00:00
なんか世の中はiPhone14が予約できるようになったらしいじゃないですか。 そうね。
なんかあるんじゃないですか? 何が? 言うことが。 言うことが? もう今さらないよ。 本当ですか?
今さらもうないよ。 でも言うまでもなく予約はされますか? もちろんもちろん。
もちろん毎年のコラボ、恒例行事ですから、信者にとっては。 すごいよな。 毎年なのがすごいな。
とりあえずいっちゃえやつをポチるっていうね。 毎年、毎年スマホ買い替えてるってことですもんね、それね。
新しいの使いたいもんだって。 新しいの使いたくない?
13と14で思いっきし変わったっていうなんていうかそういうやつあります?
なんかね見た目的には通知エリアが大きく変わるね。そこぐらいかな。 あ、そうなんや。
フロントカメラのところ。 アイランドなんちゃらみたいな。 アイランドかよみたいな次は。
あそこのエリアが動的に通知によっていろいろ形状が変わるっていうのがなんか今回の目玉らしくて。
確かにちょっとちょっとワクワクするか、それ。見た目が変わるって。 そこだけちょっと見た目がね。どう変わるのかわかんないけど。
ネギスさんは全くMacBook Proのタッチバーのあれを忘れてるんですね、きっと。 あーそうだ。そんなこともありましたね、そういえば。
忘れてる忘れてる。なんかあそこにニャンキャットを映して喜んでた時期がありましたね。
あのニャンキャットを映せる時以来あそこのエリアになんかネギスさんが出してるの見たことないんですよ。
もうあれ使ってないしね、あのタッチバー。
まあそうですよね。確かに僕もスマホを1年に1回買い替えたってこと1回もないんですよね。
あ、そう? 普通ないですよ。
え、普通ない?普通でしょ? 普通ないですよ。
マジで普通だよ。
だって僕今ピクセル6を出た発売と同時に買いましたけど、その前に使ってたのピクセル3ですよ。
あ、そう? へー。
ちょっと辻さんは少し飽きすぎ感がある気はしますけど。
なんかね、買い替えってそのスペック的な問題じゃなくて、見た目とか色がいいのがずっとないなっていう感じというか。
基本的に買わないわけじゃないんですけど、しょうがなく3も実はしょうがなく買い替えてて、
黒とか銀とか白とかって言われるとあんまり響かないんですね。
なるほど。 めちゃめちゃオーソドックスなやつですしね。
そうそうそうそう。なんか何の変哲もないなって思ってしまうんで、探してる間にどんどんどんどんっていう感じで、
6はちょっと色がね、パステルカラーみたいなやつでちょっと変わってるなーと思って買ったんですけど。
なるほど。そういうデザインから入るわけね。
03:00
そうそうそうそう。よくないよね、この形から入る感じ。
いやいや、いいんじゃないですか?そういうのは。
あ、いいんですか?ほんとですか?
辻さんはもうむしろ形から入っていくタイプだと思ってるので。
なんか褒められてるのか、あけらされてるのか。
そうそうそう。褒めてるのかもしれない。
まぁまぁ形から入るっていうか、何て言うんですかね。
でも実際そうなんですよね。やってみたいなーと思って結構いろんなことやるタイプではあるかもしれない。
あーそうね。いいじゃないですか?それは。
やる前に、戦う前から負けることを考えるやつが、どこにいんだバカヤロー!って言ってね。
アントニオイノキさんが昔言われてたことがあって。
なるほど。名言ですわ、それは。
そういう、まずやってみるっていうのも時には大事かなっていうふうに思ってるタイプではあるんですけどね。
じゃああれですね。iPhone新しいやつ来たら見せてくださいよ。
はい。来週到着しますので。お楽しみに。
多分iPhone14やから、多分どっかのおっさんがiPhoneジューシー買ったんとか言い寄るんですよ、絶対。
どこのおっさんや。
ここのおっさんが言うとるわけですよ。
ここのおっさんがね。
それぐらいしかiPhone14のこと知らんみたいなところがあるんで。
まあまあ、ちょっと楽しみですね。
楽しみにしてます。通知エリアぜひ見してください。
そうね、どんなだろうね。
その時は僕、ねぎすさんのシグナルにメッセージ送りますから、その通知見ましょうよ。
ということで、今日もお便りが来ております。
お便りをね、紹介する前にちょっと忘れへんうちに先に言うとこうと思うんですけれども。
ステッカー少し前にツイートしたんですが、ステッカー新しいやつをちょっと作りまして。
はいはい、見ました見ました。ちょっとなんかアレンジャーズとかさ。
そうそうそうそう。
あれの丸いあれっていうロゴみたいなやつと、などりますのやつは杖置きで、あれはなんかレギュラー的な感じにしておいて。
で、下にちょっと付いてるおまけ的な、ちょっとパロディ的なやつを入れてあるんですけれども。
それが全部で今まで配布してたものと合わせると5パターン作ったので。
いいね、なんかコンプリートしたくなるね。
結構あるんですね。
そろそろ結構ね、今まで結構な人数の方に配布しているので、
これから過去のものと被るタイミングももちろんあると思うんですけれども、ちょっとランダムで。
今回呼んだ方にはこれみたいな感じで、僕がざっと適当に決めてですね。
いいですね。
ぜひ皆さんコンプリート目指して。
被ることもあるかもしれないですが、コンプリート目指していただけると嬉しいかなと思います。
どしどし待っております。ちょっと俺も欲しいんだけど。
え、どういうこと?あれを?印刷するやつ?
コンプリートしない。いやいや、印刷はしないけど。
せーへんの?
いや、印刷してやつくれ。
06:00
僕が印刷するの?1500円もかかるやん。
あの新しいパターンのステッカーはないんだ。
あのパターンのステッカー、切り取ったやつってことですか?
そうそう。
いやいや、ステッカー作るの結構お金かかるんですよ。
知ってる知ってる。
それは僕のせいでもあるんですけど、裏に剥がしやすいためにスリット入れたら、ステッカー代よりスリットの方が高いんですよ。
そうそう。ちゃんとしたステッカーが俺も欲しいな。
どういうことどういうこと?
じゃあちょっと待ってます。
あー、わかりました。
ということでツイートにセキュリティのあれっていうハッシュタグをつけて、
自分はこんな風なことやってますとか、ここが参考になったとかっていうのをツイートいただければなと思います。
ぜひぜひ。
今週のお便りなんですが、ランニングしながらポッドキャストを聞いているという方がいましたが、私は通勤の社内で大体聞いておりますと。
週の後半には当然聞き終わっているんですが、通勤はちゃんとしてますというお便りでございます。
まあまあね、ちょっとコロナ禍でさ、多少その通勤スタイル変わった人もいると思うし、僕もあんまりリモートメインで会社行ってないからあれだけど、
前はやっぱり電車の通勤時間っていうのがポッドキャストの割と有効な時間というか、
ああいう時って動画とかよりも音声の方が聞きやすいんじゃない?多分。
まあそうですね、混んでたりすると余計にね、動画見るってなるとゾーニングみたいな感じでね、バスケットの防御みたいな感じにしないといけなくなるから迷惑っちゃ迷惑なんで。
だからそういう活用の仕方嬉しいよね。
そうですね。
なんか通勤で聞かれてるってことなんで、不意に聞いてる途中に満員電車の中で笑ってしまいそうなこととか言ってられないかなって。
いやでもね、油断するとね、ほら僕らもさ、自分たちのポッドキャストで笑ってしまうじゃん。
あるある、僕もたまに笑ってしまうんだよね。
だからね、うっかり外で聞けないんだよね。
わかる、わかるわかる。
だってさ、周りからさ、今何笑ってたんですか?って言ってさ、自分たちのポッドキャスト聞いてたとか言えないじゃん、恥ずかしくて。
確かにそう。会社とかでも聞けないですね、それだとね。
恥ずかしくて言えないよね。
そこは堂々と言っていってください。
確かに。
気をつけないと。
次のお便りなんですけれども、真面目な話もありつつ雑談も面白いからか、かれこれ2年近く聞き続けられています。
最近はワイヤレスイヤホンを使って掃除中に一人で笑いながら聞いてます。
いいね。もう長年のリスナーさんだ。嬉しいね。
そうですね。2年って言うと、だからこの1週間に1回になった、少しした後ぐらいからなんですかね、聞いていただいているのはね。
多分、リモートでさ、収録始めて、毎週毎週になったぐらいで多分、こうやったら聞いてみようって思ってくれた人が多分ちょっと増えて。
09:01
なるほど。
多分そのぐらいのタイミングで聞き始めてくれたのかもしれないね。
そうですね。
嬉しいね。
いろんなタイミングでみなさん聞かれてるんですね。
ね。
掃除中やけどやっぱりイヤホン使って聞かれてるんですね。
なんか分かんないけど、ノイズキャンセリングとか多分使えばあんまり…
確かに確かに。
そっかそっか。
気にせず、今だったらね、結構性能いいからさ、普通に聞けるんじゃないかな。
はいはいはい。確かにそうですよね。
AirPods Proっていういいのが出たんでね。
好きあらば来ますね。
油断できないですね、本当に。
いやだからね、ノイキャンの性能が上がったらしいんだよな。
なんかノイキャンの性能で思い出したんですけど、そうそうそう。
AirPods Proっていうのがあるから、ねぎさん買ったほうがいいと思いますよ。
とゆうさんが言ってたのはMAXでしょ?
あ、MAXか。
MAXはいいけどね、AirPods Proはいいと思うよ。
ちょうど僕、ワイヤレスイヤホン欲しいんですよ。
買えばいいじゃん、AirPods Pro。
買っちゃおうかな。でもあんま外出えへんからなっていうのがあってね。
でも散歩…散歩の時はしないのか。
散歩の時はしないですね。
あーそっかそっか。
でも買う時は多分ね、AirPods買うと思います。
買いましょう。
前も使ってたんだけど。
次のお便りですが、これ多分前回のねぎさんのお話へのレスポンスだと思うんですけど
観測結果の情報交換でピースが埋まっていくのはいいな。
データソースとして出せるものが少ないけど何かできることがあるならやりたい。
お便りをいただきました。
いいね。
前は結構ハニーポッドとか、うちもやってるけど結構大規模にやってるところは組織ではあるけど
やろうと思ったら個人でも簡単にできるじゃない。
自宅でやってもいいし、例えばクラウドのどこか借りてそこにサーバー立てるだけでもすぐできるから
僕も個人的にそういうのをやったりしてるんだけど
前はそういうところで観測したデータをブログだったりツイッターとかに上げてくださる人が割といたんだけど
最近少なくなったような気が若干してて、ちょっと寂しいなと思ってたんで。
意外とね、みんなモチベーションが維持できないというか
こんなの誰が見てるんだろうなーみたいな気持ちになっちゃうって、だからたぶん続かない可能性があるんだけど
意外と、何度も言ってるけど、見てる人によって全然得られるデータが違うんで
そういうのを上げてくれるっていうのは、自分では全く誰の役に立ってるかわかんないんだけど
見てる人はちゃんと見てるんだよね。
僕も結構個人でそういうのを公開してるデータ、前はすごいよく見てて
なんかあれ、自分の手元に見えてるやつとなんかちょっと違うとかね、すごい気づかされることが結構多いのよ、そういうのでも。
誰かの役に立っていると。
そうそう、だからあんまり希望とか関係なく、そういうのをやるっていうのは
実はね、すごく、そういう意味ではさっきお便りで言ってくれたみたいな連携になるんだよね、本当はね。
12:06
そういうのをもっともっと言っていった方がいいかもしれないけど、参考になってますよって俺も言っていった方がいいかもしれないけど
なんかそういうのもっと増えると嬉しいな、そういうのが。
そうですよね。確かにレスポンスがなかったら、役に立ってるってことも役に立ってないってこともどっちもわからなくなってくるっていう
改善もどうしていいのかとかっていうのもなってきて、ちょっと孤独な感じがしてしまうのかもしれない。
なんとなくね、そうそう。
そうすると自分がやりたいことの優先順位として下がってきてしまうっていうのはあるかもしれないですね。
なるほどね、そのやってること自体が好きでさ、続けられるっていう人はいいと思うんだけど、そうでないとね、なかなか続かないかもしれないよね。
確かにね、好きならそうかな。僕もなんかいろいろ続けてることっていくつかあるんですけど、なんかその中の一つはできるだけあんまり人が反応しないことに喜びを覚えるっていうのもありますね。
ずいぶんマニアックだね。
すごいですね。
それだけみんながあんまり気にしてないんだろうなっていう尺度というか。
なるほどね。
そうそうそう、そういうのを見ててたまによかった、あんまり反応されてないぞっていう。
反応されたら負けぐらいな感じの投稿をやってるんですね。
そうそうそうそう、ブログラーじゃないですか、たまに書くシーサーと忍者の、あれはいかにアクセス数が少ないことを書くかっていう。
マジですか。
面白いね。
絶対ツイートしますからね。
やめて。
やめてそれは。
ノイズみたいになってるからやめてくださいそれは。
ピアオ看護法やめてくださいそれは。
はい、ということでございまして、以上でございます。
はい、ありがとうございます。
お便りお待ちしてます。
ありがとうございます。
はい、じゃあ本編というかセキュリティのお話を今日もしちゃおうかなということなんですけども、
今日はちょっと僕から行こうかなと思っております。
はい、どうぞどうぞ。
今日はですね、前々から話したかったことではあるんですけれども、
ランサム?
ランサムは前々からじゃなくて常々してるやつですよ。
ごめんごめん。先言われた。
今日僕がお話しするのは、これ多分このポッドキャストを最近聞き始めた方とかっていうのは、
多分僕が昔どんな仕事してたかってのをご存じない方も実は多いんじゃないかなと思って。
そうかもね。
そうか、そうですよね。確かに辻さん何の人だったんだろうって多分知らない人結構多いそうな感じですね。
僕はもともとネットワークのセキュリティ診断というか、
ペネトレーションテストがしたくて、就職する時にしたくて、
そういうので就職活動をいろんな会社選んだりとかみたいなことをしてたんですよ。
なので、もともとはペネトレーション診断をする人みたいな、ペネトレーションテスターとかって言うんですかね。
そういう仕事を、実際に現場で続けてたのは12年ぐらいかな。やってて。
15:07
そこから品質の管理だとか、報告書のクオリティとかっていうところに回っていって、
そういうチームで仕事をずっとしてたんですよ。
今は皆さんご存知の通り、いろんなことを調べて、いろんな方に伝えるってことをしてるんですけども、
そんな仕事をしていた僕が最近ですね、とある仕事で、いくつかの診断をしてくれる業者の方から話を聞いて、
サービスを選定するっていう仕事をしてました。
診断する側じゃなくて、される側に回ってってことね。
される側の横にいる感じっていう。
その診断を受ける会社の方も、そんなにがっつり診断を受けたことがないというようなところもあって、
それのお手伝いをしているんですけれども。
それは心強いよね。診断のプロがどこについてくれたらさ。
過去にずっと経験してやってきた人があるんで、相談に乗ってもらってありがたいみたいな感じで思っていただいてるみたいで。
それで僕がサービスを選定する時に気にするポイントみたいなものを紹介しようかなと思って。
面白いね、それはね。
いろいろ提案を一緒に受けたりするんですよね、そのお客さんとね。
その時に僕が質問したりするような内容みたいなところとか、どこを重視して、
こっちよりこっちの方がここは優れてるなみたいなポイントをいくつか紹介していこうかなと思います。
面白い。
いくつかあるんですけども、一つはやっぱりカバレッジですね。
どの程度どういう風な観点で網羅的に実施してくれるサービスなのかっていうのが、
まず一番初めのポイントとしてあります。
これ僕気にしているポイントっていうのは、いろんなサービス名が似たようなものでも全然中身が違うっていうのって結構あるんですよね。
こういう名前のものはこうでなければならないみたいな基準って特にないので、
特にペネトレーションっていう言葉が入っている場合っていうのは結構僕は注意が必要だなと思っていて、
何かしら決めた目的、例えばコンピューターから何かしら情報を盗み出すことができればそこで終わりっていうサービスもあるんですよね。
そうではなくてそれと反対のもので言うと、盗み出せたとか侵入してルートとかアドミン権限取れたっていう風なものも指摘の一個で一応網羅的にちゃんとやります。
全部見ますっていうようなものがあるので、これどっちですかっていうのは必ず確認するようにしています。
まずこれが一つ目のカバレッジですね。
次は経路の種別、診断って言ってもいろんな経路から診断をするっていう風なものがあるので、
例えばリモートからファイヤーボール越しにインターネットから診断する。
これはよくあるものなんですね。
あとはオンサイトで来てもらってとかデータセンターに行ってもらってっていうパターンがあるんですが、
DMZのファイヤーボールの内側、何かしら一台が乗っ取られたことを前提にして、
18:00
DMZ内のファイヤーボールに守られてない状態だったらどうなのかとか。
あとはオフィス内の内部ネットワークの内部のファイルサーバーとかアクティブディレクトリーとか、
そういったものの経路はどういうラインナップがありますかっていう風なことを聞くようにしています。
ここって結局作業量に大きく関わってくるんですよね。
インターネット越しでファイヤーボールがあったら基本的に見つかるポートの数も少ないので作業量が少ないと。
その反対にそういったフィルターがかかっていない場合だと、かなりポートが見つかってしまう場合も中にはあるので、
これって費用とか、あとは実施期間、いつまでに終わらせたいとかっていうのがかなり大きく影響するので、
これを聞くようにもしています。
あとはこれに加えてリモートオンサイトの、オンサイトに入るかなってとこなんですけれども、
ネットワークからネットワーク越しにあったっていうようなものじゃなくて、
ローカルのログイン・ログオンした状態でタッチの適用状況とか、
あるべき姿の設定がされているとか、ADだったらポリシー、ちゃんとこういうのを有効にしてますかとかありますけれども、
そういったものとか、あとはそのコンピューター内にあるパスワードのハッシュを持ってきて、
それをパスワードクラックかけて、弱いパスワードとか推奨されないパスワードがないかっていう検査できますかとかっていうようなことを聞いたりもしています。
これでこういうラインナップをいくつか聞いて、
自分たち診断を受ける側が気にしているポイントと提案をいただいた方々の意見を踏まえながら、相談しながら優先順位どれにしていますかみたいなことをやりつつ、
初回だけじゃなくて、一回頼むと今後もお願いするとかっていうのは結構そういうケースが多いかなと思うんですけれども、
今後やっていきたいことの経路も存在するかどうかみたいなことも勘案しながら聞いていくというふうなことをしています。
あとはあれですね、診断するときに全部一括でここでお願いするというのが一番楽なんですけれども、
ここはネットワークで、もう一方ローカルの診断はここっていうふうに同じホストを別の業者とかにすると報告のトーンとか指摘されるような内容の危なさのレベルというか、
そういったもののトーンが変わってくるし、それぞれ調整しないといけないとオーバーヘッドでかくなるので、そういったものを防げるんじゃないかということでこういうことを合わせて聞くようにしています。
あとは柔軟な対応をしてくれるかって一言で言えばこういうことなんですけれども、
ネットワークの制御をかけていると、例えばアクセス元制限しているサーバーとかっていうふうにあるときに、
ただその制御は正しく働いているかだけを確認したいっていう場合も中にはあるんですよね。
変なポート空いてないかも含めて。
これは自分たちでやろうと思えばできるようなレベルでもあるかもしれないんですけれども、
やっぱり第三者に見てもらったものですっていうふうに、いわゆるおすすめ付きじゃないですけど、
そういった第三者性を担保しなければいけない場合があるので、こういったときに診断項目、いろんな項目がある中で、
その脆弱性を攻撃するとかを全部捨てて、ポートスキャンの部分とかみたいに一部だけを切り出して、
その作業量に応じた金額で対応してくれるかどうかとか。
21:01
さっきちょっと前に言ったパスワードの監査だけはしたいとか、
ネットワークの診断は例えば市販機に1回やってもらうけども、
パスワードはもうちょっと細かい単位でやってもらいたいんですよねとかっていうふうなものを切り出してできるかどうかっていう対応をしていただけるか、
あとはそれの値段がちゃんと相応のものになるかってことを聞くっていうふうなことをしています。
そういった診断の内容のところが今までになってくるんですけども、
あとはやっぱり報告のとこですね。
診断実施から報告いただけるまでの期間がどれぐらいかかるのか。
これやった台数とかにももちろんよるんですけども、
どれぐらいの規模でどれぐらいの期間で報告書が上がってくるかっていうふうなことを結構見ていて、
これ僕結構選定の際に一番重要視するポイントの一つでもあるんですけど、
実際のところ、僕はどちらかというと見定められる側にずっといたんですが、
診断に対するスキルっていうのはなかなか見えないんですよね、お客さんからすると。
なので提案時にいくつか質問することで測ることもできるんですけど、
口では何とでも言えるっていうようなところがあるので、
ある意味でお客様から見える成果っていうのは、
報告書って言っても過言じゃないなっていうふうに昔からずっと思っていて、
結構僕報告書にはこだわりがあったんですけれども、
なのでこの自分たちが受け取る報告書、アウトプットが、
これから自分たちがそれを使って冗長に報告するとか、
さらに自分たちのお客さんに報告する場合も中にはあるんですけども、
そういった報告と対策をしていくための道しるべというか、
筋道が書いてあるようなものっていうところがあるので、
どんなものが来るのかっていうのを知っておく。
なのでサンプルレポートとかをできるだけ詳しいものをいただけませんか、
っていうふうに聞くようにしています。
そのレポートの内容を見るところで重要視しているところは、
検出された問題点をどういうふうに評価するのか、
例えば何段階で評価してくれるのかとか、
あとはホスト単位、診断したホスト単位でランクの評価付けをしてくれるかどうかとか、
あとはサマリーがあるかないかですね。
サマリーがなかったりとかすると結構上の人に報告するときに結局どうやったみたいなのを
さらっと報告することがしにくいので、
それがあるかないかっていうのを聞くようにしています。
あとは複合的な診断をした場合ですね。
これはさっき言ったみたいな同じ対象なんだけども経路が複数ある場合、
どういったレポートが上がってくるのか、見やすくなっているかとかですね。
そういう表現を結構気にしていたりもします。
あとは上がった脆弱性別、脆弱性がありました、
それをホストはこのホストとこのホストとこのホストですっていうふうに、
脆弱性を軸にして報告するのではなくて、
このホストにはどの脆弱性がありましたっていうふうな報告の仕方をすることができますか
っていうふうに聞く場合があります。
これは診断っていう単位で見ると1個なんだけれども、
このホストはA社にお願いしていて、
24:00
このホストからこのホストまではB社にお願いしているってなっている場合に、
A社の結果をB社に見えないようにしたいっていう場合があるんですよね。
そういった場合にホスト別にちゃんと出してくれることってできますかっていうふうなこと、
できますかとかそうなっているかっていうのを確認するのが結構報告書では重要視しているポイントですかね。
この今言った4つぐらいっていうふうなところです。
あとは報告に関して言うと対応する側として問題があった場合は、
もう本当にいち早く対応したいっていうふうに考えるので、
速報みたいなものを出してくれるかどうかですね。
本ちゃんの報告書が上がってくる前に、
だいたいこんなものが検出されましたみたいなものを出してくれるかどうか、
それはどの程度までカバーしてくれるのかですね。
緊急性の高いものだけじゃなくて洗い出せたものを全部出しますっていうふうにしてくれるのか、
それはどれぐらいの期間でオプションなのか、
その診断の金額の範囲内でやってくれるのかっていうことも確認するようにしています。
あとは細かい質問で言うと、
脆弱性スキャナー何使ってますかっていうのを聞くようにしてますね。
あとは何名体制で、これぐらいの規模だったら何名体制で行いますかっていうのを聞いてます。
1台とか2台とかのホストの場合、1人でやりますっていうふうに言われるとちょっと不安で、
二重チェックしてくれへんのかなとかってそういう観点でも見たりとか。
あとはこのポッドキャストでもいろんな脆弱性が利用できるかどうか、
脆弱性を悪用できるかどうかって大事ですよねみたいなことを何度も多分言ってきたかと思うんですけど、
検出された問題に対して実際にそれができるのかどうかの検証でしてもらうことってできるんでしょうか、
そういう報告っていただけますかっていうことだとか、
あとはどうしてもエクスプロイトを打つとか攻撃コードを打ち込むと、
止まらない可能性、止まってしまう場合もあるので、
エクスプロイトがこのホストには打たないでって言ってる場合に関しても、
エクスプロイトコードがすでにある脆弱性なのかどうなのかっていう有無を報告書に入れてくれることってできますかね、
っていうふうなことを聞くような感じにしていますね。
大体こういうことを僕は考えながらいろんな診断業者の方の提案を聞いて、
お客様と一緒にどこにしましょうかね、
ここはこういうふうなこと言ってますけどこっちの方が大事なんじゃないですかね、
とかそういうことを言うような仕事を最近したので、
皆さんがもし診断を受ける側になったときに参考にしていただければなと思って今日紹介させていただきました。
なんか珍しく真面目な話だったね。
ちょっと待って、いつも真面目じゃない?
珍しく?
いやいや、このパートのとき、え?
珍しくっていうか、なんかセミナーを聞いてるような話。
そうそうそう。
でもあれだね、診断サービスを提供する側だった人だらではの細かい視点というか。
そうそう、こんなこと気づくんだみたいなのが。
やっぱりそこはやる側にならないと気づけない。
僕もさ、昔診断とかベネトレーションデストずっとやってたから。
されてましたよね。
そうそう、めっちゃよくわかるんだけど、
確かにこれはこういうふうに言われないと気づかない点かなみたいなポイントがいっぱいあったね。
27:02
なんかこう、提供する側だったらやっぱり他者との比較とかもされるじゃないですか。
そうだね。
逆に自分たちの差別感も測らないといけないじゃないですか。
そうね。
だからそういうのを考えてやってきたから、
見ることのできるポイントというか、思いつくポイントっていうのがあるのかなっていうのは自分でもちょっと思いましたけど。
確かに確かに。
あとね、僕その、今つゆさんみたいな受ける側で顧客の立場に立って立つ人っていいなと思ったのはもう一つあって。
ああ、はいはい。
ちょっと今のつゆさんの言ってくださりとは少しちょっと視点が違うんだけど、
例えばその脆弱性の診断っていうと、
まあその割と網羅的に基地の脆弱性を対象のサーバーとかアプリケーションとかについてチェックするっていう、
割とこう、枠組みがそれなりに決まっているので、
まあわかりやすいんだけど、
今言葉に出てきたそのペネトレーションテストの方は、
まだちょっと理解されてない部分が結構あるかなって思う。
世の中的にってことですか?
そうそう。まあ昔からそうなんだけどね。
それに加えて、
例えばそのペネトレーションテストとかそういうのを提供する側はさ、
実際にその公益者がやる手法と同じような公益手法というか診断手法を使って
侵入されたとか横転換したとかいろんなことをやるわけなので、
今のその公益の手法の最新の状況とか、
今はこういう脅威がまずいですとかっていう状況は熟知してるわけよね。
プロだから当たり前だけどさ。
で一方お客さんの側はそういうのに対して、
自分たちが大丈夫かどうかっていうのを調べたいっていう要望はあるんだけども、
じゃあ何をやればいいかっていうところはあんまりはっきりわかってなくてさ。
気にしてるところとそれをチェックする手法みたいなところの結びつきがふわっとしてるんですかね。
やりたいけど何やればいいですかねみたいなところが多分ね、
もやもやっとしてる人が多いような気が僕の印象ではね。
ちょっと今実際に僕そういうのを提案する仕事してないから、
実際のところよくわかんないんだけども、
そういうギャップがすごいある気がしてるわけ。
で逆にでもその提供する側は、
お客さんの環境でどうかっていうお客の環境ってところはあんまり知らないじゃない。
だからお互いに持ってる情報にギャップがあって、
その擦り合わせが多分すごく大事だと思うわけ。
やる前にあなたの環境ではこの脅威をまず真っ先に調べるべきですとか、
これやった方が今これが最も優先順位が高いところですよとか、
さっき攻撃の経路って話をしたけどさ、
多分そういう視点で提供する側が見れるかっていうのがポイントなんだけど、
そこまでやってくれるかどうかっていうのは業者次第かなってところもあって。
確かにね。
僕はその時に提供する側の立場というか視点知識を持っている人が受ける側にいると、
30:00
そのギャップが埋まりやすいんじゃないかなって思ってて。
なるほど。
だからそういうのが、例えば今回のすいさんみたいな立場の人がいると、
そこを結びつけられてさ、こういうことできますかとか、
うちの環境はこうなんだけどどうですかとかさ、
その的確にそういうところを結びつけられるじゃない。
多分それが大事なんじゃないかなっていうのが今聞いてて思ったわね。
確かに確かに。
そういうのをできるっていうのがなかなか難しい。
お客さんの側にそこまでの専門的な知識は要求できないというか難しいじゃない。
提供する側は色んなところに提供してるから多分そういうのはわかってるけども、
でも今からやるお客さんのことは知らないから。
そうですよね。確かに確かに。
どんな環境になってるのかなんて絶対わかんないですもんね。
だってそういう環境ってみんなバラバラじゃない。
全部違うからさ。
なんとなくこうかなっていう想定はできるだろうけど、
本当にそれでいいかどうかっていうのはやっぱりお客さんじゃなきゃわからないところっていうのがあるから。
本当はそういうのが結びつけられる専門家っていうのが受ける側っていうか、
専門ベンダーじゃない側にいると本当はいいんだよね。
だから僕はそういう人を育てないといけないんじゃないかなと思うけどね。
なんかそのセキュリティの人材みたいなのを自分たちの会社でもとみたいな話がよく出てきたりとかはしますけど、
僕らもセミナーとかでね、僕ら3人とも言ってるかもしれないですけど、
ベンダーが言ってることを理解できるっていうスキルが大事なんじゃないかみたいな話をよくするじゃないですか。
それをちょっと今自分でやってるかなっていうところはちょっとありますね。
やっぱり話が早いですやっぱり。
だよねーそうそう。
だからそれの効果は結構絶大だと思うなぁ。
そうなんですよね。
もう1回こういうのずっと昔からやりたくてこういう仕事も。
そうなんだ。
一緒に診断を受けるとか、診断だけじゃなくてもね、サービスとか機器の販売の提案を受けるとかっていうのを昔からやりたくて。
いいよね。多分そういうニーズはかなりあるんじゃないかな。
そうですね。
あとはもうお客様の予算観だけの話になってくるんで、内容に関してはこのメリット、こっちの見れるところ見れないところでどうしますかっていうところにおいては、
その内容を見るのは僕のことを信頼していただいているので、あとは期間とお金みたいな感じになってますね。
なるほどね。
いやーなかなか面白いね。確かに言われてみればそういうニーズはありそうだっていうかね。
そういう寺助ができるといいかもね。
そうですね。なんかこう自分が今までやってきたことが違う形で役に立っているかなって思えて。
なんかすごい充実した感じはありましたね。
おー、なんかちょっといい話。
なんかちょっといい話だな。
33:02
ちょっと珍しく真面目でいい話でしたか?
ちょっと真面目でいい話だった。
あれ?なんかそんな、いつも真面目やねんけどな。
そうだっけな。
はい。
いや、いいっすね。
ありがとうございます。
じゃあ次はですね、そうだな。
かんごさんいきましょうか。
はい、じゃあ私から。
今日はですね、今週発表されたものとして気にかかったものがございまして、
アルバニアっていう国がございますけども、
こちらの国がイランと国交を断交しましたっていうのを、
アルバニアの首相がビデオ内で発表されたと、声明を出されたということでございまして、
それが気になったというものなんですけども、
なんで気になったのかっていうと、見出しとかでも出てるのでご存知だと思うんですけども、
サイバー攻撃を起因としてそういった断交という判断に至ったというもので、
なんか記事とかでも書かれてましたけども、私も知る限りだとサイバー攻撃起因で国交を断ってしまうというのは、
レアケースというか初めてなんじゃないかなっていうぐらい、
ある意味歴史的な動きの一つと言っても過言ではないような、そういったものがあったかなと。
背景というかさ、いろいろこれまでに積み重ねかかって、最後の失敗で引いちゃったみたいなね。
それはあると思うけど、でもそれがサイバー攻撃起因っていうのはちょっとなんか、
今の現代ならではって感じする。
ついに来たかという感じがしてはいて、今まさにネギリスさんがおっしゃってたように、
もともとアルバニアとイランって何年だったかな、2014年ぐらいからあんまり仲がよろしくなくて、
たびたび例えば外交官の方を国外体験の処分にされたりとか、そういった話っていうのもあってですね、
イランの反体制派のグループをアルバニア政府が受け入れたということに確か逮捕したような、
そういった話で少しこんがらがってしまったというところから、
仲があまりよろしくなかった状態ではあったガスへのこの攻撃でのっていう、そういった経緯ではあるにはするんですけども、
それとも国交断交って簡単に4文字、国交断絶とか国交断絶って4文字で表現しちゃいますけども、
意味するところとしては単純に外交的なもうやり取りをしませんよっていうもの以外に、
もしかしたらもう経済的なものであったりとか、そういったものを一切止めてしまうと立ってしまうという、
36:02
そういった判断というかアクションではあるので、結構大きい判断をされたなというところではあったんですけども、
そのアルバニア政府が判断に至ったサイバー攻撃っていうのは何だったのかっていうところについては、
実は9月の8日にマイクロソフトがめちゃめちゃ詳しい記事を出されていて、
その内容がほぼほぼアルバニアの首相がビデオ声明なりで発表されていた内容と、
結構近しい内容だったのでほぼそれが事実なんだろうなとは思いはしていて、
8月の何か入ったぐらいにも確かマンディアンとが似たような報告を出していて、
今日ちょっとそれを少し読んでいきたいなというところではあるんですけども、
4つのグループから攻撃を受けましたっていうのを首相がお話しされていて、
マイクロソフトの記事だと実際には5つ、グループって言っていいのかな、カテゴリー分けされているものが5つございまして、
一丁上はイランの情報治安省でいいのかな、
そういった国の機関をトップとした関連するアクターが5つマイクロソフトとしては分析をしていると。
そのうち1つはユーロピウムっていう、これまでも先ほど言った治安省との関わりっていうのが確認されていた、
そういったアクターではあったんですけども、今回それとは別に4つプラスで確認されているというものでありまして、
マイクロソフトは全部そのアクター4つについてDVっていうものを付けているんですけども、
このDVって付けるときのマイクロソフト側のルールとしては、未知のとか新しく確認されたとか、
そういったものについて一時的な名前として付けられている。
MFってよく鉱石?元素?の名前を付けるじゃないですか。
なのでもうちょっと確たる情報なりを分析されてはっきりとしたものが見えてくれば、
もしかしたらそういった名前が今後付くかもしれないんですけども、
今はDVって付いているものをプラス数字というのが4つ他のものについているといったものでありまして、
攻撃自体はこれもどこかで見たなと最近も、
例えばウクライナ侵攻が始まった直後とかもあったような、
いわゆるランサムウェアって言っていいのかな?
実際巨白しているとも思えないですけども、ランサムウェアと巨白メッセージが出ているので、
ランサムウェアとか、あるいはもうランサムすらしないワイパーですね。
そういったものを使った攻撃、本当に破壊型攻撃ですね。
そういったものであるとか、あるいはそれよりも先行する形で、
39:03
情報を抜き出す動きっていうのも確認はされていたと。
メールの情報が抜かれたりなんていうのも、
2021年くらいから行われていたというところがあって、
これも本当にウクライナ侵攻でも発生していたような攻撃でもあるし、
マイクロソフトとしては、今回の攻撃についても、
イランが行っているようなオーソドックスな戦術の一つだというような分析はされているので、
こういった国が関わってサイバー攻撃というところに発展するようなケースにおいては、
ある意味これがスタンダードなやり方の一つなんかなっていうのは見ていて思ったところと、
あとちょっと興味深いなと思ったのは、
これもたびたび見られている一つの手口ではあるんですけども、
プロパガンダ的な動きをしますよっていうのは、
ロシアとかでもよく言われているそういった動きの一つではあるんですけども、
今回のこのアルバニア政府に対して行われたサイバー攻撃の中でも、
そういったプロパガンダ的な動きっていうのが見られましたっていうのは、
マイクロソフト自身も分析はされておられていて、
興味深いなと思ったのは、7月の15日だったかな、攻撃が実際に行われて、
実際確かeアルバニアっていう電子政府ポータルっていうのかな、
日本で言うとeガブになるのかな、ちょっとわかんないですけども、
そういったものが実際攻撃を受けて、
攻撃の影響を恐らくは極小化するような目的で、
一時的に利用ができない状況になった、
そういったことで結構国内の方にも広く影響が及んだっていう、
そういった事象ではあったんですけども、
その後に、その事象が起きた直後に、
この事象が起きたのはこれが理由だみたいな、
そういったプロパガンダ的な話っていうのを前々から準備していた、
そういう情報拡散する代理メディアっていうのかな、
正式なメディアではないんですけど、ニュースサイトっぽいような、
そういったものを通じて拡散する動きがあったということで、
国内世論にもしかすると混乱を誘うような、
そういった目的だったのかなと、私は個人的にこれを見て思ったんですけども、
そういった形で攻撃のやり方っていうのが、
破壊型攻撃とか情報摂取、サイバーエスピオナージとかそういったものとか、
あるいはプロパガンダっていうものを総合的に組み合わせて、
効果的に影響を及ぼすような作戦っていうのが、
本当にこういうふうに行われる状況っていうのが当たり前なんだなっていうのが、
ウクライナ振興に続いてアルバニア政府のマイクロソフトが出した記事なんかを見てても、
42:01
改めて思ったところでして、
これもし日本でやられたらどうなんかなっていうのはちょっとゾッとやっぱりしちゃうかなっていうのは、
もう現実に起きている話ではあるので、
それが映像が起こるかなみたいなレベルでの議論ではなくて実際に起きているよっていう前提で、
日本ってどういうことができるのかなっていうのは、
ちょっとやっぱりこういった事例が実際に続いている状況ではあるので、
ちょっと考えさせられたなと。
いわゆるサイバー犯罪とかでお金を狙ってというのは、
もちろんそれはそれですごい大きな脅威だと思うんだけど、
そういうのと比較すると、今回の4つのサブグループ的なものが、
違うフェーズでそれぞれ動いているみたいなさ、
いかにも組織だって動いてますっていう、
その大きな力がね、
今回イランっていう国が後ろにいるって言われている、
そういう国家がやっている作戦とかになると、
ここまでになっちゃうんだなっていうかさ、
そういう違いをやっぱり感じるよね、こういうのを見るとね。
何とか部隊みたいな、ちゃんと統制取られてやってる感じがしますね。
たぶんそうだと思うよ。
それぞれちゃんと目的があって、最終的な完遂目標に向かって、
各自が連携して動くみたいな、おそらくだけど、
そういう軍事作戦的なものに近いことをやっているんだろうね。
うちは自分たちのところに来たらっていうのは確かにね、
ゾッとしますよね。
そうですよね。
とはいえ、これレポートちょろっとしか見てないですけど、
一番初めの初期侵入に使われた脆弱性ってシェアポイントの2019年の脆弱性なんですよね。
プチのやつなんですよね。
だからそういうのも政府サイトで見落としたりとか、
いろんな理由はあるとは思うんですけど、
あるんやなっていうふうに思ったのは、ここはちょっと気になったところですよね。
なんか攻撃側が高度だとさ、狙ってくる地方も高度っていうこともあるかもしれないんだけど、
別に高度な攻撃者だって簡単に狙えるところがあるならそこを狙うのは当たり前だし。
そうですよね。
だから今の辻さんが言った指摘したポイントはとても重要なポイントで、
結局攻撃側のコストを全然上げられてないっていうことなんだよね。
タードルがちょっと低かったってことですよね。
ゼロで使わなくていいわけですからね。
別に高度な攻撃者じゃなくても簡単に狙えるようなところがあるんだったら、
わざわざそんな高度なところを狙う必要ないわけで、
攻撃側に背強いって思わせられてないっていうのは失敗なんだよね。
45:00
簡単に狙える基地の脆弱性が全然ない。
なおかつ検知される危険を犯さないと攻撃が成功しないような
ハードルの上げ方を守る側はしないと、
このクラスの攻撃は防げないよね。
それでも防げるかどうか怪しいけどさ。
まあぶっちゃけ今の世の中って攻撃側が本気だしたらほとんどのところは守れないからね。
何かしらの方法で、システムの脆弱性じゃなくて人とかっていう可能性もあるでしょうし。
そうそうそうそう。
ほとんどのところはよ。全部とは言わないけど。
あとまあやっぱりそのかけられるコストとかリソース、今の話でもそうだけど、
バランスがやっぱりどうしても攻撃側有利だからさ。
そうなんですよね。
その辺の不利はやっぱりどうしてもあるんだよね。
それはあらかじめ織り込み済みの上で我々は戦っているわけなんで。
でもこうやってマイクロソフトとか、毎回こういう攻撃活動とかかなり詳しく分析して出してくれているけど、
こういうのを見て、こういう事例から学ぶっていうことは大事だよね。
今看護さんいてみたいに、もし自分のこと来たらみたいなさ。
ちょっと考えたくないけどねあんまり。
本当にちょっと想像したくないですけどね。
現実にあるというのも。
今のネギさんの話をちょっと聞いていて、
高度っていう言葉についてはちゃんと考えなあかんなって思いましたね。
何が高度かみたいな?
高度な攻撃とか言うと本当にすごいもののように感じるんですけど、
ゼロで使うだけが高度じゃないともちろん思うし、
どんな方法で入って、結局基地の脆弱性だったとしてもそれをちゃんと見つけて、
そこから自分たちの目的をきちんと遂行できるかっていうところが、
僕は高度か高度じゃないかと思うんですよね。
例えば気づかれないようにするだとか、
短い時間で目的を達成するとかっていうところの方が高度なんじゃないかなっていう気がするので、
高度高度って言い過ぎて、ゼロでとかそういったとこばっかりに目を向けるような風に考えてもいかんなっていう。
確かにね。
高度って何をもって高度と言ってるのかっていうのは結構気にして聞いた方がいいポイントかなと思いました。
高度イコールなんちゃらっていう、なんかAイコールBみたいなのがはっきり決まった話でもないですからね。
そうそうですね。
ケースバイケースで。
そうそうそう、そういう風な風に感じましたね。
確かにね、なんか一昔前は侵入されたときにさ、被害者がソフィスティケイテッドなアタッカーにやられましたみたいな。
はいはいはい、洗練されてたみたいなことですね。
最近なんかその単語見たくなったような気がする。
どっかでありましたね、そういう表現。
そうそう、いや一時期なんかすごい流行ってたっていうか言い訳に使われてたよね、よくね。
高度なんで防げませんみたいな。
そう、だから防げなくて当然でしたみたいな、そういう言い訳に使われやすい。
確かに。
高度な攻撃ってのは同じような理屈で使われやすい曖昧な表現だよね。
そうですよね、高度って高い度合いやからじゃあ何と比べて高いのかっていう比較の言葉やからあんまり使わないほうがいいのかもしれない。
48:05
確かに確かに。
分かりづらくない、逆に分かりづらいというか。
言えてるね、言えてる言えてる。
なんかマイクロソフトのレポートほんとすごい詳しくてね、IOCとかすごいバーって書いてあるんで読みごたえがあるんですね。
これ実際アルバニアの政府でインシデントが起きた時に調査チームというか調査の対応に入ってるよっていうのがマイクロソフトの名前に実際入ってたので
本当にその現地の対応された内容をもとに、当然そこのズログにも書かれてるんですけども
内容もとに出されている情報なのでそれを踏まえて見ていただくっていうのは非常に大事かなと思いますね。
こういうのがアルバニア政府がマイクロソフトが主導して調査したんだと思うんですけど
こういうのを出すっていうのをさらっと許可してしまうのも政治って感じしますよね。
政治というか外交というか出すことにも意味がある。
これも一つのね、一つの戦術かもしれないですね。
こういう内容ですよってしっかり示すっていうのは本当に外交感あるなと思ってみました。
はいありがとうございました。
ということで今日は最後、ねぎすさんでお願いします。
私は前回に続いてというか、DDoSの話をちょっと紹介したいなと思っていますけども
今週は赤前さんのブログの記事の内容をちょっと紹介したいなと思ってるんだけど
どんな内容かというと、今年の第一四半期まで、昨年の第一四半期からの1年間で
最近どんなDDoS攻撃の傾向に変化が現れたかというのをブログで紹介してくれてるんで
ちょっと内容を追うと思ったのでお話をしたいんだけども
一応その記事のターゲットとしては金融系のサービスの顧客を
一応ターゲットにどんな変化かって言ってるんだけども
でも書いてあることは別に金融機関以外に対しての攻撃でも当てはまるかなっていう内容なので
そんなに別にこれは金融だけだよねって話じゃないと思って聞いてもらった
題材がたまたま金融のところってことだけですよね。
ここでは一応金融系の事例を紹介しますって言ってるけども
大きな傾向は他でも言えるのかなと。
まず最初に第一に書いてあるというか一番の大きなポイントとしては
従来からあるいわゆるL3とかいわれるネットワークレイヤーの攻撃と比べて
それももちろん従来通りあるんだけども
もう一方でそのアプリケーションレイヤーそのレイヤー7とかって言われるような
上位のレイヤーを狙ったDDoS攻撃が
その顕著にすごい増加しているということを言っていて
ちょっと具体的にその何パーセント増えたとかっていうような数字は入ってないんだけども
規模もそれからその数も攻撃の数も明確に増加していますということで
51:03
ちょっと注意喚起をしていてそういった変化が見られると言っていて
特にその全体の攻撃の中の35%は
httpsのプロトコルによるアプリケーションレイヤーの攻撃ですと言っていて
ちょっとねあのおやっと今までそんなの見なかったなっていう感じになってきていると
で例えばそのネットワークレイヤーって言ったらこのポートキャストでもたびたび僕
DDoS攻撃の話してるからわかるかなと思うんだけども
例えばTCPとかUDPとか使ってたくさんパケット投げつけて回線をあふれさせるとか
サーバーの処理を使おうとかねそういうような
言ってしまえば非常にシンプルな攻撃であって
で例えばそのTCPとかUDPでもアドレスを送信元のアドレスを偽装してパケットを送ったりとかさ
よくやる手だしあとはそのいわゆるリフレクションと言われる踏み台を使った反射の攻撃ではね
こういうのを使って送信元をちょっと本来のところとは違うように見せかけるということはよくやる上等手段
なんだけど攻撃手法がシンプルである分逆に防御側からすると攻撃って割と見分けやすいというか
なので何だろういわゆるリードス攻撃とかの対策のサービスだったりあるいはそういう専用の機器からすると
自動的にその攻撃を検出して防御するというかしやすい攻撃でもあるのね
捌きやすいですね分かりやすくて
なので攻撃する側はもちろんシンプルだし攻撃しやすいしそういうインフラとしてもやりやすいけど
一方で防ぐ側も対処がしやすいっていうそういう攻撃と思っていいかなと思うんだけども
それに対してアプリケーションの攻撃っていうのは攻撃側からしてもアプリケーションでデータを送る
さっきのhttpsとかデータを送ろうと思ったらまずそもそもちゃんと相手とコネクションを確立しなきゃいけないわけだし
そうですね
その上でデータを送るわけなんで見かけ上は普通に一般のユーザーがブラウザーでアクセスするのと変わらないように見せかけて攻撃をするわけよね
そうすると攻撃が若干L3とかの簡単なのに比べたら攻撃がめんどくさいと言えばめんどくさいわけよね
偽装もできないしさ
なのでどっかしら乗っ取ったところを使うとかあるいはサーバー借りて使うのかわからないけど
どこからか実際に攻撃をするということをしないとダメなわけよね
なので若干やる側とすればコストが高いんだけども
一方で受ける側からしても対処がしにくいわけ
そうすると見分けがつきにくいというか
通常のアクセスに紛れてくるみたいなところ
そうそうこれは本当に攻撃なんだろうかどうなんだろうかというのを
その通信を見て見分けるというのがさっき言ったレイヤーの低い攻撃に比べると若干やりにくいと
なのでここは自動検出もできるけども結構各社いろんなところその辺でノウハウがあってさ
54:07
うちはこういう攻撃もなるべく早く検出しますとかね
そこで結構違いが出たりとかするんだけども
そういう差があるのかなと
だから攻撃側からするとコストとか高いし結構めんどくさくもあるんだけども
そっちにシフトしてるというかそっちのアプリケーションのレイヤーの攻撃が増えてるっていうのは
やっぱりその方が効果的っていうか防ぎにくいから効果もあるだろうっていう
だから多分そういうのを見越した変化なのかなという感じもするんで
ちょっとこれは要注意なのかなという気がする
結果を出してるのがこっちなのかもしれないですね
なんとなくそういう感じもするよね
もちろん従来からの攻撃も全然無効ってわけじゃないけども
対策をしっかりしてるところにはあんまり効きにくいっていうのもあるかもしれないね
そうかそうか
ネギさんずっと前にディードスの話
ずっと前か最近なのかディードスの話よくするからいつかわからなくなってくるんですけど
最初はレイヤー3で来るけど途中から変えてくるのもまあまああってさみたいな話前にもおっしゃってましたよね
したねしたしたそうそう
それも結構よくある上等手段で
最初はシンプルな攻撃で来るんだけどもなんかこれ防がれてるなあ効果ないなあと思ったら切り替えてくるっていうのは
それなりの攻撃者であれば諦めずにやってくるね
それなりの目的があって攻撃してくる人はそんな簡単に諦めないから
そういう人はそうやって切り替えてくるってことやるんだよね
だからそういうのが現れてるのかなというかトータルで見ても結果として出てるのかなって感じだよね
あとその今言ったのにもつながるけども
ネットワークレイヤーアプリケーションレイヤー
あと加えてそのいろんなプロトコルとかその複数の攻撃ベクターを使ってくるような攻撃がやっぱり増えてるというか
以前ほどシンプルではないっていうことが一つと
あとこれちょっとでその書いてあるのが明確なその根拠があって言ってるのかどうかちょっとはっきりわからなかったんだけども
たくさんのアタックベクターを混ぜてくるっていうのは単純にその攻撃を防がれないようにっていう目的以外に
その真の目的を隠すカモフラージュで使われてるっていうことを言っていて
真の目的
例えばそのマルウェアのC2通信を隠すためとか
裏列の情報を盗むような活動をしているのを隠すためにリードス攻撃でカモフラージュするとか
というのもあるんじゃないって書いてあるんだけど
まあこれはその本当にそういう事例をたくさん見ていて言っているのか
そういう使われ方もあり得るよって言っているのかちょっとそこがね
わかんなかったんだけど
なんか僕は個人的には本当にそれは効果があるのかなってちょっと前から疑問に思ってて
まあそんなことをやらなくてもシンプルにやった方がいいような気がするというか
下手になんかそういうのをやるとなんか逆に
確かにね監視を強化するとかってなりますからね
57:02
やむへびな気がしてて
本当にそんな言われている
結構以前から言われてるんだよね
そうそう陽動って結構言ってる人多いですよね
目的の一つでDDoSって陽動で使われるってしょっちゅうなんか出てくるんだけど
本当にそんな効果あるのかなっていうのはちょっと僕はね
なんか前から疑問には思ってたんだけど
まあ一応その今回のブログでもそういうことがあるよって書いてありました
まあないとまでは言われへんけどあんまりちょっと考えにくいとか
メリット薄そうな感じはちょっとしますよね
なんとなくやっぱそう思うでしょ
そうなんだけどね
こう書いてあるってことは何かそういう事例があるのかもしれないね
なるほど
そこはちょっと気になりました
なんかあるだとすればそういうことも想定しておくべきだなっていうかね
あとその今言ったそのアプリケーションレイヤー
レイヤー7の広域がすごく増えてるっていうのは
その一つの要因として今までもあったし今もあるんだけど
いわゆる金銭的な目的だったとかっていう単純なものに加えて
今年はそのアクティビズム系というか
あとはその愛国主義的な攻撃そういったものを目的に活動してる攻撃が
増えたのが要因じゃないかということは書いてあって
これはねその赤前だけじゃなくて
ラドウェアがちょっと別の先月出した別のレポートでも似たようなことを書いてて
ラドウェアのレポートでもねその去年と比較して
今年の上半期は3倍ぐらい攻撃が増えたって言ってて
そんなにあるんですね
なんかすごい今年は攻撃がドス攻撃全体がねすごい増えてるっていうことを言ってるんだけども
その要因の一つがそういう目的での攻撃が増えたせいじゃないかって言っているのね
でまぁただそのドス攻撃って前から言ってるけどさ
攻撃の目的って攻撃者に聞かないと結構わかんないんだけど
アクティビズム系の攻撃って成功したぞっていうことをアピールしたりとかさ
予告をしたりとかして割と見えやすいじゃない
知ってもらってなんぼ見えやとかありますね
だからこの攻撃はどうもそういう攻撃だっていうのは割と結びつきやすいんで
でそれがその全体の中で割合が増えているとなると
確かにそれは要因としてあり得るのかなっていう感じで
今年はいろいろさっき話に出たウクライナとかの話もあったり
結構そういう目に見えてそういう活動が増えているので
去年までとは違う傾向なのかなというか
今年だけではたまたまかもしれないけどねわからないけど
なるほどなという気がちょっとしました
あと最後にこの記事の中で金融系の富裕層向けの資産管理のサービスとか
ここではウィルスマネジメントとかって書いてあるんだけど
そういう特定の業種の特定の顧客向けの
従来からある脅迫を目的とした攻撃の事例を紹介していて
それがかなり規模が大きくねちねち攻撃されているという事例として紹介されているんだけど
1:00:04
昨年末ぐらいから今年の夏頃にかけて半年近くもっとか以上
たびたび攻撃が特定の業種顧客に結構狙いを定めてきているという事例が出ていて
それがさっき言ったそのhttpsを使ったアプリケーション層の攻撃で
言ってみればちょっと防ぎにくい攻撃を繰り返し繰り返し結構な規模でやってきていると
これまではね結構脅迫系のドスって去年も一昨年もあって
僕も自分で詳しく調べてるんだけども
どちらかというとネットワークレイヤーの攻撃が主流だったんだよね
なんかその割とシンプルな攻撃でただし結構規模がそれなりにあるので
防御する側も対処しにくいような攻撃っていうのが結構目立っていたんだけども
ひょっとしたらそういう攻撃手法にちょっとさすがにそれが防がりやすくなってきてるから
手を変えてきたのかなぁと思える節があるよね
学習しちゃったかもしれない
なんとなくね
ただそうは言ってもこの事例でもアプリケーション層の攻撃をしつつ
並行して裏ではDNSを狙うDNSのUDPを使った攻撃もやってるんだって
なんでそういうDNSフラットとHTTPSのフラットと複数組み合わせて攻撃をしてる
しかも狙ってるインフラがちょっと違うみたいなね
ちょっといやらしい攻撃手法に変化しているっていうのがあって
なんかちょっとこういうのを広くキャンペーンでやられるとさ
防げるところは防げると思うんだけども
中には全然立ち打ちできないところもたくさんありそうだなっていう感じがしてて
結構ね例えば従来型のネットワークレイヤーの攻撃にはある程度防げるけども
今言ったようなアプリケーションレイヤーへの攻撃はまだちょっと対処が不十分だったりとか
あるいは去年とか脅迫系の攻撃でも見られたけども
DNSのネームサーバーとかに狙われると
意外とそこの辺は盲点で対処がちゃんとしてなかったりだとか
なんかDDoS攻撃って言っても一口に言ってもさ
やっぱ守る対象がいっぱいあるから
そうですね
そうそうだからここは守れてるけどこっちは守れてないっていうような
なんかそういう濃淡があるんだよねやっぱりどうしても
ウェブサイトだけじゃないですかね
そうそうそうなのねそこがやっぱり結構課題というか
防御する側全部守れれば一番いいけど
だからそう思う
ウェブサイトは落ち貧かったけどね
その先おっしゃったみたいにDNSがダメになったから結果はウェブサイト見えへんようになった
ねより広範囲に影響出ますよね下手したら
あとなんかそのいやらしいのは決済系のAPIゲートを狙ってとか
そういうのを脅迫系のDOSで去年そういう事例をいくつか目にしたことがあるんだけども
1:03:03
なんかねその狙う業種とか業界によってやっぱりキーになるところってのがあって
このサーバー狙われて落とされたらちょっと痛いよねっていうところなんかねいやらしくついてくるんだよね
そういうのを見ると攻撃側がどこまで狙ってやってるのかははっきりわかんないんだけども
その今回若森さんが紹介してくれてる事例だったりだとか
なんか割といやらしいところついてくるなーって思うことが結構あるんで
多分そういうところはやっぱり攻撃側も学習して狙ってきてるんじゃないかなっていうか
効果がありそうなところをね
ちょっとそういうのは守る側からすると単純にウェブサイトだけ
守っておけばいいなとかっていう感じでもないなっていう
当たり前だけどね攻撃側もいつまでも同じ手法でずっと繰り返しやるわけじゃないから
それの変化に合わせないとなっていう
下調べをちゃんとしてる感が昔よりは全然ありますよね
そうだね一昔前はねもうとりあえず何でもいいけど回線埋めとけみたいな感じだったけど
まあさすがにねさすがに戦術に変化はあるよねっていうか
ちょっとこのそのアプリケーションレイヤーそのレイヤー7の攻撃が増えてきてるって言っているのは
まあその今年だけではないけどもなんか今年顕著に増えたって言っているというのは
ちょっと目を引いたし注意を要する変化なのかなと思いました
これがスタンダードになっていきそうな感じはありますよね
効果が出れば当然そうなりますよね
結果が出るってなればそうなっていくし
それに対して防御がうまく対応すればまた変わっていくだろうしね
確かに
そういうのが繰り返しだからちょっと今はそういう変化をちゃんと見ておく必要があるかなと
ディーゴスーレットたちって全員が全員自分の手持ちのシステムを使ってるわけじゃないじゃないですか
攻撃のインフラとしてってこと
いろんなサブスクリプション的な値段とかもありますけど
こういう風に流行りがどんどんできてくるとそっちも値段が安価になって
参入しやすくなってくるってのが出てくるかもしれないですね
競争の働いてと
確かに確かに
これいっぱい使ってくればこっちを安くすればもっと使ってくれるかとかっていう動きも出てくるのかな
そっちも引き連れていくのかなっていう風に聞いてて思いましたね
確かにそれはそういう方向で多分最適化していくだろうね
そう考えたらそのレイヤー7
HTTPSとかっていう風なものを基盤をたくさん作るにはどういう風に攻撃者が動くのかっていう風に考えれば
次どういう攻撃が増えてくるかってもしかしたら薄っすら見えてくる部分もあるかもしれないですね
そうだね
いやなんかこうネギスさんのDDoSの話は安定して安心して聞いてられるな
どういうことよ
1:06:00
自分がDDoSの話なんてしたらフワフワしてしまうかもしれない
でもそれはお互い様っていうかそれぞれにあるんじゃないそういう
基本的なことはわかってるんで言ってることは全然わかるわけなんですけどね
安心して聞ける
ありがとうございます
いいな
また引き続きこの辺のネタがあったら一人であげたいなと思います
是非是非
レポートもこれの先のマイクロソフトに負けず劣らず結構ボリュームあるんで読んだらいいと思います
面白いですねこれもね
グラフとかもちゃんと載せてあって
ありがとうございます
今日も3つのセキュリティの話をしてきたので最後にお勧めのあれなんですけれども
これはですね今年のって言うとまだね9ヶ月とちょっとしか経ってないので気が早いかもしれないですけども
僕の中で今年の2022年のベスト倍になるんじゃないかと思っているアイテムを紹介しようと
結構2022年あるのに
これちょっと超えにくいぞっていう
僕の生活の仕方とか仕事とかに関係するっちゃするんで
そういうバイアスはかかってると思って聞いていただきたいんですけども
こういう仕事をしているお二人もおそらくそうだと思うんですけど
やっぱり腰や肩や首やみたいな感じで凝るでしょ
そっち系か気になるそれは
そっちかきた
しんどくなるじゃないですかなんか
集中力も落ちてさ
僕がそれでいろんなこういうグッズとかお風呂湯船に絶対浸かる生活しているとかでも
そういう体をほぐすためにやってるんですけれども
低周波のビクビクするようなやつとかももちろん使ってきたんですね
柔軟とかもやってもでもそれでも結構頑固な痛みとか
凝りとかあるじゃないですか
ずっと気になってたものを買いまして
少し前なんですけどね結構長い間使ってみてから紹介しようと思ったものなんですが
呼び方はいくつかあるんですけど
筋膜リリースガンもしくはマッサージガンとかっていう風に言ったりもするんですけれども
ガン
鉄砲鉄砲ですね銃
形がそういう形L字型みたいな感じになってるものが多いので
こういう名前で言われるんですけど
この今言った2つのキーワードで検索した大抵出てくるかと思います
筋膜リリースガン初めて聞いたわ言葉としても
すごい勢いで振動するんですよね
それをその幹部というか疲れてるところに当てるっていう
いろんな研究があるんですけど90秒当てるとだいぶほぐれるらしいんですよね
ほぐれ始めるというか
マッサージ機の一つっていうことでいいのかな
そうですね
基本的に前後に動くっていうことなんですけども
先調を変えられるんですよ
何を買うかによってパターンとかどんだけのバリエーションがあるかってのがあるんですけども
単純に指みたいに一本になってるものもあれば
二股になってるものがついてたり
あと平面になってるとか
アタッチメントを変えると効果は変わるのか
あとは丸くなってる
1:09:01
丸いやつは一点集中よりも力は弱いけど
全体的に振動が伝わりやすい
例えば二股になってるやつとか僕は首によく使うんですよね
ちょうど背骨の延長で首の骨があるじゃないですか
それを挟み込む形でやるとかね
これは手に持って患部というか痛いところに直接当ててやるみたいな感じなんだ
そうそう
僕らも作業してると結構凝ってくるじゃないですか
椅子とかこだわっても疲れるのは変わらないですよね
ちょっと楽になるぐらいで
これはしょうがないよね職業病というかね
これさえ治すというか緩和することができれば
もっと効率よく仕事できるんじゃないかと
常々思ってたんでなかなか手出せなかったんですけど
すげー振動するから逆に悪くなったらどうしようとか不安もあるじゃないですか
確かに確かに
もみ返しエグかったらどうすんねんとかね
やりすぎはちょっとあるよね
そうそう
なのでちょっと躊躇してたんですけど
やっぱ物は試しやなと思って買ってみたんですよ
値段ももちろん様々なんですけど
そんな高くないやつを買ったんですよね
1万ちょいぐらいのやつなんですけど
そうしたらかなり良かったですよ
めっちゃ効果的面?
めっちゃ効果的面ですね
だいたい僕は首とたまに腰と
あと僕やるのは肩甲骨ですね
肩甲骨やれば左の肩甲骨は右手を上から回すパターンと
上から回すとL字になってるんで当たるんですよね
もしくは左の肩甲骨右手じゃなくて
左手であれば左手を後ろから回す
っていう当たりやすい方
自分がしんどいなと思うときに当たると
やっぱ気持ちいいのはわかるじゃないですか
それに当たりやすいところで
それぞれ上から行ったり下から行ったり
っていう風にしてるんですけど
だいぶ緩和されますよ
だから結構朝寝起き
寝起き一発凝ってる時もありません?
姿勢とかにもよるのかもしれません
ありますよね
起きて大体僕いつもお風呂入りますけど
お風呂入る前に
お風呂沸かしてる間にちょっとやったりとか
確かにこれなんかちょっと僕知らなかったけど
今調べてみた感じさ
手に持って手軽にできるようなタイプな感じだから
使いやすくはありそうだよね
痛いところに直接できるしさ
そうそうそうそう
いろいろ形状を変えていろいろなところにできるから
使いやすそうっていうか
5ヶ月使ってるのかな
もう半年
半年は行ってないと思うんですけど
僕はできるだけ
今出張とかないんですけど
ちっちゃいやつを買ったんですよね
持ち運びできる系の
そうそう持ち運びできる
すごいでかいのはかなりでかいんですよ
見てみると
でも持ち運びというか
アタッチメントもちゃんと入れられる
キャリーバッグみたいなのがついてる
キャリーケースって呼ばれるのかわからないですけど
1:12:01
それがついてるやつを買って
5月に僕白浜でお話ししたじゃないですか
はいはい
旅行ってやっぱり移動してから寝ますよね
すごい長時間かかるんで
そうそうだから持ってって
毎日自分の部屋に公演とかセッションが終わって
帰ってきて
部屋でそれをやってから寝るみたいなことをしてましたね
だいぶ楽ですよ
寝起き凝ってるなっていうのはあるけど
やっぱり寝る前にちょっとやってから寝ると
寝やすいですし
血行が良くなるのか
すごい役に立ってますめちゃめちゃ
カタチとかは似てるけどピンキーなんだね
いろんなのがあるね
そうなんですよ
全然知らなかったわ
こんなに種類あるんだすごいな
僕もなんか興味持って調べ
これもねまた買って言われるかもしれないですけど
レスラーの方も使ってるんですよ
筋トレの後にね
スポーツ選手とかも使えそうだもんなこれ
そうそう
結構この選手いい選手やなって思ってる人が
使ってるのを見て
これ買った方がいいかなみたいなね
なるほど
買ってみたというところなんですけど
すごい良かったですね
僕は会いましたすごく
確かに僕もそういう意味では
同じような痛みに毎日戦ってるので
そうですよね
コロナ禍がなかなか終わらなくて
マッサージ行くのもちょっとね
気使っちゃうじゃないですか
僕一切行かなくなったんですよ
コロナ禍になってから
俺もそう
だから運動を始めてみたり
柔軟の首こりとかの
直すストレッチのYouTubeで
見てみたりとかもしてたんですけど
これは来て結構劇的に変わりました
僕の中で
そう聞くとなんか気になるな
ちょうどいいですよ
こり始めたなって仕事してる時に
家でね思って
じゃあちょっと休憩も兼ねて
マッサージ自分でやろうと思って
これ使ってやると
結構息抜きにもなるし
なるほど
これをやりながら
気になる動画とか録画しておいたやつとか
見ながらやるみたいなね
ソファーで
まあリラックスで
手軽にできるっていうのは
いいかもね
そうそうそう
凝って辛いなって思ったタイミングが
休憩みたいな
だってそれ逆になかったら
僕ら延々とやってると思うんですよ
そうね
確かに
そのメリハリをつけるにも
結構なんかこれがあると
これで楽になれるから
いいかなとかって思えるんで
それも含めてベストバイ
かもなっていう感じです
ついさんのベストバイがね
この後更新されるのかどうか
ちょっと見物ですね
そうですね
もしかしたら更新されるかもしれないですけど
今のところこれでこれかなって感じですね
はい
もしよかったら皆さん調べて
検討いただければいいんじゃないかなと思います
はーい
はいということで
今週はここまでです
また来週のお楽しみです
バイバイ
バイバイ