【急増】サイバー攻撃　デジタル社会を生きる実践的な対策とは？　ゲスト：杉浦隆幸（日本ハッカー協会代表理事）三上洋（ITジャーナリスト）MC：近野宏明　上野愛奈　BS11　インサイドOUT　12月11日

生成AIの進化やリモート社会の普及を背景に日本へのサイバー攻撃が増えている。具体的には、新NISAなどの浸透で増えた証券口座を狙うフィッシング詐欺。今年3月から5月にかけて多くの証券口座が乗っ取られ被害額は5000億円とも言われている。その巧妙な手口とは？ また、今年9月のアサヒグループホールディングスへのサイバー攻撃は、顧客情報の漏洩にとどまらず、工場の稼働停止と物流の混乱をもたらし、その余波はまだ収まっていない。個人のスマホも狙われるランサムウェア（身代金要求型ウィルス）とはどんなものか？その侵入経路はサプライチェーンや個人の脆弱なネット環境にまで及ぶ。
ゲストは日本ハッカー協会代表理事で自身もホワイトハッカーである杉浦隆幸氏と、ITジャーナリストの三上洋氏。デジタル社会を安全に生きるための実践的な対策を議論。

#急増　#サイバー攻撃　#デジタル社会　#対策　#杉浦隆幸　#日本ハッカー協会　#代表理事　#三上洋　#ITジャーナリスト　#近野宏明　#上野愛奈　#BS11　#インサイドOUT　#12月11日　#生成AI　#リモート　#親NISA　#証券口座　#フィッシング詐欺　#乗っ取り　#アサヒ　#顧客情報　#向上　#稼働停止　#物流　#ランサムウェア　#身代金要求型　#親友経路　#サプライチェーン　#脆弱　#ネット環境　#ホワイトハッカー

このね、普段の生活にはもう欠かせない携帯電話、それからスマートフォンなんですが、ま、こっちのガラ系も含めてですね、これね、久しぶりに見ましたけど、 これらほぼね、こうネットに繋がってる、ま、何らかの形で自分と、ま、 世界中が繋がってるというわけなんですが、 今じゃあそのネット上で杉浦さん、どんなことが、ま、特にあの、気をつけなきゃいけない。どんなことが起きていて、それが私たちのフィラッシュにどういう脅威となっているのか、まずそこからお聞かせていただきます。 そうですね。まずはね、皆さんメールを使うこと多いですよね。メールを使っていろんなサイトに登録することが多います。 [音楽] で、そうしますと、そのサイトがたまに侵入されたりしていますと、どうなるかと言いますと、そうしますと皆さんのとこに変なメールがたくさん来るようになるんですよね。 うん。 で、その変なメールっていうのは大体詐欺のメールなんですよ。 え、例えばフィッシングと呼ばれる、え、詐欺多いんですけど。 で、例えば何か、あの、急に何か入れてくださいとか、システム止まとか、大会、あの、になりましたんで、継続手続きしてくださいとか、ま、そういうせかすようなメールをたくさん送ってくるんですね。 うん。 それを はい。 つい応じてしまうと、ま、後でルるルあの、見ていきますけども、 そうですね。 あの、とんでもないことが待っております。 とんでもないことが待っております。本当に ですね。先ほどVTR にもありましたが、日本へのメール攻撃が激していると言います。 サイバーセキュリティ会社の調査によりますと、今年 7月に観測された攻撃メールの数がおよそ 8億5000万通で過去最大にさらにその 9 割がなんと日本を狙ったものということなんですが美上さんなぜ日本が狙われるんでしょうかね? まあ本を狙えば儲かると分かったからですね。 あのちょうどこのそれの後にですね、ネット証券の被害が出ました。 ネット証券の被害7000 億って言われてますから。うん。 つまりそれだけたくさん狙えば狙えるほど儲かるから日本狙おうぜ。日本って日本語だよね。正 AI で日本語クリアできればなんとかなっちゃうんじゃないということで市場に一生懸命使ってやる。なんで日本向けの迷惑メールが多分今までよりも 10倍100 倍ってなるべく多くしてたくさん設けようですね。 そういったものの個人情報多分高値で売買されてるんだと思います。 それあの1つ1 つの個人情報がやっぱりなんて言うんですか?あのそういう集団からしてみれば旨味があるというか、カロリーが高いというかそういうことなんですか? ま、そうですね。個人情報と言ってもやっぱりその売買されてるのはクレジットカードの情報なんですよ。 ああ。 で、日本人のやつは普通のとこより大体 2倍ぐらいの金額で取引されてます。 へえ。それだけ価値が高いからて利用価値が高いから。 あの払った分以上に儲かるからですよ。 はあ。 え、 これそもそもなんですか?ハッカー集団っていうの、ま、どのくらいの数が今あるっていう風に見てらっしゃいます? そうですね、集団では特にこのメール送ってくるところはそういうグループがおそらくま、数十ぐらいあってっていう感じには思っておりますね。 うん。そういう拠点ってどういうとこでやってる? ま、中国のフィッシングマ村みたいなとこでやってて、ま、村 そうです。村がんですよ。 で、そこで経済潤ってんですよ。フィッシングをやることが村の機関産業になって、 そういうことですね。 ええ、そんなの分かっててもどうにもならんもんなんですか? うん。どうかしたらいいんですけどね。 明らかに特定できてる。 ま、大体特定できこ、ここからやって。 中国は認めてないですよ。 我々の調査でこのエリアよ、この村だよね。 でもこの、ま、メールの攻撃っていうのは具体的に菅さん、ま、どういうやり方っていうの、ま、私たちと理解できるか難しいとこもあるかと思うんですが、どういう風に攻撃してくるんでしょうか? はい。ま、漏洩メールに対して、ま、本当にいろんなメールを送ってくるんですよ。え、なんかが大会してませんかとか、あの、ここのクレジットカードを今から承認しないとだ、無効になりますとか、ま、そういうたくさんいろんなことやったりとか、あとは税金払ってないで払ってくださいとか。 で、つまりお金にやり取りするものをできるだけたくさんやってその ID を取って、え、さらに、え、クレジットカードの番号を取ると うん。 で、そこがあるとやっぱり監禁できるので、その人たち監禁する。 で、監禁した後にまた違うグループが活動したですね。実際カードを使って設けるグループ うん。 はい。 があるんですけど、ま、こうですね。はい。 で、ここで偽にいろんな情報を入力させて、で、その情報から また いろんなグループがですね。 そうなんですよ。そ、次はそのカードで物を買うグループがあるんですよ。 はい。 で、物を買って受け取る人を募集するグループもありまして、た場に結構ね、副業とか行ってこれに片方片方あの数がされてる日本人も結構いるんですよ。 はあ。 え、確か儲かる副業なんですけど犯罪ですからね。 儲かるです。 そんな副業がこの世の中には三さんあるん? いや、だから1 番簡単に儲けが出せるのがサイバー攻撃になっちゃってるので それに加担するっていうことですね。 うん。そうですね。 今回の場合はこれあのフィッシング詐欺って言って偽サイトに情報を入力させるパターンですが、ま、その他にもウイルスを添付させてウイルスがその人のパソコンの中の情報んで送っちゃいますっていうパターンがあります。 [音楽] だから、あの、なんていうか、出てくるこクリックしてくださいねってやつをクリックしなくても場合によってはメール開いただけで感染したりする場合はあったりするんですか? 現状今のウイルスでは開いただけってのはないです。 少、少ないですね。タイミングによりますね。うん。 はい。 ダウンロードしてインストールしちゃったり実行したりした場合はダメですね。 うん。そうですね。 ただそういうこう情報にアクセスする時って今必ずパスワードがあったりとかするじゃないですか。 その辺ももう完全に見破ってくるんですかね。 ま、見破るというか同じような偽サイトに入れちゃうんですよね。これ入れちゃう。うん。 ええ、 こういう風なここにアクセスしろよというでついアクセスしてしまって。 そっかそっかそっか。自分から 自分から入れちゃうんですよ。 じゃ、こ までもね、そういう判断があの慌ててる時ほどできるのかっていうのが 自分でも心もないところありますけどね。 そうですね。ま、メールを慌てさせますからね、当然。 そう心配ですわ、自分が。 こして盗まれた個人情報が犯罪にやっぱり使われたという事例があります。先月 28 日証券講座に不正アクセスしてって、え、特定の銘柄を購入して株価を釣り上げた後に売却したとして中国の男 2人が逮捕されました。 口座っ取りによる不正取引額はおよそ 7000 億円を超えると見られています。杉浦さん、これはどういった事例になってきますかね? ま、そうですね。 で、これはあの判明してるものでは、ま、今んとこフィッシングで証券講座の私のとこも実はたくさん来たんですけど、 あのIDパスワードを入れて、え、その ID パスワードを盗んで、え、その人に、あの、入って、え、ま、資産がやっぱりあるので、え、その被害にあった人の資産をあの、使って、え、自分であの、あの、安い時に買っておいて釣り上げるわけですよ。 [音楽] 株を最初にやるのはこっち自分であ、特定の銘柄の株を買っておいて、 で、証券講座被害者の講座を乗っり、ある程度この人お金持って、 そうですね。お金持ってなきゃだめなんで。 で、そのお金で持って大量の懐中も そうですね。そうすると株価操縦できますから。え、 で、上がったところで 売り抜ける。 これを売り抜け。 はい。 うん。こだからここに入ってるお金を直接自分のとこに振り込めとかそういう話じゃないんです。 そうですね。 そこはね、さすが証券会社もリスクがあると思ってかなり制限をしてます。 うん。あ、だけどこれはもうある種通常の取引に見えちゃう。ですよ。そうなんですよ。だから分からないですね。それもあの証券ってやっぱりあのすごい短い単位でやらないと上がったり下がったりしますから。ま、その辺りでえっと、 [音楽] え、そんなに確認を取らないんですよね。 速さ重視な。うん。 ま、そうですよね。なんかもたしてたら取引遅れちゃうから。 そう。遅れちゃうからもあの そうか。そうか。 そこはあるし盲点というか、それこそさっきの話じゃないですけど、 ドキドキさせて早くやらなきゃっていうのが向こうの思う壺のところが同させてさせ人間の理 でもそれと同じように証券ってそうかも 同機は違うけど早くやんなきゃいけないからええ その速さに常じたっていうこういう部分もあるっていうそのセキュリティのま、あるの低さというの今回はだからこの全く人気のない株を仕込んどいてそ それを乗っとった講座、複数の講座で買で無理やり上げてくっていう新しい技を彼らは学んだんですよ。 全く今までなかった。だって今までは証券鉱に例えば 1000万あんならば1000 万抜くてのがそう。 でも1000 万抜いたらもう誰が抜いてどこの口座に行ったかって足がつくから監禁のための銀行ってじゃ誰がそれを出してくるのって大変ですよ。 でもこのやり方だと正規の取引で手元に戻った中国のわけのわかんない人気のメカバーが 10 倍に上がりました。それを売りました。儲かりました。 正規の取引なんですよ。 そうなんですよね。 外上はね。え、だ、 それはだからあれなんですか、これ証券取引と関心会とかが今こういうのやっぱ見てるんですか?不自然な取引然です。 そ、それでようやく捕まったんです。 良かった。捕まって。今回は どういうことですよね。 まあ、でも犯罪グループも本人でやっぱりちゃんと確認して登録してますのでだから捕まったの。 そうか。そうか。 だからあの多分本当に操縦してる人はそのバックに切るはずですよ。バック まだまだここに書いてない。 そうそうそうそう。バックの組織があるんです。ある可能性。 なぜかいう最初に買う資金を提供してますから。 そうです。そうです。 これも被害に合わないためにはっていうのは杉さん何かありますか? そうですね。 まあ、これに関しては、ま、難しいんですけど、当然メールの方もあるんですけど、証券会社の方の対策がやっぱり不十分だったっていうのがあって、まあ、今はちょっと、ま、証券会社も急いでその辺りのあのところをちゃんとできるように改善しておりますので、 ま、あの、もうそう数ヶ月したらあと、ま、数ぐらいできてないので、ま、完璧にできるかなという感じですね。 被害者のね、 皆さんにとっては、ま、証券講座に、ま、ある程度溜まっていたお金っていうのが当然出てっちゃってるわけだから、これのその賠償ってのはどういう今状況になってますか? これが1 番問題になっておりまして、実はこの賠償を半分っていう証券会社と全額って言ってる証券会社おります。うん。 で、ネット証券の大手の多くは半分だっつってんですよ。 半分のっていうのはこれはあくまで ID パスワードを他に入力してしまったという被害者の方の責任もあるわけです。 うん。 もちろんネット証券側のニ、えっと、ログインの仕組みがあ、や甘いというのもあるなので半々ですって言って、でも証券の対面証券の大手の会社はいや、うちは顧客ちゃんと守るからって言って全額保障になりま、そうか。そこでノタがついちゃっます。 そうですね。 そうですね。 ではさらに私たちの個人情報は様々なサイトやのアクセスに使われていますが、え、今月またまたこんな事件がありました。複合カフェの改ブを運営する会社のサーバーに不正なアクセスをして業務を妨害したとして 17 歳の高校生が逮捕されたということです。少年はタ型 AI を悪用してプログラムを自会員情報およそ 729万を流出させたとしています。 三さん、これもまたすごいことだなと思います。まだ 17歳でしょ? そうですね。はい。ま、あの、つまりこの改クラブというサイト、そして情報の保存の仕組みにどっか穴があったんですね。弱点というか、ま、脆弱性って言うんですけど、その穴盲点を探すのに AIを使ったという。 別にAI だから特別になんか侵入できたとかっていうわけじゃなくて弱点まそうだな、堤防の穴みたいなものを探すのに AIだ。と早かったってことです。 うん。 それを彼らは上手に AIで探したってことです。 これ、その堤防の穴なんて人間がこう白みつぶしにこう当たっていってもあまりにさかったらわかんないけど AI AIにやらせればってことなんですか? 例えばその脆弱性ちっちゃな穴を人間が見つけるのには例えば 10日50 日かかるものをAI だったら不民及で一生懸命働いてくれるので例えば 2時間で分かると それを探し探してよっていうプログラムを作 れちゃう。えっと、そういう指示をある程度出すテクニックを彼らは知ってたと思う。 彼らって高校2年生ですよ。 まあ、 そうですね。誰でも実際プログラム書こうと思えば書けますから、それをどうやったらいいかっていうところですし、あとはあの、やっぱりあの、今、あの、義務教育でもちゃんとプログラム書くようになってますので、皆さんの世代とは実は違うんです。 すいません。本当にすいません。 本当にすいません。 島の高校生はね、学めました。そう、今の話は上野さんも入って いや、私も入ってそうです。 皆さんの世代ってこっち2人 ここにこれない。よかった。よかった。 よく良くないよ。彼らはもうそういうのがもう もうもう当たり前なので、ま、日本語を書くようにやってるという感じですね。 でもこれすごい、ま、すごい能力なのか、その能力の高い低いも私にとってはもうはやわかんないんですけど、こういう能力だから AIの使い方きっとうまいんですよ。 実は今年この前の事件、今年の 1月2月に起きたですね、携帯電話会社の IDを大量に作って大量にその IDを売るっていう事件。これも15歳、 14歳、16歳がやった事件ですけど、 すんごい22億件とかってデータを元に AIに効率的に探索させて、 た、え、AI をツールとしてすごくうまく使ったんですよ。 別にAIが特別なことしてないです。 Aは 大量の作業を一生懸命真面目にやってくれ を受けてま、その通りに、ま、動いてから 何万人の発火を雇ってるようなことをAI にやらせてる。ま、てことじゃないです けど、これ指示をちゃんとしなきゃわ、ま 、大体100人分ぐらいの仕事をちゃんと 指示したらやくだ。 ちゃんと指示できる人がいないと仕事やっぱりできないので、ま、彼はある意味だからそういう能力っていや、これはあの犯罪に使われちゃってますけど、それこそそのホワイトハッカーっていうんですか? ええ、 なんか活用できそう。 みんなやってます。実際 ホワイトの人たちもちゃんとあの依頼されてやる時にちゃんと AI を使って同じことやるわけですね。そう。 じゃ、この企業の顧客の企業のシステムどっか穴ないですかっていうようなことは同じようなことやってる。 もっと高度に抜けがないようにやってるんですよ。 仕事でやってますからね。 ま、こちらで1 発通ればオッケーなんで、ま、あまりと楽な方だという感じですね。 サイバー空間もAI 同士の言ったらもうこう競争とか戦いみたいなのは今後もっともっと激しくなるんですか? うん。そうですね。 今本当にそういうん、ザ性と言われ弱い部分をここおかしいから直してって AI にやると、え、修正しされたプログラムを出してくれます。だから AI が実は修正できるようになってるんですね。 うん。うん。うん。 クッションマークがいっぱいあったてますけど。 そうですね。つまりとい 守るものもね、AI が出て日々日々生活の中にいろんなあのミステイクとかあの抜け穴とか 抱えながら生きてるというとね。 そういうAIに探してもらえるんだと。 あ、でもそういうことですよ。本当に。 実際そうです。 本当にそういうことだ。 てことですよね。 でももうじゃあAI 含めてなんて言うんですか?その規制をしてしまうっていうのに神さんどうですか? あ、そうね。そうですね。そういう使い方どうなんですか?こんな使い方しちゃダめでしょって。 見、あのハサミは人を刺すことができるので使うのを世界的にハサミ読めましょうって話です。 ま、もっとそれよりのAI の場合はもっと進化してしまって、例えば私ディープシークっていう中国の AIもたまに使うんですけど、 え、彼らの出してきた結果、あの、ディープシブの出た結果っていうのは完全に中華思想に汚染されてんですよ。 え、結果が、 結果が全て それどういう意味なんですか?もう中国の体制よりのことしか絶対話して出してくれない。 だからつまり規制をするとそのようになってしまうんですね。 え、規制をオープンであるが故えにフェアでこう まだまだマしなんですけど、え、逆に中国から見たら西側諸国の AI っていうのは西側の思想にかなり染まってるんですよ。 ああ。 だ、だから、ま、あのですのでそんな単純な話じゃないですね。 で、規制するとそれがどんどんあの、え、 1 つになっちゃうんですよ。 コントロールにな、コントロールになったりとか、西側のアメリカだけのコントロールになっちゃうんですね。 その都合のいいことしか出してくなくなっちゃう。 そしてそれでだんだんこうアンダーグラウンドに入っていって ええ、 あんまりいいことじゃないって あんまあの普通に使ってるといいことじゃないですね。あの人間のやっぱり対応性がなくなってしまいますんで。 ああ、でもそれのあらゆるもののきっかけが例えばフィッシングだとすると上さんちょっと改めて私たちは気をつけなきゃいけないこと はい。ま、単純にですね、メール、ショ頭メール、それから SNSのDM、 こういうとこにあるリンクは例え本物でも押さないってのが一番重要です。 例え本物ですか? はい。本物か偽物か判別するのに手間と時間がかかるので全部偽物の前提てというか本物であってももう押さないんです。 うん。 でが気になる場合は本物のサイト、公式サイトに自分で探していくか公式アプリ銀行ならば行の公式アプリで見ていただくってことが重要かなと思います。 今年は企業へのサイバー攻撃が我々の生活にも影響を与えました。 9月朝日グループホールディングスは サイバー攻撃によってシステム障害が発生 。国内のお酒類やなどの受中や出荷業務が 停止となりました。多くの製品が供給不足 となり、また他のビール会社に需要が殺頭 したことで一時的な出荷制限やお母製品の 販売停止などの影響が出ています。うん。 三さん朝日への攻撃これはどんなものだっ たとはま、ランサムウェアですね。 ランサムウェアってのランサムは身の白金って意味で身の白金を脅迫して取るためのま、コンピューターウイルスです。ま、具体的にはデータを暗号化しちゃう。システムを暗号化しちゃって起動しなくなります。 [音楽] で、朝会社行くとプリンターにお前のコンピューターは暗化した金をここに払え、もしくは起動画面に出てるっていうことですね。 杉浦さん、そんな事態が起きてしまうんですね。 はい。そうですね。 まあ、日本で大体今年だとおそらく 150件から200 件ぐらい起きてると思いますね。 でしょ。1日2日に1件ぐらいは そうですね。そのぐらい発生してるはずです。 はあ。え、それ表になってないのも含めてです。 [音楽] そうですね。表になってるのは大体半分ぐらい。 今年私観測してるやつでも大体そうですね。 980件ぐらいは観測してますね。 あ、で、それでじゃあ実際この身の白金っていうか はい。 払ってる会社も今は払ってない会社も当然あります。 なんかそのこのミ金の桁もよくわかんないんですけど、どれぐらいま、ものにもよるんでしょうけど。 はい。それはね、あの侵入した会社次第でありましてで、例えば会社の売上と利益って情報を侵入したグループが取ってきて、 で、さらに裁判保険入ってるかどうかも確認して、 え、金の金額をから決めるんですね。 それなんとかあまりに法害でも意味がないですし あだだからちゃんと利益とか見て それは皆さんそういう下調べをしたい上でなんとなくこう相場感が決まってくるわけです。 大体相場感が決まってくるすごいね。 これ朝日の場合は確か代金は払わずに一応対応しましたよね。 そうですね。 朝日グループはもう払わずに、え、終了っていう形に彼らもあの、え、あの、このランサムウェアをやってるグループも終わりって形で、 え、朝日グループから盗んだを公開しますよ。 はいはいはい。 はあ。 これそういう状況見ると、ま、何が払った方がいいっていうのは良くないんですが、そういう状況の方がいい場合もあるんです。 まあ、その情報がどの程度キ々な情報かによるなっていうのがありますね。 うん。 例えば公開しといて問題しまう個人情報とかやっぱ医療の情報とかま、あとマインナンバーとかがあったら、ま、リスクはとても高いんでどうにかして消せって言うんですけど、身貼払らないと消してくんないですよね。がゴールです。え え、で、それとやっぱ去年アメリカの大手のあの医療関係とこですと、え、ランサムウェアにお金を払ったんですけど、で、また次のランサムエアの人がそこを侵入して 2回払ってましたね。 そうなってたも本当やっと 1 去ったと思ったら違うグループが侵入したってました。本当切りないですね。浦さんからもお話があったんですが反抗グループが新たな情報を公開したとまさんこの件についてですね。 そうですね。ま、これはそのもう払わないということで決着したという意味とそのこれはあくまでみえっと乱差へのグループからすれば交渉なんですよ。脅しとしてこんなの持ってるよっていうのを段階的にわざと見せる。うんうん。 うん。 お前の情報も出すけどいいっていう脅迫をしてるっていうですね。 2つ脅迫してます。 データを元に戻すって脅迫とデータを公開するぞって脅迫ですね。 そうですね。 これは、ま、これは会社です。個人の場合っていうのはどうですか? はい。あの、個人あって個人を狙うものも過去にありましたが、今あまり多くないです。ま、理由はですね、大手企業を脅した方が儲かるからです。うん。うん。 そういうことになって本当にあれなんですね。 ま、そんな金に敏感すぎるというか、もう本当にそういうところはもう嗅覚鋭いんですね。何が 1番効率的に儲かるかっていう。 そうですね。まあ、ランサメアはおそらく、ま、ここ 10 年で最大のセキュリティの発明と言われております。攻撃がですけどすごくんですね。 うん。 で、ま、当然先ほど個人攻撃しないって言いましたけど実はえっとこの旭木グループのものに関しては個人が最初に攻撃されてんですよ。 その時の攻撃ってどういう攻撃になる? え、そう、それはね、詳細までわかんないですけど、認証から盗まれたのか、直接侵入されたかどちらかていう形なんですが、 で、そこが最初の一決になる、 最初の入り口であ、あって、で、その会社のパソコンなので、 えっと、VPN と言われる会社の中に入るためのソフトウェアの設定情報がおそらく入ってたんですね。あ、 で、それ盗んだらその会社入れちゃうんですよ。 だから 個人のパソコンから会社のシステムに入る鍵もらいましたみたいな感じですか? そうです。あのね、システムってか会社のネットワークに入っちゃワークに入る鍵をもらっちゃったんです。 それがこれかきからの品に はい。これがね、1番特に日本の被害では 1番多いですね。 ああ。 でも他にも色々 そうですね。 はい。 パターンがあるわけですね。感染経路としては。 そう。はい。 ま、リモートデスクトップっていう、ま、あの、遠隔でパソコンじるためのあのものが外に出て入れた、入られたというケースもあります。 で、お馴染みの不審メール、 ま、これがすごく実は少ないんです。 あ、そうなんです。 はい。 企業のこのランサムウェアとか、 これがね、大体ほとんどですね。 あと電話からっていうのも実はあったりします。 え、 電話でパスワード聞き出したってやつもありますね。 でもそれって電話かけてきた人が はい。 会社の人間か何かあるいは、はま、会社のシステムを管理してる人だというようなサポート受けたいかなってことで、 それで答えちゃう。 そう答えちゃったっていうのはありますね。 だからも自分がね、その 何を信用していいの? その立場になってしまう可能性もあるということで。 え、そうですね。 今回のキリという、ま、朝日を狙ったあの白火集団ということについてちょっと聞きたいんですが はい。はい。 これ結構若手なん?それともうちょっとこうベテランの集団とかそういうど、どういう集団になってますか? そうですね。 で、ま、あの、リ、もしくはチーリンというグループなんですけど、 この読みが はい。そうですね。あの、一応ロシア語でチーリンの方が近いかなっていう感じだと思います。で、なぜかロシアをベーストしてるグループで、ま、ま、 2020 年ぐらいから、ま、ただこの前にも結構ね、あの、このランサムアのグループってあったんですけど、 ま、そういう人たちがあの、前の会社が潰れちゃっ、ま、会社組織でやってるんですけど、会社が潰れちゃった。つまり捕まっちゃったんで、上の人たちが。 で、他の人たちが集まってまた同じ活をしてるんですよ。で、ま、そこで盗んだあの、え、データとか、ま、そのに使うウイルスを作っ発して、ま、本当に数人でやってたりするんですけど、 ま、多分10人から20 人ぐらいのグループだと思うんですけど、あの、ベースはですね、で、そこが、え、実際にこのランサメのサービスを提供してる、 あの、実はグループでして、ま、実際に攻撃する人たちをは別のあの組織なんですね。 そうか。だからここはそういう意味なんでしょ。これ実行者に提供するってことは自分たちは実行まする場合もあったのかもしれないけど。 自己ないと 今はもう実行せずにこの人たちに ええ 耳売りな そうですね ツールなり ツールとかあとノーハウですね侵入どうやって侵入するかっていうノーハウなんかが提供されております。 ま過去にはマニュアルなんかも出てきて侵入するためにマニュアルとかこのトンやば侵入できるよっていうことになったりしますね。 つまり彼らはあの手を汚さずに、 え、お金が入ってくる仕組みを作ってるんですよ。うん。 三さん、そういう点では、ま、特殊という風に見た方がいいのか、ま、今やり方的には一般的というかどうなんでしょう? あ、あの、これあのラーズランサブエアサービスって言うんですけど、ま、私たち企業でやってることと同じですよ。文業体制でそれぞれの専門に依頼をする。うん。 実はね、ランサムアってやることがいっぱいあるんですね。 ウイルスを作る、侵入する、脅す、金を取る。 うん。うん。 暴露のサイトに出す。 全然違う作業がいっぱいあるんですよ。それぞれに分業してます。で、ばこのチリンはウイルスを作って運営するので、これを使って他の企業を狙うのは別の人たちという綺麗な文業体制でみんなお金を分け合ってうん。食ってる。 上がってきたお金はだから、ま、ここ実行車からまたここが、ま、吸い上げてるってか何がしかの分け前ってのはこっちにも回ってるし。 そうですね。ま、あのこのラーズの方にチーリンの方に実は一旦入って実行車に大体 8割から85% ぐらいがあの提供される形になってますね。だから結構ね、ミリンですよ。 なんでそこまで色々あの分かっていながら誰も手をつけられないのか。それはなぜならもうロシアだから ロシアだからでもあの捕まえてるんですよ。世界の警察頑張って日本 日本のデータ提供でイタポールが今までソメのグループで適圧したって 3 回ぐらいあります。結構結構たくさん捕まってますよ。 頑張ってますよね。すごい。 え、それでもまたあれなんですか、新しい組織も出てくるだろうし。 ええ、あの上の方しかね、捕まんないんで。 下の方たちがまたグループ作るわけですよ。あ、 え、 ただ、ま、こうした集団も、ま、信用されないと、つまりなんて言うんですか?ちゃんとあの身代金を払ってそうです。はい。ちゃんとそのデータを復現してくれるのかとかどうかっていうのはどういうやり方でするの交渉してくれるんですか? ま、そうですね。 あの、専用のあのチャットで、え、交渉するようになっておりまして、で、当然彼らのブランドがあって、ま、今トップのグループなんですよ、この ですので、え、それが戻らないとかになると、え、大問題になるわけなので、ま、その辺はちゃんとお金を渡すからこいつらあの、実行者たちにもちゃんと言うことを聞かせてるんですね。で、ま、当然 [音楽] 100% 戻るっていう保証は絶対ないです。 え、ただある程度は戻るていう形になってますね。 だ、ミ償金を払ったのにそのままるっと逃げられるっていうことでもない。 [音楽] ま、そうでもある、ある種のその犯罪者ながらの なんて言うんですか?信用度みたいなのがあるわけ。うん。 そうですね。企業と同じですからちゃんと信用がないと戻るっていう信用がないと払そう。誰も払らなくなっちゃうのでだからある程用がを作っているんですね。 どうやって信用って作るんですか? え、ちゃんとあの、あの回復してあげる。 えっと、お金所金払ったら、え、公開しないようにしてあげるっていうのをやってます。 口約束だけじゃでも信用しにくいですよね。 まあ、でもね、そう、だから実績を積んでんですよ。で、やっぱり何百ってやってますから彼らは。 あ、ま、そっか。前例があり、 前例があるので、その過去をこう、え、で、あの、親戚、あ、信頼るんですよね。 他にもこうした事例があります。記念日本の企業に身代金型のサイバー攻撃が増加しています。 2022年にはトヨタの全工場が停止。 大阪の病院ではサイバー攻撃で電子カルテなどが使用できなくなりました。去年 6 月には門川が書籍の出荷システムを停止させる被害を受け 24億円の特別損失を形。 10 月には過計算機も攻撃を受けました。決算発表や申請品の発表に遅れが出たということになります。 なんかもう毎月のようにと言うとあれですけど、まあまあそこそこのインターバルでさっき年間 100本はですね、150か250 言われてるっていうことは、ま、それは確かにこういうことになりますよね。と そうですね。 例えば トヨタ、ま、記憶に新しいというかなりあの影響大きかったですけど、これはそもそものきっかけは はい。 これね脆弱性を疲れた感じでしたんで、どういった自動車本体かっていうと違うんですよね、これね。 はい。 これ、えっと、そうか。サプライチェーンですよね。あの、取引先のところから入ってい [音楽] う。そうです。ま、ただ一応トヨタのグループのあの IT の会社さんが多分それ作ってたはずですね。 うーん。で、これどういう形で結局解決したかと言うと、この時はどうやって、ま、止まっただけでデータ、あの、漏洩してなかったみたいなので、ま、あの、全部止めてバックアップから復旧させた。 でもあのが止まったりしてね、それはそのまま業績にも跳ね返ってくるっていうこと。 そうですけど、結構短い時間で、ま、復旧してました。やっぱりトヨタグループのあの IT の会社がやってたので、ま、その辺りはある程度ベテランの方々なんですね。うん。うん。うん。 で、特にこういうシステムが生姜時に復旧させる技っていうのはちゃんとあのあったんてところで、ま、普通の素人の会社ではなくてちゃんと豊田系のところがしっかり見てたっていうのがポイントです。 はい。 神様病院もやられてる。 あ、ごめんなさい。えっと、医療病院か。あ、世紀総合医療と これ800 勝ぐらいのめちゃくちゃ大きな病院 で、あの実は被害を受けた後に会見があったんですけど、この会見に出てきた人がちゃんとセキュリティのことを分かってる人でした。うん。うん。 で、セキュリティもちゃんとしてた。実はその前年に大きな病院で被害があったので、ま、病院はランサムウェア対策ちゃんとしなきゃいけないよって時だったんです。でもやられちゃいました。 なんだなら この病院に入ってた 給職業者はい 要するに患者さんにあるその病院職を作ってる会社が乱ス感染してそこから入ってきたってことですね。 つまりてこの病院は手ぴだったでも入ってるまだったかどうかいじゃないです。結果としてはまちょっと鉄壁だったかどうかっていうところあるにしても食 そうですね。 そういう経路でってこともあるんですね、皆さんね。はい。 ただや病院もさっきのトヨタもそのなんて言うですか?システム自体がきちんとやっていたのにだからもう 防ぐっていうことはま、無理だと考えた方がもういいんですかね?その攻撃自体を防ぐっていうの? いや、そんなことないですよ。え、まあ、そのやっぱりやられる時には必ず原因があって、この乱差メアのやられる原因ってのはそんな、ま、 5個ぐらいしか実際ないんですよ。 へえ。 ですから、ま、それだけ全部やっておけば、あの、防 防ぐこともできますし、やられた後の復旧も、あの、え、大体 1 週間以内に本当は終わるんですけど、ちゃんとバックアップは取っても戻す練習をしてなかったに 戻せないっていうのが、 時間がかかる原因なんですよ。あ、自分のところから持ってかれました。で、別のとこにバックアップあったんだから、それ戻せばとりあえずは復帰できるはずなんだけど。 [音楽] あ、ですね。うん。 ここの戻す練習 もありますし、あとバックアップもね、あの、暗号化されるような状態で落ちたりするんですよ。 あ、それをまず あの、ほぐしとくるから。 そ、そうですね。は、 それもちゃんと考えてバックアップを取ってれば大丈夫だったんですけど。 そう。もう2030 に色々考えないとダメなんですね。 まあ、そうですね。フェールセーフってことね。 うん。うん。ま、でもセキュリティ全般考えるよりは結構少ないですね、やるべき項目は。 うん。 さて、こうした被害を防ぐためのパスワード、これが非常に重要だということなんですが、今年になって新たな指針が示されました。 アメリカ省参加の国立標準技術技術研究書が改定したパスワードのガイドラインでは パスワードは最低15文字の長さが必要で 数字大文字記号などを混在させる必要はない など従来の基準から大きく変わったものとなっています。これないんですね。必要ない。 こっち側はあまではこういうことがよく私たちもあの接する最低何文字でやってください。 大文字入れてください。記号入れてくださいみたいなのがこれは 基準っていうのはなんて言うんでしょうかね?これ事業者が アメリカ政府が政府標準の基準としてやるから、え、お前ら出入りの業者もちゃんとやれよっていう基準です。ガイドラインですね。 こ、こっちがその新しい新しい。そうですね。 まず1 番をみんな普通の人がびっくりするのは定期的変更です。 ここですよね。 だってこう豆に変えてくださいねって色々いいんなとこで言われますけど、 これはっきり言いますけど定期的変更してくださいなって言ってるあなたの会社のシステムは時代遅れです。 めちゃくちゃ甘いです。 そうなんですよ。 なぜかって言うと、定期的に変更しろってどうしますか? 単純なパスワードを覚えててそれを 12345をつけたりして切り替えて 確かにどんどんどんどん回したりとかなので定期的変更すればするほどは定期的変更しろって言えば言うほど利用者は単純なパスワード使っちゃうんですよ。 うん。確かにですよ。言わればそう なので実はもう数年前から日本の総務省もこれダメて言ってますし、今回は強くニストっていうこの、 え、国立標準研究所がですね、要求してはならない強くユーザーに対して そうですね。 要求してはならない。 ま、大体ね、定期変更要求してるところは、え、最後のパスワードが全部日付けたんですよ。 [笑い] 月とか日付けたんですよ。 本当そうです。 250と。 そう、そう、そう、そう、そう。そっか。 そうなことばっかりやってるのでじゃあ予測できちゃうから、ま、やめようと。 これはどうなんですか?だから文字数と えっと、その上がポイントですね。 文字種のよくありますね。大文字入れてください。声を入れてください。あれをやるために覚えらんないか。え、めんどくさいから。じゃあ後ろにクエスチョンマークつけちゃいとか、後ろに大文字の A だけつけちゃい単純化するんです。うん。うん。 でもそんなことするよりもですね、 1 文字増やした方が組み合わせが増えるんですよ。 そうなんですよ。 あのあ、 それがこっちだっ。 そうですね。 そうです。8文字で記号を入れるよりも 9 文字でアルファベットと数字だけでいいです。 へえ。 ま、でも15文字欲しいですよ。 桁数が増えるっていうことがいいってこと?桁数って文字数。え え、ま、あの、え、相当たりでやる時に文字数が多いほど時間かかるんですよ。 あ、 ですから15にしてるんですね。 そうってのはあのハッカーの皆さんがこのパスワードを割り出すための時間。 そうですね。その時間です。あの物によると本当にすぐできちゃうものもありますが 15 だはねかなかなか時間かかって終わないですね。 はあ。 そこでそんな差が出るもんなん かなり出ますね。 え、今なんかでもほらスワード自体を作ってくれるは 考えてくれるなんて言うんですか?アプリだったら パスワード管理ソフトもしかあれはとてもよろしいかと思いますよ。 いいんですか? はい、いいと思います。 覚えられないのがきっと来ちゃうと思うんですけど。 えっと、覚えなくていいんです。 じゃ、どうやって保管すればいいんですか? ま、クラウドに保管されてるのが 1 番多いんですが、ま、そのアカウントが侵入されない限りはクラウドで保管してもいいですが、ま、ちょっと怖かったらバックアップを取る方法もありますので、そのデータをバックアップ取っていただくのもよろしいかと思いますね。 亀さんはどうやったら、 あ、それ、それが理想です。まず、あの、記憶するという概念が古いです。 うん。記憶しようとするから単純になる。 そうですね。 この先クってなっ端してます。 自分でも覚えられないようなことはパスワードにしちゃダメなん。あ、違うわ。自分で覚えられる範囲のことはパスワードにして意味がない。 [音楽] そうです。 で、それでもちろ、あの、パスワード管理ソフトでクラウドで保存ってのが一番ベストです。ただそれは有料だったりおじいちゃんおばあちゃん使えなかったりするので私が言ってるのは最後は紙にメモで結構です。 そうですね。 紙にメモしてでも 1 個ずつ別々のパスワードにするってことを最優先なんです。 あ、 そうか。 ま、そうですね。え、1個のパスワードを 15 桁作りました。よし、できたぞ。紙に変えたぞけどそれ使い回してもちろんダメだ。 使い回すのが1番ダメなんですよ。1 個ずつ別々にすることが最です。これは あの、これ変な話。絶対入れちゃいけないものって。 例えば名前とか誕生日とかって言うとなんか自分のがバレそうでだんだん怖くなっ ま多分それ言うだけで僕はパスかっちゃうね。杉 さんに見抜かれますがそういうのはやっぱ入れない方がいいです。 そう入れちゃいけないリストっていうのがこの次にありましてブロックリストってんですよ。で、過去に漏洩のあるパスワードは使わないでください。その過去の漏洩っていうのは全世界の人が漏洩させたパスワードとは使わないでください。 そういうリストがあるわけです。 あります。あります。何億ってのはあります。 はあ。 で、それとたまたまやつ作っちゃ、パスワード作ったとしても、それは使わないでねっていうのが今もうガイドラインになってる。 うん。 そうなりました。 は。はい。 さっきのこの新しいパスワードのこのガイドラインですけど、未だにね、この私たちがどこか新しいパスワード登録しなきゃいけない時に うん。 大文字入れてくださいとか記号入れてくださいとかこの文字数でやってくださいって言われるのもあってまだ必ずしてもこれて新しい基準が徹底してないっていうこと そうです。この新しい基準はアメリカで作られたものですし、ま、そもそも基準の銀行さんとかネット証券がなかなか応じないんですね。で、これで言ってるのはこの右側の新しい基準をみんな運営側がやれよって話ですね。 銀行とか企業だったりのログインの仕組みはこれにしましょうと。ただ我々は結局今目の前にあるサイトは左の古いと そうそうそうそうそう。それには応じるを得ないです ね。だってこっちで私たちだけ新しい基準で入力したいと思ってもう ここで弾かれた。 そうですね。受け付けてくるんです。 だから日本のその日本に限らずですけど 1 刻も早くこっち側の基準に乗っってやってもらいた。 そうです。こっち側の基準の方が安全になるのでってことですね。 なるほどね。そうした中で高一総理はサイバーセキュリティを 17 分野重点投資対象の中に重ねています。 これに対する期待なんですが、杉浦さんいかがでしょうかね、この。 そうですね。ま、あの、ちゃんと投資していただければある程度やっぱり教授にできますので期待はしておりますね。で、ま、私もセキュリティ関係の業界にいますので、その投資が増えばやっぱりあの、お金をかければかけるほどある程度は強くなってきます。 どういう風にこれあの具体的な投資が必要になってくるんですか?この一般的なサイバーセキュリティへの投資と言われても そうそうですね。ま、あの当然新しい機会買えばいいっていうわけじゃありませんでして、ま、現状弱いところをちゃんと見つけてそれを対応していく体制なんかを作るっていうのが実は一番重要なんですね。 特にやっぱり侵入されてあの原因っていうのは性と言われる弱い部分ですのでそれをいち早く直していくっていうサイクルを組織内で作るっていうのが あのやっぱり1番重要なんですよ。 それができてればおそらく 9割ぐらいは侵入できないです。 それってもう簡単なし新しい機会を例えばもう入れてしまうとかそういうのでも結構改善できるんですか? ま、古すぎるやつはやっぱりサポートが切れてるのでやっぱ新しいやつ入れないとダメですね。 ま、そういうあの、え、ま、ローテーションっていうのは絶対必要です。古いもの続く、近い続けるとさすがにあの、いつやられてもおかしくないないなってしまいますんでね。 うん。 企業やね、その大きな組織やそういう対策求められるんですが、私たちレベルにまたもう 1 回立ち戻って上さん、あの、パスワードじゃあどこにどう、 どういう風に保存していたらいいのか。 はい。あの、パソコン、ブラウザとかパソコンとかスマホ、あれが覚えます、今。 で、あれに覚えさせるのはオッケーです。 あ、大丈夫なんですか? 大丈夫です。もちろんウイルス感染したらダメでしょって言うんですが、ウイルス感染するリスクと、 えっと、自分で覚えてう覚えで同じもの使っちゃうリスクがこんなに下がるんですよ。 うん。 だ、なんでどリスクがなるべく小さい方取るということで 記憶端末に記憶させるのはあり ありです。全然問題ないです。 ま、あとはそのバックアップ、我々個人でも、ま、データなどを取って 物理的に話すもの要するにインターネットに繋がってない、パソコンに繋がってない、物理的に話す、例えば外部のメモリーを外に置いとくっていうような保存した方がいいと思います。 そうですね。 あと手書きってさっきおっしゃいましたけど、そういうこと、 そうですね。やっぱり金融とかは重なところはやっぱり手書きにした方がまだ安全です。 あとね、あの、個人のパスワードと会社のパスワードで絶対分けてください。例えば個人のところでウイルスに完成しまいますと、え、会社のデータもパスワードも漏れてしまいますので、ま、 ですから、ですの、絶対仕事と家庭は分けていただくのが、 パスワードのその分けた、パスワード管理の部分ですね。そのログインするとこ分けていただくといいと思います。 そういうところで、あの、1 つの穴を大きくしないという そうですね。1 つやて仕事に影響出さないっていうのも重要です。 確かに。 大変勉強になりました。 杉浦さんと三さんは今夜ここまでとなります。お二方どうもありがとうございました。ございました。 ニュースをお伝えします。アメリカの経済フォーブスによる世界で最もパワフルな女性 100人が10 日発表され、高一総理大臣が 3位に選ばれました。 フォーブスは高一総理についてGDP国内 総生産4兆2000億ドル規模の国家日本 を率き入いる初の女性首相と紹介しました 。そして反動体供給猛の維持や防衛力の 再編、人口構成の変動など多くの課題に 対応する重要なカジ取りを任されたとし、 その決断は東アジアのパラパワーバランス と世界の製造業の安定につがると分析して います。主囲は4年連続でEUヨーロッパ 委員会の本デアライ長で2位はヨーロッパ 中央銀行のラガルド総裁でした。 パワフルな女性。 パワフルな女性。高一総入りましたね。 ね。あのランキング見たら日本人の女性って高一さんだけらしくて もっとね。 入っても光るべき人がいるんじゃないかという気を私はいたしましたけどね。 うん。女性多いと思いますけどね。 ただパワフルで言うとですね、今日のパスワードの話含め でも私これ気になったんですが、 あの総理たちもね、このパスワードとかもどんな風に管理されてるのか 1番 だってね、 こう侵入されたらまずいじゃないですか。ま、大統領もそうです。 高総理は自分で色々調べ物したり勉強したり多分色々答弁手を入れたりっていうね、聞かれますからていうことはそれなりに何かいじってるわけですね。パソコンなりなんなり。 そう。うん。うん。 パワフルなパスワード使ってるかどうか。 パフパス パワフルない。パワフルなパスワード使わないと 国家機密がそういうこと 抜かれちゃったりとか。 でも途中であれですよね。上野さんは自分のパスワードがパワフルなのかどうかんか心もない。心もなくなってありましたよ。はい。そう。あの色々聞いてるうちに杉浦さんにパスワードを見抜かれそうになってうん。 どうと思いました。 杉浦さんなんかあれですってメールあじゃない。 名刺を1枚人からいいて はい。 よくよく観察すると色々パスワードが分かっちゃうぐらいの時があるって。 うん。 どういうことなんですかね? あの、メールアドレスとかここ書いてあるやつとかなんか色々ヒントになる部分があるらしいですよ。 へえ。なんかね、そのそういうことを悪用して 本当に 悪用してですよ。お金を取るような消しでそれがもうそういう組織になっていて、 もう集またお金をこう分配するシステムまでです。 [音楽] もしっかりできてるってところがね、もう本当に驚きです。 [音楽] うん。ただこれだけインターネットがね、サイバー空間のお話してて、最後はね、紙で保管しててもいいって言われて今野藤さんがすごく安心されて [音楽] 大変心強い 印象です。 毛が書きが1番はい。 さて、明日のインサイドアウトは高一の責任ある積極財について伺っていきます。 では失礼します。 [音楽]