ポッドキャストの進捗
250回目ですよ今日。
え?
そうね。
ね。なんか。
全然気にしてなかった。
あ、ほんとに?
節目感ないけどあんまり。
確かに。そうですね。
今までありました?逆に。
何分とか50回ってどこにないのかな?
え、なんか200回とかはちょっと結構。
そうね。100回と200回はちょっと節目感あったかなっていう。
あーー。
まあでもあれか1000回目指してると考えると4分の1来たって感じね。
まだ4分の1か。
すごいの来ましたね。1000回。
1000回って何年かかんの?あと。
1年で40回とかでしょ?
そうね。
7年?
あと10年はかかる。
あと10年か。
あと10年。10年じゃたどり着かないな。
10年じゃ進まないですね。
あと15年くらいかかるわ。
そうですね。
あ、そっかそっか。1000回やもんな。そやそや。500回じゃないもんね。
5年で250回って感じだな。
ちょっと500回くらいにしましょうかまた。
1000回10年か。
1000回。
ちょっとあんまり遠く見るとちょっと悩えるからさ。
まあまあまずは300回目指してね。
そうですね。300。
急凍機の故障
そんなこんなでこのなんかもう最近東京も雪降るかもとかってごっつ寒いじゃないですか。
なんか今日めっちゃ寒かったよね。
そうほんでそんなタイミングで大事故が我が家で発生しましてですね。
あら?どうした?
急凍機壊れてん。
あ、急凍機。お湯が出ない。
シャワーとか。
あのねシャワーも無理でしょ。コンロ無理でしょ。浴室乾燥無理でしょ。
で、床暖房無理。
コンロって料理に使うコンロってことですか?
そうよ。
ガステーブルがじゃあ使えないってことなんですか?
あの急凍機のやつでもそのなんか結構致命的なエラーが出て。
へー。
なんか熱のコントロールするやつがもうこれアカンみたいなんで
これ使い続けたら火事なるでぐらいのこと書かれててもう使えないんですよ怖くて。
あーじゃあ交換なわけだ。
そうでねその修理する言っても結構な交換が必要らしく
修理だけで10万超えるんですよ。
それやったらもうなんかもう耐久年数的にもうそろそろって感じなんですよ。
僕の今使ってるやつが。
大体ね10年とか15年とか言われてますよね急凍機って。
そう壊れてもおかしないとこやからもうそんな修理でこう間に合わせで10万も使うんだったら
もう新しいのに変えた方がいいかなと思ったんですけど
在庫とかもあるやんそれって。
で結局今も使われへんね。
あーそうなの?
2日目2日目。
2日目か。
で明日昼ぐらいかな昼過ぎぐらいに治るかみたいな感じ。
交換できるかみたいな感じで。
でも良かったねそんなに長引かなくて。
いやでもねこれねほんまにねこれあの僕のような生活をしている人の特有の脆弱性やなと思ったんですけど
僕出かける前に必ずお風呂入るっていう運用なんですよ。
なんかいつもそうだよね。
でねあの近所のその銭湯とか調べたの。
そうしたらもうのき並みなんか15時ぐらいが大体始まる時間なんですよ。
あーそうかそうか。
だいたい早お風呂入りがちおじおばあの時間帯から始まって
そうほんであの夜の人みたいなのあるからその夜にお風呂寝る前にお風呂入るのが習慣の人には別に銭湯を使えばいい話なんですよ。
でも僕朝入ったりとか出かける前に入ったりするから出かけられへんのですよ。
どうしたの?
でね今日も美容室行かなあかんかったんですよ。
だからあのホテル。ホテルにお風呂だけ入りに行った。
あー近くの?
いやいやいやもうあの男女で行くようなとこですよ。
どういうことよ。
ま男女いや男女とは限らない。
急になんか変なホットキャストになりましたけど大丈夫ですか?
あの一人で行くようなホテルじゃないところに
それそもそもさ一人だと入れてくれないとかないの?
いやそんなことないですよ。
あーそうなんだ。
事件とか事故とかを防止で結構一人はごめんなさいしてるところもね聞きますけど。
ちゃんとしたホテルに行きたい気持ちあるけどそんなお金がねかかるやん結構。
あーそうか安いからっていうのもあるのかな。
結局安いし広いし設備も整っててドライヤーとかもねちゃんとしたやつ置いてたりとかスキンケアとかもなんかそれでもちゃんと充実してるんですよ。
なるほど。
で朝に行ったんですよ。夜に行ったら満室かもしんないじゃない。
だからもう人がちょっとでも減ってて部屋が空いてそうなところ行こうと思って朝方行ったんですよ。
ほんなら今日雨ですわ東京は。
そうね。
雨ちょっと降ってへんかったんですけど途中からパラパラし始めて傘買おうと思ってコンビニに入って。
傘持ってけよ最初っから。
あんだけね雪降るとか言われてたんですかね。
そうだよ。
確かに確かに。
今日は絶対雨だっただろう今日は。
ほんならね最近ビニール傘も高いんですよ。
あそうなの?500円とかじゃないの?
いやいやいやなんかちょっと大きい方がいいなーみたいに思って大きいの買ったら948円って言われて。
まあまあそれぐらいするでしょうよ。
おっかと思って。
高くないわ。
高いよほんでそんな1000円もする傘持ってあの4軒はしごしたわもうホテルが空いてへんねん。
へー。
お一人おじさんがもうねそんなところでうろうろして。
あまああれか週末だから混んでんのか?知らないけど。
いやもうなんか悲しかったわ。
ホテルはともかくガスも使えない給湯もシャワーも入れないわそれはちょっと不便だな。
いやほんまそうですよなんかあのいろんなねこのご時世いろんなものが進歩してAIだなんだドローンだなんだとか言うてるけど
こんなほんまに生活に必需品的なものが突然壊れるんですよ。
確かにね突然壊れるしすぐに直せない交換できないっていうものまあ結構あるよなそういうのは。
だってこんなの予備なんか置いとかれへんやんこんなもん。
なんか予兆的なのなかったんですか?
ないんすよだからそういう予兆とか欲しいんすよだからもうなんか俺そろそろあかんかもせえへんとか言えよアナウンスで。
そういうインテリジェンス欲しいよねちょっとね。
欲しいわほんまにもうなんかすぐそこにあるリモコンで操作する電気をわざわざ声でつけたり消したりするぐらいやったら。
そっちは発展してるのにね。
そんな壊れる直前のことの告知もできへんね。
お便りとセキュリティ情報
でまあちょっと明日まで僕はもう大変な思いをするというお話をね共有したわけなんですけど。
お疲れ様で。
お便りに入っていこうかなって今思ってるんですけど。
お願いします。
お便りに入っていく前にですねこの間あのちょっと会食に行ってきたんですが。
仕事のね仕事の関係の。
そしたらそのそこでそのまあちょっとあるところで僕がその講演をさせていただいたんですよ。
会社の中でねインハウスって言えばいいんですかねそういうのって。
でやってその僕の話を聞いてアレ勢になった方が。
その人もその会食にいらっしゃってたんですね。
そう本当あの聞くようになったんですっていう風に言うて。
でまあちょっとこうコンテンツ系とかも強い会社さんなんで。
お土産とかくださるんですよ。
よかった使ってくださいみたいな。
その中にですねマンゴーのドライフルーツとオイコスと流角酸タブレット入ってたんですよ。
最近おすすめしたものばっかりじゃん。
そうおすすめ返しされたんですよびっくりした。
しかもなんか開けて初めて気づいた。
おすすめがさなんか欲しいものリストみたいになってんな。
びっくりしてなんかちゃんと聞いてくれてはんねーやと思ってね。
まあそういうアピールもあるのかな。
いやいや嬉しいなと思って。
だって絶対喜ぶって間違いないもんね。
だって僕がいいと思ったやつしか紹介してへんから外れるはずがないんですもんね。
そっかそういう狙いがあったのか。
いやいやいやいや。
よかったなと思ってね。
だからこれからはあのおすすめのあれプレミアムばっかりやろうかな。
欲しいだけやろそれ。
欲しいだけってでも使ったやつやから掃除機2個もいらんしなっていう話。
そんな感じなんでちょっとねありがたいなという紹介いたしました。
じゃあお便り入っていきますけれども。
質問が来ておりましてですね。
皆さんはどこから最新のセキュリティ情報やニュースを取り入れてますか?
ということで皆様がポッドキャストのネタをどこから仕入れているのか気になっています。
特によく見るサイトがあればぜひ教えてくださいということなんですが。
シンプルだ。
よく聞かれる話だよな。
そうですねよく聞かれるけど最近あんまりそんなに聞かれてなかったな僕はこれ系の話。
どうですかお二人は。
僕でもずっと変わってないっていうか。
特定のサイトをよく見るとかニュースサイトとかまとめサイト的なのを見るっていうことはあんまなくて。
基本的にあの自分で集めた rss のフィードを毎日巡回して見てるチェックしてる。
あとあれかなその x は一応補助的にというか確認でみたりするかなっていうぐらいで。
ほぼそのやり方はここ何年もずっと変わってないの。
あとネギさんなんか昔人で見るって言ってなかったっけ。
人で?ああそれはあれでしょメディアの記事を誰が書いてるかでチェックするっていう。
そうそうそうジャーナリスト縛りみたいななんかというか。
縛りじゃないけどあのその rss で巡回してみるときにこの人が書いた記事だったら結構ちゃんと読むとかっていうその。
はいはい信頼性とか。
そういうのはあるよね。
ただ別にそれだけ見てるってわけじゃないけどね。
カンゴさんはどうですか。
私も基本はなんだいろんなニュースサイトを rss 経由では見てるんですけど最近は少し変わった点としては直接記事を見るだけじゃなくてだけじゃなくてっていうかその手前で一回あの
この生成AIで要約させたのを見てる感じですかね。
それが多いかな。
僕もそれはやるかな。
特にそのポッドキャストとかで取り上げるネタとかをたまに調べるときに生成AIを使っていろいろ調べたりするってことは。
そうですね。
それはあるかな。
だから記事のネタっていうかそのポッドキャストのネタは毎週その1週間振り返ってそういう自分がチェックしたネタの中からピックアップするって感じだね。
そうですね。
僕もだいたいやっぱりメインは rss かな。
なんかそのどのサイトというわけではなく登録してみたいな。
で追加もするしなっていう感じではあるけど。
あとはなんかこうちょっと違った切り口っていう風な意味だとOTXってサイトあるじゃないですか。
あーはいはいはい。
そのオープンスレッドエクスチェンジャーだっけ。
確かに。
エイリアンボールとかなんかで。
そうそうエイリアンボールのやつ。
そこのOTXに気になる投稿する人をフォローみたいな感じで見て。
その投稿のやつをパルスって呼ばれてるんですよ。
その中身を見て気になる事件とかIOCとかを書いてるようなやつを開いてそこからそのニュースソースを見るみたいなことをする。
へー面白いね。なるほどね。
こういう注目してる人がおるんや。それのソースはこのニュースか。へーこんなことあったんやみたいので行く時もあるかな。
そんな多くはないけどね。そういう見方をする時もあります。
あれだよね。そういうどういうところのサイトをよく見て情報セキュリティの情報収集してるかとかそういうのをまとめで記事にしてくださってる方もいるから。
確かに確かに。
そういう人たちの参考にするってのもありなんじゃないかな。
最初は気になるニュースサイトとかをRSSで公読するようにしてそこからまた広げていくって自分の型作るのが一番近いという気はしますけどね。
あと質問してる方がどういう段階とかレベルで言ってるのかわからないんだけど。
取り組みレベルね。
これからそういうチェックを始めたいとかっていう、もしそういう段階なんだったら、まず最初は例えば僕は最近あんまりそういう投稿してないけど、
SNSでの情報収集の重要性
例えば看護さんとかさ、他にもそういうのをSNSで定期的にそういうネタをTwitterだったり、TwitterじゃないXだったり、ブルースカイだったりわからないけどそういうのに投稿してる人いるじゃない。
そういう人でこの人の取り上げるネタは面白いなと思った人をフォローするあたりから始めるのが始めやすいんじゃないかな。
確かにそれもいいかもしれないですね。
直接いろんなところを見て回るっていうのは結構ハードルが高いんで。
あとニュースサイトもちゃんとしたしっかりしたまとめとか記事を取り上げてるところもあるけど、
割とそうでもない、ただ段に寄せ集めてるだけみたいなところもあるから、そういうところを見るのは僕はあんまりそんなにお勧めはしないけどね。
サクッと見るんだったら、最近だと前から有名な方ですけど、金パヌさんでしたっけ?
ディスキービジネスニュースになってるんですかね今は。
あれはかなり網羅的にまとめてくださって。
あれはめちゃくちゃお勧め。
割と見るっていうのですごいまとまってるので。
あれ僕なんかポッドキャストで紹介したことあるかな。
されてましたっけ?
気がするけど、あれは今月水金って週に3回ニュースレターを配信してくれてて、なおかつ今看護さん行ったみたいに非常に網羅的で、
僕も自分のチェックから漏れてるやつないかなっていうのでよく見てるよ。
答え合わせじゃないですけどそういう。
ああいうのはすごく助かるよね。
確かにそういうのを見るのもありかもしれないね。
やり方を作っていって、自分での絞り込み方みたいなのも一緒に考えたほうがいいかな。
そうですね。
溺れちゃうんでね、そうしないと。
前回の看護さんの話で、レイオフの話あったじゃないですか。
大英博物館の。
それに関してといいますか、レイオフ自体の話ということで、現場の方なのかなというご意見が来てるんですけども、
現実、急な解雇は相手に恨みを持たれるので、システムエンジニアの解雇はリスクなんですよねと。
BCP 対策でアプローチを知ってるし、システムの権限変更、入体数カード変更にも時間がかかる。
僕たちに対してですね、お三方の組織でも、解雇通知から解雇以降で変更にどのくらい時間がかかるかというのを一度確認してみてくださいと。
日本だと解雇や退職は最終日まで社内にアクセスできるので、一方的にバーンはできない。
生成AIの悪用調査
その後の給与や手続きに社員情報は社員アカウントと紐付けされているので、有効なままにしないといけませんでしたというお便りが来ております。
その辺は多分国とか組織とかによって手続きとかやり方が違うから、自分のところではどうかっていうのを確かにちゃんと確認するべきかもしれないね。それはみんなに言えるかもね。
そのプロセスの中でどこが恨みを持たれてたらされてしまうのかっていうふうなチェックもしておくといいかもしれないなと僕も確認しようかなと思いました。
次のお便りなんですが、S3以内のデータが攻撃者のカギで暗号化されてしまう件、捉え方としてはAWSAの不正アクセス発生時の被害シナリオの一つということかな。
対策としては二要素認証の設定、ユーザー権限の最小化とベストプラクティスに則っていく方向で、この攻撃特有の新しい対策はなさそうなというふうなお便りです。
確かにね、何々攻撃みたいなのがいろいろあったりするけど、ほとんど共通している部分ってあるもんなっていうのはこれを見てまた思いましたね。
そうね。対象がオンプレイの環境なのか、AWSみたいなフラウドの環境なのかみたいな違いはあるけど、基本的なやるべきことの本質的な部分はあまり変わらない気がするって言えば気がするよね。
そうですね。あまり振り回されずに基本的に何をすればいいのかみたいなところに立ち返りながらやるといいと思いますね。
この事件きっかけに何かやらないとかっていうよりも、この事件きっかけにこれできてたっけみたいな見直しの機会にするのが僕はいいかなって結構いつも思ってますね。
最後はおすすめのあれに関してなんですけれども、
ホテルの朝食でヨーグルトとドライフルーツがある場合はいつも混ぜて食べていました。自宅でもドライフルーツを食べるときはヨーグルトに混ぜています。
ちょっと飛びますが、フルーツグラノーラとヨーグルトを混ぜて食べたりもしていますという方が1人と、あとはアプリコットを混ぜるのがおすすめですよというお便りも来てました。
やっぱりみんないろいろこだわりの食べ方ってあるんだな。
やっぱりご家庭のやり方みたいなのがあるのかもしれないですね。
ありそうだよね。
ちょうど今僕の家の冷蔵庫ではミカンが使っています。ヨーグルトに。
全く興味がない人の反応だったな今。
味わい深い回答でございました。
お便り皆さんありがとうございます。
お便りを読んだ方には番組特製ステッカーの印刷コードを差し上げているので、5つ種類があってですね、全部コンプしたら僕にDMをするとシークレットがもらえるという仕組みでやっております。よろしくお願いします。
お待ちしております。
じゃあ今日もセキュリティのお話をしていこうかと思うんですが、今日はカンゴさんからいきましょう。
はい、今日私はGoogleが公開していたレポートについて取り上げたいんですけども、何のレポートかというと、生成AIを悪用した事例について調査をされたものでして、
ご存知の通りGoogleのGeminiっていう生成AI、LLMって言った方がいいんですかね。
あちらを公開されて終わられますけども、実際今検索すると生成された文章とか出てきて、合ってるのか合ってないのかっていうのは色々だと思うんですけども、
あちらサービスを使って、実際今回はAPTですね、国家背景に関わりというか関連があるとされる脅威アクターがどういう悪用をしているかというところを調査されて、
その結果についてまとめられたものっていうのを公開されていましたので、そちらを取り上げたいんですが、
そもそもなんでGoogleがこれ今回取り上げたかというところについては、結構その生成AIっていうキーワードについてはこんな悪用のされ方あるんじゃないかみたいな、
理論的なっていうか、そういった研究とかっていう意味では色々やり方やられ方っていうのは情報としては出ているところではあるんですけども、
そこの域を出ないというか、実際にどう悪用されているのっていうところについては、なかなか現実どうなのかっていう状況は情報としてあまり出てないっていうところも実際ありましたので、
関連したものだったのはOpenAIとかもね、しばらく前にインフルエンスオペレーションとかで具体的にこんな悪用されてましたみたいなレポートなんかも公開はしていましたけど、
なんかそれポートキャストで確かカンゴさん取り上げてたよね。
はい、取り上げさせていただいて、やっぱりあれぐらいのような感じの情報がすごい限定的な状況があって、ギャップがやっぱりあったというところがあったので、
今回調査をされたというところではあったんですが、今回調査された観点としては、さっきお話ししたGemini、これを使って攻撃者、脅威アクターがどういう悪用をしているかというところと、
あとは新しいというか独自の使い方をLLM使ってやってないかという、その2点に重点を置いて調査をされたというところではあったんですが、
結果としてわかったところとしては、これ多分Google以外も言ってたと思うんですけども、
生産性の向上という観点で言うんですかね、便利な手段というか、効率性、そういったところを上げていくという趣旨で使われているというところに留まっていて、
脅威の要素をガラッと変えるような、今回のレポートでゲームチェンジャーと表現されてましたけど、そういったレベルに至っているような状況にはなっていないというところもあり、
さっき言ったような、例えば新しいノウハウとかやり方、手口とかそういったところを生み出そう、開発しようという、そういった兆候というのも現状見られなかったというのが結論としては書かれていたというところが、
使用目的としては、本当に調査とか偵察とか、デジタル学生だったらデジタル学生の調査、バイパス、セキュリティ関連の対策の技術、それについてどうやって回避をするかというところの支援ツールみたいな用途で使われていたりとか、
あとはインフルエンスオペレーションというところでも使っている係数というのはあったそうなんですけれども、これもさっきお話ししたオープンエンドのような形で、コンテンツ作成とか翻訳とかそれぐらいに留まっているというのが現状であったと。
これも多くの生成AIのサービスではすでに実装はされていますけれども、ガードレールじゃないんですが、それそのまま開くよというのはやっぱり現状難しいというのも実際あるところでして、マルウェア作ってくれってお願いしてもすみません、それはできませんという形で、色々迂回方法は現状あるにはあるんですけれども、色々対策がサービス側でもなされているというところもあって、
今回のケース、Geminiにおいてもフィッシングとか、あるいはChromeのインフォスティーラーの開発なんかをやろうとした痕跡っていうのは確認されたそうなんですが、今申し上げた対策がそうして失敗してしまっているケースっていうのがあったというところがありまして、
なので現状はさっきの結論の通り、画期的な機能実現に至る可能性っていうところは低いんではないかっていうような結論にGoogle自身は至っていると。
さっきのついさんじゃないんですけど、生成愛だからっていう趣旨で、それそのものの対策を考えなければいけないというような、そういう状態にはなくて、やらなければいけないことをしっかりやっていくというのが大事というのが、私が読んだ中では感じたところではあったんですが、
これレポート中にも書かれてたんですけども、これあくまでもこの部分の評価っていうのは今時点でのDLM、生成愛のサービスでできることを踏まえた状況というのは認識しておく必要があって、特にこの界隈を追いかけている人であれば、それこそ機能できなかったことが今日できるようになるみたいな世界っていうのが本当に実現されているような状況ではあるので、
こういった変化というところか、うまく作用していけば新たにその脅威アクターがこの攻撃とかに取り込んでいく、そういった可能性っていうところは考えられるんじゃないかっていう話はレポート中でも取り上げておられたと。
実際の確認した悪用のケースについても詳細に結構触れられていて、これレポートでもかなり細かく書かれているので、そちらを読み取れた方がいいと思うんですけども、大まかにいつものAPTっていうと出てくる4つの国あると思うんですけども、イラン、ロシア、北朝鮮、中国、この4カ国において、さっき申し上げたこのジェミニの悪用の状況っていうのを今回Googleが調査された詳細の状況っていうのがまとめられているんですが、
一番使っている国はイランだったそうです。ちょっと意外だなって感じはしたんですけど、逆にロシアは利用の用途っていうのが、これ少なくともジェミニにおいてっていう状況ではあるんですけども、限定的であったと。
あとは北朝鮮なんかでは、日本でも注意喚起とか出てましたけども、ITワーカーの送り込み支援に関わったものではないかというところで、求人の調査とかそういったところにも利用している痕跡っていうのは、ジェミニにおいても確認されたというような話もありましたし、
あとは具体的な脅威アクターの名前も2つかな。APT42と、これはイランのアクターですけども、去年は確かバイデン政権とかの関係者を標的にした活動を行っていたみたいな感じで、夏か秋ぐらいの間に何かレポートというか報告が出ていたアクターがありましたけども、APT42と、
あと、北朝鮮かな。APT43ですね。偵察総局のやってられることと一致しているということでアトリビションされているグループ、これは日本も標的しているグループの一つですけども、APT43の名前というのも挙がっていたという、そういった形で細かく4カ国については調べられた内容なども書かれていましたので、具体的にどういうふうにAPTアクターがLLM使って、
APTアクターの分析
あっていること、何かなっていうのを把握すると結構参考になる情報がここにあるかなというふうには思いました。今回のGoogleの調査は、APTというような分類をされるようなアクターを中心に調査をされているものなんですけども、
少し別目線で、サイバークライム、サイバー犯罪者においても、これはGoogleではないんですけども、SOFOSも最近レポートを出していて、似たような感じというんですかね。性性愛熱というのはそんなに高まっている状況にはないよ、みたいなのも、
ハッキングフォーラムとかをSOFOSの方で調べられていたんですが、そういったところでのやり取りなんかを見る限りではそんな状況だった、みたいな報告も出ていたりはするので、性性愛ってすごい脅威だって言っているのも、それは当然使いようや利用によってはそういう状況にはなるのかなと思いつつ、現状としてはこういう状況にもあるっていうところは、
それはそれで両軸でしっかり見ていった方がいいなというふうなところと、やっぱりLLMの悪用って今の時点ではこれ結構難しいのかなっていうのを、私もなんとなくは思っているんですけども、
ディープシークの話に出ちゃいましたが、使えるLLMを作ろうとすると、やっぱり結構お金をかかるっていうかですね、すごい大量の資金が必要ですし、そういった形で公開されているサービスの多くは、さっきも言ったセキュリティ対策しっかりとなされているので、すぐには悪用難しいという、そういった現状もあるので、
そういう状況が変わらない限りは、攻撃者が生成AIのこのLLMを使って、すごい攻撃に活発に悪用するっていう状況はなかなか生まれづらいのかなっていうふうには、これはやっぱり今回のレポートなんか見ても改めては思いつつ、
明日にはまた新しいサービスなんていうのができる、そういった状況にもあるので、これもやっぱり自分たちがしっかり使っていくっていう視点で、どういったことができるできないっていうところを見ていく必要も合わせてあるのかなっていうのは、今回のレポートから改めて思ったところでした。
看護さんのその見解はちょっと僕もそういうふうな状況なのか良かったなぁというか、自分の思ってたのと合ってて良かったなぁみたいにちょっと思ったんですけど、結構その今教えてくれた内容と、あとこう注意喚起する側の熱量が違うみたいな感じがある時があって、
若干ねギャップがあるなぁみたいなね。
そうそう、なんかもうほんまに攻撃者をめっちゃ使ってて、こっちもAIで対抗だみたいな話も聞いたりするじゃないですか。
でもなんかこう感覚、僕も自分で見てる範囲でしかないですけど、感覚的にはその先ほどの紹介にもあった通り、補助的にというか効率よくとか、
なんかちょっと今まで出来ひんかったこととか手のかかってたことの穴埋めをする役割みたいな方のイメージは僕は強かったんですけど、一方でその明日には新しいものがっていうふうな世界なんでっていうのがちょっと怖くて、
それも追いかけ続けるしかないやんっていう感じはするなっていう。いきなり変わるかもしれないっていうのはちょっとそれは怖さはあるなぁと思いながらも追いかけ続けるのもまあまあ大変やなって聞いてました。
これ攻撃側のコストとか効率とかってどのくらい変わるんだろうね。そうですね。
確かにそこは。その辺が多分防御側にも影響がある部分っていうか、それ次第かなっていうかね。確かに。
そんなに劇的になんかすごいことができないにしてもコストは劇的に下がるとかさ、人手が入れなくなるとかね。そういうことは起きてるかもしれないけど今も。
それに対してそうすると例えば攻撃とかがしやすくて件数とかが増加するとかっていうそういう変化はあるかもしれないし。あと底上げとかですかね。
そうですね。だからまあなんか質的な変化というよりも量的な変化は容易に起こりそうなので、それに対して防御する側も何かそれに対抗するのに。
それにAIを使うかどうかはまた別問題だけど、効率の良い守り方とかより効果的な守り方とかってしていかないといけないっていうのはまあそれはその通りなんだろうけどね。
あとさ俺これ聞いてて気になったのはその今回Googleがどういうふうにそのアクターその国家背景っていうのを特定しているのか詳細はよくわかんないけど、
これ攻撃する側も特定されることありきで使っているのかね。 私は特定ありきで使ってるんじゃないかなっていう気はしますね。
僕もそういうふうに思うんだよね。だからバレても大したことないことにしか使ってないとかさ。
バレること前提で問題ないように使ってるとかなんかわかんないけどなんかそんな感じがするんだよ。
そんな簡単に手の内をねっていうね。
使わないだろうしさっきその看護さんが言ってたけど自前でその国家ぐらいだったら自前で持てばいいだろうって話で。
確かにね国家レベルだったらね。
まあそのオープンAIとかそのGoogleとかのねレベルとかはまあ大変かもしれないけど、
まあでもそれこそさっきの話だけど今週ねディープシークで騒ぎがあったけど、
まあ使い方とかその実装の仕方によってはまあそれなりにちゃんとしたものがまあそれなりのコストかければできるのはできるわけなんで、
まあ何も別にこんな汎用的なものを使わなくても自前で作れよっていう話だから。
その方がねディスクもまあ使う側からすればねやっぱ掃除減っていくわけですからね。
逆にただそうなってくる、そういう世界がそういう未来が見えるとすると、
まあそのディープシークに限らずそういうそのより効率の良いというかコストの低いモデルがどんどん今後出てきて、
よりそういうのがなんかそのローカルで使えるようになるとさ、
まあなんか我々からどんどん見えなくなっちゃうじゃない。
犯罪者とかその敵対的な国家が使うこういうAIの使い方っていうのがどのぐらい使われてんだとかっていうのは、
まあ今はまだこのこういうジェミニとかオープンAIとかね汎用的なもので使ってくれてるからなんかこういう悪用がありますって言えるけど、
そのうち見えなくなっちゃうんじゃないこういうの。
確かに。
それも怖いよねなんかそういうのでなんか独自にそういうのガンガンやられたら。
確かに。
なんかやだなっていうか。
そうですね。
まあなんか昔は特定の掲示板見とけばよかった話が今は色んなところに潜っていって調べないと絶対が見えないみたいなまさにそんな感じですよね本当に。
そうそうそう。
でなんかその専門家とかがさそういうの専門に見てますよみたいなこと言って高いお金払わないと教えてくれないみたいな。
まあそういう世の中になってるじゃん今さ。
なってる。
まあそれがちょっとあのそれをぜひともかくとして、
なんかまあそんな風になるのかなとかね。
わかんないけどね。
そういう意味で言うとそのネギさんおっしゃったみたいにそのほんまに肝心カナメの部分はこれ使わずにやってるかもしれへん。
フィルターかかってる可能性もあるじゃないですか。
でまあ自分たちでやればいいなんて言ったらもう全く見えなくなるっていうふうなことを考えるとこういうなんかインプットで入ってくるものじゃなくて、
アウトプットっていう形で何に悪用されたか事例みたいなものがやっぱりもっと出てこないとダメなのかなと思いましたね。
まあただでもわかりにくくない?そのアウトプットでCCI使われたかっていうのはさ、
そのまあわかりやすいその何その翻訳の文章とかわかんないけど、
とかなんかそういうので使われてるなーとかだったらまあわかるかもしれないけど。
脆弱性の問題と対策
声とか顔とかねそういうやつがわかりやすいね。
そういうその見た目でわかるこれはCCI使ってるぞみたいなのはね。
というのはいいけどさっき言ったみたいなその作業効率が上がるとかさ、
人手がいらなくなる的なやつっていうのはちょっと外からは見えない。
コードとかだと余計そうですよね。
そうそうだからまあその辺はなんかその犯罪者とかその国家のそういう攻撃活動そのものをちゃんと分析しないとなんかわかんなくなっちゃうよね。
なんかこうAIでなんでもできちゃうんですみたいな感じの空想科学みたいな話ばっかりが先行してしまうよりも、
実際の事例をもうちょっと知りたいなっていう気持ちがやっぱ強いんですよね。
変に怖がらないためにもっていう。
そういうちゃんとコツコツそういう事例の解析を積み上げていかなきゃいけないかもしれない。
そういう意味ではやっぱり今回のレポートはめちゃめちゃ参考になる情報が非常に多いと思うので。
そうですね今こうだってことがわかるわけですね。
現状知る上では非常に参考になるかなと思います。
はいわかりましたありがとうございます。
はいじゃあ次僕行きますかね。
はいお願いします。
今日僕紹介するのはセブンジップっていうアーカイバーソフトがありますけど、
それのマークオブザウェブのバイパスの脆弱性っていうものが出てまして。
辻さんマークオブザウェブ好きだよな。
ですよね。
かんこさんもか。
私も好きですけど。
よく二人が取り上げてるイメージがあるな。
私も好きです。
そうなんですよね。見過ごされがちなんじゃないかなっていう風に僕は感じてて。
この脆弱性。これ系の脆弱性。
僕はね。
この脆弱性自体はですね。ポックが出ているという風な脆弱性なんですけれども。
マークオブザウェブってここのポッドキャスト聞かれてる方には説明不要ですかね。どうですかね。
そうねだいぶ。
何回も言ってはいるんですけど。
簡単に言えば外から持ってきたワードとかエクセルのファイル開くときに注意出てくるでしょと。
あとはマクロブロックされたりするでしょっていう風なものを。
それをするかしないか判断するようなものにゾーンIDっていうのがあって。
それで判断している仕組みっていう風に言えば簡単に説明するとそういうものなんですけれども。
そもそもこの絵って大きな課題があって。
こういった脆弱性があるかないかに関わらず。
例えばジップファイルに外から来たファイルですよっていうゾーンIDがついてても。
展開すると中身のファイルにはそのゾーンIDが欠落してしまうという。
伝搬されないという問題がずっとあってですね。
日本でよく使われているアーカイバーでも当たり前のように消えちゃうというようなものも中には存在すると。
それだからアーカイバーによるってことだよね。
実装に依存するってことだね。
そうなんですよ。
セブンジップはそのゾーンIDを伝搬させることはできるんですけどもデフォルトではされないという問題もあってですね。
しかも対応したのも割と遅かったよなセブンジップは。
この話をたまに雑談の流れとかですることがあるんですよ。仕事上でね。
そしたらね、うちはセブンジップ使ってるんですよって言うんですけどデフォルトではオフですけどその設定ってちゃんと全員にしてます?
そうなんですか?みたいな反応されることはまだまだ多いんですよ。
でもセブンジップ使ってるってちょっと珍しくない?
僕ら的にはよく使うかもしれないけど一般の組織ではマイナーなアーカイバーなんじゃない?
そう思ってたんですけど結構出くわすんですよね。
そういうもんか。
日本語で使えて完全無料でってなってくると選択肢少ないんですよ。
そっかそっか。じゃあそういうところで使えてるのかなんか盲点になる可能性あるな。
それはデフォルトでオフなんでオンにするっていうのは必要ですし、
組織で使う場合だったらレジストリでこれ設定できるんでグループポリシーとかで一斉にバンってやっちゃった方がいいんじゃないかなっていう風なのは。
それは良いアドバイスだね。
確かに。
そのレジストリキーはどんなのかって調べていただければすぐわかるかなと思うんですけども。
で、今回のこのさっき言った脆弱性、CVEだと20250411っていう番号が振られているってやつなんですけども、
これはそういったセブンジップのデフォルトでオフになっているものをオンにするっていう設定にしてたとしても、
このゾーンIDが欠落してしまってマークオブザビブが働かないっていう脆弱性になりますと。
で、悪用の方法、POCは公開されてるっていう風に言ったんですけど、
もうめちゃめちゃ簡単で、読んでてこれがほんまにそうなんて思うぐらいものだったんですけど、
ゾーンIDを伝播させたくないファイルを二重に圧縮するっていうだけ。
二重に圧縮。
一回しかだから伝播しないわけね。
そうそうそうそう。そうなんですよ。
まあわかりやすい穴だよな、これはな。
まあでもアンチウイルスとかでもあるじゃないですか、多重に圧縮すると何重までしかチェックしてくれへんとかなったりしますよね。
何重まで設定が変更できたりもするのもあるのかなと思うんですけど。
そもそもだって無限にできるわけじゃないからね、どっかに制限設けなきゃいけないのはこれはもう実装上しょうがないもんね。
システム上ね、そういうことですね。
それが二重だったというところで。
なるほど。
そうなんですよ。
7zipの脆弱性に関する考察
で、これ7zipからその問題の二重に圧縮されているものを展開して実行していくと、本来だったらスマートスクリーンの警告が出るんですね。
それが出ずにスッと実行されるっていうふうなデモが公開されてたんですけれども。
この脆弱性自体は去年の11月29日に公開されたバージョン24.09っていうので修正はすでにされているものなんですけれども、
残念ながらこの7zipには自動更新の機能がないので、古いものを使い続けている可能性があるっていうのには注意が必要かなっていう。
こういう赤い場って別に最新版にしなくても普通に使えちゃうからさ。
そうですね。
圧縮と回答みたいなのしか使ってなかったら特にそんな不便ないですもんね、これね。
なんか更新するモチベーションがないよね。
確かにね、わざわざダウンロードしてっていうのは。
まあその辺がやっぱり個人で使う分にはあれだけど、企業とかで使うのはちょっとためらわれるようなそういう使い方も。
そうなんですよね。何かしら一斉にアップデートさせる仕組みとかがない限りはちょっとね厳しいかなっていうところがあるし、
注意喚起で社内に出しても全員がそれを守ってしてるかの確認ができなかったらね。
確かに。
どこまでできてんねんって把握できてない問題ができてくる。
ここもちょっと要注意。こういうものを使うなったら要注意かなっていうふうには思いましたね。
でね、さっきネギさん冒頭で僕に回避系のこのMOTW辻さんとカンゴさん好きよねっていうふうにおっしゃっていただいたんですけども、
僕は以前ですね、去年の4月にこのMOTWのスマートスクリーン回避の脆弱性の悪用率っていうのを調べたんですよ。
なんかそれどっかセミナーで喋んなかったっけ?
そう、ITメディアのパネルで紹介したんですけど、
それがね2022年の1月から2024年の4月までっていうのを調べたんですよ。
その時の最新の状態。
4月までだったんで、5月から12月っていうのは調べてなかったんで、今回全部また見て調べました。
一覧表にしてあるやつはブログに後で貼り付けておくんで、見ていただければなと思うんですけれども。
ちなみに2022年の1月から2024年の4月までっていう前回調べたやつは脆弱性の数が2238件中、
さっき言ったMOTWスマートスクリーンの回避の脆弱性ですって書いてあったものが全部で9件あって、
悪用が9件だったんですよ。100%。
今回追加して調べた範囲は全部で件数が増えて2972件。
回避系がそのうち14件で、悪用が11件。
じゃあ5件増えたけど、悪用されてないのもあったんだ、今回は。
そうそうそうそう。だから3年間で見たら、この3年間マイクロソフトの脆弱性のリリースの中で、
回避系、僕が言ってる範囲での回避系は0.47%。結構少ないですよね。
少ないんですけど、悪用率は78.5%っていう。高く見るか低く見るかは人によるかもしれませんが、
悪用されがちな系統の脆弱性かなっていう印象はあってですね。
あと過去数ヶ月以内の新しいものだから、まだ悪用されてないだけかもしれないしね。
そうですね。4ヶ月とかっていうのもあるんで、出てからまだ。
これから悪用されるかもしれないっていう風なものを考えると、これまた更新されるかもしれないですが、今のところはそういう状況になっているという風なことですね。
見過ごされがちっていう風に僕は思っているのは、やっぱり中には悪用されてるけど、よく僕らが扱うCVSSの値が4.4とか5.4とかっていうのは結構多いんですよね。
それは算出上、しょうがないよね。低く出ちゃうのはね。
中には8.8とかもあったりするんですけど、そっちの方が結構少ない方で、どうしても低く出がちかなっていう風なところがあるんで、
この辺は見落とさないように、KEV見ていればある程度はわかるのかなっていう風に思うんですけど、乗る前に優先的に対処してもいいんじゃないかっていうのは前にさっき言ったIT未来でしゃべった内容とも同じで、
優先的にしてもいいんじゃないかな、この数字だったらっていう風に思うのは変わらなかったですね。
今回のも7.0だもんな、スコアね。
この2つの話を見て思ったのは、利用しているソフトをちゃんと把握した上で、アップデートできるのかどうかとか、できないなら自分らでどうするのかっていうのも考えて導入しなあかんなっていうのが、
セブンジップの方からも思いましたし、
あとはWindowsの方の話に関しては、さっき言ったみたいに未然に防止できるっていう風な機能で、その先悪用されてしまう、攻撃されてしまうっていう風な意味では結構根幹の部分の仕組みだと思うんですよ。
これがあったから助かる、助からへんみたいなのが分かれ道になったりするかもしれないので、
常々言ってますけど、危険度だけではなくて、脆弱性の経路とか、悪用傾向みたいなものを掴んで優先順位を変えるっていうのも、
ちょっと一つ新しい観点として持っていただいてもいいんじゃないかなと思って集計発表させていただきました。
そうだよね。今回のセブンジップのやつも、これ悪用めちゃくちゃ簡単だもんね。
もう既に使われててもおかしくないもんね。
クリックだけでできますからね、右クリック左クリックだけで。
ゲートウェイ的なやつで弾かれるかもしれないけど、もしエンドユーザーまで来ちゃったら、
セブンジップアーカイバーのやつ買ってたら、ちゃんとアップデートしてなかったら普通に騙されちゃう可能性あるもんね。
結構使ってれば身近なんじゃないかなっていうようなものがあって、
アップデート機能が自動更新の機能がないと結構きついですね、組織で使うってなったらやっぱり。
だよね。
そこまで考えて導入してるかどうかっていうのは疑問点として残るので、これを機会に見直していただいてもいいんじゃないかなと思います。
アーカイバー以外にも似たような使われ方をするようなソフトウェアとかあるかもしれないしね。
管理が難しいとか、こういう回避系のものが出やすいとか、
さっき言った、脆弱性対応のそういう観点で使うものとか、考えないと機能が使いやすいから便利だからとかさ、
そういうのだけで選んでるとこういうの困るかもしれないね。
好き嫌い好みがあるからそれはみんなに任せてますみたいなものもあるんじゃないかなと思ってて。
個人はそれでいいけど。
組織はさすがにね。
なかなかしんどいかもね。
似たようなやつだと、アーカイバー系とかで人の好き嫌いが出やすいのはエディター。
この辺も大丈夫かみたいな。
好みがあるよね。
エディターもプラグインとかたくさん機能があってさ、ちょいちょいマニシャスなやつ出るじゃん。
出る出る出る。
ああいうのもだからちょっと難しいよね。
ブラウザの拡張とかもそうだよな。
人によって好みが出るっていうかさ。
そういう人によって好みが出る系で好きに使わせてるってなると、
ほんまにそれが使われてるかどうかわからんまま脆弱性を管理者が放置してしまう穴になりかねへんなっていうのもあるんで。
そういうところがちょっと話ずれちゃうかもしれないけどさ、
インフォースティーラーだったり、わからないけどさまざまな感染源に実はなっていて、
そういう入り口としてね。
ありそう。
そういうのを管理できてないから、どっからどう感染したかも追えないみたいなさ。
究極そういうところに行き着く一つの要因かもしれないしね。
悩ましいなと思うのは、自動更新ないのきついなってたけど、
この自動更新が原因でサプライチェーンでやられることもあることも忘れたらあかんっていうね。
そうね、そういう事例も本当に多いからね、最近ね。
こういう話するときには、ほなどないしたらええねんみたいな回答になってしまうのは僕も悩ましいんですけど、
こういうことがあるっていう考慮してくださいはあげてあげたいなと思いながらいつも話してますね。
そういうのを前提で、いかにきちんと管理するかっていうことを考えないといけないんだね。
皆さんなりの見方でこういうのがあるんやなと思って考える機会にしていただければと思います。
はい、ありがとうございます。ということで、次最後はねぎすさんです。お願いします。
お願いします。
CMS8000のバックドア問題
今日はですね、僕からは、今週ちょっとアメリカのCISAから注意喚起が出た話題を紹介したいんだけど、
中国のコンテックメディカルシステムズという会社が製造している医療機器のある種類にバックドアが見つかりましたということで、
ちょっと珍しい事例かなと思ったんだけど、これ医療機器どういうものかっていうと、
ペーシェントモニターって言うんだけど、なんか日本語だと生態情報モニターって呼ぶらしいんだけど、
いわゆる心電図とか心拍数とか血圧なんかがピコピコグラフがずっと継続的に動いている、
よく手術室とか病室とかに置いてあるような、バイタルサインをチェックできるようなモニターのことを言うらしいんだけど、
その一つで中国製のCMS8000っていうペーシェントモニターがあって、結構なんか欧米では広く使われてるって話なんだけど、
どのくらい視野があるかよくわかりませんでした。
あと日本で導入事例があるのかどうかちょっとよくわからなかったんだけど、一応最初はそういう機器ですと。
今回具体的に名前書いてなかったけど、外部の研究者からの情報提供があって、
贅沢性がありますよということでCISAのチームが調べてみたところ、確かにあったということでバックドアが見つかったというので、
細かくは説明しないけど具体的にどんなバックドアだったかっていうと、
このモニターの中のある主要なバイナリーの一つの中に機能として含まれてたんだけども、
リモートのサーバーにNFSでリモートのファイルシステムをマウントして、
そのリモートのファイルシステムのディレクトリを丸ごとローカルに上書きコピーしちゃうっていう機能が含まれていて、
そのリモートのサーバーっていうのがIPアドレスが直打ちでハードコーディングされてて、
それが今回のメーカーとは何ら関係のない全くの別の大学が管理してるアドレスだったらしくて、
これ書いてないけど多分中国のアドレスだったんだと思うんだけど、
全く無関係の大学が管理すると思われるアドレスのファイルサーバーからバイナリーを強制上書きしちゃうってことなんで、
このアドレスを持っている人からすると、世界中にあるこのモニターを外部から簡単にコントロール可能ってことなんだよね、バイナリーを上書きできちゃうから。
めっちゃ怖いんだよね。でもやってることがNFSで単にマウントしてディレクトリを丸ごとコピーってくるっていうすごく雑なことをやってるんで、
何のためにこんな機能があるんだっていう感じなんだけど、一応CISAはそれをバックドアだと呼んで注意をしています。
これが一つと、あともう一個この生体モニターって起動すると、まず最初に今埋め込まれているIPアドレスに接続の確認に行くらしくて、
接続できると、実はモニターしている患者のデータをずっとそのネットワーク上でそのアドレスに送っているっていう機能もあることが分かって、
これもCISAが閉鎖している実験環境で調べたところ、確かに生体モニターに設定した病院の名前とか、患者の名前とか、
あとそういうその実際のバイタルのデータとかが送られているような挙動があったらしくて、
これはそのバックドアというよりは情報流出というか、そういう機能も確認されましたと。
利用者への注意喚起
じゃあなんか用人の名前とかやったらその人の健康状態とかがわかってしまう。
例えばね、ということでこれは非常に危険ですよねということなんだけど、
一応その現状の最新のファームウェアでもこれは修正されてなくて、
あとなおかつこのCISAがそのベンダーと一応その弱性の情報の提供があった時からやりとりをしているらしいんだけども、
そのリリース前の最新のパッチをもらったんだけど、それもでも直ってないということで、
結局だから直す気がないんじゃないかという気がするんだけど、現状だからその対処すべき方法がないと、直す方法がないと。
ということでCISAとかアメリカのFDAとかはその利用者に対して基本これは使うなっていうことを言ってて。
そういうしかないですもんね。
そう、万が一使う場合にはそのリモートからモニターする機能は使うなよということで、有線とか無線の接続は全部切って、
ローカルでつまりネットワーク接続なしにローカルでのモニタリングだけで使うんだったら許容できると。
そういう使い方ができないんだったらもう使うなと、使うのやめなさいということを結構言っているので、割と強い韓国に近いのかなという感じ。
あとこれ僕もちょっとこのメーカー今回初めて聞いたんだけど、リセラーがブランド名を変えて再販しているという例もあるらしくて、
だからOEMとかではない、中身はコンテクチャなんだけど表向き別の製品に見えるみたいなやつがなんかあるらしいんで、
結構そういうのも注意してねっていうような注意喚起が出ていますということで、これがその注意喚起の主な内容なんだけど、
ちょっとこれ読んでて思ったのは、確かにバックドアと呼んでいいかもしれないけど、
これは果たして意図的に作り込まれたバックドアなのかという疑問がちょっと感じない?
バックドアってあるにはあるけど、本当に例えば国家とかを背景とした人が作り込むバックドア、
例えば前にアメリカのNFSとかがネットワーク機器にインプラントで埋め込んだみたいなバックドアがあったっていう、
ここは実際にあった事例なんだけども、何年か前にリークで明らかになったそういう例とかだと、非常に高度なインプラントなわけ。
いかにも本当そういう情報機関が作ったなっていう作り込まれたバックドアなんだよね。
俺の思うバックドアってのはそういうイメージで。
今回のはIPアドレス自家打ちだし、NFSで単にマウントしてファイルを全部ごそっと上書きして持ってきちゃうっていう、ちょっと乱暴すぎる機能。
これがどういうタイミングでこの機能が呼ばれるのかもちょっと書いてないのでわかんないんだけど、ちょっとこれバックドアっていう分には雑すぎないかなっていう気が。
簡単にバレそうやし、動きもなんかしょぼいしみたいなところですか?
極端的にね、単なる勘なんで何とも言えないけど、何の根拠もなくて言ってるんだけど、
なんかこれ本当にそういう意図で作ったのかなっていうのはちょっと疑問を感じるというか、
テスト的な作ったやつをそのまま本番環境でもリリースしちゃってるっていうようなのに近いんじゃないかなという印象を持ったんだけど、そんなことないかな。
テスト環境でやってたやつが残ってるだけってことか。
例えばだけどね。本当にこれがバックドアとして意図して読み込まれたものだったらちょっと稚拙すぎるなっていう。
すみません、それはちょっと僕の完全なる独断なんで何とも言えないんですけど、ちょっと変な感じだなというのは思ったのと、
あとベンダー側が直す気配がないというのと、
あと今回のケースを受けてちょっと調べてみたんだけど、このCMS8000っていうモニター、2年前にも実は結構致命的な贅沢さがいっぱい見つかってて、
JVLにも公開されてたんだけどさ、それ見たらそれも直ってなくて、対策方法が製品の使用を停止するって書いてあるんだよね。
対策じゃないですね。
だからもう機器をネットワークから遮断してくださいしか書いてなくて、だからパッチ側だから出てないわけ。
だからこれも直す気ないし、その時の贅沢性もかなり致命的なというか、
ハードコーディングされた認証情報なのかなのって、ずさんな機器にありがちな贅沢性が天候盛りなんだよね。
こういうのの見た目だけの印象で言っちゃってるけど、あんまりセキュリティ全然考えてない機器だなっていう、雑な機器っていう印象でしかなくて、
あんまり作りこまれたバックドアっていう感じはしなかった。それが本当にそうかどうかわかんないけどね。
過去の脆弱性と課題
まあ今回だけやったらちょっと疑わしさはあるかなと思うけど、過去にも同じようにあって、しかもそれも修正もされてない。ただの放置かって思ってしまうかもしれないですね。
確かに。なんかね、ちょっとあんまり機器としての品質が高くないのかなっていう感じもする。
ただとはいえ、意図がどうかはともかくとして、機能として患者のデータを勝手に外部に送る機能があるとか、
リモートから簡単に乗っ取れる機能があるってのは本当恐怖でしかないんで、しかもそれが人命を預かる、
ペーシェントモニターでそういう機器があるっていうのは、ちょっと正直信じがたいというか、そんなものを使ってんのっていう感じ。
ただどうなんだろうね、その医療機器とか、医療だけじゃなくて産業用の機器のセキュリティって、割とちょっと遅れてるとかってよく言われがち。
まあそのソフトウェア業界が通ったものを同じのをまた繰り返していってるっていうイメージはありますね。
そうそう、なんか10年くらい遅れて悟ってるみたいなことを言う人もいるけど、そうだとしてもちょっとこれは怖いなというふうに思って。
日本の医療機器がこんなレベルだとは思いたくないけど、でもあり得る話なんで、こういう機器のセキュリティとかって気を配らないといけないのかなっていうのが、
確かにね。
これ注意喚起して届くんですかね、当事者に。それこそが私すごい疑問なんですけど。
CISAとかそもそも知らんみたいな人がアメリカ内でも普通に居そうですけどね。
そう、だからCISAと今回FDAとか保健医療関係を管理している館長とか、いろんなところが注意喚起してはいるんだけど。
確かにそういうとこまで落とさないと。
患者個人だけじゃなくてそういう病院とかそういうプロバイダーとかそういう機器を管理している側に対しても報告をしているみたいだけど、でもどうなんだろうね、届くのか届かないのかちょっと微妙だよね。
仮に届いたとしてもこれいっぱい導入してて使うのやめるっていう選択ができるかって話もありますよね。
そうね、他の機器急に入れ替えとか難しいかもしれないしね。
そんな安いものでもないですよね、こういうのね。
そうなんだよね。
リモートの機能を使うなって言っても、そんなんじゃあ本当に業務で外から状態を見とかないとっていうのもあるじゃないですか。
そう、わかんないけど遠隔医療とかでもしかしたらリモート管理とかリモート監視かな、患者の様子を遠隔から監視するみたいな、そういう用途で使っているケースもあるみたいで、それはもうものにネットワーク接続がないと機能しないから、まあそれアウトだと思うんだよね。
人数が多いところだとね、一箇所で患者の状態で異常があったら駆けつけるみたいなことをしているところもあるでしょうしね。
確かに。
かといってこういう、医療に限らないけどこういう機器って別に、もちろん品質が高いものはあると思うんだけど、多分価格も高いだろうし、だから価格面とか考えて導入できないとかできるとかってあると思うんで、
こういう、この機器がダメなんだって切って捨ててはいけないのかなっていうか、こういう機器でも安全に使える仕組みとか、ないしはこういうものが出てこないような、うまくそういうフィルターする仕組みがないと。
認証みたいなやつとかってことね。
危ねえなと思って、こんなのだって信じられなくない?こんな機能。今回よく見つかったなって感じだけどね。
そうですね。本当によう見つけましたね、これ。
他にもいっぱいありそうだもんな。
同じメーカーで普通にこういう問題ないのかなとか心配になりますよね。
本当だよね。ありそうだよね。
手広く医療系の機器たくさん扱ってるみたいなんで、大丈夫かなって思ったよね。
そうですよね。
しかもさっき言ったテスト用とかに入ったためのコードやったら他のにもボコボコ入ってるかもしれないですもんね、テスト。
そういうテストのやり方で。
そういうなんか不要意にやってそうな雰囲気がプンプンするんだよな。
脆弱性とか悪意があってと言う前に品質の問題としてね。
そんな感じがちょっとするよね。それが怖いなっていうかね。
普段あんまり身近でない機器だけど、もし自分がかかった病院でこれ使ってたら怖いよね。
ほんまそうやしね。医療だけとも限らないですしね。
そうなんだよね。
ただただ怖い。
あんまり身近でない事例かもしれないけど、こういうのにも少し目を向けるというか、
単にその医療機器の1個の機種のすごく狭い話だよねっていうだけじゃなくて、
本質的に他の幅広い分野でも関連しそうな問題が何か怠ってる気がしましたね、これは。
あとはもし聞いている方の中に作る側の人がいたらこういうの残ってないかっていうのも気にして欲しいですよね。
さすがに日本のメーカーで作っている人は気にかけてくれているような気がするけどな。
思いたいっていう。
思いたいですよ。
自分たちで作っていないけどさっき言ったようにOEMで扱っている場合もあるかもしれないですね。
今回もリセラーで全然ブランドが違うやつがあるっていうのがCISAとかのところに出てたんだけど、
それがどのくらいあるかっていうのはメーカー側じゃなきゃわからないだろうし、
使っている側もリセラーとかに問い合わせてわかるかもしれないけど、リセラー側もその辺をちゃんと意識して管理するかどうかわからないしね。
そういう点も厄介だよね、こういうのはね。
最後にめっちゃ怖い話だったなと思いました。
ありがとうございます。
製品管理と安全性
はい、ということで今日もセキュリティのお話を3つしてきたんで、最後にお勧めのあれなんですけれども、
今日はですね、いただいたものがすごく良かったんでそれを紹介しようかな。
いただいたと言ってもイベントの皆さんに配るお土産を僕もいただいたというだけなんですけれども、
和菓子なんですが、株式会社タネヤという会社で明治5年からの老舗の滋賀県にある和菓子屋さんが、
いろんなのを作ってるんですけども、その中で僕が食べていただいて美味しかったのが、
ふくみ天秤っていうやつですね。
ふくみ天秤?
天秤なんですけど、天秤って天秤座、ライブラの天秤の字ではなくて、
天秤の天に平って書いて、これで天秤って読むらしいんですよ。
どういうお菓子か全然名前から想像つかないんだけど。
モナカなんですよね。
モナカか、モナカ大好き俺。
でね、モナカって中のあんと皮があるじゃないですか、皮。
周りのね。
それが別々になってるんですよ、パッケージが。
はいはいはい、見たことあるそういうの。
で、食べるときに挟んで食べるんですよ。
皮がサクサクのまま食べれるし、中のあんも結構すっきりした甘たるいんではなくて、
どっちかというとすっきりした甘さのあんで、で、中にお餅入ってるんですよ。
それは美味しそうだね。
そうそうそうそう、これめちゃめちゃ美味しくてですね、結構他の製品もあるんですけど、
どれも美味しそうなものがあって、中に餅が入ってる。
基本的に何でも中に餅入ってたら美味しいって僕は思ってたんですよ。
単純だな、お前。
いやいや、たこ焼きも餅入れたら美味しいし、明太餅チーズピザ美味しいし、みたいな。
まあまあそうだけど、それは餅が美味いからな。
そう、餅って結構万能ちゃうかなと思ってて。
確かに確かに。
ふくみてんびーって今商品ページ見たけど、ちょっと形も持って食べやすい形してて。
そうそう、パッて思い浮かべるも中の大きさではないというか、細くてね。
一口、二口、二口くらいでいけそうな感じの。
いいね、これは確かにお土産とかにいいかも。
ちょっと休憩の時とかにもね、つまむのにもいいかなっていうサイズですし、
一回外して挟むっていう作業があるんでね、ちょっと一息つくのにもいいかなと思って紹介をさせていただきました。
いいですね、美味しそう。
これはここのメーカーのサイト、他にも多分美味しいものいっぱいあるんやろうなと思って、見てたらドラ焼きとかもあるんですよ。
いいね。
季節限定みたいなものもここ出してて、そのドラ焼きの1月16日から2月14日まで販売期間バージョンのチョコドラってのがあるんですね。
なるほど、この時期だからってことね。
完全にバレンタイン商戦に乗っかろうとしている。
和菓子だけどね。
僕はバレンタインデーっていうのは、僕が配る側に回るっていう風に長年やってまして。
昔一緒にチョコ買いに行ったことあるよな。
ある。
たまたまイベントが近かったりすると、イベントの差し入れに甘いもの買っていったりとか。
それは元々僕がバレンタインデーにチョコがもらえないっていうことを何とかしたいなと思って、
俺が渡す側に回ればもらうこと気にせんでええやんけって思い始めたのが始まりなんですけれども。
別に聞いてないよそれは。
なんでやねん。
こういう風に言うたらチョコもらえるかなと思って。
まあまあそれは冗談ですけれどもね。
そういう季節限定とかもあるんで、どんなのがあるのかなって見ながら好みのものを探していただいてもいいんじゃないかなと思って紹介させていただきました。
和菓子の紹介
和菓子どれも美味しそうだね。
まずはこのふくみ天秤からいただいていただければと思います。
じゃあそんな感じでまた次回のお楽しみにです。バイバイ。
バイバーイ。
