風邪気味のヤギ足くんとサプリメントの話
こんばんは、Replay.fm 第82回です。
こんばんは。
こんばんは。
はい。
風邪気味のヤギ足くん。
風邪気味のヤギ足です。
風邪気味というか、風邪をひいてる?
風邪をひいていまーすね。
たぶん、現在進行形態。
なんか、まだ風邪をひいていると言ってもいいぐらいの、なんか、ステータスではあるなと。
許される。
うーん。
いやー。
お疲れ様です。
なんかね、ギリギリなんか、調子悪いんだよ。
その、なんて言ったらいいんだろう、こう、あの、なんか、ちょっと耐えちゃったのがまずかったんだよな、きっと、ね、その序盤に。
もう、耐えずにガッと悪くなって、シュッと直したほうが良かったってこと?
そうそうそうそう。
2,3日耐えて、1日ダウンして、翌日って感じ、今。
なるほどね。
いやー、まあ、難しいね。
うん。
どうなんだろうな、1回、体感的に1回転がり落ちたほうがしんどい気もするけど。
うん。
まあ、ビタミンを摂ってください。
はい、摂ります。
うん。
他の、我らがシャッチョの言葉を信じて、あの、別に肯定派でも否定派でもなかったんだけど、
サプリに手を出して、毎日飲んでますよ、アーエンとビタミンCを。
俺も飲んでるよ。
あ、ほんと?
うん。
そう、なんか、本当に効くと、効くぞって気持ちで飲んでるから、たぶん効くと思って、1年後に肯定発生したいなって気持ちなんですけど。
どうなんだろうね。
肯定、でも、まあ、低いよ、普通に。
あんま関係ないよ。
関係ない?
関係ない。
関係ないです。
いやー。
そうそうそう。
そうか、じゃあ、引く回数が飲んでたことによって減ったことにするしかないな。
そうですね。
今日もやっていきましょう。
GitHubプルリクエストを狙うサプライチェーン攻撃
やっていきましょう。
今ね、本数が多いんだけど、私がピックしまくってんだけど、ただね、なんか、産業でおしまい系が多いんで、まあまあ、ポンポン言いきつつ、ダラダラ喋りつつ、やれればなっていう気持ちですね。
はい。
というわけで、やれればなんですけど、引き続きお便りをお待ちしてます。
Googleフォーム、X、ハッシュタグ、何でもございでございます。
お願いします。
はい。
はい。
じゃあ、1個目から行こうかな。
はい。
ウィゾンのブログで、Six accounts, one actor, inside the PRTscan。
PRTスキャンかな、きっとね。
ブルーリクエストターゲット、PRTって訳してるのかな。
ああ、なるほどね。
PRTスキャンサプライチェーンキャンペーンっていう。
まあ、脅威アクターおよび攻撃キャンペーンに関するレポート記事という感じですね。
で、中身めちゃくちゃ細かくはさらう必要ないかなと思うんで、要点だけなんですけど、ブルーリクエストターゲットっていうのが、PRTっていうのがワニが出てましたけど、
直近のサプライチェーン攻撃の侵害経路の一つとして、ギタバアクションズを狙ってシークレット盗むとか侵害するっていうのがありますけど、
その主要な入り口だし、実際被害が顕在化してる、トリビーとかもそうですけど、プルーリクエストターゲット、アクションを狙ってるキャンペーンが見つかったよっていう話ですね。
で、ちょっとこのAIサマリーが正しいか分からないですけど、自動化していろいろ狙ってそうですよみたいな部分と、
26時間以内に470、100個のプルーリクエストを自動で立てて狙ってるみたいな攻撃が観測されてそうっていうところですね。
で、結構攻撃の質自体は直近巷騒がせてるものとかと比べると低いらしくて、なんで成功率は低いんだけど成功してるパターンもあるんで、
やっぱ慢性弱なワークフローは気をつけましょうねみたいな部分がありますって感じですかね。
で、さらっと紹介したいなと思ったのは攻撃手法も、このトレンド自体も別に今さら取り上げるものではないんですけど、
脅威アクター自体、攻撃者自体が直近話題になってたチェンPCP、内緒はアクシオスの件で話題になってた北朝鮮の脅威グループとはまた別のグループの攻撃っぽいっていうところで、
北朝鮮というか国家レベルのお金狙ってる人たちとか、ここを重点的に狙ってる人たちとは別の人たちも目をつけてるし、
実際に攻撃始めてるよみたいな部分は地味にちょっと認識しておかなきゃいけないし、
もともとちょっと予見というかこのFMでも狙われるんでしょうねみたいな話をしてたけど、
それが何かその回答として出てきた感じがするなっていうので、さらっと紹介という感じでした。
まあ、というかトリビーの時に検索したいよね、確か。
何かしてたね。
してたよね、これがね。あんまぱっと見見つからなかったんだよな。
何かあの時見つかったのは何かこれどうなんだろうねっていうのが1個あっただけで、
検索の仕方があんまりいけてなかったのかもしれないけど、
まあ何か世のそのGitHub上にあるワークフローの数を考えるとまあどうだろう。
ね。
何かAPIとか叩いて検索とかしないと全部洗い出せないとかなのかな。
そうかもね。そんなにあったんだってちょっと思ったな。
いや、あるっしょ。何か放置されてるリポジトリとか。
まあね、放置系は多そうだよね、確かに。
コード120Kでしょ、サッと検索しても。
うん。
いや、無理とかに絞ってもきっとあれだろうかな。
だからまあこの120K全部攻撃してらんねえよが自動化してきたって部分がまあミソっちゃミソではあるかもね。
まあ確かにね。何か俺が検索しようと思うと結構、
聖地に絞るに行かないと見てらんねえよって感じだったから確かに。
あとまあどうせバーンされたんだろうけど、
まあバーンされずに数百個ぐらいはプレディック立てられたって部分とかも、
GitHubもめちゃくちゃ頑張ってるんだけど、
まあなかなか追いつきませんよねみたいな部分が。
プルリクエストターゲット止めたほうが早そうだよね、バーンするより。
そうなんだよね。そう思っちゃうよね。
思っちゃうね。
まあでもそのOSSのユースケースとしてはもうしょうがない感じもするよね。
何かトレードオフが。
プルリクエストターゲットじゃないとダメって。
だからやっぱワークロー回編を絶対にさせないけど、
でも絶対に実行してワークロー自動化があるんだよね、きっと。
アトビーのやつとか、まあちょっとちゃんと見てないけど、
例えば日々大量にプルリクエストを受け取るようなOSSとかだと、
そのプルリクエストに対して自動でラベルを付けたいとか、
今だったらAIでサマリーをさせるとか、
そういうワークローを必ず実行したいみたいな。
で、その時にラベルを付けるってなったらやっぱ認証情報が必要とか、
プルリクを立てるとかだと、パッドとかギターバーアップ必要だよねってなって、
じゃあシークレットは使わなきゃねみたいな。
何かそういう話なのかなって気はしてるけどね。
なんか難しいよね。
プルリクエストターゲットがあるワークローで、
この前のノードマップにあったけど、
ディペンデンシーをピンするみたいなやつで、
プルリクエストターゲットでチェックアウトするコードのハッシュを固定する仕組みがあればいいかもね。
基本的にこれ狙うときって、
プルリクエストターゲットがあるワークローでワークローを変えはできないんだけど、
ワークローの中で使ってるソースコードを変え変えするっていうアプローチが大半だと思うから、
それがもう原理性できないっていうふうになれば。
だから常にデフォルトブランチが、
アップストリームのデフォルトブランチを参照しに行くとか、
そういう話だよね。
それが仕組みで担保できるようになれば、
かつデフォルトでそういうことをするとかなってくれるといいかもしんないけど。
検討はしてそうだけどな。
ここでぱっと思いつくぐらいだから。
でも結構なブレーキ。
まあでもな。
影響範囲が読み切れないよね。
なかなかデフォルトにはできないかもね。
オプトインで使えるようにしたからちょっと各自やってみたいな。
いやーでも絶対さ、
そんな、
なんか多様せんやん。
そうだし。
段階的に廃止だよね、やるとしたらね。
うん、本当に根っこから塞ぐならそうなるだろうね。
まあそうね、
なかなか厳しい感じですけど。
まあ引き続き、
僕が生きる期間中ずっとこの攻撃さらされるのかなとかちょっと、
勝手に諦めつつあるんですけど、
頑張っていきましょう。
備えていきましょうかな。
続きそうだけどね、しばらく。
でも最近ちょっとGPCPなんか、
おとなしくなったよね。
そうね、おとなしくなったのか、
集めたシークレットを精査してるのかどっちかわからんけどね。
どっちかなんだろうね。
なんか普通に、
向こう側視点どれぐらいこう、
集められてるのか、
非常に気になるというか。
今回はそういう系の数字見てないな。
なんかシャイフラットの時は、
ギットガーディアンとかが結構運満犬集めたっぽいみたいなの出してたけど、
どうなんだろうね。
まあ、
ナイテルレム、トリビ、
うーん、わかんないな。
まあでも、
今日だっけな、
今日のやつに書いたけど、
シスコとか侵害されたりしてるから。
あれさ、
後で触れようと思ってたけど、
本当に?
信憑性がどうなんだろうなと思ってたんだけど。
あ、そうなの?
わからんけど、全然公式の声明じゃないし。
一時操作を終えてないからちょっと。
一時操作とか、これが一時操作だった気がするよ。
なるほどね。
関連記事は一応あるのかね。
えー、気になるな。
シスコが。
いや、匿名希望さんがこう言ってますみたいな話だったと思うからね。
じゃあちょっとあれだね。
うん。
あ、でもあれだ。シャイニーハンターズが強化してんのか。
あ、そうなんだ。
だから攻撃は実際にあったんだけど、
うん。
トリビーキーインかどうかは確定できないって感じかもね、もしかしたら。
あー、確かに。
はい。
なるほど。
またそれは後で別の記事があるんでね。
よしよし。
まあ気を付けていきましょう。
メルカリのDevinセキュア運用とAIセキュリティチーム
じゃあ次いきますか。
はい。
メルカリのAI活用を支えるセキュアなデビン管理。
メルカリのエンジニアリングブログですね。
はい。
記事の内容としてはタイトル通りデビンを多分前者的に活用してるんだけど、
そのデビンをセキュアに運用するためにどういう運用をしてるかどういうルールで決めてるかどういう仕組みを作ったかみたいなところを
AIセキュリティチームっていうのがあるんですね。
AIセキュリティチームが取り組んできたよっていう話ですね。
結構詳しく書いてくれてるんですけど、
そうだな、さらっと記事舐めると、
いくつかエンタープライズ規模でデビンを活用するにあたって課題がありましたよって話で、
例えば権限管理、デビン使ったことある方は分かると思うんですけど、
メンバーのインアウトとかロールの設定とかって手動でやるしかないみたいな話とか、
あとはシークレット管理ですね。
これも手動でポチポチやったりとか、
また設定したシークレットをローテーションするときに結構手前になるよねみたいな部分とか、
あとアクセス権みたいな部分で、
デビンはAPIがあるんですけど、
そのAPIキー自体が有効期限の管理ができてなかったりっていう部分で、
どう管理したのかみたいな、そんなような課題がいろいろありましたよっていう部分で、
そこに対してデビンのAPIがあるっていうふうに言い間違ったんですけど、
そのAPIがバージョン今3つあって、最新のV3なんですけど、
このV3でいろいろ組織系の設定をいじれるようになったことで、
これを活用していろんな自動化とか、
またテレホームのプロバイダーなんかも自作して、
さっき言ったメンバーの管理をテレホーム管理で自動化とか、
シークレット管理を自動化とか、
またそもそもロングタイムな長期間有効なキーがないように、
Googleサービスアカウントキーはローテーションする仕組みを作りましたよとか、
そういうものを結構丁寧に解説してくれてる記事という感じですね。
サービスアカウントキーのローテーションとかは結構頑張ってるなというか、
デビンはWorkload Identity Federationは対応してないんで、
キーを使うしかないけど、
基本的にキーの発行を一律禁止するっていうポリシーにしてて、
じゃあそこに対してローテでロングタイムリビングのキーがないようにやってますよみたいな。
いやーこれなんかだるいよね。
任意の環境でいい感じにIDトークンを入手できる仕組みみたいなの欲しいよね。
欲しいね。
だからハシゴポルトとかが多分できるっていう噂は聞いた。
ちょっと使ったことないです。
でもさ、結局その実行環境というか実行コンテキストがそこで動いてるよっていうのを証明する仕組みが何らか必要なはずで、
それを何のキーも何もなしに実現するのって多分かなり難しい気がするんだよね。
そうだね。
いやー、なかなか。
あとはDevinのAPIキーの定期無効化とかもやってるみたいですね。
これシンプルだけどめちゃくちゃいいよね。
もう使えなくなったら再発行してねってことだと思うんだけど。
これなんかあれなんだね、個人単位のAPIキーも発行してるみたいな。
DevinMCPを使うのに必要らしくて、それで多分DevinMCP使いたいんでAPIキーくださいっていうのがめっちゃあるんだろうね。
DevinMCPを使うのちょっとおもろいな。
うちは割とスラックで使ってる人がほとんどだから。
DevinMCP何ができるんだろうね。
DevinMCP使いたいですっていう話も聞いたことないね今のところ。
あんまうちは流行ってないのかな。
開発させるぐらいだったらあれだけど、このプレイブックを叩くとかそういう。
確かにね。
障害調査スキルみたいなの実装したときにDevinのこのプレイブックを叩かせるとか、そういう組み合わせとかは夢があるかもしれないね。
確かに。
でもそこまでいくと本格的に権限がやばいね。
そうだね。大変だね。
そういう話が来たらこの辺の話は向き合わないといけないんだろうな。
よくマルクもDevinはまだ権限管理が終わらせない印象がありますからね。
テラフォームからのキー管理と一括の置き換えみたいなのはいい仕組みですね。
プロバイダーね。自作して。
これサービスアカウントのキーをローカルに持ってくるステップがないじゃん。
そうだね。めちゃくちゃいいね。
人間ミスりますからね、絶対。
このテラフォームプロバイダーもDevinで実装したのかな?今ふと思ったけど。
そうなんじゃない?きっと。
テラフォームプロバイダー実装まだしたことないから何かしてみたいな。
どうやるかも全然。公式テンプレ的なのがあるみたいな。
あれ、5じゃないと書けないの?
5じゃないと書けない認識だけどね。
テラフォームプラグインフレームワークっていうのがあるんだ。
原理上はどうなってるのか全然わかんないな。
バイナリーでは理想だから極論5じゃなくても。
そう考えるとうちのSREとセキュリティって結構多彩だよな。
何?多彩?
うちの多彩というか、5を書ける人いるし、ダートも書けるし、
タイプスクリプトも行けるしみたいな感じで割とエコシステムの縛りが薄いというか。
そうね、確かにね。
でもみんなそんなもんなんじゃないの?どうなんだろう?
そうなのかな?どうなってるの?
全然他の会社の事情わかんない。
あんまり10Xのテックスタックに対しては結構独特な感じだなと思って。
確かにね。
なんか、ダートがファースト言語って人がいないのが逆にいいのかもね。
確かにね。
5がファースト言語の会社だったら多分5一筋の人が集まりやすいけど、うちはそうじゃないから。
確かにね。
5一筋だけど入りましたとか。
他のオブジェイスいたけど。
確かに確かに。
ダートしか書けませんって人ほぼいないから。
そうそうそうそう。
あんまり想像つかないもんね。
フラッターだけ書いてきましたみたいな人がいたらあり得るけど、あんまりいないよね。
シニアでは少なくとも。
若手はもしかしていいのかもしれないけど。
めちゃくちゃ勉強になります。
エンプラレベルでいろいろやってますね。
DNAの記事もあったよね、昔。
エンプラかオンプレで動かしてるみたいな。
それでいうとオンプレ、デビューエンタープライズ、エンタープライズ以上のあれがあるのかな?
あんのかな?そうなんか農書の方にも書いたんだけどさ、
Googleクラウドで動かせないのかなと思って、セルフホステットで動かせないのかなとちょっと思ったんだよね。
動かせるけどお金がかかるのかもね、シンプルに。
多分コンタクトアスになってるから。
そうだよね。DNA相当、メルカリも相当大きいけどDNAも相当大きいもんね。
セルフホステットでGoogleクラウドで動かしたらさ、なんかもう全ての悩みが解決するなと思ったんだけど。
そうだね、それは間違いない。
そう。
これだね、参考記事で貼っとくか。
いいね、なんか触れられてるかな。
デビューチーム、デビューエンタープライズ。
ユーザー主要にクラウド関係の環境で。
データ、VMを管理できるよとは言ってないってね。
なんかそのアーキテクチャーズ見たときはこうできるんだと思った記憶あるけどね。
デビューエージェントはでも確かにカスタマーVPCで動いてるね。
ここでなんかいろいろ連携はできそうな気がするけどね。
なんかね、そこで動いてればちょうど次の記事に入ってるけど、なんかGoogleクラウドのOIDC使えるから。
確かにね。
だいぶいろんなもんGoogleクラウドに閉じ込めてっていうのもできるね。
そうそうそうそう。
キーレスで全部アクセスできるよっていう世界もできなかねえかなとは思って。
ありがとうございます。
デビュー運用してる方はぜひ。
そのうちそうすんだかもね。
なんかGitHub周りもだってあれじゃん。
トークンエクスチェンジの仕組みなんか内製してるぐらいだし。
確かに。
そのうちありそうだよね。
なんかそれ前提ぐらいで作ってるかもね、仕組み。
じゃあ次行きますか。
はい。
GitHub App秘密鍵のKMS移行とワークフローセキュリティ
弊社の10Xプロタクトブログの記事で、GitHub Appの秘密カギをGitHub Secretsから追い出す。
これは我らがSRHMババロット記事ですね。
記事の内容としてはタイトル通りで、GitHub Appの秘密カギ。
GitHub Appの運用方法は特に書いてないけど、
勝手に保管しちゃうと、
GitHubのAPIを叩きたい場面がGitHub Actionsでしょうで、
それに何ありますよねって話があって、
プリリクの生成とかラベルを切るとか、
セキュリティ文脈だとオーディットログを書き集めるとか、
これブログにしたんで別に言っても大丈夫ですけど、
あとオルグメンバーを取得していろいろ自動化するとか、
テラフォームのプランアプライとかもあると思うんで、
それにGitHub Appを使ってますよっていうのがあるんですけど、
なんでGitHub Appなのかは特に研究してないです。
パッドよりは一時的なトークンを破棄するっていう部分と、
権限の管理みたいな部分で使ってるんですけど、
ただこのGitHub Appの一時トークン、
GitHub Installation Tokenっていうんですけど、
GitHub Installation Tokenを利用するには、
GitHub AppのプライベートキーとGitHub AppのIDが必要で、
これをワークフローからアクセスするように
できなきゃいけないよねっていう部分が、
もともとのAzure Easeの話ですね。
このAzure Easeの話姿の何が課題かっていうと、
例えばプライベートキーをエンバイラメントシークレットで突っ込んで、
ブランチプロテクションをかけることができれば、
そのブランチを侵害できなければ抜き出すとかはできない。
だけど、どうしても要件上リポストシークレットに突っ込まなきゃいけないってなると、
任意のワークフロー改変で抜き出せるし、
あとはエンバイラメントシークレットで保護できてたとしても、
結局巷で起きてるワークフロー侵害みたいなのが起きちゃえば、
そのシークレットの持ち出しっていうのは防ぎきれないっていう部分がある。
もし持ち出されてしまうと、
プライベートキーさえあれば一時トークンは発行し放題なんで、
それなりに足がつかずにいろんなことがされてしまうリスクがあるよみたいな部分があります。
あとはワークフロー侵害はともかくとして、
ワークフロー改変に対する体制を持たせるアイデアとして、
50cmでも、
休み入る前にも話してたんですけど、
プライベートキーを触れる、
これは、そうだね。
触れるエンバイロメントと、
エンバイロメントだけだとワークフローを触ったときに、
そのエンバイロメントを使うワークフローを書けばいいじゃんってなっちゃう。
だけど、エンバイロメントはブランチの制限しかできないのか。
だからそのエンバイロメントを使うワークフローを書けばいいじゃんってなっちゃって、
それだと困るからワークフローのRef、ファイルパスの方でも縛らないとダメだよねっていう話をしたんだよね。
アイデアの一つとして、
ワークフロー改変を防ぐために、
例えばこのリポジトリのワークフローファイル配下はSREチーム以外プッシュできなくするみたいなことをすれば保護できるんだけど、
トレードオフがでかいよねって話があって、
なぜなら保護しなくてもいいワークフローもみんなプッシュできなくなるから、
そのチームに依頼しないと修正もできないし、
またプッシュルールセットの独特の罠というか運用の負荷みたいなもので、
その辺がありますよとか、
結局広い範囲をめっちゃ守らないといけないっていう話だよね。.
githubワークフローの配下全部触れないようにしないといけなくて、かな
り広い範囲で守らないといけないし、同
時に言うとコンポジットアクションがgithubアクションの配下にいるから、そ
こも全部守らないといけないみたいな。
めっちゃと言うと、さっきのプロリクエストターゲット問題と似ていて、
そのワークフローで参照している、
例えばシェルスクリプトが別のリフトに置いてあるとかと、
それも含めなきゃいけなくて、
多分ちゃんと運用しきるのってほぼ難しいっていう感じですね。
だと鍵のローテーションみたいなのが面倒だよみたいなことがあって、
その辺の課題をまるっと解決するために、
Google Cloud KMSにgithubの鍵を突っ込んで、
そこに対してワークフローアイデンティティーフェデレーションでアクセスして、
署名しかできないようにする。
github側からは得点条件、
ワークフローアイデンティティーフェデレーションの条件を満たせば
署名ができるっていう状態にして、
ただ、署名しかできない。
KMSの仕組みで署名しかできないんで、
キーの持ち出しはできないし、
署名自体が侵害されて署名だけに済まれるっていうリスクはあるんだけど、
そのときに発行されるトークンの生存期間は基本的には限られているので、
リスク緩和になるよねみたいな部分とか、
さっき言ったプッシュレールセットで広く守らなきゃいけないとか、
そういうトレードオフも飲む必要がなくなって、
ハッピーだねっていうところを紹介してくれる基準です。
もっと言うと、
KMSへのアクセスも当然、
ワークフローアイデンティティーフェデレーションでやってるので、
そこもショートリブツトークンになってるので、
KMSへのアクセスも別に永続化される可能性は基本的にはないっていう。
そうですね。
ワークフローを侵害し続けるないと、
基本的に維持とかできないようになってると言っていいのかな。
あとはワークフロー自体は超長時間回すとかになるけど、
そこはGHLintとか全部、
これまだ記事にしてないよな、
下書きで急に入っちゃってると思うんだけど。
僕の対策が、全部のリポジトリでね。
全部のリポジトリで今GHLintとActionLintとかが回るようになってるので、
タイムアウトは必ず設定されてるから、
最長でもそのタイムアウトの時間までしか延長できないよっていう状態になってる。
そうだね。
部分的な侵害でそこまでやり切る可能性は今々はそんなに。
単発ではちょっと難しいかなとは思うね。
相当的と絞ってやらないとって感じかな。
はい、これはいい話ですね。
手前ミスですか。
これさ、昔からずっとやりたいやりたい思って、
優先順位とか自分の技術力の問題とか、
もろもろでやってなかったんだけどさ、
やりたいなと思った時に、調べた時に、
マジで日本語でやってる人いなくて、
結構そういう意味でもありがたい。
今調べたらもしかしたらあるのかもしれない。
俺が作った時にはAWSのKMSで同じことやってて、
GitHubにコード公開してる人はいたけどね。
AWSはあるんだね。
この記事をリファレンスはしてなかったんだけど、
意識してそうって思った記事が全然あって、
引っ張ってきてないんだけど、
AWSの中の人が書いた、
GitHubアップの秘密鍵をGitHubシークレットから
AWS KMSに追い出すっていう記事があって、
あって思った気がして、記憶が。
本当だ、3日前に出てる。
AWSもできるよねっていう感じなんですけど。
公開してる。
実装して公開してるんだ。
まさにこれと同じ、
あれをやってくれてた実装があったんだよな、
調べた時。
これさ、でもすごいあれだね、
既視感のある挑みやな。
なるほど。
GoogleクラウドKMSって歴史は浅いのかな。
いやでも思ったけど、前調べた時に、
ここまでちゃんとやってる企業はあると思うんだけど、
ちゃんとやっててかつアウトプットしてる企業は少ないっていうのは、
まあまあそうだよねって気持ちになった記憶はあるね。
でもまあなんかその、
この状況になってくると、
これも一連サプライチェーン攻撃の対策としてはかなり有効というか、
リスク緩和としては有効だと思うから、
もうちょっとみんなやろうよみたいな流れになってきても、
おかしくないかなって気はしますけどね。
この方が作ってるやつは、
JavaScriptアクションなんで、
割とアーキテクチャ問わず動くし、
僕、なぜかGoで書いちゃったんで、
Dockerアクションになってて、
Ubuntu Slimとかだと動かないんだよね、残念な。
まあまあまあ。
その代わりにワンバイナリで、
これちょっと豆知識なんだけど、
ワンバイナリで手元に落としてきて動かせるから、
だから、
デバッグが楽だね。
デバッグが超楽で、
で、KMSに鍵入れとくじゃん、GitHub Appの鍵を。
で、リモートでGitHubアクションで、
何かうまく動かねえみたいなときに、
全く同じAppの鍵で署名したGitHub AppJotと、
GitHub Appのインストレーションアクセストークンを手元で生成できるんだよ。
なるほど。
KMSにアクセスできるから、自分は。
はいはいはい。
それは楽だね。
超絶便利。
Goインストール一発で落としてこられるから。
Chaseアクションでもロジック切り出せばできることもないけど、
ちょっとダーティーな行動になるし、
そこは明確にメリットだね。
1個のリポジトリでアクションとしても使えるし、
バイナリーも落としてこられるよっていう状態になってる。
そして当然、イミュータブルリリースで、
アテステーションが付いてるので、
しっかり署名検証もしてもらえますという、
いい感じのアレになってます。
ツール自体はCLIにして、
CLIにどっかの革被せただけのアクションとか、
たまにあるもんね、思いは。
円とかはなんか、
個人的にはやめてって思ってたけど、
そういうメリットはあるな。
アクションとして作り始めたけど、
個人的には実はそういう使い方も結構してて。
でもバイナリーで切り出しちゃって、
単体で動くようにして、
それをコンポジットアクションで呼び出すのが一番。
コンポジットアクションにすると、
クリーンアップ処理ができないからダメなんだよ。
なるほどね。
コンポジットアクションでいいんだったら、
別にシェリースクリプトで書けるし、
それはできた、すぐ。
できたんだけど、
クリーンアップ処理ができないから、
だからどっかアクションにしてる。
なるほどね。
どっかアクション、
Goで書いたのは単純に手癖で早く書けるっていう、
ただそれだけの理由なんだけど。
勉強になる、いい裏話だ。
いやでもこれは、
ぜひこの状況になったからこそ、
トライしてみてほしい技術ね。
まあそもそもそのギタバップを運用しつつ、
何ステップかね、あるんですよ。
もうほんと手前ミスだけど、
頑張ってここまで来たよ。
パッドを潰し、
ワークフローすべて直して回り、
イランの事故消し。
ワークフロー、ワークフロー直して回るの大変だったな。
大変だよね。
あれやばかったね。
なんかすごい、
結構途中で、
なんかもう、
なんか結構途中で、
あんまこういうこと言いたくないけど、
なんか割と、
ちょっとつまんねえなと思ってたよ。
いや、めっちゃ単純作業だもん。
しょうがない。
しかも単純作業の割に自動化がむずいっていうね。
そうそうそうそう。
自動化がね、むずいんだよね、あれね。
努力作。
LLMのタイトーのおかげでだいぶ楽させてもらったけど、
まあそれでも。
自動化っていうよりなんか動作確認なんだよな。
まあそうね。
動作確認のその前提を整えるのが超めんどくせえっていう。
テスタブルなワークフローを、
この立場になって、
すごい考えるようになったわなんか。
まあ難しいけどね。
まあでもその、
規模が小さいうちにやることをお勧めしたいですね、本当に。
そうですね。
今の規模だからできたと思う。
結構そうじゃなかったらもう、
的絞って徐々にやるしかないんじゃないかな。
これ1000個、2000個だったらちょっと無理だね。
無理無理無理、絶対無理。
はい。
じゃあ次いきますか。
はい。
次はね、
ちょっと今日数だけめんどくいんですけど、
まるっとまとめて紹介したいだけで、
2、3、4、5。
ん?違うな。
これじゃないな。
こっち先。
ここで全部引っ張ります。
Axiosサプライチェーン攻撃とNPMメンテナーへのソーシャルエンジニアリング
ソケットセキュリティの記事で、
Attackers are hunting high-impact noiselessmaintainers in a coordinated social engineeringcampaignという記事ですね。
これ何かというと、
一連のアクショスの話ですね。
アクショスの話にプラスアルファで、
ソーシャルエンジニアリングで有名どころのNPMのメンテナーを狙う攻撃というのが多く観測されてますよという紹介記事ですね。
で、確かちょっとメモし忘れたけど、
アクショス以外にもアクショスの権威を受けて、
うちも同じようなことやられたじゃないけど、
同じようなアプローチされてたとか、
こういうソーシャルエンジニアリング、
僕の手元にもありましたよみたいなのが、
ぽこぽこ来ているみたいな部分があって、
その辺を主にツイート、
Xのつぶやきポストなんですけど、
引用して紹介していて、
結構狙われてるよみたいな部分の、
注意喚起というか、レポーティングになってますという感じですね。
で、併せてアクショス関連の記事があまりに多いんで、
まとめてちょっと紹介したい点ですけど、
先週話したんだっけ、アクショスの話。
覚えてないな。
覚えてないけど、
復讐も兼ねてさらっと言うと、
アクショス自体が北朝鮮の脅威グループによって侵害されましたよという部分があって、
ものがものというか、
パッケージのシェアがシェアなので、
かなり話題になっていたかなと思うんですけど、
そのチンピジーピとは違って、
北朝鮮協約だから狙われたという部分の手法が、
ソーシャルエンジニアリングになっていて、
この具体的な手法がアクショスの1週で、
狙われて攻撃されてしまったメンテナーから、
実際に報告がされていて、
雑なGoogle翻訳をさっと読むと、
半年単位とかだったのかな?
半年、何か数ヶ月単位の攻撃になっていて、
基本的には最初に、
とある会社の創業者みたいになりすまして、
近づいてきて、
会社自体が本当にあるかのように、
いろいろ作り込みがされていたりとか、
そのやり取りをする中で、
その会社のスラックワークスペースに招待みたいな感じで、
そのスラックワークスペース内も作り込まれていて、
全然見抜けない、違和感なく、
そのスラックに招待されてやり取りをしていたという部分。
そんな感じで長い間はかけて、
信頼関係を勝ち取って、
メンテナーの人と偽の攻撃者が、
Teamsである日ミーティングしましょうみたいになったときに、
Teams何かで、
あなたのシステムのこれ古いから、
これでアップデートしなよみたいな感じで、
ファイルが送られてきて、
そのファイルを起動したんだけど、
それがマルウェアでしたよという話という感じですね。
ここまで信頼されちゃってるんで、
多分インストールしたときは疑いなくインストールして、
問題なく動いて、
ただ裏側ではいろんなものが集められてて、
その中にNPMの認証情報とかいろんなものが取られてしまって、
信頼に繋がったというような、
ざっくり言うとそういう感じかなという感じですね。
基本的には金銭目的なのかな、
金銭目的というのが有力な見方ではあるはずで、
とか、
あとはちょっといろんな記事をかいつまんでって感じなんですけど、
フラッドセキュリティの米津さんが書いてくれてる
Axiosソフトウェアサプライチェーン攻撃の概要と対応指針という記事のほうでは、
原因というよりかは攻撃のタイムラインとか、
実際に起きたこととかどういうマルウェアが入ってたのかみたいな部分を
淡々と紹介してこういう対策しましょうと書いてくれてるんだけど、
その中でなるほどなってなったのが、
Axiosは普段GitHub Actions経由でYDCで、
トラステッドパブリッシングで通じるのかな、今だと。
そうだね、トラステッドパブリッシングで、
デプロイされてるんだけど、今回の攻撃はこの個人のメンテナーを乗っ取って、
その人に紐づくNPMトークンで、
直接NPMにパブリッシュしたっていう形になってるんで、
GitHubリポジションに侵害されてないっていう部分があって、
NPMにおける信頼レベル、3段階あって、
1つがトークンとかでただデプロイしただけ、
2つ目がProvenanceオプションをつけてデプロイする、
3つ目がYDC連携でデプロイするんだけど、
その一番上のレベルから3つ目に下がったっていう部分があるんで、
何かの記事で紹介したNPMで、
あるパッケージが認証レベルの強度が下がったら、
インストールをブロックするみたいなオプションがあったと思うんだけど、
それ使えば実はAxiosの件に関しては防げたんだなっていうのを、
いろんなものをかいつまんで読みながら思いましたって感じですね。
何だっけ、フラットの記事に載ってた気がするな。
トラストポリシーだ、トラストポリシーのノーダウングレード。
記事だからね、スライドじゃなくて、
僕らにしか見えてないあれで言うとNotionの1個上のやつです。
今読んでるやつの1個上かな。
あれ違うな、どれだっけ。
それそれそれ。
ごめんなさい、これユニティさんじゃなくて、
Flat Security本家の記事だった。
書いてるのツバメじゃないの、これ。
でもそうだよね、タイトルとフォーマットはユニティさんが個人で書いてくれてたもの。
もういい加減会社で書くかって感じになったのかもね。
これだ、トラストポリシーの。
これさ、Xで触れてる人あんまりいないよね、そういえば。
割とMinimum Release Ageとかのほうが結構話題になってる一方で、
これはあんまり話題になってない、ちょっと面白いなって思った。
俺もこれ、今日のこれまで忘れてたんだけど、実は。
やんなきゃやんなきゃ思ってやってなかったな。
これでも運用が大変ではあると思うんだよね、多分。
どうなんだろうな。
実際その、どうなんだろうね。
分かんないけど。
分かんない。
運用してみないと分かんない。運用してみたいな、普通に。
運用しといてください。
オーディットの欄で表示してほしいよね。
これダウングレーダーされてるやつだよって。
でもね、表示されても見ないよ。
しかも表示された時点で遅いんだよな、しかも。
そうだね。
ブロックが丸くて。
ブロックしたものを精査して、多分ホワイトリストに入れてくっていう運用になる。
だからその運用がどんぐらい頻度で発生するんだろうなっていうのは結構ね、
分かんないなって思ってるな、個人的には。
そうですね、そんな感じの一連の。
だいぶ落ち着いたのかな、Factious周りは。
ちょっとXを見れてないんで、あれですけど。
またついでの紹介ですけど、
紹介ですけど、さっき言ったスライドって言ったのは、
GitHub Actions進化へ相次ぐ事例を振り返り、次なる脅威に備えるっていう
フラットセキュリティのスライドがあるんですけど、
トリビ、もっとたどると去年の3月のTJ Actions Changed Filesから
ちょこちょこ起きてるサプライチェーン攻撃のやつに関しても、
今時点で綺麗にまとまってる記事だと思う、スライドだと思うので、
ちょっと大きな声で言えないけど、よく分かんないですって人は
これ全部読んでおけば一旦いいかなっていう、
とてもいい種類だと思うので、合わせて紹介しておきます。
いると思うよ、なんか。
別に馬鹿にするわけじゃないんだけど、大半の人はなんか
企業規模でのセキュリティ対策とプライベートレジストリ
侵害されたらしい、やべえみたいな感じで、このコマンド叩けばいいみたいな感じでやるとか、
Actionsぐらいでもしかしたらちょっと温度感変わったかもしれないんだけど、
結構優秀なというか、ちゃんと感度を持ってるソフトエンジニアの人たちとか
結構掴み切れてない人はいそうだなって気はするから。
なんかさ、これ今日ってActionsの記事の話ってまだあるんだっけ?
一旦これで全部まとめて終わりだよね。
そうだね。
全部まとめて終わりです。
割と管理者視点今困ってるのは、ミニマムリリースエイジとかさ、
これやればいいよっていうのはあるんだけどさ、
あの辺の仕組みって結構その、なんて言ったらいいんだろう、
全社で強制みたいなのがすげえめんどくない?
めんどい。
技術的には可能ですっていう、たらぐいのものではあると思うんだけど、
だいぶしんどいよなと思ってて、みんなどうしてんのかなっていうのが結構気になってるな。
ガチでやるならもうプライベートレジストリ立てて全部そこ使えじゃないかなって。
でもネットワークのさ、ブロックが必要じゃん。
ブロックが必要だね。
だからブロックとセットだともうOK。
NPMJSAのアクセスブロックして、自社で用意したものを使う。
そこでクールダウンタイム儲けとくっていう感じだね。
そうそうそう。
そこでログ見ればいろんなやつも全部わかるから、
規模感にもよると思うけど、
例えば僕らみたいなエンジニア30人、社員でいろいろAIコーディングしてる局面で40人だとして、
そんぐらいの規模感だったら40人ヒアリングすればどうにかなるみたいな。
規模感ならどうにかなるとして、
1000人、2000人とかったら創生ざるを得ない局面までちょっと来てるかもなって気は。
ちょっとするけどね。
なんかボースラックで、シャイフラットかな。
シャイフラットの第一波が来た時に各社対応どうしてますかとか相談したことがあるんだけど、
結構デカめの企業に勤めてそうな方とかは、
一旦全部NPMJSAプライベートレジストリ用意する前にもNPMJSAを一律ブロックして開発者がブチギレてるみたいなこと言ってた。
でも創生ざるを得ない。
前にも聞いたのはその話な。
なんかTwitterでもなんか愚痴ってる人いた気がするな。
愚痴ってパズってる人いた気がするな。
ソックチームが死んでるとか。
そうだよねって感じ。
だけどなんかその1000人、2000人でも気をつけてくださいってどうにもならん規模だったら創生ざるを得ない気はするよね結構。
いやー、なかなかね。
なんかその解析結果がさ、パッと上がってきてさ、なんかシーズはここで動いてますとかわかればさ、
そこへの通知をブロックするとかはできるんだけどさ。
確かにね。
幸いなことにさ、改ざんされたものがさ、その2段3段とどんどん変化していくってあんまりないじゃん。
ないね、今のとこは。
改ざんされた部分に関しては。
でも今回のって、仕込まれたもの自体はドロッパーだったから、
いやー、そうなんだよな。
そうするとC2ここですって最初になっても、何でいつの間にか変わってましたとかあるから、
だから2,3時間でテイクダウンされてるうちは別にいいんだけど。
まあ割とイタチごっこの始まり感はある気はするよね。
なんかこのやり方で刺さるうちはこのやり方が入ってこない気はするけど、
まあそのエコシステムが後からもろもろ返ってきた時に、
まあ向こう側も当然しつこく対応してくるだろうから、
僕らが思いつくことはやって消えるんだろうなと思わないとダメだよね。
厳しいっすよ。
はい。
はい。
まあ、先制層のある事件でしたね。
まあ現在進行期ですけど。
なんか、いやー、前にも話したけど、各社どうしてますか話をしたいんだよな。
したいね。
マジでクローズドの場で結構各社どうしてますか話をしたいな。
なんかうちは割とGitHub関連の部分に関しては、
まあ結構手をかけてやってきたし、
これやってるよっていうのは記事にして公開したりもしてるから、
うん。
まあ正直出してない話はそんなに今ないかなって思うんだけど、
なんか、
まあそれでもあれもこれもっていうのがいっぱいあるじゃん。
全然あるね。
3DPM浸透どうすんのとかね。
そうそうそうそう。
レシスト利用するうちの規模感でみたいな。
そうそうそうそう。
まあ匠ガードとかはあるけれども、
なんかあれパイパイの方はさ、
そのクールダウンタイム72時間入れてくれてるけど、
NPMの方はまだ入れてくれてないから、
どこにも書いてないので多分まだ入ってないんだけど、
なんかクールダウンタイムはやっぱ欲しいよなって思うし。
そうだね。
チェフログなのかな。何使うんだろうね。
まあまあ話したいね。
なんかもう紹介しないと思うから話しちゃうんだけど、
来週分の記事で、
なんだっけな。
ISNCだっけ。
そのアサヒグループがランサムウェア対流通業界におけるランサムウェア対策を
その企業間で連携して情報共有するための
INSCだっけ。
アイザック。アイザックかな。
アイザックか。はい。
流通アイザック作るってこと。
おー流通アイザックだ。受ける。
受けるときちょっとごめん。
自分のなんか感性がぴったりあって面白かった。
そう。で、記事があって。で、そのアイザックっていう概念を知らなくて、
ああ、こういう概念あるんだと思って。
その別に、なんかね、他の業界とかはいろいろあるっていうのを見て、へーって思ったんですけど、
なんかその、まあまあ僕らで言うこれはシーサートなのかな。シーサートじゃないよ。
なんだっけ。日本のシーサートの、シーサート協会か。
はいはいはい。
なんかああいうその、なんだろうな、ちょっとクローズドで横軸各社、
まあ似たような業態規模感で、なんか横軸で連携する仕組み普通に欲しいよなって気が、
ふとしたわ今。
優勝の発祥聞いて。
なんかでもどうなんだろうね。なんか結構どうなんだろうねと思ってて、
その、あの、別に流通ってわからん、俺流通に関してはごめんなさい。流通の別に専門家ではないからあれなんだけど、
なんかそんなに強い規制がないと思うんだよな。どうなんだろうね。
あれに対して。
法規制がないような気がしてて、その流通の事業者に対して。金融アイザックとかも実はあるんだけど、金融アイザックとかテレコマイザックとかあるんだけど、
なんか金融もその電気通信事業もさ、結構法規制があるじゃん、ちゃんと。
で、流通ってなんかそれに特化した法規制ってないような気がしてて、
じゃあなんかこのセキュリティっていう括りで見たときに、その流通に閉じるものって何っていうのがなんかちょっと気になっちゃうな。
どうなんだろうね。そこはわかんねえっすわ。
製造卸小売りの産業体でサイバー攻撃の兆候や被害事例を把握共有しってなってるけど、
なんか製造卸小売りに特化したセキュリティって。
例えばもう流通はみんなこの機関システム使ってますとか、このIoT機器は絶対みんな使ってるよねとか、
そういうあるあるがあるんだったら、そこに閉じる意味はもしかしたらあるのかなとか思ったけど。
小売りはみんなステイラーを使ってますとか。
そうね、例えばね。そうなったら嬉しいけど。
なんかその、そうね、なんか実体はどうあれ、こういうのが欲しくなる気持ちはめっちゃわかるなって思ったって感じかな。
いやー、ま、ちょっと流通っていう括りで挨拶がいるのかどうかは、なんか個人的にはまあちょっとようわからんなって思うけど、まあでも、いやーなんか。
まあまあまあ。
うーん。
まあ小売りで相次いだ小売りじゃなく、流通で相次いだからなんかオブザーバーとして計算省が参加するって書いてあるから、
じゃあなんか流通で相次いだから計算省がなんとかせいっていう風に言ったのかもね、もしかしたら。
そうだね、そうなのかもしれない。
ちょっともうこう話しちゃったから貼っとこう。
これどれだっけな、もうなんか記事多すぎて。
まあそんな感じですね。
握手さん話してたのか。
まあちょっと、あの、なんか休み明けたら考えよう。
とりあえず、そうね、はい。
いや、なんか他社のセキュリティの人を誘って飲み会しようぜって気持ちになりましたって感じです。
はい。
じゃあ次行きますか。
皆さんお気を付けください。
行きましょう。
さらっとできるんですけど、
マイナンバーカードと運転免許証の連携
かけやすシムの契約は運転免許証の写真だけではNGに、
マイナーカードの読み取りなどの厳格化は法改正の影響という。
ASCII.JPかけるデジタルというメディアの記事ですね。
はい、なんか昔多分、
FMで、えっとね、なんだっけ、
名前が、そうだ、携帯電話不正利用防止法かな。
が改正される。
で、まあいろいろ本人確認周りでマイナンバー必須になるよみたいな盛り込まれますよって話を多分、
いや、あれ何年前だろう。
半年前とか1年前とかなんですかね。
したんだけど、まあそれが成功されててニュースが流れてきたんで、
さらっと紹介という感じです。
で、まあ狙い通り不正利用が減るといいですねって生の良い気持ちで、
長道はいるんですけど。
マイナンバーね、どうなんでしょうね。
ちなみに店頭ではマイナンバー的なのは必要ないらしい。本人確認する。
だからまあ抜け道としてはまだ残るっていうのはこれかもしれないけど。
いやーまあ普通にめっちゃ店頭使うんだろうね。
なんかその、ちょっとかなり雑談になってしまうんだけど、
おとといかな、免許証の更新に行ったんですよ。
で、その免許証の更新のタイミングでマイナ免許証にできるんで、
したんですけど、免許の更新って免許持ってない方にために説明するといろんなパターンがあるんですけど、
で、僕のパターンは免許センターのときに行って、写真撮ったりいろんな手続きをした後に講習を受けるんですよ。
安全な運転とか直近の、僕は滋賀県住んでて、滋賀県の交通事故の傾向はこうでとか、
なんかそういう座学を受けて、で無事免許更新ってなるんですけど、
その座学受けた教室、僕と同じ教室で座学受けたのが多分20人ぐらいいて、
で、そのうちなんかマイナ免許証の方は別の部屋で免許渡しますってなったんだけど、
そのときになんかこの部屋は4名いらっしゃるんで、4名の方前に来てあっちに行ってくださいって言われて、
なんか結構4人ってなったというか、
あ、みんなしないんだみたいな、まあでも確かにですね、
まあそんなもんかって思ったのと。
あれさ、だってマイナンバーカード執行したら免許証も使えんの?免許証も執行やで?一時的に。
いや、えっとね、オンラインで更新すれば大丈夫。
のと、あとはその2枚持ちもできるから、僕は2枚持ちにしちゃった、普通に。
あ、そうだ2枚持ちだったら大丈夫だね。
あとなんか地味にその。
オンラインで更新すれば大丈夫って言っても、だって引っ越したときとか、引っ越してもまあ別に前のは生きてんのか。
うん、引っ越しても。
えっとね、その細かいのがあって、詳しく調べてくださいって感じで、僕もうろ覚えなんですけど、
その2枚持ちと1枚持ちでちょっと微妙に違ってて、
1枚持ちだとその引っ越しパターンとかはもう1回の手続きでマイナンバーも免許証もいけたはず。
で、2枚持ちだと免許証とマイナンバーそれぞれ変えなきゃいけないはずかなとか、なんか細かいあれはある。
だからまあそこはちょっとややこしいんだけど、
あとなんか地味になるほどってなったのは、1枚持ちにしちゃうと海外行ったときに国際免許証として使えない可能性というか国があるから、それでもいいですかって聞かれて、
それ聞いてちょっと一旦2枚持ちにしたんだけど、まあ多分海外で運転しないから、実住泊いらない配慮なんですけど、
でも思ったのは4人しかいないっていうのと、あと家帰ってパートナーのご家族が家に来てくれてたんで、
話してて、確かにってなったらそもそもマイナンバー持ってる人が全然周りにいないわみたいな話してて、
そうなるとそもそも確かにマイナンバー免許証選択肢ないのかと思ってしみじみにしましたっていう雑談。
すごいね。
そういうもんだよなっていう、自分の身の回りの人たちとが世界だと思うと、結構感覚かなりずれるよなというか、
何も調べずに作らないって人もまだまだいっぱいいるんだろうなっていうのをちょっと思いましたって感じです。
マイナバー免許証すると公衆がさっき言ったザカオカがオンラインで受けられるんで絶対やりたいと思って。
有料運転者と一般、有料と一般だけなんだけどそのカテゴリーがあって。
でも発行、あ、でもオンライン、そっか、発行、更新って続きもオンラインできるようになるのか完全に。
いや、更新はね。
現地行かなくても受け取れるってこと?
いや、更新は現地行かないとダメかな。
あ、そうなんだ。
でも例えば、東京に住んでる人とか多分あんまそういうことないと思うんだけど、
例えば滋賀県とかだと、
なるほどね、湖渡らないといけないんだ。
そう、免許センターに行けば1日で完了するんだけど、近くの警察署だと2回行かなきゃいけない。
それが1回にできるから、めちゃくちゃ普通に欲しい。
確かに、あんまり気にしたことなかったな。
僕も東京住んでるときはなんかそんな別に頭ひねった記憶なかったんだけど、今回なんかね。
更新のパターンめっちゃあるなみたいな。
普通に新宿に行って、なんかその場で受け取って帰ってくるし、
さえ住んでたところは区役所、区役所じゃない、警察署が超近かったから、なんか別に、東京内だったし。
あ、じゃあ別に。
2度行くことに何の抵抗もなかった。
なるほどね。
あとはそのさっき言った住所の変更とか、そういう1枚にしちゃうとね、結構なことがオンラインで完結したはずかな。
でも、まあそうね、いいや、はい。
唯一の不満は暗証番号1つ増えるんですよ、前の案件書の。
だからもうそれだけほんと勘弁してとは思ったけど。
ちょっと暗証番号が多すぎて、なんかこれは人間にはちょっと使いこなせない。
ワンパスアドが管理しよう。
ワンパスアドが管理してるよ。
でもワンパスアドで管理しててもさ、なんかその暗証番号のさ、名称がさ、もうなんかないじゃないですか。
まあいいや、はい、ちょっと。
いや、ちょうど今日マイナー保険証で、そのスマホでできるから試そうと思ってスマホでやったら暗証番号持ってもらえて間違えたからすげえちょっとプリプリしてるんですけど。
プリプリしてる。
マイナンバーのさ、マイナンバーの暗証番号がまず2通りあってさ。
そこにマイナー保険証が3つ目入ってきて。
マイナー免許証か。
むずいよみたいな。
一定間隔間違えたら契約周期だからちょっとドキドキしながらやらなきゃいけないし。
まあいいです。
でもまあまあ全面的に応援しますっていうのと。
まあ、はい、さらっと紹介で。
ついでにいっぱいしゃべっちゃったけど。
じゃあ、はい、次。
Ciscoソースコード盗難疑惑とShiny Hunters
さっきのSyscoの話ですね。
こちら続いてた。
Syscoソースコードストールイントリビリンクトディブエンブレムドリッジって記事で。
さっきちょっといっぱい話しちゃいましたけど。
まあ、ブリーピンコンピューター以外のソースがなさそうっていう話と。
Shiny Huntersの話、ブリーピンコンピューター記事に言及あるよね多分。
読んだ記憶はあるが。
なんかちょっと気なくさいし、話半分ぐらいでいいかもな。
ちょっと怪しいなって思いながらそう実は。
いや、ありがとうございます。
これは僕の記事用魅力が良くなかった気がする。
3月31日か。
まあでもShiny Huntersの強化つがあるのは事実なのか。
だからまあその経路がトリビリンなのかどうかはもう全くわからないって感じかな。
Shiny Huntersはちなみにあれですね、割と2019年から活動してるんだ。
割とセキュリティ研究所見てるとよく見る脅威役だって感じですね。
ちょっと続報があればお伝えします。
終わった。
すいません。
大丈夫です。
まあでも本当だとしたらめっちゃ深く語ろうと思ったらビックリしたわけじゃなくて。
いや、わかるよ。本当だとしたらやばいよね。
本当にシスコをやりたいんだとしたら多分シスコにやるうちだと思うから。
集めた情報の中からシスコへ行けるようになっていったんだと思うから。
そうやって順番にやられていくとちょっとしんどいなって思いました。
まあもしくはあれか。
チームPCPが現金化のために住んだクレデンシャルを一部売り出してそれをShiny Huntersが買ったみたいなシナリオも全然あるんだろうな。
うわー、裏の経済学過ぎておもろいな。
チームPCP自体の目的は基本的に金銭っぽいって話はあったから。
暗号通貨で取れる分だけ取って残りは売りさばいてみたいなやつ。
ちょっと推測の勢いが出ないんで話半分にしようかという感じでした。
じゃあ次は、神名市のブログで開発チームに入ってセキュリティを向上するということっていう記事ですね。
開発チームへのセキュリティエンジニア派遣の効果
さらっと紹介できればいいかなって。
たぶん1年前ですかね。
1年前ですね。
たぶんこのPodcastでも紹介したけど、
開発チームにセキュリティエンジニアを派遣して実際に参加してもらうという取り組みを始めましたみたいなのがたぶん1年前にあって。
探してみるか、1年前。
ここの記事の中にリンクが。
ちょちょちょ、我々の方の。
その答え合わせ的な記事になってるんで、ぜひ紹介できればなという感じなんですけど。
これ実際に派遣されたエンジニアの方が書いてる記事ですね。
具体的には神名市レポートっていう製品の開発運用に1年間かかりましたよっていう部分があって、
この方のバックグラウンド自体はセキュリティエンジニアなんだけど、
たぶんインフラストラクチャー側のスキルセットが強い方っぽいので、
開発運用に関わりながら、
自分の強みを持ってる方面でいろんな改善とか運用負荷の軽減とかやってましたよっていう部分がありましたよという感じですね。
結構実際に中に入ってみてどうだったかみたいな部分は、
特筆べき、愚直にやってるなっていうのが雑な感想になっちゃうんですけど、印象としてはあって。
チーム内で全体のセキュリティ施策が降ってきたときに、
まず最初に自分のチームでそれを注文巻き込んで推し進めていくみたいな部分とか、
またセキュリティの知見の共有みたいな部分とかも、
この方自身が多分セキュリティ専門としてキャリアを歩んでない、
なんで僕と近しいんだろうなって勝手に思ったんですけど、
そういう立場だからこそ分かる気持ち、開発者の気持ちみたいな部分があったりするっていうのがあるんで、
そういう気持ちを持ちつつ、
どういうタイミングでどういう知識をインプットするのかとか、
それをどんな形でチームに共有するのかみたいな部分にトライしてきたよみたいな部分があったりって感じですね。
あとなんかこれ。
ちょっと、いったん聞くわ全部すいません。
全然。
これめっちゃいいなと思ったのが、
どこだっけな、
気づける筋肉みたいなのがあると思ったのに、
それはやはり知識と実践で養われていきますみたいなフレーズがめっちゃいいなって。
これさ、すげえ変な話だけど、
一回自分の書いたコードの脆弱性を指摘された人はなんか、
二度とやらんみたいな。
そんなあるんだ。
いや、なんかない。
あるかもね。
うわー、やっちまったーみたいな、なんかその、
あるかもね。
結構記憶に残る。
セキュリティじゃなくてもあるもんね、その障害とかさ、バグとか。
そうそうそうそう。
確かに確かに。
あると思うんだよね。
それに近いなってちょっと思った。
確かに確かに。
気づける筋肉みたいななんか、
ものに近いのかなって。
めっちゃいいフレーズだなって思った。
なんか腹落ちするフレーズだわ結構。
で、あとはなんか、
これは面白いなというか、
雷のエンジニアリングチームのレベルが高いからっていう言い方もできる気がするけど、
実際になんか全チームにセキュリティエンジニアの派遣というのはできてない状態にはなっているんで、
この方が派遣されたチームを見て、
他の派遣されてないチームが、
派遣されてないから自分たちで頑張るぞみたいになって、
結構大なしっぽを持ってくれたっていう部分があったらしいっていうのと、
なんかそのチームの方がむしろセキュリティができてそうなのが悔しいですみたいなことを書いたりするので、
それはなんかちょっと面白い副作用だなっていう部分を出ましたって感じですね。
結構どうなんでしょうね。
その記事の中では結構定量、定性的な評価とか感想が多いかなっていうのがあるけど、
1年前の狙いみたいな部分、
概ね達成したと言えるのかなっていう部分をちょっと思いつつ、
少なくともなんかあんま課題とかここはワークしなかったみたいな言及は、
あったけど書かなかったのかそんなになかったのかわかんないですけど。
なんかちょうど1年前に紹介したときの僕のメモを見てたんだけど、
なんか持続可能性と効果測定がやっぱ課題だよねっていうふうに書いてて、
セキュリティ機能について考える開発チームをやってた身としては、
割と普段の業務でプロダクトセキュリティ的な観点が求められる場面ってそんなにないよねっていうふうに書いてて、
そこに対してのアンサーは正直なかったなって思ったんだけど。
それはそうかもしれないね。
でもセキュリティナレッジの共有みたいなのをしてたっていうのは言って、
そういう場面があったのかなやっぱり。
どれぐらいあったのかっていうのが気になるよなやっぱり。
ちょっと書きづらいかもしれないけど、めっちゃ具体的な話聞いてみたいかもね。
なんかこのチームはこういう開発スタイルでこういう機能を開発してたから、
そこに対してこういう、このチーム特有でここの部分考えなきゃいけないよねみたいな。
対応したらうまくいったとか。
あとチーム特有の問題と組織をまたいでこうやった方がいい課題と、
両方見つかると思うんだけど、どうしてたのかなとかね。
でもやっぱりチームに入り込むメリットってその前者の部分の推進力を得る部分なのかなという気はしていて。
最初の方で具体的な内容書いてないんで何とも言えないですけど、
1年間のうち前半年は割と運用にがっつり入ってますみたいな部分で貢献して、
残り半年ぐらいはその前半の経験を基に重めのインフラセキュリティ改善に取り組むことが最優先であると判断し、
チームとしても合意の上で対応を進めることができましたっていうのがあって。
これはチームに入ったからできたのかみたいな部分の初感は気になる気はする。
コンテキスト把握してたからうまく説得できたのか、
そもそも中に入らないと気づけない課題があってそれをレーズできたのか。
確かに今言ってても結構いろんなパターンがありそうだなって気はするね。
まあ千差万別だろうね、会社によってチームによって。
そうだね。
この例が一定学びを得られましたっていうのはめっちゃわかるけど、
どこでもワークするのかとかは正直わからないし、
いい話だなと思いつつね。
測定可能じゃないけどその再現可能な部分とそうじゃない部分みたいなのが、
再現可能な部分が抽出してブラッシュアップできるともしかしたらいいのかなっていう気もするな。
言いはやすすぎるんだけど、
多分まあ上梨的にもひと回しして1周目終わりましたみたいな感じだから、
こっからなのかなと思うけど。
まあなんか結構泥臭いし、なんか草の根活動的なものではあると思うから。
でもなんかこの良かった変化を言語化する難しさみたいなの結構個人的にはめちゃくちゃわかる気がしてて、
TENXもそのセキュリティチーム作って3年、3年なのか?
3年ぐらいじゃない?
3年ぐらい。
2023年でしょ作ったの。
そうか。
作ったの。
じゃあ3年ですか。
ぴったり3年。
知らん、知らんけど。
いや、3年だと思う。
3年4ヶ月目なんですか。
なんで俺が言ってるのって感じじゃん。
時間関係が狂ってるな。
狂ってるよね。
でもその3年前と今で、
開発チームに入り込む活動はしてないけど、
でも開発チームの意識変わったなっていう部分はめっちゃ差分としては絶対あると思ってて、
それをじゃあなんか綺麗に言語化したり、
それをじゃあ続けていくためにはどうすればいいかみたいなのを、
自分の中でうまく形にはできないなって今思ったから。
そうだね。
時間もかかるし、
なんて言ったらいいんだろう、
それこそ気づける筋肉じゃないけど、
身をもって知らないとみたいなのも当然あるし。
あとなんかやっぱ人間だからさ、
人であり組織であるからさ、
たぶんなんか綺麗に文章化できない部分で、
いろんな副作用があったんだろうなって気がするんだよね。
例えばそのアクションズ、
さっき弊社はめっちゃ頑張って、
それなりにいろんなことやってきたって話があったけど、
そういうのを旗手見てたりプルリクボンボン飛んでくるのを見て、
なんか意識変わったっていう話をしてくれた人とかいたりとか、
あー面白いね。
あとはなんかその、なんだろうな、
めっちゃ覚えてるんだけど、
2年前、だからセキュリティチェア始まって半年か1年ぐらいで飲み会の時に、
なんかセキュリティ、
カヤチームから見てセキュリティどうすかみたいな話をした時に、
いやめっちゃめんどくさいっすみたいな話を。
悪意はないよ。
いや分かるよ。
タイトなフィードバックとして言ってて、
まあそうっすよねみたいな話をしてくれた人が、
なんか気づいたらめっちゃセキュリティのプルリクを出したりしてて、
ちょっとした改善とかのね、
とかなんか、
そういうのとかなんかすごい言語化が難しいなっていう。
だからあんま脅かすとかはしたくないんだけどさ、
その、まあ脅かすとかはしたくないから、
まあ実際まあまあまあ別に1年ほっといても大丈夫でしょってものは、
実際そう言うし、
なんか、
まあやらんでいいんじゃないですかっていうものは、
まあやらんでいいんじゃないですかって言うし、
なんか判断つかないしって別に言うけど、
結局、後になってめんどくさいと思って、
我々はいろんなこと言ってるっていうのはやっぱり、
なんか裏のそのこう考え方みたいなのがやっぱりあるからさ、
なんかそういうのがまあいろんな形で伝わってるんだったら、
それは嬉しいしありがたいことだよね。
またやっぱなんかシンプルに知らないってことめっちゃあると思うから、
確かにね。
あ、そういう概念あるんですねみたいな気づきを得てくれてる部分はあるんじゃないかと思ってて、
まあそれこそ自分がさ、もともとセキュリティやってなかったから、
日々気づきの連続なわけなんだけど、
僕はそう思うってことはやっぱ同じこと思う、
エンジニアが何人かいても不思議はないかなって気はするし、
アクションズなんてコピペで書いてた、書いてる側の人間だったからな、それこそ。
でもいいですね、ひと回しして、
なんかまた来年、まあ来年なのかあれですけど、
雷のセキュリティ中、注目かつ応援しております。
ありがとうございました。
ありがとうございます。
ちょっとうちもこういうの出すか。
休憩。
いやー、うちどういうの出す?
今言った話普通に、まあ別にブログじゃなくてもいいかな、
ポッドキャストとかでもいいかな。
なんならポッドキャストでちょっと話したいんだよな、会社の方のポッドキャストで。
フタブーさんとエンジニアと話したときに。
ポッドキャストでなんかセキュリティ枠を作ればいいんじゃない?
いや全然、ちょっと休みから戻ったら提案しますわ、じゃあ。
なんかいろんな人をゲストで呼んで、なんか。
そうね、それもいいかもね。
セキュリティってどうですかって。
なんか。
普通にいいね、僕らの業務兼採用広報みたいな。
全然ありだね。
どんな仕事をしてるんですか?セキュリティってどうですか?って。
確かに確かに。
それは喋んないとシースみたいなの出てきたりして。
ピー音入れて、ピー。
全然。
普通にありそう。
まあ、それも含めてね。
はい、じゃあ次いきますか。
UBIのAIエージェントによるセキュリティ分析と進化
いきましょう。
UBIにおける1年間のセキュリティ分析AIエージェントの運用。
UBIテックブログで、我らが水谷さんの記事ですね。
ちょっと話題になってるんですかね。
ちょっとSNS見れてないですけど。
どういう記事かというとタイトル通り、
UBIの社内で運用しているセキュリティ分析AIエージェントについて、
1年間の成果とか進化した部分みたいな部分を、
かなり丁寧にまとめてくれてる記事ですね。
具体的にはウォーレンってこれOSSですよね。
そうですね。
セキュリティモニタリングラボってオーガニゼーションに入ってる。
多分水谷さんラボなんだろうなと思うけど。
OSSに割ってるウォーレンっていうものを使って、
セキュリティ分析AIエージェントっていうのがありますと。
具体的には、多分いろんなログとか情報をまるっと集めてきて、
蓄積して、そこに対して分析をかけて、
ラートを上げたり、こういう脅威がありそうみたいなのを、
スラックに通知するとか、
あとはWebのUIに出すみたいなものをしてくれる。
超ざっくり言うとそういうツールになってますって感じですね。
そのAIの要素としては、
まるっといろんな情報を集めてきたところを取り味したり、
分析したりする部分にAIを活用してるって感じですね。
細かい部分はぜひ読んでほしいなっていう感じなんですけど、
1年間の差分、どういうふうに進化してきたかみたいな部分を結構書いてくれてて、
そこがいい意味で泥臭くていいなって思った記事でしたって感じですね、個人的には。
具体的には最初のうちは、
AIエージェントが担う部分っていうのは結構限定的な部分に留まってて、
ただそこでこういう感じだったらいけそうみたいな部分を徐々に徐々にチューニングして、
AIにやらせる部分をどんどん増やしていって、
最終的にここまでいけましたよみたいな部分を結構もうタイムライン形式じゃないですけど、
書いてくれてるって感じですね。
いくつか面白い部分があるとすると、
そうだな、関連情報の収集みたいな部分はAIエージェントめっちゃ得意ですよねとか、
あとは語源地のフィルタリングみたいなのはもうおもはや人間より優秀っていう見出しがあって、
結構今時点の最新のモデルとかであれば全然やれちゃうから、
ここはもうAIに任せてもいいんじゃないかっていう。
一応なんか水谷さんは今も分析結果を一取り目通してるけど、
今んとこミスったとか大きなそこは見られないっていうことを言ったりしてるって感じですね。
またそのAI使いこなす上でのコツみたいなのも結構いろいろ書いていて、
それそうだよねって部分としては社内のデータ、
社内やデータに関するコンテキストを読めるようにしておきましょうとか、
いろんなデータを食えるようにしておきましょうとか、
フォルスポジティブのパターンをため込んで置いておきましょうみたいな話とか。
また課題としてはコストがあったり、
実際の重大因子炎に対する分析制度みたいな部分はちょっとどうなるかっていうのはまだ未知数。
っていうのもこれ素晴らしいことなんだけど、
実際にこれ運用始めてからめっちゃでかい因子炎とかまだ起きてないから分かんないっていう感じとかがいろいろありますって感じですね。
ようやっとる。
ようやっとるよね。
偉い。
ちゃんとやってる。
結構ここまで水谷さんパワーだよね。
これを自分で作って分回して一定の成果を出してみたいな。
で、改善もしてみたいな。
体力ある機器じゃないとできないですねって言い訳を許さない感じの。
もちろん一人でやってるわけじゃないとは思うんだけど。
面白いよね。
このログのプロアクティブな分析みたいな部分はやっぱ、
情報の収集元にCMからCMより踏み込んだ分析をしてるってことなのかな。
CMってそんなにでもコードに何でもお任せできる感じなの?そもそも。
集めたログに対して基本的にプリセットプラスカスタムルールで
アラートを上げてくれるくんだと思ってたけど。
このO-LENはその機能も兼ねてるのかなって気がしてて。
その辺の住み分けはちょっとよく分かんないな。
ちょっとこの感じでDependabotアラートも見るようにならないかな。
見れるんじゃない?
渡せばできるのかな。
コードベースの分析とかまではちょっと難しそうだよね。
あくまでこのログを見てどうこうっていう感じだよね、きっと。
だからDependabotってよりかはSBOMとかこうしたほうがいいんじゃないかな。
何か起きたときにこのタイミングでSBOMがこうだったから
これで侵害されちゃってるかもとか。
そうだよね。侵害ベースになるよな。
でもこのDependabotの対応を急ぐべきっていうのを良しなかったしね。
それはこれの役割とはちょっとずれてる気がする。
それはそれでもうちょっと閉じたスモールなプロダクトがあったほうがいい気がする。
もうGitHubが出しそうだけどね。
GitHubやってくれて楽しいよね。全部見えてるんだからね。
多分アドバンスド席っていうのは課金が必要だと思うけど。
無理だよ、無理。
このDependabotの話が出てくる感じからも
平日の疲れが垣間見えるのがちょっと面白い。
他人事みたいに言っちゃって申し訳ないけど。
無理ですね。
だいぶ楽できるようにはしたけど。
旧長期お休みいただいてる中でさ、
隙間時間で片手で赤ちゃん抱っこしながら
片手のスマホでいろんな生活便利ツールを
AIコーディングしてるんだけどさ。
動かしてるやつはアラートちゃんと解消しようと思って
背中刺されないように。
パブリックリモとかアラート溜まっちゃってたから運用してるんだけど
普通に個人の小っちゃいNPMパッケージのDependabotアラートの対応でさえ
しんどいなって思えば。
NPMエコシステムの課題と車輪の再発明
消せないじゃん、なんか。
NPMのエコシステムが特にしんどい問題が
割と多分あると思ってて。
そうだね。
本当どうあるべきなんだろうね、マジで。
わかんないわ。
わかんないはちょっと無責任すぎだけど。
そのトレードオフのリターンに対してリスクが大きくなりすぎてる感じなのかな。
トレードオフのリターンに対してリスクが。
リターンに対してリスクリターンで言うと
リターンで言うとNPMが難しい要因って
Unixの哲学じゃないけどすごい小さい役割に1個のパッケージがあって
それをみんなで使う。
で、それを繰り返していくことですごい何回さにも
いろんなパッケージがいろんな場所でいろんなバージョンがついてるみたいな。
そこのトレード。
今まではそれでよかったけど、でも今のリスクとしては
例えばAxiosだともうみんなAxios使ってるみたいな。
直接使ってなくても絶対どっかでは使ってるみたいな。
状況において1個みんなが使ってるようなやつが侵害されたら
アラートバーって大量に出ますみたいな。
DependableとAlertの運用って観点ではリスクというよりは
対応コストみたいな部分になるし
それが侵害されたらリスクにもつながるし
貯金つながってるわけで。
リスクが大きくなってきたり
あとはコストとかDependableとAlertに関しては
対応コストが大きすぎるよねみたいな。
になったときに小さい役割のものを作って
みんなで使いまわす。
使いまわすというか
車輪の再発明しないっていう世界観が
これから先も本当にいいんだっけみたいな部分が
どうなんだろうねっていう感じの意図かな。
車輪の再発明がAIによって
50円ぐらい払えばできちゃうみたいなのが
あんまり非現実的じゃなくなってきてる部分も踏まえて
どうなんだろうなっていうのは
考えんことはないって感じかな。
Next.js作り直したクラウドフレアさんも
いたりとかそういうのもちょこちょこ
本気か冗談かわかんないけどさ。
やろうと思えばできちゃうわけで
NPMの話になっちゃったね。
ウォレン、素晴らしいです。
EV本当にすごいなって思ってます。
ぜひ読んでください。
NPMの話はいくらでもしましょうまた。
じゃあ次。
これも超さらっとでいいかなって感じですけど
macOSターミナルでのクリックフィックス攻撃対策
Apple as macOS terminal warning to block click fixattacks
というBelieve in Computeの記事です。
こっちは多分信頼していいんですけど
信頼していいものの一時操作は
Appleから出てないんですけど
Appleにサイレントにセキュリティアップデートが
来たよって話で
具体的に何かっていうと
クリックフィックス攻撃に対して
ターミナルアプリに対して
コピーアンドペーストしようとしたときに
ロジックがよくわかんないですけど
張り付けようとしてるコマンドは危険なコマンドですよ
っていう警告が出てブロックするっていう機能が
しれっとリリースされましたよって話ですね。
クリックフィックス次第
このPodcastではあまり久しく紹介してないですけど
攻撃手法としては依然として萌えを振っていて
基本的にはWindows向けが多かったんだけど
macOSもぽちぽち出てますよっていう部分で
入れてきたのかっていうので
さらっとご紹介という感じです。
クリックフィックス攻撃を超ざっくりおさらいすると
サイトぽちぽちしてたらキャプチャ的な画面が出て
このキャプチャーを解いてね
解きたかったらこのコマンドを
このアプリを開いてコピーフェイスして
叩けば治るよみたいな
とかまた直近だと
手法が多種多様化しててあるんですけど
TikTokでSpotifyをタダで使う方法みたいなので
ターミナルを開いてこのコマンドを打てば
タダで使えますみたいなやつで
打ったらマルウェアがきちんと入ってくるみたいな
おもろいよな
みんな色んなこと考えれば
そんなバカなって思うけど
もうめちゃくちゃ刺さってて
ずっと流行っちゃってる攻撃って感じですね
はい
どういうロジックやってるんだろうな
っていうのはちょっとよく分かんないなと思ったけど
Chromeからコピー&ペーストしてきたら
そこに何か
特定の破壊的な処理が入ってたら
とかなのかなとか
分かんないですけど
一律じゃないの
でもコピーペのオリジナルと
ソースとディスティネーションは見てそうだけどね
iOSとかだとできるじゃん
そうなんだ
やってるじゃん
ここからここにコピペしていいですかっていう
確かに確かに
だからそれは確かにそう
OSレベルで
これ一律で全部ブロックとかじゃなくて
中身まで見てくれるのかな
でもさ
純正のタミナ使わなすぎて分かんないな
GoogleってLinuxコマンド
でもコピペはしないか
自分でコマンドCを押したら大丈夫だけど
ブラウザのAPIで
コピー&ペーストしてきたらアウトとか
そういうのあったりするのかな
そう思い切って
自分で文字をこうやって
こうやってハイライトして
コマンドCを押したら別に
自分の意思でコピーしたものとみなして
判定しないけど
クリックウィックスとかって多分
コピーペーストボタン的なものとか
でも関係ないか
それの判定とかできるのかなと思ったけど
ちょっと分かんないですね
ターミナル
これさなんか分かんないけどさ
Ghostyとかはなんか結構多分一律で
一発目は警告出してくれるよね多分
そうなんだ
今雑にコピー&ペーストしてみたけど
何も言われんかった
gimrf-rとかあったら怒られるのかな
何してんだって感じだよ
気になってしまった
何も言われんわ
ちょっと条件
分かった人いたら教えてください
何か公式のリリースがないから
多分よく分かんないですよね
仕様は
もしかしたら開示せずに
いくつもりな気もする
しないんじゃないかなきっと
一応発火した時のキャプチャーは
記事中にあるんで
気になる方は見てください
何をペーストしようとしたんだ
リスキーペースト
はい
まぁちょっとさらっとご紹介でした
クリックフィックスは未だに流行ってるんで
バカにせずに
ちょっと気をつけてください
まぁこれ聞いてみるような人は
引っかかんないと思うけど
どっちかというとやっぱ
ね
そうなんだよね
これを気をつけなきゃいけない人に
僕たちの声が多分聞こえないと思うんですけど
多分届かないから
悩ましいですね
ご家族とかに
ご気づけくださいって感じかな
はい じゃあ最後かな
クラウドフレアクライアントサイドセキュリティ
Cloudflareのクライアントサイドコードスキャン機能
スマーターディテクション
Now open to everyone
everyoneっていう
クラウドフレアの
昨日リリースの記事ですね
で これ
まぁざっくり言うと何かっていうと
クライアントサイドのソースコードをスキャンする機能を
まぁリリースしたよっていうのと
その機能をクラウドフレアの全ユーザーに
開放したよっていう記事です
で クライアントサイドのコードをスキャンする
っていうのはどういうことかっていうと
例えばJavaScript
主にJavaScriptの話が記事に書いてあるんだけど
JavaScriptをスキャンして
まずそうなものがあったら検知してあげます
検知しますよって機能になってますと
で これ具体的にどういうところに対して
何を検知するのかっていう話を言うと
Webスキミング攻撃
何かしらで侵害して
正規の 例えば結成ページの
で動くJSとかに
悪意のあるコードを突っ込んで
カード番号を盗むみたいな
攻撃みたいなんで
そういう
悪意のある挙動をするJSとかが入った時に
それを検知して
で クラウド
アラート上げてくれるのかな
っていうような機能が入りました
っていう感じですね
で かつこの検知方法なんですけど
多分従来こういうソリューションあったんだろうな
と思いつつ
LLMを使って検知してますよっていう部分があって
LLMプラス従来の検知しようか
結構 技術的にも
ちょっと踏み込んだことを書いてあった気はするんですけど
え 待って レイヤーで言うと
どこのレイヤーでクラウドフレアが検知される
クラウドフレアCDNじゃないですか
CDNというかコンテンツ再配信なんで
そのタイミングで多分見るんじゃなかったかな
クラウドフレアを通ってるコンテンツは見るよっていう話
そう
だからクラウドフレア契約して
アプリをデプロイしてるとか
クラウドフレアのCDNを通してる人は
この恩恵が受けられるって感じかな
なんか
どうなんですか
どうなんですかっていうのは
あの
え
分からんけど
そのわざわざクラウドフレア通してくるのかな
改ざんした後
まあでも根っこの根っこが改ざんされてたら
クラウドフレアにも乗るかそりゃ
基本的に侵害するとしたらオリジンが侵害されるんでしょ
だからそのオリジン侵害されたら
当然クラウドフレアにもそれが来るから
それを検知するって話だと思うから
いやー
だからこれをまあわざわざ攻撃者目線でその
そのユーザーがアクセス
だから攻撃したい対象は必ずクラウドフレアのエンドポイントを見るわけだから
そこは別に迂回しほぼできないと思っていいかなって気がするけどね
そうで検知法はLLM使って
でこう検知めっちゃ減らして
実際に成果も出てるよみたいな部分が書いてある
って感じかな
ちょっと細かい技術的なところは
気になる方読んでくださいって感じなんですけど
割とそのフローチャートみたいに
最初これしてこれして
こういう判定になったらこっちLLMに壊して
みたいなことをしてたりとか
あとはそのパフォーマンスかな
そこを配信するときに
そのスキャンみたいな部分で
レスポンスのパフォーマンスが落ちないようにも工夫してますよ
みたいなのがありますと
あとなんか割とその無料でもう全ユーザーに展開してるっていう部分が
なんでしょうね
ありがてーっすねっていう
クラウドフレア
なんだろうね
そういう戦略なのかな
いろんな機能こういうことしてくれるなって
イメージがあるんですけど
いやーなんかでも実際さ
どうなんだろう
世の中のこういう被害の何割が
クラウドフレア通ってたんだろうね
なんか
うーん
わかんないね
わかんないけど
でもそのCDNのシェアとしてはもう
CDNのシェアどうなんだろうね
もうでもクラウドフレア一択みたいな雰囲気だよね
うん
アストリー
そうだよね
クラウドフレアは急速にシェア
でさそのクラウドフレアの
そのCDNとして使うじゃなくてもさ
そのクラウドフレアワーカーズとかを
普通に使うとかは全然あると思うから
確かに
うん
僕なんか直近実はめっちゃお世話になってて
なんか無料でやたら使えるから
ちょっとビクビクしながら
本当にいいのかなと思って使ってるんですけど
そのさっき言ったAIコーディングで開発したアプリを
ぼんぼんぼんぼんクラウドフレアにデプロイして
めちゃくちゃ体験がいいんで
ありがたいんですけど
まあそれをそのプロダクションで
使ってる人も多分いると思うし
まあそこで決済を動かしますとかって
まあ普通に運転を受けられるんじゃないかなって
気がするけど
あとは実際にその検知してブロックできたみたいな話もあるから
まあ
そっかまあ一定効果あるんだな
そうだね
なんか会議さん被害やってるところって
なんか割とその
テックスなんかとしてはもうちょっと古いところが
やられてるイメージが割と強くてさ
ワードフレスでプラグイン入ってて
例えばねそう
まあそれは確かに
そうちょっと思ってしまったんだけど
だからまあ世界で拾いきれてない部分は全然あるんだろうね
普通に
だからなんかそういう人たちへのメッセージとしては
うち使えば無料で検知してあげるよみたいな部分が
彼らの売りにはなるかもね
ありがとうございます
今日はそんなところですか
一番数としては多いけど丸めて
まとめと今後の展望
握手は丸めて紹介しちゃったんで
まあまあいつも通りのボリュームという感じでしたが
なんかあの
久々にたくさん喋って
喉が痛いです
すいません
あの僕がねあんまり喋ると多分責任者になっちゃったんで
助かりました
まあその配分もなくはないんだけど
人間
家族以外の方がたくさん喋ってる
そっち
そっちかってそっち
ミルクきますからねとかそういうセリフを一日中言って
大丈夫大丈夫って
はい泣いてるねって言って
まあ頑張ってね育てていきたいと思います
頑張ってください
平和にやってます
収録ね
あの配信だけねちょっと
遅延しがちなんでね
ちょっと気を引き締めてやりたいなと思ってますけど
そうね結構タイムリーな話題がここ最近
そうなんだよね
そうなんだよ
はい頑張ります
復習みたいな感じで聞いていただけると幸いです
じゃあ今週はそんな感じですか
今週もお疲れ様でした
お疲れ様でした
来週も皆さんお楽しみにしていてください
お疲れ様でした
皆さんご安全に
ご安全に
風邪ひかないように
風邪もそうだね
じゃあおやすみなさい
はいおやすみなさい
