2025.11.28第3回川口 洋と語る! セキュリティ時事放談
情報セキュリティのプロとして、多くの組織のサイバーセキュリティに関わってきた株式会社川口設計 代表取締役の川口 洋氏が、今会いたい人を招いて、その人物にフォーカスを当てながら、セキュリティについて語り合います。
株式会社川口設計
代表取締役 / CISSP / CEH
川口 洋 氏 氏
2002年 大手セキュリティ会社に就職。社内のインフラシステムの維持運用業務ののち、セキュリティ監視センターに配属。2013年~2016年 内閣サイバーセキュリティセンター(NISC)に出向。行政機関のセキュリティインシデントの対応、国民向け普及啓発活動などに従事。2018年 株式会社川口設計 設立。「Sky脆弱性報奨金制度」を監修。
株式会社ディー・エヌ・エー
IT本部 セキュリティ部 サイバーアナリスト 公認不正検査士
松本 隆 氏 氏
セキュリティベンダーのフォレンジックエバンジェリスト、大手SIerセキュリティサービスエバンジェリストを経て、2018年より株式会社ディー・エヌ・エーでグループのインシデントレスポンスやリスク対応に従事。また、副業として金融庁でサイバーアナリスト(非常勤)として活動。サイバー犯罪、とりわけダークウェブと暗号資産を取り巻くビジネスに造詣が深い。特定非営利活動法人デジタル・フォレンジック研究会理事。
【第3回】
セキュリティの優先度アップに、
情シス部門がやるべき活動とは?
情シス部門が
ダークウェブと暗号資産を取り巻く犯罪ビジネスに造詣が深く、金融庁のサイバーアナリスト(非常勤)としても活動されている松本 隆 氏に、猛威を振るうサイバー金融犯罪に加え、組織のセキュリティ優先度アップの秘策を伺いました。
被害を拡大させないためには素早い初動対応が重要
川口氏
そういえば、今日もタクシーの車内CMでSkyさんのCMを見ました。
松本氏
実は私、俳優の藤原竜也さんが出演するSKYSEA Client ViewのCMが好きなんです。具体的な脅威や機能紹介に終始するのではなく、企業が抱える漠然としたITの悩みを一緒に解決していくポジティブな空気感がありますよね。私は30年近くセキュリティ業界にいますが、それまでに見てきたセキュリティベンダーのCMは、どちらかというと玄人向けに自社サービスの機能が優れている点や他社との比較が中心でした。内容もホラーストーリー寄りのパターンが多かったと思います。SKYSEA Client ViewのCMは、商品名と社名にフォーカスを当てた、まっすぐな内容です。このようなCMはセキュリティ業界では他に見当たりません。しかし、CMのインパクトが強すぎて、今では藤原竜也さんを見るとSkyさんを思い出すように(笑) 同じように感じている方は多いのではないでしょうか。当時、知人と「セキュリティ業界に黒船が来た」という会話をしたことを今でも覚えています。
川口氏
現在、松本さんが所属されている株式会社ディー・エヌ・エー(以下:ディー・エヌ・エー)は、プロ野球球団のオーナー企業の印象が強いですよね。
松本氏
スポーツ事業は柱の1つですね。世間一般に認知度が高まりますし、ブランド価値の向上にもつながります。
川口氏
松本さんとは、以前別の会社に所属されていたころからの知り合いです。あれから随分たちましたが、私の中の松本さんのイメージは、「ダークウェブを見ている人」です。当時、日本ではあそこまで詳しくリサーチしている人は少なかったので、とても印象に残っています。ディー・エヌ・エーにはいつから在籍されていますか?
松本氏
2018年から在籍し、現在は2025年に行われた社内体制の変更で、CISO(Chief Information Security Officer)的な立場の上長(本記事では分かりやすくするためCISOと記載) の直下に配属されました。組織横断的に立ち回ってくれるCISOが上長だと、ほかの事業部を巻き込んだ活動がやりやすくなりました。私の業務は少々特殊で、社内のリスク対応、また刑事事件や内部不正なども担当しているため、自らリサーチしてリスクを発掘するだけでなく、他部署の協力が欠かせません。その際、CISOに承認を受けた調査だと伝えれば協力が得やすく、作業がスムーズに進むようになりました。そのほか、インシデントレスポンスや教育などにも関わっています。
川口氏
セキュリティリサーチャーのなかには、身の危険を感じて自宅の最寄り駅は利用しないなどの防御策をとられる方もいます。松本さんもこれまでに身の危険を感じた経験がありますか?
松本氏
誹謗中傷や、脅迫めいたコメントをもらったことはあります。10年くらい前までは、どうやって危険を回避したらいいのか真剣に悩んでいました。そこで、セキュリティ業界で尊敬しているある方に相談することに。その際「これ以上は踏み込まない一線を自分で決めることが大事」とアドバイスをいただきました。確かに、それまでの私は線引きという意識を持っていなかったため、案件によっては踏み込み過ぎていたのかもしれません。それ以来、ここから先は絶対に踏み込まないという一線を決めて対応しています。
川口氏
特別な情報を入手できる立場になるほど、大事なことかもしれないですね。ほかにもやらないと決めていることはありますか?
松本氏
おそらく皆さんが想像される、特定の国々には行かないことです。直接何人かの方に忠告されましたし、昨今の報道を見ていると私自身もリスクを感じています。
川口氏
確かに、日本の法律が及ばない地域は危険ですね。松本さんは、近年のサイバー犯罪の特徴をどのように捉えていますか?
松本氏
近年のサイバー犯罪は、われわれサイバーセキュリティの専門家がこれまで見逃してきた課題のツケを払い始めていると感じています。その最たる例が、フィッシングやインフォスティーラーによる認証情報の大量窃取とその悪用です。これまで、フィッシング被害はサービス利用者の自己責任として済まされてきましたが、これほどまでになりすまし被害が広がっている根本原因は、フィッシング攻撃によってIDやパスワードといった認証情報が盗まれ、それが犯罪者のコミュニティやダークマーケットで広く取引されていることにあります。また、内部不正を含めた内部からの脅威をサイバーセキュリティの分野でまじめに備えてこなかったことも、被害を拡大させた要因です。特に、インフォスティーラーによる認証情報の窃取は、盗まれた情報が犯罪者間で共有された場合、まるで内部犯行のように企業システムへの侵入を許してしまいます。長い間、サイバーセキュリティ対策を外部からの攻撃に限定してきたことが、今日の深刻な被害状況につながっていると思います。
サイバー犯罪による証券口座乗っ取りの概要
川口氏
近年、内部不正を契機にした金融犯罪で巨額な損失が発生する事件が頻発しています。金融犯罪は、内部不正とモチベーションが近い隣接した犯罪ですね。
松本氏
暗号資産を悪用した不正送金や身代金請求などの犯罪は、数十億から数百億円規模という、従来の犯罪とは桁違いの収益を生み出します。だからこそ、内部不正を行うモチベーショナルな動機につながるのでしょう。加えて、ダークマーケットでは、フィッシングやインフォスティーラーによって盗まれた情報が流通し続けています。現在サイバー犯罪の主戦場となっているサプライチェーンのセキュリティを狙った攻撃も、まさにこの認証情報の悪用が起点となるケースが頻発しています。今、我々がこれまで本気で対策してこなかったツケが、大きな犯罪となって社会全体に押し寄せているように思います。
川口氏
証券口座の乗っ取りなど、大きく報道される金融犯罪が増えたことで、ようやく本気で取り組む流れができてきましたね。しかし、攻撃の技術的要素だけを考えたら、もっと前に発生していてもおかしくなかったと思います。
松本氏
以前から、例えば金融機関向けなど、ターゲットごとにフィッシングなどの攻撃は洗練されており、なりすましに使用する精度の高いIDやパスワードのリストが業界ごとに作られていました。つまり準備は整い、いつでも攻撃できる状況だったということです。ではなぜ実行されなかったのか。それは、収益化する仕組みがまだ発見されていなかったからです。一昔前であれば、証券口座の乗っ取り被害は、証券口座に紐づく利用者の銀行口座から出金するしかなく、攻撃のハードルが高い割に得られる利益が少ないと考えられていました。ところが、乗っ取った証券口座の株式を売却した資金をもとに相場操縦を仕掛けるという、犯罪者にとって巨額の利益を生む収益手段が発見されてしまったことで、犯罪の被害規模が一気に拡大しました。
川口氏
攻撃者は、収益化の手段が確立されるのを待っていたんですね。
松本氏
海外では、2024年の暮れにまったく同じ手口で相場操縦が行われていましたが、2025年の1月ごろからは日本もターゲットに含まれるように。当初は日本での攻撃方法を確かめるように、発生件数や規模は比較的小さな被害にとどまっていましたが、早々に跳ね上がりました。新たな収益手段を用いた攻撃が海外で発生した際、日本の証券会社がすぐさまそれをアラートとして取り入れ、業界全体でフィッシング耐性の高い認証方法が採用されていれば、その後の爆発的な被害は防げていたと思うと残念です。遅くとも、日本での被害が認知された直後に対策に動けていれば……。初動が遅れた主な原因は、業界として動けなかったことが上げられます。犯罪の手口も対応策もわかっていたにもかかわらず、莫大な被害につながってしまった問題は、相当に深刻です。
今の目標はサイバー金融犯罪の撲滅
川口氏
松本さんの外部での活動は、金融犯罪への対応が中心ですか?
松本氏
そうですね。金融庁では、ブロックチェーンや暗号資産に関わる部門に属しています。不正送金の手段として暗号資産が悪用されるようになったことで、銀行口座を持てない立場の犯罪組織でも簡単に金融資産を入手できるようになってしまいました。それに伴い、金融犯罪に関わる機会は増えています。今、私が目標としているのは、サイバー金融犯罪を撲滅することです。大それた目標だと思われるかもしれませんが、金融犯罪対策に関わる私の友人の一人が、本気でサイバー金融犯罪を撲滅したいと話してくれたことがきっかけで、減らすだけではあまり意味がないと同じ目標を持つようになりました。
川口氏
現在のサイバー金融犯罪の仕組みにフォーカスを当てると、課題は暗号資産だとお考えですか?
松本氏
暗号資産は、良くも悪くもこれからの領域です。私が金融犯罪に関わり始めたころ、トラディショナルな銀行や保険会社などの金融機関では、内部不正も含めて既にセキュリティ対策がかなり固まり、フィッシング対策のノウハウも持っていました。さらに、運用で足りないところは業界全体でノウハウを共有する体制も出来上がっていましたが、当時、暗号資産の領域は何も整備されていない完全な荒れ地でした。
川口氏
登録制度が始まる前の暗号資産は過渡期で、攻撃者にとっては盗み放題でしたね。
松本氏
当時は暗号資産の大規模な盗難が毎年のように起こっていました。暗号資産の交換業者も、どうすればビジネスとして成立するか悩んでいた時期だったと思います。中には、サイバーセキュリティ対策のことは二の次と考えていた事業者もいました。法整備も追いついていない、本当に何もない状況だったんです。
川口氏
扱っている金額の大きさを考えると、とても怖いですね。
松本氏
当時の日本は、暗号資産の取引量が世界一でした。そんななか、次々と盗難事件が起こり、荒れ地の整備が迫られるようになっていきます。当時の私は、砂漠にみんなが使える井戸を掘るような、分かりやすい仕事が公共の仕事だと思っていました。しかし、そんな派手な仕事はほとんどなく、大半が荒れ地を自分の足で踏み固めるようなきつい仕事です。ふと後ろを振り返ると、役人の方々がきれいに整地してくれていて、気がついたときには法整備からガイドラインまで完成して、ビジネスできる環境が整っていました。大変でしたが、めったにできない経験で楽しかったです。
アクション促進のため情シス部門ができることとは?
川口氏
長年、攻撃を認知したタイミングで警鐘を鳴らすことの難しさを感じてきました。特に初期段階では「そこまでしなくてもいいのでは?」「その対策、今、実装しなくてもいいのでは?」という声が常に上がってきます。大事なのは、どうアクションにつなげるのかですから、注意喚起しただけでは意味がありません。松本さんは、海外の動向を含め、いわゆる“ヤバい攻撃”を相当数ご覧になってきましたよね。この課題にどう向き合えば、業界・組織にアクションを起こしてもらえるようになると思いますか?
松本氏
難しい問題ですよね。どれだけ教育や啓発を頑張っても、業務の優先順位を変えてまでセキュリティをやるかといえば、多くの組織の答えはNOです。システムやアプリケーションのセキュリティパッチも、皆さんやった方がいいことは理解していますが、ビジネス上の優先順位が高くないと判断され、後回しにされることがあります。それに対し「セキュリティはコストではなく投資と考えるべき」という話もありますが、実際にコストはかかりますから、言葉遊びのように感じてしまうことも。現実問題として考える必要があるのは、そのコストを皆でどう分担するかです。セキュリティの優先順位を上げるためには、事業部に集中するコストを分担すること、これは組織横断でやっていくしかありません。
川口氏
相当な難題ですから、セキュリティご担当者にとっては気が重い作業ですよね。
松本氏
先ほど、CISOの直下になって動きやすくなったとお伝えしたのは、まさにここです。組織横断的に立ち回るCISOへのプレゼンテーションで理解が得られたら、他部門への話が格段に通しやすくなりました。交渉の際には、自分たちである程度のリスクを評価できなければ、すぐにでも被害が発生するかもしれないという説明に加え、リスクを明らかにする作業の一部を私たちが担い、リスクアセスメントにかかるコストを各部署と折半すると伝えて理解を得ています。間接的な関わりでは、現場の理解は得られません。一緒に取り組むことが、何より重要です。
川口氏
CISOの存在に加え、プレゼンテーション力も問われそうですね。
松本氏
影響力の強化には、社内で有名になることも効果的だと感じています。そのために私が取り組んでいるのが、全社勉強会です。世の中で話題になっているサイバーインシデントを取り上げて、かなり詳しく解説しています。参加者は、毎回数百人。満足度も95%以上とかなり好評です。通常、システム部門以外が自発的にセキュリティ対策に取り組むことは難しいと思いますが、このような活動を通して自分事として捉えてもらえるようになり、セキュリティに関して意見が聞きたい、一緒に対策に取り組みたいなど、直接連絡が届くようになりました。社内で名前が知られていることで、業務が進めやすくなったと感じます。
川口氏
社外のさまざまな肩書も、「あの人の言うことなら」という信頼につながりますね。
松本氏
そうですね。外部で講演している人からアドバイスが受けられるというのは、社員の行動変容のモチベーションになっているかもしれません。現在は、本業と金融庁に籍を置く以外に、「JPCrypto-ISAC」という暗号資産事業者の業界団体や、セキュリティベンダーでは金融犯罪のアドバイザーとして専門的な職務も担っています。このように、さまざまな組織で活動して、監督官庁から業界団体、サービス提供事業者など一気通貫での関わりを持つことで、金融犯罪の全体を見通せるようになりました。ただし、監督官庁では準公務員という立場です。新たな職務を引き受ける際には必ず人事に相談し、利益相反を侵さないよう注意しています。
川口氏
一つの組織だけでは解決できない問題や、業界団体に所属していても情報が得られないケースもありますが、監督官庁にいるからこそ見える、わかることも多いですよね。
松本氏
監督官庁には情報が集まってきますから、この事実を事前に公表できていれば、あの事案の被害はもっと抑えられていたと感じることもあります。ただし、監督官庁の業務には厳格なルールがあるので、それができないこともわかっています。「JPCrypto-ISAC」からアドバイザーの就任の要請を受けたのは、そんなモヤモヤした気持ちを抱えていたときです。日ごろから、業界同士の共助が問題解決の支援につながると考えていたので、その支援ができればという思いでお引き受けしました。
川口氏
安心してビジネスが続けられる取り組み、今後もよろしくお願いします。
Sky株式会社からも質問してみました!
――サイバーセキュリティの専門家としてダークウェブの世界を調査されている松本さんが、社内では内部不正の調査も行っていらっしゃるということは、内外問わず不正行為への対応窓口が集約されているのでしょうか。
松本氏
内部不正に関する依頼は、案件ごとに必要に応じて舞い込みます。先ほど、長い間、内部不正がサイバーセキュリティとは別に扱われてきた話をしましたが、内部不正の痕跡を調べる作業で使用するサービスや端末の調査方法は、サイバーセキュリティと同じです。同一に扱った方が作業は効率的ですから、本来はどちらもコンプライアンス部門のような組織のリスク全般を抱える部署が中心になって対応するべきです。しかし、多くの組織では、端末の状況把握やシステムによる制御・管理はセキュリティチームが単独で担っています。
――今回、主にサイバー金融犯罪の話題を取り上げていただきましたが、業界に特化して収益化できる仕組みが見つかれば、他の業界でも対岸の火事ではなくなりますよね。
松本氏
基本的に、IDやパスワードはすでに漏れていると思ってください。漏れていることを前提にした対策が必要です。やり方はさまざまですが、証券各社はパスキーを取り入れてパスワードレスの方向へ進もうとされています。しかし、スマートフォンを持っていることが前提になれば、持っていない人をどうするのかという問題も。躊躇なく切り捨てる判断をする会社もあれば、認証よりも異常検知に注力する会社もあります。パスキーを取り入れる場合、スマートフォンのセキュリティ対策は個人の責任ですから、突破されて情報が漏洩した場合の責任も折半になると考える必要があるでしょう。それを踏まえてどこの証券会社と取引するのか、ユーザー自身が認証方式やセキュリティ対策を探して選ぶ責任があります。
――特にセキュリティに関しては、自らリスクを判断することが苦手な人が多いような気がします。
松本氏
証券会社の場合ですが、自ら責任を持てないのであれば、手数料を払って対面で対応してくれる会社を選ぶというのも判断基準の一つです。2025年前半に発生した証券口座の乗っ取り被害でも、対面のサービスを利用していた顧客には全額補償した証券会社がありましたよね。手数料を払うのか、何%かのリスクは自ら背負うのか。ユーザー自身が選ぶ時代です。
――証券会社のホームページを見たり、比較しているWebサイトをチェックする必要があるということですね。
松本氏
とはいえ、実は私、セキュリティを自己責任にするのが好きではありません。自己責任にしてきた結果が今の状況ですから、各業界が全体として誰も取りこぼさず責任を取る気概で対策に当たっていただきたいと思っています。
――ダークウェブの世界をよくご存じの松本さんから、セキュリティご担当者へのアドバイスはありますか?
松本氏
組織で管理しているID・パスワードの流出を常にチェックすることです。第三者が使える状態で漏れてしまっているケースが多く、実際に犯罪に利用されてしまう事例も発生しています。現状は、ダークウェブへの情報漏洩をチェックしている法人は少ないと思いますが、定期的なチェックが必要です。
川口氏
流出を発見したら、セキュリティ担当者はどう対処したらいいですか?
松本氏
すでにそのIDの利用者がいなければ、即ロックや削除を実行してください。とにかく、放置すれば犯罪に使われます。流出を見つけたらその都度つぶしていくしかありません。従業員個人に割り振っているアカウントは、多くの組織で退職と同時に削除する運用を徹底されていると思いますが、共用アカウントのメンテナンスは見落とされがちです。アカウント管理の手間と安全性を考えれば、1人に1アカウントを割り振り、退職と同時に削除する運用が簡単で確実ですが、共用アカウントの作成・使用を続ける組織は一向に減りません。共用アカウントを使い続けるなら、リスクとコストがセットでついてくることも意識してください。
――流出しているかをチェックするには、セキュリティ担当者自らダークウェブにアクセスする必要がありますか? 直接アクセスするのはハードルが上がる気がします。
松本氏
それも一つですが、まずは流出情報を無償で公開しているオンラインコミュニティを利用してみるのはいかがでしょうか。その流出情報の中に自組織の名前を発見したら、本格的な調査に着手するという方法で始めれば、ハードルが下がると思います。また、自らダークウェブにアクセスすることを躊躇されるのであれば、海外から情報を購入しているインテリジェンスサービスと契約する方法もありますので、自組織に適した方法を検討してください。
求められるセキュリティ人材は、
事業部門と一緒に仕事を回す人
~松本氏からのメッセージ~
事業部門と
~松本氏からの
私は、顧問やアドバイザーとつく肩書を多く持っていますが、自組織から求められているのは、アドバイザーではありません。一緒にコストを担って仕事を回す役割です。人はアドバイスだけでは動いてくれません。セキュリティご担当者の皆さんは、日常の業務をこなすだけで精いっぱいかもしれません。しかし、自組織のセキュリティ対策の優先順位を上げるためには、他部署を巻き込んだ活動が重要です。大変ですが、いったん事業面のコストの一部を請け負うことをいとわず、頑張っていただきたいと思います。
(「SKYSEA Client View NEWS vol.104」 2025年11月掲載 / 2025年9月取材)
撮影場所:WeWork 日比谷パークフロント