今、エバンジェリストが振り返る 「WannaCryは、そこまで騒ぐべき事件ではなかった」:セキュリティリサーチャーからの提案(前編)(1/4 ページ)
セキュリティのセミナーというと、最新技術を使った防御手法を解説することが多いが、マカフィー主催の「MPOWER:Tokyo」で、ソフトバンク・テクノロジーの辻氏が講演した内容は、自らの目で見てきた事実を軸にした“エモーショナル”なものだった。その講演と辻氏の「思い」を前後編でお届けする。
2017年も「Wannacry」をはじめとするランサムウェア騒動や「Apache Struts」の脆弱性など、企業セキュリティを脅かす事件が多発した。1億人以上の個人情報を漏えいしてしまったEquifaxの事件などは、記憶に新しい。
攻撃手法が進化し、巧妙になる中で、組織と人は、どう現状に歩み寄ればいいのか――。マカフィーのセキュリティカンファレンス「MPOWER:Tokyo」で、ソフトバンク・テクノロジーの辻伸弘氏は、セキュリティリサーチャーとしての経験から、数々の事故、事件から得られた教訓と提案を語った。
セキュリティリサーチャー、辻氏が経験してきたこと
辻氏は現在、セキュリティサービスを提供するソフトバンク・テクノロジーで、プリンシパルセキュリティリサーチャーとして活動している。また、同社における“柔らか優しいセキュリティエバンジェリスト”として、多くの講演をこなす同社セキュリティ部門のマスコット的存在だ。
その辻氏は、同社のサービスの1つである「ペネトレーションテスト」を通じ、実際のシステムへ疑似的に侵入することで「今よりもより良いシステムにするにはどうしたらいいか」「残るリスクをどう捉えるか」を顧客目線で考えることに注力している。
「セキュリティというと、守る、ブロックするというイメージがあるでしょう。ペネトレーションテストの役割は“状況をつまびらかにする”こと。どんな攻撃が行われているか、その結果“教訓は何だったのか”を明らかにすることを仕事にしています」と、辻氏は自身のミッションを説明する。
その裏にあるのは「自身の目で見なければ信用しない」という信念だ。自宅ではマルウェアを検知するための「ハニーポット」を運用し続け、常に新たな攻撃の予兆がないかを調べている。また、辻氏が個人的に日々情報を追いかけ、調査した事件や事故は、自身のブログで惜しみなく共有している。
その他にも、セキュリティの現状をより多くの人に知ってもらうための活動として、ポッドキャスト「セキュリティのアレ」も不定期で更新中だ。
証言1:「WannaCry」はそこまで騒ぐべき事件だったのか?
辻氏はまず、2017年5月に大きな話題になった「WannaCry」を取り上げた。同氏は実際のWannaCry検体をもとに、一瞬で重要なファイル群が暗号化されてしまうというその挙動を、デモを通じて来場者に「目で」体感させる。
「仕事のファイルだけでなく、画像、動画、音声など、なくなったら困るファイルが全て対象です。その他にも、PCゲームのデータなどもやられます。最後にはお金を払え、すぐ払えと派手に表示します。ランサムウェアはこれまでのひっそりとした挙動ではなく、派手に変化しないと身代金が取れませんから」(辻氏)。
関連記事
- ソフトバンク・テクノロジーの情報漏えい、失意に沈む会議室の空気を変えた「一言」
「インシデントが発生したら、社会貢献と考えて正しく情報公開を行うべき」と提案するソフトバンク・テクノロジーの辻氏。「MPOWER:Tokyo」で行った講演では、ソフトバンク・テクノロジーで実際に起きたインシデントと、その対応を紹介した。 - 「WannaCry」拡散 そのとき情シスはどうすべきだったのか
そろそろ一段落した感もある「WannaCry」騒動ですが、セキュリティ対策は「防げたから終わり」ではありません。この事件から学ぶべきことは何か、“次”に備えて何ができるかを考えてみます。 - ランサムウェア「WannaCry」の被害が止まらない理由
世界で猛威を振るい、次々と被害が報告されているランサムウェア、「WannaCry」。なぜ、被害が拡大し続けているのでしょうか。 - メールの添付ファイルに注意 ランサムウェア「Wanna Cryptor」にIPAも注意喚起
5月12日夜から世界で感染が拡大しているランサムウェア「Wanna Cryptor」について、IPA(情報処理推進機構)が緊急会見を開き、注意喚起した。週明けのメール開封時には特に注意が必要だという。 - ベネッセ情報漏えい事件から学ぶ、セキュリティ対策の“基本”とは?
2014年も企業の情報セキュリティを脅かす事件は数多く発生している。ソフトバンク・テクノロジーの年次イベントで、セキュリティ専門家の辻伸弘氏がベネッセの情報漏えい事件を例に取り、情報漏えい対策や標的型攻撃対策の“基本”を説明した。
Copyright © ITmedia, Inc. All Rights Reserved.