2025年5,6月の気になるインターネット記事をピックアップ

ゴールデンウイーク明けから先月末まで仕事が特に忙しく、自己研鑽もセキュリティに対する自己研鑽もアンテナも動けませんでした。7月になってやや落ち着いたのですが、学習意欲が減退していることに気が付きこれはいけないと、2か月分のセキュリティニュースをチェックします。 「Cyber-sec+（サイバーセキュリティ プラス）」から情報チェックです。 生成AIセキュリティの最前線：LLM活用で考える「攻め」と「守り」のバランス Office 365やGoogle Workspaceなどの企業内で利用しているグループウェアにもLLM機能がどんどん実装されていくため、必然的に生成AIが業務内に組み込まれています。そんな中情報セキュリティ部門は何を気を付けなければよいのでしょうか。 新しいツールやモデルが日々登場し、進化していくスピードに対して、それらを評価・導入するためのセキュリティチェック体制が追いつかないという問題です。特に大規模な組織ほど、既存のソフトウェア導入フローに則ってセキュリティチェックを行う必要があり、これが数週間から数ヶ月かかる場合があります。このチェックがボトルネックとなり、新しい便利なツールを迅速に導入できない状況が生まれます。 解答案としてこの記事では生成AIツールの利用をトライアルという形で社内で申請させる案を出していますが正しいと思います。シャドーITを防ぐ効果もありますし。 個人情報の漏えい時のインシデント対応のキソ タイトル通り基礎的な内容ですが、とても分かりやすいです。 個人情報保護法の改訂によりISO:27001も改訂され、個人情報と個人データは別物に扱われるようになりました。僕も会社のセキュリティインシデントの対応していることがあるため、個人情報における個人識別符号の定義など参考になりました。 内閣官房に聞く「能動的サイバー防御」～今、知っておくべき6つのポイント インタビュー内容自体はこの記事にはほとんど載っていませんでした。記者が取材した内容を自分の言葉でまとめてくれたからでしょう。そのため、このインタビューの中で引用されているサイバー対処能力強化法及び同整備法についても併せて読みました。 パッと見分かりやすく見えますが、これ強化法と整理法の内容をほぼすべて記載していますよね。...

2025, Jul 27   — 

【ブックレビュー】能動的サイバー防御

2023年頃からにわかにニュースで聴くようになった「能動的サイバー防御」。今年の春に衆議院・参議院ともに可決されました。2027年の施行を予定しています。 参議院：能動的サイバー防御法案等を議決 内閣官房：サイバー安全保障に関する取組（能動的サイバー防御の実現に向けた検討など） 政府がサイバーセキュリティにおいて連呼しているトピックとなっていますが、これはいったいどういうものなのでしょうか。この本はまず、この言葉について解説します。 名前から分かるよう、受動的ではなく、自発的にサイバー防御を行うというイメージが想像できます。しかし情報処理安全確保支援士（登録セキスぺ）のオンライン研修でさんざん言われているように、サイバー攻撃を先制で行う、あるいはやり返す（ハックバック）ことは厳しく禁止されています。しかし能動的サイバー防御は、今までのような攻撃に対する情報収集やファイアウォールのような防衛から1つ先に踏み込み、攻撃側のサーバへの侵入と攻撃の無効化を試みるとされます。そしてそのために民間企業と政府が連携して対応することがアナウンスされています。きれいごとだけでは社会を守ることはできない、残念ですがそれが現実のようです。 そして能動的サイバー防御の歴史について語ります。その背景は国際的にサイバー攻撃が増加していることとがあります。一部の趣味ハッカーではなく、今ではサイバー攻撃の背景に国家が存在するため、レベルも相当に高く、既にサイバー防御は国家安全保障の領域に達していることが挙げられます。外国のサイバー防御にレベルを合わせなければ、と日本も活動を始めましたが、元々諜報機関などがメインとして発展してきた外国のサイバー安全保障と、民間が主体となって発展してきた日本のサイバー安全保障は現状に差異があります。また憲法9条の存在が原因の一部と思われますが、専守防衛の思想の強い日本のサイバー安全保障における攻撃能力は国際的には低いようです。その一方で平和外交を主体とした外国とのサイバー外交については高く評価されています。次の章に書かれているようにサイバー防衛には国際協調が欠かせません。これは日本の大きな強みと言えるでしょう。 国際社会ではサイバー攻撃に対する国際的な取り組みを協調して行おう、という動きはあるものの、各国の思惑もあり一筋縄ではいかないようです。アメリカでは10年以上前からサイバー戦略をパッシブからプロアクティブに変遷してきました。日本がアメリカより10年遅れている、とは昔から言われていましたが、サイバー安全保障についても同じようです。先ほど登録セキスぺではハックバックを禁止していると書きましたが、アメリカでは議論を積み重ねた結果、悪意あるサイバー作戦やキャンペーンの対応であればボットのテイクダウンやハックバック、攻撃側の機器の破壊までやってよい、と踏み込んでいます。そのうち登録セキスぺの研修も変わっていくのでしょうか。 とはいえ「大いなる力には、大いなる責任が伴う」この”悪意あるサイバー作戦に対する正当な防衛・報復”が、国家や権力者に恣意的に取りあげられるリスクはもちろんあるでしょう。実際その名前の下に国民を監視検閲下に置いている国もあるはず。 次に各国が行っているサイバー戦能力を紹介。まずはアメリカ。アメリカ含む多国籍軍がISに対して行ったサイバー戦は単に攻撃側のサーバをテイクダウンするだけではなく、ソーシャルネットワークで離間策をしかけたりもしています。ロシアがウクライナに対し、戦争が起こる前からサイバー戦を支援していることも分かりました。アメリカはサイバー戦においても先を行っていて、状況の変化に応じその戦略も変化させています。その骨子はドキュメントとして公開されており、特に2023年に発表されたサイバーセキュリティ戦略は5本の柱で構成されていて非常に具体的です。サイバーセキュリティに対する予算も年々増加し、現在全国防費の10%に達しています。以前紹介した本「サイバー戦争」では、ロシアによるアメリカに対する主にソーシャルネットワークを使った世論操作のサイバー攻撃が紹介されていましたが、これに対する激しい防諜作業も行われているのでしょうね。イギリスもサイバー分野に対し大幅に予算を増額しています。 中国とロシアについては日本の隣国、そして昨今の国際情勢を考えるとどのような能力を持っているかは重要な関心です。中国に関してはアメリカと同レベルの戦略と技術を持っていると思われます。対外的にはサイバーセキュリティに対する国際協調を訴えていますが、そもそも国家体制として、国内の組織に対してデータの国内保存と考案への協力を要求しているところです。さすが中国、独裁体制、と言いたくなる人もいるでしょうが、先日のアップルに対する英国政府のバックドア作成要求でもあったように、自由主義国家でも暗号化されたデータの中身を閲覧したいという願望はあることは知っておくべきでしょう。 また、MITREのような”脆弱性の世界的な情報共有”という思想と相反する”中国国内で発見された脆弱性に関しては当局の調査が完了するまで公表を禁止する”脆弱性管理規定も制定されており、これが何を意味するかは言うまでもありません。中国にも脆弱性を収集・公表する組織がありますが、リスクの高い脆弱性を意図的に公表を遅らせることもしており、国家安全部との関係性は明らかです。中国が高い性能のAIを作り「使ってもいいよ」としても簡単に普及しないのは、このような国家の影が見えるからでしょう。また、台湾統一のための情報戦やネットワークインフラの妨害・物理的切断や監視カメラによる分析など、国内外に対して攻撃的な施策を行う一方、防御防衛に対してはまだ経験不足、という評価もあるようです。 ロシアに関しては「サイバー戦争」で紹介されたサイバー攻撃が恒常的に国外に対して行われており、国内のインターネットは検閲・監視されています。自分はロシアに行ったことはありませんが、中国に旅行する際にはGoogleもLINEも使えないことに苦労しました。日本にだけいると、インターネットは自由な世界と思いがちですが海外に目を向けると必ずしもそうではないということですね。2022年から始まり今なお続いているロシア・ウクライナ戦争では。脆弱性を突いたインフラへのサイバー攻撃や、ディープフェイクと言われる偽映像を用いたゼレンスキー大統領の降伏動画など、私たちはリアルタイムでロシアのサイバー戦を見せつけられています。 次にサイバー戦略の枠組みについて解説。従来の戦車や核兵器といった戦争における戦略と、サイバー戦略とでは共通する部分もありますが、大きな違いとして、サイバー空間は物理的な空間ではなく仮想的で、常に変化することや、地理的条件がないこと、さらにいえば平時と有事（戦争と平和）の区別があいまいとなり、常時攻撃している、常時防衛しているような状態であることが解説されています。また、サイバー戦略においては抑止力ではなく、脆弱性を懐に抱えた持続的な優勢状態を維持するほうが強いとされているそうです。この本ではサイバー攻撃を行うために用いられる、ヒト・モノについても良く分析・紹介されています。 最終章は「日本の転換」というタイトルでサイバー政策における日本の対応について解説します。日本は先ほど紹介されてきたような海外とは異なり、自分達からの攻撃を憲法が認めていません。しかし能動的サイバー防衛は自分達から相手のサーバーに攻撃を仕掛けたり、ネットワークを物理的・論理的に切断することを可能とします。自衛権発動の三要件、日本が武力行使による自衛措置をとるための憲法上の解釈である 我が国に対する急迫不正の侵害があること...

2025, Jul 21   — 

セキュリティ担当者のためのセキュリティエンジニアとして活躍するために身につけておきたいSC思考

様々なセキュリティサービス、セキュリティツール、セキュリティに対する知識をこれまでインプットし、このブログでアウトプットしてきました。しかしこの本はセキュリティインシデントの多くは技術的欠陥ではなく、人間の判断ミスで起こると言います。 それはセキュリティインシデントの上位がずっとフィッシング詐欺であることからも明らかです。しかし見落としてはいけないのは、一般的な従業員だけでなくセキュリティエンジニアも人間であること。人間の弱さを持っています。 仮に機器の操作ログを記録し、警告メッセージが出たとします。最初はしっかり調べていても、「いつもの従業員の月末月初の操作だろう」と慣れからスルーするようになってしまう。あるいは「監視ツールを導入すること」という手段自体が目的化してしまい、導入、初期設定して後は放置（本当は放置したいわけではないのですが、他の仕事が忙しくて手が回らない）。結果としてセキュリティインシデントを招いてしまう、というのは想像できる話です。 タイトルの「SC思考」は「セキュリティ思考」の略で、筆者の造語です。筆者の造語です。セキュリティ思考とは、技術について知っていることを前提の上で「どのように考えるべきか？」「どの対策が本当に必要なのか？」を考える思考になります。そのポイントは 1.攻撃者視点を持つ セキュリティエンジニアは組織のセキュリティの弱点を知っています。ええ、よーく知っていますとも。世間でセキュリティ事故のニュースが報道される時、「あの会社はダメだなぁ」などとは決して思いません、明日は我が身、まだターゲットになっていないだけだ、と思います。 セキュリティにおける攻撃者、防御者は同じ知識を持っています。そのため自分が攻撃者ならばここを攻めるという想像力は持っているべきですし、それに対し防御する必要があります。 技術的観点からいえば、「既知の脆弱性が放置されていないか」、「外部からアクセス可能な管理画面、apiが存在しないか」、「古い暗号化方式や不適切な管理権限が残っていないか」などの外部からの技術的な攻撃を想定しますが、「内部不正についての防御は十分か」、「ITに精通していない従業員のオペレーションミスを起こしやすい状況となっていないか」、「システムの運用ルールが厳しすぎて例外処理が生まれ、抜け道が生まれてないか」などの人間起因、それも悪意があるモノではなくミスによるセキュリティリスクも考慮する必要があります。 2.リスクアセスメントをする 各情報資産に対するリスクのアセスメント（量・価値の計算的評価）を行います。 すべての情報資産に100%の対策を行うことは現実的でなく、逆にリスクを増大化させます。そもそも人の稼働工数も、会社が支払える費用も限度があります。 最新のセキュリティ機器を全拠点に導入 従業員すべての操作を監視 あらゆるデータのバックアップ、同期 上記は不可能です。基準を作り、優先度を決めて長い期間をかけて対策を実施する必要があります。自分も社内でリスクアセスメントを行っていますが、優先度を決めるための基準はCIAを使っています。つまり...

2025, Jul 12   — 

【ブックレビュー】パスキーのすべて

皆さん、パスキーを使っていますか？ このブログでもたびたび話題に上げているパスキー。僕もGitHubの認証やAmazonのログインにパスキーを利用しています。 パスキーは一般的な人たち向けのサービスにも普及しています。例えばニンテンドーアカウントもパスキーに対応しています。ドコモのdアカウントもログイン後の重要な契約ではパスキーが必須となり、ドコモのセキュリティに対する高い意識を感じます。 パスキーの普及は近年のセキュリティに対するニーズであることはもちろん、そもそもパスキーは”楽ちん”であり、楽ならば普及しない理由はありません。僕はパスキーの存在を知った当時から「必ずこの技術は普及する」と確信し、このブログでも幾度となく（初出は2023年1月）から紹介しているパスキーですが、今年ついにパスキーについて深く語る本が出版されましたので紹介しようと思います。 古代より「合言葉」として使われていたパスワードですが、弱点も多く存在しました。なによりパスワードを利用する「人」が”123456”とか”password”等の弱いパスワードを使っていたり、同じパスワードを使いまわしたり、騙されてパスワードを攻撃者に漏らしてしまったりと、自らセキュリティ事故を起こしてしまうのです。時折「パスワードの定期的な変更はやらなくてよい」というセキュリティ対策の変遷が話題になりますが、これは 「パスワードの定期的な変更は（結局覚えやすいパスワードを使い回ししてしまうためセキュリティが却って弱くなり）やらなくてよい」 という意味で、つまりは人間が惰弱なゆえの対策の変遷なのです。 今や「ID＋パスワードでは安全でもなんでもない」といわれる時代。多要素認証は当たり前となりました。しかし多要素認証にも（ID＋パスワードと比べれば圧倒的に強固ですが）欠点はあります。 それならば「パスワードを辞めてしまおう！」というパスワードレスという考えが生まれました。しかしこのパスワードレスも、プライバシーや可用性という点で問題がありました。 これらの問題を一挙解決する優れた技術がパスキーです。しかしパスキーの技術について曖昧な場所も多く、今一度学び直したい、と思った矢先のこの本の出版、渡りに船です。 パスキーの技術の根幹は、セキュリティの分野では多用されている公開鍵暗号方式を利用しています。Webサイトへアクセスするための秘密鍵を認証器に格納し、公開鍵をWebサイト側のサーバに保管します。余談ですが公開鍵暗号方式を考えた人はノーベル賞ものですよね。実際「ディフィー・ヘルマン鍵交換」で名前を残したお二人はコンピュータ界のノーベル賞といわれるチューリング賞を受賞されています。 コンピューティング分野のノーベル賞ことチューリング賞、公開鍵暗号の研究者に与えられる パスキーは、秘密鍵とそれに対応するWebサイトのドメイン名などを含むメタデータがセットになったもので、スマートフォンのような個人だけが持つデバイスで作成されるものです。鍵を作るデバイス（物理的なデバイスとは限らない）を認証器と呼びます。この認証器は「本人が所有している」ことに加え、スクリーンのロックを解除できるということはそれ自体も認証行為になることから2段階認証を実現します。つまりフィッシング詐欺（遠隔からの不正ログイン）にとても強いことが特徴です。 パスキー自体も有用な技術ですが、これだけですと欠点があります。スマフォが壊れてしまったら、中にある秘密鍵が使えなくなり、すべての認証が通らなくなってしまいます。この弱点を克服するために、Googleパスワードマネージャなどのパスキープロバイダは、複数のウェブサイトやサービスで利用するパスキーを一元的に管理・保存する役割を担います。ただし、これはデバイスに直接保管されている秘密鍵のバックアップや同期を目的としたものであり、認証の主要な処理はデバイス上で行われます。そのうえでWebブラウザやネイティブアプリ上でAPIを利用して認証を実現します。パスキーの普及にはこのパスキープロバイダーの存在が欠かせません。 自分はこの本を読むまでパスキー＝生体認証、だと思っていましたが、生体認証はパスキーを実現する技術の中の1つに過ぎませんでした。大きく分けて「デバイス認証」と「ローカルユーザ認証」があり、...

2025, Jun 28   — 

「令和6年度セキュリティ人材活用促進実証に係る業務」報告書を読む

最近サイバーセキュリティに特化したコミュニティ（Slack）「Cyber-sec+（サイバーセキュリティ プラス）」に参加しました。 多くのセキュリティ担当者が価値ある投稿してくださっており、情報収集や最新ニュースの把握に役立たせてもらっています。 紹介されていた現場のAI活用希望 vs セキュリティ - 板挟みコーポレートエンジニアのためのセキュリティ・ガバナンス実践録はとても参考になりました。 先月「令和6年度セキュリティ人材活用促進実証に係る業務」報告書が公開されていました。 報告書は100ページ越えの長い資料なので、概要版を読みました。 セキュリティ専門家の支援内容で希望する上位3項目は、「従業員向けセキュリティ教育」、「インシデント発生時の緊急対応」、「情報セキュリティ規程の整備」であり、緊急対応のニーズに加え、従業員教育、規程整備といった体制整備へのニーズがあることが示された。 セキュリティ専門家による支援を受けている・受けたことがある企業は全体の25%だが、希望・検討している企業は全体の53％で、今後、セキュリティ専門家による支援が期待されていることが明らかになった 自分は今の会社で、セキュリティ担当者が求められているセキュリティ活動を頑張っている（丸投げされている、というのが正しいかもしれませんが…ｗ）と感じました。上記の作業は地味ながらたいへんです。 セキュリティ専門家を選定するときに重視する点は 「緊急時の対応力」、「提案内容の具体性」、「セキュリティ専門家の技術力・専門性」が上位にあがった。このことから、セキュリティ専門家のインシデント発生時の対応、セキュリティ対策提案時の具体性、技術力・専門性が重要であることがうかがえる。...

2025, Jun 22   — 

実家の両親が利用するスマフォアプリに多要素認証を設定してきました

2025年5月、日本社会で話題になっているのが証券会社を騙るフィッシング詐欺。 インターネット取引サービスへの不正アクセス・不正取引による被害が急増しています（金融庁） 証券会社口座 不正アクセス被害相次ぐ フィッシング詐欺に注意 フィッシング詐欺でIDとパスワードが盗まれ、勝手にお金が引き落とされたり、株が購入されたりという被害が発生しています。 今般のフィッシング詐欺等による不正アクセス等の補償対応について(SBI証券) 今般の不正取引被害に対する当社の補償方針について(楽天証券) 当初証券会社は「約款では多要素認証など適切なセキュリティ対策を施していない場合の被害は補償対象外」でクローズしようとしていたようですが、被害人数、被害額とも膨大なため個別に補償することとなったようです。 證券会社の気持ちも分かります。今やIDとパスワードではアカウントを守ることは出来ません。特にお金や個人情報が関わるサービスについては極力ユーザに多要素認証を導入してもらいたかったはず。しかし単純なパスワードの利用やパスワードの使い回しをユーザはやめてくれません。「だから言ってたのに・・・」と喉から声が出かかっているのではないでしょうか。 多要素認証の設定必須化を決定した証券会社 禍転じて福と為す、と言えるでしょうか。各証券会社が多要素認証を「推奨」ではなく「必須」に強制アップデートすることを決定しました。これまでそんなことをしたらユーザから「そんな面倒な、今でも問題起こっていないし、私は今のままでよい！」というクレームが来る可能性もあり、及び腰になっていたのかもしれません、しかし今回のように実害が発生し、以下のようなYahooニュースでも取り上げるようになれば、逆に顧客からは「なんで私の利用しているWebサイトは多要素認証が設定できないのだ！」となるかもしれません、書いていて理不尽だな、と思いましたｗ 証券会社のログイン「多要素認証」必須化へ　GWに設定見直しを 僕のところにお実家の両親から「証券会社からワンタイムパスワードを設定しろ、と連絡が来たのだけど、何をすれば良いのか分からない。セキュリティスペシャリストなんとかしてくれ」と連絡がありました。今年のゴールデンウィークは両親のスマフォのセキュリティ設定を行っていました。 高齢者にとっては現代のテクノロジーについていくのは大変だと思います。証券会社が用意した「ワンタイムパスワードを設定する方法」は丁寧に書かれていて、自分には理解しやすかったのですが、年配の方には今までやったことないことに取り掛かること自体面倒だ、となりがちです。...

2025, Jun 08   — 

【ブックレビュー】今更聞けない暗号技術＆認証・認可

僕も読んでいるソフトウェアエンジニア向け月刊誌「Software Design」。最近は連載”インターネットの姿をとらえる”を愛読しています。そのSoftware Designから暗号技術・認証・認可の特集をピックアップしたものが本書になります。以前読んだことがある記事もあるかもしれませんが、記憶力はそんなに良くない（笑）実際時が経てば忘れてしまうものなので、定期的に再学習することは必要と思います。 暗号技術は現代において必須の技術、そして知れば知るほど暗号の歴史は奥が深く、近年多用されている公開鍵暗号とそれを利用したディジタル署名を考えた人は天才だと思いますね。暗号技術がなければ、インターネットを安全に利用することは不可能です。 1.今更聞けない暗号技術 暗号技術における基本、さすがにここが分からないCISSPではないです。 暗号技術入門の内容も紹介されています。この本は暗号について非常に詳しく説明されており、おススメです。CISSPの勉強の一環でこの本も読んだことがあります。ところで暗号には高度な数学の計算式が活用されています。この章も数学式がたくさん掲載されています。自分は数学になると途端に頭が受け入れるのを拒否する・・・。 2.SSL/TLS入門 SSL証明書に対応していないWebサイト(ブラウザに表示されるURLがhttp://から始まる)も、僅かとなりほぼ世の中はHTTPS。しかし数年前はSSL証明書に対応するのはやや手間がかかりました。GlobalSignでSSL証明書を高いお金払って購入し、自分でCA証明書やサーバ証明書を配置して・・・とかやりましたが、Let’s Encryptのほうが簡単（最初の認証が少し面倒ですが）なのに加えて何より無料なので、金融機関のようなブランド価値が高いサイトを除いてはLet’s Encryptを使うようになった世の中です。 Let’s Encryptが有効期間6日間のサーバー証明書を導入、2025年末までに一般提供 90日の有効期限で都度更新が必要だったSSL証明書が今後は6日になるとのこと。しかし自動更新が普及した現代ではそれも大きな運用負荷とはならないでしょう。セキュリティがさらに強化される、良いことです。 僕は業務ではAWSを使うことが多いのですが、AWSでは無料のSSL証明書をCDN（CloudFront）やロードバランサー（ELB）に直接搭載できるようになっています。サーバ(EC2インスタンス)にファイルを設置する必要も、自動更新のためのスクリプトをcronで設定する必要もありません。楽です。AWSはそういう運用コストを軽減してくれるのがありがたいです。逆に言うと、この本に書かれているようなCA証明書やルート証明書による証明書チェーンというのはSSL/TLS暗号化における重要な要素なのですが、サービスによってオブラートに包まれ、良くも悪くも分からなくても使えるようになりました。...

2025, May 31   — 

2025年4月の気になるインターネット記事をピックアップ

ゴールデンウィーク、皆様はいかがお過ごしでしたでしょうか。僕は実家に帰ってゆっくりしていました。どこも人が多く、お値段もお高めですからね。 ハッカーがOracle Cloudへ不正アクセスし600万件の情報窃取を主張、Oracleは否定 タイトルはこのニュースが公開された当時のモノとなっており、現在Oracleは情報が窃取されたことを認めています。 この件に関してはGIGAZINEが続報を追っており、Oracleがセキュリティインシデントの証拠となるURLをInternetArchiveから削除させようとしていることが暴露されたり、当初否定していたOracleが情報漏洩を認めたものの、対象はOracle Cloudではないと主張したりと様々な動きが出ています。もう「情報は漏洩しているもの」と思わないとだめですね、Oracleだって世界に名だたる企業、セキュリティ対策はそうとうのモノのはずですから。 スマホの回線を乗っ取る、“ニセ基地局”が国内で出現　詐欺SMSを強制送信　携帯各社も対策へ IMSIキャッチャーという電話盗聴装置が都心で利用されているという話。IMSIキャッチャーは標的の携帯電話とサービス・プロバイダ（docomoやKDDI）の本物の携帯基地局との間で”偽”の携帯電話の基地局として機能し中間者攻撃を行います。盗聴したり、フィッシング詐欺のSMSを送信したりします。 一般的に3G以上の無線通信は、携帯電話機とネットワークの双方から相互認証が必要であるため、リスクをある程度軽減できますが、ジャミング（電波妨害＝電波法違反）を併用することで4G/5G回線に繋がらないようにしダウングレード攻撃を仕掛け、2Gなどセキュリティ的に弱い無線回線でサービスプロバイダに繋ぐように仕向けます。 2Gのモバイル通信では、携帯端末がネットワークに対して認証を要求するが、ネットワークが携帯端末に対して認証を要求しない。このよく知られたセキュリティ・ホールが、IMSIキャッチャーによって悪用される。 IMSIキャッチャーは携帯基地局になりすまし、エリア内のIMSIキャッチャーに接続を試みる全ての移動端末（英語版）のIMSI番号を記録する。接続された携帯電話に対して、通話暗号化なし（A5/0モード）や、解読が容易な暗号化（A5/1またはA5/2モード）を強制することで、通話データの傍受や音声への変換を容易にする。 [Wikipediaより 総務大臣も把握していて「対応している」とのことです。この手の話となると国外スパイによる諜報活動、と思われがちですが一般人（といっても専門家のようですが）にもバレているということはその線は薄いのかもしれません（国家スパイのやることは我々が気付くのはむずかしいでしょう）。この専門家の推測によると「訪日外国人観光客を狙ったフィッシング詐欺が目的ではないか」とのこと。いずれにしても治安の悪い話です。うかつに外で機密性高いインターネットアクセスもできなくなります。 IIJセキュアMXサービスにおけるお客様情報の漏えいについて IIJセキュアMXサービスにおけるお客様情報の漏えいについてのお詫びとご報告...

2025, May 11   —