00:00
11月が終わろうとしております。この収録時で。
ね、早いね。もうあっという間に年末ですよ。
いやー、もうなんかね、バタバタしてたわ。11月はほんまに。
なんか、どっかに走り抜けたとか言ってたね。
違う違う、駆け抜けた。駆け抜けたです。
そんなこと言ってたね。お疲れ様で。
いやー、もうやっとなんかちょっと落ち着くかなーっていう感じはあるんですけどね。
おー、よかったよかった。
そうそう。で、まあちょっとリフレッシュもしなあかんで言うて。
おー、どっか食べにも行きますか?
違う違う違う。美容室行こう思って。
美容室がリフレッシュになるの?
いや、だってさ、美容室って言っても、もちろんカラーとかカットもするけど、ヘッドスパとかさ。
うんうん、まあ確かに気持ちいいよね。
そういうのとかもやってもらって。で、ほら、僕ブリーチしてるからね。
髪の栄養補給みたいなのもヘッドスパと一緒にやってもらってるんですよ。
あー、ブリーチ痛むもんね。
そうそうそう。だからほらなんかね、髪切ってもらったりとかしてる時ってなんかこうカクッカクッとか寝てまうとちょっとなんか迷惑かかるかなとか思うじゃないですか。
あー。
ね、でもヘッドスパとかがっつりやってもらってるから、あれはもうオフィシャルに寝ていいわけですよ。
オフィシャルにいいかどうかはわかんないけど、まあ気持ちよいよね。
で、もう僕毎回なんかフゴッてなるんですよ。フゴッてなって恥ずかしいじゃないですか。
向こうはでもたぶん慣れてるやん、そんなこと。
そうね。
そう、それなのにこっちは恥ずかしいなって気持ちがあるからフゴッて言うてもうたとか言うてまうんですよね。
そういうことない?なんか自分で言うて誤魔化すみたいな時。
なるほど。
あるよなーってことなんですけどね。その美容室で僕今までなかったことを今回やることになりまして。
2人ありますが美容室を、違う店舗の美容室をはしごするっていう経験。
どういうこと?え?どういうこと?そんなことある?
同じお店なんですけど、A店、A店舗、B店舗っていうので。
あー、系列の店舗で。
そう。
なんで移動なんかすんの?
まず担当がその日に2カ所に分かれていらっしゃるということで。
担当って普通1人じゃないの?
いやいやいや、カットの担当とカラーの担当がいるんで。
マジかー。どんだけなのよ。
A店でカラーしてから移動してB店でカットします。
仮に担当者が違ったとしても、普通同じ店舗に同じ担当者、同じというか2人の担当者いるもんじゃないの?
ちょうどね、B店舗にいらっしゃる方が今度A店舗固定になるんですよ。
今移行期間みたいな感じでどっちにもいてはって。
あー、なるほどなるほど。
僕が予約を入れた時にはカットしてくださる方がその前に入っちゃってたから動けないんですよ。
なるほどね。
どうしましょうかねってなって、じゃあ僕移動すればいいんじゃないですか?みたいなことになって。
普通ないよね。
俺も同じ系列店で担当してもらっている美容師さんが別の系列店舗に移るからって言うんで、じゃあ僕もそっちの店に行きますわって言ったことはあるけど。
03:07
それはその日からもうそっちに行くわけでしょ?ずっと。
そうそうそうそう。そういうことはあるかもしれない。担当者さんで変えたくないみたいなさ、長年やってもらってるし。
勝手がわかってるしね。
そうそうそう。俺もそれは経験あるけど、同じ日で2つの店舗走り込むのはさすがにないわ。
おもろいでしょ?なかなかおもろいな。
おもろいね。
なかなかできひん経験というか、したくない経験なのかもしれませんけど。
大丈夫?シャンプーしてじゃあ次の店に行って、ブローまだしてませんけどみたいな。
びしゃびしゃのままとか?
いや別に僕全然そういうふうに許してくれるなら、カラーしながら移動してもらっていいですよ。恥ずかしくはなんともないですよ。
ほんとだよね。どうなっちゃうんだろうね。おもろいね。お店の方も珍しいんじゃない?そういうお客さんってさ。
いや多分そう思いますよ。
そんなこんなであれですよ。それはそうとお二人どうでしたか?この間私が差し上げたお菓子の味は。
なんだっけ?
スキタネキッチン持って行ったでしょ?セミナーの収録の時に。ライブかあれ。
前にこのあれで紹介してくれたやつね。
そう。ありがとうございました。
これ味が違うやつをいくつかいただいたじゃないですか。
辛い醤油とチーズと海鮮でしたっけ?
そうそう。あれ食べ比べたんだけどさ。
はい。
つゆさんが一番オススメって言ってた。
海鮮ね。
あれが一番さっぱりで食べやすくて、醤油のやつあれめちゃ辛かったんだけど。
ちょっと思ったよりも辛いと思います。
予想よりもめちゃ辛かった。
飲み物なしでは食べれない辛さだったから。
あんまりそんな辛かったかな。そうかな。
本当に辛かった。びっくりした。
もし気になる方は240回のオススメで紹介してるやつなので見ていただければと。
どれもめちゃくちゃ。あとチーズのやつかな。
俺はあれが一番良かったなって感じ。
私も結構チーズが食べやすかった。
俺もチーズが一番好きな味だなって感じだったけど。
どれも美味しかったです。
ありがとうございます。
味の好みでも僕だけ浮いてしまうということですね。
あれだよね。酒飲みの好みとしては意外とあっさりめが好きだっていうか。
僕ね。しょっぱいものが好きなんですよ。基本的に。
あれが一番さっぱりしょっぱいって感じだったね。
もう白いご飯と塩だけでいけるんですよ。
なるほど。
ほんまに極品生活の頃はそんなことしてたんで。昔。
塩は美味しいよね。
美味しいですね。
ありがとうございました。
今週もお便りが来てます。
お願いします。
そのさっき言った僕が差し入れを持って行ったイベントね。
ITメディアのセキュリティウィーク基調講演の入りが緩くて好きと。
ピオ看護さんのカタカナ表記に慣れていなくて違和感が全力でお仕事をしてくれてました。
では楽しんでいきます。
見始めたところに多分ポストしてくださったんだと思うんですけど。
06:00
結構僕たちが出てるセミナーとかセッションの感想とか
見ましたよとか見ますよみたいなのを
ハッシュタグつけて教えてくれるの好きなんですよ。
なんかやっぱりね。見た人全員の感想って聞けないじゃないですか。
まあそうね。
どういう人が見てくれてるのかなっていうのも
僕ら評価みたいなやつは見られるけど
セミナー参加者のね。
そう。何人申し込みの何人ぶどまりで満足度こんなんとかで
あとフリーハンドでこういうコメントがあったって
その人たちの属性までは個人情報の取り扱いの関係で見られないじゃないですか。
うん。全然ね。
そうそうそう。だからそういう部分がこういうところに
リスナーの方もこうやって聞いてくれてはんねんなとか
いう風なのが見れて嬉しいなと思うんで
もしね見た方いたらこんな感じで書いていただけると嬉しいなと思います。
確かにね。あの直接あれと関係してるわけじゃないけどね
たまたま3人一緒だから
あれのハッシュタグつけてくれると助かるね。
そうですね。個別のやつはメンションとかでいいと思うんですけども
3人のやつはこうやって教えていただけると嬉しいです。
嬉しいね。ありがとうございます。
あとこれはねぎさんも以前に話されてましたけれども
セキュリティのアレでCISSPのCPD申請ができるというノートを読んだ
来月から試してみるかという
あーなんかはいはい。ポッドキャストとかの視聴も
なんか一応ポイント取り加算できるみたいなやつね。
別にセキュリティのアレがというわけじゃなくて
ポッドキャストっていうアレですからね。
まあその何一応セキュリティ関連のっていうか
CISSPのそのドメインに何かどっかしら関係がある内容であれば
まあいいってことだと思うんだけどね。
まあでも上限あるんでしょ?
ちょっとまあ細かく俺も自分では申請したことないんで
そのポッドキャストでは。わかんないけど
まあ何かあったと思うけど一応その辺はルールを見てくださいというか
はい。あのCISSPねお持ちの方はセキュリティのアレを聞いたで
CPをねあの登録、申請かしまくって
CISSPが運営しているところのお墨付きのポッドキャストになるのを目標にしたいなと
はい。でですねイベント関連のお便りなんですけれども
よく辻さんねぎしさんにイベントで挨拶されたと皆さん報告されていますが
何をお話しされているんだろう?
会話ができそうなネタがなく自分なら躊躇してしまうので
まだまだ精進が足りないということか…というお便りです。
おーなるほどなるほど。たまにそのお便りでも
イベントでご挨拶できましたみたいなの書いてくれる人いるもんね
そうそうそう。何を話したい?いや別にそんなに構えることなくていいんだけどね
そうですね何話してるってなんかそんなガッツリなんかね
あの構えた話をするわけでもなく
そうそう僕の場合は
あのアレ聞いてますって言ってご挨拶してくれた方には
大体聞くことはその話のとっかかりとしてさ
09:00
だいたい決まってて
なんで知ってくれたんですかとかいつ頃から聞き始めたんですかとか
なんかそんなようなことから
アレの話をどんな風に聞いてます?とかさ
あとなんか会社の同僚から聞いてみたいだと
会社でそんな風にやってくれてるんですねみたいな話とかさ
なんかいくらでもこっち側から広げられるというか
きっかけさえあればなんか後はなんかいろいろ話せるし
そんなにその長時間話し込むってわけでもないしさ
まあそうですね
そんなにだからその何話せばとか事前に構えたりせずに
気軽に気楽にというか話しかけてくれた方が嬉しいけどね
そうですねまあなんやろな
僕話しかけられるときは結構なんかこういう
この間のこの話とかみたいな取り上げてたことだとか
あとはよくある定番のよくされる質問っていうのが
いつもこうどうやって収録してるんかの収録環境の話とか
俺あんまりそういうこと聞かれたことないな
ほんまですかたぶん収録どういう形で集まってやってるんですかとか
そういうのは100万回ぐらい聞かれているぐらい
確かにここでも何回か取り上げて話したかもしれないね
つい昨日もねあれの話を振っていただいて
247回聞きましたって言われた
この間のキーワードね
そうステッカーを差し上げておきましたけれども
よかったね
結構聞いてくださってるみたいで
僕が昔出した本も全部持ってますみたいに教えてくれて
ありがたいなと思ってね
別に何でも話してもらえれば
話しかけてもらえれば変な空気になったら
これはコンテンツ力試されとるなと思って
面白小話でも僕するんで
怖い話とかね
そんな感じなんで本当は構えずにという感じで
気軽に接していただければと思います
お待ちしております
今日結構多くてですね
嬉しいですね
238回のおすすめのあれで紹介されてた洗顔シロルを使ってみた
コスメショップで買い物することなんてないので
妻に頼んで買ってもらった
使い心地もとっても良くて
おすすめ通りの朝の忙しい時とかにぴったりでしたというお便りが
泡がすごい洗顔のやつ
炭酸系のやつですね
こうやって迂回して買われたんですね
アカウントがなかったからとかそういう感じなのかな
こういうのもありがたいですね嬉しいな
あとは前々回とあった
何か起きたら上司室とかに言わなあかんけど
話しかけにくいなみたいな話あったじゃないですか
サポート詐欺の時とかに
それでねセキュリティ部門にいるっていう方からお便りいただいておりまして
12:03
連絡を受ける側ってことかな
セキュリティ部門にいますが
どんな問い合わせにも必ずご連絡いただきありがとうございます
これからも気になることがあったら気軽に連絡してください
というようにしています
人の脆弱性への対応にはこれが一番有効だと思いますよというお便りです
非常に感じの良いセキュリティ部門で素晴らしいね
そうですね
誰もがそういう対応してくれると多分ね
掛ける側というか連絡取る側もさ
気兼ねせずにちょっとしたことでも相談できて
結果多分その対応力が全体的に上がると僕は思うんだけど
必ずしもね全部が全部そうなっているとは多分言えないんだろうね
先週のお便りとかも聞くとね
どっちからか先にねちゃんとこういった感じで感じの良い対応すれば
お互い気持ちいい感じになると思うんですよね
僕もサポート受けるみたいなことをしてたことがあって
プロジェクトでやってたんですけど
喧嘩腰の人とかもかけてくる時があったんですけど
僕はそういう時にはやっぱり同じ向こうが用意した乗っかったリングに
上がったらあかんなっていうのが結構あって
もうあくまでも全然丁寧に丁寧に接していって
向こうがもうこれ俺がちょっとアホみたいやみたいな空気にしてしまう
怒ってる方がバカバカしいみたいな空気に
大人げないんちゃうかぐらいに思うぐらい
こっちはもうちゃんとしっかり丁寧に行くっていう
気長に行くっていうことをやってましたけどね僕は
怒ってもしゃーないですからね別に
人間力が試されるよねそういうのね
仕事以外やったらすぐ切れますけどね多分
それもどうなのそれも
本当にねひとたびね場所が変わればすぐ切れますからね
気をつけていただきたいなという気をつけましょう
最後のお便りでございますが
あるところで言われて気になった話ということで
webアプリの診断でパスワードリスト攻撃のテスト項目なんてやるんだろうか?
本番環境にやらないと意味ないが万が一ログインできてしまったら
不正アクセス禁止をあたりでやられそうなんだけれどもというお便りが来てます
診断の項目に入るかどうかって話?
そうそういう項目なんてやるのかなみたいな
どうなんだろうねついさまにそういうのやってた?
これはwebアプリの診断に書かれてあるんで
ネットワークの診断だったらば
そのパスワードハッシュを取って
そのパスワードハッシュをどっかから漏洩している
IDパスワードのリストのパスワードだけ抜いたやつを
ぶつけるっていうのをやってましたよ
それはぶつけるっていうのは?
ローカルのパスワードクラックで辞書攻撃という形でやるってことですね
だからこの人が言っているのは
いわゆるオフライン攻撃じゃなくてオンラインの攻撃ってやつで
たぶんそうですね
IDパスワードのフォームかなんかがあってログインするっていうところだよね
15:01
だからそれはwebアプリケーションの範疇だろうっていうのは
たぶん正しいし
一応webアプリのいわゆるガイドラインというか
項目としても
そういう認証のアタックっていうのは入るべきだから
やるところはやるんだろうけどねたぶん
そうですね難しいところですね
診断をしている本番環境のユーザーは
それを承諾しているのかっていう問題もあるから
ユーザーが承諾する必要があるのそれ?
でもそれ破っちゃっていいのかな
破ってしまっていいのかっていう問題があると思うんですよね
だからこれwebアプリの範疇っていうと
アプリケーションの管理者ユーザーにのみ
こういうのやるとかっていうのはありますけど
一般の登録者っていうのはちょっと僕は聞いたことないですね
なるほどなぁ
その辺の線引きが難しいって言えば難しいのか
webアプリの診断とかに関わっている方いらっしゃったら
こういう風にやってるよみたいなのあったら教えていただけると嬉しいです
はいお便りお待ちしてます
お便りいただいた方にはセキュリティのあれのステッカーの印刷コード
5種プラスシークレットがある
5つ集めるとシークレットがもらえるというやつやってるんで
どしどし応募いただければと思います
あとお二人VSネギシとVSカンゴはまだ生きてますんで
今週は来てないの?
そうそうお二人に対する問題を出していただきたいなと
これはDMでいただいて結構ですんで送っていただければと思います
そうだよこのままだと企画倒れで終わっちゃうよ
そうですそうですなんか送ってください
頼みますよ
ということで今日もセキュリティのお話をしていこうかと思うんですけれども
じゃあ今日はカンゴさんからいきましょう
はいじゃあ今日は私から行かせていただきたいんですが
今日取り上げたいなと思ってたのは
さっきついさお話しされたリスト型攻撃
不正ログインに近いのかな
そういったものについて取り上げたいなと思ってまして
なんでかっていうと
11月に公表されている
インシデントに目を向けますと
ECサイトであったりというものに対して
不正ログインリスト型攻撃を受けましたという
被害公表がですね
結構続いてまして
11月だけで
私が確認したものは4件かな
4件ありました
1年通じて見ていくとちらほら
リスト型攻撃とか不正ログインされましたとか
っていうのは一応ありはするんですけど
1月にこれだけ立て続けっていうのは
ちょっと珍しいというか
集中した動きが何かあるのかなとかっていうのはちょっと思ったりする
というところがあってですね
今日ちょっと取り上げたいなというところでして
ただですねちょっと残念ながらっていうと
あれなんですけども
これらが例えば一連の攻撃なのかとか
18:02
その辺あたりを探るというか
推測するにまで至るような
情報っていうのは残念ながら
ないというところがあって
あくまでも時期的に集中して公表されていると
1件目としては11月13日に公表のあった
ヨネックスという会社の
オンラインスターに対してというところでして
これは11月7日から8日2日間で
223件の不正ログインが
あったというところで
実際身に覚えがない発注完了通知があったという
連絡を受けで発覚したという事例でした
そこから少し時間を置いて
11月19日には
ジピターショップチャンネルというところで
同じく不正ログインの被害があったというところでして
こちらは11月15日
朝10時半から
確認されていて
11月19日
4日ぐらい経った時点で
不正ログインに成功したという風に
見られる数が1万5千件ということで
数がかなりいきなり増えるという感じ
ではありました
ただ不正購入、さっきのヨネックスの方は
身に覚えがない発注完了通知があったという事は
おそらく不正な購入が裏っかで行われていた可能性
というのは考えられるんですけども
ジピターショップチャンネルの方は不正購入の被害は
確認はされていないと
という状況でして
続けてオイシックス
オイシックスという会社も
同じく不正ログインの被害を公表されておられて
ここは11月24日と
25日に
不正アクセスがありましたと
件数が結構すごくてですね
10万件近い
約9万7千件ほど
というアカウントに対して不正ログインが行われた
これが
おそらくは成功した件数だろうな
とは思うんですけども
これ元々ユーザーが多いのかね
全部の総数は書いてないんですね
残念ながらというのはあるんですけど
具体的にどれくらい試されたというものに対して成功したのか
というのは公表されているものではなくてですね
あくまでも成功したと見られる件数
というのが記載されている
というものでして
同じく同日に三越伊勢丹のECサイトも
不正ログインの被害にあったというのを公表していて
これも24日25日の
これは1日なのかな
20時から翌日の22時くらいという形で書かれていて
21:00
もしやっぱり件数としては11,000件が
ログインされた可能性があるということで
書かれていまして
ちょっと最初のヨネックスのケースは
少ないんですけども
その後の三社のケースにおいては
1万件とか10万件とか
リスト型攻撃で
そんなに成功するんだというくらい
結構鮮度がいいのか
あるいは使っている方が多いリストを
うまく入手して試しているのかわからないんですけども
なかなか件数が多い状況だなというところで
あって
さっきも言った通り
これが全部同じ実行者かというところは
なんともわからないところではあるんですが
いずれも顧客情報が一部閲覧された可能性がある
というのは書かれてはいて
あいにく攻撃者からすればクレジットカード情報
とかは入手ができないという状況であったと思うんですけども
氏名とか住所とかそういった情報というのは
閲覧された可能性があるという形で書かれてはいた
という話ではありましたので
ちょっとこれがまた落ち着くのかどうなのか
というのはわからない
落ち着いているのがすでに他にもやられているのか
わからないところではあるんですけども
続いているので気持ち悪いなというところがある
というところであるのと
依然としてこのやり方は有効な攻撃の手段なんだな
というのは
こういった被害の実態というのを見ていくと
まだまだ捨ておけない
脅威の一つだなという感じではあって
WAFを対策として入れてました
というところを書かれているところはあって
これWAFっていうのが
果たしてどこまでこういったリスト型攻撃に対して
有効な対策になるのかなというのは
ちょっと気になるところではあるんですけども
結構WAFを入れていたんだけども
というのはリリース中には書かれているところ
というのもあったと
4つの中に複数あったんですか?
あと三越も書いてたかな
間違えたら申し訳ないですけども
WAFを入れていたっていうのは書かれてはいたんですが
結果的にこういった事態に事案が発生してしまった
というところではありましたので
この辺はそもそも想定している脅威に対応している
ソリューションなのかっていうのは
改めて確認はしていただいてもいいのかなというのは
別にこれに限った話ではないと思うんですけども
WAFによるかもしれないよねその辺ね
物によっては例えば同じアドレスから
短時間にログインが来たら
試行が来たらこれはおかしいって検知するとかね
それくらいやってるとは思うけど
24:00
もしかしたらサービスによってはあまりそういうのに
対応してないってのもありそうではあるよね
全部のWAFを知ってるわけでないってわからないんだけど
なるほど
リスト型攻撃でオイジックスは
9万7千件以上
今までのリスト型過去のものなんですけど
だいたい見ると1%くらいじゃないですか
1%もかなり良い方なんですよね
例えば0.7%とかね
もっと低いのとかってよくありますけど
昔見てたのは結構そういうのがあって
1%で良かったとしても100万件くらい
もしそのままやったとしたら総数が
もっとだよね
10万件だと1000万件くらい
フルフルでやったらそうですよね
ものすごい質が良かったら話は別やけど
相当な数やからにわかに信じがたいなと思う
本当にそうなんですよね
こんなに多いんだっていうのはちょっとびっくりして
仮にだけど
複数のショッピング系のサイトが
もし同じアクターによって横断的に
やられたんだと仮にすると
ひょっとしたら成功したやつで
精度が上がっている可能性もないわけじゃない
ちょっとずつ絞っていってるみたいな
もしかしたら全然的外れかもしれないけど
最初のやつは1%だったのが
成功したやつをベースに
攻撃したらそれが10%ぐらいに上がるとか
あってもおかしくはない
使い回している人リストみたいなのが
出来上がっていくってことねだんだん
使い回して1カ所で成功している人は
ひょっとしたら他でも成功しちゃう可能性がある
ただこういったサイト全部みんな同じ人が
使ってる可能性がどのくらいあるのか
ちょっとわかんないんです
それで精度が上がるかっていうと
実際やってみないとわかんないから
ちょっと今の推測は的外れかもしれないけど
結構大変な作業そうですよね
そこまでやってないかもしれないけどね
あとこれ前にここでも話してた記憶があるけど
攻撃者はこれで何を得てるんだろうね
ちょっとそこがわからないというか
毎回思うけど
閲覧した情報を利用すること自体が目的なのか
精度の高いリストを作って
何かすることが目的
目的は別にあるのか
不正発注とかが実際あれば
それがメインの目的かなとも思えたりするけど
単にこのリスト型の攻撃って
ログインしてるだけとも見えるから
実際のところ狙わないといけない
実際のところ狙いが何なのか
27:01
これは昔からそうだけどわからないよね
成功しているリストどこそこでっていう風にすると
値段上がりそうな気はするけど
その分気づかれて対処される確率も上がるから
あんまり効果的とは考えにくいなとか
そうなんだよね
これも別に今に始まった話じゃないんだけど
今回の4つのやつも
確かどれも全部ログインのIDが
メールアドレスなんだよね
パスワードリスト型でやられるやつって
大体ほぼ
IDがメールアドレスってやつがやっぱり
狙われやすいので
単純な対策として
メールアドレスをそのままIDにしないっていうのは
ありっちゃあれだと思うけどね
一つのIDになっちゃうんで
例えばヤフーさん
ヤフージャパンか
ログイン専用のIDって発行できるじゃない
メールアドレスはログインに使わないっていう設定が
ユーザー側ができるんだよね
あれは結構いい仕組みだなと思ってて
あれはユニークなIDがわからなかったら
絶対リスト型交易とかできないから
そういう交易を経ての対策になったと思うんだけど
やるのはちょっと大変かもしれないけど
今からECGサイトとか
そういうウェブサイトの設計をするんであれば
メールアドレスをそのままIDにするっていうのも
もしかしたら避けたほうが良いかもしれないね
なかなか全部バラバラって覚えられへんって思ったりとか
ユーザーの側確かにね
それはあるかもね
リリース見ててもこういう交易まだあんねんなとか
って思いながら忘れたらあかんな
ちゃんと注意喚起していかなあかんなと思いつつも
リリースを見るとやっぱり定期的なパスワード変更をお願いしてくるんですね
まだこういうの返すところはまだまだあるよね
まだまだあるんやな
結構2016年くらいでしたっけ
SP800-63Bで
歴ではないって言って
強い言葉に変わったじゃないですか
まだドラフトだから正式には発行してないけど
2016年か7年くらいに変わって
結構前のやつを調べてみたんですけど
日本の省庁とかが言うやつもあれも全部変わっちゃったし
セキュリティ系の認証やら何やらガイドライン系も
定期的な変更は要求しないのが
一応ねそういうふうに常識になりつつあるけど
まだ結構こういう風に書いてあるところは
あるよね
そうなんですよね
これもなくなってほしいなってずっと思ってるんですけどね
一応その同じパスワードを使いまわさないで
みたいなことは書いてあるはあるけど
そっちをより強調して
そのためにどうするのみたいな話を書いてくれると
30:01
いいかもしれないけどな
あとはなんだろうね
パスワードだけに依存しないログインの仕組みを
パスキーとか
あとはあれじゃないですか
どれも登録してないサービスなんで分からないですけど
2要素を使えるのかっていう話ですよね
そういうパスワードレスとかパスワードだけじゃない
認証の仕組みに
標準的にみんなそうなってくるといいなと思うけどね
そうですね本当に
根っこの部分でガッと変えないと結局なくならんねんなっていうね
繰り返しって感じで
例えばIPAさんが毎年やってるアンケート調査でも明らかだけど
ほぼ毎年ずっと変わらず約半数ぐらいの人が
パスワードを使いまわしてますって言っている
これはもうほぼ変えられないから
変えてる人はもう変えちゃってない
変えてる人はもう変えちゃってて
それ以外の人は変える意思がないかそれがダメってことに
分かってないかで
強制的に何かする以外にユーザー側のそういうやり方を
変えるってことはほぼ不可能なんで
これはだからそれ以外の対策を考える以外
止められないと思うよこういうのは
2014年ぐらいから毎年
2023年分ぐらいまでトレンドマイクロが
アンケート取ってるんですよそれ
1種類から6種類の幅を持たせてるんですけど
何かしらパスワードの使い回しをしてますっていう
6種類まで含めると95%ぐらいが
使い回してるんですよね
これほぼ傾向に変化はないんで
ここ何年もずっとちょっとこれは難しいと思うな
うーん
こういうのなくなってないってことをね
壊れないようにしないとなということでございますね
ありがとうございます
はいじゃあですね次僕いきます
はいお願いします
それこそ今日僕小話ですわ
小話でもいいよ
何でおもろい話しようとしてんね
おもろい話でもいいよ全然オッケー
振り返りみたいなところもあるんですけど
ペネトレーションテストについてっていうところの話をですね
知り合いからある話を聞いたんで
ちょっと整理してみようという
お二人はどういうふうに整理してますかみたいなことも聞きつつ
小話じゃんやっぱり
小話でいいですよ
それを聞きつつ聞いてる人も
自分はこういう整理してるなみたいなことを考えながら
聞いていただけるといいかなと思ってるんですけどね
まずその脆弱性診断とペネトレーションテストで
脆弱性診断っていうものだと僕は基本的には
エクスプロイトコードとかいわゆる攻撃コードを用いたり
実証みたいなもの
33:01
これできましたよみたいなものは行わないっていう整理なんですよ
それは一般的な整理なんじゃない
その内訳としてあるのが
ツールをかけるだけと
自動化したツールで診断する
一番ライトなやつはそこしかやらない
安価ですよね
ツール診断だけやったらちょっとあれやからっていうんで
ツールプラスツールが出した結果を
手である程度確認しますみたいな診断も世の中にはあるのかなと
この2つとも基本的には
ペネトレーションとかがっつりしたやつと比べると
安価なサービス
ツール診断は指定した対象に自動的にはやるんで
誤検出だったり非検出
検出できなかったりみたいな可能性はどうしても残るかなと
これはわりかし厄介で
安く済むとはいえ誤検出は
存在せいへんのに危ないみたいな感じで言われて
振り回されてしまう場合もあるんですよね確認したりするのに
そういうのがあるからプラス手動みたいなものを出してる
ベンダーとかもあるのかななんて
いう風に思ったりするんですけど
軽弱性診断という風に言われるものの整理かなというところです
一方でペネトレーションテストって何かというと
先ほどのひっくり返せばいいんですけど
実際の攻撃侵入みたいな
そういった実証などを行うものというのが
この整理なんですね
基本的に侵入とか情報の摂取という風な
実証するのが目的
場合によったらお客様の要望があればサービス停止を伴うような
攻撃も実施してくれている場合はすると
実証に成功した場合というのは
僕がやってたやつでもそうなんですけど
ちゃんと入れましたよという証拠として
ファイルを閲覧したり権限の確認のために書き込み
あとはアカウントを作成するとか
そういったこともすると
攻撃の過程で入手できた認証情報
例えばハッシュ取るとか
パスワード.xlsがあったとか
そういったものがあるとその情報も使って他の対象に
侵入できるかみたいな
なんで脆弱性があって侵入できてパスワードが入手できたら
本当は推測できなかったパスワードを使って
侵入範囲を広げていくという風なこともあるという風なものですよね
あとは対象とか
シナリオにもよるかと思うんですけど
侵入に成功したホストを踏み台
ワークとかホストへのアクセスを踏み台してアクセスしていく
というようなこともあるかなという風なことです
さっきの脆弱性診断と比べるともちろん
高価になってくる高い値段になってくるんですけども
いわゆるできたことベースということで報告をするので
白黒はっきりしてるんですよね
今すぐしないといけない対策という風な
対策優先度が明確
逆にツールがやばいって言っててもこれはできひんという風なものが
わかっていればちょっと今はやらんでいいかなという風な
36:02
差事加減ができて結果的にサービス自体は高くても
対応を最小限に抑えることができるという風に
僕は思ってるんですよ
攻撃方法が一般的に入手可能な攻撃コードでなかったとしても
ご依頼いただいたりとかしたケースでよると
KVとかの悪用情報があれば掲載して優先度を示すという風なのも
カスタマイズでできるかなという風なものが
ペネトレーションテストという認識なんですね
どっちかというとツール診断に主導があって
それにプラス攻撃も実施するという
積み上げ式のイメージなんですよ僕は
お二人どうですかこの辺りは
だいたい合っているんじゃない
あれが気になっているのは最近聞いた話が何なのかが
気になっているんだけど
それ今から行こうかなと思うんですけど
一旦皆さんどう思っているのかなというのを確認しながら聞いて
そんなに違いはないだろうそもそもそこに
細かいところでは違うかもしれないけど
大枠そんなにそこでズレがあったら
おかしいだろうそもそも
僕が知人から聞いた話なんですけど
ある金融系の会社に勤めている旧知の知人から
ペネトレーションテストを受けたんですよ
困ったことがありましてねという風に言われて
1年目に最初に受けてから
今回2回目を受けたんですよね
2年目として1年目はいくつか指摘されて
攻撃の成功もある程度あったそうなんですよ
2年目は
昨年もそのシステムの中に存在していた
緊急度の高い脆弱性が指摘されていなかった
今年初めて指摘されたと
去年見逃したってこと
見逃したのかどうなのかって話になるじゃないですか
見逃したわけではないのか
現場のITチームとか開発チームの人は報告を受けた時に
え?そうなん?みたいな感じで
ザワザワとなったと
直したから一旦再診断してくれみたいな感じになったらしいんですけど
再診断した時に同じスコープ構成で
システム側は変更してないのに
これも見つかりましたって言って
後からどんどん出てくるみたいな
意識的にコミュニケーションに問題があるんちゃうか
意見を伝える甲斐を持ったらしいんですよ
その時どうなってんの?みたいなことを聞くと
いやいやペネトレーションテストってベストエフォートでやってるんで
担当によってやることもフォーカスする部分も違うんです
そういうもんなんですって言われたんですって
じゃあ今回どこにフォーカスしたんですか?
そのフォーカスするところについて
こちら側と合意してますか?きちっとって
なんでこれは確認してみると
診断とかペネトレーションテストをした人に
依存してしまっていて
なんか1個見つけたらもう終わりみたいな感じの
サービスを出そうなんですよ結局
なのでこれは個人の感想なんですけど
39:00
これはちょっとなんか安心できひんやんみたいな
全部網羅的に見てくれへんやったら
こんなやる意味ないやんぐらいのトーンで
思ってしまったみたいな話を聞いたということで
なのでペネトレーションテストとか診断も
そうかもしれへんけど最初に僕と意識ちょっと違いますか
っていう風に聞いたのはサービスの名前は一緒でも
中身が全然違うって結構あるんちゃうかなと思ってて
程度の違いとかもあるやろうし
スコープの違いとかっていう風なものがあるので
そこが発生するのは発注側が
把握することも大事やけどサービス提供側も
きちんと説明する必要があるんじゃないかなと
名前だけじゃわからないことってあるなっていう風に
しっかり理解しとかなあかんなっていう風なことを
この話を聞いて思いましたという話でございます
それってペンテイストだけじゃなくてさっきさ
大枠そんだけそこで差があるはずがないって言ったのは
そこで違いがあったらそもそも各サービスごとに
もっと違いが出ちゃったらおかしいことになっちゃうんで
そもそも定義上はそんなにズレはないはずなんだけど
問題は今言ったみたいにそのペンテイストって
言っているサービスごとだとか各社ごとに
やっている内容が違うとか
あと脆弱性診断って言ったときにさっき言った
ツールベースなのか手動ベースなのかとか
手動の割合がどのくらいなのかとか
そういう部分もやっぱりその各社結構
センサー判別で
で問題は今言ったで今回の問題はねその
この提供した会社がどうやってるかはちょっと
わかんないけどこういうその人に依存する人に
よってやり方もスコープも違うのがペンテイスト
ですこれはまずそもそも間違いですと僕もそう
思いますね人によって異なるこれはその通りなんだ
けどそれがペンテイストですが正しくなくて
ペンテイストであろうが何だろうかというかそう
いうサービスを会社として提供する以上は
人が変わっていても同じ品質のものを提供できる
ようにするべきなのがそれはサービスってもんだ
からそもそもこれはそのこの会社の言ってる
ことが間違ってるこれはまああのこれは間違い
なくていいんだけど問題はそのユーザー側から
それが見えないということで
これはのこの手のサービスの話はもう20年くらい
前からずっとあってなんで今さらこんなこと
言ってるのかっていう気がするけど攻撃を受ける
側ってか受けるかというかその何サービスを
プロではないから違いなんかわかんないわけ
だからこれはサービスを提供するセキュリティ
ベンダーが説明する責任を負うべきで
我々のだが少なくともこの会社のやり方で
やるんであれば我々のペンテイストはそういう
もんですと毎回人も違いますやり方も違います
だから毎回結果が違いますやればやるだけ
違う結果が出ますそういうもんですっていう
説明を最初にしてれば問題ないと思う問題ない
けど一般的にはそれは普通は違うと思うけど
ねまあそういうのもあるんだというねまだ
こんなあんねやっていうね僕も思いました
42:00
けどまあだからちゃんとした会社で頼んで
あるんであればもちろんそのチームで当然
やるしで人によって当然そのやっぱり一番の
問題はその人によって違うってのはやっぱり
その通りでそのスキルがある人がのやり方
がとそうでない人でやり方で明らかに差が
それを何とかするとかその会社のサービス
ってもんだからさそうですねなんかこう
何人かではある程度の平準化みたいなものを
しつつもなんかこう仕上げはこの人がやる
みたいな感じにはしてましたけどね僕が
やってた時ってペンテイストがどうしてもね
そういうのがやりにくい部分あると思うん
だけどとはいえそのやる人によって毎回
結果が違いますおかしいと思うのででただ
やるものではそもそもないので
それはどっちかというと贅沢性診断がある
ところでそこがちょっとねあのわかりにくい
し間違っちゃう部分だと思うんだけどそこ
のまあさあもあるかもしれないですね
網羅的にやるのもあると思いますからね
そうやでもペンテイストで対象のスコープ
の贅沢性を全部荒れ荒れ出すって言って
言うとか多分ほぼないと思うんでそもそも
であって
でその過程においては例えば一番その
最も使いやすい贅沢性とか攻撃しやすい
ものが使われたりあるいはその攻撃側が
得意な方法が使われたりするんであって
それ以外の方法でもできるということを
全部洗い出してこういう方法でも取れ
ますこういう方法でも取れます全部洗い
出してくれるかって言ったらそれは多分
僕そういう感じのやつやってましたね
そこが違うんだよだからそこが違うん
ですよねそこはだから一般的にはそこ
はペンテイストでは期待してはいけない
部分なんでそこら辺の多分そのユーザー
側というか発注する側との間にギャップ
があると今回みたいなことになりかね
ないよね僕は結構その仕事の勤めて
いるところ柄の金融系を相手にすること
そこは結構ねその特に日本の会社
単価はその贅沢性診断さっき積み上げ
って言ったら僕はそこはちょっとイメージ
が違ってそこはであのねそもそも全然
積み上げではないペンテイストと脆弱性
診断はなんだけどあのそういう延長で
やっている会社もあるんだよねだからね
でそこが発注する側が脆弱性診断の
イメージでさらにプラス悪用までやって
いると多分ちょっとずれが生じるね
そこは難しいとかもしれないね
そうか昔は複数贅沢された方も全部
試して全部やってましたねそこもだから
それがやり方次第ではねたそうですね
まあそこはそのサービス仕様による
ところっていうかねあの見つけた部分
は全部報告すると思うけどそれが全て
かどうかを保証しないっていうことなん
45:00
そうでない方が今は多いかもしれない
けどねなるほどねその辺はでも相も
変わらずやっぱりそういうそのなんか
認識の違いっていうかあるんやなっていう
ねギャップが問題になるってことはある
んだねなんかこのあの窮地のこの知人
だけかなり久しぶりにあったんですけど
ね第一声にこの話が出てきたんですよ
第一声に何か辻さんが10年も以上も
やったんですねって急に言われて
比べるとってことねそうそうそうそう
そこからね10年以上経ってるのにこんな
ことがあってみたいなことを言い始め
ましてちょっと今日ね皆さんどう思ってる
のかなっていうのを聞いてみようと思
ってはいちょっと話題にしてみました
脆弱性診断の代わりにちょっとそのそれ
を置き換えようと思ったら失敗すると思
う僕のイメージではひどい対象について
脆弱性診断を網羅的にやりつつある部分
に関しては例えば特定のシナリオに関
してはとか特定の攻撃経路に関しては
ペンテストをやるっていうその2つは別
別のモードして取り扱うべきだと僕は
思うじゃないと多分今行ったみたいな
失敗が起きるそうかまあまあ期待する
っていうのを言ったほうがいいってこと
ですね確認をするのねそうだねその辺
は何かもしかしたら事前にちゃんとね
納得できれば話し合ったほうがいいかも
しれないねそっか結構そうなるんだね
でもそれはごめん個人的な意見だけど
今回のその水産の話に関してはそれは
セキュリティベンダーが悪いよと思う
よあのごめんわかんないけどね発注
そうそうそうですよねっていう面白い
ねうんあったというお話でございました
はいありがとうございますじゃあ最後は
ネギスさんですよろしくお願いしますはい
今日はですね僕からはこれ先週かな
ボレキシティっていうところが報告を
したはいロシアのまあ apt のアクター
の apt 28っていうところが行ったという
攻撃の活動の報告が出てたのでまた28
かそうそうまあけっこうよく出てくるよ
ねそうですねこれね攻撃の方法がちょっと
変わってて面白くってあのまあ彼らが勝手
に名前つけていてまあそれとニアレスト
ネイバーアタックっていうんだけど
なんか日本語したなら最も近くにいる
お隣さんへの攻撃っていう感じかな
であのちょっと細かく言う前に最初に
結論というかどんなものだったかっていう
概要だけ言っちゃうとその攻撃者が
標的にしている組織に侵入するために
まず一旦その組織の近くオフィスの
物理的な近くにある別の組織に侵入を
してでそこからワイファイドネットワーク
48:00
を経由して本来のターゲットに侵入した
っていうまあこういう攻撃なんだよね
えっとそれが出ると8 a 社に
侵入しようと思っている最終ターゲット
がねそう最終ターゲットは a 社で
まず b 社のネットワークに入るんですね
そう a 社に直接入れなかったから
そのオフィスの a 社のオフィスのすぐ
近くにある b 社のオフィスのがありますと
近くにねその b 社にまず侵入しますと
でそこから b 社から a 社に対して
ワイファイ型が距離的に近いからワイファイ
が繋がりますと b 社のコンピューターを
そういう攻撃でこれはちょっと面白い
なぁと思って確かにねまあこういう方法
があの実際にボレクシティが観測したんだ
ってということでまあそのあのレポート
が出てたのでまあその内容を少し紹介
したいんだけどこれねあのまあいろいろ
背景があってなぜ今になって公開した
のかちょっとよくわからないけど事件
自体は2022年の2月だから今からもう2年
ずいぶん前ですねでこのタイミングが何か
っていうと実はロシアとウクライナの戦争
の直後直前かごめん回戦直前に起きた事件
ででこれ後で分かったことらしいんだけど
そのターゲットなったまあここで今
ついさが言うのより a 社って言うけど
ターゲットの a 社の中にそのウクライナ
に関するまあ中専門知識を持った特定の
個人がいたらしくてどうもその人が狙
われたらしいのねうんでまあタイミング
的にもこれはおそらくロシアの攻撃者だ
ろうっていうことをまあボレックシティは
言っているんだけどまあそういうタイミング
戦争直前のタイミングでまあボレックシティ
さんのまあある顧客のその組織 a って
ところでまあ不審な活動が観測されました
とうんでそれが内容っていうのがあの
ウィンドウズのレジストリのキーのサム
とかさセキュリティーとかシステムとか
まあよくあのよくあるっていうかまあ
抜かれる抜かれるすぐ抜かれるでおなじみ
のやつそうまあサムっていうのはねローカル
のユーザーのアカウントのハッシュが入ってる
んでまあまあよく攻撃者に狙われるところ
だけどまあその辺のあのレジストリのキー
をダンプして持ち出そうという動きが検出
されましたとこれはまあ明らかに攻撃です
よねということででボレックシティがまあ
いろいろ edr のログなりなんだ調べてみ
たら 確かにそれにつながるな中不審なファイル
の功績なんかが見つかりましたとただねあの
巧妙なのはただそのファイルそのものは
見つからなくってでこれはもう全部こういう
人が削除済みでなおかつねあの年には寝よう
っていうかあのサイファーエグゼっていう
ウィンドウズの標準のコマンドがあるじゃない
うんあれを使ってディスクの未使用の領域
を全部上書き処理してたんで戻せないように
したのかいわゆるフォレンジ的なつの事後
処理でファイルを復旧させるってことができ
51:02
ないような形にまでしてたということで検知
はしたもののファイルそのものは見つから
なかったとなんで詳しく調べられませんでした
とはいで困ったなーってでも一応監視を
強化しようっていうことをやっていたらまあ
幸いそのすぐ後にまた攻撃者が戻ってき
ましたとで今度はまあ監視しっかりしたんで
いろいろ調べられて で調べてみるとそのサーバー
への規制アクセスが その組織への
wi-fi のネットワークのアドレスのレンチから
来ていたと攻撃がこれは wi-fi から来てるぞ
ということが分かりましたとでなんかバック
アドレスも分かったんだって端末ので次に
じゃあこの端末がどっから来てるのかって
ことを調べようって言ってことはラリウスの
wi-fi のその認証に使われているラリウスの
サーバーのログを見ましたと でそしたらまたしかりその
攻撃を検知したマックアドレスからまあ認証に
成功したってログが見られたと でただそのマックアドレス
同じマックアドレスから2月の前に1月の
タイミングでも別のユーザーの認証の成功
がログがあったんだって なのでまあこの2つのユーザー
がどうしてじゃあ認証に成功してるんだろう
っていうことに疑問を感じて 調べてみたら
実はその2つのアカウントってのはそれに
先立つことをその前にインターネットに
接続されたサービスっていうから何だろうな
これ vpn とかメールとかなんかわかんないけど
そうですねインターネット経由で認証を
必要とするのサービスっていうのがあって
でそこに対してなんかパスワードスプレー
攻撃が仕掛けられてたんだって でまあパスワードスプレー
だから簡単な推測可能なパスワード感覚
つけそうのかなわかんないけどその攻撃で
3つのアカウントのパスワードがなんか
バレてたとでただしこのサービス自体は
多要素認証が有効になってたんで直接ログ
イン自体はできてなかったですとただ
まあパスワードスプレーでこの3つの
アカウントのパスワードがわかったという
ところまではまあ攻撃者にバレてしまいました
とでその3つのうちの2つのアカウントが
今回のこの wi-fi 経由の認証で使われて
たということなんでまあどうもこの
攻撃者は多分同じだよねということで
あらかじめ外からのアクセスできるサーバー
で認証をできるかどうかっていう確認を
した上でそれに成功したアカウントを
使って wi-fi 経由で来たってことだよね
でじゃあその wi-fi 経由ってのもじゃあ
詳しく調べてみましょうということで
なんか wi-fi のコントローラーのログ
とか詳しく調べたらしいんだけど
そうしたら結果わかったのがその組織
a のビルの会議室の一番窓側にある
道路に一番近いところに面している
アクセスポイントから攻撃が来てました
というところまでわかってここに至って
ようやくこれは中からじゃないぞと
54:01
ビルのそこから攻撃が来てるなという
ふうに判断しましたってことねでそこで
まあいろいろ準備をしてその次で攻撃
が来た時にパケットのキャプチャーも
取ったんだって
wi-fi のねでそうしたらその攻撃者の
アドレスからのパケットの中に
ネットバイオスの名前解決のねパケット
とかが含まれてまああのよくある
ブロードキャストレイヤーだよね
でそれを見たらその中に通りを挟んで
反対側にあるオフィスの組織ばこれ
仮に今組織 b とするけどもこの b 社
のアクティブディレクトリーのドメイン
名がそのネットバイオスのパケットの
中に入ってましたとはいなんでこれは
その b 社の端末から出てるってことが
わかったわけねそうですねでを道の
反対側から攻撃を受けてるぞとうん
わかってでボレクシティはその b 社
に対して
a 社がその後の会社から攻撃を受けて
ますよと
いうことを言って調査で協力してください
と言ってまぁお願いをして
でこの b 社もわかりましたって言って
前なんか一緒に調査をしたらしいのね
で結果わかったことはじゃあどうやって
b 社に攻撃者が侵入したかっていうと
実は経路がだから2個あったらしくて
一つは vpn 経由で入り込んでいました
とよくあるパターンよくあるパターン
だねでなんかこの b 社の vpn は
多様素認証がなかったらしいんで
まあなんかの方でもしかしたら
インフォスティラーが何かかもしれない
けどそこは書いてないんでわからないけど
まあ何かしらクルーで車が漏れて
いってそこから入られていましたと
いうのともう一個が面白いのはもう
一つの侵入経路が実はその b 車と
a 車の近くにある c 車っていうのが
出てきておっとおっとまた出てきたよ
その近くにあるその c 車の wi-fi
から実は b 社も攻撃を受けている
っていうのがわかりましたし c 社の
コンピューターを踏んで b 社の
wi-fi に行ったねそうでその b 社の
wi-fi を踏んで今度 a 社に来たと
すごい wi-fi ホッパーですねそう
すごいよねこんなことあると思って
でただそのこのボレクシティが
その c 社に行くの問い合わせに行ったら
なんか c 社は詳しいその調査を拒否
したらしくてデータをくれなかったんで
まあその c 社がどういう理由でやら
れたのかというのはちょっとはあの
ボレクシーさんはわかりませんでしたと
いうことなんだけどただねその後に
実際にいろいろ対策をした後に1ヶ月
後ぐらい後って書いてあったけどもその
組織 c 社ってところからまた a 社に
対してその wi-fi キーでアタックがあった
って書いてあるんでまた聞くとかやっぱ
c 社もやられていることは間違いないと
ああそうなんやなんでそのまあ vpn が
先だったのかその c 社から来たのが先
だったのかちょっと順序関係はわかんない
けどまあ結果この今回の行動記者は c 社
にまず侵入してまあ b 社でももしかしたら
侵入していてはいで c 社から b 社は
wi-fi でまあホッピングで入ってこれ
だし b 社から a 社も wi-fi で来れるし
あとは b 社を経由せずに c 社から a 社
57:00
に対しても wi-fi で来れるとすごいな
もうよくわかっているのまあこういう感じ
でまあ wi-fi を経由してこういう影響を
するっていうことがまあ実際に行われ
ましたということを言ってて
でその最終的にそのまあロシアってこと
はどうやらその狙いからわかったんだけど
apd 28だろうってことは最近までわから
なかったみたいなんだけどなんでわかった
かっていうと今年の4月かななんかに
マイクロソフトが全く別の案件で
この apt 28の攻撃を観測しましたって
いうのなんかブログに記事を書いてたんだ
けどそこで書かれていたファイルメイド
が攻撃者のその手法が全く今回のその
ボレクシティですと全く同じだったの
じゃあ ioc 的なのでつながったそう
ほぼ全く手法が同じなのでまあこれは
まず間違いないでしょっていうことで
ちょっとどういう関係の情報を狙った
のかまだ書いてるんでわかるのはそこまで
書いちゃうとね多分で顧客がわかっちゃう
から隠してるんだと思うんだけど戦争
直前のタイミングで何かしらロシア側
が必要な情報を狙って攻撃を仕掛けた
んだろうと
技術的にはそこまですごいとは思わな
かったんだけどただまあなんていうか
ワイファイをこう経由して入ってこよう
なんかしこう執念っていうかさ
ここまでしてそのターゲットにその
執着して侵入しようとするっていうのが
すげーなぁと思って
これあの c 者は拒否したんでしょ調査
を拒否したというかの詳しい情報は
ブレクシティ側にはくれなかったって
書いてあるでしょうでももしかしたら
d 者があったかもしれないですよねあれ
アリア最終的に辿っていったらロシアの
国道にまで行ってしたかもしれないですよね
ずーっとで
近くを先に攻撃者なくて家の近所から
やってたかもしれないですよねさすがに
ないわそれはまあまあちょっとちょっと
ふざけてしまいましたけどもだから今
ほらあのネギさんがねワイファイの
執念って言ったじゃないですかなんか
昔な何でやったけど結構前何年か前に
あの同じあのオランダにあるあの科学
兵器禁止機関っていうところをああ
そのワイファイのワイファイにそう
侵入するためのなんかそう設備みたいな
が車に積まれてて車内からそのそれを
しようとして逮捕されたってのありました
よねあったあったそうそうそうそれそれも
確かあれじゃなかった28じゃないこいつ
をあれ戻しはそうそうはいなんでまあ
もしかしたらこういう手法は何か彼の
お得意なのかもしれないね分かんない
けどもなるほどなるほど一つの手法の
これの名前の音昔あったやつの発展
版じゃないですかこれは本丸じゃない
ところから固めていくみたいなねそうそう
まあこれもさあ多分その顧客を特定
されたいないためだと思うけどもあの
具体的な場所とかは書いてないんでどこ
の顧客かわかんないんだけどまだその
1:00:00
ぼやかしてその地球の裏側くらいから
来てるんだぜみたいなこと書いてあるんで
まあ相当遠くから攻撃をされたんだ
まあロシアから見てねまあ仮に攻撃者
がロシアにいるとしたらロシアから
遠く離れたところにいる顧客が狙われた
ってことを書いてるんで
ちょっと驚きだよね
あとねその今回のワイファイがその
狙われた一つのもう一つの大きな理由
はこの a 社はインターネット側は
多要素認証で保護者だけども
ワイファイ側 id とパスワードだけで
認証してたんだよねああじゃあもうそれ
さえ分かれば入られちゃうつま接続
できちゃうような状態だったと例えば
ワイファイとかまあ優先でもあるけど
その証明書ベースで認証するとかさ
強固なセキュリティーのね認証の
仕組みを使っているところとか結構ある
と思うんだけどありますねこの会社は
ワイファイのところに関してはそこまで
やってなかったということでまあそこが
穴になった可能性があるということで
なんでその人とそのなんていうかな
今回その教訓の人としてはそのアタック
サーフェスっていうかはいどうしてもその
優先度的にさあインターネット側が
そこ優先度が高くなるのはこれはしょうがない
と思うんだけど第一歩としたそこですよ
ねまずはねまずはそれ正しいと思うんだ
けどそっちがしっかりやったから安心と
思ってるとまあ今回のような高齢者に
とってはそうとも言えないっていうかですね
うーんそうそうだからワイファイから
まさか来るのって多分思ってもいないと
思うんだけどまあそういうことが起こり
うるよっていうのはちょっとねあのそう
いう意味で大って思ったねそういうところ
見直さないかなっていうかこの間ね僕が
紹介したのシム刺さってるやつっていう
のもアタックサーフェスちゃうかに
引き続きあそうそうそうワイファイ
ワイファイもこうまあこういう例がね多い
かどうかは分からないですけどまあでも
やっぱり狙われるポイントの一つという
ふうに認識はしとかないといけないですよね
やっぱりね実際にね起きたっていうこれは
相当手間がかかると思うんでまあこれを
そのいろんな高齢者がやるかっていうと
それは違うと思うし一般のその会社とか
組織がこれで狙われるかって言ったら
まあ多分それも違うと思うんだけどただ
場合によったらねこういうそのターゲット
になり得るような会社であればこういう
ところもやっぱり意識を向ける必要がある
なっていうのはしかもそういう狙われる
ような組織の隣のビルに居るということで
攻撃に巻き込まれる可能性もあるわけです
からねそうなんですよいいところに気が
つきましたねそれが出るまで待ってた
みたいな感じでしたね全く思ってその
通りで今回のケースでとその a 社は
狙われる可能性が高かったとしても b
社 c 社は多分全然関係ない可能性が高い
んだよねたまたまオフィスが制しただけ
っていう可能性が高いんで
そうするとまあそういうとバッチリっていう
が何というかねそういう理由だけで狙
われる可能性も実は皆さんの会社でもある
かもしれないんでね知らんうちに経路に
されてましたみたいねそうそうそういうことも
あるんだなっていうかちょっとこのね
1:03:01
ワイファー横をつないでくるっていうのは
俺もちょっとびっくりたぶんこういう
例は今までなかったんじゃないかと思うん
で踏んできては初めてかなぁ聞いたこと
初耳だなぁと思ってもしかしたらある
かもしれないけどちょっと知られてなかった
と思うんで
いやーちょっとびっくりしましたね目から
鱗っていうかですね
あちなみにさっきあの言ってたそのカナダ
のその科学兵器禁止期間が狙われたのは
2018年でしたね今シロカナダオランダじゃない
あごめんなさいオランダオランダごめんなさい
オランダオランダのやつ結構前でしたね
あれもでも結構有名な事件だよね
そうそうそうそう
それの発展版みたいなんでこんなのか
と思いながら聞いてました
はいちょっとびっくりしました
はい興味深かったですありがとうございます
はいありがとうございます
ということで今日もセキュリティのお話を
3つしてきたので最後におすすめのあれを
紹介しようと思うんですが久しぶりの
久しぶりというか2回目の
おすすめのあれ
プレミアムです
2回目だっけ
2回目でしたっけ
この間はファブリーズプレミアムだったっけ
それはファブリーズがプレミアムだけど
おすすめがプレミアムではないです
なんですか
今日紹介するのはですね
僕の今までの生活の仕方っていうところが
あったっていう背景もあるんですけれども
今日おすすめするのはですね
掃除機ですね
おお
ベタ中のベタのダイソンです
有名ダイソンですね
僕ねずっとね
あれだったんですよ
ルンバ
もう10年
15年ぐらいルンバ使ってたんですけども
そうなの
でちょっと前にね
ダイソンに変えたんですよ
ルンバ楽は楽なんですけど
家出かける前とかにピポってやっといて
家帰ってきたら綺麗に掃除が終わってるか
玄関で死んでるか
みたいな感じだったんですけど
でもやっぱりね
ちょっとここ掃除したいねって
言って欲しいとこになかなか行ってくれへん
ってのもあったりとかして
最終的には行ってくれるんですけどね
でもうちょっとちゃんとした掃除機
自分でやる掃除機買おうかなと思って
でダイソンのマイクロプラスって
軽いワイヤレスのやつを買ったんですよ
セールもやってたから
結構安く買えて
でね楽なの
ほんまに軽くて楽なんですね
それで綺麗にもなるんですけど
最初全く想定して
やっぱり
いい点がありまして
全部の機種についてるわけじゃないと思うんですけど
緑のライトがつくんですよ
え?どこに?
あのーなんていうんだろう
吸うとこ
あーはいはいゴミかなんかがわかるってこと?
そうそうそう
緑のライトがついて
埃が見えるんですよ
目にパッと見ても見えへんやつが
埃とか髪の毛とか
が見えるんで
なんかねこう
ちゃんと綺麗にしてる感があって
気持ちいい
光ってるところにやって
1:06:01
あー埃あるなーとか
そこをシュってて
持って戻したらなくなってるあの気持ちよさね
えーそっかそっかなるほどね
僕あの掃除機っていうのはやっぱ
気持ちよさを追求するもんやと思ってまして
違うだろ
違うだろ綺麗さだろ綺麗さ
いやいやいや違う違う
埃の塊みたいなやつ
隙間とかに溜まるじゃないですか
あれをね不防言うて吸った瞬間とか
あとは洗う前に
知らんうちにこぼしてしまった
米粒を吸い取った時のカリカリカリ
っていう音とかあの辺の
快感を伴う行為だと僕は思ってるんですよ
あー爽快さですか
爽快な感じでね
これライトついてるやつめっちゃいいなと思って
あー全部ついてるわけじゃないんだ
そうそうそう
それは綺麗にしたのは俺なんだと
やったったぞみたいな
掃除ってやっぱめんどくさい中にも
面白さというかね
快適な感じになっていく
気持ちよさみたいなものってやっぱ
大事ちゃうかなと思って
なるほど
バッテリーはね1回充電すると
25分くらい
20分か25分くらいかな
普通の家やったら掃除するのに全然
十分な時間使えるんで
軽くていいかなという風にも
思いましたし
あとはこれからの季節
僕もね
餅を喉に詰まらせるかもしれませんから
はい
餅を喉に詰まらせた時にルンバで
吸えないでしょ
ダイソンでも吸えないだろうがよ
ダイソン吸えるでしょ
唯一の衰えない吸引力でしょ
昔からそうやって有名だよね
だからルンバよりも
こっちのほうが良かったのかな
だいぶこじつけだな
ちょっと思いついたから
言っちゃった
そんな感じで掃除以外の
楽しみながらできるなというところで
それは大事だよね
こまめにやるにはそういう
インセンティブも必要かもしれない
これからいろんなセールもあると思うんで
タイミング合えばこういうの
買ってみてもいいんじゃないかなと思って
プレミアムということで紹介させていただきました
そんな感じでございます
また次回のお楽しみです
バイバイ