2015年4月4〜5日のtwitterセキュリティクラスタ

NHKのニュース深読みでセキュリティがテーマでした。

始まりました、新年度1回目の深読みコーナー。まずは、最新のサイバー攻撃事情と、被害が急増する背景について、徳永アナウンサーが模型でプレゼンします。  #nhk_fukayomi

今週はサイバー攻撃。ウイルス対策ソフトが反応しない攻撃が増えている、と。 #nhk_fukayomi

#nhk_fukayomi ネットバンキング被害が急増しているのは確かですがそれでも29億円。昨年の振り込め詐欺の被害376億円に比べれば小さく、銀行側の対策の優先順位は上がっていない。銀行経営側は、技術的な対策にかかる額が被害総額より大きいと判断して単に被害額を補填してしまう。

別にセキュリティ面に着目はしてないけど、以前サイト調査してた時に感じたのは、かなりの企業がHPに興味関心を持っていない事.…つーか、見ただけでウィルス感染ってどういう状態だ? #nhk_fukayomi

#nhk_fukayomi 金融機関が「ネットで被害が起きても顧客に補填した方が安い」と判断してそう行動すると、結局は犯罪者だけが得をする仕組みになってしまう。多少コストがかかっても金融機関が社会的責任として技術的対策をしっかりして被害を減らすことが必要だと思います。

セキュリティ自体が脆弱だから、ネットバンキングなんてもってのほか。#nhk_fukayomi

口座持っている人の65%はネットバンキングを使っている。へーへーへー #深読み #nhk_fukayomi

見ただけでウイルス感染とか怖すぎる
どうしようもないじゃない #nhk_fukayomi

その言い方では「ウィルスソフト入れても勿体ないね」と皆思ってしまいます。「ウィルスには様々なものがあるので最低限ウィルスソフトは必要です。」と説明すべきです! #nhk_fukayomi

サイバー攻撃、ネット社会の問題です。振込み詐欺以上に深刻です。私は通販やネットバンキングは便利でも使いません。#nhk_fukayomi

会社もDNS攻撃が毎日数万回あるんよねぇ…世界中のサーバーから(泣 #nhk_fukayomi

田舎に住んでれば買い物をネット通販に頼らざる負えなくなることも多いから怖すぎる #nhk_fukayomi

個人としてはウイルス対策ソフト入れておくくらいしかできないじゃん。

じゃあ、どうすればいいの?気を付けようがないじゃん…

#nhk_fukayomi

企業はwebで情報を流している以上、サイバー攻撃に対し対策を講じるのは義務になるでしょうね #nhk_fukayomi

#nhk_fukayomi 情報セキュリティ技術者は「金を儲けてくれない」って切り捨てられて経営者がなかなか雇ってくれない。大企業ですら、なかなか。

他人事ではないが、個人がいくら気を付けてもどうしようもないことが起こる時代なのね #nhk_fukayomi #NHK

小野さん私もATM派です。ネットバンキングしてたのでが、最近はしてません。銀行のサイトもどれが書き換えられてるのか、わからないので見てません。ウイルス対策ソフトいれてても、次々新鮮なウイルスがうまれるから怖い。便利が怖い。アナログがいいのかな? #nhk_fukayomi

#nhk_fukayomi 辻さんも鵜飼さんも学校で情報セキュリティー技術を習ってきたわけじゃないからねぇ。あ、立命館に来たら私のところでちゃんと教えますよ(宣伝)。あとSecCapとかね。

スマホはどうすればいいの?セキュリティのソフト、めっちゃ高いよ~ #nhk_fukayomi

ネットバンク使ってないからいいやと思ったけど、そうだ、クレジットカードの利用照会とかネットだから気をつけなきゃならないのか。 #nhk_fukayomi

逸れてるかもだけど思ったのは、デジタルは見えないから怖いし対策しにくい。でもアナログはある程度見えてるから怖さが軽減されるし対策しやすい…そんな風に感じました #nhk_fukayomi

#nhk_fukayomi 小野アナはネットバンキングもネットショッピングもしない?!

ネットリテラシーがありゃ大半は防げるんだよなあ #nhk_fukayomi

何だって〜ウィルスセキュリティソフトじゃ半分しかウィルス検知しないのじゃもう、インターネット気楽に出来ないじゃん。馬鹿馬鹿しい #nhk_fukayomi

被害を受けてない企業の対岸の火事度ってかなり高いとおもう #nhk_fukayomi

#nhk_fukayomi デジタルネイティブって言ってる子供達が率先してネットバンキングやらネットショッピングとかするから、まだまだこれから増えるよね。

#nhk_fukayomi 個人使用のPCはともかく、仕事で会社などから与えられるPCはセキュリティの考え方が甘いものが多いよね。特に数年前のニムダウイルスの時なんて学校とか公官庁のPCがのきなみダウンしたからね。

#nhk_fukayomi ウイルス対策ソフトのウイルス検出率50%以下? 嘘でしょう。90%以上と言っていますよ。

#nhk_fukayomi 海外ではATMのスキミング被害の方が額が大きかったりするのでネットバンキングしてなきゃ大丈夫というわけじゃない。日本でもスキミングはたまに報告されるし。

営業に1000万円かけても、2000万円儲けてくれれば充分、と考える経営者でも、
セキュリティに10万円かければ、10億円の企業価値を守ってくれると、考えちゃうんだよね、何故か。 #nhk_fukayomi

日本はセキュリティ専門家の給与水準が米国と比較して低いのは確かです。#nhk_fukayomi

企業の対策も大事です。予算が対策にまわせない会社にも支援すべきです。技術者を作る努力も必要です。#nhk_fukayomi

セキュリティに関して, 理解している人の常識と, 理解していない人の常識が, すごく離れているんですよね #nhk_fukayomi

情報セキュリティー技術者になっても年収が300万以下じゃ割に合わないよなと話していた。国の対策急務
#nhk #nhk_fukayomi

日本企業は目に見えづらいところはすぐにカットするからね。人件費なんかまさにそう #nhk_fukayomi #NHK

「何も無くて当たり前。目に見える成果が出ない物にカネや人材を回さない」てのは兵站・補給を軽視した旧軍の思想と同じですね:-) #nhk_fukayomi

情報セキュリティーはますます重要になるけど、どうしても日の目に当たらない裏方のような立場。まずここを変えないと。 #nhk_fukayomi

いつの日か「サイバー攻撃」が「ブラックマンデー」
または「バブル崩壊」並みの衝撃が起こるのかもね
ある意味「テロ」なんだけど、標的が違う(命とカネ)
情報セキュリティー技術者:約26万5000人
8万人は足りないけど、既存の技術者の能力不足も多い
#nhk_fukayomi

会社の上の人間こそ年取ってる人が多いから情報セキュリティの重要さをわかってないよね〜〜 #nhk_fukayomi

セキュリティ技術者もそうだけど、この国は裏方を軽視しすぎ。きちんと評価して報酬を支払うべき。 #nhk_fukayomi

最近のオンラインバンキングはワンタイムパスワードに移行しつつあるから、そういうのを紹介すれば良いのに #nhk_fukayomi

万が一の被害に備えてもっとサイバー保険を広めるべきでは?#nhk_fukayomi

セキュリティは利益には繋がりにくいが、万が一を防止し、被害を小さくできる。これをしっかりと経営者に理解して貰わないと・・・。
すでに完全防止はできない。#nhk_fukayomi

技術者は確かに利益は上げないかもしれないが、被害が生じた際の損失を考えると投資として有益。日本はリスク管理が不足してる。#nhk_fukayomi

いやほんとこれ、上層部はリスク説明してもウチは大丈夫だろうという根拠のない意見で予算割いてくれない #nhk_fukayomi

セキュリティ領域に限った話じゃないけどなあ。裏方さんにもっと日の目を、という話でしかないんだけど #nhk_fukayomi

海外の人が日本を狙ってますじゃなくて、いちばんセキュリティが緩いアホな企業だらけの国なんだよ! #nhk_fukayomi

金払いも良くて、やりがいもあれば優秀な人材は犯罪者側につくよなぁ
#nhk_fukayomi

(IPA)セキュリティスペシャリスト試験、応募者数が約55000人、合格率が14%=年間7700人しか、きっちりできる人が認定されていないわけです、はい。

#nhk_fukayomi

企業の法人口座を狙ったからこその今年の不正送金の急増なので、狙われることを前提としたリスク分散的な対策を銀行側も進めていかないとダメですよ。 #nhk_fukayomi

く、くだらない……。表彰はどうなってんだ。名誉で誤魔化すんかい #nhk_fukayomi

言葉, 「#ハッカー <<– 悪いイメージ」 をそろそろ変えよう #クラッカー <<– ひび割れを起こす悪い人 とか, 普及するといいかなぁ #nhk_fukayomi

セキュリティ技術者は、足りない、足りないというわりに、新卒で何社応募しても全然採用されず、営業志望に切り替えた途端に採用されたといった話を聞く。企業側が採用する気が無いし、社会の意識も低すぎる。 #nhk_fukayomi

#nhk_fukayomi 湯沢でのサイバーセキュリティの集まりにも個人の費用で参加されているお役所の方がいらっしゃいました

セキュリティ業界では、学校出てないとこのように差別を受けます。

逆です。大学出てもセキュリティなんて習えないと思われてるし、実際現状残念ながらそう。だからCTFはじめ草の根発掘プログラムが流行り、本当に腕がある人が優遇される流れになっている。でも人数を確保するためには、今の仕組みでは無理。教育機関が組織的にやらないと。@urchinhead

サイバー被害を受けたと想定した損失がセキュリティ部門の売上と見てくれれば良いけど #nhk_fukayomi

アメリカではずっと前からホワイトハッカー大会やってる、と新聞で見た。日本は何周回遅れかなのか? #nhk_fukayomi

セキュリティ部門だけでなく、会社全体、社会全体で考えていかないといけないですね。 #nhk_fukayomi

日本のサラリーマンは技量を認められると無償でも頑張っちゃいますからね。いい制度だと思います。  #nhk_fukayomi

#nhk_fukayomi
内部に埋もれた人材の発掘って、もはやセキュリティ人材とやらが古代の化石か遺跡扱いなのなんとかならんのか。

#nhk_fukayomi 情報セキュリティ上の最大のリスクは社内の従業員であり、ユーザー一人ひとりのマインド。どんなに詳しい技術者を採用しても、現場での運用でそれがないがしろにされたら何にもならない。

うちの会社も情報を紛失して、それ以来情報管理やらパソコンのセキュリティ強化をしたけど、その一件がなければ会社は動かなかったんだろうなって思ってます。人によっては仕事の持ち帰りとか平気でやってたみたいだし。 #nhk_fukayomi

経営者の認識がどんだけ鈍くても、技術的に無策で終わらせるわけにいかないと思ってる人は増えてる。OWASP Night満席になるスピードが爆発的に上がるわけだよね owasp.doorkeeper.jp/events/23167 #nhk_fukayomi #owaspjapan

確かに専門家を増やすのも重要だけど、まずは個人個人のセキュリティに対する知識の向上が最優先じゃないかな #nhk_fukayomi

結局対策って容易にクリックしないことと、なんでもかんでも登録したりしないことだな #nhk_fukayomi

いやバグハンターもいいんだけどセキュリティ対策にきちんと投資することが本質的なことでしょ… #nhk_fukayomi

#nhk_fukayomi セキュリティ以前に、IT化を外の業者に投げちゃうから、セキュリティ人材を内部に確保という話にならない。米国ではIT技術者の6割はユーザ企業=非IT企業にいるといわれている。

ハッカー大会やマイスターに参加してる企業は余裕がある一部の企業だけやろ。大半は普段の業務で精一杯。#nhk #nhk_fukayomi

弊社で社内ハッカー大会やってマイスターって称号を付けられたら、パソコンに関する雑務を押しつけられて本来の仕事できなくなるのよね… そういった「パソコンの先生」って考えが周囲を捨ててくれないと社内意識も向上しないんだよな… #nhk_fukayomi

社内ハッカー大会でやっても、結局元の部署のまま片手間か。それじゃ、出来る事の限界があるだろうな。 #nhk #nhk_fukayomi #深読み

バグハンター「○○という不具合を見つけました」
企業担当者「不正アクセスだ!通報!」
#nhk_fukayomi

バグハンターとか指摘大変だと思うよー。そこで、IPAですね。 #nhk_fukayomi

情報セキュリティへの経営層の理解不足。それを「どうするか?」という話で、理解ある会社の事例を紹介してもあかんやろ。 #nhk_fukayomi

へえ、IPAに報告したら報告者に代わって企業に通知してくれる仕組みがあるのか。 #nhk_fukayomi

でもまあこういうセキュリティホールを見つけたり指摘してくれたりしてくれるっての人は危険人物扱いされるもんなんだよな。それでIPAがああいうことやってるワケだけど。 #nhk_fukayomi

IPAを挟むことで急を要する案件が手遅れにならない…? #nhk_fukayomi #NHK

企業「バグハンターは無料で使える家畜ですね、楽っすよ。社畜よりも使いやすいっす」

#nhk_fukayomi

ネットのセキュリティーに限らず働く側に何のメリットもない社内マイスター制度じゃモチベーションは上がりません。取得によって時給や月給が上がったり人事でプラスになるとかないと。 #nhk_fukayomi

#nhk_fukayomi 情報セキュリティ事故で人が死なないと思っているから対策が進まず、見て見ぬふりが続いている。医療機関や軍事施設が人質に取られるようなよほど身の危険を感じるようなショッキングな事態が起こらない限りマインドの変革を起こすことは難しい。

内部にしても外部にしても、善意の協力者に対する適切なインセンティブが重要だと思います。#nhk_fukayomi

おたくのホームページに不具合ありますよって報告したら、てめえハッカーだな!うちのサイトに不正にアクセスしようとしやがって!って企業側が斜め上に暴れだしたりした話は聞いたことあるね。もとがバカだとどうしようもない。 #nhk_fukayomi

セキュリティーとITの便利さは天秤の関係。セキュリティー担当者は評価されるどころか煙たがられているのが現状 #nhk_fukayomi

日本って、ほんとに大企業でもIT投資とか、情報セキュリティ対策って、あまり光が当たらないというか、アメリカと違って力入れてないんだよな。
新製品の開発とか営業部門は重要視されても。 #nhk_fukayomi

IPAはもっと積極的にバグハンターを優遇する措置をとって欲しい #nhk_fukayomi

昔、とある企業のHPが改ざんされていたので、メールでお知らせしたことがあるけど、反応全くなしだったなぁ… #nhk_fukayomi

#nhk_fukayomi バグハンターが無償ボランティアなのは、かつてはバグ報告の見返りを求めることを脅迫とみなす企業が多かったからだけど、今の状態だとある程度報奨金を出さないと悪い人たちに買い取られてしまうと思う。

増田くんの「セキュリティ会社自身のウイルス自作自演で儲けてるのでは?」との趣旨の本質的な疑問には、セキュリティー会社の社長は別話題にはぐらかしてノーコメント。
#nhk_fukayomi

バグハンターさんすばらしい! と云う話になっていますが、以前それを指摘した相手を不正アクセスとして訴えたACCS事件があるので、国内でのバグハンター行為はくれぐれもお気を付けください。 #nhk_fukayomi

「こういう技術力のある人に、いい人になってもらうにはどうすれば」って、こいつら悪人を改心させよう、みたいな、「技術力のあるヤツは元来悪人!」みたいな物言いだな。 #nhk_fukayomi

とっつきにくいだなんだ変なイメージを持ってるくせに、いかにタダで使役するかばかりですね。

地位や金銭面で補助してあげてほしい。
#nhk_fukayomi

セキュリティ関連の指摘って企業だと参考にされる場合もあるけれど、お茶の間や井戸端会議ではうざがられますよね。 #nhk_fukayomi

バグハンターが隠れているということはサイバー攻撃できる技術者も隠れているということ。それを忘れてはいけない。 #nhk_fukayomi

セキュリティ技術者への待遇が一番重要だと思う。雇用者が高い技術者に報いていない。 #nhk_fukayomi

人は簡単に育たない。長期戦に耐えうる人材を地道に育てるしか方法がない。そのためには、教育にも資源が必要。 #nhk_fukayomi

#nhk_fukayomi 趣味とか善意に頼っていたらやられっぱなしです。みんな他人事と思いすぎ。本気じゃないからお金も評価も人材もかけない。

セキュリティの知識を保有している人間がいても、人事担当がセンスがないとその人材が活かされず無駄になるのよね… #nhk_fukayomi

各企業でセキュリティ技術者を雇うのはお金かかり過ぎる。いい人材も集まらない。情報セキュリティ会社で一括でセキュリティ技術者を雇用、研修したほうが効率がいい。IT系の大学の学部や専門学校生をアルバイトで雇って研修させれば一石二鳥だ。 #nhk #nhk_fukayomi

セキュリティだけじゃなくて全般的にIT技術者が足りないし、あまり理解されない。 #nhk_fukayomi

公的な機関が、バグハンターの人に報酬を払うような仕組みをつくらないともっと被害が大きくなる。 #nhk_fukayomi

#nhk_fukayomi 情報セキュリティ「だけで」やっていくことを頑張ってるのは横浜の情報セキュリティ大学院大学くらい。あとは兵庫県立大の大学院にコースがある。学部レベルでは今度長崎県立大にできる予定。他は、副専攻的な特別プログラムばっかり。

セキュリティも結局はお金だよね。お金をだせないなら、このままでも仕方ないよね  #nhk_fukayomi

まあ技術力のある者を世間が気持ち悪がったりしてるうちは、技術者を味方につけるのは難しいかもナー #nhk_fukayomi

#nhk_fukayomi 「バグハンター」なんて気味の悪い新語を作らないでほしいな。ハッカーでいいじゃん。

情報セキュリティについて詳しい人ならぱぱっとやってくれる(タダで)と言うのが一般の意識だから定額働かせ放題でSEの成果に対して報酬が払われるわけがない #nhk_fukayomi

情報セキュリティ技術者をどう育てるか?じゃなくて、経営層の無理解をどう矯正するか?が重要なのに。 #nhk_fukayomi

セキュリティに興味を持ったら、オープンな勉強会に参加するだけでも見方が変わりますよね。 #nhk_fukayomi

最低バグ報告報酬金額を法律で設定するべきでは? #nhk_fukayomi

情報セキュリティを行う側としても、誰にもわかるようにやっていきたいですね #nhk_fukayomi

セキュリティ事故を起こしても大した罰則も無いし、企業の責任を追及できないから、サイバー犯罪は横行するんだと思う。 #nhk_fukayomi

#nhk_fukayomi 平和ボケだもんねー。バグハンターをボランティアでやってもらおうという根性がケチくさいというか。リスク回避にお金をかけるのは無駄という国民なので(皆タダが好き…とも言う) 100年くらいかかりそう。

そんな大事なことをIPAとかいうボランティアに任せること自体おかしいでしょ。会社単位でやるんじゃなくて、国の能力として位置付けるべきでしょう。
#nhk_fukayomi

今日もたくさんのツイートありがとうございました。日々サイバー攻撃とたたかう情報セキュリティー技術者の存在に私たちが少しでも思いを寄せる、とか、セキュリティー対策を手厚くとる会社を応援する、とか、そんな一歩から企業の意識が変わっていくのかもしれません。  #nhk_fukayomi

ちょっと愚痴ると大学の中ですらセキュリティを教えることに対する理解はあるとは言えないですよ。あたしゃ前に勤務してた大学で偉い先生に「お前らがIT技術の進化の足を引っ張っている、研究辞めてしまえ」って恫喝されたことすらある。酒の席ではありますけどね。

いきなりバグあります言われたら普通は脅迫か新手の営業だと思うよ。あなたの部屋は盗聴されてますって見知らぬ人に言われたら、まず詐欺か泥棒を疑う。その意味でIPAを窓口にすることを周知させるのはバグハンターの自衛にとっても重要。#nhk_fukayomi

周囲の情報を全面的に信頼する姿勢も大事だけれど、「論理的に疑う」眼も持って対応してね?ぐらいで〆ないと。
勿論、この番組の内容を100%受け入れるのも改善対象に。
#nhk_fukayomi

セキュリティって、自分がやられた経験があるか、ないかで、全然考え方が変わります。自分はやられたことがきっかけで、興味を持ちました。

#nhk_fukayomi 情報セキュリティってどこに行けば勉強できるのかという質問,鵜飼さんも答えていたように,まずは情報の基礎知識をちゃんと勉強すること

放送大学の「情報のセキュリティと倫理」 ouj.ac.jp/hp/kamoku/H26/… もよろしくお願いします。 QT @h_okumura: #nhk_fukayomi 情報セキュリティってどこに行けば勉強できるのかという質問(略)まずは情報の基礎知識をちゃんと勉強すること

やる気のリミッターってうまい表現。スイッチとリミッター。大人の正論がリミッターになり得る。さっきのセキュリティ認識不足問題へのヒントになってる気がする。 #nhk

その他に気になったことはこのあたり。

西村さんが止まらない!!! Certificate verification bypass through the HTTP/2 Alt-Svc header mozilla.org/en-US/security…

d.hatena.ne.jp/yoya/20150404/… AWS で不正アクセスされて凄い額の請求が来ていた件 #aws
大変情けない話ですが本件の懺悔です、告白です。AWS さん本当に済みませんでした。あと皆様ご心配おかけしました。これは自分の負債として頑張って返していきます。

LTで話そうと思ってた記事も書いた。セキュリティ意識の向上を目指す記事です。
Bug Fix Backend を攻撃してみた – 試運転ブログ otameshi61.hatenablog.com/entry/2015/04/…

“Yahoo版『ドラクエX』RMT対策取れずサービスを今年度で終了、アカウント移行を呼び掛ける | インサイド” htn.to/NGP5o17

そういえば第三回CTF for GIRLSの募集が始まりました。興味がある方はぜひご参加ください!2014.seccon.jp/2015_04_CTF_fo…

世界的に有名なハッカー集団4組を徹底解説:それぞれの成立経緯と活動目標 ift.tt/1a4obX2

自宅セキュリティ研究所

自宅セキュリティ研究所 wrote 2714 posts

Tags

Post navigation


Comments

コメントを残す

Your email address will not be published. Required fields are marked *

You may use these HTML tags and attributes:

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>