1. セキュリティのアレ
  2. 第163回 令和5年!今年がはじ..
2023-01-09 56:58

第163回 令和5年!今年がはじまってます!スペシャル

セキュリティのアレ
セキュリティのアレ
Host

Tweet  【関連記事】 ・Fit Boxing北斗の拳(フィットボクシング北斗の拳)| Nint[...]

The post 第163回 令和5年!今年がはじまってます!スペシャル first appeared on podcast - #セキュリティのアレ.

00:01
始まってます。
始まってます。どっから?
いや、どっからじゃなくて、
新年がよ。新年が。
なるほど。なるほど。確かに。
明けましておめでとうございます。
おめでとうございまーす。
いやいや、ちゃんとちゃんと言ってな。
ちゃんと言って。
新年、荒れましておめでとうございます。
荒れまして?そっか。
それ言ってるの、辻さんだけ説ありますけど大丈夫ですか?
荒れまして言ってたらなんか、
荒れたんかなみたいな感じするよね。
荒れたみたいな。荒らされたみたいな。
感じしますけどね。
いや、新年一発目ですね、これ。
どうですか?
どんな冬休みを過ごしてたんですか?お二人は。
いや、のんびり。ちょっとのんびりしましたよ。
あ、本当ですか?
私も結構淡々とおせち食べました。
あ、なんか、
正月らしい感じの。
ね、らしいね。
あんまりそういう意味で正月らしいとは感じなかったけど。
まあでも、久しぶりのちょっと長い休みだったんで。
少しだけのんびりできましたね。
よかったです、それは。
僕は全然何も特に変わらん感じで。
なんかあの、
ゲーム買って。
いつも通りだね。
あの、
いやいや、ゲームって言ってもあれですよ。
僕も長らく皆さん触れてこないですけども、
肉体改造してたじゃないですか。
はいはい。
それの、
肉体改造系の
ゲームの
新しいのを買いまして。
へー。
フィットネス系ってこと?
そうそうそう。
ああ、そういうやつね。
フィットボクシングってやってるって言ったじゃないですか。
おお、なんか言ってたね。
そうそう、それの
北斗の拳バージョンが
年末に出まして。
そんなのあんの?
すごいそうですね。
あたたたた。
お前はもう痩せているっていう。
ギャグじゃねえかよそれ。
いやいや、
モヒカンとかを殴り倒すわけですよ。
マジか。
面白すぎるな。
新年からそれやってるんですか?
やってるやってる。
12月の22日に発売されたんですけど、
やっぱり
北斗の拳でビシバシやるんだったら、
百裂拳とかも
打たされるわけですよ。連発で。
うーん。
これやるためにはちゃんと
体を作っておかなあかんなと思って。
本末転倒な感じはするんですけど。
ゲームのために体を作って。
そうそうそう。
ちょっと筋トレ、
発売に向けて
ちゃんと整えてからやろうと思って。
で、やり始めた
っていう感じなんですけど。
一応今のところ最高138
百裂拳ぐらい出せましたけどね。
え?ってかさ、
そのゲームは誰が買うんだろうな。
北斗の拳
好きな人じゃないですか?
でも目的はフィットネスですよ。
体を動かさないといけないんですからね。
そうですね。
普通のボクシングのやつを
やりながら、最後に
03:00
ボスを倒すときだけ
百裂拳を打てっていうのが
出てくるんですよ。
ユーザー層が重なっている感じが
しないんだけどさ。
ベンズに入っているのが辻さんぐらいじゃないかな。
俺もそう思ったんだけど。
すっげー薄くない?
フィットネスやりたい人と
北斗の拳好きな人みたいなのが
重なるの。
めっちゃレアだよね。
おもろいんだけど。
僕の周りで
買っている人いないかもしれないですね。
いないでしょ。
数少なくリングフィットを
持っている人に聞いたんですよ。
北斗の拳買ったんですよみたいなことを言ったら
いや別に
リングフィット2でいいですみたいな。
別にいいです。
そういうのみたいな感じで
返されました。
普通の反応だよね。
それで
フィットネスをしつつ
1月4日の
プロレスを見るみたいな生活。
いいじゃないですか。
なかなか健康的なお正月で。
充実している感じ
しますね。
あとあれですよ。
今年の1文字。
出た。
決まったの?
もちろんですよ。
何だと思います?
1個前は
愛じゃないですか。
相手の愛じゃないですか。
愛対する。
その前が
対でしたよね。
だったね。
そうそう。
今年はですね。
入れるという字で
入り口の入れるではなくて
容器の方の入れるです。
なるほど。
あれは
愛に入れる、愛に入れないみたいな
そういう感じで。
器に入れるとかね。
押されるっていう意味もあるんですけど
許容の用でもあるじゃないですか。
そうですね。
あれってね。
許すっていう
意味でもこの漢字自体にも
意味があるらしくて。
使われるというところで。
あとは姿形とか
あとゆとりがあるとか
っていうようなことにも使われるんですよね。
なるほどね。いろいろ意味が
深いね。たくさんあるんだね。
そうなんですよ。
自分にいろんなものを
取り入れていこうと。
なるほど。
年取ってくるとね。
懲り固まったりとか固定関連に
縛られるみたいな。頭固なるとか
言われるじゃないですか。
だからそれは
なかなか防げない部分もあると思うんですよ。
経験からね。自分の経験とかからすると。
とはいえやっぱり意識せえへんかったら
どんどんあかんかなっていうようなことと
あと個人的に
許すっていう行動って
一番難しいんちゃうかなって昔から思ってて。
確かにね。
頭でわかってても
感情的に許せないとかあるもんね。
いろいろね。
それもあるしね。
06:00
自分よりも若い人が
どんどん増えてくるじゃないですか。
自分が年取っていくとね。
そうすると全然文化が違うとか
考え方が違うとかって
すごいたくさんあるんじゃないかなと思ってて。
ギャップね。
そうそうそう。
これってほぼほぼ
あかんやろ失敗すんでみたいなこととかも
頭ごなしにそうじゃなくてみたいに
言うのやめようみたいな
気持ちがあってね。
暖かく見守ってあげよう的な。
そうそうそうそう。
その時に助けたらいいだけであって。
その辺をちょっと意識して
バランス取ることって
大事なんちゃうかなっていうことを
常々思ってたんですけど
最近よくここ一去年ぐらい
よくそういうこと考えることがあったんで
今年の一文字はこのようっていう字に
しようかなと思って。
大人だね。
いやいやいや。
一応2回ぐらい成人式やってる年に。
軽くやってる年なんで。
大人は大人なんですけれども。
なるほど。
ゆとりを持って
どっしり構えてみたいな感じですか。
そうそうそうそう。
弱犬ほど羊を吠える
みたいな感じにはならんとこう
っていうことを考えたわけなんですよ。
聞いたらとてもいい
目標というかなんか。
いいっすね。
そうなんですよ。
それでいこうかなと思っております。
はい。
ということで
お便りは特に
なしですね。
ちょっと間が空いたのでそんなに。
新年一回目だしね。
引き続きまたお待ちしております。
はい。ということで今日も
セキュリティのお話をしていこうかな
と思うんですけれども
新年一発目はですね
僕が行かせてもらっていいですかね。
どうぞ。よろしくお願いします。
あかんって言われたらどうしようかなと。
あかんって言ったことないやろ。
聞くんじゃなかったな。
あかんって言われたらどうしようと思いながら
聞いてて新年一発でまなくじかれるやん
と思いながらフワフワしてましたけれども。
お願いします。
今日僕がですね紹介するのは去年の末
12月の20日に
出ていた
ブログのような記事をですね
ちょっと紹介しようかなと思ってるんですけれども
はい。
NCSCUKっていう
ところがありましてですね
イギリスの
国立サイバーセキュリティセンター
っていうところの略称が
NCSCUKなんですけれども
ここがですね
不正なリンク
いわゆるフィッシングとかマルウェアとかに
誘導するようなリンクってあるじゃないですか
メールに書かれてたりするような
PDFとかにもあったりしますけれども
そういったものをクリックしないようにしましょう
っていう風にユーザーに伝えることっていうのは
まだ機能してないですよ
そんなにみたいな感じのタイトルで
エントリーされていたんですよ
それをちょっと紹介しようかなと思うんですけど
この理由っていうのはおそらく
お二人もこれを聞いている方も
想像つくかと思うんですけど
ユーザーは時に意図せずに
09:00
そういった悪意のあるリンクを
不注意にクリックしてしまうことっていうのは
なかなかなくせないっていう風なことが
理由でもあるんですよね
はい。
何の意識もせずにササッと
見た時にはいこれおかしいっていう風な感じで
自然に見分けることが
できればいいんですけど
そんなわけにはいかないという風なことと
あとはユーザーそのものが
それを頑張って見分けることっていうのは
本来の仕事じゃないですよね
みたいな語り口で書かれていました
よく言われるのっていうのは
攻撃側っていうのは有利ですよね
みたいなことを常々言われ続けてきてますけど
攻撃する側は
一人のユーザー
一個の脆弱性とかでもいいですけども
そういったものを突破するだけでいいので
基本的には組織側が全体的に
保護をするっていうのは結構大変だな
という風な部分があるので
ユーザーを保護するためには
ユーザー任せにするんではなくて
軽減策をシステム的に実施
した方がいいんじゃないの
みたいなことを提言している
感じでしたね
なるほど
人に依存したような対策で
お前ら気をつけろ気をつけろみたいな感じの
風潮を作ってしまうと
クリックしてしまった人が出てきた時に
避難されてしまう
もしくは避難されることを恐れて
報告がされなかったり
それによって対応が遅れたり
する場合もあるので注意が必要です
という風なことが書いてありました
なるほどね
組織として
何すりゃいいのみたいなこととして
挙げられてたのは2点あって
認証情報への対策
これ引っかかっても大丈夫にするとか
っていう風なことだと思うんですけど
ファイルを使って
認証情報が盗まれても
デバイスベースでパスワードレス認証の
導入をできるなら
した方がいいですって一番
推奨されてました
指キーですね
できないとはいえ
例えば指キーですね
パスキーとかこれからは種類になってくるのかもしれないですけど
そういったものですね
それができない場合
なかなか追加予算できない場合だったら
最低でも要素認証を導入しましょう
みたいなことを言ってました
とはいえ
これって自分たちでできる範囲のこと
になってくるので
コントロールできない外部のウェブサイトとか
そういったものに対応してないサイトの場合は
パスワードマネージャーを
使わせた方がいいんじゃないかってことが挙げられてましたね
これが認証情報を
盗まれることへの対策
という風なこととして挙げられてました
もう一つは
ダウンロードへの対策
っていうようなとこで
本人に何か悪意のあるものだとか
言ってくるってことを防ぐために
メールのスキャンとか
あとプロクシーとかで
出ていく通信止めましょうとか
っていう風なことが挙げられてましたね
あとはこれ僕らもよく言ってたりしますけど
配送されてしまった
ファイルの実行の防止ですね
カゴさんもよく言ってますけど
マクロの話だとか
あとはパワーシェルの実行防止だとか
っていう風なことが挙げられてました
12:00
その他は
OFトフトウェア最新にしましょうとか
インターロンの導入検討しましょう
みたいなこととかも書かれてありましたね
あとDマークとかにも触れられていました
この辺の対策で
それで以上っていう風な感じで
終わるのかなと思って
呼んでいったらですね
ここがあったから僕これ紹介しようと思ったんですけれども
ここなら
不審なリンクを
不審だという風に
分かるようにするための
トレーニングすることってやめてええんか
みたいなことが書かれてあって
そうですね確かに
それは決して
そうではないという風なところが
確かに俺と思ってる感じと
一緒かもと思って
興味を持って読み始めたんですけれども
そこで挙げられてる理由は
二つありまして
一つは軽減策とか
緩和策対策に当たる部分ですね
これが突破されたり回避されたりするような
可能性っていうのはもちろん無くなるわけではないから
ユーザーが見分けられる
っていう風なことは多層防御の一つの層
として捉えるべきです
ってことが書かれてありました
もう一つはユーザーが
組織的な保護が行われていない
ケースがあると
例えばリモートワークとか
個人のアカウントとかってことですね
このポッドキャストでも
紹介したと思うんですけども
個人のGoogleアカウントが乗っ取られて
組織のネットワークに入って来られた
っていうケースありましたよね
なんかシスコかなんかだっけ
シスコシスコ
ヤンラオン
っていうランサムグループに攻撃を受けた
っていう時のやつが
守れない範囲もあるから
っていう風なところで教育が必要
みたいなことが書かれてありました
あとはさっき言った
文化、開いてしまった人を
攻める攻めないみたいな文化の話がありましたけれども
そこでですね
報告を、例えば見分けて
これおかしいんじゃないっていう風に
リテラシーが高い方とかだったら
もしくは慣れてる方とかだったらあれこれ変やなって
即座に気付ける人も
中にはいるじゃないですか
そういった人が増えることによったら
それは増えることによって
それは組織の強みになると
なぜかというと報告がスムースに
気軽に上げられるようになる
っていう風なことで
それがきっかけとなって他にも届いてないか
とかっていう風に調べることに加えて
そういった非難しないような
文化っていう風なものを
作っていくのに役立つんじゃないか
ってことが挙げられてました
実際あれだよね、インシデントハンドリングとかで
そういうケースって多分よく見かけるような
気がするんだけどさ、話もよく聞くし
なんかね、気づいた人が
報告してみたら
実は気づいてない人は結構いっぱいいたみたいなね
そうそうそうそう
そういうのって、割とよくある事例な気がするね
確かに
気づいた人よりも先に開いちゃった
人がいたとしても
それを見つける機能がどこの組織にでもあるとは限らないので
人がきっかけとなって
っていうケースっていうのは
できないんじゃないかなって僕は思うんですね
まあそうだね
なんで、見分けないでも
済むっていう風なことが
15:00
徹底できればいいけど
さっき言ったみたいにリモートワークとか個人アカウントとか
っていう風なものも
なかなかそれだけでは済まない
っていうのが現状なんじゃないかな
っていうのを僕も常々思っていまして
外から来たリンクとか
そもそもクリックする方がおかしいやろ
みたいなことで
対策としては
それを全体の
人全体に周知徹底する
っていうのもなかなか難しいですし
それを
広めすぎると
組織全体として結果的に
耐性というか抵抗力みたいなものを
上げるということにつながってないんじゃないかな
なんて僕は思ったりするんですね
なので
総合的に考えて
まずこういうものがありますと
こういう違いこういう見分け方がありますみたいなものを
最低限の知識として
知っておいて
それに加えて有効な
システム的な対策っていうのを
施していくっていうのはお互いの
相乗効果みたいなものっていう風なものを
2つの面から考えて
1つをやらなくていいみたいに切り捨てない方が
後々全体的には
いいんじゃないかななんていう風なことを
改めて思いましたし
この記事は結構会社の偉い人とかにも
勧めて読ませてみてもいいんじゃないかな
と思って今日は紹介させていただきました
確かに
どっちか
でやるっていう話じゃなくて
多分順序的な問題では
人の対策に
全部依存しちゃうのは間違っているけど
かといって
システム的な対策だけじゃ全て防げないから
保管し合いましょうっていう
そういう話だね
極端に触れるのはやっぱりあんまりかな
って気がしますね
ちゃんと守れてる組織っていうのは
おそらくそういうバランスがうまく取れてるところだよね
きっとね
どっちかに一方に偏ってないというかね
そうですね
ずっといろいろ考えてきたし
こんな話
昔からある話じゃないですか
どうやっていこうこれはみたいなのがあったけど
なんかちょっと自分の中で
うまく整理ができたというか
ちょっと腑に落ちたというか
こういう風に伝えていけばいいかな
なんていうことを考えさせられたというか
あとちょっと
勇気も出たかなって気はしましたね
自分の中で
他にも例えば不審なメールは開くなもそうだし
はいはい
どういうのにも通じるような話だよね
そうですね
どっちかに偏ったらうまくいかないよ
っていうのはね
あと
個人個人の話はともかく
組織としての
セキュリティ対策のレベルを
上げるという意味では
一人一人に頼んなくても
誰かが気づけばいいっていうさっきの話とかはさ
まさに組織全体として見た場合には
それで抵抗力が上がるわけだから
ですね
決してバカにできないよねそういうのはね
いや本当そうだなと思いました
いいこと書いてるなって
さっき聞いててやっぱ思ったけどさ
実際昨年
結構このポートキャスターも取り上げたけど
かなり著名な企業とかが
フィッシングでやられて
18:00
侵入されてとかっていうケースが
結構多かったじゃない
はいはい
ほらMFAファティングだったり
あるいはアドバーサリー
インザミドルだったり
そういうやってても
対策してたはずなんだけど
突破されちゃったみたいなケースとかが
結構目にするから
やっぱフィッシングって
完全に防ぐのって難しいんだよね
やっぱね
怪しいのはクリックするなとかって言っても
ダメだし
じゃあ取られた時に何も防御がなかったら
全然
そのままスルッと行っちゃうかって言うと
全然ダメだから
やっぱりさっきの認証を
しっかりやるとか
複数の対策を
うまく組み合わせるっていうのは
やっぱり大事なんだなっていうのは
実際の事例がそうやって
言ってるもんね
全部システム
全部人っていうんじゃなくてっていうところの
バランスは改めて考え直した方が
いいんじゃないかなっていう気はしましたね
そうだねあと言ってる対策は結構
基本的な対策ばっかりだったからさ
この辺は全然新しいこと
特に書いてなかったですから
だからそういう基本ちゃんと
しっかりやってバランスよく添えてるところが
結局強いのかっていうのを改めて
思いましたね
はい
そういう意味でもいい記事だね
ぜひ読んでいただければと思います
はいありがとうございます
はいということで
じゃあ次は
河野さん行きますかね
今ねちょうど辻さんの
話が
前振りなんじゃないかって思えるぐらい
今日取り上げたいネタがですね
これは
ジャパンアンチアビューズワーキンググループ
っていうところが
ちょっと前なんですけどね
去年の11月の
7、8でやっていた
ジェネラルミーティングっていう
カンファレンスがあって
そこで取り上げられていた内容を
ちょっとご紹介したいなと思ってるんですけども
この
ジャパンアンチアビューズワーキンググループって
何かっていうと
なんか平たく言うと
インターネット上の
脅威
特にメッセージに対しての
セキュリティを中心に
注意であるとか
そういった脅威の分析などを
対策などを行っている
そういった業界
団体なのかな
そういったところでして
そして
会議というかカンファレンスを
開催して今年で
去年で5回目と
いう形になるんですけども
これ何で今取り上げているかというと
実は年末に
インターネットウォッチが
12月27日に
その会合の
記事を
出しておられて
私初めて知ったんですけども
もしかしたらなので
結構面白い内容だったので
取り上げさせていただきたいんですが
21:00
何かというと
カンファレンスの中で
取り上げていたものの中で
携帯キャリアで
SMSの
スミッシング
がどういった状況なのか
あるいはその対策がどういった状況なのか
っていうのを
KDDIとNTTドコモと
ソフトバンクの3社の
方が
その同じセッションの中で
最新の投稿を
ご紹介というか
お話しいただくというものが
あってですね
なんか生っぽい感じしますよね
去年
スミッシング周りって
割と大きな出来事
って言っていいのかな
SMSのフィルターオプトアウトで
始めましたっていうのが
ドコモとソフトバンクの
2社でっていうので
やられているんですけども
それ以前から
SMSを使って
フィッシングで
あったりとか
あるいはマルウェアであったりとか
っていうところに誘導させる手口
っていうのが非常に広く
使われていて
たびたび注意喚起なんかも
実際なりすまされている組織から
出されている中で
昨年のドコモは
3月でソフトバンク6月
それぞれフィルター強化
っていうのをやられたわけですが
その後の状況がどうなのか
などの話っていうのは
これまで目にする機会が
なくてですね
今回このセッションの中で
そういったお話っていうのが
取り上げられていたので非常に興味深いな
というところではあるんですけども
もともと
フィルターとして
ドコモで言ったら危険SMS
拒否
拒否設定かな
そんな名前で始められていて
どんなものが該当するかっていうと
いわゆるフィッシングの
URLと
ドコモが判断したものである
とかあるいはそれ以外にも
特殊詐欺って言うんですかね
見払い請求の
偽造って言うんですかね
なりすました
そういった偽造の連絡であるとか
そのもので
ドコモ側が把握しているものから
電話番号として把握しているものから
送られてきた場合それも
フィルターをされると
そういったものが
3月から行われているんですが
ドコモの方曰く
直近の
2022年の8月から
10月でその拒否
設定で
実際に対象となった
ものの状況として
TMSが入ってくる経路色々あるんですが
海外から
入ってくるケースと
国内から入ってくるケースで
これ私
トントンくらいかなと思ってたんですけども
意外と偏っていて
海外
24:00
国際網と呼ばれているところから来るのは
全体の
2割
それ以外は国内と
そうなんですね
結構国内に
偏っていると
実際にさっきも
申し上げた
ドコモ側がフィルターで判定した
というか割合なので
すり抜けというか
本当にまずいものなんだけども
抜けちゃってるものはまた
入ってくると数字が動くのかもしれないんですけども
判定された結果としては
入りとして
入ってくるものは国内から飛んできているものが
多いと
具体的な数は
言及はされていらっしゃらなかったんですけども
例えば
ドコモのキャリアを
使っていると
1日あたり
最大1番号
1つの番号から送れるのは
200通
仮に
1000台
1000番号から送られている
場合だと
20万通になりますよねみたいな
話が
例として挙げられているんですけども
実際に
ドコモ側が受信して
さっき申し上げた
SMSの多分フィルターにかかっている数
っていうのはそんな
もんじゃないというふうに
言っていたので
1日なんですよね
1日で20万通超え
ドコモの番号
宛てに届いてかつ
発信されているということであれば
それ以上きっと
届いている可能性というのは考えられるので
結構な数というのが届いていて
かつその大半が
国内の番号から
発信されているんだなというのは
実情としては
改めてというか
知ることができたので
興味深いなというところと
あと興味深いところとしては
この3月とか6月に始められた
そのフィルターの強化
がどの程度効果を上げているのか
というところについては
これは具体的な数字というのは
挙げられてはいなかったんですけども
オプターアウト
要はユーザーに特段
やってもいいですかみたいな
確認は取らずに包括的に
同意されたものとみなして
ユーザーに提供しているものなので
結構な規模感では
止めているんじゃないかという
感触はあると
なので攻撃
実際にこのスミッシングとか
送ってきている人たちからすると
コストは
上がっているんじゃないかな
というそういった見解
を示されて
いた一方でやっぱり
どういった場合に
このフィルターを抜けるかというのは
攻撃者側も
イタチゴッコというか
手を返しなおかえという風に表現されていたんですけども
対策すり抜けというのが
残念ながら発生はしていると
27:00
例えば
これはちょっとすみません
セミナー上では言及なかったんですけども
実際に流れているものとかを見ると
SMSで太字とかを使って
送ってきたりするとか
ユニコード形式なので
SMSが
なので文字コードが変わるんですよね
太字とかあるいは
車体とかを使うと
なので
それですり抜けを
しようとする
そういった手口というのは実際
観測はされていたり
あるいはドコモとソフトバンク
あるいは
多分AUも
何かしらのフィルターをやってたと思うんですけども
そういった
3つのキャリアで
全部が全部防げるかというと
例えばどっかの特定のキャリアでは
抜けがあるとか
というのがあったりすると
結果的にはそれを攻撃者側が行うことで
どっかしらに届くと
という感じもあったりはするので
そういったきっと
背景からか抜け
一定の効果はあるが
対策すり抜けというのも起きているのが
現状というお話をされていらっしゃって
この辺は
やはりすぐ
この対策が
入って
スミッシングが絶滅するか
というと決して
そういった状況には
なっていないんだなというのは
知ったというところで
もう一個興味深かったのが
このSMSとか
そういったもの
に対しての
考え方というところで
これはKDIの方が
言及されていた部分ではあったんですけども
海外ですと
このSMSとか
あるいはRCS
リッチコミュニケーションサービスと呼ばれているような
そういった市場規模というのは
大体
海外ですと
2から3兆円の規模感と
それに対して
国内は
2018年かな
少し前は
40億円の規模
だったんですが
最近は
150億円程度にはなっていて
やっぱり
そういった市場は
広がりつつあると
そういった現状もあるので
スミッシングという手口に
注目が
集まっているのではないかというところと
あと
これはもしかしたらキャリアの方の
希望というか
願いが入っているのかもしれないですけど
このSMSとかの
メッセージングサービスは
B2Cの
世界
企業から個人コンシューマーに対しての
通知手段としては
番号さえ分かっていれば送れるという
ものではあるので
今後どんどん
むしろ使われる
傾向というんですかね
より広まっていくんじゃないかという
見解は
30:00
お話はされておられて
なので
それに対して
現状もうすでにこういった
悪用というか
まずい問題というのが起きているわけなので
一応それに対しては
共通番号というものを
導入をして
見分けを
しやすくすると
さっき見分けるなって
話あったかもしれないですけども
見分けをしやすくすると
要はSMS専用の番号を作って
その番号は
キャリア側で
事前に審査をして
特定の企業から
特定の企業にしか
使わせないと
そういったことで
見分けを防止したりあるいは
専用の番号になるので
識別が
容易になるんではないかという
お話はして
いらっしゃいました
本当にそういった効果になるのか
というのは具体的に始まってみないと
なんともというところではあるんですが
個人的にはSMSってもう
古い技術っていうんですかね
だいぶ前からあるものなので
使われるケース減っていくのかな
というふうには思ってはいたんですけども
キャリアの方の見解としては
今後も使われると
むしろもっと広がっていく
というような
考え方ではあったので
その辺も踏まえていろいろ考えていかないといけないな
というふうには
セッションの話を受けて
思ったところです
最後のお話だけどさ
SMSに代わってRACSが
もしかしたら利用拡大するか
その辺の動向は分からないけど
今結構
電話番号が本人確認とか
本人の認証の代わりで
結構広く使われている
少なくとも国内では結構
今でも使われている
それは現状そうだし
手軽にできるという良い面もあるけど
やっぱり悪い面もあって
例えばこの間国内でも事例があったけど
いわゆるSIMスワッピング的なやつで
店頭で
偽装された
本人書類をもとに
勝手に番号を変えちゃって
海外でも結構話題になるし
国内でもぼちぼち
そういう事例があったりするじゃない
そうすると
なんでその電話番号が
本当に本人の確認に使えるほど
安全なものかという保証が
今のところあんまりちゃんとないので
そうですね
ちょっとそこの部分の
バランスというか
メッセージのセキュリティのバランスを
取るのももちろん大事だけど
それに紐づいて
使って大丈夫な安全なのか
セットに考えないと
仮にもっと
広く使われるとしても
それは攻撃側にチャンスになっちゃうだけ
になると危ないので
その辺のバランスの
良い対策が求められるのかな
現状
店頭で鳴りすますっていうのが
うまく防げる仕組みがないような感じが
若干するので
33:00
番号の
取りに対する対策はちょっと
怖いのかなって気がするんだよね
そうなんですよね
しかも日本も結構
今までは物理的に
SIMカードが必ず必要で
っていう感じではあったんですけど
今はどんどん
eSIMに流れが
進んでいるので
SIMカードなくても
電話番号取れるっていう感じになってますし
物理SIMだとしても
SIMなくしちゃったとか電話なくしちゃったんで
新規発行って言われたら
本人だと
認めてしまったらやられたら
言えないしね
その辺の確認が弱いと
まずいですよね
そこが簡単に突破できちゃうんだとすると
いくらね
メッセージセキュリティ側が良くてもさ
全然元も子もなくなっちゃうんで
確かに
それはバランスが必要だなって
気はしたけどね
海外とかでも
それが理由で仮想通貨をごっそり持っていかれたとか
いっぱい事例ありますよね
そうなんだよね
だから
そこら辺の
本当にそこを信用していいんだっけ
っていうのは
落ち着いて考えてみないと
これどうなんですかね
さっき看護さんの話の中盤ぐらいで
仮にの例ですけど
最大200通
でしたっけ
ドコモが送信できる
それをフルフルにやったとして
先代感染するっていう過程で
最大20万通
日にSMSがばら撒かれてるんですよね
可能性があるってことだよね
20万通って相当すごくて
僕が昔
診断業務やってる時に
メールの不正中継
試したら16万通
飛んだことがあるんですよ
それ比較対象としてどうなの
俺より多いって
多いと思ったんですけど
それはさておき
20万通のSMS
フィッシングSMSがばら撒かれてるって
これ
正規のというか
フィッシングSMSじゃないSMSは
何通あるんですかね
こっちの方が多いのかな
っていうのがちょっと気興味が
あったんですけど
だったら変えていくとか
増えていくだろうという予測も
あったとしても
舵取りしていかないといけない部分って
キャリアとしてあるんじゃないかな
正確な数字知らないんだけど
どっか探せば出てると思うけど
正規のSMSの通数は
もっとすごい多いと思うけど
使われてるんですかね
そんなに今も
使われてると思うんだけど
それよりも
例えばドコモだとしても
数千万回線あるわけで
そこのキャリアに仮に
20万通を超える
100万通は仮に超えなかったとしても
毎日毎日
コストのユーザーが
不正なやつを受け取る可能性があるわけ
だよね
それを実際のところ
36:00
かなりブロックしてるっていうこと
だとすると
ゼロ人では
抜けちゃうってのがあったけど
公益側もテスト回線使えば
簡単に確認できるから
これは抜けるこれは抜けない
全部のキャリア
テスト回線とか持てばいくらでも試せるから
それは多分無くならないと思うんだけど
やっぱりコスト上げるって
すごく大事な考え方で
ほとんどは
防げるっていうのは結構大事だと思うんだよね
どんどんどんどん難しくなるっていうのは
やっぱりすごく大事で
そのうち諦めるからさ公益側もさ
もっと簡単にできること探そうってなるはず
他にあればそっちに移りますからね
どっかのタイミングでコストが上回る
タイミングが出てきて
これは割に合わないやってやめる
っていうタイミングがどっかで出てくるから
まぁちょっと地道だし
抜け漏れがあってなかなか
成果としては難しいっていう面は
続くかもしれないけど
いやまぁこれ
全ユーザーまるっと
包括的に守りましょうってのは
いい取り組みだと思うけど
AEUもなんか近々始めるらしいし
近々って話ですね
大手のキャリアこうやってやってくれたら
だいぶ景色変わってくるんじゃないかな
と期待してるけどね
はい
ありがとうございました
はい
じゃあ最後はねぎしさんです
お願いします
じゃあ私からはですね
新年これ最初の収録ってこともあるんで
最近
新しく使い始めたサービスについて
ちょっとこの他シリーズで
2つほど紹介したいなと思ってるんですけど
新しいサービス
それは
何か新しくやり始めたのか
何かをやめて新しいのに変えたのか
そうそうそう
ちょっと2つ取り上げたい
取り上げたいなと思って
1つ目はですね
パスワードマネージャーの話なんですけども
来ましたね
はい
私からリスナーの皆様にご報告がありまして
そうなんですね
長年使っておりましたラストパスを
遂に諦めてワンパスワードに移行いたしました
おー
ラストパスになったわけですね
マジですか
マジですかそれは
ちょっと乗り換えるに至った経緯を話すと
ちょうどさ
年内最後の通常収録には
間に合わなかったんだけど
そのすぐ
あとクリスマス前かな
ラストパスが例の不正アクセスについての
情報をアップデートして
結局その
ユーザーが保管しているパスワードのデータも
漏洩してましたって言って
パスワードマネージャーとしては
最悪の部類に入る
情報漏洩だったということが
分かったんだけど
漏洩していること自体は
しょうがないというか
いちいち情報漏洩したサービス全部乗り換えたら
キリがない
使うサービスなくなっちゃうんで
それ自体はしょうがないんだけど
僕ねこれまでこのポートキャストでも
度々話してるし
39:00
ラストパスってこれまで過去にも何回かそういう情報漏洩とか
事件起きてるんだけど
その時の対応は
比較的良かったかなという
今後期待できるから
使い続けますって言って
擁護し続けてきたんだよね
愛を感じました
長年のユーザーらしさは
10年以上使ってるんで
と思ってたんだけど
昨年の8月以降の
一連の事件は
何回か情報アップデートする
たんびに影響範囲が
被害範囲が拡大していって
チョコチョコみたいな感じで
やってましたもんね
僕これまで言い続けてたけど
事後対応がしっかりしてれば今後に期待できる
っていうのがあったんだけど
さすがにこれちゃんと事態を
コントロールできてないんじゃないかな
っていう疑念があるのと
事後対応とか
あと体制だよね
ハンドリングする体制が
本当に大丈夫なのかなというのを
若干というかかなり不安を感じるような
一連の流れがあったので
さすがにこれは使い続けるのは
ちょっと良くないかなという
年末に時間があったので
そこで切り替えちゃいました
ラストパスはもう使っておりません
ラストパスの事件があっても
取り上げられないかもしれない
そういうことですね
長い間ありがとうございました
ちなみに乗り換えるのって
いろいろ時間があったからとおっしゃったんですけど
結構サクッといけました?
もう一瞬で切り替えられましたね
エクスポートしてみたいな
インポートしてみたいな
ワンパスワードとかは
ラストパスからのインポートの機能が
ちゃんとついているので
簡単にできて
特に困ったところは特に何もなかったので
さらっと移行して
問題なかったので
ラストパス側のデータも消しちゃったので
そんな感じなんですけど
一応今回の事件
ラストパスを使っている人もいると思うので
事件の影響について一言だけコメントしておくと
そもそもパスワードマネージャーを使っていて
マスターパスワードが弱いという人は論外なので
これは今回対象から除外するけど
それなりに
マスターパスワードが強度があるという人は
ラストパスに預けていた
マスターパスワードのデータが漏れる心配は
そんなにいらないかなと
僕は思っていて
結構年末の
ラストパスのアップデートがあってから
いろいろな人がいろんなことを言っていて
保存したパスワードは
全部変えた方がいいとか
言っている人もいるし
変えたい人は変えればいいと思うんだけど
僕自身はそこまで必要性は感じてはいません
むしろ
そっちよりも
漏えいした中に
42:01
暗号化されていないデータが結構いろいろあって
例えばメールアドレスとか住所とか
電話番号とかね
それ以外に保存してある
ウェブサイトのURLは
これはなぜかラストパスは暗号化していない
これは元々の仕様で
それは批判があったんだけど
その辺の情報が漏れているので
例えばラストパスの
ユーザーをターゲットにした
ミッシングが起きるんじゃないかとか
そういう方は
ひょっとしたら可能性は高いので
以前よりも
そういう注意はした方がいいかもしれないなと
いう感じですね
なので
僕自身は
暗号化したデータが
問題になるケースはないとは思っています
あとはスターパスワード
変えた方がいいって言ってる人もいるけど
これも漏えいしたデータには何の影響もないんで
変えたい人は変えればいいと思うけど
それでリスクが変わるわけではないですよ
そうか
そうですね
気持ち悪かったら
気持ちの問題の部分もあるかもしれないですね
そうそう
変えたい人は変えればいいんじゃないかな
という感じかなと
あと今回のケースで
僕と同じように
これ以上使い続けるなと思った人は
乗り換えればいいと思うんだけど
乗り換えるとしたら
僕は以前から何かあったら乗り換えようと
ずっと思っていたので
いろいろ検討していて
乗り換えれたらワンパスワードかビットワーデンだな
という感じなんだけど
今回のケースで
僕のおすすめがいかに当てにならないか
分かったと思うので
それたまたま
ネギスさんのコントロールできる範囲じゃない
いやいや
いやいや
専門家としてのところは
見る目ってのもあるじゃないですか
先見の的な話ですか
ラストパスはね
以前からいろいろ言われてて
あと僕も
運営会社が何回か変わるタイミングがあったり
とかして
そのたんびにちょっと大丈夫かな
って感じる面はなくはなかったんだけど
そのままずっと使い続けてたっていう
ちょっと反省もあるんで
皆さんねいろいろ各自でいろいろ
判断していただきたいなと思いますけども
でもなんかそういう意味で言うと
ネギスさんは
運営会社が買収されてみたいな
っていう時にちょっとなーみたいなこと言ってましたよね
そうなんだよね
ちょっとどんなのかなってちょっと様子見かなと思ってたんだけどね
うーん
まあちょっとね
最初使い始めた頃はいいと思って
使い始めたんだけど
途中でなんか悪くなるってことは
まあまあ往々にしてあることなんで
そういう見極めが必要だったかなっていう感じだね
うーん
ここまでの事件が起きちゃうっていうのは
ちょっと想定してなかったというか
対応がちょっとどうだったかな
という感じなので
はい
まあとはいえ今まで使い続けてたサービスを
あんまり悪く言いたくないので
確かに確かに
ありがとうございましたって感じで
ちょっと僕も周りにいるラストパスユーザーの人にも
聞いてみよう乗り換えたかみたいなこと
そうねまあいろいろちょっと
45:01
不安になった人も多いと思うんで
実際のところの影響がどうか
っていうのは
自分としてどう判断するかっていうのは
ちょっとじっくり考えて
思いますけどね
とうとう
じゃあ3人とも同じものを使ってる
そうですね
よろしくお願いします
はい
じゃあちょっと僕も何か乗り換えようかな
なんでですか
かぶらへん方がええんかなみたいなね
かぶってるかな
なんか新しい俺もちょっと考えたんだけど
でもやっぱり選ぶならワンパスワードかな
って最終的にはね
まあでも普通に考えて3人で喋ってるからって
誰が使ってる以外のものを使おうっていうのが
一番先見の目になさそうな感じしますよね
それを理由に
選ぶなよっていう
すごい理由ですよねそれは
それだけが理由だったらちょっとね
よくないですよねそれ
専門家としてどうなんみたいな話になりますから
なんでまあちょっと冷静な判断で
そうしましたということで
そうかねえげつさんもついにご卒業と
はい卒業しちゃいました
ようこそということで
ありがとうございました
もう一つあるんですけど
こちらはさらにこれなんですけども
ツイッターの話なんですけど
昨年ねツイッターはちょっといろいろ
ゴタゴタがあって
年末にかけてイーロンマスクさんが
買収した後
ごっそり人を減らしたりとか大股振ったりとかしてさ
セキュリティー面というよりも
いわゆる一般的な世間を騒がせてるような
事件が結構
起きてるんだけども
そんな中ですね
そのゴタゴタに嫌気がさせた人たちが
結構やっぱりいて
特にテック系の人とか
中には実は
セキュリティの専門家でももうツイッターさよなら
って言ってやめちゃった人が
結構いるのね
そういう人たちが結構
マストドンとか他の
SNSのサービスに映っちゃってる
っていうのをちょっと見ていて
さすがにこれは
まずいなと思って
というのは
情報発信としてはツイッターも
相変わらずユーザー数が多いので
これは使い続けることは
使い続けようと思ってるんだけど
ツイッターで情報発信しなくなった人たちを
キャッチアップしなきゃいけないなと思ったので
確かにそうです
12月から僕も
マストドンを始めて
マストドンでしか喋ってない人たちを
フォローするようにして
キャッチアップするのを
始めました
なのでまだちょっと始めたばっかりなので
ぼちぼちなんだけど
まあまあそれなりの著名な
セキュリティの専門家がもうツイッターはやめちゃって
マストドンとかでしか喋ってない人は
それなりにいるんで
そういう人も
ウォッチしていかないとなという
感じですね
あと今のところ
まだツイッターやめようとは思ってないんだけど
僕的に衝撃だったのは
12月の末ぐらいに
1回さ
マストドンとかフェイスブックとかインスタとか
48:01
強豪他社のリンクを張ったら
バンするみたいな
あったあった
あれはびっくりしましたね
あれは一日ただらずで批判されて撤回したけど
あれはちょっと衝撃で
そうですよね
いや正直あれがそのまま続くなら
ツイッターやめようかなと思ったぐらいだったんで
本当ですよね
ちょっとさすがにそこまでやるようなサービスは
使いたくねえなっていうのも
あったんだけど
一応今のところ
まあまあいいかとは思っているんだけど
なんかね
あの辺の一連の騒ぎで
嫌気がさせた方も結構いるんじゃないかな
確かに
あとその
体制面でも本当どうなるかとか
イーロンマスクさんもずっとやり続けるつもりは
多分なくてさ回転を探しているみたいだから
そうですね
ちょっと先行きも不安だしねどうなるのかな
っていうのもあって
保管する意味でも他のサービスも
考えてはいて
一旦マストドンやってみようかなと思って
最近始めました
っていう話です
ツイッターつぶやいたりもしてるんですか
いやそんなにはつぶやいてないけど
主にそっちでしか
喋ってない人
キャッチする目的で
っていう感じなんで
試しにいろいろつぶやいたりもしてるんだけど
使い分けようってのもあって
ツイッターのやつをそのまま移行はしてないんで
なんかさ移行するサービスがあってさ
ツイッターでフォローしてる人が
自動的にマストドン側ではフォローするようなことを
やってくれる
補助サービスがあるんだけど
ちょっとそういうの使ってないんで
一からもう一回ソーシャルグラフを
作り始めてるんで
まだそういう意味では人数少ないんで
ちょっとこじんまりと
これはキャッチしなきゃっていうような人だけを
フォローしてみたいな感じで
本当だネギさん
ツイッターの固定ツイにマストドンって書いてある
そうそう
マストドンにちょっと整理して
作りましたよってのをアピールしてみました
僕は
マストドン
久しぶりに
僕も実は年末に
久しぶりに開いて
アプリのアイコンも
一番メインのスマホの画面で
出すようにはしてるんで
そしてやったことというと
プロフィール画像だけ変えました
なんか見た見た
投稿はしてないなーっていうの
やらかでもやっぱり
マストドンの報告とか見ると
10月11月でグワッと
一気にユーザーが増えたみたいなんで
やっぱそうなんですね
ツイッターからの流れてく人が
それなりにいるんだとは思うけど
でもまだ数百万とか
桁が全然違うんで
まだまだちっちゃいよね
他にもいくつか競合するサービスが
複数あるので
どうなるかなって分かんないけどね
ちょっと試しにいって感じで
ツイッターの移行先はこれ
みたいな感じの記事も
ちょこちょこ増えてましたもんね
なんかでもさツイッターをそのまま
受け入れられるような受け皿は
ちょっと難しいよねここまででかくなっちゃうと
そうですね
51:01
どうなるかな
ミクシーかな
今あえての
あえてのね
あえてミクシーいこうかなって
一瞬僕も思ったんですよ
他以外の何か
SNSちょっとみたいなことを
思ったんですけど
ミクシー逆にありかなとかね
ありかもね
古き良きSNS
日本の初めての
SNS
みたいなね
グリーの方が先だったのかな
まあまあでもそうね
同じような時期ですよねでもね
はい
まあでもちょっとほら
最新のセキュリティ情報をさ
我々専門家としては
キャッチアップしなきゃいけないっていうのもあって
そうですね
その辺のやり方を少し変えなきゃいけなくなるかな
っていうなんかそういう感じもあって
またちょっと試行錯誤しながらやっていこうかなと思ってるんで
はい
まあなんかその辺また変わったら
ここで報告したいと思います
教えてくださいまた
ありがとうございます
はい以上です
はいということで今日も3つの
セキュリティのお話をしてきたので
最後にですね
おすすめのあれを
紹介しようかなという風に言ってるんですけど
今日紹介するのはですね
あの
ねぎしさんは使えへんやろなっていうやつなんですね
お?
ブラウザに関係する機能の
話なんですけれども
はい
クロームのサイドサーチっていう
機能があるのはご存知ですか?
どんなやつだっけ?
デフォルトでついてる機能なんですけど
デフォルトではオフになってる機能なんですけど
これ有効にすると
クロームで検索して
出てきた結果をクリックすると
ブラウザのリロード
ボタンあるじゃないですか
再読み込みのボタン
このボタンの横にGっていう
GoogleのGのアイコンが出てくるんですよ
それをプチって押すと
サイドバーみたいな感じで
左側に
Googleの検索結果画面が出てくるんですね
右側の画面を見ながら
左側を操作すると
昔のフレームのウェブサイトみたいな感じ
フレームで作られた
左側にメニューがあって
右側がコンテンツ変わっていくみたいな
風に使えるっていう機能が
ありまして
使ったことないかも
ないでしょ
これクロームの設定というか
こういう風に入れて出てくるやつなんですけど
そこでサイドサーチっていう風なものが
このフラグを
イネーブルに変えて
再起動すると
この機能が使えるようになるっていうやつなんです
ただですね
検索ページが
Googleでないとダメなんで
なるほどね
そうなんですよ
ダックダックGoを使ってる私としては
ダックダックGoでやってると
54:01
ダメなんで
ダメですか
ダメですね
そこの辺の変更を
できるとかもしくは
Googleをデフォルトの検索に
使われてる方だったら
結構これいろんな調べ物を
知ってる時にはすごく便利なのかなっていう
じゅうさんは使ったんよそれ
今回のために設定変えて使ってみました
なんで
ダックダックGoのまま無理やんか
みたいなこととかもやったのでわかるんですよ
なるほど
だからデフォルトの検索エンジンを
Googleに変えて
Googleで検索した結果を
開いて
出てきた出てきたみたいな感じで最初出てこなかったんですよね
何使ってみて
結構便利
いや便利でしたねいろいろ調べて
いろんなサイトを見て
今まで調べたことなかったようなこととかを
調べていって
情報集めようみたいな手探りな状態の時には
すごい便利だなと思いました
ほう
でも多分
ダックダックGoに戻すかもしれないです
なんだよオススメしといて
いやめっちゃオススメですよ
オススメなんですけど
Googleに戻るのはなーって気持ちがちょっとあるんですけど
これはちょっと
どうしようって思うような
揺らぐぐらいの感じ
でもあれを
僕もさデフォルトはダックダックGoだけど
でもやっぱり
検索のカバレッジがやっぱり
狭いので
調べてるとダックダックGoでは出てこないこと
結構あるから
結局Googleの方を見るとかってのありますよね
そういう場合にはGoogle側に
行って調べるってことは
まあまあそれなりにあるんで
完全に置き換えるには至ってないんだけど
そういう意味では
もともとGoogle
よく使ってますっていう人には
オススメかもしれないね
すごい便利でした
マルチモニターにしてたりとかすると
表示領域広いから
そういうことしなくてもいいかもしれないじゃないですか
でもノートパソコンとかで
外で使ってる時とかには
すごい便利なんで
メインの家で使ってるやつは
この設定
有効にしてすぐに向こうに戻したんですけど
ノートパソコンの方は
ちょっとこれオンにしたままにしておこうかな
と思っていますけどね
なるほどね
そういう表示領域をうまく
効率的に使うっていうことを考えたら
アリかも
適材適所でちょっと考えて
皆さん一回どんな感じか
使ってみるのもいいんじゃないかなっていう意味で
オススメでもあるというところを
理解していただければいいかなと
そんな感じで
ございます
なんか新年も
あんまりいつもと変わらない感じで
楽しかったですね
今年もやっていきましょう
そうですね
皆さん今年もよろしくお願いします
また来週
バイバイ
56:58

コメント

スクロール