第99回アノ超会議からきっかり9年！スペシャル！

# 第99回アノ超会議からきっかり9年！スペシャル！ ## 今回のテーマは次の通りです。 1. インシデント損害額調査レポート 2. RealTek SDK の複数の脆弱性 3. CISAランサムウェア対策ドキュメント先日聞いた、Podcastのメモです。 [https://www.tsujileaks.com/?p=999](https://www.tsujileaks.com/?p=999) ## インシデント損害額調査レポート JNSA インシデント被害調査WGから、「インシデント損害額調査レポート」が発行された。 [https://www.jnsa.org/result/incidentdamage/2021.html](https://www.jnsa.org/result/incidentdamage/2021.html) 費用損害・賠償損害・利益損害・金銭損害・行政損害・無形損害に被害を分類して、整理をされている。これまでは、フォレンジックにXXX円かかったとかの調査はあったが、今回のように被害を広く扱ったものは少なかった。ただし、紹介されているのは実例ではなく、モデルケースになっている。それでも、大雑把にこれだけ費用かかるということを言える資料であろう。 ### ダークウェブ調査費用ダークウェブ上で、情報が漏洩していないかを調査するサービスに費やした金額。概算として、次の金額が支払われている。 3ヶ月のスポット調査で、500万〜1000万。年間調査で、1500万〜4000万。認証情報が漏洩していないかを調査するサービスに、1000万〜5000万。結構高い。効果は、この金額に見合うのか…？ ### 利益損害（サービスが止まったことによる損害）サービスが継続できなかったときに、得られるだろうと想定される金額で、算出のしかたはわかりやすい。しかし、実際はそれにとどまらないこともあるだろう。サービスを復旧させるための IBMの「データ侵害のコストに関する調査」によると、被害金額の全体の４割はビジネス損失で、インシデント対応自体より大きい。サービスを止めないこと、早期復旧することにも注目する必要があるだろう。 ### 経営層へのセキュリティ対策へのきっかけへ数字が明記されているので、対策する必要があるのか、どこまで対策できるのか。また、社員の稼働がどれだけかかるかがわかれば、社員への訴求もできるかもしれない。 ## RealTek SDK の複数の脆弱性４つの脆弱性が報告されている。 - UPnP(Universal Plag and Play) バッファオーバーフロー（難） - UPnP(Universal Plag and Play) ヒープオーバーフロー（難） - Web管理インターフェースコマンドインジェクション（易） - UDPサーバデーモンで、外部からのコマンド実行（易）いずれも、LAN側からしかアクセスできないはずである。 ### 影響範囲がどこまで広がるかわからない脆弱性の発見者は、Shodanを使ってSSDPがオープンになっている機器から、Realtekの機器を使っていそうなものをリストアップしている。しかし、それらに真に脆弱性があるのかは、脆弱性発見者は検証していない。 Realtek自体は修正パッチをリリースしているが、Realtekを利用しているベンダーへの連絡はされているのかが不明。その意味で、影響範囲がわからない。 ## CISAランサムウェア対策ドキュメント PROTECTING SENSITIVE AND PERSONAL INFORMATION FROM RANSOMWARE-CAUSED DATA BREACH が、CISAからリリースされた。対象は、「重要なインフラストラクチャー組織を含む全ての政府及び民間部門の組織」とあり、とても広い。(個人は含まれない) ランサムウェアの防止と対応を記載している,、４ページ程度の資料。暗号化されるのであれば、バックアップを安全に取得する。データを持っていかれるので、どのようにして防止していく。 …が書いてあるのかと思ったが、そうではく、もっと基本的な対策が記載されていた。例えば、「機密情報及び、個人情報の保護」では、「システムに保存されいてる情報及び、その情報にアクセスできるユーザを把握する。」などである。（ごく当たり前のことが記載されている。） > 初期の緩和措置が不可能な場合は、影響を受けるデバイスのサンプルのシステムイメージとメモリキャプチャを行います > などと記載されており、まだ現実的には難しいとされる部分もある。すべての組織は、ランサムウェアによる損害を受ける可能性があり、それらに対応する責任がある。と記載されている。リスクついて考えることはあるが、責任があることについてはハッとさせられるかもしれない。 ## 関連記事・[Protect security settings with tamper protection | Microsoft Docs](https://docs.microsoft.com/en-us/microsoft-365/security/defender-endpoint/prevent-changes-to-security-settings-with-tamper-protection?view=o365-worldwide) ・[インシデント損害額調査レポート　2021年版](https://www.jnsa.org/result/incidentdamage/2021.html) ・[Cost of a Data Breach Report 2021 | IBM](https://www.ibm.com/security/data-breach) ・[Advisory: Multiple Issues in Realtek SDK Affects Hundreds of Thousands of Devices Down the Supply Chain – IoT Inspector](https://www.iot-inspector.com/blog/advisory-multiple-issues-realtek-sdk-iot-supply-chain/) ・[重要なお知らせ – > ロジテック製300Mbps無線LANブロードバンドルータおよびセットモデル（全11モデル）に関する重要なお知らせとお願い　- ロジテック](https://www.logitec.co.jp/info/2017/1219.html) ・[Mirai 亜種の感染活動に関する注意喚起](https://www.jpcert.or.jp/at/2017/at170049.html) ・[Protecting Sensitive and Personal Information | CISA](https://www.cisa.gov/publication/protecting-sensitive-and-personal-information) ・[Ransomware Guide | CISA](https://www.cisa.gov/stopransomware/ransomware-guide) ・[Amazon.co.jp: 誰かが、見ているを観る | Prime Video](https://www.amazon.co.jp/dp/B08H4QJQY7)