Link
Embed
Share
Beginning
This slide
Copy link URL
Copy link URL
Copy iframe embed code
Copy iframe embed code
Copy javascript embed code
Copy javascript embed code
Share
Tweet
Share
Tweet
Slide 1
Slide 1 text
Α͑͜ 今年こそ知るべき セキュリティー入門 @yokoe24 2025/02/24 セクションDay
Slide 2
Slide 2 text
ࣗݾհ よこえ • X: @yokoe24 • 株式会社ラブグラフCTO • でも、セキュリティは 専門外なので誤りがあったら すみません…… • セキュリティはかなり 専門性の高い領域なのです
Slide 3
Slide 3 text
ίϯςϯπ 1. 意識しておく前提 2. 2024年のセキュリティ関連事例 3. クイズ! ランサムウェア! 4. 事件増加の背景 5. 私たちはどうすればいいの? 6. まとめ
Slide 4
Slide 4 text
̍ 意識しておく前提
Slide 5
Slide 5 text
ใ࿙ӮΛ શʹ͙ͷ͍͠
Slide 6
Slide 6 text
ใ࿙ӮͷݪҼ • JIPDEC(プライバシーマーク推進セン ター)の調査によれば、誤配達・誤送 信・紛失などで 75%の割合を 占めている • 人間の人的ミス がほとんど
Slide 7
Slide 7 text
ใ࿙ӮͷݪҼ • 先ほどの調査は報告ベースなので、 不正アクセスやウイルスを原因とする 計13.4%は氷山の一角で、 実際はより多くの、システムによる 情報漏洩が起きている可能性はある
Slide 8
Slide 8 text
ͳͥ͛ͳ͍ͷ͔ • 人的ミスを100%防ぐというのは なかなかに難しい。誤った相手に メールや手紙を送る可能性を ゼロにすることはできない • サイバー攻撃も、あまりにも 攻撃側が有利すぎて、 侵入をゼロにし続けることは難しい
Slide 9
Slide 9 text
߈ܸଆ͕༗ར • 攻撃者は成功するまで攻撃できる • なぜなら、失敗した(侵入できなかっ た)攻撃を誰がしてきたのか、 わざわざ調べる人はいないから • 攻撃者は成功するまでノーリスク、 しかし成功したら莫大なリターンと なるので、攻撃者は増える一方
Slide 10
Slide 10 text
Πϝʔδ
Slide 11
Slide 11 text
ϥϯαϜΣΞڴҖ • 個人情報というのは今まで現金化が 難しく、暗号資産やカード情報などを 狙うほうが魅力的だったが、 ランサムウェアの登場により、 個人情報を武器に多額のお金を 企業から手に入れることが可能に • よりランサムウェア被害は増えていく
Slide 12
Slide 12 text
͜ΕΛ౿·্͑ͨͰ 2024ͷηΩϡϦςΟࣄྫΛ ݟͯΈ·͠ΐ͏ʂ
Slide 13
Slide 13 text
̎ 2024年のセキュリティ事例
Slide 14
Slide 14 text
DMMϏοτίΠϯ • 2024/5/31、約482億円のビットコイン (4,502.9BTC)が流出したことを検知 • コインチェックの2018年に発生した約 580億円のNEMの流出に次ぐ規模 • 北朝鮮を背景とするサイバー攻撃グ ループ「TraderTraitor」によるものと 特定される(情報元) αΠόʔ߈ܸ
Slide 15
Slide 15 text
DMMϏοτίΠϯ • 攻撃手法は第三者の名前や顔写真を悪 用し、企業幹部を装うなどして、SNSで 標的対象者にメッセージを送信 • 関係性を深めたのちに、アプリケー ションをインストールさせたり、特定 URLにアクセスさせるなどで感染 • コインチェックの際にも見られた手口 αΠόʔ߈ܸ
Slide 16
Slide 16 text
KADOKAWA(υϫϯΰ) • 2024/6/8、KADOKAWAグループ内の複数 のサーバーにアクセスできないことが 判明 • PC版ニコニコ動画は8/5にサービス再 開。10/10にすべて復旧 • ハッカー集団「BlackSuit」が6/27に犯 行声明を発表している(情報元) αΠόʔ ߈ܸ
Slide 17
Slide 17 text
KADOKAWA(υϫϯΰ) • 侵入経路は公開されていないが、 「BlackSuit」の主な侵入手法である 「不正リンクやマクロを含むメール」 ではないかと推察できる(参考) • ランサムウェアの身代金に応じ4.7億円 支払ったとする報道も • この年の特別損失は36億円(情報元) αΠόʔ ߈ܸ
Slide 18
Slide 18 text
Πητʔ • 2024/5、社内の一部のサーバーやパソ コンのファイルが暗号化されるランサ ムウェアの攻撃を受けたと発表 • ハッカー集団「8Base」が犯行声明を 発表した(情報元) • 侵入経路はフィッシングメールと 推察されている αΠόʔ߈ܸ
Slide 19
Slide 19 text
Πητʔ • イセトーは全国の自治体や銀行、保険 会社から情報処理・情報管理・印刷な どの業務を請け負う中小企業。結果と して150万人以上の個人情報が漏洩 • 委託元は豊田市、京都商工会議所、三 菱UFJ信託銀行、日本生命保険など • 委託先管理の重大さを示す事件 αΠόʔ߈ܸ
Slide 20
Slide 20 text
ੵਫϋε • 2024/5/24、顧客のメールアドレス・ロ グインID・パスワード約11万人分が流 出したことを報告(情報元) • 運用終了してから10年経つページの脆 弱性をSQLインジェクションで突かれた • 同社は2023/11にも不正アクセスによる 顧客情報の漏洩を発表 ਓతϛεˍ αΠόʔ߈ܸ
Slide 21
Slide 21 text
ϚΧϑΟʔ • 2024年12月末、blogs.mcafee.jp が アダルトサイトになっていると話題に • マカフィーが mcafee.jp ドメインを 2023年に手放したことが原因 • ドメイン乗っ取りは近年大きな問題 に。フィッシングサイトに使われる 危険性が高い ਓతϛε
Slide 22
Slide 22 text
Brave Group • 2024/6/25、Googleドライブ上の Googleフォームの権限設定の問題で VTuberオーディション応募者の本名や 電話番号などが見られる状態に • 同様にGoogleドライブの権限設定に起 因する情報漏洩を、2023/12、開発会社 であるエイチームが起こしている ਓతϛε
Slide 23
Slide 23 text
େ௩ձ • 2024/4/19、取引先の個人名2,687名分 が含まれるファイルを、社外の1名に 誤ってメールで送信していたことを発 表(情報元) • メールの送信を2/14におこない、2/19 に判明したものの、4/19になっても誤 送信先との連絡は取れていない ਓతϛε
Slide 24
Slide 24 text
̏ クイズ!
Slide 25
Slide 25 text
͋ͳͨࢧ͏ʁ 1 • KADOKAWA(ドワンゴ)の例で、 ランサムウェアの身代金に応じ4.7億円 支払ったとする報道もありました • あなたが経営者だとして、 止まっているニコニコ動画のシステム 復旧のためにランサムウェアへの 支払いはおこないますか?
Slide 26
Slide 26 text
͋ͳͨࢧ͏ʁ 2 • あなたが病院経営者だとして、 電子カルテの情報がランサムウェアに よって見られなくなりました。 • ランサムウェアには「お金を払えば データを戻す」と書いてあります • 人の命が関わるかもしれませんが、 それでも身代金を支払いませんか?
Slide 27
Slide 27 text
͋ͳͨͳΓͷ͑Λ νϟοτཝʹ ͓ॻ͖͍ͩ͘͞……ʂ
Slide 28
Slide 28 text
ղ • 私は本を読むまで「支払う」派だった • 本を読むと「支払わない」が正解 • なぜなら、「あの会社は身代金を要求 したら払った」とダークウェブ上で 共有されてしまい、さらに別のグルー プから攻撃されるリスクが高まるため • 詐欺師のカモリストに載るようなもの
Slide 29
Slide 29 text
ղ • 他の理由として、海外テロ組織の資金 提供とみなされ、(特に海外企業と の)取引停止を及ぼす可能性がある • ランサムウェアの被害にあっても 事業継続ができるよう、データの バックアップを特殊な場所に 保管しておくことが非常に大事
Slide 30
Slide 30 text
ͱ͍͑…… • あなたがイセトーのように大手企業か ら委託を受けていてランサムウェアの 被害にあったとしよう • ランサムウェアにお金を払えば、 個人情報漏洩を公開せずに済むかも、 セキュリティ対策はそのあとで…… という誘惑に逆らえるだろうか?
Slide 31
Slide 31 text
ͳΓ͖Δ͜ͱ͕େ • 委託先の個人情報漏洩の報告が 適切におこなわれるかや、 自社の社員が報告してくれるかは、 このような誘惑を想定することが大切 • それを踏まえての制度設計をしないと 骨抜きの実態になってしまい、 発見が遅れ、信用への影響は大きく
Slide 32
Slide 32 text
̐ 事件増加の背景
Slide 33
Slide 33 text
ࣄ݅૿Ճͷഎܠ • 2024年、個人情報漏洩の事件を ニュースで見ることが増えたように感 じたのではないでしょうか? • それは「個人情報保護法の改正」と 「犯罪エコシステムの成熟化」が 原因かもしれません
Slide 34
Slide 34 text
ݸਓใอޢ๏ͷվਖ਼ • 2022年4月から改正。これにより、 個人データの漏洩に関して 特定の条件のいずれかの際に 「個人情報保護委員会」および 「漏洩した本人」への報告が義務化さ れた(それ以前は努力義務だった) • 本人への通知により世間に知られる
Slide 35
Slide 35 text
ಛఆͷ݅ͷྫ • 1000人以上の個人データの漏洩の発生 や、そのおそれ • 1件以上の要配慮個人情報(病歴・犯罪 履歴・薬歴など)の漏洩の発生や、そ のおそれ • 1件以上の財産的被害が起こり得る情報 (クレカ情報など)の漏洩の発生や、 そのおそれ
Slide 36
Slide 36 text
൜ࡑΤίγεςϜ • 首謀者 • ターゲットの会社の情報を売る者 • 攻撃ツールを提供する者 • 暗号資産による資金洗浄をおこなう者 • 攻撃の実行者 • などに分かれる
Slide 37
Slide 37 text
൜ࡑΤίγεςϜ • 暗号資産(仮想通貨)によって 足のつかない資金洗浄が 昔よりもおこないやすくなっている • 翻訳ファイルやAIの発展によって 違和感のないフィッシングメールの 作成も容易になっている
Slide 38
Slide 38 text
̑ どうすればいいか?
Slide 39
Slide 39 text
ਓతϛεʹؔͯ͠ • 「データを持たせる量を最小限に」が ポイント • 必要なデータの種類・数を絞って 個人個人や委託先にデータを渡す • 情報漏洩を報告しても罰せられない 社内風土も大切(個人でなく仕組みが 悪いとして改善に向けた措置をする)
Slide 40
Slide 40 text
ҕୗઌͷऔΓѻ͍ • 漏洩時の「個人情報保護委員会」及び 「漏洩した本人」への報告は義務だが 委託元への報告義務は法的にはない • 契約書に報告義務を盛り込んでおく • また、契約前には委託先の個人情報の 取り扱いに関して質問状を送り 把握しておく(例:JETROのシート)
Slide 41
Slide 41 text
αΠόʔ߈ܸʹؔͯ͠ • ポイントは2つ、 「侵入されないための対策」と 「侵入されてからの対策」の2つ • 特に侵入されてからの対策を 事前に考えておくことが 重要であり、かつ難易度の高い話
Slide 42
Slide 42 text
৵ೖ͞Εͳ͍ͨΊʹ • 基礎的なセキュリティ対策 • 先ほどの図に出てきた「とりあえず当 たれ〜!」で矢を放つ人への対策 • アンチウイルスソフトの導入や、 不要なメールを開かない訓練、 Google拡張機能のインストールを 承認制にするなど様々考えられる
Slide 43
Slide 43 text
Πϝʔδ
Slide 44
Slide 44 text
৵ೖ͞Ε͔ͯΒͷରࡦ • 狙われた場合に侵入されないことは 難しく、侵入された場合に どのように早く検知するかが大事 • また、ランサムウェアの被害に 遭うことを想定して、データの バックアップを権限の厳しい場所に保 管し、事業継続できる準備なども大事
Slide 45
Slide 45 text
ͲͷΑ͏ʹૣ͘ݕ͢Δ͔ • 侵入者はマルウェアに感染させたPCを 足がかりに、他のPCへの感染拡大や 重要なサーバーへのアクセスまでを 順々に進めていく • マルウェアと攻撃者との通信が その間に発生するので、それを検出す る役目をCSIRTが担うことがポイント
Slide 46
Slide 46 text
CSIRTʢγʔαʔτʣ • セキュリティ情報を専門に扱うチーム • コンピューターの不可解な操作を検知 するEDRソフトのアラートを受け取り、 それがマルウェアによるものか判定 • マルウェアである場合は、原因の起点 のPCや発生時期などを調査するため 各所に指示をおこなう
Slide 47
Slide 47 text
̒ まとめ
Slide 48
Slide 48 text
·ͱΊ • 情報漏洩を防ぐのは完全に難しい • 人的ミスは起こるので、人間が持つ データの量はなるべく最小に留める • サイバー攻撃に関しては水際対策が 大事だが、「侵入されることが前提」 と考えた上での準備をおこなうことが 今の時代では求められている
Slide 49
Slide 49 text
ࢀߟॻ੶ 『サイバーセキュリティ対応の企業実務』 (編著:杉山一郎・寺門峻佑) https:// www.amazon.co.jp/dp/ 4502472816
Slide 50
Slide 50 text
ؔ࿈ॻ੶ʢ·ͩಡΜͰͳ͍ʣ 『経営層のためのサイバーセキュリティ実践 入門~生成AI、DX、コネクティビティ時代を 勝ち抜くための必須スキル~』 (著:淵上真一) https:// www.amazon.co.jp/dp/ 4833425203