こちらの記事を読んでいたら突然添付動画のような画面になりました。これが「能動的サイバー防御」というやつかと思いましたが、もちろんそんなことはなく、単なるウェブ画面です。抜けるにはESC長押しか、CTL-ALT-DELで
 https://www.yomiuri.co.jp/politics/20240710-OYT1T50257/

https://x.com/ockeghem/status/1811215322260840685

すげぇ時代になったもんだなあ

そんなにWeb 広告って稼げないのね

Permalink | 記事への反応(0) | 00:49

2024-07-09

■ニコニコ動画の身代金 事件（ランサムウェア 被害）まとめ

はじめに

これは「ランサムウェア」に関する知識がほぼない素人による個人的なまとめだ。

タイトルでニコ動を謳ってあるが、ランサムウェア一般の情報が多い。

情報元はほぼすべてアベプラの次の2動画。不十分かつ最善でないのは承知している。これにIPAのサイトのごく一部の情報を追加している。アベプラ以外からの情報はその旨わかるよう付記してある。

https://www.youtube.com/watch?v=Xt5TbqFGYmU&t=3s

https://www.youtube.com/watch?v=J-Lhw84p1cc&t=1s

アベプラでは専門家として「日本ハッカー協会代表理事　杉浦氏」「SB テクノロジー　辻氏」の発言が元になっている。ただし本まとめの文責は当然ながら私にある。

上で「不十分かつ最善でない」と言いながらも、アベプラ動画のまとめを書こうと思った動機は、まず自分のあまり知らない領域についての情報の一次整理として。そしてご批判とやご意見をもらえると嬉しいという意味で、そのまままるっと増田にアップすることにした。

ランサムウェアとは

データを暗号化されてしまい「復号化したいなら金を払え」と脅迫される類の身代金要求のためのソフトウェア
機密データをコピーされ「漏洩されたくななら金を払え」と脅迫される類の身代金要求のためのソフトウェア
脅迫文は攻撃されたコンピュータ内部にテキストファイルで置かれ、以降の交渉はダークウェブで行うよう誘導される
交渉がまとまれば復号化キーをもらえたり、コピーされたデータを削除してもらえたりする
- 前者はデータ復旧することで確認可能だが、後者は「本当に削除してくれたか」の確認手段がない
身代金支払いは暗号通貨が多い

ランサムウェア 攻撃者もビジネス

ランサムウェアを配布し売上（企業から得た身代金）の一部を上納させる胴元もある
- 振り込め詐欺など反社のしのぎと同じ構造
- 配下メンバーは一人か二人で攻撃しているケースも多い
攻撃対象は大企業が多いが少人数の弁護士事務所が攻撃された事例も
「身代金を払えばデータ復旧」という約束を100%守ることを売りにしているグループもある
- それがランサムウェア攻撃者のブランディングになる（約束を守ったほうが攻撃者としても得）
- データ復旧しない事案が一度でも明るみになれば以降誰も身代金を払ってくれなくなりビジネスにならない
  - 親切に復旧までサポートしてくれた事例もあるらしい。笑
- （個人見解）攻撃対象企業が事業継続できないほどの身代金を要求するのも攻撃者としてはブランディング上不利
  - 「あのグループに身代金を払っても無駄」という評判が出回るとビジネスにならない
- （個人見解）犯行グループが主張する「約束を100%守る」は信頼できない。第三者的視点で約束を守っていることを立証することも不可能では？つまり身代金要求に応じることはギャンブルである。ベットするかどうかは経営判断次第としか言えない。
攻撃者もビジネスだというある種の割り切りが必要
- 身代金の減額交渉は一般的に行われている
- （個人見解）俺が攻撃側なら数億から数十億はほしい。すなわち「数億払ってもビクともしない企業」を狙う。金払いが良さそう。
- （個人見解）しかし最初は練習台としてあまりニュースになりにくそうな「そこそこ儲けてそうな小規模事業者」を狙うかも。
「脅迫者に身代金を払うなんて」、「一度払うと次もまた脅迫される」という考え一点張りは利がない可能性あり
- ただし身代金を払わずともビジネスが継続できる見込みがあるなら払わない選択肢もあり
- 過去事例では払う企業、払わない企業は半々くらいらしい（調査主体により諸説あり）
とはいえ個人的な怨恨由来の攻撃者もいるにはいる
- （個人見解）ひろゆき「エンジニアは大切にしましょう」はもっともな指摘ではあるが、内部怨恨説を根拠なく推しすぎな印象を抱いた。
- （個人見解）この場合はビジネスを破壊するのが目的だったりするため一番やっかいなタイプともいえる

攻撃を受けたあとの対策は？

攻撃を受けたときの3つの選択肢
- ①身代金を払わずビジネス継続
- ②身代金を払いビジネス継続
  - （個人見解）杉浦氏はこの対策を当然のこととして許容しているようだった。場の雰囲気も「仕方ねえよなぁ」みたいな空気に。
- ③ビジネスを放棄（個人見解）
  - 自社内での売上比率が少ないサービスへの攻撃ならこれもあり
  - たとえば2024年に攻撃を受けたニコ動はカドカワの連結売上2500億円のうち10%弱の売上を占める
    - 10%の売上をどう評価するか？
    - 祖業にして看板事業であり他事業とのシナジーもあるので実際の事業貢献度は10%より多いかもしれない
  - ただ犯行グループも当然放棄できないビジネスをターゲットにしてくるだろう。ニコ動だって数億、数十億の身代金で済むなら事業継続したほうがおトクか（信用失墜リスクはあるが）
- ①と②の両睨みで対策する必要あり
  - 犯人と交渉しつつ復旧の道を探る
  - 復号ツールもあるので試す価値あり
  - （個人見解）カドカワもこの路線か（すでに4億払ったという報道もあるが）
    - なぜ払ったのに復旧できないのか？　４億の条件は「一部復旧」？　カドカワとしては４億で一部復旧の約束を犯人が守るかを見たかった？　果たされたならば「残りの復旧」にもカネを払う？　あるいは４億で一部復旧し、残りは自前で復旧する算段（システムを一から構築するくらいのリソースが必要とのドワンゴ CTOの発言あり）
    - 単に騙されただけの可能性も当然あり
- （IPA）身代金は払うな！
  - IPAとしてはそう言うのが最善である
  - 世界中のすべての被害企業が身代金を支払わなければ、ランサムウェアで稼ごうとするやつはいなくなる
  - 全体最適解ではあるが、一企業経営者としての個別最適解ではないことが問題を難しくしている
    - ハイジャック事件など他の多くの身代金犯罪と同じ構造
- （ChatGPT）身代金支払いには法的および規制上のリスクが伴う
  - （個人見解）経営者はそこの認識と覚悟が必要

そもそも 攻撃を受けないための対策は？

一般的なセキュリティ対策を講じておくのは当然だが「100%安全」はない
- （個人見解）IPAのサイトなどで推奨される対策は一通り実施すべき（当たり前？）
- （ChatGPT）ゼロトラストセキュリティモデルやAIを活用したサイバーセキュリティ対策もあるよ
身代金を払わずともビジネスが継続できる準備をしておくのがもっとも大事（上記①の対策をとれる）
- バックアップから復旧できる準備
  - （個人見解）そっちも暗号化されてしまう可能性もあるのでオフラインバックアップ必須
  - （個人見解）システムが複雑、大規模になるほどバックアップからの復旧には時間もカネもかかるがバックアップは必須
- 被害を軽減できる保険加入（個人情報漏洩保険、サイバー保険）
- いくらまでなら身代金を払うという腹づもり
  - （個人見解）高次のビジネス判断が必要だにゃー
- 被害を受けたときにすぐ相談できる窓口の確認
  - 警察、IPA、、JPCERT、業界の所管省庁（病院なら厚労省、など）
  - 相談して直接的な解決に繋がることはないが提供される情報はまあまあ役立つっぽい
  - 警察へ被害届を出さないと保険はおりない
    - ただし事情聴取などでリソースを割かれるデメリットあり
- ランサムウェアの専門家とのコネクション
  - 攻撃者との交渉はダークウェブ上で行われるので素人（セキュリティ技術者でもランサムウェア攻撃後の立ち回りにまで精通しているわけではなかったりする）には難しい場合も
- （個人見解）ひとつのサービスが死んでも会社として継続可能なようにしておくのが理想だが、とくにIT スタートアップ系は現実的にかなり難しそう。そうでなくとも基幹業務やられちゃうと全社に影響が出る

ランサムウェアが広まった背景

2016年ごろから被害が増え始める
コロナ禍ごろから急速に増える
2023年（24年？）に大手ランサムウェアグループを崩壊させることに成功したが、その配下の小規模グループが野放図に活動を開始
- 暴対法等により大手暴力団が壊滅して半グレが増えたパターンと同じ

二種類の脅迫

データ暗号化
- 身代金を払うのも選択肢
データ盗難（コピー）
- 身代金を払っても削除してくれるかわからない
- 他者に渡りそこからまた脅迫されるおそれ
- 払わないほうがいい
- （個人見解）個人情報漏洩についてはユーザーにごめんなさいするしかない。保険加入大事。
（ChatGPT）ロック画面型ランサムウェアもあるよ

メディア 報道の是非

2024年のニコ動のランサムウェア被害では、NewsPicksが「カドカワが身代金4億円を支払った」と報じた
カドカワは「そんな報道すんな」とキレた
- 犯罪者に利するおそれ、同様の模倣犯を増やすおそれを指摘
NewsPicksは「犯罪者に利する情報は報じていない」「犯罪啓蒙のために報道は必要」と反論
- 実際に犯罪者に利する情報はなかった
- また犯罪啓蒙の観点でも、振り込め詐欺報道は大きな役割を担っている
いっぽうで報道されることでカドカワ、ドワンゴが対応リソースを割かれ復旧が遅れるという意見もある

個人的には杉浦氏、辻氏の両氏の解説はわかりやすく包括的と感じたのだが、当然私自身が素人なので過信は禁物である。

以上

Permalink | 記事への反応(0) | 13:14

■ニコニコ動画の身代金 事件（ランサムウェア 被害）まとめ

はじめに

これは「ランサムウェア」に関する知識がほぼない素人による個人的なまとめだ。

タイトルでニコ動を謳ってあるが、ランサムウェア一般の情報が多い。

https://www.youtube.com/watch?v=Xt5TbqFGYmU&t=3s

https://www.youtube.com/watch?v=J-Lhw84p1cc&t=1s

ランサムウェアとは

データを暗号化されてしまい「復号化したいなら金を払え」と脅迫される類の身代金要求のためのソフトウェア
機密データをコピーされ「漏洩されたくななら金を払え」と脅迫される類の身代金要求のためのソフトウェア
脅迫文は攻撃されたコンピュータ内部にテキストファイルで置かれ、以降の交渉はダークウェブで行うよう誘導される
交渉がまとまれば復号化キーをもらえたり、コピーされたデータを削除してもらえたりする
- 前者はデータ復旧することで確認可能だが、後者は「本当に削除してくれたか」の確認手段がない
身代金支払いは暗号通貨が多い

ランサムウェア 攻撃者もビジネス

ランサムウェアを配布し売上（企業から得た身代金）の一部を上納させる胴元もある
- 配下メンバーは一人か二人で攻撃しているケースも多い
攻撃対象は大企業が多いが少人数の弁護士事務所が攻撃された事例も
「身代金を払えばデータ復旧」という約束を100%守ることを売りにしているグループもある
- それがランサムウェア攻撃者のブランディングになる（約束を守ったほうが攻撃者としても得）
- データ復旧しない事案が一度でも明るみになれば以降誰も身代金を払ってくれなくなりビジネスにならない
  - 親切に復旧までサポートしてくれた事例もあるらしい。笑
- （個人見解）攻撃対象企業が事業継続できないほどの身代金を要求するのも攻撃者としてはブランディング上不利
  - 「あのグループに身代金を払っても無駄」という評判が出回るとビジネスにならない
- （個人見解）犯行グループが主張する「約束を100%守る」は信頼できない。第三者的視点で約束を守っていることを立証することも不可能では？つまり身代金要求に応じることはギャンブルである。ベットするかどうかは経営判断次第としか言えない。
攻撃者もビジネスだというある種の割り切りが必要
- 身代金の減額交渉は一般的に行われている
- （個人見解）俺が攻撃側なら数億から数十億はほしい。すなわち「数億払ってもビクともしない企業」を狙う。金払いが良さそう。
- （個人見解）しかし最初は練習台としてあまりニュースになりにくそうな「そこそこ儲けてそうな小規模事業者」を狙うかも。
「脅迫者に身代金を払うなんて」、「一度払うと次もまた脅迫される」という考え一点張りは利がない可能性あり
- ただし身代金を払わずともビジネスが継続できる見込みがあるなら払わない選択肢もあり
- 過去事例では払う企業、払わない企業は半々くらいらしい（調査主体により諸説あり）
とはいえ個人的な怨恨由来の攻撃者もいるにはいる
- （個人見解）ひろゆき「エンジニアは大切にしましょう」はもっともな指摘ではあるが、内部怨恨説を根拠なく推しすぎな印象を抱いた。
- （個人見解）この場合はビジネスを破壊するのが目的だったりするため一番やっかいなタイプともいえる

攻撃を受けたあとの対策は？

攻撃を受けたときの3つの選択肢
- ①身代金を払わずビジネス継続
- ②身代金を払いビジネス継続
  - （個人見解）杉浦氏はこの対策を当然のこととして許容しているようだった。場の雰囲気も「仕方ねえよなぁ」みたいな空気に。
- ③ビジネスを放棄（個人見解）
  - 自社内での売上比率が少ないサービスへの攻撃ならこれもあり
  - たとえば2024年に攻撃を受けたニコ動はカドカワの連結売上2500億円のうち10%弱の売上を占める
    - 10%の売上をどう評価するか？
    - 祖業にして看板事業であり他事業とのシナジーもあるので実際の事業貢献度は10%より多いかもしれない
  - ただ犯行グループも当然放棄できないビジネスをターゲットにしてくるだろう。ニコ動だって数億、数十億の身代金で済むなら事業継続したほうがおトクか（信用失墜リスクはあるが）
- ①と②の両睨みで対策する必要あり
  - 犯人と交渉しつつ復旧の道を探る
  - 復号ツールもあるので試す価値あり
  - （個人見解）カドカワもこの路線か（すでに4億払ったという報道もあるが）
    - なぜ払ったのに復旧できないのか？　４億の条件は「一部復旧」？　カドカワとしては４億で一部復旧の約束を犯人が守るかを見たかった？　果たされたならば「残りの復旧」にもカネを払う？　あるいは４億で一部復旧し、残りは自前で復旧する算段（システムを一から構築するくらいのリソースが必要とのドワンゴ CTOの発言あり）
    - 単に騙されただけの可能性も当然あり
- （IPA）身代金は払うな！
  - IPAとしてはそう言うのが最善である
  - 世界中のすべての被害企業が身代金を支払わなければ、ランサムウェアで稼ごうとするやつはいなくなる
  - 全体最適解ではあるが、一企業経営者としての個別最適解ではないことが問題を難しくしている
    - ハイジャック事件など他の多くの身代金犯罪と同じ構造
- （ChatGPT）身代金支払いには法的および規制上のリスクが伴う
  - （個人見解）経営者はそこの認識と覚悟が必要

そもそも 攻撃を受けないための対策は？

一般的なセキュリティ対策を講じておくのは当然だが「100%安全」はない
- （個人見解）IPAのサイトなどで推奨される対策は一通り実施すべき（当たり前？）
- （ChatGPT）ゼロトラストセキュリティモデルやAIを活用したサイバーセキュリティ対策もあるよ
身代金を払わずともビジネスが継続できる準備をしておくのがもっとも大事（上記①の対策をとれる）
- バックアップから復旧できる準備
  - （個人見解）そっちも暗号化されてしまう可能性もあるのでオフラインバックアップ必須
  - （個人見解）システムが複雑、大規模になるほどバックアップからの復旧には時間もカネもかかるがバックアップは必須
- 被害を軽減できる保険加入（個人情報漏洩保険、サイバー保険）
- いくらまでなら身代金を払うという腹づもり
  - （個人見解）高次のビジネス判断が必要だにゃー
- 被害を受けたときにすぐ相談できる窓口の確認
  - 警察、IPA、、JPCERT、業界の所管省庁（病院なら厚労省、など）
  - 相談して直接的な解決に繋がることはないが提供される情報はまあまあ役立つっぽい
  - 警察へ被害届を出さないと保険はおりない
    - ただし事情聴取などでリソースを割かれるデメリットあり
- ランサムウェアの専門家とのコネクション
  - 攻撃者との交渉はダークウェブ上で行われるので素人（セキュリティ技術者でもランサムウェア攻撃後の立ち回りにまで精通しているわけではなかったりする）には難しい場合も
- （個人見解）ひとつのサービスが死んでも会社として継続可能なようにしておくのが理想だが、とくにIT スタートアップ系は現実的にかなり難しそう。そうでなくとも基幹業務やられちゃうと全社に影響が出る

ランサムウェアが広まった背景

2016年ごろから被害が増え始める
コロナ禍ごろから急速に増える
2023年（24年？）に大手ランサムウェアグループを崩壊させることに成功したが、その配下の小規模グループが野放図に活動を開始
- 暴対法等により大手暴力団が壊滅して半グレが増えたパターンと同じ

二種類の脅迫

データ暗号化
- 身代金を払うのも選択肢
データ盗難（コピー）
- 身代金を払っても削除してくれるかわからない
- 他者に渡りそこからまた脅迫されるおそれ
- 払わないほうがいい
- （個人見解）個人情報漏洩についてはユーザーにごめんなさいするしかない。保険加入大事。
（ChatGPT）ロック画面型ランサムウェアもあるよ

メディア 報道の是非

2024年のニコ動のランサムウェア被害では、NewsPicksが「カドカワが身代金4億円を支払った」と報じた
カドカワは「そんな報道すんな」とキレた
- 犯罪者に利するおそれ、同様の模倣犯を増やすおそれを指摘
NewsPicksは「犯罪者に利する情報は報じていない」「犯罪啓蒙のために報道は必要」と反論
- 実際に犯罪者に利する情報はなかった
- また犯罪啓蒙の観点でも、振り込め詐欺報道は大きな役割を担っている
いっぽうで報道されることでカドカワ、ドワンゴが対応リソースを割かれ復旧が遅れるという意見もある

個人的には杉浦氏、辻氏の両氏の解説はわかりやすく包括的と感じたのだが、当然私自身が素人なので過信は禁物である。

Permalink | 記事への反応(0) | 13:08

2024-07-06

■企業名出してTechブログやってて、技術的に解釈が間違ってると恥ずかしいよな

サイバー◯ージェントでもあるし、

GM◯でもあるし、

弱小企業なんてしょっちゅうや

これ、なかなか死活問題ちゃうか？

Permalink | 記事への反応(3) | 10:47

2024-07-05

■あれは極めて例外的でそういうヤツじゃないからな

『社外へ対策してますアピールで求人打っただけ。既に内々で解決済み』とかなら、基本的なことするだけだし、相場では？ってなるが、

万が一にも新しく来る人に解決して貰おうって思ってるなら、もっとも必要な能力が『政治力』だからな。その上で自分で手が動かせる人

通常、そのクラスは起業して自分の会社を運営してるのですわ

例えば、読むセンスがあって仕入れた商品は全てバカ売れし、抜群の接客力があって多くのファンを獲得、その人目当てに来店する客も多い

体力があり、シフトの穴を埋めるだけでなく、そもそもそうならないよう業務とチームを設計

さらに、政治力にも長け、取引先との良好な関係を築き、有名な企業傘下に入っても、店の個性を活かしながら、企業文化の壁を越え、

企業全体にプラスとなる改革を進められる・・・そんな人材を300万円で雇おうとしたら、トンデモない話だと思うんですよね

別に ITに限った話じゃないのよ。あと、通常、このクラスは店員じゃなくて『店長』だよ

何で生徒の個人情報が電子保存されてるんだろう
ニコ生配信者「本名バレた」 N高生「闇バイトの標的に…」　KADOKAWA サイバー被害深刻
https://news.tv-asahi.co.jp/news_society/articles/900005126.html?page2
紙にボールペンで書いて金庫に入れ警備員で守ってればデータ朗詠は起きなかったのでは
　
https://anond.hatelabo.jp/20240704213909

　↓

単純に、アクセス権を適切に設定していない、端末制御を適切にしていない、セキュリティ監査してない上に、
デスクトップにどんなファイルが置かれているかチェックもしてなくて、DLPの概念ないだけよね
これどこの会社でも当たり前にやってることだからね。それお金あっても出来ないの、社内政治以外に原因は無いからね
　
このどうしようもない問題を解決するために人を採る場合、最も優先すべきは政治力で、その次に技術力
整っていない環境に技術力の高い人を採用しても、社内政治の壁に阻まれて成果が出せない可能性の方が極めて高い
だからと言って、政治だけが得意な人を選ぶと、さらに混乱を招くだけだ
　
なので、ちゃんと自分で手を動かせる（プログラム・configを書く、設計などの実務ができる）ことは重要
それから、チームメンバーやベンダーが変なことを言った時に、「それはXXだと思うから確認してみて」や「それ○○で実現できますよね」と言える程度の知識や技術力は必要
あと、技術に対して変な見栄を持たないことが超超超超超超超超超超重要
困った人、チームメンバー、ベンダーが変なことを言った場合に、軌道修正できる知識や技術力は必要だけど、
それと同時に「今は政治とマネジメントをやっているから最新技術を追えていない」という自覚も必要なのよ
ボスが技術に対する謙虚さを失うとヤベーことにしかならん
以下のような行動は避けるべき
見栄を張ってベンダーに適切に相談しないこと
ベンダーで働いていたXX君、同じ規模感で類似する案件に取り組んでいた○○君、経験は浅いが感が良くて深掘りが得意なオタク君と不毛なバトルを繰り広げること、萎縮させること
事例の少ない最新技術に固執し、周囲の意見に耳を傾けないこと
自分の過去の成功に固執し、新しい知見を取り入れないこと

anond:20240705141358 anond:20240707092605

Permalink | 記事への反応(0) | 15:35

2024-07-03

■anond:20240703162455

Tech Startup の開発者兼社長の知識レベルは期待しないから、

経営者と採用担当者は基本的なIT 知識を持ちましょう

トンチキなこと言ってないで、基本情報・応用情報程度のことはちゃんとやりましょう

ベンダーのベストプラクティスが公開されているので、まずはそれを遵守しましょうで終わるわ

あと、サイバーリスク保険、サイバー保険ならいろいろ出てるぞ

Permalink | 記事への反応(0) | 16:31

■

一般企業にもIT インシデントに訴訟リスクがあるような社会をめざしていくと、訴訟に関わるコストより対策にかけるコストの方が安いってなってそれはセキュリティ部分への増資とかITやセキュリティ人材の給料UPにつながっていくような気もしていたんだけど、先に保険業界がサイバー保険とか作っちゃってるので無理かねえ……