セキュリティ・ダークナイト

セキュリティ・ダークナイトの視点で振り返る特集、後編はアノニマスやハクティビストへ突撃取材したことを振り返ります。

2009年にスタートした本連載は今回で最終回。移り変わりの激しいセキュリティ業界を、セキュリティ・ダークナイトの視点で振り返ります。

危うく脅迫された筆者に助け船を出してくれた1人のアノニマスは、以前、筆者の取材を直接受けてくれた人物だった。当時から2年以上経った今、何が変わり、何が変わらないのか―― 再びその声を直接聞く機会に恵まれた。

2013年11月に、「アノニマスが日本に攻撃を仕掛けると予告した」と報じられた一件を覚えているだろうか？ 筆者が実際にコンタクトして得たその「実態」を紹介したい。

多くのサイトで使われるようになったApache Struts。Strutsは関係ないや、と思っているあなたのサイトにも、Apache Strutsが複数インストールされているかもしれません。

「リスト型攻撃」などのセキュリティ事故が起こったとき、その責任を問われるべきなのはサービス提供側だけなのか。利用者側に求められることはないのか？

立て続けに発生した不正アクセス事件によって、あらためてパスワード使い回しの危険性が明らかになった。ツールを用いて「リスト型攻撃」のリスクを認識し、われわれがいま取ることができる対策について考えていく。

「GhostShell」というハッカーチームをご存じだろうか？ 世界の有名大学を対象にした攻撃やNASA（米航空宇宙局）、ESA（欧州宇宙機関）などをターゲットにした「Project WhiteFox」を仕掛け、2012年にネットを騒がせたチームだ。Twitterでコンタクトを取ってみたところ意外なほど友好的なGhostShellから、思いがけない申し出を受け……。

10月30日、フィッシングサイトを開設したとして、不正アクセス禁止法違反で全国初の摘発が行われた。この件を機に、筆者が常々推奨したいと考えていた2つの対策を提案したい。

不正アクセス禁止法の改正によって、いわゆるフィッシングサイトの設置や、そこへ誘導するフィッシングメールの送信が禁じられることになった。今回は、そのフィッシングサイトの危険性、ひいてはそれにだまされる「人」というものの脆弱性を、実際にサイトを構築することによって検証してみる。（編集部）

2011年に話題となった標的型攻撃は「人」という弱点ををねらい打ちにしました。では、この手の攻撃は、人に教育さえしておけば防げるものなのでしょうか？（編集部）

PlayStation Networkに関する報道によって日本でも広く知られるようになった「Anonymous」。果たして彼（女）らはいったい何を目的とした、どんな集団なのか。日本に住むAnonymousの1人に取材する機会を得た（編集部）

「位置情報へのアクセスを許可しない」設定にしていたはずなのに、アップロードした写真のメタデータに情報が残るなんてこと、あるんです。本人が意図せず、把握しないうちにアップロードされる情報とは……（編集部）

しばしば「パスワードは○日ごとに変更しましょう」といわれるけれど、それで本当にクラックの危険性は減るの？ ペネトレーションテストの現場から検証します（編集部）

ちょっと遅れてやってきた夏休みの宿題は、ハニーポットを用いた侵入手法の観察日記。狙われやすいパスワードが明らかに！（編集部）

Wiresharkのコマンドライン版「tshark」で知る、平文通信の危険性。膨大なログから狙った1行を検索するテクニック、身をもって体験せよ！（編集部）

第3回は「ダークナイトからの挑戦状」解答編です。さらなるトリッキーな問題も用意したので、もの足りないチャレンジャーも必読の記事です（編集部）

ハッカー級の知恵比べ、CTFの楽しさは見ているだけでは分かりません。あなたもセキュリティ・ダークナイトからの挑戦状、受けてみませんか？（編集部）

ダークナイトが帰ってきた！ 「セキュリティ対策の『ある視点』」を執筆したペネトレーションテスターによる新連載は、気になるセキュリティトピックを、時には攻撃者として、時には防御者として取り上げます（編集部）