1. セキュリティのアレ
  2. 第164回 空前絶後の色々集計三..
2023-01-16 1:10:37

第164回 空前絶後の色々集計三昧!スペシャル

Tweet  【関連記事】 ・Cloudflare DDoS threat report for 2[...]

The post 第164回 空前絶後の色々集計三昧!スペシャル first appeared on podcast - #セキュリティのアレ.

00:00
なんか今日ね、雑談することが何もないんですよ。
お、珍しいね。
ついに。珍しい。
この一週間何してたんやろ。
でも時々そういう時あるよね。あれ俺何したっけみたいな。
いやなんかこういろいろね、作成したファイルとかのタイムスタンプとか見たら、まあまあ仕事しとんなっていう。
忙しかったってことですかね。
いや、打ち合わせとかが多かったかな。
そうなんですよ。なんかちょっとあんまり仕事はしてたけど、なんか何も残ってない感じがするっていうか。
まあまあそういう時もあるかもしんないね。なるほどね。
でもそれと雑談はあんま関係なくない?
そっちにね、こうほら取られてしまって、こうなんかプライベート、何がプライベートでみたいなのがあると思うんですけど、なんか特にトピックみたいなものがなくて。
なるほど。
靴も買ってないしな、靴の話してもしゃあないしな、みたいな感じでさっきからなっててですね。
あれはやってないですか?
北斗の件。
やってるよ。やってるやってる。そうそう、前回138列件ぐらいできるっていう風に言ってたんですけど、139列件までできるようになりました。
すごさがわからんのですけど、すごいですね。
決められた時間内に思いっきりパンチ打ちまくるんですけど、それまではそう大したことないのに、それが終わった後脈拍150、160なるんですよ。
すごいな。
僕の脈の方がパンチより多いんですよね。
なるほど。
そんなことにね、やってますよちゃんと。
そうなんですね。
油断すると、特にね、年末年始ってなんだかんだ言って生活のリズムって人によったらいつも通りじゃなくなるじゃないですか。
まあそうね。
ダラダラしてしまったりとかして、なかなか日常に帰ってこれないみたいな時もあったりするんで、油断するとちょっとね、去年も年末年始だらけてて、ちょっと増えたんですよね、体重が。
フィットボクシングとかも、やった日とかってカレンダーにスタンプが付くんですよね。
週平均とかそういうの出せるんですけど、それがちょっとサボってるなみたいなのがあったんで、気をつけなあかんなと思ってやってますけどね。
なるほど。
最近はちょっとリングフィットっていうのやってるって言ってるじゃないですか、僕。
前からですよね。
それをあんまりしなくて、最近ちょっと自重トレーニングに切り替えまして、腕立て伏せとか、腹筋のコロコロローラーみたいなやつあるじゃないですか。
めっちゃ効きますよね。
03:00
膝とか、そうそうそうそう。それに切り替えて、なんかやってたら、年末よりちょっと前ぐらいから腕立て伏せとかに切り替えたんですけど、腕立て伏せ100回ぐらいできるようになったんですけど。
すごいね。
もちろん10回を10セットとかですよ。
すごいな、それでもすごい。
それでもすごいと思いますけど。
いや、なんかちょっともう動くんですよ、胸が。
辻さんはさ、どこに向かおうとしてるの?
同じ質問しようとしてる、私も。
いやいやいや、どこにも行かないですよ。僕はみんなの心の中にだけ存在する。
何言ってんねん。
そうなんですよね。
時々分かんなくなるわ、どっち向かってんのかなみたいな。
いやでもなんか、どっちもないけど、年もどんどん取っていくと、期待とかだなっていうのはなるんですけど、何でもそうなんですけど、結構僕はやりすぎてしまうんですよね。
やりすぎはともかく、怪我をしにくい体っていうか、ある程度それなりに筋肉なり何なり、体を柔らかすとかわかんないけどさ。
何か多少やっぱ人並みにはないとちょっとね、だんだん歳を取ると危なくなってくるよね、その辺はね。
そうそう。ある程度一定のラインまで衰えたら、今度戻すための筋肉がなくなるからとかってよく言われるんですよね。
なんでそれにはならないように気をつけようと思ってて、あとある程度のライン越えてくると、維持したくなるっていう気持ちもあるじゃないですか。
なるほどね。落としたくないっていうね。
だってこれでまたこれ、体大きなったことによってTシャツのサイズ全部変えたのにさ、今度また小っちゃなったらまた買い直さなあかんやん。
それ繰り返せばいいじゃん。
いやいやいやいや。
大きくなって小さくなって大きくなって小さくなって。
マリオみたいな感じで。
めちゃめちゃ効率悪いやん。
あーマリオ、キノコ取ってクリボーに当たってる繰り返しみたいな。
はい。
無限マリオみたいな感じのやつですか。
いやー面白いな。
何だといろいろやることはやってはいますけどね。
はい。
はい、ということで今週もですね、お便りが来ております。
ありがとうございます。
今ちょうど話に出ました、北都の県のフィットボクシングの件で、賛否両論というか、意見分かれてましたね。
賛否両論?
賛否両論というかね、これ誰が誰が買うねんみたいな話してました。
あーありましたね。
どの層に刺さるんだ的なね。
そうそうそうそう。
で、いくつかこれに関しての言及してくださってる方がいてね、
ここにいるぞって言ってる方がいたりとか。
お、いましたか、アレゼリも。
一方で、誰が買うんだろうとヨドバシで見て思ったとか。
ですよね。
やっぱりそうだよね。
結構なかなか多分これなんやなっていう風な発売の狙いというか意図というか目論みというかみたいなところで、
06:07
これ言い当ててんじゃないかみたいなことを言ってる方がいらっしゃいまして。
北都の県のリアタイ世代、リアルタイムに見てた世代はそろそろ中性脂肪の改善を指導されたりと、
フィットネス待ったなしの世代なんじゃないかな。
なるほど、そういうことか。
いや結構だってほらまあ僕でギリギリなんかな。
僕3歳ぐらいの時に多分ジャギとかが出てきた頃、3、4歳の時。
だよね、多分いやだから辻さんだとちょっと、僕ぐらいが多分ちょうど世代なんだよね。
ちょっと早いんすよね。
僕の世代でも周り北都の県見てた人いるけど、
小学校上がってから見始めたとかそういう感じかもしれない。
2やったら知ってるとかね。
あーなるほど。
いうのかもしれないっていうのもあるんですけども。
だからやっぱり若い時は余裕ぶっこいてても、そんなに中性脂肪を指摘されなくても、
やっぱりどんどん代謝も悪くなってみたいな人が増えてくる世代っていう意味なのかもしれないですね。
なるほど。
そうかもね。
確かにそうかもなーって。そうかもなーと思いつつも、別に普通の買い張る人も結構おるのやろうなって思う。
結局真相は闇の中っていう感じというか。
はい。
でですね、そんなお便りもありながら、やっぱりラストパス卒業宣言が反響ありましたね。
やっぱりびっくりしました私も。
そうそう。なんか自分は違うやつ使ってますって言ってる方も居つつも、ワンパスワードの世界へようこそみたいな人も居ながら。
あってですね、とあるところでね、仕事の打ち合わせをしてたんですよ僕。
でパスワードにまつわるような話が出てきた時に、そういえばっつってですね、ねぎすさんラストパス辞めたみたいですねって。
これを聞いてたんだと思うんですよ。
え?って何相手に言われたの?
そう。
そっか、それは話題にしていただいてありがたいな。
いやすごいですね。ねぎすさんラストパス卒業宣言がですね、僕の仕事のシーンにも出てくるっていう。
面白すぎるんだけどそれは。
びっくりしましたよね。
それぐらいインパクトあったんですよ。
そんなねえだろ。
いやありましたよ。業界に激震が走ったかもしれないレベルですよ。
激震が走りましたよ多分。
俺も辞めようかなみたいな。
そういうのもありながらですね。
ありがとうございます。
あとはですね、フィッシングとかスミッシングについて割と濃いめに語られていて、おすすめというふうにハッシュタグをつけてツイートしてくれている方がいらっしゃいまして。
09:01
あとは見分けようとしない、見分けさせない、じゃあ企業内での訓練は不要ですかっていうふうなお話がありましたけれども、この方は必要だと思いますというふうなご意見を寄せてくださっておりました。
前回つゆさんが話したネタだよね。
そうですね。
初めて見たかもしれないですね。一応、ハッシュタグのツイートは、よくツイートしてくれる方ってアイコンを覚えたりするんですけど。
常連さんね。
あれ、もしかしたら常連さんではなくて、こういうのも嬉しいなあっていうふうに思いました。
確かに。
ということでお便りは以上ですね。
ありがとうございます。お待ちしております。
ありがとうございます。
またよろしくお願いします。読み上げた方にはステッカーの印刷コードをプレゼント致します。よろしくお願いします。
はい、じゃあセキュリティの話をしていこうかなというふうに思うんですけども。ではネギッさんからいきましょうかね。
はい。じゃあですね、私は今日は、時々取り上げるDDoSの話をしたいと思ってるんですけど。
時々取り上げる?
時々取り上げる?
ちょっと違和感が。
違和感ないよ。
すみません止めてしまいましたけど。
じゃあいつも取り上げる?
お馴染みの。
今日はですね、クラウドフレアが市販機に1回出しているDDoSスレッドレポートってやつがあるんでちょっとこれを取り上げようかな。
前も確か1回か2回ぐらいポートキャストで話した記憶があるんだけど。
ちょっとまあそれを久しぶりに取り上げてみようかなと思いますけど。
これね非常にいろんな視点でまとめてくれててボリュームたくさんあるんだけど、ちょっとかいつまんでポイントだけというか、特に大きな変化があったところだけ取り上げて紹介したいなと思うんですけど。
大きくね、レポートの内容いろいろあるんだけど大きく2つに分かれてて、1つはアプリケーションレイヤーの攻撃がどうだったかと。
いわゆるhttpとかhttpsでリクエストをたくさん投げてくるっていうパターンのやつね。
最近これ増えてるって話だけどこれがどうだったかというのと、もう一つが従来からあるネットワークレイヤーの攻撃ってやつで、これはtcpとかudpとかたくさん大量にデータを送ってくるっていう昔ながらの方法と、この2つちょっと分けて紹介したいなと思います。
まず1個目、アプリケーションレイヤーのhttpのリード数がこのクォーターはどうでしたかということで、2022年の今回第4四半期の結果なんだけども、前のクォーターからすると若干減少してるんだけど、それでも前の年の同じ第4クォーターから比べると約8割ぐらい増加してるということなんで、相変わらず昨年から比べると、
今年は結構やっぱりこのアプリケーションレイヤーのリード数攻撃が多かった年と言ってもいいんじゃないかなという感じで、引き続き多いですねというのが一つあって。
12:09
次にターゲットになった国別でどうかという話なんだけど、国別というのは今回のクラウドフレアのレポートから集計方法が若干変わってて、国別とか業種別の順位とかで出てるんだけども、
例えばそのある国当てのトラフィック、全体のトラフィック、例えば今だったらアプリケーションレイヤーのそのトラフィックのうちどのくらいが攻撃だったかと、何パーセントぐらい攻撃が占めてましたかというので、それが多い順に順位をつけてて、国別で見てここは結構攻撃状況が悪いとか悪くないとか、そういうのは比べられるような比較の仕方をしてるんだけど、
それで見るとね、今回そのアプリケーションレイヤーの攻撃で一番状況が悪かったのはジョージアで、42%って書いてあるんだけど、これはつまりそのクラウドフレア当ての通信でそのジョージアの国全体に向かっているアプリケーションレイヤーのトラフィックのうち、約6割は正常な通信だけど、残り4割は攻撃でしたと言っているので、まあまあひどい状況だなという感じですね。
ここがちょっと突出して多い。あとはベリーズとか28%とかこういう感じなんですけど、ちょっと小さい国が少し多いかなという感じで、推測だけど、もともとこういう国って多分そんなにその正常な通信もそんなに多くないから、そういうところに攻撃が急に来ると、ちょっと割合としては急に大きく見えるのかなと、
今回から集計方法が変わったんでどうかわかんないんで、国別で順位を比較しても多分あんまり意味はないかなと僕は思ってて、というよりも多分、ある程度の期間で変化がどうだったかというのはちょっと見ていく必要が多分あるんじゃないかなと。
消えていくときはずっと多いんだと何かね、これは状況が悪いぞってなるけど、たまに突出して多いっていうのはたまたまその時だけ攻撃が向いたのかなとかっていう感じもありえるんで、順位にそんなに大きな意味はないんじゃないかなと個人的には思います。
ジョージアっていう国の名前自体を聞いた瞬間、ジョージアって州ちゃうの?と思うぐらいですもんね。
何年か前に名前変わったからね。
トルコとかあの辺の場所ですよね、場所で言うとね。
ちなみに日本は入ってたんですか?
全然入ってない。
入ってないんですね、そうなんだ。
さすがにさ、日本はもともとのトラフィックが結構多いから。
そうですよね。
個数がすごい大きい。
そうそう、多少攻撃が増えたぐらいじゃあ順位は上がってこないよね、こういうところではね。
そういう感じです。
ちなみにそのアプリケーションのレイヤーで送信元の方はどうだったかっていうと、
15:02
送信元はこの場合はできないので、クラウドフレアに届いた通信の送信元を国別で見た場合に、
一番攻撃トラフィックが多かったのがアフリカのリビアで20%って書いてあるから、
残り80%は正常な通信としてクラウドフレアに届いてるけども、2割は攻撃でしたと言ってるんだよね。
で、2番目が東モールで18%、だからこの辺もちょっとあんまりメジャーな国ではないところが結構多くて、
これは送信元っていうのはそこに攻撃者がいるというよりもむしろボットネットとかそういうのに感染した送信元の国として、
国全体の中で割合としてちょっと多いということなんで、特にこの国が感染が多いというわけではないと思うけど、
相対的に少し大きく見えると。だからこれも正常な通信が少し小さい国だとこういうふうに大きく数字が出やすいのかなっていう感じだね。
アプリケーションのレイヤーはこんな感じにしておいて、ちょっと今回変化が大きかったのはネットワークレイヤーの方の攻撃なんだけど、
ネットワークレイヤーの方は全体で見るとこれも前のクオータリーは少し減っていて、昨年と比べても13%減少なんで、
全体としてはちょっと数としては少し減っているんだけど、ただ内訳を見るとちょっといろいろ変化があって、
例えばまず攻撃の規模で言うと、だいたいいつもこのDDoSの話をするときって全体で見ると攻撃規模は小さい奴がほとんど9割以上占めていて、
こういう規模の大きい奴って、ごくわずかしかないですよみたいな話をよくするじゃない。
メディアの記事タイトルに出てくる、これまでに見たことないような、ほんの数件みたいな話をネギスさんもされてましたよね。
そうそう、時々すごい大きいの来るけど、そういうのは滅多にないですよって話をしてたんだけど、
このクォーターに限って言うと100GBPS以上っていうかなり規模の大きいやつが、前のクォーターより67%増えたと言っているので、
これは結構ね、ちょっと大きいなというのと、あとそれに加えて攻撃の時間、継続時間。
これもよく言う話で、だいたいこんなの1分とか5分とか、せいぜい10分以下の奴がほとんどですよみたいな話をよくするじゃない。
それは確かにその通りで変わってないんだけど、ただし、このクォーターに限って言うと3時間以上続いたって奴が、前のクォーターより87%増えたって言ってるんで、
攻撃の規模もそうだし、攻撃の時間も長いやつ、規模が大きくて長いやつっていうのが、このクォーターはかなり増えたという感じで、
ちょっとだからネットワークレイヤーの攻撃が少し活発になったと言えるのかなという。
理由は書いてないんでね、何が原因でそうなったかっていうのはちょっとわからないんだけど、
18:02
そっか、そこは気になりますけど。
ちょっと目立ちましたというところが少し。
あれなんですかね、リードス、代行サービス、ブーター、ストレッサーとかの、なんかそういうサブスクの形に変化があったりとかしたんですかね。
そうそう、だからね、普通に考えたら代行サービスってまぁだいたいその1分とかせいぜい5分とかさ、
そういう短い攻撃が、安い攻撃が回数としてはほとんど占めていることが多いので、
だからまあひょっとするとこれはちょっと完全に推測でしかないんだけども、
その規模が大きくて継続時間も長いってやつは代行サービスじゃないのかもしれないね、もしかしたら。
そっちじゃないパターン。
直接ボットネットからやってるとかさ、
あるいは独自のそういう代行サービスを使わなくてもいいような攻撃インフラを持っている人たちが、
特定の攻撃キャンペーンかなんかをやると多分こういう結果になりやすいんだよね、多分。
だと思うんだけどね、じゃないと代行サービス使って数時間とかの攻撃をバンバンやるっていうのは、
まあありえなくはないけどさ、別にお金さえあればね、いくらでもそういうのできるわけだから。
うん、なんだけど、それがこれぐらいの大きな数字との変化になって現れるほどかというと、
よほどのキャンペーンがないとそんなに変化にはならない気もするんで、
今ついさんの言ったようなサブスクとかに変化があってもあり得るけど、
多少1個や2個、もうちょっと多いかもしれないけど、サービスに変化があってもさ、
それがここまでの数字になるかなっていうのはちょっとわかんないんだよね。
こんなに顕著に現れるか一気にっていう感じがするってことですね。
なんとなくね、わかんないけど、こういう変化は少しちょっと注意が必要かもしれないね。
攻撃する側のやり方に変化かとかね、あるいは攻撃のキャンペーンに変化かっていうのが現れてるのかもしれないので、
ここはちょっと注意が必要かなという感じがしました。
あとね、攻撃手法としてはそんなに変化はないんだけど、全体の47%がシンフラットなんで、
相変わらずTCPのシンフラット、シンフラットだから攻撃の送信元のアドレスを査証してバカすか打ちまくるみたいな、
割と単純な攻撃が相変わらず半分ぐらいは占めてると。
古の攻撃ですよね。
そうですね。これ本当に昔からの攻撃手法だよね。いまだに主流なんだよね。
あと、ネットワークレイヤーの攻撃というのはもう一つ、いわゆるUDPのアンプ攻撃っていうのが昔からの定番なわけなんだけど、
KNSとかNTPとかそういうプロトコルを使うやつなんだけど、
このクォーターはちょっと珍しいというか突出してるやつがあって、MEMCACHEDちょっと懐かしい感じがするけど、
ちょっと前にワッとなりましたよね、これも。数年前にね。
何年前だっけ?3、4年前だっけ?なんかGitHubが攻撃されたとか。
そっか、そんな前のあるんですね。
21:00
なんかすごい攻撃規模の大きいやつがあってのが話題になった記憶があるんだけど。
増幅率がかなり高いっていう。
特徴としては増幅率がめちゃくちゃでかいっていう特徴があって、
ただし当時かなり話題になってだいぶ対策されたんで、
多分踏み台の数がそんなに多くないんだと思うんだけど、
たまたまなのか何か理由があるのかちょっとよくわからないんだけど、
このクォーターに限って言うと、前のクォーターよりもこのMEMCACHEDを使ったアンプ攻撃が
1338%増って書いてあるから、十何倍だよね。
すごいな。
なんか急にドカッと増える。これまでちょっと少なかったと思うんで。
もともとの数が少なかった。
増えたっていう風に見えるんだけど、
だからおそらくだけど何かしら特定の攻撃者とかがちょっとMEMCACHEDを集中して使ったとか、
なんかそういう類かもしれないね。
ちょっとその答え合わせができるようなデータを持ってないんでわかんないんだけど、
何か急にこのクォーターはMEMCACHEDを使った攻撃が増えましたって言ってる。
なので、消え尽くしてずっと多いやつってのは何かあるんだろうけど、
それ以外にこういうたまにポンと増えるってやつは、
そんなに影響がない場合もあるけど、
ちょっと攻撃の手法の変化としては注意が必要かもしれないので、
こういうのはちょっと気をつけた方がいいかなと。
そういうような理由でSNMPも700%クォーターで比べて増えたって言ってる。
これも何かちょっと理由があるのかどうかわからないんだが。
なんかこうポッドで感がありますけどねこの2つ。
若干ね。
なんか常にある感じはしないというかね。
相変わらずDNSとかそういうのは数は下手とはいえ結構まだ多いみたいなのは数字で見えてるんだけど、
DNSのアップって今回も割合で2番目で多いから、
そういうずっと多いやつってのもあれば一方でこういうなんか突然ボッと増えるみたいなね。
こういうのもあるんで。
ちょっとこの辺も何が理由かわからないんだけど、
少し掘り下げて見た方がいいかもしれないね。
そういう手法では少しそういう変化がありましたという感じです。
あと最後にネットワークレイヤーのターゲットの国ね。
送信元は国別で見るのって難しくて、
クラウドフレアは自分たちのデータセンター別でいろいろ調べたりしてるんだけど、
ちょっとこっちは割愛するけど、
ターゲットの国がどこが多かったかというのは比較してるんだけど、
1位の国はこれは想像に難くないんだけど、
中国が一番多くて、
ただね数字が結構めちゃくちゃでかくて93%って書いてあるんだけど、
つまりこれどういうことかっていうと、
クラウドフレアに対してネットワークレイヤーの攻撃が行われて、
中国に向けて行われた攻撃というのが、
中国に向けた正常なトラフィックが7%で、
93%は攻撃ってことなんで、ほとんど攻撃じゃんっていう。
限りなく黒に近い黒みたいな感じになってますね。
だから中国ってね、
24:00
クラウドフレアの中でどれくらいトラフィックがあるかは知らないけど、
でも中国って相当な大国なので、
それなりにそのトラフィック大きいと思うんだけど、
正常なトラフィックを追い隠すぐらいの攻撃トラフィックが、
中国には向いているという。
そういう意味で、ただね中国だけが特別ってわけでもなくて、
他にもリトアニアだとかフィンランドだとか、
上位の国って8割7割とかっていうパーセントが出てるんで、
そういう国はこの期間ある程度集中して攻撃が発生したという意味なんだよね。
その国の正常なトラフィックを上回るだけの攻撃トラフィックが、
その期間かなり集中してありましたということなんで、
だからこれも国の順位をあまり比較してもそんなに多分意味はないんだけど、
その国の攻撃の状況が悪化したか良くなったかみたいなのは、
ある程度期間を通じて見ていく必要があるのかなと。
その同じ国の前とかと比べていった割合っていうのを見るのにはいいですよね。
そうそう、ライクウォーターではこれがどう変化したかみたいなのを見ていく必要があるかなと思うんだけど、
でもそうは言っても9割は予想外に多いなと思って。
確かにそうですよね。
びっくりした。ただびっくりしたんだけど、前もここのポートキャストに言ったかもしれないけど、
僕結構IoT系のボットネットを普段から調べていて、
それがどれくらいディードス攻撃してるか集計したりいろいろ調べたりしてるんだけど、
ほとんどが中国とかアメリカ、この2大国に向く攻撃っていうのはめちゃくちゃ多いんだよね。
でもこれはどのボットネットもだいたい共通して言えてるんで、
中にはその前調べてたやつとかほとんどの攻撃が全部中国向いてるみたいなそういうボットネットも中にはあったりとかするんで、
攻撃を受けやすい国ではあると思うんだけど、
にしてもですよね。
にしてもね、クラウドフレアっていう一つの事業者だというところはさっぴいたとしても、
まあでも正常なトラフィックが7%しかないっていうのは相当だよね。
どうなんですかね、このほんまにうちめっちゃやられるんですみたいなところはクラウドフレアに入るのに偏ってたりするのかな。
それはあるかもしれない。
クラウドフレアを利用するっていろいろ理由はあるけど、一つにはそういう攻撃されやすいところが、
それを防ぐためにCDNを利用するっていうそういう側面はあるじゃない。
これは多分クラウドフレアに限らず、赤前だとか他のCDN事業者の場合も多分そうだと思うんだけど、
そういう集中して結構トラフィックが来るとか、正常なトラフィックも多いとかっていうね、
そういうところがトラフィックを捌くためにこういうCDNのサービスを使うっていうのが、
まあ多分そうでないところに比べて偏って多いっていうのはあると思うんで、
まあそれも少し傾向に現れているのかもしれないよね。
27:00
それは少し割引で考えなければいけないかもしれないけど。
中国の中にある全部のコンピューターで93%ってわけじゃないですもんね。
そこはねちょっと勘違いしちゃいけないんだけど、
クラウドフレアに守ってもらっている中国のサイトっていうのが取り分け攻撃を受けやすいサイトが多いのかもしれないね。
そういうことを表しているのかもしれない。
にしてもね、にしても9割超えてるのかっていう感じで。
そうですね。
だから何だろうな、そういうところは繰り返し集中して攻撃を受けやすいというか、
しつこく狙われるところが多いのかもしれないし、
あとたまたまこのクォーターだけ多いという国がもしあったとすると、
その国に対してはこの期間そういう大きな攻撃キャンペーンがあったとかね、
そういうのがあると、
政治的な件とかね、何かと関係するかもしれない。
割合がひょっとしたら高くなるかもしれないね。
それにしても政治のトラフィックが上回っちゃうのかっていうのはね、
ネットワークレイヤーってもともとボリュームたくさんトラフィックを集中させるという攻撃だから、
そういうのに見たらそれはそうかもしれないけど、
でもね、ちょっとびっくりって感じ。
そうですよね。面白いな、こういうの。
面白い。
ちょっと今紹介したのは全体の一部だけど、
他にも今日紹介しなかったけど、業種別でどうだったかとか、
いろいろ数字がたくさん載っているので、
あとランサムドスってやつ?脅迫型のドスとか。
はいはいはい。
相変わらずまだまだ続いてますねとかね、
いろいろたくさん面白いデータが載っているので、
たまにこういうレポートを眺めてみると傾向が分かったり、
今の状況が把握できるのでいいかなと思うので、おすすめです。
自分の知識のブラッシュアップにちょうどいいですよね、こういうのね。
そうだね。
そういう状況にちょっと変わってきているのかとか、
逆に一緒なんやこの辺はなとかっていうのを見比べてみるといいかもしれないですね。
そうね。変化に気づけるっていうのはなかなかいい点だよね、こういうレポートのね。
助かりますね、こういうのは。
ありがとうございます。
はい。
じゃあ次は僕いきましょうかね。
お願いします。
はい。
今日僕は紹介するものというよりは、
自分で集計したものをちょっと報告をさせていただこうかなと思っているんですけれども、
はいはい。
2023年に入ったということで、
僕ずっとランサムのリークの数とか国別とか、
国というか被害組織の所在地国とか業種とかを集計しているじゃないですか。
あれってどれくらいもう続いてるんだっけ?2年くらい続いてる?
もうね、今度の4月で丸3年です。
あ、そうなんだ。すごいな。やっぱ継続はすごいね。
いやーそうなんですよね。もうずっとやってて、もう死ぬまでやろうかなと思ったところもありますね。
30:02
言いましたね、今。
ランサムの、ランサムジェアンの大化みたいなのをやってしまおうかなみたいな。
いいね。
死んだら、家とかの遺廃の開明に入れようかなみたいなところぐらい。
石碑が立つかもしれないよ。
いや、適定はいいぜ。かもしんない。かもしんないですね。
それをですね、2020年のも全部集計結果が出揃ったということで、
その内容がどうだったのかっていう。2022年。
あ、1年間をと。
はいはい。
そうそうそうそう。
興味深いねそれは。
記録しているランサムグループってのは現在15グループになるんですけども、
2020年からつけ始めた頃からだと21グループで、
例えばメイズとかネットウォーカーとかドッペルペイマーとか、
コンティアンって最近、去年ですけど、
いなくなるグループもいるじゃないですか。その名前がなくなっちゃうというか。
そうですね。
そういうのをさっぴいていって、15グループっていうのをカウントしましたっていうことですね。
で、全体の僕が見ているリークの数なので被害件数ではないっていうのはすごく重要なポイントではあるんですけれども、
年間の僕が見たこのリークの集計は1860件ありました。
で、これは2021年は1522件。
で、2020年は680件っていう感じなので、
順調にっていう言い方をするとあれかもしれないですけど、増えてはいってるなっていうところですね。
2020年のトピックっていくつかあって、上げだしたらなかなかキリないんですけども、
さっき言ったみたいなコンティが終了しましたとか、
ロックビットが3.0になってアフィリエイトのルールが更新されたりみたいなものがありつつ、
Linuxに対応しているランサムも増えてきてますみたいないろいろトピックがあってですね。
で、大きなところが止まったとかっていうのはこれまでもあったんですけど、
最近の傾向としては、このポッドキャストでも言ってきてると思いますけど、
ラースがポツポツ代償増えて、数が増えたなっていう、
なかなか見るのもしんどいなみたいな状況になってきてるんですね。
僕も年末ぐらいにちょっと年末の休みの時間みたいなのを生かして、
3つランサムグループを過去まで遡って集計し始めたりみたいなことをしてたんですけど、
まあ結構しんどいぐらいにはなってきてるんですよ、数が。
で、そういった数を見ていくっていうことをすると、
2021年とかと比較をしてみようというふうに思って、
先ほど言った年の合計数1860件っていうのは前年比で1.2倍になってるんですね。
で、2020年から比べたら2.7倍ではあるんですけど、
2020年から21年っていうのは2.2倍になってたんですよ。
なので今回1.2倍っていうのは、
ランサムランサムって言ってる割には、
33:03
ちょっと鈍化してきてる感がちょっとあるのかなっていう気はしてるんですよね。
もちろん僕が見てる範囲とか記録してる範囲外のものももちろんあるので、
これで一概には言えないんですけど、
この範囲で見ても結構主要なやつは見るようにしてるんで、
ちょっと鈍化してきているのかなーなんていうふうな気はしましたね。
なんかあれだよね、2021年に結構大きな事件が立て続けに起きて、
ちょっと厳しくなって多少いろいろ変化があったりとかしてっていうのが2022年だから、
ちょっと伸びが少し鈍ったとしてもおかしくはないよね。
なんかそういう感じでちょっとね。
なるほどね。数字でもそれから現れてるんだね。
せっかく一覧というか表にしてあるので、
集計結果とかを。
平均とかも出してみようとかと思ってやってみたんです。
年間のトータルの平均と月ごとの平均みたいなものも出してみたんですよね。
月ごとの平均というのは総数÷観測されているランサムグループ数というふうなもので出してみたんですけど、
これですね、総数は上がってるんですけど月平均とかにしてみると、
2020年も2021年も2022年もそんなにドカッと増えたりドカッと減ったりってあんましてないんですよね。
その平均が何を表すかって話もあるんですけど、数で割ってるだけなんで。
そんなになんか順々にどんどん増えてるなっていう感じではないですね。
やっぱり消えては新しいのが出てきて、大きいのが消えて、小粒なのが増えてみたいなものがあったりとかするんで、
コンティがいなくなった分、他の3つのグループがそれと同じぐらいの数字支えてるみたいな感じになってるような感じでした。
で、所在地国と業種っていうふうなところなんですけど、ここもちょっと変化があって、
全体の件数で言うと昨年と比べて1.2倍に増えてますっていうふうに言いましたけれども、
アメリカって一番これまで多かったじゃないですか。
そうですね。
でもアメリカはですね、件数で言うと去年が731件で全体の48%だったんですよ。
それが今年は733件で2件しか増えてなくて、全体の割合で見ると39%にも減ってるんです。
なるほど。他が増えたってことか。
そう。その分、2位以降の国っていうのはそれぞれがちょっとずつちょっとずつ増えてるっていう風な感じで、
あとは国の数っていうのも、去年は80、おととしですね、2021年は85カ国だったんですが、
2022年は94カ国に国数も増えてるっていう感じでした。
前についさんが紹介してくれた別のレポートでも、会社の規模的にちょっと小さめのところにも増えてきたりとか、
36:04
そういう傾向が少し見えるなとか社員数とかそういうのを見てもね。
小粒化っていうかね。
そういうのにちょっと悪い意味でそのが広がってきちゃってるなみたいな、そんな話をしてたけど、
そういうのが国とか地域別で見ても、なんかそういうバラけ具合っていうか、
今までみたいなアメリカとかヨーロッパ集中というよりも少しバラけるっていうのは、
仕方がないかなーって言うけど、あんまり良い方向ではないかもしれないけどさ、
被害が拡大してる感じなんだね。だからね。
ちなみにその中で日本ってどれぐらいだったのってことなんですけど、
2021年は13件で14位だったんですね。
で、2022年はちょっと19件か、
22件になって順位は同じ14位でした。
ただ、件数としては1.7倍増なので、全体が1.2倍増えて日本は1.7倍なので、
全体から見ると増え方はちょっとだけ急かなっていう感じでしたね。
あれではね、一般のニュース報道とか見てもやっぱり去年はその前よりもなんか増えたなーって感覚はあるよね。
そうですね。
日本の組織っていうふうなターゲットにしてきたランサムグループにも偏りありますけどね。
ロックビットとかみたいに。
まだまだそういう、全部のいろんなランサムグループが他の国とかヨーロッパ諸国とかアメリカと同じように、
どのグループにも日本がポコポコ出てくるっていう風な感じでは、昔と比べればありますけど、まだそこまでではないかなっていう印象はあります。
なるほどね。
前にこのポッドキャストで紹介しましたけど、
どなたかが情報をくださいまして、南半球の方に攻撃がみたいな傾向が出つつあるんじゃないかみたいな記事を紹介していただいたのをここで多分言ったと思うんですけれども、
せっかくなんでですね、国別集計みたいなのをしてるんで、北半球と南半球の割合っていうのを出してみました。
いいですね。
2021年は北半球の割合が95.5%。
南半球が残りの4.5%だったんですね。
2022年ってどれだけ増えたんだろうかと思って見てみたらですね、そんなに大きくは変わっていなくて、北半球が95.1%。
南半球は残りの4.9%なので、そんなに大きな変化はないというか、件数で言うと68件が91件になったっていう風なところなんですが、
北半球の件数を見ると去年から比べて全体と同じ1.2倍。
39:00
南半球は1.3倍なので、なんかめちゃめちゃやられてるなっていう風な感じはないけれども、
これねちょっと難しいなってこれ、そんなまだまだなんやって一瞬思ったんですけど、
これリークの件数なんで、
南半球ってセキュリティ予算とかがその避けないようなところが多かったりする。
なので狙われてみたいな見立てがあったと思うんですよ。
でもなんでそれリークの数もそれに伴って増えそうなもんかなって思ったんですけど、
よくよく考えてみたらセキュリティの予算にお金避けないんやったら、
あの身の白金を払うっていう風なこともできひんのかなっていうことを考えると、
回り回ってランサムの攻撃者からすると、
リークしようが何しようが収益性が低いってみなされる場合もあるなってちょっと思ったんですよね。
結局払ってくれないから攻撃するのやめようとかっていうのになっていくのかもしれないなとは思いましたけど、
なのでこれは増えるかどうか、被害はもしかしたら増えるかもしれないです。
僕と違うアプローチで見ているところだと増えるかもしれないですけど、
ちょっとリークっていうところではあんまり影響が出てきてないかなっていう風に見えました。
あと業種に関して、これよくね、こういう事件事故とかがあると、
うちの同じ業界はどれぐらいなんだみたいなものがあったりしますけれども、
結構話題になりますね。
そうそう。記事タイトルとかにもなったりするじゃないですか。
病院が狙われてるとかね。
そうそう。医療業界側とかっていうのは出ますよね。記事で。
そうなんですよ。見てみると業種に関して言うと、
今まで通り1位は不動で建設土木が1位です。
そこは変わらずなんですね。
114件ですね。っていう風なものがあったんですが、
114件って全体の数が1860件から考えると、
これまでと同じでそんなに突出しているわけじゃなくて、
建設土木がめっちゃ狙われるから気を付けてくださいって言えるようなものではないかなって。
全体でと7%ちょいぐらいなんで。
ただ、それよりも下の2位以下っていうのにちょっと変化がありました。
2022年は他の業種っていうのが件数を増やしてきている感じがあったので、
ちょっと前までは、例えば2021年だったら1位は98件で、
2位のIT情報サービスっていうジャンルが65件って頭2つ分くらいだったんですよ。
差が。
それが今年は2位が教育の100件ってなってきているので、
結構下が上がってきているかな。件数っていう。
全体で見れば、やっぱりどこに来てもおかしくないっていうのは、
これまでと同じだと思います。
さっき言った2位以下ってとこなんですけど、
教育の件数っていうのが去年が40件だったのが、
今年100件、あ、去年か。
21年が40件が22年で100件になって2.5倍増えてて、
業種で言うと9位から2位に上がっているんですよね。
同じく病院医療っていうふうなジャンルが、
42:01
去年は13、え、ごめんなさい。
2021年は13位とランク外。
僕の中でのランク外ですね。
10位よりも外っていう意味でランク外だったんですけど、
それが2倍ぐらい増えて、
13位から6位に上がりました。
じゃあこれ、教育系と病院ってめっちゃヤバいん?
っていうふうに思うかもしれないですけど、
これは、バイスソサイティっていうランサムグループが、
かなり病院と教育系に行くんですよ。
そう、なので一つのランサムのこのグループが、
集中的にやって増えてしまうっていうふうなものがあるので、
ニュースとかでも何々系がすごく狙われてるとかっていうふうなものを見ても、
いやそれランサムグループ全体で見たら偏りあるんちゃうんっていう見方はしておいたほうがいいんじゃないかなとは思いますね。
はい。ということで、以上なんですけれども、
ランサムグループを全部網羅しているわけではないんですけど、
こうやって集計していると、
自分の感覚的にこうやろうなって思っていることと、
数字っていうのはちょっと結果が違ってくるなっていうのは思いました。
はい。
やっぱり集計してちゃんと数字で見るっていうのって、
僕あんま得意じゃないですけど、
こうやってみるっていうのは1年に1回でもやってみるって大事かななんて、
いうふうには思いましたね。
まあその平均とかをして見てみると、
やっぱり活発なグループっていうか件数の多いグループがポンといなくなったりとかしても、
結局他のグループがポツポツポツと出てきて埋めるような形になっているので、
数としてはそんなに増えも減りもっていうか、
ちょっとずつ増えていく形になってきてるなっていうのを見て、
鈍化してるなってことを管理すると、
アフィリエイトの総数、実際に攻撃するような人たちっていうのの数は、
ちょっと飽和しつつあるような感じもするのかなっていう気はしましたね。
結局アフィリエイトはいろんなラースを渡り歩くっていうふうな状況っていうのが、
この数字にもちょっと出てきてるんかなっていうふうに思いました。
なので冒頭でもネギスさんが言ってくれたみたいに、
今年の4月で本当に本腰を入れたランサムウォッチっていうのは丸3年になるんで、
今後どうしていこうかなとかっていうふうにも考えてるんですけど、
こういう変化とかを捉えていくっていうところで、
すごくまだまだ興味深くかつ無視できないジャンルだなっていうふうに思ってるので、
まだもうちょっと、もうちょっとだけ続けようかなっていう。
それずっと続くフラグですね。
そんな気持ちにちょっとなってですね、
しんどいなとかって思う時もあるし、数増えてるから、
まあまあ負担になってはいるんですけど、
大変ですよね。
自分のそういう関心だとか伝えないとなって思うことの気持ちの方が、
まだまだちょっと大きいなっていうこともこの集計をして感じたということでございます。
今の話でさ、一つは伸びが全体としてはやや鈍化してるっていう、
一言で言うとそういう傾向だけど、やっぱりまだ減ってないんだね。
45:03
そうですね。
それがちょっと一つ、やっぱりわずかずつでは減らせる方向にまだ向いてないっていうかさ、
まだ増加傾向にあるっていうところがやっぱりやや気になる。
まあ全体はわかんないけどね、今回そのリーク件数で調べてるんでわかんないけど、
まあでもその割合がそんなに変わってないとすると、
リークが減ってなければ多分全体としても減ってないんじゃないかなという。
おそらくそこにはある程度相関ありそうですからね。
だとすると、やっぱりね、さっきの業種の変化だったり、狙われてる組織の規模の小粒化だったり、
国としてのいろいろなばらけ具合だったり、いろいろ変化は出てるけども、
でも全体としてはまだ減ってないっていうのはやっぱりちょっとね、
もうちょっと我々がんばんないとな、世界的にいろいろがんばんないとなっていうのが
感じたのが一つと、あともう一つ、最後の方の話でさ、
特定の業種がちょっと増えてるけど、実はこれはある特定の攻撃者グループが狙ってたからだ、みたいな話があったじゃない。
逆に言うと、そういうところってのは対策としてもさ、ある程度そういうグループに少し絞った対策というか、
自分たちはこの攻撃者グループに狙われる可能性が他に比べると比較的高いということが言えると思うんで、
逆に言うとそういう攻撃者グループの動向はより注意した方がいいかなっていう。
例えばどういう脆弱性を好んで使ってくるとか、中に入った時にこんなツールを展開するからそれで見つけようよとかいうアプローチとかってことですよね。
そういう見方は逆に言うとできるかなという気がして、
特に去年は一昨年からのいろんな事件を受けてっていうのもあると思うんだけど、
アメリカのCISAなんかは特定のランサムウェアの攻撃者グループに特化したアラートを結構頻繁に出してて、
何種類?集計してないけど多分10種類近く出してると思うんだけど。
つい最近もプレイランサムの注意喚起してましたよね。
そういう感じで特定の攻撃者が今こういう活動をしてます、脆弱性はこういうのを使ってますとかさ、
結構詳しく攻撃手法だとか何とか分析した注意喚起のアラートを出しているので、
そういうのも少し人と参考にはなるかなという風な気がしていて、
例えば自分たちの業種が特定の攻撃者グループに狙われてますっていうのが傾向として出てるんだとしたら、
そういうところをちょっと注意するとかさ、そういう使い方もできるかなっていう。
そうですね。今ねねぎさんがそれ言ってくれたんで、これも僕の推測になってしまう。裏付けがないのでちょっとあれなんですけど、
さっき言ったバイスソサイティは教育と病院系っていう風に言ったじゃないですか。
48:02
これって結構なんか教育系に強い、医療系に強いみたいなSIとかそういうシステム導入しているところの傾向とかもあって、
展開しやすいんかなっていう気はちょっとするんですよ。
なんか前にそういう話してたよね。
同じようなものを使いがちに、例えばアメリカの教育機関によく使われているものとかね。
イニシャルアクセスだけじゃなくて、中に入った時に攻撃を広げる時に有利な情報とかっていうのを収集すればあるのかなっていう。
1個うまくいけば複数いけるみたいな、メソッドが作られているのかもしれないなとかって思ったりもしましたね。
それはね、攻撃者グループとかアフィリエイトによるかもしれないけど、自分たちの得意なところってのは当然あってもおかしくないもんね。
そういう相性みたいなのがあるかもね。
まだまだ目は離せないかなっていう。
そうですね。
まだ生活の一部としてやろうと思います。
引き続きよろしくお願いします。
こちらこそお願いします。
じゃあ今日の最後はカンゴさんですね。
私も集計ネタで続くんですけども、2022年の脆弱性の状況、CVEが裁判されているものですね。
それの状況について今日はちょっと取り上げさせていただきたいなと思ってまして、
2022年のCVEのデータレビューっていうタイトルで、
Jerry Gamblinさんっていうケナーセキュリティっていう会社、
シスコに、あれは一昨年かな?
買収された会社があって、そこのセキュリティのリサーチをされている方が状況をまとめた記事っていうのを公開されていてですね、
今日はちょっとその記事を参照しながら状況をちょっと振り返ってみたいなと思ってるんですけども、
だいたいCVEが振られている脆弱性、年々めちゃくちゃ増えてるっていうざっくりとした印象はあったんですけど、
2022年は25,093件が裁判というか脆弱性に割り当てられていたと。
単純計算で1日あたり68件ちょっとで、
いろいろその数字でこの25,000件っていうのをいろいろ分析されてるんですけども、
例えば月別で見ると12月が最も多いと。
だいたい平均して2,000件前後なんですけども、
12月が2,400件で全体の10%近い数を占めていたりとか、
あと曜日別で見ると、これはなんとなくわかるんですけど火曜日が一番多いと。
マイクロソフトであったりとかパッチチューズでっていう形で結構火曜日に集中して脆弱性情報を出される組織が、
マイクロソフトに限らずいろんなところが結構タイミング合わせて出していたりもするので、
51:02
その辺の影響があるのかなというのと、その次に多い曜日が金曜日でして、火曜日が5,414件だったんですけど、
金曜日は5,231件、割合的にはそんな変わらない2割ぐらい金曜日に出ているということで、
これ日本に住んでいる立場からするとあんまり嬉しい数字じゃないなっていうのはあって、
日付がずれると土曜日に来るっていう話なので、あんまり嬉しい数字じゃないなというところではあるんですけど、
そういう感じでしたと。あと土日も数こそ少ないんですけど500件いかないぐらいなんですけど、公開はされていると。
ちょっとどんなのが公開されているのかなってちょっとわかんないですけども、
まあ曜日的にはそんな感じの状況だったということで、25,000件というのが2021年比でどれぐらい増えているかっていうと、
24.51%なので2021年が大体2万件ぐらいだったので、2割ちょっと増えているというところで、
CVEが振られている全ての脆弱性のうち13%が2022年に振られたものを占めているというと、
やっぱりそれなりに多いなっていう印象を持つんですよね。増え方もやっぱり突出しているなっていうのは、
ちょっと経緯は正直記事中でも触れられていなかったので、ちょっと私もなんでだろうなと思ったんですけども、
増え方としては2021年から2022年の増え方っていうのがやっぱり結構多いというところではあってですね。
割合で見たら2017年から18年のタイミングも割合だけで見ると結構多いんですけども、
多分これは番号体系がちょっと前なんですけど2014年に変更されて1万桁対応とかっていうのが回り始めてもしかしたら
ドカッと増えるようになってきたのかなみたいな、なんかそんなちょっと素人的な印象ではあるんですが、
かなり、なので2022年はCVEが振られている脆弱性の数っていうのが絶対数として見ても結構多いという状況ではあってですね。
でやっぱり続いて気になるのは、そのCVEが振られている脆弱性のCVSSスコアが、
CVSSのスコアがどんなもんだったのかっていうのがやっぱり気になるところではあって、平均すると7.19という数字になったそうです。
これはどうなんですかね、高いと見るか低いと見るかというところではあるんですけど、
結構妙な数字の…
そうなんですよね。割合としては6とか7とかっていう数字以上のものに結構寄ってる感じは見えてはしていて、
あとフルスコアというか10が振られるものっていうのは48件あったそうです。
54:05
48件ですね。25000中の48という感じなので、10はそういう意味では結構希少な感じではあるというところであって、
あとどうでもいいんですけど、最低の数字は2だったそうです。
そうですか。1はなかったんですね。
そうですね。他にもこんな切り口でCPEとかあるいはCNA、CVEを裁判する機関別の数字であるとか、
あとはCWEって共通脆弱性タイプっていうんですかね、それ別での分析もされておられて、
一番多いのはCWE79っていう、これ数字だけ言われてもなんつーやって感じで、
脆弱性マニアな方しか多分分かんないのかもしれないですけど、
これクロスサイトスクリプティングの脆弱性ですね。
これが3230件全体の12%を占めていたと。
続いて多いのは割り当てなしというものだそうで。
それちょっとややこしいです。
そうなんですよ。CWEが必ずしも割り当てられているわけではなくて、
それがノットアサインになっているものっていうのが1割ぐらいあると。
その次多いのがCWE787、これは境界外の書き込みが行われてしまうという不具合。
CWE89、これはSQL Injectionですね。っていう感じで続いていると。
これ今紹介したクロスサイトと境界外書き込み、
あとSQL Injectionはよくよく思い返すとMiterがトップ25?
ソフトウェアの最も危険な脆弱性トップ25みたいなのを確か出していたと思うんですけど、
あれのトップ3に該当するCWEだったということではあるので、
傾向的にはやっぱりそういった近い状況だったんだなというそんな感じではありました。
以上で記事のCWEのデータリビューっていうのはざっくりと今ご紹介させてあげたんですけども、
気になる流れ的にはやっぱり我々大好きなKEV、KEVC。
大好き、大好き。
シータが公開している、公開されている脆弱性の悪用カタログ、
記事の脆弱性の悪用カタログっていうのがありますけど、
これが2022年どうだったのかっていうのはやっぱりこの流れからするとやっぱり知りたいなと個人的には思ったので、
ちょっと簡単に計算してみたんですけど、
もともとの取り組み自体2021年の、あれは秋とかですよね。
11月でしたっけ?
11月、11月くらいですね。
なのでまだそんなに傾向っていうのを掴む上ではあんまりまだ期間が経ってないので、
57:01
そこをちょっと踏まえた上で参考的にっていう話ではあるんですが、
今KEVに載ってる脆弱性の数っていうのが数えると870件あってですね。
そのうち2022年にカタログに追加されたのが557件でしたと。
全体の6割強が去年カタログに追加されてますよと。
その中でKEVのカタログをご覧になっていらっしゃる方は分かると思うんですけど、
必ずしもその年に公表された脆弱性だけが載るわけではなくて、
過去に報告されていた脆弱性などもカタログにはどんどん載ってるので、
このうちCVE-2022-というざっくりと2022年に裁判されただろうと思わしきものについては94件。
94件追加されていたという感じでしたので、
なので870件、2020年に絞れば557件だったので、
全体の5分の1、6分の1ぐらいが2022年の脆弱性裁判されたものだったというところで、
あといろいろ議論はあるんですけど、
CVSS、このKEVに追加されているもので、
ベースのスコアではあるんですけど、
そのスコアの状況がどうだったのかなというのも一応見てみたんですが、
さっき言ったフルスコアっていうんですかね、
10がついているもの。
去年の20591だと48件あったって話でしたけど、
KEVのカタログですと10がついているものっていうのは9件あったと。
あとは7以上のものとかっていうので含めると、
ほぼほぼ9割ぐらいが7以上っていう感じですかね。
なので比較的CVSSのスコアがハイとかクリティカルなものっていうのが、
やはりKVCにも追加されているっていう、そういった状況ではありました。
プロダクトタイプ、これはKVCのカタログになってないんですけど、
私の中でざっくりとこの追加されている製品のジャンルっていうので見ていくと、
どんなものかなって。
もちろん一番多いのはマイクロソフトのWindowsの製品なんですけども、
この次で言うと、Windowsとかそういった区別で言うと一番多いのがマイクロソフトのWindowsなんですけども、
サーバーで動かせるようなそういったソフトウェアっていう形で見ていくと、
これが一番多いと。
サーバー上で動作させるものが一番多くて、
これが4割近い数を占めていて、
この辺も単純にサーバーとかエンドポイントとかっていう比較は難しいのかなと思うんですけども、
やっぱりサーバー系のソフトウェアっていうのも、
KVCのカタログに追加されていることっていうのは傾向として非常に多いのかなっていうのは見ていて思いました。
1:00:01
ちょっとざっとご紹介したんですが、
今お話した25,000っていう数が結構大きいなっていう数とともに、
ここから具体的に優先して対応しなきゃいけないものっていうのが、
探す作業っていうのがやっぱりしんどいなっていうか、
これ現実的にできるのかなっていうのは改めて思うところであって、
KVCで比較すれば2022が降ってあったのは100件いかないぐらいだったんで、
25,000円から例えばこの100件探すとかっていうのは、
自分の力だけでやるっていうのは結構厳しいよなとかいうふうには見ていて思ったところと、
あとちょっと脱線したんですけど、
日本の悪用の状況とかっていうのはどうかなっていうのもやっぱり気になりはしつつ、
これ結構2022年に悪用が確認された脆弱性で、
日本の状況がどうかみたいなのを確認する手段ってなかなか難しいなと思いつつも、
一番データまとまってそうなところで言うとJVNっていうんですかね、
あちらにデータベースっていう形でまとまっていて、
ただ残念ながらKVCのように悪用とかっていう形で検索フラグを立てられる感じではないので、
例えば本、脆弱性を悪用した攻撃がすでに確認されているとのことですっていうのが、
はいはい、入っているもので。
ページ中に入っているので、データベースを検索、そのキーワードで検索すると、
それらしきリストは出てくるという感じかなと。
日本だと例えば去年だとBingo CMSにおける認証回避の脆弱性とか、
あとはDVRの脆弱性なんかはそういう風なJVNのサイト上に掲載されていたという感じではあったので、
さっきCNAで別で集計されてるっていう話したんですけど、
残念ながらトップ20のCNAっていう中には日本の組織は残念ながら入ってなかったので、
この辺ちょっと日本の存在感を出すためにも、
私たち含めてもうちょっと脆弱性の報告とかっていうのもしっかりやっていかなきゃいけないのかなっていうのは挟めて思いました。
CNAってCVEのレコードを裁判できるのを承認されているグループのことでしたっけ?
そうですね。日本だとルートでJPサートが立てまして、
他にぶら下がる形で日本の会社もいくつかあると思うんですけど。
いやでもなんか聞けば聞くほど大変さっていうのはあるんで、
うまく工夫していかないとなっていうところと、
検索の仕方ちょっと面白かったな。
他にないなって思って、
是非、あれでの方にJVN関係者の方がおられたら、
是非JVNの検索画面に悪用の確認ありとかっていうのの検索、
絞り込みができるとめっちゃいいなとかっていうふうには思ったんですけど、
1:03:00
それをつけていただけたらめっちゃやりやすいですよね。
大きな一歩ですよね、それね。
そうですね。
前半のCVEのところ、
単純に今年じゃないか、去年か2022年、
伸び率がすごく大きいんだけど、
その一つには脆弱性が単純に多くなったっていうのもあるとは思うんだけど、
一方でこの記事の中では出てないことで、
もともと脆弱性って、そのCVEがついていない脆弱性もかなり割合としてはあって、
以前はね、こういうのを調べている研究って結構過去にいくつかあるんだけど、
以前のデータだと例えば半分ぐらいは番号がついていないやつがあったりとか、
あとアメリカのNVDのデータベースとチャイナのCNVDのデータベースを比較して、
だいたいチャイナの方が多いんだけど、
アメリカの方では登録されていない、中国でしか登録されていないような脆弱性が結構たくさんあったりとか、
そういうのがあって、そのCVEがちゃんとついて識別されていない脆弱性がもともとめちゃくちゃいっぱいあったっていう現実があって、
おそらくだけど、ちょっと今ここでちゃんと調べてないけど、去年に関して言うと、
CVEがついていない脆弱性の割合が多分減ってるんだよね。
なので、そういう意味では、もともと数としては結構あったんだけど、
ちゃんとCVEとしてアサインされるようになったっていうふうに見ればいいことかもしれない。
そうですね、その絵であれば結構いい流れではありますよね。
私、さっき後半紹介してくれたKEVも、そもそもCVEがアサインされてないやつは対象にならないから、
そうなんですよ。
そういう意味で、ちゃんと番号がついてデータベースに乗っかってくると、いろいろ動けるっていうのもあるので、
単純に数が多くてやばいっていう見方もあるし、
ちゃんと目に見えるようになったっていうふうに見れば、そんなに悪いことでもないかなという気がちょっとしたね。
あともしかしたらCNAとかも増えてるんで、つけやすくなったっていうのもあるかもしれないし、
ただ逆に言うと、最近時々見かけるけど、これ本当に脆弱性として識別されてるけど、
これ脆弱性なんだっけ?みたいなやつとか、
あとその前に別のところでも喋ったんだけど、CVSSのスコアも明らかに高くておかしくないとか、
CVEがついてる脆弱性の質的な問題っていうのはちょっと見え隠れしてる。
数が増えてきたのと一方で、逆に本当にこの情報正しいんだっけ?って思うものも中にはあったりするっていうのはあるので、
そのあたりの見極めがもしかしたら前よりも難しくなってきてるかもしれないね。
そういうのも含めて、さっき丹後さんが言ってたけど、取り味をどうするか問題っていうのは多分以前よりもさらに難しくなってて、
この2万5000件の中から、例えばKEVでは100件ぐらいしかないものとか、
本当に対応すべきものをどう絞り込んで、そこにリソースを集中するかっていうのを、
一歩それ間違えちゃうと、見逃しちゃって攻撃されちゃうってことになりかねないんで、
1:06:05
そういう混乱さは以前よりも増している感じはするよね、こういう数字から見てもね。
多分だからその一つの今後のトレンドとして、こういう脆弱性管理とか取り味とかを、
効率よく的確に進めるのを支援するような製品サービスっていうのは伸びてくる気がするな。
確かにそうですね、全部の脆弱性情報だけを見てやるっていうのは、
もうこの状況だけ見るとあんまり現実的じゃないなっていうのは。
これがもしかしたらここをしばらくのトレンドとして続くんだとすると、
それをじゃあいかにしてちゃんとやるかっていうのを考えた取り組み、
その独自で各社いろいろやってると思うんだけど、それをサポートするような、
例えば製品とかサービスとかが伸びてくるっていうか、そういうのが求められてる気がするね。
だしそれがないと多分できないよね、これね。
本当そう思いました。
そういう現実から目を背けてはいけないなっていうのを改めて感じましたね。
厳しいね、なかなかね。
工夫と効率化みたいなものが必要な。
はい、ということで今日もセキュリティのお話を3つしてきたんで、
最後にですね、おすすめのアレということでちょっと紹介したいんですけれども、
これはいろんなYouTubeだったりでも見れますし、書籍という形でも見れるんですけども、
ウケツさんっていう方がいらっしゃいまして、雨、降ってくるレインの雨に穴、穴です。穴ぼこの穴。
書いてウケツって読むんですけど、
この人はいろいろミステリー的な動画を上げてたりとか、
実際にテレビ番組にもなったりとかしてたりもあって、
あとは小説というか文庫本みたいな本が出てたりもする。
いろんな結構マルチなところに露出をしているんですけれども、
基本的にはミステリーなんですが、ちょっと精神的に来る系のミステリーが多くてですね。
YouTubeだけで配信されている、
しかもYouTubeってだいたい10何分とか、長くても20分ぐらいのイメージが強いと思うんですけど、
40分ぐらいの動画を普通に公開されてたりとかもするんですよ。無料のやつで。
高いですね。
例えば変な家とかっていうような感じで、不動産ミステリーっていう謎の新しいジャンルで、
この間取りのここおかしくない?これ何に使われてた?みたいなやつとか。
そういうふうなやつで、実はこう使われてたんじゃないか。
なんでここに一切窓がないんだろう?外からここだけが見えないようにしてたんかな?とか、
そういう話とかね。考えつつ答えが何だよ?ちょっと気持ち悪い感じなんちゃうの?みたいな風なのが結構得意な方で。
1:09:02
僕も本を2冊出てるんですけど、「変な家と変な絵」っていうのがあって、
これ2冊とも僕両方読んでるんですけど、
これに似たような話とかが無料で上がっているものもありますし、
あとテレ東で流れてた何かお菓子っていうドラマがあるんですけど、
これ去年かな?一昨年かな?流れてたやつで、3話ぐらいはYouTubeで無料で見れます。
今年の5日はまだ発表されてないんですけど、2023年中予定という風な感じで、
これも先行配信でYouTubeで無料で3話ぐらいまで確か見れたはずなので、
こういうちょっと気味悪い感じのものが好きな方がいると、
好きな方は見ていただけるといいんじゃないかなという風に。
僕はすごく好きなので。
季節的には早いかもしれないですけど、怖い話は。
だいぶ早いですね。
冬はこういう何かお菓子っていう感じのこのウケツさんのやつを見ていただいて、
夏が来たら僕のデータセンターの怖い話をまたしようかなという感じではある。
定番だ。
定番というかもう何回目って感じではあるんですよね。
施設ネタ感が。
いろんな動画を公開されている方なので、
ウケツさんのYouTubeからいろんな興味が湧いたら広げていっても面白いんじゃないかなという風に思います。
ということで、以上ですかね。また来週のお楽しみでございます。
バイバイ。
バイバイ。
01:10:37

コメント

スクロール