サイバー攻撃 ネット世界の裏側で起きていること (ブルーバックス)中島 明日香

この本は、インターネット空間における攻撃行為（俗に言う「ハッキング」）が、具体的にどのような仕組みで行われているのか、またそれに対抗するセキュリティ側が世の中でどのような取り組みを行っているのかを取り上げた一冊です。

著者の方の年齢が、じぶんと1歳違いということで、親近感を得て手に取りました。

著者のtwitter▼

Asuka Nakajima | 中島明日香 (@AsuNa_jp) | Twitter

サイバー攻撃はすぐそばに

一番おもしろかったのは、P196-203　第7章　脆弱性と社会
Exploit Kitにより下がるサイバー犯罪参入のハードル

私たちがふだん利用している優勝のソフトウェアは、たいていの場合使い勝手がよく高機能です。たとえばWindowsやMac OSなどのOSは、高度な技術をもたない一般ユーザでも利用しやすくつくられていますよね。じつは、サイバー犯罪市場でも一般ソフトウェア市場と同じようなことが起きています。現在のサイバー犯罪市場では、高度な技術をもたない攻撃者でも使える、サイバー攻撃のためのツールキット「Exploit Kit」が流通しているのです。

もはや誰でも攻撃主になり得る。ということと同義だと思います。

メールアドレスとパスワードの流出のニュースは、耳にしたことがありますよね？

でも実際に、それで被害を受けたと ”認識したこと" はあるでしょうか？

じぶんは、1度しかないです。twitterのアカウントを1度だけ。
よくあるフィッシングメールみたいなものに引っ掛かって、アカウントを一瞬乗っ取られました。

でも、それ以外では、Yahoo! アカウントの流出したときも、流出該当アドレスではなかったし、最近起きたInstagramアカウントの流出も違います。

そういったこともあって、サイバー攻撃は「耳にはするけれども、遠い存在」でした。

そして「遠い存在」であるがゆえに、「サイバー攻撃なんてできる人は、キットとんでもなくコンピュータ / ネットワークに強い人なんだろうな。そんな人がする攻撃なら、じぶんの知識じゃどうにもならないしなあ」と漠然と思っていました。完全に他人事です。

しかし、先に上げたような手軽なキットが世に出回っているならば、攻撃者側だって必ずしも技術力の高い人ばかりではないと言えます。決まりきったソフトウェアDL手順を踏んで、いくらかクリックするだけで、悪質なサイトだってつくれるそうですから。

それにExploit Kitは、日本円にして数万円～数十万円という、意外にもお手頃な価格で売られているんだそうです。

世の中に広まってしまうわけだ。

話は変わりますが、カウボーイビバップって、ご存知ですか？

第14話「ボヘミアン・ラプソディ」（1話108円で観られるのでぜひ！）

Amazon.co.jp: カウボーイビバップを観る | Prime Video

この14話のなかでは、連続ゲート襲撃事件が起きるんです。

ゲート（高速道路のETC的なもの）を通った瞬間に、クレジットカード経由で全財産を盗まれるという事件です。事件が起きてすぐ、20人もの犯人が捕まるのですが、全員ただの実行犯で、黒幕ではない。

さらに、その犯人たちは「通信販売で買った犯罪マニュアル通りにやっただけ」なんです。

「新発売の犯罪支援ソフト、今ならお試し価格でお買い得です。わずか30,000ウーロンで、あなたも大金持ち！」

犯人から取り上げたチラシにそんな宣伝文句が書いてあるのです。

なんとなく、このExploit Kitの話に似ているなあと思いました。
ちなみにカウボーイビバップの設定では「1ウ―ロン=約1円」らしいので、つまり約3万円。価格まで、Exploit Kitに似ています。

SFの世界で起きていることが、現実世界でも起きている。

望ましいものではないですが、こういったことが実際に起こっているのです。

一部の人ができていることは、いずれ多くの人もできるようになる。

じぶんはそんな風に物事を見ることが多いです。

「メール」が登場した頃は、一部の人しか使えなかっただろうけど、今じゃ大半の人が難なく使用している。投票権は、かつて男性のみで、年齢制限も高く、おまけに税金も一定額以上収めている人しか持てない、という縛りがあったけれども、今や18歳以上の男女なんてところまでハードルが下がっています。

往々にしてこの視点でものを見るときは、よいことの場合が多いのですが、Exploit Kitに関しては悪い方でした。

でも、この中にわずかでもよいところを見つけるとするなら、Exploit Kitなるものが、悪用する側にとって手に入れやすくもあれば、セキュリティ側にとっても同じくらい手軽に入手できるもの。ということでしょうか。

毒を以て毒を制す。蛇の毒の血清みたいな考え方ですが、攻撃側の手段がわからなければ、守備をすることすらできないからこそ、手口が公開されているというのは、ある面においてはよいことなのかもしれません。

他にも驚きサイバー攻撃

Webサイト関連の脆弱製の56%はXSS(クロスサイト・スクリプティング)。

2番目は「DNS情報の設定不備（15%）」, 3番目は「SQLインジェクション（11%）」だそうな。

クロスサイト・スクリプティングとはなんぞやというのは、wikipediaなどへ。

クロスサイトスクリプティング - Wikipedia

いまさっき受験してきたウェブデザイン技能検定2級の問題で、よく出る言葉の一つなので、さすがにみんな対策しているものだろう。とおもっていたのですが、意外と違うみたいです。

脆弱性情報は、売り買いされる。

これは、ときどきネットニュースか何かでみかけます。
じぶんが聞いたのはたとえばこんな感じのものですかね。

ゲーム大好きキッズ（5歳）Xboxのとんでもない脆弱性を見つける

5歳の子が、Xboxでゲームしたいけどお父さんが許可してくれない。でもどうしてもゲームがしたかったその子はXboxをいじくる。そうしたらなんと｢スペースをたくさんおしてエンターをおしたらできた｣と、ログインできてしまったそうな。

平穏なニュースなので笑って見ていられますが、これが悪用する側に伝わってしまうことだってあるのです。恐ろしいもんです。

もう一つ書籍内でおもしろかったのは、こういった脆弱性を企業（セキュリティ側）に報告したときの報酬の話です。脆弱性を発見して報告をしてあげたところで報奨金やら何がしかの報酬がもらえるそうなのですが、なかには「明らかに脆弱性なのに、仕様であると返信された」といったことや、外部から不当に低く見える評価を下す。ということもあるそうです。

悪く言えば、脆弱性を発見した人から、企業（セキュリティ側）が情報を盗みとったとも言える行為です。

せっかく発見して教えてあげたというのに、その能力・発見した脆弱性を不当に低く評価されるようなことがあれば「もう二度と教えてやるか！」と思うでしょうし、悪くなれば「チクショーこの脆弱性、オレが突いてやる」とか「ダークマーケットに売ってしまおう」なんてなれば最悪ですよね。

Googleの「Don't be evil」が響いてくるような気のする発見でした。

終わりに

「本を読んだり、新しいこと知るのは興味あるけど、そんな時間無い！」という方、ぜひこの #週一文庫 のマガジンをフォローしてください！　代わりに毎週じぶんが何かしら本を読んで2,000文字程度で紹介します！

ビジネススキルのような、明日すぐに使えるものでは無いけれど、雑学として知っておくと日常がちょっと面白くなる。そんな書籍を紹介し続けていきたいと思っています。

今週の一冊はコチラ▼

サイバー攻撃 ネット世界の裏側で起きていること (ブルーバックス)