セキュリティ製品を入れとけば安全な“つもり”ですか? セキュリティリサーチャーズが指摘する3つの落とし穴:ITmedia Security Week 2023 夏
2023年6月、「ITmedia Security Week 2023 夏」において、インターネットイニシアティブの根岸征史氏、SBテクノロジーの辻伸弘氏、「piyolog」でおなじみのpiyokango氏の3人が「積もる『つもり』の落し穴」と題してパネルディスカッションを行った。
安全、安心のために導入したはずのセキュリティ製品が、いつの間にか落とし穴になっていた――。セキュリティリサーチャーとして活動する3人が、そのような目をそむけたくなる現実に斬り込む本セッションでは、それぞれが見つけた、現場に存在する見落としがちな“つもり”をピックアップし、自らを見直すきっかけとなるような話題を提供する。今回も盛り上がったディスカッションをレポートする。
ツールが動いていた“つもり”
piyokango氏がピックアップした事例は、豊田市で発生したメールアドレスの流出だ。これは本来Bccで送信すべきメール送信先を、To/Ccに記載してしまったという事故だったが、この裏には“つもり”が存在していた。
piyokango氏によると、本件の背景には豊田市が導入した、「強制Bccシステム」が存在するという。このシステムは、もし利用者がメールのToやCcにメールアドレスを入力していたとしても、システム側でそれをBccに置き換えるものだ。メールアドレスの流出を未然に防ぐために導入されたと思われるものだが、それが意図せずに止まったことが事故の原因だ。
強制Bccシステムが動かなかった理由は、「ライセンス」が更新されていなかったこと。これは「運用委託先が失念していた」と報告されている。その結果、約3日間にわたって強制Bcc設定が働かず、24通のメールに含まれたメールアドレス652件が流出することになった。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
2022年NIST公開の脆弱性が2万件以上――対策“できない”時代に“できること”をセキュリティリサーチャーズと考える
2023年3月に開催された「ITmedia Security Week 2023 春」の「クラウド&ゼロトラスト」ゾーンにおいて、インターネットイニシアティブの根岸征史氏、SBテクノロジーの辻伸弘氏、「piyolog」でおなじみのpiyokango氏の3人が「可と不可の間 〜今そこにある契機〜」と題してパネルディスカッションを行った。
通知ウザウザ詐欺、イニシャルアクセスブローカーなど“新たな脅威”の把握に疲れたあなたへ――セキュリティリサーチャーズが提言する「バランス感覚」とは
2022年11月に開催された「ITmedia Security Week 2022 冬」の「サプライチェーン攻撃だけじゃない、新たな脅威」ゾーンにおいて、ポッドキャスト「セキュリティのアレ」でも活躍するセキュリティリサーチャーの根岸征史氏、辻伸弘氏、piyokango氏の3人が、今回は変化の中でも“一度立ち止まり振り返る”というテーマで登壇。「シフトする脅威の掴み方」と題して、見逃してはならないポイントをそれぞれの視点で語った。
未来へつなげるためには、まず“地固め”を――今アップデートが必要な3つの視点をリサーチャーズが語る
2022年9月に開催された「ITmedia Security Week 2022 秋」の「未来へつながるセキュリティ」ゾーンにおいて、@ITのセキュリティセミナーではおなじみとなったセキュリティリサーチャーズによるディスカッション「疑え!常識!紡いで未来」が行われた。ポッドキャスト「セキュリティのアレ」でも活躍する、根岸征史氏、辻伸弘氏、piyokango氏の3人が“未来”をテーマにしつつ、“地固め”をしていこうという内容で登壇。これからのセキュリティ対策で見逃してはならないポイントを、それぞれの視点で語った。