1. セキュリティのアレ
  2. 第203回 呼ばれてへんねん!ス..
2023-12-04 58:30

第203回 呼ばれてへんねん!スペシャル!

Tweet・「現代用語の基礎知識」選 ユーキャン 新語・流行語大賞 ・AlphV files an SEC c[...]

The post 第203回 呼ばれてへんねん!スペシャル! first appeared on podcast - #セキュリティのアレ.

サマリー

受賞式のようなものがあります。私たちは呼ばれていません。流行語大賞をついに受賞しましたが、私たちは呼ばれていません。ブラックキャットは金融機関から情報を盗み、脅迫をするという異例の方法によるセキュリティインシデントが起きました。通常、ブラックキャットは暗号化や金銭の要求をするのですが、今回は苦情を訴える形で脅迫がありました。また、法的義務を満たしていないことも問題視されています。ESETのセキュリティアドバイザーが実験を行い、AIによる音声クローニングを使用してCEOを騙すことができることを確認しました。個人情報の乗っ取りや詐欺の増加に対しては、業務プロセスと技術的な対策を組み合わせた対策が必要です。アメリカで起きたサイバー攻撃の裁判では、ヘルスケア業界向けのネットワークセキュリティサービスを提供している企業の元COOが起訴され、自社のサービスを宣伝するために行った攻撃内容や被害の概要が明らかになりました。被告は罪を認め、裁判所は来年2月に最終的な判決を下す予定です。セキュリティ業界では内部犯行や攻撃手法に関する話題が取り上げられています。企業内の人間がセキュリティを破るケースやセキュリティ業界の闇の部分について言及されました。さらに、企業全体での対策や注意が必要であることが強調されました。今回のエピソードでは、オカリナとトータルテンボスのキツネ日和について話しました。彼らの順調なブレイクを祈っています。

呼ばれてへんねん!どこに?
スピーカー 2
呼ばれてへんねん!どこに?
スピーカー 1
受賞式みたいなやつ。呼ばれてへんねん。
スピーカー 2
なんかあったっけ?
スピーカー 1
流行語大賞。
スピーカー 2
あー、とったねついに我々。
ついに我々とってしまいましたね。
スピーカー 1
年間大賞をとったのにさ、呼ばれてへんねん。
スピーカー 2
そうなの?一応この3人の代表としては、ついさまのとこに連絡が来るはずでは。
だいたい一応表彰状とか以前、総務大臣にいただいたときも代表してもらってたりとかしてたじゃないですか。
一応大会的には代表ということになってますから。
スピーカー 1
呼ばれてへんねん。
スピーカー 2
呼ばれてないの?おかしいね。
スピーカー 3
名学メールとかに入ってない。
スピーカー 1
そうか、そのパターンがあんのか。
そんなしょぼいメールで来んの?
もちろんね、35年ぶりの日本一ですから。
僕が昔、バースとか行ってたときに僕も一緒に喜んだ35年ぶりの日本一なんですよ。
スピーカー 2
あれ以来なの?カケフ、バース、岡田がいた頃?
スピーカー 1
そうそうそうそう。
スピーカー 2
あれ以来なのか。
スピーカー 1
優勝はしてるんですけど、ロッテに阻まれたりとかいろいろあって。
日本一っていうのは35年ぶりなんで、半身タイガースおめでとうございますっていうのもあるんですけど。
半身タイガースのあれなんていうのはどこにも書いてないじゃないですか。
そうね。
だから生きとし生けるあれに対して、お前らもあれって言うんやなみたいなのもあってもいいんじゃないかと。
スピーカー 2
確かに。
スピーカー 1
セキュリティであれといえばウチでしょ?
スピーカー 2
まあ他にはないよな。
スピーカー 1
ないと思うんですよ、多分。
だったらちょっとニアピン賞みたいな。
スピーカー 2
なんかあれだよね、日本全国どれくらいあれっていうのがあるのか知らないけどさ、まとめてお祝いしてほしいよな。
スピーカー 1
そうなんですよ。お前もあれ?あなたもですか?いや私もなんですよみたいな感じの。
スピーカー 2
日本全国のあれを集めてほしいよな。
スピーカー 1
そうそうそう。こういうあれもありますみたいな感じでさ、あれの和みたいなものを広げてもらえてもいいんじゃないかっていうので。
35年ぶり日本一ってすごく強いワードなんで、対象取るやろうと思ってたんですよ僕も。
だからなんかの時のためにね、出ていけるようにはしてたんですけど。
スピーカー 2
いつでも準備OK。
スピーカー 1
いつもよりも多めにツイッターのXのメンションとかDMチェックするとか。
そういう頻度も上がってたんですけど、うんともすんともにんともかんともですよね。
スピーカー 2
いやいやまだこれからかもしれないよ。
スピーカー 1
まあでもそのあれの対象というのもあって、やたらとお便りがおめでとうございますで埋まってるっていうのがおもろいな。
スピーカー 2
ちょっと一旦みんな落ち着こう。
スピーカー 1
おめでとうございますの宛先間違えてると思う。
スピーカー 2
おもろすぎるなそれ。
スピーカー 1
そうそうそうなんですよね。
そんな困難もありつつも、やっと僕もね、ステッカーくださいという場面に遭遇することができまして。
スピーカー 3
ついに来ました。
スピーカー 1
この間ね、学生向けにイベントで喋ってきまして。
JMSAってあるじゃないですか。
それの学生向けで、しかもそのセキュリティのことをよくわからん。
セキュリティなんもわからんみたいなイベントタイトルなんですよ。
そういう人集まれみたいな。
スピーカー 2
なるほどなるほど。そういう人にぜひセキュリティ業界に来てもらおうってことだよね。
スピーカー 1
そうそうそうコンセプト自体はやっぱり学生向けのイベントをやってもどうしてもそれが悪いわけではもちろんないんですけど。
やっぱり詳しい人とかもうすでに関心を持ってる人とか。
場合によってはCTFとかにも参加しつつ就職活動に活かしたいみたいな方がどうしても集まるので、全体のパイが増えづらいんじゃないかっていうことから。
スピーカー 2
なるほど。
スピーカー 1
そういう興味がない方にもこういうものがあるんだっていうのに、いわゆる興味を持ってもらうためにね。
スピーカー 2
大事だよね。
スピーカー 1
そのを広げましょうみたいな。
スピーカー 2
まあね、生的に人材は不足してるっていう話だからね。
スピーカー 1
そうそうそう。そういうイベントで話をしてきたら、聞いてる方もいらっしゃいまして中には。
スピーカー 2
学生さんで。
スピーカー 1
なんかそのセキュリティのあれを聞いてて、その僕のツイッターXでこれ話しますみたいなのを見てきましたって人もいて。
スピーカー 2
なるほど。じゃああれがそれに貢献してるわけだ。
スピーカー 1
そういうのもありつつ、あとスタッフの方ですね。JNSAに加盟している組織の会社の方々の中に何人かあれ勢がいらっしゃいまして。
スピーカー 2
もちろんそれも嬉しいけど、若い学生の方で聞いててくれる人がいるっていうのはより嬉しいな。
スピーカー 1
そうそうそうそう。そこで4セットかぐらい4,5セット渡してきました。
スピーカー 2
やったじゃん。念願達成しましたね。
スピーカー 1
そう結構ね、どうですかね。ネギスさんは結構イベントとかリアル開催みたいなイベントとかでね。
あれ聞いてます?みたいな感じで話しかけてくださる方もいらっしゃるじゃないですか。
スピーカー 2
たくさんいる。
スピーカー 1
その時にさ、ステッカーくださいって言われる?
スピーカー 2
いや、言われない言われない。
スピーカー 1
やっぱそうなんすよね。
スピーカー 2
多分ね遠慮があるっていうか、これもらえるのかどうなのかなっていうのがあると思うんで。
だから言いにくいだろうから、こっちからごめん今日持ってきてないんだって言って期待してたら悪いからさ。
ステッカー持ってきてないんですよごめんなさいね。てつやさんが持ってるんですよねって言ったら、
ああそうなんですか。ひょっとしたらもらえるかなと思ったんですって大体言われるから。
スピーカー 1
僕もそうで、今回も全員そうだったんですけど。
あれ聞いてます?とかあれでお便り読んでもらった誰々なんです?って言って自分の名刺だとかさ、
スピーカー 2
首からぶら下げてるバッジ?
スピーカー 1
ああいうのに自分のTwitterアイコンとか印刷される方もいるじゃないですか。
そういうのを見せてくださって、いつもありがとうございますみたいな話はするんですけど、ステッカーくださいっていうのを今回も言われなくて。
なんでステッカー持ってるんでもらってくれませんか?って言ったら、いいんですか?みたいな。
スピーカー 2
いいんですよ全然。
まあでもひょっとしたら言いづらいのかもしれないよね。
スピーカー 1
確かにね、物をもらうっていうのってね、やっぱり自分から言いにくいっていうのもあるのかな。
だから自分から僕は言うようにしてるんですけどね。できるだけ。
スピーカー 2
ネギスさんもそうでしたか。
スピーカー 1
いやでもよかったわ。こうしてるとね、結構聞いてる方がいらっしゃるんでね。
スピーカー 2
嬉しいよね。
スピーカー 3
そうそう4セット配ったんでね、リスナーは4人だったということでよかった。
1人増えましたね。
スピーカー 1
1人増えた。
そうなんですよね。
多分そのリアルでネギスさんにね、お会いして聞いてますって言った方が来られてたんだと思う。
スピーカー 3
ああそうなったわけね。
狭いなあ。
スピーカー 2
ついさんにも会いに行かなきゃもらえないのかみたいな。
スピーカー 1
ついさんイベント出るから行っとこうみたいな感じで。
結構色々あの回が良かったとかね、普段どうやってネタ探しされてるんですかとか、いつも毎週やっててすごいですねとかね、色んな感想を。
やっぱりテキストでやりとりするより会話の方が情報量多いじゃないですか。
スピーカー 2
そうだよね。ちょっと話弾んだりするもんね。
スピーカー 1
だから色々話を聞けたりとかして、コミュニケーションできてよかったなっていうね。
スピーカー 2
僕も大体何をきっかけで聞き始めたのっていうのを聞くことにしてて、結構みんな意外なところから何か勧められましたみたいな話が聞けて嬉しいよね。
スピーカー 1
そうですね。それとかあとは人に勧められてもあるし、逆に勧めて上司も聞いてますとか。
スピーカー 2
ああそういうのもいいよね。嬉しいね。
スピーカー 1
そういう話も教えていただけて嬉しいなっていうふうに思ったりもしますけどね。
スピーカー 2
ありがとうございます。
スピーカー 1
はい、ということで今週もお便りが来ておりまして。
スピーカー 2
お願いします。
スピーカー 1
今回読むのは2つぐらいかなという感じなんですけれども、
私をアレ勢にしたアレ勢の上司が、承認祝いにということでおすすめのアレをくれましたと。
スピーカー 2
僕が紹介したのはクレイジーソルトのナッツ。
スピーカー 1
会社の勉強会のお供にみんなでいただきましたアレのお三方とアレ勢の上司への感謝を込めて投稿させていただきますということで。
スピーカー 2
会社の中でそういう輪が広がっているの嬉しいね。
スピーカー 1
なんかちょっとハートウォーミングだね。
スピーカー 2
ちょっと今度呼んで欲しいわ、そういうところに。
それもそうですけどね、承認祝いおめでとうございます。
確かにそうだね。おめでとうございます。
いいですね。
スピーカー 3
わかんないけど、アレがちょっとでも役に立っていれば嬉しいですね。
アレがね、もしかしたら昇格要件に入ってたかもしれないですね。
スピーカー 2
そうそう。
スピーカー 1
アレを聞いていることみたいな。
スピーカー 2
それはいいかもしれない。
スピーカー 1
でもなんかあれですよね、昔、今とかさあんまり趣味とかやることも多種多様になっているからテレビとかみんなが同じものを見てるっていうのはないやん、最近。
スピーカー 2
そうだね。
スピーカー 1
減ったというかね、やっぱりその多様性というか感じで。
なんでね、こういう会社とか学校とかに行って昨日のアレ見た?みたいな会話って減ってんちゃうかなと思うんで。
確かにそうかもね。
仕事のジャンルがある程度絞られることによって、見るコンテンツで共通のものがあるっていうのはいいことかなと思いましたね。
スピーカー 2
確かに共通の話題が必ずあるっていうのは。
スピーカー 1
自分はこう思うとかね、俺はこう思う、ああでもない、こうでもないみたいな話に発展すればね、その内容とかもまたお便りいただけると嬉しいなと。
スピーカー 2
ぜひお待ちしております。
スピーカー 1
ということでございます。
ありがとうございます。
アレ勢のおすすめケア方法
スピーカー 1
もう一つですね、我々今週、ITメディアのセキュリティウィーク2023冬、出ましたね。
スピーカー 2
出てきましたね。
スピーカー 1
それを見て、僕を見てのお便りが来ておりまして、辻さんの肌ツヤがすごく良かったんですが、どんなケアをしておられるんだろうという。
スピーカー 2
内容は内容。
スピーカー 3
今に関してではないと。
スピーカー 1
僕の喋った内容については一切何もなかったかもしれない。
スピーカー 2
見た目かいみたいな。
スピーカー 1
どんなケアしてるって、僕普通にスキンケアはずっと26くらいから同じのずっと使ってて、26歳頃から。
スピーカー 2
なんかでもいろいろ気をつけてやってるよね辻さんはね。
スピーカー 1
そうですね、あとはあれですかね、顔に塗りたくったりするっていうのもあるかもしれないですけど、一番気をつけてるのはできる限り毎回お風呂に入るときにはシャワーで済ませないってことかな。
スピーカー 2
湯船に浸かるってことね。
必ず湯船に浸かって、いつもセミナーだとか出かける前には家を出る時間の2時間前に必ず起きて、そっから湯船に浸かるっていうのを必ずしてる。
ゆっくりめに。
ルーチンみたいなこと前言ってたよね。
スピーカー 1
そうそう湯船に浸かって起きてからどんなニュースあったのかなとかメール来てるかなとかそういう通知関連全部処理しながら肩まで浸かってみたいな。
その間に終わったら頭洗って体洗ってみたいな感じにするっていうのは欠かさず昔からですねこれは。
東京出てきてからユニットバスとかで住んでたワンルームの時から。
スピーカー 2
ワンルームってなかなかユニットバスだったらシャワーで済ますこと多いじゃないですか。
スピーカー 1
狭いし洗い場もないからさ。
だからさっと済ます。その頃から狭いながらもちゃんと湯船に浸かるっていうのを心がけてきてたんですよ。
それが効いてるのかな。適度に運動とか出る時間の確保かな。基本的なことだと思いますよ。
スピーカー 2
確かに健康的であるようにいろいろやってるってことですね。
スピーカー 1
そうですね。もしリアルにお会いすることがあったらこと細かに。
どこの製品使ってるとかここで言うこともあれなんで。
もしお会いすることがあれば全然包み隠さず全部お答えするんで聞いていただければなと。
スピーカー 2
基本が大事ってことですからセキュリティも一緒。
スピーカー 1
ということでございます。こんなところまで見てくれてるっていうのはありがたいなと感じはしますね。
じゃあということで今日もセキュリティのお話をしていこうかと思います。
スピーカー 3
今日のセキュリティのあれは辻信宏と辻信宏以外でお送りしていこうかなと。
スピーカー 1
ということで僕から聞こうかなと。
今回もいつものごとくランサム関連ですね。
ランサムそのものというよりはという話ではあるんですけれども
ブラックキャットですね。
ランサムグループもかなりも老舗の部類に入ってきてるかなという感じがあると思うんですけども
このブラックキャットがですね先月11月の7日に金融機関とかそういったところで
ブラックキャットによる異例の脅迫方法
スピーカー 1
サーズのプラットフォーム提供しているメリディアンリンクっていうところから情報を盗んで脅迫をしたということがあってですね。
この脅迫の仕方というかそのリークの仕方というかそういったものがちょっと今までにあまりなかったものだということで取り上げたいなと思うんですけれども
これはこの事件があった時にリークサイトに掲載された時に
データブリーチドットネットっていうサイトがこのサイトも結構昔からありますけれども
そこがブラックキャットに対してインタビューをしているんですよね。
そのインタビューによるとブラックキャットにしたら珍しいのかな
これはデータの暗号化はしてないというふうに言ってて
いわゆるノーウェアランサムですよね。
スピーカー 2
盗むだけってことね。
スピーカー 1
リークサイトの掲載後にブラックキャットが言うには
侵入してるから侵入方法とかわかってるんで
外から見て彼らはわかるんだと思うんですけど
今回の攻撃に用いた手法に対応するようなパッチを当てるなり設定変更するなりみたいなことを
メディアンリンクは特にしっかり連絡してくるわけなく
連絡に関しては一応メディアンリンクの誰かはわかれへんけれども
リークサイトを通じて連絡をしてきたっぽいんですよね。
ただ特にいくら払えばいいんですかとか
証拠あんのかとかそういうふうなことも
特に何の交渉に関わるようなものではなく
自分らがオフラインなんでちょっと連絡できへんみたいなことだけ伝えられて
苦情申請とSECへの報告
スピーカー 1
おとさたがなくなってるみたいな感じだったそうなんですよ。
何のために連絡したかちょっとよくわからないなっていうのもあるんですけれども
その情報のリークの公開の仕方ってところがちょっと今までとちゃうっていうふうに
言いましたけれども
今回はリークサイトに掲載したときに
だいたいリミット決めてくるんですよね
いついつまでに払えよみたいな
で24時間以内に身のしろ金払えへんかったら
盗んだデータ流出させんぞっていうふうにリークサイトに出したんですよね
これからも特に何かメリディアンリンクからリアクションがなかったんでしょうね
その後ブラックキャットはですね
アメリカの証券取引委員会SECっていうのかな略して
のところに苦情、いわゆるチクリですよね
データ侵害が起きてるぞっていうふうなことを苦情を申し出るという方法に出ましたと
スピーカー 3
自分でやっといて言ったと
スピーカー 1
そうそうそうそう
おそらくこれ多分このパターンって初めてなんじゃないかなというふうに思うんですけど
リークサイトにはその苦情の申請をしたときに
ウェブサイトから申請できるんですけど
スクショを掲載するというふうなもんですね
苦情の内容とかカテゴリーとかっていうのがあるんですけど
苦情の内容に関しては公的提出書類とか財務書票における重要な虚偽記述や提出漏れがあるというふうに挙げてて
カテゴリーは報告書の未提出だと
内容に関しては自分たちが攻撃をして
セキュリティーインシデントが発生しているにもかかわらず
顧客のデータとか業務情報とかを危険にさらすような
いわゆる重大な理由に当てはまる情報漏洩のはずなのに
フォーム8Kっていうのがあってその項目の中に1.05っていうのがあって
こういう重要な事件があったときに報告しなあかん
開示義務がありますてっていうふうなものがあるんですよね
それを4営業日以内に提出しましょうってことが書かれてあるんですけれども
それをしていないんですここの会社はっていうふうに
脅迫のパターンの多様化
スピーカー 1
ブラックキャットが苦情の申し立てをすると
このフォーム8Kのアイテム1.05っていうふうなのがあるんですけど
これはどんなものかで調べていただければ分かるんですけど
簡単に言うと事件が起きたらちゃんと4営業日以内に
上場企業はそのインシデントが重要であると判断された場合には
報告しましょうというふうなことを定められたものがあるんですよね
そういったことを踏まえて先ほどブラックキャットにインタビューをした
databreach.netがですね
メルディアンリンクに問い合わせをしてるんですよ
結構ブリーピングコンピューターとかも結構被害組織とかに問い合わせて
大抵の場合は応答はありませんみたいなことで締められてるケース結構
スピーカー 3
書かれてますね
スピーカー 1
多いかなと思うんですけどそれに関してはきちんと答えててですね
言ってることっていくつかあるんですけども
発生したインシデントは確認されてて発見と同時に
封じ込めをきちんと第三者の専門家チームに依頼しつつ
調査を進めている中で今のところはこういった生産している
プラットフォームへの不正アクセスの証拠はないと
インシデントによる事業の中断も最小限に留まっているので
調査中のことであるためこれ以上は詳しくは言えません
っていうふうなことを答えた後にもう1回ちょっとこの情報の
更新があってですね自分たちは法律の専門家ではないけれども
SECのこの新しい報告しないといけないっていうやつ
いうのは12月15日までは発行しないと
まだ施行されてないみたいなものなので
スピーカー 2
ちょうど今新しいルールが適用されるタイミングだよね
スピーカー 1
そうそうずっと前に挙げられて結局
パブコメみたいなものがあってさあそろそろみたいなのが今のタイミングなんですよね
そうだよねそうそうなのでこの厳密に言うとこのさっき言ったやつに関しては
15日以降に終了する会計年度の
年次報告書から始めるっていうことなんで今は当てはまらないと
いうふうなカウンターというか
ブラックキャットも早栃りみたいなことをしたのかなっていう
スピーカー 2
周りはもしかしたら分かってた上でやったのかもしれないけどね
スピーカー 1
そうそうこういうふうに目立つことに意味があったのかもしれないので
ちなみにこれ不思議なことなんですが理由はわからないんですけど
11月僕の取ってるログを見てると11月の21日を
最後にメリディアンリンクのリークはリークサイトから消えてます
そうなんだはい見つからなかったですね
ロゴにもなかったんで最後にログで確認できてたのが
11月21日になってて検索しても出てこなくなってるんですよね
ちょっとわからないんですけれども今回こういったことを受けて
脅迫のパターンっていろいろあるなと思うし
増えてきてるなっていうふうな感じがちょっとしてですね
脅迫の仕方というか攻め方煽り方焦らせ方みたいな
大体の場合は暗号化して金払え
情報公開されたくなかったら金払えということに付随して
情報公開みたいなやつとかあとDロスとかもありますし
あんまりメジャーちゃいますけど関係者へ連絡するというケースもありますよね
スピーカー 2
あーあるねあなたの情報漏れてますよみたいな中ね
スピーカー 1
そうそうそう学校とかやったら親御さんに連絡してね
子供さんの情報が公開されたくなかったら払うように
学校に言ってくれやみたいな連絡をしてくるみたいなものとか
あとブラックキャットもやってましたし一番初めにやり始めたのは
あんまり活動見られないサンクリプトっていうグループが
GDPRの罰金と天秤にかけさせて
身の白金の方が安いですねみたいな
身の白金の10倍払うんかみたいなことを言うっていうのがありましたよね
そうそうそうそういう風なものとかもあってちょっと増えてきてるかなっていうのが
いろんなパターンが出てきてるなって思考錯誤しつつみたいな
今回もさっきネギルさん言ったみたいにブラックキャットは
分かっててそういう風なことをやったんちゃうかっていう風に僕もちょっと思ったんですよね
今度は調べたら分かることじゃないですか
もしかするとこういう風なことで自分たちの宣伝っていうのもありつつ
あとはそれを出すことによって
こういうのを出しますよっていう風に例えば誰かに言って
株価に影響すれば人儲けできる可能性もあるじゃないですか
ああなるほど
ある程度下がる要素が見えてるって結構買う側からすると売る側からすると
メリットになる場合も中にもありますよね
っていう風に見たんですけどそんなに株価にもそんなさほど影響してなかったんですよね
なんやともうちょっと言ったら今上がってるみたいな
感じではあるんでこれも試行錯誤してる中なのかもしれませんけれども
そういう要素があるよっていう風に言うだけで
それもお金に変えられる情報かなと思うんでね
なのでこの全体を通じて思ったのは
いろんな方法あるなという風には思ったんですけども
僕も含め情報共有って大事やみたいな取り組み
ここ数年結構国も言い始めてるじゃないですか
そこで出してもらうためには人間の行動を変えるのはやっぱり
飴と鞭っていうのが一番早いと思うんですよね
飴ってなかなか無理じゃないですか
何か対価を払うってなかなか難しいと思うんですけども
そうなってくるとやっぱりちゃんとやれへんかった
是正措置をせえへんかったから何個の罰金とか
いわゆる罰則を設けさせるか義務化させるかみたいな動きになりがちだと思うんですよ
でもそういう風なことをやるときに
こういう悪用の方法としてこういうのを持ってこられるっていうことを
スピーカー 2
忘れたらあかんなっていうのはちょっと思いました
っていうところでございますね今回は
確かにこういう使われ方は多分ルールを決めた人たちは
スピーカー 1
想定してなかったんじゃないかという気はするよね
そうなんですよねこういうのも考えなあかんなっていう風に思いました
スピーカー 2
確かに理想的には罰則があるから
そうならないためにいやいや仕方なくやるとかっていうよりは
自主的に罰則なくてもやれる方が望ましい
スピーカー 1
罰則なくてもやれる方が望ましいとはいえ
スピーカー 2
ただ今言ったみたいにそういうインセンティブが特にないから
プラスないのにやっても何のメリットもなかったら普通やんないからね
そうなっちゃうのは仕方ないかなっていうのはあるよね
スピーカー 1
そうですね自分もそういう共有に関する意見とかを
求められることも仕事を通じてあるので
その辺こういう観点も気をつけなあかんなっていう学びがありました
スピーカー 2
わかんないけど今回のランサムウェアのアクターのやり方っていうかさ
払うところは多分暗号化だろうが情報の摂取による脅迫だろうが
払うんだと思うんだけど払わないところは
放っといたら多分払わないから
とにかくいろんなことをやってみて
1件でも2件でも払ってくれるところが増えたら儲けものっていうかさ
特にアクター側からしたら別にやってもそんなに損はないし
こんな申立てしたくらいで別に大したコストもかかんないから
スピーカー 1
そうですねポチポチするだけですしね
スピーカー 2
だからそういうのもあるかもね
さっきのDDoS攻撃だったりこういう申立てだったり
あるいは関係者にチクるとかっていうのもそんなにコストかかんないで
ひょっとしたら主力金が払ってもらえるかもしれない可能性が
スピーカー 1
ちょっとでも高まるんだったらやる価値は彼らからしたらあるかなという感じだよね
スピーカー 2
そうなっちゃうと多分いくらでも元にかからずにやれる脅迫方法って
いくらでもありそうだからそれはちょっと厄介だよね
厄介だけどどうなんだろうねこれで払うところってあんまりないような気もするけどな
スピーカー 1
そもそも情報摂取だけで払うっていうのってあんま当てにできないじゃないですか
スピーカー 2
そもそも確率的にあんまり高そうじゃないっていうかね
スピーカー 1
そうそう業務に影響しづらいというか業務が止まるとかはないじゃないですか
盗むだけだったらあんまり
スピーカー 2
あと盗まれたものを払ったところで保証がないっていうかさ
スピーカー 1
消したっていう保証がコピー持ってかれてるだけですから返ってくるわけじゃないですか
スピーカー 2
暗号の方はね鍵がもらえれば戻せるっていう保証というかさ
戻らないケースもあるかもしれないけど
スピーカー 1
手元で確認は取れますからね
スピーカー 2
事前にテストしたりとか一応分かるし戻れば戻ったっていうことが実際の価値として分かりやすいけど
盗まれたやつは消してくれるって保証なんにもないし確認のしようがないからね
スピーカー 1
でもこれは盗むんだだけっていうのもブラックキャットは珍しいかなって思いましたね
なんで暗号化せえへんか
せえへん買ったんじゃなくてできなかったのかもしれないですけどね
スピーカー 2
たまにあるもんねそういうのね
暗号化は何か止められたみたいなやつあるね
スピーカー 1
止められたとかね後はそもそもストレージ丈を見ることができたとか
中まで入れてないっていうケースもあるじゃないですか
今までのクロップみたいなパターンとかさ
スピーカー 2
ムービーとトランスフォアのやつとかだね
スピーカー 1
そうそうそうああいうやつみたいなかもしれませんけどね
確かに
いろいろ手を変え品を変えあるなということで
ちょっと新しい話ということで紹介させていただきます
スピーカー 2
はい面白かったですね
スピーカー 1
はいありがとうございます
はいじゃあ次はですねねぎしさんいきましょうか
スピーカー 2
はいじゃあ私からですね
今週はですね
AIによる音声クローニング
スピーカー 2
これ先週の記事かな
ESETのセキュリティアドバイザーの人が行った実験の内容が記事になっていて
これがちょっと面白かったので紹介したいんですけども
タイトルがですねYour Voice is My Passwordっていうタイトルになっていて
タイトルがちょっとピンとくる人もいるかもしれないけども
何をしたかというと
SAIを使って人の声のクローンを作ったら騙せることができるかっていうようなのを
実際に確かめてみましたっていう
そういう内容なんだけども
何をこの人がやったかっていうと
ちょっと手順を順を追って説明すると
まずねその知り合いのこの人の知り合いのある会社のCEOに事前に許可をもらって
というかこの実験に協力してもらうという許可をもらって
まずこの人の音声の声のクローンをAIで使って作りましたと
でなんか実際にこの会社のCEOなんで会社の宣伝用の
なんかアップしたYouTubeの動画化なんかが結構上がってるらしくて
それを使って声を学習して簡単にできましたと
知り合いのソフトウェアが何か使ってやったらしいんだけど
スピーカー 1
公開情報を使ってやったってことですよね
スピーカー 2
そうそうだから特に別に協力といっても
本来ないような協力をしてもらったわけではないってことだよね
ここにありますよって許可をもらっただけっていうことだよね
で2つ目にこれも一応その本人に事前に許可をもらった上で
このCEOの携帯電話の番号をSIMスワッピングで乗っ取ることに成功しましたと
スピーカー 1
いきなりいきなりいきましたね
スピーカー 2
でこれも勝手にやったら犯罪になっちゃうんで
一応本人の許可をもらった上でやってみましたと
これも成功しましたと
具体的にどうやってスワッピングしたかって書いてないんで
具体的なその方法がよくわからないんだけど
まあまあまあ何かしらの方法でやったと
で3番目にこの乗っ取った携帯電話番号を使って
WhatsAppを経由して
このそのCEOの人の会社の財務の責任者の人に音声メッセージを送りましたと
でそのメッセージの内容はもちろんさっきの作ったクローンを使って
CEO本人そっくりの声でメッセージを送ってるんだけど
新しい契約先に250本の今すぐ送金してくれと
250本のというか日本円で4、5万円くらいかな
そんなに大した金額じゃないけども
そういう送金指示っていうのを財務の責任者にメッセージを送ったと
でちょっとその加えてというか
実際にこのメッセージを送った時には
このCEOの人は外部でランチのミーティングをしてたらしくて
その予定を把握してたんで
今ちょっとここでミーティングしてるんだけどみたいな話を
言って信用させるためにというかね
信憑性を増した上で送金を指示したと
でその後に銀行の口座番号とかさそういうのを送ったら
もう16分後にすぐ送金されましたと
ということであっさり成功しましたっていう話で
一応その基地で成功した要因が3つあるっていう分析をしてるんだけど
まず一つがその実際のCEOの本物電話番号を使ってメッセージを送ってきたと
これは信用されやすいよねということと
あとその日の行動内容を把握した上で
予定通りのことを合致する内容を話していたので
これは本人だろうというふうに思われるだろうと
それから最後今回のテーマでもあるAIを使って
本人そっくりの音声でメッセージを送られてきたので
親しい人ほど声をよく知ってるだろうから
CEOの乗っ取りと詐欺
スピーカー 2
これはCEOの声だなっていうふうに思い込んでしまっても仕方なかったのかなっていう
この3つの要因がうまくいった秘訣じゃないかというようなことを分析していて
あとはこういう脅威があるから
例えば送金のプロセスはもうちょっと厳格にチェックするようにしましょうだとか
あとはシームスマッピングを防ぐためにいろいろ対策をしましょうだとか
あとはメッセージのアプリを使う時には
ニオソ認証を使って簡単に乗っ取られないようにしましょうだとか
いろいろ対策についても書いてあるんだけど
今この記事を紹介して聞いた人はどう思ったか分からないけど
僕は現実的な脅威としてそろそろこういうのも考えなきゃいけないなというふうに
ちょっと危機感を持って
というのは今言った成功の要因ってやつを考えてみると
電話番号の乗っ取りってシームスマッピングなんて
数年前から海外だけでなくて国内でも結構当たり前に
事例が発生してるじゃない
それをスマッピングした上で不正な送金だろう
実際に術被害が発生するケースとかって増えてるんで
これは全然珍しくないよねというのと
あとAI使った音声のクローニングっていうのも
これ覚えてるかどうか分からないけど何回か前に
僕ここのポートキャスト紹介した事例で
スピーカー 1
あれか上司の人を装ってみたいな
スピーカー 2
その時のポイントはGoogle Authenticatorの認証コードを
Googleのアカウントで同期してると役立たないよっていう話をしたんだけど
役立たないかちょっと言い過ぎか
大元のアカウントが乗っ取られちゃうと他のアカウントも
前後寝こそぎやられちゃいましたっていう事例が実際に起きましたよっていう
例を紹介したかったんだけど
実はその時の最初の初期侵入の手口が今まさに辻さんが言ったみたいに
IT部門の実在の担当者の声をディープフェイク使って
音声で電話をかけてきて騙したっていう手口だったんだよね
スピーカー 1
実際にこれはもう既に悪用されてるんだよねこういう事例って
スピーカー 2
なんでAI今流行りだからこういうの考えられるよねとかのレベルじゃなくて
もう実際に誰でも悪用しようと思えばできるっていうレベルで
現実的な脅威になってるなと思うんで
決して今回はたまたまペンテストみたいに事前に許可をもらってやった実験だけども
これがそのまま実際に起きた事例ですって言われても全然不思議じゃないなと思ってさ
なんでもうそろそろこういうことは現実起こり得るぞって考えた方がいいなと思う反面
こういうことが起こるっていう想定できて対応できているところが
果たしてどのくらいあるのかなって考えるとちょっと心もとないなって気がしててさ
スピーカー 1
追いついてないんじゃないかと
スピーカー 2
なんとなくね国によって色々違ったりだとか
例えば今回のケースでもCOが財務の責任者にいきなり電話とかメッセージで
新たな送金を支持するなんていう場面が普段からあれば騙されやすいけども
滅多にこんなことしない人だったらちょっと怪しいなと思うだろうし
多分そういうのが色々関係するじゃない
だからその業務プロセスがどうなってるかとか
会社の規模だったり今回も送金の金額が5万円程度ってすごい金額だったから安かったから
まあやっちゃったのかもしれないんだけど
そういうのによって色々変わってくると思うんだけど
そうはそうだと言ったとして
仮にこういう手法が使われて不正送金とかの犯罪が行われようとした時に
果たしてそれがどっかで止められるかとか
ない人は気づけるかとかね
そう考えた時にちょっと気づくっていうのは今の話で
ここまでやられると本人だと思い込んでもしょうがないなと僕も思うんで
それ以外の方法で防ぐことを考えないと
ちょっと防げないんじゃないかなっていう危機感もあるし
あとこういうソーシャルエンジニアリング的なやつってのは
技術的な対策ではちょっと防ぎにくいから
そのあたりをうまく組み合わせてやらないと
なかなかこれはしんどいんじゃないかなっていうのを思って
あとこういうのが現実の事例としてこれ今後増えてきても不思議じゃないので
スピーカー 1
ちょっとそのあたりの動向も注目していきたいなとちょっと思って
確かにねなんか BECとかね
スピーカー 2
ビジネスイメールコンプロマイズでしたっけ
スピーカー 1
メール詐欺ね
そうそうそうそういうのと同じでやっぱりそのどうやってシステムで
ネギさんおっしゃってましたけどシステムで止めるかいうよりも
スピーカー 2
その業務のプロセスが本当にこれに耐えるものなのかの見直しの方が大事かな
そうそうそういう意味では確かにビジネスメール詐欺の方が
スピーカー 1
むしろ近いかもしれないというかね対策方法としては
そのお金を振り込むプロセスってこれでいいんかみたいなところがあって
こういうねテクノロジー的なことっていうのはほら
シーサート部門だとか上司室とかセキュリティ部門が詳しいけど
財務の方々ってあんまり知らないと思うんですよね
スピーカー 2
そうそうそういうことをちゃんと周知しておくってことも大事かもしれないよね
スピーカー 1
そうそうそういう人たちと一緒になってこういうのあるんですけど
ヘルスケア業界向けネットワークセキュリティサービス
スピーカー 1
うちのプロセスって大丈夫なんですかねって一緒になって考え直すっていうのが
やるべきことなのかなって思いましたね
スピーカー 2
でその上でその経路としてはメールでもあり得るし
こういう電話でもあり得るしみたいなね
そこはこういろいろ考えられるけど
大元はそういう財務とか送金の処理だとか
そういうところをきちっとするとかっていう方が
なんか共通して対策がしやすいかもしれないよね
スピーカー 1
でもこれがちょっと一個怖いなと思ったのが
その業務プロセスに照らし合う時
こういうのがあった時にはコールバックしようっていう対策があるじゃないですか
スピーカー 2
あるね
スピーカー 1
でもこれSIMスワップされてるから電話したらこいつに繋がるんですよね
スピーカー 2
このケースではそれは有効じゃないんだよね
スピーカー 1
コールバックだけじゃダメってことですもんね
スピーカー 2
そうなんですよね
そういうのが有効なケースとか
あとメールの場合にはね
実際の本人にちゃんとメールしたら
偽のところから来てるってことで気づける場合もあれば
アカウントが乗っ取られてる場合にはそれでもダメな場合もあるし
だからその経路じゃない経路で確認するっていうのがやっぱり一つ
どんな場合でも通用する手段として
例えば電話以外の経路で確認できないかとか
例えばランチミーティングしてるっていう
また同席してる別の人で確認を取るとかね
例えばだけどね
何かしらだから別の経路で確認をするっていうのが
こういう時には有効になるんじゃないかな
スピーカー 1
その別の経路で確認するも
自分がそう思ったからそう確認するんじゃなくて
会社や組織のルールとしてしとかないと
何疑ってんのかみたいな感じでもみ事になる可能性もあるからね
スピーカー 2
周知しとかないとね
そうなんだよねそれ大事だよね
その人の起点に依存したらダメっていうかね
それは確かに大事だよね
どんな人がどういうところに攻撃の対象になるか分かんないから
サポート部門の窓口の人かもしれないし
コールセンターの人かもしれないし
今回みたいな偉い人かもしれないし分かんないからね
スピーカー 1
もしくは社外の偉い人かもしれないですね
外部取締役とかで顧問弁護士とかね
スピーカー 2
そうそう意外とその辺は結構ね
盲点というか穴になりやすい可能性があるからね
スピーカー 1
これでもなんかそのディープフェイクって
色々こうねなんかその
偉い国の要人の人のディープフェイクのニュースとか
最近ちょっと話題になってましたけども
スピーカー 2
ありましたね
スピーカー 1
こういうのって僕は使ったことないんですよね
自分の声で何か作ってみたとかやったことがないんですけど
これどれぐらい再現性あるもんなんですかね
スピーカー 2
それは色々多分ケースによるっていうかね
どれぐらいその学習できるものがあるかとかによると思うけど
まあでも今のやつは割と
そんなその特別なすごい高いソフトとか使ったりとか
その計算資源すげー使わなきゃダメとか
っていうレベルじゃなくなってるから
スピーカー 1
例えばほらこのね
ねぎしさんにしてもね
かんごさんにしてもほら
綺麗な僕から聞いたら綺麗な標準語やからさ
スピーカー 2
なるほど方言とかそういう意味でね
スピーカー 1
僕の方言というかその言葉というよりもどちらかと言うと
イントネーションですよね
そういうところまできちんとやっぱ
こんな僕ら喋りまくってたら
こんだけソースがあったら結構再現できるもんなんかな
スピーカー 2
確かにね
なんか前言ってなかったっけ
この話したときだっけ
なんか忘れたけど
なんかあの
おもろいことを言ってなかったら
なんかお前ちゃうやんちゃうやんか
スピーカー 1
そうそうあれキョツジさん
なんかあんまおもろいこと言えへんぞとか
余計な話しようれへんなと思ったら
疑った方がいいみたいな
スピーカー 2
そうそうそう例えばねなんか
まあそういうところはおそらく
真似するのは難しいんじゃないかな
スピーカー 1
そうですよね声とか
イントネーションも学習すればできるけど
話題までは多分さすがに無理じゃないですか
そうそうそう
スピーカー 2
だから今回のやつも
あらかじめ事前に決めた
その何内容とかテキストの内容を
AIに代わりに喋らせてるだけなんで
喋る内容はその考えなきゃいけないからね
例えばそのあたりが
普段絶対使わないような言い回しをするとかさ
わかんないけど
例えばその国とか地域によって
使わないような
言葉遣いとか単語とかわからないけどさ
まあいろいろあるじゃん
そういうので違和感を
覚えるなみたいなのは
もしかしたらあるかもしれないからね
スピーカー 1
それは人によるもんなでもな
見抜けるかどうかはな
スピーカー 2
そうそう多分それって
普段の付き合いにもよるじゃない
スピーカー 1
確かに
スピーカー 2
そういうのに依存するのは難しいかもね
ちょっとね危ないかもしれない
スピーカー 1
そういうのに依存しないような
見抜き方プロセスみたいなものを
考え直さないとなって
スピーカー 2
そうなんだよね
そう考えると
なかなかそこまでちゃんと
周知したり対策したりって
できてないような気がするので
ちょっとねそういう意味で
そうですね
注意した方がいいかなと思いました
スピーカー 1
人を狙う部分っていうのはね
ずっとついで回りますからね
脆弱性とかに目行きがちだけど
こういうので足元救われへんように
ってことも
併せて考えられることですね
スピーカー 2
そういうの思いましたね
そうですね
スピーカー 1
ありがとうございます
ありがとうございます
ということで最後は看護さんです
お願いします
スピーカー 3
はい
私今日はですね
アメリカでサイバー攻撃があってですね
その裁判の話っていうのが
ちょっとニュースになっていてですね
何の裁判かというと
2018年にジョージア州の病院に対して
サイバー攻撃というか
システム障害というか
中で使ってるものが使えなくなってですね
でそれがやっぱり外部からに
よるものだったということで
2021年に起訴されていてですね
で先日その事件について
被告となっていた人が
罪を認めたということで
ニュースになっていたんですね
でこれちょっとびっくりしたのが
実際その不正悪説というか
その攻撃を行っていた人っていうのが
ヘルスケア業界向けの
ネットワークセキュリティサービスを提供している
企業の元COOの人ということで
結構えげつないことはしてたんですけども
自社サービスの宣伝と攻撃内容
スピーカー 3
その自社のサービスの宣伝に
実際に自身が行った攻撃用ネタに
潜在的な顧客に対して
連絡というか宣伝コマーシャルを行っていたと
スピーカー 2
なるほど
スピーカー 3
ということでですね
なかなか見ないというか
結構な事件という感じではあるんですけど
良くないですね
そうなんですよね
どんなことをやっていたかというと
これ結構ランサムアフィリエーターもびっくりなぐらいの
内容をやっていたんですけども
スピーカー 1
アフィリエーターもびっくり
なんかパワーワードですね
スピーカー 2
面白いね
スピーカー 3
病院内の電話システムがありまして
そちらに対して
構成情報の設定ですね
そちらを変更するコマンドっていうのを
不正に送信して
200台以上の電話を
実際にオフライン使いなくしてしまったと
なので医師の方看護師の方が連絡を
当時は取れなくなってしまってですね
院内非常に混乱したんだと思うんですけども
さらに
VPNに対してアクセスが可能だったらしく
ちょっとこの辺
実際の病院と
今回元COOの人が
働いていた
読み方がセキュロリティックスでいいのか
わからないんですけども
そういった会社
アトランタの企業があるんですけども
そちらの企業が顧客関係
取引関係にあったのか
私ザッと基礎書を見た感じだと
説明がなかったような気があったので
スピーカー 1
そもそも正規のアクセスが
許されてた人かどうかがわからないってことですね
スピーカー 3
ちょっとその辺はすみません
もしかしたら
しっかり基礎書に書いてあるかもしれないですけども
取引関係ってのはすみません
自分に承知してないんですが
VPNにアクセスが可能だったというところで
VPNに通じて中に入り込んで
マンモグラフィー装置に接続されたデバイス
実際にはパソコンみたいなものだと思うんですけども
そちらにも接続をして
どうもその装置上に患者の個人情報が入っており
300人ぐらいの方の患者の情報を盗んで
何を持ったのか
baidu.txtというファイルに保存していたと
スピーカー 1
なんで?
スピーカー 3
そういうなんでなんですけども
加えてそのファイルの中身を
200台以上のプリンターを使って印刷したと
さらにですね
Twitterのアカウントを開設してですね
それもTwitterの名前
baiduなんちゃらみたいな数字が付いてる名前で
baiduが好きなのか何なのかわからないんですけども
そのアカウントを使って
ハッキングしたよというのを
Twitter上に
今でいうとXですけども
Twitter上に投稿してですね
実際に盗んだ情報を投稿すると
ツイートするということをやっており
スピーカー 1
ちょっと劇場型ですね
スピーカー 3
そういった状況が起きてますよということで
起訴と刑罰、裁判の予定
スピーカー 3
さっきも言ったように
こういった事案があるので
しっかり対策が必要です
うちを使いませんかというような形の宣伝を
潜在的な規格に対して連絡を行っていたということで
なんか結構やってることはえげつないことやったんだなと
いう感じではあって
なので実際かなりの罪というか
これ確か17台のパソコンとプラス1個の罪みたいな形で
起訴されていたと思うんですけども
両刑でいうと
マックスで10年ぐらいの刑に処されるんではないかという話では
あったんですけども
ただ被告となっている人の個人的な特別な事情があるということで
どうも病気を患ってらっしゃるということがあって
どうも自宅軟禁という形で
裁判所が勧告するんではないかという話も
一応出てはいる一方で
ただ賠償金はしっかり払わなければいけないんだろうというところで
金額でいうと
81万7800ドルぐらいだったかな
日本円でいくらですかね
1億?
スピーカー 2
結構な金額ね
スピーカー 3
1億2000万ぐらいできますかね
結構な金額を来年の2月15日に最終的に判決が下りるんですけども
そこに利息含めて支払う必要があるだろうという形では
あるいはしつつ結構後味悪いというか
こういうこと実際あるんだなっていう
事件がアメリカで起きてですね
内部犯行なのかというのは
さっきも言った通り取引関係が
細かいところは承知していないので
どこまで内部に関わっていた人だったのかというのは
ちょっとわからないんですけども
内部犯行と攻撃手法
スピーカー 3
ただそういった権限を持っている人が
実際にこういうことをやろうとすると
やれてしまうんだなっていうところっていうんですかね
それはなかなか厳しいというか
ユーザー企業側からすると
どういう対策を取ったらいいんだみたいなところはあるなっていうのは
スピーカー 2
これなんか前あれだよね
つゆさんさ
ランサムウェアの攻撃に関して
内部犯行のこと結構前から言ってたよね
スピーカー 1
はいはいはいそうですね
スピーカー 2
内部の人が暗号化とかしたら簡単にできる
スピーカー 1
それ結構前ですね
二重脅迫とか出てくる前に
言ってましたね
ウェブサイト上で作れるようなやつがあって
それを分け前とかが
やった人とウェブサイト側の人で分けれる仕組みっていうのが
スピーカー 2
昔あったんですよね
スピーカー 1
それで自分でやって
知らぬ存在のでやれば
スピーカー 2
バレへんのちゃうかみたいな話してましたね
あと内部犯行とか内部不正を
外部の人が働きかけるとか持ちかけるとかっていうようなケースも
スピーカー 3
はいはいはい
スピーカー 1
テスラとかそうでしたよね
スピーカー 3
そうですね
スピーカー 2
そういうのは確かに攻撃手法として有効ではあるんだろうね
あとさちょっと違う視点で
こういうセキュリティ業界って言ったらちょっと言い過ぎかもしれないけど語弊があるけど
闇の部分っていうのは昔からあってさ
例えば典型的なのはリードス攻撃の業界で
リードス攻撃って昔は結構マッチポンプで
攻撃をする人がもともと攻撃側の人が攻撃をしつつ
うちの対策サービス買ったら打ち上げますよって言ってその会社に売り込みに行って
導入してくれたら攻撃をやめるっていうことで
マッチポンプをしている事例ってのは実はすごくたくさんあって
リードス攻撃の歴史ってそういう過去そういう歴史があるんだよね
とかあとお互いに攻撃し合うみたいなこともあったりとかしていて
割と防御する側が攻撃を手掛けてるっていうようなことはそんなに珍しくなかったんだよね
まともなところは違うけどちょっと怪しげなところはそういうことで手を染めてても
この会社がどういう会社だったかちょっと僕は詳しく知らないんで何とも言えないけど
でもセキュリティ系のちょっとこう闇の部分というか
攻撃がないと守りが売れないっていうのがあって
ついついあるかないか分からない脅威を煽って売りつけちゃうとかさ
そういうのは昔から言われてるんでそれがちょっと一歩行き過ぎちゃうと実際に攻撃をしちゃうっていうところに手を染めちゃうっていうのは
スピーカー 1
真理としては分からなくはないよね
スピーカー 3
それが本当にどれくらい自分たちのビジネスのプラスになるかどうかってのはちょっとよく分からないけど
スピーカー 2
そんなにリンクしてると思えないけどね
こういう業界でこういうのがありましたよっていうぐらいでそんなに自分たちのプラスになるかどうかってのはちょっとはっきりしないんで
どういう称賛があってこの人がやったのかどうか分かんないけどね
ただこういうのは聞いててそんなに不思議じゃないなっていう感覚はあるよね
そうですねとんでもないことをしとるなと思うけど十分怒りうることだっていう感じは
だからこういうこと起きないようにこういうことをすると偉い目にあうっていうのを示していかないと欲心ならないよね多分ね
やっても気づかれないって思ったらみんなやっちゃうからね
スピーカー 3
本当にそうですよね
スピーカー 1
よりにもよってなんで病院にしたんですかね
スピーカー 3
この企業がヘルスケア医療業界向けにやっていたのでそういう機会に恵まれてたんですかね
スピーカー 2
あとやっぱりインパクトが大きいよね社会的に
そうですよね
影響度がいいっていうかそうそうやっぱ人命にね
スピーカー 3
ニュースになりますしね
スピーカー 2
直結するからやっぱり大きく取り上げられるからっていうのもあるのかもしれないよね
スピーカー 1
にしてもさなんか電話をオフラインにするってちょっとえぐいなえぐすぎちゃうと
もちろんやったらダメなことばっかりですけど電話止めるってだって緊急事態に対処できなくなるから
スピーカー 3
そうなんですよ
スピーカー 1
下手したら本当にね人命に影響は
いや本当にそうですよ
スピーカー 2
もしかしたらそのあたりが料金判断に影響してるのかもしれないけどね
ちょっとやりすぎだろってのがあるのかもしれないけどね
スピーカー 1
そうですよね
プリンターで印刷するあたりなんかもこんなのロックビットと一緒やん
スピーカー 3
そうなんですよね
スピーカー 2
これどうなんだろうねこういうのってその実際の攻撃者のパターンとかを真似てやるのかねやっぱり
スピーカー 3
あーなるほど
そうかそうか
スピーカー 1
やっぱその辺ってほらプリンターで印刷されるってさ結構これメディアに取り上げられてたやん
ロックビットの時とかも
スピーカー 3
そうですよね
スピーカー 1
こういうのが出てくるみたいなので目に見えてわかるからさインパクト大きいっていうのもあるって
やってるのかもな
スピーカー 2
そういう典型的な事例から学んじゃってるのかもしれないよね
スピーカー 1
そうですね
いやーなんかこういうのがあっても内部犯みたいなのされても見つける仕組みが必要かもしれへんけど
そういうのを売ってた人かもしんないですよねこれねだからね
スピーカー 2
そうなんだよね
スピーカー 1
いやーなんかセカンドオピニオンとかがいんのかみたいな話になりそうやなこれ
スピーカー 2
でも今回のケースは契約関係がどうかはっきりわかんないけど
権限がある人が何かをするっていうことに対する欲しとか防しというのはやっぱりちょっと難しい部分がどうしてもあるから
確かに
国内でもあったじゃん長期間にわたって内部の人が不誠人情報を持ち出してましたみたいなやつがさ
スピーカー 3
ありましたね
スピーカー 2
なんか今年ちょいちょい何件かあってこんなのあるんだと思ったけどやっぱりそういうところって穴になりやすいよね
スピーカー 3
そうなんですよね
スピーカー 2
情報流出の何%は内部派みたいなことよく聞きますよね
あんまりねこんなのなんで長い間わからなかったんだよっていうのは結構簡単だけど
ちょっとねひるがえって自分たちのこと考えてみるとこれ気づけないかもなーってやっぱり思うからねどうしてもね
そのあたりをちょっとねどうするかっていうのはどんなところにとっても頭の痛い問題だけど対策しないとちょっとまずいよねこういうのね
スピーカー 3
本当に起きてからでは遅いので
スピーカー 2
ね本当だよね
スピーカー 1
ありましたありがとうございます
スピーカー 2
今日は3つともちょっと先のことを考えるみたいな感じの話でしたね
セキュリティ業界の闇の部分
スピーカー 2
興味深い事例が多かったね
スピーカー 3
そうですね確かに
スピーカー 1
どう取り組んだらいいんやどう受け取ったらいいんやみたいな感じの話
スピーカー 2
なおかつ決定談なり得る対策っていうのがちょっと難しいというかさ
スピーカー 3
そうなんですよね
スピーカー 2
なんかいろいろ考えることがあるなっていうようなのが多いというか
まぁだんだんだんだんそうなってくるのかもね
その単純な攻撃が減ってきたのと同じでさ
こういう基準方法が高度に難しくなるにつれて守る側もね
この一筋の端じゃいかなくなるってのは当たり前かもしれないけどね
スピーカー 1
確かに確かに
あとは組織全体で考えていかなあかんっていうキーワードはあるなと思いますね
スピーカー 2
そうだねだんだんそういうことが増えてくるかもね
スピーカー 1
はい分かりました
スピーカー 2
ありがとうございました
スピーカー 3
ありがとうございます
スピーカー 1
ということで今日もセキュリティの話を3つしてきたんですけども
その前に1個告知するのを忘れてたんで再度告知なんですけど
スピーカー 3
何でしょうか
スピーカー 1
いくつか来てるんですけどお便りのことなんですけど
普通のお便りもステッカーの印刷コードを差し上げますというようなことなんですけども
イラストのね元になるようなこんなやつ書いてほしい
こんなやついいんじゃないかとか
それは引き続き募集して採用されたら同じようにステッカーの印刷コードを差し上げようかなと思ってるので
なんか2、3来てたんで
スピーカー 3
なんかすでにいくつかね
スピーカー 1
そうそうありがたい
それも引き続き募集し続けてますということでございます
最後に今日はおすすめのあれなんですけれども
去年もどっかのタイミングで紹介したかもしれませんが
今年もですね12月に入ったということで
12月といえばいろんなイベントがあるんですが
その一つに僕が毎年気にしているものの一つはM1グランプリですね
スピーカー 2
なるほどなんかここのポッドキャストでも何回か取り上げてるかもしれないね
スピーカー 1
そうM1グランプリの決勝って僕なんかいつも遅ればせで見るぐらいなんですよ
僕がいつも注目してるのはやっぱり予選なんですよね
スピーカー 2
そうだよね
スピーカー 1
でちょっとねあの言うのが遅れてしまって
こんなことになるとは思ってなかったんですけど
あの予選の動画がなんか期間が決まってて消えてしまったりしていくっていうのが
ちょっとさらに今年の変化で
スピーカー 2
あ、そうなんだ
スピーカー 1
なんかこんな早く消えはしてたんですけどこんな早く消えたっけみたいな感じのスピード感なんですよ
であのちょっと前まで3回戦の動画まであったんですけど
それもガッて一気に全部なくなってて
今準決勝のやつがあるんですけれども
まあ消えてたとはいえね今ほら今この時代ほらテレビとかに出れへんかって
自分らでyoutubeチャンネル持ってる人もいるじゃないですか芸人さんとか
スピーカー 2
確かにはいはいはい
スピーカー 1
なんで一応僕3回戦まで見て今ちょっと準決勝見始めてるんですけど
3回戦までで途中で敗退する可能性はもちろんありますけど
この組良かったなっていうのをちょっと紹介しようかなと思ってて
スピーカー 2
はいはい
スピーカー 1
一つはそいつドイツっていうお二人
そいつドイツ
スピーカー 2
言ったことないな
スピーカー 1
なんですか結構ねこの人たちねもう10年近いんですよね結成されて
8年とかだったと思うんですけど
吉本所属の方でちょっとね異色系ではあるんですけど見た目もちょっと強烈な
片方が強烈な感じで
ちょっとね風刺の効いたネタとかもやったりするんですよ
へー
でこの二人が結構良かったなっていうのが一つですね
でいうのとあともう一個今までの僕ずっとノーマークで
この人見たことあったっけなぐらいの感じの人がいてですね
それが面白くてキツネ日和っていう
スピーカー 2
これも見たことないな
スピーカー 1
多分あんまそのテレビには出てないですけどさっきのそいつドイツの方は
あれなんですよM-1ではそんなことないんですけど
キングオブコントで結構決勝とかも1回行ってる人たちなんで
結構実績があるというか準決勝まで行ったりとかもしてて
結構常連というかねそういう上の方に来る
でM-1の方でも上がってきたってことなんですけど
キツネ日和の方はもうかなりメジャーじゃまだないかなと
YouTubeの登録者数も1000人いってないぐらいだったと思うので
かなりインパクトがめっちゃあったんですよ僕の中で
で一応準決勝までは進んでらっしゃるんですよね
ネタのパターンがなんかその
いろんなものを上げていくんですよね
絵描き歌みたいな感じで
よくあるじゃないここにお豆がありまして
ここに何かありましてみたいな絵描き歌って子供の頃よくやったと思うんですけど
スピーカー 2
ありましたねドラえもんとかなんかね
スピーカー 1
そうそうそうそういろんなものを上げていって
あーそうかみたいなそれで相方の顔を描くみたいなネタなんですよ
それに対してその相方が
うんうんそれで絵描き歌で僕の顔ができましたねって言って
オカリナとトータルテンボスのキツネ日和
スピーカー 1
のり突っ込みでそっから突っ込んでいく突っ込んでいくっていう
そのスタイルが面白かったんで
新しさがあるというか
スピーカー 2
毎回その絵描き歌が
このパターンが多いですね
スピーカー 1
M1ではそれが3回生のネタで使われてたんですけど
同じやつが彼らのそのYouTubeチャンネルにも上がってるんで
ライブで撮ったやつが上がってるんで
スピーカー 2
そっち見てもらうのがいいかなっていう
スピーカー 1
この2つは注目してる
スピーカー 2
じゃああれかどちらもちょっとキャリアには差があるかもしれないけど
ちょっとブレイク前のっていう感じなわけね
スピーカー 1
そうですね特にこのキツネ日和の方は
その突っ込み方みたいなところが
キャラも合わせて子供にウケそうなっていうね
スピーカー 2
へーなるほど
スピーカー 1
キャッチーな突っ込み方をするんですよ
ぜひ見ていただいたらなという風な
あとは皆さんが見てね
お笑い好きな人もいらっしゃるかもしれないので
見てこのコンビいいぞみたいな
推してるぞみたいなのがあれば
教えていただければいいかなという風に思います
スピーカー 2
はーい
スピーカー 1
はいということで今回は以上です
また次回のお楽しみですバイバイ
スピーカー 3
バイバーイ
58:30

コメント

スクロール