1. セキュリティのアレ
  2. 第194回 アレですよ!アレ!ス..
2023-09-18 59:35

第194回 アレですよ!アレ!スペシャル!

Tweet【関連記事】 ・Security Online Day 2023 秋の陣(2023.09.26‐27[...]

The post 第194回 アレですよ!アレ!スペシャル! first appeared on podcast - #セキュリティのアレ.

サマリー

Amazonの不正利用の話題がSNS上で取り上げられ、結果の整理から始まっています。複数の人々がAmazonでの不正利用被害を報告し、被害者たちは技術ブログを通じて情報交換を行っています。被害手口は、ダミー商品を購入した後に大量のAmazonギフトカードが購入されるというもので、被害者は二段階認証を使用していたにもかかわらず不正利用されました。被害の原因はまだ明確ではなく、Amazonは対策をまだ出していない状況です。マイクロソフトからの警告を受けて、イラン国家を背景に持つピーチサンドストームの攻撃キャンペーンが話題となっています。彼らはパスワードスプレー攻撃を使い、数千の組織に侵入を試みていました。初期侵入では脆弱性も悪用され、被害は広範囲に及んでいます。マイクロソフトのレポートによると、攻撃者グループストーム0324(別名:TA543、サングリアテンペスト)が、新たな攻撃経路としてTeams経由のフィッシングを始めたことが指摘されています。マイクロソフトはユーザーに対し、フィッシング攻撃やメール詐欺などのセキュリティリスクへの対策を呼びかけています。特に、フィッシング体制での認証方式の使用や、信頼できる組織を指定する設定の必要性が強調されています。ブログやSNSは人々の情報交換や交流の場となっていますが、アナログ的な方法も魅力的であることに気付くことがあります。

00:00
スピーカー 1
SNS上で、アレがバズってるみたいなことすげえ言われるんですけど。
スピーカー 3
あれ? 炎上ですか?
スピーカー 1
わかんないですけど、なんかトレンドにアレが入ってましたよ、みたいなことをね、
お便りみたいなのをちょいちょい、お便りというか、ハッシュタグ付きで見たりとか。
スピーカー 3
へー、ついに、ついにバズることが。
スピーカー 1
バズることが来たぞというところで、何かはちょっとわからないんですけどね。
スピーカー 2
あれか、アレか。
スピーカー 3
アレですね。
スピーカー 2
アレさ、このアレでも取り上げたよね、前。
スピーカー 1
そうですよ。いろんなグッズが出てるみたいな、コラボして出てるとかね。
スピーカー 2
アレアレ言って、何の話かわからないんだけど。
大丈夫ですかね、これ。
昨日ニュースになってましたよね。
スピーカー 1
直接、普段会うことのある知人からは言われたのは、商標取っといた方がいいんじゃないですか。
スピーカー 2
取れないでしょ、そんな。
スピーカー 3
ちょっと厳しそうですよね。
スピーカー 1
でも、セキュリティのアレやったら取れんじゃない。
スピーカー 2
そこまで入れればね。
スピーカー 1
多分、アレだけでは無理ですよね。
スピーカー 3
アレは無理だよ。
スピーカー 1
いくらジャンルを絞っても、さすがにAREとかで何かの略称ですとかで取れるかもしれへんけど、
カタカナのアレは多分無理ですよね。
スピーカー 2
それは無理でしょう。
一般名詞すぎて。
スピーカー 1
そう、ウィンドウズだけでは取られへんのと一緒でね。
そういうと一緒で、無理なんやろうなと思いつつも。
そんな盛り上がってて、アレという言葉をね。
やっぱり多分僕らの思ってるのとは違うので騒がれてるんだと思いますけど。
スピーカー 2
いやいや、我々もバズらせていきましょう。
スピーカー 1
そうですね。
一日にね、社会的に頑張っていこう言うてね。
はい。
なんかあの、ほら前回僕おすすめで宇多田ヒカルさんのを紹介したじゃないですか。
スピーカー 2
最近出た新しい曲で。
そうそうそう。
スピーカー 1
で、小室哲哉さんのね、面白いエピソードみたいなところで。
スピーカー 2
言ってたね。
スピーカー 1
で、オートマティックの意味が未だにわからんみたいなことをおっしゃってたっていうエピソードがありましたけれども。
あれをですね、僕が勤めているところの人もアレ勢が結構いるってことが最近わかりまして。
スピーカー 2
はい。
スピーカー 1
で、打ち合わせ中に実はアレ勢なんですみたいに言われて、この間のオートマティックの件なんですけどっていう風に話しかけられて。
スピーカー 3
オートマティックの件、はい。
スピーカー 1
そうそうそう。
アレあの件ですねみたいな。
ていうかアレ聞いてるんですねみたいな感じのね。
なんかね、僕も何回も聞いてたのに、歌詞マジマジ見ることもなかなかないじゃないですか。
スピーカー 2
まあね。
スピーカー 1
歌詞の中にね、あるんですよね。
声を聞けば自動的にサンウィルシャインっていう歌詞が。
スピーカー 2
そんなあったっけ?覚えだせない。
スピーカー 1
そう。っていうのがあるっていう風に教えていただいて。
まあその好きな人とかね、そういう思い寄せてる方の声を聞いたら、太陽が輝くのが自動的だっていう。
余計わからんようになったなという感じは。
ね、あったんですけど。
そこ、その辺のことを言ってるんじゃないかと。
まあ10代の時に作った曲やし、まあそんなこともあるかみたいに思いながら聞いてたんですけどね。
はい。
でね、あの今日はお便りに行く前に告知あります。
スピーカー 2
何でしょうか。
スピーカー 3
え、告知。
スピーカー 1
たまにはなんかあの、僕らもイベントを出る時の告知とか真面目にした方がいいなってふっと思いまして。
スピーカー 3
はい。
スピーカー 1
今月の27日ですね。9月の27日の15時50分から16時半まで、これオンラインの配信になりますけれども。
エンタープライズ陣、商営社ですね。でやってるセキュリティオンラインデイっていうのに初めてこの3人が呼んでいただいて喋るという。
スピーカー 2
ああそうか確かに。僕らからしたらまああちこち喋ってるけど、そのイベント初めてか3人で出るという。
スピーカー 1
そうそう。たぶん商営社のイベントに3人で出るのも初めてじゃないですか。
スピーカー 2
そうだっけなあ。まあそうかもしれないね。
スピーカー 1
そうそうそうそう。たぶん各々がインタビューとかはあったかもしれないですけど。
それに我々3人が出るということで、今回は脆弱性とか資産の把握みたいなことに、今までお話もしてきてますけどそこにギュッとフォーカスを当ててしていこうかなみたいな。
最適解は何なんだみたいな事例を交えながら喋っていこうみたいなのがあるので、もしお時間が合う方いらっしゃいましたら、9月の27日の15時50分から僕ら喋ってるんでオンラインで見ていただければなと思いますという告知でございました。
スピーカー 3
よろしくお願いします。
スピーカー 1
ということでお便りが来ております。
はい、お願いします。
スピーカー 3
今回かなりいいなって思う。これは絶対に読もうって見た瞬間に思ったやつがありまして。
スピーカー 1
たぶんこれ初めての方かな、もしかしたら読むの。
会社の先輩のお勧めで聞き始めたセキュリティのアレ。特にねぎさんの声が好きで、私の中で眼鏡にヒゲを蓄えたダンディな方を妄想して聞いていました。
スピーカー 2
ある日先輩がアレの人の写真だよと見せてくれた中に私のイメージ通りのネギスさんがいましたが、その人は徳丸さんでした。失恋のアレっていうお便りをいただいております。
ちょっとちょっとイメージ壊して大変申し訳ないね。
いやでもね、徳丸さんもイケボーだよね。
スピーカー 1
確かにそうですね。
スピーカー 2
落ち着いたいい声してるよね、あの人のもね。
あのイメージだったと。
スピーカー 1
そうですね。眼鏡にヒゲを蓄えたダンディな方。
スピーカー 2
もともと知ってる人が聞くんじゃなくて、逆のパターンでポッドキャストから入ってくるってパターンがあるってことだ。
あ、そうですね。
僕らの顔を知らずにっていうことでしょ。だって要するに。
そっかそっか、声だけ聞いたらわかんないもんな。
スピーカー 1
いや面白いですね。声からのイメージって、そういうね、なんかこうビジュアルの組み立てというか。
スピーカー 3
これを機にヒゲ生やしたらいいんじゃない?
スピーカー 2
いやいやそういう問題じゃない。
スピーカー 1
こういうふうに言われたからって言うで、ヒゲ伸ばす人それでも全然ダンディちゃうからな。
スピーカー 2
いやまあでもあれだね、それをちょっとイメージが違ってて申し訳ないけど。
そういうふうに聞いてくれていいなって思ってくれたらとっても嬉しいですね。
スピーカー 1
そうですね。
ありがとうございます。
面白いパターンが入り口もあるなって思いましたね。内容自体も面白かったなっていうことです。
スピーカー 3
ありがとうございます。
フィラー言葉と喋り方
スピーカー 1
あとですね、何か発言するときにえっとやあのーなどのフィラーが多すぎると聴取が発言内に集中できなくなることがあるそうです。
特についさんとねぎしさんはフィラーがほぼないと思うんですが、やはり意識してなくしているのでしょうか。
私はフィラーが多いので羨ましいです。
スピーカー 2
よく聞いてるなぁ。
ついさんどう?
スピーカー 1
言わないことはないと思うんですけど、少ないのかな。でも気にしてないですよ僕。
スピーカー 2
僕はね、意識してるんだけど、喋るときは。
なんでかというと、意識してるにも関わらず録音したのを聞いたり、セミナーで喋ってる自分の講演を聞くと、まあ結構言ってるんだよね。
できるだけなくしたいと意識はして喋ってるんだけど、なかなか減らしてない。
実は種明かしをすると、このポッドキャストに関してはできるだけ編集で消しています。
スピーカー 1
そうなんですね。ありがとうございます。
スピーカー 2
なので、実は生で聞くともっといろいろそういうフィラーっていうかね、的なものはたくさん、実は僕もついさんも少ない方だとは思うけど、言ってはいるんだよね。
加護さんも含めてだけど、編集でだいぶ削ってます。
スピーカー 1
そういうことなんですね。
スピーカー 2
人によって違うと思うんだけど、僕自身が聞いたときに、ちょっと聞きづらいなと思うところがあって、
僕の基準で申し訳ないけど、編集してるあれで、ここら辺は切った方がいいかなみたいなそういうつなぎの言葉みたいなのは極力削ってるんで、
もし少ないなという感じだとしたらそれは編集のマジックですね。
スピーカー 1
編集超マジックってことですね。
スピーカー 2
実際はそこまででもないね。
スピーカー 1
確かにこういうのって新卒で入った頃とかのプレゼンの研修みたいな、こういうの気をつけなさいみたいな言われた記憶あるんですけど、逆のパターンもあって、わざと入れるときがあるな、僕は。
スピーカー 2
それもあるかもね。ちょっと間を取りたいとか。
スピーカー 1
そうそう。話の間とか、みんなちゃんと聞いてる、今から喋るよみたいな感じで、面白いこと言う前とかね。
スピーカー 2
注目させるためのってことですね。
スピーカー 1
そうそう。ほら、何でしたっけ、あれねみたいな感じで、わざと言うときはありますけど、意識してるときもあるけど。
スピーカー 2
どっちかというと口頭テクニックよね。
かもしれないですね。
大抵の人はさ、自分が喋ったことを後で聞き直すってことがあんまりないから、気づきにくいと思うよ。
僕もこうやって自分で編集してさ、意外と思ってるよりも言ってるなって、毎回思う。言ってないつもりでも結構言ってるなって。
スピーカー 1
確かにね。編集が効かないような、それこそさっき告知したようなライブで喋るときは、もうちょっと意識した方がいいかもしれないですね、僕らも。
スピーカー 2
その辺はできるだけスムーズにいきたいですけどね。
いやでも、細かいところまで聞いてくれて嬉しいね。
スピーカー 1
いや、ありがたい。そうですよね。こういうの自分でも気にしたことあんまりなかったからな。
はい。
ありがとうございます。で、最後のお便りなんですけれども、
パスワード管理機能
スピーカー 1
パスワード使い回しの件は、今だとブラウザ側でのパスワード管理機能が便利になっていますが、
アプリ上でのパスワード設定をするシーンも多く、まずはそこがブラウザレベルで自動サジェスト機能が使うと話にならないような気がしますという風にきてましたね。
なるほどね。
パスワードを保存できるとかじゃなくて、使い回しのこととかも普段が触れる方のところにこういうサジェストとか、
こういうのを気にした方がいいですよとか言ってくれるっていうのは一つありかもしれないですね。
スピーカー 2
そうね。
元々のブラウザに付属のものもそうだし、ワンパスワードみたいな拡張機能で連携するやつとかもそうだけど、
そもそも登録してパスワードつけるときにサジェストしてくれるっていうのがあったりするからね。
そういうのをうまく活用するってところが第一歩なのかもしれないけどね。
そうですね。
ただ、悪い面というかいい面悪い面あって、ブラウザの機能だとそこからいろいろ漏れる可能性があるっていうのもあるので、
ただそれはその段階に行って考えてもいいのかなというか、まずは使い回しちゃうとか、
お気に入りのパスワードをずっとご承大事に使っちゃうような人は、まずそういうところから変えましょうって言わないと一足飛びには難しいよね。
スピーカー 1
その段階を経ていくということですね。
スピーカー 2
と思うけどね。
スピーカー 1
確かにそうですね。
注意喚起みたいなやつも目に触れるようにさせるっていうことも一つの課題でありますからね、こういうのってね。
スピーカー 2
そうですね。
スピーカー 1
ありがとうございます。
ということでお便りをいただいた方にはステッカーの印刷コードを差し上げるので、よかったらハッシュタグセキュリティのあれをつけてツイート、今はポストかな。
していただければいいなと思います。よろしくお願いします。
結構シークレットに向けてリーチの人が増えてきてるんですよね。
スピーカー 2
そうなの?
スピーカー 1
僕の知ってるだけで3人くらいいるんですよ。
スピーカー 2
まだでも達成したのは1人だけなんでしょ?
スピーカー 1
1人だけ。5種類あるんでね。
スピーカー 2
ランダムに出るとは言ってもそのうち達成するよな。
スピーカー 1
そうですね。
スピーカー 2
じゃあまたその次考えないとね。
スピーカー 1
そうですね。本当によろしくお願いします皆さん。
はい、ということで今日もセキュリティのお話をしていこうかなと思うんですけれども、
かんごさんから行きましょう。
スピーカー 3
私から行かせていただきます。
Amazonの不正利用
スピーカー 3
今日はですね、SNSでもXですかね、Xでも結構話題になってるAmazonの不正利用の話を取り上げさせていただきたいなと思っております。
スピーカー 2
よく見かけるよね最近ね。
そうですね。
スピーカー 3
最近ですよね、結構見かけることが多くて。
ただちょっと事実の整理から入らせていただくと、
今言った通り国内で9月に、ちょっと私が検索した範囲ではあるんですけども、
9月に入ってからAmazonで不正利用されましたという被害報告っていうのがX上で複数登録されていると、
どういうふうに不正利用されたかっていうのを投稿されている方もおられるんですけども、
内容を見ると、なんか一つダミーなんですかね、ペンとかそういったものを購入されて、
その後大量にAmazonのギフトカードを購入されると。
そういった手口らしいというところが、Xに複数登録されているということで、
ただ気になるところとして、これが何で起きたのかというところについては、
正直分かっている人っていうのが誰もおそらくいないという状況なのかなと。
そういう感じでして、もっと気になるところとして、
被害報告している方の中にはAmazon二段階認証をもちろん対応しているので、
その二段階認証を使っていたんだけども被害に遭ったというふうに報告されている方も、
一人だけではなくて複数いると。
そういう状況ではあるので、なかなか気になるところではあるんですけども、
さっきも言った通り、何でこれが起きているのかというところは分からずというところで、
ITメディアなんかは、このAmazonの不正利用に関して取材をされているという記事が上がってたんですけど、
Amazon側は今のところ、今回の件に関して、例えば注意書き出しているとか、
二段階認証の突破と被害原因
スピーカー 3
具体的な手口を確認しているとか、そういった回答はまだされていないと。
そういう現状だそうです。
そういったところではあってですね、
これ何で起きたんだろうなっていうのが多分誰も分かっていないというところで、
例えばセキュリティの専門家っていうんですかね、調べられている人とかを見ても、
結局何で起きているか分からないので、こういうところに注意してくださいとか、
そういった話っていうのがなかなか出しづらいという状況にあるというのが、
なかなか歯がゆいところではあるんですけど、
やっぱり気になるところとして、結構皆さんがSNSで投稿されているのが、
二段階認証が突破されましたっていう言葉を使われて投稿されていらして、
切り取り方というかその捉え方っていうのはいろいろあるかと思うんですけど、
私からするとこの二段階認証の突破って結構、
本当にその言葉だけを見て意味を取ってしまうと非常に重大な事態。
スピーカー 1
そうです。根幹を揺るがす感じしますよね。
スピーカー 3
もう下手したらサービスひっくり返るぐらいの、それぐらいの大きな意味を持つ言葉かなというところではあるので、
なかなかそれが事実かどうかっていうところが、
私自身としてちょっと受け取りなかなかできてないなっていう状況ではあるんですけども。
スピーカー 2
ちょっと疑わしいよな。
スピーカー 3
そうなんですよね。だからその突破されたっていうのが、
それをそのまま意味として受け取ってしまうというか、
ちょっとまだ今現状だけを見ると、少し状況を見た方がいいのかなっていうふうには見つつ、
実際投稿されている内容なんかを見ても、
その知人がやられたとか、だそうですとかっていう形で、
スピーカー 1
言文形式ですね。よくある。
スピーカー 3
ちょっと線度角度が不明瞭な情報も、当然中には流れていたりするので、
もう少し落ち着いて、被害に上がれた方からすると、
なんでやられたんだっていうのはやっぱり一番気になるところでは当然あると思っていて、
調べてみたらこんな情報があったっていうことで、
すぐそれを信じてしまうっていうのは当然仕方のないことだろうなとは思いつつも、
それを拡散してしまうと本当に何が事実なのかっていうのが、
ようわからんっていう状況にもなりかねないのと、
あとAmazonって別に今回に初めて不正利用が大量に出たってわけじゃなくて、
ある意味日常的にフィッシング詐欺とかそういったものでも狙われるサービスではあるので、
それも絡んできてしまうとますます混沌としてきてですね、
いろんなやってる人のいろんな攻撃の手口っていうのが、
いろんな人が注意喚起とかっていう形でごちゃ混ぜになるっていうところがあるので、
ちょっとその辺はうまく交通整理というか情報を見ながら、
自分でできる対策が何かっていうのは落ち着いて捉えた方がいいのかなというところがあってですね、
ちょっと手口は判明してないんですけども、
ある程度原因というかこういうことがあると今回の不正利用っていうのが起こるのかなっていうのは、
これまでの過去事例を前提に考えることもできるかなと。
対比するとAmazon側に起因したものと利用している方に起因している、
そういったケースが大きく2つあるかなと。
今はその利用されている方に起因するケースっていうのが当然疑われることが多数あるとは思っていて、
例えばパスワードを使い回していないかとかフィッシング詐欺に遭われて、
今なんかですと二段階認証のワンタイムパスワードを入力するようなそういったものがあったりするので、
そういったものに被害に遭われていないかとか。
あとは利用されていらっしゃる環境がすでに何かしらのものに汚染されていて、
例えばマルウェアに感染しているとか。
情報接種系のマルウェアの話ってこれまでもこのPodcastで。
取り上げさせていただいてますけど、そういったものからセッション情報が捉えてしまっていて、
そもそもパスワードとかワンタイムパスワードとかを使用せずに、
もうその認証済みのセッション情報を使うことで攻撃者側が自由に利用者のアカウントを操作する状況にあるとか、
いろいろ考えられるというところがあったんですけども、
今回Amazonがヘルプかな?そのページの中で説明しているものでちょっと気になる記述があって、
Amazonのクレジットカードのセキュリティっていうのがどういったものかっていうのを説明しているページがあったんですけども、
以下に該当するケースで購入時にクレジットカード情報を再入力していただきますっていう説明があるんですね。
その中の一つにAmazonギフト券の送り先のEメールアドレスを新規にご入力いただいた場合っていうのが記載されていてですね、
今回報告されている方の画像なんかを見ると、
実際なんか今回のためにおそらく作ったんじゃないかなみたいなEメールアドレスにギフトカードを送りましたみたいな、
そういったメールの画面っていうのを貼り付けていらっしゃる方が結構おられて、
まさにこの新規に入力された場合っていうのに該当するんじゃないかなと思っていて、
なので二段階認証云々というか、そもそもこのクレジットカードセキュリティの対策っていうAmazon側が取っている対策をバイパスっていうんですかね、
回避されてしまっているというふうに見ても良いのかなというところがあるので、
今回の問題っていうんですかね、手口っていうのがちょっとまだわかんないんですけども、
もしかするとその利用者側ではなくてAmazon側に何か起因した問題っていうんですかね、
ちょっと表現が適切かわからないんですけども、もしかしたらその脆弱性のような、
そういったものがあって悪用されている可能性っていうのがあるのかなっていうのが、
Amazonのヘルプページなんかを見ているとちょっと見ていて思ったところではありました。
スピーカー 2
そのカード番号の再入力っていう対策っていうか、それはもともとあったの?
スピーカー 3
もともとあったと思いますね、はい。
スピーカー 2
ということで、今回の別に騒ぎ分論関係なく、以前から遅れ先が新規のメールの場合には、
そういう対策が実装されていたにもかかわらず、今現在起きてますという、そういうことね。
スピーカー 3
というふうに、はい、私見ております。
スピーカー 2
なるほど、なるほど。だとしたら、なんかそこはちょっとおかしいじゃないのっていうのはあるよね。
スピーカー 3
ちょっとそのヘルプページがいつ記載されたかっていう日付が書かれてないので、
ちょっと今のねぎしさんの問いに対して正確に答えができないんですけども。
スピーカー 2
なんかね、ユーザー側に起因するのとしたら、今のさっきの看護さんの可能性の話で、
事実がどれか正直今の段階でよくわかんないけど、
2段階認証突破っていうのはちょっとマイザーミドル型のフィッシング以外ではちょっと現実的ではない。
国内だとね、そのSIMスワッピング的なSMS乗っ取るみたいなのもできなくはないけど、
だとしたらもっと他にもいろんな影響が出てくるだろうとか、いろんなことを考えると、
なんか一番そのインフォスティーだけで乗っ取られてるんじゃないかっていうのが一番可能性が高そう。
スピーカー 3
そうですね、真っ先にね、それが。
スピーカー 1
しっくりくるかなっていう感じはしますよね。
スピーカー 2
なのでユーザー権威であればその可能性が高いし、
もしくはそのさっき言ってたみたいなAmazon権威で何か問題がある可能性が、
ただそれだとするともっと被害が大きくてもいいような気がするという。
スピーカー 3
そうなんですよね。ちょっとXに投稿されている方の数を見ると、
ちょっとそこがね少し違和感があるなっていうのは。
スピーカー 2
正直それ以上は僕らも推測以上のことは分からないというか。
スピーカー 3
はい、そうですね。
スピーカー 2
なるほどね。
スピーカー 1
複合かもしれない。複合というか、それぞれの原因が違う可能性もありましてね。
今やられたって言ってる人の。
スピーカー 2
対立の原因じゃないかもってことね。
スピーカー 1
この人はフィッシングでやられてたとか、
スピーカー 2
確かに。
スピーカー 1
2段階認証オンにしてるらしいとか言ったら本当にしてたかどうかも分からない。
確認の必要がないじゃないですか。
スピーカー 3
はい。
スピーカー 1
しょっちゅうしょっちゅうAmazonなんてフィッシング来るから、
全員が同じ原因っていうのも、
それもなかなかどうなんかなみたいに思いながら僕も見てたんですけどね。
Amazonの対応策と現状
スピーカー 2
ただ同じタイミングである程度まとまった数が何か言ってるっていうのは、
何かしら共通する原因がありそうではあるけどね。
スピーカー 1
そうですね。ボリュームゾーンが同じ原因っていうかもしれないですけどね。
スピーカー 2
やられてる内容も同じっぽいしさ。
スピーカー 3
はいはいはい。
スピーカー 2
最初にテストで買ってその後大量で買うとかっていうのは、
いかにも犯罪者がやりそうなマニュアルっていうか手口っぽい感じがするから、
特定の手順に従って粛々とやっているような気がするので、
だとすると共通する原因があってもおかしくはない。
スピーカー 3
謎が深まるんですけど。
スピーカー 2
謎だよね。謎だけど、
あまりいわゆる本当のパスワードをちゃんと運用していて、
2段階以上もきちんと運用していたら、
普通そんなに簡単に突破されないので、
そこはそんなに気にする必要はないと思うんだけど、
むしろ自分の端末が安全かとか気にした方がいいんじゃないかっていう。
スピーカー 1
僕の周りにも何人かとかいて、これちょっと喰らったみたいな。
本当?
その人は結構正直に言ってるんやろうなと思いましたけど、
いやそもそもパスワードの部分は使い回してたかもしれないですみたいな。
スピーカー 2
その人は2段階認証は?
スピーカー 1
オンにしてて、SMSでやってましたね。
だからそこから先は看護さんがこれまで話してくださったように、
そこはちょっとどうなってたかわからなくて、
スピーカー 3
あとSMSのワンタイムは飛んできてなかったって言ってたんですよね。
スピーカー 2
だから多分突破されてるんじゃないんだと思うんだよな。
スピーカー 1
そうなんですよね。
普通は認証すると飛んでくるじゃないですか。
スピーカー 3
そうですよね。
スピーカー 2
電話番号乗っ取られてるわけでもないのに、
飛んでこないのに突破されるってことはちょっとありえないから。
スピーカー 1
てことはその前のものを使われてるって考えるのが自然ちゃ自然ですよね。
そうですね。
あと僕もう一個ニッチなこのパターンみたいなのを1個だけ考えてたんですよね。
いろんなパターンを事件を見てた時に考えてたんです。
インフォスティーラーもありそうやなと思ってたんですけど、
二段階認証のリセットを使うっていうやり方もありえるかなと思ったんですけど。
スピーカー 2
サイトによってはそういう穴があるところとかもあるよな。
そうそうそうそう。
ピーチサンドストームの攻撃キャンペーン
スピーカー 1
Amazonの場合は身分証みたいなやつ、住所とか名前とかがはっきり映ってるようなものをアップロードしたら、
1日から2日ぐらいでリセットされて、二段階認証が無効になるんですよね。
スピーカー 3
へー。
スピーカー 1
でもそれしても多分通知のメールが来るんで、
気づく方法はあるのかなと思うんですけど。
こういうパターンも無しではないのかなと。
あんまなさそうやけどこういうのもあるかなとかいろいろ思いを巡らしてはいたんですけどね。
スピーカー 2
サイト側のそういう認証周りの手続きに何かしらその穴というかバックドアがあるっていうのは、
これまででも結構そういう事例は知られていて、
時々狙われて、使われて、悪用されて、塞ぐみたいなのはある。
スピーカー 1
そうですよね。本人確認に不備があったとかありますもんね。
スピーカー 2
ただまあその場合にはね、サイト側が多分すぐ気づくはず。
だしAmazonぐらいあったら多分それで原因はもう分かってないとおかしいので。
そうですね。
Amazon側もすぐに理由が分かってないっていうところを見ると、
なんか本人側になりつまされていて、Amazonからは正規ユーザーに見えているんじゃないかなっていう。
スピーカー 1
Amazonからは分からないところでってことですね。
スピーカー 2
だからユーザー基因じゃないかなっていう気が、想像だけどね。分からないけど。
まあその辺でも明らかにしてほしいというかね。クリアにしたいよね。
スピーカー 3
とりあえずなんかもう二段階認証、さっき言ったその突破されたとかっていう、
そういった投稿がすでに現状されている現状はあるので、
そこに対してしっかりとした正しい情報っていうのは、
Amazon側も原因がもし分かったらしっかり流してほしいなっていうふうには思いますね。
もうこれで二段階認証意味ないとかっていうふうに思われてしまうとそれはそれでよろしくないと思うんで。
直方待ちましょうという感じですね。
スピーカー 1
はい、分かりました。ありがとうございます。
はい、じゃあ次はねぎすさんに行きましょう。
はい、じゃあ今週私からはですね。
スピーカー 2
マイクロソフトからちょっと今週注意喚起が出てたんだけど、
ピーチストームって呼ばれている攻撃者グループのキャンペーン、
最近ちょっと観測しましたよっていうので出てたので、
これを今日紹介したいと思ってるんですけど、
まずですね、このピーチストーム、ピーチサンドストームかごめんなさい。
ピーチサンドストームだね。
というのは、いわゆるイランの国家が背景にいると言われている
ネーションステートスレッドアクターと呼ばれている攻撃者グループの一つで、
もともと前はマレコスとこれホルミウムっていう元祖の名前で
もともと呼んでたんだけど、名前が変わって今ピーチサンドストーム。
名前変えられたやつ。
他にはAPT33とかいくつか名前が呼びながらあって、
2017年ぐらいから活動報告が上がっているような
そういう攻撃者グループですと。
今以前からマイクロソフトも報告はしてるんだけども、
今年に入ってちょっと目立つ攻撃キャンペーンがあるということで
注意喚起が出てたんだけど、
何かというと、これまでのところ2023年は主に衛生通信だとか
防衛産業だとか医薬品系とか、特定の業界を狙うような
いわゆる情報摂取っていうの、サイバーエスピオナージュとかって言われるような
国家が特定のそういったところの情報を収集するような
そういう目的であろうと見られるという活動が目立ってたんだけど、
今日今回紹介する攻撃キャンペーンというのは
ちょっとそれと少し異なっていると思うんだけども、
初期侵入のところで様々な業種とか地域とか、今言ったようなターゲットに限らないような
幅広い業種の組織、およそ数千の組織に対して
侵入を試みてましたということなので、
マイクロソフトの見立てでは、おそらく初期アクセスの
侵入のところの手口におよそ数千の組織に対して
侵入を試みてましたということなので、
マイクロソフトの見立てでは、おそらく初期アクセスの
侵入のところの手口に関しては、
多分オポチュリティックにやっているというか、
要するにどこでもいいからとりあえず入れればいい、よしみたいな、
そういう感じで特定のところを狙ってターゲットに
やったんじゃないだろうと。
その数千の組織に対してやったという初期侵入の方法は何かというと、
大きく二つあって、一つはよく他にも使われているけれども、
インターネット上に公開されているアプリで
脆弱性を使うというやつで、ここで紹介されているのは
ZOHOのマネージエンジンというやつと、コンフレンスの2つの
どっちも2022年の脆弱性なんだけど、
これ両方ともKEVのカタログにも載っているやつで、
以前から悪用が確認されている脆弱性の一つです。
それを使って侵入するという事例があります。
ただ、これはよく他にも見られるので、
今回の目玉じゃないんだけれども、
もう一つの初期侵入のパス、
2つのうちのもう1つの面白い特徴があると思うんだけど、
パスワードスプレー攻撃と脆弱性の悪用
スピーカー 2
パスワードスプレー攻撃でアカウントを乗っ取るというので、
パスワードスプレーはPodcastでは取り上げたことがある気がするんだけど、
改めて説明するまでもないかもしれないけど、
よくある少数のよく使われる脆弱なパスワードを固定して使って、
多数のアカウントを順繰りにいろいろログインしこうしていくというような、
そういうやつだよね。
だからいわゆるブルートフォース攻撃というのは、
パスワードをそのあたりで狙うというのに対して逆方向で、
パスワードの方は固定にしてアカウントをいろいろ変えていくというそういうやつだね。
リバースブルートフォースと言われたりもしますかね。
スピーカー 1
そうだね、そういう呼び方もしますね。
スピーカー 2
この攻撃の利点は、
パスワードの弱いアカウントを集中して狙えるという、
あとパスワードを固定してアカウントを変えることで、
特定のアカウントに対するアカウント指向を何回もしなくて済むので、
仮にログインに失敗してもロックアウトするのを避けることができるというのが、
最大の攻撃の利点だよね。
攻撃された側が気づきにくいというのかな。
今回の攻撃者はこのパスワードスプレーを広く使っていました。
明確に書いてないんだけど、
侵入後にAzureの中から侵入されたということを言っているので、
あと報告しているのがマイクロソフトなので、
Azureを使っている顧客に対する攻撃だと思うので、
マイクロソフトアカウントとかAzureのアカウントとか、
多分そういうやつのことを言っているんだと思うんだけど、
それに対してパスワードスプレーで、
結構それで成功しちゃうところが、
まあまああるんだなっていう、
通常のアカウントに対して、
まあまああるんだなっていう、
数千の組織が攻撃されているって言っているので、
それそんなにあるの?って、
ちょっと僕がまずそこに一回びっくりしたっていうのと、
あとこの攻撃手法自体は、
このピーチサンドストームは前から使っているので、
そんなに別に珍しくはないんだけども、
国家主体の攻撃者グループが使う手にしては、
まあなんていうかちょっと雑っていうかね。
スピーカー 1
雑というか泥臭いというか、
犯罪者っぽいところが使う手口のイメージですよね。
そこがちょっと面白いなっていうのと、
スピーカー 2
ただ一方でね、
今日はちょっとすごく詳しく話さないけども、
侵入に成功した後の手口は、
まあなんか普通のよくある標的型の攻撃っていうか、
その国家主体のアクターとかが使うような攻撃手法だったり、
ツールとかを使ってたりとかするので、
若干その初期侵入のところだけ力技だなって感じるところがあって、
なんか担当者でも違うんですかね。
スピーカー 3
なんかちょっと違和感を感じるなーっていうのはある。
スピーカー 2
分業家っていうことですね。
スピーカー 1
もしかしたらね。
スピーカー 2
もしかしたら何かそこで違いがあるのかなっていう気はする。
ただまあ実際それで、
外国人とか注意喚起を出すぐらいなので、
かなり幅広い被害が実際出てるんだと思うし、
まあそれが成功しちゃうっていうところが、
攻撃手法としてね有効な理由なのかなというふうに思います。
マイクロソフトは観測した攻撃キャンペーンの特徴として、
このパスワードスプレーについてもう少し詳しく書いてるんだけど、
例えば今年の5月、6月に観測した事例で言うと、
なんかこれできすぎな気がするけど、
イランの標準時間で、標準時刻かタイムゾーンで、
9時から17時の時間に集中してますと。
グラフを見ると確か明らかにその、
9時から急に増えて、8時から急に増えて、
17時、18時くらいから減るみたいな。
落ち着き始めるんや、夜に向かってね。
スピーカー 1
なんかそういうタイムシフトで動いてるのかなみたいに見えるとか、
スピーカー 2
ただね曜日がちょっと面白くて、
曜日も書いてあるんだけど、
日曜日から水曜日までがすごく多くて、
目金動画少ないんだよね、活動が。
まあこれもちょっとよくわからないけど、
まあそういう週休3日さんなのかなっていう。
日曜日が多いっていうのは結構珍しい。
スピーカー 1
面白いよね。
なんかそういうシフトで動いてるのかどうかわかんないけど、
スピーカー 2
明らかにそのパターンが見られるというのがあって、
ちょっとそれが少し面白いかなという感じですね。
あと最後にもう一つ、
このパスワードスプレーって他にも、
過去にもこのPeaches&Stormsが使ってたってさっきちょっと言ったんだけど、
過去の手法とちょっとだけ違うところがあって、
一つは、今回は過去と違って、
Tor経由でアクセスをしてますと。
それからあとユーザーエージェントが
GoHTTPクライアントっていう風になっていて、
これだからゴーラング使うと多分おそらくカスタムのツールか何かを
作ってるか何か。
数で攻めるための。
スピーカー 3
おそらくね、自動化したそういうツールを何かカスタマイズしたものを
初期侵入手法と被害の広範囲
スピーカー 2
自分たちで作ってるか、
マナーシャーそういうものをどこから使っているか、
利用してやってるかわかんないけど、
ユーザーエージェントに今までなかった特徴が出てますという話なので、
そういうツールをおそらく使ってるんでしょうと。
いうところで、パスワードスプレーと一口で言っても、
ちょっとだけ進化はしてるんだねっていう感じでした。
スピーカー 1
へー。
これパスワードスプレーのことの時間とか思考回数とか書いてるじゃないですか。
グラフにされてたじゃないですか、このレポートって。
そのパスワードスプレー、さっきカンゴさんが言ったみたいなところで、
パスワードスプレーが攻撃の初手というかイニシャルアクセス、
その入れた後までどれくらい時間が空いてるんだとか、
そういうのはあんま言及されてないんですか。
スピーカー 2
どっちかというと一個一個の攻撃のタイムライン的なものを書いてなくて、
一応その後にパスワードスプレーで侵入した後何やるかというと、
多分顧客によって違うと思うんだけど、
いくつかのAzureを使っている顧客、被害者に関して言うと、
Azure Houndっていう有名なブラッドハウンドのAzure版のツールとか。
スピーカー 1
それもGoか何かで書かれてましたよね。
スピーカー 2
Goバイナリティ。
とかロードツールズってよく使われているような、
Azure ADから情報を取ってきて、その後の攻撃に使うための、
偵察行為でよく使われるツール、有名なツールがあるんだけど、
それを今回の攻撃者も何か使って、
そういう情報収集をしているっていうのが見えていますと言ってるんだけど、
ストーム0324の攻撃経路
スピーカー 2
実際に侵入に成功したからそこまでスムーズにやっているのか、
何かちょっと時間が空いているのかとか、
そこら辺はあまり言及がなかったので、はっきり分かりません。
スピーカー 1
曜日別のやつが日曜日から増えているみたいに言ってたじゃないですか。
だからもし攻撃者が別になっているとか、
中に入るのは別の人たちがやるみたいな、
高度なテクニックを持っている人たちがやるってやったら、
入り口を探すのは日曜日ぐらいから始めれば、
月曜日からその後の人たちが仕事をできやすいなとか。
そういう感じで動いているのかなと思った。
スピーカー 2
チームで分業したりとかしてね。
スピーカー 1
だからお前らスタッフは日曜日に、
俺らが月曜日から仕事できるようにやっとけ!みたいな感じのこともあるのかなとかね。
スピーカー 2
確かにそういうのは実際のところはよく分からないけど、
そういう分業があってもおかしくはないよね。
スピーカー 3
そうですよね。
スピーカー 2
だし交易手法が明らかに異なっているという感じがするので、
そこはもしかしたら本当に分業かもしれないね。
スピーカー 3
ランサムギャングもやってますからね。
スピーカー 1
そうですね。IABとかで見ますしね。
スピーカー 2
そんな感じで、この後もね、
侵入後、今偵察行為やるって言ったけども、
他にもAzureのサブスクリプションを新しく作ったりだとか、
あと、侵入した後に横展開するためにリモート管理のツールの、
何かAnyDeskを使うとか、
いろいろ、よく他の広域でも使われるような手法がいくつか見られますみたいな、
そんな説明があるんだけど、ちょっと今日はそこを割愛するけども、
そういう感じで、所定の部分と侵入後の活動に若干ギャップがあるねっていうのが目を引いたのと、
あと対策とかも書いてあって、Azureの環境なんで、
よくある条件付きアクセスをちゃんと使いましょうとか、
多要素認証とかをね、ちゃんと使えばパスワードスプレーなんか防げるよとか、
スピーカー 1
証明書とかでもいいですね。
スピーカー 2
そうそう。よくあることが書いてあって、
これも後で実際の原文を読んでもらえればいいと思うんだけど、
なんかちょっと僕はそのギャップがあるとさっき言った部分と、
今回はそのポチュリシティックにその弱いところを、
狙ったといえば弱いところにたまたま入ったということだと思うけど、
とは言っても、MS側がこうやって注意喚起をするぐらい、
それなりの数の被害が出ているという現状にちょっと危機感を覚えるというか、
まだ未だにパスワードスプレーとか有効で使えるんだっていうのが、
ちょっと改めて僕らもというか、見直したほうがいいっていうか、
スピーカー 1
そうですね、足元ね。
スピーカー 2
未だにこれ使えるんだねっていう。
だってパスワードスプレーなんてもう本当何十年も前から攻撃なんで、
今でも有効なんだね、こんなのね。
スピーカー 1
国内とかでまだまだインターネットのバンキング零明期の頃とかは、
ロックされないように弱いパスワード固定して銀行のアカウント狙う攻撃とか、
昔からありましたもんね、そういうのね。
スピーカー 2
そうそう。手法は新しくないんだけど、まだ未だに有効だろうし、
それを防ぐ手法はそういう意味では前からあるし、
Azureでなくても別にどんなところでもそういうのってあると思うんだけど、
適切に運用されてないというか、
のがちょっとまずいかなというかね。
ですね。
スピーカー 1
運用、前回もこういうことがあまりうまく伝わってないんじゃないかみたいな、
前回のフォトキャストでも言いましたけど、
そのパスワードに関してこうしましょうみたいな、
ずっと秘伝の樽敵にずっと伝えてきていると思うんですけど、
パスワードはこういうふうにしましょうとか、
パスワードの鉄則みたいな伝え方をしすぎてるのがちょっと良くないのかなって、
昔から思ってて。
まず攻撃者はこういうことをしてきます。だからこうしましょうっていうのが、
抜けてるようが多いと思うんですよ、僕それ。
スピーカー 2
なるほど。実際の脅威がどういうものかを知らずに、
こうすべきですっていう、
お題目だけ唱えすぎたんじゃないかっていうことね。
そうなんですよね。短いパスワードがダメなのは、
スピーカー 1
例えば4桁の番号やったら1万回試したらいけちゃうでしょとか、
そのやり方みたいな、その破られ方から入っていかんと、
そのリバースブルートフォースみたいなのがあるとかって、
攻撃手法キックで話していった方がいいんじゃないかなって、
僕は思ってるんですけどね。
スピーカー 2
確かにね。今回のもしかしたらそういう、
弊害の現れかもしれないよね。
スピーカー 1
そうそうそう。
これどうやってこれ、
よくある攻撃の仕方が書いてありますけど、
こういうのどうやって紐づけて、
このピーチサンドストームやって言ってるんですかね。
スピーカー 2
そうね。過去のいくつかの攻撃キャンペーンとか、
MSもそれ対象してるっていうのがあって、
それと関連づけてるんだと思うけど。
スピーカー 1
攻撃インフラとか、そういう感じなのかな。
スピーカー 2
そうだね。どうなんだろうね。
それは分からないっていうかね。
多分攻撃手法も毎回少しずつ変わってる。
丸消し変わるってことも中にはあると思うし。
そうですよね。
メールやシェアポイントを利用した攻撃手法
スピーカー 2
そういう場合にはアトリビューションって難しいよね。
スピーカー 1
特に今回みたいなやつでは、
ねぎすさんも違和感を覚えたように、
言い口がえらい泥臭いことでやってきてるっていう、
結構大きな退化した変化じゃないですか。
コードじゃない変化をしてるじゃないですか。
入り口の面で言うとね。
スピーカー 2
ピーチサンドストームに関しては、
前もパスワードスプレーは使ってたっていう実績があるので。
スピーカー 1
それもあんのか。
スピーカー 2
その辺との類似性とかもあるんじゃないのかな。
スピーカー 3
かもしれないですね。
スピーカー 2
あんまりさ、いわゆるレーションステートって言ってるやつで、
こんな泥臭いのを使うのってそんなに他にない。
スピーカー 1
だから余計に分かりやすいってことか。
スピーカー 2
っていうのもない。
それもあって今回改めて取り上げてみるのも面白いかなと思ったんだけど。
スピーカー 1
確かにパスワードスプレー使った国家背景の攻撃者ってあんまり。
確かにそうですね。
スピーカー 2
だからそぐわなくない?
スピーカー 3
目立ちますからね、ほんと。
スピーカー 1
すぐバレるやんみたいな。
スピーカー 3
そんな大量にやったら。
スピーカー 2
だからそれも意外でさ、そんなのでもまだ有効なんだなっていう。
スピーカー 1
まだまだちゃんとやらなあかんとこがあるっていう教訓ですよね、これもね。
スピーカー 2
そう、そうなの。そういうふうに思いましたね。
スピーカー 1
いや面白い、面白いなこれ。
僕ちゃんと読んでないから読んでみようこれ。
はい。
ありがとうございます。
最後僕なんですけど。
僕もマイクロソフトのレポートから。
スピーカー 2
お、気がありますね。
スピーカー 1
MSつながり。
そうなんですよ、MS。
でもこの業界で事故したらMSつながりまくるやろと思いますけど。
確かにね。
OSで言うたら半分ぐらいWindowsだからね。
スピーカー 2
あとマイクロソフトは結構ね、こういう攻撃活動とかをしっかり観測して分析して結構公表してくれてるからね。
スピーカー 1
そうですね。
ありがたいですよね。読みごたえあるやつ結構多いですしね。
はい。
で、僕は今回はですね、攻撃者の名前で言うとストーム0324っていう。前の名前だとデブ0324って数字一緒なんですけど。
スピーカー 2
ストームなんちゃらってのがいっぱいありすぎてよくわかんないんだけど。
スピーカー 1
そうですよね。ただこれ別名で言うとTA543とか。
スピーカー 3
わすわすわからん。
スピーカー 1
サグリッドっていう名前で呼ばれていますって。もうどの名前もピンとこんなみたいな感じのやつなんですけど。
どんな攻撃者かというと初期アクセスを獲得してという、さっきの話ではないですけど、侵入したネットワークのアクセスを攻撃者に引き渡すっていわゆるIABとしての振る舞いを昔からしてきてるグループなんですよね。
スピーカー 2
それに特化してるわけね。
スピーカー 1
今までやってきた攻撃の仕方とかだったら契約書関係とか会計系のドキュサインとかクイックブックスっていったら支払いとか契約とか請求書を装ったドキュメントを使ってJSSローダーっていわゆるいろんな機能を持ったRATみたいなやつですね。
Teams経由のフィッシング攻撃
スピーカー 1
リモートアクセスするようなツールを配布する攻撃者ということで、2016年ぐらいから確認されているような攻撃者グループなんですけど。
過去にこのグループ化した攻撃でポピュラーなものでいうとアイスドアIDとかあとドリデックスとかランサムでいうとガンクラブですね。
これももう今もいなくなっちゃいましたけど。
こういったものの配信に関わってきてたとおぼしきグループというふうに言われてるんですよね。
2019年ぐらいからはJSSローダーをインストールして感染させた後はラースのアクターにアクセスを引き渡すというふうなもので、関係あるって言われているようなラースのアクターでいうとダークサイドとかコロニアルパイプライン攻撃者グループですね。
その後に引き継いだんじゃないかと言われているブラックマターとかっていうふうな、マイクロソフトの名前でいうとサングリアテンペストっていうグループに引き継ぐみたいなことを言ってたりするんですけども、こういったグループだと。
攻撃の流れっていうと、さっきJSSローダーを設置するって言ったんですけど、大抵の場合はメールで支払いとか請求書をよそってリンクをクリックしたりするとシェアポイント上に置かれた圧縮ファイルをダウンロードさせられて、それを開いて実行するとマリシャスなDLLをロードする、ドロップするという最終的にJSSローダーに感染するというふうな流れなんですよね。
場合によっては検出されるのを回避するために、RUANに使っているそういう契約書の中にパスワードを設定しているようなものとか、あとは脆弱性を使ってきたこともあって、CVで言うと202321715っていう、今年の2月に修正されたドットパブファイルでMOTWがうまく動かんっていうやつですね。
これを有効にするボタンっていうのが表示されちゃうっていうふうな、一律禁止っていうふうなものがうまく働かないっていうふうなものを使ってきたり、というふうなこともしてきている攻撃チェーンを使ってたグループです。
で、このグループが今まで使ってこなかった新たな攻撃経路を使ったっていうのが今回レポートで取り上げられた理由なんですけれども、今年の7月ぐらいからメールになんか添付とかメールになんか書いてあるリンクが貼ってあるとかそういうのではなくて、マイクロソフトのTeams経由で悪意のあるリンクを送信するっていうことをこのグループが開始し始めたと。
で、この時に使われたツールっていうふうに思われているものがTeams Fisherっていうアメリカの海軍のレッドチームがリリースでGitHub上に上げられてるんですけど、Pythonで書かれているやつなんですけど、Teamsのテナントが外部のユーザーにそのリンクを送信することができるっていう仕様になってしまってるものがあって。
スピーカー 3
話題になってましたよね。
スピーカー 1
そうそう、それも話題になったのは7月の頭ぐらいからこれ結構日本の記事にも出たツールなんですね。外部テナントに送れちゃうっていうふうなやつで、それでアクセスさせてフィッシングに使うというか、おびき出すのに使うというふうなものですね。
なので外部のアクセスがこういうことができる、できる、できないっていうふうな設定があるんですけど、その設定が外部アクセスを許可しているっていうのが前提ではあるんですけど、これを使ってやってきてるんじゃないかっていうふうなことがこのレポートにも書かれてあるというふうなものですね。
感染してからの手口はほとんど一緒みたいですけど、入り口が変わってきたっていうところで、こういう入り口もあるんだっていう経路を知っておかないと気をつけようないですから、こういったものも知っておいていただいた方がいいんじゃないかなというふうに思って紹介したんですけれども、
マイクロソフトのセキュリティ対策
スピーカー 1
あとは改善策というか対策に関しては結構いろんなパターン書かれてあるんですけど、マイクロソフトとしてはこの件を受けて、認証されてないこういう詐欺的というか攻撃的というかこういう行為をしているアカウントとテナントを停止しましたというふうなことを言っていて、
加えてじゃあユーザー側で何できるかっていうようなこともいっぱい種類が書いてあるんですけども、その中でいろんな一般的なものは結構並んでたんですが、主なものとしてはフィッシング体制である認証方式をきちんと使いましょうだとかっていうのもあったり、
あとはあれですね、信頼できるマイクロソフト365の組織を指定するというふうにすると、特定のドメインを許可かブロックするっていうような設定なんですけど、これをオンにしてここしかダメっていうふうにすると、そういったフィッシングに使われるようなチームズフィッシャーとか使ったようなメッセージが届かなくなるので、そういったことも検討しましょうとか、
あとはリンクですね、今回の攻撃の件だけではないんですけど、Microsoft Defender for Office 365っていうのを使ってると、それの安全なリンクっていうふうな機能があって、そのリンクの中身を評価して、悪意のあるようなものとかだとURLとかを書き換えて大丈夫な状態にしてくれたりとか、クリック時の検証を提供してくれたりとかっていうふうな、これライセンスがあるかないかによってできるできないはあるかと思うんですけど、そういった守る方法っていうのがいくつも挙げられていました。
全体見ててこう読んで思ったんですけど、経路は変わっても根本的な回避とか緩和とか防御策みたいなところって、やっぱりそんな大きく変わってへんなっていうふうにもまた改めて思ったんで、これいっぱい本当に緩和策みたいなところはダーって書いてあるんで、自分たちがチームズを使ってた場合ですけども、こういったものを使ってた場合に現状で対応可能なものをやってるかやってないかっていうのを確認するのにも使っていただければいいんじゃないかなっていうふうに思いました。
なんかソリューションを買おうとかっていうふうに見るよりも、まず自分たちのマイクロソフトもセキュリティ機能を結構有効にしてくれてるものもいっぱいありますし、一昔と比べたらデフォルトでできること結構増えてるなっていうふうに僕も思ってるんで、現状こう金かけなくても自分たちのライセンスってどこまでできるんやっけっていうのを見直すいい機会にできればいいんじゃないかなというふうに思いましたというお話でございます。
スピーカー 2
さっきさ、すごく大事なことを言ってたけど、最初のね、書店の部分の経路、攻撃経路っていうか、経路はいろいろやっぱり変わってて、フィッシングとかもそのメールだったのがスメッシングだろなんだろって言われたりとか、SNSとかメッセージアプリ的なものを使ってLINEとかね、わかんないけど、そういうのに移ってったりとかいろいろあって、今はTeamsだったりSlackだったり、コラボレーション向けのツールが狙われるとかさ、
いろいろ変わっていくけど、結局でも大事な基本的な体制が変わらないとは言ったけど、なんかやっぱり僕らの側にもさ、その使うツールが変わって入り口が変わると、なんかこれまでとなんか違うって思っちゃうというか、例えばそのTeamsには外部からフィッシングなんて来ないみたいな
思い込みというかね。そうそう思い込みとか、例えばそのSNSとかのメッセージだと友達から来てるメッセージだから安心なはずとかっていうさ、そういう思い込みみたいのがあって、メールならスパムやらなんか怪しいものがいっぱい飛んでくるっていうのが感覚として見えついてるけど、確かにそうですね。
そういう過信とか思い込みとか、あるいはその経験値が浅いから来る、そういう部分っていうのが裏目に出ちゃうケースがあるのかな、そこを攻撃者に狙われるのかなっていうのは、なんかね思うね。だからこそ、そういうところじゃない根本的な対策が大事ってことになるんだと思うんだけど。
スピーカー 1
そうですね。できることできないことっていうのはライセンスによってあるとはいえ、できることを有効にしてないっていうケースとかもまあまああるじゃないですか。そうね、それが必要だと感じてないとかね。そうそうそうそう。だからそういう基本的なことみたいなのをできるできないあったとしても、できることはやっておくことで、こういう新しいものが来ても騒がなくて済むっていうようなことを考えたらやっぱり常日頃の自分たちどうなってんねみたいなのは大事やなと思います。
スピーカー 2
そうね。だいたいこういうのってアクセス制御の首とかもそうだけどさ、さっきのその信頼できるね、その組織とかテナントとかを設定しましょう的なやつもそうだと思うんだけど、攻撃されてみて初めてその必要性に気づくっていうパターンが多いじゃない。別にもともとそんなアクセス必要なかったんだから最初からアクセス制御して絞っておけばよかったのに、やられてみて初めてそこがゆるゆるだったとか、そもそもそういうことができたっていうことにその時気づくみたいなさ。
スピーカー 1
そもそもそういうことできるんやみたいな感覚かもしれないですよね。
スピーカー 2
自分たちが使っているその製品ライセンスとかでそういうことができたんだっていうことを後付けで知るみたいなことになって、それがすごく残念なので、やっぱりこういうその注意喚起だったり、あるいは他社の攻撃の実際の侵害事例だったり、そういうところから教訓を得て学んで、できればやられる前にプロアクティブにそういうことができるといいよね。
スピーカー 1
これもなんか自分で喋ってて思ったんですけど、さっきの攻撃手法から入ってない話あったじゃないですか、僕が言った。それにこれも通じるんじゃないかな。
守る側がこういうことできますっていうふうに紹介するけど、それはなんでなんですがやっぱり書かれてないんですよね。これMSの文章を見ても思ったんですけど。
リンクからこの対策のところをクリックした、例えば信頼できるマイクロソフト365組織を指定するっていうところをクリックして開くと、信頼するドメインを指定できるんですから入るんですよ。なんでやらなあかんのみたいなのがあんま書いてないんですよね。
スピーカー 2
だからさ、逆のリンク、ちょっと細かい話だけど、こういうドクメントも逆のリンクがあった方がいいのかもしれないね。
スピーカー 1
逆のリンクっていうのは?
スピーカー 2
だからさ、この攻撃キャンペーンの注意書きを見た人は対策の必要性がわかるけど、その対策の文章を見てもなぜ必要かっていうのがわかんないから、こういう過去に攻撃キャンペーンで使われたんですよっていうリンクがあると。
スピーカー 1
確かにそうですね。
スピーカー 2
わかるね、そのバックリンクっていうか、ドキュメントとかのオーガナイズをするツールとかだいたいバックリンクがついてるんだ、機能として。
スピーカー 1
逆からもいけるようにってことですよね。
スピーカー 2
これはなぜ必要なのかっていうのを元のリンクをたどって戻れるから、理解がしやすいっていうかね。
そういうのもあるから、そういうのももしかしたら、今のは文章の構造の話で細かい話だけど、
ただ、その注意書きをする立場とすると、なぜこれが必要?なんでこういう攻撃キャンペーンがどこで使われてる?なんで?っていう部分がパッと見てわかんないっていうのは問題かもしれないな。
対策だけ見てもね。
スピーカー 1
やり方とかね、どういうことができるとかっていうのは書いてるんですけど、
これがあったから何が守れたん?とか、これをやってなかったからどんなひどいことになった?みたいなものがピンとくるような仕組みっていうのは大事なのかなっていうのは思いましたね。
スピーカー 2
そういう点で考えると、新たなアタックのフレームワークはそういう点はよくできてるよな。
ユーザー側での対策
スピーカー 3
確かにそうですね。
アタックはね、そういう感じの構成ですもんね。
スピーカー 2
確かに。
だからそれがよく考えられてるよな。
スピーカー 1
テクニックからどんなやつに使われたっていうのを見れるし、どんなやつらがどのテクニックを使ったかで、両方の観点から見られますし。
スピーカー 2
様々な分析の視点ができるっていうのは、あれはやっぱり優れてるよな。
スピーカー 1
実例の報道されたリンクとかにも、リンクにも書かれてたりしますしね、報道とかもね。
あれはそうですね、言われてみればよくできてますね。
スピーカー 2
このTeamsも短時間でものすごいユーザーが増えて、それ以降やっぱりなんだかんだで結構広域に使われたっていう事例が後を絶たないというか、それは狙われるよねって感じだよね。
スピーカー 1
そういうユーザーが増えればね、人の繋がりを悪用するものでもありますからね。
スピーカー 2
利用してる人多いと思うんだけど、365とかもそうだけど、そういう主要なメジャーなプラットフォームになったものは、
Zoomとかもそうか、一気に人が増えてメジャーなプラットフォームになったものってのは、大体その後攻撃されるので、そういう心構えも必要かもしれないね。
スピーカー 1
確かに、Zoomもコロナ禍に入ってからめっちゃ脆弱性見つけられたりとかしてましたもんね。
スピーカー 2
そうだよ、その前は全然そんな見向きもされなかったもん。
スピーカー 1
そもそもあんま知らんかったしぐらいのレベルではありますよね。
スピーカー 2
Teamsもそうでしょ、一気にユーザーが増えてからでしょ、こんなに言われてなったのはさ。
スピーカー 1
そうですね、そんな活用あってもそこまで今ほど活用もしてへんかった組織も多いでしょうしね。
学びが多いです。
スピーカー 2
興味深いね、いろいろ。
スピーカー 1
興味深いですね。
ありがとうございます。
メッセージカードの紹介
スピーカー 1
はい、ということで今日もセキュリティのお話を3つしていきたいと思います。
最後におすすめのコーナーなんですけれども、
今日僕がですね、紹介するのはですね、メッセージカード。
スピーカー 2
お、なんか珍しいね。
スピーカー 3
メッセージカード。
スピーカー 1
どうですか?お二人はメッセージカードとか送りあったりしますか?
スピーカー 2
なかなか送る機会ないよね。
スピーカー 3
あんまりないかな。
スピーカー 1
メッセージカード自体を送るというよりも、何かにメッセージカードを添えるとかオプションじゃなくても付けれますみたいなもの。
Amazonとかもそうなるじゃないですか。ちょっとしたメッセージ付けるとかね。
そうじゃなくて、お祝いだとか誕生日だとかありますけども、そういったものをメッセージカードだけで伝えるってこともいいんじゃないかなということで。
今日僕が紹介するのは、日本ホールマークっていうところが出してるやつでですね、いくつかいろんな種類があるんですけど、僕がこれめっちゃおもろいなと思ったやつは、
エンカネコ2っていうやつでですね、メッセージカードが猫の形してるんですよ。
それに小っちゃいメモ帳みたいなのを挟むんですけど、そのカード自体がポチって押すと、エンカ帳にハッピーバースデー歌ってくれるっていうオルゴール機能付きのやつなんですよ。
スピーカー 2
その円か。はいはいはい、なるほど。
スピーカー 1
紙でできてるんですが、中にポチって押すところと、小っちゃいスピーカーみたいなのが付いてて。
スピーカー 2
いろいろ音楽が流れるメッセージカードってのは昔からあるよね。
スピーカー 1
そうそうそう。で、これいろんな種類があるんですよ。
例えばダミ声恐竜とか、漫才猫とか、あとオペラ犬とか、いろいろあるんですけど、エンカネコかなり良かったですね。
だいぶ拳利いてる感じの女性エンカ歌手みたいな声で歌いよるんですけど。
スピーカー 2
それはどうやって見つけたの?それ。
スピーカー 1
これもらった人に教えてもらったんです。こんなのあるんですって教えてもらった。これおもろいなと思って。
スピーカー 2
そうだよね。なかなかそんなのあるなんて今言われなかった。知らなかった。
スピーカー 1
それでね、検索して見てみたら、さっき言ったみたいにいろんなダミ声恐竜とかもあんねん言うて。
もちろんこれオンラインに買えるやつなんですけど、全部動画でどんな感じの歌歌いよるかってのも見れるんで。
これ見てるだけでもおもろいなと思って。
結構いろいろあるんですよね。ロックライオンとかもあるし。鳥もありましたよ。
スピーカー 3
エンカ鳥?
スピーカー 1
鳥は普通に鳥2って書いて。
スピーカー 3
ここはエンカじゃないんですね。
スピーカー 1
エンカじゃないですね。鳥としか書いてなくて、その人が飼ってる動物だとかね。好きな動物とかに合わせてこういうのを選んで送る。
スピーカー 2
ちょっとセンスがあっていいね。おしゃれだね。
スピーカー 1
結構探しながら見てみるのも面白いんじゃないかなと思う。
なかなかメールで送ったりチャットで伝えたりみたいなものが多い中、こういう物理的に伝えるってことってトントン減ったでしょ。
アナログ的な方法の魅力
スピーカー 2
確かにね。いろいろ伝える手段が増えたからっていういい面もあるけど、こういうアナログ的なというかなんていうかわかんないけど。
そうですね。昔からあるようなものが意外といいかもね。なんか響くかもね。逆に今だといいかもね。
スピーカー 1
昔だったら飛び出すやつとかありましたね。開いたら飛び出すとかね。
スピーカー 2
あったあった。あったね。
スピーカー 1
高校生の時とかだったら休み時間ごとに隣のクラスの人に手紙書いたりとかしてたでしょ。
スピーカー 2
そんなことしてたの?
スピーカー 1
してない?みんなしてたんじゃないの?
スピーカー 2
青春だなぁ。
スピーカー 1
授業中に誰々に回してみたいな、全員がリレーして回していくとかあったでしょ。
今やったらほらもうね、スマホでちょちょちょっと触ってLINEで送っちゃうみたいなのもあるかもしれないですけど、
みんなにリレーしていく間に先生に見つかってまうみたいな大変なことになるみたいなこともあったりとかっていうのも、
今はなかなかないでしょうから、こういうのもちょっとアナログに戻ってみるのもいいかなというのと、これ自体がおもろいと思ったんで。
紹介させていただきましたということでございます。
ということで、今回も以上です。また次回のお楽しみです。バイバイ。
バイバーイ。
59:35

コメント

スクロール