1. セキュリティのアレ
  2. 第100回 目指せ!200回!We Ca..
2021-08-30 1:11:50

第100回 目指せ!200回!We Can Do!スペシャル!

Tweet    【関連記事】 ・日本アノニマス超会議!!(#anonloft)のつぶやき[...]

The post 第100回 目指せ!200回!We Can Do!スペシャル! first appeared on podcast - #セキュリティのアレ.

00:00
ちょっと前回のタイトル見ましたか? Did you see the title of this podcast?
このポッドキャストのタイトル。 What was the title?
第99回あの長会議からきっかり9年スペシャルです。 It's a 9-year special from the 99th long meeting.
あ、そうだ。思い出した。そうそう。 That's right. I remembered it.
それ見てさ、思い出したよ。9年前のやつを。 I remembered it when I saw it. The one from 9 years ago.
思い出しました? Did you remember it?
思い出した。ちょうどあの日だったんだね。 I remembered it. It was just that day.
8月のね、23日です。 It's August 23rd.
懐かしいですね。 It's nostalgic.
僕はこの収録中に、収録する前とか、今日どんな感じの話をするの? I talk about what I'm going to talk about today before the recording.
ネタでお互いこんな感じの話をしますみたいなことを軽くうちらするじゃないですか。 I talk about what we're going to talk about.
被らへんようにね。ネタの詳しいとか言わないですけど。 I don't tell you the details of the story.
で、終わった後にもちょっと雑談とかするじゃないですか。 And then we have a little chat after it's over.
最近こんなやねみたいなとかもあるけども、 At that time,
言いたくて言いたくてしょうがない。ずっと我慢してたんですよ。 I wanted to say it, but I couldn't help it.
8月の23日っていうのが、僕とねぎちさんとカンゴさんの初めての共同作業ですから。 Because August 23rd is the first joint work between me, Negishi-san and Kango-san.
え?どういうこと?共同作業? What do you mean? Joint work?
アノニマス懲戒儀っていうのをね、昔やったじゃないですか。9年前に。 We had an anonymous meeting 9 years ago.
それがやったのが8月の23日で、この99回の、9年ぶりの昔の思い出と同じ日にっていうのに、このタイトルすげえなってことなんですけど。 It was on August 23rd, the same day as the 99th 9-year-old memory.
その時にイベントね、新宿でやりましたけども、ロフトプラスワンで、その時の内容をトギャッターにまとめてくれてたのがカンゴさんなんですよ。 Kango-san was the one who put together the content of the event in Shinjuku.
あー、それで共同作業ね。 Ah, that's why it's a joint work.
そう、多分初めて3人でしたことだと思いますよ、これ。 I think it was the first time the three of us did it.
3人で絡んだやつ。 The three of us got involved.
カンゴさんは当日出演はしてなかったけど、今ちょっとどういうことかと頭はてなマークだったけど、理解しました。 Kango-san didn't appear in the event, but now I understand what's going on.
え、トギャッターとかそういうことやってたんだ、それは覚えてなかった、ごめん。 I didn't remember that.
そういうのがありつつ、しかもこのブログエントリーのランダムで振られる番号が999なんですよね。 And the number that is randomly called in this blog entry is 999.
あ、これランダムなんですか。 Is this random?
これランダムですよ。何もせずにポチッとやったらこの番号になりました。 This is random. If you click it without doing anything, it will be this number.
すごいね、99回目で9年前で999だ。 Wow, it's amazing. It's 999 on the 99th time, 9 years ago.
そう、全部9なんだ。 It's all 9.
前回は993だ、ほんとだ。前々回98回は993だ。 It was 993 last time.
そうそう、そこは適当にコントロールできるんだろうとは思いますけど、何もせずにポチッとやるとランダムに選ばれるみたいですよ、数字が。 It seems that you can control it properly, but if you click it without doing anything, the numbers will be randomly selected.
使われてないやつが。 The numbers that are not used.
知らなかった。 I didn't know.
持ってるよね、数字。 You have the numbers.
そうなんですよ、9999づくしでね。 That's right. 9999.
そんなこんなで、だから今回は記念すべき100回目です。 That's why this is the 100th anniversary.
おめでとうございます。 Congratulations.
きましたね、やっときましたね。 It's finally here.
でもなんかあれだね、我々にとっては単なる通過点ですね。 But it's just a passing point for us.
確かに。 That's true.
かっこいい。 That's cool.
ちょっとかっこよく言ってみたけど。 I tried to say it a little bit cool.
確かにね。 That's true.
そう、数字の区切り絵しかないかなっていうね。 Yeah, I think there are only numbers.
最初2017年だっけ、始めたときはちょっと遠いかなと思ってたけど、 At first, I thought it was a little far away when I started in 2017,
03:05
リモートになってペースが上がってからは。 but after it became remote and the pace went up.
むちゃくちゃ上がってますからね。 It's going up a lot.
4倍くらいなってますからね。 It's about 4 times.
1年ちょっと、1年半くらいで一気に来たね。 It's been a little over a year and a half.
確かにね、なんか速度も回数も4倍になってるし。 That's true. The speed and the number of times are 4 times.
1ヶ月に1回やってたときより、割と内容しっかりしてるんちゃう? It's more solid than when I did it once a month, isn't it?
意外とね。 Surprisingly.
意外と週に1回やのに、みんな結構準備してきてるんやろうな、これっていう感じの。 It's once a week, but everyone seems to be prepared for this.
不思議とね、なんかそういうのあるよね。 It's strange, isn't it?
どんな準備してるのかお互い知らないですけど、 I don't know what kind of preparation we're doing,
まあまあちゃんとしてるんやろうな、お互いなみたいな空気感はちょっとあるもん。 but I feel like we're doing a pretty good job.
まあまあこのペースで200回、300回といきましょうよ。 Well, let's do 200 or 300 at this pace.
いっちゃいますね、これなら。 Let's do it.
いけるとこまで。 As far as we can.
いきましょう、いきましょう。 Let's do it.
という感じでございます。頑張っていこうってことですね。 That's it. Let's do our best.
まだまだ暑いけどね、ちょっと。 It's still hot, though.
みなさんあれですか、おかわりないですか? Don't you have any substitutes?
1週間に1回会ってるから、おかわりもクソもないかもしれない。 We meet once a week, so there may be no substitutes or crap.
会ってはいないじゃん。 We haven't met.
声しか聞いてない。 We've only heard your voice.
確かに会ってるようなもんですよ。 That's right.
声しか聞いてないよね。 We've only heard your voice.
なんか最近さ、これちょっとこの間ニュース見たんだけどさ、 Recently, I saw the news,
野菜がえらい値上がりしてんだよね。 vegetables are going up a lot.
え、そうなんですか? Really?
知らない。なんかキュウリの値段がすごい爆上がりしてるとかつって。 I don't know. I heard that the price of cucumbers is going up a lot.
なんで上がってるんですかね。 Why is it going up?
特定の?キュウリ爆上がり? Is it a specific cucumber explosion?
今年不作なのかな。 Is it out of stock this year?
でもキュウリ爆上げしてるんだったら買わずに作ればいいんじゃないですか。 But if it's a cucumber explosion, shouldn't you make it without buying it?
あ、そうそう。看護者さん作ってるでしょ。今年も多分。 Oh, yeah. You're making it this year, aren't you?
そうだ。そういう時期でしょ。 That's right. That's the time.
こっちに回してよ。 Turn it this way.
そんなね、やりきるほどの。 That's too much.
え、だって去年の失敗を踏まえて今年はもうめちゃくちゃできてるでしょ。 Based on last year's failure, you've done a lot this year, haven't you?
あのーですね。 That's right.
今年はちょっと違う方向から攻めたんで、ちょっとまた違う結果に。 This year, I started attacking in a different direction.
あれ、キュウリのリベンジはどうしたのよ。 What happened to the cucumber revenge?
すごい、1回も成功もしてないのに今度は違う方向に攻め始めた。 Wow, you haven't succeeded once, but now you're attacking in a different direction.
いや、ちょっと方向性を間違えたかなと思って、少し変えてみたんですよ。 I thought I made a mistake in the direction, so I tried to change it a little.
どっち方向に? Which way?
あのー、映えの方に変えたっていう感じですかね。 I changed it to look good.
映えの方?映え?映えと。 To look good?
映える野菜に変えたってこと? Did you change it to look good?
もっと楽しくなるような。 To be more fun.
具体的に何?何に育ててるの? Specifically, what did you grow it for?
いや、育ててん、あれこれ始まってるんでしたっけ? Did you start growing it?
始まってますよ。始まってます、始まってます。 It's already started.
失礼しました。 I'm sorry.
今年は、あのー、キュウリ、昨年はいろいろと話題というか、呼んだわけですけど。 This year, cucumbers, well, last year, I called a lot of topics.
興味ある人は去年のポーズキャストをぜひ聞いてください。 If you're interested, please listen to last year's podcast.
キュウリのアイコンが入ってたりとか聞いていただくとわかると思うんですけど。 I think you'll understand if you listen to the cucumber icon.
今年は、前回はちょっと反省というか、いろいろ初心者だったってこともあって。 This year, I reflected on what I did last time, and there were a lot of things that I was a beginner at.
あの後、実はすぐに別のイチゴにチャレンジしたんですよ。 After that, I tried another strawberry right away.
06:04
すぐに? Right away?
すぐなんですよ、しかも。 Yes, right away.
イチゴって冬だよね。 Strawberry is winter, isn't it?
そうそう、なんとなく寒いイメージもあったし、イチゴの写真いっぱいできてる感じの写真も載ってたりして。 Yes, I had a cold image, and I had a lot of pictures of strawberries.
もうその時点で失敗オーラ若干漂ってたんですけど、それで選んでイチゴを育て始めたわけですよ。 At that point, I was a little lost in the failure aura, but I chose it and started growing strawberries.
で、ついにですね、イチゴがなるかなと思ったら、全然ならんくて。 Then, when I thought it was going to be a strawberry, it wasn't.
なんでだろうと思って、いろいろやったんですけど、全然花咲かなくて、まずイチゴの。 I was wondering why, and I did a lot of things, but the flowers didn't bloom at all.
あ、実の前に花が咲かない。 The flowers didn't bloom in front of the fruit.
そうそう、花が咲かなくて、なんでだろうなと思ってて。 I was wondering why the flowers didn't bloom in front of the fruit.
試行錯誤いろいろしたんですけど、ようやくあったかくなってきたらですよ、動きがあったわけですよ。 I did a lot of trial and error, but when it finally got warm, there was movement.
どうなったと思います? What do you think happened?
えー、どうなったと思う? What do you think happened?
ちょっと私も想像しなかったんですけど。 I didn't imagine it either.
遅れて花が咲いたとか? Did the flowers bloom late?
あ、ちょっと惜しいですね。ランナーっていう鶴みたいなやつが、イチゴってどんどん伸びるやつで、ランナー祭りになって。 Oh, that's a little disappointing. It's called a runner, and it's like a crane, and the strawberries are growing. It's a runner festival.
ランナーだらけ、ランナーだらけ。 It's full of runners, full of runners.
ランナーがどんどんどんどん増えていって、で、プランターをいくつか置いてたんですけど、 The number of runners was increasing, and there were some planters,
置いてあるプランターは全部にランナーが伸びきってて、あちこちでそのイチゴの花が咲いてないイチゴの葉っぱだけのやつが。 but all the planters were full of runners, and only the leaves of the strawberries were blooming.
すごいじゃん。すごい育ってるじゃん。 It's amazing. It's growing a lot.
そう、もう増殖してて。 It's growing a lot.
私の目的はイチゴが欲しかったんですけど、イチゴっていうものは出来上がらずに、イチゴの苗からランナーがひたすら伸びていって。 I wanted strawberries, but I couldn't make strawberries, so the runners just kept growing without strawberries.
かごさんさ、そのランナーは映えるの? Kago-san, does that runner look good?
残念ながら、例えたら失敗したサーバーのキャブリングみたいな感じになってましたね。 Unfortunately, it looked like a failed server cabling.
雑なキャブリング。 It was a messy cabling.
本当に悲しかったですよ。会えるかなと思って、色々綺麗な赤いイチゴできるかなってずっと楽しみにしてたんですけど、そういう結果に終わったと。 I was really sad. I was looking forward to seeing the beautiful red strawberries, but that's what happened.
じゃあ結局、実がならなかった失敗の原因は結局わからずってこと? So you didn't know the cause of the failure?
わからなかったですね。もしかしたら何か栄養不足とかがあったのかもしれないんですけど、だけどね、ちゃんと肥料とかも与えてたし。 I didn't know. Maybe there was a lack of nutrition or something, but I was able to feed them properly.
それでまた今度さ、違う方向に行ったらいつまでもリメイクできないじゃん。 So if you go in a different direction next time, you'll never be able to remake it.
確かに確かに。 That's true.
ちょっとイチゴは難易度高かったのかなと。なんか調べたらそんなに難しくないって。 I thought it was a little difficult to make strawberries, but when I looked it up, it wasn't that difficult.
あ、そうなんだ。 I see.
ちょっとやったことないけど想像つかないけど。 I never thought it would happen.
まさかね、あんなことになると思ってなくて、ぐっちゃぐちゃでしたよ本当だから最後の方は。 I didn't think it would happen, and it was really messed up at the end.
で、もう本当花も咲かずに、もうすごい暑く、もう本当に夏場はもうめちゃくちゃ暑くなっちゃったんで、どんどん枯れていって、もう悲惨でしたよ。 It didn't bloom, and it was really hot, and it was really hot in the summer, so it was dying out.
悲しいですね。 It was sad.
今日ちょっと、あの本当に今日そのまさにそのイチゴさんをお片付けさせていただいたわけなんですけど。 Today, I just cleaned up the strawberries.
09:01
そうなんだ。 I see.
悲しい、悲しいですね。 It's sad.
きゅうり楽しみにしたのに、きゅうりはなく、イチゴもなく。 I was looking forward to cucumbers, but there were no cucumbers, and no strawberries.
2連敗、2連敗。 2 losses in a row.
いやいや、負けてないですよ。負けてないですよ。 No, I didn't lose. I didn't lose.
後があったよ、後が。 I didn't lose.
後がない感じ。 I didn't lose.
いや、まだこれから挽回しますから。 No, I'm going to recover from this.
はい、じゃあちょっと楽しみにしてますよ。 I'm looking forward to it.
ちょっとまた次回にご期待いただければ。 Please look forward to the next time.
じゃあ、サムネのためのランナーだらけの写真、後から下さい。 So, could you give me a picture full of runners for the thumbnail later?
なんかそれ、去年もやった気がする。 I feel like I did that last year.
いかに映えてないかみたいな写真をお待ちしてますので。 I'm waiting for a picture that looks so good.
あるかな、あるかな。 I wonder if there is.
最後の方がかなりテンション低めでしたけど、これ、どうなんのみたいな感じでしたからね。 I was pretty down at the end, but I was like, what's going to happen?
本当、鼻のつぼみができたと思ったらどんどん伸びていくみたいな感じのね。 It's like, if you think you've got a bud in your nose, it's going to grow out more and more.
絶望感はたまたまじゃなかったですけど。 I didn't have any despair.
次回もね、次回のピオカンゴ先生の作品をお楽しみにということで。 Next time, I'm looking forward to seeing Piyokango-sensei's next work.
悪い奴ですね。 He's a bad guy.
ということで、お便りが来ております。 So, we've got a letter.
みんなすごいなと思ったお便りだったんですけれども、一つ目。 It was a letter that everyone thought was amazing.
前回、安い賃料の家の話したじゃないですか。 Last time, we talked about a cheap rental house.
1万2千5百円だっけ? 1万2千5百円だっけ?
あれぐらいの広さで、この値段で安すぎるっていうのを、四季金、霊金の霊が、幽霊の霊化みたいなことを言ってたじゃないですか。 You said that it was too cheap for that size.
はい、言ってましたね。 Yes, I did.
なかなか上手いこと言うたな、俺はと思ってたらですね。 I thought I said something pretty good.
1LDK、賃料1万2千5百円付き、霊付き、ゼロ付き、実は12万5千円、ゼロ付きで、数字のゼロでこっちのほうが高いっていう。 It's 12,500 yen with 1LDK and 12,500 yen with霊付き and 0 with霊付き.
そっちのほうが全然上手いじゃん。 That's a lot better.
全然上手いやん。 That's a lot better.
ほんまなんかこう、みんな結構こういう上手いこと言うツイート、ちょいちょいみんな入れてくるじゃないですか。 You know, a lot of people put in tweets that say good things.
え、ちょっとそれすごくない?どっから思いつくんだ?すごいな。 Isn't that amazing? Where did you come up with that?
これすごいですね。霊付きで幽霊かなと思ったら、実は数字の霊が付いてて一桁間違いってすごくない?このツッコミというか。 Wow, this is amazing. I thought it was a ghost with a ghost, but it's actually a number with a ghost, and it's a one-digit mistake. Isn't that amazing?
完全にやられたね、それは。 That was completely done.
完全に上書きされましたね。 It was completely overwritten.
持ってかれた?持ってかれた? Wow.
すごい。 Wow.
完璧超人かよと思いました。 I thought it was a perfect superhuman.
すごいな。すごい。リスナーすごいね、このリスナー。 Wow. Wow. This listener is amazing.
すごいですね。レベルがちょっと高くてびっくりした。 I was surprised that the level was a little high.
脱帽ですわ。 It's a little hopeless.
本当にすごかったですね。 It was really amazing.
これは絶対紹介しようと思って見た瞬間に出ました。 This is the moment when I thought I would definitely introduce it.
前回取り上げたお便りに関しての僕たちのレスポンスに対してのツッコミというか補足をいただいていまして、 Thank you for your comment on the letter we took up last time.
Windowsの改ざん防止機能、タンパープロテクション機能を取り上げていただいて、ありがとうございますということで、 Thank you for taking up the Windows removal prevention function, the tamper protection function.
たぶん僕たちオンエアの中では規定で有効かどうかみたいな話をしたと思うんですけども、 I think we talked about whether it was valid in the on-air recording,
12:00
有効になってないんじゃないかっていうふうになってないかなぐらいの感じの話をしたと思うんですが、 but I think we talked about whether it was valid or not,
これは規定で有効ですという。 but this is valid by default.
大変失礼しました。 I'm very sorry.
大変失礼いたしました。 I'm very sorry.
終わった後反省しました。 I reflected on that after it was over.
その手のやつってどうせ規定でデフォートでは無効なんでしょうみたいな軽い気持ちでちょっと適当なことを言ったら、 If I said something like that, Tsui-san would have said something like that, too.
僕も多分そうだと思いきや、勝手にね。 I think so, too.
適当なコメントに適当な返しでね、本当にすみません。 I'm really sorry for the inappropriate comment and the inappropriate reply.
無効にした場合は黄色で警告されますということなので、 Either way, it's a yellow warning,
どちらかというと僕たちが警告された感じのコメントかもしれない。 so it's more like a warning from us.
本当によくないな。 It's really not good.
2回で退場ですよ。 I'm leaving on the 2nd time.
本当そうですよ。100回で頑張っていこうと言っているのに、もう一回退場の話。 You're right. I'm telling you to do your best 100 times, but you're leaving all of a sudden.
本当ですよ。大変申し訳ありませんでした。 I'm really sorry.
レビューとか二重にしても抜けてしまうっていうのもやっぱりあるなっていう。 It's true. Even if you make a double review, you'll miss it.
ちゃんとしな!ちゃんとしなあかんなっていう。 You have to do it right!
適当なこと言っちゃダメだね。 You shouldn't say anything inappropriate.
ちょっと調べてから後から賞文ノートに書きますぐらいにしとかなあかんなってことですよね。 You have to look it up and then write it down on a show note.
でも賞文としてさ、ちょっとわからないんで持ち帰らせていただきますって、ポッドキャストでちょっと言いにくいじゃん。 It's hard to say in a podcast that you'll take it home because you don't know what it is.
多分そうじゃないかなぐらいな感じで。 I think so.
あと知ってるかなと思って、ツイッターに聞いたら、そうですねって言うから、良かった、合ってたと思って、全然合ってなかったっていうね。 Also, I thought you knew what it was, so I asked you, and you said yes, so that's good.
全然合ってなかったっていうね。 You didn't get it at all.
失礼しました。 I'm sorry.
訂正させていただきますということです。 I'll correct it.
でもそういうツッコミありがたいですね。 Thank you for that.
ありがとうございます。 Thank you.
あとちょっと、今回の話の、僕たちと話した内容に関するツッコミはそんななくてですね。 I don't have much to say about what we talked about this time.
僕が貼ってる、よく見てるなってことなんですけど、これも。 I'm posting it, and I'm sure you've seen it a lot.
アイキャッチの画像を貼ってるサムネというか。 I'm posting a thumbnail of the eye-catching image.
これ、画像の物件収納スペースやバス、トイレ以外はほぼ家の中からアクセスできないっていう。 It's a weird thumbnail that you can't access from the inside of the house except for the storage space, the bathroom, and the bus.
変な間取りになってる。 It's a weird thumbnail.
前回の。 Where did you get that picture from?
これ、間取りでフリーの画像をもちろん探してきているやつなんですけれども。 I'm looking for a free image in the thumbnail.
これ、エジャビューの時にね、僕ね、そういうのを意図して探してたんですよ。 I was looking for that kind of thing when I was doing this.
わざと? On purpose?
そうそうそう。この部屋入られへん?くない?とかね。 I was like, can't I enter this room?
窓がどうたらこうたらとかね。 I was looking for a window.
そんなとこまで全然見なかったよ。 I didn't see that at all.
わざとそういう間取りを探したら、すぐにどんぴしゃのがフリーの画像で見つかって。 I was looking for that kind of thing on purpose, and I found a free one.
で、またそれをリスナーが指摘してくると。 And the listener pointed it out again.
そうそうそうそう。 That's right.
一回なんか、なぜ廊下を壁で塞いだんだろうみたいなところの突っ込みまでいただいてるんですけど。 I was wondering why the floor was blocked by the wall.
僕がたまたまね、どうせ住んでたら変な間取りのやつを探そうと思ったのは、 I happened to look for this kind of thing.
僕が見てたYouTubeのやつと、それとそれに連動して発売された変な家っていう小説というか本があって。 There was a book called Weird House that I was watching on YouTube and was released in conjunction with it.
15:02
この間取りはなんなんやろ。どういうことに使われてた家なんやろ。 What is this window? What was it used for?
なんでこの部屋は子供部屋やのに窓がないんやろみたいなちょっと怖いやつがあって。 I was wondering why there was no window in this room even though it was a children's room.
それが頭にあったんで、どうせやったら変な間取りにしようと思ってやったんですけど。 I had that in mind, so I thought I'd make it a weird window.
やっぱ皆さんちゃんと見てますね。2人ぐらい突っ込んでました、これに。 Everyone was watching it, so there were about two people in it.
さすがだな。みんなすごいな。 That's amazing.
これからわからないことあったらリスナーに聞こう。 Let's ask the listener if you have any questions.
辻さん何言ってるかわからないときは。 When you don't know what you're saying.
リスナーじゃないじゃないですか。僕らがリスナーになってます。 We're not listeners. We're the listeners.
ありがとうございます、お便り。 Thank you for your letter.
ありがとうございます。よく見ていただいて、よく聞いていただいて本当嬉しいです。 Thank you very much. I'm glad you listened to it.
ということで、そろそろ本編というか、セキュリティーの話をしていこうかななんて今日も思い始めたわけなんですけれども。 So, we're going to talk about security in the main part.
今日はそうですね、ねぎっさんお願いしていいですかね。 Can I ask Negi-san today?
はい、じゃあ私トップバッター行きたいと思いますが、今日はですね、エクスチェンジサーバーのちょっと新しい脆弱性の話をしたいと思うんですけど。 I'd like to talk about the new vulnerability of the Exchange server.
今月に入ってちょっとね話題になってるんで聞いたことある人もいると思うんだけど、プロクシーシェルっていう脆弱性に名前がついてるんですけど。 I think it's been a hot topic this month, so I'm sure some of you have heard of it. It's called Proxy Shell.
これですね、3月ぐらいにポッドキャストでも取り上げたと思うんだけど、覚えてる人はプロクシーログオンっていう脆弱性、結構話題になったと思うんだけど、名前が出るところからわかるかもしれないけど、見つけた人同じ人で、台湾のデブコアっていう会社のオレンジサイさんっていう非常に有名な、たびたびね、こういう脆弱性を見つける有名なセキュリティ研究者がいるんですけど。
その人がわすら3月のプロクシーログオンに続いて見つけた脆弱性ということで、実はこれ4月のPawn to Ownっていうコンテストがあるんだけど、そこで交易成功して披露されて、賞金20万ドルっていう最高額を獲得してるという脆弱性なんですが、最初にちょっと大事なこと言っておくと、これオンプレのエクスチェンジサーバーの脆弱性なんだけど、
マイクロソフトからは5月にもアップデートが出ているので、5月以降ちゃんとセキュリティのアップデートをしていれば安全ですと。
エクスチェンジサーバー運用してるけど、3月ぐらいのプロクシーログオンのパッチを当てたけど、それ以降当ててないとかっていう人はちょっと今すぐ当ててください。
脆弱性の中身ちょっと軽く説明すると、実はプロクシーシェルって名前はついてるんだけど、中身は3つの脆弱性の組み合わせになってて、最初はその認証なしで、認証をバイパスするっていう脆弱性が最初あって、その後権限昇格するっていう脆弱性が続いて、
18:04
最終的に認証後にコマンド実行できるっていう脆弱性があって、この3つを順番に組み合わせると、外部から認証なしでコマンド実行までいけちゃうよという。
すごい合わせ技一本って感じですね。
すごいよね。なかなかこういったところね。最近はやっぱり一発でズドンっていうのがなかなかないよね。
確かにですね。
何かと何かを組み合わせて攻撃っていうのは、それだけ攻撃が難しくなってるっていうことだと思うんだけど。
プロクシーシェルってプロクシーログオンと若干紛れはしいんだけど、名前が似てるのは一応理由があって、これは見つけた人が同じっていうのもあるし、
実は前回のプロクシーログオンとちょっと似ているところがあって、エクスチェンジサーバーのコンポーネントでクライアントアクセスサービスっていうコンポーネントがフロントにあるんだけど、
その中にあるプロクシーの機能っていうのがあって、ここを狙った攻撃なんだよね、両方とも。
なのでプロクシーホニャララってのがあって、実はもう一個プロクシーオラクルっていう贅沢性があって、このオレンジサーバーは3つ見つけて報告してるという。
そのうちの一つが今回のプロクシーシェルってやつですね。
なので名前紛れはしいけど、危険度は前回のプロクシーログオンと同じぐらい。
同じぐらいなんだが、唯一今回ちょっとホッとしたというのは、前回の3月のこのポートキャストをぜひ思い出してほしい。
思い出せない人はもう一回聞き直してほしいんですけども。
前回は3月に緊急で定例外でパッチが出たんだけど、その時にはもうすでに攻撃がゼロデイでインザワールドになってて。
しかもオレンジさんが12月に報告したにも関わらず、その3月にパッチが出るまでの間に1月ぐらいから攻撃がもう実は観測されてて。
ひょっとしたらマイクロソフトに報告したやつがどっか途中で漏れたんじゃないかとか。
コーディネーションうまくいってなかったんじゃないかとか話されてましたよね。
あと事前にセキュリティのベンダーとかにパートナープログラムで公開されるんだけど、密かにね。
パッチだけじゃなくてシグネチャーを作ったりとかいろいろあるんで、そういうためにパートナープログラムってのがあるんだけど、そこからどっか漏れたんじゃないかとかね。
いろいろ言われてたんだけど、そういう経緯があって。
ちょっと前回は非常に攻撃がやばかったんだよね。パッチが出る前からもかなり攻撃されてたと。
だけど今回はその辺は良くて、5月にもパッチが出てるっていうのもあるし。
今月話題になっているのはなぜかというと、今月の8月5日にブラックハットで、アメリカのブラックハットのカンファレンスで、
オレンジさんがこの電卓製の詳しい報告をしているんだけど、そこまで中身が全然表に出てこなかったと。
ということで、ちゃんとパッチを当てている猶予期間があったかなというので、今回は前回よりはちょっとマシかなと。
21:05
ただし、ブラックハットの発表の後に、先週くらいかな、ブログでオレンジさんが詳しくゼラックするのもいいよねということで詳しい報告を書いていて、
それ以降、その前後くらいから攻撃行動が出たりとか、これも先週かな、メタスプロジェクトに取り込まれてるみたいだし、
その前後あたりから実際に攻撃とかが観測され始めて、いよいよやばい状況に入ってきているので、
もうちょっと待ったなしというか、今からのちょっと手遅れかもしれないという感じですね。
そんな感じです。
典型的な攻撃っていろいろあるんだけど、前回のプロクシーログオンと似ているところとしては、攻撃されるとWebシェルが設置されて、
それを経由していろいろバルサをされるということで、中には今回ロックファイルという新しいランサムウェアの観戦が発見されたというレポートがいくつか出ているんだけど、
そういうランサムウェアの攻撃にも利用されているらしいと。
やっぱり最近こういうのを、贅沢性が悪用可能なものが見つかるとすぐに使われるっていうかね。
そういう感じなので、今回みたいにパッチの有用期間がある場合にはいいけど、有用期間がないと攻撃されるまであまり時間がなくて、
どっちが早いかっていう、そういう競争になっちゃうなっていう。
そんな感じですけども、贅沢性の中身は今回ちょっと詳しく紹介しないけども、ぜひブログとか読んでほしいんですけども、
今ちょっとそういう状況になってきたので、いよいよ攻撃が今広く観測されているので、
もしまだパッチ当ててない人は本当に今すぐ当ててくださいっていう。そんな感じですということですね。
なんかこの最近の脆弱性の傾向っていうとちょっと大きすぎるかもしれないですけど、
ちょっと興味深いなあってか、ちょっと気になるなと思ったのは、
この今回のプロクシシェルっていう攻撃の目的を達成するためには、この3つの脆弱性を組み合わせるっていう。
結構最近よくあるじゃないですか。これで回避して入ってからみたいな。
最終的にドカンとやるやつはいきなりは実行できひんけど、それを打つために、環境を整えるためにこの脆弱性使ってみたいなのってちょこちょこありますよね。
増えてきているような印象があるんですけど、ということは言い換えれば、
複数の脆弱性のうち何か1個でも対処しておいたらダメージはだいぶコントロールできるってこととも言えるってことですよね。
そうそうそういうことなんだよね。このエクスプロイトチェーンとかってよく呼ぶけど、
連続してやらなければ最終的な目的まで達成できないっていうことは、そのチェーンのどっか1個できれば防げるんだよね。
それは結構大きなポイントで、前に比べれば攻撃の難易度が上がっているし、防ぐ側の観点で言えば、どっかのチェーンを断ち切ることができれば攻撃失敗なので、
24:10
防ぐ側も対処はしやすくはなっていると思うんだけど。
昔は一撃でこれ当ててなかったら即死みたいなやつだったけど、3つのうち1個でも当たっていれば死にはせえへんかもみたいなところまでいってるから、
1個の被害に対してフェーズが細切れになっているなって感じですよね。
それはあるね。
ただし、それと逆に脆弱性が出る前から攻撃されるとか、ゼロデイで攻撃されるとか、出てからの攻撃までが早いとか、
そういうところは以前よりもだいぶ防御側が不利になっている感じがする。
攻撃のスピード感っていうのは増す一方かなって感じですね。
以前に比べるとかなり増してるよね。
特定の年に数個しか出えへん、本当に少ないゼロデイがあったとかっていう感じじゃなくて、そこが数も増えてるイメージありますね。
ゼロデイについては、いろいろカウントの仕方っていうかね、そもそもゼロデイとして観測できてなければカウントできないっていうのもあるんだけど、
あるけど、分かっている範囲だけで見てもやっぱり数が増えていることはどうも間違いなくて、
そういう状況はちょっと悪いよね、そういう意味では。
今回のこの3つの脆弱性って、回避するやつと権限昇格するやつと、最後のコード実行するための脆弱性って3つあるじゃないですか。
これちょっと細かく見てないから、各CV番号見てっていうのは見てないですけど、
これインパクトで言うと、CVSSのインパクトで見ると、リモートコード実行が一番大きそうじゃないですか。
でも、イノ1番にこの攻撃を防ごうと思ったセキュリティ機能回避の脆弱性の方を先に当てといたら、その先に進めないので、
こっちの方がパッチ対応を当てる優先の高そうと思ったんですよね。
そうだね。
その辺結構難しいですね。CVSSのスコアだけで見たら、順番とか優先順位のこのプロクシェロにおいては入れ替わるかもしれないなっていうのがあるんで、
しっかりと見ないといけないっていうふうにも思いましたね。
全部当てれればそれに越したことないんですけど。
そういう人いないと思うけど、脆弱性を単体で、こういう場合は単体で見てはあまり良くなくて、
例えば今回のやつでも一番最後のコード実行やばいじゃん、だけどこれ認証後のやつかってなったらさ、
そんなに検討してもいいかみたいな、単体で見たらそう判断できなくもないけど、
いやいやその手前に2つチェーンがあるから、結果この3つセットで考えておかないとダメよね、というところとかね。
だからそういうCVEとかCVSSのスコアだけをつまんで見るっていう判断の仕方は良くないかもしれないね。
27:04
確かに確かに。もうちょっと俯瞰して見ないといけないってことですね。
なんかそのエクスプロイトチェーンって話はさっきあったんですけど、チェーンとして評価する仕組みってあるんですかね。
ないね。
ないんじゃないかな。
なんかそこは、
看護師さんが言ってるのがあれだよね、例えばCVSSみたいな一般的な評価の。
いやそれは聞いたことないな。
なんかそういうの必要になってきそうですよね、こういう組み合わせで攻めるっていうのが上等手段になってくるとやっぱり。
確かにね。
例えば今の分類の仕組みっていうか、CVEだとCVE番号って単体でしか多分なくて、
その関連するCVEというかそのチェーンになっているCVEが他にあるかどうかっていう、それもわからないじゃない。
そうですよね。
確かに言われてみればそれはあんまりないかもね。
そういうのされてきてないんですよね。
評価っていうのをちゃんとやっていくっていう意味では、
なんかそこを数字じゃなくても同じ会話ができるような仕組みっていうのがないと、
やばいでしょって言ってる人もいれば全然やばくないよって言ってるものもあったりして混乱しそうな感じがしますね。
噛み合わないって話そうですね。
確かにね。
そういう意味では例えば今回みたいなやつはプロキシシェルっていう一応名前を発見者がつけていて、
この3つで1つだよっていう風に一応言ってるから、
わかりやすくはなっているけどね。
確かにな、なるほどそういうのを評価する仕組みか。
今回みたいに3つまとめて見つけて報告されればわかりやすいけど、
例えば前にもホットキャストで取り上げたけど、
ブラウザーの全体性とかだと全然関係ないやつが組み合わされたとかっていうのがあったりするのは割と普通なので、
そういうのも確かにそれを1つのチェーンとして捉えるっていうのは、
結構中身がちゃんとわかっている専門家でも難しいかもしれないね。
今そこをやっぱり脆弱性をちゃんと追っかけている人じゃないと、
こういう使われ方をしてこういう風にやばいんだっていうのをしっかり語れない状態になっているのは結構まずいかなと。
そうだね、その辺は脆弱性、攻撃の難易度もそうだけど脆弱性自体もちょっと難しくなってて、
パッチを何でもとりあえず最新にしておけばいいと言えばいいけど、
そういうのを理解しようと思うとその影響度をちゃんと判断しようと思ったらちょっと難しくなっているかもしれないね。
前よりもハードルが高いかもね。
なるほど。
でもそういう視点で組み合わせて使われるものってやっぱり組み合わせて捉えないと正しく判断できないもんね。
なんか条件に認証後のとかついてた場合はあえて認証を突破する手段が他にないかっていうのをちょっと気にしてみるとかっていうのは一緒に、
30:03
今できることとしてはそういうことを気にしておくとかいうのはありかもしれないですね。
そうだね、その辺りになってくるとあれだね、いわゆる攻撃者の目線で見るっていうかさ、
これ単体では使えないから何かと組み合わせたらうまく攻撃できないかなっていうのは多分攻撃側の考え方なんだよね、それってね。
そうか。
そういうのが求められてるってことかもしれませんね。
ですね、なかなか辛いな、こういうのがいっぱい湧いてくると。
そんな状況ということで今回ちょっと取り上げてみました。
あとは名前がややこしい。
それはわかるけどね。
なんかCVEをね、複数のCVEをまとめてこういう攻撃っていう風に名前つけるのはすごく賛成だしわかりやすいんですけど、
なんでしたっけ、プロキシシェル?プロキシログオン?ゼロログオン?
もうさ、なんかこうなってくるとさ、なんか橋野恵美さんと星野昭さんと柏原育恵さんと坂木原芳恵さんみたいな感じのCVEじゃないですか。
よくわかんない。その例えがわかりにくいんだけど。
似てるけど別人みたいな、なんか顔見たらわかるけど名前見たらわからんみたいな感じのね。
確かに確かに。
そういう新しいCVEをくるむ仕組みみたいなものを考えて、こういう名前もちょっと考えてほしいなって気がしますよね。
APP数字とかもやめてほしいなと思うしさ。
名前大事やなって思いましたね。
確かに。
ありがとうございます。
はい。
ということで、次はかんごさんお願いします。
私はですね、8月18日に映像っていうディスプレイとかを製造販売してる会社。
映像といえば、なんかね、昔からこう素晴らしいディスプレイのメーカーっていうなんかそういうイメージか。
いやーもう僕がめちゃくちゃなんか新卒時代に憧れたモニターでした、これは。
なんかそういう感じだよね。
知り合いが使ってて羨ましかった。
でですね、そちらの会社が8月18日に海外の現地の社員の方のメールアカウントが不正利用されてしまいましたっていう形でお詫びのリリースを出されてるんですね。
この手のインシデントちょっと言い方あれですけども、割かしよく見かける類のセキュリティ事故ではあるんですけど、大学とかでもねよくあったりするんですが。
今回これなんで私ご紹介したかったかというと、不正利用、いわゆるアカウントが第3者に乗っ取られてしまったっていうわけなんですが、その後に不正利用って言ってるぐらいなので、
フィッシングだったかな、フィッシングのメールがアカウントに登録されていた中からランダムに取得した620件に対してメールを飛ばしたと、第3者が勝手に。
ここまでも割とよくあるという言い方あれですけども、割かし目に見かけるシーンではあるんですが、私驚いたのは、その不正利用が行われてからアカウントが提起される、当然停止はするんですけども、提起される時間、非常にびっくりしまして、
33:15
約45分後って書かれていて、
ね、そう、私もこれ見た瞬間はやっ!と思って、え?と思って、本当に?って思っちゃうぐらいの速さだったので、ちょっとびっくりして、
これなんでこんな早く対応できたのかなっていうところの、ちょっと点末は映像が出されている報告とお詫びのリリースの中には書かれてはいなくてですね。
セキュリティネクストが映像に対してこの件取材をされておられて、そこの45分で停止できたというところの一つの要因になったのが、
結構その社内で、いわゆるメール訓練ってあるじゃないですか。よくやってるじゃないですか。それをやっていて、開いたかどうかという話ではなくて、
エスカレーションすると、情報システム部門に対してしっかり報告を上げるという体制を構築していたことが停止に至った。
早く停止に至ったっていうことは、映像の方自身は直接は言ってないんですけども、その45分での停止を実現した。
もっと言うとですね、フィッシングメール自体はフェアクリプトされてから15分後だったので、実質的には30分ですね。
30分でアカウント止められたというところは、メール訓練をしてエスカレーションするということをちゃんとやっていたからということが背景にあるらしく、
実際そのフィッシングメールが社内外の人に飛び交って、情報システム部門に対してもすぐエスカレーションが、こんなメールが来てるという形で上がってきたということなので、
かなり早い時間でアカウント停止を実現できて、すぐその後の対応を迅速に行えたので、結果的にそれ以上の被害はなかったということで、
これは見習いたいというか、やっぱりエスカレーション体制っていうのをしっかり構築しておくと、こういった早い対応っていうのが取れるんだなというのが改めて気づかされた事例だなと。
いやなんか、ちゃんとした訓練を、目的を持った訓練という呼べるものをしっかりして、それがちゃんと生かされた例としてもっと注目されるべき内容でしょうね。
そうそうそうそう、本当に。あんまりこの件はね、大きくはクローズアッパーされてなかったので。
いや僕も45分っていうのは全然気にしてチェックしてなかったですね。45分はすごいなぁ。
で実質30分なんでしょ?
そうそう、メールが飛んで、それで実際気づいて報告上がってから対応するまでが大体30分なので。
これ海外の現地、海外現地社員が被害に遭ったっていうやつなんですね。だからフィッシング自体は多分英語系のやつなんでしょうね。
36:09
そうですね。
これ最初ニュース見た時は、日本でもこういう事例が出始めてきたのかと思って見てたんですけどね。
ワンドライブフォービジネスを装ったやつでしたね。これ確かね。
結構国内のフィッシングってAmazonとか楽天とかそういうB2Cが多いじゃないですか。
そうですね。
クラウド系を装ったやつってあんまり海外のレポートと日本のレポートに比べるとすごい差があって。
マイクロソフトを装った系とかって国内そんなに出てこないじゃないですか、報告には。
はい。
なんでこういうの増えたのかなと思ったら海外だったっていうのでちょっと覚えてた感じではあったんですけど。
でもすごいですね。
これさ、最初の不正アクセスされた現地社員のアカウントはどうやって乗っ取られたの?
残念ながらちょっとそこは取材された時点では判明してないそうです。
じゃあもしかしたらそこもフィッシングとかかもしれないし、なんか別の理由かもしれないけどってことなんだね。
そうですね。
なるほどなるほど。じゃあそこはちょっと書いてないんだ。
はい。日本ソニーショーは使ってなかったそうです。残念ながらその不正アクセスを受けたアカウントは。
だとするとじゃあもしかしたら普通にフィッシングでパスワードを入れちゃってとかっていう。
そうですね。
なるほど。
はい。
まあその辺はちょっとあれだね、今後の見直しのポイントかもしれないね、ひょっとしたらね。
はい。
でもその乗っ取られた後の対応が素晴らしいね。
そうですね。
あとでもこれ現地社員のメールでも止めるのすぐできたんだね。ちょっとわかんないけど。
どうなんですかね。ちょっとそのどういう使い方を、どういうものを使ってたかってちょっとここでははっきりと書かれてないんですけど、
なんかね、マイクロソフト365とかあの手のものを使ってるんであれば。
そうそう。
復活管理かもしれないですよね、これ。
そうそう。
もしかしたらそういうちょっと思ったのは使ってるインフラにもそのスピードってよるのかなって。
確かに。
そうですね。
そういうなんて言えばいいの、その集中管理がしやすくて、統制の取れたところだとこういう対応もできるんだっていうね。
なるほど、確かにそうですね。
素晴らしいね。だからその各現地法人とかにオンプレでサーバーがあったりとかしたらそんなに早くできないんじゃないかっていう。
確かにもう、下手したら1週間とかかかるかもしれないですよね、本当場所によっては。
現地時間でとかさ、だから連絡もあんまならないしとかね。
そういう点では良かったなっていうかね、もしかしたらそういうインフラ、使ってるインフラでの利点があったのかもしれないね。
そういうところも今後はポイントかもしれないね。
いやでも最初の乗っ取りは防げなかったかもしれないけど、被害はまあ最小限に抑えたって言っていいだろうね。
39:03
そうですね。なんかすごい小じんまりした小中小規模の企業であったらなんか通過ですぐ、例えばもうすぐ連絡取って対応とかっていうのはできるケースももちろんあるとは思うんですけど、
会社の規模、グループで見ると2469人、今年3月末現在って書かれてるので、結構ね大きさの会社なので、それでこんだけ。
その割では機敏な動きだよね。
そうそう、ちょっとびっくりしました本当に。
いやー素晴らしいですね、確かに。これはいやでも看護さんに取り上げてもらって言われてみないとこの良さがちょっと気づけなかったかもしれない。
いやもう本当素晴らしいと言っていいのかなと思いました本当。
いやスピード感もこの45分っていうやつだけじゃなくて、これ8月の6日に発覚して8月の18日にリリース出してるんで。
あー確かに。
なんで、この起きた日を足さなかったら8営業日ぐらいなんですよね。
そうですね。
だから10営業日もかかってないから、出すスピード感の速さもいいんじゃないかなと思いましたね。
こういう対応してくれればね、最初のアカウントの取り防げればいいんじゃないのっていうかね。
確かに確かに。改善の余地はあるけど、ここ突破されたらっていうのをしっかりカバーできてたっていうところがいいと思います本当に。
そうだね。
なかなか珍しい。先ほどの訓練がうまくいきたっていうのも含めて。結構珍しいかもしれないねこういう事例が。
そうですね。しっかりそれを出してくれたっていうのも嬉しいですね。
公開してくれたってことね。
そうそうそうそう。
次モニター買い替えるときは映像のモニター買っちゃおうかなみたいな気持ちになるもん。僕とか。
なるかな。
なるなる。
ちょっとそこは分かんないですけどね。
なんでだってそういうしっかりした対応したところのものは買っちゃおうかなとか思いませんか?
まあまあそれはそういう効果があるかもしれないね。
まあでもそれはともかく見習いたいよね。こういう対応に。
分かりました。ありがとうございます。
はい。
ということで最後僕からお送りするわけですけれども、今回僕が紹介するのはIPAって知ってます?
はい。
ビールじゃないですよ。
そんなふりいらないよ。
IPAが出しているIPAのコンピュータウイルス不正アクセスの届出事例の2021年の上半期版1月から6月までの部分ですね。
これをまとめたレポートが出てたのでそれ読んでみましたというお話をちょっと今日しようかなと思うんですけど。
珍しいね。これ半年に1回ずっと出続けてるから。昔からあるやつだけど。
なんか昔から出てるからなんかこうだんだんだんだんさらっとしか読まへんようになっていったりとかしてるんで。
42:01
それよくないなってたまに思うから今回は読もうと思って読んでみたんですけど。
これどういうものかというのを簡単に説明しますね。
IPAがこういったそのコンピュータウイルスとか不正アクセスの届出を受付をしているんですけれども、
それを受理した届出のうちから特筆すべき事例ですね。
ちょっと皆さんの参考になるんじゃないかとかこういうの増えてますよみたいないろんな理由があるかとは思うんですけども、
特筆すべき事例、ただし未然に防止できたというヒアリーハットって呼んでいるのがわかりませんけど、
そういったものも含んだ事例を紹介するというものです。
届出されている情報というのはもちろんその事件が起きてから最後まで全部時系列で報告されているわけではないので、
断片的なものがあったりとか原因、結果とかっていうのを全貌が特定できていないものの中にはありますと。
なのでその把握できている情報の範囲内で説明をしてくれている。
中には一部こうだったのかもしれないなという風ないわゆる推測推定の類のものも含むような場合がある事例紹介集みたいなものだと思っていただければいいと思います。
今回は届出の中で取り上げられている事例が127件というふうに書いてあったんですけども、ここで問題です、お二人に。
1、2、3、4、5つ大まかなものがあってその他を省くとあるんですけども、
コンピュータウイルスの検知・感染、1つ目。
2つ目、サプライチェーンに関するインシデント。
脆弱性や設定不備を悪用された不正アクセス。
IDとパスワードによる認証を突破された不正アクセス。
ミノシロ菌を要求するサイバー攻撃の被害。
今言った5つありますけど、さあ一番多かったのはこの127件中1位はどれでしょう。
数が多かったってこと?
数、数、数。
数か、辻さんが一番気になったやつどれかなって聞いてたら最後のしかないかなって。
それはランサムしかないよね。数で一番多いのは認証突破じゃないの?
ネギさん認証突破、カムさんはないと思います?
マルウェア感染。
正解1位はネギさんです。
ほら、やっぱりそうか。
ただ、1位と2位は1件差なんですよ。
近いね、2位は?
2位はミノシロ菌を要求するサイバー攻撃。
ランサムはやっぱり多いんだね。
31件と30件ですね。
やっぱり国内でもランサムが増えてるって感じがするね。
そういった件数とかも見ていただければわかるんですけども。
ちなみにそれは今の件数が多いっていうのは届けで件数が多かったってことなの?
いや、ピックアップすべきっていうやつです。
ピックアップすべきってものが、もしかしたらこれを多く取り上げようっていう。
そうですね、いろんな意味が込められてると思いますけど。
45:00
ちょっと今勘違いしちゃった。
127件取り上げたものの中の多いものってことね。
例えば数がいっぱい多かったから注目してもらいたいっていうのもあれば、
いろんなバリエーションがあったから例をいっぱいピックアップしたっていうことも考えられるので、
そういうフィルターがあるってことは事前に分かった上で見ないといけないですね。
なるほど、了解です。
不正アクセスとウイルスの届出っていうところがあるんですけども、
不正アクセスの届出というところでどんな傾向だったのか、どんなものがあったのかというところを
先ほどもちょっと触れましたけれども、
認証の突破とか脆弱性とか設定不備という風なものを使われる、利用される攻撃のように、
一般的に知られているようなパッチ当てるとか、パスワード強固にしましょうとか、
もう1個の認証を設けましょうみたいな、一般的によく知られたセキュリティ対策、施策を実施していれば
防げていたようなものもあるという一方で、
委託先とかのサーバーの侵害を受けたとか、
あとはSaaSの基盤を使っているところの設定不備、
こうなっていると思ってた、実はこうなっていなくて問題のある設定だった、
みたいなものによる情報漏洩など、
自分の組織のシステム管理とか利用しているユーザーだけでは直接何かできるっていう風なものではない、
いわゆるサプライチェーン攻撃という風なインシデントが目立ってきたという風な傾向があると書かれてありました。
ウイルスの方なんですけども、
これですね、前のレポートですね、2020年の下半期にあたる7月から12月分かなのやつが49件だったのが、
今期は14件ということがあるんですけども、
これはエモテッドがこのポッドキャストでも何度も取り上げている、
エモテッドのテイクダウンが1月の27日かなにあったと思うんですけども、
それが影響していてかなり減ってきてはいるものの、
エモテッドと似た手口で感染活動を行う、
例えば変身を装ったものであるとかですね、
そういったものが別のウイルスが登場してきていて、
そこからの繋がりでランサムウェアの感染被害の届け出が多かったという風に書かれてありました。
なのでこのエモテッドなき今、
僕らもこことか、このアレの中で説明したりとか、
セミナーとかでもちょっと話題にあげたりしてますけれども、
ICEのIDとかカークボット、
そういったものが目立ってきているという風に書かれてありました。
そういったものの対策として、
こういう風なのもいいんじゃないのっていうことの紹介でさらっと書いてあったんですが、
こういった添付ファイルで、
ジップファイルとかにパスワードつけて中開けたらオフィス系のファイルですね、
ワードとエクセルでマクロで感染してどんどん広がっていく、
攻撃されていくという風なものに対して書いてあったのが、
安全であろうと判断できるまでは編集を有効にする、
コンテンツの有効化のボタンはクリックしないことが重要って書いてあったんですけど、
ちょっと厳しいかな、
48:01
安全であろうと判断できるかな、難しいよなってところもあるんですけど、
まあ気をつけるっていうことは常々しないといけないんですけど、
できればこういったマクロとかをオフにできる運用があるんであればみたいなものも探ってみるってことも
併せてしていただけた方がいいんじゃないかなとかっていう風にも見ててちょっと思いました。
今のが不正アクセスの届出とウイルスの届出にあったののざっくりまとめみたいな感じなんですが、
個別に結構これ事例さっきも言ったとおり127個紹介されているので、
読むだけでもページ数も結構あって読みごたえのあるやつなんですけども、
その中でいくつか事例が127ある中で気になったものをちょっとピックアップして皆さんに紹介させていただきたいんですが、
さっきも触れたとおり返信予想位パターンっていうのところで、
メールアカウントが乗っ取られてそれを使われていわゆる踏み台ってやつですね、
そこから乗っ取られて過去のメールを使われた引用の送信とかもあったりとか、
単にそのアカウントを使って踏み台にされてばら撒かれるっていうようなケースが多いんですけれども、
並んでいる事例をザーッと見ていくと、やっぱり相変わらずパスワードが弱くてやられましたっていうようなものも多いんですが、
それに加えてちょっと目立ってるなと思ったのが、長期間利用されてないとか、
ほぼほぼ使ってないって言われるようなアカウントを放置していることによってそこが穴になって乗っ取られているケースっていうのが目立ってました、
このレポートの中で出ているものでは。
これも本当に基本的な、要らないポートは閉じるとか、使ってないサービスは落とす、
辞めた人のアカウントは消すみたいなものっていうのが鉄則として挙げられるものですけども、
まあまあこれもなかなか守られていないので、こういった棚卸しもソフトウェアだけじゃなくて、
アカウントの見直しっていうのもしっかりとしてアタックできるポイントを狭めるという当たり前のことが、
まだまだできていないかつ必要なんだということを見て、このレポートを見て感じました。
普段使用していないアカウントが乗っ取られるってどういうケースなんだろうね。
なんかあれですかね、パスワードが弱いっていうのと引き継がれて、
IDパスワードが漏れたものに入っていて、それを使ったらまだまだいけたとかなんですかね。
使い回し系?
そうそう、リセットすることもないじゃないですか、辞めてしまったとか、使ってないアカウントだから。
普段アクティブなアカウントだったらフェッシングとかに引っ掛かるっていうのがありがちだけど、
アクティブじゃないやつが乗っ取られるってことは、やっぱりIDパスワードがもともと弱くて、
ずっと漏れたものが使われ続けてパスワードの変更もされてないとか?
そういうのが多かったら、パスワードの有効期限つけて定期的変更するとかってそれなりに効果ありそうじゃない?
定期変更じゃなくてもいいじゃないですか、使わなかったらロックするだけでもいいじゃないですか。
もちろんそうなんだけど、現実棚卸しができてないっていう現状を考えると、
51:01
保険的な対策としてある程度有効期間をつけて、パスワードがその期間過ぎたら無効になっちゃうっていうのは、
こういうケースでは一定の効果はありそうだなと思ったの。
そうですね、そのために全員に労力を咲かせるかという問題もあるけど。
それとトレードオフであまり対策として推奨されないから今全然やられてないけど、
こういう場合には、こういう人にとってはアクティブでないアカウントには有効な場合もあるんだなっていう。
レアケースかもしれないですけど。
非常に限定されたケースだけどね。
あといろんなところで何億件、何千万件みたいな感じで漏えいしてるじゃないですか。流出してるじゃないですか、IDパスワードのセットとかって。
もはや100億件超えてますからね。
そういうのとかを見てると、メールアドレスの感じ見てたら、完璧にそうだとは言い切れないですけど、
イベント用とか何か用のために作ったメーリングリストとかそういう感じなんやろうなみたいな、
インフォアットマークに毛の生えたレベルの名前のやつがあったりするじゃないですか。
いかにもアクティブでなさそうなやつってことね。
そうそう。これ多分作って放置されてる感満載の感じするなっていうやつとかもあるんで、そういったものも含まれてやられてるのかもしれないですね。
そっかそっか。攻撃する側はあえてそういうアクティブでなさそうなやつを狙ってる可能性もあると。
そうそうそうそう。
なるほどね。そういう事例が目立って見えるってことはそういうこともあるかもしれないよね。
そうですね。
これちょっと気になったというか当たり前のことなんですけど、まだまだこうかと思ったポイントでしたね。
はい。
あとはこれは外せないということで、ランサムについて書かれてあったところなんですけども、
これは目立ってたのは僕がずっと力を入れてるような興味を持って見ているものではなく、
多かったのはやっぱりNASとかクラウドストレージが攻撃の対象になったものっていうのが多くありました。
最近もNASでいくつか注意喚起が出てたよね。
そうですね。NASの被害ってここで書かれてあるのはNASそのものの脆弱性を使ってという。
例えばQロッカーみたいな。ああいったものだけではなくて、感染してその延長でNASも暗号化されたみたいな。
ドライブとしてマウントされているとローカルの頃だと同じ扱いじゃないですか。OSから見るとね。
そういったものがあって、挙げられてたランサムウェアの名前でいうとMARSランサムとか、
あとMACOPっていうやつ。これ両方メールでばらまかれるパターンのやつですね。
あとはさっき言ったQロッカーとか、あとこれね何て読むかわかんないですけどね、
エコラックスなのかな?エチョラックスなのかな?ちょっと読み方がわからないですけど、
同じくQNAPとかシノロジーの脆弱性、認証の脆弱性とあとSQLインジェクションの脆弱性を狙って感染を広げてくるってやつあったじゃないですか。
54:01
NASを狙った。そのやつはこの2つっていうので、両方メールのパターンとそうじゃない先ほど脆弱性を使って広げてくるっていうパターンが紹介されていました。
なるほどね。NASって世界中で広く使われてるから狙いやすいってのもあるよね。
インターネットに露出してるのもまあまあありますからね。
そうだね。インターネット側からアクセスできると便利だって言ってそういうことしてる人も結構いるからね。
認証あるから大丈夫やろうみたいな感じでやっちゃってるのかもしれないですね。
そこに脆弱性があるとひとたまりもないよね。
ピックアップされた件数で2位の30件のうちのほとんどがこういったパターンのランスなので、残りの3件がNASではなくてクラウドストレージが被害にあったってやつですね。
例えば何かしら認証が突破されてファイルが消されて脅迫文が置かれていたという事例とか。
たまに前々からその手のタイプでMongodbとかさ。
データベース消すやつとかありましたよね。
まるごと消してそこにreadmeのファイルだけというか脅迫文だけ置いてっていうケースは何年か前からたびたび聞くやつだよね。
こういったものもある。いわゆるランサムウェアというよりもランサムですよね。単なる脅迫。
あとは約5万件のファイルが暗号化されてミノシロキンを要求する脅迫文が配置されていたやつで。
これはそこの組織が使っているクラウド上に置いてある別のサーバーが侵害を受けてそれを踏み台にされてこの5万件のファイルのところに来たんじゃないかというふうに推測されるっていうふうに書かれてありました。
そういうケースもあるんだ。直接ストレージに行くんじゃなくてってことだ。
たぶんこのサーバー、この5万件のファイルを置いてあったところ自体は脆弱性とかなかったのかもしれないけど横にいたインスタントなのか分からないですけど
こいつとのやり取りができるやつでこっちが甘くて踏まれてきたっていうケースっぽいですね。文章から読み取ると。というふうなものとかが紹介されていましたね。
結構あれだよね、やっぱり我々的な視点ではどうしても二重脅迫系とかリークサイトで、ついさんもずっと調べて追っかけてるけどリークサイトに名前が出るところとか目立つやつに目が行きがちだけど
実際のこと、この届出の件数っていうのはもちろん一般の消費者とかもあるし、企業とかからもあるし、いろんなのが入っていると思うんだけど、やっぱり届出の数として多いのはこういうタイプなんだよね、たぶんね。
そうですね。数も多いんでしょうね。
そうそう、広くばらまかれたり、たくさん使われているNASっていう共通のものが狙われたりとか、そういうのがどうしても数として多くなるよね。そういうのもちょっと見逃しちゃいけないというか、大きいディレイばっかり見てもダメだなって感じだよね。
57:02
そうですね。あとはその他のランサムのところでこういったものもありましたってところで、これはちょっと引き続き言っていきたいことなので紹介したいんですけども、やっぱりVPNの脆弱性とか、VPNの脆弱性そのものだったりVPNの認証を突破されるようなもの。
例えばランサムの名前で言うとクリングとか、シーリングって書くやつですね。それとかだと40の脆弱性使った事例とかっていうのが報告されてますけども、そういったものもまだまだやっぱり見てると多くて、あとRDPからの攻撃、これ認証突破ですよね。
ブルートフォースされたのか何されたのか、もしくはインシャルアクセスブローカーみたいなところが手に入ったのかわからないですけども、こういったインターネットに外説している口っていうふうなもので、一時期すごくニュースになりましたけど最近は話題にならなくなってきてるんですが、まだまだこういった事例もあるってことは忘れないでおきたいなという経路として一つありました。
あとは、脆弱性とか設定不備を悪用された不正アクセスに関する届出というところで、一個の事例ちょっと興味が湧いたので、これもちょっと紹介したいんですけども、これファイルをウェブサイトにですね、ウェブサイトのコンテンツが改ざんされてアクセスした人を違うページに、違うサイトに遷移させるっていうふうな改ざんが行われたパターンだったんですけど、
これがWAFを導入しているにも関わらず正規の通信と判断されて、検知防御することができなかったんですって。なのでこれ対策として、事例ってだいたいこんなことが起きました、対策としてこういうことをしようと考えてますみたいなことをセットで抱えてることがこのドキュメント多いんですけど、再発防止策っていうのは原因と思われるアプリの箇所を修正しつつ、WAFだけに頼らずに脆弱性検査を実施することにしたって書いてましたね。
なるほどね。
だから、穴があるものを何かで防ぐっていうのは、いわゆる対象療法に近いものなので、根本原因を見つけ出して潰すっていう取り組みを追加しましたってところなんで、確かにそうだなって思いましたね。大事なポイントだなと思いました。
WAF入ってればね、頼り聞いちゃダメっていうね。
だよね。
気持ちはわかるけどっていうところです。
最近のWAFは本当シグネチャーベースだけじゃなくてさ、いろんな攻撃に対応できるし、新しい攻撃の追従も早いしね、非常にそういう意味では導入効果が高いものではあるけど、頼り聞いちゃうとこういうことも起こると。
そうですね。何かしらのタイミングで、Webアプリなんで新たな脆弱性がポコって出てくることってあんまり考えにくいかもしれないですけど、そういうタイクルのどっかのポイントに、例えばそのサイトを回収するとかっていう、新しくしたらこうするとかっていう診断を一回受けるみたいなものとかってPCI DSSの基準とかでもありますけど、そういったものを参考にやってみるのもいいんじゃないかと思いました。
1:00:02
はい。
最後1個だけ紹介します。サプライチェーンに関するインシデントの届け手のところです。サプライチェーンでいろんなパターンがあるじゃないですか、ソフトウェア、ハードウェアっていうのもありますし、いろんなところ踏み合いにしてやってくるだとか、アップデートを使って入り込んでくるだとかっていうのはありますけど、ここで紹介されていたもののほとんどはSaaS基盤仕様の設定踏みだらけでした。
そういったものがすごく多かったので、ピンとくる方はピンとくると思いますけど、この時期の間に話題になったものっていうのはいくつかありましたよね。
セールスポースじゃないの?
言うよ。そんなさっくり言う。
どんどん言ってこいよ、そういうのが。
そうですね。言っていくスタイルですよね。おそらくそうだと思います。
これほとんどセールスポースでしょ、これ。
だと思います。
たくさん使われてるもんね。
サプライチェーンに関するインシデント届目の項目を眺めていくと、本当に設定踏みばかりだったので、どちらかというと僕は事例のケースとしては、例えばMSP経由で来たとかね、いろいろあるじゃないですか。
僕らこの中で紹介してきたものもあったりするかと思いますけど、別にSaaSの設定踏みだけがサプライチェーンじゃないからと。
そうかそうか。サプライチェーンとここでは分類してるわけだな。SaaSのサービスがやられた場合も。
たぶん自分たちや自分たちのところの管理者やユーザーでは、ちょっと範疇外かもなっていうところをサプライチェーン、外部というふうに定義してるんだと思うんですね。
なるほど、なるほど。
なのでちょっと、危害は少ない方がいいに決まってるんですけども、もうちょっとバリエーションに富んだ事例かなと思ってたらそうでもなかったなっていうところがあって。
なるほど。まあちょうどこの期間っていうのもあるかもしれないけど。
そうですね。なのでこれからいろんなサプライチェーン、いろんなパターンあると思うので、幅広いですから事例が出てくるのかなっていうようなこともあるんですけども、
不正アクセスでMSP踏まれたとか、ソフトウェアのアップデートにマルウェアを購入させられて、その後ランサムがやってきたみたいなものっていうのは出てきていないので、
そういったものはどんなパターンがあるのか、どういう対策をしていかないといけないのかとか、どういったことを自分たち見直すのかっていうのを考えるには、
9月1日の15時10分からITメディアっていうところのセミナーで、僕とねぎすさんとカンゴさんが喋るので、そちらを聞いていただければいいんじゃないかなっていう。
なるほど、壮大な前振りですね。
セキュリティリサーチャーズ、供給と脅威の連鎖の断面図なんていう本当に気合の入ったタイトルでお話しするので、それを見ていただければ。
サプライチェーンの公益に今回焦点を当てていろいろ話しましたからね。
そうそう。
でもあれだね、今の話を聞いていて思ったけど、やっぱりSaaSのケースもそうだし、MSP経由とか、あるいはセミナーでも取り上げたけどソフトウェアの自動更新だとか、やっぱりこういうケースって狙われると本当に件数が一気に増えるっていう。
1:03:15
確かに確かに。
怖いよね、自分が使っているサービスとかが影響を受けたら、いつ自分もそのターゲットというか、ちょっと言い方がよくわかんないけど。
影響をね。
受けるかってわかんないし、今そういうサービス使っているところって本当に多いからさ。
誰でも被害を受ける可能性あるじゃん。なおかつ自分でどうにもできないというジレンマがあるじゃん。
それが起きているかどうかは察知できない可能性が高いですからね。
そうそう、サプライチェーンの厄介なところは2段階で来るからさ、最初の攻撃が自分たちにはどうにもならないっていう部分だよね。
はい。
なるほどね。こういう事例でも結構出てくるんだ。
そうそうそうそう。
これはぜひセミナーを聞いて勉強しなきゃダメだね。
本当そうですよ。
それの感想もハッシュタグで教えていただければ嬉しいなと。
ぜひお願いします。
9月1日でございます。
僕らもセミナーだけで何か解決したとは思ってないし、ずっとこれは継続していろいろ考えていかなきゃいけない大きな課題ですよね。
そうですね。
ありがとうございます。
という感じでちゃんとオチがつきましたということで、僕からは以上でございます。
ということで最後、おすすめのあれなんですけども、今日はカンゴさんが何かおすすめのあれがあるということで。
珍しい。
はい。いつも辻さんにばっかりおすすめさせてしまっては申し訳ない。
確かにすいません。
お気遣いありがとうございます。
いえいえいえいえ。
何ですか今日は。
今日はですね、私といえばYouTubeっていうぐらい見てるんですよ。
まあまあでもよくよく見てるっていう。
確かに確かに。
いろんなところでYouTube見てるっていう別に何かアピールをしてるわけじゃないんですけど、見ておりまして、今残念ながらコロナ禍でいろいろ外に、
外にというか混んでるところに行って遊んだりっていうのがなかなか難しい状況になっていて、
さすがに宣言が出てるところとかで積極的には推奨されてないんですけど、
一方で今キャンプをして、すごいひっそりと誰もいないところでキャンプして楽しむみたいな、
キャンプブームみたいなのも一部最大っていうんですよね。
今盛り上がってたりはしてまして、YouTubeでも結構キャンプ行ってきましたっていう、
なんていうのVlogっていうのかな、そういう動画っていうのも割と上がってるんですよ。
で、私、あんまり自分自身は積極的にキャンプ行かない、
なんだ、インドアキャンパー?キャンプしてないからキャンパーとかない?
1:06:02
どっちなんだ、インドアキャンパーじゃなくてあの家にいる人でしょ?
よくわかんない。
家の生活。
家でキャンプ行ったような雰囲気をその人たちの動画を見て、
味わってるんですけど、
いいですね。
その中でも一際尖ってる人がいるんですよ。
どれくらい前かな、1年以上前から私見てて、
で、もう今登録者数がついに100万人を超えたんで、
これ聞いておられる方もご存知の方多いんじゃないかなと思うんですけど、
キャブヘイライドーンっていう名前のチャンネル名のYouTuberのキャンプ動画っていうか、
キャンプとあとあれかな、元ブログって言ってバイク動画の2本のテーマで動画を上げてらっしゃる方がおられてですね。
えー、全然知らない。初めて聞いた。
あ、そうっすか。あ、よかったよかった。
あのー、なんていうか、この人自身が上げてる動画数ってすごい少なくて、
100個もなくて、2年前から上げてるんですけど、
100個もないのにもうさっき言った通り100万人突破してるっていうぐらい、
なんかその動画1本1本のまあ考えられる企画っていうかその質がやっぱ高くて、
どれも100万超えとか200万超え再生とかっていうのがザラにある感じなので、
まあ見てて、単純に面白いっていうのもあるんですけど、
まあさっき言ったその企画っていう意味においても、
結構そのキャンプしてきましたっていうだけじゃなくて、
そのプラスアルファとして自分で実際に検証してるっていうのがすごい面白くて、
例えば5000円を制限金額にしてキャンプ行ってきましたとか、
おー、なるほど。
あのテントとか全部込みですよ。
おお、すごい。
全部込みで5000円でAmazonで調達して行ってきましたとか。
自分で縛りをつけてるわけね。
あと、100均だけで冬キャンプできるかやってみたら。
危なそう、危なそう。
もうね、ちょっと一歩間違えたらちょっとやばいんで、
一番安全には入る人やってますとか言っておられるんですけど、
最近なんか一番最新で上げてるやつなんかはAmazonで、
まあAmazonといえばね、すごいフェイクレビューっていうのですごい有名だったりもしてますけども、
果敢にそういうチャレンジをされて、
欲しい位置がついているキャンプ道具だけでキャンプを行ったらキャンプができるか試してみた。
いよいよやばそうじゃないですか。
大丈夫か、欲しい位置。
やばい方に行ってみますよ。
なんかもう、すごい企画だけでも今話したいのは非常に面白いんですけど、
キャラクターもすごい立ってて、
まず、これこそイケボじゃないかなと思うんですけど、
めちゃくちゃ声が、ちょっと私うまく表現できないんですけど、
一回聞いたらもう覚えるぐらいの感じの声。
1:09:04
で、すごい快調に喋られるんですよ。
英語もたまに、英語っていうか何だろうな、
たまに英単語混じって喋るみたいな感じの。
ルー、オー、シバタはちょっと違うんですけど。
発音がうまいとかではなくて、
発音うまいですよ。
発音もいいんですね。
英語もたぶん日常会話レベルでは喋れるみたいなことなんか言ってたんで、
もうそれなりに。
少なくともルー、オー、シバタさん以上ではありそう。
比較対象がよくないな、それ。
確かに確かに。
なので、キャラ立ってて、
基本ずっとヘルメットかぶってるんですよ。
ずっとヘルメットかぶってるんですよ。
動画中もずっとヘルメットかぶってて、
水浴びしてるシーンとかも、川とか出てくるんですけども、
そのシーンでもずっとヘルメットかぶって水浴びしてるんですよ。
キャラ立ってて、
性格もすごい明るい感じの性格なんで、
見ててあんまり不快にならないっていうか。
キャンプ中結構ハプニングがあったりして、
巨大ピザを作ってみるみたいなことやってて、
実際、巨大ピザ作ろうとして失敗して地面にバチャッと落としちゃったりするんですけど、
それも別に凹むこともなく、
全然旨味っしょ、旨味、旨味とか言いながら普通に食べるんですよ。
旨味。
ちょっと全体的にワイルドなんですね。
ワイルドですね。
キャンプっていうかちょっと野炎に近い感じかもしれないですね。
いわゆるアウトドアとかキャンプが大好きっていう人はもちろんそうだけど、
そうでない人も結構見て楽しめる、そういう感じだね。
そんなにマニアックで好きじゃなくて、バイクもあんま詳しくないって人でも楽しめる構成になってるっていうのが。
気軽に誰でも楽しめるってことがお勧めですと。
はい。
なかなかいいじゃないですか。
じゃあ全然見たことないんで一回見てみます。
ちょっと見たらハマるかもしれないです。
私ちょっとハマっちゃったんで。
分かりました。
お勧めありがとうございます。
いえいえ。
ということで今回もいい時間になったんで、
今回記念すべき100回とはいいつつも通過点かなということをねぎさんもおっしゃってたんで、これからもね。
とはいえ100回来たし、なんかそういうちょっと特別感のあるコーナーとかもやってみたいけどね。
確かにちょっとそういうのを考えていきたいですね。
普通でいいんだけどさ。
普通でいいんだけどなんか特別なこともちょっとやってみたいね。
確かに確かに。
そうですね。
コロナが開けてたらなんかね、僕の好きな公開収録みたいな。
言いたいやつ。
言いたいだけのやつ。
これからもね、100、1回、200、300と続けられる限りやっていきたいなと思っているので皆さんよろしくお願いします。
じゃあ今日は以上です。バイバイ。
バイバイ。
01:11:50

コメント

スクロール