ハッキング思考

はじめに、に書かれているアリの観察キットの話。キットを売っている会社に住所を送ると、アリが入った試験管が送られてくるのですが、筆者はこの企業の善意のサービスを知った時にこう考えました。 「だったら、この会社から誰にでも生きたアリを送り付けられるじゃないか」 と。「？意味が分からない」というあなた、純粋ですw しかしこの世のサイバー攻撃はこのような善意で作られたシステムを突いたハッキング思考にあふれています。掴みは完ぺきな本ですw 筆者はアメリカハーバードでサイバーセキュリティを教えています。講義では「試験の答えをカンニングしてもＯＫ、ただしバレないように」などというユニークな試験が出されます。サイバーセキュリティをについて理解するならば、不正を働く側の目線、考え方を持たないという話です。敵を知り、の孫子ですね。 ただし、この本はサイバーセキュリティについて語った本ではありません。権力者、富裕層などの強者がいかに社会システムをハックするか、という話です。ソフトウェアのバグはパッチが比較的短期間で当てられるの対して、社会システムや法や脆弱性を潰すことは簡単ではありません。 本書ではいろいろなハックが紹介されます。王道（？）のATMのハックから、カジノのハック。大学生が考案した、コンピュータとセンサーを用いて、ディーラーが投げるボールがルーレットに入るスピードからどの数値に入るのかを推測するハッキングは惹かれるものがあります。 スポーツという勝負の世界では、わざと反則して有利な場面を作ったり、背泳ぎを半分以上潜水して泳がなかったりというルールの抜け穴を突く行いもハックと言えるでしょう。お金がかかわった場合の人間の執念たるや驚かされます。 市場経済や政治システムや法律もハッキングされます。読んでいると「そんなのへ理屈だろ」みたいなことが平然と行われていることに憤慨します。皆さんも身に覚えがあるのではないでしょうか。わざとハッキングできる余地を残して作られた法律は予定調和で悪用されます。 そのハックにより利益を得るのは大企業や富裕層・政治家など力を持っている一部の人間です。我々一般庶民は一発逆転を狙うことはできず、指をくわえるしかありません。 世の中は言うまでもなく不公平で、特に政治システムや法律に対するハッキングは私たちの社会を破壊する力があります。 一般庶民を対象にしたハッキングはいわゆる「認知戦」が挙げられます。炎上商法、ショート動画、承認要求を満たすSNS、エトセトラエトセトラ・・・私たちの周りには、私たちの思考を誘導するモノがあふれかえっています。ソーシャルエンジニアリング、サポート詐欺、スピアフィッシングなどサイバーセキュリティの知識がある人ならばおなじみの攻撃も対人間への認知をゆがませる攻撃と言えます。 この本で最も印象深かったのは、（やはり自分がエンジニアだからかもしれませんが）最終章をまるまる割いている「AI」。AIシステムに対するハッキングにより内部の機密情報が盗まれたり、ロジックが改ざんされて意図的にウソを回答したり、法を犯す行いを推奨したり、差別的な発言をおこなったり（今から10年前Microsoftの人工知能「Tay」が悪意あるユーザによって暴走したニュースがありました）するケースはイメージしやすいと思います。しかしAIはチャットだけではなありません。画像認識による自動ブレーキシステムや危険物持ち込みの判定など、社会の安全を守るため様々な場所でAIは利用されています。それが意図しない動きをするようになると、命の危険も生じるわけです。 しかしAIに対する脅威はそのだけにとどまりません。AIが人間に成りすまして、あたかも大多数の意見かのようにSNSに投稿する、これはフィクションではなく、今の日本でも起こったとされています。こちらは昨年の記事ですが(選挙とＳＮＳ　民意ゆがめる工作に対処急げ、先月の選挙でも外国からの世論工作が行われたことがニュースで報道されています。そこには人力だけでなく、AIも活用されていることは想像に難くありません。 ここにロボティックスが加わり、私たちに親しい人の姿かたちをしたロボットが我々一人一人の心を騙し・操作することに最適化されたロジックで話しかけてくる未来は絵空事ではありません。つまり...

2026, Mar 08   — 

Amazonセールでソースネクストの「1password family(3年分)」が4割引！

※案件記事ではありませんｗ 現代ではメールやSNS、交通系ICに銀行、ショッピング……あらゆるサービスの入り口が「スマホ」になっています。 これらのアプリを利用する際に欠かせないのがログイン情報ですが、そのパスワードをすべて自力で覚えるのは、もはや至難の業。 そもそもセキュリティの観点から言えば「人間が覚えられるような簡単なパスワード」は絶対にNGです。「p@ssw0rd」や「20260303」といった、ありがちなパスワードは、攻撃者のツールにかかれば1秒間に何千回もの試行であっさり突破されてしまいます。 また、パスワードの使い回しも厳禁。1つでも漏洩すれば、芋づる式にすべてのサービスが不正ログインの脅威にさらされるからです。とはいえ、サイトごとに複雑なパスワードを設定して、都度入力するなんて……面倒ですよね。そんな手間をゼロにし、セキュリティを最強にしてくれるのが「パスワード管理ソフト」です。 以前、このブログの初期に「LastPassからBitwardenに乗り換えました」という記事を書きました。気づけばこのブログも丸3年。我ながらよく続いています（笑）。ただ、実は現在、Bitwardenは使っていません。無料で使えるのは魅力ですが、正直に言ってUI（操作画面）が少し使いにくかったんです。 1passrordは私は業務でも愛用しています。有料ソフトではありますが、その分、使い勝手と機能性は群を抜いています。 検索が優秀： ログインしたいサイトの情報がすぐ見つかる 自動入力（オートコンプリート）： サイトのURLを判別してIDとパスを自動入力。入力の手間がほぼゼロに 2段階認証に対応： ワンタイムパスワードも管理できるので、これ一つでセキュリティが完結 マルチデバイス対応： クラウド管理なので、PCが壊れてもスマホからすぐに復元可能。PCでもスマフォでも利用可能...

2026, Mar 03   — 

情報処理安全確保支援士のオンライン講習を受講しました(2025年度)

※”情報処理安全確保支援士”は長いのでこの後は通称の”登録セキスペ”という単語を使います。 1年に1度の情報処理安全確保支援士（通称登録セキスペ）のオンライン講習。普段はゴールデンウィークに対応しているのですが、来年（注：この記事を書いたのは2025年11月です）はAWSの資格更新などが忙しいので、今年のうちに対応することにしました。 最初の単元は 「登録セキスペに期待される役割と知識」でした。昨年と同じタイトル、そして役割の3か条も変更はありませんでした。 登録セキスペの役割（3か条） なぜ脅威が発生しているのか理解し、自らが能動的に必要な情報を収集・活用すること。 指導、助言、支援を求めている人に対し、具体的対策を説明し、その実施・支援を行うこと。 過去の事例を教訓とし、組織内で同様の事象が起きないための取り組みを進めること。 今年は、セキュリティ担当として、流行のランサムウェアやクリックフィックスの手口を従業員に啓発したり、セキュリティに関する問い合わせに回答したり、会社のセキュリティインシデントに対応したりと、上記の役割を着実に果たしているという自負があります。 来年は、ISMS（情報セキュリティマネジメントシステム）の取得や、2026年公開予定の「サプライチェーン強化に向けたセキュリティ対策評価制度」への対応など、挑戦したいことが山積みです。 とはいえ、セキュリティ担当者が全てを100%のガチガチセキュリティで固めてしまっては、業務は滞ってしまいます。「清廉潔白」が常に正しい行いであるとは限りません。「角を矯めて牛を殺す」という言葉もあります。 先日読んだ静かなリーダーシップという本が、映画のように堂々と正義を執行するのではなく、熟考し、周囲と調整した上で「グレーゾーン」を攻めることもまた重要である、と書かれていました。自分にとっても参考になる本でした。 情報セキュリティ10大脅威 2025からもわかるように、脅威には流行り廃りがあります。ある脅威への対策が進むと、その攻撃は息を潜めますが、別の脅威が流行り注目がそちらに移ると、再び息を吹き返すのです。2025年は、5年ぶりにDDoS攻撃がランクインしたのが印象的でした。 また、広島のG7首脳声明で紹介されたAIに関する国際指針・行動規範も紹介されていました。数年後には私たちに対するAIセキュリティ対策の骨子となるでしょう。昨年、高市早苗総理（当時）が以前書かれた書籍の内容が、民間でのセキュリティ対策として要望されるようになった事例からも、このスライドの内容は重要だと感じます。...

2026, Feb 22   — 

業務で使えるメール技術の教科書

「電子メールをビジネスに使うのはやめるべきだ」と日々の業務の中で言っている私ですが、実際のところは電子メールは無くなりません。皆さんも認識の通り、SlackやLINEなど、もっと使いやすく安全性が高いコミュニケーションツールは今やたくさんあります。それでも電子メールが無くならないのは、一企業に属さない汎用的なコミュニケーション手段（開発側の観点から見ると「統一されたプロトコル」）として世界中に普及していることと、そして多くのWebサービスにとってはログインID兼認証手段（メールアドレスに送信されるワンタイムパスワードや検証用URL）になっているからだと考えます。 この本の最初にもあるように、メールについての技術を学ぶ際、 Linuxなどのサーバー構築についての本→メールサーバの構築 DNSについての本→ドメインやIPアドレスの知識 セキュリティについてのほん→暗号化や認証、ウィルス、スパムなど 個別の技術が分散して紹介されます。そのため各個の知識については知っていても、それを組み合わせ、体系的にメールの送信、受信について学ぶということができていない、と感じていました。 まずはメール送信・受信の理解を深めます。「送信者→送信者のSMTPサーバー→受信者のSMTPサーバー→受信者」という流れは、最もシンプルで直接的なケースですが、現実のインターネット上では、セキュリティや管理上の理由から、複数のSMTPサーバーを介してメールが転送されることはよくあります。大きなISPは当然サーバが1つということはなく、クラスター化しています。あるいはスパム検知用のサーバが挟まっていることも考えられます。 また最近はWebメールが主流なので、送信者→送信者のSMTPサーバへの通信はSMTPではなく（ThunderbirdやOutlookなどツールの場合はこの間の通信もSMTPを使用する）HTTPSを利用します。 本書はメールの技術、その根幹にあるIP層のプロトコルについても現実のモノを例示するなどして分かりやすく解説しています。一度覚えたものの忘れてしまっている用語も多いです。メールには直接関係ない話ですが、今一度DNS正引きの流れを思い出しました。 1.PCやスマートフォンが、DNSリゾルバ（キャッシュDNSサーバ）にwww.example.comのIPアドレスを問い合わせる（DNSリゾルバはフルサービスリゾルバとも呼ばれる） ↓ 2.DNSリゾルバは、まずルートDNSサーバに.comのTLD DNSサーバの場所を尋ねる ↓ 3.次に、.comのTLD...

2026, Feb 15   — 

サイバー攻撃その瞬間　社長の決定

サイバー攻撃が多発しています。 2025年の1年だけでも、アサヒビールやアスクルに対するランサムウェア被害だけでなく、IIJや駿河屋に対する不正アクセスなど、ニュースを日々騒がせています。 しかし、サイバー攻撃を受けた企業の中で実際にどのようなことが起きているのかを知ることは、なかなかできません。攻撃側に情報を与えてしまうリスクがあることは事実ですが、一方で自分が攻撃を受けた側だと考えてみてください。「こんな対策すらしていなかったのか」と暴露されることを恐れる、という内部事情もあると思われます。 そんな中、本書『サイバー攻撃 その瞬間』は、サイバー攻撃を受けた企業「関通（かんつう）」の社長が、攻撃を受けてから毎日（土日も含めて）どのような対応をしたのか、その時どう思ったのかを記述し、公開した貴重な一冊です。 前半は、毎日どのような対応を行っていたのか、その時の思いが時系列で書かれています。誰もが知りたい、でも考えたくはない「サイバー攻撃の被害を受けた際に何が起こるのか」「何をすればよいのか」という情報を学ぶことができます。後半は、その経験から得た教訓について書かれています。 まず何度も書きますが、今やサイバーセキュリティは経営課題です。私の取引先の某大企業は、サイバーセキュリティの部門が経営室の配下にあります。うらやましい……（笑）。 しかし「サイバー攻撃は他人事ではない」「サイバーセキュリティは経営課題」という意識を、どれくらいの経営者が持っているのでしょうか。この本を書いた社長も、被害を受けるまでは「サイバー攻撃というキーワードは頭の中になかった」と言っていますが、それは2024年の話。2025年は冒頭にも書いたように、そうは言っていられないでしょう。しかしそんな筆者だからこそ、平易な言葉で書かれている “サイバー攻撃が起きた瞬間” の解説にはリアリティがありました。 システムのデータが消去され、業務ができなくなる。既存のネットワークやPCは安心して利用できないことから、必然的にDR（Disaster Recovery）環境で対応しなければなりませんが、準備ができていなかったため、どう対応すればよいのかを全員で考えながら苦難を乗り越えていきます。 “詳細は語れません” と記者会見している会社や、Webサイトでプレスリリースを出している会社でも、この本に書かれているような事象が起きているのかもしれません。これまで「何が起こっているのかいまいちはっきりしないなぁ」と感じていた記者会見も、この本のおかげで、その裏側で実際に何が起こっているのかがイメージしやすくなりました。 前半を読んでいて特に印象に残ったのが、社内ネットワークが信用できないため、個人のテザリングや、SIMを新たに購入してインターネットに繋げて業務を行ったという話です。セキュリティ的には全然安全ではないのですが……背に腹は代えられません。...

2026, Feb 14   — 

AWS FTRの認証を得るための活動

これまで、AWSを利用する多くの企業が「AWSパートナー」として活動してきました。これまでは、社内に一定数のAWS資格保有者が在籍し、パートナーとしての年会費を支払う（実際には年会費以上のクレジットがもらえるため、実質プラス）ことが主な条件でした。 パートナーとして認められると、自社サイトにAWS公式のパートナーバッジを掲載できたり、AWSと共同セミナーを開催できたりと、より深い関係を築けるメリットがありました。しかし、2025年にこのルールが大きく変わるというアナウンスがあったのです。 AWS パートナーの成功を加速 : 2025 年に向けた顧客価値を推進する新たな取り組み 公式ブログには詳細が伏せられていますが、昨年AWSから届いたメールを要約すると、以下のような内容でした。 「今後AWSパートナーのステータスを維持するには、少なくとも1つのソリューションを『Validated（検証済み）』にする必要があります」 急な通告に「何をすればいいのか……」と戸惑いましたが、まずはこの変更の背景から解説します。 なぜ「Validated」が必須になったのか AWSがこの方針を打ち出した背景には、「パートナーの信頼性を企業単位ではなく、具体的なソリューションの品質で担保する」という戦略的なシフトがあります。 顧客が求めているのは「そのパートナーに資格者が何人いるか」ではなく、「提供されているソフトが安全に、正しく動くか」です。そのため、資格者の数だけでなく、実際に提供しているソフトウェア（サービス）がAWSの掲げる品質基準を満たしているかを重視するようになりました。「ただAWSを使っている」企業と、「AWSの設計思想に則った高品質なソフトを持つ」企業を明確に区別し、優良なパートナーにリソースを集中させる狙いがあるようです。 これまで得られていたパートナーの恩恵が失われるのは困るため、私は昨年、通常業務の合間を縫ってソリューションを「Validated」にするための活動を行っていました。 ソリューションを「Validated」にするために...

2026, Feb 11   — 

中堅・中小企業のための サイバーセキュリティ対策の新常識

この本の前書きには、こう書かれています。 ほとんどの中堅・中小企業は、サイバー攻撃に遭ったことがありません。そのためセキュリティ対策を他人事のようにとらえています。しかし、一度被害に遭うとその日からたいへんな状況に見舞われます。本書は「サイバー被害に遭うとどうなるのか」「攻撃者は何故襲ってくるのか」「日本が企業のセキュリティを守ってくれないのはなぜか」「内部からの情報漏洩はなぜ起こるのか」「情報事故に遭わないためにやることは何か」「万が一被害に遭った時に何をすればいいのか」「サイバーの近未来はどうなるのか」 まさに知りたいことが簡潔にまとめられており、期待が高まります。ただ、「今後、本書を読んでいるかいないかが、自社がサイバー攻撃に遭うか遭わないかの分岐点になるでしょう」 とは、随分と大きく出ましたね……。 セキュリティに対する投資判断は経営者にしかできないのは事実ですが、個人的には、こうした本を社長が自ら読むかというと、正直「否」ではないかと思います。社長が考えるべきことは多岐にわたり、その中にセキュリティの知識まで詰め込むのは大変なはずです。 そのために企業にはセキュリティ担当がいて、経営層に現状を上申するのが彼らの仕事です。担当者が責任を持って本書の内容を伝え、経営層に危機感と認識を持ってもらい、予算を確保する。それこそがミッションではないでしょうか。「経営層がお金を出してけない」と嘆くのではなく、それを自分の責任として引き受ける覚悟を持ちたいところです。 僕は中小企業に勤めていますが、大企業からの仕事も請け負っています。大企業からのセキュリティ要望はまさに「水も漏らさぬ厳しさ」で、現場としては正直かなり疲弊しています。しかし逆を言えば、これほど堅牢な環境で働けることは、不便さはあっても大きな安心感に繋がるのだと感じます。 事実、最近の調査では大企業に対するランサムウェア攻撃は減っているという話もあります。一方で、日本の全企業の99.7%を占める中小企業への攻撃は増加しているというニュースもあり、この本のタイトルは非常にタイムリーと言えます。 第1章では、著者の会社にセキュリティインシデントを起こした企業が相談に来る、という形で実際の被害事例が紹介されています。読んでいるだけで「もし自分の身に同じことが起こったら」と考え、心臓がキュッとなりました。フォレンジック調査に1,000万円かかるなんて、自分の口から経営層に報告したくありません……。本書にある通り、DXのように価値を生む投資ではなく、ただ原因を調べて報告するという「何も生み出さないもの」のために1,000万円払うわけですから。 実際、こうした攻撃が増えていることは日々のニュースや総務省の報告からも確かだと言えます。 総務省：令和6年版 情報通信白書 本書に登場する被害企業も、決して無頓着だったわけではなく、それなりの対策は行っていました。しかし攻撃側はそれをあざ笑うかのように、「ClickFix」などの手法で防御をすり抜けてきます。奴らはこちらの策を熟知しているのです。ランサムウェア攻撃が儲かるビジネスである限り、攻撃が止むことはないでしょう（だからこそ、身代金を支払うことはNGとされるわけです）。 続く章では、サイバー対策が進まない理由が分析されています。日本の法律や「日本は安全だ」という意識、経営層の高齢化による感度の鈍さなど、要素は様々です。ただ、「日本が悪い」「外国が悪い」と他責にしても問題は解決しません。セキュリティ担当、経営者、国の機関、それぞれが自分の立場でできることをやる。それがセキュリティ強化の近道です。 今や一つの製品やサービスが単独の会社で完結することはありません。いわゆるサプライチェーンにおいて、鎖の弱い部分からセキュリティが破られ、侵入を許してしまうのです。...

2026, Jan 25   — 

2025年12月の気になるインターネット記事をピックアップ

新年あけましておめでとうございます。新しい1年、新たな気持ちではじめていきます。 セキュリティに対して、頭と手を動かし続け、自らを磨く1年でありたいと考えています。 そんな中、最近気になったセキュリティ関連のニュースを紹介します。 このChrome「拡張機能」を今すぐ削除せよ、生成AIとの会話を収集し第三者に販売 最近よく聞く「最初は正しい動きをする拡張機能に、知らぬ間に悪質なコードが注入されている」という手法に似ています。インストール後のアップデートにより、あらゆるエージェントAIとの会話を収集し、外部サーバに送信する機能が追加されたとのことです。 利用規約にも、以下のような記述があります。 『当社はウェブ閲覧データを当社の関連会社と共有します』。この関連会社はデータブローカーであり、『商業目的で利用され、共有されるインサイトを作成します』」 しかし、規約を隅々まで読む人はなかなかいませんよね。対象の拡張機能一覧は上記記事で紹介されています。今回のケースはVPNを謳う機能だったようですが、無料でVPNを提供することは根本的に信用ならないと改めて感じさせられます。 JC3ポッドキャストの配信(Spotify、Apple Podcasts、YouTube)について JC3：日本サイバー犯罪対策センター（JC3）は、産業界、学術機関、法執行機関等が持つサイバー空間の脅威への対処経験を集約・分析し、共有することで、サイバー犯罪等の大本を特定・軽減・無効化することを目指す非営利団体です。会員企業のセキュリティ担当や警察などの公的機関が連携している組織のようです。 ランサムウェアの脅威に最前線で立ち向かう専門家たちとの対話を通じて、サイバーセキュリティ対策を考えていく「JC3ポッドキャスト　ランサムウェア・ダイアログ」を2025年12月8日より配信開始いたしました。 第1回、第2回を聴いてみましたが、実際にランサムウェア対応をしている警察庁職員の方の生々しい話が聴けます。「私もセキュリティ分野で働きたい！」という方には、非常に価値のある内容だと感じました。 「LINEグループ作成」を要求する詐欺メールに注意　海外のサイバー監視が日本向け攻撃を警告 <blockquote...

2026, Jan 12   —