1. セキュリティのアレ
  2. 第213回 安全第一!品質第二!..
2024-03-04 1:05:29

第213回 安全第一!品質第二!生産第三!スペシャル!

Tweet・【NTT西日本】お客さま情報の不正持ち出しを踏まえたNTT西日本グループの情報セキュリティ強化に向[...]

The post 第213回 安全第一!品質第二!生産第三!スペシャル! first appeared on podcast - #セキュリティのアレ.

サマリー

今回のエピソードでは、タコパ配信のニーズやセキュリティ関連の夢についての話題が取り上げられます。NTT西日本グループの情報セキュリティ強化策に関する調査報告書も紹介されます。調査報告書によると、不正利用されたデータの取得方法には複数の可能性があり、内部の管理や監査の不備も指摘されています。コネクトワイズのスクリーンコネクトにおいて、認証バイパスとパストラバーサルの脆弱性が発見され、短期間で悪用されて広まりました。攻撃者は簡単に管理画面にアクセスし、クライアントマシンにコマンドを実行することができます。パイソンのスクリプトcvプライオリタイザーによるepss値とcvss基本値に基づいた優先順位付けツールも紹介されます。セキュリティの話として3つのトピックが取り上げられ、最後にはアーティストのコディリーさんについても紹介されます。

タコパ配信とセキュリティの夢
スピーカー 2
なんかあのー、あ、久しぶり。久しぶりです。2週間、2週間ぶりですけどね。
スピーカー 3
いやーなんかちょっと待ち遠しかったです。 なんで?
スピーカー 2
いやなんかね、あの前もなんかちょっと話したかもしれないですし、この間ねちょっと僕と看護さんであの三連休の中身にスペースやったときにもちょっと出たんですけども、
スピーカー 3
僕ら当分会わんのですよ。 リアルでって意味ですよね。リアルで。なるほどなるほど。
公演とかそういうやつで。そうそうそうそう。だから下手したら6月まで会えへんみたいな。 うん、ほんとに?
スピーカー 2
なんかねそれぐらいになりそうな感じがしますね。 そうそうそう。タコパやろうじゃんタコパ。そう、ちょうどいいこと言ってくれたわ。
スピーカー 3
タコパ配信のニーズ意外とあるかもしれない。 嘘だ。どこにそんなニーズが。なんか結構あのコメントというかお便りで、
スピーカー 1
タコパ配信めっちゃいいみたいな。 マジか。じゃあやるか、タコパ。タコパ配信って焼きながら喋るんですか?
スピーカー 2
知らないけど。いやそうやね。それ見えへんやん。やったことないもん。 だからそのほら普段ね僕らが喋ってる後ろにじゅうじゅう言ってるだけ感じです。
スピーカー 1
あーそれが。面白そうだね。一回やってみようかそれ。 なんか喋るか作るかで必死になりそうですけど。
スピーカー 2
6月までにやりたいなぁ。 ちょっとあのスペースでやってみようぜ。 やってみますか。タコパ配信。
スペースやけど一人で喋ってるみたいなのあるんですよね多分ね。一個のアカウントでやるから。 あーそうだね。同じとこにいるからね。
スピーカー 3
タコパやりながらさちょっと真面目な話しちゃったりして。 タコパしてるかどうかわからんかもしれない。
最悪焼肉とかでも大丈夫かもしれないですね。 あーそうっすよね。焼肉もいいなぁ。 いやタコパだよせっかくだから。
スピーカー 3
確かに確かに。流れ的にはね。 流れ的にはね。 いいですよね。 ごめんごめん話の腰落ちちゃったけど。
あーそうそうだからね。いやいやちょうどよかったですよ。タコパの話に持っていこうと思ってたんで。 あーそうなの?
うん。あのなかなか会われへんっていうのを思った途端になんか寂しなってね。 ね。
スピーカー 2
だからめちゃめちゃちょっとなんかテンション高いというか。 そうなんだ。 ワクワクしてるというか。
スピーカー 3
いいねー。 あるんですよ。 いや結構何かね、数ヶ月会わへんってなかなかなくないですか? 確かになー。まぁなんだかんだ言って結構
スピーカー 2
頻繁に会う機会あるもんね。 だってねコロナ禍や言うてもね、そのオンラインの配信では会ってたわけじゃないですか。
お便りのつもりじゃないけど
スピーカー 2
収録的なやつとかね。 確かに。 そうだから1個なんかねイベントをスキップするとかはね、するだけでこんだけ間空いてまうんやなっていうね。
寂しいなと思ったね。今日はちょっと本当に。 どれぐらい待ち遠しかったかっていうと今日喋る内容を
スピーカー 3
今土曜日ですけども、今日喋る内容を月曜日に用意してしまうぐらい待ち遠しかった。 まあでもそれ1週空いたからじゃないの?
スピーカー 2
違う違う違うそんなことないよ。月曜日に初めて書き始めて準備し始めて。 なんかねあのサッサッサッとやってしまいましたね今回は。
スピーカー 3
すごいやる気じゃんなんか。 すごいみなぎる躍動感ですよね。 躍動感?
スピーカー 2
分かれへんけど。 いやいいですね。 ちょっとね気になるセキュリティの話ではないですけど、ふっと気になったことがあったんでお二人ちょっと聞きたいなと思う。
雑談というかあれなんですけども。 冬場とかってお二人はどういうこれまで
ご家庭で生活してるかわかりませんけど、こたつとかね。 冬場って出す家あるじゃないですか。うちの実家もあったんですよ。
で冬場ってさ、そのこたつがあると余計そうなると思うんですけど、なんか立ちたくないやん。 その席を。
でもやっぱトイレとか行きたくなるじゃない。 そりゃそうだね。
とか飲み物を取りに行こうかなとか喉乾いて。 そん時にさ、なんか家族とかに何か立ったついでに何々してみたいこと言われへん。
スピーカー 3
あーなるほど。それよく聞くというか、俺はね実家の時にはうちにはこたつはずっとなかったのよ。 ずっと?
こたつがない家だったんで。 だからそのこたつ文化って友達の家に遊びに行ったりとかさ、そういう時にいいなあこたつとかって思ってぐらいで。
スピーカー 2
なんで今のその経験はないのよ。ついさんの言ってた経験は。 そうなんですね。
ないけど、結構ドラマ的なやつとかそういうシーンってのがよく聞くっていうかさ。 確かに。
あるけど、それはリアルにあるの?そういうこと。 あるんですよ。僕も経験あって、こういうの。
だいたいやっぱトイレ行くついでとかに何か取ってきて、飲み物取ってほしいとか、ついでにみたいなやつあるんですけど。
スピーカー 3
それを何かこないだふっと何か思い出しまして。 たったついでにみたいなことをよく言うてたらうちの親だなあと思ってね。
あれどこまで許されるんやろうな。 いいね。
スピーカー 2
物事のボーダーみたいなの結構好きじゃないですか僕。 なんて言うんですか。怒られるか怒られへんかのギリギリがやっぱり一番おもろいんちゃうかみたいなとこあるっていうタイプなんで僕。
気になったらどこまで行けるかやってみたくなるよな。 人によるし、答えなんかないし、極論どうでもいい話なんですけど、たったついでにジュース取っては多分オッケーやと思うね。
スピーカー 3
たったついでにコンビニ行ってきてってどうやろう。 買い物頼むわみたいな。
しかも僕親と住んでたマンションやったから、マンションの1階付近にあったんですよコンビニが。 割と近いね。
たったついでにコンビニ行ってきては許されんのかなって結構ギリじゃない。 なんかさほら買い物行くつでにこれも買ってきてはそれはあるじゃない。
逆に聞くこともあるやん。コンビニ行くけど何かいるから聞くときもあるけど、
スピーカー 2
トイレに立ったやつについでにコンビニ行ってきてって言ったら、何パーの人が行ってくれるのかなみたいな。
スピーカー 3
たぶんそのたったついでに飲み物取ってきてと、たったついでにコンビニ行ってきての間に何段階かあるよな多分。
もう1個?もう1個って何やろう。 ちょっとなんか飛躍してない?
スピーカー 2
たったついでにゴミ捨ててきて。 これだったらマンションとか敷地内から出えへんやろ。
たぶんそこがボーダーぐらいだよな。 もしかしたら東京やとそんなに数ないかもしれへんけど、たったついでに
スピーカー 3
ストーブの豆油入れ替えてとか。 入れ替えてか。それ買ってきてじゃなくて豆油は家にあるってこと?
NTT西日本グループの情報セキュリティ強化策
スピーカー 3
豆油、だいたい僕昔家にあった時にはベランダにあったんですよね。それを入れてくれ。
それは何か飲み物取ってくれと同じボーダーだよな。 その先が行けるかどうか。家の部屋の外に出るか出ないかみたいな。
スピーカー 2
コンビニ行ってきてとジュース取っての間を一番いいの言った人優勝ってことでお便り。 大喜利やんそれ大喜利。
スピーカー 3
お便り募集みたいな。 ぜひご応募待ってます。 たったついでにペネトレしてきてみたいな。
セキュリティー。 それおもろいな。たったついでにパッチ当ててきてみたいなやつ。
スピーカー 2
いいかもしれない。 ついでにするもんちゃうやん。
スピーカー 3
最優先やってくれそれは。 確かにこたつ入ってる場合じゃないですね。
仕事場に置き換えてもいいかもしれないですよね。 ちょっと顔切り面白そうじゃないですか。
いいですね。もし何かいいのあったら。 それステッカーだステッカー。
スピーカー 2
そうですね何か良いのあったら一つそれはもうステッカーの箱で開けますということで。
スピーカー 1
お便りが来ております。 211回であの僕がブローカーっていう言葉って何かブローカー自体が悪いイメージないみたいなこと言ったと思うんですけど言ってらっしゃいましたね
スピーカー 2
そうでブローカーの言葉が悪いイメージということでしたとただグローバル企業がサイバー保険を検討するときには ブローカーを利用することがあって
保険会社一社ではリスクが大きすぎて断られるから ブローカーが保険各社からかき集めて保険を蘇生してくれます
スピーカー 3
なんでこういうのがあると便利ですと。そういうのもあるんだね。 実体験とかがあるとイメージ変わるんかなやっぱこういう言葉ってね確かにね
スピーカー 2
そうそう自分にない観点を教えていただいて嬉しいなと思う。 あとねなんかちょっとシリーズ化してるのかな
夢の話また出てきた。こないだすごい不気味な夢あったよな そうそうそうまた語り口は若干不気味な感じでしたからね
今回はですねセキュリティ関連で見た夢というとという感じなんですけども 仕事の pc でウェブサイトの広告を間違ってクリックしてしまい
デスクトップ画面が警告で消えなくなった 夢なら見たことがあります
とりあえずあのサートに連絡しないとと焦ってチャット売ってるところで目が覚め たしばらく動機が止まらんかった
なんかあれか流行りのサポート詐欺とかそういうやつとか色々 そうですねサポート詐欺偽広告とかそういうやつの多分いいですかね
スピーカー 3
結構だって被害もさあなんかよく事例が公表されてるもんねなんか 変な画面が表示されてそのまま電話をかけて
スピーカー 2
なんか遠隔操作食べましたとかそうそうちょうどねこれに関係するこういうネタを 扱ったセミナーでこの間僕対談してきまして
スピーカー 3
ライブ配信のやつでねなんかいつも何回かやらしてもらってるんですけどなんかなぜか そこのイベントだけチャット欄が盛り上がるんですよね
一般のその普通に募集してかけてきていただいているお客さんなんですけど なぜかの終わった後に何かパチパチパチって数字の8が並ぶことがあったりとか
スピーカー 2
いいじゃんそうそうそこでもなんかでもとか見たけどなんかあれですねマウスが動いたら 発動するとかっていうのもあるんですね今ね
なかなかあの辺も何か普段あんまりこっちから得てみーひんけど結構ね 進歩しとんなぁ攻撃の方法もなぁみたいな感じに感じましたね
スピーカー 3
そっか意外とそういう中子自分がその何 あったればマルウェアに感染しちゃうたとかそういう詐欺に引っかかっちゃう系のちょっと
スピーカー 2
着合わせものの夢って見る人やっぱりいるんだね俺そういうの全く見たことないわ 確かにねまぁ僕もまあ言いますよセキュリティ関係の夢って本マンの合いもんだから
スピーカー 3
だいだらまあネギさんと看護さんが出てくるぐらいはっはっは それぐらいですね怖い夢は夢見ないんですよね僕がそうなんだね
スピーカー 2
そうで最後のお便りなんですけどお便りはどこに出すんでしょう っていうお便りが来ててこれから言ってなかったよくなかったなぁっていうね
たびたび言ったほうがいいんですよ届いてるよちゃんとメガネメガネそうそう お便りどこに出すんでしょうシャープセキュリティのアレって書いてあったどうしていか一瞬
スピーカー 3
それ狙ってやってるわけじゃないよねー その彼が狙ってないですよなしですか狙ってないと思いますよそれ
スピーカー 2
ご新規さんかな多分多分そうじゃないですかねありがたいね そうですねはいそうそうあのシャープセキュリティのアレっていうふうにこのポッドキャストの
タイトルを書いてやればもうそれもイコールお便りなので 逆にお便りのつもりじゃなくてハッシュタグつけたら読まれてしまう可能性があると
スピーカー 3
いうか x のポストはまあ公開情報だからまあ確かにまあねあの
そんな文句言ってくる人いないと思うけど 確かにねいやでも嬉しいね
スピーカー 2
はいまあハッシュタグつけてツイートをいただいてまあ読んだらステッカーを差し上げる ということでこの方にもステッカーの印刷コードを送っておき
ますこれであのわかったと思うんでぜひ次回からお手寄りをお待ちしております あそうですねどしどしという感じでお願いしたいなと思いますはいじゃあ今日も
セキュリティのお話をしていこうかなと思うんですけども a トップバッターはそうですねかも 咲きましょう
スピーカー 1
はい私今日はですねあの2月の29日に好評のあった そのままちょっとタイトル読むんですけどお客様情報の不正持ち出しを踏まえた ntt
西日本グループの情報セキュリティ強化に向けた取り組みについてっていう そういった好評がですね
ntt 西日本と ntt マーケティングアクトプロ cx あと ntb ソリューションズの連名で出されておりまして今日はちょっとこれを取り上げ
たいなと思ってましてこの内容のどこを取り上げたいかというとですね 具体的なその
昨年発生した内部不正というか不正な情報の持ち出しの事案に対するその セキュリティが強化の取り組みっていうのもあるんですがその下にあったその調査報告書
っていうのがはい結構大きなというかまあ世間的に注目されたようなあのインシデント が起きますと第三者の方を入っていただいて調査
実体調査であったりその再発防止であったりっていうのを調べるっていう そういった取り組みっていうのがまあこれまでもいろんなインシデントで行われていたんです
けども今回の昨年公表のあった事案においても 第三者の調査委員会が立ち上げられてその報告書っていうのが公表されましたので今日はちょっと
その内容を少し買いつまんでというか これまでちょっと分かってなかったところとかもあったのでその辺とかも
踏まえてお話をしたいなと思うんですけども まずそもそもどんな事案だったっけっていう話なんですけども
これ多分話題になったのは多分昨年の10月ですかね 10月にNTTビジネスソリューションズに派遣されていた
不正利用のケース
スピーカー 1
その時点でも元派遣社員という形の肩書にはなっていたんですけども その元派遣社員の人が不正に
顧客情報の持ち出しを行っていたとで驚くことにその期間というのがまあ スポットでちょっと1回やっちゃったって話じゃなくて
10年ぐらい前から長期間にあたってしかも大量の 調査報告書に書かれているものですとまぁ最終的に928万件で
全部が一つの顧客というわけではなくて 複数の顧客に影響が及んでいて69の組織に影響が及んだと見られる
少なくともその組織に影響が及んだと見られる事案ということで非常に 件数も多かったというところがあり
なおかつこの実際に不正に持ち出された情報が 名簿の業者を介して別の事業者の手に渡ってこれ不正利用というんですかね
あの実際にまたそれが使われてしまっていたとそういった事案でもあったので 比較的注目されていたり影響を受けた方は非常に多くいらっしゃ
んではないかなと思うんですけども 既にその元派遣社員の人っていうのは逮捕というか基礎まで進みされてはいる状況ではあるんですが
あのそういった状況が並行して進んでいる中でさっきのその調査委員会もあの 粛々とというか内部であったりというところを対象に調査を進められていて
実際に調査が始まったのは11月の16日以降に立ち上げが行われたというところで 最終的に調査報告の資料等が公開される2月末日まで
2月19日まで調査委員会の会合などが開かれていたそうです 目的としてはさっきも言った通り事実の調査であったり
その原因分析とかというところですかね そこら辺を目的として行われているものではあってですね
調査報告書はどれもそうなんですけども かなりボリュームがあるっていうんですかね今回のこちらのケースにおいても
スピーカー 2
トータルページ数で言うと300ページぐらいあるんですかね 283って書いてますね
スピーカー 1
後半の方は若干資料みたいな形になっているので 実質的な中身っていう意味においても180ページぐらいあるので
私もちょっと全部細かく目を通せたわけではないんですけども かなりボリュームのある資料となっていると
スピーカー 2
僕も開いてページ数見た瞬間に原因っていう検索だけしてまずここから読もうみたいな 感じにしてましたね
スピーカー 1
読み方ねいろいろコツはありそうですよねここまでボリュームがある 内容的にはさっき言ったその事実調査っていうところの確認から入っていて
興味深かったのがあのアンケートも行っていまして 同様の多くの顧客情報を管理しているシステムを担当している人に対して
200ぐらいあったらしいんですけども NTT西洋日本グループにおける担当の方に対して管理責任者と一般社員という形で分かれていましたけども
双方においてアンケートの実施をされているということで後半の半分まではいかない までも結構なボリュームがそのアンケートの結果なども含まれてはいるので
似たような大企業においてはもしかしたら同じような傾向が出てくるんじゃないかな とかっていうのは実際アンケートの中見ていくと思うところなんですけども
さっき言ったそのそもそもの話として不正取得っていうんですかね 不正に取得をする行為っていうのがどういうふうに行われていましたかというところについては
一番手っ取り早いのはそれを行った本人に聞くのが一番早いんですけども まあまさに事案操作中というところもあったのか
調査委員会の活動
スピーカー 1
当人からはヒアリングをする機会というのが残念ながら持つことはできなかったというところで メールで1回だけやり取りができたそうなんですけども
ただメールでのやり取りというのもやり取りというか回答が1回あったという話なんですがそれについても基本的にはやったという行為を認めるというそういった内容に留まってはいたので
一部分部分はこの調査委員会の仮説というか推測とかっていうのも入っていたりはするんですが
その不正にどうやってデータを取り出していたかというと これは結構あるあるかもしれないんですけども
調査報告書と全テナントというわけですがこれあの委託元組織の単位っていうんですかね 全委託元組織の全顧客情報をダウンロードが一括でできるアカウントが存在をしていて
これを今回不正利用を行っていた人物も使っていたというところがまずあり あとは
不正取得が行われていたネットワークっていうのは基本的な閉域網で運用されていたんですけども
当初保守側からのみ取得していたんではないかという話はあったんですが 在宅予定ですかねリモートワーク向けの vpn 網も整備はされていて
もしかしたらそちらからも不正利用が行われていた可能性があるんではないかといった話も あったというところがあるのと
あとはこれもなかなか そういうことあるんだと思います私物の私有の pc ですかね
そちらについての接続制限とかっていうのは特段行われてはいなかったので こちらもあのはっきりした証拠っていうのは確認が取れてなかったんですけども
当人がその私有の自分の pc を使って取得していた可能性っていうのも 捨てきれないと
いう話なんかもあったりあとはですね ログから見る限りでは持ち出されたと見られているデータがどうもその先ほど
全件ダウンロードできるっていうそこからだけでは確認できないものも実はあったりして 他の手段っていうんですかね
あの別のアカウントで取ってきて別の場所に格納していたものを ファイル共有かなんかの設定で取得していたなんていうのも
可能性としては考えられるということでは 結構やろうと言えばもうやりたい方でできる状況にあったりはするのかなと
あと保守端末もこちらも特段ネットっていうかインターネットへのアクセス制限という のもされていなかったらしく
web メールって書いてあったんですけどもまぁあのおそらく gmail でなそういった サービスへの接続形跡もあったので
usb メモリーで持ち出されたっていう話では当初はあったんですけどもまあそれだけ じゃない可能性もあるねと
いろいろなので不正取得のルートっていうのが本当にたくさん 想像していたというところではあったんですが
不整理を行ってしまった人っていうのがどういった状況にあった人なのかというところも 報告書の中ではまとめられていてですね
内部管理と監査の不備
スピーカー 1
今回対象となったシステムっていうのがあのやっぱりそれなりに専門的な知見を要する システムではあったので
不整理をしていた人っていうのがそのシステムに対しての経験というのが非常に豊富 だったと
実際なんか社内向けの研修っていうのをそのシステムの研修とやっているそうなんです けども
本来この手の研修でそのシステムのベンダーとかがやると思うんですけども 一緒にやってたとそのベンダーの人と一緒に共同で講師なんかも行っていたと
スピーカー 2
今回の方があってことですか そうです
スピーカー 1
なのでまあ組織全体として見た時も結構な部分をその方に依存している状況にあった というのは報告書でも書かれていて
本当にそういう意味ではその人中心に回っていたのかなと思われる記述としては ビジネスソリューションズが例えばその
プロシエックスからあの業務の委託というかあの仕事の依頼を受けて対応するっていう まあそういった仕事のやり方っていうのは当然あるんですけども
その中で 本来であればあのプロパっていうんですかね
社員 実際にその課長を通して仕事を受ける受けないとか
その管理であるとかっていうのはやるやられるべきなんですけども 今回のケースにおいては
不正利用を行われていた人っていうのがそれなりに事件もあって なおかつ周りからも信頼を得ているっていうんですかね
そういった状況にあったので直接外部から仕事を引き受けて 業務の対応を行うっていうのも珍しくもない状況にあったと
加えてそういった仕事をしていて その管理責任となる課長とかに事後報告すらされないケースも見受けられたというところではあって
課長自身もそこには問題としては気づいてはいて つどつど言っていたという指摘というかコメントというか
そういうフィードバックはしていたらしいんですけども 反映はされてなかったというところがあり
今回の調査報告書のコメントにおいても 野放し状態で頼らざるを得ない実態だったっていう形でコメントをしていたというところがあって
なのでなかなか不正行為をその人がしていたということに気づくことが 実質難しいというか
できない状況にあったのかなと そういう意味では気づくきっかけとしては
実施点検というのはやっていたらしいんですが こちらも鵜呑みの連鎖だったっていう結構辛辣な表現されてるんですけども
右に並んで誰も検証などもされてなくて 本来であればいろんなところが母派定となるべきようなところも
本当に確認検証などが行われず そのままスルーをしてしまったというところがあったり
あとはこれ今回さっきその10年以上って話だったんですけども 元派遣社員の人は2008年から派遣をされていたという話ではあってですね
2008年以降も組織再編というんですかね その所属している組織っていうのは結構変わっていくということが度重なったことも
一つ影響としてあるんではないかっていう話も 指摘としては上がってはいたというところではあってですね
なかなかなので環境的にも本当に好き勝手というか自由にできる状態でもあったし その本人に対しての
検証となるような状況にもなっていなかったというところで 今回その不正利用のある意味発端ともなった
調査報告書上ではA社っていう表現をされてましたけども 不正利用をされて名簿業者を経由して他のところから連絡が届いてしまったっていう
そういった事業者さんですかね そこからオタクから漏れてるんではないかという形で 実際にはのマーケティングアクトに対して
確認の連絡っていうのが入ってそこで内部調査が行われていたんですが そこでも残念ながら気づくことができなかったというところではあって
これ自体は2022年の話なので9年目の時点で 指摘を受けたものではあったんですが
あいにく確認はそういった不正利用の事実が確認されなかったという報告がなされてしまったというところで
調査報告書ではこちらの過去に行われた調査というものについての検証もかなり行われていてですね
スピーカー 3
一言でバツッと切られていたとしては調査と表現することも 幅から出るほどの極めてずさんな作業であったっていう
スピーカー 1
調査ですらないという 問題なしという報告をする組織文化に問題があったのではないかという
そういった指摘も入っていてですね 中身読んでいただくとまあ確かにそういう言わんとしたいことはわかるなというところで
あるんですけども例えば補修端末 さっきいろいろ問題があるって話したんですけども
その時点での報告ではUSBポートがないとか あるいは情報漏洩対策が適切に行われているのでデータの取り出しはそもそもできないとか
あるいは保守端末での作業というのは必ず2名以上の体制で行っているとか あとですね結構これもひどいなと思ったのは
エクスポートログ自体は出力はされていたんですけどもそのデータを取り出したっていう ログ自体は出力されていたんですけども
そもそもまずそれを確認定期的に確認するっていうのをやっていなかったということも ありますしその今回の内部調査っていうんですかね
その指摘を受けた際にこれあの意図的に何ですかね 不正利用の事実を隠したかったということではないという話ではあるんですけども
部分部分のログ上のデータというのが消されていて例えばダウンロード件数であるとか ドイツに複数の履歴がある場合はダウンロード履歴を大幅に消してしまうとか
IPアドレスを書き換えするとか なんかそういったログの解散なんていうのも行われていたそうなので先ほどの
結構辛辣な表現になったんかなというところではあって これさっき言った通り不正利用の事実を隠すという意図ではなかったそうなんですけども
そのログ出力を行っていた側の見解としては何かその参考程度のものだったので みたいななんかそういうニュアンスでの書きぶりがされておりました
最後ですねはいあのアンケート話ですけどもまあこれさっきもすごいボリュームが 咲かれているんですけども
これも後で見ていただくと非常にいろいろしたに飛んでるなってことところではあるんですが 私その中では適切かつ十分な方法でその管理とかっていうのがしっかり
実施されてますかっていうところの問いに対して 管理責任者の方は約6割ぐらいができていると
ただそれに対して一般社員となんていうのねその実務で担当されている方を想定したもの だと思うんですけども
そちらの方は約9割ができているという回答だったので結構これ差が出たなぁと 逆にその
まあ残り管理責任者でと4割はできてないという方向に向いてます 一般社員の方は1割ぐらいができてなかったって話ではあるんですがそこに
ついての中身については まああの双方ともルールが非常に複雑だというところは双方で回答はされて
いるんですけども 管理責任者側で目立ったものとしてはそもそも実施責任を持っている人間が情報管理に十分な
時間を避けていないというところであったり これはの今回の事案にも関係するあのまさに関係するところですよ専門的な知見が
ないとそもそもそういった管理をされているというそういった実態確認ができない というところをこういう理由でつけたということで回答している方がいらっしゃ
たので これはまあ今回の ntt 西日本のグループに限らずまぁ結構こういったギャップというかあの
こういう実態というのは割とあるんかなというふうには思ったので さっきもたとえ結構なボリュームであるんですけどもぜひ一読をお勧めしたいなという
スピーカー 2
内容ではありました なんかいろいろいろいろいろこうなんかどこにでも起こりうるなぁみたいなことがいっぱい書かれて
あるなぁと思ったそうですねそうこのログ撮ってたけど それちゃんと活用できてないとか定期的に見ていないとか
でなんかログとかってよく言われるのは何か監視カメラみたいなことで言われたりすること ありますが何か起きた時に見るみたいなイメージもちょっとあるじゃないですかそういう側面も
あると思うけど今回何かあった時にもきちんと終えるようになってなかったっていう 終えてなかったみたいなところっていうのはもう
なんか全部スルーしてるなっていうとしかいいようがないっていうのがあるなぁと思いつつ こういうのっていうの権限がある人がやるから厄介やみたいによく言うじゃないですか
内部情報漏洩ってこのなんかその環境がもうそういうのも許してしまう許してしまうというか まあね見つからないように長期に渡ってできるような状況が出来上がっているみたいな表現が
ありますけど やっぱ仕事が回ってるからって言って問題ないというわけではないってことやなっていうのは
改めてこれがね思ったなということでございますね僕はこれ まだ僕も全部読んだわけじゃないんですけどまだちょっとつまんでも結構長い
スピーカー 3
チクチクするなっていう感じの結構 c さんに飛ぶというそうそう しんどいけど読む価値があるかなと思いますはいなんかねあるあるで片付けちゃいけ
ないけど どっかで聞いたことあるなーっていう内容ばかりというか
はい本当にそうなんですよね難しいけどやっぱこういうのなぁ中の事件が今回みたいに起き たりは今回のもさあその
スピーカー 1
行った人がもっと高名だったら多分気づかれてなかったかもしれないじゃない 本当ですよね
スピーカー 3
というのがおそらく他にもたくさん他の会社でもね あるんだとするとなんかそういうものそのなんていうの事情作用的にというか
何か起きて実際に事件が大きくなってから直すんではなくね 問題が大きくなる前にやっぱりなんとかみんなしたいとは思ってはいると思うんだけど
スピーカー 1
こういう報告書見ちゃうとちょっとこれでは無理だったろうなーっていう気がするという かね
スピーカー 3
ちょっと気づくのは厳しい状況にはあったかなぁとはしかもさあそのどっかとか誰か とかがだけが悪かったとかっていう話じゃなくてさ
はい複数の会社の複数の利害関係者が絡んでどこもかしかもダメだったっていうふうに 読めるからちょっと言い方悪いけどね
はい特定の1個の原因じゃないじゃないこれってさ そうですねここまでだっちゃうとなんかちょっと事前にはどうにかしようがなかった
かなと思わざるを得ないというか それがそのでも別に特別この会社だけがどうってわけでない
感じてしまうからさあおそらくそこがちょっと怖いところでありますよね まあ規模の大小はあれこういう委託元委託先の関係とか特定のその社員に依存して
しまってそれが問題になるケースみたいなのはいろいろ内部不正だけに限らず色々ケースが 違うけどさ
まあやっぱりたびたびね起きてるから なんかねいやこういうの読んでちゃんと教訓として直さなきゃなと思うけど
果たしてそれでじゃあどれくらい同じようなことを問題を起きる可能性がある会社が 直せるかというと
こういう会社たぶん家では関係ないってまず思っちゃうっていうか ね難しいようななんかやっぱり何かそういうそう外からの刺激指摘とか強制的な何か
とかっていう何かそのこれまでの流れとは違う 外圧的なものっていうかその強制的な何かがないと難しいのかな
スピーカー 2
こういうのっていうのはまあなんかその防ぐっていうのもそうですけどやっぱりその やらせないやろうとする気を起こさせない欲しっていうところも大事やなぁと思い
ましたよねー なんかこの彼もさんの話聞いて僕もね読み切れでなかったんでこのかもさんの話聞いて
て思ったんですけどこの人行使をするぐらいね詳しかったわけでしょそうそうそう なんですよねねげさんも今ねおっしゃってましたけどその1人の人間にね遺損して
しまうのっていうのはどうなんだみたいなことがありましたけど これって別にこのこれはもう犯罪なわけですけれども
犯罪じゃなくても遺損しすぎてなんか 目先のものはいいけど長い目で見たら組織にとって良くないことっていっぱいあるん
ちゃうかなと思いましたね なんかこの人がいなくなったらみたいなのでその人がでそのなんか立場よりも大きな力を得て
しまう場合とかもあってそれが周りにあく影響があっていうのもあるじゃないですか よく聞く話であるんで
やっぱそういう業務が業務の現場がどうなってるのかっていうので考えないと 仕事は回ってるけど実はいろんなとこに圧力生んでて最悪の場合ねこれも
で偉い人の首が飛んでしまうみたいなことまで発展するわけですから なんか本部明日は我が身やなって思ってみないといけない事例だと思いますね
ねそうですね はいありがとうございますはいじゃあ次はネギさん行きましょう
コネクトワイズのスクリーンコネクトの脆弱性
スピーカー 3
はい私は今週はですねちょっと贅沢性の話をしようかなとはい 思うんですけどもはい何かというとコネクトワイズっていう会社の
スクリーンコネクトっていう製品の贅沢性なんだけど これはあんまり多分あの馴染みがないかもしれないんだけど
8ばデスクトップとかのリモート接続と箱を管理するツールで似たような製品だと あの日本だとチームビューワーとかの方がもしかしたら良く知られているかもしれ
たけどまぁあるとに似たような感じね エージェントのツールをデスクトップとかそういうクライアントのマシンに入れておくと
その管理するサーバー側を経由してリモート接続できるようになりますという そういう製品なんだけど
これに今贅沢性がありましたということで2月の19日 今ちょっと前ですね2週間ほど前に
このコネクトワイズ社が贅沢性情報と頭パッチを公開しましたと で見つかったでなくて2つあって
一つが認証バイパスの贅沢性で cve で言うと2024-1709ってやつでこれはまあなんと cv セスのスコアが10.0と
満点だはいマックスのフルスコア配布スコアでまぁこれが後へまた言うけどもうすでに 悪用されてますってやつだろうね
でまぁもう1個こちらも結構危ないんだけどパストラバーサルの贅沢性で cv 番号は まあ2024-1708っていうやつなんだけどこちらも8.4度スコアなのでまぁまぁ
こっちも危ないんだけど この2つの贅沢性がリリースされましたと
で当初はその19日のパッチ公開時点では悪用はされてませんっていうふうにコネクト ワイズは言ってたんだけど
次の日の発火になって情報を更新して いや悪用されているので注意してくださいって言って攻撃送信元の情報とか ioc の
情報も公開しましたと いうことでまだがそのちゃんと認識してなかったのが外部から連絡があったのかどうか
ちょっとわかんないけど 1日たったたずに情報がアップデートしましたと急にこうやばいぞって感じになって
で翌日21日にセキュリティーベンダーがディアタクションの情報の詳細な解説をして プルフォームコンセプトのコードもリリースしましたと
でそれを受けてまあ翌22日に kev のカタログに登録されて悪用済みですよと いうふうに出ましたとトントン拍子ですねはい
でさらにその翌日23日になったら複数のセキュリティーベンダーがもうこれあちこち 悪用されてますよって言って
ランサムウェアのアクターだったりマルウェアの感染とかが結構幅広くいろんなところ で事例が確認されてますというのを注意喚起をして
という感じでまあ数日のうちにあっという間にそういう状況になってしまいましたと で最新ではないけどその2月の27日の段階で
センシスがその贅沢性のあるホストがどのくらい今観測されているかっていう状況 ブログで公開してくれてるんだけど
パッチがた時の2月の19日の段階では6300台あまり スキャンしたら
出たくせのある奴が見えましたと に対して1週間後の2月27日にはそれが3400台に減りましたって言ってるので
まあ半分近くにはなったのかな なんだけどそれでもまだ半分近くが残った状態っていうのが1週間後の状態で
なおかつねその間にもう攻撃も確認されてますよって言ってるんで まあこの残り半分の人たちはもう手遅れというか
言い方悪いが1週間 どうしようどうしようってもしやってたとしたらもう全然間に合ってないという感じになって
いるんだよね でまぁのまあ幸いというか日本はあんまり使われてなくて7割ぐらいがアメリカでまぁ一番
利用が多い他にもまあいくつか 他の国もあるんだけど偏っているんで利用分布が
国内ではもしかしたらあんまり被害がないかもしれないけどまぁそういう感じで 1週間の間にバッタバッタバッタと
なんかすぐこう進んで多くっていう感じまでも最近も猫によくあるなぁという感じ なんでそんなに珍しくはないけど
なんかもう贅沢性が出たと思ったらすぐにパッチ終わってないとも間に合わないなという 感じでしたと
パストラバーサルの贅沢性
スピーカー 3
でまぁさらに今回その運が悪かったというかちょっと良くなかったのは その悪用されている認証パイパスの贅沢性スコア10.0という奴が
どういう奴だったかというと これ実はもうめちゃくちゃ広域が簡単な贅沢性で
スピーカー 2
このスクリーンコネクトのその管理用のインターフェースにまあブラウザーから アクセスをしてまぁ最初にそのインストールすべき初期設定をするんだよね
スピーカー 3
いやその初期設定のウィザードっていうのが立ち上がってまぁそこで例えば管理用の ユーザーとパスワードを登録するとか
ライセンスを登録するとかなんかそういうその初期設定の手順がありますと で一応それやったらもうあとはその普通に管理画面にアクセスをして管理をすればいいので
この初期設定のウィザードってのは最初のインストール時に1回だけ使うだけなんだよね なので一度初期設定をしても設定が終わったら次からはその初期設定の
スピーカー 2
ウィザードにはアクセスできないようにアクセス制限がかけられたわけ なんだけどなぜかそれがちょっとそこに贅沢性があって
スピーカー 1
実はその設定ウィザードのパスの後ろにスラッシュを1個つけるだけでその回避されて しまって
スピーカー 3
もうすでに設定済みのはずなのに あとからもう1回初期設定ができてしまうという
そういう非常にあのお粗末というかこんなのあるっていうぐらい一文字加えただけで 回避されちゃうっていうまあそういう贅沢性で
なのでこれそのインターネット上にこのサーバーをもし公開している まあまあ今今の時代のまあ3000台ぐらいあるっていう話だったけど
とすると何もアクセス制御してないと攻撃者がその管理画面にアクセスをして 初期設定のそのウィザードに今不正にアクセスをして
自分で感謝のアカウントの登録をして ってことができてしまってでそうするとそのサーバーで管理されている場例えば
クライアントが10台ぐらいリモート接続できるクライアントが管理されているとすると その各クライアントに対してコマンドを実行するということができて
それで例えばランサムやに一斉に完成されるだとか まあ丸やに完成させるって言ったようなまあ攻撃が可能になってますよという
まあなんかねちょっとここまで攻撃が簡単にできちゃうっていうのはあの久々に 久々でもないのかなぁ中でちょっとびっくりして
こんな簡単でいいのっていうかもうこれはもうなんかもうだから攻撃行動も何もないよ っていうぐらいな
そうですよねなんかミスタイプしたら攻撃なってたみたいな感じで本当に良いですよねうっかり やっちゃそうだよねこれね
よくこんなのあったなーって感じだけどまぁちょっとそういう感じで悪用がめちゃくちゃ 簡単だというのはまぁちょっと不幸で
スピーカー 2
それもあってまっすぐに悪用が5世界中で広まってしまったのかなという感じでした これあのさっき言ってそのセットアップのウィザード
の画面にアクセスできる普通はできなくなるんですよね そう1回行ったらね行かれたらねそうですねワードプレイスのやつとかと一緒ですよね
その消してくださいねとかって言われるようなものに当たるものがあってことですよね これはえっとそもそもあれですか管理インターフェイスみたいなものを制御していれば
影響を受けない開けなくていいようなものなんですかね 管理する人がどっからアクセスてくるか分からなかったらしょうがないけど
まあ普通に考えたらアクセス元制限できてるんじゃないって気がするようなものって ことですよねだそのいわゆるそのね
スピーカー 3
bod 2302的なことが有効にできるものってことですよね本来であれば まあ選出は6000台ぐらいって言ってる車道サーバーは8000台ぐらいって言ってるけども
少なくともそれぐらいその贅沢性のあるバージョンの スクリーンコネクトが動いているというのがまあ実態なので
大半はそういうアクセス制御とか特にやってないんだろうね多分 怖いよねそれがねそうですよねこれでもこのスピード感結構きついですねそうそうそうなんだよ
あとねその実はこのコネクトワイズ車はこのスクリーンコネクトが今回そのターゲット になってるのは主にオンプレミス版なんだよねだから
お客さんが自分でサーバーを立てていて 自分で管理しているバージョンが問題になっているんだけど
実はその同じものを使ったクラウドサービスっていうのもあって クラウド版はパッチがそのリリースされたタイミングではもう修正されているんで
クラウドサービスを利用している顧客は影響を全く受けてないわけ あるあるのパターンですねそれねそうあるあるパターンで自分たちでオンプレミス版で使ってる人
たちだけは当然そのパッチの適用とかも自分たちの顧客側の責任になるんで そこはやってねってコネクトワイズ側言うしかなくて
この状況という だからなんかさあもうそのさっきのねbojの話もそうだけど最近のその vpn 機器の
贅沢性だとか 他にもいろいろねちょっと前のそのファイルトランスパー系の贅沢性だとか
まあもうしょっちゅう出てくるけどこういうそのインターネット側にその 公開しなければいけないとか公開して使っているようなやつの贅沢性の対応っていうのは
スピーカー 2
ちょっとなんかだんだんこう繰り返されると中ちょっと無理ゲーっぽく感じるよね あーそれはあれですかもうオンプレ限界的なこと
スピーカー 3
いやそのままやさっき言ったみたいにアクセス制限をかけるだとか そもそものと部分ですねとか例えばその使うにしても何かしらそういう他の
コントロールがあれば別だけど 何もなしにこの手の機器をそのままインターネットさらしておくっていうリスクはちょっと
こう許容範囲を超えている気がするというか だってさ今回のパッチでて1日たらずでも攻撃されちゃうんでしたし
最近出ているその vpn 系の製品も結構そういうケースって美味しいあとまあゼロで っていうやつも中にあるけどね
ファイル転送系は結構それ多かったですしねそうそうそうなってくるとさもうちょっと 防ぎようがなくない
ねでまぁゼロでなかったにしても パッチリリストってたらもう即時に当てるっていう体制があるそれぐらいのところ
スピーカー 2
くらいしかもう使っちゃダメっていう感じがしてくるのさ そうですねまぁその後はそのアクセス制御をきちんとちゃんとできるようなところとか
スピーカー 3
そうだからもなんかそういうことができないそういう対戦するのは難しいような ところがもうこういう製品
愛に使っちゃダメな時代になっているなぁというのをちょっとねひしひしと感じますね これは
スピーカー 2
まあこれがこういう製品この製品はどうかわからないですけどいくつか何かクラウド版も ありますオンプレ版もありますみたいな製品でまぁまぁ見かけるじゃないですか
そうあるよねでもねあのやっぱり聞いてみるとそのその製品の者何がちゃうんですか みたいな
オンプレで場所の以外のことで機能面で何がちゃうことあるんですかって聞くとやっぱり オンプレができること多いんですよね
スピーカー 3
そうそうまあそれがば自由度とかね機能面の制約とか まあもちろん理由があってね多分使ってると思うんだけど
ただそのさあそれとこういうその攻撃すぐにされるリスクと天秤にかけて本当に釣り合っ てますかっていう
そうですねまあ入れるならどういうことあんたたちできますか自分たちできるんだ みたいなことを考えないと痛い目に遭うということですよそうそうそういうその追加の
コストっていうかね耐性とか リスクをちゃんと需要できますっていうだけのものがあれば
まあいいと思うんだけど ちょっとさあまりにも見合わないなぁっていう感じるよね
スピーカー 2
こう多いとねちょっといやいやもう限界限界ありますよなんかやっぱり限界感じるよねー いやでもなんかスラッシュ1個つけたらって
よう見つからんかったですねこれね本当だよねちょっとびっくりだよ なんか誰かミスタイプして見つけそうなもんですけどね
スピーカー 3
なんか知ってる人はいそうな感じがしたら確かにつながっちゃうんだよねーっていう 感じでああそうか修正はされてなかったけど実は知られてましたみたいな
スピーカー 2
はい大としては気づかれそれはそれでやばいけどね でもあるじゃないですかそれでまぁでもほらこれインターネット繋がってないから大丈夫
スピーカー 3
ですよとかって繋がってたみたいな そういうのあるあるだよなぁ本当に
これ怖いなぁだってもう結構バチバチ悪用されてるっぽいですもんねこれ いや本当にもう分あっちこっちで何かね悪用事例が確認されてるからそうそう
スピーカー 2
なんか僕も自分の見ている範囲ででもランサーももうこれ使ってるらしいですよ だって簡単すぎだもんこれそうそうそう誰でもそうですよね誰でもできるもんこれ
多分なんか近年稀に見る簡単な脆弱性悪用のね簡単な脆弱性なんじゃないかなぁ ってね
スピーカー 3
ショートっちゃうんじゃないですかねこれで不婚であーそうねー あのポーニーアワードみたいなやつあれ
脆弱性を表彰したりとかっていうちょっとなんか皮肉ってやつありますけどねあれに 出てきそうな感じやなと思うねそういうレベルだよねこれはね
そういう検討をきちんとして身の丈にあったというか自分たちの運用にあったみたいな ものを考える必要があるんでしょうそうだね
スピーカー 2
わかりましたありがとうございますはいはいということで最後はじゃあ僕なんですけれども 今日紹介するのはですねあのまだ続いとったんかっていうね
スピーカー 1
ネタなんですけれども epsf がらみ あーなるほど
スピーカー 2
最近お気に入りだねなんかねー ずいてるそうだからちょっとあの気になるとずっとやってしまうっていう
正確なのかもしれないですね気になってしまっててですね はいでまぁ epss 自体の話はこの間したじゃないですか
スピーカー 3
うんはいなので今日はですねあのそれを扱っているツールの紹介をちょっとしたいな と思って
cvプライオリタイザーの導入と概要
スピーカー 3
はいツールの名前がえっと cv プライオリタイザーという ないほいなんかベタな名前というかね感じなんですけどわかりやすい名前やな名前から
スピーカー 2
なんだか想像つくよねそうそうそうそうこれであの スクールも好きで聞いて使っているあの丸手後の会社
丸手後ってツールありますけどそれの会社のマリオロハスさんて方が開発した パイソンのスクリプトなんですけれども
cv ss と epss と ノーンエクスプレートバルナビティーズカタログまあ kev ですねを組み合わせて対策の優先順位付けを支援する
っていう名目のツールなんですよ なるほどなるほどでまぁパイソンで書かれてるっていう先ちょっと言いましたけども
導入するのも結構簡単でパイソンが入っていることと あとはニストの api キーを持っているこれはの無料で申請すればすぐにメールで
スピーカー 3
送ってくるようなキーなんですけどね あとはまあそのギットが入ってた方が楽かなってことですね
スピーカー 2
でまぁドアのよくあるあの パイソンスクリプトによくあるあのリクワイヤメンツドットテキストもピップに食わせて
api キーをテキストファイルに指定されてキスファイルに変えておけば使えるっていう ふうな導入が結構楽な
ツールではあるんですけどこれねあの epss の話前した時ちょっと紹介したかどうかちょっと覚えて ないんですけどもあのユーザーガイドこの epss のユーザーガイドにある
epss スコアポンコンペアドという cvss ベーススコアというグラフがあるんですよね そのまあグラフって何かっていうと縦の軸 y 軸が epss のスコアですね
0から1.0まで で x 軸横の軸が cvss の基本地っていうのがあって
このあの cvss が高いやつでかつ悪用される可能性が高いのでどんだけ分布あんねん みたいなのを表したグラフがあるんですけども
ここに注目して作られたツールでこのさっき言ったそのグラフをあのまあと epss の サイトを見ていただけたらいいなと思うんですけどもそれをまあ4つに分けて四角に
ね ウィンドウズのマークみたいな感じの置き方というか
スピーカー 3
分けてですね4つの証言みたいな感じでそうそうそう ウィンドウズのマークってわかりにくいなぁ
スピーカー 2
ほんまにねえほんまになんて言えばいいのなが窓みたいなと言えばいいたいことはわかる けどサンボのたタンボのターって言ったらええんか
あってねそれをまあこうばと当分ではないんですけどもちょっとこう 敷地を設けて分けてですね
その4つに対してこう優先順位をつけていくってやつなんですけど例えば左下 っていうのはどんなものかっていうと
悪用される可能性が低くてシステムへの影響も小さいと考えられまあ epss 値も tbss の基本値も低いっていうまあ
もっとも後回しにしちゃってもいいような脆弱性と判断されるようなものですね 左上になったら悪用される可能性は高そうやけどもシステムへの影響が小さそう
みたいな 組み合わされたりとか攻撃のチェーン考えると無視できひものかなっていうふうなのが
これに当たるかなと思います はいただ右下これは悪用の可能性は低いとされているけれどもシステムの影響が大きいから
まあ状況の変化を観察しておく必要があるものかなと僕は思うんですよね 最後に右上はこれも一番やばいやつですね悪用される可能性も高いし
食らった時のダメージもめちゃでかいみたいなもので cbs しも高いということで最も パッチを優先順位を上げて当てるやつ
だがここに当たるというふうなことでこれをまあ自動的に優先順位付けをしてくれる というものなんですけども今言ったやつだと4つの優先順位があるんですけど
これにプラス1個ついてて一番上っていうのがあって一番やばくて優先順位が高い ここではプライオリティ1プラスっていうふうにあるんですけどこれはもうこの epss
だ cbss だとか関係なく kev に登録されてたらもうプライオリティ1プラスでます
すぐやってくださいってやつですねであとさっき式一でこうあの何田んぼのタオルを 開けるで言いましたけれども
あの cvss が6っていうのと epss が0.2っていうふうなものを式一にしてるんですねこの ツールはデフォルトで
epssスコアとcvss基本値による優先順位付け
スピーカー 2
で cvss が6より大きくて epss が0.2 20%ですねよりも大きいものはプライオリティ1というふうになってきてさっきの
四角の当てはめにここからプライオリティが1234というふうに下がっていくという ふうな感じ
なっています でもうこれ実際に僕入れて使ってみたんですけれども
使い方も cve 番号単体で食わせて検索してどういうふうな優先順位かということも できますし
テキストに cve 番号をいっぱい書いておいてリストを使って検索するっていうふうな こともできます
であとはそのアウトプットする項目っていうのはデフォルトだったら cve の id とさっき言った 優先順位がこれですっていうふうなものしか出ないんですけど
配分部位ですねよくあるまあ冗長モードと言われるやつですけどそれをつけると cve id と
プライオリティ以外に epss 値いくらいくらだとか cvss はいくつなんだとかですね あとは製品とかベンダーの名前が出てくるというふうなこともできますし
結果は csv に指定したファイル名で保存するという機能もついていると いうことですねあとはさっき言ったその cvss 値の6
いうのと epss スコアが0.2って言いましたけどもこれは引数で変更することも自分で あのこれはもうちょっと上げたい下げたいみたいなものがあれば変更することが可能でその
変更した内容はさっきのプライオリティの判断のところに反映して プライオリティいくつっていうふうなものに影響を与えることができるというふうな
ものです でこれ何回かバージョンアップしているみたいなんですけども
ツールの機能とバージョンアップの内容
スピーカー 3
前はねあの cve トレンズっていうサイトを二人ともご存知だと思うんですけども なんかそれ1回あれはねついさが多分紹介したんじゃないかな
スピーカー 2
紹介しました本当に音キャストで喋った気がする本当ですかなんか どっかのセッションであの cv トレンズをあの cv ストーカーを紹介した
スピーカー 3
ブーバーセミナーだったかなユーザーはじゃないかな 公園だったかもしれないねポッドキャストでも喋った記憶がうっすらあるんだけどこういうの
スピーカー 2
あるみたいなこと言ったかもしれないですね ただ言葉さっき迷ったこの両方のサイトっていうのはツイッターの api を使ってて出したやつ
なんで あの api の有料化によってあのこの2つのサイトがもうないんでこの機能はもう使えなく
なってしまってちょっとこれあったらもっと良かったのになぁと思いながら はいっていうふうなことがあってですねまぁこれあの使ってみて思ったんです
けど epss ちょっと使いもにならんて切り捨てるにはちょっともったいないかなって僕の中で まだあって
でなのでこの一旦こ使ってみてですね継続的にウォッチしたい奴をリストに登録しておいて 見続けてみて変化を見るっていうふうなこともいいかなと思ったんですね
で epss これこの cv 何なんやろうみたいなものをいちいちこう 複数のサイトを見たりとか cv これかというふうに見るのもまあまあ大変やと思う
収集するのって なんでこういうのであの引っ張って出してこれれば変化も終えるっていうのもあるし
まあスクリプトで書いてくれてるんでまぁちょっと自分で作り込んだりとかすれば ある程度の自動化もできるんでどんなもんかなっていうのを目で見るだけではなくて
こういうので記録取りながらやるっていうのにいいかなというふうに思ってちょっと今日は 紹介しました
スピーカー 3
はいこの方法自体はさあ非常にシンプルじゃないはい まあ cbs のスコアと epss のスコアと2つの基準で優先図つけましょうっていう
特に目新しいさはアイディアとしてはないんだけどはい これポイントは
スピーカー 2
cbs の方は基本的なそのスタティックだけど epss 側ダイナミックだということで変化がねありますもんね
スピーカー 3
そうするとまあこの場のプライオリティの優先順位付けが正しいかどうかっていうのは これは実際に運用してみないとわかんないところなんで
本当はねあのある程度の長期間評価が必要だと思うのねこういう基準とか仕組みっていう のはなんだけどやっぱポイントはその優先順位が国一国と変わっていく
ものだということである日突然 kev 乗ったらバーンといきなり1プラスになるわけでしょ そうですなんで
理想いい理想というか最も効率がよく言えばその悪用されるものだけを優先順位的にね 自分たちが使っているものを
対応していくということができれば良いので 最終的にその kev 乗るなりまどらなくても悪行されるのが確認されたものがどういったその優先順位
の変更というかその変化をたどったかというのが つまりこの今の優先順位付きが本当に効果的だったどうかどうかというその本当はね
効果測定が本当は必要で 実際にほら優先順位が行動的に変わっていってこのタイミングで対応していけば悪用される
前にできたでしょっていうその というその効果ねその攻撃される前にパッチが当てられました
のが成功だとしてそうでない場合は失敗だとした場合にどのぐらいこれが成功率が あるのかというのを
多分ある程度の期間 検証しなければいけなくて
優先順位の変更と効果測定
スピーカー 3
それによってこのやり方が確かに効果的だなというのがわかると思うんだよね まだそれがちょっとねムズ難しいというのと学んで今水産が言ってみたいにいくつかその
動きを評価してみるというか検証してみるというか 行けそうかどうかみたいなねはいというのはその既存の各会社とかのデータ
育成の管理のプロセスの中で参考的にまずこういうのを使って どういうふうに自分たちの例えば今やってるやり方が少し変わるかとかそれか効果がある
とかないないのかっていうのちょっと検証してみるのが必要なのかなっていう気がするけど まああのね使いやすいというか始めるのは簡単にできるし
もとなったり p 説自体のブラックボックスなのは若干あるけど またらっくんこのあの優先順位付けるとすごくシンプルでわかりやすいんで
スピーカー 2
まあまあこういうアプローチもありかなという気がしましたねそうですねなんかあとは なんか実際に自分が対応した
脆弱性とかを見ていってこの脆弱性はこの時 epss いくつやったみたいなものとかを見てみた時にあれこれ
9式1の0.2より低いやんって思ったらその値でもう1回読み込んでみて そうするとどれぐらい大対応する脆弱性の数が増えるのかみたいな見ていくっていう
のもいいかなと思っててそうだね なんかやっぱこう使ってみてっていうのも使い続けるって結構やっぱある程度楽しないと
続かないと思うんですよね これをやってこうあの自分でポチポチやってたのをまあある程度自動化してくれるっていう
のがあれば触れる機会も多くできると思うんですよ なぜこうなってから肌感覚ってはそれに頼っちゃいけないかなと思うんですけどやっぱ
なじみができるっていうのも大きな要素かなと思いますこういう通路を使うので なんで僕もちょっとこれでいろいろ見ていこうかなと思ってたんですけど
スピーカー 3
そうねあと場所の曖昧な 精度はもしかしたらそう高いかもしれないそう専門家の肌感覚っていうか
過去この贅沢性こういうのはこうだったから今回もこうなるんじゃないかみたいなまあまあ 結構当たるというか精度もあるんだけど
はい知識の経験に基づいているからさですね ただまあそれはすごく曖昧で悪くよくわかんないのでこういうまあある程度機械的にその
判断ができる優先で追加でできるという仕組みは誰でも同じように使えるからね そうそうそう誰がやっても結果は一緒ですからそうそう規模が大きかろうが小さかろうが
扱っているそのソフトウェアとかの種類に違いがあろうがなかろうが やり方の基準としてはシンプルでわかりやすいので
スピーカー 2
ただそのどこを敷地するかとか優先順位が高くなった時にどう対応するかっていう そのへんのその行動の基準は多分変える必要があると思うんだけどそうですね
スピーカー 3
元になるその仕組み自体はまあ割と 広く使えるかなというのでそれはそういう点はいいよね
スピーカー 2
そうですね もしねこれ聞いて使った方とかがいたらそういった方々の感想も共有いただけると嬉しい
スピーカー 3
なっていうのも込めて紹介しましたそうね 多分今こういうのが過渡期なんでいろんな仕組みって多分いっぱい出ると思うんで
あとその公開されてないけどベンダー独自のこういう指標っていうのもいっぱいあるから さあそうですなんでそれが実はで裏でやってくだなんなのっていうのもひもと
てみると前3つはみんなに似たようなことをやってるかもしれないけどね まあなんとなくそういうののいろんな子
みんながトライしてみてそういうのの子知見が集まって最終的にこれがいいねっていう のができてくるいいけどね
スピーカー 2
確かに使われることによって良くなっていくかもしれないそうだよそうそう はいぜひ皆さんも使っていただければなと思いますありがとうございますはいということで今日も
アーティストのコディリーさん
スピーカー 2
セキュリティの話を3つしてきたね最後におすすめのアレなんですけれども今日紹介するのは アーティストをちょっと紹介しようかなと思いまして
スピーカー 3
ラッシュブリーさーしぶりにまた衝撃を受けました僕はを 超えということは何そんなに昔から知ってるアーティストじゃなくて最近といや
スピーカー 2
知ってたんですけどあのその知った時にはその人は他人のまあシンガーソングライター なんですけどこの人
はい他人の曲を歌ってたんですよ僕が知ったときにはあーなるほど その方が自分のオリジナルの曲を引っ下げて表舞台に出てきたっていうのを
もうですねでそのアーティストの名前というコディリーっていう方なんですけど はい初めて聞いたまあアメリカのシンガーソングライターコディリーですね
コディリーはいなんですけどもこの方のまあメガ不自由で自閉症を患っている方 なんですけれどもものすごい才能の持ち主で以前にもこの
ポッドキャストで紹介者のゴッドタレントってあったじゃないですか あーはいはいあのオーディション番組ですね
まあアメリカズーゴッドタレントとかまあブリティッシュゴッドタレントがいろんな 国にあったりとかアジアにもあったりするんですけども
それの第14シーズン結構前なんですけど14シーズンの出場者であり優勝者なんですよ ね
あそうなんだなるほどで今ねその審査員の方々がいつもだって4人いるんですよこの番組って でこの4人が今までは出てきた人の審査をするで最後にこう電話投票とかで決める
みたいなのが今までのやり方だったんですけど 新しいものでなんかリーグっていうのが始まってて
それぞれの審査員が今まで出た出場者で自分のチームに引き入れたい人を入れるっていう へ
でその途中でそのこの人は本当にすごいと思ったら相手のチームのアーティストを 引き抜けるっていう仕組みもあるんですよ
それでこのコディリーさんが出てて でオリジナルの曲で出てきたんですよね自分で作った
そうだ最初初めて聞いたこの曲誰の曲なんやろうと思ってその調べたらこの人の 作った曲というこの人のオリジナル曲だったんですよね
チェンジって言ったなんですけどそれがもうあまりにもすごくてですね 衝撃を受けましたね声もすごくや
いいし曲もすごいしっていうこの人はれその番組がきっかけで知られるようになって アーティストとしてそういうそうです
なるほどオリジナルの曲もいくつか出してまだそんな数はなくてアルバムが出される ほどじゃないんですよまだ
あそうなんだうんそうそうそんで今そのリーグ中なんですけど僕が見ている youtube チャンネルではね
本国で終わってるかもしれないですけど ぜひかなりいいところまで来てる
感じでぜひあの聞くだけじゃなくて歌詞も合わせて何か翻訳 タイ訳のあのやつを見ていただいた方がいいかなっていう曲自体もかっこいい
スピーカー 3
ですねそうなんだちょっとこれはごめん名前も知らないけど多分聞いたこともないなぁ 一回聞いてみようこれ中で youtube が中で聞けるの
スピーカー 2
youtube であのそのゴッドタレントのサイトでも2曲ほどオリジナルのやつであの舞台に 上がられているのもありますしこのコーディリーさんのチャンネルもあります
スピーカー 3
youtube あとはの spotify にもありますよじゃあちょっと1回聞いてみよう
スピーカー 2
はいぜひぜひ聞いていただきたいですね久しぶりにこう ガツッとなんかなんていうか猫歌歌う人って言った場合若干有利だと僕思ってるんですよ
こういうあの番組オーディション番組で 勝ち進んでいく上でその人の歌を歌うっていうのはとにかく歌が上げればネタを
考えなくても済むっていうのがあるんですよねなるほどなるほどねネタはもうあるもん ねそうそうだからダンスとかだったらやっぱこうなルーティーンも考えたりとかもしながらストーリーも
考えなあかんとかもあるしね 手品とかで出る方もいらっしゃりまし漫談の方もいらっしゃったりするんですけど
歌は何かまあいいが流れず借り物的なところもあるじゃないですか はいで思ってて歌はうまいなすごいな声もいいなと思ったけどオリジナルの曲で
出てきてっていうのがやっぱ衝撃の一番大きなところでしたそれでもすごいって思ったの がなるほどねはいこれもすぐ紹介しなと思ってはい
今回社長がいいタイミングかもしれないねそうそうそうぜひ聞いていただければなぁと思います はーいはいということでまた次回のお楽しみですバイバイ
ばいばーい
01:05:29

コメント

スクロール