00:00
体調崩してた。 先週?
喉がちょっとやられましたね。 えー、なんかそういう、そっち系の風邪なのかな?分かんないけど。
夏に大体いつも1回はやる感じあるじゃないですか、僕。 意外となんかね、一番、この3人の中で一番そういう体調崩しがちっていうか。
そう、確かにそうかな。一番気使ってる感じしますけど。 僕がこう言うてるからなんか知らんけど、2人が体調崩しててて、あんまり記憶ないな。
いや俺も自分でないよ。風邪引いて寝込みましたって記憶なんか全然ないわ。 あーそうですか。
いやいや、季節の変わり目っていうのもあるのかな。 まあそうね、気をつけた方がいいけどね。
まあ結構バタバタしてたっていうのもあるんですけどね。 そういうのに一番抵抗力が下がりやすいって言うのか。
ちょっと知らず知らずに無理してたりするんですけどね。 もうすっかりいいの?
いやーすっかりではないですね。 あーそうですか。 休みたく?今日はもう。
いやいやいやいや。 お疲れ様でした。 最短配信じゃないですか。 送られる?
そんなもう2分も経ってませんよ。 たまにはそういうのもいいかもしれないけど。
いやいや、あかんやろあかんやろ。そうやったらもう出すなって言われますよ。 ちょっと喉の調子がそんなに良くないので、ちょっと控えめというかちょっとなんかこう
胃がらっぽい感じの声になってしまうかもしれないですけど。 全然大丈夫ですよ。
ちょっとその辺はご容赦いただきたいなという。 じゃあ今日は短めで。そうですね。何のあてにもならへん短めというやつですが、ちょっとお便り来ておりましてですね。
はいお願いします。 記事を引用いただいてですね、僕ほら蚊に刺されへんっていう話したでしょ。
あーなんか今年は少ないんかなみたいな、絶滅したんかみたいな。 蚊に刺されなかったのは猛暑のせいじゃないかということで、そこで一回
差し示してくれてあった記事には、やっぱり秋の方が刺されやすいから、これから対策ちゃんとしといた方がいいみたいな記事を教えてくださった方がいて、やっぱり暑さで活動が鈍ってて、そろそろ涼しくなって、あと日も短くなってくるでしょ。
夕方ぐらいから出てきやすくなるみたいな。 なるほど。前回看護師さんが言ってた通りだね。そうそうそう。だからちょっと気は抜かない方がいいんじゃないかというお便りを。
そうですね。 いただきました。だから僕もね、体調を崩す点とね、どんどん蚊に刺されるぐらい外に出るように元気でおらなあかんなっていうふうに思いましたよね。
別に蚊に刺される必要はないと思うんだけど。 そうですね。それが別にインディケーターでもないやろうと思うんですけど。
質問が来ておりましてですね。NMAPのポートスキャンで侵入テストをかっこペネトレーションテストになるんでしょうか?それとも脆弱性チェックに分類されるのでしょうか?というお便りが来ています。
03:03
ポートスキャンはポートスキャンですよね。 ちょっと質問の意図をはかりかねるけど、ペネトレーションテストとは呼ばないね。その
NMAPでスキャンしただけでは。NMAPってポートスキャナーとして有名だけど、今は脆弱性のスキャン機能もかなり充実しているから、それなりのことは結構できるとはいえ、
それなりのことしかできないし、実際にエクスプロイトするわけでもないし、 ペネトレーションって言うぐらいだからさ、実際にそこに穴があったら侵入してそこから何ができるかみたいなことを
いろいろやるのがペネトレーションなわけだけど、 NMAPだけでそれを全部やるっていうのはまあちょっと難しいというか、そんな人は見たことないんで。
めちゃめちゃ作り込めばできなくもないかもしれないですね。 いやできないでしょう。さすがに、まあね、スクリプティングエンジンがあるから自分でいろいろかけるって言うのはかけるけど、
かなり頑張ればできるかもしれないですね。 そこで頑張る必要性ないよね。 そうそうそう、別の手段がいろいろあると思うんで。
そうですね、まあなんかカバレッジの問題かなっていうところもあって、 NSEってね、さっきネギさんがおっしゃったスクリプティングエンジンがNMAP用のやつがあるとはいえ、
モーラ性で普通の脆弱性スキャナーと比べるとモーラ性はかなり欠けるんで、 実際のエクスプロイトを攻撃して侵入するとかパスワード試して破って入るとかまではやらないので、
少なくとも侵入テストとはまでは呼べないですよね。 脆弱性スキャンかって言われたら、NMAPでやりましたって明示しないとちょっと良くないかなと思う。
脆弱性スキャンとして見てもちょっと不十分かもね。 そうですね、何かしらの認証資格を取るためにこういうことやりなさいをNMAPでカバーできますかって言われたら、
審査員次第かもしれないですけどパリ品のちゃうかっていう感じはしますよね。 そうね。
はい、という感じでございます。 次のお便りですけれども、本日のこれがXにポストした日のことですけども、本日の認証認可、
ユイが独尊を聞きました。 これはITメディアの我々のセミナーですね。ありがとうございます。
最小権限の原則はよく言われるものですが、最小をどのように定義するのかを決めておく必要があると改めて思いました。
あまりにも細かくすると管理も運用も大変なので、自社にあった権限設定を見つけたいものですという感想をいただきましたね。
まさにその通りだよね。原則としては昔からあるわかりやすい原則だけど、実際に自分の環境でどう実装するかというのはいろいろ審査番別で、そこがやっぱり難しいところだよね、一番ね。
あそこでも看護さんが最後に言ってたのは、そこにいろいろね、理想と現実のギャップがあるというか、なんでこんな簡単に全部やられちゃうのというところに疑問を感じるというのは、
06:00
そういうところにね、ちょっとフォーカスしてほしいというか、改めて見直してほしいという僕らからのメッセージなんでね。
何々をこうしましょうって言葉あるけど、そのこうしましょうのこうがね、それって結構組織によって合う合わないとか違いがありますからね、やっぱりね。
そういうのいっぱいあるよね。
だからこうあるべきやけど、そこから自分たちの肩に落とし込むっていうところがやっぱり一番肝になってくるんだろうなっていうのは何事もそう思いますね。
そうだね。
いろんな記事とかになんちゃらハックとかって読むじゃないですか、生活を良くするみたいな、ライフハックみたいな。
ライフハック的なやつ。
あれもそのままやろうと思うとなかなか合わへんかったりとかするし、取捨選択しながら自分がこれぐらいっていう、程よいところっていうのを見つけるっていうのがやっぱり大事なんやろうなっていつも思いますね。
確かにね。
ありがとうございます。
ごしんきさんからもお便りが来ておりまして。
ありがとうございます。
最近セキュリティのアレを聞き始めました。組込み製品の開発に携わっているのですが、世界各国でIoT機器のサイバーセキュリティに関する法律が整備され始め、流れには逆らえないのでサイバーセキュリティの勉強を始め、その過程でセキュリティのアレに出会いましたという。
そっかそっか、そういうパスもあるんだね。確かにイギリスとかアメリカとか、進んでいるところではいろいろと機器のベンダーにいろいろ条件を課すというか、守らないといろいろ罰則があったりだとか、販売するにあたってその条件を守らなければいけないとか、いろいろ法整備が進んでいるところもあるしね、日本はまだまだその点はもうちょっとかなって感じだけど、確かにね。
まあそれがあろうがなかろうがセキュアな実装にしてほしいけどね。まあ確かに確かにそうですね。まあどうしてもそういう外圧的なものがあってから変わるっていうのはよくある流れかなと思いますけど。そうだね。そっかそっか、そういうやっぱり組み込みの業界というかそういうところでもそういう波っていうか意識はやっぱりあるんだなやっぱりね。
そうですね。まあこうやっていろんな国に輸出とかしているとそこの国に合わさなあかんとかもあるかもしれへんから、日本の法整備待たずにしてやらなあかんこともあるんでしょうね、メーカーさんによったらね。そうだね、グローバルな会社はそうかもしれないね。これからも聞き続けていただければなと思います。そうですよね、嬉しいですね。
最後のお便りでございますけれども、自社導入用にEDR製品の選定を行っております。予算は多く抑えてあり、どの製品を選ぶこともできると考えているのですが、皆様は何を基準に選ばれますでしょうかということでいくつか挙げてくれてはるんですけど、コストと各種セキュリティ製品との連携親和性、運用の容易性っていうのは比較済みらしくて、
あとはマルウェアハンティングの機能の比較と考えておりますということなので、IOCのスキャンを全端末に一斉にできるとか、取得できるログの広さみたいなものを想定しているんですけど、どういうふうなお三方が求める要件みたいなものってのはどういうところを重視しますかという質問が来ております。
09:06
へー面白いね、なるほど。製品選定の基準を。だから今挙げてくれたようなものってさ、他にもいくつかあると思うんだけど、どれを優先するかとか。
一番に考えるかということですね。
とか、絶対にその自社の環境上ここの線は譲れないとか、多分そういうのっていろいろ会社とか導入する組織とかによって多分違うと思うんだけど、比較する項目とかはある程度は共通してくるはずだよね。
そうですね。
なるほどね、なんだろうね。
まあなんかどれか一個優れてればいいっていうようなもんではもちろんないと思うんですけど。
確かにそれはそうですよね。
それこそロールプレイングとかのキャラクター育成じゃないですけど、バランス型なのか攻撃特化型なのかみたいな好みの問題も出てくるかなとは思うんですけど。
僕はそうですね、もう比較済みってところに挙げられてるけど、運用容易性のレポーティングUIっていうところかな。
よくあれだよね、この3人、マイナービさんのセミナーとかで、このポッドキャンセルも時々紹介してるかなと思うんだけど、
製品をいろいろとベンダーの人に来てもらって紹介してもらうようなセミナーで、僕らが質問するみたいな、これまで過去結構やってるけど、そこでもついちさん結構その辺質問よくするよね。
やっぱり導入したことを、導入して攻撃から守れたとか何かを検知できたっていうのはもちろん大事なことだと思うんですけど、
それを入れたことによって自分たちの組織にどういう効果があったのかっていうのを導入を承認した偉い人たちに示せないと自分たちの評価にもつながらないっていうのがあるんで、
そういうレポーティングっていうのは結構僕は重視をしているかな。その次はサポートかな、僕は。
手に負えないものもあると思うんですよね。自分たちでこのEDR触るのか、外に出すのか、途中まで自分たちでやるのかみたいなところで、
その辺フレキシブルに対応してくれるようなサポートが充実してるかどうかっていうのが、せっかく買ったものを腐らせないっていう2つの支える柱かなと思うんですよね。
そのレポーティングとサポートっていうのは。
なるほどね。確かに自社で運用するのかとか、あるいは外部にマネージのサービスを使うのかとか、そこの辺でも大分大きく違ってくる。
あとは規模だよな。規模によっても大分違ってくるかな。
確かにそうですよね。
誤解を恐れずに言えば、ぶっちゃけ今の最新のEDR製品ってどれも機能面ではほぼ遜色ないレベルなんだよね。
確かにね。
例えばアタックとかのいくつかの脅威を想定したEDRとかの製品評価って過去何回かやってるんだけど、細かく見れば確かに違いはあるんだけどさ。
12:01
だいたいそういう時ってどの各社もうちの評価がナンバーワンみたいなことをみんな言ってるんだけど。
だいたいどれもこれもドングの性比べみたいな感じだよ。ざっくり見ればよ、ざっくり。
なので正直あんまりそういう機能面とかでそんなにこれしかできない、この製品でしかできないっていう大きな違いがあるとは僕はあんまり思ってないんだけど、
むしろ今言ったみたいな日本におけるサポートの容易さとか、あるいは日本語、細かい話で言えば日本語対応がどうとかさ。
あと婚姻にして例えば業者さんがそういうの扱えるかとか、意外とそういう泥臭いところの違いが結構大事だったりするんじゃないのかな。
どうだろうね、他なんかあるかな。
あと私だったら止められにくさっていうのかな、本当に止められてしまったらどうなるかっていうところが。
攻撃者に?
攻撃者に。やっぱり大体のケース止められちゃってるっていうのが見かけることが多いので。
ランサムウェアとかでもだいたい攻撃者が先に止めてからなんかするってのが多いもんね。
それがどんな前提条件で起こり得るのかとかそういったところは見てもいいのかな。
ちょっとそれ他の製品とか比べてどれぐらい差が出るところなのかってなんともわかんないんですけど、そこは知っててもいいのかなっていうふうには思いますね。
確かにね。そういう想定する脅威、どんなのを考えていれるのかっていうことだよね。
そうですね。
なるほどね。
確かに止められたときにどうなるのか止めれるのかとかそういう辺は大事なポイントかもしれないですね。
性能的な意味で。
意図せず止まっちゃっても困るけどね。
確かに。
本当にね。
分かりました。参考になれば幸いでございます。
お便りを読みした方にはステッカーの品札コードを送っておきます。
はい。
じゃあ今日もセキュリティのお話をしていこうかと思うんですけれども、じゃあねぎりさんいきましょうか。
今日はですね、僕も使ってるんですけど指キーの脆弱性の話をしようかなと思ってまして、最近ちょっと話題になってる。話題になってるかどうかわかんないけどニュースになってるんだけど。
なってましたね。
最初にちょっと大事なポイントを2つ先に言っておくと、
一つは、これはメディアとかでは結構指キーの名前が大きく出てるんだけど、正確に言うとこれはインフィニオンテクノロジーズっていうドイツかなんかの半導体のメーカーなのかな。
結構大手の会社なんだけど、ここが作っているセキュリティチップに組み込まれている暗号化のライブラリーに問題が見つかりましたっていうのが正しい捉え方で。
で、たまたまというか指キーの5シリーズってやつがこのチップを使ってるんで影響を受けますよっていう話なので。
なので今回その贅沢性を見つけた研究者の人たちも指キーはちゃんと彼らが実証して問題が見つかったんで指キーも知ってるんだけど、それ以外にもこのインフィニオンテクノロジーズのセキュリティチップを使ってるやつはほぼ全部該当するんで。
15:13
今後、その研究者のサイトにもその全部該当しますし書いてなくて、細かく書いてないでわかんないんだけど、今後この影響を受けるやつを使ってるやつで該当する製品ってのがなんかいっぱい出てくる可能性が高いんで。
えー嫌なパターンですねそれね。
まあちょっとそれは注意が必要っていうのがまず一つ。なのでたまたま指キーはその一つのサンプルとして上がってるだけ。
なるほど。
でも一番身近な、結構有名な製品でもあるので目立つっていうのはあるけどね。それが一つと、あともう一つが今回いろいろ攻撃のケースっていうのはあるんだけども、一番典型的な攻撃では指キーに保存されている秘密のカギの情報が漏れますよというか抜き出せますよっていうものなんだけど、
これはその攻撃の前提条件が非常に特殊なので、現実的に僕らも含めて皆さんが使っている指キーの問題がすぐに起きるような現実的な脅威ってのはあんまりなくて、そこは心配全然いらなくて、
今その問題のあるやつを使ってる。実は僕も一本持ってるんだけど同じ問題があるやつを。
だけどそれはそのまま別に使ってても安全に使えます。今回その贅沢性を見つけた研究者の人も今のまま使ってても安全に使えますよってわざわざ書いてるんで、そこはすぐに問題があっていうわけではないよっていうことね。
その点はちょっと冷静に。
そうですね。ここは結構大事なポイントですね。
そこは大事なポイントですね。
で、今回あらためて見つかった攻撃というか贅沢性は何かっていうと、今ちょっと言ったけど、最上チャネル攻撃によってそのセキュリティのチップ内に保存されている
ECDSAの秘密鍵が抜き出せますよっていうのが一番典型的な攻撃のケースなんだけど、他にもいくつかあるんだけど、一番典型的なやつはこういうやつね、秘密鍵が抜き出せます。
本来セキュリティチップっていろんな暗号処理とかを安全に行うものだけど、そこの中で生成した秘密鍵っていうのは絶対に外に取り出してはいけないもので、そういうふうに作ってあるはずなんだけど、うまいこと攻撃するとそれが取れちゃいますよっていう。
そういう意味ではインパクトとしては非常に大きいものなんだけど、現実的にはあんまりちょっと難しいかなっていう感じなのね。
で、このサイドチャンネル攻撃って、このポッドキャストのリスナーだったら結構みんな知ってるかなという気がするけど、一応説明しとくと、結構暗号解読では一般的な方法なんだけど、
暗号の解読をするのにアルゴリズムを直接そのものを狙うんじゃなくて、例えばその暗号処理を行っている電力の消費量の違いだったり、あるいは何か種類のタイミングのわずかな違いだったり、あるいは今回みたいなハードウェアから放射される電磁波を調べたりだとかっていう、
18:14
暗号処理の実装の周りの様々な環境っていうか、そこのデータを色々分析をして、そこから中で行われている処理を推定して、結果的に暗号解読に結びつけるっていう、なんかすごく非常に特殊な攻撃手法なんだよね。
ただ暗号解読では割とこれはよく使われる方法の一つですと。方法はいろいろあるけどね。
今回研究者がやった方法もその一つで、具体的に今の指キーの話でいうと、指キーをパカッとケースを開けて、基板にくっついているチップに専用のプローブをくっつけて、それをオシロスコープで見て、
そのチップから漏れている電池波の波形を調べて、そこからわずかな波形の色々な差を分析をして、こういう処理が行われているな、じゃあ暗号解きはこうだなっていうのを推定できることができましたよっていう、そういう方法ね。
なので、今言ったようなプローブやオシロスコープなど100万円以上をトータルするような非常に特殊な機材がまず必要ですということと、あとそれを当然、僕も知っているふうに説明したけど、全然自分じゃ使えないんで、そんなものは。
ものがあったとしてもってことですね。
そうそう、だから機材があってもそれを使い下す知識とか技術が必要ですよというのがまず一つね。まだまずすごくハードルが高いですと。
そうですね。
で、仮にそういうものが全部揃っていたとしても、さらに加えて今回のような指キーからECDSAの秘密鍵を抜き出すにはどうやるかっていうと、実際にその秘密鍵を使った署名の処理っていうのをやらせる必要があるのね。
ということはどういうことかというと、例えばあるウェブサイトにログインでIDとパスワードとあと多要素認証で指キーを使って認証をやってますっていうユーザーがいたとして、例えば僕なんかそういうことやってるけども、そのユーザーのアカウントのその多要素認証で使っている指キーの秘密鍵、ECDSAの秘密鍵を取ってやろうって攻撃者が思ったとすると、
そのウェブサイトにログインするためのIDとパスワードとその指キー本体が攻撃者の手元にある状態で、さっき言った特殊な機材が全部揃っていて、それをプローブやらくっつけて、チップにくっつけて、波形を解析してっていうのを全部やって、ようやく鍵が手に入るわけ。
それもうログインしようとしている人をさらってきてるやん。
したらいいですよね。
そう、何回でももうログインできる状態になってるわけね。
そうですよね。
そういうアカウントの取りがもう十分できるという前提条件のもとで鍵が複製できますよっていうことなんで、正直これはね現実的に考えたらもうその時点でアウトなんで、さらに鍵が抜け出せなかったところでもうどうなのっていう感じですよねっていうことなので、
21:17
そういう感じでちょっと前提条件としてはいろいろ難しい点が多いので、あまり現実的にこれが脅威だというふうに考える必要性は僕はあまり感じませんねという。
そういうことですね。
とはいっても、本来はあってはならないセキュリティのチップからの秘密鍵の漏洩というのは、これはインパクトとしては非常に大きいかなという気がするので、
今回結構大きくも取り上げられているし、これはまずいよねっていうふうになってはいるけども、直ちに今使っているUBTが使い物にならないっていうことではないですよということね。
じゃあどうやって直せるのかというと、実はこれ直せなくて。
そうなんですね。
さっきも言ったけど、チップに込み込まれている暗号化ライブラリーの贅沢性なので、これはもうハードウェアを交換する以外にないのね。
ソフトでどうしようもないってことですね。
そうなんですよ、どうにもならなくて。
ユビコはどうしているかというと、これは研究者からあらかじめ贅沢性の通知を受けて、今年の5月にリリースされたユビキーの5.7.0というシリーズがあるんだけども、これ以降は安全になってますと。
具体的に細かく書いてないんだけども、説明を読むと今回問題が見つかったインフィニオンのライブラリーじゃなくて、独自のライブラリーに切り替えたらしいんで、今回そのサイトチャンネルの贅沢性はありませんということなんで、今から新しくユビコ社からユビキー5の新しいシリーズを購入すれば、当然今の贅沢性がない安全なバージョンになっているはずなので、買い替えればいいってことだろうね。
ただし、それ以外の方法というか、例えば販売代理店を経由するとか、あと僕もその購入したときはAmazonを使って買ったんだけど、そういうところで買うと、ひょっとしたらまだ在庫が残っている古いやつを捕まされる可能性が高いので。
そうなんだよ。さっきAmazonのサイトを見たら、バージョン書いてないんだよね。買う前に最新がどうかって多分わからないんで、だから会社で買うときに代理店に指定できれば、最新のバージョン5.7っていくつだよとかって指定できるんだったら安全だけど、ないしさっきのユビコの直接ストアから買うとかだったら安全だと思うんだけど、
それ以外の場合はちょっとその買い替えるのは注意した方がいいかなっていう感じだし、あとさっき言ったみたいに買い替えまで必要な脅威かというと、僕はそうは思わないんで、そこはちょっと冷静にね、今後今持っているものが使えなくなるとか、ないしなくすとかね、そういう場合には買い替える必要があると思うんだけど、
24:01
そうでない安全に使えている状態、手元からその失わずに使えている状態であれば、まあ買い替えなくてもいいかなと思うんだけどね。買い替えたいというか新しいのを買いたいと思っている人はちょっとその点が注意が必要かなっていう感じですね。
聞いた限りはそんな焦るようなことじゃないと。 そうそうそう、だからインパクトの割にはちょっとその実際の攻撃は難しくないっていう感じなので、まあよくあるけどね、こういうその研究者がやった見つけた自宅勢ですごいインパクトはあるけど、現実にやるのは難しいよねっていうものはよくあるけど、そういうのが典型的なものかもしれないね。
暗号の世界って僕はあんまり全然詳しくないですけど。 僕もだよ。特に得意じゃないんですけども、暗号が破られたっていうことだけとか、今みたいに秘密カギを取り出せるんだみたいなところだけが先に来るイメージがすごくあって。
例えば今の人は聞いたこともないかもしれないですけど、webキーってあったじゃないですか、昔。
Wi-Fiの初期の頃のね。webキーってあればもう割れちゃうじゃないですか。っていう時間をかける数時間なり数日間なりみたいな感じでかければ割れてしまうことも破られたっていうし、理論上100年ぐらいかければこれは平分に戻せるっていう方法が見つかっても破られたって言うじゃないですか。
破られたとか抜き出せたとかその前提条件が崩れましたのトーンが最後まで読まない分からないジャンルやなっていうイメージがめっちゃ強いんですよね。
確かにね。それはあるかもね。説明とかするときに気をつけないと、実際の脅威がどういう違いがあるのかっていうのは同じ言葉を使っちゃうと分かりにくいかもしれないよね。
今回のネギさんの話も途中、最初の方にこれこれこういう準備が必要みたいなことが説明があったからわかるんですけど、最後まで読まない分かれへん話がめちゃくちゃ多いなと思って結局やばないやんけみたいな。
確かに確かに。
もしかしたら解析能力が上がったりすると100年が3年になったり1ヶ月になったりするのかもしれないですけど、その辺のトーンがわかりにくいっていうイメージが結構あったんで、最初冒頭で言ってくれたのはありがたいなと思いながら聞いてましたね。
確かにね。特に暗号系はそういうのがあるかもしれないね。
あとそのメディアとか放送に乗るときには割とギュッと圧縮されて説明されちゃうんで、その辺の読み解く力っていうか読む側というか受け取る側にもその辺が求められるかもしれないけど、伝えるときにも気をつけなきゃいけないかもしれないな。
結構難しいし、タイトルだけでワーッといってしまいそうというかね。やばいぞみたいになりがちかなっていうイメージが結構印象にあります。
あとさ、僕は思わないけど、もしかしたら聞いてる人は特殊な機械を使わなきゃいけないような攻撃手法とか贅沢性を身につけて何の意味があるの?みたいなことをもしかしたら思う人いるかもしれないんだけど、
27:04
結構でも暗号解読ってこういう歴史の繰り返しっていうか、今回の理論的といえば実装面の問題をサイドチャンネルに身につけたっていう解読手法の一つだけど、
こういうのがあって、解読する、アタックする、しかも今回みたいに、確かに準備は必要かもしれないけど、実用的に実際にアタックができるっていうことを示したことによって、
ああ、こういう実装はダメなんだっていうことが認識されて、新しい実装ではセキュアになっていくっていう、こういうことの繰り返し繰り返しでどんどん安全性が高まっていくっていうことがあって、
しかもさ、今回のもそうだけど、セキュリティチップ、ちょっと僕もEPSのやつはどれくらい使われてるか知らないけど、多分おそらく世界中でめちゃくちゃ使われてると思うよね。
でしょうね。
だからこういうチップとか、広く汎用的に使われる暗号アルゴリズムだとか、目には見えないけど僕らの生活を支えている技術ってすごくいっぱいあるじゃない。
そういうのってこういう割と地道な研究者の解析とか研究、攻撃、暗号解読によってある意味支えられている面があるから、そういう面では誤解されてほしくないなっていうのはある。
なんかちょっとわかりにくいじゃんこういうのってさ、何の意味あんの?みたいなちょっと一瞬思えるじゃん。
わかるわかる。そんなの見つけてどうすんねん?みたいな感じに思うとは思うけど、身近な話っていうか直近の話だけじゃないですからね、こういうのはね。
そうそう。だから別にその研究者がマニアックなことやってるなっていう話では全然なくて、すごく僕らにとっても結構影響のあるというかね、長い目で見ればというか。
回り回ってってことですよね。
そうそうそう。こういうのがそういうのをある意味下支えしてるっていうかさ、そういうのは感じるけどね。
僕も普段別に暗号専門でないし全然得意でもないから、こういうニュースでもない限りは詳しく読んだりしないけど、こういうの読むたびにすごいなっていうか。
すごいですよね。
こういうのの積み重ねなんだよなって思うけどね。
この手の話はでも本当にこう詳しくな、僕も詳しくない方には入るかもしれないけど、詳しくない人に伝えるときほど難しいんちゃうかなと思うんですよね。
この話をUBキーを使っている人にね、知らせても知らせなくても何も変わらないじゃないですか、基本的に。
そうね、確かに。
じゃあ詳しくなければ詳しくないほど、じゃあ言うなよってなるんちゃうかなっていう。
確かにね、結局でそのまま安全に使えますとか言っちゃってるからね、だったら別に。
じゃあ知らせてくれんで、危なくなったら起こしてくれるかなぐらいの感じになれかねへんかなって思うところが、こういう経路の話の難しいところやなっていつも思うんですよ。
かといってね、こういうことを知らずにその無知のまま使うっていうのはちょっとね、もし本当に影響のあることが起きた場合に対処できなくなっちゃうんで、
30:07
今回はたまたまそんなに大きな影響はなかったけど、
ハードルも高いですしね。
だけどそうでないものが仮に見つかった場合にね、そういうのに対するアンテナが低くなっちゃうっていうか、感度が低くなっちゃうのはあまりよろしくないなっていう。
伝え方確かに難しいよね。
だからね、そういうのはね、セキュリティのあれで聞いていただければいいんじゃないですかねっていう。
自画自賛だ。
手前味噌でございますけれども。
そうですね。
ということでございます。ありがとうございます。
じゃあ次は僕いきますかね。
お願いします。
僕今日ちょっと紹介するお話はランサムギャングの話なんですけれども、
いくつか僕最近はそうですね、12個ぐらいずっと観察を続けているんですけど、
出てきては消えてとかを繰り返してはいるんですけど、
アクティブだもんでいうとだいたい12個ぐらいかな、僕はよく見ているのはっていう感じなんですね。
その中にも入っているキリンっていうランサムギャングがいまして、
このランサムギャング自体は2022年の10月11月ぐらいから活動している。
2年ぐらいですかね。
ランサムギャングになるんですけども、最近とかだったら6月ぐらいに
イギリスの国民保険サービスNHSですね。
そういったところにいろんなサービスを提供しているシノビスっていう会社を攻撃して
血ができひんやなんやとかっていう話題になったランサムで、
日本の組織もちょっと意外にあったりとかもしているようなランサムギャングなんですけれども、
このランサムギャング一応僕も調べてるんで、件数とか特徴とかあるのかなと思って一応また集計をしてみたんですけど、
他のランサムと大して変わらなくてやっぱりアメリカが多かったりするかなというところですね。
カナダ挟んでヨーロッパ諸国が並ぶっていうのはお決まりの並び方なので、
特にここの国ばっかりやるみたいなところではないかなっていう感じです。
なるほど。
ただ、ルールとしてはCIS諸国ですね。いわゆる旧ソ連と言えばいいですかね。
ところは禁止してるんですけど、特段見る限りでは病院を禁止してるというわけではないんですね。
ああ、なるほど。
なので、8月16日までの集計をすると、僕の確認できた範囲で141件のリークがあったんですけど、
1位が病院。1位といっても15件で10分の1ぐらいですかね。10%ぐらい。
で、病院が1位で、その後弁護士、IT情報サービスみたいな感じで、どんぐりの性比べではあるんですけど、
病院を別に攻撃しても大丈夫というか、禁止していないギャングだという特徴はちょっとあるかなというところですね。
そんなキリンなんですけども、このキリンの攻撃をソフォスのXOPSというチーム、インテリジェンス全般やっているチームなんですかね。
そこが実際に侵害を受けたエンドポイントの調査をしたときに、あまり今まで見られなかったものが発見されましたというふうなものがあってですね。
33:09
攻撃の入り口というか初期アクセスから簡単に流れで追って説明していきたいんですけれども、
事件自体は今年の7月に観察されたもので、初期アクセスはVPNに対する認証を突破して入ってきていると。
認証突破ということを聞くと、あれ多要素認証はと思うと思うんですけども、多要素認証が設定されてなかったんですね。
なのでIDパスワードさえ正当すれば、誰でも入れてしまうような状態になっていたと。
ここはちょっと気になるところなんです。答えは書かれてないんですけど、初期アクセスから攻撃の展開まで、
実際にランサムの攻撃が始まるまでは18日間間が空いてるんですって。
なので、もしかしたらIABみたいなイニシャルアクセスブローカーみたいな入り口だけ突破してきて売り渡してっていうふうなものだったのかもしれない。
IABの介入があったかどうかという証拠は見つかってはいません。不明ですとは書かれてあったんですけど、18日間空くって結構珍しいんじゃないかなと思うんですよね。
その後どうやって横展開していったかっていう話はそんなに詳しく書いてないんですけど、あまり見られなかったものが今回見られましたっていうふうに言ってるところが、
攻撃の展開をしていく中で、要はランサムウェアを展開する前ですよね、横展開していく中でログオンベースのところのグループポリシー、GPOってWindowsの設定であると思うんですけども、
それでPowerShellのスクリプトを登録してるんですね。
その登録してるやつがChromeに保存されている認証情報を吸い出すコードが書かれているスクリプト。
あとはログオンドットバット。このログオンドットバットはログオンするたびにそれを読み込むというだけのやつなんですけども、
ユーザーがログインするたびに認証情報を収集して外に持ち出すみたいな、ファイルに吐き出して外に持ち出すみたいなやつを入れてたそうなんですよ。
GPOを設定されているのでユーザーがログオンするたびにこのPowerShellが動くっていうふうなもので、この組織は3日間築くことができなかったんですって。
この収集した認証情報を吐き出してそれを盗み出すってことを攻撃者はずっと繰り返していたというふうなものになってて、
そのファイルを持ち出した後はもうそのファイルも消して、あとは感染したマシンとかドメインコントローラーのイベントログを全部消してランサムを展開していなくなったというふうな。
なのでインフォスティーラーっていう系のマルウェアを使ったというわけではないですけど、インフォスティーラーさながらのことをしていっているっていうふうな動きが結構珍しいと。
横展開していく上でそのWindowsの自分よりも権限が高いユーザーのパスワードを取ろうとかっていうアクティビティーは結構見つかるそうなんですが、
36:02
このChromeのやつを中のですねその認証情報を持っていくっていうのは結構珍しい。僕もあんまりあんまり聞いたことないかなーってところですね。
なんかね、そこはちょっとこう違う種類の攻撃っていう感じがするっていうかね。面白いね。
そうなんですよ。で、記事の中にはノードパスっていうパスワード管理ソフトの会社の引用があったんですけど、これ調べてみると、
だいたい平均的なユーザーというのは仕事関連でパスワード87個。個人用だとその2倍ぐらい登録しているみたいなことがあるんで、
これは組織内のパスワードだけじゃなくて、外のパスワードも登録してたりとか、ソフトウェアライセンス用のパスワードとかもあるので、
なかなかこれ影響範囲広くなる可能性があるんじゃないかなというふうに思ったんですよね。
ブラウザに保存っていうのはそもそも僕はお勧めしないっていうふうにいつもしてるんですけど、それは引き続きあれやなっていうのはあるんですけど、
さらに広がってしまう攻撃がさらに広がってしまうと追いにくいというか、個人で使っているものとかも会社で許可してしまっていると、そこもやられるじゃないですか。
そうするとこれ結構なんか影響範囲どこまでっていう風なのをしらみつぶしにしていて、安全宣言出すの結構きついなっていうふうに思いましたね。
あとはキリンってあれなんですよね、ラースアフィリエイトシステムでやってるところなんで、単なるアフィリエイトのバイト的な活動かもしれないなと思いましたけどね。
キリンのランサムのラースがマニュアルを作ってるのかどうかわからないですけれども、そういうのの中にこういうことをしろって書いてあるわけではなくて、
単にこのアフィリエイトがたまたまこういうことをやっただけなのかもしれへんかなとか、もしくはいろんな認証情報を持っておけばその入り口が防がれてもここに再侵入できるんじゃないかとか、
っていうふうなことをちょっと考えましたね。あんまりキリンだからっていうのなんかなっていうのはね。
そうだね、手法的に別に珍しいは珍しいけど、特殊というわけでもないし、どのアフィリエイトとかランサムに限らずどんなアクターが使ってもおかしくはない手法といえば、たまたま今回のキリンランサムの事例では見たことがないっていうことだよね、つまりね。
僕もいろんなレポートとか侵入の手口とか書いてくれてるレポートこれまで何年間かいくつか読んできましたけど、このパターンあんまり見ないですね。
そうだよね、だからソファスも記事にしたんだと思うけど。
インシデント中に感染したマルウェアの中にそういうのを抜こうとする機能があるスティーラーがいたとかはあり得ますけど、人が入ってきてパワーシェルでそれをやってみたいなのはちょっと僕初めてこれで知りましたね。
だからさっき言ったみたいに、よく二重脅迫で組織の中の機密情報を盗んで行って脅迫するみたいなのは一般的だけど、その場合はある程度組織内の情報に影響が閉じる。
39:11
顧客情報が含まれていると顧客まで広がる可能性はあるけど、ただ今回のようにクレデンシャルが多数盗まれていると、
外部のクラウドサービスだったりなんだったりかんだったり、いろんなところに影響が波及しかねないので、
こういう時ってどうするんだろうなぁ、パスワードとりあえず全部片っ端から変えるのかなぁ。
セッションのリセットですよね。
それしかないよね、多分感染したと思われるところはもう全部だからやられた想定でやるしかないよね。
1個でも漏れがあったらそこからやられちゃう可能性もあるしなぁ。
ただ例えば組織で使っているクラウドサービスとかだったら強制的にそれできるけど、そうじゃないやつは全部1個ずつやらないといけないわけですよね、ユーザーが。
そう、あとそのまんま全部残っていればいいけどさ、何が取られたかもし分からなかったら困っちゃうよね。
そうそうそうですよね。
難しいところだよなぁ、そういうのね。やっぱりそういう管理、あとブラウザに保存するのは避けた方がいいのかなぁ。
まぁちょっとね、誰もが簡単にできるから楽やし忘れへんしでいいっていう面はあるけど。
どれなのね、ちょっと話それるけどさ、例えば個人だったらね、僕らは結構パスワードマネージャー使い派だから、
みんなパスワードマネージャーって言ってて、ブラウザに保存するのやめましょうっていうかやってない人が多いと思うんだけど、そういう人は。
ただまぁその個人でやる分には構わないとして、仮にね、組織ではさ、だいたいそのブラウザへの保存は禁止するっていうところが多いのかなぁ。
なんかそういうの知ってる?
ツールとしてやっちゃダメっていうふうなものは見たことありますけど、とかメールのオートコンプリートもオフにしなさいとか。
あーなるほど。
ご送信の意味でね。そんなの見たことありますけど。
たださ、現実問題、例えばその組織内でパスワードマネージャーを運用してるっていうところはともかくとして、あとはそのシングルサイオンが徹底してるとかさ、
あるいはもう完全にクラウドサービス全面的に移行しててみたいなところだったら、ある程度まぁ全部僕たち買ってますとかさ、わかんないけど、
とかだったらまぁアリだと思うけど、そうでない場合に複数のサイトの情報をどう管理するかって言ったら、やっぱみんな結構ブラウザに保存しちゃったりするんじゃないのかなぁ。
結構すると、保存しますかってめっちゃ聞いてきますしね。
そうですね。
で、それをこう使えなくしてるとかまで徹底しているのかなぁみんななぁ。
まあそうでもしないとこういう被害を防げないもんね。
そうですね。非常になんか厄介やなっていう。
42:02
厄介だよね。
個人とね、その仕事の狭間とか場所に関してもそうですけど、なかなか境目がなくなってきてるじゃないですか、どんどん。
がゆえにね、でもこれは管理しにくいっていう状態になってしまってるパスワードやられたら、じゃあどこまで会社は面倒見るねっていう。
めちゃくちゃ大変やな。
そうだよね。あとこれさ、最初に言ってたけどさ、そもそもの初期アクセス?
VPN経由って言ってたっけ?
そうですね。
だからその認証情報も事前に漏れてるわけでしょ?
そうそうそうそう。
どっから漏れたか知らないけどさ、それもだからE4Cだからかもしれないじゃん。
どれくらいの試行回数が入ってきたかとかそういうのは書いてないんですけど、まあでもそんなブルートフォースとかじゃないと思いますしね、こんなんで。
多分ね、これも事前に多分漏れてたんだと思うんだよな。
だからもしかしたら、ここの会社の協力会社の人が感染するのに同じような手法でやられてて、取られてこっちに来たっていう可能性もあるってことを考えると、ここからまた違うところに行くっていう可能性もあるわけですよね。
そうそう。だからさっき言ったそのそういうその影響範囲がとどまらないって言ったらそういう連鎖が広がりかねないよね。
そうそうそうそう。
あとまあさっき言ったその単一のアクターがこう連鎖していろいろやっていくっていう可能性ももちろんあるけど、その別々のアクターがどんどんどんどんそういうその認証情報を使って入ってそこから認証情報を取ってまたそれが他に使われてみたいな。
無限に続くじゃん。
負の連鎖というかね。
そうそうそう。ずっと無限に続くから、それって。それもちょっと怖いよね。
そうそうそうそう。しかもその繋がりが見えないでしょ。
そうそうそう。見えない上にそのなんていうかネズミさん的に増えていくじゃない?影響範囲がさ。
うーん。
いかないよねこれはね。
なんかこの辺もあれなんすかね。やっぱりそのあのコーブウェアのレポートにいつも出てくるアンノウンが増える理由の一つでもあるのかな。
まあそうかもね。こういうのもあるかもしれないね。
そうそうなんでちょっとこういうねブラウザに保存っていうのもちょっとお勧めしないよりももうやめた方がいいにした方がいいのかなっていうのをちょっと思いましたねこれ見ててね。
だからやめた方がいいにしてもその保存しなくてもいい方法がちゃんとあれば別だけどね。
そうそうそうそう。
それなしにダメって言っても多分ダメだからね。
うん。やっちゃいますもんね。
興味深いね。
はい。そんな感じでございます。
はい。ありがとうございます。
はい。ありがとうございます。
では最後はカンゴさんです。お願いします。
はい。今日私はですね、Googleの脅威分析をやっているグループTagっていうグループがありますけど、
こちらが報告されていたAPTのキャンペーンについて取り上げたいんですけども、
なんで取り上げたいかというとですね、私久々に見たキーワードがそこに載っていてですね、
ウォータリングホールアタックって書いてあってですね、いわゆる水飲み場攻撃。
おー、なんかちょっと懐かしい響きだね。
そうそう。日本だとどれくらい前なんですかね。
数年くらい前はね、ブラウザ狙いの脆弱性を継いだ攻撃って非常に盛んで、
その後セキュアな作りというか、ブラウザに対して攻撃を仕掛けるってかなり難しくなってきたので、
45:06
なんかあれだよね、そのエクスプロイトキットに最終的に誘導するみたいな攻撃パターンってあったよね。
すごい多くて、はい。
今あんま効かないもんね。
そうなんで、最近はあまり目にする機会がなかったんですけど、
実際今回Googleが水飲み場攻撃を観測したという報告を出されていてですね、
どんなものかというのを見てみたんですが、
攻撃自体は昨年の11月から今年の7月まで、
モンゴルの政府のウェブサイトが改ざんされていて、そこを閲覧すると攻撃の被害に遭うという、
そういった仕組みというか、攻撃が行われていてですね。
脆弱性使われていたものが興味深いんですけども、
これNDAの脆弱性という形でGoogleは評価してるんですけども、
NSOグループとかインテレクサという商用のスパイウェアっていうんですかね、
監視ベンダーっていうのかな、そういったのを提供している会社というか組織ありますけども、
そこのスパイウェア等が使っていた当時ゼロデーの脆弱性が水沼攻撃の事例でも使われていたと。
今回その脆弱性っていうのが具体的にどういう経緯で、
実際にはGoogleはAPT29、コージーウェアでしたっけ、
ロシアに由来するスレッドアクターの一つという形で、
中程度の信頼角度を持って評価をしているという分析はしているんですけども、
ロシア系のAPTのアクターが、その商用スパイウェアが悪用というか使用していた当時ゼロデーの脆弱性を、
NDAという比較的機関がそんなに開かないタイミングで水沼攻撃という形で仕掛けて使っていたという、
そういったなかなか興味深い動きを実際そのAPTが行っていたというところでして、
悪用されていた脆弱性というのは複数あって、
実際Googleも攻撃自体は去年の11月から7月って言ったんですけども、
定期的に攻撃の仕掛けている脆弱性であるとか対象であるとかっていうのは変わっていたそうで、
昨年の11月と今年の2月と7月という形で、
大体3回ぐらいでGoogleが観測したという形で報告はしているんですけども、
一番最初に確認したものとその次の2月については、
iOS、WebKitの脆弱性で、
CV-202341993という脆弱性があったんですけども、
そちらを使っていたというものでして、
これについては、これ確か修正されたのがいつだったかな、
大体もう2ヶ月、3ヶ月ぐらい前だったかなっていうタイミングでして、
48:01
本当に期間的にはそんなに間を置かずというところ。
もう一個7月については、これはAndroidを標的としていたというふうにGoogleが分析しているんですけども、
実際にChromeの脆弱性を悪用していたというところで、
そちらも5月に修正、実際にゼロで悪用があったということで、
5月に修正されていて、7月に悪用が確認されたということで、
そんなにやはり時間を外して行われていた攻撃だったというものでして、
この商用ベンダーが使っていた脆弱性をAPTアクターが使うっていう、
この流れっていうのが今まで見たことない気がしてですね。
なかなかこの流れが今回だけ得意な事例なのか、今後こういうトレンドになってくるかというのはなかなかわからないところではあるんですけど、
この流れが定着してくるとちょっと嫌だなっていうところはありつつ、
さっきも言ったとおり、この脆弱性に係る情報っていうのを、
今回このAPT29というふうに分析されているアクターがどういう形で入手したかっていうところは、
詳しいところは分かっていない、経緯不明というところで、
ワイヤードの取材なんかでも定型句だと思うんですけども、
例えばNSOなんかはロシアに販売はしてませんみたいな形で、答えてはいると。
もちろんアメリカであるとか、確かイスラエルの会社ですよね。
そちらの同盟の司法機関に対してのみ取引してますみたいな、
いつもの回答をしているぐらいなんで、
具体的にどういう経緯でこのAPTのアクターが入手したのかっていうところは定かではないんですけども、
もちろんスクリプト切りみたいに入手したものをそれそのまま使っているだけでもなくて、
部分部分では回収していたり、あるいは新しい脆弱性という形で、
圧勝的に新規に生み出すっていうところも技術力としては持っていてですね、
これもちょっといやらしいなっていうところがあって、
実際、Chromeの攻略をする際にはサンドボックスのF-CAPEが必要だったんですけども、
そちらについては直近の脆弱性で使えるものがおそらくなかったのか、
過去に使われていた脆弱性、これも先ほど言ったような商用のスパイアで使われていたものだったんですけども、
そちらを模倣した形でアシュを作ってゼロデイに転用していたという、
そういったものがあってですね、転用するだけではなく実際に自分たちで回収というか、
使いやすいように加工して、今回のような水の刃という形での攻撃に使ってくるっていう、
この事例が実際もう既に起きているっていうところは、
ちょっと水の刃攻撃っていうキーワードさっき久々に聞いたみたいな話をしてはいたんですけども、
取り巻く脅威という意味においてはやっぱり気にしておかなければいけない、
直面すべき脅威の一つということで、しっかり認識しておかなければいけないなっていうのは、
51:03
商用スパイアの脆弱性で使われてましたとか言うと、ああそうなんだみたいな形で、
少し実際に自分たちターゲットになることないよねみたいなトーンで、
ワンランクトーンダウンして分析というか評価をしてしまいがちなんですけど、
こういった事例が出てきているので、脆弱性対応のサイクルって本当にしっかり回していかないといけないなっていう。
商用のスパイアが使う、NSOに限らないけどゼロでいて、
やっぱり非常に価値が高くて、さっき看護師さんが言ってたみたいに、
特定のジャーナリストだったり、反政府の活動をしている人とかは分からないけど、
まず自分がターゲットにならんやろみたいなね。
非常に特殊な人に対して行われるっていうイメージというか、
その認識でだいたい合ってると思うんだよね。
だしゼロでいってもそれぐらい価値が高いから、あんまりオッペラに使うわけにはいかないっていうか。
ただそれがちょっと入手経路は分からないけど、それほど期間を置かずにというか2ヶ月程度で、
こういう形で水飲み場に使われるっていうのは今までなかったというか。
これだと一応水飲み場ってこれまでもいろいろあったけど、ターゲットがやっぱりあって、
その人たちがアクセスに来るであろうところに罠を張っておくっていうかさ。
大雑把にそういう攻撃手法なんで、今回のもそうだと思うんだけど、
とはいってもたまたまこういうところのサイトを自分たちが見に行く可能性がゼロではないから。
政府のサイトなんていろんな人が見るわけですからね。
だからそういう意味では商用スパイウェアが狙う標的型攻撃とは一段レベルが違うというか、
影響範囲がかなり大きく広がっているので、だからこそNDAになったから使っているというのもあると思うんだけどね。
だけどアクターもアクターだし、さっき説明してくれたけど手法も洗練されているというか、
単にちょこちょこっとやったっていう感じではないし、手が込んでるなっていうのがあるんでちょっと怖いよね。
水飲み場型攻撃って確かに久しぶりに聞いたんですけど、
ブラウザをパソコンの上で動いているものが狙われてきてたイメージで今まで。
ブラウザを通してとか、あとはアップデート予想ってとかもありましたよね。
アップデート先を侵害して、特定のアドレスからのアップデートだけは違うアップデータをマルウェアに利用させるとかっていうのも過去にあったじゃないですか。
パソコンの話だったんですけど、これ両方ともスマホなんですもんね。
そうですね。スマホを対象とした攻撃ですね。
54:02
iOSとAndroidってなってるんで、これは結構MDMとかでどれくらい管理できるのかわからないですけど、
アップデートの漏れが結構ありそうな端末かなっていう気がするんですよね。後でいいやみたいな感じで。
気軽にアップデートできるけど、iOSのアップデートめんどいしなみたいなんで、完了できませんでしたみたいなの繰り返した時あるじゃないですか。
そうなんですよね。ちょっと後回ししちゃおうかみたいなね。
そうそう。僕結構Apple Watchとかでもあるんですよね。夜中に起きてたりとかしてつけっぱなしやから、また今日もできひんかったみたいな感じでやったりとかするんで。
これ結構組織からすると管理しにくい端末の1個だと思うんですよね。モバイルデバイスって。
とはいえこれあれなんですね。KEVはもう結構この悪用前に掲載はしててやってるんですね。
ゼロでっていうタイミングで掲載自体はしてはいるので、そういう意味ではしっかりパッチマネジメントできていれば影響を受けることはないと思いつつ、
さっきついさんおっしゃってたようにMDMの対象にならないそれこそ個人で使ってるスマホとかになってきちゃうと、
私の手前のところで議論されてたように今回やっぱり盗むのがクッキーに保存されていた情報とかが対象で、
live.comとかicloud.comとか本当にいろんなものを標的に盗もうっていうような形のスティーラーが仕込まれるので、
そういう意味では個人のデバイスからそういった情報が取られる、あるいは攻撃者がそもそもそれも標的の一つに考えているっていう、
その可能性も考えられてですね、これなかなか頭抱える問題だなっていうふうには。
そうですね、会社支給と個人持ってるっていう人多いですしね、これも確かに管理するのが大変なところが狙われてるなっていう印象がちょっとありましたね。
あとはなんかちょっとふと昔のことを思い出しました、この水飲み場のこの流れ。
ハッキングチームっていうのがいたじゃないですか、昔。
懐かしいね。
あそこが持ってるフラッシュのゼロデイが漏洩して、それがフラッシュの水飲み場型攻撃に使われたっていうのはありましたよね。
あったねー。
イタリアかどっかの会社でしたっけ、ハッキングチームっていう会社。
なんか名前がそんな名前あるんかみたいな。
そうそう、なんかあれちょうど僕すごい印象的で、あれが日本とかアジア圏、韓国やったかな、の攻撃に利用されたのが7月1日っていうふうに報道されててね、
おー、人の誕生日にえらいことやってくれてるなって思ったんで覚えてたんですけど。
確かに確かに。あれもNSOみたいにっていうか、複数のゼロデイを密かに使っていろいろ活動してて、それが漏れちゃったんだよね。
で、それが別のアクターに悪用されたみたいなやつだよね。
そうだそうだ。
今回のやつは多分そういうリークとかじゃなくて、何かしらの方法で入手したんだろうけど、
57:01
ちょっと経費不明ですけど。
入手手段はともかくとして、一旦そういうふうに表に出ると、悪用が割とされやすいというか、そういうものはあるかもな。
今回みたいなブラウザ狙いのやつとかっていうのはこういうふうに使われやすくあるかもね。
そうですね。
なるほど、ハッキングチーム懐かしいな、確かに言われてみれば。
10年近く前ですよね、9年10年。
そうだね。
それを思い出したということでございます。
はい。
はい。
ありがとうございます。
はい。
はい、ということで今日もセキュリティのお話を3つしてきたので、最後にお勧めのあれなんですけれども、別にネタ切れしてるわけじゃないんですよ。
あんねね?
なんですか?
あんねね?ストックはあんね。
別に言い訳はいいよ。
守りに。
ストックはまだあんねやけれども、弾はまだ残っちゃおるがよ、言うてなってるんですけれども、
今日のお勧めはですね、ほんまに健康、健康をお勧めしたい。
マジで。
今更だな。
いや、ほんまにさ、なんかね、こう元気な時は。
ちょっと、ちょっと待って。
何?
お勧めされてどうにかなるもんなのそれ。
いやだから、ちょちょちょちょちょちょ、聞いて聞いて。
あのね。
聞くわ。
元気な時は意識せえへんのですよ、やっぱり。
で、体壊した時に健康のありがたみみたいなのが分かるじゃないですか。
ちょっとぐらい無理してもなんとかなるってならないんすよ。
動かれへん、振動って。
まあそれは、あの何、まあ僕らほら、年を重ねてたのもあるしさ。
まあそれもあるけど。
まあいろいろなんじゃないの、それとも。
だからなんかこう、僕が体調崩してたということをきっかけにね、その健康についてもって考えてほしいですね。
マジで。
ちょっと運動してみようかなもそうやし。
もうどんどんこう、ゆでがえるのように無理がきかんようになっていくわけですよ。
気づいたらあかんみたいな感じにもなってくるんで、もうほんとに。
まあまあ確かにね。
まあ以前だったらこう、できたことがだんだんね、ちょっと無理がきかなくなるっていうのは。
確かに。
いろいろあるはあるよね。
だからそうですね、健康が大事ということを認識するというよりも、直近で一番しんどかって寝込んだ日のことを思い出してほしいですね。
それを思い出した上で、今日何時に寝るかを決めてほしい。
よくわかんない。
明日出かけるか、家でゆっくりするか、ジムにトレーニングに行くかを考えてほしい。
まあでも自分の健康を第一に考えるのは確かにね。
そうですね。
ほんまにそうやわと思って。
そう考えるとなんか君は学習しないねあんまりね。
そうなんですよ。
そうなんですよ。でもほんまに2人あんまり体調崩さないからすごいなと思って。
でもね僕ね、結構ね振り返ってみるとね、小学校幼稚園の頃から病院行ってましたわ。
まあでも子供のうちはみんなそうじゃない?
そうなんですかね。なんか先生に怒られてたもん。
子供はしょうがないと思うよ。まあそれはしょうがない。大人になってからの話よ。
そういう意味では俺も結構若い時にいろいろやらかしたっていうかさ、無理しすぎちゃって倒れたことはあるよ。
1:00:01
若い時っていうのはその仕事し始めてからの若い時?
そうそう。社会人になってから。でそれからそういう失敗から学習して今があるわけで。
なんで学習しないの君はっていう。
まあよく言えば心が少年のままなのかもね。
何言うてんねん。
わかんないですけど。ちょっとどうすんのがいいんかな。なんかちょっと仕事しすぎかな。
セーブしたら少し。
そうそう。睡眠をしっかりと。
それは大事かもね。
まあ確かにそうね。睡眠やっぱり削りがちやもんな。
でもなんかここ数年感じたのはあれですわ。6時間と7時間って全然違うなっていう。
6時間やとちょっと効率悪いというか乗らないんですよ。ちょっとだるいんですよね。
でも7時間寝ると全然6時間と雲泥の差というか。
まあ多分人によってその何時間っていうのは差はあると思うんだけど
ショートスリープでもいい人もいればもっと長くないとダメっていう人もいると思う。
それ個人差はあると思うんだけど
それは別にして多分その人に最適な多分睡眠時間ってのは多分おそらくあると思うのよ。
確かにありそうそれは。
13年も多分6か7か分かんないけど多分その辺にスレッシュロードがあるんだよきっと。
なんかね昔は6時間で全然良かったんですよ。
個人差プラスそういう変化ってのもあるかもしれないね。
そうそうそうっていうことなんですよね。
なるほどね。まあまあそういうのを意識しましょうってことですね。
一回ほんまに最近しんどかった一番しんどかった日を思い出して自分をいたわってください。
本当に。
そんな感じでございます。また次回のお楽しみです。バイバイ。
バイバイ。