00:00
お便りが来ております。
はい。え?
早速。はい。
お便りです。始まってます。
いきなりの入り方ですね。
斬新な入り方したな、今。
お便りが来ているんです。
はい。お願いします。
来ていたんです。
辻さんのようやく気づいたコーナーを
久々に聞いて辻さんに解いてもらった
私の誤解を紹介します。
実は
このアレに出てくる
ASAを
Certified Information System Auditorの方だと
ばかり思っていました。
という感じが
なるほど。
それは確かに
聞く人によって
監査人の資格だよね。
そうそう。司査って言ったりするんかな。
そうだね。日本でも結構取ってる人
すごく多いメジャーな資格だと思うけど
確かにね。
でもこのアレで
そっちの司査が出てきたことは
ないもないんじゃないかな。
今が初めてですね。
だよね。たぶんね。
なので
Podcastで僕らのこのアレで
CISAって言ったら
アメリカのセキュリティ庁の方ですね。
そうそう。
このアレで司査のことを
話すことはあんまなさそうな感じはしますよね。
どっちの?監査人の方?
そうそう。
そっちのことはあんまないね。
たぶんね。
でも確かにそういう人いてもおかしくないよね。
そうそう。
3文字4文字
2文字もそうやけど略語って
分からんこと多いですよね。
そもそも何言うてんのか分かれへん時あったりとかしません?
ね。
文脈で
あって思う時もあるもん。
教母で読んでたやつでTATAって出てくる
なんのこと言ってんのかなと思ったらスレッドアクターのことやったんですよね。
おー。
TAなんてさ
いくらでもあるよね。
そうですね。
ティーチングアシスタントとかね。
そうそう。いろいろある。
スレッドアクターをTAって略すのはちょっといかがなものかな?
それは。
分かんないですよね。
それはさすがに俺も分からない。
何かと被るっていうよりも
2文字はちょっとやめてほしいですね。
頭の方にちゃんと
いか何々なら分かるんですけどね。
それもなかったんですよ。そのドキュメントは。
確かにね。
前提として攻撃者の動きを書いてる
ドキュメントだったんで
分かるっちゃ分かんのかなっていう気はしましたけど
ちょっと不親切だなと思いましたけどね。
あのほら
今スレッドアクターで思い出したけどさ
DVほにゃららとかさ
UNC
DV?
UNCほにゃららとかさ
あれも分かりにくいっていうかさ
識別
攻撃者の識別のやつですよね。
そうそう。
DVもなんかデベロッパーだと思いますよね。
そうそう。
ああいうのも一応ね
略語になってるみたいだけどさ
なんの意味だろうなみたいなさ
分かる分かる。
一瞬分かんないよね。
03:00
APT何とかの数字も
覚えにくいっていうか
あの辺はみんな
そういう名前付けって難しい感じだよね。
はい。
そういうことでございました。
皆さん勘違いがあるという
誤解があるということでございまして
僕もこれ。
次の頼りですけども
これねぎしさんが前回出してくれてた
MFA Fatigueのやつ
あったじゃないですか
あれ別名考えろって言うんで
僕この間タイトルにも入れたのかな
何だっけ
なんとか詐欺
通知うざうざ詐欺
なかなか上手いネーミングだよな
本当に?マジですか?
それの別称を考えて
いくつも送ってくれた方がいまして
素晴らしい
一つはですね
証人依頼ランダ
乱れ討ちですね
プッシュ通知シャワー
これなんかあれですね
ヒープスプレーみたいな感じなのかな
ゲリラ通知
通知クラッシュ
受け入れ詐欺
エンドレスプッシュ
モンスター通知
個人的にはゲリラ通知あたりが好きです
というお便りですね
いっぱい集中してくる的なニュアンスだよね
そう
ゲリラ通知もね
ゲリラっていうところはやっぱどうしても
ゲリラ豪雨を思い浮かべるから
いっぱい集中的に来るみたいな
ところから言うと確かにこの方が言うね
好きっていうのも何となくわかるかな
っていう
たまになんか自治体がミスって流してくる
あのゲリラ発生しますみたいなやつの方が
ちょっとイメージ
そっちかそっちか
ゲリラ豪雨のイメージが強すぎてっていうのがもしかしたらあるのかも
なるほど
いやなかなかいいね
数値ウザウザ詐欺
どっかなんか
採用してくれへんかな
なかなかいいネーミング
わかりやすいネーミングだと思うね
たまたまだけどさ
先週取り上げてから
マイクロソフトもガイダンス出してたし
そうですね
ちょうど今いろんなところが取り上げてる
タイミング的に
先週だから取り上げてよかったかもしんない
いや多分
これを聞いて取り上げたんでしょうね
そっか
そんなわけあるか
そんなわけあるかってね
もっと前から企画しとるわって話でしょう
本当だよ
はい
これもねぎしさんがね
紹介したやつですけども
セキュリティのあれで紹介された
Macのセキュリティソフト
Objective-Cって
はてなと思ったら
セキュリティがABCのCではなくて
見る方のSEEのC
というのがあるんですねと
最近気になるのは
パスワードマネージャーの
URLを判別して
自動入力をする機能
そのサイトに入力するIDパスワードを
判別してくれてこれですよねって
サジェストしてくれるやつですよね
それをどこまで信用していいのか
見た目の似たドメインを
06:00
はじく効果はあるんだろうけれども
…というちょっと不安を
抱えてらっしゃる感じの
お便りでしたね
どこまで信用していいのかが
どこにかかってるのかがちょっと
わかんないんだけど
判別が
大丈夫なのってことなのかな
そういう意味なのかな
ちょっとそこの
真意がはっきりわかんないけど
ちょっと広めに解釈して
パスワードマネージャーの
通常
ブラウザーで自動入力する場合ってのは
ブラウザ拡張とかを使って
そうですね
ワンパスワードもラストパスも僕ら紹介してるやつとかも
だいたい
本体のソフトとは別に
ブラウザ拡張機能ってのが普通は
あって
各ブラウザにそれを入れると
ログインしておくと
連携して入力を勝手に
してくれるみたいなね
それは
間違ったサイトに入力する
っていうことは実装がちゃんとしてれば
まあまずないんで
そこは別に心配しなくていいというか
それを心配しちゃったらもうキリがないんで
正直ね正直それは
信用するしかない
使ってる以上信用するしかないんだけど
ただその悪意のあるサイトが
本来
読めてはいけないのに
違うサイトに
入力させようとする攻撃みたいなのは
過去にもあって
これは拡張機能側に
脆弱性がある場合に
可能な場合が過去には確かに
あったんだよね
それはだからそういう悪意のある
サイトを訪れる必要が
あるわけでまあ滅多なことでは
起きないと思うけど
ただそれはやっぱり
なんだかんだ言ったら拡張機能っていう
ソフトウェアの実装に
依存する部分なので
何かそれに問題があった
とかしたらね本来送ってはいけない
サイトにIDパスワードを
送信しちゃうとかっていうことは
ないとは絶対ないとは言い切れないんで
そうですね
そこはやっぱり
利便性とのトレードオフっていうか
そういうリスクもやっぱりあるよっていうのは
なるほど
そこまでおっしゃってるのかどうかわかんないけど
それはあるよね
確かにそれはある
僕はもうほぼほぼ
信用してますけどね
これ機能はね
僕も別に普段使ってる
そういう心配を
ここは大丈夫かなとか毎回思ったりは
しないけども
それは提供してる
この間も侵入事件のとき言ったけど
提供してるベンダーとかを一応
信用してるわけであって
何か問題があったとしても
そういう問題が破格したらすぐ
直してくれるよねっていう
一応その信頼に基づいて
使ってるわけなんで
そういうのが例えば過去に
見つかったけど放置されちゃったとかさ
あるいはそういう攻撃に実際に
使われて被害が発生したとかっていう事例が
あればまたちょっと考え変わるかもしれないけど
今のところね
そういう問題見つかったけど
09:00
速やかに直されてたりとかするし
実際に悪用されたっていう事例は
あんまり聞かない
聞いたことないので
そういう意味では
そこそこ信用しても大丈夫じゃないの
っていう
ただそれは使う人が
個人個人で考えることだと思うけどね
確かに確かに
そのURLを前方一致だけで見てるとか
そんなことはしてないでしょうから
そうね
前方一致で見てたら何本でも
起訴できますからね
今時そんなのはさすがにないやろうっていう
まあでもさあ
今時ないやろうって言うけど
フィッシングサイトの注意喚起とかでたまにそういうの見かけるよね
うんうん
あーなるほど前方だけで
前方が一致してる
そうそう先頭がこういう文字列から始まるものが
当社のサイトですみたいなさ
あーそうですね
そこは変えられるところやからなっていうね
前から行くと
後ろから行くなら別ですけどね
ねそうそうそういう注意喚起は
まあだからちょっと注意しないとそういうことをやりかねないのはあるよね
まあちょっと今話が忘れちゃったけど
うん
まああとはあれかな
自分が使ってIDパスワードを入力してるサイトが
攻撃を受けて侵害されてて
その下に同じようなフィッシングサイトを設置されたら
通っちゃうかもしれないねもしかしたらね
ドメインで行ったら
ドメインでってことね
それぐらいのことが起きないと
まあさすがにないかなっていう風に
僕は思ってる感じ
本物のサイトが改ざんとかなんかね
埋め込まれたりとかしたらまあやばいかもね
そうそうそうそう
それはどうしようもないかな
まあそれはちょっと今の話とは違うもんね
そうそうそうそうそう
あと最後のお便りなんですが
いつも楽しく聞いております
お便りというより
あれ的な質問になってしまうのですが
ということで質問
昔からSSO
シングルサイン用のメリットがよくわかりません
パスワード使い回しと
同じリスクがあるのでは
と思ってしまうのですが
いかがでしょうかというお便りでございます
おお
いいねいい質問だね
ちょっと話しとれちゃうけどさ
はい
こういうその何
巷で使われてるものに
これなんでいいのみたいな
自分なりに疑問を感じて
自分の頭で考えるっていう
この人みたいなこういうことを
する人はセキュリティの仕事を
向いてるよ
いいですね
思わない
セキュリティの仕事ってこういう
大丈夫って言われてることに疑問を感じて
調べることの繰り返しだからさ
本当にそうかっていうのは大事かな
本当に言ってる通りだろうか
これはって思うところから脆弱性が
見つかったりとかさそういうのの繰り返しじゃん
そうそうそう
何もないって言ってるけど本当か
とかさ
ロジックは本当に大丈夫なの漏れないの
とかね
思考回路の人っていうかね
考え方できる人は向いてると思うよ
いいと思います
みんなが使ってて大丈夫って
言ってるから
12:00
大丈夫っていう風に無批判に
信じ込まないっていうのは
大事ですよね
さっきのパスワードマネージャーの人も同じだよね
みんな信じて使ってるけど本当にいいの
みたいなさ
それは本当に大事な姿勢だよね
ところで今回のこの質問どうですか
SSOは
SSOのメリット
メリットは一番は何があって便利
っていうところはありますよね
一回やってしまえば
認証してしまえば
その認可で他のものも使えるっていう
あとは守るべきポイントも一つに絞れるんで
僕はいいなと思ってはいますけどね
ただそれが一個乗っ取られたら
っていうのはもちろん
気を付けないといけないポイントとして
あるんですけど
パスワード管理ソフトのマスターパスワードに
似てるなっていう感じがしますね
リスクは変わんないんじゃないの
っていう質問に対しては
リスクがなくなるわけじゃないんだけど
だいぶ違うと思うんだよね
例えば
10個サイトがあって
全部のサイトで個別にログインが必要です
ってなったら
ユーザーは面倒くさい
全部の同じパスワードをつけますと
これが使い回しだよね
そうすると
10個のうちどれか1個でも侵害されて
パスワードが漏えいしちゃうと
他の9つ全部危うくなると
これが使い回しのリスクなわけじゃん
そうですね
全滅しちゃいますってやつですね
簡単に言うと
1個ダメだと全滅しちゃうと
SSOの場合には
これから仮に10個のサイトが1個の
ログインアカウントで全部
認証通りますってなったとしたら
その1個が仮に漏れてしまったら
10個全滅っていう
そこは同じなんだけど
でも今ついさんが言ったみたいに
守るべきポイントが1箇所で済むっていうのは
これはすごく大きなメリットで
例えばそれを
提供する側は
そこを一点集中でセキュアにしとけば
他も全部まとめて10個まとめて
守れるわけじゃない
それはもちろん攻撃側も
そこを狙ってくるっていうデメリットも
当然あるんだけども
これはトレードオフだからね
あとちょっと細かい話だけど
ユーザー側も10個もバラバラだったら
使い回しちゃうし
2要素なんか使いたくないなって思う人も
それが1箇所で済むんだったら
じゃあそこで1個
大事だからここは2要素認証でちゃんと
守ってみようかとかさ
そういう使い方ができるじゃん
だからサービスとか
サイトの提供してSSOの提供する側
守る側も
メリットがあるし
使う側もメリットがあるし
リスクもトータルで見たら
使い回しよりも下がっているので
ゼロにはならないけど
非常にそういう意味ではバランスが取れた
対策なんじゃないかなと思うけどね
そうですね
そう考えたらやっぱりそのアカウントに対して
AITMみたいなのやられて
取られてしまったらっていう怖さはありますけどね
だから
攻撃側もそういうところを狙って
例えばマイクロソフトの
アカウントだったり
連携してそうなクラウドのサービスだったり
15:00
とかわかんないけど
そういうところを狙ってくるっていうのは
理理化になってるっていうかね
それ一個やったら
繋がってる他のサービスもまとめて
全部いけちゃうんでしょみたいなさ
だからそういうのと
トレードオフなので
確かにね
何がいいのってのは最も
疑問かなと思うけど
いい面もあれば
悪い面もあるよってことだと思う
そうですね
合う合わないで選ぶっていう
パスワード使い回ししませんっていうのだったら別に
SSO気持ち悪いなと思えたら
使わないっていう選択肢もありですからね
別にね
今さっきツイッター言ったみたいに
パスワードマネージャーで
全部別々に管理します
でも
僕結構ね
SSO避ける傾向があるんですよね
そうなんだ
例えば食事の予約とか
いろんなサービスあるじゃないですか
そういうのって
アカウントでログインみたいなの多いでしょ
ツイさんが言ってるやつは
いわゆるID連携ってやつね
そうそう
それを使わないあんまり好きじゃないから
個別にパスワード付けるっていう
なるほど
それはそのアカウントがもし侵害されたら
時の影響が大きくなるからってこと
そうそうそう
そういう判断が働くわけね
それも一人寄りきりだよね
そのSSOを例えば
自分が使ってる協力してるところとか
自分の会社とかで
SSOになってるこれを使ってくださいって言われるのは
もちろんしょうがないから使うんですけどね
そういうのは
自分個人のアカウントってなったら
結構バラバラに自分で管理するっていう
だからソフト使ってるっていう風なのが
僕の使い方ですね
なるほど
面白いね個人の管理の手間と
そのリスクをどう点火にかけて
判断するかってのは多分人によって
違うだろうね
そうですね
わかっていただけたでしょうかということでございます
あとは
ネギさんへのプレッシャーではないんですが
他のお便りでは
金まくりディース感がめちゃめちゃいいぞという
それはいいでしょうよ
別に俺も悪いと思って
買ってないわけじゃないんだよ
2,3人
2人がお便りで買いましたって言って
1人は個人的に
DMで今日買いに来ましたって言う
でなくくれたりとか
3人
ヤバくないこれ
インスタとかのインフルエンサーダブじゃない
あれで
商品化したらバック上
結構すごいですよね
そんな
めちゃめちゃ安いもんでもないじゃないですか
全然安くないぞ
1万2万するぞこれ
そうそうそう
そういうお便りも来てましたね
色々ありがとうございますということで
色んなお便り
ハッシュタグをつけて
セキュリティのあれをつけていただければ
拾ってるんでよろしくお願いします
お待ちしてます
ということでセキュリティのお話を
18:00
今日もしていこうかと思うんですけども
今日はネギさんがいきましょうかね
じゃあトップバッター行かせていただきますけども
お願いします
お前はまたかと思われるかもしれませんけども
こいつに今日もDDoSの話をしたいと思います
はいはいはい
今日はネットスカウトっていうところが
今年の
上半期の
DDoSスレッドインテリジェンスレポート
ってやつを今週公開してくれたので
僕前にも
このあれで紹介したと思うんだけど
このネットスカウトのレポートと
あと赤前旧プロレキシックの
あの辺のレポート
あとクラウドフレアのレポート
この辺はDDoS対策サービスの
最大手の人たちなので
こういうところのレポートはやっぱり
全体的な
世界的な大きな流れを追う上で
欠かせないレポートなんだよね
そむり絵の
たしなみみたいな感じですかね
そうそういいこと言ったねそうそう
普段やっぱさほら自分が
観測したり調べてるのって
国内の事情が多いじゃない
そうですね
それでもある程度わかるんだけど
やっぱり見てる範囲が少し狭くなっちゃうんで
広い視点で見たらどうなのかな
っていうのはやっぱり見ておきたいな
ということで紹介したいんだけど
このレポートかなりボリュームが
多いので
ちょっと要点だけ
紹介しますのでぜひ後で
ご自身で見ていただきたいなと思うんですけど
お願いします
まず全体で言うと
攻撃の件数は前の
半年に比べて2%
減ったって言ってるかな
ほぼ横ばいだよね
そんなには
増えたり減ったりはしてませんということなんだけど
今回いくつか特徴があって
まず一つ大きな特徴としては
まず国とか地域の
紛争っていうのが
この時期結構多くて
代表的なところで言うと
ロシアとウクライナの戦争とか
また中国と台湾の
揉めたりとかね
そういう政治的な
国と国あるいは
地域と地域の
紛争とかに関連するようなイベント
が起きると
それに付随してリドス攻撃が増える
っていう現象が結構見られました
ということで
トータルの件数は横ばいなんだけど
そういう今言ったような
イベント関連のリドス攻撃が
かなり増えたと
理由が分かるようなものというか
それきっかけで起きたものが増えたと
そういうことだねだからリドスって
なんで起きたかっていう理由が分かりにくいんだけど
こういうイベント関連系
ってのは攻撃した側がやったぞ
って言ったりとかさ
攻撃を受けた側が
受けたって言ったりとか
背景が非常に分かりやすいってところもあるよね
だから増えれば
非常に分かりやすいんだけど
例えば今言った中で
ロシアウクライナ関連で言うと
その2つの国以外に周辺諸国だよね
フィンランドとか
ノルウェーとかリトアニアとか
こういったところが結構
攻撃が件数が国別で見ると
すごく増えてて
21:00
おそらくこれは
日本もこないだ攻撃を受けたけど
アキルネットっていうロシアを
支持するグループがいて
その人たちが
何らかの理由をつけて攻撃をしてたので
こういった攻撃が
その件数の増加に
繋がっているんじゃないかなと
そういう話でしたと
それから
今言ったような関連する攻撃で
どんなアタックベクターが使われているか
って言うと
攻撃の代行サービスだったり
ボットネットだったり
あとちょっと面白いというか
キルネット関連でもあったんだけども
昔からあるロイックとか
はいはい
懐かしい感じがする
ロイックホイックとかね
アノニマスが使ってたような
手錠のツールも使われた形跡があるって書いてあって
本当かどうかわからないんだけど
そういう古いツールも
使われてましたと
ただね
そういう関連というか
気になったポイントが2つあって
こういうロシアウクライナ関連とか
いわゆるジオポリティカルな
関連の攻撃で
時々その規模の大きな
アンプの攻撃が見られたと
UDPとかのアンプ攻撃で
リフレクション攻撃とかって言われるやつ
これは代行サービスとかじゃなくて
おそらく専用の
攻撃インフラなんじゃないか
みたいなことが書いてあって
かなり規模が大きいものを観測しました
っていうのが
1つともう1個が
あとそのTCPとかよく
シンフラットとか送信元を
査証してさ
別のアドレスに偽造して
攻撃をしてっていうのはよくやるんだけど
その時に
レポートではターゲットスプーフィング
って書いてあるんだけど
その査証するアドレスを
限定しているように見える
攻撃がありますと
どういうことかというと
何も考えずに攻撃すると
送信元ってランダムに
査証するっていうのが普通なのね
なんだけど
ネットスカートが言っている今回の
見られた攻撃っていうのはその送信元アドレスを
ある程度レンジを絞っている
ように見えますと
そうすると何を狙ってるかっていうと
攻撃された側が
通常普段アクセスしている
先から
攻撃が来ているように
見せていると
そうすると
仮にその攻撃を防御しようと思って
例えばアドレスのレンジとかでブロックしようとか
しちゃうと正常な通信も
止めちゃうじゃない
だからこういう攻撃だと
防御しにくいでしょっていう
それを分かってやってきているんですよね
多分そういう狙いじゃないか
っていうのが書いてあって
これはちょっと面白いなと思って
なんとなく
勝手なイメージだけどさ
アノニマスとかもそうだけど
若手のウゴウの衆が
愛国人に狩られて攻撃している
ようなイメージを
侵入犯として持っていると
意外と攻撃の規模が大きいのは来ているとか
今書いてあるような
24:00
アドレスを限定して防ぎにくくしているとか
意外と考えているな
みたいなところも見られてさ
ちょっと
大したことないんでしょって
侵入犯で思っちゃうのは危ないし
もちろん危険意識しすぎるのも
危ないんだけど
こういうのを攻撃の特徴が
実際に観測したっていう攻撃から
見えるっていうレポートを見ると
ちょっとおっと思ったよね
こういうのもあるんだ
っていう感じ
これはもしかしたら
彼らこういう攻撃をしている
ハクティビズム系の
ハクティビストなのか
特定のグループだからやっているのか
ちょっとはっきりわかんない
そこまで詳しく書いてないんだけど
特徴のある攻撃が見られたというのが
ありますこれが一つ目ね
それから
二つ目として今地域や国の
紛争絡みって話をしたけど
それとは関係なく
それを含めては全部
この期間の全部の攻撃
リードス攻撃特にネットワークレイヤーの攻撃の
アタックベクターがどういう分布だったか
っていう話なんだけど
一般的にプロトコルで
TCPとUDPとICMP
っていうのは基本で
この三つあとGREとかもあるけどあんま
使われないんで
この三つがあるんだけども
この三つで一番割合が多いのはどれだと思う?
一番多いやつ?
多いっていうのは
件数ですか?それともトラフィック?
件数
TCP
正解です
やった!
これはでもね
去年とか一昨年くらいから
比較的最近の傾向で
TCPがちょっと増えてるんだよね
今時っぽさ感じますよね
ちょっと前
一昔前、数年前とかだと
やっぱUDPとかのアンプ攻撃の威力が
やっぱ大きすぎて
そっちのほうが主流だったんだけども
その割合がちょっと減っていて
TCPがだいぶ増えてるというのが傾向に
現れてるそうですと
全体で見るとTCPのフラット
新フラットとかアックフラットとかいろいろ
あるけどさ
全部ひっくるめると46%で
UDPのほうは全部ひっくるめて
アンプの攻撃は45%で
これは傾向してる感じ
でもUDPは
なんか徐々に減ってる感じだね
でもねちょっと意外というか
そのUDPのアンプリフレクションの
攻撃の中で一番多いのはやっぱ
DNSなんだよね
相変わらずですね
相変わらずDNSが11%で
これがトップで
それよりもTCPのほうが多いってだけなんだけども
まだDNS使われてるのか
っていう感じがするよね
なんかアンプイコールDNSみたいなところ
ちょっとあるじゃないですか
もう何年前から使われてるんだっていうね
そうそう
多分アンプに使われる
台数自体は減ってるらしいんだけども
まだそれでも
攻撃の意欲っていうか
使い勝手がいいのもあって
あと増幅率も結構高いしね
DNSはさ上手く使えば
安定した増幅率と利用できる
27:00
数なのかなやっぱり
だからね
やっぱり
DNS攻撃の代行サービスだったりとか
ユーザーが使いやすいサービスに
取り込まれてるっていうのがあって
いまだに主流の攻撃手法としては
使われてますと
でもトータルで見ると
TCPがやや増えていて
主流になりつつあるなっていうのが
傾向としては見えましたと
これが2番目の特徴で
あと最後3番目として
Botnet
Botnetってさ
日本でもIoTの機器に
関連したBotnetみたいな話を
僕こないだもしたけども
Botって
元々乗っ取った機器から
指令を出して
そこから攻撃してるわけなんで
利点としてさっき言ったら
送信元のアドレスを隠す必要がない
っていう利点があるんだよね
元々乗っ取ってる機器だから別にバレてもいい
っていうさ
自分のところには来ないですもんね
未来とかよくある
IoT機器とかのBotもそうだし
その他のやつもそうだけど
だいたいBotnetからのリードス攻撃って
アドレスを殺傷したいタイプの攻撃がほとんどなのよ
加えて
このレポートで言ってるのは
ここではネットスカウトは
ダイレクトパスアタックって呼んでるんだけども
ちょっと
聞きなじみがないと思うんだけども
いわゆる今言ったような
アドレスを殺傷しないタイプ
直接機器がサーバーと通信をして
攻撃してくるタイプ
L7とかの攻撃だよね
ちゃんとコネクションを確立してから
攻撃してくるタイプってことね
こういうやつをダイレクトパスアタックって
呼んでるんだけども
これがじわじわじわじわ
ちょっと増えてる
Botnetからの攻撃でじわじわじわ
増えてると
これはさっきのネットワークレイヤーのボリューム
ベースのアタックとはちょっと違って
若干やっぱ防ぎにくいんだよね
攻撃される側から見るとさ
アドレスもちろん
一個一個見れば
これはBotっぽいなとかIoTの機器っぽいとか
一個一個見れば分かるかもしれないけども
たくさん来たらさ
普通のユーザーのブラウザベースのアクセスと
何ら変わらないように
例えば見えたりとかするので
ちょっと防ぐ側から
ちょっと防ぎにくいっていうのがある
区別しにくいですよね
そこが多分L7の
攻撃が増えてる一つの理由かな
あともう一個はね
これはツイッターのネタとも関連するけど
何でしょうか
過去1年で
ネットスカウトがちょっと目立ってる
って言ってるのが
ランサムウェアのアクターによる
いわゆるトリプルスレッドの
攻撃
早払えっていう風に
急かしてくる度数って感じですかね
ランサムウェアって一般的には
暗号化をして脅迫するっていうのが
あって
それに加えて最近のWXオーションだと
さらに情報を盗んでいって
金払わないと
情報漏洩するぞって脅してくると
そうですね
さらにトリプルXオーションになると
30:00
さらにDDoS攻撃もするぞって脅してくると
こういうのが
実際にあるらしいという話は
だいぶ前から聞いてるんだけども
ネットスカウトが言うには
ランサムウェアのアクターが
トリプルスレッドでのDDoS攻撃で
ボットネットを使った
ダイレクトパスアタックL7の攻撃っていうのを
どうもよく使うように
見受けられますと
言っていて
多分防ぎにくいし
対処しにくいところ
おそらく
脅迫っていうのとうまく合う
っていう風に
考えてるのかな
っていう感じ
例えばこれと比較すると
去年とか今年とかもまだ相変わらずあるけども
いわゆるDDoS
ランサムじゃなくてDDoSの
脅迫っていう
単独でやる攻撃ってあるじゃない
DDoSそのものが脅迫の
手口ってことですね
やめてほしかったら
小規模なDDoS攻撃しといて
メール送ってきて
もっとデカい規模の攻撃
やってほしくなかったら1ビットコイン払え
みたいな感じで脅しをしてくる
昔からあるタイプのやつね
ありますね
あれは僕が見てる限りだと
まだUDPとかのペースの
ボリュームの攻撃が
多い印象なんだよね
ただそれも
結構そういう
対処もしやすいというか
防ぎやすい面もあるので
多分あんまり支払いの率は
高くないんじゃないかなって話は
ここでもしたと思うんだけど
多分そういうのとも関連して
攻撃側も手口を変化させるのかな
っていう印象があって
ひょっとしたら
ランサムじゃなくてどれくらいが
トリプルセット使ってるのか
知ってる?どれくらい使ってるか
どれくらいかって言われても
ピンとこないですけど
結構そういうリクルーティングというか
宣伝してるのとか
見かけるじゃないですか
ラースのオペレーターの方が
うちのラース使ってくださいみたいな
そういうのにこういう人探してます
分け前はこんな感じですの中に
うちの使ってもらったら
リード数の基盤使えますよ
とか宣伝に書いてある場合もありますよ
なるほどね
だからそんなに多くないかもしれないけど
やっぱりいるはいるんだよね
しかもコストあんまかかんなさそうじゃないですか
結局ブーターとかストレスターとか
使うって言っても安いから
ちょっとつけますみたいなこと
気軽にできそうですよね攻撃者側で
だよね
そういうサービスが
ここで言ってるのは
Botnetを使った
ダイレクトバスの攻撃に対応しているから
増えているのかなとかね
攻撃側の
変化というか進化というか
そういうものを
観測した結果が反映しているのかもしれないよね
そうですね
ちょっとそういうのがあって
この辺はこれ前も聞いたな
思ったかもしれないけど他のベンダーとかの
レポートもたびたびここで紹介してるけど
やっぱり言ってるとなんとなく似ててる
どれも
33:00
なんとなくだけどやっぱり傾向ってやっぱり出るんだな
そんなに違いはないなっていうのが
改めて確認できたなと
最後ちょっと一個だけ付け加えて
日本はどうなのって
一応地域ごとの
主要な国ごとの観測状況っていうのも
一応レポートであるんだけども
細かくは書いてないんだけども
攻撃の規模とか件数がどうだったか
っていうのが書いてあって
それによると
日本はこの半年は件数も規模も
大幅に減ってて
6割から7割減少してますと
かなり減ってますね
かなり減ってるよね
そんなに意外な気もしたんだけど
そんな減ってるんだっていう
だったら
さっき言ったような他の
国とか地域の紛争の
おかげというか
そっちのDDoS攻撃全体では件数
ほぼ横ばいだったから
日本が大幅に減った分他が増えてるんだよね
ヨーロッパとかさっき言った
名前を挙げたような国でのDDoS攻撃が
大幅に増えた分日本も含めて
結構減ってる国も
多いということで
ただね
これは上半期なので
下半期はさっきも言ったけど日本も
攻撃対象に入ってるしさ
ちょっとまた状況変わったかもしれないけど
少なくとも
前半は大幅に
前の半期
よりも大幅に減りました
という結果が出てました
その理由とかは書いてなかったんで
なぜかというのは分からないんだけど
そんな感じでしたということで
こういうレポートを見るとさっきも言ったけど
一個一個の細かい攻撃のことは分からなくても
全体的なやっぱり
攻撃側の変化とかっていうのは
非常に多いやすいので
参考になるかなと思うので
ぜひ読んでいただけるといいかなと
確認して自分の持ってることとか
もしくは自分が思ってたイメージと
比べてみるっていうのも大事でしょうし
同じ傾向なんやって
分かることも発見ですもんね
結構さ
僕も長いことこういうのやってるから
どうしても先入観というか
前こうだったかなって
思い込みってやっぱりあるんだよね
それって必ずしも
経験値がプラスに働く場合もあるけど
マイナスに働く場合もあるじゃん
そうです
邪魔になる場合もありますもんね
だからあれって思うことを
読んでてあるわけよ
こんなの前あったっけとかさ
前こうじゃなかったっけみたいな
気づきってあるんで
そういう思い込みをなくすっていうか
気づきを得るっていう意味でも
こういうの読んでおくといいなって
改めて思いました
いいですね
DDoSの平均時間とかも
書いてくれてるんですね
結構今回あまり細かく紹介しなかったけど
割と詳しく
地域ごとだったり
国ごとだったり
いろんな視点で解説してくれてるので
めちゃめちゃ読み応え
ありそうですね
ボリュームが多すぎるんで
ただ自分が読んでるうちに
最初の方に読んだら忘れてしまいそうなぐらいの量
36:00
そうかもね
そんなんですね
興味あるところだけでも読んでみるといいと思います
そうですね
ありがとうございます
じゃあ次はカンゴさんいきますか
はい
じゃあ私行かせていただきます
今回はすでに
それこそ新聞の一名にもなってるぐらいなので
皆さんもご存知だと思うんですけども
何でしょうか
ステンズチェーンの
カッパ主は
多分皆さんもご存知だと思うんですが
そこを
運営しているカッパクリエイトっていう会社がありまして
9月の30日に
そこのカッパクリエイトの
社長と
報道によれば
商品企画部長の
2人が性競争防止法違反の
互いで
逮捕されましたと
いうことが報道であったり
あるいは当事者である企業から
公表されているという
ところで
今日はその話をしたいなと思ってるんですけども
これまで
今回のケースも
社長となって
今回摘発された方っていうのが
前職から
営業機密に
該当するであろうデータを
持ち出されて
その持ち出したデータを
移られた先で
使われたと
そういった容疑がかかっているというもので
これまでも似たような
事案っていうんですかね
結構
たびたび年に1回か
それぐらいのペースで起きてはいたんですけども
社長が
当事者たる
被疑者として
摘発される事案っていうのはなかなか
見たことないなと
そうですね
出まして
結構
珍しいなっていうのが
まず第一印象としては思ったところであったんですけども
元々は
去年の
7月に
実際この社長
今回逮捕された社長が
前職として働かれていた
浜津市という
別の開店支援があるんですけども
その浜津市から
カパクレートに対して
刑事告訴しましたよという
そういった話っていうのが
その当時は浜津市からは
直接公表がなくて
それを受けたカパクレート側が
そういった公表を
されたというところがあり
そこから
1年と
3ヶ月なんですかね
たってようやく
実際に逮捕であるとか
拡大的な動きにつながっていたというところでは
あるんですけども
この
企業機密データ自体は
食材
開店としてなので
魚であるとかそういったものの
司令に使われているような
そういった原価であるとか
取引先に関する情報などが
持ち出されていたという
39:00
ところで
実際に
その情報を使って
転職先っていうんですかね
カッパ寿司側の
実際に使われている
原価との比較なんかもやられて
いたらしく
結構がっつり使っていたんだな
というところで
この食材の原価の情報
っていうのが
飲食業界においては
やっぱり相当
付加価値の高い情報という
ところらしく
小売業とかと比較すると
特に開店寿司なんかは
使っている食材って
非常に限定的
ではないですか
それこそね
寿司なんていうのは
魚と米から基本的には
できているようなものなので
かなり限定的な食材から
作られているものということで
取引先も自然と限定的というか
競合他社と
重複するところが出てくるので
その中で
他社がどういうような取引を
しているかという情報が
手元にある中で
例えばどこそこは
これこれいくらでこういう取引しているんだから
うちはこの金額と同じくらいに
してくださいとか結構そういった
それを直接は言えないにしても
そういった形で
かなり価値が高い情報として
使うことができるんではないか
ということが指摘されているところ
ではあって
なんでそんな情報を持ち出せたのか
というところなんですけども
もともとこの
今回摘発された社長
自身は
浜津市側では
取締役として
実際に働かれていたらしくて
3年4年だったかな
数年間
浜津市側では幹部としては
働かれていてそれ以前も
浜津市って
全省のグループだと思うんですけども
その全省の
いろんな飲食店の
企業の
取締役というか社長であるとか
そういうところかなり
渡り歩かれていた
出世介道をずっと登られていた方
ということではあったので
かなり全省の中で
立場としては上の方だったんだろうな
とは思うんですけども
その方がどうやってデータを持ち出したのか
というところについてはあまり正直具体的なところは
報じられてはいないんですけども
記事から拾った
情報としては
USBメモリーで
持ち出しをしていたと
ただ
そのUSBメモリーで
持ち出した情報そのものに
対しては閲覧する際
パスワードが必要だったと
ちょっとそれ以上の具体的な
細かいどういったパスワードが
どういったサービスを使って
どういったパスワードがかかっていたのか
細かい話はないんですけども
パスワードが必要だったということで
もしかすると
固定文字列のような
そういったパスワードだったのか
42:00
ちょっとわからないんですけども
社長自身はパスワードは
もともとは把握して
いなかったようで
データを持ち出したんだけども
そのパスワードは別の第三者
から入手をしていると
その第三者っていうのが
今回また摘発された
実は今回摘発されたのは3人いるんですけども
残り1人の
浜洲市側で当時
勤務されて働かれていた
経営企画部長から
パスワードを入手していたということで
1つの事案に
登場人物が3人
少なくとも3人今のところは出てきている
というところでしかもそのうち1人は
持ち出された側の企業の
人物っていうんですかね
そういった立場の人で
あったということで結構
複雑な事案ではあったか
故にもしかしたら捜査にも少し時間が
かかったのかもしれないんですけども
パスワードを入手して
その入手したパスワードで
データが閲覧可能になったということで
カパークリエイト側の
社内に展開をしていた
ということが報じられていました
他にも
メールで
そもそも発端は
そのメールで
浜洲市の店舗の
全店舗の売上のデータをやり取りしていた
形跡が見つかったというところが
発端だったらしくて
今回
不正競争防止法という形での
摘発対象には
なっていないんですけども
元同僚という方が
そういったメールのやり取りを
実際やられていたというのが
好評であったり報道ということで
されているところであるので
もしかしたらまだ事案としては
捜査が続いている状態なのかもしれないんですが
今のところは3人
不正競争防止法等の
容疑で摘発をされている
というところで
今回この事件
まだちょっと報道ベースの
情報ではあるんですけど
見てきた中で
気になったのは
まずはパスワードの部分で
今回摘発された方というのは
いずれも上の方だ
かなり上層の幹部で
あったりとか
部長職とか
組織の中では上位に立つ
人物ではあるので
それがやったことの意味すること
というのは当然認識しては
ないかなと思いつつ
とはいっても話題としては
去年の7月時点で
起きていた話ではあって
取材に
摘発された社長も
答えているんですね
逮捕される前にやったことに対して
どう思っていますかみたいな形で
それに対して
持ち出したと指摘されているような
情報に関しては
確か事実としては認めつつも
それが例えば今回
いわゆる不正競争防止法違反の
容疑に当たるようなそういったものという
認識がないみたいな
若干その辺のことの
重大性というか違反に
繋がるんだよというところの認識というのは
45:00
正直なかったん
ではないかなというのが少なくとも報道ベース
では出ているところではあって
その前提だった場合
今
手元にある情報を
見たいんだけどパスワード教えてよ
というようなやり取りが
すごくやられて
しまっていたのであれば
それは結構悲劇ではあるなとは思っていて
今回は
社長と部長という立場だったんですけど
これが
もうちょっと別の
下のランクというんですかね
担当レベルでの方同士での
やり取りだったのであれば
往々にしてそういうことが
あってもおかしくないかなと思っていて
そうはいつも
逮捕されたのは
逮捕された人だけではなくて
パスワードを連絡した人も
今回摘発されているので
法助的な感じなんですよね
そうです
なので
そこは自分がやっている
行為というのが本当に
問題ない行為なのか
パスワード渡すなんてのはそもそも
おかしいんじゃないかというところにすぐ気付ければ
当然それはそうなんですけども
違反というような
そういった法に触れている
ところの意識が薄い
状態であった場合だと
そこの部分の
やり取りというのも
ブレーキがかかりにくい状態に
なってしまう可能性というのが
あるのかなとは思っていて
教えてって言ってきた人の
立場とかもある
すごいお世話になってた
みたいなのがあったり
なおさらやりづらいというか
断りづらいみたいなのももしかしたら
あるかもしれないとか
この辺は報道何もないので
何とも言えないんですけども
別に似たようなケースが起きていても
おかしくはないのかなと思うところで
あったり
あとはカッパクリエイト側が
どういう
関わり方だったのかというところは
今後捜査でまた明らかになってくる
ところだと思っているんですけども
今後報道されているところでは
カッパクリエイトという法人に対しても
積極素防止法違反の
容疑で処理層権される
んではないかというところが
報じられてはいてですね
日本においても最近
どうなんですかね
比較的人材の流動性
っていうんですか
人が組織を
結構動くような時代
っていう中になってきて
いてですね
出ていってしまう情報に対しては
結構やっぱり気にしている
方多いと思うんですけども
今後は
入ってくる情報も
しっかりと見ていかないと
下手すれば
組織の事業運営に
大きな影響が
及ぼしかねない事態になり
なってしまうということも
やっぱあるので
出るだけじゃなくて入ってくるデータ
っていうのをちゃんと見ていかないといけないのかな
というところは
改めて今回の
48:00
カッパ寿司の事案なんかを見てても
改めて思ったところ
浜寿司側は
ようやく今回
不正競争防止ファイナリング法で
摘発されたということで
一連の事案について
まずはという形で
プレスリリースを出しておられて
一応その中の対策
っていうのが
軽めに書かれてはいるんですけども
2点あってですね
まずは
情報発信については
向上的にモニタリングを
するための管理部署を
新たに設置しますよと
そういうところと
あとはこれもしかしたら
さっきのパスワードの話にかかるかもしれないんですけども
社内文書管理規定と
取扱いのガイドライン
については厳格に
改定をするという
そういった対策を記載されて
いました
もしかしたらこういった話から
このような対策につながったのかもしれないなと
いうのは思ったところです
いやごめんちょっとなんか
口を挟む隙がなかったので
聞けなかったんだけどさ
すみません
そもそもの話で
持ち出された情報っていうのは
浜津市側
っていうのはその持ち出しが禁止されてた
情報なの
そこははっきりとは書かれてはないんですが
さっきも言った通り
事業運営にかなりシビアに影響が及ぶ
情報ではあるので
そもそもいいよと言っているところは
皆解無だろうと
そういった評価をしている
記事などはありました
そもそも持ち出されてはおかしい
情報だったということですね
もちろん
持ち出した側が悪いんだけど
さっきの対策にも
あったけど
持ち出されない側の工夫は
どこまでというか対策がどこまで
きちんとやられたのかとか
結構そこは気になってるんですよね
そこはあんまりだから
今のところは
こういった事案が起きましたよ
という部分に
とどまっているような感じはあるので
今後出てくればそういった情報は
ぜひ出てくると
非常に参考になるなとは
思ってはいるんですけども
いわゆるそういう
営業秘密とか
秘密区分的に
会社のとても重要な区分に
相当するような情報
どんな会社でもそういう
扱いっていろいろやってると思うんだけど
そういうのは
例えばアクセスできる人を
限定するだとか
いろいろ対策をやってると思うんだけど
多分権限を
それなりに持った人が
持ち出すことっていうのは
他の内部不正とかも
そうだけどもやっぱり防ぎにくい
わけだし
それがやっぱり
こういうのにつながるとすると
やった人がもちろん
やられてるのかもしれないが
やられた側も何か
こういう事例から学べるところがあるとすると
どこら辺なのかな
51:00
っていうのが
もうちょっと具体的にならないと
あんまりわかんないね
今のところは
どういう対策をしてて
どこがあかんかったからどうします
ぐらいがわかると学びは多いかもしれないですね
そうですね
細かいことを言えば
例えばUSBで
持ち出せるのか消しからんとか
そもそもUSBなんで
挿して認識するんですかとか
そういうアプローチもありますよね
俺そういうの好きじゃないけど
言おうと思ったら言えるわけじゃない
まあそうですね
デバイスの管理がなってないんじゃないのとか
いう話も
そういう細かい話なのかなと言うと
違う気もするしね
ログとかちゃんと見てたのとかもあるでしょうしね
はい
でもこれアクセス権が
あって
パスワード仕付けて
っていう人間でやってしまうと
っていうのはやっぱ
防ぎにくそうではありますよね
そうなんですよね
これ実際同じことが起こるという
前提になった場合
組織として果たして防御というか
防ぐことっていうのが
どこまでできるのかっていうのは
ちょっとさっきねネギさんおっしゃったように
まだちょっと具体的なところっていうのは正直
わかってない部分は当然ありつつも
今出てる報道だけの情報から
推定した部分
含めれば結構難しい
事案だったんじゃないかなとは
持ち出しそのものに関してはですね
これ何か会議とかで
使ってたんでしょこの情報並べて
うちのものと浜津市のものと
みたいな感じで
そういうところまで
話に出てこないと
発覚まで
気づけないっていうか
スルーしちゃいそうな感じがするな
っていう風に思いましたね
実被害に近いものが出てから
ぐらいしか動けないみたいなね
そうなんですよね
だからやっぱり持ち出された側にもそれなりの
影響が出てしまうっていう
そういった状況になって
お互いにダメージを負ってしまう
みたいな感じになってるので
そうですね
あとは営業秘密って
どうやって決まるのやろうっていうのは
組織でそれを秘密だっていう風に決めとかないといけないですよね
そうですね
それをしてなかったら
営業秘密にならない
判断されないかもしれないということですね
下手をすれば
そのような形で
言い逃れを
言われちゃうかもしれないですよね
別にくっついてなかったものとかって言われたら
確かにって言わざるを得ないかもしれない
そういう管理の面でも守る側としては
決めとかないといけないですよね
情報の重要さみたいな
結構その辺は
流動性の高いデータ
販売量とか
売上データとかになってくると
そのラベルが結構落ちてしまったり
ということになりかねないので
その辺がしっかりついた状態で
データが取り回されてるか
とかっていうのも
一応気にはしないといけないですかね
確かに
昔僕会議で資料を使って喋ったときに
54:00
情報区分をつけずに
喋ってたことがあって
会議で
めっちゃ怒られたことあるんですよ
それを思い出しましたね
その情報区分をちゃんとつけておく大事さ
っていうのが今分かりました
身を守るためにはそういう区分をちゃんとつけとく
癖をつけないといけないなってことだな
っていう風に今さら分かったな
って感じでございます
そんな怒るって思ってたんですけど
内容によっては怒ることだから
癖つけなあかんねんなって
言ってくれはったんやなっていうのは思いました
この辺やっぱり癖なんですよね
やっぱりどうしても
無意識的にできる状態になってるか
結構大事かなと思っていて
そうですね
意識せずできる状態にしておく
っていうのが大事かなという風には思いますね
ありがとうございます
はい
じゃあ最後僕が
お話をしていこうかなと思うんですけど
今日僕がお話をするのは
新興と言ってもいいのかな
新しい
ランサムギャングの
ブラッティっていう
ランサムグループのお話をちょっとしたいんですけど
なんか次から次へと
新しいのが出てくるね
そうなんですよ
僕がお話するということなので
言わずもがなネットワーク
新入型の二重脅迫を
行うランサムグループなんですね
リークを伴うような
これまで
これまでって結構新しくて
活動が認められてたのは
5月ぐらいからなんですね
結構前なんですね
その頃に使われてたこの
ブラッティは感染させられると
拡張子が暗号化された
上に拡張子が
ドットブラッティっていう風に付くんですね
ブラッティって
BLOODYなんですけど
OOが数字の00になってる
名前なんですけど
リートスピークっていうのかな
このランサムギャングが
僕がよく見ているところと
大きく違うのは
リークサイトを持ってるわけではなくて
メッセージチャットで
そこでチャットを公開して
そこでリークをしたりとか
情報を伝えたりするっていう形をしてます
自分たちのことも
ブラッティチームとか
ブラッティランサムウェアギャングという
自分たちでもそのまま名乗っている
形のランサムギャングなんですけれども
これ自体が
チャットが作られたのが
活動は5月から
事故を起こした組織から
分かってるので5月だったんですけども
このチャット自体が解説されたのは
7月の26日から
作られていて
直近 最近までで
リークの件数にしては
7件リーク
してるんですね
いろんな組織をリークしてたりするんですけど
ちょっと気になったなっていう風なリークは
同時に同じ日に
8月の上旬に
出してきたリークが
2つの組織を出してたんですね
業種自体が
市課委員のカスタマーサービスと
カスタマーサーになるような
組織のリークを出してたんですけど
57:00
これ調べてみると
同じ建物内にある
組織なんですよね
同じビルというか
敷地というか建屋というか
建物ですね
そのリークのファイルとかを見ていくと
全然その2つじゃないやん
っていうのも含まれてたんですよね
別の
歯医者さんの
データが含まれてたんですけど
同じ建物内っていうのがあって
何かしら入り口が
一緒で全部ネットワークもしかしたら
平場になってるとかそういう構成だったのかも
しんないですけども
そういう場合もありましたと
他のところで言うとチャットで
リークをしていくんですけど
その相手との
やり取りみたいなところを
ちょっとかいつまんでっていうことで
ちょろっとだけ言ったりもするんですねチャットで
結構リークサイトにはない
タイムリーな細かい内容も出てくるっていう
感じで例えば被害組織が
ネゴシエーター雇って
交渉決裂したわとか
っていうのを言ってたりとか
あとはリクルーティング
例えば自分たちのアフィリエイト
をしてくれれば
8割2割で分配しますよとか
初回時は700ドルだけどね
とかっていうのがあったり
あとプレゼント企画
とかもやってたりするんですよね
自分たちのこのリークサイトを
広めてくれるとコバルトストライク
バージョン4.5と
4.7とハッキング
レッドチーミングコースを
プレゼントしますこれどうやってプレゼントするのか
わからないですけどマニュアルなのか
なんじゃないかちょっとわからないですけど
そうなんですコバルトストライクって
売ってるやつやのにくれるんやみたいな
クラック版とかなんだろうな
っていう気はしますけど
あとは情報リーク
した時にクラウドストレージ
とかに上げたやつがあって
それを上げたよって言うんですけど
ちょっと時間が経ってから
そこにアクセスするパスワードを
投稿するとかっていう感じを
してるんでその他のリークサイト
のランサムギャングと
比べると比較的
細かい情報が出てきたりとか
こちらからチャットなんで話しかけようと思えば
話せるところにいるかな
っていう印象がちょっと
ありましたそんな
ランサムギャング新しい
ランサムギャングなんですけども前回
冒頭の雑談みたいに
ロックビットの
ビルダーが漏洩とか
リークされましたっていうお話ししたじゃないですか
ここが
使ったんですよそれを
なんか前回の
その時に
悪用されたら嫌だねみたいなことを言ってたけど
起きちゃったか
そうなんですよね
このブラッキー自体が
そもそも自分たちで
ランサムウェアを
開発しているっていう感じ
ではないみたいで
もともとはバルクとか
コンティのソースコードとかを
流用して作ってきてた
っていうものなんで
3個目に当たるんですかね
ちょっと気になったんで
僕も過去に使われたと思われる
1:00:00
ブラッキーの検体
を入手して
調べてみたところ
ヤラのエンジンとか
他のアンチウイルスの
VTとかで調べてみると
検出名とかヤラのルールで引っかかるものも
過去のやつはコンティとして
検出するっていう
ようなものになってました
でその後に
最近使われたであろう
このブラッキーの
検体を見てみると
実際にこの僕
2つコンティをベースに
使われたやつと今回の
ロックビット3.0コードネームとブラック
っていう名前かなっていう風なものの
違いを見るために両方の検体を
自分の環境で観戦させて
みたんですよ
そしたらコンティの方は
前々から出てあるとおり
ドットブラッティ
拡張子に変わるんですね
で一番新しめのやつで
ウクライナの組織の攻撃に
使われたとされているような検体
の方は拡張子が
ドットブラッティ
じゃなくてランダムっぽい
拡張子
ファイル全部のファイルを見て同じ拡張子が
付いてるんですけどもランダムな文字列みたいな
拡張子が追加になったってことで
これはロックビット3.0の
ブラックの特徴で
他のロックビット3.0にも
観戦させてみたことあるんですけど
拡張子が
元々何か分からないというか
変な文字列に変わるというか
ランダムな文字列を付けるっていう風なものがあって
これリリースしてた
ビルダーの設定からは
拡張子を自由に選べない
ようなものになってるんですよね
作ったランサムウェアが拡張子を
これっていうふうに決め打ちできないようになってるみたいで
それを使ってやったっていうのが
この辺からもちょっと
伺えるのかなっていう風なところですね
サンドボックスとかで
かけてみるとロックビットとの
類似
近似っていうのかなそういったものが
見られるっていう風なものもありました
あと他に気になったところで
言うとですね
いくらでもそれは偽装できるんですけど
チャットの内容とかで出してくるものが
基本的には英語でやってきてるっていう風なことと
あとは
最近よく
標的型とかみたいなのでも
使われるのかもしれないですけれども
C2をするのに
バックドア的にやる
コバルトストライクに
取って変わるようなもので
ブルートリテールやったかな
レーテルかな
クマみたいな意味のやつですけど
そういったものも使っていこうみたいなことを言及していたりだとか
あとは
一番これ僕が気になったというか
思ったのがですね
僕が見ている範囲
ずっと3年ぐらいですか
見てきた範囲で言うと
このランサム
ウォッチ市場
初のことが
あったんですよ
ターゲットの被害組織に
ロシアが
初めて見られた
っていうのが
ありまして
1:03:00
ちなみに
リークされているもので言うと
7件中
5件は
アメリカなんですね
残りの2件がロシアと
ウクライナ
になっているんですよ
どういう理由かは
ちょっとわからないですけども
ロシアっていうのは
ランサムギャングのルールによったら
ロシアというか旧ソ連圏の
攻撃は禁止っていうのが
あるじゃないですか
そういうルールを敷いているところ
あとは病院とかインフラとか
ってのがあったりしますけれども
僕も地図にいろいろ被害組織のピンを立てて
見てますけど
ロシアにピンが立ったことは
本当に1回もないんですよね
なので今回これで
初めてロシアの組織が
被害にあったっていうのは
ちょっとこれは
なぜなのかわからないけれども
この3年ぐらいで初めてのことなんで
興味深いことになっているな
っていうふうには思いましたね
あとは前回
言ってた予想ではないですけど
こうならなきゃいいのにねっていうふうなことは
やっぱりこういうリークがあったりすると
悪用っていうのはすぐにされるんだな
っていう実際に起きるなっていうのが
身をもってというか
見ていてやっぱりなというふうに
思ったというお話でございます
この攻撃者の背景とか
全然知らないけどさ
でももともと今回の
ロックビットのリークがある前から
他のやつを
使ってたというところとか
自分たちで
開発する力も
おそらくないだろうしかといって
大手のアフィリエイトに
組みするつもりもないけど
リークされているこういう
ものを上手いこと
自分たちでカスタマイズして
使って
大ピラリじゃないけど
7件とかあって件数で言ったらそんなに多くないじゃない
そうですね
だからそういう
参入者がさ
次から次と入ってこれちゃうんだな
っていうのを改めて
アフィリエイトのラースモデルもやっぱり
すごく脅威じゃない
そんなにスキルがなくてもできちゃうっていうね
いろいろあったけど
最近そういうモデルがちょっと
あまりにも上手く回り過ぎて
でかくなり過ぎてみたいな話とかも
あったけども
その参入の仕方っていうのもやっぱり
あるし
できるできちゃう
どれくらいのスキルの人たちがやっているか
わかんないけど
そこまででもない可能性が高いじゃない
そうですね
リークしているのをちょこっとカスタマイズして
使っちゃうみたいな
こういうところからするとさ
そういうところにこだわりがあるわけでもなさそうだし
と考えると
そういう参入者が
次から次に出てもおかしくないんだな
っていうね
どうなんですかね
スキルはそんなに高くないというふうに見積もることも
できますけど
ネットワークに侵入して広げていくっていうところはできるけど
開発はできひんだけかもしれないですしね
1:06:00
そうそうそう
わかんないね
分担してやってるかもしれないし
いやだね
そうなんすよね
これどうなんすかね
僕その暗号とかって
あんまり得意じゃない
これロックビット側は
なんか手打たないんですかね
このリークされたビルダー使ったやつは
全部これで戻せますみたいなものを
出さないのかな
私もそれちょっと思ったんですけど
今その脅迫が
現在進行形で進んでいるものが
ある程度終わったら
これの異機能に止めるように
変えちゃうマスターパスワードみたいなやつ
あるじゃないですか
あれを変えたものを自分たちが使い始めて
こっちを潰すみたいなことを
できるのかなとか思いながら
でもおかしくないですよね
邪魔ですもんね
ちょっとロックビットの
悲しく見詳しく知らないけど
そういうこともできたりするのかな
なんて思ってて
そんなに大きな脅威じゃないにしても
使われてるっていうこと自体が
許されへんとかっていう風なことを
考えるタイプの人かもしれないじゃないですか
ロックビット側が
あとは一つ言い忘れたんですけど
ランサムノート
ランサムノートの中に書かれて
あるメールアドレスが
なぜかコンティが使ってたメールアドレス
でしたね
2つ連絡先があって
メールアドレスと
チャットの連絡先があるんですけど
メールの方はコンティを
ベースに作ってたであろう頃と
今回のロックビットのビルダーを作った頃も
同じメールアドレスで
それをIDランサムとかに
読み込ませるとコンティって出てくるんですよ
それは何だろう偽装なのかな
偽装なんですかね
今のお前のこのメールアドレスだけは
固定なんですよね
ここ普通にカスタムできるところなんですけど
ビルダーでも
あえてそのままにしてるのかもしれないな
別に
そこに連絡してきても
音立たなかったらチャットに来るかとか思ってるのが
分かんないですけどね
別に関連性があるかどうか
ってのは分かんないですけどそこを
なんでそのままにしてるんだろうなって気になったなって
ポイントでしたね
やっぱなんか
起きたら嫌やなって思うことは起きちゃうんですね
こんな感じでね
これが最初で最後とは限らないからね
この後続く可能性があるから
ちょっとそういう動きは
注意してみとかないといけないかもね
ロックビットですって来るかもしれないですね
そうだね
逆にそういうケースもあるかもしれないですよね
確かに確かに
奴らのせいにしといて
自分は隠れみどれみたいなね
そうそうそうありえなくはないかな
もうちょっとこれは
ロックビットの動きも含めて
ちょっと見とこうかなという風に
思っておりますというところでございます
はい
じゃあ今日もセキュリティのお話を
3つしてきたので最後に
おすすめのあれなんですけれども
今日は食べ物で
音楽にしようかなと思ったんですけどね
音楽ねいっぱいあるから紹介したいなと思ったんですけど
ちょっとなんか
1:09:00
これ今紹介しようかな
来年の夏まで紹介するの忘れるかもな
と思ったので今日紹介するのは
食べ物なんですけれども
別にこれね
前回も似たようなもの紹介してるんですが
お金もらってるとか案件とかではない
ってことを先に言いますけれども
今日紹介するのはですね
おつまみ
みたいなやつで
オリオンビアナッツっていうやつですね
おつまみ系
比較的紹介多いよね
そう好きなんですよ
またオリオンビール
そうそうオリオン
前はオリオンソーダ紹介したんですけど
オリオンビアナッツ
そうそうこれね
僕の会社に沖縄出身の方が
いらっしゃいまして
沖縄にちょっと
実家か何かわからないけど帰ったらしくっていう
お土産でくれはったんですよ
このオリオンビアナッツっていうやつね
これがめちゃめちゃうまくて
ビール
飲まへん僕でも好きなんですよ
ビールじゃなくて
何かと合わせて
食べるわけ?
普通にお菓子として食べてます
単体で
小腹空いた時に
小さい袋が縦に
繋がってぶら下げて売ってるやつあるじゃないですか
スーパーとか行くと
あるね
あれが5つ繋がっていて
1袋16g
のやつなんですけど
いろんな
アーモンドと
落花生とかそういうもんが入ってて
それに3つの味が
ついてるんですよ
アーモンドチーズ味
タコスと唐辛子味
ウコンカレー味
っていうのがあって
それぞれついたナッツが
中に一緒に入ってるんですよ
めちゃめちゃうまい
もともと
オリオンビールで
イベントみたいな感じで
工場行ったりとかすると
それで出してたおつまみなんですけど
あまりに評判がいいっていうので
商品化したみたいですよ
21年前に
オリオンビールが売ってるわけじゃないんだ
製造者は違いますね
ほんで
最初
1連
一つずりっていうの
いただいて
あまりにもおいしくて
すぐになくなって
25個入りを
ネットで注文して
今また25個入りを注文して
マジか
よっぽどだね
めちゃめちゃうまいですね
もしかしたら
沖縄行った時食べたことあるかな
あんまり明確に記憶にはないんだけど
絶対
めちゃめちゃおいしいですね
おいしそう
2012年
21年前か
袋にはさらにおいしくなりました
って書いてあるんですけど
前知らんねんなって思いながら
食べちゃったんですけど
1:12:00
おいしかったですね
ビール候補入りって書いてますけど
これはちょっとおつまみに
ビールの好きな人が好きそうな味やな
っていう
スパイシーな感じの味で
一応ノンフライ製法だそうです
ビール好きな人にはたまんないかもね
そうですねもし興味ある方は
スーパーとかに東京で売ってるのかな
ドンキとか売ってるんですかね
こういうのって
いやどうだろうね
そうですね
見かけたら買ってみたりとか
そんなビールのおつまみ系は
どんと濃いですよっていう方は
ネットで注文して食べてみても
いいんじゃないかなと思いますね
お二人には
一袋ずつ
会う時に持っていきますんで
ありがとうございます
その感想をちゃんと
お二人のあれっていうハッシュタグをつけて
たまにはね
強制すんなよ
すごいよね
このあれで喋るよ
パーソナリティにお便り
強制するのもおかしな話ですから
すごいな
直接聞けよっていうね
やらせじゃんやらせ
さくらじゃんさくら
確かに確かに
良くない良くない
良かった進んでて止めれて
ということで以上でございます
ではバイバイ
またねー
バイバイ
