オープニングとリスナーからの便り
こんばんは、Replay.fm 第88回です。
こんばんは。
こんばんは。
11回ぶりのゾロめ回。
11回ぶりのゾロめ回ですね。はい。
次は11回後にお会いしましょう。
そうですね。次は11回後にお会いしましょう。
その次は、11回後じゃないのか、もう。
その次は12回後かな。
111だよね。
その次がやばいな。
その次はもう111回後かな。
うんうん。
ダゾロメを楽しめるのは、今だけ。
うん。
中身、いやー、この…まあいいや。
相当くだらない。
いや、めちゃくちゃくだらない話しだなって。
まあ…
まあ、ふっといたらいいですけど。
なんせに、このポッドキャスト自体相当にくだらないものですからね。
そうそうそうね、くだらない。
記事はくだらなくないけど。
僕らのポッドキャストはね。
そうね、記事はね。記事はくだらなくないけどね。
なんか別に、世の中の素晴らしい記事にフリーライドしてくだらない話をしているだけのポッドキャストなんで。
はい。
はい、そうなんです。
いつもそうやんなってます。
いつもそうやんなってます。
はい。
今日はですね、お便りが一件来てまして。
すごい。
思おうかなと思いますが。
前回もアイザックの話にお便りいただいたR1さんという方からお便りいただいてて。
多分、いつか忘れた前回前々回かなんかに、
LLMの標準化団体が新しくできたよって記事に関してのコメントなのかなと思うんですけど。
ちょっと長いんですけど、読みますと。
LLMに限らずガイドラインとかフレームワークがありすぎて参照すればするほど疲弊しますね。
リュードやアプリウォッチの違いはあれど、
CISにストーアスプシアライン経路は違いますが、
アイターとか国内でも管理系は業界や監督省庁があって、
突き詰めると中身は同じこと言っていると思うのですが。
世にあふれるフレームワークととの整合性はLLMに任せればいいよね、
になりつつある気がしますが、
じゃあLLMについては振り出しに戻る。
下は、読んでもいいか。
某フォワードは昨今の金融系はサードパーティーリスク管理が最優先事項なので、
説明責任を含めて慎重になっていたと思います。
とはいえ、マネーボーの先には利用者がいるので、
メガ板系が再開したら、
それを安心材料に再開しがちなところがあるかと思います。
きっと今頃ほとんどが再開しているでしょう。
これ予言通り、ほとんど再開していますね。
今後は契約時のデューデリで、
開発系の状況確認が強まるのでしょうね。
SCS制度含めサードパーティー管理が実施するセキュリティチームにとって、
無理切れにならないことを祈るばかりですと。
ありがとうございます。
なんかこの方、前回も思ったけど結構エンプラに近いところで、
こういうアバナンスじゃないけど、
マネージメントに近いところの知見があるのかなという感じ。
感じるんですけど、
SCS制度って何だろうな。
サプライチェーンセキュリティ…
SIのSがわからん。
あの…
なんて言ったらいいんだろうね、
俺らが普段話してないほうのサプライチェーンの話。
そうだね。
あれだ、いつかでNRIセキュアの記事でやった星のやつか。
SCSって略すんだ。
星のやつか、まさにそうなのか。
星3つまでは自己評価で、
星4、星5は第三者評価で、
そのサプライチェーン先に星何個取ってますかっていう世界観を目指してますみたいなやつ。
どうなんだろうねみたいな。
多分1年前、2年前ぐらい話したのかな。
4月21日にちょうどSCS評価制度、IPAのやつが出た。
何の略称か知りたいんだけど、Cが。
評価?評価?アセスメントじゃないの?対策?
まあいいや。
そうですね。
確かにLLMに限らずっていうのは本当に…
そうですね。
分かる?
特に僕はセキュリティ掛け出し、
今も掛け出しと言っていいかもしれないけど、
心はこういうのあって、これ見とけばいいっすよみたいな。
いくつか教えてもらって、
どれが何の役割になるんだろうみたいな。
そのなんか…なんだろうな。
その…マインド…マインドマップじゃないな。
なんて言うんだろう。
なんか脳内の作品がうまく紐付けられないというか、
こういう場面ではこれが役立って、
こういうことを考える時はこれがあってみたいな。
自分がなかなかうまくいかなかった記憶があるんで。
なるほどね、という感じはしますね。
某フォワードはそうですね。
めちゃくちゃ大変だったんでしょうけど、
思ったよりは早く再開したかもね。
今5月19日に収録をしておりますが。
1ヶ月かかってないんじゃないかな。
そんなもんか。
そうかもしれない。
4月の末だった気がするね。
そうだよね。
もちろん濁す意味はないんじゃないですか。
マネーフォワードさんの対応が素晴らしかったのか。
素晴らしかったんでしょうねっていう気はするんですけど。
でも1ヶ月は大変だよ。
ほぼもうフレルリソース振ってやっただろうなと。
早いと見るか遅いと見るか。
だって1ヶ月止まってるんでしょう。
それはやばいよね。
でも連携先の、
分かんない、ちょっと知らない世界すぎるけど、
連携先を考えると、
チャーンって言うんですか。
彼ら目線のチャーンというか、
本社とAPI連携しないよって言われても、
それは保守的な態度じゃないけど、
おかしくないのかなって気がせんでもないけど。
あれ申し立てすれば返金されるんだよね。
そうなの?
わからんっていうのを見かけたけど、
条件とか何も調べてないのと、
申し立て自体めんどくせえから、
嫌って放置してるんだけど。
結構、なんていうか、
そうだね、どうなんだろうね。
パッと調べた感じは、
出てこないけどな。
サポートサイト。
利用規約引っ張ってきて。
保証等に対応につきましては、
現在検討中ですって書いてある。
利用規約かそうかだから、
規約上はっていう話か。
そうそう、規約上は、
SLA的な項目があるのかな、もしかしたら。
サービス継続性保証っていうのがあって、
99.5%以上維持することを
保証しますっていうふうに書いてある。
返金に関しても言及があるね、明確に。
でもその99.5が何を指すかで、
全然話は変わるから。
本サービスの稼働時間を追ってなったときに、
ボタンしか書いてないから、
本サービスの稼働時間
いつ何みたいな。
基本的には一部機能が使えなかったら
稼働してないっていう定義はしないと思うから、
今回は対象外だと思うけどね。
アプリがもう立ち上がらないか
1ヶ月かかったら多分入ると思うけどさすがに。
相変わらずなんていうか、
言い方あれですけど騒いでる人たちは騒いでるというか。
使えないと困るって気持ちはわかるんであれですけど。
仮に保証するんだったら、
もう一括で1ヶ月分請求しませんとか
そうしちゃう気はするけどな。
オペレーションの負担を考えると。
そう思うわ。
一個一個対応する方がかえって
コストがかかるというか。
確かにね。
でもお便りありがとうございます。
励みになります。
引き続きGoogleフォームXハッシュタグ。
Xハッシュタグ最近見るのサボってるんで
ちょっとこの後見ますが。
お便りお待ちしてます。
本編いきますか。
OpenAI Privacy Filterによる個人情報コミット防止
いきましょうか。
はーい。
じゃあ1個目お願いしよう。
山崎を読むか。
記事は実は読んでないんだけど。
オープンAIプライバシーフィルターをプレコミットフックに入れて
個人情報のコミットを防ぐという
個人の広記さんっていう方の。
前にも何かの記事紹介したよねこの方ね。
セキュリティ系とかCICD系の記事を結構書いてる。
の前の記事ですね。
前回触れたオープンAIプライバシーフィルターを
使ってみたよっていう話で
プレコミットフックに突っ込んで
いろいろやるよっていう感じですね。
ほぼタイトルままっていう感じなんだけど中身含めても。
なんかreadme読んでたから
プライバシーフィルターのほうのreadme読んでたから
シュッと使えそうってイメージはあったけど
思った通りシュッと使えてそうっていうのが
手を動かして
実際に手を動かしたログとして残ってるのが良かったのと
あと言うてもLLMだから
実行時間が云々みたいな言及があって
そこはちょっと
実業務で本当に使うんだったら
工夫しないといけないかもなってきましたな。
確か具体的な元気がどっかになったけど
そのコミットする行数が
3桁以上とかになってくると3分ぐらい実行に時間かかるから
昨今のLLMがガンガンガンガン
大量にコミット積むみたいなところにかませるってなると
まあね、きついね。
かつマシンのスペックに依存しちゃうから
マシンのスペックが低かったらもっと3分以上かかるっていう可能性があって
結構
でも事後コミットは嫌だよねみたいな部分は
事後コミットっていうか事後チェックね
コミット後のチェックね
そうだね
だからそこはなんか
例えばだけど
ハイスペックな
こいつが動いてるだけのマシンに通信しに行って
渡すとか
いやでもなあそこにコミット全部行くのやだなあとか
まあそこはプッシュ前にだけチェックしてとか
いろいろ考えたけど
どうだろうなって思いつつ
まあでもめちゃくちゃありがたい素振り記事だなって感じがしますね
なんかコミット後にっていうのは嫌とは言ったけど
なんか言うてプッシュしなければ取り返しはつくよなと思ってて
そうだね
なんかその
かついやまあどうなんだろうな
なんかAIに欠かせてそんな個人情報入ってくることあるのかな
そもそもの
あんまりなんかそういうのは出してこないイメージがまずあるのと
なんかその意外とその行数が多くなるとっていう部分の問題は
なんか実はそんなに大きくないんじゃないかっていうのがまず一つと
コミット後はめんどくせっていうのはその通りなんだけど
まあなんかまず人間はやらかさないように気をつけてます
AIは別に何よくわからんけどそんなそこに入ってくるって
あんま想像つかないよねみたいな話がまずありますっていう前提において
なんかまあコミット後にどうこうする何とかするみたいなのって
そんなになんか発生頻度が高くなければめんどくさくないよねと思っていて
そうするとなんかプッシュルールセットに
GitHub使ってるところだったらプッシュルールセットにさ
なんか組み込まれててくれれば個人的には十分だなって思っちゃう
まあでも現状の仕組みだと多分無理だよね
今の仕組みだと無理だね
プッシュルールセットはなんか
どっちかっていうと多分シークレットディティクションの方の仕組みに近いのかな
今のってことは
そもそもなんかGitのプッシュをフェイルさせるというか
まあプッシュルールセットもそうかそうではあるんだけど
あとなんかそうやらかすとしたら
AIとか人間のミスっていうよりは
なんかそういうルールだっていうのを知らずにコミットするパターンの方が普通にある
ああそうだね
オペレーションのためになんか
一時スクリプトでお客さんの名前バーってCSVに書いて
コミットして
ダメだと知らずにプッシュするみたいな
雑にGitアドオールしてたとかね
ああ確かに
とりあえず置いてたものがね
はいはいはい
そういうのもありそうだね
まあ一定なんか意味はあると思うし
プレコミットフックでやれれば
それに越したことはないよねっていうのはあるんだけど
まあただ別に毎日毎日起こるかっていうと
そんなこともないよねと思うから
個人的にはね
そうだねいやそう思う
プッシュの時点で走ってくれれば
別にローカルにあるコミットだけだったら何とでもなるわけだから
難しいところだね
まあなんか開発
このOpen Privacy Filter Bits自体は
開発だけじゃなくていろんな場所で使えるものではあると思うから
一つのトライとしては面白いし
Googleドライブに変なもの置いてないかを
デイリーでスキャンするみたいな
そういうのに使うとかでも
そうね
いいんだろうなって思うし
物凄くってのはいいっすね
いいね
使えるっていうのがいいよね結構
しかもね無課金と言いますか
ローカルで動かせば
しかも現実的にその
普通に普段使ってるPCで動かせるっていうのがいいよね
いやーなんか進化を感じるね
ローカル
GPUがなくてもいいんですかみたいな
どういうスペックで動かしたとか書いてあったっけ
そこ結構大事だね
特に具体的には書いてないかな
まあでもなんか
わかんないけど
ゴリゴリの環境だったらゴリゴリの環境って書いてくれる気はするから
普通の一般的なMacBook Proとか
何だろうなと思って
えーちょっと動かしてみたいな
なんか全然最近プライベートのPCで
作業できてないからなんか
やってみようという気が
これこのまんまやっていけば動きますよ
ありがたいことに
渡りに船の記事がありましたね
プレコミットフックに入れようとは思わないんだよな
あーまあ
そのCLI自体はさ
うんそれはとりあえず試してみるの全然アリだ
やってみるか
そんな感じかな
じゃあ
ピップなんだ
Git経由なんで
本家が侵害されなければ
昨今のあれには巻き込まれないはず
まあでもOpenAIやられてたな
従業員
被害少ない
あったねーそういえば
そんなサプライチェーンの話もありますが
そうじゃないやつ一個いきますと
MITOSを用いたカールコミュニティの脆弱性探索
次の記事は
MITOS Finds a Carbon Ability
前に
AIストロップでブチ切れてるカールのメンテナー
開発者の人のブログを紹介したと思うんですけど
その人の別の記事を持ってきましたって感じですね
どういう記事かっていうと
タイトル通りMITOSの
パートナー
いわゆる非公開モデルなんだけど
使っていいよっていうパートナーに
カールコミュニティっていうのが
選ばれましたよっていうので
じゃあ使ってみようっていうので
MITOSを使ってカールの脆弱性を探してみました
っていう話を
割とセキュララに書いてるって感じですね
流れをさらっと話すと
さっき言ったように
プロジェクトの対象に選ばれたんで
使っていいよとなりましたと
もともとMITOSだけじゃなくて
いろんな誰もが使えるLLMを使って
カールのバグとか脆弱性探すっていう活動も
もともとしていて
結構割といろいろ見つけられたり見つけられなかったりとか
あとはそのマイアイスロップの問題はありつつも
全員のセキュリティエンジニアからの報告みたいなのが
AIの補助によって
結構質が上がってきたみたいな実感もある中で
MITOSの話が来ましたよっていう感じっぽかったと
これがFirefoxとめっちゃ大きい差分だなと思ったんですけど
MITOSをどう使うかみたいな部分で
結構特別な使い方はしてなくて
例えばプロンプトめっちゃ頑張ってチューニングする
みたいなのをしなくて
普通に使ってみたみたいな部分がありましたと
なのでハーネス的なのがあってとかそういうのじゃなくて
シュッと動かしてどうだったかみたいな部分で
シュッと動かしてよかったらいいなぐらいのテンションで
動かしてみましたと
動かしてみた結果が結論から言うと
5個脆弱性だよっていうのをMITOSは言ってきたんだけど
そのうち3つが誤検知かな
誤検知で1つはちゃんと脆弱性で
もう1つはただのバグだったんで
見つけられたのに1件だったよねみたいな部分で
そこは何というかちょっと批判的な聞き方をしてあるというか
1個見つけられたものの世で騒がれたような
これを何か世界に公開したら
ゼロデイで世界が終わるみたいなものではないんじゃないかというか
マーケティング成功してますねみたいな
ちょっと皮肉みたいな欧米チックな書き方をしていて
ただ一方で用語じゃないけど中立的な話としては
元々結構カールでいろんなモデルを使って脆弱性を見つけたり
またそもそもAI以外の脆弱性を見つける仕組みとかプログラムにも
めちゃくちゃ投資をしてきた部分があるから
そもそもカールというものに潜在的な脆弱性がそんなに多くない
あんまり地雷が埋まってないところだったから
見つけられないボコスか価値が発揮できなかったんじゃないかみたいな
分あるんじゃないかみたいなことを言っていて
なんで片透かしな部分もありつつ
でも元々そんなに
なんでしょうね 潜在的にヤバいものは見つけられきってたんじゃないかみたいな部分を言いつつ
今まで見つけられなかったけど見つけられたものっていうのはなかったねっていうのが
カールにおいては結論でしたよって話がこのブログで書かれているところっていう感じですね
なんで結構Firefoxと対照的であんまり使っても効果なかったとか
元々ちゃんとやれてたみたいな部分があったっていう話もそうだし
またMUTOS出ましたポンって使いましただけで
これがFirefoxみたいにちゃんといろんなものをチューニングしてたら
実は見つけられたものがあったのかとかちょっと神の味噌汁って感じなんだけど
少なくとも一般メディアの見出しになっているような銀の弾丸かと言われると
多くの場面で必ずしもそうではないって話は言えるは言い過ぎだけど
一つの判例としてはこういうのもあるんだなっていうのが
貴重な話かなと思ったんで紹介という感じでした
なんか難しいね
このモデルの差分みたいな評価って評価手法もいろいろあるのかな
出てきてるもんね 出てきているけど難しいね
詳しくないけどベンチマークは多分いっぱいあって
ソフトエンジニアベンチマークとか多分JQTのベンチマークとかもあって
でもぶっちゃけ僕らLLM非ガチ勢からしたら
そのベンチマークの有効性というか分かんないよね
信頼にたるものなのかとか実業務で使えるかどうかはまた別の話やね
みたいな話とかもあるし
基本的なベンチマークってさすがにLLMのやつは中立的なとこが作ってる気がするけど
マノードJS以外もそうなのかもしれないけど
スピードのベンチマークあるあるで結構有利な条件でやったやつをバンってリードミニに載せるみたいな
批判するみたいなノリというか
そういう批判してるっていう光景がノードJS以外でたまに見かけるんだけど
そういうの見ると
個人的にはミトス出ました
なんかのベンチマークで2倍の点出ました
やべえっていうよりかは
こういうFirefoxではこれだけ活用できて
カルだったらこういう方法だとこんな感じでしたみたいな話の方が
僕らとしてはスッとちょっと腹に落ちやすいのかなっていうのは思ったりするって感じかな
モデルの差分でどうなんでしょう
いやまあ教員深いっすね
結局でもハーネスが全てなんだっていう結論を俺は信じてるというか
結構しっくりきてるなFirefoxのモジュラーの話が割としっくりきてて
なんか今後1,2年だとトークン節約っていう面でもそれが真理に近づくみたいな話もあるかもね
全然ワーシティみたいな部分はあんまりワークしないよねみたいなとこありそう
はい 興味ある方はさらっと見てみてください
前のAIストロップにぶち切れてる時よりは全然温厚な感じの問題なんだけど
あれすごかったよね
AI登場によるCVE増加の傾向
あれは気持ちがいいね
じゃあ次 ちょっとミュートスとつながらん話でもないって感じの話ですけど
バルンチェックの記事で
どういう記事かっていうと
AAが登場して脆弱性発見に活用されだしたことで
CVEの公開件数が大幅に増加しているソフトウェアがいくつかありそうだぞっていう話ですね 張作流と
2つあって1つは具体的な製品 例えばChromeとかModulaとかVMwareとか何個か挙げられてるんですけど
そういう製品のCVEの数が有意に増えてる
ある時期から増えてるっていうのが見て取れますよと
グラフとかが多分わかりやすくて
Chromeとかのグラフは
ちょっとぜひ読んでください
2026年の4月を境に傾きが異常なほど上がってるみたいなものとか
Microsoftは若干か
でもApacheとかも上がってるのかな
だからちょうどたぶんミトスのプログラム
プロジェクトグラスウィングだっけ
名前忘れましたけど
その辺が上がってきた時から
全ソフトウェアではないんだけど
いくつかのソフトウェアでCVEの件数が増えていますよって話
またGitHub
CVE発行する機関の1つあるGitHubで
吐き出してるCVEの数も同じように増えている傾向があって
かつこの増え方が
例えば特定のソフトウェアでめっちゃ増えてるとか
特定の人の報告件数が増えてるんじゃなくて
結構まんべんなく増えてる
いろんなソフトウェアでいろんな人の報告件数が増えてるっていう傾向があるみたいで
なので裏取りできる証拠っていうのは今のところはないのかなと思いつつ
AIの炎上みたいなところでCVEが増えるかもねみたいな部分が
特定の領域においてはちょっとずつ真実味を帯びてきてますよ
っていう部分を書いてる記事という感じですね
はい なんでまあ
来ましたかという 来ましたかというか
来そうだなっていうふんわりした予測は
なんかふんわりと近づいてるなっていうのと
まあもう耳たこうですけど
まあこの局面においてパッチ当てとか
これに備えた体制コーチが大事だぞみたいなことが
記事の締めとして書いてあって
そうっすねっていう気持ちは
これってなんかずっとこうさ
なんかエンジンXの十何年ものの脆弱性が見つかりました
みたいな話とかもあったじゃんこないだ
なんか一定のそのこれまでの歴史の積み重ねに対して脆弱性が今
まとめて見つかってるっていうだけの話なのか
要はなんていうかこうある時点で
今までのコードにコードの脆弱性あらかた見つけ切って
ある時点から元のこうなんていうかグラフと
同じようなその方向転数の線になるのかというと
どっちなんだろうね
いやーわかんないね
でもなんか前者の可能性普通にあるよな
見つけ切っちゃったら落ち着くみたいな話は普通にありそうというか
あってほしいというか
でも一方でそのプロジェクトによるんだろうけど
そのAI LLMコーディングによって
SIPのスピードが今までより倍になりましたとかなってくると
理論上脆弱性の数も倍
脆弱性が含まれる可能性が変わんないんだとしたら
これを見て思ったのは見つけてもらって
僕ら必死にパッチ当てをするっていうのもいいんだけど
そもそもこんなに見つけられるんだったら
作り込まない世界観にどんどんシフトしていきたいよなというか
両面なんだろうね過去のやつは見つけてもらって
頑張ってパッチ当ててもらいつつ
これから作るものはさっき言った確率みたいなの下がんないと
スピード上げられちゃうと結局さみたいな部分があるから
みんなの夢だったなるべくそもそも脆弱性がないソフトウェアを
いっぱい作りましょうみたいな部分を実現していけると
いいなという気はしますけどね
そうね
いやーなんか
いやーはい
肌感とも一調してんだよな
なんて言ったらいいんだろう
Defendbotのアラートとか見てる感じね
Chromeとかもリリースサイクル短くなったからかもしんないけど
今年ちょっとなんかゼロでアップデートみたいなの多い気はするし
なんかセキュリティフィックスが含まれてる頻度がなんか結構尋常じゃない気がするね確かに
そうだねGitHubのグラフも割と
去年の12月くらいからもどんどん増えて
今年の2月ぐらい境にいってるのかな
MMS Apache
そうだね
なんか各プロジェクトのリファレンスとかも貼ってあったりするんで
興味ある方はさらっと目を通すといいかなと思います
そんな長い期間じゃないんで
確かにね
古いやつ履き切ってもらうのを願いたいなという気持ちですね
どうなんだろうね
まぁちょっと気になりますね
なんか普通にその辺の分析したあれとかもそのうち出てきそうな気はするけど
そうだね確かに
ちょっとやってらんないよねこのレベルの調査でさ
確かにね
例えばChromeだけに着目してとかだったらまだできるかもしんないけど
あとなんかその中身がまだ開示されてないものがいっぱいあるから
数ヶ月後とかに初めて分析できるって感じなのかな
そうねそれはそうだね
Firefoxとか自前で開示してくれてたけど
ああいう情報がないと定量的な分析は難しいよね
あと作り込まれてしまった経緯みたいなのもさ
別にそんな単純な話じゃないっていうか
まぁでも脆弱性として成立したタイミングみたいなのはきっと
なんか1位に定められるのかな
うんそうだね
複数のコミットで複合要因で脆弱性が成立してたとしても
じゃあ最後のコミットがいつなんですかね
そこを持って脆弱性として成立しましたねっていうので
そこを起点にいつからあるのかとかは決められると思うし
そうだね
Chromeみたいなソフトウェアだと多分そういうのあれだけど
そのOSSとかだと影響範囲のバージョンとかは出さなきゃいけないと思うから
そういうのもとに分析とかできそうだね
ああ確かにそっちの方が早いね
うん
Chromeとかも出してんのかな
これはこのバージョンからありますとか
全然
でもなんか基本最新版にしてくれってスタンスだから
あんま出してなさそうだよな
うんあんま気にしたことないね
うんね
古いの使うってわざわざ入れないと起きない
わざわざ入れないと起きないね
一応あるはあるんじゃない?分かんないけど
落としてくることはできない
いつからいつからみたいなのでも確かにあんまり見ないというか
出してない気がするな確かに
ありがとうございます
ゴーストロックアウト攻撃手法
じゃあ次はちょっと他の2つをまとめて読みたいので
こっちから読むと
これもさらっとなんですけど
ゴーストロックロックアウトウィザードエンクリプション
エンクリプションっていう記事というよりかは
あとはあるセキュリティ研究者が作った
ゴーストロックってこの人が名付けてる
表現は難しいな脆弱性というか
攻撃手法
攻撃手法かな
に関するPOCの紹介の記事って感じ
ページって感じですね
でなんか僕の見てるフィードだとちょこちょこ話題になってたんで
さらっと読んでみて
なるほどっていう知らん概念がいっぱい出てきたなって気持ちで
読んでみましたって感じなんですけど
これ何かっていうと
端的に言うとマルカットウィザードエンクリプションって言ってるように
Windows OSにおいて
任意のファイルに対して一般ユーザー権限で
他の人がファイルを一切開けない状態にする手法が
ありますよって話ですと
どういうことじゃねえと思うんですけど
Windowsのアーキテクチャーとかファイルシステム全然詳しくないんで
その辺ちょっといろいろ雑に調べつつ
読み進めてたんですけど
Windowsではファイルを開く際に
めっちゃ簡単に言うとロックを取る仕組みみたいのがあって
このロックを取る仕組み自体は
SMBプロトコルっていうものに基づく仕様なんで
別に脆弱性でもバグでもありませんよと
具体的には例えば何かのワードファイル開いて
それを別のユーザーが開こうとしたときに
このファイル今別の人が開いてるから開けませんみたいな状態になる
ポップアップが出るみたいなことになるみたいなんですけど
そういう仕組みがありますと
これを悪用しようぜっていう話で
めちゃくちゃやってることはシンプルで
何をするかっていうと
この人の例えばの悪用方法の想定としては
ランサムウェア的なことをするために
大量のファイルを暗号化するみたいな
その代わりにそのファイルシステム上にある
あらゆるファイルを全部
あるユーザーでファイルを開きっぱにしちゃえば
他の人から一切ファイルを開けなくできるよねっていうのが
これのゴーストロックって名付けたものの話ですと
これ何がまずいと主張しているかというと
まず一つは検知が難しいっていうのがあって
なぜかというと例えばマルウェアとかランサムウェアが動く場合は
不審な挙動をしているプロセスがあるとか
そのためのいろんな指標っていうのがあって
それはCMとかEDRみたいな製品があれば
それなりに検知してくれるけど
これの場合はただ単純にめちゃくちゃたくさんファイルを開いてるだけ
主要なCMなりそういう製品だとそれを検知してくれる
デフォルトで検知してくれるっていうものはないので
なかなか検知しづらいと
逆に言うと自分たちでルール設定して
特定のユーザーが大量にファイルを開いてるっていうのを検知すれば
防げてきそうみたいなのと
あと一つはあんま特権が必要ない
これいっぱいユーザー権限は必要なんで
多分侵入はしなきゃいけないんだけど
侵入した後に例えばルートとかを取らなくても
普通のユーザーの権限があれば
すぐにできちゃうんで
そこも消費期が低いよっていうのと
あとは時間が短いのかな
暗号化と比べてファイルを大量に開くだけなんで
詳しい手法が書いてあったんだけど
SMBだったらこういう方法でやれば
ほぼ全部のファイル開く方法があるんで
それやっちゃえばいいですよみたいな話
あとはここはピンとこないなって感じではあったんですけど
もしやられちゃった場合にどう復帰するのかみたいな部分で言うと
原理上はファイルを開いてるユーザーを特定して
そのユーザーのセッションを切ればいいんだけど
これが結構な専門知識がないと
すんなり対応ができないので
ちゃんとしたチームがあったとしても
対応に数時間ないし
数日かかってしまうんじゃないかみたいな
部分がこの辺りの温度感は
研究者の所感なのかなと思うんですけど
そういう部分が厄介ですよと
よくわかんねえな
再起動したら治ったりしないのかな
なんか新卒の頃の会社がWindowsだったんで
思い出しながら読んでたんだけど
PC上だとPC上にあるかのようにいろんなファイルを開けるけど
裏側は会社のサーバーに繋がってて
みんなで同じファイル以上みたいな
多分ああいう感じだと思うんだよね
だからそこに大事なファイル置いてあって
それ全員番号化されて業務も止まっちゃうぜみたいな
そういうシナリオとしてはそういうのを危惧してるのかなっていう
これ自体はSMPプロトコルっていうものに起因する
仕様に起因するもので
MacOSとかLinuxは関係ないですよと
ただこのSMPプロトコルを使ってるファイルシステムとか
ソフトウェアもし使ってるんだったら
それは影響入んないになりますよっていう話って感じですね
そんな感じです
なのでWindowsでがっつり運用してる人は知っといてもいいかなと思いつつ
ただこれ結局これ書いてくれてないのずるいというか
スコープ外って話なのかもしれないけど
外側から一瞬で全部ファイルロックできますよみたいな話ではなくて
結局一般ユーザ権限までは取らなきゃいけないから
一般的なLanswebと比べたときに
侵入をまずはしなきゃいけないって部分は変わんないはずではあるんで
対策としてはまず入らせないようにしようねみたいな部分とか
一般ユーザでもできちゃうって部分がもしかしたら
でも別にLanswebウェアもそこは変わんないじゃん
わざわざルート取らないタイプのLanswebウェアだったら
その実行ユーザ権限でできる範囲は豪華してもあるっていうだけの話でしょ
これも別にその実行ユーザ権限でアクセスできるファイルも
ロックを順に取っていって使えなくする以上っていう話だよね
そうだね
だからさっき言った検知とか速さとかその辺が
実態にやられたときに厄介になんのかなんないのかみたいな感じなのかな
どうなんだろうね
でも別にどうなんだろうね
なんかわからんけど
あくまでPOCとかね
Lanswebウェアみたいなんで稼ぎたい人たち視点
別にわざわざこれじゃなくてもいいかなって感じはするよね普通に
ただなんか暗号化するファイルの量が多いとやっぱ時間かかって
止められちゃうみたいな話はあるはずだから
そこに対してこれがおいしいと思うのかどうかって感じかな
俺だったらこれでロック取ってから裏で暗号化するけどな
確かにねそれが一番いいかもね
あとなんかこれ本当詳しくないんで
単純な疑問なんだけど
できないのかな全セッション一回落としちゃえば
原理上はロック取れんのかなって
だから普通に再起動すれば直るんじゃないかなって
忘れちゃった
ファイルサーバー再起動したら直るんじゃないかなって
思ったんだけど
その辺はね言及は
ファイルは壊れるかもしれないけどね
確かにね
いくつかね
結局一般ユーザ権限を保持したままだと再起動しても
またやられるって話はあるはずだから
その間に特定して
根本的にはだからそこからアクセスさせないしないといけない
っていうのはその通り
そうだね
人
誰かの端末はマレアがこれをするって可能性もあるんだもんな
意外とめんどくさいかもな
なんかPOCではあるんで
これが半年後にこれ使って
やられましたみたいな話が出るか出ないかかなって感じなんですけど
こんな世界観があるというか
1記事ぐらいは出そうな気がするけど
ゴーストロックを使うマレアが観測されましたみたいな
ハッカーニュースとかに出るんじゃない
あるかもね
ブリーピングコンピューターがハッカーニュースの後に出るんじゃない
そうかもしれない
ご興味ある方は読んでみてください
なんかWindowsガチ勢で
これはやばいんですよっていう知見があれば
お便り
フリーライドしながらお便りに頼るっていう
マジで詳しくないんだよWindows
ことファイルサーバーの利用とかに関しては
やった人じゃないと
なんとも言えん部分がある気がするな
なすは組んだことあるっしょ
なすない
組む機会がなかった
写真勢は組むよね
勝手な偏見ですけど
じゃあ来週までに
なすを組んでみてください
足りない
なすの前向きに検討します
何保存しようかな
何でもいいよ
Dockerとかでとりあえず
立てて
SMBでMacから繋ぐっていうのをやればいい
なるほどね
気が向いたらやります
じゃあ次最後
シャイフラット攻撃のソースコード公開と懸賞
もう職場気味の記事ですけど
その前
順番
上から
シャイフラット
1個目からさらっといくと
シャイフラットゴーズオープンソース
データロックセキュリティラボ
何かって言うと
オープンソースって言ってるように
シャイフラット攻撃のソースコードが公開されましたよ
チンピシピにより公開されました
この記事では元気なくて
別の記事リンクノーションのほうに貼ってるんですけど
このチンピシピが
ソースコード公開したから
セキュリティ企業は震えて眠れみたいなことと
攻撃した側に対して
これ使って今後期間忘れました
1週間か1ヶ月間かで攻撃して
攻撃が成功したパッケージのダウンロード数の合計が
一番多い人に1000ドル賞金であげます
これさー
普通に腹立つな
もう世紀末もいいとこだなっていう
なんかその
研究してた記事を読んで確かにと思ったのは
1000ドルはまあまあ大金ですけど
このシャイフラットで攻撃が成功した時に
掴めるお金からするとあまりにしょぼい
1000ドルという金額はしょぼいんで
なんでなんかその狙いがいまいちわかんない
よねという部分はあって
仮説としてはそのシャイフ人PCPが
新しい仲間を探すためにこれを活用できる人を探してる
のかまた単純に
世の中に被害をもっと広めたい
っていうテロリズムなのか
どっちなのかというのはちょっと読めないですね
情報は
人PCPに飛ぶようにしてっていう前提じゃない?
違う?
そこまで言及はなかったかな
1000ドルだけ欲しいのにさこれでいろいろ集めてもしょうがない
よね
そうねどうなんだろう
なんかちょっと
合理的な証拠を
提供する必要があるみたいなこと書いてあった
多分そのオープンソースの
中身見たみたいな記事もあったんだけどそのC2とかは
ここ書き換えれば動くよみたいな感じになってるから
全人PCPに協力しろって話じゃないかな
ちょっと読み分からんな
だから1000ドルでたぶん釣れるのって
これ使いこなせる攻撃者っていうよりかは
言い方は難しいけど
ジュニアというかミドルというか
攻撃者としては犯罪者としては
歴が浅いとか
実力がそんなにないみたいな人たちが食いつくのを狙ってる
金額なのかなって気はするけどね
もしかして
これで集められた情報の価値とかを理解してない
ような人たちがばーっとこぞって使ってほしいとか
何にしてもちょっと何とも言えない感じではあるな
っていう気はしますけど
結構なんかこの
記事でも書いてあったけど
防御側目線でこれが悪いことかというと
ソースコードの中身は見れるんで色々挙動解析して
みたいな話はある一方で
攻撃者側はこれ使ってアッシュをどんどん作るとかも
できるしそのまま使うみたいなのもできるし
かつそのあった時に
企業で働いてて企業のPCを守るみたいな観点で
僕らができることは結構あるけど
結局サプライチェーン攻撃で
やられるのって個人開発者で
EDRとか入れてませんみたいな人たちが
そんなに高度じゃないこれをそのまま使ったような
攻撃をされた時にやられちゃったら
結局僕らの喉元まで
サプライチェーン攻撃が迫るみたいな部分がやっぱ
厳しいよなという気はしていて
当分この波は収まらんなという部分で
覚悟は必要ですねというのと
攻撃のボリュームが本当に増えるんでしょうかみたいな部分は
何ともですけどっていう感じですね
いやー聞いて伺わんねえな
いやー
ちょっとこのチームPCPがだいぶ表現難しいけど
何なんだろうねちょっと愉快派的な側面が
強いというか
企業側を煽るようなことを言ったりとか
なんだっけな
何かなんだっけ
ライトエレルームだっけあの辺の始まり出した時とかに
もう来週再来週にどんどん出るよみたいな
発言をしてとか結構ちょっと超発芸味な感じがするよね
このコードも別になんかそんな深読みせずに
なんか言ってんなぐらいでいいのかもしれないけど
まあでもソースコードが
Kendallに関してはね
なんかソースコードは
ちょっとやめてみたいな感じがしますね
いやー引き続きお気を付けください
個人もね個人もお気を付けください
で次は最後の記事ですけど
Flat Securityのブログで
ミニシャイフラット第2波の概要と対応し
端子タックルーターを含む200越えの侵害というところですね
タンスタックルーターを狙った第2波攻撃
で正直もう
このセリフ何回も読めなかった感じですけど
もうお決まりの流れとか原因で
やられてるんでそんなに深くは触れないんですけど
端子タックルーターがやられた原因みたいな部分を
この記事プラスいろいろ読んで
またオンプレリクエストターゲットかみたいな感じで
読んでたんですけど結構なんかもうオンプレリクエストターゲットは
もうちょっとここまで来るとちゃんとやっといてよって
気持ちがありつつ
前回別の攻撃ともあった気がするんだけど
そのキャプシュポイントリスニングを今回も利用されていて
でこれなんかその見抜く目線になった時に結構きついな
みたいなのを改めて思ったというか
なんかパッと今回の攻撃だと
何がやられたかっていうとオンプレリクエストターゲット使って
2位のキャッシュを汚染されて
でそれが正規のブランチのワークフローで動いた時に
その悪いキャッシュを参照して
NPMのOIDして抜かれたみたいな感じなんですけど
じゃあそれをワークフローばーって読んで見抜けるかって言われると
結構意識しないと見抜けないなっていう気はしていて
ちょっとキャッシュ周りは悩ましいかもなっていう部分と
あとなんかその
どれかな フラットさんじゃなくて
ソケットセキュリティかな
ソケットセキュリティのブログで書いてあったのが
ステップセキュリティか ステップセキュリティがこれ見つけて
攻撃 悪いなるバージョンが公開されてから
20分で報告が入ったんだけど
NPMで実際に公開止められたのが
結構数時間後だったらしくて
その理由みたいなのがNPMのプリシーとか仕組み上
探索ルーターっていろんな場所から参照されちゃってるから
いろんな場所から参照されてるのをとりあえず
非公開にするみたいなのはできないらしくて
そういうのもあって数時間遅れたみたいなのがあるらしくて
タンスタックのポストモーティングか
ちょっとこのリンク
あれだ 読めなきゃいけない
リンク貼っときますが
そうなんでそれはちょっと
どうにかならんかなみたいなのは結構
思ったなっていう感じですね
これでね
どのほかに書いてあったんですよ
どうやって知ったかで
セキュリティが公開20分後に一周もらって
電話ももらって対応できたんで
電話とかくれるんだ すごいね
あ そうだね
依存関係が存在する場合は公開解除しないという
ポリシーのため影響を受けるほぼすべてのパッケージで
公開解除ができませんでした
そのためNPMセキュリティ機能に頼って
サーバー側でターボロールをプルする必要があり
その結果になるターボがインストール可能な状態のまま
数時間後の遅延が発生します
今 日本語訳 機械翻訳のやつ読みましたけど
そういうのがタンスタックの
ポストモードに書いてあったって感じです
依存関係が存在する場合は公開解除しないの?
依存関係は
参照されてるってことなんじゃないかな
他のパッケージの依存として
多分それを公開解除っていうのは
一旦落とすってことだと思うんだけど
落としちゃうとそっち側の依存解決ができなくて
じゅじゅつなぎで全部壊れるからできないって話
と思うんだけど
かつあれかな
推測だけどタンスタックルーターって
タンスタックルーターっていう1個のパッケージがあるんじゃなくて
おそらくモノリボでいろんなのをバラしてて
それが相互に依存してるって状態だったから
依存の一番下のやつを削除するには
上のやつをバージョン直してっていう
作業をしなきゃいけなかったんだろうね
それもあって対応遅れたって感じなのかな
確かに構成的にはだいぶ
そう言われてみるとしんどい系ではあったのか
そうだねだから全部のきなみやられたっていうのが
結構きつかったんだろうね
42個かそうだね42個だからこれ全部
1個1個慎重にミスなく直して
きついね
1個侵害されたら全部侵害みたいな状態も
でもモノリボだと
無理だよね
むずいね
このタンスクルーターのポストもやってみると
いろいろキャッシュはきついですね
プルリクエストターゲット
キャッシュ
プルリクエストターゲットがなかったら起きなかったから
プルリクエストターゲットをやめるは言い過ぎだけど
そっちの穴を塞げてればっていうのは
まず間違いないかな
でももう人間に使うの無理だよね
無理だよ
俺安全に使えますかって言われて使える気しないもん
僕も使える気はしないです
ある程度理屈はわかっててもう無理
1個安全なの作れだったらいいけど
結局運用していかなきゃいけないからね
かつこのOSSのプロジェクトとかだと
なおさら
ギタバクションズロードマップの
セキュリティリリースを待つのか
難しいな
OSSメンテナーにとっては
痛みがある決断だけど
プルリクエストターゲット一旦禁止しちゃうとか
でも僕らでそれを決定できないから
結局
まだまだ残るんでしょうって感じはしますけど
またキャッシュだよな
キャッシュもこれ
キャッシュ難しいよね
難しい
キャッシュね
難しいよな
なんか
今回何が汚染されたんだろうな
キャッシュしたものだろうと
落としてきたものだろうと
パッケージの
それこそ前回のバイナイトランスペアレシーンじゃないけど
それが正当なパッケージであることを検証することができれば
いいよね
タダレバーの話で言うと
NPMにそういう仕組みが現状ないから
今言ったことはできないと思うんだけど
NPMパッケージに関しては
そういう考え方というか
ないといけないのかもなって気がするな
あれNPMって署名検証の仕組みないんだっけ
検証仕組み
ないのかな
聞いたことないけどあったら
あれなんですけど
あるかも
それそれそれ
これってNPMインストール
でもNPMキャッシュだと
キャッシュから復元するだけだと検証できないから
復元した後に
それで防げるかもね
失礼しました
署名の仕組みはさすがにあった
最近ちょっと触ったんだよ
あそうなんだ
いまいち分かってなくて
キャッシュ
キャッシュポイント
何をキャッシュするかだよな
本当にPNPMストアを
キャッシュのキーに
キャッシュのキーは何だったのこれ
キャッシュのキーは何だったんでしょう
分かんないねこのポストマティブだと
ポンプリクエストターゲットの
呼び出してたGitHub Actionsの中に
でキャッシュを呼び出してたみたいだね
だからそこをリポして読みに行かないと
ちょっと分かんないかも
結局だからプロテクトブランチと
任意のブランチ
で共通のキャッシュキーを
使ってだから汚染されるっていう話ではあるわけだよね
キャッシュのキーにブランチ
ブランチレベルで必ずキャッシュを分離しましょう
みたいなプラクティス
それはあり得るかもね
ただ今回のケースだと
結局このポンプリクエストターゲットで
キャッシュを呼び込んでるコンポジットアクション
なのかな
メインブランチのやつやってるな
解散できなかった
ブランチでやっちゃうとほぼキャッシュとして
意味ないから
じゃあもうキャッシュ使っていいじゃんみたいになる
プロテクテッドのプロテクテッドブランチだけ
分けましょうみたいな
話なのかな
Pnpmストア
Pnpmストア
Pnpmストアをキャッシュ
キャッシュしてるって書いてあるからだからやっぱ
Pnpmもオーディットシグナルもあるよね
叩いてればいけてたんじゃないかな
どうなんだろう
パッと出てこないけど
動作検証してみたいな
キャッシュ挑戦してみて
してみたいんだけど
あまりに別に
俺に関係なさすぎて
世の中ちゃんとしてくれ感しかないから
やる気が出ない
なんか未解決
ポストモテムって分かってないことみたいな
Npmキャッシュも汚染されたのかどうかは分かってないみたいだね
当時のキャッシュ不検定できないもんね
そうね
そういう部分ちょっとしんどいよなキャッシュは
揮発しちゃうから
中身何入ってるかとかダンプしないとどうにもならんし
厳しい時代は続きますね
その辺ってステップセキュリティの
ハーデンドランナーとか匠ランナーとかで
解決し得るのかな
この時のキャッシュはこうでしたみたいな
やろうと思えばできそうだよね
サポートしてくれてればできそうな気がするね
確かに
セキュリティチームの必要性と今後の展望
金がいくらあっても足りねーよ
普通に狂気の沙汰だけどな
この時のキャッシュがこうでしたを映像化してくって
マジで頭おかしい
だったら別にキャッシュもうやめればっていう
目的が
事後消息でしかないから
しょうもなさすぎるよね
キャッシュしてたものがNPMパッケージだったんだったら
パッケージの取り扱いだと思うな
ようなもん混ぜ込まれた時に
ちゃんとブロックする仕組みというか
必須だと思うな
それはなんかやっても意味ないから書いてないのか
分かんないけど普通に
これちょっと自分のやつをやっとこう
ノードモジュールズ
ノードモジュールズ配下を丸っとキャッシュするとか
割とやると思うんだよね
セットアップノードアクション
公式のセットアップノードアクションとかは
そういう挙動をすると思うから
これ中で署名検証走ってんのかな
あまりにノード使わなすぎて
なんか意識したことが
そうだねキャッシュ
PNPMとかだと吉谷にキャッシュしてくれるんですよ
でもそのキャッシュキーとかがどうなってるかちょっと分かんないな
アクションズキャッシュとかじゃないか
これコード読み出したら無限にかかるんで
また後で読んでおきます
受付ください
サプライチェーンラッシュが始まって
カレコレ半年以内となるとしますが
気を引き締めていきましょう
きっと明日もなんか出るんでしょうね
そうだね
まひらずにいきましょう頑張って
ほんとそれだけ怖いね
ほぼ日中になっちゃってるけどね
しょうがないね本日はそんな感じですか
結構
明るいニュースも欲しいなという
今日この頃ですが
そうですね
明るいニュース欲しいな
明るいニュースを来週持ってきましょう頑張って
例えば
こんなセキュリティチームを作ればいい感じになるぞ
っていう記事を書くとか
道半ばすぎてな
明るいニュースじゃなくてもいいけど
来週までは間に合わないから多分無理だけど
ここで話してるセキュリティチーム
最初から必要かどうか論の自分の考えを
ブログに書いてまとめたいなっていうのをずっと
自分のトゥーズに1週間前から置いてて
分かんないけどそういう記事ですよ
僕らの
魂が震えるような記事をね
みつつさん風に言うと
いやー
なんかどうなんだろうね
前回だっけ何かの話した時に
結局誰かが当たるからさみたいな話を何かしたじゃん
何の文脈で
何の文脈でこの話したか忘れてたけど
セキュリティのことを
誰も知らない状態で走る話の時かな
それだそれ
だから結局役割の定義の仕方と
誰がその役割を持つかっていう
ただそれだけなのかなっていう気もするから
別に必ずしもセキュリティチームというものは
無くてもいいんじゃないかなみたいなことを
今ちょっとふと思ったんだけど
いいね各々いろいろ考えておきます
じゃあヤギ足も帰ってきてください
再来週までに
まじでなんか記事書く欲がゼロすぎて
じゃあ書かなくていいっす
無理に書くもんじゃないっす
転職して1年経ちますねぼちぼち
早い
早いね
まじか引き続きお願いします
ぼちぼち1年経ちますね
じゃあ来週の冒頭はその話してください
そうなんすか
まあいいけど
まあ確かに記事書くのも
いいかなと思ってたから
ちょろっと話すぐらいはいいかもねって言ったりも
そうかそうか
いいっすねめでたい
やってることがなんかちょっと深くなってきた感じがして
なんかホイホイ外で話せない
じゃあ話せないんだよな
今こういうことやってますみたいな話とか
地味に
話せる範囲やな
じゃあそんな感じで皆さんいろいろと
話すかもしれないし話せないかもしれないですけど
来週もお楽しみにしててください
おやすみなさい