https://foxsecurity.hatenablog.com/entry/2025/09/03/090000

2025年8月23日に長野県塩尻市にて開催されました【第13回】サイバーセキュリティ勉強会2025夏 in 塩尻、及び同懇親会に（登壇）参加しました。本勉強会に参加した様子を簡単にご紹介します。　#shiojiri_cyber

1. 会場は熱気に包まれていました

今回の勉強会（2025夏 in 塩尻）は、午前中にハンズオンセッションが2トラックで開催されており、会場についた頃には1Fで行われていた「ひよこまめ教習所#05」が終盤の佳境を迎えていたためか、会場が外の酷暑とは違う参加者の熱気に包まれていました。

※2FではJNSA教育部会（ゲーム教育ワーキンググループ）のハンズオントレーニングも行われており、こちらも盛況だった様です。

そんな中、運営の方々に挨拶の後、ひよこまめの記念撮影の掛け声を耳にしながら真剣にやっていたのは、「情報セキュリティワークショップin越後湯沢」のチケット購入（第2回）に向けた『DoS攻撃』でした。(12:30～チケット販売開始）

去年は運よく第2回戦を勝てましたが、今年はDoS攻撃は成功したものの、チケット購入でカード決済処理がクルクル廻ったままで”販売終了”を迎える（敗北）という結果に終わりました。

※普段とは違う環境（塩尻）から購入チャレンジしたのも影響したのかも知れません

※10/10-11の予定が（残念ながら）空きましたので、何か良いイベントがあればお誘いください。

気を取り直して、本日の勉強会に集中します。

2. サインぷりーず～

まずは他の講師の先生方にご挨拶を・・・としている内に、ハンズオンを終えられたばかりの野溝のみぞう先生を発見しました。

www.wantedly.com

のみぞう先生に会えたら、やはりこれをお願いするしかありません。

※当然先生のベストセラー本（）を持参シマシタ

これで1週間でC●SAをハッキングできる自信が沸いてきました。

※補足：のみぞう先生は長くX（相互フォロー）で絡んで頂いておりますが、リアルでお会いしたのが初めてでした。お会いできて良かった良かった。

勉強会に入る前に、前回（2025冬 in塩尻）で主催/運営の方にお約束していた、差し入れをお渡しし、重たい荷物がようやく軽くなりました。

※企業協賛などがないイベントである（予算が限られている？）からか、会場リアル参加人数（若い方）が多いとおやつタイムや懇親会での”食べ物”が若干少ない時があるのを、以前の現地参加で学びましたので、できる範囲で差し入れする様にしています。（今回はボストンバック1個分）

※今回はハンズオンからの参加者も多く（他の方も含めですが、差し入れが無かったら）危なかった気がします。

※参考：今回のおやつタイムの風景

3. 勉強会概要

①信州大学情報基盤センター内山巧先生	とうとう俺のカードもやられたか　～メールヘッダを読んでみよう～【講演概要】自身の体験をもとに、クレジットカード利用に関連した疑似不正請求とフィッシングメールへの対応を紹介。Amazonからの購入通知に似たメールを受信したことを契機に、本物か偽物かをメールヘッダー情報の解析やSPF・DKIMといった送信元認証技術の仕組みで解読。最後は正しいアレの請求だったというオチでしたが、「不安や焦りは冷静な判断を鈍らせ、詐欺被害を誘発する」ことへの留意や、セキュリティ対策は多面的な確認が肝要である事を強調されていました。誰もが被害に遭う可能性があることを自覚し、平時から冷静に対応できる準備を整える事が重要とのこと。＞講演資料はこちら
②長野県警察本部サイバー捜査課前橋氏	サイバー空間の脅威【講演概要】国内の特殊詐欺の最新傾向と対策を解説。被害の中心は投資詐欺・SNS型ロマンス詐欺・「偽警察」型で、接触はInstagramやマッチングアプリ、DMへ誘導が多い。巧妙化した手口として、国際番号や発信者番号偽装で実在の警察代表番号を表示し、ビデオ通話で身分証を見せ「逮捕状」「資金確認」等と脅して送金・個人情報入力を迫る。偽サイト（検察・警察庁風）へ誘導しワンタイムコード等を窃取する事例も紹介。対策としては、 ①「必ず儲かる」「今だけ」等の勧誘は即疑う ②投資業者は金融庁登録を確認 ③警察・検察を名乗る連絡は一切応じず公式番号へ自分で折り返す ④SNSやビデオ通話での指示・身分証提示・送金要求には応じない ⑤迷ったら家族・知人・最寄り警察へ相談＞講演資料はなし
③株式会社エヌ・エフ・ラボラトリーズ沖本正行氏出雲駿哉氏	NFLabs. の教育の取り組みやセキュリティ人材を育成するときの工夫【講演概要】企業におけるセキュリティ人材育成の取り組みが紹介。「最前線で戦える高度な人材」を育成するには、単に「正解」を与えるのではなく、エラーや問題に直面した際に自ら原因を調べ、理解し、言語化して根本的な対処法を導き出せる力を養うこと。例えばSQLインジェクション演習のように実際に攻撃・対策を行うアクティブラーニングを取り入れ、講義中心の受け身学習を避けている。長期間にわたる学習で挫折しないよう、講師や同期が日常的に声掛けや相談対応を行う多面的支援体制もしている。最近ならでは課題として、生成AIに最初から依存して思考を停止してしまう参加者がいたり、グループワークにおいて一部の参加者に依存してしまう傾向。AIの回答を鵜呑みにせず自問自答や検証を徹底することや、沈黙がちな参加者にも発信を促す仕組みを整えることが重要。＞講演資料はなし
④ライトニングトーク（LT） 1.ohhara 氏 2.NEC ソリューションイノベータ株式会社　弓家健輔氏 3.野溝のみぞう氏 4.株式会社ラック　長谷川長一氏 5.株式会社ラック　井上圭氏	LT内容 1.「当イベントの開催経歴紹介」 2.「新卒から2年間、ASM運用を担当した感想」 3.「ひよこまめ教習所の紹介とハンズオン報告」 4.「ハンズオン報告」 5.「認知戦の理解と、市民としての対抗策」 ※当方の手持ちメモがあまり書かれていないので概要は割愛します。内容は公開資料（上記リンクがあれば）などを参考にして下さい。 ※3_のみぞう先生の資料は美しい（デザインセンスが凄い！） ※4_長谷川さんの”今週から来週のスケジュール（余談）”が凄すぎ・・・ご多忙の中塩尻に来て頂いていて、そうした方々によって勉強会が長く続いている事を改めて実感しました
⑤キタきつね	調査データに見るサイバーセキュリティリスク～【第2回】きつねセキュリティ検定～サイバー攻撃は年々巧妙化しており、それに対応するセキュリティ対策も常に進化が求められています。本セッションでは、国内外の調査データを元にクイズ形式で出題し、今年押さえておくべきサイバーセキュリティリスクについて分かりやすく解説します。＞講演資料はこちらキタきつねコメント好評にお応えして第2弾！*　一般公開されている資料・記事調査データは、その多くが活用されずに消えていきますが、それでは勿体ないのでクイズ（15問）としてまとめてみました。合格点（6割）に達してなくても、正直に言えば「何も問題がない」ので安心して楽しんで頂ければ幸いです（でした） ※第3弾もあるかも!?
⑥アスタリスク・リサーチ/OWASP Japan 岡田良太郎氏	AIドリブンのソフトウェア開発 - うまいやり方とまずいやり方 ※QA（ご質問）の回答対応をしていたので、あまりお話が聞けておらずメモが取れていません。 ※資料公開をされていますので下記リンク先からご確認ください。＞講演資料はこちら
⑦パネルディスカッション	最近注目のサイバーセキュリティ * 証券口座の不正ログイン乗っ取り * セキュリティ製品(EDR回避やSSL VPN)の脆弱性 * 最新フィッシング手口「ClickFix（クリックフィックス）」 * ECサイト改竄による情報漏洩 * 生成AIによる攻撃と防御 * 身分を偽った北朝鮮 IT技術者の業務受注情報セキュリティ10大脅威 2025 登壇者Q&A ※オフレコ内容も含まっている可能性がある講師の方々からのコメントかと思いますので、詳細は割愛します。 ■Q&A（キタきつね登壇分）についての補足公開した講演資料の方にも修正・追加コメントを入れていますが、当日2点の質問を頂きました。Q3のIBMのデータで被害額が大きすぎるとのご指摘については、英語の原文を見るとご指摘の通りでしたので修正しました。（IBM日本語版サマリー資料から引用したのですが、日本語版翻訳が間違っていた様です）もう１つはQ15の警察庁の調査資料についてで海外からの攻撃は99.4％では無い（1IPベースなので海外攻撃の比率は実際はもっと低いの）のではないか？とのご質問で、これは警察庁観測センサーの数字なので攻撃動向が民間組織などと違う、という事なのかと推測します。警察庁の調査データ* [クイズの元データとしても引用先を当初から記載しています]としてという前提では間違ったものではないと思いますので、（引用元はP5のデータ「図表１：警察庁が検知した不審なアクセス件数（１日・１IP アドレス当たり）」で、この図表についての説明でも、『その大部分が海外を送信元とするアクセスで占められている』との記載があり数字データ[99.4%]が明示されています）資料の訂正はせず、注釈コメントを追記だけにしています。 ※（当日は時間の関係などもあり、うまく説明できてなかったかも知れませんが）クイズという事で尖ったデータを拾ってきていた事をご理解頂ければ幸いです。 ※他、当日お題について、いくつか個人的に補足でコメントします。 ■証券口座の不正乗っ取り→日本だけでなく海外でも証券口座を狙う攻撃が出てきている様です（Krebs on Security 8/15記事）FBIが2月に情報提供を求めて様で、日本とほぼ同時期に攻撃が増えた事を示唆しています。（但し、米国での攻撃はモバイルウォレットを狙った高度な攻撃だった様です。日本でも今後出てくるかも知れません） ■ClickFix→単純なコピペ攻撃に引っかかる人は少ないと思われますが、攻撃者にとっては成功するとセキュリティ対策を回避できる可能性があるので流行っている。動画無料DLなどを餌にした派生攻撃も出てきており注意が必要。 ■ECサイト改竄による情報漏洩*→日本だとECサイトを狙ったスキミング攻撃はEC-CUBEが相変わらず多いですが、Magentoも増加傾向にあり越境EC事業者も警戒すべきかと思います。

①信州大学情報基盤センター

内山巧先生

とうとう俺のカードもやられたか　～メールヘッダを読んでみよう～

【講演概要】

自身の体験をもとに、クレジットカード利用に関連した疑似不正請求とフィッシングメールへの対応を紹介。Amazonからの購入通知に似たメールを受信したことを契機に、本物か偽物かをメールヘッダー情報の解析やSPF・DKIMといった送信元認証技術の仕組みで解読。最後は正しいアレの請求だったというオチでしたが、「不安や焦りは冷静な判断を鈍らせ、詐欺被害を誘発する」ことへの留意や、セキュリティ対策は多面的な確認が肝要である事を強調されていました。誰もが被害に遭う可能性があることを自覚し、平時から冷静に対応できる準備を整える事が重要とのこと。

＞講演資料はこちら

②長野県警察本部サイバー捜査課

前橋氏

サイバー空間の脅威

【講演概要】

国内の特殊詐欺の最新傾向と対策を解説。被害の中心は投資詐欺・SNS型ロマンス詐欺・「偽警察」型で、接触はInstagramやマッチングアプリ、DMへ誘導が多い。巧妙化した手口として、国際番号や発信者番号偽装で実在の警察代表番号を表示し、ビデオ通話で身分証を見せ「逮捕状」「資金確認」等と脅して送金・個人情報入力を迫る。偽サイト（検察・警察庁風）へ誘導しワンタイムコード等を窃取する事例も紹介。

対策としては、

①「必ず儲かる」「今だけ」等の勧誘は即疑う

②投資業者は金融庁登録を確認

③警察・検察を名乗る連絡は一切応じず公式番号へ自分で折り返す

④SNSやビデオ通話での指示・身分証提示・送金要求には応じない

⑤迷ったら家族・知人・最寄り警察へ相談

＞講演資料はなし

③株式会社エヌ・エフ・ラボラトリーズ

沖本正行氏

出雲駿哉氏

NFLabs. の教育の取り組みやセキュリティ人材を育成するときの工夫

【講演概要】

企業におけるセキュリティ人材育成の取り組みが紹介。「最前線で戦える高度な人材」を育成するには、単に「正解」を与えるのではなく、エラーや問題に直面した際に自ら原因を調べ、理解し、言語化して根本的な対処法を導き出せる力を養うこと。例えばSQLインジェクション演習のように実際に攻撃・対策を行うアクティブラーニングを取り入れ、講義中心の受け身学習を避けている。長期間にわたる学習で挫折しないよう、講師や同期が日常的に声掛けや相談対応を行う多面的支援体制もしている。最近ならでは課題として、生成AIに最初から依存して思考を停止してしまう参加者がいたり、グループワークにおいて一部の参加者に依存してしまう傾向。AIの回答を鵜呑みにせず自問自答や検証を徹底することや、沈黙がちな参加者にも発信を促す仕組みを整えることが重要。

＞講演資料はなし

④ライトニングトーク（LT）

1.ohhara 氏
2.NEC ソリューションイノベータ株式会社　弓家健輔氏
3.野溝のみぞう氏
4.株式会社ラック　長谷川長一氏
5.株式会社ラック　井上圭氏

LT内容
1.「当イベントの開催経歴紹介」
2.「新卒から2年間、ASM運用を担当した感想」
3.「ひよこまめ教習所の紹介とハンズオン報告」
4.「ハンズオン報告」
5.「認知戦の理解と、市民としての対抗策」

※当方の手持ちメモがあまり書かれていないので概要は割愛します。内容は公開資料（上記リンクがあれば）などを参考にして下さい。

※3_のみぞう先生の資料は美しい（デザインセンスが凄い！）

※4_長谷川さんの”今週から来週のスケジュール（余談）”が凄すぎ・・・ご多忙の中塩尻に来て頂いていて、そうした方々によって勉強会が長く続いている事を改めて実感しました

⑤キタきつね

調査データに見るサイバーセキュリティリスク～

【第2回】きつねセキュリティ検定～

サイバー攻撃は年々巧妙化しており、それに対応するセキュリティ対策も常に進化が求められています。本セッションでは、国内外の調査データを元にクイズ形式で出題し、今年押さえておくべきサイバーセキュリティリスクについて分かりやすく解説します。

＞講演資料はこちら

*キタきつねコメント

好評にお応えして第2弾！　

一般公開されている資料・記事調査データは、その多くが活用されずに消えていきますが、それでは勿体ないのでクイズ（15問）としてまとめてみました。

合格点（6割）に達してなくても、正直に言えば「何も問題がない」ので安心して楽しんで頂ければ幸いです（でした）

※第3弾もあるかも!?

⑥アスタリスク・リサーチ/OWASP Japan

岡田良太郎氏

AIドリブンのソフトウェア開発 - うまいやり方とまずいやり方

※QA（ご質問）の回答対応をしていたので、あまりお話が聞けておらずメモが取れていません。

※資料公開をされていますので下記リンク先からご確認ください。

＞講演資料はこちら

⑦パネルディスカッション

最近注目のサイバーセキュリティ
* 証券口座の不正ログイン乗っ取り
* セキュリティ製品(EDR回避やSSL VPN)の脆弱性
* 最新フィッシング手口「ClickFix（クリックフィックス）」
* ECサイト改竄による情報漏洩
* 生成AIによる攻撃と防御
* 身分を偽った北朝鮮 IT技術者の業務受注
情報セキュリティ10大脅威 2025
登壇者Q&A

※オフレコ内容も含まっている可能性がある講師の方々からのコメントかと思いますので、詳細は割愛します。

■Q&A（キタきつね登壇分）についての補足

公開した講演資料の方にも修正・追加コメントを入れていますが、当日2点の質問を頂きました。Q3のIBMのデータで被害額が大きすぎるとのご指摘については、英語の原文を見るとご指摘の通りでしたので修正しました。（*IBM日本語版サマリー資料から引用したのですが、日本語版翻訳が間違っていた様です）もう１つはQ15の警察庁の調査資料についてで海外からの攻撃は99.4％では無い（1IPベースなので海外攻撃の比率は実際はもっと低いの）のではないか？とのご質問で、これは警察庁観測センサーの数字なので攻撃動向が民間組織などと違う、という事なのかと推測します。警察庁の調査データ [*クイズの元データとしても引用先を当初から記載しています]としてという前提では間違ったものではないと思いますので、（*引用元はP5のデータ「図表１：警察庁が検知した不審なアクセス件数（１日・１IP アドレス当たり）」で、この図表についての説明でも、『その大部分が海外を送信元とするアクセスで占められている』との記載があり数字データ[99.4%]が明示されています）資料の訂正はせず、注釈コメントを追記だけにしています。
※（当日は時間の関係などもあり、うまく説明できてなかったかも知れませんが）クイズという事で尖ったデータを拾ってきていた事をご理解頂ければ幸いです。

※他、当日お題について、いくつか個人的に補足でコメントします。

■証券口座の不正乗っ取り→日本だけでなく海外でも証券口座を狙う攻撃が出てきている様です（*Krebs on Security 8/15記事）FBIが2月に情報提供を求めて様で、日本とほぼ同時期に攻撃が増えた事を示唆しています。（但し、米国での攻撃はモバイルウォレットを狙った高度な攻撃だった様です。日本でも今後出てくるかも知れません）

■ClickFix→単純なコピペ攻撃に引っかかる人は少ないと思われますが、攻撃者にとっては成功するとセキュリティ対策を回避できる可能性があるので流行っている。動画無料DLなどを餌にした派生攻撃も出てきており注意が必要。

■ECサイト改竄による情報漏洩→日本だとECサイトを狙ったスキミング攻撃はEC-CUBEが相変わらず多いですが、Magentoも増加傾向にあり越境EC事業者も警戒すべきかと思います。

※今回の勉強会参戦記を書かれている方が他にもいらっしゃったので、こちらもご参考まで。

toxn.hatenablog.com

note.com

■重要■ 次回【第14回】勉強会は 2025年2月7日 開催予定

※勉強会開始10周年という事もあり、前夜祭もあるかも!?との事

shiojiri-cyber.connpass.com

→（懇親会編）に続く

参考：

foxsecurity.hatenablog.com

※今回(2025夏 in 塩尻）のキタきつね登壇資料はコチラ↓です。（第2回きつねセキュリティ検定）