00:01
3元年?
31の一を元年。
1のところが元年になる。
そんな難しいことできる?
平成?
それあったよね。ニュースで3元年で出ちゃったみたいな。
3元年?
30元年?
30元年。
40元年、50元年で出ちゃったみたいな。
そういうことですよ。100元年ってことですよ。
100元年は…
一を元年って書いてある。
111の時どうなんですかね?
111は元元元年。
前前前世みたいなやつじゃない?
それもいいです。
開言が見れば…詐欺とかもあんまり見かけなくないですか?
開言に絡むやつ?
そうですね。
来そうな気はしたんですけどね。
GWが休んでるんですかね、みんな。
どうだろうね。
国内は。
国内はね。海外関係ないけどね。
あとは連休明けですよね、また。
連休明けどうなるかですよね。
そうね。
連休明けにこういうこと気をつけましょうとよく言うじゃないですか。
長期休暇の前には何か出るからね。
そうそう。長期休暇中がどうかというよりもは
長期休暇終わってからみたいな話よく聞くんですけど。
僕の周りがそうなだけなのかもしれないですけど
長期休暇明けにでかい事、事故になったみたいなことってあるんですかね?
そんなにある?聞く?
過去に?どうだろうね。
そんなヤバイんかな?
要はその前に来てたメールが開いちゃってみたいなとか
よくあるっていうかあるあるケースなんですかね。
それよりパスワード忘れましたみたいな問い合わせの方が多いんちゃうかな。
あるいはパソコンが起動しない。
そうそう。情報システム部の連休明けの仕事はパスワードのリセットっていうイメージなんですけど。
それもそうかもしれないね。
よく言われるのはメールが大量に来ているので
注意3万になるので何か誤って本来開かなくていいようなのを開いちゃうとかあるんですけど
そもそもそんな連休明けにドカッと来るんですかね?仕事のメールとかが。
みんな休んでる。今回はしかも小読みで言ってもちゃんとした連休になってるじゃないですか。
もうみんなメール使ってないんじゃないの?
使ってるでしょ。
うちはバレバレ使ってるけどさ。
メール卒業できてたら大したもんですね。
すごいすごいすごい。
でも結構会社によってはメールから
チャット系のツールに全面移行した感じとかあるよね。
そういうお客さんとのやり取りどうしてるの?
知らん。
チャットツール?
チャットじゃないの。そこに。
開発系とかだったらそういうとこに集約しちゃうとかできる?
こことやり取りするのは限定的にはできると思うんですけど
そんな全方位的にとかできなくないですかね。
長期休暇で思い出したけどさ、ちょっと話違うけど
わなくらいってあるじゃん。
あります。
わなくらいはあります。
今もあるんだけどさ、わなくらい
ハニーポートで観測してるんじゃない?
してるんだけど、ずっと定期的にね。
03:02
わなくらいの観測数が
今年もだけど去年もだけど1月後半から2月ぐらい
ある一定時期すごい減るのよ。
前休みやからってやつ?
今一番多いのってベトナムとかで感染数が
そこの旧正月の休み期間ごっそり減るのよ。
みんな電源切るから。
たぶんパソコンの電源落ちてるんだろうなと思って。
時間とかにもよりますよね。平日とかでね。
そういうのが観測されることはあるけどね。
休み明けに何か急に起きるっていうか大きな事件が起きるって
測りにくいですよね。
さっき看護さんが言ったみたいに注意力3万でとかって
人によるしね。
あと職種にもよるよね。
あるかもね。ちょっと分かんないけど。
もしかしたらそういう事故が起きやすいっていう
統計的に出てるのかもしれないし。
ああ、そうか。
始まってます。
出た。
始まってるんですよ。
いつから?
僕がちょっとよく喋り始めてるから。
分かんない。いつから分かんない。
もう5分くらい撮ってます。
5分も撮ってんの?雑談しかしてないよ。
雑談だらけでした最初から。
令和ですよ。
令和エラですよ。
平成エラから令和エラになりましたよ。
言いたいだけでしょそれ。
ニューエラーが来ましたよね。
特にさ、こんなこと言ったら怒られるかもしれないけどさ。
怒られましょう。
会見とかに別に特に何の思い入れもないんだけど。
みんな令和おめでとう、平成さよならみたいな。
そんな思い入れが特にないな。
連休やからっていうのもあるのかもしれないですけど。
その辺の電気屋とかで令和福袋とか出してわかるんで。
そんなのあるんですか?
あるある。歩くのが大変でね。
池袋とか行ったんですけど。
1日に?
1日かな。
池袋に行ったらブルーレイ、レコーダー。
年末年始で。
年始か。
年始によく見るような。
そうそうそうそう。
日本人ってそういう切り替わりのタイミングがやっぱ好きなんですかね。
かなぁ。
日本の歯どりかっていうとちょっと。
年末年始、年号そういう。
なんかすごい年末年始感がやっぱり。
テレビとか見ててそんな感じ。
あるある。あれもあんま苦手なんですよね。
特番みたいな感じの。
そうなんですよね。
それだったら毎月あれやれやと思うんですよ。
1月から2月2月から3月みたいなのが。
そうなんだって別に変わる?それ。そんな変わる?
俺もどっちかっていうとそういう気がするけどね。
12月から1月に変わることと1月から2月に変わることって何がちゃうねんっていう。
そんな特別感ないんだけどね。
そうなんですよね。
私結構。
好き?
06:02
切り替わる感じ。
好き?
好きか嫌いかって言うと分からないですけど、切り替わるんだなって感じがありましたよ。
なんか変わりました?自分の中で。
今年こそ。
今年こそ。
決意を新たにするみたいな。
何決意したんですか?
痩せたい!
痩せたいって言う割に送ってくる写真全部炭水化物やん。
なんなん?
痩せたい気持ちが現れてないよね。
ユニックスタイムが先頭が1,3だったのが1,4になる瞬間とか結構観測して喜んだりするタイプなんで。
最近1,4から1,5に変わりましたね。
そういうの好き。
それと同じノリ。
そっちのほうが分かるな。
そこへ進んだなとか思いますね。
その瞬間みたいなのを見たい。
1,3から1,4に変わる時のビデオとか多分ありますよ、アーカイブに。
アーカイブに?
自分アーカイブに。
自分アーカイブですよね。
ビデオのクラウドに。
自分のね。
バックアップ大事ですもんね。
ランサムエアにやられるかもしれないですもんね。
そうですね。
こんなポートキャストも時代をまたがって続いちゃいましたよ。
どうせ頑張らないとね。
次のエラーまで頑張りますか?
エラーどうでもいいですよ。
気に入ってんすよ最近。
エラーっていう表現が面白いなと思って。
ランサムエアって思い出したんですけど、
ランサムエアに感染したんですよ、また。
また?
久しぶりか。
そんなに感染してんの?
セミナーでよく感染してますからね、みんなの前で。
みんなの前でしょっちゅう感染してる。
それをデモって言うんですよ。
世の中ではデモって言うやつなんですけどね。
あれに感染させてみました。
今度は何?
ロッカーガガか分かんないけど。
ゴガ。
感染してみたんですよ。
面白いってことではないんですけど、
ゴミ箱のところのやつも見に行ってきて、
ゴミ箱の中とか全然気にせずに検証環境で感染させてみたんですけど、
一番初めに出てきたポップアップが、
ショートカットが参照する項目で、
ショートカットエラーの画面が出てきて、
ショートカットエラーの画面が出てたんですけど、
エラーちゃう。
そこはダメですよ。
そこは離れてる。
離れてる。
ゴミ箱から復元できる可能性がありまして、
僕が過去にゴミ箱で消したファイルを元に戻しますか、
ポップアップが出てきたんですよ。
何を消してたんですか?
これはあれですね、
オフィスインストールするために入れたISOファイル。
どうでもいいやつが。
どうでもよくないよ。
それが復元しますかって出てきて、
これ結構検証したというか、
リサーチした人が書いてたブログというか、
09:02
リサーチペーパーみたいなのを書いてたんですけど、
遅い。
めっちゃ。
それは何?
暗号化のプロセスが遅い。
プロセスが遅い。
で、プロセスタスクマネージャー、
検証環境なんですけど、
マルウェアを実行すること多いから、
プロセスエクスプローラーとかタグとか入れてないんですよ。
入れてると止まったりとかするから。
なんで、タスクマネージャーで見たんですけど、
こいつ、暗号化するときに、
svchost.exeで、
ホストのOがゼロなんですよ。
よくあるじゃないですか。
それを、すげえ数出てくる。
出ては消えてするんですよね。
たぶんこのファイルを、
暗号化する処理ごとにプロセス上げては、
このプロセスが終わってバタバタして上げて、
その暗号プロセスごとにプロセスを上げて下げて上げて下げて、
みたいになってるから、
すげえ遅いんだと思うんですよね。
あともう一個気になったのは、
完成した後に出てくるランサムノート。
今まで僕が数々完成してきましたけど、
いろんなフォルダごとに置くパターン多いんですよね。
ランサムノートいっぱい。
完成させたフォルダごとに。
こいつはデスクトップだけに一個ポコっと作るだけで、
中見てみたら、
ちゃんと企業向けっぽい文章だったんですよね。
あんたのカンパニーだとかって書いてくるんで、
企業というか組織向けなのかもしれないなという、
この文章から伺えたなって感じ。
あとはほとんど一緒。
やりとりは同案のヒドゥンサービスに誘導するんじゃなくて、
メール送ってこいみたいな。
で、ファイル何個か送ってくれたら、
復元できるかどうか見せてやるわみたいな感じのことが書いてあるのは、
他のやつと同じような。
それ前前回カンコさんが言ってたよね。
なんか言ったなみたいな。
前回ちょっと標的型の話をしたときに、
ちょっとこれ本当にランサムでお金取ろうとしてるのかどうか。
なんかワイパーじゃないかみたいな。
スイッチで-wつけるかどうかで動きが違う。
それ前回したよね。
あと-mっていう引数か。
をつけたら、このランサムモードに出るやつだと思うんですけど、
メールアドレス変えられる。
そうなんですね。
メールだけだとね、ちょっと通信手段として心もとないというかね。
テイクダウンされちゃいますかね。
割と簡単に。
その辺どう考えたんだろうね。
メールとかのいわゆるバラ撒き型みたいなものを想定してるわけじゃなくて、
実際に手を動かした攻撃者が中に入ってきて、
メールアドレス変えた方はその引数に書いてあれば、
ランサムノートの中身が変わるっていう作りになってるんだなっていうのが分かりましたね。
っていう完全話でした。
なるほど。
え?
なんでそこ見合わせたんですか今。
なんでなんでなんで。
面白かった?
面白かった。
これあれですよね、3月はわりかしこのロッカー号に感染したって。
実際1月ぐらいからですね。
12:00
フランスの会社とかコンサルティング会社が感染したとかありましたよね。
最近ってありました?
あんま見ないですね。
開発っていうか機能の拡充とか回収っていうのは、
実際リサーチしているレポートを見ても結構変化が激しかったので、
この辺作ってる側の動きがまだ活発だったのかなっていう風には、
その当時に関しては見て取れたんですけど。
最近あんま聞かないですね。
落ち着いたのかな。
分かんないね、また新しいターゲットを探してるのかもしれないし。
ノルスクハイドロもね、4月に入ってようやくちょっと通常に戻ってきたという感じが。
なんか被害金額足されてましたよね。
いろいろでしたけど。
そういう企業が出てくるかもしれないからね。
これ怖いのは、結局なんでこういう風に感染するのかっていうのが、
経路わからないですよね。
いまだにその経緯がわからないですよね。
リュークもそうでしたよね。
リュークはトリックボットが先に入ってて、そこに落としてるんじゃないか説みたいなのが出てましたけど。
説っていうかそういう事例が実際にある。
その前にエモテットに感染してるとか。
最初はフィッシングメールから入ってきたとかっていう事例もあるけど、
そうでない事例もあったりとかして。
いろいろあるんだよな。
侵入の経路は一つじゃないんだよね。
それはちょっと。
経路はちょっとはっきりしてほしいな。
実際の事例で。
今までのやつでもさ、感染経路とか侵入経路が明確になってる事例ってそんななくない?
サムサムぐらい。
そんなにないよ。
サムサムぐらいか。
だってその前の韓国の経路ははっきりわかってない。
サムサムぐらいって言うけど、サムサムの実際の事例だってさ、全部そういうのが明らかになってるってそんなにないし、難しいよね。
そこまでちゃんと公開してくれてる被害企業ってそんなに多くないよ。
まあわかった方がいいけどね。
そうですね、当然その方がいいんですけど。
この脆弱性を使われてとかっていう傾向があるとか、ある程度の傾向を見れるようにはなってほしいですよね。
今言われてるのがフィッシングメールが多いっていうのと、あとRDPとかで入ってくるのが多いっていうぐらいしかわかんなくて。
それぐらいですよね。
だからちょっとそういう入りやすい入り口は防ぎましょうっていうか。
それぐらいのことしか言えない。まだ特殊なことはあんまり言えないけど。
逆に言うとまだ特殊な入られ方をしたっていうような情報も出てきてないので。
それはあんまないんじゃないかな。
その可能性が結構低いんじゃないかなっていう風には見てる。
どこの企業か沸かされてないけどカナダの会社っていう風なので対応になったってところが過去にインタビューに答えてたんですけど。
その場合は役員だけにマリシャスな行動の含まれたPDFがまずメールに届いて、そこから入ってきたっていう風なニュース記事はありましたね。
15:06
これっていうものだけじゃないかもしれないですね。逆にそれに気取られてたらダメなのかもしれないですね。
そろそろ終わりですかね。
早いな。
早い早い。
引き続き感染し続けていこうと思います。
例はさっき例はって言ったけどさ、話変えてもいい?
どうぞどうぞ。そういうポッドキャストですね。
例は関係ないんだけどさ、今年はあんまり盛り上がってないけど、毎年5月の第一木曜日って何の日か知ってる?
5月の?
第一木曜日。
カレー曜日かな?
ワールドパスワードデーなんですよ。
ワールドパスワードデー。
5月の第一木曜日。
木曜日は曜日縛りなんですね。
誰が決めたのか知ってる?
理由あるんですか?
なんで5月の第一?
この日にした理由?
第一木曜日。
今年は5月2日。
パスワードに関する普及啓発っていうか。
注意喚起をしましょうとかさ。
そういう日で、去年はもうちょっと盛り上がってて、
2018年は専用のサイトがあって、パスワードデーだとかっていう。
パスワードについて一言言いたいみたいなページが出て上がるんですね。
賛同する企業の一覧とかいろいろあって、そういうウェブサイトがあったんだけど、
今年は特になくて、
セキュリティの企業とかが、
パスワードデーだからみんなパスワードはちゃんとしようねみたいな
ブログの記事をちょろちょろ書いてたり。
それ日本で言うところのストップパスワード使い回しみたいなノリってこと?
そうそう、例えばそういうようなキャンペーンの一つ。
別にその日だけなんかするってわけじゃないけど、
毎年1回はそういう注意喚起の日を決めて、
みんなでパスワード使い回し。
パスワード使い回しすんなよ。
簡単なパスワード使うなよみたいなのをみんなで。
風呂入ったか?みたいな。
みんなで広めていこうとね、そういう日があったんですよ。
あんまり盛り上がりなかったって言われるんですけど、
なんか出てたんですか?どっかから。
いくつかの企業からそういうの出てたけど、
出てた割には国内の記事は見かけなかったな。
パスワードデイっていうのを取り上げた記事はない?
パスワードの日ですっていうのは今年は一つも見なかったんだけど。
あんまり知られてないんだよな、そもそも。
ネギスさんしか言ってないんじゃないか?
そんなわけないだろ。
それワールドネギスデイじゃん。
俺でも去年も一昨年も言ってんだよな。
毎年ネギスさんが言ってるなみたいなのは覚えてるんですけど。
ネギスさん以外に言ってる人聞いたことない。
誰も言ってないんだよ本当に。
もともとこれはアメリカ発の。
アメリカだと思うけどね、たぶん。
18:02
ワールドパスワードデイのウェブサイトのファビコンがインテルのマークになってる。
インテルも確か賛同企業の一つじゃない?
結構なだたる企業が、去年は結構なだたる企業がいろいろ共産して、
もうちょっと盛り上がって活動してたはずなんだけど。
本当だ、すごいですね。結構な大手が連ねてますね、名前を。
今年はユーロポールのツイッターぐらいですかね?
ツイッターも一応ハッシュタグでみんなでやろうぜみたいなのあるんだけど。
どっかで集まって催し物をするとかっていうものではない?
やってるかもしれないけどね、どっかで。
更新とか。
でも特にない?
更新?
更新。
ああ、なんとかマーチみたいな。
定期変更反対!反対!みたいな。
そんなのね。
やんないですか?
やんないです。
定期変更反対ってどうすんだよ。
反対!
なんかでもそんな調査なんかあったよね?
定期変更の調査。
そうなんですよ。
ちょっとその話しようよ。
定期変更の話があったんですけど。
定期変更みんな好きだよね、本当に。
定期変更好きですね。
ちょっと前に国民のための情報セキュリティなんとかサイトみたいなやつあったじゃないですか。
言えてないや。
総務省のやつ。
総務省のやつあるじゃないですか。
あれに対して、総務省がパスワード変更不要という見解を出しましたけれども、
あなたの組織はパスワードの定期変更を続けてますか?やめましたか?みたいなアンケートが出ておりまして。
ZIPデックがやったやつね。
そう、ZIPデックがやったやつなんですけど、
2019年の1月17日から2月4日のアンケートですね。
だいたいどれくらいがパスワードの定期変更をやめたと思います?
その総務省からの。
やつを受けて、うちやめるわって。
どれくらいの企業が。
逆にしましょうか。定期変更を今まで通り続けてるのは何割くらいですか。
結構多いと思うよ。だってそんなに。
簡単には変えられないですよね。
社内ルール変えたりシステムルール変えたり結構めんどくさいよ。
そうですね。大変ですもんねその辺。
何パーセントくらいですかね。
これちゃんと番組的に数字言ってくださいよ。
一発当てるみたいな。
そんなん知らんわ。
カットですよカット。
かなり結構なところがまだそのままなんでね。
7、8割そのままじゃない?
7、8割がパスワード定期変更。
定期変更とか要するに有効期限を半年とか3ヶ月とかよくあるタイプ?
7、8割。
それくらいじゃないの?日本って保守的だからさ。
私じゃあもうちょっと頑張って。
6割ぐらいがそのまま?
そのまま。
これまで通りパスワードの定期変更を行っているって答えたのが
母数が686なんですけど
結構な数ですね。
それ一般企業?
21:00
一般企業だと思うんです。
いろんな組織が入っているのかと思うんですけど。
54.5%がそのまま?
ファウゴン卿ね。
そんなもんか。8割多すぎた。
ちょっと言い過ぎた。
一つ盲点があって、そのうちの24.2%が以前からパスワードの定期変更してません。
え?そのうちの?
今の686のうちの24.2%がそもそも定期変更してないんです。
さっきの54%とは関係なく、それ以外の27%は元々やってませんと。
これ意外だったんです。
元々有効期限ないの?
ない。
それほったらかしにしてたってことですか?
そこまではちょっと分かんないんですけどね。
どっちかっていうとルールがなくていい加減な方じゃないの?
特にその辺は意識せずに。
そんなもんなんだ。
問題の定期変更をやめた。今までやっていたけどやめたっていうふうに言ったのが8%。
1割ないの?
消費税と一緒です。
ごめんなさい、母数がいくつでしたっけ?
686。
1割弱か。
でもね、日本の会社っておそらくこういうのを見て、周りがやり始めるとダーッとなだれ打ってやり始めるから、一気にやるよみんな。
で、パスワードの定期変更。
大手がやり始めるから。
単純にやめたのが8%ね。
で、それに加えてパスワードの定期変更をやめて他の認証を追加したっていうやつ。
それが6.4%。
二要素とか増やしたってこと?
そう、追加した。
それいいよね。
で、パスワードの定期変更をやめて他の認証に変更した。
例えば証明書とかなのかな。
より強度の強い方式に変えたとかそういう意味かな。
パスワードだけじゃ弱いよねみたいな。そういうことか?
そう。それが1.3%です。
1.3?
そういうのも加えるともうちょっと多いと。
でもそれでも一倍ちょっと。
そうですね。
そうだもんなんだ。
結局だから半分ぐらいは定期変更してないってことですね。
半分弱か、46%、45%ぐらいは定期変更やめてるってことですね。
以前から変更してないもん。含めて。
これでもさ、俺ちょっとその調査って、これ今回のやつってまだ速報でしょ?
正式な報告書出てないから中身全部知らないけど、
定期変更のとこだけ取り上げて聞いてんの?
どんなアンケートだったのかっていう話ですかね。
なんかわかんないけどさ、総務省のやつもそうだけど、
なんか知らないけど定期変更不要論っていうか、
そこだけ取り上げて言う意地とかをよく見かけるんだけど、
24:03
本来は今の1.何パーとかみたいに、
パスワードの有効期限は付けない代わりに認証方式を追加しましたとか、
内緒は複雑なパスワード、複雑って言い方おかしくない、
長いパスワードをできるだけ付けられるようにしましたとか、
弱いパスワードは付けられないようにしましたとか、
そういうのとセットであるべきじゃない。
単純に有効期限付けちゃダメってわけじゃなくてさ、
それがなんか忘れられてる気がするんだよな、
こういう議論って大体いつもそこだけにいっちゃう。
あとね、これね、もう1個気になったのは、何のパスワードなんやろ?
社内のシステムなのかな?
とは限らないと思うんですよね。
そこまでちょっと記事から読み取れなかったんですけど、
例えばクラウドのサービスなのか、
基本社内のネットワークからしかアクセスできないところなのか、
何のほどかな?
でもこれ普通の一般の企業に聞いてるんだから、
社内システムとかの…
Windowsのログオンとか?
とかじゃないの?パスワードじゃないの?
社内の管理系のシステムとかさ。
決裁する?
とかじゃないのかな?と思うけどね。
パッと聞かれた方はそう感じて答えるかもしれないです。
明示的に何として聞いたわけではないのかもしれないんで。
だってさ、もともとのこういうアンケートって、
そういう表明しかどうしても取り上げないけど、
総務省のやつも大元はNISTのSP-863の改訂とかを受けている、
最近の流れを受けている話だけどさ、
あれも有効期限を言っちゃダメって言ってるわけじゃなくて、
有効期限を付けると何度も何度も変えなきゃいけないから、
覚えやすくて簡単なパスワードを付けがちになっちゃうから、
あまりよろしくないと。
末尾の数字変えていくだけだからね。
よろしくないって、効果がないと言ってるわけじゃなくて、
効果はあるけどもっとより効果の高い方策が他にいっぱいあるんだから、
もっといいものをやるべきだと言ってるんじゃない?
さっきのこの話も、
有効期限付けないくてパスワードの長さが最大8文字までしか使えないシステムとか、
大丈夫なんですかとかね。
そういう議論が抜けてる?
さっきのNISTのやつとかだったら、
8文字以上で64文字以上を許容させてあげてね。
長い文字作られるしなさいとかさ、
あとその有効期限は付けなくてもいいんだけども、
何かパスワードの管理情報とか保存している情報に異常が、
例えば漏えいした危険性があるとかさ、
27:02
何か異常があったらすぐに全部リセットできるようにとかっていうことが
書いてますね。
あって、だから有効期限は付けなくても、
そういうタイミングでちゃんと変えられればいいって話じゃん。
そういうところでカバーしましょう。
でもそういうの全然検知できる仕組みがなかったらさ、
いつまでもずっと一緒でいいのとかね。
そういうのがあるから、
社内のそういう仕組みとかと合わせて考えないといけないんじゃないのかね。
そういうのを聞かずに単に有効期限だけ聞くっていうのはどうなのかなっていうか、
ちょっとミスリードな気がするけどね、少し。
そんなね、そんな流れの中、
そんな流れの中、なんですか?
いい振りをしてくれました。
マイクロソフトがですね、知ってますか?マイクロソフト。
マイクロソフトは知ってます。
おぉ、バカにすんなお前。
皆さんご存知のパスワードの期限切れにするポリシーを廃止することを検討していると。
そんなポリシーって何?
Windowsのポリシーですね。
Windowsの何の?
パスワードの有効期限を何日に設定する。
Windows 10?
10?ドメインかな?
Windows Policyって書いてますね、記事にも。
Windows 10の新しいバージョンからそうってことでしょ?
そうですね、次の大型バージョンアップでしたっけ?
サンドボックスがつく。
それでパスワードの有効期限を?
無制限というか、そういうポリシーを無くそうかというふうに検討しているという話。
まだそうなるとは限らない。
だからベースラインとしてその方がいいんじゃないかってことよね。
そうです。
というのがニュースになりましたと。
記事に書いてあるところなんですけど、
パスワードの変更ポリシーは古風で時代遅れになった存在価値の低い対策。
意味があるとは考えられない。
なかなか強めに来ましたねって言い方ね。
意味なくはないんだけど他にもっと有効な手があるよねってことね。
存在価値の低いですからないとは言っていない。
でもマイクロソフト、ニュースとかこれもちょっとニュース見たけどさ、
今回初めてマイクロソフトが言い始めたみたいな感じに見えるけど、
マイクロソフトはずっと前から言っていて、2015年か16年くらいかな。
NISTの改定が出る前からマイクロソフトはパスワードに関するガイダンスを出していてさ、
そこで言っているんだよね結構ね。
ということをあらかじめ。
有効期限は設けないとか。
いくつかいいこと言ってて、NISTのやつは割と長いじゃん。ガイドラインが。
マイクロソフトのガイダンスってすごい短いんで参照するのにいいから。
日本語訳もあるから俺結構それ見るのを勧めてるんだけど、
30:01
だいぶ前から言ってるんだよね。
もともとマイクロソフトってマイクロソフトリサーチっていう研究部門があって、
そのリサーチ部門の研究者がパスワードに関する研究、結構いい研究いっぱいやっていて、
有名なやつはテレパスっていうやつとかね、昔からやってて、
そこの中でその人々が使う、ユーザーが使うパスワードの付け方の研究とか、
どういう風にシステムで制約を設ければいいパスワードをみんなが付けるようになるかとか、
そういうリサーチのペーパーいっぱい出してるんだよ。
そういう研究を受けてのガイダンスであり、今回の。
実際にそのコンシューマー向けのモデルとかにそういうプレッシュを反映するっていうのは結構大きなインパクトなんで、
多分その段階を踏んでるんだよね。
でももうぼちぼちいいんじゃないの?みたいな。
多分そういうノリなんじゃない?
時は来た!みたいな。
そうそう、おそらくね。だと思うけど。
これちょっとね、もう気になることがありまして。
何ですか?
これまだ決定じゃないから、まだ分かんないですけど。
決定じゃないし、これは別に強制じゃないからさ、各企業ごとに別に有効期限付ける分には問題ないでしょ?
でもこれデフォルトこれになるんですかね?
デフォルトってか?
ルール、ポリシーの。
特に変更しない限り有効になるかならないかっていう話ですね。
規定値的に。
どうするんだろうね、分かんないけど。
そうなった時にね、先ほどネギさんが言ったみたいに、
パスワードの定期変更をするかしないかだけ見てもダメじゃないのって指摘はあったじゃないですか。
さっきの総務省のやつに対するアンケートみたいなやつは何とも思わなかったんですけど、
この記事見た時に思ったのが定期変更がされません。
未来英語を変えないですっていうのがベースでデフォルトになった時に、
弱いパスワードをつけてしまってるかどうかって分かんないじゃないですか。
ユーザーが。
例えば管理者側から。
システムのね。
そこをどうカバーするかっていうことが考えられてないんじゃないかなと思ったんですよ。
例えば文字数8文字って言いながらするじゃないですか、文字数制限が。
8文字の弱いものをつけていても変えなくて済むじゃない。
強いのをつけることを促すことにあんまならないと思うんですよね。
これだけだと。
ちょっと足りひんなと思って、それをどうカバーするんだろうなっていうことは心配。
弱いままのものが増えてしまうかもね、前通りって。
そうね。
だから、そういう弱いパスワードをつけた場合には、エラーになるとかさ。
Windowsの機能でそれがあればいいんですけど、複雑性以外でね。
そういうのもあるべきなんだよね。
だから定期変更の、うちの会社、僕が務めてる会社も定期変更やめたんですよ。
結構早い段階で。
で、その時に問題になったのがそれなんですよ。
今僕が言った話なんですよ。
定期変更やめるのはいいし、パスワード弱いものをつけがちになってしまうっていうのは分かったと。
経営層が出てる会議とかではできないですよね。
承認取るために。
33:01
でもそもそも弱いパスワードをつけてるか、強いパスワードをこれの機につけてくれるようになったのか、
それ分かれへんくないって言われたんですよ。
それをちゃんと担保しなさい。
どうしたのそこは。
全部ドメインからハッシュ取ってきて。
そのハッシュを定期的にパスワードを弱いものをつけてる奴が居れへんから、辞書をぶつけてチェックする。
で、そのチェックしてるってことをユーザーには通知してるんですよ。
弱いものの例えば僕たちが持っている秘伝のたれ的な辞書ファイルあるじゃないですか。
秘伝のたれ的なファイル。
突き出し突き出しみたいなやつあるんですね。
それをぶつけた結果弱いと、ひらぶんに戻すことができてしまったりとかしたものに関してはパスワードを変更させるよって。
これ抑止効果なんですよね。
見てるから弱いのつけてばれへんとかじゃなくて、ちゃんとわかってしまうから、ちゃんと最初から長いパスワードをつけるようにしてねっていうアナウンスをしてからパスワード定期変更をやめるっていうのに移行しました。
いったん全員リセットして。
いわゆる複雑さの要件とか文字数の長さの要件とかは今回の有効期限をなくすのに合わせて変えたりしたの?
8文字です。最低8文字は変えてました。
それ変わってないの?文字数長くしたりとか。
長くしたりとかしてないです。
その代わりそういう弱いやつをチェックしますよと。それはいいかもね。
どっちかというと僕が望んでいるのは抑止効果として弱いのをつけたらばれますよと。
それは一つの方法だね。
これが一番現実的かなと思う。今できるものに関しては。
だから本来的に言えば有効期限をなくす代わりにさっき言った弱いパスワードは登録時に弾く。
それからできるだけ長いパスワードがつけられるようにする?
それは短いものを弾くようにする?
例えば最大8文字とか最大10文字みたいな制約はなしで
最大の方を変える?
20文字でも30文字でもつけられるようにするとか最低の文字ももちろん決めてた。
10文字以上、12文字以上とかね。
そういうのをシステム的に担保して弱いパスワードをつけられないようにした上で有効期限をなくすっていうのは
もともと想定されているガイドラインの要求事項じゃない?
なのでそれができない場合には今言ったように弱いパスワードは後からチェックするとかね。
そういうのもありっちゃあり。
最初は複雑なパスワードはNISTはもう進めてないじゃないですか。
複雑さの要件は良くないって言ってますよね。
それで複雑性のポリシーで何とかするとかができなかったんですよ。
長さっていうのはこれ難しいんですよね長さって。
じゃあ8文字以上って言うけど8文字と9文字とは全然違うやろうしってなって
とにかく長いのつけてもらうために10何文字以上とかにしようかっていう案も出たんですけど
36:01
でも10何文字やからってその文字列が期待化してないとは限らないじゃないですか。
弱いパスワードの可能性もあるわけですよね10文字でも20文字でももしかしたら。
期待化とかそもそも弱いパスワード。
例えば123456みたいな。
そういうものもあるしあとはどっかで漏れちゃってダメなパスワードになってるとか
っていうようなものもあるんでじゃあっていう風になった結果解析して
ハッシュから元に戻そうっていう案でいこうかっていう風に言って承認取りました。
参考にしていただければ。
それはあれだよね。
ツリさん自身がペンテイストとか診断をやってる成果も成果もあると思うけど
攻撃者目線の対策ではどっちかというと。
どっちかというとアカウントでパスワード変更するときに
エラーリストを充実させる方が取り組みやすそうな感じはありますけどね。
使えないパスワードリスト。
ウェブの登録するときとかウェブのサービス登録するときとかって
そういうので弾いてくるやつありますよね。
Googleとかが弾いてきますよね。パスワードとかやってみたことあるけど
それダメって弾いてきますから。
でもそれもねなんかその作ってるウェブのシステムあるシステムを作ってる人が
僕に相談してきたんですけど
そのシステムを実装したいとそういう風に。
で何個用意すればいいのって言うんですよね。
これ難しくない?
何個ってのは?
要はそのダメなパスワードリスト。
ウェブに登録するとあるウェブシステムを作ってる人なんですけど
それをその人がユーザーが登録するときに
Googleとかパスワードとかそういう安易なものを弾くじゃないですか。
それを弾くのを実装したいんやけど
どういうのを弾けばいいの?と。
じゃあ過去に漏えいしたもの全部とかだと
登録するときの処理がもうめちゃめちゃ重くなって
何億とかになっちゃうじゃないですか。
だからどこまですればいいのっていうのが難しいって言ってました。
そんなにでも重たいかな?
それ作りによるんじゃない?
全部チェックするって結構しんどくない?
全部って言うか、それこそだから
ハーヴァイビンポンドのポンドパスワードのリストを使うとか
あとは、前にここでも言ったけど
ドロップボックスが提供している
ZXCVBN
キーボードのライブラリね。
ライブラリを使ってスコアをチェックするとか
実装方法は多分もういくつか出てるから
そんなに難しくないと思うんだけどな。
重たいかどうかはシステムの規模とか
あとそこのやつを使うことの妥当性を説明しないといけないとかね。
なんでそこなの?とか。
何が目的かによってその都度そのタイミングで適宜
一回それ導入したからといってずっとそれを使えるかというと
そうでもないですね。変わっていきますしね。
39:01
なるほどね。
最初はとりあえずミニマムからやろうかなと言ってましたけどね。
そういうのを検討しているところは偉いよね。
いいんじゃないですかね。
結構今ネタ元になっているセキュリティベースライン
結構いいこと書いてありますね。
記事だけ見ちゃうと
黙ってるなと思ったらめちゃめちゃ読んでたんですよ。
すいません、読んでました。
定期的変更だけがクローズアップされちゃった感じが見えるんですけど
実際のブログの記事は確かに定期変更も書かれてはいるんですけど
定期的変更が何でダメなのかっていう話だけじゃなくて
今こういう風に考えてますとか大案としては
例えば今話に出たようなパスワード禁止リストであるとか
マニファクターの認証であるとか
っていう方法が大案としてあるということであったり
あとさっきついさんがまさに言ってたことがトンピシャで
有効期限のポリシーはこのドラフト案からは消されているんですけども
別なパスワードポリシーが全部なくなったわけじゃなくて
複雑さ、長さであるとかあるいはヒストリーであるとか
そこら辺のポリシーに関しては
今回のドラフトへの変更は提案されていなくて
要はこれらを使えば定期的変更に頼らずとも
今のニーズにあった管理ができるっていう考え方で
説明がこのブログに記載されているので
こっちすごい読むと色々と気づきがありますね
ゲストアカウント組込みのものを無効にしましょうとかも当然あるんで
結構ありますね
そこ一箇所だけ取り上げてはいけないんだよね
そもそもがパスワードの定期変更をやめるためにではなくて
パスワードというものを強固に扱っていくためにの話ですから
それで弱いのをつけるから定期変更が意外と邪魔になっているよねっていう話ですから
定期変更をやめるためにという話でないと
ちょっと何か目的と手段が逆転している感じがしますね
お話でした
これ実際、しかるべき将来にもしこのポリシーが適用されたとしたら
定期的変更のさっきの数字は変わっていくんですかね
どうかな
変わるんじゃないかな
前ちょっと足下性になってたっていうか
プライバシーマークとかあの手の認証の基準
SNSとか
あの辺が変わらないと多分企業側は買いにくくて
もう変わってますよね
もう変わってる
あれはもう変わってるんで
そっちが変わるとだからそれに合わせて企業側も変わるっていう
ちょっと遅れて変わるんじゃないのかなと思うので
これから変わるんじゃないの
いきなりガラッとはないかもしれないですけど
少しずつ変わってるかもしれないですね
有効期限つけるからダメとはならないんだけど
42:02
つけるよりもより良い方向に変えましょうっていうのが
世の中の今スタンダードなんで
だんだんそっちにみんななっていくんじゃないかな
エンタープライズで使うようなシステムは
パスワードを卒業していきたいですけどね
そうなんだよね
もうそろそろね
ISMSだなんだとかの変更があって
徐々にっていうところもあると思うんですけど
他の認証の形っていうものに押されて
なくなっていくっていうのもあるかもしれない
パスワードレスにそろそろしたいよね
そうですよね
でもなくなったらパスワードの話できなくなります
寂しい
全然なんですよ
パスワードのことなんて
明日にでも忘れたいですよ
もうそろそろ良くない?
パスワードから解放されたくない?
パスワードかメールかどっちからか
解放されるかどっちからか
両方
でも多分ね
解放される日が来るかな
パスワードもメールも
あと多分10年20年使ってる気がするわ
全くなくなることは難しいと思いますけど
でも徐々に自分の生活に占めるウェイトは
狭くなっていってほしいな
減らしたいね
確かにね
こんだけインターネットが当たり前に使われてるのに
そこだけ化石燃料みたいなことですもんね
減らしたいけど減らせるかな
リニアモーターカーが化石燃料で動いてるみたいなこと
しますよね今の
ちょっとわからなかったですけど
言いたいことはなんとなくさしました
おいおいね徐々に
徐々に理解していっていただくということで
よろしかったでしょうか
何かありますか他話したいこと
僕も全部喋っちまいました
最後なんですかね
私もポツポツポツポツブログは書かせていただいてるんですけど
その中でこんなのあったんだなっていうのを
気づかされた事例があって
何かっていうとクレジットカードの情報漏洩の
インシデントというかセキュリティの事故があったって話なんですけど
これ自体は割と
割とって言うとあれですけど
4月に入ってからも何件も何件も報告あるじゃないですか
何件も何件もある中でちょっと目を引いたのが
エーデルワインっていう
多分これワインを扱ってるところなんですよね
ワイン販売のオンラインショップのサイトが
これ説明書きを見ると
システムの一部の脆弱性を攻撃されたということが原因で
情報が流出しましたと
数が結構多くて
3万1231会員っていう書き方になっていたんですけど
これそれだけ読むと
3万件程度のクレジットカードが漏れたんだっていう話で終わっちゃうんですが
45:03
もうちょっと中身読み込むと気になる記述があって
これそのまま読むと
コメ書きのところなんですかね
正し書きのところですね
ただしそのうちのほとんどはカードの有効性確認をされたものと考えられっていうような
ちょっと気になる記述があったり
カードが生きてるかどうか使えるかどうかという確認か
そういうことがあるんだと
私ちょっとこれ書き方がちょっとわかりづらくて
おそらくというか
実際にこの付箋アクセスで情報を持っていった人物と
有効性の確認を行っていた人物が
ちょっとここでは記述がないので
推測でしかないんですけども
別なんじゃないかと
誰かしらがすでにこのエーデルワインオンラインショップに対して
有効性確認をされていて
エーデルワインオンラインショップ自体はそれを気づけていなくて
事故的に別で発生した情報漏洩で
初めてその事実を知ったみたいな
そんな経緯なのかなっていう風に
ちょっとここでは読み取っていて
怖いのが
これ全く気づかなかったんだなっていうのが
そういうことがあるんだと思って
有効性確認って
私結構イメージするのは
例えば一円ちょっと決済して
するとしてカードが行き死に
思ってるとかっていうのは割とあるじゃない
ラインペイとかも確かやってた気がしたんですけど
そういうのをやっていたのかとか
そこら辺の有効性確認の具体的な手口は
ちょっとここでは書かれていなくても
本当に機械的に作成したカード情報を
弊社サイトで使いとかっていうぐらいしか書き方がちょっとなくて
わからないんですけども
それに気づけていない事例があったんだなっていうのを思うとともに
これなんかちょっとデジャブだなと思って
ちょっと前の事例見返すと
エディットモードっていう別の
オンラインショップのサイトがあって
そこも有効性確認っていうキーワードを使ってるんですよ
これ去年の2018年の12月に発表されてたんですけども
そこでも同じように不正アクセスを受けて
調べていたら
どうもやられていたものの
本が有効性確認に用いられていたものだったと
あれ事例が縦続きに続いたんだということも当然そうなんですけども
これやっぱり気づけないんだなっていうのと
あとよくこの手のカード情報が漏れている事例って
48:05
例えばカードの決済代行の会社から
しかるべき準備が整うまですぐに発表しないでくださいとか
っていう措置が取られることがあると思うんですけども
1ヶ月とか2ヶ月とかそんなスパンで結構動くじゃないですか
これ結構発覚してから被害が発表されるまで時間がかかっていて
おそらくなんですけど
これが要は有効性確認を第三者が取っていたものと
実際にこのウェブサイトで被害を受けた人の整理・精査っていうのが
めちゃくちゃ時間かかるのかなっていうのがあって
これ実際に起こると厄介だなっていうのと
要は実際にそのユーザーの方
実際に情報漏洩の被害を受けた利用者の方が
事実を知る前にすごい時間を要してしまうっていう弊害があるのと
これおそらくちょっと推測で言うのがあれなんですけども
似たような有効性確認をガタガタってされているような
小規模のオンラインショップのサイトって
いっぱいあるんじゃないかなっていう疑念があるんですよ
これあれですもんね
2018年の10月31日に調査期間に調査が完了しているのに
発表が最近ですもんね
4月でしたっけこれ
あとはさっき言ってた有効性の確認っていうところだったじゃないですか
そこのさっき言ってた注意書きにさらに米印が付いてて
機械的に作成したカード情報って書いてるんですよね
漏洩したものを試されたわけじゃなくて
試した人物が何らかの手段で
クレジットカードマスターとかいろいろありますけど
そういう手段で生成したやつを試してると
同じグループが2つの行動をしたのか
2つのグループが別々の行動をしたのか
ちょっとわからないんですけども
情報漏洩のインシデントが実際に起きて
初めて実を知るみたいな事例が
ちょっと2件続いたって言ったんですけど
昨年の12月4月って形で
発表が続いたので
ちょっと気になったなっていうのがあるんですよね
これでも有効性確認に限らないけどさ
カード情報の漏洩事例って
まあまあ多い一般にあるけど
ほとんどがさ
決済代行会社から不正利用に関する
連絡を受けて
それで調べて
気づきましたっていうのがほとんどじゃないの?
だいたいはそうですね
ほとんどそうでしょ?
ほとんどそうです
ってことはつまりさ
システム側では一切気づいてなかったわけでしょ?
異常を検知してない
そうですね
っていうのが気づいてるところはあるんだろうけど
51:01
今実際に巷で漏洩しちゃいましたって
公表している事件って
だいたい見ると代行業者から
カード情報だけからどうも漏れてるっぽいよって
連絡きて気づいたっていうのがほとんどじゃない?
有効性確認だろうが漏洩だろうが
結局気づいてないところがほとんどなんだよね
そうですね
さらに有効性の確認みたいなことが紛れ込んでいても
実際に不正利用が起きて決済が発生して
例えば利用者から問い合わせがあったり
あるいはクレジットカード会社側の不正利用の
モニタリングってすごい進んでるから
なんかおかしいってすぐ気づくからさ
そういうのに引っかかんないと
分かってないんだよね
分かんないんでしょうねやっぱり
クレジットカードとは違いますけど
アカウントの有効性を確認するっていうので
ジノステシールのメールアドレスが
登録されてるかどうかのチェックも
あそこで検知できてないんですよね
新規登録のところでやったってことですね
そこで存在しているユーザーに絞って
実際の制ログインを試みたってやつだったじゃないですか
あれも前段階では気づけてなかったんですね
ロックしてなかったってことは
これカードの有効性確認をやってるのって
やりやすいサイトとかあるのかね
止められないとかじゃないですか
やってみて
カード登録して
なりすましのアカウントを自分で作って
そこでカード登録とかを
同じアカウントで大量に違うカードの
登録とかやってみるってことで
ブルートフォースのことなのかなとか
作りによって
エラーになるエラーにならないっていうのの
チェックがしやすいサイトとしにくいサイトって
あるのかな
あとは組み合わせでそういう流れで
持っていくっていうのは
リスト型攻撃を仕掛けて
それでハックできたアカウントを使って
有効性確認だけして去っていくとか
っていうのもあるんですよね
それはカード情報の話?
クレジットカード情報を確認する
リスト型攻撃をするじゃないですか
ログインできたっていうアカウントを
リストを作りますよね
攻撃者は
それにそのアカウントを使って
カードを登録
自分たちの持っている
クレジットカード情報とか
ジェネレーターの性質とかわからないですけど
登録して登録できるかどうかを
チェックしていくっていうのもあるんですよね
それはでも自分の登録したアカウントか
他人カードの違いだけで
クレジットカードの登録に関しては一緒じゃない
だからクレジットカードの登録の仕組みによって
そういう有効性の確認がしやすいサイトと
しにくいサイトがあるのかなと
なんでこのサイトでやったのかな
っていうのがちょっと疑問で
しかも結構数多いんですよ
1万4千件とか3万件とか
それは実際に当たったやつが
それだけってことでしょ
いや多分試したやつ
そこは分かんないですね
試したやつがもっと多かったってことで
試したやつがもっと多いのかもしれないですね
機械的にだからそういうのができるような
ウェブサイト側の作りがなってないと
当然その機械で
自動でババババってできないでしょうし
有効性の確認するときの
54:00
ウェブサイトの作りとか
ちょっと詳しくないので分かんないですけど
ユーザーとしてそのカードを登録します
っていう風にするときにチェックが走るのか
実際に買い物してみるまで分かれへんのか
その2つがもしあるんであれば
ユーザーの登録設定画面のところで
登録っていう風にするとこでチェックできるんであれば
そのほうがチェックしやすいサイトになりますよね
実際に決済走らさないとでもいいから
そういうのもあるかもしんですね
なんかそういう有効性確認されたサイトに
ユーザー登録してどの段階で
カードで弾かれるかとか登録されるか
チェックしたらあかんのかな
チェックしたらあかんのかなそれって
当たったらあかんもんね
適当なカード番号やってみて
もう今は作り変わってるんじゃないですかね
いやここのサイトだけじゃなくて
いろんなサイトで
カード番号のルールはあるじゃないですか
そういう意味でのチェックはできると思うんですけど
入力した瞬間に弾かれますからねあれ大体
それから先の話ですよね
その番号で実際に決済ができる
やってる側からするとそれ知りたいわけじゃないですか
そこだから本当に知りたいんですよ
有効性確認っていうのは具体的に
何を持ってやられていたのかっていう
単純に番号としての正規的な無理
良し悪しっていうか正しい番号登録ができる
各ブランドのカードとして
その番号は発行される可能性のある番号だということですね
でもそれだったらジェネレーターの方でも
それしか生成しないんじゃないですかね
機械的に作るやつ
単なるランダムな数字を発行してるわけじゃないと思うんですよ
そういうツールって
やっぱりその実際に決済に使われている
現存しているアカウントだった
クレジットカード番号ってことじゃないですか
それをチェックしてきたってことを言ってるんだと思います
なんでその手口がちょっと明らかになってなくて
どういうふうにやってるのかなっていうのが分からないっていうのと
実際にこれやられると被害が発表するまでに
ただでさえクレジットカード情報の情報漏えいって
めちゃくちゃ時間かかってるんですけど発表まで
それがさらに伸びるっていう傾向が
ちょっと2件の事例を見ると見えがちなので
でもこれ漏えいよりは気づきやすくない?
本当にそう思うんですけど
たくさん来るから
大量に来るからさ
分かんないけど監視の仕方によるけど
ログとか見てれば気づけるんじゃないかな
だと思うんですけどね
だからなんで
見てないんじゃないですか
それはあるけど
例えば短時間に大量にあるとか
異常がおそらくは見てるとあると思うんですけど
やり方によるけど
何かしらそういう方法を取ってるのとすると
気づける何かトリガーはあるんじゃないかな
あると思うんですよね
やっぱり大手はずっとそういうのはチェックできると思うんですけど
やっぱり被害が出てるところが割りかし小規模
ちょっと言い方はあれですけど
本業とプラス片手間みたいな形で
57:01
対するとそこまで目が届かなかったりもしたり
して実際に漏れて初めて気が付くみたいな話だったりするのかなと思うと
まだまだやられてるって言うとあれですけど
チェックに疲れてしまってるサイトっていっぱいあるのかな
あれですかね
脆弱性だなんだとかっていう
やられないための対策をするんじゃなくて
それだけじゃなくて
やられたことを気づける対策を令和ではやっていこうと
令和では
そうですね
せっかく新言語になったんで
的な感じで
時間がいい感じに
そうですね
なってきたんで
そんなとこでいいですかね
そんなとこでよろしいですか
はい
じゃあということで
さよなら
さよなら
ありがとうございました
さよなら
