Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
栃木県警サイバーセキュリティ研修会2026
Search
Sponsored
·
Your Podcast. Everywhere. Effortlessly.
Share. Educate. Inspire. Entertain. You do you. We'll handle the rest.
→
Nomizo Nomizo
February 06, 2026
Education
0
110
栃木県警サイバーセキュリティ研修会2026
栃木県警察サイバー対策センター主催
栃木県警サイバーセキュリティ研修会2026の登壇資料です
2026年2月6日(金)13:30~16:00
Nomizo Nomizo
February 06, 2026
Tweet
Share
More Decks by Nomizo Nomizo
See All by Nomizo Nomizo
特別捜査官等研修会
nomizone
0
650
高度サイバー人材育成専科資料(前半)
nomizone
0
880
高度サイバー人材育成専科(後半)
nomizone
0
870
攻撃者目線で考える狙われやすい企業の特徴とは
nomizone
0
14
TryHackMeのはじめかた
nomizone
0
1.2k
沖ハック~のみぞうさんとハッキングチャレンジ☆~
nomizone
1
570
ひよこまめ教習所_教習案内
nomizone
0
1.3k
ハッカー視点で学ぶサイバー攻撃と防御の基本
nomizone
6
4.7k
シンデレラなんかになりたくない~裸足で歩く自分だけの道~
nomizone
6
1.8k
Other Decks in Education
See All in Education
AIで日本はどう進化する? 〜キミが生きる2035年の地図〜
behomazn
0
110
Adobe Express
matleenalaakso
1
8.1k
HTML5 and the Open Web Platform - Lecture 3 - Web Technologies (1019888BNR)
signer
PRO
2
3.2k
【洋書和訳:さよならを待つふたりのために】第2章 ガン特典と実存的フリースロー
yaginumatti
0
210
AIは若者の成長機会を奪うのか?
frievea
0
180
Semantic Web and Web 3.0 - Lecture 9 - Web Technologies (1019888BNR)
signer
PRO
2
3.2k
Chapitre_2_-_Partie_2.pdf
bernhardsvt
0
160
自己紹介 / who-am-i
yasulab
PRO
5
6.3k
【洋書和訳:さよならを待つふたりのために】第1章 出会いとメタファー
yaginumatti
0
220
Chapitre_2_-_Partie_3.pdf
bernhardsvt
0
150
The browser strikes back
jonoalderson
0
360
Padlet opetuksessa
matleenalaakso
9
15k
Featured
See All Featured
The B2B funnel & how to create a winning content strategy
katarinadahlin
PRO
0
270
How to build a perfect <img>
jonoalderson
1
4.9k
Highjacked: Video Game Concept Design
rkendrick25
PRO
1
280
Building Adaptive Systems
keathley
44
2.9k
Navigating Weather and Climate Data
rabernat
0
100
Efficient Content Optimization with Google Search Console & Apps Script
katarinadahlin
PRO
0
310
GraphQLの誤解/rethinking-graphql
sonatard
74
11k
Speed Design
sergeychernyshev
33
1.5k
We Have a Design System, Now What?
morganepeng
54
8k
Into the Great Unknown - MozCon
thekraken
40
2.2k
The Impact of AI in SEO - AI Overviews June 2024 Edition
aleyda
5
730
The AI Revolution Will Not Be Monopolized: How open-source beats economies of scale, even for LLMs
inesmontani
PRO
3
3k
Transcript
2026/2/6 13:30-16:00 野溝のみぞう @nomizooone 栃木県警察
2 自己紹介 野溝のみぞう 合同会社SecuLeap代表 デザイナー・プリセールス・サービスマネージャー・エンジニア・ マーケティング・カスタマーサクセス……など、数々のIT系職種を 転々としていたある日、 所属していた会社が 情報漏洩事件の被害に遭ってイマココ (現在の所属会社とは違います)
CISSP/情報処理安全確保支援士 第027975号 こういう本を書きました 累計2万部突破
3 今日話したいこと 攻撃者の思考で狙われやすいポイントを知る 「自分が関わるシステムだったらどうだろう?」 考えるヒントをお持ち帰りください! 最近ランサムウェアが話題だけどなんとなく実感がない
4 アジェンダ ①ハッカー視点ってなんだろう? ②具体的に攻撃ってどうやるの? • どういうところを狙うの? • 攻撃デモをごらんください
5 そもそも ハッカー思考って なんだろう?
6 インシデントは増えてるって言われるけど 引用:【セキュリティレポート】過去3年分の国内セキュリティインシデントを集計 デジタルアーツ株式会社 https://www.daj.jp/webtopics/1300/ 実感ありますか? 2025年の国内セキュリティインシデント総数は1,782件 となり、昨年度の1,344件を超え、当社集計以来過去最多 を更新しました。内訳では、昨年同様「不正アクセス」 が782件で最多となり、全体の約4割を占める結果となり
ました。
7 どこが狙われるのか? ①弱いところ ②公開されているところ 今回特に取り上げたい場所
8 脆弱性が放置されているところ 放置されたソフトウェア(気が付いたらEOLに…) 脆弱性診断したけど対応しきれてない(忙しくて…) うっかり設定ミス(何故か開いてるポート、権限設定の不備) ①弱いところの例(1/2)
9 ①弱いところの例(2/2) 人間の心 単純なパスワードつけちゃう(一時的に…テストだから…) フィッシング(リテラシーが低い人がひっかかると思ってません?) 内部不正(誰しも闇を抱えることはある)
10 ②公開されているところの例 公開サーバって把握してる? 開発が主管じゃないところは?(コーポレートサイトなど) 棚卸ししてる? テスト環境とかステージング環境とかは? サーバ以外にもVPN機器とかない? ASM(Attack Surface Management)
11 インターネット上に公開されている資産を調べる方法 OSINT(Open Source Intelligence) 一般に公開されている情報(オープンソースデータ)を収集・分析して知見を得る手法 本来はASM用のツール(多分)……だけど? アクティブスキャン パッシブスキャン(検索) 直接対象となる資産を調べる
検索エンジンが収集したデータを調べる 検索エンジン
12 じゃあ 具体的に攻撃って どうやるの?
13 今回の攻撃デモシナリオ ターゲットを定める ターゲットに対して 開いてるポートと 脆弱性を確認 脆弱性を ついた攻撃 情報収集フェーズ 攻撃フェーズ
ランサムウェアの 感染 辞書攻撃
14 しかし、本当に攻撃してしまうと困ったことになる 日本国内においては法律に抵触する可能性があります •不正アクセス禁止法(通称)違反 •ウイルス作成罪(通称) •電子計算機損壊等業務妨害罪 などなど
15 大事な注意事項 以外には絶対やってはいけません 特別に許可を得た環境 自分が全責任を持って管理している環境 ・ ・
16 検索のみ なので今回はこうします ターゲットを定める ターゲットに対して 開いてるポートと 脆弱性を確認 脆弱性を ついた攻撃 ランサムウェアの
感染 辞書攻撃 ローカルに構築したテスト環境で実験 パッシブスキャン アクティブスキャン
17 Demonstration やっていきます 画面きりかえます
18 今回の攻撃デモシナリオ ターゲットを定める ターゲットに対して 開いてるポートと 脆弱性を確認 脆弱性を ついた攻撃 情報収集フェーズ 攻撃フェーズ
ランサムウェアの 感染 辞書攻撃
19 検索エンジンの例(Shodan) ウェブサーバーだけでなくオフィス機器や情報家電、信号機や発電所の制御機器なども含めて、 インターネット接続されている機器、約5億台分の情報をデータベースに格納している。 利用者はその機器の情報を検索できる。 URL:https://www.shodan.io/
20 今回の攻撃デモシナリオ ターゲットを定める ターゲットに対して 開いてるポートと 脆弱性を確認 脆弱性を ついた攻撃 情報収集フェーズ 攻撃フェーズ
ランサムウェアの 感染 辞書攻撃
21 WannaCry(WannaCrypt)の事例 • 2017年5月 世界中で大規模な被害を引き起こしたランサムウェア • 4月に脆弱性のパッチがリリースされていたので適用していれば被害は防げたはず…
22 今回の攻撃デモシナリオ ターゲットを定める ターゲットに対して 開いてるポートと 脆弱性を確認 脆弱性を ついた攻撃 情報収集フェーズ 攻撃フェーズ
ランサムウェアの 感染 辞書攻撃
23 辞書攻撃 引用:7日間でハッキングをはじめる本 77ページ ふつうにテキストファイル(辞書)の 上から順番にログイン試行していく 良くあるパスワードトップ100~ 日本人の名前っぽいもの 好みで使い分けます いろんな辞書があります
とあるサイトで漏えいしたもの
24 今回の攻撃デモシナリオ ターゲットを定める ターゲットに対して 開いてるポートと 脆弱性を確認 脆弱性を ついた攻撃 情報収集フェーズ 攻撃フェーズ
ランサムウェアの 感染 辞書攻撃
25 今回の攻撃デモシナリオ ターゲットを定める ターゲットに対して 開いてるポートと 脆弱性を確認 脆弱性を ついた攻撃 情報収集フェーズ 攻撃フェーズ
ランサムウェアの 感染 辞書攻撃
26 Demonstration おわり
27 まとめ
28 今日のふりかえり ①攻撃者の思考ってなんだろう? ②具体的に攻撃ってどうやるの? • どういうところを狙うかをお話しました • 攻撃デモをごらんいただきました
29 狙われやすいところ2点(再掲) ①弱いところ ②公開されているところ 脆弱性のあるところやついうっかり インターネットから触れるところ
30 一番大事なこと 特効薬はない 考え続けることが、あなたの大事なシステムを 大切なお客様に届けることにつながります。
31 ご清聴ありがとうございました!
nomizone
behomazn
matleenalaakso
signer
yaginumatti
frievea
bernhardsvt
yasulab
jonoalderson
katarinadahlin
rkendrick25
keathley
rabernat
sonatard
sergeychernyshev
morganepeng
thekraken
aleyda
inesmontani
