セキュリティのアレの紹介
セキュリティのアレ、200回記念15分拡大スペシャルです。
そうなの?初めて聞いたんだけど、今。 そうですよね。言ってみたかったんですよ。
テレビっぽい、なんか。 そうそう。日曜劇場って新しいドラマ始まるとすぐ何分拡大スペシャルみたいな。
初回拡大スペシャル的なやつ。 そうそう。最近のは見てみると、初回目、2回目、3回目っていうのが、なんか20分、15分、10分みたいな段々拡大が短くなっていくけど、ちょっと長いみたいなのがあってね。
へー、そうなんだ。 そう、だから僕もちょっと拡大スペシャル、何分拡大スペシャルっていうのを言ってみたくて。
ただ、よくよく考えたらこれいつも何分か決まってへんから、どこから何が拡大されたかよくわからんなっていうことではあるんですけど。
いやー、200回おめでとうございます。 いやー、言うてる間に来ましたね。
いや、まあまあ、あの単なる通過点ですから。 確かにね。確かに確かに。
何回目指そうとかっていうわけでも、キリがいいってだけなんですよね。 そうそう、100回の時も200回、300回と目指そうぜみたいなことを確か言ってた気がするんだよな。
まあ、そのノリでいきましょうよ。 そうですね、200回超えたってことで、次はキリのいいね、222回を目指してやっていきたいなと。
近い近いな。 全然キリよくないわ。 ニャーニャーニャーやないか。
にんにんにんでもいいですけどね。 256回の方がキリがいいなーって。 あ、確かに。
それなんでってよくわかってない人に理由聞かれて答えたら気持ち悪がられるやつな、それ。
そうですね、一応キリがいいということで。 これからも頑張っていきたいなと思っているわけですけども。
急に寒くなってきましたね。 本当になんかさ、いきなり冬じゃない?やばくない?これ。 急ってレベル超えてますよね、これ。なんかスイッチオンみたいな感じで。
今朝とか10度ぐらいあったよ、なんか。 そうですよ、だって今それぐらいでしょう。だってこのぐらいの夜ですね。
結構早い時間からもう10度ぐらい。 今多分一桁ちゃいます?もしかしたら。 寒すぎるんだけどちょっと。
なんかもう最近ほんま、なんかあれですよね、春なーつ、秋冬みたいな感じですよね。 そうね、なーつって思って。
なーつ、秋冬みたいな感じのね、なんか漢字があって。 分かりにくいわ、それ。 本当にめちゃくちゃわかりやすいなと思ってるけどな、今。
何言い出したかと思って。 多分外国人にも伝わると思いますよ、今の英語で言えば。 いやでも確かになんかね、四季の移り変わりっていうのがなんかちょっと感じ
辛いよなぁ、なんかなぁ。 そう、なんかもはや2季か3季か2季ぐらいの感じ。 本当に暑いか寒いかって感じだよね、本当に。
気をつけんと、ほんまあれですよ、風邪引きますって。 いや本当に、なんかあれでしょ、インフルとかもまた流行ってるでしょ、多分。 かなり。
そうそうそうそう、なんかコロナよりインフルで学級閉鎖なっている学校が多いみたいな。 ちょいちょい聞いたりしますけどね。
気をつけないとね。 みなさん気をつけてね。しかもほら、ゴルイになってからマスク外すのが当たり前みたいな風潮があるけども。
例年は普通この時期みんなマスクしてたはずなんですよ、たぶんそろそろ。 そうですよね、確かに。
だから万全にね、みなさんもして健康に気をつけていきたいなということで。 ということでお便りが来ております。お願いします。
今回も通常運行で行きますけれども。 まあそうね。今回お便りいくつか紹介したいのがあってですね。
あれステッカーを pc に貼っていますが、昨今は、お、タイガースファンですか? 私もです。という荒ぬ疑いをかけられています。
早く入港後対象を取ってセキュリティーのあれを全国区にしてくださいという。 そうか、いや、それ先週行ったとおりあれっていうステッカー
AREとか書いてあるからでしょ? たぶんそれでなんか。 だってWE ARE あれって書いてあるやつあるからな。
そうそうそう。 そうか、私も半信半疑って思われてるかもしれない。 しかもメインのこのポッドキャストのロゴマークのやつなんてピンクでデカデカとあれって書いてあるから。
そうそうそう。めっちゃね、私スマホの裏あれってと思ってなってるんで。 確かにね。 確かに言われてねえわ。
こっちが先やぞってね。 いやいや、タイガースの方が先ですって。
あれっていうのを連呼し始めたのは僕らのがそう。 頻度は高いかもしれませんけど、優勝って言うたらあかんからあれって言うみたいなね。
やつだったっていうことなんですけども。 あとはですね、この方が勤めている。
上司が若手向けの研修に作った資料にピオログとセキュリティのアレがアウェアネス&情報収集の ツールとして紹介されていたので、アレ勢なんですかっていうふうにその上司に尋ねると
君もアレ勢か。ちなみに何々さんもアレ勢だよと話が盛り上がり 身近に何人もアレ勢を発見しました。
すごい。嬉しいね。 これ少なくとも3人出てきてますもんね。
じわじわ実は社内で広がってたみたいな。 いいですね。アウェアネスですよ。
言えてない。言い慣れてへんからさ、こんな言葉。 あとはほら、僕この間過去のセキュリティのアレをこれまで聞いてきてくれて
よかった回とかどうですかみたいな。教えてくださいみたいなことをちょっと言ったと思うんですけど。
200回だし。それをいくつか、これが良かったんじゃないかみたいな観点でいくつか聞いてて、3人ぐらいちょっと紹介させていただきたいんですけども
まずは僕に対してですね、辻さんがおすすめのアレを始めたのが良かったと。
テレビの通販番組とかでは1回も買ったことないのにこのポッドキャストは多く買って、買わされていますという。
ちょっとあれですか、ジャパネット高田に並んだ感じなんですよね。 そうね。おすすめのアレもね、何かいつの間にか定番になってるけど最初からあったわけじゃないからね。
ある日いきなりそうなったみたいな。 確か映画とか音楽とか何か紹介ついさんがしていて、それが何かコーナー化したみたいなそんな感じだよな。
雑談の延長というかね。
これは良かったって言ってもらえてありがたい。あそこだけチャプター聞いてない人いっぱいおるんちゃうかなって思ってたりしてたんで。
いずれおすすめのアレだけ切り出したやつ作りたいな。
おすすめのアレだけってこと?
そう、全編おすすめのアレみたいな。
お互いのセキュリティのツールとかそんなんだよ。おすすめのアレでっていうのもいいかもしれないですね。
そういうのもあるかもね。
あと200回記念おめでとうございます。毎週楽しみにしてます。
思い出の回は、昨年初めてお便りを出したとき、質問の内容に対してネギスさんがこういう質問をする人はセキュリティに向いてると言ってくださったことを励みに今生きています。これからもよろしくお願いしますということで、人一人の命救ってますよ。
それは嬉しいな。何のコメントに対して言ったか覚えてないけど。
多分なんかこう疑う系じゃないかな。
多分常識を疑うような自分で考えてこれは変じゃないかみたいなことを突っ込んでくれた人も多分したんじゃないかな。
本当にそうかみたいなね。
そういうのを僕はすごくセキュリティ向きだなと常々思ってるんで。
でもそれは嬉しいね。
何気ない一言が他人のすごくプラスになったりとかいうので嬉しいですよね。
嬉しいですね。
最後のお便りなんですけど、印象に残ったアレということでわざわざ画像にしてですね。
画像。
2つ紹介してくれてるというかここが良かったという風に。
1つはユーザーはアホやないんやでっていう風に僕が言ったやつなんです。
ユーザーズアーノットスチューピッドっていうのを僕が紹介したやつで、179回だそうなんですけれども。
サイバーセキュリティの6つの落とし穴について紹介して、テクノロジーに依存しすぎてんじゃないかとかちゃんとコミュニケーション取ってんのかみたいなとか。
ありましたね。
専門家だけで理想でユーザー押し付けてもアカンのちゃうのみたいな回が印象に残ってる1つ目と。
もう1つはサイコバニーの対応がいっちゃん良かった話。
それだからサイコバニーっていう名前の印象じゃないの?
攻撃者みたいな名前ってこと?
でもほら他は全然取り合ってくれへんかったんですよね、この人の話を。
それあれだっけ、俺が喋ったネタだったっけ?
そうそうネギスさんがやってるんでグッチは全然対応してくれへんかった言うて。
なんかそんな何件かあってみたいな話だよね。
そうそうそう。
サイコバニーだけが結構親身になってっていうやつですよね。
これがすごい本人を正しく認証するっていうのも難しいなぁみたいなことで。
事件のカラクリ自体も楽しく聞けたという。
あーなるほど。
いうことでこの2つを挙げてくださって。
わざわざ嬉しいね、2つも。
そうですね、人によってやっぱり感じるポイントとか全然違って面白いなと思ったんで。
そうですね、これもっと引き続きこの回良かったみたいなのがあったりすると。
この回のこのネタ良かったとかっていうのがあったら僕らも取り上げる時とかに
これ結構いいかもなっていう新たな観点も得られるかと思うんで。
そういうのも引き続きお便りでセキュリティのハッシュタグをつけてツイートポストしていただければ
ステッカーの印刷ことを差し上げるんでよかったらツイートポストしていただければと思います。
はい、お願いします。
ということで今日もセキュリティのお話をしていこうかなと思うんですけども。
今回のセキュリティであれば辻信宏と辻信宏以外でお送りしていこうかなと。
クロップによる新たなゼロデイの悪用
またそれか。
どうしてもそうなっていってしまうんでですね。
じゃあ僕からいこうかなと思います。
はい、お願いします。
今日ですね、僕が紹介するのはちょっと前に、記憶にもまだ新しいかもしれませんけれども
Move It Transferの脆弱性、ゼロデイを悪用して大量のリークをクロップっていうランサムギャングが
行ったっていうのがあったかと思うんですけど、夏ぐらいですかね。
夏前ぐらいですかね。
あったんですけども、そのクロップがまた新たなゼロデイを悪用し始めているようですということが出てまして。
もう何度目かって感じだね、このゼロデイを悪用するのはね。
そうですね。
それちょっと気にしといた方がいいかなと思って、その件を紹介させていただこうと思うんですけども。
もともとこれマイクロソフトがですね、Xにポストしてたのを僕見つけたのがきっかけなんですけれども。
クロップ、MS的にはレーステンペストでいいのかな。
あんまり定着させたくないなと思ってるんですけど。
クロップでいいじゃんね。
そうなんですよね。とかね、またはTA505とかね。わけわからなくなってくるので、ここから先はクロップとしか言わないですけれども。
そのクロップが限定的にそんなに多くは観測されてないみたいなんですけれども、ITサポートウェア、ヘルプデスク的なやつとかに使うソフトウェアで、
SysAidのオンプレミスっていうのがあるんですよね。
あんまり馴染みないと思う。僕もあんまり知らなかったんで。
そうだよね。
それのゼロデイの脆弱性。CVEで言うと202347246っていう風に裁判されてて、
ちょっと前にNISTのNVDにこれがなんかポストされたときには何も書かれてなかったんですけど、
昨日ぐらいかな。昨日一昨日ぐらいに内容が追加されてたんですけど、
これを悪用してるっていうようなものを見つけたよと。
で、このマイクロソフトがこのSysAidっていう会社に通知してパッチがリリースされてますっていうのを見たのが僕が知ったきっかけなんですけれども、
これのゼロデイがどうやって悪用されてどんな脆弱性だったのかからちょっと紹介していきたいんですが、
この脆弱性はパストラバーサルって言われる脆弱性で、
実際の悪用ではこの脆弱性を使ってWebシェルを含んでるWARファイル、WARファイルですね、
のアーカイブをTOMCAT、このソフトウェアはTOMCATを使っているのでTOMCATのWebルートのディレクトリにアップロードすると。
その後Webシェル設置したら大体のこと何でもできちゃうじゃないですか。
なのでそのWebシェルを通じてパワーシェルを実行して、
グレースワイヤーっていうトロイの木馬、ウイルスですよね、マルウェアをロードして、
SPU-L SVとかSVC-HOST-EXEにプロセスをインジェクトするというふうなことをすると。
あとはこれ以外にもよくおなじみ攻撃でよく使われているコバルトストライクっていうものとか、
あとあんまり僕これ見たことなかったんですけどオープンソースのリモート監視に使うツールで
Mesh Centralっていうやつのエージェントも入れてリモートコントロールできるようなものを投入してくるという風な流れだったそうなんですよね。
でそれをやった後に痕跡を消すっていう風なこともしてて、
2回目のパワーシェルの実行してログの削除を行うと。
自分たちが行った痕跡が、例えばアシスエイドサーバーのルートディレクトリのweb-infっていうディレクトリのログの中とか、
Tomcatそもそものログズのディレクトリの中にあるログファイルの攻撃に該当するような文字列が含まれているログを消していくっていう風なことをしていたそうです。
でこれゼロデーなんで、ゼロデーの脆弱性が出た時に結構ちゃんとベンダーに載せてほしいなとかって僕らもこのポッドキャストで言ってる項目として、
パッチ適用だけで永遠化問題ってあるじゃないですか。
あるある。
まあよくないっていうことなんですけども、それだけだと。
ちゃんとですね、ゼロデーだったんでパッチを適用する前に、した後でもいいと思うんですけども、
悪用の痕跡を探す必要がありますよっていうふうにきちんとアナウンスがされてたのがすごくいいなっていう風に。
いいですね。
そうそう思っててですね。
いわゆるIOC情報とかもきちんと掲載されてるんですけども、攻撃の段階、例えば脆弱性を悪用しました、Webセルを設置しました、パワーシェルを実行しましたみたいに、
今僕が簡単にかいつまんで説明した攻撃のフェーズってあるじゃないですか。
そのフェーズごとにこういうものをチェックしましょうみたいなものがある。
分けられてて、結構なかなかここまで詳しく書いてるのっていうのはないかな。
分けてるってすごい見やすいじゃないですか。
まず脆弱性の悪用のところだったらさっき言ったみたいなWARファイル、不審なファイルが置かれてないかとか、
あとはインストール時以降のタイムスタンプが異なる新しいものがないかどうかとかをチェックしましょうであるとか。
あとはWAFとかプロキシみたいに手前に何か置いてある場合はそこに不審なポストリクエストがないかっていう。
プロキシってリバースプロキシのことだと思うんですけど、変なポストリクエスト、脆弱性を悪用するようなポストリクエストがないかっていうのを見ましょうみたいなことも書いてあったりとか。
あとWeb Shellとかだったら削除されたファイルをNTFSのジャーナルファイルとかシャドウコピーからも見つけられるよとか。
あとこれがWeb Shellを使って実行されたプロセス。
例えばEDRが入ってた場合みたいなことで挙げられてたんですけど、
ラッパーエグゼっていうシスエイドのインストールすると一緒に入ってくるやつなんですけど、
このラッパーエグゼからJavaが呼ばれてそこからCMDのプロセスがないかとかを探してみましょうとかですね。
これEDR入ってたらそれまでに見つかるんちゃうんとかっていうのも思ったりもするんですけど、
見逃した時のためにトレースするためにこういうふうなものがありました。
あとスクショ入りで紹介されてたりとか。
あとはプロセスインジェクションですね。
このプロセスに変なコードインジェクションされた形跡がないかとかっていうのもありましたし、
さっきちょっと言ったみたいにIOC、例えばその使われたマルウェアのローダーのハッシュ値とか、
あとさっき言ったリモートコントロール系のツールのC2のアドレスとかっていうのも全部細かく、
このアドレスはこれのC2ですみたいな感じに細かく書かれているっていうのがあって、
ここまで書かれてたら結構手付けやすいんちゃうかなっていうふうには思いましたね。
クロップの動きとしてはどうなのかなと思ってリークサイト見てたりするんで、
その辺もちょっとチェックしてみたんですけれども、
これマイクロソフトがポストしたのが11月の9日にこの件に関してXにポストしてるんですね。
これは11月8日のSysAidの情報公開後に追同してるんですね。
他に言及しているベンダーはないかなと思ってみたら、
エラスティックセキュリティのエンジニアは11月の9日に10月30日には悪用確認してましたというふうにポストしてました。
あとはRabbit7、これ日にちは書いてなかったんですけど、
すでに悪用されている顧客の対応してますみたいなことも書いてたりもしたんですよね。
なのでこの10月30日っていうのがさらっと調べた中では一番古い悪用かなっていうところなので、
クロップのリークでこの10月30日付近ですね。
何かないかなと思って見てみたんですけど、
4件ぐらい、10月28日から見て4件ぐらいあったんですよね。
この事件が公表されてからも1件リークがあったんですけども、
前回ムーブイットトランスファーの時にはいついつまでに心当たりのあるところ、
俺らのところ連絡してこいみたいなアナウンスをクロップ出してたんですよ。
そういうのは今回、今のところは行われていないというふうな感じではあるんですけど、
ゼロデーだったということと、このシスエイドが言うには、
そこの会社の顧客数は5000ほどっていうふうにも挙げられてて、
導入顧客名が示されているページも今も残ってて、結構な大手も使ってたりするんですよね。
なのでちょっとこれからもしかしたらリークが来たりするのかなっていうこともありますし、
日本だと使っているところはあんまりないんじゃないかなと思うんですけど、
海外に使者があったりとかしたら導入してないとは限らないので、
そういったことを今このパッチが当てられるようになった、
このタイミングというのは結構大事で、ネギさんもよくおっしゃってるじゃないですか。
なのでこういうのはちょっと調べてみてもいいんじゃないかなっていうふうなことを思ったということですね。
一番紹介したかったのは、ゼロデーの対応の仕方として、
ここではこういうふうなことを調べましょうっていうのが、
動きやすいというか何していいかわかるようなアクションまでちゃんと書いてくれてるっていうのは、
非常に対応内容としていいんじゃないかなというふうに思って紹介した次第でございます。
なるほど。
あれだね、今の話で複数のセキュリティベンダーとかリサーチャーとかが悪用を確認していると言っているということは、
おそらくだけど、前回のムーブイットの時もそうだけど、
特にターゲットを絞ってというよりは、
このソフトウェアを使っているところを比較的幅広く大規模に狙って被害が出ている可能性が、
今まだそんなに大騒ぎになってないけど、もうすでにやられているところがたくさんあるという可能性は高いよね。
そうですね。要はこんなん見えつけたなというのもありますよね、攻撃する側が。
あと、クロップだとすると同じように情報を盗んで行って脅迫するというタイプの攻撃だとすると、
情報も漏れていると思った方がいいんだろうね。
そうですね。なんかヘルプデスク業務みたいなものを成り割りとしているような会社が使ってたりするのも結構見つけられたんですよ。探してみたら。
なるほど。
なので結構こういう顧客情報とかが集まっていたりするのかなって思ったんで。
なるほどね。そうかもしれないね。
開けざるを得ないのかな。開けなくてもいいのに開けてるところもあるような気もするんですけど。
そうかそうかそうかもしれないな。
でも問い合わせをするために必要でここからログインして問い合わせしてくださいっていうふうにしてると開けないわけにはいかないかな。
学校系とか結構多かったですね。見てると。
前回のムーブイットもそうだけど、あれもファイル転送で他社とのやり取りに使うサービスだから、インターネット上に公開して使うものだったから、攻撃経路として晒されているのはいたしかたない面があるっていうか、
そういう使い方をするものでゼロデーだとちょっと防ぐ手段がなかなか難しいよね。今回の多分そうだと思うんだけど。
なんかこのアプライアンスって触れるアプライアンスと触れないアプライアンスってあるじゃないですか。
なるほど。
例えばWindowsとかLinuxの上に追加で入れるようなものとかだったら、これWindowsとかでも動くやつなんで、他のセキュリティソフトでは入れられるとかもあると思うんですよ。
例えばEDRとか、あとはこういうWebシェル設置結構多いから僕は変更管理、ディレクトリの変更管理だけでもだいぶ防げんちゃうかなと僕は思ってるんですけどこういうのは。
でも箱物とかになってしまったら追加でそういうの入れられなかったりするじゃないですか。
確かに。利用者側は手が出せないものもあるからね。
そうそう。だから結構こういうTomcatとか使ってたら大体置かれるフォルダって決まってると思うんですよ、ディレクトリって。
そこ監視すれば変更管理しておけば結構見つけやすいんじゃないかなと思うんですけど。
なかなかあんまりそこの方に目向かないですよね。EDRには結構話いくこと多いけどと思いながらちょっと見てましたね。
ただ冒頭にも言ったけど、クロップに限らないけど特にこの攻撃者グループはゼロデイ、幅広く使われている製品のゼロデイを何かしらして探して悪用するということをここ数年たびたび繰り返して行っているので、これが最初でないし最後でもないからね。
VPNときてファイル転送ときて今度こういうやつかみたいな。目の付けどころが早いよなって思いますね。いろいろ変えていくのが。
そうね。なかなかそういう贅沢性を完全になくすっていうことはどんな企業の提供するものでも無理だから。
そうですね。
見つかったときに、攻撃されたときの対応をあらかじめ考えておくしかないのかなっていう感じだよね。
そうですね。あとはそのやっぱりそのよく言ってる開ける開けない問題ですよね。本当にそれを開けてて縁解っていうのもあると思う。
そうね。それはまず真っ先に確認すべきポイントだよね。
そうですね。なかなか守る方も大変な感じだなっていうね。こういうゼロで見つけられるとやること増えますから。
そうですね。
引き続きついさんにはクロップの動向、今後まだ動きが見えるかもしれないから。
はい。見ておきます。
見ていただいて。
はい。了解でございます。
はい。ということでございます。ありがとうございます。
はい。ありがとうございます。
はい。ということでじゃあ次はカンゴさんいきますかね。
はい。じゃあ私貸していただきたいんですが、今日はですね。
すでにXとかブログでも取り上げてるんですけども、
はい。
スーパーの稲毛屋での注意喚起
短縮URLあるいはQRコードに起因したインシデントというか注意喚起が出ておりまして、
それを今日はちょっと取り上げたいなと思ってるんですけども、
注意喚起出していたのはスーパーの稲毛屋っていうところがですね、
はいはい。
ネットスーパーかな。
入会案内のポスターとかチラシを配っていた、一部店舗なんですけども、
一部店舗で配っていたそうなんですが、
そちらのチラシあるいはポスター上にQRコードを掲載していて、
稲毛屋側はその入会をさせたいネットスーパーのURLを書いている想定ではあったんですけども、
どうもそのQRコードに接続すると、
なんか広告が途中挟まれて、
その広告を起因してというか、
広告で不正なウェブサイトが表示された結果、
クレジットカードが取られてしまうという、
そういった事案が起きてしまったのでご注意くださいっていうですね、
はい。
そういった注意喚起を出しておられてですね、
いろいろ考えられたので、
どういったものだったのかなっていうのはちょっと気になったので、
見てみたんですけども、
幸いというか、
稲毛屋が公開されていたその資料中にこういった事例が起きていましたよということで、
画面を掲示されていたんですね。
その画面上にURLも実際に載っかっていたので確認をしたところ、
無料というんですかね、フリーで提供されている短縮URLサービスの、
これ正式名称でいいのかな、
オンラインツールっていうURLとONLで始まる、
そういったサービスがあったということで、
おそらくその事例として取り上げられていたので、
実際、稲毛屋の一部店舗でもこれを使われていて、
影響を受けられたんだろうなというふうに、
と言ってというか、
想像してるんですけども、
ちょっと私この短縮URLこういったものがあるんだって知らなかったんですが、
短縮URLサービスのリスク
動きとしては少し特殊というかこういう動き方をするんだなと思ったんですけども、
短縮URLの生成をして発行されたURLにアクセスをするとですね、
一旦まず待機ページというか、
実際にはそんな必要ないと思うんですけども、
しばらくお待ちくださいみたいな形で、
短縮URLサービス側が生成しているページが間に挟まってですね、
しばらく経つとリダイレクトというか、
短縮元のURLに接続させるためのページというか、
そういう動きをするんですけども、
今回問題になったというふうに見られていて、
私も実際今日どう確認したんですけども、
その取得中というか、
しばらくお待ちくださいということで表示されているページ上に、
Googleの広告が掲載されていてですね、
この広告もよろしくなかったんですけども、
OKとか、稲毛屋が掲示した例はOKだったかな、
私見たのはスタートという中でもデカデカしいボタンが、
その広告を通じて配信をされていてですね、
何も考えずにというか、不審に思わずにそれをクリックしていって進んでいくと、
なんかようわからん入会サイトのページに移ってですね、
さらに進めていけば、いわゆるクレジットカード情報の入力などが求められるためにたどり着くと。
全然関係ないドメインに行くんですよね。
そうですそうです。
おそらくはこのような形で、
稲毛屋のケースにおいても誤って入力されてしまったんだろうなというふうには見られるんですけども、
これブログのハテナブックマークの実際にコメントを皆さんいくつかしていただいているんですが、
これ興味深くてですね、どこそこに起因している問題があるという形で皆さんいろいろ考えられてコメントされているんですけども、
これが非常に多岐に渡っているのが興味深いところで、
今説明した通りその直線的な理由としては、
もちろんGoogleが配信している広告ですかね、
そちらが視覚的にも非常に紛らわしい、
私ちょっと悪質って表現したんですけども、
ついついタップしてしまいそうなそういった出力がされるページが出されたので、
直線的にはそれは当然悪いと思うんですけども、
そういった表示のさせ方をしている、今回取り上げて短縮されるサービス側の実装というか作りに問題があるとか、
あるいはそもそもこういったノラサービスというかフリーのサービスを
企業がそういった活動において使うというのが適切なのかとか、
あとはもっといえばQRコードで今回案内をしていたわけであって、
QRコード自体は情報量としては結構なサイズというか、
確か4000ぐらいきますよね、
そういったサイズ感がある中で何でわざわざ短縮URLを使っているんだとか、
そもそもQRコードってこういうこと起こるよねとか、
いろいろコメントというか皆さんの気づきが特定の何かという形ではなくて、
いろいろあふれているという感じではあって、
それもそれで非常に興味深かったんですけど、
サービス自体がGoogleで短縮URLって検索すると、
ちょっと今わかんないですけども、
私が確認した時ですと最上位に表示をされていてですね、
もしかすると単純にですね、
短縮URLって検索して出てきたのを使ってしまったのが今回の事案だったのかも知れないんですけども、
同じような形で使われているだろうなって見られる、
例えばリンク先こちらですみたいな形で、
この短縮URLサービスを通じて生成されるドメインを掲載しているページというのが結構実はあってですね、
ざっと本当にすごい雑なんですけども、
調べ方雑で申し訳ないんですけど、
Googleで検索してみてですね、
オンラインツールと呼ばれている今回話題になっている、
短縮URLサービスが生成するドメイン全部で4つあるんですね、
onl.laを含めて4つあってですね、
例えばLAでgojpドメインのページ中に、
Googleですとそのドメインを含むページというのが80件ぐらい引っかかったりとか、
gojpだともっと多くてですね、
これは他のここ大丈夫ですかねみたいな形で、
Yahoo知恵袋とか、あるいは注意を呼びかけているページとかもちょっと引っかかってはいるので、
純粋に今私がお話ししたような使っていると見られるというように該当しないものも多分に含まれていると思うんですけど、
それでも結構多くてですね、
例えばonl.laというドメインを掲載していたページなんかは本当1万9000件とか、
結構な数が検索しただけでも引っかかってですね、
皆さん結構使ってらっしゃるんだなっていうのが、
ちょっとざっと検索した感じだと出てきてですね、
私もブログに書いたんですけども、
今回のような問題というか挙動が起きた時に、
そもそもそれって想定できる事態だとは思っていて、
それを含めて使っていたのかっていうのは、
やっぱりちゃんと点検というか確認を今一度すべきではないかなっていうのがあってですね、
結構やっぱり短縮言われるっていう、
名前からするとあんまり悪用の仕方っていうか、
ちょっと表現難しいんですけども、
すぐ悪いことに使えそうなイメージっていうのがパッと出てこないかもしれないんですけども、
第三者が途中に解材をして、
それこそ第三者が悪意を持っていれば、
他のところに接続を割り振るっていうこともやろうと思えばできるわけなので、
そういう実装というか実態というか、
そういう状況を踏まえて本当に使っているのかなっていうのは、
ちょっと今回のケースを見ていると、
少し怖いなっていうのが改めて思ったところでして、
もちろんオンラインツールそのものには見た感じ大きな問題というか、
今回の稲毛屋が注意喚起したような問題っていうのは、
短縮URLの利用とリテラシー
あれは広告経由で発生したものだろうとは思われますので、
なのでそのものが直ちにまずいものというか、
SNSだと攻撃者のサイトみたいな形で結構話題になってたんですけども、
ちょっとそこは言い過ぎかなと思ってはいるんですが、
ただそうは言ってもさっき言った通り短縮言われるっていう作りというか、
そのもの自身を見てですね、
これ使って大丈夫かなっていうのは、
特にこういった第三者のサードパーティー製のサービス使っていいのかっていうのは、
もうちょっと落ち着いて考えて使っていただいた方がいいのかなっていうのは、
今回のちょっと騒動というか、インシデントを見ていると思ったところですね。
そもそもこれなんで短縮URL使うんですかね。
そこもやっぱり疑問ではあるんですよね。
もともとこっちが先なんじゃないの?QRコードの前に。
あ、短縮URLでお知らせしてた。
QRURL掲載の前に。
知らないけど、ちょっと調べて言ってるわけじゃないんだけど、
お客さん向けに分かりやすさを重視して、
短いURLで紹介先やっていて、
それをQRコードにそのまましたんじゃないのかなと思うんだけど。
QRコードが先だったら別にこんなの使う必要ないもんね。
そうなんですよね。
長さ関係ないですもんね。ピッて読むのが手間一緒ですからね。
でもあれだね、看護さんの話じゃないけど、
個人の責任で使う分には別に自由に使えばいいけどさ、
そうですね。
ちょっと企業とか政府関連とかがどれくらい含まれてるか本当に分からないけど、
ちょっと安易だよね。
このサービスがぜひ全く起これば問わないけどさ、
別に良いサービスか悪いサービスか全然分からないんで。
そうそう分からないんで。
分からないんだけど、今言ったようなリスクは当然あるし、
例えばそれって言われるに限らず、
翻訳サービスとか外部の便利なサービスに必ずつきまとう話で、
今回のやつは別に問題ないかもしれないけど、
例えば今回の運営部隊がよく分からないから、
いつの間にかその運営者が変わってて悪質なサイトに変わるとかってこともないわけじゃないだろうし。
本当にありえない。
フラグインとかフリーソフトもそういう懸念はありますからね。
結局サードパーティーのサービスを使っている以上そういうリスクが常にあるから、
確かに看護師さんが言ってたように、それと想定され得るでしょっていうのを本当にちゃんと想定してましたかって話になっちゃうよね。
でもちょっと予想以上になんか件数が多くてびっくりしたな。
結構こんな使ってるんだっていうのはちょっとびっくりしてですね。
大丈夫これ?これってちょっとリテラシー的な問題じゃない?
リテラシーなのかな?リスクに対する。
10年以上前だったらまだあれかなっていうのは分からなくもないですけど。
ちょっと感度が鈍すぎないかなという気がする。
ちょっと怖いなっていうのは。
ちょっと危ないよね。こういうのを安心しきって使ってたりとかするんだとするとちょっと怖いね。
短縮URLでもね、物によったら飛び先を後から変えられるものもあるじゃないですか。
リスクの再考
ありますあります。
もともとそういうのに短縮URLに限っていえば色々リスクは他のサービスでも色々あったりとかするはするけど。
あとまあなんだろうなこれ短縮URLって検索したらなんかトップに来るみたいなことを言ってたんで。
メジャーなのかもしれないけど。
あとさわかんないけど一時期はもうちょっと短縮URLのまともなサービスがいっぱいあったけど、
なんかみんな見せ自慢しちゃって今なんかあんまないんだよね。
よくわかんないものばっかですよね。見慣れないものばっかりですよね。
なんかちょっとたまに見たりすると。
メジャーなちゃんとしたやつがみんなサービス畳んじゃったんで。
Googleとかも辞めましたもんねずいぶん前にね。
そうそう。
ああそうか確かに。
そういうのも今は使えないっていうのがまあもしかしたらちょっとねあのなんか根底にはあるのかもしれないんで。
そうですね。
まあでも使いたいとかってなった時に自前で作るのは大変だからこういうのを安易に使っちゃうみたいなのはまああるのかもしれないけどね。
はい。
ちょっとなんかお粗末な感じがするかなっていう。
少しね。
そうそうそうそう。ちょっと立て続けっていうか、学習院大学もなんか似たような。
それ僕も似たようなやつあったなって思いながら聞いてました。
はい。出してて、内容がすごい似てたんで、同じやつかなって思ってたんですけど、
昨日今日ぐらいにあのこの問題のというか大学案内を入手して確認したら全然別のサービスっぽいなっていうのが。
短縮やったんですか?
短縮URLサービスは使っていたんですけど。
同じのではなかったんや。
はい同じのではなくてですね、さっきついさんがおっしゃってたようなその後でリンク先を変える機能とかがあるより高機能な方の短縮URLを使ってたのかなとは思うんですけど、
なのでこれあの全然今回に今回すごい話題になったそのサービスたけの話では決してなくて、全然起こりうる話だっていうのは。
どこでも起こりうるやつですよね。
本当にあるなっていうのは思いましたね。
まあなんかでもちょっと時代は繰り返されてるなーみたいな感じはちょっとこれしましたね。
あったっけなんか。
いや同じようなというよりも昔は今でもありますけど、何かソフトダウンロードしようとかしたときに、ダウンロードボタンどれが本物やねん問題みたいな。
本物よりも偽物の方がでかく見える。
でかくなったりとかアプリソフトもそうやし、あとはオープンソースのソフト落とすときとかでもどこから行ったらどれが正解やねんみたいな。
リテラシーが試されてるのかなみたいなページありますもんね。
今でこそそういうのって野良じゃなくてGitHubとかにあげられてたりするから見つけやすいっちゃ見つけやすいんですけど、昔そういうの結構多かったじゃないですか。
飛ばされるサイトの下の部分でしょ、今回押したらあかん方は。
それを見たときには押してまうなこのボタンみたいな感じのやつやったんで、なんか結構昔からこういうのあったなーとかって思いながら。
だからやっぱりこう自分がコントロールできひんところに一旦飛ばすっていうリスクをもう一遍考え直してほしいなと思いましたね。
広告に関する問題点
あとまあ広告の難しさもね、それ以上ここでは突っ込まないけど、やっぱあるよね、広告ってクリックされてなんぼっていうのがあるからさ、
そういうたてつけだったり広告プラットフォームも何となく普通のコンテンツに紛れ込ませちゃうことが多いというかさ、
一方でそれだとユーザーにとって紛らわしいっていうかまずいっていうのがあってさ、広告は広告できちんと表示するようにっていう、なんか攻めぎ合いじゃん、ずっとさ。
そうですね。
広告自体はインターネットのインフラを支えている一面があるからなくすってことはできないだろうし、
そうなんですよ。
それが有用な場面も結構多々あるから、広告自体が悪いわけじゃないんだけど、
こういうマルバタイジング的な悪用の事例も本当は後を絶たないんで、
それだけ取り上げたら悪いっていうのも違うしさ、
かといって広告の問題でもあるんだよなっていうところはやっぱりどうしてもね。
だって今回のも問題があったから広告の表情やめましたって言ってるわけでしょ。
そうですそうです。
それも多分違うんだよな本当は。
そうなるとね、またサービスがね。
このサイトも多分広告で見るしてるわけでしょきっとさ。
下手したらサービス停止になっちゃう可能性があるんで。
そっちの方が多分ね、めんどくさい時代になるっていうか。
そういうことですもんね。
意外とだからその表面的な問題としては大したことない問題だけど、
根深いよね結構ね。
いや結構根が深いですね。
こういうのをその範囲に使っちゃうっていうリテラシーもそうだし、
こういうのに依存しなければいけないっていう現状とかさ、
支えてるインフラの問題でもあるし、結構根深いなって感じだね。
確かにね。広告なんかどっから入ってくるか分かりへんから、
全部こういいやつか悪いやつかっていうのを
奮いかけるのも結構現実的じゃないみたいな話を聞きますけどね。
そうですね。
また避けるのが、企業として使うならは避けた方が良さそうかなと。
そうですね。
分かりました。ありがとうございます。
SLPプロトコルの贅沢性と潜在的な危険性
はい。
じゃあ最後はねぎしさんですね。お願いします。
はい。じゃあ僕からは今週はですね、
多分かなり久々なんだけど、度数絡みの話をしようかなと。
確かに久々かも。
いいですね。
本文、自分の本文を思い出しまして。
本文だったんだね。
忘れてる間。
忘れかけてた。
今週11月8日にKEVのカタログに贅沢性が一件追加されたんだけど、
それがちょっと珍しくて、度数絡みの贅沢性だったんだよね。
珍しいですね。
ちょっと珍しいんだよね。
具体的にはCVE-2023-29552っていうやつで、
サービスロケーションプロトコルSLPの贅沢性ってやつなんだけど、
これはよくKEVのカタログに載ってるような、
いわゆる特定の製品の贅沢性とかっていう話ではなくて、
プロトコルの使用上の贅沢性なんだよね。
なので、結構幅広く影響が及ぶ可能性があるというもので、
こういうのが載るっていうのは珍しいなと思いました。
確かに。
贅沢性自体は今年の5月にセキュリティベンダーとかが報告をしていて、
そのタイミングでも話題にはなったんだけど、
半年経ってKEVに登録されたっていうことなので、
悪用が確認されてますよっていうことなんでしょうね。
贅沢性の中身は何かっていうと、
これよくある、僕もこのポッドキャストで何回か取り上げてると思うんだけど、
UDPのいわゆるアンプ攻撃とかリフレクション攻撃って言われるやつで、
踏み台となるインターネット上のサーバーに送信元アドレスを称して、
UDPのパケットを送ると、
そのリクエストのサイズよりも何十倍とか大きなレスポンスのデータが返ってきて、
その戻りのパケットを使ってDOS攻撃を仕掛けるという、そういうやつですね。
このSLPってやつはあんまり聞き慣れていないと思うんだけど、
僕も全然使ったことないと思うんだけど、
90年代くらいから結構古いプロトコルで、
もともとは利用用途はLANの中に、ローカルのネットワークの中にあるサービスを見つけるためのプロトコルで、
例えばプリンターのサービスとか、ファイル共有のサービスとか、
そういうのがどのアドレスでどこでサービスしてるかっていうのをクライアント側が見つけるために使うものなんだよね。
普通はプリンターサービスを提供しているサーバーとかがこのプロトコルで、
このアドレスでプリンターサービスやってますよみたいなのをアナウンスしますと、
ローカルのネットワーク内に。
それをディレクトリがあそこなんですねっていうのを登録して、
そこにクライアントがリクエストを投げてくると、
ここのアドレスですよっていうのを答えてあげるというような、そんなような感じのプロトコルなんですよね。
便利プロトコルですね。
ただし、こういった古いUDPのプロトコルって、
大体他のやつもそうなんだけど、
いわゆる登録とかリクエストとかのやり取りに一切認証がないので、
誰からの登録でも受け付けちゃうと。
ということで、そこが問題で言って贅沢性ですよということになっていて、
4月にベンダーが見つけた方法っていうのは簡単に言うと、
できるだけディレクトリにたくさんのサービスの登録をさせておいて、
いっぱい溜め込ませるとデータを。
その上でリクエストをすると、
その溜め込んだデータを一斉に全部送り返してくるので、
理論的には攻撃側にとって理想的な状況がもし仮にできたとすると、
応答がリクエストに対して2200倍ぐらいになると。
ものすごいじゃないですか。
なので攻撃体としての増幅効果がめちゃくちゃ大きいんだよね。
例えば比較すると有名なDNSのアンプみたいな古くから使われているやつは、
せいぜい数十倍なので、2桁ぐらい大きいんだよね、規模がね。
なのでもしこれ悪用されたらかなりのことで、
例えば今までだと一番増幅効果が大きくて有名なやつは
Memcachedってやつが数十倍前に使われて、
あれは最大で1万倍超えるぐらいなことだったので、
それに匹敵するぐらいの増幅効果があるような問題でした。
ただね、今も言ったけど、
そもそもその印象がないのはローカルのネットワークだけで
使えるという想定なので、
そこに繋がっているやつは大丈夫でしょって
多分そういう前提のプロトコルなんだよね、もともとがね。
なんだけど、なぜか5月にBitSiteっていう贅沢性のところを見つけたところが
報告をしたタイミングで、彼らちょっと調査してるんだけど、
その時点でインターネット上に5万4千台近く
このSLPを開けている、しゃべるやつがインターネット上に存在しますと。
なんでしか使わないやつをなんでインターネットからアクセスできるんだって話なんだけど、
そんなのが5万台以上いるという報告があって、
それが現在どうなってるかっていうと半年経ってみて、
今週そのシャトーサーバーっていうインターネット上のモニタリングとかスキャニングとかをやっている団体があって、
彼らいろんなデータを公開してくれてるんだけど、
そこのデータを見ると11月時点でもまだ1万3千台ぐらい見つかってますと言っていて、
徐々に徐々に右肩下がりで減ってるんだけど、
多分この先は緩やかに減少が緩やかになっていて、
劇的な減り方はなさそう。
長く残っちゃうんじゃないかなという恐らくね。
日本だけに限定してみてみても600台ぐらい観測されているという話なので、
なかなか結構あるなっていう感じなので、
身に覚えがある人はって言っても多分こういうの開けてる人は全く覚えがないんだと思うんだけど、
だから開けちゃってるんだと思うんだけどね、こんなプロトコル絶対使ってないはずだからさ。
なんだけどそれぐらい放置されているやつがありますということだそうです。
SLPプロトコルの継続的な残存と対応策
実際の悪用事例っていうかこれを使ったドス攻撃の事例っていうのがあるかっていうと、
実はこれは僕自身はあんまり聞いてなくて、
多分大きな公開されている事例とかもないんじゃないかと思うんだけど、
さっき言ったシャトーサーバーが運用しているハニーポッドだと、
週に数件あるかないか、1日だから1件あるかないかぐらいしか、
悪用の痕跡ってのはまだ見つかってないようなことを言っているので、
多分まだそんなに大規模に使われているというケースはないんじゃないかなと思うんだけど、
ただCISAがKEVに登録したということは少なくとも彼らは確認しているという確証がなかったら入れないので、
何かしらその報告の例があったかなという事だと思うので、今後出てくる可能性があると思うのと、
あと過去の似たようなUDPで踏み台で使われるプロトコルの贅沢性っていうのはたびたび見つかっているんだけど、
もしかしたら過去の例にならえば、いわゆるリードス攻撃の代行サービス的なやつ、
ブーターとかストレッサーって言われるやつに取り込まれたら広く悪用されても全然不思議ではないので、
そういうタイミングになったら悪用がバーッと増えるのかなという気もしますと。
確かにね。
ということで今後、台数的には一番台を超えているとそれなりの規模にはなるので、
悪用されたらちょっと嫌だなというのと、あと踏み台がたぶんそんなに劇的に減らないとすると、
今後のアタックベクターの一つになっていっちゃうのかなという危険性もあるので、
こういうのはなくならないんだなっていうのを改めて思ったという感じですね。
確かにね、UDP系のやつでちょこちょこ出てくるやつっていうのは、
ほんまに空けんでええやんみたいなやつもあんまりありますもんね。
SNMPとかも外部に空けているやつとかあるじゃないですか。
中にはDNSみたいに特定のところからだけ答えればいいんじゃないのみたいな絞れるやつとかね。
でも絞れるけど空けなきゃいけないやつとかってのは中にはあるんだろうけど、
これは絶対空けなくていいやつだと思うんで。
そうですよね。
そうですよね。
これでもあれなんですか、特定の製品でよくこれがデフォルトで空いてるとかで気づかずに空いてるみたいなものが多いんですかね。
VMwareの製品とか、製品に組み込みで空いてるやつとかもあって、
VMwareのEXIとかは2021年以降はデフォルトで閉じてるようになったのかな。
でもその前は空いてたらしいとか。
それをそのままインターネットで上げてると、ユーザーが何かをするが関係なく空いちゃってるってことですね。
そうそう、このプロトコルを開けようという意図はなかったとしても、他のサービスに付随して空いちゃってるっていう可能性はあるんだよね。
あとさっき言ったけど、この贅沢性自体はプロトコルと贅沢性なので、
多分実装してるやつっていっぱいあって、
そうか。
該当するやつも多分たくさんあるので、
その辺の格好を撃破しないといけないというか、製品によって一緒にこういうサービスポートも空いちゃうというようなやつを特定して止めていくっていう作業をしないと。
結構難儀ですね。
確かに。
結構めんどくさいんだよね。
よくKEVに追加しましたね、そんなの。
そうだよね。
これめちゃめちゃ大変ですよね。
直す方法がちょっとね、パッチじゃないもんな。
CVのエントリー見るとVMWareとかIBM製品だったかちょっと忘れたけど、
いくつか特定の製品は把握していて対応してますみたいなのがリストに載ってるんだけど、
載ってないやつは多分把握できてないんじゃないかっていう気がするやつもね。
そういうことですね。
多分結構あるんじゃないかな。
もっと多いってことですよね。
おそらくね、対象製品はもっとずっと広いはずで、
それがこの何万台とかね、5月の5万台とかっていう結果に現れてるんじゃないかなっていうか。
ちょっとこんなプロトコルがこんなに使われてるはずがないので、
おかしいなって感じだよね。
検索して出てきたニュース記事でしかないんですけど、
ルーターとか、プラネックスのルーターとか。
もうそんなやつだとわかんないよね、多分。
こに紙のルータープリンターとか。
インターネットセキュリティの問題
先に説明したIBMのインテグレイティットマネージメントモジュールっていうやつとか書いてますね。
665種類の製品に存在するって書いてますね、この記事では。
細かいやつとかもう多分わかんないじゃん。
大手のやつはベンダーがちゃんと面倒見れば何とかなる気がするんだけど、
それ以外のやつとかはね。
ただでも今聞いたようなやつだと、ルーター系とかプリンター系とか。
多分インターネット上に晒す必要ないやつだよね。
そうですね、そもそもプリンターだったらインターネットにそのものがおらんでええやみたいな。
そういうやつも結構ある。
だから多分2パターンあって、
開けてるつもりはないんだけど、必要なサービスに付随して開いちゃってるっていう認識してないってやつと、
そもそもそれ晒す必要あるんだっけってやつと、
そういうのが多分いっぱいあるんだろうね。
この件が別に特殊な例じゃないんだよなっていうのがちょっと痛いところっていうかね。
似たようなのはよく聞くようなって感じなんで、
別に珍しくもないなって感じちゃうところがちょっとヤバいなっていうかさ。
またかって感じがするっていうのがちょっと良くないな。
慣れちゃってるのがちょっと。
そうなのそうなの。こういう状況に慣れてしまってるってのは本当に良くないなっていうか、
むしろ異常だと思わなければいけないようなシチュエーションだと思うんだけどね。
なんかもうそもそものセオリー無視してるわけですもんね。
こんな何十年も言われてることですもんね。
いらんもん開けんなってのはね。
本当に不要なポートは閉じろとかさ、
必要ないものをインターネット上に置くなってみたいな話だったら、
もう何十年前の話って感じだもんね。
そうですよね。
これあれじゃないですか。新しくまた出ちゃうんじゃないですか。
何が?
BODの2303が出るんじゃないですか。
02は管理インターフェースだったでしょ。
そうね。
2303で余計なもの閉じろええ加減しろみたいなやつが出るんじゃないですか。
KEV乗ったってことはね、こういうのが。
そっか、その風石かもしれないですね。
そうそうそうそう。
2、3増えていくなみたいな。
ちょっとでも珍しいよね。KEVにこういうのが乗るっていうのは。
珍しいですよね。
今までちょっとあんまり見なかったなって気がするんだけど。
ちゃんと調べたわけじゃないからあるかもしれないんだけど。
ちょっと記憶にないなと思って。珍しいなと思って。
そうですよね。僕も乗ったのを見た時に、メールで見た時に、
えっ何?ベンダーIETFって何?って最初思いましたもんね。
あーそうだね。特定ベンダーの製品の脆弱性じゃないからね。
そうそうそう。何やろうと思って。
だいたいよく聞く社名とかね、
あとアパッチみたいなソフトウェアプロジェクトの名前とかが出るけど、
IETFの脆弱性って何やろうと思って。
あーこういうことか。
確かにね。
通知受けた人どこをポイントにして調べていくのか、すごい興味深い感じがするんですけど。
確かに。IETFってやつ今調べたらさ、
こないだのHTTP2のラピッドレスポン…
あ、はいはいはい。
お贅沢性と今回のやつ2件しかないね。
そうですよね。そういう限定的なやつしか出てこないですよね。こんな名前ね。
どうりでなんか珍しいなって感じだわな。
そうか。じゃあこれはあれですかね。スキャンちゃんとしてみたいな感じで
注意喚起してるのかな、やっぱり。
そうですね。
まあそういう意味では、いい点としては特に見渡らしい話じゃないので、
いわゆる外部からのスキャンとか、最近の流行りで言うとアタックサーフェスマネジメント的なやつとかをしっかりやっていれば、
見つからなきゃおかしいので、こういうのは。
そうですよね。
そういうのをちゃんとやっていれば、こんなのは全然未然に防げてるはずっていう、
そういういい面というか、そんなに特殊なアタックベクターじゃないんで、
それはいい点だけど、逆に言うと、そういうことやってないとこんなのいくらでも見つかりますぜっていう感じですね。
確かにな。でもこれUDPでしょ。427なんですよね。
そうです。UDPですね。
なんかスキャンするときって、UDPのスキャンってめっちゃ遅いんですよね。
まあそうね。それはプロトコルの使用上昇がないけどね。
後回しというか優先順位低めで。
そうそう。だからなんか自分がそういう診断に関わった時とかは、
できるだけ無駄を省くために、まずウェルノーンのUDPだけやるんですよね。
なるほどね。診断のノウハウ的なやつだね。
その後、もちろん全部やらないわけにはいかないので、全部やるんですけど、
他の作業をしながらもうUDPのスキャンはフルでやるときは、
もう最後全然違う作業をしながら、流れで流しておくみたいなことをしてたんですけど、
427これウェルノーンなんですかね。
ウェルノーンだね。
だったら比較的見つけやすいのかな。
だけど、それはあれだね。
WolfからあるUDPのスキャンの問題は、結局プロトコルの使用上の問題だから、
これはいかんと申しがたくて。
そうですよね。
今の現代においてもその問題は解決していないから、
結局それなりにちゃんとしたプロトコルのリクエストを投げて、
レスポースを返ってくるのを待つか、タイムアウトするしかないというか、
ステートレスだからどうしようもないんで。
そう、待つしかないっていう。
そのあたりの精度の問題は確かにあるっていうのもあるけどね。
外からスキャンするんだとちょっとUDPは後回しにされがちな印象が結構あるんで、
見つけるのも大変そうやろうなっていう気はしますよね。
確かに。
はい、ありがとうございます。
ということで、今日も3つのセキュリティのお話を、
今日も京都でやっていたわけなんですけれども、
最後のおすすめのあれで。
いいですね、最後まで平常運転って感じで。
そうなんですね。
そんな平常運転って言われて平常じゃないこと言おうかなと思った僕は、
どうしたらいいんやろうなっていうところで。
いいね、いいね。
いいですよね、出花くじいていくスタイル。
くじかれたくない時に限ってそういうこと言い寄るんですよ。
普段言わへんのに。
今日のおすすめのあれは200回言いということもあってですね、
おすすめはこのポッドキャストです。
なんだよそれ、何エボいこと言おうとしてんの?
いろいろお便りを言われてんねん、ずっと。
止まらん笑い。
200回言うときは特に何も思わんかったんですけど、
いろいろちょっとずつうっすら変化してきたりとか、
結構コミュニケーション取れるようにもなったりとか、
ねぎさんとかね、結構いろんなイベントとか最近オフラインのイベントも増えてきて。
そうだ、コロナ中にこのポッドキャストも頻度を上げて、
毎週の配信にしてさ、
2年前の総務大臣奨励賞なんかもいただいて、
リスナーがだいぶ増えた感触があるじゃないですか。
お便りも増えたさ。
コロナ禍を受けてイベントとかを主催する機会とかもあって、
ちょいちょい顔を出すんだけど、
前よりもはるかにポッドキャスト聞いてますって言って声をかけてくれる人の数が増えた気がして、
それはすごく嬉しい。
UDPのスキャンとセキュリティ
大きな変化だよね。
僕も仕事先に行ったりとかして、
聞いてますとかまでは言われないんですけど、
なんか、あれ初めて会った気せえへんなみたいな感じの話をさせてくるんですよ。
あーなるほどなるほど。
なんか辻さんこの間の、自分も結構積みゲーが、ゲーム買ってやってないゲーム積みゲーが多いんですけど、
なんか辻さんいつもゲームのクリアのペース早いっすよねーとか急に言われて。
どこでそれ知ったみたいな。
そんな、あれ今日初めてか2回目くらいちゃいます?って思う。
時間にしたら10分も喋ったことない人にそういうこと言われるっていうのがあって。
あれを聞いててとか、
そうだよね。
あれきっかけでツイートを見てるとか、
そういうポストを見てるとかっていうふうなものがあって、
なんか結構ふわっとやり始めた。
そもそもなんでこれやり始めたんやっけ?
どういうこと?
ポッドキャスト。
そもそも?
いや、そもそもの最初はさ、
僕らで始めたやつは、
あれ2017年だから、
え?2017年ってもう6年経ってんの?
今7年目か、早っ。
それは何?シーズン何?
それはその前にITメディアでやってたやつが終わっちゃったんで、
それがシーズン2くらいですよね。
それそのまま終わっちゃうのはせっかくだから、
ポッドキャストも一回また復活してやりましょうみたいな感じだったよね、確かね。
そっかそっかそっかそっか。
ポッドキャストの活動と将来展望
それが今まで続いてる感じ?
そうそう。それが一応きっかけだよね、多分ね。
その頃って1ヶ月ぐらい?
1ヶ月、1ヶ月半、2ヶ月ぐらいのゆったりペース?
毎月一回3人で集まって、
どっかの会議室で集まって喋るみたいなのがしばらく。
だから最初の3年くらいはそんな感じだったんだよな。
そっかそっか。
最初の頃はポッドキャストって結構海外のやつとかにぎりさん聞いてたじゃないですか。
僕も結構そういうアップルミュージックから
ポッドキャスト、芸能人の人がやってるポッドキャストとか、
そういうのを結構聞いてたから、
短かったんですけど、意外と周りにやってる人もいなかったりとか、
セキュリティのジャンルで。
そうだよね。今よりももっとずっと少なかったもんね。
そうそうそう。
だからやってないこと、誰もやってへんことするの好きじゃないですか、我々。
そういうのでやり始めたっていう感じなのかな。
そうだね。
多分自分らがおもろいと思わないとやんないじゃないですか。
そうそう。面白そうだし誰もやったらそうだからやってみようぜみたいな、
そういう感じだったよね、最初はね。
そうなんですよ。それをやり始めたら結構いろんな人とつながれてるというか、
僕らからは誰が聞いてるかなんて見えないんですけど、
でもその話しかけていただいたりとかするのを見てたりとかすると、
意外と、ほら後はリスナーの方からね、
お客さん先行ったらあなたもですかみたいなものがあるって、
最近結構報告いただくじゃないですか。
そうそう。リスナー同士が知らないところにつながってるみたいなさ。
そんなことが起きるとは想像もしてなかったからね。
どこにいるかわからないみたいなね。
どこにでもいるよね最近は思うけど。
あれを聞き始めたらあれ勢ですみたいな、
ちょっとアノニマスみたいになってきてるなみたいな。
なんかそんな話もしてたね昔ね。
リスナーどれくらいおるって聞かれたら9000人以上いますって言おうかなっていう。
ついに言えるやつ。
いいねいいね。実際それくらい言ってほしいわ。
でもそろそろ変化もさせていきたいなっていう。
そうですね。まさかこんな6年7年も続くとは思ってなかったし、
200回なんてマイルストーン来るとは思ってもいなかったけど。
そうですよね。
そうなんですよね。だからちょっとね、
考えてるのは前々からずっと言ってるんですけど、
オフラインちょっと小規模でもいいからちょっとやってみたいなっていう。
そうね。それは俺も思うな。
なんかどっか場所を貸してくれへんかな誰か。
うちでやりませんかみたいな。
ぜひお待ちしております。声掛けを。
配信設備とかあれば。
そんな良い場所を貸してもらってもステッカーぐらいしか差し上げられないですけれども。
あとはね、11月も半ばに入ってきまして、
2023年も終わりかけと言っても過言ではないのかなという時期に来ましたけれども、
年末にはまたあの方を呼ぼうかなと。
例の名前を呼んではいけないあの方。
そこはブレずに行く感じなんですね。
こんな話したら、実は今日おったみたいな感じで、
ゲスト会の定番化
いまーすとかで出てきそうなあの方をまたお招きしようかなと思っているんですけど、
来年ぐらいからは、
2ヶ月に1回ぐらいとかのペースのゆっくりでもいいから、
ゲスト会みたいなものもちょっと定番化していってもいいのかななんていうのをちょっと考えてて。
今のところ僕の中で3人ぐらい候補がいたりするんでですね。
それはまたおいおいこの3人で話をして、
今月ちょっと3人で濃厚な打ち合わせをする機会がありそうですから。
濃厚な打ち合わせが行われると思うので、
その時に決めて、また来年何か発表できればいいかなと。
今後も200回通過展とは言ったけども、
いろいろ変化も楽しみつつ続けていきたいですね、我々もね。
今までの通常の感じもやっていきつつ、
聴いてる人にも楽しんでもらって、
みんなでわいわいがやがや、
うっすらふわーっと繋がるような感じでやっていければ、
楽しくやっていければなと思っているので。
ぜひ。
そんな感じで、これからも皆さんよろしくお願いします。
ありがとうございます。
次回のお楽しみです。バイバイ。
バイバーイ。