カスペルスキーは12月5日、セキュリティに関するプレスセミナーを行った。これまでにも毎年GReAT(Global Research & Analysis Team)メンバーによるプレスセミナーを行っていたが、今年から「サイバー セキュリティ フォーラム」と名称を変えて意見交換の場にするという。今回はシンガポールと日本から2人が登壇した。

カスペルスキー 代表取締役社長の川合林太郎氏。最近オーディオに再度ハマりつつあるということで、「音源」(セキュリティ技術)を読者に届ける「音響機器」(メディア)に期待しているという

Kaspersky Lab グローバル調査分析チーム APACディレクターのヴィタリー・カムリュク氏。実験的に、"プレゼン資料のないプレゼン"を行った

飛行機で隣り合わせた人が自分のことを知っていたら?

まず、Kasperkey Labからグローバル調査分析チーム APACディレクターのヴィタリー・カムリュク氏が登壇。予定では「世界のサイバー驚異の総括と2017年の予測」だったが、今回は実験的趣向であらかじめ用意された15の事例と記者自身の経験に対してヴィタリー氏がコメントを行うものとなった。

ここではすべてを紹介しないが、たとえば「飛行機で隣り合わせた人が何故か私がどこで働きどこで暮らしたかを知っている。彼はその場所からできるコンサルタントの仕事をパートタイムでやらないかと誘ってきた」という事例に関しては、JTBの標的型攻撃を例にあげ「(旅行会社や航空会社への)攻撃が成功すれば、ターゲットがどこの飛行機のどの席に乗るかわかる」とコメント。隣の席に勧誘者をアサインすればコンタクトが容易になるという。

また「停電が何日も続いている。明かりも電気もないし、店も皆閉まっている。エアコンも動かないし、温かい食事もできない。政府は緊急事態を宣言した」という事例に関しては実際にウクライナの東部でサイバー攻撃が発生し、しかも電力会社に侵入したマルウェアは、動作後に自動消去されており、アナリストが調査できなかったという。

ここでは電力の話だが水道プラントにも攻撃事例があり、サイバー犯罪が社会生活に大きな影響を及ぼす事が現実になっているという。

アカウント情報の入力ミスにも注意

記者自身のストーリーとして「たとえば、多くのパスワードを持っており、まったく異なるサイトに他サイトのアカウント(IDとパスワード)を入れてしまうミスがある。他社にそのアカウントを知らせてしまうことになるが、元のパスワードを変えるべきか?」という質問に、ヴィタリー氏はfacebookのザッカーバーグ氏の例を紹介。

LinkedInから漏えいしたパスワードハッシュから、本来のパスワード("dadada"とたったの6文字)が分析され、TwitterやPinterestが一時乗っ取られたという。

教訓としては同じパスワードを他のサービスでは使わないこと。そのためにはツールを使ったり、サービス名とルールを決めてパスワードを変える事を推奨していた。また、サービスによってIDは異なるがパスワードが同じという場合、ソーシャルハッキングテクニックでIDが関連付けられると、同じパスワードでは問題があるとコメントしていた。