またまた今年も参加しましたRSA CONFERENCE。今年のテーマは「THE ART OF POSSIBLE」。直訳すると「可能性の芸術」ですが、「実現不可能な理想を追い求めるのではなく、実行可能である事柄を見いだし、それを実行する」といった意味になるそうです。なるほど。
開催地はいつものSan Francisco、Moscone Centerです。
RSA CONFERENCEおさらい
RSA CONFERENCEは、年に1回San Franciscoで開催される(以前San Joseで開催されたこともある)、世界最大級のサイバーセキュリティのカンファレンスです。今年は130カ国以上から過去最大の4万人(EXPOのみの参加者含む)が参加しました。
元々はRSA Data Securityという会社が主催していましたが、買収等に伴い、いろいろ主催の会社が変わり、現在はイベント用に設立された会社が主催しているようです。当初は暗号学や暗号製品に関するトピックが中心でしたが、現在では参加者層の変化に応じる形で、サイバーセキュリティに関する国策やセキュリティガバナンスに関する話も多くなってきています。
RSA Conferenceは、主にEXPO、キーノート、セッションで構成されています。
EXPOでは、主にセキュリティベンダがブースを構えていますが、それ以外にも、FBIやNSA、CISA (Cybersecurity and Infrastructure Security Agency)などが、リクルーティングを目的としてブースを出していたりします。
キーノートでは、スポンサーによるスピーチが中心ですが、最近では政府からもスピーカーが来るようになり、今年は(テレビでもよく見かける)ブリンケン国務長官がサイバーセキュリティの重要性を語りました。
RSA Conferenceの中心はセッションで、150を超えるセッションが多くのトラックで同時進行します。一応レコーディングはオンラインで提供されますが、すべてを聞くのはほぼ不可能でしょう。ということで、「THE ART OF POSSIBLE」のテーマに従い、聞けたセッションだけを紹介していきます。
Steve Black, Professor of Law, Texas Tech University School of Law
Chris Pierson, CEO & Founder, BlackCloak
James Shreve, Partner and Cybersecurity Chair, Thompson Coburn LLP
Madonnaの"Material World"というヒット曲をもじったタイトル。
セキュリティコンプライアンスの文脈では、"Material(ity)"という言葉がよく出てくる。
SEC(米国証券取引委員会)が去年、上場企業に対し、重大な(Material)情報漏洩があった場合は報告すべしというルールを設定した。
SOXにおいても、重要な(Material)情報は株主に開示すべきとしている。
SECでは、重大な情報漏洩の発生を検出してから4日以内に報告するように要求している。しかし、現実には4日以内に「重大であるかどうか」を判断することはとても難しい。
NY DFSでも、金融サービスを提供する企業に対し、「重要な(Material)」リスク、イベント、不適合の改善、課題についてはCISOに報告することを求めている。
State Breach Notice Lawsに基づき、いくつかの州では、個人情報にCIAに関する重大な(Material)瑕疵が発生した場合は報告するように求めている。
SECでは、量的・質的の両方を考える必要があるとしている。量だけが基準ではないので、被害が1ドルだけだったとしても報告が必要になるケースはありうるということになる。被害額、損失想定額、ビジネスパートナーへの影響、レピュテーションへの影響、法的措置リスクなどを総合的に考慮する必要がある。
Marriott/Starwoodのケースでは、通常とは異なるタイミングでの決算報告(8-K)が求められた。そして、現在に至るまでの通常の決算報告にも記載され続けている。
万が一の時に備え、財務担当者やリスク担当者と連絡を取り、以下について話し合っておくことが必要。
重要(Material/Materiality)の定義と、意志決定のプロセス
会社が直面する主なサイバーセキュリティリスク
SEC提出書類(10-Q、10-K、その他)の素案を作成してみる
NY DFSのサイバーセキュリティ規制で「Material」をどのように定義しているかを確認する(NYは金融の中心であることから、NY DFSは最も具体的に詳細な規則を定めているので、NY州にない会社であってもNY DFSのルールを参照すべきである)。
Christopher Seusing Partner & Chair, Privacy & Cybersecurity Practice, Wood Smith Henning & Berman LLP
Monique Ferraro Cyber Counsel, HSB
Peter Hedberg Vice President, Underwriting, Corvus Insurance
Violet Sullivan AVP, Cyber Services, Crum & Forster
サイバー保険は未だに標準化されていないので、保険会社によって保証内容は大きく異なる。保険に入るときは契約書を慎重に確認すべきである。
契約条件(ポリシー)を変更すること(Endorseと呼ぶ)によって、単純なシステム障害や制御システムの障害も補償対象にすることができる。
以下のような場合に保険金が支払われないことがあるので、契約条件を確認すべき。
Biometric privacy lawに違反している場合
パッチが適用されていかった場合
広範で一斉に発生したイベントの場合
システミックリスク(偶発的な事業の中断)の場合
違法/不公正なデータ取り扱いが行われていた場合
一方で、以下のようなものが最近範囲に入るようになってきた
自動車/乗り物の サイバーセキュリティ
個人のサイバーセキュリティ
暗号通貨 - ウォレット - 取引所
プライバシー保護範囲の拡大
AI関連
以下のリスクについては、現在検討が進められている。
物理、人的被害(病院のシステムが被害を受けた場合など)
IoT/OTの被害(障害とサイバー被害の切り分けが難しい)
以下のような点がサイバー保険で議論されている。
戦争による被害は対象外となっているが、どのような状況をもって「戦争による被害」と判断するのか
広範に被害が発生した場合に対応できるのか
ランサム攻撃に身代金を払うべきか
DeepFakeなどのAIを使った攻撃は契約条件や補償範囲にどのような影響を与えるか
個人情報保護法が対象とする領域が広がる一方で、発生する矛盾をどうするか
保険金の支払い状況を見ていると、以下のような変化が起きている
身代金要求型の攻撃から、脅迫型の攻撃に変化
脅迫も、ベンダーや従業員、顧客を狙うなど悪質化
DeepFakeなどを使ったビジネスメール詐欺(BEC)が増加
サプライチェーン攻撃の増加
Chris Novak, Sr. Director, Cyber Security Consulting, Verizon
VerizonのDBIRの話。17年前から毎年レポートを出している。
脆弱性を突いた攻撃は1.8倍に増えている。内部の人間を狙ったインシデントが68%。サードパーティーに対する攻撃が15%。過去10年において、盗まれたPWによる攻撃が31%。
次はフィッシングだが、それほど多くはない。MFA利用の広がりが効いている。基本、フィッシング攻撃はメールでやってくる。未だにMFAを使っていないところが狙われている。
脆弱性が公表されてから、組織の半分はパッチを適用するまで55日かかっている。攻撃者は5日で攻撃を開始する。
内部の人間が踏み台にされるのが68%、ランサムウェアが32%、エラーによるものが28%、そして、サードパーティーが踏み台にされるのが15%。サードパーティーは漏洩があったとしても委託元に迅速に報告してくれないことが多い。
ランサムウェアのIncidentは減ったが、脅迫が急増している。組織がバックアップをちゃんと取るようになって身代金を払わなくなったので、脅迫するケースが増えたと考えている。
AIについて、攻撃者は言うほどAIを使っていない。むしろ、防御側の方にAI投資が行われている。
George Kurtz, CrowdStrike
Michael Sentonas, CrowdStrike
CrowdStrikeの共同創業者と社長によるセッション。毎年人気で、会場に入る長い行列ができていた。
CozyBearについて。2016年から追いかけているグループ。ロシア政府にバックアップされている。様々な手口を使い、非常に複雑な攻撃をする。
大きな金融系企業の小規模な子会社をまず狙い、その後親会社に侵入する。
インターネット上では、300万ものExchangeサーバが現在でも アクセス可能になっている。設定ミスによるもの。攻撃者はこういうものを利用する。
RDPにパスワードスプレー攻撃をしかけたりもする。攻撃する際には、検出されないようにゆっくり攻撃する。
子会社への侵入が成功した後、親会社のVPNを探して侵入する。
親会社のITヘルプデスクをターゲットにする。
ITヘルプデスクのアカウントでMS365にログインを試みる。二要素認証を突破するために、ヘルプデスクの人にTeamsチャットを送って騙して二要素認証の数字を入れさせたりする。
その後、パスワードをリセットし、自分が入れるようにする。ただ、ITヘルプデスクの人が入れなくなると再度パスワードリセットされてしまうので、設定したパスワードをIT ヘルプデスクの人に教え、そのパスワードを使うように指示する。そうすると、多くの場合、ヘルプデスクの人は教えられたパスワードをそのまま使い続ける。
対策はまず、Identity Hygiene。IDの権限は必要最小限にすることなど。そして、ローカルのIDレポジトリとクラウドのIDレポジトリを同期させる場合は、実際にどのように同期されるのかをちゃんと理解しておくことが重要。
George Kurtz, CEO and President, CrowdStrike
CrowdStrike CEOによるキーノート。キーノートなのでYouTubeで視聴可能。自動翻訳で日本語字幕にもできる。
2分7秒…去年、Crowdstrikeが観測した、最も早いBreakout。 31秒…攻撃者がツールキットをダウンロードするまでの時間。人間が対応できる時間ではないので、自動化が必要。
NEXT GEN SIEMは以下のような特徴を持つべきである。
セキュリティプラットフォームと統合されている
データとAIが融合している
エンドポイントのログはそのま ま記録する。 それ以外のログを取り込む際にはAIで正規化をする。
AIで分析する
AIで自動化する(ワークフロー)
結果をLLMに学習させる
AIによるCompliance Reporting…データを元に報告書を作ってくれる
以下のような特徴を持ったAIネイティブSOCのOSとなる
脅威を検出して自動で対応する
データ、コンフィグ、その他の情報から、どのような攻撃パターンがあるかを考える(Predictive Security)
ワークフローオートメーション…パッチの適用なども自動で行う
コンテキストベースのセキュリティインテリジェンス
Michael Bargury CTO, Zenity
EntraID(元AzureID)のGuestアカウント(外部の人にアクセス権を与える仕組み)を悪用した攻撃の話。
Guestアカウントは便利なので、パートナーに権限を与えるために使われることが多い。簡単に作ることができる。基本的には、共有することを許可したリソース以外へのアクセスは禁止される。
攻撃は以下の手順で行われる。
まず、Teamsでアクセスを許可してもらう(Guestアクセスを貰う)。
ツールを使ってテナントのユーザを一覧化する。
ユーザにリソースへのアクセス承認を送る。中には、権限要求を自動で承認するツールを使っている人がいる。
PowerAppをインストールする。Appのライセンスがなかったら、自分で開発者テナントを作れば無料でライセンスを得ることができる。
PowerAppのPortalにアクセスし、URLを解析する。最初がCredentialになっている。
対策は、厳格な設定にする、Auditをする、など。Guestユーザにユーザ一覧へのアクセスを許可しないような設定にすることや、そもそもGuestユーザを招待することができる人をAdmin権限を持った人に限定する、などでリスクを下げることができる。
Tal Darsan, Manager, Managed Cybersecurity Services, Cato Networks
Etay Maor, Senior Director Security Strategy, Cato Networks
VPNのCato Networksのセッション。朝一のセッションは数が少ないこともあり、部屋はほぼ満席。
攻撃者による攻撃がいかに洗練されているかについてのセッション。
侵入した先でクレジットカードの番号を探すテクニックについて。BIN番号やチェックデジット(CD)を元に探し出す。カード番号が使えるかどうかを確認するために、クレジットカードで寄付ができるサイトに行って少額を寄付して確認する。
以下のような手段を使うことで、攻撃が検知されないようにする。
PhishingのWebサイトはセキュリティ研究者を排除する仕組みを持っており、PhishingのWebサイトとばれないようにしている。何度も来るリクエストには404エラーを返したり、Proxyを使っているアクセスは拒否したりする(セキュリティ研究者は調査の際にしばしばProxyを使う)。
マルウェアをチェックするサイトで、マルウェア対策ソフトで検出されないことを確認する。
CC Toolsという、ロシアで作られたツールを使うことで、任意のスマホのデバイスIDを作る。
希望するOSの仮想デバイスを作ってくれるサービスがある。これでターゲットとするOSで攻撃が成功するか確認する。
短時間でサイトを攻撃すると検知されてブロックされてしまうが、その場合は攻撃の速度を遅くして気付かれないようにする。
AIでコードをスキャンされることを想定して、コードの中にAIに対するPrompt(正当な処理を行うかのようなコメントや関数名)を入れて、マルウェアではない、とAIに思い込ませる。
Phishingのページでは、解析させないようにショートカットキーを無効化する。
Cloudflareを使って、アクセスしてきている人が本当に人間か確認し、ツールによるアクセスを排除する。
IBMの報告書(Cost of a Data Breach Report 2023)でも、Phishingは効率の良い攻撃である、という調査結果が出ている。
TDSSKillerという、Kasperskyがrootkitを除去するために作ったツールがあるが、Lockbit(攻撃者グループ)がEDRを除去するために使っていたりする。
フィッシングサイトでは、誰かが騙されてID/PWを入力したら、それがすぐにTelegramに転送されるような仕組みになっている。
攻撃者は通信手段として普通のクラウドサービスを使うう。会社で業務目的で使っている人がいるので利用を止めることはできない。Twitterを使ってC&C通信をするものは昔からあった。今はTrelloなど、会社で使っていそうなクラウドサービスが使われる。Trelloでカード(チケット)を作ってコマンドをいれると、それを被害者のPCで実行され、その結果がカードに記録されるような動きをする。このような攻撃に対する 対策としては、自社で契約したテナントだけを使わせ、プライベートテナントは使わせないようにする方法がある。サービス 単位で禁止するのではなく、テナントや機能単位で制御するようにすべき。
YouTubeにUploadされました
アメリカのConferenceは太っ腹で、セッションの多くが6/11頃にYouTubeにアップロードされました。YouTubeの自動翻訳機能を使えば、品質は低いものの日本語字幕を表示させることができるので、概要把握には十分使えると思います。
Expo
今年はあまりExpo会場は回りませんでした。
唯一話を聞いたのは、Googleの新しいThreat Intelligenceサービスについてでした。(Googleが買収した)VirusTotalとMandiantを組み合わせたサービスで、なんらかの攻撃があった場合に、その攻撃がどのようなものかを即座に把握することができるようなもので、GCPだけでなく、AWSやAzure環境でも使えるそうです。Crowdstrikeなども繋げることができるようになっていました。リリース(GA)はまだで。1ヶ月以内に値段も含めて発表される予定とのことでした。Webベースで登録できるようなサービスなので、そこまで高額にはならないはずだ、とのことでした。
Japan Night
今年もJapan Nightを開催しました。事前の登録が50人ぐらいだったので、まあ、去年も80人ぐらいだったから、それぐらいかな、と思っていたら、なんと150人も…。店の中は満員電車状態、入れない人は路上で…。御迷惑をおかけしました。それでも、みんな名刺交換するなど交流して貰えたようで良かったです。来年はまじめに考えないといけないですね…。
まとめ
ブリンケン国務長官が登壇するなど、サイバーセキュリティが米国国家にとって重要な要素であることを改めて実感しました。
それに伴って各種の規制も厳しくなってきています。特にSEC(米国証券取引委員会)の新たな規制は、GDPR対応で行ったような、インシデント対応体制の強化を上場企業に求めることになります。
昨年はAIによる脅威がまだ漠然としていましたが、DeepFakeを使った詐欺など、AIを悪用した脅威の姿が具体的になってきました。一方で、AIを活用した防御も実装され始め、現時点において、AIはむしろサイバーセキュリティにとって良い影響の方が大きいように思われます。
ランサムウェア対策が進み、バックアップを取る組織が増えてくると、攻撃者は暴露型の攻撃に切り替えて脅迫を行うようになってきました。これからも、対策が行われると攻撃者が手口を変えるといういたちごっこは続いていくでしょう。アンテナを高くし、新たな攻撃が観測されたら、先手を打って対策を実施していくことが求められます。
番外編1 (初回参加者とLoyalty Plusの人用のプレイベント)
今回、恐らく初の試みとして、初めてRSA CONFERENCEに参加する人と、Loyalty Plus (5回以上フルカンファレンス参加している人)だけが参加できるプレイベントがありました。コロナになってからパーティー的なアクティビティがなくなってしまったので、少しずつ復活してきている感じでしょうか。また以前のようにパーティーが開かれることを期待しています。
番外編2 (Alicia Keysのミニライブ)
RSA CONFERENCEの最後には、Alicia Keysのミニライブが行われました。とはいっても参加者のほとんどはおっさんなので、盛り上がりに欠けてしまうのはしょうがないです。彼女のヒット曲「Empire State of Mind」は聞いたことある方もいるのではないでしょうか。「New York, New York」というところがサビなのですが、それをSan Franciscoで聴くという趣向がなかなか面白かったです。
番外編3 (Dodgers大谷)
SFOに着陸してからすぐレンタカーを借り、LAまでドライブしてDodgers Stadiumで大谷の試合を見てきました(2試合)。去年Anaheimで見たときは5打席無安打だったのですが(むしろ珍しいものを見たかも?)、今年はホームランを打つところが見れて大満足(写真はホームランを打った瞬間)でした。SF-LAのドライブも一回してみたいと思っていたのですが、一回で十分かな…(6~7時間ぐらいかかります)。
あ、そうそう、Dodgers Stadiumにある銀だこにも行きました。たこ焼きが6個入って$13.99なので2000円ちょい。買ってから席を探すのに迷ってしまって、席についたらすっかりたこ焼きが冷たくなっちゃってました…。
番外編4 (Santa Barbaraのワイナリー Au Bon Climat)
LAからSFに戻る途中、LAから北に1時間ちょっと行ったところにSanta Barbaraという町があり、そこにあるAU Bon Climatというワイナリーを訪ねてみました。Santa Barbaraの町自体もちょっとしゃれた感じなので、機会があれば訪れてみてもいいかもしれません。ここで買ったワイン(シャルドネ)はまだ開けていないので、どんな味か楽しみです。
番外編5 (物価高)
米国は物価高が激しく、例えば、このバーでハウスワインを飲むとグラス一杯で$19です。これに税金(8.25%)とサービスチャージ(18%)が乗ると約3800円…。円安のせいもあって、円換算するとすごい金額になってしまいます。ハウスワインすら気軽に飲むことができません。一方で、イブプロフェン(鎮痛薬)を買ったら24錠で$0.99(150円ぐらい)と、こちらは安くてびっくりしました…。
番外編6 (WAYMOの無人タクシー)
サンフランシスコの町では、WAYMOの無人タクシーが縦横無尽に走っています。こんなに道が狭くて歩行者が多い町で走らせなくてもいいと思うんですが…。乗ってみたかったのですが、まだアプリを使える人は限定されているらしく、残念ながら乗ることはできませんでした。
番外編7 (PANDA EXPRESSのFortune Cookie)
PANDA EXPRESSってご存じですか。アメリカの空港にはだいたいある、ジャンクな味の中華料理屋さんです。というか、中国の人は「PANDA EXPRESSは中華料理じゃない!!」って言いそうな気もします。日本にも川﨑のラゾーナに1軒だけあるようです。ここのオレンジチキンが食べたくて、会場の近くのPANDA EXPRESSへ。食べながら、ふと「時差ボケに耐えてセッション聞くのも結構辛いなぁ。今時は日本にいても結構情報入るし、お金かけて辛い思いしてアメリカに来なくてもいいかなぁ。来年はもういいかなぁ。」なんて考えていたんです。食べ終わって、Fortune Cookieを割ったら、中から「PERSISTENCE PAYS OFF(継続は力なり)」の文字が…。まさかPANDA EXPRESSのFortune Cookieに説得されるとは思わなかったです。しょうがない、来年も来ますか…。
番外編8 (HILTON最上階Cityscape)
Grand Hyattの最上階のレストランに行こうとしたら、現在は貸切のイベント専用スペースになっている、とのことで入れず。ホテルの人に、他に似たようなところはないのか、と聞いてみたら、HILTONの最上階がやっている、とのこと。実は20年ほど前にこのレストランには来たことがあったんですが、その後貸切のイベントスペースになってしまって残念に思っていたんです。ということで、久しぶりに最上階にあるCityscapeというレストランに行ってきました。やはりここからのViewは格別でした。
2025年のRSA CONFERENCEは4月28日~5月1日です。またしてもゴールデンウィークとかぶる日程ですが、また来年、サンフランシスコでお会いしましょう!!
Σχόλια