00:00
コーヒー飲もう。また買おう。水難にご注意ください。
蓋で切るやつに変えたんですよ。倒れても安心。 学習。たぶん倒れても大丈夫なやつだね。やっと学習しましたね。
2年間ポッドキャットで学習しました。 2年間ちゃうやろ。リモートにして2年間か。
もう丸2年だなぁ。 というかコロナ始まってリモートワーク始まったのって2年前の2月じゃなかったっけ?
だいたいそれぐらいですね。 2月末からリモートワーク始めた気がするんだよな。
2月ぐらいは僕はちょこちょこ外は出てましたね。 まだね。まだね。
まさか2年も続くとはって感じだわ。
リモートワーク中というかコロナ禍中2回目のオリンピックやってますけど。
若干カウントの仕方がおかしい。
見てますか?北京五輪ピックは。
ちょっと混ざりました混ざりましたね。
北京五輪オリンピック。五輪でいいのか。見てます?
何を見るの?
テレビがあるないは結構きそうですね。
見てないんですけどニュースだけは流れてきたりするじゃないですか。
金メダル取りましたとかね。
スノボのやつあるじゃないですか。
ヒラノ選手が取られたやつですね。
ヒラノ選手が金メダル取られたじゃないですか。
僕ねあの人の下の名前わかります?
ヒラノアユメ選手ですよね。
僕ずっとトムやと思ってたんですよ。
でも歩くっていう字でトって読まないじゃないですか。
僕でも昔から癖で歩くっていう字をホと読まずにトって読んでしまう癖があるんですよ。
それはあれか。トホっていう。
トホから来てるんですか?
違う。将棋のコマってフって裏返したらひらがなのトみたいに書いてあるんですよ。
時にね。
だからね僕ずっとヒラノトムさんやと思ってたんですよ。
でも当て手で読む人もいるからわかんないよな。
外国の方の名前みたいな感じでかっこいいなと思ってたんですけど。
アユメさんって読むんですよね。
すごいですよねあの人。すごい技決めたんでしょ?
なんかそうらしいね。
ホホホみたいな。
怒られますよ。
03:00
え?ありますよね。
すごい技決めて最後逆転したんでしょ?
いやーすごかったです。私生で見てましたもん。
いやもうあれ最悪でNHKでちょうどライブでやってたんですけど
ちょうどそのヒラノ選手が3回目滑るぞっていうもうほんと直前で
なんかNHKってサブチャンネル切り替えてやってて
通常放送をどうしてもやっぱりしなきゃいけない部分もあるんで
ずっと流せない時はサブチャンネルに切り替えるっていうのをやるんですけど
ちょうどそのヒラノ選手が滑りに入ったぐらいのタイミングで
サブチャンネル切り替えされちゃって
切り替えされた実際その後の滑りが金メダルの滑りだったんですけど
なんかすごい嬉しいけど残念ですよね。
いやーもうだからもう速攻で私切り替えましたけど
やっぱり見れなかったっていう人もそこそこいて
新聞沙汰になってましたね普通に。
タイミング悪かったね。
タイミング悪すぎですねあれはほんと。狙ってやったのかぐらいのタイミングだったんで。
いやーそうすごいなーと思って金メダルのニュースとか出ると
なんか自分はそんなにね詳しくないし
自分もそういうことしたことがあるわけではないけど
なんか良かったなーって思いますよね。
別にだからなんだっていうわけでもないんですけどね。
じゃあすんなよ。
なんすかそれ。
いやなんかこうそうですね始まってるんですよ。
始まってたの?
始まってたんですねこれ。
始まってることにしますね。始まってますね。
どっから始めたんですか?
そうなんですよなんかねちょっと何話そうかなーとかって思ってたんですけど
今さらはいはい。
ちょっとなんか雑談手抜いてない最近?
全然そんなことないですよ。
本当に?
全然そんなことない。
あのーパソコン買い替えようかなって言うんですよ。
そろそろ。
そろそろ。あれなんか前買い替えなかった?
なんかね買ったばっかりの気がしたんですけどそんなことないんでしたっけ?
ドラゴンフライですか?
うん。あれ1年前ぐらいじゃなかったっけ?
ね。
まあ1年前ぐらいに買おうと思ったらめっちゃ待たされたやつですけど。
あそうそうそうそう。
まだ新しいじゃん。
リモートワークが。
いやいやそれはほらそれは持ち運ぶ用ですよ。
あ、それじゃなくて?
メモリー32ギガが羨ましくて。
お二人とも32ギガでしょ?
僕64ギガです。
やめようこの話。
なんやそれ。64ギガか。そうか。
うまく買い替えたからさ。マシマシにして買い替えたから。
そうだそうだ。最先端になったんですね今ね。
最先端。
あ、ついさん安心してください。私32ギガだったんで。
まあ32ギガあれば余裕だよな。
僕今16ギガなんですよ。
持ち運ぶやつも16ギガで。
末置きにしてるラップトップも16ギガなんですけど、これ2016年に買ったっきりなんですよ。
でもさ、そんなに普段のガシガシ動画編集とかさ、
06:03
よっぽどメモリーめちゃくるようなアプリ使わない限りはそんなに困らなくない?
いやもう結構ね重い。
あ、そう?
なんかね、何かしながらファイル処理とかさせたりするとやっぱり速さが全然違いますね。
それが原因で理由で買い替えようとしてるわけ?
あ、そうなんだ。
あらら、そうですか。
だってもう2016年から使ってるんですよ。サーフェイスブロック。
まあ確かにな。僕もMac買い替えたけど2016年のモデルから買い替えました。
そう。だからもう5年ぐらいじゃないですか。やっぱり言うて。
まあ十分働いたよって感じだよな。5年使えばね。
そうそうそう。いろんなとこにも連れてって公園も使ってね。
ごめん。今公園でさ、ごめん。公園のベンチでなんかパソコン使ってる映画が浮かんじゃった。
それ仕事してんのか仕事ない人か分かれへん。
ずっとGoogle検索してるみたいな。
会社行ってるって言ってたみたいな話のやつでしょ。
そういうのを思い浮かんじゃった。ごめんごめん。
違う。だから今すごい迷ってるんですよ。だからサーフェイスラップトップステュディを買うかどうか悩んでる。
ごめん。それが分かんないよ。どういうやつか。新しいやつ?
3月に出るんですよ。
いいやつなんですかそれは。
いいやつです。
今度出るの?
そう。今予約受付中なんですよ。
いいよ。買っちゃえなよ。
もうすぐ入れた方がいいですよ。
そんな簡単に言わんといてください。
またされますよ。本当に。
買っちゃえなよ。そんなの。
買いたい時が買い替え時だよ。
そうそう。買いたい時が買い替え時って感じですよ。
神々やな。神々やな。
全然言えてない。
全体的に噛んでたよ。
特に噛むとこないぐらいのところですよね。
そうなんですよ。びっくりした。
ちょっと仕様とか、どんなポートがついてるかとかニュースを見たばっかなんで出ますよっていう。
それ日本でも同時に出るの?
海外がいくつ出るか分かんないですけど、日本は3月1日。
そうなんですか。
すぐですね。
買っちゃえなよ。
なんでこのポッドキャストはすぐ人に物買わそうとしてるの?
そういうポッドキャストなのかな。
ガジェット系ポッドキャストですから。
ちょっと買って使ってどんな感じか教えてよ。
ネギさん若干危険かもしれないですよ。また環境変わると辻さんが収録できてない説が。
確かに。
だいたい収録環境トラブルって辻さんだもんな。
最近はADSLさすがになくなったけど。
確かに確かに。
ADSLに繋がらなくなりましたからね。
いつもだいたい僕が原因ですもんね。僕がいつもトラブリューですからね。
トラブリュー。
楽しみだな。楽しみ楽しみ。
買うことになるな。
レポートを。
是非ちょっとレビュー待ってます。
ちょっとこの週末考えますと。
ということでお便りいきますかね。
どうぞ。
09:00
今回もいくつか来ておりまして。
第73回を聞いてみたら、
エモやんテイクダウンを取り上げていて、
どちらも1年後にこんな続報が出るとは思わなかった。
ちょうど1年前ぐらいのやつか。
そうですね。確かに。
1年後にこんな続報が出るとは思わなかった。
どちらもって書いてるんですけど。
1個はエモテットテイクダウンが取り上げてて、
エモテットが増えてきたよっていうのが前回。
もう一つは73回が、
ねぎつさんが攻撃されたぞみたいな話。
そっかそっか。
それの伏線回収も一緒にやってるんですよ。
前回その話したもんね。
前回は2月の7日に公開してるんです。
この73回は21年の2月の1日で、
両方とも2月の1回目のポッドキャストなんですよ。
なるほどね。
これを気づくのがすごいですけどね。
確かに。俺ら気づいてなかったんで、誰もね。
気づいてないですよ、そんなの。
全然気づいてないですよ。
そっか。
こういうの教えてもらうの嬉しいな。
そうだね。
でもこういうのは案外聞いてる人の方が
よくわかってるってことはあるよね。
そういえばみたいな。ピンとくるのかもしれないですね。
なんかほら客観的にちゃんと見ててさ、
あれなんかこれそういえば覚えてるみたいなね。
そうですね。
いやーそっか。ありがとうございます。
これもエモテッド関連なんですけども、
不審メールに関するお詫び等お知らせみたいなタイトルのが山ほど出てきてると。
大手も出してるけど、
メールサーバーにセキュリティ対策とかしてないわけないだろうし、
感染経路って何なんだろうかっていうのが知りたい。
前回の波の頃よりも報告が多いような気がする。
うちはドック系の旧バージョン。
マクロツキはブロックしてるから大丈夫なのかなというようなお便りなんですけど。
これメールサーバーにセキュリティ対策してても、
パスワードかかってるファイルいたらスルッとユーザーに行っちゃいますもんね。
確かにそうですね。
最近はPPAP絡みで使うのやめますとか、
受取拒否しますとかやってる会社もあるから、
案外それが意外とこういう時に役に立ってるかもしれないけど。
でもそういうのはあるし、すり抜けないわけじゃないからな。
あとは前もそういう話したけど、
対策進んでるようで意外と実は進んでなくてみたいなね。
PPAPと言われているものがなかったとしても、
パスワード付きのドキュメントが生で送られてきたら一緒ですしね。
通っちゃいますしね。
結局クライアントサイドで何とかするみたいなことを
しないとっていうことになるんだろうなとは思いますけどね。
この方は定型業務として1日1回ログチェックしてるんですって。
12:03
メールなのか何なのかわからないですけど。
1日1回良しとされてるんだけれども、
看護さんのツイートを見て時々ログチェックをするという
トリガーになってるというお便りが同じ方から来てますね。
看護さんのツイートってのはあれか?
そういう被害の報告とかのツイートってことかな?
ここがなりすまされてますみたいなののリリースを見てってことじゃないですか?
たぶんね。
最近本当に多いもんな。
私若干注意喚起っていうかリリースを少しだけツイートするのが偏りがあってですね。
特にエモテットに関して最近のツイートについては
感染をしてしまいました?あるいはその可能性があります?
っていうものに今は絞ってツイートしてるので
そういう意味で言うとエモテットに直接の被害に慌れてない、感染してないとか
そういった被害には直接慌れてなくても
なりすましをされるケースっていうのはやっぱりある。
私そういうのは今は数が多すぎてツイートを今してなくてですね。
そこの辺ももしかしたら注意してある意味見た方がいいのかなと
特に取引先であるとか
直接被害にあったと認知してるところのやつのみに絞ってるってこと?
今はそうです。
それでもお役に立てているという。
そうですね。それは非常に嬉しいですね。
あと最後のお便りなんですけども
CISSPのCPE登録でPodcastという項目があったそうなんですけども
そんなのあるんだ。
セキュリティのアレを聞いてスキル維持してるってことにして
ことにして登録しようとしたのですが
英語表記で悩みました。ニュアンスからソートオブセキュリティにしましたが間違ってますか?という
セキュリティ名決まってるんですか?
英語名ないんですよね。
英語名ないからそのままセキュリティのアレでいいと思いますけどね。
確かに確かに。日本語だということで。
そういうタイトルのこういう名刺だからそこはあえて英訳しなくても大丈夫ですね。
でも嬉しいね。CPE登録ってPodcastとか本とか
確か1年間の上限が決まってたはずだけど何時間か登録できるはずなんで
そうするとCPEのポイントが加算されるんですよ。
1年間何ポイントって決まっててさ
40ポイントだっけな。3年間で120ポイントだっけな。
僕ももう十何年維持してるからさ一応CPE登録だけやってるんだけど
15:00
セミナーに参加しましたとかカンファレンスに行きましたって言うと
1日6時間出ましただったら6ポイントとかさそういう感じ。
まあだからPodcastもさっきしたことにしてって言ってたけど
全然いいんじゃないですか。最新の情報をキャッチアップする情報を操作して使ってますで
これ1時間聞いたら1時間分でいいんじゃないかと思って
いつも狙ったかのようにだいたい1時間ちょっとでちょうどいい
ちょうどいい。しかも移動中に効率よく
すごいじゃないですか。はまりにはまってるじゃないですか。
でもそういう使い方もあるのかなしかないな。ちょっと自分では全然考えたことなかったけど
それはありがたいね。実際国内に限らず海外のPodcastとかセキュリティのいっぱいあるしさ
そういうためになるやつっていっぱいあるしそういうので学習するって全然ありだから
そういうのもあるからちゃんと項目としてPodcastってのがカテゴリーとしてあるはずなんで
本用で勉強するのと同じような感じで
ということで本編というかセキュリティの話も今日もしていこうかなと思うんですけど
今日は僕からいきますか
今日はランサムな話じゃないんですよ
もういいよその入り方
今日はCISAのこのPodcastで以前に看護さんが紹介したやつで
ノンエクスプロイテッドバリアビリティーズカタログっていうやつあったじゃないですか
悪用された基地の脆弱性リフトみたいなやつを当時たぶん一番初め
去年の11月やったから200いくつ登録されててっていうのはありましたよね
あれちょくちょく更新されてるの僕も見てて
おそらくお二人もこのPodcastを聞かれてる方ももしかしたら見てる方
更新チェックされてる方いらっしゃるかなと思うんですけど
2月4日に一つ追加されましたっていうのがあって
その時にいつもなんとも思ってなかったし
初回に出てきたリフトを眺めててもその時なんとも思わなかったんですけど
その時一つ追加されたやつを見てめっちゃ気になることが出てきまして
その時に追加された脆弱性っていうのがCVE-2022-21882っていうやつで
これ今年の1月にマイクロソフトの月例アップデートに含まれてた脆弱性なんですけど
マイクロソフトはWindowsのWin32Kの特権召喚の脆弱性と言われるやつなんですよ
名前からもわかる通りローカルの脆弱性だというふうに
18:01
特権召喚なんでわかるかと思うんですけど
これ見てみると2月の4日に追加されたんですけど
2月の18日までに直せっていうふうに書いててめっちゃ短い2週間しかなくて
これなんでかなというふうに思って
これは本題じゃないんですけど
とにかく以前に出たCVE-2021-1732っていう同様の問題を解決するパッチがあったんですけど
そのパッチが不完全だったみたいで
悪用できた期間が長かったっていう問題があって
エクスプロイトも出てるっていうところから
こういうふうに対応期間が短いのかなっていうふうに思ったんですね
で僕が気になったのは
一件追加されたやつがローカルの脆弱性やったっていうので引っかかって
一体この今登録されてる
カタログに登録されてる脆弱性の中で
ローカルとかリモートとかってどれぐらいの割合ないんだろうって思ったんですよ
なるほどなるほど
考えたことなかったなと思って
でほら僕らいろんなところでお話するときに
リモートの脆弱性だから危ないとかじゃないよね
とかいう話よくするじゃないですか
なんでそれでちょっと全部集計してみたんですよ
で集計取ったやつは
攻撃元区分とCVSSのやつですね
攻撃元区分と攻撃条件の複雑さ
攻撃前の認証の要否いるかいらんかっていうのと
あとCVSSの基本値がどんなものがあるかっていうのを見てみたんですよね
そうしたら352件今あったんですけどもそこまでで
その352件中ローカルって何件ぐらいと思います
意外とあるんじゃないの
意外とあると思いますよね
全然ごめんピンとこないけど1割ぐらい
私も1割ぐらい
全然わかんない
あんまピンとこないかなと思うんですけど
55件で約16%
もうちょっと多かったな
そんなにずれてない感じだな
これ思ったよりちょっと多めかなっていう感じで
リモートだから気をつけないといけないっていう風なものではないっていうのは
このことからも言えるかなと思うんですよね
実際なくされているものの中に
15-16%は攻撃が確認されているものがあるっていう風な数字で
あとさっき言った攻撃の複雑さとか認証いるかいらんかみたいなやつは
一応通りの感じで
例えば認証の用費とかだったら
複数認証がいるようなものって0件なんですよね
いらないものが300件っていうかなりのボリュームを占めてるっていうので
使いやすさっていうのもこうやって悪用に利用される
指標の一つになるなっていう風に思ったんですけど
もう一つ調べてた中で
CVSSの基本値っていうのがどんな割合であるのかなって思って見てみました
21:04
そしたらこの基本値を危険度に割り振ってみたんですよね
ハイ・ミッド・ローみたいな
3段階ね
そうそう7以上のやつが高で
4以上7未満のものが中
それより下のやつは低っていう風にしたんですけど
高が202件で57.4%なんですよ
中これが143件で40.6%なんですよね
高半分ちょいなんやなってそんな感じかと思って
これもうちょっと細かく見てみたらどうなんでやろうと思って
見てみたんですけど
これ1区切り
例えば0と1から1.9まで
2から2.9までみたいな感じで刻んで出してみたんですよ
ニュースとかだったらだいたい9以上とかが危ないぞみたいな感じで
ニュースになりがちなイメージがちょっと僕の中にはあるんですけど
この0から10までの間で一番ボリュームを占めてたゾーンっていうのが
104件で3分の1弱か
7から7.9が一番多いんですよ
その次が6.0から6.9まで
中に当たるやつなんですよね
これを見てて思ったのが
リモートだからとかローカルだからとかっていうのは
やっぱりその判断基準にしたらちょっとまずいかな
漏れるんじゃないかなっていうふうに思うし
このCVSSの基本値が高いやつでしかニュースに上がってきにくいっていうのがあって
対策に漏れが出がちになるんじゃないかなっていうふうに思ったんですよね
このカタログ自体がアメリカ政府機関に向けてるもので
日本独自のものとかってのは含まれないっていうのにはあるとしても
今までCVSSの基本値だけじゃなくて現状値みたいなんで
攻撃ができる可能性みたいなものを加味した方がいいよ
エクスプロイト出てるかどうか見た方がいいよっていうふうに言ってきたけど
それはハードルが高いっていうふうに感じる方も多いと思うので
こういったものを利用して専門家とかに聞けないとか
専任の人がいなくてもこういったリストを使って労力をかけずに
これは対策できてるかどうかっていうのは指標の一つとして扱うのに
やっぱりすごくいいんじゃないかなっていうふうに改めて集計して思いました
さっきの調べるきっかけになった現象がこのやつ
あれもマイクロソフトのセキュリティのページに行くと
ちゃんとエクスプロイタビリティが書いてあって
パブリックにはなってないけどエクスプロイトも比較的しやすいっていうか
24:04
あれはMSの指標にすぎないけどそういうの出てるしね
そうですね これ2021年のやつの修正をさらにしたやつ
漏れがあったんで修正をしたやつって話なんですけど
2021年のやつにパッチが出た時点でも悪用されてるっていうのは出てましたね
あと今の話でCVSSの基本値はやっぱりどうしても
ある程度一定の基準で指標を設けないことにはどうしようもないから仕方ないんだけど
やっぱりさっき言ったね現状に即してどうかっていうのはやっぱり難しくて
実際CVSSが高いものっていうのは結構あるんだけど
そのうちどのくらいがエクスプロイト実際されてるかっていうのは
別のいろいろ研究でもそういうのって研究テーマになってて
かなり割合低いんだよね
CVSS頼っちゃうと非常に効率が悪いっていうことは分かっていて
なおかつ漏れが出るっていうことも分かっているんで
優先順位付けがうまくいかない
そうなんだよね一つの指標にはなり得るけど
かなり無駄があるしもうちょっとうまく賢くやらないとねっていうのは
ずっと言われていることではあるんだよね
それに変わる良いものっていうのがなかなかないっちゃないんだけどさ
でもほらCVSS以外にファーストがやっているEPSSってあるじゃん
エクスプロイトプロープレディクションスコアリングシステムか
エクスプロイトの予測をスコアにしているってやつがあるじゃない
あれはそこら辺を課題として認識してて
実際にエクスプロイトが起こりそうか
これから1ヶ月以内にエクスプロイトが起こりそうか否かっていうのを
できるだけ予測したいっていうそういうモチベーションでスコアを付けてるんだよね
それがどのくらいちゃんと有効かっていうのはちゃんと評価しないといけないけど
そういうのも今の辻さんが言ってたCVSSに頼ることの危険性っていうか
エクスプロイトがあるかないかっていうのがすごく重要だっていうことの表れだと思うんだけどね
そうなんですよね
そこが大事とはいえその情報をどうやって拾うねんみたいなのが
ずっと今まで課題としてつきまとってたので
全部じゃないにしても最低限これは見ておこうみたいなものに
ちょっと加えてみた方がいいんじゃないかなっていうふうにも思いましたね
意外とCVSSの値がめっちゃ低いやつも少数ですけど入ってるんですよ
2点いくつとかもありますからね
だから実際に世の中でエクスプロイトが起きているかどうかっていうのは
直ちにやるべきかどうかっていうのを判断する大事な指標ではあるよね
そうですね
27:00
特にローカルやからとかっていうふうにも言える時代じゃないですしね
なんか入ってこられるのもサクッとこられてみたいなのが
よく見受けられますからいろんな
しかも昔の標的型情報接種系の何か
いわゆるSPオナージュみたいなやつだけじゃなくて
犯罪者も同じような手法使ってプレイヤーが増えたから
ランサムウェアとかでもあるしなそういうのも
そうそうそう
なんでより一層ここで食い止められたらよかったのにみたいなものをなくそうと思うと
こういうリストを活用するのがいいんじゃないかなと思って
調べ直したのを紹介しました
これメールだったりRSSだったり
いろいろアップデートを受け取る手段があるから
参考の一つにはなるよね
ぜひぜひ見ていただければと思います
ありがとうございます
ここからは以上です
じゃあ次はネギさんいきましょうかね
今日はちょっと軽めのネタで
Googleが今週公開した記事の内容を紹介しようかなと思うんですけども
昨年の10月にGoogleが
二段階認証を自動的に有効にする活動を始めますっていうのを記事に書いてて
これ紹介したかな覚えてるその話したの
ポートキャスターはしてないか
なんかちょっとしたかどうかあやふやなんだけど
なんかうちらよりリスナーさんの方が詳しそうな感じ
そうだね
確かに確かに
ごめんなさいポートキャスター喋ったかどうかはちょっと僕も覚えてないんだけど
喋ってるとしたら僕が喋ってるんだけど多分
絶対喋ってるとしたら
これネギさんのカバー範囲ですね
その時Googleがフィッシングだったりでアカウントをテイクオーバーされるケースが多いから
Googleがユーザーをセキュアにするために
二段階認証を自動的に有効にしますという話を
去年の10月にして
年末までに全世界で1億5000万ユーザーを対象に
そういうことをしますと
という発表をして
これを追って思ったんだけども
対象は強制的に誰でも勝手に二段階認証になるわけじゃなくて
それはちょっと危ないんで
万が一ログインできなかった時にちゃんとバックアップの手段がもうすでに設定されている人
で
なおかつその二段階認証の手段として
いわゆるGoogleプロンプトって言われるアプリに通知が飛んでくるやつね
あれ使ってる人結構リスナーでもいると思うんだけど
あれを使うので
だからもうすでに
Androidを使ってログインしているか
ないしはiPhoneでGoogleのアプリを使っていて
もうすでにログイン済みのユーザーだと
いつでも今すぐにでも通知を受け取る準備ができているってことなので
こういうユーザーは二段階認証を自動的に有効にしても
多分スムーズに使えるようになるでしょうと
30:00
今すぐ使えるならもう使っちゃいなよということで
Googleがそれを自動的に有効にしますというのを
去年の10月に発表したのね
その結果どうなったかっていうのが分からなかったんだけど
それが今週2月の8日にGoogleが
さらっとその結果を紹介していて
実際に去年の年末までに1億5000万以上って書いてある
正確な数は分からないけど
実際に二段階認証を有効にしたらしいのね
結果どうなったかっていうと
ざっくりしか書いてないんだけども
これから有効にしたユーザーでは
カウントの侵害の発生件数が50%減りましたと
言っていて大幅に削減できたということをアピールしているんだけど
もうちょっとその50%っていうのは
何を基にして比較して言ってるのかがちょっとはっきりしないんで
よく分からないんだけど
まあまあでも減ったことには変わりないんで
大きな成果だねということを言っていて
引き続きその2022年も自動的にユーザーの
二段階認証設定を有効にするっていう試みを
進めていくと言っているので
対象者が多分どんどん拡大していくんではないかなと思うんだけど
でもちょっとなんかね
僕の感覚だと二段階認証を有効にしたら
もっとググッと減ってもいいような気もちょっとしたんで
なんか分かんないけどね
場合によったらアプリの通知って
うっかり自分がログインしてるわけでないのに
通知きたらイエスって押しちゃう人もいるかもしれないんで
逆にそれが危ないとか言われたりしますしね
相変わらずフィッシングが完璧に防げる手段ではないので
この通知ってやつは
だからそういうのもあるのかなとか
ちょっといろいろ理由ははっきりしないんで
分かんないんだけど
まあでもまあそういう削減に貢献はしてるんだなということで
やっぱり二段階認証って非常に強力なんだなというのを思ったのと
あともう一個その記事の中で
いろいろ他にもセキュリティーキーとかもっと強力なやつがあるよ
みたいな紹介をしてて
これはさっきも言ったけど
やっぱ通知だとフィッシング対策としてはちょっと弱い部分があるんで
セキュリティーキー使うとファイドの標準的な仕組みを使って
そういったフィッシングに対する対策にもなるんで
セキュリティーキー使える人がいたらぜひ使ってほしいんだが
ここでも指キーとか紹介してたりするけど
やっぱり何かね
物理的なキーを買って手元に置くっていうのは
まあややハードルが高いんで
そういう人には前にもこれも
これも多分ポートキャストで一回紹介したと思うんだけど
アンドロイドを使っている人は
スマートフォンがそのままセキュリティーキーになるっていう機能が
もう2,3年前からGoogleは広く使えるようにしていて
あとiPhoneの場合にも僕も使ってるんだけど
33:01
Googleスマートロックっていうアプリがあって
これを使ってログインしておくと
このアプリをそのセキュリティーキーの代わりに使えるっていう機能があるから
これももう2年くらい前から使えるようになってるのかな
Appleでも使えるようになったみたいなやつを
多分ねぎさんオフラインで収録してる時に喋ってた気がする
そうかもね
2年前くらいだから多分まだリモート収録の前だよな
なんか僕も紹介した気がするんだけど
これも結構便利なんで
鍵買うのめんどくさいなっていう人も
スマートフォンは多分みんな使ってると思うから
これをセキュリティーキーの代わりにして
Googleのアカウントに登録しておくと
結構これはセキュアなんで
こういう使い方をね
これはどのくらい使ってるかって
全然統計情報とか見たことないんで
わかんないんだけど
多分あんまり使えてないような気がするんだよね
なのでちょっと是非ね
このポッドキャストを聞いている
意識高い系の人たちはね
是非使ってほしいなと
意識高い系のアレ勢の
アレ勢のそうそう
アレ勢はね
セキュリティーキー使うの当たり前ではね
ぐらいな感じで使いたい
めちゃくちゃレベル高いです
そうそうそう
いやまあね
そういうふうに
少しでもそういうののストローが広がるといいな
っていうかさ
そうですね
なので
Googleのサービスで何回に
自動的にどんどん融合していくってのは
ある意味こう非常手段っていうか
ユーザーを守るためには
強制的にデフォートで融合にしていかないと
難しいっていうことなんだと思うんだけど
そういう危機感の現れだと思うんだけど
それはそれでいいんだけどさ
一方でユーザー側が自主的に
自分が使いやすい方法を選んでいくっていうのも
やっぱりあるべき姿だと思うんで
そうですね
ぜひそういうのを色々探してみて
自分に合うやり方で
安全に使ってほしいなっていう
選択肢が多いのはそういう意味だといいですよね
そうなんだよね
Googleではそういう意味では
非常にそういう
使い勝手を利便性を下げずに
セキュアになるようにってことか
だいぶ工夫されてるんで
いろんな手段があるから
どれかは多分うまく使えるようになるんじゃないかなと思うんで
そういうのを見て
成果が上がってるなっていうのが見れて
もう少し具体的に今後進んでいって
もう少し詳しい数字が出てこないと
はっきりしたことは分かんないけど
多分Googleこの辺結構ペーパーも書いてるから
そのうち詳しい結果とか出るんじゃないのかな
分かんないけど
もしこのPodcastを聞いてる人で
なんか俺のアカウントも
自動的に有効になってたわっていう人がいたら
どんな感じだったらか教えてほしいなと思って
そんなことよりもお待ちしております
これからレポートが出てくるんでしょうけど
さっきネギさんも言ってた通り
侵害されたアカウントが50%減少しましたって書いてるじゃないですか
これどうやって測ったんだろうなと思いますけどね
36:00
例えば締め出しができたとかなのかな
例えばある一定の期間で有効にしなかった場合には
例えば1%くらい侵害があったけど
それが有効にしたら0.5%くらいになりましたとか
なんかそういう話なのか
多分何かと比べてるはずですね
比較対象はよく分かんないんだよね
そうなんですよね
ロゴインしようとした試みがあったけど
これがオンになってたから
そいつらは入れなかったっていうのが何件あったとかをカウントしてるのか
そうだねブロックしたっていう係数なのか
なんかちょっとそこら辺がはっきりしないんだけど
測り方にちょっと興味が湧きました
もし出てきたらまた紹介したいなと思いますが
こんな感じでございます
じゃあ次最後がカゴさんですね
私もネギスさんの話繋がりじゃないんですけど
パスワードのトピックでございまして
っていうのは例によって新聞読んでたらですね
パスワードの流出だったかな
ロゴインのランキングみたいなのが載っててですね
あんまりそういうのは
主要誌っていうんですか
要は大手の新聞誌っていうのはあんまり載ることないので
珍しいなと思って
それ見てみたら
これまでも1年2年前からやっている
ソリトンシステムズが公開している
日本人のパスワードランキングっていうのを
それを引用して報道されてたっていうものだったので
今日はちょっとその内容を
私もちょっと読んでみたので
ご紹介したいなと思ってるんですけども
毎年なのかな2年くらい前から
ソリトンシステムズがインターネット上に出回っているであろう
そういった情報を実際に収集されて分析をした結果っていうのを
一部分公開されているというところで
今年も2月7日にホワイトペーパーという形で
ソリトンシステムズのウェブサイト上で公開されているんですけど
どんな内容かっていうと
そんなにこれまでやられていた分析の視点とは大きく変わっているものはなくて
今年流出したものを集めて分析した結果
トップのランキングがこんなものでしたよというのをトータルで出すのと
意味的なものを見出せたものに関しては
それぞれのカテゴリーごとにランキングをしている
例えば人の名前が入っているものとか
好きなものって
どうやったら好きなのが分かったのかちょっと分かんないですけど
趣味思考が現れそうなものってことかな
ちなみに好きなもののトップ1位はバナナって書いてあるんで
難しいですねちょっと
バナナ好きなもので入れる人結構いるんだなとか思ったりもしたんですけど
非常に分かりやすいんですよね
39:04
この辺の事情にそんなに詳しくなくても
今こんなのがめちゃめちゃ使われてるんだみたいなのを
すごい分かりやすくランキングっていう形で
リストにして示しているというところは
続けられているというところも含めて出たんですけども
それなりに反響はあるんだろうなと
実際去年もそこそこ多くのメディアが引用されていて
今年もですね
さっき上げたのは日経新聞だったんですけど
他にもフジテレビとかの
普通の人が見かけるようなメディアだったりとか
テック系のメディアだったら普通にクロステックとか
ITメディアとかでも取り上げられてはいるので
やっぱりみんな字幕を引きやすいネタっていうんですかね
興味関心は引きやすいところではあるんですけど
ただちょっと内容を見ていくと
他に似たような分析をランキング形式にして
掲載されておられるところと
傾向というかどうしても内容的には似通っているところがあって
例えばトップの方はどうしても
数字の例えば1,2,3,4,5,6,7とかになっちゃうよとか
あるいはパスワードとかっていうのを少し
字を入れ替えて
例えばOのところを0に変えたりとか
後ろにびっくりマークつけたりとか
そんな感じにしたりとか
その辺の傾向っていうのはあんま変わってなくてですね
これをそのまま以前つけてる人が多いんだろうなっていう
見方をすることもできる一方で
これ今つけてる人っていうのは本当にこういうのつけてるのかなっていうのも
一方でちゃんと見てたほうがいいのかなっていうのがあって
今回ホワイトペーパーの中でも書かれてるんですけど
要は流出して出回っているデータが
いつの時点のものなのかというところが
一つポイントにはなると思うんですけど
今回ソリトンシステムが分析した中で
そこの説明されているものとしては
2021年にアサード・ローエが発覚したものだけを
分析の対象としましたって書かれていまして
件数的には209事件っていう単位でカウントされてるんですけども
これも2021年時点で
例えばですよ
ちょっと細かい内容はここ書かれてないので
私の勝手な推測で言うんですけども
2021年時点で流出しているものが仮に出回っていたとして
その流出しているデータの実際のサービスというか
ウェブサイトなのか
ウェブアプリケーションなのか
ウェブサービスなのか分からないですけども
そういったものが仮にあったとして
それが例えば2021年に始まってたものなのかっていうと
42:00
そこは分からないところかなと
下手したらインターネット例明記の2000年代に始まったものが
2021年に流出して出回ってたとしたら
それが今の2021年のパスワードランキングって形で出てきてしまうと
そこは違和感があるので
その辺を検証できるような形で
一緒にデータをつけていただけると
もっとこの辺の中身っていうのが紙砕いて読めるのかな
っていうのは見てて思ったところですかね
なのでその辺がちょっとないので
どうしてもやっぱりランキングが以前とそんなには変わらないなっていうところが
ちょっと感想レベルで終わってしまうっていうのが
私は見てて思ったところでした
あとあれだよね今の話で言うと
よくあるかどうかちょっと分かんないけど
たまに見かけるのが
例えば5,6年前とか数年前に侵害されて
データベースが抜かれて
その情報がクローズドなところで
犯罪者に悪用されていて
あるいは売買されていて
ある程度それが使われて利用価値がなくなったから
最近になって掲示板とかで公開されたとか
そういうケースってたまに見かけるじゃない
そうですね
利用価値は今でもあるかもしれないけど
でも中の人が公開しちゃったみたいなさ
はいありますね
あるよね
そういうのとかもあるとすると
データとしては結構古かったりとかする
そうですね
単純にランキングとして
へーっていうのは
それ以上の感想はないんだが
これを見てだから結局
何すればいいのかっていう
我々で受け取る側はこれ見て
どうすればいいの
難しいですよね
自分がどのパスワードを使ってたかすら分かれへん人ってのは
多いわけですから
パスワード管理ソフトとかね
使ってれば見れるけど
パスワード管理ソフトを使ってる人は
これらのパスワードは使わないと思う
絶対使わないでしょ
だからそのネギさんおっしゃる通りの部分もあるかな
っていうのがありますよね
毎回こういうのを見て思うんだけど
海外の日本だけじゃなくて海外での
毎年ランキングとかって更新してる
パスワードマネージャーのベンダーとか
ワイトソフトとかあるけど
実際にこういうのを見て
俺これ使ってる買えなきゃって
そういう人いるんだろうか
毎回疑問でさ
確かにね
こういうのを見る人は
多分使ってないような人って
さっき言ったパスワードマネージャー使ってる人だったり
全然そういうリスクがない人は
気づくけど
逆に本当にこういうのを使ってる人は
そもそもこういうの見ないんじゃないか
っていう気もしてて
45:00
そういう人よりは届いてないんじゃないか
っていう気もするんだよね
だからこそ報道する意味があるのかもしれないんだけど
ランキングはランキングとして
興味深いは興味深いんだけど
結局ユーザーにやってほしいことは
そういうことではなくて
使い回しすんなよとか
さっき言ったみたいなね
多要素認証使えよとかさ
そういうのを地道にやっぱり
伝えていくしかないんじゃないかな
っていう感じもするんだよね
もしくはこういったところを利用者ではなくて
サービス提供側が
こういったものはのぴなみ弾くっていうのを
当たり前にしていくっていう方法もありますよね
そうだねまだまだやっぱ少ないよね
そういうのがね
このパスワード弱いよってね
パスワードを登録時にチェックするっていうことを
どれだけの業者がやってるかっていうとね
うん
確かにそれはほんとにやってほしいよね
そういうもう当然のことのように
やるっていう風になってるといいよね
なんかこういうランキングみたいなもの
っていうのを見かけるようになって
結構久しいですけど
なかなかこれは有効活用されてない
っていうのは実情としてあると思うんですよね
でねさっき言ったみたいに
これ見る人は
このパスワード使ってないやろう
みたいなところがあることを考えて
システム側から変えた方が早いのかな
っていう気はしつつも
今設定されてるもんどうやって
強制変更させんねんってのもありますけどね
そうね漏洩してるって分かったらね
強制リセットとかできるけどね
それはできますけどね
でも漏洩してるやつをカウントしてると
言ってて今今年
漏洩が認められたものとは言いつつ
出自の分かれへんやつも
結構ありますからね
そうですね
なんか比較してみたら
ずいぶん前に漏洩したやつと並びに
一緒やでみたやつとかもあったりしますからね
見てるとね
システム側で対応っていうのが
一番無難なのかもしれへんなっていう
気はしますけどね
難しい問題ですけどね
分かりましたありがとうございます
はい
今日は結構なんか
テンポ早いっすよね
そうか
最初の雑談が長すぎたんじゃないの
そこか
パソコン買い替えようかなとか
言い出すから
いやいや
いいんじゃないですかこういう
パパパパーンと
じゃあ3つの話終わったんで
今日おすすめのあれを
紹介して終わりにしようかなと思うんですけど
今日紹介するのはですね
あのずっと
紹介しよう紹介しようと思ってて
ズレズレになってしまったんですが
今日はね歌です
曲を紹介しようかなと思ってるんですけども
久しぶり
久しぶりですね
以前にあの
紹介した曲というか
あれかな
曲何やったっけな
戸川潤さんを紹介したと思うんですけど
はいはいだいぶ前ね
そうそう好き好き大好きかな
でその戸川潤さんと
同じぐらい
48:01
下手したらそれ以上好きかもしれない
っていう
女性のアーティストがいるんですけど
どなたですか
中森彰さん
おーはいはいはい
好きなんですよ中森彰さんも
えでもそれ
初めて聞いたかも
あほんまですか
中でもむっちゃ好きな曲がありまして
これだけを紹介する曲なんですけど
二人静かっていう
あそれタイトル知ってるけど
曲が思い出せない
天下は伝説殺人事件っていう
映画の曲なんですよ
1991年で
多分僕まだ小学生
の時に聞いて
その頃からずっと
好きなんですよ
へー
これずっと紹介したかったんですけど
紹介しなかった理由が
youtubeになかったんですよね
公式のが
今はあるの
そう去年ねデビュー
40周年記念で
特設サイトっていうのが
ワーナーから
ワーナーがですね作って
今も公開されてるんですけど
えちょっと待って
デビュー40周年
中森彰ってデビュー40周年なの
どれぐらいだと思ったんですか
逆に
40年も経つんだと思って
40周年
40周年特設サイトっていうので
今までのね
昔やからレコード
レコードとかジャケットとかが
見れるような
サイトがあって
それに加えて今までの
ワーナーが権利を持ってる
ライブ映像とかをyoutubeに
去年の5月ぐらいから
上げてくれてたんですよ
素晴らしい
いつか紹介しようかなと思ったのが
今日になったんですけど
そのyoutubeで
ライブで歌っているこの二人静か
歌ってる映像が見れるんでですね
公式で
他にもいろんな曲が上がっているので
特設サイト見るもよしyoutubeに
直接アクセスするもよしですけども
ぜひ聴いていただきたいなと
そうやって過去の名曲が
名曲かどうかごめん
全然今思い出せないんだけど
思い出せてないよ
今すげーノリで言ったけどさ
過去の名曲とかってノリで言ったけど
そういうのが発掘されて
今新しくまたyoutubeとか
プラットフォームとかさ
いわゆる音楽配信サービスとかで
去年だか一昨年だか
70年代80年代の
アメリカでは
日本のシティポップがすごい世界的に
バズったことがあるじゃない
スポーティファイとか
アプリミュージックとかでものすごい
シティポップが再生されて
海外で結構
tiktokとかのユーザーに
使われたりとかしてて
昔の元々を知らずに
今のユーザーが
SNSとかに上げるときの音源に
結構使っていて
この曲いいじゃん何の曲って言ったら
51:01
昔の日本のシティポップだった
僕がこの間戸川純さん紹介したのが
tiktokでバズったからですよね
そういうやっぱりきっかけが
そういうので今
改めて昔の楽曲が注目されるってことは
結構起きてるらしいんだよね
多分これ日本に限らない話だと思うんだけど
そういうのって
いいなーっていうかね
改めて聞くと
Apple Musicとかで
70年代80年代の日本のシティポップとか
そういうプレイリストがあるんだよ
たまに聞くと
めっちゃ懐かしいしすごい良い曲多いんだよね
そうですよね
当時は良さが分からなかったけど
今聞くと改めて
いいなーって分かるみたいな
当時に聞いて
いいなーって思ったやつも
改めて聞くとやっぱさらにいいって思うのも
ありますからね
見方がちょっと変わって
いいなーとかね
中森明さんの
二人静かは
多分聞いたら分かると思うんだけど
マジっすか
ぜひ公式で聞けるので
聞いていただくか
ちなみに
中森さんの他の楽曲も
全部上がってんの
他の曲もいくつか上がってます
全部ではないですけど
例えば
スローモーションとか
スローモーションってデビュー曲じゃない?
デビューです
少女Aの前ですもんね
火災じゃないのは涙とか
パッと思い浮かぶのはそれ以外だな
あとは
北ウィングとかも
北ウィングいい名曲だよね
あと何パーセント
いい曲ですね
いくらでも出てくるそういうのね
何パーセントは確か
あったと思います
じゃあちょっと懐かしい
昔の昭和の名曲を
youtubeで聞いてみますか
二人静か
曲だけじゃなくてライブなんで
雰囲気もすごく
youtubeに出てきたのがそれだったんで
これ公式なんだって
すごいね
また結構タイプなんですよね
僕のね
聞いてないそんなこと
まあでも
そりゃそうだよね
楽曲だけが好きっていうのもあるかもしれないけど
やっぱり歌ってる人本人に含めて好きなんだよね
やっぱりね
そうですねそれはあるでしょうね
ちょっと聞いてみますわ
聞いていただいて
これは実は
音をちょっと
下げてですけど
私が唯一女性ボーカルの歌を
歌うカラオケで歌うレパートリーが
一つなんですよ
聞いたことないけど
聞いたことないってカラオケ一緒に行ったら一回しかない
そうだっけ
あれそうだっけ
逆に
逆に何歌った覚えてる人あるんですか
確かに全然覚えてないかもしれない
全然覚えてない
10人以上で行ったカラオケみたいなやつ
一回きりやと思う
あれっきりか
行きましょう
54:01
コロナ開けた日にはね
カラオケ
ボックスからの
セキュリティのあれ
収録みたいな
カラオケボックス
そうそう
いいかもしれない
そんな感じで
ぜひ聞いていただきたいなということでございます
ということで今日もミツのお話をして
セキュリティのあれじゃないや
オススメのあれや
紹介したので今日は終わりです
また来週のお楽しみです
バイバイ
