1. セキュリティのアレ
  2. 第1回 タイトルも決まってない..
2011-02-21 33:52

第1回 タイトルも決まってないけどとりあえず始めましたスペシャル

Tweet某ポッドキャストで告知させていただいた「セキュリティのポッドキャスト(仮)」の第1回です。 色々と探[...]

The post 第1回 タイトルも決まってないけどとりあえず始めましたスペシャル first appeared on podcast - #セキュリティのアレ.

00:13
さあ始まりました セキュリティのポッドキャスト 括弧 仮 名前が決まってないんですけど
今回からですね セキュリティについてのポッドキャストをやろうと そのまんまですね まだね
そのまんまですね
ということで スカイフォーカーというやつが集まったんですが これをみなさん どうやって見つけたんでしょうかっていうところはね
そうですよね 全然宣伝とかもする予定もないですしね
これからどうやって宣伝するかっていうのを考えたりするんですけども ここにたどり着いてきていただいたみなさん 伝説の回になりますよ
何も決まってない
ということで セキュリティのポッドキャスト 括弧 仮 第1回でございます
はい 始まりました 同じ始まり方をしてる
ということで まず誰がやってんのか これっていう話をしたいですね
どれどんだけ明かしていくのかってことですけどね
これがホスティングされてるサーバーのドメイン名は
つじりくす.comですね
まず自己紹介からいきましょうか
そこのイケメンからどうぞ
またそのパターンですね
都内某所でですね 7,8年くらい前に関西から出てきて ペネトレーションテストをしているものです
名前は明かさないんですね
言うのも恥ずかしいな みたいな空気になってきてるんです
このままいこうかなと
あまり招待が明かせないんですよね
今のところはその感じでいこうかなっていうところですね
どの感じやねんってことですけどね
ちょっとそのあたりは 私たちの日常があるのでね
ありますあります
私がですね
とあるネットニュース系の情報サイトで
以前までセキュリティの編集をやっていて
現在はちょっと外れたんだけれども
セキュリティをちょっと追っかけようかなという感じでやってる人です
どこの会社でしょうかね 全然検討もつかないですか
03:03
そうですね
色的には何色の会社なんですかね
会社的には赤かもしれないんですけど 私は今まで青だったりね
僕のところもちょっと青というか薄い水色みたいな淡い色ですね
でちょっと今回オブザーバーとして
2人に共通する友人を連れてきましたと
じゃあその自己紹介を
私は先ほどの関西から出てきたペネトレーションテスターと前一緒に
イケメンですね
それ忘れちゃいけないですね
そのイケメンペネトレーションテスターと元同じ会社だった人です
思い起こせば長いお付き合いですね
長いお付き合いですね
この3人に断じてNTTなんとかセキュリティとか
なんとかティーミディアとか
アットマークなんとかみたいなのとは一切関係がございません
関係ないです全然関係ないですね
そんな感じのやりづらい
やりづらい探り探りの感じでやっていきたいなと思っています
それでは第1回なんですけども
私の方からちょっと身近な話をしていこうかと思うんですけども
皆さんツイッターやってらっしゃいますよね
やってますやってます
大好きですと
大好きです
私は若干やめたいんですけども
やめさせないですけどね
ツイッターってもうかなり広まったじゃないですか
なんかもうちょっと飽和というかこれ以上はないのかなって気はしますよね
何て言うんですかね
有吉が言うところの見つかったっていう状況になってると思うんですね
ちょっとねピンとこないんですけどね
ピンとこない方はグーグルで有吉見つかったで検索すると
分かります分かります
ブレイクしていると
知れ渡ったとこですね
ブレイクしてしまったなりの報道っていうのを考えなきゃいけない頃になってきたのかなと
今まで見てなかった人も見えるんだよと
そのあたりの身構えっていう意味でのセキュリティの話をしたいなと思うんですよね
はいはいはいはい
これからツイッター始める人
これを聞いてる人は多分ツイッター経由でここに来てると思うんで
もうあれだと思うんですけども
お友達がまだツイッターをやってませんっていう方は
もうカギ付きから始める方がいいと思いません
プロテクトで
他の全然知らない人には見えないっていうような状況で始めないと
06:00
もう危険なんじゃないかなって思うんですよ
あーそうなんですか
それは異論はないんですけれども
そのカギをいつ外すかっていうのは
それはおいおいですね
というのはやっぱり
辻さんなんかは
はい言っちゃった
言っちゃいましたけどね
かなりこう
いわゆる脆弱性を攻撃する
攻撃っていうような意味での
セキュリティっていうところ詳しいと思うんですけども
今やもうそういう攻撃をしなくても
情報がそこら中に起こってるんですよね
はいはいはいはい
やっぱりね
自分自身も気づかないことが多いんですけども
なんかツイッターをやってて
こんな程度じゃわかんねえだろうって思うじゃないですか皆さん
自分の発言ね
大丈夫大丈夫
自分はそんなに特定できるような情報つぶやいてないよ
ここ最近
例えばiPhoneだと
インスタグラムとかっていう
写真投稿ができるやつとかね
4スクエアみたいな位置情報だとか
Facebookもそうですよ
そうですね
これらを全部フォローすると
ツイッターだけでは見えない情報が見えてくるじゃないですか
まあ確かにそうですね
であとほらツイッターってそもそも
つぶやきなわけじゃないですか本来は
そうですね
でもみんな会話しちゃってるでしょ
メンションの繰り返しリプライド
そこなんですよねそこも大きくて
会話はいいと思うんですよ
ただやっぱり恋人だったり
夫婦だったり家族が
ツイッターで会話することないんじゃないの?
って気がしますよね
ああそうか
それはどういう意味で見打ち
広い意味では見打ちですよね
やっぱり情報として重要な情報になりやすい
ああそうか
はいはいはい
っていうのはね何が起きたかっていうのを
まず喋った方がいいですかね
何か起きたんですか
インスタグラムあたりからおかしいなと思ってたんですけど
私に起きたわけではないんですよ
私に起きたわけじゃないんですよ
とある知り合いに起きた事件なんですけども
怪しいフォロワーがついてるんですよね
第三者が見てもこれはおかしいなっていう感じの絡み方をして
まずフォロワーがどっかで見たような人たちばっかり
要するに完全にその人にターゲットを絞って
何かを食わだててるアカウントっていうのを発見したことがありまして
それっていうのは誰かに対して複数人でやってるんですか
09:03
一対一ですか
一人なんだと思うんですけど
じゃあ一対一なんですね
意図が全く見えないんだけども
何かおかしいっていう
要するにウォッチするためだけのアカウントに見えるんですよ
実は随分前にそういうのを発覚していて
最近また活動を開始したっていうところで
やっぱりTwitterで発言をウォッチすることで
何かを得られてるんだろうなっていうことは感じるんですよね
ストーカーみたいな人にとってはいい
まさにそうなんですよ
ネットストーカーにとってTwitterなんて便利なサービスないっすよ
便利ですよね
確かにそうですね
そういうことって誰のところにも起き得るんですよね
だから私なんかは
位置情報が絡むサービスは絶対誰もフォローしないんですよ
そうなんですか
インスタグラムはたまにやってますけど
フォースクエアなんていうのは
フォローされたら何か全てがツト抜けになるんじゃないかと思うぐらい
それはでも絞ればいいって
結局あれなんですよね
サービスによっては絞ったところで
善意の第三者がいわゆる非公式RTをするリスクってあるわけですよ
それはそうですね制御できないですね
だから鍵付きのTwitterってのも実はすごいリスクがあって
何も知らずにその発言を非公式RTする可能性があるんですよね
あれって鍵付いてても非公式RTされれば見えちゃうわけですか
非公式なんでコピペして自分がつぶやいてるのと変わらない
クライアントによってはそこをインテリジェントにこの人プロテクテッドだからやらないとか
プロテクテッドだからIDを隠すとかもあるんですよ
でもそこってクライアントによっちゃうんで
悪意がある人がいたらまるまるコピーできちゃうんですよね
そこまではさすがに制御できないですからね
でもそれ勘違いしてる人結構いますよね
俺鍵かかってるから大丈夫だって
逆に鍵かかってるからいろんなことが発言できるんじゃなくて
鍵かかっていても言っちゃいけないことは言わないほうがいいんですよ
そうですね確かに
いわゆる鍵付きで練習しろと
鍵付きで本当に知ってる人だけをフォローして
12:04
そっからやりなさいっていうのはまず最初なのかな
それは確かにそういうことで鍵付きから始めようですね
それはいいかもしれないですね
もう一つさっきの家族恋人とはリプライで会話するのはよくないっていうのは
やっぱりそこにすごい情報っていう
パーソナルな情報になりやすいであることが一つと
旗から見てるともげろって思っちゃうので
そこですか
なるべくそういうことは
メールとかSMSでやればいいんちゃうんっていうふうに思ってしまうわけですよ
やる側からするとたまたま目についたからそこでやりとりするっていうノリなんでしょうけどね
ただねもげろの方はしょうがない
そっちが8割型なんですけどね
でもほら仲のいい同士が普通に会話としてツイッターを使っちゃうと
周りが見えなくなっちゃうケースってありますよね
本来そんなこと言っちゃいけないこと
例えばどこどこに自分がいるよとか
今からそっち行くよと
そういうの平気でやっぱり
帰って呟いた後にまずいって気づいてももう遅いって感じじゃないですか
意外とそういう会話の中に第三者の情報を入れちゃうことがあるんですね
そういう何でしょうね
意図せず他人の情報を書いてしまうパターンと
意図してほのめかすパターンってのもあるんですよね
これは女性がいっぱいいるという話を聞いてうわーと思ったんですけど
あの人に気づいてほしいみたいなことがあるらしいんですよ
それは嫌やな
それはあると思うんですよ
それは否定はしない
やっぱり何でしょうね
とにかくつぶやきっていうものの持つ情報量って意外とあったりするので
ちょっと気をつけるようにしないとまずいのかなと
逆にあれですよそういう意味では
昔からツイッターをやった人ごと危ないんですよ
少ない時からやり始めてるから
今まで通りにやってると意外なところで人の情報を出しちゃってることになったりするんですよね
これは自分も気をつけなきゃいけないと思ってずっと思ってることなんですけど
なんでね何でしょうね
結論何かっていうと
まあそろそろツイッター卒業かなって
今絶対言うと思った
15:00
絶対僕は思いました
でも絶対やめさせない
ツイッターつぶやきないな
3日ぐらいないなって思ったら電話しますから
それはありですよ
リアルなコミュニケーション
今すぐつぶやいてください
いやいやいやおかしい話ですよ
それが若い女性とかだったりすると最高なんですけど
それは別の話なので
結論としてはむやみやたらに
自分の情報他人の情報をつぶやかないほうがいいよ
それこそネットストーカーをやりたい人にとっては
こんな宝の詰まってるものないんで
いろんなものを組み合わせてくるはずです
そうでしょうね
写真のサービスだったりね
下手するとそういう人にとっては
つぶやかないっていう時間すら情報の一つです
今言った3日つぶやかなかったら電話しますよ
っていうのがまさにその通り
辻さんもネットストーカーの素質はあるわけです
それはでもちょっと光栄かもしれないですね
そう言われるのは
ありとあらゆるものが情報だったりするので
そこを気をつけよう
あまりみんな人のつぶやき見ないほうがいいよ
結局そこに行っちゃうんですね
でも僕は逆に考えてたところはちょっとあったんですよね
当然僕のアカウントを
プロフィールとかも見ればすぐに
セキュリティを難しいことやってる人なんだなって
すぐ分かるようになってるじゃないですか
ブログへのリンクも貼ってたりとか
あとはフォローしてるフォローされてる見れば
だいたいどういう人か分かりますよね
あるがゆえに逆に出そうっていう風に思ったんですよ
ツイッターをやり始めてから
そういう意味ではかなり辻さんが
後陣としての辻さんっていうのを
多分前面に出してるんで
その辺はいいんだろうなと思います
逆につぶやいていいことと悪いことっていうのは
僕もアカウント探りな部分は当然あるんですけど
ここまでは言ってもいいんじゃないかと思って
あえてちょっと出し気味でやってきてるっていうのはありますね
どういうことしてるどういうこと考えてるとかっていう
これもしツイッターにネットストーカーが付いたときに
どうするんですかね
そうですね
本当にフォローされて
フォロワーの方を
結構ちょこちょこ見るようにしてるんですね
せっかくフォローしていただいてるんで
僕も見てみたいなと思うんでやるんですけど
たまにこのアカウントは何のためのアカウントなんだろうって思うのが
ちらほらあったりしますよ
ありますねあるある
そういう可能性を今後考えていく
特に女性の方
このポッドキャストを女性が聞くのかっていうと
ちょっと微妙ですけれども
18:01
逆に皆さんの恋人だったり奥さんだったりっていうところに
そこを気をつけてあげてください
確かにそうですね
守ってあげないと
楽しいんですよすごく楽しいんですけど
危険性をやっぱり払っている
確かにそうですね
そのあたりは
それこそまさに基本のセキュリティなんですよね
なので
そのあたりも
いろいろと
考えてみるといいかなー
なんて思っていたりします
確かに
つぶやきのレベルで済ませるってことですよね
そうですということでね
今後は
こんな感じで
あまり私自身は技術力ないので
技術の関係なさそうな
ソーシャル的な話を
私は振っていきたいなと
しばらくすると
今度逆にネットストーカーになるには
どうしたらいいんでしょうかとか
ミクシーで気になるあの子を見つけたいんだけど
どうやって探そうか
なんか
隠説ポッドキャストですね
でもその方がきっと
ニーズがあるんですよ
面白いですよね
ソーシャル的なところが一番面白いと思うので
話もしていきたいなと思います
はい
そんな感じ
今回
私がちょっと興味がある
話をちょっと
このイケメンが
言うという
アノニマスという
ハッカーグループの話は
私も知りたいんですよ
僕もちょっと最近追いかけ始めたかな
ぐらいの程度で
また知識が浅い部分があるんですけど
私が知っているレベルの話をしますと
アノニマスっていうのは
例のウィキリークスっていう
内部
なんだ
内部情報漏洩
情報漏洩じゃない
内部告発のための
サービス
団体がいて
ジュリアナ・サンジという人が
海外で
レイプ疑惑で捕まったというのがあるんですけど
ほぼ別件逮捕ですよね
あれ
かなり実はレイプではないんですよね
実は
その国で性交渉を行うというのは
完全な同意がなければ
レイプ扱いになるとかそんな話なんですよ
完全な同意があって
否認がされているとかそういうレベルなんですよね
その辺りを飼いくぐって
捕まえたんですよ
無理やり捕まえたんです
かなりその辺りはグレーなんですよね
筒持たせみたいなこと
されたんじゃないかと思って
21:01
らしいです
その辺りで
ジュリアナ・サンジを
解放するだとか
ウィキリークスを支持するというところから
自然発生的に出てきた
アノニマス
アメリカにおける2ch
4ch
4chから発祥
されたと
4chのグループがアノニマスを
名乗ったと言われています
実はその辺りの
ニュースはあまり
大手マスコミが報じないのはなぜかみたいな
社会派ネタになりそう
実際
ITメディアとかでも取り上げてはいるんですよ
はいはい
実際私も何本か見ていて
ただそれが
すっごい稚拙な事件で捕まっている話が
出てるんですよね
PayPalを攻撃したんですよ
アノニマスがまず手始めに
PayPalをDDoS攻撃
はいはい
DDoS攻撃というのは
PayPalが使えないように
F5でリロードするみたいなイメージですね
そうですね
お店に営業妨害しようとするのに
いっぱいワーッと押しかけて
営業させないみたいなことを
ネット上映するという感じなんですよね
それで捕まってるんですよ
うん
これちょっと
辻さんにも聞きたいんですけど
例えば辻さんがね
DDoS攻撃をかけるとして
はい
どういう偽装工作します?
DDoS攻撃をする
そのDDoS攻撃をする理由にも
多分よると思うんですけど
一人で基本的に
一人でやりづらい攻撃じゃないですか
複数でやるというのがある
でも
昨今騒がれてるというか
よく出てくるBotnetみたいな
いろんなPCを自分の制御化というか
自分の自由にして一気にみんなにアクセスしなさい
という命令を送るというやり方が
一番匿名性が高いんじゃないですかね
そこなんですよね
そうですね
PayPalから攻撃してアノニマスの
少年ハッカー
少年クラッカーが
逮捕された
なんてレベルが低いんだと思ったんですよ
そうなんですよね
表に出てくるのは全部そういうのばっか
そうなんですよね
なんで
実はその後
チュニジアの
ジャスミン革命だったりエジプトの革命で
やっぱりアノニマスという
グループが
支援というか
いろんなものを実は用意しているんです
例えばエジプトの革命の時に
無線LANをみんなで
解放しようみたいな
やってましたね
活動をやってたんですよ
1月25日に起きたんで
無線LANを
暗号化を解除して
SSIDを
JAN25にしよう
とかね
動きをしたり
それはアノニマスが直接やったわけじゃないんですけど
それに対して技術協力をしたり
やってましたね
24:01
やってたんですよね
ウィキリークスの話
チュニジアの革命
エジプトの革命にそれぞれに
アノニマスというグループが
下にいるっていうのは
あんまり大きく報道はされてない
なぜなら
そんな大した話じゃないから
ただ実際その現地の人の
ツイッター発言を見る限り
かなりいろんなところに出てきてるんですよね
そうですね
影がこちらほら
見えますよね
それで私も
アノニマスというグループは
気になってたんですよ
気になってるだけで
そこから先の情報がなくて
ここ最近
いわゆるセキュリティ系のグループにも
アノニマスという名前が
出てくるようになったんで
その辺りをツイッターに聞きたいんですよ
さっきの補足を
させていただきたいんですけど
アノニマスという発祥
源流みたいなのが
動画があったんですけど
そこで
さっきお話があったじゃないですか
それと双葉チャンネルが絡んでる
っていう話
双葉チャンネルって日本?
日本の画像掲示板が
源流にあるみたいなことを言ってる動画が
たしかあったはずなんですよね
いくつか
アノニマスに関係するような
首のないネクタイした人の
アイコンみたいなのがあるじゃないですか
ツイッターのアカウントでも
アノニマスリークかなんかいうIDが
ツイッターであって
そこに使われてるやつはそうなんですよね
スーツ着ててネクタイして
首から上がなくて顔の部分が
ハテナになってるようなマーク
プロモーションビデオっていうのが
わかんないですけど
日本語が入ってるシーンがあったり
っていうところがあって
結構世界規模になってきてたり
するのかなって
考えてたら
攻殻機動隊の
インディビジュアルイレブン
それですっごい思いました
それにすごくつながってきたんですよね
個別の11人でしたっけ
個別の11人っていう
セカンドギグ
きっちりとした
リーダーがいないのに
それぞれが
統率を持って
各個人がリーダーである
メンバーであるみたいな
活動をするっていう
インディビジュアリスト
っていうね
すごく面白いのでみなさん見てくださいね
それをすごい
思い起こしたというか
すごく似てるなっていう感じがあって
辻さんから見て
アノニマスって
技術力ってどう思います?
いやこれ
全部追っかけてるわけではないから
あれかもしれないですけど
表に出てきてる部分を見る限りですけど
27:00
さっき言った
稚拙なもので捕まってる人たちが多い
っていうことと
すごい組織力に見えるような部分が
見え隠れするじゃないですか
なんで技術的なスキル
アノニマスひとくくりで
いることはしないほうがいいのかな
なるほどね
すごいばらつきがあって
いろんな人がいるから
子どももいれば大人もいるしっていうのがあって
これも完全に僕の
推測なんですけど
裏で糸引いてるのが
いるんじゃないかなっていう
思想的な絡みかもしれないですけど
それを
引っ張っていくような当然支援できるような
お金持ってたりだとか
以外はないと
いけないんじゃないかな
アノニマスの話
っていうところで言うと
最近
僕にも関係するような
文章が出てて
アノニマスは
統率を誰がするとかではなく
自然発生的に生まれた
発火グループみたいな
言われ方をされてるんですけど
そこ以外にも
そこに絡む事件が
セキュリティ感があって
HP
ゲイリーっていう
セキュリティベンダーがあるんですね
ちょっと
難しい言葉かもしれないですけど
メモリのフォレンジック
それだけじゃないんですけど
そことアノニマスが
対決をしているという
対決?
対決というかアノニマスが
HPゲイリーをハックしたっていう
話があるんですよ
そのハックの仕方
というところが
パスワード関係に絡んできてる
っていう話があって
パスワードを実は
HPゲイリーの会社の人が
使い回してたってことによって
いもずるしきにメールまで
引っ張られてしまったっていう
話があったんですよね
一番初めにはとあるサイトが
HPゲイリーの会社の人が
使ってるサイトがあったんです
CMSっていうかみんなの
コミュニティサイトがあったんですよね
セキュリティ上の弱点があって
そこからパスワードを
引っこ抜かれてしまったんですよ
その引っこ抜かれたパスワードが
すごい簡単な
パスワードを設定してすぐに
解析されちゃったんですね
確かA字6文字
プラス数字2桁
みたいな
っていうのを
設定されてたんですよね
そこだけで使ったんだったら
まだよかったんですけど
同じ文字列を他のところでも
使ってたんですね
その使ったところっていうのが
自分が関係しているところの
会社のサーバーだったんですよ
じゃあ一つのパスワードから
どんどんいもずるしきに
いろんなところが
そこから
30:00
メールアカウントがパックされてしまって
こっからが面白い
メールのアカウントを
パックした後に
内部の人間に対してパスワードを
リセットしてくれってお願いを
ソーシャルな感じで
今まではシステムの脆弱性を使って
いもずるしきにいろんなところを
掌握していって
人に対しての攻撃もしてるんですよね
メールアカウントを乗っ取ってるんで
本当に正規のところから
来るメールを使ってるんですよ
メールで
パスワードをリセットするっていう
お願いをして
ファイアウォールとかの設定もどんどん変えていって
最終的には
いろんなメールのやり取りを全部
盗み出すってことをしちゃったってやつですね
そんな事件が起きて
それはアノニマスがやったっていう
反抗声明というか
そうですねアノニマスが出してますね
盗んだメールを全部アーカイブを公開してて
でもこれって
別になんか政治的な意図だったり
何かがあった訳じゃないんですよね
なんかね
HBゲイリーの方がアノニマスのことを
調べあげて
情報を公開するみたいなことを言い出したんですよね
はぁー
それでアノニマスが
怒ってというか
調査した結果を世に公表するぞって
言ったことに対して報復というか
まだ何もされてないんですけど
先手必勝で攻撃を仕掛けてきたんですね
立ち悪いっすね
そうなんですよね
そうなんですよね
今はアノニマスっていうよくわからない
自然発生的なグループと
とある一個の企業ってことですけど
やってることはサイバー戦争ですよね
うんうん
そうなんですよね
日本で
よく
ツイッターなのかな
最近は
何かをやったがために
晒し上げられるパターンがあるじゃないですか
まあ一番
有名なのはグルーポン
使ったおせち料理の事件
ありましたね
あれも
あれなんかほぼ愉快犯
に近い行動だと思うんですけども
偽装というか
なんかありました
それで過去の発言とか
全部洗い出して
昔はこんなこと言ってたのにね
とかって出す人がいるわけじゃないですか
はいはいはい
しかもゴミ箱から
納品書みたいなの取り出してきて
みたいな
あれのサイバー版が行われてるみたいな
感覚が
もうだいぶ高度ですけどね
ですよね
でも一つずつ
アノニマスがやったことを追っかけていくと
どっかで止めようと思えば止めれたっぽいでしょ
っていうのはいっぱいあるんですよね
一番初めの
脆弱点を使ったところ
弱点をついてパスワードを盗み出したところも
バージョンを上げてれば
防げたんじゃないのとか
アプリケーションの攻撃を
防ぐような仕組み
33:00
例えばWAFだとか
パスワードを使いまわしてなければ
どうだったんだろうとか
ってのがあったりしますよね
色んな問題を含んでる事件だったんですよね
そうですね
これを見ても
アノニマスは一体何をしたいのかが
やっぱり見えないですね
やっぱりそれが
本当に色んな
集団それぞれ実際会ったことも
見たこともないような集団を
私たちがひとくりでアノニマスって呼んでるのが
多分いけないんだと思うんですけど
逆にそうですね
シュチューに落ちちゃってるのかもしれないですね
こっちの方がね
この辺りっていうのは
なんとかTメディアとか
なんとかITとかで
まとめて取り上げてくれるといいですね
そうですね
33:52

コメント

スクロール