JNSA「セキュリティしんだん」

 

« （25）腹が立つのもわかるけど - 脆弱性とセキュリティ対策再考

---

（26）WannaCry覆面座談会 〜何故、単なるワームがこれほど騒がれたのか〜（2017年9月15日）

• １．はじめに
• ２．WannaCryって結局何だったの？
• ３．日本で被害が少なかったって本当？
• ４．今後、どうしていけばよいのか？
• ５．メディアに言いたいこと

５．メディアに言いたいこと

【メンバー】　今回疑問に感じたのは、マスコミがなんでそんなに興奮したのか。なんでWannaCryに注目したのか、そこが知りたい。

【メンバー】　ネタがないんですよ。それに日本のマスコミが先に騒いだんじゃないし。

【Cさん】　ランサムにしては、同時に一気に出たという意味でちょっといつもとは違う。

【メンバー】　海外主導で、最初にそれをNHKが拾ったという。

【Dさん】　NHKが報道すると、やっぱり後追いというか。

【メンバー】　NHKの影響力は非常に大きいですね。

【メンバー】　そういうふうに、まあ、非常に大きなニュースにはなったのですけれど。

【メンバー】　ロンドンで騒ぎになったから。病院というのに反応したのかな。

【Bさん】　でもね、病院がランサムウェアにやられた事件というのは前にもあって、それも騒ぎになったのだけれど、それは世界的な騒ぎにはなってないんだよね。

【Eさん】　ハリウッドの病院ですね。

【メンバー】　やっぱり命に関わるからだね。

【メンバー】　かつ世界で同時に。

【Bさん】　でも、冷静に見るとすごく偏っていておかしい。

【メンバー】　「これが正しいんですよ」というのがないので、どうしても騒いでるほうへ引っ張られますよね。

【Bさん】　でも、コンテキストがわかってしゃべっているのと、数字のスナップショットでしゃべっているのとは別の話で、スナップショットでコンテキストを否定するのは無理がある。だからコンテキストを測るべきだと思いますよ。

【メンバー】　ランサムウェアというのは前からあって、お金をとられたというのはあるかもしれないけれど、今回のWannaCryは病院がやられて、生命に関わるものであったというところに敏感に反応したのかもね。

【司会】　でも実際、そんな人の命に関わるような事態になったんでしたっけ。

【Eさん】　血管手術が延期になったりとか。

【メンバー】　救急車が来なかったりもした。

【メンバー】　それで死んだかどうかはわからないじゃないですか。

【Eさん】　死んでないんじゃないですか。死んだらさすがにニュースになる。

【メンバー】　仕掛けた側もすごくよい加減でやっているように見える。

【メンバー】　仕組んだにしては、かなりできすぎている感じ。

【Eさん】　そう考えると、一番得したのはThe Shadow Brokersですよね。情報を盗んで、その盗んだやつを公開したのを使って誰かがウイルスを作って、騒ぎになっているときに、「来月から売るわ」といいだしたでしょう。で、Petyaの騒ぎがあったじゃないですか。それでまた新しい文章を出したんですよ。いいタイミングで出してくるんですよね。

【Bさん】　それ、国家の関与という話と明らかに関連してますね。テクノロジーの話じゃないコンテキストがもう一つ並行して流れている。Newsweekとかはそういう話をしているんですよね。国の関与が明らかになった段階で、脆弱性対応をする・しないという話をしている状況ではすでにない、フェーズが変わっているということを言っているのに、そのコンテキストを日本のメディアには一切感じない。感染した・しないの話はどうでもいいんです。自己責任の話だから。

【メンバー】　マスコミからの情報を受け取る側のリテラシーというか、非常に重要なポイントだと思うのですけれど、やはり深すぎてなかなか伝わらない。

【Bさん】　我々は何十年も脆弱性とかセキュリティとか伝えようとしているけれど、伝わらない。なので、マスコミにはそこを上手に伝わるようにやっていただきたいのと、あとテクノロジーのレイヤーで云々というのは世界からは周回遅れのわけですよ。今回のWannaCryについてアメリカで言われているレイヤーというのは、世界のルールが変わったことを認識しようということを言っている。そのセンスとニュアンスというのは、その後ろにまた誰かいるはずなんですよ。

【メンバー】　陰謀説？

【Bさん】　陰謀説ではなくて、意図ですよね。

【メンバー】　セキュリティの話を始めると、結局そういう国家間紛争とか軍事の世界に行きますよね。

【Dさん】　サイバーの分野にも江川紹子さんみたいな人が出てくるといいんですかね。点と点を結ぶというか、技術だけでなく、もうちょっと違うレイヤーの話が必要なんですけれど。

【Bさん】　でも、そのコンテキストの話をするときの軸がないんです。だからNewsweekとかも、たぶんナショナルセキュリティの軸で言っているんですよ。

【メンバー】　日本のメディアは報じにくい。

【Bさん】　報じにくいと思いますよ。

【メンバー】　JNSAがメディア向けの勉強会をやってもいいですよ。本当にちゃんとメディアの人が受けてくれるんだったら。部署が２年で変わってもいいじゃないですか。その後また戻ってくるかもしれないし。今、あまりにもマスコミの人達が勉強しなさすぎ。結論だけを求めるのがよくない。「なんか教えてください」じゃなくて、自分で調べるべき。

【メンバー】　それはその通りです。

【メンバー】　調べたいことがあるんだったら、JNSAに来てくれたらセキュリティのことに関しては全部答えます。

【メンバー】　僕思うんですけれど、JNSAのサイトに載っている文章でも難しすぎるんですよ。あれだと社会に伝わらない可能性が。

【Bさん】　そこに俺反論があって、横着しすぎだと思うよ。エンドユーザ、コンシューマも含めて、自分がわかるように話してくれっていうのが、"On your own risk"の考え方のもとではすでに間違っていて、そこの中にヒントがあるんであれば調べれば済むことであり、それを「おまえの文章が難しい」ってさも当たり前のように言うのはやめたほうがいい気がします。

【Cさん】　いや、相手のやることは変えられないので、我々ができるのは我々側のことだから、もう少しわかりやすくする必要はある。

【Dさん】　ひとつ気になっているのが、MS17-010の情報が出た段階で、警告をもっとガンガン出して記事にしていれば防げたのか。

【一同】　無理だな。

【Aさん】　MS17-010と言った瞬間に誰もわからない。CVEの何点といってもわからない。

【Dさん】　一度こけても２度目はこけないような伝え方を考えたい、学んだというよりも反省ですけれども。

【Bさん】　なんか、リアリティなんだよね。

【メンバー】　だって、自分が感染しないと動かないってそのまま。

【Bさん】　いじわるで言うんだけれど、大騒ぎになるケースって、メディアの人自身に関係するかもしれないとき。例えばカカクドットコムの話も、「そういえば昨日オレ見てるわ」とか。メディアの人にリアリティのあるものはニュースになるんですよ。

【Cさん】　でもね、それも限界があるんです。みなさんだって、かかったことのない病気の薬は買ってないですよね。いずれガンで死ぬとわかっていたって、せいぜい職場の健康診断でしょう。自費でがっつり検査している人がどれだけいますかと。

【メンバー】　いまだにタバコ吸ってるもん。

【Cさん】　でしょう。だから、それでサイバーセキュリティだけみんなができると思ったら大間違い。「攻撃パケット出しているやつは許せない」とか言っておいて、他人に害悪振りまいているわけですよ。だから完璧なものはないので、「今よりいい明日を」というのを合言葉にね。

【司会】　うまくまとめましたね。

【Cさん】　そうしないと、精神がもたないか、原理主義になっちゃうわけよ。それで僕たちJNSAは明るい未来を見つめつついこうと。

【Eさん】　逆にメディアの人に聞いてみたいですね。どんな説明を専門家に望むのかとか。この要素は絶対に必要とか。そういう教育できるように。

【司会】　いっぱいあるような気がする。

【Cさん】　でもそれこそ報道のみんなで、さっきのテンプレートを考えたらいいんじゃないですか。

【Dさん】　ひとつ難しいのが、わからないことって結構多いですよね。グレーな部分とか。「じゃあ誰がやったんですか」と尋ねても、「こういう可能性もあるけれどもなんとも言えない」みたいな。

【司会】　それで記事にしにくいということもあるんでしょうね。

【メンバー】　たちまち記事にするという考えが、あまりよくないのではないかな。

【司会】　やっぱりメディアの活用というのは必要だと思うんですよね。

【Cさん】　でもさっきのテンプレートみたいな話は、報道サイドで歓迎されるんじゃないですかね。テンプレートを使う・使わないは報道機関の自由だけれど、それが標準になったらそれはそれでいいよね。

【メンバー】　ありだと思うよ。セキュリティ報道の5W1Hって、すごく重要だと思う。

【Dさん】　別にメディアに限らず、一般ユーザでも敏感な人はそれを見れば。

【Aさん】　なるほどね。

【Cさん】　JNSAが出したら、報道が勝手にそれを報道すればいいんですよ。世の中がもっとわかりやすいように、業界として努力していることになるじゃないですか。

【メンバー】　5W1Hなのかどうかわからないけれど、思いついたのはそういう言葉。

【Dさん】　まさにそれです。「いつ」、「なにが起こって」、「どのように」、「なぜ」というのがやっぱり知りたい。

【メンバー】　そういうのができたら、今度はインシデントを発表する側も同じようなもので出せばいいわけ。

【Aさん】　発表する側は、みんながわかるようにって出すから内容が薄くなってる。

【Bさん】　でも、複雑なことを簡単にというのには無理があるんだと思うよ。

【Dさん】　簡単にすると、今度は間違って伝わるというのがあって。

【Bさん】　だからね、少なくともレイヤーはあるんだけれど、簡単に伝えればいい、というのはとても間違った考え方だよね。

【司会】　IPAが日曜日に行った記者会見についてはいかがですか？

【メンバー】　僕はIPAを擁護したい。土日で日本全体、会社も公的機関もすべて閉まっていて対応するところが全くない、つまり日本発の情報をどこも出してくれないような状態になっていたわけですよね。その中でIPAが非常に少ない情報、まだもやもやとしてよくわかっていない状況の中で、ああいう形でちゃんと説明会を開いたというのは画期的だと思います。結果的にちょっと転んでしまったのかも知れないけれど、あの時点では他に誰もやらなかったという意味ではよいことをやってくれたと思います。

【Dさん】　速さと正確さのバランスが難しい。

【メンバー】　もたもたしていると意味がなくなってしまうんです。

【Bさん】　やっぱりこういうアクションがあって、そのリアクションがあって、ということを繰り返していくというのが結局マチュリティ（成熟）だと思うんですよね。やってみるから文句を言われるのであって、今までやってもいなかったのがやるようになったのは、今後の財産になっていくんじゃないかと思うんですよね。

【Dさん】　会社のトップが気にして、そもそもテレビでワームの話をやるような時代になったというのが私的には感慨深かったです。

【司会】　テレビの影響力はいまだに大きいですよね。

【Dさん】　経営層もセキュリティを考えましょうという風潮になったのがやっぱりここ１〜２年ですかね、いろいろインシデントもあって。

【Eさん】　やったこと自体はいいと思います。でも今だけなんじゃないかな。オリンピックが終わるまでにもう少し信頼を得ないと、誰も見向きもしてくれなくなるんじゃないかな。「おおい、またセキュリティが来たぞ」みたいな。今がんばらないといけない時だという気がするんです。

【司会】　本当に東京オリパラというのは日本にとってみたら結構コワいというか、それを過ぎたら一体どうなっちゃうんだろうという感じですね。

【Eさん】　僕は伝え方というところが今回気になりました。「サイバーテロ」という言葉がさっき話題になっていましたけれど、「サイバー攻撃」という言葉は警察でいうとテロなんですよね。「サイバー犯罪」や「サイバー攻撃」といっているのは、受け取る人にとっては「テロ」といっているのと同じなんですよね。

【Bさん】　攻撃主体が国だとテロじゃなくて紛争かな。

【司会】　おっしゃるとおり、国だと国対国の紛争になるんですよね。だからそうなったらもうCyber warfareというか。

【Eさん】　っていうのも多分伝わってないと思うんですよね。

【司会】　そろそろお開きということで。みなさんありがとうございました。次回をお楽しみに。

（拍手）

---

　

« （25）腹が立つのもわかるけど - 脆弱性とセキュリティ対策再考