ワールドカップへの期待と近況報告
こんばんは、Replay.fm 第91回です。
こんばんは、91回。はい。
いやー、なんか、個人的には、今日と、今日、今日、あの、Todayの今日と、
あれ、いつだっけ?来週の月曜日か。
今日、この後、38分後に来る、おそらくリアルタイムでは見れない、Nintendo Directと、
あとは、来週の月曜の朝にあるワールドカップの初戦が、気になって、そわそわしております。私は。
うっす。
サッカー?
そう。
えー、サッカー見るんだ。
いや、普段マジで見ないから、超にわかなんだけど。
うん。なんだ、にわかか。
ワールドカップは、あの、見ますね。
見ます?というか、前回見たんだよ。前回、いや、前回、超印象深くて、あの、
感動した。
感動した。
感動したというか、マジテンション上がったけど、あの、何が印象深かったかというと、その、あの、
だから、一人目、一人目の子が、
えっと、え、違うわ。もう、いつ生まれてもおかしくないって時に、
スペイン戦が超早朝にあって、で、まあ、もう、あれだよ、グループリーグ3戦目で、詳しくない人に、まあ、詳しくない人向けに、知らない人向けにさらって言うと、
そこで勝てたら、トーナメント行ける。負けたらもうほぼ絶望的。で、スペインはもう、はるか格上だから、
まあ、もう十地八九無理だねみたいな、ムードが漂ってるっていう状態で、で、早朝から試合みたいな感じだったから、
まあ、いっかーみたいな感じで、起きなくていっかーみたいな感じで寝て、で、そしたら、その、嫁の陣痛が始まって、起きたんですよ。
なるほど。
そう。で、陣痛ってその、起きたらすぐ病院行くわけじゃなくて、その一定時間経って、その、特定条件で病院に行くって感じなんで、その、陣痛が起きて、そわそわして待つっていうのを早朝からやってたんだけど、
その時に試合、えっと、チャンネルつけたら、なぜか勝ってて、おいおいおいってなって、で、見たっていう思いで、で、それで、マジで勝っちゃったよっていうのと、
あとはその出産が結構、まあ、割と何山で24時間くらいかかったんで、で、その間僕ずっと寝ずに待ってて、
その寝ずに待ってる間に、その病院の待合室で一人で、あの、日本じゃないワールドカップの試合を見ながら、生まれるのを待つっていうのがあって、
だからめちゃくちゃなんか、前回のワールドカップ覚えてるし、なんか、その内容も劇的だったんですよ。
その超格上のドイツとスペインになぜか逆転勝ちして、で、なんか、日本やべえみたいな、なるみたいな、そう。
で、今回も、あの、オタクの人たち曰く、その日本は強いみたいな、というかなんか直近あれなんですよ、ブラジルとかイングランドとか、
で、ドイツもそのワールドカップ後に向こうのホームに招かれて、多分向こう的には、その有利な場所でボコボコにするぞみたいな気持ちで呼んだら、
なんか4-1で日本が勝っちゃうみたいなことが起きてしてて、だから結構期待が高まってるというか、そう。
なんで、ちょっと楽しみにしてるっていうのがあるって感じですね。
なんで、あの、にわかですけど、あの、一緒ににわかしましょうって気持ちです。
朝ちょっと早いんで、あの、あれなんですけど、所詮がね、5時から7時とかなのかなって、朝の。
いいっすね。楽しんでくださいませ。
はい、楽しみます。
いやー、今年F1見てないからさ、なんか、そういう中央や逆転生活もなんかやってないし、なんか、なんかいいっすね。
うん。ちょっとお祭り感があるのはいいな。こういう時じゃないとなかなか。
まあね、F1はもはやお祭りって感じじゃねえからな、なんかもう。
ちょっとなんか、レギュラー感あるよな。
うん、淡々と、なんか、追っかけていく感じだから、なんか全然、うん、お祭り感はないね、確かに。
Jリーグみたいなもんなのかな。サッカーでいう、毎年シーズンがあって。
そうなのかもしれない。でもJリーグ全試合見てるって人は多分ほぼいない。
全試合はいないだろうね。
いなくはないだろうけど、まあそんなにいないと思うから、うん。
まあでも、なんか全50何試合とか、多分全チームやって、自分の応援してチームの試合を全部見るとかあるかもしれない。
うん、あると思うね。
お便り紹介とフィナテキストに関するコメント
そんなわけで、あの、お便りが来てたんで。
あら。
ありがとうございますって感じで、ちょっと読み上げようかなって感じですけど。
えーっと、折り返しが見えない。
R1さん、いつもお便りありがとうございます。励みになります。
90回祝、金融系圧力がかからないと動かないのは本当にその通りだと思います。
JTC的かつ伝統的なセキュリティのなせる技でしょうね。
そういう意味で当局要請は効果ありつつ、これまで気がなかった経営人と付き合うのは骨が折れます。
何かが漏れてる気がするけど、まあ何かがあるんでしょうね。
何かあるんでしょうね。ありがとうございます。
まあ、でも金融系に限らず圧力がかからない会社というか、まあそういうのがあるのは一定事実としては容易に推測できるようなという気はするのと。
あと動くにも結構グラデーションがある気はしますよね。
これフィナテキストの話を受けてのコメントからなんですけど、
フィナテキストの例は多分相当動いてるというか、もうそこまで動き切ったらもうこれ以上何するの?
何かその、何かあれじゃないの?フィナテキストの場合はそもそもこう、何ていうか、要請が全てじゃないっていうか、
何か元々やってたものとか元々目指してたものとかも、何か当然に組み込まれてるんじゃないかなとは思うけどね、どうなんだろうね。
改めてその健康化したっていう話なんじゃないかなとは思うね。
そんな気はしてて、何かあれを要請なしでやれてる、要請というかいろんな強くなしでやれてる会社なかなかいないですよねみたいな話なのかなって気はする。
なんかTwitterで実は直接メンションいただいて、何だっけ、その差し障りのないありがたいご感想のメンションいただいてありがとうございますってちょっとやり取りさせてもらったんですけど、
そうですね、原職で頑張っていただければと思う。いろいろ何か苦労が垣間見えるかなと思うんですけど。
90回祝ですね、100回目指して頑張りましょう。
はい、まああっという間に100回になっちゃいそうだけどね、この感じだと。
そうだね、あと9回分ですか。
100、何かめちゃくちゃ中途半端な会に記念会やるか。
どういうこと?
え、わかんないけど、130。
何記念?
いやいや、9週間後僕行く気は空けてないんで、行く気空けた後だったらワンチャン東京で、まあでもイベントやるほどじゃないな、飲み会やりたいな、200回だな、リアルイベント200回にやりましょう。
でもさっきLangさんがオフ会やってくれって言ってたよ。
嘘?マジで?え、そんなLangさんがやってくれって言うならぜひやりますよ。やりましょう、ちょっと。
いやー、あの、10月を、10月はみんな開けておいてください、じゃあ。みんなって誰だよって感じですけど。
はい、これね、ちょっとチャットに送るか。
ちょっとチャットどこだろう、これ。
そんなパブリックに送ってる?
そうそうそうそう。
え、ありがてーっすね。
CICDセンサーをちょっと試してたんですよ、さっき。
あーはいはいはい。
僕もやってました。
えー、ありがたーい。
いや、いや、やりましょう。
はい。
有言実行でいきます。
じゃあ、そんな感じで今日もやっていきますか。
よし、やっていきます。
はい、じゃあ1個目から。
AIボットによるInstagramアカウント乗っ取り事例
私読むか。
Hackers used Metasea support bot to seizeInstagram accounts っていう。
これはKerbeson Securityっていうメディアの記事ですね。
普段はサブスクライブしてないやつなんですけど、
某社から引っ張ってきましたって感じで。
で、何かっていうと、ブリーピングコンピューターとHacker Newsとかでもさらっと記事が流れてきたけど、
メタのインスタグラムですね。
要するにインスタグラムにおいて、
AI Bot、AI Botになるものがいるんですけど、
そのAI Botに対するハッキングで、
インスタグラムアカウントが乗っ取られた事例っていうのがありましたよって話ですね。
で、これはどういうことだいっていうところで読んでいくと、
ちょっとその外から見た推測みたいな部分も混ざっていて、
公式から詳しいポストを持ってもらっても出てきたわけではないんで、
それを加味して聞いていただければって感じなんですけど、
そのAI Botでパスワードリセットをすることができるっていうのが
インスタグラムの仕様としてあって、
で、何でそんなことができるのかっていうと、
元々そのインスタグラムでアカウント前のサポート、
多分例えばそのパスワード忘れちゃって入れませんとか、
何かログインできませんみたいなところに対して、
結構そのサポート、人間によるサポートが
全然追いついてないみたいな事象があったみたいで、
それを解決すべく今流行りのAI Bot、
裏側きっとLLMでいろいろ権限を持たせたBotをリリースして、
機能として提供してるっていう部分だったんですけど、
そこに対してこのBot自体が任意のアカウントのパスワードを
リセットする権限まで持っていたっていう部分に
今ブラックハッカーが目をつけて、
やってることはめっちゃシンプルに見えてて、
このメールアドレスのアカウントのパスワードをリセットして、
違う、パスワードリセットしてこのメールアドレスに
パスワードリセットリンクを送ってみたいな感じだったかな。
そうだね。
Just link my new email address.
I'm sending the code for you.
感じか。
だから私の新しいアカウントこっちなんで、
そこにVerification Codeを送ってねみたいなのを言うと、
Botが申しにして、
分かりましたって言って送っちゃうっていう、
かなりシンプルな挙動になっちゃっていて、
なんでちょっと、
おーおーおーっていう部分が厳しいなっていう感じですね。
結構個人的にわざわざ取り上げたのは、
今回サービスの手活だと会社の名前的にインパクトがあるから
ニュースになってたと思うんですけど、
人間じゃもうサポート足りないわみたいなところに
LMがあって性能も良くて、
じゃあそれに権限持たせてやれば、
こういうの実現できんじゃねっていうのをやった部分に、
セキュリティ的な防御的な観点をうまく組み込めず、
結構あっさりやられちゃったなっていう部分が、
なんていうかあんまり他人ごとには思えないなというか、
なんでしょうね、
お金もかかるし、日本の場合は人でも減ってみたいな部分で、
じゃあAIでいろいろ手足持たせてやろうよみたいな部分で、
解決するみたいな部分にフォーカスしすぎたら、
こういう足元の使われ方って結構普通に
誰でもし得るんじゃないかなっていう部分で、
多算の意思としたいなっていう部分と、
とはいえちょっと乗っ取られたアカウントが結構、
アメリカの名だったら元政治家とかだったりはするんで、
やられた側ちょっとちゃんとしてよって思うだろうなっていう部分と、
思い紹介させてもらったって感じですね。
そうね。
これなんとかコードゲームみたいなのあったじゃん、
なんか前にLLMのあれ。
GitHubのスキティチャレンジみたいなやつ。
そうそうそうそう。
なんかまんまあれだよね。
まんまあれだね。
なんかさ、クーポンコードかなんかさ、
あーあったね。
そう、なんか、
本当にクーポンコードをしゃべらせようとすると、
デフォルトだとマスクしたやつしか返してこないんですよ。
そうそうそうそう。
なんとかマスクさせろっていう。
そうそうそうそう。
はいはいはい、あったねあったね。
そうだね。
完全にあれだなと思ってそう。
やっぱその、
どこまで言ってもやっぱLLMって責任感がないというか、
まあ持てっていうのが無理な、
だしその、
基本的にはプロンプト投げてきた人を全面的には、
まあその防御的なプロンプトが入ってるにしても、
信用して動くから、
うん。
あそこに結構パワーを持たせるのはやっぱ、
怖いというか、
結構難しいよね。
ね。
どう直したんだろうな、それで言うと。
なんかもう直しはしてるみたいなんだけど。
うーん。
まあアカウントレスとか。
気になるよね。
なんかどう直したかがもっと出てくると、
なんか面白いなと思うんだけど。
ぱっと思いつくとかだとやっぱ人間にエスカレーションとかなのかな。
なんか。
かもねー。
でもなんか従来の、
あのめちゃくちゃ使いづらいチャットボットあんま変わんないっちゃ変わんないよな、その。
そうなっちゃったね。
人手が減らねーっていう。
そうだね、そうだね。
対応件数が減らないね。
いやー。
はい。
皆さんもお気を付けください。
じゃあ次は紹介お願いするか。
サプライチェーンセキュリティの空白地帯と未来
サプライチェーンセキュリティの空白地帯、
信頼できる依存性の未来を考える。
えーと、
まあさっきちょろっと触れてたRangさんのスライドですね。
プロダクトセキュリティスクエアっていう、
あのプロダクトセキュリティさんのイベントで、
まあどうやら喋ってきてたらしくって。
僕は全然キャッチしてなかったんだけど。
はい。
ちょっと行きたかったなと思いつつ。
で、
うーんと、
まあ読んだは読んだんだけど、
まあ読んでくれ感しかないなっていう感じではあって、
なんか、
うーん、
どう言えばいいのかなー。
なんか割とこう、
サプライチェーン攻撃っていう風に、
僕らが読んでいるもののその、
こう、
おさらいみたいな部分もしつつ、
その今ってどこにどういう対策が入っているんだっけ、
僕らが持っているソリューションって何なんだっけっていうのを紹介しつつ、
えーと、
結びとしてはなんかまだまだその、
発展途上だよねーっていう話をしている感じですね。
で、
えーと、
結びとしてその例えばだけど、
その各、
ベンダーはこれをしているし、
その利用者はこれをしているし、
みたいななんかその、
各その役割ごとにこういうことやってるよねーみたいな話とか。
こういうことやっていかなきゃいけないねーみたいな話とかをしつつ、
最後になんかさっき触れたCICDセンサーっていう、
EBPFペースでGitHub Action2とかの、
えーと、
まあ、
なんて言ったらいいんだろう、
EDRっていう風に書いてくれてるんだけど、
あの、
なんて言ったらいいんだろう、
監視ができる、
モニタリングができたり、
得点の挙動をブロックするみたいなことができるようなツールっていうのを、
作ってるよーって話があって、
えーと、
まあ、
結びとしてそれを紹介しているっていう感じですね。
ありがとうございます。
いやーなんか、
結構その、
直近のサプライチェーン攻撃系の資料とか、
記事とかで、
まあバズってるやつとかって、
基本的に起きたことを結構ちゃんと整理するとか、
どういう脅威があって、
それぞれどういうことをすればいいよみたいな、
まあ割となんか、
今この時点でできること、
現実的にできることに対処みたいな、
ものがまあ多めかなーっていう気はするんだけど、
なんかこの資料は、
その、
なんだろうな、
まあこの、
GitHub Actionsに対する信頼とか、
なんかそのサプライチェーン攻撃って概念としてはもうずっとあったじゃん、
多分。
そうだね。
5年、
下手したらなんか、
気づいた時にもう、
そのベストプラクティスとかもあった、
うん。
中で、
まあその、
まあずーっとつぜんサプライチェーン攻撃が湧いてきて、
で、
急いでみんないろんなことを作ってるというかは、
まあ概念的にあるから、
まあこういう考え方どうかとか、
っていういろいろ、
なんだろうな、
技術とか、
考え方は出て、
もともと出ていた気はしてて、
なんかその辺をすごい、
あのー、
いい感じにまとまってて、
で、
織り交ぜてくれてるのが結構、
いいなーっていう気はしましたよね。
なんかソルサとか、
SBOOMとか、
署名の話とかもそうだし、
うんうん。
うん。
またねー、
点、
点がまだ線になってないみたいな表現が結構、
うんうん。
それなんか何回か出てくるけど、
確かにその表現はまとえてるなーっていう、
ありますね。
なんか、
点、
自分で線を繋げなきゃいけない感じがするんだよな、
今は。
いろんな場所にいろんな脅威があって、
うんうん。
で、
自分で線を繋げて、
で、
その線が安全かどうかを自分で、
なんか評価しなきゃいけないから、
うん。
結構その、
まあ個人開発者で、
シンプルなワークフローしか動かしてない人たちは、
その、
世に転がってる今だったら、
まあさっき言ったような基準を見て、
真似しとけば、
まあとりあえず9割安全、
みたいなこと言えるかもしんないけど、
まあ複雑なワークフローとか、
そのトレードオフを取らなきゃいけないっていう場面において、
なんか、
やっぱ結構、
自力で線を繋ぐっていうのは、
結構高度なことな気はするから、
まあこの先もうちょっとセキュアバイデフォルトじゃないけど、
なってくれるといいなっていう。
あとなんか全然、
その内容とは関係ないというか、
本質的な感想じゃないかもしんないけど、
結構絶望せずに、
頑張っていけばいいじゃんみたいな、
P23ですか。
まあ被害続いてが絶望する必要はないっていう部分は結構、
なんか、
ラングさんがこう言ってくれるのは嬉しいなって勝手に、
思ったというか。
次は何なんだろうね。
次っていうのは、
サプライチェーン攻撃の後。
いやなんか、
その場所が変わるだけで、
結構このサプライチェーン攻撃というもの自体はやっぱり、
効率よくブッ刺せるシリーズではあると思うんだよな。
そうだね。
なんか今その、
とりあえずまず、
いやーでも、
基本的には、
今レジストに狙ってるよね。
ターゲットとしては、
NPM、パッケージ、
Ruby、
コンポーザー、
あとは、
ラストとかもそうか。
でその辺がプラットフォームとして色々手を打ってきているってなった時に、
次狙うのどこだろうね。
GitHub自体を狙うっていうのはちょっと出てきてるよね、
動きとしては。
そのNPMレジストだけじゃなくて、
元のコードを改ざんして、
パブリッシュするみたいな。
だから、
その、
その次なのかな、
なんか直近Azureとかも、
Azureだっけ、
Microsoftもやられてるけど、
普通にアカウント侵害されてコードプッシュするみたいな。
GitHubとかもそうだったかな、それで言うと。
GitHubベースコードか。
GitHubベースコードだね。
なんかなんか、
基本的には、
今集めたもの、
開発攻撃者集めたものを使ってそうしてるわけですよね。
NPMトークンとか、
PADとか。
そこも塞いだ後に、
次何か来るかは、
どうなんでしょうね。
どこ狙えるか。
拡張機能とかはずっと狙われてるけど、
もっと本気で狙うとかあるかもしれない。
あるかもしれないね。
なんかノータンが変わっていくだけで、
大体パターンは出尽くしてるのかな、きっと。
いやー順次、
パターン出尽くしてる気はするけどな。
AIスキルとかも。
でもあれは悪意あるやつ乗っ取りじゃないかな。
でもサプライチェーン攻撃ではあるよね。
そうね。
究極的には、
僕らが生きてく上で、
ソフトエンジニアとして生きてく上で、
パソコンに外部から落としてくる、
見ず知らずの人が作ったもの全てに、
がスコープにはなると思うから。
まあね。
やっぱそうなった時に、
まあそうね。
一番流動的なのはやっぱ、
言語のパッケージな気はするし。
だから流動性は落ちてくるのかもしれないね、もしかしたら。
滅多にアップデートしないような、
低レイヤーのパッケージも狙われるかもしれないけど、
狙う旨味がちょっと下がっていくというか。
ホームペリオとかどうなるかな、それで言うと。
ね、ちょっと思った。
ホームペリオの配信の仕組みよくわかんないんだよな。
ね、全然知らない。
偽インストールコマンドはめっちゃちょこちょこ入ってくるけど。
ほら、Googleの検索結果に、
しばらくだけ上の方に出っ放しだったみたいなのもあったよね、
こないだ偽のサイトがね。
ああ、でもギターがホストなんだ。
まあ行くとこまでいったら狙われたろうな。
でもホームペリオとかだと、
たぶんちょっと旨味は少ないよね、攻撃したときには。
なんか毎日インストールするようなもんじゃないし、
その依存ツリーとしては、
結構低レイヤーを狙わなきゃいけないけど、
まあ低レイヤーほど骨は折れるだろうから。
確かに。
やっぱり、
狙われるべくして狙われてるのかもな。
面白いな、この試行実験。
なんかもうちょっと考えてもいいな。
お付き合いしましょう。
ぜひお願いします。
じゃあ次は私か。
開発用AIエージェントの悪用と攻撃手法の進化
どういう記事かというと、
まあアンソロピックに限らずですけど、
クロードコードですよね。
クロードコードみたいな開発用のAIエージェントが、
攻撃者も実はこっそり使ってますよって話が、
ずっとたぶん1年、2年前ぐらいからあって、
で、ちょこちょこニュースとしては、
何十アカウント、
中国・北朝鮮のグループが使ってたっぽいのを
バンしましたとかっていうニュースが、
GeminiとかOpenAIとかアンソロピックからちょこちょこ出るみたいな、
まあそんな1、2年経ったかなと思うんですけど、
まあその、
悪用のされ方について、
一旦今時点で、
どういう傾向が見て取れたかっていう部分を
分析しましたっていう、
レポートになってます。
レポートの内容としてはさらっと触れるんですけど、
まあ結構分量的には読みやすいんで、
気になる人はぜひ読んでくださいって感じなんですけど、
3つ大きくあるかなっていう気はしていて、
1つは前もAWSの記事でちょっとありましたけど、
このAIの活用によって攻撃者におけるレベルの高い攻撃者と
レベルの低い攻撃者の差が
AIによって埋まってきてるよっていうのがまず1つですね。
埋まってるのはレベル低い人でも
それなりにレベルの高いことができるように
どんどんなってきてるよっていう部分が1つ。
これはまあまあ予想できるし、
いくつかファクトも出始めてるなって感じ。
2つ目がAIを活用する部分、
どこで活用してるかっていう部分の傾向が
1年間を通してちょっとずつ変わっていて、
具体的には初期侵入、偵察家初期侵入を一番左で、
最終的な侵害、被害、発生を一番右に置いたときに
どんどん右に連れていっているっていう傾向があるらしいです。
こういう攻撃を観測し始めた初期の頃は
使われ方としては初期の偵察とか侵入をスクリプトを書かせるとか
多分いろいろそういうことをしてるって話と思うんですけど
そういう部分で使われてたのが徐々に徐々に
その辺じゃなくて内部に侵入した後の水平展開に
AIを使うとか内部で攻撃に使うためのスクリプトを
AIに書かせるみたいな感じでどんどん右側にシフトしてきているっていう部分が
傾向として見て取れていますと。
これは多分左で使えなくなったって話っていうよりかは
どんどん活用の仕方が発展してきてしまってるみたいな部分と
あとはモデルの進化もしかしたら絡んじゃってるのかなとか
時間軸的には思ってるような人なんですけど
ちょっとずつシフトしてますよと。
結果的にはAI使うことで攻撃の成功率
なんで僕ら目線でのリスクっていうのは上がってきてると
言わなきゃいけないんじゃないかみたいな話と
あと最後の一つがこれもそうかなって感じですけど
より自律的な攻撃をするためのシステムを
彼らは彼らで作り込んでるよっていう部分がありますと
自律的っていうのはある程度ほっといても
攻撃、アタックツリーで見たときに特定の部分を成し遂げるようなものを
クロードコードなりを組み込んで組んでますよっていう話ですね
なんで闇ハーネスエンジニアリングじゃないですけど
ある程度自律的にここまではやるみたいなのも組んでいるっていう部分があって
で なんかさらっと増えてたのが
結構この部分でAIを使ってこういう脅威がありますとか
水平展開でこういう使われ方がしますみたいな
結構点の話っていうよりかは全体的に使われているし
使われ方としても知識のある人がバータリ的に
じゃあこの場面でどうすればいいかみたいな
プロンプトを投げるっていうよりかは
ある程度オートメイト オートメーションを組み始めてるみたいな部分があって
なんで従来のマイターアタックのモデルの話が出てるんですけど
例えばマイターアタックとかにそれを当てはめようとすると
結構その 何だろうな 攻撃者がやってることって
左から右にずっと一気通貫してて
それを自律的にやってるみたいな部分があって
自律的にやってるっていう部分を今のマトリックスだと表現できないっていうのがあったりして
なんでその辺はマイターと話して
ちょっとフレームワーク AI時代を前提に変えようかみたいな話をしてますみたいな感じで
ちょっと触れられていたっていうか
これフレームワークまでを変える必要は本当にあるのかな
なんかそのメンタルモデルが変わってるのかなっていうのはちょっと気になるんだけど
でもエージェントによるオーケストレーションに対応する
アタックアイディアは存在しませんかっていう話とかがあるんだな
だからなんか確かにそりゃそうか
そりゃそうだけどでもやっぱメンタルモデルは変わってない気がするんだよな
その手順というか
そうだね
あくまで高速化なんじゃないのみたいな
高速化効率化の範疇なんじゃないのとは思うけど
でもそういうわけでもないのかな
要は多分なんかそのこうむずいな
なんか複数人でやってたものを一人でやれるようになってるとか
なんかそういう話なんじゃないのと思うし
手があった時に毎回アタックのモデル自体が果たして
それに本当にマッチしないのかフィットしないのかっていうのは
ちょっと正直個人的にはあんまりピンときてなくて
どうなんだろうね
確かにこのマイトアタックのトップの図に何か新しいのが加わるかと言われると
そりゃ確かにっていう気はしてて
だから対策とかどういう風に防ぐかみたいな部分を見直さなきゃいけないとかなのかな
あるとしても
それはあるかもね
従来のこの方法だともうなんていうか
いやもうそれが勝手に突破してくるしとか
そうだね
効率化 大規模化もそうだし
なんか厄介なのはその大規模化した上に
ある攻撃手法をやるやつが100台になりましたって話じゃなくて
100台全部がAが駄目だったらB Bが駄目だったらCっていうのを
高度なLLMを使ってやりますよみたいな部分は結構ある気はしてて
フレームワーク考える側も結構どうすんだろうね
炎を見てみたい感じがするね
対策みたいなところはあんまこの記事では言及はなくて
でもやっぱもうどの記事も言ってるけど
基礎的なことをまずやってからっていう部分は変わんないんだなっていう気はするけど
僕らがやるべきことと可能性はあんま変わんないっちゃ変わんないかもな
なんか内部システムがめっちゃ巨大で水平展開ポンポンポンポンされた
なんかしていかなきゃいけないような規模感とかだとちょっと考え方変えるとか
今まではなんか入られても2枚目で防げてたけど
それが間に合わなくなるとか
うん わかんないね わかんないですけど
まぁちょっと今後に期待ですね
そうだね
個人的に結構用ってきてる気がするから
なんかそんなに
まぁでも高速化しますよみたいな中で
そんな悠長になんかこれはこのステップでいいみたいなことやってらんねーよなみたいな話やったらわかる
それはわかる
そうだね 続報をおきたいですね
まぁやってみた結果 巻いたアタックはこれでいいよねってなる可能性もゼロじゃないって気がするから
その辺はちょっとなんとって感じですね
じゃあ次
タイトルだけ読もうかな
情報セキュリティと経営層の対話方法
聴取数情報セキュリティはどう経営と対応すればいいのか
クラウドネイティブのおかしんさんの記事ですね
なんか僕はサラッとしか読んでないんですけど
どうでしたか
そうですね 読めばわかるんですけどだいぶ重厚な記事かつ
そうね
これに紐づくセキュリティ記事が
なぜか今週めちゃくちゃおかしんさんから出ていて
なんかアクセル全開やなっていう感じ
なんかキャンペーンやってんのかなってくらい
なんかアドベントカレンダー割に出ててなんだろうなって感じ
これ執行役員になったからとかじゃないの?違うのかな
どうなんでしょうね
タイミングが全然わかんないけどね
うん なられたのかって感じですけど
でもね そのおかしんさん以外も結構多くは見えるから
どうなんでしょうって感じ
そうですね 記事の内容としては
タイトルに答える形ですね
情報的にはどうやって対話すればいいのかっていう
RCAの命題というか答えのない問いに対して
結構体系的にコンコンとまとまってる記事かなと思っていて
全部説明すると結構大変なんで
興味ある方はぜひ読んでくれっていう丸投げにはなってしまうんですけど
基本的には僕らが多分このPodcastで散々話したことでもありますけど
上室内社さんのセキュリティに携わる目線で
セキュリティリスクっていうのに仕事で直面したときに
それを経営に伝えたい 会社に伝えたいっていう場面で
主にしてあるよねみたいな話があって
このサービス危ないですよとか
ここにリスクがあるから何とかしなせなあかんですよみたいな話を
何とかして伝えたいってなったときに
単純にこれ危ないんでやめたいですみたいな伝え方じゃ
当然伝わらないというか
伝わらないし議論の土台に乗れませんよねみたいな話
経営面積で見たときにそれが何で危ないのかとか
それに対処したときに何が嬉しいのかみたいな部分を
きちんと整えてあげないと難しいよねみたいな部分が
記事の取材としてあって
そこに対して結構印象深かったのが
いろんな世に既に出てるフレームワークを引用しつつ
ここはこういう考え方でやっていけばいいんじゃないかみたいな部分が
結構具体的に書いてあるかなと思って
例えばNISTのIR-8286っていう
この記事で存在を知って今頑張って読んでるんですけど
エンタープライズリスクマネジメントに関するやつで
エンタープライズリスク 会社としてセキュリティとか関係なく
会社としてのリスク管理とサーバーセキュリティのリスク管理を
どうつなげるかっていうのを記したNISTの文章なんですけど
これの話を引用したりとか
またIPAの情報セキュリティ対策ベンチマークの話を引用したりとか
あとNIST 800 NIST SP 839の話とか
リスクの話のやつかな これは確か
って感じで結構いろいろ何だろうな
いろんなフレームワークの部分をかいつまみながらまとまってるんで
説得力は結構あるのかなっていう感じですね
なんていうか 一番最初に言った
リスクがあって会社としてどうにかするように動かしたいけど
どうすりゃええねんみたいな部分で立ち止まってる人は
1回これ読んでみて参照 引用元とかをかいつまんでみると
結構勉強になるかもなっていう
思いましたって感じですね
あとは個人的にいろいろ読んで
なるほどねって思ったのは結構社内の
社内である業務に対して 社内全部の業務に対して
こういう考え方で こういう整理で こういう風にリスクマネジメントしましょうみたいな
ことをやるっていうよりかは 業務にもいろんなパターンがあるよねみたいな感じで
例えばベンチャー的な動きが求められる業務と
絶対にこけちゃいけない業務があったら それぞれに対して
リスクの取り方って変わってくるよねとか そういう形で整理して
リスクアセスメントしましょうみたいな話とか
そういう部分も書いてあったりして それはそうだねっていう
確かにっていう 結構全体的に確かにっていう部分があるんだけど
それをかなりかっちり言語化してる記事かなって感じですね
結構長いんですよね すごく長くて重厚な記事なんですけど
いやー わからんけど われわれのようなスタートアップにはなかなか
フィットセンターって思いながら読んでたな 普通に
そうだよね
成長探索型の組織でさえ大きいなって思いながら読んでたな
そうだね
ここがやっぱセキュリティの難しさだと思うけど
これやれば全会社うまくいくっていう話は マジでないっていうか
結局これを この記事ないしはこの記事で参照されて
フレームワークの考え方から
結局自社に会うスタイルはどこなのか どれなんだっけとか
何をアタッチしたらうまくいくのかっていう部分は
ある程度アレンジメントが必要だよなって気はするよね
これ通り このフレームワーク通りにやればうまくいくって
世界だったら本当に楽なんだけど 結構
しみじみ この記事とあんま関係ない話じゃ話かもしれないけど
なんかしみじみ結構 あんまりなぜかやるべきだけど
やれてこなかったこととして 僕がやるべきだと思うけど
やれてこなかったこととして いろんなフレームワークを
ちゃんと読んでインプットしておくっていうのがあって
めちゃくちゃ言い訳すると NIST 800シリーズとか
セキュリティチーム始まって セキュリティやんなきゃいけないってなった
結構最初の方に まさこそ当事業みたいなやり足とか
当時一緒に仕事してたセキュリティベンダーの人から
まずこれ読んでおけばみたいな話を教えてもらって
存在を知ってたんだけど 結構
Googleクラウドのエディター権限どうにかせないといけないみたいな
それを半年全部掃除してないといけないみたいな中で
そういう文章に結構じっくり向ける時間ってあんまり取れてこなかったし
取れてこないまま いろんなマギオミタクの力とか
新しいメンバー力を借りて何とかこれだっていう部分があって
だから結構自分の中で この文章においての型はこれですみたいな
引き出しがあんまりないなっていうのがあって
なんかこの記事読んでいろんなの引っ張ってるのを見て
そういうのを読んでみてどう思うかはさておき
さらっと目を通したいなとかちょっと思って
2人はしません なんでさっきのNISTのやつは
それで読み始めたんだけど
いや思いやな 偉いな
偉い 読み切った
イヤーレームの話とかしんどくない?だって
しんどいね しかも日本語ないし
翻訳すればいいんだけど PDFなんで
あとなんかそのやっぱNISTの文章がそもそももともとそうって話だけど
なんだろうな アメリカの政府機関向けのやつだから
やっぱその目が滑りやすいというか
突然なんか連邦政府みたいな単語が出てきたりすると
うってなったりするから
だからなんか実現しないと思うけど
このNIST文章をただ黙々と読むだけの
有志のオンライン勉強会やりてえってすごい思いながら読んで
最後に残るのが何人かみたいな
そうだね 本当に
なんかID関連の
多分キャッチアップしてる人の
で なぜかその人のYouTubeチャンネルがあってそれを
なぜかチャンネル登録して
最近の動画アップロード全然ないんだけど
その人とかNISTのID関連の新しい文章をただ読むって配信とかをしてて
そういうの真似するといいかもとか思ってましたけど
そうですね そんぐらいヘビーではあるけど
まあ頭でっかちになってもしょうがないんでそこはあれですけどね
うっす
まあまあ完全に迷子の人とかはぜひ手に取る
一個 読んでみてもいいかもねって感じです
あとは組織要力ね そうね
リスク対応の変数として組織要力っていうのが
多分どっかで元気あったけど
いや組織要力がなーって
スタートアップは組織要力がなさすぎるんだよなーっていうのもちょっと
組織要力ってのは人員とか予算とかの話ですけど
まあね
なんか難しすぎるゲームをやってるよね
でもあるのが健全なのかっていうと
それはそれでどうなんっていう気もするし
まあね
今の時代ね
わかんないけどそれは
なんか
まあ
資本主義社会においてはそのひねり出してちゃんと
必要なものは引っ張るみたいな方が
発想としてはもしかしたらいいのかもね
なんか要力っていう表現は確かになー
そうだね
確かに
じゃあ次いきますか
よし
おい
こちら私から
インターネットバンキングを狙ったボイスフィッシング攻撃
本陣 保持インターネットバンキングを狙ったボイスフィッシング攻撃の新たな出口を解説
遠隔操作への誘導に注意
トレンドマイクロのJ
トレンドマイクロジャパンの記事ですかね
はい
で
まあ新たな出口っていう風にあるけど
キャッチアップしてる人にとってはまあまあ想像の範疇でない
出口の解説って感じなんですけど
まあ一方で結構その
なんだろうな
まあ今流行ってる
まあ法陣狙って
運を受けに振り込ませてっていう攻撃に関して
まあ結構体系的にまとまってるんで
今時点で復習するにはいい記事かなと思ってちょろっと紹介という感じです
で
まあそうだな
あの
まあ
その出口ってなんやねんってのをさらっと話すと基本的には
人を狙うんですよね
企業のお金を
他公に
会社のお金を他の銀行口座に振り込む権限を持ってる人を何とか探し当てて
その人に電話でフィッシングを仕掛けるっていう
で成功したらお金振り込まれて高飛びするっていう
言ってみればただそれだけのソーシャルエンジニアに近い攻撃なんですけど
まあまあ
冒頭の記事の冒頭のグラフとかを見ると分かりやすいんですけど
まあ結構その被害額がえぐいことになってますよみたいな
これすごいね
なんでこれ何数ヶ月空いてるの
何なんだろう
数ヶ月空いてる何だったっけな
あれなんだねきっと
たまにどんとでかいのが入ってくるみたいなそういう感じなんだなきっとね
そうだね
大きいのが
まあ悪い意味で大きいのが釣れちゃった時にたぶん被害額が跳ね上がるって感じなのかな
去年とかは1年間で約103億円
4747件でやられてますよみたいな話とか
あとはなんか
手口もちょこちょこ巧妙化していて
この記事で最初の手口って指してるのがたぶんそういうのなんですけど
もともとボイスフィッシングって言ってるくらいなんで
基本的にはそのフィッシングで担当者引っ掛けて銀行工産にスペースを何とか送り付けて
そこにログインさせてそのログイン情報を抜いて
本物の銀行から抜くみたいな話だったりするけど
会社によっては
端末の証明書がないとその銀行工産に接続できないみたいな設定とかがあったりして
それはそのフィッシングでログイン情報を抜くだけじゃいけないから
そういうとこに対してその遠隔操作の正規の方法で使われる
怪しくない遠隔操作のソフトをインストールさせて
遠隔操作で抜くみたいな手口もありますよとか
あと攻撃者も効率化してるんだなと思ったのは
かかってきた電話で最初は自動音声にして
送金担当者の方は一応みたいな感じで
一番最初に送金することができる人間かどうかっていうのを
自動でスクリーニングして攻撃音声効率上げてるよみたいな
手口の話とかがあってそういうのは知らなかったんで
103億円盗めちゃってるっていうのもあるし
その上で洗練させていってるっていう部分が
あるんだなっていうところがあるなって感じですね
記事でも言及があるけど 基本的にはほぼほぼかかってくる電話番号が
国際番号らしいんで 業務上国際番号を受けなきゃいけないパターン以外は
それをブロックしちゃえば結構防げるんじゃないかっていうのは
結構基準で思ったんで 一方でどうなんだろう
国際電話を受けなきゃいけない会社
商社とかだとブロックできないとか
あるかもしれないけど 国際電話のパターンってどんだけあるのかな
なんか今どきね
しかもそれが送金担当者にかかってくるっていう
結構普通に 権限持ってる人はブロックしちゃってもいいかもしれない
対策はちょっと人間の努力に依存してる感じがするなと思いつつ
でも人間狙ってるからなっていう風がありつつ
そうするしかないよねっていうものが並んでるっていう感じなんですけど
まあまあまあ現時点での
今2026年6月時点での手口を把握する上ではいい記事かなと思って紹介しました
あんま知り合いがいたらあれだから触れられないけど
ハテナの清掃員の件は続報はまだないよね
どうなんだろう
ないはず
そうだよね
第2法出たけどなんか詳しい原因は出てなかった気がするな
他人事じゃないよねこれも
まあそうですねどこの会社もきっと
強い権限持ってる人は誰かしらいるはずだし
はい
じゃあ最後いきますかね
脆弱性診断員によるIDOR作り込み体験談
脆弱性診断員だと私がIDORを作り込んだ話ですね
さらっとでいいかな
脆弱性診断やってた人が開発の業務に転向して開発してる中でIDORっていう
隕石はダイレクトオブジェクト
なんだっけ
あったっけ
あってそう
あってそうだけどちょっと自信がないんだけど
忘れてた
裏で調べとこう
あってます
いわゆるアクセスコントロール系の脆弱性ですね
URLに例えばなんかIDが入っててそれ書き換えたら見えちゃいけないものが見えちゃいましたみたいな話なんだけど
脆弱性診断やってた人が開発やったら作り込んじゃったよっていう体験談を挙げてくれてる記事ですね
結構僕常々言ってて物を作る時の脳みそと
表現的に何とも言えないけど物を壊す時の脳みそって全然違うよねみたいな話が
あって脆弱性診断をして脆弱性探してる側の人間の脳みそと作る側のアプリケーションを作る側の脳みそって全然違うから
普通にセキュリティエンジニアが脆弱性作り込んじゃうみたいな
なくはない話だし
それぐらい安全に作ってくださいってただ言っても難しいってそれはそうだよねみたいな
前提があるよねみたいな話を答えるごとによくしてるんだけど
こういう体験談が出てきてやっぱそうだよねっていうのを僕としてはそうだよなーっていう気持ちで読んでましたよっていう
ただそれだけの記事っていうピックですね
これ読んだ時真剣性見てみたって気持ちになった
話が散々言ってた
それ難しいんだよな
普通になんかむずいよな
なんかめっちゃいいよね
これなんていうかあれじゃないですか
人によってはちょっと隠したいというか
ちょっと
そうね出してくれるのありがたいよね
体験談として出してくれてもいいし説得力もめちゃくちゃあるというか
やっぱ脳みそなんか感覚的にはその
いやーそうだね
何ができるか
何ができるかと何ができないかを同時に考えるのが難しい気がするんだよな
何ができるかと何ができなきゃいけないかと何ができちゃいけないかだね
なんかその個人的な感覚としてはその同時には考えられないけど順々に考えることはできるからそうするのと
あとはそのやっぱその何ができなきゃいけないかを
なんかきちんと厳格化していくことで何ができちゃいけないかがその表裏でそのものづと決まる場面っていうのが絶対あるはずだから
セキュアバイデザイン本の何回出したかわからない話につかまるんですけど
そういう部分だよなっていう気はする
まあでも難しいよねっていうのはめっちゃそうっすねっていう気持ちですね
今の時代においてどうかっていう部分はあるとは思うけどね
そのAIに行動化化した時にある種大取りレビューみたいなのはできるはずでみんなやってる気がするけど
でもそこに指示出し屋としてそこの精度をどう上げるか
どう考えても作ってる時にセキュリティレビューにトークン使うよりさ
まず要件を満たす方にさ仕様とか要件を満たす方に使いたいじゃんトークン
そうだね
だから何かどういう形が一番いいのかは結構これからかもね
この前のクロードのコミットボートのやつとかもあったけど
いやでもちょっといい時代だな
昔ってか人が書く前提だとその手戻りを考えると
プロジェクトできてからレビューされてもみたいな
手戻りのコストが今低いから結構ある程度の塊作って
そこに対してセキュリティだけじゃないと思うんだよね品質のレビューとかテストのレビューとか
そういうのをサブエージェントでバーって回すみたいな個人的にもちょっとやったりするけど
それで出てきたやつにバックスクリーン直すっていうのができるから
その辺はどういう形が基本だよねと落ち着いてくるのかみたいなのもある気がするね
いやでもありがたいですねこの基準
答え合わせできました
答え合わせですね
まあ分かってたことっていうか自分で分かってたことではあるから
なんかその体感としてね
いや絶対こんな偉そうにいろんな話しながら絶対俺も作ったアプリにあるんだよな
俺もなんか自分のこと信じてないもん
いや難しいよとか言える方なんか問題ないって言える方が信用できないもん
それは本当にすごい
いやー
はいありがとうございます
いやーなんか本日は腹八分って感じですね
ちょうどいいっすね
満足してないって意味でちょうどいい
最近のセキュリティ動向とまとめ
いやーサプライチェーンはサプライチェーンはもう落ち着いてないんだよなもう
でもちょっと落ち着いてる感じするけどね最近
なんかステップセキュリティの記事とかが減ったし出てくる量が
でもなんかAzureまたやられたなとか結構あるんですけど
なんか75個ぐらいリポジトリ消えたみたいな
あったかも
だからあそこからまた広がるんでしょうって思う
また次やるんだろうな
なんかピックしなかったけど気になる記事は多い一周だったな
HTTP2の静寂性とか
あとプロジェクトグラスウィングも拡大しましたね結局
なんか最初公開しないみたいに言った時は
結局なんか公開に向けてみたいな感じで書いてあったから
あーやっぱするんだって
結局なんかそういう感じになると結構
やっぱマーケやんみたいになっちゃうよね
そうね
まぁでも結局他社が出すからもういいやみたいな
まぁそうねマーケの側面あっただろうな
あとあれだBeatの開発組織がクラウドフェアに買収されたってめちゃくちゃびっくりした
そうなんだ
えー
これでBeatは救われたっていう
よかったね
うんよかった
そんな感じです
まぁあとあれか触れてないけど
シャイフラットの足はボンボン出てますねっていうのはもう予想通りでしたねぐらい
みんなこぞって
いやー
クローンしちゃってしょうがないですね
なんかマルウェア系のそのパッケージが公開されましたよみたいな最近めっちゃ記事出してるよね
いろんなところで
記事っていうのは
ステップセキュリティとか
そうだね元々ねバンバン出て
元々かあれ自体ずっとあったのか
ずっとあった
私もサブスクライブしてから気づいたけど
ずっとやってるなって
今まではなんか侵害されたっていうよりかはその
タイポーセキュリティを狙った悪意のやるやつ何個ありましたとか
そんな感じのレポートだったけど
直近はもう侵害されて侵害されて侵害されたって感じ
な気がする
いやー
そうだよな多分なんか
うろ覚えでしゃべってるけどそうじゃなかったらごめんなさい
多分そんな感じだったはず
基本的に
祈るしかないですね
そうですね
なんか対策個人会社でできる対策は
まあ線を作るのは大変といったものの
9割は煮詰まってる気がするから
今までできることは
各自営していきましょうって感じですね
うん
なんか治安の悪い国に住んでる発言みたいでやだな
自分で守りましょう
いやでもほんとそんな感じだよな
なんかその
まあそんな感じだね
通り今出てるんで気を付けてください
じゃあそんな感じでまた
夏にも負けず
来週もお楽しみに
しててください
おやすみなさい
おやすみなさい