にゃんたくのひとりごと

ひとりごとです。感じたことだけをただ気ままに書きます。

「第4回情報セキュリティ事故対応アワード」に行ってみた。 #事故対応アワード

どもどもにゃんたくです(「・ω・)「ガオー

 

さて、今回はこちらに行ってきました!

第4回情報セキュリティ事故対応アワード

news.mynavi.jp

 

 

 

当日はTwitterと連動しながらすすめる場面もありました。
その時のハッシュタグは「#事故対応アワード」

このハッシュタグをtogetterでまとめてみましたのでこちらも参考にしてみてください。

togetter.com

 

========================================================

2019年3月6日に第4回情報セキュリティ事故対応アワードの結果が

マイナビにより公開されましたので追記です。

 

news.mynavi.jp

========================================================

 

僕は、第1回~第3回と参加しており、幸運にも今回も参加することができました。

 

第1回~第3回の受賞一覧はコチラです。

news.mynavi.jp

 

news.mynavi.jp

 

news.mynavi.jp

 

ちなみに前回の「行ってみた。」はこちらです。参考にしていただければ幸いです。

mkt-eva.hateblo.jp

 

 

まず、「情報セキュリティ事故対応アワード」とはなんなのでしょうか。

※前回の内容と同じ部分あり

 

▼情報セキュリティ事故対応アワードとは

セキュリティ事故後の対応(インシデント・レスポンス)が素晴らしかった企業をセキュリティ分野の有識者が選ぶ表彰制度。

ただし、セキュリティ事故後のシステム運用/改修の詳細に踏み込むのは難しいため、主に説明責任/情報開示にスポットライトが当てられる。

→今後の模範となる、説明/情報開示パターンを国内のセキュリティ担当者に知ってもらいたい

 

▼部門賞一覧

最優秀賞、優秀賞、特別賞、報道賞

※報道賞は第2回から新設。有識者が「良かったと感じた記事」を讃える賞

 

▼評価軸

・事故発覚から、第一報までの時間(事故報告するまでの期間、頻度)

・発表内容(原因、事象、被害範囲、対応内容、CVE情報やなんの脆弱性を突かれたか等)

・自主的にプレスリリースを出したか(報道だけではなく、自社発信)

 

▼集計期間

・昨年1年間

※第4回の今回は2018年1月から2018年12月まで。

 

▼ 審査員

・徳丸 浩 氏 (Twitter : @ockeghem

・北河 拓士 氏 (Twitter : @kitagawa_takuji

・根岸 征史 氏(Twitter : @MasafumiNegishi

・辻 伸弘 氏(Twitter : @ntsuji

・piyokango 氏(Twitter : @piyokango

・・・セキュリティのBIG 5の皆様です。ちなみにアワード委員長は、辻さんです。

 

また、事故対応アワードのツイッターアカウントも第3回からできて、リアルタイムにも発信してくれていました。

twitter.com

 

また前回に引き続きアワード中に受賞団体を取材した記事も公開されていました。

 

news.mynavi.jp

 

 

さてなんとなくですが、どんなアワードかわかっていただけたかと思います。

 

そして、このアワードで勘違いしてほしくないのは、このアワードは決してインシデントを起こした企業を「煽ってる」わけではなく、インシデントを起こした企業のインシデント・レスポンスを「本気で褒める」というアワードであるという点です。

 

この認識を持っていない限りは、情報セキュリティ事故対応アワードの開催意図を1ミリも理解できないと言っても過言ではないと僕は思います。

 

では、なぜ褒めるのか。

それは「情報セキュリティ事故対応アワードとは」にも書いた、

今後の模範となる、説明/情報開示パターンを国内のセキュリティ担当者に知ってもらいたい

の一言に尽きるのでは無いでしょうか。

 

もちろん、企業としては事故対応アワードに表彰されない無いように日々インシデントに対しての対策や対応を練らないといけません。

しかしながら、インシデントは「起きてしまう」ものです。

インシデントが起こってしまった時にこんなことをまず1番に考える必要はありませんが、「事故対応アワードに表彰されるだけのインシデント・レスポンスをしよう」と考えるのも悪くないかもしれません。

 

 

では、今回のアワードについてまとめてみましょう。

今回の事故対応アワードは、アワードとパネルディスカッション、質問コーナーの3段階構成で行われていました。

アワードの内容、パネルディスカッション。質問コーナーの内容に関して、僕が聞き取れたり把握できたりした部分をまとめました。

 

第4回情報セキュリティ事故対応アワード

選考概要

・調査期間:2018年1月~2018年12月

 ※随時対象事例を検討
 ※2018年12月下旬:審査員が集まり最終検討、受賞事例の決定
 ※2019年1月:受賞企業への連絡、取材
 ※2019年2月:最終打ち合わせ

 

・調査件数:数百件

・ノミネート:32件

 

最優秀賞(1社)

ただし、辞退。

前回は「該当なし」だったのに対し、今回は決まったのにも関わらず辞退という結果に。

アワードを締めくくる際「辞退、は残念。」と辻さんもコメントされていました。

 

優秀賞(4社)

1社目

【受賞】

ディノス・セシール

 ※第3回でも優秀賞を受賞

 ※表彰式には来ず

 

【インシデント内容】

複数の中国IPアドレスからメールアドレス、パスワードを使った不正アクセスが1938件が発生。490名の顧客情報の閲覧の可能性を公表した。

1938名のユーザー全員がディノス・セシールへ登録中だったため、当初は自社リストの漏洩も疑ったが、第二報にて会員登録画面でスクリーニングされていたことを明かした。

 

【プレスリリース】

弊社「セシールオンラインショップ」への不正アクセス
お客様情報流出の可能性に関するお詫びとお知らせ(第一報)(PDF)

https://www.dinos-cecile.co.jp/whatsnew/topics_20180606.final.pdf

 

弊社「セシールオンラインショップ」への不正アクセス
お客様情報流出の可能性に関するお詫びとお知らせ [第 2 報](PDF)

http://www.cecile.co.jp/fst/information/C_20180608.pdf

 

弊社「セシールオンラインショップ」への不正アクセス
お客様情報流出の可能性に関する調査結果のお知らせ(最終報)(PDF)

https://www.cecile.co.jp/fst/information/20180706_topics.pdf

 

【受賞理由(審査員コメント含む)】

・多くのサイトで頻発しているであろう小規模の不正ログインに対して、都度情報公開して真摯に対応した

・第二報で「スクリーニング」であったことを記載した

・「かも」しれない、でもしっかりと公表した

 

【その他関連情報】

セシールオンラインショップに不正アクセス、490名の個人情報が閲覧された可能性(ディノス・セシール) | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]

2018年のリスト型攻撃の被害事例をまとめてみた - piyolog

中国から「セシール」に490人分の不正ログイン、過去の流出データ悪用か | 日経 xTECH(クロステック)

対岸の火事ではない、ディノス・セシールを襲った新型リスト攻撃 | 日経 xTECH(クロステック)

 

 

2社目

【受賞】

株式会社 伊織

 ※表彰式には来ず

 

【インシデント内容】

「伊織ネットショップ」が不正アクセスにより一部改ざんされ、顧客のクレジットカード情報が詐取された可能性がある。

 

【プレスリリース】

【重要】クレジットカード情報流出についてのお知らせ(伊織ネットショップ) - タオル専門店「伊織」

 

【重要】カード情報流出についての、ご質問とご回答 - タオル専門店「伊織」

 

 

【受賞理由(審査員コメント含む)】

・類似の事案が同時期に複数あったが、最も詳細に公表した

・図などを使用したわかりやすいプレスリリースであった

 

【その他関連情報】

【セキュリティ ニュース】今治タオルの通販サイトで改ざん - 偽決済画面誘導でクレカ情報詐取(1ページ目 / 全2ページ):Security NEXT

タオル販売「伊織ネットショップ」が改ざん被害、偽の入力画面からカード情報を詐取(伊織) | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]

今治タオルの伊織、延べ2145人分のクレカ情報流出 :日本経済新聞

タオル専門店 伊織のカード情報漏えい事件について - Fox on Security

 

 

3社目、4社目

ともに、辞退。

 

 

特別賞(1社)

【受賞】

気象庁

 ※国土交通省 気象庁 総務部企画課 情報セキュリティ対策企画官 豊田英司氏が登壇

 

【インシデント内容】

 気象庁の公式アナウンスを装った迷惑メールが出回る

 

事案①タイムライン(2018年11月8日<JST>)
2018年11月8日 11時:事案①発生

2018年11月8日 16時:複数の報告

2018年11月8日 16時17分:対外発表決心

2018年11月8日 17時41分:最初の文案

2018年11月8日 19時46分:報道発表掲出→質問多数

2018年11月8日 19時58分:画像添付の決心

2018年11月8日 20時02分:ツイート

 

事案②タイムライン(2018年11月16日<JST>)
2018年11月16日 10時:事案②発生、電話が始まる

2018年11月16日 15時:オンライン報告、発生所時刻確定

2018年11月16日 16時51分:再ツイート協議

2018年11月16日 18時18分引用ツイート

 

【プレスリリース】

気象庁発表の警報等を装った迷惑メールにご注意下さい

https://www.jma.go.jp/jma/press/1811/08c/WARNmail.html

 

気象庁発表の警報等を装った迷惑メールにご注意下さい(PDF)

http://www.jma.go.jp/jma/press/1811/08c/WARNmail_20181108.pdf

 

事案①についての気象庁Tweet

 

事案②についての気象庁Tweet

 

【豊田氏のコメント】

・見分け方についての質問が多数きて対応した

 →ドメイン名だけが唯一の見分け方だったので公開 

 →見分け方を提示しないと記者達は納得しないことを報道慣れで知っていた

 

・「地震は無い」と公表したため、報道発表では気を遣った

 

・公衆・報道が真っ先に聞きたい事は2014年9月の類似案件処理からも想像できた

 ※当時のプレスリリース↓

 緊急地震速報を装った迷惑メールにご注意下さい

 http://www.jma.go.jp/jma/press/1409/24a/eewmail_20140924.html

 

 緊急地震速報を装った迷惑メールにご注意下さい(PDF)

 http://www.jma.go.jp/jma/press/1409/24a/EEWmail_20140924.pdf

 

・いつ発表については『今でしょ』。国民のメールボックスにあるリンクを開かせない

 

・不必要な情報提供は攻撃者を利する?
 →仕組みを理解していれば名言できる
 →『この発表はしてよい、せねばならない』

 

☆豊田氏のインタビューはこちら↓

気象庁の信頼、そして何より国民を守るため――使命感と知識が支えた事故対応 [事故対応アワード受賞レポート]|セキュリティ|IT製品の事例・解説記事

 

【その他関連情報】

気象庁のなりすましメールについてまとめてみた - piyolog

気象庁の「津波警報発表」を装うマルウェアメールに注意:セキュリティ通信:So-netブログ

 

 

パネルディスカッション

☆事故対応アワードを振り返って

→去年も今年も「良い対応」が多く、票が割れた。

→『ディノス・セシール』が2年連続優秀賞。少ない件数でも発表する体制に。

→危惧していたタイミングで『伊織』から詳細なプレスリリース

 ※いい先行事例となった

 

☆事前アンケート結果

=========================

九州商船      →11票
産総研       →8票
ディノス・セシール →4票
前橋市教育委員会  →4票
プリンスホテル   →4票
伊織        →3票
マイネット     →1票
SOKAオンライン  →1票
コインチェック   →1票

=========================

九州商船は、調査委員会が中心で報告書が詳細だった。

 委員会の再発防止策の提言は、技術、委託、管理だったが、

 技術の実施したことは発表したが、その後2つの実施については続報無し

 選外になった

 

→SOKAオンラインは、ショッピングサイト改ざん被害報告を早く出した点、

 構築した企業名もリリースとして出したのはよかった

 

→報告書にボリュームがあればいいとは限らない

 

→どこの誰に向けて報告するかによって、相手の知りたいポイントは異なる

 

産総研のメールアドレス大量流出の件だが、内部IDは使用されているメール

 アドレスとは異なっており、かつ2段階認証も採用済み。漏れても問題なし。

 

→漏れることが大前提。漏れても大丈夫なようにしておく。

 

質問コーナー

<質問①>

セキュリティ対策や取り組みのうち、意味のあるものないもの、
効果が見込まれるのになかなか取り入れられないものについてなにかあるか?

<回答>

→無意味なものはない

→事例を知ってるか知らないかではちがうのでは。
 プレスリリースだけでも読んでおくことは大事かも

→情報が漏えいした時に、被害の範囲の特定に時間がかかる事を考え、

 ログを使えるように取っておく(残し続けるのもよくないけど)

 ▽アンチパターンもしりたい
→侵入されたことを知っていてもとめなかった

→2016年JTBの事件

 ※攻撃者が『情報をもっていった』ことを知った(通知で気づいた)
 ※自分たちで使用料圧迫のためログを消してしまったため、復元が難しかった

 (正しいオペレーションなのに・・・)

 

<質問②>

事故の情報を全部公開することが必ずしも正しいとは限らないとおもいますがいかがでしょうか?

<回答>

 →たしかにね。(北河さん)

→ある程度の評価軸はあったほうがいいかもしれない

→テンプレ、もあって良い気がするが『テンプレの内容だけ』を

 書けば良いになってしまうという懸念点もある

→情報を出すメリットと出さないメリットなら、

 今は出さないメリットが大きいような気がする 

→パスワード平文保存で炎上した案件があったが、今後同様の事例が発生した際

 発表しづらくなるのではないか

 

辻さんまとめコメント

→4回目でまだまだ辞退がある。

→ぼくらだけの頑張りの循環は限界にきているかもしれない

→一人が少しずつ発信するだけでも、少しずつ変わっていく。

→何年かして振り返って良かったといえるものに、続けていきたい。

→参加者は、「公表したことを責めてはいけない」の精神を広めてほしい

 

 

今回の『行ってみた。』は以上となります。書き足りていない部分あるかもしれませんが、ご了承ください。

 

ここまで読んでいただきありがとうございました。

ではでは。

 

<更新履歴>

2019/03/05 PM 公開

2019/03/06 PM 第4回の開催結果(マイナビ公開)の記事を追記