今年こそ知るべきセキュリティー入門 / Security Basics 2025

Slide 1

Slide 1 text

Α͑͜ 今年こそ知るべきセキュリティー入門 @yokoe24 2025/02/24 セクションDay

Slide 2

Slide 2 text

ࣗݾ঺հ よこえ • X: @yokoe24 • 株式会社ラブグラフCTO • でも、セキュリティは専門外なので誤りがあったらすみません…… • セキュリティはかなり専門性の高い領域なのです

Slide 3

Slide 3 text

ίϯςϯπ 1. 意識しておく前提 2. 2024年のセキュリティ関連事例 3. クイズ！ランサムウェア！ 4. 事件増加の背景 5. 私たちはどうすればいいの？ 6. まとめ

Slide 4

Slide 4 text

̍ 意識しておく前提

Slide 5

Slide 5 text

৘ใ࿙ӮΛ ׬શʹ๷͙ͷ͸೉͍͠

Slide 6

Slide 6 text

৘ใ࿙ӮͷݪҼ • JIPDEC（プライバシーマーク推進センター）の調査によれば、誤配達・誤送信・紛失などで 75%の割合を占めている • 人間の人的ミスがほとんど

Slide 7

Slide 7 text

৘ใ࿙ӮͷݪҼ • 先ほどの調査は報告ベースなので、不正アクセスやウイルスを原因とする計13.4%は氷山の一角で、実際はより多くの、システムによる情報漏洩が起きている可能性はある

Slide 8

Slide 8 text

ͳͥ๷͛ͳ͍ͷ͔ • 人的ミスを100%防ぐというのはなかなかに難しい。誤った相手にメールや手紙を送る可能性をゼロにすることはできない • サイバー攻撃も、あまりにも攻撃側が有利すぎて、侵入をゼロにし続けることは難しい

Slide 9

Slide 9 text

߈ܸଆ͕༗ར • 攻撃者は成功するまで攻撃できる • なぜなら、失敗した（侵入できなかった）攻撃を誰がしてきたのか、わざわざ調べる人はいないから • 攻撃者は成功するまでノーリスク、しかし成功したら莫大なリターンとなるので、攻撃者は増える一方

Slide 10

Slide 10 text

Πϝʔδ

Slide 11

Slide 11 text

ϥϯαϜ΢ΣΞ͸ڴҖ • 個人情報というのは今まで現金化が難しく、暗号資産やカード情報などを狙うほうが魅力的だったが、ランサムウェアの登場により、個人情報を武器に多額のお金を企業から手に入れることが可能に • よりランサムウェア被害は増えていく

Slide 12

Slide 12 text

͜ΕΛ౿·্͑ͨͰ 2024೥ͷηΩϡϦςΟࣄྫΛ ݟͯΈ·͠ΐ͏ʂ

Slide 13

Slide 13 text

̎ 2024年のセキュリティ事例

Slide 14

Slide 14 text

DMMϏοτίΠϯ • 2024/5/31、約482億円のビットコイン（4,502.9BTC）が流出したことを検知 • コインチェックの2018年に発生した約 580億円のNEMの流出に次ぐ規模 • 北朝鮮を背景とするサイバー攻撃グループ「TraderTraitor」によるものと特定される（情報元） αΠόʔ߈ܸ

Slide 15

Slide 15 text

DMMϏοτίΠϯ • 攻撃手法は第三者の名前や顔写真を悪用し、企業幹部を装うなどして、SNSで標的対象者にメッセージを送信 • 関係性を深めたのちに、アプリケーションをインストールさせたり、特定 URLにアクセスさせるなどで感染 • コインチェックの際にも見られた手口 αΠόʔ߈ܸ

Slide 16

Slide 16 text

KADOKAWA(υϫϯΰ) • 2024/6/8、KADOKAWAグループ内の複数のサーバーにアクセスできないことが判明 • PC版ニコニコ動画は8/5にサービス再開。10/10にすべて復旧 • ハッカー集団「BlackSuit」が6/27に犯行声明を発表している（情報元） αΠόʔ ߈ܸ

Slide 17

Slide 17 text

KADOKAWA(υϫϯΰ) • 侵入経路は公開されていないが、「BlackSuit」の主な侵入手法である「不正リンクやマクロを含むメール」ではないかと推察できる（参考） • ランサムウェアの身代金に応じ4.7億円支払ったとする報道も • この年の特別損失は36億円（情報元） αΠόʔ ߈ܸ

Slide 18

Slide 18 text

Πητʔ • 2024/5、社内の一部のサーバーやパソコンのファイルが暗号化されるランサムウェアの攻撃を受けたと発表 • ハッカー集団「8Base」が犯行声明を発表した（情報元） • 侵入経路はフィッシングメールと推察されている αΠόʔ߈ܸ

Slide 19

Slide 19 text

Πητʔ • イセトーは全国の自治体や銀行、保険会社から情報処理・情報管理・印刷などの業務を請け負う中小企業。結果として150万人以上の個人情報が漏洩 • 委託元は豊田市、京都商工会議所、三菱UFJ信託銀行、日本生命保険など • 委託先管理の重大さを示す事件 αΠόʔ߈ܸ

Slide 20

Slide 20 text

ੵਫϋ΢ε • 2024/5/24、顧客のメールアドレス・ログインID・パスワード約11万人分が流出したことを報告（情報元） • 運用終了してから10年経つページの脆弱性をSQLインジェクションで突かれた • 同社は2023/11にも不正アクセスによる顧客情報の漏洩を発表 ਓతϛεˍ αΠόʔ߈ܸ

Slide 21

Slide 21 text

ϚΧϑΟʔ • 2024年12月末、blogs．mcafee．jp がアダルトサイトになっていると話題に • マカフィーが mcafee．jp ドメインを 2023年に手放したことが原因 • ドメイン乗っ取りは近年大きな問題に。フィッシングサイトに使われる危険性が高い ਓతϛε

Slide 22

Slide 22 text

Brave Group • 2024/6/25、Googleドライブ上の Googleフォームの権限設定の問題で VTuberオーディション応募者の本名や電話番号などが見られる状態に • 同様にGoogleドライブの権限設定に起因する情報漏洩を、2023/12、開発会社であるエイチームが起こしている ਓతϛε

Slide 23

Slide 23 text

େ௩঎ձ • 2024/4/19、取引先の個人名2,687名分が含まれるファイルを、社外の１名に誤ってメールで送信していたことを発表（情報元） • メールの送信を2/14におこない、2/19 に判明したものの、4/19になっても誤送信先との連絡は取れていない ਓతϛε

Slide 24

Slide 24 text

̏ クイズ！

Slide 25

Slide 25 text

͋ͳͨ͸ࢧ෷͏ʁ 1 • KADOKAWA（ドワンゴ）の例で、ランサムウェアの身代金に応じ4.7億円支払ったとする報道もありました • あなたが経営者だとして、止まっているニコニコ動画のシステム復旧のためにランサムウェアへの支払いはおこないますか？

Slide 26

Slide 26 text

͋ͳͨ͸ࢧ෷͏ʁ 2 • あなたが病院経営者だとして、電子カルテの情報がランサムウェアによって見られなくなりました。 • ランサムウェアには「お金を払えばデータを戻す」と書いてあります • 人の命が関わるかもしれませんが、それでも身代金を支払いませんか？

Slide 27

Slide 27 text

͋ͳͨͳΓͷ౴͑Λ νϟοτཝʹ ͓ॻ͖͍ͩ͘͞……ʂ

Slide 28

Slide 28 text

ղ౴ • 私は本を読むまで「支払う」派だった • 本を読むと「支払わない」が正解 • なぜなら、「あの会社は身代金を要求したら払った」とダークウェブ上で共有されてしまい、さらに別のグループから攻撃されるリスクが高まるため • 詐欺師のカモリストに載るようなもの

Slide 29

Slide 29 text

ղ౴ • 他の理由として、海外テロ組織の資金提供とみなされ、（特に海外企業との）取引停止を及ぼす可能性がある • ランサムウェアの被害にあっても事業継続ができるよう、データのバックアップを特殊な場所に保管しておくことが非常に大事

Slide 30

Slide 30 text

ͱ͸͍͑…… • あなたがイセトーのように大手企業から委託を受けていてランサムウェアの被害にあったとしよう • ランサムウェアにお金を払えば、個人情報漏洩を公開せずに済むかも、セキュリティ対策はそのあとで…… という誘惑に逆らえるだろうか？

Slide 31

Slide 31 text

ͳΓ͖Δ͜ͱ͕େ੾ • 委託先の個人情報漏洩の報告が適切におこなわれるかや、自社の社員が報告してくれるかは、このような誘惑を想定することが大切 • それを踏まえての制度設計をしないと骨抜きの実態になってしまい、発見が遅れ、信用への影響は大きく

Slide 32

Slide 32 text

̐ 事件増加の背景

Slide 33

Slide 33 text

ࣄ݅૿Ճͷഎܠ • 2024年、個人情報漏洩の事件をニュースで見ることが増えたように感じたのではないでしょうか？ • それは「個人情報保護法の改正」と「犯罪エコシステムの成熟化」が原因かもしれません

Slide 34

Slide 34 text

ݸਓ৘ใอޢ๏ͷվਖ਼ • 2022年4月から改正。これにより、個人データの漏洩に関して特定の条件のいずれかの際に「個人情報保護委員会」および「漏洩した本人」への報告が義務化された（それ以前は努力義務だった） • 本人への通知により世間に知られる

Slide 35

Slide 35 text

ಛఆͷ৚݅ͷྫ • 1000人以上の個人データの漏洩の発生や、そのおそれ • 1件以上の要配慮個人情報（病歴・犯罪履歴・薬歴など）の漏洩の発生や、そのおそれ • 1件以上の財産的被害が起こり得る情報（クレカ情報など）の漏洩の発生や、そのおそれ

Slide 36

Slide 36 text

൜ࡑΤίγεςϜ • 首謀者 • ターゲットの会社の情報を売る者 • 攻撃ツールを提供する者 • 暗号資産による資金洗浄をおこなう者 • 攻撃の実行者 • などに分かれる

Slide 37

Slide 37 text

൜ࡑΤίγεςϜ • 暗号資産（仮想通貨）によって足のつかない資金洗浄が昔よりもおこないやすくなっている • 翻訳ファイルやAIの発展によって違和感のないフィッシングメールの作成も容易になっている

Slide 38

Slide 38 text

̑ どうすればいいか？

Slide 39

Slide 39 text

ਓతϛεʹؔͯ͠ • 「データを持たせる量を最小限に」がポイント • 必要なデータの種類・数を絞って個人個人や委託先にデータを渡す • 情報漏洩を報告しても罰せられない社内風土も大切（個人でなく仕組みが悪いとして改善に向けた措置をする）

Slide 40

Slide 40 text

ҕୗઌͷऔΓѻ͍ • 漏洩時の「個人情報保護委員会」及び「漏洩した本人」への報告は義務だが委託元への報告義務は法的にはない • 契約書に報告義務を盛り込んでおく • また、契約前には委託先の個人情報の取り扱いに関して質問状を送り把握しておく（例：JETROのシート）

Slide 41

Slide 41 text

αΠόʔ߈ܸʹؔͯ͠ • ポイントは２つ、「侵入されないための対策」と「侵入されてからの対策」の２つ • 特に侵入されてからの対策を事前に考えておくことが重要であり、かつ難易度の高い話

Slide 42

Slide 42 text

৵ೖ͞Εͳ͍ͨΊʹ • 基礎的なセキュリティ対策 • 先ほどの図に出てきた「とりあえず当たれ〜！」で矢を放つ人への対策 • アンチウイルスソフトの導入や、不要なメールを開かない訓練、 Google拡張機能のインストールを承認制にするなど様々考えられる

Slide 43

Slide 43 text

Πϝʔδ

Slide 44

Slide 44 text

৵ೖ͞Ε͔ͯΒͷରࡦ • 狙われた場合に侵入されないことは難しく、侵入された場合にどのように早く検知するかが大事 • また、ランサムウェアの被害に遭うことを想定して、データのバックアップを権限の厳しい場所に保管し、事業継続できる準備なども大事

Slide 45

Slide 45 text

ͲͷΑ͏ʹૣ͘ݕ஌͢Δ͔ • 侵入者はマルウェアに感染させたPCを足がかりに、他のPCへの感染拡大や重要なサーバーへのアクセスまでを順々に進めていく • マルウェアと攻撃者との通信がその間に発生するので、それを検出する役目をCSIRTが担うことがポイント

Slide 46

Slide 46 text

CSIRTʢγʔαʔτʣ • セキュリティ情報を専門に扱うチーム • コンピューターの不可解な操作を検知するEDRソフトのアラートを受け取り、それがマルウェアによるものか判定 • マルウェアである場合は、原因の起点のPCや発生時期などを調査するため各所に指示をおこなう

Slide 47

Slide 47 text

̒ まとめ

Slide 48

Slide 48 text

·ͱΊ • 情報漏洩を防ぐのは完全に難しい • 人的ミスは起こるので、人間が持つデータの量はなるべく最小に留める • サイバー攻撃に関しては水際対策が大事だが、「侵入されることが前提」と考えた上での準備をおこなうことが今の時代では求められている

Slide 49

Slide 49 text

ࢀߟॻ੶ 『サイバーセキュリティ対応の企業実務』（編著：杉山一郎・寺門峻佑） https:// www.amazon.co.jp/dp/ 4502472816

Slide 50

Slide 50 text

ؔ࿈ॻ੶ʢ·ͩಡΜͰͳ͍ʣ 『経営層のためのサイバーセキュリティ実践入門～生成AI、DX、コネクティビティ時代を勝ち抜くための必須スキル～』（著：淵上真一） https:// www.amazon.co.jp/dp/ 4833425203