1. セキュリティのアレ
  2. 第192回 合わせ技一本!突撃と..
2023-09-04 1:05:08

第192回 合わせ技一本!突撃となりのアノニマスに管理画面を添えて!スペシャル!

Tweet【関連記事】 ・TECH+ EXPO for セキュリティ 2023 | マイナビニュース ・Sus[...]

The post 第192回 合わせ技一本!突撃となりのアノニマスに管理画面を添えて!スペシャル! first appeared on podcast - #セキュリティのアレ.

サマリー

彼らは夏休みを取りましたが、忙しさを感じながらも2回収録しています。9月13日にはAppleのイベントがあり、新しいiPhoneが登場することが予想されています。値段は高いですが、それでも購入する意気込みを持っています。Juniper Networksのネットワーク機器のウェブインターフェースに存在する脆弱性により、認証なしでリモートコード実行が可能になります。この脆弱性を悪用した攻撃が観測されていて、数千台から1万台以上の機器が影響を受けています。2023年に行われる福島原発のアルプス処理水の海洋放出について、アノニマスが抗議していることが話題になっています。イタリアを中心としたアカウントが関連していると見られており、彼らは環境保護を主張しています。今回のアノニマスの攻撃について、彼らは攻撃活動を行っていますが、IT戦争をしているわけではないと明言しています。彼らの攻撃は抗議行動としての意味があり、主なターゲットは原子力発電や政府機関のサイトであることが分かりました。国内の通信機器のログイン画面が改ざんされる事件が発生し、その被害の深刻さが明らかになっています。改ざんされた通信機器の脆弱性を悪用することで、攻撃者がログイン画面に主張文を埋め込んでいますが、具体的な被害の範囲や対応策はまだ明確ではありません。最新のサイバーセキュリティのニュースとハンガーの紹介が行われています。

夏休みと忙しさ
スピーカー 2
夏休みでしたよ、我々。
スピーカー 3
え?先週?
一回ね、お休みを頂いたと。
スピーカー 2
あれは、夏休みだったの?
スピーカー 1
夏休みじゃないんですか?
スピーカー 3
後付けっぽい感じもしますね。
スピーカー 1
いやいやいや、ほら、やっぱ休みも大事やぞってことじゃないですか。
スピーカー 2
でも、podcastを休んでる分、他回忙しいんじゃないの?
スピーカー 1
そうなんですよね。
夏休みを取ってて、ずらしてたりとかしても、別に我々は普通にサラリーマンですから。
意外とこの休んでた1週間、割とバタバタしてたぞっていうのが。
スピーカー 2
いや、割といつも以上に忙しかったよ。
スピーカー 1
そうなんですよね。収録ないのに、我々今週2回やってますからね。
スピーカー 3
なんでなんですか。
スピーカー 1
いやいやいや、喋る仕事でね。
スピーカー 2
はい、お疲れ様でした。
スピーカー 1
マイナビのセミナーの、あれは収録ですか?
スピーカー 2
そっか、あれはまだやってないのね。
そうですね。
ぜひ皆さんご参加ください。
スピーカー 1
ショーノートにURL書いてると思いますんで。
あともう一個はITメディアの、こっちはライブで喋ったんでしたっけ?
スピーカー 2
そうですね。
スピーカー 1
これはでも後日配信みたいなやつあるんでしょ?
スピーカー 2
そうらしいね。
スピーカー 1
もし見てない方いらっしゃったらよかったら見ていただきたいなと。
なんだかんだでバタバタの1週間だったなってことなんですけれども、
iPhoneの新製品登場
スピーカー 1
今この収録してるのは9月の2日ということで、
あと10日少しもすればね、あるじゃないですか。
スピーカー 2
なんかあったっけ?
スピーカー 1
9月の13日。
スピーカー 2
え?
スピーカー 1
全然ピンとけえへんの?
スピーカー 2
全然ピンとけえへん。
スピーカー 1
いやいやいやいやいやいや。
いやいやいや。
スピーカー 2
iPhoneの。
ああ、そっちか。
全然今頭から抜けてたな。
Appleのイベント日ですね。
スピーカー 1
そうでしょ?iPhoneの10号ですか?
スピーカー 2
なんか出るらしいですね。
スピーカー 3
10号じゃないかっていうね。
スピーカー 1
そうそうそう。
噂によると30万超えするとかっていう。
スピーカー 3
ほんとですか?
スピーカー 1
あれほんまなんですかね?
スピーカー 3
ほんとか?
スピーカー 2
いやまあでもスペック的に一番いいやつで、
例えばストレージ増し増しとかさ。
スピーカー 1
はいはいはい。
スピーカー 2
なんかすごくしたら、もしかしたらそれぐらいいくかもしんないけどね。
ひょっとしたら。
わかんないけど。
前回でも多分20万超えとかだったでしょ?
そうですね、20万超えでしたね。
だからまあおかしくはないっちゃおかしくはないけど、
さすがに30万って言ったら手が出せなくない?
スピーカー 1
いやいや手が出せないとかじゃない。
スピーカー 2
出さないとか。
え?
スピーカー 1
何言ってるんですか?
スピーカー 2
いやいやいや。
俺は買うよ、俺はね。
スピーカー 1
ああ、おお。
え、プロマックス買うってこと?
スピーカー 2
プロマックスっていう名前になるかどうかわかんないけど。
スピーカー 1
ああ、確かに確かに。
スピーカー 3
いっちゃえやつっていうやつですよね。
スピーカー 2
まあ一応そこはポリシーなんで譲れないんで。
スピーカー 3
すごいポリシーですね。
スピーカー 1
でもすごいですよね。
スピーカー 2
基本的に毎年買いますんで。
スピーカー 1
いや、なんか僕もニュースで見てね、
そのiPhone15がどうなるのかみたいな、
まあどういう、充電用の端子が変わるとかそういう話もね。
スピーカー 2
ああ、なんかUSB-Cに変わるのはほぼ間違いなさそうだね。
スピーカー 3
ああ、それ大きいですね。
スピーカー 1
そうそう、そんなんとかがあって。
僕も一応、まあ僕は買わないですけど、
iPhoneはね。
自分では買わないですけど、iPhoneは。
スピーカー 3
それもポリシーですか?やっぱり。
スピーカー 1
ポリシーですね。
いや、あの会社携帯がiPhoneなんで、
わざわざ自分でっていうのは。
スピーカー 2
いやいや、2台持てばええやん。
スピーカー 3
いっちゃえやつ。
スピーカー 1
いや、Androidも持ってるんですよ。
iPad miniもあんね。
スピーカー 2
俺も持ってるよ。
スピーカー 1
やめとこう。この系で張り合うのやめとこう。
いや、でもほんまびっくりしましたよ。
円安的なこともあって、
高額な価格と購入意欲
スピーカー 1
結構いくんじゃないのかみたいなのをね、
記事で見たんすよ。
ネギスさんこれどうすんねやろなと思ってね。
値段が結構上がるかもしれへんみたいなことを言ってる人がね、
三上陽さんがインタビューに答えてたんで、
これは信頼における情報かもしれんぞと思ってね。
これはやばいなと思ってね。
30万、ネギスさんどうして販んのかなと思ったんですけど、
買うということですよね。
スピーカー 2
まあまあ、値段はちょっと見てみないとわかんないけど、
基本的には買うつもりですよ。
スピーカー 1
でも考えたらすごくないですか?
手のひらに持ってるもんで30万もするようなもん、
手に持つことってある?普段。
スピーカー 2
いや、ちょっとね、さすがに高すぎるよね。
スピーカー 3
辻さんのスニーカー履いてるから変わらんような気もするんですけど。
スピーカー 1
いやいや、そんなことないでしょ。
確かにね。
プレミアがついての値段ですけど、
それを確かに踏んづけて道歩くってなかなかないんじゃないのか。
スピーカー 2
あとは、時計とかいいものを持ってる人は、
まあそれぐらいの値段は普通にするでしょうね。
スピーカー 1
するするする。
ほんまに好きな人とかは3桁万円とかのいくつも持ってるんで、
半分投資でされてる方とかもいますもんね。
スピーカー 2
ただ、スマートフォンっていう区切りで見るとちょっと高すぎるけどね。
スピーカー 1
そうですよね。30万ってすごいよ。
ちょっと前のは普通のMacじゃないですか?
スピーカー 2
ちょっと前とか今でも普通にMac買えるよ。
スピーカー 1
まあそうですかね。
すごい時代になったな。
ちょっとね。
見せてください。触らせてくるとは言わないんで。
スピーカー 2
見せてください。買ったら。
買ったらね。
スピーカー 1
ということでお便りが来ておりまして。
お願いします。
この聞き方の話なんですけど、
お風呂で聞いてるっていうのも結構ありましたけれども、
スピーカー 3
なかったね。
スピーカー 1
1時間部屋の掃除をするお供に聞くとめっちゃはかどるらしいですね。
スピーカー 2
広い部屋なのかな。
スピーカー 1
どうなのかな。でもほら掃除機かけるたりとか、
あとフローリング掃除機かけるだけじゃなくて、クイックルワイパー的なので拭いたりとかさ、
お風呂掃除とかもあるし、玄関の掃除とかもあるからなんやかんやで1時間でいけるんじゃないですか。
スピーカー 2
まあそうかもね。確かに確かに。
スピーカー 1
逆にちょっと今日余裕あるなみたいな日にはもうセキュリティのあれでも聞くかいうついでに掃除しながら聞けばかなりいいんじゃないですか。
スピーカー 2
まあまあポッドキャストとかラジオとかもそうかもしれないけど、
ながらができるっていうのがやっぱ強みですよね。
スピーカー 1
そうですね。いろんなシーンで聞いていただければいいかなと思いますね。
でですね、さっき冒頭でちょっと話したITメディアで、ライブで僕らセキュリティウィーク出たじゃないですか。
それに関してです。お便り来てまして、いつものポッドキャストと違って新鮮ですと。
動くし、内容はあれの復習があったりでも有益。
ただ動くからお二人の洋服が気になって、もしかして二人ともサイコバニーのTシャツ。
何を着ているのか詳細が気になりましたという。
スピーカー 2
サイコバニーそういえば前ポッドキャストで喋ったね。
スピーカー 1
グッチより対応が良かったサイコバニーっていうやつですよね。
スピーカー 2
よく聞いてるなあ。リスナーすげえなあ。
すごいですね。サイコバニーね。
スピーカー 1
ちなみに僕は残念ながらサイコバニーではなかったです。
スピーカー 3
僕も違いますよ。
スピーカー 1
僕サイコバニーは白いシャツ1枚ぐらいしか今持ってないなあ。
スピーカー 2
ちょっと待ってそんなところも見られてんの?やめて。
スピーカー 1
いやいやいや。
スピーカー 3
めっちゃ見られてます。
スピーカー 1
これでもあれですよ。そのうちこの間、この時のマイナビ、去年の夏のマイナビと
今年の夏のITメディアで同じTシャツ着てましたねネギスさんとか言われるかもしれないですよ。
スピーカー 2
でも本当、でもさあそれめっちゃ気にしてるよ俺。
スピーカー 1
僕も気にしてる結構。
スピーカー 2
だってさあその毎四半期ごとに何回かとかって同じようにやってるとさあ
季節が巡るとなんか似たような服着ちゃうことあるじゃん。
スピーカー 1
分かる分かる分かる。
そんな別に1年や2年で捨てませんしね、服なんかね。
スピーカー 2
あれひょっとしてこれ前着てたかもとかさあ。
あとほら記事とか残ってて、写真が残ってたりするからさあ。
スピーカー 3
そうですね。
スピーカー 2
なるべく違うのにしようと思ってます。いるけどね。
確かにね。
スピーカー 1
僕もなんかインタビューの時のTシャツ、例えば着てたやつと
セミナーとかっていうんだと同じの着る時ももちろんありますけど
セミナーで同じのとか記事で同じのとかできるだけ避けて、覚えてる限り避けてますね。
スピーカー 2
できればね。そこまでしなくてもあれかなと思ったけど
いや実際こうやって見てる人がいるっていうのは。
スピーカー 1
そうそうそうそう。なんかそのあんまりね自分から言うのはなんか自意識過剰みたいな感じで嫌ですけど
でもやっぱ見てる人は見てるということですよね。
スピーカー 2
そんなんお前らの姿が誰が気にすんねんみたいなさ。
スピーカー 3
じゃあみんなもうパネルになったらいいんじゃないですかね。
どういうこと。
スピーカー 1
いいかもしれない。看護さんパネルやもんね。
スピーカー 3
そうそう私はね、お二人と比べると楽させていただいてるところあるっぽいね。
確かにね。
スピーカー 1
一回やります?全員声だけっていう。
スピーカー 2
みんなパネルで。
スピーカー 1
怒られるよな多分。
怒られるっていうかちょっとそれはできればやめてほしいですみたいな大人の感じの対応されるんだと思いますけど。
いつかは看護さんも顔出しするってなったら逆に僕らが出てないっていうのもいいかもしれないですね。
スピーカー 2
俺らがパネルで。
スピーカー 1
そうそうそうそう。一人しか映ってないみたいな。
スピーカー 2
いやいやでもセミナー聞いてもらってありがたいですね。
スピーカー 1
そうですね。ありがとうございます。
でですね久々ですかね最近あんまりこういうタイミングとか時期もあるからだと思うんですけども
これちょっとお祝い的なことなのでスクリーネーム、Xのスクリーネーム読ませていただきますけど
よつやさんからですねCISSP合格したぜという。
スピーカー 2
おめでとうございます。
スピーカー 1
おめでとうございますということでスクリーネームなんでいいかなと思って読ませていただいたんですけれども
ちゃんとCISSPの合格したぞっていう写真もちゃんとつけてあげていただいてたんでねおめでとうございます本当に。
スピーカー 2
素晴らしい。
スピーカー 3
本当に大変だったと思います。
スピーカー 1
本当そうでしょうね。
スピーカー 2
なんか我々がポッドキャストお役に立ちましたでしょうかね。
そうですね。
スピーカー 3
そうですね。役に立ってたら嬉しいですね。
スピーカー 1
ぜひねこれ聞いてたんで受かったっていう風にいろんなとこで言い回っていただきたいなと。
スピーカー 2
そうですね。
一緒にやってる仲間が多分いるからね。
そうですね。
目指してる人とかね。
励みになるといいですねそういうのはね。
スピーカー 1
ありがとうございます。
最後のお便りなんですがこれちょっと質問です。
脆弱性情報のまとめ方のコツはありますか。
複数のソースが発表した情報をまとめて正確な情報を認識すべきと言われても一体どこを見に行けばいいんだろうとなってしまうという。
スピーカー 2
なかなか難しい質問ですよ。
これはもう看護さんじゃないですか。得意なところは。
スピーカー 1
そうですね。
スピーカー 3
えー。
スピーカー 2
えーじゃないですか。
スピーカー 3
難しいですね。
いやなんかもうここだっていうのがあるにはあるかもしれないですけど毎回ケースバイケースっていうか。
スピーカー 2
そうなんだよね。
スピーカー 3
ズバリこれだっていうのがあるかな。
まあもちろんあのね日本で言ったらIPAとかJPサートとかそういったところが出しているね公的機関が出している情報はまあもちろん信用できるところに値する情報ではあるので。
そういった情報を参照されるのはベストではあるんですけども当然やっぱ時間差があったりはするので。
スピーカー 2
そうなんだよね。
ちょっとまあ確認取れてからしか更新されないからちょっとタイムラグあるよね。
そうですよね。
ちょっと難しいですよねどこがってズバリって言うとなると。
まあ一般論答えになってないけど一般論で言えばそのまあ脆弱性であればそのソフトウェアのベンダーその脆弱性の対象となっているといえば公式のそのベンダーのところがまず第一で。
あとまあ今言ったその公的機関の情報と。
あとやっぱり最近だとその実際にそれが悪用可能かどうかとか。
公的が実際に来ているのかどうかっていうのがまあその緊急度に割と結びつきやすいんで。
そういうのを調べたり観測して報告してくれているセキュリティベンダーとかね他のベンダーさんの報告とかも本当は知っておいた方がいいし。
スピーカー 3
そうですね。
スピーカー 2
あとまあそういう情報って今ちょっといろいろ分散しちゃってるけどまあツイッターとかにねそういう情報ってリアルタイムで流れるからそういうのも追わなきゃいけないとか。
割と見なきゃいけない範囲が広いんだよね。
でそれがしかも毎回色々バラバラにばらけてるんで。
スピーカー 3
同じことを最終的に言っていればまあいいんですけど最近なんかあのバラクーダの。
なんかすごい抗がんしてて。
スピーカー 2
なんかね今週出たそのFBIが言ったやつとマンティアントーとバラクーダが言ってる話がちょっと矛盾してるみたいなね。
スピーカー 3
なんか合わないけどこれどっち信じたらいいんだって。
スピーカー 2
ちょっとあれおかしかったよねなんかね。
スピーカー 3
そうなるとつらいですよねウケる側は本当に。
スピーカー 2
あとまあその間違ってるわけじゃないけど不十分なというか完全じゃない情報が結構先に出て後から更新されるとかってことがまあまああるんで。
スピーカー 3
結構ありますよね。
スピーカー 2
そういうのもね追っかけていかないといけないとか途中で変わったりするからねそういうのもあって。
確かにだからこのねご質問されてそのリスナーの悩みというかなんかそういうのわかんないっていうのはまあみんな思ってることなんだよね正直言うと。
本当はそういうのが高齢危機感が何なのかわかんないけどもみんなが同じ悩みを抱えてるからどっかがまとめてやってくれるのが一番理想ではあるんだけどなかなかそうなってないっていうのはあるよね。
スピーカー 1
ベンダーとかっていうのもあるでしょ。
脆弱性の場合だと発見者が一番初めの情報って場合もありますからね。
スピーカー 2
そうね。
スピーカー 1
なんかどこ見るって結構あんまそんな意識したことなかったな。
スピーカー 2
その場その場でだからその今までの経験上さあやっぱりみんなアンテナがあるからその時に応じて必要なところを見れるっていう風になってるんだけどいざそれを全くない状態でやれって言われたらまあできないよね。
スピーカー 1
積み重ねていったここのサイトは情報が早いとかそういうのがね自分の中でできていくと早くできるのかもしれないですけどね。
スピーカー 2
なんか結構僕は埋めるべき項目みたいなやつ用意してそこにいろんなところが情報とでいて&取って埋めるみたいなことをするかな。
スピーカー 1
どんなもんなんていう概要と影響を受けるバージョンと対策だけじゃなくて緩和策と攻撃行動があるかないかと。
ざっくり言ったらそれぐらいなんですけど。
それを埋めていく作業を何回かやってみて。
自分に関係のない脆弱性でもなんでもいいからそれやってみて埋めていくっていう作業をしていったらここ見たらこの情報をちゃんと取ってこれるなとか。
こういうの確認が取れてるとかで情報を提供してくれるサイトやなっていうのがわかるから何回か練習してやってみる方がいいんじゃないかなと思いますけどね。
スピーカー 2
自分なりのその方を見つけるっていうかね。
まあ大体はそのみんなに共通してる方ってあると思うんだけど、
でも人によってやりやすいやり方ってあるからね。
まあ確かに今ついさんが言ったみたいに実践してみるっていうのがいいかもね。
スピーカー 1
過去に結構有名あった脆弱性の情報を自分で一回の収集してみるとかもいいかもしれないですね。
まあ慣れるのが一番かなっていうところかもしれないですね。
本当はそれがいいと思えないですけどね。
本当はどっか見ればいいんでしょうけどっていうのがあればいいんですけどね。
はいありがとうございます。
お便りいただいた方にはステッカーの印刷コードを差し上げますんでよかったら皆さんもお便りいただければと思います。
はい。
スピーカー 3
はい。
スピーカー 1
じゃあセキュリティの話をそろそろしていこうかなと思うんですけど、
今日はそうですね、じゃあネギスさんから行きましょう。
はい。
スピーカー 2
じゃあトップバッター行きますけども。
はい。
Juniper Networksのネットワーク機器のウェブインターフェースの脆弱性
スピーカー 2
今日はですね、ジュニパーネットワークスのネットワーク機器の
ウェブインターフェースの脆弱性の話をしようかなと思っているんですけど、
また管理インターフェースの話かよっていう感じなんだけど、
これ認証なしでリボートコード実行可能な極めて危険度の高い脆弱性なんですけど、
対象になっている機器っていうのがSRXっていうシリーズとEXっていうシリーズと2種類あるんだけど、
8月の17日、今月の半ば、今月じゃないかもう先月か、もう9月なんだね。
スピーカー 1
はい、9月ですね。
スピーカー 2
先月の半ばお盆休みぐらいにパッチとアドバイザリーが公開されたんだけど、
CVEとしては全部で4つ公開されてるんだけど、
今言ったみたいに対象の機種が複数あるので、
ざっくり言うと脆弱性の種類としては2種類あって、
一つが2位のファイルを認証なしでアップロードできますっていう脆弱性と、
もう一つがこちらも認証なしで、
PHPの環境変数の書き換えができますっていう、
このウェブのインターフェースとJWEBっていうのがPHPで書かれてるんだよね。
なのでそのPHPの設定は書き換えられますよっていうのが脆弱性で、
この2つなんだけど、
CVEとしては全部で4つなんだけど、
いずれもCVSSのスコアは5.3になってて、
これもエクスプロイタビリティのメトリックスは実はすごく高いんだけど、
アップロードができるとか書き換えができるっていう感じで、
インパクトメトリックスがすごい低くなってて、
完全性がローになってるけど、
あとの2つの機密性と可用性はなしになってるんで、
最高でも5.3にしかならないという感じなんだけど、
実はこれそのアドバイザリーでも書いてあるんだけど、
この2つの2種類の低着性を組み合わせると、
認証なしでコード実行までリモートからできますよということで、
CVSSのスコア的に言えば9.8相当になって、
スピーカー 1
これはクリティカルですと。
スピーカー 2
合わせ技1本みたいなね。
インパクトメトリックスが全部ハイになるっていう感じで、
極めて危険なんだけど、
ちょっとね僕はその今日取り上げたっていうか注目した1つの理由としては、
スピーカー 2
17日に出た最初のJuniper Networksのベンダーの公式のアドバイザリーに、
ちゃんとこれらの低着性を組み合わせることで、
認証なしリモートコード実行可能ですっていうことが明記されてるっていうことと、
あと普通だったらCVEの番号ことっていうかさ、
それぞれにCVSSの評価をするってのは普通なんだけど、
今回の場合とかはトータルでその組み合わせでCVSS9.8ですっていうことがちゃんと明記されていて、
パッと見てクリティカルっていうことが一応わかるようになってるんだよね。
珍しいんですよね。
これは親切でよろしいかなというか、利用者に誤解させないっていうかね。
今回のやつはスコア低いから大丈夫ねって誤解されちゃうと一番それがまずいんで、
それを避けるためにちゃんとこういうふうに表記してる。
表記の仕方が複数組み合わせでスコアをつけるっていうのが正しいやり方かどうかはちょっとはっきりしないけど、
でもわかりやすさっていう観点ではいいなと思いましたというのが一つ。
これが8月17日なんだけど、それから1週間経って8月25日に、
今度はですね、このWatchtower Labsってところがセキュリティベンダーなんだけど、
この脆弱性の解説記事を書いて、合わせてプルーフオブコンセプトの行動を公開しましたと。
これ比較的脆弱性の種類としてというか攻撃のしやすい脆弱性だったんだよね。
なので検証していろいろ調べたところ容易に特定が可能で、
それが実際に攻撃できると、悪用できるというのを再現可能ですよっていうことを示してしまったと。
そうしたところ、シャドウサーバーっていうこういう脆弱性の状況とか、
スキャンしたりとか、あと攻撃を観測したりとかしている団体があるんだけど、
そこがツイートで、ツイートでは今Xか。
スピーカー 1
ポストですね。
スピーカー 2
ポストしてたんだけど、このプルーフオブコンセプトの行動が公開されてからすぐに攻撃が観測されるようになりましたって言っていて、
なんで今から9月2日なんで、もう1週間くらい前からインザワイルドの状態になってますというこういう状況で、
これはいつものように商談とかいろいろそういうスキャン状況とかね、公開しているところがあるんだけど、
ちょっとばらつきがあるけど、だいたい数千台から1万台以上、多ければ1万台以上どうもこの管理インターフェースがインターネットに公開されているらしいので、
まあまあ影響があるんじゃないかなというのと、もうすでに何種類かの攻撃者が攻撃してるっていう話なんで、
これ該当する人はもうすでに多分攻撃を受けていると思った方がいいと。
まあそういう状況でした。
脆弱性の攻撃行動と影響範囲
スピーカー 2
ちなみにこの公開された攻撃行動を一応見てみたんだけど、さっき言った製作者の組み合わせって言ったじゃない。
実際どうやって使っているかというと、まず最初にその任意の行動を含むPHPのファイルを、まずその脆弱性を使ってアップロードしますと。
攻撃者だったら普通Webシェルとかね、多分そういうのをアップロードするんだと思うんだけど、まずこれが第一段階と。
で、二段階目でその今アップロードしたファイルを実行するように指定したPHP.iniファイルっていう設定ファイルだよね。
これをアップロードしますと。だから2回ファイルをアップロードしますと。
で、最後3段階目として今度は別の脆弱性を使って、今度はその今アップロードしたPHP.iniファイルが読み込まれるようにPHPの環境変質を書き換えて、
今アップロードしたファイルを読み込むと。そうすると読み込んだファイルが最初にアップロードしたPHPファイルを読み込んで実行するっていう、そういう多段階の流れになっていて、
で、最終的に最初にアップロードしたファイルが読み込まれて実行されますよっていう。こういう感じになっていて。
だから3回ウェブサーバーでリクエストを投げて最終的にコード実行まで持っていくと。
こういうのは自動化しているPythonのスクリプトをこのベンダーさんは公開してるんだけど、非常に公益時報自体はシンプルだなというか、
これはすぐに再利用できちゃうぞっていう感じなので、非常にやばいと思った方がいいかなという感じです。
今日取り上げたデザインとしてはそこまで珍しいものではないんだけど、
合わせ技1本というのが、ベンダーがちゃんとそれを明示しているというのと、攻撃方法としてちょっと面白かったので紹介してみたって感じですね。
スピーカー 1
まだまだ管理インターフェース外に開いちゃってる問題っていうのはあるんですね。僕らが思っている以上にあるのかな。
スピーカー 2
そうそう、これもまたかって感じですね。これの先週お休みしたけどさ、
イバンティのセントリーっていう製品でもあれも確か管理インターフェースの脆弱性で、そこそこの頻度でこういう管理インターフェースの脆弱性に対する攻撃っていうのが出てるよね。
だから今回のやつもね、パッチを当てて修正するっていうのが回避策なんだけど、
回避策というか修正なんだけども、一応ワークアラウンドとして書いてあるのは、
ウェブサーバーを止めるか、アクセス制御して管理インターフェースにアクセスできないようにしなさいというのが書いてあって、
まあ結局そうなるんですねっていう。
スピーカー 1
まあ本来そうなっておくべきものをやりなさいってことですね。
スピーカー 2
これもそうしとくべきだよねって話だよね、それね。
まあ管理インターフェースってのはやっぱりそうなっちゃうっていうか、
ひどくインターネット上に公開しとくリスクっていうのはやっぱりちょっとね、これはちょっと許容できないリスクなんじゃないかなという感じがしますね。
これだって出たらすぐに攻撃されちゃうっていう危険性ってリスク高すぎるよね、これね。
スピーカー 1
まあそうですよね。出てから探されてるというわけでもなく、多分普段から探されてるでしょうからね。
その空いてるリストみたいなものをおそらく作ってるでしょうから、すぐに攻撃に転じられるようにね。
いやでもなんか結構この外向きに何かいらんもんが空いてるって、
例えばRDPとかもそうじゃないですか。結構多いもので言うとね。
そういうのってこうシステム導入した時の確認とかってきちんとされてないのかな、そこちゃうんかなと思うんですよね。
スピーカー 2
そうだね。今回のやつもそうだけど、一番台ぐらいあるっていう話だけど、だいたいどれくらいが意図的に空いてるのかどうかっていう話だよね。
スピーカー 1
そうですよね。
スピーカー 2
意識してないで空けっぱなしになってるっていう可能性もなくはないじゃない。
今のRDPもそうだけど、ちゃんと確認してますかって言ったら、してないところが多いのかもしれないよね。
スピーカー 1
あとはその、空けてるだけやったら大丈夫っていう認識ももしかしたらあるんちゃうかなって最近思ってて。
スピーカー 2
あーちゃんと例えばパスワードとか書いてあるしみたいな。
スピーカー 1
認証をokにして、あとはものによったらね、多要素認証も使えるものもあるじゃないですか、そういう管理系のやつでも。
スピーカー 2
なるほど、容易には入られないから大丈夫って思ってないかと。
スピーカー 1
認証があるところやから、認証を固くしとけば大丈夫なんでしょっていう考えがあって、その認証なしで使える脆弱性があるっていうところまで知られてないっていうか、多くに広まってないのかなっていう気がする。
スピーカー 2
まあ確かにそこをちょっと過信してる可能性はあるよね。
スピーカー 1
認証ありでないとできひんものもあるけど、なしのものもまあまああるじゃないですか。
そこの伝え方誤ってきたかもしれんぞ、もしかしたらっていう。
こんだけ空いてるのを見るとそう思ってしまうんですよね。
単にずっあんなだけじゃないのかもしれないなっていう。
スピーカー 2
ああ確かに、そういう人たちはもしかしたらそういう人がいるっていう家庭で話すと、今回のもそうだし、
過去にも結構その管理インターフェース系で認証バイパスの脆弱性で行動実行まで行っちゃうってやつはまあまあよく見かけるけども、
そういうのに対するリスク評価がちょっとだから間違ってるのかもしれないね。
スピーカー 1
ちゃんと認証してるんで大丈夫ですっていうふうに収められて、あそうですかじゃあいいですねみたいになってるのかもしれないみたいなね。
スピーカー 2
あともう一つで考えられるのは、仮に見つかってもすぐにパッチ当てれば大丈夫でしょって思ってる人たちもいるんじゃないかなっていうか。
スピーカー 1
僕はそっちも気になってて、それだと今回の1週間ぐらいっていう猶予だったけど、早いか遅いかっていったら早いやつはもっと早く1日とかで来るやつもあるからさ。
スピーカー 2
だからそこがねあんまりそのスピード競争になっちゃうのはあんまり良い手ではないなっていう気がするので。
ちょっとギャンブル感あるなぁ。
そうそう毎回毎回必ずしも攻撃者よりも早くパッチが当てられるって保証は全くないから。
だったら最初からその閉じとくとかアクセス制御してそもそもそこのリスクを減らしておくっていう方が賢いよね。
スピーカー 1
精神衛生的にもいいですよね。
スピーカー 2
そうそうゆとりが持ってるもんね。
スピーカー 1
しかもね土曜日とかに来られたら負けちゃいますよね。
スピーカー 2
そうなのよ。週末の間にやられてるって実際あるからね。過去にもそういうのあったしさ。
スピーカー 1
そもそも減らそうっていう。
スピーカー 2
そんなに目新しい話じゃないけど改めてちょっと注意喚起というかね気をつけなきゃなって思いました。
スピーカー 1
伝え方も考えていかないといけないなって思いましたね。
スピーカー 2
そうだね。
スピーカー 1
わかりました。ありがとうございます。
じゃあ2番目は僕いきます。
スピーカー 2
お願いします。
アノニマスの抗議
スピーカー 1
僕が今日紹介するのはですね、福島原発のアルプス処理水の海洋放出についてアノニマスがわーっと言うてまっせっていう話をちょっと紹介しようかなと思います。
スピーカー 2
なんか一部で盛り上がってますね。
スピーカー 1
アノニマスが盛り上がっているのかセキュリティの専門家側が盛り上がっているのかちょっとよくわかりませんけど。
これですね、一応僕も見てはいるんですけど、2021年にこのアルプス処理水の海洋放出っていうのが決定したんですよね。
やりますよ、2023年にやりますよっていうのは決まってそのタイミングでこのオプ福島っていうのが立ち上がってるんですよ。
この時にターゲットリストとかがテキスト共有系のサイト、ペイストビンとかいろいろあるじゃないですか、ああいう貼り付け系の。
そのところに公開されていたんですよね。
そのリストの中には海洋放出と直接的にもしくは原発関係の組織と関係なさそうなところも結構入ってたんですよ。
それは今のリストにもそうなんですけど。
当時は今はなき、前回ですか、アノーファイルズ、カンゴさん紹介されてましたっけ。
今はなきアノーファイルズに東京電力の関連する情報が公開されたっていうのが2021年にあったんですよね。
調べてみると一個一個見たら全部公開情報なのにリークっぽく出してるみたいなものがあって、当時僕それブログに書いてたんですけど。
そういうものがあって、海洋放出するっていう風な2023年がきて、実際に今も行われてますけれども、
このアルプス処理室の放出が始まるちょっとぐらい前からこういう報道も増えてきますよね、国内外問わず。
7月ぐらいからかな、7月ぐらいからDDoSが上手くいったぞみたいな、ダウンしてるぞっていう証拠を貼り付けて
ツイッターに上げるっていうようなものが結構増えてきてたんですよね、アノニマス関連と見れるようなものが。
スピーカー 2
よくある手ですよね。
スピーカー 1
アノニマスと見て取れるアカウントっていうのはイタリアのアカウントが中心となってやってたんですけど、
それ以外にもいくつかDDoSしたよみたいなことをツイートしてるアカウントもあって、
中には過去に今年の1月ですかね、渋谷区のホームレスの強制退去っていうのがあってそれに反対するっていうのがありましたけども、
その時に渋谷区の区役所に攻撃を示唆してたようなアカウントも今回もちょこっと参加してるような感じでもありますね。
あとは他は見てみると、観光庁から盗んだという風な感じでリークした、不利をして出しているようなアカウントがいたりとか、
Xにも、あとTelegramとかにもこういうアカウントいるんですけど、調べてみると公開情報やん、これみたいなものばっかりだったりとか、
あとは認証なしでブラウザーでURL打ち込んだらアクセスできるようなライブカメラの映像のリンクリストを公開してたりとか、
あとは国内で流通しているルーターの脆弱性を使って処理水反対っていうような感じのメッセージに改ざんするみたいな、
いくつかのパターンのアノニマスもしくはアノニマスに関連すると思われるアカウントが出てきているっていうのが現状なんですね。
いろいろ見ててですね、僕もアノニマスウォッチして長いですから、ちょっとこれ僕も独自にちゃんと調べようかなと思って、
インタビューをしてみました。
スピーカー 2
いいね、ついさんといえば、突撃インタビュー。
スピーカー 1
突撃となりのアノニマスですね。
それでイタリアのアカウント、中心となっているようなアカウントですね。
これはちゃんと声明文とかもターゲットリストとかも出しているようなアカウントなんですけども、
直接連絡をしてですね、いくつか質問したので、その質問と答えをちょっと紹介したいなと。
スピーカー 2
はいはい、興味深いですね。
スピーカー 1
これは福島自体はさっきも言った通り、2021年に僕調べてブログに書いてたりとかするんで、
この2021年に同盟の作戦ありましたけども、そちらとの関連性は今あるんですか?って聞いてみました。
ないって言ってましたね。
これとはまた別の関連、前やってた人とは全然関係ないですよっていうふうなことなんで。
スピーカー 3
同じ名前だけどと。
スピーカー 1
リストは一部転用しているような感じはするんですけど、関係性はないというふうなことは言ってました。
あとはサイバー関係ないような質問もいくつかしてるんですけど、
イタリアと日本って結構遠いじゃないですか、物理的な距離が。
なので影響ってどれぐらいあるのかって押し量れない部分もあるんですけど、
どうして離れているにも関わらず抗議してるんですか?というようなことを聞いたら、
距離っていうのはあんまり関係なくて、
領土の問題、距離の問題じゃなくて、形の問題ですみたいなものがあって、
彼らは環境に優しいアノニマスみたいなところがちょっとあるのか、
海はみんなのもんだということで、ゴミ捨て場じゃないんだというのが彼らの主張だというふうなことが。
これは詳しいことは自分たちのブログに書いてあるので、それ見てくれみたいなことは言ってましたね。
スピーカー 2
あれだよね、もともとアノニマスってそういう環境保全的なっていうかさ、
以前日本もターゲットだった海洋生物保護的なのとか、
比較的世界中の知事を得やすいような主張で攻撃してくるっていうのは、彼らの一つのパターンではあるよね。
スピーカー 1
そうですね、いくつかパターンありますよね。環境系とか動物愛護とか、
あとは人の人権とかプライバシーとか、いくつかジャンルがありますよね。
スピーカー 2
人種差別とかね。
スピーカー 1
そうそう、それの環境保護系の人たちの主張かなっていうふうなところですね。
スピーカー 2
実際にやってる人たちが本当にそれを思ってるのか、単なるそういう建前でやってるのかよくわかんないけど、
スピーカー 1
そうですね。
面倒向かってこういうのって反対しにくい主張だから、彼らとしては攻撃の理由としては言いやすいよね。正当化しやすいっていうかね。
なかなか反証もしにくいってところもありますしね、専門家じゃないんで僕らは。
アノニマスの攻撃活動
スピーカー 1
あとは、これはサイバー系の質問でしたんですけど、攻撃の手段っていうのはDDoSのみなんですかってのを聞いてみました。
改ざんとかね、そういうこともしてくるのかなっていう、このイタリアのアカウントに対してですけども、
自分たちは攻撃活動をしているんであって、IT戦争をしているわけではないので、今のところそういうつもりはないみたいなことを言ってますね。
スピーカー 2
そういうつもりっていうのはDDoS以外で何かするつもりはないってことですね。
スピーカー 1
抗議をできればいいのでっていうふうなことを言う。
スピーカー 2
逆に言うと、DDoS攻撃は抗議だっていう主張だよね。
スピーカー 1
そうですね。IT戦争っていう直訳したこういう言葉を言ってましたけど、サイバー攻撃っていう感覚があんまないのかもしれないですね。
スピーカー 2
昔からアノニマスは最初からね、そもそもDDoSは抗議だ、デモと同じだっていう主張をずっと昔してたからね。
そういう流れにのっとっているといえば、あってるかもしれないね。
スピーカー 1
そうですね。昔リチャード・ストールマンもそんなこと言ってましたね。
このDDoSに関してもうちょっと突っ込んでみようと思ってですね。
DDoSにはブーターとかストレッサーといったいわゆるDDoS代行サービスを使ってるんですか?って聞いてみました。
ノーコメントって。
スピーカー 2
逆にさ、それまで普通に質問に返したのにノーコメントって意味深だね。
スピーカー 1
なかなかね。
スピーカー 3
ちょっと分かりやすいって言ってるかも。
スピーカー 1
これはね、どう取るかは聞いた人次第かなっていうところは。
スピーカー 2
肯定も否定も次第ってことだよね。
スピーカー 1
そうそうそう。ノーコメントということで。
で、どれぐらいの通信量のDDoSしてるんですか?って。
まだ食い下がるみたいな。
スピーカー 3
また来るかみたいなね。
スピーカー 1
一応ざっくりで、トラフィック量とかっていうのではなくて、1秒間に数千から数百万の接続をしているという風に言ってるんで。
スピーカー 2
それはどうやって測ってるんだろうなぁ。
スピーカー 1
そうなんですよね。
スピーカー 3
そういうのが出る何かがあるんですかね。
スピーカー 2
それこそブーターストレッサーでさ、性能を謳っているっていうかね、これぐらい出ますよって言ってるとか、
あとその料金プランによって、行営規模がこれぐらい変わりますみたいに、建前として言ってるところはあるから、
単純にそういうのを言ってるだけなのか、適当にでっちゃいけたのかわかんないけど。
スピーカー 1
だいたいああいうのでなんちゃらBPSかセッション数っていうかね。
スピーカー 2
そうそうそう。リクエストパーセックでこれぐらい出ますとかね。
まあいろいろなんかそういうのはあるけど、
まあでもぶっちゃけこの辺はその実際に攻撃を受けたところがどのぐらいのトラフィックが来たかっていう事実が正しいんであって、
攻撃側が言ってることはあんまちょっと好みにできないね。
スピーカー 1
やっしーは仮にブーターストレッサーとかを使ってても、
自分の今やってるこの攻撃ポチッと押したやつがどれぐらい今出てるのかってリアルタイムに記すべきは多分、
使ってる人側からは見えないと思うんですよね。
スピーカー 2
そうなのよ。攻撃側はね、正確な数字は把握してないと思うんで。
スピーカー 1
そうそうそう。なんでこのふわっとした感じとノーコメントを合わせるとやっぱツコトンかなっていう気はちょっとしたくもないなっていう。
スピーカー 2
いや、なんとなくだけどね。そのコメントはそういう感じがするね。
スピーカー 3
そういう感じしますね。
スピーカー 1
わかんないですけどね。推測でしかないですけどね。
攻撃の意図とターゲット
スピーカー 1
あとターゲットについても聞いてみまして、
攻撃のターゲット、いくつかリスト上げてましたけども、
アルプス処理水の海洋放出と無関係じゃないのかこの組織はっていうふうなものが含まれてるんですけど、なんでなんですかっていうふうに聞いたらですね、
主に原子力発電や政府一部の国の取り組みに関連する機関のサイトを攻撃しました。
いずれにせよ、抗議するということは広範囲に混乱を引き起こすことでもあるんです。
雷マークってきてましたね。
スピーカー 2
なんかお茶を濁してる。でも答えてはくれてるな。
スピーカー 1
そうそうそうそう。
スピーカー 2
でもなんかわかんないけど、実際に狙われてるところっていうかさ、
僕らからは彼らが攻撃したっていうところしか見えてないけど、
毎回この辺のアノニマスとかハクティビズムの話をするときはいつも言ってるけどさ、
表に出ない失敗した攻撃ってのを彼らは無数にやってるから、
スピーカー 1
単語ダウンって言えない、全然影響がなかったっていうところはそもそも攻撃したってことすら言ってないんで、
スピーカー 2
そういうのも含めるとかなりたくさんやってると思うんだけど、
まあどうなんだろうなあ。そんなにちゃんと目的を持って狙ってやってるとは思えないけどね。
スピーカー 1
なんかちょっと調べたことに書いてあったニュースにあったものとか、
例えば過去のやつで言うと、イルカとかクジラの反対のやつあったじゃないですか。
キリングベイとかオブホエイルスとかあったじゃないですか。
あの時にね、鉄道会社が攻撃のリストに入ってたんですよ。
これなんでなんて聞いたことがあるんです、昔僕も。
その時にはイルカとかクジラとかを運ぶやろって言われたんですよ。
そんなんもう全部やんみたいになってくるっていうね。
スピーカー 2
こじつけなんだよね。
まあ後からだったらいくらでも言えるっていうかさ、何かしら関わってるでしょって言われてばまあそうなんだよね。
スピーカー 1
例えばそういうね、イルカのショーを見るためのツアーをやってる旅行会社があるからっていうことでも攻撃対象になるわけですから。
スピーカー 2
だからね、いくらでも言えるっちゃ言えちゃうんで。
スピーカー 1
だから逆になんでなんだ、何か深い意図があるんじゃないかというふうにあまり考えずに見たほうがいいんじゃないかなっていう気はしますね。
そうなんだよね。
でですね、あといくつかあるんですけど、普段同じような抗議をしている方、同じ意思を持つ方々とは連携取ってるんですかっていう、
いろんなね、複数のこういろいろ今まで見ていると、この人はこの違う国のアカウントやろうなとか思う攻撃者いるわけですよね。
中東系とかいるんですけど今回のやつにも。
聞いてみたらですね、もうすごい模範回答のような答えがきましてですね、
We are Anonymous, We are Legionってきましたね。
スピーカー 2
なるほど。
スピーカー 1
答えになっとらんなっていうところがちょっとあるんですけど、まあまあこれはまあお約束の感じかなっていうね。
スピーカー 2
軽く言い出された感じだね。
スピーカー 3
そこはブレてない。
スピーカー 1
ブレてないです。なんかちょっとこう、なんかアノニマスも世代交代した感じはあるのになって思ってたんですけど、ちょっとこういうのはやっぱ残ってるんだなっていうのはね。
スピーカー 3
そこはね、ブレてない。
スピーカー 1
いやそうですね、なんかあの頃のアノニマスと変わっているところもあるなみたいな感じがちょっとはいしましたけれども。
あとはまあの処理水に関して、日本以外にも報出されている事実がありますけれども、そのあたりはどのように考えてますかっていうようなことを聞いてみたんですが、
これはの排出先の問題とかじゃなくて、あの排出管理業務が明確に透明性を持ってやられていないことにありますって言ってましたね。
スピーカー 2
まあこれだからその公益の一つのそのなんていうの、公実になってるのがさ、国内でもまあ反対意見があるじゃない。
はいそうですね。
環境破壊への関心
スピーカー 2
まあ地元を中心にというか、そもそもちゃんと合意せずに見切り発車した的な批判があったりとか、
抗議デモ的なものも国内でも行われてるしさ。
スピーカー 1
そうですね。
スピーカー 2
そういうのってきっかけになりやすいんだよね、公益が。
スピーカー 1
確かに確かに。
スピーカー 2
そのローカルでのそういう反対があるっていうのがグローバルに取り上げられたりとかすると、
それに対して反対を押し切ってやった。
スピーカー 1
はいはいそういう構図ですよね。
スピーカー 2
国家権力が民衆を踏みにじったみたいなっていうのは割とそのすごく公益対象としてしやすいっていう。
スピーカー 1
やり玉にあげやすいというかね。
スピーカー 2
っていう側面はちょっとあるかなって気がする。
もちろん環境破壊につながるっていうのは事実としてあって、
それが実際にその海洋にどれくらい影響があるかっていうのは正直これは本当にわからないというか長期間にわたって見ないとわからないんで、
安全だって言ってるのが本当は間違ってるかもしれないし、いや本当に安全かもしれない。
これはわかんないじゃん。
僕らね今現在はわかんない。
誰もわかんないわけじゃない。
そうですね。
ただその地球環境に何かしら影響があることは間違いないと思うんだけど、
ただそれ云々と言ってもさ、そこは正直勝ち負けがない議論なんで、
それよりも反対を仕切ってやってるけしからんっていう方が割とわかりやすいよね。
あの時の合意はどうなったみたいな話っていうのはさ、
国内でもいろいろある議論があるところだから、
せめる公益にしやすいっていうかね。
スピーカー 1
質問と回答は以上なんですけど、
今までずっと僕も10年以上、
ねぎしさんとの付き合いはアノニマスとの付き合いと同じぐらいの感じで。
スピーカー 2
懐かしいね。だってアノニマスがさ、
こんだけ有名になった2010年、2011年ぐらい、
最初に僕ら興味を持って調べ始めたところがきっかけだもんね。
スピーカー 1
そうそうそうそう。
スピーカー 2
あれからもう十何年経ってるけど。
うん、経ってるんですけど。
スピーカー 1
でもそんな大きく変わってないし、
国際的ハッカー集団みたいな言葉は未だに使われますけど、
そういう言葉に目くらましみたいな感じになってしまっている状況ってまだあるかなと思いましたね。
聞いてみて分かったことっていうのは、
やっぱりだいたい同じ感じでやってるなっていう。
そんなに大きくは変わってないなっていうふうに思ったんで。
変に大騒ぎする必要もないんじゃないかなっていうふうに思ってて、
普段気になることがあったら質問したりするアノニマスとかいるんですけど、
そのアノニマス自体が言ってましたね。
騒ぎすぎって。
なんかもう危なくないと困るんですかこの人たちみたいなぐらいのことをおっしゃってましたね、その人はね。
なので冷静に見るっていう。
攻撃者が何かではなくて、
実際に行われていることとかっていうのは冷静に判断するっていうのは、
この言うことでも同じようなことが言えるなっていうふうに思ったんで、
こういう裏側じゃないですけど、こんな感じらしいですよってことを皆さんに紹介したいなと思って、
こういう話をさせていただきました。
スピーカー 2
確かに騒ぎすぎかどうかはともかく、今回のアノニマスもそうだし、
他にもこういうオペレーションに参加している人たちって、
分かんないけどさ、どれくらいか分かんないけど、
中には目的と手段が入れ替わっちゃってる人って多分いると思ってて、
攻撃するっていうことが主になってて、
叩く先を探してるっていうか、
常にそういう先を世界中探していて、何かそういうネタがあれば飛びつくみたいなさ、
そういう人が多分一定数いるんだよね。
こういう人たちは何かを叩き続けてないと先へ進めないっていう感じの人が中にはいるんじゃないのかなっていうか、
この人たちがどうか分かんないけどね。
本当にこういう事態とか環境破壊とか、
そういう事態を本当に猶予していて、
真剣に考えていて、それに対するあくまでも一手段としてこういうサイバーでの
抗議活動というか、攻撃をするみたいなのもあると思うんだけども、
見てるとあんまりそういう感じはしないんだよな。
スピーカー 1
あとは僕見てて思うのは、
こういうのをしてて逮捕されてるのも何人か過去に海外でいるんですよね。
そういう海洋動物とか、環境破壊に対する反対みたいなことを言ってる人たちだけど、
サイバーの能力とかを持ってないとか、
こういう人たちをたきつけてやってるっていうのも少なからずあるんじゃないかなとは思ってて。
スピーカー 2
なるほどね。
スピーカー 1
そこはアノニマスに言うのかどうか分かりませんけど、
その辺も抗議する側も冷静に判断して抗議した方がいいんじゃないかなとは思うんですけどね。
スピーカー 2
今更言う話じゃないけど、
本来の処理水の海洋放出の問題っていうのはそもそもあるわけで、
これはこれで日本としてはちゃんと責任を持って取り組まなきゃいけない話じゃない。
そうですね。
それは別にして、今回のアノニマスだとかいろんなネットで騒いでる抗議活動があるじゃない。
これは実際のところどれくらい影響があるかっていうのと、
それに対するどう対応するかっていうのは、
それは本来の問題とは切り離して考えた方がいいような気がするっていうか。
スピーカー 1
そうですね。
スピーカー 2
実際どのくらい影響があるかっていうと、
アノニマスとかアクティビズム系の話って騒がれってなんぼの活動なんで、
騒げすぎちゃったらこちら負けになっちゃうからさ。
スピーカー 3
結構彼ら自身が報じられた記事とか、あるいは分析されたレポートとかを、
また彼らの成果、活動成果っていう形でまた拡散に利用されているというのも残念ながらあるので。
スピーカー 2
その辺は冷静に取り上げる側もというか、
例えば報道機関だったり、こういう行為を分析する、
僕らもそうだしセキュリティの専門家だったりとか、
一般の人がある程度こういろいろざわざわってなっちゃうのはしょうがないと思うんだけど、
そこはね、はい確かに。
そこにいくと年齢をくべちゃうようなことはしてはいけないんだよね、僕らはね。
そういうのをちょっと冷静にやらないといけないなという気はするね。
スピーカー 1
そこはセットかなって思ってますね、僕。
スピーカー 2
セットっていうのは?
スピーカー 1
結構そういうのでインタビューとかされること結構ありますけど、
これ以外でも黄色ネットとかもありましたけど、
そういう時にはこういうことが起きてるっていうのはみんな知っておいた方がいいと思いつつも、
加担するっていうのをできるだけ減らすバランスとしては、
大騒ぎするようなものではなくて本当に大事なところっていうのは別に、
リードスで落ちても大丈夫な資産もあるし、そこを見極めることの方が大事だ。
それは別にこういう攻撃者がいようがいまいが関係ないっていうことは合わせて言うようにはしてますね。
できる限り騒ぎすぎないように粛々とやるべきことなんですよっていう話はセットできるようにしてますね。
スピーカー 2
何もちゃんと対応できてればこんなの一時騒ぐ必要ないからね。
スピーカー 1
そうなんですよね。
スピーカー 2
なるほど、なかなか辻さんらしい突撃インタビュー。
スピーカー 1
本当ですか。
時々あるといいですね、こういうの。
分かりました。
最後は寛吾さんですね。よろしくお願いします。
スピーカー 3
私はもうまさに2人の話を足して2で割ったような話なんですけど。
スピーカー 1
そうなんですね。どういう数字なのか分からないけど。
スピーカー 3
足して2で割った?足したような話か。ちょっとボケてました。
通信機器の改ざん事件
スピーカー 3
ちなみに辻さんも少しお話しされてた国内の通信機器、おそらくルーターと見られるそういったもののログイン画面が多数改ざんされるっていう、
そういった事案が8月の末ぐらいから起きてますよっていう話を今日したいんですが、
おそらくはその処理スイートが、あるいはもしかしたら別かもしれないんですけども、
そういった形の何らかの主張をされたいという趣旨の下、
攻撃者がその通信機器のログイン画面ですよね。まさにさっき言った管理画面とかって言われてるような、
そういったものに入るためのログイン画面を改ざんしてそこに主張文を埋め込むっていう改ざん事案っていうのが、
おそらくはもう数百、報道なんかだと1500とかっていうのも報じられてましたけども、
結構な数やられているところが国内の危機で起きているっていう話があってですね。
これ結構深刻だなって私は思っていて、改ざんされて何か主張文が埋め込まれるっていう、
それはそれでまた別の意味では深刻かもしれないんですけども、
本質的にはそういうことが何をもってされたかっていうところが非常に深刻だなと思っていて、
さっき言ったX上で、おそらくこれに関与したと見られる人がこういう形の手口だっていうのを情報として投稿していたりもするんですけども、
それが本当に事実であれば、通信機器の脆弱性を悪用した結果改ざんを行っていると。
脆弱性の彼らの投稿している内容としては、ハードコードされた認証情報を使用して、
バックドアって言ってしまっていいのかわからないですけども、そういった情報を使って認証し、
その後また別の脆弱性として特定のプログラムにコマンド実行の脆弱性があるので、
そこに対してコードを仕掛けることで改ざんを行っていると見られる、そういった投稿がされていて、
脆弱性については投稿内容だとゼロでとかって書かれているんですけども、
見る限りその通信機器、すみません、ちょっと話が前後しちゃったんですけども、
スカイブリッジって呼ばれているセイコーソリューションズ製のIoT用のルーターではないかというふうに見られてまして、
そのIoT用のルータースカイブリッジについては、
今年の2月28日にセイコーソリューションズ自身が脆弱性がありますという形で脆弱性情報を出しておられて、
おそらくはその脆弱性を悪用した、要は基地の脆弱性を悪用された、
対応が改ざんされるまでにされてなかったと見られる、そういった機器に対して攻撃を仕掛けて改ざんをしたと、
そういった事例ではないかというところで、正直なところは実際に改ざんの被害に遭われたところが、
これこれこういう機器で改ざんに遭いましたっていう公表現状今出してないので、
外部から見えている情報でっていう、そういった前提にはなってしまうんですけども、
IPAなんかも先ほど申し上げたセイコーソリューションズが公表した脆弱性について、
8月の30日だったかな、注意喚起を出していて、注意喚起文中には、
攻撃が実際に観測され確認されてますっていうのも書かれてはいるので、
実際のセイコーソリューションズ自身も再啓という形で、また改めて2月に出した情報を出してはいたので、
その辺とかを踏まえれば、おそらくは基地の脆弱性を悪用したものっていうのを使って改ざんしたのではないかな、
というところではあるんですが、その脆弱性の中身、今お話の通り非常に何でもできるっていうんですかね。
リモートから攻撃者が自由にその機器を操作、あるいは改ざん、プログラム仕掛けるなんていうことができたりするので、
これ考えようによっては、改ざんされた機器っていうのは、例えば書断とか、
ああいったものを通じて確認が取れますので、そこにリストアップされている機器は脆弱性対応がされていないということがもう、
誰から見てもある意味は明らかな状態になっていて、別の攻撃者が改ざんとは別の悪用をするっていう可能性も当然ある、
考えられるケースかなと、何かの攻撃の踏み台にされたりとか、あるいはちょっとIoT用のルーターなので、
直接企業内に侵入できるかって、私は詳しくは承知していないんですけども、
例えばそれを取っ掛かりにして初期侵入に使われるとか、考えられなくはないので、
使っていらっしゃる方においては即時対応すべき事案でありますし、
かつ、もう攻撃にあっている前提でアクションを起こすべきだろうなと、ちょっと残念だなと思ったのは、
再掲されている注意喚起とかはあくまでも、脆弱性を修正するとか、
そういった趣旨で基本書かれているものなので、ちょっと被害に遭われている前提においては、
ちょっとこれそのままってなると少し十分でないんじゃないかなと個人的には思ってはいて、
例えば初期化とかは多分必要になってくるんじゃないかなと思うんですけども、
初期化の手順とかっていうのがマニュアルに一応書いてはいるんですけど、
書かれている手順で、例えばその改ざんとかプログラムが設置された状態っていうのが、
本当にクリーンな状態に戻るのかとかっていうのはわからないところがあって、
そこは多分問い合わせを実際に使っていらっしゃる方がしていただかないとわからないところではあったりするので、
ちょっとそこがあいにく記載がないので、できれば変えてほしいなとは思うんですけども、
使っていらっしゃる方は対応してほしいなと思ってはいつつ、
IoT用のおそらくDotaという形で、
使っているっていうのをそもそもあまり十分に認識していらっしゃらない方も、
それなりにいるんじゃないかなっていうのがちょっと気になるところではあって、
実際初段の改ざんされたとみられる台数なんかを見ていくと、
もちろん初段側の検索というか、サーチのタイミングにもよるかと思うんですけど、
最初私見たときは結構な数っていうんですかね、500とか結構な数があって、
少し減ったんですよね。その後400くらいになったんで、
なんか順次対応が進んでいるのかなと思ったんですけど、
今見たらまた560とかになってて、
もしかするとやっぱりあまり十分に対応が進んでないのかなっていうのが、
スピーカー 1
一旦改ざんページが消えたけどみたいな感じかもしれないですよね。
スピーカー 3
もしくは単に初段側の巡回タイミングのたまたま数字が減って見えただけだったのかなと、
実態としては全然対応がされてなくて、
そんな感じでちょっと見えただけだったのかなとか、
脆弱性と攻撃手口
スピーカー 3
そこはちょっと気になってはいて、
なので何とか使っている方にリーチできるように、
ベンダーなりあるいは公的な機関なりがしっかり呼びかけを頑張ってほしいなとは思っています。
スピーカー 1
これいくつか、製品の該当する製品いくつかあったじゃないですか。
はい。スカイブリッジとスカイスパイダーでしたっけ。
スピーカー 3
そうかな。この中にはVPN機能とかもあるやつもありましたよね。
スピーカー 1
はいはいはい。
なのでちょっと前にありましたけど、
VPNの設定で変更されてとかっていうことも使えるし、
それでアカウントとか作られる、
どういう設定になっているかわからないですけど触ったことないんで、
知らんうちにバックドアアカウントみたいなのがあったりとかしたら、
結局パッチだけだったら意味なかったんちゃうのみたいなことにもなりかねないと考えると、
結構気を配らないといけない範囲が広いのかなという気はしたんですよね。
スピーカー 3
はい。ログイン画面いじれるんで、ほぼほぼ設定の内容も全て使えるので、
ログイン画面いじれるんで、ほぼほぼ設定の内容も改ざんできると考えるのは自然ではありますよね。
スピーカー 1
そうですね。ログインのID、パスワードだけ残して他改ざんされてるみたいなやつがありましたしね。
被害の深刻さと対応策
スピーカー 1
これ気づきにくいというか、改ざんした人の日本語訳メッセージみたいなのにも書いてましたけど、
ルーターは損傷してないので通常通りお使いいただけますって書いてたっていうところが、
おもむき深いなっていう感じはしたんですけど、だからこそ気づきにくいんだろうなっていうふうに。
スピーカー 3
そうですね。繋がらなかったりすればそれで気づけるかもしれないですけど、
普通に動いていればわからないですからね。
スピーカー 2
これちょっと気になるのが、ほぼ国内でしか使われてない機器だよね。
スピーカー 3
そうですね。
スピーカー 2
半年前に公開されたもので、対応してないものがこんなにあるっていうか、
全部でどれくらいあってそのうちどれくらいが脆弱性未対応だったのかはっきりしないけど、
スピーカー 3
そうですね。
スピーカー 2
IoT機器の脆弱性対応っていう文脈で見ると、やっぱりちょっと難しいなっていうか、
いわゆる自動でアップデート更新がかかるとかさ、
何かしらそういう最新に保つ仕組みとかがないと、ちょっとこういう状況になっちゃうなっていうのが残念だなというのと、
いわゆる例えばIoTBotだったりとか、他にもいろいろ悪用の可能性って多分考えられると思うんだけど、
今回はね、アクティビズム系だったんで改ざんっていうわかりやすい攻撃だったけど、
さっきカンコさんも言ってたけど、いろいろすでにやられててもおかしくないというか、
何か埋め込まれてたり何かあったりもおかしくないんだけど、
ただね、僕ほら結構IoTBot系の調査普段からやってるんで、
特に国内にある機器で何かちょっと目立ったものがあったら、まあまあだいたいアンテナに引っかかるんだけど、
これはちょっとあんまり効かなかったなというか、
悪用されてるって話とかっていうのはちょっと急に来たって感じがしたので、
これまで国内限定の製品だったから見逃されていたのか、
でも今回一斉に改ざんっていうことが行われたので、
攻撃側は攻撃手法を知っていたわけで、
攻撃者の目的はねはっきりしないけど、仮にその処理性がダメだと仮にすると、
日本決勝から日本で使われている機器をターゲットにしてやろうって思ってやったというふうに考えられると、
どうやったかわかんないけど、今回のタイミングでよしじゃあ日本を攻めてやろうって考えたとすると、
割と時間をかけずに、これ狙い目じゃんっていうのが見つけられて、
攻撃実際やって改ざんまでできちゃったとすると、
それはそれでちょっと脅威だなというか、
攻撃の影響と対応
スピーカー 3
そうですよね。
スピーカー 2
見逃されてたのにしろ何なのにしろわかんないけど、
こういうものって決して特別じゃない、
LT対応ルーターなんてありきたりな製品だから、
こういうの他にもいっぱいあったら嫌だなっていう。
スピーカー 1
確かに確かに。
スピーカー 2
だしこれが現状なのかなっていうちょっとね。
スピーカー 1
そうですね。
なんかこのメッセージとは裏腹にこの攻撃をしたと思われるアカウントは、
その処理水以外のことを言ってるんですよね。
国民のプライバシーを侵害していることがわかりましたみたいな、
そっち系のメッセージも書いたりするんで、
何を目的としているのかいまいち分からんなってとこもありましたよね。
スピーカー 2
だからこういうのって厄介な、出張はよくわからんので、
何が本当の目的かわかんないんだけども、
でも攻撃した事実自体は割とそれなりにインパクトはある話。
今回ほんと単なる改ざんで済んだけど、
済んだっていう言い方はあれだけど、
もっと深刻でもおかしくなかったと思う。
スピーカー 1
そうですね。できることといえばもっとえげつなくしようと思う。
できるわけですからね、これね。
スピーカー 2
あとさっき寛吾さんが言った、
この裏で別に他の人たちが何かやっててもおかしくはないんで、
ちょっとそういう意味で、
意図はどうはれ、やられたことの影響の深刻さはきちんと冷静に、
これはまずいぞって思って対応しないといけないなっていう。
スピーカー 1
そうですね。あと漏れなく対応しないといけないってことですね。
スピーカー 2
なんかほら改ざんされただけでしょみたいなさ、
メッセージ埋め込まれただけでしょみたいな、
そういう捉え方危ないよね。
スピーカー 1
確かに確かに。
ありがとうございます。
ハンガーの紹介
スピーカー 1
ということで今日も3つのセキュリティのお話をしてきたんですが、
最後におすすめのあれでございますけれども、
今日私がですね、紹介するのはハンガーです。
スピーカー 3
え?ハンガー?
スピーカー 2
ハンガー。
ハンガーっていろいろあるよね、ハンガー。
スピーカー 1
僕が紹介するのはタヤっていうメーカーのスチールハンガーTシャツ用っていう。
スピーカー 2
タヤってメーカー自体名前初めて聞いたんだけど有名なの?
スピーカー 1
有名ですよ。
タヤシャツのハンガー作ってますよ。
あとディスプレイ、ディスプレイって僕らが言うディスプレイじゃなくて、
物を飾るディスプレイあるじゃないですか。
例えばバッグかけるとか、ああいうのとかも作ってるんですよね。
スピーカー 2
なるほどなるほど。いわゆる家庭用というよりは、
そういうショップ向けの専門?
スピーカー 3
そうですね。
スピーカー 2
そういうものも作ってるやつですね。
スピーカー 1
その中にはハンガーもいろんなハンガーがあって、
ホテル用のハンガーとか、ズボンもかけれる、ジャケットもかけれるみたいなやつがあるじゃないですか。
いろんなハンガーを作ってる中の僕が紹介しているのはTシャツ用っていうやつなんですけど、
形がちょっと結構変わっていてですね、
口では説明できません。
スピーカー 2
今写真を見てますけども。
スピーカー 1
これ説明できひんでしょ?
スピーカー 2
確かにちょっと難しい形してるね。
スピーカー 1
そうなんですよ。
凹んどるんですよ。どこがやねんって話ですけども。
要はどういうふうな凹みには意味がありまして、
干す時にTシャツってやっぱり襟元がどんどんデロンデロンなっていくじゃないですか。
できれば伸ばしたくないですよね。
でもハンガー通すとなると、襟元のサイズにもよりますけども、
ちょっと伸ばさないと入らへんとかあるじゃないですか。
せやから言うて濡れてるTシャツを下からハンガー入れるのもめんどくさいと。
スピーカー 2
なるほど。かける時にここに入れるのか。
スピーカー 1
そう。一旦くぼみにTシャツの襟元を一回入れたら、
引っかからないように入れられると。
スピーカー 2
なるほど。ここで奥まで入れるとスムーズに入りますよってことね。
スピーカー 1
そうそう。こういうのを作ってるメーカーなんで、
肩幅に合わせて横幅が4種類選べるっていうのもあるんですよ。
スピーカー 2
なるほどね。
スピーカー 1
だから自分の着てるものに合ったサイズで、
襟をできるだけ傷つけへんようにサッと干せるようにするっていう
Tシャツのことを考えたハンガーということで。
スピーカー 2
なるほど。だからハンガーによって干した状態を綺麗にというか、
あんまりヨレザレしないようにっていうか、
干した状態に合わせた形が違うようなハンガーとかも中にあるじゃないですか。
スピーカー 1
あります。ジャケット用とかやったら肩に当たるところの面積が広くなってる
ハンガーとかもありますよね。
スピーカー 3
ありますね。
スピーカー 2
俺最初そういう意図かと思ったけど、これはそうじゃなくて、
Tシャツを掛けるとき、選択終わった後、干すときに、
首から入れるときに首を広げなくていいような形状をしてるってことね。
スピーカー 1
そうそう。
スピーカー 2
考えられてるね。
スピーカー 1
そうなんですよ。なので干すときも多分気をつけずに、
昔みたいに下からやらんと、気使わずにでもササッと入れることもできるんで、
結構おすすめかなと思って。
スピーカー 2
これだからあれか、さっきのディスプレイって話じゃないけどさ、
分かんないけど、お店とかでこういうの使ってるの見たことないけど、
そういうしょっちゅう人が合わせたりとかして、外してとか、掛けてとかって、
なんかしょっちゅうやるような場合にはこれいいかもね。
いちいちそのときに下からなんかやってらんないじゃない?
スピーカー 1
うんうん。
スピーカー 2
普段家で使うときにそんなに頻繁には使わないかもしれないので、
むしろそういう場面が多いところではメリットがすごく活かしやすい。
スピーカー 1
そうですね。あとは全部が全部、ハンガーなんてそんなにお金かけたくないじゃないですか。
スピーカー 2
普通はね。
スピーカー 1
なので5本とか10本とか買っておいて、お気に入りのTシャツを干すときだけ使うとかでもいいかもしれないですけどね。
スピーカー 2
あるよね。長く使いたいみたいなね。
スピーカー 1
そうそう。これ長いこと着ておきたいな、痛めたくないなみたいなやつっていくつかあったりするじゃないですか。
うんうん。
そういうのにやってみるっていうのもいいんじゃないかなと思って。
スピーカー 2
これつゆさんは前から知ってたの?
スピーカー 1
はい。もちろんもちろん。
スピーカー 2
有名なんだ。知らなかったな。
スピーカー 1
多分有名なんじゃないですかね。
さすが。
スピーカー 2
いやいやさすがなんですか。
スピーカー 1
さすが。違いますな。
アノニマスの話してるときより褒められてるような気がする。
スピーカー 2
確かに。
スピーカー 1
もしよかったら自分の肩幅に合わせて買って使ってみてはいいんじゃないかなと。
スピーカー 2
ちなみにこれは購入手段は?
スピーカー 1
Amazonとかで売ってますよ。
スピーカー 2
そうなんですね。
Amazonで売ってるんだ。
スピーカー 1
サイズだけは気をつけてくださいね。4種類あるんでちゃんと見ないと。
さっき言ったね。
スピーカー 2
そういう感じでございますね。
スピーカー 1
ありがとうございます。
ということでまた次回のお楽しみでございます。バイバイ。
スピーカー 3
バイバイ。
01:05:08

コメント

スクロール