イベントの紹介
こんばんは、Replay.fm第4回でございます。
また被せちゃった。第4回でーす。
間がね、掴んでこう。
難しい、難しい。掴んでいこう。
あんま喋らんほうがええんやな、最初ね。
あー、そうね、なんか、
こんばんは、Replay.fmです。第何回ですって言って、
なんか、いい感じの一言、シュッて差し込んでもらうみたいな。
カードルが当たらないように。
フリースタイルで。
いい感じのやつをね、シュッと。
毎回寝てもらって。
はい。
冗談、さておきですけど。
冗談?
あー、今週もやりますか?
やりましょう。
じゃあ、早速いきますけれども。
あ、これ…
俺、ちゃんと読んでないけどね。
概要読めました。
あれ?順番?
下から順じゃない…上から順の方がいいか。
失礼しました。
じゃあ、こちらで。
一つ目が、フラットセキュリティさんのブログの
ブラックアウトUSA2024と
B-Sizeラスベガスと
DEFCON32に
会社の海外研修制度を利用して参加しましたっていう記事ですね。
素晴らしい。羨ましい。
うーん。これ3つ開催時期が近かったから
まるまるって。
もう立て続けですね。
B-Size、ブラックアウト、DEFCONと。
立て続けにやってます。
最高の…
ラスベガス、全部ラスベガスだったってこと?
うん。全部ラスベガス。
AIとセキュリティの課題
へー、なるほど。
はい。
で、内容としては
えー、なんすか?
いや、なんでもない。
ふーん、なるほど、ふーんって。
いや、もう
バチバチに気合入れてるんで。
ちょっと茶化さないでいただいて。
やっていきますよ、今日も。
はい、えーっと
先週か先週、先週と先々週読んだ
えらいえらい石屋さんのブログの
と同じ感じですかね。
イベントに行ってきたよって話と
気になったセッションいくつか
ピックしてっていうところで
全部読むというか
全部読むとあれなんで
読みたい方は記事読んでいただいて
気になったやつが
それぞれ事前にコメントがある
メモがあるんで
その辺触れますかね。
ヤゲスさん的にはどうですか。
あー、なんか一通り
全部面白いなって
紹介してくれてるのは流石に面白いなって
思った感じっすね。
なんかぶっちゃけ
石屋さんのブログよりも
感性がこっちの方が近いかなっていう感じ。
それはわかるかもな。
なんかプロダクトより
中華なんだろうね。
まあ会社の色なのかな。
まあ言ってる人の
その色なんじゃないかなとは思うんだけど。
確かに。
そうですね。
B-Size、Black Hat
Defconそれぞれ
公演でいうと
2つずつぐらい紹介してくれてて
順番にいくか。
B-Sizeが1つ目が
Don't make this mistake.
Painful learnings of applying AI in security
っていうタイトルで
まあ今日のLLMはあんまり賢くなくて
なんかすごい簡単な
XSSの修正とかでも
アルゴCDにおける脆弱性
ちゃんとできなかったりするよっていう話。
結構正しく修正されるケースが
全体の30%で本来の
機能は維持されているものの
脆弱性の修正に繋がっていないものが20%
残りの50%はぶっ壊れてる
っていうのが
結構はっきりこういう数値が
出るの面白いなっていうのが
まず1つあったのと
なんかやっぱLLMは
実装されたコードの全体的な
コンテキストを正しく理解するのは
困難だからっていう
仮説を持っていて
まあ結局
ある程度ハイブリッドに
色々人の目も入れつつ
やらないとダメだよっていう紹介をしてくれてる
具体的には
修正をさせて
修正させるまでいいけど
SAS等を組み合わせて
治ってるかどうかをチェックするとか
そういう感じでカバーするのがいいんじゃない
っていう話をしてくれていたらしい
確かにね
SAS等とかでチェックできんならそれで
いいね
これは
まあ僕も割と
メモしたんですけどせやなって感じの
肌感と割と
まあそんなもんだよねっていうのと
あと何だっけな
あの
まあとはいえ
まあじゃあなんか精度が
30%だから役に立たないかというと
まあ全くそうではない気はしていて
なんかコパイロットとか
まあコードを書くとき使ってるけど
まあ30%よりは高いのかな
精度
まあでもなんかその
脳子でタブレンダーしてシュッと書かせて
まあ後から読んで治すっていうのと
まあ1から
まあ治すというのでは
まあ割と全然生産性というか
工数は結構明確に差はあるので
まあこのセキュリティマリンの
それをやってくれるのはシンプルにありがたい気がする
あとこれ
SASTと組み合わせてって言ってるけど
普通にさテストを書けばいいじゃんって話も
あるよね
まあテストできないケースもあると思うけど
テストでできるならいいかなとは思うけど
そうねできるケースばっかりじゃない
と思うから
まあそれはそう
まあ当分
ていうか多分SASTで見つけて
もう一回テストっていうとこまで考えると
まあSASTでやった方がいいんじゃないかなと
思うけど
なんかその辺自動でやってプルリク立てるとかいう
世界になったら割といいな
いやーでもなんかその
SAST
弊社は諸事情により
運用してないんですけど
諸事情っていうのは言語問題なんですけど
なんかどんぐらい使い物になるのかな
いやーそれはね
気になってて
今週の記事に
入ってたっけ
入ってないな
また後でSASTの話は触れる気がするけど
どうなんすかね
実際どうなのか
ちょっと今時のSASTがどうなのか
とても気になっていて
なんかフリーで
OSSとかで使えるものがあれば
試してみたいかもしれないですね
はいで次が
レリストワンネット
アルゴCDとGitOps
from an attacker's perspective
っていう
アルゴCDとGitOpsを
攻撃者の視点から見ましたよ
っていう
これ結構
なんていうかトレンドだよなっていう
なんていうか感想がすごくあって
アルゴCDがっていうより
アルゴCDも割と
トレンド寄りになるかもしれないけど
CDを
取りに行くといろいろ握れるよね
っていう
考え方そのものが割とトレンドなのかな
とはちょっと思っていて
面白いなと思ったのが
見つけた
脆弱性の解説をしてくれてたらしくって
キャッシュサーバーの
レディスのインスタンスに
攻撃者が通信できる場合に
アルゴCDが管理するKubernetesのクラスターに
任意のマニフェストをデプロイできる
っていう脆弱性があるらしくって
任意の
PODをそのままデプロイして
ノードのファイルシステム
ノード側のファイルシステムをそこにマウントすると
ノード側にファイル書き込みを行って
結果ノードに
SHで繋げられるようになるようみたいな
シナリオを
紹介してました
紹介してたらしいです
別に
さっきみたいにCDのシステムって
強めの権限持ちがちなので
いろいろできちゃうね
っていう話
これは
結構タイムリーなんじゃないですか
最近やってたこととか
そうね
でもなんかその
それこそ別の記事でも
入ってたかなって思うんだけど
セルフホストランナーじゃないけど
CDを自前で
運用するみたいなときに
自前で運用するからこそ
なんだというか
これたぶんうちも使ってるのかな
どっかで使ってる
と思うんですけど
その
初期設定があるじゃないですか
Mac Ventusクラスター用意して
VPCアタッチして
ファイアウォール設定して
っていうのをやっていく中で
これを使うっていうところで
割となんか
そういうのは普通にあるんで
そういう意味ではタイムリーというか
直近試合CD周りやってたんで
なんかね
セルフホストランナーの方でも話したいけど
自前でやるとこういうの
自前でやらなくてもあんのかもしんないけど
自前でやるとなみたいな
ダックサービスの管理がしんどいなみたいな
気持ちはあるというか
うーん
ちゃんと理解して使わないとダメだよね
当たり前ではあるんですけど
この辺なんかちゃんと意識して
デプロイできてる人そんなに
いない
いないはいいすぎかもしんないけど
どれぐらいの人が意識できてるのか
結構気になるな
うーん
自分が管理者側に回ったことがないから
あんまりなんか気をつけたことって
なんか経験として全然なくって
うーん
その辺のなんか肌感はちょっとわかんないな
うーん
例えば今俺が
その今の現時点でのセキュリティの経験値を持って
これなんかじゃあCDシステム自前で
構築しようってなった時に
その
権限昇格とか
そのCDの実行権限の管理とか
何を含むか
みたいなところの観点は持てると思うんだけど
なんかこの裏側
実はリス動いてて
とかでそこでマニフェスト実は書き換えられます
とかは結構
意識しづらいというか
うーん
まあでも
今回の別に仕様というよりは
脆弱性だからちゃんと
脆弱性管理しとけって話に落ち着くかも
しれないけど
なんか
うーんって感じはするな
まあでもなんか
この仕様おもろいなって思ったけど
まあレジスが完全にバックエンドなのか
どういう状況なんだろうね
だからなんか両方パブリックになっちゃってる
っていう状況なんだろうね
別にパブリックである必要はないもんね
うーんないんじゃないかな
うーん
パブリック
このレジスの役割的にも
このフラットさんの記事を読む限りは
フラットさんの記事が読み取れる役割的には
パブリック
パブリックであるべきではないよね
おそらく
うーん
レジスに寄せたことがないから
わかんねえな
レジスへの接続に対しての認証とか
絞ってないとか
そういうのもあったりするのかな
どうなんでしょうね
まあこれはおもしろいなって思いましたね
個人的には僕も
はい
で次が
こっからブラックアウトですね
cash them all
bending the rules of webcache exploitation
という
講演
最近流行りの
webcacheを利用した攻撃についての
講演という話
でした
これね
cacheすごい
人類には速すぎる問題は
若干なくもない気がするんだけど
まあなんていうか話としては
今のwebのシステムって
cdnとwebappサーバーと
アプリケーションフレームワークというので
要は
多層的にいろんなアプリ
昔もそうだと思うんだけど
昔に比べてなおのこと
多層的にいろんなアプリケーションが
間に
一つのアプリケーションが動くために
URLパーサーの解釈の不一致
いろんなものが挟まってるよねっていう前提が
あると思うんですけど
その中でcdnとかwebappサーバーとか
アプリケーションフレームワークの
urlパーサーの解釈の不一致を
新たな攻撃手法をまとめてくれてた
みたいですね
この
urlパーサーの解釈の不一致
っていう
なんて言ったらいいんだろうな
不具合というか
事象というか
それ自体は別に新規性のあるものではなくて
昔からいろんなパターンで
悪用されてたものだとは思うんだけれども
特にそのキャッシュ
の文脈において
こういうことがあるよっていうのを
体系的にまとめてくれてるっていう
記事とそれに関する
講演っていうセットですかね
代表例として
webcache poisoningとwebcache deception
があるよっていう話を
書いてくれてて
根本的には
キャッシュサーバーとオリジンサーバーにおいて
リクエストに関する解釈が異なることが
原因だよねっていう話が
まずあって
それを引き起こし得る解釈差分の
パターンっていうのを
どんなのがあるんだっけっていうのを
まとめて解説してくれてる
っていう講演だったらしいです
CDNとキャッシュの課題
ポートスティックは記事が
あるので
別に正直
これを全部読んで覚えておく必要はない
と思っていて個人的には
webcache poisoningしてえなって思った時に
読めばいいと思うんですけど
いいまとめだなと思いました
いいまとめ
いやーこれ
みんなどう向き合ってるんですか
もうなんか
きつくねこの世界
きついきつい
あんま記事の中では触れられてない
気がするけど
アプリケーションフレームワークに
URLパーサーが入ってる場合は
アプリケーションフレームワークのURLパーサーが
問題になることもあると思うし
言語のその
標準の機能として備わってる
URLパーサーがあれば
そいつとの差分がもしあれば
そこも問題になったりするし
うーん
非常に悩ましいというか
難しいというか
そうだね
これ
うーん
あんまじゃあ
こういう潜在的な
課題があるとして
じゃあこうしようってのが思いつかないんだよな
なんかそもそも
脆弱性の有無にかからずまず
CDNとかキャッシュマリオ
正しく動かすこと自体の
難易度が高すぎるのに
そこにこの女も入ってきて
いやーでも第一線のSRE
エンジニアたちだったら
これぐらいお茶の粉再生ですよなのか
結構
いやもうこれだけで
一人立ててもいいぐらい大変じゃない
と思うんじゃ
だからなんか自社のテックスタックに
ちゃんと精通してる
エンジニアが必要なのかもしれないですね
ああそうね
あとはなんかある程度
まあ一回頑張って洗い出して
その外形監視じゃないけど
おかしくなってないよねっていうのを
何かしらで自動で担保してそれを
分かんないけど
3ヶ月タイムとかでメンテするとか
なのかな
セルフホスティッドGitHubランナーのリスク
外形監視でいけんのかな
分かんない
ケースバイケースだと思うけど
まあその
いやーまあでも難しいな
まあでもなんかその
セキュリティ分析じゃなく
CDN通したときにおかしくなってないかっていうのを
監視するユースケースはあると思ってて
うーん
うちだと
なんだったかな何かで
その
CDN通して監視しないと
ダメなパターンがあって
あれかシンプルにCDNが
静かに死んだときに
検知できないみたいな
CDN通してるんですけど
みたいなパターンがあって
じゃあその
それの死活監視用の
別に見られても問題ない画像を
パブリックにデプロイして
ピングしましょうとか
それはすごい素朴な例だけど
考え方としては
素朴だけで一番効くよね
自動化もできるしその
異常検知もできるし
それをちょっとずつ
拡張していくというか
拡張していくとかなのかな
何で読んだか忘れちゃったけど
監視の第一歩って一番外から見たときに
どう見えてるかを
モニタリングすることだみたいな話が
あった気がして
何で読んだんだっけなちょっと忘れちゃったけど
うーん
SLOの
話の記事か
なんかあった気がする
確かにねSLOは大事な観点だね
社内
社内中間イントロのね
早くても
お客様からの体験を考えて
作らないとって話では確かに
それは死んだね
さっきの例で言えば
リクエストその休限とかは
チェックできるような気がするし
CDNが静かに落ちてるっていうケース
確かにねオリジンに
来てないとか
デイトゥーデイで
デイトゥーデイとか
明らかに
今日はすごく少ないとか
分かれば落ちてるんじゃないかな
分かるかもしれないし
それになってくると
監視の
SREの世界だね
なるほどね
次の講演が
まさにさっき話してた
セルフホーステッドのGitHub
この記事で読んだ話か
そうね
僕はこれ読むのを放棄したので
解説してほしいんですけど
頑張って解説しますけど
GitHubの
CICDランナーにおける
攻撃手法の話で
主に
セルフホーステッドランナー
自前で
Google CloudとかAWSのインスタンス
用意してそこで
アクションズを実行するっていう
セルフホーステッドランナー
のパターンと
普通にマネージドランナー
何も考えずにアクションズを実行するときは
マネージドランナーだと思うんですけど
セルフホーステッドランナーで
ファイルみたいなところに
触れていて
割と書いてあることは当たり前というか
マネージドランナーは
環境がちゃんと
サンドボックスになってるというか
一階一階のジョブで
環境が死んでるんだけど
セルフホーステッドランナーは
デフォルトでエフェメラルではないという
エフェメラルっていう
使ってるんですけど
デフォルトでっていうのは
何も考えずにやっちゃったら
インスタンスで
何回も何回も実行されて
実行環境分離
きちんとされてるとは限らないというか
そういう意味で書いてるのかなと
僕は解釈したんですけど
その前提に立つと
1回でも
アクションズに
侵入成功できたら
セルフホーステッドランナーの
リアルインスタンスに
侵入して
バックドアを仕込むなり何なり
映像化することが容易になっちゃうよね
っていうところ
あとこれは僕
運用してないんで観点なかったんですけど
パブリックリポジティにおいて
運用されてるセルフホーステッドランナー
では約半数が
これができてないっていう
これっていうのは
ちゃんと実行環境ごとに分離とか
そういうセキュリティ対策とか出てないっていう
報告されてますと
これ何が問題かっていうと
ここで
公演では3つ触れられてるみたいなんですけど
そのうち1つが
解説してくれていて
これはですね
何が問題かというと
設定画面を見るのが早いんで
興味あったらGitHubのリポジトリの
自分の
設定ページを見に行くと分かるんですけど
何でも分かる
何でも分かるよ
開こうか
そうですね 開いて多分
手元で読み上げたほうが
いいと思うんで
GitHubのセッティングス
セッティングスの
アクションズのジェネラルかな
フォークプルリクエストワークフローズ
フロムアートサイドコラボレーターズ
っていう設定項目が
あるんですよ
これ何かっていうと
アクションズ
その
リポジトリをフォークして
プルリクを出したときに
CICDが
アクションズが実行される
ですけど
実行されるときに
どういう条件で
それを実行許可するか
っていうところがあって
ちょっと細かいところ省くんですけど
フックであるイベントが
オンプレリクエストにしないと
うぬんだよねみたいなところは
ここの辺が関与してくるんですけど
これデフォルトの設定が
一番最初のコントリビュートは
アプローブが必要です
もう2回目以降は
アプローブなしで動きますっていうのが
これデフォルトの設定になってるんですよGitHubって
これを締めようと思う場合は
毎回アプローブが必要とします
っていうふうにもできるし
締めることもできて
一番緩いので
GitHubにアカウント作ったばっかで
かつ最初にコントリビュートしてきた人
に対してだけ
アプローブするっていう
なんでそんな
謎の条件だな
分かんない
どっちがスパム対策なのかな
分かんないけど
完全に緩めちゃうと
分かんない
緩められるんで
この記事に戻ると
まず攻撃者は適当なタイプを修正する
探せばあるじゃないですか
とにかく
1回アプローブを勝ち取るってことですね
マージしてもらって
2回目以降は
メンテナーのアプローブなしで
ワークフローが実行される
ようになるので
ワークフローを吉田に書き換えて
とりりこ立てますと
そしたらアプローブなしで
それがセルフホスティックトランナー上で
任意のワークフローを動かせる状態になるんで
そこでC2サーバーを仕込めば
映像化できるよねっていうのが
このユーズケースの一つって感じですね
これはそもそも書いてあるので
確かにと思ったのは
別にC2サーバーわざわざ立てなくても
任意コマンド実行が
セルフホスティックトランナーできるって
証拠は変わんないんだけど
1回映像化した後に
そっち側でコソコソやることで
アクションズのログに残さずに
バレづらくできる
みたいなところがメイトとしてあるっていうのが
書いてあって
これは確かになみたいなところ
とかまた
ありそうなのはやばいなって言って
バーンしたんだけど
C2サーバー仕込まれたとか気づけなくて
被害が続いちゃうとかも
あんのかな
どうだろう
そういうことが書いてあるっていう感じ
ですね
実際に調査で
パッドを
盗み出すことができたとしています
みたいなことが書いてあって
これは何に対して何を試して
できたのかっていうのは
あんまり見れてないんですけど
この図でいうところの
5番のレジスターっていうのは
何を指してるんですか
この図実は読んでないんだけど
レジスターして
フォークしてプルリクエストして
攻撃者の
レジスター
レジスターってどういう意味だろう
レジスターアクション
これはあれかもね
セルフホスティットランナーの設定なのかもしれないね
多分だけど
レジスターっていうのは
セルフホスティットランナーを
動かす
セルフホスティットランナーの理解
間違ってたらごめんなんだけど
セルフホスティットランナーを動かす用の
イメージなりがあって
サーバーがあって
そっからこのリポジトリで
このセルフホスティットランナーを使うみたいな
設定ができるというか
設定過程であるんじゃないかな
そのときに
違う気がすんだ
ちゃんと正しく理解したほうがいいな
これ
G2サーバーに
セルフホスティットランナーを
まずちゃんと理解しないとダメなんだな
そうだね
レジスターアクロディスパッチ
ホテラルムーブネント
この5と6が必要な理由が
ちょっと分かんないな
レジスターじゃなくてなんか
そうですね
ちょっと間違って
僕の意識がちょっと違うかもしれないですね
でもなんかシナリオとしては
理解はできるというか
理解はできるんだけど
なんか
セルフホスティットランナーを
C&Cのリポジトリから
どう動かすか
っていう部分に関わるのが
このレジスターっていう話なのかな
ダメだ
セルフホスティットランナーをちゃんと理解してないから
何も理解ができない
これちょっと要正論って感じですね
セルフホスティット
ランナーをちょっと今理解するわ
急遽理解
急遽理解するわ
モテキジモ
プランニングのアタック
アタックオンアクションランナーイメージ
プレペリングのペイロード
アタックで
Ci
書き換え解散をして
えっと
OS Azure
Mac OS
バージョンシステムネーム
チェッキング
シェーバング
エコー
ハッカワン
ランナースクリプト
アフターチェッキングアウト
リポジトリ
チェックアウトして
でなんか
仕込んだコード
あそっかプルリクに
シーツなりを入れるコード混ぜて
それを実行させればいいだけか
この元記事の
ペイロードを読んでるんですけど
GitHub APIs docs for
ランナーレジストレーション
if you read through
the token
the token
for example
レジストレーショントークン
ランナー
この図で言うと
ランナーから
そのランナーを利用する
リポジトリをレジスターする
っていうプロセスがあるのかな
そういうAPIもあるし
流行ってますよっていう感じなのかな
要はリポジトリ側の設定で
そこで動いてる
セルフォーステッドランナーを
参照するように
設定するっていう話なのかな
そうすると
C&Cのリポジトリで
ワークフローの実行をすると
そこのセルフォーステッドランナーで
動くと
なるほど
そうっぽいね
多分そういうことだね
じゃあ何でもできるね
そうなっちゃったら
それこそ
そうなっちゃうと
別に
セルフォーステッドランナーがちゃんとサンドボックスになっていたとしても
いやまあでも
詳しく読む必要があるな
再発防止っていうか
DEFCONにおける講演
根本対策みたいなとこは
フラットさんの記事では
詳しくは触れられてないので
ちゃんと元記事を読んで
見たほうが
良さそうという感じですかね
うん
へえ
なるほど
いいですね この時間がなかったら
理解した気になって終わってたから
大事やな
聞いてる人は結局悩んでると思ってるかもしれないけど
ほんまそれな
なんか
ちゃんと読んでこいよって多分思ってる
まあでもね
僕らが
分かった気になるための時間だから
そうだね
解説はねしないんですよ
できるときはしますけど
うん
料理動画を
ひたすらこう出してるYouTuberだけど
なんか別に
お前らどうせ作らないだろって言って
レシピは公開しないみたいなね
間違いない
まあでも
なんかもう一回一つ言うことがあったら
さっきのGitHubの
このFolk Predicts the Workloads from Outside Collaboratorsは
あの
企業で働いてオルゴを運用してる人は
トップダウンで
この一番きついやつに
強制できるんで
まあ理由がなければそれにしとくと
まあまあマシかなって思います
これは結構トリッキーだね
なんかOSSのプロジェクトとかで
これ踏み抜くケースが普通にありそうで怖いね
だし実際この
約半数がエフェメラルではないっていう
調査報告
結果が本当なんであれば結構
なんていうか
実は脅威にさらされてるものは多いよね
なんかそれに攻撃する価値があるかはまた
別の話だと思うけど
でもやる価値はあるよね
サプライチェ攻撃機関としてね
なんでもね
宝探しみたいなもんですよね
こんだけあるんじゃ
とかなんかパブリックリポートで
タイプでプリック出すなんてね
一番簡単だし
なんか一番警戒もゆるむというか
そうだね
なんかそこに
強い制約とかチェックは
なかなかね
その辺ちゃんとやれるかどうか結構
そのOSS
運用チーム依存というか
ところだし
まあでもセルフボスって言ってるんだろう
動かすようなところは結構頑張ってるのかな
なんかあんまパブリックで
そう言われてみれば
そうかもしれないね
たぶんすごい
コミュニティがでかくて
CICDワンパン走って
お金だよね
お金をつぎ込まれてるところじゃないと
そもそもやれないもんね
アクションズに
の金を貸すためにやるとか
他OSの
特殊要件とかない気がするけど
まあまあ
はいまあでも
これは真剣ゼミで見たかもしれない
と思ったやつですね
はい
ありがとうございます
次がこの記事長いなと思いながら
今話してるんですけど
ようやっとDEFCONの話に
入ってきましてDEFCONからも
講演二つ紹介してくれていて
あとあれか
ビレッジの話も確かあったんだよね
そこはちょっととりあえず
後にしようかなと思うんだけど
一つ目が
スケールインジェクションisn't dead
smuggling queries at the protocol level
っていう
データベースドライバーを発表した
スケールインジェクション手法ですね
えっと
データベースドライバーと
データベース間の通信で
バイナリープロトコルを
使ってるっていう話で
メッセージフォーマットが
例えばPostgreだと
タイプっていう1バイトの
メッセージのタイプを
スケールインジェクションisn't dead
セクション
って言えばいいのかな
ちょっとパッと出てこないや
で次がレンクス
後続の値の長さ
と最後に
可変調のバリューっていう
メッセージのパートがありますよと
クエリ本文とかがそこに入りますよと
いうのがまずあって
このレンクスが表現し得るサイズが
約4GBある
4バイトだから4GBなのかな
ごめんこれちゃんと計算してね
そういうことだよねって理解するのを
怠っちゃってるんだけど
何せよレンクスが表現し得るサイズ
より大きいバリューを扱う際
ドライバーの実装によっては
レンクスのオーバーフローやトランケーションが
起きるよっていう話らしい
結果的に
ドライバーはレンクスより大きなサイズの
バリューをデータベースに送信するよ
っていう話でした
ちょうど何言ってるか分かんないと思うんだけど
何言ってるか分かんないと思うので
僕らが今手元で見てる
Notionのメモではスライドから
1ページ引っ張ってきて
貼ってるんですが
これ見るとよく分かりやすくて
Int32に
キャストしてるので
実質ランケットになっちゃうんだ
レンクスの
サイズをInt32に
後続の実際のバリューの
値を長さを取ってきて
Int32にキャストして
レンクスとして使ってるので
攻撃手法の分析
実質的にトランケットされるよっていう話
ただバリュー自体は
後続のバリュー自体は
中身は変わらないので
個々のレンクスより大きなサイズが入ってるっていうのが
普通に起こるよっていう話ですね
データベースが受け取った
受け取った値で
メッセージでトランケーションが起きたことっていうのを
知る術はないので
受け取ったレンクスに従って
マキシマムの例えば4ギガの値
に従って
読み取るんだけど
読み取った後にバリューが余るじゃないですか
余ったバリューの中に
入れ子で別のメッセージ
次のメッセージだよっていうふうに解釈できる値が
入ってるとそのまま別のメッセージとして
これが次のメッセージだなっていうので
解釈されるよっていう
攻撃手法
これを指してスマグリングクエリス
従来のSQL Injectionの
Stacked Queries
のことだと思うんですけど
英語背の故障をStacked Queriesっていうのを
初めて見たんですけど
と同様にステートメントを丸々
制御できる要はセミコロンで区切って
後ろでDelete From
なんとかみんないる感じで
丸々テーブル消すよみたいなのを
要はセレクトにくっつけて
それはできないけれども
副文で次のステートメントを書くことが
できればそれができるよっていうのが
あると思うんですけど
同じようにステートメントを一個丸々
して自由度の高い攻撃ができる
っていう話
おもろいね
これは面白いなと思った
これはね面白い素晴らしいなと思いました
ただなんか結構
4ギガのデータを送るっていうのが結構
しんどいらしくて
そもそもドスになっちゃうよ
っていうパターンもあるし
通信経路上のどっかで
落とされるっていうこともあるし
あとは言語処理系によってはそもそも
成立しないっていうのもあったりするらしくて
非常に面白い
面白いっていうか
難しいけれども
刺さるとすごく
なんかあれや
うんたらこうぶ
刺さるとうんたらこうぶになっちゃうんだけど
刺さるとすごく
自由度高いよね
ほぼなんでもできる
なんか
開発者目線だと普通に
セキュアバイデザインじゃないけど
セキュアバイデザインに読んだなって思う
案件だけど
その多分4ギガの
分かんない文字列を
送んなきゃいけない検索クエリを
みたいなアプリケーションって
この世におそらく存在しないだろうから
ちゃんと文字列制限しましょうねとか
でもなんかセキュリティの関心事っていうよりかは
いやこういうのって起きないよねっていうので
ちゃんと制限していけば
そうすると基本的には防がれる
はずかなーっていう
気はしますね
ていうかなんかこの場合だとメッセージの最大長が
その
脆弱性とテストの重要性
はっきりするじゃないですか
うん
メッセージの最大長っていうのは
レンクスの最大値が決まってるから
後続のバリューの最大値も
最長の長さも決まるじゃないですか
つまりメッセージ全体の長さが
はっきりするわけですよ
うんうんうん
そういうべきなんですよねたぶん本来は
あー
バリューを切ってもいいけどバリューそのものを別に切ってもいいかもしれないけど
あーなるほどねそういうことか
まあそれもそうだし
まあでもなんかその
なんかそう
それってあれじゃん
この脆弱性のユースケースをきちんと把握してる
人だったら
まあそれで最初ボイラインとしては守れる
って言うけど大半の人は知らない
ってなった時に
なんか
これがあるからその
ちゃんと切ってねっていうよりかは
あなたのアプリケーションのこの要件で
なんか5000文字とか送るわけじゃないですよねみたいな
じゃあ実際最大何文字
書くべきですかっていう
あードライバーをその
ドライバーを使うソフトウェアをさらに
使う側の人の話をしてたのね
そうそうそうそう
そのアプリケーション作る目線だと
その
まあ外部から
まあこれって任意の値がどっかしらから経路で入ってくる時に
起きると思うんですけどその任意の値の口で
そもそもなんか
なんだろうな
その訳わからん文字数を
だから使用をちゃんと考えて
その
まあ問題のない想定外の値が
入んない制限を
まあきちんと書けましょうみたいなところって
言ってできれば
踏みづらいよなっていうまあこれがなんか
もっと革新的な
わかんない4ギガじゃなくて
5メガでできるようになりましたとか
まあもっと短くなっちゃうとそういうのはでは過ぎなくなるとは思うけど
うんそうそう
どっちかっていうとなんか
僕はそっちの考え方で
その4ギガだからたまたまそういう
考え方が通用するけど
これがじゃあ例えば10メガだったらどうするの
5メガだったらどうするのって話は
常に考えないといけないと思っていて
後ろ側は
できるだけその汎用的に
そのなんていうか
こう
効果のあるやり方ができれば取りたいですよね
まあそれはあるかどうかはわかんないけど
思いつけば絶対そっちの方がいい気がする
今パッと思いつかないけど
Nプラス1問題の検出
まあでも
まあでもソスネ銀の段階ないだろうな
で次が
プラクティカル
エクスプロイテーション
バグバウンティー
におけるドス攻撃の特定と
悪用のテクニックっていう
これ多分ね
本当読まないと細かい部分は
わかんないかもしれないんだけど
なんかまあいくつかその
バグバウンティーで使えるドスのテクニックが
あるよっていうのを紹介してくれていて
3つ上がっていって
1つ目がnプラス1問題で
2つ目がグラフ経路のディレクティブ
このグラフ経路のディレクティブ僕知らなかったんですよね
で3つ目がキャッシュポイズニング
ですね
nプラス1問題はなんか説明
するまでもないかなと思うんですけど
気になったのが
外形的にこのnプラス1問題が
起きてる場所って見つけられるの
まあ
勘が
勘で
でもね結構難しくないと思うよ個人的には
あそうなんだ
あのイスコン1回やればわかると思う
あそうなんだイスコンってでもさ
なんていうか
グレーボックスなんですけど
そのnプラス1も
なんか
面白脆弱性
みたいにこういう
パターンのnプラス1みたいなのが結構
無限にあるわけじゃなくて
大体一緒なんですよ
例えばユーザーのフォロワー数取るときとかに
フォロワーのIDバーって取ってきて
一件一件ユーザーのデータを取りに行く
とか
このブログの記事だったら
7月の記事みたいな
7月の記事のIDをバーって取ってきて
IDを元にキーの
セレクトをオールして全部バーって
ループで回してるとかなんか
全然想像ができるというか
なんかそういう意味では
外側から仕様を知っていれば
わりと当たりはつけやすいかなって思う
なんかまああるあるだよねみたいな
で試す目線で言うと
まあ怪しいのバーって
あれ出して
わかんないけどちょっと
nプラ1があるとしたらこれぐらいの量
減ると重くなるよみたいなやつを
投げて0点してみて
怪しいっていうのをもしかしたらちょっとずつ
測定したりっていうのでやってん
じゃないかな
なるほどね
面白いなちょっと探してみたかな
あんまりなんか
探したことないなと思って
なんか
これでもなんかセキュリティテストって見てほしいよね
あー
そうね
確かにまあでもなんか
極論ブラックウォークスで見つけられるんだったら
見つけてほしくない
俺ドス刺さりますよって教えてほしいよね
うーん
でも
なんかどうなんだ
信頼目線で
これ
脆弱性なのかな
脆弱性はあるのかなんかラインが難しいよね
うーん
その
いや結構ライン難くない
ラインが難しいっていうのもそうなんだけど
確かにドスにつながり得ることを証明するのにすごく手間がかかると思う
結局さインフラの構成資材だったりもするじゃないですか
極論クソパワフルなインフラだったら
差分けちゃうこともあるし
逆にしょぼすぎて
なんかチョンてつついたら落ちるってパターンもあるし
なんかその
Nプラ1があったとして
そのNプラ1が本当にどれくらい刺さるのかってのは結構むずい
あとデータベースのスペックも多分
ディーブとプロと違うとか
キャッシュが温まってたら全然刺さんないとか
それを考えると
診断とかで見つけてもらうのは結構きついんじゃないかな
個人的にはソフトエンジニアの責務だと思う普通に
まあねそれはね
オブザーバビリティでちゃんと見ましょうっていうのと
オブザーバビリティとかの基盤ワイザーリチウムとかが援助して
ソフトエンジニアがそれ作り込むなよっていうのとか
なんじゃないかな
愚直に
Nプラ1あれかな
レール図とか
オーバーブレマッパーとか一部使ってると
起きたりするらしいですけど
まあね触ってない部分で起きてたらわからないもんね
まあでもそのNプラ1があったとして
それが本気でやったらどこまで影響出るのかを正しく見積もるな
ソフトエンジニアの立場だと難しいって話はあるだろうから
まあ悩ましいかもね意外と
グレーボックステストで潜在的にドスがありますよって教えてくれたら
すごいありがたいなぁと思うんだけどね
どうなんだろうね
まあでも実際難しいか
どっちかっていうと例えば
セキュリティ観点というよりパフォーマンス観点でアプローチしていくほうがいいんじゃないかな
まあでも常に可用性というのは付きまといますからねセキュリティにね
まあまあ確かに
でもなんかその
なんだろうなんか
いやまあ可用性ね
まあ
まあ組織次第
いやわからないけど
でもさその
なんか
これを悪用されてドスがどっかで起きてさ
なんかその会社が例えば
セキュリティテストを外に依頼してたとしてさ
なんで見つけてくれなかったんですか
なった時にさ
どう言い訳するのかなって
まあでも
スコープがいらんです
って言うんだったらなんか
スコープをちゃんと示しておいてくれないと困るなぁ
って思うし
まあでも前提として全部
全部見つけられないっていうのはその通りだと思うんだけど
でもなんかその
あんまりにも簡単に
見つかるようなものだったとしてさ
それが結果蓋を開けてみたら
いやあと
今思っちゃったのは
なんか
指摘
する意味がないこともあるんじゃないかな
わかんないけど
例えばですけど
このNプレイ値がろくぞに分かるのって結構
アプリケーション作りとしては
細松のパターンの方が多いと思うんですよ
まあもしかしたらちゃんと作ってんのに
実はこういう特典条件で
めっちゃ重くなるっていう
そのテクニカルなパターンもあると思うけど
ないとは言わないが
大半のパターンは
多分そもそもユーザーも遅いと思ってるようなウェブサイトで
あの
ベースが遅くて
じゃあもうどっかにNプレイ値あるよね
じゃあこの辺ちょこちょこってやったら
はい重くなりましたみたいなパターンとかの方が
なんか想像的には
ありそうだなと思ってて
じゃあそれを診断で指摘したとして
指摘された側が
いやこれは問題ですね直しますってなるかっていうと
いや知ってるんですけど
なんかわかんないけど
なんていうかもう
差別所を許容してますとか
なんかそういう風になっちゃうんじゃないかみたいな
妄想してしまった
なんていうか
それはでもまた別の話や
で
それがそこでちゃんと
そういうのが起きない会社は
言われなくても診断会社に依頼するまでもなく
ちゃんと自分たちやると思うから
診断にお願いする意味があるとしたら
自分たちきちんとオフザバービティもやってて
パフォーマンステストもやってて
負荷テストとかねとかもやってて
でそのコーディングの中でも
レビューとかで担保してるんだけど
それでも抜けちゃったみたいな
パターンを見つけてくれるかどうか
になってくる気はしてて
それは
まあ期待できるかというと確かにね
結構むずいじゃん
なんかセキュリティ
両分なのかみたいな
スキルセットはちょっと違うというか
なんか
交換しないと
なかなか見つけられないんじゃないみたいな
わかんないけど 例えばです
まあまあまあ
感覚はわかります
お気持ちとしてはそんな感じ
で次の手法が
GraphQLのディレクティブを使うよってやつですね
これは僕知らなかったんですけど
知ってました?
忘れちゃいましたか
ディレクティブっていうのは
GraphQLスキーマの一部に
データや追加の動作を付与するための
機能らしい
まあ端的に言うと
これもNプラ1に近いんじゃないかな
と思うんだけどディレクティブについてる処理が
重いとドスになりうるよっていう
話らしくって
Nプラ1に近いかというと
そうでもないのかな
いやまあでも近いんじゃない
今パッとググって読んでるけど
例えばここで記事で
セキュリティとパフォーマンス観点
振られてる認証とかは
想像してるのは
モデルのパラメータで
これとこれとこれはこの権限がないと見れないみたいな
ディレクトリしてた時に
そこをめちゃくちゃ素朴に実装しちゃうと
10件取る時に
10件バーって
10件データを取得するのは
一発で取ってきてるんだけど
その10件に対して10回その認可の
チェックをDBアクセスを用いて
やってるとかだったら
高負荷になりそうっていうか
高負荷になりそう
一発のリクエストでどれだけ
爆発させられるかっていう
話ではあるもんね
なんか
GraphQL確か
多分4年前くらいの知識なんで
長時代のプライバターなんだけど
そのクエリーコストを計算する
仕組みがいろんな
各種実装に
GraphQLの実装フレームワークにあるはずで
そういうのに
ディレクティブをちゃんと考慮したりしたら
緩和できたりするのかな
実装面の
できるのかな
クエリー自体の自由度が高い
アーキテクチャだから
制限は絶対かけてるはずで
その制限のするときに
その敷地の計算
ロジックがどうなってるかっていうところと
そこにこれ神できるのか
みたいな
面白いね実行コストそんな
そんなのあるんだ
実行計画的な感じで先に出してくれるの
先に出すっていうよりかは
走らせる前に
弾くんじゃないかな
40何たらとかで
技術
コスト
普通にコストとか
リゾルバーの
中の処理の
重さとかにかなり依存しない
その辺の話って
実装はケースバイケースで
直近セレバーで思い出したけど
ギター部のグラフケールとかは
ドキュメンテーションで書いてあるんですよ
その呼び出しで
その
ノード数
ノード数で制限かけたよね
5万個以上のノードは要求できないみたいな
だからなんかめちゃくちゃな行動やっても
とか
こんな感じで
スキーマー間のリレーションを見た上で
どこまでネストしていくかみたいな
みたいな感じなのかな
そうだね
それプラスたぶん別の制限とかも
合わせて守ってるのかな
これはたぶんあくまでハウの一つであって
結構これはシンプルな方だと思うんだけど
かつ開示してくれてるんだね
これが別に開示する必要がないような
非公開APIだった時に
いろいろありますね
変更含む場合は5ポイントとか
変更ないグラフケールよりは1ポイントとか
そういうのもあるみたいですね
キャッシュポイズニングのリスク
難しいね
これ作る
グラフケール業務で使ったことないですけど
ちょっとレートリミット
レートリミットとかとはちょっと違う
だからさ
それを超えないように管理するのって結構
大変そうだね
呼ぶ側から
呼び出す側からした時に
そうだね
超えたらなんかすりゃいいって話でもあるのかもしんないけど
難しいね
でも
さすがに
ガチガチに
縛るっていうよりかは
それこそ度数にならないようにとか
めちゃくちゃされないように
っていうラインとして
作るから
クライアントとサーバーを実装するのが
同じ組織という前提に立つんだったら
クライアント側の人がこれで苦しむとか
あんまないんじゃないかな
多分だけど
なるほどね
話を戻して
そして
3つ目がキャッシュポイズニングですね
これはさっきのキャッシュポイズニングの
話と全く一緒で
例えばみんなが見るトップページに
404のエラーページをキャッシュさせると
もうドスだよねみたいな
そういう話
これは別にシンプルだからいいんだけどさ
なんか全体的にさ
バグバウンティーでようこれ見つけるなっていうのは
ちょっと思ってさ
ドスやん
そのさ
任意のパスに404ページを
404のエラーページをキャッシュさせられるよ
とかはさ
やりようがあるよなと思うんだけど
さっきの
なんだっけ
Nプラ1の話とかさ普通にサイト落ちうるじゃん
そうだね
結構
サンドボックス提供してくれるような
提供してくれるようなところで
やってるのかな
じゃないと試せない
怖いと思う
なるほどね
いやNプラ
おもろいな
守る視点だと
Nプラ1はなんか
頑張れよって思っちゃうな
令和だし
でも交わるとこだよね
ソフトウェアエンジニアリングと
GDPエンジニアリングの
交差点っていうか
確かに
で最後に
AppSecVillageの話ですかね
これ
これおもしろいって思ったんだよな
とても
AppSecVillageの活動
とてもとか言って
紹介してもらえますか
いやちょっと
自信ないんですけど間違ってたら
補足してほしいんですけど
アグマンティヴィレッジと
AppSecVillageこれブース的な感じなのかな
うーんとね
いやーすげー表現
するのが難しいな
えーテーマごとに
こう
でかい部屋に缶詰になって
いろいろやってんのよ
たとえばカーハッキングビレッジとか
あー
車ぼーんと置いてみんなでハッキングしようぜ
はいはいはい
なるほどね
それのAppSecVillageか
でこれは
AppSecVillageで3日間にわたって
開催されてたのはFixTheFlagWarGame
というCTFですと
でこれCTFが
僕が知ってるCTFとはちょっと違って
なんか脆弱性ついて
フラグを集めていくみたいなものじゃなくて
当たられた脆弱なソフトウェアに対して
その脆弱性を
修正するようなパッチを
実装できればクリアという形式でした
みたいなところが書いてあって
あとあれか
他プレイヤーが提出した修正済みの
実装が動いているサーバーを攻撃するという
アタック&ディフェンス形式の問題も
ありましたって書いてありますね
これはなんか
シンプルにすごい楽しそうだなって
やってみたいなと思いました
なんか前に
雑談で話したけどさ
攻撃ありの
イスコンは絶対面白いと思うんだよね
あー
話したかもね1回
攻撃ありのイスコンやばいな
なんかスコアサーバーのXSSに
プリプリ怒ってる場合…なんかすごい燃えそうだから
やめとこう
怒ってる場合じゃなくて
こうその
こうスコアリング
そのものにさ
攻撃を混ぜ込んでおけばいいんだよ
いやー
データベース全部ぶっ飛ばされますみたいなさ
8時間じゃ無理だよ
48時間くらいいないと
きついな
それこそLLMに見つけてもらえばいいんじゃない
いやーなんだと思ってんだよ
LLMのこと30%だぞ制度
修正する
制度も30%なのに探査カム制度
どんだけ低いんだよ
可用性の極みじゃん
まあね
それこそさっきの
Nプラ1はさ普通にあるだろうから
それはそれとしておいておくとして
そのグラフィックキューニングディレクティブ
でめっちゃなんか
ドスって回すとかさ
キャッシュサーバーとかはちょっと
イスコンでやるの難しいかもしれないけど
6人チームで
3人セキュリティエンジニアつけるとかだったら
まだギリメイジャー開くのかな
パフォーマンスチューニングと
そのセキュリティの関心ごと同時に
やるのは無理だと思うな
あの形式だと
その
いやー
イスコン
マジ鬼襲い
アプリケーションからスタートするからさ
そこに攻撃来るとかなったらもう
攻撃を
有効な攻撃
いやー
まあそうですね
なんか攻撃って言うとあれだけど
その
攻撃なんだけどシンプルにドスだったら
どうなのよ
なんかそれで言うと
なんか落ちてるけど何でだか分からないっていうの
原因探るわけじゃん
それがたまたまドスでしたっていうの多分あると思うんだよね
現実世界で
去年のイスコンはベンチマーカーが
攻撃してきたっていうのは言えるかもね
あの
それこそカズブラさん
が
カズブラ作文社にいて
DNSの水飲み場攻撃をしてくるっていう
ベンチマーカーの仕様があって
あー見た見た見た
あーなるほどね
いやー最高だなと思ったんだよな
それ自体仕様としては
公開されててだから対策しなきゃいけない
ってのがあるから
まあ言うのはいい合流かもね
それがなんか
ベンチマークが挙動
想定してない挙動をしてくるとか
なってくると
結構むずいよね
ベンチマーカーがXSSのペイロードを送ってきて
ストアでXSSで
ドムの構造が壊れてベンチマークできないとかさ
面白くない?
いやー
切れ散らかす人
いそうだけど
なんかその
あんまブラックボックスすぎるとなんかでも
すごいエスパーすぎて大変だろうから
そうだね
バランスは難しいかもしれないけどさ
ストーリーがちゃんとあるからさ
エスコン自体は
そこにどう混ぜ込むかが難しいかもな
あーなるほどね
溝の上攻撃は
人気のあるサービス
パフォーマンスを良くしていって
トラフィックがどんどん伸びていったときに
ターゲットにされたよみたいな
そんな感じの間違ってたらすまんなんだけど
そのロジックはでもありとあらゆるもので成立するから
大丈夫じゃん
まあでもその
XSSとかは別に
パフォーマンスに影響ないからな
ほっとけばいいってなっちゃう気がするんだよな
いやいやだからさっきの
ストアドXSSって
DOMの構造が壊れるからベンチマークできないとか
あーでもそれで言うとさ
ベンチマーク
いや一回
やってみろって
きついから
ベンチマークの実装もしぬし
やる側もしんどいんじゃないかな
ベンチマーカーは別に普通に実装すればいいんじゃない
ベンチマーカーってあれDOMの構造って見ないのだって
DOMっていうか
HTMLの構造っていうか
いや見てるはずだね
いや見てないか
最近は見てないのかな
最近は見てないかも今APIしか見てないかもな
あーそういうことか
ちょっとにわかがいろいろ
片杉さんにDM送れば
エアプゼがなんか
言っとるわってちょっと思ってくれればいいんだけど
フロンテンドから
ベンチマーカーは別にさ
普通に動けばいいだけのはずで
送ったペイロードの中にたまたま
XSSっぽい文字列が入ってるだけで
いいわけだから
セキュリティの消えない課題
まぁ
シナリオがむずい気がするな
じゃあその人たちどうやったら
消えてくれるんですかっていう
消えないから普通に
XSSを直せば終わりだよ
でもその消えてくれないとさ
パフォーマンス上がんないじゃん
スループットが上がんないから
消えてくれる必要ないんじゃない
だってXSS一個打ち込まれてなんか
アプリケーションがぶっ壊れてます
っていうだけの話だから
直したら消えて欲しいのよ
だから直した判定は絶対にして欲しくて
っていうのもその
一個一個壁クリアしてったらどんどん
お客さん集まって
トラフィックが増えるっていう
いかにさばけるかの競技だから
これもイスコンダンギン
言ってるけど
だから1000人に1人
何かなぜかXSSを探しに来る
やつが来るんだよ
運営やってみ一回
ほんとしんどいから
無理で
エアペが生意気ってすいませんでした
みたいなのをやってるのが
ハードニングっていう競技だと思って
目的絞った方が
多分いいよ
あと
イスコンに混ぜるっていうよりは
最初からそういう競技として
作ればいいんじゃないかなっていう意味ですね
イスコンに混ぜろとは言ってない
それでいくと
そうだね
イスコンみたいなノリで
そういうのも入ってるよっていうのがあったら
面白いんじゃないかな
イスコンの関係者の皆様
ほんとすいません
叩かないでください
大丈夫
いい記事でしたね
1時間読んじゃったなこれ
面白かった
最初にも言ったけど
感性が近い
面白いと思うポイントが
多分近いんだろうね
そう思います
というとこからまた重い話が
続くんですが
次のやつ読みました?
憧れている人はいるか
時間なくて読んでないです
振りがありそうなんで
読んだボタンは
ホントシェア
読んだは押してない
本当だ押してないわ
何の話かというと
いわゆるキャリアの話なんですが
コニファーさんの記事ですね
N年後にどうなっていたいか
と言って正直何もわからんよね
っていう話
代わりに
自分がマネージャーやるにあたって
憧れている人はいるか
っていう聞き方をしてるよ
っていうのを書いてくれていて
なんか結構人によって
回答が全然違うらしいんだけれども
先のことは何もわからんながらも
話があそこから広げられるよね
っていう記事です
バイネームで
答えてくれると深掘りしやすいよね
とかバイネームで言いなくても
あの人のこういうところ
この人のこういうところみたいなのを
キメラでガッチャンコした
超人みたいなのをイメージしてるとかでも
深掘りできるし
なんかいいよねっていう
話
いいよね
確かに
マネジメントの手法として面白いね
個人的にはそう思う
なんかこの間計画的偶発性理論の話したのって
あれは録音会だよねたぶんね
終わった後にだらだら話し合うやつだよね
そうかそうかもしんない
急にメタい話をしちゃうんだけど
計画的偶発性理論とは何ですか
計画的偶発性理論は
ほとんどの
ほとんどの人じゃないけど
強々な人たちの
かなりの割合が
偶然によって
得られた機会で
キャリアが決まってきてるよみたいな
話
ちゃんと説明できてるかわかんないけど
前でもだいたいあったんじゃないですか
明確なキャリアプランって別になくてもいいんじゃない
っていう話ですね
何の話をしたかったか
っていうと憧れてる人いますか
っていう話をこの場でしたかったんですけど
なんか
セキュリティの話でいくと
セキュリティは総合格闘技っていう風にある人が
言ってて
言っててって別にどっかパブリックなとこで
言ってるかもしんないけど個人的な
個人的に話してる中で言ってただけなんだけど
なんかマジでその通りだと思ってて
いろんなキャリアパスで
セキュリティに関わってる人が
それこそ本当に数えきれないほどいる
中で
自分がどういうポジショニングを
目指していくのかって
見失いやすいよな
と思っていて
例えば広く浅くだいたい何でもわかる
人もいればバグバウンティーで食ってますみたいな
人もいるわけじゃないですか
そうですね
で
しかもこうか不こうか
一つの領域で世界で上から
5番目以内に入るっていうのはすごく難しい
他のあらゆる
物事と同じで難しいけれども
なんていうか
例えばウェブアプリケーションセキュリティ
わかりますセキュリティマネジメントわかります
なんだろう
セキュアな開発とかわかります
あるいは自分で開発もできます
みたいな人
そういう複数の領域の掛け算で
例えば
100人に1人の
なんていうか希少さの
人間になるっていうのは
比較的容易な分野だと思っていて
なんか
スタイルがバラバラなわけじゃないですか
この総合格闘技って言い方が
僕ほんと噛めば噛むほど
深いなと思うんだけど
僕が
総合格闘技も正直エアアップ
なんですけど
競技者が
それぞれバックボーンになっている
格闘技を多分持ってるわけじゃん
うんうん
例えばボクシングとかさ
キックボクシングとかさ
中術なのかな
スモーとか
スモーもそうね
あるわけで
それを軸にして何を取り入れて
その総合格闘技
ある種
かなり自由度の高い
ルールの中で何を取り入れて
相手に勝つのかみたいな
競技だと多分思うんですね
うん
スタイルが多分そういう中で
みんなバラバラなわけじゃないですか
そういう中でこうありたいとか
なんか
こうありたいこうなりたいっていうのがあるのか
みたいな話
したいなと思って
なるほど
僕はね
ないっすね
何を思って
セキュリティをやり始めたんですか
いやー
必要だからに尽きるんだよな
多分僕の場合は
でも8割必要だからっていうのと
2割興味関心は
割だったからっていうところで
うん
自分にある必然性はなかったと思ってて
自分より強い人がいれば
その人にやってほしいって頼めてたけど
そういう人がいなかったし
言い出しっぺも自分だったから
自分がやるかみたいなのが
きっかけとしてはそうで
まぁでも
1年半2年くらいやって
思う
キャリアにおける憧れ
まぁその時とは
状況が変わってるんでこの辺で言うと
まぁでもモデル掲載
この
セキュリティ文明によって憧れてる人は
まぁ憧れてる人はいますよいっぱい
ややさんにも憧れてますよ
各所の
専門家に結構僕は普通に憧れてますけど
じゃあなんかその人
になるべきかとか
何を目指してるかと言うとまたそれは違うかな
と思ってて
うーん
だってもうこれまで
いや僕ら
あれじゃないですか社会人
あれ何年目だっけ1号卒だから
僕は10年目なんですよ
10年
9年分の貯金をもって
今の差分があるからさ
まぁみんな同世代じゃないんですけど
だからその
今からその人たちになることはできないから
参考になったり
学ぶことはすごいとてもあるけど
その人になろうと思ったことはなくて
まぁ
一方でじゃあこの先どうすんの
みたいなとこは
あんまり
まぁでも難しいっすね
うーん
最近は
全知全能になりたいと言う
割と
今2人セキュリティチームなんで
で片方
僕と同じような立場で
セキュリティのキャリがない中でやってきてるから
なんていうか
うーん
まぁその状況で広く浅く
会社のセキュリティを全部頑張りたいっていう
気持ちと
一方で冷静な僕は
冷静な自分の中の僕の人格は
それは多分限界が何ならすでに
見えてるから
まぁどっかに
根を下ろすじゃないけど
一回一つの分野でちゃんと根を下ろした方がいいんじゃない
っていう気持ちも
なくはない
しまた僕の場合は
なんか普通に開発
まぁバックエンドはね正直
飽きたからなんか
うーんあんま想像
はれないんだけど
ウェブフロントエンド本当にちゃんとやるとかは
いやーやってみたいなとか
そっちの方面でそっちはそっちで憧れてる人は
普通に結構いる
ウェブフロントエンド会話はね
いいなぁ
っていう気持ちで見るし
でも面白いしなぁみたいな
割とそんなごちゃごちゃな感じ
ですね直近は
でもね半年ごとに変わってる
僕は結構
いやー面白いですね
どうなんですか?
いやーそうでもこれ書いたからには
なんか自分もなんか話さなきゃなと思って
考えてたんですけどあんまちょっと
思いつかなくって
難しいなぁ
なんかさ
いやまあ
時代の変数もあるじゃん
環境とかさ
あるね
セキュリティとか特にそうなんじゃないかなって
僕は勝手に思ってて
わからない9年
いやーでもどうなんだろうな
いやでもね分かるよなんかね
何世代かね多分その
セキュリティやってる人にあると思ってて
その
例えば徳丸さんとか長谷川陽介さんとかって
全然セキュリティ関係ないところから
まあきっかけが
どうだったか人それぞれかもしれないけど
セキュリティってところに入ってきていて
それこそなんか明確に
こう元の専門があったところから
セキュリティに入ってきたっていう
人たちが多分まずいて
でその下に多分
僕がその下に入るか
というとギリ入らないのかな
どうなんだろうな
なんか
セキュリティを専門でやっていて
そのままセキュリティで
食っていきたいですっていう人たちが出てきて
で多分僕の下ぐらいだと
その
なんかセキュリティも
やってますよっていう人たちが
すごく多分増えたんじゃないかなと思って
さらにその下はもう僕分かんないんですけど
なんか
結構何世代かあるような気がしていて
セキュリティの総合格闘技
ちょっとずつこう
時代時代に応じて
なんかなんて言ったらいいんだろうな
主流なスタイルっていうのが
多分総合格闘技もそういうのあるんじゃないかなって思うんだけど
なんか
最近はこう何ベースのなんかスタイルが
流行ってますねみたいな
なんかありそうな気がするんだけど
なんかあるような気がするんだよな
セキュリティ
それで言うとなんか
時代と環境に適応できる
状態ではなんか
どの立場でもありたいかもなっていう
思ったりはしたけど
今だったら50人規模の
自社サービスの
カンパニーセキュリティを守れる
っていうのが大事だし
これ分かんないけど1000人くらいの会社に転職したらさ
全然違うじゃないですか
これもささっきの総合格闘技
って言ってた人と話してたんだけど
その
さあなんか
50人規模の
そのセキュリティをやってる会社ってさ
多分永遠にさ
あり続けるじゃん
うんあり続けるね
50人規模が50人規模じゃなくなったら
50人規模のとこにまた移ればさ
それだけで食っていけちゃうんだよねみたいな話とかもあって
うんそれはそうだと思う
ねなんか
私
市場の人数が少ないから
こそだと思う
パイがパイっていうか
供給が多ければそんなことはないと思うんだけど
供給が圧倒的に少ない
業界だと僕は認識してるから
まあでもね
飽きるんだよな絶対その
焼き直しはおそらくだけど
だからなんか
まあでもそこはなんというか
個人の思考じゃないですか僕は飽きるタイプなんで
もし同じ50人の会社に
行くとしても何か
結構何かの変数が大きく
違わないと
と思うじゃんでも
いやでもそれこそ時代時代でさ
その
ある種の巨人の肩に乗るというか
なんかいろんなこう
なんていうかものが整った状態で
強くてニューゲームをするわけですよ
っていうところ
全然また同じフェーズと見せかけて
なんか全然
別物だよねっていうのは普通にあると思っていて
なんか
まあね
まあでもやったことないか分かんないです
いやなんかバックエンドで
強くてニューゲームを2回ぐらいやって
2,3回やって思ったのも
3回目ぐらいでもういいかなと思ったというか
なるほどね
セキュリティがちょっと
違うのは
変数としてその
多分会社のスタンスとか事業における
セキュリティの必然性が結構
同じ規模の会社とも
違うことがあるし
元の土壌も結構
土壌次第でもやりやすさとか
進め方って変わり得るから
そこはなんか割と
まあいろんなケースがあるのかもな
っていうのはちょっと
思ったりしたかもな
まあなんかすごいああいう
なんかペイメントやってますとか言われたら
確かあるというかさ
2回して2Bの方がなんか
厳しくなりがちっていうか
もっと高くなりがちだよね
そうだね
なんか
パーツパーツでは確かにいるんだよね
その
でもなんかこの人っていうのはないなと思って
いや
でも冷静にそうだよ
セキュリティじゃなくてもそうだと思う
なんかその
うーんその
能力パラメーターのさ
多角形の角が多すぎるんだよ
この業界あまりに
そのエンジニアリング以外にも
はみ出売るじゃん
プロダクトマネジメントじゃないけど
とかもそのコミュニケーション能力だって
めちゃくちゃ大事な仕事だし
だからなんかその
やっぱ
この50角形を目指したいみたいな
ドンピシャな人は
基本なかなか
経験を積めば
ツフもほどいなくなる気がする
新卒の頃はいた逆に言うと
この人になろうみたいな
てかとりあえずこの人の背中を追っかけようみたいな
人はいたけど
こう開けていくうちに
てか
同じにはなれないから
キャリアとか同じ環境を
全部なぞったとしても同じにはならないだろうから
そういうのとか
あとその角の多さにだんだん気づいてきて
誰かになろうって
そう自然と消えてった気がするな
なるほどね
それでいくとなんか僕の場合はそもそも
こういうポジショニングを目指そうっていうのが
もう新卒で
社会人になった瞬間から
あったのかもしれないな
ポジショニングっていうのは
こういう立場でこういうことをしたいみたいな
いやっていうよりなんかその
これを売りにしようっていう
部分
なるほどね面白いね
確かにそういう考え方もあるね
確かにね
あとこの憧れてる人がいるとして
近くに置きたいか
遠くに置きたいかとかね
いや絶対近いほうがいいよ
個人的には
学びたいっていう前提があるんだ
いやでもなかなかのバイタリティだよね
なんか
疲れちゃいそう
ついてくのにってこと
自分のダメさ加減に
なんかすごい
打ちひしがれそうじゃない
なんか経験上
逆のほうが
多い気がするけど
ちゃんと人間なんだなって思えるっていう意味では
逆に
点と点を
繋がる可能性は近くにいたほうが
個人的にある気がする
もちろん近くに行くことで
絶対繋がないことが
発覚するパターンもあるけど
でも確かにシンプルに近くにいたほうが
面白いよね
そう思うよ
個人的には
距離が遠くて
遠くいてほしい憧れは
アイドルぐらいなんじゃないですか
アイドルが近づきたい人は近づきたいか
知らんけど
そうねーアイコのライブとか行くと
なんか
アイコは近づきたいかな
特許の影響
なんかアイコメイクの人がいっぱいいるもんね
趣旨がぶれてきた
アイコの話するとね
終わるから
終わるんだ
終わりでしょ
その話で
3時間ぐらい話して終わるかもしれない
そうね
いやー
良き記事でした
良き記事でした
他の記事も面白いなと思って
このブログ
全然知らないんだけど
小林さんのブログ毎回バズってるぐらい
おもろいで
でもなんか小林さんね
みたいな気持ちで僕は
見ましたよ
フィードリーに先登録していた
また出てくるかもしれないけど
この人こそ一緒に仕事してみたいけどね
なんか
一回
仕事でお話させてもらったことあるんだけど
すごくめちゃくちゃ良い人
次行きますか
まあ
そうですね
八木さんが見つけてくれた記事ですか
はい
スミシンSBIネット銀行が
アプリ連動型
SNS認証の特許を取得しましたよ
っていうペースリリース
なんかすごい
スミシンSBIネット銀行さん
曰くその直近1年間の
フィッシング詐欺被害が
ゼロ件になってるらしいですよと
本導入がセキュリティ強化による
不正防止に
大きく寄与していますという対文句
なんですが
特許取っちゃうんだ
っていう
なんか
これそのものを競争領域に
するべきじゃないと僕は思っていて
公共のためにあるべきと勝手に
思ってるんだけれどもとはいえ
特許取るのも勝手だよねとも思うから
それに関しては何も思わんけど
本技術の有効性が評価され
他社への提供も予定しております
ってあるから
こういうのはお金取ったりするのかな
とか思うし
だって別に
やってること自体に
特許取れてるから
審議規制があるって認められてるのかも
しれないけどさ
正直別にって感じじゃん
そうだね
これの特許を
取っちゃうことで
導入のハードルが
本当にこれがいいものだとして
導入のハードルが
上がってしまうっていうのが果たして
世の中のためになるのかって考えたときに
なんか燃えある
これさ
他にこういう事例ってあるの
なんかあんま
僕はこの業界短いんで
他にって
この手の
特許の話
海外含め
パッと思いつかないけど
なんだっけ
でもなんかのサービスで
暗号アルゴリズム系は
その辺の話が
RSAとか
最初そうだったんじゃないかな
なるほどね
RSA暗号のアルゴリズムは
wikipediaによりますと
1983年9月20日に
アメリカ合衆国で特許を取得し
RSAセキュリティが
海外戦争独占していったが
特許期間満了に伴って
2000年9月6日から
誰でも自由に使用できるようになった
そうなんだ
知らなかった
いやーまあでも
いやーなんていうか
そうね
僕も燃えあるというか
うーん
うーんって感じ
うーん
うーん
ああ
しくしくとこれ以外の
どうなんだろうな
これをビジネスにしちゃうようなところが出てくると
困るからっていう
話なのかな
意図が読めないよね
そういう意図があるようには読めない
うーんそうだね
別に特許の要件的には
これを広く
真似できる
ホームじゃないんで
間違ったこと言ってるかもしれないけど
そういう状態に
意図的に持ち込むというか
特許じゃない形で世に出すということが
できたはずだろうから
その状態で
他の会社が後から新しい特許はたぶん取れない
じゃない
ダークウェブの探索
そうね
だから
まあなんか銀行界隈で
つばぜり合いじゃないけど
あったりするのかもしれない
とかまあいろいろちょっとおまか見えないですね
まあでも燃えありますよ
だから1双天神殿の立場としては
ね
僕らの感性とはちょっと違う考え方なんだろうな
とは思うね
という
話でした
ちょっと半年後くらいに
ちょっと様子見に行きたいな
次行きますか
えーと
ダークウェブインテリジェンス処方の処方
聞いたの聞いたですか
まあ
ワークウェブを探索するための 取っ掛かりを紹介してくれるよ
っていう記事ですね そのままなんですけど タイトル
そのままなんだけど もうぶっちゃけ 読んでくださいとしか言いようがない
んだけど そこを 意外とこの取っ掛かり をつかむのって 他にもこういう
記事あんのかもしんないし 自分で 探せばいくらでも出てくるのかもしんない
けど なんか助かるよなっていう 思いからここに持ってきてます
いや これはね 僕がまず助かりましたね
あの 思ってたんですよ この仕事して
いろいろ本読んで ワークウェブ インテリジェンスっていうワード
は初めて見たけど ワークウェブ っていうか 攻撃者側のコミュニティ
を観測するとか ランサメやギャング のサイトを観察するとか そういう
安全な情報収集の方法
のも 情報収集 そういうところから 情報収集するっていうのも立派な
仕事の一つとしてあるっていうのは いろいろ見て知っていて それが
自分の業務に必要かさておき 1回 ナメておきたいなみたいな気持ち
があったんだけど 分かんないんですよね こう 安全に探索する方法知らない
からさ で それをいろいろでくぐったときに その発信してる人が正しい
情報なのかも分かんないしさ 結構 なんかみんなどうしてんだろう
なっていう 結構シンプルに気になり ながら手が止まってたから 渡り
に船です 個人的には
ね なんかちょっと個人的にもやって みようかなと これ見て思いました
という記事でした
これやるときってあれなんですか なんかもうぶっ壊れてもいい 安全
なPCを用意してやるもんなんですか VMウェアを立ち上げたりすると
本当はそのほうがいいんじゃない かな アクセス手段のとこでもさ
その なんていうか 最初からトワブラウザー が入ってるVMを使って環境を構築
すると楽ですよとか書いてくれてる し
なるほどね 本当だ いや ちょっと 僕も暇なときにやってみよう
基本的にはサンドボックス環境で やったほうがいいと思うけど 難しい
とこだね
だから 俺みたいなちょっと初心者 で不安なら それが悪いっていう
感じなのかな 少なくとも ありがとうございます 皆さん読んでください
次
次 これ サクサク聞きますか これ 僕が持ち出しなんですけど タイトル
がちょっと物騒ではあるんですけど NTTマーケティングアクトプロ
CX元派遣社員による不正持ち出し 中央ビジネスサービスとネクスト
ステージへの売却判明ってやつで いつかは忘れたけど 結構前かな
多分半年以上前に NTTマーケティング アクトプロCXっていう会社 NTTの
子会社なのかなから 派遣会社の 社員が個人情報がっつり抜いちゃって
多分260万件とかあったかな 抜い ちゃって持ち出したっていう印象
があって ピオログとかでも取り 上げられてたんですけど それの
続報って感じだなっていうので 久々にこれ見たなと思ってて 内容
は事実を裏列してるだけという か 盗んだ人が2社にその個人情報
売ってましたって話と 売却先に対して個人情報保護委員会
が立ち入り検査して購入してた よねっていうのを確認したのと
購入したものはちゃんと消してある っぽいっていうのを確認しました
っていうところと あと多分購入 の実態とかを調査した上で 両社
に対して法的な 一つは何なのか どういう両文なのかな その個人
情報保護周りの法律に基づいて 求められる運用が一つある 具体
的には個人データの第三者提供 を受けた状況および個人データ
の第三者提供した状況を報告させる ことで個人情報の保護に関する
法律遵守状況を注視する だから ちゃんとやってるぞっていう
のを報告しなきゃいけないっていう 状態になったのかなっていうの
と あと片方の会社は刑事告発まで 行ってて
そうだね
うん っていうところですね
そうなんだね
なんか結構具体的にしゃべれちゃ ってるんで いやいやは言わない
んですけど 個人的にちょっと勉強 になったなっていうのは 個人情報
多分適切なちゃんと法にのっと ったプロセスで買ってないとこ
に対して ペナルティっていう事例 が僕がいろいろキャッチアップ
し始めてからあまり見かけなかった ので ちゃんときちんと法に基づいて
罰せられるんだなっていうところ を感じたのと この260万持ち出した
ときにちゃんと売る先があって これがその法に引っかかると思って
やったのかやってないのかはもう 分かんないですけど 買う会社
がいたっていうのが結構 持ち出し 目線だと美味しい出口とは言わない
けど 売れちゃう ダークウェブとかで バルマックとかじゃなくて普通に
売れちゃうんだなっていうの しかも日本の会社で 実体は2社
とも名簿会社なんですけど なるほどなーって思ったっていう
感じですね
そうなんだよね
ちゃんとお金になるっていうのは 認識しなきゃいけないよねっていう
ところと 自分の会社が買う側になる ことはもうおそらく言っちゃう
くないけど ちゃんと把握しときたい ところだなと思いましたってところ
です
サイバーセキュリティの最新動向
そうなんでね 個人情報保護法は 刑事罰あるんだよね
片方の1社の刑事告発はちゃんと 運用してるの報告しろよっていう
ところで 虚偽の報告をしたので っていうところで引っかかってる
から だからちゃんと罰せられる って感じですね ちゃんとやってる
よって嘘ついてもダメですと
はい 気になったって感じですね 皆さん気をつけましょう
気をつける そうですね インプット として僕は学びになりましたって
感じですね あとは次もサクサク 行くと 次も僕のやつで Kicking
off Cybersecurity Awareness Month Researcher Spotlights and Additional Incentives
っていうGitHubの記事なんですけれども 内容自体は別にそんな普通の記事
で GitHubのバグ版っていうプログラム みたいなもので Cybersecurity Awareness
Monthっていうのが始まったよって 話 来月からかな 始まるよって話
なのか ちょっと期間までは見て ないんですけど とにかくそういう
期間をやるよっていうので その 期間中はバグバウンティーの報酬額
にボーナスが乗るっていうのと あと 個人的にちょっと気になった
のは もう一つボーナスの条件が あって 何て読むんだろう これ NUCLEI
っていう YAMLフォーマット ニュー クリアーか
書く
そういうことか そう この
今 教えてくれました 英二郎が
ありがとうございます そのフォーマット でレポートすると さらにインセンティブ
が増えますっていうのがあって これを
要はポックをそれで出せってこと だよね
そういうことだと思う 詳しくないん でリードミー ちょっと斜め読み
した感じなんですけど YAMLで攻撃 ターゲット 厳密な攻撃だけじゃ
なさそうなんだけど 要とは その ターゲットをやれると ペイロード
みたいなのを決まったフォーマット で書いて 多分ツールに加わせる
とスキャンが自動でできるみたいな ものっぽくて これ面白いなと思った
という GitHubメッセージも確かに これで出してくれれば 人出の検証
がいらないというか 自動化して どうなんだろうね 期待する検証
結果とかも書けんのかも分かんない ですけど そういうところで自動化
できるのは へえって思ったって 感じですね
紹介記事も引っ張ってくれたん ですね シナリオファイルに基づいて
ターゲットをスキャンするツール オープンソースなんですね あれ
プリセットとかも入ってるんだ
入ってる 結構便利そうな感じ なんかパッと見は nmapとnictとプラス
αぐらいなのかなと思いきや 結構 柔軟にいろいろできるので 便利
そうな 本当に便利そうな感じ 使った ことないけど
おもろそう アパッチ環境にちょっと 頭に入れとこうかなと思って 結構
知らない世界だけど面白いなって 思いました
こういうのでも使わないと手癖 がつかないので 参考で引っ張って
きたのはNECのセキュリティブログ なんですけど ここはDVWAかな 確か
ね そこで試しに打ってみるっていう のをやってたりするから
いいですね できるだけ手で動かしたほうが
いいと思います 了解です やります 宿題 最近
nmapとか本読んで頑張って ハローワールド までは頑張ったんで こういうのも
頑張っていきたい ここもあんま最近そういうの触
ってないから nmapとか今のこの 環境に入ってるのかな
Macはブリュー
nmap入ってねえわ
ブリューで入れないと入んない 気がする
そうなんだけど 使ってないんだな っていう
なるほどね 仕事によっては全然ね 次 残り4期次かな こちらはYoyoiさん
持ちやすいですか
これも正直 記事読んでください っていう感じなんだけど 図解付き
のSSHトンネルリングとポートフォワーディング のコマンドのまとめですね Visual
Guide to SSHトンネルリング
これはいいね これはいいね
なるでしょ これはいいねってなる でしょ これはいいねっていう感想
しか出てこないんですけど
これは読んでほしいね ちょっと音声 じゃ伝わらない良さがある
そうそう
で ハイフンJっていう オプションがなんか 僕知らなかったんですけど
知らない
比較的新しいのかな もしかすると わかんないけど これはなんかかなり
便利そう
オーカルインターネット オーカル インターネットリモート リモート
マシンのオーカルマシンのインターネット SSH
トンネルリングのなんか 多分バスチョン とか踏んで何かするよみたいな
ときとかの設定を簡略化できるん じゃないかな これ
なるほどね 確かに SSHコンフィグ に呪文書かないとね
そうそう
めんどくさいもんね あれとか すごい 勉強になる
見てくれ わかるからっていう感じ なんだけど それでも本当に素晴らしい
これは
ありがとうございます
言うて SSHします? 今でも
しないっすね
僕あんましないんだよな
イスコンのとき以外しないです
そうなんすよ 本当に残念なんだけど あんまりSSH最近してないなっていう
構成と仕事次第だよね うちとかはコンピュータエンジン
一応超少ない台数動いてるけど
Cっていうのはそこ 何か見るとき ぐらいしかないな
昔とか家でサーバー動かしたり してたんだけどな
時代ですよ でも多分普通に便利だと思うな
次 Hacker Deploys AI to Malware in Target Attacks
そうですね
タイトル通りですね AIで作った Malwareが標的型攻撃とかで使われてるよっていう話
当然そうだよね
当然そうだよねっていうのは まさにその通りで
ただ実際そのLLMが登場したことで いわゆるスクリプトキリっていう風に呼ばれるような
その層の人たちのレベルがどれぐらい 上がったのかなっていうのはちょっと気になっていて
その要はもし仮にそれでそのLLMの登場によって 全体的に底上げされたのだとすると
攻撃の強度みたいなのも観測されるものの 攻撃の強度みたいなの多分全体的に
底上げされてるはずなんだよね
実際どうなのかなっていうのは ちょっとこれ読んで気になりました
Malwareっていう観点じゃなくて そもそも適切に動くソフトウェアを作るって観点で言うと
まだまだ底上げまでいかないんじゃないかな って気はするけど
そうするとじゃあ意外とそうでもないのかね
例えば最近あんま見かけないけど iPhoneアプリをLLMだけで一から作ってみたいな記事とかあるけど
あれとかって再現性が必ずあるわけじゃないっていうのが 多分現状の限界というか
なんか再現できる時もあるけど なんかできない時もあるし
なんかよくわからずに積むこともあるから そういう意味で言うとなんか
っていう思いつつ どっちかっていうとあれじゃない なんかその
人間を攻撃する時に活用されるとかのほうが
今出てる影響で言うとでかそうな気するけど
フィッシング攻撃のメール文章を大量生成するとか
マルウェア開発と倫理
あー確かに怪しい日本語が減るみたいなのはありそうだよね
それも確かにあるね
偽サイトを作る時にいい感じに使い捨てるものをガンガン作るとか
なんか偽記事作ってその世論煽動みたいなやつは
1年前ぐらいからちょこちょここのサークスプリーピングコンピューターとかで
なんか1ヶ月に1回ぐらい見かける気がするから そっちのほうが影響としてはでかそうな気がする
まあでも時間の問題かもね こう時間が進んでいけば
マルウェアがもう
なんかアシュみたいなのを作りやすくなるとかもしかしたらあるのかもな
あー確かにね
これさでもさもし仮に本当にその
そこそこのクオリティのマルウェアがこれで作れますってなった時に
どうあるべきなんだろうね
その倫理的にさ
マルウェアをじゃあこういうものを使って作れないようにしましょうっていう風に
もしやりたいとなった時にさ
その吐き出すコードの悪意の有無って
どう判定すればいいのかなみたいな話とかさ
個人的には
めちゃくちゃ難しい
多分やる意味があんまないと思ってて
なぜかというと
そうね
回避できるLLMをホスティングする
ダークウェブが
ところが出てくるんだ
そっちの住人が絶対出てくるから
そっちで金稼ぎをする人が出てくるはず
で攻撃
悪い人たちはそっちを使って
制限されてない
なんなら特化したLLMとか作られるかもしんないし
もちろんちょっとGPTみたいな
でかいとこは最低限対策はすると思うけど
根本対策にはならないって意味では結構
むずいかもなって思う
ね
まあでも資金を下げるって意味では
やる意味が全くないわけでは全くない
やる意味がないわけではないから
責任は伴ってると思うからやると思うんだけど
結構むずいよね
そうなんだよね
ソフトウェアを
ソフトウェアなりアプリケーションを提供する側の責務
というか責任ってどこまで及ぶべきなんだっけっていう
読み単位に追加してないんだけど
GitLabの新技術
ちょっと今追加すればいいのかこれ
なんかテレグラムのCEOが
逮捕されてたのも僕ちょっと知らなかったんですけど
そうなんだ
知らなかったです
逮捕後初のコメントっていうので
いろいろ言ってて
特定の機能を
何ていうかやめるよっていう話だったりとか
あとはユーザー数の急増に伴う成長数で
犯罪者がプラットフォームを利用しやすくなったっていうのは
確かに事実だと思うよっていう話だったりとか
一方で何もしてないわけじゃないよっていう反論をしてたりとか
なんかプラットフォーム上で第三者が犯した犯罪で
CEOを訴えるっていうのは誤ったアプローチだよねっていう主張もしてたりとか
どこまでその責任が及ぶべきなんだっけっていうのは
非常に難しいというか
なるほどね
この辺の差し加減正解ないからこそちょっと
大変だよなユーザーは楽なんだよな
サービス事業提供側の身として思うのは
本当にそれに尽きるというか
なんか
他にどんだけ色々あると思ってるんだよみたいなね
あるよね
直近中か直近じゃないかもずっと
AppleなりGoogleなりへの独占云々で色々締め付けやる
EUからの実質それApple対策やろみたいなやつとかも
ああいうの見るたびに思うけど
もちろん大事なことではあるんだけど
そうだねっていう
難しいねというか
なるほどね
そっかそっか
まあ
永遠のテーマかもねこれも一つの
事業者側の責任協会
なんかでも裏返すとさっきのさ
これ特許取っちゃうんだみたいな話とかにも
繋がり得るような話だと思って
まあ確かに
まあ
なんか
わがままにいけるんですけど
業界全体への信頼を揺るがすようなことは
ストップかけたいよねどっかで
そうね
その分かんないけど
めっちゃ有名なサービスが
分かんない実はめちゃくちゃで
めちゃくちゃなことをしてましたって
もし仮に出てきたらさ
あなたのサービスは大丈夫なんですかっていう問いかけが
自分自身の会社に来る可能性はもう
間違いなくあるわけだから
そこはやっぱり他人事とか対岸の舵ではないよなっていうのは
結構
まあその意識を持ったところで何か解決されるわけじゃないけど
なんか気持ちとしては持っといたほうがいいなっていう
所感です個人的には
そうですね
なるほど
これはちょっと見とこう
ありがとうございます
こちらも部屋さんの
すいませんいつも持ち出しありがとうございます
GitLabがGitLabアドバンスを指すと一般提供
し始めますよっていう
しまし始めましたよっていう記事ですね
GTネットの記事ですね
なんかGitLabがちょっとなんて読むのかな
オクサインなのかなちょっとどう読むのかわかんないけど
2024年に入って買収したそこの技術を搭載した新しいSUSTのスキャナーを
なんか提供し始めましたよっていう話だし
まあなんかすごそうなSUSTが使えるようになったよっていうだけの話なんですけど
実際さっきの話の続きになっちゃうんだけど
実際SUSTってどうなんですか使ってますっていう話
使ってないっす
弊社ダートなんで使えないっす
エコシステムが弱くなかったらじゃあ使ってんのかな
使うことは間違いなく検討すると思うね
検証はすると思う
検証して評価するところまで絶対やるはずって
あとはそれが使い物になるかどうかが全てかなって思うかな
なんかお金値がめっちゃ多いとかで運用
基本的にはSUSTをもし入れるとしたらモチベーションとして一番でかいのは
人間の手を代替することが結構でかいかなと個人的には思っているから
それが叶うか叶わないかがやっぱ一つの評価の分かれ目かなって思う
こういう記事を読んで思うのは僕の仕事をどれだけ減らしてくれるかっていう
ただそれだけだし
俺なんかもういいや
買収されたコーポレートサイトに行ったらHTTP通信になろうとして
ちょっとおかしいんだよ平仮名だろうが
ぐらいしかね ごめん
今のとこはね初感を持っててね
だからちゃんと触りたいなと思ってるんだけど
これゲーム通信のはさ
これぐらい精度あるよとか言うのはさ
嘘ついてたら言わないけどさ
言語のパフォーマンステストみたいなもんでさ
実際の実世界で動いてるアプリケーションに対して実行してその評価を
したのが全部綺麗に書いてされたわけじゃないから
自分の会社入れてみないとあんま分かんないってなる気がしてて
その辺はちょっと気になりポイントだよねっていうのは思うかな
どうなんすかヤキハシさんの初感は
どうなんすかね
なんかでもそれこそLLMよりもコンテキストを考慮してくれないっていう面はあるんじゃないかなとは思っていて
今時のSASTがじゃあ実際どうなのっていうのは正直分かんないんだけれども
なんかこの引数どっから来たのっていうのをどこまで追いかけきれんのっていうのはちょっと気になるし
まあでもね
でも逆にそっちはそのSASTみたいなほうが得意なんじゃないかな
むしろね確かに
普通に公文解析して全部バーってその構造化できるわけだから
だからむしろSASTというか従来の
LLMもいつかできるというかやろうと思えばできるんだと思うんだけど
全然分はあるというか
まあそうするとじゃあやっぱりその
なんていうかさっきの
SKLのステートメントでスマグリングが起きるよっていう話とかを
じゃあどうやって見つけられるのっていう話とかはちょっと気になるけどね
そういうのが見つけられる時代が来るのかあるいは今はもうすでに見つけられる状態になっているのか
あれは結構ハイコンテキストななんか
正尺正尺
いやそうだね
まあ原理上はその入ってる使われているリクワイヤーで
されているドライバーがあってそのバージョン見に行ってそこにCVEが紐づいてて
そのCVEの
いやでもきついんじゃないかな
そうだからデータベースのドライバーそのもののコードを加わせて見つけられますかって
極論ね
いやケースはケースなんじゃないその外部との通信部分とかはさ
その
今の例で言うとPOSGREの仕様を知らないといけないわけじゃんその解析する側は
で究極的にはつなぐPOSGREのさバージョンが分かんないから
そこは限界はあるんじゃないかな
LLMもそこはなんか限界がある気がする
インプットとして加わせたらいけんのかもしんないけど
さっきのnプラ1問題を見つけられますかとか
nプラ1はいけんじゃないいけると思う
いけるのかな
いけないパターンもあると思うけどいけるパターンの方が多いんじゃないかな
なんならChatGPTに投げればいけそうだけどね
だってイスコンでChatGPT買ってみたみたいな去年めっちゃいたけど
てかなんなら自分もちょっとやったけど普通にね全然見つける
レイエックスの松本さんが使ってみたみたいなやつをね
去年の記事で書いててめっちゃ面白かったよ
まあじゃあ結構いい具合の時代が来てるのかもしんないね
どっちかっていうと従来のSUSTで
SUSTのカバリッジ上げるためにLLMを頑張るっていうよりかは
SUSTが不得意としてた部分を
それこそnプラ1を見つけてくださいとか
もし今のSUSTが苦手であればLLMでできるから
やってもらうとか結構面白いかもね
これ今記事貼りますか
貼っときますけど松本さんの記事で
そのISCONのコードをまるっと全部GPTに加わせて
パフォーマンス向上のための指示出しを具体的にしてくれる
みたいなやつがあって
割とこういうのはね
割とクエリの自由度が高いのは魅力かもね
SUSTは何か評価したいってものを考えた時に
その評価したいものに対してロジックを人が書いていかなきゃいけないけど
これで実際どれぐらいスコア出るんだろうね
結構役に立ったみたいなのをどっかの記事
俺読んだのこの記事じゃないかもな
なんかもう1個ぐらい記事あった気がするけど
なんかそのライトアップ的なやつで
使ってたはず
いやー結構ゲームチェンジャーだな
生産性は間違いなく上がってるよね
って思うね
SCOMそうだね
あ、LLM
これだこれだ
こっちで読んだの
まあ貼っときます気になる方は
これLLM担当で
タイトルが面白いね
そうなんだよ
だから全コードね
SCOMは結構向いてるんだよな多分
限られた時間でさコードリーディングして問題箇所の特定とかで
チューニングしてるわLLMで
ハルシネーションやっぱあるから
そこに対してサイクエリー投げて
LLMの評価と静的解析
苦手さ
得意苦手がやっぱあるみたいだね
ちょっと読んでみてください
興味深い
ラストですか
次行きますか
はい
これねこれ読んだ記憶がある
読んだボタン押してないけど
カスペルスキーが
カスペルスキー自社のアンチウイルスソフトで地震を削除して
ウルトラAVっていう製品をインストールしましたよっていう記事話
でちょっと前にアメリカのカスペルスキーが
ウルトラAV作ってる会社に買収されてたらしくて
事前にメール告知はしてたらしいんだけど
あんまりうまくいかず結局知らない間に知らないものに勝手に置き換わってるっていうのが
大量に起きたらしいですよというニュースです
これね
いた仕方ないかなと思うんだけどさ
カスペルスキーの立場を思うと
気の毒だなと思うんだけど状況としては普通にちょっと面白い
これあれかなカスペルスキーにお金払って買った人が
もしくはサブスクリプションしてる人が
解約しなかった時に変わるっていう
もうサービス終了するからお金も取らないし
動かなくなるよじゃなくて
お金取り続けて別のやつを入れるっていう
結構大胆な意思決定だと思ったけどな
いた仕方ないのか まあそうか
要はサポートができないわけよ
もうある日付以降は
業務ができないからさ国内でアメリカ国内で
ってなった時に
一番誠意ある対応が何なのかは
諸説あると思うけれども
自分自身を決してはい終わりは無理なわけよ
どうはないっての
そうか
いた仕方ないのかどうかはちょっと微妙なラインだとは思うけれども
なんて言ったらいいんだろうな
でもアンチウイルス消えて廃線ならばさ
無責任じゃん
確かに
正しい振る舞いは何だったのかっていうのはさ
すごく難しいなと思って
Windowsだったらマイクロソフトディフェンダーさん
あとよろしくっていうのもありだったかもしれないけど
じゃあMacはどうするのって話とかもあるしさ
アンチマルウェアだからそういうタクもあるけれども
そうじゃなければどうなんだろうとかさ
そもそもアンチウイルス以外にそういうのがあるのかどうかとか
分かんないけど
ユーザーのコミュニケーションどうだったんだろうな
それが下手くそだった説とかないのかな
それもあると思うよ
一応アラートは出てたんだ
アインストールが取れなかったんだったらコミュニケーション
下手くそでしたねって感じにしかならない気もするけどな
まあでもおもろいのは感動意というか
こんなこと起きるんだねっていう
なんで米国で禁止されたんだろう
ロシア企業だからでしょうか
なるほどですねしょうがないねそれは
これさカスペスキーが買収されてて
アメリカのカスペスキーかそういうことか
大変気の毒やな
そうなんだよ気の毒なんだよ
気の毒ではあるね
自分だったらどうするかなと思って
似たような決断するしかないんじゃない
コミュニケーションでどんだけ丁寧にやれるかの勝負だと思うけどね
コミュニケーションの難しさ
まあでもさぶっちゃけさ
アメリカのカスペスキーは
アメリカのカスペスキーは
アメリカのカスペスキーは
アメリカのカスペスキーは
アメリカのカスペスキーは
ぶっちゃけさその国からおさらばするんだったらさ
どうなってもいいよね
それはそれもそう
そういう中で
よくやったんじゃないかとは思うんだけどね
わかんない何が正しいどうだったら
何も問題なくうまくいったのかちょっと
俺にはよくわかんないけど
でもこれもさちょっと炎上するぐらいで済むんじゃない
なんかわかんないけど
半年後には忘れてるでしょみんな
この後何か問題起きたら
この後何か問題起きたら
まずかったねってなると思うけど
そこは1、2ヶ月すれば答えが出るでしょ
そこは1、2ヶ月すれば答えが出るでしょ
いや大変ですな
この前の何だっけ名前忘れた
大規模障害といい
アンチウイルスソフト
クラウドストライクか大変だね
そんなとこですか
そんなとこですね
だいたいこんなもん
いやプラットボリュームが
でも今週も面白くございました
タイムキーピングをした方がいいのかな
でもグラデーションあるよね
まあでも何かその
記事の量が多かったらもしかしたら
4時間とかいっちゃうかもしれないからその
強い意志でもうこの時間で
上から順番に読んでカットっていうのはやってもいいかもね
ね
始める前にこれはもう読まなくていいんじゃないみたいなの
本当は精査してもいいのかもね
じゃあちょっと
ブラッシュアップしていきましょう
じゃあ今回第4回
ありがとうございました
みなさんおやすみなさい
