1. セキュリティのアレ
  2. 第99回 アノ超会議からきっか..
2021-08-23 1:20:50

第99回 アノ超会議からきっかり9年!スペシャル!

Tweet    【関連記事】 ・Protect security settings wi[...]

The post 第99回 アノ超会議からきっかり9年!スペシャル! first appeared on podcast - #セキュリティのアレ.

00:00
おはようございまーす。おはようございます。夜ですけどね、今ね。夜ですけどね、おはようございます。ちょっとそれだけは言っておこうかなと思って。
今日は睡眠時間が少なめだったので、ちょっと収録の前に寝ておこうかなと思いまして。
良かったね、そのまま寝過ごせなくて。本当に良かった。怖いこと言わないでくださいよ。めちゃくちゃ怖いじゃないですか、そんな。ゾッとする話ですよ、ほんまに。
夏ですからね。夏と言うても、もうあれなんですか、よく暦の上ではとかって言われるとよくわからなくなるんですけど、僕あんまそういうのピンとこないんですが、もうお盆っていうのは終わってるんですよね。
終わってますね。終わってる感じなんですよね。だからもう暑さ寒さも悲願までみたいなこと言うても、暦の上ではあんま夏ではない感じなんですかね。夏が終わっていくかなという感じではあると思うんですけど。
今年、あることしてないなと思って思い出したことがあって、今の怖い話せんといてっていうのからピンとくるようにですね。ちょっと今年はなんか去年にしたように思うんですけど、怖い話してなくないですか。
去年なんかした? 去年してましたっけ? 去年僕、怖いアプリ紹介したじゃないですか。
日情報に指し示されたところに行ったらみたいな。 なんかおぼろげに覚えてるけど。
ランドノーティカっていう。 言ってた言ってた。思い出した。
ほんまに怖いやつやんけって言って、怖い話しますって言って、ほんまに怖い話したらちょっと怒られたやつですよね。
なんやほんまに怖いやつやんけみたいな感じで、怖い話するゆーたかなと思うやつなんですけど。
今日ちょっと怖い話してないなと思って、ちょっと冒頭、軽めの怖い話させていただきたいなと思いまして。
ほんまに怖い話なんですか?
候補2つあるんですけど、1つはほんまに怖すぎるかもしれへんっていうのが、怖いというか気持ち悪すぎる話があったので、これはまたネタがないときに喋らせてもらうのにおいておいて、
今日は軽めの怖い、ちょっと怖い話みたいなやつですね。
僕、夜中に散歩よくしてるんですよ。
梅雨だったりとかして、雨が長引いたりとか、2回目の梅雨みたいな感じになってたんで、なかなか外出れないときもあったんですけど、
続けてるんですよ。4月ぐらいから始めてずっと。
1時間から長いときは2時間ぐらい出かけていったり、夜中にポケモンGOもしながらみたいな感じで出かけてったりしてるんですけど。
散歩してるといえば飽きてくるんで、通ったことない道通ろうかなみたいな気持ちになって、
こっちから来たからこっちに行こうかなとか、こっちそんなにあんまり行ったことない、最近行ってないな、コロナがなってからこの道通ってないな、どんな感じかなみたいな感じで、
いろいろなところを探検みたいな、警察の方とかがいたらちょっと不審に見えるかもしれないですけど、いろんなところをうろうろするっていう感じでやってるんですけど、
ずっとそこにあるなぁとは思ってたんですけど、ちょっと見に行ったことがなかったところ、何かというと不動産屋の張り紙みたいなやつあるじゃないですか、
03:07
いろんなマンションとかね、1個だて売ってたりとかもありますけど、
そうそうそうそう、それを古めかしい、ここほんまにやってんのかなっていうぐらいちょっと古めかしい、ちょっと失礼ですけど、古めかしいところに貼ってあるのを何の気なしに見てたんですよ。
見てみたんですよ、これぐらいの広さで、これぐらいの値段なんやみたいな感じで見てたんです。
そしたら何か一際気になるやつがその中にありまして、家賃って、僕は東京都内在住なわけなんですけれども、家賃があって目を引くぐらい安っていうのがあったんですよ。
で、いくらかっていうと1万2500円なんですね。
安すぎー。
安くないですか。だいぶ安いですね。管理費とかじゃないんですよね。
違います違います。マンションなのか1個だてなのか何なのかというタイプと、最寄りの駅とか、あと窓り、1Kとか1ルームとか書いてあって、その下に賃料みたいなやつが1万2500円で書いてたんですよ。
お、めっちゃ安いやんと思って、これどれぐらいの広さなんかなと思って細かく見ていったんですよね。
細かく見ていて窓りも見て、窓りの中の数字を見ていくと、洋室っていうのが14畳、フローリングが6畳の1LDKなんですよ。
普通に広いじゃん。
安くないですか。
いや安すぎでしょ、おかしいでしょ。
そうそうそう、いやちょっとこれいよいよ怪しいぞみたいな感じになってくるじゃないですか。
そこに貼り出してあるところって結構な数貼ってて、2つぐらいのセクションに分かれてたんですけど、両方にそれが貼ってあったんですよ。
両方ともやっぱり、間違いかなと思ったんですけど、両方とも同じ金額なんですよね。
えーと思ったんですけど、でももしこれが12,500円なんやったら借りてもいいかなって思うじゃないですか。
だって月ですからね。月12,500円で年間でいくらよって話。
でもちょっと怖いなと思って、そういう何かあったかどうかを調べるサイトってあるじゃないですか。
世の中には。
あるんだ、そういうの。
それをちょっと調べてみたんですよ。そこの住所とかを入れてみたりとかして。
で、見たらないんですよ、何も。
過去にこういう事故があったとか、こういう風になくなられた方がいらっしゃるとかっていう風な情報を調べるサイトを見ても、なかったんですよね。
で、でもそれやったらそもそもそこを貸してる仲介業者で複数あったりしますから、有名どころのそういう賃貸のマンションを探すようなサイトで見てみたんですよ。
06:06
いよいよさすが何かあるやろ、この値段はと思って見てみたら、そこには12万5千円って書いてたんです。
ただの間違いにしたっていう、めっちゃ怖い話です。
どこが怖い話やな。
怖くないですか、だって。
怖くないよ。
これ言うたら1万2千5百円で借りれんのかなっていうね。
借りれないね、それは。
っていう怖い話でした。
なるほどね。12万5千円だったら、まあまあありそうだよね、それぐらいの人数。
ないもんじゃないじゃないですか。
一体オチはどこなんだろうとずっと考えながら来たけど。
いやでも結構なんかその最初見た時に間違いかな、間違いやろと思うけど貼ってある2枚とも、
貼った時期が違いそうな紙なのに両方ともその数字書いてあったら、いよいよちょっとこれおかしいんちゃうみたいになってきません?
それ他のやつも結構間違えてんじゃないの?
かもしんないです、かもしんないですけど。
でも怖い、何かあったかどうかを調べるところぐらいまで怖かったですよ、自分は。
まあ確かにね。
もしもがあるじゃないですか、やっぱり。
なんか訳ありとかあるかも。
だって1LDKでさっき言ったぐらいの広さで1万2千5百円って、もしそれが本間やったらとんでもない入った瞬間見えるような場所かもしんないじゃないですか。
確かにね、めちゃくちゃ安いですもんね。
なんかね、1LDK霊付きみたいな感じかもしんない。
四季金霊金の霊が幽霊の霊になってんじゃないかなみたいな。
何言うてんねん。
っていうね。
そこか、本当のオチはそこか。
そこを狙ってたんですね。
ありがとうございましたということで。
ありがとうございました、はい。
お便りが来ております。
僕のカーに刺されるでっていうアドバイスを頂いてたやつの追加で頂いてるアドバイスがあって。
僕がね、紹介したとか教えて頂いて実践したやつっていうのは、刺されないようにする対策じゃないですか。
予防ですね。
でもほら、我々サイバーセキュリティやってる、サイバーセキュリティだけじゃないかもしんないですけど、何か起きたらもう考えないといけないということで。
そうですね。
刺されたらどうするかっていう。
助言を想定した場合の。
それが、石鹸で洗うっていうのがいいらしいんですよ。
石鹸。
石鹸で洗うと痒みが抑えられるっぽいですね。
それはあれ?石鹸でなくても、とにかく綺麗にすればいいってことなの?
かな?石鹸って書いてます。石鹸で洗うっていうのがすごく強調されてます。
09:04
石鹸の成分が何かいいのかな?
かもしれないですね。
そういうのもあるの?
この方も、このツイートしてくださった時にも、夜散歩してて、野良猫とタワムで出たら一箇所やられたんで、家に帰ってすぐ石鹸で対応したって書かれてありましたね。
蚊からすると、辻さんは魅力的な匂いを出しているんでしょうねっていう意見をいただきまして。
蚊ぐらいにはモテてもええんちゃうかなっていう気持ちになりますけどね。蚊にはモテる。
僕でも結構昔、母親とおばあによく言われたんですよね。
あんたちょっと斜め上から顔を見たら、蚊に似てんなって言われたこともありますけど。
どういう顔だよ。
蚊みたいな顔してんなっていう。蚊の顔ってどんな顔なの?
蚊の顔って分からない。
分からないんですけど、そういうことも言われてましたと。
試してみてもいいんじゃないかなっていうことですね。
あとは、これ看護さんの前回のネタなんですけども。
私物のUSBを持ち込んで使えてしまった問題のお話をしてたじゃないですか。前回。
それだけの問題ではないんですけども。
それもあったと。
私物のUSBの持ち込みや接続はもちろんNG。
接続の時はアラートは当然上がる仕様になってんじゃないかと。
某組織はみたいなところですよね。
でも、新しいUSBを使えるように登録する権限っていうのもアラート管理等や監査する業務も情報管理家だったらその権限も既に持っててOKしちゃったんじゃないかとか登録しちゃったんじゃないかみたいな考察ですかね。
情報管理家だったら…っていう意見が来ておりました。
どういう権限のある部署で、その人がどういう権限のアカウントで何かをしてたかっていうこと次第だと思うんだけど。
そうですよね。
とは思うんだけど、ただ一般論として高い権限のあるところで何か問題が発生すると結構大きな問題になるから。
そういうところこそ権限の棚下ろしとかアカウントの棚下ろしとか、先週も言ったけど監査的なやつとかっていうのはしっかりやってるんだろうなと期待したいわけだけど、そこがどうだったんだろうねっていうね。
もしそういうの登録されたとしてもこれなんやみたいなことを定期的に見直しがあるんじゃないかってことですかね。
ないとね。だって高い権限のあるところは何でもやり放題だったらさ、もうそこ穴だらけじゃん。
あとはこういうふうに自分からある種の悪意のようなものを持って故意にやった場合もあるかもしれませんが、ミスでやってしまってる場合もあるから見直さないといけないですからね。
まあそれはどこでもそういうの起こり得るわけだから。さすがにそれをやってたんじゃないのかと思いたかったんだけどね。
12:01
あの事件を見るとそこの辺がどうだったのかなっていう。
そうですね。いくつか言いたいことがある中の一つって感じですけどね。
そうですね。
それとこれは長めの4つぐらいツイートぶら下げてくださって、体験談みたいなものを紹介してくださっている方がいたので、ぜひ取り上げようかなと思って。
はい。
読み上げます。ある部署で使っているソフトをマイナーバージョンアップしたら起動のたんびにUACのポップアップが出てくるようになったと。
メーカーに問い合わせてみたらこのソフトは管理者権限ユーザー使用が前提です。
要は使用ですということを言われてしまったわけなんですよね。前はなかったのにっていう感じなんですかね。
その前提は効いてないということで、ないしもしくは社内ポリシーとして無理であると、そんなことはできませんっていうふうにそのメーカーの方に答えました。
UACの設定レベルを下げるのもありと言われて、ありってなんでお前が言うねんって感じですよね。
ありと言われて、そんなことをしたら怪しいサイトを踏んでしまってアラート出ずにマルウェア仕込まれたりしてしまうかもしれないですよねって言ったら、そうですねって言われた。
なんでわかってて危険にさらすのと思ったらそうなんですけども、このソフト自体が何のソフトかというと、栄養管理支援とかをするソフトらしいです。
普通に考えて管理者権限いいのかっていうふうに感じるようなものだと。
そもそも何にアクセスしてるんだということで、とりあえずどっちも無理ということで突っ張られて対応を持ち帰ってもらってますということです。
ちなみにそのソフトだけUACを解除するという方法をネットで調べて対処したんですが、メーカーさんには考え直してほしいというふうなので、この策を講じたことは内緒です。
現場からは以上ですというふうなところで、セキュリティレベルを下げろというふうにマイナーバージョンアップしたら動かなくなってっていうエピソードをいただきました。
こんなこともあるんやなってことですね。
なんで栄養管理って言った?
栄養管理支援とかというふうに。内緒なんで何か明かせたらバレてしまうかもしれないですね。
そっちのほうの分野というか、なんか特殊な事情があるのかもしれないけど、なんで管理者権限が急に必要になったのかわからないけど、いずれにせよどんなソフトでもUACオフにしろとか設定下げろとかっていうやつは論外なので、
それは絶対やっちゃダメで、それをせずにできる方法が多分あるはずなのになんでやらないのかっていうところがやっぱり問題だよね。
ただね、そのソフトは全然わからないけど、一般論として例えばWindowsもそうかな、僕が普段使っているMacとかもそうなんだけど、
だんだんこれまでアクセスできた機能が厳しくなって、管理者の承認というか同意とか設定を変えないとできなくなるっていうことはなくはないんだよね。
15:05
これまで自由に使い捨てた権限が管理者権限が必要になるとかっていうことは、例えばプライバシー設定が厳しくなるとかね、一例で言うと。
そういうのはなくはないので、全く理由がないとは思わないけど、ソフトウェアの効いた感じからして、なんか変な感じはするけどね。
なんか本当に努力が足りなかったのかもしれない系の。
もしかしたらね、他に方法があるけど、手っ取り早く管理者権限使っちゃえばいいじゃんみたいな話なのかな。
もし管理者権限がどうしても必要みたいなことで仮に100ポイント譲ってあったとしても、その説明をちゃんとしてないっていうのはよくないんですよね。なんでいるのか。
理由がわからない上にね、UAC変えろとかって言ってくるのはちょっとそれはありえないよね。
理由をちゃんと言わずに、この制限を解除しろとか、マクロを有効にしろとかって言ってくる時点でもうマリシャスですからね。マリシャス認定しないと危ない世の中ですからね。
そういう例は結構他にもあるもんね。
でも結構そういう現場の生の声っていうか事例あるんだね。
こんなことあるんやなっていうのを聞いてみるとまだまだあるんですね。ありそうやなと思うけどやっぱりまだあるんやなっていうところでございます。
最後のお便りなんですが、これは僕のしゃべったネタの補足だと思うんですけれども、
ランサム、ロックビットがWindows Defenderとか止めちゃうよとかっていう話をしたと思うんですけども、
Windows Defenderやリアルタイム保護無効にして攻撃を進める手口の話が上がっていたので、参考補足ということでリンクをいただいておるんですが、
この手の攻撃の緩和のためにWindows 10以降はタンパープロテクト機能が導入されています。
個々の端末、組織単位で制御することが可能ですということで、
マイクロソフトのプロテクトセキュリティセッティングスウィズタンパープロテクションというリンクを教えていただきましたという、
多分このツイートには書いてないんですが、僕から皆様には何卒読んでいただければ嬉しいなというふうに思います。
ハッシュタグで追ってください。
それ、デフォルトには設定されてないんでしょう?
そうですね。
デフォルトで設定されてないOSの設定を使っている人どれくらいいるんでしょうかね。
それは何かあれですよね、Windowsのアクティブディレクトリーのログの保存とかそういうのにもね、
どれくらい知ってる人がいるかっていう問題っていうのは結構ありますよね。
デフォルトにしてないにはしてないなりの理由があるので、
確かにそういうタンパープロテクションの機能って有効だと思うんだけど、
どれくらいそれが使われていて効果が発揮しているのかはちょっとわからないなというか、
あんまり聞いたことないんだよね。それで防げましたみたいな事例ってあるのかな。
18:03
それは数が増えてからでないとわからないもんですね。
そういうのを自分のところは設定していて、それで防げましたっていう事例を、
ご同事の方がいたらぜひお問い合わせください。
そうですね。確かに事例とかもあるといいですよね。
そういうのも見てみて、自分のところで使えるかどうかどういうものなのかっていうのを
知るところから始めてもらえばいいんじゃないかなと思ってます。
そうだね。設定を知らないと使いようがないけどね、
知っていればこれうちでも使えるかなっていう検討はできるもんね。
そうですね。
はい。ありがとうございます。
最後のお便りなんですけれども、
まだあるのかい。
短いやつが1個ありました。ごめんなさい。紹介し忘れるところでした。
今回の僕のポッドキャストの公開タイミングがちょっといつもと違ったってことがあって、
いつもとスケジュール違うので見逃したというお便りをいただいております。
以上でございます。
それ俺だ。
今回さ、夜結構遅い時間?真夜中くらいに何か公開しなかった?
僕が副反応中だったんで。
そうだよね。
今日は多分公開ないなと思って、
寝て起きたら次の日公開されてたさ。
多分夜の10時くらいとかだったと思うんですけど。
悪いと思って。いつの間に?と思って。
予約にしとけばいいんですけど、
月曜日のうちに公開やっぱりしときたいなってちょっと思って、
予約じゃなくも投稿ボタンをちゃんと分かってて、分かっててですよ。
最終日ちょっと1日ずれたし。
良かったんだけど、すみません見逃してしまいました。
ということで、お便りは以上でございます。
なので、今日そろそろ本編いきますけれども、
今日は看護さんからお願いしていいですか?
私からですか?ちょっと油断しました。
私はですね、今日はいつもやってるようなインシデントではなく、
インシデントそのものの話ではなくてですね、
JNSAっていう組織ご存知ですか?
はい。
その組織が8月の18日、
インシデント被害調査ワーキング、いろんなワーキングがあるんですけども、
その中のインシデント被害調査ワーキンググループというのがあり、
そのワーキンググループが成果物として、
インシデント損害学調査レポートというのを公開されたんですね。
これ何かというところなんですけど、
要はインシデント情報セキュリティの事件、事故に、
残念ながらあってしまわれた組織において、
どれほどその事故対応のところにコストがかかったのかというところを、
21:00
実際に調べられて、それをまとめられたという形のレポートで、
この辺って、今回これ私興味持ったのは、
この辺の数字っていうのが、
割とオブラートというかタブーというか、
あまりそれを語るの良くないみたいな感じなのかちょっとわかんないですけど、
数字そのものをあまり出しているケースって多くはないのかなとは思って、
本当にケースバイケースで出しているのもありはするんですけど、
体系的にまとめられているっていうのはそんなに多くないかなとは思ってまして、
今回これを紹介しようかなと。
さっきも言った通り、インシデントが実際に起きた後、
どんなお金がコストがかかるのというところについて、
初動対応・対外的対応・復旧及び再発防止というステップに分けつつ、
これに対して生じる損害という表現で6つ分けられているんですね。
費用損害、具体的に言うと初動の対応にかかった費用とか、
その部分にかかるコストを計上しているもので、
それ以外が何かというと、第三者から賠償を請求されるようなケース、
クレジットカードとかっていうのがここで挙げられているんですけど、
そういった賠償損害、あるいはeコマースとかのサイトとかだと、
本当に目に見えて分かる被害になりがちなものであるんですけど、
利益損害として、例えば情報漏洩をしてしまったために、
一時的にサイトを閉じなきゃいけないと。
その期間中に本来であれば売り上げてあったであろう機械損失がいくらだったのかとか、
そういった被害であるとか、
あるいは金銭損害っていうのもあって、
これ何かっていうと、
そういう括りなんだとは思ったんですけど、ランサムウェアですね。
本来得られるべきだったものっていうのの損害に加えて、
自分たちが出したものって意味ですね、金銭っていうのは。
利益と違うところはそこだってことですかね。
あるいはビジネスメール詐欺とか。
これかなり幅広で、インターネットバンキングの成りすましい被害とかもここに入ってるんですけど、金銭的な損害と。
マンインザブラウザーとかされてっていうのもこれに入るんですかね。
っていう整理になってますね。
あと何だ、行政損害っていうのもあって、
これは日本だとあんまりないのかな。
GDPRとかそういった個人情報の保護に関わる法律等で触れて停職してしまった場合に
24:03
課されてしまう課長金等の損害がここに入っていると。
最後に無形損害として、これは株価が落ちてしまうというのはよく取り上げられるネタの一つではあるんですけど、
事故が起きてしまってブランドイメージであったりとか扶養被害であるとか、
そういったところ、これはちょっとなかなか計算が難しいところではあるのかなと思うんですけど、
おおむねその6つに分けてこのワージーではレポートとして整理をされておられるというところなので、
これまではよくその、
インシデントが起きて、フォレンジックにいくらかかったとかっていうのはあったと思うんですけど、
ウイルスに感染してしまったパソコンなりサーバーなりを解析するのに一台いくらみたいな、
そういう費用感っていうのは大雑把にあったと思うんですけど、
それ以外にも例えば法律の相談に要する費用がいくらぐらいかかるのかとか、
あとはですね広告っていうのもあってですね、
お詫びですよね、謝罪という形でDM送ったりとか、
あんまり最近は見ないんですけど新聞広告出したりとか、
そういったのにかかる費用がどれぐらいだっていうのが、
わりかしちょっと幅が広い項目も残念ながらありはするんですけど、
数十万円から数百万円とかっていうのは幅がだいぶ広いんですけど、
だいぶ広いんですけど、結構A社はいくらとかっていうので、
リアルな金額が書かれているのもあり、
その辺はある程度参考にはなるのかなというところと、
あらかじめ見積もるという意味では、こういう項目出しという意味で参考になるのかなと思いました。
あとはですね、なかなかこんなの入れるんだっていうのもあったりしてですね、
ダークウェブ調査費用とかも入ってるんですよ。
ダークウェブの調査費用で何するかっていうとですね、
ダークウェブ上で何か情報が流出していないかとかっていうところであるとか、
そういったものを調査するコストというところで、
スレッドインテリジェンスサービスと呼ばれているようなところを利用することを想定した項目ではあるんですけど、
これはやっぱり噂では聞いてはいましたけど、お高いですね。
そうでしょうね。高すぎじゃない、これ。
高すぎる、ちょっと。
これもう言っちゃっていいですよね。
スポットで、例えば3ヶ月間期間限定で調べてほしいみたいな依頼した場合は、500万円から1000万円。
27:00
おお。
まあまあ痺れる。
そうですね。年間調査も単純に4倍。
さっきは3ヶ月ぐらいという感じで書いてたんですけど、もう本当に4倍したような金額で、
1500万円から4000万円。
それだけをダークウェブを調査される会社に支払うというところであったりとか、
あとたまにあるその認証情報が漏れてないかというところの調査、
1000万円から5000万円、ちょっと幅広いんですけどね、1000万円から5000万円。
すごいですね。
麻痺してきますね、金額。
ちょっとなんか、そんなにかかるんだと思ったのと、
これ、なんかペイできるのかなっていうのがちょっと気になったところですかね。
そんだけの退金を支払いして、
それ分の見返りがやっぱり得られるんだな、
得られるからこういう金額設定になってるのかなとか、ちょっといろいろ思ったりもしました。
あと気になったのは、
実際に弁護士費用にかかる費用とか、
あとはこれまでもこのポッドキャストで取り上げてたランサムウェアの支払いとして、
実態としてこんなもんだっていうのが触れてあるというか、
いうところとですね、
最後にモデルケースっていうのがあって、
軽微なマルウェア感染で、
2つ目がECサイトからさっき話したような情報漏洩で、
最後が大規模なマルウェア感染という話で、
モデルケースが書かれてまして、
小畜場合じゃないんですけど、
それなりに金額が段々と上がっていくんですけど、
1個目の軽微なマルウェア感染は、
その企業の働かれている方が添付ファイルを開いて、
マルウェアに感染しまいましたっていう事例ですね。
これ600万円だそうですね、1個目の今の。
端末3台とサーバー1台を調べて、
あとあれかな、ちょっと特殊なんですけど、
再発防止策もこの金額に入るので、
今回の事故を受けて再発防止として、
新しく機器やサービスを入れたりすると、
ここにかかってくるんですけども、
トータルで600万円と。
次がECサイトからクレッカー情報が流出してしまった事例については、
純粋に対応にかかったコストと、
さっき話した利益ですね、止めたことによる
実質的な被害ですかね。
あと賠償損害、クレジットカードが不正に利用されてたりすると、
損害であったりとか再発行の費用とかを負担しないといけないので、
これがトータルで9490万円と、約1億円という感じですかね。
1億円ですね。
最後に大規模なマルウェア感染が起きてしまったというところ、
これは最近よくあるような海外の拠点が先に攻撃を受けてしまって、
30:02
どんどん中に侵入されていくという事例。
これがトータルで3億7600万円と、結構な。
これちょっと、ごめんごめん途中で遮って、
これちょっと、もしかしたら聞いてる人が勘違いするかもしれないなと今聞いてて思ったので、
ちょっと口が挟むけど、
これはいわゆる被害を受けたところにインタビューしたり、
アンケートに記入してもらったりという、そういう調査をしたわけではなくて、
あくまでも、こういうことがもし発生したらこういう費用が必要になるはずで、
その場合、そういうサービスを利用したらどうなるかというのを、
サービスを提供している会社に対してインタビューしているんだよね。
モデルケースっていうのも、実例を基にしていると思うけど、おそらく、
実際にこういうことが起きたわけではなくて、
実際にこういう企画が発生したって言ってるわけではなくて、
もしこういう想定でこういう被害が起きたと仮定したら、
ざっくりこの報告書の想定ではこれぐらいかかってもおかしくないですよって言っているだけなので、
そこはちょっと勘違いしてほしくないというか、
実例じゃないのね。あくまでもモデルケースなんで、
もしかしたらこれの10倍かかってるかもしれないし、
全然こんなにかかってないかもしれないしっていうのは、
だいぶ幅があるっていうことはちょっと、
ただし、例えば経営者とか、実際にインシデント対応にあたる人とかに、
もし発生したらこういうのかかるって皆さんちゃんと想定してます?みたいなのをね、
そういうのを突きつけるっていうか、
そういう想定漏れないですか?みたいなのを何か考えさせられる?
という点ではすごくいいよね。
数字なんで、経営をハンドルされている方にはリアルに伝わるかなっていう資料には。
ちょっと使いどころをね、間違えるとかなり危ないですけど。
報告書でもね、そういう想定で書いてるから数字にはかなり幅がありますって、
最初に書いて一応釘は指してるけど、
でもそうは言ってもやっぱり具体的な数字でこれぐらいって見えるのはね、
割といいよね。あんまりそういうのないもんね。
すみません、ちょっと話の腰を折っちゃいました。
いえいえ、すみません。ちょっと誤解を招くような話し方をして申し訳ないです。
はい、なんでちょっと数字で今も言った通りリアルに伝えた、
伝わりやすいっていうのかな。
こんなかかるんだなっていうのが大雑把にでも伝わる資料にはなるので、
使いどころさえ間違えなければ、結構参考になる資料として使えるんじゃないかなとは思いました。
33:01
あとちょっと僕一個違う観点からコメントしていい?
はい、お願いします。
この報告書の中では割とさらっとしか書いてない項目があって、
それは何かっていうと、ここでは何だっけな、履歴損害って書いてあるのかな。
いわゆる機械損失とかサービスが止まったことによる損害というのが、
例えば売上がこれぐらい上がるサービスがこれぐらい止まっちゃったら、
単純にこれぐらい損害発生するよねみたいな、そういう想定で書いてあって、
そこは割とそういう意味では分かりやすいというか、
算出は何算出の仕方が分かりやすいんだけど、
割とさらっと書いてあるんだけど、実は実際のインシデントとかだと、
例えばランサムウェアだったり、ECサイトの不正アクセスだったりとか、いろんなケースで、
この事業の中断による損失っていうのは実は結構影響が大きくて、
例えば、さっき何でこの途中で口挟んだかというと、
このレポートとは対極にあるというか、実際の事例ベースのレポートっていうのもあって、
例えば代表的なのを言うと、もう十何年も毎年出している、
IBMが出しているコストオブデータブリーチレポートっていうのがあるんだけど、
これは今、寛吾さんが紹介してくれたレポートとはちょっと違う切り口でコストを分けてて、
それは4つぐらい分けて、同じように初動対応と何とかと分けてるんだけど、
その4つの要因のうちの1つがビジネス損失っていう要因で、
これが今言ってた利益損害とほぼ近いんだよね、書いてあることが。
ちょっと私は区分けが違うんだけど、レプリケーションリスクとかそういうのも入ってるんで、
ここちょっと枠が広いんだけど、
そっちのレポートの方は、実際の毎年のデータ侵害とかの事例ベースで費用を見積もってるんだけど、
それもどれくらい正確かっていうのはちょっと議論の余地があるけど、
そこで言うと、およそ全体の4割の被害金額の全体の4割はビジネス損失だって言ってて、
対応にかかる費用よりもビジネスが止まることによる被害の方が大きいって言ってるわけよ。
大枠で言うとね、大枠で言うと。
なんで、いかに止めないようにするかとか、早く復旧させるかっていうのは、金額っていう観点で見ると実はかなり重要なんだよね。
例えばランサブウェアで1ヶ月止まるとかって言ったら、ありえないような損害が発生するわけよ。
工場とかだったらもう致命的ですよね。
たまにあるじゃない、海外のコロニアルパイプライの例とか、1週間ぐらい創業止めましたとかさ、工場でも1週間ぐらい止めたとかってあるけど、
36:08
あれはだからおそらくだけど、その工場を止めたことによる損害が、すげえ馬鹿にならない金額になってるはず。
ついつい、自己対応、対応するっていう方に目が行きがちだけど、
実際には止めないで何とかするっていうか、いかに止めてる時間を短くするかとかね、
被害額を抑えるっていう観点ではそっちも重要っていうのはちょっと覚えておきたいなっていうか、
だから両方全然違う観点だけどさ、そっちも大事なんだなっていうか、実際の事例を見るとどうもそうだし。
調査をしたり再発というよりも、今起きていることをどんだけ仕欠をするかみたいなところにかけるお金とか早かったってことですよね。
そうそう、それをできるだけ早くして、もちろんあまりにもそれを急ぐあまり、
本来は止めるべきサービス止めなくて情報の漏洩被害が拡大しちゃったとかさ、
ズルズルいかれたとかね。
これは本末転倒なんで、そう考えると問題が分かった時にいかに早く止めるかっていう判断と、
きちんと素早く対応していかに素早く復旧させるかっていう、サービスを再開するって判断は結構難しいじゃん。
まだ本格的な対応っていうか、根本原因とかまで分かってないうちに再開してもいいのかどうかとかさ、
多分そういう判断ってすげー難しいと思うんだけど、でもそういうのが被害金額っていう観点でいうとかなり重要っていうかね。
そういう報告結果なんかもあって、そういう点で金額ベースで出てくるといろんなそういう見方ができて面白いなっていうか、
そんなことをちょっと今聞いてて思いました。
いろんな実例ベースとかになってくると、もっと数字のような差が出てきたりとか、こういう対策を事前にやってたからこんだけで済んだみたいな、
もうちょっと細かいものがもっと出てきたらいいのになって思いました。
これをしてればここにかかるお金がこんなに抑えられた。
そうするとかなり分量も増えて話もややこしくはなってくるのかもしれないですけど、
自分たちが何か対策を考える上で目安になりそうな要素なのかなって思って、僕はさらさらとしか見てないですけど、
それはちょっと感じたなっていうことが一点と、
あとはこれってお金の話ってなってくるとどうしても経営層に近くなってくるじゃないですか。
こういう何か起きたら大変やか投資しようぜみたいな対策しようぜみたいななってくるときに、
こういった何々するとこれぐらいかかりますみたいなものって、
いろんな事例とか海外とか問わずこれぐらい対応にかかりましたとか、
これぐらいかかるから個人情報を保護しましょうみたいなものっていうのは、
僕が新卒の頃からそういった説明っていうのはよく垂れてきてますけど、記事とかセミナーとかで、
39:00
これの内容を見て、見た経営者っていうのはどういうことを感じるんやろうなっていう、
財布を握っているような方々が読んだ時のリアクションっていうのはちょっと気になるかなって思いましたね。
これは大変やからちゃんと今すぐ何かしなってなるのかなっていうのがちょっと気になりましたね。
どれくらい響いてるのかってこと?
そうそうそうそう。
いろんなリアクション、YouTubeとかにあるリアクション動画じゃないですけど、
これを受け取った人たちがどういった反応するのかっていうところはちょっとすごく気になりますね。
そんなこと言っても、いやいやそれうちで起きないんでしょとかっていうふうに言うのか、
いやでもとはいえこれに咲く金額っていうのはなかなか出せるもんじゃないのよね。
これ事故起きたら例えば3億4億かかるって今おっしゃいましたけど、
それ起きないようにするにはいくらかかるんですか?
そんなかかるんだったらうち無理ですわ。
とかなんのか。
その本当の生々しい部分ではあるので、なかなか近づけない部分とか出てこない部分なんでしょうけれども、
ちょっとそこは気になったなと思いますね。
対象者、知るべき人たちが知った時のリアクションってのはどんななんだろう。
まあでもね、うちには関係ないでしょうって思うタイプの人ってまあまあいると思うんだけど、
そういう人は何言ってもそうなっちゃうんで、多分ね。
こういうのは多分そのレポートを作った人とかのモチベーションとかわかんないけど、
まあでもこういうのによって、多分響かない人には何言っても響かないけど、
少しでもこれによってインシデントが起きた会社は実際の損害とかってリアルにわかってるし痛い目見てるからいいけど、
まだこれから可能性があるっていうか、結局いつ起きるかだけの話で、
起きないってことはないわけじゃない?どんな会社でもさ。
ゼロにはできないですよね。
そうするとこれから起きる可能性がある人たちに、特に経営者とかに、
起きたらこんなに費用かかるのかっていうのをとりあえず知ってもらって、
さっきついさんが言ったような考えるきっかけになると思う。
結果うちは無理だなぁなるかもしれないけど、
そのうちの一部でもさ、なんかちょっとやった方が良くないみたいな。
これ事後にこんなにかかるなら事前にもうちょっとその何分の1かでもコストをかけて対策したらだいぶ違うんじゃないの?
とかね、そういう数字の判断とかできると思うし、
そういうきっかけではだいぶなるんじゃないかなと。
そういう意味ですごい価値はあると思うよ。
やっぱり言い続けることも大事ですからね。
特にさっき看護さんが言ったけど、
割とこの辺の数字がきっちりというか、幅はあるんですよね。
出てるものってそんなにないので、
そういう意味でも意義はあるんじゃないかな。
あとはなんかその、読む層は数字に近い人たち、
42:03
会社の組織のお金を動かすに近い人たちっていうところに響けばいいなっていうところの観点があるのかなと思ってたんですけど、
タイトルがインシデントの損害額っていうふうに書いてあるタイトルなんで、
ちょっとずれるのかもしれないですけど、
こういった事故が起きた時には、
ここの部署の人たちの稼働がどれぐらいかかるとかっていうふうなものもあるといいですよね。
私もちょっとそれ読んでて。
経営層だけ、経営層が決めるんだけれども、経営層が判断するから最初はそこだっていう要はそうなんだろうけれども、
例えばこれを見た、外向きに何かを発信しないといけない広報の方々が、
自分たちこんなに動かないといけないのか、
こんだけ時間取られるのかみたいな、
こういうやり取りが発生するのかみたいなところまであると、
それもある意味の損害じゃないですか。
そうですね。
やらなくてもいいこと、やらなくてもいいと事故が起きなければ発生しない出来事だったので、
そっちに人権余削ってことはインシデントにかかったお金という見方もできるので、
いろんなこういう部署が、この部署の人たちがこういうふうに動くよみたいなことがあると、
もうちょっとピンとくる人たちに刺さるようなものになるのかなっていうのは感じます。
ですね。よりリアルな数字になる感じしますね、そこが出ると。確かに。
見積もりが難しそうだね。
めっちゃ難しそうです。
それこそ本当の実例がなかったら出せないようなあれかもしれない。
確かに。
今月何に稼働を使いましたみたいなやつ集計しないとわからないんで、
本当の生の数字だと思うんですけど、結構いいものになるんじゃないかなと思いました。
出してよ、そういうの。
僕が?
そうだ、それだ。
2017年のデータ、残ってれば出せるんですけどね。
そうです。実際の、やっぱそういうのを起こしたところが出していかないと出ないような。
そうですよね。それちょっと面白いので言ってみようかな。
じゃあ次回起きよう。
そんな早くは無理やから。
そんな早くは無理。
聞くのはちゃんと聞くから。
起きないほうがいいからね。
来週までに事故が起きたらねって起きひんはそんなもんだから。
ごめんごめん。
失礼しました。
はい。
ということで、かもさん以上ですかね。
はい、以上です。
ありがとうございました。
ということでじゃあ次、ねぎさんお願いします。
私ですか。じゃあ私今週はさらっといきたいと思いますが、
実は先週に引き続きというかですね。
IoT機器絡みって言えばいいのかな。
そういった贅沢性の話を今日取り上げたいと思うんですけど。
何かというと、リアルテックという台湾のチップメーカーなのかな。
カニのロゴマークでね。
馴染みというか。
ありますね。
カニカニって呼ばれてるらしいんだけど。
そこのリアルテックのSDKに複数の脆弱性が見つかりましたというのが。
IoTインスペクターというところからアドバイザリーが出ていまして。
これをちょっと紹介したいんだけども。
結構そのリアルテック製のチップを採用しているベンダーって世界中にものすごいいっぱいあって。
その影響で結構その脆弱性の影響を受けるベンダーもかなり多数なんだよね。
45:04
少なくとも65ベンダーで百何十種類ぐらいの機種が影響を受けそうだというふうに記事には書いてあって。
それがどれくらい影響を及ぶんだろうというのが懸念点ではあるんだけど。
脆弱性はどんなものかというと、報告では4つ報告されてて。
そのうちの2つはユニバーサルプラグアンドプレイのサービスに関わるもので。
スタックオーバーフローとヒープオーバーフローがありますっていう。
それがコード実行につながるよっていうものなんだけど。
ややこれは攻撃方法がちょっと難しくて、そんなに簡単にズドンと一発攻撃できるというものでもないと。
それから4つのうちの残り2つは、1つはウェブの管理インターフェースの脆弱性で、そこでコマンドインジェクションができますよというもので。
最後の1つはUDPサーバーというデーモンがいて、そいつが外部からのコマンド実行を許してしまいますよというもので。
後半に言ったその2つの方は、これは非常に簡単に攻撃ができちゃうやつで。
CVSSのスコアも9.8になっていて、これはかなりやばいやつです。
4つともコード実行までできるのは非常に危険なんだけど、ちょっと難易度に差があるという感じですね。
基本的にはやばい脆弱性なんだけど、これいずれもいわゆるLAN側からしか攻撃できないはず。
内部ネットワークからですね。
インターネット側からは攻撃を受けないはずなので、であればそんなに慌てる必要はないというのは、先週話したのとちょっと似てるんだけど。
それがそれを額面通りに受け取れるかどうかというのがちょっとわかんないなというところだね。
これね、いろいろちょっとわかんないところがあるんだけど、今の段階で言うと2つ僕が気になっているところがあって。
1つはさっきも言ったけど、このリアルテックを使っているところがすごい多いんで、一体どれくらい影響が広範囲に及ぶかというのはちょっとまだよくわからない。
というのは、このアドバイザーに出したデータクセルを見つけてリアルテックに報告した人たちは、どうやってこの影響あるベンダーを見つけているかというと、
実はショーダンを使って特定しましたって言っていて、ショーダンでいわゆるSSDPというUDPの1900万ポートがインターネット側からオープンになっている機器っていうのが結構世界中に10万台あるから結構な数あるんだよね。
ショーダンはそれをスキャンしているんだけど、そのスキャンで引っかかってリアルテックのSDKをどうも使っているっていうのがバナーからわかるものを収集して、そこからそれを使っている実際のベンダーとか機種のナンバーとかね、
48:15
そういう情報も取ってこれて、ショーダンはそれを取っているんで、それを検索して該当するものを見つけましたってこの人たちは言ってるのよ。なので、もしかしたらそこから漏れているものも結構あるかもしれないっていうのと、
ショーダンで、要するにインターネット側からのスキャンではリアルテック使っているって見えてるし、脆弱性がありそうに見えるんだけど、本当にそれが脆弱性があるかどうかっていうのは彼らは全然検証してないわけよ。なので、これが本当に言ってる通りにこんなにいっぱい影響が及ぶのかどうか、ちょっと現時点でははっきりしないなっていう。
あとこれリアルテックには彼らが報告して、パッチというかファームウェアの新しいバージョンが出ているんだけど、それがOEM先というかリアルテックを採用している各ベンダーね、例えば日本だったらバッファローとかエレコムとかロジテックとかっていう結構有名どころが該当してるんだけど、そういうところにちゃんと情報が入っているのかどうかわかんないし、
該当する製品からそのベンダーがファームウェアアップデートを出しているかどうかっていうのははっきりしなくて、結局どの範囲まで脆弱性があるのかっていうのはよくわかんないのよ。
それも気持ち悪いですね。
そうそう、該当するところは多分ベンダーがアップデートとか出したり情報を出してくれるんじゃないかと思うんだけど、きちんとそういうところにハンドリングされているという形跡はないので、リアルテック使っているところがこれうちも該当するわって言って調べて対応すればするんだろうけど、なんかもう結構古い機種とかもあるからさ、何の情報も出ないところも結構あるんじゃないかなっていう。
ずっと残り続けてしまうかもしれないですよね。
そう、よくあるよね。古い機種だとそのまま脆弱性が残ったままみたいなのはありがちなので、なんかちょっとそういう風になったら嫌だなっていうのが一つ。
あともう一個の懸念は、これさっき基本的には全部ランガーからですって言ったんだけど、
例えばユニバーサルプラグアンドプレイの脆弱性っていうのは、さっき商談がSSDPでスキャンして結構空いてるやつを見つけてるって言ったけど、理想と現実は違ってて、実際には結構古い機種だと思うんだけど、インターネット側からアクセスできるっていう機種も結構多いんだよね。
まだまだ残ってるでしょうね。
最新の機種ではそんなことないと思うけど、実体として結構あります。スキャンすればそれだけ出てきます。国内にも結構あるんだよね。
さっきのユニバーサルプラグアンドプレイ関係のオーバーフローの脆弱性が2つあるって言ったけど、それも果たして本当にランガーだけで済むのかどうかっていうのがちょっとはっきりしない。
51:03
特にリアルテックのSDKって言うと、僕個人的にすごい過去の苦い経験を思い出すのが、CVAの2014-8361っていう有名な脆弱性がありまして、これは国内のロジテック製のルーターが影響を受けるってやつで、
2017年にミライアーションの大量感染を引き起こしたってやつがあって、いまだに結構残ってるっていう国内の関係者の有名な脆弱性なのをね、繰り返し繰り返し狙われてるってやつで、
あれもユニバーサルプラグ&プレイ関係の脆弱性だからさ、結局あれもインターネット側から攻撃できるやつがそこそこいるっていう実例が過去にあるわけなんで、
なんか似たような感じになったら嫌だなっていう、その懸念が2つ。結局その影響範囲がわかんないのと、本当に影響を受けるのかどうかとか、外側からも攻撃されちゃったりしないかなっていうか、そこら辺がちょっといまいち、今出ている情報だけでははっきりしなくて、
対象機種が大きすぎるから、検証するにしてもね、どれか一部を検証してくれる人はいるかもしれないけど、全部はできないだろうなっていうか。
そんな感じで、脆弱性は深刻なんだけど、実際の実環境での影響度がよくわかんないっていう。そんな状況があって、どこまでこれは注意を呼びかけていいのかよくわかんないなっていう。
こういうのって国内の当事者というか、ベンダー開発している、販売している組織が直接自分たちで気づいて動くっていうのは当然そうだと思うんですけど、当事者が直列に気づけていないケースの場合、そういうのを連絡してくれる組織ってあるんですかね。
JPサートとかかな、たぶん。わかんないけど。
何ですかね。インベントだったら連絡とかは当然してくれると思うんですけど、そういうのやる調整機能ってあるのかな。
CVEの番号はアサインされていて、リアルテックに直接これ報告されてファームのアップデートはされてるんだけど、
例えばこのテノス結構広く影響を及ぶやつだと、サートCCとかがコーディネーションをしたりだとか、それが各国のサートに連絡してみたいな大規模なコーディネーションが行われるケースって時々あるんだけど、そんな感じではなさそうなので、そういう動きはしてないんじゃないかなっていう。
こういう時に誰が温度をとって動くのかなっていうのはちょっと見えづらい感じですね。
理想的にはリアルテック今回使ってるところは全部影響を受ける可能性があるんで、リアルテックから取引先に全部連絡が行って、その取引先のベンダーが自主的に全部やって対応を出すっていうのが自然だけどね。
54:13
それでちゃんと全部届くかどうかはよくわかんない。よくわかんないし、そういう動きが実際に行われているのかどうかもよくわかりません。
ただ見つけた方はもうちゃんと報告したし、ファームも出てるし、90日経ったからいいよねって言って公開しちゃってるんで。
温度感を感じますね。
さっきちょっと難しいとは言ったけど、見つけた人たちはプルーフ・オブ・コンセプトの行動で実際にシェルが取れるっていうのを実証してるんで、
行動は出てないけどね、行動は公開されてないけど、実証はされちゃってるんで、いずれ誰か他の人がやってもおかしくないなっていう。
早かれな感じですね。
はい、そんな感じなんで。
実は蓋を開けてみたら影響を受ける機種はほとんどありませんでしたっていう結果だったらいいんだけどね。
過去のケースを見るとそうはとても思えないので、特に古い機種とか放置されてるやつはやばいと思うんだよね。
新しめの機種はね、今回のも結構新しめの機種も対象に入ってるんだけど、新しめのやつは多分大丈夫だと思うんだ。
多分。分かんないけど。
なので一応、予防策っていうか、後でアドバイザリーのリンクを貼っておきますけど、国内のメーカーのやつもいくつか入ってるんで、
自分の使ってるやつ入ってるって思ったらファームウェアをちゃんと最新にしておくぐらいはしておくのと、
あと不要であれば基本的にインターネット側からは極力アクセスできないように設定をオフにしておくっていうのは基本なので、
それぐらいの設定確認するぐらいしかそういうことないかなという状況ですね、ユーザー側は。
オタクのルーター、リアルテック使ってるかって聞かれても多分誰も分かんないよね。
そうそう、分かんない。
中身までは分からないですね、外見は分かっても。
外見ぐらいですもんね、せいぜい。
蓋開けてチップ見なきゃほんと多分分かんないっていうレベルだからさ。
ルーターなんて開けらんないですしね、普通に。
それがかなり難しいよね。
使ってるルーターとかだったら買ったベンダーのサポートとかちゃんと情報を出してくれないとユーザーには届きにくいなっていう。
そんなのが今週もまた出てたんで、ちょっと2週続けてですけど取り上げてみました。
有益でした。
はい、ありがとうございます。
ということで最後僕なんですけれども、ランサムウェアの関係する話をまた。
57:05
いいですね。
違うやつにしようかなと思ってたんですけど、ちょっと気になるやつが出てきてしまったんで、
ある文章を読んでみたよっていうのの中身をちょっと軽く紹介したいなと思ってるんですが、
文章のタイトルがちょっと長いんですけど、
プロテクティングセンシティブアンドパーソナルインフォメーションフロムランサムウェアコースドデータブリーチスっていうやつで、
ランサムウェアによって起きたデータ侵害から機密情報や個人情報を保護するためのガイダンスというふうなものが、
皆さんもこのポッドキャストをお聞きになられている方であればご存知CISAですね。
CISA、お二人もご存知ですか?CISA。何の略わかりますか?
CISA、Certified Information Systems Auditorではないですからね。
でもそっちの方が有名かもな。
日本語で検索するとそっちが上に来ちゃうんじゃないかなと思うんですけど。
そうだろうね。海外の省庁とかそんな知らんもんな。
本当はサイバーセキュリティアンドインフラストラクチャーセキュリティエージェンシーっていうところ、
アメリカの国土安全保障省の参加にある組織というところで、
このポッドキャストでも度々取り上げてきているCISAからさっきの長い名前の文章が出ていたというふうなことなんですけども、
これはランサムウェアを防ぐようなガイドみたいなやつっていうのは、
ランサムウェアガイドっていうのは昔、昔ってことでもないですが、
去年の今頃ですかね、9月ぐらいでしたかね。
出たやつを10月だか11月だかにポッドキャストでも取り上げたかと思うんですが、
それから時間が経ってデータ侵害、ランサムウェアってどうしてもシステムをロックするっていう経路がずっと強くて、
二重脅迫といったものが出てきてデータも盗まれてそれをネタに脅迫されるよっていうところがあるので、
それを踏まえての機密情報や個人情報を保護するという、
ランサムウェアとこの2つが繋がったようなドキュメントっていうのがあんまなかったので、
これちょっと読んでみようかなというふうに思って読んでみました。
この文章の対象なんですけども、
対象は重要なインフラストラクチャー組織を含む全ての政府及び民間部門の組織という風になってました。
めっちゃ広くないですか、パッと見た瞬間。
対象って言えるのかっていう感じ。
見た瞬間、僕ね、ある指摘を、指摘というかね、ある予測みたいなものを思い出したんですけども、
どんなものかというと、山梨県を含む関東、東北、中部、北陸、または近畿中国、四国、あるいは沖縄、北海道、もしくは海外に逃亡者と思われるという名言を残された方がいらっしゃいましたけれども、
それを思い出したぐらい幅広いなというふうに思いました。
ちなみにさっきのやつを聞くと全部じゃないかというふうにカンゴさんみたいに反応されると思うんですが、
山梨県を含むうんたらかんたらってよく言うと九州が含まれてないっていうところがあるので、
この文章は個人は含まれてないのかなというふうなところを思うようなところでございまして。
1:00:00
目的はランサムウェアによるデータ侵害の防止と対応に関する情報を提供しますということが目的の文章だそうです。
枚数にするとPDFで、これA4サイズなんですかね、4枚ぐらいのやつなので、
そんなに開いてみたときにそんなにボリュームのあるようなものではないなというふうに思って見ていたんですけれども、
この文章自体は大きく分けると3つぐらいの項目に分かれていて、
ランサムウェア攻撃を防止するにはこうしましょう。
あと機密情報及び個人情報を保護するにはこういうふうにした方がいいんじゃないか、こういうことに気をつけましょうとか。
3つ目、ランサムウェアによるデータ漏洩への対応をどうしていくかというふうなことが書かれてあったんですが、
僕はこのタイトルを見たときには、僕の期待してた内容というのは暗号化されるだけじゃなくて、
暗号化されるのであればバックアップとかそういったところを取っておく、
そのバックアップを安全に戻せるように取っておく、すぐに戻せるように訓練をしておくみたいなところで、
なんとかするという手段があったようなものが今はデータを持っていかれてしまうので、
それをどうして防止していくかというようなことを結構具体的に書いているのかなというふうに思ったんですが、
そういうものではなかった、結論から言うとそういうものではなかったというふうなものでした。
さっき言った1,2,3のところで、1のランサムウェア攻撃の防止というのは散々いろんな文章、
今までここのポッドキャストとかでもランサムウェアガイドをはじめ紹介してきたりしているので、
さっき挙げた2と3のどこにあたるようなところにどんなことが書いてあったのかというところを紹介したいなと思います。
まずさっき言った2番目にあたる機密情報および個人情報の保護というふうなところに書かれてあったところをピックアップして紹介しようと思うんですが、
まずはシステムに保存されている情報およびその情報にアクセスできるユーザーを把握しましょうというようなことが書かれてありました。
これはよく言われるやつなんですが、業務に必要な情報のみを保存する、データを制限しましょうと。
そのデータがいらなくなったときにはちゃんと適切に破棄するというようなことをしましょうねというごく当たり前のことが挙げられていたりとか。
あとは、これあんまり僕たちが扱うようなネットワークセキュリティ的なところではあまり上がってこないようなものかもしれないですが、
物理的セキュリティのベストプラクティスを実装しましょうというようなところがあって、
そのためのこのガイドから呼ばれているガイドみたいなものがあったりするんですが、
アメリカのFTCという連邦取引委員会というところの文章が2つ挙げられていて、
またCISAから出ている文章が1つの計3つを参考にしてくださいというふうなポインターが示されているというふうなものでした。
物理セキュリティのベストプラクティスってどんなもんじゃいというところで、
FTCの文章もさささっと見てみたんですけれども、
1:03:02
どんなものかというと紙の文章とかですね、
そういった個人を特定できるものはきちんと施錠された部屋とか、
施錠されたファイルキャビネットに保管しましょうみたいな、
セキュリティ、広い意味でのセキュリティポリシーとか、
ISMSとかそういったところにも出てくるような物理セキュリティのよくあることが書かれてあるというふうなところですね。
ここ結構ですね、物理的なところっていうのは、
本当に必要な人が必要な情報にアクセスできるようにしっかりしましょうみたいなところって、
結構大事になってくるんじゃないかなというふうに思いました。
というのも、これはCISAがそれを意図して入れたのかどうかっていうところまでちょっとわからなかったんですが、
前回紹介したような6ビットの2.0ですね、
みたいに内部の人間をそのかそうとしてくるようなアクションがこれから増えてくるかもしれないということが考えられることを見ると、
こういった中の人も本当に必要な情報にだけアクセスできるような状態なのかとか、
必要な人にだけ目に触れるようになっているのかみたいなところを制限するっていうところは、
そういうところの効果が出てくるのかもしれないなというふうに思ってこれを見ていましたというふうなことがあります。
あとはですね、他にはインシデント対応とコミュニケーション計画、データ侵害インシデントへの対応と通知の手順が含まれていることを確認しましょうということが書いてあったんですが、
これ何かというと、起きた事故に対して報告しないといけないところとか、
それにまつわるような法律、アメリカとかだったら州法ですね、
そういったものをまとめてあるサイトみたいなのがあるんですけど、
NCSLっていうところが出している全米州議会議員連盟かなっていうところの各州ごとのですね、データセキュリティ違反ですかね、
そういったものを起こした時の法律みたいなものがまとめてあるサイトがポイントとして示されてあったので、
これは自分たちが事件、事故に巻き込まれた時、起こされてしまった時にどういったところ、監督官庁とかですね、
こういったフォーマットでどこに報告するべきなのか、どういった法の下で動かないといけないのかってことをちゃんと確認しておきましょうというようなところも、
僕たちが普段触れているようなそういうテクノロジー的なものではなくて、
自分たちがどう振る舞うか、組織としてどう振る舞うかということを確認しておきましょうみたいなことを書かれてありました。
もちろん技術的なベストプラクティスのことも、例えばネットワークセグメンテーションちゃんとしましょうねってことも、
この文章の中にはいくつか挙げられているような形になっています。
それが2つ目のところですね。
3つ目のところがランサムウェアによるデータ漏洩の対応という3つ目の項目なんですが、
ここは僕が先から紹介していたランサムウェアガイドのチェックリストというところがあるんですけども、
もしご覧になられていない方いたら、ちょっと第何回か忘れたんですけども、紹介しているので検索してこの文章を見ていただければいいかなと思うんですけども、
どんなものがあるかというと、影響を受けたシステムを特定してすぐにそれらを分離できるようにしておきましょうとか、
1:06:08
あとは影響を受けたデバイスを切り離せないとか、何かしらの事情があってネットワークをシャットダウンできない場合は、
感染したデバイスの電源を切るという判断もありだと、
揮発性の高い証拠を失う可能性を受け入れて拡大を防ぐということを優先する場合にそういったことをしましょうね、みたいなことが書かれてありました。
あとはあれですね、これも多分ランサムウェアガイドのときに紹介したかもしれないですが、
実際に起きたインシデントの対応していく中でチームと話し合って何が起きたかという理解を深めつつ文章化をちゃんとしていきましょうね、
というふうなことが書かれてありましたというところですね。
あとは初期の緩和アクションが不可能な場合というところには、
これ難しいなと思ったんですけど、影響を受けるデバイスのサンプルシステムイメージとメモリキャプチャを取りなさいと書いているんですね。
止められないとかいろんな対応ができない場合はせめてそれだけをやって先行マルウェア、先に入ってきた手引きしたようなマルウェアのサンプルとか関連ログの収集をしなさいと書いているんですが、
これ読んでて前も同じように思ったんですけど、なかなかハードル高いこと結構いっぱい書いてるなっていうところがあったので、
自分たちがそのハードル高いというふうに感じてなかなかできてないことを洗い出すっていうようなことを今一度やってみたほうがいいんじゃないかな、
そういう生かし方があるんじゃないかなっていうふうに見てて感じました。
なのでこのザーッと見ていくと特に何か真新しいことが書かれてあったりとか、確かにそれすればいいかもなみたいな大きな気づきを与えてくれるようなものではないかなっていうふうに読んでて思ったんですが、
再確認をする上で、分かってるけど定期的に何でもかんでも見直すっていうのは大事なのと同じように、
こういったものが出たタイミングに触れてみて、こういうドキュメントがあったなとか、
あとは日本ではこういったドキュメントあまり出てないけど、海外ではこういうのが当たり前のようにいっぱいあるんだなとか、
向こうの文章って積み重ねがやっぱりあるなっていうふうに読んでて感じましたね。
この4枚にまとまっているけれども、そこからポイントされるものは過去からの積み重ねみたいなものがあるので、
それを再度見直す機会にするっていうふうなことにはこういった文章が出てくるのってすごくいいんじゃないかなというふうに思いましたね。
あとはさっきちょっと物理セキュリティというところで触れましたけれども、文章の側、僕たちがやるべき対策ですね、
テクノロジー的な対策、組織としての対策みたいなものが書かれてある文章側があんまり大きく変わっていなかったとしても、
攻撃側の変化、さっき言った6ビットみたいなですね、攻撃者の手口、
あとはそういう脅迫してくるやり方、脅迫のネタみたいなところが変わってくるというふうなことがあるので、
片方が変わっていなくても、片方が変わってきたら、それはこっちでこれで対処すればいいんだ、
物理的なものっていうのも改めて見直さないといけない、内部の人間が悪さを示唆すっていうふうな可能性、
1:09:06
向こうの側に回ってしまうということを考えたら、目に触れる情報一つにしても気をつけておかないと、
それを外に持ち出されてしまうとってことを考えることになるので、
片方が変わると文章が変わらなくても、対処する側としては改めて点検し直すポイントにもなるんだっていうようなことがあるので、
こういった文章を追いかけつつも、攻撃側の変化っていうのを知っておく、
もしくは僕たちみたいな人間が多くの方に伝えていくっていうことの重要性っていうのを改めて僕は感じたなというふうなところでございます。
以上でございます。
はい。
いやちょっと切れ目がないからさ。
え、なんすかなんすか。
いいんだけどさ、いいんだけどっていうか、レポートの内容を切れ目なく最初から最後まで説明していただいたので、
ちょっと途中で突っ込めませんでした。
あ、ごめんなさい。申し訳ない。なんか途中から僕もね、なんかこれ講演かっていう気になりました。
黙って聞くとかいいのかなって。
なんかね、喋ってて、たまにあるんですけど。
いやスイッチ入ったらこれ切れないんじゃないかと思って。
これはもはや切れないんじゃないかと思って。聞くしかないかみたいな。
拝聴しておりました。
拝聴しておりました。
申し訳ないです。僕もなんか思ったよりまとまって喋れたなって思いながら。
目的を見失った感じにはなって知ってるんですけど。
あれだね。最後言ってたけど、ちょっと俺もさ、聞いてたっていうか、タイトルから想像したのとはちょっと中身が違ったなっていうか。
そうなんですよ。僕もそうでした。
なんかね、もうちょっとその、昨今の二重脅迫っていう部分にちょっと焦点を絞って、
暗号化される前に盗まれるという場合に何を注意すればとか。
ちょっとよくわかんないけど、情報流出をどうやって防げばっていうこと。
特にその、いわゆる普通の情報漏洩っていうか、サイバーエスピオナー味的なものと違って、ランサブウェアにそれが付随している場合は何が違うのかとか。
もうちょっとそういうことが述べてあるのかなと思うんですけど、書いてある対策はもうちょっとふわっと一般的なことが書いてあるんだね。
なんかその、昨今のこの二重、三重脅迫もいろいろありますけれども、そういったものを踏まえて、このタイミングだから出した文章っていう感じは受けなかったですね。
まあ別に間違ったことは言ってないというか、非常にためになることは書いてあるけど、あんまりタイトル的なものに引きずられない方がいいかもしれない。
そうですね、それも併せてちょっと紹介しようと思ったのが一つのモチベーションだったんですけど、今回の。
1:12:03
はいはい、そうですね。
でもね、なんかこの文章をこういうの見てると、言葉の言い回しとかも結構勉強になって。
例えばこの文章の、もちろん英語で書かれてあるんで、僕の超医薬みたいな感じになるから、ニュアンスは人によって違うのかもしれないですけど、最初の方に書いてあった何気ない文章の中に、
全ての組織はランサムウェアインシデントの犠牲になるリスクがあります。それと同時にシステムに保存されている機密データや個人データを保護する責任があります。
なんかすごくこれ響いたんですよね。
どうしてもこういうランサムウェア事案とかこういうインシデントが起きていることに対抗しようって考えた時に、自分たちのリスクを考えるけども、
責任っていうところまで考えて動くかっていうと、あんまりそこまで考えが及ばない場合も多いのかなっていう気がするんですよね。
やられたらどうしよう、やられないようにしよう、で止まってるケースが結構多いような気がしてて、
当たり前なんですけど、ちょっとハッとさせられるようなことが書かれてたなって僕は思いましたね。
同時にこの責任もあるんだよと、リスクがあるけど責任があるからちゃんとしようねって当たり前のことなんですけど、
あ、確かに改めてそうやなっていうのを傷かされて、忘れかけて薄、長くやってればやってるほど薄れていくものを引き戻してくれるような文章やなって僕は感じましたね。
従来型のいわゆる二重脅迫でないいわゆるランサムウェアだと、暗号化タイプのランサムウェアだと、やっぱりどうしても被害の意識が自分たちに向きがちだっていうか、
それが使えなくなってシステムが止まっちゃって、結果お客さんに迷惑をかけるっていう可能性はもちろんあるんだけど、
でもシステムが暗号化されて止まってしまうことによる直接的な影響っていうか被害っていうのは自分たちがまずあって、
お客さんには多少システムが止まって迷惑はかけるけど直接迷惑はかかりませんよみたいなケースと比べて、
だいぶそこの考え方っていうかね、違うんだよっていうのは改めて言われてみると重要なポイントかもしれないよね。
単に自分たちのサービスを復旧させればいいって話じゃなくて、
だって実際バックアップがあって復旧はできるけど、あるいは暗号化もされてないからそういった被害は受けなかったけど、
流出しちゃったデータを消してもらうためにお金を払うところもあるわけじゃん。
いわゆるランサムのサービスが使えなくなるというリスクとはちょっと違う。
さっき言った顧客への責任というか、流出したデータを守る責任をどう捉えるかっていうのはちょっと観点が違うよね。
1:15:05
そこが厄介なところっていうかね、2つの観点が混ざって両方とも攻撃者は狙ってくるから、
それへの対処っていうのは確かに言われてみればそうだよなって感じだよね。
なんかね、すごくシンプルで大事やけど忘れがちみたいなところの文章かなと思って。
なんかね、ドラマなんかな漫画なんかな。
昔に触れた言葉を思い出して、我々の仕事は我々のためにあるんじゃない。他人のため、世の中のためにあるんだ、みたいなことを何かの主人公が言ってたのを思い出しましたね、これ見てね。
何のセリフかわからないですけど。
俺も全然わからなかったけど。
お二人もピンと来なかったけど、もしかしたら何のセリフでもなくて僕が言ったのかわからないけど、そういうのを思い出したなっていうところですね。
そういう意味で改めて読み直してみるっていう意味では、アメリカの政府機関が出したアメリカ向けの文章ではあるけど、国内の組織が読んでも別に全然構わないし、
いろいろ気づきはあるかもしれないね。
あとは文章をザラザラと眺めてて初めて気づいたんですけど、CISAのキャッチフレーズがかっこいいなと思いましたね。
なんだっけ?
Defend today, secure tomorrow。
そんなキャッチフレーズがあるの?
そうなんですよ。文章の右下に書いてあるんですよ。
今日を守る安全な明日のために、的な感じの文章なのかな。
キャッチフレーズがあるって、あんまりこういうのないですよね。
政府機関のキャッチフレーズってあんまりピンとこなくないですか?
まあいいかもね。分かりやすい。
そうそうそうそう。いいなと思いましたというところでございます。
ということで、ちょっと今日は長めになってしまいましたね。
じゃあおすすめのアレさらっといきます。
何でしょうか?
おすすめのアレは、これはAmazonプライムの方しか見れないんで申し訳ないんですけども、
誰かが見ているっていうやつを見たんですよ。
はい、それは何でしょうか?
これは三谷光輝っていう監督とか脚本とかされてる方、古畑忍三郎とか代表作にありますけども、
いろんなやつあるんですよ。ラジオの時間とかいっぱいありますが、そういった作られてる方が作っていて、
出てるのがかとり慎吾さん。元SMAPって言えばいいんですかね。
新しい地図になってるのかな。新しい地図だから略すとNMAPになるんですけれども。
それはちょっと違う。
NMAPみたいな。それとはいろんな方が出ているんです。
あと佐藤二郎さんとかですね。演技派ですよね。
これはアマプラで流れてるドラマなの?
アマプラドラマですね。アマプラで作ってる。
最近結構配信サービスオリジナルドラマって多いじゃないですか。
ネトフリーオリジナルとかアップルオリジナルとか。
それのアマプラオリジナル。Amazon Studio的なところで作られてますみたいなやつなんですけど。
1:18:06
これは結構前からすごい宣伝されてたんですよ。
かなり前に出てたと思うんですけど、僕ちょっと敬遠してました。見てなかったんですよ。
なんでかっていうとCM自体がカトリー慎吾さんがちょっとおとぼけたキャラクターみたいな。
どっちかというと昔の70年代80年代ぐらいのアメリカンコメディみたいなものをイメージして作られてると思うんですね。見てると。
お客さんがいる体でカメラを入れてるところをスタジオで撮ってるみたいな感じの2つの部屋があったりとか。
こんな感じのやつをやってて。
個人的にカトリー慎吾さんだけやったらあんまりピンとこないなと思って見てなかったんですよ。
最近軽く寝込んでたみたいなところがあって。
あまり動けないいろんな諸事情がありまして。運動とかもできなくてっていうのがありまして。
見るもんないなと思ってちょっと見てみたんですよ。
見てもないのに思わなさそうとかはあかんと思って。
いい機会と思って見てみたら、周りを支えるキャストがいっぱいいる。
僕はこのカトリーさんだけだと思ってたんですよ最初。
そうしたらすごい僕が好きな女優さんなりいろいろ俳優さんとかが出ていてですね。
脇を固めるブテランチみたいな。
全体を通して見れば脇の人たちがすごくカトリーさんを上手く盛り立ててるっていうところがあって。
それも見谷幸喜さんの腕なんやろうなと思って。
最終的には見てよかったなと思ったんですけど。
特にすごい強いメッセージとかがあるわけではなくて。
本当にお茶をあげてて肩の力抜いてどんだけ体がだるかったりしてもぼーっと見ててもなかなか面白いクスクスみたいな感じの内容になってるんで。
もしプラに入られてる方がいて、最近見るのないなと思って飛ばしてたらちょろっと見ていただければいいんじゃないかなと。
好き嫌いは上がれるかもしれないですけど、僕は懐かしい感じもしよかったなと思いました。
昔のシットコム的なそういうのをイメージして作ってるのかな。
そうですそうです。
なんていうかな、例えばフルハウスとかああいう感じのノリ。
ご存知の方は。
プラでちょっと見てみます。
というふうなところでございました。
じゃあ以上ですかね。
ちょっとオーバーというか長めだったんですけどもお付き合いありがとうございました。
また来週のお楽しみです。バイバイ。
バイバーイ。
01:20:50

コメント

スクロール