00:00
なんか久しぶりじゃないですか。なんかまた。 何が?
なんかあれですよね。この時期結構みんなバタバタするじゃないですか。 なんだろうね。ちょっとガッツイコーとかって。
なんかイベントが集中する時期だよね。 そうそうそう。なのでまた今回の収録もちょっと間が。間っていうほどでもないですけども空いてしまった。
なんかお二人はなんかどっか行ってたんですって? そうそうそう。なんかね久しぶりにちょっと出張が続いて。
ね。僕とかんこさんなんかね札幌一緒だったよね。 はい。ですね。一緒に。はい。札幌に。
なんかほら前はさ3人でちょっと地方にセミナーとかでちょいちょい。 あー懐かしい。
東中前はね。 そうそう博多行ったり大阪行ったりとかってあったけど。 ですね。
札幌も一緒にね。みんなで行って。 行きましたね。なんかタワー登りましたよね。
なんか登った記憶があります。 踊り公園のテレビ棟だっけ?
はい。ですね。なんか登ったよねみんなで。 登った登った。 登りましたね。
本当に観光してる感じでしたね。 文字通りのお登りさんでしたね。
まあ確かに登りましたね。 そうそうそう。いやでも本当久しぶりになんか。
だって3年、コロナ前だからもう3年ぐらい?飛行機とかめっちゃ久しぶりに乗って。 3年以上じゃないですか?
なんかちょっと少しドキドキして乗りながら。 なんかすっかり忘れててさ、なんかどうやって行くんだっけみたいな。
多分2018年ぶりとかじゃない? うん、すごい久しぶりだった。
うん、ですね。本当に。 たまたまね、札幌はちょっと看護さんとお仕事とか一緒だったから、現地で一緒だったんだけどさ。
はい。 まあでもちょっとあれだね、その
カンファレンスとかのイベントもね、オンラインから大体最近ちょっとリアルイベントに変わりつつあるけど。
やっぱなんだかんだ言って、Zoomとかオンラインでやるのと違って、直接会って、いろんな人と久しぶりに会って会話して、
ご飯とかも食べに行く時間とかもちょっとあったからさ。 そうですね。
軽く一緒に食事でもするぐらいの時間はあったから、まあやっぱりちょっとそういう時間は楽しかったよ、久しぶりで。
はい。 結構いいリフレッシュになったんじゃないですか?
うん、すごい久しぶりでなんか良かった。なんかこういうのやっぱ昔あって良かったなーっていうのを思い出したよね。
やっぱ寒いんですか、北海道は。 ちょっと寒かったよね。
少し冷えるかなぐらいですけど、まあけどちょうどたぶんギリギリ、ギリギリセーフって言うんですかね。
なんか少しまたね、あの今寒そうな。 ギリギリセーフって言うのはちょっと遅れたらアウトみたいな。
住んでる人怒りますよ、そんな。アウトでしたみたいな。 いやいやいや、すごい寒そうな感じのね。
だから気温的にはね最高10度ぐらいとかだって。 それでも最低は?
最低が5度ぐらいだったかな。だからまあちょっと寒いんだけど、でも思ったほど寒くは感じなかった。
はい、そうですね。 そんなでもなかった。まあコートはないとちょっと辛い感じだけど、
03:01
めちゃくちゃ寒いっていう感じでもなかった。そういう意味ではまだギリセーフっていうか。
いやなんか羽田空港で、なんていうかもう皆さん着てらっしゃる服装が、なんかもう超重装備になってて。
ああ、北海道に向いた飛行機の人たちってことですね。 そうですそうです。でも本当ドキドキしながら降りたんですけど。
まあなんとかパーカーで。パーカー?はい。 そこまででもないって感じだったよね。
はい、なんとか。 でも移動の時には、でも俺その後実はさ、札幌行った後すぐに沖縄に行ったんだけど。
何してるんですか?箸から箸から。 それがびっくりですよ。
いやちょっと今回は珍しく北から南まで一気に行ったんだ。一回東京戻ってきてすぐ沖縄行ったんだけどさ。
いやちょっと気温差が半端なくて。沖縄は高くて最高25度ぐらいとかで。
あったかいですね。 目高が一番成長する温度ですね。
そうなの? 目高が一番育つ温度なんですよ。適温。
なんだ育まる知識は。 小学校の時習ったの? 知らねー。
いやでも人間にとっても快適な温度でして。 快適ですよね。
Tシャツ一枚で過ごせるし。まあちょっと朝晩は羽織るものがあったほうがいいかなぐらいだけど。
まあ海が近くて寒かった。ちょっと寒い感じるんだけどさ。 でも日差しが暖かくてね気持ちよくてめっちゃ良かったよ。
なんかエンジョイしてますね。 いや仕事だけどねどっちもね。
まあでもほらやっぱり気分転換にはならないじゃないですか。 移動とかさ。食べ物を変わったりとかさ。
いや食べ物は確かにね、どっちもその現地の美味しいものっていうかたくさん食べれたんで。
そういう意味ではめっちゃリフレッシュできた。
ザンギ食べてサーターアンダーギ食べて。 サーターアンダーギは食べなかったけど。
あれはおかしいじゃん。
いやなんか似たようなビジュアルやなと思って。 確かにね。見た目はね。
多分透明に見たらわからないと思う。
全然中身違うやんけ。 中身は違うけどね。
まあまあそんな感じでしたよ。ちょっとリフレッシュさせていただきましたけど。
良かったですね。 僕は特に何もないんですよね。
あらそうなの?
公演の収録したりとか資料作ったりとか、いろいろいろいろやってましたね。
大変だね。
まあでもリフレッシュはしてますよ。合間合間で。
ゲームもクリアしたし。バットマン。
ゲームか。
ゴッサムナイツっていうね。バットマンが亡くなった後の弟子たちが頑張る話をやってたんですけど、速攻でクリアしてしまってね。
昨日からポケモンの新作やってますけどね。
なんか出たらしいね。俺もニュースで見たけど。
そうなんです。それをやり始めたぐらいの。
ポケモンGOと連動できるらしいんです。今のうちにやっとかないと思って、進めとかんとなーと思って。そのために買ったって感じでした。
なんであのちょっと全然話変わるんですけど、年末のこの時期ということなんでちょっとお二人にもね、我々セキュリティの仕事普段やってるじゃないですか。いつも。
06:07
そうするとやっぱりどうしてもね、世の中の動きに疎くなるなぁと思って。
そうかな。
なんかお二人にね、新語流行語みたいな新しい言葉ってあるじゃないですか。
それをね、ちょっとお二人に今日はこれ知ってますかっていうのを聞かせてもらおうかなと思いまして。
全然わかんないかもそういうの。
ちょっともうわからないですね。
わからないかもしれない。2問に絞りますね。さっさといきますね。
一つ目ね、補完数。
わかんない。
ポケモンの名前?
なんか確かにポケモンっぽい。
確かにそうやな。進化しそうやもんな、ちょっとな。補完数。
ヒント言うと、法と完数が分かれますね。コロナ禍だからこそ生まれできた言葉なのかもしれない。
バカンスの…
そうそうそうそう。
そっち系か、なるほど。
バカンスのバーが法になってる。この法は何?
法なんだろう。法が出てこん。
出てこないですか?出てこん数ですか?
出てこん数ですね。そうなんです。
ホテルです、ホテル。
あーなるほど。ホテルで過ごすバカンスってこと?
そうそうそうそう。だからそれだと遠方まで行かなくても、例えば東京に住んでて東京のホテルに行って1日ホテルで過ごしてね、いろんな設備とか施設もあるんで、
旅行業界の方々が作った言葉かもしれませんけど、こういう補完数っていうのがちょっと流行ってるかもしれない。
補完数出てこない。
なんかでもそういうさ、都内のラグジュアリーなホテルで1日のんびり過ごすみたいな、それもともとそういうプランとかデイプランみたいなやつあるし。
そう、昔からあったけど多分名前がつけたんだと思いますね。やっぱりこういう名前をつけて広めようみたいな感じなんじゃないですかね。
なるほどなるほど。
あと最後はですね、これちょっと補完数ともちょっと親和性があるかなっていうのがヒントなんですけども、
ぬんかつ。
ぬんかつ。
ぬんがカタカナでかつは活動のかつです。婚活動のかつですね。
ぬんが何を指しているかって。
ぬんがわかんねえな。
普段言わないからな。
ぬんって。
ぬん。
僕はよく言ってますけどね、ぬんってよく言ってますけど。
アフタヌーン。
ほとんど正解、8割正解ですよ。
アフタヌーン?
ティー。
そう、よくわかりましたね。
知ってた?
知らんかった、適当に言いました。
よく思いついたね、それ。
アフタヌーン、ティーをいろんなところで行ったりとかっていうふうなのをぬんかつっていう風に言うらしい。
それはインスタ映えするのやつを行くわけ?
多分そうそうそう、そういうのもあると思うんですよね。
いろんなとこ行って、ケーキが並んでる高級な鳥かごみたいな感じのやつでケーキ運ばれてくるじゃないですか。
鳥かごちゃうわ。
09:04
怒られますよ、鳥かご。
言いたいことはわかるけどさ。
鳥かごは鳥かごじゃねえよ。
鳥かごはだめです。
アフタヌーン、ティーのぬんをとるって不思議ですよね。
それをぬんかつって言うんだ。
ティー関係ないやんみたいな感じ。
確かにね。全然わかんないんだけど。
おかしいよな。朝かつとか言うけどぬんかつって昼間の活動みたいですよね。朝ぬん晩みたいなもんなんだよね。朝ぬん晩に分けて飲んでくださいみたいな感じの。
それ両方とも今は常識なの?
常識かどうかわかんないですけどね。こういうのって流行らそうという動きもありますから。
まあまあ確かにね。
知ってますかっていうので。ちなみに僕は両方とも知りませんでした。
なんだよ。
え、それ何で知ったんですか逆に。
えっと、えがしら2時50分さんのyoutubeチャンネルです。
情報ソースが。
あーなるほどそう。なんかちょっと納得しました。
これ知ってますかっていうのはえがしらさんにやるっていうやつをやってる。まあ毎年やられてるんですけどねそれ。
えー。知らなかった。
知らなかったね。ほかの2つ知らなかったなと思って。
自分が知らなかったやつを2人が知ってるかなと思って。
あー知らなかったです。
ありがとうございますお付き合い頂きまして。
いえいえ。
ということでお便りが来ておりまして。
はい。
はい。
えーちょっと今回ね間が空いたんで4つぐらい取り上げようかなと思うんですけども。
あーそっかそっかはい。
はい。セキュリティーのアレでiPhoneの話はよく出てきますがiPhoneの脆弱性の話はされないのかなという風に言われたりとか。
iPhoneの脆弱性?
iPhoneの脆弱性がですね11月の10日に出てまして。
あーわかったはいはい。
はい。テナントビル用インターホンの集合玄関機の脆弱性というやつで。
あのカタカナのiPhoneの方ね。
そうそうiPhoneの方なんですけど。
あーそっちか。
そうそうそう。
なんかペガサスかなんかに使われた脆弱性があったんかなとか。
違う違う違う。そんなやつじゃないんですよ。違うやつ。
日本で商標を持っているやつだな。
そうそうそうそう。
教養部の玄関とかのオートロックの会場が不正にされてしまうとかっていう脆弱性なんで。
だからいわゆる認証回避ですよね。
あーそうですね。
イベーション的な感じというか。
それ見た見た。
そうそうそうそう。
いやなんか僕も開くまで気づかなくて開いた瞬間にやられたと思いましたけどね。
そうか確かになと思って。
iPhoneってカタカナで書いてくださってたんですけど。
なるほどね。
ポチッとやって。
確かにそうね。日本でiPhoneと言えばこっちなのかなと思いながら。
こういう脆弱性って要するに報告されるんやなっていうね。
きちんと脆弱性の内容っていう風に公式の注意喚起というか重要なお知らせのところに書いてありましたね。
12:03
ネヒスさんはこのiPhoneは使ってないんですよね。
知らず知らずにお家に使ってるかもしんないですよね。
どこで使ってるかわかんないよね。
そうかそうか。
だって結構これ普及してるでしょ日本で。
いやすごいと思いますよ。
あちこち使われてると思うんだよね。
そうか。
なんかその発売されてからこれ起因で発生した被害は報告はないという風に言ってるんですけど。
これどうやって気づいたかっていうのはちょっと気になりますよね。
確かにね。何か報告があったのかな。
JVNのURLが追記されてるな。
じゃあもしかしたら調整したのかもよ。
そうですね。
あとは最近バックナンバーを含めて聞き直しました。
会社の同僚が何かで引用していたのがきっかけですということ。
広めてくださった方がいらっしゃったということですね。
聞く前に。
それはあれ何がきっかけで聞き始めたかっていうのに対してコメントくれたわけだ。
嬉しいね。
それで思い出したけどごめんちょっと遮っちゃって。
先週今週イベントがあって出張してたんだけど。
ありがたいことに行った先でポッドキャスト聞いてますって何人かに声かけていただいて。
また?
ほらリアルなイベントで人にリアルに会うのが結構久しぶりだったじゃない。
確かに。
コロナ前だったじゃん。そういうイベントがあったのがさ。
考えてみるとコロナ前ってほとんどそういうのって3人で喋ってるセミナーとかではもしかしたらあったかもしれないけど。
やっぱねこのコロナでほら収録増やして配信回数をさ週に1回で増やしたから。
確実に聞いてる人が増えてると思うんだけどそのおかげかちょいちょいリアルイベントが始まって会うとさ。
いろんな人に声をかけてもらって聞いてますよ。
いいですね。
めちゃくちゃ嬉しかった。本当にありがとうございますってみんなに話したんだけどさ。
そういう感じですごい声かけていただきました。ありがとうございます。
多分頻度も増えたからっていうのもあるんでしょうね。
そうあると思う。絶対それはあると思うね。
続きで言うと前からなんとなく聞こうと思ってたんですが手つかずだったんです。
家事や育児の際に音声メディアは抜群に相性がいいなと今更ながらに気づきましたという聞いてるスタイルも教えてくれてるお便りが来ておりました。
確かにね。何か他のことしながら音だけ聞けるもんね。
ながらができるのが。
それがいいよね。
いいですよね。
しかもながらで聞いてたりとかちょっと飛ばしちゃうとこもあると思うので2,3回聞いていただければね。
年には年後ね。
2,3回聞いたぐらいでちょっと面白さわかってくるところもあるかもしれない。
確かにね。
自分で聞いてても2回目3回目の方が同じの聞いてんのになんかおもろなってないかって思うときは。
15:00
すごいですね。スルメみたいな感じですね。
確かに確かに。
噛めば噛むほど。
シャッフル再生でもいいんちゃうかなっていう。
シャッフル再生。
なるほどね。
なんか久しぶりに聞くとなんか新しい発見があるかもしれないね。
新しい発見があるかもしれない。
確かにそうですね。
次のお便りですね。
標的型攻撃をDDoSでごまかして侵入できたらジョーシスメンバーが少ない土日でコソコソという流れかなと推測しましたという。
カスペルスキーが出してたDDoSが多いのは何曜日っていう記事が木曜日になってたと思うんですけど。
それがあって土日働くから前の水木あたりはお休みとかそういうのがあるんですかねみたいなお便りですね。
どうなんですかねこれ曜日とか。
でもどうなんですかね。
攻撃するシステムにDDoS自体は自分もできひんやんみたいなのもあるから。
いやだから直接その多分陽動的に使うっていう話の話だと思うんだけど。
目くらましとかさ。それはよくある話なんだけど多分直接侵入とかをしようと思ってる奴をDDoSするんじゃなくて多分別のところを狙って。
取り離されてるようなところとかね。
向けと一定的な話だと思うんだけど。
前からでもそれよく言われてるんだけど本当にねどれくらい効果があるかよくわかんないなーっていうのは常々思うところではあるんだけどね。
そうですねなんか実情のところがこういうのに来ててDDoSが来てて標的型も来てて気づきませんでした事例が出てきたわけではないですよね。
あとねそのよくDDoS攻撃狙われるところはまあ慣れてるからさ対応が。
ドス慣れしてますからね。
同時に来たところであんまり返して変わんないかなっていうのと逆に慣れてないところはDDoS攻撃なんか滅多に来ないところがDDoS攻撃が来たら
逆にその警戒度合いが上がっちゃう感じもするんで
むしろそんなことしないでめくらばしなんかしないでこっそり狙ってやった方が成功率が高いような気もする。
ちょっとだからその辺のよく言われる話ではあるけど
実際の効果のほどはなんかよくそのちゃんと実証されてないっていうかよくわかんないところはあるよね。
今年やかには言われるものの実例が延々と出てこないみたいなところはちょっとある話題かなとは僕も。
曜日のところは何かしらその関連性はあってもおかしくはないけどね。
そうですね。なんかこのレポートさらっとだけ見ましたけど攻撃のピークと他には7月が最も対照的やったらしくて。
7月1日は1494件で一番多くて7月24日は135件というなんでよりにもよって僕の誕生日に一番件数多いねっていう感じはしたんですけどね。
そんなことが書かれてありました。もし興味ある方は読んでいただければいいんじゃないかなと思います。
最後のお便りなんですけれども医療機関でのサイバー被害事例が増えていますね。
18:05
ふと気になったのですが攻撃者側では何かしらここは脆弱だから攻撃しやすいぞリストを作って共有していたりするんでしょうかとのお便りが来ております。
ここは攻撃しやすいぞというか最近のやつだと脆弱性というか脆弱性を悪用して取得した認証情報のリストみたいなやつの販売とかね。
前にここでも話したかもしれないけどそういうのの販売とかそういうのはあると思うんだけど。
それが医療機関にシーバーを絞られているかというとそうでもないんじゃないかなっていう。
売られているのとか見てると偏って医療機関をいっぱいみたいな印象は僕にはないんですけどね。
ここは脆弱だから攻撃しやすいぞというか脆弱だから攻撃したからやり方を教えたろうか売りますよみたいなものは多分いろんな業界関わらずたくさんあるんだろうなと思うし。
普段からどういうアプリ使ってるリストぐらいは作ってるかなって気はしますけどね。このターバーのこのバージョン使ってるリストがあってそれに該当するエクスプロイトとか攻撃行動脆弱性が出たらサクッといっちゃうみたいなことは攻撃者おのおのやってるように僕は思いますけどね。スピード感見てると。
共有というよりは金銭の繋がりの方が多そうなイメージは今のところはありますけどね。
共有することで何かお互いにメリットがあれば共有するだろうけど、今みたいな話はどっちか独占した方が旨味があるというか、まさにビジネスとしてお金のやり取りした方がという感じもするし、実際そういうマーケットがあるわけだから。
共有というよりはそういう連携だよね多分ね。
そうですね。多分そういう役割分担をしてるんだということですかね。
そうね。
はい。
わかりました。ということでお便りは以上なので、もしお便りをですね、くださる方はシャープセキュリティのあれっていうハッシュタグをつけてツイートいただければ拾うかもしれません。拾ったらステッカーの印刷コードを差し上げますということでよろしくお願いしますということです。
質問というかお便りの内容も、いろいろ幅があっていいね。
自分のところの組織の事例の話だったり、今みたいなちょっと突っ込んだ質問だったり疑問だったり、3人はどう考えてますかみたいな質問もあればさ、
コメント周りの、わりとしょうもないって言ったらあれだけど、お勧めのあれに対する反応的なのもあったりとかさ、いろいろ。
何がしょうもないか。何を言うか。
いや幅があっていいなと思って。
21:01
そうですね。
いやほら、あんまり硬すぎるとさ、敷居が上がっちゃうし、笑いに偏りすぎてもさ、それはそれでまたハードルが上がるから。
そうですね。バランスが。
そうそう。コーナー、いろいろ取り混ぜてあった方がいいなってことよ。
そうですね。なんかうまくごまかされたような煙が流れたような気がする。
バタガン。
でもね、僕もそれは同じようなことをちょっと思ってて、僕らはちょっと気になるニュースがあったとか、この場で喋るっていうのもあるし、セミナーとかの収録の時にこの件どう思いますみたいなことで、
別にチャットとかでも普段から聞こうと思えば連絡取るうち聞けるじゃないですか。
お互いにね。
そうそう。ニュースを読んだ時にこれどう思う?僕はこう思うんですけど、ネギさん、カナコさんどう思います?とかっていうのは気軽に聞けるじゃないですか。
でもこれを聞いてくださってる方はみんながみんなそうじゃないと思うんですよね。
なるほどね。
だからお便りっていう形で質問してみたりとか、全部拾えるわけではないですけれども、この話を聞いてて、自分が関心のあることを話せたら、この3人はこういうふうに考えるのか、自分はこう思うなみたいなところがあって、なんかちょっと前に進めるような気がするんですよ。そういうのがあると。
なるほど。
聞けるっていう間接的というかちょっと遠回しかもしれないですけど、自分の気になることを聞けるっていうのはすごくいいんじゃないかなと僕は思ってて、結構質問系はよく取り上げる傾向にあるかもしれないですね、僕は。
確かに。嬉しいですよね、それもね。またお待ちしてます。
ありがとうございます。お待ちしてます。ということでセキュリティの話をしていこうかなと思うんですけれども、じゃあ今日僕からいきますね。
お願いします。
今日はですね、ロックビットのちょっと変わった、そんなことするアフィリエイトがいるのかみたいな話をしようかなと思ってるんですけども、その話をする前にですね、僕がたまに、僕がたまにというか僕しか言ってないんじゃないか単語の結構上位に来るのに、プリカーサーマルウェアってあるじゃないですか。
あまり確かに聞かないね。
先行マルウェアとかっていう風に言ってますけど、何かマルウェアが入って、何かしらのマルウェアが入ってきて、その後に別のマルウェアが入ってくる。そこにランサムがあったりするとかっていう話をよく公演とかでもさせてもらってるんですけれども、
例えばちょっと前に有名なやつとかでいろんなところに取り上げてたり、トリプルスレッドなんて名前がついてて、エモテッド来てトリックボットが来てその後にリューク来るとかね、あとはアイスドIDからランサムXとかクアンタムランサムが来るとか、このポッドキャストでカンゴさんが紹介したバンブルBとかもね、後からクアンタム来るとかマウントロッカー来るとか、あとは止まったけどコンティが来たとかいう例なんかもあったりしますという風なことがあるんですけれども、
その中でね、ロックビットってどっちかっていうと脆弱性で入ってきたり、認証突破で入ってきたりとかってネットワークで何かしら入り口こじ開けて入ってきてみたいなイメージが強くないですか?
確かに。
なんか先行マルウェアからロックビット来たってあんまり聞かなくないです?
24:04
事例としてもあんまりないかもね。
国内とかはロックビットイコールVPNからぐらいのイメージついてるんじゃないかなって。
VPNキーが応じられること多いですよね。
多いと思うんですよね。
今回僕が取り上げたりとか気になった、紹介したいなと思ったやつは、ロックビットが先行マルウェア経由で別のマルウェアを通じてきたというお話をちょっとしようかなと思いまして。
これのレポートを出してくれてたのが、韓国のアンチウイルスメーカー、ウイルス対策ソフトのメーカーのアンラボっていうところがあるんですけれども、結構昔からありますけど、ここがレポートを少し前に出してくれていまして、
使われたマルウェアっていうのが、いわゆる先行マルウェアみたいに使われたものは、アマディっていうBotって書いてありましたけども、2018年の秋ぐらいからに活動して発見されたもので、
2020年ぐらいには結構見かけなくなったって言われてるBotがロックビットの前に来てたっていう話なんですね。
あんまり名前聞かないよね、これね。
そうですよね。僕もあんまり見たことあるかもなぐらいの感覚しかなかったですね。
主な機能は感染した環境の情報を集めて、追加の何かしらマルウェアを入れ込むみたいなやつがあって、実はこれランサムの関連の経路に実は過去になったことがあって、
一つがガンクラブ。僕がよく追っかけてる系のやつでいう、いわゆる二重脅迫とかネットワーク侵入型でいうと、クロップがこれ経由で来た事例があるって書かれてましたね。
2020年の7月ぐらいにもこういったキャンペーンがあったらしくて、このアマディのキャンペーンですね。
その時にはソフトウェアクラックするためとか、あとはライセンスキーを生成するキージェネレーター、予想を追って感染するっていう風なのがあったらしいんですよ。
その後来たのは、ねぎすさんがたまに取り上げてるインフォスティーラー系のレッドラインっていうマルウェアを投下していくっていう風なものがあったんですって。
それがちょっとここ最近、このアマディの活動が活発になってるっていう風なレポートの中で感染するのが、最終的に感染するのがロックビットだという風なものなんです。
で、配布の方法なんですよね。配布というかデリバリー、そのユーザー、感染させるユーザーにデリバリーする方法なんですけど、
そんなんなんっていうのが挙げられてまして、一つはワードのドキュメント、よくあるマクロが実行されていって最終的に感染するっていう風なものと、
ワードのアイコンを偽装した実行形式の、いわゆるエグゼファイルですよね。
っていう風なものを感染させるように、メールとかそういうメッセージング系のものでやってきて、それC2に繋がってみたいな流れなんですよ。
で、これ自体はよくある、いわゆるマルウェアというのと他のマルウェアとも変わらずですね、感染した時ってのは自分自身のコピーを添付とかに、添付フォルダとかに作って、
27:07
スケジュール登録して再起動しても大丈夫みたいな永続性を確保するっていう動きをするんですけど、
その後にですね、C2に接続した後に、そのC2からパワーシェル形式かエグゼ形式のロックビットが彫り込まれて実行されるっていう風なキャンペーンだったそうです。
で、そのレポートには過去の、韓国語のメールで書かれてるのは韓国語の人をターゲットにしてるんだと思うんですけど、
韓国向けのロックビットキャンペーンっていうのは過去にもありました。2022年の2月、6月、あと9月っていうのがありましたっていうのがあって、
2月、6月の時は、ロックビットはまだ2.0の時ですね。
この時は著作権侵害してますよ、あなたとか。履歴書を送りますみたいなもので、直接添付されてくるっていうパターンですね。
2022年の9月にロックビット3.0になってからのやつも、これは求人募集でエグゼを直接貼り付けて、ロックビット貼り付けて送ってくるバージョンと、
ワードから、マクロからドロップさせるバージョンみたいなものがあって、これの添付はZIPファイルなんですけど、パスワード付きの。
開くとJPEGとエグゼの拡張紙があって、JPEGはJPEGにしてるだけで実はエグゼなんですよね。
画像を開いても上手く開けへんからエグゼの方を開いてみようって開かせて感染させるっていう風な動きをする狙いのキャンペーンがあったというようなものがあって、
僕のイメージだとロックビットをイコールネットワーク侵入っていう風に考えちゃってたんですけど、これアフィリエイトがどうするかだけなんで、
このやり方結構被害範囲が狭くなりそうな感じがするので、あまり身代金を要求する側からすると効果的じゃなさそうではあるんですけど、
そんなにネットワークに侵入して広げていって、ラテラルしてみたいなスキルがなくても、このやり方で稼ごうと思えば、もしかしたら稼げんのかなっていう風な気がしたので、
ちょっとなんか自分は反省したというか、そういうパターンあるんやみたいなところを考えてたので、
新鮮かつ古典的やけど、こういうやり方する、こんだけ被害が多くなってるランサムのマラースのシステムだったらいろんなアフィリエイトもいるから、
こういうこともあってもおかしくないのかなって、斬新かつ新鮮なやり方が古典的すぎて、こういうのもあるなっていうのを改めてハッとさせられたということで、皆さんにこんなんもあるよと思って紹介をさせていただきました。
一周回って斬新かつ古典的ってちょっと意見矛盾してるけどさ、
でもそれだけ多分、やるからには効果があるという見込みがあるというか実績があるというか、なんかそういうことなんだろうね多分。
30:01
そうですね。
あとまあその、あんまりその大規模ではなく、例えば限られた部分でのキャンペーンとかだとすると、なんかそこでは有効とかそういうこともあるだろうし。
そうですね。
だから必ずしもその一つのその面だけを見て、これは本当に効果あるの?みたいなのを思っても、ちょっとね僕らがそれ知らないだけかもしれないしな。
はいはいはい、そうなんですよね。
もしかしたら端末1個をやっちゃえば、なんかその結構小さめの組織とかだと、アクセス権とかもあんまり関係なくファイルサーバー誰もがこの辺アクセスできます。
業務に使うようなファイルは誰でもアクセスできますみたいなものも多いから、そういうところを狙うともしかすると、ネットワークに侵入したのと同じぐらいの成果を上げれるのかもしれないなとは思いました。
なるほど。小規模なところだとそうかもしれないしね。
リモートドライブ全部いけちゃうんじゃないかみたいなとかね、例えば。
これはちょっとね、本当に矛盾ですけど、斬新かつ古典的というか。僕の中では矛盾してませんよ、この言葉はね。
僕から見たらそうだという。
まあまあでもそうね、言葉的にはなんか矛盾してる感じがするところが面白いよね。
びっくりしましたね、ちょっと本当に足元救われた感じがしました。
まあでもこういうのはあれだよね、今まで来てた攻撃手法とかアタックベクターがこうだから、今後もそうとは限らないわけだし、
常にこういうことって起こり、それ今回のケース限らずさ、なんか古典的なのがいつまでも続くかと思ったらなんかいきなり新しい手法が出てきたりだとか、
あるいは今回のケースはちょっとよくわかんないけども、同じマルウェアを使ってるようにイメージで実は使ってるアクターがまるで違ってて攻撃手法もまるで違うとかさ。
そうですね。
まあそういう事例はいくらでもあるからね、あんまり何かをきっかけに先入観を持って考えちゃうと、これがこんなことするはずがないって思っちゃうから、
まあちょっと危ないよね、そういうのはないようにっていうのがなんか、今聞いててそういうのもなんか思ったけどね。
そうなんですよ、だからロックビットがこういうことやってきたっていう風に言うこともあんまり良くないのかなと思いましたね。
どのアクターがっていうことだよね。
アフィリエイトによりけりなんでっていう、そうそうそうそう。
というのとあとあれですね、これ同じことをスレッドをハイジャックするエモテッドみたいなやり口でやられたらって考えると割とゾッとしません?
エモテッドと同じようにきて、同じように開かれてたら結構アビ共感なんかなって思ったりとかして、まだまだ有効な攻撃手法なんやなっていうね、という風に思いましたという話でございました。
まあ攻撃手法の進化ってね、その古いものが使えなくなるとか対策が進んで効果がなくなるから移っていくわけであって、効果があるうちは何もコストかけて新しい方に変える必要性は必然性もないわけだしね。
ないですね。
33:00
まあそのあたりのこうちょっとね、防御側とのバランスというか、そういうのはあるよね。だからまあちょっと僕ら守る側がそういうこう対策をどんどんちゃんと進めていって、こんな古典的な手法はもうどこでも通用しませんよっていう世界を作り上げていかないと、いつまでたっても通用するじゃやっぱダメだしね。
そうですね、その地固めをせずに新しいことの対策だけをやってたら足元救われて、おっとそこかみたいなことになり得るっていうことですからね。
確かにね、まあなんかそういう教訓というか何というかなんかね、そういうことを示唆しているかもしれませんな。
はい、そういう風に僕も思いましたし反省もしたということでございます。
ありがとうございます。
はい、ということで次はカンゴさんお願いしていいですか。
はい、今回は私、今めちゃめちゃ話題に上がってたエモテッドの話を取り上げさせていただきたいんですけども。
お願いします。
またエモテッド化って感じはあるんですが、プルーフポイントっていう会社ご存知だと思うんですけども、
そちらがブログでですね、
2022年秋のエモテッドの復活を総合的に考えるっていうタイトルで記事を公開16日にされておられてですね、
エモテッドご存知の通り11月入ってからバラマキの活動が再開したっていう風に報告はされてるんですけども、
その状況をかなり幅広くと言いますか、
本当にこのタイトルの通り、総合的に分析をされてまとめておられる結構いい記事だったので、
ちょっとその内容をご紹介したいなと。
内容そのものというか、エモテッドのこんなことが既に再開して確認されてますよっていう内容そのものは、
これまでも報告されている通り、
11月の初めにバラマキの活動が再開していて、
あと一部では既に報告もされてるんですけども、
エモテッドから別のマルウェアがまさに呼び込まれている状況っていうのも既に観測をされていると。
具体的にはICEDIDですね、そちらが確認されてるって話が取り上げられていて、
今回は記事中でもエモテッドとその後に入ってくるICEDIDの結構技術的な解析をされた内容なんかも含まれているというところではあるんですが、
ただちょっと細かい点とかを注目していく中で、
フルーポイントも以前とは異なる点が見られるところから、
今回のこのエモテッド、11月に再開してるんですけども、
ここに関わっている人が、例えば新しい登場人物が出てきて、
管理者であるとかオペレーターであるとかっていうのが関わっている可能性っていうのがありますよというのも評価、分析から評価をしていると。
36:06
やっぱり気になるところなんですけども、
再開後にどれくらいこのエモテッド感染のメールってばらまかれてんのっていうのはやっぱり気になるところではあって、
っていうのもやっぱりこのエモテッドのやり方って、
ばらまかれる数っていうんですかね、その規模感がやっぱり一番脅威ではあって、
単純に数がめちゃくちゃ増えれば、仮にごくごく少数の割合の人しか騙されないような内容であっても、
大量にばらまかれれば絶対数としてはそれなりの方が感染被害に遭われる可能性ってやっぱり上がってくるので、
やっぱり規模感って結構注目ポイントではあるかなとは思ってるんですけども、
プルフポイントが観測している範囲においては、11月再開以降は約1日10万通程度のブロックをしていると。
この数自体は大体その再開以前のエモテッドのばらまきの平均的な数字に近いという形で観測している話ではあるので、
再開後の状況っていうのはほぼほぼその再開以前のばらまかれている状況と変わりがないというか、
それと同じような状況にすでになっていると。
たまたま飛んでくるような状況ではなくて、おそらくもう割と自然にエモテッド感染のメールが飛んできてもおかしくない、
そういった状況になっているのかなという話ではあるんですけども、
あと面白かったポイントとしては、4ヶ月間はお休みというかばらまき活動は止まっていたんですけども、
その間にもばらまきこそなかったものの、例えばコインマイナーですかね、モネロを採掘するようなコインマイナーのばらまきが観測されているであったり、
あとはこれは以前もお話、もしかしたら取り上げていたかもしれないんですけども、
モジュールがばらまきの1ヶ月くらい前にアップデートされて、
やっぱり一部情報収集というか、感染している端末の様子をしっかりモジュールで確認をして、
ボット化というか観測セキュリティ研究者の人がたまにボットネットに自分の研究用のボットネットを含ませて状況を把握するという手法は結構捉えているんですけども、
Emotetでそういったリサーチャーが稼働させているような観測用ボットを確認するための手段として、
そういった新しいモジュールで確認をするという機能が取り入れられているのではないかという話があったりとか、
39:05
あとはiSEED IDも通常よく見られるケースとしては、
2つのステージで構成されている2段階のマルウェアというところで、
1段階目でクッキーなどを使って情報流出させた情報をコマンド&コントロールサーバーで受け取って、
その後のペイロードを落としてくるかというところを確認するというような動作をしているんですけども、
今回のこのEmotetを通じて振ってくるiSEED IDについては、その確認の部分が省略をされているという話があったので、
proofpointの見解としては、チェックする必要がそもそもEmotetで感染しているので、
なかったからではないかみたいな話なども分析をしておられたと。
なのでさっきの10万通で、実際の記事中でもどのあたりの国にばら撒かれているかというのが書かれているんですが、
しっかり日本も入っていてですね。
当然なんですけども、日本語にある程度ローカライズされた形で、
例えばパスワード付きのZIPでメールが届くので、
添付ファイルの回答パスワードをお知らせしますというのは、ちゃんとしっかり日本語になっていると。
不幸中の幸いなのか、実際その後に添付されているファイル、Excelなんですけども、
それを開いて表示される内容は今のところは英語表記ではあるので、
以前もお話ししたトラステッドゾーンですね。
そこに置いてください、開き直してくださいというのが英語で書かれているので、
これを実際にやる方っていうのは結構少ないのではないかなとは。
日本語で書かれているよりかはマシかな。
そもそもこれね、たぶん何書いてあるのか意味わからんみたいな感じだと思うんで。
でもね、何が書いてあるかわからんからこそ、はいはいしちゃうっていうのもありますからね。
ここにちょっと置いてみちゃおうかなみたいな、確かにそれはあるかもしれないですね。
なのでフルポイントもちょっとこの方法が本当に有効かどうかっていうところは、
まだちょっと何とも言えないというような、そういった評価はしているという話ではありました。
なので実際にさっき10万通って話したんですけども、それなりの数がすでにばらまかれていることであったり、
さらに先のアイスドIDがすでに降ってくる状況っていうのが、
実際こういうふうに観測されている話ではあるので、
以前の非常によろしくなかったマリシアスなファイルをばらまく、
そういった配信インフラストラクチャとしてしっかり機能してしまっているんだなという現実を今回、
42:03
この総合的に考えるというブログ記事を通じても改めて感じたところです。
ただちょっと1点、ここが記事中にも書いてあるんですけども、
15日だったかな、数日前ぐらいから、
今日これ収録した20日ですけども、数日前ぐらいからまた配信が確か止まってたはずで、
これまだ止まってたと思うんですけども、またなんかちょっとエモテッド得意の、
動いたと思ったらまたすぐ止まるとか、気づいたらまた動いてるとか、
そういうのをよくやるケースではあって、また15日以降は確か活動が止まっているので、
ちょっとその辺の動きとかっていうのもやっぱり、
さっき大量の数がばらまかれているっていう話もあったので、
その辺を含めて状況を見ていただくのがよろしいのかなというふうには思いました。
活動を再開したとか活動が止まったっていうよりも、
今まで来てたやつがちゃんと対処できてますかってことを考えればいいのかなってきますけど、
動いたから気をつけるとかではないというか。
そうですね。
差分があったらその差分は見ないといけないと思うんですけど、
動いた動いてないだけでこううおさおするのはちょっとあまり良くないのかなっていつもこういうのを見てて。
そうなんですよね。やっぱりこうやって頻繁に止まったり動いたり繰り返してると、
活動停止っていうニュースがちゃんとリアルタイムで把握できてるかっていうところが出てくるので、
それにやっぱり津井さんおっしゃってる通り動さをされずにっていうのは大事ですね。
看護さんこれさ、メールのばらまきの水準はその以前のような平均的な部分に戻ってるから注意した方がいいよっていう話だったけど、
以前国内で感染がすごく増えた時に感染しましたとか情報がそれで漏れしましたとか、
あるいは感染はしてないけどメールの送信で何か抑揚されてますとか、
そういうリリースが国内の企業からたくさん出てたとかっていう時期があったじゃない。
ありましたね。
今回11月再開して以降、何か例えばそういうような方面から何か活動が活発になったなっていうのを感じるような側面はあるの?
今年の春頃っていうんですか、プルポイントのグラフでもスパイクしてるような山があるんですけども、
その時に比べるといく分かは目にする機会は少ないけども、やっぱりすでになりすましメールにご注意くださいであるとか、
そういったメールを開いてしまったのでご注意くださいとか、
そういった内容の注意喚起とかプレスリリースっていうのはすでに国内でもちらほら出ているという形ではあります。
じゃあやっぱりばらまきメールの主要なターゲットの一つでもあるし、
日本は実際にそういう被害がすでに発生しているのも確認はできているということだね。
45:00
怖いなって思ったのは、いきなりこの大量のメールをばらまくBotnetっていうのを再開直後に稼働させられたっていうのは結構衝撃ではあってですね。
4ヶ月間あったにもかかわらず、やっぱりその期間中にBotnet、Emotetに感染しているであろうそういった端末群を十分に解消できなかったっていうのは結構ちょっと衝撃というか悔しいなと。
以前のテイクダウンの時もさ、テイクダウンした側が上手かったというか、いろいろ法執行機関が連携してやったのが上手かったのがあるけど、逆に言うと我々やられている側というか守らなければいけない側の方はうまくそれに対応できなかったということも一方で言っているわけで、
そういう法執行機関のテイクダウンの作戦がうまくいったから良かったけど、あれがなかったら多分そのままだった可能性が高いじゃない。
そういう意味で言うと感染してないところは多分もうずっとしてなくて対策有効なんだけども、できてないところは相変わらずやっぱり狙われちゃってるというか、攻撃側が活動すれば感染するし、ばらまきもすぐ再開できちゃうし、
活動を止めていても、じゃあその間に対策が進んで減らせているかというと、そういうふうにも今回の見ると、すぐ再開しちゃってるのを見ると、そういう意味でやっぱりその辺の対策がまだ徹底できていない状況が見えるよね。
そうですね。
テイクダウンなのみではやっぱりダメだと思うんだよな。
本当にそうですね。
毎回毎回それがうまくいくとは限らないしね。
はい、そうなんですね。本当にそれは思いました。
僕なんかこのレポート自体もすごい興味深い内容だなと思ったんですけど、やっぱり僕は自分の関心事のところで、エモテッドの次に来るやつがアイスドアイリータとバンブルビーの報告があったっていうのはちょっと割と、
エモテッドに対するというよりは、エモテッド起因としたその先のさらに大きな被害っていうふうなものを、もう一段階上げて警戒していかないといけない感じかなっていう気はしました。
あとなんか細かいけどさ、そのアイスドアイリータの動きが単体で来る時と微妙に違うっていうのも面白いね。
そうですね。
これはつまりエモテッドと連携して活動することが最初から織り込み済みで活動しているわけで、
そのあたりがちょっとバラバラじゃなくちゃんと繋がってやってるっていうのはちょっといやらしいというか、興味深い。
連携されてるんだなっていうのは。
不必要な機能を落とされた軽いのが来るとかね。
そうそうそうそう。
なんかちゃんと連携というか提携というかね、そういう感じが明確にする動きだなって思います。
48:04
なんかね、しばらくちょっとこの辺の活動は、まあランサムウェアに続くというのも当然またあるだろうしさ、さっきのついさんのところで言ったトリプルスレッド的な話。
そういうのも依然としてまだやっぱり脅威として残ってるわけだし、あるいは単体として見ても情報抜かれたりとかいろんなのにその後の活動に使われたりだとかっていう依然として脅威はあるし、
結局攻撃側が再開するやべるとかっていうのをして、それにこうしてできちゃってるっていうのを防げてない、妨害できてないっていうのはちょっと状況としては良くないよね。
なんかね、その辺は今後もちょっと注意してみつつ対策を進めていかないとまたやられちゃうか感じがする。
そうですね。ありがとうございます。
はい、ということでですね、今日はおすすめのあれをもうそろそろ紹介したいなと思ってるんですけれども。
お願いします。
今日紹介するのはですね、お店なんですけれども。
何系ですか?
和菓子。
和菓子、いいね。ちょっと珍しくない?今まであんまりないパターンじゃない?
和菓子多分あんまり紹介したことないかもしれないですね。
そうですね。
石化堂っていうお店なんですけど、雪、スノーの雪に花、華やかな、華やか日本の時に使う花ですね。
で、お堂の堂で石化堂って読むんですけども、これあの赤坂、東京の赤坂にあるお店なんですけど、いくつかあるんですけど赤坂が本店なんですね。
で、僕もいろんなもの食べてて、ここのもの食べてて、知らなかったので調べてみたんですけど明治12年からあるらしくて。
おーすごい老舗じゃん。
そうそう。で、和菓子、いろんな和菓子置いてる屋さんです。
そうなんだ。
例えば有名なやつとかやったら、コンペイトーとかクリキントンとかドラヤキーとか。
なるほど。伝統的な日本の和菓子が結構揃ってる感じなんだ。
そうそうそうそう。しょっぱい系はちょっと少ないかな。甘いのが多い。
で、通販とかも一部やってて、全商品ではないんですけど、東京に住まれている方で行きやすい方とかは直接行ってもいいと思うんですけど、通販もいくつか制限はあるんですけど、売られているものの中にはあるんで。
ドラヤキーめちゃめちゃ美味しいですね。結構僕も仕事の出先からちょっと酔ってとかするんですけど、行くたびにこんなもんあんねやみたいなものもあって、品数が多いので見てて楽しいっていうのと。
あと前から紹介しようかなと思ったんですが、なんでこのタイミングで言ったかというとですね、11月の中旬下旬ぐらいから期間限定でイチゴ大福が出るんですよ。
51:10
ほー。
はい。で、一応ちゃんとお店にも確認したんです。イチゴ大福そろそろですか?みたいなことを一応連絡してみたんですけど。
はい。じゃあ11月の中旬下旬ぐらいに来ていただければみたいなことをおっしゃってたんで、めちゃめちゃ僕すごいイチゴ大福。あんまりそんな大福って食べないんですけど、イチゴ大福はすごく好きなんですよね。
へー。ちょっと他とは違うの?
違いますね。なんかあっさり、あっさりめなんかな?僕からすると。あんま甘ったるくもなく、ちょうどいいんですよ。酸っぱいのと甘いのとの間みたいな感じで、その2つがね。ちょうどバランスが良くて、いいなっていうふうに思うんですよね。
なんか今ちょっと言われてウェブサイトを覗いてみたけど。
はい。私も今見てます。
商品たくさんあってなんかどれもみんな美味しそうなんだけど。
あとなんか甘納豆とかは通販してたんかな。あと店舗限定とかもあったりはしますけど。
甘納豆ちょっと和菓子というテイストじゃないけど、甘納豆もなんか美味しそうだねこれね。
甘納豆結構有名みたいですけどね。
いや全然知らなかったわ。なんかいやでも和菓子すげー美味しそうこれ。
なんかどれもね。多分自分のなんか1個ぐらいは好きなやつあると思うんですよ。これで結構美味しそうって思えるようなものがね。
確かに。どれもみんな美味しそうなんだけど。和菓子大好きだからさ。なんかみんな美味そうに見えるんだけど。
そうなんかちょっと出かけたついてとか、通販に売ってるものがもし興味あったら頼んでみてもいいんじゃないかなっていうふうに。
なんか冬場って家で甘いもん食ってるイメージないですか?ない?
ない。ないけど。
ない?
ない。ないけど。
ほんま?なんかこたつの上にどら焼きとか置いてない?
ない。ないけど。
こたつの上にどら焼きか。
うちおじいちゃんおばあちゃん家がそんな感じだったんですよ。
どっちかっていうとうちはみかんかな。
そうですね。みかんもあったな。
みかんもあったな。和菓子よりはみかんって感じだけど。
いいねこれね。これイチゴ大福はあるけどさ、その季節ものじゃなくて、なんか一番のオススメ的なものはなんかあるの?どれも美味いの?
どら焼きですね。
どら焼きですか。どら焼きもこういう種類があるのね。いくつかね。
あるんですね。
ダイナゴンとかね。ハーブイースとかいろいろある。
ちょっと食べてみたいな。食べたいです。
え?
私も食べたいです。
そこでね、そこでちょっと思ったんですよ。
このウェブサイトをお二人も見てるんだったら、ご予約品っていうところに焼きいんっていうのがあるんですよ。
本当だ。
これ、どら焼きにあれって入れたやつ作りたいなと思ったんですけど、なんか3万円くらいからって書いてある。
54:00
そりゃそうだよな。
そんな3つとか5つとかでやってくれないんですよ。
そりゃそうだよな、確かに。なんか贈り物とかでまとめていっぱい作るとかそういう時だよな、多分。
それこそね、例えばIT業界系とかユーザー会みたいな人がお土産くれるイベントとかあったりするじゃないですか。
ああいうのに会社のロゴが印刷されたり、ケーキとかくれる時ありますけど、そういう規模感ですよね、多分ね。
じゃあ俺らもオフ会か何かやって配ればいいんじゃないの?
コロナ開けたら、だからあれですよ、どら焼き配る会やったらいいんじゃない?
いいや、やろうや。
そこにどら焼きにあれって書いてる。
あれって書いてるやつ。
セキュリティのあれって普通に入りそうですよね。
いいですよね、あれどら焼き。
あれ焼き、あれ焼き。
いいですよね。
紅白まんじゅうでもいけますよ、どっちかですね。
いや、紅白まんじゅうよりどら焼きのほうがいいな、俺。
でもあれですよ、紅白まんじゅうやったら赤い方に、白い方にレーって書けますよ。
いやいやいやいや。
赤になったらレアになっちゃう。
今ね、見てみたらね、紅白まんじゅうは白の方にしか焼き入れてくれないそうです。
ダメだ、ダメでした。
どら焼きにしよう。
どら焼きですね。
これちょっと候補に入れときたいなと思って、それも兼ねて紹介させていただきました。
はい、どら焼きのあれを楽しみにしてます。
楽しみにしてますってどういうこと?これ僕がやるの?これもしかして。
楽しみにしてますってすごい人事のように聞こえてきたんですけど。
そう、そういう前提で喋ってた。
そういう前提のやつでございますか。
まあいいですけれども。
わかりました。ということで今日は以上ですかね。
また来週の次回のお楽しみでーす。バイバイ。
バイバーイ。
