Replay.fmの振り返り
こんばんは、Replay.fm 第10回です。
どんどんパフパフ。
パフパフ。
10回ということで、何かありますか?
いやー、今まで皆さんありがとうございました。
皆さんリスナーのおかげで、我々ここまで長らく続けてくることができました。
本当にそうですね、皆さんの応援あってこそのReplay.fmだと思いますので、これからも末永くよろしくお願いいたします。
まあ今日でね、第10回ということで終わってしまいますが。
やっぱそういう流れだったね。
おいおいおい。
僕らの今後のご活躍に。
またいつか戻ってくるその日まで、皆さんお元気で過ごしていただければと思います。
GDNETの記事紹介
逃がさねえよ、マジで。逃がさねえぞ。
まあ、来週ね、また戻ってくるんで。
俺が、俺が、なるほどね。今日は一旦お別れってこと?
今日は一旦お別れ、まだ始まってないけどね。
確かにね、確かに、確かに。
始まってねえんだよな。
はい、まあ普通にやりましょう、いつも通り。
急に、急になんかあれ、すごい。
え?
まあいいけど。
いやもう、そう。
お前、考えてる暇なんてねえんだよ。
第10回の乗り出していこう。
第10回乗り出していくか。
まあ、第10回の乗り出していきます。
お願いします。
はきはき、てきぱき、的確に皆さんの学びになることをめちゃくちゃ喋るぞ。
はい、一回でいきますか。
素晴らしい。
はい。
これ、僕が書いたのか。
僕がサムリ書いたんで、
まあ、2人とも読んでるけど、読みますね。
えっと、1個目はGDNETの防腫法、携帯法の見直しと運転免許証の。
反腫法、反腫法、反腫法や。
恥ずかしい。
反腫法、携帯法の見直しと運転免許証のマイナンバーカード一体化っていう記事ですね。
はい。
はい。
犯罪収益転移防止法と。
犯罪収益移転防止法ね。
やばいな。
カットしようかな、マジで。
やめます、まだ間に合うよ。
いや、いいよいいよ。
ありのままでいきます。
ありのままで。
犯罪収益移転防止法。
はい。
携帯法の見直し。
まあそうですね、タイトルの通りかなっていうところと、
マイナー運転、マイナー免許証って呼ばれてるやつですね。
話の記事ですと。
で、反腫法の見直し動向のところに関しては、
まあちょっと僕が割とピックした部分だけかいつまむと、
割とその犯罪の手口が公明化、多様化してますよと。
まあなんかこのポッドキャストでもちょこちょこ、
犯罪者頭いいねって話をしたりしてますけど、
まあそういうところがあり、
で、まあそれに対抗する策として、
まあ悪用されがちな携帯電話とか電話転送サービス、
まあ電話転送サービスっていうかなんか個人的にはピンとこなかったんですけど、
まあその辺の契約詞の本人確認にマイナンバーを積極的に利用しましょうっていうところが議論されていますと。
で、まあ引用してる部分であるんですけど、
まあマイナンバーカードの公的個人認証に原則として一般化し、
運転免許証等を送信するほか、顔写真のない本人確認処理は廃止する、
みたいなことが書いてあったりしますと。
で、まあマイナンバーカードで本人確認する際も対面の際にICチップ処方の読み取りっていうのを義務づけましょうっていうところが動向としてありますよっていうところと、
あと携帯法の方に関しては携帯電話の契約詞と譲渡詞の本人確認方法に関して見直しが検討されてて、
まあ一個一個まとめてられなかった図を貼ってるんですけど、
基本的にはさっきの反射法と同じところなのかなと思っていて、
対面でマイナンバーカードを使うときはICチップをきちんと読み取りましょうとか、
そうですね、顔写真なしでの処理画像、そうですね、
まあそうか、対面の場合はICチップ読み取りしましょう。
非対面の場合はICチップ読み取りとか、原本プラス転送不要読みとか、
まあいろいろこれは継続しましょう、これは廃止しましょうっていうのが整理されてる感じ。
はい、このいろはにほへとちっていうこの方式がさ、
方式の呼び方がこういう感じになってるんだけど、
わかんないんだよね、い方式とか、は方式って言われても、わかんねえよ。
なんか記事中でもそんな感じで、
ああそうだね、なんで1,2,3,4,5じゃダメなのかね。
どっちにしろわかんねえよっていうのは変わんないんだけどさ、
まあそれか。
変わんないんだけどわかんないんだよね、これ。
ポインターとして暗記しろっていう。
そうそうそう。
なんだろうね、なんかリーガルの人に聞いてみたいね、これもっとよくないか。
いやいや単純にたぶんその条文上こういう呼び方をしてるだけだと思うんだけど、
単純にいろはにほへとの順でたぶん、
上から並んで書いてあるだけだと思うんだけどね、きっとね。
ただそれがそのまま通例として使われてるのかどうなのかよくわかんないけど、
まあよく見かけるのよ、このいろはにほへとっていうのを。
なるほど。
覚えらんねえよって言う。
マイナンバーカードの利用
理解。
そうですね、であとはマイナー保険証か、
健康保険証運転免許証をマイナーバカードに一体化しましょうって話して、
でなんかいろいろ書いてあって、
マイナー保険証安全なのかっていうところに対して、
まあこういうので安全だよって公式の図みたいなのがあって、
知らない人は読むと良さそうって思ったのと、
あと、開始が、開始、はい。
マイナーバカードをスマホ搭載するサービスっていうのが、
今年の5月からAndroidで開始してて、
来年の春にiPhoneでも使えるようになりますと。
でこれ僕Androidだったんで、
てっきりiPhoneも使えるのかと思って、
嬉しいなあと思いながら使ってたんですけど、
実はiPhoneはまだだったんだって思ったっていう。
知らなかったな。
知らなかったです。
これ便利ですよ。
要するにマイナーバカードをスマホに飾らせる必要がないっていう感じ。
これ複数枚で入れられるのかな、複数枚じゃない、複数の端末に入れられるのかな。
両方持ってるんだけどさ、その。
とりあえずAndroidで試してみたい気持ちがあるんだけど。
確かに、どうだろうね。
なんか複数入れられないでほしいね。
逆に?
あ、まあ。
まあ。
その、分かんないけど、
マイナンバーカード買い取りますが、
応募しそうな気がしたっていうたぶんそれ。
一回かざして登録させてくださいみたいな。
どうなんだろう。
マイナポータルとかもじゃあ、かざさずにそのまま入れるの?
序盤号とかパスワードとかいらない?
試してみようか。
後で出てくるんだけど、この2方式ってさ、ICチップ読み取りで完結しないんだよね。
確かにパッと分かんねえな。
でしょ?
ICチップ読み取りプラス要望の数ね。
そうなんだよ。
だからそれだけあってもしょうがないっていう状態ではあって。
なるほどね。
マイナポータル、生体認証だけでログインできます。
そうなんだ。
便利ではある?
だからマイナポータルとか入れるだけだと、でもその個人のあれが、
なんかいろいろできますよだけだから別にそんなに価値はないわけでしょ?
そうだね。
なんかそれこそ、実際使うとしたら確定申告とかはないかな、
そういう時にこの、いや物理カードが必要ですよってなるのか、
その辺はね、まだちょっと試せてないみたいな感じですね。
5月だから、5月以降にそういうのがないっていうただそういうのになるけど。
結局その人に、要はさその、何て言ったらいいんだろう。
それが入ったデバイスをポコポコ渡したからといって、
別に例えばいっぱい携帯電話の回線が作れますって話じゃないじゃん。
そうだね。
手元に残しつつ売ることができるみたいなのは確かに成立し得るかもしれないけど、
でも要望の画像が必要なのは。
活用ができないってことか。
要望の画像が必要なのは確かなので。
確かに確かに。
結局その人そのものもセットでついてこないと。
なるほどね、確かに。
で、あれか、スマホJPケアと、
あと前の免許証が、仕組みが解説って感じですかね。
ICチップへの情報書き込みが必要なんで、免許センターに行く必要があるというのと、
これ僕知らなかったんで、めんどくせえなと思ったんですけど、しょうがないですね。
いや、めんどくさいしさ。
何、警察官は読取き常に持ち歩くって話あったっけ、それ。
そこ言及あったかな。
そう、マイナ免許証があればその運転免許証の代わりになるっていうのが書いてあるけど、
読取はどうなんだろうね。
その辺は、その運転免許証、
マイナ免許証に、多分マイナマカードのベースの仕組みなのかな、
AP、この辺はマイナマカード博士に登場してほしいところなんですけど、
免許証カードAPっていうのをマイナマカードに書き込むっていうのが、
マイナ免許証になるっていう概念上の整理なんだけど、
その辺の免許証カードAPの使用みたいなところは警視庁が、
警察庁が公開してて、
それを読めばわかるのかもしれないし、
どうなんですかね。
でも、端末ないとその、
そのマイナマカードが免許証になるかどうかわかんないから、
ランカーとか持ち歩くんだろうね。
大変だなと思って。
そうだね、それは。
でもしょうがない。
僕ら目線は便利になるけど、警察は大変って感じなのかな。
確かにそこを考えてなかった。
でも実際スマホとかになるんじゃない?スマホにアプリ入れてとか。
最終的にはそうなるかもしれんけど、
免許証ってもっと広いものだしね、利用者としてはさ。
利用者、広いっていうのは。
スマホ持ってない人とかよくわからん人とかでも、
使えないといけないわけじゃん。
免許証としてさ。
そうだね。
でも免許証は健康保険証と違って、
今んとこなくすっていう話はないんじゃないかな。
いつかはなくすのかな。
スマホって読み取りの方がってこと?
そうそう。
それはそうかもね。
持ち歩きの方は、いつかは廃止したいだろうね。
全く話が出てないから、いつになるやらっていう。
健康保険証廃止したかったのは、
偽造が簡単とかそっちの文脈なのかなって個人的に思ってて。
免許証は中にチップ入ってるから、
その辺ごまかしづらいとかでどうだろうねって感じかもね。
でも保険証なくなるとさ、
本社は、健保は関東ITソフトウェア健保でしたっけ?
違いますね、別の。
違うのか。
いや、寿司あるじゃん。
ああいうのどうすんだかな。
利用したことないけど、提示すんの?
提示する。
当日原本を出さないといけない。
まあなんか、別の方法を持つしかないよね。
発行証明書的な、なんか分かんないけど、
紙が家に送られてくるかもしんない。
絶対なくせやな、そんな。
保険証だからなくさないって感じでしょ。
その辺はなんか、なんていうか、
健康保険組合が勝手にやってることだから、
知らんぞっていうスタンスになっちゃいそうだけど。
そういう感じなんだろうね、なんか。
なんか、だいたい案を今必死に考えてるかもしれない。
確かにね、そういうのもあんのか。
まあ、なるほどね。
寿司食べたいね。
まあ、そんな感じの記事ですね。
個人的にはまあ、なんていうか、
いい流れなんじゃないですかって思うのと、
まあ、イタチごっこで次に犯罪したらどういう手を打つんだろうなっていうのをぼんやり考えつつ。
アカウントごと売るんでしょ、結局。
まあ、やっぱそうなりますか。
闇バイト的にその本人確認通してくださいっていうのが多分増えるのと、
通した状態のアカウントを売ってくださいっていうのが増えるのと、
まずその辺りからだろうね。
携帯電話回線を売りましょう、もう売ってください、もうやってるだろうから。
イタチごっこだね。
手数は減るのかな。
手数は減ると思うけどね。
そうだよね。
手数は減るっていうかさ、
なんて言ったらいいんだろう、
電話番号、SMSベリフィケーションでさ、電話番号の所有確認とかするじゃん。
あれと一緒でさ、
なんて言ったらいいんだろうな、
物理的な使えるソースの上限がキャップがつくというか、
人間として実在してない、行政の管理されているデータベース上に、
その、行政なり政府なりが管理しているデータベース上に、
その実在の人物がいないと成立しなくなるわけじゃん、これ。
そうだね。
だからなんかキャップがつくよね、そこに。
そうだよね。
架空の人物の名前で、名前とか身分証とかで通すっていうのはできなくなるわけで。
SIMカードとかあったら原理上何枚でも一人に対して作れるけど。
それだってさ、一定上限が一応あるわけで、その電話番号の数の分しか。
まあね、確かに。
増やしにくいわけじゃん。
確かに。
それ見ていくとキャップがつくと思うから、まあ効果はあるんだろうね。
間違いなくあると思うけど。
あと偽造ができないっていうのもそうだし。
そうね、今言った通りだね、偽造ができないっていうところで、
多分そこが一番効いてくるんだろうけど。
どうだろうね。
携帯電話不正利用防止法上は、通話SIMじゃないと本人確認必須じゃないらしい。
そうなんです、実はそうなんです。
通話SIM、逆に言うと本人確認必須じゃないパターンって何があるんだ?
SMSの受け取りができるだけだと。
あー、なるほど。
うん。
なるほどね。
あんなになりそうじゃないですよね。
うん。
本人確認必須じゃない。
まあでも、電話番号。
要はだからこの一本化しますよーの話の範囲にそもそも入ってない。
うんうんうん。
うん。
なるほど、いやー面白いな、知らんしようがあるな法律は。
うん。
なるほどねー。
で、対面じゃない場合は要望の画像が、まあさっきも触れたけど、やっぱ必須なので、結局要望の位置の確認が必要なので、こう自撮りをするっていうステップは絶対入っちゃうんだよね。
うん。
そうねー、まあだるい、だるいっちゃだるいか。
うん。
なんか何でもかんでも求められたらだるいよな、少なくとも。
まあそうなんだけどさ、その、なんていうか、例えば確定申告ができますとかってさ、要望の位置確認しないじゃん。
そうだね。
うん、なんかバランス取れてなくないってちょっと思わんでもないんだけど、まあでも結局そのなりすますメリットがあるかどうかっていうところに帰結するんだろうなーと思っていて。
そうだねー。
うん。
いやー面白いな。
でもなりすまされる、なりすまされる当人にとっては別に、なんて言ったらいいんだろう、バランス取れてないようにしか見えないわけだよね。
うんうん。
でもなり、なんていうか、なりすましを防ぎたい側としては明確にそこに差分があって、
うんうん。
なんかちょっとその辺の、こう非対称性みたいなのがなんか興味深いなとは思うな、ここに関しては。
うん、確かにね。向こう目線に立てないと。
そうなんだよ、そうそうそうそう。
使う側としてはさ、ただ不便なだけでさ、
うーん。
なんでこっちは顔写真求められるのにこっちは求められないのってなるわけで。
うーん。
うん。
なんか、いやーこういう仕組みを考える場合になってみたいな、面白そうだなー。
うん。
めちゃくちゃ大変だと思うけど。
はい。
はい。
そんな感じですか。
そんな感じですね。
ふふふ。
はきはき、次に行きますか。
行きますか。
私か。
はい。
SIM3の基本概念
シーサーとの成熟度を可視化するSIM3とは、
インシデント対応力を高めるための評価指標というマイナーライセキュアさんのブログですね。
SIM3で多分読みが合ってると思うんだけど、
まあSIM3だと思って思い込んで読んでいきます。
違ったら優しく教えてください。
シーサーとの成熟度を可視化するSIM3という、
セキュリティ・インシデント・マネジメント・マチュリティモデルというのがあるらしくて、
それを紹介するブログです。
ブログ記事です。
SIM3自体は2008年頃にオープンシーサーとファンデーションによって公開されたものらしくて、
現在V2の暫定版が公開されているそうです。
現在に一応V2が正式リリースされる見込みらしくて、
4つのカテゴリで、各カテゴリ合わせて合計45項目を5段階で評価するというマチュリティモデルになっています。
その4つのカテゴリというのが組織と人材とツールとプロセスの4つになっていて、
自己点検、一応何というか、タームとしては評価というふうに呼ばれてるらしいんですけど、
自己評価もできる一方で、SIM3の監査人による監査というのも受けることができるらしくて、
例えばFIRSTという、The Forum of Incident Response and Security Teamsという団体への加盟の条件の1つになっていて、
SIM3監査人によって保証された最低限の成熟度が求められるようになっていたりとか、
多分ANISAでいいと思うんだけど、European Union Agency for Cybersecurityという、
監査と評価基準
ヨーロッパの、多分EU権だと思うんだけど、に属するナショナルシーサートに求める基準として採用されているそうです。
ナショナルシーサートなんて多分、本当にナショナルな国のシーサートなんだと思うんだけど、
これに参加するためには最低限ここまで満たしてないとダメだよっていうのがあるらしい。
そのフレームワークとしても使われているよという話ですね。
シーサートのガイドラインとして、他にNIST、NISTのSP-861というのと、
さっき出てきたFIRSTが出しているシーサートサービスフレームワークというのがあるらしいんですが、
SIM3はそれらに対して、4つの観点を軸に成熟度の評価を行うものですよと。
一方で、一方でというか他方で、NISTのSP-861は、
インシデントレスポンスのフェーズを重大的にカバーしていて、
インシデントの種別ごとの対応事項などがまとまっているよというようなことを書いてくれていたりしますね。
フェーズごとというのはつまり何かというと、
例えばDDoSだったらこうするとか、マルウェア感染だったらこうする、不正アクセスだったらこうするとか、
そういう場合に対応すべき事項とか、どういうアクションを取るべきかというのがまとまっているらしいです。
FIRSTのシーサートサービスフレームワークは、
シーサートが実施する業務に着目して、サービスの実現のために必要な機能が整備されており、
次、チーム自体の構築とか、その改善のための文書ではないよというのを書いていて、
要はシーサートがどういう機能を備えるべきかというのを熱狂しているだけという、
細かく整理しているだけというような形らしいです。
はい、そんな感じですね。
ありがとうございます。
全然この辺知らんかったので、なるほどって思ったんですけど、知ってました?
全然知らなかったです。
全然知らなかった。めちゃくちゃ勉強になるなと思って読みました。
なんかざっと見たんだけど、なんかハードな話よりはソフトな話が多くて、
シーサート作りたい、とりあえずシーサート作ったみたいなフェーズで、
どうするっていう、これからどうするっていう状態のところで、
これについて進めていくとかなり良さそうだなとは思いました。
そうですね、ほぼ似た書簡でかなり、
とっつきやすいよね、なんか。
他のフレームワークももちろん参考になると思うんだけど、
やっぱり結構重厚長大というか、
先が見えづらいというか、
どっからってか手をつけようみたいな気持ちになる。
でさ、思ったんだけど、これ多分なんだけど、
このあらゆるチーム組成で使えるんじゃないかなと思った、これに関しては。
あー、なるほどね。
確かに。
なんかある種さ、スクラムの方法論とかにも近しい部分あったりしない?
誰のためのシーサーとか誰をターゲットにしているかとかさ。
あの、インセプションデッキね。
誰に指示されてシーサーとか発足運営してるか。
プロダクトオーナーは誰ですかみたいな話とかに多分近しいんじゃないかなと思うし。
確かにね。
多分いろんなエッセンスを混ぜこぜにしていくとこれに近いものが出来上がるような気がしていて、
なんかいろんな、普通にシーサーに限らず、
ありとあらゆるチーム組成において参考にできる良さが多分にありそうだなと僕は思いました。
ていうか、なんか僕のチームでこれ使いたい、なんなら。
その視点はなかったけど、確かにこの項目眺めてるとそんな感じがするね。
なんかね、例えばシーサーとに必要なスキルセットが定義されているかとかね。
シーサーとの新たなメンバーの能力開発を推進するポリシーの有無とか、
シーサーと業務に関連したテクニカルトレーニングの実施とか。
実践的な活用法
面白いな。確かにね。
一開発チームのスコープだとちょっとあれだけど、
セキュモになる小組織においてなんか似たような、
このシーサーとって部分とか置き換えていくといい感じになりそうだね。
まさにそんな感じ。微妙に多分そこがない部分も出てくると思うので、
そのままそのシーサーと置き換えるだけで全部が綺麗にはまるとは思わないけど、
でも考え方というか使えるエッセンスがすごく多いなと思ったので。
確かに確かに。
いやーこれ、こういうガイドラインを集めただけのサイトが欲しいわ。
欲しいね。
こういうっていうのは取っ付けやすいじゃないけど、
なんかエントリーモデルじゃないけど、
こういう時もあるし、こういう時はこれを見てっていうやつだよね。
あーそうだね。
リファレンス的な。
さっきのNIST、そうだね、比較偉大なサイトってやつとかもどうだろうね。
NSTのやつとかだったら、
実際にインシデント起きてる時に参照できるか微妙な気がするから、
振り返りで答え合わせをするとか、
そうだね。
プロセス改善をするとか、
役割はっていうか、なんか効いてくる場所は違うかも、あれだろうなっていう気がするね。
何ならだけど、この45項目それぞれに多分フィットする別のガイドラインがあるんじゃないかなって。
あー確かにね。
例えばNISTのガイドラインとかは、
インシデントレスポンスのフェーズを重点的にカバーしているから、
それに沿ったプロセスがあるかどうかみたいなのが多分どっかにあるんじゃないかなと思っていて、
あ、あったね、P-6か。
P-6とか。
C-SATがインシデントを解決するためのプロセスの有無みたいな、これを、P-7も多分そうだね。
この辺をちゃんとハンドリングできるようになってるか、
これのレベルの向上のために別のガイドラインを使うとかは普通にあると思うし、
組織の組成の部分で言うと、
何かあるかな。
ちょっとFASTのC-SATサービスエスプレイマークとかも、
多分この辺の組織とか人材とかそっち側で何か効いてくるものがあるんじゃないかなと思っていて。
確かにね。
これ自体あくまで評価モデルではあるから、
評価して足りないときに、
他の具体的なハウとかもっと詳細なものを見に行くっていう付き合い方がベストに近そうだな。
確かに確かに。
マッピングできると思うんだよな。
そうだね。
確かに。
これはでもぜひ実践したいね。
そうなんだよ。
これ実践しないと、
C-SATとその実践
何かいいところ悪いところ分かんないと思っていて、
やりたいな。
C-SAT作ろう。
やりたいな。
C-SATチーム作っちゃおう。
C-SAT。
ちょっと一回やってみたいな。
何か僕自身別にC-SATに特に強いとかではないし、
そういうのの構築に特に強いとかではないけど、
何かやってみたいな。
カジュアルに何かちょっとやってみたい。
もう頭の片隅と言わず真ん中ら辺に置いときたい。
リファレンスですね、これは。
そういうお仕事誰かくれないか。
C-SAT構築業。
C-SAT成熟度評価業務の支援みたいな。
評価業務か。
そうそうそう。
評価を一緒に、評価と今後の戦略立案みたいなとこかな。
なるほどね。
何かコンサルですか。
C-SATコンサルは。
C-SATコンサルか。
C-SAT素人だけでいいのかな。
裏側SIM3に当てはめて。
ちょっとSIM3の練習してみたいから。
お安くしとくんでちょっと何かお仕事くださいみたいな。
確かにね。
ゼロエンドもいいからちょっとやってみたいけど。
ゼロエンドね。
ゼロなんだね。
ゼロエンドきついな。
普通具体のその項目とか見て、
何かちょっと脳内シミュレーションしてみるとかはやってもいいかもね。
そうだね。
そんな感じでした。
TripHogの活用
非常に勉強になりました。
そうですね、これは良かった。
ぜひ拡散していきたい。
NRSエキサさんの記事は個人的に好きだな。
結構学びが多い。
そうね。
あまり自分の会話とはちょっと距離が、
いい意味で距離があるなって感じですよね。
じゃあ次はこれ。
ウケるな。
はい。
TripHogを活用したGitHub Organizationのクレゼンシャルスキャンという
10Xさんのブログですね。
記事書いてるのがSota1235さんっていう人で、
何か僕ここまでしか読んでないんですけど、
この後説明してもらうことできますか。
はい、そうですね。
Sota1235です。
完全に宣伝会みたいなんだよな。
いやでもね、結構ね、
良かったんで知ってほしいなって思って。
ちょこちょこ出てるもんね。
TripHogの話もTripHogのブログの記事も出てるし。
確かに確かに。
そうだね。
この記事のことをやったからTripHogのブログをキャッチアップし始めたまであるから、
源流と言っても過言ではないんですけど、
まあそうですね、
サマリーとしては、
たまに登場してますけどTripHogっていうOSSの
シークレットスキャンツールっていうのがあって、
で、それを使って
会社で管理しているGitHub Organization全体を
デイリーでスキャンする仕組みを作ったよっていう話ですね。
まあなんというか、
記事自体はですね、
自分で書いたんでよくわかってるんですけど、
まあOSS版のTripHogを使おうって思った時に、
意外となんというか、
ちょちょっと設定しておしまいっていう感じじゃなくて、
微妙な詰まりポイントがいくつかあって、
例えばなんでしょうね、
GitHubのオーガイゼーションがある程度のサイズいっちゃうと、
オーグ全体をスキャンしちゃうと、
GitHubのAPIリミットに引っかかって死ぬっていうのがあったりするから、
まあなんというか、リポジトリ単位でゆっくりやらなきゃいけないよとか、
あとはそうですね、
出力形式の、
一応JSONで出力することができるんですけど、
それをファイルに書き出すみたいなオプションとかはなかったり、
あとはその出力されるJSONのフォーマットの
詳細なドキュメントがなくて、
というか、言っちゃうとTreeFogの、
OSS版のTreeFogはマジでドキュメントがほぼなくて、
リードミーしかないんで、
結構実際の結果を見て、
使用させるか、コードを見るしかないかな、
コードを見て、
実装って何でされてるのこれ?
実装はGoですね。
Goなら割と、
割と、
人によるか。
まあそうね、
僕はどっちかっていうと読めない側だけど、
まあでも読めなくはないというか、
全然汚くないコードなんで、
まあJSONのスキーマとかも
多分適当に転がってるだろうし、
あの、
NotionとかSlackのなんか、
JSONの深度差みたいなのは多分ないと思うから、
まあでもね、
微妙にその検出する項目によって、
かなり可変フォーマットな雰囲気はあって、
その、
なんかね、
そう、
うまく言えない、
うまく言えない、
例えばSSHキーとか、
いや分かりやすいのは何だろうな、
いやー、
ちょっと実際に回してみてほしいです。
なんか見ないと分かんない部分が結構あって、
そのなんていうか、
Google Cloudのシークレットキーが検出される時は、
なんかこのフィールドが生えてきて、
なんかちょっとメタ情報が増えるとか、
でもなんかそのAWSキーの時はそのメタ情報がなくて、
仮にこのフィールドが生えてくるとか、
SSHキーの時はこのフィールドが生えてこないとか、
結構いろいろ微妙な差分があって、
だからそのどのJSONフィールドが共通フィールドなのかが分かんない、
多分実装ちゃんと見ないと完全には分かんないかったり、
あと実際、
この記事にも書いてたんですけど、
実運用で困ったのはその、
TreeFogの僕の一番の推しポイントとして、
検出されたシークレットが有効かどうかっていうのを、
検証できる場合は検証するっていう機能があって、
めっちゃおもろい。
そう、めっちゃ面白くて、
だからGoogle Cloudのシークレットキーがあった時に、
そのシークレットキーがバリットなのかインバリットなのかを検証してくれるんですよ。
インバリットだったら検知しないっていうのがあって、
これがマジで便利で、
結構多分対応サービスの数エグいっぽいなって気がしてて、
実際、
記事でも濁して書いてるんですけど、
TenXの会社5年目ぐらいですけど、
5年もののGitHubオーガニゼーションでスキャンすると、
恥ずかしながら結構な数の検知がされて、
ただ検知されるやつに、
遥か昔に使ってたSaaSのAPIキーとか出てくるんですけど、
そんなめっちゃメジャーじゃないSaaSのAPIキーとかも、
検証用のエンドポイントをわざわざ叩いて検証してくれたりしてて、
そんな方法で検証ができるのかみたいなものがあったり、
結構面白いんですけど、
けど問題はこの検証ができないパターンのシークレットが問題で、
SSHキーとかまさにそういうパターンで、
接続先分かんないで検証できないじゃないですか、
なんでトリフォグ視点は検出するしかないんですよ。
インマリットかバリットか分からんけど、
とりあえずキーあったよっていうふうに検出する。
ですけど、僕が頑張ってドキュメントとか仕様を見た感じだと、
この要素を検出しないみたいな、
イグナーするみたいなコンフィグとかオプションがないんですよね、
トリフォグには。
なんで検出しました、とりあえずした結果、
これはリボーク済みのSSHキーですとか、
これはダミーの実はキーでしたとか、
そういうパターンのときに、
じゃあ次からイグナーしましょうっていうのを
反映する仕組みを自分で作んなきゃいけないっていうのが、
結構めんどくさいというか、
OSS版なんでしょうがないかなっていうので、
でもその辺はうちはこういうふうにやってるよっていう部分を、
記事に詳しく書いたりしてますっていう感じですね。
でも結構面白いですよ。
NRSエキサの記事の重要性
一回みんな自分のオガイゼーションで回してみてほしいですね。
結構斜め上のやつが検出されたりして結構ワクワクしますよ。
溜まったもんじゃないんですけどリボーク大変なんで。
なるほどね。
今ちょっと実装見てるんだけど。
一応プロットでだからアウトプットは定義されてるっぽいから、
そっちを参照してあげればよさそうな雰囲気があるけどね。
レガシージェイソンっていうほうが、
5だけで読み下していくときは全然読み下しやすい形になってるんだけど、
今のやつは5だけだと多分完結しなくて、
プロット側を参照しているように見える。
そんなこともないのかな。
パッケージのPB配下にどれを書き出しているかというと、
プレゼンシャルズと、
でもそうだね、パッケージのPB配下にプロットからコンパイルされたのが出てるから、
そこで使いたいんだったらそっちを参照すればいいし、
プロットでいいんだったらプロットのほうを参照すればいいし。
いいね、確かに。
いやー助かる。
この、いいね、このプロットのdetectors.protってやつに、
インナムで対応サービスが多分書いてあるんだけど、
そうだね。
多分対応サービスの数も結構多くて、助かるって感じでしたね。
めっちゃ多いね、すごいね。
900弱はあるのかな、多分。
ありそうだね。
いやー、パブリックポッドキャストじゃなかったら、
これ、こういうの検出されたって話をしたいんですけど、
まあさすがにちょっと微妙なとこなんで、
まあその辺はこっそり聞いてください。
あの、気になる方は。
いや、まあなんかあれなんですよ、リボックスみなだし、
別にしゃべったら問題ないっちゃないんだけど、
まあパブリックにしゃべるなんてさすがにはばかられるんで。
まあね。
まあでも是非ね、使ってみてほしいなって思って書きました。
はい。
なんか困った時に思い出してくれると嬉しいです。
トリフォーグもね、使い方の記事が日本語であんまなくてね、
結構困ったんで。
いい記事になったわけですね、じゃあこれが。
僕的にはいつか、僕と同じ発想に至った人が、
助かるように書いたつもりはある。
まあ、興味ある人は読んでみてください。
トリフォーグ芸人や。
トリフォー芸人として生きていこうかな。
ステッカー、ステッカーかなんかもらえねえよ。
どこの企業なんだろうね、アメリカかな、知らんけど。
はい。
じゃあ次いきますか。
次いきますか。
めいめいの就活について。
就活は終わりの活動の方の就活ですね。
はい。
これ何だろう、JPAAワージ。
何かのワーキンググループかな。
JPはまあいいとして、AAが何だろうな。
JPAAW。
コンパスのページ見てみますか。
スキアートしか出てこない。
なんかでもすごい大企業を連なる、
コミュニティっぽいところに。
今一瞬出たよ、アンチアビュースだ。
日本アンチアビュースワーキンググループらしいです。
面白い。
面白いですね。
というところで、
NTTコミュニケーションズの高田さん。
出た分いいと思うんだけどさすがに。
高田さんってあれやな。
高田さんでした、失礼しました。
ちょうど書いてあった2ページ目に。
高田さんの発表のスライドですね。
これ、あれだね。
2人ともサマリオ書いてないんだね、実は。
書いてないです。
読んだけどサマリオ書いてないお家なんだけど、
どうでしたか。
永久保存版ですね、個人的には。
ね、よかったよね。
どういう記事かっていうと、
ドメイン管理のリスク
名前の通りで取得したドメインを
手放すまでのライフサイクルにおいて
どういうことをしなきゃいけないんだっけとか
どういうリスクがあるのか
リスクっていうのは何も考えずに
何もせずに手放してしまったときに
どういうことが起きてしまうのかっていうところに対して
一つ一つ結構丁寧に説明してくれてるっていう感じですね。
なんで、この8ページ目とかは結構
めちゃくちゃ価値があるとか
わかりやすい図がサイクルに書いてあるんですけど
そうですね。
直近ちょうど
その弊社内で
ドメイン整理というか
整理って言い方あるですけど
使ってないものどうしようかみたいな議論がちょうどあって
デジタルリーチームと連携して
責任チーム動いてるんで
話してたりしたんですけど
もちろんすぐに手放すのは
リスクっていう認識はあるんで
まずは一旦寝かせた方がいいよねっていうところで
寝かせるときにじゃあ何しようかみたいなところとか
どれぐらい寝かせようかみたいなところで
なんていうか
誰かが示した正解ってないじゃないですか。
結構その
現実世界の脅威とか
事例から逆算して
これぐらいだったらいいでしょうとか
結構見切りをつけなきゃいけない部分とか
結構調べ物をしないと
なかなか結論が出しづらい議論なんですけど
最後はしかもエイヤーで決めないといけない部分も多いし
そうなんですよ
そういう状況において
このスライドが突然降ってきて
これをベースに考えればいいじゃんって言えるぐらい
結構モーラル的で
観点漏れがないんじゃないかなって思うスライドでしたね
アーカイブからの削除とか
なるほどって思ったんだけど
一方でアーカイブすら消されてしまうの
寂しさも物によってあるのかなと思ったし
なんかいいのかな
でも悪用されてるんだからしょうがないよねっていうのも
企業の目線から言えば間違いないし
結構難しいなと
あと多分アーカイブのサービスってさ
腐るほどあってさ
キリがないっちゃキリがないよなとも思うしな
そうね
現実はここに書いてあるメジャーどころだけ削除して
それ以外のさまつな似たようなサービスはやってらんないだろうから
強要するって感じなんだろうね現実的には
あとは使用づけするにしてもログは取っておかないとねっていうのが
確かにって思ったんだけど
どれぐらいを下回ったら
ある種の就活を終わりにしていいよっていう敷地をちゃんと設けて
かつそれをそれに対して今どうなのかっていうのが
ちゃんと分かるようにしておこうっていうのは確かに重要な視点で
そこまでやってるところそんなに多くないような気もするんだけど
ないと思うな
結構ここまでちゃんと自分で考え切れるかっていうと
かなり自信がないなってことで
マジで何て言うかな
取り組みとしては何かを新しい事業に取り組むときじゃなくて
割と後片付けだから結構強いおなじみとか持ってる人じゃないと
ここまで真剣に向き合えないよなっていう
そうだね
だいたいなんか軽視されそうだし
そうだね
これあと今後そういう予定がもしかしたらあるのかもしれないけど
ぜひスピーカーデッキじゃなくて
ちゃんと一個のドキュメントにまとめてIPAとかで公開してほしいなと思ったら
もしかしたらIPAもそういう文章出してたかもしれないな
でもそれでいくと
なるほどね
確かにこの資料からリファレンスがないということはどういうことなのか
確かにね
JPRSはあるんだよね
そういうページが
なんかスピーカーデッキでたどり着けるかな
必要な人にこれでたどり着けるのかがなんか
僕はちょっとわからないんだけど
確かにね
このワーキング中華コミュニティがなおされてくる
いい観点が集まってるというかまとまってるし
どこの会社にとってもおそらく有用なものである中で
スピーカーデッキにしか置かれてないっていう状況はなんか
ちょっともったいないというか
発表する側としては別に知らんわって感じかもしれないし
どうしようもない部分が大きいと思うんだけど
なんかどっかに載っててほしいなってちょっと思った
確かに
このポッドキャスト広めていきましょう
引いてないからね誰もね
10回続いて長寿のポッドキャストではあるけれども
なんかでも難しいねこういう
でも永久そうだねなんか
魚卓取っとこうかな
魚卓取ったらスピーカーデッキ.comが廃止されて
魚卓も消されるかもしれない
このスライド消すときに多分魚卓消しに来るんでしょうもしかしたら
ローカルに保存しとくしかないね
いやもうめちゃくちゃいいスライドでした
これはぜひって感じ
はいそのとこっすか
あとなんかあれだ最後チラッとだけど
Amazonのデータ漏洩
最後のページが多分勉強会の現地の
ある教科の方が書いたってね
これはね面白く読んだわ
そうだねってなって
ドメインの管理を改修としてやってる
そうですね
インシデント対応ね
ドコモは直近ありましたからね
はい
じゃあ次行きますか
はい
次はまあ割と
何というか記事
まあそうですね一応読みますけど
Amazon Confirms Employee Data Breach After Vendor Hack
っていうリビンコンピューターの記事ですね
記事の内容としては
Amazonが利用してるなのか連携してるのか
そこがちょっとちゃんと調べないとなと思って
時間なくて調べられてないんですけども
連携してるスタートパーティーの
不動産会社なのかサービス経由で
Amazonの従業員データが結構な数盗まれちゃいました
っていうところの記事ですと
でその盗まれたデータがリークサイトに載ってて
Amazon側もこの情報は漏洩したものです
っていうのを認めてますっていうような感じですね
でそれに関連してAmazonだけじゃなく
いろんな会社がやられてるっていうところも
リストとして書いてあるんですけど
なんか記事自体はそんなにめっちゃ
学びがうるんじゃないんですけど
個人的に思ったところというか
やっぱそうだよねと思ったところとしては
なんでしょうね
結構この職種になって
今まで全く考えてなかったけど
持つようになった視点として
やっぱ今の時代で何でもかんでも
内製でいろんな仕組みとかツールを回す
っていうのはほぼありなくて
いろんなSaaSを皆さん利用してるはずで
それはSaaSっていう形もあれば
GitHub Appとか
Notionインテグレーションとか
Slack Appみたいな
いろんなインテグレーションを
コマゴマ組み上げ
組んでオースなりで一定の権限を渡して
っていうようなことを結構
たぶん数えてしまうと星の数でやっている
一方でその一つ一つに対して
適切なリスク評価とか
見直しとか棚下ろしとかって
できてないことがほとんどだよねって思っているし
とは言え物によってはめちゃくちゃ危ない
リスク高いよねっていうのを持ってて
なんでそのリスクが健在化すると
こうなるのかなっていうので
ちょっと胸に刻んでおこうと思った
っていう感じの記事ですね
刻んでいこうな
どう思いますか
なんかもうむずくないですか
なんか結構無理気だなって
ちょっと半分諦める
諦めちゃいけないんで諦めるとは言わないですけど
結構むずいなって個人的には
思いながら仕事してるんですよね
理想的にはこのケースとかあったら
不動産の会社なんであれば
個人情報を預けざるを得ないから
預かる側としてはちゃんとやってよっていう話に
帰結するのかもしれないけど
別にそこで賠償請求しても
情報が返ってくるわけじゃないし
みたいな
難しいね
難しいけど
そうね
そうですよ
いや
SaaS 管理 SaaS も
ソリューションかもしれないですけど
インテグレーション管理 SaaS じゃないけど
なんていうか
なんか上手い世界になってほしいなって思いますけど
でも Weakest Link とか OK の理論みたいなところの
典型例だと思っていて
結局どんだけ色んなとこ頑張っても
1個ダメだとやっぱこうやって盛れるんだなって
確かにね
そうね 確かに
今回 Amazon も多分ちゃんと
記事中では
Amazon とか AWS のシステムから盛れたわけでは全然ない
っていう名言はしていて
ただサートパーティー側に預けてる情報が盛れちゃいましたっていう
お客さんの情報がなかったのか
多分彼ら的にはまだ
不幸中の幸いというか
なんだけど
って感じですね 確かにね
いやー難しいですね
利便性とのトレードオフだなって
実業務では思いながら
その辺上手くやってるって人がいたら教えてほしいなって
結構思いながら生きてます
はい そんなわけです
そういう気持ちになりましたっていう記事です
Googleのセキュリティ対策
次行きますか
行きますか
大丈夫ですか?思い外れてますか?
いやー何でもないです 大丈夫です
はい じゃあ次行きましょう
えっと 次も多くで
これはGoogleの
カンパニーニュース
セーフティー&セキュリティカテゴリーの
テクノロジーのセーフティー&セキュリティの
カンパニーニュースで
A New Way We Are Helping Others
Track Flaws & Scams Online
っていう記事でして
で これは
まあ その なんでしょうね
まあ なんか前回か前々回も紹介した気がしんでもない
なんかデータベース的なものを
提供しますよみたいな話言ったよね 多分ね
違う?
いや この記事は
そういう話ではないんだけど
多分大枠での取り組みとしては
同じカテゴリーかなと言うかな
ウェブ上とかの詐欺とか犯罪に対して
きちんと対抗していくために
当初していますっていうところの話
で この記事では具体的に
その中でも
こういう犯罪に対して
こういうポリシーを持って
Googleでは対応してますとか
こういう対策をしてますよっていうところが
一個一個取り上げられている記事で
紹介されているのは5個ですね
5個紹介されて
あれかな 夢人なりすまし
なりすますキャンペーン詐欺みたいなものと
暗号通貨詐欺
暗号通貨で儲けましょうって言って
お金をバナー無し取ったり
っていうような詐欺と
あとは正規のアプリケーションとか
ランニングページを
コピーしたものを展開する詐欺
フィッシングみたいなもんですね
ランニングページクローキングっていう
犯罪
Botとかに対しては
外にないページを
返すんだけどユーザーに対しては
詐欺用のページを表示する
表示枠みたいなことをする
手法のやつと
あと最後がメジャーイベントに
合わせて
攻撃キャンペーンを打つパターン
選挙とか
直近だとオリンピックとか
そうですよね
そういうものに合わせて
詐欺キャンペーンを展開するっていうものに対して
それぞれ
Googleの検索とか
こういうもんでは
こういうものは禁止してるから
全部きちんと取り仕舞ってますよとか
そういうものが書いてある感じですね
これってさ
全然関係ないんだけどさ
うん
どっか一個のポリシーに
でもちゃんと全部この
ポリシーへの言及をしてくれてるんだね
そうそうそうそう
いいね
なんでそこを飛べば
こういうのはGoogleでは禁止してるから
取り仕舞るよっていうのが
イメージ的になってて
そうそう
それはねとてもいいですね
で
クローキングとSEOの理解
記事取り上げた理由が
なんていうか
クローキングっていうのをちゃんと
なんかうっすら知ってたけど
あの
めちゃくちゃ詳しいわけじゃないなと思って
ここの午後に上がるぐらい
まあ深刻なんだなと思ったので
ちょっと取り上げてみたって感じですね
でなんかたまたま
別の記事で
同じ期間のところでトレンドマイクロの
SEOポイズニング攻撃みたいな
記事のところがあって
これもその中身読んでみると
結構クローキング案件っぽくて
あの
まあ
偽サイトがSEOで上位に上がって
成績となるように
いろんな手法をやってて
その気持ちのハウの一つとしてクローキングもやってるよ
っていうのがあって
まあ結構
なんていうか
検索エンジン側も
そっちはそっちで大変というか
なんかあんまり攻撃サイトが
SEOで上がってくる原理があんま分かってなかったけど
まあクローキングっていう手法を
見るとなるほどっていう
思ったっていう感じ
エッジコーパイロットの紹介
詰まるところSEOだからね
そのシンプルに
まあ別にある種の
まあ
こういう言い方あんま良くないかもしれないけど
そんなに悪意のないSEOと
多分変わらなくて
うーん
そうだね
結構ねなるほどな
まあでも確かにそのポリシーみたいなところがね
照らし合わさってるんで結構
まあ詰まるところGoogleとしては
ちゃんとやってんぜっていう
人もあると思うんですけど
なるほどね
有名人なりすまし詐欺とかもね
Facebookでめちゃくちゃ問題になってますけど
まあ
頑張るしかないですね
まあでもなんか知っといて面白いかな
うん
いや面白い
うん
はい
こんな感じでございます
今日少ないんだよね
そうだねちょっと少なめだね
あんまり
なんかコニファーさんのブログから
これ別に
無理に尺埋めなくてもいいし
まだもう一個記事あるから
ちょっとこっちお願いします
コニファーさんのブログから
オフトピ拾ってこようかな
いや面白すぎるだろ
はい
お願いします
まあなんか
コードブルー行きましたそういえば
コードブルーは行ってないですね
なんか
予定があれです
祖父のベージュ
ベージュ祝いとか来たんで
行けずでした
残念
なんか今週コードブルーあるからスライドいっぱい来そうだね
みたいなこと実は事前に話してたんだけど
その結局
この一個しか拾ってなくて
まあ来週
流れてくるかもしれない
いやでも当日流れてこなかったら
もう流れてこないでしょ
私のタイムラインが弱すぎるのかもしれない
それか実はあんまりスライド流してない
とかなのかな
ちょっと分かんないけど
まあまあ何せよ流れてきた中で
これはと思ったものを持ってきました
パイロッティングエッジコーパイロット
という
こがつさんのコードブルーでの発表ですね
もともと
ちょっと前いつなのか分かんないけど
僕の知る限り
ちょっと前までマイクロソフトのエッジの
セキュリティチームにいて
今はGoogleのWebセキュリティチームに
いるそうです
MSの前も
Googleだったんじゃないかな
確か
ちょっと覚えてないんだけど
これは
バッグカレーやバグハンターなんで
面白いんだけど
要は
エッジのセキュリティチームにいると
エッジのバグバウンティはもらえない
みたいな
前も確か
Chromeとかに
関わってたのかな
Google全体が多分そうなのかな
分かんないけど
Googleのバグバウンティは多分今もらえなくなっちゃってるんだ
と思うんだけど
逆にエッジのバグバウンティはもらえるはずだから
分かんない
でも退職後も一定もしかしたら制約がかかるのかもしれないけど
何年間かね
面白い
エッジコーパイロットの
話ですね
タイトルの通りで
これ説明すんのか
しんどいな
動画とかどっかにあがってないかな
それ見てください
終わりにしたいんだけど
多分ね
3つ
見つけた脆弱性を紹介してくれてて
2つ目まで読んだんだけど
3つ目は時間なくて読み切れてないです
前から順番にいくと
そもそも
エッジコーパイロットって何
っていう
話ですね
エッジのサイドバージョンで
コーパイロットが利用できるよってやつです
バグハンター観点でいくと
アクティブなタブへのアクセス
アクティブなタブのコンテンツへの
アクセスをまず持ってますよ
っていうのと
高権限のAPIが
たくさんそこに対して
公開されてるっていう状態が
まずあるよっていう話があって
具体的には
エッジコロンスラスラディスカバーチャット
のWebUIが
高権限のAPIに対してアクセスを
利用できるよっていう状態らしいです
コーパイロットのUIそのものは
edgeservices.bing.com
っていうところでホストされてるらしくて
コミュニケーション要は
WebUIの
エッジのネイティブのその画面と
実際にコーパイロットのUIがホストされてるところ
とのやりとりっていうのは
iFrameを通じて
iFrameをまたいで
っていう言い方のほうがいいのかな
またいでポストメッセージで
やりとりしてるらしいです
この辺はたぶん
言葉で説明しても分からないんで
スライドをぜひ見てほしいんですが
まだまだいくつか特徴があって
エッジのディスカバーチャットのWebUIは
プラザのインターナルページですよと
さっき見たとおり
エッジのマルチのネイティブな画面ですよと
いくつか
スペシャルな特別なケーパビリティ
っていうのがあって
例えばカメラとマイクへの
アクセスがデフォルトでついてるとか
いろんなパブリックだったり
プライベートだったりいくつか
エクステンションAPIっていうのがあるらしくて
これは何なのか分からんけど
たぶんJSのコンテキストでアクセスできる
APIだと思うんだけど
あとは
スペシャルモジョーインターフェイス
っていう
これなんだろうね
ちょっとよく分かんない
あんま出てこなかった気がする
もしかしたら3つ目の話
まだ読んでない3つ目の話
当然なんていうか
結構際どい機能なので
かなりガチガチに
セキュリティ効かせてて
具体的には
CSP
トラステッドタイプス
あたりがカッチリ入っていて
カッチリ入ってるSPAですよと
ついでに
CSPエンベテッドインフォースメント
っていうのも聞いてるらしくて
CSPのエンベテッドインフォースメント
もしかしたら聞いたことないかもしれないんだけど
ネステッドなフレームに対して
CSPの
ミニマムのポリシーっていうのを
強制するような
仕様があって
なのでトップレベルで定義している
CSPの
ポリシー
トップレベルのウィンドウオブジェクトから
順番に
ネステッドなフレームに対して
最低限これだけの
CSPの要件を満たしてないと
君はもう表示も何もできないよ
っていう状態にしてあげる
あれ?表示も何もできないのかな
いや合ってるはず
多分だけど
違ってたらごめんなさい
強制するポリシーがまずありますよと
なるほど
セキュリティと脆弱性の考察
読みましょう案件
マジ読みましょう案件なんだけど
俺がこれを説明するのも
恐れ多いというか
これ動画あんのかな
ぜひ動画見たいね
顔出ししてないと思うんだよね
こかつさんが
じゃあNG出してるかもしれない
動画
撮ってるかどうかも分からんし
多分経験上
オフレコトークもしてるんじゃないかなと
は思っていてスライドそのまま
喋ってない気がするんだよね
あれだよね
イベントの性質上も
そんなにパブリックに
したくなさそうな気がするし
捕まりたくないから
捕まりたくないっていう方
ちょっと語弊があるけど
そんな感じで
エッジディスカバーチャットの方が
かなり強いので
すごくタイトに
結びついてる
www.bing.comの方を
見ましょうっていう方針で
そっちを見に行って
iFrameの
ソース
srcに値を割り当てられるメッセージリスナーが
www.bing.comの方に
あったらしくて
ポストメッセージ経由で
そのメッセージのリスナーに
XSSのペイロードを
渡してあげるとiFrameのsrcに
それが入りますよと
なるほど
見つけるな
そうすると
結果www.bing.comの方で
XSSができますよ
っていう状態になっていて
これがどうかかってくるかっていうと
エッジはプライベートAPI
いくつか
エッジの中の特定のAPI群を
bing向けに公開しているらしくて
具体的に
太字で言及されてるのが
Edge Split Tabs Privateっていうのと
Edge Marketing Page Privateっていう
2つのAPI
7つ目の
Edge Split Tabs Privateが
Split Tab
っていう機能が多分あるっぽいんだけど
それを
コントロールするためのAPIらしい
それ使うと
ポップアップブロッカーをバイパスできるらしい
んですよどうやら
ポップアップって概念じゃなくなるので
そういうことか
もう一つの
Edge Marketing Page Privateっていうのが
名前の通りマーケティング関連の
APIなんだけど
任意のプロンプトをEdge Copilotに送れるらしくて
BingのXSS技術
どうして
知らんけど
そういう感じになってるらしくて
だからwww.bing.comで
XSSができるということは
この両者のAPIに対しても
アクセスができるので
ここまでをまとめると
ビングの上でXSSがまずできます
任意のサイトをポップアップブロッカーバイパスで開きます
任意のプロンプトをEdge Copilotに送ります
任意のサイトじゃないや
任意のアービトラリーウェブサイトだから
任意のサイト
でいいのかな
いいのか
ちょっと待ってね
アービトラリーウェブサイトだから
多分ちょっと意味合いが違うのかな
ページを
ちょっとごめんなさい
今もうだめだ
読み進めながら処理できなくなっちゃってるから
もう無理なんだけど
とにかくそんな感じで
任意のプロンプトをEdge Copilotに送るっていうところまで
たどり着くんですよ
そうすると次のステップとして
何があるかっていうと
実際にページのコンテンツを
サマライズさせて
Bingのチャットヒストリーから取れるんじゃないかと
Bingのチャットヒストリーには
XSSでもアクセスできる状態ができているので
Copilotにページコンテンツをサマライズさせて
そこに吐き出させれば
ページのコンテンツが抜けると
Edgeで開いているページのコンテンツが抜ける
なるほどね
ウェブコンテンツをヒストリーに入れない
プライバシーフィーチャーがあるらしくて
デフォルトで多分有効になってる
ページに関係ないプロンプトを挟むと
バイパスできるよみたいな
デモがYouTubeに上がってるので
もし興味があったら見てみてくださいと
面白い
疲れた
Edgeコーパイロットの機能
お疲れ様です
これで3分の1しか終わってない
一番これが多分メインだと思うんだけど
あと2つあって
次が
ぜひブラウザリングしてたら
ドキュメント.タイトル
開いてるページのドキュメント.タイトルが
コーパイル.上で
XSSを起こすっていうのに気づいたらしくて
そのまま使うとただの
HTMLインジェクションで何もできないんだけど
それをどう
消化させますか
っていう話を
紹介してくれてる
これは言葉じゃ
できないよな
しんど
しんどいな
続きはwebででいいんじゃない
続きはwebででもいいんだけど
これ面白かったんだよ
面白かったんだよ
僕の書いたサマリーを読んでいくと
bingのiフレームへのパーミッションデリゲーション
って書いてあるんだけど
bingのiフレームにパーミッションデリゲーションをしてますよと
パーミッションデリゲーションって何かというと
トップレベルのページからクロスオリジン
iフレームに対してパーミッションデリゲートできるよ
っていう機能があって
このサマリーでは
僕がノーションにまとめてる本のサマリーですね
失礼しました
さっき
EdgeのWebUIが
EdgeのコーパイロットのWebUI
なのかな多分ね
カメラとマイクのパーミッションデフォルトで持ってるよ
って話をしたと思うんだけど
htmlインジェクションを使って
任意のサイトにこのパーミッションを渡せないか
っていう試みを
してた
しようっていう方針で
いろいろやってたんだけど
安直にいくとCSPのフレームSRCで
任意のサイトにっていう部分が満たせなくて
弾かれるので
ゴニゴニしないといけなくて
話がややこしくなってきましたが
結局
ドキュメント.タイトルに
入れた任意の値が
Edge Web UIの
Edge Web UIの
そのコーパイロットのUI上に
new tabへのリンクを
htmlインジェクションしますと
ドキュメントタイトルから
new tabへのリンクをコーパイロット側のUIに
htmlインジェクションしました
そのリンクから開いた
アタッカーページ
そのリンクからそのリンクを
開くと
開いた先の
アタッカーページから
Edge Web UI内の
iFrameへのオープナーのリファレンスが
得られるよと
続けてますか
続けてください
ウェブセキュリティの考察
その状態で
開いたアタッカーページ内から
www.bing.comへの
ポストメッセージ経由で
さっき出てきたやつですね
そうすると
フレームを辿って
オープナーリファレンスを経由して
最終的に
EdgeのWeb UIの
中に入っている
マイクとかへのアクセスをゲットできるよ
なるほど
37ページから
その辺の話が
図で書いてあるから
読んでもらえれば
すっと理解できると思うんだけど
知ってる用語しか出てきてないでしょ
知ってる用語しか出てきてない
はずではある
はずではあるけどね
iFrame
言い訳ですけど
iFrameなんてさ
こんなに
iFrameの
使用を脳内で
すっと変換できないわ
普段触んなすぎて
あー
なんで
触らないから
触ったほうがいい
触ったほうがいいか
この業界に目指すのであれば
触ったほうがいい
そっか
触るか
頑張って勉強しようと思います
これが2つ目
一応次が
もう一個あって
これはごめんなさい時間がなくて
読めてないので
面白そうなので続きはウェブでということで
多分これ説明できない
気がするな
いやーこれ動画ないなー
いやでも頑張ろう面白そう
いやー俺の憧れた
ハッカーって感じがするね
そっかAI経由で
なるほどね
これ多分修正済みなんだよね
おそらく
ですかちょっと
エッチコパイロット
はなんで
ネイティブじゃなくて
なんかウェブ上
みたいな挙動をするんだろうな
そのほうが実装楽だったからかな
Chromeとかどうなってるんだろうね
ジェミとか
全然使ってないけど
似たような実装になってると思うけどね
うーん
なんかそのウェブ方面で
生成アイ周りの
標準化みたいなのが
進んだりしてるんだけど
なんていうかその辺
とかを組み合わせていくと
XSSとか
ウェブ周りのインジェクションの夢が
なんか
夢って言ったらあれだけど
広がっていきそうだね
なるほどね
だってさ
ありとあらゆるものが
ウェブの世界で動いてるわけじゃないですか
Chromeのエクステンションとかもそうじゃん
あれCSPがちゃんと使えるじゃん
オリジナル概念が
あそこに存在してるんだよね
うんうん確かにそうか
確かに
えーっと
about.blank
about.blankのオリジンって何?
とかね
あー
なるほどね
そうそういう世界よ
あとはChromeの
ニューページってあるじゃん
新しいタブ開いたときの
うんうん
デフォルトの画面あるじゃん
あれも一応self.origin
見てあげるとChromeコロン
すらすら
ニュータブページっていうのが
オリジンとしては存在してるのよ
ほんとだおもろ
なるほどね
よう
面白いね
この辺もなんかブラウザーハックっていう本が
あると思うんだけど
うんうん
ムネ屋さんとかが多分
翻訳してたやつかな
あーこれ
いやー
昔買って読んでないわ
これ読んでないんだったら読んだ方がいいと思う
なるほど
すごいなほんと
これもしかして廃盤?
新品あるよねよかったよかった
うん買えそうだけど
俺これどうしたっけ売っちゃったのかな
分厚かった記憶はめっちゃあるね
ちなみに僕は自炊しちゃったんで
ht
違う違うpdfで持ってますね
ブラウザ
あやっぱそうだ
いやー
物理本買い直そうかな
ゆうやさん今探してるみたいです
私も手元に今ないので
買い直そうかな
ねえいつなくなってしまうか
うん
これはね
いい本なんだけど
いい本なんだけどさ
この
常に古くなり続けていくから
この辺
ブラウザ周りは
ベースとして
まあ共通して考えるものと
そうじゃないものの区別はつけられるんじゃないかな
歴史を辿っていく
のと
なんて言ったらいいんだろう
さっき言ったじゃあ
デフォルトコロンブランクのオリジンって何
みたいな話とか
えっとchromeの新しいタブ開いたときの
デフォルトの画面の
オリジンって何みたいな話とか
その
どういうコンテキストで何が動いてるのか
みたいな話とかって結構大事で
うん
ベースとしてベースの考え方としてあるので
うん
大事なことであるから
ありがとうございますちょっと読みます
いやー買うかまた
いい機会だし買おう
買いますか
儲けてるんだから
いやいやいや
キリがないんだよ本はまじで
キンドル版ないの
キンドル版あるじゃん
うんキンドル版もあるみたいですね
うんキンドル版買うわ
ああそうっすか
キンドル版買いました
いやー
いいなこういう世界にどっぷり身を
使ってみたい人生だったな
いやー人生だったよ
俺は無理だった
すごいね
まあここまで
まあ
ChromeチームとEdgeチームを行き来するような人は
こういうレベルっていう話
うん
Chromeのチームはね
あChromeではないのか
何やってたのかな
もともとGoogleだったかどうかすら
僕ちょっともう若干記憶がやふやなので
わかんないんだけど
まあでも今Googleにいるのは確かで
今GoogleのWebセキュリティチームにいるのは
確かだから
まあ行き来するような人ですよ確かに
うん
いやーバグハンター10年か
ちょっと思ったけどこの
どっかのスライドで出てきた検証用だと思うんだけど
その
あの
ドキュメントタイトルに
ペイロードを突っ込んでるサイトを常にホスティングしてるのは
なんかちょっと
なるほどなと思った
あーこれ何
普通に今も生きてる
生きてるのかなって勝手に解釈しちゃったけど
リプレイ.fmの名称変更
アクセスしてみるか
あー
生きてないか
生きてる生きてる
なるほどなと思ってこれちょっと便利だな
便利な
便利道具なんだろうなと思って
127.0.0.1
に向けた
あの
ドメインを持っとくとかね
あーなるほどね
確かに面白いね
あとは
アラートを発火させるだけのJSファイルを
どっかに置いとくとか
はいはい
なるほどね
いいね
ありがとうございます
なんですか
そんな感じです
いやー面白かった
コードブルー
行きたいなー
そうですね
AV東京もそうなんだけど
毎年来年は行きたいなーって思って終わってるから
来年は一緒に行きましょう
僕は
コードブルーって今いくらするんだろう
ん?
コードブルーって今いくらするんだろう
いやー結構高かったはず
うーん
おーって思った記憶があります
早期割で78000ですね
あー結構するね
うん通常98000
うん
当日券は12万8000
うん
ビジターチケットって何
あービジターは
メイントラックは兆候できないけど
それ以外は入場
あー入場だけできるってことか
えーそれはあんまな
まあまあ別に
そうだねネットワークパーティーの参加とかもね
うーん
いやー
AVTOKYOもなんか似たようなものというか
AVTOKYOは思ったより安いよ
あーほんと?
あー12000か
9000あほんとだ全然
今年は
久々に個人スポンサーのあれやんなかったけど
うん
大体毎年個人スポンサーで出してる
あーそうなんだ
うん
いやー行きたいっすね
はい
AVTOKYOと子どもでお会いしましょう
1年後に
なんかツイッターアイコンの
Tシャツ着ていかないと
はい
いやーもうそんな年じゃないよ
ひっそり
ひっそり漂うぜ
いいやんアピールしてこいよ
あーそうするか
うん
リプレイ.fmのTシャツ作っていけばいいじゃん
あー確かに
なんかロゴ
ロゴかっこよくしたいなーなんか変え中しようかな
なんなら名前も変える
名前
ちょっと一つ思ってんのは
カタカナリプレイ.fm
にしたい気持ちがなくはない
あーハッシュタグ
そうハッシュタグと
ググラビリティ
あと
リプレイ
カタカナリプレイ.fmだったら取れるっしょ多分
ドメイン
ドメイン.fmはねなんか
fmじゃないんだけど
海外のなんかサイトがあって
ちょっとすまんなっていう
気持ちになるから
あれはいい話.fmは
いい話.fm
いやー
まあ
まあなしじゃないね
いい話
いい話.fmググラビリティどうなんだろうな
いけんのかな
まあ今いけるかな
でも別にいい話してるわけじゃないからな
いやしてるけど
してるっちゃしてるけど
そうね
まあちょっと考えますか
第20回の時にまた議論しますか
まあでも
あれだよ
後になればなるほど変えづらいよ
まあ確かに
あとそのポッドキャストにおいては
喋ってるから
そのしれっとカタカナリに変えても
何も問題ない説はある
確かにね
公開記事も
しれっと変えてもたぶんバレない
微妙ですか
いやまあ確かに言われてみればそうだなと
そう
いや別にアルファベットなんて言ってませんけど
って顔して
カタカナにすればね
全然問題ないですよ
全然いいかも
それもありかもな
でもあの
モザイク.fm的な
なんかあの
地面に憧れがあるんだよ
リプレイ.fmの
Rが大文字なのもなんかちょっと嫌なんだよ
なんかすみません
全然いいんだけど
いやでもこれも別に今から小文字にしても
多分何も問題ない
大文字なんて
言ってませんけどみたいな
エピソードの振り返り
顔すれば
いやモザイク.fmいいよな
そうね
なんかないかな
探したんだけどね
作ろう始めようって
あれした時にね
名前どうするっていう話
なんか
そうねまあ難しいね
いや
まあまあまあ
お余裕考えていきましょう
思いついてくださいお願いします
じゃあそんな感じで
おしまいにしましょう
心残りないですか
心残り?第10回?
はい
第10回の終わりがこんな平凡な感じで
いいんですか?
いいでしょう
なんかジングル欲しくない?
えージングル
じゃあちょっと
次回までにオノオノ作ってきて
オノオノ作ってくるの?
センスよ
いいじゃんギターでなんかさらっと
弾いてなんか
なんか弾けるでしょ
なんか弾けるでしょハラスメントな
なんか弾けるでしょハラスメント
じゃあちょっと考えるわ
いいスピーカー買っときます
なんかさあの
まあいいや
いや違うよ
記事と記事の間をさもっとはっきり
スパッとなんか切りたいなとかさ
あーいやー
あーまあ
まあ
わからんくはないけど
いやそう
まあそうね
まあちょっと
応用相談しましょう
はい
じゃあ今回こんな感じで引き続き
頑張りましょう
はいおやすみなさい
記念すべき11回ということで
はいおやすみ
お楽しみにおやすみなさい
おやすみなさい
