1. セキュリティのアレ
  2. 第103回 緩くブレずにオーマイ..
2021-09-20 1:13:25

第103回 緩くブレずにオーマイワッフル!スペシャル!

Tweet    【関連記事】 ・Malware-Traffic-Analysis.net[...]

The post 第103回 緩くブレずにオーマイワッフル!スペシャル! first appeared on podcast - #セキュリティのアレ.

00:01
とうとう バレてしまいましたね
何が?
お便りで
podcast でスリープタイマーつけようと思ってスクロールしたら、なんとチャプター分かれてた
今気がついたわけじゃない? そうみたいです。結構意外と多分ねチャプター気づいてない人結構多くて
あれでもさチャプター機能が使えるそもそもポッドキャストのアプリっていうかそんなにないんじゃない? そんなことないかわかんないけど
あんまりでもなんか意識しないですよね。チャプターここからとかっていうのが
結構前からつけてます。そうなんですよね。 ネギスさんが編集長に就任されてからついてますよね
いやえっとね最初編集長に就任っていつからかわかんない 多分3人ともいつかわかってないと思う
どっからかわかんないんだけど ほらリモートになってさ毎週になって
ちょっとね編集もしだして 音質とかにねちょっとこだわってみたり
そうそうどっからだっけなぁ チャプターとあとほらあの
ショーノートをつけ始めたじゃん。多分ショーノートが最初で どっかのタイミングで途中からチャプターをつけ始めて
その後辻信寛メモかな。どんどん進化して。そうそうだんだん充実してるんだよねこれね
まあでもなんかこのチャプターのおかげであの回のあの話もう1回聞きたいなという時に すごく振り返りやすくて助かります
それは嬉しいですね いいですね
そうそうこれはまあ人によってはさ雑談飛ばして本編聞きたい人もいるだろうし
まあ通して聞いてもらうのが嬉しいけどね ちょっとそれ雑談を飛ばせないチャプターの切り方にしてもらっていいですか
それチャプターの意味ねえだろうが
全然チャプターの機能をしてないっていうね
絶対に雑談は聞かなあかん。雑談と一番初めに喋った人の話はいつもセットになってるみたいな
それはそういう思うよね。途中で切らないスタイル。面白いなと思ってね
まあぜひちょっと有効率買っていただければと。そうですね
全然話変わるんですけど、僕コロナ禍でずっといろんなものを取り寄せしてるじゃないですか
この間どうしてもずっと食べたいなって思ってて我慢してた食べ物があって
なんかこう家で作ったりとかしてもなんかしてもあんまり美味しくないものってあるじゃないですか
もうこれ食べたらお店に行った方がみたいなもんってないですか
なるほどなるほど
例えばいくつかそれがあったりするんですけど
03:01
一つに僕の中でその中の一つが焼き鳥
確かに
焼き鳥ってそこで焼いてもらって焼き加減だなんだとかっていろいろあって
そこでやってもらうから美味しいみたいなとこあるじゃないですか
あるねあるある
でなんかこう串に刺したいいネタのやつ送ってもらっても
やっぱり味付けとかって家でできないでしょ
こんなもレンジでチンとかそういうのにするしかないじゃないですか
しょうがないからちょっとなんか良さそうなやつ探して頼んだんですよ
そしたらあのなんかこう注意書きみたいなペラガミが入っててそこに
ありがとうございます的なやつなんですけどね
でそれちょっと読ませてもらいますと
当社の商品は脱気真空で放送となっております
かっこ商品を痛めないようにゆるめの放送ですって書いてるよね
この放送が放送士の放送じゃなくて
ブロードキャスティングの放送のこんな短い文章で字間違ってチェックしてないってやつがあって
そもそもねゆるめのブロードキャストのゆるめの放送って
うちのポッドキャストのこと言うてんのかって思いながら
それが言いたかったわけね
言いたかった
でもそれあれだね
あの想像だけどさ救護次第なんじゃないのわかんないけどその
あーなるほど
そういうことないの
その通販っていうのを急に始めてとかじゃないの
ぽいぽいあのね通販でもあり
このなんかふるさと納税のやつなんですよこれ
あー返礼品なの
そうそうある県のね
ほうほう
そうそうそうそう
それでなんかそういうのになんかちょっとでも貢献できたらいいかなと思って
どうせ考えたらそういうとこで買ってみようと思って買ってみたののエラガミだ
なるほどゆるい放送ねもうぴったりじゃんここのあれに
そうなんすよ
なんか知ってて送ってきたのかなって思いますよね
そうそう
まあこれが言いたかっただけなんですけど
よかった言えて
まあ今日もゆるくやっていきましょう
そうです
でなんかあれじゃないですか
全然これもまた急に話飛びますけどもね
大型の発表がありましたよ
おっなんかありましたか
ありましたよねもう
なになに
ねぎすさんがねぎすさんの財布が緩みまくるような
そうね年に一度のビッグイベント来ましたね
そうですよなんかあのポッドキャストのねこれのあのハッシュタグにも来てましたよ
おーなんて
ねぎすさんがiPhoneのiPhoneは一番ええやつ買うんですかみたいな
プロマックスですかみたいな
よく知ってるなまあねあのこのポートキャストをずっと聞いていただいてるリスナーの方にはもうおなじみっていうかね
またにぎしが言ってるなとかって思うかもしれないけど
僕も楽しみですもんなんか
高齢行事ですもんね
そうですねもう10年ぐらいずっと毎年iPhone買い続けてるんで
すごいよな
06:00
はいまあアップル信者なんですけど
今年ももちろん買いましたよ一番ええやつ
素晴らしい買ったんですねもう
もうまだ来てないけどね来週来週だけど
決済は終わってると
もうそこで今週の昨日か昨日金曜日の9時予約開始とかだったから
もう待ち構えてさ
正座して待ち構えててもう開始5分で買い終わりましたよ
早いなぁ
裏切らないですね
期待を完全に裏切らないですね
いつもね
もうなんかねあの機械のように押すだけだからね
パチパチパチ
そうですよね
なんか一般の方って決め手を探すじゃないですか
投入するための何かがないとダメみたいな
なんかそういう決め手を探しちゃうんですけど
確かに確かに今回は買いか見送りかみたいなね
そうそうそう
ねぎちさんの場合なんかもう呼吸じゃないですか
そうそうそう息を吸うようにiPhone買うんだけどね
なんかあれですよ
1年に1回送られてくるあのデアゴスティニ感覚みたいな
なんかわかんない
定期攻読みたいな
まあそうですね
定期攻読です
定期攻読感ありますよね
でもねそんなねあのねぎちさんに負けじと
僕もその今回のなんて言うんですか
このいわゆるビッグウェーブって言うんですか
乗りました
はい乗り乗りですよ
えー何に乗るんですか
僕買いましたやっと念願の
買ったというか発注しただけですけど
前から欲しい欲しいと言ってた
もうずっとあの言ってた
iPadにボタンなくしてくれって言ってたやつね
はいiPad mini来ましたね今回ね
やっとやっとですね
なんかずっとボタンがね残るだろなくなるだろって
ずっと言われてたじゃないですか
どっちどっちだねみたいな
そうそうはいはいはいはい
でもう蓋開けてみたらなくなってる
これはやっと買いやと思って久しぶりに買いますね
僕iPad miniって僕初代1回買ってるんですよ
あー俺と同じだ
俺も初代からのユーザーなんだけど
でやっとちょっと最近iPad欲しいなーって思って
mini欲しいなーと思ったけど
そろそろ出るやろみたいな話があって
1年ぐらいずっと早く出ないか出ないかみたいなこと言い続けて
なんか去年もね言ってましたね
そう去年も出そうって言ってたもんね
そうそうそうそれでなんか結局ずるずる言って
何か発表なかったなーみたいな感じで
やっとこさ出て
いや今回はねあのもうものすごい大きく変わったから
もう大正解ですよ買って正解
でしょもういっちゃんええやつ買いましたよ
いっちゃんええやつ出た
いっちゃんええやつ
あのーいっちゃんええやつ言っちゃったんですけどね
ニゴロのやつでセルラーWi-Fiペンつけてケープもつけて
贅沢だなー
全部載せ
まあでも今回のやつはいいと思うよ
いい判断だと思うけどな
そうなんですよ
だってほらあのベゼルが薄くなってさ
そうそう
サイズ小さくなったのにディスプレイのサイズが大きくなって
09:02
ホームボタンがなくなってサイドに移ったし
そうなんですよ
いやもうで
言うことなしですからね
そうそうそう性能的にもすごい良くなって
あれなんだよね基本的に
iPad Airの進化と同じ方向に進化したんだけど
そうですね
だけど今現在はiPad Airよりもスペック良くなってるんで
ペイシルにも対応したし第二世代のやつにね
なんかでもキーボードはないんですよね
そうそうそれだけはねちょっと大きさ的に
純正のやつでちょっと進んだキーボードがないんですよね
iPadのスマートなんとかとかね
ちょっといいキーボードとかいくつか
マジックなんとかとかねありますけどね
あれ全部iPadの大きいやつしか対応してないんだよね
そうですね
まあでも耳でキーボードで何か仕事じゃないけどさ
何かやる?やんないでしょ
多分やんないですね
ビューワー的にやってるのとちょっとこう
パソコンの前に行くまでもないような作業を
ちょっと大きめの画面で済ませられる
みたいな感じの使い方をしたいなと思ってて
あとほら今回ペイシル買ったでしょ
ペイシル使うよペイシル
そうペイシルね特に使う予定もないんですけど
ないのかよ
ないんか
いやなんかほら
なんで買ったんだよ
いやいやなんかあったら使ったことないから
なんかあったらってねえよ
いやなんか
ぶち当てしてる時とかに
入力するよりメモで書いた方が
それこそ入力デバイス的な意味では
iPadってやっぱ全然ダメじゃないですか
ソフトウェアキーボードとかね
それだったらペンの方でささっと書いた方が
ストレスなくできるのかなって思ったんで
ちょっとペンもチャレンジの意味を込めてね
どんなもんかなみたいな
俺のイメージだと看護さんは
結構タブレットでメモ取ってるイメージなんだけど
手書きメモ取ってるイメージだけど
つりさんはさ
ノートとかに万年筆でメモ取ってるイメージ
そうそういいやつ使って
そうそうちょっといい万年筆使って
メモ取るのが好きみたいなそういうイメージ
僕の万年筆全然いい万年筆じゃないですよ
でもほら結構たくさん持ってるじゃん
こだわりがあったような
こだわりがあってさ
毎年の限定カラーみたいなの使ったりとか
そうそうラミーのやつとか
ラミーのやつですね
基本的に紙と万年筆ですね
僕も結構紙派なんで
セミナーの資料作る前とかは準備
まとめるのは紙に書いたりとかしてますけど
結構アイデア出しとかね
そうそうそう
なんですけどちょっとやっぱり
ペン使ってるの見てて嫌いましいな
DX?つじDX?
そうそうそう
つじTDX
TDX?
TDXなんか電車出なかったっけTDX
スクバなんとかみたいなやつ
12:00
そんなんあったね
TXでしょ
つじデラックス
つじデラックスになるんですねついに
ついについにDXしか
ちょっとやってみよう
紙は使うけどねこれからも
まあね
そうそうそう絶対使う
完全に紙なくすのはちょっと難しい気もするけどね
そうですね
あれ使ってほしい
ペーパーライクフィルム使ってほしいついでさんに
何それ
私使って
紙みたいな書く感触で
貼れるフィルムってあるじゃないですか
iPadとかに対応してる
iPadに貼れてるやつ?
そういうのがあるんだ
ありますあります
さも紙に書いてるような
何でですか
僕iPadとか携帯とかに
飛散防止フィルムとかあるじゃないですか
あれ反応めっちゃくちゃ下手で
空気が入らないように貼るとか
全然ダメで
だから僕昔iPadやったかな
何か忘れたけど何か買った時に
サービスや初代のサービス買った時に
貼ってもらうサービスのとこ持ってった
あるよねそういうのね
だってあんななんかでかいやつとか
結構高いじゃないですか
まあまあええ値段するじゃないですか
こんな値段すんねやみたいな
ええ値段取るでしょまあまあ
それで家帰って貼って失敗したら
もう絶対嫌やもん
また買いに行かなあかんし
だからってたぶんね
2枚3枚買って帰るのも
何かそれでもええ値段になるっていうのに加えてね
3枚買った時に限って
1枚目でうまいこと言ったりするんですよ
そういう時やったらもうなんか
そんな迷いを生じるぐらいだった
ちょっとお金払って
綺麗に貼ってもらった方がいいかなと思って
やるやるぐらい苦手なんですけど
だから看護さん貼ってくれんやったら買うけど
全然貼りますよ
看護さんその何ペーパーなんとかっていうフィルムは
本当に紙みたいな感触になるの
あのちょっと人によりきりではあるんですけど
やっぱり紙にかなり近い感触というか
あの摩擦って言うんですかね
私はそれで使ってないんで
ツルツルしちゃうんですけど
硬いツルツルなイメージから
ちょっと何かちゃんと引っかかる感じみたいな
はいわかんないけど
そうですよね
そんなテクノロジー
試してみた方があるかな
そうそう試してみてほしくて
ただあのあれなんですよ
ちょっとあの何だろうガラスとか
いわゆる一般的なものと比べると
あのうつり具合っていうのが若干
暗くなるっていうんですかね
なんかその辺が少しやっぱり見え方
若干変わるらしいので
いいかもしれない
なんかこのお話楽しいから
今日セキュリティの話やめとく
そういう回があったら面白いけどね
じゃあセキュリティの話は
するかしないかって言うと
スルスル
やっぱしようぜ
しましょうかセキュリティの話ね
じゃあそんななんかこう
饒舌になってきれるので
15:01
今日はカンゴさんからにしよう
もうだいぶ今日話した感があったんですけど
いやいやいい感じに乗ってるなと思ったんで
ちょっとカンゴさんからお願いしましょうかね
お願いします
今日はですねもう大丈夫ですか
Appleいいですか話して
大丈夫です大丈夫です
まだ物着てないですから
物着てからまずやりましょう
じゃあ今日はですね
私はあるマルウェアっていうか
アルウェア
出始めの出始めなんですかね
なんか新しく報告というか
ツイッター上でこんなの来たみたいな
取り上げがされていたものがあったので
ちょっとその紹介をすいません
まだほとんど手元に情報がないので
ちょっとそれを軽くさせていただくだけで
ちょっととどめさせていただきたいんですけど
いやいや全然
なんかもしかしたらそれがで
その後大有効してしまうものかもしれませんからね
そうで後でほら言ってたでしょ
みたいなのをちょっと言っちゃうやつですよね
それは禁止
言ってたは禁止
言ってたは禁止ですね
何かって言うとですね
ちょっと読み方が難しいんですけど
日本語読みすると
スクワーデルワッフルっていう名前の
マルウェア
リスだリス
はいそうスクワーデルリスだそうですね
発音が難しいですか
はい最初はもう何て読むのかと思って
必死にGoogleさんに聞きまくったんですけど
何度聞いてもわからんっていう
聞いても自分じゃ発音できないですね
そうそうそうそう
今日はね本当これ何て言おうかなって
ずっと悩んでたっていう
一番そこが悩みだったんですけど
はいこれ何かって言うと
いわゆるローダーって呼ばれている
外から別のマルウェアを呼び込んでくる
タイプのマルウェアで
一番最初にユーザーの人に接する
類のマルウェアというところで
でこれどういうふうに使われてるかっていうと
9月の14日今週の始めぐらいから
月曜日ぐらいから
なんかこんなのが届いたっていうのを
ツイッターで報告してる方が何人かおられて
でこれ海外なんですよね
まだ海外なんですけども
あのメールで届いて
でそこにURLが記載されていて
URLをクリックしてしまうと
外からジップファイルが落ちてきますと
ジップファイルの中にドキュメントファイル
ドットドック形式ではあるんですけども
ワードのファイルが入っていて
よくあるのがですよね本当に
そのドキュメントファイルの中に
マクロが仕込まれており
実行すると確かVBSだったかな
スクリプトが動いてDLLを読み込み
最終的に今はコバルトストライクが落ちてくる
っていうふうな解析をされてらっしゃる方が
18:03
よくあるバックドア系がね
おられてですね
よくあると言えばよくあるんですけども
これなんで今回ここで
ご紹介しようかと思ったところとしては
新山というか全く新しいタイプというか
これまで例えばそうですね
Iced IDとかBuzzer Loaderとか
なんか比較的最近でも
ローダーって呼ばれてる類のマルウェアで
実際に国内にばらまかれたりとかっていう事例
あったんですけども
新しくそれにこれが加わるんじゃないか
実際もう配られてはいるので
流行るというか非常に広く巻かれるかどうか
っていうところはまだちょっとわからないんですけども
そういうのが新しく出てきたというところと
あと今回このスクワイルワッフルを
分析されておられる方が
すいませんまだまとまった
なんだろう
マルウェア自体が本当に今週で始めっていうところで
がっつり分析っていうのは
まだまだ情報がこれから出てくる状況ではあると思うんですけど
マルウェアトラフィックアナリスト.NETっていう
マルウェアを分析した情報を掲載されている
リサーチャーの方のサイトあるじゃないですか
あちらのツイッターも当然やっていらっしゃって
その今回のスクワイルワッフルについての評価をされていらっしゃるんですね
で今回私これそもそもどういう経緯で見つけたかっていうと
ツイッターでいまだに私エモテトーとか
さっき言ったアイスダイリーとか
そういったキーワードで検索してる
カラムって言うんでしたっけ
ツイートデック上のカラムがあるんですけど
そこに今回のスクワイルワッフルがふと流れてきたんですね
でこれ何で流れてきたかというと
先ほどお話ししたマルウェアトラフィックアナリスト.NETの
flat さんがこんなことを呟いていたツイートが流れたのを
私それたまたま見たっていう経緯で
ちょっとそのツイートを読むと
ある意味でこの新しいマルウェア
スクワイルワッフルはエモテトーを
エモテトーそのものでは当然ないんですけども
エモテトーを思い出させるものだったと
はいでもしかするとスクワイルワッフルが
エモテトーの代替になる
エモテトーが残した大きな犯罪
シンジケイトっていう犯罪組織の穴を埋める可能性があるみたいな
そんなツイートをされてらしてですね
実際ちょっと私細かくそこは把握しきれていないんですけども
KaakBotのディストリビューターというかアフィリエーターというか
21:03
関わっていたTRと呼ばれているグループなのかな
その人たちが今回のスクワイルワッフルを
ばらまいているインフラっていうんですかね
そこに関わってるんじゃないかっていうふうに
推測というか指摘をされておられる方も何人かいてですね
確かなんかKaakBot自体は活動が
6月の下旬ぐらいから鎮静化してるらしいんですね
私ちょっとそれ把握してなかったんですけど
そうらしいですねそれは
そうそうそうそう
まだ全然届いてない的な
はいただなんか本当にちょっとこれは
本当に何だろう状況証拠というか
たまたまそうだったっていう話だけかもしれないんですけども
このKaakBotに関連するインフラも
動き出しているっていうツイートをしてる人もおられて
もしかしたらちょっとこの辺が関連している可能性っていうのは
まだ全然推測なんですけどね
あるかもというところではあり
今今は報告されているケースとしては
イタリアとか本当に海外に実際にメールが届いて
っていうさっきお話したメールが届いて
さっきのスクワレルワッフルが来る
みたいなそういうのを報告されている方だけしかないんですけども
今後は国内でも実際にi3Dとか
バザーローダーとかエモテットもそうでしたね
海外で来たものが国内で
その後もドハヤリするっていう事例は実はあったわけですので
よくありますよね
この辺は手法こそね
全然新しい方法は当然使ってないので
ちゃんとした対策というか
よくついさんがおっしゃってるような
マクロをそもそも動かす人あるのとか
ちょっとその辺とかいろいろある
実際対策としてエモテット時代から有効な対策ってあったと思っていて
それをやってらっしゃるところは
すぐに動向ってことはないと思うんですけども
ちょっとこの辺の動きっていうのは
少し見ておいてもいいのかなというふうに思ったので
今日ちょっと紹介をさせていただきました
かんこさんこれ今のところ
まだ事例が少ないんだと思うけど
今のところ観測されているのは
そのさっき言ってた
ZIPで圧縮されてオフィス文書が入っていて
マクロを有効にすれば感染っていうパターンだけなのね
はい今今はそれだけですね
じゃあ今のところとしては
広域経路はそこだけ注意しておけばいいけど
まあでもこれ分かんないもんね
いろいろ今後広域経路のパターンが広がるかもしれないしね
そうですねちょっとこの辺はどう変わっていくかっていうところも
当然あると思うので
なるほどなるほど
今まだ情報がそんなになくて
これからどういうふうに発展してくるのかってところが
24:02
ポイントなんだろうなと思って聞いてたんですけど
やっぱりエモテッドは攻撃者側
犯罪者側から見て大成功を収めた
まるでエアだと思うんですけど
あれはやっぱり変身予想というか
元のメールを盗んできたメールを使ったりとかっていうふうに
信じ込ませるところがかなり長けてたじゃないですか
はい
そういった変化が新しい
いろんな手口はほぼ一緒ですよね
ZIP圧縮してて中にドキュメントファイルがあって
よくあると思うんですけど
そこがどういう変化を今後見せてくるかってところですかね
なんかね
新しいものが出た時に
その開いてしまう真理を
うまく捉えてきてるかどうかっていうのを
やっぱり注目しておかないといけないかなと思いましたね
はい
それで多分結果大きく変わりますからねきっと
そう本当そこは実際にエモテッドが
事例作っちゃいましたからね
そうですね
ささが今来るという
事例を作ったし
エモテッドに関してはまたまたもや
こちらMAMORU側の大敗北だったと思ってるんで
いや本当そうなんですよ
なんかまたこれは活かしていきたいですね
ちょっとでも完全に防げたなんていうのは
無理なのは分かってますけど
前よりもより良くしたいっていう気持ちは
なんかこういう新しいのが出てくる度にちょっと思いますね
はい
なので継続案件ですねこちらもね
そうですねちょっとこれは
あの少し興味深くウォッチしていく必要があるかなと
風にちょっと見ていて
かんごさんのツイートでカラムに1個増えたねこれでね
はいそうですね
レインが増えましたね
皆さんのにも増やしておいてください
皆さんのにも増やしておいてください
あのかんごさんねもう見切れなくなったら
僕がネギスタンのスタッフで
そのスタイルで
ありがとうございます
もう1個言っていいですか
もう1個すいません
ちょっとこのスコアレルワッフルとは別件なんですけど
あの前回脆弱性の話しましたよね
あのWindowsの
はいあの予想通り修正プログラム出ましたので
はいあの更新されてない方はいないと思うんですけど
まあしてないかもしれない人に言ってあげてほしいですね
これを聞いてる方にね
はい実際なんていうか攻撃というか
あれを悪用する
何だろう観測数が増えてるというのを
ツイートされてる方が多くなってるので
なんかそういうニュース記事も方々が出てますよね
はいなのでちょっとできるだけ早くアップデート
ないしはどうしてもできないんだったら
まあ回避策っていうんですかね
あんまりちょっとあの回避策なかなか難しいかなと思ったんですけど
回避策であるとか
対策をしっかりやっていただくのがよろしいかなと
27:01
クライアントだったら回避策するぐらいのパッチャとかが楽かも
いやもうほんとそれです
ちょっとサーバーとかね
ちょっとなかなかすぐにはっていうのであれは
ちょっとその辺は
回避策で様子見るっていうのもいいかもしれないですけどね
はいわかりました
あれそういえば前回だっけ
Windowsサポート切れてる
Windows7の対象とか言ってなかったっけ
あそうですね
そうだそうだそうだ
あれはどうなったの
あれそれも出たんでしたっけ
そうだちょっとそこちゃんと見切れてなかったですね
Windows7ちょっと今急に気になったけど
あでもなんかダウンロードってあるぞ
なんか出たんでしたっけ
Windows7にもなんか出てるね
おすごい
サポート切れてるのに対応したんだこれ
なんかあれなんですかね
アドバイザリーに並んだら多分出るみたいな
そういうふうに思ってていいんですかね
そうだよね多分アドバイザリーに確かあったもんね
はいアドバイザリーに載ってました
今見たらなんかダウンロード欄にちゃんとあるよ
じゃあサポートからやけどこれは対応したんだ
影響が大きいってみたんだね
やっぱり影響は重要っていう評価ではあったんだけども
出したんですね
そうだねまあなんか
それだけマイクロソフト側もそう判断してるってことなんだね
パッチがまた出てなくて緩和策しかないけど
やばい攻撃ありますっていうふうに言っちゃうぐらいですもんね
あの時点で異例でしたもんね
そうだね
はいすぐにできるだけパッチを当てましょうってことですね
いやーいいですね
ありがとうございます
はいということでじゃあ次は僕いきます
はいどうぞ
はい今回僕が紹介するのはですね
9月9日に出されたレポート
警察庁から出たレポートなんですけど
令和3年上半期におけるサイバー空間をめぐる脅威の情勢等について
っていうレポートなんですけど
このレポートは34ページぐらいの結構ボリューミーなレポートなんですけど
例えばどんなことが書かれてるか
これは定期的に出てるレポートなんですけど
内容としては今回は新型コロナウイルス感染症に関連する
サイバー犯罪が疑われる事案困難がありましたとか
サイバー空間における脆弱性探査行為等の観測状況だとか
あと標的型メール攻撃の事例紹介とか
いろんなものが載ってるんですね
この上半期で起きたこと
でその中にあったですね
僕が注目して今日紹介したいのはですね
ランサムウェアの情勢というところを話そうかなと
いいねぶれないね
ここはぶれずに来ましたね
警察署だから全然違う方向行くかなと思ったら
数々ある中からまたこれ行くぜっていうやつなんですけど
ブログはね
あのほらよく僕で
例えばコーブウェアだとかCISAが出してる文章だとか
30:01
この間前回だったらケラですかね
出してるランサムウェア関連のレポートないし
ブログみたいなものを紹介するんですけど
国内のものってあんまり紹介したことないんじゃないかなと思って
なるほどなるほど
言われてみればそうかも
海外ではこういうふうな情勢ですっていうふうなものがあっても
それがまんま日本も当てはまるとはもちろん限らないですし
照らし合わせてみて
同じだったら同じだなっていうだけでも
そうなんやということで
僕は学びがあると思うので
こういうせっかく国内のかなり貴重な情報だと思うんですよ
こういうのって
なので国内の事情
件数にしたらグローバルとかで見てるところと比べたら
少ないかもしれないですけれども
こういった事情を垣間見るには
いいレポートなんじゃないかなと思って
今日紹介させていただこうかなということなんです
確かにあれだよね
警察庁が出してるだけあって
その実際にね
被害届が全国からあったものがベースになってるわけだからね
そうですそうです
まあ実態をそのまま
努力に反映してるっていう感じはするよね
そうですそうです
それを見れるのって
なかなかこういうならではじゃないですか
やっぱり警察というところね
でこれ自体はネギさんが言ったみたいに
各都道府県警察から警察庁に報告があった
いろんな各都道府県に被害届が出て
それを警察庁に報告してくれたっていうのを
ベースにしているレポートなんですけど
今回扱われている件数が全体で61件
で前年の去年の下半期は
これが21件だったんですが
61件にランサムウェアの届けが増加していると
かなり増えてますよね
それでもでも半年で60件なのか
そうですそうです
そんなもんなのか
まあ一月10件ぐらいってこと
警察に届けてない被害とかも含めたら
まあこの数倍とかはあったりするのかな
ちょっとそこら辺の感覚が分からないけどね
そうですそうです
そこちょっと僕も61件を
これ多いと見るのか少ないと見るのかっていう
ランサムウェアの僕が見てる
バラマキンは分からないですけど
リーク系のやつとかだったら
日本のやつはまあまあ少ないけど
でもあれって身代金を払ってないのしか出てこないから
そうなんだよね
そうそうまあまあ
バンバン身代金を払ってたりとか
絶対出てこないので
それちょっと僕らが見て分かる数字じゃないから
ちょっとこの61件をどう見るかっていうのは
ちょっと難しいですけど
まあこの範囲でどんなだったかっていうのを見ていこうと
うんはいはい
で一番初めのところから見ていたらですね
どういうことを言ってるんや
みたいな感じに思うところがあったんですけど
この61件のうち
金銭の要求手口を確認できた被害は
35件でしたって書いてるんですよ
それ以外は金銭の要求が確認できてないんですかね
っていうこと
ランサムウェアなのにそうなんすよ
でもどういうことなのかって
これちょっと想像で詳しく書いてなかったんで
想像になるんですけど
手口が確認できてないっていう風に言ってるのは
33:00
もしかするとあの挙動自体はランサムウェアだし
ランサムノートみたいなものは出ているけれども
そのサイトにアクセスしてないとか
交渉のテーブルに乗ってないとか
いう風なものもあって
金銭要求のところまで至ってないから
っていう風な場合もあるかもしれないですよね
ちょっとそれは分からないんですけども
あとはこの35件っていうのがあって
35件のうち27件が二重脅迫のものっていう
僕がよく見ているものなんですけど
ということはこればらまきも含まれるんで
たまに金額出てこないとか
バグでランサムノート出てこんとか
そういったものもあるので
もしかしたらそういうのも含まれてるのかもしれないなと
はいちょっと分からないですけど
いろんな理由によって
その金額が明確になってないとか
例えばほら去年の事件で言うと
そのカプコンの事件がありましたけど
ミノシロ金額がわーっとニュース記事になりましたけども
ニュースリリースにはそもそも相手と連絡取ってないから
金額は知りませんっていうリリース出てましたよね
カプコンの件でね
そういったものはもしかしたら
この金店要求手口が確認できてないって
なってるのかもしれないですね
あーなるほどね
ランサムのノートは表示されたけど
金額の要求は書いてなくて
交渉次第みたいなやつってことか
そうそうとりあえずここにアクセスしろ
みたいなこと書いてたりするじゃないですか
あーなるほど
それで交渉しなければ
そうかそうか
要求は確認できないってことになるのか
っていうふうなものに含まれるのかな
いろんな事情を考えると
そういうところかなって思いました
かも
かもですねというふうなものですと
二重脅迫の件数が増えてきてますね
というふうなことなんですけど
そこで扱っている61件のうち
大体企業の企業とかその団体とかっていうところの
規模がどんなものだったかってことに
触れてくれてるんですが
その61件のうち28%
17件が大企業
でそのうち40件の66%が中小企業
残り4件7%がその他
これは多分企業とかじゃなくて
団体とかそういうのも含まれるのが
その他に落ちてるのかなと思うんですけど
まあここから見る限りだと
大企業だから狙われるとか
大企業だから狙われるとかっていうのは
あんまり関係ないのかなっていうのは
僕が今まで見てた
あのちょいちょい出してる
あの自分調べてたと同じような感じかな
っていうところですね
まあ国内の中小企業の企業数とかって
まあ大体99%以上が中小企業になるので
まあこのほうが多い
ほぼちょっと多くても
おかしくないのかなと思うけど
別に中小企業全てが
インターネットに直接
つながってるわけでもないので
まあこれぐらいの数字に落ち着くのが
まあ自然ちゃ自然なのかなっていうふうな
気はしました
であとは業種ですね
どんな業種が多かったかってことなんですけど
一番多かったのは
61件中27件で製造業
36:00
ついで建設サービス卸売
みたいな感じになってるんですけど
これあの僕が調べている範囲と
建設が多いんですね
僕の見ているそのリーク系のやつとかだと
ただでもこれ
僕カウントの仕方が違うだけで
これ製造業って結構大きくまとまってるんで
僕自動車とかって分けてたりするから
もしかすると合計すると
これと一緒の感じで
製造業の方が多く見えるかもしれないなと
なのでそんなに大きくは
ずれてないような気はしました
これもで実際のここが
なかなか出てこないところだと思うので
貴重な情報かなと思うんですけど
被害の実態ってとこですね
これはの被害の受けた企業ないしは
団体にアンケートをしているんですけど
全体で50件の有効
50件の回答が得られたというふうに
もう多いですよね
でその何を聞いてるのかというと
復旧に要した時間が
どれぐらいでしたかってことと
調査復旧費用の総額は
いくらでしたかっていうのを聞いています
で復旧に要した期間費用っていうのが
一番多かったのが
即時から1週間っていうのが
一番多かったですね
有効回答有効回答件数が44件中19件
なので4割強が
1週間以内に復旧できましたよ
というふうに言ってます
早い方っているかもね
そうですね早い方ですね
でそっから19件に対して12件で
およそ3割ぐらいが
1週間から1ヶ月というふうに書いてあるんですね
1ヶ月って結構よくあるラインなのかなっていう
気はちょっと僕はしてるんですけど
そうねなんかそれぐらい止まっちゃってる
みたいなね
そうそうそう
これはのほらバラマキと二重脅迫の方
両方含まれてるから
そっかそっか
バラマキの方が
ちょっとこの即時の方を増やしてる可能性は
あるかもしれないですね
確かにそのあたりをちょっと細かく見ると
少し傾向違うかもね
そうそうそう
それちょっと分けてると
もうちょっと嬉しかったかなと思いつつも
はいで僕この復旧に要した時間
時間期間か期間で気になったところは
復旧中っていうのがあるんですよ
今まさに対応中です
そうそうそう
復旧中が8件あって
18%なんですね
これまあまあ多いじゃないですか
2ヶ月以上とかっていうのもあるんですけど
それを除くと3番目ぐらいに多いと
18%なんで
まあまあでもさ半年あったら
1ヶ月ぐらいここ1ヶ月ぐらい起きたやつも
入ってるとすると
あでもこれ上半期のやつ
上半期の集計結果なので
上半期って6月で終わりじゃないですか
だから6月の30日に届出があって
復旧中ですって言ってもどうなのかな
あそっかそっか
回答は8月末って書いてあるもんな
39:01
どうなのかなどっから見て2ヶ月
どっから見て復旧中なのかによるかなと思うんですよね
回答時期がどのタイミングかによるか
そうそうそう
なるほど
いやまあそれぐらい1ヶ月ぐらいかかるのが
当たり前だとすると
まあ1割2割の人が対応中って書いてても
おかしくはないかなと思ったんだけど
あ確かに
ちょっと調査時期が
もうちょっと後にずれてるとすると
そうですね
意外と長くかかってるねってことか
うんそうなんですよ
なるほど
ちょっとこのすごい長引いてるところも
もしかしたらあるのかもしれないなって
はいはい
で実際にどれぐらいの調査復旧のために
お金がかかりましたかっていう質問
それ気になるね
それそうなんですよ
この辺が結構ね
いろんなベンダーのセミナーとかでも
出てくる数字なんかなと思うんですよ
これぐらい大変ですよ
みたいなところで出てきたりする
あとほらあの前にカンゴさんが
このポッドキャストにも紹介してくれた
あのほら被害金額の想定レポート
みたいなやつがあったじゃない
あーありましたね
はいはいはい
あれでもねランサムウェアだと
これぐらいみたいな想定があったけどね
あったあったはいはい
実態はどうなんだってことだね
うんうんうんうん
はいはい
そうですね
これは詳しくはどれぐらい細かいの
っていうのを見ていただければ
ざっくりまとめていると
1000万円以上5000万円未満っていうのが
14件で36%です
でこれ3つのやつをまとめてみたんですけど
1000万円未満で済んだっていうのが
24件で62%っていう感じではありました
で金額が少なくて済んでるところだと
100万円未満っていうのもあるんですよね
これ8件なんですけど
100万円未満って
こういったことの対象する金額にしては
少なめだと思うんですよ
PCとか数台とかサーバー1台とかさ
そうそうそうそう
例えばそんな程度とかだよねって考えられる
この調査復旧っていうのは
それに当たった人の人件費とかも
考えると思うので
そう考えた100万円っていうのは
そんな大きな金額じゃないですよね
なのでこれ実際に
被害を思いっきり受けてないっていうことを
表してるのかもしれないなと思ってて
そもそもその影響を及ぼした範囲が
狭くてラッキーだった
ラッキーで金額が少なかった
というふうにも考えることもできるけれども
いやいやその範囲にこういう対策をしてたから
封じ込めることができた
早期発見してたすることができた
もしくはバックアップがあったから
サッと戻すだけで済みました
情報は盗まれてなかったし
っていうふうなところも
合わせて知りたいなと思いましたね
これ少なかったのはなぜ少なかったのかとか
多かったところの被害規模は
どれぐらいだったのかっていうところまであると
もっと具体的でよかったか
この情報だけでも非常に貴重だとは思うんですけど
まあこんだけ出てきてるから
42:00
逆に気になったところではありますよね
あとこれほら
調査普及の費用っていう部分
かなり限定してるよね
答えやすい部分に限っていると思うんだけど
実際のビジネスインパクトって
多分このアーモバイカっていうか
被害金額とかってでかいものにしちゃうと
機械損失とかも含みますもんね
この間のさっき紹介というか
いった看護さんが紹介してくれたレポートとかでも
色々分析したけど
他のレポートとか見ても
やっぱりそのビジネスが止まってたインパクトっていうのが
やっぱり一番大きいっていうね
確かにね本来稼げるべきだったお金とか
売上がどれくらい減ってるとかね
なんかそれがちょっと分かんないよね
確かに
ちょっと話それちゃうけどさ
今週あのほらランサムウェア受けた
ランサムウェアの感染被害を受けた会社が
特別損失を計上する見込みがありますって
リリースを出したじゃない
出してましたね
あれなんか結構あの生々しい数字だと思ったけど
あそこは数百億の売上がある大きな会社だけど
7億5000万ぐらいの特別損失を計上予定って書いてあったから
まあ企業規模にもよると思うんでね
単純に比較できないけど
まあまあ妥当な
そのそれなりにサービスが止まったことを考えれば
妥当な数字なんじゃないかなと
ちょっと見てて思ったんだけど
なんかそういうのと比べると
このね直接的な調査復旧の費用だけ見ても
ちょっと全体としては見えないところが
そうですね確かにこの金額で済むんだとは思わない方が
良い数字ですね
その辺も何か書いてくれてよかったかもね
確かに確かにこれは全体の動く一部ですよ
みたいなさあそうですね
ああそういう注釈があってもいいかもしれないですね
読む人にとったらこれだけです
これぐらいで収まるもんなんやって
思っちゃうかもしれないですよね
ひょっとしたらねまあわかんないね
ちなみに図表5と図表6ってあるじゃないですか
さっきついさんがお話しいただいてた
その復旧に要した期間と費用
この費用のところっていうのは
全部もう完結復旧したよっていうところのものなんですかね
どうなんですかねもしかしたら復旧中で
今こんだけとかも含まれてるかもしれないですけどね
ああなるほど
まだちょっと初期調査だからかかった費用これぐらいみたいな
たださっき言ってた復旧に要した期間の
有効回答件数が44件で
調査復旧費用の総額のところが39件になってるんですけど
復旧中は8件なので
引いても数字合わないから
重複してる可能性はあると思うんですよね
その可能性あるとですね
まあ単純にその金額がよくわかんないから
回答を拒否した人たちもいるかもしれない
いるかもしれない
調査中だから答えられませんって言った人もいるだろうしね
いろんなものを合わせた表層的な部分の数字しか見えないので
45:01
その裏付けの数字がちょっとわからなかったりとかするんで
ちょっと見えないとこもあるんですけど
でもあのなんとなく分布的にさ面白いというか
意外と安くその初期の調査復旧費用に限定したとしても
まあ安く済んでるところもあれば
数千万かかってるところもあるっていうかね
そうですね
5千万2万っていうところもありますね
やっぱりこれ被害規模によるんだろうな
この差がなぜ出てるのかっていうところですよね
そこをやっぱりこれ見ちゃうと知りたくなっちゃうところですね
そういった情報ももっと出てくるといいかなと思うんですけど
であとはこれも必要というか注目すべきところだと思うんですけど
感染経路がこの被害が起きたところがどうだったのかってことがあるんですが
これちょっと残念ながら有効回答が半分ぐらいの31件になってるんですけど
多分わからないとかもあるのかもしれないですね
なるほどねそれはだいぶ根の深い問題だね
感染して被害まで受けているのに経路がわかってないっていうのはさ
そうなんですよ
この感染経路のところその他ってあるんですけど
その他は何かわからないんですけども
多分これ何か何かなんだと思うんですね
回答してるってことはね
そうそうだから逆にこの感染経路有効回答を31件にするけど
このところこそわからないを入れた方が良かったと思うんですよね
なるほどね
わからないがそんなにあるんだ気をつけないとっていうふうに生々しさが出てくると思うので
原因不明っていうのも回答に入れればよかったと
多分残りこの有効回答以外の残りは原因不明の可能性が大きいよね
そうですねだから半分ぐらいはよくわかってないのかもしれない
それの31件のうちなんですけども半分以上17件がVPN機器からの侵入
おお多いね
まだまだあるんですこれが一番多かったと
なるほど
VPNからって公表してた事例もあったっけ
まあ何か見たことある気がするな
はいそうですね
グッズがありますね
それに次いで7件の23%がVPN機体も次これですよね
リモートデスクトップからの侵入
ちょっと待って一個戻るけどさ
あれこれ令和3年の上半期でしょ
はい
何か気づいちゃいましたかもしかして
気づいちゃったんだけど
あそうか令和の時代というか令和3年の時代でもなって
VPN機器から脆弱性でもこれ多分おそらく古い脆弱性が残ってたんだろうね
多分このポッドキャストでも取り上げたような
はいはいはい
だよね多分ね
やつもあるのかもしれない
ただただこれからVPN機器からの侵入っていうのが
この表現が僕あえてわざとこの表現なんかなって思ってたんですけど
あの脆弱性と書かなかったのは
そうだね
認証
はいだからパッチワースだけど認証情報を取られてて
48:04
そうそうそう変更してなかったってパターンね
っていうパターンだとか
たまたまこうなんかリスト型みたいなのやってたやつに刺さっちゃったとかもあるかもしれないですし
あり得るわねあり得ますね
フィッシングとかねまあそういうのもあるんで
まあVPN機器からの侵入っていう表現はこれ絶妙だと思いましたね
脆弱性とは縛らずに書いてるっていうと
なんかほら最近もまたどっかのフォーラムにまたそれを似たようなさ
前にも見たような
あ出てましたね
出てましたね
VPN機器から取った
そこのベンダーも出せますよねリリース注意喚起をね
認証情報一覧みたいなのが出て日本の企業も含まれてますみたいな
なんかメディアも取り上げてたけどさ
一度当てたけど
盗まれた認証情報をリセットしてなかったらやられ続けるっていうね
ちゃんとセットで対策しましょう的なやつがありましたけど
まあちょっと詳しくは分かんないけど
そういう古いやつが残っていたとかっていうのが
そうですね
あったんだろうかね恐らくね
そうですそれを受けて
なんかいくつかこのレポートを受けて
ここが一番ニュース記事にもなるように取り沙汰されてたんですけども
テレワークなどのその普及を利用して侵入したと考えられるものが
今言ったこの2つを指して8割近くを占めているという表現がされてるんですね
このレポートの中でもこれを取り上げているニュース記事のタイトルでも
でもまあこれだけがこのテレワークが復旧したことだけが原因とは言えないかな
という気もしますけどねっていう僕は思いました
まあそうね
もともと使ってたやつに脆弱性が出てっていう
2018年の脆弱性とかもあったわけじゃないですか
実際
なのでまあこれをなんかコロナ禍だからテレワークだからっていうふうに
わーというのはちょっと言い過ぎかな過剰かなという気はしたけれども
テレワークになったことによって今まで気をつけてこなかったことを
ちゃんとしっかり気をつけましょうというメッセージとしては
注意すべきポイントではあるということを知らせたのはよかったかなと思いましたね
確かに
というふうなレポートになってたので
まあ大きくは自分の調べてたこととはぶれてないのかなっていうふうに思いつつ
このさっきの生々しい数字に関してはすごく貴重な情報だなと思ったので
まあ僕がこうやって喋るだけじゃなくて皆さんも自分の目で読んでいただいて
まあランサム以外のこともたくさん有益な
例えば標的型攻撃メールの事例とかも出ているので
ランサム以外も載ってる
ランサム以外もあるしむしろランサム以外の方が多い
多いからさ
そうだったそうだった
あとね一点でそのランサムウェアの記事の中で
あのリークサイト系のことを触れてて
スクリーンショットをそのサイト
リークサイトみたいなのを貼り付けてたんですけど
なぜかあのマルケットっていうサイトを貼り付けていて
レポートの中で
あれ自体はランサムのサイトじゃないので
51:00
ちょっと違うんじゃないかなと思いながらも
リークっちゃリークかと思いながら
気になったポイントとしてはありましたということです
という感じでございました
すごく読みごたえがありました
やっぱりあれだよね
そのこういうランサムウェアに限らないけど
その被害状況の実態ってさ
例えばそのセキュリティ企業とか
その被害企業から連絡もらって
ヘルプに入っているセキュリティ企業とか
直接対応してるところとか
あるいは警察とか
やっぱりその被害の実態が分かるところで
限られるので
そういうところが出してるレポートっていうのは
貴重だよねやっぱね
そうなんですよね
ならではかんというかね
そうだね
さっき言ったところとか
もうちょっと他の
多角的に他が言ってることと
なんで違うのかとか
あるいは同じなのかとかね
そういう分析をしてみると
いろいろ気づきがあるかもしれません
そうですね
ぜひ読んでいただければなと思います
ランサムウェア以外のところも読んでください
もちろん全部読んでください
日本語ですし
ということでございます
僕からは以上です
ありがとうございます
じゃあ最後にネギスさんお願いします
私最初に一つ訂正していいですか
はい
ちょっと前回取り上げたことで
一個ちょっと間違ったこと言ってまして
ほいほい
訂正したいんですけど
前回メリスボットネットっていう
新しいボットネットがあるよっていう紹介をして
マイクロティック製のルーターに感染してるようだと
いう話をしたんだけど
その時にどうも新しい脆弱性が使われたわけではなくて
そのベンダーはマイクロティックが言うには
2018年の脆弱性が残っているか
あるいはそのさっきのVPNの話じゃないけど
パッチは当てたんだけど
パッチを当てる前に
まあ認証情報抜かれていて
パスワード変更してなかったから
まあその後も引き続きやられてるっていう
そういうケースなんじゃないかみたいなことが
ベンダーから報告がありましたと
でそこでやめなければよかったんだけど
僕それに加えて
このマイクロティックの脆弱性って
はじめっていうボットネットが前に
感染拡大に使ってたんですよねって
いらんこと言ったんだけど
いらんこと言ったんですね
はい間違いでした
すいません訂正します
何だったんでしょうか
何でか間違えたかっていうと
元々のそのマイクロティックの
サポートページの報告には
2018年の脆弱性としか書いてなくて
僕はそれをてっきり
はじめの使ったやつと結びつきちゃったんだけど
実は2018年に使われた
マイクロティックの脆弱性って
54:00
もう一つ大きいのがあって
今回言ってたのは
そのもう一個の方でした
そうなんですよね
思い違いというか
こっちでなかったみたいな
早どちらというか勘違いで
で今週マイクロティックから
ブログが出たんだけども
そっちにはちゃんとCV番号が書いて
あって何だよっていう感じで
もう完全に僕の思い違いでした
じゃあそれはショーノートの方にリンクで
はい早どちらでした
大変申し訳ない
ちょっとツイートでも訂正しますって
出したんだけど
ポッドキャストでもちょっと間違ったこと
言っちゃったなと思って
ありがとうございます
なのではじめが使ってたのとは違っていて
2018年にもう一個大きな
ウィンボックスの脆弱性っていうのが
マイクロティックで見つかってるんだけど
それを使って
覚えてる人はちょっといないと思うんだけど
2018年の半ばぐらいに
この脆弱性で入賞情報が抜かれて
管理インターフェースが乗っ取られて
コインハイブ
なくなっちゃったけどさ
マイニングに使うやつスクリプトね
コインハイブのJavaScriptが
なんかエラーページとかに
大量に埋め込まれるっていう事件が発生
世界中で発生したんだけど
それで使われたやつ
ああ
はいでした
ということでちょっと訂正させてもらいます
ありがとうございました
失礼しました
ということで
改めて今週のネタなんですけど
今週はですね
オーマイゴッドっていう
OMYGODで
オーマイゴッドで引っ掛けてるんだけど
OMYGODっていう名前がついた
脆弱性の報告がありまして
これちょっと面白いというか
危険でもあるので
紹介したいんですけども
何かというと
OMYってね僕もほとんど使ったことないんで
全然中身知らないんだけど
OMY
オープンマネジメントインフラストラクチャーの略で
これマイクロソフトが提供してるんだけど
オープンソースで提供して
GitHubで公開されている
UNIX、Linux系の管理用のソフトウェアですね
Windowsだったらね
例えばあらかじめPowerShellのリモーティングとかさ
WMIとか管理用の豊富なインターフェースが揃ってるけども
それと似たようなことを
Linuxでもやろうぜというので開発されている
そういうソフトウェアに脆弱性が見つかりましたよ
っていうのをWiZっていうセキュリティ会社が報告をしていて
これパッチは今月とね
月齢のパッチでパチチュードでもう修正されたので
その修正に合わせて発見者が詳細を公開しました
そういう流れですと
で4つ脆弱性が報告されてるんだけど
そのうち3つは権限昇格で今日はちょっと省きます
でそのうちの一つが致命的なやつで
これがリモートから認証なしでコード実行ができるというやつ
57:03
これがやばいと
でこのOMIってね
もちろんスタンダードアローンというか
オンプレのいろんなサーバーでも使えるんだけど
AzureのLinuxのVMで使われているんだよね
でAzureでVMを管理するいろんなサービス
例えばログ管理のログ分析のサービスとか
いろんなサービスがあるんだけども
そういうサービスを使うと
実は知らない間に勝手にこのOMIってやつが
LinuxのVMにインストールされるということで
もしかしたらそのAzureのユーザーは知らないうちに
これ使ってる可能性が結構ありますね
ということで相当数のAzureのVMに
インストールされているであろうと
LinuxとかUnixのVMに入ってる可能性があるということで
やばそうな匂いがすごいですね
ちょっと危険ですねと
でただし影響を受けるかどうかっていうのは
2つポイントがあって
1つは今から新しく作るVMは
もう対応済みなので問題ありませんというのと
でじゃあ古いやつはどうかというと
サービスによっては使っているサービスによっては
何かエージェントが自動でアップデートされるらしいので
それはまあ使ってる人が
きっきりする必要はないと
でまずいのはマニュアルでアップデートが必要なサービスってのが
これがいくつかあって
これはちょっとマイクロソフトのアドバイザリーが出ているので
それを見てこれ手動でやらなきゃダメだってやつは
自分でアップデートしないと対応できないと
これが1つポイントですと
だから自動でアップデートがかかるか
かかんないかっていうところが1つと
でもう1個がこれはリモート管理のツールなんで
管理用のポートが外からアクセスできるかどうかっていうことね
でこれはVRMとかと同じポートを使ってるんで
ポートのTCPの5985と5986と
あとこの1270ってのは特殊なやつなのかな
OMIだけであってちょっと聞いたことないけど
この3つのポートがリモート管理で使われるらしいんで
これがインターネット側からアクセスできないようになっていれば
で通常はその管理ポートを外に開けるって必要は
普通はないはずだから
大半のVMは大丈夫なはず
基本的には外から見たら閉じてて当たり前みたいなポートってこと?
そうそう閉じてるのが普通なのでいいんだけど
一部は外から管理するために
わざわざ開けてるとかっていう場合が当然あるんだろう
そういう場合には外から一発ズドンって打たれちゃうとヤバいと
ポイントは2つね
だからポートが管理用のポートが外からアクセスできるかどうかっていうのと
エージェントが自動でちゃんと更新されるかどうかと
これは使ってるサービスとか使ってる環境によっては違うので
ご自身で確認しましょうということですね
あと脆弱性自体はこれも本当シンプルっていうか
1:00:01
今一発ズドンって言ったけど本当に一発ズドンでできちゃう
シンプルな脆弱性で
なおかつプルーフオブコンセプトのコードがGitHubとかであちこち公開されているのと
もう結構悪用語なんか確認されてる観測されてるって情報がちらほら出始めているんで
これはなるはやてがもう本当にすぐに対応しないとヤバいやつですね
なんかねこれ報告しているWiZってところが詳しいブログ書いてるんだけど
本来だったらこのリモート管理でアクセスするためには
HTTPでいわゆるベーシック認証ってやつで認証がかかるはずなのね
ところがなぜかそのベーシック認証ってオーソライザリズムヘッダーっていうのがHTTPのヘッダーでつくんだけど
なぜかこのヘッダーを除いてそれ以外は全く同じリクエストを投げると
コマンドがあら不思議ルートで実行されてしまうっていう
そんなことあんのみたいな
すごいですよね
びっくりだよね本当
えーっと思って
なんかすごい昔のソラリスのテルネットの脆弱性思い出す
そんなあったっけ
ちょっとだけそのテルネットコマンドをサイクしたメッセージを送ると
そのユーザーで何もなくプロンプト帰ってきて入れるっていう
ソラリス10かなんかのやつだったかな
ずいぶん昔で
なんかすごいエレガントな脆弱性ってデフコンかなんかで表彰されてましたけどね
いや今回のもこれはよく気づいたなというか今までよくこれで
よく見つけましたね
よくこれで大丈夫だったなっていうか
まさかヘッダーなかったらオーソナリゼーションが必要っていうか認証が必要ですよって
エラーが返ってくるのが普通だけど
そのままコマンドはしかもルートで実行されちゃうっていうね
もうまさにオーマイゴートって感じだよね
だって4つの脆弱性があってとかっていうふうに聞くと
合わせ技でいけんのかなと思ったら他の3つ
霞むぐらいの1個すげーやつみたいな感じだったんだけど
ほんとに他の3つも重要は重要だけど
リモートから認証なしでルートでコマンドが実行できるって本当にもうヤバいので
これ以上はないですもんね
はい特にこれに注意って感じですね
なので攻撃がすごいシンプルで
PoCもあるしPoCがなくてもプロクシーとかでヘッダー削ってだけで誰でも攻撃できちゃうし
そうですね攻撃コードいらないですよね
本当に攻撃が簡単なんで悪用が容易なので
そんなにさっき言った条件に当てはまるヤバいやつってのはそんなにないんじゃないかと思うんだけど
1:03:03
念のためもちろんAzure以外でねそのOMIを自分でイリストロして使ってて
そのサーバーがインターネットからアクセスできるみたいな
そういう人はちょっとなかなか既得の人いないと思うけど
該当する人はちょっと注意してねというそんなご紹介でございます
いやなんかこの話を聞いててこの話特有ではないと思いますけど
ちょっと時代変わったなっていうのを改めて思いましたね
それはどの辺から
昔とかはこれに脆弱性が出たとかこれヤバそうやぞみたいな感じで調べる時って
そういうエクスプロイトコード扱ってるサイトを見たりとか
あとはそういうそういう毛色のメーリングリストとかを見てたんですよね
あーはいはいはい
昔だったらバグトラックとか
そうそうそうそうバグトラックとかね
セキュリティフォーカスとかフルディスクロージャーとか
あとはパケットストームとか
パケットストームはいはい
そうそうそういうのあったけど今はねもうなんかジットで公開されて
それをSNSで広めるみたいな
なんかちょっと変わった感あるな
なんかPOC会でギター部に挙げてさ
でツイッターでつぶやく人かっていう人結構いるよね
そうそうそうそうだからよりスピード感が上がってる感じはしますよね
そうなんだよね今回のもね
これパッチキューズでに合わせて公開されてるんで
日本時間の水曜日にこのブログが出て
もうすぐPOCのコードが出て
でその後すぐ悪用がもう観測されてますって
ツイッターとかで報告が出始めたんで
まぁあの今回ね本当にシンプルな攻撃ってちょっと
あの特殊な例かもしれないけど
なんかその辺のスピード感怖いよねちょっとね
そうなんですよねなんか前回ねカンゴさんが紹介してくれた
40444の脆弱性も
あー40444ね
ジットで出てましたよね
エクスプレートがね
なんでそんな444ばかりの2人は
前回のタイトルのヤンバラヤンヤンヤンが
外から来てるっていうのがバレてしまうでしょそんな風報
すぐバレるっていうのそんなの
あれでも語呂がいいよね40444は
そうですよねちょっと覚えやすい
覚えやすい
気をつけてくれっていうのに言いやすいかなみたいな
これも注意が必要ですね
まず自分で入ってるか分かってないかもしれない人がいるっていうのが
やっぱりこうなんか気持ち悪いですよね
管理用のこういうツールって知らないところで
うまく使えてれば便利でいいけどさ
ユーザーが意識しなくてもっていうのがあるけど
脆弱性が見つかった時に怖いよね
あれ俺使ってたっけみたいなね
そこからまず確認しないといけなくなっちゃう
そうなんだよね
それで抜けてしまったらやられ続けるみたいな
目も当てられないことになる可能性もありますからね
そうなんだよね今回のやつ怖いのはね
さっき外に開けてるやつなんかないよねって言ったけども
例えばたくさんAzureの環境で使ってて
1:06:03
その中のたった1台でも外に開いてたら
そこから中に入り放題になっちゃうんで
そうですよね
だからちょっとね網羅的にチェックしたほうがいいんでこれはね
はい
久しぶりにこうシンプルかつエレガントな
そうですよね
やばいやつ見ました
ありがとうございます
はい
ということで今日も3つのお話をしましたけれども
最後にじゃあおすすめのあれでございます
お願いします
今回ですね紹介するのは
食べ物なんですけども今回も
前回続いて
はい前回続いて今回紹介するのは
餃子の満州っていう
あれ?
なんか似たような
あれ?あれ?出ちゃう?これ
前回何でしたっけ
前回餃子のまあなんとか
丸岡
あーそうだった
餃子のまあまでは一緒なんですよ
確かに
これねあれですよ
お便りで紹介してなかった
ここで紹介しようと思ったのに紹介しなかったんですけど
おすすめのあれで餃子の丸岡が取り上げられててびっくりしましたと
この方の奥さんが宮崎出身らしくて
美味しいとは聞いていたけども
まだ食べたことがないと
なるほど
でこの方は地元が埼玉らしくて
その地元埼玉の餃子の満州もぜひ食べてもらいたいという風に
ハッシュタグつけてお便りを
リスナーからのおすすめなんですね
そうですそうです
いいですねそれは
このツイートを見た瞬間僕も速攻でこれ注文して
60個やったっけ
マジか早えなスピード感あるなスピード感
何個か忘れたけど
頼んでみたんですよ
鶴さんは知ってたの?
名前は知ってましたよ
餃子色々調べた時に検索に出てくるんですよ
じゃあそのうちの地元ではっていうケースをしてるけど
全然地元以外でも有名なやつなんだね
そうそうそう検索すれば乗ってくる
いくつか出てくる中の一つにエントリーされがちみたいなので
そうなんですか
そうなんですよ
それでこのツイートを僕ほらセキュリティのあれのハッシュタグを監視してるので
監視ってなんか怖いな
ティーソックではそれを監視しておりますので
アラートがあった?
プルルルって言ってましたよ
ツイートデックっていう監視ソフトがあるんですけど
プルルルって言ってましたよね
それで見つけた瞬間もすぐ注文
マジで自動発注
そこまではまだ自動化されてない
まだAIになってないんですけども
それですぐ注文して今日の午前中に届きまして
今日を焼いて食べました
よかったね
1:09:00
前のマルオカさんは1ヶ月待ちとか
すぐ来ました
よかったねそれは
よかったですよかったです
で食べたんですけど
とりあえずなんかお勧めさせていただいてるんで
前見た通り餃子切らない人いないって僕言ったじゃないですか
この餃子口に合わないって基本ないと思ってるから
で頼んでみたんですよ
どんなんかなってよく分からないまま写真だけ見て
頼んでみたんですよ
口コミとかもなんか色々検索して出てくるから
美味しいんだろうなと思って頼んでみて
開けたら餃子の皮って
特徴が色々出してるメーカーによって色々あって
分厚いのと薄いのって分かれるんですよね
餃子そのものも大きい小さいとか
一口餃子とかもあったりするんで
あるんですけどここのは結構ボリューミーで
どちらかというと丸岡と比べたらもっちりしてるんです皮が
でもっちりしてる系のやつって
僕結構避けちゃうんです経験しがちだったんです今まで
なんかちょっと中身
餃子のあんのところを楽しみたいって気持ちが結構好みとしてあって
これ分厚めのやつやなと思って
皮の主張があんまりない方が好みだったと
パリパリっとしてる薄いみたいなやつが結構好んで食べてたんですけど
今回これ食べてありやなって思いましたね
もっちりも美味しいよね
もっちりしてて中身そうでもないみたいな
味気ない餃子を昔食べたことあるんですよ
あんまりやなみたいな感じで思ったその時ね
まずくはないけど
それ以来結構敬遠してたんですけど
今日これ食べてもっちりしてるのもありやなと思って
薄い餃子が食べたいなと思う時には
皮が丸岡でがっつりしっかりしたものを食べたいなって思ったら
今後この餃子のマンシュを注文しようかなと思いました
なるほど
好みに合わせてどっちもいけると思うし
丸岡が中々注文してから経編から
食べ比べたいなと思いましたね並べて
なるほどね
10個ずつぐらいとか食べたいなとかって思いましたけど
結構しっかりがっつりいける感じで
美味しかったですね
いいっすね
なので丸岡がちょっと時間かかりすぎやしっていうのとか
あと厚めのもっちりしたの方が好みですっていう方は
先にマンシュを楽しんでみてもいいんじゃないかなと思いました
丸岡さんが届くまではまずマンシュさんで楽しむ
餃子系ポッドキャストとしてはですね
なるほど
楽しみ方がいいんじゃないかな
餃子をどんどんご紹介ください
どっちの方向に行くことしてんだろうねこのポッドキャストは
もう来週は多分餃子
もうちょっとおすすめの餃子をおすすめしていただいても
来週はさすがに無理です
餃子ってねいっぱいあるよね
最近ほら会社行ってないからさ全然行けてないんだけど
僕会社が井田橋にあるじゃない
よくちょっと遠出してっていうか
1:12:00
歩いて10分15分のところにあるランチでよく行くんだけどさ
そこに餃子の美味しいお店が1軒あって
そうなんですね
そこはねいろんな皮といろんな味の餃子が
何種類もまとめて食べられるっていうランチセットが
お得なセットがあってさ
それはエビとかそういうやつ
あと皮が何が入ってるのかな
いろんな種類の皮が入ってる
色んな彩りの皮とかあったりしますよね
色も違う黒っぽいのとか緑っぽいのとか
皮ごとにもちろん材料が違うし
味も全部違ってて
なんかやっぱね餃子って奥深いよね
いろいろある
いやそうですよ本当に
なんか行ってたら食べたくなってきたな
じゃあ餃子の満州注文
餃子の満州か
あれだなお取り寄せも美味しそうだけど
やっぱどっかお店で食べたいな
確かにね確かにそれはある
やっぱ焼き加減とかね
そうそうお店でね焼きたて
はいはいはいはい
なんかそこでそのお店で食べるとか
なんかそこで買ってそのままそこで食べるとかもしたいな
買い食いみたいな
あーいいね
買い食い好きなんで僕結構
はいはい
はいという感じなんで
はいありがとうございます
はいということで今日も3つと
おすすめのあれを紹介しました
ということでまた来週のお楽しみです
バイバイ
バイバイ
01:13:25

コメント

スクロール