KobeSec_01 勉強会@KDL 参加記録

2025年10月25日に開催された KobeSec_01 勉強会@KDL に参加してきたのでその記録。

セッション① 「最近のサイバー犯罪の情勢について」

スピーカー：兵庫県警察 柳 英俊さん

はじめに

サイバーセンター＝サイバー犯罪捜査の司令塔となり、主な役割は以下。

• サイバー空間における証拠の収集（IPアドレス、ログ）
  • ドラレコの動画から走行速度の推定などもやっている
• デジタルフォレンジック（スマホの解析）
  • サイバー空間上で犯人を特定
• 証拠に基づく捜索・差押え・犯人の逮捕
  • クラウドなどデータの保存先などを考慮し、どの法律がおよぶのかなども判断している

兵庫県警察サイバー情報発信室から ”サイバー防犯通信” として公表もされており、Twitter などでも公開・拡散している

令和7年上半期のサイバー犯罪のトレンド

証券口座に係る不正アクセス

警察庁のデータ（令和7年上半期）で以下。

• 不正アクセス：13,121件
• 不正取引：7,277件
• 不正取引額：5,780億円ほど
• 兵庫県内でも 100 件以上を認知している

インスタのアカウント乗っ取り被害

• 月 30 件ほど発生している
• インスタの友だちから届いた「オンラインインフルエンサープログラム」への投票のお願いなどが多い
  • 乗っ取った後のアカウントの扱いとしては、投資を謳うショート動画（ストーリー）を流して投資詐欺に利用されることが多い
• またなりすましなども多い（丸谷明石市長の事例など）

ECサイトに係る詐欺、返金詐欺

• 兵庫県内のサイバー相談でダントツの１位-
• 毎月 100 件程度の相談があり、今年は「米騒動」もあった。届かない、など。

クレジットカード不正利用被害

• 兵庫県内のサイバー相談で２位
• 毎月 50 件程度の相談があり、多くが SMS を含むフィッシングメール経由

インターネットバンキングにかかる不正送金

• 昨年の兵庫県で 229 件の認知
• 今年の傾向として法人口座を狙った「ヴィッシング」が一時猛威を振るっていたとのこと。
  • ヴィッシング（Vishing）とは 音声 （Voice）とフィッシング（phishing）を合わせた造語らしい。

参考：ヴィッシングとは【用語集詳細】

ランサムウェアの情勢

• セキュリティベンダーから聞く感じでは多いように思えるが、警察での認知件数としては実はそこまで多くない
• そのためデータがあまりなく傾向などの分析にも課題あり
• ルーターの脆弱性を突いてノートパソコン１台だけ被害にあった酪農家などの例があり必ずしも大企業が対象でないことも多い

サイバー犯罪から少し離れるが

警察官を騙った特殊詐欺や投資、ロマンス詐欺もまあまあ多い。

• 特殊詐欺：44億円
• 投資、ロマンス詐欺：78億円

生成 AI の影響もあり、スプーフィング＝番号偽装やディープフェイクを活用したとみられる事例も散見される。

• アメリカに支社がある神戸の企業で神戸の本社の電話番号での着信
  • 香港のとある企業がホットなので今すぐ資金を振り込むように、との社長からの指示
• 社長とビデオ通話をした際に動画が少しカクカクしているような違和感があったものの送金した。という事例

お知らせ

• 企業を対象としたサイバーセキュリティセミナーとして兵庫県警で以下のセミナーを開催予定とのこと
  https://www.police.pref.hyogo.lg.jp/cyber/event/index.htm
• サイバー捜査官という進路もあるよ！とのこと
  https://www.police.pref.hyogo.lg.jp/saiyo/messe/index2.htm
• 体を動かしての検査や警察学校に入らず、警部補として採用される道もあるとのこと。〜58歳までOK！とのこと
  https://www.police.pref.hyogo.lg.jp/saiyo/shiken/data/cybersaiyo.pdf

セッション② 「セキュリティ人材の不足状況と人材育成方法にについて」

スピーカー：GSX 西野 哲生さん

セキュリティ人材が不足している状況について

• 「セキュリティ人材の不足は世界中での課題」
• 2023 の Global の Workforce "GAP" で 3,999,964 人の不足
  • 日本でも 110,254 人の不足があり、ギャップはさらに広がっている
• さらにエンジニアだけでなくセキュリティマネジメントを理解している人や CISO も不足している
• CISO を設置する企業でも兼任がほとんど（約９割）で CISO の役割について理解できていない方もいるのが現状

セキュリティ人材はどれだけいたらいいのか？

• 「全従業員数の 0.5% 以上を確保しておくべき」と言われている
• ただ、この比率の人材を確保できている日本企業は稀
• とある大企業でも達成できていないらしい

攻撃者側の状況について

• 「敵を知り己を知れば百戦危うからず」孫子の兵法
  • 相手を理解せずに防御のスキルは磨けない
• 攻撃者もサプライチェーンでビジネスを行っている
• 分業制も進んでおり、査定なども存在するとのこと

攻撃実行者 ←→ C＆Cサーバ
　↓↑
ダークウェブ運営者  ←→  悪いリスト業者
　↓↑
マルウェア製作者

• 攻撃者も AI を利用しているがマルウェアの作成には生成 AI は使っていないらしい
• 生成 AI を利用すると構造の理解がしにくく、相手に合わせたカスタマイズしにくいらしい
  • そのためフルスタックで作成することができるスキルセットを持っていることをアピールするらしい

なぜ人材ギャップが埋まらないのか（＝人材育成できないのか）

• 体系的にセキュリティを学んでおらず自分たちで教えられないから
• 職人技の世界のような認識があり「敵を知り己を知れば百戦危うからず」という考えが広がっていない
• また、セキュリティのセミナーやフレームワークなども多いが、どれを受けたらいいかわからない問題がある
  • スキル標準ユーザー協会 ISV Map ITSS というマップもある
    https://www.ssug.jp/docs/ など？

どのようなゴールを目指すべきか

• 本質的に分類を始めると高い専門性に裏打ちされた細かいロールになってしまう
• 「プラス・セキュリティ人材」になるという考え方が現実的でおすすめ
  • SE・プログラマーにプラスセキュリティして「セキュアアプリケーションエンジニア」
  • クラウドエンジニアにプラスセキュリティして「セキュアクラウドエンジニア」
    のような感じ

ランサムウェア被害の現状

• 日本企業でランサムウェア被害を受けて身代金を払った企業はどのくらいか？
  • 被害企業の３割が実際には払っている
  • 払える額だったから払った、という例もあるがそれも狙った金額
    • 有価証券報告書などから推定するとのこと
    • 売上高の 5% を目安に要求金額を設定するらしい
• 身代金を支払って復号できた実績は４割程度
  • ０でない理由は攻撃者側のビジネス観点
  • 復号できない状況（身代金を払ったのにキーが送られてこないという報告）が出回ってしまうと支払ってくれる別の被害者（お客様）がいなくなるのでそれなりには復号キーを渡すとのこと

Comments