2024.12.19
システムの穴を運用でカバーしようとしてミス多発… バグが大量発生、決算が合わない状態から業務効率化を実現するまで
講演 4,Back to 2004年ごろ~ブレーキが効きすぎる中起こったこと・やれたこと(全1記事)
リンクをコピー
記事をブックマーク
宮本久仁男氏(以下、宮本):「Back to 2004年ごろ」ということで、(この頃は)もうブレーキがバンバン利いていたのですが、起こったこと、やれたこととして、政府系の話、世の中の話をまとめて、「こんな感じだったんじゃないかな」ということをお伝えします。
ちなみに、スライドはもう少し参考資料などを加筆した上で後で公開するようにします。
いろいろ調べてなるべく間違いがないようにしていますが、あくまで私見です。事実を陳列して、そこに私見を載せたような感じです。
今の自分の立場は、CSIRT(Computer Security Incident Response Team)の運用に携わり始めて10年以上、セキュリティ技術者(として)は20年以上。手掛けた書籍も多く出ました。攻めるか守るかといわれると、どちらかというと守る側、守り気味になっています。そんな感じです。
当時の立場はなんだったかというと、あくまで個人のセキュリティ技術者でした。駆け出しでもなく、中堅かなという感じがします。企業内でオープン系の技術を手掛ける者で、ネットワークやOS(技術)中心。情報セキュリティ、サイバーセキュリティ関係は知っているし、調べているし、いろいろ発表していますが、当時(これら)は(自分の)職業ではありませんでした。
その中で、Winnyも含めたいろいろなことを、調べてまとめたりしていたこともあります。ただ、Winnyそのものの解析などには携わっていません。あと、当時の「Slashdot Japan」というニュースサイトの編集者の1人でもありました。
今日の内容は大きく3つで、Winny関連の事案やセキュリティ関係の事案、あとはブレーキとやれたこと、最後にWinnyとは何だったのかという感じでまとめておきます。
最初に関連の事案ですね。(スライドを示して)まずWinnyがリリースされた頃の話なのですが、時系列では大きくこんなかたちになります。2002年5月頃がWinnyのイニシャルリリース、2004年頃に「LimeWire」、2006年から2007年あたりで「Cabos」「Share」「Perfect Dark」あたりが出てきています。
これらは全部P2Pファイル共有を行うソフトウェアです。プロトコルが違っていたり、(それぞれの)実装は当然違いますが、一応P2Pファイル共有を行うことを目的にしたものと見ています。
そんな中で暴露ウイルスの出現。2004年3月頃、いわゆる“キ○タマウイルス”というもの(が出現しました)。暴露ウイルスによると思われる情報漏洩も、このあたりから次第に増加していきます。
「Antinny」は全部が暴露ウイルスかというと実はそういうわけではなくて、最初のAntinnyに暴露の機能はありません。いわゆる“キ○タマウイルス”の「Antinny.G」や「Antinny.K」、「仁義なきホニャララ」あたりは暴露機能を持っていますが、最初のAntinnyは暴露機能はないと記憶しています。
漏洩の話でいうと、2004年2月あたりにACCS(一般社団法人コンピュータソフトウェア著作権協会)の個人情報漏洩案件に関連して、初の逮捕者(が出ました)。いわゆる「ACCS事件」と(いうものです)。
これは不正アクセス禁止法の話ですが、漏洩の舞台になってしまった「A.D.ホニャララ」は無期限開催停止になりました。このあたりからみなさんがだんだん漏洩の話にセンシティブになってくるような流れになっています。
2004年4月頃から、Winny経由での情報漏洩ニュースが相次いでいます。誤操作、要は操作・設定ミスで漏洩したという話もあれば、記事の中に「ウイルス感染」とあって、もろにキンタマ(ウイルス)に感染しただろうというものもありました。いろいろなかたちのものがあります。
2005年以降は、ウイルス感染をトリガーに漏洩した案件がとにかく増えてきます。ウイルスも単純にポンと置くだけではなくて、いかにもダウンロードしたくなるようなファイル名の偽装。例えば右から左に読ませるUnicode right-to-left markなどの悪用や、キリル文字の悪用。あとはアイコンそのものを偽装するなどいろいろありましたが、マルウェアを踏ませる工夫が進んだ感があります。
一説には、「Winnyで流通しているファイルの大半がウイルスじゃないか」とか、「そこ(Winny)がファイル偽装の博覧会みたいに見られていた」という話も聞いたことがあります。
一方で、法律制定の動きも淡々と進んでいます。1988年のものは古すぎるので(気にしないで)いいですが、1999年公布、2000年施行の不正アクセス禁止法。あとは2003年公布、2005年全面施行の個人情報保護法といった法律ですね。特に漏洩というと個人情報保護法がやはり1つのエポックメイキングなものになってくるとは思っているのですが、そんなかたちで法律制定が動いています。
(スライドを示して)一方でインターネット接続関連のサービスやインターネット経由で使うサービスについては、こんなかたちで流れているのかなと。
1990年代前半から中盤ぐらいまではまだダイヤルアップ接続が(中心で)、1990年代後半ぐらいから常時接続が普及し始める。1996年には「OCN(Open Computer Network)」がサービスを開始しています。いわゆる「OCNエコノミー」もこのタイミングでサービスを開始しています。
それから3年後、1999年に東京めたりっくが「ADSLサービス」を開始、NTT東西も「フレッツADSL」を開始、「2ちゃんねる」もたしか1999年に開設しています。
それから1年後(の2000年に)はNTT東西のBフレッツ開始。(フレッツ)光ですね。そして2001年に「Yahoo! BB」がサービスを開始するというかたちで流れがきています。Yahoo! BBのADSLサービスで、いわゆるブロードバンド人口が爆発的に増えたと言われています。
(スライドを示して)こんなかたちで時系列で何が起こったかをザッと述べたのですが、マップしていくとこんな感じになります。大変雑です。すみません。
2003年から2004年あたりでどういうことが起こったかをザッと見てみると、いろいろなものが収束してくるんですね。私はこれを見て、接続技術やサービス、インターネット経由で利用可能なサービス、あとは関連法、アプリケーション、そして被害と、全部出揃った直後の非常に悪いタイミングだったんだろうなと見ています。
ここまできて世の中的に「なんかけしからん」みたいな話が出てくると、別に技術がけしからんわけでもなんでもないのに、技術が槍玉に上がるようなことも当然出てきます。
では、ブレーキとやれたこと。最初にブレーキの話を述べるわけですが、例えばこんなことが起こりました。
まず、効きすぎたブレーキ。このあたりのタイミングで、攻撃色が強かったり、制約を突破するとか制約を回避するイメージを持たれたものは忌避された。これはあくまで一般というか、多くの普通の人の感情ですね。
例えば2003年7月に「セキュリティ甲子園」の開催を発表したのですが、外部からの批判を受けて開催延期と(なりました)。これは攻撃・防御という話をしていたのですが、攻撃という部分をクローズアップされて見られ(てしまっ)た感はあります。2003年12月の「SoftEther」の公開も、外部からの意見を受けて一時停止となりました。
セキュリティ甲子園は、2003年8月に(高校生が)攻撃・防御技術を競う会としてやるつもりだったのが延期になりました。その後どうなったかというと、2004年8月に20歳以下を対象とした「セキュリティ・キャンプ」に衣替えして開催しています。
この中では一応法律・倫理面を重視した講義も実施しているのですが、これはセキュリティ甲子園でも予定していた内容なので、「なんじゃいな」という感じはしています。
SoftEther(について)は2003年12月に(SoftEther)1.0が公開されました。でも、12月24日に公開一時停止、12月27日に公開再開しています。これ(について)は、次の年の2004年に対策用ソフトウェアのOne Point Wall SoftEtherやSoftEther Alert、SoftEther Blockなどが順次リリースされています。
ほかにブレーキ&やれたこととして挙げてみると、P2P系の研究が、見える範囲ではありますが、停止したり縮小したりしたように見えてきています。セキュリティ関係の勉強会の勢いが一時期衰えていました。
あとは攻撃じゃなくて防御系、検知系ですね。例えばテイント解析による情報追跡など、情報漏洩追跡系の研究が一部で盛んになりました。関連法やガイドラインなどに対する理解を深める動きも見えています。
それから、これはおそらくP2Pにはあまり関係なく前から検討を進めていたと思うのですが、早期警戒パートナーシップの整備・公表。先ほど三角さん(三角育生氏)からもありましたが、安倍官房長官による注意喚起などが起こっています。
感覚的に、当時は興味や好意的反応が、防御と検知・ガバナンスのほうに向くようになってきたのかなと。ただ、2004年当時はまだセキュリティはおまけみたいな(もの)。今思えば「なんじゃいな」という感じのことが起こっていました。
一方で、当然ですが、攻撃を想起させるような技術については普通の企業では嫌われたようにも見えます。私自身も、攻撃に使うつもりはまったくなかったのに、相当疎まれました。少し前に発表したもの(DNSのレスポンス偽装技術)も、タイミングや使いどころが悪かったらきっと死ぬほど叩かれたでしょう。
やれたこととしては、だいぶ後(のこと)になりますが、セキュリティ甲子園でやろうとしたことを「SECCON」で実現できたように思います。あとはサイバーセキュリティ分野の研究について、研究倫理をきちんと掲げて、確認をする、チェックをする、相談を受けるという動きが学会などで見られています。そしてCode of Conductを明示して開催するような催事が増えています。
それとはまったく別方面ですが、攻撃とか悪意があることを織り込んだオフェンシブな取り組みも、もちろんディフェンスに寄与するという目的ではありますが、好意的に見られるようになりました。例えばRed Team Testがそうです。
P2Pネットワークは盛り上がっては衰退してといろいろ(動きが)ありますが、一方で「情報漏洩は減ったのか」と言われると、そんなことはない。情報漏洩自体は増えています。これはいろいろな契機で増えていますし、APT(Advanced Persistent Threat)(攻撃)、ランサムウェア、外部者の攻撃による持ち出しなどが増えています。悪意のないカジュアルな持ち出しも増えています。ただ、カジュアルに持ち出すのがけっこう難しくなったぶん、たちの悪い持ち出し方はきっと増えていますね。
「P2Pは死んだのか?」というとぜんぜん死んでおらず、主要な研究テーマの1つになっているような感じです。実は先ほどAki@めもおきばさんの話にありましたが、P2Pのベースになるような技術、(例えば)DHT(分散ハッシュテーブル)やオーバレイネットワークといった技術は、単独のテーマとして成立・発展しているので、ある意味より発展しているじゃないかという気がします。P2Pという言葉を使っているかどうかは別ですが。
何でもそうですが、使う(技術)、検知(する技術)、止める(技術)。そういったものが全部揃って使う時にも安心して使えるという話にならないと、どうも世論がうるさそうだろうと。WinnyについてもSoftEtherについても、どうも通すばかりで止められないあたりが問題視されたのかなと見えていますし、実際SoftEtherには、「止めているはずなのに全部無駄になる」というような論調の批判があったようです。
あとは技術者や研究者がエシカル、要は倫理的に正しいことを求められるのですが、きっと「うかつなことはするな」ということでしょうね。
まとめます。Winnyとは何だったのか。WinnyはPure P2Pのファイル共有ソフトで、流通制御はやらずというかできずというか。逮捕されてしまったので触れず、悪意あるものも流通(してしまいました)。
「大したことない」とディスる向きも一部にはあったようですが、まずP2Pでモノを流通させる部分を実用的に動かした点ですごく評価できます。だからこそ目をつけられたんじゃないかなと。
あと、あらゆる議論の発端になったという点ではすごく着目すべきものだと思います。この会というか、セミナーもその1つかなと感じています。
おわりに。これは本当に実感なのですが、P2Pの有無に関係なく、仕事は減りそうにありません。仕事が減る時というのは本当に世の中が安全になる時、サイバーセキュリティがなんとかなっている時なのでしょうが、おそらくまだまだ減りそうにないだろうなということで、雑にまとめて私のお話は終わりでございます。以上です。
関連タグ:
2024.12.20
日本の約10倍がん患者が殺到し、病院はキャパオーバー ジャパンハートが描く医療の未来と、カンボジアに新病院を作る理由
2024.12.19
12万通りの「資格の組み合わせ」の中で厳選された60の項目 532の資格を持つ林雄次氏の新刊『資格のかけ算』の見所
2024.12.16
32歳で成績最下位から1年でトップ営業になれた理由 売るテクニックよりも大事な「あり方」
2023.03.21
民間宇宙開発で高まる「飛行機とロケットの衝突」の危機...どうやって回避する?
PR | 2024.12.20
モンスター化したExcelが、ある日突然崩壊 昭和のガス工事会社を生まれ変わらせた、起死回生のノーコード活用術
2024.12.12
会議で発言しやすくなる「心理的安全性」を高めるには ファシリテーションがうまい人の3つの条件
2024.12.18
「社長以外みんな儲かる給与設計」にした理由 経営者たちが語る、優秀な人材集め・会社を発展させるためのヒント
2024.12.17
面接で「後輩を指導できなさそう」と思われる人の伝え方 歳を重ねるほど重視される経験の「ノウハウ化」
2024.12.13
ファシリテーターは「しゃべらないほうがいい」理由 入山章栄氏が語る、心理的安全性の高い場を作るポイント
2024.12.10
メールのラリー回数でわかる「評価されない人」の特徴 職場での評価を下げる行動5選
Climbers Startup JAPAN EXPO 2024 - 秋 -
2024.11.20 - 2024.11.21
『主体的なキャリア形成』を考える~資格のかけ算について〜
2024.12.07 - 2024.12.07
Startup CTO of the year 2024
2024.11.19 - 2024.11.19
社員の力を引き出す経営戦略〜ひとり一人が自ら成長する組織づくり〜
2024.11.20 - 2024.11.20
「確率思考」で未来を見通す 事業を成功に導く意思決定 ~エビデンス・ベースド・マーケティング思考の調査分析で事業に有効な予測手法とは~
2024.11.05 - 2024.11.05