1. セキュリティのアレ
  2. 第133回 充ちるレポート!アッ..
2022-05-16 1:07:05

第133回 充ちるレポート!アップデートされる小ネタ!交渉の実態!スペシャル

Tweet【関連記事】 ・ババ・ガンプ・シュリンプ 公式サイト – Bubba Gump Shri[...]

The post 第133回 充ちるレポート!アップデートされる小ネタ!交渉の実態!スペシャル first appeared on podcast - #セキュリティのアレ.

00:00
前回のタイトル、なんかシンプルでしたよね。 何だっけ、5月病がどうたらみたいな。
そうそうそうそう。 ネギスさんのやる気が見つかったということもあって。 本当に良かったですね。
さっきまで5月病っていうね。 5月とさっきの札期がかかってるんですけどね。
そうだったんだ。 全然気が。 あれさ、そういえばそこも気づかなかったけどさ、
アイキャッチがなんでカンゴさんのピオカンゴ画像なの? 幸せの青い鳥やからです。
なんで黒歴史掘り返してきたかなってちょっと。 あれ黒歴史なんですか?
だってあれ被ったの一回だけですからね。 ずっとあれ言われてますからね。
この画像をよく見る気がするけど。 確かに使うシーンが本当も、
セミナーとかそういうシーンで結構使わせていただいてますけども。 被ったのは本当に、あれって何年前でしたっけ?
2014年とか、2014年以下ない。 結構前ですよ。
そうですね。 僕のアマゾンの購入履歴にはあれがあります。
あの鳥を飼ったやつがあります。 お前が飼ったんかーいって。
記事が出たのは2015年の12月10日です。 だいぶ前だなぁ。結構前ですね。懐かしいね。
5月病というか、やる気がどっかに行って見つかって、家に帰ったらあったっていう話をされてたので、
青い鳥っぽいなと思って、青い鳥といえばあれかなと思って、 アイキャッチにしたというわけなんですけども。
それはそうとなんかこう、あれですね。もう飴飴飴ですね。 なんかねちょっとこのところね。
今朝は特にすごかった。 そう、だから6月っぽさがあるというかね。
ね、徐々に。 ただでも僕なんかあの夜はね、ちょっぴり肌寒いぐらいの気候が好きなんですよ。
まあ蒸し暑くて、なんか寝苦しいとかは嫌だもんね。 なんかね、そうですね。
なんか涼しかったりとかすると、Tシャツだけじゃなくて上着もちょっといるとか、いろいろ服も選べて楽しいなってのもあってね。
そういうのが好きな。過ごしやすさもありますしね、その方がね。 そうなんですよ。
まあ天気の話をするということは他に話すことがないと思います。 だと思ったよ。
お便り行く?お便り。 お便り行きますか? はい。分かりました。お便り行きましょう。
今回もお便りいくつもいただいておりまして。 ありがとうございます。
今回も前回と同じで、初めて聞きましたという方からお便りが来ておりまして。 なんか着々とリスナー増えてるなぁ。
03:08
あのポッドキャストでセキュリティのアレが気になって、2011年の第1回放送から聞いており、今第6回目ぐらいですが面白いですね。
ITの歴史を振り返りつつセキュリティ面は勉強になります。160回分ほどあるので順番に聞いて勉強予定。
一時期はyoutubeもしていたみたいですね。そっちもチェックしてみようという。 前回ってか先週も1回目から聞いてますって人いたよね。
また別でございますね。 今は何?1回目から聞くのがブーム?もしかして。 なんか来てるんですかね。
この方、遠近の方なんですけど、そういうサイバーセキュリティに関係する情報を集めてはいるけどセキュリティが専門ではないらしいです。
なるほどね。あれでは10年前とは言っても、前回も言ったけど、中には一周回って新しい話もあったりとか、
あとあんまりその新しい古い関係なく聞ける話とかもあるから。 最新のニュースとかを紹介したってやつはこんなことあったらねーぐらいかもしれないけど、
参考になるっちゃなるかもね。今聞いてもね。 でも、その当時最新やったことを聞いた、その内容ニュース自体はその時代の話ですけど、それを見てどう感じたかどうすべきかってのはそんなに大きく変わるもんじゃないので、今でも通用する部分もあるんじゃないかなと思うんですよね。
そうですね。 一応聞いてみたんですよ。これ何をきっかけに聞いたんですか?って聞いてみたんですよ。聞いてみたら総務省の表彰で知ったんですって。
おー、そっち経路か。なるほど。 という質問にちゃんと答えていただきました。ありがとうございました。
嬉しいね。長く続けてきた甲斐があるなというかね。そういうきっかけでいろいろ増えると嬉しいですね。
ありがとうございます。 あとは前回僕がお勧めのあれで紹介したコレストガンプの絡みで、ネタに一度は行ってみてくださいということで、
ババアガンプシュリンプっていうお店を紹介していただきました。 これは劇中に出てくるね。
フォレストガンプとバッパが作る会社があるんですけど、エビを取るやつですね。
それのコンセプトカフェ的な感じなんですかね。そういったものがあるんですけど、これ僕も以前から行きたかったんですけど行けてないんですよね。
東京はね、東京は2店舗あって、1個が豊洲。 豊洲とラクーア。
あと大阪にもあって、大阪はユニバーサルスタジオジャパンの横にある商業施設ですね。
ユニバーサルシティウォークかな。 あともう1個はなぜかバリにある。
だから落ち着いたら3人でバリ店行きますか。 バリガンプシュリンプ行きますか。
ラクーアが一番行きやすいかもしれないですね。
06:05
いつかは行きたいなと思っています。 あとは人を責めず方法を責めるっていうのはなかなかできないなと。
障害の振り返りにしても、大体担当者の経験不足とかに帰着して終わるんだもんということですね。
なるほどね。 原因は経験不足っていうのはあるかもしれませんが、経験不足を補えなかった組織の問題だってことだと思うんですよね僕は。
そうだね。 あとはそういう経験不足から来る失敗っていうのは、その人だけでなくて誰にでも起こり得るっていうか。
たまたまその人が起こしただけだからね。 次別の人が起こした時にまたその人を責めるの?みたいな話になっちゃうからね。
今回はこの予定があったけど、それで例えば教育の仕方とかそういうことをしっかり、二重チェックだとかいろいろチェックの仕方があったりすると思いますけど、
それをそこで見直さなかったら、今この会社にいない人、今後入ってくる新卒の子とかも同じようなミスを繰り返すことになるので、
どこかで立ち切らないといけないって見方をした方がいいんじゃないかなと思いますけどね。
そういう発言をする人が社内にいるかどうかっていうのも大きいんじゃないかなと思いますよ。
会社の文化的なっていうかさ、そういうのもあるかもしれないよね。
そうですね。だからそういう文化とか、やっぱりなんだかんだで偉い人の言葉で決まるみたいなところがあるから、
立場があったりそういう発言権のある人ほど、そういうこいつを責めたってしょうがないやろみたいなことを言うようになってほしいなと思うと思いますね。
上に行けば行くほど。
あとはブラウザーのお話をしたということで、マイクロソフトの某クラウドサービスって一つしかないと思うんですけども、
某クラウドサービスでChromeだけが動かないという機能があると。
Firefoxや他のブラウザなら動く、Chromeなら間違いないっていう風に考えるのは危険なんだなと、逆にリスクになっちゃいますよねというコメントをいただいております。
そんなのあるんだ。
これ僕もすごくタイムリーでお便りいただいたとき、あるサイトのどこの店舗に在庫があるかっていうのを調べる機能があるんですけど、そこのサイト。
WindowsのChromeだけで動かない、その機能がなぜか。
検索結果がずっとぐるぐる鳴って、例えばEdgeとかでやるとすぐ出てくるし、スマホのChromeでやっても結果出てくるのになぜか出てこないんです。
でもEdgeもChromeも中身同じじゃん。
そうなんですよ。でも動かないんですよ。なぜか。
へー、なんだそれ。
ぐるぐるぐるぐるして。もう原因もわかれへんから、違うブラウザでやればいいやと思って、そのまま流しちゃいましたね。
はい。やっと次、最後のお便りです。
ゴールデンウィークはこのセキュリティの動画時代から含めて、全各回の概要をまとめてみた。
こういうのブログとかで公開した需要はあるのかしら?
え?全部の回の概要?
すごくない?
09:00
え?ちょっと待って、それ、え?全部聞いたわけなの?どういうこと?
全部聞いたってことですよね。概要をまとめたってこと。
え?うっそー。
ゴールデンウィーク中に全部を見たわけではないかもしれないですけど、これまで見てきたものとかの概要をまとめてみた。こういうのブログとかで公開した需要。
需要があるかどうかはちょっとわからないですけど、嬉しいですよね。めっちゃ。
嬉しいね。
公開してもらわないとわからないね。需要があるかどうか。
確かに確かに。やってみてわかることとかってありますからね。
全然ないかもしれないしさ。
そうですね。
いや、でも少なくとも俺らは見るよ、多分。
私の需要はあるんで。
俺の需要もあるよ、多分。
僕の需要もある。
じゃあ3人の需要はありそうですね。
最低3人は見ますね。
だって結構僕らもいろんなセミナーとかでフラインで喋らせてもらってた時とかでも、同じテーマで同じ資料で喋ってても、どこでどんなこと喋ったかって結構喋ること変わるし、覚えてないじゃないですか。
多分この3人でセミナーやったこと結構たくさんこれまであるけど、同じ話、全く同じ話したことって1回もないと思うんだよね。
ない。
そうですね。
下手したらオチすら変わってる可能性あるもんね。
いや全然変わってると思うんだよね。
だからそれもあってさ、あの時何喋ったかとかって喋ったらすぐ忘れちゃってるから、何喋ったっけなーみたいなね、後で振り返るとよくわからんみたいなのあるけど。
決して一貫性がないっていう意味じゃないんですけどね。根本的にはね、あれなんですけど。
そのまとめてくださった方は、いろいろどういう気持ちでやっていただいたかわかんないけど、ありがたいですね。嬉しいね。
そうなんですよ。だからぜひ、僕たち3人からは需要があるので、僕らは公開していただきたい。
そうですね。
振り返りたくないですか?自分で。こういうこと言ってた、この時こんな話してたんやなとかって。なかなかね、機会ないもんな。
ふとね、何だっけみたいな。何喋ったっけあの時みたいなね。
そうですね。
いずれにせよ、そこまでしてちゃんと見ていただいて嬉しいですね。
ありがたい。めちゃくちゃありがたいなと思いました。
ありがとうございます。
公開いただいた際にはご連絡いただければと思います。
そうですね。ハッシュタグつけてぜひ呟いてください。
はい。ということで、お便りは以上になります。
ありがとうございました。
じゃあ今日はそうですね、誰から行きますかね。
なんか最近MTPが多いという指摘をいただいたので。
どんな順番でもいいんだけど。
僕か看護さんなんですけれども。
どうぞ。
じゃあ僕から行きますわ。
僕が今日お話するのは、ランサムウェアグループのコンティとハイブと、その被害者とのチャットから得られた洞察というレポートをシスコのタロスが出してたんですね。
12:03
いいね。なんか毎回ブレなくて。
ランサムウェアにあふれる。
これがシスコのタロスが4ヶ月間40以上の被害者と攻撃者の個別の会話を入手して分析をしました。
どんな内容が含まれてたかというのを分析しましたというものなんですね。
この入手の方法に関してはおそらくオープンソースリサーチを通じてというふうにあるので、すべて顧客から得たものとか顧客に許可を取ったものではないんじゃないかなと思いました。
詳しくはもちろん触れられてなくて、どこから入手したのか何かわからないですけども、オープンソースリサーチを通じてという、ちょっとふわっとあえてぼやかしてるのかもしれないですけども、そういったものを見て分析しましたということです。
でも顧客から得たんだったらそう書くだろうから。
そうなんですよね。その辺はそんな感じですっていうところだと思います。
刺してくれって感じだな。
グレーっぽい感じがするなというところなんですけども、得られるものがどんなものだったかという話なんですが、これ分析している内容に関しては、そのハイブとコンティのコミュニケーションスタイル、どういうふうに彼らから見たら顧客、僕らが見ていると被害者と接しているかというようなところに主眼を置いて見ているレポートになります。
このコンティとハイブのコミュニケーションスタイルというものも比較しているんですけれども、コンティの方はすごくチャットの始まり、だいたい感染するとランサムノートというのが出てきて、ここにアクセスして交渉しようというふうなものが書かれているんですけども、そこにアクセスしてきて、被害者がこの攻撃者にコンタクトを取ったときには、コンティは台本があるんじゃないかというふうに思うぐらいきれいなやり取りをするそうです。
例えば自己紹介があって、あとはその被害者に対する現状の説明には、あなたはこういう状況にあります。
大げさな表現とかをするわけではなく、事実のまま淡々と決められた通りのことを話しているような感じの内容が多いんですって。
ちゃんと自分たちはコンティグループですみたいな感じのことを名乗って、相手の名前、組織名、役職は何ですかっていうふうに相手に確認を取る。
オペレーターみたいですよね、電話とかで問い合わせする。
その後、ネットワークに侵入して情報を取って、ファイルを暗号化したよっていうふうなことを説明をしていくというスタイル。
コンティってさ、前にリークがあったじゃない。
マニュアルのリークもありましたし、その後もありましたよね。
そうそう、コンティリークスの内容忘れちゃったけどさ、あの辺で交渉に関わるような話って何かでしたっけ?
交渉に関わる話、僕が見たのは先のリークの方を結構ちゃんと見てたんですけど、そっちだと事前調査こういうふうにしましょうとかっていうのが書いてあって、マニュアル的なところもありましたね。
交渉に関してはちょっと…
15:01
分かった分かった、俺もちょっとはっきり言い忘れちゃった。カンガさん覚えてる?忘れちゃったなぁ。
多分具体的なマニュアルっていうのはなかった気がするんですけどね。
なんか出てきてたニュースでもそういう交渉に関するものがあったっていう報道もあんまなかったですから。
なんかでも、ほらグループ内の体制とかさ、色々分析してる機器とかあったけど、交渉役とかその交渉の仕方とかっていうのもある程度決まったやり方っていうのがあるんだろうね、グループごとにね。
そのコンティに限らず。
で、それに対してハイブの方は現状説明、こういった挨拶みたいなものとか、こうなってああなって、今あなたはこういう状況になりますよっていうふうなことを説明するような感じはなく、すぐに身の白金交渉に入るらしいです。
なんかいいね、なるほど。
はい、いくらですみたいな感じで。
で、やり取りの中には結構見受けられたものに関しては、過剰書きでポイントだけを書いてるような、いわゆるテンプルだと思うんですよね。
金額と被害者名が含まれているような過剰書きなんですけど、例えば支払いを行った場合はちゃんとデータ戻りますよとか、
輸出したデータ消しますみたいな過剰書きだと払わない場合はみたいな感じに書かれてあるものがあるんですけど、
おそらく金額と名前以外はテンプレじゃないかなっていうふうなものがスクリーンショットでこのレポートの中に出ていました。
で、双方ともに身代金を支払った場合にセキュリティレポートを提出するというふうに言及してきてるんですけど、
セキュリティレポートって何かっていうと、どうやって侵入したかとか、どの脆弱性を使ったかとかっていうふうな、ペンテストのレポートみたいな。
これってどのグループが最初に始めたんだっけ?なんか忘れちゃったけどさ。
あー。
なんかだいぶ前からこんなのあるよね。
ある、ありましたね。どこだっけな。
そっから流行りっていうかさ、金払ったら何直せばいいかとかちゃんと教えてやるときのコンサル的なさ。
お前らコンサルじゃねえだろみたいなさ。
多分そのレポート出しますよっていうのを違うグループだったかなんだかで、僕多分このホットキャストも紹介したような気がするな。
そうそう。だいぶそれ最初の方だった気がするな。
そうですね。
結構前ですよね。
そうそう。メイズとかその本当に。
それぐらいか最初の、ちょっと忘れたけど、最初の頃からの流行りっていうか。
なんか第一世代の途中からぐらいの感じの。
そうですね。
そうですよね。
レポート提出しますとは言ってはいるものの、ハイブの方のチャットにはセキュリティレポートを提供した事実みたいなものは認められなかったそうですね。
あら。
そうだそうです。はい。だからどうなっているのかわからないですけども、言及がされていなくて事実が認められなかったという風なところかなっていう感じでしたね。
あとミノシロ金の金額に関してなんですけれども、コンティの方はこれもうバニュアルがあるのかわからないですけど、複合ツールを提供してセキュリティレポートを提供するというところに関して金額を減額する時にはクリスマスやホリデー、祝日とかであれば割引をするということを結構言ってくるそうです。
18:04
あと72時間以内に判断してくれればいくらいくらにしますよっていう風な。
交渉は結構詰めたことをするっていう風な感じみたいですね。
あとはハイブの方は結構マニュアル的じゃない方で感情的と言えばいいんですかね。
コンティはこういう風にこうやって払いますよとかこういうレポート提供しますよっていう風に結構自発的に説得するような感じは見て取れるんですけども、
ハイブの方は決してそういう感じではなくて被害者から質問があれば答えるみたいなスタンスみたいですね。
なので初めに接触をしてきて被害者が挨拶から応答がなかった場合は急にもう我慢の限界じゃって言い始めたりするらしいです。
14日間何の動きもなかった相手に対してはもう我慢の限界って言ってデータコピーを関係する組織に送りますこのメールアドレスに送りますみたいな感じのチャットを出してくるそうです。
なるほどまあそういうフリなのかその実際のねその人間味が溢れてるのかどうかわかんないけど面白いね。
あとは14日の半分ですが7日間のところにはもうみのしろ金金額200万ドルやったけどもう知らん1000万ドルにするみたいな。
こんな言い方かどうかわからないですけどもそういったことを言ってくるそうですね。
実際のみのしろ金交渉に入った時のお金の話なんですけれどもこれ双方ともに結構交渉に関しては前向きな姿勢を示すそうで
コンティに関してはまあ減額率はいろんなこのサンプルの中にあったんですけど10%とか24%57%74%などという風に続いていって一番値下げ幅が大きかったものは5000万ドルから
さていくらになったと思います?最初5000万ドルって言ってたんですよ。
でも今の話で言うと相当割引いたってことでしょ?
今の74%よりも割引いてる。
じゃあ9割引くらいで500万ドルとか。
500万ドル。かもさんは?
でもちょっと5000万で最初はふっかけすぎじゃないそれ。
そうそうここが高すぎるんだと思う。
5000はね高すぎる。
5000はないでしょ払えないよそんなの。
1000万ドル。
1000万ドル2割になったってこと?
8割引きってことかな?
そうだね。
正解は100万ドルです。
すごい。
そんな下げる?
そう実に98%の減額っていう。
最初の設定金額がおかしいじゃないの?
本当ですよね。
なんかでも大体ほらあのいろんなグループいろいろポリシーが違うけどさ
売上高に応じて金額を設定を変えたりだとか
いろいろやってるよね。
そうそれの分析もされていて
大体被害組織の年間売上げの1%の金額に落ち着くケースが多いみたいですね。
それは交渉の結果ってこと?
そうですそうです。
なるほど。
それぐらいは払えるだろっていう。
そうそうそう。
まあなんかほらそういうのってさ
お互いにゴールが見えてると交渉がしやすいと思うんだよね。
21:03
そうですね。
なんでお互いから見える客観的な数値っていうのは結構重要で
自分が主張するこれぐらい安いだろってお互い側が主張しててもダメでさ
今言った売上の1%くらいっていうのは双方から見える客観的な数字じゃん。
これぐらいは払えるでしょって言われたら
お互いに納得しやすいっていうか。
分かりやすいですよね。
そうそう。多分そういうところあると思うんだよね。
だからだいたいそれぐらいの割合というところなので
この全体のやつで最初がいくらだったかわからないんですけども
最終的なラインとしては10万ドルっていうのがあったそうですね。
1000万円ぐらい?1000万ちょっとか。
あとはコンティの場合は締め切りとか延長に関しても結構柔軟に対応してくれるそうです。
払ってもらわないといけないからっていうのもあると思いますけどね。
多少結局値引きをしようが期間が長引こうが
ゼロになったら元も子もないからね。
なんとかして払ってもらおうっていうのはあるんだろうけどね。
そうですよね。物を仕入れて売ってるわけじゃないからね。
最終的にいくらでも払ってもらったほうがっていうところはあるのかもしれないですけど
でもあまり下げすぎると全体の相場が下がるから自分たちが困るっていうのがあるので
その辺結構攻め合いがあるんじゃないかなと思いますけどね。
一方ハイブの方も結構減額をしていて
10%、15%、25%、30%みたいな感じで
こちらも減額提案に関しては応じているというふうな感じです。
一番大きかったもので66%を超えるケースもあったという。
ちょっとコンティよりも割引というかディスカウントがちょっと少ないかなぐらいですけど
半分以上は減額されるというふうなところですね。
ハイブの方の中で一件だけ見受けられたものっていうのがこのレポートで書かれていて
被害者と間に入っている交渉する人
どんな立場の人間なのかちょっとわからないんですけども
この交渉する人間が一旦被害者が払った金額の7割をハイブ
3割を俺によこせっていうふうな交渉をしてきたやつがいるらしいんですよ。
最終的にはチャットの中では10%を渡すことで合意したっていうようなものもあったみたいですね。
これもハイブ側から見ればディスカウントと一緒なので
何本手に入れることができていくら自分のところに入るかっていうのを考えれば
その分値引きというのと同じでそっちに渡すっていうようなものもそういうことに応じるというふうな
一件だけあったっていうことが書かれてありました。
レポートに関してはどんな攻撃のテクニックを使ってくるかということにも触れてたりするんですけれども
よく今まで僕が紹介してきた他のところのレポートにもあるような感じの雰囲気だったので
今回は割愛させていただくんですけれども
この交渉内容がどんなものがこの2つであったのか
どういうふうな差があったのか違いがあったのかみたいなところっていうのは
技術的に守るっていうことをする上ではそんなに大きくは役は立たないのかなというふうに思うところなんですけど
24:03
ランサムがどういった現状であまり出てこない部分なので
こういったことも合わせて知っておいたほうがより理解が深まるのかなということと
これはあまりお勧めはしないですけれども
交渉しないといけなくなったとき金銭の支払いを選択するという場合もあるかもしれない
そのときの参考になる一つの指標として見れるんじゃないかなというふうに思ったので紹介させていただきました
このレポートは誰に向けて書かれたんだろう
被害組織
これから被害に遭うかもしれない
今言ったみたいな被害に遭った人に参考になるようにということなのかな
あと表に出てこないものの一つですよね
あざあざ書くっていうぐらいですか問い合わせとかやっぱあるのかもしれないですね
あると思うそうかもしれないあとはよく聞かれるのかもしれないですね
問い合わせっていうのはお客さんからってこと
なんかこういうのランサム流行ってるけどどんな例えば交渉だったり被害金額なのとか知ってるとか
僕らの専門家的な立場からすると
言い方はあれだけど単純に興味深いっていうか
公益側がどんな戦略でやってるのかとかその交渉の内幕っていうかね
単純に面白いじゃない面白いし興味深いし今後の参考にはなるんだけど
知りたいですよね知りたいけど
被害組織とかそのお客さんからの問い合わせに向けて書いてるんだとすると
なんだろうなどういうものがそのやっぱり今言ったみたいなその実際にもし払う
でなったらどういうところに気をつけて交渉に当たればいいかとかそういう参考の仕方になるのかな
あとは何とかしてもっと戻したいけども
これ払える金額じゃないんやけど他はどうしてんのみたいなことなのかな
うーんなるほどね
別にレポートを批判してるわけじゃないんだけど
誰の役に一番立つんだろうなっていうのがちょっとどうなのかな
わかんないなと思って
あとその今聞いてて思ったっていうか
これもそのこういったビジネスモデルの良いところと悪いところが出てるなと思ったんだけど
やっぱりこういう公益者グループによって色々手の内が違うっていうか
例えばその極端な例で言えばこのグループは全然値引きに応じないけど
払えば確実にちゃんとしたものをくれるようなグループと
このグループは交渉によってなんぼでも減額できるから頑張って粘った方がいいとか
わかんないけど特徴があるじゃん色々
27:00
それって被害組織は全然初見だからわかんないじゃない
でもこういう専門企業とか交渉を受け負ってくれる企業とか
マージンは取るんだろうけどそういうところはそういうノウハウを持ってるから
結局そのところで頼んだ方がうまく決着するじゃん交渉が
そういうところがやっぱり必要とされちゃって
そうすると払っちゃった方が保険も利くし安いやみたいになっちゃって
前にもちょっと話したけどそういう変な循環が
悪循環というか資金が向こうに渡ってしまうという意味で悪循環がね
結局うまく払っちゃえるなら払っちゃえみたいな流れになっちゃう
このレポートがそういうことを意図したとは思わないけど
一方でそういう捉え方をする人もいるんじゃないかなっていう若干懸念がというか
確かに受け取り方が結構難しいレポートではある
だから誰に向かって書いたんだろうなっていう
受け取る側がちょっと注意しないとっていう気がしましたね
確かにそうですねその辺の目的みたいなものってあんまり書かれてなかったですね
本当レポート自体もpdfなんですけど
エグゼクティブサマリーからバーンって入るんですよ
まあでもあれか被害を受けたところはやっぱり
他がどうやって交渉してるのかとか
自分たちがどう判断するかっていうのを決める上で
参考にしたい情報なのかな
そうですね
確かにおっしゃる通りです
受け取り方によったら危険な部分もあるかもしれないなと思いますね
でも本音と建前っていうか建前的に言えばさ
身後ろ金なんて払うのはもってのほかで
払わなくてもいいような体制を取っておくべきでみたいなさ
まあそれはそうですね
いろいろ準備をしておくべきでみたいな
それはそうなんだけど
一方で本音の部分でさ
いやとはいえもし被害にあたったら
その後の被害を最初に抑えるためには払うという選択肢も
やっぱり考えた方があってのはあるわけで
そうですね
その辺の二段構えの備えをするときに
必要枠とはちょっと言い過ぎかもしれないけど
こういう起きてしまった後の被害の最小化っていう部分で
こういう交渉のない内側とかさ
そういうのは知っておくべきかもしれないけどね
そうですね
あとは別のレポートに書いてあったことなんですけど
ソフスのレポートに書いてあったやつだと
身後ろ金を支払いつつもバックアップからも
というふうな戻し方をする組織も結構多いっていうのが書いてありましたね
なるほどね
前に僕も読んだ別のところが書いてるガイドラインでいいなと思って
フォレスターだったかどっかで飛ばしちゃったけど
どっかで出してるガイドラインで
同時並行でやった方がいいってそこも書いてて
どっちがうまくいくかわかんないから
決め打ちにするんじゃなくて
バックアップから戻すような正当的なというか
30:01
そういうレスポンスをしつつ
交渉もしろと
同時並行でどっちがうまくいくかわかんないし
どっちか最後に選択するまで両方やった方がいいみたいなね
そんなことを言ってるガイドラインもあって
それはねぎさんのガイドラインだと思うんですけど
この調査して被害にあった人に聞いてるレポートなんですけど
これはもうレポートには両方並行進めるのが
結構一般的になってると読み取れるって書いてましたね
なるほどね
現実的な対応ではあるよね
そうですね
だし選択肢としてどっちがより効果があるかっていうのは
最終決めるまで見極めるまでやっていくっていうのは
あるような気がするね
そうですね
データを何が何でもやれるだけ戻せるだけ戻すんだ
ってなったら両方並行するのが一番効率的ですからね
こういう交渉の内側ってそんなに表に出るわけでもないし
ちゃんとこうやってきっちりと分析したものってないから
なんかちょっと興味深いですね
そうですね
皆さんも自分の目で見ていただければいいんじゃないかなと思いました
はい
ということで次はかんこさんいきましょうか
はい 今週私はですね
ご紹介したいのはちょっと前なんですけど
アトラシアンっていう これ確かオーストラリアでしたっけ
海外のソフトウェアの開発企業が行っている
ジラって言われている製品でシステム障害を
確か4月の上旬だったと思うんですけども起こして
その天末っていうのがそれからしばらくして
4月末に公開されたんですけども
今日はちょっとそちらの内容を取り上げたいなと
これ結構あれだね 長い期間障害で使えなかったやつだよね
そうなんですよ 私もIT系のメディアで障害が出ましたっていうのが見て
なんかずいぶん長引いてるなっていう印象がすごい残ってた
インシデントではあって
何で長引いたのかとか何で起きてたのかなとか
その辺の話が書かれているものというところで
非常に興味深いところと
あと何でこのタイミングなのかって話があるんですけども
最初出てたのは英語の
当然海外の企業なので英語の報告書というか
アトラシアンの言葉で言うと
インシデント事故レビューって呼ばれているものなんですが
そちら公開されていたんですけども
5月6日に日本語訳が公開をされてまして
すごい綺麗に全部翻訳 全訳されて
よう訳ではなくて全訳されているものなので
普通に読めるというところなので
ちょっとこれぜひ読んでほしいなと思って
ご紹介するんですけども
ちょっと内容が非常にボリューミーなんですね
まず初っ端の印象として
33:00
めちゃくちゃ書いてあるなっていうのがあって
PDF版が合わせて公開されているんですけど
まさかの30ページ越えで32ページだったかな
32ページの 障害の報告書で32ページって
内部だったら別ですけど
外部向けに公開する資料として
30ページ越えってなかなかないなっていうのはあって
内容も結構ですね
何が起きたのかっていうところも
当然書いてあるんですけども
どういう対応を取ったのかというところであったり
その時どういう考えに基づいて対応してましたとか
あとは当然障害報告書として
再発防止としてどういう取り組み方を進めます
みたいなのが書かれている内容ではあるんですが
非常に理路整然というかですね
綺麗にやっぱりまとめられていて
これを読むだけでも非常に障害対応の勉強になるな
って思うぐらいのまとめ方っていうんですかね
整理のされ方になってるんですが
そもそもこのAtlassianの展開しているプロダクトっていうのが
やっぱり課題管理とかプロジェクト管理とか
そういったソリューションを非常によく
開発とか展開をされておられる会社だけあってですね
やっぱり出す内容っていうのも
それに恥じないというか
さすがそういうところが出している内容だなって思うような
そういう内容になっているというところでして
やっぱりボリューミーなだけあって
何が書いてあるのっていうところが
かいつまんでわかるように
当然Executive Summaryっていうのも
バババッと書いてあるんですけども
Executive Summaryも3行で書かれているわけじゃなくてですね
本当に後ろの文章の全体をきれいにまとめた感じになっていて
もう本当にここだけ言えば
なんとなく概要はわかるなっていうぐらいの
きれいなまとまり方を押さえているものなので
このまとめ方もある意味勉強になるなって思ったのと
あと私いいなと思ったのは
当然細かく何時にどういうことが起きてっていうのが
実際にインシデントが発生した直後から
復旧のプロセスに入るまで書かれているんですけども
字だけで説明されてしまうと
なかなか頭に入ってきづらいところがあってですね
そこはポイントポイントでちゃんとタイムラインというか
絵で、絵というか表ですかね
表で何時にこういうことが起きたっていうのが
イベントが張り付けてあるような表っていうのが
適宜挟んであったりとか
あとはいいなと思ったのは
やっぱりジラの製品自体が結構
使ったことがない人からすると
何のこと言ってるのかっていうところが
なかなかイメージしづらいところかなというのもあるので
一番最初の冒頭に
このインシデントを理解するためにっていうところで
36:02
その製品自体のアーキテクチャの概要っていうのも
説明が挟んであってですね
具体的にどこで問題が起きたんだなっていうのが分かると
実際今回のインシデント自体は
言ってしまえばメンテナンスの作業ミスっていうんですかね
アトラシアンが進めていた製品の整理の中で
削除をしなければいけないものっていうのがあったんですけども
削除対象のIDっていうのを
削除をお願いしますっていう側と
実際にやる側で認識の相互があってですね
実際削除すべきもの以上のものを
もっと消してしまったっていうのが
実態ではあったんですけども
今回復旧の障害の展末の中で
なかなか見習いたいというか
こういうことを書けるようになりたいなって思ったのは
インシデントを起こすのは
人じゃないよという考えを改めて認識しましたっていうのが
さっきのお便りのところでもあったと思うんですけども
そんなような話があってですね
むしろシステムそのものが間違いの発生を許容してるんですっていうのが
この障害の事業レビューの中でガツッと書かれてあったりしてですね
こういうのを書ける企業姿勢って大事だなっていうのを
やっぱり思ったというところ
あとは勉強になったなっていうのは
どういう体制を取ったっていう中で
今までつゆさんとかにぎしさんとかでもよくお話ししている
広報の方はやっぱり巻き込みましょうっていうところは
実際このレビューの資料中でも結構説明されているところではあってですね
実際反省点としても上げられているところではあるんですけども
最初やっぱり1対1でのコミュニケーションに若干こだわるというか
それを優先してしまったがゆえに
広い範囲での早い広範囲なコミュニケーションっていうのが
早期には実行できなかったというところで
さっき私が言ったように直接関係ない立場からすると
インシデント長引いているな何が起きているのかな
なんていうのをちょっと思っちゃったりするみたいな
そういったところに少し帰結してしまったのかなというところであったり
あとはやっぱりアトラシアンでもそう思うんだなというところではですね
サイバー攻撃に起因するものではないっていうことが
重要なメッセージとして繰り返して言うべきだったというところは書かれていてですね
たまに日本語のインシデント報告というか
なんかお詫びとかプレスリリースとかでも書かれること
最近は増えてきたんですかね
サイバー攻撃機能ではないみたいな
やっぱあれって最近は重要な一文になってきているのかな
っていうのは改めて思いましたね
39:01
何かあったらすぐにサイバー攻撃かって言われちゃうっていうのもあるからなんですよね
そうなんですよねまずはそこ皆さん疑いますからね
サイバー攻撃かってなったら次に出てくるのが情報漏洩あんのかになってくるじゃないですか
そこまで言ってほしくないっていうのがあると思うんですねはっきりしてないうちから
ただそう言えるっていうのもやっぱり大事ですよねすぐ
サイバー攻撃じゃないよっていうのがすぐ言える状態になってるっていうのはやっぱり大事かなと思って
それもだから外とのコミュニケーションで外側は何を気にするかっての分かった上で情報を出してるっていうところが大事なポイントですよね
はいおっしゃる通りかと思います
ちょっとすごいバラバラっとなんか説明をしてしまったので
私の説明がむしろまとまってない感じだったんですけども
実際の資料の方はですねさっき言った30ページ越えの対策がですね公開されていて
これなんだっけなどっかに見たんですけどこれあのポストモーテムだっていうふうに言われていて
ポストモーテムってついさんとかって聞いたことあります?
言葉は聞いたことありますよ
私あんまり聞いたことなくて実は事後検証とか直訳だと何でしたっけ
検死とか死体解剖とかってなるらしいんですけど
ITの業界においてはやっぱり多分事後レビューと似たような意味になると思うんですけども
こういった振り返りをしっかりやれる体制っていうのは大事だなっていうのは改めて思うのと
これ読んだらやっぱりこういう考えに基づいてしっかり対応を取っている会社なんだなっていうのを
やっぱり改めて感じ取れるところではあるので
逆にあの今回の障害を通じてもしかしたら人によってはむしろ好印象というか
信頼度が上がるっていうものにつながるかもしれないのかなというところはこれを読んでいて改めて思ったところです
ポストモーテムは海外のインシデントでよく使われるブログの記事でしょっちゅうタイトルでよく出てくる
日本語だとあんまりカタカナで書かれているのは見たことなかったんで
海外のインシデントでよく使われるね
発生直後はこういうのが起きましたっていうのがアップデートとかが次々あるけど
その間置いてから実際何が起きたのかっていうのを整理した記事を
僕が前に紹介したボリューってあったじゃないですか
ボリューも時間を空けてからレポートを出すやつにポストモーテムって言葉を使っていると話してましたね
そういう使い方するね
なるほどじゃあこれか
看護さん的にはアトラシアンの障害対応の内容がどうこうっていう話じゃなくて
それはそれとして色々やったんだろうけど
事後レビューとしての情報の公開の仕方がなかなか優れて勉強になるよと
宣伝されているなと
なるほどね
確かにこれだけの30ページ超の力作っていうか
内容をしっかりまとめて公開できるっていうところが
まずそもそもちゃんとしてないとできないっていうか
42:02
なんかでも共通する何かあるなっていうか
公開こういう情報をきちんと出せるところは
できるだけ出せるものは出そうっていう姿勢があるっていうかさ
そうですね
逆のところはさほらなんか言わなくていいところはできるだけ言わないようにしようみたいな
とかさなるべくこう少なく済ますみたいな
あんまり突っ込まれるところできるだけ減らそうみたいな
ちょっと言い方悪いけどね
そういうようなこう
方向になりがちなところがある一方で
国内の企業でも海外の企業でも
この自己対応素晴らしいねって思うところっていうのは
割とそういうこう出せるところはきちっと出そうっていうか
透明性を高くしようとか
あとカップを言ってそのダラダラ書くんじゃなくて
一方でさっき看護さんが説明してくれたみたいに
わかりやすくまとめようとか伝えようとかっていう姿勢が
なんかやっぱ現れてるよね
なるほどこれは見慣れるべきところがあるんじゃないかということですね
いやこれだって終わったのが4月の確か18日で
半月でこの内容を出せるかって言われた時に
はいって言える組織はそんなないんじゃないかなって思ってて
日々のやっぱりなんていうか訓練じゃないんですけども
その考え方であったり取り組み方であったりっていうところが
しっかりできてないとこういったアクションっていうのが
実際に起こせないんだろうなあとは
確かにね
このやつ僕もこの会社自体は4月でしたっけ事故があったの
その時に知ったんですよねこの会社は僕で
いろいろこのサイトのページを見てたら
え何ちょっと待ってこの事件で会社を知った?
この事件ははい
あって言ったんだびっくりした
アトラシアンってことですか
アトラシアンめっちゃ有名だぞ
そうですか
なんか多分ね聞いてたりとかしても気にもしてなかったんだと思うんですよね
日本だとちょっと前にトレロっていうサービスで
めっちゃ使われてるぞアトラシアン
本当ですか
そんなになんか僕の中であんまりやんすよね
ああそうだったんだ
耳にしたことはあると思いますよ
ありますけどなんかちゃんとこういうことやってる会社なんやっていう風なのを
知ったのはこれがきっかけで
それまでは僕はどっちかというと多分クラシアンの方が知ってたと思うんですけれども
何言ってんの
で何やろうこの会社と思っていろいろ見てたら
先から看護さんがこういうのすぐに出せるとか動けるとかって
やっぱり普段からの準備っていうのがコメントがあったじゃないですか
はい
見てるとインシデントの自己分析とは何かとか
その重要性はとかそれのテンプレートはとか
ベストプラクティスはっていうのをすごく出してるんですよ
それを自分たちにも当てはめてやってるので
この速度が出せたのかなっていう
なるほど
この自分たちのインシデントの影響とかから
重大度か
重大度っていうのをレベルを3段階に分けてて
2以上のものは自分たちの作っているその
自己分析に当てはめてやってるんです
45:00
っていうふうなことが書かれてあったんですよね
その自分たちが使ってるやつの内部仕様も
要約してドキュメントを出してるっていうのがあるんで
全体的にやっぱ透明性の高い会社なんだなっていうような
印象を受けたので
これちょっと看護さんが紹介した部分だけじゃなくて
今言ったそのなんかテンプレートだとか
ベストプラクティスだとかも
読むといいと思ってるんですけど
僕が自身がまだ読めてないので
ちゃんと読もうかなと思ってるんですけど
すごく学びが多そうなものなので
しっかり勉強するといいんじゃないかなと思いましたね
より深まると思います
今回の対応の理解が
これはシステム障害の話でしたけど
全然セキュリティーインシデントとかにも
応用が全くもってできるものだと思うので
斜め読みした感じだとすごくまとまってて
だいぶ素晴らしい案だったんですよ
もうだんだん2人は僕のこういうやつを
なんか温かい目で見るようになってきましたね
そうだね
いじることもなく
そうだねって言っちゃうもんね
すいませんちょっと茶化してしまいましたけど
いえいえ
興味深い内容でございます
ぜひ皆さんもご覧になっていただければと思います
ありがとうございますということで
最後はネギスさんですねよろしくお願いします
僕からは今日ちょっと小ネタを3つほど
紹介しようかなと思ったけどいいですかね
どうぞどうぞ
一つ目は前回紹介したパスキーっていうやつの
ちょっとアップデートなんだけど
前回当然皆さん前回も聞かれてると思いますけども
聞いてない人はぜひ前回の聞き直していただきたいんですが
そうですね
前回ファイドアライアンスが提案している
企画の一つでパスキーってやつを
GoogleとAppleとマイクロソフトが
これから推進していきますという発表がありましたよ
っていうのを
大きく動くんじゃないかって話ね
そうそう
紹介したんだけど
今週ねGoogle IOがあって
そこでちょっと追加の発表というか
出てたんだけど
それによるとGoogleは
Android向けには
2022年末だから
今年の年末までに
開発者向けにパスキーをサポートします
って言ってたんで
Appleは前回も紹介したけど
去年のWWDCで
テクノロジープレビューを紹介してるんで
ちょっとAppleが先行してるのかなって感じだけど
Googleも年末までに
デベロッパー向けにはサポートするよって言ってるんで
なんかいよいよ見えてきたぞって感じで
なんか来た感じがしますね
そうすると年明けくらいから
ぼちぼちいろいろ見えてくるのかな
かなりピッチ上がった感がありますね
なんかいいなと思いました
あとGoogleの日本人のエンジニアの方が
パスキー絡みの説明をしてるセッションを公開して
これYouTubeで公開されてるので
48:00
その辺ももし興味ある人はぜひ見てみてください
これが一つ
それから二つ目が
これもちょっと前のやつのアップデートで
これ何回だったかな
4,5回前に多分喋ったと思うんだけど
アメリカのビアサットっていう衛星通信の会社がやってる
KASATっていう通信サービスがあるんだけど
これが攻撃されて
ちょうどウクライナへの
ロシアの侵攻のタイミングに合わせて
攻撃があったっていう話をしたと思うんだけど
イタリアにある子会社のVPNのアプライアンスが
やられて侵入されて
そこから内部ネットワークに侵入されて
最終的には多数の衛星通信に使うモデムが
アシットレインっていうワイパーノマルウェアで
やられちゃったってやつ
三星雨ね
三星雨そうそう
これウクライナが主なターゲットだったっていう話だけど
それ以外にヨーロッパ全体で数万台のモデムが影響を受けたっていう話だね
大規模な攻撃が行われたっていう話を
これ何回か前にしたんだけど
今週ですねその件について
EUとあとアメリカとかその他いろんな同盟国が
一斉に共同で
この攻撃はロシア政府がやりましたって言って
正式に非難する声明を発表したというのがあって
詳しくなんでロシアって特定できたかっていう
アトリビューションの理由は書いてなくて
そこはいつも通りなんだけど書いてないんだけど
特定しましたって言っているので
何かしらアシットレインの解説にも出てたけど
過去のワイパーのマルウェアとの共通点だとか
あるいは侵入した後の動きとか
侵入に使われた時の攻撃のインフラ
C2のインフラとか分かんないけど
そういった攻撃の特徴などからおそらく特定したか
ないしはそれ以外のインテリジェンスの情報が何かあって
ロシア政府内の何か動きと何か一致したとか分かんないけどね
いずれにせよそういう感じでロシア政府を正式に非難しますと
決しからんと言ってたんで
それが確かだとすると
いよいよ戦争の1時間前だか何か数時間前だかに
攻撃をしたって言われてるんで
いよいよそのリアルな戦争と本当に連動して
経験してきたんだなっていう
のが改めて確認できましたという
そういう情報が今週ありました
これ2つが軽めのアップデートで
最後3つ目なんだけど
これは新しいネタで多分喋ってないと思うんだけど
元ネタの話は去年の2月に見つかった脆弱性というか
攻撃手法の話で
これ喋ったかな? 喋ってないような気がするんだけど
パッケージマネージャーを使った攻撃で
51:01
一応発見者がつけた名前で
ディペンデンシー・コンフュージョンって名前がついてるんだけど
これは去年の2月に発表されて
これ何かというと簡単に言うと
例えばNPMとか
いろんなパッケージを使って開発をすると思うんだけど
その時にパブリックなレポジトリと
プライベートな組織の中だけで使うレポジトリ
両方とも使ってるような場合に
プライベートで使っているパッケージ名と
全く同じ名前のパッケージが
仮にパブリックのレポジトリにできたら
一体どうなるの?っていうところから出発点になってて
見つけた人はパブリックな方が
例えば仮にバージョンが新しい出すができちゃうと
パッケージマネージャーによっては
プライベートじゃなくて
パブリックな方を取りに行っちゃって
インストールしちゃうと
優先順位がそっちなんだ
警告もしないでインストールしちゃうと
それを悪用するとマルウェアとかいろいろ仕込めるよねっていう
簡単に言うとそういう攻撃手法で
見つけた人は去年実際にアップルとか
いろんな大手の会社に対して攻撃が可能ということを
実証してバウンティーをたくさんもらってるんだけども
今回紹介するのは
実際にこの手法を使ったとみられる攻撃が
4月の末から5月にかけて見つかりましたというのを
複数のセキュリティ企業は報告してて
最初に報告したらスニークっていう会社なんだけど
ここが4月の末ぐらいに
なんかディペンデンシーコンフュージョンを使ったような
と思われるNPMのパッケージ見つけましたって言って
報告をしたと思ったら
今週その他にJFrogと
Reversing Labsってところが相次いで
それに関連した他にもこういうパッケージ見つけました
っていう報告を相次いでしてて
これはいよいよ実際に
ディペンデンシーコンフュージョンの攻撃が来たか
っていう感じだったんだけど
そのブログが3社から出た直後に
まあそのブログで話題になったから
慌てたのかどうかわかんないんだけど
ドイツのセキュリティ会社の
コードホワイトっていう会社があって
ここがツイッターでそのスニークに対して
いやあなたの分析記事素晴らしかったですと
心配しないでいいよと
これ私たちがやったやつですって言って
ばらして
実はそのドイツのセキュリティ会社が
顧客企業からの依頼を受けてやったテストだったと
いわゆるレッドチーム演習とか
ペレトレーションテストって言われるような
そういう攻撃の一環でしたっていうことを言ってまして
なんだそうだったのかという
そういう推しだったんだけど
今日紹介したのは僕いろんな感想を聞いて思って
一つはここまでやるのって一般的なのかな
っていうかちょっとレッドチームの演習とかにしても
ややアグレッシブな感じというか
踏み込みすぎなんじゃないかと
54:01
実際に見つかったパッケージっていうか
かなり丸なやつで
分析してるベンダーもね
これも丸ですよと
だけど丸なんだけど
あんまり隠そうとしてないところがあったり
あとインストールされたコンソールにね
パッケージのディペンディーシー気をつけてね
みたいな注意のメッセージが出るようなことが書いてあって
これはなんか変だなっていうことを書いてたんだよ
だからこう丸っぽいけど
もしかしたらペンテストかもしれないみたいなことを
分析記事に書いてあって
実際それが正解だったわけなんだけど
ここまで結構アグレッシブにやるんだなっていうのと
というのが一つと
それをちゃんと前提に
第三者のセキュリティ機具がちゃんと見つけたっていうところ
これちゃんと分かるんだなって
見てる人は見てるんだなっていう
ちょっとその一つ安心感でもあるけど
分かるんだなっていうのと
今回はたまたまペンテストだったかもしれないんだけど
実際の攻撃いつ起きてもおかしくないなっていうのも
一方で思って
あるいはもしかしたら
できることの実証ですもんね
そうそう
今回はたまたまなのかどうか分かんないけど
見つけた人たちがたくさんいたけど
好評によったらもしかしたら見つからずに
こういう攻撃って
むしろ行われてるんじゃないかとかっていう
そういう懸念というかね
心配をちょっと感じて
いろんなことをちょっと思って
結果今回に関しては
テストだったからよかったねで進んだかもしれないんだけど
単にそれでめでたしめでたしめでたし
って感じでもないなぁとちょっと思って
色々複雑な感情が入り混じった感じで
えーと思ったんでちょっと紹介してみました
どう思った?
難しいですね
リペンデンシーコンフュージョンに気をつけてねって出るっていうのも
攻撃者の皮肉かもしれないですもんね
場合によったらね
そういうこと言う攻撃者がいないわけじゃないからね
リペンテストかもしれないと思えたのはすごいな
当たってたのがね
結果的にすいません僕たちでしたって
ばらしたからわかったけどね
そこまでやる必要あんのかなっていう気はするなでも
あとこれ書いてないっていうか
このコードホワイトって会社そんなに大きな会社かどうか
ちょっとわかんないけどドイツの会社なんだけど
詳細は書いてなくて
ツイッターで私たちですって言っただけなんで
実際にこれが顧客向けのテストでうまくいったのかどうかとかさ
どんなふうにやったのかちょっとよくわかんないんだけど
そこまでやる必要があったのかもしれないし
それが結果うまくいって
顧客に対してこういうとこ気をつけた方がいいよ
っていううまくアドバイスにつながったのかもしれない
ちょっとその辺の効果はわかんないんだけど
その辺もちょっと興味深いというかどうだったのかなっていうか
そうですねそこですね
57:01
でもこれは去年公表されて
公約手法としては知られてると思うけど
ニュースにも大きく取り上げられてましたもんね
でも当時出た時に
Appleの大手な会社ですら結構侵入されたっていうね
それでバウンティーもらってるぐらいなんで
1年経ってそんなに対策が進んでるのかなっていう
ちょっと心配っていうか
改めてそういう注意喚起の意味も含めて
取り上げたかったのもあるんだけど
結構難しいよねこういうところって
そういう最近流行りのって言えばいいのかな
サプライチェーン的なっていうか
サプライチェーンとはちょっと違うけど
注意した方がいいっていうか
あとこういう最近の
外部のパッケージとかを使って開発するってのは
ある意味当たり前じゃない
プロプライタリーなコードだけで開発をするっていう
もうそういう時代じゃないからさ
当たり前のようにね
オープンソースとかで公開されてるパッケージを使ったり
コードもパッケージもサービスも全部ね
使えるものはほとんど使ったほうが安ければ便利やったらそっち
っていうのはもう当たり前の考えですもんね
そうそうだからそういうところにやっぱリスクあるんだなっていうのが
改めてこういうのを見て
こういう事例を見ると攻撃する側も
これ使えそうじゃんってまた気づいちゃうかもしれないし
確かに
そういう意味で守る側も攻撃する側も
改めて気づくきっかけになるかなっていう気がしましたね
いいですね
そんな感じです
はいありがとうございます
はいということで今日も3つのセキュリティのお話をしてきたので
最後におすすめのあれを紹介しようかなと
おすすめしてやろうかなという感じで
何でしょうか
今日紹介するのはですねスイーツです
おー久々
コンビニで買ってきて美味しかったやつを紹介するという
おーいいねなんかつじさんの紹介するスイーツとちょっと高そうなやつが
そんなことないよそんなことないですよ
確かに確かに
時々そういうのあるじゃん
結構それはいろいろほらいろんなものをバランスよく紹介したいなと思ってね
そうねだから今週は手軽にコンビニで
そうそうそう
いいですねはい
これ知ったきっかけって別に僕毎日毎日スイーツのサイト見たりとかしてるわけではなくて
なんかたまたまGoogleのやつでスマホでね検索した内容とかから
お前こんなん好きやろみたいなの出してくるサジェストのコーナーがあって
はいはい
そこで出てきたやつでおーこれめっちゃ美味しそうやなと思ったんで
その発売日にわざわざコンビニに行って買ってきたってやつなんですけど
なんかすごいそのレコメンデーションがうまく働いてるじゃん
働いてるんですよね
もうめちゃめちゃターゲッティングされてますね
ほんとだよ山くらいトラッキングされてるよちょっと
そういうの世の中ではカモと言うんですけど
そんなカモのぶひろが買ってきたやつなんですけども
ローソンのスイーツなんです今回紹介するのは
全部似たような感じのものなんですけども
1:00:01
今日3つ紹介させていただきたくて
これ3つ全部買ってきて食べました僕
一つは生カスタードプリン
2つ目が満ちるカスタードクリームのパイ
3つ目が台湾カステラホイップアンドカスタードっていうやつですね
全部カスタードだ
そもそも僕カスタード好きなんですよ
シュークリームとかね
元々好きなんで
3つとも美味しそうやなと思ったけど
どれかにしようかなと思ったけど
全部買おうと思って買ったんですよ
美味しそうやから
これ3つともおすすめ出てきたの?
そうそういついつカスタードのスイーツがローソンで出末記事だったんで
3つとも紹介されてて
そういうことなんだ
他にも紹介されてるいくつかあったような気がするんですけど
僕が気になったのはこのカスタードのやつだったんで
この3つを全部買ってきたという話なんですけども
これは何?
おすすめに出るってことはもしかして
最近出たやつとか新しいやつなの?
いやもうほんとつい先週
今週頭
新作なんだ
そういうことね
ほんと超新作です
ここ1週間以内です
美味しそう確かに
全部食べたんですけど
生カスタードプリンはかなりトロトロ
これトロトロなんだ
そうそうトロトロでしたね
滑らかな濃厚なカスタードですね
だいぶなんかトゥルッとした感じで
トゥルッと
本当にガーってかき混ぜたら
ちょっとごめん
グビグビって飲めるみたいなね
食レポがやばいんだけど
食レポなんて感覚です
本当に飲めるって感じでした
飲めるプリン
飲めるプリン
全然わからん
それから?
みちるカスタードクリームパイはね
パイが器みたいになってるんですよ
筒状になってて
その中にカスタードが入ってるっていうやつなんですけど
サクサク感
しっとり感のすごくバランスのいい感じで
美味しいなってことなんですけど
チョコクリームがちょっと入ってるんですよ
そこの部分にね
それはちょうどいいアクセントになってるという風に
ローソーのサイトには書いてます
これ美味しかったですねかなり
僕はこれ一番期待して食べたやつなんですよ
3つの中で
最後のやつが台湾カステラっていう
台湾カステラって僕台湾2回も行ったことあるんですけど
知らなかったんですけど
台湾カステラってのは台湾では有名ななんかあれなの?
わかんない初めて聞いた
全然知らなかったわ
これはカステラ生地が半円状になってて
筒を半分に切ったみたいな
その間にフランクフルトみたいな感じの部分に
ホイップとカスタードが入ってる感じですね
ホットドッグっていう
ソーセージが挟まってるパンみたいなやつ
1:03:00
そんな雰囲気のやつの
ホットドッグねわかるわかる
ソーセージの代わりにクリームが入ってるわけだ
外側がカステラでスポンジ状の
ふわっと
スタイルのやつは台湾カステラってひょっとしたら言うのかな
かもしんないですね
全然知らなかったわ
そこにカスタードが敷いてあって
その上にホイップが置いてある感じ
なんかねこれは朝ごはんに良さそうでした僕は
朝のパン甘いもん欲しいみたいな
ちょっと全然違うけどさ
似たようなやつでさ似たような似てないか
あのバナナが
はいはい丸ごとバナナ
そうそう丸ごとバナナそうそうそれが言いたかった
丸ごとバナナって昔からあるじゃん
ある
ありますね
あれ今は全然食べないけどさ
はいはい
一時期めっちゃ好きで
山崎パンが出してるやつですよね確かに
すっごい食べてたことがあるんだけど丸ごとバナナ
なんかあれにちょっと似てない雰囲気
確かに似てる
似てるよねなんかあれ
そうですね丸ごとバナナの方がそのカステラ部分
周りのスポンジ部分が薄いと思います
中身がやっぱり物が違うからあれなんですけど
丸ごとバナナの方がぎっしり感強いですね
なんかねそうだよねちょっとそういう違いはあるけど
なんかでも似てる雰囲気っていうか
確かに確かに似てます似てます
なんかちょっと言ってたら丸ごとバナナ食いたくなってきた
逆に丸ごとバナナをおすすめした方が良かった
確かにね
今でも見たら台湾カステラにもバナナ入りってあるぞ
そうなんですか
同じページ見たらバナナ入り台湾カステラって出てきたぞ
ローソンで
あるじゃんこれがいいじゃんこれ最高じゃん
何それじゃあ今日はねぎすさんのおすすめのあれで
いやいや食べたことないし
確かにそうですよね
でもこれ食べてみたいな
ちょっと行ってみたらいいんじゃないですかね
ミルク台湾カステラバナナ入りってのがあるよ
ちょっとこれはひょっとしたらでもさっき
ついさんが評価してくれたやつとはちょっと
種類が違うのかもしれないんだけど
そうですね
なんかめっちゃ甘いもん食べたくなってきたな
マジで今食べたくなってきたな
その中で3つの紹介の中で一番はどれ
そうそうそれはどれなんですか
一番僕が美味しいなと思ったやつですか
はい
プリンでしょ
違いますパイです
パイか
はい美味しかったです
ただどれがいいかなって多分迷うと思いますし
これ全部食べたらなって思っちゃうかもしれないですけど
3つ買ったほうがいいと思いますよ迷ったら
ちょっと3つ買ったらちょっと食べ過ぎじゃない
いやいやそれでそういう風に言われるかなと思って
ちゃんと合計してみました
3つ全部食べても761キロカロリーです
760だいぶあるな
1食分あるぞ
だから1食全部これにすればいいんですよ
そういうこと
ちなみに金額の合計が795円なので
1キロカロリー1円ちょっとぐらいの計算になります
なるほど
コスパがいいのか悪いのかわからないですけど
1:06:02
そうだねでもどれも確かに美味しそうだな
そうですね
迷ったら全部買いましょうよ
飯テロならぬ何テロっていうのかわからないですけど
スイーツテロ
甘テロ
甘テロ
いいと思いますよ結構コンビニのスイーツって
結構時間によったら売り切れてたりとか
速攻でなくなったりする可能性があるんで
近くにローソンがある方は気にして見てみたら
あれば買っちゃえばいいんじゃないかなと思います
ありがとうございます
どれか3つあればどれかは
残ってるかもしれないですよね
そうそうそれに
俺が言いたかったのは
3つどれも好きかどうかわからないけど
どれか1個ぐらいは好みに合う
どれかにどれか引っかかるんじゃないか
どれも全部種類が違うしさ
そうですね
ありがとうございます
てなことで今日もセキュリティの話と
おすすめのあれを紹介したところで
また来週のお楽しみでございます
バイバイ
バイバイ
01:07:05

コメント

スクロール