Slide 1

Slide 1 text

Α͑͜ 今年こそ知るべき セキュリティー入門 @yokoe24 2025/02/24 セクションDay

Slide 2

Slide 2 text

ࣗݾ঺հ よこえ • X: @yokoe24 • 株式会社ラブグラフCTO • でも、セキュリティは 専門外なので誤りがあったら すみません…… • セキュリティはかなり 専門性の高い領域なのです

Slide 3

Slide 3 text

ίϯςϯπ 1. 意識しておく前提 2. 2024年のセキュリティ関連事例 3. クイズ! ランサムウェア! 4. 事件増加の背景 5. 私たちはどうすればいいの? 6. まとめ

Slide 4

Slide 4 text

̍ 意識しておく前提

Slide 5

Slide 5 text

৘ใ࿙ӮΛ ׬શʹ๷͙ͷ͸೉͍͠

Slide 6

Slide 6 text

৘ใ࿙ӮͷݪҼ • JIPDEC(プライバシーマーク推進セン ター)の調査によれば、誤配達・誤送 信・紛失などで 75%の割合を 占めている • 人間の人的ミス がほとんど

Slide 7

Slide 7 text

৘ใ࿙ӮͷݪҼ • 先ほどの調査は報告ベースなので、 不正アクセスやウイルスを原因とする 計13.4%は氷山の一角で、 実際はより多くの、システムによる 情報漏洩が起きている可能性はある

Slide 8

Slide 8 text

ͳͥ๷͛ͳ͍ͷ͔ • 人的ミスを100%防ぐというのは なかなかに難しい。誤った相手に メールや手紙を送る可能性を ゼロにすることはできない • サイバー攻撃も、あまりにも 攻撃側が有利すぎて、 侵入をゼロにし続けることは難しい

Slide 9

Slide 9 text

߈ܸଆ͕༗ར • 攻撃者は成功するまで攻撃できる • なぜなら、失敗した(侵入できなかっ た)攻撃を誰がしてきたのか、 わざわざ調べる人はいないから • 攻撃者は成功するまでノーリスク、 しかし成功したら莫大なリターンと なるので、攻撃者は増える一方

Slide 10

Slide 10 text

Πϝʔδ

Slide 11

Slide 11 text

ϥϯαϜ΢ΣΞ͸ڴҖ • 個人情報というのは今まで現金化が 難しく、暗号資産やカード情報などを 狙うほうが魅力的だったが、 ランサムウェアの登場により、 個人情報を武器に多額のお金を 企業から手に入れることが可能に • よりランサムウェア被害は増えていく

Slide 12

Slide 12 text

͜ΕΛ౿·্͑ͨͰ 2024೥ͷηΩϡϦςΟࣄྫΛ ݟͯΈ·͠ΐ͏ʂ

Slide 13

Slide 13 text

̎ 2024年のセキュリティ事例

Slide 14

Slide 14 text

DMMϏοτίΠϯ • 2024/5/31、約482億円のビットコイン (4,502.9BTC)が流出したことを検知 • コインチェックの2018年に発生した約 580億円のNEMの流出に次ぐ規模 • 北朝鮮を背景とするサイバー攻撃グ ループ「TraderTraitor」によるものと 特定される(情報元) αΠόʔ߈ܸ

Slide 15

Slide 15 text

DMMϏοτίΠϯ • 攻撃手法は第三者の名前や顔写真を悪 用し、企業幹部を装うなどして、SNSで 標的対象者にメッセージを送信 • 関係性を深めたのちに、アプリケー ションをインストールさせたり、特定 URLにアクセスさせるなどで感染 • コインチェックの際にも見られた手口 αΠόʔ߈ܸ

Slide 16

Slide 16 text

KADOKAWA(υϫϯΰ) • 2024/6/8、KADOKAWAグループ内の複数 のサーバーにアクセスできないことが 判明 • PC版ニコニコ動画は8/5にサービス再 開。10/10にすべて復旧 • ハッカー集団「BlackSuit」が6/27に犯 行声明を発表している(情報元) αΠόʔ ߈ܸ

Slide 17

Slide 17 text

KADOKAWA(υϫϯΰ) • 侵入経路は公開されていないが、 「BlackSuit」の主な侵入手法である 「不正リンクやマクロを含むメール」 ではないかと推察できる(参考) • ランサムウェアの身代金に応じ4.7億円 支払ったとする報道も • この年の特別損失は36億円(情報元) αΠόʔ ߈ܸ

Slide 18

Slide 18 text

Πητʔ • 2024/5、社内の一部のサーバーやパソ コンのファイルが暗号化されるランサ ムウェアの攻撃を受けたと発表 • ハッカー集団「8Base」が犯行声明を 発表した(情報元) • 侵入経路はフィッシングメールと 推察されている αΠόʔ߈ܸ

Slide 19

Slide 19 text

Πητʔ • イセトーは全国の自治体や銀行、保険 会社から情報処理・情報管理・印刷な どの業務を請け負う中小企業。結果と して150万人以上の個人情報が漏洩 • 委託元は豊田市、京都商工会議所、三 菱UFJ信託銀行、日本生命保険など • 委託先管理の重大さを示す事件 αΠόʔ߈ܸ

Slide 20

Slide 20 text

ੵਫϋ΢ε • 2024/5/24、顧客のメールアドレス・ロ グインID・パスワード約11万人分が流 出したことを報告(情報元) • 運用終了してから10年経つページの脆 弱性をSQLインジェクションで突かれた • 同社は2023/11にも不正アクセスによる 顧客情報の漏洩を発表 ਓతϛεˍ αΠόʔ߈ܸ

Slide 21

Slide 21 text

ϚΧϑΟʔ • 2024年12月末、blogs.mcafee.jp が アダルトサイトになっていると話題に • マカフィーが mcafee.jp ドメインを 2023年に手放したことが原因 • ドメイン乗っ取りは近年大きな問題 に。フィッシングサイトに使われる 危険性が高い ਓతϛε

Slide 22

Slide 22 text

Brave Group • 2024/6/25、Googleドライブ上の Googleフォームの権限設定の問題で VTuberオーディション応募者の本名や 電話番号などが見られる状態に • 同様にGoogleドライブの権限設定に起 因する情報漏洩を、2023/12、開発会社 であるエイチームが起こしている ਓతϛε

Slide 23

Slide 23 text

େ௩঎ձ • 2024/4/19、取引先の個人名2,687名分 が含まれるファイルを、社外の1名に 誤ってメールで送信していたことを発 表(情報元) • メールの送信を2/14におこない、2/19 に判明したものの、4/19になっても誤 送信先との連絡は取れていない ਓతϛε

Slide 24

Slide 24 text

̏ クイズ!

Slide 25

Slide 25 text

͋ͳͨ͸ࢧ෷͏ʁ 1 • KADOKAWA(ドワンゴ)の例で、 ランサムウェアの身代金に応じ4.7億円 支払ったとする報道もありました • あなたが経営者だとして、 止まっているニコニコ動画のシステム 復旧のためにランサムウェアへの 支払いはおこないますか?

Slide 26

Slide 26 text

͋ͳͨ͸ࢧ෷͏ʁ 2 • あなたが病院経営者だとして、 電子カルテの情報がランサムウェアに よって見られなくなりました。 • ランサムウェアには「お金を払えば データを戻す」と書いてあります • 人の命が関わるかもしれませんが、 それでも身代金を支払いませんか?

Slide 27

Slide 27 text

͋ͳͨͳΓͷ౴͑Λ νϟοτཝʹ ͓ॻ͖͍ͩ͘͞……ʂ

Slide 28

Slide 28 text

ղ౴ • 私は本を読むまで「支払う」派だった • 本を読むと「支払わない」が正解 • なぜなら、「あの会社は身代金を要求 したら払った」とダークウェブ上で 共有されてしまい、さらに別のグルー プから攻撃されるリスクが高まるため • 詐欺師のカモリストに載るようなもの

Slide 29

Slide 29 text

ղ౴ • 他の理由として、海外テロ組織の資金 提供とみなされ、(特に海外企業と の)取引停止を及ぼす可能性がある • ランサムウェアの被害にあっても 事業継続ができるよう、データの バックアップを特殊な場所に 保管しておくことが非常に大事

Slide 30

Slide 30 text

ͱ͸͍͑…… • あなたがイセトーのように大手企業か ら委託を受けていてランサムウェアの 被害にあったとしよう • ランサムウェアにお金を払えば、 個人情報漏洩を公開せずに済むかも、 セキュリティ対策はそのあとで…… という誘惑に逆らえるだろうか?

Slide 31

Slide 31 text

ͳΓ͖Δ͜ͱ͕େ੾ • 委託先の個人情報漏洩の報告が 適切におこなわれるかや、 自社の社員が報告してくれるかは、 このような誘惑を想定することが大切 • それを踏まえての制度設計をしないと 骨抜きの実態になってしまい、 発見が遅れ、信用への影響は大きく

Slide 32

Slide 32 text

̐ 事件増加の背景

Slide 33

Slide 33 text

ࣄ݅૿Ճͷഎܠ • 2024年、個人情報漏洩の事件を ニュースで見ることが増えたように感 じたのではないでしょうか? • それは「個人情報保護法の改正」と 「犯罪エコシステムの成熟化」が 原因かもしれません

Slide 34

Slide 34 text

ݸਓ৘ใอޢ๏ͷվਖ਼ • 2022年4月から改正。これにより、 個人データの漏洩に関して 特定の条件のいずれかの際に 「個人情報保護委員会」および 「漏洩した本人」への報告が義務化さ れた(それ以前は努力義務だった) • 本人への通知により世間に知られる

Slide 35

Slide 35 text

ಛఆͷ৚݅ͷྫ • 1000人以上の個人データの漏洩の発生 や、そのおそれ • 1件以上の要配慮個人情報(病歴・犯罪 履歴・薬歴など)の漏洩の発生や、そ のおそれ • 1件以上の財産的被害が起こり得る情報 (クレカ情報など)の漏洩の発生や、 そのおそれ

Slide 36

Slide 36 text

൜ࡑΤίγεςϜ • 首謀者 • ターゲットの会社の情報を売る者 • 攻撃ツールを提供する者 • 暗号資産による資金洗浄をおこなう者 • 攻撃の実行者 • などに分かれる

Slide 37

Slide 37 text

൜ࡑΤίγεςϜ • 暗号資産(仮想通貨)によって 足のつかない資金洗浄が 昔よりもおこないやすくなっている • 翻訳ファイルやAIの発展によって 違和感のないフィッシングメールの 作成も容易になっている

Slide 38

Slide 38 text

̑ どうすればいいか?

Slide 39

Slide 39 text

ਓతϛεʹؔͯ͠ • 「データを持たせる量を最小限に」が ポイント • 必要なデータの種類・数を絞って 個人個人や委託先にデータを渡す • 情報漏洩を報告しても罰せられない 社内風土も大切(個人でなく仕組みが 悪いとして改善に向けた措置をする)

Slide 40

Slide 40 text

ҕୗઌͷऔΓѻ͍ • 漏洩時の「個人情報保護委員会」及び 「漏洩した本人」への報告は義務だが 委託元への報告義務は法的にはない • 契約書に報告義務を盛り込んでおく • また、契約前には委託先の個人情報の 取り扱いに関して質問状を送り 把握しておく(例:JETROのシート)

Slide 41

Slide 41 text

αΠόʔ߈ܸʹؔͯ͠ • ポイントは2つ、 「侵入されないための対策」と 「侵入されてからの対策」の2つ • 特に侵入されてからの対策を 事前に考えておくことが 重要であり、かつ難易度の高い話

Slide 42

Slide 42 text

৵ೖ͞Εͳ͍ͨΊʹ • 基礎的なセキュリティ対策 • 先ほどの図に出てきた「とりあえず当 たれ〜!」で矢を放つ人への対策 • アンチウイルスソフトの導入や、 不要なメールを開かない訓練、 Google拡張機能のインストールを 承認制にするなど様々考えられる

Slide 43

Slide 43 text

Πϝʔδ

Slide 44

Slide 44 text

৵ೖ͞Ε͔ͯΒͷରࡦ • 狙われた場合に侵入されないことは 難しく、侵入された場合に どのように早く検知するかが大事 • また、ランサムウェアの被害に 遭うことを想定して、データの バックアップを権限の厳しい場所に保 管し、事業継続できる準備なども大事

Slide 45

Slide 45 text

ͲͷΑ͏ʹૣ͘ݕ஌͢Δ͔ • 侵入者はマルウェアに感染させたPCを 足がかりに、他のPCへの感染拡大や 重要なサーバーへのアクセスまでを 順々に進めていく • マルウェアと攻撃者との通信が その間に発生するので、それを検出す る役目をCSIRTが担うことがポイント

Slide 46

Slide 46 text

CSIRTʢγʔαʔτʣ • セキュリティ情報を専門に扱うチーム • コンピューターの不可解な操作を検知 するEDRソフトのアラートを受け取り、 それがマルウェアによるものか判定 • マルウェアである場合は、原因の起点 のPCや発生時期などを調査するため 各所に指示をおこなう

Slide 47

Slide 47 text

̒ まとめ

Slide 48

Slide 48 text

·ͱΊ • 情報漏洩を防ぐのは完全に難しい • 人的ミスは起こるので、人間が持つ データの量はなるべく最小に留める • サイバー攻撃に関しては水際対策が 大事だが、「侵入されることが前提」 と考えた上での準備をおこなうことが 今の時代では求められている

Slide 49

Slide 49 text

ࢀߟॻ੶ 『サイバーセキュリティ対応の企業実務』 (編著:杉山一郎・寺門峻佑) https:// www.amazon.co.jp/dp/ 4502472816

Slide 50

Slide 50 text

ؔ࿈ॻ੶ʢ·ͩಡΜͰͳ͍ʣ 『経営層のためのサイバーセキュリティ実践 入門~生成AI、DX、コネクティビティ時代を 勝ち抜くための必須スキル~』 (著:淵上真一) https:// www.amazon.co.jp/dp/ 4833425203