AWSセキュリティハブCSPMの紹介
こままリプレイ.fm第55回です。
こまま55回ゾロ目。
ゾロ目だね。55、66。
もうすぐ60回。
99、111。111超えた後のゾロ目だいぶ先だな。222か。
そうだね。
111まで終わった。
貴重なゾロ目もあともう少し。
いやー、まあ頑張っていきましょう。
頑張っていきましょう。
サプライチェーンの波は無事。今週分は収まり。
また来るかもしれんけど。
ちょっと経路が違う感じで読んでいきますか、今日も。
いいよ、やります。
じゃあ1個目お願いしようかしら。
うっす。セキュリティ方にため込んでいませんか?
かみなしにおけるAWSセキュリティハブCSPMとの向き合い方。
いつものかみなしのケースです。
これ読みたいなと思ったけど、俺読んだんだっけ。
さらっと読んだのか。
全く完全に記憶喪失やな。
だからほぼタイトルどおりの感じなのかな。
AWSセキュリティハブCSPMっていうのを運用してるらしくて、
その通知を初音システムについて紹介してくれてる記事だったはず。
僕ちょうど今日読んだから、新鮮な記憶で。
上手デーで発表した内容を多分持ってきたって感じだけど、
ライバー、レバーって読むんですね。
レバーっていう初音システムを噛ませてるっていう感じっぽいCSPMの。
実際にCSPMに対応するプロセスとか人の間にレバーっていうのが挟んであって、
なんでかみたいなところで言うと、
一つはCSPM対応を開発チームにデリゲーションしていきたいっていう部分がまずあって、
スライドの中にも書いてあるんですけど、
CSPMに限らず、かみなしのセキュリティ文化として目指してるところとしては、
開発者一人一人が多分自分で自分の範疇のセキュリティ面倒見みたいな、
超ざっくり訳するとそういうことをしたいっていうのと、
そうなったときにAWSセキュリティハブCSPMがそのまま渡せる状態になってるかで言うと、
これたぶんCSPMもあるあるですけど、そうはなってなくて、
例えばどのCSPMもそう、製品もそうですけど、
セビリティ出てきたアラートに対してセビリティがあって、
順手になるのはクリティカルからやっていきましょうなんだけど、
実際の現場ではクリティカルの中でも全然どうでもいいシステムと、
プロダクションに動いてるシステムだと全然優先度が違うよねみたいな部分とか、
優先度どうつけるかみたいな部分とか、そこの判断みたいな部分をうまいこと、
レバーっていうシステムを内部システムを挟むことでいい感じにやってるみたいな、
超ざっくりとそういうことを多分している。
開発者のセキュリティ責任
またあれか、シフトレフトみたいな話もあるのかな。
出しちゃった後に直すとやっぱり事故るし、実際に事故ったりもしたから、
その辺もなるべく早く拾ってもらうみたいな部分も恐らく踏み込んでいるっていう感じっぽいですね。
このランプアップ期間っていうのが、
面白いね。
ステップバイステップで定義してて、
一番最初はまず見ましょうっていうところから、
無視してもいいものに丁寧にタグつけてねっていうので、
即労便を開始っていう感じでやっていると。
一個具体例でこうやる後にはこういうふうになった感じで、
対応したみたいにユースケースも出してくれてるって感じですね。
オーナーを決めてその人にっていう感じだったよね、多分ね。
そうだね。その辺も多分結構印象的だったな。
チームじゃなくて人につけるみたいな言及があって、
神無しではチームではなく個人に対応責任を持たせるっていう。
多分これ対応責任者を明確化させるっていうのかな。
これはなんか文化って感じがするね。
何をどういう単位でつけてるのかな。
その要は一周単位でつけてるのか、
その一周が生じた何かのオーナーが自動的にそこのオーナーになるのか。
これ見てる感じは多分通知、
このレバーからの通知一個一個にアサインをしてるっていう風に。
だからなんかプロダクトっていうかは、
そのプロダクトに基づく、
AWSっていう環境において発生する通知に対して、
一個一個バイネームでアサインがされるっていう。
オンコールとかも出てくるか。
オンコールの人が自動で書ってアサインされるのかも。
なんかそんな気がするよね。
もうちょっとその辺の、
どうなんだろうな。
なんかシステムのアサインが出てくると、
なんて言ってるんだろうな。
どうなんだろうな。
なんかシステムのアーキテクチャでいうとどういうアーキテクチャ?
マイクロサービスではあるよね、確か。
分散システムに活用してて。
結構モノリス特有のオーナー誰もんだけどさ。
結構辛いじゃん、こういうのって。
そうだね。
オンコールが綺麗に触れてんなら、
それで機械的にある程度決められそうではある。
モノリスであっても。
ある種のトイル担当みたいな感じの枠なのかな。
言うてそんなにしょっちゅう出ないかな、あと。
最初慣らしちゃえば。
そうだよね。
システム自体は毎度システム触ってこないか分からないけど、
でもそんなにじゃないかな。
これGoogle Cloudで言うとなんだ、セキュリティコマンドセンターとかの。
そうだね、まさしく。
なるほどね。
SCCはクソ高いんですけど、
AWSはある程度は結構無料で使える範疇がGoogle Cloudより広かったはず。
SCCとWiZはどっちが高い?
WiZじゃない、さすがに。
さすがにWiZなのかな。
カバレッジが圧倒的に違うって。
確かにね。
Google Cloud単体で使った時にもやっぱWiZの方が高いのかな。
んーじゃないかな。
あとはSCCも使い方次第だからそれにもよると思う。
確かに。
ランタイムのVPCフローログとかもスキャンするとかできるから、
そういうの入れだすとログ料金プラスそのスキャン料金でめちゃくちゃ跳ね上がるみたいな。
今はちょっと料金定義違ったらマジですまんなんだけど、
僕が1回触った時はそういう料金定義だったんで。
そこにもよるかな。
いやー。
なんかこれ…
うん。
あ、いいんだけどだけんだよなーって。
まあそうね。
結構ちょっとブログの話とはずれるかもしんないけど、
なんか前ここか仕事…いやでも多分ここだな。
リプレイフレームで夜明けした話だとなんか話した記憶があるんだけど、
何かの時の別の雷さんのブログで、
いやー仕事かな。
雷の目指しての文化としてはこのスライドにある通り、
開発者が呼吸するようにセキュリティを意識するようになることとか、
セキュリティの環境を構築しながらも旬日が止まって続けること、
事情作用があることみたいな部分を目指してる。
そこに対して、正解不正解とかの話ではなく別の考え方として、
セキュリティ意識しなくてもセキュリティになるみたいな環境を目指すみたいなのもあるよねみたいな話をした記憶があるんだけど、
なんかAZセキュリティチームとしては後者がいいし、
会社としても総合点は高くないそうだなって気がしつつ、
前者を捨てきれない自分がいるなーってなんとなくその時は思った記憶があって、
それをこのブログ読んで思い出したんだけど、
AZソフトエンジニアの気持ちとしては、
こういう、例えばカミナストラにこういうセキュリティ文化を目指すっていうところにおいて、
セキュリティチームのサポートである程度、ある種の教育をしてもらえてるわけじゃないですか、ソフトエンジニア目線に。
今回のケースだったらCSPMに対応するっていうところに対して、
割と丁寧に持続できるまではシステムなり、
多分ここには出てないけどシステム以外のサポートもあると思うんだけど、
それ自体が結構ソフトエンジニア目線にインセントリーになるような気持ちがあることに、
このブログを読んですごい思い出して気づいたというか、
うまく言えないんだけど、せっかくソフトエンジニアやってるなら、
人によるんだろうけど、僕の場合はバックエンド一通りできるようになって、
よしとしてもいいんだけど、染み出せた方がいいじゃないですか。
セキュリティもそうだし、インフラストラクチャーでもうちょっと配りにテストされるようになるとか、
QAとかもいいよね、テスト領域とかも染み出せるといい武器になるだろうし、
その武器の一つとしてセキュリティに染み出せるって普通に、
セキュリティチームの役割
みんながみんなそう思うか分かんないけど、僕は結構ソフトエンジニアに立ち会ったらインセンティブだなと思うし、
そう思った時にこの雷の考え方っていうのは結構好きではあるなって思った。
普通にソフトエンジニア生活をしてて、CSPMを多分対応できるようにあんまりならないと思うから。
いやー、そう、そう、そう。
これあっさりコメントしか出ないけどそうだねっていうのが、
分からんなー、ぶっちゃけあんまり想像のつかない立場という考え方だな、個人的には思っていて。
そうかそうか。
まぁちょっと、そこはね、みんなの声を聞いてみたいな。
ていうより、自分がそっち側の立場に立ったっていう意味で。
あー、そういうことか。
軸足がずっとセキュリティにあるから。
確かになー。
多少ね、多少ソフトエンジニアの視点みたいなのさ、持ってたとはいえ。
なんだろうねー、なんか上手く言えないけど、
他のソフトエンジニアの話も普通に聞いてみたいわ、この辺は。
僕個人の完全な視観としては結構そういう感覚あるなっていう。
面倒くさいセキュリティと面白いセキュリティと多分あるよね。
その純粋な、純粋なとか言ったらだけど。
なんか要は、別にセキュリティに対して全くその仕事で関わりのない人っていうのはいないはずなんだけど、
直接そのセキュリティっていうところに関わってない人視点で見たときなんか。
でも、個人的に面白い、面倒くさいっていうよりかは、
この人優秀だなって、どっちが先からね。
優秀だからそうなのか、そういう人が優秀なのかちょっと分かんないけど、
この人、僕より数段レベル高いなって思うソフトエンジニアとかは、
結構セキュリティ含めてその中心領域以外もちゃんと考慮してるなっていう印象があって。
セキュリティチームの立場としては、突っ込む前から、
これはこうで考慮してるんですけど大丈夫ですかみたいな、
ちゃんと揃ってるというか、それが別に100点、常に100点ではないかもしれないけど、
揃ったり、QAのときとかも多分そうなんだろうなとか、
あとパフォーマンス4Kみたいな話とかもなんだろうな、
例えばバックエンド立場だったとしても、
そのアプリケーションサーバーとそれがデプロイされてる環境を込み込みで考えて、
この辺気にしとけばいいと思うんですけど、どうですかってSREと対話できるとか、
やっぱり優秀な人ってそういうカバレッジの広さというか、守備範囲の広さというか、
いい能力多角形の形をしてるよなと思ってて、
そこを目指したいなって思ったときに、
責任チームがいてサポートしてくれるっていうのは後だなっていう。
まあめんどくさいときもあるっちゃうけど、
それはめんどくさいって言っても、やっぱりちゃんとしてる人はそれをめんどくさいと言わずにやるよなという気持ちもある。
まあね。
お気持ちを思い出したのでついでに喋りたかったみたいな。
ありがとうございます。
その結果として双方が歩み寄っていい感じになりました。
いい世界なんだろうね。
そうだね。めっちゃベストはそうだね。
ひそかに思ってんのは、今の会社でセキュリティチームの立場にいる身としては、
ソフトエンジニア、うちで働くソフトエンジニアにとって、
セキュリティチームの存在が副理構成になるみたいな状態になったらいいなっていう。
そうだね。
ひそかな野望はちょっとある。
今は逆の立場だから。
何せよ良かったですね。勉強になりました。
偉いよな。
面白い。
先は長いな。
一歩一歩だね。
じゃあ次行きますか。
NPMJSのセキュリティ強化
今日唯一のサプライチェーンネタかなと思うんですけど、
昨今のこのpodcastでも3週連続くらいで取り上げた、
結構デカめのNPMのサプライチェーン侵害、サプライチェーン攻撃に対して、
NPMJSの管理主がGitHubなんですよね、今なんです。
GitHubからある種の生命ブログみたいなのが出たんですけど、
ブログでも引用されてるけど、
直近のシャイフラットアタックとかをはじめ、結構デカめの侵害に対して、
NPMJSとしてもきちんとプラットフォームとして
セキュアにできるように対応しますっていうのを言っていて、
具体的に3つ挙げてて、
1つが、
パブリッシュするときに2ファクターオプションを要求する。
これは具体的にどういうデザインになるか分からないけど、
やったことない人のためにイメージ言うと、
トークンでやるときはトークンを
NPMRCなりNPMコマンドのコンフィグ内で設定して、
NPMパブリッシュコマンドを叩くとパブリッシュできるんですけど、
おそらくそこで2FAを挟むというか、
ブラウザー挟むか分からないけど、
それを挟ませるよっていうのと、
またグラニューアルトークンっていう表現をしてるんですけど、
トークンの最長のライフタイムを7日間にする。
これ結構強気だなと思うんですけど、
生存期間をめっちゃ短くする。
今は多分仕様が変わってなければ機嫌なし作れたはず。
僕が記憶してる一番古い実装とかだと。
機嫌なしもできるし切ることもできるんだけど、
みんな多分機嫌切れで機嫌なしでやってる。
あれこれ2FAはローカルから出すときだけってことだよね。
この表現だとそう見える。
一旦バクション2とかからだと、
YDSベースでやれるよっていう状態になったよっていうのを前に出してたんですよね。
そうだね。
だからそれでやってくれみたいな形になるのかもね。
事実上そうなのかな。
でも別にもう数年に1回しかやりませんとかだったら、
どっちでもいいのかもしれない。
数年に1回しかやんないっていうパターン多分ないと思うんだよね。
アクティブにやってるかもうやってないかだから。
そうだね。
そうだね。
従来のクラシックトークンは廃止するし、
TOTPももうやめるんだ。
これすごいね。
これ全員ユーザーに対してってことだよね。
そうだと思う。
ファイドベースの2FAに移行するよ。
これファイド、何が悪いのか分かんないんだけど、
ギター部のパスキーが全然参照して欲しい鍵を参照してくんないんだよね。
めっちゃ困ってる。
それは何でだろうね。
分からん。
分からん。
全然踏んだことないな。
マジで困ってる。
全然書けなかったけど、マジで困ってる。
パスキーはパスキーで頑張ってほしいところですね。
でもこんな感じの。
具体的にいつかは分かんないけど、
多分取り急ぎやるよっていう宣言なのかな。
これやってくれれば、
例えばシャイフラット攻撃はだいぶリスク軽減になるはず。
トークンのライフタイム短縮
ローカルのLPMトークン探してきて、
パブリッシュするってことやってるから、
生存期間が短ければっていうのもあるし、
そもそも2FAが突破しちゃいなきゃいけないんで。
弱くなるでしょうとか、
あとGitHub Actionsのシークレットを盗むっていう事例も起きてたけど、
それもYDCになれば、
ワークフロー乗っ取ればやられるけど、
シークレットを盗むだけだとできなくなるっていう意味では、
だいぶリスク緩和になるんじゃないかどうかっていうので、
そうしてとてもいいネウスしてたんじゃないかなっていうと、
また時間軸かな。
どれぐらいで移行できるんでしゃろうっていう。
NPMJSめちゃくちゃユーザー数多いと思うし、
内部的にはもしかしたら丁寧にやってるのかな。
デカめのOSSコミュニティとかは、
個別にコミュニケーション取って優先してやってもらうとかやってそうだけど、
ちょっとわからん。
ユーザーへの呼びかけ
あとはとはいえすぐにできるNPMJS開発者の対策みたいなのも書いてあって、
YDC連結使いましょうとか、
あと是非ちゃんと設定しましょうとか、
その辺あたりは、もし該当する方がいればすぐにやっておいていいかなっていう感じですね。
YDC以降やってないな、一部やらなきゃ。
狙われて、今日やろう。
はい、そんな感じです。
なんでいいニュースかなっていうと、
あと他が前ならえするかな、個人的には。
ラストのパッケージマネージャーかなんかも申請されたみたいなニュースがちらっとあって、
あんま話題になってなかったけど。
これさ、NP、Goとかどうすんのかな。
Goはまたちょっとモデル全然違うよね。
レジストリみたいな概念ないよね、確か。
ない。
Goの場合はもうGitHub乗っ取られるかどうかってことだよね。
詰まるところそうだね。
そういう意味では、NPMG3はちょっと攻撃しづらいのかもね。
でもさ、2FAすら設定しませんっていう人でもパッケージ公開できるわけでしょ。
でもGitHubは2FA必須じゃないですかね。
あれ必須なんだっけ今。
なんかね、必須化したはずで成功したんじゃないか。
なんかね、去年か一昨年かに徐々に必須化してもうバイオレーションするみたいな。
じゃあDOTPの廃止でだいぶ。
去年の1月から必須化スタート。
フィッシングで乗っ取られるとか、パッと盗まれてコンテンツライト盗まれるとかぐらいじゃないかな。
あとはタグかな。タグで悪意のあるコミットハッシュ指定されるとかは、
バレずにやろうと思ったらまず思いつくっていうのかな。
でもNPMと比べたときにNPMはGitHub乗っ取れなくてもNPMトークン取ればパブリッシュできるっていう部分があるから、
NPMの方がアタックサーフェイスが多いと言えるんじゃないかな。
GitHubを乗っ取っても攻撃多分成立するパターンがあるし。
そうだね。
でもむずいな。GitHubにNPMパブリッシュ用の何もなくてローカルからやってる人がいたらNPM乗っ取らないといけないみたいな。
あんま考えづらいかな。みんな自動化してると思うし。
その差分ぐらいいったと思います。おそらく。
でもGoであんま見ないよな。タイプスカッティングとかの記事は見たことあるけど。
あとだいぶ前に話した、ミラーサーバーだっけ?のキャッシャー汚染してみたいなパターンもあったけど。
めっちゃ有名どころが乗っ取られましたみたいな話はあんま聞かないよね。多分。
これ最近思ったんだけど、このレジストリの仕組みをちゃんと理解してないと何も語れねえなって。
普段よく使ってるGoですらちゃんとは理解してないな。
確かに。
でもどうだろう、僕もそんな理解多分できてないけど、
例えばNPMとかPyPyとかは全部プロトコルが決まって、標準化されたプロトコルがあって、
そのプロトコルをしゃべるレジストリサーバーがあるっていう。
多分基本的にはそれだけと言っていいんじゃないかな。
だからNPM.js以外のプライベートレジストリをその標準通り実装して立てることもできるし、
NPM側の向き先を変えることもできるし、
あとはレジストリ側のバージョンとかパッケージはどう管理されてるかは、
そのレジストリの仕様に依存するって感じなんじゃないかな。
いいニュースということで、ワクワクしながらアップデートを待ちましょうって感じですね。
次、私持ってきたやつですけど、
セキュリティの記事じゃないんですけど、
そのせいぜいAIコードを全部レビューしますか、全部信じますかっていう、
R.Kagayaさんっていう、たまたま見つけた記事なんですけど。
AIエンジニアリングっていう本がオライリーから出るらしくて、
それの協約者らしいです。
AIコーディングという話なのかな。
この本の中身は全然見てないですけど、
なので多分この道に詳しい方なんだなと思うんですけど、
記事の内容としてはさらっと触れるんですけど、
タイトル通りAIが生成したコードをどうしますか、レビューしますかって話を語っていて、
3パターン、ざっくりまず2択あるようにいった話で、
人間が全部頑張ってレビューするのか、
レビューせずに、それは信頼できるとしてレビューしないみたいなのもあるよねって話と、
ただその中間みたいなのもあるよねって話をしていて、
AIでレビューをするとか、
物によってはレビューするみたいな判断をするところで、
どうしていくべきでしょうかみたいな部分を語っているっていう形。
結構、例えばオープンAIではこうだよとか、
そういうものとかも引用しながら語ってくれていて、
結論としてはなるほどなって思ったのは、
ToViveはNotViveっていう記事で、
確率、影響、検知性の3軸でViveコードに向き合うことを述べてますっていうのがあって、
確率みたいな部分はAIが間違う可能性っていうのと、
影響っていう部分はそのコードが与える影響ですよね。
もしミスったコードが交じっちゃったときに、
プロダクションぶっ壊すものなのか、
全然限定的なものなのかっていうのと、
あと検知、ミスったときに気づけるのかみたいな。
これはテストとか、
あとリリース後のだと多分遅いから、
この辺はちょっとあんまり具体的にはなんだろうなっていう部分ですけど、
この3軸で考えたときに、
プロリクっていうのをどう評価すべきかどうリリースすべきかみたいな部分を考える。
考えることしはできるよみたいな部分とか、
またこの3軸に対してできることみたいな部分も結構具体的に振れていて、
間違う確率を下げるとかは、
いろんなコンテキストとか入れるといいよねとか、
影響の見極めとかは結構物によって変わるから難しいよねみたいな部分で、
これは以前から変わらない世界だよねみたいな話をしてて、
そりゃそうねみたいな部分とか、
あとは検知性を最大化するみたいな部分は、
AIコードレビュー化を活用できる領域ですよねみたいな話をしていて、
という感じですね。
最後の締めとしては、
どこに書いたか忘れたんだけど、
とりあえず今までのコードレビューの考え方から世界が変わるのは間違いないだろうっていうのが述べられていて、
人間が書いたコードを人間がレビューするっていう世界から、
じゃあAIがコードを書くようになっても人間がずっとレビューするかというと多分そうじゃなくなる。
AIが一部レビューするとか、
レビューで担保してたものを別の方法で担保できないかという感じで、
マインドチェンジというか、
マインドチェンジはマインドシフトなのか、
まあまあ考え方を変えていかなきゃいけないよねっていう部分が、
個人的に一番強く感じさせられた記事だなと思っていますという感じですね。
こんな記事を出すという前提の元をここに持ってきたのは、
ここのどこにセキュリティ要素を挟むとしたら挟み込むべきなんだろうなっていうのは、
ちゃんと考えた方がいいんだろうなと思っていて、
今までだったら人間が書いて人間がレビューするみたいなところに対して、
レビューする人にセキュリティの知見とか観点とか考え方をインストールしなきゃいけないよねみたいなところで、
まあじゃあチェックリスト作るとか、
でもチェックリストなんてワークしないよねみたいな、
じゃあ教育ですかとか、またその指すと出すとで回してとか、
いやそもそも仕様の時点でみたいな、なんかいろんな論点があったのが。
結構仕様の時点でやんないとしんどそうだなと思うんだけど、
なんか結構前のAIに二要素認証シスをさせたらすごいことになった。
俺の大好きな記事があるんだけど、
フラットスキーティーさんのね。
そう、カナルーンさんのやつ。
未成年のサイバー犯罪の現状
なんかさ、その、うーん、そのさ、なんか、
あれをその後からどうにかするってもうしんどいよなと思っちゃうんだけどな。
そうね、だからなんかその、そういう考え方ももちろん全然あるよね。
だから手前で、だからAIが間違える可能性を下げるんだよね。
もしその、AIにコードを書かせて全然立つと、
AIがちゃんと間違えずに解釈できる仕様、脆弱性ない仕様をどこまで作り込めるかみたいな。
いやなんか勘どころとか神秘眼っていう訳からもう完全に外れてると思うんだよね、あれ。
そう、そうだね。
マジで予想もつかないの、なんか域に入ってると思うから、
なんかそういう問題になる、セキュリティっていうその観点で見たときに、
そういう問題になるのかな、うーんっていうのはちょっと思わない。
なるほどね、そもそも論ってことね。
まあね、でもとはいえその、やっぱもうAIが書くコードが増えるっていうのは避けられない未来になりそうなんで、今のところは。
あれとも向き合わなきゃいけないっていうことを思うと。
いやーまあそうなるとやっぱ触っていかないとなー、なんかちょこちょこ触り始めてるけど、
いやーなんかこのタイミングでソフトエンジニアの仕事をしてないことが微妙に難しさを生んでるんだよ、自分の中で。
なるほどね。
AIでコードを書いてるけど、仕事で。
でも僕ら書くのってその結構ちょろっとしたやつだから、別に。
なんかもっとなんか脆弱性を作り込み得るような、多分APIサーブとかを書いた方が良くて、本当は。
それでどんぐらい、どこでこいつらを踏み外すのかみたいな部分はちょっと手で動かしたいなって気持ちに、今改めてなったのは。
結構ね、何様だよって感じだけど、すごい質の高い記事というか、納得感がある記事でしたね、個人的には。
いやー、余談ですけど、パイロットレビューとか仕事でたまに、たまにというか特定のリポジトリで回したりしてるけど結構精度高くて、
いいじゃんっていう気持ちはあるな。
楽させてくれる気はしつつ。
どうしました?
いやー分からん、なんかもうちょっと使わなきゃなーって思いつつ、なんかなかなか使えてない。
なんか、次の半年を使う、頑張って使うデーにしましょう。
半年前にもそんなこと話してた気がするんだよな。
なんかなー、まあ多分コード書くの好きなんだろうなー、なんか意外と。
いやー分かるよ、なんかどっかで見た、名前はちょっとな、僕は好きなJavaの方のスライドがどっかで流れてきたんだけど、
結論なんか、ソフトエンジニアの仕事が増えましたみたいな結構パンチのあるタイトルのスライドなんだけど、
生成愛でアウトプットというか、
コードの生成量みたいなの確実に増えたんだけど、それに伴って人間がやらなきゃいけないことも確実に増えてるねっていう部分と、
人間が一番楽しかった部分はもう彼らの仕事になったんで、残念ながら彼らの面倒を見るつらい仕事を頑張っていく世界になりましたみたいな結構、
悲観的なわけじゃなくて、その人の語り口がそんな感じなんだけど、スライド見てすごいちょっと分かるなーって気持ち。
面白いかと言われると、まだ面白さを見出せない自分は全然いる。
いやー、コード書くの楽しいよね。
なんかめんどくせえなって思うこともあるんだけど、なんか意外とね、自分の納得いくものをこう書きたいなーみたいなことを考え始めると全然。
そうなんだよね。なんか陶芸とかこんな感じなのかなって気になる。
そうかもしれない。
こここうなんだよな、あるよね。
はい、まあそんな感じです。
次、今日は僕がいっぱい持ってきてる気がするけど。
そうだなー、はい。
The Kids Aren't Alrightっていう、リスキービズっていう、これ何なんだろうね、多分ね、同業者なんですよね。
セキティニュースを読むポッドキャストをやってる会社では多分ないんですけど、リスキーバレットインっていうそのポッドキャストがあって、
そのブログもあるんですけど、そのブログの記事をちょっと引っ張ってきました。
この記事自体はセキティニュースをまとめた会じゃなくて、たまに特定のニュースを取り上げてっていう記事が上がってきて、
それの直近の記事で、記事の内容は下の方はこんなニュースがあったよみたいな、
サマリみたいなのがあるんですけど、僕が取り上げたいのはその手前のタイトルにもなってる子供、
未成年がサイバー犯罪に手を染める話の部分をちょっと取り上げたいなと思って持ってきました。
ざっくりサマリを言うと、未成年とか子供がサイバー犯罪に手を染めるハードルがめちゃくちゃ下がってるよって話が詰まるところの概要ではあって、
具体で言うと、例えば一昔前、10年前とかなのかな、何年前か忘れたけど、未来BotnetっていうBotnetを構築した3名の未成年の人が当時いて、
その人は常に捕まってるんですけど、例えばで言うと彼らの場合はめちゃくちゃ技術力があったんですよね。
Botnet自分たちが構築できるぐらいなんで、めちゃくちゃ技術力があって、逮捕されて、構成後の今は3名ともセキュリティのプロフェッショナルとして仕事をしてますよっていうところに対して、
直近、今の時代じゃどうかっていうと、全然技術力がなくても仕事がサイバー犯罪でできるし入り口もあるし、何なら大金めっちゃ稼げてしまうっていうところが今の状況ですと。
未来Botnetの事例
具体として直近1回多分Podcastの取り上げたことがあるんですけど、ソーシャルエンジニアリングでアカウント企業に入り込むっていうことをするスキャッタードスパイだという教育グループがいるんですけど、
そのメンバーがちょこちょこ逮捕されていて、そのうちの1名が15歳のメンバーが逮捕されたんですけど、この子に取り調べみたいなものをすると、この子の担当としては攻撃対象に対して電話をすると。
スキャッタードスパイだのやり口としては、社内システム、いわゆる上質のサポート窓口みたいなところに、僕管理者で社員なんですけど2FA入れなくなっちゃいました、リカバリーしてくださいとかそういうやり取りをしてアカウント侵害するってことをやるんですけど、その窓口に立つっていうことをしていて、
その時に必要だったスキルは何かっていうと、コミュニケーション能力でしかなくて、コミュニケーション能力みたいな部分を皮肉だなと思うんですけど、どこで学んだかで言うと、多分結構ちゃんとした家庭で、家で紳士的なマナーとかをめっちゃ教え込まれてるんで、それがめちゃくちゃ安全に役に立ちましたみたいなことを言ってるらしくて、
切ないなっていう気持ちというか、何せそのハードスキルみたいなのが全然使わずに、一つの国際的ニュースになる教育グループで、きちんとお金を稼げてしまってるっていう部分もあるし、
彼がこの世界に入った入り口は何だったのかっていうと、マインクラフト、多分マルチサワーとかなんですかね、シムスアップをやってる犯罪グループみたいなのに出会って、そこでシムスアップにまず手を染めたっていうのが入り口になっていて、
その最初、やり始め、手を染めて最初の1週間で3000ドル稼いじゃってるみたいな部分で、多分そこから入り込んじゃってるっていうところ。
なので、こういうあくまで一例だけど、入り口からAPTで活躍して逮捕されるまでの間に技術力って一切身につけてないし、
彼が構成した後に、この未来Botnetの例みたいに、何ができるのかみたいなときに、少なくともセキュリティ業界で生きていくような能力がないってなったときに、
このリスキーVizの口調としては構成の見込みないよねみたいなこと言ってて、その口ではないというだけかなと僕は思いつつ、判決重いんですよね。
確か10年とか多分平気で出てるはずですけど、未来は壊されてるよなっていう部分があって、結構悩ましいなっていう部分があるっすね。
翻訳のやつを引用してるけど、犯罪への入り口は広がってるし、ハードルめっちゃ下がってるし、リターンもでかくなってしまってるんだけどし、スキルもいらないっていう。結構なかなかしんどいなっていうところですね。
サイバー犯罪の入り口と課題
これ15歳?
当時15歳。
当時か。
今は、2025年現在は20歳なんだけど、犯罪に手を進めた当時は15歳だったはず。
そうなんですよね。
でもなんか別に昔からさ、いるよな、ステージが変わっただけでさ、例えば悪いことして、曲の話、日本だと少年院に入ってみたいな人とか。
まあ確かにね。
いるわけじゃない。
確かにね。
ステージが変わっただけで、その口での構成の見込みはないよねっていう、ただそれだけなのかなとは。
まあ言われてみると確かに。
この子たちがサイバー犯罪に出会わなかったとしてどうなってたかっていうのかな。
そこの差について語ってほしいよね。
そうかね。
でもなんかその、なんて言ったらいいんだろうな、なんか多分、まあなんか勝手に忖度して話しちゃうと、そのおそらくすごくカジュアルにそういうところに入っていくようになっちゃったよねっていう前提なり、なんかまあ話なりがあるのかなと思っていて。
まあ日本でもそういうニュースって結構あるわけだから、まあそれはそうなんだろうなとは思うんだけど。
なんか最近もさ、結構人にインスタアカウント載っとって遊ぶみたいなのが流行ってるよみたいなのがXで流行ってくるんだけど。
えぐいなあ。
ある。
不正悪説。
なんか。
あとなんか裁判犯罪とはちょっと違うけど、多分近しいものとして闇バイトとかなのかなあ。
その分業進んで誰でもできる形に切り分けられた犯罪行為を、まあめちゃくちゃ資金避けて大金稼げるよって言って。
闇バイトはでもなんかそれ自体、まあわからん実態がどうなのかはそこまで詳しくないけど、でもある種なんかそれ自体結構詐欺的というか。
なんかもうその後戻りのできない状況まで追い込まれて、なんかもうやるしかないっていう状況に。
ああまあ確かに。
あったりするわけじゃん。
そうだね、まあそれは確かに。
ちょっと性質が違う。
うん。
それでちょっとこのシムスワットに手を染めたタイミングとかでどうなんだろうね、後戻りできてきたのかな、それともなんかどうなんだろうな、その辺の世界観はあんまわかんないな。
わかんなくても。
どういう気持ちでやってるのかな、こういうの。なんかかっこいいと思ってやってるのかな。
前もあったね、ピオログで。
うん。
日本のやつで。まあでもわかんないね。
いやだから別に全くこういうの肯定するわけじゃないけどさ、なんかどうせ捕まるんだったらもっとかっこいいことして捕まってよって思うんだけどな。
そうね、まあでも、いやまあ価値観は人それぞれだからさ、僕ら目線かっこ悪い手段でもさ、スキャットスパイダーも結構でかい企業バンバン侵害してるから、
ハッキングしたったぞみたいな、妙な達成感とか、あとなんかその全然関係ないかもしんないけど、地面士たち見ました。
あー見てない。
見てない。
見てない。
うん。
あの、結構個人的に印象深い、あ、ネタバレは避けるんで印象深い。
あー。
その、なんだろうな、まあ犯罪じゃないですか、地面士っていう犯罪なんですけど、まあ一番最後のとあるシーンで、その犯人が、犯人っていうか地面士がその地面士って仕事っていう表現をしてるときに警官が、
いや仕事じゃないです、そういった犯罪ですよみたいなこと言ってて、すごい印象深いんだけど。
なんかその、地面士目線の、地面士という犯罪をしてるときの、なんか鮮やかさとかを見ると、なんか、あの、ドラマだからめっちゃ脚色されてるとあるけど、ちょっとかっこよく見えてしまうというか、なんだろうな。
やってることはしょうもない詐欺なんだけど。
うん。
で、山がでかければやっぱ、その、スリルもあるらしいとか。
うん。
なんか、そんなんで麻痺してくるのかなーってふと思ってました。
うん。
知らんけど。
まあまあまあ。
はい。
まあなんか、ちょっと悩ましいなーという、こう持つ立場としてもちょっと怖いなーっていう浅い感想ですけど。
うん。
どうなんだろうな、入り口、うーん、まあなんとも言えんなー。
まあでもなんかインターネットって入り口がやっぱ広いのかなーという気もするんでもないけど、ちょっとわかんないな、ほんま適当なこと言えない。
うーん。
はい。
いやー、なんか、うーん、まあ難しいね。
まあでも、うーん。
まあやっぱ麻薬ダメ絶対と同じ教育が必要なんじゃないか。ハッキングダメ絶対とか。
うーん。
リードスダメ絶対とか。
笑っちゃうけど、まじで、なんか、なしじゃないと思うんですよなー。
うーん、なんか、難しいね。
なんか、教育の専門家の話みたいな、こういうのは。
あー、そうかもね、確かに。
なんか、例えばだけど、その遠ざけとくっていう考え方も多分あるじゃん。
遠ざけるっていうのは、目に知らせない、知らずに来てもらうっていうことだよね。
まあ。
でもそれだと余計に危ないよねっていうのもあるじゃん。
そうだね。
分かんないからさ。
うーん。一昔前だったらいけたかもしれないけど、今は多分、いやーどうなんだろうなー。
まあでもやっぱ、その気になればたどり着けちゃうんだろうなーって気がするからなー。
確かに。
ちょっと別の切り口で、プロの話を聞いてみたいかも。
うん。
確かにね、間違いなく。
なんか、でもその子供の犯罪心理学みたいなのって絶対領域としてはあるはずだよね。
ありそう。
うーん。
多分その大人の犯罪のトライアングルとかあるじゃん。
うん。
ああいうのとはまた違う要素がきっとあると思うから。
うん。確かにねー。
いやー、はい。
はい。
なんか、そうっすねー。
ぜひ読まなくてもいいかなー。
まあ考えさせるなっていうのと、リスキービズ、このブログ自体はまあオススメなんで。
ちょっとリプレイFMの上位互換感があってちょっとあれなんですけど。
まあでもね、ちょっと分量が多いから、そういう意味ではこっちのほうが嫌っていいと思います。
突然なアピール。
いやマジでめちゃくちゃ、いやカバリって超広いんだよ。
リスキー、パルティン、すごい量の。
まああとそのちょっとスコープがあれかな。
アメリカによってると思う。アメリカ人多分やってるから。
CSAの話とかすごい出てくるから。
まあその辺、興味ない人はちょっと読み下ろすの大変かもしれないですね。
はい、ありがとうございました。
うっす。
ボット検出機能の強化
次はクラウドフレアのブログで、
Building Unique Power Customer Defenses Against Advanced Bot Threats in AI AR
っていう記事ですね。
日本語版あったっけな。ないか。
たまになぜかクラウドフレア日本語版出してくるんですけど。
はい。
この記事結構長いんですけど、超ざっくり言うと、
より高度なボット検知機能を実装して、
多分サービスとしてリリースしましたよって話ですね。
高度なっていうのは何かっていうと、
そもそも前提として、
クラウドフレア、若干のポジショントークというか啓蒙してる節があるんで、
とはいえ誇張はしないかなと思うんですけど、
直近のAIの発展で、
まずAIボットのトラフィックが増えすぎてますよって話が一つ前提としてあるよねっていう。
具体的にクローリングでガンガンアクセスされるとか、
いろんな操作をAIエージェントがやるみたいな部分とか、
またそもそも悪になるボットのアクセスに対して、
AIを組み込んでるっていうパターンももちろん増えていてっていうところで、
っていう前提があって、
あとはこれ触れるんだというか、
出てくると思わなかったんですけど、
レジデンシャルプロキシー、何回か前に話した、
家庭用ルーターとかを踏み台にアクセスするみたいなパターンとか、
そういうものとかを考えたときに、
従来の例えばIPベースでストロットリングでとか、
脅威IPを頑張って収集して検知をするとか、
そういうような防御策っていうのが、
有効性が低くなってるっていう前提がまずありますよと。
具体的には何個かあったんだけど、
例えばAIエージェントがどういう挙動をするのかみたいな部分で、
買い物を普通に買い物をしてるとこういうページ遷移していくのに、
すごい機械的な感覚でアクセスしてるみたいなパターンとか、
ありますよねみたいな感じで、
今までの検知だと防げないんだけど、
やっぱ怪しいリクエストってありますよねみたいな部分があるんです。
そこに対してクラウドフェラーが、
どうやってそれを検知する機能を作ったかっていうと、
そこがわりとちょっと興味深いというか、
クラウドフェラーがあるんだからなと思ったんだけど、
彼らめちゃくちゃな量のトラフィック、
世界中のトラフィックを握ってるんで、
それを分析して、
こういうパターンがあるよねみたいなのをある程度、
規則性として見出した上で、
それを検知するものを実装したっていうのが、
超ざっくりというとやったことです。
なので、
例えばレジデンシャルプロキシーみたいなアクセスとかは、
一つのウェブサイトに対するアクセスから、
それがレジデンシャルプロキシーかどうかを見出すのはめちゃくちゃ難しいんだけど、
世界の全体のトラフィックで見たときに、
傾向としてはアクセスの手法とか、
アクセス元の情報とかフィンガーブリッドとかをいろいろ付け合わせていくと、
やっぱちょっとおかしいよねっていう部分が見出せるので、
それをレジデンシャルプロキシーの挙動としてマークできるとか、
またAIの部分とかも、
ページ遷移をしていくみたいなところで、
さっき言ったような、
遷移の感覚の描写がなぜか機械的になってるとか、
そういう部分にやっぱり不自然さというか、
人間じゃない、通常のアクセスじゃないっていう傾向を見出すことができるので、
それを検知するよっていうものを作ったっていう感じですという話ですね。
なんで?
AIトラフィックの影響
クラウドフェアならではならっていう部分と、
また他のCDNサービスと全然恥ずかしながら分かんないですけど、
レジデンシャルプロキシーまで分かるの結構すごいなっていう気がして、
なんか業種によっては普通にめちゃくちゃ嬉しい機能だよなっていうのは、
シンプルに思ったっていう感じですね。
なので紹介させてもらいました。
おもろいね。
結構読みごたえある記事なんですよね。
いやー、なんか、
これはクラウドフェアだからこそやっぱできてるのかな、
できてるのかなっていうのを持ってるデータの量、
このBot検知ってめちゃくちゃ広い需要だと思っていて。
そうだね。
今はクラウドフェアはめっちゃ言ってるけど、
悪意というか隠れてやってくるAIクローリングを防ぐとか、
そういう機能もバンバン出して、
AI文明もあるし、またリードスも。
3ヶ月に1回クラウドフェアがリードスの史上最高記録突破しましたってブログを出してても、
そういうのも当然あると思うし。
デジネーションプロキシーとかはどっちかっていうとそっちに聞くのかなって気はするけどね。
なんかだいぶいろんなトラフィック持ってる割にあんまり叩かれないよね、クラウドフェアって。
あー、そうだね。
それはそうだね。
なんでなんだろう。
叩かれやすいこと、叩けそうなことあんまり意外としてないんじゃない?どうなんだろう。
なんか直近で思い出した、叩くかと言われたらあれだけど、
ちょっとパワーを感じたら終えなかったやつとしては、
ポリフィールIOのレスポンスを書き換えるみたいなやつとか結構パワーを感じたけど、
あれもわかんない。僕の観測範囲だと別にしょうがないよねっていう論調だった気がするしな。
ポリフィールIO?
ポリフィールIOっていうJavaScriptの、
ポリフィルJSを配布する、2015年ぐらいにJSを書いてたら絶対に通るやつがあって、
使い方としてはHTMLのスクリプトタグの手前に読み込むやつがあるんですよ。
あるんですけど、それをホスティングしてるポリフィールIOっていうドメインがあるんだけど、
そのドメインを持ち主がなぜか中国の企業に売り払っちゃって、
やばいやばいってなって、案の定しばらくしたら、
悪意のある行動を中国の会社がポリフィールIO経由で配布しだして、
古いサイト、メンテされてない古いサイトでポリフィールIOを参照してるところがのきなみにやばくなっちゃったから、
クラウドフレアがホスティングしてるところに関しては、
クラウドフレア側でポリフィールIOへのアクセスを通る場合は、
レスポンスを従来のポリフィールIOが配ってたものに置き換えるっていう対応をしたっていうのが、
1年前ぐらいだっけ、あったんでしょう。
クラウドフレア、出てくるかな。
背景としては、古いサイト、基本的にはサイトホスティングしてる人が自分で気づいて、
修正しないと外側からできることも何もなかったっていう割に、
影響範囲があまりにデカかったっていうのがあって、多分踏み切ったんだけど、
1年前ですね、ちょうど。
これ面白かったな。
これは祭りでしたね。
売れないよって感じだったし。
ほんま。
これ今もやってんのかな。
トラフィックが残り続ける限りはやる。
そうだね。
無料プランは自動でやって、流用プランはオプトインでできるって感じやっぱりね。
これとかはある種、CDN側でその気になれば、
プロキシとセキュリティ
任意のエンドポイントのレスポンスを任意のものに変えるってことができるっていう。
それは現実上はできるんだけど、みたいな部分は。
なんか割と、やった内容によっては危ないよねって気はするなって感じだな。
パワーをめっちゃ感じる。
そんなトピックもありつつ。
マーションでもなんでもないですけど、Botでお困りの方はCloudflareをちょっと見てみてもいいかもしれない。
他のCDNもあるんだろうけどね、その辺のクオリティの差みたいな部分は。
知ってる人いたら教えてください。
なんか結構今日は、あれだな、ビッグが幅があって面白い。
そうかもね、確かにね。
Cloudflareはね、なんかキャンペーンか分かんないけど、毎週10記事くらい出してるんだよね今。
それを立議に見てるのもすごいな。
サマリー見てピックしてるからちゃんと。
結構ね、Cloudflareいいよ。なんかちゃんとしてる。
サービスエンドもあるけど、あるじゃないですか。どこの会社か言わないけど。
海外サービスであらゆるだと思うけど、復習みたいな既存のこういう問題があってこういうふうに解決しなきゃいけないよねみたいなのを成し立て上で、
うちのサービスエンドだったらこれできるよみたいな、いわゆる提灯記事みたいなのをよく見るんですけど。
Cloudflareのやつは結構、やっぱ知見とかリサーチも出した上で、だからこれやるよみたいな記事が読み応えがあって個人的には好きですね。
全部が全部そうだとは言わないが。
そんな流れでまた今日最後で、セキュリティ企業の記事で終わるんですけど。
WithのブログでIMDS Abuse Hunting Rare Behaviors to Uncover Exploitsっていう記事です。
これは何かというと、インスタンスメタデータサービスっていうのをIMDSって表現してるんですけど、
これを悪用する方法の解説的な記事ですね。
ちなみにこれ、インスタンスメタデータサービスって知ってました?
知らないです。
僕も知らなかったんです。知らなかったんで、普通にめっちゃ勉強になるなと思って引っ張ってきたんですけど、
インスタンスメタデータサービスが何かっていうと、AWSで言うとEC2 Instance、Google Cloudで言うとコンピュータエンジン。
ごめん、全然普通に知ってるやつか。
知ってた。
知ってたっていうか、ごめん、これそのもの知ってるか分からんけど、SSRFとかでめっちゃ叩かれてるやつだよね、多分これ。
そうそうそうそうそうそう。
EC2 Instanceとかだと、EC2 Instanceにアタッチして、
EWSで詳しくないからやっぱGoogle Cloudで話すわ。
Google Cloudで話すと、コンピュータエンジンにアタッチしたサービスアカウントがあって、
そのサービスアカウントの権限をコンピュータエンジンは持ってることになるんだけど、
じゃあそれを具体的にコンピュータエンジンの中でどう動いてるかっていうと、
コンピュータエンジンが内部からしか叩けないメタデータ、Instanceメタデータサーバーっていうのが動いてて、
そこに対してリクエストすると、
テンポラリートークンみたいなの、サービスアカウントに紐づくテンポラリートークンが返ってきて、
それを使ってGoogle CloudのAPIを叩くっていうような、超ざっくりとする仕組みがあるんだけど、
それがSSRFとかで狙われるよと。
なぜかというと今言ったようにテンポラリートークンを吐き出すような仕組みがあるからっていう感じ。
以前のブログではAWSで具体の例が書いてあって、
AWSの場合はV1とV2があって、V1の方はHTTPリクエストが遅れちゃうのでSSRFが刺さっちゃうんだけど、
V2の方だと限定的な状況でしか刺さらないような仕様になってるのでセキュアですよみたいな話をしてたりとか、
また攻撃者目線でどういう風に攻撃していくかみたいなところとかも解説してくれていて、
結構勉強になるなっていう部分があって、
僕はインスタンスメタディティサービスの存在をちゃんと知らなかったんで、
まあなるほどなって言いましたっていうところですね。
また具体的に見つけたCVとかも末尾に書いてて、
まあこれは別に正直読まなくてもいいかなっていう感じ。
なんでちょっと知らない人はぜひ読んでくださいって感じかな。
V2はそうですね。
V2はトークンが必要なのか。
だから単純にリクエスト送るだけではさせなくて、
HTTPとリクエストセッターも偽造しないといけないから、
ちょっとハードルが上がるよっていう感じなのか。
Google Cloudこの辺どうなってるんだろうな。
忘れちゃったな。Google Cloudもバージョンいくとかっていうのがあったけどな確か。
森とかその辺の記事入ってなかったっけ。
なるほど。
森とか。僕らの森とかさ。
インスタンスメタディット。
IMDですか。
いろいろちょっと勉強してみよう。
なんか書いてたはずだけど、消えてるな。
余人家ですか。
いや、わからん。
またあれか。検知目線で言うと、
エンドポイントごとに、
やっぱこのタイミングでしか戦えんやろみたいな傾向とかがあるらしくて、
やっぱそれを外れると異常として検知した方がいいみたいな話とか書いてあって、
つなぎ方としてはそれをウィズができるよって話をしてるんだけど、
この辺も知見としてはなるほどなっていう感じですね。
始まりで感じはちょっとしんどいなと思いつつ。
はい。
さらっと紹介しました。
クラウドな。
久々に聞いたな、これ。
それよく考えたら、これの存在ないとあれだよねっていう。
Azureもあるもんね。
直近でこれにIMDについて。
これあれじゃん、Wizの。
同じ記事にたどり着いてツイートを見つけた。
こんなところですか。
確かに振り返ってみればよりどり緑でしたね。
とても良かった。
めっちゃ記事が多かったわけじゃない。
そうだね。
要領も。
NPMJSのトークン移行
NPMJSいきたいですね。
GitHubで2FA強制できたんだからNPMJSでできない道理ないよ。
NPMJSのアカウント持っててGitHubのアカウント持ってない人、
多分この世にいんのかな。
いないと思いたいけど、
その辺に期待しつつ、
また来週も粛々とやりつつ、
涼しくなってきたんで風邪をひかないように頑張りましょう。
言い残したことないですか。
ないです。
じゃあ今週もありがとうございます。
また来週もお楽しみにしててください。
ありがとうございました。
