00:00
なんか、外出たりとか、人と打ち合わせする機会とかって、まあまあちょこちょこあると思うんですけど、
政府の発表というかで、マスクを強制もしないというか、推奨みたいなことやめますみたいなものがあってから、
ちょこちょこマスク外した春日と見かけるようになったなぁって思ってて。
まあそれは個人の自由なんで、この時期しかも花粉症の方もいらっしゃいますから、
まあどっちでもいいかなと思うんですけど、打ち合わせみたいな場所にね、一人だけマスクしてはらへん人がおったんですよ。最初から。
まあそれは別に、なんかご時世的な感じというか、変化やなぁみたいな感じで見てたんですけど、
なんかちょっと違和感を覚えたんですね。その人を見た時に。
その人マスクはしてはらへんのですけど、メガネ2つして貼ったんですよね。あれ何やったんやろうなぁと思って。
2つってどういうこと?重ねてたってこと?
違う違う、メガネをかけて、その上に、頭の上に1個まだメガネ乗って貼るんですよ。
意味がわからん。
あれ何やったんやろう。
目は2個なんですよね。
目は2個ですね。
いやいや、そんな目4つあらはったら、僕マスクの話の前に目の話しますって。
確かにそうですね。
テレビとか出ていますから、そんな人。
それ何?頭にかけてたの忘れて別のメガネしてたみたいな?
そうなのかなぁ。面白いんだけど。
もしかしたら、その上にあげてるのを忘れて、あれメガネないやんと思って、
でも打ち合わせ行かなあかんからっていうんで、急ぎでもう1個の予備のメガネをかけてきやがったのかなぁ。
え、それ誰も指摘しなかったんだ。
もう聞けなかったですよね。
ちょっと二度見するよね。おぉ?みたいな。
謎のままなんですよね。
えー面白い。
なんで2つなんやろうなぁと思ってね。
その場で聞かないとね、これは。
それはぜひ聞いてほしかったですよね。
そうなんですよね。
その後、打ち合わせ終わった後にコンビニに買い物に行ったら、
コンビニでもそのままやったんですよ、その人。
その人も買い物してはって。
謎をばら撒いて買っていかはったっていうのがあったんで、
なんでかわからないんですけど、ちょっとマスクは2個してはる人がおったっていう。
マスクじゃないでしょ。
あ、マスクちゃうわ。
あ、メガネ、メガネ。
マスクね。マスク2つかけてる人。
マスク2つはいますよね。
マスクはいるよね。
普通のデザイン的なやつとガチフィルターみたいなのされてる方いらっしゃいますよね。
メガネはね。
普通のメガネと、それこそ花粉症対策っていうかさ。
ゴーグルみたいな。
ああいうのしてる人はたまに見かけるけどね。
普通の時と近くのもの見る時用とかもあるかもしれないですね。
03:01
それは20年かけないでしょ、たぶん。
しかもそういうメガネってありますよね。下の方だけ、下を見る時だけ違うレンズが変わってるみたいなのもあるじゃないですか。
それはあるね。そういうの売ってるよね。
そうなんですよね。だからもしまた今後も会う機会がある方なので、もし今度2つして貼ったら聞こうかなと思います。
なるほど。あ、そっか。もしかしたらそれ円金両用で2個かけてるのかもしれないな。
水陸両用みたいなやつですか。
知らんけど。
聞いてみます。もし次も2つして貼ったら聞きますし、もし3つして貼ったらツッコミますわ。
誰も指摘しないってことは、もしかしたらそれがその人の定番のスタイルなのかもしれないもんね。
確かに確かに。僕だけが初めてやったのかもしれませんよね。
ひょっとしたらか。
確かに確かに。そうかもしれないですね。
聞いてみてください。
そういうこともあるぞということで、気になったことはすぐに聞いた方がいいなというふうに思いました。
その場で解決しよう。
ずっと気になるからね。
ということでお便りが来ております。
久しぶりに来たなというお便りなんですけれども、この毛色というかこういうパターンのやつですね。
このポッドキャストの会話してる人の紹介ってどっかにないんかなっていう。
忘れた頃に来るやつ。
どっかにないですね。
僕らが誰が喋ってるかは僕らは知ってるけど、紹介はないんですよね。
ポッドキャストの公式というかサイトにも何も書いてないし。
まあないって言えばないんだよね。
そうそう。なのでそのハッシュタグつけてツイートされてくれてたので、他のアレ勢の方が過去の僕とか、僕とカンゴさんとネギスさんが出てるマイナビのセミナーの。
ずいぶん前ですね。3人だけ出た時のやつですね。
そんな時あったっけ?
ベンダーに質問するやつの第1回ですね。
コロナが前の。
そっか、あれ最初3人だ。
そうそう。それで、ここの3人ですよみたいに紹介してくれてあったんで。
親切。
ただまあ、どれが誰かわからないかもしれないですね。
ちょっと慣れるまで時間かかるかもしれないですけど。
まあでもほら、ネタ喋る時に誰々さんって言うからまあまあわかるんじゃない?
そうですね。ちょっとずつ覚えていっていただければなと。
そうですね。
このスタイル最初からだもんね。
そうなんですよね。
なんでか知らんけど。
確かに。〇〇ですとかやらないですもんね。
やらないです。やらないです。自然とそうなってるんでということで。
聞いていただいてありがとうございます。これからもよろしくお願いします。
よろしくお願いします。
173回。タイトルがオープニングトークだけでなく、おとり操作のところの踏んだら負けっていう件にもかかってて秀逸だと思いました。
06:07
チャプターは後からありがたいです。聞く前は辻さんメモを見て、和写含めて予想したいので見ないようにしてます。
みんなさあなんか、なんかさあ辻メモになんかあんじゃないかとかさあ、なんか深読みする人とか結構いるよね。いろいろね。
そんなに毎回毎回何かがあるわけじゃないんですよね。
このタイトルはなんかさあ、他の意味があるんじゃないかとかさ、どこまで深読みしてるのみたいな。
不思議ですよね。これなんかいろいろ仕込んだときにはあんまり触られへんみたいな。
逆にね、特に何もないときに深読みされたりして。
そうそうそう。今回もね、なんかあのファイル名。
MP3のファイル名がS等格っていうやつで、これTとY間違ってませんかって言われて小格になるんですけどね。
違うんですよ。ただ単に僕が1年半ぶりぐらいにスニーカー当たったんでスニーカー当選確実っていうのをたまたまタイトル。
誰にもわかんないよね。
収録前に喋ってた話をそのままファイル名にしただけなんで。
でもなんかそのファイル名何と思ったらそういう風な感じで聞いてもらったら別に理由は説明しますけどね。
まあまあね。
何も得るもんないですけどね多分それは。
ないよね。
そうそうそう。でもなんかいろんな聞き方ありますよね。聞く前は僕のメモ見えひんっていう。
ああそういう人ね。
確かにね。なんかネタバレっぽいのとかがあったりある場合もあるし、話に触れてる場合も僕が思ったことだけ書いてる場合もありますけどね。
なんかいろんな聞き方があって面白いなと思いました。
そうね。まあ何度も聞いてもらえればよりいいんじゃないですか。
そうですね。いろんな楽しみ方でね。
はい。いや嬉しいですね。
あとはですね当局のおとりサーバー、これねげさんが紹介したDDoSのおとりのDDoS代行サービスのやつだと思うんですけど、
当局のおとりサービスを踏んだり調査用のアカウントが摘発される可能性を考えるとセキュリティリサーチャーもバウンティーハンターのような登録が必要な時代が来るかもしれないなと。難しいですよねこれね。
なるほどね。要するに簡単に識別できないから問題があるんでしょうってことだよね。
そうそうそうそう。
まあそうね。難しいよね。
これ結構言い出すと結構いろんなことありますよね。
例えば僕らとかだったら普通に民間で働いてるじゃないですか。基本的には。
なので法執行機関の人たちのようにはそういう意味で守られてないとかっていうのもありますしね。
どこまでやっていいのか問題みたいなあるじゃないですか。法には触れへんねんけどそこへちょっと突っ込みすぎたら危ないんじゃないのとかもあったりすると思うんですよ。
09:02
それでお呼び越しになるっていうこれとは別のパターンですけどね。あるなーとかっていうその辺の整備っていうのはこれだけじゃなくて他のものにもこうやった方がきちんとした方がいいものでもなかなか変えられないものっていうのはあるんやろうなっていうのはこれを見てちょっと思いましたけどね。
まあまあねバグバウンティーに関してもね結構だいぶ整備されてきたとはいえさ、まだほら善意で脆弱性を探して報告したつもりが訴えられてもおかしくはないっていうかさそういう可能性もないわけじゃないや。
向こう側の反応によりますよね。指摘された側というかね。
正式なバグバウンティーのプログラムの範囲でやられたことは大丈夫だろうけど、そこからちょっと外れてたらさとかさそういうのを正式には提供していないところに善意で何か指摘しようもんならさ。
まあ一歩間違ったら不正アクセスと捉えられないっていうかねそういう問題はまあね未だにあるわけで。
そうですね。
まあなんかその辺はなかなか難しいよね。
誤動作させちゃったとかもあるかもしれないですよね。たまたま椅子を食い潰しちゃってみたいなのもありますからね。
まあいろいろね。そこはやる側とそのやられる側と法執行機関も含めたちょうどいい塩梅っていうかさ。
そのバランスをどこへどう取るかっていうのは難しいよね。
そうですね。
何でもやっていいわけじゃないじゃん。何でもやっていいわけじゃないけどかといってそのね、その善意のそういう見つけてくれるっていうのを完全にこうなくしちゃうのはあまりにももったいないし。
それと同じことが言えるのかなというかね。そのリサーチャーを萎縮させずにうまくそういう全体のセキュリティのレベルが上がるような取り組みをどう仕向けていけばいいかっていうか。
そうですね。これまでしかも世界規模ですしね。これ誰がアクセスしてくるか分かれへんようなサイトってなったら難しいですよね。その登録の制度っていうのもあるし。
ここにね、その攻撃者が紛れ込まないとも限らないわけで。
前回言ったけどさ、海外のやつはインターナショナルの法執行機関とかに連携して各国に多分情報提供とかをしてるんだろうけど、その中に例えばリサーチャーが入っちゃったらさ、
メールアドレスを見ただけではわかんないから、そういうのとかをどうするかとかっていうのは、多分その国ごとによって違うと思うし扱いが。なかなかそういうのが悩ましいね。
あとですね、お便りではないんですけれども、僕らのこのPodcastのiCatchを書いていただいている方がツイッターアカウントを作ったんですよみたいなこと前言ったと思うんですけど。
あれ、いつもiCatchのこういう意味でこういうiCatchにしましたみたいなことをツイートされてるアレティっていうアカウントがあるんですけれども、
なんかね、ふっと見てみたら173回、第何回みたいなのがちゃんと絵の前に書いてあるんですけど、173回っていうのが2個あったのやと思ったら、内容にちゃんと触れた。
12:11
聞いた上で書いた絵みたいなのもありまして。
iCatchとは別のやつね。
そうそうそうそう。インコがインコのひまわりの種をもらって、種を植えて、ホムポムプリンで。聞いてたぶん、聞きたかった単語をそのまま絵にしはったんやと思うんですけど。
173回の感想がこの絵に入ってるっていう。
そういう表現の仕方も面白いよね。
そうですよね。
中身知ってみるとクスッとしちゃうね。
結構聞いたことを絵でメモ取られるらしいんですよ、この方。
あーなるほど。
例えば僕の簡単な似顔絵にこんなことついさんが言ってたみたいな感じに発言、吹き出しみたいな感じで書いたりとかするまとめ方をされてるみたいで、勉強するときにね。
だからその結果このインコがインコのひまわりの出みたいになってるっていう感じの不思議な絵になったんですけど、これはこれでおもろいなと思ってね。
確かに。
こういうのもたまに上がるんで、もしよかったらフォローいただければいいんじゃないかなと。
楽しいよね、見るだけでね。
そうですね。
ありがとうございます。
ということで、ハッシュタグセキュリティのあれをつけてついていただければ、こうやってお便りで取り上げたらステッカーの印刷コードを差し上げるんで、よろしかったら感想でも意見でも質問でもあったら書いていただければなと思います。よろしくお願いします。
はい、お願いします。
ということで、そろそろセキュリティの話に入っていこうかなと思うんですけども、じゃあ今日僕からいこうかな。
お願いします。
お願いします。
なんか読んでみたんですけど、よく分かれへんかったから深くちゃんと読んでみようと思ったけども、やっぱり分かれへんかったみたいな話をしようと思ってるんですけど。
結局。
ちょっとね、こうなんかね、3文的な感じになるような気がするってならないっていうね。
なるほど、お気持ちを表明みたいな。
そうそうそうそう。
はいはいはい。
なんですか?
日本語のタイトルにすると、ランサムウェアの流行、エピデミックっていうか、流行に対して先手を打つっていうタイトルで書かれたCISAのブログなんですけども。
このやってることがCISAがそのランサムウェアの事前通知によって被害が、ランサムウェアによる被害が発生する前に攻撃を食い止めることができるんだよっていうことの取り組みの紹介みたいなのがされてるブログだったんですよ。
で、さーっと読んでみたらですね、知らん言葉がいっぱい出てきて。
その説明を調べて、これ何や、この単語何やみたいな感じで、この取り組みの名前何やみたいな感じで調べていくと、どんどんどんどん枝葉、枝葉になっていってですね。
ウィキペディアの旅みたいな途中になったんですけども。
それをちょっと僕なりに解釈したのと、こういう取り組みしてるんやっていうことと、最後にちょっとなんか簡単にお二人の意見聞ければなと思って今日紹介したいんですけど。
15:09
こういうランサムだけに関わらずですね、脆弱性をちゃちゃと直すとか、あとはどういう攻撃があるのかっていう情報を共有することで被害を受けるところを減らしたりとか、
また気づいてないところに気づかせるとかっていう被害を拡大するのを防ぐみたいな役割があるかなと思うんですけれども、
そういった組織を支援するための取り組みに、RVWPっていうのがあるんですよね。
これ今年の1月の末からやってるやつらしいんですけど、ランサムウェアバルネラビリティーワーニングパイロットっていうやつなんですよ。
これは影響を受けるシステムをCISAが見つけると、地域に10個ぐらいに分かれた、各リージョン、アメリカを10個の地域に分けたところがあるんです。
それぞれのオフィスにいる担当者がそのシステム所有者に脆弱性がありますっていうことを通知するっていう枠組みらしいんですよ。
そういうのがあるんやと思って、これどういうところを対象にしたりするのかなと思いながら、このRVWPのサイトを見てみたんですよね。
説明が書いてあるところを。そこにQのところで書いてあったことをいくつか紹介したいんですけど、
なぜCISAからこんな通知が来るんですかっていう質問に対して、CISAは政府もしくは業界のパートナー、いろんなところから情報を集めて、
日常的にそういうセキュリティのリスクを特定してるんですと。
普段は商用ツールを活用してそういうのを探してるということまでは書かれてあったんですけど、
ここに書いてあったのが、また新しい言葉が出てきて、CIRCIA、
そのままこのCIRと呼んでいけばいいのかわかんないですけど、これ3月にバイデン大統領が署名したやつなんですけど、
これに従ってランサムウェアの攻撃によく関連するような脆弱性とかを特定して発見して、
システムの所有者に通知しますというふうに書いてあって、このCIRCIA、これがまずなんやねんということで調べてみたらですね、
おそらく対象は、略なんですけど、Cyber Incident Reporting for Critical Infrastructure Act of 2022っていうやつなんですけど、
クリティカルインフラストラクチャーって書いてるので、おそらく重要インフラに含まれるようなところが対象なのかなっていうふうなものがあって、
ここにおそらく通知してるんじゃないかなってことですね。何でもかんでもいろんなところに全部通知してるのはなかなか難しいので、
こういう範囲でされてるのかなっていうところはこういったところから読み取ることができました。
で、さっき言ってた誰が通知してくるのかなんですけど、これちゃんと1カ所から全部にするわけではなくて、
さっき10個のアメリカを10個の地域に分けたそれぞれの担当者。
ウェブサイト見てみると私が担当者ですみたいなページがあったりするんですけれども、
そういったところから脆弱性を緩和するための支援とかリソース提供みたいなこういうことをしたらどうですかみたいなことをするというふうなことが書かれてありました。
18:06
で、通知に関してその通知内容なんですけど、分かる範囲でデバイスのメーカーやモデル使用してるIPアドレス、
脆弱性を検出した方法、それを軽減するためのガイダンスみたいなものですね。
書いてる内容だけ見ると結構手厚い感じの連絡が来そうなものになってたというふうなことなんですね。
ではそのブログの方で話を戻しましてですね、ブログに書いてあった内容で言うと、
これじゃあどんな実績があるんやろうなというふうなことを見てみたら、
2023年の開始以来、つい最近ですけど1月の30日ぐらいかな、開始してますけども、
エネルギーやヘルスケア、上下水道、教育とかいった分野で60以上の組織のランサムウェアの侵入の可能性を通知して、
その多くが暗号化や流出、情報盗まれるやつですね、二重脅迫の場合。
これを起こる前に侵入を特定して修復してるっていうふうな。
結構な成果だと思うんですよね。
侵入の可能性を通知っていうのは入ってくる前に脆弱性があるでって言ったものを含まれてるのかどうかはわからないんですけど、
受け取り方次第なんですが、ただただ60以上っていうのを1月末からやって、最近までで2ヶ月ぐらいですかね。
でこんだけやったのは、それはそれですごいなっていうふうに思ったんですよ。
これは先ほど冒頭のところで民間企業とも連携してますみたいな情報を共有してもらってますみたいなのがあったんですけど、
その取り組みがJCDCというジョイントサイバーデフェンスコラボレイティブっていうものがあって、
これは民間企業とのパートナーシップなんですけど、日本の企業も入ってて、
今年に入って2月か3月だったと思うんですけども、NTTが入ってるっていうふうなものになってます。
クラウドストライクとかパールワールドとかファイヤーアイみたいなところもあれば、
Amazon、Google、マイクロソフトとかベライゾンとかAT&Tとか、そういった名だたる企業が入っているというふうなものですね。
こういった情報の共有の結果から、CISAのところのアドバイザリーのページ結構僕も見るんですけど、
サイバーセキュリティアラートアンドアドバイザリーズっていうところにいろんなドキュメントが公開されてて、
結構日本のニュースとかでも取り上げられたりして、見た方はいらっしゃるかもしれませんけど、
シャープストップランサムウェアっていうハッシュタグみたいなものがエントリー名についているものっていうのは、
かなり詳細な情報が掲載されてて、つい最近だとロックビットの3.0ですね。
それに関するこのドキュメントがあったんですけど、結構IOCとかも詳しく書かれてて、
どんな攻撃ツールを使ってくるのかとか、どこに一時ファイルを置くのかとかっていうのが結構詳しくあって、
ロックビットのやつ見て結構いいなと思ったのは、情報を持ち出す先のサービス、クラウドサービス、クラウドのファイルストレージみたいなサービスを
21:08
止まっているものもあるんですけど、そういったものもあって、結構後から自分たちにもやられる前に止めとこうだとかっていう風なのでも、
有効な情報が結構まとまって、世の中のベンダーが逐次出すようなものよりも、遅いですけどかなりまとまったものが出てるので、
すごい詳細なドキュメントで読むのにはいいかなと。ちょっと読むの、人によっては難しいと感じるかもしれないですけど、
かなり有用な情報が書かれているという取り組みをしているということで、ここまで読んでですね、
思ったのは、日本だったらどんなことができるのかなっていうのを思ったんですよね。
例えば、悪用されている脆弱性、KEVみたいなものもありますけど、ああいったことかな、こういう取り組みを見ていると、
アメリカ最高とかって言うつもりはもうともないんですけど、なんかもっとできることがあるのかななんていうのをね、ちょっと考えたというか、
これは重要インフラ向けみたいな感じでやっているんだと思うんですけど、もっと民間の中ででも、コミュニティの中かもしれないですけど、
もっと上手い情報の共有の仕方とか、例えば、IoCだけ共有されても、それどのように当て付くのかわからないと思う人が多いんじゃないかなという切り口から考えたら、
このIoCはこういうふうに使って、このログに検索してみればいいんですよ、ぐらいまで手を差し伸べた説明をした方がいいのかなとかね、
そういったことを結構考えたなってことなんですけど、お二人はこういうのってどういう風に、どういう観点に見てらっしゃるのかなっていう風に聞きたくて、ちょっとこれを紹介してみました。
これさ、ちょっとまあいろいろ細かいこと書いてなくて、俺も読んだ時よくわからなかったんだけどさ、
ここで言ってるランサムウェアってのはあれかな、主に標的型っていうか侵入型っていうか、そのタイプを想定してるんだよね、多分ね。
おそらくそのさっきのストップランサムウェアも主にその二重脅迫系のことをよく書いてるんですよね。
いわゆるそのばらまき型というよりは企業をターゲットにした、二重脅迫かどうかわかんないけど、侵入タイプのランサムウェアの活動が主な多分ターゲットだよね。
なんか人手で広まって結構なインパクトを与えちゃうようなやつ。
そうだとして、今回の活動の肝は実際に被害が起きる前にできるだけ止めようっていう、そのために通知、さまざまな情報共有をしましょうっていうことだと思うんだけど、
具体的にイニシャルアクセスに使えそうな、例えば贅沢性、具体的には分かりやすい例で言うとVPNの贅沢性が残っているとか、
24:02
あるいは民間からの情報共有だったり、あるいはCISA自身がやってるのかどうかわかんないけど、ある重要インフラ企業とか大手のそういう企業の侵入に使えそうな認証情報とかが、どっかで売られてるみたいな情報があったらそういうのを通知するとか、
具体的に考えてみないと、何やってるのかなーっていうのがちょっとうまいし、わかんないけど、なんとなくパッと思いつくのは、そんなことをやってるのかなーっていうちょっと表面的かもしれないけど。
外からのそういう、全てじゃないにしてもちょっとヤバそうな、さっきネギさんが言ったようなVPNとVPNの贅沢性、最近ヤバいですよみたいなものを範囲絞ってスキャンとかもしてるのかもしれないですね。
ほら、連邦政府機関向けには、今も言ってたKEVの取り組みもそうだけど、政府機関とかは自前でそういうのをやる義務があるわけで、
どの程度カバーされるかわかんないけど、でも少なくともそういった侵入に、今まさに使えているものっていうのはKEVに当然入ってるから、自分たちで把握して対応してっていう、そういうプロセスをやっているべきだと思うんだけど、
そういうのから漏れてるっていうか、重要インフラ企業とかわかんないけど、今回はその通知の対象になっているところが、そういうのがちゃんとできてない、そういう漏れがあるところに通知してあげるとかそういう話なのかな。
あとはBODの23の方でしたっけ、スキャンと脆弱性のディスカバリーをちゃんとしましょうみたいなやつあったじゃないですか。あれって見つかった資産とかっていうのは登録しないといけないですよね、政府機関って。
確か。その登録したものから見てこれ引っかかるやつないやみたいな横串で検索して通知するとかもしてそうかなと思ったんですけどね。
なんだろうね、その辺のターゲット画とやっている内容がちょっと、どっかちゃんと調べればもう少し書いたのかもしれないけどちょっとパッと表面見ただけではあんまわかんなくて。
そうですね、本当に枝半に分かれていくんですよ、読んでると。
どこまで突っ込んでやってくれてるのかなっていうと。似たようなことは国内でもできなくはないというか、実際やっている部分はあると思うんだけど、
それをどの範囲まで広げていくかというか、このアメリカの取り組みも再現なくやってるわけではなくて一部分から多分やっている段々広げていこうって話だと思うんだけど、
国内でもフワッとしていると話しにくいので、具体的な話で言うと、例えば過去にあったVPLの自宅製とかでも、メーカーが連絡取ろうと思っても連絡が取れなかったとか、
担当者に繋がらんとかね。
とか最近の病院だろう何だろうの事例でも、ベンダーは知ってたけどそれがユーザーまで伝わってなかったとか、わかんないけどね。
27:08
だからいろいろ最終的にちゃんと対応が進むところまで情報がどうどういう経路でどう伝わっていくかっていうその経路の途中でいろいろ壁があるわけじゃない。
そのそこが解決していないのに、上流の例えば政府機関からとか通知をしようっていうのをやっても多分うまくいかない気がするんだよ。
結局途中で止まっちゃってみたいな。
そういう最終目的地というか本当に伝えるべき人にどう伝わるかっていうところまで考えて立てつけていかないといけないなってことを考えると、
これも取り組みはそういうところまで見越してというか、これもいきなり出てきた今回の取り組みの話で今言った枝葉っていうかいろんな積み重ねでこれまでやってきたのをいろいろ積み上げていってようやくここに来たっていう感じかなっていう気がするので、
それを考えると今まで国内でもいろんな取り組みがあるのでそれらをうまく組み合わせたり、
今実際に起きている事案がなぜ事前に止められなかったのかっていう。
教訓みたいなやつですね。
原因をちゃんと分析、得られた教訓をちゃんとフィードバックしてとかっていうことをしていかないと、
例えばその似たような取り組みを例えばやりましょうってなった時にその側だけ作っても多分うまくいかないよねっていう。
確かに。
そういうことをちょっと思うよね。
これ見てて思ったんですけど、これこんだけ詳しい情報って民間からの提供もあるわけじゃないですかもちろん。
こういうパートナーシップがあって。
これって民間、名前を連ねてるさっきのJCDCっていうやつの中に連ねてる会社なんてもう全然吹きまくっても飛ぶような会社じゃないじゃないですか。
余裕ありそうやん。イメージやけどこれは。
どういうこと?
こういうところやからできるのかなと思って結局情報提供しても自分たちにメリットがなかったらやんないっていう組織もあるじゃないですか中には。
こんだけ大きいから社会貢献としてこういうのもコストって言うとあれかもしれないですけど、
普段からやってるからこういうところ通じて情報出してもまあいいやって思えるほどになってるからできることなんかなっていうのもちょっと一つ疑問としてあって。
ちょっと話しとれちゃうけど、セキュリティビジネスって世の中がセキュアになると儲かなくなるんだよね僕らはさ。
そうですね。
さっきあげたような大手のセキュリティの企業とかも事件がいっぱいあった方が依頼がいっぱい来て儲かるわけよね。
確かにね。
単純な話で言うとね。
はいはいはい。
なのでいろいろこういう取り組みに貢献をして世の中がセキュアになっていくと結果的には自分の首を締めかねないわけで。
まあそうですね。
そのあたりが営利企業としてどこまでそれをどうやるかっていうのはなかなか難しい。
30:04
非常に難しいポイントですよねと思って。
いやまあそんな理由で協力しない企業は今の時ないと思うんだけど。
ないと思う。
そんな姿勢でやってたら顧客はそっぽ向くから。
今の時はね、そういう透明性が結構重要だし、そういう社会貢献がすごく求められる時代だからさ。
じゃあこういう風なとこに名を出して提供して貢献することが自分たちの利益という目に見える利益じゃないけれども。
むしろそういうプラスに働くっていう。
今はそうだと思う。
eサイクルですよね。
だけど短絡的に見れば、そういう目で見れば、一面ではセキュアになると儲からなくなるという側面もないわけじゃないわけじゃない。
まあもちろんもちろん。
だからその辺のバランスをうまく取っていかないといけないなっていうか。
全部が全部国営でやってるなら話は違うけどさ。
そうじゃないですもんね。
民間との協力がやっぱり大事っていうのは、それは多分アメリカだけでなく日本もそうだし、いろんな国がだいたいそうなんで。
そのあたりうまく力をどうやって集めればいいかっていうのは。
単純に社会貢献できますって言っても、多くの企業はそんな簡単に賛同はしないだろうかな。
そうですね。難しい。
だからこのサイクルが生まれるまでっていうのはすごい難しいんだろうなと思ってね。
ただこういうCISAのサイトだけじゃないかもしれないですけど、僕はアメリカのことそんな知らないんで。
わかんないですけど、CISAのサイトに行けばこういう情報が集まってるんだっていう。
一箇所ここ見れば何とかいろんなことがわかるっていう風に集まってるってことに僕めっちゃ意味あるなと思いました。
バラバラバラバラじゃなくて。
アメリカもここ数年にその省庁の再編もあったし、いろいろ組織改革やってたり、指令等を明確にしようっていう動きがちゃんとはっきりしてるっていうか。
昔はもうバラバラにやってたからね、アメリカもさ。
今はそういう意味ではだいぶ統一感が出てきたっていうのはあるよね、なんとなくね。
日本のニュースでもCISAがみたいなものをいっぱい見ますもんね。
セキュリティの注意喚起といえばみたいな。
すごいいいなって思って、見習わなあかんななんて。
僕が何できるわけちゃうんですけれども、ちょっと思ったぞっていう話でございました。
ありがとうございます。
じゃあ次は看護さんいきますかね。
はい。
今日は私はですね、3月の28日に警視庁が出した注意喚起を取り上げたいと思ってまして、
タイトルがですね、家庭用ルーターの不正利用に関する注意喚起というものでありまして、
一般のご家庭にあるルーターが悪用されている恐れがあるということで対策対応を促すといった、
そういった趣旨の注意喚起ではあったんですけども、内容がなかなか目を引くというか、
33:00
こんな対策あるんかみたいな、そういったものが含まれていたところもあってですね、
セキュリティ関係者の間だけなのかもしれないですけども、
わりかしこの注意喚起ができるできないとか含めて、いろいろ疑見があったのかなというところではあったんですけども、
どんなものかというと、家庭用のルーターが実際に外部の何者かによって設定変更がなされて、
そのルーターを踏み台に不正アクセスの事案に悪用されていたということが確認されたということを受けて、
実際それを悪用されないためにどうしたらいいかという形で注意喚起されたものであるんですけども、
対策としてその警視庁が注意喚起の中に挙げていたものが、従来の対策と新たな対策というのは大きく2つに分かれていまして、
従来の対策だけではちょっと防ぐことが難しいですよということで、新たな対策というのを呼びかけるものなんですけども、
従来の対策というのはもう本当に今までも言われているようなルーターの初期設定のパスワードID、
レフォルトのね
そうですね、そういった初期設定のものは変更しましょうとか、あるいはファームウェア、最新のものにアップデートしましょう、使用しましょうと。
脆弱性対策ですね
そうですね、あとは当然その脆弱性対策も含めたものだと思うんですけども、サポート終了したルーター開会を検討してくださいと、
そういった対策を従来のものということで整理していて、
割とこれだけでも一通りの攻撃って防げるんじゃないかなっていうのは、
やっぱり私もこれ読んでみて思ったところであったんですけども、
これに加えてっていうところで新たな対策を呼びかけられているものが、
先ほど設定変更で不正利用されているって話をしたんですけども、
いわゆるその見覚えのない設定変更がされていないかどうかを定期的に確認してくださいっていうのが、
4つ目として新たな対策ということで呼びかけられたと。
変更管理をしろってことですね、これ。
そうですね、定期的な設定変更の確認というところで、
やっぱりこれ呼びかけの対象が組織とかそういった専門の方向けではなくて、
一般の方に対して、
家庭用ルーターですよね。
はい、そうですそうです。
もう本当に皆さんの家、下手したら実家とかそういったところに置いてありそうな、
そういったルーターに対して実際に使用されている方に呼びかける内容ということがあったので、
これできるの?っていうなかなか疑問不可がつくっていうところがありつつ、
ただその継承としては、
36:01
実際にルーターを販売、製造しているメーカーであったり、
関連団体と今回注意喚起を出すにあたって連携はされていてですね、
同じタイミングで有名なルーターを販売しているBuffaloとかIoDataとか、
もう誰でも聞いたことあるような、
ヨドバシに並んでいるようなやつってことですね。
インターネット買いに来ましたみたいなことを言えば連れて行かれるところですよね。
はい、そうですね。
そういったところからも同じような内容のルーターの不正利用に対する注意喚起の呼びかけっていうのがされていて、
これちょっと違和感というか、
メーカー自身ももちろん不正利用を受けて警視庁が注意を呼びかけるということそのものについては、
そもそもの違和感として賛同しますっていう、
賛同。
はい、賛同ですね。
注意喚起に賛同するってあんまり見たことないんですけども、
そういう意見というか、意見というか意思表示っていうんですかね。
各それぞれの企業団体からなされていて、
特にDLPAってご存知ですかね。
デジタルライフ推進協会の略らしいんですけども、
そういうところが業界団体までいかないかな。
メーカーのルーターの販売などを行っているうちの4社が参画している協会というか団体があって、
DLPAが推奨しているルーターというのを今回の注意喚起を受けてご紹介をされていると。
その4社から販売されているものは、
ちょっといつからっていう記述がちょっとなかったような気がするんですけども、
少なくとも今販売されているものに関しては、
DLPAの協会が推奨する機能であったり対応が取られているというところで、
大まかに2つ書かれているんですけど、
ファームウェアの自動更新機能がありますよというものと、
あとルーターの管理画面に対してのログインID、パスワードが固有かっていうか、
要は機器それぞれに。
機器ごとにユニークってことですかね。
同じものがアドミンパスワードみたいな話で振られているわけではなくて、
それぞれにおそらくランダムなIDやパスワードが振られてますよっていう、
そういったものを推奨ルーターということでご紹介をされていて、
さらに4つの対応の呼びかけということで、
これはさっきの従来の対策と決勝が呼びかけていたところと被るんですけども、
被る部分があるんですけども、最新ファームウェアを使ってくださいとか、
安全なパスワードを設定してくださいとか、
あとはサポート修理の期限についての意識を持ってくださいとか、
更新プログラムの提供もしっかり気にしてくださいねと、
39:00
脆弱性対応を受けてですね。
この辺を受けて、先ほどの注意喚起に賛同するということで、
利用者に対しての案内を実際に行われているというところではあったんですけども、
やっぱりちょっと違和感として、新たな対策という形で、
先ほど経営市長が呼びかけに含められていた定期的な設定変更の確認というところが、
それそのものの文言というのが書かれているケースはあるんですけども、
具体的にどうやったらそれをうまくやれるのかとか、
あるいは次のファームウェアのアップデートでそれを自動的に確認する機能がつきますよとか、
そういった案内はちょっと残念ながら、私が見る限り確認ができなくて、
同時のタイミングで出しているので、事前に内容の擦り合わせがある程度されているのではないかなというのは何となく想像はしているんですけども、
何となくこの辺少し差分というか、多分経営市長的には新たな対策というのを強く呼びかけたいところだと思うんですけども、
メーカー側としては新しいのを買ってくれれば大丈夫ですよというような感じに何となく見えるので、
そこが少し違和感があるかなというところがあってですね。
要は一般利用者としては、新しいルーターを買ってやることをやっていれば新たな対策というのをやる必要があるのかないのかというのか、
よくわからないという、そういう感じにならないかなというのが。
そうですよね。
そうなんですよ。そこがやっぱりちょっと見てて違和感がある。
今の看護さんの感想というか、一般の人が思う感想は割とごく自然な感じで、
このDLPAの推奨をするというか、この4社って多分国内のルーターのメーカーのシェア度をほとんど占めているんじゃないかと思うんだけど、
大手だからさ、こういうところが出している最新の機種を買っておけば安全っていう方がわかりやすいよね。
だし多分メーカー側はそうやって言ってるんだと思うんだけど、
逆にだからこの警察の言ってるのがちょっとわかんないというか、
例えば見覚えのない設定変更がされているっていうのは、侵入されて変更されましたってことだよね。
そうですね。
ということだと、はい。
覚え以外は理由にはなかなかできないですよね。
だから何かしらの理由でパスワードが弱いとか脆弱性があったかわからないけど、
何か理由があって設定変更されてましたっていう状態がまずいのは誰でもわかるから、
その原因をちゃんと直してというか最新の機種に変えるとか、
それこそDLPAの推奨している最初のやつに変えてとかっていうふうにしておけば、
定期的にする必要があるのかが俺でもよくわかんないんだけど。
はい。ちょっとそこがね、やっぱりうーんっていう感じですね。
変更されてたタイミングでまずいっていうのはわかるから、それをちゃんと直して、
その原因となった分もちゃんと穴を塞ぎましょうっていうのは、
まあそれはいいんだけど、穴塞いだらさ、もう一回それが起きるはずがないんだから。
そうなんですよね。
本当に一回だけ確認してみましょうとか、それだったらわからなくもないというか。
42:02
定期的に確認する必要性がちょっとわからないよね。
定期的って何なんですかね。
これを利用者側に求めるのであれば、それそのちゃんとした理由と、
あとさっき看護者が言ったみたいな、目視で何とかするんじゃなくて、
それをちゃんとね、やる仕組みっていうのも加えてやらないとあんまり利益がないし、
現時点ではこれやる必要性が全然第三者的には感じられないというかさ。
そうなんですよ。
それが問題ではない。たぶん注意喚起をしている警察側は何かしら理由があって書いてると思うんだけど、
それが読み取れないよね全くね。
一応報道では、注意喚起には記載なかったんですけど、報道だけ見ると、
2020年以降の国内の大手メーカーや通信会社が不正アクセスを受けて、
内部システムに侵入される被害が相次いだことを受けて、
その記録っていうんですかね、通信記録を調べたらっていうのが発端という形では報じられてはいるんですけど。
まあまあ踏切になってんだろうなってのはわかるけどさ。
まあまあっていう話ですよね。
わかるけど、その対策としてこれを利用者に求めている必然性がわからないというかね。
そうですよね。そうなんですよね。だから結果うまく回らないとなるとね、
一番まずい事態なのかなとは思っていて、
もし仮にその最新のルーターを使っていても起こるんであれば、
それはしっかり対策を、ちょっとこの4つの対策だけでできないんであれば、
それはそれで非常に深刻な事態だとは思うんですけども。
これ情報としては出しにくいと思うんだけど、
例えばね、実際にそういった事案で踏み台となった家庭用のルーターが実は古い機種でとか、
特定のこういう機種がとかってのがわかるんであれば、
そういうのは使わないようにしましょうとかね、例えば。
そうですよね。
でも例えばこのDLPAのその4社の出している最新のルーターが、
その中にもし1台でも含まれているんだったら、
そもそも言ってることに矛盾が生じてるんで、
おかしくなっちゃうじゃない?
いや全くもってその通りで。
でも多分俺が思うにその最新のこの何?
そのちゃんとしたこの4つの対策のポイントがしっかりしているルーター、
家庭用のルーターが踏み台になることってないと思うんだよな。
いやーそうなのですよね。
そんなことがあったらとても悲しい話だよ。
いや本当に。
それでもあったとしたらゼロデイとかですよね。
そうそうそう。
本当に大騒ぎになるので、
というか注意を呼びかけるとかっていうレベルではない。
いやそんなレベルじゃないですね。
なんで、だからどっちかっていうとこの外から見ただけだけど、
メーカーの言ってる通りにやってて、
もしそういった問題があるならそれこそ大問題なので、
なんかちょっと違和感があるっていうのは僕も思うね、それはね。
なんかもうちょっと書きっぷり工夫できなかったのかな。
そうですね。
なんかちょっともったいないなって感じがしますよね、せっかく。
45:04
みんな頑張って注意を呼びかけてるっていうのはわかるんですけど、
それが何か行動に繋がるのかなっていうのがちょっと疑問ではあるかなとは思います。
むしろだから定期的な変更には一旦置いておくとして、
僕はなぜこのタイミングでこういう注意喚起が出たのかっていう方がちょっと気になるし、
そこを取り上げるべきで、
紹介してくれたメディアの記事みたいにさ、
多分実際にその警察に被害届けがあった何らかの複数の事案、
1個だけの事案じゃこんなこと出てこないと思うんで、
多数の事案で何か似たような、
こういう家庭用のルーターが踏み台になって、
攻撃者の前にたどれないような、
そういう苦い経験が警察側にもあって、
何とかしようっていうことだと思うんだけど、
あんまり実際に踏み台として使われている家庭の人は意識してないと思うんだよね。
そうですよね。使えなくなるわけじゃないわけですかね。
企業向けの侵入事案でまさか自分たちが踏み台になっているなんてことは多分わからないと思うんで、
そういうことをみんなに意識してもらおうっていう点では、
こういう注意喚起って大事だと思うんだけど、
そういう意味ではもうちょっと、
その辺のニュアンスが伝わりにくいなっていうか。
確かに本当に思いました。
操作の過程でって書いてあるけど、
具体的に何なのっていうのがわからないし、
それがどのくらい深刻なのっていうのが伝わりにくいよね。
そうですね。
いろいろその辺を考えてこうなったんだと思うんだけど、
その裏の事情を知らないからなんとも言えないけどさ。
この注意喚起のページ?言えばいいですかね。
家庭用ルーターの不正利用に関する注意喚起についてっていうやつを、
かんごさんが言った新たな対策。
新しいタイプの対策でしたっけ?
新たな対策でした。
新たな対策っていうところの違和感ももちろん去ることながら、
この文章のパッと見たサイトの構成に僕は違和感を覚えました。
そこからですか?
それはいいんじゃない?
いやいや、デザインとかそんな話してるんちゃうんだよ。
真面目に喋っとんねんこっちは。
背景とかがないんですよ。概要とか。
なるほどね。
いきなり使用された手法っていうのがあって、
今どんなことが起きてるのかとか、
言うことが書かれてないっていうのに僕は違和感があります。
いきなりヤバイスから来られても、
何があったら一旦落ち着いてって思う感じの文章というか。
深刻度合いがちょっと伝わりにくいよね。
難しいよね、その辺はね。
シンプルにいったらあるかもしれないけどね、
注意関係の内容をごちゃごちゃしないようにいったらあるけど、
ちょっとその辺の真意が伝わりにくいかなっていうのはあるな。
48:03
やっぱり動機づけみたいなものをするためには、
なんでそれせなあかんの?みたいなところがないと厳しいかなっていう。
言えること言えないことあるんでしょうけれどもね。
あと見覚えのない設定っていうの。
こんなんでも僕久しぶりに自分のルータリーの動きをしても
見覚えあるかないか分からないというか。
そうなんだよね、俺もそれ思った。
難しいんですよ。
だって僕自分のクレジットカードの買い物のやつも
ほとんど見覚えないんだってね。
それは問題だと思うんですけどね。
まあまあそれはありますけどね。
そもそも設定画面をちゃんと見ない人が多い。
まあそうですよね。
最初からそうなったのか、
途中で改ざんされたのかって多分分かんないと思うよ、見ても。
そうなんですよ。
だからこそさっき看護師さんが言ったみたいな、
書き換わってないかっていうのをチェックできる仕組みがないと
多分目視では分かんないかもね。
そうですね。
見たこと、そもそも見てないっていうのもあるってことね。
見覚えの前にね。
そうなんだよ、多分ね。
そういう人が多いんじゃないかなっていう気がする。
こういう対策もしていかないといけないっていうのがあるってことは
このDLPAのWi-Fiルーター4つの庭園に
5つ目の変更管理ができることってのがつくのかもしれないですね。
そうですね。
まあそうですね、賛同されるんであればついてもおかしくないですよね。
今までのではダメだって言ってるわけですからね。
そういうわけですね。
ちょっとこれは継続案件かもしれないですね。
そうですね。
ありがとうございます。
はい。
なんか今日ちょっと盛り上がってますよ。
そうだね。
全体的に。
いい感じですか?
いい感じの。
最後はネギスさんお願いします。
軽めにシンプルにいきますか、最後は。
全く当ててもらわないですけどね、そのマックな言葉。
私からはですね、今週結構大きな話題になった事件で
これ3CXって読むのかな?ちょっと読み方よくわかんないけど
3CXって海外の会社のソフトウェアでサプライチェーン交易がありましたっていうのを
今週ちょっと多くのセキュリティベンダーとかが取り上げてて話題になったんで
これを取り上げようかなと。
ただこれ今ちょっとまだ現在進行形なので、ちょっと触りだけ少し話そうかなと思うんですけど
何が起きたかというと、これ3CXっていう
ちょっと僕使ったことないんだけど
ソフトウェアベースの会社向けとかにオフィス向けに電話のシステムとかを提供している会社で
そのうちのクライアント向けのVoIPのソフトが今回のターゲットになったんだけど
会社の案内によると全世界で60万以上顧客がいて
デイリーのユーザーが1200万以上っていうから、そこそこの規模
見たらちょっとアメリカとかヨーロッパが多い感じがしたけど
おそらく日本にもユーザーいると思います。
今週そのきっかけは3月29日にクラウドストライクが注意喚起を出したというのがきっかけになっていて
それを皮切りに相次いで他のEDRのベンダーとかが注意喚起を出して
51:04
今多分主要なセキュリティベンダーほとんど全部出してるんじゃないかなっていうぐらい
非常に大きく盛り上がっているんだけど
何が起きたかというと、クラウドストライクが何を注意喚起したかというと
3CXっていう会社が出しているデスクトップアプリの正規のインストーラーにマルウェアを購入してますと
正規のインストーラーで会社の署名もちゃんとついているし
会社のアップデートのサーバーから配布されるやつなんで
いわゆるこれはサプライチェーンアタックですねと
今のところなぜこれが正規のインストーラーに購入したのかという原因はちょっとわかってなくて
今3CXとかマンディアントに依頼して調査してもらってますというだけブログで報告してたので
今後多分マンディアントが詳しく調べてフォレンジックとかやってね
結果が出るのを待つんでしょうねということなんで
ここで話を聞くと何年か前のソーラーウィンズの事件を思い出すなというか
ちょっとゾッとしますね
そうなんだよねちょっとあれと近い大規模なサプライチェーンアタックだなという
今のところそういう印象ですと
マルウェアを購入したってやつはWindows版とMac版両方あるんだけども
ちょっと動きを簡単にWindows版だけ簡単に紹介すると
インストーラーのファイルの中にファイルが3つ入ってて
正規のアップデートのバイナリと不正なDLLが2つ入ってましたと
その不正なうちの1つはFFMPEGというオープンソースの動画のプレイヤーのライブラリだよね
ただこれもちゃんと3CXの署名がついてますという感じで
この辺の話を聞くと開発環境が多分やられて
何か署名付きで配布しちゃってるんだろうなという感じに見えるんだけど
ちょっと今のところ原因はわかってませんと
もう1個がD3Dコンパイラーってこれもマイクロソフトが出してる正規のDLLがあって
ただし後ろに暗号化されたペールドがくっついてるっていう感じで
この2つのDLLが同梱されて配られてると
動きとしては正規のバイナリが動くと
DLLサイドローディングでこのFFMPEGのDLLが読み込まれて
そいつからそのもう1個のDLLにくっついている暗号化されたペールドが読み込まれて
それが取り出されて実行されますと
簡単に言うとこういう動きになってて
どうも暗号化された時に使われている鍵がちょっと固有のキーになってて
これが過去に北朝鮮のアクターが使ったのと同じだとか
あとはそのシェルコードの特徴も似てるとか
いくつかそういう類似点があって
どうもこれは北朝鮮がやったんじゃないかっていうのが今のところのアトリビューションで
54:02
クラウドストライフとかいくつかのベンダーが言っていますということですね
最終的に実行されたペールードのシェルコードが何をするかっていうと
実は1週間スリープをして
これはもしかしたら検知を避けるためかもしれないけど
一定期間スリープがあってその後にGitHubのあるレポジトリにアクセスに行って
そこのディレクトリに置いてあるアイコンファイル.icoっていうアイコンのファイルを取ってきますと
これファイルが16個あるんだけどランダムにどれか1個取ってくるらしいんだけど
そのファイルにこれまた暗号化されたC2のURL情報が隠されていて
どれかアイコンのファイルを1個持ってきたらそれに対応するC2のアドレスに接続に行くという
こういう動きをしますねと
最終的にここまででもだいぶややこしいんだけど
アクセスしに行ったC2からマルウェアが降ってきて
これが最終のマルウェアなんだけど
どうやらインフォスティーラーのマルウェアらしくて
ChromeとかEdgeとかFirefoxとかいわゆるブラウザの情報を収集して
C2のサーバーに送るような
そういういわゆるインフォスティーラーっていうマルウェアが
最終的なマルウェアとして降ってきますと
今のところここまでのところはわかっていて
細かいところは省くけども
そんな感じでどうも北朝鮮と思われるアクターが
開発元の3CXの何らかの方法で開発環境に侵入したかなんかして
正規のインストラにマルウェアを含ませて配布したという
こういう感じになっていて
今まさにこれ現在進行形で2,3日前に発覚した事件なんで
多分今世界中でいろいろマルウェア感染しちゃったユーザーとかが
対応に追われてるんじゃないかなっていう
そういう感じだね
現時点でこれだけなんで
実際にアクターが何を狙ったのかはちょっとまだはっきりしないなっていうのと
ひょっとしたらこの顧客結構ね
サイトを見るとかなり世界中の大手の企業とか
あと政府機関とかも顧客に入ってるんで
どこかが本当のターゲットで
その他は巻き込まれたのかなっていう可能性も
流れ玉的だ
ひょっとしたらねかもしれないし
あるいは他はこの後インフォスティラだから
盗んだ情報を使って何かするために
とりあえず広く収集だけしたのかもしれないし
ちょっと狙いははっきりしないよねまだね
そういう感じですと
あとちょっとこれ見てて
なかなか難しいなと思ったのは
1週間ぐらい前に3月22日ぐらいから
マルウェアが購入したWindows版のインストーラーが配布されたのが
57:00
どうもその時期らしくて
そのタイミングぐらいに3CXのユーザーのフォーラムで
なんかそのアップデートしたら
EDRは検知してるんだけどみたいな
そういう
EDRだったら検知できそうな感じの
そうなんだよね
なって今聞いてて思って
ユーザーの投稿を見ると
センチネルワンだとか
いろんななわたるEDR製品が
シェルコードを実行してますよみたいなエラーメッセージで
この3CXのアップデートのソフトウェアを隔離しちゃったと
なんかそういう挙動があるんだけど
これってご検知なの?みたいな
そういう投稿が実は1週間くらい前にあって
他のユーザーもそれ俺もだみたいな感じで
これ何なの?みたいな感じになってたんだけど
結局そのタイミングでは
多くのユーザーがこれご検知だよねって言って
これ回避するにはどうすればいいんだろうって言って
そっちに向いちゃったんですね
一番赤の方に向いたんですね
そっちか
そのEDRの例外のリストに
例えばこの3CXのファイルを入れようとか
ファイルパスをここに登録すれば回避できるよとか
なんかそういう悪い意味での情報共有がされてて
結局1週間後の3月29日に
クラウドストライクから注意喚起が出るまで
みんなだからご検知だと思い込んじゃってた節があって
しかもその3CXのサポートのスタッフも
それに関することを特に
これは問題だからみたいなことは特に言ってなくてさ
それはそのEDRのベンダーに問い合わせてねみたいな感じで
一言なのよね完全に
という感じなんで
せっかく最新のEDRだったら
多分これでほとんどのEDRは検知してるんだよね
ですよね
研究的な動きですもんね
どう考えてもおかしい動きなので
スリープするとかもね
そうなんだよね
最近のやつはこの辺はちゃんと検知するんだけど
結局検知してもさこうなっちゃうっていう
いやこれすごい悪いけどいい事例ですよねこれは
学びがある
めちゃくちゃこれいい教訓だなと思って
結局そういう最新の検知技術があって
もう活かせなかったらダメなんだなっていう
ですねもったいないですね本当に
ちょっとだからねその辺は
イタタタタって感じで
ただなんかちょっと今聞いてて
すいませんちょっと暴っちゃって
国が関与している可能性があって話があったので
もうコスト度外視的な動き方を考えるんであれば
なんかそのフォーラムとかもチェックをしていて
あえてそちらに誘導するとかっていうのは
考えられなくはないなってちょっと今聞いて
一ユーザーを装ってね
って思いました
それご検知だよこれでも回避できるようになったら
全然あり得るよねそれはね
確かに本当に教訓ですねこれは
いやだからこれでもそのほらよくある
1:00:02
マネージドのサービスとかで専門家が見てれば
ちょっと違うかもしれないけど
エントユーザーがこういうのを見てもやっぱり
わかんないと思うんだよね
実際時々ほら例えばマイクロソフトリフェンダーが
正規のファイルを確立しちゃったとかさ
例えばだけどそういう事案って
実は結構あるじゃない
アンチウイルスもこれまでいっぱいありましたね
そういうのはね
だからそうなっちゃうとさ
なんか狼少年的になっちゃって
またこれもご検知かみたいになっても
まあ仕方ないかなっていうか
これユーザーを責めらんないなっていう
そうですね
だからこれはすごくなんかね
いい教訓だよね本当に
止めた止めてないだけじゃなくて
なぜ止めたかわからないと
活かせなかった事例ってことですね
ちょっとまだ現在進行中
どれぐらいの影響範囲で
どこまで被害が拡大したのか
まだちょっとはっきりしないんだけど
今のところこういう事案が
もう今起きているっていうのと
ちょっと検知はできたけど
止めるのは難しかったのかなっていうのと
あとまぁちょっとまだ
全体像がはっきりしないんだけど
そのMac版はなんかもうちょっと前から
実は配布されてたんだけど
なんか利用者が少ないから
気遣われててなかったんじゃないか
みたいな話とか
だからWindows版よりも
遥かに少ないらしいんで
なんかMac版の方が
マルウェア購入してるバージョンが
古いんだよね
もっと前からあって
もしかしたらそっちでちょっとテストして
Windows版でやったとかっていう可能性も
あったりとか
確かにね
あとさっき言った途中で
C2のURLを取ってくる
GitHubのレポジトリとか
去年の12月にセットアップされてるらしいんで
まぁまぁ前から
あとはそのC2で使ってるドメインとかも
少し前から2月とかもっと前から
そのによったらセットアップされてるらしいんで
まぁまぁやっぱり準備期間を置いて
やられたんだなというのを考えると
まぁその国家背景かどうかわかんないけど
かなりここだけ見ても
かなり手の込んだ攻撃には見えるので
ちょっとこの後が心配というか
ここで終わりではないんだろうなぁと思うと
ちょっとね
あとまぁその侵入に繋がったというか
どうやってやったのかっていうその
原因も気になるところで
初期アクセス的なね
どうやったんだろうなぁ
っていうのもちょっとわかんないんだけど
はいということで
ちょっとまぁこれはまだまだちょっと
継続ウォッチ案件だと思うんだけど
そうですね
ちょっと注意が必要
まぁ日本ではむしろユーザー少ないかもしれないけど
使ってるところがゼロではないと思うんで
そこは多分ね今現在進行形対応が必要だと思うんで
注意してくださいっていう感じですね
そうですね
先ほどのGitHubとか
通信先の情報っていうのはもう
いろんなセキュリティーベンダーが
インディケーターとして効果されているんですかね
IOCで出てくるし
あとまぁあのさっきのGitHubのレポジトリはもう
アクセスできなくなっているのと
あと主要なそのC2のドメインも
なんかもうテイクダウンされてるみたいなので
1:03:00
ほとんどは
だからまぁ今から新しく新規に
被害が発生するってことはないかもしれないけど
まぁ過去に
そういうところにアクセスしてないかとか
もうすでに情報が送信されてるんじゃないか
っていうのは調べた方がいいかもしれないですね
ですね
いやでもこれさ
EDR入ってても検知しても
こうなっちゃうっていうのもあるけど
EDR入ってなかったらこれ分かんないね
分かんないですね確かに
いやだってこれだって
普通にアップデートに入ってきたら
これ分かんないよ止めらんないよこれ
いや本当に
やばいよねこれ
あとこれから何か起きる
これから起きる事件とかが
実はこれと関係あったみたいな
そうそうそれもありえるよね
それも合わせて見とかないとっていう感じで
ちょっとしましたね
いやでも怖いなこれ
自分たちで
オッケーこれ通しちゃえっていう風にやって
このニュースがバッて出た時に
スルーしてた3CXの人も
そのスルーさせるようにした
設定した人も
はぁってなったんでしょうね
いや本当だよねこれ
息すいますよねめっちゃ
まさかって感じだよね
ですね
なんか想像しただけでちょっと
結構怖いなって思いましたね
こういうのがもし
攻撃がそんなに短いに起きるかどうか
ってのは分かんないけど
もし似たようなことが起きた時に
ちょっとハッと立ち止まって
考えてみないといけないよね
いやこういうことあったっていうのは
ちょっとこれは広めた方がいいですね
これ本当にご検知で大丈夫っていうのは
ちょっと立ち止まって考えるべきだよね
怖い
ゾワッとしましたねちょっとね
いやゾワッとした
なんかちょっとゾクッとした
僕が毎年しているデータセンターの話より
怖かった
毎年毎年してるっていうのも
どうなんて
怖い話ね
いやいやありがとうございます
はい
はいということで今日も
三つのセキュリティのお話してきたので
最後におすすめのあれを
紹介しようかなと思うんですけども
今日は食べ物紹介しようかなと思って
僕ほらお二人もご存知の通り
コンビニ大好きじゃないですか
よく行ってるよね
コンビニしか買ってないくらいに
持ってますけど
コンビニいろんなコンビニ
散歩のついでに
今日はここ行ってみようとかね
いろいろやってるんですけど
結構やっぱなんか
相性的には僕ファミマが
一番相性いいのかな
今日もファミマに
ファミマであるものを結構紹介してることが
多いかもしれないですけど
共通であるものもあるんですけど
今日紹介するのはですね
ファミマのブランドというか
OEMかもしれないですけども
ファミマルっていうブランドで
出してるやつなんですけど
それの1日の
2分の1量のカルシウムが取れる
コーンフレークフロストっていうのをね
今日はお勧めしたいなと思ってて
これね僕
お二人はあんまピンと
お二人も全員ピンと
来ないかもしれないですけど
朝ごはんあんま食べないんですよ
1:06:00
朝起きてない説ってことですか?
お前が食う飯はいつも
それは昼飯やろうかという
ご指摘を頂戴してるわけですかこれは
起きてんねん
最近ちゃんと朝も起きてんのよ
そうなんですね
すいません
その辺の情報を
アップデートしてませんでした
それも続くかどうか分かれへんから
起きて食べるご飯って言うかじゃあ
ならば
結構起きてすぐ食べずに出かけることが
結構習慣化してても
若い時からなんですけど
そうするとやっぱり
持たないわけですよ
腹減って
公演がある時は
食べないと決めてるんですね
頭がボーっとするから
なるほど
でも普通に打ち合わせとか
食べた方が良かったりする時もあるんで
とはいえ
朝あんまり食べる気しないんですよ
やっぱり習慣もあって
このコーンフロスト系だと
結構食べやすいし
それなりに栄養価も高いじゃないですか
なんで食べてて
もともとそういう時には
ケロックのコーンフロスティーを好きで食べてたんです
昔からですよね
そうそう
あれって結構スーパーにはよく置いてるけど
コンビニにはあんまないんですよ
そうなんだ
あんまり見かけないんですよね
そうそう
こんなオリジナルブランドあったら
絶対並べないじゃないですか
たまたまコーンフロスト系食べたいなと思って
買っとこうと思って
その時たまたま行ったのがファミマやっただけなんですけど
なるほど
買ってきて食べたら
ケロック以外のものは
結構甘さが控えめすぎて
あんま美味しないイメージだったんですよ
なるほど
種類によっていろいろ違うもんね
ちょっと薄いみたいな
で食べてみたら
全然そんなことなくて
あれ?と思って
試しにと思ってスーパー行って
ケロックコーンフロスティーも買ってみて食べ比べたんですよ
そしたら
こっちのファミマの方が甘かったっていう
甘みが強いというか
あれも結構甘いと思うんですよね
甘いんですよ
甘いんですけど
そうそう
こっちの方が甘みがあるのと
あとは食感が別にちょっと違いますね
なるほど
ケロックの方が結構パキパキしてるんで
好きな人はあっちの方が好きやろうなと思うんですけど
ほうほうほう
僕も完全にこっち派になってしまって
栄養もそれなりにとれるんでね
一食40グラムで牛乳200mlかければ
1カルシウム1インチのやつがとれるっていうんで
サクッと食べて出かけるのにもいいかなと思って
紹介したんですよね
ちなみにこれは何回かに分けて食べるじゃないですか
袋に入ってるんでね
一番最後に食べるやつがいっちゃ美味しい
砂糖が残ってて大きめ
なるほど
キャベツ太郎食べた後の手が一番美味しいみたいなやつですよ
よく分かんない
分かれへん
嘘
よく分かんなかったけど
1:09:00
万人が分かるたとえやと思って言ったんですけど
分かれへん
分からへんかったらいいです
はいなので
そう出かける前にはちょっとなんかこういう
簡単なもんでもお腹に入れて出かけた方がいいんじゃないかなということで
僕も頑張ってやってるんでということで
おすすめしてみましたということです
はいありがとうございます
はいということで
今日も全部終わりましたね
じゃあまた来週のお楽しみでございます
バイバイ
バイバーイ