1. Webセキュリティ
３つの視点から考えるサイバー攻撃と自分

2. 自己紹介
むらおか まさかず
村岡正和 @bathtimefish
Webアプリケーション開発 IT業務システム設計/開発
Webサービス導入/事業戦略コンサルティング
HTML5-WEST.jp代表 / 京都GTUG / CSS Nite in OSAKA / 神戸ITフェス
ティバル実行委員など
HTML5-WEST.jp
HTML5 JavaScript
Python
中国拳法 主夫になりたい
炊事 Google Apps
http://html5-west.jp/

3. 本日話したいこと
技術的な話の前に、
最低限知っておきたい現状をおさえて、いろい
ろ考えてみましょう。
「ハッキングってこうやんのよ」「おー！」
みたいのはまた今度v

4. インターネットの現状

5. アカウント、カード番号の詐取（金銭目的）
企業スパイによるハッキング（諜報活動）
インターネット上でのテロ行為（主義主張）
戦争での情報撹乱（軍事行動）
サイバー犯罪、戦争が当たり前の時代

6. 自分たちは無縁なのか？

7. ３つの事件から考えてみる

8. PC遠隔操作事件 2012年
Anonymous等ハクティビズム集団の台頭
2008年ごろ∼
イラン Stuxnetによる軍事攻撃
2010年ごろ∼

9. PC遠隔操作事件
東京、大阪、愛知、福岡、三重
それぞれで誤認逮捕が発生。うち1件は起訴に至る。
東京（神奈川県警）自白強要の疑い。
http://gigazine.net/news/20121214-iesys-kanagawa/
IESYS.exe（トロイ）、CSRFを用いた情報操作

10. 無実の第三者を犯罪に加担させた
無実の関係のない者が、
まったく気づかず、
未だ捜査が及ばない方法で、
視点１
犯罪に巻き込まれた。

12. 国土交通省霞ヶ浦河川事務所Webサイト改ざん事件
2012年6月26日、国土交通省霞ヶ浦河川事務所
Webサイトの一部で改ざん被害。
その後、Anomymousが誤って改ざんしたことを
認める。
誤爆ごめんな（笑）
https://twitter.com/op_japan/status/217948209341935616

13. 誤爆・ 罪でやられる
日本語は難しいってｗ
間違って被害にあうこともある。
濡れ衣で巻き込まれるということもある。
視点２
神戸市がＨＰ改ざんで被害届 尖閣は「中国」
http://www.47news.jp/localnews/hyogo/2012/10/post_20121016221629.html
日本釣振興会のＨＰ、中国語に改ざんされる
http://www.news24.jp/articles/2010/09/21/07167165.html

14. わりとノリが軽い
まあこの程度なら
シャレですむけどね...

15. Stuxnetによるイラン核関連施設攻撃
2010年、イラン・ナタンツのウラン濃縮施設の遠心分離器の一部が破
損、約8,400台の遠心分離器のがすべて停止したとされる。
このときStuxnetが遠心分離器を制御していたPLCに感染し遠心分離器を
異常動作させて停止に追い込んだとされている。イランの核開発を阻止
するためのアメリカ、イスラエルによるサイバー攻撃と言われている。
http://www.nytimes.com/2012/06/01/world/middleeast/obama-ordered-wave-of-cyberattacks-against-
iran.html?_r=0
Stuxnet - Windowsのゼロデイ脆弱性を利用して感染するウィルス。
シーメンス社のPLCが標的。感染報告に地域性がある。イランが6割
http://www.jpcert.or.jp/ics/2011/20110210-oguma.pdf

16. SNSやってる横で戦争している
戦争のパラダイムが変わった
サイバー戦には距離も地理的制約も関係がない。
もはやウィルスが兵器となる時代
冷戦よりも冷たい戦争？
視点３
ボタン一発で施設を破壊、ネットワークをダウン。
まるで映画のようなことが現実に...

18. ３つの視点をおさらい

19. 無実の第三者を犯罪に加担させた
誤爆・ 罪でやられる
SNSやってる横で戦争している

20. 3つの視点から考えられること
サイバー犯罪は増加、多様化しそう
サイバー攻撃は物理的距離に影響しない兵器となりうる
関係ない人間が巻き込まれる可能性？
罪、誤爆、報復に巻き込まれる
陽動、撹乱などでdecoyに使われる etc...

21. ボクには関係ない...？

22. 無関心でもいい？

23. Webでのサイバー攻撃に使われる技術
DDos
XSS
CSRF
SQL Injection
DNS Cache Poisoning
etc…

24. ウェブ制作者は知らなくて
いいことなのか？
正直わからないので、
ディスカッションで教えてください。

25. 参考・出典
Hacker Japan 2012年3月,9月,11月, 2013年1月号
http://www.byakuya-shobo.co.jp/hj/
Anonymous (group) - Wikipedia
http://en.wikipedia.org/wiki/Anonymous_(group)
標的型攻撃の実状 - ソフトウエア - Tech-On！
http://techon.nikkeibp.co.jp/article/FEATURE/20130115/260193/
遠隔操作ウイルス事件 - Wikipedia
http://ja.wikipedia.org/wiki/%E9%81%A0%E9%9A%94%E6%93%8D%E4%BD%9C
%E3%82%A6%E3%82%A4%E3%83%AB%E3%82%B9%E4%BA%8B%E4%BB%B6
報道発表資料：関東地方整備局霞ヶ浦河川事務所Webページの一部改ざんについて - 国土交通省
http://www.mlit.go.jp/report/press/joho01_hh_000010.html
スタックスネット - Wikipedia
http://ja.wikipedia.org/wiki/%E3%82%B9%E3%82%BF%E3%83%83%E3%82%AF
%E3%82%B9%E3%83%8D%E3%83%83%E3%83%88

26. Thanks!