00:01
今日はちょっと雰囲気が違うんですよ。
ちょっと静かというか。
ね。
俺ね、ちょっと考えてたんだけど、このポッドキャストもう3年くらいかな、やってて。
はい、そんなのあるんですね。
その前に動画をやってたでしょ。
ですね。
看護さんいなかったけど。
YouTuber時代。
はい、YouTuber時代。
で、その前にもリニューアルする前のポッドキャストを辻さんやってて。
そうですね。
なんだかんだでもう結構長いこと続いてるんだけど、これたぶんね、初めてじゃないかな。
何ですと?初めて?何がですか?
辻さんがいないっていう。
マジですか?確かに周り見渡してもいないですね。
いないよね。いや、これリモートでした。
そうでした。
相変わらずリモートでした。
今日は辻さんの都合がつかなくて。
そうですね。
看護さんと電源師の2人でお届けしてますけど。
ちょっと雰囲気が違うんですけどね。
セミナーではやってますからね。
セミナーではやってますからね。
そんな感じで、これでいなくなるわけじゃないんだよね。
ちょっと来週からは別の辻さんが来るかもしれないですけど。
生まれ変わった辻さんがね。
新しい辻さんが。
ちょっと辻さんのトークを楽しみにした人は申し訳ないですけどね。
ちょっと申し訳ないですけどね。
今回限りということで。
話し入る前にすごい気になっていることがあるんだけど。
何ですか?
看護さん最近PC買ったんでしょ?
買ったんですよ。買ったっていうとちょっと意味が違うんですけど。
自作したって聞いてすっげえ興味あるんだけど。
マジですか?ねぎさんあんまりそういう感じの匂いしませんもんね。
でもね、俺ね。
もうここ10年ぐらいずっとラップトップしか使ってないんだけど。
だけどその前はもうちょっと昔過ぎて忘れたけど。
自作PCって羽ばたいた時代がちょっとだけあって。
本当ですか?
AMDのね、知ってるかな?
Athlonっていうチップ使ったPC。
懐かしい。
懐かしいよね。
多分15年ぐらい前?
なんかね、パーツ屋いろいろ巡って秋葉原で巡って。
シャーシとかマザボとかグラフィックカードとか買ってとかね。
やったことが昔あるんだよ。相当前ね。
はい。
なんで、今でもそういうのあるんだと思ってさ。
あるんですよ。それがあるんですよ。
あるんだ。
私、まず基本的にパソコンちゃんとしたやつ買ったことなくて。
だいたいもうずっと自作なんですよ。
ノートパソコンはさすがに無理ですけど。
そうなの?昔から?
そうなんですよ。昔からずっと昔から。
数字は入ってないんですけど、本当に苦手ですけど。
ずっと自作パソコンでやってて。
で、今使っているパソコンが騙し騙しでパーツ変えたりとか。
03:06
いろいろ頑張りはしてきたんですけど。
いよいよちょっともたつくことが増えてきたなみたいなことが出てきて。
Chromeが重いんですよ。
元々重いのかもしれないですけど。
多分開きすぎじゃないの?
そんなに開いてないですよ。
結構重たいなって感じることがあって。
で、ノートパソコンとかは手元にあって。
CPUで言うと手元にあるラップトップのノートPCの方が世代が新しくて。
で、もたつくなって思うシーンがノートパソコンの方が若干少ないなと思ったんですよ。
で、これもしかしていよいよかなっていうのと、
あと今お外出れないじゃないですか。
そうですね。
はい、お外出れなくて。
で、もう今でしょみたいな感じの。
なるほど、開会時。
うん、やるなら今でしょみたいな感じで。
よくよく見返したら、今使っているパソコンのCPUの世代って、
私2011年とか12年とかそれぐらいのモデルなんですよ。
すごい前じゃん。
いや、よく思ったなと思って、本当に。
それは開会時ね。
一応Core i7なんですよ。
Core i7の2600っていう数字のCPUで、9年とか10年前のモデルなんですけど、
最近また買ったんですよ。
で、パソコンをちょっと買い替えなきゃいけないなと思って。
デスクトップ一式また買うんじゃなくて、
パーツからちょっと集めようと思って。
今回はあれ、だから今までみたいに一部分だけ買えるんじゃなくて、
丸ごと買い替えたわけ?
もうちょっとCPU変えるってなると、
もうちょっとその辺のインターフェースが、
そうだよね、マザーボードとか全部。
世代がもう完全に変わっちゃってて。
なんで、ハードディスクを例えばSSDに変えるとかっていうレベルじゃなくても、
マザーボードレベルから全部一致みたいな感じなので、
セット一式で揃えたんですよ。
なるほど。
今回の、毎回自作してるってことは、
こだわりのポイントがあるんだよね。
なんかあんの?
ちょっと一つ二つ教えてよ。
で、やっぱり自作する人って、
他の市販の、値段で多分市販品の方が若干安かったりもすると思うんですよね。
下手したら。
今だったらね。
調達してる数量とかも含めて、
全然多分安い時とかもあったりして、
で、じゃあなんであえてやるの?みたいな話になった時に、
アーキテクチャっていうか、
ハードウェアの今のトレンドを知ることができるっていう機会も当然あるし、
あと、ねげちさんには写真でお見せしたんですけど、
見ました見ました。
はい、めちゃめちゃ光らせられるんですよ。
俺あれ、ごめん全然知らなかったんだけどさ、
あれマザーボードが光ってるわけ?
マザーボードも光ってますし、メモリーも光ってますし、
06:02
ファンも光ってますし、
そういうギミックが今あるんだね。
あるんですよ。
それ専用のインターフェースもあるんですよ。
あれ見えるってことはケースが透明なわけ?
そうです。ケースの片側のパネルがアクリルになってて、
中が見えるようになってます。
最初から光らせて、見る目的で作ってくれてるんですね。
そうですね。
様子見れるっていうのもあると思うんですけど。
ちょっと全然知らない。
いやー、もう本当に楽しくて。
でもさ、使ってる時って見えないところで置いておくんじゃないの?
いや、やっぱり光らせる構成にしたんで、
しばらくはちょっと机の上に置いて。
邪魔じゃん。
なんか目的変わってるけど。
そういうこだわりね。なるほど。
どうですか?
残念ながら、本体は出来上がったんですけど、
マウスとキーボードなくて。
使えないじゃん。
で、発注したんですけど、みんな今在宅で仕事してるじゃないですか、家で。
あー、売り切れてんの?
在庫ないんすよ。安いやつ。
でもさ、マウスとキーボードなんて既存のUSBのやつとかでダメなの?
いや、もちろんいけるんですけど、
今手元で使ってるパソコンを毎回抜き差しするのもすごいめんどくさくて。
あー、そういうことか。共有したくないってことね。
なるほど。じゃあなに、待ってるわけ、それを。
ちょっと今待ちの状態です。キーボードでまさかちょっと待つとは思わなかったんですけど。
なんだ、これ使ってみてすごい快適になったとかそういう話聞けるかと思った。
ちょろっと動かした時は、試しにWindows入れてちょろっと動かしてみた時はやっぱり快適ですね。
いい感じですか。
いい感じですね。今手元で使ってるパソコンもSSDなんですけど、
SSDもM.2 SSDとかっていうタイプのやつあるじゃないですか。
インターフェースがPCIになってるやつがあって、
転送速度が、なんだろう、シリアルATAで接続しているタイプよりも若干速かったりするんですよ。
はいはい。
なので、なんか単純にその辺抜き差しして変えただけの今の自分の使っているパソコンの構成と、
すいません、なんかベチャベチャベチャいろいろ喋っちゃって。
めっちゃ自作好きなんで。
なるほどね、ちょっとごめん、だいぶ沼だよねそれね。
いやーもう、これちょっと沼になりすぎないようにできるだけ心の中でセーブしつつという感じで、
CPUは結構やばい値段するんで、そこは今後のお楽しみっていうことで、今回はだいぶ、
控えめに。
はい、かなり控えめにして、値段だけで言うと1万2千円とかでめっちゃ安いんですよ。
あれRyzenだったよね。
はい、Ryzenです。Ryzenはご存知なんですね。
Ryzenのモデルとしてはちょっとそんなに上じゃないモデルってこと?
09:00
今は一番新しいのが第3世代って言われてるやつなんですけども、
1個前のモデルで第2世代って言われてるもので、1.3倍1.5倍ぐらい第2世代と比べると第3世代の方が性能いいんですけど、
価格が3倍4倍するんで今の第3世代のやつって。だからコストパフォーマンスがかなりいいなと。
あれも前ちょっとだけやってたからわかるけど、こだわろうと思ったらいくらでもこだわれるからちょっと大変よね。
いや本当なんですよ、もうどこでセーブするかっていうので。
いやもう本当に。
いやいや、話もどこでセーブしたらいいかわからなくなってきたんだけど。
いやもう今日ずっとこれ喋ってたときぐらいなんですよ。
そうだね。
けど、ちゃんと整えたとか揃えたときって10年ぐらい前なんですけど、
その時ってやっぱりさっきねぎしさんが言ってたように色んなお店を実際に回って、物を見てお店で買ってたっていうのが結構昔、10年前とかはやってたんですけど、
今は普通にAmazonとか、いわゆるネットショップでほぼ全部調達できるし、PCパーツの組み合わせとか様子とかも大体の人がYouTubeに上げて検証していたりするので、
結構YouTube見てその辺の情報が簡単に集まって、すごいやりやすい状態かなと。
色々自分で調べてパーツやめぐるのも、それはそれで楽しかったけどね。
そういうのがなくてもいけるんだね。
もう全然今は在宅でできちゃいますね。
今はなかなか出歩けないし、そういうのも家での楽しみかもね。
是非、やったことない方は特にチャレンジして欲しいなと思います。
1回くらいやってみるのがいいかもしれない。
色んなアーキテクチャを知るっていうのがやっぱりすごいメリットになると思ってて、ノートパソコンだと全部一式揃っちゃってて、中身の構造とか、チップセット何とかって話になっちゃうと結構知らない人も多いのかなと思うので、
その辺、今のトレンドの中身、技術的に、ハードウェア的に何なの?っていうのを知るいい機会にもなるのかなと。
なるほど。最後なんか良さげなこと言ったけど。
なんかもうかなり満足しちゃってますね。
じゃあ今日はそんな感じですか。
今日何の収録でしたっけ?
ツイッターの話するってツイッターさんだったら言うけどね。
そうだった。
ちょっとしますか、セキュリティーの話。
そうですね。ちょっと自作の話も楽しかったんですけど、セキュリティーの話もしますか。
何の話しましょうかね。
そうそう、前回ちょっと話したネタ、まだこれ1週間しか経ってないんで、まだホットなんだけど、ちょっとその後更新があったんで、その話少しだけしていい?
はい、どうぞどうぞ。何ですか?
えっとね、先週かな?これ話したiOSのメールアプリの、
12:04
ありましたね。
データ育成の話。
はい。
なんだけど、これちょっと後日なんか伝わってきて、これ看護さんも見たと思うけど、ゼコープスってところがレポートを出したんだけど、Appleが今データ育成の修正中ですと。
ただし、彼らが検証したところだと、これすぐに悪用できないんじゃないの?と言ってて、iPhoneとかのそのユーザーに影響があった痕跡もないというか、攻撃された事例も確認できなかったということを言ってて、
ちょっと脆弱性自体は否定してないけど、本当にこれ攻撃されてるの?みたいな感じのことをAppleは言ってたよね。
そうですね。前回の時もなんかそれ少し話して。
そうそう、これ看護さんがまさに言ってた通りだなと思って、ちょっとこれ信憑性どうなんすか?みたいな話をしてたら、まさにその通りになったよね。
ですよね。いやーちょっと言い過ぎなくてよかった。
本当言ってたわーって感じで。ただね、ゼコープス自体は一応反論してて、
そうですよね。
Appleがパッチを出したら詳細をちゃんと出しますって言っているから、ちょっとその情報待ちなんだけど、
まだ現在進行形の話題ってことですね。
うん、ちょっとあれあれっていう感じで、どうって新しいの?って感じだよね今はね。
なんかこういうの結構ありますよね。
そうなんだよね。
こういうのってやっぱあるんで。
必ずしもね、このベンダーが間違ってるかどうかは分からなくて、Appleが間違ってる可能性もあるんで、
はい。
ちょっとその詳細待ちだけど、今のところそういう状態で、
そうですね。
うん、やや紙雪が怪しい状態と。
はい。
なので前回ちょっと言ってた通りになったね。
そうですね、ちょっとやっぱりこの辺の情報ってちゃんと見ておいた方がいいなっていうのと、
一応脆弱性自体はやっぱりあるっていう話、それ自体はAppleも否定はしてなかったので、
そこ大事だよね。
うん、悪用されてるかとか、悪用がしやすいかとかっていうのは置いといたとして、
脆弱性自体はやっぱり問題としてはあるっていう話はZeckops社もApple社も両方言ってる話であるんで、
最新版が出たら更新しましょうっていうところは変わらず、
そうですね、危険度がどのくらいかっていうのがちょっと違うかもしれないっていうことだね。
そこはやっぱり私たちで判断できないところなので、出たらすぐ更新っていうので、まずはシンプルでいいのかなと。
そうですね、またこれ出たらもしかしたら取り上げるかもしれませんけど。
そうですね、触れたいですね。
そんな話がありましたと。
あともう一個小ネタで、これは前々回に話したAppleとGoogleが協力してコンタクトトレーシングの技術を出しますって言ってるやつ。
あれもちょっとその後少し変わって。
そうなんですか?
なんかいろいろ各方面から多分ツッコミが入ったんだと思うけど、
まず名前がExposure Notificationって変わったんだけども、
中身もちょっとだけ変わってて、大きくは二つ変わってますと。
一つは鍵の導出の仕組みがちょっと変更されて、
15:05
もともとはアプリをインストールするとユーザーごとのユニークな鍵っていうのが生成されて、
そこから毎日のデイリーの鍵が導出されるっていう仕組みだったんだけど、
これだと元の鍵が万が一漏れた場合に良くないっていうことです。
なるほど、なるほど。
多分ツッコミが入ってこの仕組みが変わってなくなった。
毎回毎回毎日1日1回ランダムな鍵が生成されるようになったんで。
そうなんですね。
1日ごとの鍵の関連付けがなくなった。そういう仕組みに変わりましたと。
もう一個はBluetoothの方の送信する内容がちょっと変わって、
前回の元々のやつには入ってなかったんだけど、
メタデータとして送信時の出力レベル、
Bluetoothの出力レベルも暗号化しておくようにしますと。
それを使ってこの信号がどのくらい届いたかという距離の算出でどうも使うらしい。
なるほど。
その2点が、細かいところで暗号化のアルゴリズムもASに変わったとか色々あるんだけど、
大きく言うと鍵の導出の仕組みの変更とBluetoothで送信するデータがちょっと変わりましたと。
色々言われて改良をしているみたいね。
なるほど。まだ時間がかかりそうなんですかね。
一応でも保険当局にはもうぼちぼちAPIの提供が始まるとかって話だから、
5月中には出てくるっていう話だけどどうなんだろうね。
ただこれ各国どうするかわかんないよね。
イギリスはこれ使わないって宣言してるし、
そうなんですか。
自前の方式の方がいいからって言って使わないらしいし、
日本は日本で別にやってるからね。
やろうとしてますよね。
結構全国誌とかでもコロナの話題、中心なんですけど、
このトレーサビリティというかアプリの話題ってポツポツポツと出てきてはいて、
当然プライバシーの話題とかと絡めて報じている記事が増えてきてるので、
一般の方でも気にするトピックにはなりつつあるのかなという感じではあるんですよね。
各国色々独自でやってるところもあるし、
先週かな今週かなオーストラリアも新しく始めたけど、
そういった導入具合を見ながら自分の国ではどうするって決めていくのかな、
わかんないけど、そんな感じですという、
ちょっと2つね、先週先々週とは自分で話したフォローも。
1週間って短い単位で取り上げてるトピックいっぱいあるんで、
結構動いてますね。
前は1ヶ月単位でやってるとさ、
ちょっともう先月のネタ取り上げるのはもうちょっと時期を逸したなっていう感じになるじゃん。
なりますね。
それがね、毎週やってると、
先週のトピックアップデートがありますみたいなさ言えるから、
だからこれはこれでいいよね。
そうですね。適切に情報をアップデートしていけるんで。
18:01
そうですね。そんな感じです。
はい。
すいません、お邪魔しちゃって。
じゃあ今週のネタを紹介しますか。
はい、今週のネタありますか。よろしくお願いします。
かんこさんなんか気になったネタがあるって言ってたけど。
はい、私も今、どうしよう、私から言ってもいいですか。
はい、言ってください。
はい、じゃあ私からさらっといきたいんですけど、
やっぱり新型コロナの話題に関連して、
マスク結構欲しがってる、売れてるというか、
需要がめちゃめちゃ上がってるじゃないですか、今。
供給が追いついてなくて、
こんなところマスク作るの?みたいな会社が手をほぞってあげて、
マスクだったりプラカバーだったり、
いろんなのを作ったりするっていう状況が、
日本国内でも始まっていて、
その中でシャープっていう会社が、
マスクの製造をして販売をしますっていうのを、
ちょっと前に発表して、
先週かな?実際販売しようとしたら、
販売サイトがアクセス殺到なのか落ちてしまって、
これは関連する話題というか、余談なんですけども、
同じサイト上で、
エアコンとかのシャープ製の機器の操作ができる状態になっていたんですけども、
それも合わせてできなくなってしまったので、
IoT関係のコントロールサイトを持ってしまったみたいなのが、
すごい話題にSNSでなっていたんですけど、
その後、
新聞にも載ってましたね。
載ってました。
その後、販売サイトっていう形で、
負荷がちょっと重めのECのサイトを直接ダダッと公開して、
手広く販売するっていうのは、
財庫的にもちょっと難しいとシャープが判断したのか、
抽選形式で一度募集というか、
応募をしていただいて、
その中で抽選で当選した方に販売をするっていう方式に。
それ抽選はどうやってやるの?
どうやって抽選したのかっていうところは、
サイト上ではちょっと説明がないんですが、
機械的なのか何なのかってちょっと分からないんですけども、
応募総数とかは明らかにされていて、
確か400万ぐらいだったかな?
400万件以上応募があって、
当初シャープは3万セットのマスクを販売予定だったんですけども、
それだけの応募が大量にあったということで、
急遽1万セットを上積みの4万セットの販売ということではある。
これでも100倍の倍率?
そうなんですよ。確か110何倍とかっていう結構な倍率。
21:00
プラチナチケットじゃなくてプラチナマスクみたいな感じになっちゃってて。
なのでやっぱり多くの人が興味関心を寄せるトピックにはなっていたんですけども、
その中でいくつかちょっと突っ込みというか気になるネタもあって、
抽選なんで当たったとか外れたとか当然あるわけじゃないですか。
で、シャープが取ったやり方っていうのが当たった人にだけ連絡するっていう、
そういうやり方だった。
なんか当選詐欺がありそうな感じ。
そうなんですよ。みんなやっぱりこぞってそこの辺は突っ込みしていて。
それは防ぐテラテがあるわけ?
で、ちょっとその辺の説明も少しちょっといまいちかなっていうのが、
アドレスはこれなのでこれを見てくださいみたいな、なんかそういう書き方なんですよ。
メールの通信元のアドレス。
正直そこってやろうと思えば結構情報は変えられるじゃないですか。
しかもここから来てますって言ってる以上はそこにしてしまえばさもそれっぽく見せたりっていうのもできる。
やろうと思えばできるわけですし。
なのでその辺の突っ込みがあったりしてですね。
シャープだけじゃなくて他のマスクの販売をしようとしている別の事業者の方も、
なんだかんだ突っ込みポイントがあるような販売の仕方とかを結構されていて、
自社ドメインじゃない他社のサービスを使って連絡をしているので、
当然なんか連絡元のアドレスが自社サイトじゃない連絡元のアドレスになってしまったりとか、
それが正しいですとかって言ったりもするのでなおさら混乱したりとか。
なのでもうSNS上で結構そのシャープの当選メールもこれ本物なの?みたいなコメントを結構寄せられてはいて、
結構カオスになっていたなと。
で、シャープのサイトをよく見たらトップレベル、TLD、ドメインの一番右端のドットなんちゃらのところが、
これねひさんご存知ですか?ドットシャープなんですよねシャープって。
知ってる知ってる。独自ドメインにとっているよね。他にも大手の企業でそういう企業あるもんね。
これ私ちょっと正直細かいところ知らなくて、むしろこれちゃんと言った方が良かったんじゃないかなと思って。
なるほど、名の送信元がどうこういうよりも。
ブラウザーに表示された文字列の特定の箇所っていうのがドットシャープだったらもう絶対安心ですっていうぐらいの、
絶対っていうのはちょっと言い過ぎかもしれないですけども、
ドットシャープはシャープしか実質、シャープとあったそのグループ会社かな。
そうだね、多分各国のシャープが、日本はJPドットシャープかな、だけど多分そういう感じだからね。
24:02
それは第三者が取れるものでもないんで。
そうだね、それちなみに当選した人はさ、その後実際に買うときに行くアクセスするサイトもそのサイト内なんだよね。
そうですね。
じゃあそれを確認した方がいいよね。
はい、それをむしろ強く言ってほしかったなって。
なるほど、その辺がちょっともやもやされた。
はい、もったいないなと、せっかく。せっかくシャープしか使えないやつ持ってるわけですからね。
なるほどね。
GOJPとかと同じような感じですよね。
今それで思い出したけどさ、
はい、はい。
俺そのサイト見ててすごい気になったのはそのGOJP?なんだっけな、販売サイトに飛ぶリダイレクトのURLがGOJPシャープになってなかった?
そうですね。
あれはさ、やばい。
何なんですかね。
いや、あれは多分ね、ドットJPシャープにGOっていう意味だと思うけど、
GOっていうのは、行くぞ!みたいな。
そうそう、だと思う。おそらくね、思うけど、あれはダメだと思うんだよな。紛らわしいよ。
確かに。
だってURLのね、もしかしてその先っていうかトップレベルの方とか見ないでさ、GOJPだけ見ちゃうオチョコジョコいるでしょ。
いますよ。
紛らわしいよね。あれはやったほうがいいよ。
いやー、なんかもうもったいないんですよね。せっかく頑張ってるのに。
できるだけね、紛れがないようにしたほうがいいっていうかね。
そうなんですよね。これだけ特にやっぱり注目関心が高いところで使われる以上は。
ややね、かわいそうなところがあってさ、別に擁護するわけじゃないけど、シャープもほら別にマスク生産メインじゃないのにさ、
そうですそうです。
今回の騒動で慌てて頑張って作ってくれて、それを関係者だけに配ってもいいところを一般の人にも販売しようとしてくれてるわけなんで、
そういうのは偉いなと思うし、他のサイトでもほらこの期間だけキャンペーンでとかさ、いろいろ無料キャンペーンとかたくさんやってるとこあるけど、
そういうのにした途端にアクセスがいっぱい来ちゃって落ちちゃうとかって他にもいっぱいあるから、
そういうのは若干かわいそうな面というか、善意がうまく報われず空回りしちゃった感じはあるけど、
でもせっかく注目されてるし、そういうところまで気を配ってほしかったっていう気はするけどね。
はい。これ多分次回、次々回ときっと継続的に販売、しばらく中止になるのかな。販売は続くと思うので。
そうだろうね。
なのでぜひその辺をフォローしてやっていただけると、今のところマスク詐欺のメールだっていう実物はSNS上では出回ってないかなとは思うんですけども。
でもこれ時間の問題でしょ。
時間の問題だと思うんですよ。
出るでしょ絶対。
はい。なのでちょっとそういうのが出回る前にぜひその辺をやっていただけるといいのかなと。
なるほどなるほど。
はい。思いました。
27:01
これちょっとね、やってること自体は応援したいし。
はい。ぜひ応援していきたいです。
そんな感じですか。
もう一個言っていいですか。
もう一個いいですよ。
もう一個言っていいですか。
今日は一人でだけでだいぶ。
ついさんいないから本気出してるわけじゃないんですけど。
いつも本気出せよ。
いつもなんですけど、いつもなんか二人の漫才が面白すぎて、ちょっとたまに聞きに回っちゃう時があるんですよ。
わかる。
ピョカミ喋ろやと言われることあるんですけど。
俺もついさんもどっちかっていうと喋りたがりだからさ。
今日は思う存分喋ってください。
今日はだからむしろちょっと黙ったらやばいなと思って。
はい。
もう一個ですね。これ日経クロステックっていうところで、私伝採させていただいていて、全然これは宣伝してるわけじゃないんですけど、
先週?今週か。
今週国内サイドから相次いで流出した個人情報をあそこで売られていた可能性ありっていうタイトルの記事を。
これは記事の中身としては、ヤマト警告社っていう会社がありまして、
その会社が運営しているヤマケオンラインっていう登山ログとか、登山のアクティビティログとか。
そういう愛好家向けのサイトってこと?
はい。
あれ?ちょっと待ってヤマケオンラインって何か聞き覚えあるな。何か前にも何か情報ログやらなかったっけ?
たびたびお茶目というかやんちゃをしているというか。
そうだよね。
不正ログインの被害を残念ながら受けてしまっているところですね。
そこが何かまた。
はい。そこがまた情報流通をしてしまいましたという形でお詫びのリリースを出しておりまして、それを取り上げさせていただいたんですよ。
これ何で取り上げたかというと、4月のちょっと具体的に日付忘れちゃったんですけども、4月の初めぐらいからハッキングフォーラムっていう風に結構いろんな人が言ったりするんですけども、
具体名を入れたのがRAIDフォーラムっていう。
すごい有名なサイトだよね。
有名ですよね。
普通にGoogleで検索して出てきたりもするような、いわゆるTorとかでしかアクセスできないようなそういうダークウェブというわけでもなくて、いわゆる普通の掲示板サイト。
サーフェイスウェブっていうのが普通のサイトだよね。
そうですそうです。スレッドの中身は別に会員登録しなくても見れるんで。
だから他のフォーラムとかと比べてもかなり情報公開というか、公開されてる情報量は多くて。
その中に4月の始めぐらいから日本の国内のサイトをいくつかハッキングというかデータベースの中身を取得したので公開しますっていう書き込みが何件かありまして、
その中に今回この記事でも取り上げたヤマケンオンラインっていうサイトも含まれていたというところなんですよね。
30:04
じゃあ他にもいくつかあるわけね。
すでにヤマケンオンラインと、ごめんなさい、ヤマと警告者と同じようにリリースを出しているところもあって、
ディジョブっていう、これ何のサイトだったかな。アパレルだったかな。
そういうのを取り扱っているアパレルのリクルーティングのサイトのようなものであったりとか、
あとは全然関係ないんですけど、そのアパレルとは全然関係ないですけど、全国土木施工管理議士会連合会のサイトであったりとか。
.jpのサイトから。
種種雑多なサイトが同じような目にあって、それは何その情報をそのハッキングフォーラム、レイドフォーラムのあるユーザーが売りに出してるわけ?
売りに出し、私見た限りでは4つあって、3つは買わなくても入手ができるものっていうんですかね。
ちょっと私この辺の表現の仕方はうまく知らないんですけども、掲示板上でのその活動に見合ったポイントっていうのが得られる仕組み。
何クレジットあれば見れますね。
そうですそうです。
レイドフォーラムはまさにその方式なので、8クレジット。
じゃあ別に売ってるわけじゃなくて、そのクレジットさえ持ってれば誰でも見れれば。
持ってれば誰でも見れちゃうやつですね。クレジットも売ってはいるので、お金で買うっていうのはできなくはないんですけど。
その目的は何だろうね。ただただに晒したいだけなのかな。
今の話聞くと、ごめんね、サイト募集数が雑多だし、掲示板のユーザー本人が情報を盗んだのかどうかわからないけど、
なんかあれだよね、適当なツール回して取れたところの情報って感じがするよな。
はい、そういう匂いはなんとなく。
そのサイトを狙って取ったっていう感じはしないよね。
そうですね、もう完全にそのサイトを絶対落としてやるぞっていう感じでのやり方ではなくて。
そうだよね。
っていう感じですね。流出した情報もかなり前なんですよね。
例えばヤマケンオンラインのサイトから流出した情報は、過去の9サイトに登録されていた情報だったそうで、
日付で言うと2013年4月9日まで運営されていたので、それまでに登録されていた情報が漏れてしまったとか。
あとリジョブだったかな、どっちのサイトだったかちょっと度忘れちゃったんですけど、確かリジョブかな。
リジョブのサイトもテスト環境に置いていたデータが抜かれたみたいな、そういう話をリリースとして出していて、
ほんちゃんのサイト、今まさに動いているサイトっていうのはヤマケンオンラインやリジョブのサイトは被害を受けてなかったっていう話なので、
33:00
ちょっと手薄のところが狙われたのかなっていう。
そんな雰囲気するよね。たまたま脆弱性が残ってましたとかそんな雰囲気だよね。
はい。
なるほど。話だけ聞けばちょっとユーザーの意図はよくわからないけど、話だけ聞けばよくありがちな感じですかね。
その投稿した人間が結構人間見あふれる感じで、スレッド見るとわかるんですけど、
俺このスレッド投稿したのに誰の反応もないのなんでだよとかって結構そういう愚痴みたいな開催するんですよね。
誰も興味持ってくれないと。
興味持てやみたいな感じの、そういう愚痴っぽい書き込みをしていたりとかもしていたりして。
で、これちょっと気になるのが、今回実際にリリースを出しているのは今のところ3社のサイトで、
あと私見た限りだともう一つのサイトがあって、これまだリリース出してないのでちょっと具体名言わない方がいいのかなと思うんですけども、
そこはクレジットでの公開ではなくて販売をしますっていう表現だったんですね。
ここだけちょっとなんで違ったのかってわかんないですけども。
中身の情報の価値なのかなもしかしたらね。
そのスレッドももうすでに消していて、手元にスクリーンショット残ってるんですけど、
その書き込み自体はもう掲示板上から本人が消したみたいで、スレッド残ってなくて。
なんでちょっと不思議な感じではあるんですけど。
これちょっとその気になるのは、この投稿している本人がですね、まだあるよって言ってるんですよね。
これで終わられてないよと。
まだあるよと。ただ販売するって書いてあってて、
日本の確かショッピングサイトのデータベースはまだ手持ちがあるので、
ちょっといくらだったかな、ちょっと具体的に忘れちゃったんですけども、
メールアドレスとパスワードのセットで、何件でいくらみたいな形。
具体的なサイト名は出してないんですけども、そういう形で案内をしていて、
情報が欲しかったらプライベートメッセージを送ってくれという投稿をしているんですよね。
それでちょっとわかったな。もしかしたら今回のやつはデモンストレーションというか、
実際に持ってるっていうのを確認するために公開しておいて、本当の価値があるやつは売ると。
そうですね。自分自身のプレゼンスを高める宣伝にもしかしたら使われてしまったのかなみたいな。
そういう狙いあるよね。看護さんも毎回悩むと思うけど、
こういう情報流出系とか特に販売しているやつは取り上げ方が難しくて、
下手に取り上げちゃうと宣伝になっちゃうんで。
そうなんですよ。
宣伝になるし、あと被害を拡散しちゃう可能性もあるからなかなか難しいよね。
36:03
難しいですね、この辺の取り扱い。
いろんな人が今回この投稿は把握をされていらして、
当事者の、実際その大和警告者の人が認知したように、
見た限りだと実際に流出したと思わしきデータセットを入手されて、
それを連絡しているかのような感じの。
じゃあ誰か有志が連絡したのかね。
なのかなと思うので、今把握されている限りでの当事者には幸い連絡は行っているのかなとは思うんですけども、
まだちょっと気づけてない人がもしかしたらいるかもしれなくて、
この事例からちょっと山形オンラインとリジョブっていうサイトだけからだと、
ちょっと断定的な言い方はできないんですけども、
過去自身が公開していて既に閉じていたつもりのサイトがまだ動いていたりとか、
テスト環境が動きっぱんしてあったりとか、
そういったものがまだまさに動いたままの状態であれば、
ちょっとそこは注意してみたほうがいいのかなと。
よくあるタイプっていうかね、
そういうツール使った自動的なスキャンに引っかかっちゃって、
運用している側はすっかり忘れていたっていうか、
あっちもちゃんとやってなかったとかね、
そういうのは起こりがちだから、
そういう注意喚起もしたいってことね。
はい、そうですそうです。
なるほど。
なかなか単なる情報流出かと思いきや、
いや違いますよ、
それを言いたいだけじゃないんですよ。
これちょっと、
まだあるよって言ったところの具体名とか、
流出規模もわかんないんだよね。
はい、そうですね。
全然わかんないです。
値段とその数というか、
メールアドレス何件いくらっていうのが書かれているだけで、
ただ日本のサイトと言ってるんで、
日本のサイト。jpなんでしょうね。
規模と中身にカード情報があるかないかとか、
そういう内容によってはちょっとインパクトあるかもしれないね。
そうですね。
あといずれ、
今売ろうとしてるっていう話だったけども、
過去に日本以外の例でも、
最初何人かに売ろうとしていて、
ある程度売れたらその後公開しちゃうっていうパターン結構見るので、
ありますね。
いずれは公開される可能性もあるしね。
そうだ、今回この3つで興味深かったのは、
パスワードが全部平文で、
もともと保管されていた形式が平文だったのかちょっとわからないんですけど、
サンプルとして示されているレコードが何件かあって、
それが全部平文なんですよ。
それはサイト側は何て言ってるの?
特にそこ触れてないんですよね。
そうなんだ。
ちょっとわかんないね。
もしかしたらハッシュされたパスワードがローエースだけど、
クラックしてわかりましたっていう場合もあるし。
はい。
タグがdehashって書いてあったかな。
だからハッシュからもしかしたら戻したのかもしれないですね。
39:01
dehashって書いてあったんだったら、もともとハッシュだったんだな、それは。
売る時に価値が高くなるように、
解読してから売るってことはよくやるから。
ですよね。
手を加えてるとか、ちょっと手が混んでるなっていうふうにも思ったりして。
なるほど。
はい。
大体この手のデータベースリークとかってなると、
大体過去に漏れたもんでしょうみたいな話からあるんですけど、
今回のこのサイトは見た限り全部新しいというか、
過去の例えばコレクション1とかいろいろ有名なデータベースリークのセットというか、
話題はありましたけど、そういうのには含まれてなさそうなものだったので。
なるほど。漏洩したデータ自体は古いものだけども、
過去に流出したものの使い回しじゃなくて、今回新しく発覚したっていう意味ね。
この投稿した本人がやったのかどうかはちょっと定かではないんですけども。
そこははっきりしないね。
ただ新しい事例だとすると、何かしら関わってるんだろうね、当日だとね。
その可能性は高いですよね。
なるほど。よくある過去に漏洩したものの寄生発明的なやつはもういいわって感じだけど、
新しいやつはちょっと注意しないといけないね。
そうですね。
なるほど。じゃあそのユーザーが言ってるまだあるぞってやつはちょっと要注意と。
要注意ですね。ちょっとPM送ったら何か返事くんのかなとかちょっと思ったりはするんですけど。
そういう時送ったりする?
送ったりするかちょっと悩んでるんですけど、ちょっとそれはやるのは私じゃないのかな。
私じゃなくて誰かがね。
そうね、別の人かもね。
そのあたりね、リサーチの時の線引きとして難しいとこなんだよね。
そうなんですよ。
どこまで踏み込むかっていうのはね。
時にね、攻撃者側とのやり取りが必要な場合も、そういう場面もないとは言わないけどさ、
それをやるべきかどうかって悩むよね、いつもね。
そうですね。もしかしたら誰かやってるかもしれないですけどね。
そうですね。
本当はそういうのね、叱るべきところがやってくれるといいんだけどね。
叱るべきところがやってほしいですね。
なるほど、なかなか興味深い話をありがとうございます。そんな感じですか?
はい、そうです。
続いて、ネギスさん。
さっき小ネタをやっちゃったけども、せっかくなので今週のネタを一個だけ。
今週のネギスをお願いします。
はい、いいでしょうか。
はい、どうぞどうぞ。
えっとですね、これも今週かな?
サイバーアークっていうところがブログで公開した脆弱性で、
マイクロソフトTeamsでユーザーのアカウントを乗っ取ることができる問題を見つけましたというのが発表されましたと。
はい。
42:00
で、これちょっと対象はね、割とTeamsっていう大きなサービスだし。
そうです、今使っている人結構多いと思うんですよね。
そうなんだよね。影響も大きいんで、ちょっと注目してたんだけども。
最初に言っておくともう一応修正済みなんで、今使っている人は特に心配する必要はないです。
アップデートしてればいいと。
そうですね。基本的にアップデートはサーバー側でやってるんで、ユーザーが何かする必要は特にはない。
あ、そうなんですね。じゃあ管理者の人がしっかりやってればOKと。
基本的には大丈夫なはず。
で、これ中身は何かっていうと、アカウントが乗っ取られるっていうのが影響なんだけども、ポイントが2つあって。
はい。
まず1つ目は、TeamsっていろんなOffice 365とか他のサービスと連携してるので。
ですね。
なんで、そういった他のサービスのコンテンツをTeamsで表示するとか、そういうことが起こり得るんだよね。
で、そのためにそういう各サービス横断できちんとこのユーザーは認証されてるかどうかっていうのは確認する必要があります。
ということで、それをクッキーのサイト情報を使って認証トークンをやり取りすることで実現してると。
で、この方式自体は別に問題はなくて、いろんなところがそういう方法を使ってるんで、これは別に問題ないのね。
なんで、それが1つポイントとしてあって、で2つ目のポイントは、クッキーで送るデータだから、
通常であればクッキーを発行したサイトに送信されるのは限定されるわけで、今回の場合でいうと、
Teams.Microsoft.comっていうドメインだけに限定されるから、他に飛んでっちゃうことは当然ないわけで、それは問題ないはずだったんだよね。
ところが、今回見つかった贅沢性というのは、組み合わせで、1つは認証トークンを使ってるっていうのに組み合わせたのが、
サブドメインの乗っ取りっていうのがあって、これができてしまったというのが大きな問題点で、
今回の例だとTeams.Microsoft.comのドメインの中のいくつかのサブドメインが第3者から乗っ取り可能でしたと。
発表したこのサイバーアークは具体的に2つ挙げてて、これMicrosoftに通知済みで修正済みなんで、もう悪用できないんだけど、
そのサブドメインを実際に乗っ取ったとすると、攻撃のシナリオはどうなるかというと、
今回の場合にはユーザーがクリックとかしなくてもいいように、画像のファイルを送って見るだけでエクスプレートが成功するようにしてるんだけども、
具体的には攻撃者側はまず乗っ取り可能なサブドメインを見つけて乗っ取りますと。
乗っ取ったらそのサイトに攻撃用のファイル、今回はGIFファイルを使ってたけど、ファイルを設置しますと。
45:06
その次に攻撃者はターゲットのユーザーにTeams上のチャットでメッセージを送りますと、その画像のファイルを送りますと。
なのでこれ前提としてTeamsを使える人じゃないと、まず攻撃する側も乗っ取れる側もTeams内でなきゃできませんというのがありますと。
ただTeamsって基本的には一つの組織の中で使うもんだけども、ゲストユーザーっていうのを呼べる機能があるから、スラックとかでもあるよね。
なので外部の人が必ずしも攻撃できないってわけじゃないと。
で、その攻撃ファイル、GIFのファイルを送られたユーザーはそれをTeamsで開いて、その画像を見た瞬間に、その中に乗っ取ったドメインのリンクが含まれていて、クッキー情報が裏で、
知らない間に送信されて、そこに含まれている認証統合が盗まれて、一旦認証統合が盗まれちゃうと、それを使って攻撃者側はアカウントの乗っ取りができますよと。
その後は詳細省くけども、そういうシナリオだったと。
で、聞けばなるほどなと思うけども、やっぱりポイントはそのサブドメインの乗っ取りってところで、そんなに簡単になんでできるんだ、っていう風に思うんだけど、
実はね、これそんなに難しくなくて、今回のもどうもそのタイプっぽいけども、実は前からマイクロソフトとかいろんな大手のサイトは、
このタイプのサブドメインの乗っ取りが可能ってあちこち言われてるんだけど、
例えばね、過去に使ったキャンペーンサイトだとか、いろんなたくさんのドメイン用、こういう大手のサイトは持ってるんで、
その中の一個のサブドメインとかっていうのを使い捨てっていうか一時期だけ使っていて、その後更新を忘れてたりとかすると、
そのサイトを例えばCネームとかなんかで他のサイトに、そのリンク先のドメインの更新を忘れちゃって乗っ取られたりとかね、
そういうことが起こり得ると。なのでマイクロソフトのサイト自体が乗っ取られたわけでもなんでもなくて、
DNSの設定ミスとかあるところを狙って、その先のドメインがもう既に更新されてないからドロップキャッチでこれを奪いましたとか、そういうパターンなんだよね。
このパターンの乗っ取りは実はそんなに難しくないということがいろんな事例から分かって。
見つけさえしてしまえば。
うん。今回のまあどうもそのパターンだったみたいです。
なるほど。
2個実際にそのブログには紹介されてて、もう既に直ってますって話したけど、見たら3月の末にこのベンダーが報告をしたタイミングでなんかDNSのレコードが書き換わってるんで、
48:00
その連絡を受けてすぐ直したんだろうね。
ですね。
そんな感じでちょっと面白いなっていうか。
面白いですね。面白いしなんか実際に被害というか影響が出た事例ではありますよね。
影響というか、POCとしてこのベンダーは可能ってことを示して、実際に悪用される手前に多分直ってるんだとおそらくね。
おそらく思うけど、もしかしたらこのベンダーが報告する前に気づいて攻撃してた事例が全くないかっていうとそこは分かんないね。
なるほど。
分かんないけど、まあそういうことがありましたというのがあって。
ちょっとね、ドメインの更新とか忘れるとかよくある話だし、あとDNSの設定も直し忘れるとかね。
そうですよね。
そんな特別な話でもないんで、これはちょっと自分たちも注意しなきゃなって思いながら見てたんだけど。
たまにあるのは特別なイベントとか宣伝、さっき言ったCMみたいなそういったもので、そのためだけにドメインを取って、
ほとぼり冷めたらそのドメインを更新しないように、お金かかるんで、更新せずにほったらかして、
ドメインパーっていうのかかんないですけども、そのドメインを他の第三者が取ってドロップキャッチみたいなそういう事例は本当よく聞くんですけども、
最近はそのCネームというかちょっと気が緩みがちなところもちゃんと気を配らないとそういうことにつながりかねないっていうのはちょっと注意しないといけないのかなと。
特に大手だとかなりの数設定していそうですからね。
そうなんだよね。
当然そうですけど。
こういうところはちゃんとそういう運用をやってるんだと思うけど、それでも漏れがあるっていうことだからね。
そうですよね。
なかなか面白い。これを実際に攻撃できるようにシナリオを考えて悪用するってところはおそらく攻撃者だったらやるだろうから、今回報告したところもよく気づいたなと思ったけど。
良かったですね、悪用される前に。
僕はTeamsもよく使ってるんでね、大丈夫かと思って。
そうですよね、365を使ってる人だったらかなりの人がTeams使ってるんじゃないかなと思う。
そうだよね、今ユーザー多分増えてるからね。
ですよね。
ちょっとこういうのにも注意しないといけないかなと。
幸いというか3月末にマイクロソフトに報告をしてすぐに修正されたみたいなので、その辺の対応は機敏で良かったんじゃないかと思うけど。
はい。
そんなネタがありましたということで紹介しました。
これあれですね、じゃあもう悪用はできないんで、かなり激しい見出しの記事とかもちょっとあったりはするんですけど、事実上の影響は今はもうないだろうということですよね。
51:09
特にないと思う。
ですよね。
ニュースがこのVendorGumブログで公開した時点ではもう修正されてたんで。
当然そうですもんね。
なるほど。
今某社の記事ランキングトップ1位がまさにそれの話題なんで。
本当?
はい。
IT Mediaとかが今1位ですね。
IT Mediaは結構記事のタイトルが激しかったんで注目を浴びるのかなとは思うんですけど。
あれかな、注目度がTeamsということで高いとかいうのもあるのかな。
高いですね。
ほら、Zoomとかも今注目されやすい。
今みんな使ってますからね。
逆にこの辺みんなアンテナ高いんだなっていうのもちょっと安心はしたんですけど。
今までだったらそんな。
多分Teamsの脆弱性とかあんまり注目浴びないですよね。
今だけだよこれ。
そんなことないですよ。
そうですか。
でも注目されてきんと対応されてるっていうのは良いことなんで。
ユーザー今回はあんまり影響なかったんだろうけどこういうニュースも引き続き注目してほしいし。
僕らも取り上げたいなと思ってます。
ぜひぜひ。
そんな感じで。
ちょっと2人だけだとあれですかね。
オチが出てこない感じですかね。
セミナーでは2人でもやってるし別にそんなに珍しくもないけど。
久しぶりにやったら3人いると誰か2人が喋ってるときってちょっと休めるけど、休めないねこれね。
ずっと走りっぱなしになってる感じになってて。
当たり前だけど。
休むなって感じなんですけど。
俺も考えたら1回ポートキャスト1,2年前くらいかわせたけど体調悪くて収録を休んだことがあるから。
その時は2人だったよね確かね看護さんと辻さんと。
辻さんと私だけであってその後ねぎさんに怒られるっていう。
そうだね。
これでいろんなパターンやりましたけど。
今回限りだといいですけどね。
次回は辻さんも含めて3人でやりたいと思いますけども。
ぜひぜひ辻さんと一緒に。
これまた来週かな。来週ってかあれかゴールデンウィークがあるんだよな。
そうなんですもう今休みですよ世間は。
来週はたまたまちょっと中休みって感じだけど。
休んで連休にしてる人も多いだろうね。
そうですね。
ポートキャストって連休中でもみんな聞いてくれるのかな。
どうだろう聞いてくれるのかな。
今までだったらさ通勤時間のお供にとかさ。
そうですよね今何のお供にしたらいいんだろう。
54:01
最近は俺リモートワークの気分転換にどうですかとか言ってたけど。
BGMに。
そんなBGM誰かわかんないですけど。
また近いうちに3人でやりますか。
ゴールデンウィークスペシャル版ということで出してもいいと思います。
ゴールデンウィークスペシャル?
あるかもしれないね考えますかなんか。
ぜひ。
じゃあ今日はそんな感じで。
そんな感じでまた次回。
ありがとうございました。
