ハッキング・ラボのつくりかた 完全版

今年最後のブックレビューは、なんと1200ページの大作です。この本に手を出すきっかけとなったのは2点。まずは9月の記事でも紹介した以下の記事。 開発と脆弱性と脆弱性診断についての話 こういう記事を読むと、自分もセキュリティスペシャリスト、情報処理安全確保支援士を名乗っていながら、実戦経験がぜんぜん足らないなぁと思います。言い訳はいくらでも思いつくのですが、やっぱり脆弱性診断、ペネトレーションテストを手を動かす経験を自分のスキルとして身に着けたいです。 もう一つは会社の業務で「あなたの会社が提供しているサービスはペネトレーションテストを受けていますか」というセキュリティチェックシートが送られてくる機会が増えてきたこと。受けていません、と回答したから契約が打ち切られるということはないのですが、「やっていますがなにか？」と胸張って応えられるようになりたいです。 とはいえペネトレーションテストを委託するのはたいへん高くつきます。だいたい数百万円単位といわれ、まあ払えないですよね。自前でAWS上にOSSのペネトレーションテスト用のツールを組み合わせて環境を構築すると費用自体は安くなるものの、専門の知識が必要ですし、保守運用の工数を考えるとアウトソーシングするほうが安い、と考えるのは自然です。つまりこの本を読むことで脆弱性診断やペネトレーションテストがどういう手段で行われているかを学ぶことはできるものの、それを業務で自分が手を動かして実践する、とはならないと思います。大きな会社ではこれらの作業を自前でやっている会社もあります（知っています）羨ましいです。 この本では手元のPC上に仮想環境を構築して攻撃用のVM PC（ペネトレーションテスト、脆弱性の評価、コンピュータ・フォレンジック用にカスタマイズされたParrotOS Security Edition）と、ターゲット用のVM PC（インターネット上には有志がペネトレーションテスト用の練習のために、わざと脆弱性があるOSのイメージを公開しています。こちらを利用します）を用意し、CISSPの試験でも名前が挙がるお約束のペネトレーションテスト用のLinuxコマンドやツールを利用して、実際にハッキング（ペネトレーションテスト）を行います。 解説は非常に丁寧で、インストールに詰まることはありませんでした。しかし私のPCが2台のVP PCを動かすほどのスペックが足りない…メモリ4GBはもうきついか。 インストール後もLinuxを操作する基本的なコマンドやプロセスについての概念が説明されていて、Linuxの基礎について学ぶこともできます。一般的なハッカーのイメージにあるように、侵入する際や侵入した後にはシェルを作り、コマンドを叩いてOS内の設定を調べる必要があるのでLinuxの知識は当然必要です。ネットワークプロトコルの知識も細かく解説しているので、技術の基礎から学ぶことができます。 基礎を学んだら、いよいよ用意されているEXPERIMENTへ移ります。各EXPERIMENTではまず座学でツールや考え方を学び、実習で実際にターゲットを攻撃します。用意されているターゲットと、それを攻撃する手段は多種多様。様々なツール、OSの仕様とコマンド、人間のミスを利用してターゲットの穴を探し、侵入したら各種コマンドやシェルを駆使してシステム及び人間の脆弱性を探し権限を奪い取る、推理小説を読んでいるようです。 ~/.bash_historyを開いて過去の操作履歴から特定のディレクトリやコマンドを探し出す行為は自分の頭の中にはなく、目を見開きました。加えてそこで呼び出されるコマンド（プログラム）を改ざんして、正規ユーザに悪意あるコマンドを実行させる。”ハッキングは芸術”という言葉がありますが、これは確かにハマってしまう人もいるかもしれないw...

2025, Dec 27   — 

1年間CPEを稼いだ結果

今年1月にCPEはどうやってゲットすればよいのかという記事を書きました。 ISC2が用意するウェビナーを視聴する 情報処理安全確保支援士などの研修の結果を報告する セキュリティに関する本を読む オンライン配信やオフラインイベントに参加する などでポイントをゲットすることができ、3年間で120ポイント貯めることが求められます。 この1年間で溜めた結果を報告します。 1年で120ポイント貯めました！！ 来年はAWSの資格更新で勉強時間がとられることが想定されるので、今年中にできるだけ稼いでおきたいと張り切った結果、1年で3年分のポイントをゲット。これで残り2年は自己研鑽する必要がなくなりました（ウソです、来年以降もちゃんと勉強しつづけますよ） 内訳としては ISC2が用意するウェビナーを視聴する = 20% 情報処理安全確保支援士などの研修の結果を報告する =...

2025, Dec 20   — 

2025年11月の気になるインターネット記事をピックアップ

気が付けば11月も終わり。本当は有給を取ってセキュリティのセミナーに参加したかったのですが、仕事が忙しくて叶いませんでした。 そんな中、気になったセキュリティ関連のニュースを紹介します。 生成AIガイドラインとは？企業に役立つひな型を公開！リスクや対策も解説 企業が生成AIツールを導入するためには、専用の「社内向け 生成AIガイドライン」を整備することが欠かせません。生成AIにおけるリテラシーには個人差があり、各従業員の判断に任せた運用となれば、生成AIに起因するセキュリティ事故や著作権侵害などのリスクが予期されるためです。 先月のSoftware DesignでもAIのセキュリティについて特集されていました。AIがこれだけ利用される現代、セキュリティを考えるのは当然です。 むしろコーポレートサイトに「私の会社はこういうルールで生成AIを利用しています」と、プライバシーポリシーと同じように載せるべきだとも言われています。 従業員に対してはペラ1枚でもよいので、以下の周知が必要です。 使用可能な生成AIツール 入力禁止の内容について 生成AIの見解を会社の見解として掲載しないこと（AIに「その根拠となるWebサイトを教えて」と伝え、人間が必ずチェックする） 生成AIの成果物掲載の際、著作権を侵害していないことを法務に確認すること これはつまり、法務部門も生成AIについて無関係ではいられない、ということです。最近、Webサイト画面の右下にチャットAIが表示され、いろいろと質問に答えてくれる便利なサイトが増えています。しかし、AIが明らかに荒唐無稽なウソをついたとしても、それは掲載している企業の責任となり、金銭的ダメージとなるケースも実例として存在します。 AIの安易な利用に対しては、セキュリティの観点からも責任者がチェックするべきです。...

2025, Dec 07   — 

サイバーセキュリティの教科書

原著のタイトルは「Making Sense of Cybersecurity」、つまり「サイバーセキュリティのセンスを作る」と訳せるでしょうか。筆者の言う「センス」とは以下の3つを指します。 適切さ バランス 持続可能性 セキュリティはとことん突き詰めようとすれば際限がなく、費用も青天井になりがちです。また、大企業と中小企業では、従業員数や保有する情報資産、取引先の数、そして何よりかけられる予算が全く異なります。 そのため、自社にとって適切な規模の対策をバランスよく行わなければ、セキュリティ対策自体を持続することができません。 特に「持続可能性」は重要です。セキュリティ対策は、テンプレートに従って一通りのドキュメントを作成し、ツールを導入したら「あとは放置」というわけにはいきません。対策は日々の活動の中で劣化し、その間にも新たな脅威が登場してきます。「セキュリティ担当、また同じことやっているのでは？」と周囲から疑惑の目を向けられつつも（？）、繰り返しの活動を継続しなければならないのです。 エンタメと実在のハッカーたち 本書の内容は基本的ですが、単なる知識の羅列ではなく、読者の興味を惹くような構成になっています。 例えば、映画『ウォー・ゲーム』（米軍のセキュリティの脆さを知らしめ、各種対策や法律制定に影響を与えた話題作）や『スニーカーズ』、書籍『ハッカーを追え』など、コンピュータ普及期にセキュリティ問題を突いたエンタメ作品が紹介されています。 情報を盗み、売りさばき、暴露するエピソードは、決してエンタメ世界だけの架空の話ではありません。本書では実在のハッカーについても触れられています。 世界で初めてワームを作成し有罪判決を受けたロバート・T・モリス。...

2025, Nov 30   — 

サイバー攻撃から暮らしを守れ！

別のブックレビューがたくさん詰まっているのですが、こちらのブックレビューを差し込みます。 ご存じ、日本憲政史上初めて女性の総理大臣となった高市早苗総理。かつては自民党のサイバーセキュリティ対策本部長を務めていたこともあり、さらには20年前にはイノベーション・科学技術政策担当大臣（兼IT担当大臣）もつとめており、日本でこの分野についてはもっとも経験値を持っている政治家の一人ではないでしょうか。総理大臣就任の所信表明にも 　ＡＩ・半導体、造船、量子、バイオ、航空・宇宙、サイバーセキュリティ等の戦略分野に対して、大胆な投資促進、国際展開支援、人材育成、スタートアップ振興、研究開発、産学連携、国際標準化といった多角的な観点からの総合支援策を講ずることで、官民の積極投資を引き出します。 とあります。そんな高市早苗総理が今から7年前に編著した本書、当時サイバーセキュリティをどう認識していたのか、今後の私たちセキュリティ専門家にとってどのような影響があるのかを探っていきます。 まず最初の章を読んで思ったのが、この本は一般的な”国民の皆様”をターゲットとしてはおらず、セキュリティに詳しい人向けに書かれていること。専門の単語も使われています。AIって8年前から（もっと昔から）言葉としてはありましたが、今の爆発的進化はさすがに予想できていなかったでしょうね。しかし当時すでにランサムウェアの用語が載っているとは、分かっている人には見えているのですね。2020年の東京オリンピックの時に「サイバーセキュリティ人材が足りない」と政府が言っていましたが、もともと高市総理が安倍元総理に渡していたセキュリティの提言に、2019年以降のセキュリティ人材の強化と法制度整備を推進するよう記載されていたようです。 次いで各産業で発生したサイバー攻撃についての説明を多くのページで割いています。報告書のようなフォーマットで、各産業の対策についても説明が冗長になっていること、箇条書きで記載されていることから、読者に読ませる文章というよりは、この文章を（多少改変したかもですが）実際に国会で提出したのだと自分は読み取れました。 セキュリティに携わっている人にとっては「そういえばそんなのあったな」と懐かしい気持ちになることもあるでしょう。しかし知識のない人が当時読めば「今サイバー攻撃はこれくらい身近になっているのか」と感じたことでしょう。そして当時と比較して、サイバー攻撃の質・量とも今は増えています。 アメリカのサイバーセキュリティ政策についても解説されていますが、この内容から高市総理はアメリカのサイバーセキュリティ界隈にもコネクションがありそうですね。アメリカのサイバー防衛策を日本に積極的に取り入れることも考えているはず。 感想としては、私たちがサイバーセキュリティ対策としてIPAなどの公的組織から実施するよう指示されている施策は、この章に書かれているような文書が国会で審議され、可決されたのち現場に降りてくるのだろうな、と思いました。「セキュリティ・バイ・デザイン」や「サプライチェーンリスク」「セキュリティを”リスク”から”投資”に」見慣れたフレーズがちらほらと。国会での議論から現場に落ちてくるのはタイムラグがありますね。また当時からすでに 「AIには多くの電力が必要となる」 ことに言及しており、AIのこの時代に高市総理が総理の立場にいる点にはとても期待しています。 最終章には当時の高市総理の個人的な考えも書かれており、高市総理はテクノロジーオプティミスト（、技術の進歩がもたらすポジティブな変化に対して楽観的な見方をする人や思想）ですね。以下のような課題をICTによって解決できると考えています。 生産年齢人口の減少 インバウンドによる外国人への増加 一次産業に従事する労働者の高齢化...

2025, Nov 15   — 

2025年10月の気になるインターネット記事をピックアップ

9月がまだまだ暑い！とか書いていたのに、10月下旬はもう冬のような寒さです。秋はどこいっちゃんでしょうね？ ランサムウェアが流行ってます 先月は、ランサムウェアによる被害のニュースが相次ぎましたね。 特に、アサヒやアスクルといった、誰もが名前を知っている大企業が業務に支障をきたす事態となり、その深刻さが改めて浮き彫りになりました。 一般のニュースでも「ランサムウェア」という言葉を聞くようになり、これは従業員に対して企業のセキュリティ対策の意識を高める絶好の機会だと考え、この記事を書きました。 「私はロボットではありません」詐欺に注意してください こちらも先週公開した、社内の従業員への注意喚起を目的とした記事です。 ランサムウェアは、ファイルを暗号化するなど「マルウェア（悪意のあるソフトウェア）が取る行動」の種類を表します。 一方で、クリックフィッシングは、利用者をだましてマルウェアを感染させる「手口や手段」を指す言葉です。 つまり、クリックフィッシングという手口でランサムウェアに感染させられるケースもあるわけです。 セキュリティ対策は、最も弱い部分から攻撃を受けます。　専門家には既知の情報であっても、「自分は知っているから大丈夫」と軽視してはなりません。 それにしても、私たちが普段よく目にする「私はロボットではありません」のバナーそっくりの偽物を作るなんて、悪意のある攻撃者はどこまで巧妙なのでしょうか。この偽のチェックボックスをクリックすると、マルウェアのダウンロード・インストール命令をクリップボードにコピーするという、非常に悪質な手口です。 パスワードは、特殊文字などの「複雑さ」ではなく「長さ」を求めることを推奨 〜NISTがガイドライン更新 NIST（米国国立標準技術研究所）が、パスワード作成に関する最新のガイドラインを更新しました。これにより、これまで私たちが　「常識」としていたことが、実は「非推奨」　となっているため、私たちの知識もアップデートが必要です。...

2025, Nov 08   — 

「私はロボットではありません」詐欺に注意してください

先日、従業員の方から「Webサイトを見ていたら『私はロボットではありません』という画像が表示されたけど大丈夫？」と相談がありました。 この表示は、多くの方が一度は見たことがあると思います。 通常、Googleなどが「このアクセスは人間ではないかもしれない」と判断した場合に表示されます。 主な表示理由 マウスの動きが機械的で不自然 短時間に大量アクセス（botの可能性） 非常に古いブラウザを使用している 送信元IPアドレスがブラックリスト入り 多くの場合は問題ありませんが、最近この「私はロボットではありません」画面を悪用した詐欺（クリックフィックス）が急増しています。 不正な操作へと誘導しマルウェアに感染させる「クリックフィックス」 ネットでよくある質問｢人間ですか？｣に潜む罠､不正な操作へと誘導しマルウェアに感染させる｢ClickFix（クリックフィックス）｣攻撃の被害急増 クリックフィックスは、「クリックすることで問題を解決します」と装い、ユーザーを騙してマルウェア感染などの不正操作へ誘導するサイバー攻撃です。 2024年以降、世界的に被害が急増しており、日本でも警察庁が注意喚起しています。 サイバー警察局たより クリックフィックスの手口...

2025, Nov 03   — 

ランサムウェアが流行ってます

近年、ランサムウェアによる被害が大きな社会問題となっています。 ランサムウェアとは、利用者のシステムに不正侵入し、データを暗号化して使えなくしたうえで、「元に戻してほしければ金銭を支払え」と要求する悪質なソフトウェアです。最近ではデータを暗号化せず、盗み出した情報を「公開する」と脅す“ノーランサム”型の攻撃も増えています。 実際に起きた被害事例 アサヒホールディングス ランサムウェア被害で出荷サービスやコールセンター業務が停止し、ビールの出荷までできなくなりました。 サイバー攻撃によるシステム障害発生について 竹内製作所（米国子会社） サーバが攻撃され、一部データの暗号化・外部流出が発生しました。 連結子会社におけるランサムウェア被害に関するお知らせ アスクル Web注文システムが停止し、無印良品など取引先にも影響。「サプライチェーン攻撃」の代表例です。 【重要】ランサムウェア感染によるシステム障害発生とご注文受付停止のお知らせとお詫び ランサムウェアは他人事ではありません。 情報セキュリティ10大脅威では2016年から10年連続でランクイン。昨年は脅威ランキング第1位。 そもそもテレビのニュースで使われている用語ですから、残念ながら市民権を得てしまったということです。...

2025, Oct 25   —