00:00
前回、タイトル普通にしてしまいました。 内容をちゃんと踏まえたタイトル。
反省材料のところがちょっとわからなかった。
サムネ見た?サムネ。 見たよ。
誰も何も突っ込んでくれないんですけど。
どんなサムネだったっけ? 山道?
山道というかみたいなところに矢印があって、その矢印の上にハートが並んでる画像。これ僕加工したんですけど。
フリー素材拾ってきて加工したんですけど。
作ったんですかこれ。わざわざ加工したんですか。
わざわざ加工したんですけど、わからなかったってことですよね。何も伝わってない。
全然伝わってない。
矢印の奥の方じゃないですか。奥を指してるじゃないですか。ハートがあって。
奥地の恋人ですよ。
全然わかんないよそれ。
奥地の恋人。ゼロを紹介したから、奥の方の土地の奥地の恋人。ハートで奥地の恋人ですよ。
前回に続いて企業のキャッチコピーシリーズ。
それ繋がりで行ったの。
それは気づかなかったな。
毎回毎回ちゃんと考えてるなって思いますよね。1週間のうちで一番頭使ってるんちゃうかな。
どこに行こうとしてるの?
下手するとね。
今日メール見てて、「何これ!?」っていうメールが来てたんですけど、お二人も来たことあるかなって聞きたくて。
ドロップボックスからメールが来てたんですよ。
タイトルが、「ドロップボックスから3314件のファイルを削除しました」っていうタイトルが来てて。
え?
え?ってなるじゃないですか。
来たことある?
そんなメールないよ。来たこと。
僕もファイルを何件消しましたって初めて聞いたんですよ。
これ僕、身に覚えが言われればあったやつなんですけど。
最近ご利用のドロップボックスアカウントから3314件のファイルを削除されたようですが、2021年12月13日まではこのファイルをいつでも復元することができます。
あれデフォルトではっていうか、アカウントのあれはライセンスによるんだっけ?
多分払ってる金額とかによるかもしれないですね。
03:02
多分ね。でもまあ普通デフォルトで1ヶ月はそのままだもんね。
消したのが11月の14日で。こんなん来んねえやと思ってね。
まとめていっぺんに消すと、一応これ大丈夫ですかって。
間違いかもしれへんとかっていうのがあるかもしれないですね。
僕は1個のコンピューターでログを取ってるんですけど、そのログをドロップボックスの同期フォルダーに入れてるんですよ。
どのコンピューターからもそのログを後から集計したりするのに使えるんで、どのコンピューターかでも見れるようにしてあるんですよね。
それに使ってて、エラーログも含んで、例えばチェックしに行ったりとか自動でチェックしに行った時にチェックできなかった時に一応エラーログも残してるんですよ。
そのエラーログがもういらなくなったと思うのがあったんで、一気にドバーって消したんです。
なるほど。
それのことを言ってたんですけど、ちょっと時間が経ってから、2週間ぐらいしてからこういうの来ると、一瞬ピンとこないんですよね。
何かやったっけなあみたいなね。
そうそうそうそう。
もしかしたら大量だと来るのかな、これもしかすると。
かもしれないですね。
僕も過去にドロップボックスの何件のファイルを削除しましたとかで検索してみたけどなかったもんね。
これも見覚えないな、自分では。
何件ぐらいから来るんだろうな、これ。やってみるか。
3000件とかあんまりないよな。
そうそう、私ちょっとツイさん偉いなって思ったのは、ちゃんと仕分けっていうか整理っていうか、ちゃんとやってるの偉いなって思いました。
ストレージの整理整頓みたいな。
やっぱりさっきテラって言ってたから、いっぱいスペースがあるわけで。
スペースはめっちゃ余ってますよ。
無人像は言い過ぎかもしれないですけども、本当に意識せずとかとかファイルを置けるわけじゃないですか。
それ結構いらんもんとか残るじゃないですか、なんだかんだ。
まあそうですね。
それでちゃんとそういうの消してメンテしてるって偉いなって思って、私むしろ全然してないんで。
そうなんですか。人に共有するために置いたやつとか消し忘れがちですよね。
それはやってるかな、けどやっぱり自分の中でいらないものとかをちゃんと整理してないかなと思って。
僕はアクセスできなくはするんですけど、消すとかそのまま消してなかったりとかって結構あるんですよ。
一応自分しか見えなくはなってるんですけど、削除せずにアクセスを切る、アクセス権を切るみたいなことしがちかな。
もうすぐ年末だから大掃除しようかなって話聞いててちょっと思いました。
今年の汚れ的な。
僕はでも整理しないといけないからしたわけじゃないんですけどね。
そうなんですか。
たくさんログファイルの中からある文字列を抽出することが結構多くて、ファイル内検索っていうのをするんですよ。
06:02
だから無駄なファイル数が多いとファイル処理が増えるから遅くなって嫌やから消したんです。
それもちゃんとしたメンテナンスだと思いますけどね。
本当ですか?やったーなんか褒められた。
なんかもうちょっと気分良くなってきたな。
気分良くなってきたからね、お便りの紹介しようかな。
そうそう。お願いします。
お便り結構来てます。
前回紹介したゼロっていうお菓子あったじゃないですか。
お菓子というかお菓子だけじゃないけどいろいろあったじゃないですか。
それがお好きだったらということでグリコの素直っていうのがあるんですよ。
アルファベットで素直。
素直っていうのがあっておすすめです。
糖質ゼロとまではいかないもののアイスの種類が豊富でしかも100キロカロリー前後。
ビスケットやクッキーもあるようですということで。
もちろん存じておるんですこれは僕。
なるほど。
素直はゼロにはないリゾットとかもあるんですよ。
チーズの後のリゾットかな。
美味しそう。
チョコバニラのソフトクリームとかアイス。
あとビスケットとかも結構あるんですけどもちろん食べました。
全部じゃないけど食べたんですけど多分素直の方が軽いんですよ。
カロリー的なやつで意味で言うと。
でも食べ比べた結果カロリーは少ないけどやっぱりその分味もちょっと弱いっていうのがあって。
比べた時にゼロの方が多いんだけどもこれぐらいの味が出てるんやったらこっちの方がいいかなって思ってゼロの方をよく食べてる感じ。
素直ももちろんたまにかかったりとかしますけど。
確かにこれ2つあるから見かけた人は食べ比べてみてもいいかもしれないですね。
確かにね。
自分に合う方。カロリーをとるかちょっとのカロリーをとるか味をとるかみたいなのでやってみるのもいいかもしれないなと思いました。
結構見てくださった方は食べてくれた人多かったみたいです。
作業しながらいいかもとかコーヒーに合うとか書いてくれてましたね何人か3,4人の方が書いてくれてましたよ。
その後ですね、交通事故に遭われた方みたいなんですけど交通事故にあった時もしばらく聞くのが滞って家族の方が救急搬送案件があってこのポッドキャストを100回直前ぐらいから聞けてなくて滞ってたんですけども
エモテッド復活のニュースに触れ久々に聞きました。そんな行動に借り立てる点でもネームバリューの威力を実感しております。
エモテッドのニュースバリューがあるなっていう。やっぱあるんですねネーミングって。
ブランドの力って大きいんやなーって。
エモテッドもね、先週だっけ取り上げだろ?忘れちゃった。先々週だっけ?忘れちゃったけどさ。復活したって言ってからまた活発になってきてるみたいだもんね。
09:04
いやいやちょっと気をつけないとね。
それと同じ方がね、ぶら下がる形で書いてたんですけど、ちょっと気になることを書いてくれてまして。
たまに編集長の中に女子高生が入っているんじゃないかと思う感覚があるのですか?
え?どういうこと?
わからないんですけど。久々に聞いてもそれがあってなんかホッとしました。
通天閣登った話のあたりの言葉の勢いがそうだし。
え?わかんない。
難しいですよね。だってね、僕ら3人多分ね、もう長らく女子高生と話してないと思うけど。
知らないですね。
そう、わからなくなって。
接点ない。
ないですよね。
接点ないもんね。
セキュリティとかって言っても僕らスマホの安全教室的なみたいなやつで話しに行くとかもないじゃないですか、学校とかに。
そうね。
あっても大学とかやもんね。
接点あってもわかんないと思うけど。
どの辺を見出したんですかね、編集長に。
通天閣登った話のあたりの言葉の勢いってのは。
これ聞き直してみたんですけど、やっぱりちょっとわからなかった。
何かがそう感じられたんだね。喜んでいいのかどうかよくわかんないけど。
でもほら、若さがあるっていうことね。
そうそうそうそう。
ポジティブに。
ありがとうございます。
これまた次もネギスさん絡みになってしまうんですけど。
前回紹介していただいたFirefoxリレーを使ってるユーザーの方ですね。
いるんだ。
すごい。
そうそうそう。やっぱりそういうどうしても登録したいけどあんま信用できひんかもなみたいなサービスを使うときに便利に使ってるし、
使いやすさもどのアドレス当てに来たやつかわかるようになってるんで便利に混乱せず使ってますみたいなコメントを書いていただいてたんですけども。
いいですねいいですね。
その方が教えてくれてました。Firefoxリレーがセキュリティの初めて取り上げられたのはおそらく第74回です。
マジで。しゃべってる本人より詳しいじゃん。
ちなみにこの時1回きりだよというふうに言われていた編集長のニュースレターも今まで続いていて感慨深いですという。
あ、思い出した。ニュースレターってツイッターがレビューっていうところを買収して新しいサービスを始めたから使ってみました。
1回きりだけどねみたいな話を確かしたね。
メールアドレスうんうんで見えちゃうから気をつけようねっていう話をしてくれた。
言ってた言ってた。
そうそうあの時にツイッターと連携してそのまま使うんだけど大抵の場合にはうっかりそのままレター出しちゃうとニュースレター出しちゃうとツイッターのメールアドレスがそのまま出ちゃうよって話を確かしたんだよね。
で俺その時にそれが嫌だからFirefoxリレー使ってそのアドレスを実は俺は使ってるって話を確かしたんだ。
12:00
あーすごいすごいなそれでもさ、それ多分どこにも書いてないから覚えてるか多分ここじゃないって聞き直さなきゃわかんないよね。
ショーノートにもFirefoxリレーのリンク貼ってなかったってことですか?
貼ってないんじゃない?俺貼った記憶ないけどな。貼ったかもしれないけど覚えてない。
それもう覚えてないの?
覚えてないけど。辻信寛メモがあるかもしれない。
あー確かに。
辻信寛メモね、辻信寛メモにあるかなそんなこと書いてるか。
いやーないかもないかもね。74回っつった?
あ、リンク貼ってある貼ってある。今見たら確かに。あーなるほどねここに一応リンクは紹介したんだ。
あ、ほんまや74回真ん中ぐらいにリンク貼ってますね。
紹介した本人も忘れてるけどすごいな。
全然笑い出てこなかったし。
ありがたい。半年も前だからな。覚えてなかったな。
僕がキムチ君マークを紹介した時に。
そうだねそうだね。すごいね。毎週やってるともう半年も経ったら忘れてるね。
ありがとうございます。
2月の6日か収録日が。すごいですね。探してくるのもすごいですね。
すごいありがとうございますね。
そういうお便りをいただいておりました今回。
はい。
ということで本編の方に行こうかと思うんですが、今日はもう僕からにしますわ。
はい。どうぞ。
今日は僕が紹介するのはですね、このポッドキャストでもたびたびこういう話を取り上げてると思うんですけども、
パナマのセキュリティ企業のノードセキュリティっていう会社。
VPNやってるとかあるじゃないですか。
ノードVPNね。
そこが11月17日にセキュリティインシデントを研究しているような専門家とか研究者と協力して、
4TBのデータベース、おそらく漏えいしたパスワードとかだと思うんですが、
こういったものを調査してよく使われるパスワード、日本の記事とかだったら使っちゃいけないパスワードトップいくつが出ましたとか、
よくあるやつだ。
そういう触れ込みで紹介されるようなやつが、いろんな会社が声出したりするじゃないですか。
それのやつが出てましたっていうことなんですけど、
相変わらずよく使われるパスワードの上位ってのは似たようなものばっかりなんですが、
世界は123456が1番でした。
2位が123456789。
ちょっとレベル上がったやんけみたいな。桁数出たみたいな。
3位になると12345って減るんかいって思ったんですけど、そんな感じで。
日本は123456っていう世界との1位とは違っていて、
日本はパスワードっていうのが1位でした。
国によって違いが出るんだね。
そうそう。これあれなんですよね。
15:01
昔からこういうので集計結果とか出てたりしますけど、
一時期ずっとパスワードが1位だったんですよ、これ昔からね。
アドビの情報漏洩あったじゃないですか、大量の。
2000、何年でしたっけあれ。
12年とか3年とかかな。
12、3年ですよね、たぶんね。
そのあたり。
ギリギリ全職の頃やったと思うから、たぶんそれぐらいだと思うんですけど。
それで入れ替わったんですけど、日本は入れ替わってなかったんですね。
なるほど。
それに次いで世界での1位のやつの123456が日本では2位という風になってるんですけど、
これ結構トップ200出してくれてて、
パスワードに次いで単語、数字とかじゃなくて単語的なやつでは6位のメンバーっていうのが6位なんですよ、日本語で。
日本語圏の人で。
メンバー。
なんでメンバーなんすかね、これ。ジャニーズ的な意味なのかな。
それ言うかなってちょっと思ってましたけど。
ジャニーズファンはつけるのかな、わかんないですけど。
つけないじゃないですか。
つけないですかね。なんでメンバーなんすかね。
ジャニーズファン、しかもそんな多くないと思いますけど。
6位に押し上げるほどにはならないだろうと。
ランキング石鹸するほどの数にないと思うんですけど。
人名的なやつで一番上のやつはどれかなと思ったら、21位が高博っていうのが21位です。
高博。
有名な人いたっけ。
多分高博で一番日本で有名なのはEXILEの人だと思うんですけど。
あーなるほど。
そうなんですよ。14254件も高博なんですよ。
有名人だとファンがつけるとかね。
ファンのEXILE効果なんですかね。
そういうのあるかもしれないけどわかんないけど。
それかもしくは高博っていう人はモテる人が多いのかもしれないですね。
どうして。
何なんですかそれ。
パスワードにされちゃう良い男ランキングみたいな。
いやーわかんないけど。
かもしくは高博さんは情報漏洩しがちなのかもしれない。
そんなことじゃないよ。
パスワードに自分の名前つけちゃってる人が漏洩しやすくなってる。
ヒロシリーズで信博は入ってなかったんですか。
入ってないです入ってないです。
入ってなかったですか。
一応僕も明治安田生命の名前ベスト100っていうサイトで見てみたんですけども
高博って別に多くもなくてランキングに全然入ってないんで
なんでこれ入ってるのかよくわからなかったですね。
EXILE効果なのかもしれないですし
あとは漏れたサイトによって偏るってのもあると思うんで。
それはあるかもしれないですね。
なんか25位とか見てみるとフジテレビパスっていうのが入ってるんですよ。
25位に。
何かしらの偏りがもしかしたらあるのかもしれないなっていうのはここからお伺いしれますね。
数字単語以外のものだと2つの言葉組み合わせみたいな
18:04
ネコネコとかっていうのが多いんですけど
200位以内なんですが
188位には3100件でピヨピヨっていうのが入ってたんで
河村さん気をつけてくださいね。
大丈夫ですピヨピヨは使ってないです。
これ気をつけないとダメなんで。
いろんなアプローチでレポートが進んでいくんですけども
国別で個人で流出しているパスワードの件数が一番多い国みたいなのがあって
ぶっちぎりなんですよ。
ロシアで1人当たり19.9件。
1人当たり?
1人当たりの個人での流出パスワード数ですね。
フランスが2位で6件。
だいぶ離れてますね。
日本はグググっと空いて
日本は1人当たり0.68件です。
そういった国とか性別とか切り口とかで
2つの国を比較したりするようなページも
このノードパスのところにあるので
よかったら見ていただければいいんじゃないかなと思います。
興味を引くような見せ方をしている点で
他のパスワードトップいくつよりも
面白いなと思いましたこの見せ方。
例えば多くの国で動物関連のパスワードで
1位のものは何か。
イルカなんですよね。
ドルフィン。
アメリカで男性よりも女性の方が
iwというパスワードを使っていました。
これ倍以上女性の方が使ってた。
男性の中ではメタリカよりもスリップノットの方が
よく使われてたとか。
これバンドの名前っすね。
こういう見せ方するっていうのは
興味を引くって意味だとすごくいいなって思いましたね。
どうでもいいけどへーみたいな。
そうなんやっていうね。
手をかえしなおかえね。
どれかでも自分にやばって思うのがあれば
気をつけてもらうとかそういうのに繋がればね。
興味を持ってもらうのは大事だよね。
あとはお前スリップノット好きって言ってたけど
パスワードではメタリカに負けてたなみたいな
今の話題はだいぶニッチな話題だと思いますけど
話題にもしやすいっていうね。
それだと私パスワードつけようとかだったら困るじゃん。
困る困る。
確かに確かに。
でも話題になることはいいことじゃないですか。
そうですね。
そういうものが出ていましたというところなんですけど
そんな中ですねパスワード関連というところで
もう一つ紹介したいことがありまして
イギリスでパスワードに関する法案が議会に提出されたというニュースがありまして
どんなやつ?
長いんですけどね。
プロダクトセキュリティアンドテレコミュニケーションズインフラストラクチャービルという
製品のセキュリティおよび通信インフラに関する法案
PSTIというやつがすげえ長い名前で
21:01
若干甘噛みしてしまいましたけれども
どんなものかというと
パスワードとかアドミンといったような推測しやすいパスワードを
初期のパスワードとしてデジタルデバイスに設定することを禁止しようということを目的としている法律です。
なるほど。
似たような法律どこだっけ?カリフォルニアかなんかで前あったよね。
州のやつでありましたね。
州法でね。
そうそうそうそう。
これ対象となるのはデバイスメーカーですね。
イギリス向けにそういったデバイスを販売する小売店やオンラインショップもこの範疇に入るそうです。
デジタルデバイスというふうに言ったんですが
今時ほら何でもかんでもネットにつながるじゃないですか。
なのでゲーム機とかインターネット接続に対応している家電、おもちゃ
いわゆるIoT全般というふうに考えた方がいいのかと思うんですけど
そういったものを対象とします。
どんなものが案として挙げられているのかというと
初期パスワードは個々の機器ごとにユニークなものでなければいけない。
大事ですね。
ランダムな文字列だからといってデフォルトパスワードが同じとかってのはダメだと。
そりゃそうだよね。
で、セキュリティパッチやアップデートの提供予定をユーザーに伝えるという義務が発生します。
これ当分アップデートないというふうなことがあればないということも通知しないといけないらしいんですよ。
買うときのちゃんと判断材料にできるようにってことかな。
そうそうそうそう。
で、あとはこれもたびたびいろんな製品で問題になりますけど
脆弱性を誰かが研究者とかが発見したときにその発見者が連絡する窓口をここですというふうに公開をしなさい。
大事だよね結構ね。
ちゃんとしてるところまでこれは言われずともやってたりとかするところもありますけど
大半ないですよね。専用窓口みたいなものは。
あとほら難しいのはさ、IoT系ってそういう一部の部品はOEMのメーカーが作ってるとか
どっかから調達してきてるとかで
売ってるところとその脆弱性を作り込んでしまったところとメーカーが違ったりするじゃない結構。
確かにですね。
そういう場合に結局どこに連絡していいかわからなくなっちゃうから
そういう意味では販売したところが自分の自社の製品について責任を持って受け付けるっていう風にしないと
ユーザーからはわかんないからね。
そうですよね。このチップに脆弱性とかっていうニュースがあった時って大体すごく影響範囲広いですよね。
いろんな製品に組み込まれて
世界中のあらゆる製品に使われてるとかっていうこと結構あるからね。
そうですね。
これ結構違反した場合の罰金とかもちゃんと書かれていて
そうそうそれ気になる。
最大で1000万ポンド。
結構大きいね。
日本円で15億以上ですね。
24:00
もしくは世界市場で売った売り上げの4%
最近そういうの多いよね。
改善されない場合は最大で1日あたり2万ポンド日本円で300万円ぐらいですね。
毎日300万円ですよ。
まだ決まってないですけどね。
こういうのどうですかみたいなのが提案されているという現状だそうです。
こういう外圧もいいのかもしれないなとか思ったりはするんですけど。
本来であればこういうのって作る側が自主的に基準を設けるなり
例えば業界としてのガイドラインを定めるなり
やってるところもあるしやるべきだと思うんだけど
現実問題そういうことをすると結局セキュリティを
さっきの1個1個ランダムにとか
ややこしいことをするとかさ
全部コストに跳ね返るから
結局やるインセンティブが全然ないっていうか
やらなくても別に何の罰もなければさ
やらないじゃん。
それが今のIoT機器のボットとか
いろんな問題を生んでいると考えると
しょうがないかなっていうかね
こういうのでもないとたぶん進まない
改善しないだろうなっていう気はするよね。
そうなんですよね。
ネギさんがこういう意味かなと言ったら
パッチのアップデートとか今後どうなのとかっていうのは
判断基準になるという意味ではすごく透明性があって
お客さんも選びやすくていいかなって
そういうのがない製品とかは
投下されるっていうのは自然でいいよね。
見えやすくていいかなっていうところもあったんですけど
これいいなとは一瞬思ったんですが
結局ランダムなパスワードを初期設定とかでやってたとしても
ユーザーが変更しないといけないってなったときに
ユーザーが変更したパスワードが弱かったらどうすんねんって話ですよね。
でも変更しないでランダムな初期パスワードを使っても
そこまで危なくはないじゃん。
それを使っている分にはね。
全部に違うけど
パスワードの設定ロジックが簡単だったらダメだけどさ
そうでないものがついてるんだったら
結構初期パスワードそのまま使っちゃうユーザーいて
それはあんまりいいとはされてないけど
でも危険でないというか
簡単に推測できないものが使われてるんだったら
悪くないんじゃないかな。
ユーザーがパスワードとかに変えたらどうすんねんって問題がありますけど
変えられないようにすればいいんじゃないの。
もしくは弱いパスワードは通らないようにするとかってことですよね。
それも変更できないようにするっていうのもまた問題はあるんだけどね。
27:02
そうなんですよね。
ユーザーがつけるパスワードっていうところの課題は残るし
対象がIoT機器ではありますけど
ウェブサービスとかの問題もまだまだあるわけじゃないですか。
この辺とかどうしていくんだろうなみたいなのが
今後気になるなと思いますけどね。
でも一つの
イギリスだけじゃなくて
おそらくこういう方向なのかなって気がするね。
いずれどの国もこういう方向に動いていくんじゃないかみたいな。
そうですね。
これは法案が通って施行された後
ガッと減りましたみたいなニュースが出たら
我が国もみたいな風になっていくのは
ように想像つけますもんね。
イギリス一国だけだと
仮に効果が高くても市場として狭いから
あんまり影響力がないような気がするけど
これがEUとか米国とかって広がっていったら
これはってなるよね。
そういう方向に
行くのがいいのかどうかわかんないけど
行きそうな気はするな。
自然な流れな感じがしますと。
こんな法律がなかっても
このPodcastを聞いているユーザーの方は
パスワードつけてるでしょうということですよ。
ユーザーが弱いものに変えるのは良くないけど
ある意味ユーザーの責任じゃない。
このIoT系の問題はユーザーが変更できない
弱いパスワードがデフォルトについてるのが
問題なんで
ベンダー側が何とかしないとどうにもならないから
ユーザーは
ユーザーはちゃんとやろうってのは変わらないけど
今回の法律とかは作る側の責任問題じゃない?
そうですね。売る側の方の問題ですからね。
だからそれがどうやろうとユーザー側は
これまで通りちゃんとやろうぜってのはその通りだよね。
ということで
僕からは以上でございます。
次はねぎすさんお願いしていいですか?
はい。私は今週はですね
何を紹介するかというと
Googleが最近出した
レポートスレッドホライズンズレポートっていう
なんか新しい名前のレポート第1号っていうのを
今週出したんだよね。
初ですね。
どういう経緯で出たのかわからないけど
今週の11月24日に第1号レポート
第1号って書いてるからこれから定期的に出すんだろうね。
この中で最近の公益動向とか
Googleがいろいろ観測している内容を
レポートとして公開しているのでちょっとその内容を
軽く紹介したいなと。
このレポートの中ではトピックとして全部で5つ
紹介していただいた。例えば中には
APT28ファンシーベア
30:01
ロシアの攻撃者グループの
フィッシングのキャンペーンの話だとか
あとはブラックマター
っていうランサムウェアの話だとか
代表的な最近のトピックを取り上げているんですけど
今日はその中で1個だけ
紹介しようと思っていて
そのトピックの中で一番最初に大きく取り上げられている
ものでGoogleかGoogle自身が
提供しているクラウドサービス
その環境に対する攻撃動向
というのを
レポートで紹介してくれているのでこの内容を
ご紹介したいと思います。
Googleのクラウドサービスって
結構大規模なものだけど世界中で提供しているけど
その中でもごく最近
実際に起きたGoogleクラウドの
環境に対する侵害事件
50件の侵害事件というのをピックアップして
こういうものでしたよというのを紹介しているんだけど
何を目的として攻撃かというと
その50件のうちの86%というか
43件が
仮想通貨のマイニングが目的でしたと
最近あまり聞かない?
そう俺もちょっと意外な気がして
全体の8割以上がマイニングなんだ
という感じでこれが
大きく占めているとつまり侵入して
勝手に他人のGoogleのクラウドの
インスタンスに侵入をして
マイニングプログラムを勝手に動かして
仮想通貨を稼ぐのに不正に使っている
という事例が非常に多いと
久しぶりに聞いたけどやっぱりマイニング勝手にされといて聞くと
ゾッとしますね
何でか知らないけど何でなの?
何でなんですかね?
前世の記憶みたいな
子供の頃のトラウマとかから
それはちょっと大変申し訳ない
大丈夫です
8割9割近くをそういうのが占めていて
あとは1割以下なんだけど
そこに侵入してから
インターネットのスキャンをするだとか
あとは他の小駅に使うためだろうね
マルウェアをそこに設置するだとか
自分たちが使える場所に勝手にしてしまう
そういう感じのものが色々あるんだけど
ファイル置き場とかね
いずれも10%以下という事で
全体から見ると少数派なのかなという感じで
その攻撃の理由というか
それが意外な感じがしました
それから侵入された原因は何だったかというと
これは全然意外でも何でもなくて
原因の第1位は
弱いパスワード
33:01
ないしはパスワードが付いていないアカウントから
侵入されましたというのが
これがほぼ半分で48%
を占めていますと
未だにこういうのがやっぱり上位に来るんだなと
第2位がソフトウェアの脆弱性を
悪用されて侵入されましたというのが
26%でこの上位2つだけで
全体の原因の4分の3を占めている
という事で
非常にある意味ね
簡単な侵入原因というか
防ごうと思えば簡単に防げるはずだよねという
不注意みたいなものだなって感じですね
そういう事ですね
利用者側のミスでという事だよね
これが多くを占めていると
それから仮にそういう原因だとして
どのくらいのスピードで侵害されますか
というのも一応調べていて
これは本当に早くて
一番早いやつだと
インスタンスをインターネット上に
ポチッと公開してから30分以内で侵入されています
早いよね
もうちょっと全体を見ると
全体の侵害事件がおよそ40%は
8時間以内で侵入されているという事で
これはおそらくだけど
Googleも推測で言っているけど
定時の時にいつもスキャンをしていて
侵入できるものがあったら即行で侵入するという事を
ずっとやっているんだろうと
じゃなきゃこんな早い時間で見つけて
侵入してくるってありえないので
僕らがよく話題にするようなイニシャルアクセスブローカー的な
人たちの動きみたいな感じですかね
そうかもしれないしね
いつもスキャンしているという感じなんだろう
しかもさっきの侵入原因の
およそ半分くらいがパスワードがないとか
弱いパスワードとかって言っているから
そういうのでずっとスキャンしていれば見つかっちゃうよね
時間かけて手間かけてやったらやっただけ
結果が出る状況が続いているってことですね
そうだね
8割以上がマイニングを目的としたって言ったけど
マイニングだけで限って
時間を見ると
すごい早いやつは
侵害されてから22秒以内に
マイニングのプログラムが置かれて実行されている
もっと早いやつはほんの数秒とかだな
全体の58%が
22秒以内って1分以内で
ほとんどやられているということで
これはおそらく
いわゆる自動のスクリプトで
その速さは
36:01
スキャンしてパスワードが弱かったら侵入して
どっかからマイニングのスクリプトをコピーしてきて
実行してっていうのは多分全自動で行われているんでしょうね
そういう感じだよね
マイニングをガンガンスタートするという
そういう感じで
非常にスピード感が早いということが
Googleの事例からは分かっているということだね
これだからGoogleが言ってるのは
おそらくだけど
Googleクラウドが使っているIPレンジっていうのは
ずっと攻撃者から監視されていて
定常的に自動の侵入スクリプトってのが
スキャンされている状態でしょうとおそらく
なのでGoogleクラウドのユーザーは
そういう危険な状態で
インスタンスをインターネット上に公開しちゃったら
それぐらいのあっという間に
侵入されて悪用されるというふうに覚悟したほうがいいですよと
いうことを言っていて
でも侵入原因が非常に簡単な原因で
およそ4分の3は侵害されているから
きちんとパスワードを強くしましょうとか
あとはGoogleクラウドにも贅沢性があるかないか
スキャンする機能とかがあるから
そういう標準の機能を使って
問題がないかチェックするとか
最新のソフトウェアの状態にいつもアップデートしておくとか
そういう基本的な対策をするだけで
全部防げますよということを言っていて
結局結論として言えば
基本的な対策が徹底していないと
当たり前だけどやられちゃうのねというのと
あと僕がもう1個気になったのは
これはGoogleのレポートなので
Googleクラウドの話だけを言っているんだけど
おそらくだけど似たような話は
AzureだろうがAWSだろうが
全般に言えるんだろうなと思うので
今はクラウドのサービス
個人であれ企業であれ
こういうパブリッククラウドのサービスって簡単に使えるから
誰でも使っていると思うんだけど
各クラウドのサービスを使う上でのベストプラクティスがあって
セキュアに使うためにこういう使い方をしましょう
というのが最初にガイダンスであると思うんだけど
結局そういうのをあまり従わずに
弱い設定とかでやってしまったりすると
こういう常に獲物を狙う攻撃者っていうのが
ずっと見張っている感じなので
獲物を待っているところに差し出しちゃうような感じになっちゃうから
これはやられてもしょうがないよねという気がしますねということで
こういうパブリッククラウドを使う人は
その辺本当に気をつけたほうがいいよと
昔さ
だいぶ昔だけどネットに
脆弱性のあるWindowsをつなぐとほんの数分で乗っ取られるみたいな
そういうセンセーショナルな記事が出たことがあったじゃない
ありますね
ファイアウォールなしでやるとどうなるかみたいな
39:02
IoT機器をつなぐとか
そうそうそういうのもあったでしょ
だいたいそういうのってよくやるっていうのは
センセーショナルにそういうの書かれがちなんだけど
今のこのパブリッククラウドの状況を見ると
全然誇張でもなんでもないっていうか
弱い状態でつないだらやられるっていう覚悟をしないといけませんよと
なんかちょっと殺伐とした感じはするけど
それが実態ということだよね
そういうクラウドサービスの今の公益の現状っていうのが
少しまとめて書いてあったので他にもいろいろトピック
残り4つあるのでぜひ興味があると思った方は
レポートを見ていただきたいなと思います
私からは以上であります
いやもう30分ぐらいで来るっていうのかそうか
僕も昔コードレットとかニムダとかの
ハニーポッド的なことをやろうと思って
学生の頃にね
生でインターネットに直接
正直性のあるWindowsつないだら10分もたなかったですね
ああそうだよね
もうポコってフォルダの中に作られて
あったから
今はクラウドとか自動化されたものとかが
ずっとスキャンで走ってるんだったら30分
30分で早く来るのもありそうですけどね
タイミングによったらね
常に目に見えへんから分かりにくくて
ニュース記事とかそういうセンセーショナルな言い方するけど
こんなもんが当たり前なんだっていう風に
みんな認識として持たないといけないですね
今回の大多数は
たまたまというかこのレポートでは
86%がマイニングだって言ってるんで
直接的な被害っていうのは
結局お金なわけよね
不正にCPUとかGPUとかリソースを無駄に使わされて
膨大な請求書が来るみたいなさ
そういう感じであんまり情報が漏れるとか
そういうところではないんだけど
でもそればっかりとも限らないから
たまたまスキャンしてる攻撃者が
そういうのを狙ってたってだけで
別のやつが入ってくるかもしれないし
さっきの推算の話じゃないけど何使われるか分かんないから
どういう被害があるかってのは
攻撃者によって変わってくるし
そこはあんまり軽視しない方がいいんじゃないかな
っていう感じですね
どういうカラーかっていうのも見ておきたいんで
僕も今日紹介いただいた以外のところも読んでみようと思います
ぜひぜひ
ありがとうございました
最後は神田さんですね
今日はバザーローダーっていうマルウェアが
使っている手法
感染させる手法の
話をしたいなと思ってまして
42:02
ちょっと前なんですけどね
2021年11月11日のポッキーの日に
ソフォス
何の日?
ポッキー&プリッツの日
さっと行こうと思ったんですけど
ちょっと捕まりました
ソフォスがこういう攻撃手法を確認しましたっていう
報告をブログに上げているんですね
どんな方法だったかっていうと
バザーローダーって
先行マルウェアっていうんですかね
感染後にいろんな別のマルウェアを呼び込んで
さらに深刻な被害を及ぼすという類の
スパムであるとかっていうので
広く巻かれるということで
中には実際に届いた方ももしかしたらおられるかもしれないんですけど
今回ソフォスが報告したケースも
最初の取っ掛かりというか起点の部分は
メールで来るというもので
メールの文中にURLが記載されており
そのURLをクリックすると
マルウェアにバザーローダーに感染しますよ
っていうものではあるんですが
ここで感染させる際に使われているトリックが
今までちょっと見ているものとは少し
色が違う
リンククリックしたらいきなり自己ファイルが落ちてくる
とかそういうものではなくて
Windows 10向けにしかおそらく動かないと思うんですけど
Windows 10アプリの仕組みを
使ってユーザーの端末内に
マルウェアを感染させるというもので
実際ソフォスが確認したものとしては
まずメールでいきなりスパムメールが
自分に届いて
そのURLをクリックすると攻撃者が用意した
サイトが表示されるわけですけど
そこにはPDFファイルを
開く準備ができているのでプレビューしますか
そういったボタンが用意されており
それを押してしまうと
また別のページが開いて
アプリをインストールしていいですか
っていうダイアログがブラウザ上で
表示されると
その表示されたダイアログ
これはブラウザが出しているのかな
それをオープンという形で
クリックをすると
アプリのインストーラーの
キックが行われて
表示上はPDFコンポーネントを
インストールしますかみたいな見え方になるんですけど
実際のところここに表示されている内容
っていうのは攻撃者が自分自身で
用意した偽装PDFインストーラー
みたいな形のもので
ここでインストールボタンを押すと
45:01
バザローダに完成してしまう
そういうものなんですね
よくあるマクロ
とかは使わずにユーザーに
感染させる仕組みが報告されており
このトリックというかやり方
というのはあまりこれまで報告されている
ケースってないのかなと思ったのと
結構汎用性が高そうな
Windows 10
Windows 10に限定された方法ではあるには
するんですけども
今回素材としてはPDFをネタに
使われて準備されていたものだったんですが
汎用性高そうだなと思ったものなので
紹介をさせていただいた
というところではあるんですが
今日これなんでそもそも11月11日のネタを
今さら
ちょっと前くらいですけど今取り上げるのか
という話なんですけど
実はこの方法をエモテトが利用しましたという報告が
2,3日前に出てまして
バザローダと同じトリックで
今の偽装インストーラーというんですか
その仕組みを使って感染を試みるという
動きがエモテトの
バラマキメールの流れでも確認されましたという報告が
上がったというところで
攻撃手法が少し
変化が出てきているのかなというところは
ちょっと注意が必要かなというところで
今日紹介をさせていただいたというものです
これさ
効果的な手法を他のマルウェアが取り入れる
というのはよくあることかもしれないけど
実際にこれが
効果があるということが分かったから
使ってるんだと思うんだよね
わざわざやらないわけですからね
それをエモテットがね
しかも復活して今
これから勢いを伸ばそうとしている
エモテットが使い始めたというのは
ちょっとなんか嫌な感じだよね
なんか勢いあるなっていう
なるほどね
なんとなくそれが看護さん的に
アンテナに引っかかったわけね
そうすると少し攻撃者側も手間はあって
証明書がおそらくいるはずなんですよね
そっかそっかアプリのインストールを
装っているから
今回ソフスが報告したのも
どっかの会社の証明書を不正に使っている
という話ではあったので
乱発はできないと思うんですけど
ただ成功率高そうだよなということは
ただ手口は変わっていないので
マクロは実行させないように
48:02
みたいな話は広く言われているんですけど
このケースでは少なくとも
マクロは出てこないので
当然メールの文中に書いてあるリンクを
クリックしないとかそういう基本的な
対策はあるにはしても
誤ってそれをクリックしてしまうような方においては
トントントンと行っちゃうのかなというのは
この方法を見て嫌だなと
これPDFじゃなくて
今風なやつに変えられても嫌だなと思いましたね
特定の国に
すごいアジャストしたような
日本だったらLINEとか
いろいろ応用できるもんね
とかもあるし
会議の招待メールみたいな
例えばZoomを
ブラウザじゃなくて
エグゼでやったらこっちとか
Teamsもそうですよね
そういうのにすると結構入れてしまう率とか
会議通知メール予想ってやったら低下に上がりそうだなと思ったのと
あとはメール
さっき看護さんが言ってたみたいに
止めようにできればねみたいなことじゃなくて
違う経路じゃないですか
メールのリンクに気を付けようってなるんだろうなと思うんですけど
さらに証明書を手に入れてさらに
攻撃者のハードルは上がるけど
正規のサイトにこれ置かれたら嫌ですね
なるほど
アクセスしてきた人
リンクのメッセージが出て
リンクを踏ませる必要なくて
誘導するのは結構大変かもしれないですけど
そこそこ人がアクセスしてくると
国とか人とかも絞れるじゃないですか
感染させると
その辺とかに使われても嫌だなと思いました
会議通知きたら嫌だな
今ツエさんの話聞いてて
確かに会議通知でクリックしちゃって
どうですかみたいな確認ダイアログが出るじゃないですか
割と慣れてるもんだから
普通にOKですっていう形で
ホイホイっておっしゃるのを
割と自分もやってる気がするんで
確かにね
接続するにはコンポーネントが必要でとか言われたら嫌そうだよね
みんなそういうの慣れてるから
そういう意味で確かに応用範囲広そうだな
どうするんですか
聞いてたらそれきますよ本当
ズームとか
もしズームとか発展版が出たら
エモテッドの講義者これ聞いてるってことですよ
100%
聞いてない人も思いつくんじゃない
51:00
これはちょっと嫌だな
さっきの話だけど
すぐに取り込んでくるっていうところも
いやらしい感じがするし
あるんですかね
こういうふうなするパッケージを作ってるやつが
あるんですかね
特かかりの方法を共有する
それを共有するスキームがあるとか
作って扱ってるやつ裏に売るとか
マネしたというよりも同じものを使ってるかも
裏でそういう連携があっても不思議はない
早いですもんねやっぱり
早いよね
あんまり良くない流れではありますけど
実際エモテッドの動向としては
まだあんまり日本はどうみたいな話はしてたのが
前話してた状況ではあったんですけど
もう状況としては
かなりガラッと変わってはいて
かなり日本に対して
メールが飛んでいるという形で報告されている方が
かなりいらして
中には感染してるんじゃないかと
見られるケースもあるということなので
やはりそうなりましたか
はい
来てるという状況になってるのかなと
そうだではなくて
また前回の
悪夢の最大じゃないけど
ここで本当にもう一回注意してやらないと
また蔓延しちゃうよね
そうなんですよね
気を引き締めてって簡単には言っちゃうんですけど
これ以上
この先ほっとって良くなるわけではないですかね
さらにここから日本語が出てきてとか
手法もさらに洗練されてて
さらにという形でしか悪くなっていく想像しかできなくて
現実的にもそうだと思いますからね
また何か司法機関なりが
キャンペーンで一斉的発言とか
そういう大きなトピックがあればまた別かもしれないですけど
そうですね
エモテッドを
法執行機関が頑張ってくれたから止まったというのがあるだけであって
あの時に何もできてなかったんだったら今何をするべきか
改めて昔のエモテッドの資料を見直してみて
考えて自分たちはどうかというおさらいを予習をした方が
いいんじゃないかなと思いますね
はいありがとうございました
ちなみに寛吾さん
21年の11月11日の記事なんですけど
っていう風に言ったのはあれですか
僕が前回ライオンっていうのをかけていただきます
っていう話いただきますって番組ありましたよね
ネギシさんが言ったからですか
11月11日って橋が並んで見えるから
一応いただきますの日でもあるんですか
54:00
それ言われなきゃ全然思い込まなかった
そういう繋がり的なやつでやったわけではないですよね
エモテッドに気を付けようって言おうと思ってやった
純粋にその思いで
わかりましたありがとうございます
絶対に答えられたら嬉しいです
今日も最後に
おすすめのあれを紹介しようかなと思うんですけども
今日紹介するのは
製品商品のジャンル名にします
どういう製品
こういうのいいっすよっていうやつなんですけど
特定の製品名ではなくてということね
ジャンルなんですけど
ヘッドマッサージャー
ヘッドスパと言われるような機械
言われる前に美容系かなと思ったんだけど
それちょっと言ってくださいよ
ヘッドマッサージャー
シャワーヘッドを取り替えて使うとか
違う頭のマッサージですよ
普通にマッサージするやつね
頭皮だったりね
それを使って自分の手でやるってやつ?
手で持ってウィンウィンウィン
そこは自動で動くんだ
頭の頭皮って固くなるって言うじゃないですか
固くなると
顔のたるみだったりとか
ってのもありますし
純粋に体ほぐすっていうのは
どこをほぐしても体で繋がってるじゃないですか
だから頭のマッサージをすると
肩こりとかもスッキリしたりするんですよ
俺そういう文明の力は使ってませんが
よく昔から言われてる
頭洗う時に
手の指の腹でマッサージしながら
素肌を洗う感じでね
頭皮を洗う感じっていうか
そういう感じで
じっくり洗うように心がけてるんだけど
それをもっとしっかりちゃんと機械でやるって
そういう感じか
専門のそういうのが売ってるんだ
ヘッドマッサージャーとかで調べれば
似たような形のものが
値段も様々いろんなメーカーブランドから
出てるんですけど
めちゃめちゃいいですね
僕も肩こりとかすごいから
肩こりに効くって聞くといいね
やっぱりスッキリしますよね
首あたりとか
ヘッドマッサージャーで頭の
首にそもそも近いところ
首と後ろの毛があって
首があってみたいになるじゃないですか
そのあたりとかもグリグリすると
57:00
そうなんだ
ずいぶん前に買ったんですけど
もう3、4ヶ月前かな
ほぼ毎日使ってて
ちなみにそれはさ
お風呂入って頭シャンプーするじゃない?
シャンプー終わった後にマッサージするの?
どのタイミングで使うものなの?
どっちでもいいんですけど
お風呂に持って入って
体ちょっと温め
シャワー生活じゃないけど
湯船使って体温めながら
ちょうど終わるぐらい
10分15分ぐらいで終わるんで
体温まってるからそこから
体洗い始めたりとかする
頭洗うときにやらなくても
マッサージしてもいいわけだ
あとはウインウインする先
変えられるやつもあって
マッサージ用よりも
細かいトゲトゲしたやつに変えられる
そうすると
頭皮ケアだとか
頭の毛穴まで汚れ落としましょう
シャンプーとか
ムースとか売ってますけど
それをしてる状態でやると
さらに汚れが落ちる
美容院とかでも
専門にやってくれるところとか
ヘッドスパとか
クレンジングとか
家でもできるんだ
僕も結構
美容室とか行ったりすると
ヘッドスパとかやってもらうんですよ
やってもらうんですけど
頭を押してもらうことにかけては
やっぱり人のエビってすごいじゃないですか
環球とかね
でも割と匹敵する
機械でそれが置き換わるってすごいな
専門家にやってもらう
首とかもキュってやってくれたり
道具とかきれいにする
シャンプーを使ってくれるから
トータルで頭をきれいにするという意味では勝てないですけど
マッサージの面では本当に買ってよかったな
毎日買ってるもん
毎日手軽にできるっていうのはだいぶいいよね
値段もピンキリではあるんですけど
高いやつとかやったら3万越えとか
そうなんだ
3万越え買ったとしてもペイできる
毎日使って効果がそれだけあるんだね
これ案件?
案件ですよね
名前紹介してないやつ
1:00:00
いろんなのあるから自分に合うやつを見てほしい
3万のやつに合わせる案件
意外と高い機械紹介してきたぞ
安いのとかだと1万円とか数千円とかでも
いろいろピンキリになってるので
Amazon見たら結構あった
これ聞いてる人とかって
コンピューター触るスマホとかデバイス触る人多いから
来ると思うんですよ
この業界に限らないけど肩こる人多いでしょ
俺もすっごい来るけど
自分でマッサージするよりも
全然そのほうがいいですか?
自分でマッサージするっていうより
自分で自分の頭をってことですよね
足元にも及ばないです
全然違う
僕買ったのを
Facebookに上げたんですよ
写真を
持ってる人とかもいたし
美容室か電気屋さんが
使わせてもらったことがあるみたいな人もいたんですけど
みんなポジティブでしたね意見が
よっぽどいいんだね
一番ポジティブな意見は天国が見えた
死ぬんか
それはヤバいやつ
アカンやつやんか
物によったら電気屋さんとか行ったら
試せるものもあると思うので
調べてみて
試してから買うのもいいかもしれない
安いのは2,000円くらいのやつもあるんだ
僕も調べてみたんですけど
ヘッドマッサージャー人気とかで調べてみたら
4,000円いくらとか
3,000円いくらとかも結構あったりしますよね
安いのも結構あるんだね
買うときは
僕みたいにお風呂で使うとか考えながら
防水とかの機能あるかないかは
ちゃんと見ておいたほうが
危ないんでね
何かやってみてはいかがではないでしょうか
いかがでしょうか
気持ちよさそうだし
毎日の生活の質の改善につながる
お風呂入るときにやって
ちょっと時間経ってから
作業の休憩中にテレビ見ながら
やったりとかね
お風呂での使用に限る必要ないのか
全然
充電はお風呂でやってますけど
ちょっと取ってきてやるとかしてますよ
リスナーの人でも
私もそれ使ってますって結構いそうだな
あるかもしれないですよね
1:03:02
ぜひマッサージ好きの人も
こんなにいいんやって思うと思いますよ
そんなに言われたらちょっと気になるな
ちょうど今Amazonブラックフライデーセールやってるんで
今あれいつまでだっけ
12月2日までです
今感謝祭の1年で一番安い
これ買うしかないや
買わせといて
残念ながらApple製品ではない
Appleが出してくんねえかな
Appleがヘッドマッサージ機出してくれるかもしれない
Appleがしそうなデザインみたいなやつとかを探せば
白いリンゴマークさえ貼れば
Apple製品っぽくなるやつ
シール貼れば
そういうことではない
ありがとうございます
ということで
今日も三つのお話とおすすめのあれを紹介しました
今日もいい時間になりましたので
以上であります