ITmedia主催のチャリティーイベント「最近の情報漏えい事件についてあれこれ語ろう」に参加してきたので、話された内容をまとめてみます。途中ぼけーっとしていたので抜けているところがありそうですが、脳内で補足してやってください。
セミナーの詳細はこちら
第5回 アイティメディア チャリティイベント 最近の情報漏えい事件についてあれこれ語ろう
また当日つぶやかれた内容はここを参照ください。
Nanorymous?
今回はアノニマス関連をテーマとしたセミナーということで、随所にそれを彷彿とさせるネタがちりばめられています。会場内BGMもLulz Boatが流れていたりとか。パネラーの方はもちろんのこと、参加者の方双方でガイフォークスのマスクをかぶってらっしゃる方も散見されました。私は「Vフォー・ヴェンデッタ」という元ネタの映画をまだ見たことないのですが、みなさんしっかりチェックされているということなんでしょう。
宮田氏をモデレータとして、パネラーの方はTsujirymous、Negirymous、Miwarymous、Sonodarymousの4人が登壇されました。
あれこれ語られた内容
■ 具体的にどのような感じでうち大丈夫かという相談がくるのか (宮田氏質問)
三輪氏
ああいうクラスの経営者の人がテレビで見ると株価も下がって大変そうだけどうちは大丈夫か
これを下の取締役とかCIOとかにきくとわからん、ダメそうという返答がくる
ネット系から始まってないようなグループ(製造業)だと特にそのような傾向
パンドラの箱を開けちゃった
結構色んなところがHPだの個人情報だの持っていることがわかる
■ アノニマスとかを会話として出して理解されるか? (宮田氏質問)
三輪氏
経営層は知らない人ばかり
ただし、セキュリティのモチベーションの発生源として、経営者が言い始めていることは好機
普段は投資対効果だのいいはじめられてしまい沈没することが多い
■ 最近の動向についてどう受け止めているか、アノニマスにはまっているのか (宮田氏質問)
辻氏
アノニマスにははまってないです(笑)
映画をみたりして、権力と戦うというのが格好いいと感じたところはある
根岸氏
アノニマスはハッカーグループではないということをまず言っておきたい
調べるほど相手側がどう思っているのかつかみきれていないところがある
園田氏
2chの感じがする
お祭り騒ぎになるとみんなが来る
イデオロギー色が多少なり強くも感じるが、やや後付け的に見える
世間が騒ぐからおもしろがっているようにも見える
色々な動きがあって思った以上にポリシーというものはなくて、色々な人が色々な考えでやっているように見える
■ 日本のアノニマスにインタビューされた際、個人で活動しているという話もあったが今までと違うと感じたところはあったか (宮田氏質問)
辻氏
グループという概念は無いという話もあった
どっちかというと笑い男、模倣者をつくっていった感じがする
インタビューした際、これからターゲットになりそうなところはあるという話もしていた。(ハーイ!)
日本語が障壁となっているらしい、ブリッジできる人がいない
インタビューした人の話なので、アノニマス全体の話ではないことは注意してほしい
■ 今回「アノニマス」という加害者側の顔が見えたが、これは今までに無いような傾向にも思える。どのような影響が考えられるか。(宮田氏質問)
三輪氏
正直上層部への影響は無いと思う
アノニマスのマスクの様に、アイコンがあった方がみんな集まれる。仲間も作りやすい
こういった多くの数が長期に継続して、それがまた別のグループを巻き込んだり拡大している
今までの悪戯レベルのものとは違うということは話している
根岸氏
守る側にとって厄介だなと思うところ。
割とわかりやすい構図が今までにあった
今回の場合はわかりづらい
辻氏
Operation Sonyの話など。
■ セキュリティの技術者は怒らすと怖いなという印象を持った。今回登壇されている人もかなりの技術力を持っていると思うが何故ダークサイドに落ちなかったのか (宮田氏質問)
辻氏
「悪い」のかっこいいよねというのもある。チーマーみたいな。
そして、使えばお金になるような技術もあるが、日本ではあまりお金にならない。
園田氏
守る方が難しかったからやっている
攻める方は決まってしまうとそれで終わりで面白くないから。
守る方はいかに攻める側から守るかということを考えなくてはならない。
■ こうやっていったら対策できるんじゃないかという方法は無いか (宮田氏質問)
三輪氏
実際に行われているオペレーションがどの程度の攻撃かというのを知らない
あれの規模がどれぐらいの量だったかというのは知らない
一昨年の攻撃(ホワイトハウス)は40GBといわれている。
今の感じだとボットネットを使いながら、またはツールやF5を使いながらというイメージ
被害状況を詳細に把握できていないのが最も問題であるという認識である
根岸氏
結果的にはソニーのオペレーションは失敗している
ソニー側がDDoS対策をとったことから攻撃できなくなった
そのときのDDoSの規模はそんなに激しいものではなかったのではという認識
その後のメディアでごちゃっとなってしまっている
これらDDoSや情報漏えい、スクリプトキディ的な攻撃が全てまとめられて報じられている
そこは切り分けてそれぞれどういうもので、今後どうすべきかということを整理していかなくてはならない。
■ 今回そういう意味で色んな事件、登場人物が出ており、それを総称してSonyの情報漏えいというまとめかたをされている。メディアの取り上げ方がどうだったか、言いたいことはあるか(宮田氏質問)
辻氏
言いたかったこともあったのでアノニマスのインタビュー記事を書いた
ハッカー、クラッカーと事件をセンセーショナルにかき立て、事実が異なってしまっているものもあった
正確性や背景的な要素も時間的な制約はあると思うが、クリアな情報を流してほしい
三輪氏
マスコミの報道で問題の矮小化(小さく見えるように、嘘ではないように)が行われる
ログが無い、権限奪取された状態、個人情報ももっていたようなそういった場面は侵入された形跡は見られないとか
発表のテンプレートがあってもいいのではないか
脆弱性の管理状況や構成等がちゃんと洗えるようになるのではないか
園田氏
IPAでよく標準の話が出るが、それは努力したいところ
正確に伝えるとターゲットとしている客層にちゃんと伝わるのかというところもある
辻氏
「高度な攻撃」などの表現も用いられるが、高度なランクも決めた方がいいかもしれない。
■ あからさまにすることでスポンサーにも迷惑がかかるケースがある。そういった場合不利になるような記事も書けないのではないか。(会場内から質問)
宮田氏
思ったほどスポンサーが苦情を出してくることは少ない。
今回のソニーの件でも何か圧力がかかったという話は聞いたことは無い。
あくまでも事実を伝えるという所にフォーカスを置いて伝えている。
セキュリティがきっちりわかっている記者はそんなに少ない。10人いるかいないか。
きっちりわかってない人が書くと発表ベースの記事になる。
事例としては去年あったヤマト運輸の件とか、セッション管理の問題なのにスマフォが悪いような記事も目立っていた
■ セキュリティに詳しい人が少ないのはなぜか。(会場内から質問)
宮田氏
お金にならないということが理由ではないと考える
包括的な視点を見ないといけないので、そもそもそういう人はセキュリティ業界にいる。
IT系の記者を希望する人も多いが、セキュリティはいやといって萎縮してしまう人も結構いる
辻氏
毎回記事を書く際、後で吊るすタグに恐怖を感じている
■ ユーザー側と開発側の視点、どのようなセキュリティを考えるべきか (会場内から質問)
三輪氏
情報を全て把握している訳ではない、がそんな人たちが対策をしている
利便性を優先させる際にセキュリティをおざなりにしてしまうケースもあるが、それはその人が悪い訳でもない
もっと上の会社の経営者、その経営に対する考え方の問題
ある程度のコストと手間もかかる
結果として利便性が犠牲になる場合もある
セキュリティにも妥協せずにバランスを考えることが出来る経営者が必要
スーパーできる人がいてもあれはあれ
■ アノニマスがスペインやトルコで逮捕された件を受けて。未成年も逮捕された。今後活動の受け皿(善悪の判断ができない層)はどうなっていくか。(会場内から質問)
園田氏
キャンプやれ、キャンプに来てくれ
特にWebアプリケーションはインスタントに攻撃が出来る点がやや問題かと
小学生レベルから教えていかないとダメそう(赤信号わたるな的なノリ)
彼らの情報検索能力はまったくもって侮れない
■ ジオホッツのFacebook就職のように社会からも歩み寄った方がいいのか、信賞必罰の考え方を浸透させた方がいいのか (会場内から質問)
三輪氏
日本は信賞必罰的試行が強いが、欧米は2、3回失敗しても許される
逮捕歴があるとなかなかセキュリティ系の企業を経営している人は日本にはいない
アメリカのハッカー文化はおおらか
宮田氏
目標はベイブレードチックにころころコミックで連載
個々に登壇されている人がセキュリティはかっこいいと思われるようになってほしい
辻氏
セキュリティはかっこよくなさそう。。
ペネトレーションや監視をしているGeekな人に惹かれる女性はいないよ!
最終的にはananに特集されるようなセキュリティに
三輪氏
キムタク使ってドラマ作ろうといった話はあった
日本の女の子の見る目は無い(笑)
ありがとうといってもらえるセキュリティがやりたい
厳しい医者を目指す人もいるが、あれは自尊心や自己満足、やりがいで仕事をする
長く仕事をする上でとても重要なモチベーション
大学生のようにかっこいい、かっこわるいだけで仕事はしない
おっさん、お姉さんになっても仕事を続けられるかはそこが重要
そこがやりがいになるようなしごとを目指さなくてはならないが、まだそのレベルにはなってないように思う
本物のサービス、役に立つ継続的なサービスが出てくることを望みたい
■ PSNの事件でいくつか気になる点があるが、一番きになったところはどこか(宮田氏質問)
三輪氏
最初のバックドアがどのように置かれたか
辻氏
Strutsの脆弱性(コマンドインジェクション)がつかれたのではという推測
CVE-2010-1870の簡単なデモを実施(脆弱性を用いてサーバーにリモートでファイルを生成する)
Strutsの権限がルートで動いていれば何でも出来るよね
■ ハッカーとのつきあい方はどう考えていくべきか (宮田氏質問)
根岸氏
ソニーのつきあい方が悪いという論調が多いが、姿勢を明確にしている点は特に問題ないと考える
対決姿勢を示しておきながら、脇が甘かったのが最大の問題
狙われる、守らないとならないというリスクを認識していなかった
宮田氏
つきあい方の指針的なものはないか
IPAで出すとか
三輪氏
Googleのやっているような報奨金プログラムをやれば良かったのでは
根岸氏
トップがそういった決断を出来ればいい
三輪氏
過去大手ベンダでハッカー雇用の流れが起きたが、ブームで終わった
彼らは協調性いまいち、朝会社こないとかの面でうまくいかなかった
また、結局脆弱性は残っている以上、今回のソニーの漏えいの件とはまた別と考える必要はあるよね
はしかに1回かかってもよかったという考え方もありかもしれない
園田氏
本当にマジで漏えいした情報を悪用しないと思われる
こっそりやるはず
教えてくれたという意味では余地として残していてくれているのではないか
根岸氏
ロウズセックのリーダーが同じことを言っていた
三輪氏
国家戦略的な視点で出来ているのがアメリカで、出来ていないのが日本
アンダーグラウンドをたたきすぎると技術力が育たないという関係性はある
日本人にはそれを受け止められる懐の深さがないのも事実
根岸氏
アメリカロシア中国北朝鮮韓国は国レベルでやっている
それなりの対策をうてる部隊を整備している
先制攻撃が出来る能力も身につけている
サイバー戦争が起きてもすぐに対応できる能力を育てている
■ ログを定期的に見ていれば防げた問題なのか(会場内からの質問)
根岸氏
ログを改ざんされないように、侵入されたすぐに気づけるようにという対応をとる場合はやはり大変だとは思う
園田氏
単純に行うことを考えてしまうと費用対効果が見合わなさそう
三輪氏
今回のバックドアを置くという1つだけを見ていればファイル変更検知をやっていればわかる
それでも見つからない場合はどうするかというと次の次元を対象としたサービスはまだ存在しないと思う
辻氏
日本中の目グレッパーでも無理
園田氏
目グレップはログ対象外
■ 最後に一言いい足りないことがあれば(宮田氏質問)
辻氏
大分言いたいことを言ってしまったのであまり無いが、今日はおばかキャラをやった
チャリティセミナーにきて頂いてありがとうございました
3*のおっさんになってしまったので少しでも役に立ちたいという思いがあった
根岸氏
攻撃の今後がどうなるかがますます読みづらい
TwitterBlog等で情報を出していって役立てていきたい
三輪氏
パンドラの箱状態の大企業が多い
今は小人さんがサッカーのゴールを守るような状態なのでかなり無理がきている
一つのゴールを守るぐらいなら出来ると考えていたが、数千で国が違ったりとか、
今後これら課題をどうするのかということを考える必要がある
これを経営者が気づいてくれたので今がチャンス
大企業であれば中には気づいている人もいるのでそういう人たちと協力して対応にあたっている
園田氏
かっこよさはキーボードから始まる。
