Cyber SecurityサウナJapan

河野:
『Cyber SecurityサウナJapan』、エピソード11。今回は青野原野呂ロッジキャンプ場にて収録しています。本日もホストを務めますのは、ウィズセキュアジャパン法人営業本部、河野真一郎と

Tuomi:
サイバーセキュリティコンサルティングのアンッティです。よろしくお願いします。

河野:
アンッティさん、今日は非常に天気の良い青野原野呂ロッジキャンプ場でテントサウナを立てた後、今タープの下で収録してるといったところです。アンッティさん、今日の天候と今日のテントサウナ、いかがでしたか？

Tuomi:
久々に浴びるテントサウナって、めっちゃいいですよね。やっぱりそういうゆったりした温度感でちょうどいいと思います。あと、ちょっとこっそりストーブに、あのビールを混ぜたロウリュもかけましたので、めっちゃいい焼きたてのパンの香りにしましたので、楽しかったです。

河野:
やっぱりテントサウナをやると、自分の好きなロウリュ、自分の好きなフレーバーとかかけられるのは非常にいいですよね。

さて、普段の『Cyber SecurityサウナJapan』は、アンッティさんと河野で、サイバーセキュリティのホットなエピソードをお届けしているのですが、本日も特別編として、メディア関連の記者様／編集者様にゲストとしてご出演いただいております。本日のゲストの皆様はですね、覆面座談会としまして、アルパカさん、トラさん、ハスキーさんとシカさんという4名の皆様にご参加いただいております。

河野:
今日はですね、昨今のサイバーセキュリティを取り巻く情勢、記者さんたちのセキュリティに対してどんなトピックに興味をお持ちなのかといったところについてうかがっていきたいと思います。ではまず記者様の自己紹介として、記者／編集者歴、大体何年ぐらいこれまでやられてきたのか、サウナ歴／サウナー歴とお気に入りのサウナについて、お1人ずつうかがっていきたいんですが、まず、アルパカさん、お願いします。

アルパカ:
こんにちは、アルパカです。記者歴は他の媒体からITに来たのが1年半ぐらい前なので、大体記者歴1年半です。サウナ歴は、前の媒体で温浴施設をちょっと触れていた関係もあって、5年ぐらいです。お気に入りのサウナは鶯谷の萩の湯のサウナと銭湯が好きです。以上です。

トラ:
こんにちは、トラです。編集者歴は20年ぐらいで、エンタープライズITだと15年ぐらいですね。サウナー歴に関して言うと、本格的に行きだしたのはこの5-6年というところでしょうか。好きなサウナ、割と私、銭湯サウナ全般好きですけれども、最近行って良かったのは深川温泉常盤湯という、清澄白河にある銭湯サウナがとても良かったです。よろしくお願いします。

ハスキー:
こんにちは、ハスキーです。記者歴が約5年です。サウナはまだまだビギナーで、1年ほどです。お気に入りのサウナは福岡出身ということもありまして、万葉の湯というのが福岡にあります。福岡市民に愛される温泉ですので、そこが大好きです。よろしくお願いします。

シカ:
シカです。記者歴は大体8年ぐらいIT業界でやらせていただいていて、サウナー歴は大体2年ぐらいですかね。ペーペーな感じですが。好きなサウナ施設は、ニューウイングです。よろしくお願いします。

河野:
それでは、今日はゲストの皆様に、最近サイバーセキュリティで気になっているトピックについてお話しいただきます。

私は最近、あまり日本では報道が出てないんですけど、アメリカのホテルグループで大規模なサイバー攻撃とランサムウェアの被害が出たというニュースをちょっと気にしています。アメリカのラスベガスとかにある超巨大ホテルグループ、シーザーズグループやMGMグループがロシアのサイバー攻撃グループに攻撃を受けて、ランサムウェアの身代金を要求され、シーザーズグループはそれを受け入れて実際身代金を支払ったという報道。また、MGMグループは身代金を支払わなかったことにより、かなり大規模な被害が出たというようなことが出ていました。

もう、完全に金銭目的の攻撃が大規模に行われていますよね。今回の場合は報道で出てるところとしては、身代金は日本円ベースで当初40億円支払ってくれというような、そういう攻撃があったみたいなところもあって、サイバーセキュリティ企業で営業職を務めている私としては、こういった大規模な被害が実際に出ているのはとても気になります。アンッティさんは、気になっていることなどありますか？

Tuomi:
個人的に最近すぐ頭の中に思いつくのはですね、最近Eximというメールサーバーの脆弱性があったことですね。ZDIのゼロデイイニシアティブ経由の脆弱性が公開されましたが、裏側でいろいろ事情があって、詳細とか対策が出るまでには1年間ぐらいかかるかかりましたようですね。おそらく、そういう脆弱性発表とか対策とか、情報によっていろいろありますのでいろいろ事情は当然ありますが、まずは個人的に初めてLinuxをインストールしたときにもEximを使ってましたので、Exim入れてたみなさん大丈夫でしょうか？っていうことはちょっと気になってますね。こういう対策まで至る脆弱性発表のことはやはりなかなか大変ということは、これで改めて実感しましたねと思ってました。

河野:
そうですね。脆弱性が発見されてから対応のセキュリティアップデートが出てくるまで1年間っていうのは、かなり時間がかかってるなというふうに私も考えますし、さらにその1年間という期間に何かなかったのかなと、やっぱり気になるところですね。

というのが、アンッティさんと河野が最近気になっているトピックなんですが、次に、今日ご参加の皆様からもお話をいただきます。最初にシカさん、お願いいたします。

シカ:
では、シカからお話しさせていただければと思います。私が気になってるのは、ここ半年ぐらいなんですけども、プロンプトインジェクションという、生成AI系の話ですかね。企業の情シス (情報システム) 部門以外のビジネスユーザーも生成AIを使うようになっています。例えば、今はもうおそらくないとは思うんですけども、ランサムウェアのサンプルコードを作成してくださいとか、あとはフィッシングメールの文章を作成してくださいとか。ステップバイステップで指示を出していけば、ある程度それに備わった形で答えを返してきてくれるっていうところもあるんで。ランサムウェアのサンプルコードとかフィッシングメールのことに関しては今年の春ぐらいに一応言われてたことで、おそらくもうできないようにはなってると思うんですけども。ただ、セキュリティってやっぱり「(インシデントが) ないと思うな」っていうところが前提にあると思うんで、そこは何かこれからまた危惧されるべきポイントはあるんじゃないかなというふうには思っています。

河野:
シカさん、ありがとうございました。

Tuomi:
かなりいい話題でしたよね。シカさん、ありがとうございます。確かにそういうプロンプトインジェクションなどで、本来はAIで出せないはずのマルウェアコードとか悪用のコードとか、そういうこと出せるようにできることははい最近話題になってますね。そこでですね、例えば悪用者とか犯罪者として、今までは自分で書けなかったマルウェアとかランサムウェアをAIによって書けるようになることは確かにちょっとよくない展開ではありますよね。すごくいいポイントですね。ただセキュリティの観点からちょっと考えてみますと、今までも悪意のある人が自らコードを書けなくても、誰か書ける人から買うこととか依頼するとか、既存のものを購入してそれをばらまくというということはできますよね。やっぱりAIでこういうマルウェアコードを書けないようにするとかそういうコードを出せないようにすることで対策できるかとか、その代わりにやっぱりマルウェアコードの購入とか生成とかそういうことに力を入れるかとか。その他の検知するとか止めることとか、どこに力をかければいいかはやっぱり難しい話ですよね。かなりいい話でしたね。ありがとうございます。

河野:
では、次にハスキーさんお願いします。

ハスキー:
ハスキーです。私が最近気になっているのは、サプライチェーン周りのセキュリティですね。特に、SP800-171に準拠したかたちで、政府が統一基準を今模索してると思うんですけれども、防衛省の装備庁から先に基準（防衛産業サイバーセキュリティ基準）を策定されていて、これが日本企業にどのぐらいの影響を与えるのかがちょっと見えてこないところが一番気になっているところです。アメリカの省庁系と取引のある大企業、本当に重要インフラを担っている企業は先んじて対応はされていると思うんですけども、実際にそこ（SP800-171など、NIST CSF）に準じたかたちで、日本政府が統一基準を策定したときにどこまでの範囲に及んで、どれくらい影響があるのかすごく気になってます。今、政府の中でもまだまだ議論が進んでいる最中ですし、どこに着地するのか見えてこないので、そこはちょっと動向を見守りたいなと思っています。

河野:
ハスキーさん、ありがとうございました。

Tuomi:
個人的な経験で言いますと、やはりヨーロッパの方ではですね、もう既に法律の上でこういうレッドチーミングとか脅威インテリジェンスに基づいてセキュリティ的な確認が必須になってますね。TIBER (Threat Intelligence-Based Ethical Red-teaming) という法律ができていて、具体的に実際の攻撃者が使ってる攻撃方法とか最近の傾向に基づいて実際にレッドチーム演習でセキュリティ的にそもそも侵入できるかとかちゃんと検知されてるかどうかとか、そういうことは確認することが必要になってますよね。これはヨーロッパの方で数年間以上に、特にイギリスとか北欧とかシンガポールでもそうですが、基本的にかなり標準になってますよね。それと比較しますと、日本の方ですと標準化とか、そういうレギュレーションのところは強いではありますが、金融機関の中でのこういうサイバーセキュリティについてのレギュレーションとか法律とか、具体的にどうすればいいですかっていうことはあまり書いてない印象ですね。弊社のお客様の中でも、具体的にどうすればいいですかっていう相談になったことが多いですね。なので、1つ思ってたのは、ヨーロッパの方でよくあるパターンとしては、この法律を決める上とかサイバーセキュリティについてのこういうレギュレーションを決めるときに、政府系が民間のサイバーセキュリティの専門家の企業と相談して、具体的なところとかどうすればいいですかっていう相談は民間企業にもしています。日本の方でもそれができたらいいなと思ってますね。悩んでる金融機関とか、その他のお客さんの役に立つのではないかと思ってますね。

河野:
アンッティさんもコメントありがとうございました。では、次にトラさんお願いします。

トラ:
少し前のインシデントにはなりますけど、名古屋港のランサムウェア被害があって、港の出入りが数日間しばらくするとストップしたっていうインシデント。社会的にも結構話題になりましたし、実際に与えたインパクトも大きかったかなというふうに思ってます。興味深かったところとしては、いわゆる一般的に言われるその重要インフラとか社会インフラっていうところで、若干もしかしたら外れてるかもしれないけど、それだけインパクトがあった。実際にはいろんなメーカーとかそういうところの操業が止まったりとかってのもありましたし、というのが一点と。もう一つ昨日調べたんですけど、ランサムウェア攻撃だけど、身代金の要求をされてないというところがあって、じゃあそれは一体何が狙いだったんだろうって考えていくと、結構面白い話なのかなというふうにちょっと思いましたね。

河野:
トラさん、ありがとうございました。

確かに、名古屋の港湾系コンテナターミナル系の報道といったところは、日本でもかなり大規模にニュースが出ていましたね。今までサイバーセキュリティの報道っていうと、ITのシステムに対する情報の漏えいや攻撃があったという話が多かったですね。それに対して、コンテナターミナル系っていうと、制御系だったり、産業に特化してる部分、あるいは工場制御に関するようなところに近しい攻撃だったと思うんですが、ここ数年の動向としては、例えば、港湾関連、コンテナターミナル系のところもそうですし、工場系のセキュリティなどに対するお客さんからの問い合わせでしたり、実際の被害が起きてきてるなというのは、私も気になっているところです。

Tuomi:
連絡が来てないということについてちょっと思いついたのですが、想定できるのは、これ例え話なんですが、攻撃者としてどこかに侵入して、何かのITシステムなんですけど画面に映ってる漢字がよく読めないですねという状態になって、「ここどこ？」ってことになることはかなりあり得るかなと思ってますね。なので攻撃者としては入ってから最初の段階で「ここどこ？」ってことになってしまって、ちょっとそこから攻撃を開始しますね。今回はおそらくとりあえずランサムウェアばらまいて、復旧して欲しかったらいずれ連絡来るでしょう、というふうに攻撃者も思ってるかもしれないですね。

河野:
それでは、アルパカさんは最近どんなトピックが気になっていますか？

アルパカ:
私が最近気になっているトピックは、従業員に対するセキュリティ教育です。今いろんなお話が上がってきて、会社からも言われて、従業員もそういう危機感を高めなきゃいけない意識を持ち始めているようになっているんだなっていうのは感じています。一方でランサムウェアとかはレポートとかを拝見しててもどんどん新しいのが出てくる。どちらかというとIT畑でない私からしてみると、年に1回セキュリティ教育を受けましたっていうだけで対抗していけるのか、いざそういうのに対峙したときに戦えるというかシャットダウンできるのかなっていうのは、結構ずっと気になっているところです。これ、オチがないですね。心配事って感じでした。

Tuomi:
こちらもすごくいいポイントですね。セキュリティにも傾向とかトレンドとかサイクル的流れもありますよね。よく言われているのは、守る側は全部守り切らないと駄目ですよということなんですが、攻撃者としては1つだけの攻撃で成功したら侵入できてしまうということですよね。そういう1つの隙間があればそれで十分ですということですよね。昔はサーバー系のセキュリティが一番弱くて、よくあるパターンで例えばマイクロソフトさんのサーバーのソフトウェアとか、そこにある脆弱性を突いて侵入したことが多かったんですが、マイクロソフトさんもそれに気づいて、すごく頑張ってセキュリティの対策とか、バッファーオーバーフローとかを改善してましたよね。そうするとしばらくの間はですね、サーバー系の脆弱性よりはブラウザの上のFlash PlayerだったりPDFリーダーとか狙いやすくなってしまって、またそれからブラウザの脆弱性がずいぶん減ってからまたサーバーを狙われるようになりましたよね。こういうサイクルがありますよね。その中で1つとしては『ヒト』もある程度弱いところではありますし、最近は人の知識とかそういうIT系のセキュリティの教育がかなり増えてますので。『ヒト』が一番弱かったので、それを会社とか企業としてももちろん対策したかったでしょうね。ただ、『ヒト』でそれを全部守り切れるかどうかはやっぱりあの難しいですよね。おそらく、しばらく経ったら、また『ヒト』のサイバーセキュリティの知識が上がったら、またサーバーとかクライアントソフトウェアとかその他のところが狙いやすくなるのではないかなと思ってますね。それがセキュリティの中でのサイクルでしょうと思ってます。

補足として言えるのは、やはりセキュリティ意識とか作業の中でのどういう行為はしてもOKですかとか、どういうことは気をつけるべきとか、そういう意識がだんだんよくなってきてると思いますね。なので、完全に社員の責任ですよということは、ちょっと間違っている考え方だと思っていますね。ただ、企業としてはおそらく一番狙いやすいことを修正とか対策したいという気持ちはわかりますけど、全体感が必要になりますので、人が使ってる端末とかその端末のセキュリティポリシーとか、会社が使ってるDetection & Responseのソリューションがもしあったら、社員がミスしてしまっても、早めに対策や対応ができるようになりますね。

言いたいポイントの1つとしては、最近はフィッシングのトレーニングとか怪しいメールが来たけど、それを見つけられない人を「この人はよくできてないですよね」と言うとか、今までもありましたしまだ残っていますが、最近はそれって誰かを責めるのではなくて、とりあえずみんなに若干頑張って意識してもらって、それ以外は会社の責任ですよと、いう方向性が強くなってきてますね。それは個人的にいい傾向だと思ってますね。やはりどうしても1人だけではそういう責任は背負えないと思ってますし、すごい負荷を背負うのは考え方としてはそもそもの間違っているでしょうと思ってますね。

河野:
サイバーセキュリティのトレーニングの重要性というのは、やはり非常に高まっていると思います。

さっきアンッティさんがコメントしてくれたように、企業の社員1人ひとりが全て責任を負うよりは、企業の側で責任を負うことが必要があるといったような考え方、ここは重要だなと思いますし、最近の例で言うと、さっき私がお話した、最近気になるセキュリティ系のインシデントニュース、アメリカでホテルグループに大規模なランサムウェアの攻撃が行われた。あれに関しては、本当かどうかわからないんですけれども、攻撃側が犯行声明みたいなかたちで、どっから入ったかってことについて、コールセンターに電話して「私従業員なんだけどIDとパスワードを教えてください」みたいなやり方で、最初の足がかりを簡単に突破できたよ、みたいなことを言ってるんですね。これ、犯行側からのコメントなんで本当かどうかわからないんですけれど、もしもこれが本当だった場合は、かなり初歩的なセキュリティトレーニングでここは食い止められたんだろうなというふうに思うので、企業としての対応というのは求められるなと思うんですが、アンッティさんが喋りたがってるみたいなんで、ぜひアンッティさんお願いします。

Tuomi:
最近の攻撃方法としてはITサポートに「すいません。携帯電話なくしてしまったので、ちょっとあの2段階認証ができなくて、1回無効にリセットできないでしょうか」っていうタイプのコールをかけて、それで2段階認証を無効にさせて、奪えた認証とかユーザーネーム／パスワードでログインしてしまうとか、そういう原因が多くなってますね。なので、最近かなり話題とか対策案になっているのは、ITサポート側では、特にこういうアドミンユーザーとかそういうユーザーの2段階認証のリセットは拒否するとか、それはサポート側では対応しないぐらいの対策案がかなり推奨になっていますね。

河野:
といったところで、本日は4名のゲストをお迎えしての『Cyber SecurityサウナJapan』覆面座談会、非常に盛り上がってきてる中、まだまだ話題は尽きませんが、ここまでを前編 エピソード11としまして、一旦終了いたします。

この後、次回後編となるエピソード12に続きますので、みなさまぜひ引き続きご視聴ください。それでは、またお会いしましょう！

Cyber SecurityサウナJapan エピソード#11はYouTubeでもご覧いただけます。
https://youtu.be/R2k6mQG53W4