セキュリティリサーチャーからの提案（前編）：今、エバンジェリストが振り返る　「WannaCryは、そこまで騒ぐべき事件ではなかった」 (1/4)

セキュリティのセミナーというと、最新技術を使った防御手法を解説することが多いが、マカフィー主催の「MPOWER：Tokyo」で、ソフトバンク・テクノロジーの辻氏が講演した内容は、自らの目で見てきた事実を軸にした“エモーショナル”なものだった。その講演と辻氏の「思い」を前後編でお届けする。

　2017年も「Wannacry」をはじめとするランサムウェア騒動や「Apache Struts」の脆弱性など、企業セキュリティを脅かす事件が多発した。1億人以上の個人情報を漏えいしてしまったEquifaxの事件などは、記憶に新しい。

　攻撃手法が進化し、巧妙になる中で、組織と人は、どう現状に歩み寄ればいいのか――。マカフィーのセキュリティカンファレンス「MPOWER：Tokyo」で、ソフトバンク・テクノロジーの辻伸弘氏は、セキュリティリサーチャーとしての経験から、数々の事故、事件から得られた教訓と提案を語った。

セキュリティリサーチャー、辻氏が経験してきたこと

ソフトバンク・テクノロジー プリンシパルセキュリティリサーチャーの辻伸弘氏。MPOWER：Tokyoで「リサーチャーからの提案」と題した講演を行った

　辻氏は現在、セキュリティサービスを提供するソフトバンク・テクノロジーで、プリンシパルセキュリティリサーチャーとして活動している。また、同社における“柔らか優しいセキュリティエバンジェリスト”として、多くの講演をこなす同社セキュリティ部門のマスコット的存在だ。

　その辻氏は、同社のサービスの1つである「ペネトレーションテスト」を通じ、実際のシステムへ疑似的に侵入することで「今よりもより良いシステムにするにはどうしたらいいか」「残るリスクをどう捉えるか」を顧客目線で考えることに注力している。

　「セキュリティというと、守る、ブロックするというイメージがあるでしょう。ペネトレーションテストの役割は“状況をつまびらかにする”こと。どんな攻撃が行われているか、その結果“教訓は何だったのか”を明らかにすることを仕事にしています」と、辻氏は自身のミッションを説明する。

　その裏にあるのは「自身の目で見なければ信用しない」という信念だ。自宅ではマルウェアを検知するための「ハニーポット」を運用し続け、常に新たな攻撃の予兆がないかを調べている。また、辻氏が個人的に日々情報を追いかけ、調査した事件や事故は、自身のブログで惜しみなく共有している。

　その他にも、セキュリティの現状をより多くの人に知ってもらうための活動として、ポッドキャスト「セキュリティのアレ」も不定期で更新中だ。

辻氏の運用するハニーポットで収集した情報。攻撃を仕掛けてきたIDやパスワードも一覧になっている

日本では数少ないセキュリティ関連のポッドキャスト「セキュリティのアレ」。余談だが、筆者もその末席を汚している

証言1：「WannaCry」はそこまで騒ぐべき事件だったのか？

　辻氏はまず、2017年5月に大きな話題になった「WannaCry」を取り上げた。同氏は実際のWannaCry検体をもとに、一瞬で重要なファイル群が暗号化されてしまうというその挙動を、デモを通じて来場者に「目で」体感させる。

　「仕事のファイルだけでなく、画像、動画、音声など、なくなったら困るファイルが全て対象です。その他にも、PCゲームのデータなどもやられます。最後にはお金を払え、すぐ払えと派手に表示します。ランサムウェアはこれまでのひっそりとした挙動ではなく、派手に変化しないと身代金が取れませんから」（辻氏）。