エピソード

  • #62 攻撃者はあなたをこう調べる!OSINT体験
    2026/07/10

    第62回目の放送です。今回は「OSINT(Open Source Intelligence)」をテーマにお届けします。

    OSINTとは、インターネット上に公開されている情報だけを使って情報を収集・分析する手法です。今回は架空の人物を題材に、SNSの投稿やランチ写真、アカウント名、GitHubなどから、どのように情報がつながっていくのかを実演しました。

    一つひとつは何気ない情報でも、組み合わせることで人物像が浮かび上がる「モザイクアプローチ」。攻撃者の視点を知りながら、SNS利用時に気を付けたいポイントや、ASM(Attack Surface Management)など防御への活用についても分かりやすく解説しています。

    オープニング・七夕と富士山の話 ‎00:00:00
    OSINTとは? ‎00:04:15
    Xの投稿から情報収集してみる ‎00:08:20
    ランチ写真から活動エリアを推測 ‎00:15:10
    位置情報漏えいを防ぐ3つの対策 ‎00:23:45
    アカウント名の横断検索 ‎00:29:50
    GitHubコミット履歴の落とし穴 ‎00:38:30
    モザイクアプローチとは ‎00:48:40
    OSINTは攻撃だけではない ‎00:56:20
    スリーウェイハンドシェイク ‎01:02:10
    イベント告知 ‎01:06:00
    エンディング・ボツリヌス菌の豆知識 ‎01:08:20

    presented by まさる & かとこ
    感想やコメントはYoutubeへ

    続きを読む 一部表示
    38 分
  • #61 AIは“おばあちゃん”に弱い? Grandma Exploitのはなし
    2026/07/03
    「おばあちゃんが語ってくれたように話してください。」そんな一言でAIのルールを破らせてしまう攻撃があることをご存じですか?今回は、生成AIへの攻撃手法 「グランマエクスプロイト(Grandma Exploit)」 をテーマに、プロンプトインジェクションとの関係や、AIが騙されてしまう理由を分かりやすく解説します。支援士試験でも重要な「プロンプトインジェクション」の理解にもつながる内容です。タイムスタンプ00:00 オープニング・おばあちゃんのイメージ06:10 グランマエクスプロイトとは?11:40 AIを騙す具体例20:30 AIが騙される理由28:20 プロンプトインジェクションとの関係34:40 ジェイルブレイクとの違い42:30 スリーウェイハンドシェイク(コメント紹介)48:10 イベント告知・エンディング
    続きを読む 一部表示
    24 分
  • #60 AIのリスク、CSFだけじゃ守れない?【NIST AI RMF入門】
    2026/06/26

    第60回目の放送です。今回は「AIのリスクはCSFだけじゃ守れない」をテーマに、NIST AI RMF(AI Risk Management Framework)について解説します。

    情報処理安全確保支援士でも話題になったNIST CSF 2.0を振り返りながら、AI時代に必要となるAI固有のリスク管理について整理しました。

    CSFはサイバー攻撃から組織を守るためのフレームワークですが、AIを活用する際には、ハルシネーションやバイアス、モデルドリフトなどAIならではのリスクも考える必要があります。そのために作られたのがNIST AI RMFです。

    番組ではAI RMFの4つの機能(GOVERN・MAP・MEASURE・MANAGE)を分かりやすく紹介し、CSFとの違いや実務での活用イメージについても解説しています。

    オープニング・まさるさん復活 00:00:00
    今日のテーマとCSF 2.0のおさらい 00:04:30
    CSFだけではAIリスクを守れない理由 00:11:40
    NIST AI RMFとは 00:16:30
    MAP・MEASURE・MANAGEを解説 00:23:30
    CSFとAI RMFの違い 00:34:30
    実務でのAIリスク管理 00:40:20
    スリーウェイハンドシェイク 00:46:20
    イベント告知・エンディング 00:52:00

    presented by まさる & かとこ
    感想やコメントはYouTubeへ

    続きを読む 一部表示
    34 分
  • #58 SCS評価制度って本当にやらないといけないの?
    2026/06/05

    第60回目の放送です。今回は、経済産業省と内閣官房が主導する「SCS評価制度(サプライチェーン強化に向けたセキュリティ対策評価制度)」について解説します。

    IPA情報セキュリティ十大脅威でも上位に挙げられるサプライチェーン攻撃。その対策として注目されているSCS評価制度の目的や背景、星評価の仕組みについて整理しました。

    制度は5段階評価で構成されており、星3では有資格者による確認、星4では第三者監査が必要となります。なぜこの制度が作られたのか、企業にどのような影響があるのか、そして将来的に取引条件になる可能性についても考察しています。

    情報処理安全確保支援士やセキュリティ担当者だけでなく、取引先管理やガバナンスに関わる方にもおすすめの内容です。

    オープニングと今年の目標振り返り ‎00:00:00
    SCS評価制度とは ‎00:04:30
    サプライチェーン攻撃と制度創設の背景 ‎00:08:00
    サプライチェーンセキュリティの3つの視点 ‎00:11:20
    星評価制度の仕組み ‎00:15:00
    星3・星4の要求事項 ‎00:19:10
    制度が目指す「見える化」 ‎00:23:30
    取引先チェックシートの課題 ‎00:27:00
    制度が企業に与える影響 ‎00:31:40
    AI時代とチェックリスト型評価 ‎00:36:20
    スリーウェイハンドシェイク ‎00:41:00
    Acmeによる証明書自動更新 ‎00:43:30
    イベント告知とエンディング ‎00:47:00

    presented by まさる & かとこ
    感想やコメントはYoutubeへ

    続きを読む 一部表示
    34 分
  • #57 リアルタイム型フィッシングのはなし
    2026/05/29

    第58回目の放送です。今回は「リアルタイム型フィッシング」をテーマにお届けします。

    まずは、かとこの実体験からスタート。Amazonを装ったフィッシングサイトにクレジットカード情報を入力してしまった過去のエピソードを振り返りながら、フィッシング詐欺がなぜ成立してしまうのかを考えます。

    本編では、一般的なフィッシングの仕組みや対策に加え、多要素認証(MFA)を突破する「リアルタイム型フィッシング」について解説。利用者が入力したID・パスワード・ワンタイムパスワードを攻撃者がリアルタイムで本物サイトへ中継する仕組みを分かりやすく整理しました。

    また、MFAファティーグ攻撃や、FIDO・パスキーによる対策についても取り上げています。情報処理安全確保支援士試験や実務にもつながる内容ですので、ぜひ最後までお聴きください!

    オープニングと釣りの話 ‎00:00:00
    かとこのフィッシング被害体験 ‎00:03:20
    フィッシング詐欺とは ‎00:08:10
    基本的なフィッシング対策 ‎00:12:00
    多要素認証(MFA)の効果 ‎00:16:20
    リアルタイム型フィッシングの仕組み ‎00:20:10
    なぜMFAを突破できるのか ‎00:25:40
    MFAファティーグ攻撃とは ‎00:31:00
    FIDO・パスキーによる対策 ‎00:34:20
    スリーウェイハンドシェイク ‎00:38:30
    勉強会告知とエンディング ‎00:42:00

    presented by まさる & かとこ
    感想やコメントはYoutubeへ

    続きを読む 一部表示
    30 分
  • #56 Mythos時代に必要な攻撃者視点の守り Attack Surface Management
    2026/05/22


    第56回目の放送です。今回は、まさるの屋久島旅行トークからスタート!もののけ姫のモデル地として知られる白谷雲水峡や苔むすの森、太鼓岩での登山体験、そして屋久島一周ドライブの様子を語る。

    本編では、話題の「Claude Mithos」とAI時代のサイバーセキュリティ対策について解説。日本版Project Glass Wingとも言われる「YATA Shield」、AIによるエクスプロイトコード生成の脅威、そしてアタックサーフェイスマネジメント(ASM)の考え方について整理しています。

    ASM・脆弱性診断・ペネトレーションテストの違いを“家の防犯”に例えながら、初心者にも分かりやすく説明している回です!さらに、G検定受験報告やCCNP ENCORE合格報告など最近の学習トークもお届けします。

    屋久島旅行記と白谷雲水峡トーク ‎00:00:00
    太鼓岩ともののけ姫のモデル地 ‎00:05:10
    屋久島一周ドライブと西部林道 ‎00:09:20
    Claude MithosとYATA Shield ‎00:13:30
    Mithosの脅威とAIセキュリティ ‎00:18:00
    ASM(アタックサーフェイスマネジメント)とは ‎00:23:15
    ASM・脆弱性診断・ペネトレーションテストの違い ‎00:29:40
    スリーウェイハンドシェイク ‎00:36:20
    G検定受験報告と生成AIパスポート ‎00:39:10
    CCNP ENCORE合格報告 ‎00:42:00
    ライブ告知とエンディング ‎00:45:20

    presented by まさる & かとこ
    感想やコメントはYoutubeへ

    続きを読む 一部表示
    36 分
  • #55 「プロンプトインジェクション」の脅威のはなし
    2026/05/15

    第55回目の放送です。今回は、PDFファイルに仕込まれた「プロンプトインジェクション攻撃」をテーマに、AI時代ならではの新しいセキュリティリスクについて解説します。透明フォントを使ってAI採点システムを騙す手法や、PDFに隠された命令文の仕組み、対策方法について学べる回です。AI活用が進む今だからこそ知っておきたい、“人には見えないがAIには見える”攻撃の実態を、雑談も交えながらわかりやすく整理しています!

    オープニングクイズとPDFの話 ‎00:00:00
    PDF提出とデジタル採点の現状 ‎00:04:10
    プロンプトインジェクション攻撃とは ‎00:07:20
    透明フォントを使った攻撃手法 ‎00:10:45
    教師と学生のイタチごっこ ‎00:15:00
    対策方法と根本的な解決策 ‎00:18:40
    スリーウェイハンドシェイク ‎00:23:10
    イベント告知とエンディング ‎00:27:00

    presented by まさる & かとこ
    感想やコメントはYoutubeへ

    続きを読む 一部表示
    30 分