クリエイター手抜きプロジェクト[491]イベント編 サイバーセキュリティ勉強会/古籏一浩

投稿:  著者:  読了時間:7分(本文:約3,200文字)


今回は、2月11日に塩尻市で行われた「サイバーセキュリティ勉強会」のイベントレポートです。最近はイベントに行っていなかったので、久しぶりにIT関係の人と出会ったような状態でした。ちなみに、今回は撮影スタッフとしてイベントに行きました。

セキュリティ関係のイベントなので、すべての映像を収録・公開することができません。公開しても問題ないものはYouTubeにアップロードしてあります。なお、この映像も一定期間経過したら、非公開・削除予定となっています。

・オープニング


・IoTとWebのセキュリティ対策


・標的型攻撃メール演習の紹介





長野県警と信州大学のプレゼンは非公開。県警のプレゼンは子供関係ということで、内容があれなので非公開ということで……(すみません、こんな書き方で申し訳ないのですが、おおよその内容を察してください)。

でも、それではあんまりなので、一つだけ問題ないものを書いておきます。トラブルが発生したりセキュリティ上問題がある場合、子供にアカウント消してください、と警察の方でアドバイスすると、以下のような行動をとることがあるそうです。

→ログアウトした!
→アプリを消しました!

アカウントを消すというのを「ログアウトする」「アプリを消す」という捉え方をしてしまうそうです。データ本体(写真やプロフィールデータなど)はスマホ本体の中や、見ている画面だけ(ウィンドウだけ)にあると思っているそうです。

このため、画面を消したりアプリを消せば、データも一緒に消えるので大丈夫だと……。データはスマホではなく、サーバー上に残ったままだということを教えておく必要がありそうです。

あと、子供は困ったことがあっても先生や親には相談しない。なぜなら言っても分からないから、だそうです。内心は相談したいらしいのですが。

次の信州大学のプレゼンは権利的な問題で非公開。ですが、おおよその内容だけ書くと、こんな具合です。

「教員の研究費は安い。ウン百万あると思いきや違うのだ! 1桁違う(少ない)研究費でやっとるのだ!」

という魂の叫び。大学や公的機関ではいろいろ問題があるそうで、特に印象的だったのは以下の一言。

「大学教授は教えるのは得意ですが、教えられるのは大嫌い。だから駄目なんです」

ということなので、セキュリティはザルになりやすいらしい。教授は自分がプロだと思ってるらしいが、実際にはプロのハッカー/クラッカーには歯が立たない。やはり教授は素人なのだ、ということらしいです。

年金機構で情報が漏れたことがありましたが、それについても触れられていました。まとめると、こんな感じです。

(1)普段の業務にセキュリティに関する観点が欠けていた。暗号化せずに基幹システムからデータを持って来ていた。

(2)職員へのセキュリティ教育が十分ではなかった。

(3)発見が遅れた。年金機構では発見できなかった。NISC(内閣サイバーセキュリティーセンター)によって発見された。

(4)発見後の対応が遅れた。普通は感染したらネットワークから遮断するが、遮断せず使っていた。単なる注意喚起(感染が流行っているから気をつけるように)だけで終わっていた。

年金機構……どうしようもないですね……。

今回のイベントは、ちょっと内容が多いのでポイントとなる部分をまとめてみました。

・メールでのマルウェア感染が一番多い。ほとんどはメールから感染するとのこと。

・ウイルス対策ソフトのウイルス補足率は下がる一方で、今年は5%を切ってしまうのではないか。ウイルス対策ソフトにひっかかるかどうか調べるサイトか何かがあって、そこでチェックした後でマルウェアがばらまかれる。

・マルウェアでMiraiというのがあり、このソースコードがGitHubで公開されている。これにより亜種が多くある。コンパイルすると日本ではウイルス作成罪になってしまうので、ソースコードを眺めるだけにすること。

マルウェアはメモリ内に感染しファイルには感染しないので検知できない。おまけに、電源を落とすとメモリから消えるので痕跡も残らない。

・IoT機器は危ない。Raspberry PI+Linuxだと数10秒〜数分後に攻撃される。初期パスワードのままだと、すぐにやられる。ルーターなど初期パスワードが決まっている機器は特に危険。

よく使われるパスワードとしては以下のようなものがあり、このようなパスワードはマルウェアに仕込まれているので特に危険。

123456
password
12345
12345678
football
qwerty
111111

・必要のないUpnP(ユニバーサルプラグアンドプレイ)機能は無効化しておく。

・ホテルで無料で使えるインターネット環境は危険。ホテルの接続時のページが改ざんされており、そこにアクセスするとマルウェアに感染する。研究者は特に危険。すでにホテルのサーバーから誰がいつ宿泊するかが漏洩しており、ピンポイントで狙われる。このため、研究者にはモバイルルーターを持たせている。

・SNS/LINEでの情報漏洩は、運が良ければすぐにパスワードを変更することで乗っ取りを防げる。乗っ取られたらSNS/LINEの運営会社と警察に連絡する。場合によっては、消費者生活センターや県にあるサイバーセキュリティ関係の窓口に連絡する。

・パスワードはこまめに変更するのは、今では好ましくない。逆にセキュリティレベルが下がってしまう。

こういうセキュリティ関係のイベント/勉強会に行くと、余計な知識がつに付いたりします……。まあ、セキュリティ関係は難しいです……。


【古籏一浩】openspc@alpha.ocn.ne.jp
http://www.openspc2.org/

宇宙がコンピューターだったら……というSFネタは多くあります。しかし、宇宙がコンピューターなら、実際にプログラムで表現できるはずです。では、ワープはどのようなコードになるのか。JavaScriptで表現すると、以下のようにするとワープが実現できます(とりあえず1素粒子のみ)。

// 100と20の空間の素粒子を入れ替える
var space=new Array(); // 宇宙は無限の配列
var a=space[100];
space[100]=space[20];
space[20]=a;

JavaScriptでなくCPUレベル(マシン語)でも、素粒子を一度どこかに出さないとワープできません。一般的な空間ではない別の空間があるのか、特殊な経路を使って素粒子が行き来できるのか、どうなんでしょうね……。

・みんなのIchigoJam入門 BASICで楽しむゲーム作りと電子工作
http://www.amazon.co.jp/dp/4865940332/

・Premiere Pro & Media Encoder自動化サンプル集
http://www.amazon.co.jp/dp/4802090471/

・JavaScriptによるデータビジュアライゼーション入門
http://www.amazon.co.jp/dp/4873117461/

・Photoshop自動化基本編
http://www.amazon.co.jp/dp/B00W952JQW/

・Illustrator自動化基本編
http://www.amazon.co.jp/dp/B00R5MZ1PA/

・Adobe JavaScriptリファレンス
http://www.amazon.co.jp/dp/B00FZEK6J6/

・4K/ハイビジョン映像素材集
http://www.openspc2.org/HDTV/

・クリエイター手抜きプロジェクト
http://www.openspc2.org/projectX/