Twitterでフォローをしていない鍵アカウントのFacebookアカウントを10分で見つけた話。

どもどもにゃんたくです。

今回は、「Twitterでフォローをしていない鍵アカウントのFacebookアカウントを10分で見つけた話。」というほんとうにあったほんのちょっと怖い話をしていきたいと思います。

気になるところから読んでみてください＼(^o^)／

はじめに

SNSサービスを複数使用するなんて当たり前の時代になっていますよね。
僕もいくつかSNSサービスを利用しています。
もうSNSがリアル（現実世界）と切っては切れないものになっていますよね。

今回はそんなSNSでちょっとだけ怖いなって思った話をします。
これから書く内容は、非常にグレーな話です。
しかしながら、こういうことが実際にできてしまうという警告をしたいと思い、書いてみることにしました。
今回は主に「Twitter」を主軸にして話をしていきます。
※なお、今回特定したアカウントの方は僕の友人の知り合いの方でした。また今回ブログにこの内容を載せる旨も了承していただきました。協力していただきありがとうございました。

みなさんに聞きたいこと

まず、みなさんに聞きたいことがあります。

「あなたは自分の名前、経歴をインターネットで調べられて、特定されても大丈夫ですか」

大丈夫と思う方はここから先読む必要はありません。お疲れ様でした。
大丈夫じゃないと思う方はこの先お付き合いのほどよろしくお願いしますね。

というかそもそもインターネットで個人を特定されると何か悪いんでしょうか。
特定されたとしても名前や経歴を勝手に使われる、SNSに載せた写真を使われる、くらいですよね。
しかもそれは「可能性」の話ですので、使われないというパターンもあります。
別に気にするほどのことでもないかもしれませんが、自分の知らないところで使われるって良い気持ちはしませんよね。

また、自分が意図せずアカウントが炎上してしまうコトも多いのが現実です。
起因が自分だけじゃなく自分の友人が炎上して飛び火するというコトもあると思います。

SNSを使うことは悪いとはまったく思いません。
でも、SNSの危険性も知っておく必要があると僕は思います。

今回のお話

まずは今回のブログ題名についての経緯について書いていきましょう。
ある日のこと、知らない鍵アカウントの方にフォローをされました。
普段なら気にしないのですが（Bot系やアダルト系にフォローされることもあるので）、
プロフィール欄がわりと詳細だった（ハンドルネームは実名ではなかった）のと、
プロフィール内容をひと目見た瞬間に「あ、これ僕の友人の知り合いじゃないか」と感じたのがきっかけでした。
まず僕の友人にそのアカウントについて聞いてみたところ間違いなくその友人の知り合いの方だということがわかりましたが、ふと「これ実名わかるかもしれない」と思い友人にその知り合いの名前を聞かずに当ててみることにしました。

具体性を増すため、ある架空のアカウントを用いて説明していきます。
もしかしたら途中でみなさんだれかわかるかも知れませんよ。（もちろん架空ですが）

では、こんなアカウントがあったとしましょう。

@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
ハンドルネーム：やがぬ
TwitterID：＠ihaveappooo(※2016年11月現在IDは存在しておりません)
プロフィール：神になりたいお年頃～＼(^o^)／/大国学園高卒/東応大3年/シスコン/
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@

まず、自分がフォローしてない鍵アカウントのためツイート内容は見れません。
ですので、まず検索欄で「＠ihaveappooo」を含むツイートを調べてみました。
すると何人かの鍵のついてないツイッタラーとTwitter上で会話してることがわかりました。
その何人かの鍵のついてないツイッタラーの会話の内容を見ていていくつか気になるツイートを見つけることができました。

Aさん「＠ihaveappooo　大学の授業は大変だと思うけどがんばってね、やがみん！」
Bさん「＠ihaveappooo　らいとー、帰りにリンゴ買ってきてくれないー？よろしく。」
（※もちろんこれらは実際につぶやかれてた内容と同じではありません）

Aさん、Bさんのツイート内容で気になったのは、そうその「呼び方」です。
『やがぬ』というハンドルネームでは呼ばず、ちがう呼び方で呼んでいることがわかりましたか？
ではそれらから想定される名前、、、そう「やがみ　らいと」という氏名が想定できるはずです。
しかしながら、苗字は「矢上」「八神」「矢神」、、、名前「来人」「雷斗」、、、どれかわかりません。
そこでFacebookで「やがみ　らいと　大国学園高校　東応大学」と調べてみました。
すると1件自分の知り合いの知り合いというアカウントを見つけることができました。
その氏名は。。。。。。

「夜神　月」

勘の良いみなさんならこの人物の氏名が途中でなんとなくわかったのではないでしょうか。
今回はあえてキr…夜神月を例に挙げてみましたが、実際にFacebookでアカウントを見つけるまでの流れはこれとまったく同じです。
そしてこのFacebookのアカウントを見つけるまでだいたい10分くらいでした。

さてさてさて、今回のこのことからわかったこと。そして気づいたことをまとめてみました

こんなプロフィールは気をつけよう

Twitterのプロフィールについて、こんなプロフィールじゃいきなり悪用や特定されるよってトコロをまとめました。

□ハンドルネームが実名である
□プロフィールに所属してる（してた）ところが書いてある（例：会社名や学校名）
□アイコンが自分の写真である（自撮り、他撮り含め）

当たり前だろ！！！って思った人もいると思いますが、実際そうです。
ちなみにこの項目で実際に母校の中高の現役学生を探してみたところ、すぐに数人のアカウントが特定できました。

こんなツイート内容には気をつけよう

プロフィールに個人的な情報を載せなくても、特定されてしまう場合があります。こんなツイート内容は気をつけてみましょう。

□フォロワーを実名や実名が推測されそうな名前で呼ぶ
□所属している会社や学校が明らかに判明してしまう写真、もしくは会社や学校から撮った写真を載せる
□同じ場所からの写真を定期的に載せる

2番目や3番目に書いた内容は良く聞く話かと思います。
特に伝えたいのが1番目です。僕が今回アカウントを見つけることのできた方法のひとつでもあります。
実は結構盲点なんじゃないかと思っています。

その他ちょっとしたセキュリティ対策をやってみよう

今回の内容とは少し話が逸れますが、「アカウントを乗っ取られる、不正にログインされた」というニュースが報道されることがしばしばあります。
アカウントを乗っ取られて某メガネ会社の広告ツイートがフォロワーからいきなり飛んできたなんてことを経験した方もいるかと思います。
乗っ取られないようにしたい、アカウントが特定されにくくしたい等いくつか方法をまとめてみました。

①他のSNSやアカウントサービスで利用してるID、パスワードを同じものにしない

コレ、同じにしてしまうと芋づる式にどんどん自分のアカウントが乗っ取られてしまいます。
もちろん難しいパスワードを設定することもオススメしますが、なかなか難しいパスワードって考えるの大変じゃないですか？
なので、まずはパスワードを使いまわさないことをオススメします。

②パスワードは自分の生年月日等の第三者から推測されやすそうなものはやめよう

芸能人のSNSが乗っ取られた等のニュースを見ていると、パスワードが生年月日や名前を模した設定にしていたということが原因の場合がしばしばあります。

今回のようにFBのアカウントが特定された場合、アカウント設定で生年月日が外部公開されていて、かつ生年月日がパスワード等になっていた場合速攻でTwitterはログインされてしまいますよね。そういったことが起こらないように、外部から推測されにくいものを設定しておくことをオススメします。

③2段階認証を設定してみよう（Twitter、Facebookどちらも推奨）

アカウント登録に自分の電話番号を登録する必要がありますが、
自分以外の誰かがログインしようとした際に「ログインしようとしてる！」ということが一目瞭然でわかります。
ただ、このデメリットとしては自分が例えばいつもと違うブラウザや端末からログインしようとした時に、
手元に登録した電話番号のスマホがないとログインすることができません。
（※バックアップコードを使ったログインなど、スマホが無くてもログインする方法もありますが）

④公開範囲を決めよう

【Twitter】
正直Twitterの公開範囲は「鍵をつけるか、つけないか」しかないと思います。
そして大げさかもしれませんが、鍵をつけないということは「全世界の人に自分のツイートが見られている」と言っても過言ではありません。
自分のツイートはあまり知られなくない、友達だけに見せたいと思うのなら、鍵をつけることをオススメします。

【Facebook】
今回僕がFacebookのアカウントを見つけた原因の１つが、そのアカウントのFacebookプロフィールの設定が「外部公開」されていたという点です。
Facebookでは自分のプロフィールや投稿内容の閲覧設定を個々に設定することができます。
例えば、中高大の知り合いには見つけて欲しいから中高大の経歴は外部公開にしたいけど、今の勤務地は外部公開したくない、などという設定をする事もできます。
もちろん全て外部非公開にする事も可能です。
この設定のレベルは個々で違うと思いますので、今一度自分の情報をどこまでの人達に、どこまで公開するかを考えてみてください。

⑤メンションを飛ばそう

これはちょっとまた毛色が違う話ですが、Twitterでフォローしたり、Facebookで友達申請をすることってありますよね。
でも送った相手に気づかれない、怪しまれるなんてこともあるかと思います。
そのときは一言でいいので、
Twitterであればフォローしたというリプライを送る、
Facebookであればメッセンジャーで友達申請した旨を伝える、ということをするといいかもしれません。
ただし、逆にこういったメンションを送られたからといっていきなり「そうですか」と許可するのも危険な場合もあります。
ですのでまずは1往復くらいはやり取りしてみてから許可する、というのも良いかもしれませんね。

おわりに

まずはここまで読んでいただきありがとうございました。

今回の内容で少しでも自分のアカウント管理について考えてみてくれたなら幸いです。

そして1つでも何か対策をしてくれたなら、僕はこのブログを書いて良かったなと感じます。

一人ひとりの対策が、みんなを守る対策につながります。

ではでは(´ε｀ )

2016年10月に起こったセキュリティニュースのアレコレをまとめてみた。

どもどもにゃんたくです。

日々Twitterやニュースサイト、ブログなどでセキュリティ情報を収集したりしているのですが、せっかくなので10月に起こったことを僕視点でまとめてみました。

10月のセキュリティニュースを知ったかぶりましょう。笑

「僕視点」なのであしからず。（大事なことなので2回言ってみた）

DNSサーバBINDの脆弱性について

【概要】
ISC BIND 9 にサービス運用妨害 (DoS) の原因となる脆弱性が存在するという問題。

▼ISC BIND 9 サービス運用妨害の脆弱性 (CVE-2016-2776) に関する注意喚起

　http://www.jpcert.or.jp/at/2016/at160037.html

【対象】

　9.9系列 9.9.9-P2 より以前のバージョン
　9.10系列 9.10.4-P2 より以前のバージョン
※既にサポートが終了している ISC BIND 9.0系列から9.8系列においても本脆弱性の影響を受ける

【対策】

修正バージョンの適用
　BIND 9 version 9.9.9-P3
　BIND 9 version 9.10.4-P3

【参考情報】
※JVNVU#90255292: ISC BIND 9 にサービス運用妨害 (DoS) の脆弱性

※CVE-2016-2776 - 脆弱性調査レポート | ソフトバンク・テクノロジー

▼ISC BIND 9 サービス運用妨害の脆弱性 (CVE-2016-8864) に関する注意喚起

　http://www.jpcert.or.jp/at/2016/at160044.html

【対象】

　9.9系列 9.9.9-P3 より以前のバージョン
　9.10系列 9.10.4-P3 より以前のバージョン
　9.11系列 9.11.0
※既にサポートが終了している ISC BIND 9.0系列から9.8系列においても本脆弱性の影響を受ける

【対策】
修正バージョンの適用
　BIND 9 version 9.9.9-P4
　BIND 9 version 9.10.4-P4
　BIND 9 version 9.11.0-P1

【参考情報】
※JVNDB-2016-005674 - JVN iPedia - 脆弱性対策情報データベース

Linuxカーネルの脆弱性『Dirty COW』について

【概要】
Linuxカーネルのメモリサブシステムに実装されているcopy-on-write機能存在する脆弱性を攻撃者に悪用され、
ローカルユーザからroot権限を取得される問題。

【対象】
Linux Kernel 2.6.22 および、それ以降の以下のバージョン
・Linux Kernel 4.8.3 より前のバージョン
・Linux Kernel 4.7.9 より前のバージョン
・Linux Kernel 4.4.26 より前のバージョン
なお、この脆弱性を利用するためには、システムにログインできることが前提条件とのこと。（※下記ソフトバンク・テクノロジー調査レポートより抜粋）

【対策】
パッチの適用
Linux カーネルでは、対策版として
・バージョン 4.8.3
・バージョン 4.7.9
・バージョン 4.4.26
がリリースされている。

【参考情報】
※JVNVU#91983575: Linux カーネルのメモリサブシステムに実装されている copy-on-write 機構に競合状態が発生する脆弱性

※CVE-2016-5195 - 脆弱性調査レポート | ソフトバンク・テクノロジー

IoT機器を踏み台にするマルウェア「Mirai」によるDDoS攻撃が発生

【概要】
攻撃者によりマルウェア「Mirai」に感染したボットネットを使用され、DDoS攻撃が行われた問題。

【攻撃事例】
▼2016年9月20日夜（米国時間）、米セキュリティ情報サイトの「Krebs on Security」へのDDoS攻撃

▼2016年10月21日昼（米国時間）、米DNSサービスを提供するDynのManaged DNSインフラやManaged DNSのプラットフォームへのDDoS攻撃
　→TwitterやNetflix、Reddit、Spotify、Box、Pinterest、PayPal、PSN(PlayStation Network)にアクセスができなくなる状態が断続的に発生した

【Miraiボットネットとは】
・家庭用ルータ、ネットワークカメラ、デジタルビデオレコーダといったIoT機器に感染してボットネットを形成するマルウェア
・ソースコードは公開されたため、亜種等は今後増加する可能性あり
・IoTデバイスのデフォルトのユーザー名とパスワードの組み合わせ62種類を利用し、デフォルト設定のIoT機器を見つけると感染させる仕組み
・感染した端末の挙動としては、2323/TCP および 23/TCPを使用しTelnet接続する。また48101番ポートを使用した定期的な通信あり

【対策】
▼Miraiに感染した場合
①機器をネットワークから切り離し、再起動する。（再起動することで削除されます）
②機器のパスワードを強固なパスワードに変更して、ネットワークに再接続する。（パスワードの変更を行わずに再接続すると、再感染します）

▼Miraiに感染しないようにする場合
・機器のパスワードを強固なものに設定する（初期設定のままには絶対にしない）
・最新のパッチを適用する
・UPnP (ユニバーサルプラグアンドプレイ) 機能を無効化する
　※UPnPとは→http://e-words.jp/w/UPnP.html

【参考情報】
※JVNTA#95530271: Mirai 等のマルウェアで構築されたボットネットによる DDoS 攻撃の脅威

※インターネット観測結果等(平成28年９月期)（警察庁）
　http://www.npa.go.jp/cyberpolice/detect/pdf/20161020.pdf

※Linux IoTデバイスを狙う「Mirai」ボットネットの拡散とDDoS攻撃に注意 | マルウェア情報局

※ニュース - DNSサービスの「Dyn」に大規模DDoS攻撃、Twitterなどが影響受けダウン：ITpro

Rig Exploit Kitを用いた攻撃が急増

【概要】
Internet Explorer および Adobe Flash の脆弱性を悪用するRig Exploit Kit（Rig 脆弱性攻撃キット）を用いた攻撃が急増

【Rig Exploit Kitとは】
・ Internet Explorer および Adobe Flash の脆弱性を悪用し、 ランサムウェア「Ursnif（別名：Locky、Gozi、Snifula、Papras）」 などのマルウェアをダウンロードさせる
・ Neutrino Exploit Kit やAngler Exploit Kit の誘導元として悪用されていた Web サイト等に誘導される
・誘導元のページではWordPress で運用されている Web サイトが観測されているとのこと

【対策】
・IEやJava、Adobe Flashを適宜アップデートする
・不審なメールに添付されている添付ファイルや添付されているURLを開かない
・アンチウイルスソフトの導入

【参考情報】
※IIJ Security Diary: Rig Exploit Kit への誘導サイト拡大に関する注意喚起

※【セキュリティ ニュース】エクスプロイトキット「RIG」が活発 - 国内サイト経由でランサム誘導（1ページ目 / 全2ページ）：Security NEXT

大学を狙ったサイバー攻撃（情報漏えい）が複数発生

【概要】
不審なメールから大学関係者へのサイバー攻撃（情報漏えい）が複数発生

【攻撃内容】

▼メールにファイル（マルウェア）が添付されており、その添付ファイルを開封したことによりPCがマルウェアに感染し、個人情報や研究情報が漏洩した

※富山大学水素同位体科学研究センターに対する標的型サイバー攻撃について

https://www.u-toyama.ac.jp/news/2016/doc/1011.pdf

※富山大学 水素同位体科学研究センターへの不正アクセスについてまとめてみた - piyolog

※富山大学 水素同位体科学研究センターへの攻撃に利用された通信先調査メモ | (n)inja csirt

▼メールにフィッシングサイトへのURLが貼り付けてあり、そのURLにアクセスしID、パスワードを入力したことでログイン情報が盗まれ、個人情報が漏洩した

※【セキュリティ ニュース】フィッシング被害で個人情報が漏洩 - 関西学院大（1ページ目 / 全1ページ）：Security NEXT

※セキュリティのニュース報道を見て感じたコト～関西学院大情報漏洩ニュース～ - にゃんたくのひとりごと

国家資格「情報処理安全確保支援士制度（RISS）」がスタート

【概要】
新しいセキュリティ国家資格「情報処理安全確保支援士（Registered Information Security Specialist）」がスタート

【情報処理安全確保支援士とは】
組織における情報システムの企画、開発、運用のほか、調査や分析、評価など、セキュリティ面から支援し、指導や助言などを行う人
※通称は「登録情報セキュリティスペシャリスト」

【RISSの概要や登録方法】

サイバーセキュリティ分野において初の国家資格となる「情報処理安全確保支援士」制度を開始しました （METI/経済産業省）

登録方法はこちら→IPA 独立行政法人 情報処理推進機構

10月はこれくらいでしょうかね！みなさん知ったかぶれそうですか？( ^ω^ )

僕も書いていて、あんなことや、そんなことあったなぁって思い出しましたよ。

以上です。

ではでは～(・ω・)ノ

「あなたのセキュリティ対応間違っています」辻 伸弘 (著)を読んでみた。

どもども、にゃんたくです。

なんだかハロウィンを境に一気に冬が押し寄せてきた感じがありますね。さむいよ！

というわけで温かい飲み物でも飲みながら皆さんに読んでいただきたい本について今回は書いていきます。

あっ、本の具体的な内容には触れません。

本当にただこの本を読んだ僕の感想だけを書いているのであしからず。

coin.nikkeibp.co.jp

「あなたのセキュリティ対応間違っています」という言葉を聞いて、たぶん下記パターンのどれかをみなさんは感じるかと思います。

・間違っているか、間違っていないかわからないな、不安だな。
・間違っているわけないだろ！
・そもそもセキュリティ対応ってなに？

では、この中でどのパターンの人に読んでほしいか。

正直全部です。
たぶん1000％ですけど、この本を読んで「全部知ってた」と胸を張って言える人は一人もいないと思います。
それだけ内容が「濃い」です。
ただ、読みやすい書き方、図の多さがその「濃さ」を感じさせず、セキュリティ初心者の方でも非常に読みやすい本になっていると感じました。

さてさてさて、いきなりですが僕が辻さんと一番最初に出会ったのはこの記事でした。

イケてるセキュリティ男子に、俺はなる！―ソフトバンク・テクノロジー　辻伸弘さん
http://enterprisezine.jp/iti/detail/5777

enterprisezine.jp

ちょうどこの記事が公開された頃、僕は就活中で、いくつかの企業の面接で「セキュリティの仕事がしたい（なんかイマドキだし）」等と話していたりしました。

就職活動も進み、とある企業の二次面接を受けていたときのことでした。

いつもと同じようにセキュリティ関連の仕事がしてみたいと言ったところ、たぶんその面接していただいた方々のなかでも一番えらそうな方がこんなことを僕に聞いてきました。

「セキュリティの辻さんという方を知っていますか？」

正直、僕は当時辻さんをまったく知りませんでした。

素直に「知りません」と答えると、「必ず知っておくように」と言われ、その面接は終了しました。

その帰り道、面接での緊張がやっと解け、面接内容どんなだったけかなと思い出したときに、「あ、そういえばセキュリティの辻さんって人が有名らしいな、ググってみるか」と調べた結果、たどり着いたのが上記の記事でした。

はじめてこの記事を読んだときに、こんなイケてる人がこの世にいるんだ！！イケてるセキュリティ男子とかかっこいい！！でも、an･anはねぇだろ！！と思ったことはいまだに覚えています。

まさか本当に辻さんがan･anの特集に載る日が、この2年後に来るだなんてこの時誰が信じていたでしょうか。

残念ながら、その企業から僕は「お祈り」されてしまいましたが、良いことを教えてもらったと本当に感じています。
その後、辻さんの連載記事やブログを読んでみて、知識があまり無い僕でもわかりやすいものばかりだと感じていました。
そして仕事をはじめて、わからないことがあって読む記事もなぜか昔読んだことのある辻さんの記事だったりして、、、いつでも、何度よんでも勉強になるなぁと不思議に感じています。

おいおいおい。
本の感想じゃなくて自分の昔話じゃねぇかよ。

（まぁそんな荒ぶらないでくださいよ笑（誰に言ってんの？））

つまり、辻さんの書いたものって、初心者が読んでも、ちょっと知識がある人が読んでも、上級者が読んでも、勉強になるということ。そしてそれが何度読んでも。

ではなぜそんなものが辻さんには書けるのか。

それは常にセキュリティ情報を追っかけて、

とにかくセキュリティが大好きで、

そして誰よりも「誰かのためになる」ことを常に考えているから。

僕はそう思っています。

この本はそんな辻さんの思いがぎゅっと詰まった本なんです。

辻さんの記事や連載がタメになるんだろ？

ネットとかで読める記事やブログを読めばいいんでしょ？

だって日経の連載のまとめでしょ？

この本を読まなくてもいいんじゃない？

って思う人もいるかと思います。

いえいえいえ、この本を読んで連載記事やブログ以外でわかることが1つあります。

それは辻さんの「人柄」です。

具体的には書きませんが、とにかくこの本を「はじめ」から「おわり」まで読んでみてください。
また、読み終わった後にこの本のAmazonレビューを必ず読んでみてください。
読みながら飲んでいた暖かい飲み物が冷めていても、たぶん心は温まると思います。

ちなみに僕はこの本を読み終わったときに、辻さんと出会えてよかったと心から思いました。

さて皆さん、読み終わった後、読んで身についたこと、面白かったなと感じたこと、自分だったらこう考えるなと感じたこと、本が面白かった、つまんなかった、とかなんでもいいので誰かに発信してみてください。

その一人ひとりの発信が、見えないだれかのセキュリティ対策につながると僕は思っています。

長くなりましたね。
ここまで読んでいただき、ありがとうございました。

ではでは。

あ、「わたしのセキュリティ対応間違っていました」って本をだれかが書いたら面白いかもね笑

あなたのセキュリティ対応間違っています

• 作者: 辻伸弘
• 出版社/メーカー: 日経BP社
• 発売日: 2016/10/21
• メディア: 単行本
• この商品を含むブログ (1件) を見る

 

セキュリティリサーチャーズナイト（騎士）に憧れて。

とんかつと掛けまして、セキュリティニュースと解く。

そのこころは、

どちらも「ソース（Source）」が大事でしょう。

どもどもにゃんたくです。

しょっぱなから変なこと言ってすいません。

さてさて。
２０１６年１０月７日にセキュリティ業界でこの人たちを知らないのはモグリだろ！といわれているお三方（※もちろんもっといますが）があつまってこのようなイベントが行われました。

connpass.com

※ナイト（Knight）ってコトで三銃士って言おうと思ったんですけど、セキュリティ三銃士（徳丸さん、根岸さん、辻さん）でマイナビセミナーを毎年行っていることを思い出しやめました笑

ちなみにこのリサーチャーズナイトの様子をまとめたtogetterはこちらです。

セキュリティ リサーチャーズナイト（2016年10月7日） 前半 #リサーチャーズナイト - Togetterまとめ

セキュリティ リサーチャーズナイト（2016年10月7日） 後半 #リサーチャーズナイト - Togetterまとめ

僕は仕事の関係で参加できなかった（というかイベント告知後すぐに満員、キャンセル待ち当たり前な盛況ぶりでしたが）ため、
当日は配信されていた動画を視聴していました。（まぁ仕事の関係で冒頭1時間だけしか見れなかったけど。。。）

実際に参加されていた、もしくは動画を視聴していた、あとからTogetterで読んでみた等で皆さんが感じたこと、学べたことはたぶんですが個々で違うんじゃないかと僕は思います。
どこがどう違うかって話はおいておきますね。

ここからはあくまでも僕自身が感じたこと、学べたこと、そして僕がいま「セキュリティ情報」について感じていることを書いてみたいと思います。

そもそもセキュリティリサーチャーってなんなんですかね。
単純に訳すと、Security Resercher＝セキュリティの研究者、になりますね。

研究者っていうとお堅いイメージだし、自分はなれないなぁと感じる人も多いと思います。
でも、セキュリティリサーチャーってなろうと思えばなれると思うんですよ！！！！（暴言）

はい、そろそろセキュリティ業界から消されそうですが気にせず書いていきます。ははは。

セキュリティ情報を集めていたり、記事やニュースを読んでいる人はたぶん沢山いると思うんです。
こういう人たちは、セキュリティウォッチャーだと僕は思っています。

あ、そうそうふと思ったんですが、「セキュリティ情報」ってなんなんでしょうか。
僕はこのように捉えています。

カテゴリとして大きく分けると3つなんじゃないかなぁと。

セキュリティリサーチャーやセキュリティウオッチャーになるにはこれら全てを把握する必要があるのか！！！
というかこれら全てを把握するためにはたぶんですが、相当の知識とセキュリティ業務の経験が無いと無理だと思います。

ではまずどうすればなれるのか。
まずは「知りたいと思えるものから知っていく」ことだと思います。
そんなんでいいのか、って言われると思いますが、僕はコレで良いと思っています。

たとえば、テレビや新聞で「A社が情報漏えいを起こした」という事件の報道を知ったとしましょう。
この時点で「セキュリティ事件・事故」の情報は知ることができましたよね。

次にこんなことを思うはずです。
「なぜ、起こったのか」
ソフトウェアの脆弱性を突かれたのかもしれないし、もしくは標的型攻撃なのかもしれないし、もしくは個人がUSBなどで情報を持ち出した、のかもしれません。
その原因を調べることで、「脆弱性情報・注意喚起」などの情報を知ることができますよね。

さて、次にこんなことを思うかもしれません。
「起こらないようにするにはどうしたらいいんだろう」
もちろん「脆弱性情報・注意喚起」で知りえた情報を元に対策をするというのもひとつの手です。
ですが、自分一人ではどうにもならない会社などのシステムはどうでしょう。
自社が現状大丈夫かをセキュリティ診断してもらおう、とか最新のFWやIPS,IDSを導入してみよう、と考え調べると思います。
これで「セキュリティサービス・セキュリティ製品」についても知ることができましたよね。

つまり、セキュリティ情報って実はつながっているんだ、というコトなんです。

えらそうにこんなコト書いてますが、僕自身セキュリティはおろか、ネットワークの知識もまだまだ十分といえない状態でセキュリティのお仕事をさせていただいています。
だからこそこういうストーリー仕立てで知識をつけていくのが一番手っ取り早いのかなぁなんて思いながら日々の業務を行っていますよ。

さて、セキュリティ情報がいったいなんなのか、セキュリティ情報をどう知るのかを書いてきましたが、ここまではあくまでも『セキュリティウォッチャー』の話。

ウオッチャーとリサーチャー、の違いはいったい何なんでしょうか。

これは、一言で言えるんじゃないでしょうか。
ずばり、『発信するコト』です。

発信する、ということが最近の世の中パッとできる時代になってきています。
このようなブログや、Twitter、FB等のSNSを使って発信することってすごく簡単ですよね。
じゃぁ、知ったニュースや情報をTwitterでつぶやけばいいんだ！と思ったでしょう、そうでしょう。
正直非常に良いことだと思います。その情報を知らない、もしくは知れないひとに教えてあげる、伝えてあげるってなんか世の中幸せになりそうな感じしません？？？
会社員であれば、知った情報を社内で展開するとかどんどんすればいいと僕は思っていますし、僕も現在そんなことを社内でしています。

「そんな情報知ってるよ」とか言われるコトもありますし、「知らなかった、ありがとう！」と言われることもあると思います。あきらめずにガンガン発信していきましょう！！！！

ってここまで出来てやっと「にわかセキュリティリサーチャー」になれたんじゃないかって思ってます。

「にわか」がとれるかとれないか。
それはずばり、『相関して、発信するコト』ができるかどうかだと思います。
さっきの『発信するコト』は、あくまでも自分主体、主観が自分ですよね。

相関して発信するということは、
・伝えたい先が「何を知りたいか」「この情報がなにに役立つか」を考えてみる
・知った情報を組み合わせて、こんなことが起こるかもしれない、こんなことが実は起こっているかもしれないということを予測してみる

これらを論理的に考え、伝えられるかどうかなんじゃないかと思います。

たぶんこの域に達するってすご～～～く大変なんじゃないかなって思います。

そしてここまで書いてふと思ったこと、それは国が欲しがっている「セキュリティ人材」はたぶんこの域までのデキる人材なんじゃないかなぁということです。

でもこれができる人って現状少ない（というかその人が所属してる企業が離したくない）し、たぶんそこには「お金（賃金）」という壁もあるのではないかと思いますよ。

さて、そんな「にわかにわかにわかセキュリティリサーチャー」なにゃんたくさん。

今回のセキュリティリサーチャーナイトを見てて、もう一個思ったことがあります。

それはリアルでも、Twitterでもいいからどんどんセキュリティリサーチャーの皆さんと絡んでみようということ。

このブログの冒頭で「セキュリティリサーチャーナイトで感じたことは個々で違う」と書きましたよね。
集めている情報やニュース、そこから感じるものってその人の立場ごとに異なると思います。
その個々で集めた情報や感じた意見をどんどん交流して知ることで、また新たななにかを思いつくかも知れませんよね。

だからって何でもかんでも公で情報共有すればいいのかって言われると。。。まぁそれは置いておきましょう。

はい、ずいぶんと長文になってしまいましたがここまで読んでいただいた皆さんありがとうございました。

僕も「にわか」がとれるようなセキュリティーリサーチャーを目指しますね！

ではでは！ヾ(*´∀｀*)ﾉｷｬｯｷｬ

セキュリティのニュース報道を見て感じたコト～関西学院大情報漏洩ニュース～

どもどもにゃんたくです。

今回はとあるセキュリティニュース報道を見てふと感じたコトを書いてみます。

先日このようなニュースが報道されていました。

【セキュリティ ニュース】フィッシング被害で個人情報が漏洩 - 関西学院大（1ページ目 / 全1ページ）：Security NEXT

関西学院大学での個人情報漏えいがおこったというニュースです。

関西学院大学もこの問題についてリリースを行いました。

HOME|2016年の重要なお知らせ|フィッシングサイトへのアクセスによる個人情報漏えいについて

僕がこのニュースをリアルタイムで知ったのはTwitterのタイムラインを見ていて知ったのですが、各報道機関の記事を観て気づいたことがありました。

今回はこのニュースについて、

▼朝日新聞デジタル（http://www.asahi.com/）

▼読売新聞（http://www.yomiuri.co.jp/）

▼産経ニュースWEST（http://www.sankei.com/west/west.html）

の３つを例にしてみます。

ではまず関学大が出したリリース文を見てみましょう。

～関西学院大学リリース文～

フィッシングサイトへのアクセスによる個人情報漏えいについて
本学の職員が、学外から発信されたメールにあった学外のフィッシングサイトに誤ってアクセスした結果、IDとパスワードを盗まれ、学生や卒業生ら1,466人分の個人情報が漏えいしたことが分かりました。
今後は、学内のネットワーク環境を管理する情報環境機構が中心になり、教職員にフィッシングサイトに対する注意喚起を繰り返し行い、今後、このような事態が起こらないよう徹底いたします。

～以上（学長コメント省略）～

なるほど、1,466人分のIDとパスワードが盗まれたんですね。

でも、いつ、どうやって、どこのだれの情報が盗まれたか、までは具体的に書いてませんね。

というか、このようなニュースっていちいちリリース文まで見る人ってなかなかいないと思うんです。

だからこそ報道機関のニュース内容が大事になってくるわけです。

まずは見るが早しってことで上記のニュースサイトで報道されたページと記事内容を一気に載せてみます。色がついている部分は後ほど説明しますね。

関西学院大、１４６６人分の情報流出 フィッシング被害：朝日新聞デジタル

関西学院大学は７日、理工学部の担当事務職員がフィッシングサイトに誤ってアクセスした結果、大学院生ら１４６６人分の個人情報が漏れていたと発表した。情報を悪用されたという申し出はないが、同大は兵庫県警に被害を報告したという。
大学によると、漏洩（ろうえい）した情報は、理工学研究科の院生や同科の卒業生らの氏名や生年月日、住所、携帯電話の番号など。
職員は８月２３日、「メールボックスがいっぱいです」「いくつかのメールを削除する必要がある」などと書かれたメールに気づき、添付されていたＵＲＬにアクセス。大学のサイトを装う「フィッシングサイト」だと気づかないまま、ＩＤとパスワードを入力したという。
９月７日になり、この職員のメールアドレスから数日間で約１２万通のメールが送信されていたことが発覚。他にも同様の手口で偽サイトにアクセスした２人の教職員のアドレスから、計約１６万通が勝手に送信されていた。発信地は米国や南アフリカなどだったという。
さらに、詳しく調べたところ、学生らの個人情報が入ったファイルがダウンロードされた形跡も確認されたという。
同大は該当する学生らに謝罪を始めており、広報担当者は「再発防止策を徹底したい」としている。（石原孝）

関学大、学生ら１４６６人の個人情報流出 : ニュース : 読売新聞（YOMIURI ONLINE）

関西学院大学（兵庫県西宮市）は７日、大学のサイト管理者を装ったメールを受信した教職員３人が偽サイトに誘導され、大学院生など１４６６人の氏名や住所、電話番号などの個人情報が流出したと発表した。
発表によると、３人は８月下旬頃、「重要な未配信メッセージがあります。ここをクリックしてください」などと書かれたメールを受信。
学内のサイトを装った「フィッシングサイト」に誘導され、ＩＤとパスワードを盗み取られた。
９月初め、３人から勝手に大量のメールが送信されたため、大学が調べたところ、うち１人のファイルサーバーから、理工学研究科の全学生と、２００６～１３年度の博士前期課程在籍者の個人情報が流出していることが発覚した。
現段階で、悪用されたケースは確認されていないという。

関学大がフィッシング被害…１４６６人分個人情報が漏洩 職員が不正サイトにアクセス - 産経WEST

関西学院大（兵庫県西宮市）は７日、大学院理工学研究科の学生・修了生ら計１４６６人の氏名や住所、電話番号などの個人情報が漏洩（ろうえい）したと発表した。
外部から送られたメールに記載されていた不正なフィッシングサイトに、職員が誤ってアクセスしたことが原因。
これまでに情報を悪用された被害の報告は届いていないという。
関学大によると、漏洩したのは今年度の理工学研究科の学生と、平成１８～２５年度に同研究科修士課程に在籍していた学生の個人情報など。
８月下旬までに複数の職員が、大学の正規なアドレスを装ったメールを受信。
このうち、メールにＵＲＬが記載されていた偽装サイトにアクセスし、自身のＩＤやパスワードを入力した理工学部担当職員のパソコンから、個人情報のファイルが流出した形跡があるという。

さてさてさて。

この３つの報道記事内容を見て何かにもうすでに気づいた方もいるかもしれません。

色を分けたのには意味があります。

一部被るところもありますが、基本的には他の報道機関には書いてない部分を色付けしてみました。

書いた記者の”ソース”はそんなにバラバラではないと思います。

要は記者によって同じニュースでも内容はちょいちょい違うということです。

なので、こういったニュースの場合、様々な報道機関のニュースを見てみて、自分なりにまとめるのが良いんじゃないかと改めて気づきました。

あ、そういえば「不正なフィッシングサイト」って言い方、不正じゃないフィッシングサイトもあるのかなーって思ってしまいましたよ。

ま、とにかく言い方や伝え方って難しいですね(；´Д｀)

ここまで読んでいただきありがとうございました。

ではではヾ(*´∀｀*)ﾉ