第７４９号コラム：松本　隆　理事（株式会社ディー・エヌ・エー　技術統括部　セキュリティ部） 題：「ロシアにおける暗号資産での国外送金事情」 ロシアによるウクライナへ侵攻から1週間ほどたった2022年3月2日。いつものようにロシア語圏のサイバー犯罪者が集うフォーラムを流し読みしていたところ、あるトピックに目が留まった。【戦争始まったけど手持ちのロシア・ルーブル（以下ルーブル）どうする？】と題されたスレッドは、フォーラムのホットトピックスとして、いくつものコメントがついていた。そこでは、 「ステーブルコインに替えて安定的に資産確保したい」 「Bitcoinなどのメジャーな暗号資産に変えて資産運用したい」 「マネーロンダリングのサービスを利用してEUで現金化したあと海外の資産管理サービスに預けておきたい(※1)」 「どうせ戦争はすぐに終わるから、ローカルの取引所でルーブルを買い叩いて戦争終結後の

松本 隆　理事 （株式会社ディー・エヌ・エー　システム本部　セキュリティ部） 題：「2021年の偽造業者」 今年3月に発覚した全日本私立幼稚園連合会の事案では、およそ4億円の使途不明金のつじつまを合わせるために、前会長や元事務局長らが関与して、実際にはほぼ無くなっていた残高を大幅に水増しした複数の銀行口座の通帳を偽造していた。横領や使い込みを隠ぺいするために、切羽詰まった犯罪者が偽造業者（代書屋/道具屋）に通帳や残高証明の偽造を依頼することは珍しいことではない。 偽造された通帳を入手したメディアは、こぞって問題の画像を報道した。偽造通帳は利息や振込手数料なども記載され、真正なものを装っていたが、改めて真正なものと見比べると、漢字や数字などの印字のフォントや記号の大きさなどが微妙に異なっていた。拡大された比較画像を観たであろうネット住民からは「杜撰である」「素人仕事だ」などといったコメントが

第５９６号コラム：佐藤 慶浩 副会長（オフィス四々十六　代表） 題：「個人情報保護法改正に向けて」 個人情報保護法の改正にあたっては、個人の権利利益の保護という原点に戻るべきである。 個人情報保護法の現在の運用は、保護の対象が個人の権利利益というよりは、個人情報を保護することに偏重していると思う。個人の権利利益の保護と言ってしまうと、すべての法律に共通なことということになってしまい広範だが、個人情報保護法においては、とりわけ、プライバシーを保護することが原点であろう。 言い換えると、保護の対象がプライバシーではなく、個人情報になってしまっているのが問題だと思う。 たとえば、日本では、電話番号が個人情報に該当するか否かをどう解釈するかを議論し続けているが、諸外国では電話番号の利用の仕方について議論する。国によって規制内容は異なるが、電話を使って販売勧誘をするテレマーケティングを週末や夜間にす

第４２４号コラム：松本 隆　理事（SCSK株式会社　セキュリティサービス部　エバンジェリスト） 題：「匿名マーケットがもたらしたもの」 匿名マーケットを眺めていると時間がいくらあっても足りない。業務時間だけでは足らず、プライベートの時間を削って眺めている。並ぶのは、現実空間では所持すら許されない非合法なドラッグ、武器、プライバシー情報などのコンテンツだ。マルウェアやゼロデイ、ハッキングサービスなどもある。もちろん私自身は違法な取引はしない。ただ商品を眺めているだけだ。眺めているだけで、いろいろ興味深いものが見えてくる。 匿名マーケットとは、ディープWebに存在する取引の匿名性が担保されたマーケットだ。ちなみにディープWebというのは、Torの匿名化通信技術などを利用してインターネットの中につくられた、理論上匿名かつ追跡不可能な小さなネットのことだ。匿名マーケットでは、上述したような違法な商

第４１１号コラム：石井 徹哉　理事（千葉大学　副学長　大学院専門法務研究科　教授） 題：「自動運転自動車におけるログの保存」 自動運転自動車については、政策的な後押しもあり、この数年間で実社会に投入される見込みが高いといえます。しかし、実社会への投入に際しては、法制度上クリアすべき課題があるだけでなく、整備された法制度を運用するにあたってこれを支援するための規格の策定等も必要になってきます。その中の一つが、自動運転自動車における運転記録の内容とその保存のあり方です。 前提として確認すべきことは、2点あります。まず、道路交通法は、その70条に示すように、車両等の運転者に対して、安全運転の義務を課しています（「車両等の運転者は、当該車両等のハンドル、ブレーキその他の装置を確実に操作し、かつ、道路、交通及び当該車両等の状況に応じ、他人に危害を及ぼさないような速度と方法で運転しなければならない。」

第３６９号コラム：松本 隆 理事 （ＳＣＳＫ株式会社　セキュリティサービス部　エバンジェリスト） 題：「成熟したSOCを目指して」 皆さんはSOC（Security Operation Center）アナリストピラミッドをご存知でしょうか？SOCアナリストピラミッドとは、SANSのブログで取り上げられたSOCアナリストの業務を視覚化したモデルです。現場のアナリストにも（割と）好意的に受け入れられており、一般の方にとっつきにくいSOCの業務を直感的に分かりやすくモデル化しているため、筆者もサービスの説明をするときなどに利用させてもらっています。 https://isc.sans.edu/forums/diary/SOC+Analyst+Pyramid/19677/ このピラミッドはシンプルで非常に分かりやすいモデルなのですが、一方で現状のSOCが抱える課題も浮き彫りにしていますので、今回はそ

第３５９号コラム：上原 哲太郎 理事（立命館大学　情報理工学部　情報システム学科　教授） 題：「情報セキュリティ人材が足りない、は本当か」 情報セキュリティの世界を支える人材の育成は、いつでも良く課題として取り上げられてきましたが、最近特にその声が大きくなってきています。２０１３年６月情報セキュリティ政策会議の「サイバーセキュリティ戦略」でも人材育成は大きく取り上げられ、２０１４年５月には「新・情報セキュリティ人材育成プログラム」が打ち出されました。 これらでは、情報セキュリティ人材の不足が言われています。その根拠となっているのは、多くの場合２０１２年に行われたＩＰＡの「情報セキュリティ人材の育成に関する基礎調査」報告書ではないかと思います。 http://www.ipa.go.jp/security/fy23/reports/jinzai/ 曰く、企業における情報セキュリティ人材は現在２

第３３４号コラム：上原 哲太郎　理事　（立命館大学　情報理工学部　情報システム学科　教授） 題：「今年はソフトウェア脆弱性の当たり年？」 今年(2014年)は本当に驚くほど深刻かつ影響範囲の大きいソフトウェア脆弱性が次々報告されており、後年から「当たり年」として記憶されるような年になりそうです。まずはそれを振り返ってみましょう。 まず4月、広範に使われているSSL/TLSライブラリであるOpenSSLに深刻な脆弱性が見つかりました。これはSSLの仕様にあるHeartbeatという機能の実装の不具合に起因していまして、攻撃者はこの不具合を突いてOpenSSLが用いられている各種サーバのプロセス内のメモリの一部を読み取ることができます。このメモリ内には、直前の利用者のユーザ名やパスワード、HTTPS通信時のCookie、そしてサーバ側の秘密鍵が入っている可能性があります。この脆弱性はその攻撃の