00:00
フォトキャストの配信してる音声ファイルあるじゃないですか。 あれで、もう気づいてる方もいたんですけども、お便りで書いてる方もいらっしゃったんですけど。
で、我々5月にタコパをするという事で。
すごいなんかね。
わざわざ宣言して言うことだもん。
大規模イベントかのごとく話されてますけど。
いやいやいや、だってほら。
どうでもいいや、それ。
3人でさ、オフラインでさ、なんかね、昼間から東京で集まって、なんか食べるって何年ぶり?
まあ確かに。
まあそう言われてみればそうね。
そうでしょ?
そうだけど。
前になんかね、その、集まってオフラインで収録してみたいな、なんかもう遥か彼方、忘却の、でしょ?
どっちか言ったら。
だからそのもう、気合の入れ方が違うわけですよ。僕らになってくると。
いやいやいや、もう、僕の家に集合するわけじゃないですか。
久しぶりにお二人をお招きするわけですよ。もうゲストですよ、これは。
僕がキャストですよ、言うたら。
ね?夢の国みたいなもんですわ、言うたら。
せやからあれですよ、買いましたよ。買い直しましたよ。
何を?
もう間に合うように。
何を?
何ですか?
ソファー。
ソファー?
おお、え?ソファー買ったの?
ソファー買った。
ソファー?
ずいぶん大きな買い戻しだな。
いやもうなんか、いやその、結構今のソファーが買ってだいぶ経つんですよ。
そう、でも、ちゃんとしたいいやつだったじゃん。
いやまあそうなんですけど、やっぱりこう、なんていうの、生地がさ、あの、なんていうの、なんていうの、布なんですけど、ちょっと固めの布みたいなやつなんですよね。
折り込んでるみたいな感じの、細かく。
だからやっぱりこう、座りがちな場所とかになると、もう擦れてツルツルになってくるわけですよ。
ああ、まあそれはしょうがないよね。
そう、それってやっぱり、なんかこう、みすぼらしいじゃないですか。
ああ、なるほどね。
ね、そんな、なんか、ゲストを呼ぶのに。
そんな別にかしこまらんでもええやん。
なんていうんですか、こう、割れ窓効果みたいなとこもあるじゃないですか。
よくわかんねえ。
それちょっと、使うとこ間違えてないですね。
1個でもなんかあかんとこあったら、もうなんかこう、他もあかんくなってくるみたいなとこあるでしょ。
だから、なんかそういう、なんていうの、こう、お恥ずかしいとこがないように、
パッと見渡して、あ、これはちょっとさすがにあかんやろうっていうものは何かなって思ったら、やっぱソファーやったんですよ。
まあちょうどいい機会だと。
ソファーもね、なんかこういろいろ色選んだりとか、形選んだりとか、ちょっと生地変えたりとかできるようなとこだと、
頼んでから結構かかるでしょ。
そうですね。大きさがなんか結構。
そうそうそうそう。なんかね、頼まれてから作りますみたいなのも多いじゃないですか、やっぱそのコスト面も考えて。
せやからね、もう3月ぐらいに確かタコパしようみたいな話してた気がするんですけども、
03:05
多分ね、3月の末ぐらいにはもう行ってたね。
注文しに。
どんだけ前延びりなんだよ。
そう、ほんでもう5月の頭にはもう困るんですよ、言うて。
間に合いませんと。
そう、間に合えへんかったら困るんですって言ったら、もうあの、しかも土日とかに来てくれんとね、僕も都合あるやん。
で、それとプラスなんかほら今あるソファー持って帰ってもらわなあかんじゃないですか。
ああ、確かにですね。
それはなんか業者が別と一緒コースみたいなのがあるんですよ。
そうなるとさらに調整が難しいわけじゃないですか。
だからそれもちゃんと頼んで、もう同じ日に何とかしてくれと。
なるほど。
ねぎさんとかんごさん来んねん、言うて。
知らんがなって言われる。
誰やねんって言われますよね。
だからそれで結局、来週ぐらいにやってきます。
おお、間に合いそうだと。
来週の週末ぐらいに来てくれるんですよ。
楽しみだね、じゃあ。
楽しみですよ。
たこ焼き落とさないようにしないといけないですね。
たこ焼き食べるとことソファーは全然違うとこにあるんですよね。
そりゃそうだな。
ソファーはね、ちょっと二人とも一回座って帰ってほしいなって。
ぜひぜひ。
そんなこんなんでね、特に何も話すことないんです、雑談で。
たこパが楽しみだってことで。
たこパするから、多分スペースで僕のアカウントで流すんで。
流すの?本当にやるのそれ?
本当にやるんですか?
誰が聞くんだよ。
本物の雑談やと思うね。
ゴールデンウィークですもんね。
ゴールデンウィーク中なんで。
一応日にちも言うときましょっか。
日にちは5月の1日でしたっけ?
今のところ予定ではね。
そうそう、1日の14時とか15時とかその辺やから。
平日のドヒラバだぞ。
聞く人いるんかなって。
今どき会社とかから聞いてくれるでしょ。
ただの雑談だぞ、多分。
ほんまにそうやと思うね。特にネタも用意することもなく。
何もね。
でもあれの今後とかでもいいんじゃないの?
分かれへん。
分かれへんけど。
たこパしながらね。
たこパしながら。
もしかしたらそんな長くはやんないかもしんないですけど、
たまたま会えば聞いてくれる人がいるといいなぐらいの。
やるかもねぐらいだね。
それぐらいの感じで聞いてくれるかなと。
たこ焼き作るのに夢中になってたらちょっとないかもしれないですけどね。
10しか聞こえてきえへんかもしれませんけどね。
ということで今日もお便りが来ておりまして。
お願いします。
かなり長文のお便りが1つ来てまして。
前回の僕のした話でペンテストのレポート大事ですってみたいな話あったじゃないですか。
結構反応いただいてる方が何人かいらっしゃいまして。
いいですね。
1つすごく長いコメントを書いてくれてる人がいた。
06:03
ちょっと読みますね。長いですけれども。
レポート作成が重要という話。
仕事をしていく上で大事な話だなと思いました。
その話とは若干ずれますが見え方が重要だと思うことが働き始めの頃ありました。
昔WAFのデモをする必要があり、
その一環でアラートデモというふうにスクリプトタグで囲むよくあるクロサイトスクリプティングの攻撃例としてお客様に見せたと。
そしたら自分ではこれでいいと思ったけども、
ポップアップが出るのは気持ち悪いけど別にそこまで危ないんちゃうかみたいなコメントをもらいましたと。
話をしてみるとどうやらお客さんにとってはクロサイトとはポップアップが出る攻撃というふうに勘違いさせてしまったみたいで、
いろいろ説明を補足して何とか理解をしてデモは終わったというようなことなんですけども、
アラート関数を呼べる状態であればイコールクッキーが盗めるのは致命なことだということで説明を飛ばしてたりとか、
順番も考えずにいきなりデモをバーンと見せたがゆえにそうなってしまったんじゃないかと。
なので相手の立場や相手が理解できるかを想像した上でデモや説明の順番を組み立てるべきだなと当時痛感しましたというお便りが来ておりましたね。
なるほどね。お互いに前提となる知識とかそういう条件が一致してないと共通の理解が得られないということだよな。
クロスサイトはよくそういうふうに軽視されがちな典型例だもんね。
クッキーも見えるんです。ポップアップの中にクッキーが見えましたって言っても実被害のところまでデモってやらないと伝わりにくいかなと思いますね。
攻撃慣れしてる人、慣れしてるって変だけど実際に診断をやる人とか、わかってる人は何がリスクとしてどういうことにつながるかっていうのは想像しやすいけど、
わかんない人からするとそれで何ができるのってなっちゃうもんね。
そうですね。実証しているということと実被害を見せるというのは全然違うんだと思うんですよね。
そうだね。
あれでもそうですがSQLインジェクションのシングルコートでエラー出るっていうのも多分あまりこういう攻撃のことに関して触れてないような方はピンとこないと思いますよ。
まあ似たようなものかもしれないね。
エラー出たら404とか403と何がちゃうみたいな感じになるんちゃうかなと思うんですね。
あともう一つレポートで、レポーティングの技術だけど経営陣や事務方に刺さる文章を書けるかどうかというのは予算が取れるかどうかにも直結してくる話なのにとても大事と思いましたという。
なるほど。
確かにそうですね。
これさらに引いて言うと自分の評価にも関係するかもしれないですね。
そうだね。
成果とかを見せるという意味で同じかなと思いました。
前回ね、おはじめましての方ではない方が自分があれを知ったきっかけっていうのを紹介してくれてるんですけど。
あれを見たきっかけは情報処理安全確保支援士を受験しようと思って合格体験記を読んでいたらこのポッドキャストが紹介されてたという。
09:11
合格体験記。
そうそう。自分が調べたりとか見てたソースみたいなサイトとかそういうのを紹介してる中にセキュリティのあれがあって、モチベーションを保つのに自分が勉強してる言葉がこのポッドキャストでも出てきたりみたいなのがあって。
モチベーションを保った気分転換みたいに良かったみたいな感じの紹介の仕方をしてくれてるブログがあったんですよ。
なるほど。だってあれだもんね。試験に受かるあれってちょっと有名だもんね。
そうですよ。多分神田明神のお守りぐらいのレベルはあるんじゃないですかね。
大変ご利益があるっていうね。
だから結構レアケースですよねこういうのってね。
でもそういうところで紹介してくれて嬉しいね。
そうですね。ちょこちょこなんか自分が聞いてる自分が見てるサイトみたいなんで取り上げてくださってる方いらっしゃいますね。
そういう感じであれなのかな。自分の組織の中で同僚の方とかに紹介する勉強会とかでも紹介してくれてる方がいるのかもしれないですね。
ありがたいことでございます。どんどん紹介していただければと思います。
最後お便りなんですけど、これカンゴさんに向けてなのかな。
なめらかレアチーズプリンが発売されてます。
ピオカンゴさんにレビューリベンジをお願いしたいです。
飲むなめらかプリン好きな人よりっていうのが来てたんです。
ちょっと前回ちょっと辛口気味に言ってしまった影響だったんですけど。
若干辛口気味だったんですけど、これただちなみにですね、なめらかレアチーズプリンは僕も見かけたことがあるんですけど、買わなかった理由があって、なめらかプリンと違うメーカーなんですよ。
そうなんですね。
名前が似てるだけで?
パッと見ちょっとあれ似てるって思うやつなんですけど、どっちが先かわからんけど、ちょっとそんなんこれがお前のやり方かみたいな気がちょっとあって。
微妙な感じがすると。
味には関係ない話なんですよ。
まあね。
まあだからまあちょっとねこんだけ好きが言ってあるんで僕もちょっとコンビニ見つけたら食べてみようかなと思って看護さんもネギスさんももし見かけたらね。
はいちょっと気にしていただければいいんじゃないかと思います。
ありがとうございます。
紹介した次第でございます。
はい。
はいじゃあセキュリティのお話をねぼちぼちねしていこうと思うんですけれども。
はい。
今日はネギスさんから行きましょう。
はいじゃあ私から行きますけども。
今週はですねちょっと前のこれニュースなんですけど。
はいはい。
今月の4月の2日にアメリカの国土安全保障省に設置されているサイバーセーフティレビューボードっていう組織があるんだけど。
ここが出した、昨年の夏に発生したマイクロソフトのエクスチェンジオンラインへの侵害事件に関する調査報告書っていうのが出たので。
12:03
ちょっとこの内容が面白かったのでそれを紹介しようかなと思うんですけど。
まずそのね今回そのレポートを出したサイバーセーフティレビューボード略してCSRBって呼ぶらしいんだけど。
これあの2022年にアメリカのバイデン大統領がエグゼクティボーダーを出して新しく設置した組織なんだけど。
だからあまり聞き慣れないですね。
そうなんだよね。
これちょっとわかりやすく言うと、例えばその航空機の事故とかがあった場合に運輸安全委員会というところが事故の原因究明とか再発防止のために独立した自己調査を行うっていうのはよく行われることで。
アメリカもそうだし、あと日本もね。日本だと国土交通省の下にやっぱり運輸安全委員会っていうのがあって、そこが調査をすると。
その自己調査をするから、ちゃんと独立した強い権限があって、調査結果を公開するということで次の事故を防ぎましょうみたいな、そういうのを行われてるんだけど。
あれのサイバーセキュリティ版って考えればいいのかなっていう感じで。
サイバーセキュリティに特化してるんですね。
そうそう。アメリカはそこらへん結構重大なインシデントがあったときに、ああいった航空機の自己調査と同じようにサイバーセキュリティの自己調査もちゃんとやりましょうというのを大統領が出して決めましたと。
ちゃんとしてるな。
そうそうちゃんとしてるんだよね。日本でもこうなったらいいなと思うんだけど。
そうですね。
2年前に設置されて、実は今回の報告が3回目の報告になってて、1回目がログ4Jの事件に関する報告が出ていて、2回目がラプタスの事件に関する報告で。
今回が3回目なんだけど、今回のやつも昨年の夏にね、2023年の7月にマイクロソフトが報告を出したんだけど、これ何の事件だったかっていうと、
詳しくはピオカンゴさんもブログにまとめてくれてるんで、そちらもぜひ見てほしいんですけど、ストーム0558っていう中国のアクターがいて、ここがマイクロソフトのエクスチェンジオンラインのアカウント侵害したっていう事件なんだけど、
これがその複数のアメリカの政府の交換のアカウントが含まれてたっていうところが重大な事件だったわけで、なんか組織としては22個ぐらいっていう話だけども、だから数はそんなに大きくないんだけど、
その中に例えばアメリカの省務長官とか、会議の議会の議員さんとか、かなり高レベルな政府関係者が含まれてたっていうことで、これは大変だと、そういう事件でしたということなんだけど、
第3者的な今回調査を行って、どうだったかというのをレポートで書いてて、詳しくはそのレポート本体をもちろん読んでほしいんだけども、全体を通してマイクロソフトに対してかなり厳しめのコメントが並んでいて、
これはマイクロソフトがちゃんとやってれば防げた事件であるとか、セキュリティを軽視する文化の現れであるとか、なんかもう結構身も蓋もないこと書いてあって、かなり辛辣なコメントが書いてあって、加えてマイクロソフトだけを攻めてるわけじゃなくて、これはクラウドサービスプロバイダー全般に対してこういう対策をぜひやってほしいみたいな、
15:24
提言とかも含まれていて、また被害を受けた政府機関もこういう被害を継ぎ受けないようにこういう対策をすべきであるみたいな提言とか、全体でその25個の提言にまとめて、皆さん業界全体で対応していきましょうみたいな、そういう内容になってるのね。
今回その提言の細かい内容は説明しないので、ぜひ30ページくらいなので報告書を読んでほしいんですけど、今回取り上げた主な理由っていうのが、中でもすごく重要なポイントが今回の報告書が新しく明らかになったことがあって、それを取り上げると思ってるんだけど、何かっていうと、そもそもの昨年の事件が何で起きたかっていう根本原因のところなんだけど、
これはカンゴさんのブログにもまとめてくれているので、そちらも読んでいただきたいんだけど、エクセンチョンラインのアカウントの侵害に使われたその認証を突破するのに、トークンを使って認証を突破してるんだけど、そのトークンにマルコソフトが本来厳重に管理しなければいけない鍵を使った署名が行われていた正規のトークンが使われていましたと。
なぜかマルコソフトのMSAって呼ぶんだけど、マルコソフトサービスアカウントっていうアカウントの署名用の鍵がなぜか攻撃者に取られていて、それを使って署名されたトークンを使って不正アクセスされましたっていうところが原因なんだけど、じゃあその鍵が何で盗まれたのかっていう部分がすごく重要ですと。
昨年の7月に事件が発覚して、9月にMSが調査結果をブログでまとめてるんだけど、それによると2年前の2021年に本来厳密に管理されている署名用のシステムっていうのがあって、そこでシステムクラッシュが発生してしまって、本来入っていないはずなんだけどもその秘密鍵がクラッシュダンプの中にどうも含まれていましたと。
それを解析するために、隔離された環境からデバッグ環境にクラッシュダンプを持ち出しましたと。
そうしたところ、その鍵が意図せず含まれてしまったダンプがデバッグ環境に持ち出されました。
そのデバッグ環境にアクセスできるマイクロソフトのエンジニアの人がいて、そのエンジニアのアカウントが今回のstorm0558っていう攻撃者に侵害されていましたと、そのアカウントが。
という結構壮大なストーリーで、そこからどうも鍵がもらえたらしいですということを説明しただろうね。
18:01
なんだけど、実は今回のレビューボードの報告によると、これは全然確定した話ではなかったということで、
マイクロソフトが今回の9月の報告だと、11月ぐらいにレビューボードのインタビューを受けていろいろ話をしているんだけども、
これは数ある、マイクロソフトが多分これが原因だろうって言ってる数ある仮説の中の一つで過ぎなくて、これが最も確からしいと思って彼らも書いてるんだけど、
例えばじゃあその実際に鍵が含まれたフラッシュダンプが見つかりましたとか、それが外に持ち出されたという形跡は一切残ってなくて、証拠が全くないと。
ということが今回のレビューボードによって明らかになって、だったら証拠がないということをちゃんと言うべきじゃないかというふうにレビューボード側がマイクロソフトに言ったら、
分かりました検討しますって言ったんだけど、結構のびどびになっちゃっていて、最終どうなったかというと、今回の報告書が出る直前の今年の3月に、実はこっそりと9月のブログが更新されてるのよ。
こっそり?
こっそりは言い過ぎだけど、俺もでも言われなかったら気づかなかったと思うんだけど。
更新されてて、去年9月に書いたこの以下のブログの記事は仮説に過ぎませんと、証拠が見つかってませんっていうことが正しがきで書かれてるのね。
状況、証拠レベルだったってことでしょうね。
そうそうそう、直接の証拠はありません。だからその根本現実は実は今現在も調査中ですっていうふうに直されていて、
だとすると、本当の原因は何なのっていうのは、実は今回のシナリオが最もらしいとはいえ違ってる可能性もゼロじゃないというのが、
今回新しく分かって、それと全然話が違うじゃんっていうことをちょっと思ったのと、
あともう一つね、今言ったクラッシュダンプからカギが漏れたかもしれないって言ってるのは、実は2021年に発生しましたってマイクロソフトは言ってるんだよね。
だから去年の事件の起きる2年前にカギの漏洩がどうも起きたらしいっていうことを言ってるんだけど、
その2021年の侵害で利用されたエンジニアのアカウントっていうのは、実はこれも今回初めて多分分かったと思うんだけど、
その前の年の2020年にマイクロソフトが買収した別の会社のエンジニアのアカウントだったらしくて、
どうもマイクロソフトが言うにはこれも確たる証拠はないんだけど、おそらく買収前からこのアカウントは侵害されたと。
つまり侵入されっぱなしの状態の会社をマイクロソフトは買ってしまって、
その買った先の会社のエンジニアに対してマイクロソフトの環境にアクセスする権限を与えてしまったと。
それによって今回の攻撃者に情報が取られたって言ってるんだけど、ただこれも今回の報告書を見ると、
21:05
去年の2023年の侵害と2021年の侵害は攻撃者が同じと思われるけども、直接それがリンクしてる証拠はないんだって。
なんでさっき言った最もらしいっていうね、2021年でクラッシュダンプに鍵が含まれました。
その鍵があらかじめ侵害されてたエンジニアのアカウントによって外部に漏れました。
それが2年経って、昨年2023年に5月ぐらいに侵害されたらしいんだけど、アカウントが侵害されましたっていう最もらしいシナリオは、
実は全然関係ないかもしれなくて、全く関係ない別の理由で侵害された可能性もあるっていうことが分かったんだけど、
でも今回の報告書を読むまでは、去年の9月の段階のブログの記事にはあたかも調査が完了して確定しましたみたいな感じでトーンで書いてあったんで、
ちょっとこれ全然話違うじゃんと思って、これはねちょっとびっくり。今回の読んでえそうだったの?と思ってちょっとびっくりしたっていうのが結構今回取り上げた大きな理由なんですよね。
あとこれ読んで思ったのは、とはいえね、レポート自体は結構MSに厳しいこと書いてあるんだけど、厳しいことを言うのは彼らに任せておいて、
僕は別にマイクロソフトが全然やってないとは思ってなくて、むしろマイクロソフトに限らず、例えばGoogleとかAppleとか、
いわゆるテックジャイアントって呼ばれるような巨大企業。多分、僕も中のことは知らないけど、おそらく我々が想像するよりも遥かにセキュリティ対策をしっかりやっていると思われる?
そういうレベルのところでも、今回の報告書でわかったことって言えば、MSがしっかりやってたにも関わらず、報告書はしっかりやってなかったって言ってるけど、結構長い期間侵害されてしまっていて、
なおかつ、去年の事件も国務省から侵害されてるぞっていう通達がなかったらわからなかった。MSも気づいてなかったんで、検知もできなかったし、なおかつ、もうすぐ事件から1年経とうとしてるけども、いまだに調査が続いていて、原因がはっきりすらしてない。
そういうのはちょっとヤバくない?あまりにもこんな状況ヤバいなと思って、マイクロソフトでもこんなことになっちゃうの?っていうのが、ちょっと厳しい現実を目の当たりにして、ヤバすぎるなと思って。
どうなんですかね?聞いてて思ったのは、2021年の買収した会社が云々かんの?みたいなところがあったじゃないですか。まずそこまで遡れること自体がすごいと思いましたね。
結果分かれへんってなったら一緒やんって思う人もいるかもしれないですけど、そこまで出せるのはすごいなぁっていうふうに思ったのが。
24:09
そうなんだけど、この報告書は結構辛辣でさ、買収する時のチェックが甘いんじゃないの?みたいな。
それは絶対言われると思う、絶対言われる。
それはもっともだけどさ、もっともだけど、前にもホテルチェーンで買収した時のシステムが侵害されてましたっていう事件があったじゃない?マリオットだっけ?
あれもさ、買収した時にはもうすでに侵害されててみたいなね。
それはその買収した時のチェックが甘いんじゃないの?みたいなことを散々批判されたんだけど。
はいはいはい、ごもっともやけども。
ごもっともだけどそれ難しくない?ちょっと。
しかもそこに加えて今やったらね、リモートワークが当たり前みたいなところの会社買ったら、じゃあその先の個人で使ってるような端末とかの監査とかもするんか?みたいな話だって来るじゃないですか。範囲も広いしなぁ。
疑いだしたらキリがないしさ。まあこれはさすがにちょっとそれは厳しくない?とかちょっと思っちゃうんだけど。
なんかもうそういう言うてることはもうほんま正しいと思うけど、ほなどないしたらよろしいんでしょうかいな?ってなると思うんですよね。
そうそうそう。
そんなガイドラインみたいなもんないしね。
その辺も含めてね、今回だからかなり調べられてると思うけど、それでもやっぱりその事故原因の根本原因の特定にはいたってないっていうところのヤバさっていうのをちょっと改めて僕ら認識した方がいいなぁと思って。
いやなんか僕はてっきりさ、ちゃんと調べてわかったんだなぁと思ってたんで、それがね実は直接の証拠は一つもなくて、一番それが確からしいと思われる仮説の一つですっていうに過ぎない。
そこまでできただけでもすごいと思うけど。
いやそうですね。
思うけど、まあ確定できないっていうところは結局じゃあ違うかもしれないという可能性が捨てきれないからね。
まあそうですね。あってるかもしれへんけどね。
誰もそれで大丈夫って保証できないっていう部分がやっぱ厳しいなぁと思って。
でも相当のコストかかると思うな、それができるようにするとなると。
まあそのあたりのねちょっとバランス難しいし。
世の中で起きているいろんなインシデントとかでもね、つまびらかにまず、今回は交換のアドレスがどうとかっていうのがあったからね、ちょっと言い方悪いけど目つけられたみたいなところがあるじゃないですか。
そうじゃないものやったらね、なんかこう事故が起きました。で、なんかできますやります頑張りますみたいな感じのレポート多いじゃないですか。レポートというかリリース?
そうなんだよね。
そういうのの中には多分あのね、ほらよく僕らも出すあのCobwearのレポートで原因不明っていうのはいっぱいあるじゃないですか。
あんな感じで、なんかその推測ではまあいろんな状況証拠を並べてこうですって言えたとしても、結局じゃあそれって確定ですかって言われたらうーんってなる方が多いと思う。
そうなんだよね。なんかもうログが残ってませんとか調べられませんとかね。
だからその状況証拠の数が何個あるか聞いた人が確かにそれだったらそうかもなって思ってくれるかどうかみたいな話じゃないかなって僕は結構思いますけどね。
27:08
とはいえやっぱりね、今回の事件を受けてそういうことがまあ二度と起きないようにというか、仮に起きてもちゃんと調べられるようにっていう対策はまあするようにってことをこれからやるんだろうと思うけど、まあしんどいなあっていうのがちょっと正直な感想でしたね。
なんかもう一言でガバナンスとかで済まされるんでしょうけどね。ユーガーからしたら。なんかこう買ったところの会社もちゃんとチェックした上でなんか平準化しなさいみたいな。
いやなんか今回でもそうだよ。同じようにレビューボード側はマイクロソフトに対してきちんとそういう戦略的なプランを提出すべきであるみたいなことを勧告してるんだけど。
そうでしょうね。そう言うでしょうね。
まあそうだよねって思うけどさ。いやでもこれ僕らも含めてさ、一般の組織がどんだけ同じことができるのよっていうのと、いやーちょっとこれ厳しくないっていうのが正直な感想だと思うんだよね。
そうですね。
でも現実そういうの、そういう人たちというかさ、攻撃者を相手にしているっていう現実もあるわけで、いやなんかちょっとね、改めて厳しいなと思って。
厳しいし、なんかこう人ごとに思えないんですよね。
そうなんですよね。
自分たちが何かのレスポンスとかに当たった時とかにことを考えるとね、きついなあこれなあみたいな感じはすごくひしひしと伝わりますけどね。
ちょっと今日全部全然紹介しきれなかったんだけど、結構その勧告自体もかなり役立つというかいいこと書いてあるんで、
ぜひその自分たちだったらどうできるかなとか、あとその同じようにねクラウドのサービス使っている組織結構多いと思うんだけど、
似ていないことが起きた場合にどう連携して対処すればいいかとかね、まあいろいろ学びは多いと思うんで、
まあちょっと1年前の事件だけど改めて今回の報告書を読んでみて、ああそうだったのかって思う部分も結構あったんで、
ぜひ一度読んでみることをお勧めしたいですね。
そうですね、まあでもこれなんか訓練みたいな感じとか機場演習とかでやるのも結構難しそうですよね。
そうだね、なかなかね。
想定できないですよね。
そうそう、起こるはずのないことが起こってるからね。
そうなんですよ、想定できてたらそこ対策できんねんって話だよね。
本来こんなこと絶対起きてはいけないはずのことが起きてしまってるからね。
なかなかここまではちょっと想定できないよね。
いやでもそういうレベルのことは起きるんですよ。
現実は起きてると。
それを知っておいて今の対策がほんまにええんかって疑問を持ち続けることがやっぱり第一歩なのかなと。
そうですね、ちょっとね終わりが見えないですけどね、そういうのね。
わかりました、ありがとうございます。
じゃあ次はKanoさんいきましょうかね。
はい、今日私はSyscoが提供されているソリューション、Sysco Duoと呼ばれているものがありまして、
30:00
アクセス管理のソリューションの一つなんですけども、
今回そちらのSysco Duoのサービスがどうもサイバー攻撃の影響を受けたというところで、
お客に対して通知というのが出されていたので、ちょっとそれを紹介したいなと思っているんですけども、
このSysco Duo、私もあまり聞いたことがないっていうと、もしかしたら実際に使われている方からするとえ?って言われるかもしれないですけども。
おいおい当たり前やぞ、こんなんはって思われるかもしれないですね。
実際結構使っている方は実は多くて、Syscoが公開されている情報をベースでいくと10万を超える顧客がいると。
国内でどれぐらいかっていう話、具体的なところはちょっと承知してないんですけども、
結構アメリカ国内でも政府機関とか教育機関とかいろんなところが導入されていて、
日本国内でも導入実績の一覧見ると大手の企業の名前とかっていうのも載ってたりがするので、
使ってらっしゃるところって実はそれなりにいるんじゃないかというところではあるんですけども、
このSysco Duo、今回どういったサイバー攻撃の影響を受けたかっていうところなんですが、
なんでちょっと何か言いづらいというかサイバー攻撃の影響っていう言い回しをしているかというと、
Sysco Duo自身が直接サイバー攻撃を受けたという話ではなく、
このSysco Duoが利用している通信事業者の一社が実際にサイバー攻撃に遭ったという事例でして、
Sysco Duo自体はアクセス管理のソリューションですので、
多要素認証という形でSMSであるとか、あるいはボイプ電話ですかね、
あちらでMFAのメッセージを送るというそういった機能があるんですけども、
その機能に利用している通信事業者の一社がシステム侵害の影響を受けたという事例で、
具体的にどこが直接被害に遭われたっていうのは、
今のところは公表されていなかったと思うんですけども、
その通信事業者が影響を受けたというところで、
実際には4月の1日にその通信事業者の従業員の方がどうもフィッシング詐欺に遭ってしまったらしく、
資格情報を盗まれてしまったと。
盗まれた資格情報が悪用されてしまい、通信事業者内部のシステムにアクセスされてしまい、
どうもその後にこのSyscoDuoのアカウントに関連するファイルがどうもダウンロードされていたというところで、
どんなファイルがダウンロードされていたかというところも概要レベルでは書かれているんですけども、
4月1日の前の月、3月ですね。
3月の1日から31日までの1ヶ月間の活動ログというんですかね、
特定の顧客に対してSyscoDuoのアカウントから送信されているSMSメッセージのログに関するものだったと。
33:00
直接のメッセージ自体は含まれていなかったそうなんですけども、
電話番号であるとか、利用されている通信キャリアとか、送信先となる国とか、
あるいは日時メッセージの種類なんですかね。
そういった情報、メタ情報なんていうのもそのログには含まれていたというところではあったので、
それなりに流出した可能性のある情報っていうのは範囲が広かったのかなというところではあるんですけども、
さっきも言った通り具体的にどういった形で影響があったのかっていうところは、
公表されている文章上では確か記載がなかったかなとは思ってまして、
ブリーピングコンピューターとかそのテク系のメディアが取材されて、
それに回答するような形で1%程度に影響があったんではないかというところで今調べて、
まだ現在進行形調べられてるって話があるんですけども、
全体の約1%ぐらいに影響があったという形で取材に応えられていると。
先ほど私10万を超える額がいるっていう話はしたので、
単純計算で考えれば一線社っていうんですかね、
一線組織ぐらいには影響があった事案という形にはなるんではないかなというところで、
今回のメッセージの内容そのものっていうのは漏れていなかったというか、
そもそもMFAのメッセージの内容というと、それこそ数字の打列とか、
そういったものに直接的にその中身そのものがっていう話よりも、
実際にはより内容ではなくてどこに送ったかとか、
そういった情報の方がデータという意味では悪用されやすいものかなというところではあるので、
実際にはソーシャルエンジニアリングとかそういったものに悪用される可能性というところには注意をしてくださいということで、
Sysco Duoからも直接そういった形で注意喚起というか案内もなされているというところではありまして、
今回この攻撃者が具体的に誰をターゲットにしたものだったのかっていうのは、
現状このSysco Duoの公表されている情報だけからだと伺い知ることはなかなか難しいところではあるんですけど、
Sysco Duoを狙いたかったのか、通信事業者を最初から狙いたかっただけの話なのか、
あるいはSysco Duoのサービスを導入されている、さっきも言っていたように10万を超えるって話しましたけど、
そのうちの何社かを狙いたくてやっていたものだったのかっていうところはちょっとわからないんですけども、
これはなかなかSysco自身が防ぐっていうところはなかなか難しいなというところに加え、
36:01
さらに言うとそれを利用している競技側からしてもこういうことが起こるとどうしたもんかなっていうのは正直頭を抱えるのかなっていうふうには、
注意してくれとは呼びかけられてはいてもですね、なかなか頭を抱える事案なのかなっていうのは、
まだあまり具体的な公表の内容ってさっき私がお話しした以上の情報ってあまり出てないんですけども、
その中から伺い知れる様相だけ見ても結構これは連絡とか受けてもどうしようかなという形で困ってしまうところっていうのもあるんではないかなっていうのは、
改めて思ったところです。
いろいろわからないこともあったんですけど、一番これ見て思ったのは漏れたかもしれへん情報っていうので、
本文ではなくていわゆるメタ情報とか、電話番号とかってあったと思うんですけど、
こういう事件があるとこの事件に便乗車フィッシングとかも起きる可能性はもちろんあるじゃないですか、
でもそれって結構間接的な事件だと思うんですよね。
そうじゃなくて直接これで何が危ないくて漏れたかもしれへん人が講じるべき策があんのかないのかっていうのはよくわからなかったんですよね。
そうですね。なんか悪用されそうだみたいなね。
そうですよね。
なんとなくそういう感じは伺いすることはできるんですけど、電話がかかってくるのかとか。
あと目的がやっぱわからないじゃないですか。どこ狙ってたんかとか何を狙ってたんかってのはわかれへんから、
場合によったらこれ攻撃者の目的達成してるしてないで言うたらしてへん可能性もありますもんね。
そうですね。
なんか盗み続けたかったんかもしれへんしね、その本文まで行き着きたかったのかとか、その辺がちょっと気になったのと。
あとはどういうフィッシングかぐらいはちょっと教えてほしかったなとか。
あーその通信事業者の方がどういったフィッシング詐欺に遭われたのかと。
そうそうそうそう。2要素あったんやったら、あったんかなかったんか、あったんやったらどうされてみたいな。
そうなんですよね。なんか結構この手のなんていうかその委託先っていうんですかね。
えーと、まあ委託先っていうかわからないですけど、直接の当事者ではなくとも諸に影響を受けてるみたいな形のインシデントが起きたときに、
実際にその発端となった企業、組織の具体的な状況っていうのがまびらかにされることっていうのがあんまないなっていうのがあって、
おそらく公表されている組織から視点もなかなかはがゆいところがもしかしたらあるのかもしれないんですけども、
まあいろんなね、あの事情があってっていうところが当然あると思う。
でもシスコ自身もそもそもIRのサービスというかそういうリソース持ってるので、
通信事業者の方と一緒に調査対応は当たってるそうなんですけど、
公表されている状況っていうのが結構限定的で、
まあなかなかこの辺、そこから例えばうちが被害に遭ってるかっていうところをうかがい知ることができるっていうレベルにまでいく情報っていうのがなかなか出てこないので、
39:05
まあ結構その辺はもどかしいというか。
そうですよね。なんかシスコのそのIRのチームがこのサードパーティーの会社に調査の応援に行ったとしても、
あのログない、このログないってなったらお手上げかもしれないですもんね。
はい、そうですね。
めっちゃ悩ましい。さっきのネギスさんの話じゃないけどね、買収したところとちょっと違うけど、
はい。
なんかはがゆさがある話だなっていう感じがしますね。
そうなんですよ。ガバナンスを聞かせるって言っても、
委託先っていうかね、このぐらいの形の関係性のある、それこそ取引先に対してそんな強制力を持った調査とか指示とかっていうのは当然限界がありますので、
とはいえこの手のインシデントって別に今回に限らず去年とかもね、やっぱ起きてるという状況ではあるので、
この辺の複数のステークホルダーというか関係者が入り混じったインシデントのハンドリングが結構難しいなっていうのは、
端から見てても思うところですね。
いや、ほんまに、ほんまにそうですね。で、あるあるやしなっていうね。
そうそうそう、そうなんですよ。
ちょっと今聞きながら思い出してたんだけどさ、
はい。
俺が喋った、どれだっけ、Twilioだったっけな。
そうですそうです。
はいはいはい。
ですよね。
まさにあれが、はい。
あれもなんだっけ、確かマルチファクターのSMSを狙って、あれはオクタのユーザーを狙ったんだっけ。
オクタパスっていう名前のね、キャンペーンっていう形で。
その事例とかさ、今回のかわかんないけど、同じように狙ったのだとするとちょっと気持ち悪い。
そうなんですよ、はい。
気持ち悪いっていうか、でも単なる偶然と片付けちゃうのはちょっと危ないような気がするよね。
そうですね。
明確にそういうマルチファクターのサービスを使っているところを直接狙うのではなく、
そのプロバイダーを狙っているっていうのが、そういう真の目的のためにやってたんだとすると、
はい。
そうじゃない可能性もあるけど、怖いよねちょっとね。
そうなんですよね。
なんか今日は歯がゆいですね。
そうね、なんかわかんない。
ずっと歯がゆい。
でもこういう事件ってさ、さっきの話もそうだけど、はっきりすることの方が結構珍しいよ。
まあ超レアケースかもしれないですね、そこまでつまびらかになる。
そうですね。
本当にその攻撃者まで特定して、実際に犯罪者を捕まえて、動機から手口から何から明らかになりましたみたいなさ、そういう、
で一見落着みたいな方が珍しいじゃん。
部分的にしかわからへんみたいなね。
そういう断片的な情報からいろいろ推測をして、間違いながら、
42:03
まあ間違いがあるかもしれないけど、次同じこと起きないようにとか、万が一注意に備えるみたいなのがやっぱり繰り返されてくわけだからな。
はい。
今回のもなんだかちょっとなんかわかんない、もやもやするね。
そうですね。
困りましたね。
いやでもわかんないよ、今回のおきっかけにどこそこでソーシャルエンジニアリングがありますとか。
そうそうそうそう。
起きても不思議ではないよね。
出ると嫌ですよね。
嫌だよね、なんかちょっと。
なんかいろいろ相手に情報が渡っていると、さらなるソーシャルエンジニアリングもしやすくなるっていう。
そうなんですよね。
次々連鎖していくのがやっぱり怖いよな、こういうのはちょっと。
しかもその繋がりが見えへんことの方が多いじゃないですか。
そうなんだよね。
でもね、さっきも話も出てたけど、ビジネスとかさ、繋がりがやっぱりより複雑になってきてるから、
どっか一個の一連とか、思いも知らないところに波及するっていうことがね、やっぱりあったりとか。
あとまあ内緒はさっきの話じゃないけど、何年も前の昔の事件が突然今に影響するだとかさ、
そういう繋がりがすごく見えにくい事件がなんか多いよね。
確かに確かに。
なんかこうかもなぁみたいなんで、ちょっとうっすら見えるみたいなやったら、
ずいぶん前の40の脆弱性でパスワード抜かれてたリストが公開されましたとかなったら、
これ繋がりあるんちゃうかとかっていうのはわかりますけどね。
確かにね。
あんなもレアケースじゃないですか、あんなログが公開されるみたいなやつ。
そうですね。
いやいやいや、なんか悩ましいけど、分かれへんながらも断片的なところから自分たちが想像力を働かせる糧にするっていうことぐらいかな。
こういうのはやっぱり知っておくのが大事ですよね。
はい。
分かりました。ありがとうございます。
はい。
はい、じゃあ最後は僕なんですけども、
今日お話しするのはマイクロソフトの4月、今月ですね。
今月のパッチチューズデーで気になることがありましたっていうお話をどうしようかと思ってるんですけども。
なんか珍しいですね。
珍しいですか。
最近ランサムの話してへんもんね。
そうだね、言われてみれば。
言われてみればね。大丈夫ですか、禁断症ですかね。
できないです。
そんなランサムジャンキーとかじゃないのよ、別に。
あ、そうでしたか。失礼しました。
大丈夫、全然大丈夫ですよ。一応調べてはいますけどね。
はい。
で、4月のパッチチューズデーということで、毎月出てるやつありますけれども、今回かなり多くてCVベースで149件の脆弱性が修正されたと。
すごいですね。
なんかこれ過去最高とかちゃいます?こんな数字。
ね、なんかそんなぐらいの数ですよね。
そうそうそうそう。
数だけで見ると。
そうなんですよね。それで見てみたんですけど、それで今回その149件、多いからっていってね、悪用された件数のそれに比例して多いというのはもちろん限らないわけなんですけども、
今回逆で少なかったんですよね。
で、プロキシドライバーのスプーフィングの脆弱性というやつで、202426234っていうやつが悪用が確認されているという、マイクロソフトのエクスプロイタビリティインデックスっていうのがあると思いますけども、
45:06
それのデテクティットっていう風になってるやつが1件だけあったんですよね。
で、このニュースこういうの見てると、いろんなところが今月の月齢パッチの話みたいなんで、いろんなメディアが報じるじゃないですか。国内外で。
ひとつはこういう風に1件これですっていうのがあったんですけども、別のニュースを見ていくと2件ですっていう風に意見が割れてるやつがあって、これなんでやねんと思って調べてみたらですね、
マルウェアバイツのブログみたいなやつで、そこでは2件っていうのが書いてあったんですよ。
で、もう1件ってなんなんやろうなと思って見てみたら、2024-29988っていう脆弱性で、これスマートスクリーンのセキュリティ機能のバイパスの脆弱性というやつだったんですよ。
で、同じくさっきのデテクティットになってたエクスプロイタビリティインデックスを見てみると、エクスプロイテーションモアライクリっていう風なもので、悪用が確認されているの一段下のやつなんですね。
悪用の可能性が高いみたいな。これもちょっとさっきの話しちゃいますけど、ふわっとした感じのやつだったんですけども、ほらなんでこんな差があんねんって。
これ2件ってマルウェアバイツは言ってんねんって調べたら、この脆弱性に関しては、ゼロデイニシアティブのリサーチャーが文書を書いてたんですけども、そこで実際の悪用を確認していると。
自分が。で、写真にも名前入ってたんですよ。そのMSのサイトの中に。多分その悪用を確認している人は外の人なんで、それで情報をもらってるけど、マイクロソフト自体はその悪用を見てへんのかもしれないなと。
これちょっと分かんないんですけども、そういうちょっと差が出ているっていう風なものがあったという風なことで。これはちなみに今のところ両方KEVにも掲載されてない状況です。
ということで、ここでちょっと気になって、ずっと前から気にしてたことがあったんで、回避系の脆弱性ってあるじゃないですか。スマートスクリーンにしてもそうですけど、あとMOTWとかもそうですよね。
セキュリティ対策を回避して攻撃させるってもんね。
Windowsのセキュリティ機能、セキュリティ機構みたいなものをバイパス回避して、本来実行できない止められるものをすり抜けてしまうみたいなやつってちょいちょい聞くでしょ。
それってなんかだいたい悪用されてへん。バラマキとかランサムのギャングが使ってたとかもあったりするんですけど。
逆に言うと、悪用を成功させるためにそういう回避策を見つけているからこそだろうね。
そうそうそうそう。これさえなかったらこれいけんのにみたいなのも一個のハードルだと思うんですよね。
だからそれが回避できないなら回避めっちゃしたいと思うんですよ。攻撃する側からすると。直接的な攻撃の脆弱性よりも前にね。
過去2年間これ回避系って結構悪用事例後から出てくるの多いなーっていうのを前々から思ってたんで、ちょっと2年間分、2022年と2023年を遡って、
48:08
MOTWとスマートスクリーンの回避の脆弱性っていうのは何件どんな感じであんねやろうっていうのを全部見てみました。
おーなるほど。全部見たんですか。結構大変だね。
ちなみにこの2年合わせると1885件のCVEの件数がありまして、2022年が942件、2023年が943件とくしくも1件差っていう似たような感じで綺麗に割れるぐらいの数やったんですけども、
それで見てみるとその中で全体を通して2年間通してMOTWに関するものが3件ありました。で、スマートスクリーンがこの2年間で4件。合計7件あったんですよね。
これ多分聞いてる方は一覧表とか見ながら出ないとわかりにくいところもあるんで、後で公開するときに辻リークスの方に僕が調べたやつの画像も上げておくんで、それ見ながら聞いていただけるともっとわかりやすいかなと。
CVE版をいちいち読むのもあれかなと思うんで。MOTWの方は言わずもがなですね、だいたいCVSS値が低いんですよね。5.4とかなんですよ。
スマートスクリーンも物によったら5点いくつとか高いやつでも8.8が2件あるぐらいで、他は4.4とか5.4なんですよ。
これって他の脆弱性と比べるとだいたいクロスサイトと同じぐらいの感じなんですよね。見逃されがちなんですけども、さっき言うた全体で7件スマートスクリーンとMOTW合わせて7件あったやつが
エクスプロイタビリティインデックスマイクロソフトが出してるやつで見ると6件はデテクティッドで悪用確認ってなってました。
1件だけMOTWの2023年の36584っていうやつがあるんですけど、これ看護さん紹介してたっけ?
ゾーンIDがマーキングされるまでにタイムラグの差でMOTWが適切に反応せえへんみたいなやつ、説明するの大変って言ってこのポッドキャストで紹介してませんでしたっけ?
書き込みのタイミングどう?みたいな感じの話でしたと思うんですけど、そのズレで上手いこといかへんみたいな。
それがレスライクリっていう風なやつで、デテクティッドよりも2段階低い、悪用の可能性が低いっていう風にされるやつになってたんです。
まあまあ高い精度でデテクティッドになっとるなって思ってたんですけど、KEVを見てみたら全部入ってるんですよ、この7件。
なんで、これもう本当僕の感覚なんですけど、回避系って大体やられる説みたいなものが僕の中にあって。
今日のね、さっき冒頭で紹介した4月のやつも、どっかで丸つくんちゃうかなと。KEVの方とかで。
一応このなんとなく感じてた、このMOTWとスマートスクリーンに絞ってますけど、の悪用率は一応この2年間では100%っていう感じだったんで、
51:08
狙われがちっていう風なところを考えると、こういう傾向を捉えて、これはもうちゃんと当てとこうみたいな、悪用されてないけどみたいなのに入れてもええんちゃうかなって僕はちょっと思ったんですよね。
なので、マイクロソフトが発表してる悪用されてるされてない、これって大体多くのニュースでも引用されがちだと思うんですよ。
悪用が認められているのをソースとして書かれるっていうパッチの出たタイミングでね。
でもそういったものも考慮する必要あるけど、やっぱりKEVとかそれ以外のリソースにもちょっと目を向けるっていう風にせんと、やっぱり漏れが出てきたりとかするかな。
先回りするっていう意味でも、こういう傾向を捉えるっていうのはいいんじゃないかなってちょっと思ったという。
特にばらまきとかでされるとほとんどのクライアントに影響してしまうんで、これさえあればみたいなことも多いと思うんで、こういう見方してみてもいいんじゃないかなと思って、
僕もちょっとこれが言いたくて調べてみたというお話でございます。
確かにね、セキュリティ機構のバイパスって、バイパスされた後何が起きるかっていう部分が大事だから、単体として見た場合、データクセイのスコアが低めに抑えられちゃうっていうのは、
いたしかたない部分だけど、その対策がうまく機能しなかったら、結果侵害につながるみたいなことになるわけなんで。
これさえあれば、あったらみたいなものだと思うんで。
あとね、さっきも言ったけど、悪用する側が何かここに対策がないかっていうのを探して、悪用して、結果データクセイとして見つかるっていうケースとかがあるだろうから、
それがあって多分ね、ディテクテッドっていうか、多分これみんなのインザワイルドで見つかりましたみたいなことが多分多いんじゃないかなと思うけど、
そういう傾向があるかもしれないよね。じゃないとそういう対策のデータクセイって見つけにくかったりするかもしれない。
たまたま他の、もしかしたら悪用されてないやつがあるとすると、他の対策とかを見つけていて、たまたま同じところに別のがあったみたいなさ。
ああ、そういうのもありますよね。
まあ、類似のやつがたまたま見つかっちゃったみたいなケースもしかしたらあるかもしれないけど、でもそれ以外に簡単に見つかるなら悪用されてもおかしくないし、そういう点ではそういう視点が必要かもしれないね。
そうですね、あと回避系とか、今日紹介した、取り上げた7件ってやつ、全部が全部そんなめっちゃ簡単ってわけでもないんですけど、めちゃくちゃ簡単なのもあるんですよね。
なるほど。
例えばジップ内のファイルに読み取り専用にしてたらそれがMOTWが適切に反映されへんとか。
ああ、なんかあったね。
ありましたね。
そう、そんなんがあって、それと同時に修正されたやつだとISOのコンテナファイルの中のやつは効かへんとか。
それも悪用された話、確かポッドキャストでした気がするのは。
54:00
ポッドキャストもそうですし、多分ユーザワーでもしゃべりました。
ああ、そうかそうか、セミナーとかでね。
そうなんですよね。こういうのが1個見つかると、攻撃者だけじゃなくリサーチャーとかそういう調査する系の人とかも、
ここでこれあんねんやったら、この回避を埋めたやつの回避もできるんちゃうかみたいな、調べられがちなのかなっていうのも。
実際に修正が不適切で、抜けがあったからもう1回パッチダッシュしましたってやつもあったんですよね。
狙われがちかつなんかちょっと簡単なものもあったりするんで、悪用するからも気軽にいけるものも含まれてるのかなっていう気はしましたね。
しかし間にちょっと話変わるけどさ、出すところによってエクスプロイタビリティっていうか、
エクスプロイテとの情報が違うっていうのは、これもなんとかしてほしいな。
ああ、確かにね。
悪用されてるのはされてるでさ、MSのサイトでもゼロデイニシアチブでも、あとKEVにも載ってるっていう状態に統一してほしいよな。
ああ、1個に載ってたら全部に載っててほしいみたいな。
混乱するじゃん、だってこういうのさ。
そうなんですよね。
だって普通に考えたら公式のMSが言ってないんだからさ、ないって考えたいけど、
いやでも発見者のベンダーは悪用されてるって言ってますみたいなさ。
矛盾してるじゃん、どっちが正しいのって話になるじゃん、普通に考えたらさ。
確かにそうですよね。
それはやっぱなんかな、うまく統一してほしいけどな。
難しいですね、それもね、なかなか。
だってこれ別に決して珍しい例ではないというか。
いやもうこんなんちょいちょいありますし、タイムラグとかもありますしね。
だけどこれ少なくとも今回のケースは報告者と報告された側だしさ。
そうそうそう。
そこは同じでも良くない?
ポリシーがあるんですかね、こうならば載せるけどこうならば載せないみたいな。
なんだろうね、ちょっとどういう理由でなのかわからないけど。
若干の強い意思を感じるんですけど、マイクロソフト側の。
ちょっとこれは混乱を招きやすいよね、こういうのはね。
そうなんですよね、難しいなと思って。
今回もKEVとマイクロソフトと発見者とか、あとバルンチェックとか、
そういう情報を公開しているサイトあるじゃないですか。
やっぱね、だいたい載ってるんですよね。
何をソースにしているか、ソースが一緒かもしれないですけどね。
発見者が言っているってのも載せるってなってるかもしれないですし。
何を持ってこうしたかっていうのも若干わかりにくいっていうのも問題ではあるかもしれないけどね。
確かにそうですね。
根拠がよくわからないっていうのはちょっとな。
確かに確かに。
闇雲に信じてもいいわけでもないしね、それぞれ作業増えるしもっと精度上げたいっていうのが
パッチ当てる側の正直なところだと思うんで。
情報ソースとして何信用したらいいかっていうのは。
そうなんですよね。
ちょっとそこは統一しといてほしい気がするんだけどな。
悩ましいところだね。
悩ましいね。
今日はちょっと悩ましい回だった。
そうね、なんかね、なんかボヤボヤっとする動画多かったね。
確かに。
っていうところでございますね。
57:00
はい。
ということで、今日も3つのセキュリティのお話をしたんで最後にお勧めのあれを紹介しようかなと思っております。
お願いします。
何でしょうか。
今日僕が紹介するのはですね。
箱開けっていう箱を開けるんです。
はい。
あ、箱か。
それは分かるけどさ。
タコかと思いました。
そんな滑舌悪いか。
ほんまにちょいちょい滑舌悪いみたいなこと言われてる気すんねんけどそんな悪い?
箱開けって何?そういうツール?何それ?
そうそうそう。箱開けっていう黒曜から出てるねやつなんですけれども、カッターとハサミが一緒になってまして。
あーなんかそれ見たことあるな。
あ、ほんまですか?
2つタイプがある。ハサミタイプとカッタータイプってのがあって。
へー。
今言った名前ハサミとカッターこれどっちが種なのかみたいな感じなんですよ。
ハサミの形してるかカッターっぽい形してるかで。
はいはいはい。
ハサミのやつはハサミの形してるやつの刃の先っちょのちょっとしたところがカッターになってるんですよね。
カッターのやつは2段階になってて1段階シュッと出すとカッターの刃が出てるんですよ。
なるほど。
2段階目で全部出すとちっちゃいハサミみたいなのが出てくるんですよね。広がって。
どちらもカッターとしてもハサミとしても使えますよっていうことなわけね。
これ2つを一緒にしてるっていうのは人によるかもしれないですけどまだまだやっぱり通販多いって思うんですよね。
家に届けてもらうと箱めっちゃ来るじゃないですか。
箱を開けるのはカッターですよね。テープ切ったりとかして開けて。
中開けたらハサミで切らなあかんような結束バンドみたいなので固定されたりするやつもあるでしょ。
はいはい。あとタグが付いてたりとかね。
そうそうそうそう。ハサミもいるやんっていうことでそれを1個にしたら便利なんちゃうのみたいな。
なるほど。
僕はこれのカッタータイプを使ってるんですよ。
へー。
普通のカッターでもいいんですけどこれ買って思った。
カッターカッター言い過ぎやなこれ。
これを購入してですね思ったのがカッターの刃がちょっとなんですよ出てるのがほんまに。
ちょうどええぐらいのストロークなんですよ。
はいはいはい。
切りやすい感じでシュッといける。出過ぎてないなみたいな感じでシュッと切って中のやつもついでにハサミでいらんタグとかもピッピって切ることができるからめっちゃ便利やなと思ってね。
へー。
そんな高くもないんですよ。今セールとかやってたら1000円以下で買えるんで。
まあ確かに2つ使わなくてもいいとかあとほらよくさハサミを開いてさ刃の部分を当ててカッター代わりに開ける人とか。
そういうこと僕もたまにしてました昔。
あれちょっと危ないじゃん。
危ないしハサミがもうちょっとアホなりよるんですよ。
アホなりよる?
ネッチョネッチョ。
1:00:01
なんや馬鹿にしてんのか。
いやいやいや。
アホなるって言わへん。こっちは何?馬鹿になるみたいなこと?
分かる?
いや分かるんだけど。
なんとなく言わんとしたいことは。
なんて言うたらいいかな。カンペン分かる?カンペン。
え?
ハンペン?
もうお前らどんどんやな。
あのカンカンのペンケースあるじゃないですか。
はいはいはい。
あれって開けたり閉めたりしてたらもう閉まりよらへんなるでしょ。
分かる分かる。馬鹿になるって言うよね。
それを少なくとも僕の住んでた地域ではアホなるって言うんです。
関西と関東でその辺の言葉の使い方が違うんだよね。
多分使いもんにならへんみたいなことですよね。
分かりますよ。意味は分からなくて。
言い回しがおぼろかったってだけなんです。
アホになる。
そういうのもあるからね。あんまり良くないから。
これはありそうでなかったのか分かんないけど。
意外となかったんちゃうかなと思って。
そうね。面白い発想だね。
そうなんですよ。すぐ買って使ってみたっていうこと。
もう2ヶ月ぐらい使ってるんですけど。
いいですよ。
俺なんかこういうの使うのめんどくさかった。
箱とか力技で開けてるな。
どうやってやってるんですか?
なんか瓦割りみたいな感じでやってるんですか?
瓦割りはしてないけど。
瓦割りで開けてる人は見たことないですけど。
テープで止めてるところがあるじゃない。
あそこを無理矢理ガッと開けてる。
押し込むみたいな感じ?
力技で開けたり。
あるいはテープを剥がしたりしてるな。
確かに。
最近の段ボールは剥がしやすい工夫してるじゃないですか。
そうですね。
ここ穴開いてビリーっていけるみたいな。
あんまりね。
ハサミは必要だけど。
カッターで箱を開けなきゃっていう場面はあんまりないんで。
あんまりですか。
困ってはいないけど。
あったら便利だなとは思った。
そう。
さっきね。
剥がしやすい工夫して、段ボールに穴開いてそこからビリビリビリビリってテープも剥がれる工夫してくれてるでしょ?
うんうん。
あれもうほんまアホやなと思うんですよ。
考えたやつほんまアホやなって。
なんで?
あれなんで?片方だけな。
確かに。そこの方が無いよな?
うん。そこが無かったら結局刃物いるやんけ。
ほなやったら別にこれ無かってもええんやんけって。
分かる分かる分かる。
作ったやつに言いたいんですよ。
確かに。
だから俺もそういう時にはそこの方は力技でやるしかないよね。
そう結局そうなるじゃないですか。
確かに。
だからこういうのがあった方がいいなっていう風にもう常々思ってて。
確かに。スマートだよなこれなあったら。
そうなんすよ。だから箱の方変わるん待っててもしゃあないじゃないですか。
確かに。なんか辻さんらしくないなあ。
いやでもさ、なんかなんかほらやっぱり言うやん。
他人を変えるのよりも自分を変えられる方がいいんだぞみたいな。
確かに確かに。
うん。ということで自分を。
ちょっと待って辻さんらしくないってどういうこと?
いやいやいやいや。
そこ今つっこむそこ。
なんでなんでなんで?どこが?え?力技でやってそうってこと?
いやなんかそのスマートなんかなんからしくないなあと思って。
えちょっと待ってもう10年以上の付き合いやけどどんなやつやと思ってんの?
1:03:01
いやいや。いいっすね。
ちょっと興味ある方はぜひ。
ちょっと楽になる小技みたいな感じのアイテムを紹介したということでございます。
はい。
ということで今回も以上でございます。また次回のお楽しみです。バイバイ。
バイバーイ。
