Home - 2017 - 10月

月別: 2017年10月

●無線LANを乗っ取られないために

Posted on 2017年10月18日 in 未分類

日本でも、10月16日くらいから騒がれはじめた、無線LANを乗っ取られるかもしれない問題(KRACK)。この問題へのユーザーの対処は以下のようにする。

  1. WPA2はそのまま使い続ける。
  2. OSなどのアップデートが数週間のうちに来るので、アップデートしておく。
  3. なるべく電波が外部に届きにくい5GHzの無線LANを使う。

 

●和田さんの記事がAllAboutに掲載されました

Posted on 2017年10月15日 in 未分類

本サイトの和田さんの記事がAllAboutに掲載されています。先週行われたRISCON、SEECATの取材記事です。これからの「災害セキュリティ」のありかたについてのトレンドを俯瞰するのに、わかりやすい記事です。

 

 

タグ: , ,

●「電子マネー」は災害に強い?

Posted on 2017年10月3日 in 未分類

【仮想通貨と電子マネー】
電子マネーが流行っている。大手銀行なども、電子マネーを始める、という話があちこちで聞こえる。電子マネーというと、「仮想通貨」と呼ばれているものがある。一方で、Suicaなどのように、日本円をそのまま入れて使う「単にお財布代わり」のものもある。「仮想通貨」は政府が関係なく流通する。仮想通貨ではない電子マネーは、本来のお金の代わりだ、というだけだ。つまり、「電子マネー」には、(1)「(国の政府とは関係ない)仮想通貨」と、(2)「(国の政府の発行する通貨だが、コインやお札を使わない、というだけの)仮想通貨ではないもの」という2種類がある、ということだ。

【政府が強いと仮想通貨は流行らない】
日本ではいろいろあるものの「政府が倒れそう」などの政情不安はない。しかし、「政府が倒れそう」という地域では、通貨も不安定だ。だから、(1)「仮想通貨」が発達する。いつ政府が倒れて、他の政府になっても、お金にしておいたあなたの財産が守れるからだ。逆に言えば、仮想通貨が流行る地域は「政情不安定な地域」「政府が信用されていない地域」ということになる。

日本では、日本の政府が倒れることはまずない、とみんな思っている。共産党でも天皇誕生日には祝日で休む。日本なら、政権が変わっても日本円で安心して買い物ができる。日本という地域全体で価値観のベースがひとつで、統一感がある。だから、通貨も政府が保証している限り、安心だ、と多くの人に思われている。こういう地域では(1)「仮想通貨」は流行らない。ICT化で、コインやお札を持って歩くことがなくなる「利便性」のほうが強調され、(2)「電子マネー」にはなっていくが、そこまでだ。

【仮想通貨の仕組み】
仮想通貨の仕組みは、世界のどこか一箇所にある「銀行」にお金を預ける仕組みではなく、世界中にたくさん広がる「仮想通貨ノード(ノードというのはサーバーのようなもの)」が相互にインターネットで通信しあって、「XXさんがXX円を預けたから、XXさんにはXX円をいつでもどこでも引き出せる権利があります」ということができる、というものだ。もちろん、単位は「円」ではないけれども。ある地域を災害などが襲って、「仮想通貨のノード」がいくつかつぶれても、他の地域では大丈夫なら、その人の預けたお金の情報は、他の多数の「仮想通貨ノード」が持っているから、仮想通貨は地域災害に強い、ということになる。たとえば、日本に巨大隕石が落ちて日本全部がだめになっても、あなたのお金はロンドンで引き出せる。

【電子マネーは所詮、地域のお金】
日本で使える「マネー」は、たいていは銀行が「預金情報」を持っている。その情報を持っているのは日本国内の銀行であって、その銀行の情報はすべて日本国内で持っているはずだ。他の国の領土である地域に、にその情報(日本国民の財産)を預ける、ということはまずありえない。それは日本の財産であるのだから。しかし、自然災害のことを考えて、地震の少ない、津波もない、山奥などに「お金の情報サーバーのコンピュータ」を置いているんじゃないか、というのは十分に考えられる。しかし、それでも、そのデータの保管場所は日本国内に限る。「電子マネー」も例外ではない。しかし、日本に隕石が落ちて、日本全土がだめになって、日本の政府も銀行もだめになったら、当然、そのデータ=国民の財産、もパァである。いや、そういうことはまずないと思うけれども。

【仮想通貨は地域災害や政変に強い】
一方、「仮想通貨」は、地域災害にも、政情不安にも強く、あなたの財産を守る。日本円は日本の政府が保証しているから、日本の政府がなくなるとパァになるが、そういうことはまずありえない、と多くの人が思っているので、日本では仮想通貨が流行らないのだ。「仮想通貨は地域災害や政変に非常に強い」。

【「仮想通貨」と「電子マネー」は違う】
そういうわけで、仮想通貨は国の政府にも地域の災害にも関係ない(地球にインターネットがある限り有効な)「強いお金」である。「電子マネー」は、地域の政府のお金を元にそれに「利便性」を持たせた、というものであって、地域の政府が強い力を持っている限りにおいては「強いお金」である。

【とは言うものの「仮想通貨」は迫害される】
ところが、国の政府の立場から言えば「仮想通貨」とは国の政府の保証する価値とは違うところに存在するものだ。であれば、「お金」の価値が国の政府の価値よりも上になることでもある。だから、国の政府は仮想通貨を、政府を転覆しかねない「革命勢力」みたいに思っている。だから、仮想通貨は国の政府に弾圧されやすい。そういう意味で「仮想通貨」といえども、いつでも安心、というこわけでもない。とりわけ、国の政府が強く安定している地域ではなおさらである。

 

 

Top

●ネット監視は行われている

Posted on 2017年10月2日 in 未分類

サイバー空間での名誉毀損事件が増えているため、韓国では検察が特に韓国人にユーザーの多いカカオトーク(事業者はダウムカカオ)などを監視している、という発表を2014年10月に行った。そのため、監視を懸念され、カカオトークのユーザーが激減。10月13日に、カカオトーク側は(1)「これまで検察にはカカオトークでやりとりされるメッセージを提供してきたこと」、(2)「今後は検察から要求があっても、カカオトークでやりとりされるメッセージは提供しないこと」を、発表し、それに対して、特に(2)については、韓国の国内法の違反の疑いがある、ということで、韓国ではこちらが大きな問題になっている。カカオトークとしては、ユーザーの激減は自社の存在に関わる重要な問題であり、この発表はぎりぎりのところでされたもの、と見るのが妥当ではあろう。しかし、カカオトークがサービスとして潰れてしまったとしても、その運営主体の会社がなくなったとしても、韓国の国民に(1)の発表、というか「暴露」による疑念は消えないことだろう。

韓国の検察の当局としては「メッセージを提供されてもリアルタイムの検索の能力はない」など、その実効を否定するコメントを流さざるをえなかったようだが、時はすでに遅し。韓国民がテレビのニュースなどで、自分のメッセージが検閲されていた、という事実がわかってしまった以上、これから新たに作られるサービスも、また過去からずっとあるサービスも、韓国でサーバーを管理しているサービスはみんな信用できない、ということを、韓国の多くの人だけでなく、外国にいる韓国人、そして外国人も考えざるを得なくなってしまった。つまり、韓国企業であるNAVERが日本を中心に展開して多くのユーザーを持つLINEなどにも影響を与える恐れがある、ということでもある。カカオトークなどのサービスを退会しないとしても、メッセージが常に監視されている、ということを意識したメッセージのやりとりがされるようになる、ということは、検察の当局にとっては大問題である。なにせ「こっそり見ていた」ものが公になってしまったのだから、今後は検閲にひっかかることがありそうなメッセージそのものをやりとりしない、という対策も取られてしまうだろうからだ。つまり、今回のカカオトークの暴露記者会見では、(2)よりも(1)のほうが、今後の影響が大きいことだろう、ということだ。

当然だが、これからカカオトークが韓国以外の外国に市場を広げようとしていた矢先の出来事だけに、世界がこのニュースに注目している。多くのユーザーがカカオトーク離れを始めるのみならず、外国でもカカオトークの展開が非常に困難になってしまった。それだけではなく、韓国発の他のサービスももちろん外国でも影響を受けることだろう。しかも、それだけではなく、韓国発のネットビジネス全般が疑いの目で見られるようになり、韓国発のネットサービス業界の世界展開への大きな足かせができてしまった。産業構造でハードウエアからソフトウエア・サービスへの転換を行う、という大きな転換を目指すと宣言した韓国産業界にとっても、今後懸念すべき大きな問題ができてしまった、ということでもある。

 

ちなみに、カカオトークは日本語版もあり、普通に日本でもダウンロードして使うことができる。日本ではソフトバンクがサポートしている。使って見るとわかるが、使い勝手などはLINEに非常によく似ている。

 

Top

●北朝鮮と韓国のサイバー戦争

Posted on 2017年10月2日 in 未分類

韓国・釜山

韓国・釜山

北朝鮮(韓国では「北韓」と言います)と、韓国のサイバー戦争ってのがあるのか?ってご質問があったんだけれども、韓国から北朝鮮へ攻撃することってのは、実はなくて、北朝鮮から韓国へのサイバー攻撃は実際にありました。

2013年3月20日。私が韓国の大学でインターネットセキュリティの大学教授になったのが3月1日だったから(韓国では新学期は3月1日から味丸んですよね)、それからわずか20日たったときのこと。当時は、「インターネットセキュリティの教授」なんて言っても、韓国の人はあまりサイバーセキュリティを重要視していなかったんですよね。で、ぼくは現地でつぶさにそれを調べたんだけど、ぼくのほうも、深入りしたことは一切しない、という方針があって、外側から調べた。

そのときやられたのは、放送局や銀行など6組織。朝いちばんで出社したら、PCの電源を入れても、多くの組織内のPCが起動しなくなっていた、ということだった。これは大変、ということで、調査が入ったのだが、結論から言うと、攻撃そのものは韓国内から行われたもの。しかしながら、韓国内でも北朝鮮系の人たちと言うのはいて、その人達がやったのではないか?という疑いが今も晴れていない。

Wikipediaなどでも書かれているが、情報は概略。肝心な固有名詞も出ていない。

実は、ハッキングされたのは、個々のコンピュータではなく、そのコンピュータが使っているウィルス対策ソフトだった。ご存知のように、ウィルス対策ソフトは、ソフトウエアを作っている会社のサーバーから、ソフトウエアのアップデートという「改良したもの」を定期的にそれぞれのPCに配る(韓国では大きな組織や役所では、日本ではあまり知られていないある会社のソフトウエアを必ず使っている – 名前は知っているが、あえて書かない)。この「改良したソフトウエアやデータを入れておく」サーバーを「アップデート・サーバー」というのだが、このアップデート・サーバーがハッキングされ、そこに「PCを止めるような改良(改悪)プログラム」を入れられてしまったのだ。そこで、朝一番でPCの電源を入れると、PCはアップデートサーバーに改良されたプログラムやデータを取りに行くのだが、その「改良プログラム」が実は「PCを止めるプログラム」だった、というわけだ。

まさに、「ミイラ取りがミイラになった」ような感じだが、そういうこともあるのだ。

Top

●サイバーセキュリティにかかるお金を節減しよう

Posted on 2017年10月2日 in 未分類

サイバーセキュリティというのは、当然、会社などの組織のネットワークや、ネットワークにつながるコンピュータが不正な侵入などを受けていないか?ということが基本になる。が、「お金がかかるんじゃないの?」ということで、躊躇している組織も多い。大企業や役所などでは、サイバーセキュリティ対策を怠って、顧客データを盗まれる時間などが1件起きるだけで、社会的な信用が毀損し、場合によっては会社や組織が立ち行かなくなることもある、ということでメーカーや出入りのICT業者に脅されて、高いお金を払っているところも多いだろう。しかし、実際に現場を多く見た私は「そんなにお金をかけなくてもいいんですよ」ってことがすごく多い。要するにサイバーセキュリティに無駄なお金を払っている人が非常に多いのだ。

【一人とか家族でやっているSOHO(Small Office Home Office)であればこれで十分】
まず、一番小さな「組織」というか、ぶっちゃけた話で言うと「弱小零細父ちゃん母ちゃんドラ息子(娘)企業」「ひとりオフィス」などであれば、使っているPCに、ウィルス対策、スパイウエア対策ソフトを入れておけば、他にはなにもしなくても、まず十分である。PCが1台につき、だいたい毎年数千円の「投資」で十分だ。使っているPCも人数分だろうから、だいたいセキュリティにかかる費用は、よほど特殊なことがなければ、年間1万円以内でなんとかなることが多いだろう。たいては、PCを買ったときにおまけでついてくるセキュリティソフトを動かせば、通常は問題はない。

【数人の組織だったらこれで十分】
会社といっても中小企業で数人から10人くらいまでの組織であれば、前項と同じ各々が使っているPCにウィルス対策やスパイウエア対策のソフトウエアを入れておけば、これも大丈夫。このくらいの組織では、出入りの業者が必要もない「セキュリティ用ハードウエア」を売りつけてくることがあるが、ほとんど無くても問題はない。

【10人を超える組織になるとそろそろ】
ところが、10人を超えると話は違ってくる。使っているPCの数も増えていく。しかも、組織内では、PC以外のもの、例えばタブレットとかスマートフォンがつながれていたりして、どこになにがつながれているか、だんだんわからなくなってくる。当然だが、「ウィルス対策ソフト」はPCで使えるものは、そのままスマホで使えるわけでもない。このくらいの組織になると、「にわかシステム管理者」が一人くらいはいて、またそういう人の本職がデザイナーとかだったりして、にわか知識でわけのわからないことをやっていたりする(←あるある、って思う人いるでしょ)。で、このくらいの組織になると、社内のどっこでなにがつながっているか、だんだんわからなくなってくる。であれば、この段階では、もう「PC用のウィルス対策ソフト」は使わないほうがいい。家電量販店などでも、最近は「UTM」という箱を売っているので、これをインターネットと社内ネットワークの間に入れる。すると、社内ネットワーク内のPCにウィルス感染したPCがあったりすると、勝手にそのPCをネットワークから切り離してくれたりして、警告を出してくれたりする。たいていは、UTMとその付属ソフトでこういったことをするのだが、この段階になると、もう「ウィルス対策ソフト」のお世話になる段階ではなくなってくる。数万円のもので良いので「UTM」を買ってきて、社内のネットワークにつなげよう。そして、付属のソフトウエアを社内のネットワークにつながっているPCにインストールしょう。まずはこれで万全である。しかも、一台一台のPCにウィルス対策ソフトをインストールするよりも安くつく。

【数十人以上の大きな組織では出入りの業者に頼もう】
さすがに、数十人以上の組織になれば、PCの数も多くなり、どこで誰がなにをしているのかは全くわからなくなってくる。当然、このくらいの大きさになると、出入りのICT業者も決まった業者がいるはずだ。そこで、この規模の組織では、出入りのICT業者に「セキュリティ強化」をお願いし、UTMの導入などの見積もりを取る、ということになる。年間で40万円以下の上乗せ、というのが20人規模での、だいたいの金額だ。そうしないと、これからできる法律で、もしも顧客情報の流出などが発覚すると、経営者にその責任が問われる。そういう法律がそろそろできるのだ。

ざっと、組織の大きさ別に、これからの「サイバーセキュリティにかかる費用」を考えてみた。だいたい、こんなところだ。

 

 

Top