【第316回】 情報セキュリティ研修とか（2020年2月19日）

• 7:20起床。ラーメンを作って食べ，まず名谷キャンパスに出勤。川の水質調査関係のグループで投稿準備中の論文についてディスカッションしてから，昼前に六甲に向かう。前回参加したときは，あまり知識も経験もない講師が情報セキュリティを語っていただけで，あまり役に立たなかったが，部局ネットワーク管理責任者は受講義務があるので仕方が無い。
• 研修会。せっかくなので，公開しても差し支えなさそうな情報はメモしておこう。第1部はサイバー攻撃情勢について，というタイトルで県警サイバー犯罪対策課の方の話。業務で使っているパソコンへの攻撃の話が主。定義（通常のサイバー犯罪ではなく，サイバーテロ＝生活に大きな影響を及ぼす基幹システムへの攻撃，サイバーインテリジェンス＝情報通信技術を用いた諜報活動をサイバー攻撃と呼ぶ），サイバーインテリジェンスの手口（標的型メール攻撃，水飲み場型攻撃）＝明示的破壊活動を見せないため，被害に気づきにくい。標的型メール攻撃では添付ファイルを開封すると不正プログラムに感染し，指令サーバを介して機密情報が攻撃者に伝わってしまう。標的型メール攻撃は，警察庁統計によると，H25の1723件からH30の6740件へ年々増加。とくに下半期に増加傾向。引き続きばらまき型（同じ文面，添付ファイルで10カ所以上）が多発傾向。大多数が非公開メールアドレスに対して，偽装された送信元アドレスから。添付ファイルはzipが8割，他にdocx，xlsxなど。zipを展開するとexeやjsが出てくることが多い。フリーメールアドレスから暗号化圧縮ファイル（ウイルス対策ソフトで検知されない）が添付されてくる。アイコンや拡張子偽装，不正サイトへの誘導なども。ワードのアイコンのexeファイルに気づくために拡張子は表示させよう。昨年から増えているEmotetというマルウェア。取引先や知人からの返信を装う。Emotet自体は悪さをしないが，他のマルウェアに感染させやすくしたり攻撃者が操作できるようにする（バックドアを作るということ？）。「コンテンツの有効化」をクリックするとマクロが動作してウイルスに感染するとか。JPCERT/CCから感染チェックツールEmoCheckを2月3日に公開（まだversion 0.0.2がgithubで公開されているだけだが，このファイルの真正性は）してチェックすることを勧めている。セキュリティ対策としてはUpdateとか不用意に展開しない，不用意にクリックしないとかありふれたことだな。水飲み場型攻撃は，攻撃者がウェブサイトを改ざんして標的にメールを送ってそこに誘導し，その人だけに影響が及ぶやり方。USB情報窃取にも注意。IoTを悪用したDDoS攻撃も行われている。総務省は4月からIoT機器に不正防止機能をつけることを義務づけた。NOTICE（2019.2.1）DDoS等への対応。平昌オリンピックに対してサイバー攻撃があった。不正プログラムOlympic Destroyer。サイバーインテリジェンスの例としては，2020.1.20に三菱電機への不正アクセス事案があった。2020.2.12にわかったが，2019.3に中国のサーバが感染し国内に広まった。NECにも今年クラッキングがあった。いずれも防衛事業部門へ。2年前に産総研にもサイバー攻撃があり，ファイアウォール内部に入り込まれた。米海軍の請負業者もサイバー攻撃された。ウェブサイトの改ざんは，県内でも5年前にISILに賛同する犯人からされた企業がある。セキュリティ対策はこちらも最新ソフトへupdateとメールに注意などありふれたことしかない。対岸の家事では無いし大規模イベントもあるので気をつけて欲しい，とのこと。その後攻撃の実演があった。マルウェアを暗号化zipで送りつけ感染させ，攻撃者PCからいろいろ操作することが，特別な知識なしにできてしまう。偽サイトを見せ，リアルタイムのキーロガーを仕掛けてIDとパスワードを詐取するとか，ファイルコピーとかも簡単。被害者のデスクトップも丸見えだし操作もできてしまう。ノートPCに付いているカメラも丸見え。ウイルス自体をリモートで跡形も無く削除することもできる。しかし質問の時間も無かったし，この内容では話がわからない受講者が多かったのではないだろうか。
• 第2部はKHAN2017の概要の話。情報基盤センター特命助教の伊達さんから。配付資料あり。これは部局ネットワーク管理責任者は何度も聴いているので既知。何層にもファイアウォールがかまされているので，外部からの直接攻撃には強い。しかしウイルス付きメールをファイアウォール内部で開いてしまうと脆弱なので，怪しい添付ファイルは絶対に開かないこと。プライベートセグメント化したので，ルータをおかないこと（それでインシデントが起こると監督官庁からきつく問責されるらしい）。HUBや無線LANブリッジモード（APモード）ならOK。VLAN対応スイッチを使えば1本の配線に複数のセグメントのデータも流せる（詳細は基盤センターに問い合わせて欲しいとのこと）。無線LANについて，KUWiFi-wは非推奨で将来廃止予定とは知らなかった。構成員はKUWiFi-x，ビジターはeduroamが推奨。無線LANのAPを買うときは5 GHz帯にも対応しているものを推奨。講義など多人数同時アクセスの場合は5 GHzでないと遅い。2つの部屋で使うため廊下に設置するのは非推奨（一応教室の端で電波強度を確認したけどな）。2.4 GHzではつながるかもしれないが遅い。不具合が生じた場合移設の相談は受け付けるが工事費用は部局負担になる。KUPnet-xでプライベートアクセスする場合はユーザ側でも設定が必要。ループ接続への注意。間違えて数秒つないだだけでも全学規模の通信障害になるので，自動的に遮断することにしている。が，軽々しく考えないで欲しい。基盤センターへの問い合わせの際は，部屋とかではなくエッジスイッチのポート番号でなくてはいけない……ということは，インシデントが起こるたびに部局ネットワーク管理者が対応しなくてはいけないということだ。
• セキュリティ講習会中，隣でマスクもせず鼻を鳴らしながらクシャミをしている人がいるのでN95マスクをつけた（かつてパプアニューギニアのある町で結核のアウトブレイクが起こったときに調査に行っていたことがあり，そのとき箱買いして備蓄してあったもの）。持ってきておいて良かった。が，これ確かに息苦しいよなあ。
• 昨日付でプレプリントサーバに公開されていたWang Q et al. Clinical diagnosis of 8274 samples with 2019-novel coronavirus in Wuhan。武漢大学人民医院を1月20日から2月9日までに受診した濃厚接触者8274人の臨床診断結果をまとめた論文。検査を受けた人の年齢中央値は47歳（範囲は32-62歳）で，男性が37％。鼻咽腔塗抹標本は全員から採取し，63人（年齢中央値62歳，65.1％は男性）からは同日の喀痰標本も採取している。613人（年齢中央値51歳，49.5％は男性）については，13種類の疑わしい呼吸器感染症病原体についても検査し，そのうち316人（年齢中央値56歳，男性51.6％）については同時に2019-nCoV検査もしている。リアルタイムRT-PCR検査の結果，2745人が2019-nCoV陽性，5277人が陰性であった。残り252人は2つの2019-nCoV遺伝子のうち片方しか検出されなかったので診断がつかなかったため，不確定群とした。陽性群，陰性群，不確定群のそれぞれについて，年齢中央値は56，40，52歳であり，ダネットの多重比較で，陰性群の年齢は陽性群，不確定群のどちらと比べても有意に低かったが，陽性群と不確定群の年齢に有意差は無かった（注：ずっと中央値で話をしているのに，しかも3群のうち2群ずつ総当たりで比較しているのに，ダネットを使うのは不適切で，Rならばpairwise.wilcox.test()を使うべきだろう）。男女別の情報が謎で，男性2485人のうち陽性882人，不確定61人，女性3376人のうち陽性999人，不確定74人で，男性の方が女性よりも有意に陽性割合が高かった，と書かれているのだが，病院サンプルで性別不詳がそんなに多いとは思われないので，どうも数字が信用できない。というわけで，これ以降は読むのを止めた。たぶん修正されるだろうから更新を待つべきだろう。
• DAMのインタビューで芹奈が3曲目の「milk」，アサヒが4曲目の「KissHug」を推していたaikoの『BABY』の中では，ぼくは1曲目の「beat」と5曲目の「夏が帰る」が好きだ。どれ一つとして歌えるわけではないが。
• 時間もなかったし，学術的な報告もなかったし，詳細な状況も公開されていなかったので，これまでダイヤモンドプリンセスというクルーズ船の乗客についてはあまりちゃんと見ていなかったのだが，感染研のサイトで（いまのところポータルページからはリンクされていないのだが），"Diamond Princess"とsite:niid.go.jpでGoogle検索すると見つかるField Briefing: Diamond Princess COVID-19 Casesというページが2月19日付けで公開されている。この船は1月20日に横浜を発ち，鹿児島，香港，ベトナム，台湾，沖縄に寄港し，2月3日に横浜に帰ってきたが，1月25日に香港で降りた乗客が，実は1月19日から咳の症状があり，2月1日に2019-nCoVに感染していたことが確認されたことから，2月3-4日に全乗客・乗員の健康状態が検疫官によって質問紙調査され，症状のある乗客・乗員及び彼らとの濃厚接触者については呼吸器からの試料が採取された（2月11日以降，検査能力と検疫官の拡充により，80歳以上の高齢者と基礎疾患がある人から順に検査対象を拡大した）。2月5日にラボで確定診断がついたCOVID-19症例が出たため，当日午前7時から14日間の検疫のため，乗客は船室にとどまるよう求められた。以上の経緯はよく知られているが，この報告は，検査対象者や陽性者の年齢や検出日などを初めてまとめて報告したものになる。2月5日時点で乗船していた3711人（乗客2666人，乗員1045人）の14.3％にあたる531人が，2月18日時点で2019-nCoV陽性であった（有症状276人，無症状255人。年齢別陽性割合を見ると，50代以上で10％を超え，70代と80代では20％を超えている）。そのうち発症日がわかっているのは184人で，うち33人は2月6日より前に発症していた。残り151例のCOVID-19患者について，乗客と乗員別々に，発症日順の発症数の棒グラフが載っていて，エピデミックカーブはピークを超えて，ほぼ終息しているように見えるし，このField Briefingの予備的な結論でも，船内での感染の多くは検疫が始まった2月5日より前に起こった明白なエビデンスが得られたとされている。もっとも，今日も新たに陽性と診断がついたケースが607名分のサンプルのうち79例あったと報告されていて，そのうち68例は無症状だったとのことだが，11例の有症状の方がいつ発症したのかはわからないので，Field Briefingで発表されている情報だけでは，本当に2月5日以降の感染を止めることができているのか，それとも感染が継続していたのかはわからない（西浦さんがNスペで言っていたように感染後3日目くらいから感染力があるとしたら，五次感染くらいまで起こっていても不思議はない）。無症状でも感染力があることを考えると，通常の発症日順のエピデミックカーブの解釈は難しい。かといって，不顕性感染については，毎日サンプルを取っておいたのでもなければ，感染日の推定は不可能である。2月5日以降に感染したのかどうかにかかわらず，下船した人の中に，無症状で，かつ2月5日時点では検査陰性だったけれども，実は感染していて，今後その人から感染が始まる，という事例が出てくる可能性はゼロではない。たぶん，既に日本では市中感染が起こっているので，市中感染がまだ起こっていないとされている欧米と違って，既に2週間の検疫を終えた乗客をさらに2週間隔離することによって得られるメリットは，その人たちの人権を制約することが正当化されるほど大きくはない，という判断がされたということではなかろうか（もしそうだとして，それが正しいかどうかはわからない。無症状感染者からの平均感染者数は，軽症者からの平均感染者数よりさらに低いだろうから，もしそれが1を下回るなら，その人たちをフォローアップする必要もないことになる）。ただし，このレポートに書かれているところでは，2月14日以降の系統的な検査で無症状でも陽性とわかった人と同室だった人については2週間の検疫期間は，陽性者が上陸した日でリセットされるとのこと。もっと前に上陸させても同じことだったかもしれないが，見かけのエピデミックカーブがほぼ終息しているグラフを見せることで大義名分が立つと考えたのかもしれない。蔓延を遅くするための手段としては，手洗いの徹底，風邪様症状があったら外出しない，マスギャザリングの制約の方が効果は大きいだろう。とりあえず，現在のところは，これくらいしか言えない。誰でも使える形で生データ（個人情報は削除するとして）を出してくれたら，数理モデルの当てはめとか分析がしやすいんだが。

Tweet(list)

▼前【315】（院生の相談に乗ってから成績処理完了するつもりだったが（2020年2月18日） ）　▲次【317】（書類仕事と修論査読（2020年2月20日） ）　●Top

Notice to cite or link here | [TOP PAGE]