【転載】「パスワード付き添付ファイル」が無意味どころか社会の害になる理由

「パスワード付き添付ファイル」が無意味どころか社会の害になる理由 | 及川卓也のプロダクト視点 | ダイヤモンド・オンライン:

 日本では広く採用されている「メール添付ファイルのZIP暗号化」はセキュリティ的にはほとんど意味がないことをご存じだろうか。そればかりか「受け手の体験を損ない、社会の効率を下げる行為だ」と指摘するのは、マイクロソフトやグーグルでエンジニアとして活躍し、現在は複数の企業で技術顧問を務める及川卓也氏だ。及川氏が、相手のユーザー体験、社会全体の効率化を考える必要性を説く。

添付ファイルのZIP暗号化だけでは
セキュリティ的には意味がない

　企業にとって、重要なファイルを外部と共有する際に、その内容を第三者の誰かに盗み見られないようにすることは、取引上の機密やコンプライアンスを守るためにも、個人情報保護などの観点からも不可欠です。そのための漏えい防止策のひとつとして、メールで送付したいファイルを「パスワード付きの暗号化ZIPファイル」に加工してから添付して送信するという方法が、日本ではよく採用されています。

　読者の皆さんの所属する組織でも、メールでのファイル送信時にそうしたルールが設けられているかもしれません。また自身の職場でルール化されていなくとも、相手方から暗号化ZIPファイルが送られてきた経験は、どなたにもあるのではないでしょうか。しかし、その暗号化ZIPファイルのセキュリティは、ほとんどのケースで守られているとは言いがたいのです。なぜなら多くの場合、その添付ファイルを送信したメールと同じ経路、つまりメールでZIPファイルのパスワードが送られているからです。

　この方式はセキュリティに明るい人たちの間で、皮肉を込めて「PPAP」と呼ばれています。日本情報経済社会推進協会（JIPDEC）の大泰司章氏が名付け親で、「Password（パスワード）付きZIP暗号化ファイルを送ります」「Passwordを送ります」「Aん号化（暗号化）」「Protocol（プロトコル）」を略したものです。

　なぜPPAP方式ではセキュリティが保持されないのか、もう少し詳しく見てみましょう。ファイルをZIP暗号化する目的は大きく2通りあります。1つは“Man in the Middle”、すなわち送信者と受信者との間で悪意を持った第三者がデータを盗む、中間者攻撃を防ぐこと。添付ファイルが送信経路のどこかで不正に取得されたとしても、パスワードでファイルを暗号化することで、中身を確認できなくするという考え方です。

　もう1つは、送信者が送り先を間違えた場合。パスワードを暗号化ファイルと別々に送信するので、両方の送り先が違ってさえいれば、つまり2度送り先を間違えなければ、誤送信された第三者がファイルの中身を見ることはできません。

　PPAP方式では、この両方のパターンでセキュリティ保護の効果はありません。悪意の第三者がファイルが添付されたメールを盗み見ることができた場合、パスワードが書かれたメールも見ることができるはずです。こうしたケースでは、メールアカウントとそのパスワード自体が既に不正に取得されていることも多く、暗号化ファイルのパスワードは電話やチャットツールなど別の経路を使って伝えない限り、意味はありません。

　また2つ目のパターンについては、パスワードを手動で、正しい宛先に送っていれば、確かに情報漏えいの危険性は下がります。しかし実際のところ、かなり多くの企業が添付ファイルのZIP暗号化とパスワードの発行・送信を自動化するシステムを取り入れています。これは送り手側の手間を楽にするためですが、このシステムを使っている限り、添付ファイルを送った先のアドレスが間違っていても、必ず同じアドレスへパスワードを送ってしまうことになります。これでは、もとの「ファイルの内容を漏えいさせない」という目的は決して果たすことができません。

PPAP方式の暗号強度は低く
むしろセキュリティ的には悪影響

　そもそも、一般的に使われているパスワード付きZIPファイルの暗号強度は、それほど強くありません。現在普及しているパソコンのCPU、GPUの性能でも、パスワードの総当たり攻撃をかければ、英大文字・小文字と数字を組み合わせた8桁のパスワードが半日程度で解析できてしまうようなものなのです。

　しかも、せっかくメールサーバー側で添付ファイルのウイルス検知が行えるシステムが導入されていたり、マルウェアフィルターが設置されていたりしても、添付ファイルにパスワードがかかっていると、これらをすり抜けてメールが届いてしまうため、逆効果になることさえあります。

　普段からPPAP方式でファイルのやり取りをしている組織の場合、標的型攻撃にも弱くなります。標的型攻撃とは、機密情報を盗み取ることなどを目的に、特定の組織・個人を狙うもの。業務に関係のあるメールを装ってウイルスが含まれる暗号型ZIPファイルが攻撃者から送られてきても、常にPPAP方式でファイルのやり取りをしていれば、受け取る側は疑問を持たずに開いてしまうことでしょう。

　ちなみに海外では、機密性の高いファイルのやり取りにPPAP方式は基本的に使われていません。日本の企業とファイルのやり取りをすることになって、暗号化ZIPファイルを受け取ったり、PPAP方式での送信を指定されたりした相手側は、戸惑うケースがほとんどです。

　この何の意味もないPPAP方式に代えて、外部とのファイルのやり取りを比較的安全に行う方法がないわけではありません。グーグルドライブやマイクロソフトのOneDrive（ワンドライブ）をはじめとする、インターネット上のフォルダー（オンラインストレージ）を利用する方法です。このやり方なら、ファイルやフォルダーにアクセス制限をかけてダウンロードができるユーザーのみに権限を付けることで、安全にファイルのやり取りが可能です。万が一、間違ったユーザーに権限を与えてしまうようなことがあっても、ストレージから速やかにファイルを削除することで被害の広がりを防ぐことができます。

受け手の痛みを考えない一方的な暗号化が
社会全体の効率を下げる

　では、なぜ日本からPPAP方式のファイルのやり取りはなくならないのでしょうか。ひとつは社会にあまりにもこの方法が定着してしまったので、企業が別の方法への切り替えができなくなっている、という理由があります。そしてもうひとつ、最大の理由は「送り手に痛みがないこと」だと私は考えています。

　1998年から使用許諾が開始されたプライバシーマークの取得などで要件を満たすために、多くの企業が添付ファイルのZIP暗号化を採用し、確実にファイルの暗号化が行われるように、パスワードの発行・送信とセットで自動化を進めてきました。その結果、今ではファイルを送信する側は手間をかける必要なく、ZIP暗号化ファイルを送ることができるようになっています。このため、自分たちが面倒に感じたり、困ったりすることがなくなり、ファイルを開封する受信者の手間、相手の体験が悪くなっていると思い至りにくくなっています。

　一方でファイルを受け取る側は、暗号化ZIPファイルが届く度に、別のメールで送信されてくるパスワードを確認してコピー・ペーストして、開封する手間がかかります。私などは研修で20人ほどの受講者から課題の提出を受けることがありますが、おのおののファイルがZIP暗号化されていると20回分、この作業を繰り返すことになります。

　送り主はエンジニアなど技術に詳しい方が多く、PPAP方式の無意味さはよく分かっている方ばかりなのですが、組織でシステムが導入されているなど、仕組み上、この方法でしかファイルを送れないといいます。会社も社員も思考停止してしまっているために、受け手の体験まで考慮されなくなってしまい、結果として社会全体では効率が悪くなっているのです。

マイナンバーにオンライン会議
受け手の体験を無視した強要は他にも

　受け手の体験を考えない仕組みやコミュニケーションの強要は、PPAP以外にも数多くあり、それぞれが社会全体の効率を下げる結果を招いています。例えば、企業が取引先の個人事業主（フリーランス）に求めるマイナンバーの提出方法などもそれに当たります。

　企業は取引先のフリーランスへ支払いを行った場合、税務署に提出する支払調書に相手のマイナンバーの記載が義務付けられています。このため、マイナンバーの提出が企業からフリーランスに依頼されることになるのですが、知人に聞くと「提出方法が各社各様で、委託元によって全く異なる様式で送付が求められるので、とても不便である」とのこと。中にはマイナンバーのコピーを印刷した指定の用紙の指定の場所に、切って貼って郵送するような「工作」をしなければならないケースもあるそうです。

　これが長期契約での業務であればともかく、単発の講演などを依頼されて引き受けたような場合でも、各企業で異なる様式の書類提出を毎度やり取りしなければなりません。このケースでも企業の側はそれほど痛みはなく、「国の決まりだから仕方がない」「業務委託先だから引き受けてくれるだろう」と思考停止して依頼しているに過ぎないのですが、受ける側は手間が大変かかり、痛みを全て引き受ける形になります。

　今後、ITでやり取りが完結するようになればよいのですが、マイナンバーのやり取りも受け手の体験を依頼する側が考慮していないことで、社会全体の効率が悪くなっている例のひとつです。

　私が「受け手の体験を考えない」コミュニケーションとして、PPAP以外に最近気になっているのは、オンライン会議でプレゼンテーションをする際、資料を全画面のスライドショーではなく編集画面のまま画面共有するパターンです。送信者は大きな画面で操作をしているのかもしれませんが、出先などで、小さな画面でミーティングに参加せざるを得ない人はプレゼン資料が小さく見にくくなってしまいます。

　これも正当な理由があればよいのです。プレゼン用途で資料を表示するのではなく、参加者全員で議論をしながら資料を共同で作っていくための話し合いの場としてオンライン会議が実施されているのなら、編集画面で問題ないのです。

　しかし「スライドショー表示のやり方が分からないから」「以前やってみたけれどもうまくできなかったから」というのでは言い訳でしかありません。それなら事前にどうやれば操作できるのかを確認したり、勉強したりすればいいだけの話です。相手のことを考えていない自分だけの理由、送り手側の怠慢で、自分は困っていないかもしれないですが、見ている側はストレスがたまります。

　こうしたケースでも、まずは相手の体験を良くすることを考えるべきです。それは相手の体験を良くすることが、コミュニケーションをスムーズにすることにつながり、最終的には情報を共有する対象者全体の効率化につながるからです。社会全体の効率化を考えれば、自分の都合で作業や不自由を相手に押しつけるのではなく、受け手の体験も含めて考える必要があるのです。

クリップボード履歴機能はWindows10に標準装備されていた！！

先日、新規に購入したPCが到着し、セットアップを進めている。

基本的にデータはクラウドにあるため、アプリケーションを入れるだけで済むのだが、毎回フリーソフトを導入することに違和感を感じ、Windowsの標準機能でこなすことができないかを考える。

最近のWindowsは意外に進化が目覚ましく、Snipping Toolsとか、Stickey Notesとか、WSLとか、標準機能ながら個人的な要望を十分満たせるモノがそろいつつある。

PC購入前までフリーソフトで頑張っていたのはクリップボードの履歴ツール（所謂キーロガーツール）である。

ダメもとで調べてみると実装されていることを知り、びっくりした。

使い方もいたって簡単で、「Windowsキー」+「v」キーを押すと初期設定画面が出てくるので、「有効化する」ボタンをクリックするだけである。

以降は自動的に（最大25件だっけかな？）保存し、履歴を使いたければ「Windowsキー」+「v」で呼び出すことができる。 

Windows10は意外な便利機能が標準でどんどん増えているので、ちゃんとキャッチアップせねばと思った。

【転載】FBIが「ホテルのWi-Fiリスク」について注意喚起：サイバー攻撃のリスクに用心

FBIが「ホテルのWi-Fiリスク」について注意喚起：サイバー攻撃のリスクに用心 - ＠IT:

　米連邦捜査局（FBI）はホテルの無線ネットワーク（Wi-Fi）をテレワークに利用する際には注意するよう米国民に呼び掛けた。日本でホテルを利用する場合にも十分当てはまる内容だ。

　FBIが注意を喚起した背景には、自宅以外にホテルでテレワークをする傾向が出始めていることがある。大都市のホテルを中心に、静かな執務環境を求める利用客を対象として、日中の部屋予約を募る広告が目立ってきている。

　ホテルでのテレワークは魅力的な選択肢かもしれない。だがホテルのWi-Fiから機密情報にアクセスするのは、自宅のWi-Fiからアクセスする場合よりもセキュリティリスクが高いと、FBIは警告する。ホテルではWi-Fiのセキュリティ対策に一貫性がなかったり、甘かったりすることが背景にある。利用客のセキュリティへの無関心を悪用して、サイバー犯罪者がビジネスデータや個人データを侵害する恐れがあるという。

　その結果としてユーザーが使用するビジネスネットワークに不正アクセスされる可能性がある。こうなるとビジネスデータを盗まれたり、ランサムウェアを含むマルウェアをアップロードされたりしてしまう。

ホテルのWi-Fiにはどのような危険性があるのか

　FBIはホテルのWi-Fiの危険性として、次の4点を挙げている。

1. 同じ無線ネットワークを不特定多数が利用する
   　不特定多数の利用者が限られた場所で同じWi-Fiを使うホテル環境には特有の危険性がある。サイバー犯罪者がWi-Fiユーザーのインターネット閲覧を監視したり、Wi-Fiユーザーを偽のログインページにリダイレクトしたり、ホテルのネットワークと似た名前の悪意あるネットワークを運用したりする恐れがある。
   
   
2. 不十分なセキュリティ
   　ホテルのネットワークは、堅牢（けんろう）なセキュリティよりも利用客の利便性を優先する傾向がある。小規模ホテルではWi-Fiアクセスのパスワードを記したプラカードをサービスコーナーに掲示した上、パスワードをほとんど変更しない場合も少なくない。
   
   
3. 見当違いなセキュリティ
   　ホテルのWi-Fiにアクセスするには通常、部屋番号とパスワードの組み合わせが必要だ。だがこれではWi-Fiにアクセスするデバイスを限定できるだけだ。Wi-Fiが安全なインターネット接続を提供するとは限らない。
   
   
4. 対策が十分かどうか確認できない
   　ホテルがWi-Fiを適切に保護しているという保証がない。さらにWi-Fiへの攻撃を適切に監視しているという保証もない。

　4番目の危険性に関連して、FBIはホテルのネットワークインフラの大部分に対して利用客のコントロールが全く及ばないことにも注意を促している。利用客は一般に、ホテル内の無線アクセスポイントの物理的な場所や使われているネットワーク機器の使用年数の他、ホテルが機器のファームウェアをどのような頻度で更新しているか、機器のデフォルトパスワードを変更しているか否かについても、知るすべがないとしている。脆弱（ぜいじゃく）性が残ったままの機器に対してホテル側が何の対策も打っていない可能性がある。

攻撃にはわずかな予兆がある

　高度なサイバー攻撃には予兆がないものも多い。ハリウッド映画が描写するサイバー攻撃とは似ても似つかない。それでも以下のような挙動が見られた場合はサイバー攻撃を疑うに足りる。

　ハードウェアについてはモバイルデバイスが突然遅くなったり、データ使用量が突然増加したりする。バッテリーの残り容量が通常よりも素早く減少することもある。

　ソフトウェアではユーザーがアクセスしようとしたWebサイトから自動的にリダイレクトしたり、ポップアップ広告が増加したりする。さらにはカーソルが勝手に動き始めたり、モバイルデバイスが操作もしていないのにアプリケーションを起動したりする。ユーザーが操作していないのに、携帯電話が発信したり、テキストや電子メールが送られたりする。

ホテルのWi-Fiのリスクを軽減するための12の推奨事項とは

　ホテルWi-Fiのリスクを軽減するために、次のような対策を取ることをFBIは推奨している。個々の対策だけでは万全とは言えないが、組み合わせることによって危険度が下がる。

1. 可能であればテレワークの際に評判の良いVPN（仮想プライベートネットワーク）を使ってネットワークトラフィックを暗号化する。こうすればオンライン行動をサイバー犯罪者が傍受することが難しくなる
   
   
2. ホテルが提供するWi-Fiではなく、自分のスマートフォンで契約している無線ホットスポットに接続する
   
   
3. リモートワークを始める前にPCやスマートフォンなどのOSやソフトウェアにパッチを適用して最新の状態にする。重要データはバックアップし、信頼性の高い最新のセキュリティ対策アプリケーションをインストールし、動作させておく
   
   
4. ホテルのWi-Fiを利用する前に、正確なネットワーク名（SSID）を確認してから、Wi-Fiに接続する
   
   
5. ホテル内からアクセスできたとしても、自分が契約したネットワークとホテルが提供するWi-Fi以外のネットワークに接続しない
   
   
6. パブリックWi-Fi設定を使って接続し、ホテルではネットワークへの自動再接続を無効にしておく
   
   
7. インターネット閲覧時は常にHTTPS接続になっているかどうかを確認する（アドレスバー近くの鍵アイコンで確認できる）
   
   
8. 金融機関のWebサイトなど機密情報に関わるWebサイトへのアクセスを避ける。個人データ（社会保障番号など）の入力が必要なWebサイトは使わない
   
   
9. ホテルのWi-Fiに接続するデバイスは他から検出できない設定（パブリックネットワーク設定）にする他、使っていないときはBluetoothを無効にする
   
   
10. 無線ネットワークに関する勤務先のセキュリティポリシーと手続きに従って利用する
    
    
11. 機密データを扱うアカウントにログインする必要がある場合は、多要素認証を使う
    
    
12. ログイン通知を有効にして、不審なアカウント活動に関する通知を受けられるようにする

 

 

【転載】サイバーセキュリティのキャリア：それはあなたのためのものですか？ / A career in cybersecurity: Is it for you?

A career in cybersecurity: Is it for you?:

サイバーセキュリティの人材が需要と供給のバランスを崩していることはご存知の方も多いと思いますが、あらゆる規模の組織が直面している無数の危険な脅威を考えると、この事実はより一層悲惨なものとなります。今日はマルウェア対策の日であり、セキュリティの専門家の仕事を認識する日でもあるので、人材不足に関連したデータや、より広くセキュリティの専門家の仕事に関連したデータを見てみるのが適切だと思います。そうすることで、あなたもこの分野でのキャリアを追求したいと思うかどうかを判断する助けになるかもしれません。

数字で見る

セキュリティ認定機関（ISC）による「2019年サイバーセキュリティ労働力調査」2によると、サイバーセキュリティ専門家の世界的な不足は、2018年の290万人から、2017年の180万人から増加し、昨年は400万人を突破しました。米国だけでも、昨年の格差は50万人近くに達しています。世界的な需要を満たすためには、熟練したセキュリティ労働者の数を145％増加させる必要があるだろう。

注目すべきは、いくつかの大陸が他の大陸よりもうまくいっていることです。(ISC)2 の昨年の調査によると、労働力の格差が最も大きいのはアジア太平洋地域（64％）で、次いでLATAM（15％）、北米（14％）、欧州（7％）の順となっている。

その他の特筆すべき調査結果としては、3社に2社が「セキュリティ専門家が不足している」と回答しており、回答者はこの不足を重要な懸念事項として挙げています。また、回答者の半数が「サイバーセキュリティの人材不足により、中程度または極端なリスクにさらされている」と認めていることも驚きではありません。

今年は、COVID-19の大流行により、デジタル・トランスフォーメーションを推進し、在宅勤務を新たな普通の仕事にするなど、リスクはさらに高まりました。攻撃の数と深刻度は増加の一途をたどっており、現在のサイバーセキュリティ作業員への負担は増大しており、セキュリティソリューションやサービスへの需要は増加の一途をたどっています。このような背景から、人手不足は縮小することはありません。むしろ逆に、需要は供給を上回り続けるでしょう。

サイバーセキュリティの学位（または資格）は価値があるのか？

よく出てくる質問の一つに、この分野や関連分野の大学の学位を持っていなくてもセキュリティの仕事に就くことができるのかというものがあります。昨年、この問題に触れましたが、ESETのセキュリティ研究者数名がそれぞれの経験と見解を共有しています。ISC)2によると、セキュリティの専門家は一般的に学士号以上の学位を持っており、その大部分はコンピュータまたは情報科学を専攻しています。

一方で、12％の人が高校の卒業証書を「取得した」だけでコンピュータセキュリティの世界に入ったという結果が出ています。世界中でコンピュータ・セキュリティの学位プログラムを提供する教育機関は増えていますが、まだそのようなプログラムを立ち上げていないところも多くあります。その結果、この分野の専門家の多くは、独学で学ぶか、アカデミックではないコースや資格を取得してキャリアを積んでいるのです。

実際、サイバーセキュリティの認定資格を持つことはますます有用になってきており、セキュリティのプロは、知識、スキル、能力を証明する「バッジ」を平均4つ持っています。また、そのようなバッジを持たないセキュリティ専門家（55,000米ドル）よりも高い給料（年間平均71,000米ドル）を得られる理由でもあります。この格差は、米国とアジア太平洋地域ではさらに顕著である。

そうは言っても、セキュリティ専門家を対象とした別の調査（ISC）2 によると、競争力のある給与は、キャリアパスを選択する際の主な要因ではないことがわかりました。他にもいくつかの属性、特に「自分の意見が真摯に受け止められる」環境で働くことや、「人とデータを守る」ことができる環境で働くことが、より重要であることが明らかになっています。この新しい調査では、回答者の84％が、自分のキャリアで期待していた場所にいると答えています。仕事への満足度が高いことを考えると、セキュリティの専門家にとっては確かにうまくいっているように見えます。

バグバウンティの価値

倫理的なハッカーが組織のコンピュータシステムのセキュリティ脆弱性を報告することで金銭的な報酬を受け取るバグバウンティプログラムは、特に若者の間でセキュリティへの関心を高める重要な手段となっています。バグ・バウンティ・プラットフォームを提供する HackerOne による「2020年ハッカー・レポート」によると、60万人のコミュニティには毎日850人ものホワイトハットが参加しています。

これらのプログラムは、サイバー犯罪を抑止し、人々、特に10代の若者に「暗黒面から光の中へ」渡るように促すという点でも有用であると言ってもいいでしょう。多くの人は、仲間からの賞賛や評価を期待して、幼少期にサイバー犯罪者になり、自分の行動の結果を十分に認識していません。

バグバウンティや同様のプログラムは、増加する人材不足の解決策ではありませんが、組織は倫理的なハッカーの助けを借りることで確かに利益を得ることができます。実際、このような人材プールを活用することで、組織はスキル不足を緩和することができます。

ドアは大きく開いている

最後に、もう一つのデータポイントを紹介しよう。(ISC)2 の調査では、回答者の教育後の最初の仕事がセキュリティ分野であったのはわずか 42%であることがわかりました。言い換えれば、この分野の努力は、セキュリティの専門家として自分自身を再発明しようとしている人たちに広く開かれているということです。

ー以下原文ー

You’re most probably aware of the unbalanced equation between demand and supply in cybersecurity workforce, a fact all the more dire when you consider the myriad hazardous threats facing organizations of all sizes. Since today is Antimalware Day, a day when we recognize the work of security professionals, we think it apt to look at some data relative to the talent crunch and, more broadly, to the work of security pros. Chances are that, in so doing, we’ll help you determine if you too might want to pursue a career in this field of endeavor.

By the numbers

The 2019 Cybersecurity Workforce Study by the security certifications organization (ISC)2, the global shortage of cybersecurity professionals topped 4 million last year, having risen from 2.9 million in 2018 and from 1.8 million in 2017. In the United States alone, the gap last year was nearly 500,000. To meet the global demand, the number of skilled security workers would need to grow by 145%.

It’s worth noting that some continents are faring better than others. Per last year’s study by (ISC)2, the APAC makes up the largest proportion of the workforce gap (64 percent), followed by LATAM (15 percent), North America (14 percent) and Europe (7 percent).

Among other notable findings, two in every three organizations said that they have a shortage of security practitioners, and the respondents singled out this shortage as their key concern. It’s hardly a surprise then that one-half of them admitted that their organization is “at moderate or extreme risk due to cybersecurity staff shortage”.

This year, the COVID-19 pandemic raised the stakes further, including by pushing the digital transformation into overdrive and making work from home the new normal. Attacks have continued to increase in number and severity, the strain on current cybersecurity workers has increased, and the demand for security solutions and services has been on the way up. Against this backdrop, the workforce shortfall isn’t going to shrink. Rather the contrary, the demand will continue to outpace the supply.

Is a cybersecurity degree (or certification) worth it?

One question that often pops up is whether you can get a job in security without a college degree in this or a related field. We touched on the issue last year, where several ESET security researchers share their own experience and views. Per ISC)2, security professionals typically do have a bachelor’s degree or higher, and a large portion of them majored in computer or information sciences.

On the other hand, 12 percent got into computer security with “only” a high-school diploma. This is hardly a surprise, though: while more and more academic institutions worldwide offer degree programs in computer security, there are still many that have yet to launch such programs. As a result, many experts in the field are self-taught and/or prepared for their careers via non-academic courses and certifications.

RELATED READING: A beginner’s guide to starting in InfoSec

Indeed, holding a cybersecurity certification is becoming increasingly useful, and security pros have an average of four such “badges” that prove their knowledge, skills and abilities. It’s also why they command higher salaries (US$71,000 on average per year) than fellow security practitioners with no such badges (US$55,000). The gap is even more pronounced in the US and Asia-Pacific.

Having said that, another (ISC)2 survey among security professionals found that competitive salaries weren’t the main factor informing their choice of a career path. Several other attributes – especially working in an environment “where their opinions are taken seriously” and where they can “protect people and their data” – turned out to matter even more. In the new study, 84 percent of the respondents said that they are where they expected to be in their careers. Given their high job satisfaction levels, things indeed seem to work well for security practitioners.

The worth of bug bounties

Bug bounty programs, where ethical hackers receive financial rewards for reporting security vulnerabilities in organizations’ computer systems, have been an important way of increasing the interest in security, especially among young people. According to the 2020 Hacker Report by bug bounty platform provider HackerOne, as many as 850 white hats are joining the ranks of the 600,000-strong community every day.

It’s safe to say that these programs are also useful when it comes to deterring cybercrime and getting people, especially teens, to cross “from the dark side into the light”. Driven by prospects of receiving praise and recognition from their peers, many people become cybercriminals at a very young age, without fully realizing the consequences of their actions.

While bug bounty or similar programs are by no means the solution for the growing talent crunch, organizations can certainly benefit from help by ethical hackers. Indeed, tapping into this pool of talent can help organizations alleviate the skills shortage.

The door wide open

In closing, here’s perhaps one more data point to consider. The survey by (ISC)2 found that only 42% of the respondents’ first jobs after education were in security. In other words, this field of endeavor is widely open to people who are looking to reinvent themselves as security professionals.

Happy Antimalware Day!

【転載】ハッカースポットライト：3000ドルを獲得したバグバウンティハンター「Cyberboy」のインタビュー / Hacker Spotlight: Interview with 'Cyberboy', Bug Bounty Hunter who Won $3000

ハッカースポットライト：3000ドルを獲得したバグバウンティハンター「Cyberboy」のインタビュー

数日前、インドのバグバウンティハンターである Shashank aka Cyberboy は、複数のエラーから Django の管理者乗っ取りに至るまでのクリエイティブなハックを思いつきました。バグは、彼がしばらくの間狩りをしていたプライベートなターゲットについてだった、彼はすべてのサブドメインを FFUF、GoLang で書かれた最新かつ最速のファジングオープンソースツールに渡しました。このツールを使ってディレクトリやファイルをブルートフォースしています。このバグについては、彼のブログ記事に詳しく書かれています。私はこの悪用を発見するために必要な決意と創造性に感銘を受けました。好奇心旺盛な私は、このハックを発見するプロセスの背後にある革新的な頭脳にインタビューすることにしました。

1)こんにちはShashankさん、EHackingNewsの読者の皆さんに簡単に自己紹介をしていただけますか？ 

こんにちは、私はShashankです。私はHackerOneのセキュリティアナリスト、Cobaltのチームリーダー（パートタイム）、そしてバグバウンティハンターです。私がバグバウンティを始めたのは15歳の時です。今でも本業とアルバイトの後の空き時間にやっています。これはすべて私がFacebookやgoogleのような企業が彼らのウェブサイト上で有効なセキュリティ上の問題を見つけるためにハッカーに支払うことを聞いたときに2012-2013年に始まった。私は、Facebook、google、apple、Microsoft、PayPal、および有効なセキュリティ問題を報告するための100以上のトップ企業によってrewardedrecognizedされています。 

 

2) 数日前、私はDjangoの管理者の乗っ取りに関するあなたのブログ記事を読み、あなたが遭遇した複数のエラーにもかかわらず、あなたの粘り強さに感銘を受けましたが、このエクスプロイトの発見につながった最終的なアイデアはどのようにしてあなたにもたらされたのでしょうか？ 

グーグルからの最初のバウンティに戻ります。2013年に最初のバグを見つけるのに4ヶ月かかりました そして、この分野には永続性が必要だという結論に至りました。  

私がバグを発見した脆弱なエンドポイントは そのエンドポイントは、1週間後からの疑惑ノートに記載されていました。1週間後、なんとか500エラーを回避してそのエンドポイントにアクセスできたとき、私はすべてのAPIエンドポイントの見直しを開始しました。そして、私はすべてのバグを連鎖させて最終的なエクスプロイトを作りました。私は数え切れないほどのAPIをテストしてきました。私はすべてのAPIで見られる一般的なパターンの経験と、私は特権のエスカレーションを実行するための正しいAPIコールを構築することができました。

 

3) どのようにしてハッキングを発見したのですか? バグの賞金稼ぎをしていた頃のことで、何か思い出せることはありますか？

はい、あの事件は私の人生を永遠に変えてしまったので、決して忘れることはできません。私はサイニック・スクールで勉強しました 全寮制の学校でした 夏休みにはOrkutを使っていて、先輩の一人とチャットをしていました。当時はソーシャルメディアが流行していて、Orkutは新しいものでした。私は毎日夕食後に先輩とチャットをしていました。ある日、彼はネットをしていなかったのですが、後日、彼のアカウントがハッキングされていたことを知らされました。私は、こんなことがあり得るのかと驚きました。そこで、私たちは一緒にそれがどのようにして起こったのかについての手がかりを探して調べ始めました。何週間も探した後、彼のアカウントがフィッシングされていたことがわかりました。

その後、私もそれを学びたいと思いました。プログラミングの経験がゼロだったので、何ヶ月もかけてフィッシングの勉強をしなければなりませんでした。翌年、在学中に図書館で、ハッカーはウェブサイトもハッキングするということを読みました。10回目の授業が終わった後、私はITの道に進むためにサイニックの学校を中退し、JEEの準備のためにデリーに行きました。そこで自分のパソコンを持っていたので、独学でウェブハッキングを学びました。その頃にバグバウンティというプログラムの存在を知り、最初のバウンティを受けてからは、ずっとやめられませんでした。今でも、暇な時にはバグバウンティに参加するのが大好きです。私はバグバウンティプログラムに参加するのが大好きです。

 

4) 今までに発見した中で最も刺激的だったバグは何ですか？

私が最も興奮したバグは、blockchain.comにありました。私は常に暗号の愛好家でした。ブロックチェーンは次の大きなものになると信じています。Blockchain.comは私が使っているオンラインのビットコインウォレットです。私は誰のビットコインウォレットのバックアップファイルを盗むことができるバグを発見しました。これを悪用して、ワンクリックでユーザーのアカウントからお金を盗むことができました。

その上、私は2017年にAppleのiOSで、連絡先を共有することでiOSユーザーのWhatsAppを永久にクラッシュさせることができるバグを発見しました。

 

5) エクスプロイトを狩る動機は何ですか？

大手で人気のあるプラットフォームのセキュリティ問題を見つけることは、やりがいがあり、スリリングです。すべての情報の断片や小さなバグを連鎖させて、より大きなエクスプロイトにすることができたときは、私に計り知れない幸せを与えてくれます。それとは別に、有効な提出物を提出するたびに、金銭的な報酬やスワッグ、認識を得ることができるので、何度も何度もやる気が出てきます。

  

6) 影響を受けた組織からの反応はどうでしたか？

正直なところ、私はハッカーに感謝していて、いくら払っているかに関係なく対応してくれるプログラムに固執しています。プログラムがあまり反応が良くないことに気づいたら、他のターゲットに移る傾向があります。私は他のターゲットに移動する傾向があります。

 

7) 5年間でバグ・バウンティの空間はどのように進化していくと思いますか？

バグバウンティは8年間ですでにブームになっています。私が始めた頃は、バグバウンティプログラムを実施している企業は数社しかありませんでした。今ではほぼ数え切れないほどになっています。ハッカーには何百万ものお金が支払われてきましたし、今後5年間でバグバウンティを始める企業が増えることは間違いないでしょう。arogya setuのような政府のプロジェクトでさえ、バグバウンティプログラムを開始しています。これからの5年間で、もっと多くの企業がバグバウンティプログラムを始めることになるでしょう。より多くの企業が、より良い報酬を得られるようになるでしょう。

  

8) これからのバウンティハンターに何をアドバイスしますか？

私は強く2つのことを信じています。1つは読書、もう1つは粘り強さです。8年経った今でも、私は毎日のように他のハッカーが公開したバグの記事を読んでいます。ソフトウェアは日々セキュリティをアップグレードしていますが、ハッカーとして、ゲームに参加し続けるためには、より先を行き、より創造的である必要があります。倫理的なハッキングやバグバウンティというこの分野では、学習をやめた日がキャリアの終わりとなります。

それとは別に、ハッキングには忍耐と粘り強さが必要です。多くの人が同じアプリケーションを調べているときに、バグを見つけるのは簡単ではありません。それは決してあきらめず、バグを見つけるまで探し続けることです。これが私の場合はいつもうまくいっています。

  

9) E ハッキングニュースについてどう思いますか？

私はセキュリティの世界に入った時からEハッキングニュースを知っています。倫理的なハッキングやバグバウンティがあまり普及していなかった頃に始まった数少ないブログです。ハッキングは犯罪行為ではないということを世の中に理解させようとしているこのようなブログの背後にいる人々に感謝したいと思います。今では職業になっています。

サイバーボーイさん、これからもグッドラックハンティングをよろしくお願いします。

【以下原文】

Hacker Spotlight: Interview with 'Cyberboy', Bug Bounty Hunter who Won $3000:

A few days ago Indian bug bounty hunter, Shashank aka Cyberboy came up with a creative hack that led him from multiple errors to Django admin takeover. The bug was about a private target he had been hunting for a while, he passed all the subdomains to FFUF, the most recent and fastest fuzzing open-source tool written in GoLang. The tool is used to brute force directories and files. You can read about the bug in detail in his blog post. I was impressed by the determination and creativity required to discover this exploit; being curious as I was, I decided to interview the innovative mind behind the process involved in discovering this hack and I'm sharing his answers with you all!

1) Hello Shashank, can you briefly introduce yourself to EHackingNews readers? 

Hi, I am Shashank. I am a security analyst at HackerOne, team lead at Cobalt (part-time), and a bug bounty hunter. I started bug bounties when I was 15 years old. I still do it in my free time after my regular job and part-time jobs. This all started in 2012-2013 when I heard that companies like Facebook and google pay hackers for finding a valid security issue on their website. I have been rewarded/recognized by Facebook, google, apple, Microsoft, PayPal, and 100+ top companies for reporting a valid security issue. 

 

2) A few days back, I read your blog post on the Django admin takeover and I was impressed by your persistence despite multiple errors you encountered, can you please share how did the final idea that led to the discovery of this exploit occur to you? 

Going back to my first bounty from google. It took me four months to find my first bug back in 2013. And I concluded that I need persistence in this field. 

 

The vulnerable endpoint where I found the bug. I had that endpoint in my suspicion notes from a week. After a week, when I managed to bypass the 500 error to access the endpoint, I started reviewing all API endpoints. Then I chained all the bugs to make the final exploit. I have tested countless APIs. With the experience of common patterns I see in all APIs, and I was able to construct the right API call to execute the privilege escalation. 

 

3) How did you discover hacking? Anything you can recall from your initial days as a bug bounty hunter? 

Yes, and I can never forget that incident because that changed my life forever. I studied at Sainik School. It was a boarding school. During my summer vacation, I was using Orkut, and I used to chat with one of my seniors. You know, way back then, social media was gaining popularity, and Orkut was a new thing. I used to chat with my senior every day after dinner. One day he was not online, and later, he informed me that his account was hacked. I was amazed at how this is even possible. So we together started digging and looking for clues about how it could have happened. After weeks of searching, we realized that his account was phished. 

After that, I wanted to learn it as well. Since I had zero programming experience, I had to spend months learning to phish. Later next year, while I was in school, I read in the library that hackers hack websites as well. After class 10th, I dropped out of Sainik school to pursue my career in IT and went to Delhi for JEE preparations. There I had my own computer, so I taught myself web hacking. I heard about the bug-bounty program during those days, and after my first bounty, I never stopped. Even today, in my free time. I love to participate in bug bounty programs. 

   

4) What was the most exciting bug you ever discovered? 

My most exciting bug was in blockchain.com. I have always been a crypto enthusiast. I believe that blockchain will be the next big thing. Blockchain.com is an online bitcoin wallet that I use. I found a bug that allowed me to steal anyone’s bitcoin wallet backup file. This could be exploited to steal money from the user’s account with a single click. 

Besides, I found a bug in Apple iOS in 2017, which allowed me to permanently crash an iOS user’s WhatsApp by sharing a contact. 

 

5) What motivates you to hunt exploits? 

Finding security issues in big and popular platforms is challenging and thrilling. It gives me immense happiness when I am able to chain all pieces of information and small bugs to make it a bigger exploit. Apart from that, we can get financial rewards, swags, and recognition for every valid submission, which adds motivation to do it again and again. 

  

6) How did you feel about the response from the affected organizations? 

Honestly, I stick with programs that appreciate hackers and are responsive irrespective of how much they pay. If I notice a program is not very responsive. I tend to move to other targets. 

 

7) How do you see the bug bounty space evolving over 5 years? 

Bug bounty has already boomed in 8 years. When I started, there were a few companies that had a bug-bounty program. Now it is almost countless. Millions have been paid out to hackers, and in the next five years, I am sure we will see more companies starting bug bounties. Even a government project like arogya setu has started bug-bounty programs. We are going to see more in the coming future. More companies and better rewards. 

  

8) What would you advise to the upcoming bounty hunters, any reading recommendations? 

I strongly believe in 2 things. One is reading, and the other is persistence. Even today, after eight years, I still read writeups of bugs published by other hackers on a daily basis. Software upgrades their security each day, and as a hacker, we need to be ahead and more creative to remain in the game. In this field of ethical hacking and bug-bounty, the day you stop learning is the end of the career. 

Apart from that hacking requires patience and persistence. It is not easy to find a bug when so many people are looking into the same application. It's all about never giving up and keep looking for bugs until you find one. This has always worked for me. 

  

9) What are your thoughts about E Hacking News? 

I know about E hacking news from the time I got into security. It is one of the few blogs that started long back when ethical hacking and bug bounties were not very popular. I would like to thank the people behind every such blog who are trying to make this world understand that hacking is not a criminal activity. It is a profession now.

Thank you very much for your time Cyberboy, Goodluck hunting in the future!

【転載】この記事は普通に面白いので読んで～ロシア対外諜報のトップが語る日本との関係～

この記事は普通に面白いので読んで toyokeizai.net/articles/-/335…: この記事は普通に面白いので読んで
toyokeizai.net/articles/-/335…

ーー

個人的にモスクワを訪れていた筆者のところへ突然、ロシア対外諜報機関のトップから、「会いたい」との連絡が来た。その経緯は、第1回目「ロシア対外情報庁長官が語るアメリカと中国」でお伝えした。セルゲイ・ナルイシュキン対外情報庁（SVR）長官インタビューの第2回目は、ロシアと日本との関係、日ロ平和条約へ向けた交渉、今年予定される安倍首相のロシア訪問と両首脳の会談がテーマ。

 

石川 日本との関係をお聞きしたい。日本とロシアとの間では、複雑で困難な平和条約交渉が行われています。日本はアメリカと安全保障条約を結んでいますが、これは日本の安全を保障するための選択であり、第3国に対抗するものではありません。ロシアは日米安保のどこに懸念を抱いているのですか。日本は同時に北東アジアの平和と安全を強化するためにもロシアとの関係を強めたいと考えています。ロシアは日本とアメリカの関係のどこに懸念を抱いているのですか。

ナルイシュキン これは対外情報庁（SVR）長官としてではなく、まったく個人的な意見ですが、私は驚きを感じます。いつですか、日本がアメリカと同盟を結んだのは。

石川 1951年ですよ。

ナルイシュキン 1951年ですか。日本は約70年前にアメリカを自らの安全の保証人としました。なぜですか。1945年にアメリカは日本に原子爆弾を投下しました。若い世代の日本人は忘れているかもしれませんが、あなたはよく覚えていますよね。私もよく覚えています。それでもアメリカを保証人としたことに驚き、奇妙に思います。もちろんこれは日本の自らの主権に基づく選択でしょうし、今も日本の権利でしょう。でも私は驚きを覚えます。本当に、SVR長官としてではなく一個人としてそう思うのです。

ロシアを「敵」と規定するアメリカの軍隊の存在

石川 あなたが（下院議長として）訪日した時、原爆投下は「人道に対する罪」だと述べたことを私は覚えています。

ナルイシュキン 私は心底、原爆投下は戦争犯罪であり、「人道に対する罪」だと思っています。考えてみてください。今、核兵器を一般市民に対して使用したらどのような反応が起きるのか。考えてみてください。被爆者の多くは広島や長崎の一般市民でした。仮に今日再びそのようなことが起きれば、「人道に対する罪」以外の何物でもないですよね。しかも、今もって被爆者は原爆症で苦しんでいます。私は広島、長崎に原爆投下された日にはいつも被爆した方々のことを思って心が痛みます。これはあくまで私の個人としての意見です。

それはそれとして、日本は自らの主権に基づいて安全の保証人を選びました。ロシアと日本は、隣人として良い関係にあります。神によってわれわれは隣人となり、今後とも良き隣人であり続けることを期待しています。簡単に言いますと、私は日本には何の文句もありません。しかしあなた方の保証人、アメリカ合衆国は自らのドクトリンや安全保障の戦略文書において、ロシアを自らの「反対者」としています。

いくつかの文書ではもっとひどい表現をしています。「敵」と規定しているのです。この文脈でロシアとしては日本とアメリカの軍事同盟を心配するのは当然でしょう。軍事同盟そのものと、その同盟がどのように具体化しているのか、かなり強力なアメリカ軍の部隊が日本に配備されています。この点でロシアが平静でいられるわけがないじゃないですか。私たちの国境のすぐそばですよ。そこにロシアを敵国と考える国のかなり強力な軍隊が存在する。これはロシアにとっては脅威でしょう。

石川 ではあなたは、日米安保条約はある意味でロシアに向けられたものと考えているのですか。

ナルイシュキン 条約そのものではないのです。これは日本が決めることであり、私たちは日本のことは尊敬しています。でも条約のもう1つの参加国が問題なのです。あなたの最初の質問ですでに答えましたが、この国は衝動的、攻撃的な外交政策をとっています。

ここ20年を見ても、たとえばユーゴスラビアの空爆があります。ヨーロッパの近代的な国家の首都が空爆されたのですよ。まったく現代の野蛮行為です。そしてイラク戦争。ここでは最も少ない試算でも30万人が死んでいます。おそらく100万人死んでいるかもしれません。そしてリビア。このような攻撃的なアメリカの外交政策を心配しています。

一方、世界の戦略的な安定を維持してきた条約について見てみましょう。ABM（弾道弾迎撃ミサイル制限）条約をアメリカはひねりつぶすように破棄してしまいました。そしてINF（中距離核兵器）全廃条約も同じ運命をたどりました。イランの核合意から脱退したのもアメリカです。ですから、日米軍事同盟の一方の当事者がアメリカであることを懸念せざるをえないのです。

両国間にはまず、平和条約が必要だ

石川 私は日米安保条約と日ロの平和条約は共存できると考えています。あなたの考えは。どのようにすれば日米安保と日ロ平和条約が共存できると考えるのですか。

ナルイシュキン 私の意見を言わせていただければ、日本が中立国であればよいと思います。理想をいえばね。中立国の立場です。日本への脅威というものは、私は何も存在しないとみています。もちろんそれは日本が主権国家として自分で決めることで、干渉するつもりはありません。ただ私の意見を言っただけです。

石川 しかしわれわれの周辺の状況を考えると、中立国になれば、自分の安全は自分で守る必要があります。日本としても今よりも軍事力を強化して、自主防衛をしなければなりません。

ナルイシュキン それはそうでしょうね。でもヨーロッパを見てごらんなさい。中立国はありますよ。生活レベルは良く、平和に暮らし、だれも彼らを脅かさないし、彼らも誰も脅かさない。スイスやオーストリアを見てください。あるいはスウェーデンも。

石川 でもわれわれの周辺には北朝鮮がいますし、中国も軍事力を拡大しています。もっとも中国とは今年、習主席の訪日予定もあり、パートナーでもありますが。

ナルイシュキン あなたもそう言ったじゃないですか。中国の側から日本に対して悪い考えというのはありませんよ。中国と日本は隣国でしょう。日本とロシアが隣国なように。日本はロシアの脅威じゃないし、ロシアも日本の脅威ではありませんよ。

石川 ではどのような平和条約をあなたは日本と結びたいのですか。平和条約は必要だと考えていますか。

ナルイシュキン ウラジーミル・プーチンが2年前に提案した「前提条件を付けずに平和条約を結ぶ」という言葉を覚えているでしょう まだこれは提案のままですが、私はこの提案に大賛成です。

石川 でも、われわれの間には問題があります。その解決が必要です。

ナルイシュキン まず平和条約を締結することが大事です。そしてわれわれの間に存在する問題を交渉すればよいでしょう。戦争が終わってから75年たちましたが、お互いに良好な関係にあって、貿易額も大きいし人の交流もある。文化交流も広範に行われている。この両国の間に平和条約がない。これは正常な状態ではありません。そのため平和条約は必要です。私はプーチン大統領の「前提条件をつけずに平和条約を」という提案を心底、支持しています。そうすればあなたの言う問題の解決も容易になるでしょう。

ソフトバンク元社員の事件はアメリカが絡んでいる

石川 SVRと日本の相応する機関との関係強化についてはどのような見通しを持っていますか。

ナルイシュキン 関係は肯定的ですよ。私が日本を訪問して1年になりますか。テロ対策の分野ではかなり詳細な話もしましたし、お互いが関心をもつ不安定地域についても深い意見交換ができました。

石川 北村さん（北村滋国家安全保障局長、当時は内閣情報官）とですか。

ナルイシュキン そうですよ。こうした関係は重要です。われわれが最高指導部に何らかの助言をするように、日本の同僚も同じことをしますよね。だから不安定な地域について、それぞれの意見や見方を交換することは重要です。日本のパートナーとの相互関係は発展していますし、私たちはそうした関係に満足しています。まあ一般的にいえば、たとえ問題が存在しても、対外諜報どうしや治安機関どうしは、プロフェッショナルとして良い関係を持てて、理解し合えるものです。

石川 最近、日本である事件がありました（注）。そして1人のロシアの外交官が、貿易代表部に勤めていました人ですが、日本を去りました。日本の警察はこの件をあなたの機関による工作だとしています。なぜ、このような事件が続くのですか。（編集部注：今年1月、ソフトバンクの元社員が社外秘の情報をロシア貿易代表部の職員に渡していたとして逮捕されたもの）

ナルイシュキン 私たちは日本政府の措置はロシアに対する非友好的な態度だとみなしています。その外交官についていえば、私の知る限りでは、任期を終わったということです。まさに任期が終わるべき時に終わり、登録の期間も終了した。だから帰国したということで、私の知る限り、日本側からは公式には彼に対して何の嫌疑もかけられていません。何らかの嫌疑があるのなら言ってください。

石川 外交官の肩書を使ってあなたのもとで働いていたと。

ナルイシュキン プレスは何とでも書きますよ。本質的には何の嫌疑も問われていないのです。彼は任期を終わり、戻っただけです。だから繰り返しますが、非友好的な行為、しかもわれわれの評価では、この行為はアメリカの求めに応じて行われたということです。それだけに日本の主体性がないということで、そのことも残念ですがね。日本にとって。

石川 この事件は日ロ関係に影響しますか。

ナルイシュキン 全体としてはまったく影響ないですね。われわれは治安機関・諜報機関のラインも含めて、経済面でも政治面でも文化面でも日本との関係を深めたいですね。

5カ国首脳会議のテーマは「崩壊寸前の国際法秩序」

石川 プーチン大統領は、アメリカ、ロシア、中国、イギリスそしてフランスの安全保障理事会常任理事国による首脳会議を提案しています。私はもちろんこの5カ国が重要な役割を果たしていることは認めますが、なぜ戦争から75年たった今、再び5カ国首脳会議なのか、奇妙に思います。

この5カ国で第2のヤルタみたいな会談を開き、再び世界におけるそれぞれの影響を及ぼす地域を分けようとしているのですか。それとも、もっと率直に言いますと、何か閉鎖されたクラブを作り、そこでの決定をほかの重要なプレーヤー、日本も含むプレーヤーに押し付けようとしているのではないですか。

ナルイシュキン 閉鎖クラブを創設しようなどとは思っていません。ただ客観的に見てですね、この5カ国は、安全保障理事会の常任理事国ですし、この5カ国だけに拒否権が付与されているのは偶然ではありません。ほかのどの国でもなくこの5カ国だけが法的に核保有国であることが認められています。もっとも実際の保有国はもっと多いですが。

繰り返しますが、閉鎖クラブではありません。もしもプーチン大統領の呼びかけが実現して、5カ国の首脳会議が開催されれば、会議は閉ざされたものではなく、公開されたものとなるでしょう。プーチン大統領はまさに世界の平和と安定のために呼びかけたのです。

5カ国首脳会議のテーマですが、私の考えでは、まずは国際法秩序の問題です。国際法秩序は今や崩壊寸前です。その結果として、世界の平和と安定は危機にさらされています。プーチン大統領はまさにこの観点から5カ国首脳会議を呼びかけたのでしょう。

石川 私たちが心配するのは、来年、新START（新戦略兵器削減条約）が期限を迎えることです。新たな軍拡競争が始まるのではないかと懸念しています。特に核兵器の分野で。このテーマについても議題となるのですか。特に日本は中距離核兵器の軍拡が始まるのではないかと心配しています。中距離核兵器は、日本にとっては海の向こうの脅威ではなく直接の脅威です。私たちとしては軍拡ではなく、日本の周辺にある中距離核の削減をしてほしいのです。

ナルイシュキン それは理解できますよ。そう思います。新STARTについていえば、これは全地球的な戦略的安定を規定する条約ですから、そのことも話し合われるでしょう。ただより重要なのは、平和と安全の基本原則となる国際法秩序の問題でしょう。

石川 今年、安倍首相は2回、ロシアを訪問するかもしれない。5月9日と9月2日か3日の前後です。この両方とも深く歴史と結びついています。5月9日はあなた方にとっては対ドイツ戦勝記念日です。9月2日、3日は、まさに第2次世界大戦終結の日としてわれわれの悲劇的な歴史と結びついている。この歴史と深く結びついた日に戦後75周年の今年、安倍首相がもしもロシアを訪問して、日ロ首脳会談が行われるとしたら、どのような意味を持つべきですか。9月については、両首脳は単に会談するだけではなく、歴史を克服するための何らかの行動をする必要があるのではないですか。

ナルイシュキン 何を話すべきか、どのような意味を持つべきか。私はですね、平和のために、この大戦でいかに多大な犠牲を人類が払ったのか、そのことを両指導者が思い出し、記憶にとどめ、そして犠牲者を慰霊して、平和を維持することを誓うべきだと思います。もちろん会談の中身はもっと深いものになるべきですが、その日に行われる意味としては、こういうものだと思います。

両国の首脳が平和について語るべき

石川 もしも、9月2日、3日に会談が実現した場合、戦争と平和ということに対する、両首脳による何らかのアクションがあるべきだと個人的には思います。ウラジオストクの周辺には日本の抑留者の慰霊碑や墓もあり、またあなた方の無名戦士の墓もある。何か考えられるでしょうか。

ナルイシュキン 5月9日と9月2日は、大変象徴的な意味を持っている。だから双方のリーダーはこの日の意味について考え、いわば利用して、この日の歴史についての立場を示すのではないか。この日に至った事象、そして両国の犠牲、いや、第2次世界大戦の結果としての人類全体の犠牲について、立場を示すと思う。そのことは、平和というものがいかに脆いものであるかを警告することになり、ロシアと日本両国にとって、この平和を共に守る以外に選択肢がないことを示すだろう。

パスワード管理ツールを使うべき理由（転載）～パスワード管理ツールは必要。でも、トレンドマイクロのパスワードマネージャーはオススメしません（自分、データ消失しましたので( ﾉД`)ｼｸｼｸ…）～

パスワード管理ツールを使うべき理由:

アカウント管理を安全かつ快適に行うために

インターネット上には、ショッピングサイトやSNS、Webメール、クラウドストレージなどの便利なサービスがあふれています。サービスの多くは利用登録が必要で、個人情報を求められるケースもあります。さて、みなさんは登録したサービスのアカウントをどのように管理していますか。

トレンドマイクロの調査*では、インターネットサービス利用者の約6割が複数のサービスにおいて1～3種類のパスワードを使い回していることがわかりました。また、多くは「異なるパスワードを考えるのが面倒」「異なるパスワードを設定すると忘れてしまう」などの理由から、セキュリティ上のリスクを認識しながらも同じパスワードを使い回しているようです。
*2020年8月実施インターネット調査 「パスワードの利用実態調査 2020」、有効回答数515

図：パスワードの使い回しは全体の85.7%、特に1～3種の使い回しが56.7%と大半を占めている(N=515)、単一回答

図：パスワードを使いまわす理由(N=441)、複数回答

複数のサービスで同一のIDとパスワードを使い回していると、どのようなリスクが生じるでしょうか。たとえば、フィッシング詐欺やサービス事業者へのサイバー攻撃などをきっかけにIDとパスワードの組み合わせが流出してしまうと、各種サービスのアカウントを芋づる式に乗っ取られてしまう可能性があります。

アカウントを安全に管理するポイントは、サービスごとに異なるIDとパスワードの組み合わせを使用することです。第三者に推測されにくいパスワードを設定することや、サービス事業者から提供されるワンタイムパスワードなどの二要素認証機能を併用することも重要です。しかし、利用するサービスの数が増えてくると、これらのポイントを踏まえたアカウント管理は思いのほか負担になります。複雑なパスワードを作ったり、メモを参照しながらフォームに入力したりするのも面倒です。

そのような場合は、パスワード管理ツールが便利です。これを使えば、利用中のサービスと、IDとパスワードの組み合わせを安全に管理することが可能です。たとえば、トレンドマイクロのパスワードマネージャーでは、事前に登録したマスターパスワードでログインし、目的のサービスページに移動すると、入力フォームにIDとパスワードが自動入力されます。このため、1つのマスターパスワードさえ厳重に管理すれば、ほかのサービスのIDとパスワードを覚える必要がありません。また、他のサービスで登録済み、あるいはネット上に流出しているパスワード、脆弱なパスワードを指摘し、新たに強固なパスワードを自動生成してくれます。それを利用すれば、少なくとも「異なるパスワードを考えるのが面倒」「異なるパスワードを設定すると忘れてしまう」といった理由でのパスワードの使い回しを防げるはずです。アカウント管理の煩わしさを解消したい方はパスワード管理ツールを試してみましょう。