「AI が人類を滅ぼす」という懸念はビッグテックや AI 研究者自身から出て来ることが多い。こうした議論を横目で見ていて不思議に思うのは、あまりインターネットの情報エコシステムについて触れていないことだ。
今日もどこかで情報漏えいは起きている。
TwoFive では、有名な 7 つのドメインについて、ドッペルゲンガードメインと、その中で MXレコードを持つものを調査しました。
病院は、故意であると断定はできないが当該医師の過失責任は重大であるとし、出勤停止 2 か月間の懲戒処分を行ったが、本人が依願退職した。
以前は便利に使われていたメール自動転送機能は、テクノロジーの進化の中で、現在では、より良い代替手段が提供されるようになっているのです。もしかしたら、もはや必要ないかもしれません。
最後にペネトレーションテストをやる側と、ユーザー企業として発注する側で、何かこういうところに気をつけるといいポイントがあれば最後にまとめとしていただけないでしょうか。
会社の方針というかポリシーのひとつに「お客様を超越する」っていうのがあったんですよ。「期待を絶対的に超える」っていう。
いいとは必ずしも言えないシナリオはですね、まず「ペンテストを実施する側が勝手に決めたシナリオ」、もうひとつが「顧客の環境、ユーザー環境に即していないシナリオ」この二つは良くないシナリオと言えるんじゃないかと思っています。
「そんなことあり得るの?」って、思うじゃないですか。事前にヒアリングしてネットワーク構成図も見たりして、ああだこうだと話をして、その範囲の中でシナリオを作っているにも関わらず、誰も想定していなかった攻撃ルートなんて本当に見つかるのって。
ペネトレーションテストはそれと同じと思っています。お客さんは何かを気にしていて、そうされないように、攻撃されないようにネットワークやインフラを作っているので、その有効性をちゃんと検証していくのがシナリオの基本になってくる。
イード銀行は全社事業発表会の開催を明日に控えていた。セキュリティ統括部 部長兼 iSIRT リーダーの速水は、チーム全員を招集し、セキュリティ統括部の発表内容に関して最終打ち合わせを行うのだが・・・
だから「良くないシナリオ」とまず言えるのは、お客さんが打った対策を「含んでいない」シナリオです。
まさかそんなと思うかもしれないが優れたセキュリティ製品ほど説明が上手でないケースがある。
頭の中に閃くものがあった。あれだけの力を持っている夏神がオレのところに来た理由がやっとわかった。
「それが一番効果的。相手の攻撃力を落としつつ、こちらの攻撃力がアップする。つまり最高」
2022年5月、WithSecureのイベント「Sphere 22」のプレスツアーに参加しました。その個人的レポートです。
残念ながらディストピア・アニメなんですよ。工藤さん、なにか情報持っていたら教えてください。SNSは完全にこの話題で持ちきりです。リサーチャーの連中はSNS征圧兵器が使用された可能性を疑ってます。
「それってつまりお前らがオレの部屋から出て行くってこと? 大賛成だね」
ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 名誉編集長 りく)