SHOEISHA iD

パスワードを忘れた場合はこちら

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

  • 新規
    会員登録
  • 新規会員登録

ニュース

記事

Security Online

DB Online

イベント

講座

特集

定期誌

ブログ

新着記事一覧を見る

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

最新イベントはこちら!

Data Tech 2024

Data Tech 2024

2024年11月21日(木)オンライン開催

イベント一覧はコチラから

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

新エバンジェリスト養成講座

講座一覧はコチラから

EnterpriseZine(エンタープライズジン)

EnterpriseZine編集部が最旬ITトピックの深層に迫る。ここでしか読めない、エンタープライズITの最新トピックをお届けします。

バックナンバーはこちら

『EnterpriseZine Press』

2024年秋号(EnterpriseZine Press 2024 Autumn)特集「生成AI時代に考える“真のDX人材育成”──『スキル策定』『実践』2つの観点で紐解く」

最新号を読む

読めるHackademy Live

もうメールをやめたい/アンチウイルスソフトの検知率は


Hackademyのお二人がちょっと前の漏えい事件、アンチウイルスソフトについて語りました。(収録:6月21日)

Hackademy Facebookページはこちら

岡田 Hackademyでございます。蔵本さん元気ですか。

蔵本 こんにちは。まあまあですね。

岡田 ということでですね、このネタです。JTBへの不正アクセス。

蔵本 これもやっぱりそんなに詳細な情報が出て、みたいな話が出てないじゃないですか。中でインフラの中でどういう手法が使われていたとか……。

岡田 まあ、ちょいちょい出始めているような。Piyokangoさんのブログをいつも見ているんですけども、まあ、まとめをいつもされていますけど、Baiduから記事を消せと言われているらしいですけど、この話はまた別の機会に(笑)。(後日、削除依頼はすぐに取り下げられたようです。)

蔵本 攻撃に使われている手法の詳細とかっていうのはそれほど出てないですよね。

岡田 まだマルウェアは何だったか、くらいですよね。いちおう、だいたいなにかっていうことが書いてある。マルウェアに感染が3月15日で、3月20日くらいに、ようやく、これ休み明けかなんですよね。週末、その間にいろいろやられてたやんという話で。第1ツッコミポイントがここにあるわけですけどね。で、エスカレーションまでのこの謎の2か月。1か月半くらいですね。これ、ビジネス面での影響がけっこう大きいなと僕思っているんですけどDeNAトラベルとか、ドコモとか、いくつかのサービスがOEMなんですよね。実際に起きたことはそんなにびっくりすることが起きたわけではないんですけど。

蔵本 まあいうてみたらよく聞く話ですよね。

岡田 一番最初に記者会見でね、「20歳くらいのオペレーター」っていうのが。気に入らないんですよ(笑)

蔵本 僕もあれすごい反応しちゃったんですけど、なんか別に誰でも踏むじゃないですか(笑)

岡田 何台も踏まれていたっていう話でしょ、あとあと聞くと。複数。サーバー管理者のパソコンはやられていないって主張されていますよね。だけど複数のパソコンがやられていて、たぶん最初のものが、最初のものと認定したのがオペレーターの人だったというわけですけど、他の着弾もあるわけですから。

蔵本 しかも、思うんですけど、誰が踏んだとか、なんで踏んだんやというのはそんなに問題じゃないと思っていて、Hackademyのトレーニングの中でもやってますけど、もう見破るの無理だろっていうメールがくるじゃないですか、実際。

岡田 そうですよね。

蔵本 そんで、それをなんか踏んでしまったからなんやねんと。まあ、踏まないにこしたことはないですけど、それは踏んだ後、踏んでしまっても大丈夫にするにはどうしようというほうに、記事とかも本当はフォーカスして書いたほうが、僕は後学のため、世のため人のためになると思うんですよね。

岡田 あの記者会見のやりとりそのものの中から、スタディというかね、記者会見の中で伝えたいひとの気持ちはわかるのでいいんですけど、今後、その記者会見の中では、その手では正しい応答になっていかないよ、と。「訓練をやってたんです」「オペレーターが非常に精巧な標的型メールをふんじゃったんです」「それは仕方がない、責めてない」みたいなことに大半の時間が使われていて。そういうやり取りが記者会見の原因発表に関する内容としては通用しなくなる転換点みたいなね。
 年金機構のことが比較で取り上げられているでしょう。あれも僕ね、おかしいと思うんですよ。あれはもう完全にローカルから持って行っただけじゃないですか。だけど今回、もうひと手口、もうひと手間があったでしょ。

蔵本 そうですね。はい。

岡田 サーバーの中にCSVファイルでデータベースダンプができてる。あれ、どうやったんでしょうね。

蔵本 あのへんがまだなんか明らかになってないですよね。

岡田 パワーシェルからコマンド打って…みたいなことなのか。僕はいちばんありがちなのが、オペレーターが使っているWebインタフェースかクラサバのインターフェースに脆弱性があって、そこからアタック一発かましたんちゃうかなと。

蔵本 PC6台でしたっけ。感染したの。ああいうのもそれぞれ着弾しているのか、どうやって感染が広がったのかっていうこともまだよくわからないですもんね。

岡田 まあ、なので、ガバナンスの話とかビジネスの影響の話だとかもあるんだけど、JTBさんのやつというのはひっかかったね、残念でしたね、という話じゃなくて、もうちょっと攻撃されてから被害が実際に発生するまでのプロセスが明かされないと、少なくてもスタディにならん、そこがポイントだと思います。
 ですから、JTBみたいにならないようにするにはどうしたらいいんですかっていうとんでもないバブルが起こっているらしいですけど、今まだ本当にどうしたらいいかっていうことは推測でしかないかなーという感じです。
 こういうニュースって、だいたい20日くらいするとみんな忘れてしまって、注意しなくなって、発表しようにもなんかこう発表しても誰もリアクションないので(笑)、ここらへんは、プロのリサーチャーが何らかの分析をどっかに出すなりをやっていただけるといいんじゃないかと。

次のページ

NEXT

この記事は参考になりましたか?

  • Facebook
  • X
  • Pocket
  • note
読めるHackademy Live連載記事一覧

もっと読む

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/8367 2016/08/26 14:38

Job Board

AD

おすすめ

アクセスランキング

アクセスランキング

  1. 1
    「能動的サイバー防御で日本は“蚊帳の外”」名和利男氏、新井悠氏、辻伸弘氏が示す官民連携への道筋
  2. 2
    個別最適から全体最適に──オムロンの命運を握るグローバル横断のシステム刷新プロジェクト「CSPJ」 NEW
  3. 3
    ガートナーやAWSの戦略に捉われるな!情シスが陥りがちな失敗する“システム起点”モダナイゼーション
  4. 4
    2年で従業員数5倍の企業が直面した課題 「無尽蔵なリソースは必要ない」堅牢なクラウドセキュリティとは NEW
  5. 5
    三菱UFJ銀行が“生成AI”活用にアクセル、グループ企業への展開も視野にいれた新プロジェクトの狙いは
  6. 6
    ベンダーへの過信は禁物! 徳丸浩氏が語る、「堅牢・強靭」なシステム・アプリケーションに必要なこと
  7. 7
    JR主要駅の“消費力”をSuicaデータ×オープンデータで分析、JR東日本が推進する「駅カルテ」とは NEW
  8. 8
    アイデンティティ新標準「IPSIE」はこれまでのSSO認証基準と何が違うのか? Oktaに聞く NEW
  9. 9
    生成AIのハルシネーション克服へ RAG構築における「データ構造化」の4つのポイントとは?
  10. 10
    「Salesforce Data Cloud」は顧客数130%・データ量240%の成長、立役者に訊く NEW
  1. 1
    三菱UFJ銀行が“生成AI”活用にアクセル、グループ企業への展開も視野にいれた新プロジェクトの狙いは
  2. 2
    3000億円を投資したイオン巨大DB統合の裏側 “and条件”で実現する多様性に富んだ基盤構築術
  3. 3
    「能動的サイバー防御で日本は“蚊帳の外”」名和利男氏、新井悠氏、辻伸弘氏が示す官民連携への道筋
  4. 4
    【200人以上が参画】オムロンの生成AI活用の屋台骨を支えるのは“業務課題を持つ”メンバーたち
  5. 5
    30ヵ国でバラバラだった人事プロセス……楽天は如何にしてグローバル全体でシステム統一を成し遂げたのか
  6. 6
    CentOS終了後の選択肢は? AlmaLinuxを支えるセレツキー氏に訊く、Linux市場の現在地
  7. 7
    JFEスチールが「サイバーセキュリティ専門子会社」設立を決断した真意 “尖った人材”の創出の場に
  8. 8
    生成AIのハルシネーション克服へ RAG構築における「データ構造化」の4つのポイントとは?
  9. 9
    事業会社のセキュリティ組織が機能しない理由とは? ANAのCSIRTリーダーたちが示す運用のポイント
  10. 10
    【日清食品×楽天】社内にデータ活用を浸透させる第一歩は“共通言語化” 両社が実践する人材育成術とは

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング

  1. 1
    「能動的サイバー防御で日本は“蚊帳の外”」名和利男氏、新井悠氏、辻伸弘氏が示す官民連携への道筋
  2. 2
    個別最適から全体最適に──オムロンの命運を握るグローバル横断のシステム刷新プロジェクト「CSPJ」 NEW
  3. 3
    ガートナーやAWSの戦略に捉われるな!情シスが陥りがちな失敗する“システム起点”モダナイゼーション
  4. 4
    2年で従業員数5倍の企業が直面した課題 「無尽蔵なリソースは必要ない」堅牢なクラウドセキュリティとは NEW
  5. 5
    三菱UFJ銀行が“生成AI”活用にアクセル、グループ企業への展開も視野にいれた新プロジェクトの狙いは
  6. 6
    ベンダーへの過信は禁物! 徳丸浩氏が語る、「堅牢・強靭」なシステム・アプリケーションに必要なこと
  7. 7
    JR主要駅の“消費力”をSuicaデータ×オープンデータで分析、JR東日本が推進する「駅カルテ」とは NEW
  8. 8
    アイデンティティ新標準「IPSIE」はこれまでのSSO認証基準と何が違うのか? Oktaに聞く NEW
  9. 9
    生成AIのハルシネーション克服へ RAG構築における「データ構造化」の4つのポイントとは?
  10. 10
    「Salesforce Data Cloud」は顧客数130%・データ量240%の成長、立役者に訊く NEW
  1. 1
    三菱UFJ銀行が“生成AI”活用にアクセル、グループ企業への展開も視野にいれた新プロジェクトの狙いは
  2. 2
    3000億円を投資したイオン巨大DB統合の裏側 “and条件”で実現する多様性に富んだ基盤構築術
  3. 3
    「能動的サイバー防御で日本は“蚊帳の外”」名和利男氏、新井悠氏、辻伸弘氏が示す官民連携への道筋
  4. 4
    【200人以上が参画】オムロンの生成AI活用の屋台骨を支えるのは“業務課題を持つ”メンバーたち
  5. 5
    30ヵ国でバラバラだった人事プロセス……楽天は如何にしてグローバル全体でシステム統一を成し遂げたのか
  6. 6
    CentOS終了後の選択肢は? AlmaLinuxを支えるセレツキー氏に訊く、Linux市場の現在地
  7. 7
    JFEスチールが「サイバーセキュリティ専門子会社」設立を決断した真意 “尖った人材”の創出の場に
  8. 8
    生成AIのハルシネーション克服へ RAG構築における「データ構造化」の4つのポイントとは?
  9. 9
    事業会社のセキュリティ組織が機能しない理由とは? ANAのCSIRTリーダーたちが示す運用のポイント
  10. 10
    【日清食品×楽天】社内にデータ活用を浸透させる第一歩は“共通言語化” 両社が実践する人材育成術とは