「JNSA 2024セキュリティ十大ニュース」をザッと眺めて、思いついたことを書き留めます。

www.jnsa.org

メモの前に

JNSA（日本ネットワークセキュリティ協会）とは

情報セキュリティに関する啓発や教育、標準化、調査・研究を行う日本の非営利団体です。

www.jnsa.org

2024セキュリティ十大ニュース

序文

• 確かに世界的に選挙イヤーでしたね。
• SNSに「意見を同じ人たちを結びつける」効果があるのは知ってましたが…「意見の対立するものに排除する力が働く」というのは考えたことがありませんでした。たしかにそうですね…。
• 昔から行われている情報操作が、SNSで時も場所も選ばずにできるようになって、より一層やりやすくなっている感があります…。

【第１位】 7月19日　「史上最大規模」の障害引き起こしたクラウドストライク ～ 影響受けた端末は850万台、損失は54億ドル ～

• 原因はセキュリティ製品の更新時に不具合の混入
• クラウドストライク事件 - Wikipedia
  • 世界的には結構影響がありましたが…日本ではそこまではなかったみたいですかね…？
• 自動アップデートが適用されたらブルースクリーン、復旧手順はそこそこ大変そう…。

【第２位】11月29日　「能動的サイバー防御」法整備への提言まとまる ～ セキュリティクリアランス制度も具体化、頑張れ日本！ ～

• 基幹インフラ事業者とは…電気通信、金融、空港・港湾、鉄道、政府・行政サービス、医療などが挙がってました。
• 通信事業者に通信のフロー情報を…ってたしかに通信の秘密に抵触しますね…。一歩間違うと危ういので、しっかりやってほしい…。
• 攻撃元を無害化……DDOSとかされてたら相手をダウンさせるなどしないと止まないですよね…。

【第３位】 6月9日　KADOKAWA｢サイバー攻撃｣が示した経営リスク ～ ハッカー集団が闇サイトで犯行声明、36億円の特別損失を計上 ～

• かなり長期間停止してましたね。
  • 6月発生で、10月にほぼ復旧…4ヶ月くらいでしょうか。
• 流出した情報がSNSや匿名掲示板に公開されてましたね…。
  • 若干、ユーザコミュニティの文化的な側面も…？

• 2024年KADOKAWA・ニコニコ動画へのサイバー攻撃 - Wikipedia

【第４位】 2月14日　AIセーフティ・インスティテュート (AISI) を設立 ～AI安全性評価法検討進む、一方セキュリティへの活用や悪用も進む ～

• aisi.go.jp
• 知りませんでした。
• ガイドラインや評価観点ガイドなどうまく利用できそうなものが出てて、良さそうです。
• しかし…便利な道具は等しく万人に便利なんですよね…。

【第５位】 1月1日　能登半島地震に乗じてSNS上に偽情報が拡散 ～ 選挙でも増すSNSの存在感と問われる偽情報対策 ～

• 偽情報ですか…。
• XのCEOも米の次期大統領も偽情報をめっちゃ使ってますね…。
• academist-reading.connpass.com
  • 以前やりましたね。
  • IPA NEWS Vol.67（2024年7月号） | IPAについて | IPA 独立行政法人 情報処理推進機構
• 誤情報、偽情報、悪意の情報の3種は、わかりやすい分類なので頭に置いておいてもいいかも。

【第６位】11月21日　偽のウイルス感染警告を表示させるサポート詐欺に注意 ～ IPAへの相談件数過去最高、金銭被害に加え個人情報流出の可能性も ～

• academist-reading.connpass.com
  • 以前やりました…！
  • サポート詐欺レポート | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構
• 慌てさせるような仕掛けが盛り沢山で、いざというときに慌てないよう、事前にIPAのサイトで体験しておいてもいいと思います。（ことあるごとにリンク書いてまして…めちゃ推しですw）
  • 偽セキュリティ警告（サポート詐欺）対策特集ページ | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構
• AIを使って、自然な日本語にしてきたりと、かなり高度化してるので気をつけたいです…。

【第７位】4月16日　LINEヤフーの情報漏洩に2度目の行政指導、国家間問題へ ～ 親会社との資本関係の見直しを求める総務省に韓国政府らが懸念表明 ～

• これは……一時期、今もかな…官公庁でLINEを連絡手段として使おうとしてたこともあるんでしょうか。
• 総務省が資本の話にまで踏み込むのはどうかと…。しっかり管理しろ！だけでいいんじゃないでしょうか…。
• それはそうと、他人事ではなくて、自分たちも仕事やリソースなどを外部に出すときに、ちゃんと管理できなくてはダメですよね。がんばります…！

【第８位】5月29日　イセトーへのランサムウェア攻撃　全国多数の委託元が影響を受ける ～ 委託元の自治体や企業などから被害公表が相次ぐか ～

• イセトーさんは自治体や企業から通知メールの印刷業務を請け負ってるとのことで、たしかにデジタルと現実世界をつなぐ部分で、情報が集まりやすいところですね…。サプライチェーンとして見る、というのは結構大事な観点かもしれません…。

【第９位】5月1日　太陽光発電、サイバー攻撃の温床に　IoT経由で不正送金 ～インターネットに直接つながるIoT機器の脆弱性、ハッカーが悪用 ～

• え…？太陽光発電システム？
  • 常時起動、長時間起動……たしかにセキュリティパッチとかが疎かなものが多そうですね…。
  • しかも、自身の機能は損なってないって……。気づきにくいですね…。
• IoT機器の運用って、結構大変なんじゃ💦

【第１０位】7月5日　JAXAにおいて発生した不正アクセスによる情報漏洩 ～ 政府組織は高度なサイバー攻撃の標的としてより強固な対策を ～

• 政府機関は…ある情報の価値がそもそも高いし、この世の中のきな臭さもあれば、そりゃまぁ、狙いますよね……。
• ぶっちゃけ、どれくらいがんばってるんだろう…？
• マイナンバーとか、マヂ怖いんですが…。

編集後記

• 文章がお茶目で、いいですねw

読み終わって

サッと読んじゃおうと思ってたのに、結構興味深くて時間をかけてしまいました。 全体を通して気になったのは…どれもですねw また来年出たら読もうと思います。