1周年を迎えての振り返り
こんばんは、Replay.fm 第50回です。
こんばんは、50回。
50週間。
50週間。さっき話したけど、次がちょうど1年ぐらい。
そう。
違うな、次と、収録BBSで言うと、次とその次の間に1週ね。
そうだね、そういうことだね。
いやー、ようやっとる。
ようやっとるよな、マジで。
それをもう1年続けると何回?
そうだねー。
確かに、そう思うとなんか、1週間って大体50週間なのか。
まあ、そりゃそうか、365日。
あれ、なんか足りてない気するな。
365?
年末年始とかやったっけ?
やってる。
やってるな。
マジでね、多分ね、1回も休まずにやってる。
あれ、365?
いや、でも一番最初だけさ、なんかちょっとあれしたんだよな。
タイミングをずらして。
あー、確かにね。
それとあと普通に52週間と思えば、
今日はちょっとお尻にずらしてるから、
だから51回ならまあまあ妥当だね。
2人目100で3、4。
どうすか?なんか50週間続けて何かが変わりました?
なんか真剣ゼミで見た状態が増えたなって思うし。
記事読んでてもあるし、仕事でもたまにあるかな、なんか。
どっかからこれ共有ですとかこういうのありますって言われた時、
知ってる?みたいな。
言わないけど。
おもろ。プロじゃん。
それはあれですよね。
浅く広く、浅く広めに、
広めにキャッチアップしてなかったところをキャッチアップしていくみたいな部分は結構達成できてる感があるね、個人的に。
点と点をつなげて。
どうすか?八木悦君は。
えー、どうだろうなー。
でもあんま仕事に関係なくセキュリティの話を週に、時間は週によって待ちましたけど、毎週時間取って話してるんで結構面白いな。
記事を読むことそのものより。何ならあんま記事読んでなくて、実は。
読みたいやつだけ読んで、何なら物によってはサマリしか読んでないとか普通にあったりするんで。
どっちかっていうとこの話してる時間の方が個人的には優位気がするな。
なるほどね、いやそれはわかるな。
なんか、そうね、仕事で仕事のことを仕事の時間に議論して深めるのはもちろん価値があるんだけど、
こういう機会って仕事じゃないとしてなんか勉強会とか自分の勉強時間とか、でもなんかセルフ勉強だとやっぱ人と対話はしないから、
なんか話せるとお答え合わせとか、そういう視点がとかね、
僕視点は結構ヤギ足からAについて話してたらBの話が出て、
あ、知らなかったですみたいな感じで勉強になるみたいなパターンだし。
答えのない話題も多いよね、セキュリティは。
そうだね。
そういう動画の話をできるとすごいいいなって思う。
でもなんか意外とこの答えの出なさみたいなもの自体に触れる記事とかってあんまりないなと思うかな。
そうね、直接的に触れる記事はそんなには。
なんかね。
フライバシー周りとか結構毎回ね。
まあ議論は呼ぶけどさ、なんかあくまでファクトを応じるというか。
あーそうだね。
まあニュース系が多いからだろうけど。
確かにね。
セキュリティ領域の両ポエムというか。
なんかコントロバーシャルな物議を醸すような議論そのものみたいなのあんまりなかった。
まあそれで言うとJackさんのブログとかは結構いいな。
確かにね。
長編が多いからなんかあんま触れきれてないんだけど、あったかもね。
あっても触れてないっていうパターンもあるんだよね。
なんかあるかなって思い出した。
考えてて一番最初に思い出したのはカールのAIによるバグバウンティーをね。
あーあったね。
とかは割と。
議論呼ぶ系というか、議論呼ぶ系っていうか、あれ自体が議論というか。
なんかその、そうですねインファースセキュリティとか別にベンダーでもいいんだけど、
その中の葛藤みたいな話とか。
こういう右翼決策だって正解ないけどうちはこれで行くって決めましたみたいな話とか。
意外とキャッチできてないっていうのもあるんだろうけど。
めちゃくちゃ毎週出てくるわけではない。
なんかそういう本当に微妙なところはなんかなかなか表に出しにくいとか出にくいとか。
ね、それもあるよね。
あると思う。
なんか自分も出したいと思ってるけどやっぱ、
ソフトエンジニアリングのブログとかよりはちょっとハードル高いっていう。
表現する術を持たないよね、外に対してこう。
そうね。
またなんかどうしても削られちゃうよね、問題ない形で。
まあそうだね。
コンテキストが。
その、やっぱなんかどうしてもオフィシャルに言えないコンテキストってめっちゃあるじゃん。
なんかその技術面でのセキュリティ塞いの話とか、
立体性とか、
その事業上実はこんな頭かかえるもんだよとか。
いろいろあるんだよしか言えない感じになっちゃうんだよね。
そう。
そうするとじゃあなんかこうしましたっていうところにやっぱり。
どうしても。
うん。
なんか読む人が読めば透けて見えるけど、
その会社としては、
セーフなラインっていうのを、別に責めたいわけじゃねえけど、
そういう意識で記事書こうかなとかいうふうに思った。
人の会社の記事に対して言ったら好きかって言えるからさ。
こういうことなんじゃない、ああいうことなんじゃないってなんか好きになって見えるからさ。
いっぱいいろんな人が入ってくる。
あとはあれだな、ゲストまた呼びたいな。
1年間で結局1人。
そうだね。
誰がいるか。
ぶっちゃけどうすかみたいな。
まあそんな感じ。
1周年を控えたメモリアル会で、
ドメイン復活攻撃の影響
2週間お盆休みだった記事たちも息をきかえし、
今日は旧記事ですよ。
久々ですね。
いやーちょっと途中で眠くなっちゃうかもしれないな。
気合い入れていきましょう。
まあでもね、思いもらった壁も混ぜこぜなんで。
じゃあ上からいきますかね。
いきますか。
ファイトバイ・ブロックス。
カーニュースの記事ですね。
これちょっとごめん、本文実は読んでないんだけど。
サマリで十分です。
サマリで十分ですか。
ほぼタイトル通りっぽい雰囲気なんだけど、
パイパイがアカウントを乗っ取りやサプライチェーン攻撃を防ぐために
1800件の家に切れドメインのメールアドレスをブロックしておくという話。
ドメイン、日本語でもドメイン復活攻撃という名前が通用するかわからない。
これなんかモーションAIのサマリーが。
原文だとドメインリザレクションアタックス。
言ったらこれの翻訳機材ですけど。
ドメインリザレクションアタックスだからドメイン復活攻撃としか表現の仕様がないんだけど、
何かというとある種のドロップキャッチみたいな話なんだろうね。
機嫌切れ、防ぐため、逮捕するために機嫌切れドメインのメールアドレスをまとめて無効化しておくという話です。
なので2FA有効にしてホールバックのメールアドレスを追加してねというのを推奨してるらしい。
2022年にこれに狙われたのかな、話からすると。
2022年に発生した攻撃を受けて同業のリスクを軽減する。
個人的にはいい試みだなと思っていて。
そりゃそうだよなと。
明らかに執行即持ち主が変わったとは言えないけれども、
執行即持ち主が変わっている可能性がすごく高い状態に対してこういう形で対応するっていうのは妥当だろうなと思うし、
セキュリティ面でもいいことだなとは思うので。
また一般向けのサービスで必要かどうかは結構微妙なところかなとは思っていて。
だいたいGメールとかさ、分からんけどそういうのが多分多いじゃん。
そうだね。
一般向けで必要かどうかはちょっと諸説あるかなとは思うんだけど。
そうだね。やっぱ狙われてるっていうのもあるし、歴史の長さみたいなのもあるんだろうなって気はしてて。
やっぱり何年なんだろう、もう何年なのか分かんないくらい。
NPMもそうだけど10年以上は多分あるから、10年前アクティブだった人がやめて放置して、
ドメインも忘れたまま手放したとか全然あると思うし、
それが何かなぜかスターが多くて今大に使われてるとか。
また狙ううまみみたいなのがある。
だから影響範囲がでかいんだよね、きっとね。
そうだね。
1個取れたときの影響範囲がすごく大きくなる可能性があるっていう意味で言うと、
一般向けのサービスとは違った特性に基づく意思決定かなとは思うから。
確かにね、普通のサービスだと1個取れても1個だもんね。
タカが知れてるよなっていう。
かもしれないけど、独自のメインでわざわざメールでみたいな。
パイパイとかあと組織とかもあると思うんだよね。
前何かの記事で、何の記事だっけな、忘れたけど、
ブラックスペース乗っとるとかかな。
あった気がするね。
会社がそもそも畳まれてるとか、
そうしたら所有するパイパイちゃんと畳んでなくてとか全然。
10年も経ってからね、栄光生成あるんで。
いいよね。
NPMとかもやってくれないかなとか普通に思ったわ。
どれぐらい大変なんだろう。
2050年。
まあ2025年6月以降1800件以上のメールアドバイスが書くんで。
まあでもログインIDとして使ってればインデックスが効いてるだろうし。
そうね。
劣化してあれするだけだったら。
あと順々に生きてるか死活確認をしていくのがちょっと大変な感じだよね。
そうだね。
多分最後はブロックっていうよりはきっとあれだと思うんだよね。
これ多分分からんけど、ブロックって使えなくするとかじゃないと思うんだよな。
でもどうなんだろうね。
フリーズ、確かにね、そこは下がりなきゃどうか。
まあただドメイン復活みたいなところをコールすると完全にブロックしないとね。
アカウントアクセスを検証解除、どういうことだ。
検証解除って言ったら。
うーん。
未検証枠。
何をブロックするんだろうね。
ね。
ちょっともっと聞いてみようか。
何気なくちゃんと理解してなかった。
ドメイン復活攻撃を防ぐようになりました。
未検証にした。
未検証にしたってどういうことかな。
いやだから多分確認、いや未確認、検証済みじゃないフラグしたとかじゃない。
そうだよね。
ただ。
それ自体はブロック。
ただそうすると、ドロップキャッチされたドメインに対して多分無料。
あーなるほど、理解した。
だからもう未検証、そういうことか。
アドベス登録して、このアドベスあなたのだよねって検証するプロセスがあって、
それを持って検証済みっていうステータスになってサービスが使えるんだけど、
それを未検証に戻したって話か。
だから、その未検証状態でメアドも持ってないで積むから、
マツエFAでフォールバック設定しとけば、
生徒のユーザーって戻せるって話。
え、でももう事後でしょ。
事後だね、事後だけど。
事後にそのアナウンスとかも意味ないかな。
あーそう、だから事後にツーFA設定するはもう無理だから、
多分二度と取り戻せなくなる。
うん。
セキュリティに関する議論
し、他の人が乗っ取ることもできなくなるっていう。
え、他の人が乗っ取ること?
あーツーFAが強制的に有効になってるってこと?
いや、ツーFAが無かったらもうそもそもリカバリ手段が無いんじゃない?
そうなのかな?一切無いのかな?
多分一切無くさないと攻撃対策にならないよね。
ツーFAが無くて、アドレス取ったらアドレスでリカバリできちゃうっていうのが
多分2022年のやつも言われたことだとするのであれば、
まあそのケースで多分特定の証券一定期間過ぎて
ドメインも切れててとかあったらもう検証戻すっていう話。
あーでもなんか2012年、上の方にさ、さらっと大事なこと書いてある。
あの、これは完璧な解決策ではありませんがって書いてあるから。
あー。
普通に、普通にあれじゃん。
未検証になっている状態でリカバリの経路があるって言うでしょ。
あー。え、でもそれだったら乗っ取りできるよね。
でもほとんどのやり取りが完全に正当なものに見えるような
重大な攻撃経路を探すって書いてあるから、
リカバリが必要ってそのステップ自体を持って
多分なんだか、なんかちょっと怪しいねみたいな検出しうるって。
分かんない。
なるほどね。
いやちょっとなんか記事タイトル過剰な気がしてきたね。
過剰な気がしてきたね。
まあまあまあでもそういうのさっぴいても別にいいことかなとは思うけどね。
うんうん。
2FAの優勝、2番目の優勝したとするか関東。
あと2FAの有効みたいなのを順次進めていったらしょうがない。
2FAの必勢、前より古いアカウント場合そうだよね。
うん。
なるほど。
まあいい話ですね。
えー。
はい。
まあフォールバック、もしバイパイのアカウント持ってる方は
フォールバックアドレスとか2FAちゃんとやりましょうっていうのをやっておくといいですか。
ファストリーとかも連携してるっぽいな。いい話。
はい。
じゃあ次いきますか。
はい。
送ったオープンソースです。
Catalog of Auth0 Rules for Threat Detection.
リーピングコンピューターの。
これも実は、あ、記事さらーっと斜め読みしただけなんだけど
なんか多分認証系のアノマリーディテクションの
ルールになるようなものをオープンソース化してくれてるって話言ったよね。
そうだね、アノマリーディテクションというか
SIGMAだっけ、SIGMAっていうSIEMルールのフォーマットがあって
アノマリーディテクション限らず
ロジックベースのやつとかのルールをオープンソース化して
そのオープンソースのリンク貼ったんだけど
中見るとDetectionsの中にこんな感じで
YAMLなんだね、YAMLで
今何個くらいだ、20個くらいあって
このSIGMAファイルを初めて僕が読んだんだよ
これがオープンソース化されてるって
多分オースゼロ内で
オクタか、オクタ内でたまったそのノウハウとか
知見をもとにオープンソース化してるやつで活用してるって話と
認まってるよみたいな感じの記事だったかな
多分ね、アノマリーディテクションに限らず
アノマリーディテクションが混ざってるから
ちょっとこのファイルを僕が読む力がないんで
なんとも言えんって感じかな
なんかCM引用してるマンとか
多分読んだら一瞬で分かるんだなって感じ
このDetectionsのCM全然分からんマンとしても
このDetectionsファイルのファイル名読むだけでも結構
へーって感じで良かったっていうか
なるほどねというか
例えばどういうのがあるんですか
なんかね、設定オフにしたりダウングレートするみたいなやつを検知するのは結構
なるほどなというか、まぁまぁ確かにって感じで
そのMFAを無効化にしたやつを検知するとか
MFAのポリシーを無効化する
だから多分MFA必須化を解除するみたいなやつだから
とか、あとは
あれだね、なんか複数の電話番号が
MFAに登録されたら検知するみたいなやつが
あと一個、おもろいなって思ったのは
あれだっけ
リスクオブテナントテイクオーバーってやつがあって
これ何かって、テナントが何を指すかちょっと
読み取れなかったんだけど、そのテナントがあって
新しい管理者が追加されて多分一定時間
短い時間
不自然な間隔で古い管理者が消されるって
検知してて、乗っ取りの可能性があるみたいな
ルールとかがあって
多分テナントっていうのは
Googleワークスペースのオーガニゼーションみたいな
そういうのを指してるんだろうね
なんかシームワークランマンでもね
タイトル読むだけで全部わかるなっていう
なんか理解できないのは一通り読むんだけど
無いなって感じだし
出すこと自体にはめっちゃ価値はある
出したら出したらきっと言いたい
まあでも書いてある内容
バレたら困るようなやつはない気はする
バレる、知ってる人は運用してそうな内容というか
バレようがバレないが検知はできるっていう
必ず引っ掛けられる
エラースティックかなんかも
CMのルールをオープンソースにしてて
そっちの仕事だったかどうか忘れたけど
割とパブリックなリソースは結構あるんだなって
気がするな
でも勉強になりましたって感じですね
オースゼロか、オースゼロ用の
検出ルールかな
オースゼロに対して使えるやつって感じ
オークターとオースゼロって
オースゼロの親会社が
オープンソースのセキュリティルール
オークターなのかなって勝手に思ってた
バイシュされたんだ
知らんかった、全然気にしてなかった
いつバイシュされたんだろうね
2023年か2024年、8年くらいだと思う
結構最近なんだね
あれ21年じゃない?
そんなに前か
3月3日
いいね
CM運用してる間には朗報というか
CM運用しててかつオースゼロも使ってるみたいな
こういうのあるかな
仕事で一瞬触ったというか
検証用
結論から言うと導入はしなかったけど
導入を検討してるとき触ったことがあるんだけど
多分
これ大体使ってるようなメジャーなサービスは
プリセットルールがあるんですよ
Googleワークスペースとか
AWSとかGoogleクラウド、クラウド系もそうだし
IDP系もそうだし
その中にオースゼロが入ってなかったときに
多分これやるとめちゃくちゃ楽なんだ
これをプリセットにして育てていくみたいなことができるから
Sigmaがどのくらいメジャーパーツっていうか
いろいろある
じゃあ次
ゼロ知識から挑んだ
remark noneからrejectへ
そして微妙に導入までの取り組み
というウェルスナビのセキュリティチームの方の
ウェルスナビエンジニアリングブログなんだよね
ほぼタイトル通りなんだけど
わりと知識の少ない状態から
なりすましメールが結構多くて困っている状態に対して
remarkの
remark自体はもともと入ったんだっけ
2024年1月に
policy noneで導入して
入ったところから
policyをrejectにしたよっていう話
あとは
最終的にbeamyも導入したよっていう話なのかな
正直
サマリーして話すようほどのことがあるかと言うと
あんまりないかなとは思うんだけど
あんまりないっていうか
読んだほうがいいみたいなやつ
ぜひ読んでみてください
結構やったこととか
ウェルスナビの導入事例
remarkレポートの分析したよみたいな話とか
noneからrejectに変えたよみたいな部分とか
具体的な流れが結構興味深い
分析も最初内製で
PythonとGASでやって
そこでこれはできたけどこれはできなくて
SaaS検討して入れて
リスカートこれができたとか
めちゃくちゃ詳しく書いてくれてるんで
タイムラインも
めちゃくちゃ詳しくて
1月か6月くらいだっけ
あ、2024年の1月か
なんで導入したの
そこから先月2024年の7月まで
どういう流れでやったかみたいな
さっきのお話で言うと
割と出しづらいとこも結構出してくれてるなというか
やりきってるからこそ出せるんだろうな
あと課題からスタートしてるのは
すごい本質的
DMARKやらない意見からやるみたいなのも正直
別になんか不正解じゃないというか
だと思うんだけど
そもそもちゃんと課題があって
その課題をどういう風に分析したのか
みたいな部分もめっちゃ詳細に書いてあって
やらない、ちゃんとやらなきゃいけないっていう
根拠っていうのが読んでても分かるし
またなんかウェルスナビ
サビ性質上そういうことはないと思うけど
社内の説得が必要みたいな場面でもすごく
ここまで整理されてるからやるしかない
そういう意味でもすごくいい整理だなと思ったりしたな
いやーDMARKやな
この辺の話を受けて割と微妙な話が結構
タイムラインが盛り上がってる
そうなんだ
どうなんすか正直僕あんまスタンスを
取ってないとか取れるほど深く考えられない
個人的にはあんまり
どうなんだろうね
どっかのお金の種になってるだけじゃないかな
結局EVSSLと一緒だよね
っていう言い方をしてる人が多い
あーそうだね
ちょっとEVSSLの審査って
当時EVSSL運転の話があったような時代
まだ学生だったので
正直どれくらいプロセスが重かったかとか
あんまり気にしてなかったんだけど
Vimの審査のプロセス自体は結構
それなりに重いというかめんどっちい感じではあって
ただ一方で
Vimを入れたから例えば
全職でいうとメルカリとかはVimに対応してるんだけど
メルカリロゴとかをメールで一切表示しないみたいな
Vimを入れたから他のところが
それができなくなるかというと
どうなんですか
今なんか自分のTwitterのタイムラインで
フォローしてる人のVim発言を見てたら
確かに普通盛り上がってた
見てなかっただけでめちゃくちゃ盛り上がってた
結構盛り上がって
ミツイスミトモがVim実装して
それで見分けられるよみたいな記事を出して
それに諸々してる人がちょこちょこいるわ
確かにね
イブリ先生の話はもう完全に理解したわ
確かにそうなって感じ
どうなんかな
その点Dマークのディジェクトはさ
明確に効果があるわけだ
今の時の普通の環境なら
Vimに表示されてるの見たことないんだよな
自分がデスクトップだと
クライアント何使ってるの
普通にGmailの
メルカリのメール見れば
地味の認証のマーク
ミツイスミとかメール開いたら表示されてるわ
これさ
今見て気づいたくらい普通の人見んのかな
見せ方
その辺は正直見せ方の工夫かなと思ったら
何とも言えない
メールクライアントかプロバイダーの見せ方に
さじ加減握られてると思うと
ここにどこまで頑張る価値があるの
お金もかかるし
メール開いたミツイスミとか
GitHubとか対応してないし
まずVim付きメールみたいな
フィルターが成立しない時点でさ
確かに
確かに
勉強になりましたね
僕は思いますが
証券とか銀行も
どうなんだろうね
それをもって信用できますよ
っていうのは違う
複合的に信頼性を判断するための
要素として提示するところは
可能性としてはないかもしれない
けんごさんツイートで見つけたけど
金融庁でベスプラとしてVimを入れる
みたいなのが提案されてて
パブコメがあるからみんな反対してよ
反対してよじゃないけど
そういう業界の
完全にEBSSLと同じ流れで
クリックフィックスの脅威
学ばなかったのか
ソラハーがその辺は結構辛口コメントしてる
ソラハーの投稿が
いいっす
多分見つけた
あった
そうね似た証拠を取って通っちゃったら
アウトだよね
ありがとうございます
次いきますか
シャモスインフォスティラ
シャモスはよくわからないですけど
リビングコンピューターの記事です
さらっと話せばなって感じなんですけど
去年の12月ぐらいから
こういう攻撃があるぞって出たものとして
クリックフィックスっていうのが
ちょっと何回かピックしたと思うんですけど
今年はやり始めたけど
コマンド一発で
パワーシェルのコマンドを実行できるっていう仕様を
悪用してこのショートカット
キャプチャーみたいな偽キャプチャ画面表示して
突破するにはこのコマンドを打てば突破できるみたいなんで
あるいはインストールするみたいな攻撃なんですけど
それのMac版が出たよっていう記事ですね
中の話を詳しく話してというよりかは
Macにとうとう来たなっていう気持ちで
前々からあったのかもしれないけど
記事のタイトルいろいろさまに見て
Macのやつは見かけたのでちょっとおっと思ったのと
あとついでの雑談なんですけど
毎週月曜に僕
パーソナルジムにコツコツ頑張って通ってるんですけど
ジムの人は当然
一般人って言い方はおかしいけど
ソフトエンジニア人みたいな全然詳しくない方なんだけど
結構個人的にはその人との会話から
結構視線を得られることが多くて
世の中一般の
そうそうそうそう
ハッキングみたいな話とか
他のお客さんとかが
トレーニングラインまで雑談をするじゃないですか
結構雑談してくるタイプの人だからいろいろ話すんだけど
世間のニュースの話とか
燃えてる話とかも話して
普通の人にはそういう風に見えるんだなとか思うんですけど
とうとうクリックスフィックスの話を
この前聞いてきまして
こういう詐欺あるらしいんですよって聞いて
どこで知ったんですかって聞いたら
ニュースでやっててこういう詐欺が流行ってるみたいな感じで
取り上げられてましたって
日本のニュースで取り上げられてるって結構じゃない
ランサムとか取り上げられてるのかな
ランサムは大企業って思うと
個人向けの注意喚起みたいな分析で取り上げられたんだな
なかなか浸透しましたねって
雑談も添えて
共有でした
AIエージェントの危険性
おもろ
どんなことある?
半年で9倍とかいろいろそんな細かく追ってないんですけど
ちゃんと刺さってるっていう
ちなみにMacの場合は
ショートカット一発でコマンドを実行するとかないんで
あれかな
ターミナル開いてこのコマンドの流せ打ち込めみたいな感じの
誘導をしてて
Windowsよりはちょっと騙されづらいんじゃないかなって気はしてるかな
あと被害範囲みたいなのも書いてあったけど
そんなに広くなかった
冷静に考えてみると
DevToolsに
これ入れろが
あんまりここまでは流行らなかったイメージある
これがなんで流行るのかなって今思ったんだけど
DevToolsの場合は
開いてるまさにその環境で
要は
取りたい情報を開いてるまさにその環境で
入力してもらわないと成立しないじゃん
Criticsの場合はそれに限らず成立するから
こっちのほうが刺さりやすいんだね
刺さりやすいし刺せる経路が広いんだね
またInfoSteererとかも多分
何されたか気づかずにずっと動いてるって状態になるから
でNissanのキャプチャー画面は成功したように見せかけて
動かせばいいみたいなことを思うと
結構バレづらいし取れる情報もめちゃくちゃおいしいし
成立しちゃうしみたいな
ところなんだろうなって気がするね
しかも対策もできないしね
ブラウザーがブロックしてくれずに表示しちゃったら
データもされたらおしまいだから
なかなか対策をつけたらWindowsとかAppleだろうけど
まあだいぶ頭痛いよね
はいみなさんもお気を付けください
じゃあ次僕もかな
これ元ネタはどっかのスキャンレキシティっていう
ベンダーなのかな海外のベンダーの
記事なんですけど
クリックフィックスとたまたま続いたけど
クリックフィックスならプロンプトフィックスだろう
だよみたいな感じで命名してて
言ってるんですけど
そうですね
話としてはAIエージェントがブラウザで動く時代が来てますよと
ちょっと矢口さんコメント書いてるけどこの前の
CYXSSで
CYXSSでしたっけ
高格さんの発表だね
オープンAIで買い物をするとか
今週分の記事じゃなくて来週の記事の範疇では出てますけど
クロードコードの拡張機能出たりとか
あと何個かあるっぽくて
その辺に対して
言ってしまうとプロンプトインジェクション成立しますよって話
成立させることで例えばお買い物機能であれば
偽物のものを買わせるとか
偽サイトに誘導してくれから情報を盗むみたいなのが成立するよ
っていうような話ですね
元記事は結構いろいろガガッと書いてあるんですけど
詰まるところを偽サイトに誘導して
偽プロンプトを人間に見えない形で埋め込んでおいて
そこまで持っていければプロンプトインジェクションの話になるんで
ここでも何回も話したようにいろんな手法があるんで
これまでの指示を無視してこれしろあれしろみたいな話とか
そこ辺のイタチゴッコに勝てれば攻撃が成立しますよって話してるって感じですね
多分ブラウザーボットに記事では細かく書いてあるんですけど
本当多分やってることとしてはそれだけかなっていう感じ
細かいとこ詰めるとAI陣とかも防御機構があるだろうか
それを回避するとかいろいろあるんでしょうけど
思ったのはなんかまあなるよねって気持ちと
いやーこれどうすんだろうなっていう
ブラウザーってAIが触る前提で作ってないし
人間が触る前提いろんな積極的機構を組んできた中で
こういうこれは脆弱性じゃなくて
AIがもうがっつりブラウザーを触るみたいな世界線になった時に
その前提は崩れるじゃないですか
結構どうなってくんだろうなっていうのをすごいしみじみに思うし
もっといろいろあるさできそうだなとか思いつつ
一サービスプロパイダーとしてはあんまできることはなさそうかなと思いつつ
そう感じですね
またやっぱなんかやかしが例えばの対策で言ってくれてるけど
結局システムプロンプトとユーザープロンプトを分けらんないっていうのが
なんていうかここでも成立しちゃうんだっていうか
エクスプロイトとか例みたいに見てると結局やってること一緒なんですよね
プロンプトとインジェクションまで持ってきちゃうと
これどうにかならんのかなみたいなこれどうにかならないと
どこで動いても結局最終的には同じ課題にぶち当たるというか
MCPしかり切ったぶりし読みに行ったらプロンプトもある
悪さのあるプロンプトがあるとかそういうのもそうですし
どうにかならんかなみたいな
期待と期待しつつ期待しつつというか
なんかもう対策が必然なんじゃないかなと思いつつって感じですね
セキュリティの重要性
ねえなんとかなるのかなこれ
ねえなんとかなってほしいけどねえ
このイタチごっこいつまで続くんだろうね
もう9月ですけど年末までに落ち着くのか
ちょっとこれもともと使ってないけど
自分が個人で使う範囲中でどこまで何を預けるか本当にちょっと難しいなって気持ちで
クレーカー情報とかログイン情報預けるのちょっと僕は怖いなと思っちゃうんだけど
もしかも買い物サイト側が安全な
いやでもなまあいいや
ちょっとガードレールが欲しいなと思って
まあでもなんか多分
わからんねえ
わからんねえ
わからん
見守りたいという気もしてる
でも2月ぐらいからまあでもなそうね
本当どうなんだまだっていう
またやっぱなんかなんかダメな話だけど
派手にやられたっていう話が出てないのが気になるもんどうなんだろう
この記事もそうだけどそのあくまで実証実験っていうか
レポーティングみたいなところから
まだなんか脅威としては
このポッドキャストのアンテナの範疇には実は入ってきてないっていうのは
結構気持ち悪いなっていう
まあつまりそんなになんか心配しなくていいのかどうなのかみたいな
なんかところもまず気になるし
言うてググって出てくるようなプロンポットインジェクションの手法でさせるほど甘くはないという話があるとすれば
まあ攻撃者側のナレッジとか技術が追いついてないとかはあって
時間の問題なのかプロンポットインジェクションアザーサービスみたいなのが出てきて派手にやられる
そういう未来があるようなのかな
今はなんかホワイトハッカーが全力でボコボコにして
LLM側は頑張って対応してみたいなループが回ってるみたいな感じなのかな
はいはい
お気づきください皆さん
AIでお買い物するときは
いやーなんか
先行きがしんどいな
そうだね
まあまあでもなんかプロンポットのチューニングみたいなのも進んでるのと同様に
なんか結構手法自体も確実な方法ではないんですよ
それなりに覚悟とかこういうのを防ぐことができる手法ってどんどん出てくるだろうから
意外と何とかなっちゃうんだろうな
そうだね
黙ってやれるわけもいかないだろうしね
ちょっとおもろいよな
本質的に防げないけどリスク軽減みたいなのとか
特定の手法を防ぐみたいなのは結構いたちごっこなんだよな
面白いですね
はい
ありがとうございます
じゃあ次
次は守るから攻めるへ
セキュリティエンジニアがビジネスに攻撃
雷エンジニアの技術
はい
これは私読んだ結果
読みたいに追加しなかったんだけど
どうでしたか
まあなんか
いい記事だなって思ったんですけど
まあなんかおさらいみたいな感じ
誰にとってのおさらいかというと
僕にとってのおさらいって感じなんですけど
ビジネスあってもセキュリティだよねみたいな話と
ビジネスに対して考えたときに
どう先回りできるのかみたいな話なのかなと思っていて
普通にいい記事だなと思って紹介したかった感じですね
めっちゃなんかこれがあって話じゃないですけど
詰まるとこするところがいいなと思っていて
1個の話は完全にカニーさんの
セキュリティチェックシート100本ノックを
ちょっとあったり思い出した
100本ノックをなぜやるのかみたいな部分は
スライドだと表現しきれなかった
スライドからだけだと読み取れなかったけど
まあこれがある種の
1つの答えなんだろうなというか
記事に書いてあるところとしては
セキュリティチェックシートが
お客さんが求めることを気にしてることだよね
っていうのがあってそこに対して
なるべく100点近い回答を出すっていうのが
お客さん自身の価値を取るところにもつながるし
またターゲットが変わると
セキュリティチェックシートの内容も変わってきて
その後オノストビジネスに求められる
セキュリティ要件も変わるっていうのは
察知できるよねって書いてあって
まあ確かになっていうところは
すごい思ったりしましたね
セキュリティエンジニアの育成
なんか弊社は
セキュリティチェックシートの前ですが
事業形態上そんなに多くないから
そうだよねそうなんだよね
正直こういう視点はあんま持ってたことはないというか
持つ必要性が出てきたことはないなって思っていて
そのなんだろうな
悪く言えば打ち返す
それをどう打ち返すかっていう
一つのチケットとして完結してしまうんだけど
カミラシさんとかそれ以外の
ロングテールの事業とか契約企業とか
それなりに多い事業で月10枚20枚裁くってなると
こういう視点はものすごく出てくるし
面白そうだなと思っている感じですね
はい
またなんかこの西川さん
多分1人目セキュリティエンジニアだったんだけど
マネージャーと言っていて
カミラシのセキュリティチームが育って大きくなったんだなっていう
すごいジャスト感想というか
勉強会とイベント企画
あとブラックカットUSAで
しれっと発表してきたみたいな書いてある
強い
いい話だなって
そういう活動は絶対やりたいんだよな
やろう
なんかさ
わからんけど
まあねやるか
勉強会を主催したいわけじゃないけど
自分の打席を作るために主催したいなって
えらいね
なんかちょうどいい打席が見当たらないんだよね
結構個人的にはなんかもう
いっかなっていう気持ち
自分自身としてはね
なんかわからんけど
散々学生の時に色々やったしな
今は今でやりゃやったで
また新しい学びとかもあるんだろうけど
どっちかっていうと内なる自分と見つめ合う時間の方が欲しい気がしてて
なるほど
全然興味が
今は興味があんまり持ってないので
登壇とかってこと
シンプルにえらいなって思うんだけど
まあ目的やったら登壇になるから
全然それはいい
そうだなって感じがする
打席
SMJPとかいってる?
そうね
行くは行くでいいんだけど
なんか
まあわかんない
気にしすぎないかもしれないけど
なんだろうな
既存の
勉強会は怖いっす
怖くないよ
SMJPはね大丈夫だと思うよ
直近のスケジュールとか
見てみーよ
もうだってなんか
オンラインめっちゃやってんだな
オンラインもやってるし
4トピックで
そのうち3つは
同じ人がしゃべってる
あーなるほど
ほんとだ
全然なんか
ノリ的には
余裕で大丈夫
なんか
よしよしの話じゃなくて
間口が広いっていう意味で
間口が広く敷居が低いっていう意味で
なるほどね
あーちょっと行ってみよう
オンラインは全然
ちょっと突っ込んでいきます
うん
なんか出席が
シンプルになんでもいいから出席が欲しい
いい場なんだ
結構ブログの延長線上で話せる場かな
昔々何回か行ってた
感じの記憶だと
うん
僕の発言の心としては結構
その
1年前から2年前に
ブログとセキュリティ
ん?
スタートアップセキュリティミートアップ
みたいなタイトルで
勉強会を主催した時に
なんか良かったなというか
あれだよねグラファーとユビと
ペニックスで
なんかこれぐらいの場所で
こういう話がしたいみたいな
イメージがめっちゃ湧く場というか
うん
まあでもそれそうなんだよな
自分で主催してるから
見えちゃえ
いやなんかたまにさ
このポッドキャストの
このポッドキャストを聞き返してると
うわなんかすっげえ面白いなこのポッドキャストって思うんだけど
それに近いよね多分ね感覚的に
確かに確かに
それは自分が喋りたいこと喋ってるんだからそれは面白いに決まっとる
間違いない
間違いない
リプレイオートFMミートアップもするか
あー
まあなんかやってもいいけどな
オンライン
なんか
もう今回は間に合わないけど
記念タイミングで公開収録とかする
いやでも公開収録怖いわやめようやっぱ
誰も来ねえわ
なんかやらかし発言しても
カバーできないよ
あー
そう
あー確かにね
公開パートとクローズドパート
あー
いや分かんない
すごいちょっといい距離だけど
でもなんか勉強会主催
自体は普通にしたいな
なんかね主催すんのは嫌じゃないんだよね実は
あーそうなの
なんか別に登壇にあんまり興味が持てない
はいはいはい
じゃあ主催お願いします登壇するんで
なんか会場説明とか
するよ
はははは
会場説明は
会場説明は任せて俺得意だから
ふざけんなよ
もうちょっとやろうよ
受付得意だから任せて
まあまあまあ
そうね
ギリ仕事文句言えないラインにせめて
うんうん
あと椅子並べるの得意だから
はははは
大事な仕事ね
意外とやんない人はやんない
今会場会場がな
せっかくならオフラインでやりたいんだよな
オフラインかつ
オンライン配信もやりたい
できれば超めんどくさいけど
そうねそうなるとなんかちょっと
スポンサー欲しくなるんだよな
スポンサー欲しいな
ちょっと重くなる
なんかなんとかx社の方に
はははは
どこの方だろ
オフィスの綺麗ななんとかx社の
はははは
そうするか
なんかでも
まあどっかと一緒に組んでやるとかも
全然ありかな
そうだね
質問上がる気するしね
はい
そんな感じです
あとはなんか
全く関係ない
記事と1ミリも関係ない話になってきちゃったけど
継続してやりたいのか
短髪やりたいのか
結構組み方変わるなと思って
あーそうね
いやー悩ましいな
なんかやれるときにやれるぐらいが
いいなもし俺がやったら
そうするとでもなんか
人集めようと思う
そこそこその伝説的存在になる必要が多々あって
渋谷xssとかさ
もうほってやると
わって人集まったりする
定期開催で
ちゃんと人集めるって結構難しい
そうね
まあでも何回やってみたかな
なんか前のねスタートアップセキュリティミートアップね
その点すごい
ちょっと自信はあるんだよ
なんかイベントとしては無名でも
うんあれ良かったよ
なんか良かった
我ながらも
うわ混ざりてー
と思ったもん
あーそうだよね
混ざってほしい人無限にいるからさ
ある種そのコンテンツの供給も
全然途切れないもん
スタートアップじゃねーな
もうあそこってのが
スタートアップと言ってそんなに
まあでもなんか
スタートアップセキュリティミートアップに
昔スタートアップだった
クリックシャギング攻撃の脅威
ところが来るっていうのも
面白いよね
全然ありだと思う
なんかめいめいもなんかめっちゃスタートアップ絞りたいと思ったっていうよりかは
その
あーいう話聞きたいよねって人に
誘いそうなタイトルを意識してたというか
割とコンテンツから
逆算して戦略的に
決めてるから
全然絞りは無くていいというか
やればいいんだな
スタートアップセキュリティミートアップボリュームするよやろう
やろうやりましょう
いつやりますか
10月
10月は
ありかな
ありだね
頑張ります10月オフライン
オフラインが難しかったらオンラインで
何話そうか
リプライフェーム
ポッドキャストやってる話かな
ポッドキャストやってる話でいいか
LTっぽさがすごいけど
うん
まあまあまあ
時間が広がるんで
収録終わりに相談させてください
なんか5分枠
15分枠30分枠
みたいな感じかな
テーマで絞ってパネルディスカス
面白かったな
一方で
いっぱいいろんな話
緩く
緩めのテーマ決めて
そうだね
15分トーク
3問4問
僕とSPSの
セルフホストの話かな
やろう
あれは
ブログ先に書いちゃう
ブログも書いて
おしゃべりもすればいい
あれマジ
語りたいことがバカほどあるな
あれの話は
ブログ書いて
発信して
リプライフェームでも取り上げて
喋って登壇もしよう
私
ああいうの
出してくれるだけありがたい
正直自分で作ってると
結構時間かかるし
めんどくせえ
週末でちょっと
進めてたけど最近書き進めてない
自分で作るやつ
結論使うしかなかったんだけど
一方で
もう一個の結論として作り直して
という気持ちが普通にあるから
まあ難しい
聞いてる人には伝わってないから
ブログを楽しみに
なんか遭遇することがあったら
直接聞いてください
真面目に向き合わないと
いいとこ悪いとこ
わかりにくいから
いい記事でした
いい記事でした
それこそ
それこそ無理矢理
やってるってわけじゃないけど
神田さんの西川さんとか
ぜひチームの人も話してみたいから
そうだね
スタートアップセキュリティみたいなやること
そうだね
パスが僕はないので
この記事読みました
お願いします
じゃあ次いきますか
これ最後かと思ってた
次が最後
まだ結構あるな
残り2つは
これが割と最後の
中粒 大粒とか言うんですけど
メジャーパスワードマネージャーズ
キャンリーとログインズ
インプリックシャギングアタックスという
リビングコンピューターの記事ですね
これ記事 タイトル今読んでもらったけど
タイトルはちょっとつりっすね
なぜつりかは解説していきますが
元ネタは
DEF CONだっけな
DEF CONで
DEF CON 33で発表された
プレゼンテーションで
これはどなたなんだ
元ネタは
マライク
元ネタのブログのリンクは
後調べたんですけど
見てもらえるって感じなんですけど
話としては
各種パスワードマネージャーで
クリックシャギング攻撃を
用いることによって
後で詳しく話しますけど
対象としては個人情報を
クレジットカード番号を
条件が整えばログイン
情報っていうのも
盗まれる
盗める攻撃が成立する可能性があります
発表しましたって記事の
話ですね
ちょっと詳しく
せっかくなんで話したいんですけど
どういう
クリックシャギング攻撃って
詳しい方には
社会人説法ではあると思うんですけど
iFrameで
重ねてユーザーから見たら
クリックしたつもりのない
ログインボタンなのか
何か操作するボタンなのか
クリックジャッキング攻撃とは
っていうのをクリックさせて
攻撃を成立させる
スーパー作業とそういう攻撃だと思うんですけど
今回のパスワードマネージャー
っていうところに対する
クリックシャギングの攻撃に関しては
iFrame方式と
Web方式じゃないな
DOM
DOMベースト方式
そんなDOMベーストっていう
表現をしてた
そうだよね
日本語訳するとDOM方式なのか
ちょっと分かんないけど
DOMベースト方式っていうのがあって
iFrameは
みんながよく知る
ヘッダー付ければ
現代だったら対策できるやつが
成立させて
こっちは結構限定的で
なるほどなと思ったんだけど
まず前提
ワンパスワード
パスワードマネージャー
何を狙ってるかっていうと
パスワードマネージャーの
拡張機能を狙ってる
なんで
パスワードマネージャーの
Webサイトをハッキングするとか
クリックシャギングをするって話じゃなくて
拡張機能を入れてる人に対して
クリックシャギング攻撃する
っていう前提があって
その前提において
iFrame方式は何を狙ったかっていうと
Chrome Extensionに
Web Accessible Resourcesっていう機能が
機能というか設定があって
Manifest上に設定できるんですけど
それを設定すると
何ができるかっていうと
その拡張機能からアクセスできる
HTMLとか画像とか
CSSのリソースっていうのを
設定できるんですよね
設定して
めっちゃ掘ってないけど
僕が想像したのは
例えば拡張機能使ってるときに
設定画面に飛ぶとか
拡張ワンパスアウト
僕はワンパスアウト使ってるんですけど
ワンパスアウトで拡張機能上で
特定の
ポップアップで完了しないような
複雑な機能を設定しようと思うと
ワンパスアウトのサイトのほうに飛ぶとか
多分あの辺が絡んでる機能
とか設定なんだろうな
と思うんですけど
それに関して
Manifest V2方式だと
それにアクセスできる
リソース元のオリジンの
設定が
ないのかな
V2はサポートされたりもしくはオプショナルになっているので
iFrameでの
グリックジャッキングが
成立してしまうっていう話があって
こっちに関しては
数ある
パスワードマネージャーのうち1つが回答していて
報告して報償金もらって
修正するっていう感じの
話がありました
DOMベースト方式の解説
というのが1つ
こっちはあったんだけど
もう今は解決済みだし
ただ
これから話すDomVest方式も
同じなんですけど
これはパスワードマネージャー以外の拡張機能
でも本質的には同じことが起きるんで
知識としては拡張機能
作るとか
そういうふうに知っておいてもいいかもしれない
ちなみにV2だと
V3だと
オリジナルの設定の必須になっているので
このリスクっていうのは同じでなくない
V2ってさ
だいぶ古くない
だいぶ古い
まだ生きてたってこと
このポッドキャストでも
多分3、4ヶ月前ぐらいに話したけど
V3に
おぼろぎに浮かんできた
おぼろぎに浮かんできたわ
でも拡張機能開発者が
なかなか対応しなくて
だからV2を潰せてないって感じ
なのかな
今どうなんだろうね
移行状況
でV2だと
V3に
移行しちゃうと
広告ブロッカーとかが
かなり手足が縛られて
多分反発とかもあって
いろいろ立て込んでて
どう
なってるんでしょうね
わからない
まあそう
V2は全然現役って感じ
今回もV2で
条件が成立する
パスワードマネージャーが
一つありました
っていうのが
iPhoneの方式で
どっちかっていうと
DOMベスト方式のほうが本丸で
こっちは何かっていうと
パスワードマネージャーの拡張機能を
使ってる方は想像できると思うんですけど
例えばログインフォームとかで
フォームにフォーカス当てると
パスワードを入力するみたいな感じで
オートフィールみたいなのが
出てきて あれは拡張機能で
DOMを描画して
っていう風になってるんだけど
それを透明にするとか
何かと重ねるとか
場合によっては
全画面に表示するみたいなのをして
ユーザー目線は
クリックしたつもりがないのに
クリックさせるっていうのを
成立させるためのJSを
差し込む攻撃方式って感じですね
JSを差し込むって言ってるんで
JSを差し込めるサイト限定になるんですけど
一つ目の
一番成立する
分かりやすいシナリオとしては
単純に攻撃者が
自分のサイトに誘導します
そのサイトにはさっき言った
JSが差し込まれていて
そこで
クリックをしてしまうと
個人情報もしくはクレジットカード番号が
盗めるっていうのが一つ目のシナリオ
なぜ個人情報とクレジットカード番号を
盗めるかで言うと
その二つに関しては
ドメインとひも付けられていない
リソースだから
どんなドメインでもオートフィルされちゃうし
ユーザーはそれに気づかずに
クリックしちゃう
っていう感じ
成立するっていうのが一つ目
これは割とまあまあ競技だよね
ところと
もう一つは条件付きで
ログイン情報も取れるっていう風に
最初説明したんですけどそれがこっちで
正規のサイト
なんだけどXSSが成立したら
さっき言った
JSが差し込めるので
同じようなロジックで
ログイン情報を盗むことも可能になります
あとは
そうだね
XSSが
まあいいや
XSSが
XSSが
サブドメインも
対象になるかどうかもさ
サブドメインも対象になるって書いてくれてるけど
これはパスワードマネージャーが設定しない
そうだねパスワードマネージャーが
設定しないんだけど大体のパスワードマネージャーは
デフォルトだとオンになってる
から
記事で書いたってなるほどって思ったのは
それが実際あるかどうかは
言及されてなかったんだけど
例えば
なんかGoogle.comの
例があったんだけど
Google.comにXSSを指すのは無理なんだけど
Googleのサービスって
色んなサービスがあって
Googleサイトとかで
ホスティングしたら
何たら.何たら.サイト.Google.com
みたいな
サイトにのJSONを
差し込んでホスティングすることができるんだったら
まあまあ
攻撃しない理由としては
あり得るって話しちゃったり
まあまあそれはタイム限定的であると思うけど
また普通にサブドメイン
ドメインテイクオーバーをするとか
対策とアップデート情報
って感じかな
あとは
一部の
得点状況に成り立つとパスキー認証も
悪用できたって話があって
これはもはやクリックジャッキングじゃなくても
クリックジャッキングじゃない
話だなと個人的に思ったんだけど
どういう話かっていうと
サインダー参照を
これそもそもJSONを差し込めてるんで
そのサインダー参照を盗んで
手元に持ってきて
手元認証
通しましょう
っていうことが書いてあって
これは
あれかな
記事中の図を見てもらうと
わかりやすいんですけど
クライアントから送られる
ちょっと待って
これか
そうですね
サーバーから送られる
サーバーからチャレンジを返すときに
その
チャレンジを送り返すセッションと
紐づけて保存してないと
他のセッションから
そのチャレンジに
基づいたサインダーサッションが送られたときに
検証が通っちゃうから
クライアント上のJSONで
盗まれちゃったらアウトだよね
っていう話書いてあって
はいはい
ちゃんと理解できてる自信が1ミリもないけど
一旦入って
もうめっちゃ
多分そのはず
空で
うんそうだねと言えるほど
パスキーを理解してないですごめんなさい
成立はシールド
なんでこれはクリックジャッキング
というよりかもはや
正規のサイトで
任意のJSONを差し込んだら
別にパスワードマネージャーじゃなかろうと
成立するはず
端末のパスキー
そのはずかな多分
今回のスコープには入るようになってるので
書いてあって
なるほどという感じの
記事ですね
対応状況は
多分最新化されてないので
なんとも言えずなんで
拡張機能を使ってる方は
ご確認くださいという感じなんですけど
個人が打てる対策としては
オートフィルをやめる
っていうのが書いてあって
拡張機能によっては
その拡張機能ボタンをクリックしたら
初めてオートフィルが出るみたいな
セットとかができたりするから
そういうのやるといいですよと書いてあるのと
日付的に今週分の記事じゃなかったんだけど
ひも付いちゃったの持ってきたんだけど
ワンパスワード側からは
アンサーブログが来ていて
この記事を引用してるわけじゃないんですけど
実質
クリックジャッキングの話
ワンパスにおいてクリックジャッキングがどうなったか
みたいな話の記事を出してて
ワンパスの修正は
オートフィルを押したときに
ポップアップが出るようになったみたいです
なんで
見えてるときにクリックしてもそうだし
クリックジャッキングが成立しちゃって
押したときに
ユーザー目線はクリックしたら
ワンパスの情報を使えますか
っていうポップアップが出るようになって
なんで
なんだろうな
クリックジャッキングに引っかかった
もしくは何かおかしいことが起きて
っていうのが分かりやすくなったよ
っていうのをアップデート出して
というわけですね
これちょっと手元でまた試したいな
ワンパスワードのバージョンが再進化されてれば
試せそうなんだけど
いいロゴインフォーム
はい そういう記事です
ワンパスワードのフォーム
ありがとうございます
脆弱性と対応状況
ありがとうございます
なるほどな
という感じというか
またなんか
個人的には前提条件としても
そもそもその怪しいサイトに誘導される
っていうのが
第一条件には
基本的には
XSSが成立するケースじゃなくって
あるのかなって気がしていて
今すぐ何か
混ぜるぞって
騒ぐべきかと言われると
ちょっと悩みだな
っていうのは正直
一番最初に読んだ時も
なんかフィッシング系つけましょうで
でも言ったら
後で
自由度は
ちょっと上がったってことかな
誘導できた時の
個人的にもなんかちょっと
そんな感じの感触を
見た瞬間に
思ってたので
そんなにめちゃくちゃ
積極的に追いかけた
うん
そうなんだよね
あとは各社がどう
対応してくるかって感じかな
あの
ワンパスは対応したけど
この記事書いた時には対応してないとか
うーん
このブログを出した人は
半分ぐらいはまだ対応してくれてない
みたいな感じで書いてて
だから図だけ見るとちょっとインパクトが
でかいというか
星取り表みたいなの書いてて
ほぼほぼ全部真っ赤になってるんだけど
まあ
うーん
この星取り表ほど
めちゃくちゃ深刻なことが
これから起きるかと言われると
まあ一つリスクが
増えたぐらいの
ブラックアウトだったっけこれ
デフコンか
まあなんか
デフコンとかブラックアウトには結構
盛り上げがちだから
なんか一定そういう補正もかかってるよね
とは思って
どうなんだろう
まあなんか
すごいこの方とか
他の数記事を書いた人を
嫌々するわけでは全く
嫌々する人はないんだけど
結構やっぱなんだろうな
これ脆弱性があるよってなった時に
それのスコープは
影響範囲は漏れなく
書くというかさ
なんだろうな表現は難しいんだけど
パスキー認証の話とかは
そうなんだけどスコープには
入ってるんだけど
元々なんだろうな
あり得たものが
なんだろうな
今回スコープに入ってるよみたいな
話であって
ブログの書き味的にはなんか
こういうのがあったからこれも危ないよみたいな
読み方ができちゃう
そういうのは結構
割とあるなっていう気がしてて
うん
冷静に
本当にどう危ないのか
みたいなのを考えた時に
記事の
熱量とか
論調とか
どんぐらい下がってたのかな
僕は見てないんですけど
そういうのにめっちゃ流せる必要はないかなって
記事を
読んだ感じは思ったかな
もちろん備えるに行くことはないし
個人にできることがあるっていうのは
ちょっと明確で
割っちゃうと
感じですね
この元記事研究
自分がフォローしてる人も
元記事研究してる人1人しかいなかったな
マジで
これから派生した
ニュース記事をみんな見てると思うんだよね
うん
でそうだ窓の
なんだっけ窓の
なんていうんだこれ窓の森
窓の森とか
みんなの目につくようなところでも
あの
取り上げられてるから
こっちの記事どんな感じで書いてんの
なんていうんですか
うーん
そうね
まあちょっとこれだけ読むんだけでしょ
正しく理解したとは言えない
よな正直
これ以上正しく理解することを
知識がない人ができるかと言われると
まあ難しいから
こうなっちゃうのは分かる
うーんそんなこともあるんだ
で済ませるんだったら別に
これで十分かなと思うけど
うーん
なんかこういうとこだとさ
悪いコードが埋め込まれてるサイトに行っちゃったらアウトだよ
って話が書いてないけどさ
うんそうだね
そこが肝心なんじゃないかなって個人的には
思ってるんだけど
うーん
うーん
まあまあソフトメンテコーバーとか
はい
はい
英国政府のエンクリプションパクト
最後に記事
まあささっと行きたいわけじゃないんだけどささっと終わるだろうな
って記事
英国政府が
エンクリプションパクトは
オーダーアフターユーエス
セイベル
リバティーズプシュバ
リバティーズプシュバ
ありがとうございます
はい発火ニュースの記事かな
だいぶ前に読んだやつの
続編っすね
おさらいするとイギリス政府が
US製品とかではなくて
あらゆる製品
ソフトウェアに対してテロ対策
っていうのを
大義名分として
暗号か通信のバックアップを
要求するという法案が
提出されてたっていう
その法案の内容自体は
政府が要求したら基本的には従わなきゃいけないし
その政府に従って
爆弾を用意したっていうことを
公開してもいけない
秘密を守らなきゃいけない
みたいな感じの
なかなかシビル
パンチの効いた法案が出ていて
賛否両論があったって感じなんですけど
最終的にはこれを撤回しました
決着が続きました
ニュース
アメリカ側から声明が出ているみたいで
アメリカ側から声明が出ているみたいで
アメリカ側から声明が出ているみたいで
多分やり取りして
基本的に反対して
基本的に反対して
アメリカ側から
米国市民の保護データのアクセスみたいな部分もあるし
またAppleに関しては秘密と言いつつ
多分Apple側の
リークなのか何なのか忘れたけど
要求されたって事実で確かパブリックになってて
なんでそれも
撤回して戻るって事ですかね
そうだね
Appleの
データ暗号が
5Eのやつが
UKだけ有効にできなくなってたって話があって
これおかしいぞってなったみたいな
みたいな話か
はい
まあまあまあ一月一月
まあそりゃそうだよなって
ちゃんとなってよかったなって個人的には
思ってた感じかな
広告ブロッカーに関する判決
ありがとうございます
用を見つけてくるよな
全記事サマリーは
一応読んでるからね
読むって言ってますの
読むって言ってますの
そう
わかんないです
めっちゃカッコつけて言うと
即読術なのかな
一文字一文字は読んでないけど
パッて見てさ
これはっていう
読んでるとだんだん
RR記事のようなのが分かってくるんですよ
40ネットとか入ってたらだいたい飛ばしてて
あーVPNの脆弱性ねみたいな
低等性
教育グループが
情報としては入れるけど
なんかこれ系とか
政府とかバックとか
あーあれかみたいな
これはなんかあれかもね
読み続けたせいかな
これキャッチできる
はい
最後は
なんかいい
さっきのいいニュースと断じるから
個人の主観によるところですけど
対照的な記事を持ってきてしまったのと
今気づいたが
モジュラー・ウォーランス
ブリーピング・コンピューター
ブリーピング・コンピューターの記事で
確かに日本語なんかの
メディアニュースに回ってたけど
ドイツの裁判所が
ブラウザベースの
広告ブロッカーを著作権侵害
であるという風な判決を
下して
広告ブロックすんな
みたいな判決を下そうとしてる
っていう話です
ことのほったは
広告ブロッカーに
怒りを抱いている
メディアなんですかね
広告ブロッカーを提供している
会社を提訴してて
これ多分なんか
手を返した中で提訴してるっぽくて
今回は著作権法違反
っていう切り口で提訴してて
根拠としては
自社が提供している
ウェブサイトの情報を
勝手に改ざんして著作権侵害してる
みたいな感じで提訴してる
なんと無茶苦茶なっていう感じなんですけど
これを
裁判所が
OKしちゃったのかな
そこに対して
日本で言うと拘捕みたいなことをして
最新で走ってるっていうニュース
コイン配分を
すごく思い出したなっていうか
広告ブロッカーに
ビジネスモデルが脅かされてる
っていうのは分かるし
そっちの気持ちは
すごい分かる
だけど
一方でこれが成り立っちゃうと
いろんな前提が崩れるよね
広告ブロッカーに限らず
ありとあらゆるドムをいじる者は
訴訟されて負ける可能性がある
っていう反例になってしまうので
ちょっと
頑張ってほしいなというか
っていう感じですね
耐えてほしい
コイン配分のときは日本から逃げるか
とかすごい半分冗談
半分本気で考えてたけど
同じようなことが起きるんだな
って今まで自分が知らなかっただけ
かもしれないけど結構
パンチの効いた
トピックだなと思って
著作権しんごいか
いやー
もうちょっと
いいモデルを増して
構築できないものなのかな
とは思うんだけど
そうね
AIが
浸透世界がいくところまでいったら
クラウドフレアの
課金しただ
AI経由で見れるみたいな
なんかあれが
マジで成立したら結構
広告なしで
メディアは成り立つとか
なってくれないかなと思うけど
広告主たちはめちゃくちゃ困ると思うけど
どっかには残り続けるとは
思うんだけど
ウェブの
ウェブがどうなるか
ウェブが広告費用で儲けられるのか
いやー
これも
僕のアンテナが眠らなければ
続報がキャッチできるかもしれないんで
感じです
はい
いやー今週は楽しかったな
いや今週もっていうか
別に先週は楽しかったわけじゃないけど
いろいろあるな
と思いましたね
ちなみにワンパスはさっき手元で試したら
プロンプト出なかったので
僕のワンパスのバージョンも古い気がするので
ちょっとアップデートしておきます
ワンパスに進めましたか
変えました
いやー
なんか
もっと面白い記事来ないかな
物足りない
ちょっと物足りないんだよね
まあ
そうね
ニュースって感じだよね
そうなんだよ
それはそう
確かに最近ニュースかもね
なんかさあ
現場の声の重要性
あんま波あるよね
ニュースはずっと安定して供給されるからさ
結構ネタが尽きないんだけど
企業ブロックから出る
生の声
現場の声
苦しんだ声みたいなのって
そんなに安定して供給されないから
まあアンテナ張るしかないんだろうなとは思うんだけど
デフコンの話とかね
自分がキャッチできてないんだけど
多分あるんだけど
あんまり
みんなAIにお熱ですよ
でもなんか
今日そんなに
ブラザーの話があったね
まあなんか
なんていうかさ
あの
ここでスクリーニングする前は
めちゃ
難しいな
責任関係なく
いろんな企業ブログのフィードを
見てると8割AIだなと
思うというか
割合として
全AIにかまけて別の記事を書いてないとか
言いたいわけじゃないんだけど
今の中心トピックはそこだなと思うから
そういう意味では
フリーさんの記事とか
ありがたく接種させてもらってます
セキュリティでAIはどう活用していくか
背中追わなきゃなって
気持ちですけど
骨になる記事を
探せるように頑張ろう
まあ出てたら気づくと思うから
なんか
別に
なんか
オフトピじゃなきゃ足りないの
オフトピだよきっと
確かにね初期の
オフトピラッシュは
コニファーさんがブログを
書かないと
もうオフトピじゃないんだよな
コニファーさんなんだよねそれはもう
コニファーさん
コニファーさんに呼べるように
頑張ろうよ
コニファーさんが
オフトピっぽい話ね
実は結構
静かなインターネットの下書き
にいっぱい入ってて
例えば難しいことを
難しいですねで終わらせない
いいねオフトピだね
ある
書いてる
それはやっぱ
マッチポンプで頑張ろう
オフトピマッチポンプゲイン
なるか
なるしかないよ
俺も頑張れって話ですけど
オフトピ書いてよ
一個書くか頑張って
来週話そうと思ったらさ
今日から下に
書かなきゃいけないし
書く時間あんまあるか
今日書いてから寝るか
無理だな
1時間半集中して
一本書くからだから
明日書きます
最後の記事
2024年の振り返りで終わってるよ
俺?
サボってて会社ブログで
言うとちゃんと
会社ブログ取り込んでない
会社ブログはちょっと手動で
取り込まなきゃいけない
頑張ります
情報発信の継続
個人ブログは全然書けてない
書いたほうがいいよ
来週朝に楽しみにしててください
来週朝
次の収録日
私出社だから
もしかしたら予定とらしい
確かに
そんな感じですか
そんな感じです
来週一周年ということで
変わらずにやるんで
1年やりましたけ
書かないと
書いて
任せては
2人とも書こうよ
じゃあ書くか
それぞれの
知らんけど
冒頭でも話したけど
結構50回やってきて
見方が違うなと思ったので
確かにね
まあ言うとでも
始めましたの記事がそんなに
アップデートがない
まあそれぞれいいんじゃない
始めましたの狙い通りでした
まあなんか
継続して
やれててよかったね
それは本当に
目指すって感じだな
マジでそうだね
1回目すぐになんか
マジでビビったな
先週結構ギリだったけどね
先週ギリだった
遠気の上に私が風邪をひくという
結構ギリだった
確かに
100万積みかけた
ギリギリだった
2人同時に風邪ひくとかが
なければ多分いける
翌日にずらすか
その日の夜にやっちゃうかの
その2択を外さなかったのも
デカかったね
翌日の夜はできる状態じゃなかった
結局
もう
予約しすぎたら無理だろうな
多分
パンクするよね急にね
パンクすると思う
タイミングにもよるんだけど
3記事しかない週とかだったかな
1日2本は撮れないかな
はい
お疲れ様でした
今週もまた来週も
よろしくお願いします
はい
おやすみなさい
おやすみなさい
