00:03
いやこれあんまり細かい情報出てないんだけどさ。 2ヶ月くらい前にMSP経由で感染したってやつちょっと面白いなと思って。
MSP経由? 最近よく言われるやつですね。
紹介したいなと思って。 最近よく言われる?
MSP経由とか、よくサプライ、支援的な。
あー、ちょっとちょっとちょっと! それは本編で。
本編? 始まってますよ!
始まってます? マジですか?
始まってますよ! もう30秒撮ってますよ!
始まってくださいよ! またこれかーみたいな。
いやそうそう。
なんかあるんでしょ? 標的型。
さっきの標的型アナウンサーも 今ノルスクハイドルの事例、ロッカー5番のやつと
ジョージア州のリュウクの話しましたけど、 実はもう一個あって。
ちょっとこれいやらしいなーと思ったんだけど。
詳しい情報、まだあんまり公式な情報出てないんだけど、
今年の2月にマネージドサービスプロバイダーの MSPのネットワークを経由して
複数の顧客で大量にガンクラに感染したという 事例報告があったんですよ。
これちょっと怖いなーと思って。 詳しくは記事とか見てもらえればいいんだけど、
コネクトワイズっていうITの運用カネとかで 使われている製品、あれの製品と
あとこれCASIAっていうのかな? ちゃんと使ったことないのかわからないんだけど
CASIAのVSAっていうこれもリモートの端末の 管理をする製品群があって、
それらを連携する仕組みっていうのがあって、 シンクする機能っていうのがあるんだけど、
これに脆弱性があったんだよね。 脆弱性自体は2年前に見つかって、
CV番号も発行されているんだけど、 実は当時は全く注目されてなくて、
それが2年経って突然今年、攻撃に使われて ちょっと注目されたんだけど、
その脆弱性を使って、 なんだかこの形でMSPのネットワークから、
その脆弱性を使ってCASIAっていう リモートの端末を制御している仕組みに
SQLインジェクションが2位のSQL分が 発行できるっていう脆弱性があって、
それを使ってCASIAのツールで管理されている 1500台から2000台っていう報告があるんだけど、
その端末に一斉にガンクラに完成させたと。 さっきアクティブディレクトリーを使って
それと配信手段が変わって、マネージドサービスプロバイダーが
お客様向けの、中小企業向けなんだと思うんだけど、 管理を提供しているときに各端末に入れる
03:07
ネットポイントのセキュリティの製品を使って ランサムウェアに完成させたっていう事例が
アメリカで報告されていて。
さっきのADがMSPに当たるってことですね。
MSP自体からの発表はなくて、どこかも分かってないんだけども、
そこで被害を受けたところが、掲示板とかに 被害報告をちょっと出してて、どうもたしからしいねと。
JDMETとかも取り上げてるんだけど、これはすごくやらしいなと思って
MSPってさ、特にセキュリティ製品に限らないけど、 今回の場合はセキュリティの製品とかなんで
セキュリティの製品を高めるために入れてるやつが、逆に穴になっちゃってる。
前にAPT10、メニューパスでもイギリスの方で報告があったクラウドホッパーってやつ。
あれMSP経由っていうのは一緒に言われなかったじゃない。
ああいうのの応用系で、ランサムウェア完成っていう。
ただしこれを明確にターゲットとかって言うとちょっと微妙で、
ガンクラってさ、標的型として使うことを想定してないので
組織単位で共通の鍵でまとめて交渉してお金を取るみたいなことはなくて
一個一個に感染して個別に感染して一個一個からお金を取るっていうタイプなんで
単純に大量に感染させる手段として使っただけかもしれないんだけど
そこでMSP使ってる製品の脆弱性を利用して大量感染。
これ報告が本当だったら数千台っていう規模で感染したかもしれなくて
ちょっとこの事例は嫌だなと思って。
そこが狙われるみたいなこと最近よく言われますよね。
そうなんだよね。
そういう信頼できる経路というかパスを使って逆に不正なものを送り込んでくるって
IP制御してもそこは通しますからね。
穴になっちゃうじゃない。
今言ったパターンで言うと標的型もMSPから来るっていう可能性は大いにありますよね。
どっちもあり得る。
両方やってるのかもしれないですけどね。
同じ広域主体が。
それはあり得るね。
だって結構スキルいるでしょ。
メールでビャーってやれば無理じゃないですか。
前にそういう事例もちょっとあったんだけど
もしかしたら情報を取った後に最後お金が欲しいがないし
攪乱する意味でランサムっていうのを使ってるかもしれないんだよね。
そこ分かんないんだよね。
それをどうしたらいいんですかね。
マネー、え?
06:00
ドエーって初めて聞いた。
どうしたらいいか。誰が?
MSP入ってるお客さん。
守りようなくないですか。
MSPがそういう脆弱性対策をしっかりやってくれているかどうかを見極めないといけなくて
厳しくない?
クラウドとかだったらこういうふうにバックアップしてとかっていう基準みたいなやつあるじゃないですか。
MSPってあるんですか。
ないんじゃないかな。
だいたいそういうの出てくるとクラウド業者を選定するための基準みたいなものが出てくるじゃないですか。
MSPとしての基準みたいなのってないんじゃない。
だから個別に契約前にお客さんこういうことやってますかっていうのを確認するとかね。
例えばPCI DSSに準拠的なやつはあると思うんだけど、結構厳しいよね。
まさかそのMSPが自分たちが扱っているそういうところの裏側っていうか
そこが狙われるとは多分想定してなかったと思うんだよね。
これは僕らもどっちかというとサービスを提供する側でもあるから
ちょっと気をつけないかなと思って。
そうですよね。他人に厳しく自分に甘くじゃないですけど
自分の出しているものが穴あったとしたらそれで迷惑かけちゃうわけですからね。
自分のところ経緯でお客さんの被害とかね。
ちょっと笑えないです。
笑えないですよね。
ランサムじゃない話としては実際国内でも資産管理のソフトとかを
リリースする動きってあるわけじゃないですか。
やっぱランサムウェアとかともそういう組み合わせを考えると
すごい親和性が高いわけですよね。
だからあれですよね。満身しちゃダメってことですかね。ユーザーが。
入ってるから絶対安全だっていうので。
どうしとけば防げるのって話。
ただあれですよね。要はランサムウェアに感染したときのことを考えておくっていう。
ランサムに関してはそうね。
そういう話ですよね。
危機経路とかやっぱりリスク考えるときってどういう経路でどういう脅威を想定してとかっていう部分がやっぱり肝でない。
それが漏れてるともうそもそも対策漏れてるから。
そうですね。
そういうときにMSP経由はそもそもOKみたいな感じになっちゃうとやばいかもねっていうことよね。
どうすれば防げるってちょっと答えにはなってないけどね。
そうですね。ちょっと防ぐ方法をユーザーサイドで考えるってちょっとあんまり現実的ではないですよね。
難儀ですね。
たまたま使われた今回の個別の贅沢性も、それ自体は2年前から知られていたものであって、基地のものだったんだけど、
悪用の事例とかがあんまり報告がないんで、もしかしたらみんな過小評価してた可能性はあるっちゃあるんだよな。
この罠くらい思い出すような。
そうだね。そういうときに来るんだよね。
09:03
本当にそういう教訓あるなと思って。
それをちょっと紹介したかったなと思って。
贅沢性情報としては既に管理されていたっていう話ではあるんですよね。
そうだね。
そこの贅沢性情報に係るコミュニケーション不足が一つの要因ではあったってことなんですかね。
それはあるかもしれないね。ちゃんとそこを確認しておけば。
全く未知の脆弱性を使われちゃうとそこは厳しいんですけど、
また違う話だけどね。
今回は少なくとも2年前には明らかになっていたので、全く手が打てなかったかっていうと、
結果論ではあるんですけど、やろうと思えばできてたっていう話ではあるってことで、
そこはもしかしたら改善のポイントにはなるかもしれないってことだよね。
見逃してたか、見逃してなくてもリスクの見積もりがわかったか。
そういうところですよね。
そこは改善の余地があるよね。
ますます事故前提で動かないといけない。
そうですね。
そういう既存の信頼できそうな経由があるっていうのは、
ちょっと盲点になりがちなんでね、気をつけないといけないなと。
どんどん端末、一台一台の防御機能っていうのはどんどん高まっていって、
それこそ共通的に使われているようなソフトウェアでの脆弱性って、
あんまりWindowsのOSも昔と比べればだいぶ強くなってきた。
ポツポツは出ますけど、昔みたいに年に何回っていうレベルでは出てこなくなってきていて、
代わりにそういうところが目をつけられやすくなってきてるっていうのは傾向としてあるのかもしれないですけどね。
そうかもね。
できることが減ってきたからじゃないですかね。
当然そうなんですよね。
2008年ぐらいまで一緒だったので、アウトブレイクしましたみたいな。
当然攻撃する側も戦術変えてくるかもね。
僕は直接触ったことがないかわからないですけど、EDRってあるじゃないですか。
エンドポイントディテクションアンドレスポンス。
そうそう、あるじゃないですか。
今はちょっと流行ってますね。
そう、アンチウイルスだけじゃみたいな。出てきてると思うんですけど、
ああいうのって今みたいなものが入ってきて、アップデートするとか資産管理みたいなやつから経由でプッシュで何か送り込まれる。
ランサムエア送り込まれたら止まるのかな。
止められるかってこと?
どこだろうね。物によるよね。
どういう挙動を見ているかに依存するんだと思うんですけど。
物による。
MSPとかで入ってたりすると、どこまでそのMSPの業者が握っているのかにもよると思うんですよね。
それでできることがかかってくるじゃないですか。
そもそも止められたら終わりですしね。
そうですね。中に入られていじくり回せるような状態だったら、そもそもその機構をオフにしてしまえとか。
普通の攻撃でもありますからね。アンチウイルス止めるとか。
自分の領地を増やしたいですからね。相手のネットワーク内の。
12:02
どれくらい有効なんかなと思うと、あんまり検証室とかがないんでEDRは。
画面とかね、ダッシュボードの画面とかでどんなことが追えるかとか見せてもらったことは何度もあるんですけど、
実際に使ってどうなんやろうなと思って。
予防的な側面で見るって話ですかね。
実際に感染が起きて、例えば広まっちゃった後にどういうふうに広まっていったかを調べたりとか。
それも一個なんですけど、それはどこから来たかを調べるためのもので、
入ってきちゃったものをどのタイミングで止めるのかということなんです。
除菌やっただけ。
入っててよかったケースみたいなのとかあんまり聞かへん。
そもそもまだそこまで入ってないんだと思うんですけど、
どんどんいやらしい状況になってきてますね。
そんな中、MSP経由に似ているのもあるんですけど、
最近ほら、エイスースの。
エイスース派なんですね。
あれもそうだよね。
古いのがあるんですよ。
エイスースの。
エイスース派なんですよね。
エイスース派の。
あれもそうだよね。
古いの。
エイスースで。
エイスースで。
オペレーションシャドウハマー。
バタバタ切ってきますね。
めちゃめちゃ元気。
2回分パワー溜まってきてるから。
楽しくなっちゃってる。久しぶりや。
オペレーションシャドウハマー。
かっこいい名前ですよね。
シャドウハマー。
なんですか?シャドウハマーって。
シャドウハマーってのは。
これ名前つけたのカスペルスキー?
カスペルスキーだね。
エイスースがですね。
よくいろんなノートパソコンとか、スノップPCもそうですけど、
いろんなバイオスとか、
そういうユーティビティツール入ってるじゃないですか。
メンテナンスするためのアップデータというか。
それのソフトウェアがエイスースにもあって、
エイスースライブアップデートっていうやつが
配置されてたんですけど、
これ自体が別に悪いわけではなくて、
これ更新オンもちろんかけてるときに、
エイスースのサーバー、
ちゃんと正規のサーバーが汚染されていて、
バックドアの機能を持った
アップデータに入れ替えられちゃうというやつですね。
それに加えて、
カスペルスキーが言うには、
数百の、六百ぐらいかな?
六百ぐらいのマックアドレスを
ハードコードの中に持っていて、
そのマックアドレスが一致したものだけ、
別のマルウェアを恐らく攻撃者が用意したであろう
サーバーから持ってくるっていうやつが
発表されたんですね。
いろいろ手が込んでて、
15:00
ちょっと驚きというかさ、
まず一つは、
ライブアップデータの仕組みを使ったというところ。
前のノットペットヤーもそうだし、
あれも既存の会計ソフトの
アップデータの仕組みを使ったとか、
あと今回の攻撃に関係していると言われている
シークリーナー、あれ去年だっけ?
2017年かな?
シークリーナーっていうソフトの、
あれも正規の手段で入り込んだっていう、
ああいうのもそうだけど、今回のもそうじゃない?
ASUSの正常なライブアップデータの仕組みを使って
配信しているっていうのと、
しかもコードサインがちゃんとある。
証明書がね、ちゃんとASUSの証明書がついてる。
ASUSの証明がついている。
というのを見ると、
そこら辺の内部の仕組みがやられちゃってるんだよね。
おそらく。
ちょっとその辺全然、ASUSの発表なんかスカスカでさ、
中身がなくて全然わからなかったんだけど、
シンプルでしたね。
もうちょっとちゃんと書いてるように。
ちゃんとしてほしかったんですけどね。
なんか被害はそんなにありません的なさ。
なんかカスペルスキーの出してた文章を読んだ、
さっき読んだんですよ僕。
その後ASUSの方を読んだからなと思って読んだんですけど、
綺麗に出たからね。
そうそう読んだんですけど、
別にカスペルスキーのやつだけでも
ことたりろな情報って思いました。
ASUSが出したチェックツールみたいなのがありましたよね。
あったあった。
それぐらいかな。
もうちょっと情報欲しかったけどね。
薄かった薄かった。
カスペルスキーが言っていた情報の裏付けが取れたぐらいですかね。
本当にやられてたんだっていう。
まだこの後出してくれるかもしれないけど、
一つはASUSの配信の仕組み自体がちょっとやられてるよね。
あと俺一個わからなかったのは、
600何本のマックアドレスが、
600個全部入ってたわけじゃなくて、
1検体あたりには10個とか20個とか細かく入っているんだけども、
トータルすると600ぐらいありました。
200ぐらいの検体でしたね。
そうですね。
カスペルスキーを集めたらそれぐらいありました。
まだほどかにもあるかもしれないですね。
その600のマックアドレスはどうやったのかというか、
どうやって集めてきたのかというか、
このマックアドレスを使っているユーザーマシンを狙ったんだと思うけど、
そのマックアドレスを狙っているのかどうやってわかったのかが、
それあれじゃないですか。
ASUSのアップデートサーバーが取ったんだろうなと思って。
僕はそう思うけど。
ASUSのライブアップデートはもともとマックアドレスとかの情報を集めているんだよね。
それを見て、あとユーザー情報とかわかるのかな。
どこまでASUSの中のデータでわかるのかちょっとわかんないんだけど、
もしかしたらその可能性が高いんじゃないかと思って。
18:03
そういった内部の情報を結構ASUSは見られまくっているんじゃないのかなと思いますけどね。
アップデートサーバーだとユーザー登録とかするじゃないですか。
情報は上げていると思うんですよね。
そういうのを見てターゲットを選んでいる可能性があるよね。
そうすると、もうちょっとちゃんとどういうふうにやられたかとか。
少なくともシークリーナーはピリフォームだっけな、会社。
ピリフォームです。
それをアバストというセキュリティ会社が買収していたのもあって、
アバストはわりと情報公開をしっかりその後やっていて、
具体的にどのタイミングでマルウェアが入ったかとか、
結構詳しくちゃんと報告してくれていたんだけど、
あれぐらいのレベルでASUSも出してほしいなというか。
チームビューワーから入ってきたという報告が出ていましたもんね。
シークリーナーのやつを。
結構手の込んだ。
だいぶ前から実はシャドーパッドというマルウェアに完成してましたとかさ、
詳しく書いていたから。
それもカスペルスキーはすごい詳しい解析を出していましたね。
まだカスペルスキーは今月シンガポールである
カンファレンスで詳細を発表しますと言って、
実は詳細は出していないんだけど。
出していないんだけど。
4月の8日からです。
だけどさっき話に出たシークリーナーとか、
既存の今までの攻撃者と関連があると言っていて。
言えてますね。
その辺多分詳しく出ると思うんだけど、
ちょっと巧妙というかね。
一般のユーザーは防ぐの難しいよね。
でも掲示板に後付けて見たけど、
去年の8月くらいからレディットとかに出てたんだよね。
レディットになんだこれみたいなのがあるんですよね。
アップデートの中身書いてないけどなんだこれみたいな。
ただやっぱり署名とかがちゃんとされてたので、
それ以上深い理由はレディットのスレッドの中ではしてなかったと。
そうだよね。
結局この問題を気づいた人って、
その時点ではいなかったんだろうなと思うんですよね。
だからちょっとバグってのがないくらい多分。
いやーこれだって、
もちろん詳しくちゃんとセキュリティベンダーとか専門の人が見れば、
これバックドアだって分かるかもしれないけど、
一般のユーザーに気づくってのは到底無理でしょこれ。
そうですね。解析できる能力がある人だったら、
なんでこれMacアドレスのチェックしてんの?
っていうのであれと思うんでしょうけど。
いやー絶対無理だよねこれね。
しかもね、変なやつやって思っても、
次の丸A落とすとこに行かないかと何もしないわけですからね。
そうですね。
僕どっちかというと、
ASUSが何出すかの方が。
カスペルスキーの今度の発表、
まあもちろん気になるけど、
ASUSの公式発表の方が。
そっちの方が。
なんか出すかな?
いやでもこれ結構ヤバくないですか?
21:00
いや俺も出さない気がする。
ヤバさはそうなんですけど、
これで終わりっていう感じがすごい。
幕引き感あるよね。
知ってはいるんですけどね。
さらっとした感じのやつで。
はい。
分かんないですけど、
あくまでも読んだだけの印象として、
感想を言わせてもらうと、
結局被害を受けたのは、
具体的にはすごい少数であって、
多くの人はそんなに影響は受けていないと。
なので最新版にアップデートしてくれれば、
多くの人がもしかしたら受けているであろう影響は解消されるよ、
そんな感じのトーンに見えるんですよ。
あれでもちょっと曖昧だったけど、
あそこで言ってる本当に影響を受けたって言ってるのは、
さっきの600何個とか、
実際ターゲットになった人が少ないっていう意味で言ってるんじゃないの?
俺もそのように読みました。
クリティティとかシファンティックとか、
数万台自分の顧客で感染者っていうか、
最初のマックドア入りのやつが入ったやつは、
数万顧客いるって言ってるじゃないですか。
全然少数じゃないですからね。
そこの部分は別に実質被害ないでしょって言ってるんだよね。
ASUSはその後のセカンドステージに行ったかどうかっていうことを言ってると思います。
俺もそう読んだんだけど、
それってお前らの勝手な理屈じゃないの?って思ったよね。
僕はめちゃめちゃ不誠実やなって思いましたよ。
だって今もお話しした通り、
じゃあそのマックアドレスどうやって手に入れたのって話あるわけじゃないですか。
じゃあそのマックアドレス、今回ハードコードされてないマックアドレスの情報も、
おそらく持っていかれてるわけですよね。
もしそれがそこから持っていかれたと仮定したら。
そうだし、仮にそれがなかったとしても、
実質被害なかったかもしれないけども、
でもバックドアっていうか不正なものが入り込んで、
ユーザーに配信したわけでしょ。
少なくともあって、
カスペルスケのおかげで数万とか、
一社一社で数万って言ってるから、
全体で言ったらもっと大きな数になる。
カスペルスケ100万くらいって見積もりが出してたけど、
本当かどうかわからないけど、
でもそれくらい言ってもおかしくないじゃん。
それに対してはもうちょっと何かあるでしょって思ったけどね。
すごいですよね。
日本語で言うと、
ライブアップデートサーバーへの高度な攻撃を通じて、
少数のデバイスに悪意のある行動が埋め込まれています。
そうなんだよね。
少数のデバイスって何なの?
全部アップデートしたやつって思うんですけどね。
そうなんだよ。
解釈がちょっと違うっていうかね。
嘘は言ってないんだけど、
ちょっとね、もうちょっと。
ダウンローダーが行っただけでダウンローダーされてませんって言ってるわけでしょ、結局はね。
そうそう。被害ないでしょっておそらくそういう人だと思うんだけど、
それはちょっとどうかなっていうかね。
何をもって被害とするのかっていう話ですけど。
あとその配信の仕組みもね、セキュアにしますとか書いてあるんだけども、
それは確かにそれをやるだろうけど、
何が思わずかって何が起きちゃったかっていうのは明らかに義務がある気がするんだけどなと。
でも原因が分かってなかったり、あとは僕たち見る側に書かれてないのに、
24:01
この対策をしますと言われたところで、それが妥当かどうかも怪しいですよね。
別に一般に公開しろとかって言ってるというよりは、
実際に配信を受けちゃってもしかしたらその後被害を受けたかもしれない、
ユーザーに対して少なくとも説明する責任があるんじゃないかなと思うんだけどね。
今回こういう経緯で起きてお客様のところに不審なものを送っちゃいましたみたいなのは、
何か説明する必要ないのかなって思うけどね。分かんないけど。
アップデート系ポツポツ忘れたこともありますよね。
前もあったじゃないですか。日本でもあったじゃないですか。
何かあったっけ?
動画のソフト。
あーあったね。だいぶ。
ゴムプレーヤー。
ゴムゴムのプレーヤー。
違います。違います。
ゴムプレーヤー。
あれ国内のね。あれもだって水飲み場というか。
あとは未水ですけどMエディターとか。
Mエディター。
あれもそうだよね。
ポツポツポツとあるんですよね。
やっぱり攻撃の経路がさっきの話にも繋がるけど、こういうやつって寝縄で安いっていうかね。
一回入ってしまってるものですからね。
取りに行くところをやっちゃえば、それがそのものがバックドアの動きをしてくれるわけですからね。
巧妙だよね。ちょっとはっきりしないけど既存の知られている攻撃者のグループじゃないかみたいなことも言われてるけど。
殺伐としますよね。
これもだからさっきの話じゃないけど、どうやって防ぐって結構厳しいよねこれ。
しかも最初から入ってるしな。
そうなんだよね。
そもそもこれが入ってることすら意識していない。
エンスルースのノートページにはデフォートで入ってるんだよね。
多分ほとんどに入ってると思いますよ。
どうしようもないもんな。
ねえ。
これはそうですね。
MSPのさっきの話同様。これ来たらどうするのって話ですよね。
結構厳しいよね。厳しいんだけど、何かやるとしたら外向きの通信とかは見るのかな。
コンシューマーでなければね。
コンシューマーだときつくないですか。
一般の家庭のユーザーとかは厳しいと思う。
エンスルースのノートPCって言うとだいたいご家庭にあるような感じの。
ただほら、こういうのを使って一般のコンシューマーというか家庭のユーザーとかを狙って何かをするっていうよりは
やっぱり特定の企業とかがターゲットになるんだとすると、そっちがどう防ぐかというのが主観だと思うけどね。
27:03
だとそれと送られるのは多分防げないけど、送られた後、それこそさっきのADRじゃないけど
送られた後、エンドポイントで何かワイさせるやつをどっかのタイミングで見つけるっていうことをしないと
外部向けの不審な通信が起きているとか、端末内の挙動がおかしいとかっていうのを見つけられるような仕組みっていうのがやっぱり必要なのかなって気がするよね。
もし僕が攻撃者だったら。
はい、得意ですね。そういうのね。そういうのを考えるのがよく。
好きなのが褒められたのよ。
もう一手間入れる。携帯が僕、アップデータは手に入るけど、上がってますからね。
でも何が落とされたかって。
その後のセカンドステージのやつ。
アップデータでもその機能を僕は入れるかなと思うのは、組織内のドメインが引けるときにはセカンドを落とさないとか。
組織内のドメインが引ける?
アクセスするじゃないですか、攻撃者のサーバーに。
その時のドメインが、GOとかCOとかみたいな企業組織ドメインだったら、セカンドステージのマルウェアを落とさないとか。
マイルドのときとか家で使っているときだけ落とさせるっていうのを入れるかな。
検知されないようにとかいうこと?
普段、社内とかでは使っているんだけど、家に持って帰ってきて。
ロードPCかもしれないですね。
確かに確かに。それはどうするんですか、そのヒントを与えて。
また怒られるんですよ。
攻撃の手口とかって言ってたまに怒られるんですよね。
一回何やったっけな。ネットのテレビか何かやったかな。
オリンピックか何かの話のときに、いろんなサイバー攻撃がとかって言われてるけど、そんなにヤバいの来るのかなって僕は個人的に思ってるんですよね。
あるかもしれないですよ。
でもどっちかっていうと2015年くらいのほうがよっぽど有事やろうって僕は思ってるスタンスなんで。
オリンピックで投稿っていうのは何かあったらたぶん準備不足やし、それよりも一番ややこしいなと思うのは、開会式とかの注目を集めるタイミングで、
一点集中で守らないといけない状況の中、トワを扱って100箇所くらいに爆破予告とか言われたから。
どうすんねんっていうのを言ったことがどっかであって怒られました。
謀反が出るって言って。
いやそんなんだいたい思いつくやろ誰でもっていう話なんですよ。
そんなに別にね、なんか…
誰でも思いつきません。
奇抜なもんでもないっていうか、やりそうだよね。
例えばそういうオリンピックの時期とかに各自治体とかでも書き込みとかメールとかも送れる。
30:00
あれは開けたものやからそんなことできひんって言われるかもしんないですけど、せめてトワのアクセスを全部止めてしまうとか。
そのときだけ?
そう。
オリンピック開催期間前後1週間含んでもいいかもしんないですけど、1ヶ月ぐらいですよね。
別にトワで連絡してくるっていうのは必要なのかなそういうのは。
でも一つあるねそういうのは。
そういうことって考えられてんのかなと思って。
国家主体のサイバー攻撃がどうとかっていうのにみんなワーワー言ってるけど、地味なことされたら。
行かないわけに行かないわけでしょ。
でも警備は分散されるわけじゃないですか。
分散されるわけじゃないですか。
それってどうすんのかっていう議論とかされてんのかなっていう国民として心配になる。
そういうスポーツイベントに限らないけど、普段からも例えば空港だったりとか。
イベントとかねコンサートとか。
とかにやったぜみたいなのを、単にブラフだけど連絡が来てチェックするためにとかってやってるからね。
実際に起きてるから。
それをブラフにした、それがでこいかもしれない。
警備を薄くして他のことをしたいかもしれない。
そういう想定が必要だよね。
だからってどういうふうにするっていう策が僕にはあるわけではないんですけど、議論されてないと怖いなと思って。
確かに。
それは別に怒られる話じゃないよね。
僕やったら今回のASUSの件やったらそういうコードを入れるかな。
それは成功率上がりそうな気がするんですよね。
関連わかんないんですけど、例のバックドア化したアップデータの通信先って全然別のところなんですけど、
ちょっとドメインに似てるんですよ。
ASUSっぽいドメインなんですけど、そこに紐づけられたIPの逆引きドメインがまた他にいくつかその後も取られてるっぽくて、
だからもしかしたら活動としては継続中で他にも案件があるのかもしれないんで。
あの名前から引けるIPに紐づくドメインってことですね。
他にもあったよね。
結構いろんなドメインに紐づいてますよね。
気持ち悪いんですよね。
そこで終わってるわけでもなくて。
同じ手口で他の。
名前からは連想できないんですけどね。
明らかに言ってはなくて。
今回の広域自体もまだ詳細はわかんないけど、
カスペルスキーが去年の11月ぐらい?6月?6月だっけ?
11月ぐらいだよね。
その時期が広域期間って言っていて、実質それも今は終わってるって言ってるんだけど。
このドメイン自体は5月ぐらいからですね。
実際このドメインにつながった期間がそれぐらいって話なんですよね。
実際に使われたのがそれぐらいってことなんですね。
33:01
生きてた時間ってことだね。
実際の攻撃に使われたかどうかはわかんないですけどね。
そうなんですよね。
久しぶりに調べてて、興味深かったです。
手が混んでるし、いろいろ見つけるのが困難っていうかさ。
証明書までね。
厄介な点が。
どういうふうに管理するかわかんないけど、
高度証明する仕組みとかっていうのも。
普通、サッと入り込んで取れるようなところに無いはずなんですよね。
そんな簡単にやられてもらうと困るんだよね。
証明書ですからね。
ちょいちょいそういうのって、他にも今までの証明書とか、
どこかの会社の正義の署名が入っているまるであるかとかってのは。
ただ実際に国家に関係ない企業だったりするんですよね。
あるってあるんだけども、事例としてないわけではないけど。
本家が。
そうなんですよ。
ACSってそんなにしょぼい企業じゃないからさ。
PC出荷額じゃなくて、世界最大のPC出荷額である。
だからもうちょっと頼むぜって感じだよね。
世界5位ですね、2017年の。
4位、5位とかでしょ。
結構国内、日本だけ見ても、使っている人はそこそこいる?
いるよ、ACS。俺の近くにもいるし。
います、います。
今回の被害は日本でそれなりの数被害を受けているはずだからね。
だから私、アメリカに来るときに、
日本でそれなりの数被害を受けているはずだからね。
だから私、むしろなんでこんなに国内で静かになっているんだろうなっていう方が怖いんですよ。
もっと騒いでいなければ悲しいってこと?
少なくとも通信先ぐらいは情報として出ているわけでね。
通信先だとバックアドレスのチェックがあるわけじゃないですか。
だから自分が被害を受けているかどうかっていうのは確認ができるわけですよね。
被害を受けているないしは被害を受ける対象者だったってことですかね。
対象者だったってことですかね。
そこを確認とれる状態にすでになっているにも関わらず、
その話ってあんまり出ていない。
例えば新聞沙汰にはなっていない。
ニュースのトーンも当事者国トーンじゃないですね。
一般ニュースはそうかも。
でもそれ言うとあれもそうじゃない?シャープシューターもそうじゃないですか。
あれも日本がターゲットというか被害に入っている運輸業だったかな?
というのがあったけど、ばかりのレポートに関してはそこまでどこか分かっていないというのもあるからかな。
一般に騒がれるかどうかというのとちょっと違うというのもあるけどね。
でも今回の日本の少なくとも企業、大手かな。
もしかしたらうちがターゲットかもっていうのも含めて被害にあっているかもって
そういう可能性があるところは通信先のチェックとか
マックのチェックとかは当然やっていると思うよ。
やっていなきゃおかしいしね。
当然やっている。
36:01
ただそれが一般のニュースでひどく報道されるかというとされないかもしれないけど
そういうレベルの危機感は感じたけどね。
個人じゃなくて組織、ビジネスユースでエイスウスって結構入っている。
入っているでしょ。
個人で使っているとよく見るんですけど。
個人でも入っているし企業でも入っていると思うよ。
会社にいろんな会社に行くじゃないですか。
それでエイスウス持っていくとあんまり出会わないですよね。
よく見るのはThinkPadとかHP。
パナですね。
レッツノートとか。
あの辺はよく見かける。
あまり見ないですよね。
見るよ。
知らないもん。
もしかしたら企業より一般の利用者の方が大きいのかもしれない。
分かんない。その辺の利用状況は知らないけど。
シマンティックは今回内部アップデートのマニシアスのやつ
1万3千台ぐらい検出したと言っているんですけど
割合として8割がコンシューマーで2割は法人と言っているんですよ。
やっぱりそのぐらいの感じの割合になっているかもしれないですね。
大ほどの使われ具合を反映している気がするので
もともとそういう感じだったのかもしれないね。
多いからこそマックアドレスで絞ったのかもしれないですね。
まだこの話は全然終わっていないので
たぶんセカンドステージと言っているところの詳細は
個人的な期待としては4月のこの後のカスタマリスキーの
カンファレンスで情報として出てくるんじゃないかなとか
彼らは終わっているんだと思うんだけどね。
たぶんそれに気づいたから今回の話に発展したと思うので
勝つこそ少ないかもしれないですけど
そういうふうに思っているんじゃないかなと思うんですよね。
そこの情報が出たらまた…
見たいですね。出ればいいな。
出るんじゃないですかね。
そんなところで。
今日は結構やりましたね。
やりましたね。やり切った感が。
大丈夫ですか?もうなんとか型ランサムみたいな。
また出ると思うんだけどね。こういう話。ずっと続いているから。
ちょっと久しぶりにヒリヒリしました。
前回言ってましたね。
それ聞いてヒリヒリしないとかで泣いてこいつ。
良かった良かった。
ちょっとだけヒリヒリ。
良かったです。
そんな感じで。
今日の第2部はこんなところということで。
次回は新言語ですね。
そうですね。
新iPad miniって言うのかな。
それも新言語で新iPad。
関係なくなるんですかね。
そうですね。
令和ゲートウェイ。
令和元年。
39:00
怒られますよほんとに。
ゲートウェイ関係ねえわ。
高輪ゲートウェイ好きね。
令和元年始まったところで。
じゃあまた来月。