1. セキュリティのアレ
  2. 第88回 お値段以上のプライス..
2021-05-24 59:24

第88回 お値段以上のプライスレス!スペシャル!

Tweet【関連記事】 ・なとりのロングセラー商品「チーズ鱈」のヒミツ ・運航情報管理システムの情報の流出につ[...]

The post 第88回 お値段以上のプライスレス!スペシャル! first appeared on podcast - #セキュリティのアレ.

00:00
あのこのうちのこのアレあるじゃないですかこれ もうアレとかこれとかちょっとわけわからないんですけど
あのこのポッドキャストですよこのポッドキャストアレという名のポッドキャストね これあの少し前にネギスさんが気づいてくださったんですけど
iTunesのAppleのiTunesで見るとあの Eマークがついちゃってたんですよね
はいはいはい エクスプリシットマークがついちゃってたじゃないですか
レーティングね そうそうそうこのエクスプリシットがついてるとちょっと何か過激というか子供には効かせないとかみたいな感じの意味でいいのかなこれって
そういう表現が一部含まれるものに何かそういうレーティングがついてるというか 誰そんなことしゃべったら そうでない普通のやつはクリーンっていう風にレーティングがついてるはずで
そうそうなぜかいつからだろうね俺も気づいたらなんかエクスプリシットになっててさあれーと思って そうそうなんか2,3週間ぐらい前にネギスさんが気づいてついてるやーんとかって言ってくれたじゃないですか
今まででも多分だいぶ前からついてた気がするけどねもしかしたら それがね消えました
消えた 私もそれ気づきました
晴れてクリーンになったんですよ なんかやったの? なんかやったんですか
設定でした
マジで?それは何?自分でそういう設定してたってこと?
いや違うんですよあのねあのなんとなく気になって設定項目見たんですよ
そしたらあの2016年の2月からこのエクスプリシットがどうかっていうのを選ばないといけなくなったみたいなんですよ
あーそれまではそんな設定なかったのに
設定はあったけどあのリクワイヤードじゃなくてオプショナルだったんですよね
はいはいはい
必須じゃなかったんですよね多分これ僕1回もいじった記憶ないんですよ全く
このワードプレスを設定した時にプラグインを設定した時にってことは多分もしかするとこれあのリクワイヤードに必須に選択必須になった時に何もしなかったらエクスプリシットになったんじゃないかな
そういうことでそれを何クリーンに設定したらなくなったわけ
速攻で直った
いや知事さんのせいだったんですね
なんだよマジか
僕のせいでですね
俺てっきりさなんかちょっとその辺の仕組みがよくわかんなかったから
どっかの誰かのリスナーがこれはよろしくない表現があるってアップルに報告して
不適切だって
そういうレーティングが付いたのかとばっかり思ってたよ
いやもう全然全然違ったっすねエクスプリシットでした
よかったよかったじゃあよかったねもうね
けどあれかこれ
よかったよかったこれで晴れてクリーンになったので
過去分は全部Eマークついちゃうんですね結局
そうそうだからチャンネルというかそのポッドキャスト自体から外れてるけどついてた時のやつは消えないっぽいんですよね
03:02
まあそれはしょうがないよね
じゃあまあ原因は判明したから安心して聞いていただいて
よかったよかった
だから皆さんちょっとクリーンなポッドキャストをこれまで以上に心がけてください
もしこれがあれですよ僕が二人がね不適切だなと思ったら僕がまたEマークつけますから
一番自分が危ないだろそれ
あははははは
多分これを聞いて二人以外にもこれを聞いてると全員が今そう思っただろうな
同じツッコミしたと思うよ今心の中で
お前がよお前がよって言ってね
どの口が言うかよみたいな
はい
安心しましたはい
よかったよかった
でもなんか最近あれですねまた梅雨的な感じになってきてますよ
関東高震圧も
じわじわね
これがもう梅雨にしてましたってパターンじゃないの
始まってました
そうそうそう
始まってましたって絶対言いますよ
気象庁が言いますよ始まってますって
言いそうだよね
これ始まってるんですよね
始まってるよ
梅雨は始まってへんかもしれんけどあれは始まってる
わかりにくいよ
そうそう
わかりにくいからね
どっから始まったんだよ
だからなんかちょっと僕筋トレに加えて
有酸素とかも結構力入れ始めてたのにさ
家でやればいいじゃん
お散歩がなかなかできないっていうね
だから家で筋トレはできるけど
有酸素ってちょっときつくないですか
なんか分かんないけど
マシーン動くとか
マシーンないもん
買えばいいじゃん
えーもうどんどん部屋狭くなるもんそんなんしたら
三宅三兄弟
三宅三兄弟
なんかもう
でも足踏みとかだけでもいいらしいですけどね
30分くらいとか
足踏みだったらわりとコンパクトなやつがあるんじゃない
よく知らないけど
そうそうそうそう
普通に床でいいでしょ
マット引いて
特に機械なくてもってことね
俺が言ってんのは負荷がかけられる
ステッパーみたいなやつ売ってるじゃん
あー足クイックイって
あるあるある
あれは結構いいらしいって聞いたけどね
なんかあれ昔からありますもんね
だいぶ前からあるよね
あー確かにテレビとか見ながらやれるし
そうそうだからなんかこう
今までぐらいの商品にならない可能性があるから
ちょっと食事を
今まで以上に気をつけようかなって
ちょっとこの強い
仕掛けの季節
運動が減る分食事分減らそうと
そうそう食事もちょっと
油断したらね結構減ったけどさ
油断するとまた戻っちゃうじゃないですか
はいはい
なので最近すごいね
卵、タンパク質系とかな
よく食べててね
すごくいいの見つけたんすよ
あのおすすめのあれのコーナーじゃないんですけど
いいの見つけたっていうの
ちょっと紹介しちゃおうかなと思って
うん
06:01
チータラって知ってます?チータラ
あーなんか聞いたことあるけど
どんなだっけ
チータラってあのチーズを
そのなんていうんですか
タラのタラで巻いてるというか
挟んでるやつ
へー
そういうことなんですよ
なんかおつまみ的な
そうそうそうそう
でもねあのねそれの粗挽きブラックペッパー入り
っていうのがナトリっていうところから出てて
それがおすすめ
それがおすすめなんですけど
へー
それは商品名もチータラっていうの
そうそうそこいい質問するな
あーでしょ
そうチータラってのはね
ナトリの登録商標なんです
あーなんかそれよくあるやつだ
チータラっていうやつはその
タラだけでしか挟んでないんですって
ほう
あ正統派チータラみたいな
そうそうそう普通は白身肉のすり身とか
にホッケとかが使われたりするんですって
チーズタラっていう風に言われるやつは
ほう
あごめんなさい間違えたチータラはごめんなさい
白身肉のすり身とかホッケが混ぜられてるやつですね
そういう製法のやつ
混ざってるやつのことをチータラ
でチーズタラになると
タラのみ
そうそう
これ結構あの
カロリーもそんなにないし味もしっかりしてるからね
結構いいんですよ
値段も安くてね
このナトリから出てるチータラ粗挽き
ブラックペッパーってめっちゃハマってて
二つ三つ買ったりとかして
一個120円なんですけど
結構しっかり入ってて
コンビニとかの酒のつまみコーナーとかに
売ってそうな感じな
あそうそうコンビニとかスーパーにも売ってますよ
そんなイメージだよねこれ多分
なんでね120円なんですけど
結構満足感得られるのでだいぶね
お値段以上かな
っていう感じですよね
今そこあえて突っ込まないでください
今やで
このために話しとんね
ナトリでしょ
ナトリ緑やないかいみたいなやり取りがしたかったんですよ
どうでもいい
しまった笑っちゃったよ
そういうのねいちいち拾わないよ
ほんとですよ
Eがつくんでやめてください
確かにまたEがつくの
危ない危ない
お便りが来ておりますよ
ありがとうございます
今おすすめ的な話を
ちょっと入れちゃいましたけども
前回のおすすめのあれで
カンゴさんが紹介してくれたグダフトン
あったじゃないですか
あれが結構ね
お便りに来てまして
これすごいいいですね
ググってみたら
おしゃれな感じで使ってる
インスタ映えするやつなんでね
LEDのキャンドルがあれば
ベランダとかでも使えますよ
紹介されてたりとか
09:02
類似商品とか
ツイートしてる方もいて
アルナードっていうやつもあるらしいんですけど
グダフトンの方が良さそうだなと
一緒にティーライトホルダーとか
購入すると一層良さそう
ケースみたいなやつですよね
深めのやつがティーライトホルダー
浅いやつはグラーシブキャンドル
っていうキャンドル皿が
あったりするらしいんで
そういうのと組み合わせばいいかなと
あとは週末はIKEAにグダフトン
買いに行くでって書いてる人もいるんで
このポッドキャストが公開される頃には
家で使われてるんでしょうねこの方ね
ぜひ癒やしに使っていただけると
僕が言ったことかな
セキュリティ枠で紹介されそうなゲーム
っていうのはあれかな
うちはXBOXでしてるけど
っていうのが来てまして
多分当たってそうですね
誰かわかるけど
誰かわかるな
XBOX枠ありますからね
XBOXって言った瞬間に
誰かわかるっていうね
ツイートでお便りの中で
バッチリ当てちゃってる方もいらっしゃったんですけど
ウォッチドックスですね
ウォッチドックスの
3作目のやつをやってます
今まさに絶賛
やってる最中
絶賛やっててもうね
半分ぐらいかな
結構寄り道いっぱいしてるから
半分行ってないぐらいだと思うんですけど
舞台が今回はロンドンなんですよ
前回はサンフランシスコやったかな
カリフォルニアやったかな
その前がシカゴだったんですけど
今回ロンドンってことで
疑似堂から始まるんですよ
疑似堂に爆弾仕掛けた事件から
始まるんですけど
どっかで聞いたことありません?
疑似堂に爆弾仕掛けて
ってあったじゃないですか
V4弁で言った
あったねそんなのね
それに出てくるハッカーチームが
デッドセックって言うんですけど
デッドセックロンドンとかって言って
僕たちが輝いていたあの頃の
ハクティビズムみたいな話が
結構盛り込まれて
結構フフってなるシーンがあったりとかしますね
花火打ち上げたりとかね
花火のシーンあったねそういえば
結構長く楽しめそうな感じなんで
主人公がいないっていうのが
また新しくて面白いですね
街中の人をスカウトして
自分たちのチームに引き入れて
いろんな能力を持った人が
弁護士とかもいたりとかね
それぞれが特殊能力を持っている
面白いですよ
またやり込んだら
もしかしたらここが良かった
みたいな紹介するかもしれませんけど
なんかあれだっけ前作とか
前にもどっかで
紹介してなかったっけ
なんかどっかで話した記憶がある
したかもしんですね
なんとなくね
相変わらず面白かったですね
あと少し前にね
ポッドキャストを自社の中で
やるっていう風に
12:01
お便りくれた方いらっしゃったか
覚えてます?
覚えてます
その方がとりあえず第1回目が
無事終了したと
やりましたね
本家ポッドキャスト
本家って僕らは本家ってわけではないけど
本家ポッドキャストの中でも
取り上げていただきありがとうございますと
コラボできるようなレベルの
活動となるように頑張りますってことなんで
1回目とりあえず無事終了してよかったので
続けていってもらいたいですよね
そうですね
どんな感じかまた気になりますね
そうそうそう
コラボできるような日が
やってみたいなということで
実現したいですね
今回こんな感じだったとかっていうのも
教えてもらえると嬉しいなと思います
最後の便りなんですけど
まだ未確定だけど
まさか自分が被害者になるとは
過去大会済みなんですけれども
せっかくの機会なので
顧客対応を勉強させてもらおう
ハッシュタグ
お見合い
おー
いらっしゃいましたね
もしかすると被害者という
これね
僕これ使ってたサービスじゃないので
もし動きがあったりとか
ユーザーにお知らせみたいな感じで
連絡が来たら
可能な限り教えていただけると
嬉しいかなと思います
お便りは以上です
はい
ということで本編の方に
行こうかなと思うんですけども
今日はね
かんごさんからお願いします
じゃあ私から
今週
いろいろあったんですけど
週末はインシデントの
発表が多いみたいな
ジンクスというか
ジンクスではないか
狙ってやってるのかねそういうのってね
わかんないけど
ちょっといろいろ
いっぺんにくるんだぐらいな感じでしたけど
その中で
私気になったものは
あんまり話題になってないのかな
と思ったんですけど
成田国際空港
株式会社
ご存知だと思うんですけど
成田空港やってる会社ですよね
そちらの会社から
運行情報管理システムの
リリースについてっていう発表が
されておりまして
リリースとして
出されてる内容が
非常に内容がそんなに
詳しく書かれてるわけでもなく
リリース自体も
6行ぐらいの
非常にシンプルな内容なので
続報というか
これから出てくる情報にも
注意してみておきたいな
っていうところではあるんですけど
内容としてはですね
がっつり社名出されてるんですけど
成田国際空港株式会社が
委託しているというか
事業の取引のある富士通が
管理する
プロジェクト情報共有ツール
というものが
15:00
外部から不正アクセスを受けたと
いう報告を受けて発覚したもので
この情報共有ツールの中に
成田空港の
運行情報管理システムと
こちらは確か
クロステックだったかな
クロステックが報道している内容だと
富士通が開発したと報じられてるんですけど
そちらの
システムに関係する情報が
含まれており
この情報が外に
流出してしまった可能性が高い
という報告を
富士通から受けたということで
これについて発表したもの
という内容で
これ以上の
情報については
原因についても
調査ツールと書かれているとおり
これ以上の情報は書かれては
ないんですけども
やっぱちょっと気になるのが
成田国際空港株式会社
自体が不正アクセスを
受けたわけではなく
利用しているプロジェクト情報
共有ツールと
具体的に何かっていうのは
名前を出してる
ところはおそらく
ないのかな
ないしね
今パッと見なさそうではあるんですけど
なんとなくこれかな
というのはあって
富士通でプロジェクト情報共有ツールと言うとこれかな
有名なやつはあったりするので
それなのかな
というのもあるんですが
具体名はここで出てないので
具体名は出すのを控えようとは思うんですけど
気になるのが
似たような
事案というか
ソフトウェアであったりサービスであったり
っていうところが
不正アクセスを受ける
なりして
サービスであったり製品であったり
使っているユーザーの情報が
流出してしまうというケースが
なんかここ最近ポツポツポツと
あるなと思ってて
これがその事例に当てはまらないかな
っていう心配がある
というところ
今回たまたま成田国際空港株式会社が
こういった感じで発表したわけなんですけど
続けて出るような話が出ないといいな
っていうところが
ちょっと見てて
気になったというところでして
直近の事例で言ったら例えば
直近でもないか
最近日本で話題になったやつで言うと
スカイシーであったりとか
あるいはファイルゼンであったりとか
あとトレンドマイクロとかも
ありましたよね
やっぱりそういう
日本が
固有でというか
スカイシーで使えているような
製品サービスというのが狙われて
不正アクセスの被害につながる
みたいな事例があったりしたので
そういうケースにならないといいな
っていう風に見てて
思ったので
まだ調査中という
ところではあるので
続報は気にしておきたいな
というところではあるんですが
これ富士通は
特に富士通からは
何かそういう情報が出てないんだよね
18:01
今のところ
出てないと思うんですよね
でも
名指しされてるし
何も出さないってことは
ない気がするんだけど
そうでもないのかな
そうですね
タイミングが週末だったので
週末だから
週明けに
出るかもしれないですけどね
だってこの
情報共有システムが
何ツールか分からないけど
それ
どういう影響があったかとか
富士通がどう関わってるかっていうのは
多分説明求められそうだよね
そうですよね
実際
これなんじゃないのみたいな
名前が結構SNSとかで上がってて
その名前で
ググったりするとやっぱり
成田空港以外でも
成田空港はなかったかな
他に使っている
ユーザーの
専用ログインページみたいな
そういうのが出てたりもしてて
変なとこに影響が
広がらないといいなっていう
感じではあるんですけど
大元の不正アクセスの原因が
非常に特殊なものなのか
他にも影響するものなのかね
確かに固有なのか
全部人なのかっていうので
結構結果変わってきますからね
ただちょっとね今回
被害にあったのはやっぱり
空港の運行情報管理システム
このシステム自体は
外からはアクセスできません
って書かれてはいたんですけど
ちょっとね
比較的機微というか
あまり公にこういうものです
っていうのを
説明する類のシステムでも当然ないので
その辺
被害にあっていることが
可能性として見られている情報
っていうのが非常に特殊な感じはするので
ちょっと気にはなりますよね
確かにね
どの程度の情報が含まれていたのか
はっきりしないけど
流出した情報の中にかなり
重要なものが含まれていたとすると
外部から直接はアクセスされないにしても
空港の運行に影響するっていうと
例えば重要インフラのテロとかさ
極端なことを考えると
そういう影響も
多分考えなきゃいけないような
そういう内容ってことだよね
多分ね
そこまで
重要なものではなければ
まあいいのかもしれないけど
多分そういう
のも含めて調査してるんだろうね
きっとね
だって場合によったら
運行情報管理システムの
やり方っていうか
情報とかも
流出したのに影響を受けないように
変えるとかさ
わかんないけど
そういうのも出てきそうだよね
悪用はされないようにとかね
21:01
そうなんですよ
これ見てて思ったのが
つい最近あった
コロニアルパイプラインの事例
なんかこれに近いなと思って
別に運行管理が止まったわけではないんですけど
成田空港に関しては
ITの影響がOT側
制御システムとか
そっちの方に
影響が見えないから
そういった経緯で
安全側に倒そうみたいな
考え方が14インフラ系って
すごいあるじゃないですか
ポンポン的なところとして
コロニアルのケースも
ITシステムに影響があっただけで
OTシステム側には特に影響がなかったにも関わらず
止めたんだもんね
そうなんですよね
そっちがもし万が一影響が
起こっちゃったら
大変なことになりますからね
やばいからね
それだけは避けなければいけないって
多分みんな思ってるから
多分そういう手順になってるんだと思うんだけどね
なるほど
そういう影響もあり得ると
どうするというか
そっち側を止めたいみたいな
思いがあって
直接は当然
インターネット繋がってないとか
っていう話もあったりするので
間接的な影響で
そういうところに
影響を及ぼすみたいな
攻撃のやり方っていうのが
パイプラインの事例で
はっきり出てしまったので
コロニアルの件はさ
たまたまっていうか
本来狙うべきじゃなかったところを
狙ってしまったみたいな
狙ってやったわけではないですけどね
あれ自体は止めてやろうっていう話じゃないんですけど
あったよね
たまたまちょっとまずいところで行っちゃいましたみたいなさ
雰囲気だったけど今回どうなんだろうね
誰がどういう目的でやったかによって
もしかしたら
空港管理会社ってことは分かった上で
空港管理情報
何だっけ
運航情報管理システム
運航情報管理システムの
データを狙ってそこに行ったのか
たまたまなのかね
それによってもだいぶ違うよね
ちょっと分かんないですね
分かんないよね
前哨戦かもしれないですからね
そうそう
このシステムに関係する資料がダウンロードされたってことは
それを見て次の
これが取っ掛かりなのかもしれない
っていうことを考えると
その資料に書いてあった内容によっては
何かを変えたりとか
っていうアクションをかなり取らないといけない可能性ありますよね
そうですよね
ただねその被害を受けた側からすると
目的で結局分かんないので
たまたま
流れダメを当たっちゃったのか
そうでなくて本当に狙われたのか
っていうのが
攻撃手法とかから分かればともかく
分かんなかったら
流出した情報を見て
影響を判断するしかないので
これはたまたま
たまたま流れダメを当たっただけだから
気にしなくていいわとはならない
と思うんだよねたぶん
最悪の事態を想定しておそらく対処するはずなので
24:03
そう考えるともしかしたら影響が大きいのかもしれないね
ちょっと分かんないね
なんかこう昔
メールの添付ウイルスが
むちゃくちゃ盛んやった頃とか
よく言われたのが
日本語の壁みたいなこと言われたことあるじゃないですか
ああまあ一時期
今となってはもうないけど
ありましたよね
言語の壁が大きいってね
そうそうそうでもこうなってくると
アプリケーションとかになってきても
そういった言語の壁みたいなものが全然なくて
ドメスティックなものだから
世界的に見たらニッチ足みたいなものが
通用しなくなってきてるなっていう感じも
これを見てちょっと思いましたね
最近の流れとして
確かに
ちょっとこれはどういう
調査中っていう風にね
記事の中には
富士通株式会社にて現在調査中だから
これ何かしら出てくるのをちょっと期待して
待つって感じですかね
そうですね
速報1回ぐらいは出そうな雰囲気はありますよね
そうですねもし出てね
何を読んだとか応答だったのかみたいなものがあったら
またここでも取り上げていただければと思います
そうですね
はい
じゃあ次は僕に行こうかな
はいお願いします
僕はですね
ちょっとなんか最近また
ランサムづいてる感じがしてて
気が引けるんですけど
ランサム関係の話をちょっとさせていただきますが
気が引けるとかホントかよ
ランサムづいてるって何なんですか
えなんて
何か言った
いやいや気にしないで
気にしないでいいよ
頑張るぞ
頑張ってしゃべっていくぞ
どんなランサムがとか
このランサムはこんなんですとかっていうのではなくて
僕ちょっと今年
去年ぐらいからずっと気にしながら
やっているようなテーマなんですけど
ランサム被害を受けた組織の
対応に関するお話を
ちょっと今日は紹介したいなと思います
被害を受けたのは
ボリューっていう会社なんですけども
ここは
エネルギーの生産取引流通消費とか
そういったものを自動化
そして最適化をするような
ソフトウェアを提供している会社
なんですね
なので顧客とかには
上下水道だとか
建設だとかあと電力関係とか
そういったインフラになっているような
ところも
顧客に入っていて
実際はたくさんノルウェーとかスウェーデン
デンマークフィンランドいっぱい
拠点があって
たぶんネギスさんとか
カーゴさんが知っている会社だと
エネル
っていうところも
ここの顧客だそうです
スネークにやられたって言われてた会社ですかね
エネル
ヨーロッパの重大
UTT企業って言われるようなものがあるそうなんですが
そこのうちの8つぐらいは
うちのお客さんですみたいなことが
このボリュームのサイトには書かれて
ありましたちなみにボリュームは
いっぱい拠点があるって言ったんですけど
本社がどこにあるかというと
27:01
ノルウェーのオスローにあります
ノルウェーのオスローランサム
って言ったらピンとくるような
過去の事案ないですか
ありましたね
アルミニウム方面で
ノルフクハイドロ
っていう会社が
ありましたけれども
そこの会社と同じ
ぐらい
もしかしたらそれ以上かもしれないですけども
すごく対応の内容がよくて
透明性の高い対応をされてた
というところがありまして
それを今日紹介したいなと思って
それはあれだね
たまたまなのか
そういう
国柄なのかわかんないけど
いい対応が続くっていうのは何か
理由があるかもね
文化的にそうなのか
もしかするとそれを支援するような
国のエネルギー関係の
サートとかあったりするじゃないですか
そういうところの指導がいいのかどうか
ちょっとわからないですけど
また同じ場所でしたというところなんですね
はい
これいろんなリリース
アップデートをすごく細かく
出してきてくれているんですけども
事件が起きたのが
2021年今年の
5月の5日に
事件が起きたそうなんですね
一番初めのリリース
アップデート情報ですね
は5月5日の
昼の3時には出してます
現地時間で
めちゃくちゃ早いんですよね
1個1個
アップデートの内容を紹介していくとですね
時間が足りないので
これは多分ブログにまとめて出す案件かな
お?
おそらくこれを皆さんが聞く頃には
今ちょっと下地を作っては
まとめている文章があるので
それをブログに落とし込んで
公開できるように頑張りますけれども
素晴らしい
それを読んでいただくとしてですね
ここが良かったなっていう点を
ちょっと紹介していこうかなと思います
まず一つ目は公開がやっぱり早かった
っていう風なことと
数時間
10時間とか数時間ですかね
1日経っていない間にも関わらず
ランサムですという風に先に言っちゃってる
っていう風なところ
めちゃめちゃ早かったってことなんですよね
その対応内容が
早かったっていう風なところが
まず一つ目なんですけれども
ランサムウェアってことも明記してて
後に何のランサムだったかっていう
名前の公表もしています
ちなみに感染したのはリューク
っていうやつですね
その対応内容が
自分たちのアクションだけじゃなくても
顧客にこういう風にしてくださいとか
例えば自分たちのシステムと繋がっていた
ものがあるんであればそのパスワードの変更を
してくださいとか
そういうことをアップデートにも含めつつ
連絡をしたみたいなことも
アップデートの中に含めて書かれてあるんですよね
何をしたかっていうのはすごくわかりやすい
っていうのとあとはそれは
自分たちがもしその立場になったときに
こういうことをしないといけないのかっていうのが
わかりやすく読み取れるような
内容でした
即日っていうのは結構
なかなか多くの場合って
30:01
事件把握してからとか公表されるケースが
多いと思うんですけど
少なくないと思うんですけど
1ヶ月ぐらい経ってからこうでしたみたいなもの
ザラにあるかなっていうようなことを考えると
どうしても
確定してから言いたいっていう気持ちももちろん
見ててわかるんですがこういう風にパッパッと
出していくっていうのも良かったかなという風に
思います
早かったっていうことに加えてアップデートページと
リリースを出すページをちゃんと分けていて
アップデートのページが
主になっていてそこからリンクするっていう風な形に
途中から変わってるんですけど
情報を頻繁に
公開をするという風なことをしてました
ちなみに5月の5日から
17日までのアップデートが
今公開されてるんですけども
13日間の間で
19回情報の公開を
してました
1日1回以上なんだね
すごい形成性
3回とかもありますね
情報を公開するときも
アップデートとかカテゴリーをちゃんと
分けて書いてくれてるんですよ
タイトルに
何月何日何時
何々
アップデートとか
お客様とのファイル共有について
とかGDPRの対応について
みたいな感じで分かりやすく書かれて
ありました
5月6日次の日ですね
事故の起きた次の日の
予告みたいなものが出ていて
次の日の5月7日からは
毎朝9時半から
Zoomを使ってWebcastを
使って日時の報告をします
っていう風なことをしてて
実際にやっていました
関係しているセクターの方々が
持ち回りで
説明をするっていう毎朝15分
ぐらいの動画で配信して
アーカイブも一部見えなく
なってるんですけどもいくつかは
まだ見れる形で置いてあったと
でもこの情報の
公開ってのは一見
一方通行で情報
バンバン出すっていう風に受け取られるような
ものかなっていう風に思うんですけども
そういう何かを出すと絶対にメディアなり
ユーザーなりからリアクションが
想定されるのでこれは自分たちから
情報を出してコミュニケーションを
図ろうとしているっていう風な
形としてすごくいいんじゃないかなという風に
思いました
これノルスクハイドラも同じように
Webcastやってましたよねそれが何か当時は
自分たちが契約している
やつでやってたけど今回
Zoomだったんで何かちょっと時代の
移り変わりを感じるなっていうところを
確かにZoomかー
みたいなねさっとさっと使える
っていうところではね今までは何か用意しておかないと
使えなかったけど今だったら結構
すんなり動画で何か出す
っていうようなことってできるんやなっていう
ここ数年の間で変わった感じ
しましたね
あと3つ目ですね3つ目は
SNSの
活用といいますか
SNSでも情報発信をしていた
ボリュー自体は
3つぐらいアカウントを
WebサイトからWebサイト見てるとあったんですけど
そのうちの1つですね
LinkedInとかFacebookとかがあったので
そっちではやらずに
Twitterで発信をするっていうふうなことをしてて
33:01
そのインシデントのアップデート情報があったら
ツイートで
紹介するっていうふうなことをしていました
これもあの僕とかねぎしさんと
カンゴさんとかお話するときに
DOSのときによく話しますけど
インシデントが発生したときは自身のWebサイトで
情報発信できない場合もあるので
こういうチャンネル用意しとくのいいよねっていうのは
昔から結構言ってたと思うんですけど
そういったことをやってると
自らが持ってる
そういうチャンネルを最大限に活用するというようなところは
評価できる
なかなかやりそうで
やってるところ少ない感じの
内容じゃないかなと思います
これは3つ目ですね
今でもDOSじゃなくても
例えば障害とかでWebサイトが見れないとか
いうときに
ステータスページも同じサイトにあって
見れないとか
結構今でもあるからね
こういう対応はどうなのみたいなのってあるからね
そういうところに限ってSNSとかでは
出してくれてないとかね
そういうのに比べるとだいぶいい対応だね
そうなんですよね
4つ目なんですけど
これは
顧客に向けたガイダンスで
こういうふうにしましょう
こういうふうに調べましょうみたいなものを
書いてる項目があってですね
そこには
関連するドキュメント
今までリュークっていうのはこういうもんです
みたいなものをレポート書いてる
僕が何回も紹介してきた
オブウェアのリュークに関する
レポートを紹介したりとか
公的機関が出してるレポートを紹介して
引用したりもしてるっていう
ことをまずしていました
それに加えて現時点でできる
顧客の安全策の提示
みたいなことを
ちょっと簡単なレベルのものなんですけど
IOCを書いて
こういうのを調べてください
みたいなことを出していました
例えば感染していると
拡張子が
リュークの拡張子になりますよ
とかそういったものを
これを見て調べてみてください
みたいなことをガイダンスに掲載していて
それに加えて今調査中で分からないことが
いっぱいあるけれども
これから判明したら
多数のIOCに関しては後に
情報を共有しますっていうようなことも
明言されていました
これなかなかいいですよね
ちょっと確認だけど
これはこのボリューっていう会社自体が
リュークランサムウェアに
感染して
被害を受けたわけよね
そうですそうです
それに加えて
流出した情報の中に
顧客に関するものが
含まれているから
ボリューのソフトウェアを使っている
顧客も被害を今後受ける可能性が
ありますよということで
そういうテクニカルな情報も共有している
そういうこと
あとは不安の払拭もあるんじゃないかな
と思いますね
ボリューのサービスを使っていて
ボリューの顧客が
直接ランサムウェアの被害を受けた
というわけではないんだよね
ボリューが影響を受けた
ということだよね
だけど
36:01
今後影響が呼ぶかもしれないから
情報をここまで公開しますと
そういう意味だよね
ネットワークにつながっている
接続しているお客さんとかも
あるかもしれないので
これを出していたんですよね
うちは大臣を
部下みたいなことを調べることの
術を提供しているという
スタンスでいいと思います
ガイダンスの流れの中で
リュークを説明していくところで
リューク自体は
情報を盗んで
暗号化していく
ということをしていくけれども
公的機関が出しているレポートによると
という引用をしていて
リュークは公開用のサイトを
持ってないところなので
公にリークというものは
あまり考えにくいですかね
と書いてありましたね
それをちゃんと引用から
出してきているというところは
いいかなと思いました
5つ目なんですけど
これ最後ですね
リーダーシップの可視化
というところですが
一番初めにアップデートを出したときに
別にリリースを
出していて
その中に
CEOのメッセージが
書かれてある
というようなところですね
多くの場合って
大体のリリース文章とか
お詫びみたいな形だと
資料の右上とかページの右上とかに
代表取締役何々みたいなことが書いている程度で
組織のリーダーが
指揮をとっているんだろうなとか
判断しているんだろうなということは
案に想像できたとしても
その存在を外から見えたり意識するケースって
あんまり僕見かけないな
というふうに思うんですよね
そういったことに
リーダーの文章をちゃんと掲載するであるとか
あとはこのアップデートのページを
一番下の方までスクロールしていくと
この件に関するお問い合わせ先
というところがCEOと
CFOのメールアドレスとか
電話番号が掲載されているんですよね
実際に直接受け取って
話をしてくれるのかそれはちょっと分からないですけれども
そういう姿勢というのはすごくいいんじゃないかな
というふうに思いました
リーダーとなるべき人が
当事者となって
指揮をとっているんだというのが外から意識して
見えるような形をとっているというのは
素晴らしいんじゃないかなというふうに思いました
てつやさんはこれ早速電話してみたの?
電話してない
しゃべられへんもん
つながんのかな
でもメディアとかならともかく
冷やかしで電話するのは
迷惑になるからやめたほうがいいと思うんだけど
まだ今
今ねオンゴーイングですからね
でももしね
色々全部が明らかになった後
聞きたいことがあったら英語でメールしてみても
ありかなとは思っています
いいっすねそれは
これから出てくる情報に応じて
聞きたいことがあったら
返ってくるかどうかは別にして
なんか前ほらツイッターで問い合わせしたら
返事くれたとかいう会社も
あったじゃないね
運送
買運会社的なやつでしたっけ
39:01
そうそうそうそういうのもあったよね
物流の会社か物流の会社でしたね
そうそうそうちゃんと返事くれたやつ
それもランサムでしたよね
たしかね
ノットペトヤかなんかやったかな
たしか
これ今ね5つ良かった点あげたんですけど
これ全部ねノルスクハイドルと共通してるんですよね
うんなんか聞いてて思ったそれ
うん
そうそうそうだからすごいフラッシュバックする
なぁと思って
こういう情報公開するっていうのは
自分たちを守るためにもなるんじゃないかな
とは思いますね
うん出してしまって
ランサムなんか特にそうじゃないですか
なんかどっかの例えばね
ウイルストータルとかに上がってたファイルを解析されて
その中身に社名があったからって
そっから発覚するとか
リークサイトに乗ってから
リリース出すとかって
多いと思うんですよね
今まで僕も見てきてて
いくつか1000以上のケース見てきてますけど
そのリークの
そういうのからすると
自分たちでこういったことをコントロールする
制御化に置くっていう意味でも
先出しする先に出してしまうっていうのは
いいんじゃないかなと思うんですよね
なかなかやらないけど
確かにね
イメージもいいと思いますし
ピンチはチャンスなんていう
考えてる余裕もないかもしんないですけど
常々そういう風な姿勢で望むっていうのは
いいんじゃないかなっていう風に思ったんで
久々に
これはいいなっていう風に思う例があったので
今日は紹介させていただきました
はい
じゃあ後で
鶴さんがまとめてくれたブログを
しっかり読んで勉強します
ありがとうございます
はいということで
僕からは以上なので
次のお話はねぎしさんお願いします
はい
今週はですね
今週もかな
パスワードネタを
ちょっと紹介しようかなと思うんですけども
はい
今週ですね
Chromeのパスワードマネージャーに
Googleが新しい機能を追加します
という記事を
書いておりまして
これなかなかいいなと思って
ちょっと紹介したいと思うんですけども
何かというと
Chromeのパスワードマネージャーって
僕らはね
専用のパスワード管理ソフトを
別途使っているので
あんまりブラウザーのパスワード管理の機能とかって
使っているかもしれないんだけど
僕は使ってないんだけど
テストで試すぐらいしか使ってないんだけど
最近のChromeとかって
結構ちゃんとしたパスワードマネージャーが
付いていて
使っている人も多いと思うんですけど
結構機能がどんどんどんどん
追加されてて
例えば
単にパスワード保存するだけじゃなくって
Googleが独自に集めている
漏えいしたパスワード情報との
マッチングを
通知してくれて
使っている利用者のパスワードが
漏えいしているっていうことが分かったら
これ漏えいしてますよって通知してくれる
とか
あるいはその時に漏えいしてるから
42:01
すぐパスワード変えましょうって言った時に
パスワードを変更するURLに
誘導してくれるとか
そういう機能とかが付いてきてるんだけども
そこからさらにもう一歩踏み込んで
今回Googleが
提供しようって言ってるのは
その漏えいしたパスワードが
見つかった時に
パスワード変更
っていうところを
ボタンを
クリックすると今までは
例えば仮に
Facebookちょっと例に挙げるけども
仮にFacebookに
登録している
自分のパスワードが
どっかから漏れましたと
なった時にこれまでは
じゃあパスワード変えましょうということで
Facebookのページに飛ばされる
誘導してくれるっていう機能はもともと
付いてたんだけどもそれに加えて
今回
パスワード変更を全部自動でやってくれる
機能ってのを付けましたと
めっちゃアシストしてくれるわけですね
そうそう
まさにGoogleアシスタントの機能で
その
Chromeのパスワードマネージャーがもともと
持っている
機能を使って強力なパスワードを
自動的に生成をして
それを
パスワード変更のフォームに
入力して
パスワード変更のサブミットをして
というところの一連の動作を
人間に代わってそのパスワードマネージャーが
自動で行ってくれると
なのでユーザーは
漏えいしてるって
気づいてGoogleが教えてくれたら
パスワード変更っていうボタンを
ポチッと押すと
あとはよろしくやってくれるというね
だからこれ素晴らしくない
いいなと思って
入力してクリックしてくれてみたいな
そうそうそう
実はこれ僕が使っている
ラストパスにもほぼ同じ機能が
ついていて
1年前か2年前かは忘れたけども
自動のパスワード変更機能
っていうのがついていて同じことができるのね
実は
Googleが最初ってわけじゃないんだけど
でもGoogleの
Chromeって今世界ナンバーワンシェアの
ブラウザーなんで
Chromeがやるってことはかなりインパクトが
あるんじゃないかなということで
これは今後要注目で
とりあえずは
Googleの発表によると
アメリカ
とりあえずアメリカ限定で
Android版のChromeを使っているユーザーに
まずこの機能を公開しますと
徐々に対象を広げていくっていうのは書いてあるので
今後どこら辺まで
使えるようになるか分からないけど
多分全部のユーザーが使えるように
ロールアウトしていくんではないかなという
気がします
でね
2つポイントを紹介したいんだけど
1つはこれを実現しているのは
何年前だっけな
Google I.O.かなんかで発表された
GoogleのAIでDuplex
っていうのがあって
これ知ってるかな
電話でしか予約を受け付けない
例えば
45:01
注文サイトとか予約を
ブッキングするための
お店に
Googleが自動でAIが
勝手に電話をして
予約注文の受け答えをしてくれる
電話でしてくれる
そういう機能が
できて
それを実現されたのが実はDuplex
っていうGoogleが開発したAIのシステムなんだけど
今回の実は
それがベースになっていてその上に
この機能を
乗っかってると
3年くらい前に
発表されてたやつですよね
何年か正確に忘れたんだけど
予約の
したいってポチってやると
予約システムがあれば
API連携とかして
ネットだけで完結できるんだけど
そういうのを対応してるお店って結構いっぱいあって
そこにGoogleの
機能が勝手に電話してくれるっていう
画期的なサービスを
何年か前に提供したんだけど
その時に
そのためにというか
AIの仕組みがいろんなところで使われていて
今回のも実はそれが裏で
動いていると
というのと
あともう1個のポイントは
どんなサイトでもできるわけでは
なくて当たり前なんだけど
パスワード変更
っていうのは
やり方は決まって
現在のパスワードを入力して
パスワード変更画面に遷移して
そこで
新しいパスワードを入力して
新しいのパスワードも入力をして
大抵のサイトは
パスワードに要件とかが決まってるから
ちゃんとそれを満たしていると
パスワード変更しますかってなって
はいって押すと変更するみたいな
そんなフローじゃない
それを自動的にやっていくのがさっきの
AIの仕組みなんだけどそれプラス
そういうパスワード変更が
どのページからいくかっていうのを
知らないと自動でできないじゃん
なので
これをその教えてくれる
この私たちのサービスのサイトでは
パスワード変更はこのURLから
変更しますよっていうのを
教えてくれる仕組みっていうのが
実は標準化今進んでいて
おお
そのパスワード変更はダメなのは
WellのURLっていうのをW3Cが今定めているんだけども
これに対応していると
そのこのURLにアクセスすれば
パスワード変更できますよ
っていうのが分かるようになってるのね
なので具体的には
ドット
Well-known
スラッシュ
change-passwordっていうURLが
これ一応決められていて
そこにアクセスすると
自動的にパスワード変更用の
URLにリダイレクトする
っていうそういう仕組みになっていて
そういう仕様になっていて
その仕様通りにちゃんと
対応しているサイトであれば
そのパスワード管理ソフト側が
それを見つけることができると
自動でね
そういう仕組みで
これは今回新しくってわけではなくて
もともとそのパスワード変更の
48:01
URLに誘導するってところで
もともと使われていて
なのでそういうのに対応している
サイトであれば
できますよと
なのでGoogleとか
FacebookとかTwitterとか
そういう大手のサイトは
だいたいもうこれ対応してくれてるんで
今言ったその
Compassだったり
このGoogleのChromeのパスワードマネージャーだったり
そういった自動変更に
対応しているソフトを使えば
できるようになると
なんでね
まだこれ
そんなにこの
パスワード変更用のURL
ウェルノンURLっていうのは
あんまりまだ広まってないんじゃないかと思うんだけど
今後これが
もっともっとたくさんのサイトに広まってくると
どんなサービスでも
こういった自動変更が可能になるっていう
可能性も
あるので
これは
この機能を持っている
パスワード管理ソフトを使っていないと
その恩恵には預かれないけど
みんなが使う
そういうツールがこういうのに対応してきて
サイト側も
それに対応してくるようになってくると
なんかいいなと
ワンタッチでポチってやれば
勝手に強いパスワードに変えてくれるって
言うことないじゃない
いやそうですよね
パスワードがなくならないうちは
こういう方向で
進化していくのもありだなと思って
なので
まだちょっと日本のユーザーには届いてないけど
Chromeでパスワード管理やってるぜ
っていう人は
ぜひ使ってみてほしいなと思いました
そうか
これが広まれば
ただネガワクマというか
これはパスワードが漏えいした場合
に使うっていう想定なので
こんなのを使って
パスワード変更しなくても良ければ
済めばそれが一番良いんだけどね
いやでも
こういうのがどんどん進んで
当たり前にパスワードがある以上は
必要なアクションじゃないですか
僕も
パスワードに関係することを
いろんなところで今までお話させていただいたり
とかした時に
僕らが大好きな
紹介するケースが結構多いんですけど
じゃあ試してみましょう
みたいになるんですよ
テレビとかでも一回やったことあるんですけど
漏れてるみたいな感じの
話を
していくわけですけど
意外とその後
タレントさんとかに聞いてみると
漏れてたことを全く知らなかったって
多いんですよ
まあそうだろうね
僕ら漏れてるかどうかを
ちゃんとチェックしましょうねとか
言ったりするけど
いちいちチェックするってなかなか
その隙を埋めてくれるわけですよね
そうそう
そういうチェックサイト
仮に使わない人でも
多分漏えいした
サービス側からの通知とかは
届いているはずだと思うんだけど
そういうのも見逃してたりだとか
海外のサイトとかだとスルーしがちみたいですね
51:01
英語のメッセージが来てるから
何のことかわからないとかね
逆に怪しいと思っちゃって
何もアクションしないっていうケースもあるんで
実際そういうフィッシングってあるからね
うん
それの間を埋めるっていうのは
攻撃する機会をかなり短くできるから
すごくいいんじゃないかなと思いますね
確かに
こういうのをうまく活用して
やっぱりパスワード変更って
めんどくさいし
だいぶパスワード管理ソフトが
その隙間を埋めてくれてはいるものの
まだまだちょっとめんどくさいところを
最後の一歩っていうかね
ここまでやってくれれば
だいぶ楽になるかなっていう
いい機能だと思います
なんか最強のセキュリティ感があるな
そう?
なんかね
セキュリティの一番の理想というか
あるべき姿みたいなものは
ユーザーが意識せずに
安全が保たれることだと思ってるんですよ
確かにね
それに近づいてるかもしれないね
そうそう
今までセキュリティ製品とかサービスとかで
誰もが知ってて売れてきたものっていうのは
みんなその条件満たしてると思ってて
ファイアウォールにしても
アンチウイルスにしても
意識せずに便利なインターネットを
便利なまま使えるっていうところがあるから
これはすごくいいなと思いましたね
なんか
専業でやってるパスワードマネージャー
開発するところもウカウカしてられないですよね
そうね
さっきも言ったけど
ラストパスワードとか
ワンパスワードはなかったっけ?
ないんじゃないかな
使用のやつでいくつかこの手の機能って
もうすでに実装されてるので
通知はしてくれますけどね
もしかしたら今後こういうのって
標準的に備わってるべき
機能ってなるかもね
そうですね
あとはそういう風なものがありますってことを
もっとみんなに知らせていかないといけないですね
そうですね
ということで今回紹介してみました
わかりましたありがとうございます
パスワード系とか二要素みたいな
その辺ってもねぎすさんのお箱みたいなやつ
いやいや外すことないよ
そんなことない
なんか
ランサムの辻パスワードの歴史
みたいな
そうでもないか
そうでもないかもしんないな
ありがとうございます
ということで最後
おすすめのあれなんですけれども
最近
冒頭でも言いましたけれども
梅雨になってきてこんなのたぶん言うてるうちに
夏ですよ
でね
僕毎年毎年夏になったら
すごい煩わしいことがあるんですけども
その煩わしさを解決してくれる
ソリューションが出ていることに気づきまして
それを買って使ってみたんで
それを紹介したいと思うんですけども
はい
2人はどうかな
僕結構くるぶしぐらいのソックス履くんですよ
夏は
はいはい
短パン履くことが多いから
っていうのもあるのかもしれないですけど
そうなんですよねやっぱりね
でくるぶしのソックス履いてると
54:01
もうなんか家
靴履いて家出て
エレベーターの前に行ったらもうかかと出てるみたいな
わかる
ない?そういうの
ある?たまにある
そう
それももう織り込み済みやからさ
かかとめっちゃ意識で下がれへんように
靴ベラ使って履いて
ちょっとキュって上げたのに
エレベーターの前でも下がっとるんですよ
もうめちゃめちゃ嫌で気持ち悪いじゃないですか
あれ
今までいろんなやつ試してきたんですよ
かかとの部分にゴムみたいなやつが
貼り付けてあるやつとか
三本線とか二本線とかで
太めに貼り付けてあるやつとか
滑りにくくするための
やつですよね
これからそういう靴下を
履く人も増えてくる季節になってくるので
今年もその季節が
やってくるなと思ってて
たまたまバラエティのテレビ番組を見てた時の
CMに出てきた靴下があって
岡本っていうところが
作っている靴下で
ココピタっていう靴下があるんですけど
もう滑らないと
しかもいろんな色
いろんな形
深履き浅履きとかっていっぱい
男性用女性用とかいろいろあったりする
ラインナップもいっぱいあるんですけど
それを買ってみました
そこは何
ソックスとかを専門に扱っている会社なの?
それ以外のものも
いくつか扱ってるんですけど
繊維系のやつとか
扱ってるんですが
CMやってるのは
ココピタを結構やってて
深夜の番組11時12時ぐらいの
番組の合間に流れてたんですけど
これ良さそうやんかと思って
買ってみたんですよ
届いたから開けてみたら
かかとのところが
今までは横に三本線とか
太めに貼ってるっていうものが多かったんですけど
ここのやつは小文字型が
逆さまになってる感じ
開いてるところが下
こうあるでしょ
カタカナのこう
カタカナのこうを
下に向けます開いてる方を
要は四角形の下の辺がない感じ
なるほど
その形にやられていて
横向きだけじゃなくて
縦向きにもずれを止めるようなのが
小文字型についてると
ちょっと説明じゃ分かりにくいけど
そうそうそうそう
それを履いて
散歩に行ってきました
1時間半から2時間くらい
どうでした?
全くずれなかったですね
全くずれないです
めちゃめちゃいいですね
これ分厚めのやつとか
もっといろんなパターン出てきたらいいのにな
って思うくらい
かなり良かったので
煩わしさから解放されると思います
素晴らしいね
追加で3つ買っちゃいました
すごいね
今サイトを見たら
いろんな靴下の製品があるから
靴下とかの
もともと専門の会社なのかな
もしかしたら
57:01
そうなのかな
僕も初めて知ったんですよね
すごいね
お二人はそういう
くるぶしぐらいのやつ履きます?
夏場はしょっちゅう履くよ
本当ですか?
ぜひ試していただきたいな
夏場はそれしか履かない?
僕もそうなんですよね
浅めの靴
ローカットの靴しか
ほぼ買わないので
よほどのことがないと買わないから
確かにハイカットの靴に
その靴下は厳しいよね
いらないので
普通のソックス履くやろって話ですから
でも僕持ってるうちの
95%くらいは
ローカットなので
ずっとこの問題がついてまわってたんですよ
解決したじゃん
リスナーの方に
プレゼントしたいくらいの
おすすめ
かなりの
番組特製
ソックスを
作りたいくらい
それくらい感動したと
僕ちょっと最近考えてたんですよ
番組特製ステッカーとかでも
作っちゃうかなと思ってた時に
番組特製ソックスめっちゃおもろいなと思いながら
おもろいね
でもさステッカーって言えば
作ったことあるよね
名乗りますステッカーですね
アノニマスと疑われるので
アノニマスですかって聞かれるから
ちょっとよさそうなんで
もしかかとずれずれ問題に
お悩みの方いらっしゃいましたら
一足くらいちょっと買って
Amazonでも売ってるので
色々そのサイズはないですとか
この色はないですとか
ってのがあるから早めにちょっとチェック
気になる方はチェックしてみた方がいいんじゃないかなと思います
はい
ということで私からは以上でございます
おすすめのあれでした
はい
時間もかなり今回もちょうどいい感じの
時間ですね
慣れてきたなこの感じねもうね
だいたいいい感じで動され収まるよね
そうですね
狙ってるわけでもないんですけどね
そうそう全然狙ってないですよ
なんかほぼ時間見ずに喋ってますけどね
いつも
はい
ということで今日はこれぐらいですかね
はい
じゃあそんな感じで皆さんまた
来週のお楽しみお便り待ってます
バイバイ
59:24

コメント

スクロール