怪しさに反応する嗅覚を育てる@KOF2024

4.4K Views

November 10, 24

スライド概要

KOF2024で喋ったネタの増補版
https://www.k-of.jp/2024/

profile-image

NICT, IPA, SECCON, Security Camp, AVTokyo, Japan Hacker Association, Kyushu Univ., Chuou Univ.

シェア

またはPlayer版

埋め込む »CMSなどでJSが使えない場合

関連スライド

各ページのテキスト
1.

園田 道夫 テキストが含まれている画像 自動的に生成さ れた説明 1

2.

Who am I ? • 園田道夫(@sonodam) • 国立研究開発法人情報通信研究機構(NICT)サイバーセキュリティ研究所 ナショナルサイバートレーニングセンター センター長 • https://nct.nict.go.jp/ • https://cyder.nict.go.jp/ • https://rpci.nict.go.jp/ • 独立行政法人情報処理推進機構(IPA)専門委員 • https://www.ipa.go.jp/security/index.html • 経済産業省、IPAなど主催、セキュリティ(&プログラミング)・キャンプ 企画、講師、実行委員、トラックリーダー、プロデューサー等 • https://www.security-camp.or.jp/ • https://www.ipa.go.jp/jinzai/camp/index.html • 中央大学理工学研究所客員研究員 • 九州大学非常勤講師 2

3.

Who am I ? • SECCON実行委員(事務局長) • https://www.seccon.jp/2019/seccon/executivecommittee.html • SecHack365主催・トレーナー • https://sechack365.nict.go.jp/ • 日本ハッカー協会理事 • https://www.hacker.or.jp/association/ • 白浜サイバー犯罪シンポジウム情報危機管理コンテスト審査委員 • http://www.riis.or.jp/symposium23/crisismanagement/jury/ • AVTokyo主催&プログラム(ドリンク)委員 • http://ja.avtokyo.org/ 3

4.

Who am I ? • 2008年、経済産業省商務情報政策局長表彰 • https://www.ipa.go.jp/files/000023964.pdf • 2012年、SecureAsia@Tokyo 2012にてAsia-Pacific Information Security Leadership Achievements(ISLA) Senior Information Security Professional表彰 • https://japan.isc2.org/isla.html • 2018年、情報セキュリティ文化賞受賞 • https://www.iisec.ac.jp/news/20180213culsec_14th.html • 2024年、電波の日情報通信月間推進会会長表彰 • https://www.soumu.go.jp/menu_news/s-news/01tsushin10_02000075.html 4

5.

• 監訳:「ブラウザハック」,「ファジング」, 「ハニーネットプロジェクト」,「実践パケット解析第一版」 • 翻訳:「実用SSH第二版」,「暗号技術大全」,「 Snort2.0侵入検知」 • 著作:「アクセス探偵IHARA 」, 」,「Winnyはなぜ破られたのか」, 「アクセスガール明日香危機一髪」, 「企業情報ネットワークの保護管理」他 • Web連載:「にわか管理者奮闘記シリーズ」 • https://www.atmarkit.co.jp/ait/series/2823/ https://www.atmarkit.co.jp/fsecurity/rensai/beginner201/beginner01.html • Webコンテンツ:「アクセス探偵IHARAリターンズ」 • https://gihyo.jp/admin/serial/01/ihara-returns • センター長 園田道夫のセキュリティコラム • https://nct.nict.go.jp/column/ 5

6.

「切り裂きジャック(Jack the Ripper)」とプログラ ムのソースコードには、実は共通点が多数! 本書では、科学的犯罪捜査の手法を活用し、犯罪 の地理的プロファイルを使ってコミットログから コードベースを視覚化し、開発のホットスポット (不具合が発生している可能性が高いところ)を見 つけ、技術的負債に優先順位を付け、隠れた依存 関係を明らかにします。 それにより、リファクタリングの方向性を評価し たり、チームがソフトウェア アーキテクチャに どのように影響するかを理解したりといった戦略 を立てることが可能になります。また、これらの 分析や戦略は、プログラミング言語、あるいは、 コードベースの規模を問いません。 6

8.

ダイアグラムが含まれている画像 自動的に生成された説明 8

9.

• 数理モデル的な・・・ • 攻撃検知(分類) • 目grepによる攻撃検知 • 学習効果の可視化、スキルの可視化 • 文章における感情の定量化からのデマやフェイク ニュース、詐欺の検出 • 他多数 9

11.

• 闇バイト改め使い捨てポンコツ問題 • IT系セキュリティ系危ない道への歩みとの相違点・共通点 • 行動遺伝学が示唆するタイミングや教育効果 • 嗅覚のための教養 11

12.

• こういううまい話は危ない、と思う感覚 • これに応じたら危ない、と嗅ぎ取る感覚 • こういう嗅覚をいつ誰がどうやって教えれば良いのか? • そもそも教えることができるのか? 12

13.

• 「バイトは○○、あと闇も やってます」 • 借金 • 刹那的な生き方 画像生成AIさんに「普通の バイトと闇バイトに精を出 す学生」と入れたら生成さ れたイメージ。 13

14.

• 「強盗は5年くらいだと思っていた」 • 「初犯だし執行猶予がつくだろう」 • 強盗だけならば5年〜20年。20年になる可能性を切羽詰まって 見ないようにしているか、頭に入ってないか • 5年下限の場合執行猶予はかなり難しい • 強盗致死になると無期懲役〜死刑なのに「強盗」という認識で5 年の範疇だと思って (思い込んで)いる 14

15.

• 「荷物を運ぶだけの簡単な仕事で高収入」 • 「事情があって困っているので、自分の代わりに携帯契約して 欲しい。そういう人たちのがめにクレジットカードを使って 携帯契約しまくる」 • 「新規ビジネスへのリクルーティングのお仕事」 • 「ホワイトな仕事で個人情報不要、短期で高収入」 • フリーペーパーの求人広告で「メールオペレーター募集」 • 罪が軽そう、ホワイトそう、問題無さそう&条件が良い 15

16.

• 「荷物を運ぶだけの簡単な仕事で高収入」 • 「事情があって困っているので、自分の代わりに携帯契約して 欲しい。そういう人たちのがめにクレジットカードを使って 携帯契約しまくる」 そんな(君にとってだけ) • 「新規ビジネスへのリクルーティングのお仕事」 都合の良い仕事なんて • 「ホワイトな仕事で個人情報不要、短期で高収入」 あるわけがない(笑) • フリーペーパーの求人広告で「メールオペレーター募集」 • 罪が軽そう、ホワイトそう、問題無さそう&条件が良い 16

17.

闇バイト改め使い捨てポンコツ の場合、いわゆる「情弱」が あきらかに ターゲットになっている 17

20.

• そもそも手口や危険性を知らず、Xなどで流れてくるいかにも 怪しい誘いにも飛びついてしまう • 注意喚起にもリーチできていないどころか、事件報道にすら リーチできていない可能性も高い • あるいは、リーチできていたとしても解釈が甘かったり推測 が足らず、目前のホワイトっぽい誘いと関連づけられない 20

21.

• 警察の渾身の呼びかけにもリーチできていない? • 渾身の呼びかけ「闇バイトしそうになっていても、実行前に 警察に来てくれたら全力で保護します」 • 全力で保護とはどえらい表現で、家族に危害を加える、という のすら防ぐ覚悟があることの表明 • 「署員はテレグラムを消去するよう求め、保護措置の協力を提 案した。だが翌29日夕、本人から辞退の申し出があり、再び 闇バイトに応募したとみられるという。」 • https://www.asahi.com/articles/ASSC62PLRSC6UTIL016M.html 21

22.

• 欲望に弱く、借金してしまう • 自己完結できないから借金が膨らむ→視野狭窄 • 「ホワイトで現金が即稼げて個人情報不要」とか言われると、 注意情報にリーチできていても受けるべき理由を自己補完して 受けちゃうのかも • 「発注側」がタスクをかなり細分化して「発注」してるっぽいので、 怪しさを感じ取りづらい(それが狙いかも) 22

23.

• 「ちょっと他人のパスワード使うだけなら大した罪にならなそう、 いたずらとして認知されそう」 • 「このツール、セキュリティに役立つって話だけど、自分がいつ も利用してるこのサイトに使ってみようかな →うわ何だこんなにアッサリ見つかっちゃったけど →どっか相談できるとこ無いかな →(煽られたり誘導されたりで犯罪的な泥沼にはめられてしまう)」 • ネットで探し当てた安全という保証の無いものに引っかかる図式 はある意味情弱(専門領域、興味領域については情強なのに) 23

24.

• プログラミングやエンジニアリングが得意で↑のような行動が リスキーだとの認識を持てている人は、そもそもプログラミ ングやエンジニアリングのレベルが高い印象 • →逆もまた真なりで、レベルが上がれば視野が広がり、リス キーだとの認識を得ていることが多いし、得るための機会を 多く作り出せるようになっている • →うわーこの分野おもしろいからどんどんものづくりやって みよう、と入門から急速に伸びているような人は、セキュリ ティにまでリーチしていないことが多い (それでも運良く?リーチできている場合はあるが、稀な例) 24

25.

• 中学あたりで部分的に教科情報に触れ始めるが、教科書の中身 は以前より増えているものの割合もわずかで、犯罪的な部分に 関してなぜいけないのか、どういう法律があるのか等につい ては皮相的にしか触れられていない • ブラック的になるのを厭わず言えば先生に頑張って欲しいけど・・・ • 中学年代から触れ始めることは行動遺伝学的には適切 25

26.

• 世界的には遺伝の学業成績への影響が大きいと言える。一方、遺伝 以外(家庭環境や個人的体験)の影響も少なくない • 遺伝、家庭環境や親の態度、個人的体験はイギリスでは遺伝が最も大きく平 均的に60%を越えるが、アメリカでは40%、日本では30%を下まわる。家 庭環境や親の態度の影響はイギリスで20%程度、アメリカは30%、日本は 50%を大きく超えている。日本では小学校より中学校年代の方が家庭環境や 親の態度などの影響が大きい • 犯罪に関しては15才がひとつの区切りとなる • 15才より下の年代は家庭環境や親の態度の影響が大きいが、15才以上では 遺伝の影響が大きくなる • 自律的に動き始める年代 • 犯罪に関して最も影響力があるのは家庭外などでの個人的な体験。 年代を問わず、遺伝を上回る影響力を持つ 26

27.

• 家庭外での良き個人的体験のために何ができるか? • 友達を選べ、というのは正しい。良い学校(≠成績が良い、=善良な友達、善 良なコミュニティを多く持つ学校)に行く、学校の中でも善良なコミュニ ティに近づく、などが重要になってくる • 荒んだ家庭環境にしないこと(笑)や親の態度として社会やルール を軽視するようなことはしないなども重要 • 教育格差という観点も含めると、経済面も重要ではあるが • 親は善良であること、ポジティブであることが大事 • その上で犯罪的傾向を抑制するためには、どういうことがいけない ことなのか、犯罪に繋がるのかを親が正しく認識していて、それは あかんと15才までに説く、教え込むことが大事 • 耳学問ならぬyoutube学問等で聞きかじりの子供を論理的に説得できるだけ の材料と見識、知識≒教養が必要ジャマイカ 27

28.

• 借金持ちなどの理由は少ない • 犯罪統計的にはローティーン含むティーンエイジャーや20代の 割合が多い(サイバー) • 陰キャでボッチが多い(同じ趣味の人が(物理的な)周囲に少ない) • 関心分野においては情報強者であり、そのことに関する承認欲 求は強め((物理的な)周囲に認められていない反動) 28

29.

• 自分の関心分野に関する技倆を称賛される場を求めていて、承認欲 求が満たされたらリスキーな行動も厭わない(その点ある意味情弱 であるため危ない認識が無いし、捕まっても3年以下とかでしょと か思ってる) • 懲役は3年以下なので初犯なら執行猶予がつく可能性は高いので、軽そうに 見えるけれども、重い損害賠償を請求されたら若い身空で家1軒分あるいは それ以上稼がなければならない • 何なら賠償はもっと重くなる可能性もある。誰が払うのか?親?親が払うと したら親や家族の経済は破綻するし、社会的に風当たりが非常に強い犯罪者 家族になってしまう • 前歴による懲役以外の社会的な罰(家族や友人から縁を切られる、 就職が困難になる、ローン組みづらくなる等々)もある • つまりこういうこと↑を説けるのかということ • ITやサイバーセキュリティと向き合って思考停止せず説くための教養 29

30.

30 • 法律等、世の中のルールに(程度の差はあるが)無知である • とはいえ、専門家に教わる機会は一般的にほとんど無い • セキュリティ・キャンプやSecHack365ではいの一番に講義してる • 見た目のホワイトさや、褒めてくれる大人たちの裏の悪さにも無知で ある • 気づいてしまったことをどこに持って行けば良いかにも無知である • 総じてリスクに反応する嗅覚が乏しい

31.

• 知識 • 知識を得る手段は今やネットにも豊富にあるが、なぜか嗅覚に必要な コンテンツには到達していないことも多い • からの見識 • 経験知 • これも補完するコンテンツがネットに割と豊富にあるが・・・ • つまり見たくないものは見ないで済むという、インプットを現在の 狭い視野の自分に最適化できる仕組みの弊害 嗅覚があれば借金もしないのでは。過剰なマーケティングに負けない芯を持てる 31

32.

• 幅広い知識が強制的に入って来る仕組みを切り捨ててきた • タイパが悪い、好きな、知りたい情報のみで良い、というノリ • その結果、陰謀論スイッチが入るとそれを補強しまくるようになるし、 狭い領域をノイズも含めて食べ尽くす知識のサイロ化っぽい状態になる • 狭い領域を深掘り&ノイズ集めすることでドーパミンが出て来る構造に なった結果、 極端な視野狭窄に • 社会性を保持できる程度にバランスを保てるのなら、深掘りは悪いことでは無い が・・・ • 事件報道や警察や政府の呼びかけにリーチする機会も激減 • 新聞も取って無ければ地上波テレビもアニメ以外見ない • 好きなことをひたすら掘り続けるだけで拡がりもしくは拡がるきっかけ が無い • より深く掘り下げるためには土台の幅広さが必要なんだけどね 32

33.

• セキュリティを掘り下げるた めにはコンピューター科学の 知識が必要であり、DX後の未 来を解像度高く見透せる想像 力とそれを支える教養が必要 だよね • セキュリティは幅広いけ れど、それだけではDX後 の未来の解像度を上げる には不足 33

34.

• 必要と思われるコンテンツに誘導する • 親や家族、友人も中身を知っているとなお良い • 事件報道について質問してみる(解説して、教えて) • 親や家族、友人も事件報道に接している必要がある • 可能ならお子様たちや友達のネット上での交友関係、コミュニティ について情報収集したい • →コミュニティの脅威、同調圧力などについて解決策を聞いてみる • 教えさせる、考えさせることで承認欲求をうっすらと満たしつつ、コンテ ンツや情報収集の必要性に気づかせる • →実際に頼りにすることで、自発的なコミュニケーション、情報発 信に繋げてリスクヘッジを自然に促す • →教養を武器に、的確かつ刺さる質問をし続ける力が周囲に必要 34

35.

• 使い捨てとして犯罪に取り込む側は、取り込める層のことをと ても良く研究していて、情弱さや弱点につけ込んでくる • 人間的攻撃に対抗できるのはある種の嗅覚 • 嗅覚は幅広い知識を背景に形成されていく • 嗅覚を強化する方向に探求心を向けさせる • 犯罪的傾向については家庭環境も重要だが、個人的体験に怪し いものが入り込まないようにする働きかけが大事 • こちらから教えることが効果的なのは15才未満 35

36.

• 使い捨てとして犯罪に取り込む側は、取り込める層のことをとても良く研究していて、情弱さや 弱点につけ込んでくる • 法律やルールを知らない、釣り込み手口を知らない、おだてられたことが無い、心理的誘導について知識が無 い等が弱点例 • 人間的攻撃に対抗できるのはある種の嗅覚 • 嗅覚は幅広い知識を背景に形成されていく • 狭く深い知識だけではその領域に関するモノ以外は得られないため、技術力が高いエンジニアが取り込み詐欺 に騙される、なんてことになってしまう • 親や家庭環境にいわゆる教養が必要 • 嗅覚を強化する方向に探求心を向けさせる • 教える立場は教わる立場の3倍は勉強しなければならない=危なそうなヤツに質問し、教えてもらう戦術 • 教えてもらう側にも的確に相づちを打てるほどには知識が必要なんだけどね(笑) • 犯罪的傾向については家庭環境も重要ですが、個人的体験に怪しいものが入り込まないようにす る働きかけが大事 • 行動遺伝学的には非共有環境 • 非共有とは共有の対義で、主に一卵性の双子の調査に由来する表現。双子が最終的には同じあるいは近い職業、 環境、癖になるんだけど、その状況に因果関係を持つものを分類して効力を見積もるとき、家庭環境や親の方 針どの共有領域と、家庭外の学校等での個人的な体験など非共有=双子で同じではない環境ファクターと、遺伝 的要素に分けて分析している • こちらから教えることが効果的なのは15才未満 36

37.

• 「教育は遺伝に勝てるか?」 安藤寿康・著 • https://publications.asahi.com/product/24322.html 37

38.

• 家庭環境や親の態度、個人的体験のどこかで情弱にならないよ うな仕掛けが大事 • 教養を武器に怪しさを嗅ぎ取ろう • ・・・とまとめましたが(笑) • 特に「親」や家庭環境というところに直感的に難しさを感じる 方々が多かった@KOF • 15才までに嗅覚に役立つように刺せるのは学校もあるよね! • ということで(笑)、次の講演者さんの時間厳守を自己規制し た結果、言及できなかったけれども、現在SecHack365事業に 関連する試みについてご紹介 38

39.

• SecHack365とは、1年間のハッカソン(U-25) • セキュリティの課題にアイディアで切り込む • OSや開発言語やIoT的ハードや研究論文や小説や料理やシステ ムやソフトウエアやアプリや芸人を作っております ヽ(´ー`)ノ • 何か新しいものを作ろう、と思える人材を輩出したい(目標) 39

40.

• おもしろいものを生み出す人が出てきている実感はある • 出て来る確率をもっと上げたい!という課題感はある • 主にサイバーセキュリティに関わる領域の社会的課題に対する 認識や解像度が甘いことが原因かも • じゃあ認識と解像度を良くすればよい! 40

41.

• SecHack365 エピソード0(ゼロ) • 中高生を対象とする出張授業 • 本出張授業では、中学生・高校生が「セキュリティ」と「イノ ベーション」に興味を持ち、社会全体が抱える未解決の課題に ついて認識し、理解を深めることを目的としています。これ により、「セキュリティ」や「イノベーション」に興味を持 つ若年層の裾野を広げ、SecHack365の認知度を高めることを 目指しています。 • https://www.nict.go.jp/press/2024/09/06-1.html • プロモーションと課題認識、解像度向上の一石二鳥狙い 41

42.

SecHack0 • 先生用の資料も作成済み • 先生にもディスカッションを体験 してもらい、意見発表へのコメン トのナイスさを向上させたい • インストラクター用動画コンテ ンツも制作したい • →よくある教材が欲しい、との声 に応えたい 42

45.

• セキュリティ・ミニキャンプ石川大会(オンライン)12/7 • CYDER • Aコース(入門)11/13、12/3 • B-1コース(地方自治体向け)11/14、12/4 • B-2コース(一般向け)1/28、1/29 • Cコース(準上級)1/30〜31 45