00:00
こんばんは、Replay.fm 第37回です。
こんばんは。
うっす。
はい。
Take2なんで同じ話を、なんかする気になる。
いや、何を、何の話を、Take2というのをもう開示してしまったので、何の話をしてたかで言うと、
新しい職場への移行
今日は5月31日で、オフィシャルに私がメルカリ所属であるのが今日までなので、
もう夏休みが終わっちゃうねって話をしてました。
で、明日は社会人としての休みを過ごして、2日から、某社にお世話になるという形で、お世話になります。
ありがとうございます。
Take1と同じのをなぞるっていうのはちょっと、何行く側でやる遠慮感ないなと思って。
俺はいけたよ。
いけた?
いけた。
じゃあちょっと次回同じことあったら頑張るわ。
そう。
私そういうの得意だから。
とりあえずさ、東日本橋の飯屋を開拓せんとな。
あのね、その社内のノーションのノーションAIに聞いたらめっちゃ教えてくれたよ。
マジで?
同じこと思って。
そうめっちゃ行かないからそうです。
そうなんだよね。
八木橋好みの店あるかな?
言うてね、いやでも知らないだけかな。
なんかちょっと歩けばめっちゃ選択肢増えるって感じの立地なんで。
浅草橋とかさ、両国が近いからさ。
そうそうそうそう。
なんか楽しいゾーンであれ。
そうそう人形城近いしさ、なんか絶対楽しいゾーンであると思うんだよね。
割と、いやでも俺はちょっと経験浅いな。
なんかこれまず行ってっていうのが今パッと思いつかない時点で。
あーてか錦糸町こんなに近いんだね。
そっか両国が近いと錦糸町もこんな近いんだ。
えーてかちょっと歩いたらさ、ちょっとってことでもねえな。
1.5キロくらいあるけど。
清澄白川とかあの辺も近いんだね。
そうそうそうそう。
いやー清澄白川も地味に飯はねえんだよなーなんか。
駅前はあるんだけど。
あーでもなんか思いましたけど、なんかめっちゃおいしいところは、
その時間外さないとその、ほんとオフィス街だから、
そのサラリーマン並んでていけないっていうのめっちゃ何回か経験した。
だから割とその、いや全然おいしいんだけど、
絶対ここ行ってのよりはワンランク、
ちょっとトーンが落ちたぐらいのおいしいお店に行くことが多い気がする。
なるほどね。
まあでも仕事終わりは楽しそうだな。
また狭いお店だったかな。
そうそう。
あー仕事終わりは確かに。
1回めっちゃおいしい担々麺屋さんどっか忘れたけど行ったけど、
その時とかはもう一人でなんか1時半ぐらいにオフィス出て行って、
まあそれなら全然行けるぐらいの感じに行った気がするな。
うーん。
なるほどね。
まあちょっと歩けばいくらでもありそうだな。
あと出社多い人とかに聞けばまあまあまあ。
うんうんうんうん。
逆に開拓して俺に教えてくれ。
俺が出社した時に。
了解っす。
リストは?
リストはね、
すでにジョノーションにはあったから、
それを育ててもいいかもしれない。
あとチャンネルがあった。
なんかZランチチャンネル。
あーなるほどね。
うん。
地味にね、人気がないんだよな、あの辺のなんか。
うん、人いない。
ランチの時以外人いない。
うん、面白いよな。
うん、オフィス街って感じ。
なんかオフィス街、オフィス街ではあるんだけどさ、
なんかその、いわゆるオフィス街かというとなんかまたちょっと違うタイプのオフィス街だよな。
まあ、丸の内とかとは全然違うよな。
まあでもオフィス以外に何があんのって言われたらオフィスしかないんだよな。
まあまあそうなんだよね。
うん。
まあ、お楽しみしつつ、粛々とやりつつ。
よし。
感じっすね。
でね、ちょっと本題に入るまでに1個、もう第何回か忘れてた、多分4回5回ぐらい前に。
33回だね。
33回か、じゃあ配信されてない。
33回は配信されてないよ。
ダメだったやつでしょ。
ダメだったやつじゃなくて、
違うんだ。
全然別で、なんかの時に話した、ギター部のアドバンスセキュリティが分割されて、
全然関係ないですか。
そうそうそう。
で、シークレットプッシュプロテクションみたいなやつのうち、スキャンが無料になりましたみたいなことを僕が確か言ったんですけど、
それが嘘だったんですいませんの、遅く。
それ前回だっけ、多分。
いや、めっちゃ前だと思うよ。
多分ね、4月から変わるって話だったから、多分3月とかに読んだと思うんだよね。
だいぶ前だね。
これなんで気づいたかって言うと、
てもってもっていうか会社のやつで見て気づいて、めっちゃ嘘ついてたと思って。
さすがに訂正、後で訂正しようって感じなんですけど。
結論はなんかスキャンは、スキャンしてそれが見えるみたいなのは無料にされてなくて、
なんか表現が難しいんだけど、
なんかね、シークレットスキャンを含め、色々スキャンした結果のサマリーだけ無料で見れるっていうのが変更でしたね。
結論から言うと個人的には、それ無料にされても何も役に立たないって感じのやつで、
まあ見れる人はぜひ手元で見てみて欲しいんですけど。
何が検出されたかは言わないけど、
なんかこのリポジトリでこれぐらい検出されたよみたいなのが出るみたいな。
それがなんかデイリーとかでスキャンされるんじゃなくて、
なんか90日ごとにスキャンできるみたいな。
要はなんか宣伝用の…
そうそうそうそう。
まさにそうだと思う。
なるほどね。
入れてたらこれが毎日回って中身も全部見れますよみたいな。
実用的なものでは全くなかったっていうので、
すいません、適当なことを言いました。
面白いね。
ちょっと、まあそうですね。
だから無料化したっていう表現はあんま本質的にも正しくないかなって個人的には思ってるかな。
売り込みたいんでしょうっていう気持ちあるつつ。
謝罪も済んだところで上から順にいきますか。
いきましょう。
どうしようかな。
監査とセキュリティの重要性
開発も運業もビジネス部もクラウドで実現するつらくない統制とセキュリティ。
なんだ、クラウドネイティブデイズか。
レイヤーXのカニさんが発表してた講演のスライドだと思います。
どう紹介していくのがいいのかな。
タイトルの話を、タイトルがそれなりにいい表現なんじゃないかなって気はする。
そうね、コンプライアンス対応が求められるよねっていう中で、
今回はSOC1のType-2とかを特に念頭に置いてるのかな。
そうだね。
で、監査側のナクシステムとかプロセスに対する理解と
開発運用側の統制・監査要件に対する理解差があると大変だよねみたいな話とか。
そういうものなんか埋めないと空洞化するというか
ふわっとした形で終わっちゃうよねっていう話をしてたりとか。
そこに対してある種のソフトエンジニアリングでアプローチしようよ
っていう話をしてくれてるのかな。
で、LayXではこうやってるよっていう例を紹介してくれていて。
割となんかIDPベースで19ページとかの話なのかな。
Enter Privileged Identity Management PIMって呼べばいいのかなきっとね。
これ多分Azure ADとかのMicrosoftのエントラって何か
マイクロソフトのGoogleワークスペースみたいなもんだと思ってる。
マイクロソフトエントラIDがあるんだね。
Azure ADって呼ばれてたやつなんだやっぱり。
なるほどね。名前が変わってたんだね。
エントラIDから電波するような形で権限管理とかが
吉良にされていくような形で組んでいたりとか
してるよっていう話が結構印象に残ってるのと
アプリケーションの変更管理の話とかも多分面白かったのかな。
CodeOwnersの自動生成の話とかってどこに書いてあったっけ。
21ページかな。なんかOSS使ってるんだろうね。
自内生してるのかな。
多分アプリケーション側のサービス定義に合わせて
サービス定義のファイルがまずあるのかなきっとね。
サービス定義のファイルを多分作ると
CodeOwnersがニューキット入ってきてっていう形になってるのかな。
この辺もう少しシーケンス図みたいなの欲しい気はせんではないけど。
テラフォームのCodeOwnersか。
いろいろメタ情報を紐づけて生成するような内生してるかもね。
っていう感じで変更管理がされてるよっていうのと。
あとはバイトベースっていうデータベースのCI CDサービス。
これはなんか、でもこの記事ね。
これが紹介されてる記事自体持ち込んだと思うんだよなここに。
多分紹介はしなかったかもしれない。
ちゃんと読んでなかった。
なるほどなっていう感じですね。
マイグレーションとかがCI CD的な形でやれるようになってるような感じなのかな。
そうだね。
なんかバイトベースでちょっと調べたら
データベース版のGitHubを目指してみたいな表現を見つけて
それが割と個人的にしっくりというかね。
確かに言ってることとしては。
説明としても良さそう。
で踏み台、何が良いかっていうと
踏み台サーバーの用途が消滅したよっていう話。
テストの実行も複製DBを作成することで容易に実行できるよみたいな話とかを書いてくれている。
マイグレーションの仕組みも多分これで収束できるのもいいよね。
サービスごとに。
これは手動でスキル流してて、これはツールでとかが多分無くなったんじゃないかな。
全体的にやってるなっていう感じがして
かなり綺麗にやれてる感じがするので。
個人的には理想系に近いんじゃないかなと。
あとは今読んでてこれ確かに大事だなと思ったのは
23ページのサービス管理用システムの権限管理の話。
テナントを管理するシステムとかの管理側の話。
要は内部でお客さんの情報を管理するような画面の話だと思うんだけど
この辺の権限管理もIDPから電波するような形で一元管理されていてみたいな話とか
監査ログとかも簡単に監査ができるようにしてるよって話を書いてくれていて
これ結構見落とされがちというか忘れ去られがちなんだけど
結構大事だよなと思っていて。
そうだね。
まあなんか比較的ライトなスライドなので頑張って圧縮したんだろうなと思ったけど。
いやー1ページ1ページでブログ1個ずつ書けるぐらいの。
まあね実際でもバイトベースとかはさブログ記事になってたりするから
実質そうなんだろうね。
これはなかなかいい事例だなというふうに思いましたね。
とにかくなんかいろんな話を聞きたい感じですね。
このHowまで踏み込んでるのがいいな。
そうなんだよね。こうだったらいいじゃんっていうところまでは割と多分誰もが出せるというか
ここで言ってるようなこととか含めてね。
ちゃんと回してますよっていう。
結構11ページの監査と監査側と開発運用側の認識のギャップみたいな話で
直近ASMS認証周りの仕事でやってたんで結構わかるなって気はしていて
ソックンタイプ2がどういう審査感が来るかわかんないんだけど
ASMSとか僕が経験しなきゃピーマークとかは審査官は
全ての技術を理解してるわけじゃないっていう人たちが来るってなった時に
でも彼らは個人情報をちゃんと管理してるのかとかそういう質問をしなきゃいけないわけで
そこに僕らが正直にファイアスターのこのカラムにこれが入っててとか
一個一個説明してもそれって何ですかってなるというか
何なのな
それを何を持って大丈夫なんですかみたいなところが
実態をそのまま伝えても評価できないっていうのは絶対あると思ってて
そうなった時にじゃあなんかここは抑えられてれば
向こう的にもOKとできるし僕ら側としても
マルシュちゃんとできてるよねっていう
職場環境の変化と業務改善
なんかできるみたいな話がある気がしてて
それを愚直にやるとそれこそなんかこの12ページに
辛いものが生まれるみたいな話がちらっとあるけど
全てのオペレーションをExcelログに残してますとか
そういう話に全然なり得る気はしてて
そこに陥らないためにソフトエンジニアリングの力を使う
かつ打ち扱えてますっていうところは
シンプルに素晴らしいなって思いますっていう感じかな
いやーIDPを軸にしてるな
でもいいだろうなというかもう
現代の人はそうしないとやりきれない部分がある気がするんだよな
まあてか人に依存するコストがでかすぎて
なんかやってられないよね正直
うーんそうだね
ほんとそれこそ監査とかガバナンスのための業務で
月何時間使うみたいな世界線に全然落ちちゃうと思うから
まあそれで済むならそれでもいいのかもしれんけど
なんか会社全体で考えた時に結構
まあそれが最適化された姿ならもしょうがないと思うけど
まあこのクスライドで紹介されているような
HOWのうちの一例だと思うけど
なんかそれで実は最適化できるっていうところからは
逃げちゃいけないというか叩かなきゃいけないなっていう気はする
そのまあ利益を追い求めてる事業である
事業というか会社である以上は
あとシンプルにつらいしなんか普通に
そういう仕事ってあんま楽しくないと思うから
そういう部分はなんか自動化とか仕組み化で
脆弱性評価の新指標
どれだけ負荷を軽減させられるかみたいなのは大事だと思いますね
いやーでもこれ勉強になったというか
いいっすね
このHOWの部分もいいし前段の部分も
いい言語化だなーっていう気持ちはな
なんか別にやってることがさ
こうめちゃくちゃトリッキーで
っていうものでもないっていうか
ある種王道を行くというか
そうだね
あーGイタ入ってきちゃったな
ノイズが
今もいる?
うん
一回
ワイルサマイズスクリーンシェアリング
あーちょっと待って
こうしてこう
これで今文字入っていってる?
いえない
レコードしてるときか
なんだろうどうしようかな
これさレコードさずに喋るか普通に
いいよ
ね
レコードする必要ないんだよ
レコードしてなくて積んだことほぼないから
うんうん
スクリーンシェアができない
レコードしてないと
じゃあいいや
手元で開いてください
それでいきましょう
どっかでオッケー
そうね
いい事例って感じでしたね
いい事例というか
ちゃんとやれてるのいいっすね
背中を追いかけたいっていう気持ちです
個人的には
なんか別に丸コピしても
なんか
だいたいどこでも通じる
ような
感じがするんだよな
そうだね
なんかそのコープレートITも
ちょっと絡む部分はある気がしていて
まあIDPとかはまさにと思うんだけど
うんうん
だからそういうとことかは結構こういう
なんだろうな
3ステップ4ステップ先にこういう世界にしたい
みたいなところを
結構想像できてないとまず
なんだろうな
僕も階層低いけど
Googleワークスペースだと実はこの同じことはできない
とか
他のソリューションってできないとかっていうのがある気がしていて
なんかそういう意味で
インプットは大事というか
今使ってるその
コープレートIT
カオスマップみたいなので
できるのかみたいなとか多分ちゃんと
考えられる力必要なんだろうな
気がするな
その辺は何かカニーさんの経験値
いろいろところが
大きそうだよね
それは確かに
ちょっとこの辺は
いろいろ触って勉強したいとこですね
そのところですか
そんなとこです
よし
じゃあ次いきますか
はい
CSWP
41
CSWT
CSWPって何の略なんだ
これは何だろうね
なんかあれじゃないかな
RFCみたいなもんじゃないかな
多分そうなんだよね
White Paperだ
コンピューターセキュリティホワイトペーパー
かなきっとね
NISTが出してるホワイトペーパーで
Likely exploited vulnerabilities
Proposed metric for
Vulnerability exploitation probability
平たく言うと
既に悪用されている可能性の
高い脆弱性
の
評価値みたいなやつ
の話なのかな
そうだね
いやなんか
表現がむずくてちょっと待って
自分で書いたサマリーを
いや既にじゃなくて
単純に悪用される確率
だね
そうだね
単純にそうだねそうだね
ケブとは違う形だから
そうだね
ケブは基地の
悪用が観測されているもの
を入れていて
その中身
結構読んだんで
パラッと話すと
そもそも出発点としては
現代脆弱性が多すぎて無理
無理ってのは
雑に言い過ぎたな
脆弱性が多すぎて
全部にパッチを当てていく
みたいなところはまず不可能な時代
になってしまったよねっていう前提があって
一方で結局
じゃあ本当に対処しなきゃいけないもの
だから多分
今回の論
このホワイトペーパーにも出てくる観点としては
それを直さなかった時に
本当に悪用されちゃうの
っていう部分
っていう視点に立った時に
対処しなきゃいけないものって
すごく限られてるみたいな話
先週か先々週か
先々先週か忘れたけど
膨大なアラートの中の
本当にやらなきゃいけないのは5%でしたみたいな
多分そういう話に近しいものだと思っていて
そうなった時に
仮に5%だった時に
その5%をどう見分けるのかっていうのが
課題になるよって話で
今だと
EPSSは日出なのかな
ちょっと分かんないけど
このホワイトペーパーで引き合いに出されてたのはまずKEV
とEPSSで
KEVは確かに基地の脆弱
悪用されることが
ほぼほぼ実例があるから
可能性が高いっていう意味では参考になるし
正確性も高いんだけど
網羅されてない可能性が
シンプルにあるよねって話で
それはもう悪用されてるってことを
気づけてないものは
KEVに載ってこないし
報告されてないものも
KEVに載ってこないのかな
だから網羅性に欠けるって話と
一方でEPSSは
これ自体何かっていうと
未来か
次の1ヶ月間で
悪用される可能性を
AIモデルか何かの
ロジックで出すっていうやつで
確かに1が
100%が最大で
0%が最低っていう
やつなんですけど
これ自体は
多分今の仕組み上は
過去に例えば1年前に
この脆弱性悪用された
インシデントが起きましたっていうのがあっても
それを加味してくれないっていう
欠点があるらしくて
なんで
今時点で見た
変数だと
次の1ヶ月間で悪用の可能性が
低いって評価しちゃってるんだけど
それを考えたら
過去には実は悪用事例があるみたいなものが
あったりして
そこが弱点としてある
基地の課題としてあるっていう感じで
そこに対して今回は
タイトルにあった
LEVになるものを提唱していて
さっき言ったとおり
脆弱性が悪用される確率を
指標としてはしましょうって話で
EPSSと何が違うね
みたいなところで言うと
LEVは
EPSSの
過去のスコアに基づいて
計算するっていうのがある
1年前のEPSSのスコアは
これぐらい
1ヶ月前はこれぐらいっていうのを
集めて細かいロジックは分からないけど
それのもとに計算するので
さっき言った
EPSSの弱点みたいなものを
埋められるっていうロジック
EPSSってなぜ埋まるかっていうと
EPSSは
次の30日かの話だから
ロジック分かんない
例えば1日前 昨日悪用された事例があったら
EPSSって多分次の日に
跳ね上がるはずなんですよ
直近で悪用されるから
次の1ヶ月でも悪用される確率が高い
みたいなのがあって
LEVは
その時の過去の脆弱
悪用されたタイミングで
EPSSが高かったタイミングも
情報として加味するから
EPSSの弱点である
過去の情報を加味できない部分を
埋められるんじゃないか
みたいなところが期待されてる
実運用におけるアプローチ
っていう感じですね
他には
でもそんな話かな
だから多分
EPSSを代替したいのかな
でも代替するっていうか
EPSSが元にはなるから
どうなんでしょう
って感じだけど
あとはあれか
この時期は実際にやってみて
現実の脆弱性に当ててみてどうか
みたいな話もあって
大半脆弱性は低い値が出て
ただその年数が経てば経つほど
スコアが上がる傾向があるらしくて
これは多分過去の情報を加味してるから
年数が経てば経つほど
悪用されてちょっとずつ
ちょっとずつ下がっていくみたいな感じ
積み上げにララってことだよね
そうだね
まさしく
あとは本当はKVに入れなきゃいけない
ものなんだけど
入ってないものでLEVが高いもの
っていうのも結構身につけられてる
っていうところがあって
これから考えるとKVの弱点である
その網羅性みたいなところに
ある程度寄与できるんじゃないかみたいな
仮説もあるっていう感じ
ただKVの代替にもならないし
EPSとは
EPSの代替は目指してるのかな
ちょっとそこは言及はなかったけど
そんな感じです
いろんな指標を
使えばいいと思うんだけど
こんなんやってられへん
難しいな
ぐちゃぐちゃに対応する側として
何が欲しいかっていうところに
フォーカスするのは
EPSが実際に欲しいものだよね
次の30日間の
っていう
そうだね
だからもっと正確な
EPSが欲しいって感じなんじゃないか
そうそうそうそう
ある種の未来予知をしたいっていうのが
我々が実際に求めているものであって
アプローチとしては逆だよな
と思うんだよね
逆っていうのは
逆っていうのは
なんていうか
LVは
KEVよりは
アプローチとしては
求めてるものに近いのかな
多分
実運用では
その
僕がこれ実運用に載せるんだったら
フローチャートみたいな
フローチャート組む感じになるのかな
って気はしてて
KEVに入ってる入ってないで入ってるのだったら
問題無用ですぐに対応してください
KEVに入ってないけど
LEVが高いってなったら
じゃあそれは優先的に対応しましょうみたいな
ロジックを組むんじゃないかな
CVSSもそこに
加味すんのかしないのか
みたいなところだと思うんだけど
どうなんだろうな
いやなんかさ
いやむずいな
脆弱性の評価とシナリオの重要性
うまく言語化できないんだけど
実際の攻撃って
単体で動向じゃないじゃん
それはそうね
分かるよ
何かとの組み合わせで
低く見積もられている脆弱性が
めちゃくちゃ輝く瞬間
みたいなのがあるはずで
シナリオを加味しない
評価に果たして意味があるのか
みたいなのをずっと思っていて
シナリオを加味しないっていうのは
他の脆弱性との組み合わせとか
そういうのまで全部加味して
どうなのかみたいなところまで
考慮しない限り
現実の脅威に対しての
有効な
材料になり得ない
ような気はしていて
多分なんか
それはマジで間違いないと思っていて
本当にできるなら
真にやりたいことは
脆弱性が出ましたっていうソフトウェアが
どこで
そもそも動いてるのかみたいな話もあるし
動いてるならどこで
どういう環境で動いてて
何と組み合わせて動いてるのか
ネットワーク露出してるのかしてないのかとか
ドッカーコンテナで動いてるのか
オンプレサーバーで動いてるのかみたいな
全部加味した上で
点数を出すっていうのが
本当はやるべきこと
その労力
そこにかける労力をさ
ドッカーコンテナの課題
パッチ当てる方に回した方が
早くないって思っちゃうんだよね
そうだね
それはそう
前の話に
前戻るんですよ
今週じゃなかったかな
来週入れちゃった記事だから
ネタバレ感になるけど
前この論争
2人で話した時に
思い出せなかったんだけど
この
いやでも何か話したかな
別の場合に話した気もするけど
ドッカーコンテナトリビーが
CV出し過ぎ問題みたいなのが
結構
問題なのか分かんないけど
その
あるあるとしてある気がしていて
ある気がするとかあるんですよ
あるんだけど
でもそういうのって
それこそ
CV普通に100個とか
別に全部がスコア高いわけじゃないとか
またそもそも
コンテナって
OSを模倣したイメージ
なわけで
何でもかんでも
デプロイするドッカーで
動くわけじゃないというか使うわけじゃない
みたいなことになった時に
なんだろうな
それこそ
1個1個評価するのって
かなり非現実的だし
かといって
パッチがないものも
あればパッチを当てるには
なんていうかベースイメージに
アップとゲットで
コマンドを入れるとか
いろんなことをやって
つぶしていかなきゃいけないわけで
でもそんなんやってられんみたいな
場面は
ある
それはちょっと軸がずれているというか
その
コンテナのユースケースにおいて
そもそも動かないものが入ってること自体が
いいじゃんっていう考え方を
ガブッとした方がいい
それに関しては
ミニマムなイメージ作りましょうよ
って話だと思っていて
ミニマムでも出るんですよ
スキャンすると
出ないのかな
それでネタバレにちょっとなるって言ったのは
来週の記事に入ってるけど
ドッカー社がCVを極力落とした
イメージを
多分有料で
配るよっていう記事があって
未来の脅威と対策
それはなんか
世のためだなってすごい思うというか
なんか
そのおのおのが頑張ってそれをやる
っていうのは結構
限界があるというか
OS内での依存みたいなのもあったりするわけだから
そうそうそうそう
動いてる動いてないは結構判断が難しくって
その
たとえばZlib Cとかさ
そうだね
やらざるを得ないじゃん
でも別に自分たちが動かしたいものが
それを使ってるかどうかは
関係によるだろうけど
使ってませんみたいなケースも多分多いはずで
うん
そういうのはやらざるを得ないわけで
そうだね
なんかそういう
絞った上で出ちゃうんだったら
それはやるしかないんじゃないかなとは思うんだけど
でもその上ででもドッカーが
そういうのできるだけ落としたものを作りますよ
って話し合ったら
それはそれでそういう課題は
あるのかもしれないけど
逆の問題が出てきそうだよね
普通のイメージでは出てこないものが
ドッカーのCVをできるだけ落としました
っていうイメージだと
なんか出てくるみたいなの普通にありそうで
それこそクリッキーすぎて
全然パッチ当てることできません
とか普通に起こりそうな気がするし
どっちがいいのかちょっと分からんけど
そうね
そこはもう多分課金サービスだから
ドッカーが頑張ってるって
気持ちになっちゃうけど
まぁどうなんでしょう
まぁそうね
労力かけるパッチ当てる方がいいは
別にいいんだけど
その
なんて言ったらいいんだろうな
常にそうだとは思ってなくて
ありとあらゆる場面で
必ずそうなのかっていうとそうではないと思うんだけど
実際にはね
現実問題
でもその感覚は常に持たないといけないと
言って
頑張って当てるかパッチ当てるか当てないかを
だからなんかそうそうに当てちゃった方が早くないっていう
どう当てるかを考えた方が
早くないってだってさ
未来英語パッチ当てないで
済むわけがない
そうね基本的には
どこかで何かしらを当てなきゃいけない
っていうのは絶対来るわけだから
その
問題の先送りでしかないと思っていて
その当てる当てないの結果
例えば当てないみたいな判断を
することそのものが
それだったらむしろ
当てるのに慣れていくほうが
なんかいろいろ
スムーズなんじゃないのって思っちゃうんだけどな
なんか
基本分かる
それがその
スタンスで半年走って
年末の回で
結果報告しようぜ
結果報告しちゃったのかもしれないけど
ある程度の規模まではいける気がするんだよな
なんかその
別になんか結果当てられないものが
ありますはしょうがないと思うんだけど
常にそうじゃないよねっていうのは
そういうことで
でもこのごちゃごちゃして議論
やってる間に当てちゃったほうが早くない?
っていう考えは常に持っておかないといけないはずで
いやー
なんか
あるあるそうは言っても
大変なんですよ場面
手元にストックしてるな
いくらでもあるだろうけどね
そんなんね
そんなんだよな
だからなんかこういう指標で
判断したほうがパッチを当てるより
早い場面が多分あるんだよな
場合によっては
それが
辛いのかな
これが何に使えるかっていうと
その
じゃあ今どのパッチを当てますかっていうのには
使えると思うんだよね
大量にある中から
じゃあどれから当てますかの話をするときには
絶対に役に立つはずで
うんうん
限られたその
人の手が
ある中でじゃあ
どれから当てますかっていう話をするときには
まあ大いに役立てればいいと思うし
うん
そうね
それだけだと思うけどな
当てる当てないみたいな判断じゃないと思うんだよな
こういうの
あとあれか
まあそうね
いやーそう
信じてるよ
信じてるし
まあ半年あったら全然違うこと言ってるかもしんないけど
まあ
曲げたくはないな
この感覚は
まあ目指すべき理想っていうのは変わらないし
それは本当に同意するわ
なんか
っていう意識というかそうあるべきだよねっていうのを
こう全員が目指さないと
そうならないと思うし
そうね
まあ
まあそうか
いやー世間はどうなんだろう
あとはその
全然別の話かもしんないけど
そもそもそのCVの取り味がもう
間に合ってないのがずっと続いてるし
うんうん
脆弱性が検出されてなくても
脆弱性はある
いやーわかんないな
それはあるよ
ある日突然ゼロで
ボコボコにされる可能性はあるわけで
その
じゃあパッチャー当ててれば
安全ですって話じゃないのもそれはその通りで
その
だからこその
多重防御みたいな考え方が出てくるわけだし
そうだね
またその普通に
シンプルに全部を最新にし続ける
っていうのを粛々と回すというか
そうするとサプライチェーンでやられて
みたいなパターンもあったりするから
そうだね
なかなかその
防御側がめちゃくちゃ不利な事実は
依然としてあるんだけど
ある日突然ゼロでボコボコにされるよりは
基地の使いやすい
使い勝手のいい脆弱性で叩かれる
っていう方が可能性としては
高そうだし
うん
何かと何かの組み合わせで
過去の脆弱性が超輝いて
これは当てなくてパッチャー当てなくていいよね
って報じされてた中の
脆弱性みたいなのが
めちゃくちゃ悪用される
みたいなシナリオは普通に
起こりうるだろうなと思うし
うん
一方でゼロで自体は
このFMでは取り上げられなかったけど
結構増えてるみたいなレポートも
あったりしたから
いやー
まあそうね頑張るしかないね
ゼロではでももう分からん頃
されてるわけだから
そこは一定しょうがないよね
うん
どこに対しての攻撃ですかっていうので
なんかいろいろ切り分けて
エンドポイントだったら
EDRとかで不審な動きを検知しましょうね
なんか大雑把に
引っ掛けるみたいなのが
たぶん求められるんだろうし
そうだね
うん
どっちかっていうとなんか
ゼロである日突然ボコボコに
されますよりもなんかサプライチェーン
頑張ってパッチャーって言ってたけど
そのサプライチェーンで
なんか変なもの入ってましたの方が結構
嫌だなと思うんだけどな
個人的にはそっちの方がしんどい
気がする
そうね
対策の
そうだね頭痛いよね結構
頭痛いね
もうちょいなんとかならんかなとは思うんだけど
うん
まあちょっと新しい指標が出てきましたよっていう
はいまだホワイトペーパー段階だから
どうなるかって
数多すぎてしんどいね
そのスタブさ
これを全部まとめたスコアみたいなの出てくるよ
笑
それをまとめて
そのそうとしてんのが
その
やよするわけじゃないですか脆弱性管理の
差はずとかなんじゃない
いや
ね面白すぎる
まあ助かるものではあるかもしれんけど
なんか
まあね
まあ需要があるからできてるって気もするけど
なんかアジャイルとか
スクラムみたいな話なんじゃないかな
って思うんだけどな
哲学として学ぶべきだけど
みたいなものなんじゃないかな
思っちゃうんだけどな
そのなんか
難しいな
持ってきたスコアをそのまま使うっていうよりは
その
なんていうか
持ってきたスコアをそのまま使いたいよな
外の権威に依存したいんだけど本当は
脆弱性管理の課題
でもなんかあるべき議論でいくと
その
なんていうか
常にある
考え方とか
スコアの算出方法みたいなのを理解した上で
独自に評価をしますが多分最強で
常にね
そうだね
まあでも
そうね
世の大半の木が独自に評価する
力も体力もないから
多分こういうのが
あり続けるんじゃないかな
だからなんかよりその精度の高いスコア
みたいなのが求められてるのは
そういうことなんだろうけど
なくてもどこまで行っても別に
欲しいものは手に入んない
本当に
本当のインプラ企業とかだと
そもそもこういうの多分
日々取り味してるチームが
あったりするらしいね
そういう人と話したことないんだけど
脆弱だから脅威インテリジェンスじゃないけど
うん
でもさ
いやどうなんだろうね
こういう
なんかLEVがどういう
フォーマットで出てくるか分かんないけど
そのなんか
CBSSとかさ結構グラデーションついて
出てくると思うんだけど
ああいうグラデーションとかさ本当に役に立ってんのかな
ってちょっと思わんでもないけどね
あなたはこのパッチ当てるべきですか
イエスオアノーって
なんか
出てくるくらいの方が簡単でいいんじゃないかなと思うんだけど
まあ
そこはもう
だからなんかもう
それはもう
多分ニストが埋めるべき
ものではないんじゃない
それはさ
本当にそれはもう多分
パッチ当てる人が決めるべきことになっちゃうから
なぜならさっきの
そのソフトウェアをどう使ってるかで
真理は判断すべきだから
そこはやっぱもう
本人たちが決めるか
その本人たちが決めるソリューションを出してるところに頼るから
多分
それってなんかさ
ソフトウェアをどう使ってるかの方にしか
着目されないけど
その脆弱性がどういうものなのかの方にも
多分同じように着目されるべきで
どう使ってるかと
どういう脆弱性なのかは多分表裏一体
というかその
なんか
じゃあ出てくるそのスコアに果たして意味あるのっていう
話にならんかな
うーん
そうね
まあでも
いやわかんない
何もけど
だって出てきてるさ
例えばCBSSのスコアがいくつ以上だったら
なんか
対応の要否を検討しますって
これこれこうだったら例外として
対応しなくていいですみたいなポリシーを定めておいたとして
なんかそんなん別に
イエス・オア・ノーが出てきてるのって大差ないじゃん
まあでもその基準がやっぱ会社ごとに
違うんじゃない
いやなんか
でもその会社ごとの基準なんてさ
別にCBSSのグラデーションなんてさ
その指揮地を設けたとしてもさ
その指揮地より下だったとしてもめっちゃ刺さるものがあるかもしれないわけだし
いやなんか
言いたいことは全部わかるんだけど
誰をかばうわけじゃないんだけど
そうは言ってもねって
いやわかるわかるわかる
現実はそうはなってなくて苦しいねって話
なんだけど
そうなんか
当分は
悪ではないけど
なんかある種の必要悪というか
そうそうそう
なんかもう
そのこのこの
なんて言ったらいいんだろうな
別に誰を責めたいわけでもないし
何をやゆしたいわけでも
全然ないんだけど
そこを頑張るよりも
いかにじゃあ
パッチ全部当てるかを
考えるほうがやっぱ生産できじゃんって
思っちゃうんだよな
そうね
いや
まあ
ただ方法論として
別に
パッチ当てるだけが正義じゃないよねみたいな話は
多分あって
例えばなんか
その
IPSとかIDSとか
WAFみたいなものとか
で弾けばいいじゃんみたいな
シグネチャーかけるものが
かけるものだったらそういうので弾けばいいじゃん
っていう考え方もあると思っていて
なんか
うーん
難しいね
まあ環境ごとに
その辺の負荷とかも多分全然違うだろうから
一概に語るのは
難しい気がする
はい
難しいねという話でした
現実の運用と対応
現実そんな簡単じゃないよねっていうのは
わかってるつもりではあるんだけど
なんかでも
あまりにも
現実が
なんていうか
あまりにもこう
現実すぎるというか
うーん
まあなんかそうね
いや開発
そうだね
ソフトエンジニア
アズソフトエンジニアとしてやっぱなんか
辛いっすって気持ちになるんだよな
難しいけど
趣味プロダクトとかあったらもう
脳してポチポチポチポチってやればいいんだけど
うんうん
プロダクションで動く事業の
サービスってなった時に
結構壁が何枚か出てくる感じがする
うん
その壁が会社によって違うし
薄い壁の会社もあるし
うん
そっちはそっちだよ
でも色々やりようがあるような気はするんだよな
うん
ある種の対障害性の話だと思っていて
その
脆弱性対応みたいな話にとどまらない
っていうか
そうだね
でもそうなってくるとだからなんか
その
話がぐるぐる回ると思うんだよ
それがじゃあ自分たちでできない
やる体力がない会社とか
もう事業上追い詰められてる会社とか
その
何だろうな
経営の理解がなくて
そこに投資できないってなった時に
やっぱ最終的にもうこれに頼んなきゃいけない
もしくはこれがあることで助かってる企業っていうのは
間違いなくあると思う
うん
だからもうポリシー決めて
もうCBSSのクリティカル対話
もう絶対に潰しちゃいましょうみたいなとこから
スタートしようみたいな感じで
機械的に回して
である種そのセキュリティ全く分かんない人にとっても
それって
分かりやすい基準にはなるから
とかなんかそういう環境はあるんじゃないかな
って気はする
まあね
うん
まあ面白いっすね
あとはKEVとかに関しては
KEVがそのそういうものとして
そうだね
開発組織の体制
使ってる側面もあるよね
忘れたけどなんかアメリカが
主要な産業に対して
KEVは1週間以内に対応しろみたいな
確かなんかあった気がするんだけど
KEVはね結構
なんかいいなと思うんだよね
明らかに流行りの静寂性だから
そうだね
ちなみにこの前のMXソフトウェアでしたっけ
あれもKEVに入ってましたね
うん
日本のやつも入るんだ
日本のやつも入るんだ
KEVは
KEVに入るものを教えてください
っていうのが多分一番欲しいもので
そうだね
まあ
いやでも難しいよなんか
そのそうだね
それができ
まあまあ頑張りましょう
ちょっと半年一緒に頑張ろう
いやー
これね一生
ゼロナン伝説の
迷いの森みたいな話だと思う
うんうん
いやでもなんかこの話になると
めちゃくちゃ話が長くなっちゃう
というか
話が壮大になっていくのはきっと
その
なんて言ったらいいんだろう
わからんけど開発組織の体制をどう
作ってますかみたいな話とか
そもそものアーキテクチャがどうなってますか
みたいなところまで踏み込まないと
この辺の
やりやすさやりにくさみたいな部分の
話ができないからなんだろうね
だし
たぶん一つもこういう組織があって
こういう問題があってっていうところから
議論始めないとたぶん
着地できない
空中戦になっちゃうのはその通りだね
そうだね
その点Xのしんどいポイント
みたいなのはなんとなく見えてはいるから
できればなんとかしたいけど
そこまで踏み込んで
こう着地しましたっていう
ブログを書きたい
そうね
どっかで
発表してきてくださいよ
任せろ
イベントとかやりましょう
やりましょう
だいぶ長くなっちゃいましたが
今日は指標として
あんまりそれに依存しすぎないように
しましょうねって話をしたかった
記事でございました
はい
次いきますか
Google Chrome can now auto-change
compromised passwords using
its built-in manager
ハッカニュースの記事です
Google Chromeが
Built-inのパスワードマネージャーを
使用して
ユーザーのパスワードを自動的に変更できる
新機能を発表したよっていう
記事ですね
これを含むGoogleの
ブログがまた後で多分出てくるんだけど
そうだね
その話も
先これだけ
紹介しちゃうけど
えっと
well-knownのURLを
設定しとくと
そこになんか
勝手に飛んでってパスワード変更を
Googleのパスワードマネージャーがしてくれるよ
っていう感じらしいんだけど
うん
これはさ
うん
まあでもあくまでオプショナル
なんだよねきっとね
オプショナルっていうのは
えっとWeb側が
これを実装するかどうかって話
Web側が実装するかもそうだし
Googleのパスワードマネージャーに
これをやらせるかどうかも
オプショナルなんだよねきっとね
記事中では言及なかったけど
多分そのオプションじゃないと思うのは
全ユーザーに
確認は入るんだけど
確認はそうそう
そこの部分確認は入るんだよね
これから変更していいですかっていう
そうそうそう勝手にはやんないと思う
それでいいよってやったら裏側で
そうだね
そうだねこれだね
パスワードマネージャーのチェンジパスワード
っていうボタンが出てくるんだね
うん
まあ
まあそうだろうね
オプトインで勝手に変更までやっていいよ
っていうのが
設定ができるかどうかはちょっとまだ
わからんな触ってないし
もう使えるのかな
パスワードマネージャー
使ってないからなんともないんですけど
うん
いやー
この実装ならいいのかな
何がいい
あれかっていうと
あの
セッションがさ
切れるじゃないですか
パスワード変更すると
あーそうだね
それはそうだね
うん
なんか要するにやっといてようで
なんか勝手に変更されると
いろんなセッションが一気に切れて
パスワード変更の考察
しんどいみたいなの普通にありそうな気がしていて
どうなのかな
確かにねこれどうなるんだろうね
チェンジパスワード
出てるわ私
あマジで
じゃあこれなきゃダメじゃないですか
うん
うーん
普通になんもしてくれないよね
おそらく
まあそのだからパスワードチェンジ
多分だけど
動画見てる感じはこれ裏側で
そのChrome上で
その
パスワード変更ページを開き
変更までやってると思うんだよね
ヘッドレスプラス的な感じで
だからそのこの操作をした
自分では
セッション切れるってことはない
そこは切れないけど他が全部切れるじゃん
うんそりゃそう
それはなんかむずいよな
なんか自分で変えてもそうじゃん
ヘッドレスブラウザ裏で立ち上げたらさ
完全にコンテキスト別だからさ
普通に切れるじゃん
ヘッドレスブラウザっていったのは
なんていうか
イメージの話で
実際の挙動としては
ユーザーが操作するか
操作するかの違いで機械が
このブラウザ上で操作してるんじゃないかな
って思ってる
そうじゃないと
そうじゃないと
そもそもパスワード変更画面に行けないもんね
これUI的には
動画的にはログインした直後に
信頼されてるよって
言うから
逆に言うと
Google側が変更できるのって
このタイミングしかないから
Google側勝手にログインして変更するみたいなのも
できなくはないけど
それはちょっとさすがに
だし
ログインページに対して同じような仕組みっていうのは
今この記事では紹介されてないから
そこは
あれなんじゃないかな
やらないんじゃないかなと思う
そうだね
サインインしてる時に
パスワード侵害をディテクションすると
って書いてあるから
ダメだな
自動入力まではやってくれないやつだったら
これ出たばっかだし
どんぐらいサポートしてるんだろうね
結局
あの
そうだね
出たばっかりだしっていうのは
要はウェブのフォーム側が対応してない
そうそう
それはあると思う
プロバイダー側が
ベルのオンチェンジパスワードを配置してないと
ちょっと試してみたいな
その配置もあるんだけどさ
フォーム側でオートコンプリートの
パスワードとニューパスワードが
入ってないといけなくて
そこまで倒しちゃったんだよね
今試したやつはちょっとダメだった
うん
このパスワードマネージャーフレンドリー
のウェブ開発っていう記事を
書こう書こうって
ずっと思ってんだけど
書かなかったんだよ休み中に
うん
明らかにトピックの一つになるので
ちょっと覚えておきます
パスワードマネージャーの仕様
気が向いたらそのうち書くけど
なんかこういうのを
いろいろ標準化されてほしいな
なんか前一回調べたけどあれだよね
その
例えば僕が知ってる
唯一のパスワードマネージャーフレンドリーの
知識としてはなんだっけな
ワンパスかなんかで
その
なんかどっちのパターンもあるんだけど
オートコンプリート聞かないでほしい
テキストボックスになぜか聞いちゃうパターンと
聞いてほしいのに聞かないパターンがあって
自分が実装したやつで
それを踏んだ時があってなんか
調べたらちゃんと仕様があって
こういう属性設定しとけばワンパスは
吉野にやるよみたいなのがあって
そういうのとかって割と
ワンパスしかその時は調べてないけど
まあ
主要な
ワンパスワードマネージャー向けには
やってもいいかなって思ったし
そもそも標準化されてて
されててほしいなって
まあ思ったって感じかな
まあね
なんか
標準化はされてると思うんだけど
今見たらMDN
にはもうこのニューパスワードと
カレントパスワード載ってるんだよね
ああそうなんだ
でワンタイムコードとかも載ってるし
うん
でもそのパスワードマネージャーごとの
サブみたいなのはMDNとかで吸収できてない
やつだから
そこは
そうだね
ちょっとブログ各ツールで色々調べてくれ
でもね普通に
そのパスワードマネージャーごとの
サブみたいなのなんか
めんどくさって思ってたから
その辺吸収するライブラリとか
ありそうだけどな
まあみんな
そこまで気にしてないっていうのが結構実情だろうな
うん
いやなんかね俺がね今一番腹立ってるのは
このワンタイム
TOTPのコードを入力できるやつと
入力できないやつがあるのがすげえ
腹立ってて
そうだね
普通にねストレスがやばいんだよ
確かに
あーこれか
これかなこれの話だよねきっとね
ノーションに貼った
あそうです
オートコンピューターサービス提供がね
あーそうだね
これ系だね
データは
独自の属性みたいなのがあって
むずいね
ラストパスの場合も書いてある
あーまさにですね
あー
なるほどね
でもこれはさ本当に
ちょっとこれ見て理解したけど
これはどっちかっていうと
確かにパスワードマネージャーごとの
挙動の差かなとは思うな
その
パスワードのあるフォームに対してだけ
インプットタイプパスワードの
インプット要素がある
フォームにだけ
反応するかどうかみたいな
そういうその
パスワードマネージャーのそもそも
挙動の違いが多分あるはずで
うん
ビットワーデンは多分このパターンだと
反応しないんだよそもそも何も
何もしないんだよね
そうかそうか
うん
その辺で結構触るんだな
逆に多分Chromeとかは
パスワードマネージャーじゃないけど
Chromeがオートコンプリートすること
あるんだよな
でも確かに
この
えっと
パスワードは識別が
比較的簡単だと思うんだけど
比較的簡単っていうのは
これから話すやつに比べると
相対的には簡単だと思うんだけど
その
IDパスワードのIDが
フォーム上のどれなのかっていうのを
特定するのは確かに
意外と難しい気がしていて
その辺でパスワードマネージャーごとの
感じなんだろうねきっとね
そうだね
挙動もそうだし
どうやってそれを見分けるかみたいな部分も
そうだし
そこがだから
オートコンプリートの方で
標準化されると
ウェブ開発の課題
嬉しいのかもね
そうね
逆にどうあがいても
パスワードマネージャーフレンドリーじゃないパターンで
個人的に
腹立つユースケース
デュエル
オートコンプリートユーザーネームあるじゃん
ごめんいいよどうぞ
銀行
ネット銀行のログインとかで
ログインIDの要素が複数に分かれてる
あれくそだね
一番腹立つパターン
某カーシャーとかも
確か分かる
会員番号
配分で分けるパターンとか
分かる分かる
マジでどうしようもないな
メルカリのストックオプションの管理と
持ち株買いの自社株の管理が
まさにそれで
マジ
確かにそんな感じだった気がするな
頑張ってポチポチ設定すれば
動くようにはなるんだけど
SNPCの4-1ってやつなんだけど
名前出しちゃうんかい
なんかだめかな
いやいいと思う
そうなんだけど
今サービス撤収でアクセスできない
表示ができないんだけど
懐かしい
あのね
画面上のボタンを押すと
フォームが切り替わるんですよ
おーいいね
ログイン経路がそこで分かれるのね
だから
1個のログインページで
1個の図面1個のログインページで
複数のアプリケーションにログインを
UIで切り替えるって形になっていて
もうね
最悪なんですよ
どうにも
サードマネージャーとの
食べ合わせがね悪すぎて
やばい
いやーキチ
ちょっとフレンドリーな
いやーもう一言言えんのかな
自分のサイトをちゃんと
あとね
ベースかな
ベースじゃないな
ショピファイかなんかかな
いろんな
オンラインストアを
またいで使ってるときに
あー
分かった
ドメインがさ
共通なのねログインの
サブドメインだけ違うけど
サブドメイン
サブドメイン違うのかな
ちょっとねごめん
具体的にどういう状態だったかちゃんと
わかんないんだけど
怒ってる事象だけ話すと
別のサービスに
別のオンラインストアに
ネットショップにログインしようとするんだけど
なぜかアカウントは
IDパスワードは入力交換されて
パスワードマネージャーになって
でもログインしてもアカウントはない
なぜかというと
同じドメインで別のネットショップが動いていて
そっちで作ったアカウントの情報が
保管されてるだけだから
ログインしてもアカウントは存在しない
何だったかちょっとわかんないんだけど
それ系のやつ
ECじゃないけどライブチケットで
それ一回踏んだわ
あれもね嫌なんだよね
あれ嫌だね確かに
いやむずいよな確かに
でもこれは
いいかもね
パスワードマネージャーフレンドリーな
ウェブ開発の記事見たことないもん
みんなそもそもそこ認識が
いってないとかそれを
知らない
その発想がない
開発者とか事業会社って全然ある気がするな
あと地味に
嫌だなと思ったのはいつの間にか
ログイン画面がリプレイされて
ドメイン変わってたっていうパターンとか
ある日突然保管されなくなるのよ
はいはいはい
すげーなんか
別に編集すればいいだけだからさ
情報さ
やれやって話なんだけど
ユーザビリティ低すぎて
その辺こそさ
それも全部さ
ちゃんと
標準化されるといいかもね
ウェルノーンじゃないけど
とはいえドメイン変わっちゃいますよね
もうどうしようもない気はしていて
その
標準化も何もない
気がするんだよな
元ドメインの特定のパスに置いといたら
パスワードマネージャーが
見てくれるとか
それは確かにできなくはないね
ウェルノーンなパスを
パスワードマネージャーの概論
見に行って
このドメインは
パスワードマネージャーにおいては
このドメインと同一のものとして扱ってくださいみたいな
うん
具体的に何を見てるのか
ちゃんと調べてないし思い出せないんだけど
ワンパスとか例えば
パスキーサポートしてるとか
2FAサポートしてるっていうのは
ドメイン入れると出してくれるんだよね
あれとかは
もしかしたら独自のDBかもしれないけど
パスキーとかなんか
サポート状況を
何かで取れる仕様があった気がしてて
そういうのでやってんじゃないかなって
気がするんだよね
そういうところで
うまくメタデータを標準化した上で
取って
僕ら側は何も意識せずに
使えるようになってくれると
いいんじゃないかなっていう
あとなんか今まではパスワードマネージャーって
感度の高い人だけが使う
課金サービスだったかもしれないけど
パスキーが本当に普及していって
でChromeの
パスワードマネージャーとか
iCloudとかは多分みんな意識せずに
どんどん使って人口が増えてるわけで
そうなるとサポートしなきゃいけないよねっていう
パイまで膨らんでいくことを
割と期待したいというか
期待せずともそうなる気がするし
意外と今考えることに
結構価値がある観点なのかもね
そうなんだよね
どれくらい使ってるんだろうねみんな
みんなっていうのは多分僕らの業界とかは
言わずもがなんだけど
本当に一般のお客様たちというか
パスワードマネージャー
不給率みたいな
Chromeやっぱそれぞれの
スマホのやつは使ってる気がするんだよな
そう思うんだよね
ログインの新しい体験
iCloudとか
KeychainとかChromeのパスワードマネージャーとかは
それと知らずに
使ってるっていうパターンは多い
そうだね
それで言うと
つなげるように話するだけ
この元ネタの
パスワードマネージャーの話あったかな
あったよ
パスワードマネージャーの話はないけど
パスワードの自動変更の話は
載ってた
Receiving User Authentication and Identity Verification
っていう
Chrome for Developersの記事ですね
うん
これね
読んだんですけど
すごいたくさんあって
メートしてください
っていう感じ
記事の情報もあるんだけど
気になったやつだけピックアップしてて
なんだっけ
クリエイションマネージャーの拡張が
おもろいなと思って
何がおもろいかっていうと
この拡張はないかっていうと
ログインするときに
Chrome側の
ログインのUIが出るんですよ
確か
記事見るか
どこだっけな
会社マネージャー
これだこれだ
なんか
デモ動画の挙動としては
サインインボタンを押したときに
サインイン画面に飛ぶ前に
このポップアップが出て
パスワードマネージャーに入ってる
このアカウントでログインしますかって
ESのほうで出て
ASとしたら入るみたいな感じで
エーザーメッセージのうれしいのは
各ログイン画面で
頑張って保管してポチッと押すっていうのを
統一的なUIで
これ欲しいな
これめっちゃいいよね
まだ多分
Googleとか
これやってほしいな
フラグオンにすれば
手元で使えるみたいだから
試してみてもいいかも
でもね
Chromeのパスワードマネージャーを使ってないんですよ
そこに帰結すんだよね
量使おうかな
高発すぎて使ってなくて
でも
こんだけやってくれるんだったら
そろそろ移行してもいいかもしれない
インポートインスポートも
割と簡単にできるし
iPhoneでも普通に使えるのはわかったから
あとそうだね
パスキーの自動作成も
確かに入っているし
あれか
あとなんか地味だけど
うれしいなって思ったのは
アプリとサイトをひも付けて
ログインを1回にするっていうのがあって
例えばNotionを
Webで開いてログインした時に
WebのNotionはログイン済みなんだけど
Notionのアプリを開くと
Notionのアプリ側では
もう1回ログインしなきゃいけないみたいな
アプリの作りによって
それが
大丈夫なところなんですけど
その辺を統一的にできるような
仕様が入ったらしいです
うん
ユーザー目線は
あれかな
多分事業者がやることとしては
事前にアプリとWebをきちんとひも付けるような
設定をなんかで変えておくと
どっちかでログインしたら
どっちか側でも
ログイン済みになるっていう風に
それは普通に
便利だなと思ったって感じかな
それどこ
えっとSyncPath
違うなこれじゃない
えーっと
えー
サービスデスクのサイバー攻撃
どこだ
認証情報の
シームレスな脅威
これだ
シームレスクレジェンチャーシェアリング
ワンサインアプロスアップアンド
うーん
セクション自体はすごい
ちっちゃいんだけど
それぞれのメイストラブルとストラブルと
シームレスクレジェンチャーシェアリング
ヘルプスフィックス
リンクのドキュメント飛ぶと
なんか設定の方法が書いてあって
あーこれも
ウェルノーンなのかなちょっと詳しくは
めっちゃ見てないんだけど
プレイコンソール側でちょっと設定して
ウェルノーンで配置してってやると
吉野にやってくれるらしい
そうそうでこんな感じで
コンフィを書くといけるっていう
これあれかな
Chrome以外では多分動かないから
iOSとかは
ちょっとどうなるか分かんねえな
iOSはね
Chromeとは無理なんじゃないかな
うーん
なんだっけ
アプリから
サファリを開くみたいなのが
多分できるんだよな
ちょっと俺ちゃんと理解したいんだけど
要はセッションとかが
サファリ側と共有されるような形で
アプリからブラウザを
開くっていうのが
できるらしくて
っていう話を
コクマさんに聞いた気がする
へー
その辺
サファリはアプリと
共有っていうのが
事実上できると思うんだよね
なるほど
むしろできなくなったって話を
今見たな
見つけたけどどうなんだ
ちょっと待ってね
その辺の挙動を研究したいな
なんかiPhoneからAndroidに
起承した時に一番最初に感動したの
インナップブラウザで
Chrome側のセッションを使える
っていうのに感動した記憶がある
それも一つの差分だし
いろいろありそうやね
ちょっとちゃんと理解してないから
なんも語れることがないな
ここは
要研究タスクとしてね
要研究
まあそんなとこっすか
まあいいっすね
順当に瞬化してくれていて
Googleのパスワードマネージャーが
どんどん強くなっていく
なんかさ
Googleのパスワードマネージャー使わない理由が
なくなってきちゃうな
Android OS
以外でも
めっちゃ快適に使えるのかな
iOSも別にほぼ
差分なしで使えるね
他のパスワードマネージャーとか
あとはあれかな
なんだろう
どう考えてもGoogle
Chromeパスワードマネージャーが保管できない
ような環境で
どういうUIで
Googleパスワード引っ張ってくれるか
Googleのパスワードマネージャーじゃ
保管できないところはどこも保管できないから
大丈夫
でもさその時にさ
例えば俺ワンパスユーザーだけど
ワンパスとかあったらデスクトップアプリ立ち上げて
パパって検索して引っ張るっていうのが
ストレスフリーで割とできる
単純にアプリの使い心地の話なんだけど
それでいうと
Chrome開いてない場面が
そんなにないから
なんかもう
パスワードへのデスクトップアプリは入ってるけど
ほぼ使ってないな
パスワード引っ張ってくる時も
Chromeの拡張からポチポチしてる
し
ただなんか
いやどうなんだろうな
ただGoogleのアカウントに
入るためのパスワードが
パスワードマネージャーに入ってるんだよ今
だから
なるほどね
Googleのアカウントにアクセスできなくなった時に
済むな
やっぱそこは分けたいな
今ちょっと
手元で開いてみてるけど
普通にそんなに
使えなかった
そうな気がする
なんかオースのやつとかも
混ざってるな
これは
まずいですね
なんかねパスワードマネージャーのパスワードだけは
覚えてるんですよ
うんうん
だからGoogleのアカウントのパスワードを
それにするかと言われると
確かにね
確かに
そうだね
いやむずいな
Googleアカウントを
ね
突然版とかも原理上はあるわけじゃないですか
そうそうそうそう
3年に1回くらい話題になるけど
ああいうのされた時に本当に済むから
ちょっとむずいよね
うん
そうなった気がしてきたな
うん
人によってそこのリスクを取るかどうかは
そうっすね
そういえば全然関係ないけど
あれ作ったよ
あのなんだっけ
パスワードマネージャーのリカバリーキーが
刻印されたドックタグ
おおまじでいいね
いくらくらいで作れたの
そんなに知らなかったよ
全然
どうだっけな
知らなかったくらい
俺も作ろうかな
えーっとね
1550円か
送料込み1700円だわ
安いね
2枚組みで
作るか
作ろう
作ってどこに置くかは言わないけど
そんな感じっすか
です
じゃあ次入れますか
はーい
お願いします
サービスデスクサーアンダーアタック
What can you do about it?
っていうブリーピングコンピューターの記事ですね
タイトルかなりシンプルですけど
サービスデスクが
サイバー攻撃の標的になってるよ
っていう話ですね
シンプルに
攻撃手法とリスク
記事の内容そんなに長くなかった
と思うんですけど
詰まるところ
話としては人間を狙ってますよ
っていうところ
で、それによって
認証情報を漏えいさせるとか
パサードのリセットをここに見るとか
で、いくつか具体的な
インシデントが上がっていて
結構
それ見ると解剖度が上がると思うので
ぜひ見てほしいんですけど
個人的に最近
見たやつで言うと
コーポかな
コーポっていうスーパーだったっけな
かなんかが
侵害されて
2300店舗に影響が出ましたよとか
割とそういう
リオールとかもやられてるんだね
そういう事例も書かれてるって感じですね
対策としては
身元確認きちんとしましょうとか
サービスデスクの検証しましょうとか
割とある種
ありきたりなこと書いてあるんですけど
これ確か僕が
あれかな
引っ張ってきたのは
この手法の中で
おもろいなと思ったのがあったので
引っ張ってきて
あれかな
顧客アカウントをパサードリセットさせるのは
考えれば
そりゃそうだって感じだけど
賢いなと思ったりとか
逆に
システムレベルのアクセスを許可させて
人間みたいなやつも書いてあって
これは逆にどうやってやるんだろうと思ったというか
多分やってることとしては
上手いこと
サービスデスクの人を騙して
あれかな
社内システムのアクセスを得るみたいな
話っぽいんだけど
どんだけ上手いことやったら
そこまでいけちゃうというか突破されちゃうんだろう
みたいなとかは気になってるか
そこまでいくと
またちょっと別の名前がつきそうな
そうだね
そうだよね
詐欺
BCとかそれ系の
名前がついてそうで
またあれか
ヘルプデスクの人を
よそって
多分なんか
どうだったかな
忘れちゃったな
ヘルプデスクをよそったか
ヘルプデスクの人をターゲットにして
外させて侵害する
人間狙ってるがゆえに
ありとあらゆる手を使っていて
結構
なかなかだな
あとなんか日本だとあんままだ
これ系
僕は見てないだけかもしれないけど
目立ってない気がしてて
早いのかな
人が開催してたかどうか覚えてないんだけど
しむさい八戸の悪用とかって
大枠これなんじゃないかなと思うんだよね
中学生だか高校生だかが
やってたのがあれオンラインじゃなかったっけ
これは
いやでもこれは人は開催してなかったはず
ビオログの話をしてるんであれば
アカウント乗っとって
でその
シンプルにアカウント乗っとった上で
再発行じゃなくて
2枚目3枚目を発行って話だったかな
そっか
でその時に2FAの
かなんか本人認証がなくて
ガバガバで発行しまくれちゃった
なるほどね
そっか
じゃあちょっと違うか
なんかでも感覚的には表に出てないだけで
結構やられてると思うんだよな
なんか
うーんやられ
うーんなんとも言えんな
なんか別に具体的な事例を
知ってるわけじゃないんだけど
うーんなんか
どうなんだろうね
割と見過ごされがちというか
免許証の画像が送られてくれば
オッケーみたいな
そういう運用してるところって
まだ結構あるだろうし
そうするとその既存の身分証みたいなのって
割とカジュアルに
使ってくる状態になってきてるから
うーん
そういうのは全然突破されちゃうし
うーん
なんかそれこそ
証券とか銀行は多分ちゃんとしてて
多分郵送プロセスを必ず挟むみたいなのが
ある気がするから
守られるんだろうけど
もうちょっと緩い業界というか
うーん
でも郵送こそさ
もう住所わかってるんだったらさ
郵便物分取りに行った方が早いじゃん
って話になりかねないので
それはそうだね
実際やられてるかどうかわかんないけど
普通に
悪用されると思うし
うーん
だからあんま表に出てない
表だってめちゃくちゃ目立ってない
っていうのはその通りだと思うんだけど
やられてはいると思うんだよな
うーん
割となんか人が開罪するから大丈夫だよね
っていうのでなんかするしがちなところって
あると思っていて
うーん
いやこれ全然
むしろ人が開罪するから危ないとまで思ってるな
個人的に
いやなんか
そうね
なんかあんま具体的に
話はなんもできないけど
なんかそのなんだろうな
いやいいやなんか話せないな
どしどし
いやうちもその
いわゆる電話サポートみたいなのあるからさ
うーん
ガバガバではないですよ
そういう意味で話せないってわけじゃないけど
あんま具体的に話しすぎるとあれだなと思ってるんだけど
その
なんかのタイミングでその医療の話を
聞いた時とかに結構
こういうじゃあこういう時にどうなるの
みたいなところとか
いやわかるわかるわかる
あとなんかその
バックアップと似た話があると思ってて
そうだね
バックアップってかアカウントリカバリー
そうだね
どこまでいっても
そのいろんな方法がどうしても
問い合わせてきた人がないです
っていうところに追い込まれた時に
そのヘルプデスクの人が
なんかちゃんと曲げずに
ルールでその押し返しきれるかみたいな
とか多分ちゃんと
マニュアルなり教育なりは必要だろうし
うちみたいなそのちっちゃいベンチャーとかと
CSはすごいちゃんとやって
くれてるけど
会社によってはさもしかしたら
そのCSを
わかんないチームが兼務してるとか
ないわけじゃないじゃん
とか外注してて
マネジメントめちゃくちゃやれてるわけじゃないとか
全然あると思ってて
そこにじゃあそういうリスクがあるっていうのを
認識した上できちんと
定期的に見直してますかとか
そこのリスク評価を
したことありますかっていうのは結構
まあこの立場になってから
考えなきゃいけないことの一つだよな
と思うし考えてない人がいるんだったら
考えてもいいのかなと思って
別にこの立場じゃなくても
意外と考えてみると面白い気がするんで
考えてもいいのかなと思ったりするって感じですね
プロンプトインジェクションに関する記事
うーんそうね
うーん
話せないことが多すぎるな
そうだね
既に結構ギリギリを攻めてる気がしていて
なんとも言えないんだけど
そうだねいやそう思う
そうなんだよね
まあ
あれかな日本とそうね
うーん
まあアジアンがあったら聞きたいけどな
まあそんな
まあまあまあ
国内においてはさ
国内においてはマイナンバーカードもっと使えばいいと思うよ
今はねそうだね
うんもっとカジュアルに使えばいいと思う
うーん
まあそれで言うとChromeのクレジェン…なんだっけ
APIの名前忘れたけど
身分証明書を使えるAPIとかは
日本も早く来てって
気持ちがある
なんかね
うーん
こういうところがまあ使えるようになりつつあるわけだから
アカウントリカバリーとかは特にそういうところが
使えばいいと思うし
うんそうだね
はいまあそんな
会場はサクッと
記事は内容したよね
この話を聞いたなら正直読む
まあでも事例の部分だけ読んでもいいかな
なんか一応なんか
頂点記事ではあったんですけど
研ぎ上げました
はい
じゃあ次行きますか
プロンプトインジェクション対策
様々な攻撃パターンから学ぶ
セキュリティのリスク
JMOフラットセキュリティさんの記事
です
これ俺ね中身読んでないな
読んだっておっしゃるな
おっしゃるけど何にも書いてない
じゃあ僕読みますか
多分ザーッと斜め読みして終わり
意外と読んでるな
思い出してきたわ
まあでもね
ほんと記事のタイトル通り
プロンプトインジェクション攻撃の
対策の話なんですけど
結構すごい
丁寧な体系的な記事だな
っていうところがあって
本当にプロンプトインジェクション
って言葉を知らない人でも
だから知らない人にこっそり読んでほしいなと思ったんですけど
まあそもそもプロンプトインジェクション攻撃って
なんぞよって話
それがなんで起きてしまうのかっていう
原理の部分の話から
具体的な
攻撃手法
あとはそれが
じゃあ実際に現実に起きた
有名な事例をいくつか挙げてくれてて
その上でじゃあどういう風に対策をすれば
いいんですかっていう部分を丁寧に
一個一個解説してくれてるって感じですね
記憶だと
結構記事自体は長いんですよね
ほんと一個一個丁寧に
説明してくれてるのが長いんで
うんまあ一個一個
ピックはしないし
あとはその
まあ
なんだろうな
それこそこの取り組みで
プロンプトインジェクション攻撃自体を
知ってる人であれば
その対策にめっちゃ銀の弾丸とか
正直書いてない
ほんとにやるべきこと
って感じなんで
そこはまあ
知ってる人はすごい良い復習の記事になるかな
と思ってます
多分日本語で
こんだけちゃんとまとめてる記事
僕は知らないんでそういう意味でもすごい価値がある
記事じゃないかなと思ってますね
で
他のMCPサーバーの
フラットセキュリティさんの記事とか読んでも
全く同じ感想を持ったんだけど
このリファレンスは素晴らしいという前提と
その上で
まあ
2025年
爆発時点では
本当に根本的な対策っていうのは
多分難しい
可能性ゼロに潰すっていうのは難しいのが
改めてよくわかったんで
結構
なんていうか
やっぱ緩和策を
できる緩和策を一枚一枚
打たなきゃいけないし
まあ
建てられる壁はもう建てなきゃいけないし
エージェント系みたいなところで言うと
権限を最小化しましょうみたいなところは
多分わかりやすいところなんだけど
そういうところは本当に徹底していかなきゃいけないよな
という部分と
またこの記事を読んで
原理原則を改めて理解した上で思ったけど
じゃあこの根本的な対策が無理
っていうところが半年後
プロンプトとペイロードの関係
一年後に解消されてるから言うと
なんか今の
LLMのアーキテクチャだと
あんま変わんないかもなっていうのが
思っていて
だから結構もうずっと
付き合い続けなきゃいけない問題なんだろうな
っていうのはちょっと思ったって感じかな
結構な
もう手足縛るしか多分なくて
縛りたくない
要件上縛りたくないってなったらもう
それはもう多分
本当に
頑張って
LLMのレイヤーで
どうにかするしかない
まあでもな
別の記事で
書いてる
メモとして書いてるとこなんだけど
なんていうか
結局プロンプトで
全てを渡すっていう
形になってる以上もう不可避
というか
ペイロードとプロンプトの
境界線が曖昧なので
無理なんだよね
多分やるべきこととしては
プロンプトを通じて
MCPとかでペイロードを取ってこさせる
っていうのを多分やらないといけなくて
そしてMCPで
要はプロンプト
プロンプトはもうあくまでプロンプトとして
扱ってプロンプトの中にペイロードが
一切入ってない状態を何らかの形で
多分作らないといけない
うんうんうんうんうん
でも最後の最後に
モデルに交わせるときは結局
ガッチャンコされちゃうから
そこでガッチャンコしない
あーそっか確かにそうだね
そうなんだよ
もうLLMのインターフェースがこのフォーマットであるから
確かにね
そこは確かに逃げ場がないのか
最後の最後で
だからもうLLM自体の
システムが
例えばシステムプロンプトと
その後のプロンプトを分けられるような
モデルがあればいいのかな
うん
でも原理的にはそこまでやらないと
多分潰せないはずで
プロンプトとペイロードを分けましょうね
っていう話になるんだけど
いやー
これはね
厳しいよ
うーん
なんか
事業次第だな
なんか例えばだけど
その対話型のチャットボットを
サービスに組み込みたいって言われたら
もう諦めしかないと思うんだよね
諦めちゃいけないけど
可能性はもうゼロにできないし
ある日突然
めっちゃデカい穴見つけられる可能性は
もう否定できないんで
そこはもうリスク飲んでねってなるんだけど
今って過渡期だからやっぱ
その
そうねとりあえず付けたチャットボットみたいな
すごいよく見るんだけど
よくも悪くも
でもその一方で
どこにどう活かすと
使えるかとか
どう溶け込ませると活かせるかみたいなところの
解像度も各事業者が
できてはいる気がしてて
その後
ここに溶け込ませようってなった時に
じゃあ
そんなに
LLMに与える自由度とか権限って
必要ないってパターンも全然ある気は
していて
サービスに組み込むっていう目線に立つと
なんか私
ユーザーにとってもそっちの方が価値ある場面が
多いんじゃないかなという気が個人的にはするから
うーん
なんか自ずと
このリスクを
抑えられるような
なんかめっちゃ本当に
手足縛れない
縛れない場面が
そんなに多くないと
いいなっていう願いはあるって感じの
うーん
どうすかね
一方で開発系のASSIRとかも
無理だなって
思うけど
外部から入力がないって意味では
ちょっと話は違うと思うけど
うーん
そうだね
まあなんか
結構手法の話をすると
うーん
ブラインデイスケールインジェクションみが
あって面白い
あーそうだね
この実験のやつとかまさにそうだなと思った
しかもその
LLMのアウトプットを
アプリケーション側でどうパースするかまで
想像して
やらないと
多分アウトプットが取れないケースってあるはずで
うーん
この実験とかは
多分
実際のマムロ目線でフェアじゃないのは
実装見えてるから
多分このペイロードを考えられるけど
うーん
そこはね
とんでもない独自フォーマットで
出力させる
みたいなのが流行ってる
でもさーその
でもやっぱ結局さ
モデル
開発最前線のさ
大企業たちがガチガチに
安全ですって組んだモデルをさ
日々セキュリティ研究者たちが
突破しすぎてる
わけじゃん
どこまで行ってもしばらくはなんか
突破される前提でやらなきゃいけないんだろうな
って気がする
新たなセキュリティ手法
うーん
なんか先週か先々週取り上げなかったけど
あのトリュフホグの
ブログなんか久しくね
更新がなかったんだけど
久しぶりに更新があって
読んでみたら
なんだっけな
プロンプトインジェクションの多分
プロンプトインジェクションじゃないか
そのモデルにマルウェア作らせる話だったかな
だったんだけど
そのマルウェア作らせる前に
そのまあモデル自体その防御機構というか
そういう
あー倫理観を破壊させる
倫理観を破壊する的ななんか感じ
そうそうそうそう
なんか倫理観破壊プロセスみたいなのめっちゃ詳しく書いてあって
なんかおもろいな
というか
あーみたいな感じの気持ちになって
すごい切なかったよ
面白そう
好きだな
なんかね面白かったよ
じゃあ読んでみて
なんか結構
なんだっけ
何のモデルでやってたんだろう
でも結構そんな有名どころのモデルだったはず
はい
まあいいや
まあでもこれはぜひ
社内でも
なんか読んでって何文だけだわ
めちゃくちゃよかった
うん
じゃあ次いきますか
いきましょう
えーっと
これはお願いしていいですか
はい
えーっと
ウォッチインプレス
メディアの名前
あーそうだね
まあウォッチインプレスか
ppカードカードと情報確認などで
sms認証を配置
セキュリティ強化という記事ですね
はい
具体的にはsms認証を配置して
生体認証か
パスコード認証が必須になるという
感じですね
カード情報の変更
お客様情報の確認と変更
家族カードのお客様情報の確認と変更の3つで
そうなりましたという
記事自体はもう3行って感じですね
うん
なんか平たくいいネットだけ
ノーションには書いてて
うん
まあちょっとその
パスコード認証と生体認証が
裏側パスキーなのかどうかがちょっと
わかってないんですけど
パスキーなんであればいいんじゃないですか
と思ったけど
まあやはり
コメント見てなるほどなって思った感じ
どうせメールに切り替えるとかじゃないの?
知らんけど
メールに切り替える?
いやメールじゃなくて生体認証
かパスコード認証
パスコードか失礼しました書いた
そっか
多分パスキーだと思うんだよね
思い出した
いやパスキーじゃないんじゃない
でも生体認証だからパスキーなのかな
生体認証
もしくはパスコードって
フォールバットしてのパスコードっていう話なのかな
ちょっとわからんね
ごめんなさい
使ってないわ全然
いやなんかその
パスキーって別に生体認証だけじゃないじゃん
それはそうだね
うんだからなんかそういう意味でこの表現なのかな
と思ったけど
手元であれか
でもあえてパスキーって書いてないからな
まあそれは確かに
まあでもこの
いやそういう意味で元のプレス見た方がいいのか
元ネタがもう
いやなんかこうちょっと
ウォッチンプレスさんに限られたんですけど
日本の記事元ネタのリンクがないのが
本当に嫌だ
大変失礼しました
ありましたすいませんでした
ありました
でももうまんまだね
その
技術的な課題
元ネタにも別に
むしろ記事は正しく書いてたなっていう
そうだね
ああでもまあ
多分パスキーなのかな
わかんねえな
わかんないねパスキーじゃない
でもおかしくない書きぶりではあるな
うーん
なるほど
ヘアゲッションコメント見てなるほどなって僕は思いました
対象機能絞ってるあたり
ここが狙われてるんじゃないかみたいな
いや多分そうだと思いますよ
なかなか表に出てこないんだけど
なんかでも狙われそうじゃんここ
そうだねお客さん情報の
確認と変更は
でもなんでだろう
まあでも確認もだから
表示できないようにしてんのかこれがないと
多分ね
カード情報
でもこれペイペイカードか
ああだからか僕ペイペイカード使ってないから
わかんねえな
わかんないそう俺もわかんないんだよね
ペイペイカード使うか
まあカードだしね
sms認証
多分これもあれでしょもう
サインアップすると即バーチャルカードが
降ってくるような感じなんじゃないかな
ちょっと今試さないけど
最短5分で簡単
本当だそうだよね
うーん
でカード自体はきっと
ナンバーレスでカード番号
とかは全部このアプリ上で
確認できるようになっていて
ペイペイのアカウント載っとって
カード番号だけそこで載っていく
っていうのを多分めっちゃ
やられてんじゃないかな
うーん
わかんないけどね
smsじゃなくしたからフィッシング体制はついたのかな
つー
うーん
と
ペイペイカード開きますペイペイログインします
でもログインはできてないって
ダメだもんね
でもさこれさ何に対しての
あれなのかな
フィッシング体制はついたかもしれんけど
ログイン
フィッシングでログインはさ
いやでもこれ新しいセッションでさどうなるの
これ
そこを書いてくれないとさ
そのフィッシング体制の話は
できないよね
そうだねそもそもこれペイペイログイン後に
って話なのか
ペイペイログインしなくても
ペイペイカードの情報にアクセスできる
のか
いや試すのめんどくさいな
さすがにペイペイログイン後の話だと思うんだけど
うーん
ログイン後セッションでさ
その
うーん
きっとパスキーなんだろうね
うーん
分からんけどね
そうなんだと思うけどなきっと
法案成立の背景
いやーちょっと分かんねーな
あまりにも不親切だな
まあ別にそんな親切に書く
ギリもないんだろうけど
ギリもないだろうし
多分なんかいろんなことを
対策としてやっていく中で
だからいちいち説明してらんない
っていうのもあるだろうから
分からんね
この記事言及してんの徳村さんしかいなかったけど
徳村さんは
SMSはグローバルでダメってなってたのに
Yahooはカタカナに使ってたけど
スタンダードに
スターってことなんですかねってコメントしてる
うん
確かにそんぐらいしか分かんないかもね
分かんないね
分からん何も分かんねーわ
何も分かんねー
まあ悪いニュースではないということで
多分
多分ね
寝られてるのの視点はなかったんで
個人的には勝手に勉強になりました
まああえてここからやるってことは
そうなんじゃないかなと思うんだけど
何らか多分
その外的要因によって
ここからやってるんだと思うんだよな
うん
そうですね
分かんないけどね可能性としてはあるかもね
話ですね
法案の具体的なポイント
ありがとうございます
次いきますか
行きましょう
えー
そうですね
ちょっとうまくできる自信がないんですけど
ウォッチインプレスさんの記事で
能動的サイバー防御法案成立
攻撃無害化など3つのポイント
っていう記事ですね
で
能動的サイバー防御法案っていうのが
正式に成立したらしい
これなんか見つけたっていうよりかは
成立したっていうのを見かけて
なんかさすがに中身
というか内容を軽くでも
把握した方がいいかなっていう気持ちで
持ってきて読んでみたって感じ
なんですけど
法律の話なんで
元ネタ頑張って読んだんだけど
全部をちょっと
説明しきるのは
難しいんで
すごく
ざっくりポイントを話すと
3つポイントがあって
この法案によって
これからやること
ないしはこれから
政府ができるようになることっていうのが
3つあって
1つは官民連携の
強化っていうのがあって
これはなんていうか
具体的なところはちょっとわかんないですけど
主要産業
なんでインフラとか
農書に貼り付けた図に
書いたのは
インターネットとかのインフラのところとか
あと機器ベンダー
これ多分ルーターとかなのかなと思ったり
勝手に思ったりしてるんですけど
まだ機密情報を持ってるような事業者と
政府が連携して
事前の防御とか
攻撃に対する対処支援を
行いますっていうのがまず1つ目
2つ目が
通信情報を
攻撃に対する対策
ないしは自己対応に利用する
っていう話ですね
これは強化法って
図の中に書いてあるんで
もともと別に通信を見れないってわけじゃ
なかったと思うんですけど
政府が
必要と判断した時に
通信事業者に対して攻撃に対する
対策とか
また図で書いてあるのが検知みたいなところ
をするために通信情報の
内容を開示してもらって政府で見れるように
するっていうのを
今法律でできるようにしたっていうのが2つ目
これはスライドにちょっと
書いてあったのはもちろん
通信の秘密みたいな話はあるんで
第三者機関が
開示の
プロセスとか監査っていうのを
がっつりやるっていうのは言及が
あったっていう感じですね
3つ目がこれが
法案の能動的っていう部分に一番近しい
トピックかなと思うんですけど
攻撃者が
保有するサーバーに対して
政府側から
アクセスを
多分ブロックしたりとか
無害化
この無害化が具体的に何なのかというと
ちょっと気になるけど
必要に応してこっち側から
アクションを取れるようにしたっていうところが
多分結構一番大きな差分
になるのかなっていうところ
が3つのポイントとして開けられる
って感じですね
この3つを具体的に誰がやんねんって部分は
僕が読み間違えていなければ
基本的には自衛隊とか
防衛省また警察あたりが
多分サイバー部隊を
持って
すでに持ってると思うんですけど
そこら辺がここら辺のアクション
実際に取るところになる
っていう感じですね
なんで
あとは何か
流れというか
この法案の元
原理は全部は追ってないんですけど
こっちじゃなくて
もっとカチカチのスライドで
今後の展望と課題
書いてあったのは
各国の
先行事例みたいなところ多分
意識していて
アメリカ イギリス
のあたりの
法律とかではすでに
こういうとこやってるよみたいなところで
結構意識してそうかなっていうところ
あるって感じかな
それに習う形で進んできたのかな
っていうところですね
自分は正直多分
めっちゃ関わったりはしない気がするんですけど
需要インフラを担う
民営企業の人は
多分関係あるんじゃないかな
っていうので
頭片隅に置いてもいいかもな
という気持ち紹介しましたという感じです
はい
はい
まあ
個人的には
何でしょう
日本も頑張れって気持ちで
めっちゃやってるんですけど
なんか
うーんと
うーんと
Xでちょろっと
話題になってたやつで言うと
1個目のリンクの
34ページ目の
このコミュニケーションの
本質的な内容に当たるのか
当たらないのかみたいな部分の
線引きがなかなか
あれだねって話を
話が上がっちゃったな
ああ
本質的な内容に
当たらない部分
このコマンドの部分
特に
本質的な内容っていうのは
だから
防御する観点において
見なくてもいい
まあ見ていいもの
見ちゃいけないものっていう部分かな
多分今回の
テキストで言うと
これどっちが見ちゃいけないもの
上が見ちゃいけないもの
下が見ちゃいけないもの
上を見ていいもの
コマンド見ていいのかどうなの
いかがなものかって話
てかこれは
でもコマンドと言いつつ
この
httpのリクエストの1行目ってさ
割と本質的な内容
になることって普通にあるよなと
うーん
そうだね
てかだって
例えばさ
ゲットでパスを指定してて
それに対して
リクエストを送りますって
それってそのリクエストにおける
コミュニケーションの本質そのものじゃん
うんうん
でも逆に言うと
開示求めてもここは見ない
っていう線引きをしてる
っていう話だと思ったんだけどな
あってるのかな
あるいはそこをかなり
厳格に
チェックするよっていう話なのかな
厳格なチェックを設けた上で
そこにもアクセスするよ
っていう話なのかな
うーん
そこまでは読めてないな
どっかにね関数の話は書いてあった
でも分析のために
あれだね2枚目の
リフレットのPDF
の最後の中の
Q&Aの中に書いてあるけど
分析のために
利用されるのはIPアドレスやコマンドといった
要はコミュニケーションの本質じゃない部分に
絞られるよっていう
なるほどね
コマンダー見る
でもこの
やっぱで僕
うーん
これ他の国はどうしてるんだろうね
どうしてるんだろうね
まあでも参考にしつつ
定めてるから見てるんじゃないの
うーん
結構ここは割と個人的には
かなり本質に近い
ようなと思うんだけどね
なるほどね確かに
分からんけど例えばすごい
アダルトなコンテンツの
パスに対して
私がゲットリクエスト送ってますって
かなり
超特殊性癖の
そのコンテンツに
ゲットリクエスト送ってますみたいなのって
かなりコミュニケーションの本質的な内容じゃない
例えばだけどね
なんか
治病のサイトにめっちゃアクセスしてるとか
そうそうそうそう
それも本質的な
うん
まあ確かにねそれで言うとこれは
まあそうね
でもまあ事実上でも
治病の話で言うと
本人かどうか分かんないけどでも
その病気のコンテンツにアクセスしてる
っていうのはコミュニケーションの本質的な
内容だよね
少なくともね
なるほど
結構意外と線引きが
なんか怖いなとは思う
うん
自分の
バランスが効いてくるのかどうかが割と
ヘッダーと見なしてるから
なんかその
なんていうか
ここはペイロードじゃないから
コミュニケーションの本質的な内容
含まないよっていう風に
判断してるのかもしれないけど
でも現実問題そうじゃないよなとは思う
なるほどね
これ読み逃してたわ
どうなんでしょうね
まあでも可決されちゃった以上は
利用されてどうなるかって感じなのかな
うーん
あと透明性の問題だよね
そうだね
私のデータに対して
私の通信に政府がアクセスしましたよ
っていうのは多分
なんか分かんないじゃん
うんうん
うーん
そうだね
そこは透明性がないよね
うーん
うーん
ちょっと全然追っかけてなかったんだけど
うーん
当事者協定に基づく
うーん
強化法第3章
なんか当事者の
協定に基づき
みたいな言及もあるけど
でもそうじゃないパターンも
絶対あるよね
その人があるようなパターンも
あるだろうかな
うーん
なるほどね
国立機関の話は
14ページか
14ページに書いてあった
うーん
なるほど
あーざす補足
あと何?これは通信事業者とかが
このコミュニケーションの
本質的な内容に当たる部分を
マスクして提供したりするのかな
うーん
どうなんだろうね
そうするとでもかなりその
恣意的にさ多分線引きがされるわけで
具体的にhowは多分
法令で定めてるのかな
いやそこまだやってないと思うんだよね
通信情報の
通信情報
どいどいどいどい
いやー
こうなってくるとな
ちゃんと
ルマの取り締まりと影響
でそうするとマスクする人間が多分いるはずで
何をマスクして何をマスクしないかを
判断する人間が多分いるはずで
うんうん
じゃあその人がそれを
マスクすることって正当業務行為と言えるんだっけ
みたいな話とか
それを正当業務行為と言えるようにするよ
っていう法令なのかな
うーんそうだろうね
おそらくは
機関インフラ事業者
その他の電気通信
役務の
利用者との協定に基づき
うーん
そうだね
はいそんな感じです
いずれにせよちょっと透明性に欠けるなあとは
うん確かにね
はい
あとでジェミニ君に
他の法律調べさせよう
いい次第だ
じゃあ次
はいお願いします
はいまあサクッとでいいかな
FBI and Europe
Europe all this trap through
Mastila Malware Network link to
10 million infections
っていう
ハッカニュースの記事ですね
はい
でまあタイトルの通りで
えっとまあ
ルマっていう
ルマインフォスティーラーなのかな
ルマスティーラーが正式名称わかんないんですけど
あの
名前の通りそのめちゃくちゃ
猛威を振るっている超大手のインフォスティーラー
っていうのがルマっていうのがあるんですけど
これのドメインと
マーケットプレスの差し抑えが
えーユーロ
まあタイトルで言うとユーロポールと
FBIによって行われたっていう話ですね
なんでまあ
明るいニュースって感じですね
で
まあまあ明るいニュースはありつつ
ランサムウェアみたいに
また別のやつが台頭してくるだけ
っていう話はありつつ
って感じなんですけど
その
差し抑えた結果
わかった数字みたいのがいくつか
あるんで
まあ規模関係上で面白いかなと思って
紹介したいんですけど
2022年の
後半以来
インフォスティーラーが流行り始めて
えー
中でそのインフォスティーラーの
感染のうち1000万件ぐらいが
ルマスティーラーによるもの
とされているらしいっていうところ
と
差し抑えた後に分析した結果
今年の3月16から5月16の
3ヶ月間の間に
マイクロソフトの調査で
39万4千台の
Windowsコンピューターがマルマ
マルウェアに感染してるっていうのを確認しているらしくて
まあ
少ないか多いかで言うと多分めちゃくちゃ
多いんだろうなって思ってるんですけど
まあその3ヶ月の間にって言うだけなんで
まあなかなか多そうっていう感じ
でまあもともとはなんか
ちょっと全然知らなかったんですけど
マルウェアアーザーサービスとして提供されてたみたいで
250から10000ドルの
サブスク形式で
使えたり
えーっと思ったけど
ソースコード自体のアクセス権も
2万ドル払えば
買えるらしくて
200、300万ぐらいですか
日本にいるとたっけーって感じですけど
まあまあ重要あるんだろうな
っていうところ
でこれ逆に今気づいたけど買えるってことは
買った人たちがまた次のマーケットプレイス作るんだろうな
って思ったけど
まあまあそれはしょうがないですね
あとはクリックフィックスで
感染させる事例が多いみたいです
っていう感じですね
なんか
前に取り上げたからどんどんどんどん
よく見かけますけど
直近だとTikTokで感染させるとかも
あるらしくて
あのTikTokの動画でこのコマンド打つと
Spotifyがめっちゃ速くなるみたいなやつがある
まあなんか
次から次へとって感じですか
そんな感じ
まあレポーティングというかサバイブって感じでしたね
うん
いやークリックスねー
意外と
意外といけるんだよな
面白いな
なんか
多分ターゲットがやっぱ本当にその
いわゆるパソコン詳しくない
人たちを狙ってるんだな
っていう
感じはするね
いろいろ見てる感じは
うーん
このPodcastを聞いてる人とか僕らの周りの人は
まず引っかかんないんだろうけど
本当に一般の
人
プリンターの繋げ方わかんないみたいな人たちが
多分引っかかって知らず知らず
知らず知らずのうちにロマが入って
知らず知らずのうちに
いろんなアカウント情報が抜かれてみたいな
世界観なんだろうね
あとロマンスティーダの話じゃない
うん?
あとロマンスティーダの話じゃないけど
Windowsで
Chromeのクッキーとかを
OS禁制の
暗号化ストレージに入れて
アクセスできなくするみたいな話とかあったけど
うん
具体は見てないしちょっと記事ちゃんと読んでないけど
そういうのをバイパスするような
スティーダとかもちょこちょこいるらしくて
まあなかなかまだまだ
安心とは言えない世界だなって
気がするって感じかな
うん
全然ウォッチしてなかったけど
ラックもクリックフィックスが
実際出てるよっていう注意喚起みたいなの
出してるから
JSOC
JSOC
JSOCってなんだ
JSOCはラックのSOCの名前
あーなるほど
はいはいはいはい
なるほどね
いやーこれ
でもさクリックフィックスに引っかかる人にさ
この注意喚起は絶対に届かないよね
そうだね
うーん
マジでどうしようもないよな
ウイルスもと言ったりするし
ラックのお客さんを通じて
自社の従業員に
ラックのお客さんが
自社の従業員に注意喚起するとか
経路としてあるんじゃない
あー確かに
JSOCで観測してるよって話だから
一般で投稿の部分には確かに届かないね
うーん
ユーザー個人の対策道を変えてくれてるね
不審なメールSMS
広告を開かない
コマンド実行に誘導されていた場合は
速やかにブラウザを閉じる
いやー
馬鹿にせずに本当に注意喚起した方がいいね
ちゃんと
うーん
はい
一つまた撲滅して
次は出ないことを祈るつつって感じの記事です
うーん
ほーい
じゃあ次読むか
今日はね僕が突っ込んだやつで多いんですけど
お願いします
突っ込んだらしい最後
インフォルスロケーショントラッキングアポン
オールフォルニアスインモス
モスコア
英語でもモスコアって言うんですか
モスコア
プリピンコンピューターの記事ですね
まあそんなに語ることはないんですけど
どうやって言うと
まあロシア政府が
モスコア地域に住んでる外国人全てに
位置情報追跡するアプリのインストールを義務付ける
新しい語話を
提供したっていう
笑っちゃうよね
一応
なぜYの部分としては
その移民犯罪対策みたいなところとして
入れたっていうところで
でこれ
まあ
はいで
何をしなきゃいけないかっていうと
外国人の方はスマートフォンにアプリをインストールして
居住地と指紋と顔写真と
リアルタイムの位置情報を全部提供する必要があると
守んない人は
監視リストに追加されちゃって
ロシアから追放される
っていう感じですね
これ何普通にアップストアからダウンロードできるのかな
あーどうなんだろうね
笑
ダウンロードできないちょっと
それを見たいね
うーん
まあ法律が可決されたって話だから
その施工がいつか
うん
IOSのデバイスを持ってたら
なんかもう入国できません
とかになったりするのかな
笑
どうなんだろうね
その辺はなんかうまいことやるのかな
うーん
まあ一応なんか
その記事であったけど
そのプライバシー権侵害
まあ憲法のプライバシー権利
そもそも抵触してるだろうみたいな批判とか
あとそもそもこれやりきれんのみたいな批判もあるらしくて
うーん
まあ個人的にはそれだっていう気持ちまで
まあでも外国人だから
なんか憲法のその辺はなんかうまいこと
うーん
どうするのかな
どうなんだろうね
うーん
で一応2029年9月までの実験的なもの
らしくて
まあモスカは限定ではあるんで
あれなんですけど
まあ多分うまくいったら他の地域にも広めるらしい
って感じですね
でまあちょっと
まあ他の国とはいえちょっと
プライバシーとは
っていう気持ちになって
あとまあ移民対策
って思っちゃったんだよな
いやそれは違うでしょ
なんか多分
うーんまあわからんけど
それもあるのかもしれないけどね
うーんねちょっと今の
国際情勢的にもいろいろ
思うところありつつ
はいまあ国がこれをやるんだっていうのは
ちょっとびっくりしたので紹介しました
って感じですね
うーん
サイバーセキュリティの脅威
まあロシアだし
そうね
日本が同じことやったときに
なんか日本人としてどう思うんだろうって思うと
なんか切ないなって思うんだよな
まあめちゃくちゃ
困らされてるんだな
やれやれって思う人もいるのかもしれないけど
うーん
はい
じゃあ最後ですか
最後っすね
これ何の記事だ
サイバーセキュリティニュースっていうところの記事です
これね誰かがね
共有してたのを見て
引っ張ってきたんだけど
なんか違うな
あれこれ俺が追加したやつかな
あそうだわたぶんコメントに
ロシアの移民追跡アプリ
うんこくもとさんのあれを入れてるね
そうそうそれなんかあれだ
うまいことスマホからノーションに貼れなくて
あのコメントにとりあえず
突っ込んどいたんだ思い出した
はい
えーっと
まあなんか記事自体は
割と結論記事自体は結構
ふわっとしてんだっていう
なんか
ふわっとはしてたね
まあでもなんか要点としてはあれだよね
そのAI機能を入れたWAFを
入れた
WAF AIのWAFって
製品があるんだけど
AIを入れちゃってるが故にプロンプトインジェクションで
WAFの機能が回避できちゃう
っていう話だよね
これ
ちょっと
笑っちゃいけないんだろうけど
なんか
おもろいよね
AI技術の課題
AI入れて穴広がっちゃうんじゃんって
普通にシンプルに思ったな
まあでもなんかこんなのあるあるでさ
なんかAIじゃなくても
もうこういうのずっと繰り返してきてるからさ
まあ
XSSオーディターのせいで
XSSができると
ああなるほどね
こういうのばっかりだよ
でもこれこそさ
さっきのフラットの記事で
話したことにのっとるとさ
もう無理なんじゃないの
と思っちゃうけど
向いてないっていう結論になると思うね
うーんね
任意の入力を
プロンプトとして
渡さざるを得ないっていう
状態を出せない以上は
もう一生狙うよね
うん
いやー
これな
すごいね
なんかおもろかった
リアルワールドの例として
大変参考になる
そうだね
と思いました
いやー
ほんと他人事じゃないんだろうな
ちょっとなんか
プロンプトインジェクション
勉強したいなって最近思ってるわ
面白そう普通に
うん
気軽に叩けるやつが欲しいな
まあ俺がやるとしたら
自分で作ってみてそれを叩くのをやりたいな
あー
俺メルカリのAI商品叩いてみたいんだよね
あー
叩いて大丈夫なの
いやわかんないけど
なんかもう
日付変わったから
多分スバックさんも
Tシャツとかもらえるよ報告したら
なんか見つけてやるか
AI出品まだ使ったことないな
なんかデフォで
そっちになってるよ今
出品してみよう
AI出品って
名前とかがあるわけじゃないのか
そうそう
写真を撮ると勝手に入力交換してくれるから
なるほど
口がね少なそうに
見えるんだよな
叩ける口が少なそうに見えるんだけど
なんかできないかな
いやー
バグバウントしていこうか
いいね
そんな感じですか
はいそんな感じでございます
ふわっとした記事でしたけど
まあ機能的な事例ということで
今回は序盤に
たくさんハイカロリーの話をしたな
そうだね
普通にね終盤ちょっとだれてたわ
まあ
だれてたと言えるかもしれないし
なんかそんな話すことなかった気がするな
まあねそれはそう
いやーそうねー
いやー
いやでも楽しみだな来週から
いやでも
企業職を出さずにやっていこう
うん
いやなんというか
裏に会社の予算がついてないです
ってアピールをしな
知らんけど
知る?それ
本当に
ステマみたいに思われたらやじゃん
わかんない
その
まあでも大丈夫か
ここで採用前での話とか
し始めなければ大丈夫だ
大丈夫だと思うけど
知らんけど
ヤムティさんもなんかやってるしな
個人のポッドキャスト
話してるんだよな
うん
でもあれはまあ
社長だし全然なんも思わない
まあヤムティさん
とはつまりDenXのことで
あるぐらいの感じだもんな
知らんけど
大丈夫
大丈夫よ
雑魚不在やで
まあまあまあ
うん
じゃあそんな感じで
まあ来週も
引き続きやっていきましょう
よろしくお願いします
残したことはないですか
メルカリのAI出品
いや
お疲れ様でした
お疲れ様でした
みなさんありがとうございました
みんな元気で暮らしてください
聞いてる人には
届いてるでしょ
届いてないでしょ
いないよ
メルの人いるの?
まあそうねいないかもね
で来週からお願いしますと
よろしくお願いします
じゃあ次回もみなさん
お楽しみにしててください
おやすみなさーい
おやすみなさい
