Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
栃木県警サイバーセキュリティ研修会2026
Search
Nomizo Nomizo
February 06, 2026
Education
500
1
Share
Embed
Copy iframe code
Copy JS code
Copy link
Start on current slide
栃木県警サイバーセキュリティ研修会2026
栃木県警察サイバー対策センター主催
栃木県警サイバーセキュリティ研修会2026の登壇資料です
2026年2月6日(金)13:30~16:00
Nomizo Nomizo
February 06, 2026
More Decks by Nomizo Nomizo
See All by Nomizo Nomizo
攻撃者がいなくてもAIエージェントはインシデントを起こす
nomizone
0
210
シンデレラなんかになりたくない!ガラスの靴が割れた時代にどう歩く?
nomizone
0
1.2k
P3NFEST 2026 Spring ハンズオン「ハッキング・ラブ!はじめてのハッキングをやってみよう」資料
nomizone
0
530
OSINT入門-CTF for GIRLS_SECCON14電脳会議
nomizone
2
1.6k
タイムマシンのつくりかた
nomizone
4
1.3k
特別捜査官等研修会
nomizone
0
830
高度サイバー人材育成専科資料(前半)
nomizone
0
1.2k
高度サイバー人材育成専科(後半)
nomizone
0
1.2k
攻撃者目線で考える狙われやすい企業の特徴とは
nomizone
0
63
Other Decks in Education
See All in Education
Πλουτοκρατία: Η Τυραννία του Μαμμωνά και η Μεταανθρώπινη Δουλεία
amethyst1
0
270
Laura Wilson - The Quarterly PR Pivot
laurawilsonbseo1
1
370
From Days to Minutes: How We Taught an AI to Onboard 50+ Tenants on our AI Features
mfcabrera
0
200
면접관 눈에 띄는 데이터 분석 포트폴리오 만드는 법 | 2026년 5월 세미나
datarian
0
880
勝手にCULTIBASE で広げよう、探究の輪! - CULTIVAL 2026
hiroc_sk
1
230
Lectura 2 (PIT : Python Basico)
robintux
0
370
Curso de Consagração ao Sagrado Coração de Jesus - O Sagrado Coração na História (Aula 01)
cm_manaus
0
240
2026年度春学期 統計学 第8回(オンデマンド配信回) 演習(1)・問題に対する答案の書き方 (2026. 5. 21)
akiraasano
PRO
0
110
「機械学習と因果推論」入門 ③ 漸近効率な推定量と二重機械学習
masakat0
0
730
0415
cbtlibrary
0
230
焦燥を平穏に変えるエンジニアのための哲学
ichimichi
7
5.3k
Course Review - Lecture 13 - Next Generation User Interfaces (4018166FNR)
signer
PRO
0
2.3k
Featured
See All Featured
So, you think you're a good person
axbom
PRO
2
2.1k
A Guide to Academic Writing Using Generative AI - A Workshop
ks91
PRO
1
350
Information Architects: The Missing Link in Design Systems
soysaucechin
0
1k
Leveraging Curiosity to Care for An Aging Population
cassininazir
1
310
The MySQL Ecosystem @ GitHub 2015
samlambert
251
13k
How to train your dragon (web standard)
notwaldorf
97
6.7k
Keith and Marios Guide to Fast Websites
keithpitt
413
23k
The Illustrated Guide to Node.js - THAT Conference 2024
reverentgeek
1
410
Context Engineering - Making Every Token Count
addyosmani
9
1k
Why Your Marketing Sucks and What You Can Do About It - Sophie Logan
marketingsoph
0
190
Everyday Curiosity
cassininazir
0
250
Building a A Zero-Code AI SEO Workflow
portentint
PRO
0
630
Transcript
2026/2/6 13:30-16:00 野溝のみぞう @nomizooone 栃木県警察
2 自己紹介 野溝のみぞう 合同会社SecuLeap代表 デザイナー・プリセールス・サービスマネージャー・エンジニア・ マーケティング・カスタマーサクセス……など、数々のIT系職種を 転々としていたある日、 所属していた会社が 情報漏洩事件の被害に遭ってイマココ (現在の所属会社とは違います)
CISSP/情報処理安全確保支援士 第027975号 こういう本を書きました 累計2万部突破
3 今日話したいこと 攻撃者の思考で狙われやすいポイントを知る 「自分が関わるシステムだったらどうだろう?」 考えるヒントをお持ち帰りください! 最近ランサムウェアが話題だけどなんとなく実感がない
4 アジェンダ ①ハッカー視点ってなんだろう? ②具体的に攻撃ってどうやるの? • どういうところを狙うの? • 攻撃デモをごらんください
5 そもそも ハッカー思考って なんだろう?
6 インシデントは増えてるって言われるけど 引用:【セキュリティレポート】過去3年分の国内セキュリティインシデントを集計 デジタルアーツ株式会社 https://www.daj.jp/webtopics/1300/ 実感ありますか? 2025年の国内セキュリティインシデント総数は1,782件 となり、昨年度の1,344件を超え、当社集計以来過去最多 を更新しました。内訳では、昨年同様「不正アクセス」 が782件で最多となり、全体の約4割を占める結果となり
ました。
7 どこが狙われるのか? ①弱いところ ②公開されているところ 今回特に取り上げたい場所
8 脆弱性が放置されているところ 放置されたソフトウェア(気が付いたらEOLに…) 脆弱性診断したけど対応しきれてない(忙しくて…) うっかり設定ミス(何故か開いてるポート、権限設定の不備) ①弱いところの例(1/2)
9 ①弱いところの例(2/2) 人間の心 単純なパスワードつけちゃう(一時的に…テストだから…) フィッシング(リテラシーが低い人がひっかかると思ってません?) 内部不正(誰しも闇を抱えることはある)
10 ②公開されているところの例 公開サーバって把握してる? 開発が主管じゃないところは?(コーポレートサイトなど) 棚卸ししてる? テスト環境とかステージング環境とかは? サーバ以外にもVPN機器とかない? ASM(Attack Surface Management)
11 インターネット上に公開されている資産を調べる方法 OSINT(Open Source Intelligence) 一般に公開されている情報(オープンソースデータ)を収集・分析して知見を得る手法 本来はASM用のツール(多分)……だけど? アクティブスキャン パッシブスキャン(検索) 直接対象となる資産を調べる
検索エンジンが収集したデータを調べる 検索エンジン
12 じゃあ 具体的に攻撃って どうやるの?
13 今回の攻撃デモシナリオ ターゲットを定める ターゲットに対して 開いてるポートと 脆弱性を確認 脆弱性を ついた攻撃 情報収集フェーズ 攻撃フェーズ
ランサムウェアの 感染 辞書攻撃
14 しかし、本当に攻撃してしまうと困ったことになる 日本国内においては法律に抵触する可能性があります •不正アクセス禁止法(通称)違反 •ウイルス作成罪(通称) •電子計算機損壊等業務妨害罪 などなど
15 大事な注意事項 以外には絶対やってはいけません 特別に許可を得た環境 自分が全責任を持って管理している環境 ・ ・
16 検索のみ なので今回はこうします ターゲットを定める ターゲットに対して 開いてるポートと 脆弱性を確認 脆弱性を ついた攻撃 ランサムウェアの
感染 辞書攻撃 ローカルに構築したテスト環境で実験 パッシブスキャン アクティブスキャン
17 Demonstration やっていきます 画面きりかえます
18 今回の攻撃デモシナリオ ターゲットを定める ターゲットに対して 開いてるポートと 脆弱性を確認 脆弱性を ついた攻撃 情報収集フェーズ 攻撃フェーズ
ランサムウェアの 感染 辞書攻撃
19 検索エンジンの例(Shodan) ウェブサーバーだけでなくオフィス機器や情報家電、信号機や発電所の制御機器なども含めて、 インターネット接続されている機器、約5億台分の情報をデータベースに格納している。 利用者はその機器の情報を検索できる。 URL:https://www.shodan.io/
20 今回の攻撃デモシナリオ ターゲットを定める ターゲットに対して 開いてるポートと 脆弱性を確認 脆弱性を ついた攻撃 情報収集フェーズ 攻撃フェーズ
ランサムウェアの 感染 辞書攻撃
21 WannaCry(WannaCrypt)の事例 • 2017年5月 世界中で大規模な被害を引き起こしたランサムウェア • 4月に脆弱性のパッチがリリースされていたので適用していれば被害は防げたはず…
22 今回の攻撃デモシナリオ ターゲットを定める ターゲットに対して 開いてるポートと 脆弱性を確認 脆弱性を ついた攻撃 情報収集フェーズ 攻撃フェーズ
ランサムウェアの 感染 辞書攻撃
23 辞書攻撃 引用:7日間でハッキングをはじめる本 77ページ ふつうにテキストファイル(辞書)の 上から順番にログイン試行していく 良くあるパスワードトップ100~ 日本人の名前っぽいもの 好みで使い分けます いろんな辞書があります
とあるサイトで漏えいしたもの
24 今回の攻撃デモシナリオ ターゲットを定める ターゲットに対して 開いてるポートと 脆弱性を確認 脆弱性を ついた攻撃 情報収集フェーズ 攻撃フェーズ
ランサムウェアの 感染 辞書攻撃
25 今回の攻撃デモシナリオ ターゲットを定める ターゲットに対して 開いてるポートと 脆弱性を確認 脆弱性を ついた攻撃 情報収集フェーズ 攻撃フェーズ
ランサムウェアの 感染 辞書攻撃
26 Demonstration おわり
27 まとめ
28 今日のふりかえり ①攻撃者の思考ってなんだろう? ②具体的に攻撃ってどうやるの? • どういうところを狙うかをお話しました • 攻撃デモをごらんいただきました
29 狙われやすいところ2点(再掲) ①弱いところ ②公開されているところ 脆弱性のあるところやついうっかり インターネットから触れるところ
30 一番大事なこと 特効薬はない 考え続けることが、あなたの大事なシステムを 大切なお客様に届けることにつながります。
31 ご清聴ありがとうございました!