1. Replay.fm
  2. #7 組織って難しいねの回
2024-10-25 2:14:04

#7 組織って難しいねの回

Sota Sugiura
Sota Sugiura
Host

以下の記事をワイワイ読みました。


https://sota1235.notion.site/Replay-fm-7-t-128bb64fc8cf80d09afbdcbe764165a4

サマリー

第7回のエピソードでは、サイバー犯罪業界のイニシャルアクセスブローカーについて議論され、これらのブローカーが特定の業界に特化した不正アクセス情報を販売している現状が掘り下げられています。また、サイバー攻撃に対するリードタイムや、企業が直面する内部不正のリスクについても見解が示されています。組織運営の難しさやセキュリティに関するトピックが取り上げられ、AWSの最新機能やフィッシング対策についても議論されます。特に、フィッシングURLやDMARCの重要性が深く掘り下げられています。 組織におけるセキュリティ意識の重要性や、Microsoftによる巧妙なHoneypot戦略が議論され、イーセットの代理店がフィッシング攻撃に利用されているケースについても触れられます。サイバーセキュリティの脅威に対抗する方法について考察が行われ、組織運営における顧客視点や代理店との関係の難しさも語られています。特に、2023年のゼロデイ脆弱性の増加とその悪用手法について深く考察されています。 このエピソードでは、30代における成長やコミュニティの重要性、そして学びを続けるための習慣作りが議論されています。特に、わからないことを素直に認めることの大切さや無理のない読書習慣の形成について話し合われます。組織の問題解決における難しさと、有効なアプローチについても深く掘り下げられ、問題を適切に管理することの重要性と、それに伴う複雑な依存関係について考察がなされます。 組織内での評価やコントロールの仕組みが、人間の動きに与える影響についても深い考察が行われ、上層レイヤーでの意思決定やコミュニケーションの難しさについても触れられています。組織におけるピープルマネジメントの重要性とその難しさについて議論が展開され、さまざまな組織の選び方や人間関係のリスペクトの必要性が語られます。さらに、Trickmoというマルウェアの攻撃手法やその影響についても詳しく解説されています。 今回のエピソードでは、VPNの使用に関する再発防止策や社内の表現問題についても議論され、パスキー管理に関するワンパスワードやWindows 11の新機能が紹介されます。パスキーやセキュリティ技術者向けのツールについて議論し、その便利さとリスクが探求されます。セキュリティ技術者としての課題や、パスキーの普及に向けた取り組みについても考察がなされます。 ソフトウェアセキュリティの課題について議論が展開され、攻撃者と守る側の視点からの複雑さやバランスの取り方について考察が行われます。特に、ゼロデイリスクロージャーや公開情報がもたらす影響について深く掘り下げられています。組織の複雑さとそれに伴う課題について話し合い、今後の取り組みに関するもやもやした思いを共有しています。

イニシャルアクセスブローカーの解説
こんばんは、Replay.fm 第7回です。
こんばんはー。
こんばんはー。
第7回。
第7回ですねー。
なんか毎回… キリがいい。
キリがいいのか。
毎回さ、出た後は一応チェックで聞いてるんだけど、 なんかこなれてきた感じがするよね。
あ、ほんと? なるほど。
それは、いいね。 なんか…
こなれてきたんだけど、なんかでも処理してる感もね、 同時に出てきてる。
なー、というのかと思った。
いやー、でも、まぁ…
いやー、そこはいいんじゃない?
いやー、難しい。 なんかそのー、いやー、ものによるかなー、 その処理…処理っていうか、裁く気持ちでいくと、
まあ、裁…なんか裁かれちゃって…
いや、日本…今日日本語不自由かも。 なんかね、何が一体…
なんか、俺がよく聞くルイージのポッドキャストは、 あのね、うちの10倍ぐらい裁いてる感あるんだけど、
あー、そうなんだ。
それはそれでね、聞く側目線だとその、 あー、まあこれはそういう温度感かー、みたいな。
グラデーションがわかるって意味では、 なんか悪くないかもなと思う。
なるほどね。
というか、あんま悪いことだとは思ってない。
あー、確かに。 うちはあれだね、よくわからんとこで深掘り始めるからね。
そうそうそう。
そこが…あー、なるほど、そこが…
あのー、専門家とセキュリティ取り組んでるソフトエンジニア的には、 ひっかかるのね、みたいな。
うん。
わかんない、そんな頭使って聞いてる人が いるのかっていう話はあるんだけど。
いないよね、大体からしてそんなにいないでしょ。
まあ、あれもね、あ、そう、なんかツイートしようかなと思ってたんだけど、 その、なんだっけ、総再生数が100を超えましたよ。
やったねー。
うん。
おめでとうございます。
おめでとうございますですね。
結構、1週間…先週くらいか、あ、まあでも112回今。
ちょこちょこね、112回だし、
Spotifyでフォロワー10人ですよ。
10人か。
10エピソード配信したら、100回また積み重ね、 各地で積み重ねるんですって。
なるほどねー。
うん。
いやー、有名になっちゃったな、俺らも。
そうっすよ、あの、SaaSと一緒だから、あの積み上げていくものなんでね。
なるほどね。
あの、チャーリ、別にいいんだけど、0人でも。
まあでも、わりとなんか頻度的には多数で聞き続けてもらえそうな頻度ではあるよね。
そうだね。
あとその、なんか、なんだろうな、あの、まあ追いつけなくてもいい類の。
そうだね。
そういうものでもあるかなって気はしてるから、
いろんな形で使っていただければと思いますね。
はい。
はい、じゃあ今日も上から順にやっていきますか。
よろしくお願いします。
じゃあ、僕からですね。
お願いします。
はい、1個目がサイバー攻撃で暗躍するイニシャルアクセスブローカー、
犯罪凶悪化の温床にもっていう記事ですね。
GDNETさんの記事でして、
イニシャルアクセスブローカーっていう、
言葉自体僕は初めて耳にした、目にしたんですけど、
サイバー犯罪の業界もかなり分業が進んできてるよっていう話を踏まえて、
特定の組織とか、特定の業界とか、特定の業種とか、
なんかいろんなジャンルのイニシャルアクセスというか、
何て言ったらいいんだろうな、ユーザー名とかパスワードとか、
ありとあらゆるクレデンシャルとか、
そういうものを販売している人たちがいるらしいよっていう話でした。
どんな業界の組織なのかみたいなのだけ多分明かして、
オークション形式で出したりとか、
いろいろやってるみたいで、
取引をビットコインで一応やってるらしいですね。
実際に調査した中で、
Fortinetっていうところがイニシャルアクセスブローカーの動きを調査したところ、
あるイニシャルアクセスブローカーは電力や石油ガス業界の組織に特化した、
不正アクセスのための情報を0.5ビットコインからオークションで販売していたというふうに記載があって、
なるほどっていう感じ。
0.5ビットコインはまあまあいいお値段だよなって。
攻撃のリードタイムと市場原理
相当。
それを投資してもあまりあるリターンが得るべき人が得たら、
取れてしまう可能性がある情報とかね。
っていうことなんでしょうね。
あとはなんかこの、
なんて言ったらいいんだろうな。
これって要は、いろんな人の手に渡っていくことによって、
マージンを取るビジネスが成立してるってことですよね、たぶん。
そうだね、そうだね。
市場自体がどんどん大きくなっていくと。
いやー、いやになっちゃうね。
これなんか今、これ事前に読んだ時は思わなかったけど、
今読んで話聞きながらちょっと思ったけどさ、
この分業が進んでるのが最近みたいな、
その記述をいろんな記事でよく聞くところを考えると、
まあ昔は別にそうでもなかったのかなっていう、
昔僕そんな動向ってないんで知らないけど、
そんな分業じゃなくて、まあそれこそ、
一番最初の偵察から最後のエクスプロイトまで、
一人とか、まあ組織で頑張るみたいな感じだったのかなって思うと、
いやでも物によるか、なんかその自分にこれが、
このじゃあイニシャルブローカーに自分のサービスの情報が何か漏れちゃって、
売り回されるってことを考えた時に、
その、なんかリードタイムって変わって、
攻撃に至られるまでのリードタイムって何か短くなったのか、
長くなったのかっていうのが何か気になってて、
その、例えばこれウルメセンだと、今その、
あれか、どっかに書いてあったね、制御系システムか。
その、割合的にはそのOTシステム、制御系システムへの不正侵入とかがトレンドっぽいとしたとして、
じゃあ攻撃者目線ではその手元にあるもののうち、
まあその辺から優先して高値で、今だっていう感じで、
なんか出品するみたいな世界観になってる時に、
じゃあ自分のサービスがそのトレンドから外れてるような業界とかだったりしたら、
なんか売りに回されるのが後回しになったり、
まあでも鮮度が大事だからそのまま売られるのかなと思ったり、どうなんだろうみたいな。
まあその時の時価で売られるんじゃないですか。
鮮度が大事っていう意味だと。
逆に言うと鮮度が落ちていけば落ちていくほど安くなっていくんだろうし。
うんうん。
ワンチャン、そこでなんかあんま売れないとかなったら、
インシュアルアクセスは取られてるんだけど、
まあでも分かんないな、家庭で。
まあまあでもだからこそオークションだと思うしね。
なんか。
ああ。
うん。
その市場原理に従って勝手に価格が決定されていって、
誰かしらが買っていくっていう流れがもうできてるんだろうし。
うん。
まあでもその適正な値段で市場が回ってるって考えると、
昔よりはリードタイムは短くなってると思っといた方がいいのかな。
その昔だったら途中でできなかったけど、それが分業してるから、
まあしかるべき値段で情報が回って、それぞれの。
まああそこを攻撃しようと思ったときに、
その調査の時間がいらない、離婚の時間がいらないっていうのは、
まあ多分明確にあるはずで、そのリードタイムが短くなってるっていうのは言えるんじゃないかね。
内部不正とセキュリティの課題
うん。
あとはここから調達できるもののうち、狙えそうなものを狙うみたいな感じでもたぶんなってるよね。
多分ね。
うん。
いやー、なるほどね。
なかなか。
これでもさっき言ったように、そのマージンを取るようなビジネスが仮に成立しているとして、
市場価格が高くなってるわけじゃないですか。
市場価格が高くなってる。何の市場価格が?
そのイニシャルアクセスの市場価格が。
あー。
内部不正とかにかけるコストが安かったり、
えっと、
あんまりにもその対応が悪かったりすると内部不正が起きてしまったりとかするところまで考えると、
まあ、守る側としては結構難しい状況ではありますよね。
なるほどね。売り先が。
動機が生まれるじゃん。
そうだね、そうだね。
動機が生まれるから、なかなか。
いやー、確かにな、1000万であなたの、
なんなら、個人を特定できないような、まあ結局特定できると思うんだけど最終的には。
分かんない、ちゃんとやってたらね。
でもその、個人に紐づかないAPAキーとかそういうものをここに流したら、
0.5ビットコインもらえるかもってなって。
1個あなたのプロダクションのサービスのコードに、
バックドア仕込んでくれたら1000万あげますよって言われて。
いやー、確かにね。
全員が全くなびかないかと言われると、
なんか、なかなか難しい。
なびく人がいる前提で考えなきゃいけないだろうね。
まあ元々そうなんだけど、その出口が上でしまってるっていう。
っていう前提に立った時に、たぶんかかるコストが上がってくるじゃないですか。
その、内部不正対策とか、社内での監視とか。
そうだねー、そっか、そういう形で、確かにそれはそうだな。
うん。
うーん、面倒くさいな。
まあだから要は、まああとはより、なんていうか、取れちゃったけど、いらねーなっていうものとかもたぶん、
その高値で処理できるっていう状況になってきてると思うから、
その必要な人が助かってくれるっていう前提が出てくると思うから。
そうだね。
うん。
いやー、厳しいっすな。
うん。
なんかさっきのリードタイムのやつは、
ちょっと思い出したけど、今日も読む別記事にもって、
書こうと、書こうっていうか、話そうと思ってたけど、ゼロデイの、
ゼロデイゼルダキスの悪行期間が短くなってるみたいな話があって、だから、
まあ効率化してるんだろうね、普通に。
全体的には進んでしまってるし、
内部性、内部性ねー、そうだねー、はい。
いやー、こういうの追うの価値あるなー。
なんかこういうその、あのー、まあいろんな本読むとその、
まあブラックハッカーたちの動向を、きちんと追うっていうのが業務の一つとして大事とか、
まあ海外のでかいところだと、なんかそれのVPを立てるとか、
なんかCなんたらOみたいなのを立てるみたいな話とかを、
なんだろう、インテリジェンツオフィサーとか。
あ、そうそうそうそう、そういう感じのって書いてあって、
まあなんか理屈はわかるんだが、結構、
その自分の世界とつながってこない感があったけど、
まあ最近こういうのを読み込むにつれてちょっと、
なるほどなって気持ちになってきたわ、いい意味でね。
なんかでも、どうだろうね、まあ意味がないとは言わないけど、
なんか意味がないとは言わないけど、どうなんだろうなー。
わかんないけど、その、その会社によるけど、例えば俺とかだと、
その今の会社の希望館とかだと、
で、そのセキュリティ大事、だから大企業でもうすでに投資してるとかは別にいいと思うんですよ、
いいと思うんだけど、例えば僕の場合だと、
その、わかんない、社員100人もいかなくて、プロダクトもまだ別に、
めっちゃでかいわけじゃないのにセキュリティに投資すんの?みたいな、
意思決定を経営者が考えるってなった時に、
まあこういうなんかその、まあワーストの脅威とか、
その攻撃者側はまあこんだけ効率化してるっていう状態で、
ノーガードで守りきれるわけなくないですかっていう、
その説得というか、説明をする時の材料として、
あのこういう引き出しを持っておくっていうのは結構悪くないんじゃないかなって気はする、個人的には。
なんか正直俺も、この辺キャッチアップするまでは、
その分業が進んでるとか組織が進んでるとか、
なんかその辺知らなかったから、
なん、ちょっと思ったより、
なんか逆に絶望してるんだけど、
いやもう守りきれなきゃいけなくねみたいな気持ちになってるんだけど、
まあでもなんかその絶望感も、
組織とその特性
そのちゃんと説得代理を持って伝えるっていう意味では悪くないんじゃないかなって気はする。
うん。
まあその差事加減はあると思いますけど、
うん。
って感じかな。
まあ、なんか投資のバランスを考える上でこういうのが情報としてはヒントになるのかもしれないけど、
うん。
ど、どうなんだろうな。
いや結局、いや実際に狙われたときに弱いところが狙われるっていうだけの話だと思っていて、
その、うーん、意味のないことだとは思わないけど、
なんかここにそんななんかVP多くほどかとはちょっと思っちゃうけどね、正直。
まあどういう。
そのVPの下に何人いるのよって話で、
その分他に投資した方が良くないって気はせんでもないけどね。
なるほど。
まあでも分かんない。会社としてそれがすごく大事なその、会社というか組織としてそれがすごく大事なものなのかもしれないし、特性としてね、そこは。
なんか一概にその要不要をそれだけで語ることはできないにしても、
うんうんうん。
なんか一般的な会社においてそこまでやる必要があるかというと、まあいいんじゃないと思うし、
その分他にお金使えばいいじゃんと思うし。
まあ多分やることひととりやった上でって感じではあるとは思うけど、
うーんうん。
まあそのやることひととりやれる、やりました、やったよねって言うとこまでいける会社が。
そこにかけるコストの分、なんかみんなの給料ちょっとずつ上げた方が内部不正のリスクとか減らせるのかなと思っちゃうんだけど。
まあまあそれもそうだね、それもそうではある。
うん。
はい、そんな感じですかこれは。
はい。
ありがとうございます。
AWSとその機能
じゃあ次。
えーと、これはまあセキュリティっていうより変わった感じですけど。
はい、AWSがコンソールの操作をコードに変換してくれるAWSコンソールとコードを正式リリースしましたよっていう、
まあリリースを紹介しているパブリックキーさんの記事でございます。
まあなんかタイトルの通りで実際に触ってみたわけでも実はないんだけれども、
うん、便利そうですねっていう話。
便利そうだね。
なんかAWSコンソール版のセレニウムIDみたいな動きを多分してくれるのかなと思ってて。
うんうんうん。
まあ対応しているサービスはまだそんなに多くないみたいなんだけど。
うんうん。
なんかね、テラフォームとかよりも楽そうだなとは思っちゃうんだけどどうなんだろうね。
うん。
多分住み分けすべきものなんじゃないかなって気がしていて、
そのテラフォームはその性質上その状態を記述していくものに対して、
これって例えばなんかそのオペレーションがあったときにそのオペレーションをコード化できるとかっていうのがあるといいのかなって気がしてて。
なるほどね。
うん、まあそのオペレーションもテラフォームで再現できるって話もあるかもしれないけど、
でも結局テラフォームをどうこうする何かが必要なわけだもんね。
そうすると最初からコードで出してくれた方が実行するのが楽だしいいじゃん。
そうそうそうそう。
あとその状態の変化が止まらないようなオペレーションとかがあったりとかした時に、
まあテラフォームではできないから結局手でやらないといけないとか。
そういうのがコード化されるとすごいいいよねっていう。
これはね、夢があるけど、まあ半年後にどうなってるかって感じかな。
AWSしかできないんじゃないかな、Azureとかはどうなるかわかんないけど、
Google Cloudはちょっとあんま期待できないなと思っていて、
あらゆるものがAPIで動かせてる世界観だから結構できてるのかなっていうのをちょっとぼんやり思ったりしたけど。
でもGCPもなんかAPIはあるわけじゃん。
ある、あるけど、なんかなんだろうな、裏仕様みたいなのをすごい使ってると多い印象があって、
まあAWSもそうなのかな。
どうだろうって感じは気はするな。
ちょっと利用事例とかこれから出てくる気もする。
その辺をウォッチしたいなって気がする。
AWSを個人的に触ってねえからな。
実際にユースケース何があるかって言われたら結構パッと思いつかないから、
本当実業務で取り組むされることがあるときにこれを覚えておくと多分使える場面があるぐらいなんじゃないかな、今の状態としては。
どうなんだろうな。
でもEC2のインスタンスを起動します、落としますとか。
そうね、例えばその辺とかかな。
インスタンスってどうなんの、テラフォームで。
まあでもテラフォームだとできないよな、多分。
だからそういうのは確かにいいかもね。
いやー確かにね、API叩いてとかやってるだろうからな。
いやーでもこの生成されたコードメンテとかどうなんの。
いやなんか結構ね、夢もあるし、個人的にはその1年後みんながこれを覚えてるかどうかをねすごい見たいなと思ってる。
パペッターのさ、コードを自動生成してくれるのがあるじゃん。
Chromeの拡張で。
へーそんなあるんだ。
ChromeのDevToolsか。
DevToolsの中にあんのよ。
でね、まあ1回触ってみたほうがいいんだけどね。
結構大変だったな。
うん。
まあ別にいいんだよ、動くんだけど、そのなんていうか、冗長なものが多いというか、別にこれなくてもやりたい操作は実現できるんだけどなっていうステップがめっちゃ間に挟まんの。
なるほどね。
いやー、UIを触るみたいなのは結構多分限界があるよな。
フロントエンド側もさ、ゴロゴロゴロゴロ変わっちゃうし。
どっちかというと多分裏方としてはコールしたAPIが何だったのかみたいなのを見てるんじゃないかなと思うんだけどね、これに関しては。
うん、これはそうだと思う。
出てくるコードが、なんかそんな感じだもんね。
うん、そうだと思う。
はーい、そんなとこっすか。
今後に期待。
今後に期待。
フィッシングとその対策
今後に期待ラベルつけたいね。
何様だよって感じ。
今後に期待しまーす。
はい。
じゃあ次は私っすね。
名前忘れちゃった。
フィッシング対策協議会の月次のレポートが出てたんで、軽く紹介したいなと思ってます。
で、先月結構そのレポートの全容というかどういうことが書いてあるかっていうところをがっつり読んだんで、
比較はちゃんとしてないんですけど、かいつまんで気になったところとかを話すと、
まあ、なんか方向件数は先月比ダウン、フィッシングURLの数も先月比ダウンしてるらしくて、
ブランド件数は11件増加してますらしいです。
で、後の方にちょっと書いてるんですけど、URLが減った一つの要因には、
えーっと、なんだっけな。
リダイレクト用の、違う同一URLがめちゃくちゃ増えてるっていうのが書いてあって、
まあどういうことなんだいっていうところがわかんないんですけど、
まあ一つのURLを使い回せる期間が長くなっちゃってるって解釈すればいいのかなっていう感じですかね、迷うかな。
で、まあ件数のところはそんな感じで、全体中身の傾向としてはAmazonフィッシングは先月比の2割増加。
で、報告の30%を占めるんで、まあ相変わらず多いと。
これ、あれかな、プライムで狙われたとかあんのかな。
えーっと。
結構デカめのセールだったじゃん。
どうだろうね、わかんないけどね。
あれプライムで今月じゃないの、あれ。
いや、先週末の土日とおしまい。
ああ、そうだそうだ、だから9月か。
ああ、じゃあ関係ないっすわ。
10月のレポートで爆増してたらそうかもって感じか。
うん。
まあでも2割くらいは越さないのかな。
まあちょっと、まだ読み始めなきゃいけないんですけど。
で、次で1万件以上の報告のボリュームデカいのが東京電力、JCB、大和運輸、JAバンクっていうので。
まあAmazonと合わせるとこれがもう65%ぐらいは占めてますよと。
先月はなんかイオンカードかなんか入ってた気がするから、それはアウトしたって感じかな。
うん。
で、1000件以上の報告とかも合わせると全体の94.4%なんで、
残り5%は1000件以上報告されてないような小粒のブランドが多分ロングテールに並んでるって感じっぽいですね。
うん。
で、これなんか前回あったか忘れたけど、
スミッシングの報告に関しては東京電力と金融機関がめっちゃ多いみたいなことが書いてあって、
これはなんでなんだろうなと思いつつ、スミッシングは正規の機能としてあるからなのか、
まあその辺は触れられてないって感じですね。
うん。
スミッシングはでも変わらず多いっていう感じなんじゃないかな。
前回は東京電力が増えてるよっていうのを言ってた。
ああ、なるほど。
じゃあ変わらず多いって感じですね。
あとGoogleメッセージのRCSチャット、これ読み直してた。RCSチャットってなんだ?
何でしょう。
リコミュニケーションサービス。
ああ、だからあれでしょ、iMessageのAndroid版みたいな感じなのかな。
ああ、なるほどね。
iMessage、Android版っていうかGoogle版。
はいはいはい。これに対するフィッシングの報告も少数ですがあります。
新しいものもどんよくね狙ってる感じ。
品を買えですね。
そうだね。なるほど。
なんか結構…いったん話しちゃってください。
じゃあサクッと読んじゃうと。
あとは使い手のリダイレクト用URLの利用ケースが多いらしくて、
報告25%ぐらいがリダイレクト用のURLを使ってる。
だから送ってURLにアクセスするとリダイレクトしてフィッシングに飛ぶって感じなのかな。
この2つはちょっとまとめるのめんどくさかったのでそのまま引用しちゃったんですけど、
あれかな、クラウドサービスとかCNAサービスで付与できる、
多分正規のドメインですよね、おそらく。
そういうもののドメインを利用したり、
短縮URLとかリダイレクト機能があるサービスを不正利用するケースが増加傾向となりましたと。
もともとあったんだろうけどそれが増えてるよっていう。
しっさとしてはメールフィルター回避とか相変わらずしたそうっていうのと、
あともう一つなるほどねと思ったのが、
なりすまし、DMARC文脈で触れられてたのが、
7月からなりすまし大量送信の被害を受けてたある事業者、
ある事業者としか書いてないのでわかんないんですけど、
がそのDMARCポリシーをノーンからガランティに変更したんですけど、
なりすまし送信が減ることがなかったと。
9月、先月リジェクトに変更したことで、
なりすまし送信メールは減ったんだけど、
代わりにポリシーがノーンの事業者の名をなりすまし送信するようになり、
報告は増加傾向となりましたってなってるんで、
弱いところからきちんと狙われてるってところが。
見てるんだね、DMARCのポリシーね。
そうだね。
これは裏を返すとDMARCちゃんとリジェクトで対応するっていう価値は高そうっていう。
話かなっていうのを思ったところですね。
なんか事業者の皆様へっていうところの最初の段落の後半部分、
オンラインサービスを提供している事業者はDMARCレポートで正規メールが利用者に届いていることを確認しながら、
最終的にポリシーをリジェクトに変更し、
なりすましメールが受信者に届かないようにしてください。
クアランティーンでは迷惑メールとして届くため、
受信者は正規メールも迷惑メールとして認識するようになり、
ブランドへの信頼度が次第に低下しますっていう、
この2文はいいなと思って、
この最後のブランドへの信頼度が次第に低下しますっていうのをちゃんと言ってくれてるのがいいなと思って、
これ確か毎回言ってるんじゃないかなと思ったんだけど、
こう微妙に変えてるんだよね。
表現を。
表現をっていうか、表現を、そう。
組織におけるセキュリティ意識
最後の一文がね、全回避で増えてるのかな、たぶん。
あー、なるほどね。
それだけその、
あー、ほんとだ。
毎回書き足しちょい変えみたいなことをやってるのかなと思うと、
なんだろう、なんか温かい気持ちになってくる。
解けたいという意思をすごい感じるね。
なるほどね。
人の手の温もりを感じる文章だなと思いました。
これはいい話だ。
そうですね。
そうですね、まぁ一旦ざっくりやります、そんなとこっすね。
ほぼね、でも変わんないんだよね、書いてることね。
前回と。
毎月こんな感じなんかな、たぶんね。
うん、そんな気はする。
なのでまぁ、定点観測って感じかな。
どうしたんすか、どうしたんすか。
え、いや、なんか、その、マーシモンみたいでちょっといいなと思って、俺らね、フィッシングテストとか。
フィッシング攻撃の現状
まぁでも、なんて言ったらいいんだろう、やんない理由もないよね。
やんない理由もないですね。
まぁちょっと見せると、やらかすと大変だったりするけど、まぁやんない理由もないと思うし。
確かにね。
うん、確かにね。
うん。
じゃあ、次。
はい。
次はね、まぁツールネタなんで軽くでいいかなと思うんですけど、
TRIFOGっていうシークレットスキャンのOSS兼有料版丸やつがあるんですけど、
それの記事でして、シークレットスキャニングエンコーディター&アーカイブデータっていう記事ですと、
最終的にはそのTRIFOGの機能紹介のところなんですけど、
何の話かっていうと、エンコードされたシークレット、
シークレットって呼んでるのはAPIキーとかの話、
AWSね、キーとか、Googleクラウドの久々かの時とかああいう、
SSHキーとかそういうやつなんですけど、
それがエンコードされてるパターンとか、
あとそのアシスタントキーとか、
そういったパターンがあるんですけど、
それがエンコードされてるパターンとか、
あとそのアシスタントキーとか、
ああいう、SSHキーとかそういうやつなんですけど、
それがエンコードされてるパターンとか、
あとその圧縮されてるパターンをどうやって見つけるかって話をしてて、
で、例えばそのベース64エンコードみたいなされた、
AWSのキーがあった時に、
そのAWSキーの場合は、
そのフォーマットで先頭の文字が何文字かが固定だから、
それをベース64エンコードして検索すると実は結構見つかるよみたいな話をしてて、
で、実際にそのGitHubのパブリック空間をベース64でエンコードしたら、
僕はまだ試してないですけど、
文字列で検索すると、
4.2Kコードが引っかかるっていうのが書いてあって、
おお、みたいな感じ。
で、なるほどって思ったのは、
このベース64でエンコードしたもの、
コミットしたらまずいんですけど、
一方でGitHub Advanced Securityとかは、
これ検知してくれないんだよって話をしてて、
まあ、なんていうか、
その辺トリフォーグはできるぞって話が言いたいための伏線って感じなんですけど、
ああ、そうなんだって思ったっていうところ。
なるほどね。
で、じゃあトリフォーグどこまでできるのかって話で、
エンコード部分は、
4種類ベース64、UTF-8、UTF-16、EscapeとUnicodeに対応してて、
実装はこんな感じですよって話と、
圧縮のところも、圧縮がちょっと多すぎて、
ちょっと記事読んでくださいって感じでしちゃったんだけど、
まあいくつかアーカイブしても読めるよっていうのが、
4つぐらいかな、書いてあって、
で、実装も書いてあって、
でも原理上は、
回答してチェックすればいいっていうだけではあるから、
いや、回答してチェックだと、
遅いっしょ、多分。
遅いか。
ああ、まあそうか。
遅いと思うよ。
そっかそっか、じゃあいい感じにやってるのか。
ZIPとかをどうしてるのかは分かんないね、でも確かに。
ZIPとか、圧縮されたアーカイブはどうなの?
っていうのは確かにその通りだよね。
多分戻さない、復元しないといけないのかもしれない。
ああ、そうだね。
円弧のほうは。
順序から見たときに、
どこで、どこにあるのか分かんないと思うから。
うんうんうん、そうだね。
そう、なんで、っていう記事です。
で、なんか、なるほどなっていうのと、
GitHub Advanced Security対応してないんだと思いつつ、
まあこれなんか切りなさそうと思って、ちょっと。
でもなんかベース64はある気がしてて、
なんかあらわれでそのGitHub Actionsで
Secretsに設定して、
その、昔かな、なんか複数行対応してないから、
ベース64に突っ込むみたいなのとかがあったんです、
というか、まあ僕はたまに見たんですけど、
まあそういうノリで行動にコミットしちゃうとか、
なんかそういうのは普通に起きそうだなって。
ありそうだね。
まあこれ検知してくれるのは嬉しいですね。
ありがたいね、嬉しいですね。
仕事でね、触ってるんで結構、
個人的にはこのツール推しなんですけど、
なるほどこういう概念がっていうネタでした。
なるほどね。
これね、覚しっとくといいかもね、普通に。
なんか知らずにGitHub Advanced Security安心で
漏洩してアウトとかだったら、
まあでもな、まあそう、なるほどって。
だから圧縮すんなよとか、えんことすんなよって話なんだけど多分。
まあまあまあまあまあみたいな。
まあまあまあと。
感じです。
いやーこれは確かにそうね、言われてみれば。
はい。
まあ記事自体めっちゃ短いんで、興味ある方は読んでみてください。
全然関係ないけど冒頭のなんか
TruthFog Automagically Scans for Secrets
っていうこのAutomagicalっていう。
これぞ?
AutomagicallyとMagicalの複合の造語らしいんだけど。
へー。
これ、なんか声に出して使いたい英語っぽい。
オシャレだね、Automagically Scans.
これはオシャレだなあ。
知らなかった。
勉強になるね。
なんと自動的に。
なるほどね。
うん。
いや面白い。
はい。
全然関係ない話だった。
ありがとうございます。
はい。
感想ありがとうございます。
じゃあ次行きましょう。
次も僕が読んだ記事なんでやりますけども
Bleeping Computerの
Microsoft Creates Fake Azure Tenants to Pull Fishers into Honeypot
っていう記事です。
これ結構、わかんない?
なんか僕は知らないだけで一般的にはおかしいんだけど
結構面白いなと思ってて、どういう記事かっていうと
基本的にはタイトルの通りで
Microsoft自身がAzure上に
Honeypot的なテナントを作って
攻撃者を誘い込んでるっていう話ですね。
目的としては攻撃者側の情報収集で
アクセスモーターIPだとか
攻撃の手法、どういうツールを使って
何をしようとしてるのかみたいなところを観察して
情報源としてますっていうところです。
これ自体はHoneypotの普通の
一般的なHoneypotと同じなんですけど
面白いのが、このワナテナントの
ログイン情報みたいなのがあったときに
それを攻撃者が展開してるフィッシングサイトに
記事の内容から察するように
自動で入力して回ってるっぽいんですよね。
なんですけど、ワナのIDパスとか
そのIDみたいなのを
自動で攻撃者側に送って回ってる。
攻撃者目線だと
ワナに引っかかったまたバカな消費者の人が
IDパスを入れてきたからそれを使って
HoneypotとなってるAzureのテナントにアクセスするんだけど
実はそれはMicrosoftのワナですよという話ですね。
実際この手法でどれくらい誘い込めてるかで言うと
ログインまで至る割合が5%ほどっていう書き方してあって
何に対して5%かっていうのをちゃんとソース見てないんですけど
巻いてる情報に対してなのかなという感じの
多分そうなんじゃないかな
そのぐらいの認識でいいかなというところで
実際ログインしてきた時に
これ平均なのかな
大体30日間ぐらいは攻撃者が時間を浪費して
いろいろトライしてくれてるっていうので
攻撃者の時間を食いつぶすっていうのにも役に立ってるし
あとしょぼいハッカーから結構組織的な
キャンペーンとかに基づく攻撃とかも
たしたような攻撃を誘い込めてるよって話をしてますって感じですね
おもろっていうか強いなって思いました
これの面白いところはMicrosoftならではのポイントだと思っていて
Defenderによって識別されたアクティブなフィッシングサイトにアクセスし
っていうところから連なってるのがすごくいい
そうだね
巻くためのデータベースが自分たちの手元にある状態ではね
別にどこの会社も自社サービスのフィッシングサイトを探すっていうのは
できなくはないと思うし
実際にログインできるクレデンシャルをそこに送ってみるみたいなのを
やってるところは多いんじゃないかなと思うし
それが実際にログインされたことをもって
そこのフィッシングで取られたのが今使われてるんだねみたいなのがわかるよみたいなのも
別にどこもどこもどこもではないかもしれないけど
割といろんなところでやってるんじゃないかなと思うので
なのでこれの特に新しいところは
サイクルがマイクロソフトの中で一通りできてるっていうのが
かなり面白いポイントかなとは思いますね
確かにその通りですね
ありがてえなって思いました
結構皮肉というか
あーと思うのがこの25,000のフィッシングサイトのうち
20%に認証情報を提供していて
それがキャプチャーとかその他のボット対策メカニズムによって
ブロックされているっていうのが
難しいポイントだなっていうのはちょっと思いましたね
そうだね攻撃者側もなんていうかな
自動化に
そうだね
結構な割合だよね
そんな感じです
じゃあ次いきますか
次も僕の記事
僕の記事じゃないです
僕が読んだ記事なんですけど
ブリーピングコンピューターで
イーセットパートナーブリッジとセンデートワイパーズとイスラエルオルグス
っていう記事で
これも結構おもろいっていうか
怖って思ったやつなんですけど
インシデントの記事でして
ざっくり言うとイスラエルのイーセットって
ウイルス ウイルスソフトですかね
有名どころのソフトを売る代理店みたいなところが
正規の代理店があるらしいんですけど
その代理店が丸夜感染しちゃった話で
丸夜感染して何が起きたかっていうと
この代理店経由で
おそらく顧客に対して
このイーセットを買ってる顧客に対して
偽のフィッシングメールっていうのを大量に配布して
そのフィッシング踏んじゃうと
丸夜に感染しちゃうみたいなことがされてしまいましたと
メール自体の内容は
イーセットの架空のチーム
脅威対策なんたらチームみたいな
を名乗って
サイバーセキュリティの脅威への対策
こういう危険なことがあるから
今すぐこのソフトウェアをダウンロードしてください
今危険なんで無料ですみたいな
後端末まではアクティベートできるようになってるんで
みたいな感じで結構
本腰入れて騙すような内容だったっていうところですね
多分そのまいた丸夜はランサムっぽいらしいんだが
ウイルストータルにも
登録されてるらしいんですけど
挙動みたいなブリーピングコンピューターのスタッフかな
が見たくて見ようとしたけど
仮想環境とかだと動かないようになってたんで
ちょっと具体的な挙動は見れませんでしたみたいな感じで
記事は締めくくられてますと
なんか個人的に学びだなと思ったのは
このしてはなかったというか
顧客目線結構きついなというか
顧客目線もきついしサービス提供側でもきついなと思ってて
顧客目線は
なんでしょうね
代理店を通して何かSaaSを契約するとかって
年に何回もあるようなイベントじゃないけど
たまにあるわけで
1回契約してそこからずっとやり取りするとか
身近にぱっと思いつくとか
Googleクラウドの代理店契約とかって
結構どの会社も縁があるんじゃないかな
AWSとかもあるのかな
前提はわりと信頼して
ずっとやり取りすると思うんですよね
その先からそれっぽいメールが来た時に
騙されずにいけんのかとか
騙されてマンチュリストーストア入れてるから
セーフなのかとかいろいろ話あるけど
結構怖い経路だなと思ったし
逆に自分がサービスを提供していく時に
ビジネスタイルによりますけど
2Bのシステムで
販路を拡大するために代理店みたいなところに
依頼するってなった時に
その代理店の選定とかでこの観点を
多分ちゃんと持たないといけなくて
なんか大変だなっていう
大変中で
きりがない
じゃあきりがないんだけど
でもこういうのを防ぐための
コード署名の仕組みなんじゃないのと思ったけどね
それはそうだね
結構いいみ嫌われてはいるけど
パスキーよりもパスキーみたいな扱いを
受けてるような気がするけど
俺もめんどくせえなって思うことはあるんだけど
でも詰まるところそういうことでしょ
侵害の度合いによるけど
代理店側が
でも代理店はいいセットの署名持ってないじゃん
署名書き持ってないじゃん
そうだね
確かに確かに
だから侵害制度も大丈夫なのか
そうそう
その日線の周り合いに対して
いいセットそのものがもうやられちゃいましたってなったら
それは話がまたちょっと変わってくるけどさ
そうだね
このレベルの話だったら別にコード署名が
ちゃんと検証されてれば
コード署名がないとインストールできません
コード署名を検証するときにコケますっていうのができてればさ
確かに
まぁまぁまぁただ分かんないけどね
その正規のコード署名
正規のコード署名を
いわゆる別組織のコード署名を持って
正規のコード署名を付けてくるとかはありそうだけど
まぁまぁまぁ可能性の話をしだすときりがないんだけどさ
そうね
あとまぁ騙し方で
そうそうそうインストールする側がそこをちゃんと見てるかどうかとか
は分かんないし正直
そうだね
うん
確かに
いやぁ難しいところやな
いやいいセットからっていうのがやだなぁ
なんか
まぁ確かにキリはないですね
うん
はい
まぁちょっと
いや気をつけていくしかない
まぁ気をつけていく
まぁまぁまぁそのね
ゼロデイ脆弱性の増加
気をつける一個のポイントとしてちょっと心に刻もうかなと思いました
うん
うん
まぁそんなんじゃない
ここだけで守れるわけじゃないから
代理店代理店なんてまぁそんなもんだよ
まぁそれも確かに
はい
日本の良いセットの代理店のXSSとか昔報告した気がするもんだって
やめろって
もう直って
もう直ってる
いやいや
どこのどこの会社だろうなと思って
だいぶ昔らしい
ちょっと確かにそれぐらい認識にしよう
えーじゃあ次の記事
これもまぁ一応僕が読んで追加したんで書きます
ですけれども
これね結局あれかな
あのごめん
ノーションにはブリーピングコンピューターの記事を貼ったんだけど
結局元ネタのGoogleのブログを読んだ
あ違うわ
ブリーピングコンピューター読みましたすいません
でも元ネタもなんか軽く目を通した気がするんで
まぁ元ネタ読むのがいいかなと思いつつ
まぁブリーピングコンピューターもカイツマンで説明してくれてるんで
その辺の話をすると
記事のタイトルは
Googleが70% of exploited flows disclosed in 2023 world zero days
っていうタイトルで
Googleにのなんだっけな
セキュリティ製品のアナリストによる
分析レポートみたいな記事が紹介されてますと
どういう記事かっていうと
タイトルの通りではあるんですけれども
脅威アクターによる攻撃で
ゼロデイ脆弱性が悪用される割合が増えてます
っていうところの話をしてます
ここでいうゼロデイ脆弱性っていうのは
パッチもないしそもそも公開もされてないような
公に知られてない脆弱性っていうのを悪用してるっていう話で
具体的には2023年のデータとしては
全部の攻撃を調査スコープみたいなところは
全世界行ったわけではないと思うんですけど
積極的に悪用されたと公表された脆弱性のうち
約70%がゼロデイとして悪用されましたと
70%はもう利用者が脆弱性を把握したり
もしくはパッチを適用する前に悪用されちゃってるんで
結構防御目線つらいよねって話がありますと
2020年から2022年は60%ぐらいだったんで
10%ぐらい割合が増えてるのと
これはゼロデイが増えたんじゃなくて
ゼロデイじゃないやつが減ったんじゃないのみたいな
ところに対してもいやそういうわけではないよっていうところが
確か記事では触れられてますと
あとはタイムとエクスプロイトですね
脆弱性が出てから侵害されるまでの期間も短くなってて
個人的にはこっちの方がだいぶ変化大きいんじゃないかと思ったんですけど
今は今じゃない2023年は5日程度まで短くなってる一方で
2018年19年は63日で2021年22年は32日ってなってるんで
だいぶジャンプしてこれ多分平均とかだと思うんで
全部5日ってわけじゃなくて1日のものもあれば
30日ものもあるっていうものはあるもののかなり短くなっているよっていう話があります
これ平均値なの中央値なの
件数がそんなに多くないから多分
わからない
元記事の方がだいぶもうちょっと詳しく書いてるのかな
でも平均なんじゃないか
まあいいやきっとでも数がそんなにないから多分どうなるか
そうだね
数がそんなにないとはいずれる可能性はあるのか
まあでもそんなに大きくは離れないよね多分数が多くない限り
よほど極端に極端なやつがいない限り
そうだねそもそもレポート記事のやつは138個の脆弱性を調査してるのかな
悪評されたって公表されたってことだから
アベレージって書いてるねそこのその表
本当
これか
この表が素晴らしいですね
公表されたって言ったらKEVとかが主なデータソースなのかな
あとその辺まで追ってないですけど
でもゼロでイニシアチブとか持ってるよねGoogleってまだ
ゼロでイニシアチブって何ですか
ゼロでイニシアチブっていうのがあるんですよ
Googleは持ってるんじゃなかったっけこれHPだっけGoogleじゃなかったっけ
おおこんなものが
ごめん嘘つきましたゼロでイニシアチブGoogleじゃない
Googleもあったよねこういうの
GDIじゃなくてGoogleがなんかさゼロでイを見つけて
予告して一定期間なんか修正がされなかったら公表するよみたいな
やってなかったっけ
Googleプロジェクトゼロ
それだ思い出した
これ
違うかなそれかな
分かんないなんか
違うかも
なんかあった気がすんだよ
GDIじゃない失礼しました大変失礼しました
GoogleじゃなくてGoogleやってたと思う
まあじゃあGoogleもGoogleでデータソースを持ってるって話かな
持ってるんじゃないかなと思うんだけどそれは使ってないっていうことなんだろうねきっと
これ読んでもったのはきちいなっていう
なんかパッチ最速で当て続けてれば安全と言い切れないっていう
まあどうやらパッチを最速で当て続ける以外にできないよね
WebだったらWAFとかで
そうだね
エクスプロイとか分かってればいいけどさ
そうだね
そういう意味でだからデータいっぱい持ってるベンダーとの付き合いとかが実は大事なのかもしれないね
まあこれ内容なんかそれもそうし
なんていうかもう毎回どっかのタイミングできそうに立ち返ってる気がするけどその
何だろうな何枚も壁を頑張って張って維持する地道な取り組みをし続けるしかないのかなって
まあしみじみに思ったりはしました僕は
なんていうか
そのパッチ当てる領域が貫通された時に
分かんないけどWebアプリケーションとWebアプリケーション貫通された時に
まあ別の防御機構がWAFとかがあるとかそのデータベースが
というかインフラ周りのところをちゃんと守っておくとか
まあ地道にやるしかないよなって思ったって感じですね
これなんか裏できっと流通してるよね
そうだね
こんなに極端に短くなるとね
こういうところにもさっきの分業みたいな部分が現れてきてるんじゃないかなと思ったけど
ブラックハッカー界でのバグパウンティーじゃないけどあってもおかしくないよな
探して売るみたいなね
バグパウンティーの話をする時によく比較として上がるというか話として上がるのが
結局なんて言ったらいいんだろうな
報酬金だとブラックマーケットに流した時に得られる報酬を上回ることって難しいよねみたいな話はあって
見つけた側からするとブラックマーケットに流したら絶対儲かるんだよねみたいな話もよく言われてたよね
それでも善意の人たちに報いるっていうのは大事だと思うから
バグパウンティー自体は難しいね
そういう切りごと抜きにしても自社で見つけきれないものに対してバグパウンティーを出してあげることによって
バグハンターをうまく活用できるっていうのはあるだろうから
絶対流通する経路はあるはずでこの辺の日数の短縮っていうところにもその辺は現れてるんじゃないかなとは思いますね
バグパウンティーの活用
ちなみにプロジェクトゼロであってました
あってました
失礼しました
リンク貼っとこう
どうしてもこのGDIとか頭の中でこっちになっちゃったけど
なるほどね
プロジェクトゼロとGDI これちょっと後でちゃんと読むのも勉強不足でございました
はい そんな感じです
はい せーの
すごいカンマ球体の30秒雑談なんだけどキーボード新しくしたからね
タイプ音がすごいうるさくなくなったと思います
えっ
2つ名前 以上です
えっ
うるさい?
前のやつはね
コンコンこれで
あー
あー
でもうるさいんだそっち目線
あのね今まではその遠慮して叩いてたからたぶん小さかったんだけど
それ変えてからそこそこちゃんと使えてるでしょ
あーいや
結果ね変わらない
いやセキュリティで見たセキュリティ本で読みましたそういう概念も多く
安全装置があると調子に乗るってやつですね
ちょっと遠慮して叩きます
30代と成長
はいじゃあ次の記事お願いします
えー40歳になるので30代でやってよかったことをまとめたっていう記事でございます
まあなんかいつものゆる…ゆるはネタって言っちゃうと失礼なんだけど
あの何て言ってんだろう
オフトピ
オフトピ
オフトピ壮大さんの記事ですね
はい壮大さんご存知ですか
壮大さん一方的に知ってるPHP界隈PHPカンファレンスかなんかに結構
出没する印象があるから
えー
うん
まあ僕は全然知らないんですけど
うん
まあいい記事だなと思って
うん
まあ僕らもね
DBマーケットが強いね
うん
あそうなんですね僕らもね30代の端くれとしてなんか
そうだねー
読んでもいいかなと思って
いやー皆さん読んでくださいって感じですね
まあなんか詳しくは読んでくださいって感じなんですけど
えーと書いてあることだけ何て言うんだろうな
そのヘッダーだけまとめていくと
習慣を作れるようになる
所属するコミュニティを複数持つ
アドバイスはとりあえずやってみる
基礎を身につける
わからないことをわからないと言える先人から学ぶっていうのが上がっていて
これねー
いやー大事よ
大事なんだけど
それぞれに具体例がね上がってるんで
えーとぜひ記事の方も読んでほしいんですけど
はい小林さんどうぞ
いやその
これこの見出しをさ見てさ
いや大事じゃないっていう30代
わかんないわいらの同世代プラマイ10歳世代はいないと思うんだけど
わからないことを認める
いやでもさ
いやわかんない
どういう振り返りからさこれが来てるのかわかんなくて
まあでもそうだね30代でやってよかったな
もっと早くやってもよかったなっていうようなことを書いてくれてるから
まあそうね
やれなかったことも入ってるわけでしょ
あーまあそうだね
だから30代になった当初は別に大事だと思ってなかったことも
もしかしたら入ってるかもしんないね
あーなるほどね
そっかそっか
なんか全部大事じゃんって個人的には素直に思いつつ
まあ実践するの大変だよねってシンプルに思ったっていう感じだな
どれが一番難しいですかね
難しいのは
うーん
まあでも
いや難しいねこう続けがたいけど
まあ1個目を引いたのはこのわからないことをわからないと言えるは
あの個人的に死ぬほど意識してて
そうね
これ結構ちゃんと意識しないとできなくなると思ってる個人的に
なぜならできてない自分より年をすごいたくさん見てきてしまってるから
その技術力とかその仕事の能力が高くても
これをできない人って俺の目線だと結構出会ってきたから
すごい強く意識しないとできないことなんだなって
分かるうちに
まあそうね
俺そんなことないよって言おうとしたけど
まあでも思い返してみると確かにあったなと思ったな
確かになんか後で
いやごめんなさいちょっと下かぶりしてました失礼しましたっていうのはあったなって
あーその意識してても多分やっちゃうし
ちょろっと最初の部分だけ勉強してきてちょっと理解しました
あーそうだね
なんかそうなんだろうね
なんか人間の特性な気さえしてる個人的な
もう歳取ると分かんないけどプライドなのか何なのか分かんないけど
何なんだろうね防衛本能なのかね
うーんそのねそうなのかもね
社会で生きていくために身についてしまう能力な気がしてて
でも一方でやっぱそのさっきのさGDIとかさ前回の
核実験のインシデントの名前とか
あースタックスネット
そうそうそう分かんないって言ったじゃないですか
でも結構内心はすごいビビってる自分めっちゃいるんですよね
これを分かんないと
いや常識なのかもしんないみたいなこの業界で生きる上では
知っとかなきゃいけないのかもって思うけど
でもそのやっぱ言わないと
あれなんだっけ聞かぬ聞くは一生
聞くは一生の恥聞かぬは一生の恥か
なんかもうあれでしかないなっていう気持ちで
すごく結構結構意識的にやってる
でも無意識からやれないと思ってる
確かに気抜くとなんかやっちゃいそうだよねこの辺は
習慣作りと読書
気抜くとやっちゃう
あとなんかやりましょうさその関係性があるからいいけど
関係性が強くないその同僚とか社外の人とかだと
もっと難しいから結構ねちゃんと
てかなんか自分がアドバイザーとかオブザーバー的な立ち位置になった時に
これができるかって結構かなり難しいよね
難しいね
めっちゃ難しいよね
期待値があるからね
分かってて欲しいというそのさ
目を向けられるわけじゃないですか
難しいよね
難しい
いやでもそこで分かんないっていうことはなんか
むしろ業界のためであるかもしんないって今ちょっと思ったわ
なんかその
そこで分かるっていうやつが前にするとさ
アドバイザリーとかコンサルティングに対する信用自体がどんどん落ちていくわけじゃん
そうね
なんか私そういう人もいるじゃないですか
なんか全然いる
出会ってきたとは言わないがすごい少なくないと思うんで
自分だけはね
自分への評価って意味でもね
自分回り回って自分のためになるっていう意味でね
僕は思いましたけど
僕はね
アドバイスはとりあえずやってみるっていうところの中で
勧められた本を買うっていうのが紹介されてるんですけど
これはなんか僕割と最近やってて
この間も教えてくれた予想通りに不合理っていう本を買ってあるんですけど
まだ読んでなくて別の本今読んでるとこなんですけど
これね買うとこまでできんのよ
買うとこまでできんのよ
買ってある本いっぱいあるのよ
いやーなんかね
エネルギーいるよ
なんか
なんか直近なんか誰かが例えててなるほどって思ったけど
もう使い古されたスポンジだからさ俺ら
23歳とか4歳の頃はさ
新品の水ちょっとかけたらシュッて吸うようなタイプだったからさ
本積んでてもさガンガン読めたけどやっぱ
吸収力がね下がるっていうのがあるから
それも自覚的になってすごいアクション取らないといけないんだろうなって気はするね
いやでもわかる
もう積んでる
積んでる
いやでも積んでること自覚して
その通ってる病院の待合室とかで
必ず何かを持って行ってコツコツ進めるとか
そうなんだよね
バランスがほんと難しくてさ
もうちょっと手動かして
別に大した行動じゃなくてもいいから
手動かして趣味でちゃんと行動書かないとな書きたいなって言ってるんだけど
なんかむずくない?
むずいむずい
時間をどこにどう割くのっていうのもありつつ
もう体力が全然なくって
日々の仕事でもう疲れ果ててて
首も肩も痛いしみたいな
週末はサーキットに通ってるしみたいな
っていう状況の中でさ
難しいのよ
いやちょっとね
時間が足りないよ
全知全能になりたくなる
全知全能になりたくなるよう頑張って抑えないといけないなって気がして
全部やりたいじゃんほんとに
全部やりたいマジで
全部本読みたいし
全部トレンド
何でもできるようになりたいよね
やっぱもう無理だから
優先順位をつけて折り合いをつけていくしかないよね
でもなんかやっぱ持続可能性が大事な気もしてて
そういう意味では
それだけじゃなく
何をするにしてもそれをどう持続するかどうモチベーション維持するかっていうのが
かなり大事になってくるんだろうね
だからこそその習慣を作れるようになるっていうのが冒頭に来てるっていうのは
多分そういうことなんだろうね
うんいやほんとに
これは全部繋がり得るね
これがないと
何にもできないもんね
何にもできない
それでいくとこのポッドキャストは割と良かったなって
いやそうなんよそうなんすよ
狙い通りなんすよこれは
もうねサボれないんですよ
いやサボれない
プレッシャーがね
そうそうそうそうちゃんと
やっぱねチェックポイント作るのは大事だよな
本とかはそこがちょっと難しいよね
誰にもチェックされない
孤独な戦いだよね
そうそうそうそう
俺の場合はその病院に行くのが定期的に来るから
それが1つチェックポイントのうちの1つにできてるのかなって
でもなんか結構ね考えないといけないっていう事実は
難しいね
なんか多分毎日この時間帯は本を読むとかを多分やらないといけないんだろうな
いや絶対サボりそう
いや時間
なんかね習慣の本じゃないけど健康の本で習慣の作り方が書いてある本があってね
すごい良かったんでまた積ませて頂きました
是非是非積ませて頂き
慎んで積ませて頂きます
結構ね面白かったよね
何というタイトルでしょうか
健康になる技術っていうすごいストレートな本だけど
すごい良かったよ
タイトルがタイトルなんで健康の本なんですけど
なぜ習慣の話が書いてあるかっていうと
健康になれない理由のかなりの割合を占めてるのは
そもそも習慣が作れないからって話があって
運動とかね
運動
睡眠とかね
そうそうそうそう
習慣を作るための技術で一生分丸々割いてて
すごい良かったよ
アンチパターンみたいなの何個か書いてある
何時にやるって決めると守れなかった時に続かないからやめた方がいいとか
何か必ず毎日やることにくっつける形やるとうまくいきやすいとか
あとはその習慣づくのって
どんなに
最低5、6ヶ月見た方がいいからまずはそれを続けるっていうので
頑張らないといけないよとかそういうのがね
色々エビデンス交えて話してあるんで
はい
ちょっと注文させていただきます
ぜひ
今注文しております
これはね
注文しました
これもね
これも30代のうちにみんな読んでおけばよかった
もう手遅れなんでね
ガンとかになって
ガンなんてなるときあると思うんですけど
色んな病気になる前にね
読んでおけばよかったってなるかもしんないんで
ぜひ
30代FMとしてね
やっていきたいですね
それでいくとなんか本をさ
複数並行して読むのってどうなのかなって
最近ちょっと気になってて
あれも読みたいこれも読みたいっていうのがいっぱいあるんだよね
でも今日はあれの気分じゃないっていうのもあってさ
あるねあるね
今日はあれの気分じゃないが続くと
永遠に進まないんだよねその本が
なんか
個人的に仮説としてあるのは
今日もこれの気分じゃないってなる本は
読まなくていいんじゃないかっていう
それはね思った
俺それで何冊かね読むのやめて
でもそれをよしとしてる
時間も有限だから結局
ノーションで読書ログつけてんだけど
なんか諦めっていう
ボタンを一個も置けて
これは諦めましたっていうのはやってたりするね
なんかその読みたくなったりする
読みたくなったりためになる本が
やっぱ相対的に存在するときは
そっち優先した方がいいんじゃないかな
無理して読んでも
本の読み方と興味喪失
本当に本当によくないんだけどさ
最初の一章読んだら
大体わかるような本って結構ない
ありますねあります
もういい大体わかった
うんみたいな
わかんないけど
経験的にもうこれはうんわかったみたいなのがさ
あるじゃん
その瞬間興味を失ってしまうんだよね
まあわかんない
本当によくないんだろうけど
読み切ることに価値があるのか
なんか自分の理解を確かめることに価値がある
まあケースバイケースだね
うんケースバイケースだし
いやわかんないけど目次音で想像できちゃったら
割と優先度下げていいんじゃないかな
読むのがなかったら読めばいいと思うけど
他に読みたいなのに
頑張って読む意味はあんまり
入ってこないしね頭に
なんか
本の読み方で
1時間ぐらい話そうやな
そう思いますよ
いや読みてえ読みてえけど
この本読んでると
永遠になんか
次が読めねえなみたいな絶望感
なんか
ねえまあまあまあ
だいぶ本筋から外れちゃったけど
まあそんな感じ
まあ優先度つけて
これもね毎回多分
多い時
30はないかでも
5期時からね
結局厳選してんのこれも一緒ですよ
次行きますか
行きましょう
問題解決の重要性
すみませんすみません
ページ移しながら話し続けちゃった
そうそうそうそう
なんか今すごい戸惑ってたんだけど
あれいつの間に
みたいな感じになっちゃったんだけど
次行きまして
また
オフトピなんですけど
問題を放置さえしなければちょっとずつ
良くなっていくんですよっていう
まあなんか僕もう見つけてから
めっちゃ気に入ってしまったコニファーさんの
ブログからなんですが
えっと
でおっしゃるかもう完全にタイトル通りなんですけど
問題を放置しなければ
ちょっとずつ良くなっていくらしいよという
記事でございます
えっとコニファーさんの
同僚さんが問題を放置しないが
口癖らしくて
仲間麻痺している
痛いところをついてはすぐに何かしら
して状況を変化させているっていう
ハイレベル問題解決
ブルドーザーっていう風に呼ばれてるんですけど
分かると思って
分かるね
これはね
分かるし
このハイレベル
問題解決ブルドーザーをねできてる
できる人って多分
超良い人材なんだよな
誰にでもできることじゃないなっていう
結構なんか特殊技能じゃないかなと思うな
個人的に
そんなことを言いながら
自分で言うとすごいやらしいけど
自分は割とそっち寄りだと
勝手に
思ったりしてるんだけど
でもなんか
これの難しいのは
いつまで
今は放置するっていうのを決めたのであれば
それは放置していない
っていうことっていう風に
同僚さんは言ってるらしくて
ここまでは分かるんだけど
放置すると決めたものを管理するのが多分一番難しくって
じゃあこの人がいなくなったときに
放置すると決めたものを
後で誰が拾うのっていうところが
そこを完全に
俗人的なものにしてしまうと
その
組織として良くなっていかない
部分はあるよなと思っていて
あとはなんか
問題が複雑化していったときに
その
物事に依存関係があるときに
これを常に考え続けるって
かなり難しいよなと思っていて
かつその抽象度が高い
課題に取り組んでいる
確実性が高い課題に取り組んでいる
ときに
一個一個依存関係を紐解いて
なんていうか
要は
放置できるかどうかの判断をするのに
まず依存関係を解決しないといけないみたいなのが
出てきたときに
それが連なっていくとめちゃくちゃ大変
だよなと思っていて
まあ
そうだね
なんか前者の話は間違いなく
いやー
なんかその有はやすし案件を今から
二つ言うんですけど前者は個人的には
組織の問題というか
組織デザインの話かなって気はしてて
その小倉さんの会社とかは
規模がめちゃくちゃ大きいわけじゃないから
その一定規模まで
こういうその
こういうスタイルの問題解決が
できる人が
そのチームに何人かいて
それでどうにか回すっていう
アプローチは個人的にはなしじゃないというか
現状そうせざるを得ないっていう
組織がすごいたくさんあると思う
一方でじゃあそれが
分かんないかい?チームでいうと10人だったら
50人になりました100人になりましただったときに
同じスタイルで回し切れるか
っていうとその後者の話に
繋がって消えるというか
その問題自体の流用度がどんどん
大きくなるとか依存関係が生まれる
とかってなってきたときに
普通にその人対問題
っていうのスキームで
解決できないっていうのは間違いなくあるから
あーいいね
人対問題のスキームで解決できない
あー確かにね
チーム対その問題にできるか
とかその組織対問題にできるかとか
それをなんか漏れなくやるってのは
結構
ほんと言うはやっしーなんだけど
まあやっぱ一定向き合い続けなきゃいけなくて
なんか
でもその問題の流度が
でかくなる前にちゃんと
だからその管理で
探知するとか
依存関係が複雑になるような
状態を作んないっていうのも
言うはやっしーだけど
でもやんなきゃいけないと思ってて
その
いやでももう未来史が必要だよそれやるの
いや
まあ物によってはそうなんだけど
だからその
予測できなかったものが
絶対物事ってなんか想像した通りの方向に
進んでいくよねみたいな話だと思っていて
うんだし
いやなんかね
頭の中に思い浮かべてほしいのよその
自分の会社でその流度のでかい
雇用問題ってなんだろうと思ったときに
多分大半は
いや2年前にもう分かってたやんって問題だと思うんすよ
うん
なんか
それ言うとその予測不可能
だったものの
割合って実はそんなに多くないんじゃないかと
個人的には思ってて
やるべき
だから放置しちゃいけないものを放置してたから
こうなりましたよねっていう話しかないものが
実は多いんじゃないかと
僕は
評価と仕組みの設計
裸感としては思うし
まあそれ別に文句を言うわけじゃないけど
その放置するなら
放置するんだ
するのと放置したときにどうなるかってのは
分かっててそれでも
放置するって組織が宣言したら
僕はなんも言わないけど
放置してほしいなって思ったりはするかな
まあね
分かるよ
めちゃくちゃよく分かる
身に染みてよく分かるけど
そうそう
このコードだと
ソフトウェアはすごいあるあるだと思うんで
みんながチープな言葉で言うと
不採とかが多分
不採とかってもうそうじゃ
分かんないけど
5年後に死ぬの分かってるけど
いやもう今はこういうので分かってるから
死に続けようとか
まあまあまあ
いつそのコストを払いますか
っていうだけの話である
分かるんだけどさ
そうね
あとちょっとうまく説明できないんだけど
さっきのその人対課題からチーム対課題
組織対課題へっていう話が
あったけど
それを実現していく過程で
全然うまく説明できないんだけど
その過程の中で
セクショナリズムとどう戦うか
どうそれを作り込まないか
めちゃくちゃ難しいよな
めちゃくちゃ難しいと思う
気をつけててどうにかなる問題
なのかなみたいな
その辺は思うとこかな
なんか
そうだね
チーム対課題とか組織対課題っていうのを
やっていくにあたって
なんていうか
どうやっても
なんでもやるっていうのは
非常に難しいというか
ここからここまでをやるんだよ
っていうスコープを
切ることになると思っていて
それをみんながやり始めると結局縦割りで
なんかセクショナリズムが生まれてみたいな
話になっていくと思っていて
間にボールが落ちていったりとか
あとは
なんていうか
セクション間の調整に失敗して
なんか不細が生まれてしまうとかが起きるんだと思っていて
どう戦えばいいのかな
みたいなちょっと
思いますね
でも言ってしまえば
多分ケースバイケースなんだよな
まあね
個人的にちょっと思う仮説としては
その
なんか前提条件が
奇跡的に噛み合わないと
多分そのセクション
課題に対して
綺麗にセクション起きるってこと
多分もう起きないじゃん
変数っていうのは事業とかアーキテクチャとか
社員のリソースもあるよね
それかよほど都合よく
切り出すかもどっちかだよね
自分たちにとってはそれが都合がいいっていう形に
切り出せば自分たちにとってはそれが綺麗に
切り出せてる状態になるけど
どっかで人間が生まれるわけで
俯瞰してみた時に綺麗にいかないっていうのは間違いないね
そう
どっかにも幸せは絶対来るから
その幸せを最小
でもなんかその幸せできるから諦めるんじゃなくて
そのできる前提でも
幸せを最小化する努力
っていうのは多分組織がしなきゃいけないって話と
まあでも
どこまで行っても一定残る
そのボールを
その
ここからは多分正解がなくて
どういう風に解決したいかっていうのを決めて
それを実現するためのフレームを
多分作んなきゃデザインしなきゃいけなくて
だからなんか
いやー
ここからはもう
EMとか組織デザインをちゃんとできる人に
話を聞きたいなと思っていて
なぜかというと僕はあまり自信がないというか
妄想で喋るしかないからなんですけど
でもみんなが当事者というか
誰もが当事者だから
まあ確かにそうだね
なんか超シンプルな話
その間にボール拾うような
この小倉さんの知人
同僚の方みたいな人が
その
評価できない仕組みとかって
めっちゃ簡単に作れちゃうじゃん
なんかOKR設定して
そのOKR会社のOKRに紐づいてて
それの達成率でお給料上がりますみたいに
もししちゃったら
間ボールを拾えば拾うほど
そうなってくるというか
いやーそうなんだよね
評価とか
もうその人の行動を変える
こういう風に動いてほしいというデザイン
から逆算しなきゃいけないし
なんか
なんか組織
評価の難しさ
まあでも分かんない
でもなんかね
そうなった時に
一個気になってるのは
僕自身がもう結構そういう状態になっちゃってるんだけど
その
評価でコントロールできない
人間ってなんか本当に
組織にとって必要なのかなみたいなのは
ちょっと気になってて
評価でコントロールできない人間
評価がどうあれ
必要っぽいことをやる
人間みたいなのが
その評価しにくいっていうのは
確かにその通りだよねと思ってて
なんかちょっと
うまくまとめらんないな
僕自身はもうあんまり
会社からの評価みたいなの正直
もう気にしてなくて
なんか
好きにやるから評価できそうだったら
評価してくれよっていうスタンスで生きてるんだけど
なんか
そう難しいな
なんだっけ
どうまとめようとしたんだっけな
もう分からなくなったけど
その人の動きを
コントロールするというかリードするっていう
面で評価っていうのが確かに
そのデザインとして大事だよね
っていうのは分かるんだけど
うん
それでコントロール仮に仕切れたとして
なんかそれが
いい組織なのかどうかって話
いいっていうのがどういう評価しか
分かんないけど
まあなんとなく言いたいことは分かる
うん
なんとなく言いたいことは分かる
全然まとめきれないまま
話し始めちゃったんだけど
うん
それ分かるし
ゆえになんか個人的に思ってるのはもう
いやー
もう
いやそうだからその評価
評価精度がある限り多分無理なんですよ
その
なんていうか評価精度によって
コントロールしてそういうのを防ぎましょうって
多分無理で
うん
だから評価だけじゃ無理だと思う少なくとも
その一つのHowだから
そのそういう意味では
もうちょっと上のレイヤーの
景色を見ないと
語れないなと思ったり
するんだけど
いやー分かんないそこに
分かんないだから俺も
スタンサーやり足と違い
そこに立ってじゃあそこまでやりたいかというと
その組織を成し遂げたいことに対する
強烈な信念がないとこんな
難しい問題解きたいと思えないから
そうなんだよね
自分が大事だと思う問題解くから
評価しておいてくださいっていう
気持ちはすごい分かる
うん
別にそういう問題を解きたいと思ってる人を
支えるのが全然構わない
と思っていて
うん
そうなのかな
なんかずれてるなって思うことの方が
多いんだよねそれでいくと
分かんないだから上に立たないとその目線って
実は永遠に分かんないのかもしんなくて
なんか
まあ
意思決定の重要性
やってみないと分かんないのかもね
ソフトウェアの性質とかもある
と思うけどなあ分かんないけど
まあでもケースバイケースかな
そういうボールってさ
その
事業価値とかに繋がりづらいから
落ちてるとかっていう不合理さもあると思うんで
例えばだけど
まあね
何のチームにも明確に紐付けられなくて
放置してもある意味
事業は即死しないみたいな
性質のボールでも
3年後に発火するかもしんないとか
5年後に返すコストが
30倍になってるかもしんないみたいな
そういうボール
10個に1個ぐらい
3年後に即死球になるやつが
いたりするから
なんか嫌なんだよね
そう
やんないならやんないでいいんだけどさ
まあまあ
10年後いるかも分からんし
3年後か3年後いるかも分からんし
必要だよっていうことはできるけど
別に意思決定としてやらないんだったら
それはそれでいいと思うし
まあ
ケースバイケースかな
分岐作ってやりたいな
なんかやむげんに話せるな
いや
でも難しいですよ
こういうのってどんな人と話をしたら
理解が深まるのかね
もういないんだよね自分の会社の中に
なんて言ったらいいんだろうな
いやわかんない
言っちゃわないけど
まあいいや
やめよう
その
この話をできる
いなくはないんだけど
実際にそのレイヤーで取り組んでいて
この話ができる人がいないのよ
うーん
まあそういう人とつながり得るポスが
僕ら側には
僕ら側にいる人と
話が合うっていうことはあるけど
あちら側にいる人たちと
目線が合わないのよね
まあ
各社CTOとかをやってる人とかと
まあでもなんかその
いろんな人と話しかないんじゃないか
そのセンサー判別すぎるからさ
この人と話せばみたいなのは
個人的にはない気がしてて
希望観とかでも違うし
まあどんな人と
言えばいいのかな
だから自分がよくできてるなと思う組織の
そのEMとか
それより上のレイヤーの人と話すのが
いいのかもね
でも外からわかんないもんね
そうなんだよ
なんかだから
話したいのって
今まさに話してたようなこと
ですよ
チーム対課題
組織対課題っていうのをやっていく中で
どうしてもスコープを切るっていう作業が
ステップが入ってくるわけだけれども
それとセクショナリズムを
防ぎましょうみたいな考え方って
すごく相性が悪いですよね
どうやって戦っていけばいいんですかね
みたいな議論とかを
目線が合わないってどういうのを言ってるかっていうと
それは別になんか
そうはならないんじゃないみたいなことを
初手で返してくるような感じ
いや別に具体例挙げてるわけじゃなくて
雰囲気というか
なんか
ゲスト呼びましょう
コニファーさん呼びましょう
コニファーさん呼んだら
その辺の話が解決するのかな
いや解決する人いないよ
解決しないか解決しないけど
ごめんなさい失礼しました
解決しないけど
理解が高まるのかね
まあまあそうね
むずいよ
堂々巡りできる系
イシューだと思う
自分ならどうするかみたいなのさ
一番いいのは
実践することだと思う
そうなんだよねだから自分がその立場になって
何かやるっていうのが一番いいんだろうな
とは思うんだけどさ
じゃあ明日から僕CTOやります
ってならないじゃん
まあねまあでも
EM半年間だけやった時に
思ったけど一個レイヤー
上がるって言い方はちょっと語弊があるけど
その
組織上のレイヤーが上がるだけでも
見えるものは違ったりするから
まあそういう経験はしてみてもいいかもね
いやなんかそのね
これゲームむずいなその
機場の空論に発展していってしまうというか
まあね分かるよ
結局さ僕ら側と
あちら側とあちら側の違いって
そこに対してオーナーシップ
というか意思決定をする
レスポンシビリティを持ってるかどうか
っていう話だと思って
僕らとしてはあれもいいんじゃない
これもいいんじゃないと思うけれども
あちら側としては決めなきゃいけないわけじゃんどれかに
いろんな事情を踏まえつつ
そうだね
そこは大きな違いだよなと思っていて
だからこそ別に見えてる世界が違うんだろうな
っていうのも別に理解できるし
見えてる世界が違うんだったら当然
目線も合わないよねっていうのも
まあ理解できるんだけどさ
でもさっきも言ったけど
誰もが当事者なわけ
じゃないですか
誰もが当事者だし
誰もがいずれかの立場であったわけですよ
例えばだけど上のほうの
レイヤーの人たちだってさ
いずれかのその下のほうの
レイヤーの立場だったわけですよいつかは
なんでそんなに
そのまあね
うん
なんかいろいろにじみ出てますよ
大丈夫ですか
若干
誰も聞いてないの精神でやってるから
まあしょうがないね
でもなんかその一瞬の実像と向き合うのが
一番いいよ
なんか素直に
いやなんかその
いや本当に本当に腹が
まあいいや
腹が立つって言い方しちゃうとあれなんだけど
難しいなって思うのがさ
そのレイヤーまで行かないと
経験の価値
その一瞬の実像と向き合うってことすらできないのが
なんかもどかしいというか
ああまあ
まあそこは
そのレイヤーに行かずと向き合いたいんですよ
僕は
ああまあ
それやりたかったらちっちゃいとこに行くしかないんじゃない
って思うけどね
でもちっちゃいとこと大きいとことまた課題もさあれが違うじゃん
うーん
できるだけ
いろんなものを体験したいわけですよ
そうだね
試行実験だけじゃなくて
実像と向き合うっていうところで
いやまあ気持ちはわかるけど
まあそうね
いやー
難しいよ何かを諦めてどっかで
経験を積むしかない
嫌だなって思ったのが決まったものに対して
おかしくないっていうのが嫌なのよ
ああなるほどね
決まったものが降りてきておかしくない
言うだけなのがすごく嫌で
はいはいはい
いやでも
いや一回やろ
いや別に今の会社のどこの会社でもいいけど
いやなんか
わかるところもあると思う
うん
俺が半年やってる間も
多分そういうのメンバー目線絶対あったけど
すごい嫌な言い方すると
いろいろあるんですよって時もあるし
逆にそのフィードバックをもらって
自分の目線で気づけなかった
自分がメンバーだったら気づいてた
あろうものに気づけなかった
ってこともあったし
それが何かじゃあ何でそれが気づけなかったのかっていう
内省とかをできるっていう
のはやっぱその立場にならないと
ないとかっていうのはあるから
うん
わかんないなんかね
一回やればいろいろ
辻褄が合う部分もあるし
それでもやっぱじゃあ昔のあの時の場面で
あの人に
その人がこういう風に振る舞ってればよかったんじゃないの
っていうのもあるし
うんなんか
いやー俺もやったら変わってしまうのかなー
変わってしまうっていうか
いや別に悪い変化じゃないと思うけど
いやー
いやなんかセキュリティと一緒ですよ
わかんないけど
まあね立場が変わるとね
そうそうそうそう
セキュリティもそう
気にしなきゃいけなかったこと
逆かなどっちかっていうと
セキュリティやってる人が
なんでこんなんなのっていうところを
俺多分逆に先に経験してるから
なんか
感覚としては多分伝えるとしたら
組織とピープルマネジメント
そういうのが一番伝えやすい
いやー難しいね
なんかでもちょっと一回やってみたいんだよね
みたいな人が
自分のマネージャーになるの嫌だなと思っちゃうんだよな
まあそこはね
いやーまあでも
その辺がその
それが組織選びなんじゃないですか
そういうところとか
うんなんかどの
まあ大きい企業だとねやりづらいだろうから
それは
いやーなんか組織の話だけやりたいな
ピープルマネジメントせずにね
そうだね
まあそうですね
まあだいぶ長くなっちゃったし
いろいろにじみ出てしまいましたね
大丈夫ですか
まあいろいろあるんですよ
まあいいそれはよくわかった
いろいろあるんですよ
まあね
いやわかるよ
わかります
まあ人には人の苦しみがあってやつだろうけどさ
うん
まあ別にだから相互にリスペクトしないとね
っていう話に尽きるんだけどさ
まあね
うーん
話が通じないなって思うの疲れるじゃん
まあまあまあ
疲れちゃうんですよ
人は疲れるんですよ
そうそれはそう
その
相互理解云々とかなんか
リスペクトが云々の話じゃないんですよ
人は疲れるものなんですよ
次行きますか笑
次行きましょう
やけやしの疲れを感じてるちょっと今
はい
いつかまた遠距離話しましょう
はい
じゃあ次は
はい
オフトピから一点戻ってって感じ
なんですけど
これ何の記事だっけ
ブリーピングコンピューターの
Trickmo Malware Steals Android Pins
Using Fake Dock Screen
っていう記事ですね
でこれTrickmoっていうのは多分
マルウェアの名前なんですけど
どういうマルウェアかっていうと
Androidで
偽のロック画面を表示して
ピンを入力させて
それを盗むっていう
マルウェアですと
2019年くらいから攻撃に
使われてるらしくて
ピンを盗むだけじゃなくて
何でもできるやんって感じなんですけど
OTPを防御したり
画面ロックしたりデータを盗んだり
リモート制御等の機能もありますと
でなんか
え?って思ったのは
マルウェア自身に
Androidって権限付与とかの概念が
アプリとかにあるんですけど
強い権限みたいなのを
Trickmo自体に
付与しようとするっていうのと
それを
付与しますってOKっていうのを
自動でタップしようとするみたいな
挙動もするらしくて
できちゃうんだっていう
Android詳しくないか分かんないけど
そうそうそう
Androidとか書いてある
Windowsとかだとさ
ずっと忘れちゃった
ずっと忘れちゃった
なんか
動作を許可するときに出てくる
Windows以外がブラックアウトしてさ
触れなくなるじゃん
あーはいはい
あの機能の名前は完全に忘れちゃったんだけど
もう完全にずっと忘れちゃった
わかんない俺
実行前
昔はスッと出てきたのに
年を感じるな
いやまあ
思い出す機会がないとね
まずWindows使ってないしね
うんうん
まあまあいいや
あるじゃないですか
Androidってことどうだったかな
まあでもちょっと戻ると
まあそういうのをやって
でピン盗んで何するのかって話なんですけど
別に物理的に盗んで
それをピンで解除するとかではなくて
これもなんかどういう原因なのだろう
っていうのは分からなかったですけど
その盗んだピン自体を
デバイスがアクティブじゃないときに
リモートでそのピンを使ってロックを解除して
悪さするっていうのをするらしいです
なので具体的にはその
利用してる人が寝たっぽいみたいな
寝てる時間に
リモートでピン解除して
悪さするっていうなんか
絵に描いたようなハッキングだなって思ったんですけど
まあそういうことです
これさどのレイヤーをどう
ハックしたらそういう挙動を
するんだろうね
なんか
よく分かんないね
確かにその
例えばこのリモート制御とか
をするときに
まあ
ユーザーが使ってるときに勝手に画面が動き出したら
びっくりするからとかまあそういう感じなんだろうけど
どのレイヤーかは分かんないな
で一応なんか被害者は
結構多いらしくて13000人以上被害で
が出ていて
でマルウェアの拡大キャラはフィッシングらしいんで
多分フィッシングで
フィッシングまあそうか
このアプリ便利だよみたいな感じでインストールさせて
正規じゃないから多分警告出るはず
なんですけどまあその辺も
許可したらインストールできるよみたいな
多分マニュアルとかがセットであって
まあお方そんな感じなんじゃないかっていう
ところで
そうなんか
できること多くねってちょっと思った
って感じです
あー思い出したUACだユーザーアクセス制御
なるほど
スッキリしましたね
ネットワークセキュリティの問題
うんスッキリしました
ユーザーアクセス
あーなるほどね
裏でめっちゃ調べてましたすいません
下げてしまいましたが
そう
あれはそうだからあのウィンドウ以外のコントロールがもうできなくなるから
多分あれって
まあちょっと分かんない裏の実作がどうなってるか
分かんないけどその
外からこうなんやかんやできないようになってる
と思うんだよね
でアンドロイドのこれはだからその
なんて言ったらいいんだろう
特定の権限の許可みたいなのが
外から触れる
そのボタンそのもの外から触れるようになってる
っていうことなのかな
と思ったけれどもロック画面でロック解除を
その画面操作をして
できるみたいなのってちょっとなんか
レベチだよなとは思って
なんかいろんな前提が崩れるよね
そうそうそうそう
多分
ハードウェア側の制御を奪ってるような感じなのかな
うーん
まあもしかしたらアンドロイドってさ
微妙に機種ごとに
その仕様がおそらく違うじゃん裏側が
うんうん
その辺で特定の機種だとできるとかもしかしたら
あるのかもね
うーん
そう結構
まあちょっとモバイルは
問題感なんですけど
うーん
ここまでできんのかーって気持ちで
まあちょっと勉強になりました
そういう感じでしたね
ちょっとねなんか気になるね
うーん
まあそうね
あとあれかサイドローディングね
サイドローディング周りEUとかは結構
緩めろみたいな
裁判とか起きてますけど
まあこの辺
いやでもアンドロイドはな
別に今もGoogleが見てないアプリ
インストールできるからそういう意味では
ユーザーリテラーションの問題なのかな
うーん
iPhone近いようですから
まあなんか
言い切るのは難しいけど
少なくとも13000人とかの被害は出なかったはずで
そうね
結構
厳しいねって
思いました
いやサイドローディングはね
うーん
きついね
判決を出した裁判官がお金を出して
安全にしてくれるのは僕は文句じゃないですけど
いやでもそんなごめん
今の発言なかったことで
そんな
浅い発言してしまった
日本も緩くなるのは確定してるから
うーん
ちょっとなんか
頭が痛い感じではありますね
いやですね
読みますね
スキャンネットセキュリティの記事で
Trickmoマルウェアの概要
して
タイトル読みたくねーな
読みますけど再発防止策
VPNを使用しない
株式会社伊勢東っていうような記事です
これなんか
内容をね
ざっくり言うと
株式会社伊勢東
っていう会社が
ランサムウェア感染したインシデントっていうのがあって
これ自体はピオログで
よくまとめてもらってるんで
それを見るといいんですけど
遅いな
結構前の事件なんですよね
前の事件で
あ 出てきた
6月6日
あー違うな
5月26日に
被害に遭っているってやつなんで
5ヶ月前ぐらい
5ヶ月ぐらい前の事件なんですけど
その事件に対して
伊勢東のほうから
不正悪性による
個人情報漏洩に関する
お詫びとご報告っていうような
リリースが出ていますと
この記事のタイトルに書いてある通り
再発防止策っていうところが言及されていて
そのうちの一つに
VPNを使用しないっていうのが書いてある
っていうところで
で これなんか
どういう話かっていうと
なんでしょうね
今回 このインシデント自体が
どういう経路で攻撃されたかっていうと
VPN経由で侵入されましたと
で 認証前の情報
多分どっかから引っこ抜かれたのか
相当なのか
なんかわかんないけど突破されちゃって
侵入されて
順当に侵害されて
ランサムまで繋がっちゃいましたっていうところが
事件の超ざっくりとした概要
なんですけど それに対して
今回のリリースで書いてある
再発防止策っていうところが
VPNをやめる以外にも
いくつかあって認証強化をしますとか
安全対策が
完了するまでは外部ネットワークとの
接続を制限しながら業務しますとか
あとデータの取り扱いに関しても
結局
ランサムにかかった
業員の一員として
管理区域外にデータを
置いてあって それが
盗まれたみたいなところがあったみたいなので
その辺のポリシー徹底しますとか
あと
今回の事件で
いろんな地方自治体に
委託の
委託元になってたんで
かつ契約終了したのにデータを消してなかった
みたいなものも漏えいしちゃって
契約終了して
データ削除したって
言ってたのに
結果的に漏えいしちゃいましたみたいなのが
他社から出てるみたいなところもあって
その辺もちゃんと削除しますっていうのを
徹底しますっていうところと
社員の教育しますみたいなのが書いてある
個人的に思ったのは
この記事のタイトル若干悔やんじゃないかな
って思ったっていうか
食いつきやすい
VPNを使用しないしか書いてないみたいな
かきっぷりに見えちゃう
ものの
他のこともちゃんとやりますって話が
VPNの再発防止策
書いてあるんだが
ただ
シンプルに思ったのは
VPNをやめるっていうのを再発防止策として
記載しなくてよかったんじゃないと
個人的には思っていて
すごい意地悪な
目線で見ると
VPNを使ってたこと自体が悪だから
やめます
っていう風に思ってるんですか
っていう風に
捉えられちゃうような
文面になっているなぁ
と思っていて
何でしょうね
別に中の人がそういう風に
考えたと僕は思わないけど
社内の議論で
こういうところに
今回ダメなところがあったから
こういう考え方で
こういう風な施策を打ちましょうっていうのがあって
それをもうちょっと外から見たときに
あんまツッコミどころがない形で
発表できてたら
いいんじゃないかな
別にどっかで燃やされたり
してないんで別にいいんですけど
そこはちょっと気になったというか
対外的な表現って難しいな
と思ったというか
でも再発防止策の
初っ端が進入経路となりました
VPNを使用しない
体制とし
まぁそう
ちょっとツッコミやすいよね
っていうのは
まぁでも
ちょっと
ちょっと
ん?って思う再発防止策
ではあるよな
何使うだろうな
代わりに
そう
めっちゃ細かい言及にする必要はないと思うんだけど
そのさ
本質的な問題はたぶん
VPNじゃなかったと思うんだよね
VPNの脆弱性を
使いましたとかだったら
製品を変えますとかパッチをきちんと
当てますとかって話
なんだけどインシデントの概要を
見てるとそうではなくて単純にたぶん
IDパス盗まれちゃいましたとかそういうレベルの話
のはずだから
そのVPNの
の有無は本質ではない
はずと
こういう議論をする
隙を与えない
ほうがいいよねって
ちょっと思うというか
んーなんか
結構ムズいよな
っていうその
インシデントリスポンスっていう
これぐらい大きい事件だと外部に対して
最終的にきちんと報告をする
ってとこまでが
そのリスポンスだからさ
自分もこういう窮地に
立たされることがあるかもしれない
って思った時に
あんま隙のない
誠実なものを
出すべきだよなって思わされて
しまったというか
誰の何のために
出してる再発防止策なのか
とかもちょっと気になるけどね
まあそれは確かにね
もしくはなんかその
どうだろうな
その事業の性質上
結構僕らが普段かかるような
その
クライアントいわゆるクライアントとか
と比べるとかなりお堅いクライアントが
多くはある
まあ信用金庫とかも
すごい多いから
使ってんじゃねーってなったのかもしれないからね
そうね
なんかいろんなそのご意見を
受け止めた結果
これがたぶん一番理解されやすくて丸いんじゃないか
とかそういう議論がもしかしたら
あったのかもなとは
思うこともないけど
あとは業務を
分かんないけどね分かんないけど
契約上その業務を行う場所みたいなのが
もしかしたら指定があったのかもしれないね
あー
なるほどね確かにそういうのもあるかもね
うーん
VPAの使う前提がそもそもおかしくないって
いうツッコミとかがあったのかもしれなくて
ちょっと誰に向けてるその
開発防止策なのかっていう観点は
まあちょっと持った上で
見たほうがいいのかなとは
確かに確かになるほどね確かに
なるほどね
分かんないですけどね何も分かんないその辺は全然分かんないけれども
そうねまあ
個人たちののみぞ知る
っていうところですね
あと顧客データ契約終了後に消してなかった
っていうのは非常にまずくて
そうね
まあ契約上どうなってたのか分かんないけど
まあきっと削除する
っていう契約になってたんじゃないかなと
ツッコミが入ってる以上はね
うーん
そうだったはず明確に
書いてあるね
削除する契約
うん
これがさその
まあ業務委託する側として
見た時に
いやー
委託先が本当に削除してるのっていう
特にこの
データの類ってさ
削除の確認を取るのって
かなり難しいじゃないですか
めちゃくちゃ難しいですね
めちゃくちゃ難しいです
データ管理っていう部分も
だから大事になると思うし
うーん
全然この辺は
うちとか他に事じゃないね
2Bというかクライアントでデータを預かるような
仕事はね
そうなんだよね
業務委託だから
委託先の監督義務が
あるわけだし
とはいえでも契約で
縛ってるから大丈夫だよねっていう
のではやっぱ全然安心できないよね
っていう実例の
一つになるんじゃないかなと
そうだねなっちゃうね
いやーむずいよねなんか
かといってさ委託先監査
しますとかでさ
どうなんだろう
分かんないよねどこにデータがあって
本人これってさ多分
一部
分かんないな
もし消したと思ったのに
消せてなかったってパターンだとしたらさ
委託先監査が入ったとしても
気づけないわけじゃん
システム構築してる本人たちが
把握できてないんだから
第三者が分かるわけもなくて
そこまでいっちゃうとちょっと一定
しょうがないかなとは思うんだけどさ
いやでも
どうなんだろう
そこまでは言及されてないわけ
だよね
確定はしてないね
削除した後報告したが
だから報告したのは
パスキー管理の進展
やっといてほしいけど
そこは
ここはなんか
事実がないんでコメントを
入れてたとこ
そんな感じです
悩ましいとこですね
どこまでどういう監督を
するべきなんだっけっていうのは
うーん
難しいね
うーん
SaaSとかも別に
業務委託とかじゃなくても
SaaSを使っててそこに
大事な情報を突っ込んでとかもさ
教育付けには同じ話だし悩ましいね
SaaSだったら
SaaSだったら
顧客の
ユーザー側の鍵で判誤化するとかをさ
なんか機能として提供してあげるとか
確かに確かに
ガバナンス系のレポートをちゃんと出して
とか
そういうので一体担保はできるか
そういうのって
これ自宅だと難しいんだろうな
あんまどうなんだろう
そうね
まあまあまあ
はいそんな感じです
まあちょっと
でも大概の感じじゃないかなという気持ちで
改めて生きていきたいなと思ってます
はい
じゃあ次は
これは
どっちが書いたんだろう
僕かな
まあでもちょっと2つまとめて話しますか
追加したのは僕だと思うんだけど
僕読んだのにこれ
読んだけどもう読んだときにはサマリーが書いてあったから
いや
ああなるほどね
じゃあ読みますけど
まあ2つまとめてなぜ話すかという話は
これから分かると思うんですけど
ワンパスワードの
あ1個1個飛ばしてるよ
こっちこっちの順で読もうと思ってた
あー了解
失礼しました
いえいえ全然大丈夫です
こっちがワンパスワードの
coming soon security import and export
pass keysという記事でして
まあ
ご存じの方ももしかしたら多いかもしれないですけど
ファイドによりそのパスキーの安全な
エクスポートインポート実装の
ドラフトが出ましたよという話が
あってワンパスワードも
それにきちんと準拠して
ワンパスワードに
ロックインするような仕様にはしないよ
っていう記事ですね
記事自体はそんなに別に長くなくて
その仕様の話に少し触れてるのと
今言ったロックインしないよ
って話に触れてるというところ
っていう記事ですと
でもう1つが
つながってるんで続けて
話すとパブリックキー
さんの記事でタイトルが
Windows 11に
サードパーティーのパスキー管理を
統合できるパスキーAPI搭載へ
ワンパスワードや
ビットワーデンなどシームレスに
Windowsと統合可能に
っていう記事です
これは日本語なんでだいぶ分かりやすいんですけど
Windows 11にパスキーAPI
なるものが実装されますと
これによってサードパーティーの
パスワードマネージャーとの
パスワード管理を統合が可能になるよ
っていうところ
そして
Windowsデバイス間での
パスキー同期っていうのもやりますと
むしろ逆に今までできてなかったのは
僕は知らなかったんですけど
この前のChromeの同期みたいなところと
一緒の話だと思います
この同期自体はいついいで
行われるんで
安全ですよみたいなところが
ありますと
っていうところですね
これ 勝手に
つなげて読んじゃったけど
同じ話かと思ったが
違います 違います
じゃあ別々ですね
続けて読むんだってちょっと
思ったんだけど
パスキー絡みになるからあれだけど
じゃあ
インポートエクスポートの話から
しますか
まあ
一歩ずつですね
個人的に
ドラフトを読みたいな
って思ってるんだけど全然読めてない
うーん
Windows 11の新機能
なんかその
この仕様が出た
ところで誰が
それどおりに
やってくれるのって話みたいなのも
あると思うんですけど
だからその
まあ早々たるメンバーが
協力するよってことが
書いてあるんで結構多分利活用
されることは
確定できるかなと思っていて
個人的には仕様も気になるんだけど
その
うーん
一番最後のユーザーがどうしたら
いい感じになるのかって部分がやっぱ
大事なんじゃないかなって気はしてて
Apple iPhoneと
Android
俺とかはMacOSのPCと
Androidを持ってるみたいな時に
なんかそのパスキーがいろんな場所に
散っちゃってるみたいな
仮にそういう状態だった時に
なんかいい感じに
なんかポチポチ押したら寄せるみたいな
のができるのかとか
どうなんだろうなみたいな
ちょっと気になるって感じです
ちょっとなんか
ドラフト4で見ないとなんとも言えんけど
ユースケースっていうか
パスキーの重要性
使い心地がどんな感じになるのか
確かに気になってるところで
地味に重要なのが
これってあくまでクレデンシャル
エクスチェンジのプロトコルと
フォーマットであって
特化した話じゃないらしいんですよね
あーなるほどね
はいはいはい
あー
どうやら
ほんとだ他の認証形式にも対応する
なるほど
パスワードもいいね
確かにこれなんか
Chromeのパスワードアマライザーが
ワンパスにエクスポートした時
そのCSVでパスワード生書きで
そうなんです
手でやったけど
TOTPの
セクレットとかもそうっすね
あーめちゃくちゃいい
ああいうのがそう
共通のフォーマットで
インポートエクスポートできるようになるって話があって
なるほど
だからどこの
ベンダーも
追従する
メリットはあると思っていて
受賞に寄せやすくもなるし
その代わり出て行かれやすくも
なってしまうよっていう
両面あると思うんですけど
なるほどね
いやー
どうなんだろうな
どう使われるんだろう
これがなんか
セキュアリーインポートエクスポートパスキーズだから
安全に
クレジェンシャルをやり取りできるようになる
っていうことであれば
純粋にこれが標準化される
っていうのはユーザーとしては
歓迎するべき事象だと思うし
それが必ずしも
これが必ずしも
パスキーの普及に
寄与するかどうかっていうのは
完全に別にしても
嬉しいよねっていうものではあるはず
そうだね
そうだな
いやー
はい
ラストパスからビットワーデンに
移行する時とか
エクスポートしたものの扱い
確かになんか怖かったな
いやだよね
嫌だよね
嫌だ普通に
今だから分かる怖さ
そうそうそう
間違いないね
ワンパスの管理画面とかで
ここに
ここで画面でGoogleログインボタン
押して
オース認証したら
エクスポートが完了するとかそういう世界が変わるのかな
って感じになった
それだとでもなんか
微妙
それだと今度フィッシングが成立しそうな気がしてきちゃうな
あー
まあ
確かにね
まあまあだからその辺は多分
ドラフト読めって話だと思っていて
うんうん
読まないとちょっと分かんないね
うんうん
まず読みましょう
読みたい読みたいけど
うーん
そんなに長くない
あーほんと
長くないにしますか
ストロングスタイル
いやーいいよ読んだら勝手に静かなインターネットに
まとめとくわ
おー
じゃあちょっとそれ読むから
はい
もう一個もパス系ネタだけど
どっちかというと
ユーザー的にはこっちのほうが期待値高いかもな
それでいうと
なんか
いやーあんまりよくかかってないんだよな
パス系APIは別の
ちょっとして
どういう
あー
ワンパスワードとかから
叩けるようになる
Windowsの鍵とかにアクセスできるようになるって話じゃないの
違うのかな
でもなんかその
いやどうなんだろうな
要は
えっと
なんて言ったんだろうな
ワンパスワードとかのパスキープロバイダーから
Windowsハローへのアクセス権限がなかったんじゃないかな
そうだね
うん
なんかキャプチャー見てる限りは
例えばそのChromeで
パスキー生成して
ワンパスに保存するってなったときって
そのワンパスの
エクステンションが入ってて
セーブしたらワンパスに入るって感じだけど
うん
このWindowsのやつは
このキャプチャーの感じを見ると
入り口は一箇所になってるんだけど
その保存場所が複数選べるようになる
って感じなのかな
マイクロソフトアカウントにも
保存できるし
これは多分今デジタル店でもできるんだけど
そこにセーブアナザーウェイみたいなのを
クリックすると
任意のあなたが使ってるものに
入るようになりますよっていう
感じなのかな
これはでもユーザー体験の改良
っていうこの文脈の話じゃないのかな
この画面で
うーんそうかもね
保存してるかを分かりやすくするための
話じゃないかな
なんかこういう
それとこれがなんかどういう風に受け入れられるか
はちょっと見といた方がいいんだろうな
そのなんか分かんないけど
macOS上のChromeを使ってる体験が
今その
すごいイマイチだからさ
そのワンパスとChromeのやつと
Googleのパスキーと
iCloudのパスキーと
分かんないけどあれになるんだと思ったけどね
読んだ時
あれがむしろできるようになるんだと思ったんだけど
違うのかな
あれが
いやその実態はそうなんだけど
その口としてはその
分かりやすいというか
Chrome内は順番に聞かれる
これ保存しますかいいえこれ保存しますかいいえ
っていう連続になっちゃうんだけど
これあったらもう保存するかしないか
保存するんだったら
あなたが選べるのはこれで
そうそうそうそう
っていう話かなと思った
これじゃあ独自仕様なのかな
ASK API
じゃあそんなことない
と思うけどね
えーっと
なんだっけ
そんなことないと思うんだけど
多分だけどね
えーっと
えーっと
なんだっけ
Web Authentication
じゃなくて
Ctapか
クライアントと
オーセンティケータープロトコルスに多分
準拠してるやつなんじゃないかな
と思うんだけど
分かんない
パスキー勉強しよう
いい加減
なるほどですね
Windows 11
パスキーAPIの
いやー分かんないね
俺も分かんねえよ
超適当に言ってるけど分かんない
いやーちょっともうちょっと
勉強しよう
あとなんか実機欲しくなるな
その実体験したいな
まあねWindowsをね
私は微妙に使ってるんだけど
Windowsでパスキーを
使うほどの使い方はしてないんだよな
なるほど
理由つけて買うか
よく分かんねえな
まあちょっと引き続き
放置しましょうって感じですか
勉強しつつ
本当着々と進んでる
毎週なんだかんださ
毎週ではないけど
パスキーのニュース流れてくるし
年末には分かんない
半年後とかにはいい感じになってるっていいっすね
でもやっぱり
そうだね
貼ってくれてるマイクロソフト側の
開発者ブログのほうを見ると
サードパーティーのパスキープロパイダーを
プラグインするための
APIサポートって書いてるから
なるほどね
要はローカル認証のAPIにアクセスできる
っていう話だと思うので
なるほど
だから多分クライアントと
オーセンティケータープロトコルの話
なんじゃないかなと
思ってるんだけど
そうだね
シータップって呼び方でいいのかわからないけど
俺はシータップって脳内で読んじゃってる
これがそれなのかどうかを
ちゃんと理解するところまで
その辺の仕様まで
読み進めてなくて
Web Authenticationの
W3Cの
リコメンデーションの
途中で終わっちゃってるから
本体読まないといけない
読んできてください
ちょっと待って
他人分かった
いや読みます
今年の目標にするわ
触んないとわからないよ
触んないとわからないし
触んないと覚えない
実装したほうがいいかなと
スペック読んでわかった気になるの
多分一番よくないなと思った
これに関しては
なんて言ったらいいんだろうな
スペック知らなすぎると
セキュリティツールの両面性
俺みたいな感じになるから
実用レベルで
使うっていうのが結構難しい
じゃないですか
実際の苦しいところって
それなりのサービスを運行してる側で
これ開発しないとわからないと思うんですよ
裏側
それは確かに
だからこの設定で
こういうユースケースで使おうとすると
実ユーザーのうち
何割ぐらいはやっぱこけちゃって
だからこうしないとだめなんだよね
みたいな絶対あるはずで
うん
確かに
ワンパス
ワンパスのブログも
ちゃんとウォッチしておこう
この辺繋ぎ込んでどうだったかとか
レポート出してくれたら嬉しいな
いつかお願いします
はい見ておきます
ウォッチしておいてください
任せてください
スタント
はい
じゃあ
最後
お願いします
EDRサイレンサーレッドチーム
トゥールユースインアタックス
トゥーパイプセキュリティという
ブリーピングコンピューターの記事でございます
僕ちょっとこのツール自体は
知らないんですけど
EDRサイレンサーっていう
レッドチーム向けのEDRを黙らせる
ツールがあるらしくて
それが攻撃に
悪用されてるよっていう
記事です
はい
それだけなんですけど
超オープンソースツールらしくて
実行中のEDRの
プロセスを検出して
なんやかんややってくれるっていうやつらしい
うんうんうん
いやー
悩ましいっすね
えーと
難しいね
セキュリティ技術者に
両面あって
昔から多分そうなんだけど
セキュリティ技術者に役立つ
ツールは
攻撃者にも役立つよねっていう
のは多分ずっと昔から
あると思っていて
それこそパスワードクラッカーとかの
時代から多分そうですよね
ジョン・ザ・リッパーとか
あとは
カイン・アンダーベルとか
あの辺も要は
パスワードクラッカーだけど
もちろん
セキュリティ技術者も使うし
攻撃者も使うしっていう
ツールの代表格だったと思うし
Nマップとか
ポートスキャナーとかの類もそうだと思うし
あらゆるセキュリティスキャナーが
多分そうですよね
っていう中で
なんていうか
ユーザー体験と課題
それでいくと世の常だと思っていて
この
守る側に
レッドチーム
レッドチームだからより
境目が曖昧っていうのは
レッドチーム向けツールだからよりそこの
境目が曖昧っていうのは絶対あると思うんだけれども
守る側の
ために作られたツールが
攻撃者側にも有用で
使われてしまうっていうこの問題自体は
多分ずっと昔からあって
その
バランスが難しいね
っていう話なんですけど
結局でも攻撃者側が作るだけだと思うから
なければ
これを出すことの是非みたいなのは
別にどうでもいいんですけど
悩ましい問題だなっていう
この
これ難しいのはこれを公開することで
安全性の向上に寄与する
一面もあるし攻撃に使われてしまう
っていう面もあって
その要は
ゼロディーリスクロージャーと
ゼロディーリスクロージャーの議論と多分似たようなものがあると思うんですよ
ここも
ゼロディーで
公開することによって
その
なんて言ったらいいんだろう
どうしても直らない脆弱性とか
に関してユーザーに
注意喚起ができるよっていう側面も
ある一方でそれを
悪用するっていう人たちも当然現れるよ
みたいな
そこのバランスが難しいねっていう
話のワインチーム
企業の体力が無限にあるなら
全てのツールを試せるわけじゃないけど
こういうトレンドを掴んで
自社のレッドチームが
これを使って攻撃してみて
ダメな穴を見つけて
なんか
公式的にはいいのかもしれない
と思いつつ
そんな体力ない会社も
無限にあるわけで
むずいね
むずいっていうか
まぁでもその
公開してもしなくても結果は変わんないな
公開してその業界に
寄与した方がいいよねっていう
考え方で行くしかないよねっていうのは
完全に同意というか
そうだよね
うん
まぁ難しいね
企業の体力とツールの試行
難しいっていうか
まぁ不合理だね
うん
まぁなんか別に正解がないところなので
なんかどっちがいい悪いっていう話は
全然ないと思うんだけれども
うん
守る側がさ
ソフトウェアセキュリティが特殊だよな
なんか
物理の世界とかだと同じようなことないもんね
あんのかな
うーん
なくはないんじゃない
なくはないのかな
ピッキングツールとか
発展してたりするのか
特殊会場用具って日本だと
単純処置で違法なんですよね
へーそうなんだ
あのカチャカチャやるやつ
はいはいはい
いやでもやっぱソフトウェアが
異常な気もするな
うん
ひたちごっこが早すぎるんだよな
単純処置が違法ということは
当然入手経路も一定
ぐらいのその
まともな入手経路では
多分限定されてるんだろうなって思うんだけど
うんうん
まぁその特殊会場用具とかに関してはね
うん
絶対できないけどさ
こういうソフトウェアの攻撃ツールがさ
本当に必要な
人だけの
クローズなコミュニティで配られるとか
あればいいんだろうけど
不可能だからやる意味もないっていう
うーん
まぁそこへのアクセスが限られちゃうとね
うーん
ツール自体が
よくなっていかないとかあるよね
あとそのオンラインでやり取りしてた時に
結局見抜けないよねどうせ
まぁ見抜く方法あるかもしんないけど
そこにどんだけ
まぁっていうのもあるしなんか
大体のものには大体手段があるやっぱり
うーん
まぁ確かに
これがなければ別のものを
使ったか作ったかの
多分どっちかだと思っていて
うーん
クローズドにすることにそんなに意味はない
うーん
これ
いやでもどうだろう
こういう記事を読んだら
あれうちこの
EDR使ってるかもって思う人がいた時に
試すとかはありなのかな
いやでもむずいな
そうする能力があるなら結局
チーミングできるぐらいだよ
って話か
黙らせた後に何するかだもんな
でもさ本当に難しくって
その
さこのEDRサイレンサーっていうのを
こう
作って公開してる側も
多分そこは織り込み済みだと思うんだよね
その悪用されるってこと
そう
それはそうだね
いや難しいな
うーん
不合理ですね
いやまあでもしょうがないよ
しょうがない
まあそうね
まあ
訓練みたいなもんか
うーん
いやあのねその
格闘技で強くなろうと思った時に
練習相手が弱かったら
強くならないじゃないですか
ブルーチームの相手の
大した攻撃ができなかったら
大した
現実はこういうものを
使ってくるよっていうのが
うーん
やっぱりあるわけだから
ベッドチームがこういうのを使うってこと自体は
まあ妥当だろうなと思うし
でもなんかその
なんていうかさ
いや別に
いやわかんない
この言葉しか出てこないのは
不本意ではあるんだけど
ある種のマッチポンプじゃないって思ってしまう
部分もあって
うーんまあそうね
こういうものが
守る側のツールとして
公開されることによって攻撃そのものも
高度化していくみたいな部分が
あるわけで
ちょっとマッチポンプっぽいよな
って思ってしまう
それはそうね
若干ね
うーんまあ
攻撃する側が作る
遅か早かで作ってただろう
っていうものだと思うから
もうこういうものが公開できてしまう以上はね
うんうん
すごい
一番最初記事で話したことに
別に綺麗につなげたいわけじゃないけど
あの
まあ俺らみたいな規模はさ
そのないけどさ
このここで名前が上がってる
これ回避できちゃうよっていう製品を
開発している人たちにとっては
このトレンドをつかむことは
多分めちゃくちゃ大事なんだろうね
これでうちのやつ回避できるらしいみたいなので
うん
まあそのOSS全員作られた
レッドチーム用のOSSと
なぜかいたちごっこしなきゃいけないっていうのは
すごい謎
な気もするんだけど
まあでもなんか
でもこういうのって
これこれこうすれば
このセキュリティ
ソフトはこう
プロセス止めることができるよ
みたいな
秘伝の技みたいなのって多分
各セキュリティベンダーに伝わってるんじゃないかな
と思ってて
実はね
ある種のクローズドコミュニティだよね
うんうん
それが脆弱性として塞がれると困る
みたいな人たちも多分一定すると思っていて
なるほど
APIの開発とコミュニティの意義
難しいね
そう
それがさ
マッチポンプっぽくない?
それはマッチポンプっぽいしさ
それがさ各防壁でやられちゃったらさ
貫通すんじゃどうすんじゃ
そんな綺麗につながらないと思うけど
でもなんか
まあまあ
でもそうやって長らく残ってるってことは
脆弱性じゃなくてもそれは仕様です
っていう見方をしてるんだろうなと思うし
もしそういうのがあればね
もしかしてその設定しなければ
いいだけだよっていう
わかんないその
まあありそう
確かにね
そのとこっすか
難しいで終わってしまったな
いや難しいよな
でもなんか結構そういうのあるよね
あの仕様便利に
使ってたのになみたいなのが
直されて困っちゃうみたいな
結構あるよね
まああるね
あるんだよ
まあある
なるほどね
ついこの間車内でも1個あって
へえ
あれってどうなったんですか
ああもう使えなくなっちゃいましたみたいな
あって
まあディブ感
まあそうねあんま想像できてないな
まあでもまあまああるね
はいそんなとこっすか
今日は盛り上がりましたね
いや
いいなオフトピーいいな
まあ話はそれがちなのがちょっとあれだけど
まあまあまあ
オフトピー1個2個
毎週混ぜたいなできれば
いいのがあれば
コニファーさんが
なんか結構いい具合に
毎週毎週
ネタを
提供してくれてるからなんか
助かるんだけど
来週も1個入れようか
迷ったやつがあって入れてないんだな
そういえば
まあ話したいものを話そうや
うん
いやいい
そうね
EMやろうぜ面白いぞ
まあEMはないんだよな
なぜかというと私今エンジニアリングの
組織にいないから
ああそっか
まあ
いや
はい
機会があればチャレンジしてください
ガチレスしないでよそんな
困っちゃう
マネージャー
えーなんか
面白いと思うよ
いや人の評価とかできんって
それはもう
誰もできないから大丈夫
まあそんな感じで
ございますか今日も
はい
はいじゃあまた来週
また来週
8回かまあ10回が近づいてきましたけど
またコツコツやりましょう
10回記念何やりますか
次回まで考えてるからさ
いやー10
いやーそうね
10回で喜ぶ
まあでも喜ぶべきか
いやでも
あえて何もしないがいいんじゃない
10回って聞くとそんなでもなさそうだけど
10週間って聞くとまあまあじゃない
まあね
まあまあまあそれはそう
まあ
なんかいいネタがあったら
違うんだよ10回でやっちゃうと10週間ごとに
何かしなきゃいけなくなるよ
そんなことないよ
次は1年で
あーなるほどねだいぶ
飛んだな
4の48はまあでも確かに
50回ぐらい
はいじゃあ皆さん
楽しみに
期待せずに
絶対何もやんない
絶対何もやんない
やってほしいことあったらなんか教えてほしいよね
なんかこっそりDMしてほしい
DMください
別にDMじゃなくてもいいけど
こっそり教えてほしい
こっそりじゃなくてもいいけど教えてほしい
お願いします
あのソータ君まで連絡ください
あOK
いつでもどうぞ
ポッドキャストね地味に
スポーティファイだったらコメントできるんで
あそうなんだ
通知くんのかな
通知は来ないけどまあ定期的に見てるからね
気づける
なんか1回ぐらい
この収録終わった後の
だべりタイムを公開したいよね
えー
もうだべりモードにならないんだろうな
録音しちゃうと
いやまあ
やってもいいよ
有料コンテンツだな
いやえぐいってそれは
それはマジでえぐい
組織の複雑さ
それはやばい
終わろう
一旦終わろう
ここから有料なんで
はい
じゃあみなさんおやすみなさい
おやすみなさい
02:14:04

コメント

スクロール