1. セキュリティのアレ
  2. 第220回 多要素認証の理想郷!..
2024-04-29 1:01:55

第220回 多要素認証の理想郷!Unknown多くて参ったなぁ!スペシャル!

Tweet・Securing millions of developers through 2FA ̵[...]

The post 第220回 多要素認証の理想郷!Unknown多くて参ったなぁ!スペシャル! first appeared on podcast - #セキュリティのアレ.

サマリー

このポッドキャストでは、お便りを通じて、聴取者が寝ることができるほど心地よい話し方をしていることに喜びを感じています。また、買収した企業からの侵害に関する問題や、マルウェアの名前の読み方についての難しさが話題になっています。 GitHubは世界中の開発者に使われているプラットフォームで、二要素認証の利用が急増しています。特にパスキーの利用者が増え、サポートのコストも削減できるなど、効果的な結果が得られています。 レポートによると、被害者の支払い率は28%となり、ランサムギャングへの信頼が低下しています。また、情報摂取のみで脅迫するノウウェアランサムの攻撃も増えており、ビルダーを使用する独自のランサーバリアントも現れています。 今回のエピソードでは、マイターという会社のセキュリティーインシデントについて取り上げられています。マイターがゼロデイの脆弱性を悪用されて侵害され、VMWareのインフラにバックドアとウェブシェルが仕込まれるなどの被害が発生しています。詳細な情報は現在調査中ですが、今後の報告に注目です。 マイターの攻撃とセキュリティアドバイザリーの重要性について考察し、内部ネットワークの監視と異常検出の重要性についても議論しています。 パスワードシンドロームという曲について解説し、歌詞の意味や曲の特徴について話しています。

聴取者による反応と喜び
スピーカー 3
はい、こんにちは、こんばんは、おはようございます。あと、これから寝る方はおやすみなさい。バイバイ。
スピーカー 1
バイバーイ。
スピーカー 2
え?なに?いきなり終わったんだけど。どういうこと?
ちゃうねん、ちゃうねん。何だよこれ。
スピーカー 3
理由があるんですよ。
スピーカー 2
何これ。
スピーカー 3
いやいやいやいや、あのー、お便りが来てまして。
スピーカー 2
あ?
スピーカー 3
最近聞き始めた方なんですけどね。
スピーカー 2
あ、えぇ、嬉しいね、ひいきさん。
スピーカー 3
で、僕らのこの3人の話し方が心地よすぎて、気づいたら寝てると。
スピーカー 2
それは喜んでいいのか?なんかどうなんだろう。
スピーカー 3
で、その僕、このモットキャストが終わるあたりっていうのは、夜に聞いたことがないっていう風にこの方おっしゃってて。
スピーカー 2
あー、寝ちゃってるから。
そうそうそうそう。
あー、はいはい、最後まで起きてらんないってことね。
スピーカー 3
そうそうそう。ほんで朝、電車の中でバイバイまで聞き直すみたいな。
スピーカー 2
あー、いいやん。
スピーカー 3
で、逆に言っちゃったんですよこれね。夜に聞いたらぐっすり眠れる気がするんで、バイバイ最初に言ってくれへんかなっていうお便りにお答えしたという。
最初にバイバイ聞いても寝れないだろそのまま。
いやどうなんすかね、わかんないですけどね。
どうですかね。
スピーカー 2
おもしろいなぁ。
なるほどね。
スピーカー 3
雑談パートぐらいで寝てしまってはるんですね。
スピーカー 2
そうだね、たぶんね。
なるほど。
まあ一応あれか、聞きやすいという褒め言葉と受け取っておきましょうか。
スピーカー 3
そうですね。
スピーカー 2
内容がおもしろくないっていうことかもしんないけど。
スピーカー 3
いやいや、これでもこの方は僕らの3人で喋ってるパネルのセミナーとか来たらどうなっちゃうんでしょうね。
スピーカー 2
確かに。
スピーカー 3
一番に寝はるんすかね。
スピーカー 2
そうだね。目の前で寝るかもね。
スピーカー 3
斬新っすね。寝に来ましたみたいな。
スピーカー 2
まあでもあれだよね、我々のポッドキャストに限らず。
夜に何か聞きながら寝落ちしたって人はいても不思議はないけどね。
スピーカー 3
前もありませんでした?聞いてるうちに寝てしまって何回も聞き直してしまってますみたいな。
お便りで来てたよね、そんなのね。
でもこの方、最初にバイバイ聞いて寝てまわれたら、もう本編聞けなくなってしまうかもね。
スピーカー 2
そうだね。
スピーカー 3
毎回冒頭で寝てしまうみたいになってしまう。
スピーカー 2
それ、夜聞く意味ある?
スピーカー 3
そうですね。朝から聞いて、寝るぐらいの時に終わるように聞くみたいなパターンもいいかもしれないですよね。
スピーカー 2
面白いなあ。斬新すぎる始まり方だったわ。
スピーカー 3
こういうきっかけいただいてよかったなっていうね。
スピーカー 2
でもご親戚さんが増えるのは嬉しいけどね。
スピーカー 3
雑談は雑談でちょっとしたいんで。
靴下履いてるでしょ、二人とも。
靴下さ、大人になってきたらあんま穴開かんくない?
最近靴下の穴いつ開いた?っていうことなんですけど。
スピーカー 2
確かにね。子供の頃ってすごい履き古すぎて、結構履き方が激しいからかな。
スピーカー 3
ずっと履いて靴も履きっぱなし、学校はやったら上履きやけど、履いてることには変わりないからね、靴下を。
スピーカー 2
遊んだり運動したり、子供の頃は結構激しい動きをするから、そのせいもあると思うけど。
確かにね、言われてみれば大人になってから穴開くまで履くってないかもね。
スピーカー 3
あんまりないなあと思って、ふっとね。
子供の頃はもしかすると足も大きくなっていくじゃないですか。
スピーカー 2
だんだんね。
スピーカー 3
きつい状態でも履いてたりするから、余計に負担かかって穴開きやすいんかなとかも思ったりとかね。
サイズ的なね。
もしかしたら、僕らはどちらかと言うと技術系の仕事というか、
スピーカー 2
でも営業の人とかは結構穴開くこと多いのかもしれないですね。
スピーカー 3
なんで?
スピーカー 2
外回りするから。
まあ確かにね、そうかなあ。
どうなんかなあと思って。
スピーカー 3
わかんない。
最近マジで穴開いてないなあと思って。
そうなあ。
スピーカー 2
それもどうかなあと思って。靴下穴開いたん?最近いつ?みたいな。
いや、最近記憶にないかもしれない。
スピーカー 3
そうなんですよね。
スピーカー 2
だから何?
スピーカー 3
あんまりこう、穴が開く話やのに全然話は広がらんかったぞみたいな感じなんで。
だからスーッとお便り行こうかなと思ってるんですけど、いいですか?
穴があったら入りたい的なやつね。
かぶせてくるじゃないですか。
スピーカー 2
なんかさあ、ちょっとあんまりにもツイッターの話がつまんないから、
かんこさんがバイバイしたまま帰ってこないけど。
スピーカー 3
そうなんですよ。ほんまにバイバイしてしまったのかなっていうところもあって。
スピーカー 2
どこ行った?あの人。
スピーカー 3
いまーす。
スピーカー 1
あ、いまーす。
いまーす。
スピーカー 2
いいっすね。今日はなんか、なんか僕より二人の方が調子いいですね。
スピーカー 1
バイバイ言ってわかったんですけど、バイバイ言うといい感じに自分の中で多分スイッチが切れるんで。
そんなに?
なんかもうだいぶ。
スピーカー 2
ダメなやつじゃん。
スピーカー 1
だいぶなんかもう今日やったなって。
スピーカー 3
やったかみたいな。
スピーカー 2
なるほど。
スピーカー 1
エンディングロール流れてる感じでちょっとお二人の話を聞き込んでしまいました。
スピーカー 3
あるよな。なんかセミナーとかでもさ、なんか非解説で話も全然関係ない話なのに盛り上がったらなんかもう今日終わったみたいな感じ。
たまにあるもんね。
スピーカー 2
ダメダメダメそれ。
スピーカー 3
良くないぞってよく言ってますもんね。
スピーカー 2
良くない良くない。
スピーカー 3
なんか非解説出る頃にはもう今日良かったなみたいな気持ちになってる時はありますもんね。
スピーカー 2
確かに良くないやつだ。
はい。
スピーカー 3
じゃあお二人行きましょうかね。
はい。お願いします。
企業買収とセキュリティの問題
スピーカー 3
今週も通勤のお供にあれを拝聴。
買収した企業から侵害されたって話には答えはないよなと。
チェックリストを可能な範囲でパッチ適用状況の確認、侵害調査とか思いつくけども金と時間はかかるのは悩ましいという。
ネギスさんのお話でしたけどね。
前回買収していた企業が元々買収前から侵入されていてっていう事例が結構あるねって話だよね。
スピーカー 2
確かにね、あるべき論で言ったら買収時にきちんとそういうチェックというか、セキュリティの対策どこまでやってるかとか。
よく言えばチェックリスト的なものだけじゃなく、ちゃんと実地での監査でやったりとか。
しっかりやるべき、やってるところはやってるだろうし、そこまでやってないよってところもあるだろうけど。
そうですね。
なかなか難しいですよね、その辺はね。
スピーカー 3
この話自分でも聞き直したんですけど、この回。
僕3回、4回はいつも聞くんで。
スピーカー 2
好きだね。
スピーカー 1
好き好き、めっちゃ好き。
スピーカー 3
聞くんですけど。
大ファンですね。
大ファンなんですよ。
やっぱりこれ買収したとかじゃなかったとしても、グループ、海外使者とかってなっていくだけでもちゃんとできてへんとか多いんですよね。
スピーカー 2
確かに同じかもね。
スピーカー 3
そんなにハードルってそこまで、どれぐらい買収先が有効的かっていうのにも関係してくる分、ハードルがちょっと高いかもっていう場合もあるのかなと思いつつも。
海外使者とかって使ってるグループやもちゃいますとかも未だにあるじゃないですか。
全然あるよね。
スピーカー 2
そうそうそうそう。
スピーカー 3
だからそう考えたらなんか今まであった話っちゃ話なのかなーみたいな感じもちょっとしましたけどね。
そうだね。
そんなお便りもありましたということで。
あと久しぶりにタイトルへのツッコミが聞けましてね。
高橋真理子とは渋すぎるっていうね。
前回のタイトルが歯がゆいのよその辞令はっていうね。
高橋真理子さんの歌でありますよね。
歯がゆいのよその口づけいう歌詞があって。
聞いてる時に歯がゆいって単語が何か出てきたんで、その時もずっと高橋真理子さんの歌が流れてたんだ、頭の中で。
スピーカー 2
俺はさ、そっちもあるけどさ、中森昭さんの飾りでないでよ涙もちょっと思い浮かんでさ。
スピーカー 3
ほんまですか?懐かしいですね。
久しぶりに。このタイトル気づかへんと思ったんですけど、やっぱ気づく人いますね。
スピーカー 2
いや、そりゃあれぜ、なめちゃダメだよ。
スピーカー 3
そうですよね。僕らよりある意味あれに詳しい可能性ありますからね。
スピーカー 2
あるとあらゆるところ見てるからね。
スピーカー 3
細かいところまで見てくれてる人とかいるな。
スピーカー 2
嬉しいよね。
スピーカー 1
嬉しい嬉しい。
スピーカー 3
ありがたいですね。
マルウェアの名前の読み方の難しさ
スピーカー 3
あとはですね、これは本当に難しい話なんですけど、マルウェアの名前を何て読んだらいいのかわからない場合、確認できるサイト知ってる方がいれば教えてくださいっていう。
スピーカー 2
名前ってのは英語の読み方的なやつか。
なるほどね。
スピーカー 3
でも攻撃者の名前とかやったら元々ある単語の組み合わせじゃないですか。
スピーカー 2
でもマルウェアってなってくると独自の言葉じゃないですか。
スピーカー 1
難しいよね。見つけたベンダーとかが勝手に名前つけてるから。
スピーカー 2
そうですね。
名前付けにはそれなりの意図があるんだろうけど、ちょっとそれが読み取れないとどうやって読むんだろうみたいなのは確かにあるよね。
スピーカー 3
そうですね。ソースコードの中にこんな変数使ってたとかを名前にするケースもあったりしますしね。難しいよな。
だって僕らの3人の中でもね、僕はエモテットって言うけど、かんごさんはエモテットって言うでしょ。
スピーカー 1
それは絶対今言うと思ってました。
スピーカー 2
そういうやつとかね。
スピーカー 3
でもどっちが正しいわけでもないじゃないですか。
スピーカー 1
マックとマクドみたいな感じで。
スピーカー 2
基本さ、僕前にも他のところでも言ったけど、所詮は英語の名称なんでどんな風に読んでも多分違うんで。
読みたいように読めばいいんじゃないかと思って。
スピーカー 3
そうですよね。C.T.U.ンやったらYouTubeとかでそれに関する説明をしてる海外のカンファレンスの動画とかそういうのを見ると発音は聞けるじゃないですか。
僕も悩んだっていうか迷ったときは海外のポッドキャスト聞いて言ってないかなとかっていうのはあるよね。
スピーカー 2
それでこの人はこうやって言ってるなとか。
スピーカー 3
ただね、それが正しいかっていうね。
スピーカー 2
それもね、前にいろいろあって海外圏でも呼び方が違ったりするのよ。
スピーカー 3
確かに確かに。
スピーカー 2
ただね、必ずしも正解がないからまあいいんじゃない?好きなように呼べば。
スピーカー 3
分かればいいんちゃうかなって思うんですけどね。
スピーカー 2
そうね。
スピーカー 3
あとはなんかもう社名とかも分かれへんのいっぱいあるもんな。
スピーカー 2
あー確かに。
スピーカー 3
未だに悩むのがマンディアンっていうかマンディアントっていうか悩み。
スピーカー 2
あーそれもね。カタカナ読みした場合には普通トがつくけど英語読みしたらまあ普通最後はTって聞こえるようで聞こえないから。
スピーカー 3
発表を聞くとマンディアントとは言ってないなとかね思ったりしながらね。
でももうなんかみんながマンディアントっていうか僕も最近マンディアントって言うようになりましたね。
スピーカー 2
どうでもいいよね。
スピーカー 3
そうそうそう。分かれば分かればいい。そんなに気にせんでもいいんちゃうかなっていう風に僕は思います。
スピーカー 2
昔あったじゃん。ロードセックと呼ぶかラルドセックと呼ぶか。
どうでもいい議論が。
スピーカー 1
あったあったあったあった。
スピーカー 2
それと同じようね。どうでもいいんじゃない?
スピーカー 3
そうですよね。気にするようなことではないかなと思います。
最後のお便りなんですけどもスポーティファイのポッドキャストで間違いないお三方のセキュリティのあれにハマってますと。
スポーティファイ有料会員になったことでガーミン単体でも聞けるようになり趣味のマラソン中でも勉強できるコンテンツないかなと単にセキュリティで検索したのがこのポッドキャストを見つけたきっかけですってお便りを。
スピーカー 2
じゃあスポーティファイでセキュリティって検索したら出てくる感じではなっている。
スピーカー 1
スポーティファイに認められたと。
スピーカー 3
そうですね。セキュリティって入ってるからなタイトルに。
スピーカー 2
普通出てくるようなそりゃな。
スピーカー 3
逆にそれで出てけえへん方は僕もスポーティファイに電話しますわ。
どなーってねー言うて。
ほんとだよね。
そんな感じのお便りが来ておりましたね。ありがとうございます。
お便りを読んだ方にはステッカーの印刷コードを送るんで5種類ありますんで5種類集まったらその写真を僕に送っていただければ
6個目のシークレットをお送りするという形をしているんでよかったらお便りくださいと。
GitHubの二要素認証
スピーカー 3
はいじゃあ本編セキュリティのお話をしていこうかなと思うんですけど今日はそうですねネギさんがいきましょうかね。
スピーカー 2
はいじゃあトップバッター行かせてもらいますけども。
今日はですねGitHubのユーザーにおけるニュース認証の利用状況について報告するブログの記事が出てたんで
ちょっとそれを紹介したいと思うんですけども。
GitHubはね結構世界中でいろんな開発者の人に使われているプラットフォームだけど
前々から結構そのアカウントが何かしらの方法でパスワードが漏れてましたとか
弱いパスワードをつけてましたとかなんかで侵入されて
リポジトリが不正アクセスされて云々堪能みたいなそういう話が前からあって
GitHubもそれに対していろいろ手は打ってて
去年からね結構その認証を強化しようという動きをずっとやってるんだよね。
去年の3月ぐらいから開発者向けというかコードコントリビューターに対して
二要素認証をこれから1年ぐらいかけて必須にしてきますということを宣言していて
いきなり全部ってのはちょっと乱暴なので
例えば大きい開発プロジェクトやってるグループとかってだんだん適用範囲を広げていって
ユーザーに通知を送ってあなた二要素認証を必須にするので対応してください
みたいな通知を送って対応してもらうというのを順次拡大していったというのを
去年年末にかけてずっとやってたのね。
その結果どうなりましたかというのをブログでまとめてくれてるんだけど
結果どうなったかというとだんだんに対象を広げて通知を受け取って
二要素認証を設定してくださいという通知を受け取ったユーザーの
およそ95%だからほぼほぼ全部のユーザーが分かりましたといって
二要素認証を利用してくれるようになりましたと。
素晴らしい。
ということですごい数が増えて
全てのアクティブなユーザーこれはだから行動を書いてる人だけじゃなくて
例えば一応のコメントだけ書く人とかGitHubって使ってるユーザーいっぱいいるから
そういう全部のアクティブのユーザーを含めたとしても
二要素認証を利用した人がこの1年間で54%増えましたと
すごい増加率だよね
これはかなり効果があったと言っていいんじゃないかなと思います
特に特筆つべきは中でもパスキーの利用者が増えているというので
パスキーはこのPodcastでも何回か紹介してるんだけど
GitHubでも去年の7月くらいだったかな確か
使えるようになって
GitHub側もできるだけ二要素っていっぱいあるけど
特に安全性の高いものを使うようにって促した結果
パスキーの利用者がすごい増えて
今全部で140万登録パスキーがされていると
これが全体のどれくらいの割合かって書いてないんでわからないんだけど
スピーカー 1
でも絶対数としてもかなり多いなと
スピーカー 2
逆にパスキーの利用が増えて
逆にあまり安全でない二要素はできるだけ使わない方が
避けた方がっていうことをやった結果
SMS、いわゆるテキストのメッセージで認証コードを受けてるってやつ
これは日本でもあるけど
シムスワッピング的なやつとかやられると
弱いよねっていうことは言われてるんで
二要素の中でも安全とは言えないと
スピーカー 3
最近携帯キャリアの人をそそらかすような攻撃もありますしね
スピーカー 2
そうだね、あと携帯のショップでの本人確認が割と甘くてとか
日本でもなんかあったよね、利用したカードを使ってみたいなやつとかね
そういうのを防げないので
他のパスキーとかの方が安全ですよってことなんだけど
結果どうなったかっていうと
SMSを使った二要素の割合が減少して
今25%まで減少しましたって言ってるんで
いい方向になってるのかなという感じ
加えて今も言ったけど
二要素認証の利用拡大
スピーカー 2
GitHubっていくつか二要素の使える方法があって
今言ったSMSとパスキーでしょ
いわゆるTOTPのアプリってやつね
なんちゃらオセンティケーターとかっていうアプリ使って
コード出すやつ
それからGitHubのモバイルアプリに対して通知を飛ばして
承認するっていうタイプの二要素も使えるのね
あと一番最強なのが
ハードウェアのセキュリティキーを使うってやつね
スピーカー 3
指キー的なね
スピーカー 2
今言ったような5つの方法が使えるらしいんだけど
2つ以上の二要素の手段を登録してるっていうユーザーが
全体の47%約半分いると
これはいろんな別にGitHubに限らないけど
一個だけの二要素なんだけど
その手段が一個だけだと
仮にもしそれが使えない場合に積んじゃうんで
できれば2つ以上登録しておく方がいいですよっていうのは
どの場合もそうなんだけど
全体の半分が2つ以上
例えばパスキーとアプリとかそういう感じなのかな
わかんないけど
そういう感じで2つ以上使ってるって人が増えましたと
スピーカー 3
これはオアなんですよね
利便性とセキュリティのバランス
スピーカー 3
両方で認証しなあかんっていうことじゃないですよね
スピーカー 2
違う違うオアです
スピーカー 3
オアですよねはいはい
スピーカー 2
これは例えばSMS登録していてパスキーも登録してるだと
もしパスキーが使えなかったらSMSが使えるし
その逆もあるってことだねそういう感じ
で結構そういった感じで
二要素認証の利用がこの1年間急拡大したという感じになってて
そうすると懸念点は
じゃあ二要素うまく使えない人とか
登録の失敗したとか
今さっき言ったみたいに
一個しか登録してなくて使えなくなっちゃった
みたいなケースが増えて
サポートに対する問い合わせとか
アカウントにアクセスできなくなっちゃった
みたいなそういう依頼とかが増えたんじゃないかって
思うんでしょって言ってるんだけど
実はそこもそういう風にならないように
ユーザーの利便性も確保しつつ
二要素も使ってもらえるようにってこと
だんだんにあと一気に全員に対して適用したんじゃなくて
だんだんだんだん増やしていったっていうのもあると思うんだけど
逆にこの1年間でサポートのチケット
特にその二要素認証に関連するサポートのチケットは
3分の1減少しましたって言っていて
増えてないんだよねだからむしろ減っていて
対応コストは削減できていると
素晴らしいということを言っていて
これはなかなか素晴らしいなっていうか
二要素使え使えって言うと逆にこういうことあるんじゃないのって
思いがちだけどその部分も
大丈夫ですよっていうことを言っていると
全体をまとめてみるとユーザーとしては
例えばパスキーの利用なんかも含めて利便性はそんなに損なわれてないでしょと
加えてGitHub側から見ても
ちょっと結構丁寧にやってるから
対応コストはかかっているけども
サポートのコストはそんなに上がっていませんよと
むしろチケットは下がっていますと言っていて
当然二要素認証がこれだけ増えているので
セキュリティ名はだいぶ向上したよねと
そうしてすごくいい結果なんじゃないかなと
見ていいんじゃないかと
ただGitHubって今言ったけど
今回の対象者が主に
開発者なんで
IT関係者でもそういった方面に強い人たちだから
GTらしい高めというかね
例えば一般のSNSだったり
ショッピングサイトとかのユーザーとはちょっと
わけが違うというのはあると思うので
とはいえ非常に他の会社が参考にする
良いロールモデルというか
こんな風に丁寧にユーザーへの説明をして
だんだん必要な人に対象者を拡大していって
1年間もっと前から準備期間も含めれば
もっとかかっていると思うんだけど
かければこういった感じの結構結果というか
ちゃんと効果が出るよということを実証したという
そういう参考にする良い事例なんじゃないかなと思ったので
理想的にはこういう事例が
だんだん増えていって
利用者の面倒くさい負担を強いるわけではなく
利便性も損なわず
だんだんパスキーに置き換わっていく
今回は二要素だけども
パスキーって別に二要素で使うわけではなくて
元々はパスワードに置き換えるということが主目的なので
だんだんこういう風に置き換わっていけば
結構良いんじゃないかなと思ったので
一つの良い事例として紹介しようかなと思いました
スピーカー 3
話聞いてたら理想郷の話みたいな
スピーカー 2
あんまりマイナスなこと書いてないんで
本当にこんなにうまいことばっかりなの?という気は
ちょっとするけど
学面通り受け取ってもいいんじゃないかなという
スピーカー 1
実際不正アクセスというか不正ログインというのが
この取り組みが進んで
スピーカー 2
どれくらい改善しているのかなというところも
スピーカー 1
今回じゃないにしても
また出してくれると非常に参考になるなという感じがしますね
スピーカー 2
そうなんだよね
そういう事例が例えば
パスワードはどこかで漏えいしていって
突破されちゃったんだけど
二要素でブロックしましたみたいな事例が結構増えたとか
そういう実際の不正アクセスを防ぎましたという事例が
どれくらいあったのかというのは
今回のほうから読み取れないので
スピーカー 3
どれくらいこれを
うまくショッピングサイトに反映させられるかという事ですよね
スピーカー 2
リトラシーのそこまで高くなさそうな
一般の利用者が使うようなサイトでって事だよね
そうそう
スピーカー 3
子供の頃からパソコンとかスマホがあるのが
当たり前の世界なので
子供の頃からアプローチに触れているというものが
ありそうなのかもしれませんね
スピーカー 2
例えばAmazonとか
結構前からパスキーとか
対応しているんだけど
ログインした時にパスキー登録を促すような
ダイアログが出たりするけど
それで正しくみんな使えるようになるかというと
そこまでハードル高くない気はするんだけど
まだそんなに
一般に普及しているとは言いがたいので
何じゃこりゃって言って
そのままスルーしちゃって特に使わないというケースが
まだ多いのではないかというか
スピーカー 3
別に必須じゃないしね
ほとんどがIDパスワードのみの方が多いんじゃないですかね
スピーカー 2
そうなんだよね
いやいやこっちの方が便利だよって言ったら
どうやって置き換えを促していくかというか
あとは今回のように
強制するということが結構効果を生んでいる
ということも言えると思うので
そのあたりをどう実現していくかという
バランスがやっぱり難しいかなというか
今回の利用者のリテラシーがある程度あるという前提だとしても
強制するということと
利便性を損なわないということのバランスは
うまくとっていると思うので
そこはサイトとかサービスの利用者層によって
だいぶ変わってくるところかなという気がするので
ここは一概にこうすべきって言えないんじゃないかという気がするね
スピーカー 3
確かにそうですね
買い物系のサイトの大きなところ
いくつかあるじゃないですか
電化製品だったらこことか
Amazonっていうのは何でも扱ってますけどね
あと日本だったら楽天とか
Yahooショッピングとかいろいろあると思うんですけども
強制度まですると
お客さん離れが気になるから導入できませんみたいな話
よく聞くんですけど
ちょっとでも増やすためにキャンペーンとかやってほしいなと思うんですよ
スピーカー 2
登録するとポイントとか
スピーカー 3
ポイントくれるとかね
そうすれば被害にあって対応するコストも
サービス提供側も減ると思うし
いいことじゃないかなと思うので
ポイントであればこの機能をオンにした人には
ポイント何ポイント上げますとかね
何%割引のクーポンもらえますとかね
スピーカー 2
確かにそういうインセンティブがあるというのも
支払い率の低下
スピーカー 2
一つ多分行動を促す
効果あるかもしれないね
スピーカー 3
そういうキャンペーン見たことないから
どれくらい効果があるかわからないですけど
やってみた結果こうでしたとか聞きたいなと思うのでね
スピーカー 2
実証してもらいたいね
対応コストとかの見積もり難しいけど
実際にそれで不正アクセス
今回のどれくらいかわからないけど
不正アクセスの件数がガクッと減って
提供者側の対応コストが減りましたってなったら
トータル差し引きプラスになりそうな気がするよね
スピーカー 3
それをやったら他のショッピングサイトも
後に続けみたいな感じで
サイクルが生まれるんちゃうかなと思ったりする
スピーカー 2
僕がユーザーだったらそういうところは
やるなっていうか
信頼度が高まるというか
スピーカー 1
被害が出るとみんな避けるというか
スピーカー 2
ちょっと疑心暗鬼になるというか
ここだったら安心して使えそうとか
スピーカー 3
そういうのにもつながりそうな気がする
ブランディングにもなるかなって
スピーカー 2
そのあたりうまくバランス取ればいけそう
ぜひやってほしいね国内でも
スピーカー 3
ありがとうございます
じゃあ次僕
いきましょうかね
今日僕が紹介するのは
ここのポッドキャストでは何回も取り上げてきた会社のレポートなんですけど
コーブウェアですね
お馴染みですね
コーブウェアに関する市販機のレポートが
4月17日に出てまして
最近ランさんも話さへんなあいつ
スピーカー 2
確かに先週言ってた
スピーカー 3
気になってたタイミングだったんで
僕もこれ読みたかったなってのがあって
ここは出してる数字が気になって
それ見たかったっていうモチベーションもあったんですけど
なんで気になったかっていうと
20年くらいから最近までにかけて
二重脅迫系のランサムギャング界隈
スピーカー 2
慌ただしかったでしょ
スピーカー 3
例えば前の第4市販機だったら
ブラックキャットがFBIに妨害されて
ブラックキャットが取り戻してみたいなものがあったりとか
その後ブラックキャットは
出口詐欺疑惑みたいな感じになってましたよね
今年の2月はロックビットが一旦
スピーカー 2
テイクダウンされつつ
スピーカー 3
2人の関係者が逮捕
ポーランドかウクライナでしたっけ
そういうのを受けると
ミノシロキンの支払い率に影響出てくるのかなっていう
そういう状況が何かしら
数字に現れてくるんじゃないかなと思って
このレポート興味深く読み始めたんですけれども
ミノシロキンの支払い率っていうところを
読み始めたんですが支払い率が
被害者の28%ということで
過去最低いい意味ですね
スピーカー 2
28%になったんですよ
このコーブウェア過去の調査してて
スピーカー 3
基本的にずっと右肩下がりで下がってきてるよね
遠目に見ればたまにちょっと上がるみたいなぐらい
基本的には下がってきていて
2019年ぐらいからランサムが増えてきたじゃないですか
この時の2019年の第1クォーター見てみると
85%なんですよね支払い率
スピーカー 1
ほぼほぼ払ってる感じですね
スピーカー 3
21年の第3クォーターには
50%をはじめで割って
2023年の第3クォーターは
40から30の間を
うろうろしてるような感じ
やっと2023年の第4クォーターと
2024年の第1クォーターで29%28%
ということで20%台に入ってきてると
いうようなところですね
これに関してはコーブウェアが自分たちが対象している範囲内で
感じたことのように書かれてあったんですけど
企業規模の代償も関係なくて
暗号化されるようなランサムの攻撃に備えて
複合するためのキーをもらわなくても
業務を復旧できるようになっているところが増えてると
バックアップをきちんと
安全にバックアップを取るとかね
書き込ませないようにする方法とかありますけど
そういったものが結構効果が出てるんじゃないか
ってことが書かれてありましたね
スピーカー 2
企業側の対応が進んだ結果良くなったってことなんですね
スピーカー 3
払わなくても戻せるから払わないっていうのが
1点とそれに加えて
さっきの出口詐欺や何やとかいろいろランサム会話
泡立たしかったっていう風に言ってたのが
ランサムギャングがデータを消すとか公開しないとか
っていう風なものの不利口が目立つようになってきてると
スピーカー 2
なるほど
言い方はあれだけど
ランサムやギャング側の信頼度が低下してると
スピーカー 3
いうことだね
19年20年くらいのランサムギャングは
最近のランサムギャングはなってへんなみたいな感じで
分かんないですけどね
支払ったのにも関わらず
どこかに流出されたりとか
あとは違うギャングが再脅迫してくるとか
ランサムギャング同士が繋がってるのか
アフィリエートが跨いでやってるのか分からないですけど
僕も見ててあるんですよね
あれここ最近前もやられてたなみたいな
同時期やったりとかここに載ってたものが
前にブラックキャットのリークに載ったところが
ロックビットでも出とんなとか
その辺の抑制が効いてないというかね
そういったものが散見されるってところから
払うということへの信頼が薄れてしまっているんじゃないか
っていうふうなことも
支払い率に出てるんちゃうかってことが書かれてありましたね
スピーカー 2
ありそうだねそれはね
ノウウェアランサムの増加
スピーカー 3
ランサムといえば最近は
情報摂取のみで脅迫してくるパターン
っていうのがちょこちょこ増えてきたじゃないですか
ノウウェアランサムって
そうそう昔からあるにはあったけど最近ちょっと増えてきてるというか
切り替えたりしてるギャングもいますけどね
両方やってくるのもいますよね
二重脅迫しつつも盗んだ情報だけクロップみたいにさ
ファイルストレージとかからの漏洩をさせると
盗んだ情報だけで脅迫するみたいなのも多いということで
脅迫に関してっていうグラフもあってですね
いわゆるノウウェアランサムって言われるような
情報摂取だけで脅迫をされた
被害者の23%が支払いをしていると
これが多いと
これだけ見ても多いか少ないかわからんと思うんですけど
2022年の第1クォーターが
53%だったのを見るとだいぶ減ってるなと
なるほど
一番始めが53%からスタートしてたんですよね
かなり落ち込んで
26%、23%というふうに下がってきているという感じ
ではありますね
これもやっぱりランサムギャングへの信頼低下っていうところと
そもそも情報だけで金払うのはやめたほうがええんちゃうのって
僕らもずっと前から言ってましたけれども
スピーカー 2
元々保証がないっていうかね
スピーカー 3
これも冒頭で話したロックビットのテイクダウンの時に
実はロックビットはデータ消してなかったというのが
明るみになったじゃないですか
それも結構後押しすることになったんちゃうかなというふうには
僕は思うんですけど
新しいランサーの現れ
スピーカー 3
ただね、考え方というか被害者がどう考えるかかなというふうに思ってて
ギャングがデータを保持しているということと
そのリークサイトから公開されないというふうなものは
分けて考えるかもなと思うんですよ
スピーカー 2
確かに一般に公開されないんだったら
仮にギャングは削除してなくても
スピーカー 3
広く公開はされないから
スピーカー 2
払う意味はあるんじゃないのっていう考え方もあるよね
スピーカー 3
例えば仮にどっかのブラックマーケットみたいなところで流通している
どこそこのデータっぽいものっていうふうに出てくるのか
もう名指しでここから盗んだでって言われてるサイトに
掲載されるのとはちょっとわけが違うかなと思ってて
スピーカー 2
確かにね
スピーカー 3
特に大学でアメリカの大学とかちょこちょこ払ってるニュース見るじゃないですか
だからその公開っていうのを抑止したい
止めたいとりあえず止めたいっていうのでお金を払うっていうのは
一定数あるかなと思うので
減っては来てるけどなかなかゼロにもなりにくいっていう側面もあるのかなっていうふうに
スピーカー 2
あと国内ではあんまり事例分かんないけど
海外だと
機微なデータ
例えば健康関連だとか
分かんないけど病院関連だとか
大学も一部そういうのあるかもしれないけど
そういうようなデータによっては
直接言ってくるか言ってこないかともかく
そういうプレッシャー的なのがあってさ
そういうの漏えいしてしまうとまずいというので
その公開は避けたいというのでお金を払うという選択をする
っていうケースが
スピーカー 3
実際海外では結構あったりとかするので
スピーカー 2
やれることをやったっていうふうにしたい
単なり自分たちの情報が漏れただけなのか
顧客の機微な情報が
そこに含まれているのかどうかっていう情報の内容によっても
もしかしたら判断が分かれるかな
スピーカー 3
自分たちの会社組織の秘密機密みたいなものではなく
スピーカー 2
預かっているもの的なね
それだと保証はなくても公開しないんで済むのであれば
お金を払おうっていう判断はありそう
スピーカー 3
無くなりはせんなというふうに思いましたね
このレポート紹介したときに注目して話してこなかったやつがあって
ランサムのシェアみたいなものを出しているコーナーがあるんですよね
スピーカー 2
このレポート毎回
スピーカー 3
どの種類のランサムウェアが一番被害が多いかみたいな
恐らくこのコーブウェアが各地しているところだけだと思うんですけど
これソース何かって詳しく書いてなくてですね
僕たちが見ている観測範囲だと思っているんですけども
それが1位が3市販機連続で
アキラがずっと1位なんですよ
これは僕のリークとちょっと違う順位になるんですけど
スピーカー 2
それよりもロックビットが下がったんですよね
さすがに影響を避けられないというか
スピーカー 3
ただリークの掲載サイトはこの範囲で見ると
まだまだロックビットが一番多いんですけど
この辺の観測範囲では減っているみたいですね
特筆すべき点としては
ブラックバスターとかリシーダとか
ブラックスーツとかが新しくこのランキングに入ってきたやつが結構いるんですよ
ブラックキャットはもちろんいなくなったので下がっているんですけど
これを考えるといろんなロックビットの信用低下とか
ブラックキャットもいなくなったということに加えて
多分他のラースに移ったアフィリエイトが
というのもありつつ
あとは過去に漏洩しているソースとかビルダーを使っている独自のランサーも
ポツポツポツポツ出てきているんですよ
小粒のやつが
リークサイト見ても3つぐらいしか載ってないやつとかもいて
追いかけるのも結構大変なぐらい数が増えてきているっていうのは
ここ最近あるんで
この辺で散ったんかなっていう感じはしますよね
スピーカー 2
抜けた大きな穴とかはそういう細かいやつが埋めていくわけだな
スピーカー 3
そうですね
だからどんぐりのセークラみたいなシェアの率になってますわ
スピーカー 1
もうアキラ以外は9%、6%、4%みたいな感じで
スピーカー 2
僕らがよく一番気にするアタックベクターというか
スピーカー 3
一番初めの攻撃何やってん、初手何やってんってやつがあったんですけど
ここにきてグラフの項目名っていうの
スピーカー 2
名前変わったんですよ今回
スピーカー 3
前までRDPコンプロマイズっていう風に書いてたやつが
リモートアクセスコンプロマイズに変わりましたね
多分他にもリモートでアクセスできるようなものってあるじゃないですか
AnyDeskとかね
そういったものもあるから
一個一個分けられへんからこれ一個にしたんかもなと思って
スピーカー 2
あとRDPのシェアが下がってきたのもあるだろうな
スピーカー 3
それもあるかもしれないですね
それと前まではEメールフィッシングっていう風に言われてたものが
フィッシングに変わりましたね
Eメール以外もあるからでしょうね
SMSとかね
あと何これっていうのがあって新しく追加されたんですけど
マルチプルベクターズっていう
何それっていうのが説明ないんですよね
何のこと言ってるのか数はめっちゃ少ないんで
ほっとってもいいかなと思ってはいるんですけど
スピーカー 2
一個に分類できるようになりか
スピーカー 3
多分なんかそうなんでしょうね
相変わらずですね
良くないんですが1位というか一番多いのが
46%ぐらいかな
はアンノーンです
スピーカー 2
アンノーンさちょっと増えすぎじゃない
スピーカー 3
そうなんですよ45%超えとるな
これ多分このグラフで見たらなっていう
スピーカー 2
おかしくないアンノーンが1位ってそもそもおかしいでしょ
そうなんですよそうそうそうそう
だってさ侵入原因1位2位3位これこれこれで
あと細いやつは分かりませんだったら分かるけどさ
スピーカー 3
そうそうその他みたいなね
スピーカー 2
1位でほぼ半分がアンノーンってさ
おそらくだけどそのコーブウェアのこの調査に
これはもちろん限定した結果だけど
多分全般的に見たらそういうケースが増えてるんだろうな
スピーカー 3
いやそうなんでしょうね何でやられたのか分からんみたいなね
スピーカー 2
まあ確証が得られるようなログなりデータなりがないか
とかまあ分かんないけどかなり前からやられてて
もう全然終えませんなのか分かりませんが
スピーカー 3
まあ多分当たりはついてるかもしんないけど
ねこうだとは言い切れないみたいなものも入ってきてるんと思うんで
そうですねにしてもですよね
スピーカー 2
にしてもだよにしても半分近くってちょっと多すぎるよな
スピーカー 3
だってこれ対処できひんってことでしょ
スピーカー 2
分かんないんだからね
スピーカー 3
とにかく全部最新にするみたいなことをしなあかんわけです
スピーカー 1
そうですねとりあえずやれることやっとくみたいな
スピーカー 2
どっか分かんないけどとりあえず強化するっていう漠然としたことしかできないよね
スピーカー 3
そうですよね
スピーカー 1
そうか
スピーカー 3
なんかよく分かれへんからオフィス内のPC全部再インストールしましたみたいな
なんか力技の対策しかできなさそうみたいな感じがして
よくないなあっていうのはちょっとね
スピーカー 2
そうね
スピーカー 3
思いましたね
スピーカー 2
この傾向はちょっと変わってないですね
スピーカー 3
そうですね
ただねそのそれに関してもこれを受けてなのかどうかわからないですけど
そのコグウェアのそのブログに書かれてあったのはね
いろんな被害者の方は被害にあったところは
そのどこからやられたのかとか
一番初めに何されたのかとか
っていうふうなもんとか
そのどの端末がきっかけだったのかみたいなところにばっかり
意識が行き過ぎてるのをよく見かけるぞと
予防と検知みたいなところですよね
ただまあそのいろいろ調べてみると
中に入ってきてから攻撃者はやっぱり対処されてない
脆弱性を悪用し続けてるってことは
スピーカー 2
忘れたらあかんでってことが書かれてありましたね
スピーカー 3
入ってこられたとしても
被害をできるだけ抑えるために
悪用されるようなものを減らすっていうところにも目を向けましょう
確かにそれはそうかなと思いましたね
スピーカー 2
そうだね
あとさっきの支払率の低下に結びついてるけど
払わなくても復旧できる対策があれば
ぶっちゃけ侵入を防げなくても
致命的な打撃にはならないように
その辺は考え方だよね
スピーカー 3
そうですね
侵入前提って簡単に諦めるのはよくないかなと思うんですけど
そこもきちんと見つつ
ただそこだけ見ててもあかんっていうね
いうようなものは改めて思ったなっていうところと
あんのを減らすように考えていかないとあかんねんなっていうね
何か理由ちゃんとわかるようにログ取ってますかみたいな
そのログもちゃんと見れるログですかみたいなことは
ますますやっぱり目を向けていかなあかんかなっていう
どうしてもログって後回しに扱われてる気がしてて
侵入前提みたいに言っても
中に入られることを前提に
EDRで検知しましょうみたいな話が多いじゃないですか
じゃなくてログとかそういうところにいかんと
再発防止ができひんっていうのは当たり前のことなんですけど
ここにも目を向けていきたいなっていうのは
僕はこれ見てて思いましたね
スピーカー 2
あと地味にUnknownと合わせて
さっき言ってたRDP外も含めたリモートアクセスが
ちょっとじわじわ増えてるのが若干気になってて
スピーカー 3
ずっとメール系統入れ替わったりしてたんですけど
ずっと上がってきてるんですよね最近ね
スピーカー 2
じわじわねだからRDP外も含めた
外部に公開しているリモートアクセスのポイントが
何らか脆弱性があってやられるとかも含めてかもしれないし
あと認証情報が漏れてる系も入ってるんだろうと思うんだけど
ちょっとその辺のねその侵入経路として
いかにもってところが狙われてるっていう
だから防げそうなもんじゃん
だってこんなの入り口としてさ
スピーカー 3
開けてるってわかってるんだから
スピーカー 2
対策強化できそうなのに
そこがやられてるっていうところはちょっと気になるなっていうのはあるかも
スピーカー 3
家で言うたらね
家の入り口の玄関の扉みたいなもんですもんね
スピーカー 2
こっから来るでしょって分かってる
明らかに分かってるところなのに
なんかやられてるというのがちょっと気になる
スピーカー 3
自分たちをもっと知るってことをね
再点検とかをした方がいいかなと思うんですけどね
スピーカー 2
そうだね
スピーカー 3
全体通してね今までの傾向からそんなめちゃくちゃ
攻撃側はそんなに変わってないかなっていう感じはしたんですけど
守る側はちょっと一筋の巧妙ぐらいはちょっと出てきてる感じで
対処してこれてるなってバックアップとかに関してはね
っていうふうに思ったんですけど
やっぱりさっき言ったみたいなね
ビルダーがリークされたりとかソースが売られたりとか
漏れたりとかみたいなのがある
やっぱりコツ深っていうところのキーワードが
ちょっと引っかかってですね
やっぱり標的を絞るというよりは
機会があれば来るっていう感じに思っていただきたいんで
一言だと思わずに考えてほしいな
どこに来てもおかしくないっていうのは変わらないし
ますますかなっていうふうに思いましたという感じですね
スピーカー 2
そうですね
まあよくはなってるけど
決して被害は少なくはなってないし
そうですね
まあね被害金額もじわじわとだけど
増えているし横ばいだけど増えてるし
スピーカー 3
はいはいはいそうですね
スピーカー 2
まあそんなに楽観地できるような状況とは言えないよなまだな
スピーカー 3
そうですね
あとは対策する側もするとこせいへんとこみたいな
もうそろそろ2分されてきてるのかなと思ってて
スピーカー 2
まあそうね
スピーカー 3
やれることやれるところの会社もやってきてる
で他は残されてるみたいな状況がこれからかなっていうふうに思ってますね
スピーカー 2
そうですね
スピーカー 3
はいということで引き続きウォッチを続けていきたいなと思っております
スピーカー 2
はいありがとうございます
スピーカー 3
はいじゃあ最後はカゴさんですね
お願いします
マイターのセキュリティーインシデント
スピーカー 1
はい今日は私はですねマイターという会社のセキュリティーインシデントについて取り上げさせていただきたいんですけども
マイターご存知ですよね
スピーカー 3
ご存知ですよめちゃめちゃ
スピーカー 2
まああれではみんな知ってるって当然だよね
スピーカー 3
僕最初読めなかったですけどねこれ
スピーカー 1
確かにね
スピーカー 3
ミトレって読んでましたね
スピーカー 1
いやいやいや
アメリカの非営利団体ということでいろんな研究とかをずっとやっておられるところではありますし
あとはアタックとかマイターアタックとかあるいはCVとかでも非常に有名な組織ではありまして
最初私この記事見たときマイターが被害に遭われたっていうのはもうすぐ頭に入ってこなくて
マイターってそれにしっかりとした取り組みをやってるだろうっていうふうにはなんとなく想像できるところではありましたので
マイターやられるのかなっていうのがちょっと一瞬頭によぎってですね
なかなかそのマイターがやられたっていう点でちょっと記事をパッと読めなくてなかなか
スピーカー 3
なかなか受け入れられなかったんですね
スピーカー 1
ちょっとびっくりした感じはしたんですけど
どんなふうにやられたのかっていうところについては
あまり詳しいところっていうのは今現在も調査中と4月の20日だったかな
記事というかこういった状況ですっていう報告は出てるんですけど
本当にざっくり概要的な内容しか今のところは書かれていなくてですね
現在進行形で調査中ですよというところは書きぶりとしてあったので
なので今後出てくる詳細な情報というところにはより注目したほうがいいのかなというところではあるんですけど
何でやられたかというところはこの時点にも書かれていてですね
マイターの脆弱性悪用と侵害の経緯
スピーカー 1
何でやられたかというと
今年の1月のイバンティコネクト席はですね
あちらのゼロデイの脆弱性っていうのが1月すごい話題になりまして
確かあれでも取り上げてたかなと思うんですけども
どうもマイターもその脆弱性を悪用されてしまって
VPN通知で侵入されてしまったとかセッションハイジャック使用して
多様性認証をバイパスされてしまいましたというところが書かれていてですね
その当時ゼロデイだった
具体的にちょっとタイムライン書かれてないので本当にゼロデイの状況だったのかとか
っていうところは何ともはっきりしないところであるんですけど
おそらくゼロデイだったんだろうなと思いつつ
なのでそのゼロデイを悪用されて侵害されたと
加えて侵害された後に内部で展開されてしまったとか
ラテラルムーヴされてしまっていて
どうもVMWareのVセンターかな
ちょっとそこまでは書かれてないんですけど
VMWareのインフラを攻撃されて
そこにバックドアとウェブシェル仕込まれてしまって
内部へのネットワーク
これ研究用のネットワークの一つだそうなんですけども
そこに対しての外部から攻撃者が
維続性とか持続的に接続できる状態になっていたというところではあって
これなかなか衝撃というか
そもそもこの脆弱性って
例のED2401ですかね
命令が出てすぐ対応しなさいという形で
政府の勧告が出ていて
マイター自身もその勧告に従って
イバンティーのアップデートであるとか
交換であるとかやられていたそうなんですけども
ただその際に内部で
侵害が拡大している
ラテラルムーブされているといったところの状況までは
検出ができなかったと
その時点での対策は
全部やっていたというふうには
考えてはいたんだけども
今思えば不十分でしたという
そういった若干反省気味のコメントも
入っているというところではあったんですが
マンディアントの報告と関連性
スピーカー 1
実は4月の5日なんですけど
マンディアントで
イバンティーの脆弱性を悪用して
中で内部に侵入を拡大する動きというのが
出てますよという
そういった記事というのも出されていて
今回このマンディアントの記事の内容と
マイターの今回のインシデントが
具体的にどういうふうに関係性があるかというところは
はっきりしないところではあるんですけども
どうもVMwareの
UNC521ですかね
その脆弱性を悪用するということで
マンディアントが追跡しているアクターの
これ一つという感じなのかな
そのアクターが
VMwareのVセンターへの
ラテラルムーブメントをしている活動が
見られたよというところで
4月の5日に記事を出しておられてですね
その中には
バックドアとウェブシェルについての
説明もされているので
もしかしたら
ここで説明されている内容というのが
マイターのインシデントと
マイターの攻撃とセキュリティアドバイザリー
スピーカー 1
関係があるんじゃないかという形で
疑っているというか
考えて推測しておられる方もいたり
実際に取材されたりもしているんですけども
そこについては
今の時点ではされていないという
ところではあるのですが
もしかしたらというところで
攻撃の状況であるとか
インディケーターの情報とかも
先ほどのマンディアントの記事に
載っていたりはするので
気になる方はそちらも合わせて見ていただくと
現状まだざっくりした情報しか出ていない
というところではありつつ
もしかしたらという視点で
マイターの攻撃、同様の影響
というのを受けていないかなというところを
確認する
一つのヒントにはなるのではないかな
というところではあるのですが
実際1月の脆弱性の悪用で
その際に対応していたという形で
内部ネットワークの監視と異常検出
スピーカー 1
言及はしているんですけども
自身が気づかれたというのが
やはり4月のタイミング
のような形で
説明はされているので
なので気づくというか
検出するのもやはり
時間がかかってしまった
という現状、これマイターという
組織においてもそういう現状だった
というところというのは
これ結構さっきも冒頭お話ししましたけど
やっぱりなかなか衝撃というか
マイターで気づけないとしたら
これ私たちは
本当に全部気づけているんだろうか
という一末の不安というのは
やっぱりありますね
やっぱり今回の
イバンティの件限らず
やっぱり最近この辺の
ネットワークのエッジ
デバイスというんですかね
ファイアウォールとかその手の製品で
脆弱性が確認されて
悪用されていますよという
やっぱりそういった情報というのが
本当多くて
パロアルトの叱り、あるいは
このSAしか本当にまたかという感じで
スピーカー 2
次から次へと出るもんね
スピーカー 1
本当に続いている状況なので
当然セキュリティアドバイザリーの
内容に従って対応はもちろん
取る必要はありますけども
本当にそれだけで十分なのかな
というのはやっぱりこういったマイターの事例
とかを見てもやっぱり改めて
ちょっと不安になるというか
感じるところの一つかな
というところではあるので
さっきも言った通り
今後詳細な情報が
マイターといえばやはりアタック
さっきもお話ししましたけど
マイターのアタックを出してもらえるところではあるので
今回も一応
アタックに則ってこういった攻撃を受けた
現状を把握されている前提の
内容ではあるんですが
こういった内容で攻撃を受けたよというのは
整理はされてはらっしゃるんですが
まだまだ調査中の状況ではある
というところではありましたので
今後出てくる
特報にはより注目して
見た方が
私たちが学びを得るという意味でも
非常に良いのかなというところでは
あったので今回ご紹介をさせていただきました
スピーカー 3
アタックの
フレームワークに自分たちが受けた
攻撃を当てはめているというのはなかなか
味わい深いところがありますね
スピーカー 1
そうですね
ただあなたたちやらなかったら
誰がやるんだぐらいの感じがある
スピーカー 2
確かに率先してやってほしい
スピーカー 3
これもうやられて
参ったなみたいな感じだったんでしょうね
スピーカー 2
いいね
うん
いいですか
スピーカー 3
こういうのもね
スピーカー 2
言うてはいかんとなっていう
いってこいってこ
しかしこれさ
今回はおそらくゼロデイ状態で
やられたんだと思うので
おそらくは
それ自体は防げなかった可能性が
高いし
一般の我々とか
普通のところがゼロデイでやられるということは
ないかもしれないけど
これ前々から言ってるけどさ
仮にゼロデイじゃなくてパッチが出たとしても
パッチ適用までの
時間が間に合わなくて
やられてるケースってたまにあるじゃないですか
あるある
そういう時に
アドバイザーにもさ
パッチ適用しては十分じゃないので
その時点でやられてる前提で
調査しましょう的なことは書いてあるけど
はい
今回の多分そういうこともやったんだろうけど
スピーカー 1
そうですね
アドバイザーに対してはしっかり調査してたんではないかなと
スピーカー 2
思いますね
だけどその中に入ってしまった状態で
内部ネットワークにも
侵入されていてその痕跡までは
見つけられなかったとなると
その部分はさ正直
データ規制とかを
見つけてパッチ出してるところの
アドバイザリーにはそこまでのことが当然書いてないし
状況がみんなそれぞれ違うから
ですよね
そこまでもちろんやらなきゃだめだとは思うけど
難しいよな
これは
スピーカー 3
相当難しいと思いますね
ここがやられるんやったらみたいな感じやもんな
スピーカー 2
だから今回のマイターも
どうやって検知したか最終的に
わかんないけど
こういうのあるなし関わらず
内部のネットワークにおける
外部との通信の検知だったり
そういう
モネタリングを強化するということは
日頃からやっておかないと
ダメなんだろうね
スピーカー 1
そうですね
検出のベストプラクティスの
ヒントという形でいくつか
異常検出
VPNトラフィック監視して接続が急増してませんか
異常なログイン時間
よくあるケースですよね
異常なログイン時間ありませんか
そういったのが書かれてはいるんですけど
これをやっぱり丹念に
見てアノマリというか異常を検知して
対応につなげるというのは
なかなかコストかかるだろうなというのは
スピーカー 2
やっぱり思うところで
スピーカー 1
地道にやっていくしかないよね
スピーカー 2
ちょっと話それちゃうけど
先週紹介した
マイクロソフトのインシデントの
レビューボードの報告書が出ました
というのを紹介したけど
あの時ちょっと細かいから
言わなかったんだけど
マイクロソフト自身が
検知する前に国務省が
検知をしてそれを通知してそれが
スピーカー 1
発覚のきっかけだったんだけど
スピーカー 2
前回の報告書の中に
なんで国務省が検知できたか
ということもちょっと書いてあって
で国務省は
独自の
カスタマイズした検知用のルール
というのは以前から結構
適用して運用してるんだって
結構そういう地道なことを
ちゃんと彼らはやっていて
そのルールに引っかかったんだって
なんで
いわゆる商用の製品の
いわゆるおしきせのというか
もともとあるシグネチャーとか
見つかったわけではなくて
自分たちの環境に合わせた
カスタマイズしたそういうルールとか
以前からちゃんと
内部のソックでコツコツ運用して
いってそれが検知しましたってこと
細かくは書いてないけどそういうことが
書いてあったので
そういうようなことをやっぱりだから
いろんなところが
自分たちの環境における
正常な通信と異常な通信っていうのは
当然だから全部のネットワークで
全部違うわけなんで
それは
だからその環境に合わせたことを
地道にやるしかないのか
前週も
それを思ったんだけど
今の話を聞いてもやっぱり同じことなのかな
って気がしたね
スピーカー 3
過去の攻撃の流れとか
IOCとか
秘伝の垂れ的な感じで
運用し続けてるものがあるんですね
スピーカー 2
もちろん
こういうインシデントがあったときに
出るIOCとか
こういうアドレスから攻撃を受けてませんか
的なやつはもちろんあるだろうけど
そういうのと関係なく
内部で
アノーマリを見つける手段っていうのを
いかにきちんと
運用できてるかっていうところが
結構勝負の分かれ目なのかも
今回のようなケースに限っていえばね
スピーカー 3
それがものを言うんですね
スピーカー 2
積み重ねが
だってマイターもそれが
難しかったって言ってるんだからさ
相当難しいとは思うけど
スピーカー 3
そうですよね
これは本当に僕も目を疑いましたもんね
え?って思いましたもんね
マイターが
スピーカー 2
みたいな
スピーカー 3
なんかちょっと暗い感じになったな
なんか前回もそうやったやん
スピーカー 2
確かにボヤボヤしたとか
スピーカー 1
少しね
ボヤっとした感じ
スピーカー 3
数分前にマイターって言った自分は
スピーカー 1
ちょっと
スピーカー 3
言ってる場合ちゃうんじゃん
スピーカー 2
反省をね
あの衝撃が大引いてますね
スピーカー 3
ちゃんとしっかりせっかく
止めてくれてるんでね
これ見た方がいいかなと思いますね
はいありがとうございます
はいということで
今日もセキュリティのお話を3つしてきたんで
最後におすすめのアレでございますけども
今回はですね
アレ勢のアレということで
スピーカー 1
アレ勢のアレ
パスワードデーとパスワードシンドローム
スピーカー 3
おすすめを頂きました
ほうほうほう
おすすめを頂いた時に
僕にDMをするか
ねぎすさんに連絡するかで
迷ったそうなんですけども
なんでかというとね
ほらもうそろそろね
毎年ねぎすさんが言っている
世界パスワードデー
スピーカー 2
はいはいもう誰も言ってない
パスワードデー
5月の第1木曜日だっけ
スピーカー 1
びっくりしたiPhoneまだ早いよな
スピーカー 3
違う違う
パスワードデーといえばもう
日本でパスワードデーだよもうねぎすさん
スピーカー 2
確かにね誰も言ってないよもう
スピーカー 3
そのタイミングということで
パスワードにまつわるおすすめを頂いたんですね
えーいいね
ねぎすさんに言うか僕に言うか迷った
っていう理由がですねこれ
スピーカー 2
曲なんですよ
スピーカー 3
なんでおすすめを紹介するの
僕ということでパスワードデーだけども
僕に来たと
その曲がですね
パスワードシンドロームっていう曲なんですけど
スピーカー 2
そんな曲あるの
スピーカー 3
これちなみに誰が歌ってると思います
スピーカー 2
いや全然知らない
スピーカー 3
日本の昔からいるベテラン
アーティストですよ大御所
スピーカー 2
日本の曲なのこれ
えー知らない大御所
スピーカー 3
はい大御所ですよ
スピーカー 2
意外だと思います
意外な大御所
スピーカー 3
じゃあね男性歌手で
名前全部ひらがなです
スピーカー 2
男性歌手で
さだまさし
スピーカー 1
そう正解です
スピーカー 3
ねぎすさん凄い
スピーカー 2
まじで
スピーカー 3
フォークソングなのこれ
これですね
作詞作曲が
さだまさしさんが今回ある方とコラボした
スピーカー 1
ユニット名というか
スピーカー 3
名義
ナオトインティライミさんとコラボしまして
スピーカー 2
結構新しい曲だなもしかして
スピーカー 3
2018年の曲です
スピーカー 2
比較的新しい
スピーカー 3
2人が組んで
ナオトマサシインティライミ
っていう名前で
作詞作曲の名義が書かれてあるんですけど
2人が
話に関する話みたいなのしてたところ
雑談からできた歌らしいんですよ
面白いの歌詞がね
あれこれダメ色々試したけど
わからないパスワード
パスワードシンドロームについての解説
スピーカー 3
はじめ約束したあの合言葉でしょみたいな
サビの部分がパスワードシンドローム
最初は優しかったのにパスワードシンドローム
それでそうするの
だからどうなんの
遠ざかっていく記憶諦めよっかなみたいな
なんか切実なんですよ
スピーカー 2
なんかパスワードのあるある的なのを
歌詞にしてあるのか
なんかいいパスワードをつけるための
スピーカー 3
コツとか書いてないの
パスワードが嫌だみたいな感じの
スピーカー 2
ダメじゃんそれ
でもあれか逆にもうそろそろパスワードじゃなくて
っていうのはいいかもしれないな
スピーカー 3
僕もこの歌全く知らなくて
スピーカー 2
でもそれアレゼの人は
スピーカー 3
知ってたんだすごいな
パスワードシンドロームっていうのを
検索したらサダーマサシって出てきたから
一瞬これも
目疑いましたよね
ほんまにサダーマサシさんな
スピーカー 2
あのサダーマサシさんなみたいな
スピーカー 1
確かにねサダーマサシさんと
パスワードってなかなか
スピーカー 3
結びつかないですよね
パスワードシンドロームの曲や歌詞の特徴
スピーカー 3
Amazon MusicとかSpotifyでも聞けるんで
聴いてみたんです早速聴いたんですよ
イントロでも疑いましたね
これほんまにサダーマサシさん歌うのか
ここからみたいな
意外なやつで
僕結構ナオトインティライミさんが
多分主にやられてるのかな
っていう感じはするんで
モダンでしたよ曲調は今風というか
スピーカー 2
そうなんだ
スピーカー 3
いい感じのテンポでしたよ
スピーカー 2
曲も
スピーカー 3
是非ね歌詞見ながら
聴いていただければ
いいんじゃないかなと思いますね
次回予告とゴールデンウィーク中のスペース
スピーカー 3
じゃあ今日は
今回もこんな感じでございます
また次回のお楽しみです
そうだアレですよ
僕ら一応もう1回言っとこ
5月の1日の
昼ぐらいに
それどうでもいいよ
スピーカー 2
それどうでもいいからさ
それよりもあれじゃない
ゴールデンウィークだから多分来週は
収録お休みだよね
スピーカー 3
そうですね1回休みですね
多分ね
でもね昨日冒頭で言わなかった
昨日ちょっとアレ勢の方
2人とお会いしてですね
仕事繋がりで会った人が
アレ勢ですみたいな感じだったんですけど
ところで
ゴールデンウィーク中のスペースって
本当にやるんですか何時からやるんですか教えてくださいって
言ったらなんかスマホに
予定入れて貼りましたよ
スピーカー 2
物好きなアレ勢いるな
スピーカー 3
だからまあ
14時半とか15時ぐらいからもしかしたら
フラッとやり始めるかもしれないということで
はいということでまた
次回のお楽しみですバイバイ
バイバイ
01:01:55

コメント

スクロール