Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
栃木県警サイバーセキュリティ研修会2026
Search
Sponsored
·
Your Podcast. Everywhere. Effortlessly.
Share. Educate. Inspire. Entertain. You do you. We'll handle the rest.
→
Nomizo Nomizo
February 06, 2026
Education
0
310
栃木県警サイバーセキュリティ研修会2026
栃木県警察サイバー対策センター主催
栃木県警サイバーセキュリティ研修会2026の登壇資料です
2026年2月6日(金)13:30~16:00
Nomizo Nomizo
February 06, 2026
Tweet
Share
More Decks by Nomizo Nomizo
See All by Nomizo Nomizo
OSINT入門-CTF for GIRLS_SECCON14電脳会議
nomizone
1
1k
タイムマシンのつくりかた
nomizone
3
1k
特別捜査官等研修会
nomizone
0
710
高度サイバー人材育成専科資料(前半)
nomizone
0
980
高度サイバー人材育成専科(後半)
nomizone
0
950
攻撃者目線で考える狙われやすい企業の特徴とは
nomizone
0
30
TryHackMeのはじめかた
nomizone
0
1.3k
沖ハック~のみぞうさんとハッキングチャレンジ☆~
nomizone
1
600
ひよこまめ教習所_教習案内
nomizone
0
1.3k
Other Decks in Education
See All in Education
TeXで変える教育現場
doratex
1
17k
2026 Medicare 101 Presentation
robinlee
PRO
0
160
焦りと不安を、技術力に変える方法 - 新卒iOSエンジニアの失敗談と成長のフレームワーク
hypebeans
1
670
Semantic Web and Web 3.0 - Lecture 9 - Web Technologies (1019888BNR)
signer
PRO
2
3.2k
環境・社会理工学院(建築学系)大学院説明会 2026|東京科学大学(Science Tokyo)
sciencetokyo
PRO
0
310
Padlet opetuksessa
matleenalaakso
11
15k
SJRC 2526
cbtlibrary
1
220
Leveraging LLMs for student feedback in introductory data science courses (Stats Up AI)
minecr
1
230
Railsチュートリアル × 反転学習の事例紹介
yasslab
PRO
3
170k
Measuring your measuring
jonoalderson
2
720
核軍備撤廃に向けた次の大きな一歩─核兵器を先には使わないと核保有国が約束すること
hide2kano
0
270
Surviving the surfaceless web
jonoalderson
0
710
Featured
See All Featured
Discover your Explorer Soul
emna__ayadi
2
1.1k
Agile Actions for Facilitating Distributed Teams - ADO2019
mkilby
0
140
Put a Button on it: Removing Barriers to Going Fast.
kastner
60
4.2k
Why Our Code Smells
bkeepers
PRO
340
58k
The untapped power of vector embeddings
frankvandijk
2
1.6k
How to Ace a Technical Interview
jacobian
281
24k
Imperfection Machines: The Place of Print at Facebook
scottboms
269
14k
Effective software design: The role of men in debugging patriarchy in IT @ Voxxed Days AMS
baasie
0
240
Game over? The fight for quality and originality in the time of robots
wayneb77
1
130
Making the Leap to Tech Lead
cromwellryan
135
9.8k
Mozcon NYC 2025: Stop Losing SEO Traffic
samtorres
0
170
Chrome DevTools: State of the Union 2024 - Debugging React & Beyond
addyosmani
10
1.1k
Transcript
2026/2/6 13:30-16:00 野溝のみぞう @nomizooone 栃木県警察
2 自己紹介 野溝のみぞう 合同会社SecuLeap代表 デザイナー・プリセールス・サービスマネージャー・エンジニア・ マーケティング・カスタマーサクセス……など、数々のIT系職種を 転々としていたある日、 所属していた会社が 情報漏洩事件の被害に遭ってイマココ (現在の所属会社とは違います)
CISSP/情報処理安全確保支援士 第027975号 こういう本を書きました 累計2万部突破
3 今日話したいこと 攻撃者の思考で狙われやすいポイントを知る 「自分が関わるシステムだったらどうだろう?」 考えるヒントをお持ち帰りください! 最近ランサムウェアが話題だけどなんとなく実感がない
4 アジェンダ ①ハッカー視点ってなんだろう? ②具体的に攻撃ってどうやるの? • どういうところを狙うの? • 攻撃デモをごらんください
5 そもそも ハッカー思考って なんだろう?
6 インシデントは増えてるって言われるけど 引用:【セキュリティレポート】過去3年分の国内セキュリティインシデントを集計 デジタルアーツ株式会社 https://www.daj.jp/webtopics/1300/ 実感ありますか? 2025年の国内セキュリティインシデント総数は1,782件 となり、昨年度の1,344件を超え、当社集計以来過去最多 を更新しました。内訳では、昨年同様「不正アクセス」 が782件で最多となり、全体の約4割を占める結果となり
ました。
7 どこが狙われるのか? ①弱いところ ②公開されているところ 今回特に取り上げたい場所
8 脆弱性が放置されているところ 放置されたソフトウェア(気が付いたらEOLに…) 脆弱性診断したけど対応しきれてない(忙しくて…) うっかり設定ミス(何故か開いてるポート、権限設定の不備) ①弱いところの例(1/2)
9 ①弱いところの例(2/2) 人間の心 単純なパスワードつけちゃう(一時的に…テストだから…) フィッシング(リテラシーが低い人がひっかかると思ってません?) 内部不正(誰しも闇を抱えることはある)
10 ②公開されているところの例 公開サーバって把握してる? 開発が主管じゃないところは?(コーポレートサイトなど) 棚卸ししてる? テスト環境とかステージング環境とかは? サーバ以外にもVPN機器とかない? ASM(Attack Surface Management)
11 インターネット上に公開されている資産を調べる方法 OSINT(Open Source Intelligence) 一般に公開されている情報(オープンソースデータ)を収集・分析して知見を得る手法 本来はASM用のツール(多分)……だけど? アクティブスキャン パッシブスキャン(検索) 直接対象となる資産を調べる
検索エンジンが収集したデータを調べる 検索エンジン
12 じゃあ 具体的に攻撃って どうやるの?
13 今回の攻撃デモシナリオ ターゲットを定める ターゲットに対して 開いてるポートと 脆弱性を確認 脆弱性を ついた攻撃 情報収集フェーズ 攻撃フェーズ
ランサムウェアの 感染 辞書攻撃
14 しかし、本当に攻撃してしまうと困ったことになる 日本国内においては法律に抵触する可能性があります •不正アクセス禁止法(通称)違反 •ウイルス作成罪(通称) •電子計算機損壊等業務妨害罪 などなど
15 大事な注意事項 以外には絶対やってはいけません 特別に許可を得た環境 自分が全責任を持って管理している環境 ・ ・
16 検索のみ なので今回はこうします ターゲットを定める ターゲットに対して 開いてるポートと 脆弱性を確認 脆弱性を ついた攻撃 ランサムウェアの
感染 辞書攻撃 ローカルに構築したテスト環境で実験 パッシブスキャン アクティブスキャン
17 Demonstration やっていきます 画面きりかえます
18 今回の攻撃デモシナリオ ターゲットを定める ターゲットに対して 開いてるポートと 脆弱性を確認 脆弱性を ついた攻撃 情報収集フェーズ 攻撃フェーズ
ランサムウェアの 感染 辞書攻撃
19 検索エンジンの例(Shodan) ウェブサーバーだけでなくオフィス機器や情報家電、信号機や発電所の制御機器なども含めて、 インターネット接続されている機器、約5億台分の情報をデータベースに格納している。 利用者はその機器の情報を検索できる。 URL:https://www.shodan.io/
20 今回の攻撃デモシナリオ ターゲットを定める ターゲットに対して 開いてるポートと 脆弱性を確認 脆弱性を ついた攻撃 情報収集フェーズ 攻撃フェーズ
ランサムウェアの 感染 辞書攻撃
21 WannaCry(WannaCrypt)の事例 • 2017年5月 世界中で大規模な被害を引き起こしたランサムウェア • 4月に脆弱性のパッチがリリースされていたので適用していれば被害は防げたはず…
22 今回の攻撃デモシナリオ ターゲットを定める ターゲットに対して 開いてるポートと 脆弱性を確認 脆弱性を ついた攻撃 情報収集フェーズ 攻撃フェーズ
ランサムウェアの 感染 辞書攻撃
23 辞書攻撃 引用:7日間でハッキングをはじめる本 77ページ ふつうにテキストファイル(辞書)の 上から順番にログイン試行していく 良くあるパスワードトップ100~ 日本人の名前っぽいもの 好みで使い分けます いろんな辞書があります
とあるサイトで漏えいしたもの
24 今回の攻撃デモシナリオ ターゲットを定める ターゲットに対して 開いてるポートと 脆弱性を確認 脆弱性を ついた攻撃 情報収集フェーズ 攻撃フェーズ
ランサムウェアの 感染 辞書攻撃
25 今回の攻撃デモシナリオ ターゲットを定める ターゲットに対して 開いてるポートと 脆弱性を確認 脆弱性を ついた攻撃 情報収集フェーズ 攻撃フェーズ
ランサムウェアの 感染 辞書攻撃
26 Demonstration おわり
27 まとめ
28 今日のふりかえり ①攻撃者の思考ってなんだろう? ②具体的に攻撃ってどうやるの? • どういうところを狙うかをお話しました • 攻撃デモをごらんいただきました
29 狙われやすいところ2点(再掲) ①弱いところ ②公開されているところ 脆弱性のあるところやついうっかり インターネットから触れるところ
30 一番大事なこと 特効薬はない 考え続けることが、あなたの大事なシステムを 大切なお客様に届けることにつながります。
31 ご清聴ありがとうございました!
nomizone
doratex
robinlee
hypebeans
signer
sciencetokyo
matleenalaakso
cbtlibrary
minecr
yasslab
jonoalderson
hide2kano
emna__ayadi
mkilby
kastner
bkeepers
frankvandijk
jacobian
scottboms
baasie
wayneb77
cromwellryan
samtorres
addyosmani
