00:00
梅雨を明けたみたいですよ。
いつの間に?
知り合いから聞いたら、梅雨が明けたらしいですよ。
昨日ぐらいかな。
明けてましたっけか。
そうそうそうそう。
雨の日もあったけど、そんなに梅雨って鬱陶しいなみたいな感じちゃいましたね。
なんか今年全然なかったよね。
とにかくやたら暑いみたいな。
暑い。
それでやっとね、夏本番になっていくのかなっていう。
本番なんだ。これからか。
いやほんまね、なんか36度ですよとかね、天気予報とか週刊天気とか見てもゾッとするというか、感じでね、ありますけれども。
夏ってことで、怖い話。
出た。恒例のやつだ。
そろそろしなあかんのかな。
あれ、去年もやったっけ。
うん、そう。
覚えてないけど。
しかも1回したことのある怖い話をした気がする。
それが怖かったっていうね。
同じ話していけるってすごいよな。
すごいよね。何回でもいけるみたいな。
そうですよね。なんか稲川さんに寄っていけてるかもしれないですね。
確かに。
順次さんにね。
そうなんですよ。
そういう季節ですか。
リスナーの方からもね、なんかちょっと怖い話、そろそろかみたいな。
期待されてんじゃん。
言われたりとか、あとリアルでちょっとリスナーの方とお話しする機会がありまして。
そこでもね、あの怖い話を生で聞きたいみたいな。
どういうこと?
言われたんで。
3回目やと、少なくとも3回目やと思うんですけどね、その人にとってはね。
なんでちょっと今まで話したことない怖い話をしようかなと思ってて。
お楽しみだね、それは。
一応ね、結構前も2017年ぐらいに1回オフラインのイベントでやって、結局配信はしなかったんですけど。
信浦辻の滑らないLTっていうイベントを昔やったんですよ。
あったね。懐かしい。
その時にね、その滑らへん話。
滑らへんっていうのはおもろいっていう意味だけじゃなくて、身になるとか、
インパクトのある話みたいな言葉として定義をして、みんながLTするみたいな感じのやつやったんですよね。
その時にサイコロ振って喋る人を選んでるので、用意してたネタが全部消化せえへん人もおるわけですよ。
そこで僕が喋りたかったけど、他の話を喋っちゃったんで、そこで出してなかった話っていうのをちょっと許しようかなと思ってて。
僕診断、これ聞いてる方はもしかしたら僕がもともとペンテストとか診断やってたって知らん人ももしかしたらおるかもしれないんですけど。
そういう印象もね、最近知ったとかここ10年ぐらいの間に知った人はそういうイメージないともね、もしかしたらいるかもしれないんですけど。
03:05
もともとはそういう振入テスト、ペネトレーションテストがしたくて、都境に上京してきたんですよね。
12年ぐらいかな、最近もそういう診断の品質とかレポーティングみたいなところはうっすら関わってたりするんですけど、現役ではもうないと。
現役バリバリの頃には、ほんとしょっちゅういろんなところにオンサイトもリモートもっていうのもやっていて。
診断をして、ポートスキャンして脆弱性スキャンとかしつつ、これいけそうな脆弱性あるんちゃうの?みたいな感じになると、もちろん攻撃コード、エクスプロイトコードも打ち込むみたいなこともやってたんですよね。
で、意気揚々とこれいけそうやんけみたいなったら、ちょっと不謹慎な表現かもしれないですけど、やってる技術やってる人間からするといけそうな感じだとちょっとワクワク感もあるじゃないですか。
それで、ワクワク感というかしっかり問題点を見つけてお客さんに報告したいというのが一番モチベーションの原始なわけなんですけど。
その時もやったんですよ。
そのソフトがどこのやつかというのはいちいち言いませんけど、あるAV系ですよね、アンチウイルス系のやつが入ってた。
で、エクスプロイトコードを打って、いわゆるリバースシェルというか、コネクトバックさせて、そのコンピュータの管理者権限、WindowsだったんでOSが。
Windowsのシステム権限ですよね。
っていうふうなものを取った。
で、取ったら取った証跡としてその画面、スクリーンキャプチャーを取ったりとか、あとは権限高くて、本来だったらここに書けない、低い権限だと書けないCドライブ直下とかに侵入できましたっていうテキストを置くみたいなことをしてたんですよ。
で、終わって、今日はやった、いけたな、報告会がっつり報告してきちんと指摘事項して直してもらおうなんていうふうに思ってたんですけど、
基本的に診断って問題の切り分けをするために終わった後に再起動していただくわけですよ。
再起動をして、その再起動が終わって、じゃあOKですっていう感じで体感していくっていう風な流れが普通、僕らがやってた診断はそれが普通だったんですけれども、
再起動をして、Windowsの起動画面、Windowsサーバーの起動画面が出てきて、デスクトップが出てきた瞬間にブルーバックになるっていうループを繰り返し始めた。
多分アンチウイルス系のソフトが普段触りに行くようなファイルをもしかすると壊してしまったのかもしれないですよね。
それで無限にループしてブルーバック、Windows起動ブルーバックみたいなことになって、
一応それが責任問題にはもちろんならないんですけどね。こんなこともありますっていうようなことを言って、バックアップちゃんととってくださいよみたいなことを言ってはいるものの、
やっぱりそれだと何も起きないよりかはゾッとするじゃないですか。だから途中からどっちかというと僕の顔の方がブルーバックよりも青かったみたいな感じの。
06:11
あんま壊ないこれ。
結局どうなったの最後?
特に何も起きなかったですよ。
そうじゃなくて結局起動しなくてバックアップから修復したのか?
そうそうバックアップ修復して問題ないってなったってことですね。
原因はテストで何かやっちゃったわけ?
原因は究明させてもらえなかったです。
とにかく戻すのが優先っていう。調べようかって話になったんですけど、いやいやいいです。戻さないとダメなんでみたいな感じで。
それはそこの握りでそういうふうにしましょうっていう取り決めになりましたね。
今と環境はだいぶ違うからあれだけど、そういう可能性はあるよね。
攻撃に成功したけど不安定になってて実は再起動したら上手く立ち上がらなくなるみたいなことは俺も経験あるな。
確率的にはめちゃめちゃ低いですね。12年やっててそんなブルーバックでどうしようもなくなったみたいなのって2回ぐらいしかないんじゃないか?
なかなかないよね。
怖かったです。
本人には怖い話だな。
でも担当者としてもそうじゃないですか?
担当者も怖いけど聞いてる俺らはあんまり怖くなかったな。
マジですか?前のやつの方が怖かった?
前のやつの方が怖かったな。
前のやつは2種類ありますからね。
そうか。じゃあこのネタはもう一生喋りません。
いやいやまたちょっと忘れた頃に。
わかりました。了解でございます。
気を取り直して。
この話がそんなにおもろくないというかあんまり怖くなかったってことが一番怖かったわ。
怖かった。
ということでお便りに行こうかなと思うんですけれども。
ちょっと代わりだねお便りから紹介していこうと思うんですが。
EPSSについてご丁寧にご指摘ご連絡いただきましてありがとうございました。
レポートその他関連リリース等につきポッドキャストでのご助言の通り一昨日こっそり修正いたしましたというお便りをですね。
fortinetjapanというアカウントからいただきまして。
こっそりちゃうやんけ。
修正されてました。
届くもんですね。
ミスのまま公開されてるのはちょっとねやっぱりあんまりかっこよくないもんね。
よかったよかった。
一応これちゃんと取り上げていいですかって言ったらもうぜひぜひ取り上げてくださいってことだったんでね。
そういうフランクなっていうかなんていうかな。
09:01
そうそうそう。
そういうベンダーさんいいよね。
フットワーク軽いなっていう。
そうだね候補の方がそういう感じなのかな。いいね。
このポッドキャストを公式アカウントで紹介してくれてました。
いやいやありがたいなと。
ありがたいね。
そんなお便りも来つつ。
これステッカー印刷コード送ったほうがええんかな。
送ったらそしたら貼ってくれてさ。
貼ってくれるかもしんないですよね。
どっかに出るかもしんないよ。
そうですよね。
じゃあ送っておきましょう。
送りましょう送りましょう。
次のお便りなんですけれども。
脆弱性に目を向けがちだけど人位ミスも同じぐらい目を向けてほしいですよね。
コスト削減で一人で作業するとその人がミスしたら終わりなわけで一人でやってもうまく回避する仕組み。
例えばファイアウォールの設定変更後のスキャンもいい例だと思いますが、
そういったところの仕組み作りに力を入れてほしいなと思いましたというお便りが来てますね。
これはあれか、設定変更して。
看護さんのネタですね。
そうですね。
人のミスってずっとなくならないからね。
そうそう絶対なくならないですからね。
これを一人でやってたからっていうふうな原因でお詫び文みたいなものというか再発防止策出すってなると大体二人にするってなっていくっていう。
二人でミスが起きたら次三人にするのかみたいな問題がここにでもあって。
やっぱりシステムである程度解決するっていうのも考えとかないとね。
そうですね。
これはよくある話だけど定期的にこういうのは肝に銘じたいなって思う話ですね。
確かに。
次のお便りなんですけれども、226回セキュリティのあれ聞きましたら初コラボおめでとうございます。
これハードニングとのコラボのやつだと思うんですけど。
公開収録のやつだね。
そうそう。
それでこれも看護さんが扱ったネタだったと思うんですけど、伊勢島の写真が残ってたってあったでしょ。
これに関してなんですけど、Windows標準機能でスクリーンショットを撮ると勝手にピクチャーのフォルダーの下にスクリーンショットフォルダーがあって、
画像に保存されるんで、そのフォルダーのこと知らなかったら把握できてなくて漏れちゃうかもなっていうご指摘というか考察というか。
見てみてもいいかもしれないですね。
カメラとかじゃなくてスクショで撮ったりとかする場合ももしかしてあるかもしれないんでね。
それは持ってかれたなんていう、せっかく他の消してたのにここにあったんかいみたいな。
確かにこういうの落とし穴かな。標準機能を使って知らんかったみたいなやつは。
改めて確認する一つのチェック項目かなと思いました。
これは初めまして的な方からもまたお便りが来てまして、
気になってたセキュリティのあれ聞いてみた。
実務経験なしでセキュリティエンジニア目指して勉強中みたいな人、私が聞いても勉強になりそうという感想を。
12:06
いいですね。初めまして的な感じなんで。
今目指してるわけだね。
そうそう。
素晴らしい。
勉強だけではなくて、ある意味癒やし的な。
どこか。
ヒーリング効果も。
え?
ヒーリング?
あったっけそんな効果?
だってほらこれ聞いてたら寝てしまっていつも最後まで聞かれへん。
それはヒーリングかどうかちょっと微妙だけどな。
おもろないかもしれん。
そうそう。それはちょっと言いづらいですが。
ぜひ勉強。自分の興味がなかったことも出てきたりすると調べてみたりとかそういうのに出会ういいきっかけにもなればいいなと。
資格試験にも有効らしいしね。
そうそうそう。いいことづくめ。
いいことづくめですよ。
次の診断を受けた人からもお便りが来ておりまして、
脆弱性診断でCVE-19990070を指摘されてびっくり。
そんな年代ものを指摘されたことも、2000年くる前からCVEが裁判されていたことも、
ほぼ最古のCVEをこんな令和な時代に指摘されたこともびっくりしたというお便りが。
何の脆弱性やそれ。
これはテストCGIみたいなのがありますみたいなやつです。
デフォルトのコンテンツみたいなのの延長みたいなやつかな。
アパッチのアイコンズとかマニュアルとかあったじゃないですか。
ウェブサーバーやると時々出るやつだ。
逆に言うとアパッチ使ってなくても、
書庭ディレクトリにそのファイル名があったら多分指摘されるようなやつではあるかなと思います。
ツールでスキャンするとその辺勝手に自動でやってくれるとかそういうやつだよね。
こういうのが指摘された。確かにこれはかなりレアケースかもしれないですね。
1999か。
面白いな。
2010年以降のOS入れていっちゃう古い脆弱性のCV出せたら優勝ゲームとか面白そうやな。
確かに。
何とか.CGIとか何とか.iniとか置いて指摘されるっていうの面白い。逆パターンで面白い。
そういうスキャナーがサポートしてる一番古い脆弱性ってどれくらいなんだろうな。
消えていかないんですかね。こういうのってね。
どうなんだろう。でもよほど古くて全然出ないやつは消えていくと思うけどね。
そういう調整しそう。
今言ったCGI系とかは今でも出るから残ってるんだろうな。
何で出たんでしょうね。
面白い。
ご顕著やったのか何やったのかもちょっと気になるところではありますね。
最後は質問が来てます。
そういえば今年はピオカンゴさん家のベランダでは何が育っているのでしょう。
15:05
確かにそういえば謎草プロジェクトあったな。
あったか。今年はね、今のところこれだっていうのは実は育ててなくて。
最近気づいたことがあってですね。
うちのベランダめちゃめちゃ暑くて。
どこのベランダも暑いんちゃう?
どこも暑いんかな。
どこも暑いんかな。
めちゃめちゃ暑くて枯れちゃうんですよ。
暑すぎて?
どうしたらいいんですかね。
どうしたらいいんだろうね。
なんかそれは日陰を作るなりなんなりやっぱりそういう。
日は当たってないんですよ。
当たってないの?当たってなくてもなのか。
ただ室外機というものがあってですね。
エアコンの室外機は暑いもんね。
あいつはめちゃめちゃやばいんですよ。
それはダメだね確かに。
で、去年実は室外機が原因だってわかったんで、
室外機の排気の向きを無理やり外向けっていうか、すぐベランダの外に空気が流れるようにやったんですけど、
そしたらですね、エアコン壊れちゃって。
どういうこと?
多分室外機が行っちゃった感じで、蓋がれたみたいな感じになっちゃってですね。
ちょっと怖くてそれができなくなっちゃったんで。
どうしようかなと思って。
みんなどうしてるんですかねこの時期。
直射日光じゃないって言われたからこれは対処の方法になれへんかもしれないですけど、
結構散歩とかして、一戸建てのお家に住まわれてる方のベランダとかでちょっとしたガーデニングとかされてる人とかいらっしゃるじゃないですか。
でもこの季節見てみると結構日差しを避けるような巣垂れみたいなやつとか、
箱入りみたいなやつをある程度置いて、直接当たらないように熱をちょっとでも和らげるみたいなことをされてる人はよく見ますけどね。
みんな枯れちゃうんですよね。
逆にしてみればそういうとこでも育つようなむっちゃ珍しい花とかにするんですかね。
ずっと前でしたけど、その中で育ったやつドヤ顔で写真あげたら雑草ですよって。
やっぱり雑草って強いんですね。
雑草強いっすね。
なんかあれなんですかね、熱帯のところで育つようなものとかあかんのかな。
そんなの育てたくないですよ。
バナナとかですか?
バナナもそうですよ。ラフレシア的なやつとか。
だんだん目的がわかんなくなってきてる。
育てることが目的みたいになってるもんね。
おもろいな。
じゃあ今は何もないと?
今年はちょっとそうなんで。
なんかいいやつが熱くても耐えられるやつがあればぜひ教えてほしいですね。
ただカモさん質問の語尾、言葉の言い回しがあれですかね。
何が育っているやから育てているかは聞いてないよね、多分ね。
多分勝手に育ってる前提で聞かれてますね、この質問。
勝手に育ってる。
18:00
のもない?
そうですね。今年はあったんですよ。
あったんですけど、やっぱり暑さでのきなみ気づいたら茶色くなってるっていう。
了解でございます。
すいません、教えてください、誰かいいやつは。
なんかいいやつあればね、お便りいただければなと思います。
ということでお便りを紹介した方にはステッカーの印刷コードを送っておきます。
はい、お願いします。
じゃあ今日もセキュリティのお話をしていこうかなというふうに思いますけども、
トップバッターはそうですね、じゃあ僕いきますかね。
はい、お願いします。
今日僕紹介するのは、これたまたまなんですけど、
フォーティネットのレポートをまたちょっと紹介しようかなと思って。
また?
あれこれね。
なんかちょっと、なんかあるんじゃないの?それ。
なんもない、なんもない。
大丈夫ですか?
たまたまなんですけど、もう言い訳がましくなるかもしれないですけど、
前回の紹介したやつは、ほんまコラボの時にやろうと思ったネタだったんですよ。
でもなんかせっかくっていう感じで議論できるネタが思いついちゃったために
あのネタにしたんで、たまたまちょっとずれたんで被ってしまうというか
連続になってしまうという形になってしまったんですけれども、
今日ちょっと紹介するのは、サイバーセキュリティスキルギャップレポートっていうやつなんですけども、
どっちかというとテクノロジーの話ではなくて、経営層の話だとか、
あとは人材とかですかね、そういう話が中心になっているようなレポートになってるんですけど、
あと資格がどうのとかそういうことに言及しているようなことが多くですね。
これは日本を含む29の国と地域で働くITとサイバーセキュリティの意思決定者855人を対象に実施したアンケート、聞き取りというか。
これをいくつかのテーマに分けて書かれてあるんですけど、
例えば経営幹部への責任追求とか、こういうものが5つ大きなカテゴリーがあるんですけど、
ちょっとこれ1個1個紹介するとかなり量が多いので、つまんで1つのネタとしてお話をしていくんで、
ごちゃ混ぜで話していきます。関連ありそうなものをつなげて話していきますけれども、
まず結構注目するべきところかな、あんまりこういうレポートに上がってこないやつかなと思ったんですけども、
51%の半数の回答者がサイバー攻撃を受けて取締役、経営幹部、そういった偉い人たちが罰金、
金庫、肥免、解雇という処分を受けたというのが51%受けたというふうに回答してるんですよね。
なんか経営人がボーナス返上とか、例えばそういうようなやつってことだよね。
そうそう。国によったりとかしたら会社に罰金とかもあるのかもわからないですけど、そういうのがあって、
従業員が2500人から4999人の組織は39%がこういった罰則を受けたというふうに言っている。
中小企業100から999人は31%。5000人を超えるような大企業では32%が罰則を課せられたというふうに言っていて、
21:05
内訳みたいなものが罰金が34%、肥免、解雇が33%、実刑16%ってこれ何のことかわからないですけど、実刑っていうのもありましたね。
内部犯行とかなのかな。それをサイバー攻撃と言うのかっていうのもあるんですけど、結構こういうふうに罰を与えられているっていうふうなのってあんま聞かなかったですよね。
でも海外だと事件があった後、CEOおりましたとかっていうのはちょいちょいあるよ。そんなに珍しい話じゃないよ。
それで僕が真っ先に浮かんだのがめちゃくちゃ昔の事件で、H.B.Gerry Federalの事件、パッと思い出したんですけど、
懐かしいね。
昔はありましたよね。はちゃめちゃにやられて情報暴露されてCEOを辞めるみたいなのがあったりとかもありましたけれども、
結構アメリカの方では、マネギさんがおっしゃったみたいに、そういうのもたまにあるなっていうふうに思ってたんですけど、
一番罰則を課せられたっていうふうに言ってるのが、アジア太平洋地域が58%なんですよね。
そうなんだ。あまり日本の事例では聞いたことないけどね。
アジアってどの辺なんやろうなっていうね。
それについで50%が欧州、中東、アフリカ、中南米、メキシコは49%、北米44%っていう結構意外な数字というか、意外なランキングやなっていうふうに思いましたね。
結構この辺がね、バシッとやられるかやられへんかで、経営層のセキュリティに対する考え方に日が付くかどうかってのが変わってくるんちゃうかなっていうふうに思って、
はい。ちょっとこれ気になった数字ではありました。
そういうのはやっぱり防ぎたいっていうふうなことで、やっぱり検討していろいろ改善策を実施していかないといけないわけじゃないですか、経営者も考えて。
それで一番やっているものみたいな内容でランキング書かれてあったんですけども、一番多いのが64%。これは複数回答だと思うんですけど、
64%で、ITセキュリティ担当者に対して研修や認定資格の取得の形でトレーニングを義務付けるっていうふうなことをやっているのが64%。
それについでが、ITセキュリティの担当者じゃなくて、全部、全従業員向けにセキュリティ意識の向上およびトレーニングプログラムを義務ではなくて導入するっていうようなことをしているのが61%。
それに次いで59%がセキュリティのソリューションの購入。スタッフの増員っていうのはそれに次いで56%というようなところでしたね。
一番多かった64%のITセキュリティ担当者に対するトレーニングを義務付けるっていうやつは、アジア太平洋は73%で、欧州中東アフリカは54%で結構差がある感じで、
アジアってやっぱりそういう感じなんかなっていうふうな感じがしましたね。
増員に関してさっき言ったやつは56%と、さっき言ったような教育を受けさせるというふうなことよりは若干低めの数字が出ているっていうところがあるんですけど、
24:10
増員よりも中の人間を何とか底上げしたいという考えの方がやっぱり強いんですね。
いろいろ行動されているニュースとか見ると、人材が足りないみたいな、どうやって確保していくかみたいなことがある。どうしても外から取るっていうイメージが強いのかなと思ってたんですけど、
全体的に見るとそうでもないのかなっていう感じはしましたね。
ひねくれたものの見方かもしれないけどさ、経営層とかマネジメント層とか、あるいは人事とかスタッフ部門の方から何かしら手こいでって考えると、
そういう教育研修プログラムを充実させるとかっていうのは、言い方悪いけどパッとすぐ思いつく話。
あとは導入もしやすいですよね。
そうそう。導入しやすい、思いつきやすい。かつ、コストはかかると思うけど、やってることが目に見えるじゃない。
成績も残るしね。やったというね。
そうそう。なのでやる側にとっては何かメリットあるなと思うんだけど、一方でさ、実際にそれでどのくらい効果があったかっていう、効果測定的なのって非常に難しいと思うんだよね。
そうですそうです。
なので今言ったような、例えばソリューションを導入とかっていうのと比較して、結局のところどういう効果が得られたかっていうのを、
その通したい効果的に、例えば後からちゃんと判断っていうか評価とかってするのは、割と難しいなと。
なんていうか言い方悪いけど、安直にやりやすいというか、なおかつ効果が非常に高ければ何の問題もないんだけど、
なんか研修プログラムをとりあえず用意しましただけでもしかしたら実は効果が上がってませんでしたっていう可能性もないわけじゃない。
確かに確かに。
なんかね、それは気になるところが多いんだよね。なんとなく本当にそれで求める答えになっているのかなっていうのはちょっとこういう話を聞くたびに毎回思うなっていうか。
そうですね。
個人が、例えばこのリスナーでも何々合格しましたとかって嬉しい報告を送ってくれるじゃない。
ああいう人たちってわかんないけど、多分自発的な自分でこういうのを取ろうとか、自分でもっとレベルアップしようとかってそういうモチベーションでやっている個人が、
そういう教育研修を受けるとか資格を取るっていうのは多分すごく意味があると思うんだけど、
会社としてそういうのを導入する、ある程度義務付けたりとか、ないしは奨励するっていうことがどれくらい果たして効果があるのかって、そういうのをちゃんと見極めないと、
どんな会社でも合うとは言えないんじゃないかなって気も若干するなっていう。
ITセキュリティの担当者に受けさせているという義務付けている研修資格取得っていうのも、これが本当に自分たちの会社で必要なものなのかっていう検討も必要だと思うんですよね。
27:05
単に取らせりゃいいってもんじゃないでしょうとかもあるじゃないですか。
仮に強制するとして、いやいや取っても多分あんまり意味ないじゃん。
分かんないけど、研修受けろって言われたから受けましたみたいなさ。
それは一人言うのかな。分かんないけどね。
ネガティブなことを言いたかったわけじゃないんだけど、そういう部分も含めて考えないと、安易な導入は良くないんじゃないかなっていう気がする。
効果測定も大事ですし、あとは見直しも必要かなと思ってて。
やってることに意味があるみたいになってくると、やる側もとりあえず回答の正当率何%さえクリアすればいいんでしょみたいになって、
例えばよく陥りがちなのが教育のコンテンツがあってね。
動画なのかウェブサイトなのかちょっとわからないですけど、見ないといけないものがあると。
勉強する。教科書みたいなもんですよね。
最後にチェックがあるじゃないですか。テスト。
その前のコンテンツを見なくてもテストで満点取れるんですよね。
社内のセキュリティだけじゃなくてね。パワハラ、セクハラ研修とかね。
いろいろあるじゃないですか。委託先に対する法律の話とかもあると思いますけど、
別に間違ってるもの正しいものを選びなさいのはどっちかさえちゃんと間違わなければ、明らかにおかしい回答だけプチプチやるだけで正解になるんですよね。
そういうのに本当に意味があるかっていうのを考え直した方がいいんかなと思うときは結構僕も受けてたりとか、今まで受けてきた経験から思ったりしますね。
あとは教育を通じてスキルなり知識なりを高めることが目的だとは思うんですけど、
これも僕の思うことなんですけど、きちんとそれをやってよかったのかどうなのかっていうのと、
その本人に対する評価っていうのが大事かなというふうには思うんですよね。
これなんで取る必要があるのかとかっていう動機づけとかも必要なんで、やっぱりこれやればいいっていうふうな問題じゃないような気は僕もしてはいますね。
あとはインシデントとかやっぱり起きたらこういう話するときいつも言いますけど、
IT部門だけで完結できる問題って結構少なくなってきてるのかなって思うんで、
横の連携とかね、あとはできるだけ共通の言葉を増やせば物事スムーズに進むかなと思うので、
そういうこともこうした方がいいんじゃないかなっていう教育を受けるというふうな意味では、人材育成という意味では思ったなというところですね。
あとサイバーセキュリティ人材の定着に苦労しているという答えている組織も半分いて、
辞めちゃうとかそういうふうな意味だと思うんですけども、
そこのやつが、これは僕すごい疑問に思ったんですけど、
人材が定着することにおける最大の課題はその組織が十分なトレーニングやスキルアップの機会を提供できていない点だっていうふうに
その半分ぐらいだと思っているみたいなんですよ。
30:01
そうなんだ。
そうかな。
そういうところもあるかもしれないですね。
自分がいろいろ伸ばしていくために新しい知識を身につける機会を、もしくは自分たちに対して会社が投資をしてくれるか否かみたいなところなのかな。
そうね。そういうのを重視する人もいると思うけどね。
そうそうそう。
そういうのを提供する側と受ける側の意識にギャップがないかっていうのは気になるけどね。
本当にそれが原因で辞めているのかどうかわからないけどさ。
そうですよね。トレーニングを受けたらおるんかって別にそういうわけでも、そうじゃない人もいるしそういう人もいるのかなとはもちろん思うんですけど、
この辺ちょっとずれてるんちゃうかなってちょっと思ったんですよね。回答している人と現場の人たちの間で。
ちょっと僕の主観で見てる部分もあるから、これだけじゃないような気もするな。
そうかもしれないけどね。これだから意思決定者に対するアンケートだから、逆に辞めていく側っていうか、そういう人たちはどう思ってるかっていうのが気になるところだけどね。
でも力つければつけるほど、その力って発揮したくなるじゃないですか。そういうことが実務であんまりできないとかっていうのはあると思うんだけどな。
流動性は必ずしも悪い面ばかりじゃなくて、ある程度あるのは健全だと思うし、
そういう今辻さんが言ったみたいに、今いる場では自分の力が発揮できないぐらいに自分のステージが上がったっていうか、スキルが伸びたとかっていう場合には、
むしろその会社とか、今いる組織を飛び出してた方が、その会社にとってはマイナスかもしれないけども、
もうちょっと広く全体で見れば、実はプラスじゃないかと。その個人にとってもそうだし、
ないしは別の会社に行くことで、広く例えば国内、その国とかはわからないけど、あるいはセキュリティ業界全体とかっていう形で見たときには、
むしろプラスっていうような視点で本当は見た方が良いのではっていうか、なんかその、
もはやその1個の組織でどうこうするっていう時代ではないから、さっきの組織の連携だけでなくて、その組織を超えた連携も必要になってきてるじゃない、今はさ。
公益側がすごく高度になっているから守る側もそういう連携が必要みたいな視点で考えると、むしろある程度のそういった流動性は。
あった方が健全なのかもしれないですね。世の中全体で言えば。
良いと思うけどね。
多分経営者からすると辞めてほしないと思うんですよね。育てた。
そりゃそうだよ。そりゃそうだけどね。
そこも意識の変化は必要かなと思いますよね。教育さえ受けさせたら辞めへんとかじゃなくて、それなりにやっぱりきちんとやりがいとかって考えてあげないといけないってことだと思いますけどね。
自分の経験、俺も何回か転職してるからさ、そういう教育とか研修の機会がなかったからっていう理由で辞めたことは1回もないけどな。
僕も1回もないわ。
でもそういうのが理由になる人も中にはいるのかもしれないね。
33:01
そうですね。
なるほど。
いろんな考え方がありますからね。そういう会社っていうのは自分がレベルアップするとともに抜けていく。その機会が失われるんだったら早速次に行こうっていう考え方でもいらっしゃるかもしれないですからね。
そういった話について回るのってやっぱり資格だと思うんですけど。資格ってこのレポート見てても強いというか、これでしか測られへんっていう面ももしかするとあるのかもしれへんなと思ったんですけど、
91%のITリーダーが認定資格を持つ候補者を優先的に採用するという風に言ってると。
本当に?
91%で相当高いなと思って。
すごいですね。ほぼ全部。
俺なんか候補者の面接の時に資格なんか見たことないけどな。
面接する側の時。
面接する側の時ね。
僕もそうですね。最近はないですけど、昔中途の人とかの面接で言ってたけど資格見たことないな。
そうか。一番わかりやすい指標ではあるけどね。
加えて過半数、67%の回答者はチームのメンバーや直属の部下が何かしらの認定資格を保持しているということを希望しているっていう風な。
そうなの?本当に?
これ持ってないからあんまり能力がないっていうわけではないし、持ってるから能力が高いと言い切れないけど、最低限な足切りみたいなことで見てるのかな。
でもそれしても大事なものをこぼしそうな気もせんでもないけどな、こればっかり見てたらっていうのはちょっとうーんっていう数字ではありましたね。
まあまあでも最低限のこれぐらいの知識は持ってるっていう、これぐらいは持っておいてくれよっていう前提だっていう考え方はあるかもしれないけどね。
そうですね。これを結構見て僕ゾッとしましたね。僕これ91%の人に切られるってことやもんな、僕はな。
ちょっと怖い世の中やな、そういう数字が出る時もあるんやなと思って見ていました。
あと他にはいろんな事故の経験、侵害を受けた件数、年間の件数とか復旧時間とかについても言及されていることもあるので、
経営の人たちがどういうふうなものの見方しているのかどういう意識なのかっていうのを知るのにいい機会の資料かなと思って紹介したんで。
ちなみに登録とかしなくても読めて、さっと読めてよかったなと。
はい、なんか移動中とかに読んでみてもいいんちゃうかなと思いました。
ここでターゲットというか対象、調査対象になったような同じような意思決定者もそうだし、
そういう人は自分と同じ立場の人がどう考えているのかっていうのがあるし、さっき言った逆の立場っていうかね、より現場寄りの人とか、
そういう人からすると、自分とは違う立場の人がどういう視点で物事を考えているのかっていうのを考える役に立つと思うし、
さっきギャップがあるんじゃないかって言ったけど、そのギャップがあるっていうこと自体を知るっていうことに多分意味があって、
ギャップが別に悪いばかりでもないからさ、いいことかもしれないんで、色々多様な考え方があった方がいいかも望ましいかもしれないし、
36:06
逆にそこはギャップがない方が望ましいかもしれないけど、そういうの色々考える上では確かにこういう資料っていいかもしれないね。
そうですね、さらっと読んでみてもいいんじゃないかなと思いました。
はい、ありがとうございます。
じゃあ次は寛吾さん行きましょう。
今日私はですね、もう皆さんご存知だと思うんですけども、世界中で発生した大規模システム障害ですかね。
大規模じゃないかなり。
あれの原因となったと言われているクラウドストライクのEDR製品ファルコンですけども、そちらの件について取り上げようかなと思ってるんですが、
今回取り上げようと思ったきっかけとしては、本当にいろんな方に影響が及んでいたということで、Xを見ても色々情報が投稿されて、
作装って言うんですかね、投稿されていたりという状況にはあるので、改めてじゃないんですけども、
クラウドストライク自身もブログであったり、ウェブサイトを通じて公式の情報を出しているので、
今日はまず公式の情報の概要を軽く確認したいなというところから行きたいんですけども、
発生したのが7月19日の日本時間で13時9分ですね。
その時間にクラウドストライクのファルコンであるファイルのアップデートがされたと。
そのファイルっていうのがチャンネルファイルっていう風にクラウドストライクは呼んでるんですけども、
攻撃の情報っていうんですかね、パターンとかを適用するな、そういった情報などが含まれている、
そういったファイルをアップデートをかけたところ、どうもそのファイルの中身に問題があったらしくて、
実行している端末、これが全部ブルースクリーンになってしまうというものでありました。
なんでXなんか見てもね、ブルースクリーンの画像が本当はあちらこちらで投稿されているっていう状況なんかは見ましたけども、
クラウドストライク自身は比較的すぐですかね、それもちょっと1時間ぐらい空いてるんですけども、
14時半前、14時27分かな、チャンネルファイルの問題があったものっていうのを、
ロールバックして問題がないものに置き換えたというところであったので、
その期間中に、例えばオンラインで繋がっている状態にあったなどの端末においては、
さっき申し上げたようなブルースクリーンの状況に陥ってしまうという、そういった事象が発生してですね、
私ちょっとびっくりしたんですけど、結構使ってる人それなりにいるんだなっていうのが改めて可視化されたじゃないんですけども、
いろんなところで導入されてるんだなっていうのが改めてわかったところであって、
対象もですね、日本時間で13時9分なので、もしかしたら時差的な話とかもあるかもしれないんですけども、
39:00
ワールドワイドでいろんな空港施設であったり航空会社であったり、
医療機関とか外食とかいろんな業態分野でこのブルースクリーンの事象が発生したことによってシステムが止まってしまったりと。
一番多分影響が大きかったのもしかしたら航空ですかね。アメリカなんかはこの問題が起きたということで、
発信を認めないという形で。
全部止まってたよね。
そうそういきなりね、この問題で全部止まって4000便を超える便数に影響が出たのではないかと。
なので多分この手のシステム障害の規模で言うともしかしたら最大規模かもしれないぐらいのね。
全容わかんないけどさ、よくある空港のシステムが止まりましたみたいな単一のシステム障害じゃなかったっていうのが結構影響範囲を大きくしちゃった原因かもね。
飛行機の状況、飛んでる状況を見るアプリとかで見るとアメリカの空から飛行機がいなくなったみたいな。
そうそうそうそう、どんどんどんどんね。アメリカめちゃめちゃ飛んでるのに、なんかこの時間はどんどん消えていくと。
離陸禁止になっちゃったからしょうがない。
そうですよね。なので今回対応に当たられた方とか、さっき言った航空会社の影響を受けられた方とか本当に多くの方がこの障害の影響を受けられて、
実際に逮捕された方なんかは本当にお疲れ様ですとしか言いようがない、そういった状況ではあるんですけど。
なんでこれが生じたかっていうところについては、クラウドストライク今のところ3つかな、インターネットに広く公開されて、
サポート掲示板みたいなのがあって、それはクラウドストライクと契約している方向け専用のそういったチャンネルがあるんですけど、
そこは一般の方は見えないので、誰でも見れるようなところにこの点の情報が公開されているのは主に今のところ3つあるんですが、
今のところこれが何で発生したかっていうところに関しては、今調べてますと根本原因については、
もちろんこの点の問題が生じないように対応は取られているというところではあるんですけども、これが何で発生してしまったのかと、
多分みんな首をかしげているところだと思うんですけども、これが何で生じたかというところについては今後調査を進めてアップデートすると声明を出してはいるので、
もしかしたらまたこの辺りの情報、続報が出るかもしれないんですけども、今回ちょっと私気になったのは仮にですね、
仮にこの点の状況に遭遇してしまった場合、どういうアクションを取るのが適切なのかなっていうのが、表現が適切かわからないんですけども、
多分ランサムウェアとかも近い状況になるんじゃないかなと思っていて、ワールドワイドでは当然発生しないですけども、
端末が目の前のシステムが全部使えなくなってしまうみたいな、そういった状況は割とランサムウェアでも起きる状況に近いと、
もちろん暗号化されてしまっているとかそういった状況はもちろん違いますけども、
42:01
あとワイパーとかもかな?
そうですね、システムが使えなくなってしまうっていうところは割と近いところかなと思っているんですが、
この点の状況に遭遇した時に、例えば端末利用している立場だったらどういうアクションを取るのが適切なのかとか、
あるいは今回多分矢表になった方が多くいたと思われる情報システム担当の部署の方からすると、
これもどういうアクションを取ったらよいのかとか、
この辺は今回のこのここまでの大規模な障害がそうそう起きないと思うんですけども、
小規模なものであれば自社だけみたいな話のものはおそらくしょっちゅうどこでも起こる可能性というのはあるので、
これは今回の教区にちょっと考えてもいい、特に事前に打てる手っていうのがないかっていうところは考えてもいいのかなっていうのは思ってですね、
ちょっと怖いなと思ったのは、SNSでやっぱりわかるんですよ、SNSでそのブルースクリーンが発生したら、
なんかこれ他のところにも生じてるんじゃないかみたいな形で、Xとかで検索してしまうというのは非常に心情としては理解できて、
私も多分やっちゃうんじゃないかなと思うんですけども、
怖いのはですね、今回のこの問題を解消する方法はこれだみたいな情報が流れていて、
それ間違ってたりするものが結構あってですね、チャンネルファイル問題特定されましたけども、
当初はこれじゃない別の本当にエージェントのシステムドライバーみたいなのを消せみたいなのも流れていたようには見受けられてですね、
それやると下手したらクラウドストライクのファルコン自体が止まってしまうっていう可能性もあってですね、
なのでその単純に流れている情報だけを勝手に鵜呑みにして対応するっていうのはこれは悪種というか、
まあ今この落ち着いている状況だったらそう言えるんですけど、
実際目の前のシステムがいきなりブルースクリーンになって、
もう本当にテンパってるみたいな状況の時に笑をもつかう思いでね、
なんかやってたらそれが誤りで、そこからまた二次被害というか変なインシデントに繋がってしまうと、
ヨケヒドナルみたいな?
そうそうそう可能性もあったりしてですね、
ちょっとこれはSNSで要素を探るっていうのがどれぐらい適切なのかなっていうのは、
やっぱり今回のちょっと大規模っていう特徴はありましたけど、
どうなんだろうこれ悪種なんじゃないかなっていうのはちょっと思ったというところと、
あとさっき言った上司室の担当の立場からすると、
いっぱい多分問い合わせとかどうすんだみたいなね、
下手したら怒りのエスカレーションみたいなのが実際の現場から来るとは思うんですけど、
上司室の立場からすると多分これが起きた直後っていうのは、
当事者からしても何が起きたかわからんみたいな状況であるでしょうし、
肝心なメーカーというか代理店というか、
連絡先サポートに対する連絡を取ろうとしても、
おそらくサポートもパンクしてる可能性があって連絡がつかないみたいな、
そういった状態になった時に、
これも結構積むというか、
実際今回抱えられた人多かったんじゃないかなと思うんですけど、
結構積むなっていうのは思ってですね、
45:02
今回クラウドストライクだけだよねっていう話ではあったんですけど、
この手のサードパーティーのソフトウェアを通じて障害につながるっていうのは、
過去にも当然起きてはいるので、
その辺、さっき事前に準備できることないかっていうところも話はしたんですけど、
その辺起きないかっていうリスクアセスじゃないですけど、
確認であったりとか、
あと本当に細かい話で言うと、
今回ブルースクリーンになって、
復旧させる手段で、
セーフモードを使って問題のファイルを消しましょうっていう手順が
会議スタッフとワークアラウンドで公開されてたんですけど、
やっぱりこの手のEDRを入れておられる組織だと、
Windowsでビットロッカーを使っているところも結構あったのか、
セーフモードを立ち上げようとしてもビットロッカーの回復機器がわからんみたいな形で、
これ積む感じですね。
積んでしまうっていうのもあったりはするので、
この手の訓練というか対応確認っていうのは、
やった方がいいんでしょうけど、
どこまでやるのかなっていうのも今回ちょっと見ていて、
まだ完全には回復はしきってはないと思うんですけども、
ちょっと状況を見ていていろいろ考えさせられました。
公式のやつ待つしかないんでしょうね。
そうなんですけどね、ちょっと今回どうなんだろうと思ったのは、
今私お話ししたインターネットで見れる情報っていうのは、
これすぐに多分出てなくてですね、
サポートチャンネルというか、
さっき言った契約してる人でないと、
契約アカウント持ってないと見れないような、
そういった掲示板とかに書かれている情報が速報で書かれて、
それがXとかで拡散されるみたいなのというか、
これは情報の流し方としてどうなんだろうみたいな状況もあったりはしたので、
その辺もし起きた時にどういうチャンネルで情報が出てくるのかっていうところは、
使ってるサイドからしたら確認した方がいいでしょうし、
この辺はベンダー側からしても見直してほしいポイントかなっていうのはちょっと思ったりはしますね。
なんかちょっとした不具合とかやったらアップデートの配信で何とか直せるかもしれないけど、
ブルースクリーンだと手も足も出ないっていう。
そうそう、もう何もできんって感じですからね。
確かにな。
これちょっと違う視点だけどさ、
はい。
今回のクラウドストライク固有の問題かもしれないけど、
原因となったチャンネルファイルってやつ、
俺もあんまり詳しく知らなかったんだけど、
説明読むと振舞い検知とかに使うような攻撃を検知するためのパターンとかそういうものが書かれたもので、
日に何回も更新されるっていう。
みたいですね、なんかエコ頻繁に。
で書いてあって、
てっきりなんかその珍しい更新をしてしくったんかなと思ったんだけど、
そうではなかったと、今回のやつはね。
日常的に頻繁にアップデートするパターンのファイルでしくったっていうことなんだけど、
48:03
まだ根本原因わかってないんだけど、
その手のもののチェックがだから甘かったのか、
今までずっと成功してるからさ、
頻繁にやってるし、ミスなんか起こりないっていうなんかそういうのがあったのか何なのかわからないけど、
それくらいの危険度が低そうなって言い方がどうかわかんないけど、
そういうような設定ファイルの更新でここまでのことが起きちゃうっていうのがちょっとびっくりで、
それがさっき製品固有の問題かもしれないって言ったけど、
でもこの手のエンドポイントの製品って割と密接でOSの機能と連携してて、
何かあった場合に割と高い権限で何かができちゃうみたいなことってのは前からずっと言われてて、
何か大きな問題があると、
結構攻撃者のね、攻撃に悪用されたりとか、
データクセイが使われたとかっていうパターンも今までたくさんあったし、
何かそういう悪用っていう観点でも結構いろいろ言われてはいたけど、
今回たまたまその単なる障害だったけど、
これが何か意図的に起こされたら怖いなぁとちょっと思って、
そうですよね、ここまでかっていう。
そうそう、それが攻撃者によるものかもしれないし、
あるいはその内部によるものかもしれない、分かんないけど、
やろうと思ったら何か結構破壊的な、破滅的なことができるなっていうのが分かっちゃったっていうかさ、
これぐらいシアの大きい製品でこういうことがあるとダメージでかいなっていうのがちょっとあって、
別にEDRとかエンドポイントの製品は悪く言うよりは全くないんだけど、
こういう製品がないと今こう対応できなくなっている時代で、
そういう要の製品にこういうトラブルがあると、
我々手も足も出なくなっちゃうっていうのはちょっとやっぱり考えものだよね、これはね。
すごくそういう危ういところに依存しているなっていうのを改めて感じたね、これね。
ワイパーとかそんなソフト使わなくても致命的なダメージをその組織内に与えられるわけですよね。
分かっちゃいたことだけどこうやって実際に起きてみると霊大きいなっていうか。
ですね、ここまでとはちょっと。
ちょっとびっくりしましたね。
そうだそうだ、ちなみに直実は関係ないんですけど、
ここまで大きい話だったのでやっぱりこれのネタを悪用して動こうっていう、
何ていうか証拠のたくましいって言い方が分かってきてると思うんですけど、
動きが早いところもいてですね、例えばテクニカルサポート詐欺ではすでにやっぱりこのクラウドストライクファルコンで、
あれもなんかブルースクリーンですもんね、見た目で出てくるのが。
なのでさもそれっぽく出すっていうのが、
実際トレンドマイクロなんかはそういうの見かけたって報告をしていたりとか、
あとあれかな。
.sysファイルに似せたマルウェアをばら撒く行為とかも出てはいるので、
51:01
この辺はしっかり情報システム担当の部署の指示に従って対応に当たっていただきたいなと思います。
そうね、こういう時こそ冷静にね。
きちんとしたルートでってことですね。
ですね。
わかりました、ありがとうございます。
はい、ということで最後はねぎしさんですね。
はい、今日はですね、暗号資産に関連する複数のサービスのドメインが、
今月ちょっといくつかDNSハイジャックされるっていう事件が起きたので、
そんなに大きく話題にはなってないんだけども、ちょっと気になったら取り上げたいんですけど、
これ暗号資産その関連のセキュリティの研究者の人たちが、
実際にいくつかの被害にあったところの事案のインシデントの対応支援したりとかしているらしくて、
その人たちが後日こんなことが起きたんだよっていう経緯をブログにまとめてるんで、
その記事の内容を少し紹介しようかなと思うんですけど、
まずね、そのことの発端っていうか、そもそもなぜこれがっていうのの発端は、
実はちょっと去年に遡るんだけど、去年の9月にGoogleが提供しているドメインのレジストラーのサービスで、
Googleドメインっていうのが昔あったんだけど、
これが今回その問題が起きたスクエアスペースっていう別のレジストラーに、
丸ごとサービスごと売却されましたと。
なのでGoogleドメインを使ってドメインの登録とか管理をしてた既存のユーザーは、
全部そのままアカウントと管理したドメインごとスクエアスペースに移管されましたと。
というのが去年あったのね。
結構な数の顧客がいたみたいなんだけど、それが全部移管されて、
順次そのスクエアスペースの方のサービスで管理ができるように移管が進められていたという状況でしたと。
この移管処理にもちょっといくつか問題があったのかもしれないんだけども、
どういうふうにやったかっていうと、
元のGoogleドメインで管理したドメインの管理者の権限のあるメールアドレスっていうのがあると思うんだけど、
そのメールアドレスを持っている人には、スクエアスペースの方のアカウントでも適切な権限を設定するようにしましょうと。
これはいいと思うんだよね。
問題は、もともとスクエアスペースにそのメールアドレスでアカウントを持ってた人は、
それで新しく管理するドメインが増えましたで済んだと思うんだけど、
でも多くのユーザーは多分そのアカウントがそもそもなかったと思うのね。
新規だったね。
そんなにたくさんのレジストラにアカウントを持っている人はあまりいないと思うので、
そうすると完全に移行することになるんだけど、
そうした場合に、おそらく、これもおそらくだけど、なんでおそらくって言ってるかというと、
スクエアスペース自体が公式にあんまり説明をちゃんとしてないので、
はっきりわかんないんだけど、
多分スクエアスペースに新しくアカウントを作るときに、
54:01
もともとあったGoogleのアカウントを使ってログインすることを想定してたんじゃないかなと。
いわゆるソーシャルログインっていうのかな、ID連携っていうか、
Googleのアカウントを使ってログインしますっていうボタンが付いているサイトとかってあれじゃない?
あれね。
そこのサービスのアカウントを作るんじゃなくて、
もともと持っているGoogleのアカウントで認証代行してもらってログインできるようにするっていう、
そういう連携の仕組みがあるんで、
多分それを使うことを想定したような気がするんだけど、
ただその仕組みとしてはそれを使わずに、
メールアドレスと昔からあるようなパスワードを新しく登録して、
アカウントを作るっていう方法もできたと。
で、ここに問題があって、
今回その遺憾にあたって、
アカウントがないからメールアドレスでアカウントを新規に作成しようとした場合に、
なぜか普通だったらそのメールアドレスちゃんと持ってるか本人かどうか確認するためにさ、
そのメールアドレス宛てにチェック用のワンタイムのメールを送って、
それをクリックしてもらって、そしたら確かに本人だって確認してみたいな。
よくありますよね。
よくあるよね、そういう処理が。
ところが今回このスクエアスペースにはそのチェックの処理が入ってなかったということで、
そのままパスワードを新規に登録すればアカウントが作成できましたと。
どうもそういう状況だったらしいのね。
ということはどうなるかというと、おそらく今回の攻撃者もそうしたんだろうと思われるんだけど、
攻撃者が何らかの方法で元のGoogleドメインで、
ドメインの管理に使われていたメールアドレスをあらかじめ知っているか、
ないしは推測できるか。
推測できる場合も多分あると思うんだよね。
わかんないけど、ドメイン名と、例えばadminとか何とかってわかりやすいようなメールアドレスをもしかしたら使っているかもしれないので。
あとWhoisとかからいける?
そうそう、もしかしたらドメイン登録しているそのメールアドレスそのまま使っているかもしれないし、
そういった方法で何らかメールアドレスがわかっていたとすると、
攻撃者がそのメールアドレスを使って、そのメールアドレスを持っているわけじゃないんだけど、
スクエアスペース上にアカウントを作ることができてしまって、
アカウントが作れちゃうと自動的にそのメールアドレスはもともとGoogleドメインからの遺憾対象になっているので、
そのメールアドレスがもともと管理していたドメインの管理ができる権限がついてしまったということで、
攻撃者はそのドメインのDNSのレコードを書き換えるとか、自由にできたらしいのね。
これがどうもハイジャックの原因ではないかと。
本当の管理者の人がアカウントを作る前に攻撃者が先回りして取っちゃったという、どうもそういうことらしいと。
SNSによくある有名人っぽいアカウントを先取っちゃうみたいな、本人おれへんのにみたいなのにちょっと似てますね。
そうそう、それに近いけど、ドメインが乗っ取られたら影響はすごいでかいから、
57:00
どのくらい実際の被害件数があったかとか、影響範囲がどのくらい広かったかっていうのはちょっとはっきりわかってないんだけども、
ただわかってるだけでも、いくつか複数の、主に暗号試算関連のサービスがドメインに乗っ取られて、
フィッシングサイトに誘導されるようにDNSのレコードを書き換えられたケースとか、
いくつか報告されていて、実際の被害があったことは間違いないというのがわかっているので、
多分同一の攻撃者がこういった問題があるっていうことをあらかじめ見つけて、まとめて狙ったんだろうね、多分ね。
幸い、さっきのブログを書いている研究者の支援なんかもあって、短時間でみんな復旧できていて、
大きな被害はどうも発生してないっぽいんだけど、ちょっとわかんないですということで。
なので、これもし使っていますというか、遺憾の対象になってますっていう利用者の人がいたら、
これは自分のアカウントの状態がどうなっているかすぐに確認した方が良くて、念のために二要素認証も有効にしておくだとか、
そういうアカウント乗っ取りへの対策はした方が良いのと、
あとは、もともとのGoogleのドメインの管理で、多分自分一人じゃなくて複数人で管理していると思うんだけど、役割を変えてね。
そういう場合にはそのメールアドレスが全部遺憾されているので、自分以外の同じドメインを管理している別のメールアドレスが、
そういう被害に合わないかということもケアした方がいいと。
その辺は何かやった方がいいんだけど、今回のケースを見てて思ったのは、
言い方はあれだけど、もらい事故っていうか、
もともとのGoogleドメインでドメイン管理をしていた人たちは、
別にその買収されて別のところに遺憾されるなんて思ってもいなかったわけだし、
そっちのサービスを強制的に使わざるを得なくなっちゃったわけで、
なおかつ自分たちがアドレスを遺憾する前に勝手に攻撃者に遺憾されて、
しかもそれがね、おそらくだけど、スクエアスペースのメールチェックの仕方が問題とかさ、
自分たちの問題ではないわけじゃない。
ユーザーは何も悪くないですもんね。
そう。ひょっとしたら大手が出てるだけで何か被害を受けたところに何か問題があった可能性がないわけじゃないけど、
今のこれまで出ている状況とか話を見る限りでは、
おそらく被害を受けた組織側には特に何か問題はなかったような気がするので、
いや、そうですね。なさそうな感じめっちゃしますけどね。
だとすると、これはちょっと利用者側での対応が非常に難しい割には、
DNSっていう結構ね、乗っ取られた場合の影響が、
今回はフィッシングサイトとかっていう今名前が出ているところは、
それほど大きな事案ではなかったようにも見えるけど、
でもドメイン乗っ取りってめちゃくちゃいろんなことができるから、
場合によったらもっと被害が大きくてもおかしくなかったし、
1:00:01
ちょっとそれをね、こういうふうに、こういうような理由で起きるっていうことがちょっとすげー怖いなと思って、
難しいんだけど、DNSの管理というかレジストラーをどこにするかとかってさ、
例えば松井さんなんかも結構ドメインに取ったりとかするじゃない?
ノリでね。
そういう時でさ、自分が普段使い慣れているところとか、
あるいはお金が安いところとか、
割とそういう理由で選んじゃいがちだけど、
後々こういうことが起きるっていうことを考えてみると、
信頼性の高いところっていうか、
今回のケースでもね、いろいろ批判されてるんだけど、
スクエアスペース自体は公式には何も言ってなさそうなのね。
で、被害企業に個別にサポートはしてるかもしれないんだけども、
ただあんまりそういうのが表に見えてなくて、
SNS上でも公式サイト上でも特に何も声明とかを出していないので、
例えばレジストラーとしてそういう対応が、
自己対応がどうなのかとかさ、
過去にもレジストラーでのドメイン乗っ取り事件みたいなのはちょいちょい起きてるんで、
なんで珍しいわけではないんだけど、こういうのが起きた時に多分、
そういう点が問題になるっていうか、
そこまで普段見てドメイン取ったりしないじゃん、多分。
割かしこうなんとなくです。
さすがに個人じゃなくて会社で取る場合にはもうちょっと考えてると思うけど、
でもぶっちゃけ個人で取る場合とかって、
割とそういうノリで取ったりとかする人が意外と多いかなって気がしてて、
そうすると自分がせっかくDIJで取ったところが、
こんな自分のミスとか問題があったわけでもないのに、
こういう理由で攻撃されて乗っ取られるっていうのはちょっとどうしたもんかなっていうか。
いきなり放り出された感じですもんね、こんなんね。
あんまり想定もしてなかっただろうし、対処も非常に難しいだろうし。
人周りに影響デカそうやし。
そう、やっぱり管理してるドメインで何をしてるかによっては結構大きな被害が、
それを顧客向けにサービスとかしてたら顧客に戻すと被害が起きる可能性もあるわけだから、
わりとそのDLSって普段そんなに取り上げられない裏方的な。
確かにそうですね。
わかんないけどインフラ周りってあんまり想定に出てこないけど、
だけどこういうレジストラの管理のアカウントが乗っ取られた場合の影響のデカさっていうのは、
ちょっと過小評価されてるというか気がしなくもないので、
もうちょっと何か考えた方がいいよねっていうのを今回の事件を見て、
なんか改めて思ったなあっていう。
普段からあんまり意識するところじゃないな、ドメインとかって。
取ったはいいけど取りっぱなしでさ、そのまま管理してなくて放置しちゃったりだとか、
1:03:05
更新忘れちゃったりとか、あるじゃないですか、そういうことはさ。
大きな会社ではもしかしたらあんまりないかもしれないけど、
今回のようなやつもそんなに別に珍しくもないっていうか、
身近に起きるって考えた方がいいのかなっていうのも。
更新忘れって結構一番多そうな気がするけど、今出た話だと。
ついさんとか自分が管理してる、例えばこのアレの管理してるドメインとかさ、
いきなりレジストラ乗っ取られてとかだったらとんでもないことじゃん。
そんなとんでもなくはないかもしれないけど。
影響があるんだろう。
影響大かもしれないけどさ。
まあそうですね、取られたら、僕レジストラ複数使ってるんで、
違うレジストラにある別のドメインに移行するかな。
一旦みたいな。
まあね、それぐらいで済むかもしれないけど。
企業とかになってくるとね、そうはいかないですからね。
そうそう、だからやっぱりそういう、なんていうのかな、
自分が提供しているドメインの価値っていうかサービスの価値と、
それをひっくり返すだけの影響力のあるレジストラとか、
そういう管理用のサービスの価値っていうか、
ちゃんとその天秤が見合ってるかっていうかさ、
自分たちのサービスに見合うだけのものを使っているかっていうことは
考えたほうがいいかなっていうか。
自分たちのサービスがものすごく莫大なお金をかけて提供しているものなのに対して、
足回りのそういうサービスがすごいシャチなサービスを使っているとかっていうのはちょっとありえないから、
そういうバランスはやっぱり考えなきゃなっていうのは、こういう事件が起きるとやっぱり思うなっていうか。
どういうスピード感なんですか?これあれなんですか?
移管されるタイミングっていうふうなのって、あらかじめ結構前からアナウンスされてたんですかね?
なんかね、ちょっと僕も対象、自分が対象じゃないからわからないんだけど、
結構な数のドメインが対象になっているらしいので、順次管理者向けに移管されますよっていう連絡が来て、
順次移管をするっていうことをやってたようなんだけどね。
なんでこのタイミングで立て続けに起きたのかちょっとよくわかんないんだけど。
公に移管されますみたいなものがあったら、この移管先のサービスの仕組みを知ってたやつがどんどん先にやっちゃってたのかなとかね。
そうね、だから去年の9月に買収完了して、それ以降順次というか、いつから移管が始まったのかちょっと正確にはわからないんだけど、
ある程度の期間でやられていると思うんで、その中でユーザーであればそれに気づけただろうし、
当日じゃなければもしかしたらあんまりね、俺も今回の事件が起きるまでこんな風になってたなんて全く知らなかったんで、
そんなにメジャーな話題ではなかったかもしれないけど、知ってる人は知ってたかもしれないよね。それに攻撃者が気づいたってことだかも。
いや、よう気づくよなって思いますね。
こういうのは見逃さないよね、やっぱね。
すごいなって思いましたね。よう見とるなっていう感想ではあるんですけども。
1:06:05
それは僕も思いました。
大事なドメインはちゃんと守っていかないとということで、今久しぶりにレジストラのサイトにログインしてみて、
つじりーくす.comの査定額っていうのが出るんですよ。
今ねちょっと価値の話があったじゃないですか。
ちなみにこれ撮ったのが2011年の1月2日に撮ったドメインなんですよ。
じゃああれか、ポートキャスト始める時に撮ったやつって感じですかね。
これ確か2011年の1月2日やから、夜勤で診断作業している間の休憩時間に撮ったんや。
何となく。
13年と198日。
査定額0円です。
マジか。
すごいな。僕らからすると馴染みの深い、僕からするとすごい価値のあるドメインですけど、
世の中の査定は0円という。
日本で一番有名なポートキャストだよ、セキュリティーの。
それがまさかのドメインは0円という。
いいですね。
頑張らないとね、もっとね。
頑張るとこちゃうと思いますけど。
どうやったらあがんやろか。
むしろここまで0円やったらずっと0円でいたいわって思います。
本当だよな、どういう査定なんだろうな。
わかんないですけどね、面白いなって。
ありがとうございます。
じゃあ今日もセキュリティーのお話を3つしていきたいと思います。
最後におすすめのあれをご紹介しようかなと思うんですけども、
今回もちょっと飲み物にしました。
ちょっと前も、前回もやったっけ飲み物。
前回もだね。
そうなんですけど、最初冒頭でも言った通り、夏本番なわけですから。
たまたま、夜というか夕方以降ですかね、その日に寄るんですけど、
散歩、暑くてもやっぱり行くようにしてるんですよ。
最近本番めちゃめちゃ暑くて、帰ってきたら汗だらだらなんですよね。
なのでどうしても、それプラス例えば晩飯にしょっぱいもの食うたら、
喉乾いてしゃーないわけですよ。
その時にね、たまたまこれもスーパーで見つけたんですけど、
アクエリアスってあるじゃないですか、有名なコカ・コーラのスポドリというかね。
それの蛍光補水液っていうのが出てるんですよ。
アクエリアス蛍光補水液。
蛍光補水液って、結構あんま美味しくないイメージだったんですけど、
塩味があるというかね。
なんとなく買ってみたんですよ。
喉の乾きがひどすぎて汗もだらだらだったんで。
そんならね、結構アクエリアスの味そのままに、後味だけちょっと塩味があるみたいな。
すごい飲みやすくて美味しい。
ガブガブいけちゃうぞ、これっていうぐらい。
季節的にもね、家に置いておいてもいいと思うんですよ、こういうのって。
何かの時のために。
あれだよね、蛍光補水液って熱中症とか、
1:09:02
何かしら脱水症状の症状が出た時の水分補給に使うようなやつだよね。
そうそう。脱水状態やからって言うて、水だけ飲めばいいってものでもなくて。
まあそうだよね。だけど逆にさ、これって普段あんまり飲むのに適さないんじゃないの?
それはね、1日に飲む量、摂取上の注意っていうのはもちろん書いてて、
毎日500から1リットルぐらいだったら別に問題ないみたいな感じでは書かれてありました。
水とかの代わりにごくごく飲むものではないよね。
そうです、そうです。
ちょっと水分足りひんなっていう時に、ちょっとだけ飲むとかでもいいかと思うんですけど。
なるほど。
1日中ガブガブガブガブ飲むようなもんではないですね。
そうだよね。
これ、こういうのも家にあってもいいかなということで。
また運動の時とかね、どうしても汗かきがちだと思うんで。
あとこれね、いいのがね、コンビニに売ってる。
あ、そうなんだ。最近はこういうのコンビニで売ってるんだ。
そうそう。蛍光補水液ってやっぱり薬局行かないとないでしょ?
まあそうだよね。症状がある場合に使うものっていうイメージだからな。
そうそう。だから手軽に手に入るっていう意味でもいいのかなと。
へー、なるほど。確かに。何かあった時のために置いておくのはいいかもしれない。
そうそうそうそうっていう。また会社の冷蔵庫とかにね、自分用に置いておいてもいいのかもしれないですけどね。
ちょっといいかなと。味も美味しかったんでいいかなと。
あと熱出した時とかもいいですね。家で。寝込んでる時とか水分ちょっと取れなくなったりする時もあるんで。
うんうん。汗大量にかかるからね、ある時ってね。
そうそうそう。というのをちょっと手軽に買えるものがあったので。
そしてかつ美味しかったのでということで紹介させていただきました。
はーい。ありがとうございます。
こんな感じなんでね、熱中症にも耐えて頑張ってね、行こうかなと。
どゆこと?
いや暑さにも負けずにね、ポッドキャスト続けてやっていこうかなみたいなことでございますよ。
頑張りましょう。
はい。ということでまた次回のお楽しみでございます。バイバイ。
バイバーイ。
