1. セキュリティのアレ
  2. 第186回 雲と数字を掴みつつの..
2023-07-17 1:09:13

第186回 雲と数字を掴みつつのお金の流れに学ぶ!スペシャル!

Tweet【関連記事】 ・Mitigation for China-Based Threat Actor Ac[...]

The post 第186回 雲と数字を掴みつつのお金の流れに学ぶ!スペシャル! first appeared on podcast - #セキュリティのアレ.

00:00
スピーカー 1
怖い話の季節じゃないですか。
スピーカー 2
来たね、来た来た。データセンターの話?
スピーカー 1
データセンターの話とか言うだよ、先に。
スピーカー 3
データセンターね。
スピーカー 1
それ、違うんですよ。
何回聞いたかっていう感じだよね。
擦りすぎて、原型留めてへんのちゃうかぐらいになってきててね。
スピーカー 2
それね、たぶんね、アレ勢に聞いたらみんな知ってるよ。
スピーカー 3
そうですよね。
いいですね、それはもう持ち芸的な感じになってね。
スピーカー 2
確かに確かに。何回やってもウケるもんな。
スピーカー 1
絶対ウケるやつですもんね。
あのー、今日はアレなんですよ。
怖い話を頂きまして。
スピーカー 3
頂いた。
スピーカー 2
お便りで頂きました。
スピーカー 1
マジで?それは聞きたい。
今日は雑談パートを使ってですね、
スピーカー 2
頂いた怖い話を紹介しようかなと思うので。
スピーカー 1
僕が読ませて頂いていいですかね。
スピーカー 3
はい、どうぞお願いします。
スピーカー 1
リモートワーク開始したてだったんですけどね。
その日も翌日のリモートワークに備えて、
ノートPCを持ち帰ったわけですよ。
ただ家に帰ってもなんだか落ち着かない。
なんかソワソワする。
なんか起こってないか。なんだかやだなーっていう感じで。
気になって仕方がないのでノートPCを開いたんですね。
とりあえず重要な社内システムの管理コンソールにアクセスしてみて、
異常がないかということを確認してみる。
何も起きてない。至って平和な状態。
気にしすぎだったんかなーなんて思ってPCを閉じようとした時、
ふと気づいたんですね。
あれ?VPN接続してない。
社内から限定されていると聞いたはずなんですけれども。
冷や汗が浮かぶ中で、数ヶ月前の同僚との会話がスーッと浮かんできたんですね。
社内限定システムだから脆弱性のパッチとか後回しになってんだよなー。
その夜どう過ごしたかはもう覚えていません。
という。
スピーカー 2
怖。
怖い話をいただきましたね。
スピーカー 3
普通に怖い話だった。
スピーカー 2
普通に怖い話だった。
スピーカー 3
普通に怖いですよ。
スピーカー 1
普通に怖い話だった。
スピーカー 3
普通にヒヤッとする。
スピーカー 2
なんかオチがあるかと思ったら普通に怖かったよ。
スピーカー 1
普通に怖い話で。
スピーカー 2
やば。やばいやつだ。
スピーカー 1
でもなんかこういうのってないとは言い切れないじゃないですか。
スピーカー 2
いやーめちゃくちゃありそうじゃないそれ。
スピーカー 1
なんかVPN接続して繋いでたけど、VPN接続してなくても繋がってたみたいな。
スピーカー 2
だってさ、わざわざ試したりしないじゃん。
スピーカー 1
VPNで繋いでねってなってたら、なしで繋がないですもんね。
スピーカー 2
そうそうそう。
スピーカー 1
そうですね。
スピーカー 2
いやー怖。
スピーカー 1
怖いですよ。
スピーカー 2
あるあるかもしれない。
スピーカー 1
そうなんですよ。
なんか油断してポートを開けちゃってるみたいな話前回とかにしたじゃないですか。
スピーカー 2
やったね。
スピーカー 1
それもちょっと発展版というかね、これも見落としてるかもしれへんっていうので確認が必要なね。
03:02
スピーカー 1
VPNでテストして繋がったからOKだって、VPNなしで繋いでOKかどうかっていうそっち系のテストしてへん可能性あるもんなと思ってね。
スピーカー 2
いやーそれさ、俺自分だったらもう冷や汗だらだらだよね。
スピーカー 1
いやーそうですよね。
スピーカー 2
やばって感じで一瞬でサーッとくるよねそれね。
スピーカー 1
そうですよね。
いろんなことが浮かびますよね。ログいっぱい確認しなあかんのかなとかね。
スピーカー 2
もうすでにやられてるんちゃうかみたいなね。そこからだもんね。
スピーカー 1
しかも管理コンソールで数で繋がってるって影響範囲だいぶでかいもんね。
スピーカー 2
それは確かに怖いね。
スピーカー 1
怖い話だわと思ってね。
スピーカー 2
それなんかまさにあれだね何回か前についさんが、ついさんだっけBODの2302のさ、話をした。まさにそういうことだよね。
外部からの管理コンソールへの直接アクセスを連邦政府が禁止しましたっていうさ。
いやーまさにそういうことが起きるからだよね多分。
キュッとなったちょっと今胃がキュッとなったよ。
スピーカー 1
こういうのをパッと聞いて自分ごとに思えるかどうかっていうところも大事なんでしょうね。
スピーカー 2
そうね。確かにさその怖い話だけど笑い話でもあるっていうかさ。
そんなことやっちゃったの?みたいな一言だと思ったら笑えちゃうじゃん。
スピーカー 1
そうそうそうそう。
スピーカー 2
だけどそれ全然笑えないよね。自分にもありそうだと思ったらさ本当怖いよねそれは。
スピーカー 1
何もない状態で繋いでみたことないやんけとか思ってまいますもんね。
スピーカー 2
それがお便りで来たんだ。
スピーカー 1
そうなんですよ。これは創作っぽいんですけども。
スピーカー 2
へー。
スピーカー 1
はいはいはい。多分前回のお話を聞いてからのみたいな感じで。
スピーカー 2
なるほど。いやいいね。いいもの持ってんな。
スピーカー 1
いやーいいですね。なんかもうサーバールームの話すんのもうやめようかなっていう思うぐらい。
ほんまに怖いやつ来たと思って。
スピーカー 2
ほんとだよね。ちょっとステッカーあげて。
スピーカー 3
いやーそうですよ。本当にそうですね。これはもうもちろんもちろん。
スピーカー 1
そんな怖い話もありながら今週も他にもお便りが来ておりまして。
スピーカー 3
はい。何でしょう。
スピーカー 1
前回かな?その185回のやつですね。最新に公開されてたやつですね。この1個前の回で私がやらかしてしまいまして。
スピーカー 2
何やらかした?
スピーカー 1
多分30分ぐらいだったと思うんですけどタイトルが空になってたっていう。
スピーカー 2
あー。公開したときね。
俺も公開直後に見たらあれ?って思って。
スピーカー 1
そうなんですよ。185回スペシャル。
スピーカー 2
スペシャルって書いてあった。
いや今回はそういう回だろうかと思ってさ。
スピーカー 3
違うんですよ。
スピーカー 2
特にスペシャルが強いと思ったんだけど。
スピーカー 1
すげースペシャルじゃないですか。185回スペシャル。
スピーカー 2
すげーと今回思って。
スピーカー 1
これはこれでええかもって思ったんですよ。
スピーカー 2
いや思った思った俺も。ありだなと思った。
スピーカー 1
いやそれあれねミスで。
06:00
スピーカー 2
あーそうなの?
スピーカー 1
お便りもその短い間に確認してくれた。更新されて見られたんだと思うんです。更新がチェックされてね。
見られたんだと思うんですけどもしかしてスペシャルだけは自動的に付くようになっているのでしょうかっていう。
スピーカー 2
あーじゃあ気づいた人いるんだ。えーすごいな。
スピーカー 1
そうそうあれは過去の1個前の回とかから全部コピーしていらんとこ削ってっていうのをしてるんですよね。
スピーカー 2
削るだけ削って足すの忘れたわけね。
スピーカー 1
そうそうあと小ノートのところとかやっててタイトルはだいたい最後に付けるんですよ。
スピーカー 2
あーやりそうやりそう。
スピーカー 1
でそのスペシャルを埋め忘れて更新したの。
スピーカー 2
前にさなんか小ノートだったかなんだとか忘れたけどなんか前回のままになったやつあったよね1回。
スピーカー 1
ありましたっけ?
スピーカー 2
あったあった俺が言ったらすぐやべえ直そうって直したじゃん。
スピーカー 1
貼り付け忘れかな。
スピーカー 2
そうそう前のやつがそのまま貼ってあったね確か。
あ違う違うあれだあの小ノートじゃなくて。
スピーカー 1
チャプター?
スピーカー 2
チャプターチャプター。
スピーカー 1
あーはいはいはいはい。
スピーカー 2
あれが前のやつがコピーされてたんだな。
スピーカー 1
そうそうそうそうそう。
ありましたねそうなんですよ。
スピーカー 2
えー。
スピーカー 1
なんでも185回スペシャルでも良かったんですけど。
スピーカー 2
そうね。
でもその後付けたタイトルがさひどかったよねひどかったっていう。
ひどいってなんや。ひどいってなんや。
スピーカー 3
タイトル付け忘れることもあるんだでスペシャル。
スピーカー 1
そうそうそう。
それはあの前のミスを見つけてない人にはなんのこっちゃ分からんってやつ。
スピーカー 2
本当だよね。
それは何ミスったからあのタイトルにしたの?
そう。
スピーカー 1
シャッとあのあーっと思って。
スピーカー 2
いやー不快。
っていうことは元々別のタイトルがあったわけだ。
スピーカー 1
元々の別のタイトルあったんすけど何かは思い出せないです。
スピーカー 2
ははははは。
スピーカー 1
迷ったんすよタイトル付け忘れることもあるんだでスペシャルか
何のタイトルにしようか忘れることもあるんだでスペシャルか
スピーカー 2
どっちにしようかなと思ったんですけど。
それまた使えるやんそれ。
スピーカー 1
そうそうそう。
だからまあ忘れた。
今度の時のために一個置いとこうみたいな感じのやつなんで。
自動的に付くわけではなくて単なる私のミスでございますということですね。
スピーカー 2
面白いね。
はい。
毎回楽しみなんよタイトルが。
スピーカー 1
本当ですか。
タイトルねもう毎回ねセミナーとかでもね僕に付けさせてもらってますからねタイトルね。
スピーカー 2
そうそうそうそう。
いやいやセンスありまくりで。
ありがとうございます。
はい。
スピーカー 1
でですねポッドキャストの特性という風なものを捉えたお便りが両極端なお便りが一つずつ来ておりまして二つですね合計で。
スピーカー 2
はい。
スピーカー 1
セキュリティのあれを仕事をしながら聞いていますが気が付くと終わっていて全く頭に入っていない時が結構あります。
ポッドキャストも聞く時間が必要かっていうお便りとですね。
スピーカー 2
あーなるほど。
スピーカー 1
はい。というのがあればもう一つは最近画面を見すぎて目の疲れがひどいので耳から情報が流れ込んでくるのは本当にありがたいというお便りが来ておりまして。
まあ両極端というかまあそれぞれっていう感じかないうあれなんですけども確かにそうですね仕事をしながら聞くっていうのはあんまり合わないかもしれないですねもしかしたらね。
スピーカー 2
わかるわかる。最初のやつは俺も時々やるんだけどポッドキャストをその仕事をしている時に後ろで流す的なね聞き流す的な。
09:07
スピーカー 2
最初のうちは聞いているんだけどさ仕事に集中した人はもう途端に耳に入らなくなってさ。
スピーカー 1
あー確かに確かにそうですね。どっちに聞いている気持ちが置かれているかみたいなね。
スピーカー 2
そうそう気付いたらさ2つぐらいの番組終わってるみたいなことがあってあれ?とか思って。
はいはいはいはい。
結局なんも耳に入ってないみたいなさ。
スピーカー 1
確かにそれはあるかもなー。
スピーカー 2
確かにどっちもどっちだよね。流して聞けるって良さもあるけどなんかね頭に全く残らんみたいな。
スピーカー 1
そうなんですよね。確かにそれは難しいポイントだなと思うんですけど。
スピーカー 2
なんか僕ら的には聞く時間作ってほしいなっていう気持ちもあるけどね。気軽に聞いてほしくもあるじゃん。
スピーカー 1
そうそうなんですよね。難しいけど僕はポッドキャスト自分のセキュリティのあれ聞く時っていうのは最低でも2回だいたいあるんですけど。
1回はこのチェックする時ですよね。
辻メモ作ったりする時なんですけど、その時は単純作業をしながら聞いてる。
例えば僕だったら必ずなんですけど週末は日曜日にこれチェックしてるじゃないですか僕ね。
日曜日っていうのは週の始まり節もあるけど週の終わり感覚なわけですよ。
なのでちょっと溜まってたりとか他の作業でできなかったランサムチェックでリークサイトの中身確認しつつ、
これどこの組織なんやろう、この国なんや、みたいなペッペッペッって貼り付けるだけの作業をしながら聞いてるから結構辻メモも取れるんですよね。
スピーカー 2
俺も辻さんに渡す前に編集終わった後最終チェックで1回全部通して聞いてるんだけど、その時は俺も作業しながら聞いてるんだよね。
でもそれでも違和感あると気づくんだよね。
俺の場合にはもう1回全部通して編集して聞いてるから、中身は頭に入ってるからさ。
あとは音声的なチェックっていうか、あれって引っかかるようなことがないかとか、繋ぎ方がおかしいとかね。
時々削ってる部分があるからそういうのだけ聞こうと思って流して聞いてて、手元はデータの作業とかやってるんだけど意外とそれでもちゃんと気づけるんだよね。
スピーカー 1
結構似たような感じですよね。
スピーカー 2
似てる、すごく。
スピーカー 1
だいたいそれの時ですね。流れで伝遞できるし、聞いてる内容に辻メモ書くとかしてるから多分意識はそっちにいってるんですよね。
スピーカー 2
でもそれはあれだよね。僕も辻さんも一度喋ったりとか編集で中身わかってるからっていうのもあるよね。
スピーカー 1
確かに確かに。それはあるかもな。あとはお風呂で聞いてます。
スピーカー 2
そうなんだ。中身わかってるって何回も聞いてるんだね。
スピーカー 1
でもね、2回目以降に気づくことってあるんですよ。
12:03
スピーカー 2
わかるよ。面白いもんなこのポッドキャスト。
スピーカー 1
面白い。味わい深い。
スピーカー 3
自分たちで言うって。
スピーカー 1
今収録してる時ってね、ほとんど初めて聞くじゃないですか。例えば看護さんが喋ってる話、ねぎさんが聞いてる話は初めて聞くでしょ、僕は。
スピーカー 2
それはお互いそうだよね。
お互いそうだよね。
スピーカー 1
今日の話こんな感じですみたいなことしか言わないじゃないですか、収録前って。初めて聞くから初めて聞いた時の返しをしてるんですよね。
それってすごい文章を読んで考えたりとかして言った言葉じゃないけど、意外とそれが良かったりする時あるんですよ。
これもうちょっと深掘りしてみた方がいいなとか、その時に感じた疑問もうちょっと裏取りした方がいいなとか思う時が結構あって、僕。
それもつい最近もそれあったんですよ。
前回のやつのやつを聞いてて、名古屋港の話あったじゃないですか。
あれの一番学びがあるんじゃないかポイントみたいなものって、やっぱりバックアップどうやって戻したんやろうっていうあのスピード感みたいなのって、めっちゃ大事なことちゃうかなって聞いてて思って。
スピーカー 2
前回もそういう話でも収録でちょっとしてたよね。
スピーカー 1
そうそう言ったんですけど、でもこれほんま大事やでって思ったんですよね。
そういうのがあるんでね。
スピーカー 2
なるほど。聞き直して見つかることもあるわけだ。
あるある。そうなんですよ。
スピーカー 1
あんまり負担にならないようには聞いていただきたいなと思いますけどね。
スピーカー 2
そうですね。
別に聞き流して何も残んなかったなと思ったら、またちょっと間置いて聞けばいいんだよ。
スピーカー 1
そうかも。それもいいかも。
スピーカー 2
何回でも聞き流してくれればいいんじゃないですかね。
スピーカー 3
確かにそうですね。
スピーカー 1
急いで聞かなあかんっていうようなものでもないと思いますしね。
スピーカー 2
そうだね。
スピーカー 1
最後ですね、質問が来ております。
スピーカー 2
何でしょう。
スピーカー 1
多分話した中で出てきたキーワードに引っかかったと思うんですけども、POCとExploitは何が違うのでしょうか。
スピーカー 2
何だっけ、動画で取り上げたな昔みたいな話だっけ。
そうそうそうそう。
スピーカー 1
日本語に聞こえないとかっていうところからの話で、そういう用語説明したよねっていうところで。
スピーカー 2
専門用語の解説を昔やりましたなみたいな。
スピーカー 1
自分はこう捉えてるとかみたいな話をねぎすさんと僕とかでしたと思うんですけど。
スピーカー 2
何が違うんですか。
スピーカー 1
これ僕定義ですけどね。
どうぞ。
POCは実際にシェルを取ったりとかっていう悪用みたいなところまでできてなくてもPOC。
Exploitって書いてると攻撃コードなので、実際にシェルが取れるとか、何かしら実害を与えられるようなものまで作り込まれてたら僕はExploitっていう捉え方してますね。
スピーカー 2
なんか俺ちょっと前動画を見直したらいいんだけどさ。
なんて自分で言ったか全く覚えてないんだけど。
15:00
スピーカー 2
なんか確かついさんはそういう程度の違いで区別したけど、俺はなんか範囲の違いで区別した気がするんだよな。
スピーカー 1
範囲?
スピーカー 2
俺はExploitコードっていう方がすごく広い全体を包含するような概念で。
Proof of Conceptっていうのはその概念を実証さえできればいいっていうか、ごく狭い範囲のコードを言うみたいなことを言ってたんじゃなかったっけな。
だからこう範囲が狭いか広いかみたいな。
POCもExploitといえばExploitなんだけど、できることがものすごく限られてるじゃない。
スピーカー 1
そうですね。
スピーカー 2
実際にそれを悪用できるかどうかっていう悪用したその先のことを考えてるわけじゃなくて、確かにこれは悪用できそうだってことさえ実証できればいいだけなんで。
だし場合によったらその先を見せたくないというかさ。
本当に悪用までできてしまうものは公開したくないけど、でも悪用可能なことは示したいっていうギリギリの線を示したいわけだよどっちかっていうとさ。
ということがあるからごくごく制限されてるわけじゃん。
そういう意味ではちょっと近いのかもしれない。
範囲が狭いよねみたいなことを言った記憶があるんだけど、ごめん違うことを言ったかもしれない。
スピーカー 1
こういうことができますせっていうのがPOCで、こういうことができますせまで行っちゃう、こういう実害のところまで行くっていう。
確かにこれも範囲っちゃ範囲やな。
スピーカー 2
あれはそういう違いかなみたいな。そんなに明確な差はない気がするんだけどね。
スピーカー 3
私もどっちかっていうとごっちゃになって好きなように使ってるみたいな。
スピーカー 2
特にそんなに使われ方を見てもあんまり明確にその辺を意識して使われてる感じはしないけどね。
スピーカー 1
そうですね、本当に悪用ってまでいかへんけどExploitって紹介されてるコードもありますもんね。
スピーカー 2
ただ一般的にはプルーフォームコンセプトを、例えば脆弱性を見つけたベンダーとかがそれを実際にこれを悪用可能ですよっていうのを示すたびに
POCを公開して、それをもとに攻撃者がExploitコードにそれを発展させて悪用しますっていうような、そういうシナリオで語られるケースが多いんだよね。
なので、実際にそうやって観測されるような悪用されるってところまでいったものは、POCがそのまま観測されましたとはあんまり言わない気がする。
スピーカー 1
セキュリティのこういう仕事、脆弱性を扱うような仕事をしても長らく経ちますけど、
僕が知らなかっただけなのかもしれませんけど、僕がその仕事を始めた頃とかって、攻撃コードとかにまつわるものをPOCって言ってましたっけっていう感じなんですよね。
スピーカー 2
途中から言い始めたかもしれない。
スピーカー 1
Exploitコードってずっと学生の頃から聞いてた言葉なんですけど、POCって仕事し始めてちょっとしてから何それって思ったのがちょっと記憶にあるんですよね。
18:07
スピーカー 2
概念実証っていう概念自体は別にセキュリティの分野に限らないから、どこから持ってこられた話なのかもしれない。
ちょっと俺も確かに明確にどこから使い始めたか全く覚えてないけど。
スピーカー 1
こういう後から、もともと知ってたものを言い換えたような後から出てきた言葉が出てくると結構混乱するんですよね。
スピーカー 2
確かにね。
スピーカー 1
語検知と可検知とかね。
スピーカー 2
その辺も微妙なニュアンスだよね。
スピーカー 1
そうそう、可検知って昔言ってなかったよなみたいなね。
スピーカー 2
だいたいその辺って日本語に直すとわけわからなくなることが多い。
スピーカー 1
確かにそうですね。
そんな感じで僕らは思ってますということですね。
はい、ということでお便りは以上なので、今日もセキュリティのお話をしていこうかなと思うんですけれども、
じゃあ今日はカンゴさんからいきましょう。
スピーカー 3
はい、じゃあ私からいかせていただきます。
今日はですね、なんかちょっとびっくりしたんですよね。
今週結構日本語のニュースでも、マイクロソフトが、マイクロソフトのサービスに対して、
中国に関係するようなそういったグループが不正アクセス、サイバー攻撃を行ってましたみたいな、
そういった報道、記事っていうのが結構出ていて、
今日はちょっとそれを取り上げようかなと思ってるんで。
思ったよりいろんなところを取り上げたなっていう印象でして、
ちょうど時期的なものだったのかもしれないんですけども、
ただそれにしても結構日本語で取り上げてる記事多いなっていうのが直感的な印象だったんですが。
スピーカー 2
なんかあるのかね、そういうね。どういう場合取り上げるのか、何か基準があるのかな。
スピーカー 3
意外って言い方はちょっとあれかもしれないですけども、
触れるものがあったのかなとかちょっとわかんないんですけど、
中身としてはマイクロソフトが提供している、いわゆるクラウドサービスですね、
Microsoft 365、その中でメールに関係するサービス、
outlook.comとかExchange OnlineのOWKで利用するものとか、
そういったものに対して不正アクセスが起きてましたという、
そういった話で、時期的には2013年の6月16日に実際に報告を受けて調査して、
大体1ヶ月ぐらい前からそういった不正アクセス行為が行われていましたというところだったんですけど、
なんかやっぱりクラウドサービスのこの手の不正アクセスの話聞くと、
利用している組織側に起因した不正アクセスっていうんですか、
認証情報の管理が甘いとか、
どっかで漏れたものをそのまま使ってしまったとか、
他の認証を使っていないとか、
そういったことに起因するインシデントって結構見かけることがあって、
21:02
スピーカー 3
今回はその流れなのかななんていうのは、
タイトルから勝手に最初は想像してたんですけど、
中身見ていくとどうもそういう感じではなくてですね、
思ったよりも技術的に難しいというか高度なというか、
単純な攻撃ではないという話かつ、
現状出ている情報だけだと外見からすると全貌がよくわからないというところもあってですね、
今後の続報が出てくるかわからないんですけども、
内容とかもしっかりトレースしていく必要がある、
そういった事案なのかなというのは見ていて思ったんですが、
具体的には不正アクセスの被害にあったのは非常に少数だという話でマイクロソフト公表していて、
25ぐらいの組織が影響を受けたというふうに報告をしていて、
その中にアメリカの国務省とか、
省務省とかのメールアカウントで長官とか、
そういった高官とかそういった方が影響を受けたというふうに見られているなんていうのも、
報道なんかでは出ているんですが、
実際マイクロソフトがさっきの6月16日に把握した経緯としても、
外部から報告を受けて把握したって話だったんですが、
これも報道によればアメリカの国務省がどうも情報提供して、
そこから発覚したケースだったというふうな話なんですけども、
ちょっとどういうふうに不正アクセスをしたかというのはですね、
なかなか難しい話なんですけども、
単純にシンプルに話をすれば、
認証に必要な情報としてトークンというのを、
自分とクラウドサービスを提供している側でやり取りして、
認証するわけなんですけども、
そのトークンを攻撃者が偽造できる状態にあったといったもので、
偽造されたトークンを使って、
最終的にターゲットとなるメールアカウント、
メールデータとかそういったものが捉えてしまった可能性があるというもので、
しかもそのトークンが単に偽造できたっていうだけではなくて、
偽造されたトークンプラス、
どうも検証っていうんですかね、
クラウドサービス側で発行されたトークンを検証する仕組みに不備があって、
本来は使えないところにそのトークンが使えてしまうとか、
あるいは過去に有効であったトークンを使ってアクセスをすると、
また新しいアクセス可能とするトークンが発行される状態にあったっていう、
いくつかの問題が組み合わされて、
不正アクセスが行われていたというところで、
これ誰がやってたかって話に対しては、
マイクロソフトはSTORM0558っていう名前を付けて、
脅威アクターの識別してるんですけど、
以前これって取り上げましたっけ、
マイクロソフト側のスレッドアクターの名前を。
24:02
スピーカー 3
看護さんが取り上げたんじゃないかな。
ですよね。
何かどっかで言ったなとかちょっと今記憶が蘇ってきたんですけど、
このSTORMって付けられるのが、
マイクロソフト側がまだ信仰の組織、あるいは未知の組織で、
十分に検証ができていないときに付ける、
そういったテンポラリーのような形で付けられる、
そういったアクターの名前なんですけど、
STORMっていうのはそういったところに使われるんですけど、
ちょっと不思議なのは、
報道でも出ている通り、
中国に拠点を置いて活動するっていう形で報告というか、
実際マイクロソフトのブログなんかでは、
そういった形で言っていてですね。
過去のスレッドアクターの名前は、
以前マイクロソフトがスレッドアクターの識別名で、
こういうルールでやりますよ、みたいな話をしたときは、
中国で確かTyphoonでしたっけ、
Typhoonって付けて識別しますとかって言ってて、
なのでまだTyphoonって付いてないっていうのは、
ちょっと不思議というか、
そうだね、確証がまだ足りないっていうことなのかな。
過去だとBolt Typhoonとかって名前付けてましたよね。
スピーカー 2
分かんないね。
スピーカー 1
今回のスレッドアクターって、
Moderate Confidenceって言ってるから、
もうちょっとエビデンスが必要とかっていう、
スピーカー 2
そういう段階なのかね。
かもしれないですね。
分かんないけどね。
そのへんの基準がはっきりしないよね。
ただマイクロソフト自体は、
このStorm 0558の活動は、
スピーカー 3
今回の不正アクセスだけで見かけたっていう感じの、
そういったものではないかなって思います。
そういう意味で、
実際に報告されている情報を見ると、
それ以前の活動でこんな風なものをやってましたよ、
みたいなのも記事中で取り上げられてはいるので、
以前からは、
そういった活動を行っているグループみたいな形で、
識別はしてはいるんですけど、
今ネギさんおっしゃった通り、
まだはっきりとというか、
断定まで行くような、
そういったステータスにはないのかなと。
そういう意味で、
スピーカー 2
今回のスレッドアクセスは、
スピーカー 3
断定まで行くような、
そういったステータスにはないのかなと。
スピーカー 2
かもしれないね。
スピーカー 3
というところではあるんですが、
さっきは全貌がまだ判明していないんじゃないか、
みたいな話をしたんですけど、
何が判明していないかというと、
根幹というか、
トークンを発行できるような状態、
起動できるような状態になったってあったんですけど、
発行させるために必要な署名カギを、
攻撃者が取得していたんではないかって話があって、
これなんで取得されたのかっていうところについては、
いろんな専門家、
研究者が疑問を呈しているところではあって、
実際マイクロソフトも、
これ調査中としか言っていなくてですね、
これが何で攻撃者側が取得できる状態になったかっていうのが、
まだ、
少なくとも公開情報ベースでは出てきていない、
というところで、
ちょっとね、
まだ、
インシデントとして、
全部解決できた状態にあるのかなっていうのは、
ちょっとね、
やっぱり心配なところではあるので、
今後出てくる情報で明らかになるといいなと思うのと、
あと、
これ、
27:00
スピーカー 3
いろいろ批判というか、
確かにそうだよなと思うんですけど、
例えばアメリカのCISAなんかも、
今回の不正アクセスを受けて、
セキュリティ勧告、
アラートを出してるんですけど、
これね、
実際国務省が今回気づいた、
トリガーにもなった、
イベントの内容というか、
記録される、
ライセンスの基準、
基準というのが、
いっちゃんいいやつって言うんですかね、
スピーカー 1
E5、
スピーカー 3
いっちゃんいいやつですよね、
あれを使ってないと多分記録されない、
やつなので、
でね、
絶対CISAのやつもそれ使えって書いて、
有効にしますって、
割とサラッと書かれていてですね、
スピーカー 2
それが前提なわけね、
スピーカー 3
オーディットロゴ有効にしますって書いてあって、
これ、
サラッと、
E5、G5のライセンス必要です、
とか書いてあったりしてですね、
これはね、
これはいいのかっていうのは、
スピーカー 2
ちょっとありはするんですけど、
逆にそういうさ、
ライセンス持ってるぐらいのところしか狙われない、
スピーカー 3
っていうんだったら、
スピーカー 2
それでいいけどね、
そうですね、確かにね、
実際今回のもすごく限られたターゲットだったっぽいから、
そういうことで、
スピーカー 3
今回の件はそれでいいかもしれないけどね、
スピーカー 2
でも必ずしもそれが毎回それでいいかって言ったら、
スピーカー 1
そうですよね、
広く攻撃手法が広まったりすることを考えたら、
そのライセンス縛りっていうのはちょっときつい時ありますよね。
ちょっとね、
スピーカー 2
それがなかったら何もできないんかいってなっちゃうもんね。
確かに。
スピーカー 3
はい、なのでちょっとそこはね、
やっぱり今、
まさに一件あったように、
一部の人はどうだの?みたいな、
そういった意見っていうのはやっぱあるのかな、
っていうのはある中で、
とはいいつつも、
やっぱりこういったイベントの監視というか、
モニタリングっていうのをしっかりやってると、
今回のような不正アクセス、
ちょっと気づくのは1ヶ月ぐらい経ってはしまっていたんですけども、
それに気づくことができたっていうのは、
普段からの活動っていうのも、
やっぱりしっかりやっていくっていうのは、
当然大事なんだなっていうのも、
改めて思ったところですね。
これでもあれだね、
さっき言ってた署名書きの入手の謎はあるとして、
スピーカー 2
それはそうとして、
でもマイクロソフトのクラウドのサービスの検証とか、
トークンの取扱いとか、
偽造が可能だったっていうところとか、
すでに修正済みですって言ってるけど、
ここら辺の問題自体は、
たぶん今回、
攻撃されて初めて気づいたんだろうね、きっと。
そうでしょうね、はい。
だとすると、
これはどうやって見つけたのか分かんないけど、
前にもこういう話があったんですけども、
マイクロソフトのクラウドのサービスの検証とか、
スピーカー 3
トークンの取扱いとか、
スピーカー 2
偽造が可能だったっていうところとか、
すでに修正済みですって言ってるけど、
ここら辺の問題自体は、
いろんなクラウドサービスをうまく利用して、
みたいな攻撃ってのは、
たびたびあったけど、
ちょっとこういうのを見つけることができる、
スキルというか、
リソースというか、
そういう技術を持ってて、
しかも、
修正される前に、
30:01
スピーカー 2
実際に攻撃に成功してるっていうのが、
ちょっと怖いよね。
実質ゼロデーだもんね、これね。
そうですね、はい。
広く一般に使われている製品とかじゃなくて、
良かったなって感じだけど。
でもとは言っても、
今回ね、ターゲットはごく一部だけど、
MSのこのクラウドサービス自体は、
もう世界中で使われてるからさ、
だからこういう手法が、
万が一、
広く使われたりとかする可能性があったら、
偉いことじゃない?
スピーカー 3
いや、本当にね、
本当にそれは怖いですよね。
スピーカー 2
だからこういうサービスを使うリスクって、
改めて突きつけられたなっていう気がするよね。
こういうのを常に隣り合わせだもんね。
はい。
まだMSは直してくれるからいいけどさ、
まだ信用できるじゃん、そういう意味で。
スピーカー 1
まあ、リソースもありますからね。
スピーカー 3
事後の対応ですよ、特に。
スピーカー 2
だから変なサービスを使うよりは良いかな、
とか思っちゃうけど、
でも同じようなサービス、
みんな似たようなリスクはあって、
何かしら僕らも使ってるわけだからさ、
そういう風に考えたらちょっと怖いよね、これね。
スピーカー 3
そうですね。
スピーカー 1
実質ゼロデーって今、ねぎすさんありましたけど、
これ自分たち、
使ってるユーザーとしては何もできないじゃないですか、
クラウドサービスだったら。
緩和策の実施とかそんなもんないわけじゃないですか。
スピーカー 3
ないですね。
スピーカー 2
MSがやらなきゃね。
スピーカー 1
そうそう。それに加えて、
これ顧客から報告されてMSは認識したんですよね。
そうですね、今回は。
そうそう。
これって例えばさっきマイクロソフトだから、
すぐ対処ができたかもしれないっていうのもありましたけど、
クラウドサービスって山のように今いっぱいあるじゃないですか。
いろんな何かに特化したとかって。
いろんな何かに特化したとかっていうのを考えたら、
その顧客が気づかへんかったら、
延々と悪用され続けるわけですよね。
いやもう本当にそうです。おっしゃる通りね。
スピーカー 3
はい。
スピーカー 1
そうそう。だから結構、
対処されずにっていうのが、
マイクロソフトでもこういうのがあるって言うんだったら、
他のところがね、
情報の旨味がないから狙われへんとかっていう風に思う人も
いるかもしんないですけど、
いや結構なんかいろいろ潜んでる問題なんじゃないかなっていう気は
しましたね、これ聞いてね。
スピーカー 2
はい。
スピーカー 1
しかしこれ、
続けましたね。
スピーカー 3
本当にやっぱり普段からね、
しっかりモニタリングしてたんだなっていうのは分かりますね。
スピーカー 2
さっき言うとライセスモスターじゃないですか。
そうかそうかそうか。
スピーカー 1
そういうこともないと見えないわけですもんね。
スピーカー 3
そうですよね。
そうですね。はい。
スピーカー 1
寝深そうな感じはしましたね、なんかね。
スピーカー 3
はい。
スピーカー 1
ありがとうございます。
はい。
スピーカー 2
じゃあ次は僕いきますけれどもですね。
スピーカー 1
はい。お願いします。
名前がなかなかどれやったっけで、
CVSSの話をちょっとしようかなと思うんですけど。
そんなお馴染みか?それで。
スピーカー 2
お馴染みです。
スピーカー 1
分からなくならないですか?名前。
ならないよ。
嘘?本当に?
何と分からなくなるんで。
じゃあね、CVC、CVV、CVE、CSV、CVSS。
ほら分かれへんくない?なんか。
スピーカー 2
そういうこと?
でもCVSSが一番馴染みがあるかなっていうか。
33:01
スピーカー 2
そうですか。
一番分からなくなりにくいかなっていう気がするけど。
もうそろそろCから始まる略語、
スピーカー 1
限解説っていうのが僕の中であるんですけどね。
確かに多すぎるよね。
スピーカー 3
そんな中、僕が今日紹介するのは
スピーカー 1
CVSS、コモンバルネラビリティスコアリングシステム。
皆さん大好きなCVSSなんでわけで。
大好きですか?
それだけだろ。
かもしれないですね。
逆に好きすぎてもう嫌いになってきて
いろんなぐらいあるんですけど。
スピーカー 2
そうね、確かに。
スピーカー 3
こじらせすぎですね。
スピーカー 1
それがですね、ファーストの第35回の
カンファレンスを経てですね、
最新バージョンである4.0が
パブリックプレビューという段階になりました
ということで。
そうだね、今コメント募集中だね。
スピーカー 2
そうそう。
スピーカー 1
このファースト自体はCVSSの使用策定とかを
やっているようなところなんですけども、
これ自体はパブリックプレビューは
大体2ヶ月ぐらいかな、今。
2023年、今年の第4四半期に正式リリースされる予定です
というふうに言われているものなんですけれども、
その内容をちょっと今のパブリックプレビュー段階の
ものを見てきたので、
その3点、今使われている1でしたっけ?
との差分というか、
どこが変わったのかみたいな話を
ちょっとしたいなと思いまして。
ほうほうほう。
スピーカー 2
これはあれだよね、このプレビューというか
コメントがあったら、それを反映して
正式版としてリリースされるだろうから、
今のうちからチェックしていたほうがいいというか、
いずれ今のやつから置き換わるんだと思うので。
そうですね。
早めに見ておいたほうがいいんじゃないかな
スピーカー 1
というのは。
スピーカー 2
ちょっと置き換わるまで多少の時間は
多分閉期されるというかね、
そういう期間があると思うけどね。
今でも2と3閉期されている場合もありますしね。
スピーカー 1
そうそうそう。
同じような感じになるんじゃないかなと思う。
スピーカー 2
とはいえ、多分悪くなることって
スピーカー 1
あまりないと思うんで、こういうやつって。
ずっと議論してきているやつなんで。
なんで今のうちにこうなりそう
みたいなものは知っておかないと。
出てからだったら、出てからさっと覚えられるような
量じゃないんで、見ておいたほうがいいかなと。
まあそうね。
スピーカー 2
はい。
スピーカー 1
さっき言ってきた要点と危機になったところ
みたいなのを紹介しようかなと思うんですけど、
バージョン3、バージョン3.1ではですね、
基準っていうのが3つあって、
基本、現状、環境っていうのの
評価基準がありましたと。
基本ってしか使われてないねって
スピーカー 2
いつも言ってたもんね。
スピーカー 1
そうそうそう。
そこだけ見たらあかんでみたいな話、
我々も本当に何回も言ってきたと思うんですけれども、
バージョン4ではこの3つから4つになりまして、
基本、脅威、環境、補足
っていう風なものになる。
予定だという風なことなんです。
で、これ一つずつちょっと
さらっと見ていこうかなと思うんですけど、
一番重点的に見たほうがいいかなと思うのは
基本のところだと思うんですよ。
よく扱われるところなんで。
うん。
で、この基本ってベースメトリックスとか
っていう風に言われたりしますけど、
ここがですね、2つにまず分かれるようになりますと。
ベースの中で
エクスプロイタビリティメトリックス
っていうのとインパクトメトリックス
っていう風なもので、
エクスプロイタビリティメトリックスっていうのが
よく扱われているような
脆弱性を悪用するような経路とか、
それを悪用に使うための複雑さみたいなものが
36:03
スピーカー 1
そこに含まれるという風な感じなんですね。
で、ここに新たなものが追加されるんですけど、
攻撃条件っていうものが追加されます。
アタックリクワイヤメンツっていうやつが
追加されるんですけれども、
これは無しっていうのと
プレゼントっていう値を取る、
Pの値を取るやつなんですけど、
これはターゲットに対して
複数回攻撃を行う必要があるとか、
マイン・ザ・ミドルしないとできないとか
っていうような条件がある場合に
Pっていうものが付くっていうものですね。
なので、付けば値は下がるかなっていう風なものが
追加されるというような感じになってます。
で、項目名は変わってないんですけど、
中身が変わったものがありまして、
ユーザーインタラクションっていう、
ユーザーが何かしらアクションを
起こさないといけないようなものなのか
っていうので、要・不要っていう風な値を
取ってたものがあったんですけど、
ここが細分化されて、
不要っていうのはそのままで無しなんですけど、
要のところがパッシブとアクティブっていうのの
二つに分かれるという感じに、
細分化された感じになってます。
パッシブってどんなんかっていうと、
例えばStored XSSとかCSRFみたいなものが
パッシブになって、
アクティブなものはユーザーがアクティブに
特定の方法で脆弱なアプリケーションを
ロードしたとか、
Webアプリに特定の文字列を送るみたいな、
Reflection Cross Site Scriptingみたいなものとかが
アクティブに入るっていう風な感じですね。
この基本の中には、
これまで脆弱性のあるこういう製品とか
コンポーネントへの攻撃の影響範囲を
評価するもので、スコープっていうものが
あったんですけども、
ここが無くなりましたと、
スコープが廃止されたというもので、
その代わりにっていう風なものっぽいものが
付いたやつが追加されたというか、
変更されたものがあって、
そのベースのところには機密性、
完全性、可用性、いわゆるCIAっていう風な
影響を図るようなものがあって、
これはさっき言ったインパクトメトリクスですね、
ベースメトリクスの2つに分かれたうちの1つに入って、
ここで結構変更の大きなポイントになるんですけど、
CISに影響があるかだけじゃなくて、
その脆弱性のあるシステムに対しての影響と、
その周りの後続システムみたいな形でしてましたけど、
他のシステムへの影響があるかないかっていうのを
測る値が追加されました。
なので、単体のものと、
その単体から得られた情報が他のものにも使えるとか、
この単体のものが得られると、
他、このシステムを参照しているものが影響を受けるとか、
っていう風なものの値を追加するっていう風な形になっているんですね。
例えば、機密性で言うと、
VCっていうものとSCっていうものが追加されて、
Vはバルネラブル、
Sはサブシーケンスという値が取るようになりました。
ここ結構ですね、計算するときに大きな影響がありまして、
39:00
スピーカー 1
さっき言っていたアタックベクターとか、
Exploitability Matrixの中に含まれる経路とか色々あるじゃないですか、
それを最高の値にしていって、
環境の影響を受けるCとかIとかAっていうものを全部ハイにしても、
他のシステムに影響を与えないっていう風にすると、
最大値で9.32までしかいかないようになっていました。
なので、後続のシステムとか周りのシステムに影響がなかったら、
単体でどんだけインパクトがでかくても、
これまでみたいに10.0にはならないってことなんですよね。
10.0になるとなると、さっき言ったみたいなCIAを全て、
他のシステムにも影響がある。
例えば、盗んだパスワードが他のところで使えるとかですね、
そういったものがないと、最大値の10.0には、
その脆弱性単体として見てもならないっていうところが、
結構大きな変更なんじゃないかなっていうところですね。
あと、ベース以外のところで言うと変更があったのは、
脅威っていうところなんですが、
これは前で言うと現状値って言われるようなところなんですけど、
他の昔は3つ扱う値があったんですけど、
もう1つの値にまとめられてしまってですね、
攻撃高度とかがあるかないかみたいなところの成熟度を測るっていうところで、
未定義なのかとか、概念辞書ができるのか報告がないっていうふうな、
すごく単純なものに変更されるというふうなものになっていました。
あとは環境のところはそんなに大きな変化がなくてですね、
新しく追加された補足っていうサプリメンタルメトリックスかな、
っていうふうなものがあるんですけども、
ここは脆弱性を利用するときに、ある程度自動化できるかみたいなものを測るようなもので、
キルチェーンで言うところの4つ目のステップ、
偵察、武器化、配信、悪用っていうところまでの流れを自動化できるかどうか、
みたいなものが評価されるってところなので、
これどっちかというとツール化されてるだとか、
容易に攻撃しやすくなっているとかっていうところを見るのにいいポイントかな、
なんていうふうに思いました。
大体僕が見た中で、ここは結構知っておいた方がいいなと思った大きな変更は以上なところですね。
見てみて思ったんですけど、そこまであんまり複雑にはなってないなど、
結構複雑になっていきそうな印象があったんですけど、
結構値が削られたりとか増えているものもありつつも、
ちょっと前よりかはわかりやすくはなったけれども、
ただこれまで通り、脅威の部分っていうのを自分たちでなかなか探すの大変なことにはあまり変わりないので、
今回の変更でっていうところで言うと、
さっきのMAXで単体だったら9.3しかいかないんだっていうことぐらい分かっておけば、
まあいいかなっていうふうな感じではありましたね。
そんな感じでございます。
スピーカー 2
多分これ、SIGを構成しているメンバーでいろいろ検討して、
叩き合いとしてまずこれファブリックで出したと思うんだけど、
42:03
スピーカー 2
おそらくこれまでの2.0とか3.0とか3.1までの中で、
いろいろ批判されている部分を意識して対応してきたんだと思うんで、
そういう意味では良くなっていると思うんだけど、
ただここでも議論したかもしれないし、
僕らも結構セミナーとかでも喋ってるけど、
結局これまでのCVSSの問題って、
基本値だけが一人歩きしてしまって、
本来はその状況とか各組織の環境とかに応じて、
動的に変更してディスク評価をしていかなければいけないという、
運用面の課題だと思うんだよね、主には。
そうやって動的にやっていかなきゃいけないっていう部分をどうするかっていうのが、
多くの組織でなかなかうまくできていなくて、
結局その基本値が高いか低いかだけで判断するみたいなことになっちゃってるっていうね。
スピーカー 1
観光さんだっけな、硬直化した脆弱性の対応が良くないみたいなことを言ってましたね。
スピーカー 2
そういうのに繋がりやすかったと思うんだよね。
今回のやつは多少その辺の見通しが良くはなっているんだが、
結局今言った部分を根本的に別に解決してくれるわけではないので、
スコアに対する納得感は多少は良くなるかもしれないけども、
結局のところさ、鉛筆なめなめこうだこうだやって計算して、
その計算式にどれくらいその意味があるかっていうか根拠があるかって言われたら、
なんとなくもっともらしいかなっていう説明しか結局はできないわけで。
スピーカー 1
そうですね。
スピーカー 2
それに対してじゃあ今本当に優先順位はどうなんだみたいなものに対する答えを出してくれるかというと、
そこはそんなに期待できないのかなっていう感じはあるけどね。
スピーカー 1
そうですね。
スピーカー 2
それよりはその前にここでも言ったかもしれないけど、
SSVCみたいな同じような判断はするけど、スコアを出すんじゃなくて、
最終的に今すぐパッチを当てなさいとかっていうアクションを導き出すっていう方が、
なんかシンプルで分かりやすいような気がする。
同じことをやるんだったらね。
スピーカー 1
はいはい、あの決定義のやつですよね。今おっしゃってたやつ。
スピーカー 2
結局スコアが高くてじゃあこれどうすればいいのっていうことは言ってくれないので、
なんかそうするとあんまり変わらないような気も。
なんか批判したいわけではないんだけどさ、
僕らはこれにどう向き合っていくんだろうなっていうのがちょっと今から。
スピーカー 1
そうですね。色んな変更点があってなんかいらないものがなくなったなとかと思う部分もありつつ、
もうやっぱり結局スコアリングのシステム、脆弱性のスコアリングシステムなんで、
45:02
スピーカー 1
今何すべきかっていうことをこの数字に依存しない方がいいっていうのは今まで通り変わらないなっていうのは思いますし。
スピーカー 2
そうそうそう。見通しが良くなる点は歓迎するとして、あんまり期待しすぎても良くないのかなっていう感じは。
スピーカー 1
それもこの、これ別にファーストのこのCVSSを策定している人たちに聞いたわけでもないし、
誰がしてるのかもよく知りませんけど、
現状値ってあったじゃないですか、現状評価基準っていうのがテンポラルのメトリクスがありましたけど、
あれがスレッドメトリクスっていう脅威っていう名前に変わってシンプルになったってことは、
ここにあんまり力入れてもって思ってるからなんじゃないかなってちょっと思いましたけどね。
スピーカー 2
あー逆に?
スピーカー 1
うん。だってスレッドメトリクスって現状っていう名前書いてますもんね、スレッドに。
スピーカー 2
まあそうね。でもまあここのスレッドメトリクスが多分一番大事なんじゃないのかな。
スピーカー 1
まあ対象を考えたらそうですけど、脆弱性そのものの、そのもののヤバさみたいなものだけを測るっていう風なものにしていってるんかなって気はちょっと見てて思った。
まあこれは感想ですけどね。
スピーカー 2
なるほどね。
スピーカー 1
そうそうそうそう。っていう風に思いましたね。
スピーカー 2
なかなか難しいね、こういうのってね。
スピーカー 1
まあでもこうやって見て知っておく必要はあると思いましたね。やっぱり。
スピーカー 2
なんていうかね、こういうのって結局その基準っていくらでも出ち上げられるんで、言い方悪いけどさ、どれが正解ってわけでもないから、
これが業界標準としてこれから使えますであれば、まあちゃんと理解しておくべきだし、
あとまあそのスコアの根拠がどうとかっていうよりも、その元になっている考え方は大事かなというか、
なぜこういう計算手法にしたのかっていうね。
そうですね。
まあそこはいろいろその今の自分たちが直面しているリスクを考える上で、
この脆弱性はこうだからこうすべきみたいなのを考えるその根拠としてはね、まあ役に立つかなと思うので、
まああんまりスコアそのものに一機一流するというよりは、考え方を学ぶという方が建設的な気がするね。
スピーカー 1
そうですね。なんか僕もその脆弱性に関する問い合わせというか、これってどうなんですかねみたいに、
仕事の中で聞かれることあるんですけど、その時にこのCVSSは割と参照することがあるんですよ。
でもこの数字の部分、スコアの部分っていうのを伝えることはあんまりしなくて、
やっぱりこれはいろんなところがこうつけるじゃないですか、
これを許可されているベンダーとか自社の製品につけたりもしますよね、この値をね。
そういったものを見たときに、経路がどうだとかっていうところを見て説明するのに使いますね。
これはローカルって言ってるけど、とかってそういう風なのに、
これってどっから影響を受けるって言われてるんやっけとかっていうのの、
この一個一個の値をここ気にしてみたりとかして、それで説明に使うっていうのにはやるんですけど、
数字はあんまり考慮せずに。
そっちよりもこの数字を導き出した値の方に僕は結構注目して活用してます。
スピーカー 2
まさにそういうことですよね。
スピーカー 1
これどういうで確定するバージョンがどうなるかわかりませんけど、
そんなにむちゃくちゃ大きく変わるわけではないと思うので。
48:00
スピーカー 2
おそらく多少いろいろコメントがあって細かい修正はすると思うけど、
大筋はこんな感じなんじゃないかね。
スピーカー 1
そうですね。さらっと見てみてもいいんじゃないですかね。
これ今のうちに見とくといいんじゃないかなと。
使わないことはないと思うんで。
スピーカー 3
しばらく3.1がようやく落ち着いてきたというか、
大体3.1の数字になったかなみたいな感じで、
スピーカー 2
また4が並ぶとそれが混乱の元になるの嫌だなっていうのはあって、
スピーカー 3
そういうところも丁寧に議論してほしいなって思います。
スピーカー 2
3ではこうだから4ではこうみたいなね。
扱いが違うみたいな。
スピーカー 1
全然値変わってくるときあるもんな。
スピーカー 3
2と3.1は結構変わるじゃないですか。
変わる違うよね。
結構変わってそこは混乱の元というか、
下手したら対応取り合わせのところにかかってくるかもしれないんで場合によっては。
スピーカー 1
確かに。組織によったらそうですよね。
スピーカー 3
そこも含めた検討はしてほしいなというのは思います。
スピーカー 2
言えてる。
スピーカー 1
はい。そんな感じでございました。
スピーカー 2
はい。
スピーカー 1
じゃあ最後はねぎすさんですね。よろしくお願いします。
スピーカー 2
今日はチェーンアリシスというところのレポートの話というか、
これ前あれかな。辻さんが取り上げた記憶があるんだけど。
スピーカー 1
本当に?
スピーカー 2
今年の初めぐらいかな。
ランサムウェアの支払いを拒否するところが増えてるみたいな話を確か。
スピーカー 1
チェーンアリシスならではの切り口ですよねみたいな話かな。
スピーカー 2
そうそう。なんかその話をしたと思うんだけど。
チェーンアリシスってそういうブロックチェーンの分析を専門にやっている会社で。
年に1回のクリフトクライムレポートっていう。
彼らが追っかけているこれは犯罪者が持っているブロックチェーンのアドレスですよとか。
これはアメリカ政府から経済制裁の対象になってますよとか。
いろいろマークされているアドレスを彼らはいっぱい持ってるんで。
あとまあなんだろう。
アンダーグラウンドのマーケットのアドレスとかね。
なんかそういうの。
そういうのを全部分析して。
1年間でどのくらい犯罪に使われたお金が流れ込んだかっていうのを分析してますと。
それを年に1回レポートで出してるんだけど。
今週その中間報告というか。
2023年の上半期の状況っていうのをちょっと速報的な感じで出してくれてるんで。
その記事の内容を少し紹介したいんだけど。
ざっくりまず全体的に言うと。
まず犯罪関連の暗号資産のアドレスへの流入の総額がどうだったかというと。
これは実は年々下がっていて。
2021年がピークだったんだけど。
22年去年少し下がって。
今年また大幅に下がっていて。
なのでそういう意味では良い傾向なんだけど。
だいたい今年は去年から比べて4割から6割ぐらい減少してますと言ってるんで相当減ってると。
51:08
スピーカー 2
ただし実は暗号資産の取引額全体がちょっと減ってて。
若干今年は市場的に少しシュリンクしてるんだよね。
なので全体の正常な取引量も28%減って言ってるんで。
およそ3割全体が減ってる中で4割とか6割とかそれよりも大幅に犯罪関連の取引は減ってるということなんで。
そういう意味では減ってると言って良いでしょうと。
そういう傾向が見られますというのと。
その中でも今日2つほど取り上げたいんだけど。
1つは何が一番減少している要因となってるかというと一番大きく減ってるのは詐欺。
詐欺関連ですね。
いわゆる投資下げとかそういうやつで使われるやつで。
これが金額も係数もめちゃくちゃ多いんだけど。
これが2023年の上半期は去年から比較してめちゃくちゃ減ってるということで。
去年の同じ時期に比べると去年の同じ時期が4.3ビリオンダラーって言ってるから。
すごい金額だけど。
それが今年は同じ時期で1.0ビリオンダラーって言ってて。
およそ77%減少してますって言ってるから相当減ってるよね。
スピーカー 1
かなり減ってますね。
スピーカー 2
さっき言ったけど市場全体の若干縮んでるのもあるんだけど。
とは言っても今年は去年に比べると暗号試算の評価額っていうか価値自体は若干上がってるんで。
そういう時って結構詐欺って起きやすいんだけど。
その割には詐欺がかなり減ってますねって言っていて。
これはちょっと理由がはっきりわかんないけどそういう傾向が出てますと。
ただその件数がめちゃくちゃ減ってるというわけでもなくてむしろ増えてる部分もあったりとかするんで。
投資詐欺で騙されてる人の金額が若干減っていると。
特に今年に入って2つぐらい大きな出口詐欺があったらしいんだけど。
それが減ってから普通は1個減ると新しいのが増えてきてみたいな感じで。
どんどんどんどん新しいのが置き換わっていくみたいな感じになるんだけど。
今年はその大きめの出口詐欺が減ったら被害金額がガクーンと減っている状態が4月の末ぐらいからずっと続いてて。
というのが上半期の状況なんだが、これが下半期どうなるかはちょっとわかんない。
またぐわっと増えるかもしれないね。
詐欺に関してはそういう感じです。
もう一つちょっと大きな特徴が、実は全体的には今言ったみたいに4割から6割限定大幅に減少していっていいことなんだけど。
唯一一つの項目だけが去年よりも増えているところがありまして。
それがなんとランサムウェアなんですよね。
スピーカー 1
クイズ組んのかと思った。
スピーカー 2
それはねみんなわかるでしょうということで。
54:00
スピーカー 2
実は去年支払いを拒否する企業が増えたから減ったんだろうとか、
アメリカ政府とか結構キャンペーン大体的に頑張ってるから減ったんだろうみたいなことを結構言ってたんだけど、
その反動かもしれないけど今年は大幅に増えてるらしくて。
カテゴリーで言うとランサムウェアだけが大幅増加で、
これが去年の同時期に比べるとおよそ6割増ということで相当でかくなってるんだよね。
これ他のレポートとかでもこういうの似たようなの出てるんだけども、
ミノチロ金の支払いの金額の分布っていうのをチェーンアリスも分析して出してくれてるんだけど、
分布で見ると去年とかと比べると明らかに金額の低い方に山が偏ってんのね。
なので、奨学のミノチロ金支払いがかなり増加してるということが言えるんだけど、
じゃあだったら奨学も減りそうなもんなんだけど、一方で奨学が増えてるだけじゃなくて、
ミノチロ金の支払い金額が偉く高いやつも同時に増えてるんだよね。
なので二極化してますっていうことを言っていて。
スピーカー 1
単純に薄利多倍になったってわけじゃないってことや。
スピーカー 2
そうなんだよね。なので一部のバラマキ系のやつとかは金額を低くしてでも取ろうという感じで、
奨学のミノチロ金支払いが増えていると、ブロックチェーンの分析だけだから、
実際がどうかというのはちょっとわかんないけど、ただそうやって見えてるんだけど、
同時にすごく金額の大きい部分も増加していて、今までとだいぶ分布がいびつになっていて、
傾向が変わっているというのが、チェーンアリスのブログの記事にあるグラフからは明らかに読み取れていて、
そこが全体のミノチロ金支払い金額が6割増えましたというのが主な要因になっているんではないかなと。
これが果たしてどうなるかわかんないけど、さっき言った去年の現象でも、もしかしたら反動で、
攻撃側も実際に支払いを拒否する企業が増えてくると、商売上がったりじゃない。
そうなると、さっきの薄利多倍にシフトするという動きが一つと、
もう一つは、この記事の中ではビッグゲームハンティングが戻ってきたと言っているけれども、
いわゆる大企業で払ってくれるところから仕方も取ってやろうという、むしろ逆方向の動きも出てきて、
払っていく予想のところに対する最初のミノチロ金の要求金額が上がっているらしいのね。
よく鶴井さんも紹介してくれるけれども、交渉をして、だんだんディスカウントされていくみたいなのがあるじゃないですか。
それもあるんだろうけれども、そもそも最初の定時額が上がっていて、
全体的な平均額としては高くなっている、そういう標的型のランサムウェアが結構あると。
57:04
スピーカー 2
いくつか例も出ていて、例えばブラックバスタとか、あとブラックキャット、
全体的な中央値的にはそんなに大きくないんだけれども、明らかに平均を押し上げているような異常値というか、
めちゃくちゃたくさん払っている顧客がごく少数の方がいるというかね。
そういう感じで全体の金額を押し上げちゃっているという、そんな風に見えますねということで。
ちょっとこれは傾向としてはどうなんだろうなというか、あまりよろしくないのかなというか、
去年ちょっと喜んだのも束の間というか。
そうですね。
実際に去年までの傾向が必ずしもなくなったわけじゃないと思うのよ。
その去年の分析で、これちょっと辻さんが前のレポートの紹介のときにしゃべったかどうかちょっと覚えてないんだけど、
多分その大きな企業、大手企業を中心に結構対策が進んで、
この間の名古屋港の例じゃないけど、きちんとバックアップを取得しておいてさ、
仮に何さんもやら感染は防げなくても、ちゃんとバックアップから復旧してすぐに事業を継続できましたみたいな、
そういう事例も多分おそらく増えていると思うのよね。
なので、そういう意味での良い流れっていうのはおそらくあるんだろうけど、
あと保護指向機関の取り締まりも頑張っているから、以前に比べれば多分増えていると思うんだけど、
一方でそれに対抗するというか、攻撃者側も自利品になるのを防ぐために、
取れるところから取るとか、あるいは安くてもいいからたくさん感染させるとか、
いくつかそういう風に手法を変えてきているのではないかなということで、対応してきているというかね、そういうのに。
結果、今年のそういった被害金額の分布が異別になっていて、
トータルの被害金額が去年より大幅に増えているという傾向になっているのかなという。
そんなところが読み取れて、全体的にはトータルの犯罪に関わる暗号試算の取引が減少しているというのは良いことなので、
それは業界全体でうまく頑張っていることだと思うんだけど、
ランサムウェアに関してはちょっとやや要注意というか、
この動きは結局全体の被害金額が決して下がっていないというのはちょっとこれは有意識自体なので、
あとこのブロックチェーンの分析以外にも他にもいくつかそういう分析をしているところってあるので、
ちょっと他のレポートなんかも見て動きを注目したいなというふうに思いました。
スピーカー 1
ランサムウェアの金額で増えてるっていうふうに60%でしたっけ?総額としてですよね?
聞き漏らしたら申し訳ないですけど、支払いの件数とかっていうのは数字出てるんでしたっけ?
スピーカー 2
件数ははっきりわかんなくて、トータルの金額だけだったよね。
スピーカー 1
押し上げた理由としてそもそもの支払い総数が増えてるかどうかというのが知っ気になったなって思ったんですよね。
1:00:06
スピーカー 2
そうだね。ただ件数自体はそんなに増えてないと思うんだけど、トータルの金額がかなり増えてるっていうのはちょっと気になるよね。
スピーカー 1
なんか繰り返しますよね。安くなったり高くなったりみたいな。
儲けが減ったら1個の単価上げるかみたいな感じで動いてるのかな?
スピーカー 2
その辺がうまく対応してきてるのか、あと攻撃者のグループによる偏りは多少あると思うんだけど、うまくいってるグループとそうでないグループみたいなね。
もしかしたらそういう二極化もあるかもしれないんだけどさ、適応してきてるところとそうでないところみたいなね。
そういうトータカ進んで、うまくこういう今の状況にマッチするところが生き残って、むしろ稼いでるみたいな。
スピーカー 1
そういうランサムギャングごとにも二極化があるかもみたいなことですね。
スピーカー 2
その辺りを少し分析して、もしそういうことが起きてるんだったら、そういうグループの攻撃に注意するとかさ。
我々を防ぐ側も攻撃側にある程度は追従していく必要があるので。
あとそれともう一つはさっきも言ったけど、バックアップ取得だろうなんだろう分かんないけど、初期侵入の対策だろう。
どんな場合でも必要な地道な対策がやっぱり重要なので、それがもうちょっと進めばね、やっぱり全体としてはだんだんだんだん下がっていくっていうことは間違いないはずなんで。
今の揺り戻しを一時的な減少にしたいというか。
スピーカー 1
確かにね。続いて欲しくはないですもんね。
スピーカー 2
全体としては下がっているんだけど、たまたまこの年だけちょっと揺り戻しがあったねみたいな、本当はそういう感じにしたいよね。
なんで上半期だけの傾向に進めばいいなというか、下半期もどうなっていくかというのは注目していく必要があるかなという気が。
特にランサムギャングに関してはこれはおっというふうに思ったね。
スピーカー 1
うまくやれている、僕らからすると良くないんですけど、うまくやれている、儲かっているランサムグループの手口とかっていうのを知ればもっと役立つかもしれないですよね。
こういうのに気をつけないとなっていうことを具体的にわかるといいかなと思いましたね。
スピーカー 2
こういうのを見ると、ブロックチェーンだけじゃなくて、今回のはブロックチェーンの分析だけど、攻撃手法だったり攻撃者グループの特徴だったり、多面的な分析っていうかさ、やっぱりそういうのが必要だなっていうのを感じたね。
これだけだとやっぱり分からない部分も結構あるんで。
スピーカー 1
丸まっている部分もいっぱいありそうですしね。
スピーカー 2
何が要因だろうって突き詰めて考えていくとちょっとわかんないとかいうところが。
そこは個別のグループの動向とかを追っかけていく必要もあるし、他のレポートとかも調べていく必要があるかなと思ったけど、でもすごく参考になりました。
スピーカー 1
そうですね。これ一つ情報だけでもかなり変化が気づけるかなと思うので。
あと他も知りたいなと思うきっかけにもなりますしね。
スピーカー 2
そうだね。
スピーカー 1
非常に興味深かったです。ありがとうございます。
1:03:01
スピーカー 1
以上です。
ということで今日もセキュリティのお話を3つしてきたわけなんですけども、
今日のおすすめなんですが、今日はですね、あるものの食べ方、おすすめの食べ方。
スピーカー 2
食べ物ではなくて。
スピーカー 1
前もそんなのあったな。
前はポテトチップス塩味のやつでしょ?
スピーカー 3
はいはいはい。
スピーカー 2
変な食べ方。
スピーカー 1
美味しいって。マヨネーズに胡椒を振ってつけて食べるやつなんですけど。
スピーカー 2
でもさ、美味しい食べ方って人それぞれじゃないの?
スピーカー 1
そうなんですけど、俺の考えた最強の食べ方みたいな。
スピーカー 3
最強のやつ。
スピーカー 1
これ結構ですね、僕意外と昔からずっとやってるんですよ。
本当に子供、成人する前からやっているものの食べ方なんです。子供の頃から食べてるものなんですけども。
プッチンプリン。グリコのプッチンプリンありますよね。
誰もが食べたことあるんじゃないかと思えるようなぐらいメジャーですけれどもね、プリン界では。
あれだいたい皆さん、名前の通りプッチンして食うでしょ?
スピーカー 2
そうなのね、だいたいはね。
スピーカー 1
ですよね。だってプッチンプリン言うてるからね。
スピーカー 2
最近食べたいけどな、プッチンプリン。
スピーカー 1
ほんまですか?僕今冷蔵庫にありますよ、家の。
スピーカー 3
家にあるんだ。
ほんとか。
スピーカー 2
逆に俺成人してから食べてないかもしれないな。
ほんまですか?そんなに?
スピーカー 1
たまには食べてください。これが今日のおすすめの食べ方をきっかけに食べてくださいよ、じゃあ。
まずね、プッチンプリン開けるとプッチンしません。
スピーカー 3
プッチンしないんですよ、もう。
スピーカー 1
プッチンしないの?
スピーカー 3
否定してるじゃないですか。
スピーカー 1
この時点でかなりパンキッシュな食べ方なわけなんですけれども。
スピーカー 2
何するの、じゃあ。
スピーカー 1
グチャグチャに混ぜるんですよ。
スピーカー 2
なるほど、なるほど。下のカラメルとか全部混ぜ混ぜする。
スピーカー 1
だってね、僕昔から思ってたんですよ。
プッチンするとカラメルが一番上でしょ。
台形やん、横から見たら。
カスタード的なところの層数に対してカラメルが足らんのですよ。
上から食べていくと。
ささいなことではそんなの。
いやいや、チリツモですよ、それは。
これをもっと美味しくいただける方法はないものかって辻少年は考えて、
スピーカー 3
もうプッチンせずにグチャグチャに混ぜて。
スピーカー 2
グチャグチャにしたら食感とか見た目がだいぶ変わりませんか?
見た目は良いんですか?
スピーカー 3
見た目めちゃめちゃ悪いです。
スピーカー 2
それを補って余りある美味しさが。
スピーカー 1
ずるずるって飲めるくらいの勢いになりますし。
飲むんですね。
スピーカー 3
ズビズビっていけるくらいなので。
スピーカー 1
グチャグチャして食べたことはないかもしれないな。
でもカラメルと一緒に削って食べていっても口の中で噛むでしょ。
混ざるでしょ、結局。
1:06:00
スピーカー 1
それ言ったらみんな同じだよ。
スピーカー 2
その時が一番美味しいでしょ。
スピーカー 1
それを先に作るんですよ。
なるほど。
スピーカー 2
そうするのが一番美味しい食べ方なんで。
どんな場合でも組み合わせが味わえると。
そうそう。
スピーカー 1
昔からこれ好きなんで。
例えば会社とかで時間ないからコンビニで済ますかみたいな時とかあるじゃないですか。
同僚とかと食べる時に僕はそれを毎回紹介してるんですよ。
昔からずっと。
スピーカー 2
そういう時にまずプッチンプリン買わないからな。
まずプッチンプリン買わないからな。
スピーカー 1
マジっすか。
紹介する度にみんなえ?みたいな反応されるんですよ。
見た目も悪いし、プッチンの意味ないやんみたいなこと言われるんですけど。
でも大抵の方は美味しいって言うんですよ、やってみたら。
嫌やけどやりたいなって思えるぐらい美味しいっていう反応が大体返ってくるんですよ。
なるほど。
だからやっぱり食わず嫌いっていうのは良くないぞっていうことで。
スピーカー 3
なるほど。
スピーカー 1
これと似たようなやつでは僕の好きな美味しいおでんの食べ方っていうのもあって。
ゆで卵をまず割って黄身を抜き出して黄身だけを溶かすんですよ。
それをだしにして食べるっていう。
美味しいです。
見た目はめちゃめちゃ悪いし、行儀も悪いってめっちゃ言われましたけど。
スピーカー 2
なるほど。
スピーカー 1
美味しかったんで試していただきたいなっていうことですよ。
はい。
スピーカー 2
なんか若干プリンって固形物ってイメージだから。
スピーカー 1
確かにそうですね。
スピーカー 2
なんか混ぜるっていう考えがあんまりなかったけど。
スピーカー 3
そうですね。
スピーカー 2
ありかなしかって言えばありよりのありか。
スピーカー 1
ありやろ。
スピーカー 3
ありよりのありはありですね。
スピーカー 1
ありよりのありはありやろ。
ちょっと一回やってくださいよ、マジで。
スピーカー 2
プリンをそもそもプッチンプリンだけじゃなくてプリンってあんまり食べなくない?
そうでもないのか?
スピーカー 1
いやいや全然だって前はほらこのポッドキャストでも紹介しましたけどなめらかプリンとか。
スピーカー 2
紹介はされたけど俺食べたことないんだよほとんど。
カンコさんは食べる?プリン。
スピーカー 3
私もだけどないかなそんなに。
スピーカー 2
俺も自分から買わないもんな。
スピーカー 3
めったに食べないですね。なんか貰い物とか。
スピーカー 2
そういう感じだよね。
スピーカー 1
そうですか。
確かに貰い物のイメージあんのかな。
スピーカー 2
そうそうなんかちょっといいやつをちょっと貰って食べるみたいなそんなイメージが。
スピーカー 1
あれーそれはあれか。瓶に入っとるやつか。
スピーカー 2
そうそうそうビールのやつ。そういうイメージだよ。
大人のプリンって感じのイメージだな。
スピーカー 1
絶対に食べ終わった後普通に水とか飲むのに使うのに転用されるでおなじみの瓶に入ってる高級なプリンか。
スピーカー 2
いやそっかプッチンプリンを混ぜるっていう考え方はちょっとなかったな。
それはそういう意味では驚きでよかったな。
スピーカー 3
そうですね驚きでしたね。
スピーカー 1
なんかちょっと僕が惹かれて終わるみたいな感じになってるけど。
機会があってプッチンプリンを買われる方がいたらちょっと試していただきたいなと思いますということでございますね。
1:09:07
スピーカー 1
はいそんな感じでございます。ということでまた来週のお楽しみです。バイバイ。
スピーカー 3
バイバーイ。
01:09:13

コメント

スクロール