【読書記録】マジメだけどおもしろいセキュリティ講義

マジメだけどおもしろいセキュリティ講義 事故が起きる理由と現実的な対策を考える (Software Design plusシリーズ)

タイトルと表紙が気になり、手に取りました。
表紙だけ見ると、やっちゃった系のエピソード集や初心者向けの事例集が書いてありそうな感じですが、中身はソースコードまで記載されたエンジニア向けの本です。

セキュリティ系の本は、初心者向けの事例集や入門、エンジニア向けのセキュリティ関連のプログラム本、高度な技術本などが多い感じですが、この本はセキュリティの歴史の紹介から、実際に起きた事例を元になぜそれが起きたかをわかりやすくまとめられていました。

以下、気になったトピック
SELinux
何も考えずに設定を無効にしてたが、軍事、政府の機密情報を扱うのに必要なアクセス制御の仕様あるモジュールで、きちんと設定すれば強力なセキュリティ対策に・・・。

MD5の危険性
デジタルフィンガープリントの偽造が容易に行える。
ビッグデータ関連の技術を使って、パスワードとMD5変換後テキストのセットを膨大に保持しておける。
ハッシュ値から変換前のパスワードを検索できるサービスもあるらしい。例：https://crackstation.net/

Ashley Madisonの顧客情報流出事件
ID、パスワードをつなげて、小文字に変換し、それをMD5でハッシュ化し保管していた。流出したデータのうち、6文字パスワードに対して、ブルートフォース攻撃が仕掛けられクラックされた。

パスワードの条件

・長さは最低８文字。10～12文字あればかなり安全
・小文字、大文字、数字、記号を含む
・パスワード辞書に存在しない特定されないパスワードを選択する

が安全。が、これを守るのはなかなか大変・・・。

IOT
家電などがネットにつながることで、知らないうちに悪用されることも。
ネットにつながっている機器を検索できるサイトもある。
https://www.shodan.io/
どんな機器がネット上で稼動しているかわかるサイト

今時のランサムウェアの技術

・暗号技術の向上と普及
・ボットテクノロジーの向上
・匿名化が進んだ支払い方法の普及

2014年～2016年の５大セキュリティ事件

・OpenSSLの脆弱性 "HeartBleed"
・Bashの脆弱性 "Shellshock"
・米国暗号輸出規制が生んだ負の遺産 "FREAK攻撃"
・クラウドサービスを揺るがす脆弱性 "VENOM"
・IoTボットネット "Mirai"

事件を事例に、なぜ起こったかが詳細に記載してあります。米国では暗号技術が輸出規制の対象になっていて、印刷したものを運んだなど読み物としても面白かったです。Miraiに関しては、IoTが増える中で今後も増えてきそうな事例だと思いました。

まとめ
普段、使っている物や関わっているシステムにおいて、脆弱性が見つかるとその対応に追われて、その脆弱性がなぜ起きたのかまでを調べる時間がとれず、関連するページは難しくて読む気になれず・・。
で終わるので、この本を読むことで勉強することができました。
IoTの発展で攻撃対象となる機器が増え、ビットコインで匿名でお金のやり取りがしやすい環境になってますますセキュリティに関して注意が必要となりそうです。