サイトのハッキングで乗っ取られた一年

昨日、今日始まったことではない

だが大手は何もしてこなかった
今年、それが目立った

アサヒビール、アスクルが大ダメージを受けた

以前、GRCS社という上場企業に訪れたことがあった
古い友だちでJPCERT関係の仕事をやっている人から紹介してもらった

https://www.grcs.co.jp

ネットの脆弱性を突き止めて食い止める仕組みを持つ会社だ
5年くらい前に、物理乱数発生チップを開発した会社があり、
その営業で訪れた

長年、そのつながりを忘れていて
今年、その会社とAI Smileyが主催するAI博覧会で再会した。
帰って来るまでその記憶がなかった
とても失礼なことをしてしまった😫

去年だったかな、ハードウェアでペネトレーションテストを行う会社と出会った

GRCS社はソフトウェア
Powder Keg社はハードウェア

ソフトウェアの難しさは、システムに導入する必要がある
Powder Keg社の「MUSHIKAGO」という装置はつなぐだけでテストをする

私は日本はネットセキュリティに疎い会社が多いと思っている
まぁ日本だけではないけど、IT先進国?とも呼ばれているのにITインフラを保てる人が少ない
更に、そのエンジニアに賃金を払わない風習が根強い
だから、みんな外資に転職していくとかする
しかもこき使う(社畜エンジニアにされてしまう)悲しい運命

日本の企業には悪いイメージしかないんだよね
自分もかなり疲弊したからだ

https://powderkegtech.com/ja/mushikago/

このような装置でAIを活用して、ネットの脆弱性を調べて、見える化する。

一去年、名古屋港がやられた。
物流が3日間、止まった。
パニックになったが、バックアップとかで復旧できたと伺った。

こういう装置を使ってチェックをしていれば発見ことができただろうなと。

今年、PR TIMESがやられた。
たぶん、親会社のベクトルがスーパーエンジニアを多く雇って原因究明したのだろうと。

脆弱性というのはなくならない

だって、アプリケーションやAPIにバグがつきものだからだ
コンパイラーにバグがあってヤバいコードを吐き出せば、それが脆弱性になる
いち早く発見することが重要で、それをルーティングやファイヤーウォールで塞ぐ

つい先週、SoundCloudがDoS攻撃をうけて、Cloudflareから自動遮断されていた
おかげでRSSが飛んでこなかった

色々な顧客データが盗まれたらしい

DoS攻撃から守ることは非常に難しい
だが、攻撃によって抜け穴やシステムにスキができて(プロセスが落ちて respawn しないとか)入りこまれることがかなりある。

人間の手でコマンドを打ってでは間に合わない。
自動的に瞬時 respawn するしかない。

どこに何が接続されて、どういう脆弱性があるのか(クライアントなのか、サーバーなのか)把握することが重要だけど、なかなかこういう装置を導入してもらえない。

経営陣が理解してくれない

今回はアスクルがやられて、多くの企業が困った(文具が届かないなど)で理解されたのかはわからない。
脆弱性を見える化することを理解してほしい。

実は、ちょうど1年前の2024年12月24日にPowder Kegさんからメールをいただいた。
そして、今朝もメールをいただいた。

イワンコッチャナイ状態が多くの企業でインシデントが発生している。

なぜこういうのが起きるのかというと、AIを活用して攻撃を仕掛けているからだ。
そう、MUSHIKAGOはAIを活用して脆弱性を発見している。
敵はAIを活用して脆弱性を発見している。

やっていることは一緒だが、防ぐために落とし穴を発見しているのか、
落とすために攻撃を仕掛けているのかでやっている違いなだけだ

つまり精神論(モラル)

こういう装置は必要悪ではなく、必要不可欠である

多くの企業は情報システム部がない
一人、二人だったりする
すべてを把握することができない
「一人情シ」なんていう中堅以上の会社でも少なくない

情報システム部というのは見えない敵と常に戦っている

それを上が理解してくれない
見えないから理解できない
ただネットで遊んでいるとしか思われていないのが日本

人間がやることではなくなった
プログラミングそのものはAIが吐き出すコードのほうが早いし
ヘボプログラマが書くよりも優秀だ

だが、最終的に責任を取るのがエンジニアだ
だからプログラミングテクニックを知る必要がある

サムスンが一去年だったかな、社員が自分の個人のアカウントでソースコードの検証のためにChatGPTにアップしてしまった。
会社で利用できなかったから、個人アカウントでやってしまった。

ChatGPT データコントロールで学習を制御する設定

この設定をすることが当時はなかったはず
(少なくとも自分はそれを当時発見できなかった)

このインシデントのおかげで会社はOpenAIと契約した。
会社で契約すると学習されない設定になるようになった。
そりゃ、そうだろ!
OpenAI社がクズだというしかない。

こういう場合、日本の企業は絶対に使わせないようにする。
すると開発が遅れる。
情報システム部の担当者は「野良」端末や「野良」ユーザを発見するのに時間が掛かる。
時間が掛かるどころか仕事が増える。
それを経営側は理解しないから悪循環になっていく。

MUSHIKAGOみたいな装置を接続すれば、「野良端末」を発見したり、ネットの問題を発見できる。

もちろん、GRCSなどが行っているセキュリティコンサルティングも必要だ。
だが、中小企業が簡単に自社のネットに接続して活用できるのがMUSHIKAGOみたいな製品だ。
機能を絞れば5万円くらいでレンタルできる。
これは社長から伺った。

これからも応援していきたい。