サイバーセキュリティの重要性
こんばんは、Replay.fm 第64回です。
こんばんは。
はい。
えー、12月ですか。
12月ですね。12月入ってから1発目かな。1発目だね。
そうだね。記事はギリ11月最終週か。
そうだね。12月1日が月曜だったもんね、確かね。
うん。
だから、11月分が全部入ってるような感じだね。
来週分から、次の収録分からは、アドベントカレンダーの波が来ますが。
言うてそんなになんか、あれだなー。なんか引っかかってないなー。
まあ、ピックするからね。物量は増えたなって思ってるけど。
まあ確かに。流量は増えてる感じがするね。
うん。なんか去年よりも肌感多い気がするんだよな。気のせいかもしらんが。
ちょっと盛り上がってる風ではなんかあるよね。分かるけど。
分かる。盛り上がってる風な気がする。
謎。
じゃあ、やりますか。今日は久々にたくさんあるんで。
はい。
ホクホクな気持ちで。じゃあ1個目やり始めましょうかな。
コードメンバーにとってのサイバーセキュリティ。クオンさんだよね。クオンさんっていう方の記事でございます。
なんかビールとか壁登ったりとか色々してますって書いてあるので。
まあビールは別に俺そんなにあれなんだけど。なんかちょっと近いかもしれない。趣味が。
実質一緒やな。
実質一緒なのか分からんけど。
前提として、Why cybersecurity should be a global priority in every companyっていう記事がどっかの記事であって、それを見直して思ったことみたいな部分を言語化してくれてるっていう、なんて言ったらいいんだろう、趣旨の記事ですね。
なんか書かれてることとしては、サイバーセキュリティって割と特別視されがちなんだけれども、ちょっと特殊で他のリスクとは違うよねっていう見方をされることが割と多いんだけど、そんなことはないよっていう話。
そこは翻訳ができてないだけであって、別に本質的には他のリスクと一緒だよっていうような話と理解したが合ってるのかな。
うん、合ってるんじゃないかな。
で、なんか。
あ、いよいよ。
私なんかあとは分かるって思ったのは、特別視された状態で進んじゃうとこうなりがちだよねみたいな部分の解像度がすごい高いというか。
そうだね。
なんかよく分かんない特別区域みたいに余ってしまって、溝が生まれるとか。
そうだね。
あとはいくつか。
下書版の方か。
そうだね、特集。
別枠で経営の枠からはみ出されちゃうっていう話とか。
なんか結構ゼロでは突然降ってくるし、攻撃者は人間でこちらの対策を見ながら手口を変えてくる。なんか怖い。災害や市場変動と違って明確な敵がいるリスクだ。
だが、だからといってサイバーセキュリティだけを別枠扱いにしてしまうと、結局は経営の会話からはじき出されてしまうっていう風に書いていて。
CISOの役割とアプローチ
なるほどっていう感じかな。
多分ご本人がいろいろ試してみて、最終的に風に落ちたのは、あくまで本質的には他のリスクと同じ企業リスク。
ただ指標が、ちょっとこの辺原文が若干日本語が怪しい気もするんだけれども、
略すると、指標が未成熟で翻訳できる人材がいないので、他の企業リスクと同じテーブルに載せるための工夫が必要っていうところが考え方として風に落ちたよっていう風に言っていて。
その工夫として、フェアーっていうファクターアナリシスオブインフォメーションリスクっていうのと役割分担の最低というのを書いてくれてるっていうような感じかな。
フェアーっていうのが、結局いくら損するのっていう金銭的価値への換算の方法論なのかな、きっとね。
そうだね、団体があってそこが定義というか作ってるフレームワークっぽい感じかな。雑に調べた感じは。フェアーモデル。
この役割分担の最低っていうところも結構興味深くて、サイバーセキュリティ、自分が全部やろうとしないっていうのを強く意識していたっていうふうに書いてあって、
サイバーセキュリティを経営リスクとして扱うんだったらCISOがERMまで、いわゆる全社的リスク管理、エンタープライズリスクマネジメントまで面倒を見るべきっていう発想をうっすらされがちなんだけれども、
これは現実的じゃないよねっていう、他のリスクも結局いろんなステップを踏んでバトンリレーで扱われている以上、サイバーセキュリティも同じ構造にするべきだよねっていうので、
セキュリティ組織がまずあってCISOがいて経営企画ERMがいて、その役割になっている人組織がいて取り締まり厄介っていうところまでつなげるっていうバトンリレーでやろうっていうやり方をしてたみたいですね。
結構大きい会社なのかなとは思うんだけど、個人的にはかなりしっくりくる考え方だし、これを見てどうこうっていうか、もともと僕が持っている考え方にかなり近い形ではあるので、
だからこのERMっていうのを綺麗に丁寧にやれる人がそもそもあんまりいない問題は実はあって、めっちゃ各リスクドメインとの断絶が多分ここにあるなと思うんだよな、セキュリティに限らずなんだけど。
確かにな。自分が経営者に近しいところで仕事したことないからかもしんないけど、あんま正直仕事の中で聞いたことないワードだなっていう印象が未だにあるわ。
野外承認をしてもらって知ったから、俺多分ERMっていう概念を知ったのは今年なんだよね。知らないだけでやってたのかもしんないけど、僕が今まで働いてきた会社も。
なんか結構難しいな、このリスクマネジメントっていう考え方そのものが根付くのがそこそこ大きくなってからなのかなとは思うので、ここまで来たキャリアの中で経験してきてる会社によっては全然縁がなかったっていうのはあるのかなとは思うし。
確かにな。10人のスタートアップとかで。
いらんね。いらんいらん。
いろんなリスクはどんな組織であれ抱えているわけで、そこに対しての考え方みたいな部分の違いかなとは思うので、要はリスクが複雑化していく中でどう向き合いますかっていう話だと思っていて。
少ない人数、小さい組織でいろんなリスクをいろんな人が見ている。難しいな。いろんなリスクを少ない人数で見ているっていう段階においてはそんなにいらないのかなとは思うんだよな。もうちょっとふんわりでも対処ができるというか。
どこで何が起きているのかわかんねえみたいな状態になってきたときに初めて集約管理して、要は今どうなっているのっていう、うち今どういう状況なのっていうのが取り締まりやっかりとか経営企画みたいなところから見えなくなってきたときに初めて欲しくなる概念なのかなとは思っていて。
確かにね。いやー、確かにね。記事良かったな。
まあね。
言い切っちゃうじゃないけど、言ってしまえば他のリスクもよく考えたらセキュリティじゃなくても出せるのかな、精緻な機能が出せるやつもあるかもしれないけど。
いやー、まあね、物によりきりではあるけど。
精度は上がったほうがいいんだけど、でも一定どんぶり感情で割り切った上で経営レイヤーでは対話するみたいな。
で、それの会社によって、経営メンバーによってその辺の精度の期待値みたいなのが違うだろうから、そういうのを擦り合わせていくみたいなことを試合性はしてるんかなみたいな気持ちでちょっと読んだりしてたわ。
自分にはなかなか見えない景色だから興味深いなっていう。
経験上なんか結構この数字で出すっていうのは外部不正みたいなところとかは出しやすいだろうなとは思ったな。
要は結構その対策の強度と比例して、反比例になるのかなグラフ上は。
対策の強度に合わせてその不正の被害額っていうのが減っていくよねっていうところは出しやすいよなと思っていて。
これをやることによって売上の何パーセントが難しいな。
これをやらないことによって売上の何パーセントが不正被害に当たるので、結果的にその売上って全部なくなりますよみたいな話とかはしやすいよなみたいなのはちょっと思ったかな。
面白いね。でもその仕方もめっちゃ事業によるだろうね。
事業によるね。
なんか一概にそのこれがこう、なんて言ったらいいんだろうな、このやり方が必ずできるよっていう話ではないと思っていて、
なんかあくまでその姿勢としてはこう、なんていうかこう共通言語で語るっていう話なのかなと思っていて、
この共通言語が何なんですかっていうのは多分会社によって変わるはずだから。
コミュニケーションの課題
まあ確かに。
いやあ、いいっすね。よかった。とてもよかった。
そうだね。特別、特別、なんか全然関係ないかもしれないけど、いつかめっちゃ話したその、
なんかわからんけどソフトエンジニアの帽子をかぶった時にセキュリティがちょっと特別に見えてしまう感みたいなところの話をちょっとぼんやり思い出したな。
で、なんかそのソフトエンジニアのバックグラウンドがあってもそう思っちゃうんだから、
技術的バックグラウンドがあったらもっとそう見えるだろうなみたいなところとかは結構意識しないとなっていう気持ち。
なんか別に法律よくわからんみたいな話とそんなに変わんないんじゃないかなとは思うんだけどね。
それめっちゃいい例えだね、確かに。
法律わからんけど実態は見えんことはないというか。
でもなんか、そんなのが違法なんだみたいなのない?
あるけど、なんだろう、メンタルモデルは捉えられるというか、法律があって、それで、
まあ確かにね。
会うとセーフっていう概念があるみたいな。
で、その法律の中身知らんけど、叱るべき人に聞いて相談すれば解決できるみたいな。
確かに。
セキュリティはなんか、セキュリティ危ないですよって言われたときに何が危ないかを今みたいな言葉で説明できるかと言われると結構難しいというか、
なんだろうな、リスクの顕在化みたいなところに自分でパスをつなげるのがやっぱ難しくなりがちで、
まあそう見えちゃう領域で歩きをするっていう。
なんかフィッシングまずいですよぐらいはみんなわかると思うんだけど、
とかまあコンピュータウイルスメール開いて感染したらあかんですよみたいなのもまあわかると思うけど、
じゃあなんか会社の1メンバーがそうなったときに会社にどんな損失が出ますかって結構きれいに整理できるかというと結構、
なんだろうそこがつながると思うかみたいな部分とかもしかしたらつながらない人もいてもまあどうだろう不思議じゃないんじゃない気もするのかな、
まあそのやっぱ翻訳は大事だし、こういう、これはなんか一つのハウルなのかもしれないけど、
これはプロジェクトで同じ土俵に降りて対話をしたり。
まあ降りてというか、なんか観察の話なのかなと思ったんだよな、
その経営がこうどういう言語でコミュニケーションをとってるかっていう話なのかなと思った。
観察というかCISOの立場目線で経営を。
そうそうCISOに限らずだけどね、多分セキュリティの担当者って多分何て言ったらいいんだろうな、
少なからずこの要求を通さないといけないっていう場面はなんかあるはずで。
なるほどね確かに。
確かにそこの観察っていうのはなんかまあ難しいなと思うし。
意外とそこだけ?
相当一回入り込まないとそもそもそこの観察ってできないよなと思うし、
なんかそのなんだろうな、なんかある種の断絶がやっぱそこにはあるかなとは思っていて、
なんて言ったらいいんだろう、さあ、
片居は英語を喋っていて片居は日本語を喋っていてみたいな状況が生じるわけでしょ、
ここの相互理解がね。
なんか1年以上記事読んでるけど意外とそういう話ってあんま見たことないね。
ないね。
まあ自分がキャッチできてないだけかもしれないけど、
そういう部分はめっちゃ普通にいろんな人の意見を聞いてみたいな。
でもなんかそういうモデルに落とし込むと、
ソフトエンジニアっていう技術不採用同型というか会社の人たちが、
そういうのと同じレベルっていうか。
そうだね。
同じレベルな気が。
そうだね。
そうだよね。
そう思うとちょっと今すっきりした気持ちというか。
確かにね、確かに。
めっちゃしやすそうじゃなくても。
だからその、
観察できるポジションを確保するって言うのはめっちゃ大事だろうな、
まあなんかでも基本的には対話しましょうっていう話なのかなとは思うから。
そうだね。
まあでもなんかはっきり言ってくれれば分かりやすいよねっていう場面は多々ありそうだけどね。
なんかその要はこういう言語にして出してくれれば、
なんか我々は会話ができるっていうのがなんか、
どっちか片方から見ると、
そういう意味でね。
そういう意味でね。
確かにね。
いやー。
はい。
まあ面白かったです。
うん。
ありがとうございます。
はい。
この方はなんか、
どう?
ああでもなんか、
たまに、
最近ちょっとあれだったんですけど、
なんか、
なんか、
NPMパッケージへの攻撃
なんか、
なんか、
ああでもなんか、
たまに、
最近ちょっとあれだね、
ポンポンと立てず、
ああ、そんなことないな。
そんなにいっぱい記事出してるわけじゃないけど、
なんか。
うん。
水か月おきに。
うん。
フィードに入れときます。
ああ、そういうことか。
Twitter知るってことかしら。
はい。
じゃあ、
次行きますか。
ああ。
えっとですね、
シャイフラット2.0について調べるっていう、
ソータ1235さんの全スクラップです。
なるほどね。
これ何故マッチポンプにしたかというと、
今週、
セキュリティマリオキャッチアップしてる、
もしくはノードJS触ってる方は、
ご存知だと思うんですけど、
自己作派3型のマリオウェアがまた、
9月に発売したものの、
セカンドバージョンがまた発売して、
ちょっと席を賑わせたんですけど、
今週分でその記事がめちゃくちゃたくさん出て、
全部紹介してらんないんで、
まるっとまとめて、
マージして持ってきましたっていう、
マッチポンプ記事ですね。
いくつかピックできればなと思うんですけど、
まず、
そもそも今、
9月に発売したっていった攻撃の振り返り方をすると、
何が起きたかっていうと、
要するにマリオウェアを仕込んだNPMパッケージが
拡散されましたよっていう、
拡散というか発売しましたよって話なんですけど、
それ自体も毎週のように正直起きてるんだけど、
今まではちょっと違って何で騒ぎになったかというと、
そのマリオウェアの挙動がローカルで実行されたときに、
ローカルのクレデンシャルを取りほぐっていう、
シークレットスキャンツールを使って洗い出して、
その中にNPMトークンがあったら、
その人の権限でアップデートもしくはパブリッシュできる
NPMライブラリにまた同じマリオウェアを仕込んで、
さらに広げていくっていう挙動をするマリオウェアが
仕込まれていて、
それによりちょっと被害規模忘れたけど、
前回も割と多分2,300パッケージぐらいかな、
既存のやつがやられて、
よくこれ系の記事は合計ダウンロード数、
被害に遭った全パッケージが毎月NPM上で
どれぐらいダウンロードされているかみたいな指標で
語られたりするんですけど、
決して少なくない数字の被害だったんで、
多くの開発者の手元に届いてしまったであろうという
攻撃が発生しましたっていうのがおさらいで、
今回はそれのセカンドが発生しましたよっていう、
なんでそれ連続編と確定できるかというと、
なかなかへーって感じなんですけど、
今回の攻撃の過程で、
前回のやつはシャイフラットっていう名前で、
クレジンシャルとかを引っ張るリポジトリを勝手に作る
みたいな感じのワードとして出てきてたんですけど、
今回のやつはシャイフラット ザ セカンド カミングっていう名前を
多分攻撃者がつけて出てきたんで、
これは同一犯で2回目の攻撃キャンペーン。
模倣犯とかの可能性すらなく、
もう本当に同一の人なのかな、人ってか。
厳密にはそこまで多分わかんなくて、
それともあれやは前回のやつを進化させてるやつだから、
本人が進化、前回と同じアクターが進化させたのか、
前回のやつを誰でも多分手に入るから、
使ってまたやったのかはちょっと定かではないかな。
2回目って感じなんですけど、
被害範囲は今回もちもち多くて、
多分750、60パッケージぐらいやられていますよとか、
その中に、例えばザピアーとかポストマンとか、
有名どころとかの会社がホスティングしてるパッケージも
やられてますよみたいな。
めっちゃ有名どころだね。
そうなんですよね。
あとはこいつの最終的な目的はクレデンシャルスキャン、
盗み出すことなんですけど、
数だけで言うと27,000、28,000ぐらい漏れて、
違う、28,000リポジトリか。
こいつのやり口としてはローカルでスキャンしたやつを
攻撃手法の進化
GitHubのパブリックリポジトリにプッシュして、
誰でも取れちゃう状態にするっていうことをするんですけど、
そのパブリックにプッシュされちゃったのが28,000リポジトリぐらい。
クレデンシャル数は、
多分2、30万ぐらいなんだけど、
トリフォグの5件値とかダブリ省くと34,000ぐらいで、
そのうち3,800ぐらいが、
ちゃんとバリットなクレデンシャルっていうのが
GitGuardian調べでは言ってるらしい。
ぼちぼち漏れてます。
時間軸は良くて、
短期集中でガーってやってたっぽいっていうのと、
前回の差分が面白いって言ったらいいですけど、
なるほどなって感じで、
一つがバックドアリモートアクセス機能が追加されているみたいで、
これめっちゃ知らなかったんですけど、
ローカルに対してどうやってバックドア仕込むんだろうと思ったら、
GitHub Actionsのセルフホスト機能を使ってやっていて、
知らなかったんですけど、
セルフホストってGitHubが用意したVMじゃなくて、
自分で用意したVMを使うっていうのができるんですけど、
その時にローカル端末をランナーとして使うっていうのができるんですよね。
なので、マルウェアが完成した端末をGitHub Actionsランナーとする
ワークフローをまずプッシュするってことをする。
そこに対してどうやって指示を出すかっていうと、
GitHubのディスカッション機能っていうやつがあるんですけど、
そのディスカッションに文字列を投稿すると、
それをフックにワークフローが動いて、
そのワークフローが動くのは攻撃された端末。
上で動くんで、リモートアクセスが可能になるっていう仕組みが
仕込まれていたっていう感じ。
で、これ自体も1回多分ワークフロー仕込まれちゃうと、
侵害されたNPMパッケージを削除しても動いちゃうんで、
危ないですよっていうところ。
セキュリティ対策の提案
だけど、Wizzのブログ曰く、
これが実際に役立たれた例は確認されてませんって言ってるんで、
どうなんでしょうという感じ。
めっちゃこれ使って今も何かしてるって感じでは、
今んとこはなさそうっていうんですけど。
これなんかセルフホステッドランナーを悪用する事例、
他にもなかったっけ?
なんか前に何かの記事で触れた気がするな。
本当?僕は覚えてないな。
この仕様自体知らない。
気のせいかもしんない。
セルフホステッドランナー、
何かで触れた気がするけどな、これ。
これやばいなのが、
ディスカッション機能だから、
変なサーバーと通信してるわけじゃないから、
結構引っ掛けづらいのかなとか。
EDRとかでは結構きつい気がするね。
あれだね、やるとしたら中身解いてみるところまでやらないと、
多分きつい気がするね。
もしくはローカルランナーにせんやろみたいな感じで。
いやでもブログとかで区別できんのかな。
そこら辺はよくわかんないです。
で、あとはもう一つ結構でかいのは、
ローカルのクレデンシャル探し回ったんだけど、
有効なお宝が見つからなかった場合は、
ホームディレクターのファイルを全部削除するってことをするらしくて、
なんで結構攻撃力高めの挙動をするようなのが、
アップデートされたとこです。
これなんかもう好きなんだろうって感じだけど。
払い線なのかな。
攻撃者みたいなところじゃないかな。
わかんないですけど。
わからんね。
あとは細かいところ、
ポストインストールじゃなくてプレイインストールを使って、
ちょっと早く動くのをしてるよとか、
あとバン、あるいはランタイムにバンを使ってるみたいで、
これは結構触れてるブログが多かったって感じです。
バン使ってる理由は、
非同期処理性能が高くてストレス性が高いっていうのはどっかのブログが言ってたけど、
ちょっとよくわからなかった。
バンに詳しくなりすぎてどうかよくわからなかったんですけど。
ストレス性が高いってなんだって思いながら。
でも割と特徴としては言われがちって感じで。
で、一番最初のハッカモトは、
なんかのリブ首長に悪意のあるコミットが積まれたのがハッカモトっぽくて、
この侵害理由とかちょっとわかんないって感じですね。
でもどっか一箇所やられて、そっからガッと広げられたって感じかなっていうところですね。
なんか、断続的に来るね。
そうだね。9月上旬ぐらいだったと思うから、そっから11月末で2ヶ月。
肌感としてはちょっと間隔長くはないというか。
2回とも割と成果上げちゃってるから。
NPMのクラシックトークンとかファイングレンドトークンは、
古いやつはもう多分ほぼエクスパイアされつつあるんだけど、
どうなんだろう。2ヶ月後にやった時に同じ被害が出るかどうかで結構、
プラットフォーム側もどうするか考えなきゃいけないって感じな気はするね。
有効期限短くてもトークンがもしみんなの手元にまだあるんであれば、
多分YDC連携で。
いやでも、アクションズ以外からホスティングしたりとかあるから、
ちょっと頭が痛いなって感じがしますね。
厳しいね。
一応対応とかおすすめの対策はどのブログも基本的に一緒で、前回と一緒で。
バージョン見ましょうとか、ローカルで変なんないかちゃんと見て、
影響の可能性があるんだったらローカルちゃんと検査しましょうとか。
あとまず個人としては、もし自分がやられてたら自分のGitHubに見覚えのない
リポジトリが入るはずなんで、それが入ってたら多分結構焦った方がいいって感じかな。
そうね。
前回もそうだったか忘れたけど、謎というかすげえややこしいことしてくるなって思ったのは、
信頼された人のクレデンシャルを信頼された人のGitHubのリポジトリにプッシュするわけじゃなくて、
そこを混ぜこぜにしてるっぽいんだよね。
どこに入りさせたいのか何か分かんないけど。
自分のところにリポジトリが入ってたとしても、そこに入れてるクレデンシャルは、
他人のものが混ぜこぜになってる可能性の方が高いらしい。
なんかすげえ嫌だなっていう。
多分置き場所として使われてるんだよね。
みんなのパブリックリポジトリストレージとしてとりあえずバーって箱作って、
で、信頼できた場所のクレデンシャルをもう全部そこにプッシュしてくるっていう。
地獄、地獄なんだよな。
地獄エースやな。
2万7千だからな、UVって。
引き続き厳しいですねっていう感じですね。
今も検索したらまだ残ってるやつ残ってるですね。
中身は見に行かないようにしようか。
ありがとうございます。
はい。
じゃあ次は。
読むだけ読むか、タイトルだけ。
日本のビールジャイアント、朝日。
1.5万人というブリーピングコンピューターの記事です。
朝日のなんかいろいろ出揃ったの見てっていう記事なのかな、きっと。
読んでないんだけど、実は。
そうだね。
で、なんかこの記事がっていうか朝日の記者会見もあったし、その辺。
チラッと話せばいいかなって気持ちで引っ張ってきたんですけど。
なんか詳しくは散々いろんな箇所まで読んでもらえればって感じなんですけど。
個人的にちょっと印象深いとかしさがあったなって思ったのは、
記者会見でも言及してたんだけどバックアップちゃんと撮ってたんですよね、朝日。
今回被害を受けたシステムとか。
やることはやってた感は。
まあ諸説あるけど、なんかあるよね。
なんかバックアップ撮ってるけど、
基本的にランサムの対策って、1にバックアップ、2にバックアップみたいな。
まずスタートラインに立つためにはそこですよって話があると思うんだけど、
撮ってたけど、復旧には結局9月ですか、9月なんで3ヶ月経っても完全復旧には至ってないし、
被害の説明と復旧の課題
決算延期しなきゃいけないぐらいにもなってるし、損失もきちんと出てるし、
忘年会のビールは朝日さんではなくキリンさんみたいな、どっかにニュースで見ましたけど、
そのぐらい割と被害は出てるっていうのは、
まあバックアップ撮ってれば安心っていうのは別に思ってたわけじゃないけど、
まあやっぱそうじゃないよねっていう部分もあるし、
まあその復旧になぜ時間かかってるかみたいな部分はもうちょっと情報が後から出るのかもしんないけど、
でもなんかあれだよね、結局どこまで何が侵害されてるかわからんから、
なんか戻しても結局またやられるみたいなのを考慮すると、
やっぱり慎重に戻さざるを得なかったみたいなことを言ってたよね、確かね、会見で。
確かに、いやそうだね、だからそれで言うと防災訓練してたとおってではあるな。
だから結局どこまでコストかけるか次第かなとは思うんだけど、
征服2系統を完全に用意しといて、片方侵害されてももう片方に切り替えればもう終わりみたいな、
いやまるっきり同じものがもう1個あるみたいな状況とかにしない限りは、
たぶんポンと切り替えて終わり、あるいは切り戻して終わりみたいなのはもう無理なんだろうね、きっとね。
あとはそのまるっと同じにしちゃうと同じ穴がある可能性も引けてくるから。
そりゃそうだね、そりゃそうだね。
現状ではたぶん。
まあ確かにね。
切り替えた瞬間にやられるとか普通にありそうだし、
切り替える前は外からアクセスできない状態にしとけばいいんだろうけど、
でも切り替えた瞬間にやられる、ありそうだね。
確かにね。
なんか難しいな。
結構アーキテクチャレベルで考えないといけないのかもね、
セクションはきちんと切るというか。
そうだね。
復旧できないんじゃバックアップの意味もなぁとは思っちゃうけど、
ないよりはましだろうし、なんかでもむずいねこれ、なんか。
少なくとも身の正気に払うって選択肢は消せるんじゃないかな。
他にあさひさんのケースを言うと、
もうバックアップとってて、
でもこの上で身の正気に払っても多分何も状況は変わんないというか、
通合化されてもという状態。
これでもうバックアップもないってなると、
多分払うか一からどうにかするかになっちゃうから。
身の正気の要求ってなんか複合に対してだけなのか、
外に流出もさせないよっていうところまで含めてのあれなんか、
どういうあれで来るんだろうね。
多分攻撃、ランサムギャングによるっぽいね。
キーだけを渡すパターンもあるし、
二重脅迫でキーも渡さないし漏洩させるパターンもあるし、
笑ったのはたまに診断してあげるよとかいう皮肉なアクターもいるらしい。
攻撃入れた場所を教えてあげてこういう風に直すよって教えてあげるから金を起こせる。
おもろ。
基本的には今はどうなんだろうね。
アクターによる気はするね。
こっちめっちゃ漏れたもんとして扱うしかないからな。
そうなんだよね。結局ね。
信用ならんっていう話もありますし。
引き続き頑張ってくださいって気持ちですね。
でもここまで開示してくれたり、記者会見全部は見れてないんだけど、
きちんとトップの方がちゃんと自分の言葉に説明されてて、
応援してますっていう気持ちです。
朝は上がりと思って生きていきたいな。
そうですね。
できれば勘弁願いたい。
できれば勘弁願います。
対岸の舵ではないという気持ちでいるぐらいがちょうどいいかなって。
はい。
ありがとうございました。
じゃあ次は、
認証・認可学習の重要性
私のターンが続くけど、認証・認可学習の勧め。
雷エンジニアブログですね。
安定の雷さんのブログなんですけど、
さらっと紹介できればいいかなっていう感じで全然目を持ってないんですけど、
なるほどね、続きものなんだね。
そうだね、前半か後半か忘れたけど、
共通ID基盤を立ち上げた話を前編後編2本立てで出した続きっていう感じなんですけど、
そのプロジェクトに関わったメンバーの書いたこの共通ID基盤をやるにあたって認証・認可正直わからんっていう、
どういう勉強しましたっていう話を書いてくれてるって感じですね。
結構、すごく等身大の記事でめちゃくちゃ好感を持ったし、僕はすごくわかるって気持ちで読んだんですけど、
結論みたいなところで言うと、いきなり詩を読むのは結構きついっすよみたいな話。
それはね。
何言ってるかわからんみたいなところ。
結構良さげなブログ、初心者の自分へ向けてどうでしょうみたいな部分で言うと、
まず質の高いブログとかでオースの外観を把握した上で、
オースに関する書籍を読んで解像度を高めて、その上で満を持して詩を読むっていうのが、
初心者の自分に伝えたいですっていうことが書いてあって、結構わかるというか良さそうというか。
そうね。なんかでも意外とあれだね、オースインアクションは触れられてないんだね。
オースインアクション、日本語版だとオーステッデニューマンだったっけ、確か。
ああ、途中まで読んでおいてある。
そうなんだ。
あれは割といい版なんですか。
良かったかな。なんか結構手を動かしながら、例えばだけどオーサライゼーションコードフローがこういうものでみたいな。
インプリシットフローはこういうものでみたいなのを、書籍を読みながらさらっていけるようなやつなので結構良かったな。
なんかメルカリで輪読会やったんだよね。
確かになんかこの本の最初の章で、なんか忘れちゃったな、読み直そう。忘れてるから喋れないわ。
でもあの、なんかただの使用本というかなぞる本じゃなくてとても良かった。いいねという印象が強いね。
一応なんかピクシーとかも確か紹介されてるはずなんだよな。なんか必要なことは一通り書いてあったような気がする。
ピクシーはね。
このファミラーションの方は、雰囲気オース本っていう、なんかオース屋さんっていう。
逆に知らなかった。
そうだね、多分そうなのかな。
オース屋、お勧めしてますね。
あ、でもオース屋の、あ、まあそうだね、技術書だね。
あ、でもオース2.1の話が出てくるんだね、ここまで来ると。
だからそうするとちょっと古いのかも、オースでって入門は。
確かにね。オース屋さんはどなたが入ったの?
オース屋さんじゃないの?
中の人の情報がないの。
中の人。
ああ、そういうこと。
気にならない、気にならない、どなたが入ったのか。
分からんな。
顔出しして。
はい、まあなんか結構いいなと思う。
そうね、なんか結構、結構さ、でも、なんかさ、重いんだよな、知識としては。
なんか使ってないと抜けてっちゃうから、なんかオースでって入門とかも、
倫読会でざっとは読んだけど、なんか別にじゃあ今覚えてるかって言うと全然覚えてないし、
オーソライゼンションコードフローの図を書いてくださいって言われたときに、
なんかああああってなっちゃう気もするし。
なんか素振り、素振りが超大事な領域な気がする。
そうなんでね、そう、なんかフレッシュな状態に保つのに、
やっぱちょっとずっと触れてないとなんか分かんなくなっちゃうというか。
そうだね、まあもしかすると結構がっつり仕事で手を動かした経験とかないと。
なんか新卒のときに、オースかOIDCか、OIDC連携をするPHPのライブラリーの
なんかアダプターみたいなやつを自社のOIDC基盤に対応させるライブラリーを作ったことがあるんですけど、
なんかそれのときに得た知識だけはめっちゃなんかほんのり覚えてるんだよね。
やっぱ割と手を動かして、これやっぱなんかその本で読むのと、
手を動かしたときにもう距離が意外と自己認識距離では結構飛距離がある。
分かる。
完全に理解した曲線と似た近しいものがある気がするから。
完全に理解した曲線の先のちょっと分かるまで一回行くと、なんかちょっと身についた感じがする。
ちょっと身につく感じがする気がする。
ちょっとちょっと言ってますけど。
はい、はい、はい、そうですね。
はい、そうだと思います。
はい、私もそう思います。はい。
読みたくないな。
選択しないでよ。
まあまあまあ、でもいいな、これ記事読むと認証基盤作りたいって気持ちじゃないですか。
分かる。
分かる。
出せる気ではないとは思うんですけど。
作るか。
replay.fm認証サーバー。
いやでもダメだよ。
なんかやっぱりもうその複雑なドメイン、事業ドメインと絡むやつ作ることに価値がある。
いやでも、いやそんなことねえか。
素振りするか。
もう素振りリストだけが溜まってくる。
とんでもないキメラウェブアプリみたいなのがなんか誕生するみたいしか見えない。
アカウントがあってパスキー認証で通せる。
OSも連携もできて。
なんかデバイスクレジェンシー、デバイスバウンドセッションクッキーとか使って。
全部持ってくか。
いい、モリモリにしよう。
ありがとうございます。
それをね、AIに書かせるって。
ミジモミにつかねえ。
いやすぎる。
すぎる。
次行きましょう。
ボットネットとGitHubのセキュリティ
次はグレーノーズロンチーズフリースキャナーとチェック表示パートオブボットネットっていうブリピンコンピューター。
さっと紹介でいけばいいかなって気持ちなんですけど、
グレーノーズラボスっていうセキュリティベンダーなんですけどね。
自分がボットネットの一部になってるかどうかを確認するツールをリリースしましたよって話で。
ちょっとおもろいんで紹介。
ボットネット何かっていうと、一応解説しとくと、
皆さんご自宅のルーターに脆弱性があったりパッチが当たってなかったりファーミュアアップデートを怠ってると、
そこの脆弱性をつかれてマルウェアを仕込まれるっていうのが世界中でめちゃくちゃ起きていて、
マルウェアを仕込まれた後に何につかれちゃうかっていうと、
ボットネットっていうネットワークというか、
マルウェア仕込まれたボット群の一部としていろんな方法で悪用されるっていう話ですね。
一番あるあるはTドス攻撃のときの攻撃元としてそのルーターが使われるとか、
また何回か紹介したことありますけど、レジリエンシャルプロキシーの一部として、
悪い人たちに貸し出す便利プロキシーの踏み台として使われるみたいなのがあるって感じですね。
これURLポチッと押したらすぐ見れるんで、怪しいサイトじゃないんで見てみると面白いと思いますっていう。
僕は大丈夫でした、さすがに。
大丈夫でした、僕も。
何の報告なのか分からんけど。
まあまあ。
何か紹介したことあるか忘れたけど、似たようなやつの国内の無料のツールも貼り付けとこう。
何だっけ、何かあったね。
アマインフェクティとか、何だっけ、毎回忘れる。
日本でニクとかNICTが日本で脆弱なルーターを探し回って教えてくれるっていうすごく地道な取り組みを多分何年かやってるんですけど、その一環って感じで。
これを聞いてる方はちょっとシュッとやってみると良さそうと思いました。
軽い紹介でした。
ありがたいですね、これは。
面白いね。
次、残り3つですけど、いつも大好きGitHubブログなんですけど。
How GitHub's Agentic Security Principles Make Our AI Agents As Secure As Possibleの記事ですね。
何かっていうとGitHubコパイロットエージェントとかコパイロットの機能でいろんなところにエージェントが組み込まれつつあって、僕も結構日々寄せるんですけど、
それに対してどういう部分でセキュリティのガードレールを敷いてるかっていう部分の解説記事という感じですね。
メモとか書いてあるんですけど、見出しだけパーッと眺めると良い感じに分かるかなと思って見出しを見ています。
まず、セキュリティ上どういうことがエージェントを使うにおいて気に懸念があるかというと、
まず1つはデータ流出。
どっかにインターネットアクセスで検索で漏れるとか、どっかに送信しちゃうみたいな部分は怖いよねって話と、
もう1つはなりすましと適切な行動規則ってちょっと直訳変な気がしますけど、
プロンプトインジェクションのリスク
指示した人ができるべきこととか、できる行動の範囲、スコープとエージェントができること、権限とかスコープっていうのの不一致が起きないことみたいな部分と、
あとはこれちょっと日本語だと分かんない。
プロンプトインジェクションか。
そうですね、プロンプトインジェクションですね。
これはコパイロット使った方とか分かると思うんですけど、
結構、例えばGitHub一周を立ててそこでコパイロットにアサインすると、
特定のリポジションにプリリカを自動で立てるみたいなことができてるんですけど、
コパイロットでプリリカを立てるっていう1つの行動をとっても経路が結構いろいろある。
今言ったような一周経由もあれば、チャット経由で来ることもあるし、
ちょっと使ったことないんで分かんないですけど、
多分コパイロットCLIとかからもいけるんじゃないかなとか、VS Codeからもしかしたらいけるかもみたいなときに、
どの過程で何を見てその行動をとっているのかみたいな部分をきちんと把握した上で動かさないと、
プロンプトインジェクションみたいなところでリスクにつながりかねるよっていうのが3つ紹介されていて、
そこに対していくつかやってますよっていうので、
1つは全てのコンテクサを見える状態にするっていうのを書いてて、
コパイロットのチャット使うと分かるんですけど、
何をしてるかとか、最近のAIアジェントツールはそうなんですかね、
どこのURLに何をしに行って、今どういう構造をして、次に何をするかっていうのは全部後からもログで見えるようになっているので、
何かあったときの小石というかログとしても使えるだろうし、
いちいちみんな見ないと思うんですけど、まとめ性っていう意味ではそこを意識してますよっていう部分とか、
あとファイアウォールですね、アジェントのファイアウォール、
アジェントが外に出るときのファイアウォールが設定されてて、
これは正直かえって不便だと感じた部分もあるときあるんですけど、
アクセスできるURLとか結構縛られてるんですよね。
なので、僕は実際にぶつかったのはテラフォームのドキュメント見に行けないとかがあったりして、
多いね。
そういうのは一応アクション図を設定するとか、MCPサーバー仕込めば穴開けられるんだけど、
デフォルトではかなり安全側に倒してファイアウォールが設定されてますよっていう部分があるのと、
また機密情報へのアクセス制限ですね。
リポジトリシークレットとかは自動では渡されることはないよみたいな話とか、
あとは状態変化の防止みたいなところで、
どんな経路をたどってもパイロットがプルリコマージするってことはないようにしていますよみたいなところとか、
あとはコパイロットエージェントの呼び主とエージェントの行動みたいな部分をきちんとつなげるようにする。
なのでコパイロットがプルリク作成したときに共同コミットに支持した人を入れるとか、
支持した人がアップルーブしても、やると分かるんですけど、従来のアップルーブのガイデンにならないというか、
なのでそこバイパス的にはしてますよとか、
あとは支持したユーザーの権限に基づいてのみコンテクストに使用しますっていうのがありますよねっていうことがありますね。
この5つ目の支持した人とミニシエーターとエージェントっていう書き方されてるのかな、きっと記事の中だと思う。
シャイフラットの攻撃と対策
これがいいよねっていうのは、かなりGitHubとのインテグレーションが効いてるというか、
他のエージェントにこれやらせようとすると結構めんどくせえなと思っていて、
それこそメルカリの前のセルフアップルーブを防ぐために何回もやらないといけないみたいなのが入ってくるから、
GitHubのコパイロットだとその辺は吉田にやってくれるっていうのは助かるよね。
助かるね、めっちゃ助かる。
GitHubが開発プラットフォームとしては別に変わってないから、AIが出てくるからも。
明確に強みとして出てるし。
いいなあっていう感じですね。
ファイアウォールとかも、利便性は使ってる意味としては正直損なってるって感じの部分もあるけど、
まあでも設定すればいいだけだし、安全だよなと思うし。
SSRF的な観点でいうとどうなんだろうね。
基本的にいろいろアクセスできないから、コパイロットに関しては大丈夫なんだろうけど、
コパイロットの動作環境からしかアクセスできないものっていうのが逆にあるのかなないのかなって。
まあ、あるかないかで言うとありそうだけど対策はしてるんじゃないかな。
きっとしてそうだけどね。
コパイロット以外はどうなるんだろうな。
あんま考えたことなかったなあ、そういえば。
なんかエージェントにSSRFさせるみたいな。
結構ありそうではあるよね。
ありそうであるね。
表にやれてこないだろうけど。
あとはなんかここでは多分紹介しなかったけど、
今年のGitHubの年一のカンファレンスでそのクロードコードとか、
あとなんだっけ、それは違うか、クラインとかかな、
GitHubに組み込まれてコパイロットと同列で使えるようになるみたいな発表があって、
リリース自体は多分今後数ヶ月で展開するって話だったんだけど、
願わけばそっちにもこの仕組みに乗っけてあげてくれると、
統制しなきゃいけない立場としては、
GitHub上で使うんだったらもうどれでもいいですよって言いやすいなって思って。
確かにね。
うっすら期待したいなって気持ちですね。
おもろいね。
はい。
パイロットはもうちょっと便利に活用したいんだけど。
なんだろうね、なんかこんだけ…
住めば都な気がしてきちゃうんだよな。
ガッツリ開発しないとっていう気もするけど。
じゃああと2つかな。
次はサプライチェーン攻撃の実体解明とかなりの防衛戦力っていう。
かなりって何のサービスですか。
人体マンションアパートの物件情報をお部屋探しサイトだそうです。
ありがとうございます。
はい。
記事としては、
でもこれシャイフラットの話ですね。
シャイフラット9月中旬のNPMパッケージのサプライチェーン攻撃を発射してるんで、
このシャイフラット攻撃、ファーストシャイフラット攻撃に対して対策しちゃうって話で。
書いてあることは別にめっちゃ先進的とか画期的なことは書いてるわけじゃないんですけど、
かなりもうこれやるべきだよねってことを一通り書いてあってやってますよって話書いてあって。
一つはリノベートなり運用してパッケージを安全に再進化しましょうっていう。
リリースされてミニマムリリースエージで一定期間保ちましょうみたいな話とか、
あとは早く検知するための情報収集っていうのをしましょうみたいな。
参照ともととしてKEBとかJVNとかGitHubアドバイザリーデータベースとかを書いてくれてるっていうのと、
あと社内の相談方向経路を明確化しましたよっていう部分とか、
またAIによるPRレビューとアーティファクトリジストに脆弱でスキャン。
これは多分Googleクラウド使ってると思うんですけど、コンテナに対してスキャンかけられる。
それをやってますよって話を書いてる感じですね。
結構意外とこれ受けてこういうのやってますよって記事をそんなには見なかったんで、ちょっと目に詰めました。
っていうのもあるし、あんま言っちゃうけどあんま出したくないよね。
そうなんだよね。
何もやってないわけじゃないんだけど、何か出しにくいよね。
正解があんまないっていうか、どこまで行ってもキリがない世界において、
うちはここまでやってますを出してくれること自体はめっちゃありがたいなと思いつつ、
じゃあうちも出しますかって言われると、ううんってなっちゃう、この感じなんていうか。
そこはもう各社のポリシー次第って感じがする。
ブラウザ拡張の現状と教育
個人的には出しづらい要因いくつかあると思うんだけど、
例えばこれ系に関して言うと100点取れてないじゃんっていう歪んだ認知をされたくないみたいな話もある気がするし、
逆にこれはできてないんだなって推察されるのが嫌だっていう話もあると思うし、
僕は何か結構その辺加味して個人的に原則のブログで何回か対策書いたけど、
ちょっと言ったときにやってるのはあんま全体像として出さないというか、
そうだね。
埋まってるマスこれですみたいな出しかっていうかはもう1個マスだけ切り出して、
ここに関してこういうことやってよみたいな、他のも順次やったりしてるよって濁すっていう。
この記事で言うと例えばアーティファクトレジストリーとセキュリティコマンドセンター組み合わせてみたいな話とかは監視はしているが、
その監視に対してどれぐらいの頻度で、あるいはどれぐらいの速さで動いていてみたいなところは多分濁していて、
そういうところとかだよね。
かなりセキュリティチームとかあんのかな。
どうなんだろうね。
この著者の方は別にセキュリティチームとかっていうか開発チームの方っぽいけど。
紹介させてもらいました。
じゃあ最後ですか。
最後ブラウザ拡張のセキュリティの話。
フラットセキュリティさんの公開社内勉強会ボリューム4の発表ですね。
いやーこれちょっと行き損ねたな、参加し損ねたな普通に。
12月についてちゃうんですか?
わからん。それすらわからん。
違うか。まあいいや。
はい。なんか結構、なんだろう、途中までしか読んでないんだけど実は。
今時のブラウザ拡張、ブラウザ拡張っていうかなんか、
これブラウザ拡張ってさ今さ、全部Chromiumのあれに落ち着いてるの、今そういえばアーキテクチャとして。
Chromiumのあれっていうのは。
昔ってさ、Firefoxの拡張とChromeの拡張は全然別物だったじゃん。
そうだね。
今は別物じゃないんですか?
わかんない。わかんない。わかんないけどほぼChromiumベースになっちゃったから、なんか結構エッジも同じ多分アーキテクチャになってると思うし。
でもFirefoxはまだ別でしょ。
Firefoxは別、Firefoxは別だけどなんか結局あれがそのアーキテクチャとして市民権を得たのかどうなのか、
ちょっとわからんなと思うんだけど、
多分念頭に置いてるのはいわゆるそのChromeのエクステンションのアーキテクチャだと思うんだけど、
なんかその今時のその拡張のアーキテクチャの理解も含めて結構いい資料だなと思ったので、
ピックしてます。
というただそれだけなんだけど、
どちらかというと個人的には前段の方がだから割と有益だなと思って見てた感じかな。
確かに。
Flatさんのこのここのメンバーの技術力とかそういうか、これ系マジ解像度高いよね。
うん。っていうか深掘り力というかなんか、
中身をちゃんと理解しに行く力というか根気強さというか何というかわからんけど。
うん。
いやーこういうの見るとマジウェーブ、ウェーブ、ウェーブだなって感じだな。
うん。なんか社会的にこういうの見るとマジウェーブだなって感じだね。
うん。
いやーこういうの見るとマジウェーブ、ウェーブ、ウェーブだなって感じだな。
社内勉強会っていう公開社内勉強会っていうのを考えるとなんかめっちゃいいよね。
きっと多分この発表者のお二人がめっちゃ調べた内容をこうして社内に展開することによって、
社内のそのみんなの知識が禁止化されていくというかベースラインが上がっていくみたいなのが多分あると思うし。
うん。
確かにね。
いい取り組みだし、いいスライドでしたという感じですね。
興味ある人読んでみてください。
うん。
よかった。僕も目は通したけどちょっと2、3回読み直そうって気持ちで。
はい。
なんか知りたくなったらここに立ち返って読めばいいかなっていう感じかな。
うん。
なんかのさ、例えば教員面積のシナリオの中でブライザー拡張みたいなのが出てきたときに、
ブライザー拡張ってじゃあ実際何がされると何ができるのみたいな部分とかを知りたくなったときに多分ここに立ち返ってくるといいのかなっていう感じかな。
確かに。
ちょっと読んで覚えるときにはなんか結構しんどいかな感覚的に。
そうだね。
はい。
ありがとうございます。
いやー、いっぱいありましたね。
そうだね、久々に結構。
うん。
テクノロジーの成熟期
なんか今年の始めを思うとさすがに家は落ち着いたな。
なんか最近さ、こういうプロンプトインジェクション成り立つよみたいな記事マジで見なくなった。
見なくなったね。
なんかそのなんだろう、仕事でも話した気がするけど、ちょっと成長がさ緩やかになってるというか、
こうなんか出てくるニュースがさ、想像の域を出ないものが多くなってきたなと思うんで、
うん。
なんて言ったらいいんだろうな、そのこうなんだろう、爆速でいろんなものが変わっていくフェーズからちょっとこう、
成熟度を上げていくフェーズに入りつつあるのかなみたいなことを思ってるな最近は。
うん、そうだね。
だから何って話なんだけど。
まあでも、なんかその本当に最初の序盤はそのなんだろう、いかに早く新機能を出すかとか他社が出した新しい概念を模倣するかみたいな感じだったから、
多分そのそこに横からまさかりを投げ続けるセキティ化よみたいな。
わからない、界隈はちょっと言葉が悪いけど、こういう脆弱性あるよ、ああいう脆弱性あるよっていうのを各研究者が出すみたいな感じだったけど。
うん。
まあ割と何らかんだ多分順当に対策して塞ぎ続けてきて、モデル側も何もしてないわけじゃないみたいなところで。
うん。
まあ少し落ち着いた、そういう意味でも落ち着いてる感じがするかな。
そうですね。
うん。
なんか側、なんか中身はもう多分ある程度モデルをじゃあどこまで良くしましょうっていう話だし、側みたいなものもちょっとだいぶ落ち着いたというか。
新しいものは出続けてるけど、まあ開発方面はエディターかCLIかみたいな感じ。
うん。
あとはどこまでいくかだね。
MCPサーバーも意外となんか使って、まあみんな使ってるんだろうけど、最近そのMCPサーバー使わない方が安くなるとか早くなるみたいなのをたまに見かけるようになって。
うん。
結構最適化のフェーズにも意外と早く入れるのかもなとか思ったりして。
うん。
いやあ、来年、来年に期待だな。
今年も終わりっすね。
終わりっすよ。
終わりだよ。
年末の振り返り
セーバーなんか予告ですけど、一番年末の収録回にSpotifyの一年振り返りのPodcastバージョンが出たんで、振り返りましょう。
はい。そんなになんか長く残ってんの?年末の収録回まで。
うん、年末、年内いっぱいは見れると思うよ。年当社今日見れた気はするけど、まあでもキャプチャー取っとこうかと思ってるから。
フォロワーがどれくらい増えたかとか、まあいいやネタバレなんで、それはちょっとやろうって。
番外編でやるかもしれない。
うん。
結構ね、話したいこといっぱいあるね。
じゃあ今日はそんな感じですか。
そんな感じっすね。
はい。
はい。
じゃあ収録も次回もお楽しみにっていうのと、アドベントカレンダーも地味にコツコツ書いてるんで。
まあ興味ある方は読んでください。
クソ雑記事紹介。
ヌルッと、ヌルッとやってる。
ヌルッとね。
ヌルッとね。
もはやXに投稿すらしてないわ。
いや、いいと思う。
なんならさ、アドベンターでも記事タイトルはネタバレしてるんだよね、私全部。
いいでしょ、別に。
適当にやってますんで。
じゃあそんな感じで、皆さん次回もお楽しみにしててください。
おやすみなさい。
おやすみなさい。
