攻撃者目線で考える狙われやすい企業の特徴とは

Transcript

1. None

2. 2 自己紹介 野溝のみぞう 合同会社SecuLeap代表 デザイナー・プリセールス・サービスマネージャー・エンジニア・ マーケティング・カスタマーサクセス……など、数々のIT系職種を 転々としていたある日、 所属していた会社が 情報漏洩事件の被害に遭ってイマココ （現在の所属会社とは違います）

   CISSP/情報処理安全確保支援士 第027975号 こういう本を書きました 累計2万部突破

3. 3 今日話したいこと 攻撃者の思考で狙われやすいポイントを知る 「自分が関わるシステムだったらどうだろう？」 考えるヒントをお持ち帰りください！ 最近ランサムウェアが話題だけどなんとなく実感がない

4. 4 アジェンダ ①攻撃者の思考ってなんだろう？ ②具体的に攻撃ってどうやるの？ • どういうところを狙うの？ • 攻撃デモをごらんください

5. 5 そもそも 攻撃者の思考って なんだろう？

6. 6 サイバー攻撃は増えてるって言われるけど 引用：令和７年上半期におけるサイバー空間をめぐる脅威の情勢等について 警察庁サイバー警察局 P1 https://www.npa.go.jp/publications/statistics/cybersecurity/data/R7kami/R07_kami_cyber_jyosei.pdf 実感ありますか？ ぜい弱性探索行為等の不審なアクセス件数 令和７年上半期におけるランサムウェアの被害報告件数

7. 7 脆弱性も増えてる うち、6月までに悪用が確認されたものは 2025年1月～6月に新たに公開された脆弱性の数は？ A. 21528件 引用：https://zerothreat.ai/blog/cybersecurity-vulnerability-statistics https://www.cisa.gov/known-exploited-vulnerabilities-catalog 分類する負担が増えてる 70件

   1日133件 去年より3285件増加

8. 8 どこが狙われるのか？ ①弱いところ ②公開されているところ 今回特に取り上げたい場所

9. 9 脆弱性が放置されているところ 放置されたソフトウェア（気が付いたらEOLに…） 脆弱性診断したけど対応しきれてない（忙しくて…） うっかり設定ミス（何故か開いてるポート、権限設定の不備） ①弱いところの例（1/2）

10. 10 ①弱いところの例（2/2） 人間の心 単純なパスワードつけちゃう（一時的に…テストだから…） フィッシング（リテラシーが低い人がひっかかると思ってません？） 内部不正（誰しも闇を抱えることはある）

11. 11 ②公開されているところの例 公開サーバって把握してる？ 開発が主管じゃないところは？（コーポレートサイトなど） 棚卸ししてる？ テスト環境とかステージング環境とかは？ サーバ以外にもVPN機器とかない？ ASM（Attack Surface Management）

12. 12 インターネット上に公開されている資産を調べる方法 OSINT（Open Source Intelligence） 一般に公開されている情報（オープンソースデータ）を収集・分析して知見を得る手法 本来はASM用のツール（多分）……だけど？ アクティブスキャン パッシブスキャン（検索） 直接対象となる資産を調べる

    検索エンジンが収集したデータを調べる 検索エンジン

13. 13 じゃあ 具体的に攻撃って どうやるの？

14. 14 【攻撃者目線で考える】今回の攻撃デモシナリオ ターゲットを定める ターゲットに対して 開いてるポートと 脆弱性を確認 脆弱性を ついた攻撃 情報収集フェーズ 攻撃フェーズ

    ランサムウェアの 感染 辞書攻撃

15. 15 しかし、本当に攻撃してしまうと困ったことになる 日本国内においては法律に抵触する可能性があります •不正アクセス禁止法（通称）違反 •ウイルス作成罪（通称） •電子計算機損壊等業務妨害罪 などなど

16. 16 大事な注意事項 以外には絶対やってはいけません 特別に許可を得た環境 自分が全責任を持って管理している環境 ・ ・

17. 17 検索のみ なので今回はこうします ターゲットを定める ターゲットに対して 開いてるポートと 脆弱性を確認 脆弱性を ついた攻撃 ランサムウェアの

    感染 辞書攻撃 ローカルに構築したテスト環境で実験 パッシブスキャン アクティブスキャン

18. 18 Demonstration やっていきます 画面きりかえます

19. 19 【攻撃者目線で考える】今回の攻撃デモシナリオ ターゲットを定める ターゲットに対して 開いてるポートと 脆弱性を確認 脆弱性を ついた攻撃 情報収集フェーズ 攻撃フェーズ

    ランサムウェアの 感染 辞書攻撃

20. 20 検索エンジンの例（Shodan） ウェブサーバーだけでなくオフィス機器や情報家電、信号機や発電所の制御機器なども含めて、 インターネット接続されている機器、約5億台分の情報をデータベースに格納している。 利用者はその機器の情報を検索できる。 URL:https://www.shodan.io/

21. 21 【攻撃者目線で考える】今回の攻撃デモシナリオ ターゲットを定める ターゲットに対して 開いてるポートと 脆弱性を確認 脆弱性を ついた攻撃 情報収集フェーズ 攻撃フェーズ

    ランサムウェアの 感染 辞書攻撃

22. 22 WannaCry（WannaCrypt）の事例 • 2017年５月 世界中で大規模な被害を引き起こしたランサムウェア • ４月に脆弱性のパッチがリリースされていたので適用していれば被害は防げたはず…

23. 23 【攻撃者目線で考える】今回の攻撃デモシナリオ ターゲットを定める ターゲットに対して 開いてるポートと 脆弱性を確認 脆弱性を ついた攻撃 情報収集フェーズ 攻撃フェーズ

    ランサムウェアの 感染 辞書攻撃

24. 24 辞書攻撃 引用：７日間でハッキングをはじめる本 77ページ ふつうにテキストファイル（辞書）の 上から順番にログイン試行していく 良くあるパスワードトップ100～ 日本人の名前っぽいもの 好みで使い分けます いろんな辞書があります

    とあるサイトで漏えいしたもの

25. 25 【攻撃者目線で考える】今回の攻撃デモシナリオ ターゲットを定める ターゲットに対して 開いてるポートと 脆弱性を確認 脆弱性を ついた攻撃 情報収集フェーズ 攻撃フェーズ

    ランサムウェアの 感染 辞書攻撃

26. 26 【攻撃者目線で考える】今回の攻撃デモシナリオ ターゲットを定める ターゲットに対して 開いてるポートと 脆弱性を確認 脆弱性を ついた攻撃 情報収集フェーズ 攻撃フェーズ

    ランサムウェアの 感染 辞書攻撃

27. 27 Demonstration おわり

28. 28 まとめ

29. 29 今日のふりかえり ①攻撃者の思考ってなんだろう？ ②具体的に攻撃ってどうやるの？ • どういうところを狙うかをお話しました • 攻撃デモをごらんいただきました

30. 30 狙われやすいところ2点（再掲） ①弱いところ ②公開されているところ 脆弱性のあるところやついうっかり インターネットから触れるところ

31. 31 一番大事なこと 特効薬はない 考え続けることが、あなたの大事なシステムを 大切なお客様に届けることにつながります。 良いお年を！

32. 32 ご清聴ありがとうございました！