西尾 素己
多摩大学ルール形成戦略研究所 客員教授
ジャンル:
IT・テクノロジー
もらったいいね数: 23461
幼少期より世界各国の著名ホワイトハットと共に互いに各々のサーバーに対して侵入を試みる「模擬戦」を通じてサイバーセキュリティ技術を独学。 2社のITベンチャー企業で新規事業立ち上げを行った後、 国内セキュリティベンダーでAndroidアプリから官公庁の基幹システムまで幅広い領域への脅威分析と、未知の攻撃手法やそれらに対応する防衛手法の双方についての基礎技術研究に従事。CODE BLUE 2015ではiOSに存在する未知の脆弱性と世界初となる外部ガジェットによるiOSマルウェアの検知手法について学生枠を除く最年少として登壇(その後特許取得)。大手検索エンジン企業に入社し、日々行われるサービスへの莫大なサイバー攻撃対策や社内ホワイトハット育成、キャピタルファンドへの技術協力などに従事した後2016年11月よりコンサルティングファームに参画。同時に多摩大学ルール形成戦略研究所にサイバーセキュリティ領域における国際標準化研究担当の首席研究員として着任。2017年にサイバーセキュリティの視点から国際動向を分析するYoung Leaderとして米シンクタンクに着任。 執筆、講演、顧問契約等に関するお問い合わせは多摩大学ルール形成戦略研究所まで
… 続きを読む
Picks
17フォロー
9907フォロワー
「あの企業、実は情報漏えいしてますよ!」──ランサムウェア集団が自ら政府機関に“告げ口” 米国で新たな手口
西尾 素己多摩大学ルール形成戦略研究所 客員教授
三重脅しというにはお行儀が良すぎる
SECがOFACのレギュレーションに反した身代金支払いを企業に推奨するはずがないだろ
何の意味もないただの嫌がらせにしかならんだろう
むしろ絶対に相手方は支払わなくなるよ
これは脅しじゃなくて吊し上げ
情報のロックと公開で二重、これを三重にカウントするのはちょっと違和感がある
まぁ確かに「支払わないと情報公開に加えてsecにも報告されるのか」という脅しには一見なるように見えるけど、そんなもんはform 10kや8kでとっくに義務化されてるしリークサイトの監視くらいしてるよ
bcも辺なこと始めたもんだな。。。
「サポート詐欺」、相談件数最多 年被害額5億円、遠隔操作も
西尾 素己多摩大学ルール形成戦略研究所 客員教授
この手のポップアップは「公式もこんな感じのデザインにすればいいのに」と思うくらいにデザインがいいものもある
もしくは公式のデザインを横流ししてるからデザインの雑さとかを見て気づくことはほぼ不可能
パソコンに不慣れな年齢層もyoutubeとか見る時代だし、普段はyoutubeだけだとしても不意にコメントに貼られたurlから迷い込んだり、高齢者向けのフィッシングルートもかなり磨きがかかってる
何よりコールセンターまで作って本当に手が込んでるし金もかかってる
でもこのインフラは新しく作ったわけじゃない
システムこそ新しいけど、この辺のコールを受けてるのは多くは東ヨーロッパもしくはフィリピン、タイの闇のコールセンター業の皆さん
もともとバンキングマルウェアのコールセンターやってた人たちがランサムウェアの問い合わせ窓口とこういうサポート詐欺系の窓口を請け負ってる
だからその道10年みたいな熟練の人もいるそうな。。。
ここに何が投入されるか
GPTエンジンとディープフェイクを用いた対話型AIをなんとなく作ったらコールセンターの数は1/3くらいでいいだろうし、フィッシングメールも去年のblackhatでも発表があった通り、大企業の配信するメール文面を学習させて詐欺文面を作ればいい
どんどん精度が高まっていくだろう
もうこうなったら知恵比べなんてやっててもキリが無いのでエンドポイントセキュリティでどうにかしたい訳だけど、コールセンターから操作を誘導されちゃどうやってマリシャスと判定するか
遠隔操作用の口を開けるタイミングなのかなんなのか
いやはや厄介ですねこの攻撃は
中国工商銀にサイバー攻撃、米国債に影響-露ハッカー集団関与か
西尾 素己多摩大学ルール形成戦略研究所 客員教授
追記:支払ったね。。。
うーんLockbitがパンダを狙うとは思えない
lb3.0のビルダーはすでにリークしてるし、それを元にリビルドしなくてもまともにアフィリエイターとしてインフラを使うことはできる
おそらく本体の犯行じゃなくてlbを使った外部犯行だろう
なんかa_rdbeg氏が、osintした未パッチのcitrixが露出してたんじゃないか説もあるけどこれはただのhttpdだからどう考えても違う
https://x.com/a_rdbeg/status/1722720209683816568?s=46&t=la2IyO0ypLZ526BQ8xjM9g
いやしかしそれにしてもDTCC/NSCCにアクセスできなくなるなんて夢にも思わないし恐怖でしかない。。。
オーストラリア港湾、サイバー攻撃後の操業再開に苦戦-あと数日停止
西尾 素己多摩大学ルール形成戦略研究所 客員教授
Kevin Beaumont氏の仮説によるとCitrix Netscalerが未パッチの状態で晒されてたのではないかという話
https://cyberplace.social/@GossiTheDog/111391466200487619
一方でdouglasmun氏による仮説では、cl0pによるsysaidのゼロデイ発見と悪用と何か関係があるのではという話
https://x.com/douglasmun/status/1723334668278464767?s=46&t=la2IyO0ypLZ526BQ8xjM9g
前者はなんとなくありそうだけど後者は微妙かな
cl0pらしくないよねアタックフローが
リーク情報をいち早く追いたいならこの辺みとけばいいと思います
https://www.redpacketsecurity.com/cl0p-ransomware-victim-dpworld-com/
まぁ3月にDPのUAE一回攻撃されてるしな
別に驚くことじゃない
日米韓、北朝鮮のサイバー脅威巡り協議体発足へ 兵器開発の資金源
西尾 素己多摩大学ルール形成戦略研究所 客員教授
某露、現シンガポールのセキュリティベンダーが出したコインチェック事件の黒幕が北朝鮮のラザルスだとする国連まで行ったレポートの信憑性がめちゃくちゃ微妙という話は超有名。
世界中のセキュリティ研究者による検体解析と、朝日新聞の入念な取材によってめくれるわけだけどさ
いい加減暗号通貨窃盗が北がやってるという固定説やめんかね?
滑稽でしかない
投入されてるマルウェアと手法、循環C2のアドレスパターンもまともにみれないの?
どう考えても中露じゃん
それもお得意の「諜報ネットワーク」とやらで「結びつき」を主張するか?
全くもって嫌になるね
北はそんな優秀な攻撃グループは抱えてない
パンダ系がやってる習近平主導の2013年TTF政策で生み出した戦闘力と、ベアー系の後ろ盾である旧EK系のランサムウェアギャングのバックアップなしにできるはずがないだろう
今議論されてる高度半導体による大規模クラウド演算が国境を超えていないか判定して止めようとかいう摩訶不思議な法案が米議会で真剣に議論されてるように、いかに政治においてサイバー分野で彼らを欺くのが簡単かを思い知らされる
ビッグモーターに不正アクセス、個人情報漏えいか フォームからの問い合わせ、約7年分
西尾 素己多摩大学ルール形成戦略研究所 客員教授
webフォームの問い合わせ限定だからインジェクション系で特定テーブルだけダンプできたか、もしくはもっとショボくてwebロジックへの攻撃で、なんらかの方法で他の人の問い合わせ内容が取り出せたか
いずれにせよ攻撃手法としてはしょぼそう
よくいえばDBユーザーのaclがしっかりしてたのか、悪くいえばいわゆるクソフォームだったのか
(以下当該事象関係なし)
でも落ち込むことはない
日本トップの企業もゴミのようなアプリやシステムを世に送り出してインシデントを起こしてるけど、我が国はそれを善管注意義務違反として裁かない
本当にいい国
そのくせ製品選定は厳しい環境を勝ち抜いてきた外資の戦略要件を受け入れる
いやはや何がしたいんだろう
別にこの一件で同社がダメージなんて被らないと思うよ
当たり前に必要だった投資を遅れてやるってだけ
この国奴らは集団訴訟もやらないし
ランサム中心メンバー逮捕 カプコン攻撃にも関与か
西尾 素己多摩大学ルール形成戦略研究所 客員教授
流石の行動力
でも遅かったよね
もうとっくに店じまいしてるし、皆さん知っての通りragnarとてspider系のサブチームに過ぎないわけで、さらに言えばデベロッパーと元締めのトカゲの尻尾が切り落とされたにすぎない
まだまだ全然ランサムウェアギャングは存続できるし、何よりも重要なのはRaaSのデベロッパーがテイクダウンされただけでアフィリエイターが逮捕されたわけではないと言うこと
これはRaaS利用者に更なる安心感を与える
やはり元締めがある程度こう言ったリスクをとってくれる代わりに利用料払ってたよねって言うね
まぁでもこう言うオペレーションやらないと攻撃コストを上げられない
取り組みは評価すべき
でも今回はconti周りのリーク情報もあったしウクライナ側の協力もあったからなぁ
そこまですごいかと言うと地道な調査分析の成果というべきだろう
あと重要なのは「これでデータも戻ってくる」って思ってるのは甘すぎるということ
すでに漏洩して多大なる被害が出ていて、データの複合鍵が今更出てきてももう遅い
NTT西子会社の“顧客情報900万件持ち出し”、自治体なども被害に 影響範囲まとめ
西尾 素己多摩大学ルール形成戦略研究所 客員教授
この構成はやばいだろう。。。
どんだけ性善説でやってんだよって言われても仕方がない
日本のやり方の怖いところって何かというと、具体的な対策方法まで踏み込んだ善管注意義務のハードルをルールとして設けないのに、何か国民感情が動くようなことがあると、途端に、やれ行政指導だのなんだの言い始める
そもそもこういう状態で操業できるレギュレーションに問題があるわけであって、その辺にしっかり税金使わないと今後の官民連携は絶対に破綻する
個人情報が大量に詰まったシステムに、派遣社員が管理者権限を持てる状況って何事。。。
集団訴訟モノの事案だけど我が国の国民はなんというか平和ボケなので何もしないんだろうなぁ
コインチェックみたいに金を取られたら発狂するのになんで個人情報ばら撒かれたときは発狂しないんだろう
面白い国民性ですよね
顧客情報900万件が流出 NTT西系、名簿業者に渡ったか
西尾 素己多摩大学ルール形成戦略研究所 客員教授
この前のドコモの一件とは別なのかな?
https://www3.nhk.or.jp/news/html/20230721/k10014138521000.html
最近RansomedVCにもやられてたし。。。
https://x.com/resecurity/status/1706964676591145112?s=46&t=la2IyO0ypLZ526BQ8xjM9g
今回の個別事情はさておき、運用保守業務がいかにハイリスクかを思い知らされる
多くの場合下請けや子会社がさらに派遣会社やひどい場合だとバイトとか使ってやってる例もあるわけだけど、情報の取り扱いについてはわりとお粗末だったりする。
そして今回のコールセンターというのは実は今かなり狙われてる
MGMカジノのランサムウェア感染だってコールセンターへのソーシャルエンジニアリングが発端だった
https://blog.morphisec.com/mgm-resorts-alphv-spider-ransomware-attack?hs_amp=true
今回のが何を目的としたどんな手法だったかはさておき、この派遣社員の年収の5倍くらいのお金を積んで、「もってこい」と言ったら多分やるよねという話
セキュリティの話として何が重要かというと、そういうモチベーションを持った人が内部にいるということを前提とした防止策を組めてるかどうかということ
今時データの持ち出しなんて対策できて当たり前という感じは正直否めない
DLPの届かない位置にいたのか。。。
まだまだ謎が多いけど取り扱い情報が多い企業だけに早期に謎が解けることを期待する
追記:
この元派遣社員、管理者アカウント使えたっぽい笑
流石に過失責任がありそうな運用。。。
【論文】訴訟における電子データの取り扱い - 東京大学経済安全保障プログラム
西尾 素己多摩大学ルール形成戦略研究所 客員教授
私の東大先端研での取り組みテーマである民訴法がらみの論文が出ました。
中央大学の安念先生、東大先端研の玉井先生の論文に微力ながら協力させていただきました。
我が国の民訴法における電子証拠の取り扱いは、発展途上国以下だと思います。
本論文の元になった裁判はコンサル業界を震撼させた引き抜き裁判です。
私も大きく関わった裁判ですが、第一審判決は想像を絶するものでした。
詳しくは本論文内にもある裁判番号から調べてもらえればいいのですが、原告側の提出したなんちゃって電子証拠はろくに検証されることなく証拠採用されました。
被告側曰く”極めて納得のいく”内容での和解ということでフィニッシュでしたが、一審判決の根拠となった電子証拠の扱いがまぁ驚き
ネタとして最高なので酒のつまみにでも裁判記録を一読いただくことをお勧めします。
MGMリゾーツ、サイバー攻撃で利益148億円下振れ-費用も発生
西尾 素己多摩大学ルール形成戦略研究所 客員教授
MGMのバランスシート上の流動比率は2.0
身代金は払いたくても払えなかったのではないかと言う見方もある
bloomが報じている通り多額の費用が発生してるけど税制を考えればピュアに特損を積むよりは良いと言う判断かな
2021年にsecに提出されたform 10-kを見てると、同社はサイバー保険に少々不安があったっぽい
これはまぁどう考えてもS3600の話で、要するにランサムウェアの身代金の支払いと補填行為が違法というofacの見解を後押しするような報告義務の動きが当時あったからであって、穿った見方をすれば同社はあの時期からランサムウェアが来たら保険金で支払おうと言うストラテジーがあったのではないかと思えてしまう
今回の本当の見どころはこの後起こる個人情報の漏洩
ここで集団訴訟や株主代表訴訟のダメージをかわせるかどうかが同社の今後を占うだろうな
そんなことより、攻撃されたのは9/10で実際に株価が大きく動いたのは9/18
サイバー攻撃がらみの株価変動ってラグがものすごくて、一般投資家よりも機関投資家よりもサイバーに精通してる人が有利みたいな相場になってて面白い
ソニーにサイバー攻撃 顧客情報、流出は確認されず
西尾 素己多摩大学ルール形成戦略研究所 客員教授
今回はJenkins、SVN、SonarQube、Creator Cloud Developmentらへんのデータは抜かれたっぽいけど、顧客情報とかは大丈夫っぽい
今のところどこにも売りに出てない
今回の攻撃者が侵入には成功したけどランサムウェアをデプロイしなかった理由は、多分そこまで金を引っ張れるようなデータでもなかったし、止めたところでそんなに焦るような物ではなかったのではないかと邪推
どっかのIABがセッションはとったけど使い道に困って売りに出した系なのかなぁ
MajorNelson氏の投稿も気にはなるけど今のところ微妙
こう言う扱いを受けるあたりソニーさんは幾度となく攻撃されてきただけあって貫禄があるよね
詳細追いたい人はこの辺みとけば良いと思う
https://x.com/resecurity/status/1706964673877426441?s=46&t=la2IyO0ypLZ526BQ8xjM9g
政府端末に国産サイバー対策ソフト 25年度から導入
西尾 素己多摩大学ルール形成戦略研究所 客員教授
うーん日の丸化か
産業育成の観点があるのかよくわからないけど、経済安保を出汁に使うんなら、同盟国くらいは許容して然るべき
だってもうデカップリングとか言ってる時代は終わって、いまやデリスキングですからね
つまり、徹底的な鎖国や締め出しは、むしろデメリットの方が大きいことがここ数年の米中冷戦ではっきりしたわけであって、これからは出来る限りリスクを低減させる方向に緩和する方向性が世界のそれなんだよね
というかそもそも「じゃあtron os復活か!」みたいな話
何を言ってるかと言うと、米国政府がeo14028でnistに指定させてcritical softwareの区分は全く意識せずに、なんでセキュリティソフトだけ狙い撃ちで国産なのって話
そもそもネットワーク製品とかはどうなるの?
ゼロトラストアーキテクチャを全て国産で今後固めるつもりなのか?
それって中国の352指令とか安可目録政策に近いんだけどまぁどう考えてもなんか裏でメーカーが手引きしてるよね
やっぱり判断が2、3年ずれてる
まぁでも今までは10年ずれてて、最近5年になって、有事の高まりでようやっと2、3年に収束したかという感じ
どうも腑に落ちない政策
そもそもベンチマークとか見たことありますかみたいな
こう言う政策やるのはいいんだけど専門的な知見から、国家の防衛力が落ちてないことを確認しないとダメ
「性能を落としてでも国産にする!」だと異論ありだし、「性能落ちないから国産にする!」だとまぁなるほどなだし
色々ツッコミどころがありすぎる政策ですね
ていうか政府統一基準や防衛省の特約、ismap等で米基準入れてんのになんで急に日の丸オンリーとか言い始めんの笑笑
どうやって準拠するんだよ国策フレームワークなのに
こんなこと今更言われてもなんとも思わない
検討が始まった7年前に「こんなもんは来ない」とか言ってたツケが回ってきただけじゃん
NORMAL
投稿したコメント