00:00
なんか一回開くと結構時間が空いた感覚に陥るのは私だけでしょうか。
ね。毎回そういう感じがするよね。 そうですよね。
何かしらの理由でね、スキップすると。 まあ2週間まるまる開く感じになるからか。
うん。なんかね、たったそれだけでだいぶ違うもんだね。
でも今回はね、言うても僕らは3人で喋ってたんですよね。
そうなんですよね。 別段完全にお休みしてたわけでもなくというか。
収録配信をしてなかっただけで、3人で喋ってはいたという。
なんなら会場にアレ勢の人いたからね。
エチゴユザワのセキュリティワークショップで我々3人喋ってきたわけですけれども。
なんかさ、2年前オンラインではちょっとやったじゃない?
そうですね。やった。2020年でしたっけね。
そうそう。確か2年前ね。だけど現地でやるの久しぶりだったけど、やっぱりその場にいて人がいてさ、顔見ながらってやっぱりいいね。
反応があるのが、やっぱりちょっと違いますね。リモートと。
そうなんですよ。なんか結構ね、現地にいらっしゃった方もツイートをしてくれてて。
の割に聞いてますってあんまりなかったですか?あった?
いや、何人か声かけてもらったよ。
あ、ほんまですか?
あれ聞いてます、アレ勢ですみたいな。
あーそうですか。はい。
確か会場でさ、聞かなかったっけ?
聞いた。
あれ聞いてる人って聞いたよね?
うん。はい。
結構手を挙げてくれてる人いたよね?
そうですね。はい。
もしかしたらでもその半分はなんかこう、おなたけかもしれない。
どういう?
ほんまは聞いてないね。ほんまは聞いてないけどなんかちょっとあんまり上がってないなーみたいな、スススみたいなこともありえるかもしれない。
あーそういう、なるほど。
なるほど。はい。
乗っけの質問でなんか変な空気になってもなみたいなアレじゃないですか。
確かに確かに。全然いなかったらね。
そう。
えー?おなさけ?あ、そうだったの?
かもしれないです。
そうか。
もしかすると。あんまりなんかこれ結構上がったからなんか知られてるなーなんて思ったらダメですよこんなのは。
あーそうか。あー了解です。
謙虚な気持ちで。
そうですね。はい。
僕はあれですね、僕白浜の温泉系のというかセキュリティのイベントで行ってたじゃないですか。
その時にね、あれを聞いてる相方っていうかその同僚が来れなかったんですけどもステッカーだけなんとかって言って渡した人が、その人を介して渡した人が今回湯沢に来て挨拶に来てくださいました。
03:03
えーそんなことあるんだ。
前にこのあれでそういう話してたよね。
紹介されましたね。
そうそう。その方がありがとうございましたって言ってお礼に来てくださいまして。
よかったね。
いやよかったなと思ってね、ちゃんと届いてたんやなということで。わざわざ来てくださってありがたい話ですよ本当は。
本当に。
そんな感じで、湯沢に関するお便りも今日来ておりまして、いくつかあったんですけど一つ紹介しようかなと思うんですが、
セキュリティのあれ、毎週楽しく拝聴しています。先週いちご湯沢のイベントでお三方のお話を直接聞けて嬉しかったです。
私の脳内のネギスさんは活腹の良いおじさんだったので最初違和感ありましたが次第になりました。ネギスさんとはワークショップ最後に名刺交換し、会社のノベルティーをお渡しできて嬉しかったですというお便りが来ておりました。
どうしてそういうイメージになるのかな。
わかんないですね。声先に聞いてるっていうのが僕らお互い3人ないからね。
いや、声じゃなくてもしかしたら口調が生意気そうなんじゃないの?
生意気とか言う都市でも立場でもないでしょう。
なんか偉そうなこと言ってるなこいつみたいな。
でも活腹の良いおじさんってちょっと権威的なというか、精神的にも見た目的にもどっしり構えてる、推しも押されるみたいな意味なんじゃないですか?
選ぶってる人のイメージだけど、俺からすると。
選ぶってるのか本当に偉いのかっていうのもあると思う。
やっぱり活腹っていうのがある意味富の象徴みたいなところもあるじゃないですか。
なるほど。
金持ちキャラで言ってるから。
そういうことか。金キャラか。
楽しい金から。
金言ってるからか。
そんなあるかい。
そんなに普段言うとらへんやろっていうこともあるんですけど。
俺それから言ったら真反対だからね。俺ヒョロナカだからね。
びっくりですね。本当に。
確かに3人の中で一番シュッとしてる感じですもんね。
ギャップがありすぎてびっくりしてますよね。
確かに。
この想像できたらね。
でもそういうのも面白いね。直接お会いしたことなくてさ。
声だけでこういうイメージの人って思ってたら全然違うみたいな。
僕はね、実際に会ってっていうのが始まりやから。そんなのみじんも思えへんけど。
先入観みたいなのがあるんですかね。声だけっていうのってそういうのあるんでしょうね。
確かにですね。面白い。
面白いなと思ってね。いいですね。こういう出会いも。
嬉しかったですね。
あとはですね、おすすめのあれ関連のコメントというか。
06:06
この間紹介したやつあったじゃないですか。
あれ食べた食べた。おいしかった。
オリオンビアナッツ。
ついさんにもらったやつ食べましたよ。
そうそう。看護さんに渡し忘れたんですけど。
マジで?
そんなことが。
湯沢で渡そうと思ったら看護さんに渡しそびれて違う人にあげちゃいまして。
また違う機会に。家にまだまだあるんでお渡ししますんで。
あんまり売ってるの見かけないんですよね。
売ってる話で、どこで買おうたらええんやみたいなツイートとかもあったりしながら。
よど橋にも売ってますよとかっていう意見を書いてくださる方も5つですね。
銀座にワシタショップっていう沖縄気分を満喫できる的なお店があるらしくて。
アンテナショップ的なやつなんですかね。
僕は行ったことないんでどこにあるのかわからないんですけど。
ワシタショップで直接買えたりもするので。
職場が近かったりという方はここで買ってみるのもいいですし。
それはちょっとっていうのであればネットでよど橋とかアマゾンとかで買えばいいのかなという感じですね。
結構評判良かったですね。食べた方はこれはハマるなみたいな。
他にもお便りで買って食べた人とかいるの?
そうそう。写真もあげてくださって。
ある方なんてね、よど橋で買ってついでにその飲み物はビア行くんか思ったらミックチュジュウチュウ。
それも売ってるんだ。
だいぶアレフーズやなっていう感じはするんですけど。
だいぶかぶれてるね。
そういういろんなところで売ってるようなので、ご興味ある方はちょっとつまんでみてもいいんじゃないかなということですね。
これはかんごさんの紹介してくれた話の議論の先にコメントいただいた感じなんですけど
資料に対する機密ラベルの付与の話でお便り来てまして
これに関してはよく注意喚起を社内か組織内だと思うので注意喚起をされるようになったと。
パワーポイントやワードの資料なら見える形で付与するのは容易いけれども
エクセル資料だと付与するのが目障りになりやすいという意味で煩わしいと。
ただその社内とかでは組織内に言われてるっぽいのがこの裁判で視聴力を高めるために付与が必要という説明を受けてますというお便りでございます。
やっぱ言われるんですね。
それぐらい付け忘れたりとかするんでしょうかね。
ですかね。結構最初は言われてやっていっても気づいたら消しちゃうとか。
よく資料を使い回しっていうか秘伝のたる敵に前の資料をリバイスしてみたいな形でやっていくと気づいたら消えてるみたいなのも。
09:04
確かにね。前のそのままやってそこをいじってないから前の資料と今回の資料だと全然ランクが違うみたいなのになっておかしなことになるっていうのはありがちっぽいですね。
さっき言ったワードとかパワーポイントだとマスターみたいな形でそんないじれないところに書くことができるんですけど
やっぱエクセルとかになるとちょっとその辺また工夫の仕方が変わってきて難しい。
そうですよね。なんかシートごとにするのかファイル名にするのかっていうのがいろいろあると思いますけどね。
そんなお便りいただきました。いろんなところで結構こういうの自動付与されたらいいのになみたいなことも書かれてましたけどね。
難しいですよね。これがよくありますよね。個人情報とかそういう機密情報の棚下ろしの時にどこの組織も苦労しているポイントだと思いますけども。
そういうのが来ておりましたということですね。
ありがとうございます。
最後のお便りですけども、これは事件、事故系の話なんですが、NARAのコープといいターゲットが身近になってきている気がしますと。
国家系のグループとはこの方はこの攻撃に関しては思わなかったのか、ラースとかIABが増えてきたのでラース使ってみた的な興味本位とかも出てくるんじゃないですかねみたいなことをおっしゃってましたね。
確かに身近にはなっているんじゃないかなという気はしますね。なんか最近ちょっと多いですよね。このランサムで何々が止まりましたみたいな。
なんか目にする機会が増えた感じがしますよね。
那覇市の図書館とかそういったニュースで業務が止まっちゃってますとかもありましたけれども、なんかそういうのをよく見るようにはなったなという気はします。
ただどういうランサムかみたいなところまで言及されることはまだまだやっぱり少ないのでその辺はちょっと全貌が見えにくい部分があるかなと思いつつも、
ランサムランサムっていう名前だけじゃなくて実被害はちょっと増えてきてあまりよろしくない感じがするなっていう風な印象は受けましたね。
そうですね。
そんな感じでお便りは以上でございます。今回もこの読んだ方にはステッカーの印刷コードを送るんですね。
もし気になったこととかあればハッシュタグつけてツイートいただければ読み上げた方にはステッカーの印刷コードをプレゼントいたします。
ということでセキュリティの話をそろそろしていこうかなと思うんですけれども、今回はかごさんからいきますかね。
はい、私からでは行かせていただきます。
今日はちょっとこれ取り上げたいなと思ってたのが前々からありまして、タイミング的に先週言えればよかったなと思ってたんですけど、
40NET、非常に有名なネットワーク製品などを作っている会社あると思うんですが、
あちらの会社から脆弱性情報が出ましたよっていうのを取り上げさせていただきたいなと思ってまして、
すでに広く注意が呼びかけられているところなので、感度高い方はご存じかと思うんですけれども、
CVE-2022-40684という裁判されている40OSなどを対象とした認証バイパスの脆弱性が確認されましたということで、
12:07
先週末、ちょうど多分ユーザーの直前日ぐらいだったんですかね。
なんかその辺から少しザワザワしてる感じがしていまして、
内容としては認証バイパスということで、
40OSと40Proxy、あと40SwitchManager、ちょっとこれは私詳しく知らないですけども、
そういった製品に対しての管理コンソールっていうんですかね。
こちらが認証バイパスされる脆弱性がありますよと。
認証バイパスされると管理コンソールを通じて任意の操作が可能になるという、
結構いやらしいというか、使われると非常に悪用がされやすい脆弱性なのかなというところで、
10月6日にザワザワしてたって話したんですけども、
内内にというか、顧客向けに対しての案内が現地時間で6日にされていたということで、
そこからちょっと漏れたのか、ネットメディア、例えばブリーピングコンピューターとかがそういった話が出てますよみたいなのを、
6日のその同日に取り上げて少しザワザワし始めたのかなというところで、
公式の情報自体はインターネット上に公開されたもので言うと、
10月10日、これも現地時間なので多分日本時間で言うと月曜日なのかな火曜日なのかな、
なんかそういうぐらいのタイミングでアドバイザリーが出て、やっぱ脆弱性あったんやというところで、
内容も事前にザワザワしていた内容と基本的には同じもので、
バージョンがですね、影響を受けるバージョンが不幸中の幸いじゃないんですけども、
一番新しいバージョンというんですかね、7.0とか7.2って付く、
そういったバージョンが影響を受けますよと。
多分日本で結構使っている方が多いバージョンで言うと多分6年代とかになると思うんですけど、
そちらは影響を受けませんというのがアドバイザリーでもはっきり書かれていましたので、
やっぱりツイさんなんかも記憶あるかと思うんですけども、
SSL VPNの脆弱性としてCVE-2018-13379でしたっけ?
あれがやっぱり記憶に蘇るというか、また悪夢再来かみたいなのがあったんですけど、
あちらと比べて今回は日本で結構主流で使えそうな6年代のバージョンとか、あとは5年代のバージョンとかも対象外ということだったので、
多少なり影響範囲は限定的かなとは思いつつも、
さっきも言った通り悪用がされやすいというか、内容的には非常に攻撃者視点では是非とも使ってみたい脆弱性だろうというところで、
15:11
これネギスさんも確かツイートされてたと思うんですけど、実際エクスプロイトと見られる、スキャンですかね、そういった活動が、
これに関連するものっていうのが見られてますよっていうのが、いろんなセキュリティのベンダーであるとか、
そういった関係されている方から観測情報なども公開されているところではありまして、
例えば先ほどの40NETもアドバイザリーをその後更新していて、攻撃が実際観測されてますよっていうのも追記されていらして、
40Gate Tech Supportっていうスーパーアドミンのアカウントを追加する動きっていうのが、
例えば見られてますみたいな、そういった事例も追加をアドバイザリーにされていたというところで、
非常に激ヤバな脆弱性ですという話なので、
例えば我々が大好きというか非常に気にしているKEV、KVCですかね、カタログには、
すでに追加当然されてますし、日本でもJPサートであったりIPAもこちらの脆弱性に対しては注意を呼びかけているものではございますので、
7点台を使っていらっしゃる方からしたら、脆弱性管理としてパッチをすぐ当てましょうっていうだけではなくて、
アドバイザリーでも言及があったんですけど、もうすでに悪用されているっていう前提に立った上でのアクションを起こしていただく必要があるかなと、
さっきも言った通り不正なアカウントが追加されていないかっていうところであったり、
あるいはログにこういった特徴的な文字列が出ますよっていうのがアドバイザリーで言及されているので、
そちらが出ているかどうかっていう確認をしていただいたりというところをすでに合わせてやっていただくっていう必要があるかなというものですので、
ちょっとこれ、さっきも言った2018-1379のような形でずっと使われ続けるのかっていうのは今後実際のエクスプロイの動きとか、
あるいは今のところ私具体的な被害公表事例っていうのは見かけてないんですけども、そういったものが出てきたら積極的に拾っていきたいなとは思っています。
こういうネットワーク機器の、今回のもそうだけど管理インターフェースを狙う攻撃的な脆弱性じゃない?
毎回思うんだけど、こんなの管理画面とかインターネットに公開してないでしょうとか思うけど、
意外とたくさんの数あるんだよね。今回のやつも国内でも結構数千台っていう規模であるんだよね。
18:04
やっぱり前回の反省というか、やっぱり狙われやすいアタックベクターではあるので、
絞ってるかなーって思ったところ意外とまだそうでもないんだな。
それが全部その脆弱で攻撃可能なのかどうかっていうか、
もちろん、そうですね。
はっきりそこまで詳しくわかんないんだけど、ただどうも該当しそうだってやつがそれぐらいの規模であるっていうのはちょっと驚きっていうかさ。
本当ですね。
もちろん日本だけじゃなくて一番多いのは米国だったかな。
全世界で言ったら相当の数が実はあるっていうのは。
そうですね。
え、そうなの?っていう感じで。
それが意外というか、アクセスコントロールするなり何かしら何か絞ってたりするのかなと思ったけど、そうでもないんだね。
ちょっとそれはびっくりでしたね。
何それ必要があって分かっててやってるんだったらいいんだけどさ、
なんかねあんまり意図せず、インターネット側から別に管理する要件ないのに何か公開しちゃってるとかだったらちょっと嫌だよね。
確かに。
そうですね。
インターネット向けにって、そのインターネット向けというかインターネットに全公開しておく必要って何かあんまり理由が思い浮かばないので、
何となくメンテしやすいからとかでそういうふうにやっちゃってるのかもしれないですね、導入しているところがね。
結構さっきネイさんおっしゃったみたいな検索して日本で見ても、数千件でも4200、300件ぐらいあったんですよね、見てみるとね、ささっと。
そこに向けてそのエクスプロイトコードとかを使ってざっとIP舐めていくだけでもね、成果出せんじゃないかなっていう感じはしますもんね。
当たりは外れ関係なくとりあえず売ってみるでも結構いけちゃうんじゃないかなっていうのは怖いところやなって思ったのと、
あとはその看護さんがさっき、まあ今被害はね報告されてないっていうことをおっしゃってたんですけど、
これその前のさっき言ってた前回と言い方が2018年のね40の脆弱性と同じような感じで、
このバックドアアカウントを作る時期なのかもしれないなっていう気はちょっとするんですよね。
実被害を起こしてるんではなくて、いつでも入れるところをたくさん作っとくみたいな種まきみたいなしてたら、
後からまたポツポツポツポツタイミング開けてきたら嫌やなっていうのは僕今思ってるんですよね。
そうだよね、だってあのさっきのね紹介してくれた実際の観測事例でも、
なんかよくわからないアドミのアカウントができてるとかね。
それっぽい名前ですよね。
なんか一瞬なんか公式アカウントなのかなみたいな、なんかそんな名前をね。
なんかいやらしいよねその辺がね。
あとその今回ちょっとね不幸だったなっていうか、
そのタイミング的にね、その先週かその10月6日に顧客向けにうちうちにアドバイザリーを出して、
21:08
一般公開するまでだからわざと待ったわけよね、その適用できるようにっていうか。
なんだけどまあなかなか今時ねそういう情報のコントロールって難しくってさ。
ああですね。
そのメールの、俺もメールの内容先週のうちにもうなんかツイートでそのまま出たしてるの見かけたし。
でなおかつその今回、今週になってねブルーフォブコンセプトが出たけど、
あれもその贅沢性があるっていうことがもう分かっちゃって、
でもうパッチが出ているんでパッチをリバースエンジニアリングしたんだよねあれね。
そうですね。
でパッチの差分を見て贅沢性がどこかっていうのを見つけて、
でなおかつさらに運が悪かったのは今回の贅沢性ってめちゃくちゃ簡単なんだよね攻撃が。
そうですね。めちゃめちゃ単純。
こんなんで通るんかみたいなね。
ものすごく単純な攻撃コートに行けちゃうんだよね。
あとまあ何パターンが攻撃方法があって、
そのアカウント追加するっていう以外に設定を取得するだとか、
読み出すとかですね。
そうそうそう、そういうのがいろいろ組み合わせてできちゃうような感じで非常に簡単なので、
まあそれもちょっと不運なところで。
そうですね。
だからあのPOCが出る前からも、
だからそのすでに自分たちで分析して贅沢性特定して攻撃が始まっちゃったのと、
あとPOCが出てわーっとエクスプレートコードが広まったので、
それでスキャンを始めた連中がわーっと増えたので、
なんかここ数日で一気になんかリスクが高まっちゃったというか。
そうですね。
なんで連休、連休だったじゃんちょうど。
そうですね、連休でしたね。
日本はさ、日本だけだけど。
日本だけだけど、日本はちょうど連休明けだったので、
連休前に実は贅沢性分かっててパッチも出てたんで、
その間に対応してればおそらくセーフだったんだと思うんだけど、
連休明けて公開されてから慌てて対応してたらひょっとしたらちょっと間に合ってない可能性があるんだよな。
そうですね。
まあちょっと今その被害報告まだないって言ったけども、
多分これ大っぺらに被害報告とか多分出ないと思うんで。
そうですね、これを悪用して、悪用すればランサムエアーとかなんか大きな、
より大きな深刻な被害でっていう。
中に入られましたってそうそう、あればね、また別だけど、
これだけが狙われて何かやられたって多分それ公表しないから。
だからちょっとね、そこが嫌だなってさっき言ったとの公表されてないけど、
実は間に合ってなくて攻撃されてて、バックドア作られていて、
でそれに気づかずにパッチ当てちゃって、あとあと何かやれるというのがちょっと最悪のケースだよね。
なんでまあこれは、とはいっても今からでも遅くはないので、
24:00
きっちりちょっと対応調べてね、問題ないかとかやってほしいとは思うけど、
まあちょっとそういろいろなんかいろんなタイミングがちょっと悪い方向に働いちゃったなっていう感じが。
悪い時ってだいたいこういう感じなんだよね。
そうなんですよね、いつもだいたいそうですね。
そう、なんか前にも似たようなパターンあったなみたいな、そういう感じるよね。
はい、はい。
そうですね、ちょっと心配の種やなって感じはしますけど。
そうですね、また何かIABとかが何万件とかっていうリストを出してきたりとかっていう、
なんかそういうのが出てこないといいなとか。
でもでもさ、脆弱性が盛り上がった次の年からなんか出たんだよね。
そうですね、しばらくしてからでしたからね。
時間差があったもんね。
そうだよね、これもそういう感じでもしかしたらちょっと長く影響する可能性はあるよね。
そうですね、まあそういうなんかパッチ当てるだけではなくて、
アドバイザリーにも出てた通り変なアカウントがないかっていうのも合わせて、
該当する方は見た方がいいんじゃないかなということですね。
はい。
僕もなんか周りの人に結構、仕事を通じてこれの注意喚起もしてたんですけど、
かんごさんおっしゃったみたいな、やっぱ多くはね、バージョン6系使ってるところがやたら遠かった。
そうですね、私の周りも結構6を使ってらっしゃる方が多いので、
あ、そうなんだっていうのを知りましたけど。
そうですね、まあまあ7は使われてないわけではないはずなので、
まあ注意していただければなというふうに思いますということですね。
はい。
はい、ありがとうございます。
はい。
はい、じゃあ次僕いきますね。
はい、どうぞ。
今日僕紹介するのはBOD、バインディングオペレーショナルディレクティブっていうCISAが出してる、
ここでも何度か紹介してきてると思うんですけども、
政府機関向けの高速力のある運用指令というの、略してBODの23-01というものが、
10月の3日にCISAから出されたという、これのお話をちょっと今日はしようかなと思ってるんですけども。
はい。
はい。
これは何をせいというふうに言ってる運用指令かというと、
一言で言えば資産の可視化と脆弱性の検出の改善みたいなことがタイトルとして書かれてあったんですが、
うんうんうん。
これ、その資産の検出というのと脆弱性の劣化、
2つのパートに分けてお話が進められていくんですけれども、
組織に対してIPを持っている資産を特定しなさいと。
で、その特定する方法としては、アクティブにスキャンするとか、流れているパケットを見てパシブスキャンみたいなものをするとか、
あとログとかAPIのクエリとかを活用して、どういう資産があるのかっていうのを、
自分たちが持っているものを特定していきなさいというふうなことを言っています。
で、脆弱性の劣化に関しては、この検出された資産に関して脆弱性があるかないかっていうのをちゃんと特定して、
報告をしなさいというふうに言っているんですね。
これ、資産の検出のところに関しては、システムにアクセスするための権限というものは不要で、
27:06
スキャンとかをかけるだけでできるけれども、脆弱性の劣化に関しては、
権限、ちゃんとしたログインしたりとかログインログオンしたりの権限を使ってやりなさいということが書かれてあるんですよね。
いわゆる脆弱性のスキャンでいうと、クレデンシャルスキャンとか認証スキャンみたいなもので、
SSHとかでログインできるようなIDパスワードとか証明書とか、そういったものを与えて、
中にまで入って脆弱性を特定するみたいなこともしなさいということが書かれてあります。
OSとかアプリケーションとか開放ポートに関して、そういった脆弱性の劣化をしていきましょうということなんですけれども、
これの範囲というところが、実際に出されていたこの文章と運用するための実践ガイドみたいなものを僕は合わせて読んだんですけど、
そこのFAQも興味があったら見ていただいたほうが理解が深まるのかなと思うんですが、
そこに書かれてあった範囲というところは結構ややこしくて、IPv4およびv6の通信を介して到達できる全てのIPアドレスを指定可能な
ネットワーク資産の範囲になっているんですけれども、コンテナとかサードパーティーの組織が管理しているような、
SaaSみたいなものは、いわゆる一時的な資産みたいなものは含みませんというふうに書いてありますね。
ゲストWi-Fiへのゲスト端末は対象外だけれども、BYOD端末を使わせている場合は対象にはなるけれども、
基本禁止しているところが多そうですよね、みたいなことが書いてありましたね。
あと注意がいるなと思ったのは、物理的な、本当に物理的に話されている場合、いわゆるエアギャップがあるという場合ですね、
そういったものは対象外に、1個のコンピューターだけで動いてますみたいなものは対象外なんだけれども、
論理的に分けてますみたいな、VLANとかで分けているようなネットワーク分離っていうやり方をしている場合は、
そのネットワークも対象になりますというふうに対象範囲については書かれてありました。
これはどうやって回していくんやっていう話なんですけども、この資産を検出するのは、7日ごとに自動で検出アクションを回しましょうって書いてるんですね。
これ7日間で終われっていう意味じゃなくて、7日間で回して、終わってなかったらどんどんどんどん7日ごとに回していくみたいなことを続けてくださいっていうふうに書いてありました。
結構大変そうやな、規模によったら大変そうやなと思うんですけども。
ですね。
それだけじゃないですもんね。検出された全てのデバイスに対しての脆弱性の列挙っていうところのフェーズに関しては、
14日ごとにスキャンを開始するようにしてくださいって書いてましたね。
これさっきの繰り返しなんですけども、そのスキャンに関してはログインする情報、視覚情報を使ってクレデンシャルスキャンみたいな脆弱性スキャナーの機能を使うのか、
もしくはエージェント系のもので中から調べるかっていう検出っていうのは必要になってくるようなスキャンなので、
30:00
これも14日ごととはいえ結構大変そうやなっていうふうなことが書かれてありましたね。
これやって終わりではもちろんなくて、対処したりとか報告っていうものが必要になってくるんですけども、
これ検出された脆弱性とかそういった詳細な情報に関しては収集して整理した上で、
CISAが用意してるのかなこれ、CDMっていう継続的な診断と緩和っていうののエージェンチダッシュボードっていう登録する画面があるみたいなんですけれども、
そういったところに発見してから72時間以内にここに登録をしてくださいみたいなことを書いてありました。
これも結構大変そうですよね。
なのでこれは結構僕がずっと前から気にしていた外から見たときに自分たちはどうなのかとか、
外ってそのコンピューター外とかネットワーク機器外からそういったものから見たときに、
さっきの看護さんのインターネットに管理画面開けちゃってるっていうふうなものと近いかなっていうところもあると思うんですけど、
そういったものもしっかり列挙できるようにしていくところから始めないといけないっていうふうに思ってたので、
今回のこのBODですか、この運用指令っていうものが出て呼んでて、
なるほどなっていうふうに思いながらちょっと嬉しい気持ちになったというか、
思ってたことを言ってくれたなみたいなふうに思いながら呼んでたんですけれども、
さっきから言ってる通りこれはもう結構相当な工夫しないと回しきれないんじゃないかな、
あと漏れが出てしまうんじゃないかなみたいなところはやっぱり懸念としてあるので、
これを実際に自分たちの組織とかこういう政府機関だけじゃなくて、
やってること自体は政府機関だからやらないといけないことではないというか、
みんなができることならやったほうがいいことだと思うんですけど、
自分たちでやるとなるとどういう仕組みでやるのがいいんだろうなとか、
これをベースにしてちょっと崩してみるとかっていう考えを思い巡らしてみてもいいんじゃないかな、
なんていうふうなことを思ってました。
それと加えてこれ全部やった後、対処の部分っていうところで照らし合わせるのが、
CI政治がいつも出してるKEVCと照らし合わせてやっていくんだろうなとは思うんですけど、
でもあれは結構情報のキャッチアップっていうところも手伝ってくれてますし、
主査選択っていうふうなものもある程度やってくれてはいるとはいえですね、
結構あそこから漏れるものもやっぱあると思うんですよね。
そういったものをどうやってカバーしていくかっていうふうなものを、
これを自分たちで回してそれを対処していくっていうフェーズから考えていったら、
今や自分たちがやってることと照らし合わせてみて抜け漏れがないかっていうふうに並べて考えてみるのも、
すごく気づきがあったりとか抜け漏れに気づいたりとか、
そういう楽する方法があるのかとかっていうふうなところで気づきがあるんじゃないかなというふうに思って、
今日は紹介させていただきました。
これでも自然だよね、KEVとかさ、今どんな攻撃が実際に観測されているかっていう、
33:03
悪用されている脆弱性っていうものはわかったとしても、
実際にそれの対象になっているものが自分たちであるかないかっていう肝心、
要のベースになる部分がグラグラしてたら元も子もないわけで、
だからそこに手をつけたっていうのは自然だとは思うし、
あとこれ試合制がどういう判断でこの範囲と期間っていうか設定したのかわからないんだけど、
とはいえめちゃくちゃ無理なものを設定するはずがないので、
おそらく事前の準備段階で色々調べて、色んなところの意見とかも多分聞いて、
このくらいだったらやっているところが多分すでにあるし、実現可能だろうっていう線を多分、
なおかつそんなに甘い基準を設定してもしょうがないんで、
効果があるところっていうのを設定して、こういう範囲と1週間とか2週間以内になっていると思うので、
一つそういう意味では、これ連邦政府機関向けの話だけど目安になるよね、
これぐらいが妥当なところなんだなっていう、
逆にそのやっているところは多分これぐらいクリアしてやってるんだっていうことを多分意味していると思うんで、
だとねこのついさんも言ってたけどこれやろうと思ったらさ、
自前でこういう自動化した脆弱性管理の仕組みをちゃんと持たなければ多分ダメだし、
あるいはこういう専門の脆弱性管理とかアタックサーフェーズマネージメントっていう最近はカテゴリーで、
こういったものをちゃんと自動化してやりましょうっていう、ソリューション結構提供されてるから、
そういうものを導入してなんかやるとかねわかんないけど、
ちゃんと真面目にやらないと絶対これ無理だから、
バータリ的に何となく人が何となくやってたっていう感じでは到底これクリアできないと思うんだよね。
そういう意味ではアメリカらしいというかさ、
いろんなフレームワークとかガイドラインもメジャラブルであるかどうかとか、
自動化っていうところは割と重要視する。
そうですね、自動化と枠組みっていうのはすごい押してきますよね。
CISコントロールなんかもそうだけどさ、あれはこのセキュリティのあれでは紹介したことなかったっけ、
CISコントロールっていう割と有名なアメリカの元々NSAが開発したフレームワークガイドラインがあるんだけど、
あれもCISコントロールの最初の一番目、二番目がハードウェアとソフトウェアのアセットのマネジメントなんだよね。
その中で言ってる人がまさにこれを言ってて、自動的にそういうのをちゃんと検出しろみたいなこと言ってるんだよね。
36:01
ヒルガイってさ、自分たちはどうなんだって考えるとちょっとね、このレベルに到達してるところがどれくらいあるんだっていう。
どうやって回すのかなっていうのはやっぱり非常に興味がありますよね。
これそのうまく回るのかなって自分たちに考えるのもそうなんですけど、
政府機関向けって、政府機関って一括にしてもいろんな政府機関あるじゃないですか。
そういう体力のあるところないところ、人がいる、いないとかいろいろある。
それでこれ結構回すのきつくなってるところはどういう風な工夫をしてるのかっていうところも知りたいなと思いました。
どうやって楽してるのかとか。
資産のところとかだったら本当こう差分だけ見てどう判断していくんだろうとかね。
そういったところのノウハウじゃないですけど、こういうひと工夫があるんでなんとかなってますみたいな話。
こういうフレームワークとかこういう命令の内容だけじゃなくて、実例としてなんか出てきてくれたらいいなっていうのをめっちゃ思いました。
そこが一番気になりましたね。
今回の運用試練の中ではその辺の実装に関わるような内容そのものではなくてヒントになりそうなものっていうのは今の時点では特に情報として追記はない感じなんですね。
そうですね。ちょっとまだ無味無臭な感じというか。
なるほど。なるほど。
どうやってやるんですかね。
僕これ思ったのは、これってKEVCと言ってたと思うんですけど、KEVCを先に出したじゃないですか。これの前に。先に出してるのはめっちゃイケてるなーって思いましたね。
そうですね。
KEVCのかかわらのBOD2201の中で一応ジャブ打ちというか予告はされてたじゃないですか。
2022年10月1日以降はさっきのCDMの連邦ダッシュボード通じて報告できるように期待されますのでっていう予告はされてたのでその流れを受けてなんだろうなとは見てて思ったんですよね。
だから順番的にはこの今回のやつで回してから対処する時にそのKEVCっていう風になるから順番的に見たらそうなんですけどその順番に公開されたらヤバいもの見つかったけどどれをやっていったらいいんやっけっていうのが困るので先にこのKEVCを出してたっていうのはすごくいいなーっていう風に変に感心しちゃいましたね。
動機づけにもなりますしね。
そうそうそうそう。
なんでやらなあかんねんっていう。
ちゃんとした受け皿が用意された上で始まってるっていうのはすごい良いなって思いましたね。
あとこういう基準をCISAが出して法的拘束力を持ってるというのが、実際の効果はねこの後見なきゃわからないけど、この基準を達成するためにみんな工夫してやらざるを得ないわけで、いついつまでやれっていう期限も切られてるから
39:05
半年くらいあるのかな。それぐらいの間に何とかやり切らなきゃいけないわけじゃない。
4月までですね。
そうすると多分その連邦政府機関だけではできない部分は民間の力を借りるんだろうし、そうするとそういうのを提供するサービスベンダーとかも工夫してできるようにするでしょ。
そういうのを含めて、政府機関がやると当然その基準って民間にも落ちてくるはずなので、どこまでできるかわかんないけど、でも全体としてその上を引き上げることで全体が底上げされるような感じにトップダウンで見えるので、一つのやり方として素晴らしいなと思うんだよね。
事例も積み上がっていきますしね。
そうそう。さっきついさんが言ったような実際のところどうやってこれをクリアしたのかっていう、そういうノウハウって多分みんな共有されるはずなんで、一般に公開されるかどうかともかく横の連携とか多分あるだろうから、そういうのを見るとちょっと差を感じちゃうなっていう。
外に頼まないといけないものが発生するっていうのは強制的にやらないといけないので、自分たちのすることと外に頼むことっていう明確にしないといけないものもはっきり今後これでできるからいいですね。
そこ結構曖昧なところもあったりするじゃないですか。両方が何もしてなかったりするみたいなこともあると思うんで、そこも結構明確になるのかななんて話聞いてて思いましたね。
確かにね。見習うところが結構多いよね。
そうですね。今後これもチェックしていきたいなと思いました。
脆弱性管理のターニングポイントみたいな感じになりますね。
本当そうですよね。
かもね。
そうかもしれない。
そんな感じでございました。
ありがとうございます。
じゃあ最後、ねぎさんお願いします。
私からは今週はですね、今の通販の話と少しだけ関連するかなって聞いてて思ったんだけど、
インターネットにおけるスキャンの活動っていうのがどんなものかっていうお話を今日はちょっと紹介したいなと思ってて、
例えばスキャンって言ったら今言ったアセットディスカバリー的なIPアドレスのスキャンっていうのもあるだろうし、
ポートスキャンとか脆弱性のスキャンみたいな、そういうのも含めてスキャン活動っていろいろあると思うんだけど、
そういうのの中にね、実は僕もそのハニーポッドとか普段観測してるからわかるんだけど、
調査とか研究を目的としたようなスキャン活動っていうのが結構含まれてるんだよね。
例えば日本だとNICTさんがダークネットの観測ニクタープロジェクトってやってるじゃない。
あれは定期的に観測統計情報を公開してくれてるけど、
それなんか見ると彼らが観測してる全パケットの半分以上はそういう調査目的のスキャンなんだよね。
42:05
言ってましたね、そういえば。
それを結構かなり占めてて、これは例えば代表的なのが商談とかセンシスとか、ああいうやつね。
ああいう調査目的、今インターネット上でどんなサービスが上がってて脆弱性のあるやつがどれくらいあるかみたいなのを
調べる目的で定常的にスキャンしてるやつっていうのはまあまあ存在してて、
ただそれは攻撃とか実際のインシデントとは異なるので、ある意味ノイズになっちゃうんだよね。
例えば今回さっきカンゴさんが紹介してくれた4Tのやつも、
すぐに攻撃が観測されましたとかって言ってるけど、そういうのの中に紛れてスキャンとかも入ってくるわけで、
果たして今例えば自分の手元で来てるやつが、ログとかに例えば残ったIPアドレスとかが、果たしてこれは悪い奴らなのか、
それともいい人たちがたまたまスキャンしてきたのかみたいなのが見分けがつかないとさ、
いやー難しいですね。
そう、判断に迷うし、これ難しいんだよね。
そういうのが結構あって、なかなか実は大変なんだよね、これってね。
そういうのって日々観測してるとそういうのに悩まされるんだけども、
今週ね、今月か、グレイノイズっていう会社がたまたまそれに関する記事を書いてて面白かったんで、
今日その内容を紹介しようかなと思うんだけども、
ちなみにこのグレイノイズっていうのは、世界中に、さっきのスキャンと逆なんだけど、
世界中にセンサーをインターネット上にあちこちに設置していて、
どんなスキャンパケットが飛んでくるかっていうのをそこで観測しているんだよね。
で、その中身を分析して、これはこのアドレスはこの研究機関からだからこれは調査の目的だとか、
これはエクスプレートコード打ち込んでるからこれは多分悪い奴らだとか、
例えばね、そういう感じで中身を分析して、分類してタグ付けをしたりとかしていて、
その情報をサービスとして提供している会社なんだよね。
面白いですね。
グレイノイズって名前からも分かるけど、そういうノイズを見分けるっていうか、
そういう攻撃かどうかって見分けるときに役に立つような情報を我々提供しますよっていう、
そういう目的の会社なんだけども、
そこがどんなスキャンが今あるかっていうのをちょっと記事で公開してくれていて、
このグレイノイズはさっきのカンゴさんの話に出てきた40のときでも、
いち早く我々のセンサーで攻撃観測しました、みたいなことを
投稿されてましたね。
そういう意味ではすごく有用なサービスなんだけど、
ここが言うにはね、彼らのIPアドレスの分類って実は大きく3つ、3種類あって、
1つはビナインで、1つはマリシャスで、もう1個がアンノーンで、
45:03
この3つに基本的には分類されてるのね。
このビナインってやつが調査研究目的ってやつで、
さっき調べたらアドレスの数で言うと1万2千ぐらいある。
こんなアドレスが。
で、マリシャスってやつが130万件ぐらいある。
で、アンノーンってのが750万件ぐらい。
大体こんな感じだった、さっき見たら。
だから大多数がよくわかんないっていう感じにはあるんだけども、
そうですね。
ビナインっていうのに分類されている1万2千件のアドレスっていうのが
どんなものかっていうのをこの記事で紹介してて、
だから僕もね、あんまこんなにあるのかって知らなかったんだけども、
少なくとも組織で言うと74組織ぐらいがこういうスキャンをやってるんだって定常的に。
多いですね。
多いよね。
定常的ですもんね。
定常的に。
で、なんか商談とか選出とかって有名なやつ以外にも、
結構セキュリティのベンダーが独自にスキャンをしてたりとか、
あとは大学とか研究機関ね、そういうところが調査で結構スキャンをやってるっぽくて、
で、特定できてるやつだけで少なくとも74機関がある。
サートとかもあるんですよね。
そうなんだよね。
だからどういう目的で彼らがやってるのか正直わかんないところも中にはあるかもしれないんだけど、
でも少なくともアドレスがちゃんと明確で、
そのアドレスに紐づく組織がちゃんと分かって、
このアドレスからスキャンしますってちゃんとウェブサイトに明示されて載ってて、
そういうのから情報を調べて特定してるらしいんだけど、
こんな感じでしたと。
で、何を彼らが記事で書いてるかというと、
自分たちが世界中に設置してるセンサーを、
当然新しいのも時々設置するわけだけども、
新しいセンサーを設置したらどのくらいでスキャンが来るかっていうのも調べましたと。
意外と早くてさ、意外とっていうか、
みんなどれくらいか思ってるかわかんないけど、
早いやつは1時間ぐらいで来るんだってスキャンが。
遅いやつは数日間かかるやつもあって、
それは週に1回ぐらいしかスキャンしてないやつってのが中にはあるんで。
サイクルにも、サイクル、そっちの回してる側のサイクルと設置したタイミングにもちょっと依存しますよね。
たまたまちょっとタイミング悪いと何日間か経っちゃうみたいなのはあるんだけど、
でも最も早かったやつはセンシスとショーダンが最も早くて、
この2つはスキャンの頻度がすごい短くて、
1時間以内にあっという間に検出されるらしくて、
やっぱそうなんだっていう感じなんだよね。
あと74組織って言ったけども、
1週間以内にスキャン来たのが全部で18組織しかなかったっていうから、
だからそんなに定期的とはいってもすごく短いスパンでやってるところばかりではないっていう感じなんだよね。
48:00
中央中が5時間ぐらいなんだけども、
長いやつで数日、短いやつで1時間以内みたいな感じで、
たちをばらけてると。
そうですね。
短いやつっていうのはセンシスとショーダンっていうのはスキャンの頻度がすごく多いわけなんだよね。
なので早く見つけるっていうのはスキャンする側からしたらいいことかもしれないけども、
逆に言うとノイズがすごく多くなるってことで、
どのくらいスキャンでノイズが発生するかアラートが発生するかっていうのもグレーノイズが言ってるんだけど、
センシスとショーダンが圧倒的に多くて、
1日に1,000件、2,000件、多いときは3,000件以上とかっていうアラートがノイズが発生しちゃうっていうのが、
ちょっとこれがマイナス面かなっていう感じで、
でもそれぐらい頻繁にスキャンをしてるっていう感じだよね。
で、これへーっていう感想かもしれないんだけども、
逆に言うと、
例えばさっきのアセットディスカバリーの話を聞いてたらちょっと思ったんだけども、
あれはさ、自分たちの組織のアセットをちゃんと管理しよう、
ちゃんと見逃しとか漏れが抜け漏れがないようにしようっていう、
そういう意味で自分たちでディスカバリーをやろうっていうことじゃない?
そうですね。
だけど、実は自分たちがディスカバリーしなくても勝手にディスカバリーやってる人たちがこんだけいるってことなんだよね。
網羅的でないにしてもってことですよね。
彼らは逆にIPアドレスの全アドレス空間をスキャンしてるから、そういう意味では網羅的なんだよ。
全ポートとかにはしてるんですかね?
ポートはこの後出てくるんだけど、選出は全ポートやってるらしいんだ。
だけど、選出以外は全ポートではない。
ただし、ハイポートもそれなりに結構スキャンしていて、
そこそこカバーしてる。
その辺がどのポートをカバーしてるかっていうのもグラフになってて、これも面白くて、
選出は本当にまんべんなく全部ポートスキャンしてるんだよね。
ちょっとさっきの話に戻るけど、
全アドレス空間で、選出の中は全ポートをチェックしてるから、
割と漏れなく引っかかっちゃうんだよね。
そうすると、例えばさっきのアセットディスカバリーの話でいうと、
例えば自分たちが、うっかり検証用の目的でさ、
たまにやっちゃうことあると思うんだけど、贅沢性とかがあるやつを
うっかりそのままインターネットに繋いじゃうってことが、
仮にあったとすると、自分たちが気づくよりも前に
こういうスキャンのサービスがスキャンしてきて、
1時間以内にスキャンして引っかかるわけよね。
そのスキャンした結果がどれくらいで
彼らの検索の結果に反映されるのか、そこはちょっと僕も分かんないけど、
でも割とタイムリーに検索結果に引っかかってしまって、
ひょっとしたらそれを攻撃側が見つけてしまって、
51:00
ここ攻撃できるじゃんって言って攻撃されるっていう、
最悪のシナリオはそういうことがあり得るわけよ。
だからさっきの1週間以内に自分たちで見つけなきゃいけないっていうのは、
それなりに妥当な線なんだよね。
そうでもしないと先に攻撃側に見つけられちゃう可能性があるんだよね。
そういう視点でさっきの話もこういうのと絡めて、
自分たちでやらなくても勝手に見つけられて攻撃されちゃう可能性があるんだなっていう視点で眺めると、
ちょっと見え方が変わってくるかなと、
さっきの話を聞いてて思ったんだよな。
こういうスキャンしてるって、
センシスとかショーダンとか使ったことはあるけど、
どういうスキャンされてるかってあんまり普段意識しないと。
そうですね、あんまり気にしないですよね。
思うんだよね、たぶんね。
さっきのニクターさんだったり、僕らみたいなハニーポッドを運用したりとか、
何かしらそういう定点観測的なものをしてれば、
またスキャン来てるよとかっていうのは日常茶飯事なんで、
そういうノイズを避けるってことは自然にやってるんだけど、
攻撃っていう観点からノイズになっちゃうんだけど、
でも一方で、そういうのに紛れて攻撃側も当然スキャンとかってやっているわけなんで、
むしろこういう調査研究目的で捕まえられるっていうのは、
まあまあなましなほうで、攻撃側もわりと頻繁にスキャンとかやってきてるから、
自分たちが見つけるよりも先にこういうのに見つかっちゃったら、
最悪ひどいことになるよっていう可能性があるんだよね。
確かに確かに。
頻度の問題ってすごい難しいなって思いましたね。
7日間でとかってやってるけど、1時間ごとにガンガン来るわけですよね。
このセンシスは別に悪いことをしてるわけではないけれども、
そういうと同等の攻撃者とか攻撃者の数考えたら、
バンバン回ってきてるっていうふうに考えるのが自然ですもんね。
でもね、ちょっと話しとれるけど、僕もファニーポッドの観測をずっと続けていて、
わりとアクティブな攻撃者っていうのは、
毎日毎日ずっとスキャンしてくるんだよね。
穴があったら攻撃、感染しよう、
特にIoT系の感染とかってすごく多いんだけど、
そういうのは本当にみんなの目に見えてるだけで、
そういうのをずっと裏で感染活動ってやられてるから、
今言った富士山のそれ難しいよねっていうのは本当にその通りで、
1週間で結構厳しいなって思ったけど、
でも攻撃側がその期間待ってくれるとは全然限らないので、
それとのバランスを考えたら、もっと早ければもちろん早いほうがいいんだけどさ、
そういう実態を知らないと、1週間ってのが妥当かどうかってのもわからないと思うし、
そういう目線でこういう記事を眺めてみると面白いんじゃないかなと思って。
54:02
なんかこれシリーズものの記事らしくて、この後マリシャスなやつはどうかとかそういうのも出るらしいんで、
続編があるんですね。
続編に期待的なこと書いてあるんで、それも面白そうだから読んでみようかなと思って。
皆さんにもちょっとお勧めしたいと思います。
久々の継続ウォッチレポートやったわけですね。
そうですね。
普段僕らも戦士とか将団とか結構使うじゃない。
使ってます。
他にもいっぱい似たようなサービスあるんだけど、結構サービスごとに使っているIPアドレスの数とか、
スキャンの頻度とか時間とかだいぶばらけてるんだよね。
バラバラなんて面白いなと思って。
そういう目で見ても面白いね。
そうですね。この辺ってさっきのノイズになるっていう話まさに副作用的な話だと思ってるんですけど、
業界?業界があるのかな?こういったことをやっているサービスの人たちの間で、
それこそアンモグネ業界、RFCとは言わないで、アンモグネ業界的にこういうのは情報として出しましょうっていう議論があっても良さそうだと思うんですけどね。
分かるようにしようっていう、自分自身で名乗るみたいなね。
結構その辺はグレーで、結構なボリュームでスキャンしてくるんだけども、
どこなのかよくわかんないとかっていうところがあるんだよね。
そうですよね。
だから何が目的であったら、攻撃ではないっていうのは見ればわかるんだよね。
スキャン、これは単なるスキャンだなっていうのは見ればわかるんだけど、
でもその割にはちょっとボリュームが頻度とかボリュームが多すぎるとか、
ノイズがめちゃくちゃ出てるっていうような場合、
でも普通こういうサービスって一応希望すればオプトアウトでスキャンしないでくれってやってくれるところはちゃんとやってくれるんだよね。
そういう窓口があるところっていうのは、大体ちゃんとしたサービスでそういうのはあるんだけど、
そういうのがないところもあったり、連絡先もわかんないとか、そういうのもあるんだ。
だからそういうのを自主規制的にやってるというか、
研究機関がいる場合には倫理規定というか、例えば大学とかがいる場合にはそういう倫理委員会とかにちゃんとお伺い立てて、
こういうスキャンやるけどこういう目的だからみたいな、
制度性があるかとかちゃんと出して審査してもらってやるとかいうことは結構あるけど、
どうなんだろうね、こういうサービスってそういうのをどれくらいそういう基準を持ってやってるのか知らないけどね。
それを名乗りますって言ってても、名乗ってないものは何かわからないし、
オプトアウトするにしてもこれ全部に言う手間があるのも大変そうですしね。
だってオプトアウトも本当にやってくるのかどうかよくわかんないじゃん。
うん、ですよね。
なんかそのIPアドレスもなんかほら、組織と紐づくIPと組織と紐づかないIP持ったりするのも別に普通じゃないですか、調査用みたいなんで。
そうなんだよね。わからないもんね、言われないとね。
57:00
そうそう。まんま手にならないなっていう気はしなかったですけどね。
ですよね。
だって下手にオプトアウトとか言ったらさ、なんかこのアドレス持ってるのか自分ってバレちゃうじゃない。
そうだね。
変なところに逆に言いたくないなっていうのもあるじゃん。
あーわかるわかる、確かに確かに。
まあでも一方でほら、今回みたいなとか脆弱性のある機器がどれくらいあるかとかっていうのを調べるっていう意味では有用ではあるんで、
こういうスキャンってうまく使えばとても効果はあると思うんだけど、なかなかそういうのとバランス、ノイズになるっていうのとバランスは意外と難しいよね。
面白いのでぜひ読んでください。
楽しみ、これからの公開内容も楽しみですね。
そうですね。
はい、ありがとうございます。
ありがとうございます。
じゃあ今日はセキュリティの3つの話はもうしたので、最後におすすめのあれを紹介しようかなと思ってるんですけども、
今日紹介するのはですね、スパイスをちょっと紹介しようかなと思いまして、
スパイス。
ご存知の方はもうご存知だと思うんですけど、アウトドアスパイス堀西っていう。
あー、はいはいはい。
多分ネットの広告とかでもよく出てきてたりとかするし。
なんかコンビニでコラボしてたかな。
コンビニはね、堀西コラボのカレーとかが売ってましたね。
いいっすよね。
そうそう、スパイスなんですけど、これ結構僕もずいぶん前から知ってたんですけど、最近ちょっと買いまして。
で、いろいろ調べてみると、5年かけられて作ったらしくて。
サンプルの数は200以上で、130回以上のテイスティングテストをして、最終的には全20種類のスパイスを合わせた、万能ミックススパイスっていうのが売り文句なんですよ。
で、見た目とかもピリッとした感じでおいしそうやな、僕の好きそうな味やなと思ってて買ってみたんですけど、何にでもいけますね。
例えば、とり焼いたりとかするときにも下味につけとくとかいうのもいけますし、何かにつけてちょっと味変したいなってときにちょい足しするみたいなのでもいいと思いますし。
いいですね、何かいろんなものにつけて。で、結構検索すると堀西を使ったおすすめレシピパターンみたいなものもいっぱいあるんで。
へー。
そういう広まりがあるんですね。
結構使われてるんだね。
そうなんですよ。で、和歌山県の桂木町には何か自販機もあるらしくて。
スパイスのですか?
スパイスの。
そうなんですね。
行くことないかもしれないんで、これは僕にはいらない情報なのかもしれないと思いながら見てたんですけど。
基本的に通販でいろんなところで買えるようなものなので、何か1本あればいいかもしれないですね。
僕結構鶏肉焼いたやつとか好きで塩コショウをかけて食べることが多かったんですけど、最近これになっちゃいましたね。
1:00:06
へー。
そうそう。いろいろ展開もしてるみたいで、普通の堀西と堀西プレミアムと堀西辛口っていうのがあるんですけど、僕はまずノーマルなやつを買って。
ノーマル堀西。
大体でも、大体何でもそうなんですけど、これがそうか試してないんでわからないですけど、大体ノーマルのやつを食べて、ちょっとプレミアムいっとくかみたいな感じで行くと、やっぱり普通の方がええなみたいな感じになることが多いので。
あまり積極的ではないんですけど、そのうちプレミアムも試してもいいかなみたいな。3本セットとかもあるんですけど、そういうの試してみてもいいかなっていうところがあるんですけどね。
へー。
結構いいですよ。広がりができます。食べるときの味付けに。
いろいろアレンジができて、使い方によってはいろんなのを使えそうだね、これね。
そうそうそうそう。なんかちょっと流行りもんやんけと思って、なかなか飛びつかへんかったのを若干後悔しました。
やっぱ買っといてよかったら買ってからやなって思いましたね。
なるほど。いいものはやっぱり良かったか。なるほどね。
そうそうそうそうそうなんですよ。なのでもしよかったらお試しいただければいいんじゃないかなというふうに思って紹介させていただきました。
ありがとうございます。
はい、ということで全部終わりましたね。
はい。
ではまた来週のお楽しみでございます。バイバイ。
バイバーイ。
