1. セキュリティのアレ
  2. 第126回 ツールとレポートとサ..
2022-03-21 1:03:02

第126回 ツールとレポートとサボタージュ!スペシャル

Tweet【関連記事】 ・VT4Browsers++ Any indicator, every detail,[...]

The post 第126回 ツールとレポートとサボタージュ!スペシャル first appeared on podcast - #セキュリティのアレ.

00:00
スペースの生放送、結構評判良かったっぽいですよ。 楽しかった的な良かったぞみたいな。
結構ね、アーカイブもしたし、後から聞いてくれた方もたくさんいらっしゃるみたいで良かったね。 アーカイブ大事なんですね、やっぱり。
当日はね、マックスで140ぐらいが。 それでもすごい。平日の夜より急にやったからね。
入れ替わり立ち替わりでしたと思いますけど、大体130から140ぐらいの感じで推移してて。
さっき見てみたらもう1700近く合計でね、聞いていただいてたので、その当日聞けなかった人の何倍もの方が聞いていただいてたんで、
やっぱりアーカイブ残して、初めてアーカイブ残しましたけど良かったですね。
普段は一応さ、3人ネタ持ち寄って最新のセキュリティの話をちょっと紹介するっていうたてつけでやってるけど、
この間はね、受賞記念ではあったけど、そういう感じじゃなくて、なんとなく雑談っぽいっていうか。
そうですね。番外編みたいな。
そうそう、いつもと違う感じでやれたから。あれはあれで楽しかったね。
楽しかった。あとはやっぱりリアルタイムに、普段のポッドキャスト配信した時よりも、リアルタイムっていうのもあって、
ハッシュタグつけてツイートしてくれる方がいつもの何倍も。
たくさんいたよね。嬉しかった。
たぶん配信を聞いて、わざわざ質問するほどでもなさそうなことも気軽に聞けるみたいな空気感があったのかもしれないですね。
確かに。今なら聞ける的な。
普段とは違う縦付けテーマを決めたりとかして、また何かの機会にやるのもいいかなと。
あれはあれで楽しかったので、またやりましょう。
その中でちょっと出したステッカーの話あったじゃないですか。
そうなんですよ。作りましたっていうのがあったんですけど、話の中でもいろいろ匿名配送の仕方。
他人の方の住所って結構ハードルが高いと思っているので、その辺はちゃんとしておきたいなと思って調べたんですけど、
やっぱりコスト面が手間にしても大変そうなところがあって、今これで行こうかなと思ってたやつは。
なるほど。
そうだからちょっと厳しそうなので、もうちょっと他にそういうサービスが何か手軽にできるようなものがないかとかっていうのをもうちょっと調べつつっていうので、
時間いただきたいなという感じなんですよね。
なるほど。ステッカーとかね、一枚安いものを送るのにそんなに配送コストかけられないもんな。
そうですね。
手間も結構かかるんですよね。
03:01
そうだよね。
一人の方にやるとかちょっとかければいい手間なのかもしれないですけど、複数とかってなってくると、これに入力してくださいねと何人かに投げて全員帰ってくるまで待って、
配送処理をしてとかってなると結構大変なんですよ。調べてみるとね。
もうちょっと気軽にできそうなやつが、かつ安心安全でねっていうやつを調べつつ、ちょっともしかすると最悪はこれからコロナがちょっと落ち着いてきてリアルイベントっていう希望的観測も入るんですけど、
リスナーですっていうふうに話しかけていただいたらお渡しするっていうふうな形にもしかするとなるかもしれないので。
まあなんか本当はね、ラジオっぽくっていうかさ、お便り読ませていただいて、その人に何か送るとかできればいいけど、ちょっと難しいかもしれないな。
まあその場合にはいいんじゃない?リアルでお会いして話しかけてもらって、その記念にぜひステッカーどうぞみたいな。
そうそうそう、いろいろ考えたんですけど、メルカリで1円出品にしてみるかとかね、そういうのを考えたのがしたんですけど。
なんか怪しくないですか?
この機会にいろいろ追求してみてよ。
そう、ちょっといろいろ考えてみようかなっていうね。
なんかいい案があったら教えてください。
お願いしますという感じでございます。
ちなみについさん、ちょっと聞いて欲しいことがあって。
なんですか?
今日私、コストコっていうところに行ってきたんですけど、以前おすすめのあれだったかな、なんかポップコーンの紹介されてたじゃないですか。
カークランド?
そうそうそうそう、カークランドってコストコのブランドの一つなんですけど、話聞いた後に、私コストコのリアル店舗、たまに行くことあるんで、ないかなーってずっと探してたんですけど、なかなか巡り会えなくて、今日やっと巡り会ったんですよ。
あれ、まずあのめちゃめちゃ入ってますね。
え、なんかでも、どれぐらい入ってました?
44個入りのやつだったんですよ。
10何個入りとかで売ってるんですよね、ネットだと。16個とかかな。
まずもう開口一番重いってなって。
40何個はでかいな、ちょっとね。
辻さんにおすすめされたし、ここは買っとかないといけないなと思って、買ったわけですよ、今日。
で、あのレンチンサルじゃないですか、あれ。何分やればよかったっけなっていうのをちょっと思い出せなくて。
なんか言ってたよね、確かに辻さん。
え、書いてない?
いや、なんか書いてある時間が微妙に違うとか、辻さんはレンジによって時間がどうとかっていうのをそれだけは覚えてて。
そうそう、同じワット数でも結果がちょっと違うみたいなね。
そう、そのこだわりをされてたことだけは覚えてて、どうすっかなーと思って、とりあえず適当に3分半とかでやったら、いい感じに仕上がってですね。
06:02
それ何ワットですか?
6で一応試して、いやーあれ美味しいですね、普通に。
たぶんね、僕の場合3分、うちらだと3分20秒とか言ってなかったかな、もしかして。
そうそうそうそう、なんか辻さんなんかめちゃめちゃ細かい数字だけ言ってたなーってだけ覚えてて、実際の何分とか忘れてたんですけど。
どうでした?美味しかったですか?
あれ美味しいですね。
なんか程よいバターでしょ?
普通に美味しいです。なんかもう作りたての、まあまあ実際弾けてるわけなんで作りたてになるんですけど。
ちょうどいい感じの味で、なんかこう、ポップコーン食べたいなーって思った時の気持ちをちゃんと満たしてくれる味なんですよね。温かさもあって。
結構ガツガツいけちゃうんですよね。
いやそう、それが危険だと思って。
危ない、あれ危ないですよ。
あれ危ない。だってもう手元に40何個あるわけでしょ?
そう。
うん。でレンジでピピってやれば簡単にできちゃうんで。
ほぼ下手だから、連日食べてしまいますから。
いやもう毎日行っちゃうやつなんで、ちょっと危ないんで、そこはセーブしつつ、はい。
僕も最近ちょっと、あの、冬というのもあって体重が増えたので、ここを1ヶ月くらい食べてないですね。
40個あるんで、いくつか渡しますよ。
だから今、今何聞いてた?何聞いてた?全然人の話聞いてないやん。
道連れ。
道連れ。
ちょっとこれだけお伝えしておこうかなと思って。
ちゃんとおすすめのあれを食べてるぞと、意識してたぞという話でした。
ちょっとアピールしておこうかなと。
いや本当に探してたんですよ。出会えなかったんで。
よかった。しかも美味しかったんでね、紹介した回ありましたから。
そうそうそう、美味しかった。
はい、ぜひ皆さんもしまだ召し上がられてない方がいたら、食べていただくのがよろしいんじゃないかなと思いました。
節度を持ってね、食べていただければいいんじゃないかなと思います。
はい、ということでお便りが来ております。
はい、お願いします。
看護さんがずっと、僕とネギさんはあんまりまだピンときてないですけど、ロケしたいっていう風に言ってたでしょ?
はい。
そうそう、ロケ地の希望が来ておりまして、ここでロケしてくれという。
どこでしょうか?
ミートパッカー清。
誰がわかるんだそれ。
よう数ある場所とかセキュリティに関係する場所の中から、ようミートパッカー清選んだな。
よくそこ選ぶよな。
全然知らない人には何のことかさっぱりわかんないよね。
そうそうそうそう。
僕のブログの中にミートパッカー清があるんで、検索していただければ何のことかわかるかと思うんですけど。
ミートパッカー清ってこれでも売ってるだけで食べる場所あんのかな?
ね、お店とかなんかあんのかな?
ちなみにちょっと前に見たら、ウェブサイトがリニューアル工事中でした。
おっ、じゃあ今ならどんな攻撃も耐えられるかな?
耐えられないでしょ。逆に耐えられないでしょ。手薄かもしれないですよね。
逆にもしかするとね。
ロケ希望ね。
ミートパッカー清か。はい。
でもなんかやっぱりちょっと何か、さっきのステッカーの話じゃないですけど、やっぱり出張で行く場所って決まってるじゃないですか。だいたい。
09:06
まあそうだね。
例えば北川北海道、もしかしたら仙台とか。
大都市圏に限られるよね。
そうそうそうそう。ほんで東京、名古屋、大阪、福岡とかになっちゃうでしょ。だいたいね。
そうです。
だからそっからなんかこうね、1日多めに行ってちょっと足伸ばしてどっかでロケするとかでももしかしたら近場であればね、隣の県ぐらいとかやったらありかもしれないですよね。
そういう公園の出張に絡めてってことね。
そうそうそうそう。それでまたね、行っている時にもし近くにいらっしゃる方いらっしゃら、ステッカーこのぐらいのところにいますんでみたいなことをしてもいいかなっていう気がしますね。
なるほどなるほど。
で今こんな話をしながらミートパッカー清のページをアクセスしてみたらリニューアル終わってましたね。
やっぱりね、これ多分肉売ってるだけな気がするな。
単にロケというか単に買い物に来ただけになるかもしれない。
ミートパッカー清に肉を買ってみたみたいな。
普通の買い物して終わりみたいになってしまいますね。
では引き続きロケ地希望募集。
そうですね。ちょっと実際行けるかわかんないですけど。
これはちょっと僕たちの悪ノリが過ぎたなという反省をするお便りなんですけれども。
アレ勢は毎日とは使っていると断定されていましたが製造業の上質でセキュリティ規格業務を担当している私は全く触っておりません。
パワーポイントが友達です。リスナー失格でしょうか。汗というお便りを。
いやいやそれは大変申し訳ない。
これはちょっと申し訳ないですね。
いやいやそんなことないですよ。
全然アレ勢OKですよ。
そうですよ。とは使っているという偏見でございましたね。僕たちのね。
確かに。そういう方にはぜひご自宅でとはブラザー使っていただきたいなと。
そうですね。たまにはそういうのを使ってみているっていうのがいいかもしれないですね。
このこれを機械に。ちなみに僕も結構パワーポイントは友達でございます。
あとは最近だとね。この間もちょっと言いましたけども。iPhoneとかAndroidとかスマホでも使いますんでね。
仕事で使う機会がなくてもそのところで使ってみていただけるといいかなと。
試しに1回2回使ってみるだけでも結構話が聞いて分かるようになったり知見が広まったりっていうのがあったりするので触ってみてもいいんじゃないかなと。
体験してみていただきたいなっていう感じですね。
でもわざわざお便りありがとうございました。
ありがとうございます。
大変失礼しました。
失格ではございません。
はい失礼しました。
これもね。またスゴリスナーのコメントというかお便りいただいておりまして。
スゴリスナー。
これこの間の生放送というかスペースで話をしている時に出た話なんですけど。
僕らリスナーって3人ぐらいっていう話してたじゃないですか。最初。
そういうこと言ってたよねっていう。
鶴さんがだいぶ昔から言ってるやつね。
そうそうそうそう。それの初めて言ったのはシーズン1らしいです。
12:03
え?シーズン1ってすげえ昔じゃん。
一番最初なんですね。
シーズン1の第2回。
第2回?
そこの会話の中で前回実はあんまりプロモーションせずに始めたんですけど。
意外と聞いてくれた方がいらっしゃって嬉しいんですよ。
フェイスブックいいねが5人も付いてたり。
1個は僕かもしれないですね。もう1個私かみたいな話になって。
実質3人っていう話になったんですって。
なるほど。
いいねから喋ってる僕と宮田さんのいいねを引いた3っていうのが根拠だ。
なるほどね。そういうことか。
すごい本当に最初からじゃん。
こうやって作られていくんですね。
そうですね。
それが10年経っても言ってんだ。
すごい長いな。
息が長いのか、書詞簡潔なのか、変化してないのか。
成長してないような気持ち。
成長してないかもしれないですね。固くなるのかもしれないですね。
でもそれ、え?なんでそのリスナーの人はわかった?
そこなんですよ。僕らが覚えてもないようなところのやつを見つけてきてくださる方。
しかも1人じゃなくて複数いらっしゃるじゃないですか。
はい。
どうやって調べてんのこれ。
たまたま今回のは2回目だったからさ。ひょっとしたら1回目から聞いてたらたまたますぐに。
ブルートフォースってこと?
そう。かもしれないけど。
いやーわかんない。すごいな。
60何回とか言ってきてくださる方いるじゃないですか。
そうそう。どうやって当たりつけるんだろうな。すごいな。
特殊な何か。
教えてほしいよね。
方法があるんだったら知りたい。
よっぽど推進能力高いやろみたいな感じになる。
そうそう。調査能力高すぎる。
一見だけは大変ですからね。調べるのが。
ほらほら。最近のやつは辻メモとか小ノートがあるからなんとなくはわかるけど。
当たりはつきやすいかもしれないですね。
前はなかったし、あったとしても細かい発言内容まで書いてないからさ。
多分聞かないとわかんないと思うんだよな。
文字起こしとかやってないしさ。すごいよね。
めちゃくちゃスピードを上げて聞ける能力を持ってるとか。
10倍速ぐらいで?
10倍ぐらいで。
耳グレップみたいなやつってこと?
聞き取れないよそれ。
こんだけポツポツいろんな方々から、それ第何回ですみたいなものが1週間以内にポンと出てくるっていうテクニックを教えていただきたいですね。
確かに。すごいですね。我々も見習わないと。
おのおの皆さんのテクニックを教えていただければ嬉しいなと思います。
ということで、今日もセキュリティのお話をしていこうかなと思うんですが、
今日はそうですね、誰からいきますかね。じゃあ僕からいきますかね。
トップバッターどうぞ。
どうかな。今日はいつもより軽めの話かもしれないな。
今日僕はですね、あるツールを紹介しようかなと思っていまして、
15:04
毎回毎回何かツール紹介したいなと思いつつも、なかなか紹介したいなと思うものがなくて。
いつも。
なんで今日は久しぶりにツールいっとこうかなと思えるものがあったんでですね。
皆さんもうすでにバージョンアップしたという話なのでご存知かもしれないですが、
皆さん大好きウイルストータルってあるじゃないですか。
VT2、みなさんVTって言いますけど、それのブラウザーのエクステンションでVT4ブラウザーっていうのが、
ブラウザーズっていうのがあるんですけれども、それが4.0っていうのになりましたと。
バージョンアップしましたというお話なんですが。
なんかVT4ブラウザーってさ、俺全然ごめん、全く個人的には使ってないんだけど、
なんか前それ使って情報漏洩とかなかった?
そうですね。
あった。
謝ってるのかわかんないですけど。
どっかの学校でしたかね。
別にVT4ブラウザーズが悪いわけじゃないけど、たまたまそのエクステンション使ってファイルアップロードしたら、
それで本当は上げちゃいけない情報が入ってましたみたいな。
そうそう。
そんな内容だったよね。
そうですね。VT4ブラウザーがあったから手軽にポチポチっと上げちゃってたという。
前からほらVTに本当に上げちゃいけないようなメールを上げちゃうとかさ、
時々注意喚起とかされたりするもんね。
そうですよね。
なんか固有の情報が入っているファイルだとか、あとはEML形式で上げちゃうとかっていうのが、
このVT4ブラウザーズでなくても手動で上げちゃってっていうのはよくある。
そういうイメージがあってさ、手軽に上げられるのはいいけど危ないなっていうマイナスイメージも持ってて。
ごめん、自分では使ってなかったな。
そうですね。
このVT4ブラウザーズの説明のページの中には一番初めのところに警告っていうのが書いてあって、
何がデフォルトでオンになるかって書いてある。
それからまず先に説明しますね。
このVT4ブラウザー、僕はChromeに入れてあるんですけれども、
そのChromeのエクステンションとして拡張機能として使えるやつなんですが、
ポチッと押すと設定画面が開いてくるんですけど、
一番初めにチェックが入っているやつは、まずはダウンロードしたファイルをスキャンしますっていうVTでね。
いいふうなものが書いてあるんです。
なのでこのチェックをすればもう自動でスキャンしなくなるんですよね。
自動でスキャンしておいて欲しいけれども、さっきみたいに機密とかやり取りがあると、
ドキュメントファイルってやっぱり見られたくないっていうのは結構多いと思うんで、
そのスキャンはするけれども、ドキュメントファイル、DocXとかPDFなんかはスキャンしませんっていうふうなのもデフォルトでチェックが入ってます。
これがデフォルトの状態ですね。
それに加えて、ダウンロードするときにVTに送るかどうかっていうのをポップアップというかプロンプトを出してくれるっていうのをオンにするってこともできます。
これはデフォルトでオフ。
18:00
あとはVTに送信するときにダウンロードを一旦停止するってやつですね。
これは危なかったってわかったときにダウンロードしないっていうふうにするために、
これは通常だとダブルでやるんですけど、片方だけにしてVTに送って、その結果を見てからダウンロードを決めるっていうのをチェックして、
これがデフォルトでオフなんですが、それをオンにすることができます。
あとは情報を外に送っちゃうって意味だと、匿名で個人がひもつかないようにパッシブDNSのデータをVTに送るっていうのを、
これがデフォルトでオンになってます。
なので全部チェックを最初についてるやつのチェックを外しちゃえば、そういうミスは起きないかなということですね。
なるほど。デフォルトではもちろんいくつかチェックが入ってるから、使うとしたら一旦それを例えばオフにして、
使ってもいいやつだけを、
そうそう、固有で選ぶっていうやつですね。
安全性を重視しまくるんだったら、スキャン、ダウンロード、ウィズ、VTにしておけばいいんですけど、
ちょっとそういう懸念があるっていう場合は、オフにしておいて、自分でやりたいときにやるってこともできると。
その方が安全は安全だよな。
例えばブラウザーで表示されているリンクに対して、これ右クリックメニューも追加されるんで、
右クリックメニューをポチッとやったら出てくるメニューの中から選んで、このリンクをスキャンするとか、
このページをスキャンするとか、いろんな右クリックメニューがあるんですけれども、
それを使うっていうのも一つ手ではありますね。
っていうふうなところで気をつけるポイント、使うときに気をつけるポイントはそこがあって、
これは前々からもちろんあった機能なんですけれども、今回バージョンアップすることによっての変更点、
これ結構僕いいなと思ったので紹介しようと思ったんですけれども、
VTオーグメントっていう機能がもともとあるんですね。
これ何かっていうと、サードパーティー製のツールにVT機能を足すっていうふうな仕組みなんですよ。
これはもちろんAPIキーが必要になってくるんですけど、
無料で制限付きなんですけど無料で取得可能なので、
使いたいなっていう人はそのAPIキーを取得していただきたいんですけども、
これを使うと何ができるかっていうとですね、
この機能をONにすると、
ウェブサイト上に表示されているIOC、例えばハッシュ地、URLとかIPアドレスとか、
そういったものに対して自動で右側にVTのアイコンがあるじゃないですか、
旗みたいなアイコン、あれが小さいアイコンが付くんですよ。
ブツブツブツブツっていっぱい付くんですよね。
それをクリックするとVTオーグメントっていうのに、
そのハッシュ地とかIPアドレスとかURLとかを読み込んでくれて、
どういうスキャンした結果があれば過去の結果をブラウザー上にペロって出してくれるんですよ。
ブラウザーで画面表示したときにそこの中にIOCと思われるデータが入っていれば、
21:02
自動的に裏でやってくれるってことなんだ。
そうです。まずは識別だけをして、識別できたIOCとして識別できたものに、
そのブラウザーの上にアイコンを追加するってことをまずやってるだけで、
スキャンはその時はしてないんですよ、まだ。
でポチッとクリックしたら初めてスキャンするんですね。
スキャンというか結果をルックアップする。
さっき言ったAPIキーが必要になるって言ったんですけど、
APIキーは制限版の無料版だと1分あたりに4回まで、1日あたり500回までっていう制限があるので、
自動でやると今度は一気になくなっちゃいますから、
ポチッってやったら1回のルックアップになるっていうふうなもので、
僕も実際に使ってみて、ルックアップ回数とか自分のログインした画面で見れるんですけど、
3回やったら3ってなってましたね、ちゃんと。
なのでこれどう使うかってことなんですけど、
自分が普段のウェブブラウジングしている時とかっていうよりは、
例えばツイッターとかで危ないURLとかハッシュ地とか共有してくれてるツイートとかあるじゃないですか、
ああいうものを収集している時に右側にもこのアイコンが出てきてポチッとやれば調べられるので、
使ってみるといいんじゃないかなってことですね。便利かなって思いました。
あとはこれちょっと試してないんですけど、
多分ブラウザーで見れば反応するはずなんですが、
そういったダッシュボード系、自分たちが管理しているような会社とかで、
セキュリティ製品のダッシュボードとかにも使えるかなってところですね。
ポチポチって自分でコピーしてVTで調べればいいっていうのもあるかもしれないですけど、
それで自分のところで見れば手軽にできるかなってところで、
こういう使い方ができるんじゃないかなと思って使ってみて思いました。
今言ったみたいな機能っていうのはさっきちょっと紹介したみたいに、
右クリックメニューとかで、例えば選択したリンクをスキャンとかっていうのも通常にできるので、
わざわざこのAPIキー使いたくないって言うんであれば、
右クリックからできることがほとんどなので、
あとは表示しているページ内にあるすべてのIOCを自分で識別して、
VTで一気に検索とかの右クリックメニューからもできるので、
そっちを使うっていうのもありかなとは思いますね。
なのでちょっとこれ使ってみてはいいんじゃないかなと。
ただ使うときは一旦全部オフにした方がいいんじゃないかなっていうふうに思いましたね。
そうだね、裏で自動で何かやられるよりは、
自分で今調べたい対象が明確になっていて、
それに対してやるっていう方が望ましいかもしれないね。
そうですね。
一般の人がもし使うとしたら、
自分で意識しなくてもそういうのをスキャンしてくれた方が便利って思うかもしれないけども、
ややちょっとリスクもあるんで、
あとこういうのを使う人は多分何か調べたいっていう意図があってやる人が多いと思うんで、
そういう人向けでやっぱり一旦全部オフにして明示的にやる方がお勧めってことだよね。
24:04
そうですね。自分をコンピュータウイルスから守る向けの機能というよりは調査系の人向けというか、
ネットワーク管理者とかリサーチャーとかそういう人たち向けかなというところはあるんですけど、
ちょっと便利そうな感じなんで試しに使ってみてもいいんじゃないかなと。
あとは僕が言った使い方以外にもしかしたら自分にとって便利な使い方っていうのがあるかもしれないので、
お試しいただければなと思った次第でございます。
僕ちょっとさっきも言ったけどあんまりこの拡張機能を使ってなかったんだけど、
今ブログの紹介記事とか見たら結構豊富な機能が揃ってるのね。
使い方によってはうまく使えるかもしれないね。
この話では紹介しきれないぐらい結構右クリックメニューだけでも結構あるし、
ショートカットとかも対応してて結構こなれてきてるというかね。
いろんな要望があってユーザーも多いんじゃないかなと思いましたね。
ありがとうございます。
ということで次は看護さんいきましょうかね。
私は今週は個人情報保護委員会というところが公開された
ECサイトへの不正アクセスに関する実態調査というレポートが非常に興味深い内容だったので
ご紹介したいなと思ってるんですけども、
非常に今世間ではサイバー攻撃報道というか発表というか非常に相次いでいて、
一部記事なんかではそれを全部横串にして日本が狙われているとか特定業種がどうとか
そういった取り上げ方もされてはいるんですけども、
こういった不正アクセス方面で一番多いのがECサイトに不正アクセスの被害が及んで
それに対しての公表であったり、実際の被害という形での情報公開というのが
よく見かける例の一つかなというところであり、
個人情報保護委員会にも実際に情報漏洩という形で報告がたびたび寄せられているというところで、
今回は平成30年以降被害に遭われたECサイトを運営されている事業者の方に対して
アンケート調査を行いましたと。
アンケートに回答されたのが71社と、
ちょっとどれぐらいの人にお送りされたか数が書かれていなかったので、
ちょっとその回答率というのはわかんないんですけども、
71社の方が回答されており、
そこに対して実際に発生してしまった原因であるとか、
それに対しての再発防止策、あるいはECサイトを防いでアクセスされて
どういった損失を被ったかという形で3点に分けてアンケートした結果をまとめられているというもので、
27:05
かなり生々しい内容が書かれているので、
これはちょっと一読の価値ありかなと思っているんですけども。
なんかこういう損失学を算出とか推定したりだとか、
そういうのは結構見かけたりとか。
そうですね。推定であるとかで。
とか被害原因とかもそういうのは調べたりとかっていうのはあるけど、
個別の事例とかの話はあるかもしれないけど、
こういうふうに割と多くの事業者に、実際に被害にあったところに調査したっていう例は、
ひょっとしたら初めてじゃないのかね。なんか聞いたことないよね。
かもしれないですね。そうそう。
なんかすごい珍しいなぁと読んでて思って。
これは個人情報保護委員会っていうところの特性をだいぶ活かしているのかな。
報告が上がってくるところやから、
そこっていう特定して聞きやすいし、聞く先も選定しやすいですよね。
そういうのもあるのかもしれないですね。
いろんなアンケートとかだと、事故にあった、あってない、関係なく、
こういう攻撃を最近何ヶ月くらいに受けましたかみたいなアンケートよく見かけるじゃないですか。
こっちはかなり踏み込めてていいですね。
そうね。あとこれ、ローエイド報告義務あるけどさ、調査の回答義務は多分ないと思うんだけど、
でも個人情報保護委員会から言われたら協力するよな、たぶん。
そうですね、するでしょうね。
たぶんね。そういうのもあるかもね。
なんか非常に生々しいデータ、貴重だね。どんな感じでしたか。
駅内総括的な内容が最初書かれてるんですけども、
基本的には事業者、実際にECサイトを運営されておられる方と、
運営されてるとは言っても、実際にその事業者の方が全部やっておられるケースっていうのは非常に数としては少ないと。
実際には委託先ということで、どっかのベンダーであったりとか開発業者、運用業者に任せる形で、
実際ECサイトの運用されてるケースがあるということではあるんですけども、
そこにおいてやっぱりセキュリティに関わる契約であるとか責任範囲とか、
そういったところの認識合わせがされていないというのが多く見られたと。
なので、まずはそこから入ることが重要と書かれており、
あとは不正アクセスが発生した原因、なんで不正アクセスを受けてしまったかというところの原因に関しては、
SQLインジェクションが31%、数で言うと22社と。
あるいはペイメントモジュールなのかな、決済画面の改ざんを引き起こす脆弱性というのが37%ということで、数で言うと26社ということで、
30:02
基本的にはECサイトの脆弱性を狙った形で不正アクセスの被害を受けているというところがあり、
実際その再発防止の対策としても、WAFとかいろいろ挙がってるんですけども、
その中で取り分け多かったのが、製品の脆弱性の最新情報の収集を実施するというのが、
事後に行われた再発防止の対策としては68%、48社というところで、
脆弱性起因の不正アクセスを受けてそれに対する対策が行われているというケースが結構多いのかなというところと、
あとはなんでそもそも、さっき言ったSQLインジェクションとか改ざんされるような脆弱性の発生を起こしてしまったかというところについては、
脆弱性そのものについての理解があまりされていないという理解不足がもともって66%、47社ですね。
これが一番多いというところで、他にはさっき言ったような、委託先に全部丸投げしちゃってるような、
そういった姿勢になってしまってるとか、あとはよくありがちな人が足らないとか、
そういったところに落ちていくんですけれども、基本的には脆弱性の理解があまり進んでいないというところが起因して不正アクセスにつながっていると。
なので、この辺をECサイトの事業者としては取り組んでいくべき課題ではないかみたいな、
そういったトーンの書き方に全体的にはなっていたんですが、
ちょっとこれ読んでて、少し思ったところもあってですね、
基本的にはその委託先と二人三脚というか、一緒にビジネスとしてはやるというスタイルに基本はなるのかなと思っていて、
一義的に不正アクセス被害を被った場合は、当然ECサイトの運営をされている事業者の方が追うというのはそこは理解できるんですけれども、
さっき言ったセキュリティの対策とかそういったところに関しては、当然委託をしているということを踏まえると、
そのシステム全般に対する技術的な意味でいうプロっていうと、そこは一歩及んでないところが当然あるのかなというところが背景としてあるのかなって個人的には思ってまして、
ふと思ったのが、セキュリティに対する提案を受けたかどうかというところでアンケートされてるんですけども、
受けたことがないっていうのが42%、30社いて、これちょっと意外というか目が深い問題だなと思ってて、
今回このECサイトっていうので隔離されているわけなんですけども、これなんか広い意味で言うと、
他のシステムとかECサイトに限らない他の一般的なシステムとかサービスとかにおいても、
33:04
似たような傾向があると嫌だなっていうのはちょっと個人的にこの報告書を読んでいて思ったところですね。
なんかやっぱり提案を受けたことがないっていう数字がこんなあるんだっていうのが、
当然なんか聞くべき、興味関心を持って聞くべきっていうのはそれはそれでわかるんですけども、
なんかそもそもそんなことすら知らない、認知してないっていう状態からすると、
なんていうか提案がない状態からするとなんかもうまさに全く進まないような、
非常に追い込まれてしまうような感じになってしまうのかなっていうのは思っていてですね。
確かにね。これ調査の対象のその事業者を見ると、
一つの要因かなと今聞いてて思ったのは、
贅沢性の内容も割とここ10年以上かな、ずっと変わってないような感じの内容だし、
委託先に丸投げしちゃうとかっていうのも今に始まったことはないと思うんだけど、
これ見ると71社のうちの3分の2は100名未満の割と小さな会社なんだよね。
そうすると運営している会社側も小さいし、
おそらくだけど委託先もそんなに規模の大きなところじゃないような。
有名な会社っていうことではなさそうですね。
もしかするとそういう中小向けに安くいろんなサービスを提供しているところとかだとすると、
お互いにどっちもそこまで面倒見る余裕がないというか、
提案をお願いしますっていうそれが必要とも思えない、そういうリソースもない。
逆に頼まれる方もそこまでこんな安くやってるんだからそんな余裕ないよみたいな。
本当かわかんないけど、SNSとかで信じられない数字が流れてたりしますからね。
もしかしたらそういう規模にもよるのかなっていうけど、
そういう商習感というかビジネスのやり取りがあって、
結果がこうなっちゃうのかなっていうか、そう考えるとまさに本当に根深いっていうかね。
これは逆のアンケートも知りたい。
提案を受けたことはないっていうふうに、これはECサイトを運営しているというか、
主催している側の話じゃないですか。
逆のベンダーは提案をしたことをしない理由が何なのかとか、
そっちを双方に聞くとより問題が浮き彫りというよりははっきりするのかな、
仮説がはっきりするのかなっていう気はしますよね。
どうせ、もしかしたら向こう側からベンダーからすると言ったところでせえへんでしょって思ってるかもしれないじゃないですか。
36:01
予算的にきちきちやしね。
だってほらこれ、贅沢性の情報の収集が不十分とかさ、診断もあんまりやってないとか、
大発防止に書いてあることもさ、特に目当たらしいことが書いてあるわけじゃないけど、
やっぱりそういうレベルでできてなくて、それを改めて見直すというところがこんなに多いとすると、
委託する側もされる側もそのあたりまで結局全然手が出せてないというか。
10年前だったらわかるけどさ、これが。
そうですね。
今、令和になってこれかって言うとちょっと厳しい。
調査方法は平成30年4月から令和の3年3月までにっていう話だったので、めちゃめちゃ昔の事例ではないので。
だよね。ちょっと厳しいよなこの状況は。でもまあそれが多分現実なんだろうね。
そうなんですよ。
でも実際問題こういう状況で、でも多くの意思サイトが運営されていて利用者もたくさんいてさ、
実際個人情報とかカード情報とかが毎日のように漏えいする事件が起きている、被害が起きているっていうね。
これが現実だから何とかこれはしないといけないよね。
はい。
いやなんか改めて突きつけられるとね、ずっしりくるねこれは。
これどうすんだみたいなところですかね。
はい。
ちなみに今お話ししたところ以外にも、ちょっと今日今お話しできなかったんですけど、
もっと生々しい具体的な被害額がどうとか、復旧に要した費用がいくらかかったとか、
そういったところも今ご紹介したレポート上には書かれているので、ぜひこれ全部読んでいただきたいなと。
今を知るにいいですね。
そうなんですよ。
ぜひこれ意思サイトを運営している事業者さんに読んでほしいよね。
そう。絶対読んでほしいこれは。
今は別に被害起きてなくてもさ、そういう想定で起きたらどうなるっていう目で見ていただいてね、
自分たちは十分かって見直していただきたいねこれね。
あとまあその今の小さな話じゃないけどさ、委託されている業者にもね。
良い部分はありますからね。
良い部分はあるだろうし、何もしてないとこうなっちゃうんだなっていうのをちょっと目の当たりにして、
何かできることあればやってほしいよね。
そうですね。発注している側も受ける側もお互いにやっぱり歩み寄りが必要だと思うんで。
そうなんだよね。どっちかが悪いわけではないと思うんだよね。
そうだと思いますね。
いやーなかなか貴重な調査資料というか。
そうですね。
僕もさらっとしかまだ読んでないからじっくりもう一回読み直そうこれ。
確かに今まで変わってないってことを知るのも大きな情報ですからね。
そうですね。
39:00
僕も見直してみようと思います。
はい。
ありがとうございます。
はい。
じゃあ最後、ねぎすさんですね。お願いします。
はい。
お願いします。
私は今日はですね、ちょっとサプライチェーン関連の話をちょっと前にね、3人でセミナーでも取り上げた。
そうですね。
最近ちょっとホットだというか、いろいろ事件も起きてますしね。
そんな話で、今週またちょっと一つそういう事例があったので紹介したいんですけども。
僕ちょっとあんまり使ってないんだけども、ノードJSのモジュールでノードIPCっていうのがあって、
これは結構1週間にNPMで毎週100万ダウンロード以上ダウンロードされるような、まあまあポピュラーなパッケージなんだけども、
それの開発者の人が今月に入って行動更新してるんだけども、ちょっとそれが特殊で、この開発者の人は今のロシアのウクライナへの進行に反対していて、
そこに絡んだやつなんですね。
そうそう。戦争反対の抗議の意思を伝えようということで、意図的にそのための行動を追加しちゃったのね。
それがちょっと問題を起こしていて、今週ちょっとニュースになってたんだけども、この開発者の人は2つ大きくやってるんだけども、
1つ目にやったことが何かっていうと、このノードIPCを使っていると、この新しいバージョンに上げちゃうと、
まずその動いているコンピューターのIPアドレスを外部のサービスを使って調べに行って、そのIPアドレスのジオロケーションを調べて、
仮にそれがロシアかベラルーシのIPアドレスだとすると、勝手にそのコンピューターの中のファイルを上書きしちゃって、
ハートの絵文字で上書きするっていうことをやると。一見そのハートの絵文字ってさ、かわいいけど、やってることは破壊なわけよね。
上書きなんですよね。新しく作成じゃなくて上書きなんですよね。
上書き。破壊型マルウェアといってもおかしくない行動。
ワイパー的な。
そうなんですよ。
ワイパーですよ。
これはちょっと物議をかもしたというか、いろいろ実際開発者に対してヒードバックでこれはダメなんじゃないとかっていろいろあって、
結局その24時間足らずで、この行動は結局消されてなかったことになったんだけども、
少なくともその24時間アップされてたので、そんなに多くはなかったと思うんだけど、
ノードIPCっていくつかバージョンがあって、ステーブルなバージョンはバージョン9ってやつなんだけども、
今言った1番目の破壊するっていうコードはバージョン10っていうやつに追加されたので、そんなに多分利用者が多くなかったんじゃないかと思われるんだけど、
42:05
ちょっと永久範囲はわかんないけど、でもいずれにせよロシアとベラルーシで使っていれば、自分のPCで破壊が起きたかもしれないと。
実際そういうことが起きたって言ってるユーザーがいるみたいなんで、数は少ないけどそういうことがありましたと。
これが1週間くらい前に起きたんだけども、結局この人全然懲りてなくて、その後2番目にもう一個やったのが、
今度はもうちょっと穏やかな方法なんだけども、今度はさっき言ったステーブルなバージョンのバージョン9ってやつのアップデートにコードを追加したんだけど、
今度はユーザーのデスクトップ上に抗議メッセージが入ったテキストファイルを作成するということをやって、これは破壊ではないので。
でも若干ランサムノート感がありますよね。
強迫メッセージを送っている感じですね。
戦争反対っていうメッセージを書いたテキストファイルを作るっていう動作をするっていう、そういうコードを追加しましたと。
こっちの方はちょっとステーブルなバージョンの方でやったので、ちょっと影響範囲が大きくて、
例えばそのフロントエンドのフレームワークでよく使われているVue.jsってあるじゃない。あれも実はこのnode-idcってやつを使っていて、
結構このnode-ipcのモジュールに依存している他のパッケージに結構影響が波及しちゃっていて、比較的影響を受けたユーザーが多かったのではないかと思われる。
一応これもいろいろ批判を浴びて修正されたりとかしていて、今はどうなっているかというと全く新しいバージョン11っていうバージョンが作成されていて、
そちらにはreadmeにも書いてあって、抗議のメッセージが出ますって書いてあって、一応そうやってリリースされている感じになっている。
削られたわけではないですね。
前もってね。
だからこの人頑固っていうかさ。結構そういう反対されても一応自分は一生貫くぜみたいな感じになっていて。
ただその既存のパッケージを更新するっていうことはやめて、新しいバージョンで立ち上げたみたいな感じになっているんだけど、いずれにせよそういうことが行われましたと。
これが先週今週の動きで、ちょっとこういうプロテストウェアっていう人もいるんだけども、
プロテストって抗議っていう意味とウェアをくっつけた造語なんだけど、
今の抗議メッセージのテキストを作るっていうのは、100歩譲ってギリセーフかなとしたとしても、
さっきのファイルを上書きはちょっとアウトだと思うんだよね。
そうですね。
これはちょっと一線超えているので、これはマルウェアって言われても仕方ないし、
実際にNPM管理しているGitHubは、このさっきのファイルを上書きするっていう動作をするバージョンはマルウェアと断定していて、
45:08
ユーザーに注意喚起してるんだよね。
なのでこれはちょっとやりすぎなんだけども、かといって抗議メッセージをやるのはいい手段かっていうと、
これもちょっと疑問というか、いろいろ反対意見もあるんじゃないかなと。
ユーザーがもともと想定してないというか、そのソフトウェアに臨んでいる機能ではないですもんね。
そうなんだよね。別に自らそれが選んで使っているわけじゃなくてさ、勝手に更新されたわけなんで、
いわゆるサプライチェーンリスクって言われるソフトウェアの更新を装って不正なマルウェアが入り込むのと何ら変わらないことをやってるんで、
確かに。
それを開発者がやっていいかっていうとどうなんだろうなっていう、そういう議論を呼んだ事件がありました。
つい最近、1月くらいだっけ、別のNPMのパッケージでさ、
ありましたよね。
あれはその政策を反対とかじゃないけど、もうやってられるかみたいな感じで。
それはオープンソースを政策の対価を払わずに使っている会社とかに対する抗議っていうのもあったかもしれないけど、
そういういろんな問題を払っていて、開発者がそういうサボタージュするみたいなのは、これまでも結構たびたび起きてて、
あと逆に悪意を持った人が乗っ取って更新をしちゃうとかね、そういう事例もあるし。
なんで、いろいろそうそう、開発者自らがやるっていうケースだけじゃなくて、いろいろあるんだよね。
なんでやっぱりそういうソフトウェアのサプライチェーンリスクっていうのは、やっぱり今、
こんだけ事例が多いとさ、ちょっと注意しなきゃなっていう、そんな事例がありました。
最後にもう一個、今回はたまたまオープンソースだったけど、
オープンソースに限らず、ソフトウェアのサプライチェーンリスクにどう対処するのがいいのかっていうのは結構難しい問題で、
僕らもセミナーで、答えはないけどいろいろこういうのあるよって議論したじゃない。
そこで取り上げなかったんだけども、
今日ちょっと一個だけ紹介したいなと思っているのは、今、それに対する対処の一つの方法として、
ソフトウェアビルオブマテリアルズっていう、SBOMって略されるんだけど、これを活用しましょうっていうのが結構言われてて、
ちょっとこれは知っておいた方がいいかなと思うので、ちょっと用語として紹介したいんだけど。
どういうもんなんでしょうか。
これは日本語にするとソフトウェアの部品表って訳すのかな。
部品。
部品表。例えば、自分が開発者だとして開発しているソフトウェアが使っている外部のライブラリとかコンポーネントとかモジュールとか、
そういったいわゆるソフトウェアの部品のリストっていうのをきちんと整備しましょうっていう、そういう考え方で。
48:04
例えばこれがあるとどういうメリットがあるかっていうと、一つは例えば、昨年の12月に起きたログ4Jのログ4シェルっていう贅沢性があったじゃない。
ありましたね。
あの時にも結構これ話題になったんだけど、どこでログ4Jのパッケージが使われているかわかんないっていう問題があって、
贅沢性がどこまで影響を及ぶかっていうのがすぐにはわかんないっていう問題があったじゃない。
そうした時に、どのソフトウェアがこのログ4Jのどのバージョンを使っているかみたいなのが部品、どの部品を使っているっていうのが一覧でわかっていれば、
なおかつそれが自動的に調べられる仕組みになっていれば、
立ちどころに影響範囲がパパパッと出てきて、
自社で使っているソフトウェアでこれとこれとこれが影響を受けるからすぐ対処しようとかっていうふうに対応がすぐに取れるじゃない。
そういう使い方が一つ応定されてるんだよね。
あとはいくつかある中でもう一つだけ紹介すると、製品を選ぶ、今度買う側、ソフトウェアを購入する側が、
例えば提供する側がこういう部品表っていうのを出してくれると、
例えば食品の成分表みたいなもので、
例えばアレルギーがあるから、ある食品の中にこういう材料が入っているものは自分は選びたくないとか、
添加物とかを取りたくないとか、いろいろあるじゃない。
例えばそういう食品を買うときにそういう成分表を見て選ぶっていう人がいるじゃない。
例えばそれと同じようにソフトウェアを買うときにも、こういうパッケージに依存したものは使いたくないとか、
たくさんの部品に依存しているものっていうのは、やっぱりそれだけ贅沢性とかが入り込みやすいんで、
なるべく依存関係が少ないものを選びたいとか、例えばそういう選定基準があり得るじゃない。
例えばそういうソフトウェアの選定のときに、こういう部品表があるといいよねっていう、
そういう使い方とかも想定されていて、
いずれにせよそういうものを整備しましょうっていうのが結構今言われてるのね。
で、なんでこれが今クローズアップされているかっていうと、
一つ大きな理由は、これアメリカの例だけど、
昨年の5月にバイデン大統領がエグゼクティブオーダーっていうのを出して、
サイバーセキュリティをもっと向上するようにやりましょうって号令をかけたんだけど、
その中にソフトウェアサプライチェーンセキュリティをもっともっと向上しなきゃっていうのが結構大きく盛れてて、
その中に入っているのね、このSBOMが。
で、それを受けて今年NISTがガイダンスを出してて、
そういうのを整備しましょうってやってるんだよね。
なんで、おそらくだけど近いうちにアメリカでは、
政府機関向けにソフトウェアを売るベンダーは必ずこのSBOMをつけなさいっていうのがおそらく義務化されると思うのね。
という動きがアメリカではもう起きてて、
何年も前からそういうのをずっと検証して、やっぱりこれ効果高いよねって動き出してる状況がありますと。
あと日本ではどうかというと、日本ではまだそこまで普及してないんだけど、
51:05
経済産業者のタスクフォースでやっぱりこれ必要だよねって検討が進められてて、
今なんか去年ぐらいから実証実験始めてるんだよね。
で、おそらくアメリカよりは遅れてるけども、おそらく日本でもこの先、
ソフトウェアをまず提供するベンダー側にこういうものが求められていくんじゃないかなという気がするので、
ソフトウェアを選定するときにSBOMがあるかないかで選定基準になるのか、
政府の調達要件にソフトウェアにはSBOMが必ずあることとか要件化されるとか、
そういうことが想定されるのね。
たぶんこれは近い将来起きると思うので、今のうちからこういうのを知っておいて、
どういうふうに活用すればいいかなとか、
あと今言ったけど、これやっぱり手書きの表じゃダメなんで、
自動化してできないと意味がないので、
一応業界標準的な仕様とかどういう内容を含めるべきかとか、
どうやってそれをツールで自動化するべきかとかっていうのは、
ある程度いくつか標準的なものっていうのは何年も前から開発されてるんで、
そういうものもあるんだよね。
なので、ちょっとそういう動きが今あるのねっていうのは知っておいたほうがいいかなっていうのと、
とはいえ、これはどっちかっていうと今の贅沢性の対応っていう話で言うと、
実際にサプライチェーンリスクが顕在化して何か起きちゃった後の対応を素早くしようっていう話なんで、
入り込むのを防ぐことはできないんだけど、
とはいえ、そもそもリスクを最小化するためにあらかじめこういう依存関係ができるだけ少ないものを選ぼうっていう、
そういう意識が働いたりとか、仮に見つかった場合にすぐに対処しようっていうのに使うことができるので、
いい考え方っていうかいい方向なんじゃないかなって気はするので、
知っておいて注意しておいたほうがいいかなっていうか、
今は直接関係ないかもしれないけど、近い将来関係するんじゃないかなっていう感じがするので、
対策の一つの例としてちょっと紹介しておこうかなと。
確かに中身に何使われてるか分かれへん、使ってるもんって意外と多いですからね。
そうなんだよね、ソフトウェアは結構そういうところがあって、
あとなんだろうなやっぱりすごく今ソフトウェア、オープンソースもそうだし複雑化して入り組んで使っているので、
どこにどういう依存関係があってとかさ、すごく見えにくくなってるんだよね。
そうですね。
何とかのライブラリーに脆弱性みたいなのがあったときに、
それをポチッと検索すれば自分たちが使っているもの横串で検索できるようになると相当楽ですよね。
そうそう。意外とそういうのって起きたときに、実はこれが使ってたみたいなのが、
そのとき初めて知るみたいなことがよくあるわけで、
実際にそういうことを僕ら最近の脆弱性の事例で経験しているわけなので、
54:00
それが大きな問題になりつつあるので、今のうちに手を打ちましょうっていう、
何かそういうことですね。
なるほど。広まるといいですよね。
そうね。ちょっとその最初のうちは負担になるというか、普及するまでがね。
慣れるまでが大変そうですね。
おそらくだけど、今のままだと海外もそうだし国内もそういうのを義務化するまでになるかどうかわからないけど、
要求されていく方向になっていく気がするんだよね。
特にソフトウェアを開発するというところとかは、
ちょっと意識してそういうのを整備してみようかなとか、
これから作るものにはそういうのを考えようかなとか、
検討した方がいいかもしれないですね。
今後に期待でございますね。
そうですね。今後の動向に注目したほうがいいかなという感じですね。
さっき今日紹介してくれたノードIPSのパッケージのやつ、
最初のジオロケーションを見てっていうのがあったじゃないですか。
あれCVE振られてるんですね。
そうそう。
すごいな。
脆弱性扱いですね。
だからこの今のノードIPCの特定のバージョンには
マリシャスなコードが入ってますって言ってCVE扱いになってるんだよね。
ジオロケーションだよりなんかもうめちゃめちゃ怖いですよね。
だよね。だって合ってると限んないじゃん。
しかもそのジオロケーションだよりって特定の地域をって言うじゃないですか、
逆乱算ですよね。
そう、やばいよね。
しかもね、僕これ見た時に思ったのはツイッターやばくない?と思って。
ロシア経由でアクセスしてるからですか。
これってどっちのIP取るかですよね。
どう取るのかな?
生のIPじゃなさそうですよね、多分ね。
普通にVPNの方取るのか。
そのタイミングで外のジオロケーションのエリアに
普通にVPNを使ってたら普通にロシアになると思うよ。
特にローカルの設定言語とか見てなさそうですもんね。
ツリさんちょっとやってみたらいいんじゃないですか。
嫌ですよ、そんなの。
ハートで誘惑されるんでしょ。
ツリさん狙いだらこれやばいよ。
ね。
下手したらこのタイミングでこれ食らうの日本で僕だけやったかもしれないですよ。
もしかしたら。
そういうのもあってちょっとこれはやりすぎだったよね。
そうですね。
でも身近にこういう危険性が潜んでるなっていう教訓として。
興味深かった。
はい。
ありがとうございます。
ということで最後におすすめのアプリをご紹介したいと思います。
ということで最後におすすめのアプリをご紹介したいと思います。
今日はあるものを紹介するんですけど、これが良かったというわけではなくて、この商品のパッケージが良かったっていう話をしたいんですよ。
57:04
ずいぶんマニアックな紹介だな。
だからおすすめというかこういう観点って大事よねっていうのを皆さんに紹介したくて。
なるほど。
紹介する製品は2つありまして、日本臓器製薬という製薬会社なんですね。
ここのラックル即溶状という薬があるんですよ。即溶というのは早く溶ける錠剤ですね。
これのパッケージがすごく良かったんですよ。
何が良かったかというと、ここのラックル即溶状の元々のパッケージは、腰痛・神経痛に早く効くというキャッチフレーズが書いてあったんですね。
でも今は違ってて、ワクチンによる注射後の痛み・頭痛・発熱にって書いてるんですよ。
ワクチンを打つ前とかに、下熱剤とかで調べると、こっち飲んだ方が良いとかあるじゃないですか。
アセトアミノフェンとかの方が良いよとかっていうのがあるんです。そんなわざわざいちいち調べると、わからなかったことを箱に書いてるっていうのはめっちゃわかりやすいなと思って。
わざわざその今の状況に合わせてパッケージを変えたってことなんだ。
テレビCMとかもしてるんですよ。
これ僕の推測でしかないんですけども、テレビと薬局に行ったらパッとわかるっていうのがあると、
ネットで調べることが適品人でもパッと見でわかるような、ネットは見えひんけどテレビを見るっていうふうな人たち、世代、層みたいなところにリーチしようとしてこういうことをしてるのかなって思ったんですよね。
なるほど。
めちゃくちゃわかりやすいなと思って。
ここの日本臓器製薬のキャッチフレーズが、使いたくなる薬をより多くの人にっていうキャッチフレーズなんですよ。
これもまたネギスターにこじつけって言われるけど、これもセキュリティにも言えるぞって思ってね。
使いたくなる、設定したくなるセキュリティをより多くの人に。今思いついたやつ言ったからあんまりうまくもなんともないんですけれども。
微妙な感じだった。
こういうパッと見でわかるっていうのはやっぱ大事だと思うんですよ。
そうですね。
それと同じで僕はタイミング的にこれを知ったのが、自分がワクチン直前に知ったのでこれを手にすることはなかったんですけれども、たまたま宣伝を見たっていうだけでね。
僕が用意してたやつが、真セデス状だったんですよ。
買ったときは全く気づかなかったんですけど、パカッて開けるじゃないですか。
久しぶりにちょっと熱っぽいな、体が痛いなとか、また鼻水がぐずぐってるなと思って薬なんか飲もうと思うときに、まず毎回確認することはなんですか?
1:00:08
なんだろう。
1日何回まで飲んでいいかと、自分は自分の年齢、体重やと何錠飲むかですよね。
あーなるほどなるほど。
あんなもん毎回毎回覚えてないでしょ、そんなの。
でもセデスはパカッて開けた箱の裏にデカく書いてるんですよ。
おー。
1日3回まで空腹時を避けて4時間以上間隔を空ける、何歳以上は何錠ってのがもう蓋の裏にパカッて書いてるんですよ。
ほうほうほう。
ほんであのー、でもこれほら薬ってさ、持ち歩く人もいるじゃないですか。普段から。
ピルケースとかに入れて、なんかあったときに飲もうみたいな人もおるでしょ?
いるね。
全く同じことがあのー、錠剤が入ってある入れ物の裏の銀紙のところにも書いてるんですよ。
1日何回までって。
比べたことないけど、他の錠剤とかにはそういうのないの?
ない。全部見たわけじゃないけど、大体の場合ってのは瓶とかそういうのとかに、箱の裏とかにちっちゃい字で書いてるんですよ。
でもね、基本的に箱の裏に書いてあることで、いっちゃん確認したいことって用法用量なんですよ。
テレビとか見ててもね、用法用量を守ってるとか言ってるくせに、もうちっさい字で書いてあるんですよ。
他と区別つけつきにくいような字で。
これは薬だけじゃなくてね、自分たちも人に伝えたりとか注意喚起をするときとかに気をつけないとか、
詳しく全ての情報ではなく、まず何を伝えるのかみたいなことというか、相手が欲しがる情報は何なのかみたいなね。
前看護さんがあるセミナーで言ってたみたいに、
脆弱性情報を伝えるっていう時とかに、天気予報ってやっぱり優れてるなみたいなことをおっしゃってたじゃないですか。
ああ、言ってたね。
で、なんで明日雨なのかとか、なんで寒くなるのかどうなのかとか、天気図がどうなのかじゃなくて、
明日傘いんのかどうなのか、上着はいんのかいらんのかを聞きたいわけだ。
その必要な情報っていうのをやっぱり使う側とかね、伝わる側の視点に立つっていうのを。
薬なんて昔からあるのに、最近ですからね、見るようになった、こういうの。
改めてね、僕もね、こういうことを聞いている方も仕事の中で人に伝えることはあると思いますから、
こういうのを見習うっていうのがおすすめかなと思って紹介させていただきました。
なるほどね。いろいろ勉強になるね、そういうところもね。
本当に、やっとこういうのが出てきたんやなっていう。
あるようでなかったなっていうね、ありがたきのうやなと思いました。
勉強にもなりましたという話でございます。
はい、ありがとうございます。
ということで、今日もセキュリティの話とおすすめの流れが終わったので、今週も以上です。
また来週もお楽しみでございます。バイバイ。
1:03:00
バイバーイ。
01:03:02

コメント

スクロール