[年末対談] サイバーミステリ作家 一田 和樹 vs. セキュリティダークナイト 辻 伸弘 | ScanNetSecurity
2024.03.19(火)

[年末対談] サイバーミステリ作家 一田 和樹 vs. セキュリティダークナイト 辻 伸弘

標的型攻撃というとよくメール対策の話になりがちですが、それだけでは不十分で、ソーシャルエンジニアリグといった人間の脆弱性を入口とした対策も必要だと感じています。また、本当に重要なのは入口対策だけではなく、侵入された後どうするかといった点です。

特集 特集
セキュリティの専門技術者として@IT誌に「セキュリティダークナイト」を連載する辻伸弘氏と、今春刊行した「サイバーテロ 漂流少女」でサイバーミステリ小説というジャンルを開いた小説家 一田和樹氏が師走、都内某所で対談した。

カナダ在住の一田氏と辻氏はSNSで旧知の間柄であったが、実際に対面するのは初めてである。(文中敬称略)


(編集部)
今日は nanorymous グッズをお土産にいただきありがとうございます。さっそく読者プレゼントとして利用させていただきます。

(一田)
辻さんはAnonymous研究者としても有名で、多岐にわたって活躍されています。最終的にどんなところを目指しているんですか。

(辻)
ぼくは、これからセキュリティを勉強したり仕事ではじめようとする人たちを助けるような、仕事や情報発信をしたいとずっと思っています。勤務するNTTデータ先端技術では、ネットワークやサーバへのペネトレーションテストを主に担当しています。システムの脆弱性や侵入ポイントを見つけて、それをどう修正するか、といったことをアドバイスしています。

世間ではAnonymousの専門家のように言われることがありますが、そのイメージは一面にすぎません。ましてや、Anonymous対策をこうしなさいなんて言うつもりはまったくありません。

(一田)
侵入するためのPoCコードやエクスプロイトを書いたりすることもありますか。

(辻)
基本的には公開されているエクスプロイトコードを使用します。その中で日本語環境などで動かない、そのコードだけでは攻撃としてのインパクトが弱い場合には改造を行なう場合や作成する場合も稀にですがあります。その一部は会社としてレポートを公開する活動も行っています。Anonymousの研究もペネトレーションテストの業務の延長です。攻撃者がどのようなツールを使っているのか、どんな動機で活動しているのか、どんなシナリオなのかなどについて知らないと対策が打てないからです。そういえば、一田さんの「We are anonymous」のまとめはとても役に立ちました。

(一田)
ありがとうございます。最近は「Confront and Conceal: Obama's Secret Wars and Surprising Use of American Power」未邦訳書籍の感想やレビューをまとめました。国際政治や軍事ネタがほとんどで、我々が読んで面白いのは4分の1くらいですが、Stuxnetやサイバー兵器に関する記述はとても興味深い。

(辻)
Stuxnetは広義の標的型攻撃の例としても注目していました。標的型攻撃というとよくメール対策の話になりがちですが、ぼくはそれだけでは不十分で、ソーシャルエンジニアリグといった人間の脆弱性を入口とした対策も必要だと感じています。

また、本当に重要なのは入口対策だけではなく、侵入された後どうするかといった点です。病気に喩えれば、予防措置をいくら完璧にしていても、病気にかかってしまったら、薬や治療方法がないとどうにもなりません。

多くの企業が、IDS/IPS、WAFなどで防備を固めていますが、私たちのペネトレーションテストでは、入られた前提でチェックすることもあります。なぜなら、テスト時の条件がずっと続くわけではないので、いまのテストで侵入できなくても、今後セキュリティレベルが下がるかもしれません。また、攻撃者のシナリオはインターネットを入口としたものだけではないからです。

(一田)
実際、侵入した前提でのテストで、企業での対応状況はどうですか?

(辻)
ひとことでいうと「入られるとひどいことになる」と思います。例えば、パスワードのハッシュファイルが入手できれば、レインボークラックなどで解析可能です。また、解読したパスワードをスクリプトで分析すると、会社での地位が高く権限のある人ほど、パスワードの付け方が甘かったりします。そうなると、会社の権限とシステム上の権限を一緒にする必要ってあるのかな、とも思ったりします。

(一田)
偉い人ほど自分でファイルにアクセスしたりしませんしね。

(編集部)
一田さんの新しい小説に辻さんが登場すると聞いているのですが、そもそもお二人が知り合ったきっかけは何ですか。

(一田)
虚構新聞で拙著「サイバーテロ 漂流少女」を献本するという企画があったのですが、そこに辻さんが本名で応募してきたのです。辻さんの名前は知っていましたし、ツイッターではすでに相互フォローの状態でしたので、メッセージを送ったのが直接の交流のきっかけですかね。

(辻)
一田さんの本は読んでいましたし、高校生くらいのときからこの手のジャンルの本が好きでした。「テイクダウン」(伝説のハッカー ケビン・ニトミックの逮捕劇を描いたノンフィクション)のような人とテクノロジーを組み合わせた内容の本を好んでいましたね。「1999年のゲームキッズ」なんかも好きな本です。

(一田)
「サイバーテロ 漂流少女」の続編は来年発行される予定ですが、辻さんが登場するのは別の本です。ハクティビストを題材にした小説なのですが、主人公が受けるハクティビズムに関するセミナー講師として、辻さんをモデルとした人が登場します。

(辻)
Anonymousやハクティビストと呼ばれる人たちは、実態が非常につかみにくいし、定義もしにくいですよね。どんなハクティビストたちが登場するのか楽しみです。

(一田)
そうですね。彼らのすべてがネットの自由ために活動しているわけではなさそうですし、小説の中でもそんなハクティビストも登場します。

(辻)
なるほど。義賊ではないハクティビストですね。ネット上でいろいろ主張する人たちがいますが、ぼくは、その中で偽の情報などで、誤って攻撃やテロ行為の片棒を担がないようにすることも重要だと思っています。クリックしただけでSQLインジェクション攻撃が発動してしまうようなURLをつぶやいていたりとか、ネット上には罠が多い。その一方で、遠隔操作ウイルスの事件ではTorがあたかも攻撃ツールのように報道され、禁止すべきだという論調が生まれるのにも注意したいです。

(一田)
フェイスブックやLINEのようなサービスが、ものごころついときから一般化している社会に育った世代は、プライバシーの概念も変わってくるかもしれません。

(辻)
そうですね。以前は本人しか知らないと思われていたものが、フェイスブックだけでもかなり手に入る状態というのはありますね。じつは、フェイスブックなどで第三者が検索できる個人情報だけで、その本人になりすますことができるか、という実験をしたことがあります。

(一田)
それは、他人になりすまして、ですか?

(辻)
いえ。あくまで自分で自分になりすました実験です。コールセンターに電話して、Webに公開されているレベルの自分の個人情報だけで本人と認められるか試してみたのです。お金を直接取り扱うサイトではなかったのですが、結果は電話口で自分のパスワードを教えてもらえました。

(一田)
いろいろな意味ですごいですね。

(編集部)
最後に、お二人がいま注目しているトピックがあれば教えて下さい

(辻)
Anonymousをウオッチしていると、実によく社会情勢がわかります。世界ではこんな事件があったのか、こんな社会的問題があるんだとか。

個人的な興味は、やはりソーシャルエンジニアリングですね。ペネトレーションテストをしていると攻撃者の視点が重要なのですが、技術的な攻撃ポイントはパッチをあてれば終わりという側面があります。しかし、攻撃者は、ならばどうすればいいかを考えます。防御や対策もそこまで考える必要があると思います。

(一田)
私は、ネット上に起きている新しい組織や社会的な動きに興味があります。Anonymousもそのひとつと言えるのですが、ハクティビズムに限らず、国をまたいだ形での新しい枠組みというか活動などは、今後も増えてくると見ています。

サイバーテロも引き続き注視している分野です。次の作品では、電力系へのテロの話もでてきますよ。スマートメーターなんて、実はかなり危険といえます。スマートメーターの部品には日本製でないものも含まれている可能性があります。

中国の軍部の人の発言だったと思いますが、「サイバー空間を制する者が戦争の主導権を握る。」と言った人がいます。かつては制空権を制するものが戦いに勝つと言われていたのですが、現在はサイバー空間という新しい戦場が生まれたともいえます。

しかし、サイバー空間を制するのはなにも国家である必要はないのです。ネットワーク上のチームや組織がそうなる可能性もあるのです。こうなると、これまでの国家レベルでの戦争の概念さえ変わってしまいますよね。

(編集部)
ありがとうございました。
《ScanNetSecurity》

関連記事

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」

ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 名誉編集長 りく)

×