ポッドキャストのスタート
こんばんは、Replay.fm 第67回です。
こんばんは。
はい。
はい。
喉が二人とも死んでおります。
はい。喉が終わっているポッドキャストとして、治せていきたいですね。
あのー、スタートラインに立ててないと言っても過言ではない状態ですね。
あー、ポッドキャストのスタートラインって結構なんかハードだった。
喉が終わっているとやっぱダメですか?
あー、そりゃそうだね。
うーん、聞けないとね、あとなんかマジこれはもう完全に他の人は知らんけど、
僕、車でよく聞くんですよ、ポッドキャスト。
うん、うん。
ね、車で聞くとね、声低い人の声がマジで聞こえない。
わかる、わかる。
それはね、めっちゃわかる。
そう、だからもう爆音にしないと、車乗りながらね、低音の人は聞こえない。
そもそも、なんかその、その辺の音楽と比べるとさ、そもそも、なんかその、あの、音量が小さいよね。
あー、それはそうかもね。
ポッドキャスト全般そうだけど。
うーん、それはそう。でもね、声高い人はね、そんなに持ち上げなくても聞こえるんだけどね。
まあまあ、ポッドキャストにもよるのかな。
うーん、なんかまだ男の声、男の声の組み合わせでよかったね。
これがなんか、男性女性で混ざってたりすると、
男性女性ってあの、声のほうね、混ざってたりすると、結構しんどいかもね。
確かにね、確かに。
その、高いほうは聞こえるけど、低いほうは聞こえないからね。
そうそうそうそう。
そうすると片方くすぐるせえみたいな状態になるわけでしょ。
あの、ボソボソ声でじゃあ今日はやって、みんなにボリュームのつまみを上げてもらって、やっていきましょうか。
やっていきましょう。ボリュームのつまみを上げる系、ポッドキャストとしてやっていきましょう。
お願いします。
はい。
じゃあ、今日もぼちゃぼちゃあるんでね、ポンポンいければと思うんですけど、
Docker Hardened Imageについて
1個目。
Docker Hardened Image is now open source and available for free.
すごい。
ブリピンコンピューターか、ブリピンコンピューターの記事ですね。
うーん。
えっと、まあ元ネタもNotionのように本に貼ってるんですけど、
タイトル通り、多分1ヶ月前ぐらいですかね、紹介したDocker Hardened Imageっていう、
まあサービスかな、サービスがありまして、これ何かっていうと、
CV0のDockerのベースイメージを提供してやんよっていうDocker社のサービスなんですけど、
まあこのサービス、もともとその有料でお金払ったら、そのイメージ使えるよっていうので、
で、プライシングは表に出てない、多分今も出てないのかなと思うんですけど、
それを無料でオープンソース化しましたっていう、とてもとても太っ腹なニュースですね。
すごい。
で、ただまあそのサービス辞めたよって話ではなくて、
えっと、その有料版も継続して提供はしていて、
で、そっちの方は何が違うかっていうと、
CV0とはいっても、やっぱその新しく判明するものとか、
OSアップデートしたときに入り込むものっていうのが当然あるので、
そのメンテナンスをDocker社がしてくれてるんだけど、
そのSLA的なものがあるのかな、
CV出たときに何日以内にサポートするよっていう保証があるのは有料版。
で、それが今は7日か、7日ですかね。
で、ゆくゆくは1日を目指すっていうロードマップがあるらしいんですけど、
そういう有料版はやるけど、無償プランは約束した期限はないっていう感じなんで、
CV0でなるべく保ちたいっていう人はちゃんとお金払ってねえだし、
そうじゃなくてもっていうところはオープンソース版で十分なのかなっていうところです。
なんかそこの差分ってどういうふうにコントロールするんだろうね。
確かにね。内部的には直せてるけど、
確かにね。
一応なんか腹の底は分かんないけど、
公開した理由はオープンソースコミュニティへの還元みたいなところがあるみたいですね。
ふわっとしかちょっと読んでないんだけど、
そんなになんかなるほどねっていう理由が書いてあったっていうよりかは、
エコシステムへの還元的な文脈に見えるかなっていう感じですね。
はい。なんで皆さん使いましょうっていう。
ライセンスはApache 2.0なんで、それだけ気をつけてぐらいかな。
はい。これなんかどう使うんだろうね。
とりあえず試したい。
とりあえずどっかプルしたいって思ったらどういうふうにやればいいんだろうか。
公式のほうのリンクを。
僕どっかに置かなあかんとあったっけ。
ない気がするな。これサインアップいないかな。
でもありますね。普通に開けたわ。
リンク貼っとくか。
ちょっと待ってくださいね。URLが壊れた。
これを。
なんかあれだね。マルチステージビルドとかでもう。
なるほどね。なんかシェルとかは全然入ってないらしいから。
パッケージマネージャーとか。
マルチステージビルドで本当に動かすだけっていう状態にしないといけないのかな。
なるほどね。
デブプレフィックスで
パッケージマネージャーとかシェルとかが入ってるやつもあるらしい。
誰が書いたかよくわからんやつ。
結構いろいろあるしね。
このURLきついな。
でもなんか普通にあれだな。
こっちはまともなURLあったかな。
ただしさんじゃんこれ。ただし君じゃない?
有名な方なんですね。
以前の同僚だし、この方今どっか日本社で働いてる。
あーなるほどね。
行っちゃっていいのかな。まあ行っちゃっていいか。
へーとか言って。
あーねもとさんね。
あれ俺?
そうだよね。めっちゃかぶってるよね。
なるほど。
いいっすね。
これはもうみんな積極的に使いましょう。
じゃあ次行きますか。
セキュリティの統合
次が、
もはやセキュリティに社内と社外の境界はない。
CサートとPサートを統合して一つのチームへ。
フリーデベロッパーズハブのブログ記事でございます。
フリーデベロッパーズアドベントカレンダー2025の21日目の記事ですね。
ただただしさんの記事ですね。
えーと、
どっから説明していけばいいのかな。
フリーは、サマリーを書いたのでもうそれをそのままちょっと上からなぞっていくんだけど、
フリーは長年Cサート、社内のセキュリティと
Pサート、プロダクトとか顧客向けのセキュリティを
分けて運用してきたよっていうのが前提としてあって、
もともとこの筆者のただただしさんは
Pサートのマネージャーだったらしいんですけど、
最近CサートとPサートを合体して両方
まとめたマネージャーをやり始めましたよっていう感じ
らしいです。
今までは役割とか専門性とか
いろいろ前提があって分離しているのが合理的
だったが、例えばAIとか
AIパースの授業とかが割とその境界線を
壊すっていうのは別にネガティブな意味じゃなくて、
それによって境界線があんまり意味がない、分離している意味が
あんまりない状態を作り出したっていうので、
PサートとCサートを統合しますよっていう、チームとしては
体制としては統合しますよっていう話らしいです。
別にめちゃくちゃ大きく何かを変えるよっていう話では
内容的なことを確か書いていて、
違う嘘だわ、そんなことない。
統合しようって言って内部的にバンって
CサートとPサートバッって統合しても別に
ただそれだけだと分離したまま続けていくことになるから
そうじゃなくて、
今までの
読む限り今までのゆるい傾向は残しつつ
チームを4つに再編成してよっていう話ですね。
ブルーチームとレッドチームとホワイトチームとパープルチームの
4つに分離しましたよっていう話ですね。
面白いなっていう話と、この辺の
組織論の、別に組織論の話に関して
なかなか書いてあるわけではない。なかなかボリューム多めに書いてあるわけじゃないんだけど
こう、何て言ったらいいんだろうな。これこれこうゆうゆりで
こうゆう編成をしましたみたいな話ってあんまり外に出てこないな
と思うので、結構興味深いなと思って
見てました。
フリーは初期というか、初期って言ってもいつか分かんないけど
結構、その編成みたいなのを社会に
アウトプットしてくれてるよね。僕が知ってる範囲だと
多分最初Cサートだけあって、Pサートができて
Pサート育ってきて、次の
多分ポイントがここって感じだと思うんだけど
でもなんか基本的にずっと事業に根差してるところがやっぱ結構いいよな
っていう気はしていて、今回もAIの話も
そうだけど、BPaaSの話はすごい納得感というか
具体的には、フリーを使う
フリーに預けられたお客様のデータを
フリーの社員が触らないっていうのが前提として持ってたんだけど
BPaaSでそこの前提が壊れて
前提が崩れたから
そこがスタート地点になってるじゃないですか。事業上の課題があって
今の体制だと解けなくて、じゃあどうしようみたいなので
組み直すみたいなのが結構。でもなんかただざっと組み直すっていうよりかは
デメリットとかハレーションも理解しつつ、こうやってみてますみたいな
めちゃくちゃ
中は大変なのかもしれないけど
やるべきことをやってるなというか
思考停止せずに改善し続けてるんだなっていうのをしみじみ思いましたね。
そうだね
そうね
なんかこうやってみるとやっぱり
会社によって様々だなと思っていて
BPaaSが入ってくることによって
ちょうど書いてくれてるのを運用してるんだけど
Notionのほうのまとめで
今まで顧客のデータは従業員から一切触れないように
しておくことで、賢能に守ることができていたんだけれども
フリーの従業員が直接お客様のデータに触れる
っていう前提のあるBPaaSだと
その前提が崩れるので
なんていうか
事業としてはいい変化でありつつ、結構セキュリティとして頭が痛いみたいな
っていう話を書いてくれてて、この前提に乗っかれないと
頭が痛くなるのはめちゃくちゃわかるなと思いつつ、でも例えばだけど10Xの場合は
別に
ダイレクトに全てのデータに僕らがアクセスするっていうのは全然必要ないことだけど
例えばだけど売り上げのデータとかを
10X側からもアクセスするっていうのがもう
事業の前提として存在するじゃん
今までのフリーのやり方は
多分うちのやり方にはフィットしなかったんだろうなと思うし
逆に言うとこれからフリーが向き合わなきゃいけないところに我々はもともと向き合っていて
それに合わせた組織を作んなきゃいけないっていうのが前提としちゃったりするから
別に
比較するのもあれだけれども、本当に組織によって様々
あり方みたいなのも変わってくるな
っていうのが面白いね
いいよね、別に開発も一緒なんだけど
セキュリティも一緒というか
会社があって事業があって達成すべきミッションがあって
そこにいろんな変数化を見せてどうなるかっていうのは
自分たちで考えていかなきゃいけないというか
いいですね、セキュリティチームあればいいって
言い訳では全然ないし
フリーの背中は
いいっすわ
そうね
いい人たちが揃ってる感
あるよなと
結局今何人くらいいるんだろうね
正確な人数は全然分かんないな
ソフトウェアDB
ソフトウェアデザインだっけ?DBだっけ?忘れちゃった
雑誌の特集材見たけど デザインか
チーム作りの話とかも書いてあったけど結構
面白かったよ
セキュリティのめっちゃ強い人ばっか集めてるわけでは全然なくて
ソフトエンジニアとしてめっちゃ優秀でセキュリティできる人みたいなのを
コアメンバーというか何だろうな
セキュリティのチームの形とかができるタイミングぐらいで
ガガッと採用しだしてとかいろいろ書いてあって
その辺も
本出してほしいなフリーさんには
フリーセキュリティの歴史みたいな 別に今までの全部繋がったら本になるぐらいだと思うんだけど
うん
連結で1700人ちょいなんだね
セキュリティ投資の現状
大企業的に雑誌使えないような
いやーなるほどな
いやなんか
この規模にならないと
何て言ったらいいんだろう
結構こういう課題の解き方ができるってそれも一つの環境だよなってちょっと思っちゃって
この4つのサブチームを分けられるだけの
人数がまずいるわけじゃん
こういう課題の解き方ができるっていうのも
まあ一つの環境だなと思って
それはなんか人員を確保する予算があるっていうそういう話
っていうのもそうだし
課題の幅とか深さとか
あとは求められるベースラインみたいなものも
きっとあるだろうし
あんま適当な
適当なこと言っちゃってる気もするけど
CSOで
CSOで事業者さんが入ってるとかは結構でかいんじゃないかなって思ったりする
っていうのはその経営側に
このセクションサイバーセキュリティセクションに関して責任を持つ人がいて
前回か前々回話した
セキュリティを特別やろうとかじゃなくて
どういうコミュニケーションが売りにならせてるかわかんないけど
会社の取り組みの一環として地位が確立されてるからこそ
人件費っていうコストも払うし
事業と紐づいた動きが取れてるっていうのも
会社と連携できてるから多分できてることだと思うし
そこはでかいよな
でかいんじゃないかなって勝手に思ったりする
面白いっす
ありがとうございますって感じですね
本当に
そんなとこですか
じゃあ次
introducing pathfinding.cloud
データドックセキュリティラボスのブログですね
これ何かっていうと
攻撃者側の利点
pathfinding.cloudっていう
多分オープンソースなんじゃないかと思うんだけど
今言った通りpathfinding.cloudってURLによったら
アクセスできるウェブサイトを
公開したよっていうデータドックのブログですね
このpathfinding.cloudが何かっていうと
AWSにおいてPrivileged Escalationする経路とかシナリオをまとめた
データとしてまとめたものになっていて
これは一見にしかずなんでぜひアクセスしてほしいんですけど
開くと今多分ブログ記事中だと
60何ケースか書いてあるんですけど
僕はAWS詳しくないんで分かんないですけど
適当に一個バーって口頭で頑張って説明すると
バーってシナリオが並んでて
一個ポチって遷移するとそのシナリオの説明と
アタックツリーみたいなのがビジュアライズされたものが出てるんですよね
例えば今開いてるのは
AppRunnerコロンアップデートサービスってやつなんですけど
全然AWS分かんないんですけど まずAppRunnerサービスっていうリソースが
あったとしましょうと あったときに
そこに対してAppRunnerアップデートサービスして
このサービスに紐づくロールがあって ここに対して
オプションABCでスタートコマンド叩くと
この権限行使できるよみたいな感じで繋がっていく
ようなものが
図で分かりやすく見れるっていうものになってるって感じですね
一覧ページとかでもそのカテゴリーで
この なるほどなと思ったのは5個カテゴリー切られていて
セルフエスカレーションっていうのは自分を
合格させるのかな ちょっとごめん ちゃんと
ブログ記事読む 適当なことしゃべりたくないんで
記事に書いてあったんですよ 記事に書いてあって
これか
そうだね セルフエスカレーションは自分自身の権限を変更する
プリンシパルアクセスは
別のプリンシパルへのアクセスを直接取得する
セルフエスカレーションっていうのはIAM Createアクセスキーみたいな
なるほどって感じですけど 多分自分を消化化しないけど
権限強い人のキーを作ってそれを行使するみたいな話とか
あとニューパスロールは
いろいろか そんな感じで5つぐらい
プリンシパルエスカレーションのHowみたいなカテゴリーが
定義されていて それで絞り込めたりとか
あとはリソースですかね EC2でのシナリオ
みたいな形で絞り込めたりとか
それこそ脅威分析とか
リスクアセスメントにめちゃくちゃ使えそうなアセットになってるな
っていう感じですね これなんか
あんまキャッチアップしたことなかったんですけど これ似たようなやつは
あるらしいと これまでもいっぱいあったんだけど
結構 あんまメンテされないらしくて
その辺がブログでも研究されていて
作ってそこからアップデートされないとか AWS側もアップデートが
頻繁にあるから 結構追っかけるのも大変だし
多分乱立してる いろんなのがちょこちょこあるんだけど
きちんとメンテされていて 使えるものっていうのが
あんまないっていうのもあって この形で公開したっていう部分があるみたいです
既存のやつと比べて
いいよってアピールみたいな部分で言うと
このPathfinding Cloudのカタログに載ってる
Previous Escalationのシナリオのうち
いくつかは既存のOSSツールとか 評価ツールでは
カバーできないものがあった 具体的には42パーか
Pathfinding Cloudの持ってるうち42パーは
既存のツールだと見つけられないやつなんで
結構いいものになってますよっていうところ
あとOSSなんで これも継続的にアップデートしていくよ
っていうところで閉められてるって感じかな
細かい実装とかデータ表現も元気あるけど
この辺は興味あれば読んでみてくださいって感じですね
すごい作業をしてるよね
そうだね でも彼らCSPMを作ってて
なるほどね
CSPM 言っちゃうと昔トライアルしたんで
一瞬というか見たことあるんですけど
結構リッチなビジュアライズの機能があるんですよ
それでわかるのはさっき言ったような
この寂しさ感とか こんな感じの
この寂しさ感とか このストレージに権限持ってて
このストレージの中にこれが入ってると
違うから逆か このストレージにアクセスできるのは誰みたいな感じで
そっから逆算して この寂しさ感とか見れるし このプロジェクトの権限持ってる人見れるし
みたいな感じで図示化するみたいな機能があったりしたから
結構裏側でこういう日々研究とか
これをCSPMのルールに落とすとかやってんじゃないかなって気はしていて
そういう意味ではめっちゃ大変だろうけど
彼ら目線のサービスにもつながるし
それを開示してくれてるっていうのは結構普通にありがたいですね
っていう気はするですね
なるほどね いいね
個人的にはGoogleクラウド版待ってますっていう気持ちなんですけど
たぶん元気がなかったんじゃないかな
作りそうだよね 自社製品に行けるんだったら
作りそうな気がするから
さすがにGoogleクラウドはよって一周はまだ経ってないですね
いやーおもろいな
これ
これがあったとてっていうのは若干あるよな
こんだけあってさ これはこのパターンに該当するわって
やってられんわって気がするから
経済的対抗策の必要性
そうするとうちの製品使ってくださいねって話にしかならないんだろうけど
そうだね
これ見て全部覚えておくとかもさ 無理だね 無理な話
絶対無理
結構そうだね 確かにね
そう思うと次はこの
じゃあこれいいでしょってなって これを自動で検知したくないって
じゃあ入れないわっていう話だよね
でも結構この
CURLでJSON引っ張ってきてJQでかければいろいろできるよとか
あとはマシンリーダブルなスキーマがあるよとか記事に書いてくれてるから
こういうの使えば結構うまいこと自分たちで
自動化とかはできたりするのかな
でも結構今のリソースの定義がどうなってますかを全部引っ張ってきた上で
該当するものを探すみたいなのはやっぱしんどいか
そうね
なんか水谷さんが必要だね
すぐ水谷さん自動化能力に頼る
そうかもしれない
めっちゃありがたいし面白いなと思ったので紹介しました
じゃあ次お願いしようかな
お願いします
なぜセキュリティ投資を増やしてもサイバー攻撃の被害は減らないのか
高度化ではなく産業化する脅威への経済的対抗策
第一生命経済研究所
というところの記事ですね
なんか結構変わり種かなうちのポッドキャストでは
割となんかXのタイムラインで流れてきておってもって
入れたんだけど
なんか別の記事のラインナップ見てるとすごい突然のセキュリティって感じがして面白いね
そうだね
これなんか結構その
最近セキュリティ投資は多分増えてるんだけど
増えてるエビデンスみたいな出し方してなかった気がするけど
分からんけどなんか増えてるはずで
でもなんか被害は減ってないよねっていうのが現状としてあって
増えてるって話があるね
それが何なのなぜなのっていう話に対して別に技術的に
攻撃が高度化したっていう話じゃなくて
分業とか効率化によって産業化して低コスト化してるから
攻撃する側の参入障壁が下がってるんだよっていう話
結果的にそれが刺さるケースが多くなってきていて
件数としては全然被害が減らないよっていう
話なのかなすげー大雑把に言うとそういう感じ
なのかなで例えばフィッシングメールが
めちゃくちゃ自然な日本語で書かれてくるようになったりとか
性愛のおかげでそういうのが簡単にできるようになったりとか
なんか基本的に攻撃者優位な
環境って言っていいのかな多分
そうだね優位というか
やればやるほど得する状況になっちゃってる
っていうのがきついよねそれを助ける要素として
性性愛もあるし犯罪側のエコシステムの成長もあるし
また分業かサプライチャーの確立ね
結果的に
何をすればいいのかというと
侵入をゼロにするっていう技術じゃなくて攻撃側のコストを
強制的に引き上げてビジネスとして成り立たなくさせる
経済戦争的な方向に転換しないといけないよね
っていうのがこの記事で言っていること
詰まるところうちは攻撃しても割に合いませんよっていう状態を
作んなきゃいけないよねっていうことを言っている
言っている
これもう1から100までかなり
そうだねっていうのと意外となんかこの観点
理解はして別に発想はなかったわけじゃないけど
改めて言語化するとそうだよなって結構思ったんで
そうだよなっていうのは
それこそここでいろんな記事を
追ってたり日々の仕事でも思うけど
こういう脅威があってそこに対してどうパッチを当てるかとか
ある種脅威ベースでいろんな取り組みをするとか
ベースライン的にここやってからでしょみたいな部分をやっていくみたいな部分だけど
その技術的な観点とかリスコードを
低減するかみたいな観点はもちろん持ってるんだけど
そこに対して攻撃者目線で
経済効果をROIを下げるみたいな観点は
そんなに意識して持ったことはなかったから
なるほどねっていうのと
かといって改めてめちゃくちゃ強く持ち直すべきかというと
それによるかなと思うんだけど
現代のサイバーセキュリティの現状を全体で見たときには
この視点は必要なんだろうなって気はするね
記事中でも触れられてたんだけどロックビットの解体とかがあっても
無風というかランサムフォーリーの無風みたいな話があって
多分あれロックビットは結構一番でかくて
世間でももしかしたらご存知の方もいっぱいいたと思うんだけど
割と2週間に1回はいろんなのが流れてくるとか
DDoSワーザサービスが解体されたとかフィッシング解体されたとか
APTの人逮捕されたとか全然あるんだけど
割とやっぱ意味が全然ないわけじゃないんだけど
多分やんなかったらもっと加速してたって話なんだけど
でも全体を見ると
プラマイゼロかプラマイマイナスに傾いてる現状を見ると
防御側でどうにかするしかないし
サイバー攻撃の現状
そうねアロエね
頭痛いよねとは思うな普通に
なんか結構
でもこの考え方自体は
現実的な時間内でハックできないみたいな考え方って
ずっと昔からあるものだと思っていて
例えばだけどパスワードをクラックしましょうみたいな
オフラインアタックでクラックしましょうみたいな時に
技術的には時間かければなんとでもなるけど
無限に時間をかけるほどの価値がそこにあるかというと
多分そうではないよねみたいな
現実的に
リターンが成立するような時間では解けないから
自然といけるよねみたいな考え方って普通にあった話かなとは思うから
別に昔から根っこにある話ではあるのかなとは
思うんだよな
結構その
なんて言ったらいいんだろうな
わからんけど
実際どうなのかわからないけど結構直接的に
なんかお金をこうさ
せしめていくような構造になったような気がするんだよな
昔よりもどうなんだろうね
現金か現金中かキャッシュに
つなげやすい環境が続いちゃってる感じはするかもね
その乱戦の光
暗号通貨とかもそうだよね
なんか
去年のクレも同じ記事を見た気がするけど
過去最高のサイバー攻撃被害額みたいので
8割ぐらい暗号通貨盗まれてみたいな
北朝鮮のアクターでみたいなとか見ると結構
その辺も昔ならそもそも盗むものがなかったからとか
そうだよね乱戦で結局なんかその
ボリュームで見ると今言った2つだけかもしれないけど
でも攻撃者側のエコシステムがあるから別に乱戦も実行した人だけが儲けてんじゃなくて
その下請けの人たちもみんな儲けちゃってるから
エコシステムとして
安定しちゃってるよねみたいな
昔だったらなんか
昔の情報ってないから間違ってたらすみんないけど昔だったら多分
有効な侵害したIDパスワードのリストを100万件持ってますでも
それを厳禁化する手段って多分
頭をひねらないとなかったけど今だったら売っちゃえばいいみたいな
各セクションがそうなっちゃってるんだろうなって気がする
なんかエコシステム全体としてはめちゃくちゃ複雑化してるよなとは思いつつ
局所的に見てたときにROIの構造がシンプルになったんじゃないかな
っていう話なのかなちょっと今話会話をしながら
頭の中で言語化されてきたんだけど
IDパスワードのリストがあってもお金にできないけど
売っちゃえばそれでお金になるみたいなじゃあIDパスワードを取ってきて
売りましたそれがいくらになりますかっていうのは結構構造としてはシンプルというか
局所的に見れば
最終的に攻撃を実行する側においてもいくらで何を買い付けてきて
いくらのリターンが得られるかっていうので
割とそれもシンプルになってるなと思っていて
自分の手間をどれくらい払うのかとかどれくらいの時間軸でやるのかとか
そういうのなく短い時間軸でいろんなものを買い集めてきて
実行してリターンがいくらかあって
それでROIがどれくらいですかっていう話に尽きるかなと思うので
だからこそ結構この側面がめちゃくちゃ
目立つようになってきたっていうのは一つ言えるのかもなとは
なんとなく思うけど
実際のところはどうなのか分からないね
1個1個にバランスして考えていくと
インフォスティーラの脅威
大変だけど1個1個成り立たせなくしていかないといけないんだなと思って
ちょっと今絶望しかけたけど
でもよく考えると1企業として
個別にできることはなくはないよなって気もして
例えばIDパスワードみたいな話だったら
全部は無理ですけど主要なものは
全部パスキー企業の人には導入させて
コスパを励発させましょうとか
じゃあ次はアンチEDRですかアンチEDR回避みたいなのをさばいてる人たちもいますけど
そこに通用なすのはアンチEDR分かんないな
1個1個なんかそうやって着目していくと
できることが全然ないわけではないなって気は
そうだね
一方で侵入させないっていう話じゃなくて
全体でコストに見合わないようにしましょう
っていう転換が必要だよねっていうのは
実際どうなのか個人的には結構疑問で
依然として侵入させないっていうポイントが
めちゃくちゃクリティカルパスにいるっていうのは
事実だと思っていてそこの重要性って別に
昔から変わってないんじゃないかなとは思うんだよな
重要性は変わってないけど守る側の
侵入させないを実現するコストが非現実的になっちゃったって感じ
なんじゃないかなっていう
どうなんだろうね
めちゃくちゃ高度なことされて侵入されたケースって
どれだけあったんだろうね
うーん
対象攻撃されたセクションによるんじゃないかな
パッと思いついたのはあれとかはわりとTGアクションズの例とか
ぼちぼち高度なんじゃないコインベース狙い撃ち
でもあれとかは
侵入されたされてないの判定で言うとたぶんされてると思うんだけど
でもコインベース確か
詳細忘れたけど結構浅いところで
止められてたというかそれは何枚かレイヤーを立てて
侵入されても大丈夫だったっていう事例もあると思うし
逆になんか
高度に狙われて
頑張ってだけで侵入されちゃいましたでもちゃんと何枚も立ててから
防げましたっていう例もあると思うし逆の例も
逆の例の方が多分残念ながらよく見かけると思うんだけど
一番最初に突破されたが壁が
最終防衛ラインになってたからアウトでしたみたいなパターンもよくあるよねとは思う
でそうね
分かんないけど最終防衛ラインを守りきるよりも
言うは安しちゃうんですけど
最終防衛ラインに300の力を注ぐんじゃなくて
5枚の
ちょっとダメだわ良い例が思いつかないでもなんか
1枚めちゃくちゃ頑張って立てるのももちろん大事だし怒ったって良い理由はないんだが
2枚3枚と
強固な壁を立ててバランス良く維持しなきゃいけないっていう
世界ではあるのかなっていう気は個人的には
なんかしてるけどねまたその事業とかじゃないかな
コインベースは狙われて叱るべきというか
お金をすごい巨大な
巨額のお金を扱ってるからこそそれだけ高度なことをやられるし
それを彼ら分かったから
めちゃくちゃ対策をしてたって話だと思うから
どこもかしこもコインベースぐらい頑張らなきゃいけないわけじゃないと思うんだけど
見極めはやっぱ必要だよねじゃあうちはどんぐらい
狙われてるんだっけみたいな話もそうだし
言うは安しちゃうんだよなずっと私が言ってることは
難しいって話なんだけど
いやー悩ましいな
答えがないね
答えがないけど思考止めてはいけないっていう気もするね
でもこれ良かったな
なんかセキュリティ詳しくないけど技術畑の人に普通に
オススメできるぐらい丁寧な記事だったね良かったです
ありがとうございますじゃあ次
Mac OS向けインフォスティーラを技術的に解説してみた
フィナテキストのテックブログアドベンタクレンダーの記事ですね
この記事は何かっていうと
インフォスティーラ Mac OS向けのインフォスティーラを
解説したっていうタイトル通りの記事なんですけど
インフォスティーラっていうのが何かをおさらいすると
今年流行り始めた皆様のPCに感染するタイプのマルウェアで
名前の通りいろんな
ローカル端末帳の情報を盗んで攻撃者の手元に送るっていうような挙動をするものですね
よく挙げられるのは
ブラウザのクッキーとか保存されているID パスワードとか
掲載情報とか あと暗号通貨かな暗号通貨のウォレットの情報を狙うとか
めちゃくちゃよくあるあるっぽいんですけど
Windows向けのほうが多いんだけど Mac OS向けのほうもぼちぼちあって
それについての技術面の解説をしてくれてる記事ですね
結構なんか珍しいというか
読んでみて
さらっと紹介できればいいかなと思うんですけど
Mac OSって割と
例えばMac OSに限るやつか ブラウザの
クッキーを盗むってさっき軽々しく言ったけど
今だと平文で当然保存されてるわけではなくて
暗号化されて保存されてるよねみたいな話とかがあったり
またそのMac OSのセキュリティレイヤーのいろいろがある
その暗号化キーは効いちゃうんできちんと守られてるみたいな部分があって
そこをどう突破するんだろうなみたいな部分が気になっていたところに
まさしくそこへの解説みたいなことが書いてあったんで
ちょこちょこと話せばなんですけど
結論としては今言ったとおり 例えばブラウザの情報を狙う
インフォスティアだったときに
ローカルのDBに暗号化されてきちんと置いてあって
その暗号化キーはキーチェーンで保存されていて
そのキーチェーンのアクセス権限っていうのは
ブラウザと同じ権限で実行されないと
突破できないなっていう形なんだけど
ただ なるほどなと思ったのは
キーチェーンのアクセスみたいなところの仕組みとして
めっちゃ厳密に言って間違ってたら申し訳ないですけど
めちゃくちゃ厳密に言うとブラウザが暗号化するのに使っている
キーへのアクセスはブラウザ以外からも同じ権限を
取れればアクセスできるっていう状態にはなっていて
これ自体はOSの仕様なんでしょうがないっていうところになっていて
インフォスティアはそこを突く挙動をするよっていうのが超ざっくりと書いてあって
それが何で動いちゃうかで言うと
詳しくは書いてないですけど 結局そのユーザーがそれを許可しちゃえば
動いちゃうみたいなんですよね
キーチェーンにアクセスするよっていうところで
何かしらのタイミングでポッパー号が出るのか何か書くんですけど
許可してしまうと暗号化キーを抜くっていうのはできちゃうんで
それを元に他のものを複合してC2サーバー内で送るっていうのもできちゃうし
また何でユーザーが許可したらできちゃうねみたいな部分で言うと
Mac OSの思想としてはユーザーの判断が正しいっていう前提のもと
セキュリティモデルを組んでるのでこういう仕様になっているし
ちょこちょこ見直したかは進めてるけど
構造的にはユーザーが許可したら通るっていうのは変わんないから
なかなかユーザーの判断が正しいというか
対策としては不審なアプリは許可しないとか実行しないみたいなのが
大事だよっていうのが書いてあるって感じですね
結構学んで理解は個人的に深まったなっていうのと
あと何か今年のどっか去年か忘れたけど
Mac OSの前回のOSアップデートですかね
メジャーアップデートの時に
Mac OSの前回のOSアップデートの時に
各ローカルアプリ デスクトップアプリが
いろんな権限を求めてくるときに
権限の許可のし直しのサイクルが短くなったみたいな
アップデートがあったと思ってて
具体的に1ヶ月大きいとかなったのかな
リプレイFMで話した気がするんだけど
通知が多かったら多かったで何も考えずに
OK連打するんじゃないかなってめちゃくちゃ思った記憶があって
だからそういう
1年経ったかわかんないですけど僕は現状
ちゃんと見てるけど結構鬱陶しいなと思ってて
何だろうな最近なぜかよく見るのは
ローカルネットワークアクセスの許可を求めていますみたいな
新しい めっちゃある
ブラウザーも求めてくるしIDとか
自分のPCで試そうとか思って
今日も1個入れたら求めてきて
あのノリで危ないと思ってないアプリを
インストールして立ち上げて
みんなポチって押すような気がしてて
押したらクロームの全部引っこ抜かれます
っていう気がしていて
細かく権限を落として付与させ直す
っていう考え方は否定はできないものの
だからこのユーザーの
ユーザーの権限とセキュリティ
ユーザーの判断を信頼するっていう部分は
結構
機構としては弱いよなって気がしててちょっと悩ましいなと思った
っていう感じ改めて思ったという感じですね
うっす
なんかMacのあれは何が正解なのか分かんねーな
iOSも結構そうだもんな
iOSはまだ分かりやすいんだよな
自分が今何を許可しようとしてるのかは
比較的Macよりは分かりやすい感じがする
なんだろうねPCは
多いよねなんか機能が
Mac OSだと設定画面
設定アプリとかでどっかで見れた気がするけど
項目が多いよな普通に許可する項目というか
僕らはさやっぱバックグラウンド
ソフトウェアのバックグラウンドがあるからいいけど
こんなん分からんよな普通の人は
使いたいアプリが目の前にあってそいつがOK押すって言ってたら
押すよなと思うし悩ましいなって思いますね結構
うん
まあでもなんか結構日本語の記事で
インフォースティールが増えてるっていうの珍しいし記事の解説もすごいしっかりしてるんで
僕はちょっとざっとすごい噛み砕いてしゃべっちゃったんで是非
元記事のほうも読んでもらえればなと思っております
次いきますか
いきましょう
お願いします
クリティカルリアクトツーシェルフローエクスプロイティッドインランスメアアタックスというプリピンコンピューターの記事ですね
何かっていうと
何かと話題になってるリアクトツーシェルですけど
この脆弱性がランスメア攻撃に悪評されてるよっていう記事ですね
さらっと紹介できればなんですけど
このランスメア攻撃って言うと結構デカめの攻撃を
即想像すると思うんですけど
かなりライトめのランスメア攻撃をされてるっていうのを観測してる
っていう話で
何がライトかっていうと
リアクトツーシェルでリモートコンモードエグゼキューションを成立したときに
ランスメアを実行するんだけど
ニュースになるようなものだとそこから横展開して大事なデータビジョンを特定して
一気にかって暗号化するみたいなことをすると思うんだけど
こいつ自体は感染したら1分以内とかに
ボシーファイルを全部暗号化して
かなり小額の身の白金を要求するっていうような
なんで結構ライトめに
攻撃者目線も簡単に実行できて
被害者目線も被害範囲は限定的で身の白金も少ないんだけど
サーバーのものは暗号化されちゃうっていうタイプのランスメアが
実行されてるよっていうのが観測されたって感じですね
で結構わざわざ取り上げたのは
こういうライトなタイプのランスメア
まず存在してたんだろうなと思うけどあんまちゃんと見たことなかったんで
あるよねっていうところと
あと結構意外と見ないなって思ってたのが
いわゆる
npmパッケージとかpythonパッケージとかで
話題パッチみたいな
CVみたいなのが出てきたときに
それ放置するとどこまで何が起きるんですかみたいなところに対する
回答として使えるいいリファレンスのニュースというか
そういうの意外とそんなにはポンポン出てこないなと思ってて
昔だったらログフォーシェルとかあったらそういうのバカすか出てたと思うんだけど
ないなと思ってたけど
ログフォーシェルはこれ以外も多分いろんな攻撃が起きてるとは思いつつ
放置してたらシュッとこんなことされちゃうよっていう
リファレンスとしても
覚えておいてもいいなと思って
シュッと取り上げたかったという感じですね
AIエージェントの可視化
はい
実際そうだねかなり限定的であると思うけど
何でもRCEだからな
なんか
難しいな
放っといたらこうなっちゃうような事例の一つになるかというと
なるはなるんだけどそれは真ではあるんだが
別にRCEである以上は
何でもできるっていう前提ではあるから
なんか分かんないけどさ
こんなにいやまぁ分かんない例えばだけどこんなに
めっちゃ話題になってないけどでもそのRCEの脆弱性って
そんなにめちゃくちゃ珍しいわけじゃないじゃんその
NPMのパッケージとかでもなんかそう
まぁまぁ大体多分95%ぐらいの
RCE脆弱性はネットワークから直接
叩けないからまぁまぁみたいな感じで
いやでも分かんないなちょっと喋りながらやっぱいいや
なんか何が言いたいのか分かんなくなっちゃった
なんかその
なんだろうなぁ
関係ねえななんか
いや別に流石にRCEだったら謎だろうって思うし
まぁみんな
パッチ当ててると思うけど気を付けてくださいって感じですね
あとなんか軽量というか
シンプルとは言いつつなんかWindows Defenderの
保護とかを無効化するみたいなことはするらしくて
やることはやってくるというか
いやー勘弁してほしいですね
本当にねなんかEDR会話も大変そうっすね
本当に
じゃあ次お願いします
見えないAIエージェントの脅威を可視化する
真相型AIレッドチームが切り開く新たなAIセキュリティ
NRAセキュアのブログですね
読んだの台前で忘れちゃったな
読んだから解説しようか
割とそんなに触れたいところは実はそんなになくって
真相型AIレッドチーム
っていう特許出願全員らしいんだけど
これの話がちょっと面白かったっていう感じかな
要は
要はエージェントに対する
インジェクションみたいなのってめちゃくちゃ
外部から
チェックするの難しいよねって話って多分断ることにしている気が
するんだけど多分それに対しての一つの答えなのかな
と思いつつ見てた
外からいろいろ入力した結果そのAIエージェントが保持する情報とか
履歴とかを監視して汚染が成立してるよねみたいなのを
検出できるような仕組みを作ってるよっていう話
あと推論のプロセスとかも外から可視化することによって
診断ができるようになるよっていう話なのかなきっと
そうだね結構
かなり中にプロセス仕込んで
全部見たるでっていう
なるほどっていう感じだね
これでも
どうなんだろうね中にどれだけ
わからんねどういう動作で何が動くのかが
わからんけど
AIエージェント実装したことないからなかなか想像がつかない
ところはあるのと
結構継続的にやる前提なのかなこの感じは
そんなことないと思うけどなきっと
自動検出とか
継続ではないと思うけどなきっと
あくまでその診断っていう枠組みの中で
まあそうか一定期間仕込んで
外から叩いてみたいな
お客様のオブザーバビリティ基盤との連携みたいなのがあるから
でも任意って書いてあるから
データが欲しければ上げるよっていう話でしょオープンテレメトリのデータを
実際に実績も上がってるよっていう話で
内部の可視化によって複数ユーザー間で共有されるメモリの存在を発見して
そのメモリを汚染することで他のユーザーに深刻な影響を与える
脆弱性を検出したよっていうのも書いていて
なかなか大胆なやり方ではあるなと思いつつ
これむずいな
これじゃあ実際に攻撃する側が
外側から叩いて
まあでも診断っていう枠組みだって別にいいんじゃない?
確かに
いいね良さそうこれ特許取られたらNRA石屋さんしかできなくなるってこと?
そうなんじゃない?知らんけど
特許が何に対して特許を取得しようとしてるかわからないから
そうだね
何とも言えないけど
でもなんか
どうなんだろうな
どこで新規制が出せるんだろうね
特許出してるってことは中でいろいろ
出せそうっていう当たりをつけてやってるんだろうけど
なんて言ったらいいんだろうな
外から入力したものが中でどういうふうに動いてるかって
別にマルウェア解析とかだと昔からあるやり方だと思うから
それはAIのエージェントに対してやるよっていう部分で
新規制を出していくのかな
一連のアセットまるっとで
例えばだけど
オープンテレメトリーを使うみたいなのが特許に入ってると
オープンテレメトリー使ってなかったら侵害しないっていう話になっちゃうじゃん
そうだね
そこそこ先行者利益が得られるような特許にしないといけないと思うんだけど
どういう要件にするのかなっていうのは非常に気になりますね
確かにね
一番下に継続的監視の話も入ってるね
真相型AIブルーチームの話がちらっと触れられてる
これも特許出団済みだよって
AIエージェント作るのも大変だな
ここまでしないと見つかんない
見つかんないよな
どうなんだろうね
ブラックボックスで見つけようとするとこういう仕組みがいるけど
分からんね
完全にホワイトボックスでやるんだったら実はいらない説も正直あるかなと思うし
なるほどね
確かにね
ある種の動的解析で見つけたいっていう選定があるからこういう仕組みが
必要になってきてしまうのであって
でも分からんな、推論の過程とかは分からんから正直ホワイトボックスだと
動かしてみないと
そういうところで言うとこれは一定の利点があるんだな
さっきの
ユーザー間で共有されてるメモリがあるよみたいな話とかは
別にホワイトボックスだったら見つけられるじゃんっていう話かなとは
思うので
Googleのサービス終了
面白いね
ありがとうございます
じゃああと2つか
私かな
ブリーピングコンピューターの記事ですね
サラッと話せばなんですけど
ここで取り上げたか忘れたんですけど
Googleのダークウェブレポートっていう機能がありまして
これ何かっていうと自分の個人情報をGoogleにあらかじめ登録しておくと
あなたの個人情報漏れてますよっていう
ダークウェブとか漏れちゃってますよっていう機能のレポートしてくれる機能があるんですけど
これが来年の1月に終了しますよって発表がありました
これ出てから多分1年ぐらいしか経ってなくて
廃止理由が
実際これがあったことでユーザーの行動変容とかユーザーの課題解決につながらなかったっていうのが
超ザク理由と公式の声明という感じ
これ自体は無くすしデータも一旦消すんだけど
別の方法でユーザーが自分のデータを守る方法っていうのを
模索しますよみたいなところが書かれてるって感じですね
モジュラのやつもしれっとタブしか終了していて
モジュラのほうは何かっていうと
モジュラのほうはサブスクで課金すると
個人情報が例えば名簿業者とかに出回ったときに
オプターアウトしてくれるっていうどうやってやんねんっていう謎機能があったんですけど
そっちも終了したりしていて
こっちも終了したし
始まったときに思わんでもなかったこととしては
一般ユーザーにこれをどう
これが使いこなせるのかみたいな部分でちょっと無理だねっていう
一つの回答が出たのかなっていうのをちょっとふわっと思い
シュッと取り上げようかなと思った次第でございます
はい
ちなみにこれも終了しちゃうんで 今朝設定してみたけど
新たな個人情報が検索結果には見つかりませんでしたっていう
メールが来てました
僕の個人情報は僕の電話番号と名前は漏れてないらしいです
知らんけど本当かな本当かなと思うけどな
まあまあまあ
そんな感じですねまた新しいサービスが出るのか意外と需要がないのか
ちょっとなんともいいんですけど続報があればって感じですね
じゃあ次
最後ですか
多層防御で強化ネットスコープで実現EDR EPPを保管する
ランサムウェア対策っていう記事ですね
まあさらっとでいいかな
C2サーバーとの通信の観点で
いろいろこういうのが使われてるよっていうのを紹介してくれてる記事で
いろいろ思うところがあったのでピックしてるんだけど
DNSが結構悪用されてて
DNS over HTTPSとか
DNS over TLSとか
DNSが乗るのかクイックにとかがあるよって話があって
DNSサーバーとの通信でC2サーバーとの
やり取りをするよっていう
コマンド&コントロールをDNSを通じてやるよって話だよね
情報漏洩とかもDNSのクイリーに
紛れ込ませればできるよって話とかも書いてくれていて
ネットスコープの課題
通信としては見えないから困るよねっていう話で
じゃあネットスコープのSSEっていうのを使うと
この見えない通信っていうのを止めることができますよっていうのを書いてくれてたりとかして
なるほどなーって思いながら見てたんだけど
なんかしんどいなっていうのと
これしんどいよね 読んだときめっちゃしんどいなって思ったわ
何がしんどいって
甘えんなって話なのかもしんないけど
例えばネットスコープを
EDR EPP保管するって書いてあるってことは
一般的なEDR製品とかを入れたときに
この辺まで面倒見てくれるわけじゃないって話だと
解釈しなきゃいけないんだとしたらかなりしんどいなって思ってて
この辺を自分たちで理解して
この辺を設定可能な
カスタマイズ可能な製品を選定して
設定してメンテする
トレンドも多分変わっていくわけでしょ
この辺塞がれたら次はこっちでみたいなところで
コツコツと対応していったりとか
また対策の部分でもあったけど
1個のソリューションだけ止めるんじゃなくて
2段3段で止めるみたいな話とかで
ってなるとネットスコープとかに留まらずに
いろいろしなきゃいけないとかなると結構
終わりなき旅感があるし
これを自前でやる体力は結構結構な企業じゃないと
ないよなーっていうので
しみじみしんどいなーと思ったなー
アドベントカレンダーの計画
いやー そうなんだよねー なんかクイック使えませんとかさ
これで言われても結構なんか
確かにね 息が詰まるなーって思うし
確かにね 本来したかった通信家みたいな話はあるよね
いやーでもそこに乗っかってくるんだろうなー
リスケッチの1つのハウとしては
確実に有効なんだろうけど
これ以外のハウもあるだろうから
1つ勉強にはなりつつ
これに向き合ってる人たちには
ちょっと頭上がんねーなーと思っちゃったなー
結構大変だわ
うっす はい 最後ちょっとなんか
ふわっとしちゃったけど うん まあまあ でもこれなんか
読んでくれればその僕らの感覚が伝わると思うな
なんだろうね その
いやー無理っすみたいなこれ
修行させてくださいって気持ちになっちゃう これを
いやこれを真似て設定すんならできるけど
ネットスコープ そうだね いやー
はい いいっすね ちょっと歯ごたえのある記事が続いてますね
12月 はい もう来週
来週までアドベントカレンダーだね
そうだね うん 今23に収録してるんであと2日ですか
あと2日でアドベントカレンダーが終わり で祭りにしてはみんな休むのかな
記事を書くのも知らんけど うん 私は休みます
そうだね いやー
僕なんか普通に会社ブログ1個書きたいかったな
明日頑張って書くかな まだ間に合うよ まだ間に合う いやでも仕事がなー
来週も頑張ろう 来週
来週は休むかな ちょっと
劇中法的にダメだね じゃあダメだ
ダメですよ その止めてください あなたマネージャーなんですか 諦めよう
来年にしよう 来年書きます 新年
新年ブログで いやー
喉直してね あと1回超年末ギリギリ収録あるんで
配信を年内できるか謎だが 退職せずに頑張りましょう
うん はい あれ
振り返りはどっちでやる 振り返りは
別の別立てで収録でいいかなって思っちゃったけど 別立てで収録する
まあいいけど 了解です 飲めちゃうんでね
なんで じゃあその感じで
いいですか 大丈夫ですか はい
はい じゃあ皆さん来週も楽しみにしてください 来週は
ボリュームのつまみを上げなくても大丈夫なように 蜂蜜を僕ら舐めておきますんで
よろしくお願いします 対戦 はい お願いします
はい じゃあ皆さんお休みなさい お休みなさい
