セキュリティの終わりのない道

「私はロボットではありません」詐欺に注意してください

先日、従業員の方から「Webサイトを見ていたら『私はロボットではありません』という画像が表示されたけど大丈夫？」と相談がありました。この表示は、多くの方が一度は見たことがあると思います。通常、Googleなどが「このアクセスは人間ではないかもしれない」と判断した場合に表示されます。主な表示理由マウスの動きが機械的で不自然短時間に大量アクセス（botの可能性）非常に古いブラウザを使用している送信元IPアドレスがブラックリスト入り多くの場合は問題ありませんが、最近この「私はロボットではありません」画面を悪用した詐欺（クリックフィックス）が急増しています。不正な操作へと誘導しマルウェアに感染させる「クリックフィックス」ネットでよくある質問｢人間ですか？｣に潜む罠､不正な操作へと誘導しマルウェアに感染させる｢ClickFix（クリックフィックス）｣攻撃の被害急増クリックフィックスは、「クリックすることで問題を解決します」と装い、ユーザーを騙してマルウェア感染などの不正操作へ誘導するサイバー攻撃です。 2024年以降、世界的に被害が急増しており、日本でも警察庁が注意喚起しています。サイバー警察局たよりクリックフィックスの手口...

2025, Nov 03 —

ランサムウェアが流行ってます

近年、ランサムウェアによる被害が大きな社会問題となっています。ランサムウェアとは、利用者のシステムに不正侵入し、データを暗号化して使えなくしたうえで、「元に戻してほしければ金銭を支払え」と要求する悪質なソフトウェアです。最近ではデータを暗号化せず、盗み出した情報を「公開する」と脅す“ノーランサム”型の攻撃も増えています。実際に起きた被害事例アサヒホールディングスランサムウェア被害で出荷サービスやコールセンター業務が停止し、ビールの出荷までできなくなりました。サイバー攻撃によるシステム障害発生について竹内製作所（米国子会社）サーバが攻撃され、一部データの暗号化・外部流出が発生しました。連結子会社におけるランサムウェア被害に関するお知らせアスクル Web注文システムが停止し、無印良品など取引先にも影響。「サプライチェーン攻撃」の代表例です。【重要】ランサムウェア感染によるシステム障害発生とご注文受付停止のお知らせとお詫びランサムウェアは他人事ではありません。情報セキュリティ10大脅威では2016年から10年連続でランクイン。昨年は脅威ランキング第1位。そもそもテレビのニュースで使われている用語ですから、残念ながら市民権を得てしまったということです。...

2025, Oct 25 —

AI・量子コンピュータにかかわるリスク管理

テクノロジーの進化はすさまじいスピードです。特に、スマートフォン以来の社会を大きく変革するテクノロジーとされるAI。ものすごいお金が投入されており、各社、凄まじいスピードで新バージョン、新サービスを公開しています。なにより検索の王者であるGoogleが検索を捨てるかのようにLLMに全振りしているとこからも、彼らの危機感と本気度がうかがえます。また、AIに比べるとあまり聞かれない用語ですが「量子コンピュータ」というものがあります。従来のコンピューターとは全く異なる原理で動く、次世代のコンピューターです。従来のコンピューターが「ビット」を使って情報を「0」か「1」のどちらかで表現するのに対し、量子コンピューターは「量子ビット」という単位で情報を扱います。量子ビットは、「0」と「1」の両方の状態を同時に持つことができます。例えるなら、コインが表と裏の両方を同時に向いているような状態です。n個の量子ビットがあれば、2のn乗通りの状態を同時に表現できるため、膨大な情報を一度に処理できます。量子コンピュータは従来のスーパーコンピューターでも膨大な時間がかかるのに比べて、はるかに高速に解くことができるとされています。この２つの最新テクノロジーが、セキュリティに対してどのようなリスクがあり、どう対応していくべきか、について書かれた本が本書になります。海外の本の翻訳ではないのですが、非常に分厚く濃密な力作です。読むのがたいへんでした。前半は量子コンピュータ。量子コンピュータはAIと異なり現状誰もが利用できるものではありません。ハイスペックなコンピュータが必要なのはもちろん、絶対零度に近い環境で制御する必要があり、エラーの訂正技術も必要となります。しかしこれらの課題が克服された量子コンピュータ、これを”CRQC”(「Cryptographically Relevant Quantum Computer」の略で、日本語では「暗号解読関連量子コンピューター」と訳されます）と呼びますが、CRQCが登場した場合は、従来のコンピューターでは事実上不可能だった、現在の公開鍵暗号を現実的な時間で復号できてしまうという、現在のサイバー空間の前提を崩してしまう可能性があるとされています。また、Googleが「2029年までに商用利用可能な規模の量子コンピュータの開発を目指している」とのことです。この本では世界各国がCRQCについて調査を行っていることが解説されており、おおよそ2035年前後にCRQCが登場し、それによる暗号解読のリスクを考慮し、備える必要があるとのことです。この本で紹介されていた「ハーベスト攻撃」というものが勉強になりました。現在の技術では復号できない暗号化されたデータを今のうちに詐取(文字通り”収穫”しておく)して、来るべきCRQCの登場まで保管しておき、CRQCの登場で一気に復号化するという攻撃です。昨今のセキュリティインシデントで「漏洩した情報・紛失したＰＣの情報は暗号化されているのでリスクは低い」というアナウンスを聞きますが、これが未来の時限爆弾になってしまうという恐ろしい攻撃です。また、情報資産台帳で『このデータは暗号化されているのでリスクは低い』と定義づけしていた情報が軒並み見直しを迫られるため、セキュリティ対応の工数の増加が考えられます。追加の対策として”クリプトインベントリ”=対象の資産・システムで利用されている暗号の使用状況やアルゴリズムをきちんと管理しておき、CRQCに対して対策ができているのか、という管理が必要になることが提示されていました。防御側も何もしていないわけではなく、PQC (Post-Quantum Cryptography) アルゴリズムという、量子コンピュータに対して耐性を持つアルゴリズムが2024年にNISTによって標準化されました。こちらの導入が先進的な企業では進んできており、我々末端の会社も順次この暗号システムに置き換えていくことになりそうです。とはいえ生まれたばかりのPQCは信頼性や実績という点でまだまだ問題を抱えているため、既存の暗号化アルゴリズムとのハイブリット暗号が現状は想定されています。...

2025, Oct 18 —

2025年9月の気になるインターネット記事をピックアップ

今回は取りあげる記事の数は少ないものの、大きく取り上げられたセキュリティに関する２つの話題について書きます。 9月は特にサプライチェーン攻撃が印象に残った1か月でした。便利なOSS無くして現代のソフトウェアは成り立ちませんが、あるソフトウェアが別のソフトウェアを内部で利用していて、そのソフトウェアも内部で別のソフトウェアに依存していて…という鎖(チェーン)で構成されています。このチェーンの1か所が切れてしまうとシステム全体が機能不全になってしまう。これがサプライチェーン攻撃です。脆弱性「s1ngularity」とは何か？AI悪用・機密情報流出をもたらす新型サプライチェーン攻撃の概要今回ターゲットとされたのはビルドツール「nx」です。「nx」は、JavaScript、Java、Go、Pythonなど様々な言語で記載されたソースコードを管理・処理し、それらを実行可能な成果物（Webアプリケーションが動くファイル、サーバーサイドの実行ファイルなど）にするためのパッケージです。 nxは人気のパッケージ管理システムnpmでインストールすることができますが、npmのストレージのアクセス権が漏洩したのか、ストレージに改ざんされたコードがアップロードされます。npmの特徴として、npmコマンドを実行したフォルダの直下に存在するpackage.jsonというjsonファイルに、インストールするライブラリのリストや、インストール前後の処理を記述する機能があり、改ざんされたnxのコードには、nxインストール時に悪質なコードを一緒にダウンロードし、実行するように記述されていたとのことです。改ざんされたコードがどのように振舞うかはこの後説明するとして、今回の脆弱性がサプライチェーン攻撃と言われる理由は、「人気のパッケージ管理システムnpmでインストールされるパッケージが改ざんされたことで、多くのユーザが影響を受けてしまった」点です。特にnpmはpackage.jsonを使って複数のソフトウェアをまとめて（ユーザが意識することなく）ダウンロードし、さらにダウンロードされたツールを実行する命令文を書ける利便性が悪用されました。加えて特筆すべき点が悪意あるコードの実装、動作の挙動。post-installでインストール後に実行されるコードには、ローカルPCにインストールされている可能性があるAIコマンドラインツール（例: Claude、Gemini、GitHub Copilot CLIなど）を探し出して、AIエージェントに対して様「このPCの公開鍵情報を取得して」「このPCのクレデンシャル情報を取得して」などの問い合わせを行う命令文（プロンプト）が記載されていた点です。従来であれば複雑なロジックを記載して実現していた攻撃を、AIに代替わりさせたのです。窃取した機密情報は被害者のGitHub上に公開リポジトリ「s1ngularity-repository」が作成され、そこで暴露されたとのことですが、”s1ngularity”という名前は「Singularity（特異点）」をもじったものと思われます。AIを活用したサイバー攻撃という点で確かに特異点のような存在かもしれません。文章で説明すると分かりにくいので画像にしました。まとめると以下のような挙動となります。この画像も生成AIに指示して作ってもらいました。正しく使えば便利なAIも悪用すれば破壊的な効果を持ちます。さらに9月は「Shai-Hulud」（シャイ・フルード）ワーム攻撃という「s1ngularity」攻撃と非常に似た手口を使いながら、より深刻なサプライチェーン攻撃がありました。「Shai-Hulud」ワームがサプライチェーン攻撃でnpmエコシステムを侵害まず、npmの管理者に対してフィッシングメールを送り、認証情報を盗みます。s1ngularityはnxライブラリのみが対象でしたが、こちらは複数のパッケージ（人気のパッケージの管理者の認証情報も盗まれたとのことです）が改ざんされ、アップロードされたとのことです。s1ngularityと同様に、package.jsonに仕込まれたpost-installスクリプトによって悪意あるコードが自動実行され、機密情報がスキャンされ、被害者の公開リポジトリに暴露されます。...

2025, Oct 05 —

生成AIによるサイバーセキュリティ実践ガイド

※生成AIは、画像・音声・文章などのデータを生成する人工知能技術の総称です。一方で、LLMは生成AIのなかでもテキストデータを生成することに特化した技術のことですこのブログで幾度も書いていますが、LLM（大規模言語モデル）の進化はすごいものがあります。業務に利用し始めたのは2年前くらいかな、最初は「まだまだだな」「こいつ平然とウソをつきやがって」と思っていたのですが、最近はハルシネーションも減っており（LLMに「その情報のソースも提供してください」と念押しする必要がありますが）、Google検索が汚染されていることもあってもはや検索よりまずAIに聞く、という時代になっています。なにより検索の王者であるGoogleがGeminiという高性能なLLMを無料で提供しています。まさにNo AI,No LIFEの時代になったと言えるでしょう。こちらのかたのX(旧twitter)への投稿にある「デジタル・ゴッド」という表現は象徴的ですよね。まさにLLMは神のような存在です。この本はLLMの中でも代表的な存在であるChatGPTを用いて、サイバーセキュリティ活動を行う人がどのような助けを得られるかを紹介しています。最初はブラウザでのChatGPTの利用や、OpenAIのAPIを利用したプログラムやソフトウェアからLLMを利用する方法が紹介されています。自分の場合は既に業務でLLMを利用している（頼っている）こともあり目新しい内容ではなかったですが、今まさにLLMを仕事の中で使いたい、という人にとっては分かりやすい説明となっています。次に、サイバーセキュリティの様々な活動にLLMが利用できることが紹介されています。LLMは私たち以上の知識を持っています。とはいえLLMは自分で手を動かすことはできないので、自分の知識を基にLLMに指示を出し、色々なこと業務のサポートに利用できます。 1.PCの構成管理を入力して、脆弱性の診断を行う 2.プログラムコードを入力してリスクのあるコードを洗い出す 3.会社のセキュリティ活動で何を行うべきかをリストアップし、読みやすいようmarkdown形式でドキュメントを作成 4.従業員の社員教育のためにeラーニング用の問題を作成 5.従業員のフィッシング詐欺メール対策のため、メール本文のサンプルを生成...

2025, Sep 27 —

2025年10月の気になるインターネット記事をピックアップ

9月がまだまだ暑い！とか書いていたのに、10月下旬はもう冬のような寒さです。秋はどこいっちゃんでしょうね？ランサムウェアが流行ってます 1つ目は手前味噌ですが自分が書いた記事になりますw 先月はとにかくランサムウェア被害のニュースが多かったですね。それもアサヒやアスクルなど、一般的にも名前が知られている会社が立て続けに業務に支障が出る事態に。一般のニュースでも「ランサムウェア」という言葉を聞くようになったので、会社の人たちに対策を意識づけしてもらうチャンスと思い、上記の記事を書きました。もちろん、退勤後の自分の時間でですよ？「私はロボットではありません」詐欺に注意してくださいこちらも私が先週公開した記事になりますwランサムウェアの記事同様、社内での従業員の啓発の目的で（もちろん業務時間外に）書いた記事になります。ランサムウェアがマルウェアの”種類（挙動）”なのに対して、クリックフィックスは感染の”手段（方法）”を表す用語です。クリックフィックスによりランサムウェアに感染するというケースもあるわけです。専門家の人たちにとっては今更な記事になっていますが、セキュリティは最も弱いところから攻撃を受けるので、自分が知っているからと言って軽視してはなりません。それにしても、いつも見かける「私はロボットではありません」にそっくりなバナーを作り、チェックボックスをクリックしたらマルウェアのダウンロードとインストールのコマンドをクリップボードにコピーするとか、どこまで邪悪なことを考え付くのか。 [パスワードは、特殊文字などの「複雑さ」ではなく「長さ」を求めることを推奨〜NISTがガイドライン更新])(https://internet.watch.impress.co.jp/docs/yajiuma/2056544.html) NIST（米国国立標準技術研究所）がパスワード作成に関する最新のガイドラインが更新され、これまで私たちが常識としていたことが非推奨となりました。私たちの知識もアップデートさせないといけません。特殊文字（&、%など）や数字、大文字の混在など「複雑さ」を求めない理由：複雑なパスワードを設定させようとしても、「password」が「Password1!」になるだけだもっともですねｗその代わり、長さを15文字程度を推奨しています（多要素認証を入れている場合は8文字程度でよい）。また従来から言われている「定期的なパスワードの変更は不要」も不要とされています。定期的な変更を必須化すると、パスワードの使いまわしや覚えやすいパスワード「password1」→「password2」などの運用になってしまいます。そもそもパスワードは覚えることのできるものではだめです。覚えることができないほど複雑なパスワードを、パスワードマネージャに格納して利用するのが適切です。また、パスワードを忘れた時に設定できる「秘密の質問」も非推奨です。ペットの名前などは推測が容易ですし（コンピュータを使えば人間の数百倍の速度で入力が可能です）、本人について知っている人がなりすましでログインしようとすれば、既知の情報となってしまいます。このパスワードの新常識で自分が現実社会に対して「上手くいっていないなぁ」と思うのが、Webサービスにより、文字長、利用可能な文字の数がバラバラなので、パスワードを生成するにもそのページごとにルールを設定して生成しないといけない点。行政の公的組織が「パスワードルールはコレ！」と各企業に周知してルールを統一することができればいいのに。また、セキュリティに携わる企業が未だにPPAPを使っていたり、多要素認証に対応していなかったりと、複雑でないパスワードを利用できる土台はまだ整っていないように思えます。...

2025, Sep 15 —

2025年8月の気になるインターネット記事をピックアップ

この記事を投稿するのは9月ですが、まだまだ暑い！ただ、来週くらいからようやく涼しくなってくるみたいです。ようやく衣替えでしょうか。認知バイアスで考えるサイバーセキュリティ:8万4000通のメールを分析して判明した“高品質”なフィッシングの条件とは？　フィッシングメールはもはや「誰もが引っ掛かる」脅威です。単にウイルスを添付したり、巧みな日本語を使ったりする旧来の手口ではなく、近年のフィッシングは組織や個人の心理に深く切り込んでくる「認知的戦略」を駆使しています。人間が意思決定を実行するときに無意識のうちに影響を受けやすいとされる6つの要因（権威、緊急性、希少性、好意、返報性、社会的証明）を分析の軸として、フィッシングメールをこの分析にもAIを活用しているとのことです。その結果「権威」・・・副社長からの至急の指示です「緊急性」・・・48時間以内に更新が必要です「希少性」・・・貴方専用のオファーです要因を含むフィッシングメールが、他の要因よりも顕著に成功率を高める効果があることが分かったとのことです。Gmailも裏で天下のGoogleがAIを用いて、これらの要因が含まれるメールをフィッシングメール判定の分類に利用してくれるはず。僕らセキュリティ担当個人がやれることとしては、僕の会社ではフィッシング通報チャンネルが用意されているのですが、この記事にあるようにフィッシングメールが6つの要因のうちどこを突いてきているのかあなたは実際どこに反応してしまったのかなどフォローすると、単に「フィッシングメールが来ました」とアナウンスするより印象に残ってくれるでしょうね。情報セキュリティ10大脅威 2025 今年も公開されました。後で読まなくては。ほとんどのパスワード管理アプリから機密情報を盗み出せる...

2025, Sep 15 —

ISC2のCareer Development Express Courses Bundleを受講した

7月下旬に以下の件名のメールをISCより受け取りました。 New! Free Career Development Courses – Just for ISC2 Members 本文を和訳すると以下のように書かれていました。変化の激しい現代のサイバーセキュリティ業界において、時代の流れに乗り遅れないことはこれまで以上に重要です。私たちは、その道のりを一歩一歩サポートします。そこで、今回「キャリア開発エクスプレスコースバンドル」...

2025, Sep 07 —