「ipa」を含む日記

はてなキーワード: ipaとは

2024-07-26

■合格済みの試験受け続ける連中ってなんなの？

IPAとか公認会計士試験でよくいるじゃん

自らのスキル維持とか称して⚫︎回連続で合格してる！とかアピールしてる奴

こういう輩が合格し続けるせいでボーダー付近の私らが割食わなきゃいけないという事実

お前らのオナニーに私ら巻き込むのやめてくれない？

Permalink | 記事への反応(1) | 23:59

2024-07-24

■フルリモート終了反対言ってるIT エンジニア

Xとか見てると色々あるけど大前提で文句言ってる人はどれくらいのスキル？

エンジニアなら応用レベルは当然で資格もいくつか持ってて勉強会に登壇や技書展でブース出してる？管理ならPMで役職ある？

TCP/IPもインフラも分かんないしすぐググったりAIに聴くような奴を高給でフルリモートで定時とか無い環境で雇ってくれる会社なんて無いぞ。薄給ならいくらでも。あと有期雇用でも

Xで反対してる人は大体IPAのレベル4資格持ってて経験もあってコーティングもチームのマネジメントも出来る優秀だからいくらでも食い扶持ある。そうじゃなきゃ文句は言うけどたぶん出社するよ

若いエンジニアは文句言う前にスキルや経験と照らし合わせよう。増田もフルリモートしたいけど給与くれる会社に合わせるしか無い。社内も快適だし通勤時間以外に文句は無い

Permalink | 記事への反応(3) | 11:26

2024-07-09

■ニコニコ動画の身代金 事件（ランサムウェア 被害）まとめ

はじめに

これは「ランサムウェア」に関する知識がほぼない素人による個人的なまとめだ。

タイトルでニコ動を謳ってあるが、ランサムウェア一般の情報が多い。

情報元はほぼすべてアベプラの次の2動画。不十分かつ最善でないのは承知している。これにIPAのサイトのごく一部の情報を追加している。アベプラ以外からの情報はその旨わかるよう付記してある。

https://www.youtube.com/watch?v=Xt5TbqFGYmU&t=3s

https://www.youtube.com/watch?v=J-Lhw84p1cc&t=1s

アベプラでは専門家として「日本ハッカー協会代表理事　杉浦氏」「SB テクノロジー　辻氏」の発言が元になっている。ただし本まとめの文責は当然ながら私にある。

上で「不十分かつ最善でない」と言いながらも、アベプラ動画のまとめを書こうと思った動機は、まず自分のあまり知らない領域についての情報の一次整理として。そしてご批判とやご意見をもらえると嬉しいという意味で、そのまままるっと増田にアップすることにした。

ランサムウェアとは

データを暗号化されてしまい「復号化したいなら金を払え」と脅迫される類の身代金要求のためのソフトウェア
機密データをコピーされ「漏洩されたくななら金を払え」と脅迫される類の身代金要求のためのソフトウェア
脅迫文は攻撃されたコンピュータ内部にテキストファイルで置かれ、以降の交渉はダークウェブで行うよう誘導される
交渉がまとまれば復号化キーをもらえたり、コピーされたデータを削除してもらえたりする
- 前者はデータ復旧することで確認可能だが、後者は「本当に削除してくれたか」の確認手段がない
身代金支払いは暗号通貨が多い

ランサムウェア 攻撃者もビジネス

ランサムウェアを配布し売上（企業から得た身代金）の一部を上納させる胴元もある
- 振り込め詐欺など反社のしのぎと同じ構造
- 配下メンバーは一人か二人で攻撃しているケースも多い
攻撃対象は大企業が多いが少人数の弁護士事務所が攻撃された事例も
「身代金を払えばデータ復旧」という約束を100%守ることを売りにしているグループもある
- それがランサムウェア攻撃者のブランディングになる（約束を守ったほうが攻撃者としても得）
- データ復旧しない事案が一度でも明るみになれば以降誰も身代金を払ってくれなくなりビジネスにならない
  - 親切に復旧までサポートしてくれた事例もあるらしい。笑
- （個人見解）攻撃対象企業が事業継続できないほどの身代金を要求するのも攻撃者としてはブランディング上不利
  - 「あのグループに身代金を払っても無駄」という評判が出回るとビジネスにならない
- （個人見解）犯行グループが主張する「約束を100%守る」は信頼できない。第三者的視点で約束を守っていることを立証することも不可能では？つまり身代金要求に応じることはギャンブルである。ベットするかどうかは経営判断次第としか言えない。
攻撃者もビジネスだというある種の割り切りが必要
- 身代金の減額交渉は一般的に行われている
- （個人見解）俺が攻撃側なら数億から数十億はほしい。すなわち「数億払ってもビクともしない企業」を狙う。金払いが良さそう。
- （個人見解）しかし最初は練習台としてあまりニュースになりにくそうな「そこそこ儲けてそうな小規模事業者」を狙うかも。
「脅迫者に身代金を払うなんて」、「一度払うと次もまた脅迫される」という考え一点張りは利がない可能性あり
- ただし身代金を払わずともビジネスが継続できる見込みがあるなら払わない選択肢もあり
- 過去事例では払う企業、払わない企業は半々くらいらしい（調査主体により諸説あり）
とはいえ個人的な怨恨由来の攻撃者もいるにはいる
- （個人見解）ひろゆき「エンジニアは大切にしましょう」はもっともな指摘ではあるが、内部怨恨説を根拠なく推しすぎな印象を抱いた。
- （個人見解）この場合はビジネスを破壊するのが目的だったりするため一番やっかいなタイプともいえる

攻撃を受けたあとの対策は？

攻撃を受けたときの3つの選択肢
- ①身代金を払わずビジネス継続
- ②身代金を払いビジネス継続
  - （個人見解）杉浦氏はこの対策を当然のこととして許容しているようだった。場の雰囲気も「仕方ねえよなぁ」みたいな空気に。
- ③ビジネスを放棄（個人見解）
  - 自社内での売上比率が少ないサービスへの攻撃ならこれもあり
  - たとえば2024年に攻撃を受けたニコ動はカドカワの連結売上2500億円のうち10%弱の売上を占める
    - 10%の売上をどう評価するか？
    - 祖業にして看板事業であり他事業とのシナジーもあるので実際の事業貢献度は10%より多いかもしれない
  - ただ犯行グループも当然放棄できないビジネスをターゲットにしてくるだろう。ニコ動だって数億、数十億の身代金で済むなら事業継続したほうがおトクか（信用失墜リスクはあるが）
- ①と②の両睨みで対策する必要あり
  - 犯人と交渉しつつ復旧の道を探る
  - 復号ツールもあるので試す価値あり
  - （個人見解）カドカワもこの路線か（すでに4億払ったという報道もあるが）
    - なぜ払ったのに復旧できないのか？　４億の条件は「一部復旧」？　カドカワとしては４億で一部復旧の約束を犯人が守るかを見たかった？　果たされたならば「残りの復旧」にもカネを払う？　あるいは４億で一部復旧し、残りは自前で復旧する算段（システムを一から構築するくらいのリソースが必要とのドワンゴ CTOの発言あり）
    - 単に騙されただけの可能性も当然あり
- （IPA）身代金は払うな！
  - IPAとしてはそう言うのが最善である
  - 世界中のすべての被害企業が身代金を支払わなければ、ランサムウェアで稼ごうとするやつはいなくなる
  - 全体最適解ではあるが、一企業経営者としての個別最適解ではないことが問題を難しくしている
    - ハイジャック事件など他の多くの身代金犯罪と同じ構造
- （ChatGPT）身代金支払いには法的および規制上のリスクが伴う
  - （個人見解）経営者はそこの認識と覚悟が必要

そもそも 攻撃を受けないための対策は？

一般的なセキュリティ対策を講じておくのは当然だが「100%安全」はない
- （個人見解）IPAのサイトなどで推奨される対策は一通り実施すべき（当たり前？）
- （ChatGPT）ゼロトラストセキュリティモデルやAIを活用したサイバーセキュリティ対策もあるよ
身代金を払わずともビジネスが継続できる準備をしておくのがもっとも大事（上記①の対策をとれる）
- バックアップから復旧できる準備
  - （個人見解）そっちも暗号化されてしまう可能性もあるのでオフラインバックアップ必須
  - （個人見解）システムが複雑、大規模になるほどバックアップからの復旧には時間もカネもかかるがバックアップは必須
- 被害を軽減できる保険加入（個人情報漏洩保険、サイバー保険）
- いくらまでなら身代金を払うという腹づもり
  - （個人見解）高次のビジネス判断が必要だにゃー
- 被害を受けたときにすぐ相談できる窓口の確認
  - 警察、IPA、、JPCERT、業界の所管省庁（病院なら厚労省、など）
  - 相談して直接的な解決に繋がることはないが提供される情報はまあまあ役立つっぽい
  - 警察へ被害届を出さないと保険はおりない
    - ただし事情聴取などでリソースを割かれるデメリットあり
- ランサムウェアの専門家とのコネクション
  - 攻撃者との交渉はダークウェブ上で行われるので素人（セキュリティ技術者でもランサムウェア攻撃後の立ち回りにまで精通しているわけではなかったりする）には難しい場合も
- （個人見解）ひとつのサービスが死んでも会社として継続可能なようにしておくのが理想だが、とくにIT スタートアップ系は現実的にかなり難しそう。そうでなくとも基幹業務やられちゃうと全社に影響が出る

ランサムウェアが広まった背景

2016年ごろから被害が増え始める
コロナ禍ごろから急速に増える
2023年（24年？）に大手ランサムウェアグループを崩壊させることに成功したが、その配下の小規模グループが野放図に活動を開始
- 暴対法等により大手暴力団が壊滅して半グレが増えたパターンと同じ

二種類の脅迫

データ暗号化
- 身代金を払うのも選択肢
データ盗難（コピー）
- 身代金を払っても削除してくれるかわからない
- 他者に渡りそこからまた脅迫されるおそれ
- 払わないほうがいい
- （個人見解）個人情報漏洩についてはユーザーにごめんなさいするしかない。保険加入大事。
（ChatGPT）ロック画面型ランサムウェアもあるよ

メディア 報道の是非

2024年のニコ動のランサムウェア被害では、NewsPicksが「カドカワが身代金4億円を支払った」と報じた
カドカワは「そんな報道すんな」とキレた
- 犯罪者に利するおそれ、同様の模倣犯を増やすおそれを指摘
NewsPicksは「犯罪者に利する情報は報じていない」「犯罪啓蒙のために報道は必要」と反論
- 実際に犯罪者に利する情報はなかった
- また犯罪啓蒙の観点でも、振り込め詐欺報道は大きな役割を担っている
いっぽうで報道されることでカドカワ、ドワンゴが対応リソースを割かれ復旧が遅れるという意見もある

個人的には杉浦氏、辻氏の両氏の解説はわかりやすく包括的と感じたのだが、当然私自身が素人なので過信は禁物である。

以上

Permalink | 記事への反応(0) | 13:14