カート体験の共有
こんばんは、Replay.fm 第18回です。
こんばんは。
こんばんは。どうすか?
いや、昨日、カートに乗ってきたんだけど、
レンタルカートじゃなくて、なんかもうちょっとガチなやつね。
はいはいはい。
もうちょっとガチなやつの、あんまりガチじゃない方のやつを乗ってきたんだけど、
体がバキバキで、
肋骨痛いし、筋肉痛だしって、なんか結構ボロボロなんで。
なるほどね。何時間ぐらい乗ったの?
何時間だろう。でも朝から夕方手前ぐらいまでだから。
やば。
何本ぐらい乗ったんだろうな、それで言うと。
15分一枠で、たぶん5、6本ぐらい乗ってんじゃないかな。
朝から夕方って相当やな。
うん。
休憩入れつつってことだよね。
本数で言うとそんなに乗ってないと思うんだよな。
たぶんだけど。
こんな話をここでしてもしょうがない気がするんだけど。
1、2、
ん?
記録残してんだ。
そりゃそうか。
4、ん?
違うな、4、5本ぐらいか。
おー、すごいですね。
おつかれさまです。夕方やけしに連れてってもらって1回僕も行ったことあるけど、
なんか面白かったな。
結構、結構また行きたい。
また行こうよ。
また行きたい、普通に。楽しかった。
あそこなくなっちゃったんだよね。
あ、そうなんだ。
前行ったところはなくなっちゃって、そう。
なんか違うとこ。
なんかあんなに体へのダイレクトな負荷を感じたことなかったわ、人生で。
普段乗ってる乗り物は本当に文明、文明なんだなっていう。
そうね。
自動車しかり電車しかり。
フレームにタイヤつけただけの乗り物だった。
そうだね、確かに。
あんな地面のデコボコのフィードバックを全身で受けるっていう。
楽しかったな、あれは。
また行きましょう。
マルウェアとドメインの関係
あんなんでもなんかちゃんと物理法則に従って動いてるからさ。
なるほどね。
理屈があるんだよね。曲がる理屈、走る理屈みたいなのが。
確かに。
また行きましょう。
じゃあ今日も若干少なめですけど、読んでいきましょうか。
ヌルヌルっと。
ヌルッと行きましょう。
はーい。
1個目は僕読むか。
ブリーピングコンピューターの
Over 4000 Backdoors Hijacked By Registering Expired Domainsっていう記事ですね。
これはそれこそ解説を求めてメモに書いたんですけど。
大雑把に説明するとセキュリティの研究者か何かが
期限切れで手放されたドメインネームをワーッと取って
サーバーを動かしてみたら
そこに通信が来たよって話だと思います。
そういうことか。なるほどね。
攻撃者が手放したものかどうかを区別して取り取って回ったのかどうかが分からないんだけど
いわゆるドロップキャッチとはまたちょっと違うんだけど
期限切れでフリーになっているドメインをワーッと取ると
まだ生きているマルウェアからガンガン通信が来て
いろいろあるさができるよって話だと思うんだけどね。
なるほどね。おもろい。
おもろい。
なんで捨てたんだろうね。
用が済んだか逮捕されたかじゃないか。
でも逮捕されてたら被害者それで探してちゃんとやりそうな気がするから
用済みになったとかなんじゃないかな。
それこそルーターとかIoT系デバイスとかだと
用済みつけられないだろうしポーチ捨てざるを得ないというか
通信先死んでるからいいでしょみたいなのがありそう。
なるほどね。完全に理解しました。めちゃくちゃおもしろいじゃん。
あと数が多すぎると確かに通信先のほうを落としたからもういいでしょ普通にやりそうだね。
でもその通信先、いろんなパターンがあるんだよね。逮捕されたパターンは
でも逮捕されてテイクダウンじゃないけど
また使われないようにしておいてほしいかもあるっちゃある気がするけど。
そういうとこの記事ではこの辺の見つけたドメインは保護してるよみたいな。
シャドウサーバーファンデーション。
ちょっとこれサマリーが合ってるかどうか不安なところがあるんですけど。
シャドウサーバーファンデーション。初めて聞いたな。
まあいい。ありがたい話ですね。
なるほどね。
まあおもしろいですね。
映画はでもなんか嫌だね。そのなんかきついな。
なんか気持ち悪いよね。この無駄なトラフィックでありなんていうか。
たまたま自分が取ったドメインがそのっていうパターンもあるわけですよ。
まあまあまあ予報としなければないと思うけど。
確かにね。
なんかいらぬ疑いをかけられたりしそうですよ。
いやー確かにね。確かにね。
なんかわかんないけどドメインを世界レベルで管理する主みたいな人がもうロックとかしてくれないのかな。
うーん、ETLDレベル。
ETLDっていうか、ETLDレベルで多分やらないと無理だろうから少なくとも。
だからドットコムはここでとかドットJPはここでとかはできなくないと思うんだけど。
うーん。
まあでもあれか。
非営利団体とはいえ脅威情報を集めたりしてるから、
まあこの人たちとってもまあいいのか。
ならいいかな。
いやなんかさ、この非営利団体がさ、
こんな無限に買い取ってたら運用コストがかかるわけで、
もう辞めますってなったらまた放流されるわけでしょって思って。
ちょっとその辺もね、なんかうまいこと仕組みがあってもいいのかなと思ったんですけど、
まあまあしばらくはもしかしたら大丈夫なのかな。
なるほど。ありがてー。一人でやってなくてよかったー。
はい。たぶんそういうことだと思います。
全然違ってたら申し訳ないけど、たぶんそういうことだと思う。
ちょっとなんかパッと読んでなんか読み取りにくい感じがしたんだよな。
それってバックドアなの?みたいなのはちょっと思ったし。
そうなんだよね。そこでなんか頭がこんがらがったというか。
バックドア?バックドアじゃないよな。ウェブシェルというか。
ウェブシェルもでもなんかさ、そのターゲット側に設置されるものだから。
あー確かに確かに。そっか。
それで言うとC2サーファーとかの表現なのかな?
なんかC2Cっぽい話だなーと思ったんだけど、
そうね。まあでもC2だと思うんだよな、この書きっぷりだと。
まあまあまあそんなことを思いながら読んでました。
確かにこれはようわからんなっていう感じではあります。
プリピンコンピューターさんにはもうちょっと頑張ってもらって。
GitHub Actionsのセキュリティ
いつもありがとうございます。そんなことないです。
いやーふっくりした。
おめでとうございます。
じゃあ次行こうかしら。
はい、お願いします。
次はGitHubのブログで、
How to secure your GitHub actions workflows with CodeQLっていう記事ですね。
記事の内容としたタイトル通りで、
CodeQLっていうものがもともとあってですね、
これはなんかセキュリティ文脈もあるんだけど、
名前の通りそのコードの脆弱性があるロジックとか、
いけないコードに対して、
いわゆるダストにあたるのかな?
ダストみたいなもんで、パブリックリポジションとか無料で使えるんですけど、
GitHub ActionsでCodeQLの公式アクションを呼び出して、
対応している言語とかであれば、
スキャンして実行できますよっていうものがあって、
これのサポート対象にGitHub Actionsのワークフローファイルが追加されたよって話ですね。
この記事で触れられているところとしては、
あさまり今回いい感じですね。
例えば分かりやすいところで言うと、
あるあるアクションズファイルとしては、
ワークフローのインプットで任意の値を入れられるようにして、
その値をシェルでよしなに処理するみたいなときに、
ダブルクオートで括り忘れるとシェルインジェクションが成り立ちますみたいな、
超分かりやすいやつとかあるんですけど、
そういうのをはじめ、結構いろんな脆弱性を検出してくれますっていうところと、
検出した上で、こういう風に修正してくださいってステップまで表示してくれるっぽいですよと。
検出項目が教えてくれるんだって思ったんですけど、
18個具体的なやつが書いてあって、
一個一個触れてたら、
キリがないんでっていうところがあるんですけど、
それこそ僕が利用してるJHA Lintっていう、
アクションズのセキュリティ上のプラクティスに従うための
Lintツールがあるんですけど、
それで検出してくれるような項目とかも結構カバーされてたりとか、
また、そこまでやってくれるんだっていうものもあったりして、
ステップをまたいで、このステップのアウトプットを
このステップでこういう風に扱うと脆弱性になるよみたいなパターンとかも
検出してくれてるっぽくて、
なかなかいいねって感じで、
実際にこの多分、クローズドベータなのかどうなのか分かんないですけど、
この検出機能を使って有名どころのリポジトリ75以上、
結構本当に有名どころで、
みんなが知ってるようなところだと、
フロントエンド界…
アストロとか?
ああ、アストロ、そうですね。
アストラはまさにみんなが知ってるようなものとか、
どっかはメールサーバーとかしてないけど、
まあまあ。
まあでもこれみんなが知ってるもののさ、
界隈に…
界隈への依存度が高い。
AWSの公式リポジトリ。
Jupyter Labとかね。
Jupyter Labもそうだね。
その辺も掛けてみて、実際にいくつか見つけて、
報告して修正してもらったよみたいな感じで。
このCodeQLの有効であることの裏付けでもあるし、
個人的には普通に世界じゃないワークフローって探そうと思えばある気がするから、
その辺は効率よく見つけたっていう部分も、
価値としては高いかもなってたりって感じですね。
これは何?
CodeQLって自分で使ってないからさ、
いまいち使ったことなくて、
なんて言ったらいいんだろう。
中身をつかみにくかったんだけど、
ASTを、難しいな。
任意の言語の静的解析ができるもの、
ツールをベースにして、
吉野にやってくれるような感じなのかな。
中身の実装どうなってんだろうね。
CodeQLのリポジトリはあったけど。
触った感じが。
任意のチェックとかも作れる?
チェック項目というか。
それこそ、
プリディファインダーのものしかない。
ReadMe見れば分かるのと、
自分のリポジトリで使ってるやついまパパッと。
どれで使ってたっけな。
全部で入れたいところなんですけど、
これとか入れてたっけな。
書き味見ると分かるんだけど、
これとかですかね。
パッと出てこない。
ReadMeを出しましょう。
CodeQL。
いろんなアクション使うときに、
UseActionsスラッシュチェックアウトとかあるじゃないですか。
ああいうノリでCodeQLパッと書いて、
言語書いて、おしまいって感じ。
使い方としては。
あとは、
この辺がよく分かってないけど、
リポジトリの設定画面でも、
編集できた、
設定をオンにしたりできたはずで、
その辺はちょっと、
あれですね、
僕の研究不足って感じなんですけど、
セキュリティ技術の進化
何かのリポジトリを有効にしたんだよな。
忘れちゃったな。
ああ、そうですね。
コードがないし、
今後、
これでEnableにするんだっけ。
でもセッティングでEnableしたら
普通に動くみたいですね。
だから、いまいちよく分かんない部分があるんだよな。
アクションズで呼び出して動かすこともできるし。
CLIとかもあるよね。
CLIを落としてちょっと動かしてみようと思ったら、
1ギガとかってちょっと絶望だわ。
サポートしてる言語の数はめっちゃ多いし、
MLモデル動いてるんじゃないかなって気はしてて、
その辺が重いのかもね、もしかしたら。
Macだけ重いんだよね。
Linuxは、
Linux向けバイナリーは469メーカーとかなんだけど。
要は分からんね。
3分のワークフォーファイルを出してあげたい。
間違えて出てこない。
まあ、触ってみるのが一番早そうだね。
そうだね。
実際どんぐらい検出してくれるのか試したくて、
自分のリポジトリなんかで有効にしたんですけど、
JHLintとActionLintでガチガチで固めてるせいで
全然検出してくれないんで、
ちょっとわざとガバガバなやつ作って
試したいなとか思いつつ、今日は。
OASPのギャラリーウェブアプリケーションみたいなやつ
拾ってきて、
加わせればいいんじゃない?
確かに確かに。
それもありかも。
あとこういうのありがたいんだけど、
結構前からずっと思ってるけど、
大変なのは分かるんだが、
プライベートリポジトリの課題
仕様レベルでそもそも脆弱にならないような
仕様にしてほしい気持ちがなんかあるんだけど、
その辺も進めてほしいなって気持ちはあったりしますね。
というと。
気をつけること多すぎると思ってて、
Actionsを書くときに。
Actions。
セキュリティ観点で。
勉強したから、
この18項目とか多分パッ、
割とピンとくるんですけど。
何を言ってるのか分かると。
そうそう。
でも普通のエンジンに多分半分も分かんないと思うんですよ。
ってなったときに、
その人たちに気をつけてくださいってなったときに、
うちの会社とかの場合は、
アクションリントとGHLリントでガチガチに傾けてるけど、
それでも見抜けないパターンとかあって、
それを見抜こうと思うと、
じゃあコードQL入れようってなると思うんですけど、
コードQL入れようってなると、
プライベートリポジションの場合だと、
アドバンスとセキュリティに課金しないといけなくて、
めちゃくちゃ高いんですよ。
本当に高くて。
コードQLだけ使うみたいな選択が取れないんで、
CICDって割とセキュリティレベルを上げておきたいところで、
マッチポンプ感ないと思って、
こういう脆弱性、18項目検出するよみたいな。
このうち、僕は知らなかったやつとかもあって、
アクションズTOC, TOUっていう呼ばれるやつがあって、
TOC等だね。
TOC等か、そう。
これとかはリファレンス見てびっくりしたんですけど、
別にGitHubの公式ドキュメントとかじゃなくて、
誰かが作った、多分POCみたいなのがあって、
それがリファレンスされてて、
これとかが脅威としてあるから、
これもコードQLで検知できるよって書いてあるんですけど、
なんか、分かるけど、
マッチポンプというか、
仕様面でどうにかならないかなって思いつつ。
なんか徐々に良くしてくれるかなとは思ったりもするし、
利便性の部分とのトレードフォーであることも分かるんだけど、
ちょっと気をつけること多すぎるなと思ってるって感じですね。
また弊社でも実際あったんですけど、
指摘された項目がよく分からんくて、
リントルールでイグナーしちゃうとか、
普通に起きるというか、
あんまピンとこないよねみたいな部分とかあるんで、
っていう気持ちもありつつって感じですね。
個人垢でAdvanced Securityを使う時のプライシングが
どんだけ調べても出てこない。
よく分かんねえな。
個人アカウントでは、
パブリックリポジトリは、
使えそうだったよね。
無料で。
プライベートリポジトリはどうなんだろうね。
確かに。
個人のプライベートリポジトリって、
個人で使えるのこれ?
パブリックは使える。
パブリックは使えるんだ。
プライベート、見てみようか。
今一応分からんなと思って。
プライベートも使えるのかな。
借金体系が分からん。
高いって言うからいくらなのかなと思って。
なるほどね。
エンタープライズとかで。
エンタープライズに含まれてるっていう感じなのか。
いや、エンタープライズにアドオンですね。
だからエンタープライズを使って、
なおかつさらに課金をしないといけないと。
そうですね。
プライシング書いてないのか。
あんま喋んないほうがいいのかな。
具体的に覚えてるわけじゃないんですけど。
個別に見積もりが必要なんだね。
そうだね。
そもそもどっちにしろ、
個人で課金してるレベルだと関係ないってことなんだね。
そうだね。
ありました。49ドルですね。
一人49ドルかな。
高っ。
なので5000円かける。
5000円かける。
これ上乗せなんで、
エンタープライズが21ドルで49ドルで60、
70ドルで、
月70ドル一人ですよね。
一人1万500円で、
フィッシング対策の問題
100人いたら毎月100万になっちゃうって感じかな。
結構インパクトがある。
なるほどね。
コードQL以外もついてくるはついてくるんですかね。
シークレットプッシュを防ぐとか。
そうね。
あるにはあるんですし、
原価が高いだろうから、
まあまあまあまあっていう気持ちありつつ、
どの組織にでも勧められるオプションではないよねっていう気持ちですね。
個人はプライベートリプスでも使えるかもですね。
ちょっとパッと見てる感じは。
でも微妙か。
コードQLの項目とかないから使えないのかな。
もしかしたら使えるのかもしれない。
ちょっとリサーチ不足です。
ちょっと触ってみたいなと思ったけど、
まあだからパブリックリポジトリで試せばいいのか。
そうですね。
それが一番多分早いですね。
でも多分使えないっぽいな。
今これプライベートリポジトリのコードセキュリティの設定画面と、
パブリックリポジトリのコードセキュリティの設定画面、
見比べてるんだけど、
パブリックの方が圧倒的に項目が多いですね。
プライベートはそもそも有効にするしないのボタンもないから、
使えないのかもしれない。
なるほど。
個人のプライベートだったら脆弱性あってもいいだろうって。
そんなことは言ってないと思うけど。
まあまあまあ、お金がかかるんでしょうね。
はい。
先週のイミュータブルアクションの話もあったから、
期待したいなって気持ちもありつつの。
そうね。
コメントですね。
そのうち無料になったりするんじゃないかな。
コパイロットみたいに?
コパイロットは部分的にって感じだけど、
ベーシックなチェック項目はみたいなのは全然ありそうな気がするし。
確かにね。
切り分けてやってみていけそうになるといいかもね。
ね。
あとなんかもっと言うと、
リポジトリのポリシーとかで、
ある程度のアクションズに対するポリシーの設定項目があって、
それに準拠しないワークフローはマージできないとか。
そこぐらいまでやっちゃってもらっても個人的にはいいなと思ったりするな。
一回動くと直すのマジで大変なんで。
本当に。
ごじゅうリポジトリを直した俺の言葉の重みは違いますね。
そんな感じです。
面白かった。
じゃあ次は、
次から結構僕が紹介するのは絡み記事が多めなんですけど、
ブリーピングコンピューターの
フィッシングテキストリックApple iMessageユーザーの
ディサブリングプロテクションという記事です。
何かっていうと、
そもそも僕が知らない前提があったんですけど、
AppleのiMessageにはフィッシング対策の機能があって、
これが何かっていうと、
連絡先に登録していないユーザーに対して、
一回も返信をしたことがない場合は、
ユーザーから送られたメッセージに含まれるリンクが
アクティブなリンクにならないっていう仕様があります。
なんで知らない人から突然来たメッセージに
フィッシングのURLがあったときに
それがクリックできないようになってるみたいなので、
保護機能があるんだけど、
これを何とか無効化する手口がありますよって話ですね。
それがわりとシンプルながら有効そうだなっていうところで
面白かったんですけど、
手口としては一番初手のメッセージで、
リンクは無効じゃないんで、
それっぽいメッセージを送って、
そこに対してこのリンクを有効化するために
Yes or NoのYかNoで送ってねみたいな。
Yって送ったらリンク有効になるよみたいなメッセージを送って
有効にさせるみたいな手口があって、
いまいちあれメッセージを動画使ってないのと
そうなのかなというか文化圏の違いかなと思うんですけど、
記事中で言われることとしては、
わりとそのメッセージに対して
SMSの自動化なのかやり取りなのかで
固定文字列をYとかYesとかを返すっていうのは
使用としてわりとあるあるだから
普通に引っかかっちゃうよっていうことが書いてあって、
そこに引っかかりにしたりすれば
あとは普通のスミッシングと同じ手口でやっていく
みたいなことが紹介されてたって感じですね。
これはiメッセージのみ?
多分iメッセージの仕様の話っぽいですね。
でもSMSの画面ごと知ってるよな。
そういうこと?
SMS。
iPhone手元にないから。
手元にあるんだけど。
今見てるんだけど。
結構古いやつなんだけど、
URL無効になってないんだよね。
なるほどね。
なるほど。
何出たかわからんけど。
オプトインなのかな。
スミッシング対策。
この記事嘘ついてる?
わかんない。
iメッセージとSMSは別物だから。
そうだよね。
iメッセージとして送るとまた話が変わるのかもしれなくて。
あるいはオプトインっていう可能性は無くはないけど。
ここも一緒。
リファレンス見つけられんな。
iOS結構サイレントなこういうセキュリティ機能ちょこちょこある気がするな。
ね。
あんまり派手にやるとバレるからなのかちょっとわかんないですけど。
なるほどね。
ちょっと設定とか見つからんしなんだろうね。
面白いけどちょっとなんかわかんないね。
裏付けが取れないね。
リンクが開かない。iメッセージのリンクが開かない。
パッとしゃべっても出てこないよ。
そんなでも嘘を書くと思うよ。
僕の読み下しから嘘かな、ちゃんと読んだんだけど。
この理解で合ってるはず。
よくわかんないっす。
よくわかんないですね。
よくわかんない。
でも割とシンプルに総回避するよねって気はするから。
対策がもう大変だなっていうのと、こういう対策あるんだなっていうのは知らなかったんで。
知らなかったっていうかわかんない、本当は嘘なかもしんないけど。
いや嘘じゃないでしょ。
未確認ですけど。
手元だと確認できなかった。
後で終了終わった後にiメッセージやりとりしてみるか。
連絡先入っちゃってるでしょ。消すか。
確かに。
SIM入ってないからダメだ、うちのiPhone。
機会があったら検証しましょう。
はい、そんな感じです。
連絡先に入れずにiメッセージをいきなり送るって多分できないと思うんだよね。
そもそも?
そもそも。iメッセージという存在がいまいち俺の中で不確かというか、ようわからん。
なんか海外で使われてるよね。
ちょっとなんか事情違うのかもね、日本のあれだと。
なるほどね。
Appleアカウント当てとかなのかな、もしかしたら。
でもさっき電話番号当ての画面もあったからさ、中に。
なるほどね、確かに。
ちょっと違うのかもね。
ちょっとよくわかんないんだよね。
電話番号かAppleアカウントの入力。
うん、なるほど。
はい、ちょっと要研究ということで。
すいません、なんか、いや、真面目に、真面目に言ってます。
はい、ありがとうございます。
じゃあ次いきますか。
はい、お願いします。
SBOMの現状
エンドユーザーが直面するSBOMの現状、現在のSBOMを取り巻く現実世界の課題と解決策。
バルス・ブログさんの記事です。
2024年10月に開催されたカンファレンスでのSBOMに関する発表をもとに、
技術者向けに深掘りをした記事ですね。
結構SBOM入門として良さそうな内容かもなぁと思いながら読んでたんですけど。
で、いろいろ発表の要約とかをした上で、バルスだとこういうことをやってますよっていう、
フューチャーバルスではこういうことをやってますよっていう、
半分自社サービス紹介みたいな感じではあるんだけれども、
真面目になく記事の要約もしてくれていて非常に良い記事でした。
全部は読んでいかないんですけど、
そもそもBuild SBOMとRuntime SBOMっていうのがあってみたいな話とかをしてたりとか、
Build工程で把握できる依存性、例えばGoModとかPackage.jsonとかに書いてあるような依存性は、
Buildのタイミングで分かるよねとか、
一方でそれだけだとBuild後に発生する導的リンクとかOSレイヤーでの依存性っていうのは含まれないよねって話とか、
一方でRuntime SBOM、本番の実行環境で最終的に使用されるコンポーネントのリストだけだとBuild時点では生成しにくいよねとか、
2種類必要であるにも関わらず、それぞれに難しさがあるよねって話を要約してくれていたりとか、
あとは言語によってはそもそも公式のSBOMのプラグインが乏しいとか、
空のSBOMファイルがあれば、要はSBOMのファイルが要求されるけど空のファイルがあればOKみたいな、
その運用の形外化が起きているケースも見受けられたりだとか、
あとはBuildとRuntime両方のSBOMを取得するっていうフロー自体が結構複雑でややこしいよねって話とか、
あとはこれ知らなかったんですけど、SBOMの技術フォーマット間で変換を挟むとデータログスが起きたりするよっていうのも紹介されてて、
なるほどって感じだったんですけど。
で、FutureValsでの取り組みとしてBuild SBOMとRuntime SBOMを一元管理できるようにするよって話とか、
要は両者を同一システム上で管理できるようにするよって話とか、
あとは複数フォーマットを、多分これ変換不要っていう意味だと思うんですけど、
複数フォーマットを取り込んで出力できるよっていう話とかをツラツラと紹介してくれている記事でした。
ぜひ読んでみてくださいっていう感じなんですが。
エンドユーザーの課題
なるほどですね。読んでみます。今回ちょっとこれ言われてないんで。
Valsは名前だけ知ってたんですけど、このOSS版じゃなくて商用版もあって、それが結構いい感じというか。
なるほどですね。Runtime SBOMの概念は知らなかったな。
この辺も実は、なんか見たことあるような気もするけど、この2つに分けて考えるっていうのが、
この発表で話してたものなのか、それともいっぱいに言われてるものなのか、ちょっとよく分からないなと思ったんだけど。
でも確かにそうだよねっていうのはその通りで。
Runtime SBOMとBuild SBOMを分けたいのは、
分けたいのはっていうか、分けざるを得ないっていう。
確かに。
理解した。なんかNode.jsとかは分かりやすいな。
そうだね。
Build、そうだね。トランスファイルするときにしか使わないやつとかは本番環境に入ってなかったりするし、
本番は本番でなんか。
本番のNodeのバージョンは分からんとか。
そうだね。どっかの構成とか。
確かに確かに。
OSも分からんとかね。
なるほどね。
いい整理だね。なるほど。
これはちょっとちゃんとやります。
いやー、SBOMなー。何もできてないんだよな。勉強とかも。
これをちょっといい加減なんか1個触りたいですね。
僕はちょっと手を動かせてないんですけど。
ちょっと素振りをしたい。
うん、素振りしたいね。
間違いない。
素振りカンパニーが欲しいよね。
セキュリティー素振りカンパニーが欲しい。
素振りしてお賃金欲しいね。
なんかある種のサンドボックスみたいな会社が欲しくない?
あー、確かにね。架空の事業と架空の組織と。
あー、めっちゃいいじゃん。
なんか有志でやろうよ。素振り。素振りカンパニー。
素振りカンパニー。
需要めっちゃ上げそうだけどな。
株式会社素振り。
いやー、まあでもな。
株式会社素振り。
取れるか。野望取れるか。
株式会社素振りなさそうな気がするけどな。
素振りドットとかないかな。
まあでもさ、そこそこちゃんと仕事してないと素振りの意味がないから、その辺の差し掛けはちょっと難しいね。
そうなんだよね。事業の実態がないと素振りの意味がないから。
じゃあもうそれは事業会社やんけって話しなきゃ。
じゃあじゃあみんなで起業しましょうって話になっちゃうんだけど。
素振りしたい人たちで。
俺たちの最強のセキュアカンパニーを。
事業はなんかよくわかんない。
やばすぎる。絶対素振りするとこまでたどり着けない。
いやー、世の中うまくいかないですね。
素振り、素振りだけしたいんだよな。
なんか事業の部分は誰かにやってほしいんだよな。
なんか、いややっぱ格安でセキュリティコンサルランキング受けるしかないって。
いやーマジダンピングなんだよな、完全に。
いやーとりあえず、いやーちょっと見よう。
なるほどね。勉強になりましたんで勉強しておきますって感じですね。
以上です。
ありがとうございます。じゃあ次もお願いしていいですか。
環境規制型攻撃について考えるという記事です。
ラックセキュリティホッタニブログさんの記事ですね。
実は去年の話らしいんですけど、環境規制型攻撃っていう言葉が話題になったらしくて、
僕これ全くキャッチできてなかったんですけど、
当時の2024年8月27日にデジタル庁がオーストラリア米国韓国などとの情報連携のもと、
このタイプの攻撃に対する注意喚起を行ったらしいですと。
重要インフラ事業者などに確認を求めたらしい。
環境規制型攻撃っていうのは英語ではリビングオフトランドとかリビングオフトランドバイナリーズアンドスクリプツとか
そういうふうに呼ばれてるらしくて、
用語としては以前からあったらしいんですが、
この記事で改めて整理して有効な対策を紹介してみたいという意図で書かれた記事でございます。
環境規制型攻撃っていうのが何かというと、
一言で言うと既にそこにあるツール群、
例えばPowerShell、WMICなのかな、これ読み方がわからない、
PSXXなどの管理ツール群を主として利用し、
できるだけたくさんの権限、特権の脱出を目指す活動と説明しています。
要はマルウェアを新しく入れるとか、
攻撃に便利なツールをどこから引っ張ってくるとかではなく、
デフォルトで入っているものをうまいこと利用してやるよっていう。
裂かれた場所で綺麗に裂く攻撃みたいなそんな感じ。
なるほど。
さっき確認を求めたっていうふうに言ったんだけれども、
具体的に何を意味するかみたいな説明を書いてくれてたりとかしていて、
大雑把に言うといろいろログとか見てねっていう話っぽいんだけど、
ブログの中、記事の中では具体的にこういうことをするといいよみたいなのもいくつか紹介されていて、
個人的にはやっぱりそうなんだよねと思ったのは、
検知に関しては現状で最も現実味がある方法はEDRの導入だと思います。
やっぱりEDRなんだよなっていうのはちょっと思ったところかな。
ただ導入しただけだと意味がないっていうふうにも書いていて、
これも確かにその通りで、
環境規制型攻撃の検知にあたってはEDRだけでは判断が難しいものこそ重要ですっていうふうに書いてくれてて、
要は不審なアクティビティだけれども正規なものかどうかがわからない、何とも言えないみたいなのが、
引っ掛けることはできると思うんだけどEDRだけでは判断ができないっていうものがまさにこういう攻撃なので、
なんて言ったらいいんだろうな、監視ベンダー任せではないアラート消し込み運用がどれだけ確立できているかがポイントですねっていうふうに書かれている。
インハウスで全部回せる余力のあるところってどんだけあるのかなっていうのはちょっと思ったんだけど、
でもこのEDRがないとどうにもならない部分があるよねっていうのはその通りなんだろうなと思ったし。
なるほどね。理解。
対応策と考察
記事も読みつつ話も聞きつつだったんですけど。
EDRで入れないとスタート地点に立てないって話はあるのかもな、
なんていうか、環境規制型攻撃を正しく理解しているかの確認でもありつつなんですけど、
なんか想像したのは例えば初期侵入なんかしらの方法でやった時に、
弊社とかあとGoogleクラウド、GitHubを使って開発してるんで、
ローカル環境に権限を持ったGクラウドコマンドがあり、GHコマンドがあり、その辺をちょちょっといじって、
いろいろと仕込みなり偵察なりをして、でその中でなんかコマンドが実行されてるわけじゃないですか、いろんな。
うん。
で、いざやるぞってなった時にその下準備をもとにガツンとやるみたいな感じだと思うんですけど、
それを検知しろって言われたら、ローカルで何が動いてるかとかを検知しろって言われたら、
結構多分取る手段、ロゴ取る手段がないなっていうのは普通に思ったって感じと、
まぁでも今話してて思ったのは、いやぁまぁでもなぁケースバイケースなのかなぁ、
なんかそのGoogleクラウドだったらGoogleクラウド側のオーディットログちゃんと見ようよとか、
GitHubもオーディットログ側からちゃんと見ようよとかそういう話もある気もしつつ、
環境規制型攻撃の理解
なんかやっぱちゃんと理解できてないかもしれない気がしてきた。
うん。
この入り口の、その一番最初の入り口はどういうものがあるんだろうね。
うーん、マルウェアを入れさせたり、VPN機器から侵入したりみたいなことが書いてあるね。
初期侵入。だからまぁなんか、よくある攻撃ステップモデリングで言うところの初期侵入というか、
いろんな経路がありつつ。
まぁだからあくまで入った後の話なんだろうな。
環境規制型の怖いところは入った後に例えばガッツリマルウェアを入れてC2サーバーと通信してとか、
そういうことしないから検知しにくいみたいな話なのかなぁ。
うーん、ね。
なんか実体のイメージがちゃんと持っててないかもしれない。
例えばノードJSファイルをちょちょっと置いといて、MacOSのクーロン的な仕組みがあるじゃないですか。
あれでパソコンが起動さえしていれば動くみたいなのとかを仕込まれたときに、
それを、わかんないけど、ウイルススキャナーのシグネチャーチェックプラス振る舞いチェックで、
どこまで補足できるのかみたいなところとかで考えると限界あるよねとか、
なんかそういう感じの話なのかなぁ。
そうねー。
まぁノードJSファイルとか。
その辺は具体的に、具体的なシナリオみたいなのがこれだけだと、
この記事だけだとちょっと読み切れない部分はあるので。
環境規制型攻撃。
セキュリティ対策の重要性
ちょっともうちょっと環境規制型攻撃について調べてみたいというか、勉強してみたいところやな。
アトレンダマイクロさんの記事とかある。
対策側の監視や調査を回避することを目的とし、
持ち込んだ正規ツールの悪用や被害者の環境にあるシステムを悪用する痕跡を残さない証拠。
持ち込んだ正規ツールの悪用や被害者の環境にあるシステムを悪用する痕跡を残さない手法を用いる攻撃手法です。
まぁでもやっぱりありものを使ってやるっていうのが軸なんだろうなぁ。
持ち込んで、FTPでなんかツールキット持ち込んでとかじゃなくて、
ルートキット持ち込んでとかそういうことしないってことだよね、きっと。
この辺を検知するベンダーで働いてるエンジニアとかだったらもうちょっとなんか解像度高いのかもね。
この手法によって何をどれくらい飼いくぐれるかが、
うん、なるほどなぁって感じだよなぁ。
ちょっと読んでる記事貼っとこう。
うーん、よくわからんなぁ。なんか、うーん。
このトレンドマイクロのやつにもPSFZとか書いてありますよ。
PSFZ。
あぁ、AnyDeskとかも。へぇー。
パワーシェルの悪用ね。
まぁパワーシェル結構なんかちょっと全然違うまたアプローチの攻撃ですけど、なんだろうね。
フィッシングサイトかなんかで、とかサポート詐欺かとかでこのコマンド、この手順でこのアプリを立ち上げて黒い画面が出るんでコピペして入力してくださいみたいなのがあったりするけど、なんていうか。
あれとかもまさにちょっと足がつきづらいというか。
ファイルダウンロードさせるとその時点で止まっちゃうから、もうコピペしてバンって実行したらもう、
そういう意味では結構似たような考え方なのかもなぁ。
この記事いいじゃないですか、ちょっと読んでおこう。
何故対策しづらいかとかも書いて、検知しづらいかとかも書いてある。
まぁでも分かりづらいんだろうなぁ。
なんか脅威や威圧とかも書いてあるし、
なんか、
なんか、
なんか、
なんか、
なんか、
なんか、脅威IPからファイルがダウンロードされたとかだったら問答無用で消せるけど、
なんか、正規のユーザーとしてPowerShellのスクリプトが実行されたみたいな、でそれがちょっと怪しいとかだと、
グレーゾーンに入っちゃうというか、そういう感じなんだろうね。
面白い。ちょっと、理解が深まった気がする。
なるほどねぇ。
うんうん。
トレンドマイクロはXTRの方が有効って書いてある。もうXTRが何なの?
エンドポイントに限らずってやつでしょ?
あぁ、ほんとだ。
いやぁ、
これをインハウスでどこまでできるかで言われると、確かになぁ。
まぁ毎回この結論僕は安直に出してしまうけど、
その、まぁ知った上でやっぱ多層防御は大事だよなぁって気持ちもあるなぁ。
まぁそれこそこの紹介してくれた記事でも書いてありますけど、
割と権限管理の部分再分化しましょうとか、パスワードポリシー強化しましょうとか、
なんかそんな特別なことじゃないというか、やれば誰でもできるようなことをやらなきゃいけないよねっていう。
パッチ管理しましょうとか。
うん。
そうねぇ、なんか、うーん、
そうね、インハウスでどれだけできるのかみたいなところに、うーん、なんか飛びついてしまうのもわからなくはないけど、うーん。
まぁ、現実世界はお財布事情との戦いな気がするなぁ、個人的には。
入れた上でその、なんて言ったらいいんだろう、えっと、どれだけ意味のあるアラートに絞れるのか、
えっと人間が少ないリソースで自分たちが判断するべきアラートに絞り込みができるのかみたいなところが多分勝負になるんじゃないかなと思うけどね。
うーん。
まぁそれをする体力をひねり出せるかっていうところもありつつ。
うーん。
この辺は、いやー、APT、そうすねぇ。
うんうんうん。
勉強になりました、なるほど。
コストと利便性のバランス
なんかもうちょっとその本質というか、なんか、うーん、そうね。
いやー、エンドポイントセキュリティ、いやー、時代だなぁ、なんか。
いやもう何でもやるじゃないですか、ロークラーマシンで。
そうね。
で、なんかMacが重くなって開発者から文句が出る。
そうだね。
なー、ガチガチにしてもね、その利便性とのトレードオブもあるし。
利便性というか生産効率なのかな。
悩ましいっすね。
いや1回DRやっぱ運用してみたいな、その現実を見たいんですよね、個人的には。
やっぱ素振りカンパニーが。
そう、そうだね。
リアル素振りしたいな、なんか、自分一人で契約とかできないのかな、わかんないけど、できるね。
ライセンス買えばいけるのかな。
いやー、えー、そんなことできんの。
なんかマイクロソフトディフェンダーとかあったら、金さえ払えば、買えそうだけど。
うーん。
まぁわかんない、ちょっと調べたことないですけど。
うん、ちょっと見てみよう、後でね。
そんな、うーん。
一般、あー違うわ。
だってクラウドストライクとかさ、まずその、
プライシングがさ、出てねーじゃん。
あー、なるほどね。
うーん。
マイクロソフトディフェンダーのEDR画面行ったら、職場か学校のメアドいるって言われて、ちょっとやっぱ企業前提っぽいな。
うん、でやっぱ、あのー、素振りカンパニーがいるんじゃない?
うーん、そうっすねー。
うーん。
素振りしましょう、素振りカンパニー作りましょう。
マジで、マジでプライシングが全く持ってないなー。
価格についてはお問い合わせくださいしか書いてねー。
うーん。
1ユーザーカードとか使えないねー。
なんだ。
あー、でもなんか、今すぐ購入を押したら出てきたな。
ほんと?
うん。コストパーエンドポイント60ドル。
あー、まあ60ドルなら。
年間60ドル。ただ、
あー、年間か。
年契約だったか。
うん、1台で契約できるのかな。
ちょっとやってみてよ。
任せてください。
でも、でも、一番安いやつってそれなんだよ。
で、えっと、EDR機能が入ってるの。
機能が入ってるのがプロなんだけど、
プロになると年間185ドルですね。
おー、月当たり185ドルの年契約ってことだよね。
いや、年間185ドル。
なるほどね。
いやー、それはなかなかやな。
うん。
任せてください。
来週EDRの真実をお伝えしましょう。
3万円ぐらいか今のレートで。
まあ、その前にもうちょっと勉強するわ。
そうね。
はい、そんな感じか。
でも、仮に1エンドポイントで試せるとしたら、
バープスイートが年間449ドルなのよ。
今のレート7万もすんのか。頭おかしいな。
ちょっと勘弁してくれよ。
勘弁してくれよ。
マジか。
前4万とかだったんだけどな、年間。
なんか、セキュリティ製品どんどん高くなってるよな。
ややましい。円安が悪い。
まあまあ、それはそうね。
それはそうね。
お金かけるんだったらバープスイートとか、
お金かけるのはかなりQAラーがあるから、
おすすめなんだけど。
エンタープライズエディション。
うん。
なるほどね。
はい。
はい。
以上です。
頑張って儲けていこう。
それにつける。
いやー、不条理だな。
じゃあ、次は、
カルム記事3つですね、僕からお届けしますが、
ハッカーニュースの
ネグレクティッドドメインズユースト インマルスパン トゥ イフェイド エスピエフ アン ディーマーク セキュリティ プロテクションズ
セキュリティ プロテクションズという記事で、
どういう話かというと、
スパンメールのキャンペーンが展開されてるんですけど、
そのメールに
古いドメインを利用してっていうところで、
DマークとかSPFの
セキュリティ保護を回避してることが 報告されてますっていう感じですね。
なんかさっきの4000のバックドアとまたちょっと違う話で、
古いドメインの話なんですけど、
そういうところですと。
記事はそんなに長くはないんですけど、 そんな話なのと、
あとプラスでフィッシングの、
何回かフィッシング競技会のレポートでも取り上げてる、
QRコードが流行ってるよとか、ブランド語ってとか、
基本的なことが書いてありつつ、
1個知らんなと思ったのは、
フィッシュWPっていうフィッシングサイトで使う
偽の決済フォームを作るワードプレスプラグインがあるらしくて、
これ使うとコードを書けなくても
偽サイトをワードプレスで構築してフォーム作れるのと、
逆に正規のワードプレスにプラグインを仕込むっていうパターンがあったりして、
コードを書けなくてもこの辺も作れる世界に、
フィッシングアザーサービスとかもありますけど、
あるんだなーっていうところと、
古石さんこんな形で使っちゃうんだっていうのはちょっと面白いなと思って
取り上げましたって感じですね。
だからなんかドメインの収穫みたいなところで
この辺の観点も必要なんだろうなって気は、
もしかしたらあるのかもしれないのかなー、
古…ん?
あれこれ結局どういうドメインを、何に使ってんの?
古いドメインをスパムに。
古いというのは?
なんか、例えばその使わなくなって解約されたやつとか、
ドメイン名が変わったサービスとかがドメインを捨てた時に、
マスコミのドメインを捨てた時に、
マスコミのドメインを捨てた時に、
マスコミのドメインを捨てた時に、
マスコミのドメインを捨てた時に、
それを普通に取得して、
で、取得しちゃえばDマークもSPAも登録できちゃうから、
それをやって回避しちゃってるって感じなのかなと思ったけど、
そういうわけじゃないかな。
Dマークって…
そのDNSレコードさえ登録すれば突破できるじゃないですか。
スパムとセキュリティの関連
あれ?違うか。
そうだよね?
Dマークはそうかな。
そうだね、Dマークは多分そうですね。
うん。
で、それが古い必要がなぜあるかというと、
あー。
違うか、手放してるわけじゃなくて、
手放してる?
いわゆる全然、全然なんかその掴みどころがわからん。
えーと、翻訳して読んじゃおう。
元の記事を読んだ方がいいのかもな。
嘘ついたかも、普通に。
えーと、
スパマーが古くて放置されたドメインを使ってるっていうところまではあってる。
うんうんうん。
で、
ドメインの年齢に依存するセキュリティチェックを回避する可能性が高くなりますって書いてあるんだね。
そうだね、だからそれだけなんだよな。
で、
SPFとかはないよっていう風に言っていて、記事中で。
なるほど。
うん。
なるほど。
でも古いだけでSPFとDマークのチェック回避できちゃうのかな。
わかんない。
うーん。
できなそうな感じがするんだよな。ちょっとよくわかんないね。
うーん。
最近の調査。
最近の調査とは。
あー、元記事がPDFな気がする。
PDFだ。
あー、めっちゃ長い。
ちゃんと読んでくるか。
うんうんうん。
なるほど。
解釈ミスってました。
でもなんか。
まあだからSPFとかDキムとかDマークとか見てないメーラーがあるってことなのかな。
うーん。
要はGメールとかみたいにカッチリ見てないようなところがあったりするのかな。
そうだね。
そういうところではドメインのレピテーションを結構重要視していてみたいな話なのかな。
ちょっとわかんないね。
なんか元のレポート読んでるとちょっともうちょっと複雑そうな話かもしれない。
うーん。
日本のピッシングメールとか表示されてる。
えー、ちょっともうちょっと読んでみますわ。
元ネタ貼っておきます。
はい。
難しいなー。
でも短いな。頑張って読もう。
ほい。
すまん。消化不良感を残してしまいましたが。
次にちょっと説明していきます。
えーっと、次はですね。
Banshee Steely Base Detection Using Apex Protect Encryption Argo
っていうブリーピングコンピューターの記事ですかね。
で、Mac OS向けのインフォスティーラーのバリアがあるような話なんですけど
Bansheeってやつがあって、こいつがここでも前紹介したAppleのApex Protectを回避してるっていう話ですね。
で、ここはこの回避のロジックがちょっと自信ないのと
自信ないというか、自信ないんですけど
面白いなと思ったので話そうかなと思って
Apex Protect自体の多分機能として含まれる暗号化のプロトコルみたいなアルゴリズムがあるみたいなんですけど
そのアルゴリズムをこのマルウェア自身に施すことによって検出を回避してるっていう話らしいですと。
でもなんか話としてはそのApex Protectに限らず
特定の暗号化手法みたいなのをあんま疑わないみたいな挙動が
シグネチャーベースとかあるらしくて
なんで、どっかのタイミングに実行するときには暗号化が解くんで複合されて動くんですけど
そのタイミングでももしかしたら動き続けちゃうかもしれないみたいなことが記事では言われてて
可能性があるっていう言い方なんで、実際に検証したっぽいわけではないですけど
まあなんというか、なるほどなっていうところをちょっと思って取り上げたって感じですね
面白いですね、これは
なるほどなーみたいな、まあ木を隠すなら無理じゃないけど
結構なんかそんな、まあわかんない、もうちょっと複雑なことをしてるかもしれないけど
やってることはシンプルというか
それで、なんというか、対応できちゃうんだなっていうのは面白いところだなっていう感じですね
あとなんかこれ自体がSteal as a Serviceっていう、またas a Serviceかって感じなんですけど
買い切りなのかな、3000ドルで買い切りのサービスとして使えるらしくて
いやーなかなかめんどくさいなっていう感じですね
うーん、なんでこれ見つけられないんだろうなー
なんか自己複合するような
なんかそういう動きをする正規のソフトウェアがあるんだろうなーきっと
なるほどね、確かに
で、見つける、それを何というか検知してるとキリがないとかそういう話なんじゃないかなー
わかんねーなー、でも面白いね、これは興味深い話ですね
そうですね、確かに言ってもらった仮説は結構ありそう
そうなんですよ、なるほどなーと思って
まあ手を返しなくは一緒なんですけど
前の話でXプロテクトは不完全みたいな記事もあるみたいな話をしてましたけど
まあこういうこともあるかっていうところと
これがXプロテクト以外でも同じ手法で突破できるのかみたいなのがちょっと気になるなと思いつつ
まあ振る舞い検知も組み合わせて頑張りましょうって感じなのかなーと思ってますけど
はい、そんな記事でした
マルウェアの回避手法
これね、元記事がないんであんまちょっと深いはできなそうなんですけど
はい、じゃあ次最後
まあ緩いなー、緩くはないですけど、まあまあまあ
最後
あーこれか、はいはいはい
そうですね、テレグラムが2000…
ごめんなさい、記事のタイトルはブリピンコンピューターで
Telegram hands over data on thousands of users to US law enforcement
っていう記事で
テレグラムから2253人のユーザーの電話番号、IPアドレスを
米国の法執行機関に提供しましたっていう話ですね
で、なんかまあ2253人って言ってるけど、件数ベースでは900件ぐらいの
多分開示請求みたいなのがあって、それに応じたっていう話かなっていう感じですね
で、なんかその
まあ多分もっと前の背景としては一回CEOの逮捕騒動がありましたけど
その辺でプラポリの変更とかがあって
なんで現状はそのこの開示に対し
開示自体はなんていうか正当な手続きって感じらしいんですけど
それを元に実際に行われた事例っていうところで
まあその開示ができるよっていうプラポリになったタイミングで
いくつかの犯罪組織が離脱宣言をしてたらしくて
これは僕なんか知らなかったんですけど
なるほどなっていうところで
そんな、わざわざ宣言するのちょっと面白い
わかんないけど、なんだろうね
宣言っていうかはあれかもね
そのダークウェブでテレグラムをやり取りに使うよって言ってたところが
テレグラムやめるよって言ってた
それを観測したとかかもしんないけど
なんかそういう話があったみたいですね
なんか継続して使い続けてる犯罪組織もあるみたいなことが書いてあったんで
それはどうなんだろうなっていうところはありつつ
まあ個人的にはどうなんでしょうね
これで大局は変わるとは思わないけど
まあ便利なツールが一個潰れればいいんじゃないって気持ちと
まあだいたいサービスが出てくるだけかなって気持ちと
ただその一般の人がアクセスしやすいこれ系のツールが
有効性が減ってくところはもしかしたらちょっと価値があるのかなっていう部分が
まあ気になりつつどうなんでしょうっていう感じ
難しいねなんか難しいな
テレグラムとプライバシーの影響
難しいね
何が難しいですか
いやそのなんて言ったらいいんだろう
その国とかの機関から侵害されないっていうのが
そのある種重要になる局面っていうのもあるだろうし
一方でそうなるとこうして犯罪者が使いやすくなってしまうっていう側面もあるだろうし
国家の圧力によってそういうものがやりにくくなってしまうみたいなのが
まかり通るとそれはそれで良くないよなと思うし
なんかちょっとこの辺のバランスというか
どうあるべきなのかみたいなのは結構難しいなと思った
なんかどうするのがいいんだろうね
いや結構その
OHTTPの話とか
Appleの一時メールアドレスの話とか
まあまあまあそのユーザー目線でプライバシーを気にするって観点に立てば望ましいことであるのは間違いないんだが
一方でその
ある種トレーサビリティを捨てられてる部分もあって
まああとe2eとかもある意味そうなのかな
運営会社でももう絶対に解けないは言い過ぎだけど
基本も触れないよみたいな状態が
犯罪者にとって都合が良いっていうのは難しいな
何が正解なんでしょうねっていう気は
同意ですね
ソフトウェア特有だよな
そうなのか
分かんない物理で同じこと起きるのかな
あんま起きないんじゃない
iOSのロックの解除の仕組みを提供しないとか
それがソフトなのかハードなのかのあれは結構難しいとこだけど
例えばファイルボルトとかもそうだよね
操作機関としてはそこにバックドアがあったらどんだけ嬉しいかっていう話はもちろんあるはずで
インターネットサービスでもそれは一緒だと思うし
いやーなんか難しいな
でも順当に今のままいっちゃうと被害の方が緩和できなくて
どうしてももうバックドアを作れっていう法律が整備されかねない気もするけどな
難しいね
それこそ闇バイトの話とかもあるわけで
現行法上解決できない部分があれば
なんとしてでも解決するみたいな方向に確かに行きがちっていうのはあるだろうし
利便性以前にね被害が出すぎてたらそれはまあそうだよねっていう
でもじゃあいざそれを考えている国が
何て言ったらいいんだろう
例えば検閲をする側に走ったときにやっぱその
何て言ったらいいんだろう
法律を盾にされるわけじゃん
そうねそうだね
僕の脳みそじゃ解決策は思いつかない
思いついてたら実行されてるって話だしな
それがさその例えばなんか要はプライバシーと暗号館みたいなところには常につきまとってくる話題なわけで
難しいなって思うんだけど
みんなが善良であれば
でもさその善良っていうのもさ
時と場合によってあるいは人によって
その人がどの立場なのかによって変わってくるわけじゃん
そうだね
なんかそうだから難しいなって思っちゃうんだよな
闇バイトなんかね知らずの知らずのうちに加担してるだけであって本人に
いやいやもっとでかい話よ
もっとでかい話よ
その何て言うか
独裁政権下での民主主義活動家とかさ
そうね
どっちが善ですかって
いやー
漫画一冊書けそうだね
うーん
なんかそのレベルでそのなんていうかさ
なんか国の立場としてはそんな奴はけしからんっていう話なわけじゃん
そうだねそうだね
うーん難しいな
でも民主主義国家に生きる我々としてはみたいな部分の話とかはもちろんあるし
なんかその何をもって戦闘するかみたいな価値観はその時々時と場合によって揺らぐものだからさ
うーん
うーん
それでも絶対に許しちゃダメだよねっていうものはまあやっぱあるわけで多分ね
うーん
そうだねまあそのラインがまあライン現行法はそのしかれた一つ一つのラインなんだろうね
なんかGDPRなり
プライバシーと法律の考察
でもそれもそのある種のさその何ていうか
こうまあわからんけどこういう例えが正しいかどうかわかんないけどヨーロッパな価値観に沿って
そうだね
作られたその前世というかその前悪の基準でしょ
なんかやっぱキングダム風に言うとこうありたいという姿を国の国として描いてもらってやっぱそれが法律となって
まあそのもとで頑張るかって感じな気がしますけどね究極
ほうほう
キングダムご存知ない
知らん
名台詞ですよ名台詞なのか名シーンですけど
そうなんです
いやでも真面目に話したらそのこううーんなんかそのまあそうねなんか
まあ決めの問題でもあるんじゃないかななんかある意味その
まあこうやり弁査捨ててもそのこういうものはもう抑え国としても抑えますというか
例えばだけど正解不正解がつけづらいというか
ゼロイチの問題じゃないなって感じはしますね間違いなく
いやーなかなかな
まあでもテレグラムのそのCEOとしてはやっぱりなんか逮捕された記事の時にもなんか伸びてた気がするけど
そのまあ別に国として認められないならその国から撤退する準備はあるよみたいなことは言っていたし
うんうんうん
確かにね
まあ別にそれを容認してるっていう犯罪に使われるのを容認してるっていう別にスタンスではないわけで
なんかまあ作ってる側もその辺のバランスには苦しんでる部分はあるんだろうから
まあだからそれこそその何が善かはその時と場合によって変わるよねって話でさ
構造としては一緒じゃんね独裁国家における民主主義活動家の構図と多分一緒だと思っていて
そのなんていうかプライバシーとかがなんていうか優先されるよねっていう考え方なのかなとね
なるほどね
難しい問題への向き合い方
確かに
いやー
まあちょっとフワッとしちゃったけど
いやでも考えさせられますな
うん
すごいなんだっけ朝まで生討論する番組みたいになりましたけど見たことないけど
難しい
全然見たことない
結論が出ないね
結論出せないね
難しいよでもあなたならどう判断しますかっていうのは常に考えないといけないことだと思うし
そうだねそうだね確かにな引き続き向き合っていきましょう
この触手に切るやな
はい
毎回なんか
まあいい感じにね
いい感じに
毎回何
最後の記事なんか前回も最後の記事思った気がするんだよな
そうだっけ
分かんない気のせいか
軽いと思ったらみたいなパターン
いやー今月はね収録前にも話しましたけどみんなアドベントカレンダーできっと力尽きて
うん
なんか技術ブログがカンコ鳥が鳴いてるんで来週ぐらいからきっと復活するだろうっていう気持ちで
前回の最後の記事はあーChrome Extensionの話か
あー
重いな若干
若干重いな
まあ印象の問題かなんか毎回重いわけじゃないもんね
うん
はい
まあ最後になるとなんか重くしがちなんじゃない我々が
あー確かに
うん
なんかもうこれで終わりだししゃべりたいだけしゃべるかみたいな
うん
そんなことある
分かんない無意識かのなんか
そういう心理が働いてるのかもしれない
確かにね
うん
いやーいいっすね
まあ引き続き何だって向き合っていきましょう
いやーいきましょう
お願いしますよ
はい
じゃあそんな感じで
そんな感じで
はい
じゃあまた来週もやりましょうお願いします
よろしくお願いします
はい
じゃあ皆さんおやすみなさい
おやすみなさい
