サイバー攻撃・USB紛失・KDDI大規模通信障害…　セキュリティ専門家たちが語る、2022年のインシデント事例

本日のトピック紹介

森川知雄氏（以下、森川）：株式会社SHIFTの森川と申します。本日は「SHIFT EVOLVE」の司会を務めさせていただきます。本日のテーマは「Webエンジニア向けセキュリティ勉強会！　脅威インテリジェンスでハッカーから身を守れ！！」ということで、本日は弊社SHIFTからhazukiさんと、サイファーマ株式会社から佐野健一さん、スペシャリストのお二人をお招きして、脅威インテリジェンスについて勉強会をしていただこうかなと思っています。

hazuki氏（以下、hazuki）：それでは、さっそく本日のトピックに入っていきたいと思います。

では、みなさまあらためまして、本日は7時半からという平日ど真ん中のお時間の中、ご参加いただき誠にありがとうございます。

佐野健一氏（以下、佐野）：ありがとうございます。

hazuki：今回のSHIFT EVOLVEなんですけれども、「Webエンジニア向けセキュリティ勉強会！」、サブタイトルとして「脅威インテリジェンスでハッカーから身を守れ！！」という非常にキャッチーなタイトルとなっています。

そして、（スライドを示して）こちらのアイキャッチですね、非常にかっこいいといいますか、サイバーセキュリティチックなデザインになっています。ちょっとサイバー感があって（笑）。

佐野：かっこいいですね。

hazuki：はい（笑）、イケていますよね。社内の方が作ってくれました。デザインに力を入れているなと感じています。

本日の内容は「脅威インテリジェンス」という、もしかしたらみなさんにとって聞きなじみのない単語かもしれません。

1時間を通して、どんな内容をお話ししていきたいかといいますと、冒頭でも、「セキュリティ対策は足りていますか？」といった問いがありました。みなさんは、セキュリティに関する情報収集をしていますか？　それから、「ハッカー」と聞いてどんなイメージがありますか？　それから、セキュリティ対策、今何ができているのかわかっていますか？　そして、タイトルにもありましたが、Webエンジニアにとって、どんなことがセキュリティ対策できるのか？　などなどですね。

今回は、Webエンジニア向けというタイトルにしていますが、もちろんWebエンジニアじゃない方にとっても非常に有意義なお時間になるのではないかなと思っているので、どのポジションの方にとってもタメになるようなセキュリティの話をしていきたいと思っています。

マネジメント系のCISSPとエンジニア系のCEHを両方持っている、SHIFT社・hazuki氏

hazuki：では、本日の登壇者の紹介をしていきたいと思います。まずは、私から。株式会社SHIFTに所属をしているhazukiと申します。セキュリティエンジニア兼、セキュリティコンサルタントをしております。

ここに載せている、CISSP（Certified Information Systems Security Professional）とCEH（Certified Ethical Hacker）という資格は、セキュリティに関する国際資格なんですが、セキュリティ界隈の人は聞いたことがある資格かなと思います。

特にCEHと呼ばれるほうは、Certified Ethical Hackerというもので、ホワイトハットハッカー、エシカルハッカー、倫理ハッカーという、実際に攻撃をする、ハッキングをする能力があるかどうかを試験をする国際資格になっています。こちらを一応持っている感じですね。

佐野：マネジメント系のCISSPと、エンジニア系のCEHを両方持っている人ってなかなか少ないんじゃないですか？

hazuki：確かに、そうですよね。おっしゃるとおりで、CISSPはどちらかというとマネジメント寄りな感じなので、保有している方も例えば40代とか、わりと上の層の方が多いのかなというイメージです。ちょっと「手を出すのが早かったかな」感はありますが、資格だけじゃなくて、内容も伴っている人間になっていきたいなと思っています（笑）。

佐野：かっこいい（笑）。

hazuki：ありがとうございます。

サイファーマ社所属・シニアセキュリティコンサルタントの佐野氏

hazuki：SHIFTからの登壇者は私で以上となりますが、冒頭でもご紹介がありましたとおり、本日はスペシャルゲストがいらっしゃっています。それでは佐野さん、ご紹介をお願いしてもよろしいでしょうか？

佐野：はい、サイファーマの佐野と申します。40より上の人間です（笑）。

hazuki：（笑）。

佐野：セキュリティ業界を足掛け40年やっていて、前職ではコンサルタントをやっていました。コンサルタントでお客さんを支援するのが好きで、アセスメントしたり、セキュリティ施策を作ったり、予算の策定を手伝ったりなど、そういうお客さまのセキュリティを強化することが好きでやっていました。

脅威インテリジェンスに興味を持ったので、今はサイファーマでプリセールスとカスタマーサクセス責任者をやっています。実際にやっていることは前職とほぼ変わらない、コンサル的なことでお客さまの支援をしています。

あと、野球が好きです。西武ライオンズのファンです（笑）。

hazuki：（笑）。ありがとうございます。もう超ベテランで、シニアセキュリティコンサルタントってメチャクチャかっこいいですよね（笑）。

佐野：ある程度、年齢や経験がいくと、よくみんなつけていますよ。

hazuki：本当、メッチャかっこいいなという。そしてこの落ち着き加減、そして野球好きなんですね。

佐野：そうです、そうです。家族、嫁と共に一喜一憂しています。

hazuki：奥さまも野球がお好きなんですね。

佐野：そうなんです、そうなんです。今は嫁のほうがハマっていて、家のストレージの容量がヤバいことになっています。

hazuki：ストレージの容量が（笑）。

佐野：野球の試合だけで。

hazuki：野球まみれで（笑）、いいですね。スポーツ観戦、仲良しで。

佐野：ありがとうございます。

hazuki：ありがとうございます。では、スペシャルゲストを交えて、本日は2名で進めていきたいと思いますので、よろしくお願いいたします。

佐野：お願いします。

2022年は国内外でセキュリティに関するインシデントが多かった

hazuki：では、さっそく本題に入っていきたいと思いますが、みなさん、「セキュリティ」と聞いてどのようなイメージをお持ちでしょうか？

なんとなく難しそうとか、怖いなとか、あとはもしかしたら、自分とはあまり関わりがないとか、そんなイメージを持っている方も中にはいるんじゃないかなと思っています。佐野さんはふだんお客さまと接していて、なにか感じるところとかはありますか？

佐野：セキュリティを担当している方々は、「がんばろう」と思っている人が多いなという印象があります。増えてきているなと。

hazuki：すばらしいですね。さすがセキュリティ担当。

佐野：ただ、部長だったり役員だったり、（役職が）上になると、「まだまだ話を聞くべきではないかな」というのはありますね。

hazuki：確かにそうですよね、今コメントでも「セキュリティ面倒くさい」とか（ありました）。

佐野：専門性が高くて難しいイメージは、確かにありますね。

hazuki：そうですよね。

佐野：ハードルが高いというイメージを持たれる感じですよね。

hazuki：何をやったらいいんだろうとか、特別な知識が必要なんじゃないかなとか、確かに難しいって思われる方も多いのかなという印象ですよね。

佐野：そうですね。

hazuki：こちらのように、「セキュリティ」と聞くと、セキュリティ大好き人間の方は、あんまり多くは（ない）……まぁ、多くても怖いかもしれないですけれども（笑）。会社の中でセキュリティを担当している方にとっては、なかなかハードルが高かったりやることが多かったりという印象があるかなとは思っています。

とは言いつつなんですが、特に2022年は国内、国外で、セキュリティに関するインシデントのニュースをテレビでもよく目にする機会が多かった1年だったんじゃないかなと感じています。

佐野：うんうん。

hazuki：秋の事例を2つ持ってきました。9月に「Killnet」と呼ばれるハッカー集団が日本のWebサイトにDDoS攻撃したことが発覚した時は、かなりニュースになっていましたよね。

佐野：うん、なっていましたね。日本が被害に遭って相当報道されちゃったから、もう一般の企業の上の人たちが「うちは大丈夫か」攻撃を食らっていましたね。

hazuki：「うちは大丈夫か」攻撃を、セキュリティベンダーに（笑）。

佐野：そうそうそう。

hazuki：問い合わせがもういっぱいで逼迫するという。

佐野：はい、そうですね。

hazuki：確かに、それもDDoS攻撃ですね（笑）。

佐野：（笑）。

hazuki：Killnet、みなさんもテレビでご覧になったんじゃないかなと思います。

それから、病院がサイバー攻撃を受けるという事案がありましたね。2021年にも徳島県の病院が被害に遭ってしまうという大きなニュースがあったと思いますが、またしても国内で病院が、「ランサムウェア」と呼ばれる、感染するとデータが暗号化されてしまうコンピューターウイルスに感染する事例もありました。

佐野：ありましたね。半田病院の件でかなりニュースバリューがあったから。それが復旧してちょっとしてから、この大阪のも出た。報道に出ていることが全部じゃないので、これ以外にも日本の病院はかなりやられていると思うんです。コメントもけっこう来ていますね、みなさん。

佐野：そうですね。

hazuki：（コメントを見て）「『アノニマス』についてどう思いますか？」

佐野：アノニマスについてどう思いますか？　ずっと昔からやっていますし、別に組織というわけじゃないので、迷惑なやつらだなと。たぶんこの後ちょっとスライドがありますよね。「ハクティビスト」と呼ばれる……。

hazuki：そうですね、その時にも少し触れたいと思います。（コメントを見て）「病院を攻撃するのはひどいですね」と。

佐野：そうですよね。日本もちょこちょこ出ていますが、アメリカなんかもっとひどいですからね。

（コメントを見て）「Ransomware as a Service」、確かにそうですね。

hazuki：みなさん、ご存じで。

佐野：よくご存じで。RaaSというのですね。LockBitもそうですね。RaaSと。

hazuki：こちらのように、テレビやニュースサイトでも国内のセキュリティのインシデントの事例を目にする機会も増えてきたんじゃないかなと感じています。

佐野：そうですね。

hazuki：おまけパートというか、ちょっと参考程度なんですけれども、JNSA（NPO日本ネットワークセキュリティ協会）さんから、「2022年のセキュリティ十大ニュース」というのが年末頃に公表されています。

「セキュリティ」という単語ですが、サイバーセキュリティだけではなく、よく言う情報セキュリティの分野ですね。USBの紛失とか、4位のKDDIの障害とか、こういったものも2022年はかなり話題となったかなと思います。

佐野さん、この中で気になるものとかありますか？

佐野：いやぁ、デジタル庁じゃないですか。

hazuki：デジタル庁、そうですよね。

佐野：ちょっとがんばっていただかないといけないところですからね。

hazuki：期待されていますしね。

佐野：今、担当大臣が河野さんになっていろいろがんばってくれているので、巻き直して。

hazuki：そうですね、もうTwitterでもすごい人気ですよね。

佐野：人気ですよね。

hazuki：もうITといったら、みたいな。

佐野：そうそう。ぜひ、スピード感をもって世の中を変えて、動いてほしいと思っています。

（次回へつづく）