00:00
セキュリティのアレ。
それいるの?
始まってるんですか?
始まってます。
場所が場所なのでちょっと小声で。
始まってました。
いつもみたいな感じで張ってる感じじゃないですかね。
なんか、自己紹介でもなしなんですかね。
あった方がいいっていう意見をいただいたんですけど。
声で大体分かんないんですかね。
でも人入れ替わりますからね。
ああ、そういうことか。
喋らない。
だから自己紹介したら死ぬ病ですかね。
またそれは後々の検討課題で。
最初の話題が一つ終了いたしました。
今回はイベントのパネルディスカッションの前に皆さん集まって。
この後喋るんだよね。
この後喋るのにまた喋るのみたいな。
でもあれですよ。
これもこの後の両方を本番ですからね。
そうね。
今日は大体こんな感じなのかな。
セキュリティリサーチャーズナイト。
脆弱性ナイトですね。
ダメですよ。
この後のために温存してる感出てるんですけど。
やる気のない感じでいこうかなと思って。
もう終わったんですよね。
仕事的に終わったんで。
この前ですね。
千葉県の小学生の先生方の先生組合みたいな。
ちょっとツテがあって。
90分間。
そうなんですね。
めちゃくちゃ長いじゃないですか。
90分あげるんで。
先生方に向けてちょっと喋ってくださいと。
あんまりテーマもなく喋ってきました。
先生方は生徒にそういう情報リテラシーだとか
情報系の授業をする先生ってこと?
話を聞いてみるとやっぱり先生方って
指導要領にあることを伝えるっていうのが仕事じゃないですか。
このあたりの情報ってあるはあるんですけど
例えばスマートフォンがインターネットにつながってレベルでしかなくて
セキュリティに関してっていうのは指導要領ないし
誰も教えてくれないんで。
先生も教えてもらってないし
当然小学生の生徒たちも教えてもらってないけど
教えられる人いないよね。
でも小学生ってみんなスマホとか持ってるんですか。
それで困ってらっしゃるっていうのがまず第一にあって
わりと夏休み中の研修で
とりあえずしゃべってくれる。
先生って夏休み中も研修とかあるんだ。
大変だね。
子供が休んでる間も仕事してるのね。
そうなんですよ。
じゃあ何しゃべろうかなと思って
03:02
まず90分っていうのでかなりひるんでるんですよ。
ネタ大量に用意しなきゃまずいなと思ってやったら
全然時間なくてですね。
そんなに詳しくない人に細かく説明したら時間かかるからね。
幅が広いじゃないですか。
実は一番最初想像してたのって
例えばパスワードを使い回すのやめましょうとか
スマートフォンに個人情報が何入ってるかご存知ですかみたいな話
いわゆるITセキュリティの話をしようと思ったんですけど
多分先生方が今一番必要なのって
子供たちはSNSでやらかさないかとか
そっちのほうの話なんじゃないかなと。
学校の裏グループ的なやつとかあるよね。
別赤持ってるとかもありますからね。
裏赤。
ひとしきり悩んではげく
半分先生方に向けたバックアップだったり
ランサムウェア状態だったり
現状の話をして
後半ちょっとSNSの話を
そこまで私も詳しくないので
現状いろんなことが起きてるっていうのをちょっとお話をして
とりあえずフックになればいいかなと
全部覚える必要ないですと
かけづくり的なやつですかね。
そうですね。
春月さんが知らなかったを聞いたことがあるまでに持っていこうっていう
モッドで活動されてて
それをちょっとお話をしたり
最終的に困ったら
それこそ皆さんウイルス対策ソフトとか買ってますよねと
そのサポートにちょっと聞いてみるといいですよとか
っていう話をわりとしました。
身近に相談できるところがないからね。
つかみに使ったものが二つあって
一つがSNS絡みとかネットの現状ということで
メルカリンさんで読書感想文売ってるって話があったじゃないですか。
そういう宿題を買う系な
それを話したらさすがに先生だけあってみんなご存知ですね。
朝日新聞とかでも取り上げられたんで
すごい興味を持って
ただそれだけだとネット悪者みたいに見えるけど
意外とツイッターとかで
読書感想文いい話みたいなの結構あるんですよね。
つまんないって一言だけ読書感想文書いたら
教頭先生が見てくれて
教頭先生に何が面白くなかったか
ちょっと喋ってごらんみたいなのを喋ってたら
一つの評論になったみたいな話だった。
それ俺も見た。ツイッターに。
こういうふうにインタビュー形式で
お母さんがどうしてこの本を知りましたかみたいな聞いて
それをまとめると実はきれいな読書感想文になるんだとか
テクニックもSNSでまっさりするわけじゃないですか。
いい面も悪い面も当然あるから
ちょっと全体見たほうがいいよって話と
あと一番最初につかんだ話は
06:01
みなさんがGoogleマップスマホに入ってましたね。
Googleマップのタイムラインっていうのを
押してもいただけますかって
押した瞬間ザワッつくんですよ。
みんな知らないんだ。
みんな知らないんですよね。
それを押すと本当に今日、今の今まで
歩いてた記録が全部見えるんですね。
すげえ怖いってなった時に
これ実は本人しか見えませんと。
本人しか見えないけど
その本人っていうのを判別するのってなんだと思いますか?
パスワードなんですよってことをお話しして
強いパスワードの作り方と
使いまわさないでねっていう話をさせていただきました。
なるほどね。
パスワードの話も僕らからしたら
わりと身近な当たり前な話だけど
ちゃんとどういうふうに使うべきかとかって
教えてもらったことないだろうねきっとね。
そうなんですよ。
強いパスワードの作り方っていうのを
ちょっとガイドして
そうしないとこういうものが見られちゃいますよというと
講談の方でちょっと子供たちのSNSの話をするときに
子供たちって結構パスワード適当にやるじゃないですか。
例えば誕生日で
名前と誕生日でね。
突破されちゃったりっていう
以前、芸能人の方のSNSアカウントだったり
その人のパスワードをクラックして
写真を撮っちゃったみたいな事件に
大人でもその魅力に抗えないっていう話をして
これもやっぱりパスワードなんですよと。
これに関しては子供たちにも
ぜひ教えてあげてくださいねっていう話をしました。
どうでした?反応とか。
Googleマップのタイムラインで掴んだのは
成功したなと思いました。
位置情報系って反応いい?
反応いいですね。
ただこれ皆さん怖いと思ったかもしれないけど
便利だと思いませんか?って話しまして
私自身は日記代わりになるし
すごく便利な機能だと思うんですよ。
でも便利に使うには
ちょっとリスクもあるよってことも
判断してもらわないといけないかなということで
ただそれは両方見ていただいて
すごい面白いと。
この前出張で広島に行ったんだけど
現地の人に紹介してもらったルートが
こんなに残ってるんだったら
次行った時すぐ行けるなとか
ただやっぱりそれを
大きな犯人は見せられないなとか
そんな話聞いたりするんで
ちょっとそのあたりの
スマートフォンって個人情報何入ってると思いますか?
電話番号と10とぐらいしか言わなかったのが
履歴ってアプリのやつですか?
アプリのタイムライン。
タイムラインやると全部。
それって僕もその機能知ってて
今一応確認してみたんですけど
オフにするっていうこと教えなかったんですか?
オフにするも教えました。
オフにしてるんですよ。
オフにするも教えました。
意外と身近なんですよって話から入って
09:03
便利と思うんだったらオンにして
安全に守りましょうと。
いらんと思うんだったら
オフにしましょうねっていうことを
伝えてきたんですよね。
そうですね。
あとは子供たちが先にいることを考えて
意外と写真一枚から情報が取れますようだとか
映っているものだとか
あとはイグジフの位置情報が
オンになってれば
どこから分かるとか
あとはちょうどシャーロッツビルの話
何州でしたっけ?
アメリカで白人史上主義者の衝突があって
あの時にやっぱり写真で個人特定を
ゲームみたいに行って
こいつだって言ったのが
実は間違ってましたみたいな事件を
おっしゃったりするじゃないですか。
本人に非がなくても
何かの勘違いとかでターゲットになっちゃったりする
っていうこともあるんですよみたいな話だとか
世界とつながってるんで
かっこいいデザインだと思ってやったら
実はナチス侵入隊のマークでしたみたいな
事件とかあるじゃないですか。
デザインとかね。
そういう世界につながってるっていうところを
若干意識しないと子供たちはちょっと怖いかな
っていう話とかもしました。
そういう話をしていたら
割と90分か意外に早くて
僕も結構90分で喋ること結構多いですね。
呼ばれてそこに行ってみたいな感じだったら
90分が結構多いかな。
詰め込みすぎてちょっと反省したなっていうぐらい
だいたい話題2つか3つです。90分だと。
あんまり同じようなバックグラウンドがないとか
知識が全体知識がない人向けだと特にね
丁寧に伝えていかなきゃいけないから
その中にもうちょっと詳しい人がいると
その人にとっては冗長ぐらいの感じでやらないと
そこはちょっと反省したなと。
あと実は一番最後のポイントのところで
駆け込みデラ的な窓口だったり
途中で子どもたちが技術を知ってしまうと
使いたくなっちゃうと。
それでいわゆるハッキング行為だとか
不正アクセスみたいなことをやってしまうっていう
そっちの方向に行かないために
大人たちいろいろ考えてますみたいな取り組み
セキュリティキャンプちょうどやってたんで
そういうお話だったり
レッドチーム演習だとか
パクハンターみたいな話もちょっと軽くして
そういうのがあるんだねと言ってもらえたのが
すごく嬉しいなと思います。
だいぶ幅広いネタなんですね。
こういう先生向けのやつとかって
今回は最初?
最初です。
何か続けてやるんですか?
今回でいろんなところに横展開してもらって
それでまた呼んでもらえればいいなぐらい。
多分何回かというか
12:01
いろんなところに言っていかないと伝わらないよね。
司会でやっぱり聞いた話だと
どちらかというとやっぱり子どもたちが
どうやってスマートフォンに接していくかというのは
親御さんたちもわからなくて
親がまずちゃんと使えてるかというのがあるからね。
本当にひどいところだと家族が
学校に押し付けてくっちゃうらしいんですね。
よくある話ですね。
それがYouTubeにアップしちゃいましたと。
アップしたことぐらいに関しては
いいか悪いか判断できないんですけど
なんで学校で指導してくれないんだみたいな形で
先生たちが怒られて
どうしたらいいんでしょうかねって
すごく真剣に悩んでたんで
これはなんか
学校だけのせいじゃないし
家族だけのせいじゃないし
どうしたらいいんだろうなってすごく感じますよね。
社会全体の話で
学校のせいでしょ。家庭のせいでしょ。
塾のせいでしょとか
子供がずっとチューブラリーになっちゃいますよね。
そうなんですよね。
今YouTuberが話題になってるじゃないですか。
いろんな意味で。
ただ子供たちからすると
YouTuberって憧れみたいな。
割とそこから学ぶこと結構多いと思ってて
いいところをどんどん真似して
YouTuberがダメだとか
YouTubeアップするのダメだ。
ITダメだみたいなの
っていうのじゃない方に
行けばいいなと思って
喋ったりします。
難しいですよね。
何が良くて何があかんのかとか
あとは知ってしまうと
子供がやりたくなるとか
憧れてるYouTuberの真似して
ちょっとやりすぎるとか
というのがあると思うんですけど
僕らみたいな技術的なことを
ずっとやってきたところで
出てくる話だと
悪い本に技術を
使ってしまうっていうのがあるんですけど
そこを安易に
そういうのがあるんだったら
セキュリティエンジニアになれよ
っていうのも僕も違うと思うんですよ。
すぐ大人はそういうこと言うけど
別に遊びでやってるかもしれないじゃないですか。
仕事にしたいとか技術が好きとかじゃなくて
何か知ったからやってみたいの
興味だけの可能性もあるわけなんで
そこをまたこっちですよっていうのも
また違うというか
選択肢を狭めることになるから
今回思ったのは
グリーさんとか
グリーさんって確か
学校をアンギャして
セキュリティの話してたりするんですよね。
ラインとかもそういうのしてるんですよね。
偉いなと思いましたね。
本当正しいなと。
ある程度余裕のある企業しか
そういうの出ていない。
そうですしかもね。
どんどん苦しんでいる現場に
出てほしいなと思いました。
楽しかったです。
いろんな現場の話が。
そんな夏休み。
15:00
いさかです。
珍しくだいぶ
真面目な話しちゃいましたね。
このセキュリティのあれに
似つかわしくない。
というかこの残りの3人は
次から本番があるから
一人で喋んなきゃなみたいな。
全然そんなことないです。
今も本番みたいな。
津井さんどうですか最近。
今日なんか振りが雑すぎる感じです。
だいぶ飛びましたね今。
だいぶ今ちょっとこう。
最近気になったこととかってことですか。
そうそう。8月。
そうですね。やっとちょっといろんな。
今日8月30日セミナー前の
控室からお送りしておりますが。
セキュリティのあれ。
気になったネタとかなんかある?
やっとちょっと生活に落ち着きが。
今月なんか忙しかったよね。
先月かな。
インシデントもあったし。
やっと落ち着いてきた感じが。
そうですね。それについて話せるぐらい
ちょっと落ち着きを。
心の余裕が。
そうですね。
心の余裕大事だからね。
やっぱね。
そう思ったのは
結構これで基地開けて
なんとかなるなっていうスケジュールって
良くないなって思いましたね。
突発的なものがポーンと来ると
全部後ろにずれていく。
ギリギリでダメだね。
ずれてったものは
全部土日で回収しなあかんみたいな
感じになったのが
ちょっと落ち着きを取り戻してきて
ニュースとか個別の記事も
気になったものがあれば
追っかけられるぐらいの余裕は
ちょっと出てきたぐらいで。
それなんかあれだよね。
いっぱいで回ってない感じの時っていうのは
そういうニュースとかさ
に関して話題にしてても
反応がないよね。
え?反応がないってどこで?
あれなんか反応してないなみたいな。
例えばツイッターとかさ
フェイスブックとかでやり取りとかしててもさ
あれなんかツイッターの反応悪いな
みたいなときって
あるよね。
突然減るとかね。
すぐ分かるよね。
そう。
一応見てはいるんですけどね。
余裕ない時はそんなもんだよ。
俺もそうだもん。
ツイートの数とか見ると濡れずに分かれるよ。
これ何か忙しかったもんなみたいな。
一応自分に
メールで記事を送っておいて
読んではいるんですけど。
そこからツイートするっていうのが
あんまり滞り気味でした。
そういうもんですよね。
そんな中でも気になったものが
気になったやつがあって
引き続きなんですけど
前のリオオリンピックの頃に
ファンシーベアーズハックチームで
出た。
言ってる
名前がややこしいというか
標的型をしてるんじゃないかっていう風に
言われている
ロシアかもしれないという
攻撃者グループに
ファンシーベアーって言うんですよね。
その名前を語ってるのか
いじってるのか
本当は同一なのか
分かんないですけど
それとは違って
18:00
ファンシーベアーズハックチーム
自分たちで言ってるやつらが
久しぶりですよね。
久しぶりだよね。だいぶ間開いてたもんね。
サッカー選手の
情報というか
ドーピングに関する情報で
こういう薬、こういう病気があるんで
こういう薬を投与してますみたいなのを
申請するわけですけど
それしないとダメになっちゃうんで
その内容がまたリークされたっていうのが
忘れた頃にポーンと出てきたんで
たまたま余裕があったんで
調べてみたんですよ。
今回リークされたやつの
ファイルのサイズが
140メガジャクぐらいかな
全部であったんですけど
そこを一応確認してみたんですよ
リークされた情報を
そしたら
ほとんどがEMLのファイルなんですよ
メールのファイルですね
その中身を開くと
メールの宛先とか
送信元とか
あと件名って
普通にメールが丸々見れる状態なんですよね
添付ファイルもそのファイルの中に全部
インクルードされてて
中身も確認できるんですよ
ずっといろんなもの見てて
日本人の情報ないかなとか
そういう感じで
あとどんな情報なのかなとか見てたんですけど
途中で
こいついつも
宛先か送信元に入ってるなと
かも喋ってましたけどね
複数見ていくと毎回
この人入ってるなみたいな
っていうのがあったんですよね
この盗んだ
ファンシーベアーズハックチームは
わだから
わだのシステムから盗んだ
どうもそうじゃないんじゃないかなって
思ったんですよ
わだっていうのがアンチドーピングの
組織ですね
宛先か送信元に
必ず入っているアドレスの人が
スピアフィッシュが何かを受けて
ハックされたんじゃないのかな
ここからメールの情報が漏れたんじゃないか
であれば説明つくんですよね
そうですね
でその
宛先とかのアドレスに入ってる人の
組織のドメインを
調べてみたんですよ
どんなサブドメイン持ってんのかなみたいな
そしたら見つかったのが
リモートドットとか
Webメールドットとかで
でアクセスしてみたんですよ
なら
Webメールのログイン画面
もうおそらく
によそ認証なさそうみたいな
それ分かんないんじゃない
ログインしてみたら出てくるかもしれない
そうですね
画面の漢字
それちょっと
先入観があった
こいつらやってねーだろみたいな
画面の漢字
すごいね
製作家だと画面の漢字って分かるんだな
確かに
先入観かもしれないですけど先入観ですよ
でも俺もそう思って
やってなさそうみたいな
すごいシンプルな
やられてないんだよって言ってなくて
21:00
なさそう
俺も思ったからね
これやられてそうみたいな
グサジャーとしてとかじゃなくて
単に見た目の話
大事大事
ウェブメールの方が
それで
僕リモートドットの方は
ちょっと前に
前着性でも話題になった
チームビューアーの画面が
出てきまして
これダウンロードしてね
クライアントみたいなダウンロードしてねみたいな
これもやられてそうみたいな
その2つがポンポンと出てくると
やられてそうとは思わない
そもそもあれだよね
誰が使ってるのか知らないけど
なんかもうちょっと
一般に広く公開
しないところで
VPNを貼ってから使うとか
できないもんかね
これ大丈夫なのかな公開してて
なんか
今回のリークに関すること以外も
なんかあるんじゃないかみたいな
ことを思ってしまうぐらい
当て先とかメールの送信元
送信先に含まれてる組織の人で
ドメインで
なおかつ口が外に
開いちゃってるような状態
だから状況的には
その方が自然かなっていう
わきが甘い感じが見ててするもんね
見てて他にもやられそうじゃない
って
こういうところってね
和田の方はね
自分たちのところからっていうのは
ニュースには否定のコメントをしてたみたいなんですけど
っていうのを調べたっていうところですかね
なんかファンシーベア
ファンシーベアはさ
あちこち取り上げられてるけど
ファンシーベアーズハックチーム
追っかけてるの
あんまりいないよね
結構ニュースとかになってないでしょ
僕でも家ではツイートデックで
ハックチームの専用レーン
ありますよ
そんなんねきびらぐらいだよ
ほんとに
おとなしいなと思って全然ツイートなかったら
レーン消そうかなと思うんですけど
いや帰ってくるはずや
数ヶ月に1回とかの単位でしかつぶやかないからさ
そうなんですよ
来た!
僕も完全に忘れてました
でもこれだって
国内とかでニュースはたぶんなってないでしょ
なってないですね
あんまり知られてないけど
僕今回ツイートデックのレーンじゃなくて
Facebookで知りましたけど
グループあるんですよ
フェイスブックページがあるんですよ
ファンシーベアーズハックチームの
そのページフォローしてるからってこと?
そうなんですね
ツイッターとフェイスブックに
だいたい投稿するんですよね
更新情報
ツイートデックじゃなくて
フェイスブックのところに
フェイスブックのところに
フェイスブックじゃなくて
フェイスブックのところに
ポップアップみたいなのが出てくる
久しぶりのこのアイコンみたいな
クマがマスクかぶってるやつ
真実がどう報道されるのか
分かるのかも分かりませんけど
24:01
ちょっとなんか
彼らの主張に違和感を覚えるような
リークでした
リークもいつまで続くんだろうね
よく分かんないよね
そもそもなんでアンチドーピング系に
こだわってるのかよく分かんないですけどね
これはよく分かんないよね
目的がよく分かんない
そうなんだよね
単に不正を暴こうとしているのか
知らないですけど
ちょっと分かんないですね
いまいち不明ですね
でも汗ところにやってくるって感じは続いてますね
そうですね
それが気になったけど
これは気になって調べてみました
これぐらいかな最近だと
そんな感じです
なるほど
8月本当に
何も追っかけていなかった感じがしますね
忙しくてということですか
忙しい
じゃ忙しくはないんですけど
なんかあんまり興味は
分からなかった
忙しい
興味が分からない
これはめちゃくちゃ興味湧いたから
調べたんですけど
興味を引くような
そう
淡々とばら撒き型とかの
インサーチとか通信先なんだとか
インディケーターに関するものは
粛々といつものように
チェックはしてたんですけど
ピンとくるやつ
例えば5月やったら罠くらいとか
そういうやつね
さすがにそういうのは前月やったら疲れちゃうから
疲れる
なくてよかったんじゃないの
ちょうど夏休みなのかこれは
リサーチャー的に季節変動みたいの
通年であったりするんですか
季節変動はないです
東海とか2月8月はって話あるじゃないですか
それに連動して
特に好きなのはないですよね
ないです
見てる範囲にもよるんじゃないかな
その
海外のやつを見てるとか
日本のニュースしか見てないとか
あれば全然違いますし
あったやん
一個
僕にとっては今日は
年度末なんですよ
9月1日から
9月1日が
僕にとっては新年度なんで
また今年は来たか
今年も8月来てましたね
去年よりも
ちょっと遅かったのかな
少し遅かった
何の話ですか
聞いてる人はもしかしたら
あれねって言ってる
分かる
9月1日はイルカ寮の
解禁日でございますね
大臣庁の和歌山のね
それの前に
いつもオペレーション
2013年から続いている
反イルカ寮
のオペレーション
それに付随するオプシーワールドとか
オプホエールズとかもあるんですけど
その今年版
来年度末から
9月からのやつのターゲットのリストが
27:01
公開されました
今年も出ました
あまり変わらないですけどね
あとね去年もそうだけど
リストにあろうがなかろうが公開されたりするしね
まあ
参考というか目安というか
今回URLとそこに
おそらくNMAPでポートスキャンしたんだろうな
というログを貼り付けている
やつが出ていましたが
今のところそんなに
影響というか
動きというかツイッターへの投稿が
出たりとか
そうですね
去年も9月以降から
活発な活動が
見られましたからね
活発なユーザーが一人ポンと入ってくると
また少し変わっちゃうかな
という感じではありますね
ちょっとでもね
気にしていることが一個ありまして
その関係で
先行上映とかっていうのは
確か9月の2日とかだったと思うんですけど
映画?
一般の映画の
映画は確か東京だと
9月の9日から
ちょっと調べてみないとわかんないんですけど
おくじらさま
という映画が
公開されるんですよ
そんな映画が
おくじらさまは2つの正義の物語
というやつで
航歩ってあったじゃないですか
あれに関するカウンターということではないんですけど
現地の
反対している側と
現地の人とという風なところの
双方の観点から見るという
元NHKの方が
監督をされているやつらしくて
ドキュメンタリー?
ドキュメンタリーです
これの公開が
どう向こうで反応されるか
アノニマスがどう反応するか
というところがちょっと気になるのかな
そういうことをやっているのか
というところで
完全に反イルカ領というものではないので
反発してくる可能性も
あったりとか
そういった人を寄せつけて
攻撃に加わる人が
出てくる可能性があるなと思って
気にしているのがそれぐらいですかね
9月9日から
ユーロスペースで公開
どこかのイベントスペース
エビスのリキッドルーム
かなんかで
舞台挨拶的なイベントが
先行上映みたいなのがあるらしいんですけど
国内だけの
ニュースだと
あんまり反応もしかしたらないかもしれないけど
国内でもそういうネタが
ニュースとかで報道されたりすると
ちょっと変わるかもね
あとはターゲットリストにないところで
この映画に関係するところが
何か攻撃を受けるとか
リストにまた加えられるとか
というのもあるかなと思いますけど
今回2016年度の
キリングウェイで気になったやつが
今回の映画とも関係する部分で
気になっているところはあるんですけど
調査捕鯨に行った
船を持っている会社がやられたりするんですよ
結構調べている人がいるのか
日本語がわかる人がいるのかわかんないですけど
そういう関連があるものが出てくると
そこがまた
リストに載っていようが載っていないが
30:01
攻撃を受けるというのがあるので
9月1日ぐらいから
特にこの映画公開後ぐらいとかは
注視しておこうかなという
感じでありますね
調査捕鯨といえば
最近シー・シェパードが
日本の南極海付近での
調査捕鯨の
活動を
断念しましたみたいな変なニュースが出てたじゃないですか
ああいうのも一つの反応する材料
一応気にはしていますね
何が彼らにとって
目に引っかかるかというか
攻撃の端緒になるか
わかんないよね
これがきっかけなんじゃないかと思っても全く反応なかったり
わかんないよね
でもさっきの調査捕鯨の船が帰ってきた時は
帰ってきたというニュースが出て
ショートしたからです
見ているんだろうな
それがあるからどうかと
いつも言っているけどね
関係なく粛々と対応するしかないけどね
リストに乗ったからどうとか
乗らなかったから安全とか安心とか
というわけではなくて
ただそのような活動時期に来たということは
来やすい時期という
意識しておいたほうがいいかもしれないですね
9月はそれでなくてももともといろいろ
攻撃が来やすい時期だからね
歴史的特異美的なやつもありますけど
備えは必要ですよね
今年も来たなと
感じでしたね
佐藤ですか?
うん
ネギスさんは?
ネギスさんはそろそろ来るのかなと
8月でも
いっぱい細かいネタがいっぱいあったんだよね
僕のポートキャスト
佐藤から
忙しそうにしてる感じでしたけど
気にならないとこんなにいっぱいあるんだよね
って出したけど
でもいろいろ出張行ったり
あと珍しく公演が何件か
今月は
九州の方に行ったりとかしてましたけど
違いましたっけ?
行けない
そうでしたっけ?
来月行きます
来月か
いろいろあったんだけど
何を取り上げますか?
さっき言ったやつをしますか?
僕聞いたやつでいいですか?
何ですか?
なんかすごい嬉しそうに
興味ありそうな感じで
プロトンメールハックバック事件
って言ってたやつ
ちょっと
事件っていうほどの
大きなものでないんだけど
プロトンメールって
あまり有名じゃないかもしれないんだけど
スイスの
暗号化メールサービスを
提供している会社で
割と最近は
メールのセキュリティも
禁されるところなので
結構人気のサービスらしいんだけど
日本でも使っている人が
結構いるらしいんだけど
そこがたまたま
8月のお盆くらいかな
あるセキュリティの研究者が
フィッシングサイトを見つけたと
フィッシングのメールが来たみたいな
プロトンメールからの
プロトンメールのフィッシングサイトが
どっかに上がってるみたいなことを言って
33:01
それを報告したら
プロトンメールが対応したんだけど
その対応の仕方がちょっと
問題があるような
そのハックバックって
メディアとかには出てたんだけど
プロトンメールが今ツイート消しちゃったんだけど
そのフィッシングサイト
ハックバックしたって
ツイート書いてだから今はもう
安全です
ハックバックとは?
ツイートしたんだね
もうそれ以上詳しいこと書いてないんで
ハックバックしたって
ハックしましたって書いてたんだけど
そのハックの
細かいところは書いてないんで
もしかしたらちゃんと
連絡をして
テイクダウンしたみたいな話も知れない
そうですねハックって定義もつかそうですからね
知れないんだけど
そこに書いてある経緯とか書いてあるのを
見ると
ここから推測が入ってるんだけど
おそらくフィッシングサイトが
設置されていた
全く別の第三者の
よくある
セキュリティの穴があるところを
そこにフィッシングのサイトの設置をして
そこにユーザーを
引き込むみたいな
人様のサーバーを取って
いろんなサービスのフィッシングサイトが横並びで
設置されているところはあるんですか
国内の銀行で言うと
国内の有名な銀行全部このドメインの下に
置かれているフィッシングサイトみたいなのがあったりしますよね
そのサイトは改ざんされているみたいな
ああいうパターンだったと思うんだけど
僕そのやられたところを大元見てないんだけど
そこを
どうやら
そこに穴があったから
フィッシングサイトを置かれたわけなので
その脆弱性を使って
その攻撃者が
使った脆弱性
おそらく同じ脆弱性の穴をついて
そのフィッシングサイトに
フィッシングサイトというか
改ざんされたサイトに
入ってフィッシングのキットが
置かれていたところをきれいにして
でフィッシングサイトをなくした
ということを
やったのではなかろうかと
という風に言われている
プロトメイルは
ハックバックと言っただけという
ハックしたと言っているので
プロトメイル側からしたら
自分たちのユーザーを
危険にさらすようなところを
防いだわけなので
なおかつ改ざんされているところは
改ざん気づいていなかっただろうから
そこにフィッシング使えているのを
きれいにしてあげたわけなので
いいことではないかと
誰も不幸せになっていない
誰も気づいていないし
よかったでしょと言っている人も
いる一方で
いやいやでもそれ不正アクスでしょ
みたいなことを
真っ当な正論として
言っている主張している人もいて
ツイッターで色々議論されていて
見ていたんだけど
割と2つ割れている
どっちの言うことも一理あるんだけど
それちょっと面白いな
あまり偏りがないってことですか
その中ではちょっと偏っていたんだけど
それはその事件をフォローしている人たちの
36:01
偏りかもしれないので
どうとも言えないんだけど
ちょっと面白いなと思って
そういうこと
本当にやったことか分からないけど
もしやったとしたら
まずそういうことを
普通のサービスの会社がやるんだ
っていう観点と
やったことに対する
結構割れるんだなっていうのが
ちょっと面白い
昔から
例えばエクスプロイトキットとかも
時々穴があったりとかして
リサーチャーがそこに
侵入して情報収集してとか
C2に
贅沢性があって
そういう攻撃者のインフラを
乗っ取るみたいなのは
攻撃インフラを特定して
それに対する
対応する上で
一つの手段としてあるわけじゃない
リサーチャーによっては
そういうことをやっている人もいるし
会社でやっているところもある
組織としてやっているところもあるでしょうね
世界中の読者としては
そういうこともぜひ
意外にグレーなゾーンで
グレーなのかな
法的には
国によって法的にこういうのが
違いもあるし
倫理的にそれが許されるかどうか
みたいな議論もあるし
難しいんだよこういうのって
国内はダメだけど国外は別に
国もあったりしますし
日本は不正アクセス禁止法でダメなところが
例えば海外では大丈夫とかあるかもしれない
あとその同じような
不正アクセスを取り締まるもんでも
範疇が違うとかもあるでしょうからね
実際のところどうなったのかは
はっきりしないんだけど
見ててね
ちょっと
危うさもあり
実際そうやってユーザーが
未然に被害を防げている
プラス面があることは確かに事実なので
そうですね
なんていうんですかね
人によったらね
違法ではないが
不適切みたいなのの
逆みたいな感じ
なんかどっかで聞いたじゃないですかね
一時期よく聞いたやつですけど
結局その議論が
割れるっていうのは
賛否両論あるっていうのは
明確な答えは誰も持ってないということですね
まあそうですね
その行動の良し悪しと
法に照らし合わせての良し悪しっていうのは
また違う判断が割れちゃうんですよね
そうなんだよね
あんまり大きなニュースって話題ではないんだけど
おっと
アンテナに引っかかったっていうか
これちょっと
大事なんじゃないって
少し考えさせられましたね
ちょっと
ちょっと
考えさせられましたね
じゃあ法を変えるのかって話になってくるけど
じゃあそれってどこで線引くの
っていう話もなってきますからね
そうね
だってあとほらこういうの
スピード感的なね
例えば法律にのっとってとか
適切な手順にのっとって
やってるうちに被害が拡大しちゃうみたいな懸念とかね
39:01
そうですね
だからといってハックしていいのか
って話ももちろんあるんだけれども
でもそっち側に立つ人は
言ってる間に
目の前にできることがあって
被害を防げるんだったら
なんでやらないんですかっていうことを
堂々と主張してる人もいるわけよ
見てると
それも一例あるわけ
そうですね間違いじゃないと僕も思います
人が変わるといろいろ立場が変わるなと
見え方が変わるなと思って
答えはなかなか出なさそうですけどね
ないんだけどこういうことって
常に考えておかないといけないんじゃないかなと
思ってさ
そんな8月の夏休み
休んでないけど
ずっと仕事してたけどね
僕も夏休み取ってない
俺もないんだけど
そんな
8月でございましたね
看護さんは
はい
すいません今ネギスさんが喋ってたやつ調べてました
すぐ調べるからね
ツイッターで投票してたんですね
そうそうそう
それはちょっとあんまり
そのツイートを見ている人の中で
ってことなんで
ちょっと偏ってても
あんまり
ページも残ったものですね
分かれてるのかなって結構
面白いですね
結構あれですね
話の延長になっちゃうんですけど
ワードプレスの脆弱性が
見つかった時なんかの
REST API
あの時も日本国内結構改ざんされた
あったね
あったあった
気づかせるために改ざんをするみたいなね
そうだね
ありましたね
ワードプレス
善意だけど多分ね
ダメなんでしょうね
それがダメかどうかって議論だよね
そうですそうです
善意だけど
それで気づけたらいいじゃんみたいなね
でも一方でそれをすることによって
古いんだって分かったやつがさらに
上書きしてくる可能性もあるよね
ってところは出てくると思うんですよね
あとねその
細かいことを言えば
人たちの許可を得てない不正な
アクセスであることには変わりはないからね
そうですね
これだって
ちょっと見解を出すのが難しいんですけど
そうそう
で?
全然別件なんですけど
8月私気になったネタとしては
最近というか最近なんですけど
HISが
情報流出を
してしまいました
事件ありましたね
プレス出されていて
これ自体は
すごい高度な
複雑な攻撃を受けた
というわけではなくて
ウェブサイトの
バスツアーのサイトを
8月にしたみたいなんですけども
公開されているところに
42:00
機密情報
お客さんの情報を置いてしまって
それが捉えた可能性というか
お話しているものなんですが
私興味深いなと思ったのは
この発端の
部分で
これにどうやって気づいたか
HISがどうやって気づいたか
というところなんですよ
HIS自身が
そこを常々監視していて
見つけたというわけでは
どうもなさそうというのが
お客さんの情報の流出について
HISが公開した文章の中に
出だしの経緯が書かれていて
これを読むと
お客さんの情報を
セキュリティ強化のために
セキュリティ関連の外部技術を収集しています
その中で弊社が契約している
外部のセキュリティ技術専門家より
外部サイトに
本件サイトに関する技術が
あったという情報を入手しました
外から
オタクやばいんじゃないのみたいな
それに近いような情報を
垂れ込みがあったということですね
ちょっと残念なこと
残念というか
あまりここに深く
突っ込みをされていることはなかったので
これに続いて放置されているメディアとかも
これが具体的に何だったのか
というのは
出されている以上の情報というのは
明らかではないんですけれども
うまいのは
ある程度
懐に余裕があるというのか分からないんですが
組織によっては外に
監視という
監視というのかも分からないんですけれども
うちに脅威となるような
情報がないかというのを
外部委託しているケースというのは
あるということなんですね
なんか風評を見たりしているというのも
あったりしますよね
ブランドとか
あとは
フィッシングサイトを
見つけるというのがあるので
その一環かもしれないなと思って
僕はこれ見ていたんですよ
この契約内容が
よく分からないけどね
分からないよ
単にコモン契約的なやつで
時々アドバイスしている人が
たまたま見つけたとかそういう感じかもしれないし
そういうのを専門に
見つけるサービスを契約しているとか
という意味じゃないかもしれないから
発端となった事例としては
あまり見たことがない
俺もこの記述気になったんだけど
気がしたので
少しそこは珍しいなというか
もう今時はこういう感じに
普通にプレスに書いたりするんだな
とか
あんまりここをぼかして
ここまで細かく書かなかったりも
するところがあると思うので
直前にJP佐藤さんが
インターネット上に公開されてしまった
データベースのダンプサイト
あってますよね
ここで何か気がついて
舐めて回った人がいるとか
という可能性ってありますか
逆じゃないですか
わかんないですけど
いろいろそういう行為になり
45:00
情報が知る人は知っている状態になっていて
それがどうもまずそうだ
ということに対する注意喚起が
そのタイミングで出た
というのがありえそうな感じでは
自分もワードプレスの
移行をやった時にこれやりがちだな
と思っていたので
逆に企業じゃなくてワードプレスとか
個人のウェブサイトも
結構あるんじゃないかな
という気もちょっとしています
いわゆる聞いたとかQ&Aサイトに
移行の仕方とかあると
だいたいダンプファイルを作って
ケセットまで書いてない気がするんですよね
すごく怖いなと思いました
確かにそうですね
外部サイトって書いてあるんですよね
全然関係ないところに
頭書いてある
ここにこんなの置いているよ
みたいなものを書いていたのではないかな
わかんないね
たまにあるじゃないですか
ここのサイトのここは
この入力地のところにSQLインジェクションを
こうすればできるよみたいな
マニュアルみたいなの書いているサイトとかも
あるサイトの贅沢性について
別のところに
掲示板とかで書いてあったりとか
そういう一環というか
似たような関係かもしれない
かもしれない
そんな8月
そんな8月末でした
これでもあるだね
今のあれだけど
そういう連絡
これはたまたま契約しているから
契約とか全然ない
ところから
そういう情報提供があった場合に
そういう
そういう
情報提供があった場合に
うまくハンドルできるかね
あー
結構それも難しくない
海外でもこういう話はあってさ
そういうの
ちゃんとした
設定がなく公開されているファイルを
見つけるとか
定常的にそういうのをウォッチしている人とかがいて
見つけたらいろんなところに
連絡しているんだけど
そもそも連絡しても全然無反応みたいなね
わけわからん連絡だと思って
問前払いしちゃうかもしれない
まさに今日の
セミナーの基調行為でJPサートの
久保さんが同じことを言ってました
あーそうそうそう
スルーしちゃうっていうのはあるから
そういう窓口って大切なんだよね
ネギさん結構前から
大事だってよく言ってますよね
受け取る窓口がなかったらどうにもならないからさ
窓口があってもそれが本当に
適切なところに
繋いでくれるかっていうのも
そう前も言ったけど
会社の代表電話とかにいきなり垂れ込みがあった時に
うまくそれをハンドルできるのとかね
まさに今日の
基調行為でその話が出てて
リクルート
西森さんですね
サポートに
48:00
連絡したらしいんです
当初
サポートに連絡しても全然反応がない
事例があって
それで直で
話をするだとか
APサート直で行くだとか
本来やったらIPAさん通して
直で行くだとか
間に販売
代理店みたいなのがあったとしても
直接ベンダーに行かなきゃいけないとか
そのルートはちょっと考えなきゃいけないね
みたいな話をしてました
何でもかんでもね
IPAとAPサート経由がいいかっていうと
細かいやつまで全部そこ通っちゃうと
パンクしちゃうから
基本はそこは順次処理してくる
急に溜まっちゃったらさ
どうでもなんなくなっちゃう
すぐには解決できない場所
難しいよね
そんな看護さんの
夏休み
そんな
休んでる感じの話が
一個もなかった
そんな感じですかね
そんな俺ら
来月も
頑張っていきましょう
その前にこの後セミナーやんなきゃいけない
もう一回
ブリーフィング的なことを
しておいたほうがいいかと
思い出しブリーフィング
すぐ忘れちゃいますからね
じゃあそんな感じで
おやすみなさい