Appleプラットフォームのセキュリティについて
こんばんは、Replay.fm 第14回です。
こんばんは。
こんばんは。
いやー、喉が痛いです。
ははは、寝ろ。
ははは、えー、寝たいよ。いや、寝ますけど。
いやー。
いや、これはエクスキューズなんですよ。あの、別に怒ってるわけじゃないよ、今日の、今回の収録。
あ、そういうこと?
そう、声たぶん出てきた。
そんな、そんな、そんな印象は別にないけどな、今のとこ。
あ、ほんと?
うん。
あ、じゃあよかった。
割といつも通りだ。
あ、ほんと?
うん。
まじか。
じゃあ意外と…
なんか、言われるまで分かんなかったよ、そんな。
あ、マジで?
うん。
あ、そうか。
じゃあ、言わなきゃよかったな。
ははは。
ははは。
まあまあまあまあ。
先に伝えるべきだったかもしれない。
うーん、確かにね。
いやー。
はい。
はい。
あれですね。
いやー。
あれですね、アドベントカレンダーラッシュ2週目ですか、2週目ですけど、まあ意外とまだまだ牙を剥かれてないのか。
まあでも読む量は増えたかな、読む量は増えたけど、まあいろんな記事が入り合ってていいですね。
割と、うん、割となんか目は通してるんだけどスルーしてるのが多い感じする。
うんうんうん。
うん。
まあっていうのもあるけど、なんかそもそもあんま落ち着いてない、今週。
ああ、まあそれもあるね。
うん。
僕もかなりギリギリ、かなりギリギリ読んでますね。
いやー、話ししんどかったなー。
ははは。
いやー、まあでもいい記事いっぱいあったんで、読んでいきたいところですね。
うん。
まあ僕1個追加したんですけど、追加してないか。
あのー、あ、そういえば、なんかローレベルセキュリティ読みましたか?読みましたか?つか勉強しましたか?
まだ。
ははは。
ちょっと今、あの前任下書きだけ作るわ。
ああ、ほんとに?
うん。
フラップを作成。
いや別に強制じゃない?強制じゃない?
いやー、やろうと思ってたの。
あ、ほんと?
うん。
じゃあ次回ですね。
で、あの、あれなんですよ。その、あれです。復習仕様シリーズ、今回も僕偉いんでやりました。やったんで、ぜひ。
偉すぎる。あ、これなに?下書きとかないんだね。これ。
あ、前のスクラップは下書きないね。
あ、じゃあ、ちょっと随時追加していくわ。はい。
うん。
え、そっから読む?これなんかいいんじゃない?とりあえず上から順でいいんじゃない?順番くるって。
あ、そうしようか。
うん。
あ、じゃあ、もう記事の一部ということで。
うん。
あ、でも俺これ読み切ってねえな。まあいいや、読み切ってないけど話そう。はい。
じゃあ。
読み切ってない。
いや、でもいいんすよ。今時点でもね、結構。
ああ。
話せるのがあるんで。
いいですか。うん。読んでますよってことでね。
上から。そうです。はい。これじゃあ八重洲先生お願いしようかな。
はい。Appleプラットフォームのセキュリティを読んでみた。っていうたまんずさんなのかたまんずさんなのかちょっとわかんないけどのブログです。
サイバーセックプラスアドベントカレンダー2024の13日目の記事だそうです。はい。
えーと、ま、まとめの、まとめ系記事って言えばいいのかな。
AppleのそのプラットフォームのセキュリティについてのまとめがAppleから公開されていて、それを要約してくれている記事を僕らが要約して紹介するというエコシステムができていますが。
はい。
30期ぐらいですかね。
はい。
えー、ま、タイトルの通りでAppleのプラットフォームのセキュリティについての紹介をしていて、えーと全部で7個ですね。
7個、ま、大分類で7個ぐらい紹介してましたという感じです。
えーと、いくつかあるんですけど、ざっとや、ざっとっていうかなんか厳密にその1個1個っていう感じじゃなくてさーっと読み上げていくと、
えー、例えばハードウェアセキュリティでセキュアインクレイブの話とか、えー、システムセキュリティでセキュアブートシステム整合性保護アプリケーションサンドボックス化とか、
まあ要はOSレベルのセキュリティなのかな。
セキュアブートはちょっと違うか。
はい。
とか、えー、データ保護でファイルボルトの話とか、えー、フェイスID、タッチIDの話ももちろん入っているし、えー、アップストアのセキュリティの話とかも入ってくるような感じですね。
アプリの審査プロセスだったりとか、えー、マルウェア対策とか品質管理の実施とか、えー、あとアプリのコード署名による改ざん防止の話とかも入ってるらしいですよと。
あとはMacOSでのマルウェアからの保護の話とか、えー、プライバシーマリーですね。
えー、位置情報とかカメラ、マイクへのアクセス制御とか、えー、アップストアのApp Tracking Transparencyっていう、あの、見たことある人がどれくらいいるかわからないんだけれども、
このアプリは、あの、こういうものをこう集めますよ、収集しますよみたいなのを一覧をバーっと出してくれる機能が一応あって、えー、多分それのことだと思うんだけど。
はい。
っていう感じでした。
はい。
まあなんか、割とその、なんていうか、そんなに実はコメントないんだけれども、えー、アプリってこういうことやってるんだろう、やってるんだなーっていうのはこれ眺めながらぜひ感じてほしいっていうのと、
えーと、ハードソフト両方常にセットでコントロールできる良さを最大限に生かしてるなっていうのはやっぱり改めて思ったところで、その、MacOS、iOSなら、えー、つまりセキュアエンクレーブもあるみたいな、あの、世界観が出来上がっているので、
その、なんて言ったんだろうな、その、うーん、ベースラインをこう高めやすいっていうのは絶対あると思っていて、
うーん。
なんかこれはWindowsだとなかなか真似できないっていうのかなとはちょっと思いましたね。
うんうんうん。
うーん。
確かにね。個人的にはなんかマレアカラの他の部分は全然知らなかったんで、そうなんだっていうのは思ったのと、
なんかどうなんですか、どれくらいのレベルなのかなっていうのは結構気になるじゃないですけど、どうなんでしょうねっていうのは思ったりしますね。
つ、つまり。
いや、分かんないですけど、いや、いやすごい浅いこと言いますけど、その、そのノーガードのWindowsとノーガードのその、
うん。
まあApple端末があった時に、まあ、いやまあ一概には言えないと思うんですけど、その、分かんないけどそのWindowsをセキュリティソフトとか入れずになんか使うイメージは個人的にはなぜかあんまり分かないというか、
うーん。
CVの数が多いからなのかな、そのOSの。
まあいろいろあるんですけど、
うん。
まあ一方で、Appleの方だと結構、何かマレアが動いた時に、どこどこまで防いでくれるのかなみたいなとかちょっと気になったというか。
うーん。
どうなんですかね。
うーん。
やってみたらいいんじゃないですか。
うふふふ、そうだね。それが早いかもね。なんか覚悟はしてみたほうがいいのかな。
まずさ、あれじゃん、その、何もせん状態だと、あの、App Storeから落としてきたアプリケーションしか動かせないじゃん。
そう、まああれかな、そのセキュリティの部分でポチッと許可をしたりしなければな。
そうそうそうそう。
確かに。
クリーンな、まあマレアな、いや怖いな、なんかこういうことできないような安全持ち意識がないと、なんかその、安全にマレアを動かすというか。
ああ。
マレアそのものを動かす必要はないと思うけど、適当に作ったアプリを動かしてどこまで悪さができるんだっけみたいなのは別に自分で作ればできるでしょ。
なんかこれ見てる感じはその、あ、でも起動と実行の防止か。
ああ、まあなんか署名みたいな部分が起動の防止になるんだったら、実行した後にその振る舞い検知するのかとか。
そこまではなんかあんま入ってなさそうな気はするんだけどね、X-Protectの話はちょっとよくわからなかった。
うーん。
うん。
確かに、まあこの辺深掘っていけばもうちょっとわかるかもね。
うん。
ええ、マレア対策機能。まあでもマレアの検出と削除、拡散防止、完成したシステムの修復などの機能があります。
ああ、でもシグネチャーチェックとか、ええ。
入ってるのね。
シグネチャーアップデートも。
うーん。
そうすると、だとすると完全になんか透過的にやってくれてるようなイメージだよね。
うーん。
その、存在を知らないもん、まず。
そうですね、知らなかった。
何もせんでも入ってるのこれ、だって。
まあそういうことなのかなと思うけど。
うーん。
なんでしょう、まあAppleはマレア、うん、そうですね。
うーん。
へー、面白い。
なるほどね。
フルマイ検知もしますと。
まあでもMacOSのXprotectでは不十分みたいな記事も出てきたけど。
まあ、その、そうですね。
まあシグネチャーメースだと限界あるよね。
うーん、まあ一応なんかフルマイ検知もしそうな雰囲気はあるかな、コード分析とかに。
うーん。
ただ、まあそのXprotectに限らず多分、どのこれ系でも限界があるって話になっちゃう。
うーん。
まあベースは基地のマルウェアの自動検知みたいですね、やっぱり。
うーん。
シグネチャーのアップデートタイミングがめちゃくちゃリアルタイムじゃないと区間もしかしたらあるのかもしれないですね。
うーん、どうなんすかね。
うーん。
あ、でも前にチェックすると言ってるな。
そうかそうか。
へー。
うーん。
勉強になる。
なるほどね。
知らんかった。
うーん。
いいことを知りました。
うーん、ありがてー。
はい、まあそんな記事でございます。
セキュリティ業界の多様性
ありがとうございます。
まあなんかぜひ、そのAppleから出てるそのガイドの方も、まあ読んでほしいところであるんですけど、僕は読んでません。
はい。
前例まとめまとめます。
これはいいかな。
まとめ直しっていう。
これはいいかな。
そうよね。
ありがとうございます。
じゃあ次行きますか。
はい。
セキュリティエンジニアって200色あんねん。
うん。
分類とキャリアの話。
えーと、ミステムズアドカレーその2の14日目の記事。ミステムズってなーに。
ミステムズ。
ミステムズイズミスキーシステムズだそうです。
はい、まあ気になる人は記事読んでください。
はい。
えーと、なんか白って200色あんねんっていうそのメッセージをオマージュして、セキュリティの業務も同様に多種多様であるっていうことを伝えたいタイトルだそうです。
まあ実際に200色あるよっていう話ではなく、職があれですね、そもそも職業の職になっている。
はい。
で、えーと、まあなんか大阪に言うと上流下流とディフェンシブオフェンシブの4省限のマトリックスで分類してまあいろいろあるよっていうのを紹介してくれてる記事でした。
ミステムズとは何か
えーと、なんかどうすか、コメントありますか。
僕は、あーなるほどなーと思っちゃったけど、思っちゃったというか、なるほどなーって読んで野球社のメモを見に来て、あーまあ確かにって気持ちにありつつね。
上流のディフェンシブで紹介されてるのって別に、もはやセキュリティエンジニアじゃなくねっていうのはちょっと思ったのと、なんか上流下流っていう分け方もまあ個人的にはあまり好かないなっていうふうにちょっと思った。
なんか、まあその、本当にセキュリティの仕事ってなんすかみたいな人に対して見せるものとしてはまあ若干わかりやすいのかと思ったりはしたけど、まあなんか、そうね、ぐらいかな、なんか感想としては。
いやなんか真面目に、いや、200書間には割と誤帳じゃない気も個人的にはしていて。
あーまあね。
うーん、その、いろいろやっかりとか業務を分担していった時に、結構その、なんでしょうね、ちゃんと構造化するとめちゃくちゃ複雑になりうるじゃないですか。
なんかそういう意味で。
うーん。
こういう切り口もあるのかみたいな。
なんか個人的にはどっちかっていうとスキルセットのうちどれを獲得してますかっていう分類の方がなんか。
あー。
フィットすると思っていて、その、なんか。
それは確かにね。
あー。
それでいうとまあスキルマップみたいなところの方が。
うーん。
まあ。
そう幅が広いんですよと。
でかつこれを全部わかる人っていうのはなんかいないんですよっていう話をするだけだったらぶっちゃけスキルマップでいいと思っていて。
うーん。
確かにね。
まあそれはそうか。
うーん。
でその辺が多分セックボックっていうそのセキュリティ知識分野人材スキルマップみたいなJNSAが出してくれてるようなやつだったりするんですけど。
うん。
何回か紹介してくれてますね。
うーん。
ちょっと僕まだ結局目を通してないんですけど。
そうなのエクセルなんだよね本体がね。
あー。
まあっていうのがあったりとかして。
なんかこのスキルマップみたいなのは結構海外でもなんかいいのがあった気がするんだけどちょっと引っ張り出せなくて。
うん。
しばらくもやもやしてるんだけど実は。
そう。
いやなんだっけな結構そのセキュリティに限らずいろんなソフトウェア系の職種のスキルマップを出してくれてすごいいい感じのサイトがあったんだけど。
うーん。
そうなんだよ。
見失った。
なんか二度と見つけられなくて。
そう。
困ってるんだけど。
うーん。
まあ何が言いたいかっていうと組織によってその必要なスキルっていうのがそもそも様々あるよねっていう話は間違いなくあると思っていてその例えばセキュリティテストはできる必要ないよ外注するからいいよっていうところで別にセキュリティテストができる人っていらないわけじゃないですか。
ASMと脆弱性診断の比較
うん。
セキュリティテストが何なのかは理解している必要があってセキュリティテストで何を見るかを定義できる人っていうのは必要なわけですよね。
そこのスキルセットってちょっと違うよねっていう話は間違いなくあると思うしもっと言うとセキュリティテストだけができるっていう人とアプリケーションとかシステムの構造を理解した上でここをやりましょうっていう風に考えることができる人っていうのもまたちょっと違うはずで。
うん。
だからそこは完全にそのなんて言ったらいいんだろうな合間性のあるスキルじゃないと僕は思っていて。
うん。
うん。
1個1個割り当ててっていうかその分類していった時にどれとどれとどれができますかって。
あーなるほどこれとこれができるんだったらうちにフィットしそうですねっていう話でしかないと思っていて。
うん。
確かにね。
そんなことを思っていますがまあ別にこういう考え方もあるんだなあ程度にはなんか別に。
うんうん。
うん。
思ってる感じですかね。
うん。
まあ確かにね実態としてはそのそれはそうだよねって感じですね。
なかなか。
うん。
結構現実はあんまりそもそも綺麗に定義できないって話はあるよね。
うん。
だからまあある種モデリングみたいなもんでまあまあまあこういう形で落としましょうっていうもののうちの1つでしかなくて実態はまあ今の話聞いて思ったのはまあ何でしょうね何十角形のその。
レーダーシャートが。
うん。
あーそうだねそうでまあどこどういう形ですかっていうところであのかなみたいな。
でまあこういう触手を名乗ってる人はまあこういう形になりがちだよねとかまあまあまああるっちゃあるけど。
あるあるそれはあると思う。
うん。
まあまあなんかそれに名前を付けるのか付けないのかみたいな部分もあるし。
うーん。
まあそうねー。
あとその同じ触手でもな結局組織とか規模感とか。
そうなんだよ。
やってること全然違ったりもするから。
そうそうそう。
うん。
だからまあ一口にセキュリティエンジニアといってもいろいろあるようはあの間違いなく正しいと思っていて。
うん。
うん。
なんかまあ紹介の仕方としてもなんかまあいいんじゃないかなとは思うんだけどなんかうーんそのそうっすねーなんかうーん。
うん。
資格の話とかも上げてるけれどもまあ資格の話なんかまさにそのスキルの話だと思っていて。
その人が何ができるか何を知っているかをその示すものであって。
うんうんうん。
うーん。
すごいなこのスキル。
えぐいよね。
えぐいね。
うーん。
これ見てどうすんだろう。
まあ良さそうなの撮るのか。
うん。
えー面白いですね。
なるほど。
はい。
まあなのでなんていうかうーんまあ難しいねって話なんだけれどもそのこれを知った上で世のそのセキュリティ関連のジョブディスクリプションとかを見るとなんか面白いと。
うんうんうん。
確かに確かに確かに。
そのなんていうかああここは解像度高いなとかああここは解像度低いなみたいなのが。
うんうんうん。
なんか如実に現れるのでジョブディスクリプションに。
そうねー。
いやーよく分かります。
うん。
1回作ったことがほぼほぼお手伝いしてもらいながら作ったことあるので分かります。
はい。
なのであのーそうなんですよ。
うんうん。
なんかこれだけの幅の広さがあるんだよっていうのはまあそのセキュリティある人がいないよって困ってるところがもしあるんだもしまあそういうところの人が聞いてるんだったらなんかこの辺は念頭に置いて。
うんうん。
どういう人が必要なんだっけっていうところを定義するところまでは頑張ってやらないといけないと思うし。
うんうんうん。
うーん。
逆になんかまあ別にどんな人でもいいからなんかどういう人が必要かも考えてくれる人が欲しい。
ただうちの会社にマッチする人だったらもうあとは何でもいいよみたいな考え方もありかもしれないし。
うんうんうん。
うーん。
なんか難しいとこですねなんか。
まあ正解はないですね。
そういうときにそのジョブディスクリプションが全然ミスマッチな感じだとその集まってくる人がやっぱり。
そうだね。
全然違うよねって話になっちゃうから。
うん。
違いないですね。
そう。
だからなんかそのポリシーマネジメントをしてよみたいな話をセキュリティエンジニアにしてもうーんってなっちゃうみたいなのは多分よくある話だと思っていて。
うんうんうんうんうん。
そう。
確かに。
いやーなんかセキュリティエンジニアって言葉自体もだいぶ理解が、理解っていうか認識がなあ。
ソフトウェアエンジニアと同じくらい広いからね。
それで言うとね。
そうだね。
エンジニアと同じくらい広いかもしれない。それで言うと。
あー。
もはや。
うんうん。しっくりくるかも。
うん。
うん。
ハードウェアやるんですかとかソフトウェアやるんですかで。
うん。
まあ全然違うよねとか。
エンジン組むんですか。
うん。
エンジン組むんですか。
そうだよな。
うん。
まあそんな感じですか。
まあ200色あんねんは真実と言うことで。
まあ全然誇張なく、まあ別にその。
うん。
200色とかじゃないんだよな。その。分からんけど。
まあ。
グラデーションだからさその。
まあでもその元ネタの200色もそういう風になっちゃうかしらね。
うーん。
いや別に。
うーん。
まあそう。
言葉のやり方は。
まあ色鉛筆にしたら余裕で200くらいはありそうだなっていう感じではある。
あー。いい表現。
そうだねそうだね。
うん。
なんか面白い着眼点でしたという うんそうっすね
ありがとうございます 次行きますか
行きましょう 私がさっき話しながらというか
元でちょろっと追加した記事ですけど 過去掘り下げ系のやつで前に紹介
しました ASM導入検討を進めるための
ガイダンス基礎編っていう WASPジャパンのワーキンググループ
から出たドキュメントですかね っていうのを読んでみましたっていう
話をちょっとしようかなと思って いて
スクラップの前の記事も貼り付け ています
結論回答さっきも言ったんですけど 全部読み合ってないんですけど
それでも今時点でなるほどなって 感じをした部分があるんでちょろっと
紹介すると スクラップに書いてるけど
まず一つはまとめ直すまでもなく 超とても良いリュードで書いて
あるドキュメントなので マジで皆さん普通に読んで欲しい
なっていうところというか 本当に加速なく書いてあるので
普通に完成度高いなっていう 気持ちがありつつ
なんか個人的に学びになったり 腑に落ちたところを言うと
結構ドキュメントでも 触れられてるんですけど
ASMと脆弱性診断みたいなところを 対比させて論じてるところが
結構多くてですね その文脈としてはおそらく
ここは僕の推測というか 業間読み取った感想でもあるんですけど
今ASMサービスを名乗っていたり 製品を名乗ってるっていうところの
売り文句とかがおそらく外側から 攻撃する場所に対して
攻撃する場所をちゃんと把握しようねとか 把握したところに脆弱性がないか
検出しようねみたいな 多分そういう文脈で売ってる製品とか
アプローチとかが多分あるんだろうなっていうのが ちょっと透けて見える部分というか
表現がいくつかあって それに結構脆弱性診断とASMみたいな感じで
比較されてる部分がたまにあるんですけど その比較の部分で言うと
それはそうだって多分知ってる方は 思うところであると思うんですけど
どっちを使えば何かが解決するってものじゃなくて それぞれに得意不得意があるっていう部分があるので
それはきちんと理解して そもそも自分たちが解決したい課題が何なのかっていう部分を定義した上で
ASMがじゃあそのハウになり得るのかっていう部分を 考えましょうっていうところが一つ書いてあるのと
あとはそのASMっていう言葉自体が 結構広く使われているっていう部分があって
同じASMサービスとかASMツールって言っても 実態としてやってることが全然違うってことがあるっていう部分があったりして
例えばなんか自分の会社の名前入れたら 勝手にその会社に紐づくドミニーとかサービスをにょにょにょって引っ張ってきて
リストアップしてくれるみたいなものもあれば 自分でその最初の資産 AR 抱えてる資産登録みたいなのを手動でやって
それに対していろいろスキャンしてくれますよっていう部分とか またそのスキャンみたいな部分も
がっつり毎日なんかバカすか 攻撃のペイロードを投げてくるようなサービスもあれば
まあそこまでやらないけど最低限のものだけやるよとか 結構いろいろ一口にASMって言っても
いろんなパターンがあるんで その辺はちゃんと認識しないとダメですよみたいなことが
触れられてて なるほどなあっていうところ
IT資産管理の課題
でそもそもASMっていう言葉の定義自体は 多分正解はないんですけど
経産省の出しているガイダンスがあって それに定義があるんで
このドキュメントに見たらそれに基づいて論じられてて いいなと思ったんですけど
短いので読んじゃうと 外部から把握できる情報を用いて G 組織の IT 資産を発見し管理するっていうところが
経産省の定義なので この定義に基づいて論じていて なかなかいいよねみたいな
ただこの定義も IT 資産って何を指すのみたいな
社員の名前とかも外部にある意味露出してるとか それも資産なのとか
メアドとかそういうのも露出すんじゃんとか あるんで その辺もこのドキュメントではこれだよっていうのを解釈して
その前提でいろいろ具体的な話をしてくれるように 結構いいなって思ったところですね
AFM と大縮小診断のプロポコンズみたいなところも 表とかでまとめて比較とかしてて
まあまあ ざっくり
何でしょうね 僕が今の読み進めてる段階で理解したところとしては
そもそも持ってる IT 資産を全部正しく把握するのって めちゃくちゃ難しいよねって話があって
その前提に立った時に 外側から見えてるものっていうのが一定
経路があるってことはリスクが高いよねっていう部分で 外側からスキャンというか
見えるものを集めていくっていうところが IT 資産を見つけていくっていう部分にも繋がるし
管理する IT 資産の中でリスクを分析すべき 優先度が高いものっていうところの
優先度準意識にも自然と使えるなっていう部分がありつつ じゃあその見つけた外部から見える IT 資産の全部に対して
これ全部外部に露出してるんで 一つ一つ脆弱性ないか 脆弱性診断しましょうみたいなのは現実的に不可能なので
じゃあそこで 露出しているもののうち リスクの高いものはじゃあ脆弱性診断ネットでしましょうかとか
掘り下げましょうみたいな感じで 使い分けていくのがいいんじゃないですかっていうところが
超ざっくり言うと論じられてるところかなっていうところですかね
なんかよく考えてみるとそういうサービスを 全職で取り扱ってたなと思ったら
シュレッド ESM ですよっていうふうに書き足されそうな
あれはそうだったんだなーと思って 見に行ったらやっぱりそうだった
概念が 概念に名前がついてそれが共通言語として使われ始めて
でまいあるあるすけを一人歩きしてみたいなのがあるんだろうね
なかなかねまたなんか個人的に あのぐっと胸に来た話としては IT 資産管理
むずすぎだよねって話が書いてあって
なんかその従来の 従来のアプローチっていう表現はこのドキュメントではしてるんですけど
APXのハードコード問題
まあ多分定期的に棚下ろししてチーム一個一個に何使ってますかみたいに聞くとか
サービスどのサービス使ってサービスログインして何やりますかっていうのをリストアップして
Excel 管理とかそういうようなもの多分従来の方法っていうふうに表現してるんだけど
まあそれだとなかなかちょっと厳しいよねみたいな部分も書いてあって
まあそこに対する 銀の弾丸ではないけど
まあ一つその補助的に使うものとしても
補助的にも使えますよっていう部分っていうかまあ
補助的に使えるとまでは書いてないんだけど その一定は
保管するものでもあるよっていうことが書いてあって そこはその発想なかった
なるほどっていう感じですね
はい でもなんか1回目を通していいんじゃないですかって思いました
責任に携わる人は
以上です
ありがとうございます 大変勉強になりました
面白かったですね いや文章の完成度が高くて感動したなぁ
本当に まとめ直す必要性が1ミリもないなと思いながら読んでた
僕のスクラップを多分読み実はマジでないですね 読みたいと思った人
元文章を読んでください これはもう僕のためのメモでしかなくなったので
じゃあ次行きますか
行きましょう
次も僕なんで行くと これも直前に言うので
そうおもろって思ったんで紹介したんですけど
トリュフホグのLLM the teaching developers to hard code APXっていう記事で
タイトル通りなんですけど
やばない どういう えっ
これ何かって言うとTLDRに書いてあることそのまま読むと
10個ぐらいあるポピュラーなマーチャットTPとか ポピュラーなLLMに
皆さん今がっつり開発で疲れてる方とか 開発の時にこういう時にどういうコードを書けばいいかとか
壁打ちとか 何ならコードを出力してもらってそのまま書くみたいなことをやってる人もいると思うんですけど
そういうような用途で何かのロジックを実装しようとした時に
結構なLLMのサービスがそのAPXをハードコードする
しろって言うわけではないんだけど
ハードコードしたコードを出してくるみたいな部分があって
気をつけてねっていうような感じですね
なるほどなって思ったところとしては
一番最初に各種
有名どころのSDKのドキュメントのサンプルコードってあるじゃないですか
Readmeに書いてある それとかの話をしてて
例えばPython Slack SDKっていうSDKは
環境変数を埋め込むようなサンプルコードを書いてあるので これはセキュアだよねみたいな話がありつつ
StripeのSDKのReadmeとかは
サンプルコードはAPXをハードコードしてるんですよ
これはたった2例だけ取り出してるけど
多分言いたいこととしては世の中にはAPXをハードコードしてるサンプルコードが山ほどあって
LLMはそれを学習してますというところで
じゃあLLMまずいの出すんじゃねみたいなところで検証してみたってやつですね
今回の多分プロンプトはこのStripe PythonっていうSDK
サンプルコードでAPXをハードコードしてるSDKのサンプルコードを出してって言った時に
APXをハードコードしたコードを出力しましたって話で
リザートテーブルみたいなので出力されてるんですけど
なるほどね これ面白いんで見てほしいんですけど
さっきの安全なコードを提示してるStripeのSDKと
危険なコードを提示してるStripeのSDKでそれぞれプロンプト投げてみたら
SDKの方は1,2,3,4,5,6,7,8,9,10
10個中9個がハードコードしたコードを投げてきてて
開発者への警告
安全なサンプルコードを示してる方でも
1,2,3,4,5
10個中5個がハードコードしたコードを提示してきたっていう感じの結果になりましたっていうところですね
なのでまぁ
僕らみたいなとかある程度成熟したソフトエンジニアは多分これ
即座でもまずいでしょって言ってちゃんと環境変遷を置き換えるとかすると思うんですけど
まぁコード切りじゃないですけど
あんまり普段コードを書かないとか書き始めの人が相棒的な感じで使うと
ハードコードされたものを使っちゃいそうであれみたいな部分はあったりはするんじゃないかなと思ったところですかね
あとIDとかウェイスコードでもコード保管させた時にどうなるのみたいなところを試してみたいなんですけど
これもダメなコードを出すパターンもあるみたいですね
この辺ちょっと時間なくて読めてないんですけど
結局さぁ その
プロンプトの指示を変えるとかでカバーできたりするのかな
すると思う
要件を示してあげてハードコードはダメよみたいなのを示してあげれば
結構プロンプト無視されるよなって思うんだよな
今回これ面白いから取り上げたけど
プロンプトがあまりにシンプルだからそこはちょっと恣意的じゃないけど
Use the story python SDK to make a $1 charge っていう
結構ムズイなと思うのがまともな返答を返してくれるプロンプトを作ってる間に用事済んじゃうんだよね
そこはそうだね
再利用性がすごく高いものに限ってデモをかけないと全然旨味がない感じがする
シンプルに便利だねっていう use ケースがあるのももちろん理解するんだけど
生活とか業務の中でリアルに
本当に助かるわこれっていうのを作ろうとしている間にやろうとしている間に用事が済んじゃうっていうのはめっちゃあるんだよな
その辺はまあ活用の仕方じゃないですか
僕も活用できてないが人気ですけど
気付け的に来週かなだと思うけど
レイアックスのアドベントカレンダーとかで
生成アイ使って不正決済の検知システムを爆速で作ったみたいな記事があったけど
なんか使い方な気はするけどね個人的には
ちなみに今
どうでしたか
ゲットイン部になってる
手元でプロンプト一文
You should not hardcore APK and some credentialsって書いてある
環境変数に置き換えてくる
この要件を一個一個全部記載するんですかって話だよね
システムプロンプトで用意はできるだろうけどさ
結構そういう場面多いなと思ってて
大量のドキュメントを読んで特定の観点でチェックが必要かどうかを見てほしいみたいなのをやろうとした時に
大量のドキュメントをチャットGPTに加わせようとした時に
LLMが解釈できる形にいい具合に整形したりする作業をしてる中で
もう用事が済んじゃうみたいなのが結構あると思っていて
もう読み終わったわって言って
これ作ってる間にもう読み終わったわっていうのが普通に起こりうるから
このヨシナにやってくれるとかなり上げないと
使いにくいと思ってる
ユースケースをもうちょっと集めてもいいのかもね
個人的には実業務だと
書き捨てのスクリプトとかはマジで便利だなと思ったりするけどね
シェルとかさ
僕は書けないんですよググんないと
ちょっと複雑なことしようとか思うと
自分で書く価値もあんま感じないスクリプトとか
それは再利用性を気にしなくていいやつじゃん
そういう意味で言うと使う場面を選ぶとは思う
そういうユースケースがあるのは理解していて
そういうの便利なんだろうなと思うんだけど
プロダクションに使うコードを安定していい具合に吐き出してほしいです
っていうのを考えた時にあまりにも海の苦しみがでかすぎる感じがする
制度的なところもそうだし本質的にも
まるっと置き換えるようなものではないっていう理解をした上で
詰まるところ思考はしてねえんだよなやっぱりっていうところに
残念な気持ちを抱いてしまうな
こいつはものを考えてねえんだなっていう
わかんないけどなんか
難しいね
はしばしでしんどいなっていう気持ちが出てくるんだよな
いろいろ打ち込んでる中で
これに対しての返答は0.1秒で返ってきてほしいんだけどな
みたいなのが多いあと普通に
だって自分より考えるの遅いものに
ものを頼む理屈がないじゃん
自分が使う理由はない
人に使ってもらう理由はあるかもしれないけどね
こいつと会話してもんでから俺のとこ持ってきて
うん
活用してみた系の記事をいろいろ読んで思うのは
活用する努力をしないといけないんだなって気がするけどね
それはねわかる
なんか僕もできてないんですが
アーサー接着剤不眠なんで
社内のリスクアセスメントみたいなやつを
いろいろできるのかなと思って
試してみたんだけど昨日
なんかしんどいなっていう気持ちになった
ドキュメントをまとめて食わせるみたいなのがまずできなくて
みたいなのがあったりしたし
何ページあるのかわからんコンフル全部勝手に読み込んで
よし何やってほしいんだけどみたいな
じゃあコンフルのページを整形して食わせるっていう作業を
俺が手作業でやんのみたいな
オンライン本人確認の現状
確かにねそういうところは難しいところ
手が届きそうなとこであるかもね
じゃあコンフルのページをいい具合にサマリーにする
何かが前段にまず必要で
なんか不毛なんだよな
しかも別に得られるものは
俺が欲しいものじゃない
俺が欲しいクオリティのものは出てこないんだよね
リターンが見えるかどうかで
だから俺が使うんじゃなければいいんだよ
俺にレビューしてほしいものを持ってくる人たちが
それで揉んでから持ってきてもらう分にはいいと思うんだけど
でも結局見るとこ変わんないんだよね
ここでこれやってるかなこの観点入ってるかな
みたいなのを見るかどうかっていうのは実は変わんなくて
別に手間は減らないのよ最終的に持ってきてもらって
手間が減らないなら活用すべき場面じゃないっていう
ただそれだけな気はするけどね
と思いましたというお話でした
まあね
ちょっと使いどころ難しいなって思ってるよ
分かんないなんか随所でこいつらは物を考えてないっていうのが
見えすぎてしまって本当にしんどい
そうかそうか
だって中身空っぽのなんかその
よく分からんタイトルのチケットから
そちらのチケットが切られてるプロジェクトが何なのかを見て
あああれのことかって類推できますか君たちっていう
なんかできないでしょ
でもそれをやってほしいんだよ俺はっていう
なるほどね
まあいいやLLMの専門家呼びましょう
呼びたいね
いっぱい活用してる人は呼びたいね
私たちはちょっと解像度が低すぎる
いやでもあれをすればできますよこれをすればできますよ
みたいな話とかが出てくるけどさ
それをLLMが勝手にやってくれるようになったら呼んで
っていう気持ちにどうしてもなってしまうんだよね
なんか分からんけど
そういう人はそこまで余信に
そういう人それがさ今
裏側では実はLLM動いてますみたいな差数たちなわけじゃ
そこはなんか
まあ
個人がどうするかは別に自由だから
まあまあ
まあ得意不得意はあるよね
とは思いますね
分かんないけど面白い以上の感想が出てこないんだよな
これ系の話
まあこの記事はちょっと
これはそうだけど
向き不向きがあるのは
向いてないものをどうやってそこに落とし込むかみたいなところに
時間使うのすごくもったいない気がするんだよね
向いてないところには使わないんですよ
何でもかんでもLLMみたいな感じの風潮がすごく気持ち悪くて
それは
まあまあ
その話です
変わるからさ話が
だいぶ脱線しましたが
分かります
そんなAIの話をまたしてもいいですか
マジか
これは面白いこれは面白そう
僕が追加したので読みますけど
AI対AIなりすましの技術と
オンライン本人確認の攻防
トレンドマイクロさんの記事ですね
これめちゃくちゃ面白くて
実際そのサマリオも消しますけど
ちょっと時間かかりそうではありつつ
まとめきるのもむずいので
ざざっと内容に触れていくんですけど
内容としたタイトルの通り
オンライン本人確認いわゆるEKYCを
どうやって突破できるのかという話です
これで突破できるのかという話で
突破してみた記事でもあって
その前段にいろいろ話があるので順番に話していくんですけど
まずそもそも
EKYCを
実装するときにSDKとか
いろいろ各自社で実装しているというよりかは
既存サービスに乗っかったりするというのが
基本だとは思うんですけど
じゃあそういうサービスを提供している会社
代表的な会社を挙げていくと10社ぐらいに絞られるよね
という部分があってその10社に対して
今回調査しましたというところですと
この10社の
実際に実装ではどうなっているのかみたいな部分で言うと
結構大体の会社
なりすまし技術の実態
具体的には10社中9社は
クライアントとサーバー両方で
両方ともAIモデルを動かして
ハイブリッドに実行していて
目的としては通信量を抑えたり利用者の待ち時間を短くしたり
ユーザービートを優先したいという部分があるというところですね
1社のみクライアントで全部完結しますと
主張しているが実際どうなのかは
トレンドマイクロは確認できていませんと
このクライアント
クライアント側で
高級なモデルを動かすことはできるわけもないので
性能が低い端末でも動作するように
処理能力を意図的に抑えられているという部分があって
例えば顔の検出とかは
128x128ピクセルの解像度で
チェックをしたりしているという部分がありますと
この辺がカメラの性能とか
照明に依存しないという利点もあるものの
特定技術には結構突破されやすいという
欠点があったりするというところと
なりすましとは主題がずれているけど
クライアント側の処理を突破して
サーバーにデータを送ったときに
そのデータが適切に保護されているかは不透明で
実際にあったインシデントでは
運転免許書のデータが結構流出しちゃう
みたいな事件とかがあったらしくて
本質とは違うんで
というサービスがいろいろある中で
これを攻撃するツールみたいなところが
アンダークラウドで
どう扱われているかみたいなところも
触れられていて
アングラでは市場で本人確認を突破できるサービスが
売買されていますよと
その10社の名前に結構具体的にこの会社の
サービス突破できるツールですみたいな感じで
売られたりしていて
価格としては
一般的に3000円で買えちゃって
より高度な
記事に書いてあったのは特定の暗号通貨の
サービスの本人確認
だから本人確認は強度が高いってことだと思うんですけど
そういうものは2,3万くらい払わないと買えないみたいな感じになっていて
ちょっと面白いなと思ったのは
EKYC自体が主流になる前から
この本人確認を突破するっていう
裏側
アングラのサービス市場自体は結構盛んであって
10年以上前から
2ドルから5ドルくらいで身分書コピーとかが
取引されちゃってたりするんで
これ自体がそもそも今のライスマシンとサービスの土台になっているという部分もあるらしいです
そうですね
あとは
使えないサービスとかも混ざってたりするよとか言ってて
その辺はアングラがあるあるかなと思ってしてる
アウタークラウド
3000円とかいってる?
30ドルから600ドルしか見つけられないんだけど
これか
ルーブルの話だ
下の方は30ドルから600ドル
上の方はそうだね
あとはちょっと面白かったのは
得点自立になりすまさなくていい時には
もっと安く済む方法があるらしくて
フェイスフロードファクトリーズっていう業者がいて
安い金額で身分書の
証明書を承諾する人
実際の人の写真とか動画を販売してるっていうのがあって
これがまぁいつか話した
たぶん闇ファイトに繋がるところだと思うんですけど
身分書を預けてくれ
預ければいいとみたいな感じのところがここに流れてるのかな
これちょっと実際にどうやってるのかわからんけど
要はあれでしょ
キャプチャーを実際に人間に解かせるみたいな感じなんじゃないの
実際の人がやってくれるっていう感じではないのかな
あくまで顔写真データとかがあるから
そうだね
わざわざ偽造する必要がないってことなんじゃない
画像を調達する必要がなくて
売る側的には画像作るコストは
たぶんめっちゃ低いんだよね
顔写真買い取らせてくださいみたいな感じで
集めたものを売るだけ
買う側もその人に
任意の人になりすますって意味だったら
別にそれが使えちゃうって感じなのかな
その辺はちょっと掘り下げてないというか
よく読めてない
もう無理だよ
証明書ベースのものに変えないと
結局でもそうすると
知識に証がネックになってくるのか
所有物は常に入るけれども
要望の確認を
顔の映像を求めるケースが
どれくらい残るかっていうところなんだろうな
顔の映像を求めるケースっていうのは
マイナンバーカードだけで
本人確認済みますよっていうパターンと
マイナンバーカードかつ顔の映像を求めますよ
っていうケースがもし残るんだとすると
顔の部分はこの問題が残り続けるだろうし
そうだね
実際に攻撃してみたみたいなところに
映っていくと
そんな特別なことはしてないですね
普通にディープフェイクを使って偽造した顔を作って
実際にカメラにディープフェイクは映せないので
カメラのドライバーかなんかで
それを映して
プラス盗まれた身分書とかパスポートを使って
攻撃手法と実証結果
イケワシが通るかっていうのを実サービスで
試したらしくて
突破できちゃいましたっていう感じですね
2つ出しててベリフっていうところのシステムを
突破できたよって話と
IDスキャンっていうところも突破できましたよっていう
結構どれくらい突破できてるのかの
分かりやすい数値があったんで
引用してるんですけど
IDスキャンの方の技術仕様だと
なりすまし対策と顔の一致度っていう
2つの指標のスコアがあって多分100点満点のスコアなんですけど
70点以上取ればセーフなんだけど
トレンドマイクロは攻撃してみた
ところなりすまし対策では99点取って
顔の一致度では87点取れたっていうので
一発でその点数出せたわけじゃないんだけど
そうしたらそれぐらい点数取れちゃったんで
ディープフェイク攻撃は現実的な脅威だよねっていう話を
してるって感じですね
興味深い
理屈的にはこういうの出てくるんだろうなと思ってたし
それが実際にこうやって実証されてるのを見るのは
すごく面白いですね
そうですね
しかもそういうサービスもあるよと現実にね
結構
行けば仕入れてるから絶対安全ですと
もともとなかったとは思うけど
より厳しいよねっていうところと
あと今のサマリでは触れなかったけど
ググったら割と誰でもできちゃうみたいな
誰でもできるは言い過ぎだけど
誰でも手法の情報にアクセスできちゃったりとか
リリット調でやり方の話とかが出ちゃう
会話されてるくらい
攻撃者目線は
おそらくこれやろうと思った時に
辿り着くまでの距離がかなり短いっていう部分が
アイデアとしてはベーシックな感じだからね
そうだね
サービスがあれば買っちゃえば
現実面も突破してみたいなところがあるから
厳しいねっていう
ありがとうございます面白かった
これは面白かったです
読み応えがありました
はいそのとこですか
はい
返事がなかったので不安になりました
じゃあ次行きます
しばらく続きますね
そうですね
サイバーセックアドベントカレンダー
何日目か書いてないの分かんないですけど
記事でして
国元さんっていう方の
ブログなんですかね
ニュース情報収集でやってること
ついにリプレイ.fmが
残念ながら出てないです
前回も似たような記事で話したので
情報収集の手法
今回も中身具体的に触れるっていうか
参考になりますって気持ちで引っ張ったんですけど
結構前の記事より
個人ブログだからゆえにちょっと尖った意見が
いろいろ書いてあって面白くてですね
何でしょうね
あんま
あれですね
例えばどれぐらい即時性があるかとか
どれぐらい正確かとか
安定感とか
一概に全部の指標をつけてるというか
読んでもらえれば分かるんですけど
少し面白い主観で評価してるんですけど
尖ってて言ったのは
例えば一般ニュースサイトの国内の記事みたいなのを
即時性も正確性も漏らせもねえみたいな感じで
控えめな表現としては不要みたいな
なんか
いるもの読んでるものだけじゃなくて
いらないものまでちゃんと乗っけてくれてるのが面白いね
そうそうそうそう
ただこういう側面だったら価値あるかもね
グイグイねグサグサ言ってて
結構ね面白いなっていう
これ見てちょっと
読むのをやめるものと読み始めようかな
整理しようかなとか
OPMLフィールドでこの人自身が収集してるものを
公開してくれてるんで
結構ね
どっからピックしようかなって方は参考にしてみるといいかな
あとその
情報の目の通し方とか見てて
これはちょっと僕真似できないなと思ったんですけど
朝起きてから夜寝るまでの間にどのタイミングで何の
記事を読むかみたいなことを書いてて
すごいね
この通りなら1日200件ぐらいバッてメントしてるのかな
これイノリーダーのまとめフィードが結構便利そうだね
上のやつそれ
あー確かに
ザーッと並べてくれるから
確かにこの形ならいっぱい読める
処理するっていう意味でいくとね
確かに
すごいなぁ
これ便利だね
詳しいね
フローチャートまで書いてもらっていいねって思いながら
これは面白かった
面白いですね
これを聞いてる人はもう
こういうことをしたくないから聞いてる説があるから
自分で収集したいと思ったら
少なくともちゃんと
ガッツリ参考にさせていただこうかなと思って紹介しました
DDoS攻撃の摘発
国内の一般ニュースサイトでの
読画ね個人的にはすごい好きでした
面白いなぁ
面白かったです
この方のブログそのものは何か追っかけた方がいいのかな
この方あれやな
フォローしてないんだけど
Twitterでよくいい具合の記事を
ツイートしてるXで
いい具合の記事を投稿してくれてるイメージがある
この方がその投稿してる記事を
よく引っ張ってきてる
おすすめに流れてくるんだけど
それもあってかなおさらいい具合の記事ばっかり
めっちゃいい具合の
集めてるなって思いながら
遠くからいつも眺めてた
いい話
繋がってるですね
なるほどねありがとうございます
次は
ピオログさんの記事で
代行サービスを使ったDDoS攻撃容器で
さらに摘発された事案についてまとめてみた
という記事ですね
これはタイトルの通りではあって
日本
記事自体もよくまとまってるんで
ほぼただ読むだけになっちゃうんですけど
ヨーロッパを主導で進められている
DDoS攻撃に対する共同操作
国際の共同操作みたいなのがあって
日本の警察庁もそれに協力してるのか
連携してるかなんかだと思うんですけど
その操作の過程で
特定DDoS
アザサービスを利用していた
特定された人に日本人が含まれていて
3名摘発しましたよというところが
公表されましたというところですね
いろんな記事で言われてるところでもありますけど
毎年クリスタルシーズンは
DDoS攻撃が盛んに行われるというところで
そこを狙って操作してたり
いくつかのサービスが
テイクダウンされたのかな
18個のサービスをテイクダウンしたというところで
サービスの運営者とそれを使っていた人を
特定しましたというところなんですけど
その中で3名の日本人がいて
うち2名は10代の方が
摘発されましたよというところが
書いてありますと
個人的にそうだよねって
僕の中でつじつまがったのは
10代の成人して悪意があって
犯罪だとしてって使うパターンは
それは犯罪者ですよねっていうところですけど
この2名の10代の方に関しては
一人は
YouTubeでDDoS攻撃の動画を見て
かっこいいと思ってやりましたっていう
真偽は分かんないですけどね
そういう風に供述してますよとか
少年Bって表現されてる方に関しては
オンラインゲームをやってる中で
オンラインゲームの対戦相手とか
に対して
動作を鈍らせるような方法があるよっていうのを
オンラインゲームの中で教えてもらって
そこから興味を持って
動機みたいなところで外国に対して攻撃をしてみたいと思った
みたいなことを言って
逮捕されるとかそういう認識が
薄いというかそういう部分があったのかなっていうところで
出したところも思ったし
こういう子が
リードサーバーサービスにたどり着ける世界戦か
みたいなところで
手をかえしなおかえじゃないですけど
なかなか難しいなっていうところですね
あとは先週八ヶ谷氏が見つけてくれた
警察庁のDDoS攻撃が犯罪です
この辺も多分繋がっていたというか
サイバーセキュリティ政策の一貫性
難しいな
公共の全般に乗っける
発言を選ぶこの感じだと表現するのが難しいけど
もうちょっと踏み込んでくれたら
逆にやらなかったんだろうなとは思うんだよな
全然かっこよくないじゃん
そうだね
かっこいいと思ったって
かっこいいか?
お金払ってDDoS攻撃サービスを使って
DDoS攻撃するの
そもそもDDoSがそんなかっこよくないじゃんって思うし
もっと多分買えそう度がめちゃくちゃ低いんじゃないかなと思うけど
ハッキングがかっこいいとか
ソフトウェアのその字もわかんない人が
ギャップが埋まっちゃうのが問題なんじゃないかって気がするけどね
ハッキングしたいって漠然と思った時に
昔だったら勉強
ハードルが高かったはずなんだけど
今だとお金払えばできちゃうっていうところに対して
僕らの感覚だと理解できる部分はありつつ
なんかチーターとかとかは
あんまり見たことのない
なんかチーターとかと感覚一緒なんじゃないかって気するけどね
チートとかもさやって何が楽しいのっていう
まね
あれはお金払うわけじゃないけどさ
自分の努力で何かを成し遂げてるわけじゃないかって
でも
よくもあるくも純粋な子供とか
あれで
達成感を得るのかかっこいいと思ってやってるのか
ギラギラ裏で笑ってるのかわかんないですけど
ノリとしてはあれと似たようなもんなんじゃないかと思いますけどね
先週言った麻薬ダメ絶対と同じノリっていうのは
あらがちもう
しょうがないぐらい
思ったより身近にあるよっていう話なんだろうね
そんな気がするんですよね
僕らがこれをすることはないけど
僕とか子供いますけど
子供じゃなくても自分の知り合いとか家族とか
何でもいいんですけど
手を出せちゃうっていう部分はなかなか
認知しておかないとな
防御目線はあんまやること変わんない気はある
そうね
内部不正の手法として
仕返しに攻撃とかがされやすくなるとか
そういう話はあると思うけど
それは別に
めちゃくちゃそんなこと言うとそうじゃないけど
やっぱり
やっぱり
めちゃくちゃそんなこと言うとそうじゃないけど
っていうところかな
なかなか
共有会し厳しいなって思った感じですね
はい
次いきますか
みなさんニードサービス使わないでください
これ聞いてられない人は使わないと思うけどさ
はい
まあでもテイクダウンできたっていうのは
いい話だけど
またニワキニワキ生えてくるんだろうけどね
まあいたちごくだよね
はい
次はですね
先週読んだ記事の続きですね
絶対暇じゃないと思うんですけども
暇だし過去15年間のサイバーセキュリティな
Xテッカードカレーの健吾さんの記事ですね
まとめがちょっと追いついてないんですけども
基本的には
先週の記事と同じところではあって
大統領令を2017年以降のものを
順々に紹介してくれてるという感じです
前回のと違って
今回は僕でも知ってる概念とか
セキュリティ会話の流れみたいなものが
明確にしてくれるようになったんで
真剣積みで見たという気持ちで
読めて個人的には良かったなというところは
読めどころだと
TikTokの使用禁止しましたよ
WeChatの禁止したよとか
ソフトウェアサプライチェーンの文脈で
この辺からSボムの話がぽこぽこ
出たと思うんですけど
なんか面白いな
政権交代をしても
あんまりブレてない感じが
見受けられるんだけど
確かにね
会社とかだと
上の人間が過ぎ変わると
めちゃくちゃ方針が変わっちゃって
すげー苦しいみたいなのが
割とよく起こると思うんだけど
どういう
何によってこの
一貫性が維持されてるのかっていうのを
知りたいなと思ったな
確かにね
気になるね
脅威が一貫してるかどうか
アメリカのこの領域に対する
捉え方って国防だから
国防自体の方針は
変わってもおかしくないんじゃない
ハブは変わるより
変わったりしてもおかしくないんじゃないよね
どうなんでしょうか
でもおおむね
そんなにブレてない感じがするよな
サプライチェーンの話とかも一貫して
扱ってると思うし
要は政策とは別だよっていう
完全に分離された考え方を
してるのかなって思うんだけど
そうは言っても
リソースの配分を考える中で
なんか
やっぱこれなしみたいなのが
普通に出てきてもおかしくないような
気がするんだけど
何なんだろうな面白いな
その構造はきっと
もし明確に
これが効いてるんだよっていうのがあるんだとしたら
多くの組織で
参考にし得るものなんじゃないかなって
思うんだけど
確かに確かに
気になるところですね
あとはなんか実際直近も
トランプ政権に変わりますけど
その辺でどうなるかみたいなところは
気にした方がいいですねみたいな言及は
だからこの一貫性が保たれるのか
崩れていくのかみたいなところは
ちょっと注視しなきゃいけないかもな
ケンゴさん読んで話してほしいぐらい
ケンゴさんとこの記事のお話しして
それを話すとケンゴさんのお顔が浮かぶじゃないですけど
ちょっと
僕の口から語るにはちょっと僕の理解とかさえあれなんですけど
いろいろ
情報収集の進化
とかめちゃくちゃキャッチアップしてて
すごい深いぞ
なぜこれを見ようと思ったのかだよねまずね
でもなんかつまみ食いして
話したこと
伝言系的に話すと
結局日本の政策とか流れにも
影響を受けてる部分が
あるよねっていう部分とか
あと有権とかにも影響があったりとか
そういうことを考えたりっていうところかなって気はします
しずはが高いな
アメリカのなんか
アメリカのなんかの
セキュリティ関係なく結構キャッチアップしてるみたいなこと言ってた
で、やばいっすねって言ったら
いや暇の時見たいだけですよって
いや絶対暇じゃないんだよって思いながら
いやーどこから来るんだろうなー
その膝の高さが面白い
でもこれなんか結構面白そうだったけどね
たぶんこれってケンゴさんが見てる世界の
一部分だから
もうちょっと包括的にキャッチアップすることで結構
いろいろ繋がってるんだろうなっていうのは見え隠れして
それはすごい面白かった
この記事でもそれは見え隠れしてると思うんですけど
これが出たからこの辺ありましたよね
そんな感じでした
いやとても勉強になりました
じゃあ次お願いしてもいいですか
クッキーレイヤリングの取り組み
そんな膝が高いですねという
話をしているところから
まあ普通に膝が低いわけじゃないんだけど
割と細かい話に急に飛ぶんですが
クッキーレイヤリングの投稿及び関連仕様
というあすのかぜブログさんの記事ですね
安定の
2022年頃より
クッキーレイヤリングっていう議論があるらしくて
クッキーに関する仕様を再整理して
ブラウザレイヤで必要な仕様を拡張しやすくする
っていう議論らしいです
例えばなんですけど
サードパーティークッキーの話とか
このポッドキャストでは取り扱ってないけど
Jackさんがサードパーティークッキーアドベッドカレンダーと題して
わーっとサードパーティークッキーに関して
歴史をたどり
現状を紹介しっていうのを書いてくれたりとかしてたんですけど
サードパーティークッキーをどうするっていう話とか
あとはちょっと読み方が
CHIPSで合ってるか分からないんだけど
Cookies Having Independent Partitioned State
っていうパーティションとクッキーの仕組み作りをする上で
旧来のクッキーのRFCを
土台にするには
ちょっとペインがあるよねっていう話が出ていまして
端的に言うと
クッキーの仕様を
クッキーとクッキーストアのコンセプトに分けよう
っていう議論を今しているらしいです
クッキーっていうのがアトリビュートの定義
およびシリアライズデシリアライズの定義
要はHTTPのレイヤーのクッキーの話
なのかなきっとね
クッキーストアっていうのがクッキーの読み書きに関するコンセプト
らしいです
なのでHTTPのレイヤーと
ブラザー固有の
ブラザー固有のっていうのはちょっと違うな
ウェブプラットフォームとしてのクッキーの扱いっていうのを
分けて考えられるようにするっていうのをやろうとしている
らしいです
それだけなんですけど
今の一文でやっと理解したわ
これ僕も読んだんですけど正直めっちゃ
ピンときてないというか何がらしいのか分かってなかったけど
そうだねクッキーヘッダーっていう概念は
使用があるんだけど
理解した
なるほどね
ちょっとなんか風吹きが
そういう感じなんだなっていうのを
知るにはいい記事だなと思って読みましたよと
これは何を持って今これを
ここで紹介しようと思ったのかな
なんかきっかけが立ちないかなと思ったけど
そこまでは分かんない
この議論自体がなんかあれかもね
そのドラフトが上がったとか
そういうタイミングだったりするのかもね
ITFの日付
課題解決へのアプローチ
16
パブリッシュとか
今年の13日だ
6日前にパブリッシュされたから
だからそういうタイミングなんだね
これの日付
面白い
面白いですね
Web面白いな
面白いよねカオスすぎて
このカオスさ最近気付いたけど
これを好むか好まないかっていうのは
なんかあるんだなって
これに疲れる人もめっちゃいるじゃん
でもこれに疲れてもしょうがないじゃん
だってアンホントローラブルだもん
真にすごいなって思うのは
なんとかかんとか方向感性を保ちながら
このカオスをなんとかこうしようとしている人たちが
確かに
Web最高やな
ありがとうございます紹介
次が
人に共感してもらって満足しない
いつものコニファーさんのブログなんですが
記事としてはめっちゃ短くて
紹介したい一文としては
共感を得ると気持ちは楽になるが
それだけでは根本解決しないことも多い
なんでこれを紹介したかというと
コニファーさんが意図したところとは
違うかもしれないんですけど
組織の構造上の問題とか
ソフトウェアの設計上の問題とか
これ良くないと思うんですよって言うと
大体みんな確かに良くないよねって
共感はしてくれるんだけれども
お互いに良くないねってなって
そこで終わってしまうっていうのが
無限にあったなって今まで
どんな職種でも一定あると思うんだけれども
特に
ソフトウェアエンジニアリングに関わっている人は
誰もがそうだと思うんだけれども
特にプロダクトセキュリティに関わっている人多いんじゃないかな
っていう風に思うところがありまして
でも
結局そこで終わりにすると
何も良くならないけど
ずっとその何も良くならないもやもやを抱え続けるっていうのが
起こるので
しんどいけれども
一定のエネルギーを割いて
何かしらもうそれはやらない
ほっときますっていう意識って言っても別にいいし
何か方法を考えてやっていきましょうっていう意識って言っても
どっちでもいいんだけれども
そこまで持っていかないといけないんだなっていう風に
最近は思い直してるよっていうのを
言いたかった
同じく
コニファーさんのブログでだいぶ前に紹介したかもしれないんだけど
問題を放置さえしなければちょっとずつ良くなっていくんですよ
っていう記事があって
つまりそういうことなんだろうなっていう風に
何か繋がってるなってちょっと思った
セキュリティもそうだし
プロダクトも
セキュリティは特に何か
僕身にしみるとこあるんですけど
チケットちゃんと切ろうねっていうのはマジで思う
意図としては
共通認識を作るのは第一歩目であって
それをちゃんとレールに乗せなきゃいけないというか
レールに乗って順番待ちをしなきゃいけないんだけど
乗せないといつ発射しますかっていう議論にもならないから
せめるチケット
チケットは表現ですけど
チケットは何箇所に出たりするのか
アクションアイテムなんかわかんないけど
そこまでが超最低なのかなって気はする
チケットは
難しいのは
抽象度が低いのはそれで結構上手く回せる気はしていて
まさにそれを今言おうと思ってた
簡単なものから減っていくんだよね
とりあえずチケット切って置いておくと
昔のメルカリとかもそうだったんだけど
これ直した方がいいよみたいな
今すぐやる必要ないけど直した方がいいよみたいなチケットを
切っておくと誰かが勝手に拾ったら
直してくれたりするんだけど
やることがはっきりしてて比較的サクッとできるようなものは
割と勝手に
解決していくんだけれども
チケット化しづらい理由とかの問題が一定あると思う
あるいはチケット化できるんだけれども
明らかに1人とか2人とかで抱えられるような
チケット化できるような
チケット化できるんだけれども
1人とか2人とかで抱えられるような
規模のものじゃない?
そういうのは
野球賞メモに書いてあるけど
どのレールでやれる人を探すしかない気がする
でもこれはな
小っちゃい組織で働いてるからそう言えるだけっていう話は
僕の場合はあるのでこれがでかい組織で同じこと言えるのかって言われると
それはまた難しいなとは思うんだけど
あともう1個あるのが
これもメモに書いておいたんだけど
これダメなのは分かるし
なんとなくこうあるべきっていうのも分かるんだけど
自分でどうするほどには関心高くないなっていうのも
結構あるなと思ってて
そういうのをどう自分の中で取り扱うべきかが
すごく難しい
明らかに自分の関心領域じゃないけれども
自分が問題意識を持ってしまったもの
最近
セキュリティ
僕めっちゃあるんですよ
なぜかっていうと
ソフトエンジニアのバックグラウンドがあるから
ある中でセキュリティの仕事してるんで
セキュリティの仕事で例えばコード読んだ時に
ソフトエンジニアリングの観点でこうした方がいいよなみたいな
あるじゃないですか
いい悪いっていうかコードでもあると思うんだけど
どう付き合うかは結構ムズイなと思ってるけど
ネガティブな意味じゃなくて
社内チーム内でこれダメですよねみたいに言って
消化してみなかったことにしてる
無理だけどね
本人に
本人っていうか物によるな
でもなんかその
手放すの大事だと思うなって思う
あんま気にしすぎると結構
マインドシェアを捉えるじゃないですか
なんでもかんでも考えてらんないからさ
行って手放すしかなくて
手放す方法はいろいろかなって思う
そのオーラシップを持つ人に
こういうのありますよってポッて言って
物によってはもうまあまあ目つめればいいよねって
ものもあるだろうし
またそのなんだろうな
今言った僕のソフトエンジニアリングの例とかだと
ソフトエンジニア領域については目につくんだけど
逆に僕自身のバックグラウンドが長いから解像度が高すぎて
そうなってしまった背景も透けて見えたりするから
なんかそれで結構消化できちゃうこともある
微妙なんだけど
周辺コード見ると
この時代のコードでまあまあみたいな
そんなもんだよねっていうね
それもわかるわ
ソフトエンジニアそれは俺の中では近い領域なんだよな
難しいな
個人的には
もっと広い範囲で
いろんなものが気になってしまう
わかんないけど
自分は言語化したことがないけど
自分の中にはノーナイフローチャートがある気がするわ
何か見つけた時に
結構ものによるじゃん究極的には正直
中小度が大きい小さいもあるし
領域がどこかっていう
組織論の課題と自己整理
組織論の課題と
組織の課題と責任の課題だったら全然
捉え方とか動かし方が違うわけで
そこはなんか結構
僕に限らず各々フローチャートがあるんじゃないかって気はする
難しいな
という話でした
難しいですよ
オフ
一回自分の中で整理してみてもいいと思う
布団とか
難しいね
これはしょうがないね繰り返していくと
なんもできないんだよね
それはそういうふうに錯覚してるだけだと思うけどね
違う違う
なんて言ったらいいんだろう
自分は
染み出す
違う
なんもできないのは違うと思って染み出してる領域もあると思うんで
染み出してる領域と染み出してない領域があって
人間の性質調査は
やっぱできないことに目がめっちゃいっちゃうんですから
肌感としては
やりたいのやりたいの確認落ち入りやすい部分
一体あると思うんだよね
その前提に立つんだったら
ある程度割り切って手放すっていうとこも必要だと
個人的に思うし
一方で広げていくっていうアプローチもあると思うから
その後の時に
今自分で論外整理するといいと思った理由の
一つでもあるんだけど
これはこういう
これはこういう風にさばこうみたいな自分なりの
アプローチがあった時にその回答がないっていう領域に対して
じゃあどうしようかなって一個一個考えて
積み上げるじゃないですけど
整理していくことで
いやー
それを7年間やってきたんですよ
それを7年間
やってきたんでございますよ私は
経験とその影響
なんかね
繋がりそうで繋がらないんだよね
その
会社自体生物だし
自分も生物だし
どこまで行っても
消えない感じであると思う
点と点が繋がらないっていうのが事実なのか
それともやり残しが大量に転がってるだけなのか
なんだろうなと思わんでもないな
積み上げてきたつもりではあるんだけど
なんかね
理論値と現実の話ありそうだけどね
理論値にいったら
僕らの脳みその中では繋げられるはずだけど
現実は繋がんないもしくは繋げるのに
訳わからんくらいコストがかかるっていうのはある
そうそうそうそう
見たいんだよね
あれもこれもやってきたっていう中で
それが全部繋がると信じてやってきたけれども
その
なんか繋がりそうなね
気はしてるんだよな
繋がってんだよな事実な
そのさなんか
なんかあったときに
ずっと考えてるまさにそれっていうのが
もう大量にあんのよ
何ならなんか
一時期結構検討したい恐れみたいなのも
割と出てきたりするし
そういうのが出てくるたびに数年前の資料を織り返してくる
みたいなのがちょこちょこあったりして
繋がってんだよな
なんかの話が出るたびに
それもこれと繋がりますねみたいな
全部繋がるんだけど
繋がるように見えるんだけど
繋がんないんだよな
俺の立ち回りが悪いのかな
いやでもまあ環境要因もあるよ
いい悪いの話じゃなくてね
間違いなく環境要因とかタイミングとかいろんなものあると思う
いやーまあまあまあ
人生相談みたいになっちゃったけど
そんなこと7年やってるんですが
なかなかね
しんどいねという話でした
情報共有と実践の必要性
旅は終わんないということで
一回リセットしてもいいかなと思うんだけどね
強くてニューゲームをしたい気もするけど
そうはならないんだろうなとも思うし
まあそうね
わかるよ
以上です
コニファーさんの記事にはいつも考えさせられますね
救われますな
救われてるのか
沼に改めて沈められてるのかわからないけど
コニファーさんがどうこうって話じゃない
俺が勝手に沈んでるだけだから
攻撃者が採用した.htaccessを改ざんして
任意の拡張してPHPを実行する方法という記事です
タイトル通りなんで
別にこれ以上何か話すことがないんですけど
実際に使われてたっていうところが
肝かなと思っていて
別にこれ
アパッチでPHP触ってた人って
あとなんだろうな
あれじゃないかな
これはちょっと違うけど
リライトのルールとかで
ルーティングをしてた人とかは
ちょこちょこhtaccess触ったりしてたんじゃないかな
できるよねって
PHPやってた人ってわかるじゃないですか
っていう流れ今読んでるんですけど
できるよねっていう感想しか出てこないと思うんですけど
実際に使われてるのを見つけましたっていう話は
大変貴重だなという意味で
観点でシェアしております
これはまあ確かにできるよねではあるね
できるし実際に使われるっていうのも
できることを知ってるのと使われるのを知ってるのって
一段階知識のレベルとして違うと思っていて
インシデントレスポンスにおいては
そこの差が結構出てくると思うので
これは良い情報共有だなというふうに思いました
面白いね
シンプルがゆえの
なるほど
結構なんか
小賢しいですよね
CSSだったら見に来ないでしょみたいな
わかるわって
これ何にも知らなかったらCSS見に行かないもんわざわざ
シンプルながら強力だね
賢いよな
まあでも多分
これを知らなかったらどこで気づくかはちょっとわからんけども
俺だったら多分ファイルまとめてグレップして
それっぽい文字列を探すとかやりそうな気がするな
なんとかCSSのファイルで怪しい変な文字列が
引っかかるみたいなのが出てきそうな気がするな
このケースだと
小賢しく何度かされてたっぽいみたいな話あるから
それで見つけられたのかどうかみたいな
ところはあるかもね
アクセスログから判別する方法っていうの書いてくれてるけど
これも確かにありそうだね
どっちかっていうとそっちの方が結構成功もらえるんじゃないかな
いやでも気づけるかなだってCSSにポスターが飛んでますって
気づける?
CSSの時点でまず除外しちゃいそうじゃない?
いやーこれでもアプリケーションによるな
コンテキストによるから一概に
これはここで気づけるよねっていう話はできないんだけど
意外と難しいな
しかもインシデントレスポンスを
している
わちゃわちゃですよ
その中でこれを実際に見つけられますかっていうのは
確かになかなか難しい
あとは僕がちょっと今思ったのは
僕自体がWebシェルの解像度
その概念は知ってるしその仕組みもわかるけど
実際にWebシェルで攻撃した経験とか攻撃された経験がないから
実際にじゃあこの場面に立たされた時に
ログでどこまでいけるんだろうみたいな
ちょっと不安になるというか
素振りしないといけないなって気がするな
なるほどね
いや分かんないです
難しいなと思った
いろんな処方を組み合わせて頑張るしかないんだろうな
シングルサイトってことが分かってる以上は
たどり着くまでの時間の問題だと思うんだけど
じゃあ次回までの宿題として
PHPでファイルアップローダーを書いて
自作のWebシェルを置いてみるところまでやって
感じかな
マジかやるか
Webシェルもそうだし
そこまでいくんだったら
リバースシェルとかもやってみるといいかもね
ペンテストの本で実はやったことがあるんですけど
そうなんだ
シェルを置いて通信してみたいな
通りになぞってやっただけだから
もうちょっとやり込めると思うけど
だから理屈とかは分かってるつもりでやるんですけど
でもWebシェルはないか
PHP書くのか
PHP書くか
めんどくせえな
書くのはめんどくさくないけど動かすのがめんどくせえなと思って
まあまあまあ面白かったです
PHP公式特典にも書いてあると
いやーとか.htaccess一瞬思い出さなかった
ファイルは思い出せるけど
パッチかーって
パッチ懐かしいですね
C10系問題はどうなったんだ
現実プロダクションで動いてるロケーション
まだ分かんないですけど
アパッチ自体を冗長構成にするんじゃないのか
じゃあもう金で殴ってってことか
分かんないけどね
アパッチロードバランス
アパッチC10系ググってもう古い記事しか出てない
何らか多分
何らか多分なんかしたんでしょう
まあ確かにね
2000
だって今PHPをさ
動かそうとする
PHPを
分かんないオンプレとかあったNGXの
PHP FEPM
何とかランナーみたいなのあったっけ
何とかランナー分かんない
ノーヒントやでそれ
考え方としてはこれに近い
これっていうのは
PHPランナーが何なのか分からないけど多分これに近い
そうなんだ
普通に
違うな
何とかパーみたいなやつなかったっけ
いやもうだめだ
PHPのアプリケーションサーバーで
NGXユニットとか
いやー出てこねー
すげーなんか気になって夜しか眠れなくなっちゃう
夜しか眠れないのいいじゃん
なんだっけなー
やべー普通に気になる
次回の宿題でお願いします
そんなレベルじゃないからくそしょうもないよ本当に
えっとねー
いやまじでなんで出てこないの
収録おしまいにしましょうか
収録後にあれ終わりだわ
こんな終わり方すんの
ホゲホゲランナー
ホゲホゲランナーの正解を
見つけようよ
だって何分かかんのいいけどさ
でも俺興味ないもん
正直
なんだっけ
えっと
ルビーとかでこっちになってない?
その可能性は若干ある
ルビーでいうユニコーンみたいなやつだった気がするんだよな
PHP
PHP以外まじで聞いたことないけど
気のせいだったのかな
ちょっと心当たりのある方は
ぜひ教えてほしいんですが
コメント
変わり種のやつがあったんだよ
PHP老人会みたいになってんだけど
なんとかランナー的なやついなかったっけな
それがいいかもしれない
思い出してくるのとどっちが早いか
そもそもこれがないって可能性があるからね
ハルシネーションに弱そうだな
くそ弱そう
ロードランナーだったのかな
ロードランナーって名前変わってない?
あんま出てこないね
ってことはやっぱりロードランナーだったのかもしれないな
ロードランナーこれか
まあいいや
お疲れ様です
しょうもなかったな
今日一日の中で一番しょうもない時間を
PHPへの思い
この日付変更直前に過ごしてしまったけど
僕は久々にPHPに思いを馳せられてよかったよ
なんかの表紙に思い出したら
PHPのアプリケーションサーバーだったかどうかすらわからないけど
なんかの表紙に思い出したら
これを思い浮かべてたわっていうのをLINEで送るわ
お願いします
何を思い浮かべてるんだ私は
ちょっと忘れよう
正解見つけまでは忘れますわ
それが正しい
じゃあ今日はそんな感じですか
はいそんな感じですね
次は年末最後の収録かな
生きていられるかな
もう休み入るんでしょ
もうおさめた
26日に1日だけ出るけど
じゃあ来週は山本読んだ記事が聞けるということで
と思うじゃん
いろいろ用事はあるから忙しいって忙しいね
しらしゃんしらしゃんこっちは仕事じゃん
頑張ってください
頑張ってください
じゃあこんな感じで今回もありがとうございました
また来週お越しください
皆さん良いお年を
早い早いおやすみなさい
出すよ
じゃあ良いお年を次回に持ち越しということで
お預けでおやすみなさい
