サイバーセキュリティ財団の ZERO DAY を読んでみた

「大手書店、コンビニで発売中」と謳っているにも関わらず、東京だと Amazon 以外での入手経路のないサイバーセキュリティ財団の ZERO DAY 。遅ればせながら入手したんで、読んでみて感じたことなど。

自分的に気になったのは、Capter03 で取り上げられている WordPress の脆弱性について。
WordPress のインストールから、実際にページの不正な書き換え手法についてまでが書かれているわけですが、そのパートの最後のほうに


また、このグループ名で検索するとまだ書き換えられたことに気づかず放置されているサイトが見受けられます。被害サイトは日本のサイトもまだ多く含まれます。

とか、対応策として

WordPressのバージョンを最新のバージョンへアップデートを行ってください。

という記述があるんですがね…。
財団メンバーのサイトが、記事に記載されている手法でと思われる改竄被害を受けていた上に、

未対策なままサイトが再公開されて、再び改竄されるという被害を受けていたのを見つけてしまった自分としては、「ZERO DAY に書いたことすら、財団メンバーのサイトで実践出来てないのかよ…。」と微妙な気持ちになるわけですが…。(ちなみに、 Capter03 を書いたのは、財団理事の一人である田口氏…。)


「セキュリティ専門誌として唯一」ということで一般に向けての啓蒙活動も目的の一環として出していくのでしょうけど、発行が年三回ということらしく、あっという間に状況が変化していくサイバーセキュリティ関連の情報に、どれだけ紙面で追随していけるのか、お手並み拝見というところでしょうかねぇ。
実際、Apache Struts の脆弱性 CVE-2017-5638 に関しての解説記事が載っていましたが、 Struts2 に関してはその後も続々と新しい脆弱性が発見されているわけです。発行間隔が長いのは「セキュリティ専門誌」としては、かなり上手くネタをピックアップしていかないと「内容が古い」となってしまいかねないわけで。

ただ、紙というパッケージに拘る限り、全国発売にまでもっていくのは大変でしょうし、鮮度の高い情報の提供も目的としたいのであれば、電子書籍という形式で発行するというのも方法としてはありだと思うのですが…。
もし紙というパッケージで出し続けるというのであれば、入手性の低さはなんとかして欲しいところですね。理事長は、

という tweet をしているわけですが、書店やコンビニでの店頭販売が全国一斉でないのであればそう書くべきだと思うんですよね。書店も、コンビニも何店か見て回りましたけど、少なくとも自分の住んでいる範囲では見かけませんでしたから…。
#財団のある福岡市とかその近辺だけだったんでしょうかね、店頭販売があったのは?

最後に、各章のタイトルと執筆者は、以下の通り。財団関係者からは田口氏、清田氏の二名が執筆者となっていました。

  • Chapter01 機械学習
    • AI×サイバーセキュリティの未来 機械学習を用いた不正検知技術体験(舟木 類佳)
  • Chapter02 攻撃推移レポート
    • WEBアプリケーションにおける攻撃の推移と分析(横田 武志)
  • Chapter03 脆弱性検証
    • NSAから流出したハッキングツールの検証とWannaCryの報告(田口 雅彰)
    • 外部から誰でも簡単にコンテンツを書き替えできるWordPressの重大な脆弱性の検証(田口 雅彰)
    • 日本の企業でも被害続出 ApacheStruts2の脆弱性の検証(田口 雅彰)
  • Chapter04 ランサムウェア
    • 機械学習を回避するランサムウェアの解析(比賀江 文子)
  • Chapter05 マルウェア
    • サウジアラビア空港を襲ったマルウェア Shanoob2.0の分析(比賀江 文子)
    • USBを挿すだけで自動実行されるRUBBER DUCKYの解説(田口 雅彰)
  • Chapter06 IoT
    • IoTの過去の事例 BrickerBotの解析(山下 孝志)
    • IoTマルウェア MiraiとHajimeの解析(比賀江 文子)
  • Chapter07 Android
    • Androidを狙うrootkitの解析(比賀江 文子)
    • Androidのバックドア不正アプリMilkyDoorの分析(片倉 友之)
    • Androidからルーターを攻撃するSwitcherTrojanの解説(片倉 友之)
  • Chapter08 リスク回避と法律
    • 実際に起きたWordPressにおけるインシデントと運用に関して(三谷 章太郎)
    • なりすましメールの見分け方(坪口 晴也)
    • サイバーセキュリティ基本法の考査と判例解説(清田 友孝)

トラックバック(0)

コメントする