00:00
怖い話の季節じゃないですか。
来たね、来た来た。データセンターの話?
データセンターの話とか言うだよ、先に。
データセンターね。
それ、違うんですよ。
何回聞いたかっていう感じだよね。
擦りすぎて、原型留めてへんのちゃうかぐらいになってきててね。
それね、たぶんね、アレ勢に聞いたらみんな知ってるよ。
そうですよね。
いいですね、それはもう持ち芸的な感じになってね。
確かに確かに。何回やってもウケるもんな。
絶対ウケるやつですもんね。
あのー、今日はアレなんですよ。
怖い話を頂きまして。
頂いた。
お便りで頂きました。
マジで?それは聞きたい。
今日は雑談パートを使ってですね、
頂いた怖い話を紹介しようかなと思うので。
僕が読ませて頂いていいですかね。
はい、どうぞお願いします。
リモートワーク開始したてだったんですけどね。
その日も翌日のリモートワークに備えて、
ノートPCを持ち帰ったわけですよ。
ただ家に帰ってもなんだか落ち着かない。
なんかソワソワする。
なんか起こってないか。なんだかやだなーっていう感じで。
気になって仕方がないのでノートPCを開いたんですね。
とりあえず重要な社内システムの管理コンソールにアクセスしてみて、
異常がないかということを確認してみる。
何も起きてない。至って平和な状態。
気にしすぎだったんかなーなんて思ってPCを閉じようとした時、
ふと気づいたんですね。
あれ?VPN接続してない。
社内から限定されていると聞いたはずなんですけれども。
冷や汗が浮かぶ中で、数ヶ月前の同僚との会話がスーッと浮かんできたんですね。
社内限定システムだから脆弱性のパッチとか後回しになってんだよなー。
その夜どう過ごしたかはもう覚えていません。
という。
怖。
怖い話をいただきましたね。
普通に怖い話だった。
普通に怖い話だった。
普通に怖いですよ。
普通に怖い話だった。
普通にヒヤッとする。
なんかオチがあるかと思ったら普通に怖かったよ。
普通に怖い話で。
やば。やばいやつだ。
でもなんかこういうのってないとは言い切れないじゃないですか。
いやーめちゃくちゃありそうじゃないそれ。
なんかVPN接続して繋いでたけど、VPN接続してなくても繋がってたみたいな。
だってさ、わざわざ試したりしないじゃん。
VPNで繋いでねってなってたら、なしで繋がないですもんね。
そうそうそう。
そうですね。
いやー怖。
怖いですよ。
あるあるかもしれない。
そうなんですよ。
なんか油断してポートを開けちゃってるみたいな話前回とかにしたじゃないですか。
やったね。
それもちょっと発展版というかね、これも見落としてるかもしれへんっていうので確認が必要なね。
03:02
VPNでテストして繋がったからOKだって、VPNなしで繋いでOKかどうかっていうそっち系のテストしてへん可能性あるもんなと思ってね。
いやーそれさ、俺自分だったらもう冷や汗だらだらだよね。
いやーそうですよね。
やばって感じで一瞬でサーッとくるよねそれね。
そうですよね。
いろんなことが浮かびますよね。ログいっぱい確認しなあかんのかなとかね。
もうすでにやられてるんちゃうかみたいなね。そこからだもんね。
しかも管理コンソールで数で繋がってるって影響範囲だいぶでかいもんね。
それは確かに怖いね。
怖い話だわと思ってね。
それなんかまさにあれだね何回か前についさんが、ついさんだっけBODの2302のさ、話をした。まさにそういうことだよね。
外部からの管理コンソールへの直接アクセスを連邦政府が禁止しましたっていうさ。
いやーまさにそういうことが起きるからだよね多分。
キュッとなったちょっと今胃がキュッとなったよ。
こういうのをパッと聞いて自分ごとに思えるかどうかっていうところも大事なんでしょうね。
そうね。確かにさその怖い話だけど笑い話でもあるっていうかさ。
そんなことやっちゃったの?みたいな一言だと思ったら笑えちゃうじゃん。
そうそうそうそう。
だけどそれ全然笑えないよね。自分にもありそうだと思ったらさ本当怖いよねそれは。
何もない状態で繋いでみたことないやんけとか思ってまいますもんね。
それがお便りで来たんだ。
そうなんですよ。これは創作っぽいんですけども。
へー。
はいはいはい。多分前回のお話を聞いてからのみたいな感じで。
なるほど。いやいいね。いいもの持ってんな。
いやーいいですね。なんかもうサーバールームの話すんのもうやめようかなっていう思うぐらい。
ほんまに怖いやつ来たと思って。
ほんとだよね。ちょっとステッカーあげて。
いやーそうですよ。本当にそうですね。これはもうもちろんもちろん。
そんな怖い話もありながら今週も他にもお便りが来ておりまして。
はい。何でしょう。
前回かな?その185回のやつですね。最新に公開されてたやつですね。この1個前の回で私がやらかしてしまいまして。
何やらかした?
多分30分ぐらいだったと思うんですけどタイトルが空になってたっていう。
あー。公開したときね。
俺も公開直後に見たらあれ?って思って。
そうなんですよ。185回スペシャル。
スペシャルって書いてあった。
いや今回はそういう回だろうかと思ってさ。
違うんですよ。
特にスペシャルが強いと思ったんだけど。
すげースペシャルじゃないですか。185回スペシャル。
すげーと今回思って。
これはこれでええかもって思ったんですよ。
いや思った思った俺も。ありだなと思った。
いやそれあれねミスで。
06:00
あーそうなの?
お便りもその短い間に確認してくれた。更新されて見られたんだと思うんです。更新がチェックされてね。
見られたんだと思うんですけどもしかしてスペシャルだけは自動的に付くようになっているのでしょうかっていう。
あーじゃあ気づいた人いるんだ。えーすごいな。
そうそうあれは過去の1個前の回とかから全部コピーしていらんとこ削ってっていうのをしてるんですよね。
削るだけ削って足すの忘れたわけね。
そうそうあと小ノートのところとかやっててタイトルはだいたい最後に付けるんですよ。
あーやりそうやりそう。
でそのスペシャルを埋め忘れて更新したの。
前にさなんか小ノートだったかなんだとか忘れたけどなんか前回のままになったやつあったよね1回。
ありましたっけ?
あったあった俺が言ったらすぐやべえ直そうって直したじゃん。
貼り付け忘れかな。
そうそう前のやつがそのまま貼ってあったね確か。
あ違う違うあれだあの小ノートじゃなくて。
チャプター?
チャプターチャプター。
あーはいはいはいはい。
あれが前のやつがコピーされてたんだな。
そうそうそうそうそう。
ありましたねそうなんですよ。
えー。
なんでも185回スペシャルでも良かったんですけど。
そうね。
でもその後付けたタイトルがさひどかったよねひどかったっていう。
ひどいってなんや。ひどいってなんや。
タイトル付け忘れることもあるんだでスペシャル。
そうそうそう。
それはあの前のミスを見つけてない人にはなんのこっちゃ分からんってやつ。
本当だよね。
それは何ミスったからあのタイトルにしたの?
そう。
シャッとあのあーっと思って。
いやー不快。
っていうことは元々別のタイトルがあったわけだ。
元々の別のタイトルあったんすけど何かは思い出せないです。
ははははは。
迷ったんすよタイトル付け忘れることもあるんだでスペシャルか
何のタイトルにしようか忘れることもあるんだでスペシャルか
どっちにしようかなと思ったんですけど。
それまた使えるやんそれ。
そうそうそう。
だからまあ忘れた。
今度の時のために一個置いとこうみたいな感じのやつなんで。
自動的に付くわけではなくて単なる私のミスでございますということですね。
面白いね。
はい。
毎回楽しみなんよタイトルが。
本当ですか。
タイトルねもう毎回ねセミナーとかでもね僕に付けさせてもらってますからねタイトルね。
そうそうそうそう。
いやいやセンスありまくりで。
ありがとうございます。
はい。
でですねポッドキャストの特性という風なものを捉えたお便りが両極端なお便りが一つずつ来ておりまして二つですね合計で。
はい。
セキュリティのあれを仕事をしながら聞いていますが気が付くと終わっていて全く頭に入っていない時が結構あります。
ポッドキャストも聞く時間が必要かっていうお便りとですね。
あーなるほど。
はい。というのがあればもう一つは最近画面を見すぎて目の疲れがひどいので耳から情報が流れ込んでくるのは本当にありがたいというお便りが来ておりまして。
まあ両極端というかまあそれぞれっていう感じかないうあれなんですけども確かにそうですね仕事をしながら聞くっていうのはあんまり合わないかもしれないですねもしかしたらね。
わかるわかる。最初のやつは俺も時々やるんだけどポッドキャストをその仕事をしている時に後ろで流す的なね聞き流す的な。
09:07
最初のうちは聞いているんだけどさ仕事に集中した人はもう途端に耳に入らなくなってさ。
あー確かに確かにそうですね。どっちに聞いている気持ちが置かれているかみたいなね。
そうそう気付いたらさ2つぐらいの番組終わってるみたいなことがあってあれ?とか思って。
はいはいはいはい。
結局なんも耳に入ってないみたいなさ。
確かにそれはあるかもなー。
確かにどっちもどっちだよね。流して聞けるって良さもあるけどなんかね頭に全く残らんみたいな。
そうなんですよね。確かにそれは難しいポイントだなと思うんですけど。
なんか僕ら的には聞く時間作ってほしいなっていう気持ちもあるけどね。気軽に聞いてほしくもあるじゃん。
そうそうなんですよね。難しいけど僕はポッドキャスト自分のセキュリティのあれ聞く時っていうのは最低でも2回だいたいあるんですけど。
1回はこのチェックする時ですよね。
辻メモ作ったりする時なんですけど、その時は単純作業をしながら聞いてる。
例えば僕だったら必ずなんですけど週末は日曜日にこれチェックしてるじゃないですか僕ね。
日曜日っていうのは週の始まり節もあるけど週の終わり感覚なわけですよ。
なのでちょっと溜まってたりとか他の作業でできなかったランサムチェックでリークサイトの中身確認しつつ、
これどこの組織なんやろう、この国なんや、みたいなペッペッペッって貼り付けるだけの作業をしながら聞いてるから結構辻メモも取れるんですよね。
俺も辻さんに渡す前に編集終わった後最終チェックで1回全部通して聞いてるんだけど、その時は俺も作業しながら聞いてるんだよね。
でもそれでも違和感あると気づくんだよね。
俺の場合にはもう1回全部通して編集して聞いてるから、中身は頭に入ってるからさ。
あとは音声的なチェックっていうか、あれって引っかかるようなことがないかとか、繋ぎ方がおかしいとかね。
時々削ってる部分があるからそういうのだけ聞こうと思って流して聞いてて、手元はデータの作業とかやってるんだけど意外とそれでもちゃんと気づけるんだよね。
結構似たような感じですよね。
似てる、すごく。
だいたいそれの時ですね。流れで伝遞できるし、聞いてる内容に辻メモ書くとかしてるから多分意識はそっちにいってるんですよね。
でもそれはあれだよね。僕も辻さんも一度喋ったりとか編集で中身わかってるからっていうのもあるよね。
確かに確かに。それはあるかもな。あとはお風呂で聞いてます。
そうなんだ。中身わかってるって何回も聞いてるんだね。
でもね、2回目以降に気づくことってあるんですよ。
12:03
わかるよ。面白いもんなこのポッドキャスト。
面白い。味わい深い。
自分たちで言うって。
今収録してる時ってね、ほとんど初めて聞くじゃないですか。例えば看護さんが喋ってる話、ねぎさんが聞いてる話は初めて聞くでしょ、僕は。
それはお互いそうだよね。
お互いそうだよね。
今日の話こんな感じですみたいなことしか言わないじゃないですか、収録前って。初めて聞くから初めて聞いた時の返しをしてるんですよね。
それってすごい文章を読んで考えたりとかして言った言葉じゃないけど、意外とそれが良かったりする時あるんですよ。
これもうちょっと深掘りしてみた方がいいなとか、その時に感じた疑問もうちょっと裏取りした方がいいなとか思う時が結構あって、僕。
それもつい最近もそれあったんですよ。
前回のやつのやつを聞いてて、名古屋港の話あったじゃないですか。
あれの一番学びがあるんじゃないかポイントみたいなものって、やっぱりバックアップどうやって戻したんやろうっていうあのスピード感みたいなのって、めっちゃ大事なことちゃうかなって聞いてて思って。
前回もそういう話でも収録でちょっとしてたよね。
そうそう言ったんですけど、でもこれほんま大事やでって思ったんですよね。
そういうのがあるんでね。
なるほど。聞き直して見つかることもあるわけだ。
あるある。そうなんですよ。
あんまり負担にならないようには聞いていただきたいなと思いますけどね。
そうですね。
別に聞き流して何も残んなかったなと思ったら、またちょっと間置いて聞けばいいんだよ。
そうかも。それもいいかも。
何回でも聞き流してくれればいいんじゃないですかね。
確かにそうですね。
急いで聞かなあかんっていうようなものでもないと思いますしね。
そうだね。
最後ですね、質問が来ております。
何でしょう。
多分話した中で出てきたキーワードに引っかかったと思うんですけども、POCとExploitは何が違うのでしょうか。
何だっけ、動画で取り上げたな昔みたいな話だっけ。
そうそうそうそう。
日本語に聞こえないとかっていうところからの話で、そういう用語説明したよねっていうところで。
専門用語の解説を昔やりましたなみたいな。
自分はこう捉えてるとかみたいな話をねぎすさんと僕とかでしたと思うんですけど。
何が違うんですか。
これ僕定義ですけどね。
どうぞ。
POCは実際にシェルを取ったりとかっていう悪用みたいなところまでできてなくてもPOC。
Exploitって書いてると攻撃コードなので、実際にシェルが取れるとか、何かしら実害を与えられるようなものまで作り込まれてたら僕はExploitっていう捉え方してますね。
なんか俺ちょっと前動画を見直したらいいんだけどさ。
なんて自分で言ったか全く覚えてないんだけど。
15:00
なんか確かついさんはそういう程度の違いで区別したけど、俺はなんか範囲の違いで区別した気がするんだよな。
範囲?
俺はExploitコードっていう方がすごく広い全体を包含するような概念で。
Proof of Conceptっていうのはその概念を実証さえできればいいっていうか、ごく狭い範囲のコードを言うみたいなことを言ってたんじゃなかったっけな。
だからこう範囲が狭いか広いかみたいな。
POCもExploitといえばExploitなんだけど、できることがものすごく限られてるじゃない。
そうですね。
実際にそれを悪用できるかどうかっていう悪用したその先のことを考えてるわけじゃなくて、確かにこれは悪用できそうだってことさえ実証できればいいだけなんで。
だし場合によったらその先を見せたくないというかさ。
本当に悪用までできてしまうものは公開したくないけど、でも悪用可能なことは示したいっていうギリギリの線を示したいわけだよどっちかっていうとさ。
ということがあるからごくごく制限されてるわけじゃん。
そういう意味ではちょっと近いのかもしれない。
範囲が狭いよねみたいなことを言った記憶があるんだけど、ごめん違うことを言ったかもしれない。
こういうことができますせっていうのがPOCで、こういうことができますせまで行っちゃう、こういう実害のところまで行くっていう。
確かにこれも範囲っちゃ範囲やな。
あれはそういう違いかなみたいな。そんなに明確な差はない気がするんだけどね。
私もどっちかっていうとごっちゃになって好きなように使ってるみたいな。
特にそんなに使われ方を見てもあんまり明確にその辺を意識して使われてる感じはしないけどね。
そうですね、本当に悪用ってまでいかへんけどExploitって紹介されてるコードもありますもんね。
ただ一般的にはプルーフォームコンセプトを、例えば脆弱性を見つけたベンダーとかがそれを実際にこれを悪用可能ですよっていうのを示すたびに
POCを公開して、それをもとに攻撃者がExploitコードにそれを発展させて悪用しますっていうような、そういうシナリオで語られるケースが多いんだよね。
なので、実際にそうやって観測されるような悪用されるってところまでいったものは、POCがそのまま観測されましたとはあんまり言わない気がする。
セキュリティのこういう仕事、脆弱性を扱うような仕事をしても長らく経ちますけど、
僕が知らなかっただけなのかもしれませんけど、僕がその仕事を始めた頃とかって、攻撃コードとかにまつわるものをPOCって言ってましたっけっていう感じなんですよね。
途中から言い始めたかもしれない。
Exploitコードってずっと学生の頃から聞いてた言葉なんですけど、POCって仕事し始めてちょっとしてから何それって思ったのがちょっと記憶にあるんですよね。
18:07
概念実証っていう概念自体は別にセキュリティの分野に限らないから、どこから持ってこられた話なのかもしれない。
ちょっと俺も確かに明確にどこから使い始めたか全く覚えてないけど。
こういう後から、もともと知ってたものを言い換えたような後から出てきた言葉が出てくると結構混乱するんですよね。
確かにね。
語検知と可検知とかね。
その辺も微妙なニュアンスだよね。
そうそう、可検知って昔言ってなかったよなみたいなね。
だいたいその辺って日本語に直すとわけわからなくなることが多い。
確かにそうですね。
そんな感じで僕らは思ってますということですね。
はい、ということでお便りは以上なので、今日もセキュリティのお話をしていこうかなと思うんですけれども、
じゃあ今日はカンゴさんからいきましょう。
はい、じゃあ私からいかせていただきます。
今日はですね、なんかちょっとびっくりしたんですよね。
今週結構日本語のニュースでも、マイクロソフトが、マイクロソフトのサービスに対して、
中国に関係するようなそういったグループが不正アクセス、サイバー攻撃を行ってましたみたいな、
そういった報道、記事っていうのが結構出ていて、
今日はちょっとそれを取り上げようかなと思ってるんで。
思ったよりいろんなところを取り上げたなっていう印象でして、
ちょうど時期的なものだったのかもしれないんですけども、
ただそれにしても結構日本語で取り上げてる記事多いなっていうのが直感的な印象だったんですが。
なんかあるのかね、そういうね。どういう場合取り上げるのか、何か基準があるのかな。
意外って言い方はちょっとあれかもしれないですけども、
触れるものがあったのかなとかちょっとわかんないんですけど、
中身としてはマイクロソフトが提供している、いわゆるクラウドサービスですね、
Microsoft 365、その中でメールに関係するサービス、
outlook.comとかExchange OnlineのOWKで利用するものとか、
そういったものに対して不正アクセスが起きてましたという、
そういった話で、時期的には2013年の6月16日に実際に報告を受けて調査して、
大体1ヶ月ぐらい前からそういった不正アクセス行為が行われていましたというところだったんですけど、
なんかやっぱりクラウドサービスのこの手の不正アクセスの話聞くと、
利用している組織側に起因した不正アクセスっていうんですか、
認証情報の管理が甘いとか、
どっかで漏れたものをそのまま使ってしまったとか、
他の認証を使っていないとか、
そういったことに起因するインシデントって結構見かけることがあって、
21:02
今回はその流れなのかななんていうのは、
タイトルから勝手に最初は想像してたんですけど、
中身見ていくとどうもそういう感じではなくてですね、
思ったよりも技術的に難しいというか高度なというか、
単純な攻撃ではないという話かつ、
現状出ている情報だけだと外見からすると全貌がよくわからないというところもあってですね、
今後の続報が出てくるかわからないんですけども、
内容とかもしっかりトレースしていく必要がある、
そういった事案なのかなというのは見ていて思ったんですが、
具体的には不正アクセスの被害にあったのは非常に少数だという話でマイクロソフト公表していて、
25ぐらいの組織が影響を受けたというふうに報告をしていて、
その中にアメリカの国務省とか、
省務省とかのメールアカウントで長官とか、
そういった高官とかそういった方が影響を受けたというふうに見られているなんていうのも、
報道なんかでは出ているんですが、
実際マイクロソフトがさっきの6月16日に把握した経緯としても、
外部から報告を受けて把握したって話だったんですが、
これも報道によればアメリカの国務省がどうも情報提供して、
そこから発覚したケースだったというふうな話なんですけども、
ちょっとどういうふうに不正アクセスをしたかというのはですね、
なかなか難しい話なんですけども、
単純にシンプルに話をすれば、
認証に必要な情報としてトークンというのを、
自分とクラウドサービスを提供している側でやり取りして、
認証するわけなんですけども、
そのトークンを攻撃者が偽造できる状態にあったといったもので、
偽造されたトークンを使って、
最終的にターゲットとなるメールアカウント、
メールデータとかそういったものが捉えてしまった可能性があるというもので、
しかもそのトークンが単に偽造できたっていうだけではなくて、
偽造されたトークンプラス、
どうも検証っていうんですかね、
クラウドサービス側で発行されたトークンを検証する仕組みに不備があって、
本来は使えないところにそのトークンが使えてしまうとか、
あるいは過去に有効であったトークンを使ってアクセスをすると、
また新しいアクセス可能とするトークンが発行される状態にあったっていう、
いくつかの問題が組み合わされて、
不正アクセスが行われていたというところで、
これ誰がやってたかって話に対しては、
マイクロソフトはSTORM0558っていう名前を付けて、
脅威アクターの識別してるんですけど、
以前これって取り上げましたっけ、
マイクロソフト側のスレッドアクターの名前を。
24:02
看護さんが取り上げたんじゃないかな。
ですよね。
何かどっかで言ったなとかちょっと今記憶が蘇ってきたんですけど、
このSTORMって付けられるのが、
マイクロソフト側がまだ信仰の組織、あるいは未知の組織で、
十分に検証ができていないときに付ける、
そういったテンポラリーのような形で付けられる、
そういったアクターの名前なんですけど、
STORMっていうのはそういったところに使われるんですけど、
ちょっと不思議なのは、
報道でも出ている通り、
中国に拠点を置いて活動するっていう形で報告というか、
実際マイクロソフトのブログなんかでは、
そういった形で言っていてですね。
過去のスレッドアクターの名前は、
以前マイクロソフトがスレッドアクターの識別名で、
こういうルールでやりますよ、みたいな話をしたときは、
中国で確かTyphoonでしたっけ、
Typhoonって付けて識別しますとかって言ってて、
なのでまだTyphoonって付いてないっていうのは、
ちょっと不思議というか、
そうだね、確証がまだ足りないっていうことなのかな。
過去だとBolt Typhoonとかって名前付けてましたよね。
分かんないね。
今回のスレッドアクターって、
Moderate Confidenceって言ってるから、
もうちょっとエビデンスが必要とかっていう、
そういう段階なのかね。
かもしれないですね。
分かんないけどね。
そのへんの基準がはっきりしないよね。
ただマイクロソフト自体は、
このStorm 0558の活動は、
今回の不正アクセスだけで見かけたっていう感じの、
そういったものではないかなって思います。
そういう意味で、
実際に報告されている情報を見ると、
それ以前の活動でこんな風なものをやってましたよ、
みたいなのも記事中で取り上げられてはいるので、
以前からは、
そういった活動を行っているグループみたいな形で、
識別はしてはいるんですけど、
今ネギさんおっしゃった通り、
まだはっきりとというか、
断定まで行くような、
そういったステータスにはないのかなと。
そういう意味で、
今回のスレッドアクセスは、
断定まで行くような、
そういったステータスにはないのかなと。
かもしれないね。
というところではあるんですが、
さっきは全貌がまだ判明していないんじゃないか、
みたいな話をしたんですけど、
何が判明していないかというと、
根幹というか、
トークンを発行できるような状態、
起動できるような状態になったってあったんですけど、
発行させるために必要な署名カギを、
攻撃者が取得していたんではないかって話があって、
これなんで取得されたのかっていうところについては、
いろんな専門家、
研究者が疑問を呈しているところではあって、
実際マイクロソフトも、
これ調査中としか言っていなくてですね、
これが何で攻撃者側が取得できる状態になったかっていうのが、
まだ、
少なくとも公開情報ベースでは出てきていない、
というところで、
ちょっとね、
まだ、
インシデントとして、
全部解決できた状態にあるのかなっていうのは、
ちょっとね、
やっぱり心配なところではあるので、
今後出てくる情報で明らかになるといいなと思うのと、
あと、
これ、
27:00
いろいろ批判というか、
確かにそうだよなと思うんですけど、
例えばアメリカのCISAなんかも、
今回の不正アクセスを受けて、
セキュリティ勧告、
アラートを出してるんですけど、
これね、
実際国務省が今回気づいた、
トリガーにもなった、
イベントの内容というか、
記録される、
ライセンスの基準、
基準というのが、
いっちゃんいいやつって言うんですかね、
E5、
いっちゃんいいやつですよね、
あれを使ってないと多分記録されない、
やつなので、
でね、
絶対CISAのやつもそれ使えって書いて、
有効にしますって、
割とサラッと書かれていてですね、
それが前提なわけね、
オーディットロゴ有効にしますって書いてあって、
これ、
サラッと、
E5、G5のライセンス必要です、
とか書いてあったりしてですね、
これはね、
これはいいのかっていうのは、
ちょっとありはするんですけど、
逆にそういうさ、
ライセンス持ってるぐらいのところしか狙われない、
っていうんだったら、
それでいいけどね、
そうですね、確かにね、
実際今回のもすごく限られたターゲットだったっぽいから、
そういうことで、
今回の件はそれでいいかもしれないけどね、
でも必ずしもそれが毎回それでいいかって言ったら、
そうですよね、
広く攻撃手法が広まったりすることを考えたら、
そのライセンス縛りっていうのはちょっときつい時ありますよね。
ちょっとね、
それがなかったら何もできないんかいってなっちゃうもんね。
確かに。
はい、なのでちょっとそこはね、
やっぱり今、
まさに一件あったように、
一部の人はどうだの?みたいな、
そういった意見っていうのはやっぱあるのかな、
っていうのはある中で、
とはいいつつも、
やっぱりこういったイベントの監視というか、
モニタリングっていうのをしっかりやってると、
今回のような不正アクセス、
ちょっと気づくのは1ヶ月ぐらい経ってはしまっていたんですけども、
それに気づくことができたっていうのは、
普段からの活動っていうのも、
やっぱりしっかりやっていくっていうのは、
当然大事なんだなっていうのも、
改めて思ったところですね。
これでもあれだね、
さっき言ってた署名書きの入手の謎はあるとして、
それはそうとして、
でもマイクロソフトのクラウドのサービスの検証とか、
トークンの取扱いとか、
偽造が可能だったっていうところとか、
すでに修正済みですって言ってるけど、
ここら辺の問題自体は、
たぶん今回、
攻撃されて初めて気づいたんだろうね、きっと。
そうでしょうね、はい。
だとすると、
これはどうやって見つけたのか分かんないけど、
前にもこういう話があったんですけども、
マイクロソフトのクラウドのサービスの検証とか、
トークンの取扱いとか、
偽造が可能だったっていうところとか、
すでに修正済みですって言ってるけど、
ここら辺の問題自体は、
いろんなクラウドサービスをうまく利用して、
みたいな攻撃ってのは、
たびたびあったけど、
ちょっとこういうのを見つけることができる、
スキルというか、
リソースというか、
そういう技術を持ってて、
しかも、
修正される前に、
30:01
実際に攻撃に成功してるっていうのが、
ちょっと怖いよね。
実質ゼロデーだもんね、これね。
そうですね、はい。
広く一般に使われている製品とかじゃなくて、
良かったなって感じだけど。
でもとは言っても、
今回ね、ターゲットはごく一部だけど、
MSのこのクラウドサービス自体は、
もう世界中で使われてるからさ、
だからこういう手法が、
万が一、
広く使われたりとかする可能性があったら、
偉いことじゃない?
いや、本当にね、
本当にそれは怖いですよね。
だからこういうサービスを使うリスクって、
改めて突きつけられたなっていう気がするよね。
こういうのを常に隣り合わせだもんね。
はい。
まだMSは直してくれるからいいけどさ、
まだ信用できるじゃん、そういう意味で。
まあ、リソースもありますからね。
事後の対応ですよ、特に。
だから変なサービスを使うよりは良いかな、
とか思っちゃうけど、
でも同じようなサービス、
みんな似たようなリスクはあって、
何かしら僕らも使ってるわけだからさ、
そういう風に考えたらちょっと怖いよね、これね。
そうですね。
実質ゼロデーって今、ねぎすさんありましたけど、
これ自分たち、
使ってるユーザーとしては何もできないじゃないですか、
クラウドサービスだったら。
緩和策の実施とかそんなもんないわけじゃないですか。
ないですね。
MSがやらなきゃね。
そうそう。それに加えて、
これ顧客から報告されてMSは認識したんですよね。
そうですね、今回は。
そうそう。
これって例えばさっきマイクロソフトだから、
すぐ対処ができたかもしれないっていうのもありましたけど、
クラウドサービスって山のように今いっぱいあるじゃないですか。
いろんな何かに特化したとかって。
いろんな何かに特化したとかっていうのを考えたら、
その顧客が気づかへんかったら、
延々と悪用され続けるわけですよね。
いやもう本当にそうです。おっしゃる通りね。
はい。
そうそう。だから結構、
対処されずにっていうのが、
マイクロソフトでもこういうのがあるって言うんだったら、
他のところがね、
情報の旨味がないから狙われへんとかっていう風に思う人も
いるかもしんないですけど、
いや結構なんかいろいろ潜んでる問題なんじゃないかなっていう気は
しましたね、これ聞いてね。
はい。
しかしこれ、
続けましたね。
本当にやっぱり普段からね、
しっかりモニタリングしてたんだなっていうのは分かりますね。
さっき言うとライセスモスターじゃないですか。
そうかそうかそうか。
そういうこともないと見えないわけですもんね。
そうですよね。
そうですね。はい。
寝深そうな感じはしましたね、なんかね。
はい。
ありがとうございます。
はい。
じゃあ次は僕いきますけれどもですね。
はい。お願いします。
名前がなかなかどれやったっけで、
CVSSの話をちょっとしようかなと思うんですけど。
そんなお馴染みか?それで。
お馴染みです。
分からなくならないですか?名前。
ならないよ。
嘘?本当に?
何と分からなくなるんで。
じゃあね、CVC、CVV、CVE、CSV、CVSS。
ほら分かれへんくない?なんか。
そういうこと?
でもCVSSが一番馴染みがあるかなっていうか。
33:01
そうですか。
一番分からなくなりにくいかなっていう気がするけど。
もうそろそろCから始まる略語、
限解説っていうのが僕の中であるんですけどね。
確かに多すぎるよね。
そんな中、僕が今日紹介するのは
CVSS、コモンバルネラビリティスコアリングシステム。
皆さん大好きなCVSSなんでわけで。
大好きですか?
それだけだろ。
かもしれないですね。
逆に好きすぎてもう嫌いになってきて
いろんなぐらいあるんですけど。
そうね、確かに。
こじらせすぎですね。
それがですね、ファーストの第35回の
カンファレンスを経てですね、
最新バージョンである4.0が
パブリックプレビューという段階になりました
ということで。
そうだね、今コメント募集中だね。
そうそう。
このファースト自体はCVSSの使用策定とかを
やっているようなところなんですけども、
これ自体はパブリックプレビューは
大体2ヶ月ぐらいかな、今。
2023年、今年の第4四半期に正式リリースされる予定です
というふうに言われているものなんですけれども、
その内容をちょっと今のパブリックプレビュー段階の
ものを見てきたので、
その3点、今使われている1でしたっけ?
との差分というか、
どこが変わったのかみたいな話を
ちょっとしたいなと思いまして。
ほうほうほう。
これはあれだよね、このプレビューというか
コメントがあったら、それを反映して
正式版としてリリースされるだろうから、
今のうちからチェックしていたほうがいいというか、
いずれ今のやつから置き換わるんだと思うので。
そうですね。
早めに見ておいたほうがいいんじゃないかな
というのは。
ちょっと置き換わるまで多少の時間は
多分閉期されるというかね、
そういう期間があると思うけどね。
今でも2と3閉期されている場合もありますしね。
そうそうそう。
同じような感じになるんじゃないかなと思う。
とはいえ、多分悪くなることって
あまりないと思うんで、こういうやつって。
ずっと議論してきているやつなんで。
なんで今のうちにこうなりそう
みたいなものは知っておかないと。
出てからだったら、出てからさっと覚えられるような
量じゃないんで、見ておいたほうがいいかなと。
まあそうね。
はい。
さっき言ってきた要点と危機になったところ
みたいなのを紹介しようかなと思うんですけど、
バージョン3、バージョン3.1ではですね、
基準っていうのが3つあって、
基本、現状、環境っていうのの
評価基準がありましたと。
基本ってしか使われてないねって
いつも言ってたもんね。
そうそうそう。
そこだけ見たらあかんでみたいな話、
我々も本当に何回も言ってきたと思うんですけれども、
バージョン4ではこの3つから4つになりまして、
基本、脅威、環境、補足
っていう風なものになる。
予定だという風なことなんです。
で、これ一つずつちょっと
さらっと見ていこうかなと思うんですけど、
一番重点的に見たほうがいいかなと思うのは
基本のところだと思うんですよ。
よく扱われるところなんで。
うん。
で、この基本ってベースメトリックスとか
っていう風に言われたりしますけど、
ここがですね、2つにまず分かれるようになりますと。
ベースの中で
エクスプロイタビリティメトリックス
っていうのとインパクトメトリックス
っていう風なもので、
エクスプロイタビリティメトリックスっていうのが
よく扱われているような
脆弱性を悪用するような経路とか、
それを悪用に使うための複雑さみたいなものが
36:03
そこに含まれるという風な感じなんですね。
で、ここに新たなものが追加されるんですけど、
攻撃条件っていうものが追加されます。
アタックリクワイヤメンツっていうやつが
追加されるんですけれども、
これは無しっていうのと
プレゼントっていう値を取る、
Pの値を取るやつなんですけど、
これはターゲットに対して
複数回攻撃を行う必要があるとか、
マイン・ザ・ミドルしないとできないとか
っていうような条件がある場合に
Pっていうものが付くっていうものですね。
なので、付けば値は下がるかなっていう風なものが
追加されるというような感じになってます。
で、項目名は変わってないんですけど、
中身が変わったものがありまして、
ユーザーインタラクションっていう、
ユーザーが何かしらアクションを
起こさないといけないようなものなのか
っていうので、要・不要っていう風な値を
取ってたものがあったんですけど、
ここが細分化されて、
不要っていうのはそのままで無しなんですけど、
要のところがパッシブとアクティブっていうのの
二つに分かれるという感じに、
細分化された感じになってます。
パッシブってどんなんかっていうと、
例えばStored XSSとかCSRFみたいなものが
パッシブになって、
アクティブなものはユーザーがアクティブに
特定の方法で脆弱なアプリケーションを
ロードしたとか、
Webアプリに特定の文字列を送るみたいな、
Reflection Cross Site Scriptingみたいなものとかが
アクティブに入るっていう風な感じですね。
この基本の中には、
これまで脆弱性のあるこういう製品とか
コンポーネントへの攻撃の影響範囲を
評価するもので、スコープっていうものが
あったんですけども、
ここが無くなりましたと、
スコープが廃止されたというもので、
その代わりにっていう風なものっぽいものが
付いたやつが追加されたというか、
変更されたものがあって、
そのベースのところには機密性、
完全性、可用性、いわゆるCIAっていう風な
影響を図るようなものがあって、
これはさっき言ったインパクトメトリクスですね、
ベースメトリクスの2つに分かれたうちの1つに入って、
ここで結構変更の大きなポイントになるんですけど、
CISに影響があるかだけじゃなくて、
その脆弱性のあるシステムに対しての影響と、
その周りの後続システムみたいな形でしてましたけど、
他のシステムへの影響があるかないかっていうのを
測る値が追加されました。
なので、単体のものと、
その単体から得られた情報が他のものにも使えるとか、
この単体のものが得られると、
他、このシステムを参照しているものが影響を受けるとか、
っていう風なものの値を追加するっていう風な形になっているんですね。
例えば、機密性で言うと、
VCっていうものとSCっていうものが追加されて、
Vはバルネラブル、
Sはサブシーケンスという値が取るようになりました。
ここ結構ですね、計算するときに大きな影響がありまして、
39:00
さっき言っていたアタックベクターとか、
Exploitability Matrixの中に含まれる経路とか色々あるじゃないですか、
それを最高の値にしていって、
環境の影響を受けるCとかIとかAっていうものを全部ハイにしても、
他のシステムに影響を与えないっていう風にすると、
最大値で9.32までしかいかないようになっていました。
なので、後続のシステムとか周りのシステムに影響がなかったら、
単体でどんだけインパクトがでかくても、
これまでみたいに10.0にはならないってことなんですよね。
10.0になるとなると、さっき言ったみたいなCIAを全て、
他のシステムにも影響がある。
例えば、盗んだパスワードが他のところで使えるとかですね、
そういったものがないと、最大値の10.0には、
その脆弱性単体として見てもならないっていうところが、
結構大きな変更なんじゃないかなっていうところですね。
あと、ベース以外のところで言うと変更があったのは、
脅威っていうところなんですが、
これは前で言うと現状値って言われるようなところなんですけど、
他の昔は3つ扱う値があったんですけど、
もう1つの値にまとめられてしまってですね、
攻撃高度とかがあるかないかみたいなところの成熟度を測るっていうところで、
未定義なのかとか、概念辞書ができるのか報告がないっていうふうな、
すごく単純なものに変更されるというふうなものになっていました。
あとは環境のところはそんなに大きな変化がなくてですね、
新しく追加された補足っていうサプリメンタルメトリックスかな、
っていうふうなものがあるんですけども、
ここは脆弱性を利用するときに、ある程度自動化できるかみたいなものを測るようなもので、
キルチェーンで言うところの4つ目のステップ、
偵察、武器化、配信、悪用っていうところまでの流れを自動化できるかどうか、
みたいなものが評価されるってところなので、
これどっちかというとツール化されてるだとか、
容易に攻撃しやすくなっているとかっていうところを見るのにいいポイントかな、
なんていうふうに思いました。
大体僕が見た中で、ここは結構知っておいた方がいいなと思った大きな変更は以上なところですね。
見てみて思ったんですけど、そこまであんまり複雑にはなってないなど、
結構複雑になっていきそうな印象があったんですけど、
結構値が削られたりとか増えているものもありつつも、
ちょっと前よりかはわかりやすくはなったけれども、
ただこれまで通り、脅威の部分っていうのを自分たちでなかなか探すの大変なことにはあまり変わりないので、
今回の変更でっていうところで言うと、
さっきのMAXで単体だったら9.3しかいかないんだっていうことぐらい分かっておけば、
まあいいかなっていうふうな感じではありましたね。
そんな感じでございます。
多分これ、SIGを構成しているメンバーでいろいろ検討して、
叩き合いとしてまずこれファブリックで出したと思うんだけど、
42:03
おそらくこれまでの2.0とか3.0とか3.1までの中で、
いろいろ批判されている部分を意識して対応してきたんだと思うんで、
そういう意味では良くなっていると思うんだけど、
ただここでも議論したかもしれないし、
僕らも結構セミナーとかでも喋ってるけど、
結局これまでのCVSSの問題って、
基本値だけが一人歩きしてしまって、
本来はその状況とか各組織の環境とかに応じて、
動的に変更してディスク評価をしていかなければいけないという、
運用面の課題だと思うんだよね、主には。
そうやって動的にやっていかなきゃいけないっていう部分をどうするかっていうのが、
多くの組織でなかなかうまくできていなくて、
結局その基本値が高いか低いかだけで判断するみたいなことになっちゃってるっていうね。
観光さんだっけな、硬直化した脆弱性の対応が良くないみたいなことを言ってましたね。
そういうのに繋がりやすかったと思うんだよね。
今回のやつは多少その辺の見通しが良くはなっているんだが、
結局今言った部分を根本的に別に解決してくれるわけではないので、
スコアに対する納得感は多少は良くなるかもしれないけども、
結局のところさ、鉛筆なめなめこうだこうだやって計算して、
その計算式にどれくらいその意味があるかっていうか根拠があるかって言われたら、
なんとなくもっともらしいかなっていう説明しか結局はできないわけで。
そうですね。
それに対してじゃあ今本当に優先順位はどうなんだみたいなものに対する答えを出してくれるかというと、
そこはそんなに期待できないのかなっていう感じはあるけどね。
そうですね。
それよりはその前にここでも言ったかもしれないけど、
SSVCみたいな同じような判断はするけど、スコアを出すんじゃなくて、
最終的に今すぐパッチを当てなさいとかっていうアクションを導き出すっていう方が、
なんかシンプルで分かりやすいような気がする。
同じことをやるんだったらね。
はいはい、あの決定義のやつですよね。今おっしゃってたやつ。
結局スコアが高くてじゃあこれどうすればいいのっていうことは言ってくれないので、
なんかそうするとあんまり変わらないような気も。
なんか批判したいわけではないんだけどさ、
僕らはこれにどう向き合っていくんだろうなっていうのがちょっと今から。
そうですね。色んな変更点があってなんかいらないものがなくなったなとかと思う部分もありつつ、
もうやっぱり結局スコアリングのシステム、脆弱性のスコアリングシステムなんで、
45:02
今何すべきかっていうことをこの数字に依存しない方がいいっていうのは今まで通り変わらないなっていうのは思いますし。
そうそうそう。見通しが良くなる点は歓迎するとして、あんまり期待しすぎても良くないのかなっていう感じは。
それもこの、これ別にファーストのこのCVSSを策定している人たちに聞いたわけでもないし、
誰がしてるのかもよく知りませんけど、
現状値ってあったじゃないですか、現状評価基準っていうのがテンポラルのメトリクスがありましたけど、
あれがスレッドメトリクスっていう脅威っていう名前に変わってシンプルになったってことは、
ここにあんまり力入れてもって思ってるからなんじゃないかなってちょっと思いましたけどね。
あー逆に?
うん。だってスレッドメトリクスって現状っていう名前書いてますもんね、スレッドに。
まあそうね。でもまあここのスレッドメトリクスが多分一番大事なんじゃないのかな。
まあ対象を考えたらそうですけど、脆弱性そのものの、そのもののヤバさみたいなものだけを測るっていう風なものにしていってるんかなって気はちょっと見てて思った。
まあこれは感想ですけどね。
なるほどね。
そうそうそうそう。っていう風に思いましたね。
なかなか難しいね、こういうのってね。
まあでもこうやって見て知っておく必要はあると思いましたね。やっぱり。
なんていうかね、こういうのって結局その基準っていくらでも出ち上げられるんで、言い方悪いけどさ、どれが正解ってわけでもないから、
これが業界標準としてこれから使えますであれば、まあちゃんと理解しておくべきだし、
あとまあそのスコアの根拠がどうとかっていうよりも、その元になっている考え方は大事かなというか、
なぜこういう計算手法にしたのかっていうね。
そうですね。
まあそこはいろいろその今の自分たちが直面しているリスクを考える上で、
この脆弱性はこうだからこうすべきみたいなのを考えるその根拠としてはね、まあ役に立つかなと思うので、
まああんまりスコアそのものに一機一流するというよりは、考え方を学ぶという方が建設的な気がするね。
そうですね。なんか僕もその脆弱性に関する問い合わせというか、これってどうなんですかねみたいに、
仕事の中で聞かれることあるんですけど、その時にこのCVSSは割と参照することがあるんですよ。
でもこの数字の部分、スコアの部分っていうのを伝えることはあんまりしなくて、
やっぱりこれはいろんなところがこうつけるじゃないですか、
これを許可されているベンダーとか自社の製品につけたりもしますよね、この値をね。
そういったものを見たときに、経路がどうだとかっていうところを見て説明するのに使いますね。
これはローカルって言ってるけど、とかってそういう風なのに、
これってどっから影響を受けるって言われてるんやっけとかっていうのの、
この一個一個の値をここ気にしてみたりとかして、それで説明に使うっていうのにはやるんですけど、
数字はあんまり考慮せずに。
そっちよりもこの数字を導き出した値の方に僕は結構注目して活用してます。
まさにそういうことですよね。
これどういうで確定するバージョンがどうなるかわかりませんけど、
そんなにむちゃくちゃ大きく変わるわけではないと思うので。
48:00
おそらく多少いろいろコメントがあって細かい修正はすると思うけど、
大筋はこんな感じなんじゃないかね。
そうですね。さらっと見てみてもいいんじゃないですかね。
これ今のうちに見とくといいんじゃないかなと。
使わないことはないと思うんで。
しばらく3.1がようやく落ち着いてきたというか、
大体3.1の数字になったかなみたいな感じで、
また4が並ぶとそれが混乱の元になるの嫌だなっていうのはあって、
そういうところも丁寧に議論してほしいなって思います。
3ではこうだから4ではこうみたいなね。
扱いが違うみたいな。
全然値変わってくるときあるもんな。
2と3.1は結構変わるじゃないですか。
変わる違うよね。
結構変わってそこは混乱の元というか、
下手したら対応取り合わせのところにかかってくるかもしれないんで場合によっては。
確かに。組織によったらそうですよね。
そこも含めた検討はしてほしいなというのは思います。
言えてる。
はい。そんな感じでございました。
はい。
じゃあ最後はねぎすさんですね。よろしくお願いします。
今日はチェーンアリシスというところのレポートの話というか、
これ前あれかな。辻さんが取り上げた記憶があるんだけど。
本当に?
今年の初めぐらいかな。
ランサムウェアの支払いを拒否するところが増えてるみたいな話を確か。
チェーンアリシスならではの切り口ですよねみたいな話かな。
そうそう。なんかその話をしたと思うんだけど。
チェーンアリシスってそういうブロックチェーンの分析を専門にやっている会社で。
年に1回のクリフトクライムレポートっていう。
彼らが追っかけているこれは犯罪者が持っているブロックチェーンのアドレスですよとか。
これはアメリカ政府から経済制裁の対象になってますよとか。
いろいろマークされているアドレスを彼らはいっぱい持ってるんで。
あとまあなんだろう。
アンダーグラウンドのマーケットのアドレスとかね。
なんかそういうの。
そういうのを全部分析して。
1年間でどのくらい犯罪に使われたお金が流れ込んだかっていうのを分析してますと。
それを年に1回レポートで出してるんだけど。
今週その中間報告というか。
2023年の上半期の状況っていうのをちょっと速報的な感じで出してくれてるんで。
その記事の内容を少し紹介したいんだけど。
ざっくりまず全体的に言うと。
まず犯罪関連の暗号資産のアドレスへの流入の総額がどうだったかというと。
これは実は年々下がっていて。
2021年がピークだったんだけど。
22年去年少し下がって。
今年また大幅に下がっていて。
なのでそういう意味では良い傾向なんだけど。
だいたい今年は去年から比べて4割から6割ぐらい減少してますと言ってるんで相当減ってると。
51:08
ただし実は暗号資産の取引額全体がちょっと減ってて。
若干今年は市場的に少しシュリンクしてるんだよね。
なので全体の正常な取引量も28%減って言ってるんで。
およそ3割全体が減ってる中で4割とか6割とかそれよりも大幅に犯罪関連の取引は減ってるということなんで。
そういう意味では減ってると言って良いでしょうと。
そういう傾向が見られますというのと。
その中でも今日2つほど取り上げたいんだけど。
1つは何が一番減少している要因となってるかというと一番大きく減ってるのは詐欺。
詐欺関連ですね。
いわゆる投資下げとかそういうやつで使われるやつで。
これが金額も係数もめちゃくちゃ多いんだけど。
これが2023年の上半期は去年から比較してめちゃくちゃ減ってるということで。
去年の同じ時期に比べると去年の同じ時期が4.3ビリオンダラーって言ってるから。
すごい金額だけど。
それが今年は同じ時期で1.0ビリオンダラーって言ってて。
およそ77%減少してますって言ってるから相当減ってるよね。
かなり減ってますね。
さっき言ったけど市場全体の若干縮んでるのもあるんだけど。
とは言っても今年は去年に比べると暗号試算の評価額っていうか価値自体は若干上がってるんで。
そういう時って結構詐欺って起きやすいんだけど。
その割には詐欺がかなり減ってますねって言っていて。
これはちょっと理由がはっきりわかんないけどそういう傾向が出てますと。
ただその件数がめちゃくちゃ減ってるというわけでもなくてむしろ増えてる部分もあったりとかするんで。
投資詐欺で騙されてる人の金額が若干減っていると。
特に今年に入って2つぐらい大きな出口詐欺があったらしいんだけど。
それが減ってから普通は1個減ると新しいのが増えてきてみたいな感じで。
どんどんどんどん新しいのが置き換わっていくみたいな感じになるんだけど。
今年はその大きめの出口詐欺が減ったら被害金額がガクーンと減っている状態が4月の末ぐらいからずっと続いてて。
というのが上半期の状況なんだが、これが下半期どうなるかはちょっとわかんない。
またぐわっと増えるかもしれないね。
詐欺に関してはそういう感じです。
もう一つちょっと大きな特徴が、実は全体的には今言ったみたいに4割から6割限定大幅に減少していっていいことなんだけど。
唯一一つの項目だけが去年よりも増えているところがありまして。
それがなんとランサムウェアなんですよね。
クイズ組んのかと思った。
それはねみんなわかるでしょうということで。
54:00
実は去年支払いを拒否する企業が増えたから減ったんだろうとか、
アメリカ政府とか結構キャンペーン大体的に頑張ってるから減ったんだろうみたいなことを結構言ってたんだけど、
その反動かもしれないけど今年は大幅に増えてるらしくて。
カテゴリーで言うとランサムウェアだけが大幅増加で、
これが去年の同時期に比べるとおよそ6割増ということで相当でかくなってるんだよね。
これ他のレポートとかでもこういうの似たようなの出てるんだけども、
ミノチロ金の支払いの金額の分布っていうのをチェーンアリスも分析して出してくれてるんだけど、
分布で見ると去年とかと比べると明らかに金額の低い方に山が偏ってんのね。
なので、奨学のミノチロ金支払いがかなり増加してるということが言えるんだけど、
じゃあだったら奨学も減りそうなもんなんだけど、一方で奨学が増えてるだけじゃなくて、
ミノチロ金の支払い金額が偉く高いやつも同時に増えてるんだよね。
なので二極化してますっていうことを言っていて。
単純に薄利多倍になったってわけじゃないってことや。
そうなんだよね。なので一部のバラマキ系のやつとかは金額を低くしてでも取ろうという感じで、
奨学のミノチロ金支払いが増えていると、ブロックチェーンの分析だけだから、
実際がどうかというのはちょっとわかんないけど、ただそうやって見えてるんだけど、
同時にすごく金額の大きい部分も増加していて、今までとだいぶ分布がいびつになっていて、
傾向が変わっているというのが、チェーンアリスのブログの記事にあるグラフからは明らかに読み取れていて、
そこが全体のミノチロ金支払い金額が6割増えましたというのが主な要因になっているんではないかなと。
これが果たしてどうなるかわかんないけど、さっき言った去年の現象でも、もしかしたら反動で、
攻撃側も実際に支払いを拒否する企業が増えてくると、商売上がったりじゃない。
そうなると、さっきの薄利多倍にシフトするという動きが一つと、
もう一つは、この記事の中ではビッグゲームハンティングが戻ってきたと言っているけれども、
いわゆる大企業で払ってくれるところから仕方も取ってやろうという、むしろ逆方向の動きも出てきて、
払っていく予想のところに対する最初のミノチロ金の要求金額が上がっているらしいのね。
よく鶴井さんも紹介してくれるけれども、交渉をして、だんだんディスカウントされていくみたいなのがあるじゃないですか。
それもあるんだろうけれども、そもそも最初の定時額が上がっていて、
全体的な平均額としては高くなっている、そういう標的型のランサムウェアが結構あると。
57:04
いくつか例も出ていて、例えばブラックバスタとか、あとブラックキャット、
全体的な中央値的にはそんなに大きくないんだけれども、明らかに平均を押し上げているような異常値というか、
めちゃくちゃたくさん払っている顧客がごく少数の方がいるというかね。
そういう感じで全体の金額を押し上げちゃっているという、そんな風に見えますねということで。
ちょっとこれは傾向としてはどうなんだろうなというか、あまりよろしくないのかなというか、
去年ちょっと喜んだのも束の間というか。
そうですね。
実際に去年までの傾向が必ずしもなくなったわけじゃないと思うのよ。
その去年の分析で、これちょっと辻さんが前のレポートの紹介のときにしゃべったかどうかちょっと覚えてないんだけど、
多分その大きな企業、大手企業を中心に結構対策が進んで、
この間の名古屋港の例じゃないけど、きちんとバックアップを取得しておいてさ、
仮に何さんもやら感染は防げなくても、ちゃんとバックアップから復旧してすぐに事業を継続できましたみたいな、
そういう事例も多分おそらく増えていると思うのよね。
なので、そういう意味での良い流れっていうのはおそらくあるんだろうけど、
あと保護指向機関の取り締まりも頑張っているから、以前に比べれば多分増えていると思うんだけど、
一方でそれに対抗するというか、攻撃者側も自利品になるのを防ぐために、
取れるところから取るとか、あるいは安くてもいいからたくさん感染させるとか、
いくつかそういう風に手法を変えてきているのではないかなということで、対応してきているというかね、そういうのに。
結果、今年のそういった被害金額の分布が異別になっていて、
トータルの被害金額が去年より大幅に増えているという傾向になっているのかなという。
そんなところが読み取れて、全体的にはトータルの犯罪に関わる暗号試算の取引が減少しているというのは良いことなので、
それは業界全体でうまく頑張っていることだと思うんだけど、
ランサムウェアに関してはちょっとやや要注意というか、
この動きは結局全体の被害金額が決して下がっていないというのはちょっとこれは有意識自体なので、
あとこのブロックチェーンの分析以外にも他にもいくつかそういう分析をしているところってあるので、
ちょっと他のレポートなんかも見て動きを注目したいなというふうに思いました。
ランサムウェアの金額で増えてるっていうふうに60%でしたっけ?総額としてですよね?
聞き漏らしたら申し訳ないですけど、支払いの件数とかっていうのは数字出てるんでしたっけ?
件数ははっきりわかんなくて、トータルの金額だけだったよね。
押し上げた理由としてそもそもの支払い総数が増えてるかどうかというのが知っ気になったなって思ったんですよね。
1:00:06
そうだね。ただ件数自体はそんなに増えてないと思うんだけど、トータルの金額がかなり増えてるっていうのはちょっと気になるよね。
なんか繰り返しますよね。安くなったり高くなったりみたいな。
儲けが減ったら1個の単価上げるかみたいな感じで動いてるのかな?
その辺がうまく対応してきてるのか、あと攻撃者のグループによる偏りは多少あると思うんだけど、うまくいってるグループとそうでないグループみたいなね。
もしかしたらそういう二極化もあるかもしれないんだけどさ、適応してきてるところとそうでないところみたいなね。
そういうトータカ進んで、うまくこういう今の状況にマッチするところが生き残って、むしろ稼いでるみたいな。
そういうランサムギャングごとにも二極化があるかもみたいなことですね。
その辺りを少し分析して、もしそういうことが起きてるんだったら、そういうグループの攻撃に注意するとかさ。
我々を防ぐ側も攻撃側にある程度は追従していく必要があるので。
あとそれともう一つはさっきも言ったけど、バックアップ取得だろうなんだろう分かんないけど、初期侵入の対策だろう。
どんな場合でも必要な地道な対策がやっぱり重要なので、それがもうちょっと進めばね、やっぱり全体としてはだんだんだんだん下がっていくっていうことは間違いないはずなんで。
今の揺り戻しを一時的な減少にしたいというか。
確かにね。続いて欲しくはないですもんね。
全体としては下がっているんだけど、たまたまこの年だけちょっと揺り戻しがあったねみたいな、本当はそういう感じにしたいよね。
なんで上半期だけの傾向に進めばいいなというか、下半期もどうなっていくかというのは注目していく必要があるかなという気が。
特にランサムギャングに関してはこれはおっというふうに思ったね。
うまくやれている、僕らからすると良くないんですけど、うまくやれている、儲かっているランサムグループの手口とかっていうのを知ればもっと役立つかもしれないですよね。
こういうのに気をつけないとなっていうことを具体的にわかるといいかなと思いましたね。
こういうのを見ると、ブロックチェーンだけじゃなくて、今回のはブロックチェーンの分析だけど、攻撃手法だったり攻撃者グループの特徴だったり、多面的な分析っていうかさ、やっぱりそういうのが必要だなっていうのを感じたね。
これだけだとやっぱり分からない部分も結構あるんで。
丸まっている部分もいっぱいありそうですしね。
何が要因だろうって突き詰めて考えていくとちょっとわかんないとかいうところが。
そこは個別のグループの動向とかを追っかけていく必要もあるし、他のレポートとかも調べていく必要があるかなと思ったけど、でもすごく参考になりました。
そうですね。これ一つ情報だけでもかなり変化が気づけるかなと思うので。
あと他も知りたいなと思うきっかけにもなりますしね。
そうだね。
非常に興味深かったです。ありがとうございます。
1:03:01
以上です。
ということで今日もセキュリティのお話を3つしてきたわけなんですけども、
今日のおすすめなんですが、今日はですね、あるものの食べ方、おすすめの食べ方。
食べ物ではなくて。
前もそんなのあったな。
前はポテトチップス塩味のやつでしょ?
はいはいはい。
変な食べ方。
美味しいって。マヨネーズに胡椒を振ってつけて食べるやつなんですけど。
でもさ、美味しい食べ方って人それぞれじゃないの?
そうなんですけど、俺の考えた最強の食べ方みたいな。
最強のやつ。
これ結構ですね、僕意外と昔からずっとやってるんですよ。
本当に子供、成人する前からやっているものの食べ方なんです。子供の頃から食べてるものなんですけども。
プッチンプリン。グリコのプッチンプリンありますよね。
誰もが食べたことあるんじゃないかと思えるようなぐらいメジャーですけれどもね、プリン界では。
あれだいたい皆さん、名前の通りプッチンして食うでしょ?
そうなのね、だいたいはね。
ですよね。だってプッチンプリン言うてるからね。
最近食べたいけどな、プッチンプリン。
ほんまですか?僕今冷蔵庫にありますよ、家の。
家にあるんだ。
ほんとか。
逆に俺成人してから食べてないかもしれないな。
ほんまですか?そんなに?
たまには食べてください。これが今日のおすすめの食べ方をきっかけに食べてくださいよ、じゃあ。
まずね、プッチンプリン開けるとプッチンしません。
プッチンしないんですよ、もう。
プッチンしないの?
否定してるじゃないですか。
この時点でかなりパンキッシュな食べ方なわけなんですけれども。
何するの、じゃあ。
グチャグチャに混ぜるんですよ。
なるほど、なるほど。下のカラメルとか全部混ぜ混ぜする。
だってね、僕昔から思ってたんですよ。
プッチンするとカラメルが一番上でしょ。
台形やん、横から見たら。
カスタード的なところの層数に対してカラメルが足らんのですよ。
上から食べていくと。
ささいなことではそんなの。
いやいや、チリツモですよ、それは。
これをもっと美味しくいただける方法はないものかって辻少年は考えて、
もうプッチンせずにグチャグチャに混ぜて。
グチャグチャにしたら食感とか見た目がだいぶ変わりませんか?
見た目は良いんですか?
見た目めちゃめちゃ悪いです。
それを補って余りある美味しさが。
ずるずるって飲めるくらいの勢いになりますし。
飲むんですね。
ズビズビっていけるくらいなので。
グチャグチャして食べたことはないかもしれないな。
でもカラメルと一緒に削って食べていっても口の中で噛むでしょ。
混ざるでしょ、結局。
1:06:00
それ言ったらみんな同じだよ。
その時が一番美味しいでしょ。
それを先に作るんですよ。
なるほど。
そうするのが一番美味しい食べ方なんで。
どんな場合でも組み合わせが味わえると。
そうそう。
昔からこれ好きなんで。
例えば会社とかで時間ないからコンビニで済ますかみたいな時とかあるじゃないですか。
同僚とかと食べる時に僕はそれを毎回紹介してるんですよ。
昔からずっと。
そういう時にまずプッチンプリン買わないからな。
まずプッチンプリン買わないからな。
マジっすか。
紹介する度にみんなえ?みたいな反応されるんですよ。
見た目も悪いし、プッチンの意味ないやんみたいなこと言われるんですけど。
でも大抵の方は美味しいって言うんですよ、やってみたら。
嫌やけどやりたいなって思えるぐらい美味しいっていう反応が大体返ってくるんですよ。
なるほど。
だからやっぱり食わず嫌いっていうのは良くないぞっていうことで。
なるほど。
これと似たようなやつでは僕の好きな美味しいおでんの食べ方っていうのもあって。
ゆで卵をまず割って黄身を抜き出して黄身だけを溶かすんですよ。
それをだしにして食べるっていう。
美味しいです。
見た目はめちゃめちゃ悪いし、行儀も悪いってめっちゃ言われましたけど。
なるほど。
美味しかったんで試していただきたいなっていうことですよ。
はい。
なんか若干プリンって固形物ってイメージだから。
確かにそうですね。
なんか混ぜるっていう考えがあんまりなかったけど。
そうですね。
ありかなしかって言えばありよりのありか。
ありやろ。
ありよりのありはありですね。
ありよりのありはありやろ。
ちょっと一回やってくださいよ、マジで。
プリンをそもそもプッチンプリンだけじゃなくてプリンってあんまり食べなくない?
そうでもないのか?
いやいや全然だって前はほらこのポッドキャストでも紹介しましたけどなめらかプリンとか。
紹介はされたけど俺食べたことないんだよほとんど。
カンコさんは食べる?プリン。
私もだけどないかなそんなに。
俺も自分から買わないもんな。
めったに食べないですね。なんか貰い物とか。
そういう感じだよね。
そうですか。
確かに貰い物のイメージあんのかな。
そうそうなんかちょっといいやつをちょっと貰って食べるみたいなそんなイメージが。
あれーそれはあれか。瓶に入っとるやつか。
そうそうそうビールのやつ。そういうイメージだよ。
大人のプリンって感じのイメージだな。
絶対に食べ終わった後普通に水とか飲むのに使うのに転用されるでおなじみの瓶に入ってる高級なプリンか。
いやそっかプッチンプリンを混ぜるっていう考え方はちょっとなかったな。
それはそういう意味では驚きでよかったな。
そうですね驚きでしたね。
なんかちょっと僕が惹かれて終わるみたいな感じになってるけど。
機会があってプッチンプリンを買われる方がいたらちょっと試していただきたいなと思いますということでございますね。
1:09:07
はいそんな感じでございます。ということでまた来週のお楽しみです。バイバイ。
バイバーイ。
