概要
「Wizard Bible 事件から考えるサイバーセキュリティ」を読みました。 「前提」「読了時間」「感想」「次に関連で勉強すること」「まとめ」を記述します。
前提
目的
主な理由は以下です。
- セキュリティの分野に興味があり、過去に脆弱性の勉強をしていた。さらに別視点からの知見が欲しかった
- 今年(2022 年)、Coinhive 事件の最終判決が決まり話題になっていた
- 書籍の名前は知っていたが手を出していなかった。技術書典 13 に参加したら出品されていたので、これを機に購入した
前提知識
セキュリティ関連では以下の書籍を読んでいました。 他に、日経新聞で個人情報流出やサイバーセキュリティに関連する記事を毎日チェックしています。 事件についてまとめられた書籍を読むのは今回が初めてでした。
読了時間
平均して 1 日 30 分から 45 分読み、1 週間で読了しました。 法律などの詳細は一度読んだだけではわからなかったので、理解を諦めて読み飛ばしながら読んだ部分もあります。
感想
本書は「Wizard Bible 事件」「Coinhive 事件」「アラートループ事件」について当事者たちのインタビューによってまとめられた書籍です。 事件の概要だけでなく、家宅捜索、取調べ、その後の生活について記述されておりサイバーセキュリティに関する事件について詳細に学べます。
本書を読むことで、アプリを公開しているエンジニア(業務、個人関わらず)が容疑をかけられる可能性があることを実感させてくれました。 また、ここ数年の間に発生していた事件だということを知り、自分が日本の司法におけるサイバーセキュリティの状況についてキャッチアップできていなかったことに危機感を覚えました。
個人的に本書で印象に残ったのは以下です。
- 「不正司令電磁的記録に関する罪」について
- コンピュータウィルスを作成するのは犯罪であることを認識していましたが、具体的な名前と、その範疇についてはまったく理解していませんでした
- 加えて、本書のような判例があると想定していませんでした
- 家宅捜索、取調べ、前歴、裁判などについて
- 法律について疎いため、まったく知見がありませんでした
- 当事者たちのその後の生活も含め、全ての段取りが非常に印象残りました
- 自衛策
- 事件を踏まえた自衛策について記述されています
- 「巻き込まれないためには」だけでなく、「万が一巻き込まれてしまった場合」も記述されていました
- 本書を読まなければ知り得なかった情報です
これらを踏まえて、「法律の理解」「危機感」「自衛」に対する意識を高められました。 周囲のエンジニアにもセキュリティに興味がなくても(あったらなおさら)この書籍を推薦しようと考えています。
次に関連で勉強すること
現状、セキュリティに時間を割く優先度は低いですが、セキュリティ関連で勉強するとしたら以下になります。
- 引き続き、サイバーセキュリティに関する情報のキャッチアップ
- 書籍によるインプット
- 現状気になっているのは「ホワイトハッカーの教科書」「脅威インテリジェンスの教科書」「ハッキング・ラボのつくりかた」です
- なにかしらのアウトプット
- 技術記事の執筆を考えましたが、以前からセキュリティ関連はリスクが高いと判断して避けていました。今後も書くことはほとんどないと考えています
- 他のアウトプットの方法として、CTF の過去問を考えています
まとめ
- 「Wizard Bible 事件」「Coinhive 事件」「アラートループ事件」についてまとめられた書籍だった
- 誰にでも巻き込まれるリスクがあることを認識し、巻き込まれないため(巻き込まれたときも)に対する意識を高められた
- 日頃からのキャッチアップ、インプット、アウトプットを続けなければならないと思った