無料で読めるセキュリティ定期発行物のまとめ
こんにちは。しなもんです。
今回は自分用のメモを兼ねて、無料で入手できるセキュリティ分野の定期発行物をまとめます。
注意点
・私が認知しているものに限るので、網羅性はあまりありません。
・年次レポートだけを出している会社は挙げだすときりがないのでほとんど割愛しています。
・海外の CERT 系は探せばもっといろいろあると思いますが、これもきりがないのでほぼ挙げていません。
・リンクはなるべく記事の一覧ページにしていますが、ない場合は本記事執筆時点での最新版のページにしています。ご覧になった時点ではより新しい版が出ていることがあります。
日本の公的機関
情報セキュリティ白書 (IPA)
発行頻度:年次
各省庁などが発行している「なんとか白書」の情報セキュリティ版です。
インシデントの状況や手口、脆弱性から制度や諸取り組みまで、日本の情報セキュリティを取り巻くいろいろがまとまった一冊となっています。
本屋さんなどでも買えますがお値段は 2,000円 (+税) です。
情報セキュリティ10大脅威 (IPA)
発行頻度:年次
前年に発生したインシデントを元に、 IPA が「個人向け」と「組織向け」にそれぞれ脅威候補を選定し、専門家からなる選考会が 10位までのランキングにしたものです。
全体としては年 1回の発行物ですが、個々の構成要素である解説書や説明資料は逐次出てきます。
なお、各脅威は排他的ではなく、実際のインシデントでは複数関わっていることも多いですし、ある脅威が結果として他の脅威につながることもあります。
例えば「フィッシングによる個人情報の詐取」が「クレジットカード情報の不正利用」「インターネットバンキングの不正利用」「インターネット上のサービスへの不正ログイン」という損害として表れることなどが考えられます。
サイバー情報共有イニシアティブ(J-CSIP) 運用状況 (IPA)
発行:四半期
J-CSIP は重要インフラ事業者団体などで構成される情報共有の枠組みです。
定期レポートは単なる活動報告にとどまらず、実際の攻撃事例などが紹介されていて参考になります。
毎回ではありませんが付録がついていることもあります。
例えば 2020年4月~6月期の付録だった「EKANSランサムウェアの解析事例 (PDF)」は個人的に大変面白く読ませていただきました。
サイバーレスキュー隊(J-CRAT)活動状況 (IPA)
発行:半期
J-CRAT は標的型攻撃への対応を支援する IPA 内のチームです。
活動状況レポートは実際の標的型攻撃事例の紹介が中心ですが、「わが国を取り巻くサイバー攻撃グループ」として攻撃アクターの動向についても紙面が割かれています。
発行:半期・年次
IPA ではコンピュータウイルスや不正アクセスに関する届出を受け付けており、その実績をまとめたものです。
受け付けた全部についてではなく、「特筆すべき事例」を紹介しています。
簡潔ではあるものの、大量のインシデントの概要を、多くは「こういう対策を行った」というところまで含めて読めるのがうれしいところです。
脆弱性対策情報データベースJVN iPediaの登録状況 (IPA)
発行:四半期
"JVN iPedia" は IPA が運営する脆弱性情報データベースです。
"JVN" と混同している人も多いのですが、こちらはデータベースサービスで、他の場 (主に JVN と米国 NVD) で公表された脆弱性情報を集約し、検索しやすいようにしているものです。
活動報告的な側面が強いですが、当該期間の注目すべき脆弱性情報も載っています。
ソフトウェア等の脆弱性関連情報に関する届出状況 (IPA・JPCERT/CC)
発行:四半期
こちらは一般人などからの脆弱性情報報告を受け付け、それをもとに開発者と調整を行って公表していく制度である「情報セキュリティ早期警戒パートナーシップ」の活動報告にあたるものです。
情報セキュリティ早期警戒パートナーシップにおいては、IPA が「受付機関」、JPCERT/CC が「調整機関」と位置付けられており、公表の場としての JVN も共同で運営しています。
そのため、定期報告書も両機関の HP で入手することができます。
活動四半期レポート (JPCERT/CC)
発行:四半期
JPCERT/CC の活動報告書です。
JPCERT/CC の活動内容のうち、「インシデント報告対応」「脆弱性関連情報の流通促進」「インターネット定点観測」「フィッシング対策協議会事務局運営」については分野ごとの定期報告がありますが、他の活動、例えば海外機関との協力などについても本レポートには掲載されています。
インシデント報告対応レポート (JPCERT/CC)
発行:四半期
JPCERT/CC が受け付けたインシデント報告とその対応についての報告書です。
IPA の「コンピュータウイルス・不正アクセスの届出事例」と比べると具体的な事例の紹介が少ない代わり、こちらは抽出ではなく全数なので、統計資料としての有用性が高いです。
インターネット定点観測レポート (JPCERT/CC)
インターネット上に設置したセンサーでの観測結果を公表している組織はいくつかありますが、JPCERT/CC もその一つです。
観測しているデータから何か問題が見つかれば、当該地域の National CSIRT などと連携して改善を図っているそうです。
観測資料 (警察庁)
発行:月次・年次
警察庁でもセンサーを設置して観測を行っています。
ポート番号や送信元国・地域などを切り口に集計した統計データが毎月公表されています。
インターネット観測結果等 (警察庁)
発行:年次
「観測資料」が統計データであるのに対して、こちらは報告書に近い性質のものです。
不正なアクセスの例については、実際のパケットキャプチャソフトのスクリーンショットなどを交えて紹介しています。
サイバー空間をめぐる脅威の情勢等 (警察庁)
発行:上半期・年次
こちらはマルウェア添付メールや不正送金などを含めたサイバー空間の脅威をまとめて扱ったレポートです。
上半期のレポートがあるのに下半期のレポートは存在しないので、半年ごとに出ているというよりは、「中間報告付きの年次報告書」であると考えた方が自然でしょう。
フィッシング報告状況 (フィッシング対策協議会)
発行:月次
フィッシング対策協議会へ寄せられたフィッシング報告を月ごとにまとめたものです。
翌月の上旬に出ます。
10年以上前からのデータがあるので推移をたどることもできます。
実際にまとめると、ここ数年の増加がいかに顕著かよくわかります。
フィッシングレポート (フィッシング対策協議会)
発行:年次
フィッシング対策協議会の年次報告書です。
単なる活動報告にとどまらず、海外の動向や新技術の紹介も掲載されており、フィッシング (対策) に興味のある方は必見です。
フィッシング対策ガイドライン・利用者向けフィッシング対策ガイドライン (フィッシング対策協議会)
発行:年次
厳密には毎年発行していると明言はされていないのですが、毎年 5~7月頃に改訂版を発表していますので、ここでは年次発行物として扱います。
フィッシング対策といっても事業者側ですべきことと一般利用者がすべきことは異なりますので、事業者側・利用者側両方の視点を盛り込んだガイドラインと、利用者向けの内容に絞ったガイドラインの 2種類が発行されています。
NICTER観測統計 (情報通信研究機構)
発行:四半期
NICTER は情報通信研究機構 (NICT) が開発した「無差別型サイバー攻撃の大局的な動向を把握することを目的としたサイバー攻撃観測・分析システム」で、その観測結果はブログで公表されています。
JPCERT/CC や警察庁の観測結果と比べてみても面白いかもしれません。
NICTER観測レポート (情報通信研究機構)
発行:年次
NICTER は年次報告書も出しています。
こちらは論文のような体裁の PDF ファイルで提供されています。
海外の公的機関
Phishing Activity Trends Reports (APWG)
発行:四半期
APWG はフィッシング対策を目的に活動する国際機関です。
四半期ごとに報告書を出しています。
日本の傾向と比べると面白いと思います。
ただ、APWG の定義する "phishing" は日本ではあまりフィッシングと言わない「マルウェアによって個人情報や認証情報を盗むもの」を含んでいる*1ので、比較にあたっては注意が必要です。
日本の企業
※ 実際の発行物が日本語であれば日本の企業扱いしています。
もともと何語で書かれていたかやどこに本拠を置く会社であるかは考慮していません。
wizSafe Security Signal 観測レポート (IIJ)
発行:月次
毎月発行されます。基本的に翌月下旬に出るので、これが出てくると月末を感じるリサーチャの方もいるとかいないとか……
内容としては DDoS、マルウェア、インシデント、アップデート (脆弱性) 情報と幅広く扱っています。
DDoS 攻撃の観測状況を扱っているのが ISP でもある IIJ ならではかなと思います。
技術レポート「Internet Infrastructure Review(IIR)」 (IIJ)
発行:四半期
IIJ からもうひとつ。こちらは先端技術の話題をまとめた冊子です。
毎回異なるトピックを扱うという特性上、セキュリティの話題とは限りませんが、他ではなかなか読めない内容が多く興味深いのも確かです。
キヤノンマーケティングジャパン社は、スロバキア出身のウイルス対策ソフトである "ESET" を国内で展開しています。
セキュリティ情報サイト「サイバーセキュリティ情報局」(最近「マルウェア情報局」から改称) を運営しており、そこで月次・上半期 (実質年次の中間報告)・年次の「マルウェアレポート」を発行しています。
IIJ wizSafe のものと異なり、こちらはマルウェアに特化した内容になっています。
グローバルセキュリティ動向四半期レポート (NTTデータ)
発行:四半期
収集した公開情報をもとに「注目トピック」「情報漏えい」「脆弱性」「マルウェア・ランサムウェア」の話題ごとにまとめたレポートです。
カバー範囲が広く図表も豊富なのでマネジメント層に向いているように思います。
最後の「タイムライン」は当該期間に発生したイベントが時系列でまとまっていて役立ちます。
テクニカルレポート (LAC)
実際には LAC が定期的に発行しているテクニカルレポートは次の 4種類です。
・JSOC INSIGHT (発行:四半期)
JSOC で検知された攻撃などの紹介
・サイバー救急センターレポート (半期)
対応支援したインシデントの分析
・セキュリティ診断レポート (半期)
開発者・運用者向け
・CYBER GRID JOURNAL (半期)
経営者向け
サイバーセキュリティ脅威レポート (ESET)
発行:四半期
ESET は ESET でも、こちらは本国の ESET が英語で発行したレポートの日本語版です。
マルウェアの扱いが大きいですが、フィッシングや IoT セキュリティについても言及されています。
海外の企業
Monthly Most Wanted Malware (Check Point)
発行:月次
毎月 "(月名) 's Most Wanted Malware: ..." と称して前月に観測されたマルウェアファミリーの 10位までのランキングを掲載しています。
マルウェア全体だけでなく、「悪用された脆弱性」「モバイルマルウェア (3位まで)」のランキングも併せて載っています。
日本では、マイナビ (TECH+) が毎月取り上げて記事にしています。
○○ reports (Kaspersky)
発行:四半期
・APT Trends
・DDoS attacks
・IT Threat evolution
のカテゴリごとに四半期レポートを発行しています。
Q4 (第4四半期) だけ出ていなかったり、代わりに年次レポートが出ていたり、カテゴリごとに扱いはまちまちですが……
週次まとめ
以上のまとめは月次以上の比較的かっちりしたレポートが主でしたが、ここで紹介するのは毎週出る、情報のざっくりしたまとめです。
脆弱性情報の見落としがないかチェックしたり、1週間を振り返る目的で使うといいでしょう。
Weekly Report (JPCERT/CC)
Vulnerability Summary for the Week (CISA)
Weekly threat reports (UK NCSC)
Week in review (AusCERT)
Weekly Cyber Digest (Silobreaker、マキナレコード)
Threat Roundup (Cisco Talos)
Threat Source Newsletter (Cisco Talos)
※ Talos のブログは日本語版も出ているのですが、翻訳に時間が 1週間~
かかることを考えると、週次のまとめは英語版をチェックしたほうがいいと思います。