00:00
気をつけなあかんわ、マジで。
何が?
なんかもう、暖かかったり寒かったりやん、今。
なんかね、もう暖かくなるのかと思ったら急に寒くなったよね。
そうそうそう。なんか昼間暖かいからと思って油断して、僕夜散歩行くじゃないですか。
ああ、あれまだ続いてんだ。
全然ずっとずっと続いてるよ。むしろ僕は居るのに猫が居らんみたいになってますから寒くて。
ああ、確かに。
で、その昼ね、結構暖かいから油断して、そのままのテンションで外出て歩き始めたらめっちゃ寒くて。
でも、あれじゃないの?歩き始めたらポカポカするんじゃないの?
いや、でも最初ほら風が吹いたりすると、結構なんかもう一変戻って上着着た方がいいかなとかって迷うやん、最初の頃。
ああ、確かに。
それで寒いな、もうで時計見たらもう10度とかなんですよ。
ああ、確かに。ちょっとここ数日寒い日そんな感じだったよね。
寒いわ、言うても10度の夜や、言うてね、言ってましたけれども。
15や、それ。
油断も隙もないんだ、もう。
お便りさっさと行こうかもね、今日は。
行こうか。
前回ほら、バイバイの話あったじゃないですか。
何だっけ?いつから始めたかみたいな。
バイバイ。
ああ、終わりの。
そうそう、それに何かもういくつかお便り来てまして。
え、マジで?すげえな、さすがアレゼのリサーチ力すげえな。
すごいですね、看護さんの安定したバイバイは54回から。
そっからステーブルに、はい。
で、その前からはちょいちょい言ってるけども連続はしてないですと。
え、54回って言ったら、まだあれか、リモートになる前?
あ、違うな。
違うか。
なってるなってる。
なってますよね。
もうリモートなってるね。
あ、そっか。
リモートの途中から唐突に始めたの?
みたいですね。
なんかこう、データを経てみたいな感じじゃないですかね。
はいはい。
で、ねぎすさんのバイバイが聞きたい方は33回を聞いてください。
え、言ったことあったんだ、俺。
ほんとか。
ねぎすさんも言ってた時代があったんですね。
マジで?
で、それに関してなんですけど、第17回ぐらいは僕がしばらく言ってるみたいなんですけど、
33回は、そのねぎすさんがさっき言ってた33回は全員で言ってるんですって。
えー、そうなんだ。
なんか今見たら33回はリモート直前のやつだね。
あ、ほんとだ。
単体で言ってるのか、46回と51回は看護さんが言ってるって。
それさ、ちょっと待って。
すげえくぐらしすぎるけど、みんなどうやって調べたの?
分かれへんねえなあ。
すげえなあ、それ。
まさか全部聞き直すわけじゃないもんな。
さすがにね。
すごいなあ。
で、もう一人の方は記憶でおっしゃってるんですけども、
ピオ看護さんがお休みの回にねぎすさんが少しおどけた調子でバイバイと言ってくださった時もありました。
03:02
今日はバイバイなしかと寂しく思ってたので嬉しかったですっていうのもありますね。
確かに確かに。それは俺もいった記憶あるな。
多分僕とねぎさんだけの回かな。
なんか1回か2回確か看護さんいなかった時があるよね。
そんな回もあるんですね。
これどうやって探したんですかね?リッスンの文字起こしとかから探したのかな?
いやでもあれさ、最後に喋ってるか誰かって分かんないでしょう。
確かに。
最後だけ全部聞いたのかな。
これすごいよなあ。
すげえ。いやあ、ありがとうございます。
ありがとうございます。
愛を感じました。
結構お便り多いんですよ今日。
ありがとうございます。
2週分だしね。
ねぎすさん、DDoSのガイダンスみたいな話されたじゃないですか。
前回ね。
そこの中で僕らが拾ったコミュニケーションプラン大事やなみたいなことがあったと思うんですけども。
そこに対してコミュニケーションプランは定期的に見直しをした方がいいと。
社内の人を倍燃料で入れておくといつの間にか移動してたりしますという。
確かに。
それはあれだよね、こういったのに限らず、そういった連絡網は適宜こまめにアップデートしていかないとよくないよね。
一旦これはこういう立場の人っていうふうに役職で入れておいたらいいわと思ってても、その役職がなくなったり違う名前に変わる場合もありますから定期的に見直さないといけないですよね。
そうですね。
あとはすごいですね、ポッドキャストでCISAを褒めた途端に30億ドルの予算の追加。
これはバイデン大統領もアレ勢ということで確定。
ニュースの記事がですね、バイデン大統領予算でCISAの資金を30億ドルに増額、さらに医療サイバーセキュリティに約10億ドル要求っていう。
いやーとうとうアメリカの政治にも影響が出てきたこのポッドキャストで。
影響力デカすぎん?それ。
いやーすごいですね。
どんだけだよそれ。
なんかもう陰謀論みたいな話になってきてますよね。
実は影で操ってるの?みたいな。
やばいぞそれ。
セキュリティの影みたいな感じでいいですね。
でもあれでバイデン大統領には僕も結構前に言及してますからね。言うても。
そうなんですか?
そりゃどっかで言及はするだろうね。
違う違う違う。かなりの食い込んだ言及を僕はしてますよ。
覚えてますか?覚えてないと思いますけど、ランサムのちゃんとしなあかんでいう世界的な集まりにこれバイデン欠席やからなんで俺その枠で呼んでくれへんねみたいな。
あー言ってたね。
バイデン枠。
しなあと呼ばれた?
呼ばれてないわ。
スパムフォルダーに入ってるかもしれへんけど。
確かにね。もう一回見てもいいかもしれない。
そんなあるかい。
チェックした方がいいかもしれへんなと思いますけども。
06:00
というのがありつつですね。
あとは実際のセキュリティ事故みたいなのをリリースに対する話なんですけれども。
予定するまで公開しない判断をしがちだけども、不確定だけど注意喚起のためって公開する方がいいんじゃないかということで、セキュリティのお三方の意見も聞いてみたいということで。
クレジットカード情報が漏洩するとやっぱりちょっと遅れて出てくるケースって結構多いじゃないですか。
まあ1ヶ月以上とか。
そういうテンプレだよね。
この方が引用されてたやつだと11月6日にカードの決済を停止をしたっていう連絡があったんでみたいなね。
結局リリースは4月の2日に出てるんですよね。
まあよく僕がよく言う、本来であれば疑いがある時点でっていう検索すると絶対出てくる定型語あるじゃないですか。
あれが出てくる系のリリースだったんですけども。
どうなんですかね。これは早めの公開せえへん理由って文章にはね、いたずらに混乱を招くみたいな。
お客様へのご迷惑を最小限に食い止める準備を整えてからしましょうと思ってたみたいな。
どういう混乱があるのかなっていう。なんかあるのかもしれへんなと思うけど、僕としてはどういう混乱があるの。問い合わせがいっぱい来るとかなんですかね。
難しいとこだよね。定型文で言ってる内容はともかくとして、実際にその消費者っていうかそのユーザー。
使ってる側ね。
仮にカードが漏洩したとして、そのカードを持ってる人にどういった不利益が生じるかっていうことをまず第一に考えるとして、果たしてそれがどうかっていうところだよね。
一応そのカードは止まってるというか、不正な決済は止めているし、確定しっかりしてカードの漏洩範囲とかも全部確定してからお客様に通知しても不利益は生じないということであれば、そういう判断もあってもいいかなとは思うけど。
まあでもね、その確定して報告ないとカードを再発行とか手続きも取れないだろうし、本当に不利益ないかっていうと微妙な感じはするっていうのもあるよね。
そうなんですよね。漏れた側からすると一刻も早く教えてほしいっていうのが感情としてそう思うのが普通かなっていう風に。
あとあんまり言及はされないけど、事故の発生原因が何かによっては、利用者向けというよりはどちらかというと事業者向けに同じような被害を発生させないために注意喚起を早めにするっていう意味はあると思うんだけど。
ただね、どちらかというとカード漏洩の場合には、ペイメントアプリケーションの改ざん側くらいしか書いてなくてさ、なんでそれが起きたのかっていうところまで言及してないやつがほとんどなので、あんまりそういう効果も見込めないとなると、
09:08
早いに越したことはないけど、それがそんなに決定的に悪いかっていうと、そうとも言えないっていう。そんな感じですよね。ケースバイケースになっちゃうかな。
こういうのの今ねぎさんもちょっと言及されましたけど、テンプレ化しすぎてる良くなさみたいな。
それはあるよね。ほんまにこれ自分たちでちゃんと考えましたかっていうのは。
原因とかだったら、自分たちが作ったりとか外で発注して作ってもらった独自のアプリケーションだったら、別に広く悪用されるっていうのはあんまり考えられないじゃないですか。
全く同じ手口っていうのはね。でもそうじゃない場合でも、一緒くたのアウトプットでこういうふうに出てくるっていうと、決められたものは乗るけどそれ以外のものは一切乗ってけえへんみたいな悪い面っていうのが出てくるなっていうのは常々僕は思ってるんですよね。
多分そのテンプレになる良い面悪い面が両方出てるっていうかさ、最低限これぐらいのことを出すべきっていう基準はクリアできてると思うんだよね。
調査のプロセスも多分外部に委託してやってもらってきっちりやるっていう。ある程度ちゃんとした対応がされてるんだと思うのね。
じゃなきゃ多分カード再開されないからさ。
そうですね。
それは良い反面、テンプレ化しすぎていてどうなのっていう悪い面も出てるのかなっていう感じだよね。
そうですね。
まあ難しいですね。
差し加減が難しいところですよね。なんか共有すべき情報もこれっていうふうに言ってたらそれしかされへんってなってくるから、なんかそういうガイドを決めるときもちょっと高めのハードルにしたほうがええんかなと思ったりしてますね。
まあそろそろその次の段階に進んでも良いのではという感じが。
確かに確かに。
みんながこういう感じで最低限の基準をちゃんと守ってクリアしてやってるわけだから、まあそろそろ一歩先を行ってもいいのではという気がするね。
確かにそう思いますよね。
はい。
はい。
はい。ということでですね、あとはですね、今回も来てます。合格しましたポストが。
おおー。
はい。
OSCP合格しました。
これオフェンシブセキュリティがやってるやつですね。
うん。
あれを聞きながら勉強することでモチベーションを保つことができました。これからもオフェンシブアレ勢として自己研鑽していきます。ということでシーサーとパチリスさんおめでとうございます。
おおー素晴らしいおめでとうございます。
はい。
おめでとうございます。
もう一名の方がですね、何度か上手くいかず落ちてしまったっていうポストも過去にされてたように僕は記憶してるんですけれども。
ほう。
やっとこさ合格できました。ありがとうございました。ということでツボックさんCISSP合格おめでとうございます。
おめでとうございます。
おめでとうございます。
いやいいね。何度もチャレンジして折れずに頑張って。
そうですね。
素晴らしい。
いや素晴らしいなと思いましたね。
はい。
嬉しいねなんかね。
はい。ということでお便りは以上でございます。
12:01
はい。ありがとうございます。
はい。ということでセキュリティのお話を今日もしていこうかと思うんですが、今日はそうですねネギさんからいきますかね。
はい。じゃあ私から行きたいと思うんですけども。
はい。
今日はですね、ザ・ムーンっていうマルウェアの活動について、ルーメンテクノロジーズっていうアメリカの通信会社が記事を書いてたので、その内容をちょっと紹介しようかなと思うんですけど。
はい。
このムーンってマルウェア知ってる?ザ・ムーンって言うんだけど。
いや僕はあんまり。
そうだよね。あんまりそんな有名じゃないと思うんだけど、一応2014年だから10年くらい前から観測されている結構老舗のマルウェアの一つで、主にホームルーターとか、いわゆるIoT機器って呼ばれる機器に感染をするって言われているマルウェアの一つなんだけど、
なんかさ、IoTのBotって言うと、よくここでも紹介するけど、未来の足とかっていうようなマルウェア、あれは有名じゃないですか、かなりね。
うんうん。
あれは大体どんな足も感染するとDDoS攻撃に使われるっていうのが大体典型的なパターンなんだけど、
このザ・ムーンっていうマルウェアはそうではなくて、感染するとプロクシーとして動作をして、それが何らかのサイバー犯罪とか悪い活動に使われるということが過去に言われて、たびたび報告されているそういったマルウェアなんですよね。
で、今回の記事が何を言ってるかというと、そのザ・ムーンっていうマルウェアが実はレジデンシャルプロクシーのサービスでフェイスレスっていう、ちょっと有名というか悪名が高いって言えばいいのかな、そういうサービスがあるんだけども、それに実は利用されているようだという、この2つが実は関係してますということを明らかにしたというのが今回の記事なのね。
で、このフェイスレスっていうサービスも実は結構有名なやつで、サイバー犯罪に使われているって前から言われているやつで、何でかというと一つはその前もこのね、あの最近レジデンシャルプロクシーのお話したと思うんだけど、ユーザーの登録時の本人チェックが非常に甘いというのと、あとそのこのフェイスレスもそうなんだけども、暗号資産だけで取引をしていて、
要するに金さえ払えばどこの誰かわかんなくてもサービスが使えるっていう。非常に匿名性が高いサービスで、なんで犯罪者にとってはお患い向きというか、そういうサービスなんですよね。
ちょっと前のそのレジデンシャルプロクシーのところでも話をしたけど、例えばその中にはお金欲しさに自分のところの空いている帯域を利用させようとして、自らプロクシーベアを実行する人もいれば、
あとバンドローされていて気がつかないうちに実行し合ってるっていうちょっとグレーなケースがあったりとかって言ってたんだけど、今回のやつはもう完全に黒で、そのマルウェア、Moonというマルウェアが勝手に感染をしてIoT機器に。
15:04
それが本人が知らないうちにそのフェイスレスっていうプロクシーのサービスのインフラとして使われているという。こういうことなんだ。だからもう完全に黒ですよね、これはね。
そうですね。
その両者の関係をちょっと明らかにしましたというものなんだけど、じゃあその元になっているMoonというマルウェアについて簡単に紹介すると、これIoT機器のルーターの贅沢性とかを利用して感染をするやつなんだけど、感染すると何するかというと大きく2つモジュールがあって、
1つはWARMモジュールってやつで、WARMっていうからわかると思うけど、その贅沢性のある他のウェブサーバーとかをスキャンをして、自分たちの感染をどんどん拡大していくっていうやつね。これが1つ。これはどんなBotにも結構あると思うんだけど。
もう1個の方がプロキシーモジュールってやつで、これに感染すると、まずそのTheMoonのマルウェアのC2サーバーと通信をして、次の通信先のC2のサーバーのアドレスを通知されますと。その次の通信先っていうのが今言ったフェイスレスっていうプロキシーのサービスのC2サーバーなのね。
そこで通信をして、以降はフェイスレスのC2と通信をして、プロキシーのサービスのインフラとして使われるようになりますという。組み込まれてしまうというね。そういう挙動をしますと。
今回その記事を書いたルーメンテクノロジーズが観測したのは、10日間このフェイスレスとTheMoonのマルウェアのそれぞれのC2サーバーを特定していて、そのC2サーバーと通信しているBotに感染していると思われるアドレスを調査しましたってことなのね。
これは詳しく書いてないけど、ルーメンってアメリカの最大手の通信会社の一つなんで、おそらくそのC2のサーバーのアドレスと通信をしているやつ、フロードデータかなんかを多分分析をして、このIPアドレスとこのIPアドレスが通信してるなっていうのを調べたんだろうとおそらく思います。
BotのC2の方を指し押されたとかそういう話じゃないから、通信経路上のデータを調べたんだと思います。おそらくね。
彼らの10日間の観測結果のデータを紹介してくれてるんだけども、今言ったフェイスレスのプロキシのC2と通信しているBotのおよそ80%がTheMoonのマルウェアのC2とも通信をしていましたと。
だから結構な割合で重複してるってことよね。さらに重複具合の時系列でどうなってるかというと、まずTheMoonのC2と通信を始めて、つまり感染をしてからってことだと思うけど、同じ日のうちにフェイスレスのC2とも通信を始めたっていうやつが40%いますと。
18:04
結構かぶってるな。
もうちょっと期間を延ばして3日以内まで延ばすと、およそ80%がTheMoonに感染してからすぐにフェイスレスのC2とも通信を始めるということなので、そのTheMoonに感染したそのままフェイスレスに組み込まれるっていう流れができているのかなっていう感じだよね。
ただ、このルーメンの記事でも書いてあるのは、全部が全部そのまま組み込まれるようではどうもないらしくて、なんで全部じゃなくて一部はそうじゃないのかっていうところはちょっとよくわからないって書いてありました。
感染の規模でもちょっと違いがあって、もう少し長い期間調べてみて、だいたい1週間の平均の数を出してるんだけど、TheMoonのC2と通信をしている感染している台数がおよそ3万台ぐらい見えてると。
それに対してフェイスレスのプロキシのサービスの方のインフラに組み込まれてると思われるやつが2万3千台ぐらいって言ってるね。ちょっと数が少ないんだよね。
だけど、さっきの80%っていう重複具合から見ても、このフェイスレスのプロキシサービスのインフラのほとんどがこのTheMoonから供給されていると思っていいんじゃないかなという感じ。
ただそのほとんどなんて全部ではないです。その全部じゃない奴が他がどうやってるのかちょっとよくわかんないけど、そういう感じでこの2つの活動にはすごく非常に強い相関があるというか。
ただこれどうなんだろうね。これまで別にこの両者がすごい関連してるってあまり言われてないから、同じアクターかもしれないし全然関係ないんだけど、
そのMoonのアクターの方がこのプロキシのサービスの方に例えば金銭的な見返りとともに提供しているのか、ちょっとその辺の関係性ははっきりわかんないんだけど。
フェイスレスがMoonから仕入れてるかもしれへんってことですね。
そういう単なるビジネス関係なのかもしれないし、もっともっと深い繋がりがあるのかもしれないんだけど、ちょっとそこはわかりませんと。
ただ観測結果として非常に両者のインフラがオーバーラップしているということは明らかでした。
あとフェイスレスのインフラの方についてももうちょっと言及があるんだけど、一部感染しているASネットワークが結構偏っているらしくて、
これはアメリカのASに偏りが見られるって書いてあるんだけど、これは結構他のIoTのボットでもたびたび見られる現象で、
これはちょっと推測、僕の推測なんだけど、時々そのある特定の国の特定のASに偏在しているIoTの機器にたまたま脆弱性が見つかって、
そいつらがまとめて全部ボットに感染するというケースがたまにあるのね。
なんか突然ある国からスキャンがボーンと増えるみたいな現象ってたびたび起きるんだけど、そういう時ってだいたいこういうケースなんで、
21:00
もしかしたらこのザ・ムーンのアクターもそういう特定の脆弱性を狙って感染をしているのかもしれないね。
なのでそういう偏りが生まれるのかもしれません。ちょっとそこははっきりしないけども、そういうのが見えますと。
よくあることだったことですね。
そうですね。
それからフェースレスのインフラに組み込まれているボットのおよそ30%が50日以上ずっと感染しっぱなし、つまり施設と通信がずっと出ているという風に言っているので、結構長い期間にわたって
感染が本人が気づかないでっていうか、
あと他の多分アクターとかに邪魔もされないでっていうか、結構長期間使われているっていうケースが見えていますと。
これも他のボットでもよくある上等手段だけど、このザ・ムーンもマルウェアも自分が感染に使った脆弱性が使われないようにというか、
同じウェブのサーバーのポート番号を感染したらIPテーブル図を書き換えてブロックするという挙動をしているので、
アクセス制御しちゃうんですよね。上書きされないようにね。
そうですそうです。なのでそういう感じで、もしかしたらうまく占有できているのかもしれないなと。
ちょっとここら辺の詳細はね、一個一個の感染機器を調べているわけではなくて、この会社はあくまでも通信会社なんで、
その経路上のデータを見ているだけで分析をして言っているから、そのあたりの個別の状況ははっきりわかんないんだけど、
そういうような結構長期間にあたって使われてますねというのが見えています。
他にももう少し細かい分析データが出てるんだけども、ざっと紹介するとこんな感じで、
ちょっとこれ読んで思ったのは、またかっていうのもあるんだけど、
例えば今回紹介したFacelessというサービスだったり、
元になっているMoonというマルウェアも、これも完全に黒だから匿別しなきゃダメだけど、
仮にこれを一個一個叩いたところでまた別のやつが出てくるんだろうなっていう感じなんで、
今回のケースはIoTの機器に完成しているっていうのがメインだから、
やっぱりそういう元になっている根本原因で、
この場合は脆弱性があるIoT機器を減らすという取り組みをちゃんと進めていかないと、
これ無くならないないつまで経ってもなっていうのを改めてまた思ったなというか、
こういうの他にもいっぱいあるんだろうなというのをちょっと思いましたね。
そうですね。
でもこういう活動を明らかにして、こういう脅威があるよというふうに注意喚起をしていくということはすごく大事なんで、
今回の記事もそういう意味ではすごく参考になりましたね。
こういう脆弱性を埋めたりとかパスワードデフォルトでないようにって、
どんどん多分ちょっとずつちょっとずつ良い方向には進んでいると思うんですよ、多分ね。
そうだね。
でもこれ入られた、今ふっと思った疑問はね、
24:01
入られた後のやつやったらアップデートが後から来てもあんまり意味ない場合もあるってことですよね。
どういうこと?アップデートが後から来るっていうのが。
中に永続性を維持されているとってことですね。
再起動されるとそれでも基本的に大丈夫なものの方が多いのかな。
なるほど、もし仮に脆弱性が塞がれてもってことね。
そうそうそうそう。
それは他のケースでもあるじゃない、そのVPN機器でもさ。
そうそうそうそう。
更新する前に侵害されてたらダメだよみたいな。
多分それと同じで、これもおそらくだけど再起動したら消えるとかあると思うんだけど、
そうね、ただパッチを当てるっていうかファームウェアを更新しただけでは、もしかしたら
生き残っているやつがあるのかもしれないね。
ちょっとその辺は細かい言及がなかったのでわかんないけど、
その辺にももしかしたら課題があるかもしれないね。
結構ね、再起動で一旦消えるけど、また穴が開いたままやと再感染しますからみたいな話をよく聞くけど、
アップデートした後にでも永続性確保されてるっていう話はあんまり聞かないなとは思ってはいたんですけど。
そうね、今回のケースについての話じゃないけど、
一般にそのミライアスとかIoT系のボットは大半は結構再起動すると消えちゃう気圧性があるんだけど、
中にはそういうものではないやつもあるんで、再起動しても残るようなケースっていうのは中には結構あるんで、
必ずしもね、アップデートで消えるとは限らないよね。
そうなんですよね、その辺の課題も残っていくなっていうのは結構思うんですよね。
あと、感染させる側っていうか攻撃する側は、別に特定の機器を今回いくつか狙ってるっぽいけど、
新しいの見つけてどんどん変えていけばいくらでも多分あるので、そういうの全体の数を減らしていかないといけないよなっていう。
そのあたりが難しいですよね。
僕も以前からランサムな話で言ってますけど、文業家・専業家みたいなものが進んでて、それがうまく手を組んでるっていうのは如実に出てきてるなと思いますね。
そうなんだよね。今回のも、ちょっと分からないけど、その辺のビジネス関係はよく分からないけど、
そのムーンのマルベアーの方は感染する方に特化していて、それをサービスとしてマネタイズする方は、今回のフェースデスっていうレジデジタルプロキシーのサービスの方が担ってるという風に見るとすると、
うまく役割分担できてるっていう感じはするよね。
この匿名性を高めているところのためのアクセス権はまた違う攻撃をするやつがこれを使ってるわけでしょ?
なんかバラ撒いたりするような攻撃者をこういうの使ってるじゃないですか。
そうなんだよね。
いやー、なんかますます良くないというか、嫌な状況があるという感じが見えてきますね。
レジデジタルプロキシーのサービスの話でもしたけど、悪用されても結局各ご家庭にあるIoT機器までしかたどれなくてさ、
攻撃者がその先どっから来たかっていうところは多分分からないで終わっちゃうっていうケースがほとんどだと思うんで、
27:05
こういうのが攻撃インフラに使われると調べる側としても厄介だよね。
なんか攻撃すると悪意があるのは感染させるやつとかレジデジタルプロキシーを売る人たちだと思うんですけど、
その間に悪意のない知らない間にやられてる人っていうのがあって、これ全員が損してないんですよね。
根本原理を直すたびには、気づいてない悪意のない人に何とかしてもらう必要があって、それがねちょっとこの構造の厄介なところなんだよね。
話を聞けば聞くほど大変やなと思いますね。気づいてもらう。
使えてしまうからなインターネットはなっていうのが根っこにありますね。こういうのがね。
リードスしかりね。
しかもリードスだったら通信容量が多くてとかあるかもしれないけど、大して容量も食わなかったらそれこそ本当に何の影響もないというか。
そうですよね。Wi-Fi、フリーWi-Fiのように人に勝手に使わせてるぐらいの程度だったら気づきもしないですしね。
その程度ですもんね多分。
問題の根深いところっていうかね難しいところだよね。
わかりました。ありがとうございます。
じゃあ次は僕じゃあ行こうかなと思うんですけども。
お願いします。
今日僕が紹介するのはカスペルスキーが出してた、少し前に出してたHow to prepare for Living of the Land attacksっていうやつなんですけど。
このポッドキャスターはたぶんLiving of the Land、ネギさんが一番よく使ってるかな。
そうだっけ。そうかもしれないけど。
よく言ってるイメージがある。
よく言ってる。
どういうイメージだそれ。
分かれへんけど。これに関して深く言及してるわけじゃないけどこれを言うたはるなみたいなイメージがある。
そうかもしれないけどね。
3人の中で一番イメージが近いかもしれないですね。
それに関してちょっとこのロルビンとかって言われたりしますけどもLOLとかLOTLなんていうのを訳されたりしますけれども。
これはちょっとおさらいの中で言うと、日本語にすると難しいんですけど、一部では環境規制型とか。
あとは時給自足型なんて日本語で呼ばれたりするんですけど、いわゆる現地調達系って僕はよく言うんですけど。
そうだね。
侵入した先にあったもので、いわゆる不正なツールとして認められているものではなく、OS標準のものとかね。
あとは管理とかメンテによく使われるような正規のものを使うって攻撃の中で使うっていうふうなもので。
ちなみにこれMacでの場合だとリビングオフザオーチャードっていうらしいですね。
MacでAppleだからカジュエンってことなのかもしれないですけど。
そういうのがあって、これは商用ツールとかオープンソースとかそういうの問わずに不審とは思われないようなものを使うというふうなものだと。
30:03
LOL Bean以外にLOL Busっていう言い方もあるよね。
そうですね。ロルバス、ロルビンみたいな感じで言ったりしますね。
広くいろいろ今は言われますよね。
そうですね。ビンだとバイナリーやけど、バスだとアンドスクリプトが入るのかな。
そういうのがあって、攻撃者これよく使ってきてて、僕もいろんな攻撃の事例とかを見てるとやっぱり多くなってきてる気がする。
そうかもしれない。
攻撃者を特定とかもしにくくなってきてるなぁなんていうのは結構感じるんですけれども、その利点っていうのが今言ったようなアトリビューションしにくいっていうふうなもので、攻撃の関連性を見つけることが特定しにくいっていう利点が攻撃者にあると。
あとはやっぱりログで見つかりにくいですよね。正常なものというふうに見えてしまうものがあるので、判断がつきにくい。
検知を避けるために結構使われるっていう印象だよね。
そういうふうなツールなんで、場合によったら引っかかるものもありますけど、いわゆるEPP、アンチウイルスみたいなものに検知される可能性も低いと。
あと、ありものを組み合わせてできるから、新たに専用のバックドアみたいなのを自分たちで独自に作ってやってくるような攻撃も未だにもありますけど、そういったことをしないので楽だというふうなことが挙げられてましたね。
あとは日常の流れに紛れ込んでるから、そもそもログがどんどんローテーションして消えていくっていうのもあるのかなっていうところもあるんですけども。
結構攻撃者にとっては利点が決められた範囲でしかできへんって言っても、いろんなツールがあるから組み合わせれば結構なことできるんで、かなり利点が多いんじゃないかなっていうふうなことがこの文章にも書いてありました。
こういう攻撃ってどういうふうな環境が受けやすいの?みたいなことを書いてたんですけど、結論は一番初めに書いてて、基本的にはどこでもできる。当たり前のことを書いてあったんですけども。
なんでそんな項目をわざわざ入れてん?って思いながら読んでたんですが。
同じカスペルスキーがちょっと前に2021年の9月に、サイバークリミナルズトップロルビンズっていうのを出してて、使われやすいこのLOLのツールとかソフトウェアみたいなものを上げてる記事があったんですね。
1位なんやと思います?Windowsで。
パワーシェル?
さすが!ブッチ切りでパワーシェルが20.3%。だから5件に1件はこのパワーシェルが使われてるっていう。
なんでもできますしね。
強力だもんね。
入ってからもそうですし、入ってくるね。マルウェアがパワーシェル呼ぶなんていうのは上等種なんですから。だからブッチ切りで20って言っても、僕からすると少なく感じましたね。
もっと多くても確かに。
2位とかに入ってくるのは一気に下がって2%とかになって、RunDLL32exe、DLLをロードするために使って、認証ダンプするツールとかがこういうのを使ってきますよね。
3位以下に関してはいろいろあって、PSExecとか、WScriptExeとか、あとはRegistryJillRegExeとかこういうのが入ってくるっていうふうな感じで、ブッチ切りでパワーシェルでしたね。
33:03
Windowsに関しては、さっきネギさんがロルバスって言ったりしますって言ってましたけど、ロルバスプロジェクトっていうのがあるんで、そこでサイト見ればどういうものが使われるかっていうのを、
リビングオフザランドで使われるバイナリとかスクリプト、ライブラリみたいなものを全部網羅していこうというのを目指しているプロジェクトがあって、そこで簡単な説明とこういうふうな悪用に使われるみたいなのがあるんで、こういうのを見てみてもいいんじゃないかなと思いますけどね。
LinuxだったらGTFObinsっていうサイトがある。Linuxで使われるこのロル系のやつですね。
あとMacもRubyinsっていう、さっき言ったリビングオフザオーチャードバイナリーズですね。っていうふうなサイトもあるので、自分に合ったものを見てみて、眺めるだけでも結構数あるんですけど、見ていただいてもいいんじゃないか。
こういうふうな悪用があるのかっていうふうなので、普段使ってて無害というふうに思ってても、実は危ない使い方があるっていうのは結構気づきがあるんじゃないかなと思いました。
これどないやって検出すんねん。こんな検出難しいものはっていうふうなこともいくつか挙げられてたんですけど、想像つくようなことばっかり書いてたんですね。読んでみると。
イベントとか、イベントのロギングは詳細にしましょうとか。
あとはこれ結構巧妙ってことじゃないけど、大事なんかな、難しいけどなと思ったのは、管理者の方が使うようなツールとか、あとは行動自体を典型的なやつはこれですみたいなものを決める、特定する、こういうふうに使ってるっていうのをまず把握するみたいな。
なかなか難しいですけどね、要は管理ツールあれやこれや使うのをやめて、最小限にして、ログ全部取ってから膨らむから詳細なログを取るために最小限にしましょうとか。
あとは同じようなことができるツールをバラバラに使うんやめて、これっていう特定にしましょうみたいな感じのことが挙げられたりとか、あとはもうちょっと振る舞いの部分ですかね。利用するときの時間帯とか手順みたいなものとかも把握に入れたほうがいいんじゃないかということが書かれてありましたね。
さらにそこからいくとですね、こういうことをある程度自分たちの目とかでやるのは結構大変ですからログなんてね。なので自動化して機械学習のモデルとかを使ってログを継続的に分析してっていうふうなことが書いてあったんですけど、これも結局IDあるとかその辺のシームとか入れなあかんようなことになってくるやんっていう。
ちょっと誰もがどの組織もが簡単にできるようなことじゃないなっていうふうなことが書かれてありましたね。こういった攻撃から自分たちの身を守るには、検出ではなくて守るにはっていうこともですね、いよいよ何の文章読んでんのかなっていう気になってきたんですけど、
ネットワークとかエンドポイントアプリとかですね、そういったもののアカウントを適切にして攻撃できる範囲をできるだけ可能な限り狭めて検出を早くして侵入の被害を最小限に抑えましょう。それロルビンの話じゃなくないみたいな話になってくる。
36:06
もうなんかこういろんなね、ファイブアイズが出してる文章とか同じようなこと書いてるんですけど、文章が長い割にですね、なんかこれ特定の話してなくて当たり前のことしか書いてないなみたいな、言うことなくなってきたのかなみたいな感じの文章になってました。
でね、この4でやっぱり答えがちょっと僕もあんまなくてですね、ほんでどないしたらええねんみたいな感じに気持ちがありまして、先書いてあった通りある程度制限できる環境にのみ使うのは決められてるサーバーのオペレーションなんてある程度決まってるじゃないですか。
そういったものとかに本当にアプリケーションの制御とかをするっていう風にちっちゃい範囲から始めるのがいいのか、ここを諦めて他で守るネットワークのレイヤーで検知するとかそっちの方に持っていく方がいいのか。
さっきの話で言うと現状を決めてこれが正常と決めて最低限にして異常っていうものを正常を決めて異常を明確にすることで検出しやすくする方がいいのかっていうのが分からない。
だからどっちがええんかななんていうふうに思って、例えばさっき出てきたPowerShellがよく使われるんやったら、最低限PowerShellの随分前ですけど5.0以降はログがきっちり取れるような機能もついたんで、モジュールログとか一歩進んでスクリプトブロックのログとかを記録するみたいなことからやっていくのがいいのか。
お二人はこれに関してどういう風なアプローチでやればいいと思っているのかなっていうのを聞きたくてこの記事を紹介しましたというところなんですけどもどうですかね。
難しいね。難しくてそれを聞きたくて紹介してみたというところが。
ずるいあれだけど、環境とか会社によってやり方は多分違って良くて、例えば社内の自由度が非常に高い環境でお仕事されているような場合、結構開発系に多いかもしれないけど、とかだといろんなツールを使うしいろんなやり方をするからあまり制限かけられないみたいなね、例えばね。
そういう環境だと当然その侵入してきた攻撃者にとっても自由度が高いので、見つけにくいとかっていうことがある。逆に割と統制が利きやすい環境で使っていいツールはこれだけですみたいな。
管理者の権限も一般の人には使えませんみたいなね。情報システム部分が全部管理してますみたいなところだったら、ある程度すごく制限した環境で使わせてログをしっかりとっておけば、なんか変なツールが扱えたらこれはおかしいってすぐ気づけるみたいな。
例えばパワーシェルとかをできるかどうかは別にして、パワーシェル禁止にしてる組織とかもあるじゃないですか。
そうそう。前ね、これは侵入事例じゃないんだけども、アメリカの会社でペンテストで、面白い事例というか、ペンテストで侵入は成功したんだけど、パワーシェルを使ったらすぐさまそれが検知されて、ブルーチームに見つかったっていうケースが報告されてて、
39:02
それは何でかっていうと、経理の部門、総務部門か忘れたけども、普段全然開発とかしないような組織のPCでパワーシェルを動かしたんだって。そしたらそれが不審だって言って、引っかかっちゃったと言ってて。
それはだからあれか、状況下にしておかしいと判断できた例ってことですね。
そうそう。さっき言ってた禁止にはしてないんだけども、この部署はこういうのは使わないよねっていうアノーマリーで見つかっちゃったっていうことだよね。
だからそういう、今自分たちが使っているどの部署ではどういうツールを使っているとか、この部署ではこういうのが使われている、標準で使われているとかっていう環境をきちんと把握するっていうことがまず最初で、
もう一段階できれば使えるものを制限するっていうところまでできれば行った方が良くて。
さっき言ってた中でも特に管理者は利用する環境とか場所を制限するとか、ネットワークのアクセス経路を制限するとか、もっときつくすべきっていうような何段階かあってさ、
完全にゆるゆるの環境でもなんとかできるっていうところはあるかもしれないけども、普通は難しいから何段階かハードリングのステップがあって、とりあえずここまでできるからやっておこうみたいなところをやっておくってだけでも、
攻撃する側からするとハードルが一段上がることになるので、もしかしたらレベルの低い人はそこで諦めるかもしれないし、これはちょっと難しいって思うかもしれないし、検知されるからやめようって思うかもしれないし、実際に見つかるかもしれないじゃん。
その辺は守る側の環境とか状況と、攻撃してくる側のスキルがどれくらいかによって結構変わってくるところなんで、それはここまでっていうのは決まってるわけじゃないけど、できるところまで組織ごとにやっていきましょうっていうことになるんじゃないかな。
ズリー回答ですけど。
それも一つですね。パワーシェルを禁止してたとしても、禁止してるのを使おうとしたログがあれば完全に異常なわけですしとかね。
そうそうそういうのね。
自分たちにとっての正常っていうものをやっぱりある程度定義するところが先なのかな。
普段管理者が使わないようなところで管理者のアカウントが使うやつらどうとかね。いろいろあると思うんで、そういう異常をいかに見つけるかっていうのは、もちろんEDRなりCMなりさまざまなそういったソリューションが入ってたほうが見つけやすくなると思うんだけど、今ある環境でどこまでできるかっていうのをやるのも大事なんじゃない。無理であって諦めちゃうっていうのは多分ダメだと思うんで。
あとどっちを選ぶかっていうのはあるかもしれないですね。さっき言ったみたいなPowerShellそのものを禁止するっていうふうなので、終わってしまうのも一つありだと思うんです、僕は。
でもそれでもちゃんとログを取りますっていうのだったら、ログを取るだけではなくて、ログをきちんと見ていく体制も込みで考えないとやる意味ないですからね。
そうですね。
選択によって何が不便になって便利なまま活かしつつ、でも自分たちの作業はこれはちゃんとやらなあかんっていうのもセットで考える必要が大事なんかなっていうふうに思いましたね。
42:03
確かに。
これめちゃめちゃ大変やなって思いました本当に。僕も気になっててね、このロルビンが気になっててですね。調べていけば調べていくほど大変な感じがしてきたというか。
実際、例えば診断というかレッドチーム演習みたいなサービスやってるところもあるとは思うんですけど、こういった手段を使って検証というか確認をしてくれるかっていうのは聞いてみてもいいかもしれないですね。
確かに確かに。明らかな攻撃ツールを使わずにやってもらうプランとかもあるかもしれないですよね。
こういうのも実際攻撃を受けてみないとちょっと想像しにくいっていうか、対応をどうすればいいかっていうのがパッと分かりにくいかもしれないので、一回そういうのをやってみるっていうのはあるかもしれないな。
確かにね、一回入ってしまえばね、本当に明らかな、例えばコバルトストライクみたいな、ああいうの出てこないようなインシデントもありますからね。
変なもの見つけられるのにもこういうの見つけるのがやっぱり大変やから、そういう体制が自分たちにあるのかっていうのを調べる、そういうシナリオっていうのもいいかなっていうのはカンゴさん言ってくれたと思いましたね。
確かに。
はい、わかりました。ありがとうございます。
ありがとうございます。
じゃあ最後はカンゴさんです。
はい、今日はですね、私は脆弱性のデータベースの話をしようと思うんですけども、皆さんCVEが割り当てられた脆弱性情報を参照したいなって思ったときに、どこを結構見られますかね。
いろいろあるよね。
いろいろあると思うんですけど、その中で割と多分名前多く挙がるのが、National Vulnerability Database、NVDっていうふうに略される、アメリカのNISTという組織が管理運用している脆弱性データベースがあるんですけども、
これあまり今日本だと、ニュースになってるけどあまり見た記憶がないんですけども、実は今結構ピンチになっていてですね。
ちょっとなんか異変が起きてるよね。
これね、結構考えなきゃいけないなっていうところではあって、現状をちょっと皆様に共有というか、今こんな状況だよっていうところを知っていただきたいなと思ってるんですけども、
今ですね、NVDのサイト見ると黄色い枠がひょこっと書かれていて、今だとプログラムのアナウンスをしてます、みたいなことが書かれてるのかな。
だからちょっと前だと、ちょっと遅延してますみたいなのが書いてあったと思うんですけども、まさにNISTで何をやってるかというと、
CVEが割り当てられた脆弱性の情報を分析をして、関連する情報をつけた上でNVDに登録するっていう作業をやってるんですが、
今そこがすごい遅延というか、バックログめちゃくちゃ溜まってる状態になっていてですね。
あらあら。
どれぐらい溜まってるかというと、これNIST自身が公開している資料というかデータがあるんですけども、
45:03
先月新しくCVEが発行されたものというのが3370件ありまして、そのうち実際にNVDが分析できたCVEの数というのが199件ということで、
少なっ。
めちゃめちゃ数少なくてですね、今までこういう事態ってあまりなくて、これ実は2月の中ぐらいですかね、12日とかって書いてるところがありましたけども、
大体中ぐらいから唐突にその分析された結果というのがページに反映されなくなったっていうのが、今もずっと続いている状態で解消されていなくてですね、
いろんな人がこの状況を見てもしかしたらNVD閉鎖されるんじゃないかみたいな噂もしてる人もいて、
そこまで。
本当にそれぐらい結構その情報が、これまでそういった状況がなかったっていうところに加えて、
NIST自身があまりその辺の状況について詳しい情報っていうのを出していなかったっていうところもあって、
さっきの閉鎖の噂みたいなのも上がったりはしていたんですが、
この状況についてどうなのかっていうのが、3月ぐらいからちらほらアップデートされたりとか、
あとは実際のバルンコンっていう形で3月ぐらいにファーストがしたりなんですかね、そういったカンファレンスがあって、
そこでNISTから来てる人がこういう取り組みをしますとかっていう話もしたりして、
なんとなく状況がやっと見えてきたというところではあるのですが、
NIST自身が公開しているアナウンスのページにも簡単には書かれてるんですけども、
内容を予約するとソフトウェアの数がすごい増えており、当然ながらそれに伴って脆弱性の件数も増えていると。
脆弱性の件数、これまでも年始とかにね、数増えてますとかって話してますけど、本当に年々増え続けているというのが今年も変わらずで、
すでに今年だけで9000件ぐらい多分CVEがアサインされてる脆弱性あるんですけども、そういった状況があるというところに加えて、
あと政府側のサポートの状況が変わってきてるよというところも理由として書かれていて、
これちょっと具体的なところは書かれていなかったんですけども、NISTに今年度割り当てられた予算というのが、
およそ14億6千万ドルというところで、結構金額だけ見れば結構な金額ではあるんですけども、
ただ前年度ベースで見ると予算削減されていると。10%、12%ぐらい削減されているというところではあって、
一応NIST自身はこのNVDの運用というのが、国においてのサイバーセキュリティに係る重要な部分という認識はしているので、
48:01
引き続きサポートというか管理体制しっかりやってきますっていうのはあわせては書いてはいるんですけども、
言及というかそういった話はしてるんですけども、予算削減っていうのもあったりをして、
その結果分析が必要な脆弱性の積み残しっていうのがどんどん増えてしまっていると、
そういった状況にあるというところが理由として書かれてはいてですね、
想像に絶やすいという状況ではあったんですけども、まさか脆弱性がどんどん増えると大変だみたいな話はいろいろしてましたけども、
NVDにそのシワ寄せというか、それこそ分析がほとんどされなくなってしまったという、
こういった状況になってしまうというのが結構びっくりというか。
だって脆弱性のデータベースの大物だもんね。
本当にそうなので、まさかこんなことがっていうふうには思ったんですが、
一応重大な脆弱性の分析っていうのは優先して対応してますよと。
例えばそうですね、先日から話題になってたの、XZユーティルズですかね。
あちらの脆弱性については、あのページだけ見ると普通に分析された結果が書かれているので、
おそらくそういう意味では非常に注目度というか、深刻な脆弱性なんていうのは、
とりあえずというか優先順位を上げて分析されていると思うんですけども、
そうしてさっき非常に積み残しがあるという話をしたんですけども、
分析がまだされてませんみたいな書きぶりのページが本当にたくさんあるので、
なので今今サッと見たときにリファレンスとしてあまり機能している状況に、
本当に新しい脆弱性についてはなかなか厳しい状況かな。
もちろん過去の脆弱性なんていうのはデータベースという形では蓄積されてるんですけども、
もちろんアップデートがあった場合はその反映とかっていうのも当然あると思うので、
その辺とかにも影響というかしわ寄せが行ってるのかなというところではある中で、
一応体制の強化はしますよというところもアナウンスしつつ、
あとこれうまく回るのかなっていうのは、私も含めてですけども、
いろんな人が懐疑的ではあるのですが、
コンソーシアムを立ち上げて長期的に課題解決に取り組みますっていうのも書かれていて、
このコンソーシアムって若干唐突感があったので、なんつーやっていう話ではあったのですが、
これがさっきの3末のバルーンコンというところでニストの方が来られて、
概略的なところをお話しされていたんですけども、
正式な情報というのはまだ出てはいないと、その時点ではですね、その時点ではまだ出てなくて、
ただ近々、2週間以内には情報を出せるみたいな話はしてたので、
もしかしたらもう少ししたら出るかもしれないのですが、
今はそういった状況で情報はあまり出てないのですが、
立候補制みたいな形でニストと共同研究開発契約の契約を結んだ上で一緒に取り組むというところで、
51:04
回避性なんかも検討しているというところではあり、
よくあるワーキンググループとかも作って活動をしていきたいというところではあるという、
そういったコンソーシアムを立ち上げて、
このリソース不足に対して何とか解決を試みていくみたいな、
そんな取り組みも今後やっていくというところではあるので、
この辺のNVDというと、
いろんな方が一時情報という形で参照されている非常に貴重な情報源ではあるのですが、
この辺の運営母体であるとか、
実際にここに入ってくるデータがどういうふうに登録されるかというところについては、
もしかすると今年以降少し変わってくるかもしれないというところがあるので、
この辺の動きとかっていうのはあまり普段ですと、
この辺の情報っていうのは本当に見て検索したら出てきて当たり前みたいな形で、
あまりそのNISTの存在とか実際にその裏で非常に対応に苦労されている方々の
リソース不足の状況とかっていうのはあまり承知してない中でついつい参照してたりはするんですけども、
意外と依存度は高いなっていうところがあって、
これ本当にさっきもNVD閉鎖したら本当にやばいよなっていうのは。
やばいですね。
はい、やばいなっていうのがあってですね。
なので、例えば他に代替で参照できるデータベース、本当にいろいろありますけど、
日本だったらJVNとかもありますけども、
いったページ情報とかをそれしか参照できなくなった場合に脆弱性の対応であるとか、
その辺の運用っていうところに影響がないかとかっていうのは、
ちょっと今の現状を見ると点検してもいいのかなっていうのは、
改めて今の状況を踏まえると思ったという感じですね。
僕も最近出てた脆弱性を調べようと思ったら全部分析待ちなんですよね。
そんなクリティカルなのではないんですけど広く使われてそうなんで、
一応攻撃ツールが出た時のためにどんな脆弱性か把握しようと思って、
加わしてみたんですけど、
アパッチの脆弱性が3つ出てたんでやったんですけど、
全部ダメで。
今日この話を看護さんに聞いてこれ知ったんですけど、
こんな逼迫して大変なことがあって、
これが原因かと思って。
海外だと結構記事になったりするんですけど、
日本だとあんまり話題にはなってないかなっていうところがあって、
KVとかに載ってるような脆弱性も細かく情報が載ってなかったりするので、
さっき優先順位って話はありましたけども、
何も私たちはできることはあまりないんですけど。
分析待ちだからスコアもないんですよね。
54:02
そうそうそう。
何も見れへんってなってて。
今まで当たり前のようにあったものじゃない。
典型的なこういうのはあるなっていう感じだけど、
こういうところにちゃんと予算がついてないっていうか、
ちょっと問題だよねこれはね。
思ってる以上にどんどんデカいですよね。
デカいです。改めて気づきました。
あと今の話の分析もニストみたいなところが、
政府機関がきちんとやってることで担保されてる信頼っていうのもあって、
これがさっきの高層者もむしろうまく回ればいいと思うんだけど、
例えばこういうのに代わるものっていうのをいろんなベンダーが勝手にやってれたりするところもあるわけで、
いくつかありますよね。
あるいはその贅沢性を公表しているベンダー自身の評価と、
例えば前もどっかでしゃべったけど、NVDの評価が微妙に違ってるとかね。
まあ結構あるわけで、それはそのベンダーの評価が偏っている場合とかも結構あったり、
だからその信頼を受ける第三者というか、
その政府機関がちゃんと全体を把握して評価をして、
データベースをして公表しているということに大変意義があるわけなので。
はい、おっしゃる通りです。
それが予算がとか体制がなくてとかってなっちゃって、
むしろこれからどんどん贅沢性が増えてもおかしくないので。
減る要素ないですからね。
ないです。
予算倍増くらいしてくれって思うけど。
本当に。
なんかそういう状況、こういう地道な大事な活動にリソースが割きにくいっていうのがそもそも問題だよね。
そうですね。
他にもなんかこういうのありそうじゃない?
目立つ活動じゃないだけにさ、
つゆさんじゃないけど本当に多くの方が多分あんまり気づいてない状況で、
そういうのがその水面下で状況がどんどん深刻になっているっていうのがちょっとよろしくないよね、これは。
いい意味でね、空気みたいなもんでしたもんね、これまで。
いろんな脆弱性情報を掲載しているサイトもここから引っ張ってきている情報多いじゃないですか。
友倒れしそうというか、ここでも紹介しますがCV Details見ても分析中のやつはもうスカスカなんですよ、情報が。
なるほど。
友倒れしてしまうっていう感じがあってちょっと怖いですね。
ですよね。
例えばさっきJVNとかの話したけど、本来はこういう信頼の受け入れるもの、大元のちゃんと確たなものがあってみんながそれを参照するっていうのが効果的だし効率もいいと思うんだけど、
例えば中国なんかはもう完全独自路線を数年前から言ってて、自分たちの国の中に自分たちのデータベースを囲い込んでいて、
57:06
多分なんら影響を受けないのよね、こういうのの世界。
そうですね。
それがよく見えちゃうじゃん。
本来はそういう分断状況って良くないわけで、勝手にその国で、ロシアとか中国とかそういう国家は勝手にやってるわけじゃない。
それはあんまり第三者だけで見ればよろしくないと思うんだけど、これ見たことかみたいになっちゃうじゃん。
確かに。言ってたわーみたいなね。
結局そうしたら自分たちの国で信頼できるものをそれぞれが囲い込んでいく良くない未来になっちゃうじゃん。
確かに確かに。
どんどんどんどん分断していく状況になっちゃって、それは本当に良くないんで。
そうですよね。
こういうのもうまく国がやってるけど、コンソーシアムなり何なり、そういうのを組織を超えた枠組みでうまくサポートしていかなきゃいけないのかもしれないね。
確かに確かに。
僕らも恩恵はいっぱい受けてるけどさ、返す場面がないからね。
うまくそういうのが回るようにできるといいけどな。
ちょっとこれ聞いてたらバイデン頼むで言うて。
それ言うと思ってましたよ。
確かに。予算つけてくれー。
いやほんまですよ。
これでもしついたらどうする?確定なの?
ついたら確定ですよ。
ついたらいよいよですよ。いよいよ。
確定ちゃうわ。
いやでも結構大きな問題だからさ、予算見直してつく可能性があるから今のうちに乗っかっておいた方がいいかもしれないですね。
これ予算ついたらもう言ってたわーって言いますからね。
でもちょっとそういうのね、後付けでもいいから見直してほしいよね。
いやほんまにそうですね。
はいありがとうございます。
はいということで今日も3つのお話をしてきたので、最後におすすめのあれなんですけれども。
ちょっとですね今日は普通のおすすめのあれではないんですね。
新コーナーです。
新コーナー?珍しいじゃん。
おすすめのあれではあるんですけれども、今日はですね。
今日このコーナーのタイトルはおすすめのあれプレミアムっていうですね。
高級感があるわけ?
ちょっと高級なものを紹介するっていう。
いつもは例えばコンビニで手に入るとか。
あと無料でサブスク入らずにでも聞けるに入れるとかねいう風なものに。
一応皆さんがアクセスで心のハードルを超えずにでもできるだけいけるとか。
テレビとかでも地方局でやってるだけのやつができるだけ紹介しないみたいな風にやってたんですけども。
一応気にしてるもんねその辺ね。
それを超えてくるものがありまして。
これがプレミアムですか?
プレミアムなんですよ。
お値段もかなりするやつなんで。
でもそれを押して紹介したいのはですね。
肩こり。お二人も多分そうだと思うんですけど。肩こりとか。きつくないですか?
1:00:02
なんか前マッサージガンとか紹介したでしょ?
そうそうそうそう。年分マッサージガンもやってるんですけど。
やっぱりマッサージガンってしながらできないでしょ?作業。
あーなるほど。
とはいえマッサージチェアって何十万とかもする割にいい感じのところに当たれへんやんけみたいなのあるじゃないですか。
でかいしねそもそもね。
置き場が困るよね。
そうなんですよ。で、それで絵のないかなっていうのは常々探してるわけです僕は。
それにやっと出会うことができてですね。これ変ちゃうかと思って。
その名前がパナソニックから出てるやつなんですけど。
コリコランワイド。高周波治療器コリコランワイドっていう。
おー聞いたことないな。新しい製品なのそれ。
えっとね去年の年末12月に発売したやつですね。
あ、じゃあ結構新しいね。
なんかコリコランってやつはなんかあったんですよ。この丸いやつを貼り付けて。4つぐらい付いてるのかな。
高周波治療器って言ってるやつってのは。あれは低周波か。低周波とか高周波とかわかんないけど。なんかその手のやつって前からあるはあるんじゃないの?
あるある。低周波っていうのはよく昔からあって貼り付けてパッドみたいなのを貼り付けて表面をビクビクさせるやつですね。
うんうんそうだよね。あったよね。あ、今回の高周波なのか。
高周波の場合はより奥よりも届いてその表面の刺激はゼロです。
あーなるほどなるほど。その辺の仕組みが違うのか。
そうそうそう。でそれの高周波を出す部位みたいなパーツみたいなのが10についてるやつなんですよ。
あーこれ今ウェブサイト見たけどこれ宣伝見たことあるわ。
本当ですか?首から肩甲骨の方面にかけてペタッと。乗っけるだけなんですよねこのパッド。パッドと入れ物があるんですけどカバーみたいなやつがあって乗せとくだけなんですよ。
あーなるほど。なんか作業しながらもできると。
そうそうそうそう。で結構お値段結構するんですよこれ。
まあそうだろうね。いくらか38,610円。
まあまあまあ。でもこれが宣伝通りに本当に乗っけておくだけでコリが治るんだったら安いもんだよな。
試せるものは試したいと思う。コリが辛い人間からさらもう何でも藁にもすがる思いなわけなんですよ。これさえなければもっと仕事に集中できんのにとかね。
分かる分かる。
だからちょっとでもとはいえ値段も値段やからさ。色々調べてみたらもう売り切れまくっててまず。
そうなんですか。
このぐらいのものが数何個あるか知りませんけど売り切れるってなかなかじゃないですか。
アマゾンの口コミとか見ても結構いいんですよ。
で僕どっか売ってるとこないかと思って在庫がほとんどないみたいなの一個だけ見つけたんですよね。めっちゃ探して。で買ったんですよ。
1:03:04
めちゃくちゃいいっすね。
もちろんプラセボもあるかもしれないですけどこれね服の下とかにも入れとけるんで作業をしながらできるだけじゃなくて僕これ出かけるときもつけてるんですよ最近。
なんか確かにそういう写真ありますね。
例えばその下着着てその上に肩から羽織ってでパーカー着るみたいなことをやってたんですけど楽ですね。
あそう。
そうそうそうめちゃめちゃ楽でしかもね今ほとんど買えないんでなかなか。
そんな人気なんだ。
今注文しても多分届くのが5月とかなんですよ。
1ヶ月待ちくらいなんだ。
1ヶ月から一応商品入荷次第公式ではね出荷って書いてて各いろんな電気屋さんヨドバシとかビッグとか見ても5月ぐらいでは2ヶ月以内には発送の見通しですみたいになってる。
えーすごいなー。
でそれでねもうほらずっと前にAmazonのレビュー見るの好きやって言ってたじゃないですか。
おもろいこと書いてるやつ優勝みたいなたまにやってるみたいな。
でね1個いいのがありまして。
タイトルがこの方は星4つにされてるんですけれども。
とてもいいけど気をつけてというタイトルで。
で実際にAmazonで購入された方のレビューなんですね。
ちょっと読ませていただきますと。
えー今までいろいろなカタッコリ解消のものを使ってきましたが違和感がなく肩回りが軽くなる実感があってとてもいい感じでした。
しかしあまりにも違和感がないかないためつけていることを失念しそのままでかけてしまい気がついたらなくなってました。
そんなにわかんないんだ全然違和感ないんだ。
そんなことあるのかと思って僕もつけて出たんですけど全く気にならずに逆にこれもさっき読んでたからちゃんとついてるからずっと服の上から触って確認してた。
あーなるほどね。
今はつけてないですか?
今つけてます今つけてます。
電話つけてるんですか?
えーそうなんだ。
もう家にいる時とか一日中つけて朝起きたら歯磨いた後にやることこれつけるんですよ。
ちなみに家の中とか外とか長時間つけてても特に問題ないの?
問題ないです。逆にできるだけつけてくださいって書いてます。
あーそうなんだ。
あーなるほど。使用上のご注意で防犯ゲート反応するので気をつけてくださいってそういう意味か。
出かけるから出かけるから。
そんなあると思ったら。
従来のこういうものって家で使うとかそういうイメージだけど。
すごいね身につけて出かけられるって。
宣伝というか公式サイトには業界唯一の家庭用公衆八両機って書いてますね。
えーそうなんだ。
1:06:01
かなりいい感じです。
そっかじゃあもしかしたらこれまで業務用とかはあったかもしれないけどこういう家で買えるものっていうのは初めてなのかもしれないね。
そうですね長時間の継続使用をお勧めしますってサイトにも書いてるんで。
長くつけることに多分デメリットがないんだと思います。
えーそうなんだすごいな。
確かにちょっと値段は確かに高いけど。
いやそうそうそこだけはちょっとネックなんですけどね。
在庫がもうちょっと復活してる時に言ってください。
確かに。
いやいやそれも一瞬考えてるけどさ出たらすぐ売り切れるかもしれへんやん。
なるほど。
だからもうこれ試そうかなって思う人はもう今申し込んどいて順次発送の方に入った方がいいかもなって思ったんで今回紹介したんですよね。
なるほど。
そうそうそうそう。
いやマジでおすすめですね。
はい。
ということでございます。
はいということで今回は以上です。また次回のお楽しみです。バイバイ。
バイバーイ。
