00:00
暑いなぁもう毎日は愛知。 暑いね。今日は特に暑くなかった?
暑かった。 めちゃめちゃ暑かったんですけど、暑いし感染者が増えてるしで、もういいことないなぁ言うてね。
言うてますけれども。 でも結局出かけないからあんまり関係ないんじゃないの?
そんな僕もたまには外に出るわけですよ。お日様が登ってる時に。 そういうこともあるわけね。
この間ね、めちゃくちゃ暑そうやなって外出る前から窓から見たらわかるじゃないですか。日差しの具合で。
照りつける太陽が。 出てみたらね、風も強くてめちゃくちゃ。
なんやねんこれっていう感じですよ。
僕らは使わないですけども、特に女性の方ってこの季節日傘使われる方多いじゃないですか。
俺使うよ日傘。 結構男性でも使ってる方もいますね最近は。
持ち歩いてるよ。だって全然違うもん日傘挿すと。 全然違う。
日傘挿して貼る女の人が歩いて貼ったんですよ。
風がブワー吹いてて、風強くてね。
その人、風を防ごうとして貼るんですよ。傘で。 飛ばされるから。
普通の雨だったらそれでいいと思うんですけど、日傘として挿して風に対抗したら火めちゃめちゃ当たってはったんですよ。
仕方ないんでそれね。 あれはどういう気持ちなのかなと思って。
日傘だけど風にうまく対抗しないと飛ばされちゃうだろう。
そうそう。だから全く日傘の意味を成してないから、それやったら閉じた方がええんちゃうかなこの人って思いながらね。
確かにそれはちょっと使う時を間違えてるよな。
でもなんかそういう反応してしまうんですかねやっぱりね。 風でね。
日傘ってもともと雨用、雨と県用のやつもあるけどさ。 あるある。
日傘専用のやつはだいたいちょっと作りが弱いから、 雨風を防ぐことを目的としてないんで、たぶん骨とかも細いしさ。
耐久力なさそうですもんね。 全然ないから、たぶん風を受けたらひたしたら壊れちゃうよね。
それはちょっと日傘の場面じゃないかもしれないね。 そうなんですよ。難しいことしてはるなっていう気持ちになったっていうだけの話なんですけども。
まあまあね。暑さを防ぐ意味もあるし、日焼けを防ぐとかさ。
いろいろあるから。差したい気持ちはわかるなでもな。 そうなんですよね。でも日傘は僕しかしたことないからな。
俺持ち歩いてるよこの時期。晴れと雨と県用のやつだけどさ。 便利だから持ち歩いて、暑い時は差してるよ。
僕もコロナ禍になる前とかやったら夏とかでも冬とかでも関係なくポケモンGOをよくやってたじゃないですか。
03:06
その時とかもう帽子かぶってましたよね。 帽子はね、あるとないとって全然それも違いますもんね。
そうそうそうそう。まあそんなにね、風もそんなに、もう強風でない限り飛ばされませんし。 別に抑え休むだけの話ですからね。
ということなんですけども。 お便りいく?
いきましょう。 今日はね、今日のお便り結構なんかバラエティーに富んだ感じで。
楽しみ。 そうなんですよ。3つぐらいご紹介しようかなと思うんですけども。
一つはですね、情報セキュリティマネジメント試験に合格したっていうのをノートに書かれている方がいらっしゃいまして。
おめでとうございます。 それと共にこのセキュリティーのあれのハッシュタグをつけてくださってたんですけれども
中身を見てみると、情報セキュリティマネジメント試験ってのはこういうもんですよとか自分がやった勉強法とかが書かれてあったんですけど
そこの最後の方にね受験してみた感想みたいなのがあったんですよ そこにモチベーション維持のために旬なネタをキャッチできるポッドキャストセキュリティーの
あれを聞いていたっていうのを書いてくれました。 嬉しいねそれは。
いいですね。モチベーション維持のためっていうのがいいですよね。 いいね。
聞いたら俺も受けようとかは思うのかな。それから同じように試験とか資格取得を目指している人とかの話とかもたまに寄れ出してるから
そういうのが刺激になるとかそういうのもあるかもしれないしね。 あとは試験内容に直接関係ないけどちょっと関連するような
出てきた話の中から対策どうするべきですかみたいなのにちょっと関係しそうみたいな やつとかもあったりとかすると試験の中にちょっとした潤いみたいなものになるのかもしれない。
っていうふうに自分で言いように言ってますけど。 そうね。まあでもほら直接的ではないかもしれないけど間接的に役に立ったら嬉しいよね。
そうそう。いいですね。こういうのをちゃんとハッシュタグつけていただけるとすごく嬉しいです。 あとほらそういうその自分の体験をちゃんと書いて共有してくれるっていうそういうところが素晴らしいなぁ。
確かに確かに。
なかなかね、どういうモチベーションでこれを書かれたのかっていうのはあれですけども、別に書かなくても強制されているものなわけでもないですからね。
そうそうね。 いいと思いますね。こういうものを自分もこういう勉強してみようとか思う人もいるかもしれないですね。
僕らもそのお便り聞いて嬉しいわけじゃん。 みんなハッピーだよねそれね。
そうそうそう。そんなあなたには番組特製ステッカーってことですね。
06:03
おめでとうございます。それは嬉しいかなそれは。 どうかなぁ。
それは嬉しいかな。 モチベーションにつながるといいですね。
そうそう番組特製ステッカーで思い出したけど、ちなみにねお便りくださる方というかハッシュダグつけてツイートしてくださる方って結構増えてきてはいるんですけれども
常連さんの方々もいらっしゃるじゃないですか。 あーなんかいつもコメント書いてくれる貴重な方々ね。
僕は今までプレゼントした方とかちゃんとメモしてあるんですよ。
そういう1回当たれば一気に何枚でも印刷しようと思ったらできるなぁっていうことを思ってて。
なんで新作もちょっと考えて準備を進めているんですね。 あーなるほどなるほど。
毎回読まれても同じステッカーじゃつまらないもんね。 そうそうそう。
なのでまあそれもね、いつか残談数ゼロになるんだと思う。
なるほど。じゃあ今たま込めてるわけ? そうそう一応ね、今のやつってあれっていうふうに書いてあるやつと名乗りますのやつと
あとwe are あれって書いてある3種類があるんですけど、先に言った2種類は変わらずに最後の1個がちょっと雰囲気変わる感じのやつを用意。
しています。4種類ぐらい。今のやつと合わせたら5種類ぐらいっていうか。
定番と変わる部分みたいな感じっていうか。 ちょっとだけ変わる部分を全部コンプリートしたくなるようなそういうのにしてるんですよ。
ある瞬間に変わるかもしれないですし、僕の気まぐれかもしれないんですけれども。
なので、何が言いたいかっていうとお便り頂戴ってことですね? そうだね。わかりやすい。
素直に言うていこうかなと思ってます。 次のお便りいきますけれども、セキュリティのあれで直近話題になった内容ベースにパスワードに関する動向について
社内勉強会で発表しましたっていうやつで、その社内発表会で使った、勉強会で使った発表資料が公開されてましたね。
見た見たそれ。それ確か2つともさ、俺が取り上げたパスワードのネタじゃなかった? そうそうそうそう。
137回のこれファイドアライアンスのやつ、ワンパスワードがファイドに対応したよとかそういうのを紹介してくださってた。
パスキーの話とかね、WWDCで紹介されてたやつとか。 あとパスワードポリシーをこれベストプラクティスみたいなやつ、守ってるサイト結構少ないぞみたいな。
そうそう、調査した結果のね。 それをその2つからね、紹介してもらってたよね。
それを骨石さんが喋ってくれたやつですよね。 そうだね、ちょうど何回か前にパスワード付いてたときのやつだよね。
09:05
あ、そうなの。
社内の勉強会とか社内の情報共有とかにも、このセキュリティのあれ役立ってますみたいなことをおっしゃってくださっている方は他にもいらっしゃいましたけど、
こういう形でやりましたみたいなもので資料も公開してくださるのもありがたいなぁ。 そうそう嬉しいよね。いやもちろん社内だけでねそういうのをやってくれているのも嬉しいけど、
それを外にも公開してくれるというところが素晴らしいよなぁ。 そうそうそう。セキュリティのあれもね紹介資料の中でしてくださってまして。
そうなんかスクショ、ウェブサイトというかその取り上げた回のね、そのエントリーのスクショがあったんですけど、一つがあの天ぷらの画像と一つが看護さんの謎の生えてきた画像になってた。
何のポッドキャストかわからんやんそれ。 そうなんですよ、それわざわざ別にこれ払んでもよかったんちゃうかなと思いながらね、おもろいなーって思ってたんですよ。
いやでもそれ見てさ、え?何このポッドキャストみたいな。 そうそうそう、引きのね強さがありますね。聞いていただけるよね。そうそう引きがあるかもしれないよ、ひょっとしたら。
だからまあこの方にもあのステッカーの印刷のキーを送るんで、その印刷のキーは社内の全員に共有いただければいいんじゃないかなって思いますね。
そうね、みんなに配っていただいて。 みんなに配って、みんなでコンビニで印刷しようってね、やっていただければいいんじゃないかなと。
いやでも、もちろん前もそういう話あったけどさ、 社内の聞いてくれた方が自分の社内でそれを広めてくれるっていうか、
もちろん喋った内容が興味があったからとか、ためになりそうだと思ったからやってくれたんだろうけど、結果的にそれでポッドキャストも広めてくれてて嬉しいよね。
だからそれきっかけで聞く人が増えるかもしれないもんね。 そうなんですよね、なんか興味を持っただけじゃなくてね、こういうのありますよっていうふうに広めてくれたってことはそれだけいいもんですよって思ってくださったってことですからね。
そう、だしその自分だけじゃなくてそうやってこう人に紹介することでさ、その大事な情報がどんどん広まって連鎖していくわけじゃん。
だから僕らだけじゃ届かないところにもそうやって届けてくれる人がいるっていうのがさ、そうやって広まってくるのは嬉しいよね。
どう頑張ってもね、なんか1年、もう2年半ぐらいこれ週1ペースにしてなりますけど、どう頑張っても届かない、リーチできない層っていっぱいありますからね。
そうそうね。 そういうふうに広めてもらえるのはありがたいなと。
続けてきた甲斐があるというかね。
ありがとうございますということで、次最後のお便りなんですけれども、これちょっと長めなんですが、すごい今までの経験を書いてくださった力作のお便りがあったので。
力作のお便りありがとうございます。
知らないうちにマルウェアが入っているかもっていう話を143回でしましたけれども、
12:06
昔この方が上質的な仕事を教えるときに現場監査みたいなことをされてたんですって。
PCにインストールされているソフトウェアをチェックしていて、あるスパイウェアが入っていましたと。
これいつ入れたんですか?みたいなことを使われているエンドユーザーの方に聞いてもわからないという回答だったそうなんですね。
現場自体が僕らが想定するのはオフィスとかではなくて、監査対象が工事現場のプレハブに置かれている環境なんですって。
なるほどなるほど。
その現場自体が作業が終わるとプレハブは解体しますよね。
PCは別の現場に行って別の担当者にそれを配るんですよね。
なるほど。
だから同じ現場だったとしても、たまにPCの貸し借りとか担当者管理してるっていうのもよくあると。
貸し借りしたときに担当者が入れたのかもしれないし、前の現場で入ったのかもしれない。
本人が気づかずに入れたものかもしれない。
よくわからないですよね。タイミングはどうあれ、おそらく何かインストールした際に一緒に入ったんだろうとこの方は思ったので、
その場ではたまに変なものがアセットで入ってくるから注意してくださいねぐらいで、あとは駆除だけして終わりにしたそうなんです。
対策するにはセキュリティ教育とIT資産管理の2つで、
公社は当時はIT資産管理ソフトを社内環境につなげられなかったんですよね。
バラバラバラバラ変わるから。
なので工事現場のセキュリティ対策が難しいなという風に感じたのを覚えていると。
そのため対策が教育のみになりがちだったけど、今だったらクラウド直通でいけるんで、
IT資産管理をそういう風にするのが現実的なんだろうなと思いましたというお便りをいただきました。
工事現場とか事務所的なとか、期間が終わったらなくなってしまうとかね。
多少その特殊な環境ではあるかもしれないけど、決してそんな特別ってわけでもない、
似たようなところっていうのは多かれ少なかれあるだろうし、
そういう環境でどういうセキュリティを確保すればいいかっていうのは、
もしかしたらこれ聞いている他の人もさ、
あ、それなんかうちと共通の悩みだわみたいなとかさ、
同じことあったわみたいな、なんか共感あるかもしれないね、そういうのね。
昔は資産管理とかだったらオンプレじゃないとできないっていうのが多かったですけど、
今はね、この人がおっしゃるようにクラウドでやればっていう一つの解決策が、
新たな解決策ができたなっていうのは確かになっていうふうに思いましたね。
面白いね、そういう自分たちの環境でどうやるのがいいかっていうのはね、
必ずしも他から聞いた正解がそのまま当てはまるとは限らないから、
なかなかそういう環境に応じて考えなければいけないっていうのは難しいね。
15:01
そういう自分たちの事例っていうかさ、こういうことありましたよっていうのは、
前も言ったけどそういうのを共有してくれるっていうのはとてもありがたいよね。
そうそう、工事現場でこういう貸し借りがあったりとか、
終わった次の現場に行って同じセットアップを再セットアップせずにそのまま渡すとかっていうのがあるっていうのは、
あんまり僕の中で想定してなかったパターンだったんで。
でも多分同じような業種だったり、違う業種でもそういう似たような感じの場合はあるあるなんじゃないの、これって。
そうですよね、イベントごとで期間限定でそこに置くパソコンみたいなやつとかだったら、
いろいろ移動していっていってよくある話なのかもしれないですね。
あと使う人が結構変わったりするとかね、そういうのはあるあるな気がするよね。
そういう場合でもちゃんと責任で確保できるようにっていうのは共通の課題かもしれないね、そういうのはね。
興味深いね、面白い。
非常に勉強になりました。
勉強になりますね。
こういうのどんどんいただければまた取り上げてここでも共有したいなというふうに思います。
はい、ぜひ。
ということで今日もセキュリティの話をしていこうかと思ってるんですけども、
今日はそうですね、僕からじゃあいきますかね。
お願いします。
今日僕が取り上げるのは少し前に出ていたレポートなんですけれども、
個人的に興味があったことで調べていたのでここで紹介しようかと思うんですが、
カスペルスキーが出しているレポートで、
ストーカーウェアの状態っていうふうな日本語に訳するというやつが出てるんですけども、
これの2021年の調査結果が2022年になってから出ていたんですけれども、
ストーカーウェアってあんまり使わない言葉なのかなと思うんですけど、
そうだね。
いわゆるスパイウェアっていうふうな見方もできるんですけど、
どんなものかというと、スマートデバイス、主にスマホですね。
スマートデバイスを介して他人の自分以外の私生活を除き見るソフトウェアというふうに、
このレポートでは定義付けられているんですけれども、
どんなことができるかというと、デバイスの場所、GPS使ってそれがどこにあるかとか、
あとはチャットのやり取りとか、あと写真とか、あとブラウザの履歴とか、
これはストーカーウェアの種類によってアクセスできるデータとは異なってくるんですけども、
そういった個人のデータにアクセス可能になるような、
スマホ版バックドアっていう認識でいいのかなという感じはしますね。
ただ普通のパソコンというか持ち歩くノートパソコンとかそういったものよりも、
スマホの方がかなり個人によった情報がたんまり詰まっているかなと思うので、
パソコンよりも逆に見られたら嫌かなっていう感じのものですね。
このレポートの中で言われているのは、
ストーカーウェアというのは基本的に全然関係ない他人というよりも、
親密なパートナーに対してインストールされる傾向が強いというふうに書かれてありましたね。
国内でもそういう事例ってたびたび過去に報告されてるよね。
18:03
そうですね。ちょこちょこありますよね。
ちなみにこのストーカーウェア自体の販売すること自体はもちろん違法ではないですし、
そもそもストーキングをするためというよりは、
自分のスマホに入れて盗難を防止しましょうみたいな感じの名目で売られているものも多いんですよ。
ただ、これを被害者、監視する対象の人に同意なしに使用するというのは、
違法になる場合があるというふうな毛色のソフトウェアになっています。
この影響、このストーカーウェアの影響を受けた数というのは、
このカスペルスキーがやっている調査では2018年から調査を実施しているんですけれども、
カスペルスキーの調査では今年、2021年分のことし発表分ですが、
世界中でカスペルスキーのユーザー限定になりますけれども、
32,694人のユニークユーザーがこのストーカーウェアと言えるようなものの影響を受けたというふうにあります。
ただ、これ2018年からやっているとさっき言ったんですけれども、
2018年は約4万、2019年は6万7千、2020年は5万4千というところなので、
今回、調査期間においては過去最低の数になっていたという内容だったんですね。
これの内容に関して、何でこうなっているのかということを分析されているんですけれども、
コロナ禍というものがあるので、家で過ごす時間が増えていると。
なので、ストーカーウェアを言える側、いわゆる加害者ですね。
加害者が被害者のことを、ターゲットのことをコントロールしやすくなっているので、
そのパートナーをスパイするようなソフトをインストールする必要が薄くなってきているのかもしれないなというふうな分析をされていました。
ただ、ここで見えているのはさっきも言った通り、カスペルスキーでの調査の結果なので、
氷山の一角の可能性は否定できないというふうに同時に書かれてあったんですね。
ちなみに、こういった家庭内暴力だとか、こういったストーカーウェアを使った被害というものを抑えようという取り組みがあって、
コーディションアゲンストストーカーウェアというのが、そういう団体というかあるんですけれども、
そこが言うには世界中では毎日100万人ぐらいがこういったソフトウェアの犠牲になっているというふうなことを言ってましたね。
これは国別に上位、この国が何人影響を受けるユーザーがいたかというのがあったんですけど、
ちなみに1位どこだと思います?
どこだろうね。
うーん、どこだ?
1位はですね、ロシアなんですよ。
へー。
で、2位がブラジル、3位がアメリカ、4位がインド。この上位4つっていうのは去年とも変わってないんですよね。
へー。
多少なりともそのカスペルスキーだからっていうので偏りがあったり。
それもあると思います。
する可能性はまああるよね。
あります。もちろんもちろん。さっき言った通りカスペルスキーのユーザーになっているので。
確かにね。そこはありそうですね。
ロシア多そうじゃん。わかんないけど。
21:01
なんとなく。
ロシアが7541で、その2位のブラジルが4800っていう感じでしたね。
で、アジアに絞ってみると、さっき4位に入ってたインドがアジアに絞ると1位なんですけど、日本は8位でしたね。
ただ数で言うと、1位のインドは2105ユーザーなんですけど、日本は167ユーザーでしたね。
まあそんなに多く、多いと見るのか少ないと見るのかちょっとわからないですけども、こんな感じでしたということです。
で、実際に使われる人気のストーカーウェアというものも紹介されてたんですけども、これは1位がケルベロス。
これ結構有名なやつですよね。
聞いたことありますね。
それは昔から使われてるやつだよな。
そうそうそうそう。今はないですけど、これGoogleのプレイストアにも最初はあったんですよね。
今は消されてますけど。
っていう風なものがあって、あとはレプティリカスっていうロシアのやつですね。
あとはホバーウォッチとかそういったいくつかのものが紹介されていて、
これいくつか僕もいろんな機能の差とかを見てみたんですけども、かなり突っ込んで見れるようなソフトウェアもありましたね。
もちろん無料と有料のものがあるんですけど、
例えばシグナルのやり取りが見れるとか、そういったものも中には、
使ってないのちょっとわかんないですけど、何か制限があるのかもしれないですけど、
そういった結構テキストメッセージがっつりいけるとか、LINEもいけますよとかっていうのもあったりとかしましたね。
で、このストーカーウェアの機能なんですけど、
さっきもちょっと触れましたけど、有料無料とかあとAndroid向けのものがやはり多いので、
ルート取ってるか取ってないかによってできることっていうのは結構変わってきます。
で、多くのもので大体できるのは、これ見つかっちゃダメなので、
そのアプリが入っていることを非表示にする。
アプリのリフトから消すとかアイコン非表示にするとか、
いう風なものは大体標準で備わっていて、
あとGPSの位置追跡とか連絡先のリストを取るとか、
あとSMS読んじゃうとか、あとカレンダーの中身見るとか、
あとはカメラですね、これ盗まれたときに盗まれた犯人の写真を撮るみたいな名目で付けられていることが多いんですけど、
フロントのカメラ、いわゆる自撮りみたいに使うときにやるようなカメラの機能をオンにしたりとか、
あと録音録画とかっていうのもできたりします。
ちなみにこれは僕使ったことのあるやつがあって、
ケルベロス使ったことあるんですよ、テストで。
結構やらしいことできて、先ほど写真もできるし、音声とかで録音録画すると、
自分が設定しているメールアドレスに添付で送られてくるんですよね、これ。
あとはリアルタイムにトラッキングっていうのもできて、定期的にピンが立っていくみたいなのが撮れたりとかっていうようなこともできます。
なかなかやらしい感じのやつですね。
これ対策とかもいくつか挙げられてるんですけども、
ここで挙げられた対策では僕知らなかったソフトウェアが紹介されていて、
タイニーチェックっていうのがあるんですけど、
これちょっと面白くて、プロキシみたいな感じで通過的に使えるやつなんですけど、
24:02
ラズベリーパイの中に入れて、
Wi-Fi の間にかますみたいな感じにやると、
そこを通っていた通信にスパイウェアの特徴的な通信がないかどうかっていうのを
シグネチャーで多分マッチングさせてるんだと思うんですけど、
何かがあるとそれでチェックできるっていうIDS的な感じというか、
そういうパターンマッチで見つけるっていうツールを提供してくれてるっていうのを
これ僕読んでて初めて知りました。
あと、挙げられてる対策はこれよくある対策がほとんどなんですけど、
パートナーとか友人同僚とかにパスワードを共有しないというふうなものとか、
あとはアプリをインストールするときには公式のところからにしましょうとか、
気づけるようにするために電池の減りとかミシナのアプリに気を付けようとか、
あと対策ソフトのインストールとか、こういうことをやってても
パートナーに強制的に入れられてる場合っていうのもあるので、
このサポート組織ですね、こういったDVとかのサポート組織とかに連絡をするとか、
注意事項としてはそのソフトウェアに気づいたとしても消去したり、
設定変更したりとかいうのはしない方がいいと、
相手に気づいたことが気づかれるからってことが書かれてあったりしました。
これ先ほど冒頭で違法になる場合もありますよっていうふうに言ったんですけど、
ちなみに日本ではどうかというと、2021年の8月26日に
ストーカー規制法っていうものが改正されまして、
GPS機器等を用いた位置情報の無承諾取得が規制対象になっていますと、
それを受けて東京都がですね、衛星利用測位システムはGPSですね、
GPSを悪用したつきまとい行為などを規制するという
東京都迷惑防止条例というものが改正されまして、
改正の案が出されて6月15日に今年の可決して成立したので、
10月の1日以降これが施行されるというふうになります。
これ紹介したやつは最初のストーカー規制法っていうふうなものは、
恋愛感情に基づくつきまとい行為を規制する法律。
で、先ほど言った条例の方は恨みとかを含む悪意の感情に基づくつきまといっていうふうなものに分けられていて、
それぞれ対応しようとしてこういう法律と条例を改正したというふうな流れになります。
なので、今後こういうことをすると捕まってしまうというふうなものになることに注意が必要ということですね。
はい、こういうことを調べてみましたということでございました。
最後の方のつきまといとか、いわゆるストーカー的な行為っていうのって、
さっきも言ったけど、今回紹介したのはストーカーウェアという技術的な対策というか、
我々どちらかというとそっちが正本じゃない?
そうですね。
だけど今回の問題って、さっきも冒頭に言ってたけど、
27:03
世界的にもそうだし、結局最も身近な人が加害者になることが多いっていうのが、
やっぱり防ぐのが非常に難しいというか、
そうですね。
技術的にはちょっとなかなか防ぎにくいところっていうか、
難しい。あと普段はパートナーといい関係を築いていて、
もうそれが何かの表紙に沿ってなくなることもあるわけじゃない?
そうですね。
僕も知り合いとかで聞くとそういう人たまにいるけど、
親しいパートナー同士でそういう、
例えばアカウント情報だったりスマホの情報だったりを共有している人って結構いるんだよね。
いますね、いますね。
一方でそういうことは絶対、いくら親しい人でも自分のパーソナルなものは見せたくないっていう人ももちろんいるんだけど、
逆にその親しい人には全てを見てほしいっていう人も当然いるわけで、
それは別に人それぞれだから構わないんだけどさ、
仮にそういう情報を本来本人しか見れないはずのものを、
例えばスマホの情報だったり、例えばロックの情報とか、
いろんなパスワード情報だったり、そういうものを共有するほど親しい人とかだと、
多分こういうのって防ぎにくいよね。
もしそれを親しい相手がやろうと思っちゃうような場面があったらさ、
それを防ぐっていうのは難しいし、
そういうところで多分この問題の本質がというか、
ストーカーウェアに限らないんだけど、
そういう行為自体の問題を防ぐことの難しさとかがありそうだなっていうかね。
そうですね。あとは見てもらいたいっていうふうなものも、
一時の感情だけでっていうふうなものもあるし、
あとはさっきね、ちょっと減ってきてるって話あったじゃないですか。
なんかここ4年で減ってる。
そうそう。さっきちょっと一つ言い忘れたんですけど、
家で過ごす期間が増えてるからインストールする必要が薄くなってるかもしれないっていうふうなことと、
もう一つ挙げられていたのが、
ストーカーウェアを入れなくてもある程度監視できるようなものがあるからっていうのもありましたね。
例えば?
例えば、iCloudのパスワードが分かれば、
Find my iPhoneでどこにいるか分かりますよね。
なるほど。そういう情報を仮に知っていたとしたらってことか。
そうそう。Googleでもそういうことできるんで。
まあまあそれはありえるし。
ありえるし、例えばほら、Find my iPhoneもそうだけどさ、
Googleのサービスとか他のサービスでも、
あえて相手と位置情報を共有するような人たちもいるじゃない。
いますね。
例えば家族だったり、そういう親しいパートナーとかだと、
何かあった場合に相手がどこにいるかって知れた方が安全面でもいいっていう可能性があるから、
30:01
常に位置情報を共有するかないしは、
相手が必要って判断したら許可するような感じになってたりとかすると。
確かにそういうサービスを普段から使っていれば、
何もスマホに入れなくてもっていうのもあるのかもしれないな。
確かに確かに。
なんかちょっと我転がいきました。
ケルベロスとかは結構以前から正式な電子テック記録の罪という形で
摘発されている事例というのを聞いていて、
なんであえてまた条例であるとかで規制をまた更に強めているのかっていうのは
ちょっと不思議だったんですけど、
ある種合法というか一般的な手段でそれに近いようなことができる状況にあるということなので、
そういったところも行為ということで規制してるっていう形に動いたんだろうな。
標準の機能でできるようになっちゃってるっていうのがありますね。
そうだね。だってそれだとなかなか罪に問いにくい場面が出てきちゃうもんね。
ですよね。なるほどなるほど。
しっかり考えられてるなとこれ見てて思いましたね。
だからすごい根深い問題なんでね。
あとは自分の周りの人とかこういうのって相談できる人がいなくてっていうのもあるかもしれないんで、
こういうのは知っておいた方がいいのかななんて。
僕も結構こういうことで相談されたことも過去に何回かあるんで、
ストーカー絡みのやつで。
なるほどね。
あと今回の個人向けのストーカーウェアの話だけどさ、
世界的に問題になってサーベランスとかね、
いわゆるスパイウェアというか国家が個人を狙うスパイウェアとかさ、
そういうのも問題に結構上がるじゃない。
その辺もそうだけど、
テクノロジーをよく使うこともできるけど、
同じテクノロジーを悪く使うこともできちゃうっていう典型的な例だなというか。
そうですね。便利になればなるほどって感じですからね。
このお手はストーカーウェアだって親しい人同士でうまく使えば便利に使える可能性が高いじゃない。
使い道によっては目的によっては。
そう思いますよ。
それを悪用しようと思えばこんなにも悪用ができるっていうさ。
その二面性を持っているところが難しいなというか。
そうですね。
そうなんですよね。やろうと思えば悪く使うことなんていくらでもありますからね。
別に対象の監視したいというか、ストーキングしたい相手のデバイスの中にインストールしなくったって、
その人のiクラウドやGoogleのパスワードが分からなくったって、
物理的にあっているときに自分のスマホでGPSの機能をオンにしてその人のカバーにポンと入れちゃえば、
いいえ分かりますからね。気づかなかったら。
そうそうそういうね。エアタグ使うとかね。
そういうのね。
時々話題になりましたもんね最近。
いろいろありますからね。
だから気をつけないといけないことが便利なものがいっぱい増えたけども、
気をつけないといけないことも増えてきてるなっていう印象を思いましたね。
そうですね。
なのでこれちょっと興味持ったらいろんなそういう相談窓口にどんなものがあるのかとかっていうのを調べてみてもいいんじゃないかなというふうに思います。
33:06
はい。
はい。ということで僕は以上でございます。
ということで次はそうですね。じゃあかんごさんにしましょうかね。
はい。今日はですね、前回の続きではないんですけども、プルーフポイントからですね、
要は前回は確かそのBumblebeeのマルウェアの紹介をしたんですけども、
その中でテクニックとしてISO形式のいわゆるコンテナファイルって呼ばれている、
そういったファイルを使ったマーク用の仕方があるみたいな紹介をしたんですが、
なぜそれをやっているかというとやはりマクロ社団の流れが来ているからみたいな、
そんな傾向もあるようなないようなみたいな、その話もしたところがあるんですけども、
まさにドンピシャでプルーフポイントが7月の28日にポストマクロの世界に対して、
攻撃者たちはどのように順応というのが適応してきているのかみたいな、
そういったタイトルで、ここ直近の状況という傾向の変化をまとめた、
結構興味深い記事を出されていてですね、それをちょっと紹介したいなと。
いいですね。お願いします。
今まさに話した通り、やはりマクロをブロックするというマイクロソフト側の発表を受けて、
おそらくそれに関係する動きというのも、
はっきりと分かるレベルで見て取れるような形で数字が変わってきているというところで、
プルーフポイントが観測しているデータによると、
2021年の10月から2022年6月、大体8ヶ月、9ヶ月ぐらいかな、
その間においてVBA、あるいはExcel 4.0のマクロを使った、
そういったマルウェアに関わる動きというのが、
66%減少しているというところを見て取れたというところで、
結構数字で見てみると大きい減り方しているなと。
大きいですね。
ただ、そのバラマキそのものを当然やめたわけではなくて、
工芸者側としては、先ほどお話ししたバンブルマルウェアが使っているようなコンテナファイルですね、
ISOだったり、あとはRARファイルであったりとか、
そういったコンテナファイルであるとか、
あとはエモテッドでも一時話題になった記憶があるんですけど、
ゴールデンウィーク前とかにショートカットファイルを使った。
インクファイルですね。
そうですね。インクファイルを使った手口であるとか、
あとまだ数こそ少ないんですけど、
HTML形式のファイルを使ったやり方も見られているというところで、
移行と言い切っていいのかわからないですけども、
やはりそういった何らかの適応の変化というのが出てきているなというところでして、
36:03
コンテナファイル、あるいはショートカットファイル、
インクファイルですね。
それについては、先ほど話した去年の10月から6月までの期間においては、
175パーって書いてあるのかな?
175パー近く増加している傾向と。
やっぱりその期間中において、
プロポイントは、例えばISO形式のファイルなんかは、
15個のグループがその手口として使っていたよって話書いてるんですけど、
ずっと前からそれをやっていたわけではなくて、
この期間中からその手口を使い出したというものだったそうで、
ショートカットファイルなんかも同じく、
2021年10月以降は増え方がかなり大きくてですね、
1675パーセントなんで、10倍ぐらいに増えている。
元の数がどれぐらいだった?
元々はめちゃくちゃ少ないんで、本当に10未満の。
たぶんこのグラフを見ると5とか、たぶんその前後のものが、
6月時点なんかも70とか結構な数になっているんで、
パーセンテートで表現したらそれぐらい結構はっきり増えてるんだろうなっていうところはあってですね、
謙虚な変化が見られているなというところがあり、
プルポイント曰く、最近の攻撃の手口における歴史の中では、
最大の変化の一つであるということははっきり言えるみたいなことを結構バシッと書かれていてですね、
前々からやっぱりマクロのブロックっていうのがどういった影響があるかっていうのは、
興味というか変化を注視しておかないといけないねみたいな話は、
鶴井さんやねぎしさんとも話させていただいたところがあったと思うんですけど、
こういう感じで結構変化っていうのが実際にすでに起き始めているんだなというところがあり、
やっぱり私たちとしては、こういった新しい手口に対して既存の取っている対策であるとか、
そういったものがちゃんと有効に機能しているかっていう検証っていうのは、
ちゃんとやっぱり追随してやっていかないといけないんだろうなっていうのは見て、
やはり改めて感じたところでした。
マイクロソフトがさ、今回その方針を転換したというか、
マクロを悪用するっていうのは、過去ずっと使われていた定番の手口だったわけじゃないですかね。
だけど、それが分かっていつつ、散々いろいろなところから言われていつつ、
やっぱりユーザーの利便性だったり、いろんな副作用的な影響を考えて、
これまでは無効にする、ブロックにするっていうのはユーザー側に任せて委ねていたわけで、
今回それを一歩踏み込んで、デフォルトに無効にしようって、
一時撤回したりとかバタバタしたけども、
結局は元に戻して変えると。
39:00
最終的には、これはもう規定路線で変えますよっていうことで、そこはブレなかったわけで、
その決断がやっぱりそれほど大きかったっていうか、
影響範囲が多分大きいということの現れの一つだろうね、これはね。
それだけ悪用もされていたし、それを変えることによる影響がこれだけ大きいというのは、
やる意味はあったんだろうし。
だからといって、さっきのカンゴさんの話じゃないけど、攻撃が減ってるわけじゃなくて、別の方法が増えてるだけだっていうのはね、
これはやっぱりちゃんと知っておいて、その新しい攻撃者の変化に、
ちゃんと僕たちがついていけるかどうかっていうことだよね。
今までのエモテットを見てきて対策をしたところは、
これでまた見直さないといけない部分も出てくるでしょうし、
あとはなんていうのかな、その対策をしていく中で、
うまく言えなくなってしまいましたけれども、
なんて言ったらいいのかな、例えばさっき言ったマイクロソフトが、
方向転換して戻してやっぱり転換するわになったわけじゃないですか。
でもあれって結局デフォルトで止めるってやつなだけですよね。
多分それを開けちゃうっていうふうなところも出てくると思うんですよ。
当然明示的に許可するという人もいるのでね。
組織の中ではあるかもしれないですね。
このタイミングで考えてほしいなっていうふうに僕は思うのは、
開けないといけない組織の中のグループとそうじゃないグループを、
ちゃんとネットワークセグメントも分けるっていうところまで
行ってくれればいいのになって思ってますね。
フラットなまま開けちゃうと結局横に渡られちゃうから、
結局同じ結果になってしまうかもなっていうのが
ちょっと危惧しているポイントとしてはありますね。
まあまあ必要性をちゃんと分かった上で、理解した上で、
リスクも理解した上で、本当に必要なとこだけに限ってやるとか、
そういうことをちゃんとやらないとねってことね。
そこで最悪開いてしまっても隣とかのネットワークには行かないように
区画を作り直すというか考え直すっていう、
こちら側の転換期みたいなものにもしてもらえればいいのになー
なんて思ってますね。
それはこのマクロにかけだすネットワークのセグメンテーションとか、
何かあった場合の被害を最小化するためっていうのが
基本的な戦略の一つだからね。
どんな場合でも割と有効だよね、それはね。
意外とやってないとこ多いんじゃないかなっていう風に
僕も思ってるんで、いい機会にしてもらえるといいんじゃないかなって思いますね。
そうだ、一個だけちょっと言わせちゃったんですけど、いいですか。
さっき攻撃者の手口が変化してるっていうところで
コンテナファイル云々って話したんですけども、
Bumblebeeの時も言ったんですけど、やっぱり
42:02
Mark of the Webっていう考え方に対するバイパス、回避を試みる、
そういった動きっていうのがやはり出てきているっていうところがあってですね、
あんまり通常のパソコンの操作の中で
どこの場所からファイルを取得したかっていう記録が残ってるっていうのを
意識すること少ないと思うんですけど、
WindowsのファイルシステムでNTFSっていう仕組みが今標準で使われてますけども、
その仕組みにおいてはゾーンアイデンファーっていう形で
だいたいデータストリームにどこから取ってきましたよっていう情報が
例えば4つのゾーンIDで規定されていたり、あるいはブラウザーだったりすると
具体的にどこのURLから落としてきたかみたいな情報が書き込まれている形になっていて、
そういった情報から他のソフトウェアにおいて実行を抑止したりとか、
オフィスだったら例えばホゲブで開いたりとか、そういった仕組みにつながるわけなんですけど、
ちょっと技術的に難しいんですけども、こういう情報が落ちる隙がないかっていうのは
ちゃんと見たほうがいいなと思っていて、
例えば身近な例で言っても、今コンテナファイル、攻撃者が使っている例で言いましたけど、
身近な例なんかでは圧縮ファイルを解凍するソフトウェアでも
この辺の情報が落ちてしまうことっていうのが結構言われているところで、
標準の解凍機能であれば落ちることはないんですけども、
サードパーティー製のものであったりすると落ちてしまうケースっていうのが多いにしてあって、
セブンジップなんかもこの辺の情報が落ちてしまうっていうのは昔から言われていて、
ようやく、
先月対応したやつね。
そうそう、6月になって、
なんかニュースになってたよね、それね。
オプションでついたんで、
でもデフォルト無効なんだよ。
言いたかったのが、ぜひオプション、これ規定無効になっちゃってるんで、
有効にできないかっていう検討はぜひして、組織においては特にしてほしいなと思ってて。
なんでデフォルトでオプションを有効にしたかったんだろうな。
なんかやっぱり性能というか、その辺に影響があるらしくて、
ただ一応開発者もその認識はあるので、
例えばオフィス文書だけにそれを適用させるっていうオプションもあるんですよ、
for office みたいな。
全てにおいてはいっていうものではなくて、
明らかに回答に時間かかるようであればオフィスだけに適用させるような、
別の第三の選択肢っていうのもちゃんとオプションとして用意されてるので、
その辺も含めて、
もし使ってらっしゃらないんであれば評価していただいて有効にできないかっていう検討を
ぜひやっていただきたいなというのをちょっと言うのを忘れてたので
言わせていただきました。
そういうの知らないとできないしね。
そうなんですよ。
技術的なその解釈が存在するっていうことと、
45:00
いやでもそれを防ぐ手段もあるよっていうこと、
両方ともやっぱり知らないといけないもんね。
はい、おっしゃる通りです。
今変更が加えられた7zipについてのお話だったんですけど、
そもそも自分たちが使ってる会社とか組織の中で
推奨してこれをみんなに使わせてるって言ってるやつが
そもそもこの機能がないっていうものかもしれないですもんね。
そうですね。
たとしたらこの機会にそれを見直すとかね。
そうそうそうそう。
それがそもそも落ちるやつなのかどうなのかっていうことも知らずに
なんか便利だからっていうふうに推奨して社内で使わせて
社内とか組織内で使わせてる可能性があるんで
その全体的な見直しっていうのも考えたほうがいいですよね。
設定内容だけじゃなくてね。
そうだね。
この機会に。
この機会に。
お願いします。
デフォルトの方でいいんじゃないのっていう気はしますけどね。
まあね。
でも大体においてデフォルトのものが使いにくいから他のものを入れようって
そうそうそうそう。
なるんで。
そこはね。
そこはちょうどいたしかたない面があるかなっていうのはあるけどね。
そうなんだね。
はい。
わかりました。
ありがとうございます。
はい。
はい。
じゃあ今日の最後のお話はねぎすさんです。
お願いします。
お願いします。
はい。
じゃあ最後。
今日のネタを言わる前にちょっと先週のネタのフォローを1個だけちょっとだけしたいんだけど。
おー。
はいはい。
先週レジデンシャルプロクシーの話をして
はい。
911っていうちょっと悪名高いサービスがあるんですよっていう
カナダのね研究者の人が調べた結果っていうのを紹介したんだけど
はい。
1週間も経たないうちにサービスが終了しました。
おっと。
こんなことあるんだね。
これはねぎすさんの影響じゃないですか。
すごいですね影響力が。
一つ考えられる理由としては僕が紹介したシャーブルク大学の研究者の調査結果を
先週クレブソンセキュリティが実は記事で取り上げてて
はいはい。
彼はもうちょっと突っ込んで自分なりの調査もそれに付加して
こんなサービスがあるんだよっていうのを紹介したんだよね。
うんうん。
なんでおそらくそれがきっかけだと思うんだけど
今週というか昨日か一昨日かな本当に最近なんだけど
なんかねウェブサイトにその911のウェブサイトに
なんかハッカーに攻撃されてデータがダメになったからどうのこうのみたいな
しょうもない理由がいっぱい書いてあるんだけど
ちょっとサービス継続できないんでごめんとか言って
突然サービス全終了みたいな。
えーなんか最後まで丸でしたねみたいな感じですよねそんなんね。
まあただそのなんだろうそれを知らずにさ
悪用されてた人たちが全世界にねこの間紹介したけどたくさんいるっていうことは
その人たちはたぶんまだ気づいてないだろうから
そうですね。
まあだとするとなんかねそのまた名前変わって違うやつサービスが始まって
みたいなことになりかねないんで
まあちょっとね引き続きこういうやつがあるよっていう
48:03
知らない間にバンドルされて入っちゃうこともあるよっていうかさ
そういう危険性はなんか言っていかなきゃダメなんだなというふうに
ちょっとね思いましたけども
まああの先週取り上げたサービスは終了しましたと
ちょっとそういうお話でした。
ちょっとそれは僕もびっくりしました。
まさか紹介して一週間以内に終わるとは思ってなかった。
いやいやすごい。
まあまあでもねちょっとあの劇的なというか
そういう動きがありましたというのをちょっと紹介しておきたいと思います。
ありがとうございます。
でですね、改めちょっと今週のネタなんですけども
今週はですねメッセージアプリの
Just Talkっていうやつをちょっと紹介したいんだけど
これ多分あんまり使ってる人はいないと思うんだけど
これ中国の会社が開発しているメッセージアプリで
まあメッセージアプリって言ったらたとえば
WhatsAppとかTelegramとか日本だったらLINEとかね
そうですね。
有名なやついろいろあるけども
いわゆるメッセージが送れて
無料の音声ツアーもできて
ビデオツアーなんかもできるみたいな
よくあるそういうアプリなんだけど
でこれ僕ちょっと全然名前知らなかったんだけども
結構ユーザーはいるみたいで
全世界で2000万人ぐらいのユーザーがなんか
おお、まあまあいっぱいいるんですね。
まあまあのアプリなんだよね。
でまあそういうアプリがあって
ちゃんとメッセージはエンドツーエンドで暗号化されますよとか
使いやすいですよとかまあいろいろ
いわゆるメッセージアプリっていう感じの
作りなんだけども
先週かな
海外のメディアのテッククランチっていうところが
ちょっと記事を出していて
ちょっとねその内容が衝撃的だったんで
ちょっと紹介したいんだけども
何かというと
このアプリのおそらくデバッグ用に収集された
ログのデータというのが
インターネット上でそのデータベースが
公開されてましたと
意図せずに?
意図せずにおそらくね
おそらく設定ミスか何かで
データベースが公開されていて
それをたまたまセキュリティ研究者が
見つけましたと
ここまでだったらさ
よくある話というか
そういうミスで意図せずに
データベースを公開しちゃいました
っていうのはまあまあよくある話なんだけど
そうですね
ちょっとその中身が衝撃的というか
中身?
入ってたデータ
セキュリティ研究者の人は一応
資料を調べているんだけど
調べて会社に連絡しようと思ったけど
うまくいかないから
それでテッククランチの記者に
助けを求めて
メディアから問い合わせをしたみたいな
そういう話なんだけど
データの中に
毎日送信されている
数百万件のメッセージの中身
通話の内容
送信日時とか
送信した人
受信した人の電話番号
あと大まかな
51:00
位置情報とかっていう
全部載せじゃないですか
ちょっとにわかには信じられないような
非常にプライバシーの高い
データが
大量に
数百ギガバイトというデータ量として
入っていて
それが公開されていたと
いうことで
これはさすがにまずいでしょということで
で
IPアドレスさえ分かれば
誰でもアクセスできるような状態だったらしいのね
研究者の人がたまたま
たまたまというかこういうのをスキャンして
調べている研究者っているんで
おそらくこの人も定常的に
スキャンをしていて見つけたんだと思うんだけど
少なくとも
調べたところ半年以上前から
この状態だったんではないかと
いうことなんだよね
ゾッとするよね
テッククランチの記者を通じて
開発会社に
全くその反応がないということで
このまま放置するのは
ユーザーにとって危険だろうということで
記事を書いて公開したら
その後すぐに
データベースが消えた
シャットダウンされたということで
この記事を見ておそらく消したんでしょうね
ということなんだけども
データが
勝手にというか
意図せずに公開されちゃう
というところだけ見れば
よくある話なんだけど
問題はそのデータの中身だよね
これが
おそらくはデバッグ用の
ログデータだろうという話なんだけど
ちょっと
攻撃的に解釈すれば
デバッグ用に最初作ってて
それをサービス
公開時に設定を外すのを
忘れちゃってデバッグのままモードで
運用したみたいなよくある話
そういうのもあるじゃない
アプリケーションとかでもよくあるじゃない
そういうのさ
あったのかもしれないけど
あるいは
悪意があったと
解釈するのであれば
そういうデータをユーザーに無断に
収集してたというとも取れるし
まあそうですよね
ちょっとその意図はわからないんだけど
まあでも結果的に
そうなってましたと
それに加えてさらに良くない
僕はさらに良くないなと思っているのは
アプリの説明では
エンドツーエンドに暗号化してるって書いてあるんだよね
そこですよね
でそれが真っ赤な嘘だった
ってことがバレたわけ
それは
かんよねこれはダメだろっていう感じで
そこはダメですね
いわゆるエンドツーエンドのエンクリプション
っていうやつは
端末上で
鍵をそれぞれ生成して
送信者受信者で鍵を
交換するから
当事者以外にはメッセージが絶対読まれない
っていうものをエンドツーエンドの暗号化って
エンドツーエンドは言うので
サービス提供者ですら読めないはずですもんね
でこのジャストオークもね
我々は読めませんってちゃんと書いてあるの
説明に
思いっきり嘘じゃんっていう
そうですよね
これでわかっちゃったわけで
54:00
それはダメでしょっていう
うん
だからねそこも
なんつーの
いやそれもだからサービス開始前に
テスト用にそういうことやってましたって
そういう言い訳はもしかしたらするかもしれないけど
いやでも
そのサービス
だとしてもサービス開始してから
こういう状態ってありえないよねっていう
ちょっとね
そういう状態で公開されてた
データもセンシティブすぎるし
なおかつ嘘と言ってたっていうのも
ダメだし
何もかもダメなんだけども
何もかもダメなメッセージやったり
何もかもダメなのに
2000万人もユーザーがいるっていうのも
びっくりで
ちょっと皆さんにも知ってもらえて
あんまり日本ではメジャーな
ソフトじゃないし
使ってる人も多分少ないと思うんだけど
ひょっとしたらいるかもしれないんでね
もし使ったことあるっていう人は
注意してほしいというか
まあそういう感じ
あとねもう一個ちょっと面白いって言っちゃうあれだけど
興味深かったのが
この公開されてたデータを
調べた研究者によると
実はこれを見つけた人は
どうも自分が最初ではなかったらしい
ということで
データベースの中にランサムノートが
入ってたんだって
ランサムノートが入ってたんですか
よくあるさ
公開されてるデータベースを
勝手に消しちゃって
バックアップ取っておいてさ
返してほしければ金をよこせて脅迫するっていう
前からあるじゃない昔からあるよね
ありますあります
どうもそういう脅迫をされてたみたいで
全部のデータが
全部のデータ消されたわけじゃないけども
もしかしたら一部データが消されたか
あるいは盗まれたかで
脅迫をどうもされていたらしいと
ほうほうほう
でまあなんか書かれてた
暗号士さんのアドレスには送金した形跡はないので
まあお金はたぶん払ってないんだろうけども
まあでもランサムノートが
あるっていうことはおそらく
それを見つけた人が先にいて
脅迫してたんでしょうねと
だとすると他にも見つけて
こっそりデータを見てた人がいてもおかしくはないし
そりゃそうですよね
まあ半年以上前から公開されてたらしいって言われたらさ
見つけたのが一人二人ってことは
ちょっと考えにくいんで
まあそれを考えるとねちょっとね
どこまでその情報が
漏れてるんだろうっていうのと
あとさっきも言ったけど電話番号とかすごく
センシティブなデータも全部含まれてるんで
調べてみたらしいんだけども
電話番号で
名寄せできるから
だからメッセージのやり取りが
全部復元できちゃうんだよね
やろうと思ったら
ある特定のアイテムどういう回答をしたかとか
後で復元できちゃう可能性があるんで
これはちょっとね
非常にやばい
やばいよなっていうか
まあそういう
記事が出ていましたということで
いやこんなことあるんだなというのと
あとまあその
僕はそのメッセージアプリっていう方で
ちょっと興味を持ったんで
その使うメッセージアプリもさ
エンドツーエンドって
57:00
売ってるからっていうだけでは
信用できないんだなというか
前から結構
この辺の話ってちょびちょび
してたかもしれないんだけど
メッセージアプリ
使うアプリとかの信頼性をね
どう評価するかっていうのは結構
難しい話なんだけど
例えばその
専門家がちゃんと評価してるとかさ
まあいろいろあるじゃない
あるけど例えばソースコードがね
公開されていて
検証可能になってるかどうか
そうそう
あるいはその第三者の専門家がきちんと
監査をしていてお墨付けを得られているとかさ
まあいろいろあるんだけど
やっぱりこうちゃんとそういった
実績があるものじゃないと
ちょっとねマイナーなものは危ないな
というのが
これを見て思ったのと
あとその
まあ今回の
意図してやったのかどうなのかミスなのか
なんなのかわかんないけど
こういうね
暗号化の仕組みって割とちゃんと
実装するのが難しいし特にエンドツーエンドの暗号化って
結構難しいんで
だからこそね
シグナルみたいな定評ある実績のあるものが
いろんなところで使われてるっていうのは
FacebookとかWhatsAppとか
みんなシグナル使ってるじゃない
ああいうのもちゃんとね
きちんと実装するのが難しいからで
こういうのも
ちょっと見極めるのって
でも一般のユーザー化したらわかりにくいよな
って思ってさ
まあ信じるしかないっていうのが
実情だと思いますね
単純に使いやすそうでさ見た目
何千万のユーザーがいて
ってなったらまあ使っちゃってもおかしくないじゃない
おかしくないおかしくない
いやだからそういうのって
専門家から見たらちょっとこれ怪しいんじゃないとか
えーなんかちょっと
これは大丈夫なのっていう思うところが
いくつかあるかもしれないんだけども
でもねそうでない
一般の利用者から視点から見ると
結構難しいなあと思って
あのメッセージアプリに限らないけどさ
こういうそのアプリで使う
なんだろう
非常に自分の個人的な情報をね
扱うようなアプリとかっていうのは
ちょっと慎重に選ばないとダメだなあって
改めてちょっとね今回のニュース見て
思ったなあっていう
まあ皆さんにもそういうところ注意してほしいなと思って
ちょっと紹介してみました
なんかこういうメッセージング系のアプリって
まあその国内外問わず
いろんなものがあるじゃないですか
僕らも知らんものも含めて
いやすごいいっぱいあるよね
いっぱいあるじゃないですか
特定の地域ではめっちゃメジャーとかね
こういうののこう
格付けみたいなのあったらいいんですけどね
ないんですかね
第三者機関がチェックしてみたいなやつ
あるのよあるのあるの
一応あるんだけど例えば
EFFとかね
プライバシーに結構うるさいところが評価したような
とかってあるのよ
そういうの誰も見ないじゃん
見ないんだよ
僕はねそういうのを個人的に興味を持って
調べているから
なんかいろんなのがあるのは知ってるんだけど
1:00:00
例えばね前見たやつは
EFFとかアムネスティとか
まあそういうところだよ
プライバシーとか人権とかでうるさい団体ってのは
だいたいそういうの調べてるんだよ
でさっき僕が言ったような
ちゃんとコードが公開されてるなの
第三者が感謝してるかとか
ちゃんとエンドツーエンドで本当にやってるかとか
っていろんな評価項目があって
評価したとかそういうのあるのよ
あるんだけど
そういうのをだいたい的に取り上げてる
とかってのはあんまり
聞いたことないというか
一般の人が見るのってのはさ
今選ぶ
トップ5のメッセージアプリとか
そういう記事じゃん
よく使われるとかね
今選ぶならこれみたいな
そういうところってのはさ
ないじゃない
機能で便利そうな機能の
便利機能の評価とかっていう
特にフォーカスしがちですもんね
楽しいゲーム機能があるかとか
スタンプがどうとかね
そうそうそういうところは多分評価するだろうけど
今
紹介したような話とかさ
そういうのはあんまりやんないだろうから
だからそういうのがないわけじゃない
今言ったような格付け的な
ちゃんとしたものでないかもしれないけど
第三者が
第三者がちゃんと評価したっていうのは
ないわけではないが
一般の人がちょっとたどりにくいというか
わかりにくいなというのは
結局そういうのがあったとしても
変わんないんじゃないかなっていうのは
ありますね
出てきづらい情報っていう
ちょっとね
本当はだからそういうのがちゃんともっと表で
わかる一般の人にもわかるようになってないと
いけないのかもしれないけどね
そういうのの一つがさ
AppleだのGoogleだとかも
このアプリはどういう情報を
必要としてるかみたいなのとかさ
プライバシーに関する情報をきちんと
アプリのインストールページに
載せるようにしてるとかっていうのは
その一つの表だけども
どんだけの人がそういう情報を見て
インストールしてるかっていうと
大抵の人は見ないじゃんそういうのさ
そうですね
どっちかっていうとこの分野のカテゴリーで
トップいくつとかさ
人気がどれくらいとかそういう方しか見ないでしょ
確かに
その辺にちょっと問題があるよね
問題というか難しいところがあるよね
確かに
特にメッセージアプリだと
メッセージアプリ自体がどうかっていうより
結局誰とやり取りしたいか
っていうところにかかってくるところが大きくて
そうなんだよね
プライバシー多少犠牲にしつつも
この人とはちょっとやり取りしないといけないな
っていう風に心が揺らぐというか
そういう風に考えてしまう
っていうのは全く普通だな
と思ってて
周りがみんなそれ使ってるからっていうのは
大きな理由の一つだもんね
確かに確かに
それは難しいよね
自分だけが
いいと思ってるソフトを使っても
誰も使ってなかったら意味ないからね
その辺が標準化されて
どのアプリでもどのアプリ
同士でやり取りができるみたいな
世界が来るんであれば
自分に合ったものを選べばいいんでしょうけど
1:03:00
基本的にはメッセージやアプリ
あるいはサービスっていうのは
世界の話になるので
そこでユーザーをロックしたいですからね
サービス側としても当然そういう思いになるでしょうし
今でもあるけどさ
例えばJava的なXMPPとかさ
一時期ちょっと流行って
今でもあるっちゃあるけど
完全にマイナーな存在になっちゃってるけど
オープンなプラットフォーム
例えば今だったらMatrixとかね
クライアントを選ばないというか
専用のサービスではない
オープンなプロトコルで
オープンなインフラっていうのは
あるにはあるんだけど
まあちょっと日陰の存在よね
どうしても
結局はメッセンジャーアプリとか
WhatsAppとか
テレグラムとか
そういうのに囲われちゃうのは
ちょっとどうしようもないよね
そういう問題の一端が
こういうところに出てるなというか
とはいえさすがに今回のケースは
おそ松すぎるというか
確かに
ちょっとこういう事件が起きる前に
見つけ出すべきだったよね
多分
これは専門家の役割だった気もするけど
これおかしくねみたいなのさ
誰かが指摘しなきゃいけなかったんじゃないか
って気もするけどね
一般の人がこういう被害を被る前にね
難しい問題だよな
周りが使ってたら
ね
ちなみに僕は
シグナルでメッセージするやり取りする人
ねぎしさんしかいない
そうなるよね
そうなるんですけどね
誰も使ってないもんだって
そうなんですよ
本当にそう
シグナルとか言ったって普通の人ははって顔するよ
何それ
何それでしょうねきっと
何それだよ普通は
逆にシグナルでやり取りしたいんですけど
って持ちかけられたら
それはそれで結構警戒するけどね
いきなり言われたら
えっなんで
どんな内容をやり取りしたいんですかみたいな
そうなんですよね
いやでもなんか
この件でさっきちょっと言ってた
ランサムノートがあったっていうやつ
あったじゃないですか
なんかこうなかなかにこう
因果というかなんというか
皮肉というかね
これあれですよね
このジャストークの会社の人からしたら
このランサム犯人に
データベース消されてた方が
良かったって思ってるかもしれないですね
あー確かに
逆にそういうランサム犯も
役立つことあるんやなーなんていう
斜め上からの意見なんですけれども
ははは
確かに
そんなこと思ってたのかなーなんて
逆に今となってはお金払ってでも消してもらいたいと思ってたかもしれないですけどね
この人たちは
なかったことにしてしまいます
なかったことにしてしまいたいみたいな
まあ確かにそれはあるかもね
結構インパクトのある話でした
ねちょっとね
1:06:00
あんまり海外の話でもあるし
英語の記事なんで
ちょっとまあ国内では全然取り上げられてないけど
ちょっと僕は久しぶりに
そういう気をつけましたね
そうですねそうですね
ネギさんが好きそうな話やなと思った
そういう感じでした
はいありがとうございます
ということで今日も3つのセキュリティの話をしてきたので
最後はおすすめのあれなんですけれども
はい
今日は食べ物をちょっと紹介しようかなと思いまして
これねファミリーマートで売ってるやつなんですけど
昆布の旨味出し醤油冷ややっこセットっていう
ファミリーマートでそんなの売ってるの?
売ってたんですよ
売ってるんですよ
冷ややっこセットいろんなコンビニで売ってて
いろんなコンビニで買ったことあるんですけど
これはね
めちゃめちゃうまいですね
はい
めちゃめちゃうまいですね
まじで冷ややっこをコンビニで買おうという
そもそも発想がないんだけど
あほんまですか
それはあれか
お酒のつまみ的なやつ
違う違う違う僕はほら
ダイエットとか
肉体
鶴さんがそうだって意味じゃなくて
ファミマとかそういうコンビニで冷ややっこが売られてるってのは
そういうおつまみ的な目的で買っていく人をターゲットにしてるのかな
いや普通にあれじゃないですか
ひと品みたいな感じじゃないですか
ご飯の時に
そうなんだ
たぶん
たぶん
そのね
パックになって入ってるんですけど
ちゃんとその冷ややっこを
落とす
置く
スポンジって言うんですか
ああいう
発泡スチロールみたいな感じの
お皿もちゃんとついてて
ほんで
ついてるのが冷ややっこ
豆腐本体と
あとさっき言った
昆布だしの効いた醤油と
鰹節
と
あと
生姜がついてるんですよ
そのセットで全部できますってやつなんですけど
これもうほんまにこの
昆布のだしの効いた醤油
だけでも売ってくれへんかな
って思うぐらい
だしの醤油がおいしい
だし醤油がおいしいんだ
めちゃめちゃめちゃめちゃうまくて
僕最近これ切らさないようにしてるんですよ
そんなに
だいたいいつも
二つ三つ買ってきて
残り一つになったら
散歩のついでにちょっとファミマ行くか
みたいな
よっぽどだね
めちゃくちゃおいしいですね
ヘルシーですし
腹減った時にちょっと小腹減った時に
食べるのにもいいかな
ってやつでほんまにおいしいですね
めちゃくちゃ気に入ってるんで
ファミマのサイトで見てみると
北海道と沖縄だけは売ってないそうです
あ、そうなんだ
販売地域って
ファミマの商品って販売地域っていうのが
商品の一個一個のページに書かれてあるんですけど
北海道と沖縄がグレーアウトしてるんで
多分流通してないんでしょうね
1:09:00
これ
なんでかはちょっとわからないんですけど
めちゃめちゃうまいんで
ちょっとねこれお二人ももし
ファミマ行くことがあれば
ちょっと探すのも大変かもしれないですけどね
なんで?
見つけにくいとこにありそうじゃないですか
あんまり見たことない
コンビニでひややっこセットみたいなのって
見た印象あります?あんまないでしょ
全然ない
そもそもそれ発想にならないもんな
そもそもそういう目で見てないってことか
全く探さない
ひややっこ買おうなんて
でも意外と普通にあるのか
そうなんだ
そうなんですよ
僕もコンビニでこういうの
買うっていうのはなかったんですけど
たまたま見つけて
ダイエット食的な感じで
豆腐を探してたら
横におったんですよ
横におった?
なにこれと思って
試しに買ってみたらめちゃめちゃうまくて
もうだってこれ食べ始めてから
もう1、2ヶ月ぐらいかな
2ヶ月ぐらい経つのかな
結構なんかしょっちゅう買ってます
ごめんなさい
さっきいろんなコンビニにもあるって
言ってた話されてましたけど
食べ比べを実際されてみて
ファミマのが一番よかったって感じだったんですか
あ、でも全部は食べてないな
あのセブンイレブンとか
セブンイレブンあるのかな
なんかローソンもあるっぽいページが
えー
もしかしたら
冷ややっこブーム来てんのかな
夏ですからね
冷ややっこって別に
ブームとかどうとか
ブームあるんかな
まあでも特にこの時期さっぱりおいしいよね
確かに確かに
喉越しもいいですし
俺も冷ややっこは大好きだけど
コンビニで買おうとか思ってなかった
思いもしなかったな
本当ですか
いやちょっと買ってみて
見た感じおいしそうだし
確かに
えー
ローソンの冷ややっこセットは
細かいものが付いてなかったんじゃないかな
あー全部入り感がないと
確かに
セットになってないと
そこも大事ですね
カツオ節とかね
でも値段はファミマの方が安かった
大して変わらないですけどね
大して変わらないですけどね
ぜひぜひ
試していただければなと
はい
そんな感じでございます
はいということで
今日も
3つのセキュリティの話と
冷ややっこセットの話をしました
ということで
これまででございます
ということでまた来週のお楽しみです
バイバイ
