00:01
今日は緊急特番的な?
緊急特番です。
何?ペチャクチャの謎に迫る的な?
密着!ペチャクチャ!密着24時!
そんな番組あったね。
本当に24時間見張ってなきゃいけないかぐらいの情報が…
ちょっとしんどかったですよね。
でもさ、この前の…1ヶ月以上前かな?
罠砕けの時に比べると、あんまり…看護さんも言ってたけど、
国内で特に目立った被害ないしさ、あんまりそういう意味では…
いや、僕今回はしんどかったですわ。
僕ら的にはさ、次から次へとアップデートされてるからさ、
それを追っかけるのは、それはいつも通りだけど、
周りはそんなに…って感じじゃない?今回は。
多分ね、メディアの報道もそんなにはなかったしって言ってたじゃん。
そういう扱いですよね、新聞とかね。
ただ今回は、あのニュースが出たのが、
僕がダイエットのために散歩をして外にいたからしんどかったんですね。
あ、これ家帰ってからまたやらなきゃいけないんだろうなみたいなトーンがあったんで、
しんどさがちょっとあったかもしれないです。
個人的な事情ね。
1時間半散歩して…
今日は初めてというか、どうもこういう抗議が出始めたぞっていうのが夜なんですよね。
日本時間の夜。
27日の夜だよね。
おそかみ目、28時にかけて。
ところが、被害を受けてそうだみたいな、
とりあえず被害報告ベースがバタバタバタと出始めて。
まだ3日だからね。
そうなんですよね。そんなまだ日も足りない。
今日さ、だから緊急特番で、
何が起きたみたいな話をしようって集まってますけど、
まだあれだよね、3日ぐらいじゃまだまだ分からないことっていうか、
あと情報が更新されて、実は間違ってましたとかもあるから、
今日僕らが話す内容ももしかしたら後で変わっているかもしれないっていうか。
今日は6月の30日です。
事実は違いましたみたいなのはあるかもしれないね。
タイミング的には結構いいんじゃないですか。
ちょいちょいこうでした、こう言ってたけどやっぱりこうでした、
みたいなのも出始めたのは昨日ぐらいから。
出た直後で、27、28ぐらいからちょっと混乱もあったし、
その辺りからいきますか。
いろいろ情報が混乱したのもありましたからね。
一番混乱というか錯綜というか、
どうやねんってやったのは今回もまたわなくらいと同じく、
感染経路なんじゃないですか。
やっぱりあちこちで被害の報告が出始めていたので、
やっぱり皆さん、どこからそれが入ってきたんだというのがまず大事に。
一番気になるところでもあるんでしょうね。
自分たちが被害を受ける可能性もとにかく。
初期の感染経路がね。
初期ベクターと言われるやつですけども、
03:03
今回もね、前回のわなくらいと同じく、メールじゃねえか説。
これ結構早くから出てましたよね。
そうですね。
もともと今回のって被害の大半が、
ベンダーによって数字が違うけど、
7割とか8割とかがウクライナに集中しているじゃないですか。
ウクライナのサートとかもまとめた情報、
今もたぶんそのまま残っているけど、
そこにメールキーで来たという、
メールのキャプチャーとかサービスとか、
結構詳しい情報が載っていて、
あと、メール経由で感染したときの検体の情報だとか載っていて、
たぶんそこがオリジナルの情報のデボタンというか。
ワードファイルが添付されているスクリーンショットですよね。
CVE-2017-0199の脆弱性を利用した攻撃で、
まるでウクライナに感染しているような、
脆弱性を利用した攻撃で、まるでウクライナに感染したという。
当初、その日の夜中くらいかな。
その脆弱性を使って、
プラス、ワームとしての機能も、
ウクライナと同じようなものがあって、
これヤバいみたいな情報が出て。
そうですね。ツイッターにもネギさんとかも書いていましたけど。
最初に出たときに、え?と思ってびっくりして。
結構そうだとヤバいなって僕も思ったんですよね。
メール添付で開いたらアウトじゃないですか。
それで感染した後に、
ワナクライが使っていたMS-17010で内部で拡散するというシナリオって、
結構えげつない、ヤバいなと思ったんですよね。
たしたらメール感染からそのまま横転換までが一気通貫でいっちゃうという、
わりと凶悪なシナリオだなと思ってたんだけど、
どうもここに1日2日のあれを見ると、
結果的にメールはどうもまだ確認できていないという感じだよね。
ウクライナのサーフェイサーが出しているのは、
どうも今回のペチャが入ってくるものとは別のものじゃないかという説が濃厚かな。
元々の説明では、別のマルウェアと今回のペトヤ、
今ペチャって言ったけどさ、名前もそうだね。
今回色々ややこしいけど。
そこも整理したわけです。
ここ今はペトヤ。
ペトヤでいきますか。
ペトヤでじゃあ統一して。
ペトヤと別のマルウェアと、ペイロドが2つで攻撃経路は1個かのような説明になってたんだけど、
どうも実は全然別々の幹線があたかも1個で来たかのように見えてしまったんじゃないかな。
1つのターゲットに対して、1つの攻撃だったんじゃなくて、
06:04
2つの攻撃が同時に起きてたんじゃないかな。
どうも2つの攻撃経路で別々のマルウェアの幹線があったのがたまたま1個に見えたんじゃないかな。
1個はペトヤでもう1個は別のやつ。
1個は別のやつじゃないかという感じに見えるね、今のところね。
今のところメールによる攻撃だよっていうところも確定づけるような情報っていうのが。
今のところないよね。もともと各ベンダー結構メールかもって言ってたところがたくさん5個6個あったけど、
だいたいみんなどこも修正してて、間違ってましたとかね、メールは未確認でしたとか、
今まで調査中ですとかさ、そういう感じにトーンに変わってきてるから、
これはどうもアナクラのときもそういう感じだったけど、おそらく違うんじゃないかなという感じ。
断定的に言ってるのが多すぎたかなという感じがしますけど、
一番初めその0199かもよっていうのって、どこで最初知りました?
最初は、そのサートUAが出してるやつを元にした、
GitHubにあるインジケーターの情報とかを見てそれを書いてあって、
セキュリティの普段ツイッターとかで追っかけてるリサーチャーの人たちがそういうことを言い始めてたんで、
全然知らないというか、信頼できない情報を出すような感じの人たちじゃないので、
これはわりと信憑性が高い情報なのかなと思って調べてて、
わからないけど可能性があるなと思ってたら、そこで最初知ったという感じかな。
その後サートUAの元の情報を見に行って、ここで売ってるんだって。
でもその元になったGitHubでまとめてあった情報とかもその後修正されてね、
結構更新してましたよな、最近ね。
今もまだ更新されてるけど、ウクライナからのやつはまだ未確認だって。
最初は書いてなかったんだよ、それ。
そうでした。僕がそこで見たときにワードが来て、そこからこう。
書いてなかった。最初は未確認だってことが書いてなかった。
本当ですか。僕が見たタイミングでは未確認というよりもノープルーフ。
証拠はないけどっていうのが。
なかったんですね。
最初それがなくて、確定情報っぽかったんで、あれ?って思った。
結構短い時間で追加されたんですね、それね。
そうそう。いろんな検証で違うんじゃない?ってあったんじゃない?
逆に、これも結構早くからさ、何が攻撃の感染経路だったの?って言って、
送られたの、ME-DOGって読むのかな?知らないけど。
ME-DOG。
ME-DOGの会計ソフト系のやつ。
あれのアップデートが使われたっていうのは、あれも割と早くから出てて。
出ましたね。
09:01
でも、どこの会社は否定してるんだよね。
最近出したメールで。
あそこじゃないかって言われた当初はすぐにごめんなさいリリースみたいなの出してて、
今はそれは消えてる。
2行くらいの内容だったんですけど、それをその後取り下げたばかりですが、
ウェブページ上からは取り消されてしまって。
その後フェイスブックとかで更新してて。
ツドツド更新してされていたんですけど。
今日か昨日かウェブサイトにも同じ公式のやつが出てたけど、
それもやっぱりまだ否定してるっていうかね、調査中みたいな感じで。
結構マイクロソフトが。
そうなんだよね、こういうコマンドで。
コマンドに近いような内容で。
あれ影響大きいよね、マイクロソフトが出しちゃうと。
確認しましたって出したからね。
そういうのもあったのかもしれない。
そうだよね、だってメドックのアップデートプログラムから
で叩かれましたみたいなのがちゃんと書いてあったからね。
でも否定してても割と。
信憑性高そうな気はするんですよね。
感染してる偏りとかを見てると。
じゃなきゃウクライナがあんなに偏るとは思えない。
そうですね。今回のペトヤって感染した後、
ワナクライと違うのはグローバルアドレス、外向けに攻撃しないじゃないですか。
だから基本中でしか広まらないはずなんで、
外からもらいましたというわけではないんじゃないかなと思うんですよね。
ネットワーク感染でいうとね。
そこはさ、前もちょっと話したけど、
まだ謎かなというか、
じゃあなんで他の国でも結構感染してるのってまだよく分からないよね。
あれ本当にウクライナなりロシアなり、
メドックのアップデート経由で感染したやつから横展開したのかな。
メドックでそもそもウクライナでしか使われてないわけじゃない?
まあそうなんだけど、
でもウクライナの税の支払いとかで、
指定されてるやつが2つソフトのうちの1つだから、
ウクライナでいっぱい使われてると。
他でも使われてるの?
でもあれじゃないですか、いつものパターンの
繋がっちゃってました系なんじゃないですか。
どういうこと?繋がってる?
VPNのところで。
あ、だからそれは最初ウクライナとかで感染して、
それが広まったってことだよね。
ローカルアドレスを通じてですね。
だからそれはあるかなと思ってて、
ウクライナで感染して、
それが企業内のネットワークとかVPNとかを経由して、
それでリージョンが変わる?
直接他の国の企業が全然メドックとか関係なく
感染したっていうケースはないのかあるのかが
12:01
まだちょっと分からないですね。
それは分からないですね。
メドックも水飲み場っぽいやり方じゃないですか。
分からないなと思って。
それが他にもしかしたらあったかどうかは分からないですね。
そこはまだ今の段階ではよく分からないよね。
メールはとにかく今のところまだ確認されてないっていうのはあるけど、
他にあったらないのかっていうのは。
でも初期感染経路ってさ、
感染経路って今は国内に被害がないのも
多分その辺が関係してると思うんだけど、
でもその方法によっては
被害がこれから出てくる可能性もないわけじゃないから。
結構その被害を受けている組織の実名も今回
いろんなところが出てるんですけど、
見た限りだと、
運輸とか海運とかそういう方面の業種が
被害を受けているっていう報告が、
もちろん目立つっていうのもあると思うんですけど、
結構多くて。
もしかしたらそういう何らかのネットワーク上の
つながりがあったりして、
広がっている可能性はあるかもしれないね。
それぐらいしか考えられないと思うんですけどね。
ちょっと分からないよね。
本当に近辺の国だけではなくて、
それこそオーストラリア、
いろんなところで報告があるので。
感染例があるから。
どこから入った?それみたいな。
だって日本でも罠くらいがちょっと遅れて
感染事例があるとかっていうのが実際あるわけなので、
今回大丈夫だよねとは。
言い切れないですね。
まだ分からないかなと思うんでさ。
一旦中に入っちゃったら今回厄介じゃないですか。
さっき言ってたけど、横に展開する方法が
いろいろワームとしての感染機能。
結構強力。
罠くらいよりも全然洗練されてますよね。
罠くらいはエターナルブルーという
シャドウブローカーズがリークした
SMBの脆弱性をついて感染するというのが主だったけど、
今回はそれ以外にもいろいろあるじゃないですか。
それが結構いやらしい感じがする。
感染の広がり方。
ユーザーのコンピューターからユーザーとパスワードの情報を盗み出して、
それを使って広がろうとするという機能が出てますからね。
パッチ型というよりはパッチ前も
横展開に感染する可能性があるわけで。
確か感染していく過程、感染を広げる過程の
頭で措置するみたいですね。
頭ですね。
脆弱性を利用するようにするんじゃなくて。
先にね。
優先度ということね。順番ね。
順番。
そうなんだよね。
だって実際今回、ちょっとブログ消えちゃったけど、
被害のあった人の事例でさ、
15:00
MS010のパッチが当たってたけど、
感染が広がったケースがあったという報告を見たし、
ちょっといやらしいよね、あの機能は。
強力。
そうですね。
それもともとのベトヤのランサムウェアには
なかった機能じゃないですか。
今回から新しく付いた。
あれはワナクラに触発されたのかね。
かな。
ね。
アートもどうなんだろうな。
それならグローバルにスキャンしないというのも
意図としてはどうなのかな。
もともとは付いてましたよね。
ワナクラのときにはそういう機能があったじゃないですか。
ワナクラはそういう機能を持っていたじゃないですか。
そうですね。
そういうところからあれなんじゃないですか。
本当にこの国狙いで破壊目的と言われているのも
その一つの要因なのかもしれないですよね。
マルウェアの機能と使われ方がちょっと違う。
ワナクラとはだいぶ違う感じが。
今回のやつって元に戻る用がないように
作り方になっているんですよね。
昨日おとといぐらいから
だんだん各ベンダーの研究者が
中身を詳しく調べ始めて
それによると僕も自分でそこを調べたわけではないので
ベンダーの人たちが報告しているやつを見ると
今回のやつって元々のペトヤの機能の
MBRを書き換えて
ブートローダーを書き換えて
偽のチェックディスクの画面を表示している間に
MFTを暗号化するというローレベルの機能と
ファイル拡張子を見ながら暗号化するという機能が
2つあるじゃないですか。
MBRとMFTをごにょごにょする方は
SARS-220という暗号化の仕組みの
ストリーブ暗号を使っているんだけど
その鍵が複合できないらしいんだよね。
元々のペトヤの機能だと
リブートした後、画面に表示されるインストレーションキーを使って
鍵が戻せるようになっていたんだけど
今回のやつってそのインストレーションキーと
SARS-220のストリーブ暗号のキーが
全く別々でランダムな値が生成されていて
何ら関係性がないと
複合できないじゃん。
戻す気がないんじゃないか。
そうそう。複合したい人は
このインストレーションキーをメールで送ってねって書いてあるけど
送ったところで複合できないじゃんっていうのが
ここ1日2日で分かってきて
だとすると、元々これ複合するわけなくて
単なる破壊じゃんねみたいな
そういう主張が出てるんだよね。
カスペルスキーもこれはランサムウェアではなくて
ワイパーだっていう記事を出してましたよね。
18:01
そうですね。
その主張をしている根拠は
今の複合できないからだっていう話なんだよね。
戻せないっていうのはあったからなんですかね。
犯人のメールアドレスって今もう止められてるでしょ。
凍結されてるんですよね。プロバイダーが止めたって。
あれドイツか何かのメールプロバイダー。
ドイツなんですね。
確かそうだよ。
一時期は止められちゃったりするよね。
元々はそんな大規模に使われているものっていう認識も
なかったようなニュアンスにプレスを出している内容を
プロバイダーというか管理を行っている会社の内容を見ると
そんなに多数使われているということを認識せずに
業務としてブロックしました。
不正利用したアカウントをブロックしましたみたいなね。
事業者の動きとしては正しいんだけど
それによって被害者が連絡する手段がなくなっちゃったみたいなね。
でもそういう情報が広まったせいもあるけど
最初の2日ぐらいずっと支払いが増えたけど
もう今ほぼ止まっている。
途中で止まりましたね。35,6件ぐらいで増えました?
今45,6なんだけどそこでだいたい止まっているんで
結構あれからも増えているんですか?
止まっているからそんなには支払いはないんだけど
でも今攻撃者と連絡を取る手段はない。
そもそもさっきの話だと仮に連絡を取れても
複合的に問題がある。
今確認してみたら46件あってましたね。
問題があるんで、そうなってくると
やっぱり金目的じゃなくねっていうのは
そういう考え方でも全くおかしくないですね。
あとここから先は割と僕らの領域から少し外れるけど
そもそもウクライナが狙われた云々というのも
今回に始まった間じゃないじゃない?
昨年末とかその前も発電所とかが停電が
そういう点の破壊系のマルウェアが
よく気がちなところ
感染が広がるってこれまでにもあるし
あと先月くらいからウクライナをターゲットにした
アラン・サンブウェアの活動って
今回のペトライ以外にもいくつかあるんだよね。
そういうのを見てどうもウクライナという国を狙った
攻撃っぽい。
あといくつかのメディアとかベンダーが書いてるんだけど
今回の感染が広がった6月27日の夜から
日本人が6月27日の夜からだけど
6月28日ってウクライナの憲法記念日なのね。
憲法記念日は独立大祝い祭とかするって
そういうのがあるんで
それを狙ったんじゃないかって言ってるのが結構あって
政治的な主張、政治的な目的で
その日を狙ったんじゃないかっていうのも
結構あちこちが言ってて
全然分かんないんだけど
たまたまかもしれへんしってことだよね。
そういうのを見ると
政治目的なのか何か分かんないけど
21:01
どっかの国が後ろにいるんじゃないかとか
って言われてるのもその辺があるのかな
ちょっと分かんないね。
ワナくらいの時も国家背景があるんじゃないかって
北朝鮮かとかね。
それくらいの真理は分からないってなっちゃうんだろうと思うんですけど
ランサムウェアにする必要って何側なんだろう?
そうなんだよね。今回のちょっと分かんないのは
ワイパーにするならワイパーに最初からすればいい気がするんだけど
隠れ身なにしたのかな?
ランサムウェアっぽく見せるみたいな。
ランサムウェアっぽく見せるほどで
攻撃する側のメリットって
そこ謎なんだよね。
っていう話なんですよ。
そこは謎なんだよね。
ワイパー元に戻るような作りになってないって聞くと
ワイパーなのかなっていうのはすごく理にかなってるんですけど
わざわざそれだったらランサムウェアの側を見せる必要ってなくて
そうなんだよね。
ランサムじゃなくてもいいじゃないですか。
単に消すだけとか
派手な画面だけ出して戻りに来らんとかでもいいと思うんですけど
なんでなんやろな。
分かんないね。
分かんないんだけど、その偽装
攻撃目的とかを知らないための偽装とかね。
にしてはちょっと稚拙な感じがするというか。
わざとそうしてるのかもしれないしね。
そう思わせるためにってことですよね。
例えばさ、まだこれ
いろんなリサーチャーの人が調べている最中なんで
分かんないんだけど
もともとペトヤって去年の5月ぐらいから
始まったぐらいから見られ始めた
一連のファミリーがあって
大好物ですからね。
大好物?
以前、継承とか自分でやってたよね。
ブログのエンドに3つか4つぐらいペトヤの件は書いてますね。
ちょっとあれだよね。
ブートローター書き換えて
MFT暗号化するとかってちょっと変わってるし
興味深い。
面白いもんね。
そういうシンカの系譜があるじゃないですか。
シンカの系譜が。
それに乗っかってるのかなっていう気がするんだけど
ちょっといくつか今出てきているのは
ソースコードをここから変えたんじゃなくて
バイナリーに書き換えてるんじゃないかみたいな話があって
要はオリジナルのペトヤの作者と違う人が
今回のやつを作ってるんじゃないかっていうのがあるのね。
あとアフィリエイトでつながってるツイッターのアカウントあるじゃないですか。
あれ作者かどうか分かんないけど
オリジナルのペトヤの攻撃者グループとつながってるアカウントも
今回の俺知らねえみたいなのをツイッターで書いてるんで
その学名通りその主張を受け取るとすると
もしかすると今回のやつは
ペトヤの殻を被ったというか
勝手にそれを流用して
エターナルブルーとかの拡散機能を付け加えた
24:03
アシュとして作ってるやつがどこかにいる。
ペトヤとランサンブウェアというところを隠れ身なのにした
破壊活動なのかもしれないとかね。
ちょっとそこら辺は正直まだ現段階ではよく分かんないんだけど
どうもオリジナルの作者じゃないのかもねっていう。
もともとほらペトラップっていう
カスペルツキーの名前なのかな。アシュ。
あれもソースコードじゃなくて
バイナリーでパッチャしたアシュっぽいじゃない。
ソースコードを持ってない人間がソースコードですね。
だからそう考えると
今のところほらもともとの赤画面のペトヤ
ペトヤレッドバージョンなんていうか知らないけど
初期型ペトヤとその次のグリーンバージョン
画面がグリーンのやつと
ペトヤ&ミスチャー
ミスチャーって2つのランサンブウェアに分かれてるやつ。
アフィリエイトのバージョンですね。
それから去年の12月ぐらいの
両方がくっついたボタンのゴールデンアイ
黄色バージョン。
あそこまではオリジナルの作者のドも
系譜につながってるんだけど
そこから先からよく分からないんだよね。
今回のも似てるんだけど
違うところが結構ある。
今までの僕が感染のテストをしてきたやつは
大好きなやつですね。
感染するとまず骸骨の画面が出てくる。
ドクロ画面がね。
で、チカチカするんですよね。
黄色だったんですけど
今回その骸骨画面がないんですよね。
で、いきなり文章出てくるんですよね。
文章はこれまでのやつは
ペトラに感染したとかゴールデンアイに感染したって
作者がつけた名前が表示されてるんだけど
今回のにはそれがないとか。
そういう違いがある。
あとさっき言った
さらさに銃を使う暗号化の仕組みとか
セクターのレイアウトとかは
ほぼゴールデンアイと同じなんだけど
さっきの暗号化の仕組みがちょっとおかしいとか
あとファイル暗号化の仕組みも
1個前のやつはAS256bitかな。
今回は128bitでしょ。
1個前はゴールデンアイじゃない。
その前はまた違ったんだよね。
全然違うアルゴリズム。
そこらへんもだいぶ変わってるんだよね。
そこらへんのKFに繋がる
全然違う攻撃者なのか
ちょっとまだそこらへんが分かんないね。
ただ2つのサンプルしかないんですけど
この間ニュースによくなった
4の罠くらいあるじゃないですか。
5月の罠くらい。
それと今回のペトヤ。
ペトヤのケースかどうかわからないですけどね。
それの2つしかないから
その2つの共通点でたかが知れている
推測の要素にもならないんですけど
両方とも支払いをすることに関するアクション
ユーザーが起こすアクションのところに
手間がかけられていないなと思いました。
27:01
そこがショボいじゃない?
ショボいってザックに言いましたけども
ワームとかはすごい手がかかってるんですけど
今までの特にペトヤのシリーズって
1回トワーを使って
ヒドゥンサービスにアクセスして
そこでは結構しっかりした
サポートだとは対応言語
というウェブサーバーをちゃんと用意してやってるんですけど
ランサムだとオニオンのサポートサイトが
表示される仕組みが今回ないもんね。
メールだけなんですよ。
罠くらいもそうでしょ。
そんなのすぐ止められちゃうじゃんみたいなね。
手間を残したくないのかな。
サーバー立ててとかっていう風に
何かしら足がつく要素を減らしたいのかな。
両方が同じ攻撃者とも限らないじゃないですか。
あとさっきの破壊が目的じゃないかって主張してる人たちは
そこもやっぱり言ってて
金を稼ぎたいならちょっとそこがしょぼすぎると。
ということを主張して。
罠くらいもそうだし
あれはビットコインの仕組みにバグがあったとか
っていう話だけども
それにしたって
本当にお金を取ろうと思ったら
あの仕組みはしょぼいんじゃないかとか
今回のやつもメールアドレス1個だけで
そこ止められたら連絡手段なしとか
本当にそれ、金稼ぐ気があるの?みたいな。
ちょっとそこは確かに言われてみると
なんか腑に落ちないとこがあるよね。
それが単に破壊が目的だとしたら
まあ成功性は取れてる気はするけど
どうなのかね、わかんない。
側を乱算にするっていうメリットは
ちょっとまだ腑に落ちないですけどね。
そう、わかんない。だからそのね
何でもよかったかもしれないですけどね、別に。
もしかしたらね。
もしかしたらセキュリティベンダーとかが
これはペトヤじゃないとかランサムヤじゃないとか
だからこの名前も、さっき名前の話してたけど
ペトヤじゃなくてノットペトヤとかさ
ややこしいですね。
ニエットヤとか。
ニエットってロシア語のノーの
そうなんですね。
ノーのことをニエットって言うんだけど
ニエットヤとかピーピーニエットヤとかさ
あとペトナとか
ペトナ?
ペトヤじゃなくてペトナとかさ
ペトヤじゃないよっていうのを
そう、なーって
調べてつけてるっていうところはありますね。
あとエターナル使ってるからエターナルペトヤとか
ペトヤブルーとか呼んでる人がいたりとか
色々なXペトヤ
Xペトヤありましたね。
いっぱいあって
それまでのペトヤは作者が名前つけてたから
ブレがなかったけど
今回のそれがないからさ
みんな好き放題つけてる
何の話してるかわからない
何言ってんのみたいな
問い出すぐらいあるよね、ほんとに
でもやってる時からすると
別に今回のペトヤでいいんじゃないですか
30:00
今回のペトヤ新種とか
今回のペトヤみたいな
セキュリティのあれみたいな感じで
今回のペトヤみたいな
そういう感じだよね
ちょっとややこしいよね
そうですね
まだまだちょっとね
なんであれなんですかね
すぐメールで来たってみんな言いたくなるんですかね
いや、もちろん可能性としてね
言いたくなるわけじゃないでしょ
メールで来た来た早く言いたいみたいな感じじゃないですか
もちろん最初の方って色々可能性が考えられるし
今回の場合はややこしいことに
ウクライナのサートが出したからっていう
結構信憑性が高さがあるじゃないですか
なんでやはり脆弱性使ってるってなったら
結構やばいやんっていう動きが
やばいやんって思うから
備えてくださいねっていう風に
可能性として注意喚起するのは僕は全然問題ないと思う
それが仮に誤報だとしても
でもその誤報は誤報として
ちゃんと言う必要があるのと
あとはメールかもねっていうところは
何かしらエビデンス
今回はありましたけどね
違うかもしれへんけどこんなの来てたよみたいなのが
出てたからいいんですけど
それを示すのと
違うかったらちゃんと更新するっていうのは
やっていかないといけない
そうね、確かにね
そうなんだよね
今しゃべってる内容ももしかしたら間違ってるかもしれない
もしかしたら本当はメールっていう風に
コロナとなるかもしれないですけどね
間違ってるかもしれないんだけど
間違ってるなら間違ってるんで
これは高校で間違ってましたっていうことが
うまく伝わるといいんだけどね
でも難しいなと思うのはメディアもそうだし
ベンダーの方はね
ブログとかでちゃんと修正しましたって
書けばいいと思うんだけど
報道とかだとなかなか最初はバーッと出て
今回のメールで気を付けましょうって
もし仮に出たとして
後で違ってましたっていうのはなかなか
こう
広まりにくいというか
広まりにくいというか
結局何か新しい事実であったり
出来事っていうのが起こらないと
記事は長らかに報道には出てないよね
広まりにくいよね
でもそうね
単純に間違ってましたっていうだけで言うと
よっぽど何か本当にまずいようなもの
出ないとなかなか
確かにね
記事にはなりづらいでしょうね
なりづらいでしょうね
ベンダーとかの修正もさ
分かるようにしてほしいね
修正履歴が残ってない
履歴なくてさ
自然と書き換えてる人いるんだよ
人っていうか書き換えてるベンダーがあってさ
僕らは魚卓だったり
エヴァノートだったり
自分で取ってるから
違いすぐ分かるけど
あれ普通に見たら分かんないよ
ちゃんと残せよとか思って
ちゃんとね
ここ何月何日に更新して
これは未確認だと分かったので修正しましたとか
ちゃんと書いてるところもあるんだけど
33:00
フォーブスはちゃんと下の方にも
何日にこうじゃなかったから消しました
ってことが書いてありますよね
そういうのはいいんだけど
でもベンダーとかでも
シレット書き換えてるところあるんだよね
それはなくなる時もありましたよね
あれはちょっとやめてほしい
メールだって書いてるやつが
ある日無くなってたみたいなのがありましたね
海外のベンダーが出してる情報を
国内の法人か何かが翻訳した記事が出ていて
元ネタになっていた海外が出していたほうの記事が
修正されたものがすぐに反映されない
それ難しいよね
今回もありましたね
ベンダーの情報で
難しいよねそれをね
だって日本のベンダーは
日本は翻訳してるだけでしょ
そうですね
だから難しいね
更新されたかどうかすら知る術があるかも怪しいですよね
難しいよね
だからそういうこれは僕らみたいな
調べてる側立場だけじゃなくて
受け止める側も
知る術があるっていうのは
知っておく必要があるよね
最初に出る情報って結構
混乱することも
今回のことだしマナプライムのことだったし
それ全然今後も起こりうるから
結構最初に出る情報間違ってることもあるんだな
例えばメールに注意っていうのって
メールに注意っていつもじゃないですか
今回に限らないね
だから別にその後またね
今回のやつが
ペトヤ1としましょうか
今回のがね
その他ペトヤ1として
その他ペトヤは?
敬愚じゃないって意味で
さっき今回のペトヤって言ったな
はい
今回のペトヤはメールで来てなかったとしても
メールで来出す可能性があるじゃないと
全然あるね
だからそれがあるから
メールに注意を消すのが怖い
っていうのもあるのかもしれないですね
注意喚起をするところとしては
だから安全だって言うのって勇気いると思う
確かに
安全だとかこれは別に注意しなくていいとか
言いにくいよね
言いにくい
でも今回のがメールで来てるのを確認していないけれども
今後は分かれへんぐらいのトーンで書きゃいいんじゃないかな
そう思いますけどね
そのメールがないって分かった時点で
そうね
なかなか正確なそういう情報を伝えるって難しいですね
今回見て改めて思ったよ
そう
メールでメール注意なんだよみたいなの書いてて
参考リンクに書いているところがあって
参考リンクいっぱい掲載してるんですよ
その参考リンク先を見ると
メールじゃなかったですっていうのがいっぱい
ちょっと味わい深いなっていう
それ微妙だね
思いながら見てたんですけど
間違うこともあると思うし
新しい情報こうですっていうのを言ったほうがいいですよね
そうね
間違ってたら正直すまんと
マネシスは?
その通り
そうでしょ
正直すまんだね
36:00
その姿勢は大事ですね
明らかにメールからと言ってすまんみたいな感じでいいと思うんですよ
そうね
情報はプレートしていって
その動きをちゃんと見ていくのが大事だということです
そういうこともあるっていうのも
情報の受け手側も知っておいたほうがいいと思うんですよね
そうそう
結構最初のほうって作装するから
みんなギリギリの中で頑張って調べつつ
注意環境を早く出さないとって思ってるのは
多分間違いないと思うんで
今回のほうもまだまだちょっと分かんないことが
分かってないと思うのが多い
結構あるね
継続して
継続して
その中でね
また別のやつが来るかもしれないですからね
何が来るか分かんないんで
今回って拡散
仮にグライナーが
もし攻撃目標だとして
今回こういったことが起きたわけですけど
マルウェアというか
ペット屋自体はもう脳に離されたわけですよね
だからどこでそれがやってくるか分からないと
そうですね
今のやつが同じようなやつ
攻撃した人がやめろって言って
それで止まるわけでは決してないわけなので
今回のワナクライのキルスイッチも特にないので
同じものを拾ってきたやつが
違う国で使うってことはあり得ますからね
そうだね
破壊目的で使うとか簡単にできるしね
他の国にこれが向くとも
向かないとも言えないね
それはそうだね
安心するのはちょっとまだ早いかな
早いかな
あとやっぱりワナクライで
エターナラブルーとかも
シャドウブローカーズ由来の攻撃手法が広まって
それ以前から危ないってことは言われてたけど
実際にそれが広まって
今回のもまたそれが使われて
ちょっとこの流れはもしかしたら
止まらないかもね、しばらく
こういうパターンが
こういう拡散機能を
パクるっていうか
リークしたところから上手く持ってきて
自分たちの周りに踏み込むとか
そういう流れは止まらない
ちょっとこれは
注意しないといけないかもね
なかなか今までと少し
違うこのワーム観戦かなって
久しぶりに来たなって感じですよね
ワームって言葉を久しぶりに聞かなかった
そうですね
本当に
そうですね
こういう動きをするものが
また別の機能を使って
観戦方法でとかもあるかもしれないですよね
そういうのも注意せず
そういうのが出たらまた
緊急特番やりますか
フラッと集まって
フラッと集まって
みんなでペチャペチャ喋る感じで
ペチャペチャ
言いたいだけ
そんなところですかね
はい、そんなところです
39:00
今日はおしまいです
ありがとうございました