ここが変だよ日本のセキュリティ第34回「セキュリティ・〇ンコ知新ドリル」前編過去に学ぶ

過去事例あり。新しい話じゃない。しかも、もっと昔は被害のスケールが大きかった。

特集コラム

2018年9月6日（木） 08時30分

毎年紹介しているけど、今年も夏の台湾HITCON行ってきました。信じられるかい？大学生を中心にした20代メンバーが4トラックで2日間の国際セキュリティ・カンファレンスを開催しているんだぜ。この熱気、パワーならDEFCON CTFで3位に入る実力に納得だ。

　何だね君はぁ？「どうも！ラブプラスがスマホゲームになって帰ってきて、彼氏としては胸熱です！４年前にサービス終了したカードバトルゲームに４人目の彼女がいたとか、彼女のパラメータが進化して他の生徒と battle 対決したりとか、過去の黒歴史の再来みたいなゲームにならないことを願っています。」

　この１年ほど、WannaCry とか Struts2 脆弱性とか、仮想通貨流出とか ECサイトからの情報漏洩とか、被害が大きいのか、深刻なのかは、当事者の感覚と社会的影響で評価は難しいけど、セキュリティ対策が心配になるニュースは、事欠かなかった。けれど、セキュリティ対策の必要性は広く認識されてきたはずなのに、なかなか攻撃を防げていない状況が続いている。これは、対策を実施する側が守りを固めきる前に弱いところを攻撃されるという難しさもあるけれど、攻撃側の方が研究熱心っていう面があるんじゃないかな。

　そこで今回の酷いタイトルだけれど、温故知新、つまり攻撃側は全く新たな攻撃手法を思いついたって訳じゃない。過去に攻撃し、対策されてしまった手法を工夫して再利用しているケースが結構あるように思う。そして、なんでそんなことになっているかも、背景まで踏み込んでみます。落ちを最初に言ってしまうと、これは「新たな＊＊＊＊という脅威を知りませんか？」、「これまでの対策では防げませんよ！」という営業トークのスタイルにも原因があると睨んでいます！

《2次元殺法コンビ》