1. セキュリティのアレ
  2. 第231回 もう1つのKEVと情報窃..
2024-08-12 1:05:00

第231回 もう1つのKEVと情報窃取たち ~無限電池編~!スペシャル!

Tweet・State of Exploitation – A Peek into 1H-2024[...]

The post 第231回 もう1つのKEVと情報窃取たち ~無限電池編~!スペシャル! first appeared on podcast - #セキュリティのアレ.

00:00
スピーカー 1
お二人のご自宅とか、職場とかでもいいんですけど、トイレの水流すとかウォシュレット動かすみたいなやつ、リモコン形式のやつって使ったことある?
スピーカー 3
あるよ。それは普通あるんじゃねえか。会社が全部そういう感じになってる。
スピーカー 1
うちの家のもそれなんですよ。あれさ、電池無くなれへんねんけど、何あれ?
リモコンの?電池じゃないんじゃないの?ひょっとしたら。
スピーカー 3
いやいやいや。もうね、そろそろ10年ぐらいになるんですけど、電池無くならへんのですよ。
スピーカー 1
でもさ、例えばエアコンだとかテレビだとか、至る所にリモコンみたいなやつあるけど、電池で動くやつ。そんなに使わないから滅多に切れなくない?
今の家住んでから10年近いですけど、どれも確かに無くなれへんねん。
無くならなさすぎるのも変な感じだけど。
スピーカー 3
これほんまリモコンちゃうんちゃうかなって思った。外したら壁と繋がってるんちゃうかなって思ったんですけど、ちゃんとリモコンなんですよ。
スピーカー 1
ちゃんと電池も交換できるようになってんの?
なってた。
スピーカー 2
大丈夫ですか?電池。10年とかだと劣化してそうな気も。
スピーカー 3
逆に電池としてではなくて、物として悪くなりそうじゃないですか。
スピーカー 2
なんかね、液体とか漏れてたら大変なんで。
スピーカー 1
物によってはね、予防的に交換した方がいいかもしんないよ。
スピーカー 3
あーそういうことね。液漏れとかしてしまうから。
スピーカー 1
予防保守的な。
スピーカー 2
実はなんか気づかずに劣化というか消耗していて、なんか押したらめっちゃ速く流れるようになるとかですね。
スピーカー 3
あーそれってちょっと待って。
スピーカー 2
反応が反応速度上がるみたいな。
スピーカー 3
ちょっと待ってリモコンの反中超えてへん?そこじゃなくない?だってリモコンってオンオフだけちゃうのあんなオフって。
スピーカー 2
押してからちょっと流れるまでに時間を要していたのが、なんかもう俊敏な速さに変わるみたいな。
スピーカー 3
それ面白いっすね。めちゃくちゃ流れる良くなるみたいな。
スピーカー 2
テレビとかそんな感じないですか?
スピーカー 3
ちょっと反応悪い時あるって感じってこと?
あーそうか。でもテレビのリモコンもなくなったことないな電池。
そんだけエコなんですよね。
スピーカー 1
わかんないけどね。最近のものはひょっとしたら消費電力が非常に少ないのかもしれないけど。
スピーカー 3
あと待機電力が結構工夫されてるとかみたいな。
スピーカー 1
多分ね、もしかしたらね。
スピーカー 3
いやーもうめっちゃ長く持つからな。核分裂とかなんかでしてんじゃん。
スピーカー 1
するかい。
スピーカー 3
いうぐらい持つなーって言うてね。
家の照明とかもね、今はもう一回変えたらめっちゃ持つみたいなこと言いますもんね。
スピーカー 1
まあそうね。照明とかも今ほらだいたいほとんどLEDに光ってるから持ちがいいよね。
03:01
スピーカー 3
確かにね。僕も見習っていきたいなっていうところですよね。
スピーカー 1
どういうこと?
持ちがいいように。
そうね。長く。
スピーカー 3
そうそうそう。くたびれずにね。待機電力みたいな感じにちょっと休み休みしながら。
スピーカー 1
どっちかって言うとさ、キャラ的には太く短くのキャラなんじゃないの?
スピーカー 3
どこでそんなこと言われてるん?
スピーカー 1
いやいやいや。どっちかと言うとよ。どっちかと言うと。
スピーカー 3
確かにね。僕でもそういう感じの僕のキャラみたいなことをいじってくれはるときあるじゃないですか。特にねギスさんが。
その度に思い出すことあんねん。
スピーカー 1
何?
スピーカー 3
昔のツイッターでのやりとり。
スピーカー 1
また?何?
スピーカー 3
今でも覚えてるわ。秋葉原のイベント会場を向かってたんですよ。自分が喋らなあかんからね。
その時に移動しながらなんとなく川島英吾さんの歌で目立たぬようにはしゃがぬようになんとなくつぶやいたんですよ。
そしたらなんかもう秒で君には無理だっていうメンションが正文根岸から帰ってきたんですよ。
スピーカー 1
覚えてる覚えてるそれ。
スピーカー 3
あれはマックス記録ですよ。あれほんま早かったわ。めちゃくちゃ。
スピーカー 1
キャラに合わないことをしてもね。
スピーカー 3
なんかああいう時代は変わるなって思いますよね。あれ以来ネギさんからメンションもらってないんちゃうかな。
スピーカー 1
なんかツイッターとかエックスとかさ、あんまり人とやりとりすることが減ったかな。
スピーカー 3
確かになんか来るのも減ったな。一時休から比べたらな。
スピーカー 1
昔は結構ね人とやりとりするのに使ってたけど、なんか今は割と一方通行的に情報を出すだけっていう。
スピーカー 3
そうですね。だから最近もお便りにちょっと気になったらコメント返したりとかみたいなことはしてるんですけど、
普段なんかたまたま流れてきたものを見てああだこうだっていうことあんまりないな。数えるほどしかないと思う。
スピーカー 1
なんか使い方は変わってきたかもしれないね。
スピーカー 3
そういう流れなのかもしれないですね。悪いけどね。
スピーカー 1
懐かしいね。
スピーカー 3
君には無理だっつってね。
スピーカー 1
ということで今週もお便りが来ております。
スピーカー 3
前回僕が看護さんが喋ってる時にしたコメントに対してプラス1500っていうのから始まる電話。
国際電話ね。あれちょっとこんな自分も来たんすわみたいなことちょろっと言ったと思うんですけど、それ同じのが来てた人が。
スピーカー 1
結構来てるんだね。いろんな人に。
スピーカー 3
僕もこの番号とかそういうのでいろいろ検索をしてみたら結構増えてましたね。
この電話番号なんやねみたいな共有するとかあるじゃないですか。
スピーカー 1
そうそれ上がっててこの方はかけたみたいですね。
スピーカー 3
日本語音声の後に中国語音声が流れてきてこの番号はなんだと思ったけど前回のセキュリティのあれでついさんが言及しているのを聞いて理解したということが。
こういうのでもあれですよね。自分のところの子っていうのはありがたいなと思いましたね。
06:05
スピーカー 3
他はどうやねんって思ったりするじゃないですか。結構早いとxで検索しても同じ境遇の人いなかったりしますから。後からポツポツ出てくるとかもありますけどね。
スピーカー 1
ただそういうのもどういうところにかかるかとか課金とかね。どういう状況になるかわからないから。
そういうの分かった上でかけるのは別に止めないけど。
スピーカー 3
面白半分とか興味本位でやることはお勧めできないかな。
そうですね。無駄にお金取られてしまえばかけた時点でお金っていうね。
こういうの聞いてやってみようとか思っちゃう人がいるかもしれない。
スピーカー 1
そういうのもかけたらどうなんでやろうって思う人に対してこういうのが届くといいですよね。
そうですね。ありがたいね。
スピーカー 3
ネタバレということでね。
あと前回の僕の補足をしていただいている方がいらっしゃいまして。
前回僕ね、こういう騙しの手口がありますってテレビで毎日ぐらいやってるっていう案例みたいなこと言ったと思うんですけど。
それ番組で言わなかったんですよ。正式な名前が出てこなかったのでわざと言わなかったんですけど。
それがテレビ番組NHKの首都圏ネットワークという番組のストップ詐欺被害。私たちは騙されない。だと思います。
リモートワークでつけっぱなしのテレビで見てますがサポート詐欺も時々取り上げていましたという。この番組です。
スピーカー 1
そういうコーナーがあるんだ。
スピーカー 3
夕方のニュースですね。
スピーカー 1
NHKぐらいリーチできる番組というか放送局で流してくれるといいかもね。効果があってね。
スピーカー 3
喋ったときにかんごさんがこれあれのこと言ってんねやろうなみたいな反応されてたんでかんごさんは多分知ってたんやろうなって。
スピーカー 2
私あれ好きなんで結構見たことある。
スピーカー 3
すごい平易な言葉を使っててわかりやすいですよね。
スピーカー 1
大事だね。
僕からするとこれ前見たやつと何が違うねんやろうぐらい表回るんですけど、繰り返しあえて伝えていくっていうのがいいんやろうなって。
スピーカー 3
補足ありがとうございます。
この間ハードニングとのコラボやって公開収録ってやったじゃないですか。
その公開収録後セキュリティのあれをランニングのお供に聞き始めました。
スピーカー 1
あれがきっかけでってこと?
そうみたいです。
スピーカー 3
嬉しいね。
スピーカー 1
集中して聞いてるとランニングの辛さを忘れる反面逆に聞き入って気づいたらずっと歩いていることがあります。
スピーカー 3
これ邪魔してますね。我々。
スピーカー 1
それは良いのか悪いのか難しいね。
スピーカー 3
聞いてると集中して歩いてしまうことってあるんですよね。
スピーカー 1
そうなんだ。
スピーカー 2
そういうもんなんですね。
スピーカー 3
意外やな。音楽聴きながら運動ってあんまりしないから。
スピーカー 1
散歩との相性はいいかもしれないけどな。
スピーカー 3
確かに歩きっぱなしやからね。
スピーカー 1
もしそういうノウハウ的なものがあれば教えてください。
スピーカー 3
ぜひぜひ。ありがとうございます。これからも聞き続けてください。
スピーカー 1
ぜひお願いします。
スピーカー 3
質問系が2つほど来ておりまして、
09:02
スピーカー 3
1つはですね、CDNの後ろにあるオリジンはどのように調べると分かるものなのでしょうか?
オリジン側でCDNのIPアドレス以外は遮断するようにすればアプリケーションレイヤーの攻撃を防げますが、
レイヤー4の攻撃だとどうにもならずですということで、このオリジンを調べるのに何かしてますか?という質問ですね。
スピーカー 1
なるほど。何かありますか?
いろいろあったよな。
スピーカー 3
僕は結構やるのは、いろんなIPの履歴を取っているようなサービスがあるじゃないですか。
ドメイン名から、サブドメイン含んでもいいんですけど、そこから過去使われていたIPで、
クラウドフレアを使う前のIPが残っていたり記録されたりするケースがあるので、
それを組まなく地道に調べていくということをしますかね。
スピーカー 1
それは一番分かりやすいやつだよね。
もし変わってなければ、それがそのまま今もオリジンだったりするからね。
スピーカー 3
その分かったやつがあれば、過去どんなのに使われたことがあるのかって分かれば、
ちょっとうふらぼんやり、アクターみたいな感じに見えてくる部分もあるかなと思うんですけどね。
僕はだいたいそういう感じかなというところですね。
スピーカー 1
攻撃者もどうやってやってるんだろうね。
あと、CDNの事業者とかサービスによっては固有の調べ方とか、
あったりする場合もあるみたいなんで、
そういうのを調べてみるとあれかもしれない。
特に一般的によく使われるものとかがあるわけではないので。
ケースバイケースかなと。
スピーカー 3
あとは知りたくても、記録もここから先は有料とかもありますからね。
運良ければ無料で分かることもあるみたいな程度かな。
そんな感じでございます。
最後のお便りも質問なんですけども、
毎週通勤途中にポッドキャストを拝聴しています番組に質問ですが、
エアギャップによってクローズドな環境のサーバー群について、
法制管理情報を取り込みたい場合、脆弱性スキャナーを設置して取り込みするのはありでしょうか?
何か他に手立てがあったりしますでしょうか?という質問が来ておりますが、どうですか?
スピーカー 1
法制管理を手動でやるんじゃなくて自動化したいっていうことなのかな?
スピーカー 3
多分そうだと思いますね。
スピーカー 1
それをクローズドなネットワークに設置してやるのはどうかってこと?
スピーカー 3
回し続けるってことなのかな?
スピーカー 1
どうでしょう?別にいいんじゃない?
僕もそうかな。
何か駄目なことあるかな?
スピーカー 3
例えばクローズドな環境の中にあるやつ、何か分からないやつ、
スピーカー 1
脆弱性スキャナーをきちんと使ってないとクラッシュさせちゃう場合もあるから。
ただ脆弱性スキャナーというかアグレッシブなことをやらないで、
法制情報の管理だけやるようなやり方をうまく工夫すれば、
質問の意図は自動化したいということだと思うので、
12:02
スピーカー 1
クローズドって言ってる環境がどのくらいセンシティブな環境というか、
何のために保護されている環境なのか分からないんだけど、
そこに影響が及ばないような方法であれば良いと思うんだけど、
そういうことではないのかな?質問の趣旨がもしかしたら違うのかな?
スピーカー 3
これ以上のことは分からないですけど、
公正管理情報を取り込みたいって、どういうサーバーがいて、
どういうポートが空いていてっていうところまででいいんやったら、
別に脆弱性スキャナーはちょっとなんかトゥーマッチな感じがするなっていう気はちょっとしてて。
スピーカー 1
どこまで把握してやりたいのかっていう。
取り込みたいって言ってる公正管理情報も何を目的として使うのかとか、
分からないけど、何だろうね。
スピーカー 3
僕は普通に脆弱性スキャナーで政府スキャンというか、
できる限りアグレッシブなことをしないようなスキャンにするか、
お金かけずに普通にポートスキャナーだけで、
ポートとコストのアップダウンだけ見ててもお金もかからずに、
手間はかかります、サポートはないですけど、
そういう選択肢もありなのかなとは思ってます。
スピーカー 1
でも多分ソフトウェアとか分からないけど、
公正情報があんまり見えないから、
多分そういうことをチェックしたいんじゃないのかな。
わざわざ脆弱性スキャナーとかって言ってるっていうことは、
何かその何いわゆる公正管理なり資産管理なりするような、
エージェントを入れられないとか、
そういうことができないようなレガシーな環境だとか分からないけど、
スピーカー 3
エージェントが対応してないとかもありますもんね。
スピーカー 1
分からないけどね、古いとか特殊な環境でとかね。
脆弱性スキャンくらいだったらできるとかっていうことなのかもしれないけどね。
スピーカー 3
そうですね。エージェントが入れられなかったら、
認証スキャンを考慮してもいいでしょうし、
エージェント入れられるには、
違うものを入れてもいいような気もしますけどね。
スピーカー 1
工夫の仕方次第だと思うけど、
ちょっと具体的な環境がどうかによると思うけど、
できないことはないと思うけどね。
スピーカー 3
そうですね。質問に関しては脆弱性スキャナーでありですかってことは、
スピーカー 1
全然ありだと思います。
そういう環境で、僕ちょっと直接触ったことはないんだけど、
工場だとか、特殊な制御系の環境とか、
そういうところで、一般に使われている製品群が使いにくい場合に、
パッシブにデータを集めるというソリューションもあったりとかするので。
スピーカー 3
パッシブスキャナーとかもありますもんね。
スピーカー 1
そのネットワーク内を流れている情報をくまなく集めて、
それで情報管理するみたいな。
スピーカー 3
ありますね。
スピーカー 1
それはできるだけ悪影響を及ばさないようにするという意味合いで、
パッシブなものが求められているんだけど、
そういうものも探せばあると思うし。
スピーカー 3
そうですね。通信が結構流れているなら、それもありかもしれません。
設置するポイントが難しそうな気がしますけどね、クローズで。
スピーカー 1
そうなんだよね。環境によるんだよね、そういうところってね。
だからね、ちょっとそういうのはいろいろ選択肢があるような気がしますね。
スピーカー 3
その辺を考慮して選んでいただければなと思います。
はい、ということでお便りを読んだ方にはステッカーの印刷コード5種類あって、
15:03
スピーカー 3
5つ集まったらシークレットがもらえるぞ!スペシャル!みたいなステッカーがあるんでですね、
よしよしお便りいただければなと思います。
スピーカー 1
はい、お願いします。
スピーカー 3
じゃあ今日もね、セキュリティのお話をしていこうかなと思うんですけど、
今日はねぎしさんからいきましょうかね。
スピーカー 1
はい、じゃあ最初行かせてもらいますけども、
今日はですね、バルンチェックというところが、
2024年の上半期、1月から6月の脆弱性の悪用状況を記事にまとめてくれてたので、
それを紹介しようかなと思いますけども、
バルンチェックってこのポートキャストでは、僕何回か紹介していると思うんだけど、
いわゆる脆弱性の情報とかをサービスとして提供しているような、そういう会社ですね。
で、ここから独自にバルンチェックKEVって呼んだりしているけども、
CISAのKEVと似たような感じで、
既に悪用が確認済みの脆弱性の一覧とかね、そういうのをまとめてくれていて、
定期的にいろいろ状況を分析して報告してくれているんだけど、
今年の上半期どういう状況だったかと、
ちょっと記事結構内容盛りだくさんなので、
かいつまんで要点だけ話をしようかなと思いますが、
まず、今言ったNon-Exploited Vulnerabilities、悪用が確認された脆弱性がどれくらいありましたかというと、
バルンチェックでは390この半年間で確認しましたと。
多いね。
多いね。去年のデータを調べてみたら、去年1年間では633確認と言っているので、
去年を上回るちょっとペースですね。
一方で、僕らがよく喋っているCISAのKEVのカタログはどうだったかというと、
同じ期間で73登録がありましたと言っているので、
スピーカー 3
バルンチェックのデータで比べるとかなり少ない感じになっていますね。
スピーカー 1
これはカバレッジがこれぐらいに低くなっちゃうというのは、
スピーカー 3
ある程度いたしかたないのかなというところは。
スピーカー 1
厳密にCISAはやってチョイスしているというのがあるから。
そうなんだよね。
スピーカー 3
あと、あまり細かいものを全部入れちゃうと、結局連邦政府機関全部対処が必要となっちゃうので、
スピーカー 1
言うだけじゃないですもんね。
そのあたりのバランスを考慮していると思うんだけど、そういう感じでしたと。
ちなみにこのCISAのKEVの方は普通に公開されているけど、
バルンチェックの方はメールアドレスに登録しても誰でも一応見れるようなコミュニティに公開されているので、
興味がある人はぜひ自分でもチェックしてみてください。
スピーカー 3
ちょっと視認性が悪いんですよね。
CV番号ばっかり並べられるから、何のことを言っているのかわからないというのがあるんで。
スピーカー 1
あんまりそういう意味では一般向けじゃないかもしれないけどね。
無償というのもあるからかもしれないですけど。
ちなみにバルンチェックの391のやつの製品別というか、カテゴリーで分けるとどういう感じになっているかというと、
18:03
スピーカー 1
一番多いのがネットワークエッジデバイス。
VPNだったりそういうやつね。
これが70個で一番多くて、ついでコンテンツマネジメントシステム、それからオープンソースソフトウェアとなっていて、
この上位の3つで全体に約半分を占めているので、結構偏っているというか。
またこういうところが悪用のされやすさとか、攻撃者の狙いやすさとかいうところも入ってくると思うんだけど、
誰も使ってない悪用が難しいようなやつをわざと狙おうとは思わないはずなので、
この辺の傾向も守る側としては結構重要なんじゃないかなという気がします。
それから2つ目にこの次、ゼロデイの贅沢性がどれくらいあったかということで、
ゼロデイは今更だけど、贅沢性の情報が一般に公開されるよりも前にもうすでに悪用されてますってやつね。
これがどれくらいかというと、バロンチェックのデータだとこの紙半径で53個ありましたということで、
さっきの390と比較すると全体の13.6%がゼロデイだったと。
一方のCISAの方は先ほどのKEPの73個に対してゼロデイが33個って言ってるので、
割合がやや多くて45%を占めてますと。
例えば典型的なやつで言うと、セキュリティのベンダーとかが顧客でインシデントがあって調べていったら、
ゼロデイが使われてましたということで、実際にそのベンダーに報告をして、
パッチが出る時にはもうすでに悪用が確認済みですみたいなのが分かっているっていうことがあるけど、
そうするとそれが1日2日後にKEVに乗りますみたいなね。
典型的なパターンだとそういう感じなんだけど、そういう風になっているものが比較的多くて、
ゼロデイ状態でパッチ情報とかデザクセ情報が出てKEVに乗るっていうものが、
まあまあ多いんだなあと半分近くがそういう感じになっているということなんだね。
でこれちょっとその今回の記事の内容とは少しずれるんだけど、
これ読んでて少し気になったというか注意が必要だなと前から思ってたんだけど、
CISAのKEVってさ、実際に悪用が確認されているからもう重要なのは分かりきってるんだけど、
今言ったみたいなゼロデイってやつは結構含まれていて、
でゼロデイのやつってその後その何、デザクセ情報が広く公開されたことによって攻撃が一気に広まるっていうパターンもあるんだけど、
逆にそのゼロデイの時には一部の標的型攻撃ですごく限られた組織だけが狙われていて、
でもまあエクスプロイトインザワイルドですっていう状態なのでKEVに乗りますと。
なんだけど結局その後デザクセの情報の攻撃の詳細は明かされなくて、
21:00
スピーカー 3
一般には攻撃がほとんど観測されませんみたいなやつも結構あるんだよね。
スピーカー 1
なんでその今言ったゼロデイってやつの中には結構そういうものが含まれているので、
このKEVに乗ったから大事は大事なんだけど、それが直ちに自分のところでもすぐに影響があるかっていうと必ずしもそうではないんだよね。
このあたりの影響度の判断がちょっと難しいというか、そういう面があるかなっていうのはちょっとね。
スピーカー 3
むちゃくちゃ危なくなったっていうものもあれば、一段上がったぐらいのトーンでもいいかもみたいなのも同じように扱われるとですね。
スピーカー 1
だから一口でKEVに乗りましたとは言っても、やっぱりその使われ方というか攻撃の使われ方、観測のされ方とか、
あるいはその脆弱性の悪用のしやすさとかによってはその後の状況がだいぶ違うので、
この辺が一般にはなかなか難しいところかなというか判断が難しいなっていうのは。
スピーカー 3
もう判断しない方がいいんじゃないかな。
スピーカー 1
そうなっちゃうよね。
逆に複雑になりそう。
でも実際にはそういうことがありますよ。
知っておくことは大事ですよね。
ということですね。
あと3番目として、今度攻撃コードとの関係がどうなっていますかというのも整理されているんだけど、
いわゆるエクスプレートコード、攻撃コードが公開されると当然それを使って悪用がされやすくなると思うんだけど、
バルンチェックの調査だとこの期間に92の脆弱性で攻撃コードが確認されましたと。
そのうち50個で実際に悪用もされていますということで、
その悪用された50個のうち29個、全体のおよそ6割は悪用の前に攻撃コードを確認しているということなので、
攻撃コードが出たってなったらその後6割については実際に悪用が来るという、こういうことね。
攻撃コードだけじゃなくてもうちょっと対象範囲を広げて、いわゆるプルーフオブコンセプトといわゆる実証コード、
それはそのままでは攻撃に使えないかもしれないけれども、脆弱性の有無はわかるよというか確認するために使えますよというもの、
プルーフオブコンセプト、POCと呼ぶけど、このコードが公開されたものはどれくらいありましたかというと、
これは先ほどバルンチェックのKEVに載ったものが390であったけれども、そのうち304個の脆弱性でプルーフオブコンセプトのコードが確認できましたと。
このうち273個、ほぼ7割近くに関しては悪用前にこのコードが公開されてましたよ一般にと。
スピーカー 3
何を言ってるかというと、結構だからその悪用が来るか来ないかというのを判断するとても良いインジケーターになっているっていうことだよね。
スピーカー 1
注意報とかみたいな感じですね。
前からこれは言ってるかもしれないけど、例えばSSBCなんかでも判断の最初の条件分岐で、もうすでにエクスプロイトがあるか、プルーフオブコンセプトのコードがあるか、何もないかというふうに分かれているんだけど、
24:12
スピーカー 1
それが結構大事な判断の分岐になっているんだけども、そのエクスプロイトがされているのほかに攻撃コードもないし、プルーフオブコンセプトのコードがあるかないかというのが非常に良い指標になっているということが言える。
この辺りは実際にどういう優先順位で、よくここでも話をするけど、贅沢性の対応の優先順位を決めるのは結構難しい、取り敢えずとか難しいみたいな話をするけども、
それにおいて攻撃コードとかプルーフオブコンセプトのコードのあるなしっていうのが結構良いインジケーターになると。
問題はだから結局、ただしそれが今出ているかどうかっていうのをどうやって分かればいいか。
それをどうやって知るかっていうところがめちゃめちゃ難しい。
結局それが問題なんだけど、普通の人はね。こういうバルンジェックみたいな専門のところを会社が調べていて知っているのは当たり前なんだけど、
あとは専門家も調べているからわかると思うけど、一般の企業の担当者がそういう情報をいち早く知るにはどうするかっていうのは、そこはやっぱりまだ解決されてないかなって気がするので、
その辺が広く使われる一般的な評価指標で置き換わる必要があるなっていうのはその辺なんだよね。
いずれにせよそういう良い指標としてやっぱりあるんだねということが言えるかなと。
全体としては代表的な話はこんな感じなんだけど、先ほどのCISAのKEVもそうだし、今回はバルンチェックさんの独自のKEVのデータの紹介をしたけど、
何を参照するんですよ。自分が参照する情報ソースがどういう特徴があるかとか、多少偏りがあるかどうかとかね。
先ほどのCISAのKEVもそうだけど、こういう風に少し偏っているとか、こういう特性があるっていうことを知ってないとその後の判断に影響を及ぼしちゃうんで、
こういう分析内容とかこういうのを知っておくっていうことは大事なんじゃないかなと思ったので今回紹介してみました。
スピーカー 3
ちょっと細かい質問なんですけど、これCMSでプラグインも含まれてるんですよね。
スピーカー 1
多分含まれてると思うね。
スピーカー 3
こんだけ多いってことは。
スピーカー 1
いわゆるワードプレスとかそういうもののプラグインで脆弱性がとか、多分そういうのも入ってるんだろうね。
ごめん、ちょっと細かく中身は調べてませんけど。
スピーカー 3
だいたいこのワードプレスの脆弱性が何十件、百何件みたいなのを見ると、だいたいプラグインがほとんどですよね。
スピーカー 1
ただプラグインとは言ってもね、結構メジャーで使われているプラグインとかだと何十万とかね、下手くそで百万超えるとか。
そうですね。ニュースの見出しにもなりますね。
影響範囲が結構広いものもあるからね。
スピーカー 3
ネギさんの話聞いてると、これはエクスプロイトとかPOCがあるのと、悪用っていうのは別に分けてレポートしてるんですね。
27:07
スピーカー 1
そうだね。
スピーカー 3
ってことはこれめちゃめちゃ広く見てますよね、このバルーンチェック。
スピーカー 1
結構だから情報ソースがいろいろ滝に渡ってて、そこで実際にそのエクスプロイテーションがあったかなかったかとか、
攻撃行動が公開されてるかされてないっていうのはかなり広く調べてるよね。
スピーカー 3
すごいなと思う。悪用があるかどうかって、結構自信持って言うのって結構勇気いりません?
スピーカー 1
そうだね。
スピーカー 3
ないとは言いたくないじゃないですか。あるかもしれんって思ってれば思ってるもんね。だからすごい範囲やなっていう。
スピーカー 1
さっきね、ちょっと紹介はしょったけど、彼らの情報ソース、その悪用が確認されているかどうかっていうのは情報源で、
この上半期だと全部で68の組織からの情報をチェックしてるって言ってて、
先ほど代表的なものでCISもそうだし、あとセキュリティベンダーとかもそうだし、幅広くかなり見てるみたいね。
スピーカー 3
確かにこのバルーンチェックも僕も無料なアカウント作って時々眺めたりとかしてて、ついつい有料サービスに入りたいなって。
値段調べるととんでもない金額でひっくり返ったことを覚えてる。
スピーカー 1
バルーンチェックに限らないけど、この辺の公開されてないものも含めた情報を一括で集約して企業向けに提供してるみたいなサービスって色々あるんだけど、
まあまあいいお値段するんだよね、どれもね。
スピーカー 3
これぐらいかなと思うと絶対当たらないですよね。その桁が全然違う金額みたいなのが出てくるから。
スピーカー 1
ただね、組織の規模とか対処しなければいけない贅沢性の数とかにも当然よるんだけども、
ただ今言ったようなね、その多数の情報源を渡るとか、それをリアルタイムでチェックして、
刻一刻と変わっていく状況を追従していくっていうのは一般の企業とかにはもうとてもできないレベルのものなので、
それだけの価値のあるサービスを彼らは提供していると思うよ。
スピーカー 3
そうですね。それぐらいの工数とか人かけてやって、あとそれ専門的な知識もいるわけですね。
あとインフラもね、こういうのを提供するための。
スピーカー 1
誰にでも手が届くものでもないっていう意味ではそうね。
スピーカー 3
そうですね。見たいなあと思うんですけど、なかなか難しい金額なんで、
このレポート見てね、じゃあほならバルンチェックさんにお願いしたらいけるんですね、思っても。
おお、みたいな。
そうですね。
値段でびっくりするみたいなことはありますけど。
ありがとうございます。
スピーカー 1
はい。
スピーカー 3
おい、じゃあ次は看護さん行きましょうかね。
スピーカー 2
今日はですね、私、セキュリティ企業が公開してたレポートの紹介なんですけど、
データリストにどんなツールが使われていますかっていうのを、
直近の、実際にそのDeliaQuestっていう企業なんですけども、
そちらが対応されたインシデントから、具体的にどういうツールが使われていたかというところをまとめられていた
30:00
スピーカー 2
ブログというか記事を公開されておられたので、それはちょっとご紹介したいなあと思うんですけども、
この手のデータ流出のツールって、今までも多分いろんなところでレポートされていたりしているので、
これ使われてるんだろうなあみたいな予想はすぐ立つかなあと思うんですけど、
とは言ってもやっぱり流行りすたりっていうか、私たちも対応対策っていうのを日々打ってますので、
攻撃者側もそれに何とか引っかからないようにというか、
うまくデータを盗んでこれるように変化っていうのも、この辺にもそこそこ出てくるのかなあと思ったので、
ちょっとその辺も含めてご紹介というところであるんですが、
DeliaQuestが調査した期間っていうのが、2023年の9月から今年の7月までですね。
大体1年ないぐらいと。
その間にデータが盗まれたインシデントで使われていたツール、まずトップ3というところからいくんですけど、
トップは割とダントツ感はあるんですけど、Rクローンが一番使われていると。
実際に対応されていたインシデントのうち6割近くがRクローンが使われていたよというところであるので、
特定のアクターがというか、本当に幅広くいろんなアクター、共有アクターがこのツールを使ってデータを盗むという活動を行っているというのが、
今もこれはトレンドなのかなと。
理由としては高速にデータを転送できるというところと、いろんなクラウドサービスとか他のFTPとか、
そういったプロトコルの統合であったりサポート、その辺が充実して、攻撃者側からすると充実していて、
防御側からするといろんな対応、対策を取らないとRクローンで来られた場合に抜け漏れが出てしまうということにつながるので、
攻撃者側からするとかなり使いやすいと。当然ながらプラットフォームもですね、Windowsだけじゃないと。
LinuxとかMacOSとかでも使えるものではあるので、共有アクターからすると使い勝手がいいというところでダントツ感はあったんですが、
それに続く形でWinSCP、開発とかやってらっしゃる方々は結構使っておられるかなりメジャーなソフトではあるんですが、
攻撃者もこれを使っていると。実際使えばわかるんですけど非常に使いやすいというか、わかりやすいんですよね。
GUIでシャコシャコっと動かすだけで簡単に誰でもできてしまうので、本当に使いやすいというところもあって、
この辺が使われていると。あと最後はですね、トップ3の最後が変わるということで、
他のさっきの2つと比べるとUIの部分では一歩というか、当然コマンドラインのツールなので、
使い方をちゃんと知ってないとすぐに使えないものではあるんですけど、
33:03
スピーカー 2
加えてあと大容量ですかね、大きなファイルの多分転送とかをするときに、
今の2つと比べると若干その辺の信頼性というか安定性というか、その辺が一歩二歩落ちるかなというところではあるんですが、
変わるの一番いいところは、リビングオフザランドというか、その場ですでに入って使える状態になっているというところがあってですね、
実際このDeliaQuestの記事中でもWindows10のVer.1803以降だったら使える状態になっているので、
スピーカー 3
はじめからあるってことですよね。
スピーカー 2
そうそうそうそういうことなんですよね。わざわざ入れなくてもいいというところが非常に大きな魅力と。
なのでこの3つというところがトップ3という形で紹介はされていました。
じゃあ他に何かあるのかっていうところで言うと、これ多分ついさんよく言われてたやつの1つかなと思うんですけど、
MEGAですね。MEGAは実はさっきの3つと比べると多分使われているケースっていうのは限定的。
その中の1つということでMEGAのクラウドストレージが紹介されていたり、
他にはこれはソフトウェアではあるんですけど、ファイルジラとか、あとRMMのツールなんかもこの辺も紹介はされていたと。
あとはこれも限定的なケースではあると思うんですけど、APTと呼ばれる、
すごい限定的な攻撃活動を行っているような共有アクターにおいては当然ながらこういったメジャーなツール以外にもカスタムの、
自分たちで作った、それこそ特別設計したツールを使ってやられているケースも当然ながらありますと。
実際そのRクローン、今一番使われているってお話ししたんですけど、
ケーススタディっていう形でRクローンが実際に使われているインシデントの事例を簡単には紹介されておられてですね、記事中で。
その中では例えばいろんな工夫をしているなというところなんですけど、
1つとしてはバイナリーの名前を多分標準ですとRClone.exeだと思うんですけど、
これをFirefox.exeに変えたりとか、そんなんでもバレないものなのかなとか思ったりはするんですけど、
そういった変更をしていたりという、そういったものも見られたり、
あとはRCloneの使い方っていうところも、アクターによっては結構その洗練度というか、使われ方に割と差が見られるというところで、
それこそ指定したフォルダにあるものを全部ぶっこ抜いてくるようなコマンドを一発バンって打つものもあれば、
オプションでいろいろ指定が当然RCloneもできるので、実際に確認されたケースですと、
過去2年以内に変更がされたファイルで、かつ転送するスレッド数を最大数指定して、
36:01
スピーカー 2
より高速に転送させたりとか、あるいはその逆ですね、帯域幅を制限して検出を得意なデータ通信量が出ないように制限したりとか、
そういったことをコマンドベースで指示をして宣伝された使い方という感じですかね。
そういうコマンドを実行しているケースも見られたというところがあってですね、
この辺は結構アクターによってもこのRCloneの使い方というのが差が出るのかなというところで、興味深いところではあったと。
なので、いかにこのRCloneを把握するというか、それが実際に使われているというところをキャッチするかというのが脅威ハンティングのおそらく一つの指標にはなるんですけど、
RClone自体は正規のところからダウンロードしてくるというよりかは、やはり攻撃者が用意したインフラですかね。
C2サーバーとかを経由して落とされてくるというのが見られるというところがあるので、
この持ってこられ方というところと、あとはさっきも言ったんですけども使われ方ですかね。
クラウドストレージのサービスを併用されるケースが多々あるということがありますので、
クラウドストレージの通信先とかがどんな状況かというところもやっぱり脅威ハンティングをしていく上では事前に知っておいた方が良いポイントなのかなというところも紹介というか書かれていました。
予測としては今後もしばらくはRClone使われ続けるんじゃないかみたいな、すごいざっくりなまとめ方をしちゃいましたけども、
RCloneが引き続き使われるだろうという予測は立てておられてですね、
推奨事項とベストプラクティスとしては比較的どこでも言われていることではあるんですけど、
アプリケーションを制御しましょうとか、あとはさっきメガって話したんですけども、
こういった形で残念ながら悪用されてしまう商用サービスへのアクセス制限をしっかりやっていくというところであったりとか、
ログしっかり取りましょうとか、
あとこれもどれくらい有効なのかなと思うんですけど、
カナリアファイルを使いましょうというのもあってですね。
スピーカー 3
おとりみたいなってことですね。
スピーカー 2
そうですね。
実際に自分たちの環境内、サーバー内におとりとして機能するファイルっていうのを置いておいて、
何か差も価値があるかのようにそれを示しておいてですね。
脅威アクターに対してそれが例えば持ってこうさせようとか、
あるいはそれに対して必死にアクセスを試みようとか、
そういったものがあったときに迅速に検知できるような、
そういった仕組みっていうのを用意してもデータ流出頑張ろうというような攻撃者側のそういった動きっていうのを
把握するための一つの手段になるということで紹介されていたのは興味深いなとは思いました。
ちょっと全体のボリュームがどれぐらいなのかっていう具体的な数字がですね、
ちょっとレポート中では上げられてなかったので、
39:02
スピーカー 2
これだけを持って本当に完全なトレンドかっていうところっていうのは何とも言い難いところであるんですけど、
ただ使われているツールとか見ると、
いろんなところで見かけるツールの名前とかっていうのも上がっては来ています。
特にアルクロンとかですね。
そういったのもあるので、
この辺は実際に読まれてみて、
今の実際の施策とかっていうのがうまく機能するかなっていうところを確認される手段として、
参考情報にしていただいても良いのかなと思って紹介させていただきました。
スピーカー 3
カナリアファイルって、
多分これ攻撃者がどういうのを欲しがるかとかっていうのを知らないといけないですよね。
ファイルの種類とか、あと名前とか、
財務状況みたいなやつとか、
そういう感じのやつとか、あとサイズもってやったじゃないですか。
サイズ指定してこれもいるとかっていうふうにしてたんで、
カナリアファイルってどうやって監視したらいいんやろうなっていうのもちょっとあって。
スピーカー 1
どうやってっていうか、
カナリアは、
もちろん攻撃者が興味を持ってくれないとっていうのはあるけど、
あんまりそこを気にする必要はなくて、
ユニークなデータであればいいのよ。
結局は。
スピーカー 3
ユニーク。ほいほいほい。
スピーカー 1
大事な実際の業務データの中に、
カナリのファイルとかデータを紛れ込ませておけばよくって、
それは通常の業務では一切使わないわけ。
おとりだから。
だからそのユニークな文字列なりファイルなりをコピーする人とかがいたら、
全部攻撃者なわけ、それは。
スピーカー 3
触らへんはずのやつを触ってきてるからってことですね。得意ってことですよね。
スピーカー 1
基本的にはそういうコンセプトなんで、カナリっていうのは。
絶対一般の普通の業務では使わないものをどっかにおとりで忍び込ませておくっていうものだから、
それが動いたら攻撃っていうふうにチェックすればいいんで、
それをネットワークのチェックなりファイルのエンドポイントのチェックならわからないけど、
それが触られたらおかしいっていうふうにアラートが上がるっていうふうにしておけばいいんだけど、
コンセプトはそれでいいんだけど、
こういうカナリの仕組みっていうのは昔からあって、
そういうの専門に扱ってる製品とかベンダーさんもあるんだけど、
あんまり実際にこれでうまくいきましたっていう事例を聞かないのよね。
スピーカー 3
サーバーごととかコンピューターごとこういうのやるケースもありますね、ファイルじゃなくてね。
それもあんまり聞かへんねんな。
スピーカー 2
どのくらい有効性っていうか実効性があるのかっていうのがあんまりいまいちわかんないんだよね。
スピーカー 1
コンセプトとかはもう古くからあるアカウントでおとりのアカウントを使うっていうのも同じで、
誰もそれは業務では使わない。
もしそのアカウントにアクセスがあったらもうそれはもう直ちに不正アクセスってわかるみたいなね。
そういうのだからコンセプトはいろんなところに応用が効くんだけど、
それ本当に実効性があるのかなっていうのはちょっと。
スピーカー 2
あんまり面白いなと思うんですけど、これがめちゃくちゃ有効だったみたいな話聞いたことが。
スピーカー 3
正直ね、そこが俺は常々疑問に思ってて、そういう話を聞きたいなっていう感じなんだけど。
42:06
スピーカー 1
具体的な事例とかが聞けるかもしれない。
早期に発見して防げましたとかさ、ぜひそういう事例を知りたいんだけどね。
スピーカー 3
そういう製品とかの売り込みとかで説明聞いたことあるんですけど、
これ入れて検知するぐらいやったら通常の検知強化した方がええんちゃうかっていう考えも出てくるし、
あとうまくいった例あんま聞かへんで、僕もそうなんですけど、
スピーカー 1
そんなにあんまり導入されてないからってのもあるかもしれないですね。
スピーカー 3
まあね、一般的じゃないかもね。
スピーカー 1
あとさ、俺ちょっと話変わるけど、R-Chromeが結構出たけどさ、
すごい有名なコピーツールだけど、攻撃に使われてるっていう文脈でしか聞いたことなくてさ。
なんかもう攻撃者が使うツールっていうイメージが俺の頭にはすり込まれてちゃってるんだけど。
スピーカー 3
わかるわかる。
スピーカー 1
わかる?
スピーカー 3
わかる。めっちゃわかる。
スピーカー 1
いや、その疑問は、個人が使うのは別にして、
普通の企業でその真っ当な使い方でR-Chrome使ってるっていうところどのくらいあるのかな。
スピーカー 3
ファイルジラは結構聞くけどね、WinSCPと。
スピーカー 2
WinSCPはね。
スピーカー 1
そうそう、なんか普通に業務とかで使っててもおかしくはなくない?
スピーカー 3
でも聞かないですね。
スピーカー 1
ね、あんまり聞かない。だからそういうのは全然使ってない環境であれば、
なんかその何、悪用ってわかりやすいけどとかね、どうなのかなっていうか。
さっきのリビングオフザランドじゃないけどさ、環境によって目立つ目立たないってのがあるじゃない?
スピーカー 3
正義かどうかが判断しやすいかどうかでね。
スピーカー 1
そう、で、なんとなく僕らの頭の中はさ、R-Chromeは悪い目的で使うみたいな。
スピーカー 3
そうですよね。
スピーカー 1
釣り込まれちゃってるから、なんかR-Chromeって聞いたら新しい怪しいって感じになっちゃうけど、
実際はそうでもないじゃない?
スピーカー 2
そうですね。
スピーカー 3
なんか実物のR-Chromeはインシデント対応でしか出会えへんし、
R-Chromeの詳しい使い方は攻撃者のマニュアルでしか見たことないし、みたいな。
スピーカー 1
そうなのよ。まあちょっと俺らが特徴すぎるのかな。
スピーカー 3
いや僕ら偏ってると、偏りすぎかどうかわかれへんけど、だいぶ偏りはあるような気はしますけどね。
スピーカー 1
そういう場面でしか見たことないなっていう。
スピーカー 3
便利やもんな、設定ファイルとかもこれ使えって渡せるし、
すごい乱暴なことを言うとね、R-Chromeにはすごく僕ら希望があって、
こういう風にしてほしいという希望、こうやってくれへんかなっていう希望があって、
オープンソースやめてくれへんかなってめっちゃ思うんですよね。
スピーカー 1
ああ、なんで?
スピーカー 3
オープンソースじゃなかったら、ハッシュ値でいけるケース増えそうっていう、止めれるっていう。
オープンソースだと攻撃者がコンパイルするときにちょっと変えれば異なっちゃうから、
なんぼでも作れるでしょこれっていうね、そういうのはちょっと思ったりもしました。
そんだけ出会うってことですね。
スピーカー 1
そうかそうか。
そういうバイナリーで配布で署名をつけるとかね。
スピーカー 3
そうそうそう、そうすればね、わりかし悪用減るんちゃうかなとか。
スピーカー 1
まあ確かに。止めやすく回るかもな。
スピーカー 3
ただだからそのためにオープンソースやめろってめちゃめちゃ乱暴やなって思うんですけど、
45:02
スピーカー 3
まあでもそれぐらいよう見んねんなこいつなっていう感じはしてる。
スピーカー 1
まあここでね、トップ3っていうか上位、第一位上がるぐらいだから、
まあ根拠のデータはよくわかんないけど、
まあでもかなり使われてることは間違いなさそうだもんね。
スピーカー 3
そうそうそうそう。
もしね、Rクローン正規の使い方してるぞって方がいたらお便り。
スピーカー 1
いやそれはいるだろ。
スピーカー 2
いると思いますよ。
スピーカー 1
それは普通にいるだろ。
スピーカー 3
どうします?マテッド・クラセドそのお便り経営変化ったら。
やっぱり悪意のあるツール認定みたいなのあるじゃないですか。
スピーカー 1
いやいやいやそれはちょっと言いがかりだろ。
スピーカー 3
そうですね。ありがとうございます。
じゃあ最後僕なんですけども、
今日はトレンドマイクロのレポートをちょっと読みまして、
攻撃者によって摂取されたデータのアンダーグラウンドマーケットでの行き着く先っていう、
僕好みのタイトルではあるんですけども。
スピーカー 2
辻さんがつけたそのような。
スピーカー 3
これはID認証情報とかですね。
盗難とか金銭的な損失ですね。
ビットコインとか暗号資産のやつでも被害があったりしますけども、
情報を盗まれて。
データ摂取に関するリスクについて解説しつつ、
盗まれたデータっていうのは、
いわゆるブラックマーケットみたいなところで売られてますみたいなことについて解説されたレポートなんですけども、
主にこの僕らもよく言うインフォスティーラ、情報摂取型のマルウェアなんて言われたりしますけれども、
感染した端末、これはもうコンピューターだったりスマホだったりモバイルデバイスだったりするかと思うんですが、
それから情報を盗み出して悪用するために設計されているマルウェア情報摂取に特化したマルウェアをインフォスティーラという風に呼んでるわけなんですけども、
これで盗まれる情報っていうのは、認証情報とか先ほど暗号資産関連、クレジットカードとか、
場合によってはスクショとかも盗んでいくようなマルウェアもいますよね。
このレポートで言われている、盗んだものを使って不正行為を働くっていう風に言う話なんですけども、
一番僕がポイントを見るときに気をつけなあかんのは、盗んだ人が使うとは限らないっていうことはすごく注意が必要かなと思うんですよね。
販売目的というところもあるのかなってことは忘れずに呼んでいかなきゃいけないなというふうに思っているんですけども、
こういったやつをですね、16種類ぐらい挙げてリスクスコアみたいなのを算出してるんですよ。
いくつかのアプローチがあるんですけども、盗む情報がそのインフォスティーラによって、
これは盗めるけどこれは盗まれへんってもちろん機能的に差異はありますよね。
そういったもので重要な情報で多くの情報を盗むっていう風にするとリスクスコアが上がっていく仕組みで一覧表にしてくれてるんですけど、
盗む情報においてまず点数が付いてるんですね。
例えば暗号通貨のウォレット関連だったら5点と、これマックスなんですよね。
ウェブサイトの認証、メールアプリの認証、これ4点みたいな感じで付けてくれていて、
48:00
スピーカー 3
VPNの認証情報2点とかいう風になってて、これどういう点数付け方かちょっとよくわからないんですけど、
これを合計してヤバそうなやつみたいなものをランク付けてるという風な感じです。
一番ヤバいやつはですね、ヤバいっていうのはこの表で出てるだけなんですけども、ブラックガードっていうやつですね。
そういったものとか、あと皆さんがよく知ってるようなやつとかだと、ビザールですね。
ビザールかビジャールかわかんないですけども、このインフォスティーラが上位に来ているという風なことで。
16種類全部見てみると、すべてのインフォスティーラが対応しているのはやっぱりウェブサイトの認証情報にはとにかく対応していると。
意外あったのが、VPNに関する情報は16種類中4つのインフォスティーラしか対応していなくて、意外と少ないなっていう風に思いましたね。
結構旨みがあるなっていう風に僕らは思うんですけども、こういうのを使う攻撃者はそんなに旨みを感じてへんのかもしれへんなっていう。
直接的な利益の方によっているのかもしれへんなっていう風にこれを見てちょっと思いました。
で、あと人気度っていうのがあって、盗む情報が多いとか重要な情報を盗めるから点数高いって言っても、すなわちそれが人気度につながってくる。
多く目にするようなマルウェアかどうかってのはわからないっていうことで、ウイルストータルのデータを用いて人気度っていうのを測定してます。
例えばそのマルウェアの名前でルールとか検知とかそういったものに関するメッセージを書き込みできるわけですけども、
それを言及回数で測定っていうようなものをこのレポートではしてました。
スピーカー 1
人気度っていうのは実際に悪用されやすさっていうか、自分たちの環境でも使われる可能性がどのくらいあるかとかっていう、そういう観点で見ればいいのかな。
スピーカー 3
一番多かったのはレッドラインっていうやつで有名ですよね。これが一番高いやつでした。
ついでロキボット、マース、オーロラっていう風な順番でランクが上がってて、やっぱり入れ替わる感じはしますね。
さっき挙げてのブラックガードとかっていうのは結構下の方に落ちてきてたので1位から。
人気度っていうのを加味すると結構変わってくるかなというので、これも人気度の高いものに関して点数をつけて、
それで再集計するとこれが一番ヤバそうっていう風なものを一覧表にまとめてくれているということですね。
ビダールはほとんど変わらず上位に残ったままになってましたね。
それでレッドラインが1位になってたんですけども、
いろんなマーケット、どれぐらいマルウェアで盗んだ情報が売られているかっていう風に、
何で盗んだ情報かって明らかにして売られているケースが結構多いんですよ、マーケットでは。
このレポートではロシアンマーケットでのランキングみたいなものがあったんですけども、
これで見るとラクーン、ビダール、レッドライン、ルマー、ライズプロっていう順番のランキングだったんですね。
51:01
スピーカー 3
僕もこのロシアンマーケットをちょいちょい見てるんですけど、
同じ範囲見てるのに順番が違うなと思って見てたら、
レポートを読む途中にですね、2023年5月の調査結果って出てきて、ちょっと古かったんですよね。
ちなみにこの収録のちょっと前にロシアンマーケットを久しぶりに見てみたらですね、順位全然入れ替わってて、
ルマーが1位ですね。
ライズプロ、ビダールっていう風な感じでランキングが結構変わっていました。
ラクーンはですね、6位ぐらいまで落ちてて、ルマーと比べると10分の1ぐらいの件数の販売件数でした。
なのでこういう風な変化があるんで、1年ちょいぐらいですかね、ぐらいでガツッと入れ替わるっていう風なものがあるので、
流行のハイアリスタリーが結構あるのかなっていう。
スピーカー 1
そうだね。
スピーカー 3
かなり顕著ではありません。ずっと1位に続けるっていう感じではないんやなっていう。
なのでちょっとこの情報が古かったということが途中で気づいたんですね。
このマーケットの中ではどこの国の端末かみたいなものを調べられるんですよ。
例えば自分の国とかここの国の情報が欲しいなと思ったら、それで端末を検索で絞り込んで見ることができるんですけども、
このレポートでもやってたんですが、自分の手元でも確認しようと思って、
どこの国がどれぐらい多いかみたいなものを見てみました。
なんとなく1位ってどの辺って考えたら、
ランサムやったら被害の件数がリークの件数で僕見てるとアメリカがぶっちぎりで多いわけなんですけども、
この辺とは全然相関がもちろんなくて、1位がですね、インドなんですよね。
で、ブラジル、パキスタン、インドネシア、エジプトとかですね、トルコ、フィリピン、タイみたいな。
全然普段見ているようなものと全然相関しないというか。
ちなみにアメリカは22位ですね。
スピーカー 1
上位の3番目4番目ぐらいまでは単純に人口がめちゃくちゃ多い国だな。
スピーカー 3
そうそうそうそうそうそうですね。
スピーカー 1
で、日本が52位という感じでしたね。
人口が多い、すなわちITを結構利用者が多いけど、
あまりインフォスティラとかマルウェアに対する対策がなさそうな国っていう、そういう風に見ればいいのかな。
スピーカー 3
そういうことが同じようなことがレポートでも書いてありましたね。
結局でも人口別というか人口ごとに正規化した件数も出てたんですけど、
それでもやっぱりアメリカ、日本っていうのは全然上に上がってこないですね。
ポルトガルとかブラジル、ギリシャ、イジプト、シンガポール、スペインみたいな。
こういう風な感じだったんですよね。
スピーカー 1
ただ正規化するとそうかもしれないけど、悪用のされやすさはやっぱりまた別だよな。
スピーカー 3
さっきの話じゃないけどさ。
スピーカー 1
結局、例えばインドを悪く言うつもりはないけど、
インドの企業を狙った時の価値と、
スピーカー 3
例えばアメリカの企業を狙った時の価値はだいぶ違うじゃない。
54:01
スピーカー 1
だからアクセスのしやすさと攻撃の利用されやすさ、必ずしもリンクしないよね。
スピーカー 3
そうですね。
そのあたりが難しいってことだよね。
きれいに100%納得できるような答え出しにくいってところがあるんですけども。
ネギさんが今おっしゃったみたいにレポートにも、
今示した上位に来ている国っていうのは、
僕らが上に来そうかなと思ってたところよりも、
やっぱりセキュリティ体制が整っていないってことが関連している可能性がありますと書いてありましたね。
とはいえですね、うまく言葉に言い表せないですが、
なんかちょっと違和感があるんですよ。僕の中では。
なんでこういうふうになるのかなっていうのは、
単にセキュリティ体制が整っていない、ちょっと遅れているところとかっていうイメージもあるけど、
いろいろこのインフォスティーラーの感染経路とかを調べてみると、
感染経路がちょっとしょぼいなっていうのが結構多くて、防ぎやすそうっていうのがあって。
スピーカー 2
しょぼい?
スピーカー 3
しょぼい。一気にドバっていう感じもあんまりないというか、
例えば、ディスコードのダイレクトメッセージを送ってくるとか、
動画にそういうアクセスさせる仕組みを仕込んでいるとか、
っていうのがあるので、
攻撃者、これを使っている攻撃している人たちっていうのは、
個人向けっていう感じが強いのかなっていう感じがするんですよね。
高度な攻撃者はこれを直接的にあんまり利用しないというか、
これをばら撒いたりするようなインフラがやっぱりまだまだ貧弱なのかなっていう気はしましたね。
なので、これはちょっと状況が変わればもっとひどくなってくるかなと思うので、
結構インフォスティーラーってやばいなってすごく僕は思ってるんですけど、
組織で見たときにはまだまだこれからの脅威なのかもしれへんなっていうふうに感じましたということですけど、
お二人はどう思われますかね。
スピーカー 1
さっきの人口とかの話もそうだけど、
個人の環境なのか企業とかの組織なのかっていうのはちょっと他に見分けがつかないから、
スピーカー 3
多分それでだいぶ違うだろうなっていうのと、
スピーカー 1
あとまあとはいっても、以前別のところでもちょっとなんかそういう話出たかもしれないけど、
リモートワークとかその働き方が変わってその個人の端末から企業環境にアクセスするなんてことも最近は結構あるし、
個人アカウントが侵害されてそこに実は企業のアカウントの情報が入ってたみたいな話もあったりとか、結構リンクしてるんでそこが。
だから必ずしも個人がターゲットだから組織はあまりリスクは低いって言えるかというと、
そうとも言えなくなってきてるなっていうかね。
スピーカー 3
繋がっている、繋がれへんかったとこが繋がるようになってきてる。
スピーカー 1
そうそうだからそうそう、直接相関はないかもしれないけど、必ずしも無関係とも言い難いっていう。
なんかねそういうような感じはするんだよね。
まあその辺がちょっと厄介だなっていうかね。
スピーカー 3
たまたま巻いたところの感染した人がその端末の中に企業へのアクセス情報を持っていたっていう風なケースの方がまだ多いんかな。
57:05
スピーカー 1
だからこういうマーケットの教育ってそういうものが探しやすくなるっていうか、
ちょっと言い方があれだけどゴミみたいなっていうか、ゴミは言い過ぎかな。
悪用したところで大して価値あるデータは取れないというか、
公益に悪用できないものも多分めちゃくちゃいっぱい売られてると思うんだけど、
金にならないやつとかね。
一方でその中には探せば宝が埋まってる。
公益者側から見てね。
公益側から見たら安いでなんですごい価値の高いデータが眠ってる可能性があって、
こんだけあればさ、中にはそういうものもある。
だからそういうものが見つかっちゃう可能性がね、こういうマーケットで売られてると、
うまく探すと、そういうランサムなり何なりわかんないけど、
公益にうまく分けようできる情報が、探せばある大量のデータがあるっていうことが問題なんじゃないかな。
スピーカー 3
そうですね。公益者側もうまいデータの探し方、
例えばどっかの組織に属してるっていうことと、
何かのパスワードを使い回してたらそれで入れる可能性もあるわけですよね。
っていうのとか、あとはさっき冒頭の方でね、
VPNって思ってたより対応してないなっていうやつがあったけど、
ちょっと古い情報っていうのはあるけど、
これからこういうのにうまみを感じるんだったら、
単価上げられるんだったらこれにも対応してくるものがどんどん増えてくると、
様相が変わってくるかもしれないですよね。
スピーカー 1
確かにね。
これは単純にVPNに対応してないというか、
ブラウザとかに保存されているデータだったらまとめて一括で取れるけど、
そうでないやつは個別に対応しなきゃいけないとかで、
わざわざそういうソフトウェアに対応してないとか、
攻撃に利用するしないとは違う理由で取られていないだけな感じもしなくもないけど、
分かんないな、どうだろうな、分かんないけど。
スピーカー 3
直接的な目先の利益によっている印象が強いですね。
スピーカー 1
なるほどね。すぐに何か使えるものっていうか。
スピーカー 3
そうそう。物を買えるとかクレジットカードすぐ切れるとかっていうところから、
被害額で見るとそんなに大きくなさそうな感じがするというかね。
スピーカー 1
確かに確かに。VPNとかはその後、中に入り込んでどうするっていう、その後があるもんね。
スピーカー 3
単体では価値がないし、
入った後何かできる人もそんなに数多くないと思うんですよ、やっぱり。
スピーカー 1
そうね。攻撃側を選ぶよね、それはね。
スピーカー 3
そうそうそうそう。でもそれが高値で買ってくれる人が現れるとかなれば、
ちょっと変わってきたりもするのかな、なんて思いながら。
スピーカー 1
ニーズが高まれば対応しようかっていうマルウェアも増えてくるかもしれないから。
スピーカー 3
そうそうそうそう。
スピーカー 1
なるほど。
スピーカー 3
そう考えたらこれもね、他のものと合わせて変化見ていかんと、
急にガラッと変わったら困るんで、って思いましたね。
注目しておくべきことかなと思いました。
確かに。
はい、そんな感じで。
スピーカー 1
この手のアンダーグラウンドというかマーケットとかも、
専門家であれば見てるかもしれないけど、
1:00:01
スピーカー 1
一般の人が簡単に調べるのは難しいじゃないですか。
スピーカー 3
いやし、あまりお勧めできないしね。
スピーカー 1
そうだよね、リスクがあるからね。
だからそういう意味でもこういう専門の企業が状況をね、
多少今回のやつが少し古いデータもあったかもしれないけど、
定期的にこういう状況を報告してくれるってことには結構価値があるなっていうか。
こういうのがほら、一般の人も見て知ることができるじゃない。
専門家でなくてもね。
スピーカー 3
そうですね。
スピーカー 1
こういうのはそういう意味で嬉しいよね。
ありがたいね。
スピーカー 3
そうですね。
スピーカー 1
ありがとうございます。
スピーカー 3
はい、ありがとうございます。
はい、ということでですね、
今日もセキュリティの3つのお話をしてきたんですけれども、
おすすめのあれを、夏らしいあれをですね。
スピーカー 1
夏らしい。
スピーカー 3
はい、紹介していこうかなと。
怖い話?
違うわ。
絶対どっちかが今言うと思ったわ。
しかも怖い話はおすすめとかでもないんよ。
そうか。
スピーカー 1
そうか。
なんでしょうか。
スピーカー 3
今回はですね、リスナーの方からおすすめいただいたものをですね、
僕が買って食べたので、それを紹介しようと思うんですけども、
コンビニのですね、セブンイレブンのセブンプレミアムっていう、
自分のとこのブラウンドがあるわけですけれども、
それのまるでシリーズっていうのがあるんですよ。
スピーカー 1
ま、まるで?
スピーカー 3
うん。
まるで〜みたいなやつ。
スピーカー 1
あー、なるほど。
スピーカー 3
アイスだけど、まるで〜みたいなとか。
スピーカー 1
ほうほうほう。
スピーカー 3
いわゆるキャッチフレーズは、果肉をそのまま食べているようなアイスっていう。
スピーカー 1
おー、なんかおいしそうだね。
そうそうそう。
スピーカー 3
このまるでのシリーズをおすすめいただいてですね、
今売ってるやつが、マスカットオブアレキサンドリアっていうやつと、
柑橘白桃っていうのが、今僕がコンビニ行ったら売ってました。
おー。
で、両方買ってダイエットしてますけど、
で、しょうがない。食べるのはしょうがないですから。
はい。
2つとも。
スピーカー 2
言い訳してるんですか?
スピーカー 3
2つともね、食べてやったんですけど、もうね、やっぱすごいですよ。
もうまるででした、ほんとに。
へー。
スピーカー 1
まるで。
スピーカー 3
この季節僕結構ね、
ゴリラと飲もうぜ。
で、マスカットと桃は絶対に事前に頼んでるんですよ、この季節に来るように。
スピーカー 1
あ、そうなんだ。
スピーカー 3
結構な数ね、頼んでるんですけれども、
食べ比べても、もう酔っとる酔っとる酔ってるわ、みたいな感じのやつでね。
で、これどっか見かけたことあるなと思って、
ちょっと前にマンゴー食べたことあるぞって思いながら調べてみたら、
調べてみたら、これで結構古くからあるやつで、
へー。
2013年に冷凍食品のマンゴーを参考にして、
様々な試行錯誤の末生まれたんですって。
スピーカー 1
10年前からあるの?
スピーカー 3
そう。
スピーカー 1
へー。
スピーカー 3
僕が食べたのが、毎年マンゴー出てるんですよ。
今年も春ぐらいにマンゴー出てたから、それとかを食べてるんやと思うんですけど、
もう本当に冷凍した果物をそのまま食べているかのようなということで、
それに合わせて旬の時期に食べたいフルーツを手軽に食べられるっていうことをコンセプトにしてる。
1:03:01
スピーカー 1
なるほどね。
これ今さ、ウェブサイト見たけどさ、
マスカット、これえらい果汁が高いね。
72%も入ってる。
スピーカー 3
そうなんすよ。
スピーカー 1
すげーな、これ。
スピーカー 3
ちょっとね、お値段もアイスにしてはちょっとだけ高めの設定の値段ではある。
スピーカー 1
プレミアムだからしょうがないんじゃないの?それは。
スピーカー 3
あ、そうそうそうそう。そうっすよね。
スピーカー 1
へー、でもこれは確かに食べてみたくなる感じだね。
スピーカー 3
そうなんですよ。そんだけ数字も高いので、食べた時もアイス感よりもやっぱフルーツ感強いっすね。食感も。
スピーカー 1
だったらフルーツ食べたほうがいいんじゃないの?
スピーカー 3
いやいやいやいやいや。そんなんね。そんなんしょっちゅうしょっちゅう。
スピーカー 2
冷凍フルーツじゃダメですか?
スピーカー 3
しょっちゅうしょっちゅう。そんな桃とか高いで、言うても。
スピーカー 1
まあまあ確かにね。コンビニで手軽に買えるってところがいいのかな。
スピーカー 3
そうそう。いまいところスーパーとかでシャインマスカットとか売ってるけどさ。
スピーカー 1
まあまあいい値段するよね。
スピーカー 3
一袋2、3000円とかするでしょ。
スピーカー 1
まあ高級ですよね。
いいやつだね。
スピーカー 3
そうだ。しょっちゅうしょっちゅう。買ってられへんからさ。
やっぱこの手軽にね、旬のやつを食べたいフルーツを食べて、手軽にいけるっていうのはいいコンセプトやなと。
スピーカー 1
そうだね。
スピーカー 3
言う風に思ったんでね。僕も食べてみて美味しかったんで、皆さんもコンビニ行った時に覗いていただいてあればお好みのやつを買っていただいてもいいんじゃないかなと。
しかも年中ね、何月何月何月って出てるんで、毎月のお楽しみにしてもいいんちゃうかなって思います。
スピーカー 1
そうだね。
スピーカー 3
食べていただければなと思います。
はい。
はい。ということで、次週はお盆休みですかね。
スピーカー 1
ああ、そっか。そうだね。
スピーカー 3
うん。なんで僕らもね、休んでスペースがあるのかどうかはちょっとわからないですけども。
スピーカー 2
あ、あるんですか。
スピーカー 3
ちょっとわからないですけどね。
スピーカー 1
あるのかい。
スピーカー 3
いやでも、なかったことがないっていうこともありましたけれどもね。
そんなにあるかないかちょっと本当わからないですけども、もしあったら聞きに来ていただければということで、一旦来週はお休みです。また次回のお楽しみです。バイバイ。
スピーカー 2
バイバーイ。
01:05:00

コメント

スクロール