1. Replay.fm
  2. #1 初回なのでヌルヌルやった..
2024-09-08 1:01:39

#1 初回なのでヌルヌルやったけどいい感じだった回

初回です。編集のイマイチポイントやタイピング音は今後徐々に良くなります。

実施した際のメモは下記をご覧ください。


https://sota1235.notion.site/2024-09-05-9f2262d58f4e432eb58a6f8e8e96600b

Summary

このエピソードでは、初めての試みとして、セキュリティ関連の情報を共有するFM形式のポッドキャストが始まります。リダイレクトやHSTSなどの技術的な話題について、キャリアやインプット不足を感じている二人がざっくばらんに話し合います。このエピソードでは、日本におけるフィッシング攻撃の増加とその影響について議論します。特に、Zscalerによる調査結果や、マイクロソフトのブランドがフィッシング攻撃の対象となっていることが取り上げられます。このエピソードでは、リフレッシュの必要性や情報セキュリティに関連する話題が取り上げられます。また、中小企業への脅迫件数が増加していることについても議論されています。生体認証技術の導入が進んでおり、特に東武鉄道と日立製作所の取り組みが注目されています。デジタルアイデンティティを活用した決済システムの利便性とその実際の運用について、さまざまな視点から考察されています。このエピソードでは、最新の攻撃や脆弱性についての議論や、開発環境のセキュリティについて深く掘り下げていきます。また、実際に経験した古いライブラリの管理や脆弱性への対策についても触れています。このエピソードでは、ビットワーデンやワンパスワードなどのパスワードマネージャーの実装やE2EE(エンドツーエンド暗号化)の重要性について詳しく掘り下げています。また、macOS版カールに関する興味深い考察や、セキュリティの課題も取り上げられています。

ポッドキャストの開始
こんばんは。
こんばんは。
えっと、Replay.fmです。第1回ですね、第1回。
めちゃくちゃヌルッと始めちゃった。
やり直す?
いや、いいよ、もう多分何回やり直してもね、変わんないから、このままいかせていただきたいってことです。
まああれですね、初回なんで何をするFMというか、まあFMなのかって感じなんですけど、
きっかけは僕が、とある日にツイートしたことではあるんですけど、
結構なんかセキュリティ系の仕事になって、1,2年ぐらい経って、いろんな情報をキャッチアップするようになって、
思ったこととしては、情報量がめちゃくちゃ多くて、結構なんか記事の紹介が、フィードとか読んでも追いつかねえなみたいなことを思っていて、
なんで毎週読むとかしても、1週間サボると一瞬で溜まっちゃったりとか、
またなんか読む、これは読む価値ある、読む価値ない記事があるわけじゃないですけど、なんか相対的にこれ読んでおきたいよねみたいな、
なんかそういう色分けみたいなのもあるよねっていうところを、なんか誰かとワイワイしながら、
この記事で、これが面白いよねとか、まあそういうのができたらいいなーっていうのをふんわり思ってて、
そこにまんまと釣られたヤギハシ君が来てくれたので、
まあまずは2人でというか、ゆるっと始められればなという気持ちでございます。
記事の読み上げのルール
何かコメントありますか。
ヤギハシです。
コメントか、なんか僕もちょっとインプットが最近足りてないなっていう風に思ってたところだったので、
渡りの船っていうことでやろうよっていうので、
ちょっとさせてもらってます。
ちょっとね、個人的にはね、キャリアとスキル的には僕からギブできるものがね、あるのかっていうところが怪しいんで、
まあワイワイがかりとして。
もはや本業でセキュリティーやってないから、どっちかっていうとそうかっていうか、強いんじゃないかな。
強いかなー、いいな。
ワンチャンあるよ。
まあ、頑張ります。
頑張らないけど、頑張らないけど、まあまあ精進しますって感じですね。
で、これなんか記事読んでいく中で、いちいち音読とかさすがにできないんで、
どの記事を読んだとかは、その記事のリンクとかは後でまとめてNotionでパブリックページで巻こうかなと思ってるんで、
まあ気になる人は見てくれればいいし、
まあなんかそもそも視聴者いんのっていう話はありますけど、
まあまあ気にせずやっていこうかなっていう感じですね。
誰も聞いてない精神でやらないと精神持たないからね。
別に自己承認欲求を満たしたいわけではないので。
これは話しながら読んでいく感じなんですかね。
そうだね、やり方というか簡単なルールとしては、
あらかじめこのフィード読みたいねっていうのは当たりをつけてあって、
そのフィードで前回の収録から追加された記事をバーッと並べて、
そのうちセキュリティに関連したり、
事前に時間があって目を通せる場合は読みたいよねみたいなタグをつけといて、
上から順番に時間が許す限り読んでいけばいいという感じかな。
内容はその場で頑張って読む感じかな。
なんか読むのに1時間かかるような記事があったらちょっと、
まあそれは次回までの宿題とかにするか、
その辺の運用もちょっとおいおい考えようか。
なんか今ちょっと思ってるのは、このNotionで記事を今一覧化してるけど、
Weekでグループにすると、これ月曜始まりになってるよね。
これは月曜始まりになってるね。
今撮ってるのが木曜だから、なんかうーんってなっちゃうね。
一番いいのが。
これでも今Weekがあれか、
グループ化する時に使ってるのがそもそも追加した日付だから、
技術的な話題の共有
そんなにバグらないのか。
そうだね、これ手動で変えられちゃうから、
なんかこれWeekじゃなくて、
なんか収録日みたいにしちゃえばいいんじゃないかな。
収録日。
まあでも別にCreatedでいいんじゃない?
Createdは、まあCreatedでもいいか。
でもCreatedだと明日追加し…
本当は、
本当は月曜に全集文を読めるといいんだ。
ああ、そうだね。
だから収録日の方をなんか調節した方が本当はいいのかもしれない。
けど、まあいっか。
まあちょっと後で、月曜はね、
私、固定でパーソナルジムに行ってるから、
通うかな。
だいたい毎回なんか休日も被るしね。
そうだね。
通うあたりでいいかもね。
確かにね。
まあおいおい調整しつつ。
まあ事前に読みたいものを付けてるやつがあるんで、
まあ一番上からちょっとつらつら読んでいきますかね。
これ俺が追加したのかな?
覚えてないけど、
なんなら別の場所でシェアしてくれて、
一応目は通してる案件であるんですけど、
これ、個人の記事かな?
個人の記事か。
記事っぽいけどね。
J…
ああ、そうだね。
読んだ?これ、読んだよね?
読みました。
ああ、なんか僕の理解だと。
いやでもちょっと、
この記事を要約し直そうってなると、
やっぱ自分の理解が試されるかもなって、
口が止まるな。
まあ結構何を、
まあ割と人々を安直にHTTPからHTTPにリダイレクトしてるような話と、
まあ今はHSTSとかがあって、
なんならHSTSのプリロードとかもあるから、
まあ通常のウェブブラウザーとかで見てみれば、
それで結構通信の大部分、
現実に保護できてあるけれども、
これがAPI、
必ずしもそれがベストなプラクティスではないと、
書いてくれる感じですかね。
で、なぜかという話がまあつらつら書いてあるんだけど、
なんだっけな。
あれだね。
読んでから記憶が新しいうちに、
この収録やらないとダメだね。
確かに。
まあでも読み直すいい機会ということで。
えっと、
クライアントのアプリケーションによっては、
なんだっけ、
HSTSとかをそもそもサポートしてないっていうのがあったりするね、
っていう話を書いたりとか、
あとはなんか、
つまりリダイレクトは大体のケースにサポートしてるよね、
書いてくれてたような気がするんだけど、
えっと、
every single one of our business 絶対のケースは。
ビルトインのフェッチは、
えっと、
リダイレクトは普通にやってくれるよう、
従ってくれるよう。
まあでもここは結局クライアント側の実装は、
サーバー側ではコントロールできないから、
どの言語の何のライブラリ使ってるかとか、
思うと、
何でアクセスされても、
安全なように作っていく感じでは。
全くなんか担保できてない。
要は仮に毎回httpからhttpsにリダイレクトしてたとすると、
えっと、
仮にそのシングルな、
シングルのその1回の単発のリクエストで、
APIのコールが完結する場合だったら、
100回APIコールすると、
毎回リダイレクト挟むので、
実際には200位取りして、
かつ、
そのうち半分が平文、
httpという話。
その辺の回数の話とか書いてないけど、
何を書いてるかっていうとそういう話。
そうだね。
理解理解理解。
で、
それに対して、
API側でやれることがあるんじゃないの?
って言ってくれてる。
リダイレクトさせる。
フェイルファーストの原則で、
そもそもhttpでコールされたら、
リクエスト次第は失敗させるっていうのが、
要は、
なんていうか、
httpのURLでハードコードされてる場合とかには、
そういう形にしてあげることで、
開発者が早く気づいて、
書いてくれてたりとか、
あるいは、
これ誰かからのコメントなんか、
コメントっていうか、
誰かからの指摘を引用して、
追記してくれてるんだと思うけど、
そもそもhttpで通信に乗っかった、
APIのシークレット、
アクセストークンとかは、
その場でリボークするべきなんじゃないか、
インバリデートするべき指摘を、
追記で乗せていって、
確かに感じ、
要はヒラブンで流れた以上は、
それはもう露出したもの、
漏えいしたものとして扱うべき、
漏えいしたのであればそれは、
サービス運営者としては、
それを把握した時点でするべきだよね、
っていうような話かな。
確かに確かに。
ここに書いてあるね、
Hacker News UZEPT。
確かに、
これ、
自分が実装者だった時に、
確かにこれやってくれないと、
タイポでhttpずっと叩いてても動いちゃってたら、
多分直すタイミングないから、
確かにだね。
あとこれ1回、
もう既に今、
なんか有名どころのAPIで、
リダイレクトしてる、
リダイレクトしてないやつと、
してるやつと並べてるの。
ちょっとその辺はね、
もう別に、
ただの実例並べてるだけだから、
個人的にあんまり興味がなくて、
そっから読んでないんだけど。
これもう既にさ、
リダイレクト実装してるAPIが、
確かにと思って直そうと思ったら、
結構悩ましいよね。
めっちゃ大変だけど、
段階的にやるしかないから。
もうリダイレクトしてたものを、
やめますってなると、
それまでにリダイレクトしてた、
ケースを洗い出せるんだったら、
洗い出してもいい。
アクセスログでは、
300万台の、
httpレスポンスが返ってるのは、
残ってる可能性があるから、
そういうとこから頑張って拾って、
個人的には、
もう一回全部、
リボークするしかないんじゃないっていう気は。
愚直に、
この日に、
仕様変えるぞって言って、
メール送ったり、
GUIの画面にアナウンスを表示したり、
頑張らなきゃいけない。
結局、
仕様、
まあね、確かに、
振る舞い自体を変えることによって、
いろんなものが壊れるっていうのもあるけど、
それまで使われてたシークレットが、
全部、
使えなくなるっていう影響も、
多分、
でかくて、
非常に悩ましい。
なるほどね。
愚直に、
もう何とかするしかない。
一応、不特定多数のクライアントが、
アクセスするっていう前提があるので、
別に、
自社で作る。
これをそこまで気にしなきゃいけないような、
規模のサービスを運用してる人は、
そんなに多くは、
いないわけじゃないから、
そんなに多くはない気はするな。
でもなんか、
言われてみればそうなんだけど、
これをその、
素の状態から自分で、
考えて、
そこにたどり着けるかっていう。
面白い記事でした。
これちなみにどっから流れてきた?
誰かの、
誰かがツイート。
フィードに頼らずとも、
タイムラインに勝手に流れてくるの。
みんなありがとう。
この辺は多分、
もともとセキュリティタイム、
タイムラインにいた、
利点が、
出てる部分。
逆にだから、
開発畑の方、
全然流れてこない。
じゃあその辺で、
面白記事があったら、
俺が頑張ってキャッチするわ。
確かにあるだろうな。
次。
これね、薄々記事出てくるよね。
いや、あんまりにすごい数ないな。
読めなかったよね。
シンクドで、
フィッシング攻撃の増加
次は、
これ何て読むんだろう?
ZDNetじゃないの?
ZDNetの、
日本はフィッシング攻撃の標的として、
世界第3位。
Zscaler調査。
Zscalerって誰?
気になるランキング上位になりましたけど、
Zscalerは、
サイバーセキュリティ系の会社ですかね。
日本の会社か。
フィッシングレポート発表しました。
それによると、
2023年のフィッシング攻撃が
前年比で60%増加し、
日本への攻撃も
全員700万件を超えました。
日本はアジア太平洋地域で、
インド、オーストラリアに次ぐ
標的国となります。
インド、オーストラリア、
アジア太平洋域で
3位ってこと?
世界で3位。
だよね。
フィッシング攻撃増加の主要要因は、
生成薬用による音声フィッシングや
ディープフェイクフィッシングの増加要因だと
言いますよと。
日本ではサービス業34%、
ツイーディ製造業が最も攻撃を受けたと。
最も模倣されるブランドは
マイクロソフトで
フィッシング攻撃の
43.1%を占める。
この調査は、
この会社が
2023年の
1年間でブロックした
2兆億件の
マイクロソフトの影響
トラフィックトランザクションを
分析したものですよと。
あれ、でも本当に
フィッシングなのかな?
そうだね。
いわゆるフィッシングっていうよりは
フィッシングはフィッシング。
どっちかっていうと
不特定多数のユーザーを
企業ユーザーとかを
引っ掛けに
起こしてるのが
マイクロソフト。
それが一番多いってこと。
そうだね。
この企業自体が
多分企業向けのサービス
提供してそうだし。
なんかそんな感じっすよ。
なんか普通に
コンシューマー向けの
そのサービスを
提供してる
側の身としては
ちょっと
肌感とズレがあるという。
そうだよね。
こういうのと比べたら
実はそういうのは
2Cのサービス
ビビタルものなの。
このグラフの
すごい細かーい色が
分かれてる
細いところに
入るだけなのかもしれないけど
そこは分かんないけれども。
でもフィッシングの標的となった
業界って出してるぐらいだから
どっちかというと
エンタープライズ向けの
なんか
レポートなのかな
きっと。
フィッシング
マイクロソフトアカウント
社内のアカウントがあるような
会社に
何かで理由つけて
ログインせいって言って。
なんかあんま分かってないのが
そのパブリック
大手って言い方あれだけど
マイクロソフトとか
Googleとか
あの辺の
フィッシング
あんまり話聞いたことないけど
実際は
あんのかどうかとか
知らなかったけど
これ見ると普通に
攻撃手法とその対策
あるって感じじゃん。
マイクロソフト、OneDrive
Okta、Adobe
Adobe
Googleは1.3%とかだから
多分なんか
これも
イメージしてる
IDとかパスワードを
抜いて
できに行くような
オース的な
あれを使った
フィッシング
の方なんじゃないかな
イメージに関して
Twitterの
Twitterでたまに
誰かが踏んでる
卒業権限抜いてくるやつ
和訳記事だと
同意フィッシング攻撃
って今チャットで話す
あー
なるほどね
へー
普段Googleが
あんまり標的
Googleがあんまりなんか
使われてないのは
でもなんかその
私たちの業界が
なんかMacOSばっか
って言うだけで
大体の会社は
Windows端末を使ってるから
そういう意味では
多いんじゃないかな
まあでも
エンプラ向け
エンプラのレポートだとしても
結構興味深い
これ記事のタイトルは
ちょっと良くないな
世界第3位ではないね
アジア第3位だね
一瞬下げて
あ、いいんですか
そうだね
まあいいや
足元は
はい
じゃあ次
響き
これ
弊社内でもなんか
めっちゃ
みんな
騒いでたな
これは読んでないな
全然
読んでないな
読んでないけど
まあとりあえずなんか
別に
焦る必要はないという
結論に至っただけぐらい
普通にサイドチャンネル攻撃で
物理的に
指キーを奪えさえすれば
あ、タイトル読み忘れた
指キー
指キーサーバーの用語
to clone in attacks
thanks to a newly
discovered side channelで
最初はあの攻撃の
対策脆弱性があって
普通に盗めば
条件が揃えば
10分ぐらいで
秘密カギを
復元
コピーできる
っていう話だったんだけど
盗まなきゃいけないのと
あとなんか
何に金がかかるのか
分かってないけど
1万1000ドルぐらい
かかるみたいなのは
それは
1件あたりなのかな
それとも
それがあれば
いくらでも
これかな
attacks
recover to
なるほどね
それだけの
機器があれば
っていう感じだから
それ自体は別に
あれば
あればいくらでも
っていう感じだから
これなんか
中のライブラリーが
って話だったよね
ライブラリーなのかな
ライブラリーなのか
そこの辺は
全然
分かってない
特定のマイクロコントローラーと
暗号
ライブラリー
なんか
脆弱性を
抱えていて
っていう風に
書いてあるのかな
冒頭部分に
implementer ecdsa
insider dcd
今では
several sub
is modular
in this
のバージョン
いやーこの辺がな
こういうなんか
暗号周りは
マジで
二字も分からんな
そんなあなたに
おすすめの本が
もしかして
暗号と認証の
仕組み取り替えが
分かる本ですか
違った
じゃあ読みます
見えない
現代暗号
せっかくだから
ローションにリンクを
貼っとこう
これ
どうなんですか
なんか
その世界で
生きる人にとって
どう見えてるんですか
なんか僕は正直
あの
考え方としては
自分の会社に
影響あるかなと思った時に
まあ呼び聞きそもそも
なんか必須にしてない
っていうのはあるけど
一部
なんだろうな
特権アカウント持つ
人とかだけ
導入しましょうか
って話をしたこと
とかはあって
まあそれに対して
これがあるから
何か追加できることが
あるかと言われると
なんか盗まれちゃいけない
っていうのは
別に変わんないし
Cっていうのは
オフィスで
差しっぱで放置するのよ
みたいな
でもそれってもともと
そうだしなんだ
どうだろうみたいな
まあでも気づかれにくくは
なるんじゃない
知らぬ間に
相影作られてました
なんか
物理的になくなってたら
結構
まあ
使用頻度によって
全然気づかないまま
ずっと時間が
経ってしまう
シナリオとして
全く無視できる
レベルかというと
そこまでではないかな
っていう
なるほどね
まあ確かに
今までは盗んで
気づかれるまでに
頑張るって話なんだけど
よく使ってればさ
その
まあ本当に
高頻度で使ってたら
そもそも
まあでも10分か
10分で
クローンされちゃうのだと
結構厳しいかもしれない
うん
まあでもそこに対しての
その
まあだからこそか
どんだけ高頻度で
使ってても
10分でクローンされる
っていうのは
結構厳しいかもしれない
うん
まあでもそこに対しての
その
高頻度で使ってても
10分でクローン
作られちゃうと
うん
なんか
まあ結構気づく問題は
まあ確かにあるはず
まあしかも
それをクリティカルなところに
使ってるんだったら
なおさら
うん
要は
1万1000ドルかけるだけの
価値があるケースって
実際にあるはずで
ああまあそうだね
確かに
確かに
だからかかるコストと
得られるリターンの
バランスで見た時に
まあ
ケースバイケースであるけれども
無視できないっていうケースは
絶対あるはず
この考え方大事やな
確かに
条件難しくてもね
これで2億手に入ります
だったら多分
やるもん
全然やるでしょ
全然やるでしょ
とか言っちゃうと
語弊があるけど
全然やられる想定で
いないといけないよね
やる人いるよなとは思うんだよな
そもそもなっちゃう
うん
なるほどね
この機器って
どんな感じの機器なんだろう
でもなんか
わかんないけど
オフィスで配達予想って
ぬるっと入って
写真はあるけど
なんか結構いかつそうだな
結構ばらしてるね
なんか
うん
かついね
でもほんとにチップに
なんか
機器を当ててるような感じなんで
これを
うん
でもさ
ここまで想定してさ
そのコードを書かないといけない
あー
ハードウェア側とか
ハードウェア
その中で動いてるさ
あー
そういうことか
なんか
ハードウェアの
ハードウェア
セキュリティ周りの
ハードウェアは
作りたくないなって
結構
こういう記事を読んだら
なんか
うーん
我々はさ
その
まあ
おおむね
ウェブの世界で生きてる
その
ウェブ越しの
サイドチャネルって
成立はしてるわけだけど
うん
でもなんか結構
インターネット越しに
アクセスしてるから
レイテンシーのその
壁によって守られてるっていう
節は
混ざってあると思うので
確かに
監視もできるしね
なんか
やろうと思う
いやー
これを
これを書く側は
大変だよ
リフレッシュの必要性
まああとこれ
アップデート書けられないのも
きつい
ああそうね
っていうのも
なんか
前で考えた時が
こういう所に関わる
行動感
うん
すごいことだな
うん
まあでもなんか
前提としては
分かんないけど
まあいつかは何か
見つかっちゃうみたいな
気持ちで
やっぱリフレッシュしていくしかない
のかな
物理に
いやーでも
シャレにならないでしょ
シャレにならんか
シャレにならない
シャレにならん
シャレにならん
でしょ
まあいつか何か見つかっちゃう
っていうのは
それはそうなんだけど
なんか
見つけて発表してくれてるから
いいけど
ああ
見つかんないこともある
見つかんない可能性もあるし
うん
まあ確かに
あと乗り換えた先が
安全っていう保証も
誰もしてないもんね
うん
プレッシャーがすごいと思う
多層動機が大事って
話ですかね
もうこれだけに頼んなって
話かな
そうですね
これが一個
盗まれたら終わりだよ
っていう状況に
しちゃいけない
あるいは
これを一個盗むのが
すごく大変だよ
っていう状況に
しないといけないとか
情報セキュリティの脅威
まあいろいろあるかもしれないけど
うん
疑問がないですな
これは
でももうちょっと
きっとみんなの目にもよく
友記事でしょう
知らんけど
えーっと
あとは
なんかランサムっていう文字を
見て条件反射で
読むリストにいたけど
ちょっと面白いことか分かんない
えー
中小企業への
ランサムやりによる
脅迫件数が増加
with secure調査
ああ
これ系の記事さ
すごいいっぱいあるからさ
いつもなんか
その
うふふふふ
個人的に悩むんですけど
まあ数えきれないほど出てるよね
そうそう
なんか正直
どっか一社決めて
そこが出すレポートを
こう
なんか
半期ごとにとか
一年ごとにとかで
見るくらいで
個人的には
関心がそんなに高くないんだったら
それでいいんじゃないかなとは
あー
思わんでもないけど
なんかねー
身近であることを忘れないために
読みたいっていう謎の
ふふふふ
謎の気持ちで
結構読んじゃう
調査と対策
読ん
読ん
まだ読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
読んでない
質問あった
質問あった
どういった
質問あった
どういった
视聴者
話し手 3
話し手 3
もう本当に
- 母b
内部
話し手 5
話し手 5
Mongol
- 大
- 行
話し手 5
- あ
ああ
お気に参りです
pbs-air-parse-didn't-handleのスペシャリアルスキャン
why-didn't-align-with-collective-set
でも、今手元のノードで見てもオンラインにパースする
ああ、他の一般的な実はこうなってるよって話
ちょっと経緯をなんか丁寧に把握しきれてない
でもまあそういうことだろう
うんうん
ホストしかチェックしてない
うん
話があって
いやーこれ他人事じゃないよな
プラットフォームちゃんとチェックしてるやろって思ってても
生体認証技術の導入
大体やってないことってあるだろうから
うん
見つけてくるわ
ほい
えーっと
東武と日立、生態認証を活用のID基盤を全国展開
東武スターでの決済に手応え
これはちょっといろんな意味で個人的には気になる
トピックでございますね
理由は言いませんが
えーっと
GDDの記事ですと
東武鉄道と日立製作所は
9月3日
ん?
9月3日
4月
ああ
4月から提供している生態認証を活用したデジタルアイデンティティの共通プラットフォーム
コミュニティストア
カドリオンアンティショッピングモール
鉄道南東部グループ内外の様々な環境を支えていく
し全国の100カ所以上に順次提供すると発表しましたよと
デジタルアイデンティティとは
個人の証明書属性のID情報を電子化したもの
両者の取り組みでは各種ポイントアイデアやフレージとか情報など
プラットフォーム上に登録されている個人に関する情報を
総称してデジタルアイデンティティとする
うん
なるほど
で両者は4月東武製作さん店舗において
おお
指縄脈認証による決済機能をセルフレージに
順次搭載
来店客は
えー
人差し指中指薬指を
認証掃除にかざすだけで決済
東部グループ共通ポイント
東部ポイントの年齢確認を行う
すごーい
指縄脈の登録者数は8月時点で約3700人で
継続利用率は76.3%
若年層中心利用を想定していたけど実際には
へー
50代以上が搬送してみていると
決済時間は
ポイントアプリを提示してクレジットカードを取り出した場合の決済で
比較して約半分の25秒で完了できるよと
うん
ほー
なるほどねー
でこれ拡大目指してますよと
うんうんうん
うーん
ふふふ
ふふふ
どうすか
どうすか
何の運ですか
えー
へっへっへ
どうなんの
大阪に
まあでも確かに
ファミリーマートとかでもやろうとしてるよ
リスマッシュとかはできない
よねー
指縄脈認証が
ってどうなんだろ
全く分かんないな文外観すぎる
まあでもスピードが重視される
改札の入室場では
顔認証の方が適してるって言ってるから
指縄脈はねちょっと時間かかる
ああそうなんだ
顔認証とかなんか
突破する技術ありそうだけど
まあでも
そこもまあいたしごっこというか
そんな簡単ではないのかな
顔なんかそんなん出てきない
マイナンバーカードは顔認証じゃない
ああてかiPhoneのあれとかって
要は平面で見てないじゃない
カメラ
Windows Hello対応のカメラとか
ああーなるほどね
平面で画像で見てない
顔のその形状を見て
生体認証してるから
そんな改札とかで
なんでもできますようが
指を切り取る
いややめよう
なんか小説
アニメで見たことある
まあまあでも理屈上は
成立すると思うけどそれでも
そうだよね
多分だけどね
生体認証のさ
生体データって
センシティブなものだと思っていて
はいはいはい
それこそ一生自分の意思が変えられないもの
いろんなところに
ばらまいてほうが
世の中がそれに追いついてるのか
っていうのはちょっと疑問だ
確かにね
あとは
いくら生体認証とはいえ
100%ではない
技術的にはあるから
決済システムの利便性
全てをそこに依存するっていうのが
正しいのかは
まあ現実的には
フォールバック先がある
あるというか必ず用意されてる気がするから
ほんと利便性
強度が上がるものなのかな
強度は上がるわけじゃないよな
いやっていうより
なんていうか
他人受け入れ率の話をしていて
なるほど
生体認証をしてるから本人ですっていうのが
実は違いましたっていうのが
あり得るわけで
これが3本
3本の条約全部使うような
書きっぷりだから
多分それで限りなく
他人受け入れ率できてるよっていう話なのかと
全くの他人が
自分になりすますっていう可能性が
これで完全に否定できるかっていう
ちょっと違うよねっていう
じゃあそれを使ってどこまで
できるのかっていう話になって
なんか医療とか
まで展開を考える
またさらにセンシティブなところが
現実問題
大丈夫だよねっていう風に言えるレベルでは
あるのかもしれないけど
その生体データ一要素で
そこまでさせちゃった
っていうのはあったかな
どっちがいいんだろうね
くれか持ち歩いて
まあでも
便利に座禅組んで
考えないとわかんないな
生体認証データ自体が
漏れても
使えるわけではないよね
漏れても使えるわけではない
けど
漏れても使えるわけではないけど
そのデータを使って
似たような形で
例えば条約をどこか
他のとこでも取ってたとして
その人が同一人物であることは
わかるとか
そういうそのイシューが発生するよね
どっちかっていうとなんか
プライバシーイシューのような話なんだと思うけど
なんか手放しに便利だね
って言っていいのかは
僕はよくわからない
おおむね便利だとは思うけれども
この辺って法整備どうなんだろうね
なんかあるのかな
追いついてます気もしなくなるけど
プライバシーと法整備
個人情報
困ったら
個人情報保護委員会Q&A
生体データFAQ
個人識別不合
2017年に全面
2017年の改正で
えっと
個人識別不合として個人情報に入ったらしい
個人識別不合として個人情報に入ったらしい
個人識別不合として個人情報に入ったらしい
個人識別不合として個人情報に入ったらしい
個人識別不合として個人情報に入ったらしい
個人識別不合として個人情報に入ったらしい
個人識別不合として個人情報に入ったらしい
個人識別不合として個人情報に入ったらしい
個人識別不合として個人情報に入ったらしい
個人識別不合として個人情報に入ったらしい
個人識別不合として個人情報に入ったらしい
個人識別不合として個人情報に入ったらしい
個人識別不合として個人情報に入ったらしい
個人と紐付けられなければ政府ではない
個人と紐付けられなければ政府ではない
個人と紐付けられるかというと
個人と紐付けられるかというと
個人と紐付けられるかというと
個人と紐付けられるかというと
個人と紐付けられるかというと
個人と紐付けられるかというと
個人と紐付けられるかというと
個人と紐付けられるかというと
個人と紐付けられるかというと
個人と紐付けられるかというと
個人と紐付けられるかというと
個人と紐付けられるかというと
その辺の定義をちゃんと使い分けられるほど
その辺の定義をちゃんと使い分けられるほど
熟知できていないので
ちょっと言及は避けておく
難しいコメント
個人情報ではあると思う
個人情報ではあると思う
個人情報ではあると思う
写真があるわ
3本指こんな感じでやるみたい
3本指こんな感じでやるみたい
今後に期待って感じかな
今後に期待って感じかな
ファミマで使えるようになるなら
あんまりないんだよな
あほんと
どこで登録できるのかわからない
どこで登録できるのかわからない
参田、全然わからない
埼玉県
埼玉まで行けばできるのか
登録プロセスとかも
登録プロセスとかも
登録プロセスとかも
フォーマンダム
フォーマンダム
セリをしたら、バレると思うけど
えーと
ボートが入ってるやつだけ読む とかでちょうどいいかもな
ちょ でも真面目にボート入れない といけないな それでいくと
いや 気軽に行こう
flat securityさんのブログですね CTFで出題される脆弱性vsプロダクトセキュリティのリアルな課題
いいね ワクワクしちゃうね
CTF好きな方が中にいて その人の記事ですね すごいな 解説記事40本書くぐらいが強いですと
CTFとプロダクトセキュリティの課題の差は何があるでしょうか
本記事の目的は CTFの問題とプロダクトセキュリティの課題を比べてます
CTFだけやってる人とか 逆にプロダクトセキュリティにしか触れてない人にとって
双方に視野が広がればいい感じのことが書いておりますね
CTFとは 僕らは分かってるんで読み飛ばして
プロダクトセキュリティは年々重要性も増してて 容器も大きくなってるよと
プロダクトセキュリティの中でも脆弱性診断がCTFに最も近い部分であり
多くの共通点があるよと ただそれ以外にも クラウドインフラレベルのセキュリティ担保なり
DivSecOpsやSSDLCって何ですか
セキュアソフトウェアデベロップメントライフサイクル
セキュア これはSecDevOpsと何が違うんだ
DivSecOpsか
だいたい一緒じゃない
あれによくあるタイプなんだな
多分SSDLCのほうが言葉としては古い
なるほどね
DivSecOpsとかDevOpsのほうが比較的最近出ます
DevOps自体の
PDCAの仲間みたいな感じだよ SSD
知らんけどめっちゃいけないんだけど
それぐらいで捉えておくのがちょうどいいな
パソコン防御アプローチなど 脆弱性診断以外にもいろいろあるよって感じで
共通してる部分 図が分かりやすい図がありますね
有名な脆弱性やアクセス制御不備 古いライブのラジオっていうのが共通部分
これは秦さんとしてはどうなんですか
CTF僕 多分人生でも10回も参加してないというか
多分4回ぐらい
そうするとプロダクトセキュリティの リアルな課題としてこの辺があるのか
アクセス制御不備は間違いなくあると思うな
古いライブの利用もリスクとして 顕在化することはないと思う
ないというかないは言い過ぎなんですけど
意外…いや分かんないな
顕在化するわけじゃないけどでもあるある
なんか放置されてる古いライブラリーとか 放置されてるミドルライブラリーっていうのもあるある
有名な脆弱性もまあ組織とかによっては あるあるなんじゃないかな
うちは会社の歴史が浅いんで 割と大丈夫な方ではあるけど
それでもやっぱ
ちょっと誰かを傷つけたら申し訳ないけど
今どきSQLインジェクションなんて 作りこまんやるっていうのが
ポロッとあったりとか
脆弱性の理解
あと歴史が古けば古いほどそういうのは 全然あるんじゃないかな
15年前
意外とねなんかねあるよね
意外とある
なんかこの共通項に入ってる部分は 肌感としてはあるし
プロジェクトの規模が大きくなればなるほど
ポロッと変なとこにあるな
そうだね
今どきみたいなのは
あとなんかねやっぱ