1. セキュリティのアレ
  2. 第28回 壺割りウォーキン!ラ..
2019-09-30 1:13:55

第28回 壺割りウォーキン!ランサム愛とエラスティックサーチと時々DoH!!! スペシャル

00:01
壺割りウォーク? 壺割りウォークです。
ひたすら壺割りながら 元々ドラクエってそういうゲームだっけ?
ひたすら壺割ったり棚あげたり ガンス開いたりするゲームです。
窃盗じゃないですか? 元々そういうゲームだった?
引き出しとか壺の中とかを見て 不思議なコインや小さなメダル
それを取ってみたいな要素はあったけど それをするのがメインのゲームじゃない?
これ壺ですよ。 ヒールド状にあって壺割るんですよ。
アイテムも入ってるんですけど ヒットポイントとマジックポイントが回復したって言って
目的は何なんですか? 目的はアイテム入手して
最終ラスボスとか? 一応シナリオがあって
目的地に向かって歩いて行って 目的地でシナリオを進める
目的地って住んでる場所がみんな違うから それぞれ違うわけ?
自分で設定できますね。 好きな場所の候補が出てくるので
近くの人から見て距離10km圏内で
カヤゴさんだったら今のクエストは どこに向かう?
今だと旧作シリーズのシナリオを リバイスしてやってるやつがあるんですけど
そのシナリオで次向かう目的地はどこですか?
今私は設定してるのはここなんですけど
ちょっとここ行きづらいってなった場合は 別の場所に置き直しっていうのもできるので
リアルな地図とマッピングされるんだよね? なってます。
なので実際自分が地図を歩き回って 街とか城とか洞窟とか
モンスターとのエンカウントとかで どういう感じなんですか?
いきなり出てくるんですか?
普通に地図上にモンスターが歩いてるんですよ
そいつの場所まで行けばバトルできる?
そうですね。触れるまではいかなくていいんですよね
若干この今枠がヒョンヒョンって出てるんですけど
自分のアバターから出てる円の中に入ればいい?
今エクスクラメーションマークが少し出てるんですけど
この状態でタップしてもらえれば戦闘に入る
ここから先も普通にドラクエなんですよ
戦うみたいな?
オートバトル
オートはガンガン行こうぜとかそういう?
一応作戦もして
一人だけど仲間はいるわけね?
仲間は4人まで
前作、似たような前のゲームを勉強してるのが
ウォークモードってあるんですよ
ウォークモード?
ウォークモードをオンにすると自動的に壺割って
ボットじゃないですか?
モンスターがさっきの近く
画面見ながらやらなくていい?
一応スマートフォンを傾けると画面が暗くなる
電池の消費も減るっていう
ただ歩きながらずっと上がりっぱなしなわけね?
03:03
バックグラウンドで実行ってできないみたいで
オートモードでアイテムが割り
敵は倒し
ずっとフォアに置いておかないとダメなんですか?
アプリはずっとフォアで
そこは違うんですね
ポケモンGOはバックグラウンドに回しておいて
アイテムを取るための
腕に巻くやつあるんですけど
時計みたいな
ここをブルブルって押せば
モンスター捕まえたり
アイテムをゲットしたりできる
アクセサリーと連動でできる
アプリ単体ではできないでしょ?
アプリ単体ではできないです
まさにドラクエだね
普通にドラクエなんですよ
ドラクエ好きな人はハマって
課金をすると無茶苦茶有利になったりするんですか?
なりますね
装備を充実させていくための
アイテムを獲得する手段が
基本ガチャなんですよ
またガチャか
ガチャの確率も渋くて
良いのが出ない
良いの聞きたいなって思っちゃうんですよ
何連みたいなやつしないとダメだね
モンスターって仲間に出てないんですか?
今のところそういう要素ないです
ただモンスターを倒し続けてると
モンスターの心というアイテムが獲得できて
それをキャラクターにそれぞれ装備させるのはできる
同じモンスターを何回も倒してると
その心を
カリオストロの城じゃないですか
あなたの心ですね
何やってんだよ
すごいぶっ込み方してきましたね
カリオストロの城ここで出てくるって誰も思ってない
本当ですか?そんな感じですよ
始まってますよ
どっから?
めちゃめちゃ始まってますよ
どっから?
ドラクエウォークだけで6分喋ってます
最近ブログ更新しぶってる量バレますね
今日はドラクエウォークの話をする?
ブログ書いた?
びっくりしました
忘れてたんじゃないかぐらい
急に
その前ぐらい全然書いてないとかまた怒られたから
怒ってないですよむしろ書き続けないでほしい
ちょっと書こうかなと思いついて
たまたま調べてたところがちょうどネタとしてよかったんで
さらっと書いたんだけど
今日はそんな話してるんですか?
違います
違うんかい
前回からそんなに相手あかずにいい感じで
ネギスさんのアシストがあったから
ネギスさんが忙しくなる
10月入って忙しいんで早めにやろうかなと思って
06:03
カナダ行ってきたんですよ
それは何しに?
ポケモン
ドラクエの次はポケモンかよ
そういうチャンネルですか?
スマホゲー
スマホといえば見たことないデバイス持ってるじゃないですか
ボトムス
ボトムス知ってる?
ネットショルダーとか出てる
タピオカがついてる
タピオカじゃないよ
タピオカスマホ
持ってるでしょ?
何を?
スマホ
スマホ
カメラ3つ
iPhone?
iPhone 11 Pro Max
いっちゃうやつですか?
iPhone8
でも8はいいよ今安くなってる
そうなんですか?
11が出て値下げして
それいつものやつですか?
そうそう
でも8でも十分だよね
全然問題ないです
性能的にはね
iOS新しいの対応してるし
また全然いけるでしょ?
いけるいける
まだちゃんと使えてないけどね
でもいいよ超広角レンズついて
あとナイトモード
ようやく他のアンドロイドの最新のやつに追いついた感じ
僕のピクセル
それは知らんけど
でもピクセルもうすぐ出るじゃん
出ます
来月かな
早いなこれ早いな
それピクセル3だっけ?
それも結構カメラいいよね
これは出た当時のiPhoneよりも良かった
ようやくそれに追いついた感じ
追いついたか追い越したか分からないけど
そういう評判だよね
スマホ選ぶときって何を基準に選ぶんですか?
iPhone
すごいですね
世の中には2つのタイプのスマホしかないんだ
iPhoneとそれ以外だみたいなやつ
iPhone以外はスマホと認めないね
これ何人か敵に回しました
ここしばらくずっと毎年iPhone買ってるからね
毎年ってすごいですよね
iPhone以外のスマホもうしばらく使ってない
だいぶ前だけどGoogleの
何だっけピクセルの前のやつ
ネクサス
あれは安くて良かったから
僕もネクサス5
2台持ちで持ってたんだけど
今はもう持ってないので
スマホ選ぶ基準はiPhoneかiPhoneじゃないか
そうじゃなくて
iPhoneの中でもいくつかラインナップ出てくるじゃないですか
いっちゃんええやつ
iPhoneのいっちゃんええやつってことですか?
基準じゃなくないですか?
大きさは別に大きくなくてもいいんだけど
今回ちっちゃいので良かったかなと一瞬思ったんだけど
でも画面とかさ
なぜいっちゃんええやつかっていうと
画面とかね
デグでしちゃうと多分ダメなんだよね
09:00
見慣れちゃっててあまりにも
例えば今回も11って
なんとかディスプレイとかって
名前ついてるから一応液晶なんだよね
11 ProはUKEL
その前からUKEL
UKELの画面になれちゃうとディスプレイ
液晶だと違和感あるんだよね
すごいですね
液晶とUKELって
人間の慣れって怖いよ
両方どっちも綺麗なんだよ
どっちも綺麗なんだけども
見慣れてる方にやっぱ慣れちゃうっていうかさ
だからね
いっちゃんええやつじゃないとちょっと
ダメ
でもお高いんでしょ
いくらぐらいするんですか?
僕もiPhoneを自分で買うっていうあれがないから
今回はこれまた遠藤くんのせいかな
去年よりもちょっと安かったよ
そうなんですか
いっちゃんええやつでも去年より1万ぐらい
ここですからね
ここちょっと下がってる感じ
たぶんそんな世界
確かにね
iPhone高くなりすぎたよね
このままいくんかな
今15万ぐらい
毎年買ってるし
さすがにどこまでついていけばいいのかわからないよね
どこまでもついていくんでしょ
予約と同時にポチる癖がついちゃったからさ
今更
今更で選んないですよね
今年は買うのやめるとかできないよ
MacBook Airより高いですからね
そうだね
MacBook Air今1000ドルぐらいでしょ
こうやって1300ドルとか
パソコンですよね
値段だけ見たらね
でもiPhoneだけじゃなくてさ
昨日だか一昨日だか出た
見た?
Xiaomiだかなんだか
はいはいXから始まるやつですよね
ぐるっと画面が裏まであるやつ
30万ぐらいするんだよ
スマホとか
どこに行こうとしてるんでしょうね
サムソンのやつもようやく出るらしいけどさ
折り畳みのやつ
あれも20万ぐらいでしょ
もうわけわかんない
折り畳むっていう時点で
ノートパソコンちゃうの?
スマホを折り畳む必要あるのかな
わかんないけどね
ちょっとわかりません
いろんなラインナップ出していかないと
ダメなんじゃないですか
そうかもね
同じようなやつばっかじゃないですか今
僕にとってはiPhone以外は全部一緒です
今日攻めますね
iPhoneの話はこれぐらいで
セキュリティーの話する
よしよしないつもりです
聞いてる人いなくなっちゃうよね
セキュリティーのあれだから
今のところスマホのあれです
今のところスマホ系のあれと
iPhoneのあれですか
今日鶴さんは何話しますか
僕ですか
僕やっぱりこう
ランサムウェア好きじゃないですか
そうだね
ミスターランサムウェアって呼ばれる
僕らランサムウェア好きすぎだよね
ランサムウェア好きですね
ディーロスぐらいですか
愛があるよね
愛がある
そんなランサム愛
ランサムの話で
ちょっと9月ぐらいの
レポートが出てたやつ
レポートのサマリー
12:01
みたいなやつが
IBMから出てて
IBM
セキュリティーって書いてたんですけど
IBMがモーニングコンサル
モーニングコンサル
っていうところに依頼して
調査したやつなんですよ
よくあるよねレポートの調査に
別かのところ
例がどこかに出すみたいな
とかあったりするんですけど
地方自治体が
ランサムウェアで感染した時に
ランサムウェアの攻撃者に
要求に応えるべきか
みたいなことを意識調査
みたいなのをしてて
イノシロ金を払うべきか
払わぬべきか
言えてないね
カットしないですよ
そのまま言ってきますよ
という調査をしました
農税者に聞いて
アメリカの
いろんな規模の市町村の
2200人の人をピックアップして
聞いてるんですよ
このポッドキャストを聞いてる人には
お馴染みだけど
今回から聞いた人もいるかもしれないから
一応言っておくと
アメリカの地方自治体は
頻繁に狙われてて
標的型攻撃に
あちこちで地方自治体のシステムが
ランサムウェアに感染しちゃって
イノシロ金を払ったり
払わずに
莫大なお金かけて復旧したり
ずっとやってるんだよね
そういうのが続いてるからの
調査だよね
日本とかだとあまりピンとこない話なのかもしれない
だからアメリカの話だよね
調査のレポート自体の
本編というのはおかしいですけど
それ自体は公開されてないというか
サマリだけなのね
インテリジェンスサービスみたいな
情報提供サービスに入っている人に
その一部なのかもしれないんですけど
そこを見ていると
特に僕の見えた範囲では
標的型のランサムと
バラマキみたいなやつが
メールで来たりするようなものと
区別しているかどうかはちょっと分からないんですよ
でも自治体の
システムに
感染した時に払うべきか
っていう話だから
標的型だよね
この記事の中とかで取り上げられているのが
いろんな州
今まで標的型にやられた州
リュークとかそういうのにやられたところの
州のことが挙げられてはいるんですけど
これ僕ねずっと
寒さぶの頃に
僕よく事例で挙げる
病院あるじゃないですか
ハンコク病院
ハンコク病院は400万円ぐらい
当時のビットコインのレートで支払って
4日間ぐらいで復旧してるんですよね
木曜の夜に認知して
日曜日には戻って
月曜から通常業務ができている
同じぐらいのタイミングで
アトランタが
アトランタ市が
寒さぶにやられた時には
支払いをせずに
1ヶ月ぐらい経っても
完全復旧できてなかったんですよね
最終的にかかったお金
15:01
復旧なんとか
頑張って復旧しようとしたりとか
再発防止策とか
そういったやつをしていくらかかったか
10億円以上なんですよ
日本円にすると
水代金の金額はその前のハンコクと
ほぼ同じくらいの金額だったんだけど
結構払わなかったんだよね
得られた規模的にも結構似てるんですけど
僕その事例をずっと見てた時に
思ってたのは
支払うっていうのって
反社に
反社改正力のお金を落とすことは
よろしくはないじゃないですか
でも一方で
払わずに元に戻そうとする
対策をするっていう風にするのって
反社にはお金落ちないですけど
税金
じゃないですか
どっちが正しいかってのは
僕には分からないですけど
納税者からすると
そんなお金を
思うんじゃないかなって
感覚的には支払った方が
安いわけじゃないですか
全然桁違いに安いわけじゃないですか
っていう風なことを思ってたら
結果逆だったんですよ
60%近くの人が
支払いに応じるべきではない
って言ってるんですよ
ということは
つまり
安い金額で
積む可能性があったとしても
みのしろ金は払うべきじゃないと
って言ってるんですけど
6割が?
6割近くが
過半数がね
僕逆だと思ってたんですよ
僕もちょっとそれ意外だな
これでも
レポート読んでないから
あまり勝手なこと言えないこともあるんですけど
聞かれた人たち
納税者の
サンプルされた人たちが
ちゃんと理解した上で
答えてるかどうかちょっと怪しいかなと思いました
例えば
いろんなニュース見てるとね
払うべきではないとか
払っても元に戻ってくる保証なんてないんだ
っていう風なことを
吹き込まれていると
払っていると
だったら払わないほうがいいよね
取られるだけで損やし
っていう風に思っているんじゃないか
もう一個は支払金額と
復旧にかかる金額
っていうものをちゃんと明らかにして
インタビューしてるのかな
背景を知っているか知ってないかで
ちょっと考えが変わるかもね
そこがちょっと
このサマリーからは全く読み取れなかった
どういうアンケートを聞いたのか
また本編には書いてると思うんですよ
例えば
こういうケースが
10億復旧にかかります
400万円ぐらい払えば
事例もあります
あなたならどっちを
押しますかって言われたときに
っていう風な質問をしているかどうか
ちょっと気になったかな
こういうので聞き方によって
答え多少バイアスかかって変わるからね
どういう風に聞いているか
ちゃんと詳しく知らないと
18:00
どう判断していいかわからないけどね
そこがちょっとね
そうだとしても
どういう聞き方かわからないにしても
でも6割の人が払うべきではないと
回答しましたと
その結果興味深いね
だからこのレポートから
読み取れる部分を
ガッと取ってみると
払うべきか払わないべきか
っていうとやっぱり払わないの方に
倒れるのかな
そこは読み取れたかなという感じですかね
おそらく特命での
調査だろうからさ
払うべきって言っても
責められないんだろうけど
それでもやっぱり払うべきじゃないって
考える人の方が多数を占めるんだね
そうですね
ちょっとなかなか興味深いなとは
思いましたけど
実際に自分がこういうアランサム屋の
事例とかを知った上で
自分が納税している
ところが
同じような被害にあったとしたら
どう考えるかな
難しい問題ではあるんですよね
難しいよね
答えはないんでしょうけど
そうなんだよね
どっちにすべきって言いづらいんだけど
さっきのアトランタ州のことだし
今年に入ってきたフロリダ州の事例とかでも
複数の市が
支払いをしているんだよね
議会が払ってもよい
という承認をした上で
予算を通して
払ってるんだけど
ちょっと話それるけど
払いやすい環境も
できつつあって
この間
そういう話も少し
したかもしれないけど
交渉を
交渉を
被害者に代わって
犯人とやってくれる専門業者がいる
というのと
もう一つ
保険
保険で下りるのがあるって
これは前に言ったけども
保険会社がそれに
一枚噛んでくるというのがあって
保険会社も
その被害企業と
同じで
身のしろの金を払わずに
復旧した場合に
かかる保険金額の方が
身のしろの金を払った時に
かかる保険金額よりも
高いわけ
圧倒的に
だから保険会社も
身のしろ金を払ってくれた方が
保険金の支払いが安く済むわけ
なので
この間ポリティコという
メディアに面白い事実が出てて
それちょっと
紹介しようかなと思ったんだけど
フロリダの事例で
フロリダ州の支払った事例
では
保険会社が専門業者に
対して
交渉を依頼して
身のしろ金の要求金額を
半額以下に下げさせて
攻撃者から
した上で
21:00
保険金で支払っている
例えば400万円だったものが
200万円になって200万円を
保険会社は支払っている
もし身のしろ金を支払わなかった場合に
おそらくもっと高い金額の回復費用が
かかっていて
それも保険で賄われるわけ
だから
そういう専門の
交渉する業者と
被害者も安く早く復旧できるし
保険会社も
安く保険金
済ませられるし
攻撃者も払ってくれた方が
嬉しいし
誰も損しないわけ
この4社は
被害者、攻撃者、専門業者、保険会社
損しないとは
本当に最小限で
住んでいると
もちろん最初に被害に
遭わなければこんな
余計なお金はいらないんだけども
遭ったという前提から
被害に遭ったという前提で考えると
誰も損しないから
身のしろ金を支払った方がいい
そういうインセンティブが生まれちゃっている
だから
そういう一方で環境があって
そういうのを知らずに
回答しているかもしれないけど
一方で
多数の人たちは支払うべきではないと
言っているので
矛盾というか
相反している感じがするな
でも払わなかったら
被害を受けた自治体は
貴重な税金から
多額の復旧費用を支払うわけでしょ
しかも行政システムが止まっている時間も
払わない方が長いかもしれない
そうすると市民への影響とか
なんらかあるんだね
根本的にというか
最終的に被害を受けるのは
市民とか
税金を支払っている納税者なんで
そこが
ギャップがある
面白いね
これは僕が
支払った例
支払わなかった例
同じマルウェアにやられた
同じ規模をやられてというものを
見ているから思うだけなのかもしれないけど
でも言い方変えれば
支払った方が安く済むから
その方がいいよと押すつもりは
ないんですけど
ちゃんと判断しないといけないことだと思うんですけど
やっぱりこういう人たちにも
いろんな事例を
知ってもらった上で判断してもらう
ということをしてもらうためには
情報をちゃんと伝えていかなければなと
改めて見てて思いましたね
そういうバランス大事よね
どこだったかな
どっかのベンダーがランサムウェアに感染したときの
対応マニュアルみたいなものを出しているんだけど
それを一目でいいなと思ったのは
両方同時にやれって書いてあって
両方というのは
支払い
支払った場合の
支払いの
やり方というかフローと
支払わなかった場合
支払いがうまくいかなかった
鍵が手に入らなかった場合の
両方やれと
それを並行してやれと
最終的にどっちにするかという判断をする
ところを作れと
24:01
そういう対応フローを公開している
ベンダーがあって
分岐して両方で並行して進みながら
どっかで一定に戻ってくる
もちろん操作的に両方同時に対応って
難しいかもしれないけど
でもその方がいいよと
これは実践的でいいなと
確かにそうです
もしかしたら
バックアップから復旧とか
1からもう一回復旧とか
費用どこでなくてできないかもしれないし
当てに済んだということですね
払わなければいけないかもしれないから
そっちも考えておこうと
両方をちゃんと検討しろと
タイミングは運もありますけど
走行しているうちに
マスターキーみたいなのが出てきちゃうかもしれないし
色々可能性はあるから
両方とも検討して
どっちにすべきかというのを
判断した上でやるべきだと
そういうのが書いてあっていいなと思ったね
改めて
専門家のための
専門家による
専門家のセキュリティーじゃダメなんだな
って思いましたね
こういう意見とかっていうのはやっぱり
政治とかにも
影響してくるわけじゃないですか
いつの日かわからないですけど
政治家がランさんのことを取り上げて
こういうことをしますみたいなことを
言うかもしれないですよね
日本も別に
明日同じようなことが起きてもおかしくないわけですから
ちょっとこれを継続してね
継続して
継続して
言っていこうと
久しぶりに聞いた
このレポート
トーンは全体的に
支払ってはいけない
っていうような
少し透けて見える感じの
レポートを投げてやってるんですけど
内容は
これ見てご覧になりましたか?
内容面白いなと思ってて
どのサービスだったら最高いくらまで
払うべきか
みたいな
細かく項目で
例えば
エマジンシーサービス系だったら
それこそ
確かにね
それでも3割以上の
33%の人は
払うべきじゃない
緊急を要するものと
医療とか人命に
関わるところとか
あるよな確かに
全てによって
3割以上は払うべきではない
一番下のやつは選挙系のやつですよね
オレクション打ったよりも
そうですね
面白い
レポートですね
面白いなと
日本でやったら
どういう結果が出るか
日本でどうだろうな
被害事例が
あんまり一般的じゃないからな
やられた組織
自治体みたいなやつがすごくいい例だと思うんですけど
やられた組織があって
そこの人たちだけが困るわけじゃなくて
市民
納税者が困るみたいな構図って
そんなにないじゃないですか
納税者って
こんな言い方していいかわからないですけど
27:01
ある種の出資者みたいなところありますよね
それの
納税をしていることによって
それの恩恵を得ているわけですから
その利害関係
みたいな図ってなかなか
あんまり他のパターンだとないんじゃないかな
企業とかだと
あんまりね
ステークホルダー株主
って言うかもしれないですけど
そこまでまだ話が
及んでない気がするなまだ
どうですかね
たぶん払うべきじゃないのほうが
日本でも多そうな気がする
やっぱりそういう感じじゃないですか
この話だけ聞けば
戻ってくるのって言ったときに
戻ってこないかもしれないです
それはあかんじゃん
悪い奴に金払ったらで済んじゃう気はするかな
まだ
まだそういう議論できるような
土台ができてないかもしれないと思います
まだ
幸か不幸か被害事例もそこまでないしね
国内は
まだまだこれからかもしれない
これからは来なかったほうがいいのかもしれないですけどね
もちろんそうではあるんですけど
来た時の備えはやっぱりしっかりしておかないといけない
継続して
継続して継続していきましょう
継続しかしてない
継続だけしてます
何を継続しているのか
それでも人生は続いたのです
人生は続いたのです
みたいな感じのやつです
そんな
次の話
いきますか
なんか
かんこさん
今年
今月
控え気味の
控え気味とかあるの
ちょっとごめん
今月はアグレッシブに行くぜ
とかそういうのあるわけ
評価結果みたいな
なんかあるの
8月は結構書いたんですよ記事
ずっと書いてる
17件書いたんですよ
8月だけ
2日に一編くらいのペースで書いてるの
すごい
何ヶ月前に書いたの
ごめんなさい
怒ってないって言いましたけど
怒られた
完全に怒る
数が大事じゃないの
アングリーバード
ほんとだ
怒られたに聞きました
僕も久しぶりに
それがうまいことに
いいなと思って
9月はもう
終わりですよね
そうですね
9月は12件
そんな変わらない
すごいね
そんな中で
ちょっと気になったというか
それなりに
反響もあった記事っていくつかあって
特に今月は
一番新しくないかな
前回
前々回の記事かな
あの
前々回
もういいからそれ
テレビとか
30:01
新聞でもあったかな
なんか
ある国の
全ての国民の情報が
漏れちゃったんじゃないかっていう話が
それは一箇所から
一箇所から一つの国から
漏れちゃったんじゃないか
っていう話が
メディアとかでも
サイバーとかネットとか
それ以外の普通のメディアでも報じられていて
いろんな方がもしかしたら
見られたかもしれないんですけど
どこの国かっていうと
エクアドル
っていう国
エクアドルってどこだっけ
亡命したとこですよ
そうですね
中南米
あの辺だっけ
アサンジ師匠が
アサンジが亡命したのはロンドンの大使館だから
エクアドルには行ってないから
エクアドルの
大使館
一瞬だから
このニュース見たとき
アサンジ師匠
入ってる
ちょっと待って
アサンジ師匠?
スルーしちゃったけど
アサンジってラクオワっぽくないですか
コサンジみたいな
笑いますよ
老英帝アサンジ
老英帝アサンジ
ドンドンみたいな
次行こう
行きましょう
やっぱり
件名だけ見るとすごい興味湧くわけじゃないですか
なんで
どこから
元ネタとしては
セキュリティ
リサーチの会社
VPNサービスの
レビューをメインで行っている
VPNメンター
会社なんですかね
グループ
そういうの結構ありますよね
どこのVPNなのか
そこが
調べた内容が
元ネタではありまして
そのVPNメンターの
発表の中で
公開状態の
エラスティックサーチのサーバーを
見つけました
そのエラスティックサーチの中身を
見ると
エカードルの方
国民の方の情報が
大量に含まれていたと
見られるという話で
エカードルの関係者の方と挑戦を
されたという展末が
書かれていまして
これが結構
展末を見ていると結構ひどくて
ニュースでも出ている通り
件数もそうですし
中身も結構
機微というか
いわゆる
個人の情報が
一通り入っているみたいな
ぐらいのもので
これってそもそもエカードルの政府が管理しているデータなの?
そこからなんですけども
VPNメンターの調べた内容だと
大雑把に見て
33:01
政府
国がソースとなっているものもあるし
プライベート
民間系の情報を
元ネタとするものも
含まれていて
実際そのインデックス
公開されているものを見ていくと
全国民というのが
入っているものっていうのが
すごいですね
インデックス氏名
それがだいたい
2080万件ぐらい
エカードル国民の総人口が
1600万
1600何十万人
2000万人もいないの
古いデータ
死亡されている方と
含まれている件数として
それぐらいの数なんですが
それ以外にも
自動車とか
銀行とか
そういった情報とかも
同じイラスティックサーチのサーバーの中に
入っていて
いやらしいのが
エカードルはどうも
日本のマイナンバーみたいに
国民一人一人に識別番号を
付与する
仕組みになっている
そうで
その番号が各インデックスに
入っていたと
キーとして
全員になるんで
例えば
全部寄せられちゃうじゃん
そうなんですよね
寄せまくりですよ
どこに住んでてどれぐらいの稼ぎがあって
どういう自動車を持っているとか
それが割とつまびらかに
されてしまう
ダメだ情報じゃん
そうですよね
それが全員
っていう
多分全員だろうなという
ところで
非常に
情報としてもまずいもの
だったんですけども
なんでそんな公開されたものが
あったのかという話なんですが
どうも
データの
コンサルティング事業をやっている会社が
同じエカードルの中にあるらしくて
そのエカードルのデータコンサルティングを
しているビッグデータ解析とか
いろいろやってるんでしょうね
その解析をしている会社が
なんか
サービスの提供をしている
ようなそういう
自分の分析したデータとかを見れるような
カスタマー向けに見れるような形で
提供しているような
そういうサービスをやっているっぽかったんですけども
そこら辺のデータの元ネタに
このエラスティックサーチで
結果公開されていたものが
使われていたんじゃないかと
いうところ
今疑われている
当然やっぱりその持っていたデータっていうのは
まずいものというか
法的にグレーというか
黒に近いものという話が
持っていちゃいけない
持っていちゃいけないはずだったという
36:01
そういう話も
じゃあ一体このデータはどこから
入手したんだという話もあるわけですよね
そうですね
政府が元々管理している情報を
不適切に公開したというだけじゃなくて
そもそも漏れちゃいけないはずなのに
そうなんですよね
その辺が
今後の捜査で明らかになるんじゃないかと
思うんですが
事案発覚後は
政府当局の対応が
すごい早くて
9月16日ぐらいに
大々的に発表とか報告が
明らかになったんですけども
その翌日
ちょっと時差は
私は計算していないので
当日か翌日かわからないですけども
17日までには
当局の人が
さっきの会社の
経営者宅に
家宅捜索に
いきなり入って
コンピューターさし押さえて
経営者本人も
拘束したと
拘束したと
VPNメンターが
見つけて
政府で連絡するまで
見つけて連絡してからは
対応が早かったと
見つけて連絡する前は
どのくらい公開されてたんですか
VPNメンターは11日に
見つけた時期ははっきり書いてないんですけど
11日に見つけたっぽいような
書きぶりはされていて
その前からずっと公開だったんだよね
それ以前にどれくらいアクセスされてたか
わかんないよね
それは今後の取り調べじゃないですか
悪用されてなければいいけどね
たまたまいい人が先に見つけたとは限らないもんね
ずっと抜かれ続けたかもしれない
そうそうそう
誰も報告しないだろうね
どんどん追加されていってたりすると
隠してずっとちょっとずつ取りますよね
なるほど
これどうなんですか
現地の人たちの反応ってどうなんですかね
わかんないね
どうなんですかね
特にマスコミのトーンとか
マスコミはかなりこれ報じてるっぽいですね
現地の
ある意味これ最後の報道なわけじゃないですか
最後のどういうこと
いやいやいや
だってあれでしょ
これからエクワドルのメディアは
少々の漏洩だったら
報道する意味もないわけでしょ
こんだけ漏れてしまったら
そういう
超えないわけでしょ
わかんない超えるかもしれないよ
超えていきますかね
多分恐らく過去に類を見ないエクワドルの
そうですね
国内でもそういうレベルの
情報類だよねきっと
そうですね
一つのセットとして見ると
世界でも稀に
そうだよね
見る形の
質の悪さだけ見たら
それこそ何千万とか何億とか
39:01
って言う単位では普通に
数だけ多いやっぱりいくらでもあるけど
いくらでもあるんですけど
ここまで正確で
しかもなんかエクワドル国民
っていう形で一つのワンパッケージになっている
セットで
持っていちゃいけないやつってことでしょ
もしかしたら漏れてしまっていたかもしれない
っていうことを考えるとちょっと怖い
この国でビジネスしようと思ったら
喉から手が出るほど欲しい
欲しい
悪い意味じゃなくてさ
いい意味でビジネスしようとしている人たちも
セッティングのデータとして
宝の山じゃないですか
性別年齢どこに住んでいる人とか
家族構成とか収入とかも分かったでしょ
お店出す人にしてもね
ここにこのお店出せばいいとか
分かるわけだから欲しい
いろんな部分的に使えちゃうもんね
ちょっと怖いよね
VPエンディメントは結構データを見つけてすぐ
おそらくすぐにこの問題の
会社の関係だというのは
分かったようなんですけど
そこから先当事者に連絡を取るまで
結構苦労したみたいで
まずメールアドレスと電話番号が
その会社公開されていなかったみたいで
フェイスブック
それおかしくないですか
もともとグレーな会社なんじゃないの
フェイスブックとリンクトインは
関係していると
見られるところの
記述はあったんですけど
当然そこで連絡を試みても
成功はしなかったと
あと最後の頼みで
会社のサポートフォーラム
多分問い合わせはこちらかな
やつで送ろうとしたら
PHPのエラーが出て
ギャグかよ
なので
ちょっともうどうしようもなかったので
VPエンディメントとしては
いきなり当事者に連絡というのは諦めて
エカートロのサートに連絡をして
そこでコーディネーションされたと
そこから
連絡が来て
政府に連絡が来てという形になったのかな
という話ですね
どうなんですかね
これはどういうインパクトがあるんですかね
誰にとって
国民にとって
エクアドルの
いや分かんないよね
このデータを盗んだ人がいたりとか
これを悪用する人たちの
益は何となくいろんなこと
考えられるじゃないですか
益利益は
これは漏れたことによって
脅威となるかどうか
一つは
もともと漏れてたのがおかしいというか
この会社自体がグレーだとすると
この会社は何をやってたんだという話で
それによって
エクアドルの国民が何か不利益を
もう既に今まで
得てあったのかとか
いう話もあるし
あと今回報告があるまでの間に
仮に漏れていたとして
それを悪用されると
今後どんな不利益があるかということですね
何だろうね
気持ち悪さはすごく分かるんですけど
どういう具体的な不利益があるのか
個人情報漏洩事件のとき
いつも思うんですよね
42:01
例えばそういう情報が
裏でやり取りされていて
例えば
今思いつくとしたら
例えば
ローンの審査とかが落ちちゃうとか
例えば
収入とかで
そういう申し込みに落とされちゃうとか
漏洩したことによる因果関係は
本人には分からないかもしれないですけど
そういったことが起きるかもしれない
本来は
普通はそういう情報も調べられるかな
収入情報で調べれば分かるから
例としてよくないか
本来は
分からないはずの情報を持っているがために
サービスを受けられない
というケースがあるかということですね
あるかな
どんなケースがあるんだろうな
結構
VPNメンターとか
そこをもらって一緒に
調査報道していたジーズネットとかで
危惧していたのは
家族の情報とかも
紐づく形で全部漏れているので
その人の子どもとか
未成年者の情報とか
基本的に全部漏れてしまっているので
誘拐されたりとか
あーそっちか
やっぱり地域柄
そういう話もあるので
そういうところとかも
さっき俺が思ったのは
家族構成とかから
差別につながる要素があるかな
というのはちょっと感じたんだよね
出身の
イカードの状況は知らないけど
どこそこ出身だとどうこうとか
あるいは
貧困層とか富裕層とか
そういうのが分かっちゃうと
それによって
今いる環境の中で
いじめを受けるとか
差別を受けるとか
有名になった人の過去とかも
そういう被害は起こりやすいのかな
なるほどな
そういう誘拐とか
直接的なそういうのにつながる可能性もあるか
富裕層の子どもを誘拐するとか
そういうのはたどれそうですよね
そういう心配はある
加工すればそうですね
さっきの話ちょっと戻るけど
実際にそれが漏れていて
悪用され売るのかどうかも
わかんないんだと
ちょっと備えようって
難しいよね
一人一人が国民ができる対策って
あんまりないのかな
漏れてるかもね
という前提で考えるしかない
でも怖いね
いろいろ怖いね
いろいろ怖いね
今回はたまたまエクアドルという
国の国民の情報という
切り口だけども
漏えいに至った原因
エラスティックサーチが
並漏れでしたみたいなことって
割とよく聞くじゃない
他のケースでもさ
他にも漏れたデータの
どれくらい機微かによって
同じようなことって起こりうるし
45:01
今のクラウドのサービス
前世になったからこそ
起きてるっていうか
オンプレの環境では
起こり得なかったでしょう
こういうことは
起きていたのも
エクアドル国内ではなくて
アメリカのホスティング事業者の
ところに置いてあって
政府機関もさ
日本もそうだけども
クラウドのサービスを使う方向に
だんだん行ってるでしょ
その場合でも
そのデータをどこに置くだろう
海外に置くだろう
他の国もいろいろやってんじゃない
規制を設けようとかさ
そうは言っても
クラウドを使うことは
今さら後戻りできないんで
こういう事件って
もっと簡単に仕組みで防げないもんかね
なんで金髪するんだろうね
S3のパケットが
ダダ漏れでしたとか
エラスティックサーチそのまま漏れてましたみたいなのが
エラスティックサーチ自体
今規定だと
そのダダ漏れになるような
そうなんてならないはずだよね
デフォルトの設定は
わざわざ開けて使うような
使い方をしてた
そのままにしてたとか
そういうのを見直す
仕組みとか
定期的にチェックする仕組みがないと
今は
そういうのを専門に
ターゲットに
狙って調べて
Amazon S3とか
調べて報告する
リサーチやってる人たちがいるから
いいけどさ
同じような目的で
悪い人たちもやってるはずだから
どうしたらいいのかな
でもそれ
漏れっていうか
設定の抜け漏れとも
限らないんですよね
グレーなことやってる人が
わざと開けてて
え?
わざと開けてた?
そこから情報を取れますから
みたいなことをしてたかもしれない
そういう情報を引き出せるように
ちょっと考えにくいけど
あり得る
何してるかしか分かんない
そこのサーバーの
エラスティックサーチがどういう風に動いてたのか
気になるな
どこからアクセスした
どういう使われ方をしてたんだろうね
今後そういうの調べられるのかね
調べはするでしょうけど
公開をしてくれるかもしれない
関係者拘束して操作してるわけでしょ
影響も全国民に及んでる可能性があるので
その辺は
説明責任はしっかり果たすんじゃないかな
国民自身が納得しないでしょうし
政府から国民に対して
何か責任のある回答はするだろうね
48:01
ということは
継続して継続して
継続して継続して
継続して継続していく案件です
何を言ってんだお前ら
僕は継続
僕アドルは
継続していきますよ
ちょっとヒリッとするニュースですね
ヒリヒリね
分かれへんことが多い
こういうのも
アドルって言うんじゃなくて
自分だったらって
置き換えて考えないと
対策に結びつかないっていうか
未然にこういうのを防ごうって思わないと
自分たちが被害になる可能性が
全然あるからね
しかも自分ではコントローラブルじゃないところで
起きるわけですからね
そういうのを
仮に今後日本で政府機関が扱う
国民の大事な情報とかが
そういうところに乗っかってきて
外部に露出するようなことって
起こり得ないのって言った時に
じゃあ僕らだったら
そういうことが起こらないように何かできるかなとか
完全にアンコントローラブルかどうかは分からないよね
何かしら働きかけができる
そういうことが
今後起きないようにするためにどうするか
とはいえそういうのがあったら
絶対嫌やからクラウドを使うな
そこの議論はしていかないといけない
そこまでできないにしても
一般の国民としても
そういう不適切な使い方が起きないように
どう監視していくかとか
政府とかそういった
金管企業の活動とかも
適切かどうかっていうのを
どうやってチェックすればいいのとかね
そういう仕組みも必要かもね
そういう問いに応える透明性を
ちゃんと組織は出していくってことも必要ですね
便利にクラウドのサービスを使える反面
そういう使い方の透明性というか
その適切さ
セキュリティちゃんと確保してますとか
皆さんの情報はちゃんと安全ですとか
ということをやっぱり
どんどんオープンにしていく必要があるよね
だからやっぱりあれですよ
脱却しないと
脱却?どこから脱却?
セキュリティ上の理由でお答えできませんから脱却です
そこですか
だいぶそういうのから
離れていかないとダメだよね
なんかWAF入っているのか入っていないのか
分かれへんとかね
確かに
ファイアウォールのルールぐらい公開してもいいと思いますよ
それはどうかと
スキャンした結果
80度443しか開いてませんと
うちはこれ以外で開けません
宣言するわけ
極端なこと言えばそうですね
外から見ても分かる話でもありますよね
そうそう
調べようと思えば調べられるじゃないですか
それを前もって言っちゃえば別に
ある種ボートスキャンの結果は公開情報
なるほどね
アノニマスに貼られる前に貼ればいいんですよ
そんなの価値はないよと
無力化
ある意味は正しいかもね
51:01
そういう
出し方って大事だと思います
そういうのを出しているところを評価するっていうのも大事だと思います
なるほどね
まだ続くよ
まだ続きますから
ちょっとだけ続くじゃんみたいな
ドラゴンボール
あったあった
あったね
ネギさんは?
はい
道具って書いてある
道具じゃねえよ
道具って書いてあるね
確かに
今月ちょっと動きがあった
DOH
DNS OVER HTTPS
使ってます?
使ってないです
僕結構使ってるんですよ
なんで使ってるんですか?
DOH
iPhoneのアプリに
クラウドフレアの
1.1.1.1
っていうアプリがあるんですけど
使ってないでしょ
使ってない
僕こういう新しいもの好きなんで
自分で使ってみて
人柱になるの好きなんで
リリース直後から使い始めてずっと使ってるんですよ
これデフォルトで
DOHを使うんですよ
このアプリ
このアプリ使ってる人は知らないうちに
DOHを使ってるんだけど
今月ちょっと
DOH絡みでいくつか動きがあって
面白いというか
今後どうなるのかなっていうところ
DOHって
そっからですか
そっからですか
そういうポッドキャストじゃないですか
そうだね
確かにね
恐れるんですよ
簡単に言うと
ちょっとだけ背景も言うと
今ってほら
2013年のスノーデイさんのリーク以降が
あれが結構
大きなターニングポイントだったけれども
結構政府とか
いろんなところが
インターネットの情報を見てるし
ユーザーのプライバシーをちゃんと守るためには
暗号化が必須だねって言われて
急速に暗号化して
暗号化して
暗号化して
急速に暗号化が進んでるんだよね
いろんな統計情報とか見ると
例えばブラウザーの
ChromeとかFirefoxとかのアクセスの
8割は
HTTPSになっている
だから暗号化の方が
上回ってるぐらいな感じになってるんだけど
まだいくつか
暗号化十分でないところというか
プライバシーの保護という観点で十分でないところ
いくつかあって
そのうちの一個大きなところがDNSなのね
DNSはユーザー
例えばブラウザーとか
ユーザーの端末から名前を解決する
例えばwww.example.com
っていう名前を
IPアドレスに変換するときに
まず最初にアクセスする
ブラウザーはその後じゃない
ブラウザーに行く手前のところで
名前解決するときに使うDNSが
実は平文のプロトコルじゃない
54:00
そこを暗号化しましょう
っていうのが
それはどこを問い合わせたのか
ということすらわからないようにしようと
今だったら普通
プロバイダーにアクセスをして
プロバイダーのDNSサーバーにアクセスをして
名前解決をしてっていうところを
そこじゃなくて
DNS over HTTPSっていう
暗号化されたDNSプロトコルを
使っているプロバイダーに
わざわざ聞きに行って
名前解決をして
その後ブラウザーで
今度はHTTPSで暗号化して
こうするとどこに繋げにいってるか
どこに繋げにいこうとしてるか
っていうのも含めて全部暗号化されるから
安全だよねと
こういう建前の仕組みで
さっきちょっと僕
先走ってクラウドフレアのアプリの
話をしたけど
クラウドフレアは結構
これを推進している
Googleもそうなんだけど
推進しているベンダーの一つ
2年前に4月1日に
エイプリルフールに出したんで
嘘だろって言われたんだけど
1111っていうアドレスの
DNSのサービスをクラウドフレアが
始めてこの時に
彼らはもうDOH
今日はしゃべんないけど
DOT DNS
TLSっていう別のプロトコルもあるんだけど
目的は同じ
TLSの上に乗っかってるか
HTTPSの上に乗っかってるかの違いだけ
クラウドフレアは両方ともサポートした
サービスを
始めて
アプリも出して
もうすぐ使えるようにってやってる
だけど
クラウドフレアと一緒になって
すごい推進してるのが
モジラ
ファイアホックスのブラウザを
開発してるところなんだけど
先進的なイメージあるな
いろんなテスト的に
やったりとか
最近は結構
プライバシーにすごくうるさい
ところだよね
トラッキングとかをデフォートでオフにしてみたり
クリプトマイニングを動かしてみたり
ブラウザでできることいろいろやってるよね
あとあれね
あの
ハバイウィンポンドのやつとか
そうそう
ファイアホックス
モニター
ハイドマイアスばっかりで
それちゃうやつだな
そうそうそう
ファイアホックスっていう
ブラウザでできることいろいろやってる
その一環で
今月の始め
9月の始め頃に
ファイアホックスで
今月末から
まずはアメリカを中心に
今もファイアホックスのブラウザって
DOHさっき言ったDLSHTPS
サポートして
ネットワークの設定開くと
チェック一つで有効にできる
誰でも使えるように今すでにやってる
だけどデフォートではチェック入ってない
それを
米国を中心にデフォートで有効にする
っていうテストを始めます
これは結構画期的なことで
57:00
ユーザーが意識しなくても
勝手に使ってるっていう状態をテストします
ゆくゆくは
デフォートで全部オンにします
というちょっと過激な
というか先進的なことを
言っていて
おおっとついにそうなるの
っていう感じ
一方もう一個のブラウザのベースは
Chromeもシェアナンバーワンだけど
Chromeはもうちょっと保守的で
同じようにサポートは今してるんだけど
Chromeの78ってやつから
サポートして
同じようにテストやりますって言ってるんだけど
そっちの方はユーザーがもうすでに
DOHに対応している
プロバイダー
例えば今言ったクラウドフレアとか
あと有名なGoogleの
8888っていうパブリックDNS
ああいうのも全部サポートされてるんだけど
ああいうのをすでにユーザーが
使っている場合に限って
ブラウザの設定を
勝手にオンにします
ということを言っていて
そっちはあんまり影響ないよね
元々使ってるんだからさ
それに対してFirefoxは元々の
ユーザーのOSの設定が何だろうが
デフォルトでオンにしますと
テストをしますね
テストをしますって言ってて
これ結構
いってるなと
なかなか過激だなというかね
プロバイダーはクラウドフレアを
モジラはクラウドフレアと
組んでいて
これ変えられるんだけど
ユーザーの設定も変えられるんだけど
元々設定されているのは
クラウドフレアのDNSサービスを
見に行くようになっている
何もしなければ
チェック入れるだけですね
デフォルトでクラウドフレアの
DNSサービスに接続に行って
名前解決をすると
これ一見さ
ユーザーの立場からすると
今まで平文でね
暗号化されてなかったのが
保護されていいじゃんってなるんだけど
手放しで喜んでいいか
そうでもなくて
これ批判も結構あって
何が問題かいくつかあるんだけど
一つはペアレンタルコントロールみたいな
子供に見せたくないコンテンツを
DNSで
フィルタリングしているのサービス
日本にもあるし世の中いっぱいありますが
こういうのが全部
効かなくなっちゃう
あと企業内でも同じように
DNSでフィルタリングしている
ケースって当然ある
仕事に関係ないから
アクセスさせたくないとかっていうのを
DNSでそもそも名前
引けないようにしちゃう
そういうブロッキングというかフィルタリング
ブロッキングも同じだけどね
そういうのが全部
効かなくなっちゃうんだよね
なのでそういうのは困るじゃないか
というのがあって
それとの兼ね合い
それも安全のために
フィルタリングとかもね
そういうのを
活かすのか
それとも暗号化して保護するという方を
活かすのかみたいな
一応今両方活かそうということで
Firefoxも
フィルタリングの
1:00:00
ドメインとして一つ
彼らはカナリードメイン
って呼んでるんだけど
特殊なドメインを一個彼ら取ってて
その名前が解決できるかできないかで
フィルタリングが今
この端末で有効か有効じゃないか
というのを判断する材料として使おうと
なのでその特殊なドメインを
いろんなところの
フィルタリングの
リストの中にもあらかじめ入れといて
それが名前解決できなかったら
この端末は今
ペアレンタルコントロールから
フィルタリングしてるぞと
じゃあこれDOH有効にしちゃダメだよねということで
その場合には有効にならない
というような制御を入れるから
大丈夫だよと言ってるんだけど
それで本当に大丈夫?
大丈夫かな
というのがあって
既存のそういう
アクセス制御というか
うまく合い入れないところが
若干あるんだよね
今までだったら平分のDNEWS見れば
いくらでも中身見れて
フィルタリングできたし
どこに行こうとしてるか分かりますけどね
あと僕らの観点で言うと
例えばマルウェア
マルウェアとかが
もしこういう手法で名前解決とかをして
コマンド&コントロールのサーバーと
通信とかをしだすと
例えば企業内に感染した
マルウェアの通信先とかは
全く分からなくなっちゃう
これも困るよねと
なので
これ今後多分広がっていくと思うけど
企業によっては企業内では
こういう名前解決は
一切許可しないようにするとか
それはもちろん
ユーザーに使わせないというのと
マルウェアとかに使わせないという
いろいろ両方あると思うんだけど
そういうフィルタリングなり
あるいはログの監視とかで
不正なアクセスを
モニタリングしようと思ったら
暗号化されてると都合が悪いんで
そこをやめようとかね
マルウェアに使わせないって
できるんですか
使わせないことはできないので
使われても通信ができないようにすると
DOHそもそもとか使えないようにすると
ただこれ難しくて
DOHって
名前の通り
DNSオーバーHTTPS
なので443の
HTTPSの
プロトコルを使って
その上にDNSが出てもらってるんで
見かけ上HTTPSと同じなんだよね
なので
社内からプロキシー経由で
通っちゃったりとかさ
直接443は空いてるとか
DNSは通んないんだけど
HTTPSは通る
HTTPSは通るとかっていう場合だと
通っちゃう可能性が
あるので
じゃあそしたら
今名前に出てきたような
Googleとか
クラウドフレアとか
IBMなんかもサービス提供してるけど
そういう主要なパブリックDNSのサービス
全部ブロックするかとかね
ありそうですね
そういうことになりかねないんだよね
それが先に来ちゃうんじゃないですか
多分そういうのが今後広まっていくんじゃないか
1:03:01
当然やってるところあると思うんだけど
そうなってくるんじゃないかなと
一方で
そういう企業とかの社内の利用ではなくて
一般のね
僕もその今iPhoneでとりあえず
使ってみてるって言ったけど
そういうスマホとかで使ってる一般の人とか
っていう観点で言うと
例えば駅とかさ
空港とか喫茶店とかの
普通に使える
公衆Wi-Fiっていうのを使うと
ダダ漏れなわけじゃないですか
そういうところでこういうのを
使うとかっていうのは
効果はあるのかなっていうか
全部HTTPSになっていっても
DNSだけはそのままじゃさ
やっぱり
どのサイトにアクセスしてるとかって
みんな漏れちゃうわけなんで
そういうのを保護するっていう観点では
まあいいのかなっていうかね
ちょっとその両方のバランス取らないと
これうまくいけないんじゃないかなっていう
これトラフィック量でどれぐらい増えるんですかね
どういうこと
暗号化するから
データ量ってこと
多少増えるよそれは
DNSってのはUDPでさ
データ量も少なくて
軽いからいいんであって
それを普通にね
TCPでHTTPSで暗号化したら
まあオーバーヘッドかなり出るよ
ただ
使ってる感覚でもそうだし
クラウドフレアとかが言ってる
主張してるけども
思ったほどパフォーマンスは悪くなくて
そういう意味では
使い勝手は悪くない
多少トラフィックが増える
そのHTTPS化がもう
すごい進んでるじゃないですか
全面的にね
主要なところはほぼ全部
オールHTTPSみたいなところも
デフォルトでサイト全部がHTTPS
最近多いよね
今はそういう流れだもんね
多くの人がよくアクセスするような
モンスターサイトって日本にもいくつかあると思うんですけど
それが全面
オールHTTPSになった
っていうことを受けて
トラフィック量が
爆発的に増えて
ボトルネックになっちゃったりとか
困ってるっていうネットワークあるいは
そうなんだ
あり得るよね
それにさらに輪をかけて
トラフィック量もそうだし
当然だから暗号化されてるのを
複合する
処理性能とかが必要だし
いろいろと今まで
変わった要素が出てくるのは間違いないよね
そうですね
ただ今回の権利に関していうと
当面普通のプロバイダーが
この
DOHとかにサポートするか
サポートするメリットはあんまりないので
当面は
今名前挙げたような
GoogleだろうCloudflareだろう
大手のプロバイダーに
アクセスが集中することになるので
そいつらがちゃんと
挟まれてくれれば
そんなに末端のアクセス回線の
トラフィックが増えることは
そんなにないと思う
iPhoneで使ってもあまり意識せずに
1:06:01
全然違和感ない
ただそれも問題の一つと言われていて
結局
プロバイダーを信用せずに
Cloudflareとかを
信用して大丈夫なのかと
僕も気になったのが
CloudflareがDNSを提供して
何か得なことがあるわけでしょ
そうそう
彼らは結局
そこは全部フリーで提供しているんだけども
そういうのでなくて
コンテンツデリバリーネットワークとか
彼ら自身の
ビジネスが儲かればいいわけで
それにつながればいいわけで
それは書いてあるんですか
このDNSを使って得られたデータをこういうことに使いますか
一応プライバシーポリシーをちゃんと書いてあって
個人を特定する情報を保存しませんとか
統計情報だけ取りますとか
細かく書いてあるんだけども
それを信用して
使うってことだよね
信じるしかないですよね
利用者が増えると
全部のそういうデータ
名前解決のデータって
まあまあ機微なデータが入っているので
それがそういうプロバイダーに集中しちゃうことも
あんまり普段来ないような
名前解決を収集できるかもしれないですよね
いろいろいい面だけでもないな
その集めたデータが最終的に
エラスティックサーチから漏れていく
そうね
そのデータをどう生かすか
そこももしかしたらね
そこもちょっと気になるかな
僕8.8.8.8
Googleでやったときも
わあGoogle賢いなと思ったんですよね
タダで提供してめっちゃ情報集まるじゃないですか
サイトの統計情報とかね
集まるから
個人情報としては使わなくても
何かしらビジネスに使える
有効な情報としては
使えそうだよね
というのもあるので
ちょっと
今そういう動きが出始めたところ
標準の規格として
成立したのもまだ最近なので
これから普及という段階だと思うけど
でもさっき言ったみたいに
アプリで簡単に使えるだろう
ブラウザでチェック一発でできるだろう
だんだんそういう環境が揃ってきたので
いよいよ普及に
入ってきたかなという感じで
暗号化するとかっていうのって
多分5年くらい前とかだったら
結構自分でいろいろツール入れたりとか
ブラウザのアプリケーション
足したりとか
やらないとできなかったじゃないですか
個人用のVPLも
個人用のVPLでも
今日本ではそんなにも
使ってる人います?周りで
見たことあります?
僕ネギスさんしか見たことない
一般の人ではほとんどないね
あとは
海外の人
日本に住んでるんだけども
自分の国に帰った時に
アクセスできなくなったりとかするものがあるから
不簡易手段として
自分の国につなぐために
そういう人たちは普通にVPLって言いますね
プライベートVPLっていう
普段の組織内で使うようなVPLとは区別せず
普通にVPLってよく言ってましたね
でもそこも変わるかもね
1:09:01
さっき言ったクラウドフライのアプリ
僕もずっともう使ってるんだけど
今年じゃないや
去年の4月1日
あ違うな
これは11月か
リリースされて
去年の11月にリリースされて
ずっと使ってるんだけど
つい今週になって
発表自体は
今年の7月に発表があったんだけども
実際に使えるようになったのは今週からなんだけど
そのTOHだけじゃなくて
VPLの機能も付け加わったの
無料で?
無料で
それもオンにするだけで
最寄りの
クラウドフライのデータセンターに
VPNで繋がる
っていうサービスが始まったので
これをきっかけに
使う人増えるかもしれないよ
確かに
Firefoxもさっきの話じゃないけど
まだ一部なんだけど
USを中心に
拡張機能で
インストールすると
勝手にクラウドフライに繋げにいって
Firefox経由の通信は全部
VPN経由になるっていう機能を
今テスト中
一般ユーザー
僕らみたいな個人で使う時に
よく出てくる話題で
僕もセキュリティの仕事をすればよく聞かれるんですけど
フリーのWi-Fiってどうなんてよく聞かれるんですよ
説明は結構大変じゃないですか
見ようと思えば見れるけど
そのデータは暗号化されていて
最近HTTPSが主流やから
大丈夫な部分も多いけどさ
ややこしいから
でも最後は自己責任でね
VPNがもっと主流になったり
手軽に使えるようになれば
これとりあえずオンにしておけば
大丈夫よみたいなことが言える世界は
いいかもなとは思いますけどね
でも今実質
どうだろうな
スマホからのアプリの
経由の通信も
今ほぼ暗号化されている
と言っていい
変なやつ以外は
広くみんなに使われているアプリは
通信全般暗号化されていると思うと
そんなに気にしなくてもいいんじゃないかな
という状況に
なってきたと思うけどね
なんかEVIL TWIN的な
攻撃、偽Wi-Fiみたいなやつ
何か似たようなやつを作ってやる
とかだと、昔はHTTPの
ダウングレード攻撃とかできたけど
今ほぼできなくなってきてるじゃないですか
証明書のエラーが出るとか
たださっきのDNSを
自分でちゃんとココンを使う
という設定をするのが当たり前になれば
もう一つの攻撃を防げるなと思ってて
Wi-Fiに繋いでしまったら
そこのDNSを使うことになるじゃないですか
じゃあ本当に自分が見ているサイトが
本物のサイトが分からない状況になるんで
それを防げるのも
副次的な効果にあるなと思って
時々
批判の一つでもあるんだけども
公衆Wi-Fiとか
ホテルとかいろんなお店とかに繋ぐと
そのDNSを使って
1:12:01
自分のホームページに飛ばすとか
よくありますね
批判を承認させるとか
そういうのが無効になるんだよね
利用域を使うと
それが良い面と悪い面と
二つあるんだけど
そういうのが
悪意を持ってそういうDNSを使って
変なデータを見せようとする
攻撃に対しては有効だよね
そうですね
それももし仮に
VPNが
普及しないとしても
利用域が普及すれば
そこは防げるかもしれない
そうですね
いろいろそういう動きが
ぼちぼちで始めていて
ちょっとこれは
継続していきましょう
継続しないと
継続だらけです
継続スペシャルです
いけないかなという感じ
結構良い時間喋りましたね
最近でも1時間ちょい超えぐらいが
多い感じですね
良い感じじゃないですか
最初の雑談がだいぶ
あれ無くなれば
カットするかもしれない
カットするかもしれない
いやでもどうかな
最近ちょっと編集好きなんで
動画の編集でしょ
動画のやつでも
音声できますよね
プレミアでできます
そっちでやろうかな
違うやつでやってたんですよ
今までは
プレミアプロめっちゃ使いやすいですよね
そう使い始めて
プロが使うときは
1ヶ月弱ぐらいになってきたんですけど
かなり腕を上げましたよ
多分
次回の
ちょっともっと言われれば
見てください
短いやつ送るんで
今日アップするから
次回はその感想を
じゃあそういうことで
バイバイ
01:13:55

コメント

スクロール