ニュース&イベント

【開催レポート】田中 悠斗氏 現役ホワイトハッカーによる公開講座「サイバー攻撃概論」

【開催レポート】田中 悠斗氏 現役ホワイトハッカーによる公開講座「サイバー攻撃概論」

2024年7月18日、デジタルハリウッド大学は公開講座「サイバー攻撃概論」を開講しました。

担当講師は、ホワイトハッカーとして国内外で活躍されている田中 悠斗氏です。田中氏は防衛大学卒業後自衛隊に入隊。情報戦略やサイバーセキュリティを専門とし、退職後は政府機関や民間企業の情報戦略、セキュリティの脆弱性を検討するレッドチームオペレーションや、インシデント対応、デジタル監査に従事しています。

今回の公開講座では、企業や個人のサイバー被害の事例や、サイバー攻撃を回避するための有効なセキュリティ対策などを解説されました。

サイバー攻撃の4つのパターン

スマートフォンやPC、事業用の電子機器、基幹システムなどハッカーが侵入できる経路が増えている現代において、セキュリティ対策に予算を充てる企業が増えています。

公開講座の冒頭に田中氏から紹介されたのは、サイバー攻撃の主な種類です。

1つ目が「ランサムウェア」。Ransom(身代金)とSoftwareを組み合わせた造語で、身代金を目的としたサイバー攻撃のことを指します。企業や組織のシステムをウイルスに感染させ、PCやサーバー内のデータを暗号化し、法外な身の代金を要求する事件が国内外で起きています。

2つ目が「フィッシング」。偽装されたURLをクリックさせるなどして、個人情報を取得しようとするオンライン詐欺のことです。

3つ目が「サービス攻撃」。特定のサービスのシステムに侵入し、破壊活動やデータの搾取、改ざんなどを行う事件が増えています。田中氏は、サービスを攻撃する際にどんな手口で脆弱性(システムの欠陥)を突くか具体例を紹介しました。

「クロスサイトスクリプティング(XXS)、SQLインジェクション、クリックジャッキング、ディレクトリトラバーサル。サイバー攻撃を受けた国内の企業の約80%は、この4つのパターンのどれかに該当します。もしセキュリティ対策について何も分からないままシステムを外注する際には、この4つについてどんな対策をしているかを確認すると、被害に遭う可能性が低くなると思います」

そして4つ目が「人為的情報漏洩」です。社員や業務委託先が機器の紛失や誤操作を起こし、情報が漏洩してしまうケースを指します。対策方法として、人によってアクセスできる情報の種類を分けることが大切であると田中氏は紹介しました。

情報資産を守るため攻撃者の視点を取り入れる

続けて田中氏は、「ロックビット」や「ブラックスーツ」など海外のランサムウェアグループが、国内の企業を攻撃した事件を紹介。サービス停止や損害賠償の支払いなどを余儀なくされ、身近な企業が苦境に立たされている事例に触れました。

このような大損害を防ぐために、定期的なセキュリティ対策を行う必要があると田中氏は言います。

「現代において、セキュリティ対策のために攻撃者の視点を取り入れることは必須です。弊社では、セキュリティの穴を見つけて報告する“脆弱性診断”、脆弱性を突いてどんな情報が取れたのかをレポートにまとめる“ペネトレーションテスト”を企業に実施しています。ほかにも、自社の価値をもっとも下落させるための作戦を計画立案する攻撃チーム・防御チームに分かれて、“チーム演習”を実施することもあります。検討しているビジネスプランがあって、どうやって利益を伸ばすかだけでなく、どのようにリスク軽減やセキュリティ対策をすべきか。真摯にお客様の事を考えている企業や組織に、弊社のサービスを利用して頂いています。」

田中氏は株式会社フォアーゼットの代表として、提供しているソリューションを紹介しつつ、「自分たちが持っている重要情報資産の価値、流出した場合に考えられる被害規模を把握しておく必要がある」と主張しました。

AIの発達によってハッカーになる敷居が下がっている

侵入経路が増えたことでサイバー被害が増加しているだけではなく、生成AIが実用的になったことで、サイバー攻撃が容易になっていると田中氏は話します。

「試すのはおすすめしませんが、彼氏の位置情報を知りたいと思ったら、生成AIに入力すると目的に資するプログラムを出力してくれます」

一方、ChatGPTを搭載した「HackerGPT」のようなセキュリティ支援ツールも登場してきており、専門家ではない人もハッキングのテストや脆弱性評価などができる環境になっていることを紹介しました。

そのほかにも、ランサムウェア・アズ・ア・サービス(RaaS)という最新のサイバー攻撃事例を解説。ブラックハッカーがランサムウェアをサービスとして提供しており、高度な技術を持たない人がサービスを購入することで、サイバー攻撃が可能になっているのです。

AIの支援や違法なマーケットの発展によって、誰もが新たなサイバー犯罪者になってしまう世の中で、疑いの目を持ちながら生活することの大切さを強調しました。

米国大統領選や大阪万博など、ビッグイベント時には流れ弾に要注意

最新のサイバー攻撃事例に続いて、田中氏は「世界的に注目度が高いイベント時には、サイバー攻撃が行われる可能性がある」と言います。

実際に東京オリンピックのときには、大会関係者や協賛企業に対するサイバー攻撃が合計4.5億回観測されたそうです。

「東京オリンピックの組織委員会は、サイバー攻撃を防ぎきったと言っていますが、実際のところは分かりません。今後確実に、官民問わず無差別的なサイバー攻撃を受けます。個人として自分のネット環境を見直す良い機会だと思いますし、企業としても稟議が通りやすいタイミングだと思うので、セキュリティ対策に意識が向いてほしいと思います」

2024年には米国で大統領選挙があり、2025年には大阪万博が開催されます。Wi-Fiルーターのパスワードが初期設定のままになっていないか、端末のOSやセキュリティソフトのバージョンは最新のものになっているのか、ファイアウォールを設定しただけになっていないか。サイバー被害に遭わないために、基本的な対策から始めることを念押ししました。

質疑応答

公開講座終盤には、在学生や一般の参加者の方からたくさんの質問が寄せられました。

Q. 家族が自営業をしているのですが、先日サイバー攻撃に遭いました。自分に関係する脆弱性の情報をいち早く入手するためには、どこから仕入れれば良いでしょうか

A. 自分でやりきるのは大変な部分もあるでしょうが、たとえば、「JVN」という脆弱性対策情報がまとめられたデータベースや、「Exploit-DB」というセキュリティの穴を突く攻撃コードがまとめられたデータベースがあります。世界の誰かが見つけた脆弱性が自分に該当するのか、収集できる体制を作っておくと良いでしょう。

Q. 公衆無線LANに接続する危険性を教えてください。

A. フリーWi-Fiにアクセスしている端末がどんなやり取りをして、何にアクセスしているのか、すべて見られる危険性があります。既存のIDにアクセスしている一般ユーザーに対して、ブラックハッカーが情報を盗むこともできますし、ブラックハッカー自身が偽装したフリーWi-FiのIDを発行して、それに接続させるようなパターンもあります。重要なことをするのであれば、基本的にフリーWi-Fiを使わない方が良いです。

Q. 漏洩してしまった個人情報はどのように悪用されるのでしょうか。

A. 自宅に誰かが来ることもありますし、「SIMスワップ」という被害に遭うこともあります。基本的に皆さんが持っている携帯電話には、SIMカードという契約者情報が埋め込まれたICカードが入っていますが、その契約自体を誰かに乗っ取られるのがSIMスワップです。たとえばSIMカードから得た情報を使ってネットバンキングに不正にログインし、好きなように送金できます。取引通知の送信先を変えられてしまうと、もはや被害に遭ったことすら気づかないんです。知らなかった人は「SIMスワップ 被害」「SIMスワップ 対策」と調べて、個人情報が漏洩するということはどういうものなのか、個人に降りかかる身近な災害として認識していただきたいです。

Q. WindowsよりもMacの方が安全という話を聞いたことがあるのですが本当でしょうか。

A. 誤りです。世界的に見てWindowsの方が販売台数が多いため、被害の母数も多いのですが、攻撃者視点ではどちらのOSであっても安全度合いは大差ありません。もう少し身近に、iPhoneかAndroid端末かという話であれば、Androidは色んなOSがありますので、OSがカスタマイズされていないiPhoneの方が攻撃者からすると、応用範囲が狭いので準備が楽ですよね。

自分から情報を取りにいき、セキュリティ対策を自分事に

最後に、田中氏から参加者へメッセージがあり、公開講座が終了しました。

「今回は『サイバー攻撃概論』という講義テーマだったので、世界情勢を含めたマクロ的な話や、専門用語の解説などを中心にお話ししました。もし次回も講義をすることがあれば、ハッキングの実演をして手触りのある学びの場にしたいと思っています。サイバー攻撃が容易になり、誰の身にもサイバー被害が起こる可能性があるのですが、そのことについて詳しくかつ定期的にわかりやすく発信するメディアはほとんどありません。大変な時代を生きるためには、基本的に自分から最新の情報を取りに行く必要があります。“そうなんだ知らなかった”“なんかやばそうだけど自分には関係ないだろう”と思ってしまうのではなく、いかに自分事にしていくか。今回の講義で何かしらに興味を持って、サイバー攻撃やセキュリティ対策について身近に感じてもらえたらと思っています」