1. セキュリティのアレ
  2. 第193回 そろそろ秋を意識して..
2023-09-11 1:02:43

第193回 そろそろ秋を意識していきたい!スペシャル!

Tweet【関連記事】 ・Active North Korean campaign targeting sec[...]

The post 第193回 そろそろ秋を意識していきたい!スペシャル! first appeared on podcast - #セキュリティのアレ.

サマリー

Googleの脅威分析グループタグが報告している北朝鮮によるセキュリティの研究者への接近キャンペーンについて話されます。関係を築くためにXというメッセージングサービスが使用され、ゼロデーを利用した攻撃が行われ、最終的にマリシャスなプログラムが実行される可能性があると述べられています。ソフォスが公表した2023年上半期のアクティブアドバーサリーレポートによると、攻撃の初期アクセスでは主に外部のリモートサービスや一般向けのアプリケーションの悪用がされ、有効なアカウントの悪用と外部リモートサービスの悪用がセットで使用される傾向があることが明らかになりました。最近のサイバー攻撃では情報漏洩が主な原因となり、情報漏洩による影響はパスワード有効なアカウントを使用する攻撃が増加していることが判明しています。また、ランサムウェアの攻撃者は滞在時間を短くし、特に金曜日に攻撃が増える傾向があります。 トレンドマイクロさんが公開したパスワードの利用実態調査によると、84%の人がパスワードの使い回しをしており、被害に遭った人の多くは被害に対する対応が十分でないことが明らかになりました。今回のエピソードでは、ウェブやSNSのアカウント乗っ取りやパスワードの使い回しによる被害について話されました。被害の程度やリスクの判断には個人差がありますが、対策や注意喚起によって被害を減らす努力が必要です。特徴は、この楽曲がTikTokで大きな話題となっていることです。

00:00
あの僕、肉体改造をしてたじゃないですか。
なんかしばらく前からずっとやってるよね。
そうそうそう。コロナ禍でちょっと太ったのをきっかけに、運動をかなりきちっとやり始めて。
で、なんか体脂肪がだいぶエグいところまで増えて、27が見えてきたぐらいからやばいと思って。
で、10パーぐらい落としたりとかいう話、多分ずいぶん前にした気がするんですけど。
なんかほら、なんか服もサイズが合わなくなった。サイズアップしてみたいな。
そう、ワンサイズ上げてっていう感じ。胸のあたりがね、結構パツパツなってきたみたいな。
それでね、この間肩こりがひどくて、僕たまにマッサージ行くんですけど。
そこで衝撃のことを施術してくださっている方に言われまして。
僕、肩甲骨のあたりとかから、僧帽筋とか、後背筋とか、その辺がちょっと凝るというかね。
そこから首にかけてみたいなが結構辛いんですよ。
行って触ってもらおうじゃないですか。
そしたら、胸の筋肉がつきすぎですって言われて。
胸の筋肉をつけるのはいいんやけど、それに対して背中の筋肉が少ないって言われて。
バランスが悪いってこと?
そうそう。ただでさえ前鏡というか、パソコン触っているとどうしても縮まってくるじゃないですか。体が。
それに加えて胸の筋肉が強いから、それでさらに引っ張られている。それで転んだと思いますよ。
そういう弊害もあるのか。
そうそう。だから、とにかく鍛えりゃいいってもんでもなくて、やっぱりバランスよく筋肉つけなさいっていうのをよく昔聞いた気がするんですけど。
それでちょっとね、確かに腕立て伏せとかはしっかりやったりとかしてたけど、背中に関してはそこまでやってなかったんで。
俺はあんまりそういうのを詳しくないけど、背中の筋肉って鍛えるのは難しいようなイメージがあるけど、そうでもないの?
一番簡単なのは懸垂とかですよね。
家とかやったら、ちょっと高めの椅子とかの下に入り込んで、両手で持って体を上げるみたいなやつとか。
基本的にぶら下がり系のやつが多いですよね。
ジムとか行ったら、背中の方の後ろに引っ張るみたいな、ボールの背中の後ろに引っ張るとかっていうやり方もあるんですけど、あれは自分で引っ張るパターンで、どっちかというと自重でやるんやったら、基本ぶら下がり系が一番手っ取り早いかなとこなんで。
なので最近、公園に行って一人で減衰やってます。
いきなり懸垂とか、久しぶりにやったら、自分の体重を10秒支えるだけでも結構きついですよ。
最初はそうかもなぁ。
圧力もそんなについてないから、使わないんで。
だからちょっと深めの斜め懸垂を30回から50回ぐらいをするように。
できれば雨降ってなければって感じですかね。
日常生活で使わなそうだもんね。
使わないですね。だって普通に自分の肩とか頭よりも上に手を上げることってないでしょ。
あんまりね。
だからね、そういう全然使ってへん筋肉ってたぶんいっぱいあるんだと思いますよ。
へぇー。
そう、またやり直しです。
バランスを取り戻すためにまた。
そうそうそうそう。
え、ちょっと君はさ、どこへ向かおうとしてるわけ?
どこにも向かってないですよ。
健康的にきちんと体力をつけて仕事頑張って、この世界から一つでも多く悲しみを減らしていこうっていうことですよ。
お便り行く?もう。
行きましょうか。
そうね、お便り来ておりましてですね。
先日ログを見ていると、サイコバニーの公式サイトをフィッシングサイトと検知していて、ブロックしたログがあった。
思わずあれで言うてたやつやと一人で盛り上がってしまいました。あれ勢で良かったと思う。
え、それなんでブロックしたんだろうね。
なんでなんすかね。公式サイトをご検知ってことだと思うんですけど。
はいはいはい。
大丈夫ですかね。
サイコっていう言葉がまずかったのかな。
それは。
そんな言ったらみんな引っかかっちゃう。
そうですね。ドラマじゃないや、アニメのサイコパスとかも引っかかっちゃいますもんね。
いくらでもあるぞ、そんなの。
なんなんすかね。逆にこれ問い合わせてほしいですね。この検知した製品に。これなんでダメなんですか?つって。
まあでも時々あるよね。そういう公式サイトとか正規のサービスを間違えてブロックしちゃう系の話はね。
そうそうそうですね。僕もジャンルによったら自分のブログとかもブロックされるみたいですけどね。
あ、そうなの?
扱ってるネタとかがフィッシングの話だったりとか、攻撃コードとしても見られるみたいなものが入ってたりとかすると。
内容的にはスレスレだもんね。
スレスレちゃうやろ。スレスレってなんかわかんみたいやん。
ギリギリを攻めていくとね。
ギリギリをね。いい意味で。
いい意味でね。いい意味なのかそれ。
ぜひもし理由がわかったらこっそり教えていただけると嬉しいなと思います。
あとはD-DOSに関してなんですけれども、この考えとかこういうことあんま考えたことなかったなということなんですけども、
D-DOSという手段で抗議するにしても、攻撃方法の中で環境負荷が高かったりしないんだろうかという予党が来ておりまして。
多分普通に環境負荷なんで、すごい多くのコンピューターを無駄なリソースとして使うからって意味なんじゃないですかね。
ビットコインのマイニング的な。
ビットコインほどのリソースなんか多分使わないと思いますけど。
攻撃のコスト面では、なるほどね。
負荷的に考えるとあんまり効率の良い攻撃方法じゃないんじゃないかみたいなことか。
マシンリソース使って電気もいっぱい使うんちゃうのみたいなことなんですかね。
そこまでじゃないとは思うけど。
あんまり考えたことなかったなと思ってね。
まあ確かにね。
環境に優しいと言いながら、一番リソース使ってるようなことなんじゃないのかみたいなことなのかもしれないですね。
あと最後のお便りなんですけども、192回のセキュリティのあれ聞きました。
CVE合わせ技1本の件、大変参考になりました。
クリティカルだけチェックしてれば良いのではという楽観的な雰囲気もあったりしますが、なかなか適切な注意喚起ができなかったので、0時に使おうかと思います。
ミディアムまでチェックするのはなかなか至難の綿ではあるんですけどねというお便りをいただいております。
CVSSもね、脆弱性の深刻度をうまく評価する一つの指標で広く使われていて、便利は便利なんだけどね。
ただその、この間紹介した合わせ技1本的なやつとか、あれはたまたまそのジュニッパーが両方合わせて9.8ですっていうスコアをつけてるから、なんか深刻そうだってことが伝わる良い例として紹介したんだけど、
必ずしもねそういう風になってるやつばっかりじゃないから。
そうですよね。その方が少ないですよね多分ね、そうやって出してくれてる方が。
そこだけ見ていると、その本当の深刻さというか、実際に攻撃で悪用されるとか、そういうところがね、そんなに見えない、そのエクスプロイタビリティとか、エクスプロイテーションの実際のところっていうのがCVSSだと、
現状値とかまでちゃんとしっかりやらないとね、その基本値だけではわかんないっていうのは、そこは難しいよね。
なかなかそうですね、この辺はもうベンダーに頼るとか、そういう攻撃を検知しているセキュリティベンダー、もしくは悪用が確認されてますよっていうものに頼るしか今のところないかなっていう気はしますよね。
ミディアムをいろいろ見て、ミディアムとハイとかつなげてみてね、あ、クリティカルか、つなげてみて、これやったら合わせ技できるなっていちいち見てられないですよね。
それをユーザー側っていうかね、毎度毎度やるってことだと現実的でないので。
そうですね、今のところはそういう外部のリソースに頼るしかない部分ではあるのかなっていう気はしますね。
ありがとうございます。今読み上げた3つの方にはステッカーの印刷コードを差し上げますということで、皆さんぜひよかったらお便り、コメント、質問とかいただければと思います。ありがとうございます。
はい、お待ちしてます。
ということで、セキュリティのお話に入っていこうかと思うんですけども、今日はそうですね、じゃあ寛吾さんがいきますかね。
北朝鮮によるセキュリティの研究者への接近キャンペーン
はい、今日はですね、私ちょっとドキッとしたというか、びっくりっていう感じの、そういった報告がGoogleの脅威分析グループタグって言われてるところが出していたのをちょっと取り上げたいなと思うんですけど、
これ、あれ初めてかな、もしかしたらどこかで取り上げたことがあったかもしれないんですけども。
前にポッドキャストで似たような話やったような気がする。
ポッドキャストやりましたっけ?
わかんない。
要はGoogleが、北朝鮮がセキュリティの研究者をおそらくターゲットとしたキャンペーンを行っていましたという、そういった報告ではあるんですけど、
これって今回初めてっていうわけではなくて、2021年の1月にも報告をしていて、今回確認された内容から見るに、おそらく同じ攻撃者が同様のキャンペーンをまだ続けている、やっているという話が報告されたというところではあったんですけど、
前回と少し違うところもあって、ちょっとそこもお話をしたいんですが、基本的にまず接近というか、セキュリティの研究者にどう北朝鮮の人がアプローチしてくるかというと、おそらく多くの方が使ってらっしゃるX、昔のTwitterですね、これを使って接近をしてくると。
今回確認されているものとして、Googleが挙げているのは、そのXで標的に接近をしてきた後に、シグナルとかWhatsApp、あるいはワイヤーですね、そういった暗号化が使われているeasyのメッセージングサービスアプリを使って、標的となる人との関係を構築すると。
これ結構長期間渡ってやるケースもあったみたいですけども、そういった形で標的に接近をしてきて。
前回は、2021年1月の時は、Visual Studioのプロジェクトだったかな。それを提供してきて、ビルドさせて、マルシアスなDLLを実行させて、マルウェアに完成させるっていう、そういう出口を2021年の時は報告していたんですけど、
今回はですね、過去数週間Googleが確認されたものにおいては、ゼロデーを使われていたという話があって、ただそのゼロデー、何のゼロデーなのかっていうのは、一般的なソフトウェアという、そういった表現にだけ留まっていて、
っていうのもまだベンダー側でパッチの対応中とか準備中というふうな状況と見られるということで、Google側ではまだ準備が整っていないということで詳細を開示していないという状況ではあるので、
マリシャスなプログラムの実行
具体的にどのソフトウェアのゼロデーが使われていたかというところはまだ詳細が出てきてないんですけども、関係性を構築したとファイルを送ってくるという話ではあるので、
ユーザー側に何かしらの操作、ゼロクリックっていうよりかはダウンロードさせたりとか、あるいはファイルを開かせたりとか、そういったアクションを通じて標的となる人にマリシャスなプログラムを実行させる、
そういった手口なのかなっていうのは私ちょっと勝手に思ってるんですけど、詳細っていうのはまだ出てきていないというところではあるんですけど、
ゼロデーと見られるそういったエクスプロイトコードが事故されてしまった場合どうなるかというところについては、これは前回という形で2021年に報告されたものと同様のシェルコードという話ではあるんですけど、
事故されると仮想マシンかどうかみたいなそういった確認が最初入って、これもよくあるケースでありますけど、そういった確認が行われた後、収集した情報と合わせてスクリーンショットを攻撃者側のサーバーに送るというところではあるので、
ちょっとこの意図っていうところがいろいろあると思うんですけども、今回は脆弱性の研究を取り組んでいるリサーチャー、セキュリティの研究者の人が標的になっているんじゃないかという話はあるので、
北朝鮮側が脆弱性に関わる情報なんかをもしかしたら積極的に集められているというところが未だ続いているのかなと。
あとですね、今回それとは別にというところではあって、この先ほどのXのアカウント名、ポールっていう名前だったんですけど、ポール091だったかな。
091、アンダーバーかな。
アンダーバーが付くやつですね。
セキュリティの研究者と、あとGETシンボルの開発者ですっていう、そういったプロフィールを書かれていたんですね。
もうちょっとアカウントは凍結されちゃってるんですけど、動いてた時の詳細な説明プロフィールにはそういった書かれ方をしていて、
GETシンボルってなんじゃらって感じなんですけど、GitHub上にGETシンボルプロジェクトっていう章をして、
開発情報を簡単に取得できる、使い勝手のいいユーティリティソフトっていうのをどうも公開していたと。
なのでデバッグだったり、それこそ脆弱性研究に役立つんではないかという形でGoogleは言っているんですけども、
これを先ほどのpole091underbarっていうアカウントがGitHub上で公開しているというものがあってですね、
実際、Xのやり取りの履歴なんかはpole091underbarで検索するとまだ残ってたりはするんですけど、
なんかThank youとか残ってたりしていて、もしかしたらこのツールをありがとうという形でもしかしたらリプ送ってたのかもしれないんですけども、
2022年の9月30日にリリースされていたらしく、思って向きは今言った利便性の高いユーティリティのソフトではあったんですけど、
どうも裏側では攻撃者のサーバーから任意のコードをダウンロードして実行させる機能があったという話ではあって、
なので書かれているままの内容をそのまま鵜呑みにして開発環境とかで使っていたりとかすると、
もしかしたら攻撃者の何かをダウンロードさせられて実行してしまっている可能性があるというところがあるので、
いろいろGoogleがインディケータ情報を公開されてはいるんですけども、
クリーンな状態を確認するという意味においては予防措置を講じることを推奨しますみたいな、
場合によってはOSのサインインストールが必要となる可能性があるかもしれませんということも言及されているので、
ちょっと1回見ていただいてもいいのかなというのは、
特にやっぱりセキュリティの研究、リサーチとかやっていらっしゃる方からすると、
ここらへんちょっと1回見ていただいてもいいのかなというのは、
例えばウィルストータルなんかでも公開された直後ぐらいに、
このGet Symbol Projectの自己ファイル、ウィルストータルで上がっていて、
実際の検査をされているんですけど、
シグネーチャーマッチングだと思うんですよね、大半はシグネーチャーマッチングでやっていると思うので、
公開された直後ぐらいのときはやはりほぼほぼ検知していないという状況ではあるので、
もしかしたらEDRとかヒューリスティックな分析とかが、
より高度な分析とかが行われているようなケースにおいては、
その時点では検知できるのかもしれないですけども、
少なくともウィルストータル上の履歴だけ見るとほぼ検知できていないという状態ではあったので、
改めて見ていただいた方がいいのかなというのは改めて思ったところではありました。
怖いねこれ。
なんか低コンデますよねめっちゃ。
そうそうそう、前回よりむしろパワーアップしている感じ、
まだやってたんかって感じはするんですけど、
むしろ前回よりパワーアップしている感じがしていて、ちょっと怖いんですよね。
しかもこういうWindows向けのツールとして公開して、アップデートも何回かしてるんでしょこれ。
そうそうそうそう、アップデートも何回かされていて。
多分これを紹介されて見た時に、なんか怪しいなーってちょっと思ってても、
でもアップデートちゃんとされてるのかと思っちゃいそうですもんね。
これ見抜けなくない?
見抜くのはかなり厳しいですよね。
表向き、ちゃんとしたツールに見える作りがちゃんと作り込まれていて、
裏の機能でそういうトロイの木馬系の機能があったとしてもさ、
よほどちゃんと監視してないと分かんないでしょう。
確かにその接続先がこうやってIoCとして明らかになれば別だけど、
マリシアスがどうかって分かんない状態で通信しててもさ、
何かデータ取ってきてるのかなぐらいにしか思わなかったら分かんないよね。
特にこういうデバッグしてたりとか開発環境だったりすると、
結構通信何でも許可してるケースがそこからは多いですから、
あんまり気にしても見てないんじゃないかなってちょっと思いました。
緩めにやってるところあるそうですからね。
あと最初の第一段階のところで、関係を構築するところ。
前にもこの話したような気がするんだけど、
今回セキュリティ研究者とか前回の製作生の研究者とか、
その辺がターゲットだったと思うんだけど、僕らも含めてその辺の、
例えばそういうことを表でちゃんと言って活動してる人とか、
あとそういう情報を常に収集してる人って、
おそらくそういうネタで何かしらコンタクトが、
仮に初対面の人からあったとしても、まず一旦話は聞くと思うんだよね。
全くこれはもう最初からマリシアスだとか、これは詐欺だとかって、
疑うようなケースもあるかもしれないけど、
ただその作り込まれたバックグラウンドがちゃんとあって、
一見して何かリサーチャーっぽいとか開発者っぽいっていう、
ちょっと調べたら多分わかんないじゃない、これって。
そういうツールも公開してる人は、これは普通の人かなみたいな風に思っちゃったとしたら、
一旦は聞くじゃん、話を。
そうそう、やり取りするうちにあれはおかしいなと思うかもしれないけど、
そういうところがちょっといやらしいというか、
僕らだってもし仮にそういうコンタクトがあってさ、
例えば隋さんとかだったらアノニマスの話だとか、
例えばだけど、そういうバックグラウンドがあって、
情報が提供したいとか話したいとかってあったらさ、一旦は聞くじゃん、多分。
全く聞く身もたんってことはないっていうか、
そういうところがうまくついてるなというか、
そういう情報をきちんとシェアしましょうっていうのはある意味文化だから、
そういうところを逆手に取ってるというか、
うまくついてるなという気がして。
こういうソーシャルエンジニアリング系は非常に厄介だよね、防ぎにくい。
そうなんですよ、本当にソーシャルエンジニアリングも結構使えますし、
加えてゼロデーも使われたらもう。
これゼロデーって何だろうね。
続報が多分絶対出るはずなので、
何かしらこういう人たちが普段よく使うようなツールで、
何ですかね。
ダウンロードして実行するとゼロデー使ってってことなんだろうな。
どこでゼロデー使ってるんですかね、これね。
それは詳細に知りたいね。
攻撃の流れもよくわかんないですけど、実行した後どうなるのかとか。
意外ともっと驚愕の攻撃チェーンだったりするのかもしれないですしね。
これね、こんだけ手が込んでるってことはその後のリターンがあるからだろう。
どういうところにそれが広がってるのかが、
全体像が見えないんだよな、こういうのって。
こういうのたびたび見るじゃないですか、セキュリティ研究者だけじゃなくて、
政治的なとか、ジャーナリストみたいなとかで
ピンポイントにある程度ジャンルが絞られた
攻撃キャンペーンみたいなものって見ますよね。
ソーシャルエンジニアリングを使ってるようなやつでね。
こういうのを見ると、タイトルだけさらっと読んだりとかしたら、
そんなん引っかかれへんのちゃうかなって思ってしまう人って結構いるんじゃないかなと思ってて。
自分は大丈夫って?
もうちょっと気を引くような中身を入れてほしいなって結構最近思うんですよね。
例えば、ゼロで使われてとか、
こういう開発のデバッグ用ツールで、
しかも更新もされてて、めっちゃ手込んでるやって読んで初めて思うんですけど、
一番初めにコンタクトしてから、違うところにプラットフォームを移したりすることってよくあるじゃないですか。
その時に、どういう言葉巧みなのかっていうのを出してほしいんですよね。
どういう風にその人は信じたんやろう。
これやったら俺も信じてまうかもなって。
やり取りの手口ってことね。
そこの部分も結構IOCなんじゃないかなっていう。
これ実際にコンタクトされた人とかが投稿してたけどさ、
こんなやり取りしたぜみたいな。
具体的に実際にどういうやり取りで騙されちゃったのかみたいな、そういうのが知りたいってことね。
だってプラットフォームを移すってなんで?って思いません?
別にX上で良くない?みたいな。
XのDMでやり取りしたいと思う?
僕でも結構最初から最後までそういうやり取りで終わる場合ありますよ。仕事のやり取りとかでもたまに。
でも本格的に情報交換しようと思ったらさ、
一応ちゃんとしたエンドツーエンドのプラットフォームに移ろうって思うんじゃない?
このIOCでもワイヤーのアカウントが乗っかってるけどさ、
SignalとかWhatsAppとか、
デフォルトエンドツーエンドのやつに移ろうっていうのは
割と自然な流れな気がする。
機微な情報をやり取りしたいのでって。
そういうことを普段やり取りしてる人ほど移ってしまいそうっていうか。
違和感なくそっちにしようって言われたらそうだねってなりそうじゃない?
そんなことないかな。
情報交換だったら俺も別にツイッターでXでいいかなと思うけど。
コミ行ってくるとみたいな。
移ろうって多分言ってもおかしくないなっていうか。
その辺の切り出し方とかタイミングとかを知りたいなって。
なるほどね。確かにそれは気になるところだよね。
ソーシャルエンジニアリングって効果的なんですね。
セキュリティの研究者でもやられるわけですもんね。
自分は大丈夫って思っちゃいがちって言ったけどさ。
全然そんな自信持って言えないよね。こういうの見ると。
そうですね。できるだけ身元確認みたいなことをしたりはするんですけどね。
でも限界があるじゃん。
あんまり疑いまくるのもあるしね。
この手のやつみたいに作りこまれてたってリンクトインのアカウントなのかなんだろうって結構さ、
作り込んでからクリアするってあるじゃない。
知り合いの知り合いくらい近い人じゃなかったら分かんないよね。
そうですよね。
そういう難しさがあるよな。
そこに一石を投じることができるかなと思ってそこが気になってたんですね。
そんな感じでございます。
ありがとうございます。
はい。
次僕にします。
お願いします。
僕が紹介するのはちょっと前のやつなんですけどやっと読むことができたということで。
結構盛りだくさんなレポートだったんですよ。
2023年版のアクティブアドバーサリーレポートということでソフォスが出しているレポート。
毎年出してるやつかな?
そうですね。今年の上半期分かな。
いろんな読者の対象者を書いて出したりもしてるんですよね。
ビジネスリーダー向けとか今回はテクノロジーリーダー向けというふうに書いてあって。
今度は現場の人向けみたいなものを次回は出すみたいなこと書いてましたけどね。
いいね。
今回はインシデントレスポンスチームですね。
ソフォスのインシデントレスポンスチームXOPSっていうチームが世界各地のいろんなそういうインシデントをピックアップしてですね。
全部で80件。2023年の上半期分の80件のケースから抽出したデータを集計してこうだったというふうなことが書かれてあるんですけど。
結構たくさん書いてあるのでいくつかピックアップして紹介すると。
攻撃の初期アクセス
まず攻撃の初期アクセスについて僕らが一番よく気にするところかなというところなんですけど。
一番多かったのは外部のリモートサービスっていうやつですね。
ついで公衆向けのアプリケーションを悪用するというやつですね。
外に繋がっているというインターネットに直面しているというふうに言えばいいですかね。
その中の70%のケースにおいては有効なアカウントの悪用と外部リモートサービスの悪用っていうのがセットで使われてたと。
これ前にねぎしさん紹介してくれたどっかのレポートで有効なアカウントが悪用されまくってるみたいなやつありましたよね。
それと似たような感じでここでもかなりトップのトップに来ているというふうなところなんですね。
最近ちょっとこれ僕他のところでも公演とかでも時々喋ってるんだけど、
いくつかこういうレポートがちょいちょい見かけて気になってて、
以前よりも正規のアカウントの認証情報が何らか漏れているとか、あるいはデフォートのアカウントが残っているみたいな
割と昔からあるバリットアカウントなんてずっと昔からある手口で侵入されるっていうのが何か多いんだよね。
ちょっと気になるよね。
これで有効なアカウントを悪用されたことによる根本的な原因の半分はどこかから漏れたという情報漏洩が占めてたそうですね。
なるほどね。リモートサービスだから例えばRDPとかVPNとかそういうやつですね。
そういう認証情報が何らか漏れてるっていうことだよね。
そうですね。
その根本的な原因の、前回は脆弱性の悪用が多かったんですけど、今は入れ替わって情報漏洩っていうのがパスワード有効なアカウントを使われる原因になってると。
ちなみに脆弱性の悪用は今回は23%なので、脆弱性を使って盗まれたものが売られててっていうものなのか、スティーラー系のものとかなのか、
そういうことが半分を占めてしまっているってことですね。
その辺の結局何が根本原因なのかっていうところがちょっと見えてないところが怖いところなんだよね。
追いにくいっていうところですもんね、この辺はね。
結局入ってくるときに認証情報使われましたは見えるから分かるんだけど、それは結局どっから漏れてるみたいな。
そうなんですよね。
そこが追えてない感じがするようですね。
そうですね。知っていれば一発で成功してきてるからどっかで漏れたやつか買ったやつなんかなぐらいって推測で留まってしまいますもんね、この辺ってね。
そうですね。
簡単にこういうことが使われてしまいますよって容易にしてしまっている原因としては、やっぱり多要素認証の利用がまだまだ進んでいない部分があって、39%の組織では実施されていませんでしたと。
その39が進んでこんだけになったっていうふうに見るのか、まだまだって見るのかはちょっと人によって違うかもしれないですけど、もうちょっと頑張りたい数字かなってところですよね、40%ぐらいですからね。
外部から直接内部に入ってこれる経路については少なくとももうちょっとやっぱり高くないとダメな気がするよね。
そうですね。しかもこれは組織で使ってるやつですからね、個人じゃないですからね。
そこやられたらもう中入ってきてやばいですみたいなところの入り口はそこはさすがにもう必須にしないとダメじゃないかなっていう感覚はあるよね。
あとデバイス制御とかそういうものとかもやるってところですね。
ランサムウェアの攻撃
で、この多要素認証使ってなくて盗まれた認証情報が使われてますみたいなことによってまだまだ悪用で影響を受けているっていうのがRDPですっていう紹介もありまして。
なるほど。
RDPのことこれ皮肉なんですかね。リモートディザスタープロトコルなんて書いてましたけども。
だいぶ皮肉入ってますね。
だいぶ言うとんなっていうふうに思ったんですけども、このRDPもまだまだ広く悪用されているツールというか経路の一つですというふうにあって。
で、RDPが関与している攻撃はこの今回80件のケースのうちの95%がRDPが何かしらに使われているということで。
去年と比べると、去年は88%で過去最高だったんですけど、今年は95%と過去最高を更新するというぐらい増加しているということで。
で、これはどこで使われているかっていうのを外部か内部かっていうのに分けられてるんですね。
内部っていうのはラテラルムーブメントで使われるようなやつで、外部は直接ポーンとくるようなやつですよね。
はい。
で、内部が93%ということで含まれてるんですね。
両方っていうのも含まれているので、足したら100%超えちゃうんですけど、外部は外部でだけで見ると18%というふうになっているということですね。
これも2022年は外部が86%で外部が22%というようになってたんですけど、内部の使用が増えているというふうなところですね。
なんか意外とこれ前でもどっか別で喋ったかもしれないけどね。
RDPって外部からの侵入経路的なイメージしかひょっとしたらないかもしれないけど、結構内部の横展開とかで使われるケース多いよね。
そうですね。
このRDPが関与しているっていうふうに言われた95%の中のさらに4分の3以上、77%においては内部アクセスと横移動にのみ使われてたっていうことなんで。
内部の外から繋がれてくるっていうランサムの経路とかで結構多かったじゃないですか、一時期。
そういうのがあって、外部にさらさない、インターネットにRDPをむやみやたらにさらさないとか認証をしっかりしましょうっていうのがあったけど、
やっぱ内部の横展開って僕もインシデントレスポンスのレポートとか見ても多いんですよね、中で使われているケースが。
なのでこの中のRDPっていうのは見直す必要が強くあるんじゃないかなっていうのはこのレポートを見て。
必要ないのにあんまり別に開けてても問題ないでしょってちょっと過小評価リスクをしてる可能性があるよね。
ここはちょっと大事なポイントなんじゃないかなと思いました。
なるほど。
で、またここは攻撃の中に入ってきた時のことを調査してるやつなので、攻撃者の滞在時間っていうちょっとあんまりそんなに取り上げられにくいというか。
一時期標的型攻撃、マンティアントとか言い出したのかな?
1年ぐらいずっと侵入して留まっていてみたいな。
攻撃の滞在時間と曜日
ありましたね。
滞在時間がどのくらいかっていうのを調査してたレポートとか。
確かマンティアントが数年前に出して。
標的型が流行ってた頃ですよね、言葉としてね。
結構長い間留まってますよみたいなこと言ってたよね。
あれも見方次第だと思うんですけどね。
情報ずっと盗み続けるんやったら長いこと追った方が攻撃者は僕らからして脅威になるし、ランサムみたいにサッと去っていくようなやつだったら短くなるしっていうのがあるかなと思うんで。
そうだよね。早い方が対策できずにいいもんね。
こちらに関しては21年から22年、そして今年にかけてどんどん短くなっていってるということで。
例えば中央値だけ見ると2022年は10日だったんですけど8日に減少していると。
もちろん最大値とかすごい長いのとかもあるんですけど、最大値にしても平均にしても全部減少しているというふうなことになってて。
平均に関しては38日ぐらいだったのが今は18日程度に減少している感じになってますね。
これは理由は何でかっていうのも書いてあって、理由はランサムのギャングだと。
ランサムウェアのインシデントっていうのは滞在時間が短くてどんどんどんどん短くなってるんですって。
中央値が9日から5日に減ってるっていうのがあって、この辺が全体を下げてるっていう感じになっていて、
それ以外の攻撃、ランサム以外の攻撃にフォーカスすると11日から13日とわずかに上昇っていう感じなんですよね。
ランサムの攻撃者っていうのはマニュアルだとか手順だとかツールだとかっていうのが整って、
どんどんどんどん速度を速めてきているのかなっていうふうな感じはしますね。
なるほど。
そんな攻撃者の過ごし方みたいなことに触れられていて、滞在時間に加えて。
過ごし方というふうに訳すのがよくないかもしれないですけど。
なんか優雅に時間を過ごすみたいな。
なんかバカンスみたいなノリで抱えてますけど大丈夫ですか?
そうですね。よかはプールサイドでみたいな感じ。
そういうんじゃないですか。何て言えばいいのかな。
活動してる時間だとか曜日だとかっていう話ですね。
はいはいはい。
で、攻撃のこれ全体的に見てもランサムで見てもあんまり変わらなくて、
61%で週の半ばに集中してるらしいんですよね、攻撃が。
半ばっていうのは水曜日とかその辺の平日と言えばいいんですかね。
ランサムも62%とあまり変わらない感じになってます。
ただそのランサムの攻撃者は金曜日に顕著な増え方をするらしくて。
なるほど。
攻撃の43%は金曜土曜に開始っていう。
ほとんど金曜日が締めてるんですけどね。
さらにこの時間帯、曜日だけじゃなくて時間帯に絞ってみると、
週の終わりの遅い時間帯が多いと。
例えばこの中で言われた52件の攻撃を分析してるんですけど、
平日の8時から午後の18時ですね。
18時までの間に発生している攻撃はわずか5件と。
そのうちの3件は8時から9時になってるんで、
それ以外は営業時間外。
8割以上は営業時間外、そして週末っていうとこに入ってくると。
いう風に書いてあってですね。
これも僕以前からめっちゃ気になってたことがあったんで、
これと照らし合わせてみたいなと思って。
今までちまちま貯めてきたランサムの業種とか国とか出してたじゃないですか。
これ僕実は曜日もちゃんと取ってたんですよ。
曜日を集計し直しまして、
13グループ、13ギャングですかね。
今見てる活動中のグループがいるんですけど、
それを全部どの曜日に活動してたかって言って色付けしたりとかしてみたんですよ。
そうしたら各ギャングで若干のズレはあったりするんですけど、
日曜日が最も少ないリーク数が。
今言ってるついさの活動日っていうのはリークが公開された日ってことね。
そうです。リークを公開した日。
僕はログ取ってそのログからこの曜日に確認されてるっていうのをメモってるやつですね。
日曜日がいっちゃん少なくてついで土曜日、月曜日なんですよ。
13ギャング中、土曜日か日曜日のいずれかに最も少ないリーク数になっているものは9つのギャングなんですね。
全部合計しても日曜日が一番少なくて、その次に土曜日、月曜日という風な感じになっていると。
これ僕、2本時間なんですね。
なので彼らが一番活動しているタイミングちょっとズレになるんで、
土曜日と日曜日って月曜日の最初の方にかけてリーク少ないなってずっと思ってたんですよ。
活動してる時間から比べるとリークしてる暇があんまないんやなっていうので結構一致するんちゃうかなっていう風に思って、
ちょっと負に落ちたというお話でございますね。
なるほど。仮説としてその期間は攻撃に勤しんでいるからリークしてる暇はないと。
それはでも正しいかどうかちょっと怪しいな。
僕あれなんですけど土日休んでるのかなって思ってたんですけど、逆に攻撃してるからなのかなとかね。
ただリークしている主体と攻撃している主体が必ずしも同じとは限らないので、
もちろんもちろん。
一つの仮説としては成り立つと思うけど、ちょっと検証する術がそんなにパッとないので、ちょっと難しいかもしれないね。
強迫するやり取りとかリークの作業をする人とその実際の攻撃者が別の場合だったらこれをやらないといけないので。
ただラースの仕組みとかを見てたりするとそのチャットとかも使えますよみたいなことをやっていて、
アフィリエイトイコール強迫者っていうケースもあんのかなとかって思ってみたりもしてたんですけどね。
ちょっと図で合わせてみると、数字で合わせてみるとちょっとなんとなくそんな感じかなっていう気がしたという。
いずれにせよ両方ともちょっと若干偏っているっていうことですね。
そうですね。はい、ということは非常になんかちょっと興味深くて、ちょっと負に落ちつつも、
今ネギさんおっしゃったみたいなツッコミどころは残るかなと思いましたけどね。
ただあれだよね、その実際の事例とかで僕らが目にするものを見ても、
割とその金曜の夜とか週末にかけて感染させて対応が追いつかないところを狙ってるというか、
そういうのは前からありましたよ確かにね、目立ってたというかね。
この日リークが少ないのもっと浮かしすぎた見方をすると、
リークするにしてもみんなが動いてる平日の方がいいかもって思ってるだけかもしれないですけどね。
なんとなくね。もしかしたらそっちの方の理由の方が目立つというか、分かりやすいからそっちの方がね。
その辺はちょっとわかんないですけど、なかなか興味深いなと思って紹介させていただきました。
他にもパッチリリースの期間の話とか、
あとはよく使われる内部で使われるような発見される攻撃ツールとか、
あとはLOLビンって言えばいいですかね。ロルビンって言えばいいんですかね。
その現地調達系のやつですよね。
そういったものの話とかも結構いっぱい盛りだくさんで載ってるので、
ぜひ読んでいただければいいんじゃないかなと思いましたということでございます。
こういうレポートってすごく各ベンダーが頑張ってくれて、
網羅的というか幅広い内容を書いてくれてるけど、
別に全部読むのは正直僕らでも大変だけど、
そのうちに今言ったような、ついさんが特に自分的に気になるポイントみたいなところだけでも
ピックアップして読んでみるとすごく参考になるよね。
記事の最初の方に要約みたいなのも載ってるんで、
気になったところだけつまんでみるっていうのもいいかなと。
あとは余裕があればみたいな。
ここで言ってる内容をもっと詳しく知りたいと思うところがあれば、
そこだけ読んでもいいしね。
それでも全然問題ないと思いますね。
攻撃側は頑張ってるなっていうか、
さっきの滞在時間がどんどん短くなってるランサムとかでとか、
さっきのよくわかんないけど認証情報を覚えてるのが結構使われてるとかさ、
ちょっと若干聞いてると防御側にとってちょっと不利な感じのデータだなというか、
攻撃側がいろいろ頑張ってるからこそ変わってるんだと思うんだけど、
今まで使えた手法が使えなくなったからこっちでシフトしたみたいな、
そういう変化がね、こういうのに現れてるから、
必ずしも別に負けてるわけじゃないんだけど、
ただこういうのは見てどんどん対応していかなきゃいけないなというか。
全体通して見てると、大体予想通りのことが書かれてあることもまあまあ多いなとは思うんですけど、
ネギスさんのこの間紹介した有効なアカウントのやつとか、
今回の有効なアカウントでも理由の半分が漏洩になってきてるとか、
ちょっと詳細な部分に変化がやっぱり見えてきてるなっていうのがあるので、
その辺気にしていきたいなと思いましたね。
そうだね。
その背景には何があるのかとかさ、
何をその根本原因、何を対処すればこれが減っていくんだろうかとかね、
やっぱり遡って考えていかないといけないよね。
あとはそこにできるだけ見落としがないようにしたいなって思いましたね。
はい、なるほど。
はい、ということでございます。
ありがとうございます。
はい、ということで最後はネギスさんですね。お願いします。
パスワードの利用実態調査
はい、じゃあ最後私からですけども、
あらかじめ言っとくと、特に今日そんなに目新しい話をするわけじゃないんだけど、
だけど変わってないよっていうことが大事なことも結構あるんで、
またその話かよって思うかもしれませんけど、そんな話を今日したいんですけども、
何かというとですね、トレンドマイクロさんが毎年やっている
パスワードの利用実態調査というのの2023年版が
8月31日に公開されてたので、
その内容を少し抜粋して紹介したいなと思ってるんですけど、
ずいぶん前からやってるやつですね。2013年とかそれぐらいからちゃいます?
僕14年には見た記憶あるもん。
毎年そんなに内容は変わってないので、
そこまで目立ってないというか取り上げられてる機会はないと思うんだけど、
でもちょっと今年もそういうのが出てたので紹介したいんですけど、
一番その大事なポイントというか、
パスワードの使い回しをどれくらいしてるかというのが
一番大きなポイントとして出てるんだけども、
今回対象になっている12歳以上、日本国内に住んでいる12歳以上の
1030人の人にウェブ経由でアンケートを取りましたということなんだけど、
使い回しについて聞いたところ、
一種類のパスワードだけで全部使ってますっていう真の勇者が一部いまして、
勇者なんですかそれって?
すごくないだっけ?
勇気と無謀は違いますからね
一種類で全部使ってると本当にって思うけど、
ちょっとそういう無謀な勇者が13.5%もいるっていう、
これはビックリなんだけど、
逆になんか難しい気がしますね
難しいよね、すごいよね
なんかこうチキンレースでもしてんのかなっていう気もしなくもないですね
そういうお気に入りのパスワードを全部で使ってますみたいな人が一部いるだけじゃなくて、
あとそれ以外に2,3種類とか4,5種類とか6種類以上だけど使い回してますみたいな、
そういうのも全部加えるとなんと全体の84%になってしまって、
逆に言うとその残り16%の人だけが全部バラバラのパスワードを使っていて、
使い回しはしていませんと
我々ですね
答えて、だから我々みたいな人はすごく
少数派
少数派であると
まだまだ
8割超えてるのかっていうのはちょっとね、
分かってはいたけどがっかりっていう感じもするんだけど、
1個だけだとあれなんで、一応似たような調査をしてるやつを確認してみたんだけど、
IPAが毎年やってる情報セキュリティ対策位置記調査っていうのがあって、
ありますね
こちらも毎年公開してるんだけども、
これもちょっと2022年版ってやつ、今年出たやつをちょっと見てみたら、
こっちのほうが規模は大きくて、13歳以上の1万人に調査を、
同じようにレブで調査してるんだけど、
質問項目もいっぱいあるんだけど、その中でパスワードの使い回しだけ取り上げてみると、
こっちはPC使ってる人とスマートフォンを使ってる人で分けてるので、
若干ばらつきがあるんだけど、
でもだいたい4割から5割ぐらいの人が使い回しをしてるって答えてるのね。
ただこっちはさっき言った1種類とか2種類とかそういう数は回答してないので、
若干その質問の仕方に違いがあるから、
一概に同じ結果とか言えないんだけど、
ただ少なくともこっちの調査で4、5割、規模が大きい調査で4、5割、
トレンドマイクの調査でも8割ぐらいっていう、
いずれにせよあんまり良い結果ではないと。
8割ほどひどくはないんじゃないかと思いたいけど、
下手したらそれぐらいの人が、それがもしかしたら実態に近いかもしれないと。
話戻すと、じゃあなんでこんな使い回しをしてるのかっていう理由も聞いてるんだけど、
一番多い理由が、違うやつでしたら忘れちゃうからっていうのが、
ずっと多そうな理由。
これがダントツ多くて72%になってて、
次に多いのが5割ぐらいで、面倒だからっていう。
総壁って感じですよね。
忘れちゃうし面倒だからって、この2つが本当に最も多い理由になってて、
これってずっと昔から多分そうだろうなって。
多分パスワードってのは生まれてからずっと変わってないんじゃないかなっていう感じなんだよね。
逆に言うと、僕らみたいに覚えらんないけど、
使い回しはダメだからって言って、
パスワードマネージャーみたいなツールに覚えさせてるっていうようなのは、
非常に少ない、めちゃくちゃ少数派ってことなんだよね。
ということがこの結果から分かりました。
ただ一方で、自分の個人情報とかパスワードとかIDとかっていうのが流出しちゃうっていうことに対する不安っていうのは、
およそ9割の人が不安だって答えてるらしいのね。
なんか相反するような感じもしますね。
そのうち実際に被害に遭ったって答えてる人が2割ぐらいいるんだって。
何らかの被害者になってるっていう人が2割ってかなりの数いるんだけど、
被害にもあっているし、不安だと思っているにもかかわらず、
そのパスワードの使い回しっていう観点については、
あまりそのリスクを高く見積もってないんじゃないかなというか、
使い回しの理由と対応
漏洩リスクみたいなものをあんまり考慮してないってことかな。
それが漏洩につながる可能性あるよっていうことが、
あまりピンときてない人が実はこんなに言われててもまだ多いんじゃないかって思ったんだけど、
というのは、じゃあその実際に被害に遭ったその2割の人に、
さらに何を被害に遭った後どうしましたかっていうことを聞いてみたら、
被害に遭ったアカウントのパスワードだけを変更しましたっていう回答が最も多くなってて、
43%の人は、被害に遭ったからそれについて何とかしようってのは普通なんだけど、
でもさっき8割の人がパスワードを使い回しをしてるって言ってるんだから、
なのにも関わらず、他の被害に遭ったものと同じようなパスワードを使っているところで対応したっていう人が少ないわけ。
すごく少ないわけ。
考えると、そこから漏洩したものが他でも使われる可能性とか危険性っていうのが、
あまり認識されてないんじゃないかなという、この後に及んでという感じはするけど、
まあまあまあそうですけどね。
いわゆるリスト型攻撃とかって言われるようなさ、使い回しを狙うような攻撃って、
2010年ぐらい前からずっと言われていて、もはや定番の攻撃といっても、
最近ではあまり話題にさえ登らないぐらいの感じに。
確かニュースとかでもそんなに言わなくなりましたもんね。
そうだよね。以前ほどあんまり取り上げられないかなって気はするけども、
相変わらず国内に限らずあるにはあると思うんだよね。
ただその割には、ここまで定着した攻撃ショートで定着した割には、
このアンケートの回答を見ると、
危険性に対する認識があまり進んでないような気が若干するというか、
何か過小評価されているのかなという気が少しするというかね。
何かちょっと矛盾するなってさっき回答結果からすると、
危険だと思っている割には、何でちゃんとやらないのかなっていう、
そんなふうにも見えるので、ちょっとそこがまだまだギャップがあるなというふうに感じました。
あと、このアンケート調査自体はこういうふうな結果でしたというので終わっていて、
それ以上のことは言ってないんだけど、
結局でもさっき言ったみたいな理由として忘れちゃうからとか、
面倒作るのが面倒だからっていうよくある理由を解消するには、
本当にそれこそだから機械に作らせて覚えさせる以外にはないわけじゃない。
ないしは、時々ポートキャスターも取り上げているけれども、
パスキーみたいなパスワードを使わなくてもいいような手法に移っていく以外ないわけだよね。
だけど、現実問題、例えばパスワードはランダムなものにして、
全部機械に覚えさせて使い回しは一切なくそうみたいな、
僕ら専門家みたいな人がみんな使っているようなパスワードマネージャーを使いましょうって言っても、
まだまだまだ敷居が高くて使われてないっていう状況とか、
さっき言ったパスキーみたいなのも、これから多分主流になっていくと思うけど、
まだまだ普及しているとはとても言い難い道半ばっていう感じで、
そもそもウェブサイト側が対応してないところがまだほとんどなので、
そういう現状ではパスワードレスにしましょうなんて掛け声で掛けてもダメじゃん。
そう考えたら、この状況そんなに急に変わらないのどうするって言ったら、どうしたらいいのっていう。
被害に対する認識と対策
結局ここ数年ずっと変わってないなって、変わってないなっていうのを今日言いたくて、
皆さん変わってないんですよっていう。
これ温度差があるような気もするんですよね。
どことどこで?
注意喚起する側と被害に遭う側が。
そうなんだよね。
面倒くさいとかっていうのもあるんですけど、
これ何されたんですかみたいな被害の内容とかも書いてあったじゃないですか、このレポートに。
クレジットカードの不正利用とか情報流出しても、
クレジットカードの不正利用って馬鹿みたいな金額じゃなければ補填されるじゃないですか。
攻撃している側だけが儲かるわけですよね。
決済が止められなかったら。
被害者は、金正的な被害は被らないよね。
カード再発行とかはあるかもしれないけど。
そういうちょっと面倒くさいことはあるかもしれないですけど、
ウェブとSNSのセキュリティリスク
あとはこのウェブから自分の情報を見られたとか、SNSのアカウントを乗っ取られて、
今は何されるのか知りませんけど、レイバンとかつぶやかれたり、
DMでどっかに何か送られたりとかね。
そういったものもありますけど、
そういうのあっても別にSNSそんな力入れてやってるわけちゃうし、
アカウント決してまた作るかぐらいで済むこととかさ。
個人単位で見たらそんなに被害大したことないんじゃないのってことね。
そうなんです。それよりもいっぱいあるIDパスワードをバラバラにすることの方が面倒くさい。
買ってしまうっていうことなんじゃないかなっていう。
確かに確かに。そこを転秘にかけると、
その面倒くささを上回るほどの被害じゃないでしょっていう。
そうなんですよ。
なるほどなるほど。
お金補填っていうところが一番。
お金が一番ダメージ、一番嫌なダメージだと思うんですよ。多くの人にとって。
ツイッターカウントとかやったらすごく育ててきたアカウントとかやったりとか、
インフルエンサーの方とかだったらそれは資格問題になる方もいるんで、
支出するとは思うんですけど、そうじゃない人にとってはお金が補填されるってことだけで、
これ全部自分で払わなあかんってなったら、
もうちょっと進むかなっていう気がしますけどね。
無知かもしんないですけどこれはアメじゃなくて。
被害にあった時のその影響度合いっていうのは、
金銭であれば客観的にいくらって言えるからわかりやすいけど、
それ以外の個人的な情報が漏えいしましたとかっていうのも、
すごくプライバシーに関わる情報なのかそうでないのかとか、
あるいはその人によってさあそれって多分その主観的にだいぶ変わるじゃない。
ああ確かにそうですね人によるっていうところですね。
そうそう同じような被害にあっても受けた人によってだいぶ重みが違うっていうか、
単に金額に置き換えられない部分ってあるじゃない。
ありますね。
仮にだけど僕ら専門側が仮に乗っ取られて、
なんか不要意な投稿とかしちゃったらさ結構CEO問題に関わるじゃない。
確かに。
というのと、ちょっとまあ言い方は悪いけど、
匿名のアカウントが例えば乗っ取られたっていうのを考えたらさ、
全然重みが違うじゃない。
まあ違いますね。
例えばだからそういう意味で捉える側が多分ちょっと違うっていうのは、
まあそれ一つあるかもしれない。
それが今言った杉さんが言ってた温度感の違いにつながってるかもしれないね。
はいそうなんですよ。
あまり訴求できてないというかね。
僕らにしてみれば、
言う側っていう立場で言うとすると、
こういうのはダメですよって注意喚起する側からすると、
なんでこんな当たり前のことがそんなに伝わらないんだろうって思っちゃいがちだけど、
受け取る側からするとそうでもないんだよっていうことを、
こんだけ変わらないっていうのを見るとなんかそう感じちゃうよね。
いくらこれだから危ないです危ないですって言っても多分変わらないよねこれはね。
そうだから使い回しもやめた方がいいって言ってもこれはこの状況じゃないですか。
じゃあニオゾ認証やれなのなんだのって、ニオゾ認証すりゃ済むやんっていう専門家の人もいるかもしれないですけど、
それすら多分響かないと僕は思ってるんですよね。
そうだよね。その辺の伝える側と受け取るか伝えられる側の温度差っていうか、
でもその人によってはすごくそれで大きな被害をこう思ったり、
います。そういう人もいますよね。
そういう不幸な人を増やしたくないわけじゃない?
もちろんもちろん。
じゃない?だからそういう人にも届けたいわけだけど、
そういう人に届いてない可能性もあるわけで、
かといって一人一人にリーチするわけにはいかないので、
どうやって多数の人に届ければいいかっていうか。
そうですね。なかなかちょっとこれはもう言い続けてはいるしって思ってて、
LINE乗っ取りが増えた頃にチャンスやと思いましたけどね。
そういうことを知ってもらうための。
そうだね。そんな話してたよね。
そうそう。それでもなーっていうのがあって、
このレポートって結構昔、僕これ紹介したことがあって、セミナーとかで。
それちょっと引っ張り出してきたんですけど、話聞きながら。
同じようなやつで、聞いてる数は若干違ったりするんですけど、
総数ですね。Lの数が違ったりするんですけど、
2014年って僕さっき言ったじゃないですか、これ2013年ぐらいやってなかったっけって言ったと思うんですけど、
2014年は、さっき言った6つ以上のパスワードとか全部含めた使い回しの何かしらの何種類かのっていう風なやつが、
2014年は93.1%なんですよ。
もっとひどかったんだね。
この年がLINEの乗っ取りが多かった、いわゆるパスワードの注意喚起をする当たり年になるんじゃないかと思った時なんですよね、これが。
そっから2017年になったら、同じ項目が85.2%なんですよ。
ちょっとだけ良くなったと。
そっから5年、6年経って83.8%なんで、これ頭打ちちゃうかっていう感じがするんですよね。
もう減ってるとは言っても微妙すぎて。
この年数だけで93から85に3年かけて減ったのを見ていったら、もっと減ってないとダメじゃないですか、ペースで言ったら。
これはもう来年も再来年もこうなんじゃないかなっていう風に考えてしまいますよね。
さっき言ったように、根本的にパスワードに対する問題であればそれをなくすのが根本的な解決なんで、最終的にはそれで解決すると思うんだけど、
それまでにはかなり時間がかかりそうだから、それまでの過渡期においてまだ被害を受ける人が増えるのが、
仮にその一人一人の被害の状況は警備で済むという場合がひょっとしたら多いかもしれないけど、それにしたって別に被害はやっぱり被害なわけで、
もうちょっとそれに対する響くような伝え方とか対策とかっていうのは出てこないとちょっとねっていう。
これなんかアンケートの項目にもともと含まれてるのか、含まれててここに書かれてないのかわかんないですが、フリーハンド的なところで、もし聞けるんやったら聞いてみたいなとかって思ったのは、
パスワードの使い回しと被害の程度
被害に遭った人にそれでも何で使い回すんですかって聞いてみたいですね。
大したことなかったからみたいな理由かもしれないもんね。
そうそうそうそう。別に別に言ったことも書いたこともなかったんで、別に意思はかもしれないですし、
お金は補填されたから別にいいかなと思ってますぐらいの感じなんだったら、もう打つ手がほぼないと思うんですよ。
確かにね。だってね、それを裏付ける結果として一つあるのが、被害に遭った後、さっきその被害に遭ったアカウントのパスワードだけ変えましたっていうのがダントツだったって言ったけども、
数は少ないんだけど、何もしていませんって答えてる人が13%いるんだよね。
すごいですね。無敵じゃないですか。
無敵だよね。だから結局その被害に遭ったけど大したことなかったって多分おそらくだけど、思ってそのまま使い続けてる人が一定数いるっていう。
なるほど。
だからこの辺にちょっと何か根の深さというか問題のね、さっきの温度感の違いっていうのが現れてる気がするよね。
あー確かに。
なんかほら、僕らの感覚だったらありえないじゃん。
そうですね。
何もしないってさ。
なんかハニーポッドぐらいな。
何もしないことに意味があるものですよね、ハニーポッドはね。
感覚にだいぶズレがあるよね、そこにね。
あとあれですね。これ使い回ししてますか?だけの質問だと思うんですよね。
やっぱり優先順位つけて全部使い回すなっていうのはなかなか難しいから、大事なもんから始めませんか?みたいな話をすることがあるんですけど。
よくあるよね。
そうそう。例えばお金に関係するB2CのAmazonとか楽天とかああいったサイトとか、あと銀行ですよね。
人によったらSNSっていうのは非常に大事だったりする場合もあるので、そういったもので、そういったものでも使い回しをしてるのかって聞いてほしいな、これ。
さっきの話だと、もし実論、直接大きな金銭的被害に及ぶようなところで、でもそこでももし使い回しをしてるんだったら、ちょっとその感覚がどうなってるのか聞いてみたいよね。
リスク判断と対策の響き
今言ったやつ同士で使い回しをしてますかっていう質問があると思うといいかなと思いましたね。
人によるリスクの判断の違いっていうのが、問題の鍵を握ってるところはあるかもしれないよね。
記事の続きを読むとかも含めると使い回しって増えると思うんで、もうちょっと絞ってみると別の数字が見えてほしいなとは思いますよね。
確かに。
ありがとうございます。
はい。
はい、ということで今日もセキュリティのお話を3つしてきたんで、最後にオススメのあれなんですけれども、
今日音楽、前回ハンガーでしたけども、皆さん知ってますかな?宇多田ヒカルさんって知ってます?
おー知ってます。
もしかしたら世代間ギャップとかで知らない人ももしかしているかもしれないですけど。
まあ確かにね。
一応現役で全然活躍されてますし、先月、あ、もう先々月か、7月の末に新曲出したんですよね。
ゴールドっていう曲を出して、僕もリリースされた日にすぐ聴いたんですけど、やっぱめちゃくちゃ良くてですね、
やっぱなんていうのかな、この人すごい単調なリズムやろに真似できへん歌い方支配るっていうか。
あーわかる、なんかそれ。
なんかね、簡単なリズムやなと思って歌ったら全然スカスカになるみたいな感じの。難しいんですよ、この人の歌って。
最初にオートマティックっていう曲でデビューされてね、いつやったっけ、1999年とかあの辺の頃でしょ、2000年とか。
あれ、10代の若い時に出したんだよ、確かにね。
そうそうそうそう。
衝撃だったよね、あれ。
衝撃でしたよ。それでそっから来て、どんどん独特の切なさみたいな感じの表現も良くなってきて、どんどん良くなってるなっていう。
このゴールドもね、めちゃめちゃ難しい歌やなって思いながら聴いたんですけど、良かったですね。
あとは、僕好きにやったらだいぶ古いですけど、トラベリングとかすごく好きで。
あーいいね、乗り換え曲だね、あれは。
なんかね、タクシー捕まる乗り込むみたいな。そんな歌詞にすんの?みたいな感じのね、あったりとか。
あとは、僕エヴァンゲリオンが好きなんで、ビューティフルワールドとか。
あと桜流しでしたっけ?桜なんとかなりましたよね、それとか。
あとは、あなたですね。あなたも良いですね。これも結構新しめのやつで、映画の取材歌に使われてるんですけど。
結構聴いてるんだね。
結構僕、ただヒカルは結構聴いてて、やっぱりオートマティックでは衝撃でしたもんね、初めて聴いた時も。
日本でこんな感じの歌がしかも出て売れるんや、みたいな感じで。
これはあれらしいっすよ、小室哲也さんがこれめちゃくちゃ衝撃受けたっていうインタビューが僕すごい好きで。
あーそうなんだ。
これを聴いて、もう俺はアカンって思ったんですって。
それぐらいの衝撃が?
これで、これにとどめを刺されたぐらいの感じに思ったっていうインタビューが昔。
インタビューやったかな?テレビ番組の会話やったかちょっと忘れましたけど。
最後に歌詞を全部読み返しても、未だに何がオートマティックなんかは分からんって言ってましたね。
確かに。
そうなんですよ、あれ未だに何が自動化されたことなのかよく分からんっていうのが。
確かに。
そういうところまで見る小室さんはすごいなって思いましたけどね。
才能ある人はそういうのを見ると感じるんかね、感じ方が違うんかね。
そうでしょうね。
歌の歌い方のこととかに関しても言ってはりましたよ。
こんな低いところのラインで歌い続けて最後までそれでいくんかみたいな。
だから自分の発想にはないものだったんでしょうね。
なるほどね。
話題の楽曲
なので新曲もちょっと前に出たということで、いろんな曲を聴いていただければいいんじゃないかなというふうに思って紹介させていただきました。
はい。
ということでまた次回のお楽しみです。バイバイ。
バイバイ。
01:02:43

コメント

スクロール