1. セキュリティのアレ
  2. 第2回 「自粛」は自粛させてい..
2011-04-10 22:42

第2回 「自粛」は自粛させていただきますスペシャル

Tweet月1くらいでぼちぼちやっていきたいですねー とか言いつつ、第1回から2ヶ月ほどのご無沙汰となってしま[...]

The post 第2回 「自粛」は自粛させていただきますスペシャル first appeared on podcast - #セキュリティのアレ.

00:12
お久しぶりです。
お久しぶりです。
お久しぶりです。
前回が2月21日に公開した第2回でね。
第2回が4月ということでね。
1ヶ月に1回と言ってたはずが。
こんなはずではなかったんですけれども。
でも震災もあったってのもありますよね。
これだけ期間が空いたんでタイトルが決まってるかというとそんなこともなくなる。
ないですね。
現状はセキュリティのホットギャストを仮の第2回と。
第2回ですね。
ということでゲストの方も誰も来てくれない。
来てくれない。寂しい限りですよ。2回なのにまだ。
なんでこの2人がね。レギュラーメタルね。第2回でレギュラーだろうと思いますけれどもね。
もうないですね。
ということでそんな感じで第2回始まります。
始まります。
第2回でございます。
何を喋ろうか。
そこなんですよ。
まずですね、前回実はあんまりプロモーション中プロモーションもせずに始めたんですけれども。
意外と聞いてくれた方がいらっしゃって。
そうですね。僕のツイッターのフォロワーの方からも反応というかこういうのが公開されてるみたいなつぶやきをされてる方がいらっしゃって。
なるほどなるほど。一応もう1回自己紹介しておきますか。
そうですね。
というか前回どんなキャラでやったのか覚えてないんですよ。
名前を出す出さないというところで社名も若干不正義だけどバレバレやないかという空気だったと思いますね。
えっと、ねえだっけ。
一応そのメインの2人だけしか出てないんですけれど。
ということで反応をちょっと見たんですが、もう2ヶ月経っちゃうとツイッターの検索が取れなくて12個ツイッター発言があった。
残ってますね。
フェイスブックいいねが5人もついてたり。
そうですね。これ1個は僕かもしれないですね。
もう1個も僕かと。
じゃあ実質3人ぐらい。見打ちじゃないかっていう感じですね。
まあまあまあこれかなり見打ちから始まってるやつ。
そうですね。
以前も抹茶さんとかセキュリティの中心の方々に取り上げていただいたり。
ツイッターセキュリティまとめのよすけさんさんのところに取り上げていただいたり。
03:02
本当にありがとうございます。
ありがとうございますね本当に。あとなんかあれですよねポッドキャストの紹介記事みたいな。
そうなんですよ。これ一番きっちり取り上げていただいたのが実はポッドキャストジャーナルというpodcast-j.netっていうところで
spc括弧仮にこれサイト名ですね。日本では珍しいかもセキュリティトーク番組。
そうですねちょっと嬉しいですねその言い回しね。
配信者は不明と。
空気読んでいただいてますねこれ。
3名の方がトークしていただいてます。番組は実はだいたい誰か調べたりわかったりしますがということでねありがとうございます。
全然ねどう隠していいのか隠さない方がいいのかさっぱりわからないまま。
全部手探りですからね。
前回はねそのツイッターはカギ付きから始めたらいいんじゃないかとかね。
あーそんな話もありましたね。
後半はアノニマスっていうハッカーグループについて。
最近アノニマス割と名前出てきますよね。
そうですね結構いろんな人が注目し始めたのかなっていう感じはしますね。
ただなんかだんだんダメな方のアノニマスが出てる感じがして。
あー確かに確かに。元アノニマス対現アノニマスとかの個人情報公開合戦みたいなのをチラッと見たんですけども。
なんかあのプレイステーションネットワークにソニーは良くない攻撃だって言ってドス攻撃かけたら普通になんかサービスを落っことしちゃって。
ごめんごめんやりすぎちゃったみたいな感じでソース感をくらってるっぽいんですけど。
そうですねまあでもなんかいろんなアノニマスがやっぱり僕もちょこちょこウォッチも出し続けてるんですけど。
いろんなのがいるみたいですね。
なんかそういう意味では今後どうやらかしてくれるのかっていうのがね。
質もバラバラっぽいですし目的もバラバラっぽいですし。
なんか前回も喋っちゃうような気がするんですけど私たちが期待するスーパーハッカーグループは手首クイッてやるだけでサーバーがガツンと落ちるみたいなそんな感じでね。
そうですよモニター爆発したりとかですね。
そうそうそうそう。
黒字バックに緑字とかね。
そうそうそういうハッカーなんですけどなんとなく単純な他代法を打ってる姿しか見えないので。
そうですねツールダウンロードしてIP入れてポンみたいな感じですよね。
そうじゃんみんなが望んでるハッカーなんていねえよって話なんですけど。
みんなが望んでる映画の間違った使い方の方のハッカーね。
はいはいはいそうですよね。
そうじゃないだろうっていうね。
ちょっとなんか最近の動きを見てると稚拙というかなんかクールじゃない不正なことをやってるんでクールっていうのはどうかっていうのもあるのかもしれないですけどちょっと違いますよね。
なんか本当にあのなんですか私はよく知らないんですけどアットマークITのランチセッションとかに出てくるようなパネリストの方々とかすごいでしょ。
06:03
あーそうですね僕はあんまり存じ上げないんですけど。
アットマークITでオンラインのセミナーとかに出てくる人たちとか。
あーそうですねなんかあれ延長されたとかなんとかっていうのはちょっと小耳に挟みましたけどね。
ぜひみなさん見てくださいっていう。
はい今月いっぱい。
誰かが言ってました。
言ってました。
そんな感じで実は意外となんか聞いていただいて本当に恐縮です。
よろしければ今後もガンガン聞いていただいて突っ込んでいただきたいところなんですけども。
まあ多分どこに突っ込んでいいかわからないっていう感じが多いかと思いますんでね。
その時には心の中で頑張れと言っていただければ。
言っていただきたいそうですね。
で今日はなんかついさんが面白いことを。
そうですね今日はちょっとお土産を用意しててですね。
時間も空いちゃったってこともあってですね。
あとはネタなにしようかって悩んでたと若干あったんですけれども。
Mたけしさんですね。
言っちゃったけれども。
もういいですよね。
プレゼントがありまして。
単純にプレゼントっていうのもなんかちょっと面白くないなと思ってて。
最近のいろんなアノニマスもそうなんですけども。
テクニックっていうよりはソーシャル系のテクニックの方ですかね。
使うっていうのが流行りっていうかその辺まで手を込んできてるな。
そこはすごい私も一番興味あるところなんですよ。
そうなんですよね。
それの一部が若干垣間見えるようなプレゼントですね。
なるほど。
仕事の合間に作ったんでですね。
今この僕の手元で送信と押せば今そっちに届くようになってるんでですね。
メールで届くっていう。
そうですね。本文と件名とかめんどくさいんで入れれずに送るんですが。
なるほど。
入ったらそこ探してください。
はい。
送りますね。じゃあ。
はい。お願いします。
チッとということで。
画像とテキストというかCSVファイルを2つくっつけて送ったんでですね。
まず画像のほうから見ていただければいいかなと。
今ね、メールサーバーが頑張ってるところですね。
頑張ってるところですか。
頑張れ。頑張れ。いけ。
そうですね。PNGファイルとCSVファイルですね。
余談ですけど。
はいはい。
Macでも大丈夫ですか。
大丈夫です。テンプファイルって別になんか偉いことが起きるようなもんでもないんでですね。
はい。届きました。
届きましたか。
届きました。
PNGファイルとCSVファイルですね。
PNGからいきましょうか。
PNGからいきますか。
これダウンロードしてみようかな。
ですね。
え、でかいなこれ。
あ、1キロ。
あ、でかくないか。1200キロとか。
1メガですね。
はいはい。開いてみようかな。
はいはい。
えいっ。
どうでしょう。
Googleマップの東京の図が出てきていて、いくつかピンが立ってるんですよね。
09:09
はいはい。そうですね。
えっとですね。
えっと、ディズニーランドのところにいっぱいピンがドカーンとなって。
そうですそうです。ディズニーランドがポンポンポンといっぱいピンが立ってるんですね。
あれあれあれ。これなんだこれ。
えっと、渋谷駅周辺と。
そうですね。
あれあれあれ。なんか嫌な予感がする。
あとまあ、港区とかですね。
あとなんか大宮のちょっと先。
そうですね。一つだけ離れたピンが立ってると思うんですよ。
ですね。なんか嫌な予感がすごいするんですけどこれ。
はいはいはい。
うん。なんか、うん。うん。なんか言葉少なくなってきたぞこれ。
大丈夫ですか。
はいはい大丈夫です。
はいはいはい。
ありますね。
なんでしょうかねこれ。なんか思い当たらないですかね。
思い当たりますね。
はい。
これ、あの、あれですよね。
うん。
ツイッターなり何らかにつけた写真の位置情報ですよねこれきっと。
そうですそうです。
多分インスタグラムですよねこれ。
そうですそうです。インスタグラムの画像から位置情報を抽出して、
全部ピンを立ててるっていうやつなんですね。
おう。おう。
はい。これはですね、あのー、まああのー、見てる、あ、聞いてる方ですね。
聞いてる方はちょっとイメージわかんないと思うので、後からあのー、辻リークスの方に画像、この画像をアップしていいですかね。
オッケーです。
オッケーです。
で、この画像をアップして。
オシャレなとこばっかり手直れっていうね。
あのーすいません、えーと、大宮のちょっと先は鉄道博物館です。
そうです。これあのー、拡大すると鉄道博物館です。
バレてる。
はい。レグニーランドもこれ拡大すると、タワーオブテラーの近くで撮ってたりとかですね。
あとはあのー、でっかい地球があるじゃないですか。あれCでしたっけ。
Cですね。
そこの、この辺りで撮ったとかいうのも全部、これ拡大できるのでわかるんですけど。
これあのー、ツールでTwitterのID入れるだけでですね、こういうのを全部拾ってきて地図にプロットしてくれるんです。
それを、え、それ作ったわけじゃないんですよね。
いや作ったわけじゃない。そういうツールがあるっていうやつですね。
で、これを使っていろいろ僕実験してたんですよ。
面白くなってきたぞー。
いろんな人のIDでやるっていうのもそうだったんですけど。
まずこういうのって、自分のIDでもやるじゃないですか。
そうですね。
はい。で、まああのー、聞いてる方もツール拾って、僕のIDとかでやっていただいても全くかまわないんですけれども。
ひとつ、新たな発見があったんですよ。
はいはいはい。
うん。あのー、インスタグラムって僕ちょっとiPhone持ってないんでわからないんですけど。
あー、あれiPhoneだけですね。
はい。あれはデフォルトで位置情報が入ってるんですかね。入るようになってるのかな。
そうですね。デフォルトではないような気がするんですけど、一応その位置指定をする。
位置指定というか、まあ今いる場所というよりは、今近くにあるロケーションの名前が出てくるんですよね。
12:01
あー、スポットがそういうのが入ってくるんですか。
で、そこを当てはめると、そこに対応するGPS情報が埋め込まれるっていう、そんなイメージなんですよ。
はいはいはいはい。で、この位置情報ってどうやって埋め込まれていってんのかなっていうのがちょっと気になってですね。
調べてみたんですが、ひとつ驚愕の事実があったんですよ。で、僕自分のやつにスキャン、スキャンというかまあそれで調査行為をしたんですね。
はいはいはいはい。
で、いくつか位置情報が含まれるのがあったんですよ。
はいはいはいはい。
で、その時に僕あれって思ったんですね。位置情報というか、イグジフ情報って言われるやつって、写真を撮るときにイグジフ情報を入れるとかっていうデジカメでもできるじゃないですか。
うんうんうん。
それ僕、エクスペリア使ってるんですけど、オフにしてるんですよ。
はいはいはいはい。
うん。オフにしてるのに、いくつか引っかかったんですよ。
おー。それはあれですかね。ひょっとしたら、Twitterでも位置情報って入れられたりするじゃないですか。
はいはいはい。あれも設定でオフにしてるんです、僕。
わおー。
で、確実におかしい画像の位置情報があったんですけど、とあるときにすごいだいぶ前に撮った画像をテストで上げたことがあるんですよ。
はいはいはい。
テストってつぶやきながら。
えー。
で、それどこで撮ったかっていうと、岡本太郎記念館で撮った写真なんですね。
はいはい。
うん。なのに、違う位置情報が拾ってきたんですよ。
はー、なるほどなるほど。
しかもそれがですね、僕の家の近所のやつだったんですね。
あー、それ、なんかGPSが信号が取れないときに変な挙動するのはあるんですよ、確かに。
で、僕も思ったんですけど、それじゃなかったんですよ。
なにー?
僕はフォースクエアとかもやってるんですけど、それは自分でチェックインするっていう、わざと分かって位置情報を入れるわけじゃないですか。
で、その条件として、GPSをオンにしている状態っていうのがまず一つ条件なんですよ。
はいはいはい。
で、画像の、あのー、フリッカーとかいろんな画像共有サイトってあるじゃないですか。
はいはいはい。
あれのアップロードするアプリが、GPS動いてるときのやつを勝手に取ってあげてたんですよ。
あー。
だから、画像情報の中に、あ、写真撮るときにifgifを入れないとか、ツイッターのつぶやきのクライアントに入れないっていう設定をしてても、設定のないアプリでアップするとそれが入ってしまうことがある。
なるほどねー、それはあるかもしんないですね。
そうなんですよ。
で、時間帯によってはね、あのー、夕方とかだったら、あ、これ家の近所かなとか。
はいはいはい、そうなんですね。
推測されるっていうのがあるんでですね、こういうツールを使っていいか、自分のを調べてみたほうがいいんじゃないかなっていう話ですね。
また、あのー、あれなんですよね、個別の写真の位置情報なりっていうのは、割と無頓着だったりするじゃないですか。
はいはいはい。
それはその日、なんかツイッターで発言してて、今日はディズニーシーにいますとかっていうのをあからさまにしてる状態で、あの位置情報を取られるのはまあいいとする。
15:08
そうですね。
だけど、こういうふうに、あなたが行ったことがあって、写真アップしたのがこんなにマッピングできてますよって、全部を見させられると、確かにちょっと引きますよね。
そうですよね。
この辺りの、なんでしょうね、あのー、えー、名寄せじゃないですけど、その辺りが入ると怖いっていうのは、なんか前回も喋った記憶があるんですけど、
そうですね。
その一覧されたことで、恐怖感が増すっていうのはあるかもしんないですね。
そうですね。あの、出したつもりのないことを知られているかもしれないとかですね。
あとはこれ見れば趣味わかるじゃないですか。
まあそうですね。これあからさまですよね。
そうですね。ディズニーが好きなんですねってことと、鉄道博物館とか行っちゃうんですねってことがわかるわけですよね。
でね、これね、大体自分が見ると、何に行って写真撮ったのかが大体わかるんですよね、これね。
あー、やっぱそうですか。
うん。渋谷区は多分映画見に行った時で、そのちょっと隣にあるのが六本木なんですね、これ多分。
はいはいはいはい。
で、文京区、うーん、これなんか撮ったな、きっと、みたいなそんな感じでわかるんで、
逆にね、全然知らない人はこのサービスを使ってやって、
あー、これあるときなんでしょうって言われるときが一番怖いですね。
怖いですね。
うーん、みたいなね。
そうなんですよ。
で、これは地図だけじゃなくて、そのつぶやきと紐付けてちゃんと見れるんですよ。
いいね。もうほんとストーカーには最高のツブですね。
そうなんですよ。
そうですね。だから僕気をつけないといけないなっていうね、僕たちの周りにもストーカーの才能がある人がいっぱいいるかもしれない。
いますからね。
はい。一人を代表にしてね、すごい人がいますから。
でもあの、ほんと、わりと多くの方がナチュラルにストーカーをやってるっていう感じが、ここ最近すごくするんですよ。
あー、ありますね。
特定の誰かというわけではなく。
はいはいはい。
そうそうそう。なんで、あの、なんでしょうね、みんな気をつけよう。
ほんとそうですよ。ほんと気をつけないとダメですね。
でもその趣味とか、これ自分が全部わかった上で公開してるから大丈夫っていうのがあるかもしれないですけど、やっぱりこういう情報ってパスワードに使うとかですね、趣味趣向ってやっぱり知られるのはセキュリティとして微妙なところもあるかなって思うんですよね。
うん。例えばディズニー関連のフィッシングメールとかを送られたら開いちゃうかもしれないですよね。
あー、そうなんですね。しかもあの、最近あの、USでアタックされたんですよね。わりと大企業をターゲットにして、メールアドレスを盗まれたっていうのが公開されて、それもう一気にディズニーが入ってるんですよ。
あ、そうなんですか。
なんかその、宿泊したことがある人のリストで、以前宿泊してましたよね、こんなおいしい話があるんですけども、詳細はウェブでみたいなのをクリックする可能性が高いですよね。
18:04
あー、そうですね。最近流行ってますからね、そういうのが。
ねー、ほんとそうですね。
えー、日本とかも震災を出しにしたメールが。
そうなんですよね。
あれは比較的、ちょっと前に出たやつかな、では古い脆弱性を使ってたんですよね。
あー、なるほど。
09か何かですね、2009年のやつを使ってて、まあでもそれでもね、新しいやつを使ってくるのは時間の問題だと思うんで。
はいはいはいはい。
そうですね。最近海外の大手も結構やられてますしね。
あー、なんかこれはぜひ皆さんも一度、自分のアカウント、そして気になるあの子のアカウントを入れてみてですね、気持ちを洗い浮かばれてください。
そうですね。あ、ツールの名前とか言ってなかったでしたっけ、僕。
あー、まだですね。
はいはい、クリーピーっていうツールですね。
あー、ツイッターでなんか喋ってましたね。
はい。
あー、それはクリーピーですわ、確かに。
クリーピー、薄気味悪いとか不気味とかって意味でしたっけ、クリーピーって。
ですね。
確かに。
そうですよね。っていうツールなんで、人の、見たい人は見たらいいのかなと思うんですけど。
ちなみにツイッターだけじゃなくて、フリッカーのアカウントにも対応してるので、WindowsとLinux系でちゃんと両方で動くようになってて、Windowsと僕はUbuntu10.10かな、で動作確認しました。
あー、なるほどなるほど。
そうですね。一回自分のをやってみた方がいいかもしれないですね。
ですね、今CSVファイルの方も確認しまして。
はいはい、どうでした?
なるほど、あそこの地図の、あの位置は東大の博物館だとか、やっぱり東京ドームでパフュームのライブだったんだなって。
それ11月3日のやつですよね。
ですね。
はいはい、ありましたありました。
いいライブだったー。
ね、ほんとね、ということで皆さんね、ライブDVDを買おうというのが今回の結論になりましたのでね。
そうなっちゃったんですね。
知らない間に。
ね、そう。
はい。
なるほど、これは。
これは面白かったです。
いやー、なんかメールで送るんで、あのー、それを収録中に開いてくださいって言うんで、開いた瞬間に、あのー、ね。
ドクロマックドーンって出てきて、ブシューってなるかと思って、ちょっとドキドキしたんですけどねー、まあこのぐらいでよかったなーと。
いや、マック使われてるじゃないですか。
はいはいはい。
あんま狙う気なくなるんですよね。
いいっすねー、そういうとね、あのー、俺のね、あのー、聞いてる方からね、マックだったらこれができるよみたいなことをね、垂れ込みされても困りますんでね、ほんとにね。
そうですね。
まあでもそのうち、収録中に、そちらのPCに何かするっていうのをできればいいかなーと思いますので。
そうですよね。
21:00
はい。
あのー、なんて言うんですかね、公のところで犯罪予告ですか。
いやー、あのほら、お二人で合意が取れてれば、あのー、脆弱性の検証ということで。
合意した記憶はないんですけどね。
あ、そうでしたっけ。
あのー、まあなんか面白ければ全てよしと。
そうですね、はい。そういう協定結んどきましょう。
そうですね。
いや面白い、あのー、発掘されたいというね、あのー、OLの方とか募集してますんでね。
ぜひ、ぜひ来ていただいて。
そうですね。訴えないでくださいね、それでね、ちゃんとあのー、検証という名目なんで。
エンディングトークなんですけども。
はいはい。
えー、このさっきの収録からエンディングトークの間にちょっとあのー、Facebookのこの技能が面白いんじゃないのって話をついさにプレゼンしたら、あの予想以上に反応してくれましたんで。
あれはもう知らなかったですね。逆は知ってましたけどね。
ですよね。あのー、これは、あのー、なんでしょうね。ライブハック的な意味で、あのー、Facebook使えるねっていう。
セキュリティなのかっていうとセキュリティっぽいんだけど、どっちかっていうとね、あのー、あのー、なんか精神的なものっていう感じが。
そうですね。精神的なものとか、まあ人間関係をちょっとこうちょこちょこっとやっちゃうとかですね。
人間関係にインジェクションみたいな感じ。
そうですね。あ、確かにそうですね。
インジェクションつけたらなんでもいいと思ってんじゃねーのって感じの発言でした。
便利ですよね。インジェクション。なんとかインジェクション。
ということで、次回は、うまくいったらその話をしたいですね。
うん。Facebookネタでいこうと。
いきたいなと思っておりますのでね。
はい。
次回はもうちょっと早く出します。
はい。頑張りましょう。
ということで、また次回。
はい。次回また。
はい。
22:42

コメント

スクロール