ごあいさつ

皆様、はじめまして。EGセキュアソリューションズ株式会社取締役CTOの徳丸浩と申します。

私は京セラコミュニケーションシステム(KCCS)にて、プログラマ、SE、自社パッケージ企画・事業化、アーキテクトなど多様な経験を積むことができました。個人としても、PascalコンパイラCabezonの開発、公開を通じて、オープンソース運動の先駆的活動をする機会に恵まれ、そのご縁で多くの貴重な仲間と知り合うことが出来ました。

2000年以降は、企業向けや携帯電話向けのWebアプリケーションを企画・開発する立場から、アプリケーションの安全性についてお客様に責任を持たざるを得ない立場におかれました。このため、Webアプリケーションのセキュリティについて独自の取り組みをしてきました。

それは、セキュリティ知識の蓄積だけでは意味がなく、安全なアプリケーション開発方法、検査体制、教育、品質システムとの統合など、開発プロセス全般にわたる取り組みが必要で、それらを手探りで一つ一つ解決せざるを得ない状況でした。
さて、2005年以降、Webアプリケーションに対する脅威は増加する一方です。私が2000年以降に置かれた立場は、現在世界中のWebサイトの構築責任者が置かれた状況と同じです。私は今までの経験を世の中にもっと役立てたいと考えました。

KCCS時代は、居心地のよい職場でしたが、立場はあくまでも管理職でありました。もっと現場に出てセキュリティの仕事をしたい、もっと自分で手を動かして調査・研究をしたい、ブログや寄稿などを通じて自分の考え方を世の中に広めたい・・・そう思った私は、大企業の管理職という立場では限界があると考え、独立することを決意いたしました。

絵空事ではない、実績に裏打ちされた経験こそが弊社のバリューであると確信いたしております。弊社の使命は、これまでの経験を活かし、インターネットを安全に活用できる社会づくりに少しでも貢献することであります。どうぞ、よろしくお願いいたします。

Chief Technical Officer

取締役CTO 徳丸 浩

EGセキュアソリューションズ株式会社 取締役CTO
京セラコミュニケーションシステム株式会社 技術顧問
独立行政法人情報処理推進機構(IPA) 非常勤研究員 技術士(情報工学部門)

Twitter:@ockeghem
著書:「 体系的に学ぶ 安全なWebアプリケーションの作り方
脆弱性が生まれる原理と対策の実践(ソフトバンククリエイティブ)

1985年京セラ株式会社に入社後、ソフトウェアの開発、企画に従事。1999年に携帯電話向け認証課金基盤の方式設計を担当したことをきっかけにWebアプリケーションのセキュリティに興味を持つ。2004年同分野を事業化。2008年独立して、Webアプリケーションセキュリティを専門分野とするHASHコンサルティング株式会社(現EGセキュアソリューションズ株式会社)を設立。脆弱性診断やコンサルティング業務のかたわら、ブログや勉強会などを通じてセキュリティの啓蒙活動をおこなっている。

著作、執筆等

独立行政法人情報処理推進機構(IPA) 安全なウェブサイトの作り方(執筆担当)
同別冊 安全なSQLの呼び出し方 (執筆担当)
同別冊 ウェブ健康診断仕様 (執筆担当)
体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践 (著作) ※サポートサイト
徳丸浩のWebセキュリティ教室(著作)
CakePHP2 実践入門 (レビュー)
日経クロステック Active 徳丸浩のWebセキュリティ事件簿(記事連載)

テレビ

■テレビ東京:WBS(ワールドビジネスサテライト)(9月17日)
なぜ相次ぎ発生 預貯金の不正引き出し

■テレビ東京:WBS(ワールドビジネスサテライト)(9月15日)
ゆうちょ銀 不正被害が拡大 ペイペイ5社でも

▼9月18日  日本テレビ:スッキリ
▼9月10日  日本テレビ:スッキリ
▼9月10日  テレビ朝日:グッド!モーニング
▼9月10日  フジテレビ:直撃LIVEグッデイ
▼9月9日    テレビ東京:WBS(ワールドビジネスサテライト)

メディア掲載

■日経電子版(2021年12月5日)
クレジットカード情報、漏洩急増の原因は 専門家に聞く

■東洋経済オンライン(2021年2月1日)
笑いごとじゃない!「PPAP」直ちに禁止すべき訳

■ScanNetSecurity(2021年1月13日)
世界ではじめて脆弱性診断士資格「セキュリスト(SecuriST)」を作った三人の男

■月間ネット販売(2020年12月25日)
弱点露呈したキャッシュレス決済ユーザーのパスワードが狙われる?

■ITmediaニュース(2020年10月21日)
相次いだ不正送金事件、ログイン認証の抜け穴を熟知か セキュリティ専門家の徳丸氏が解説

■日経クロステック(9月18日)
「ドコモ口座」不正の全容、Web口振に落とし穴

■通販新聞(9月17日)
NTTドコモ 「ドコモ口座」で不正出金、「本人確認不十分」と謝罪

■東洋経済(9月12日)
「ドコモ口座」不正被害に見たもたれ合いの唖然ドコモと金融機関の両方に責任と甘さがある

■ITmediaニュース(9月9日)
「ドコモ口座」で相次ぐ不正出金、なぜ地銀だけが狙われた? 専門家の見解は

■産経新聞(9月9日)
ドコモ口座不正引き出し、狙われた脆弱性 キャッシュレス推進にも逆風

■ITmediaエンタープライズ(9月9日)
徳丸 浩氏に聞いた「ドコモ口座」問題 今起きていること、今できること

企業の不正ログイン事件の解説

徳丸が過去に掲載したブログ記事から今回の事件の手口に関連した解説記事をピックアップしました。
今回の事件の手口の可能性が高い攻撃手法は、最新の高度なサイバー攻撃ではなく、以前から存在していたことがわかります。

パスワード攻撃に対抗するWebサイト側セキュリティ強化策

不正ログインについての全般的な解説記事。2013年に公開したものですが、
今話題のリバースブルートフォース攻撃も解説しています。
また、当時名称のなかったパスワードスプレイ攻撃(この名称が使われるのは2018年以降)の可能性についても言及しています。
https://blog.tokumaru.org/2013/05/how-to-protect-your-website-from-password-attacks.html


JALの不正ログイン事件について徳丸さんに聞いてみた
日本航空のサイトに対して不正ログイン攻撃があり40人のマイルがAmazonギフト券数百万円相当と交換された事件についての解説です。
手口の詳細は公表されていませんが、リバースブルートフォース攻撃が疑われています。
https://blog.tokumaru.org/2014/02/jal.html


ANAの不正ログイン事件について徳丸さんに聞いてみた
日本航空のサイトに対して不正ログイン攻撃があり、
9人のマイレージ総計112万マイルがiTunesギフトコードに勝手に交換された事件についての解説です。
こちらも手口の詳細は公表されていませんが、リバースブルートフォース攻撃が疑われています。
JALの事件の後ということで、手口の詳細と解説について、より踏み込んだ解説をしています。
https://blog.tokumaru.org/2014/03/ana.html


GitHubに大規模な不正ログイン試行
ドコモ口座の事件では、「パスワードスプレー攻撃」の可能性も指摘されています。
パスワードスプレーという名称は2018年以降使われていますが、
その初期の例と考えられるGitHubへの不正ログイン事件(2013年)について解説しています。
https://blog.tokumaru.org/2013/11/github.html

自社のサービスは大丈夫?と不安に思われたら

お昼休みにQiitaの記事を見ながらだらだらライブ配信するよ

お昼休みにQiitaの記事を見ながらだらだらライブ配信するよ

今回の事件は、決して他人事や他社の話ではありません。
自社のオンラインサービスのセキュリティに不安を持たれた方は、
EGセキュアソリューションズにご相談ください。

Contact

お気軽にお問い合わせください。

Mail magazine

弊社徳丸の登壇情報はもちろん、セキュアなシステム開発を行うためのポイントや、
最近話題の脆弱性などについて配信しております。