1. セキュリティのアレ
  2. 第16回 STOP!提供元不明イン..
2018-08-05 1:17:25

第16回 STOP!提供元不明インストール!!スペシャル

Tweetポッドキャスト内で紹介していたイベントはこちら! 8月22日開催!絶賛ご参加受付中!!

The post 第16回 STOP!提供元不明インストール!!スペシャル first appeared on podcast - #セキュリティのアレ.

00:00
パソコンも持ち歩かなくなったんですか?
もともと持ち歩いたわけじゃないですけど。
そうなんですか?
持ち歩けへん時ってあります?パソコン。
え?
持ち歩かない方が多いけど。
え?
月曜から日曜までですよ。日曜日から土曜まで。
何もなければ普段持ち歩かないよ。一切。
例えば、仕事を使うじゃないですか。絶対。
で、土曜日とか日曜日とか出かける時ってどうしてます?
出かける?
例えば、都内の方に買い物に行こうとか。
新宿とか渋谷とか。自分がよく行くところってあるじゃないですか。どうでもいいけど。
そういう時、出かけて8時間は帰ってきえへんなみたいな。出かける時ってどうしてます?
どうもしないよ。
え?パソコン持っててないですか?
持ってこないよ。
持ってこないですね。
何かどうしますか?
何かあってもパソコンいらないよ。
なんで?何かすぐダウンロードしなあかんとか?
そんなない。そんなシチュエーションないです。
え?こんなとこにこんなのあがってるやんけ。よしじゃあダウンロードしとこうとかみたいな時あったら?
そういう時、辻さんに言えばいいってことですか?
そうそう。
辻さんこれダウンロードしといてくださいって。
帰ってからやるもんね。
いやいや、それまでに消えるかもしんないね。
そしたら辻さんに頼むね。取ってる?みたいな。
そういうことを取っておいて。
マジでいっぱいいろんなこと考えてるんだって。
サイズが小っちゃかったらすぐ落とすんですけど、
でかい場合は家にちゃんとSSHできるようにしとこうみたいな。
家で落とすわけ?
そう。帰ったら終わって。
リモートで?
そうそう。
いや、そこまでやってない。
あ、そうですか。僕なんかめっちゃ不安なんですよね。
全然不安じゃないですよ。
なきゃないんでいいわけ。
あ、でも私モバイルバッテリーないと不安かも。
モバイルバッテリーはいつも持ち歩いてるよ。
僕今日も充電できてなくて。
めったに使ったことないですよ。
でもノードパソコンがあったらモバイルバッテリーになりますからね。
そこから給電するってことですか?
そう。
重くて。
重くないですか?重いしでかいし。
出張でしか持ってかない?
私も泊まりかけだったら持ってくの。
出張だけだよ。持ってくの。
旅行は?
旅行は…
プライベートな?持ってかない?
持ってかない。仕事でなければ持ってかない。
マジですか?私持って行っちゃうんですか?
最近でもちょっとずつ持ち歩かんでも大丈夫な体になってきたんですよ。
体の問題。
例えば僕ポケモンGO好きじゃないですか。
ポケモンGOの時は置いて出かけられるような体にやっとなれる。
逆にポケモンGOの時の方が持って行った方がいいんじゃないですか?
なんで?
今このポケモン出てるんじゃっていう。
それはスマホでできるじゃないですか。
限界ないですか?スマホで。
でもスマホでそんな見ることないよ。
03:00
スマホで見てるんですよね。ポケモンGO。
スマホだって2つ持ってるもん。
アンドロイドとiPhone。
じゃあいいですね。
スマホ2個いるよね?
2個いる。
何か調べる用とアプリ開いてる、ゲーム開いてる用みたいな。
じゃあいらないですね。
パソコンはいらないですね。
ボディーバッグじゃないけど体にフィットするくらい。
ちょっと小物を入れたりするようなやつで出かけられるようになってきた。
イベントの時って結構俺歩くし荷物を置いても大変じゃないですか。
モバイルバッテリーは腰からモンスターボール型のやつぶら下げて。
投げたら多分死にますよ。
あのおっちゃん、モンスターボールぶら下げて貼るわって絶対言われてるんだろうな。
モンスターボールおじさんって。
モンスターボール課金おじさんですよ。
始まってます。
始まったんですよ。
始まってます。
急に話題振るとだいたい始めてますからね。
ちょっと静かになった瞬間僕が話題振ったときは始めてないみたいになってますからね。
だいたいさせております。
先月収録できなかったので。
そうね。ちょっとだけ間がいたね。
そう。
1ヶ月ちょい。
そうなんですよ。
7月はなかった。6月でも結構末の方でしたっけ?
そうだよ。6月の26日。
あれ?この時は2人でやったんですか?
そうですよ。
そうだね。
寂しかった。
寂しかった。
あれ何でやったっけ?
え?
なんかのついでにやったんですか?
そうそう。
セミナーでやろうとしたけどできなくて。
セミナーの控室がちょっと無理で、その次にやったんだよ。
これ今回も同じパターン?
そうだね。
セミナーでもそうだね。
どういうこと?できなかったからですか?そこで。
そうそう。
この間から札幌でやろうと思ってたんだよね。
やるぞって言ったら。
でも多分ね、セミナーの控室で撮ろうとしてる僕らが間違ってるんだよ。
僕らの部屋じゃないからね。
そういうことですか。
人入ってくるからできないっすねとか言ってるけど、マイナス。そういう部屋よ。
そうなんだよね。
僕らが大きな勘違いをしてた。
そういうことです。
気づくのに1年かかりましたね。
やっと気づきましたね。
気づいた。
やっと気づきました。
やっと気づきました。
8月入りましたよ。
暑い。
37度、今日。
やばいですね。
やばい。
命の危険ですよ。
マジで。
もうね、いまだに思ってますからね、僕。
何を?
オリンピックなくならへんかなって。
やばいよね、ホントオリンピック。
やばいですよ、ホントに。
アスリートは万全の体勢で臨むじゃないですか。
ちゃんと睡眠とって、水分もとってみたいな。
06:00
それでも危ないよね。
それでも危ないわけでしょ。
開会式とかって屋根ないんですよね、あれ。
開会式の場所。
ガバッと被されるような屋根はないですよね。
ないですよね。
だから冷房的なことはできないわけじゃないですか。
すごい心配してることがあるんですよ。
東京でオリンピック、日本の国内で夏の、
冬季じゃない方のオリンピックが開催されるのなんて、
何年ぶりでしたっけ。
64年。
そんなんでしょ。
だからほんまに僕らですら、人生最後かもしれないですよね。
国内でやるのがね。
それをね、自分のお父さんとかお母さんとかに
最後のオリンピック見せてあげようみたいなことで、
開会式、開会式でしょ。
開会式見に行ったら、選手はいいかもしれないですけど、
それまでにね、涼しいところにいるでしょうから。
開会式始まる前から並んで入って、
熱いとこでやるわけでしょ。
オリンピック、日本で見る最後のオリンピックの開会式が、
もうその人たちの人生の閉会式になるかもしれないなっていうのが心配なんです。
それ言いたいだけでしょ。
だいぶそこを言いたいんだなっていうのが途中から分かってる感じですね。
だいぶ長かったかな。
何か言おうとしてるってのは分かったんですか?
何言おうとしてるのかなみたいな。
なんかチケット値段が結構違いますよね。
何の?開会式の?
開会式の。なんか30万ぐらいのチケットありますよね。
は?え?デフォルトで?定額で?
いやいや、デフォルトで一番。
VIP席的な?
分かんないですけど、なんかいっちゃいいいやつ。
それは普通に売ってるやつってことですか?
売ってるやつだと思うんですよ。
30万?
はい。
どこに座れんのそれ?
聖火とかに行けば?聖火に火付けるみたいな。
なんかすごいいい場所なんだろうね。
それ、冷房効いてる部屋なんじゃないですか?もしかしたら。
分かんないですけど。
それなんのかな?
まあでも部屋あってもおかしくないよな。
席的な。
30万も出してみたいか。
見たい人いるかもね。
いるかもよ。
オリンピック開催期間ならもう行っちゃうんじゃないですか?
いや、僕も本当にオリンピック開催期間中は家から出ない。
えー、けどポケモンGOのイベントやってたら行くんじゃないですか?
それまでポケモンGOあるかな?
あと2年?
あと2年ですかね。
あれでももうポケモンGO2年くらいやってるじゃないですか。
3年目入りました。
じゃああるでしょ。
ありますから。
イングレスもありますもんね。
他のゲームも増えてるかもしれないけど。
続いてるんじゃない?
オリンピックイベントやったら日本全部とかでやるんじゃない?
どこでも?
いや、なんかもう本当に東京にすらおらんとこかなと思ってるくらいですからね。
オリンピック開催期間中は。
だって僕なんの用もないもん。
わかんないよこれ。
え?
わかんないじゃん。
いやまあ2年後の話やからね。
まあわかれへんけど基本的にオリンピックやから何かっていう用事ないもん。
ある?
まあ今のところは。
わかんない。
09:02
サイバー?サイバー的なやつ?
わかんない。
あ、ボランティア?サイバーボランティア?
それだ。
ボランティアはあるかもね。
サイバーでもあるの?
ボランティアってまとめてボランティアがあって、その中にサイバーなかったの。
そういうのやろうっていうの聞きましたけどね。
なんかあるの?
ITともなってるような。
ITか。
IT関係で。何やるのかわかんないですけど。
パソコン運ぶ?
それはITじゃない?
IT関係ない。
あと何だろうな。
セキュリティーは何かそういうのに、案はあるみたいなことちょっと聞いたことありますけどね。
ボランティアか。
例えばなんかわかんないですけど、脆弱性スキャンとか。
ボランティアで。
あとなんかパトロール的な?
サイバーパトロール?
サイバーパトロール的な?
まああってもかしらない。
爆破予告の抜け込みとか。
掲示板を見るとか。
なるほど。
掲示板を見るという。
人海戦術で見るとかね、あり得るわな。
わかりますよ。あるかもしれないですけど。
おしんとですよ、おしんと。
おしんとって言うの?
全然違う。ただの監視だと思います。
まあでもあり得るな。
心配だなっていう。
本当に暑いですからね。
暑い。
家のパソコンとかもやばいもん。ずっと動かしてるやつ。
暑くなってますもん。
ほこりめっちゃ溜まってるやつとかじゃない?
全然溜まってないやつ。Mac miniとかですよ。
だからもう冷房、家暑くなってたら。
家の温度今何度か分かるんですよ。
何度暑い?
アプリで。
今?ちょっと待ってくださいね。
これ暑すぎやろみたいな日は外から冷房入れちゃう。
おお、なるほど。
今は29度です。
29度はまあまだなんとか。
冷房つけずに29度なんですか?
涼しいですね。
涼しい?
いやダメですよ。
最近37度とか言ったら40度で29度が涼しいとか言ったら。
30度超えなければ涼しいかもしれない。
なんか涼しい感じする。
いやそれは麻痺してますって。
それはあれですよ。
普段悪いことばっかりしてるやつがちょっとおばあちゃんに好き譲ったら褒められるみたいなやつ。
どういう例えだよ。
よく言うじゃないですか。
ヤンキーがいいことしたら褒められるけどみたいな。
よく言うやつ。
確かに思いますが27度くらいは涼しい感じがしますね。
サッポロ寒かったですもん本当に。
涼しかったよねサッポロ。
サッポロ涼しかったよね。
サッポロは僕は日曜から入ってたんですよ。
前々前入りくらい?
前々前。
全然前世みたいになってたんですけど。
なってないけどね。
全然前世。
全然前世。
全然関係ないですよ。
全く関係ないです。
全く関係ないです。
ゴロバ系やもんね。
日曜に入った時に家に出る時に
服どうしようと思うじゃないですか。
気温が全然違う所に行く時はね。
だから上着もできましたもんね。
12:02
で、サッポロ新地装設着いてサッポロまで。
そんな外に触れないじゃないですか。
サッポロ駅の駅出て初めて寒って言いましたもんね。
18度でした。
先週20度くらいあったよね。
そもそも寒かったんですよねサッポロ。
寒かった。
東京がすごい暑かった。
10度くらい下がったからちょっと。
僕らが行って2人が入る日は
日本での観測史上一番の気温を出した日。
東京もすごい暑かったですからね。
関東でめっちゃ暑い場所。
熊谷ですか。
熊谷。
40度くらい。
3度みたいな。
更新しましたもんね。
更新しました。
ツイッターで見たら予報かなかもしれないですけど
名古屋が43度になってるスクリーンショット上がってましたけどね。
予報だよねそれ。
予報多分。
アプリの画面やったんで予報だと思いますけど。
可能性あるってことでしょ43度になる。
今日40度いってるよ確か。
さっき40度超えって速報で出ましたね。
名古屋って冬めっちゃ寒いし
夏めっちゃ暑いし
梅雨なんかもじめじめするんですよ。
季節を肌で感じられると。
盆地なんですかね。
盆地なのかな。
奈良と京都盆地やな。
山梨も盆地ですね。
名古屋も暑いよね。
暑い暑い。
学生の時とかも奈良とか友達の家とか遊びに行ったりとかしたら
こんなの街ごと蓋したったら全員知るんちゃうかなと思うくらい暑かったですもんね。
っていう話でした。
ここまでセキュリティーの話ゼロでした。
この間もそんな感じだったよ。
長い。
長かったですね。
今日でもあれですよ。
1ヶ月まるまるやってなかった日もあって。
話題が盛りだくさんです。
今日何の話しますかね。
今日何にしましょうかね。
今夜というか僕も現在進行形で見てるやつは
佐川急便の
これ何ですか。さっきもちょっと収録前に言ってましたけど
これはフィッシングって言っていいのかどうか。
スミッシング。
スミッシング。
スミッシングっていうのは
あんまり浸透していなくないですか。
一般っていうか
よく使われてる用語?
聞かれないじゃないですか。
SNSで使われるフィッシングスミッシングって言ったりするけどね。
SNS経由のやつですね。メールとかじゃなくて。
SNSとフィッシングくっつけた造語だよね。スミッシングって。
あんま聞かないですよね。
今回の佐川急便を装ったっていうやつは
大体報道を見てるとフィッシングって書いてて
スミッシングっていう風に表現してたので
トレンドマイクロぐらいかな。
そうなんですか。
かっこスミッシングって書いてて。
海外でもスミッシングとか呼んだりはするけどね。
あんまりそんなに聞かないかもしれない。
音声でやるやつはビッシングですよね。
そうだっけ?
ボイスなんとかみたいなやつはビッシング。
ボイスだからVでビッシング。
じゃあオレオレ詐欺ってビッシングになるんですか。
オレオレ詐欺は
なんですかね。
15:01
詐欺電話ですね。
そのまんまじゃない。
急に普通の名前に出てけへんかったんですよ。
本当数多いですよね。私びっくりして。
ツイッターとかで
なりすましのフィッシングメール来たよっていう
報告をしてるツイートって常時見てるんですけど
6月ぐらいまでやっぱりアップルとか
あとはアマゾンとかそういうのがメジャーというか。
あとちょいちょい仮想通貨とかね。
仮想通貨もありました。
というのが大半だったんですけど
7月入ってからは
なぜか佐川だけですよね。
佐川急便の荷物届きましたでしたっけ。
不在通知か。
そんなやつです。
不在通知を装ったような
そういった内容のSMSが届いてるっていうのは
本当に毎日のように
何十件も報告ツイート出てて。
急に増えたよね。
かなりばらまかれてる。
あれだいぶ前からだよね。
巻かれてること自体は。
佐川の注意喚起とか見ると
去年ぐらいからじゃないですか。
誰かも言ってましたけど
秘伝のタレのようにどんどん事例が
増えてるの?
書き加えられていて
十何件ぐらいは増えてるんですけど。
そんなにあるんだ。
だから前々からありはしたんですけど
やっぱり巻かれてる数が結構あるのかなっていう風に。
去年ぐらいのやつはSMSでしたっけ。
多分メールでしたよね。
今だからそっちに変わってますよね。
でもSMSも前からあるんじゃない?
SMSは銀行系多くなかったですよ。
そうかも。佐川じゃなかったかも。
三井住友の三井スミッシングが。
なんですか?
いいです。
最近いつ頃のことを言おうかなと。
最近多いですよねとかって
問題入り始めたから今言おうとこうと思う。
多いですね。
そもそも佐川のやつっていうか
佐川警備の場合には
SMSでああいう通知ってそもそもやってない?
やってません。
やってないですね。
佐川がそう言ってました。
やってないんだけど
内容がそれっぽいからみんな
ちょっと騙されてクリックしちゃう可能性はあるってことよね。
そうですね。
他の運送会社だとLINEで来るのもありますけどね。
ああ、なるほどね。
正規の通知ってことですか?
正規の通知。
ヤマトとかやってますよね。
あれは送付先の電話番号で来るんですよ。
来るときは受け入れなきゃいけないんですよね。
電話番号が一致する前には来るってことね。
そうそう。
そうなんだよね。
結構な数来てましたけどね。
18:01
ずっとウォッチ継続して
継続してウォッチ
ウォッチ最近してるんですけど
やっぱりさっきも言ってましたけど
どんどんドメインが使い捨てされてるんですよね。
ミッシンガーかフィシンガーかわからないですけど
それに使われているニセの通信先っていうか接続先が
接続先っていうか誘導先?
誘導先。
誘導先は僕手元にある佐川の予想を取ったやつだけで
176ドメイン。
すごい数ですよね。
そこにあるの?
あるある。
それ登録者みんな一緒だもん。
違う。
ここ最近の。
ここ最近って数ヶ月分ですけど
取ってて
2つぐらいの攻撃者のやつを見てるんですけど
誘導先のコンテンツはほぼ同じってこと?
不正なアプリをインストールさせようとする
そうですね。
佐川.apk
iPhoneは誤ってダウンロードしても直接的な影響ってない?
動かないですからね。
iPhoneは感染しないよね。
ただあれよりiPhoneの場合だと
アプリのインストールはされないけど
別のフィッシングとかさ
そういうのになる場合もあるんじゃない?
接続元を見てコンテンツを変えるって話ですよね?
そういう場合もあるね。
キャリアがわかったらってこと?
キャリアじゃなくて
環境変数?
端末側も。
それもあるから一応
iPhoneだから完全に全員取るわけじゃないけど
アプリのインストールはされないね。
そうですね。
踏み台にされるようなことは
情報抜かれるというものは入ってこないけど
iPhoneだったら入力させるだけというのは
実際まだどのくらい
こういうフィッシング
フィッシングにしましょうか。
SNSのフィッシング
来たっていうのもたくさんあるけど
実際に感染しちゃって
俺もばらまいちゃったとかさ
そういうのもかなりある?
ちょっと数どれくらいかっていうのはわからないんですけど
ツイッターで報告している人は
やっぱり何人かいますね。
実被害というか
そういうのもあるっちゃあるのか。
それこそ勝手に注文してしまったりとか
あとは同じような
ばらまいてしまったりとか
メッセージもね。
そういう感じのツイートが結構拡散されてたりしました。
表示された偽のサイトの説明をそのまま
鵜呑みにしたって
インストールボタンをポチッと押して
アンドロイドのさがわ.apkの
製のアプリを入れちゃった。
21:04
話題になってましたよね、アプリ入れるところの話。
提供を基づめアプリを入れるか入れないかという設定が
アンドロイドの設定があるんですけど
その入れちゃった人っていうのは
なんでオフになってたんですかね。
もともとそういうアプリを
インストールしたんじゃないの?
Googleプレイ以外からでも入れられるようなものを
公式ストア以外から落としたりとか
実際そういうことをやっている人はいないわけじゃないからね。
危ないけど。
しかないしは偽サイトの説明?
そういう説明があるんですか?
そういうのがあるところは
毎回あるのかどうか知らないけど
それもあるんだよね。
これをオプション外してやってくださいって書いてある。
あるある。別の件なんですけど
別の件で見てたやつで
海外のフォーラムで見てて
アンドロイドに感染するランサムウェア
インターヘイスが罠くらいの
ひっくりの画面のやつなんですけど
その時はその国で流行っている
ゲームのチートツールみたいなやつを入れれば
感染しちゃうんですよ。
それのマニュアルみたいなやつを説明してあって
それは外せって書いてありました。
インストールするにはこのオプションを外してくださいみたいな。
今回のサーカバーのやつはどうなの?
外すじゃないか。入れるか。
オンですね。
提供のところから許可するんですね。
そういうことをやっちゃったか
もともとそれを設定してたかどっちかだよね。
どんどのアンドロイドは
デフォルトで入らないようになってるんですね。
どんどのってことは何?
そうじゃないやつもあるの?
ある。
あるの?
デフォルトで設定がオンになってるの?
そんな危険なのあるの?
あるみたいです。
知らない。
それはごく例外的?
例外というよりも
僕が調べて知ってるやつはファーウェイの。
私もファーウェイのやつ見たことある。
それでシムフリーとかで個人で輸入したりとか
海外産のやつみたいなのを
かなと思って
そのツイッターに見かけた方が調べてたんですけど
そのキャリアから
日本の国内キャリアから買ったやつも
オフなんです。
オフというか入るようになってるんです。
その機種が?
機種の中に入ってるアンドロイドのデフォルト設定。
別に私はファーウェイ制は
例えばファーウェイの
ファーウェイが作ったアプリを入れるためには
その設定がオンじゃなきゃダメとか
そういうのがあるわけじゃないんでしょう?
ファーウェイのアプリ
買った時から入ってるアプリってあるじゃないですか。
よくあるよね。
作った会社のアプリが
日本でも普通にありますけど
それのヘルスケア系のやつとか
あとビデオ
動画見てるやつとかっていうのが
もともと不明なアプリを
インストールする権限を持ってるらしいんですよ。
そのアプリが?
そのアプリが。
ごく一部例外かもしれないけど
24:01
もともと設定でそうなってる許可しちゃってるやつがある?
やつもある。
これは一個話題に上がってただけですけど
他にもあるかもしれないし
もしかしたら
日本のメーカーのものでも
このアンドロイドだったら
なってるとか
古いやつだったらなってるとか
ってのがあるかもしれない。
気になるんですよね。
APKをインストールしちゃった人が
なぜそのチェックが
入ってたか
入れちゃってたか
デフォルトなのか
デフォルトなければ
デフォルトやったらどういう端末か
ってのが気になるし
あとデフォルトじゃなくて
自分でやったんであれば
なぜそれをいつやったかっていう
何のためにやったかっていうのが
気になるところがあるんですよね。
そのタイミングで
それを入れるためにやったのか
前からやってたのか
そうそうそうそう
でもあれだね
他の今回の件に限らず
ちょっと前に話題になった
DNS設定
DNS設定を書き換えて
DNSチェンジャー的なやつですか?
そうそう
それに近いやつだけど
それでアンドロイドの不正アプリを
インストールしようとするやつもそうだし
あったじゃないですか
ちょっと日本でも話題になったけど
ああいうのとかもそうだけど
だいたい提供元不明
公式のアプリストア以外から
入れさせようとするじゃない
そういう不正なやつ
通らないですからね
そこを理由はあるにせよ
そこの設定を許可してるってのは
本当危ないんだよね
危ないと思うんですよね
逆にそこさえオフになってれば
大半のデフォルトのものは
オフになっているとして
早々公式アプリのストアに
紛れ込んで
不正なものが紛れ込んでいくと
ないことはないけど
あとは最初は大丈夫の途中から
危なくなるやつもいますから
でもほとんどのものは
そこを経由しないと
9割ぐらいは大丈夫という感覚ですけどね
そんなに
9割はもっとかもしれないね
気になったのは
テレビでも報道があったじゃないですか
この件って
NHKとかも
ニュース新聞記事だとか
っていうのにもあったと思うんですけど
提供元不明アプリを
入れないような設定にしときましょう
そういう注意喚起がないんですよね
なぜ?分かりにくいから?
分かりにくいからなんですかね
佐川はSNSで
そういったことは一切やってません
という風に言ってます
というのが書いてあるんですけど
佐川の公式の注意喚起では
佐川はこう言っているという風に
引用しているニュースとかもあるんですけど
肝心かなめのこのことを言ってない
佐川自身はそれを言っているの?
言ってなかったと
佐川も言ってないんだ
佐川自身もどこを言えばいいのか
というのが微妙なのかな
それだけが理由でないかもしれないですね
27:02
それさえやっているうちに
それ以上やることもないんだ
今回の件はね
何かを入力させるとかは別の話ですけど
そうね
ちなみに最近ちょっと
Androidを触ってないので分からないんですけど
どうしてもマーケット以外から
アプリを入れたいというケースって
たまにあるかもしれないんですよ
そういうソフトゼロじゃないんで
入れた後
チェック外したらそれって使えなくなるんですかね
どうしてもそれを使いたいときって
チェック入れちゃうじゃないですか
インストールするときだけだよね
なんかね
そのアプリを持ってないというか
有料のアプリなんですけど
そのアプリを持ってないから検証できてないんですけどね
買いたくもない点もあるんですけど
それはアップデートのときに
そのチェックを外さなあかんかな
アップデートのときはありそうですね
確かに
そういう煩わしさを踏まえると
一回入れちゃったらチェック入れといた方が
そのアプリが原因で外さないといけないんだったら
一旦外して元に戻すなら
状況はそんな変わらない
煩わしいけど
そのリスク分かってやってるんだったらいいけどね
それをちゃんと説明してほしいですよね
分からずになんかね
これチェック入れとけば
その後煩わしくないので
ってなっちゃうと
説明もなくリスクにさらされちゃう
そうですね
そうですね
自分のツイート遡らないと分からないんですけど
2014年ぐらいとかも
アプリを入れるのにチェック入れて
入るようにしないといけないと
こういう風にしてくださいと説明が書いてあって
最後の方まで読んでも
そのチェックをもう一回元に戻すっていうのが
やるとかもありましたからね当時は
そのあたりはあんまり
状況として変わってないってことか
変わってない
もうちょっとそこら辺を
何が大事かって
言っていかないと
いけないってことよね
そういう
ストップ提供元不明アプリ
インストールとかチェック
長っ!
そうだね
長っ
一応さがわQBのメールの
注意喚起が
7月27日まで最新で
更新されてるんですけど
事例がどんどん伸びてて
今ね23個やります
すごい増えましたね
10個ぐらいやった気がしたけど
一応は
ショートメッセージ送りません
っていうことと
さがわQBの公式アプリは
Googleプレイかアップストアのみで
配信をしているので
そういうことは書いてあるんですけど
設定云々に関することは
このページでは言及されてないですね
なるほど
それはちょっと
30:01
そういう被害
直接の被害じゃないかもしれないけど
そういう被害を受けている企業も
言ってほしいし
メディアも言ってほしいし
僕らも言わなきゃだめだよね
もうちょっと伝えていかないとだめなのかもしれないね
そうですね
最近
自分に始まったことじゃないけど
危なさだけを伝えて
肝心の対策のところが
ぶれとんだみたいな
思うことが結構ある
どうしたらいいのみたいな
この間もちょっと
2人で収録したときに
話したような気がするんですけど
僕らが今回の
北海道とか
福岡
あと東京でやったやつとか
パスワード流出
してます!みたいな
ニュースを出すけど
じゃあどうするの?
どこから漏れたかも分からない
そもそもパスワード使い回し
してなければいいかもしれないけど
でもどっかから漏れてるわけじゃないですか
どっかから変えないといけないかもしれない
そのチェックってできひんもんね
どうするの?みたいなのが
ニュース系に
目立つなと思います
そうかもしれないね
どうしたらいいの?みたいな
ヤバさもよく分かんないですよね
ヤバいとは言ってるけど
ヤバいって言われても3つのうち
どれが自分に関係するの?
どれくらいヤバいの?
どうしたらいいの?
いけてない
たどり着けてないようなものが
多い気がするんですよ
それ僕らも
気をつけないとね
この場合はこうするとか
あんまり細かくなってもダメかもしれない
とりあえずこれだけは最低限やったほうがいい
できればこれも無理に
したほうがいいのかもしれない
ということを改めて感じて
こういうの無くならないからね
そうですよ
さっきも見たら
数時間以内に4つぐらい追加ドメイン
攻撃者側の
偽サイトに誘導するための
ドメインね
まだまだしばらく
同じような
薔薇巻き行為が続く可能性が
あるということですね
1回ぐらいのペース
佐川をターゲット
佐川の
タネ
どうしたんですか?
佐川球技を語って
しかも日本語でメッセージ送ってるから
完全にこれ日本狙い
日本人狙い
日本限定のキャンペーン
こういうのも
今後も無くならない
なんで佐川なんですか?
落ち着いたらまた別の業者狙う
色々あるんじゃないの?
たまたまなんじゃないの?
一時期
33:01
黒猫ヤマトでも
フィッシングのようなものが
流行ってたりしてるんで
もしかしたら
それ以外に理由はあるのかもしれないけどね
騙しやすい
理由が
SMSでやる理由は
なんなのかなと思ってて
SMSって
フリーの
メール
サービス
プロバイダーでもやってくれますけど
そういったものをフィルターしてくれるじゃないですか
SMSって
できないんですよね
メールはスパムフィルターみたいなのがあるから
そもそも手元まで来ない
挫折ともしてくれるじゃないですか
不審なものが開かないほうがいいです
URLがおかしいです
みたいな感じの
メールのクライアントだったりとか
メールサービスによって出たしてくれたり
そもそも迷惑フォルダーに入ってるとか
ないんですよね
ないんじゃないかな
だから
デリバリーはできるからっていう意味なんですかね
コストかかりそうですね
メールより
受け取った側もさ
騙されやすいからね
メールじゃなくてちゃんと電話番号知ってて
来てるから
さっき言ったヤマトだったらLINEとか
実際そういう
通知をしてくれるサービスって
現実あるわけですね
あれ?
前にこれ登録したっけみたいな
もしかしたら登録したかも
不在通知の時に連絡くれるんだ
登録したかもみたいな
あとワクワクしますもんね
え?ワクワク?
ワクワクするでしょ
だから自分が
Amazonとか楽天とかヨドバシとかで
買い物
よくされます?
まあそれだね
その時に
たまに忘れてるやつが来るときあるでしょ
どういうこと?
頼んだ
僕よく使うんで
不在通知とか
ピッて
ウチオートロックやると
中に大体宅配ボックスとかあるじゃないですか
そこに自分当ての物が
来てたりすると
今日何組んだったっけ?
ワクワク感あるでしょ
だからSMSとかに来たら
何やったっけ?確認したくなるんじゃない?
なるほど
頼んだもん来たみたいな
なんか当たったんじゃない?
頼んでないけど
なんか来たみたいな
その辺りが狙いなのかもね
開きやすさ
開きやすさ
ふるさと納税のやつかなとか
予約商品とかもあるじゃないですか
ゲームとかだったら
それかな
開きやすい
心当たりもありやすい
フィッシュブックとはちょっと違うけどさ
よくそういう騙しで
何かが当たりましたとか
当選しましたとか
ちょっとワクワクで
36:01
確認したくなっちゃう
そういう心理かもね
あるかもしれない
それを狙ってこれなのかもしれない
佐川だけ気をつけてたらいいって訳でも
まだないんでね
山とかしかもLINEで教えてくれるんだったら
そっちがまた来るかもしれない
LINEから誘導する
佐川の話はこれでいいですかね
そうですね
オプションは
設定変えるなよ
ということですかね
用語解説みたいなのもできちゃいましたね
スミッシングで
スミッシングって確かあまり聞こえないかもな
国内でも海外でも
使われてない気もする
特殊な用語
フィッシングとかも言うこともあったけど
そういうのも全部まとめて
フィッシングでいいんじゃないの
新しく用語を付け加える必要もない
SNSを使ったフィッシングとか
何で来るかさえ分かれば
いいんじゃないかな
IOTとか
みたいなもんですよね
I-O-T
I-O-H
似たようなのをみんなそういう風に
呼びたくなる
未だにオカンが
まだそんな年のまでも
ファミコンやってるのかみたいなこと言うじゃないですか
え?
ゲーム機が全部ファミコンだね
なるほど
一時期のスマホは
全部iPhoneみたいな
エクスペリア買ったのに
どこもないもん
今やどこもない方は存在するんで
あれなんですけど
そんな感じでいいんじゃないかな
あと何ですかね
8月入ったということで
これ去年もやってたんですかね
何を?
ストップパスワード使い回し
キャンペーン2018でした
正式名称ちょっと
去年もやってたよ確か
何年から始めたか知らないけど
使い回しなくならないからね
ほんとなくならない
これって
パスワード使い回しキャンペーン
をやって
どれくらい減ったんですかね
使い回しキャンペーン
ストップ使い回しキャンペーン
ストップパスワード
ストップパスワード
どのくらい減ったか
難しいと思うんですよ
効果測定するの
あなたはパスワード使い回しやめましたか
って聞かなきゃいけない
こういうのを見て
やめる人がどのくらいいるんだろうか
分かんないけど地道にやっていかないと
なくならないからね
効果がそんなに出てないから
やめてしまえみたいなもんではないだろう
ちょっと気になる
届いてるのかな
パスワード使い回しで検索すると
これトップに
今は出てきます
2番目は
ストップパスワード使い回しキャンペーン2017
39:00
18が1番目なんですか
18が1番目です
本当だね
パスワード使い回しで
ちょっと検索して
出てきたところをちゃんと見てください
パスワード使い回し
こっちがサジェストするときの
パスワード使い回しで検索すると
そうですけどね
使い回してる人が検索するか
っていう話ですね
それはちょっと微妙ですね
本当は2018が1番上で
2017の方がビックリマークが多いんですよね
ほんまや
ストップってすごい力強く
2017はビックリマーク2個やけど
2018は1個になってる
1個になってる
ちょっと
勢いが少し減ったんですかね
ここで言うべきものではない
ビックリマークで表現するこっちじゃなくて
温度差あるんじゃね
そんなパスワードの使い回しなんですけど
2014年と
2017年のアンケート結果を
比べてるドキュメントが
ありまして
どこのアンケート?
トレンドマイクロ
やってるんですけど
あなたはIDパスワードでのログインの
求められるウェブサービスの利用に当たって
パスワードを使い分けていますか
使い分けている方は
何種類のパスワードを使い分けているかを
お答えください
なんかIPもそうやってるよね
2017年に出した
2017年の結果
回答の例が
1種類のパスワード
2から3
4から5
6種類以上
最後は利用する全てのウェブサービスで
異なるパスワードを設定しています
5つの回答があるんですけど
2014年は
使い回しをしている人
1種類から6種類に当てはまる人
1種類から6種類まで
6種類以上でやっている人
93%
使い回していない
全部のサイトで
違うパスワードをつけている人は
わずか7%のところ
2014年
それが2017年では
14.8%
倍になった
でもまだ14%なの?
まじかそんなに少ないの?
使い回しというのが
7%ぐらい減ったんですけどね
これ母数500ちょっとなんですけど
聞いている人の数が
1種類のパスワードで
ほぼ全てのウェブサービスを使っていますと言っている人が
3割ぐらいにある
1つってことですか
何パーセントぐらいだと思いますか
3割はいると思うな
42:00
2014年ですよ
5割
15.8%
そんなに少ないの?
1種類2014年で
2014年の段階で1種類はさすがにまずいと思っている人が
結構いたのかもしれないですね
失礼しました
ただ2014年に1種類やったら
15.8%が
2017年になってみると
15.5%
0.3%減っている
ほぼ変わってないってことね
2種類から3種類というのは一番のボリュームゾーンでした
2014年で56.4%が
2から3種類のパスワードを使い回している
それが現在41.4%
15%ぐらい下がった
確かに母数がもうちょっと多かったと
IPの
一体調査的なやつ
あれも似たような
もうちょっと数少なかった気がするけど
相変わらず
そんなに使い回しは減ってない
減るんですかね
もうちょっと半分ぐらい
全部って難しいか
そんなすぐには
パスワードのネタって
このポッドキャストでも
その前から
セミナーでもよく取り上げているけど
使い回しがなくならない理由が
大きくは2つあって
JPサートのサイトにも書いてあるけど
1つは
一箇所から漏れたのが
他にも使われるリスクを
あまり知らない
リスト型攻撃
僕らは当たり前のように言って知っているけど
一般の人はそこまで知らないから
使い回しだってそんなに問題ないでしょ
漏れると思ってない
難しいパスワードつけていればいいでしょ
あとは
全部に別々につけようと思ったら
簡単なものをつけない限り
覚えられないじゃない
簡単なパスワードはつけるのはつけるなんて
しつこいぐらいに言われているから
さすがにそれはしたくないとすると
難しいパスワードを同じにすると
選択肢がないんだと思うんだよね
使い回しをしているという回答
バラバラというの以外に
回答した方に
なんでというのを聞いているんですけど
1位が
忘れてしまうから
が69.7%
しょうがないよね
2位が
複数回答だと思うんですけど
考えるのがめんどくさい
いつも使っているやつでいいや
あとは
リスクはないと思っている人が
11%
まだ1割以上います
だと思うんだよね
パスワードという仕組みを使っている以上
45:00
避けられないよね
だからと言って
2要素認証に行くのか
パスワードの仕組みをなくそうというのを
いくつか試みあるけど
最終的な回はそうだとして
パスワードがなくなる世界に行けば
使い回しも当然なくなる
ストップパスワードキャンペーン
2025
相当かかるでしょ
だとすると
その手前でやれることを
パスワード以外に
二段階認証とかで
ストップするか
回しは
覚えるのが無理だから
パスワード管理ツールを使って
覚えてもらうか
それくらいしか
回はないんですよね
それって普通の人には
ハードルがどっちも高いんだよな
それがちょっと問題だよね
こうやって注意喚起はして
多分多少の効果はあると思うんだけど
根本的な解決にはならない
これもだって
細かく全部読んでないけど
そういうことを言ってるんでしょ
こういうリスクがあるからとか
今言ったような話が
ストップ使い回しキャンペーンですか
パスワード管理ツールを
使いましょうとか
難しいよね
二段階認証もね
本当に大事だと思うけど
今まで僕らが言ってきたようなこと書いてますよね
ログイン履歴も
ちゃんと見ましょうねとか
二段階認証とか
多分早い時期からやってるけど
去年だっけ
どこかで発表したけど
十何パーセントでしょ
全ユーザーのうち
その程度なんだよ
1割ちょっとしかいないんだよ
こんなに言われてるのに
その程度なんだよね
1割って少ないなと思ったけど
そんなもんか
セキュリティの専門家も
レイバーのつぶやく
そういうのネタ
めっちゃ好きだね
忘れた頃に来るよね
味わい深い
専門家ですら
やってない人がいるのにさ
言わんや
そういう普通の
人に
使ってもらうっていうのは
相当ハードルが高いよね
ストップ使い回しキャンペーンは
ちょっと気になることがありまして
共産みたいな
三道企業
募集みたいなのしてて
使い回しキャンペーンの頃に
使い回しキャンペーン
2回目です
全然意味変わりますもんね
48:01
大変なことです
ブログ書いたんですよ
前に?
このキャンペーンが
間違えるか
このキャンペーンが
始まった時に
2014年なんですよ
そんなにやってるんだもん
9月24日に
行きつけの喫茶店で書いた
ストップパスワード
使い回し
について考えました
その時に
三道企業が
使い回しっていうものに関しては
ユーザーの責任という部分もあるとは思うんですけど
三道してやろうぜって言ってるところが
どれくらいの文字種が
使えるのか
全部調べたんですよ
もちろん2014年の情報なので
2018年の今が変わってるかもしれないですけど
ほとんどが
文字種が
しょぼかったりとか
複雑なつけろっていう意味ではなくて
自由度が低いと僕は思うんですよね
二要素認証があるところも
ほとんどない
2014年だとまたそうかもね
今だいぶ良くなったんじゃないの?
今また調べ直したほうがいいっすかね
しんどいねんな
これ調べるのな
文字種とかって入れてみんじゃ
わからへんやつもあったっすよね
二要素が使えるかどうかってのは
一か所
サイトで
全部まとめてくれた
どうしたの
不毛だけ
そうですね
確かに三道するぐらいやったら
それぐらいやってほしいなっていう
こういう設定を
しましょう
何も生まないから
何も生まないから
ユーザー的にそういうのを押し付ける
姿勢が僕は好きじゃないですよ
三道する企業はお金出して
パスワード管理ツール
無料で配ってほしいんですけどね
開発して
開発するないと
手を組むなりして
このキャンペーン期間中に
うちの商品買ってくれれば
無料でパスワード管理ソフトつけますよ
ぐらいの感じの
それスマホにインストールするときに
提供も得名になって
そこは頑張って
マーケットから配ってください
グループプレイとかから
あとアップストアから
軽く割って
今今だと
企業側っていうか
サービスを提供する側が
二段階認証を
必ず使えるようにして
推奨するとか
それぐらいはやってほしいね
どうなんですかね
不正アクセス
要はコンシューマー向けのサービスを提供していて
不正なログインがあって
それに対する対策にかかるコストと
二段階認証をそもそも使って
51:00
そういった不正ログインの可能性を
かなり下げるっていう対策
比べると
サービス提供側
どっちが安いんですかね
まだまだ
不正ログインの対策を
対処療法的にやってた方が安く済むんですかね
それがいつまで続くか
どう見積もるかにもよると思いますし
あとは
やってないということによって
そこのサービスが
不正ログイン被害者をいっぱい生んでしまったときに
どれぐらいイメージダウンになるか
見積もるかにもよると思うんですけど
あと
提供しても
強制できない
一般消費者向けには
企業向けだったらさ
ある企業では
そのサービスを使うときには
二段階認証を
強制的に使わないとダメとかできるけど
一般向けには
さっきの話ではないけど
使えるようになっていても
使わない人がほとんどと考えると
それだけ提供すれば
解決というわけではないけどね
だから
比較してどっちかというよりも
提供はすると
でもそれでも使わない人がいるから
不正ログインの対策もする
さっき言った
三道企業のサービスは
一個のアプリで
アプリ認証で
ログインできるようになります
どういうこと?
色んなサービスが
サービス持ってるところが
三道してるじゃないですか
そこで予算出し合って
ログインすると
通知が来て
入ってやればできる
一個のアプリで
三道企業のウェブサービスを
使える
こういうキャンペーンがあれば
取り上げてもらえるし
多くの人に知ってもらえる機会になるかなと思った
サービスごとに
アプリの認証って
アプリ何個入れる問題になるじゃないですか
二段階認証も
どんどん増えてきますからね
アプリは一個で一緒だって
サービスごとに作られてしまったら
認証用のアプリを
例えばってことですか
二段階認証のアプリの話?
二段階認証のアプリ認証
はいって押せばログインできるやつ
サービスごとに作られたら
めんどくさくないですか
Google Authenticatorみたいな
ワンタイムを発行しているやつだったら
それも結構数増えてきて
どんどん数増えてきますよ
探すのめんどくさくなるんですよね
だから一個で
アプリ認証なら
賛同企業のサービスは使える
やったら一個で済むじゃないですか
バカな理由ですけど
それでも
ID連携しているのと同じだよね
それもまた
ダメかな
54:01
例えば極端な話さ
全部のサービスに
Googleのアカウントでログインするとか
Facebookのアカウントでログインする
IDの連携でそういうことができる仕組みじゃない
それやった場合とは変わらない
アプリ一個で
このサービスから来たときのはい
このサービスから来たときのはいって分からないもん
やってることが一緒
実現できることは一緒じゃない
実現できることは一緒
それがいいか
楽だけどね
それはまた問題じゃないかな
そのアプリの名前を
どんな名前にするか
名前はどうでもいいんじゃない
読めそうでしょ
賛同したら
強制するくらいの意気込みでやってほしい
少なくとも
企業で使う場合には
例えばGoogle Appsだとか
Office 365とか
企業で使うなら
強制したほうがいいね
もはや危ないよ
二段階なしで使うのは
一般向けには
一般向けに強制したらどうなるか
社会的実験な感じがしますね
Googleだったら強制したらどうなるんだろう
ログインできねえ
それによってユーザーを失うリスクを
サービス提供側は
入れないかもしれない
でも登録
言ってしまえば最初の一回だけじゃない
登録するのって
普段使っている環境では
今までと同じで使えるわけじゃない
スマホのアプリでログインするのと変わらない
一回目は入れなかったけど
今多くの人がスマホで使っているのとすると
別にパソコンを実際に入れたりとか
二段階認証の
コードを入れる機会なんて
ないじゃん
ないです
さっきアプリに
登録するのめんどさい
探すのめんどさいって言ったけど
実際探して入れなきゃいけない場面って
ほとんどなくない
30日に1回あるんですよ
でもそんな程度でしょ
月に1回くらい取ることないじゃん
それでそんなにリベンスが下がるかな
下がらない
やったことないんで
そこの壁というか
めんどくさいな
二段階認証が強制されているサービスって
多分金融系のサービスぐらい
なんじゃないのかな
金融はもう強制
金融ほぼ強制だよね
あれはだからそんなに被害が
多く発生したから
やられた時の
強制したわけじゃない
金銭直結ですしね
それで実際できるわけだからさ
57:00
他のサービスはできないもん
やればいいんだよ
やってくださいよ
僕なんで
僕何もサービスを
提供してないですよ
自分のブログもhttp
ずっとhttpで終わろうと思います
と思うんだけどね
話が続きでさ
ちょっと次の話しましょう
ニオソ認証
使うべきだと思ったんだけど
最近
アメリカの掲示板
掲示板サイト
レディット
が侵入されてました
従業員のアカウント
を侵入されたんだけど
二段階認証をオンにしてたんだよね
だけどsmsで
コード飛ばす仕組みにして
それをやられちゃった
二段階認証
をやっとけば
大半の場合は防げるんだけど
必ずしも
全然バンチョンオッケー
特に
smsは
国によって仕組みが
違うのもあって
ニストが
smsの二段階認証は推奨してない
去年だか
何年か前に
推奨しないって
言っているんだけど
まだいまだに
さっきさ
フィッシングで使われるって言ったけど
認証コード飛ばすときにも
いまだに多いですよね
それ
実はあまり国によっては
安全ではないんだよね
それちょっと
気になって
シムハイジャック的な
シムスワップとかシムハイジャックとか
言われて
海外だとアメリカだと
何年か前からそういうの言われてるけど
twitterとかインスタグラムとかの
アカウント載ってるのに
使われてるらしいんだよね
OGユーザーって言うんだけど
OGユーザー
OGユーザーとかっていう
専用の掲示板があるんだよ
アカウントを理解する掲示板があって
短いアカウント
クールなアカウントは
高く売れるんだよ
ドメインみたいなもんですね
そういうのを狙って
ティーネイジャーとかが
カジュアルにシムハイジャックして
乗っ取るケースがあるらしいんだよね
買っちゃうのも
ハードルが低いんですよね
そうそう
売りに出すために
他人のアカウントを乗っ取る
でもその人のアカウントは
2段階にしてもオンになってる
どうやって乗っ取るかというと
さっき言ったシムハイジャックで
本人になりすまして
携帯の電話会社に連絡して
スマホ無くしちゃったんで
すぐ新しいシムに
番号を移してください
他人が持ってるシムに
本人の
大体その人の住所だとか
アメリカだったら
ソーシャルセキュリティナンバー
1:00:01
そういうのが事前に
別の方法で調べておいて
本人になりすまして
やると
ソーシャルエンジニアリング
というテクニックを使うと
割と
できちゃう
少なくとも米国では
簡単にできちゃう
そういう事件が
いろいろ言われてて
それはあれですか
そういう仕組みが
あまり
サポートの
利便性が高い
反面
本人でない人でも
調べれば
分かるような情報で
本人と認識して
やってしまう
というのが
日本だったら
そんなに簡単にできないんだと
思うんだけど
そういうのがある
それはちょっと
気になってて
そうなんで
ドメインのやつも
ありましたよね
自分の使っている
ドメインがあって
それとIPの紐付けを
DNSの設定ですよね
ファックスで受け付けて
IP系の会社とかも
解散されたように見えた事件あったじゃないですか
そういうチェックあんないんですかね
あったね
そういうのも
あるし
リスクが若干
国内でどれくらいあるか
やや
はっきりしないけど
二段階認証もそういうのが
二段階認証で
二段階認証みんな使ってるでしょ
でもSMSを
無効にできないところは
SMSしかないところとか
インスタはまだ
SMSしかないでしょ
そうですね
そろそろできるようにするって話だけど
まだできてないでしょ
Twitterはもうしばらく
前からできるようになったんだけど
アプリでね
アプリでできるのはもうだいぶ前からできてるんだけど
SMS必須だったんだよ
しばらく
最近はSMS無効にできるんだよね
そういう風に
SMSでの二段階認証は
無効にして
アプリだけ使うとか
というのがユーザーが選べれば
いいんだけど
バックアップ手段として
いくつかないと
いざログインするときに
ログインできなかったら困る
何種類もバックアップの種類が
ユーザーにとっては便利で助かるんだけど
そうですね
そういうのが多くあるところほど
実はそういう攻撃
今言ったような
SMSを乗っ取っちゃう系の
SMSというかSIMを乗っ取っちゃう系の
攻撃に対してはちょっと弱い
可能性があるんだよな
SMSでその認証コードが
飛んでくるやつしかなかった
1:03:01
最初ね
後から追加された
方法があるのを
知る術がなかったりとかね
実は知らない間に増えてました
それはあるかもな
そうなんだよね
結構ね
Googleとかだと
Facebookもそうかな
だとSMS
アプリの認証
音声
あとセキュリティキー
ハードウェアのトークンを使う
認証
あとバックアップコード
これぐらいあるんじゃないかな
ログインするときに
どれかでいいんだよ
オアなんだよね
1個だから忘れてても
他の手段があれば
全部使えなかったら
ログインできないけど
どれか1個って感じになってるから
攻撃する側からすると
狙いやすいところを当然狙います
そこを2段階認証
使った上での
次の話だけど
ちょっとこの間の
レディットの話見てて
そうやってくるかみたいな
最近ちょいちょい
SMS入っちゃった
あとほら
去年だか一昨年だか
これもアメリカだけど
名前はしちゃった
クラッカー
クラッカーザースティーブだっけ
名前はしちゃったな
ティーネジャーのグループで
米国の政府の交換の
アカウントを乗っ取った事件とか
あれもほら
携帯電話会社とかに
あった
サポート電話して
本人になりすましてみたいなことやって
あれも確か電話の方を
乗っ取ってるんだよね
あれは確か
シムハイジャックじゃなくて
転送だったと思うんだけど
認証コードを別の番号に転送するような風に
確か設定して
乗っ取ったんだと思うんだけど
そのコードが乗っ取られてるんだよね
賢い
そういうのは
日本の国内ではあまり聞かないけど
海外では
最近客観ね
ちょっと
気になるなって感じだよね
日本でできるのかな
どうだろうね
そんな簡単じゃないと思うんだけど
電話だけでできるのかな
店頭に行かなきゃできないとか
でもあれか
電話の窓口がない
MVNOとか窓口の電話だけでできるかもしれない
どうなんすかね
気になるな
ちょっと今後調べてみる
1:06:00
できそうがあっても嫌ですけどね
どれくらいのハードルなのか
何を聞かれるのかは気になりますね
知っておいた方がいいかもしれない
シムハイジャック
シムスワップを
紹介しました
はい
何その
情報解析
そういうコーナーだったのね
違うでしょ
今日はネギスさんにお越しいただきました
みたいなね
そういう話です
そういうのもありましたね
結構喋ってますよ
1時間超えましたよ
ほんとだ
珍しい
最初でも雑談する
どうでもいい話
何かありますか
いっぱいありますけどね
いっぱいありますね
ネタは書いてありますけど
だいぶ紹介しましたよね
そうね
だいぶ
パサ話なくならないね
今の話で思い出したけど
セキュリティって使ってる?
あんまり日本で使ってる人少ないのかな
海外でも少ないのかな
セキュリティキーって
ユビキーとか
ユビコのやつとか
ユビキーって海外でもユビキーって言うんですよね
ユビキーだよ
何ユビキーってやつ
ユビコって会社が作ってる
だからなんですね
ユビから来てると思ってるんですか
人差し指とか親指とか
ユビから来てると思ってる
来てたらいいな
その由来は知らない
どこだっけ
海外なんです
どこだっけ
今パッと分かんないけど
指でユビキー
インテル入ってるやつ
そうですね
そうでした
僕使ってないですよ
売ってないもんだったら簡単に
それはAmazonで簡単に買えるよ
ビッグカメラとか
コンビニとか
あんま売ってないよね
普及してない気がするよね
いいんだけど効果はあるんだけど
さっきちょっと紹介されたけど
Googleのさ最近
ニュースで
カーフォレンスで言ったんだけど忘れちゃったけど
社員は全員あれ使ってるんだって
セキュリティ機必須で
あれ使ってると
フィッシングとか
仮にパスワード取られても
キーがないとログインできないから
安全ですみたいなこと言ってるんだけど
あれでもね
さっきの二段階認証の話と
1:09:01
ちょっとかぶるけど
セキュリティ機だけにしないと
効果ないんだよね
俺はセキュリティ機使ってるんだけど
使ってるんだけど
セキュリティ機じゃなくても
さっきのオア条件だから
セキュリティ機じゃなくてもログインできるんだよ
例えばパスワードとか
さっきの
電話とか
だから
指キーとか
でももちろんログインできるんだけど
なかったら普通の
二段階認証のアプリでもログインできるし
バックアップコードでもログインできるし
指キー使ってても
SNSでのやつOKやって
SIMが取られたら指キーの
効果が
だいたい手段があるんで
セキュリティ機じゃなきゃ
ダメっていう風にしないと
多分あんまり効果ないんだよね
結構ね
生体認証
バイオレトリックスの時にそういう話が
出ましたよね
目とか指
指紋はあんまりないけど
錠脈だとかそういうもので
安全です大丈夫です
例えばパソコンにもそういうのが付いて
当たるじゃないですか
これパスワードでログインできないんですか
まあそうなんだよね
今の生体認証って
だいたいオプションじゃない
オンリーっていうのはあんまりない
どっちかというとパスワードを入力する手間を
省くためのものとか
スマホの認証もそうじゃん
iPhoneとか
Androidとかのやつもね
だからそれは
利便性考えたらそうなんだけど
セキュリティ面ではね
あんまりそんなに
効果が見込めないっていうかね
難しいところだよね
それ一つにするとちょっと怖いしな
そう
自分がログインできないかもしれない
手元になかったらログインできないしね
なかなかね
その辺のさっきの
ストップ使い回しもそうだけどさ
使い回しをやめるくらい
できそうだけどできない
二段階の認証もね
使えばいいかっていうとそうでもないし
どこまでやっても
切り替えない
使えばいいかっていうとそれだけにしなきゃダメだとかさ
キリがない
ナックスリスクがあります
そうなんだよね本当にキリがないなと思って
面白いですね
2017年8万5千人以上の
全従業員に対しUSBセキュリティキーの使用
義務付けのところ
フィッシング被害の件数がゼロになりました
2017年以前にあった
フィッシング被害の件数を教えてほしい
多分相当あったんだろうね
わざわざ言うってこともね
なくした人
どれくらいいるかというのも教えてほしい
運用上の問題が発生した件数
システム屋さんからすると
運用側からするとそういうの気になりません
8万人もいたら
結構いると思うんですよね
昔さ
今もう使ってないけど
だいぶ前に
ノートパソコン
1:12:00
持ち出すノートパソコンの
暗号化するための
製品の
暗号を解除するときには
USBのトークンがなければ解除できない
という製品
最近見かけないけど
昔結構あってさ
いろんな会社が導入してた
よくなくす人がいるんだよ
あと壊しちゃう
そうすると再発行しなきゃいけなくて
その運用負荷って
意外とバカにならなくて
さっきの8万5千人も
多分
相当な数で
月に何件か分からないけどさ
何件じゃ済まないと思うんですよね
あると思うんだよね
そういうのを見込まないと
そういう運用コストって
案外バカになると思う
それでもフィッシングゼロを
達成するために
必要なコストってことだろうね
でも今回の
前もあったけど
従業員から
漏洩しちゃうって
意外と多くて
直接外から不正アクセスはされないんだけど
従業員のアカウントが
侵入口になっちゃうって
多いから
そういう企業にとっては
視覚問題なんじゃないのか
金かけてでも利便性多少
下げてでもやるんじゃないの
それはせざるを得ない
状況にあるとそうなるでしょうね
ですかね
っていう話
終わり?
そうね
だいぶ話しましたね
最後
言っちゃいます?
結構
7月までセミナーやってましたけど
セミナーでお話しさせていただくことが
僕らアットマークITの
セミナーで全国回ってましたけど
4ヶ所?
今回は
全出席です
多いよ
東京だけ消してきてる
元々は4ヶ所
元々は4ヶ所
地方はセミナー
福岡以外
福岡以外
今月またやるんですよね
今月
どこで?東京で
俺は知らない的な
まだ僕決席のやつですか
決席だったら大変なやつですね
情報セキュリティ
自己対応アワード
受賞企業に
アットマークITの
アットマークITで何かあったのかな
もうしばらくない
それ言っちゃいけないやつ
マイナリーですよね
マイナリー
毎年
3月にやってる
2月3月
情報サイバー
セキュリティ月間に
合わせてるのか合わせてないのか
1:15:01
合わせてない
また
アワード
3回やってる
やってるけど
その受賞企業の一つが
今回公演して
いただけるということで
僕も一回去年
前回というか
今年
で表彰した時に
インタビューに行ってるんですよね
僕は直接
その話聞いてないからね
僕らも楽しみだし
この3人含め
審査員の5人が
集まって
何喋るかわからないけど
ディスカッションやるという
というセミナーが今月に
いつですか
いつだっけ
8月22日
8月22日で
マイナビの場所が
マイナビのパレスタリオ
竹橋じゃなくて
最近いつもミライナだよね
ミライナタワー12階
大きいとこですね
綺麗な
今年は
3回目の
自己アワード
自己対応アワード
自己アワードじゃないです
本当に
自己ですそれが
をやった
ただいま絶賛申し込み中でございますので
申し込み受付中
間違えましたね
審査員も
審査員も
申し込まないといけないやつですかもしかして
時間が19時からなんで
仕事終わってからも聞きやすい
時間で定員が150人だと
是非是非
定員が
申し込み者数が定員に達した場合は
抽選により参加を
ご遠慮いただく場合があるらしいでしょうか
何か書いてありますね
パソコンを持って
参加費は無料です
参加費は無料です
いいですね
そんなのも得られますので
是非
時間があれば
お越しいただければ
遊びに来てください
今日はこんな感じで
充実したお話ができました
また近いうちに
また会いましょう
さよなら
01:17:25

コメント

スクロール