパートによる講演をお届けします。本記事では、米金融大手で1億人以上の個人情報が漏えいした事件の背景をひもときながら、問題点とセキュリティ対策のポイントを解説します。 Webセキュリティの第一人者が語る、個人情報流出事件の裏側 徳丸浩氏：ただいまご紹介いただきました、EGセキュアソリューションズの徳丸でございます。本日は「米国金融機関を襲った個人情報大規模流出事件の真相」というテーマでお話をさせてい

[tamanecoplus]

セキュリティエンジニアは一番不足してるにも関わらず、社内では育てにくいし、育てても評価されずに辞めていく。

[ockeghem]

「Security BLAZE 2023」での講演録が公開されました。Capital One事件の起きた背景の説明です

[GENS]

わかるー、セキュリティはプロフィット部門じゃないから上層部がコスト削ったり抑えがち。ある日突然辞めても、社内は「やっぱりね…」って空気だった。

[yabu_kyu]

「セキュリティエンジニアの離職率の高さ」「AWS側の責任についても述べておりまして、SSRF攻撃の緩和策を実施していなかった」「さまざまな規制当局がバラバラのセキュリティ要件を要求していて、非常に煩雑」

[hunglysheep1]

分かりやすい解説ありがたい

[urandom]

正しく使えばsecure by designであるはずのOSSを選定したのにクラウドサービス含めブラックボックスとして過信して結局古き悪しきobscurity志向になってるのは皮肉というかなんというか。

[getcha]

我々が何十年たってもこういう原始的な問題に対処し続けないといけないのは、ソフトウェアが進化しないのと、毎度「新しさ」を装ってスクラッチビルドされるからなんだろうな。

[yamaimo_san]

最も評価されるべき無事故な平時が評価されにくいセキュリティエンジニア

[kyopeco]

IAMロール周りは本当複雑だし、うまく設定できているのかわからなくて詰まることが多々あるので、結局なんでも出来ちゃうユーザRole割り当ててしまう気持ちはわかる。があかんのよね。

[snare_micchan]

米国の金融機関は狙われどころではあるんだよね…ヘタしたら日本のメガバンよりIT技術に疎いのに「俺達は知ってる」感出してるから

[hideki4649]

もう自分の情報はどっかで駄々洩れしてよね。どうしても個人情報を流出させたくなければネット一切やめて山籠もりか。あ、住民票登録した役所も漏らすから…ダメだ。何やっても情報流出の日常ですね…。

[efcl]

Capital OneのSSRFの話

[defiant]

この記事をおすすめしました

[rzi]

うちも穴がないとは言い切れないよな。桑原桑原。

[chintaro3]

さすがにこれに関しては、国家資格を作って資格を持った管理責任者をたてることを義務付け、ぐらいする必要があるかもね。特に他人の資産を管理する会社の場合は

[nekonyantaro]

詳しく丁寧に書かれているが長い。

[septoot]

ITは盗みに入る側の罰が軽すぎるんだよな。放火と一緒なんだから同罪にしてもらわないと。

[nisisinjuku]

セキュリティエンジニア、貧乏くじ係とか医者みたいなもので、トラブったときに登場して普段はイラネ。だからね。風紀委員より酷い職業だと思うよ。実際事が起こると皆つらそうだしさ。

[progrhyme]

外目にはきらびやかに見えても一皮むけば実は…というのは往々にしてあって、それが最悪の形で露呈した、と取れそう。

[daishi_n]

そりゃWAFインスタンスにS3バケットのアクセスロールは要らんよねえ。これはレビュー漏れが痛い

[thorthewind]

セキュリティエンジニアは社内の機密に触れるし企業ごとに導入してるswに応じて対応が変わるから外注しづらく、内部では継続的な仕事を設定しづらいので無期雇用は向いてないし評価体制も整わない

[osakana110]

“ さらに「高品質」の定義です。セキュリティ上の欠陥がないこと、コンプライアンスに準拠していること、欠陥が最小限であるという言葉で定義をしております。”ソフトウェアとセキュリティのエンジニアは違うから

[R2M]

「ProxyRequests On」https://httpd.apache.org/docs/2.4/ja/mod/mod_proxy.html 「これは Apache のフォワードプロキシサーバとしての動作を 有効もしくは無効にします」

[quabbin]

AWSのSSRFってかなり古い話題なのに、まだAWSは緩和策を実施してないのね…。

[zakinco]

同様にOpenResolverも危険です。

[momonga_dash]

おもろかった／これがあったからIMDSv2が導入されたんだっけ？／一番そうはならんやろってなったのは、WAFが個人情報にアクセスできたことかな〜

[n_vermillion]

セキュリティ部門はガチれば一生食っていけるとは言われるものの、ラインからの突き上げや責任問題、諸々の調整などで消耗してしまう技術者は多い…。知人が「二度とやりたくない」と言っていた。

[alt-native]

ITに強い≒セキュリティの重要性を理解してる

[pwatermark]

セキュリティとインフラは「あって当然」系なので感謝されないうえに「固定コストが」とまず槍玉に上がる所なんで、正しく評価されず辞めがちなのよね

[xlc]

今どきフォワードプロキシなんて使わないだろうから、簡単にはOnにできないようにすべきだよね。

[emt0]

AWSに関してはやりこむと不便感じるけど権限周りはベストプラクティスに従えば普通は問題ない。セキュリティ担当が少ないのもあるけどAWS詳しい人居なかったのでは。まともな人材集められればオンプレ最強だけど。

[morishioo]

人間が作るものは人間が壊せるから日々新しいモノを作り続けるしかないのか

[circled]

AWS使ってるとセキュリティ強化のためにIAMの権限を絞って使いたくとも、結構思った通りに動かなくてザルな権限付与するパターンとかあるから（本番NG）、これだったらオンプレの方が楽じゃね？と思うことが多々ある

[butani]

Apache/Nginxなどの重厚なHttpサーバーは設定が煩雑になりがちでミスが頻発する。このレベルのProxyをGoやRustで自作できないのであればAWSやGCPのサービスに乗っかるべき

[Falky]

無料・オープンソースのWAFって、攻撃者からしたら研究し放題だと思うんだけどそれでええのんか？

[shikiarai]

セキュリティとかいうコストを営業利益が下がっても削られないようにするためにはSaaSで丸投げするしか担保させる方法がない

[yn3n]

日本は偉い人がIT音痴だからいかんなんてよく言うけど、偉い人がITにくわしくても防げないこともあるんだな

[new3]

SbD･PbD疎い人の勘違いから「by Designで担保されてるんでしょ？」でやらかし気付けない。あと攻撃者の承認欲求ミスが善意の第三者の発見から問題認識･逮捕のフローばかりで攻撃者賢いと表に出ず漏洩し続けてるんだよね