【金融システム】セキュリティデザイナーのブログ

未だに標的型攻撃のメールは猛威を振るい、特に「ビジネスメール詐欺」という名称で多くの被害にあっています。特にセキュリティコンサル、およびセキュリティエンジニア不在の中小企業がターゲットになりやすい傾向があります。 だまされるのはもはや不思議ではありません。以前のような文法のおかしい日本語で不正メールは到着しません。あきからかに日本語が担当な人物により作成された詐欺メールとなっています。 また普通の企業なら訓練として不正メールをばらまき、社員の何パーセントがメールを開くか統計を収集することもあるでしょう。おおよそ0.5%～1％はやはり開いてしまうようです。 しかし本人を責めてはいけません。はて自分が初心者だったころはどうでしょうか。メールはみな対応しないといけないと思い込むことはありませんでしたか。無視して削除してしまってよいのかと。あきらかなスパム系ならともかく、人の良い人は開けて対応してしまうようです。 結論としてはやはりメール経由でマルウェアは入り込むことは必須なので、侵入後の検知機能が必須ということです

ビジネスメール詐欺が猛威を振るっています。個人狙いではないのであまり話題にはなっていなようです。 人間関係、企業と企業間を徹底的に調査し、普段のお金の流れも調べて偽の請求書や偽の口座変更の連絡を送り不正に資金を搾取する方法です。 メールの盗聴もありますが、SNSから人間関係を洗い出している可能性もあります。SNSは所属の企業は隠して、せいぜい出身学校のみ公開することをお勧めします。 SNSを見ると取引先が一目瞭然になる場合もありますね。 また生年月日などは公開しないほうがよいでしょう。なりすましの材料になります。偽の生年月日を登録するのも一つの手ですね。 とにかくSNSで自分の情報をさらけ出すのは今の時代は危険ということです。

SPLUNK と QRadarはSIEMで有名です。どちらもとても優秀なセキュリティソフトウェアです。 ログを収集して分析します。どちらか迷ったのですが、QRadarは設定が簡単ですぐにスタートできますが細かいカスタマイズができません。 一方SPLUNKは構築、設計が難しいのですが細かいところまでカスタイマイズが可能です。 POCや検証を行った結果 SPLUNK を導入しています。設計がとても難しいのですがやりたいことが実現できているので満足しています。 SPLUNK Universal Forwaderを機器にインストールすればSPLUNKにログを送信できます。IoT機器などからもサポートされています。SPLUNK Universal Forwaderは無料です。 SPLUNK体験版(60日)とSPLUNK Universal Forwaderは Windows や Linux で体験版として使用することができるので是非お試しください。 とくに、共に Windowsの場合は簡単インストールで簡単に収集できます。遊んでみるとよいでしょう。 https://www.splunk.com/ja_jp/download.html (*)ちなみに QRadar も最近は機能が追加されているようでとても優秀なソフトです。両方試使用して、自社にあった方を使うとよいでしょう。

様々なソースから ブラックリストIP のリストをリアルタイムで受け取っています。 このIPは攻撃に使用された IP の一覧です。 これらを Firewall でブロックする設定をリアルタイムで行っています。メールサーバも含まれます。 もし実施していないなら検討するべきです。ただしソースの信頼度はとても重要です。

SPKUNK を使用して攻撃を検知するシステムを設計しています。 グループ会社の世界中の機器のログを一か所に集中して相関分析を行います。 もう拠点ごとに分析するような効率悪いことはしません。 一か所に集中して分析します。 ビジネスメール詐欺、標的型攻撃、ランサムウェアなどはメールに乗ってきますが、もう注意して見つかるようなレベルではありません。 間違えて開くのもやむなしです。 よってすべてのネットワーク、メール、ファイル、ActiveDirectory、Proxy、DNS、Web、IDS、IPS の機器のログを集めて分析します。 しかもほぼリアルタイム。 検出したらすぐに遮断。 本人を確保（笑 そのくらい本気です。 「ここはダメだ、他に行こう」と攻撃者に思わせることが重要です。