【セキュリティ】5/19の情報セキュリティセミナーに行ってきました!生ケビンを見たよ!www

by gladdesignin around_ITEVENTon 投稿日:

JITA セキュリティセミナー パンフレット

先日のエントリーでご紹介した「情報セキュリティセミナー」に行ってきました。
殴り書きメモを元に再構築してみます。
書ききれなかったり、うろ覚えだったりするかもしれませんが、そこはご愛嬌。

日時:2008/5/19 15:00〜18:30
場所:東京しごとセンターB2ホール(飯田橋)
主催:NPO法人日本ITイノベーション協会
共催:Zenlok株式会社(JITA協賛企業)
後援:経済産業省
主題:日本における情報セキュリティのグローバル・スタンダード化を考えるセミナー

当日、関東地方では珍しいくらいの大風大雨の中、JR飯田橋駅にほど近い「東京しごとセンター」を目指しました。
ちょうど斜め向かい側に「大塚商会」さんの本社があり、そこへは何度かイベント等で伺ったことがあったので、場所はすぐに分かりました。
14:30開場にもかかわらず、14:00には着いてしまったのでした。
まだ一般客は見当たらない、ほぼ一番乗り状態です。
会場ではJITAのみなさんが、慌ただしく準備に追われていました。何人かの知り合いに声をかけ、待つこと30分。受付開始です。そのころにはすでに多くの人が、開場はまだかと言わんばかりに押し寄せていました。あっと言う間に長蛇の列。一番乗りしたのに受付は最期になってしまいました(汗)

ホールの中に入ると、ほぼ満員状態。前の方にはTBSのカメラもありましたな。

15:00開会
JITAイベントではいつもこの方が司会進行「岩田真理子」さん。
いつも背筋がピィンッ!! となっていらっしゃいます。
きっと背中に板が入っているに違いない。

まず、JITA事務局長の吉田さんの挨拶。
この吉田さんが今回、元世界的ハッカー「ケビン・ミトニック」氏を呼び寄せた張本人。
日本での身元引き受け人的な人らしい。(いや、知らんけど)

続いて共催企業・Zenlok株式会社の社長アミール・アロヤン氏の挨拶。
ものすごく日本語がお上手! 見た目白人なのに流暢な日本語。
イメージできない方はジェロを思い浮かべてください。(ちょっと違うか)

そしていよいよ、ケビン・ミトニック氏の登場!

※ここからは箇条書きで
●セキュリティにおいて最も大切な要素は「人間的要素」です。
 コールセンターでの詐欺の例 電話だけで人々をだまし、大金を手にしたケース

●ハッキング→× ソーシャル・エンジニアリング→○
 他人を信じさせて、情報を引き出す、提供させる手口

●日本人は特に気をつけるべき 調和を重んずる民族だから

●いくらファイアウォールに投資しても、人間がだまされたら意味が無い
 パスワードによるセキュリティはたしかに有効だが、テクノロジーにばかり投資しても
 ソーシャル・エンジニアリングを駆使すればカンタンに破れてしまう

●ペンテスト
 100名に電話でヘルプデスクの振りをしてIDとパスワードを聞いてみた
 するとなんと35名が答えた! という事例も

●ハッカー(アタッカー)にとっては、システムを攻撃するよりも
 人間を攻撃するほうが簡単だ
 コードを破るのはけっこう手間ひまかかる
 それよりちょっと電話するだけで済むならそちらを選ぶ
 ちょっとした人間の心理のスキをつくのだ

●イギリスでのお話
 情報セキュリティ会議というのがあって、イベントのPRで街頭でノベルティを配る
 ボールペンを配る際に、「ボールペンを差し上げますので、あなたのパスワードを教えてください」
 すると10人中9人が答えた! たったボールペン1本で!

●ID詐欺
 日本ではなじみが無いかもしれない
 アンケートをお願いする振りをしてIDを聞き出す詐欺がある
 「あなたの生年月日を教えてください。え? なぜ生年月日が必要なのかって?
  このアンケートの対象年齢が18歳以上なので確認するためですよ」とか
 「あなたの母親の旧姓は?」(ハンドルネームやパスワードにはよく母親の旧姓が使われるから)

●一枚の写真
 女性が公衆電話らしきもので電話をかけている写真
 首から何かぶらさげている
 それは「ワンタイムパスワード」を表示するトークンだった
 誰からも見られていないと思っているらしいが、私はこの写真を盗み撮りしたんだ(会場に笑い)

●ソーシャル・エンジニアリングのターゲットになりやすいのは誰か?
 それは「ヘルプデスク」なぜなら「ヘルプする姿勢があるから」
 電話で「パスワードをリセットして」と言うと言う通りにリセットしてしまう
 アタッカー「メールデスクのハワードだけど、ログインできなくなっちゃったんだ。どうにかしてよ。パスワードをリセットしてくれない?」
 ヘルプデスク「ええ、いいけど社員番号は?」
 アタッカー「ああ、ええと、あ、今緊急の電話が入ったから、あとでかけ直すよ」
 といって一旦電話を切る。社員番号が必要だということが分かる。
 (社員番号をどこからか入手したら)
 アタッカー「社員番号は0123456789だ。パスワードをリセットしてよ」
 ヘルプデスク「ええ、いいわ。はい、リセットしたわよ」
 アタッカーはパスワードをリセットしたシステムにまんまとログインできることに。
 そしてぬかりなく、ハワード本人にもヘルプデスクの振りをして、お知らせしてあげるのだ。
 アタッカー「ハワード? ヘルプデスクのジョンだけど、メールボックスのパスワードが変わったんだ。技術的な問題で一旦リセットされてるから、気をつけてね」
 ハワード「ああ、そうなんだ。どうもありがとう」
 こうしてアタッカーは本人と同時にログインに成功。その後は情報を撮り放題。

●アタッカーは「情報の価値を知らない人をターゲットにする」
 決してシステムアドミニストレータにパスワードを聞いたりしない。
 「情報の価値を知らない人」=「ITに詳しくない人」
 「どうやらエラーが起こっていますよ。こころクリックすれば直せますよ」

●フィッシング詐欺
 クレジットカード会社やPaypalなどからのメールで、webサイトのURLではなく、電話番号を載せ、
 電話をかけさせる手口。電話でIDやパスワードを入力させる。
 ワイヤレス機器も安全ではない。今では子供でもワイヤレス機器を使っている。
 ということはつまり子供からも情報を得ることができるのだ。
※※ここで、ケビンがデモンストレーションを行う。
  実際にSkypeから新生銀行に電話をかけ、ログインを試みる。
  その様子を別のPCからキャプチャリングしている。プッシュした番号が即座にキャプチャされ、画面に数字が並ぶ。
  実際にはSkypeからの接続は困難だったため、未遂に終わる。

●トロイの木馬
 メールに添付ファイルを仕込み、悪意あるプログラムをPCに侵入させる。
 「FBIですが、あなたは不適切なサイトを見ていませんか? それは違法ですので、このメールの添付ファイルを開いてコードを駆除してください」というFBIを語ったメール。

●人間の「欲」を利用する
 「フリーのiPodを差し上げますよ」と言えば、たいていの人は飛びつくでしょう?
 無料だと人々は喜んで受け取ってくれるのです。
 ある時、道ばたにUSBメモリが落ちていました。それを拾ったあなたはどうするでしょうか?
 とりあえず何が入っているか確認するためにPCに差し込むでしょう。
 その瞬間、悪意あるプログラムが取り込まれてしまいます。デスクトップをキャプチャリングされているかもしれません。
 そしてあなたはそれに気づかないかもしれませんね。

●ブラウザの脆弱性を利用する
 1993年当時、私(ケビン)はコロラド州デンバーにいました。
 FBIににらまれてはいましたが、まだ捕まってはいませんでした。
 そのときはケビン・ミトニックという名前は使っておらず、エリック・ワイズという名前を使っていました。
 エリック・ワイズというのはマジシャンの名前ですが、捕まった時FBIにはこのユーモアが分からなかったようです。
 ある時、携帯電話(モトローラ)の最新機種が出て、それの中身がどうなっているのか、知りたくなりました。
 そこで、ソースコードを手に入れようと思ったのです。
 私はモトローラに電話をかけました。
 「マイクロテックウルトラコードの開発者と話がしたいのですが」
 「それはこちらではありません。たしか、○○州の□□研究所だと思いますよ」
 「そうですか、その研究所の番号は?」
 と言って次々に辿って研究者を突き止めました。
 そして本人に連絡をしましたが、留守番電話になっており、
 「ただいまバケーションに出かけています。お急ぎの方は○○のアリーシャへご連絡ください」
 緊急連絡先のアリーシャに電話をしました。
 「どうもアリーシャ、△△さんはもうバケーションに出かけちゃったのかな?」
 「ええ、1週間前に出かけて、戻るのは1週間後ですよ」
 「まいったなあ、マイクロテック・ウルトラコードのソースコードをもらう予定だったんだけどな。
  まあ、バケーションの予定は何となく聞いてたから、アリーシャに聞けばもらえるって言ってたからいいか」
 「あら、そう? どのソースコードが必要なの?」
 ここで私はまさか! と思いましたよ。こんなにもカンタンに! って。
 その後ソースコードをメールで送ってもらおうと思ったんですが、
 アドレスから、私がモトローラの内部の人間ではないとバレルのではないかと思ったのでFTP経由でもらうことにしました。
 アリーシャはFTPについては詳しくなかったので、いろいろと教えてあげました。
 するとアリーシャは「ありがとう!」と言って次々にこちらの要求に応えてくれるようになりました。
 こうやって信頼関係を作るとスムーズに事が運びますね。
 しかし、FTPでもなかなか上手く行きません。
 アリーシャは「ちょっとエンジニアの詳しい人に聞いてみるわ、ちょっと待ってて」
 と言って電話を保留にしようとするのです。
 私は必死に止めました「ちょっとちょっと待って。大丈夫だよ、違う方法を考えよう」
 「大丈夫よ、すぐに終わるわ」とアリーシャは電話を保留にしてしまいました。
 しばらく待ってアリーシャが戻ってきました。
 「エンジニアの人が言うには、あなたはモトローラの外にデータを持ち出そうとしているみたいね。
  モトローラの外にはロックがかかっていて、持ち出せないのよ。」
 私はもうだめだと思いました。
 「でもね、○○○を△△すれば大丈夫なんだって。いまから送るわね」
 私は無事に「電話だけで」最新のモトローラ機種のソースコードを手に入れたのです。
注)ブラウザの脆弱性との関連がよく分かりませんでした。

●セキュリティはまず「人間」から
 完全なファイアウォールなど存在しない。
 大丈夫だと思い込まないこと。
 日本人は規律正しく、他人を信じやすいので、気をつけなければならない。
 ロナルドレーガンの言葉「信じてもいいが、確認もしよう」
 まさか、自分だけは大丈夫シンドローム
 人々は情報の価値を過小評価している。
 チームで仕事をしている部署だと、チームメイトが困っていたら助けよう、という心理が働く。
 そいういった心理をうまくついてくるのです。

●高度なソーシャル・エンジニアリング
 キーとなるテクニック
 1 インターネットを使う
 2 オープンソース
 3 ゴミあさり
 4 スキャニング
 ターゲットの情報収集が大切になる。名前は組織、内部用語などはwebサイトに載っていたりするものだ。
 ソーシャル・エンジニアリングは最終的には「人」をターゲットにしている。
 ターゲットとの信頼関係が出来ると仕事は簡単です。
 例えば共通の好み・趣味を持ち出すとか。
 バックグラウンドの情報がたくさんあると利用しやすい。
 3に関して言えば、特に会社のゴミ箱は宝の山です(笑)
 この時に注意しなければならないのは、まず、液体が入った袋はやめましょう(会場爆笑)
 ペーパータオルの入った袋もやめておきましょう。トイレ関係かもしれません。
 ビリビリと手で破った紙、これは危険です。これはとても大切な書類に違いない、と思えるからです。
 捨てる人はぜひシュレッダーを使いましょう。
 ゴミは持ち帰っても違法ではありませんからね。

●ハッキングの心得
 ・誰になりすますか、丁寧に設定しておく
 ・(何を聞かれてもいいように)理由をきちんと用意しておく
 ・ターゲットと信頼関係を作っておく
  (例えばヘルプデスクになりすまして問題を解決したあと、解決できたかチェックしたいのでパスワードを教えて、と言うとたいていの人は教えてしまう)
 ・アタッカーは常に想定問答を用意している

●防御方法
 ・上級管理職を置く(←注:これは意味がわからなかった)
 ・個人に対してセキュリティ教育をする、意識を高める
 ・コンプライアンス、社内ルールを守らせる
  ルール策定時にフィードバックを求めるなど、ルール作りに個人が参加している意識を植え付ける
 ・システマティックモードに近づけ、ホリスティックモードになるべくならないようにする
  人は無意識に行動するとラクな方へ流れやすい(=ホリスティックモードになりやすい)ので、
  なるべく意識的にシステマティックモード(きちんと段階を踏んで物事を処理する)になるように
  方向付けをする。
 ・テレフォンバトラーを使う
  秋葉原ではいくらするのかはわかりませんが、これは素晴らしい道具です。
  嫌な電話がかかってきたときにこの機械が「イマハオハナシシタクアリマセン」と言ってくれるのです。
  この「Noと言ってくれる機械」は日本人には有効でしょう(会場微妙な反応)
 ・即答しない(「かけ直します」と言う)信頼するが確認もしましょう
 ・ペンテスト(侵入テスト)を行う
 ・プロセスから従業員が決定できる部分をなくす

●最後に
 ソーシャル・エンジニアリングは(セキュリティにおいて今後)最も危険な最も重要なポイントになる
 コンスタントに自己防衛することが、この脅威を緩和するのに必要なのです
 ペンテスト等で常に確認しておきましょう
 そしてこれらのテクニックはハッキングの手口だけでなく、合法的な営業にも使えるものです
 セキュリティに対してアクションを起こしましょう。

ここまで、ケビンの講演でした。
 
 

 
 
続いて東京大学名誉教授 月尾嘉男氏の講演です。
※かなり速いテンポだったのでメモが追いついていません。本当殴り書きです(笑)

「情報社会の展望」
●情報社会の歴史
 1985-1990 ニューメディア時代 □キャプテンシステム テレビ電話などが登場
 1990-1995 マルチメディア時代 □NTTが推進するVOIPなど
 1995-2000 インターネット時代 □アメリカが主導権 日本ではケータイが独自に進化
 ※これまででメディアの普及速度を計ると新メディアほど普及が早いことが分かる。
  メディアが人口の10%に到達する年数を比較すると、新聞は約90年、電話は97年、テレビは13年、インターネットは5年
  特にケータイは経済の経路を変革させた
 2000-2005 ブロードバンド時代 □ISDN ADSL 光ファイバ
 2005-以降  ユビキタス時代
        □(どこでも使える)無線LANなどの整備 自律移動支援システム ITS Wi-Fi WiMAX
         (ひとつで)ケータイひとつで何でも
         (なんでも)人ー人 人ー物 人ー場 物ー物 物ー場 場ー場 ICタグなど つながる

●媒体革命
 主要メディアの変化 広告出稿額の推移で比較
 新聞は2000年をピークに減少傾向 テレビも緩やかだが減少に転じている
 その中でインターネットだけが急速に上昇している
 インターネットの広告出稿額はラジオ・雑誌を抜いている。
 このままいくと、2010年には新聞を抜き、2013年にはテレビを抜く という仮説もあり得る。
1 伝達構造の変革
2 産業構造の変革
  リサイクル意識の高まり 大量生産から一品生産へ 計画生産から注文生産へ
3 環境技術
  人間を便利にするものは資源エネルギーを大量に消費する というのがこれまでの常識だった
  しかしITを利用することで、より便利な使い方でより省エネルギーで達成できる
  根源的に変えてしまう可能性
4 コミュニティの変化
  これまでは土地に基づく社会「地縁社会」だった。
  →大量生産社会ではサラリーマンが増加し、職業で社会を形成する「職縁社会」に
  →交通技術が発達し、移動がより便利になると交通網を使った関係づくりの「交縁社会」へ
  →通信技術が発達すると、通信でお互いにつながりあう「通縁社会」へ(←イマココ)
  →やがて生活する圏域を再構築したより大きくつながりを意識した社会「生命圏域」へ
5 意識の変化
  いまでは 生活>仕事 という人も多い
6 日本革命
  日本は先進国の中でもまれな「自然崇拝」の意識の高い国である
  人間と動物 人間と植物 などあらゆるものと交信し得る精神性を持つ
  欧米では人間と植物が通じ合うという概念はかなり違和感があるらしい
  日本はこれらの精神性によりユビキタスや生命圏域の考え方に違和感無くとけ込める
  やがて日本からこうした精神性を広めていく可能性が高い
7 通信技術の発達と歴史とセキュリティ
  蒸気機関車が発明されたころ、犯罪者は汽車に乗って逃げれば、そこでもう逃げ延びることができた。
  電機通信が発明されると、通信網は汽車の路線に乗って敷かれた。
  これまで汽車に乗れば逃げ仰せた犯罪者も先に通報されて、逃げることができなくなった。
  大型の客船やタンカーが発明されると、船で逃げ延びることができた犯罪者も、無線通信技術の登場で逃げることが出来なくなった。
  こうして、通信技術の発達とともに犯罪検挙(セキュリティ)も高まった。
  Transportation + Communication → Commportation 情報と通信の融合

ここまで、月尾先生の講演でした。
 
 

 
 
最後にケビンへの質疑応答。
 
 
Q、90年代と現在では、セキュリティにおいてはどう高度化しましたか?
A、たしかに現在のセキュリティツールや意識は高度化している。複雑になっている。

Q、「完全にセキュアな状態」はあるか?
A、ありえない。完全な状態はない。ハードルを上げることができるが、完全はない。

Q、ソーシャル・エンジニアリングのペンテスト(侵入テスト)を行う場合、何をチェックすればよいか?
A、ケースバイケース。誰を対象としているかによって違う。

Q、子供がハッキングに興味を持ち始めました。どうしたら?
A、小さい頃はとても興味があった。ハッキングというより、システムを知ることに重点を置いてみてはどうだろうか。
  現在は犯罪が絡んでくるので、倫理を教えて守らせるように努力する。

Q、セキュリティを担う、若者へメッセージを
A、魔法の粉はないと思ってください。セキュリティとは責任あること。強い気持ちで取り組んで欲しい。新たな技術が世界中で生まれています。積極的になって欲しい。

Q、大企業にセキュリティトレーニングの予算をつけさせたいのですが、どうしたら?
A、トップを説得したい、ということですね。今はいろんな事件が起きています。そういった事例をあげながら、ビジネスマネージャーに訴えなければならない。そして繰り返し教育しなければならない。
 
 
 
ここまで。
長々とここまで読んでいただいてありがとうございました。
思いもよらず長文となってしまいました。

元世界的ハッカーの講演ということで、マスコミにも多く取り上げられたようで、とにかく観客が多かったです。
それにも増して講演の内容もとてもエキサイティングでした。
いくらハードに投資しても、結局は人間の心の問題なんだよ、という考え方が新鮮でしたね。

最後に大事なことが。

ケビンも月尾先生もMacを使っていました!

 やっぱりね。ほらね。
 
 
 
尚、主催のJITAでは認定SOHO制度を運営しています。
私も認定SOHOの資格を持っています。
くわしくはこちら 認定SOHO-ID認証ネットワーク協議会
参考サイト:今がチャンス!認定SOHO制度を取得しよう – [SOHO・在宅ワーク]All About

また、認定SOHOを中心に構成される実働組織「FAN-CLUB」も新体制になるということで、
6月10日にイベントが開かれます。
くわしくはこちら 新生FAN-CLUB誕生記念イベント2008
これについては後日別エントリー書きます。

さらに共催のZenlok株式会社のサービスとして、メール暗号化クライアント「Zenlok」の紹介もありました。
詳しくはこちら Zenlok :: 大切な人への大切なメールに ::
これについても後日別エントリー書きたいと思っています。

 
 
 
と、ここまで書いて、日付が変わった。もう誕生日じゃなくなった。・・・・・・orz