北米で発表する(はずだった)プレゼンを公開!リモートワークの合間に、ハッキングと寿司について語ります。
こんにちは!
ユービーセキュア Vex 開発兼プリセールス担当のアレックスと申します。
Vex の新規機能開発と、プリセールスとして営業と同行して、お客様に Vex のデモと、技術的な質問に答えることが主な業務です。たまに海外のお客様と英語で話します。
コロナウイルスの状況が世界中で悪化している中、皆さんは元気であることを祈っています。
実は、ユービーセキュアはいち早くリモートワークができるよう環境をそろえて、本記事も居心地が良い我が家から執筆しております!(会社から費用補助もありました!)
なぜか「エモい」とか言われますが、嫉妬しているんでしょう。きっと。
コロナウィルスの影響で行けなかった米国出張(カナシミ)
さて、本日の記事は RSA カンファレンスで行う予定だった(!)プレゼンテーションを文章にしたものです。
「予定」と書いたのは、私が渡米する直前に、会社として出展中止を決めたためです。(残念でしたが、今になって思えば、正しい判断だったと思います)。
ですが、せっかく作ったプレゼンですので、ここでシェアしたいと思います!
それでは、 HACKING SUSHI をどうぞ!
注)本来、当プレゼンは主に欧米人向けに作成した資料のため、和訳でニュアンスが薄くなっているところがあるかもしれません。テキストを少しアレンジしました。
ちなみに、「hacking」は「to hack」の動詞で「切る」という意味もありますので「寿司を切る」という意味合いを含め・・・・うん、説明するとすごく寒いっす。
「HACKING × SUSHI」
(こういう「〇〇×〇〇」って最近流行っているので私も書いてみました、、、)
寿司とハッキングの意外な関係!
皆さん突然ですが、寿司って握ったことがありますか?
※)本来は欧米向けなので、「握ったことない!」という反応を期待していました。
私も日本に来て、はじめて寿司を握る時まで、「そんな難しくないだろう」と思っていたのですが・・・
が!しかし!なかなか期待通りに行かない!
でも諦めず、 どなたか優しい YouTuber が教えてくれるだろうと思い、「how to make sushi」と検索。
で、いくつかのビデオを見ながら、なんとか食べ物と認識できるレベルの寿司を握ることができました。
プライベートな話はここまで。本題に入ります!
さて皆さん!私のプレゼンはなんと!!
寿司を握ることと、ハッキングを行うことの共通点、という無理矢理なテーマなのです!
後からちゃんと繋がるので、とりあえず付き合って下さい(笑)
回転寿司11億皿分のインシデント(スシロー黄皿換算、1皿=100円)
皆さん TalkTalk 事件はご存知でしょうか?
TalkTalk は英国の有名なモバイル通信キャリアです。2015年に Web サイトがハッキングされて大変な騒ぎになりました。
このインシデントで TalkTalk は6千万ポンド(約110億4千万円)を失い、さらに、10万人もの顧客を失ったそうです。
大規模な事件として、政治家も関わり調査が行われました。
事件を起こしたやつは誰だ?
一部の報道では「ロシアを拠点にしたイスラム過激派」と、絶対当たるビンゴカードのように、とりあえずそれっぽいキーワードを全部入れとけ!といったような報道がされていましたが・・・・本当かよ?
数か月後明らかになった犯人は・・・おまわりさん!この人です!
はい。顔は見せられません。それは彼が(当時)未成年者だったからです。
どうですか?驚きましたか?でも、実はそんな驚くべきことでもないのです。
セキュリティ業界の都合の悪い真実
ハッキング、サイバー攻撃という言葉を聞くと、いわゆるハッカー的なダークな人物を思い浮かべますが、多くの場合は TalkTalk 社の事件のように、自分の部屋に引きこもっている普通の若者だったりします。
こんな恐ろしいイメージが形成されている理由は、企業が16歳の若者にやられたという恥ずかしい事実を認めたくないからではないかとか思ってしまいますね(邪推です)。
さて、では、この少年はどうハッキングしたのでしょう?
答えは非常に単純です。
無料でダウンロードできる sqlmap というデータベースの脆弱性を見つけてくれるツールを使って、友達に見せびらかすために TalkTalk 社の Web サイトに向けて攻撃を行った。これが事件の真相です。
現代、ハッキングの知識はインターネットで簡単に手に入れられます。
「how to hack with sqlmap」と検索すれば、教えてくれるチャンネルが山ほどあります。そう、私の寿司みたいに。
(近年、 YouTube はハッキング関連の動画に対して厳しくなりましたが、セキュリティ教育向けの動画で十分な知識を得られます)
なぜこのような事件がまだ起きているのでしょうか?
私はこの OWASP Top 10 の年別比較表に一つの答えがあると思います。
ご覧の通り、カテゴリの入れ替えがありましたが、よくある攻撃は大きく変わっていません。
特にインジェクション攻撃は相変わらず A1 です。
つまり、多くのウェブアプリケーションは、いまだに10年前から言われ続けている攻撃に脆弱です。
さて、寿司の話に戻りましょう。
現代はインターネットのおかげで、誰もが気軽にどんな知識でも手に入れられます。
How-To ビデオをいくら見たところで、小野二郎さんにはなれませんが、あなたの脆弱なウェブアプリを攻撃するためには十分でしょう。
※)小野二郎さんはすきやばし次郎の店主。映画「二郎は鮨の夢を見る」のおかげで米国では有名人
では、私たちは何ができるのでしょうか?
開発にも脆弱性診断が必要な時代へ Japan No. 1 の Vex
さて、ここでセキュリティからセールスの帽子をかぶらせてもらいましょう! Let's 営業タイム!
当社ではなんと、あなたのウェブアプリケーションにおいて OWASP TOP 10 (その他の脆弱性も!)の検出をカバーできるツールを開発しています。その名は Vulnerability Explorer 略して Vex です!
貴社の開発プロセスに入れ込むことで、新しい機能が商用環境にリーチする前から、速い段階でセキュリティを確保できます!イエーイ!
その上に、当社のツール「Vex」はなんと、4年連続で日本シェア1位を獲得しています!
※)はい。 RSA 開催時点でまだ4年連続ということは知りませんでした。が、ついでに自慢させてください(笑)
https://www.ubsecure.jp/topics/topics-2020/t-20200305
Vex と UBsecure の特徴は
- 高い検出率を誇る!
- 迅速に最新の脆弱性をリリース!
- あらゆる場で使えるレポートの自動生成機能!(好きなレポートをチョイス!)
- プロダクトのエキスパートから24時間以内のサポート!(営業日、時差を除く)
素晴らしいジャパンクオリティー!お問い合わせはこちら!
(お問い合わせの際には「アレックスの投稿を見たよ」とおっしゃってくださいね!)
ぜひ、貴社のウェブアプリケーションも、ザ・巨大スシに乗っ取られる前に、 let’s talk!
初めての米国出張なのに、行けなくて残念でした!このプレゼンをすることを本当に楽しみにしてたのに・・・。
来年こそリベンジしてやる!次は「ハッキング×こけし」だ!!(謎)
ちなみに!
あなたも、米国(と、その他いろいろな国)のセキュリティ カンファレンス・展示会に行けます!
ユービーセキュアに応募して僕と一緒に日本発のセキュリティ製品を世界中で盛り上げましょう!