運用活動とカバレッジの重要性
こんばんは、Replay.fm第21回です。
えー、こんばんは。
こんばんは。
こんばんは。
はい。
はい。
どうですか?
なんでオムライスすんの?
テンションを作りきれてなかった。
整ってなかった?
なんか、うん、整ってなかった。
整えたつもりだったけど、あんま整ってなかった。
難しいよね、整えるの。
難しい。
夜も遅いし。
うん、なんかちょっと暗い話しちゃったしね。
馬車馬のように働いて、平日の夜に収録してるんでね、お差しいただきたいですよ。
今日さ、さっきも話したんだけど、10時から19時半までずっとミーティングで、なんか、間30分の空きが2つしかなかったんだけど。
なんか。
いやー、やばいよ。
え、飯食えないじゃん。
飯は、俺どうしたんだっけ、飯。
あ、でも30分の空きがあったから、あの、冷凍のうどんをレンチンして食った。
あー、なるほどね。
レンチンして。
レンタンにするしかないよね。
そうそう。
レンチンして、かつお節と卵と冷凍のネギかけて、麺つゆちょっとかけて食べた。
化け粧。
うん。
今のほうね、鼻の上化け粧。
いやー、今週は2人とも疲れてるかもな。
まあでも元気にやっていきたいところですね。
いやー。
疲れてるなりに、あのね、掘り下げじゃないんですけど。
うん。
あのね、全く時間を使わずに結果的に掘り下げたって話なんですけど。
あの、先週、Androidのあの端末機能、端末盗難機能あったじゃないですか。
はいはいはい、ありました。
あれ有効にした。
なくした、盗まれた。
盗まれてはないね。盗まれたらだいぶやばい。だいぶインシデント。
大丈夫、盗まれてはない。盗まれてはないんですけどね。
なんかね、その、普通に使ってても、あの、ロックかかるタイミングがちょっと増えた。
あー、そんなにじゃあ、そこの精度は良くないんだ。
うーん、まあ精度良くないか、なんか、なんかのロジックに引っかかってるんだろうなっていう。
あとはその、ロックかかった時になんかセキュリティ上の理由でピンコードの入力をしてくださいって言われることがあって。
うーん。
でもなんか、その普段指紋認証なんですけど、指紋かピンか両方できるんですけど。
うん。
そこがピンなんだと思いながら。
あ、でもあれか、ピンコードだと、うーん、まあでもそう、そこがなんかなんだろうなーと。
まあ要は本人が意識失っててみたいな。
あー、確かにね。そうかそうか。
なるほどね。ありそう。
いろいろ考えてんじゃないかな。
うん。
うん。
面白い。
面白い。
指紋認証4回くらい間違えてもピンコードを求められるんですけど。
うーん。
そうか、ピンの方が一応上位互換って感じの整理なのか。
うーん、というかわかんないけど、裏で、あーどうなんだろう、どういう仕組みなんだろうな。
うーん。
わかんないね。
うん。でも結構なんか挙動が、まあでもね日常生活で使う分にはそんなに困ってないというか。
うーん。
その、使ってる最中に突然ロックがかかるとか、そのポンって置いてすぐロックがかかるとかじゃないんで。
うーん。
なんかちょっとしばらく放置して、ちょっと久しぶりに開いたらなんかピンコードが必要になってるみたいな。
うーん。
まあそうだね。なので、まあまあ別にいいかなって。
カフェとかで、まあ実面はまあ別にいいや。
はい、そんな感じですけど。
セキュリティ脅威の現状
今日もやりましょう。
はい、やりましょう。
はーい。
じゃあ上から、こちらをお願いします。
はい、サイトのコンテンツを無断収集するAIクローラーを捕獲し脱出できなくするツールが物議っていう。
ヤジウマウォッチ、インターネットウォッチのヤジウマウォッチっていうのは何なんだろう。
まあいいか。
なんかの記事です。
なんかよく見る気がするわ、ヤジウマウォッチは。
そうね、はい。
で、まあ中身としては、ロボット.テキストを無視するクローラーに対して意味不明なコンテンツを無限生成するツールっていう感じらしくて。
まあオープンAIのクローラーは脱出できたらしいんだけれども、他は漏れなく捕獲されたっていうふうにこの記事では書いてる。
ちょっと元記事だいぶ長くて読んでないんだけど、なんか面白さはあるけれども、これがいい世の中なのかどうなのか、うーんっていう気持ちでちょっと読んでみた。
いやー、これは見出しだけ読んで中身読んでなかったんだけど、捕獲成功したんだね、面白いね。
そう、そう。
そうか、原理上はそうか、もう一生。
いやー、これなんかあれか、そのだいぶ前に紹介しようかなと思って、でも記事じゃないしなと思ってやめたやつで。
なんかそのハニーポッドのAI版みたいなやつがあって、そっちはなんかGitHubで見れたんですけど、名前忘れちゃったな。
なんかもしかしたら似てるようなアプローチなのかもしれない。
面白い。
まあ、あるよねっていうのと、なんていうか、いい世の中かと言われるとちょっと悲しさはあるよね。
そうね、ちょっとなんか、オークンAIもこれはロボットテキスト無視したのかな、本当に?と思って元記事チラッと見たんだけど、ちょっと元記事の方ではその辺は読み取れなかったので、
うーん、なんかちょっとこの記事をそのまま信用していいものかどうなのかちょっとわかんないけど、
なるほどね。
その元記事を全部読むほどの興味はなかった。
まあいいんじゃない、なんかまさに矢島墓地って感じの記事。
そんな感じの記事。
気がする。
これがなんだ、まあそうね、まあまあまあ、反抗の意思という一つのトピックとしては興味深いですね。
なんかだいぶ前にアスノカゼブログさんで紹介されてた、学習を拒否するロボットテキスト的なやつみたいな、あるいはロボットテキストの仕様みたいなのがあったけど、
なんかあの時にも話したけど、なんか結構この辺の大戦いみたいなのはこの後盛り上がるのかなとは思いますね。
そうだね、いやー、なかなか全部課金しないと続きを読めないメディアだらけになるかもしれない。
あるかもしれないね。
あるかもしれないよな、まじで。
いやーでもさー、そうね、まあでも、まあね、でも結構ジョブセキュリティーだよな、そうなっちゃうと、なんか、こう、物を、いや、ジョブセキュリティーってその、自分のその職をこう、なんて言う、維持する動きというか、
結構なんか、何かを書いて、それがその、学習されて、まああるいは要約されて、みたいなのってなんか結構、物を書く人たちにとっては、物語とかだったら別にいいんだろうけど、ニュース記事とかとか、ニュース記事とかはさーなんか、結構クリティカルじゃない?その、
クリティカルだと思う。
サイトに来て読んでもらって広告踏んでもらわないと、売上が立たないけど。
みんなチャットGPTでニュース読むようになったらもう、おしまいだし、まあメディア目線はフリーライドしてんじゃんって思うだろうね。
お前が広告踏めよって思うかもしれない。
そう、ディープリサーチとかも出てきたけどさ、なんか。
どうなってくるんでしょうね。
うん。
まあ無視しないでほしいな、僕のお気持ちとしては。
なんか上手いことやっててほしいなとは思うんだけど、なんか、まあね、その、邪魔な広告が出てくるとかよりももっと厳しい世界になる。
そうね。
そうそうそうそう。
いやー、きちいな。
うん。
はい。
はい。
ありがとうございます。
はい。
まあちょっと身を守りましょう。
はい。
次もお願いしようかな。
はい、IPA情報セキュリティ重大脅威2025解説、専門家が語るトップ10脅威への対策っていう、NRSKさんのブログですね。
うん。
はい、えーと、いつだっけな、ちょっといつだったかわかんねえ。
えーと、1月のね、30…
そうだね。
に、IPAが毎年出してる重大脅威の2025年版を出していて、それの解説記事ですね。
他にもいくつか記事としては引っ張ってきていて、ただなんかここでまとめて紹介しちゃえばいいかなと思ってこれに1個にとめてます。
はい。
で、基本的にはセキュリティベンダーの記事なんで、個人編の方は紹介してなくて、組織編の方を紹介している。
で、特になんか、なるほどって思ったのは2つ。
2つっていうか1個か、個人的には1個で、サプライチェーンや委託先を狙った攻撃っていうので、名称が昨年までのものに対して委託先っていうのが追加されたっていうのがあって。
なんか直近っていうかな、このポッドキャストでも紹介してきたような事案とか踏まえても、委託先っていうところが結構なんか、
そうだね。
狙われてるケースっていうのはちょこちょこあったかなと思っていて、それ踏まえるとかなり妥当だなとは思う。
一方でその委託先っていうところに対してじゃあ何ができるのみたいなのかなり難しいので、
その選定の時点でなんかもう頑張ってあとは神頼みにするしかないのどうなのみたいなのはちょっと思わんでもない部分かな。
じゃあ対策はみたいなのもなんかいくつかこう、なんか解説記事を紹介してくれてるんだけれども、
まあこれはこれでちょっとまたそのうち読もうかなと思いますが。
いやー結構どうあがいてもきついよな。
なんか委託先の中までちゃんと全部その、何ていうかリスク評価とかリスク分析とかできますかって言われるとちょっと難しいし、
なんかじゃあ対策をしてくださいっていうのをこう外の立場からどれだけ強く言えるのっていうのも難しいところだと思うし、
じゃあなんかやってくれないんだったらオタクと付き合うのはやめますって言い切れる関係性ばっかりとも限らないよなって思うしな。
でももしかしたらその、すごくこのポッドキャストを本当始めたばっかの頃に読んだ記事の話を思い出したんだけど、
もしこの何だろうね、まあランサム10年連続1位でやられてる件数も減らず対策も進まずって状況がまだもっと続くんであれば、
そのこの委託先から自社のセキュリティ認識につながっていくっていう経験をしていく会社の数がどんどん増えていくわけじゃないですか。
もしくはその事件を受けてそこに対する感度が上がっていく過程で、そもそも委託先の選定、まあ委託先の選択肢がない場合はもう無理だけど、
その複数の選択肢があるときに、一番安全そうなところを選ぶというか、値段だけで選ばないというか。
なんかその、めっちゃ最初の頃に話してた話で、プライバシーみたいなのがビジネス上の付加価値になる時代はもうすぐ終わるでしょうみたいな話があったと思ってて。
逆じゃん。付加価値としての重要性は高くなっていくけれども、それを売りにできるところはほとんどないよって話じゃなかったっけ。また別の記事かな。
別?ああ、いや、ちょっと自信なくなってきた。なんかその。
まあいいと聞いたことはわかる。市場原理として、委託先になり得るところが対策をしていく、何ていうか力学が働くんじゃないってことを多分言いたいんだよね。
そういうことです。そうなってくれないと困るしな、みたいな気持ちもありつつ。
まあでも、でも全部が全部そうはならないだろうから、ずっと向き合い続けなきゃいけないんだろうけど。
いやでもさ、それでも、じゃあうちはちゃんとやってますって言ってるところが本当にちゃんとやってるかどうかを検証する術がなくないっていう。
委託先とリスクの考察
まあそれはないですね。いやー、ないし。
もっと言うと、そうやって人気が出たところこそ狙われるし。
いやー、悩ましいな。なんか。
これはね、難しい。
本当に。直近仕事で会社が使ってるサービスの棚下ろしみたいなのをしてるんですけど。
いやこれなんかこの委託先がどういうニュアンスなのかっていうのは、ちょっと僕まだIPのやつ読めてないんであんま言及しないんですけど、
ここで読んできた記事とかの例とかだと結構、なんだろうな、がっつり業務委託契約結んで、
外注みたいな形で情報を預けてシステムを動かしてみたいなんで、大規模な漏洩みたいなのが結構僕はパッと思いつくところだと記憶に新しいなと思ったりしたんですけど、
そういうような発注の仕方をしてなくても、僕らは数多のサービスを使ってそこにたまに機微な情報も預けていて、
それもある意味委託というか、預けて価値を受け取ってるわけじゃないですか。
やった時になんかその自社のサービスを頼り押しする中で、多分どの会社もそうだと思う。うちの規模でさえそうなんであれば他の会社はもっとやべえなと思ってるんですけど、
普通に多分200とかサービス使ってて、なんかじゃあこれ全部チェックする術があったとして全部チェックできるかっていうのは多分不可能なんですよね、普通に。
グラデーションつけるしかないし、結構泥臭いことやらないと無理だし、でもやったとて、やけしゃおっしゃる通りどこまで行っても多分やりきれることはないから、
じゃあどうリスクヘッジすんのっていう感じになってくるんだろうなとか。
そうね。
なんか結構悩ましいなっていう、なんか今の時代ならではだよなというか、あんま他人事じゃないなという気持ちで思ってますね。
難しいね。
難しい?
うん。
まあな、まあまあまあ。はい。
で、今年結構話題になってたのが、この知性学的リスクに起因するサイバー攻撃っていうのが初選出されましたよと。
なんかでも日本の知性学的リスクって何なんだっけっていうのはちょっと改めて振り返りたいなと思ったな。
うーん。
なんかその、うーん、なんて言ったらいいんだろうな、その東西のその、なんていうか、世界のその東西の、いわゆる東西のその、なんていうかこう、境の、ちょうど境のところにいる国だよとか、なんかそういうのはあるだろうけど。
うーん。
専門家呼びたいな、なんか浅いことしか、まあでもいい、なんかわかんないなりに思うのは、まあそうですね、その東西の話もそうだし。
なんかシンプルに、あんまもう、なんていうか、日常さ感じすぎて、僕は多分一回もピックしたことないんですけど、その、北朝鮮中国ロシアあたりのアクターから、まあこういうキャンペーンでこういう攻撃が行われましたみたいな。
で、そのターゲット日本が入ってるっていうのって、なんかあんま珍しくないというか。
うーん。
見慣れた光景というか。
うーん。
結構まあ狙われる対象としてはその一般企業、まあ一般企業も狙われるだろうけど、その、何でしょうね、まあ政治とかその軍隊とかそういうところに、まあ自衛隊とかそういうところに近いところの人が多分狙われてるっぽい話もありつつ。
うーん。
でも直近だと、まあDMM派手にやられたよねとか、まああれはどうだろうな、その資金集めの鴨にされたっていう解釈も正しいのかもしれないけど、まあなんか何だろうね、あんまなんでしょうね。
なんかちょっと身近に感じないというか、なんか現実味がまだない部分ですよね。
うーん、そうだね。
でもここにわざわざ入ってるってことは、まあもうあなたのすぐそばまでは来てるんですよっていう解釈、受け取り方はしないといけないのかな。
うーん、まあわかんないですね。
なんか専門家を呼びたい。
呼びたい。
そんな感じですね。
知性学的リスクとサイバー攻撃
まあでもあれですね、えっと何だっけ、2月の末頃に重大脅威2025組織編の詳細のPDFが出るので、
ああ、そうなんだ。
まあそれを待って、IPAの細かい解説みたいなのを待ちたいですね。
なるほど、楽しみにしよう。
まあ一応なんかIPAのプレスリリースでは、ちょろっとなんか触れてるのかな。
具体例として国家の関与が疑われるとされるサイバー攻撃が挙げられましたよっていう。
うんうんうん。
なんかそれって自生学的ディスクなのかというとどうなんだろうね。
国家の関与が疑われて日本という国を狙った攻撃なのかどうなのかみたいなところはちょっとこれだけだと何とも言えないかな。
まあちょっと解説を待ちたいですね。
うん、そうですね。
続編と解説を待ちましょう。
じゃあ次いきますか。これな。
お願いします。
まあ、はい。
何の記事かっていうと、多分実証というかこういう攻撃がありましたっていう話というよりかは、
SQUAREXっていう企業なのかな。
出したリサーチラポートみたいなもので、
ブラウザーシンクジャッキングという攻撃に関して紹介、紹介というか記事が出ていて、
その攻撃に関する紹介記事という感じですね。
で、これが僕はいまいちわからなかったというか、
GoogleワークスペースとChromeに詳しくないと真に理解難しいなと思ったんですけど、
まあわかんないなりに解説を試みると、
なんか攻撃の下準備として、
Googleワークスペースの契約と契約したワークスペースでプロファイルを作成し、
かつ悪意のあるエクステンションを作るっていうのが下準備としてあって、
その下準備が済んだ状態で攻撃対象に対してまずはその悪意のあるエクステンションっていうのを
何かしらフィッシングなりお得なエクステンションに見せかけて検索経由で入れてもらうなり、
何かしらの方法で入れてもらうっていうのがネクストステップになっていて、
そのエクステンションを入れると、
事前に用意したワークスペースで作成したプロファイルでログインをさせることが可能ですと。
このログインをさせることに成功した後に、また最後の仕上げとして、
状態としては攻撃者の手元でも手元で事前作成したプロファイルAがあったとして、そのプロファイルAにログインしています。
攻撃に引っかかった人もプロファイルAでログインした状態になっています。
この状態で攻撃を受けた側の人にもうエクステンションが入ってるんで、そのエクステンションの権限を悪用して、
あなたのプロファイルでデータ同期ができてないんでデータ同期をしてねっていうような案内を出して、
この案内自体はGoogleの正規のガイドがあるんで、そのリンクをペンって表示してあげて、
丁寧にここでこのボタンを押してねって言って、もしそれを押してしまうと、
プロファイル間でのデータの同期、パスワードとか閲覧履歴とか検索履歴とかいろいろ同期されちゃって、
攻撃者側につながっちゃうよっていうのが攻撃の外観っていう感じです。
なるほどね、じゃあ別にあれなんだね、プロファイルをその乗っ取ったChrome側でプロファイルを作るというわけではないんだ。
うん、プロファイル作るわけではない。事前に作っておいて、それでログインさせるっていう。
いやー、でもそれでログインさせる、それをログインで、それでログインさせればどうやってやるんだっけ?
それがね、そこが僕も分からなくて、そもそも言語的に。
そうそう、Chrome各社のバックグラウンドスクリプトだけでそれできるの?本当にってちょっと思ったんだけど。
なんかね、なんなんすかね、どうやってやるのか本当に分かんないんですよね。
一応なんかデモ動画みたいのもあって、ちょっと時間なくてあんま見れなかったんですけど、
それ見れば分かるかなと思ったけど。
めっちゃ解説してる。
そう、めっちゃね、結構がっつり解説してるんだが、
しかもこれパート1な、だからパート2も見ないと全容が分かんないかもしれない。
なんか、そこまでするほど重大なあれなのかな。
うーん、まあなんかその、あくまでPoCだって、これが悪用されたわけじゃない。
うん、in the wildで出たって話じゃないわけだよね。
そうだね。
できそうだねっていうのを出してるだけだよね。
で、一応なんかこのGoogleにブルーピンコンピューターがこれについて問い合わせをしてるけど、
返信待ちですって書いてあって、よーやるわと思いながら。
ね、いいや。
でもやっぱね、動画見てる感じはね、そのエクステンション入れた後に何もせずにね、なんかプロファイル入ってるっぽいんだよなっていう。
ちょっとChrome拡張に詳しい人に聞きたいですね。
そうですね。
あとはその、プロファイルの仕組みが知りたいな。
複数、その同期っていうのもさ、そのプロファイルごとに、バサードとか独立できてないってことだよなって思うとなんか。
著作権侵害に関する支援
プロファイルごとにパスワードは、えっとだから多分、ノーガードのプロファイルを先に作ってるってことでしょ。
あー、そっかそっかそっか、そうだね。
そうそう、ノーガードのプロファイル作ってる。
あーでもまあまあまあ、でもそのプロファイルで登録させた時に、なんかプロファイルごとに色々アイソレーションされないんだっけっていうのがちょっとピンときてないって感じかな。
まあでも欲しいのって、なんかその、例えばだけど、えっと履歴とかもそうだし、パスワードとかもそうだよね。
ここだからプロファイルの中に入るから、でプロファイルでデバイス間同期が走るから、まあそこは正直独立しないんだろうね。
なるほど。
何で、いやー。
これコードとかあんのかな元記事。でもね多分ないんだよね、だから。
まあね、エクステンションのAPIをね見てるんだけど。
でも確かにそのプロファイル作る時に、そのあらゆる防御機構をオプトアウトするっていう手順があるから、その何だろうね、なんかJSの実行でふわっとログインできちゃうのかな。
え、それってそこの手順なの?
オプトアウト。
オプトアウトの方しか読んでないから、あれなんだよな、なんかどっちかっていうとプロファイルとかGoogleワークスペース側の設定で、なんかめちゃくちゃ弱くするみたいなカップリだった気がするんだよね。
そうね、Googleワークスペースでプロファイル作る時に弱くするっていうのはあってる。
でもなんか分かってきたけどさ、なんかその、えっと、プロファイル、まあプロファイルっていうのは何を指してるんだろうな。
いやなんかその、複数アカウントでログインした状態のプロファイルで、なんかChromeログイン、Googleログインを求めるときになんか複数アカウントを選ぶ画面になるときあるじゃないですか。
うん。
あれの、いやなんかもう分かんないね、何喋ってもしょうがねえな。
まあでもなんかあれに追加するみたいなのをするのかなっていう。
で、JSさえ実行できれば脆弱なアカウントであればログインできるからできるのかなとかちょっと思ったけど、分かんないです。
まあでも目の付けどころがシャープかもしれない。
気持ちで。
バカ、バカにしてんの?
いや、バカにしてないです。
よく考えるなっていう。
まあでも着眼点としてはあれだよね、あの、Chrome拡張って感じで。
なんかでも、あんまクールじゃないよな。
まあだいぶそうだね、いつ悪用できるかと言われるとどうでしょうって感じですね。
ちょっとなんかAPIリファレンス見ても、分かんないなあ。
なんかなさそうに見えるが。
なんかプロファイルというかログイン状態を読み取ってモニタリングする機能はあるんだよね。
うーん、なるほど。
でもログインする機能はない。
てかなんかあったら困ると思うんだよな。
だってChrome拡張側になんかGoogleのIDとかパスワードとか持ってかれちゃうじゃん。
そうだね、そうだね。
ちょっとよく分かんない。
まあなんかやり方があるんだろうね。
そうですね。
まあ気になる方はちょっと見てみてください。
僕はそんなに気にならなかった。
もういいかなって気持ち。
そうね。
次いきますか。
いきましょう。
ネット上の著作権侵害、個人クリエイターの削除請求、発信者情報開示請求、損害賠償請求に係る費用を支援。
スキャンネットセキュリティさんの記事です。
文化庁が今ボードで話したようなタイトルになるような、何ていうか費用を支援するよって言ったらそれだけの記事なんですが、
支援は1件あたり上限150万円、損害賠償請求に係る経費を含む場合は上限400万円、申請時の事故負担額11,000円を除いた額になりますよと。
結構太っ腹だよね。
相談窓口通じて相談したものについて担当弁護士がなんか、著作権侵害の外漸性が高いねって判断すると、同事業への申請ができるよっていう話でした。
ちょっと軽い気持ちで読んじゃったけど、ちゃんとあれだね、元の文化庁の記事読むと海賊版とか、海賊版サイトとかの方の話が書いてありますね。
なるほどね。確かにな、それは支援というか個人の立ち向かいなのかもな。
著作権侵害の支援窓口
そこは多分わかりやすい例かなと思うんだけど、これ自体は結構範囲が広いと思っていて、世の中一般で言うと間違いなく良いことだと思う一方で各種権利行使のハードルが下がる側面はあるので、業務面で影響を受ける会社は結構あるんじゃないかなと思っていて、
要はユーザーコンテンツの投稿を広く受け付けているようなサービスは全般的に影響を受ける可能性があると思っていて、うつも例外ではない、それで言うと。
だから御社のサービスで侵害発生して、それから情報をよこしてよ協力してよってことだよね。
そうそうそうそう。
確かにね、確かに確かに確かに。
もちろん良いことではあるんだけれども、企業側から見た時には、別に難しいな、どう表現したらいいのかわからないけど、そこの問い合わせが増えるっていうことは一定そこに人を張らなきゃいけないので、頭の痛い問題ではあるだろうなと思う。
ただ、なくなくみんな諦めてたところに対して支援が入るっていうことなので、正しくはあるし、
そうだね。
うん、なんか絶対良いことなんだけど、そう、まあ頭の痛い問題ではあるのかなとはちょっと思った。
なるほどね。
確かに。
なんかどれぐらい使われていくのかが気になりますね。1月14日発表か。
ちょっとね、まあわかんない。僕の理解がこれで合ってるのかどうかがわかんないんだけど。
そっかでも、解説してる窓口自体はインターネット上の海賊版による著作権侵害の相談窓口なんだね。
2つあるのかな?あとは、ああそうね、海賊版対策情報サイトと、インターネット上の著作権侵害等への権利行使支援事業。
音楽クリエイターが他の自分の曲が許可なく他人の動画で使われてるとか無断でアップロードされたとか。
でも結構身近な例もありますね。自分が描いたイラストが無断SNS最高に使用されたとか、写真がグッズ化されたとか。
文化庁のプレスにはなんか、このインターネット上の海賊版による著作権侵害の相談窓口って明記されてるんだよね。
それの上のこっちがある。インターネット上の著作権侵害等への権利行使。あれ?どこ見てるの?
それの一番上、冒頭の四角、一番上。
一番上?
一番上、それ、そこ。
あー。
本事業では文化庁が質問に対し、インターネット上の個人クリエイター等による相談のうち。
これ、それで言うと元々あったのか。もしかして、海賊版の。
この窓口自体はあったはずで、そうそうそう。
そっから枝分かれする形で、個人の方もサポートするよってなったのか。
いや、違うでしょ。もともと相談を受け付けてたけど、金銭的支援をするよっていう、始めるよって話でしょ。
そういうことか。
多分ね。
一番下のリンクは海賊版バージョンの窓口と、個人クリエイター版の窓口があって、個人クリエイターの方も多分文化庁が相談窓口になってるのかな。
なんかここが、
でも支援も出るっぽいよ、他には。
確かにね。でもここの、そうだね、ここの書きっぷりで言うと別に海賊版に限らずっていう見え方をしているけど、ちょっとよく分かんないね、ここはね。
えー、結構、じゃあ結構幅広いな。
なんかすごい困ってる人めっちゃいそうだから、まあでもここまで行動を起こそうっていう人がどれくらいいるかって感じか。
うーん。
しんどいと思うんだよな。
でもお金がかからないんだったらっていう人は多いんじゃない?きっとね。
確かに。入口のハードルは下がってるかもね。
うーん。
なるほど。
まあよくしようとなるといいですね。
はい。
はい。
ありがとうございます。
はい。
じゃあ、次。
お願いします。
えー、パブリッククラウドのセキュリティ設定ガイド、インシデントを防ぐ実践的なポイント解説っていうNRAセキュアさんの記事ですね。
で、えっとですね。
まあ内容はぜひ読んでくださいという感じなんですけど。
タイトルの通りでパブリッククラウドを使っていく中で、いろんなセキュリティ観点でこういうふうに設定していくといいよみたいなところのガイドを結構丁寧に書いてくれている。
で、わかる人はわかる表現で言うと、いわゆるCSPMで見てくれるようなところに対してこういうふうに設定しようって話ですね。
で、ただこの記事結構おもろいのは、おもろいと個人的に思ったのは、パブリッククラウドでセキュリティ設定ちゃんとしなきゃいけないってなったときに、項目って上げようと思えば無限に上がるんですけど。
この記事では特に重要なものとして、開発運用ユーザーの認証強化、2つ目に管理ポートの通信制限、3つ目にストレージ公開設定の適正化っていうのを挙げてて。
この3つにフォーカスして解説をしてくれてるし、この3つにちゃんと取り組むことでかなりリスクを大幅に低減できるよっていうことを言い切ってる。
言い切ってるとか言ってくれてるって感じですね。
内容としては、重要なベンチマークを紹介とか、またGoogle Cloud、AWS、Azure、いろいろありますけど、共通して確認すべき対策ポイントと、それぞれにおいて確認すべき対策ポイントっていうのを結構詳しくまとめてくれてるっていうところですかね。
個人的に、これは知れてよかったなっていうのが1つだけあって、何だっけな。
あ、そう、弊社Google Cloudなんですけど、パスワードの再利用禁止っていうポリシーがあるらしくて、これは知らなかったんでやろうと思ったっていうくらいですけど、
意外とというか結構ちゃんと詳しく書いてあるんで、パブリッククラウドちゃんとしなきゃいけない、CSPMとかよくわかんないけど入れないといけないのかもしれない、
でも何からすればいいかわかんないっていう人は、とりあえずこれ読んでここに書いてるやつを全部やるだけでだいぶスタートラインというか、なんか手始めにはいいんじゃないかなって思うところはありつつ、
っていうところですかね。ちょっと試験も交えてさまりに混ざっちゃったけど、そんな感じです。
アカウント防災訓練の重要性
どうですか。
Googleワークスペースのほうだね、このパスワードの再利用禁止って。
パスワードの再利用はそうです。
いや別に間違ってないんだろうなと思うんだけど、結局CISベンチマークとかって全部多分上げられてる話なんだろうよね、きっとね。
多分。
いやなんかある程度のレベルにいったときに、まあいいや。
いやなんか別にピンポイントでこの辺を紹介するのはいいんだろうけど、どっちかっていうとなんかこのコンテンツとしてはCISベンチマークがすでにあるわけで、
なんかどっちかっていうとCISベンチマークの運用の方法とかのほうが気になるなと思った。
なるほどね。
いやー、その辺は確かにそんなに深掘りはされてないかな。
なんか個人的にはもうCSPM使うしかないじゃんって気持ちがあるけどね。
なんかその手で運用は無理だと思うわ、CISベンチマークみたいなもの。項目が多すぎて。
あとその変化するし。
CISBMって自分で触ったことがないからなんとも言えないんだけど、そのCISベンチマークとかも全部見た上でやってくれてるの?
ものによると思うけど大体見てると思う。
思うって表現してるのは、CISBMのベンダーも売りとしてこの通りにやればこのポリシー守ることになるよっていうものがあって、
その中の一つとしてCISベンチマークがあったりするんで、具体例出しちゃうと、うちは結局使わなかったんですけど、
インターネットドックのCSPMとかは右上か左上かにそのポリシールールの根拠となっているガイドラインみたいなのが書いてあったりするんですよ。
その中にCISうんたらみたいなのが書いてあったりして。
なるほどね。
うん、なんで、逆に言うとそういうベンチマークに準拠したいとかであれば、それを満たすCSPMサービスを探せばあるんじゃないかなという気はするし、
もしくは全部網羅できてなくても、それをスタートとしてカスタムルールでプリセットで提供してくれてない部分を自分たちで付け足して育てていこうとか、
そういう方がいいんじゃないかなっていう。
いいんじゃないかなというか、運用していく観点に立つとそれがいいんじゃないって気はしてますね。
うん、そうですよ。
1個1個自前で実装したり頑張ってもいいんですけど。
また個人的にはこの3つ頑張ればいいよって言ってるのはすごく好感を持っていて。
納得感がある。
納得感がある。
仕事でCSPM運用したんですけど、
おそらくだけどCSペンチマークって網羅性があるんで、
その網羅性に基づいてプリセットのルールがあって、
プリセットに基づいてバーって検知されるとすごい検知されるんですけど、
1個1個ちゃんと向き合っていくと結局この3つが軍を抜いてリスクが高いし、
かつRLの設定ミスというかリスクのある設定になってるんで、
まずここ抑えないとねっていうのは個人的には納得感があるって感じですね。
もちろんこれ以外にも良いものはあるんですけど。
まだこれ系のインシデントも3つともパッと頭に多分思いつくじゃないですか。
直近とか直近時に読んだらとか。
そういうのもあるし、狙ってるっていうのもあると思うんでっていう感じかな。
はい。
はい。
ありがとうございます。
じゃあ次の記事。
いきましょう。
おー楽しみにしてたやつだ。
レスパスワード時代のアカウント防災訓練というジャックさんの記事ですね。
これはなんかそのサマリーをお伝えするようなものではないので、
ぜひ読んでくださいとしか言いようがないんだけれども、
ある日突然全てを失った時にあなたのアカウントをリカバリできますかっていう話。
できますか。
多分できないです。
僕はできない説がたくさんあるね。
私は昔から結構意識して生活してて実は。
やっぱ考えるよねこれって思いながら読んでたんだけど。
今はもうやってないんだけど、
例えばやってないから話せるんだけど、
そのリカバリコードすべて、
2ファクターオーセンティケーションのリカバリコードを全部ドロップボックスに置いて、
ドロップボックスだけは2ファクターオーセンティケーションなしで、
ワンパスワードも他で使ってない記憶できるやつを使ってるみたいな状態で、
要はドロップボックスに入ることさえできればリカバリコードが手に入るから、
2ファクターオーセンティケーションのリカバリコードが手に入るのがあったんですが、
最近はもう別の方法を取っていて、
それは話さないんだけど。
そうね話さない方がいいね。
ジャックさんの記事の中だと最終的に、
ワンパスワードのシークレットキーを刻み込んだドックタグを作って、
それを災害時に持ち出す防災カバーに取り付ける。
家の中の一番でかくて頑丈そうな家電の一箇所に刻み込んでおくとか、
実家と会社にセッションの生きたデバイスを置いておき、
たまに確認するとかあげてて。
ここまでやったら偉いなってちょっと思ったけど。
いやーなかなかだよね。
こうしてみると、
ワンパスワードのシークレットキーってある意味では
扱いやすくていいのかもなってちょっと思った。
ないじゃないですか、他のサービスだと。
そうだね、確かにないね。
本当に一回使そうだね。
でも普段使いには普通にあれ用の入力が求められるシチュエーション。
普通にめんどくさいから嫌なんだけど。
いやー、ドックタグ。
ドックタグね。
だいぶおもろいよな。
ドックタグに刻印するのは自分でやるのかなってちょっと思った。
そのドックタグのサプライチェーン。
あー、確かにね。
ドックタグの刻印って自分でできるのかな?
あの、缶ってやつがあればできると思ってた。
あー。
自作とか出てくるわ。
ドックタグ、刻印、DIY。
DIYできそうだね。できそうだね。
確かにね。
まあでも、難しいね。
1個でも漏えいしたらどうなんでいいって話と。
いやー、これ。
考えさせられたね、この記事はとても。
考えたほうがいいよ。
普通にある日突然全て失うかもしれないので。
地震とかつなぐとかね。
うーん、まあ私はちょっと最近その観点で言うと
若干困ってることがあって、まあそれは収録後にお話ししましょう。
なるほど。
じゃあぜひお願いします。
いやー、考えよう。
アカウントリカバリの課題
今日考えて明日実行するわ。
実行できそうなプランだったら。
KYCでのリカバリ、アカウントリカバリに触れてるんですよ、記事の中で。
パスキー普及した後の最後の壁がアカウントリカバリの強化だと思っていて、
結局そのパスキーよりも強度の低い認証要素を持って
アカウントリカバリをしなきゃいけないっていう状況が
解決しない限りは結構最後の最後でどうしても弱いところが残っちゃうっていうのはあるので
KYCでのリカバリとかが
もっと言えばICチップKICとか
JPKIの
ICチップKICはごめんなさい、社内用語だ。失礼しました。
大丈夫です。
クソ社内用語を出してしまったんですが
JPKIとかマイナンバーカードとかを使った
KYCとかでサクッとリカバリできるようになるといいんだろうなと思っていて
ただ国内のサービス限定だから
国際的に展開してるサービスだと難しいだろうし
ちょっといろいろ考えないといけないことあるんだけれども
そこが最後の最後で壁になるから
このKYCでのリカバリっていうのがもっと
もっとっていうかちゃんと普及するといいなっていう
しかもっと簡単になるといいなっていうのはちょっと思ってるところではある。
AIによるソーシャルエンジニアリングの例
そうだねー
願わくばリテラシーがなくても
簡単になる世界になっていけるといいよねー
なんだっけなー
体にチップ埋め込んでる国とかは
体にチップがあるから大丈夫なのかな
どこだっけ、忘れちゃった。
でもなんか欠損するかもしれないじゃん
まあね
そこまでいったら
じゃあもう両手両足に埋め込もう
冗長構成にするの?
4本同時に飛ぶことはまあまあないでしょみたいな感じ
どっちかっていうとなんか
そこが飛んだらまあ死んでるから関係ねーよなっていうところに入れた方がいいんじゃない?
普段使いできるさそういう場所ってどこがあるんだろうね
おでこ
嫌だなー嫌すぎるなおでこ
お店とかで土下座に
おでこで
ちょっとおもろいけど
それかおでこに読み取り機をあてる
嫌だなーめちゃくちゃ嫌だなー
なんか
まあ頭が飛んだら死んでるでしょっていう
嫌な人は嫌か
希望なんか3択くらい用意してあげておでこかのどか
おでこかのどか
誰か考えてください
おでこかのどで僕はおでこかのどでいいね
究極の2択
絶対のどでしょおでこはないわ
もうきついって
いやーどっちもないかな
いやーでもちょっと考えよう
プレゼンはできないのかプレゼンできないんでちょっとこっそり考えよう
してもいいんじゃない
いやいいよやだよ
狙われるかもしんないじゃん
いや結構
まあちょっと余計なこと言いかけたんで次行きます
はい次は
トップ5AIパワーウォーズソーシャルエンジニアリングアタックス
っていうハッカニュースの記事ですね
まとめ記事って感じだけど
個人的な復習としていいなと思ったんで紹介したくて
タイトルの通り
AIを活用したソーシャルエンジニアリングアタックス
実際にあったものの
トップ5ランキング形式なんですかね
を取り上げてるって感じですね
多分2024年のとかではなくて
今時点で印象深いトップ5を
ピックしたのかなと勝手に解釈してるんですけど
5つサクッと読めるんで話しちゃうと
1個目がこれ僕知らなかったんですけど
スロバキア選挙において未成音源を拡散されました
っていうのがあって
投票日かな
投票日の数日前にその候補者が
印象が下がるような
利用する会話か何かを電話でしてる音源が
SNS上で拡散されて
たって話ですね
結局その拡散された音源はAIに生成された偽物だ
っていうのは分かったんですけど
これがどう影響したか神のみぞ知れるって感じだけど
選挙の結果自体は
被害を受けた候補者の方が2位で落選した
みたいな感じで
こういう役用の仕方もあるよね
あとはビデオ通話詐欺みたいなの
ビデオ通話詐欺でこれは結構
印象深かったので覚えてたんですけど
ある会社の財務担当に対して
その財務担当の会社の
取引先のCFOの同僚を
予想って
2500万ドル送金してください
仕事に必要なんでっていうことを要求して
結果として財務担当者の人が騙されちゃって
送金しちゃいましたっていう事件ですね
これなんかちょっと
AIの力以外の要素も結構あるんで
その認識はすべきなんですけど
ただ一つの活用方法として
実際にビデオ通話で
同僚を予想っている人と会話したときに
同時に入ってきた
人物 実在の人物の映像っていうのが
ディープフェイクで生成されたやつっていうのがあって
最終的にそれが決め手の一つとなってしまって
送金したっていうような事件があったっていうところですね
2500万ドルに
今の考えたくないですね 今の世の中だと
すごい金額が取られましたっていう
あとは
最近記事で読んだ気がするんですけど
母親に対して娘を予想って
身代金を要求するってやつで
AIで捕まっちゃったっていうので
詐欺電話をかけてきてお金を振り込めっていう
これは結局多分振り込まなかったんですけど
本当に騙されそうになっちゃいましたみたいな話があったっていうのとか
あとは偽のFacebookの
チャットボットで
活用してるって話もあって
あなたのアカウントを停止します
停止を防ぐにはこのリンクからサポートを受けてくださいみたいな
メールを送ってリンクを踏むと
チャットボットが出てきて
そこから色々盗み出すみたいな
ところで活用されてましたみたいな話
あと最後がゼレンスキ大統領の偽像を流すってやつで
これは知らなかったなって感じなんですけど
ウクライナのテレビ局がハッキングされちゃって
ハッキングされた後にゼレンスキ大統領が
ロシアに降伏してくださいとか
武器を下ろしてくださいみたいなことを言ってる
偽の映像が流されたっていう事件があったらしいです
一応この事件自体は映像の質がめっちゃ低くて
全然騙されなかったらしいんですけど
まあまあまあって感じですね
AIの生成物とその影響
対策みたいなのが書いてあって
当たり前のことしか書いてないのでちょちょっと言うと
この脅威自体の存在をきちんと従業員に
周知した方がいいよとか
ソーサーエンジニアリングの実際の手法みたいなのを
体験させんのか見せんのか座学をすんのか
わかんないけどまあまあ訓練した方がいいかもねとか
あとはやられちゃった時に被害を最小化するために
アカウント権限管理とか
侵入を検知するとかそういうことはやった方がいいよねみたいな
ことが書いてあって締めくくられているという感じですね
あとはなんかその
それこそこの5つの例で言うと
4つ目のFacebookチャットボットはわかんないですけど
1個目2個目は
1個目も結局
1個目は多分ちょっと
選挙の偽会話とビデオ通話の偽映像が
成功例だとして
見抜けないものが回ってくる前提で
考えたかなきゃいけないよねっていうところも書いてあって
そうですねっていう気持ちで
それは本当にそうだねっていう
どうなっていくんでしょうっていうところで
まあまあ思ったっていうところですかね
AI大航海時代ですよ
7月に
8月に
AI大航海時代ですよ
なんかその家族の前々からずっと言われてるけど
この3つ目のやつとかは
自分、いやだからそうPodcastだめかもな
その自分の声とか画像とかのデータを
あんま必要性ないのに流すと
こういうのに悪用されるっていうのは多分割と
嘘じゃないとか現実的な脅威ではない
じゃあ今日から裏声で収録しよう
ボイチン使うか
怪しい
怪しすぎる
Podcastの声収集されてやられたら
うちの家族に詐欺電話とかやられたら結構
これBGMつけとけばさ
防げたりしないのかな
AIの制度次第なんじゃないかな
でもさBGMを
オフにするAIとかじゃなくてツールとか
だいぶ昔からあったりするから上手く加工すれば
そこそこのまま作れるんじゃない
でも自分で喋るのめんどくさいから
AIが喋ってくれるんだったら
それはそれで助かるから
それ発想はなかったな
結構トレードオフ
ミーティング出といてって言って
映像と音声揃うからね
コンテキストも事前学習させて
こんな感じで答えておいてってやっとけば
それは未来だね
Podcastもさサマリーを先に書いておいたら
勝手にAI同士が
この時間に集合して喋って
収録した内容がそのまんま
Spotifyにアップロードされて勝手に公開される
リスナーはそれをAIに聞かせてサマリーを読むんでしょ
そうそう
どんな世界だよまじで
あるかもしれない
なんか対面でのいろんな物事が
重要になっていくのかなこの時代においては
そうね
なんか
送金の例とかはどうすればよかったんだろうね
身元確認というか
相手が相手であることの保証を
映像とか文面に依存しちゃダメだよねって感じなのかな
この手口
っていうか手法自体は
BEC
ビジネスイメールコンプライマーションっていうやり方として
ずっと知られてる話で
それがメールじゃなくなったっていうだけの話だから
根本的には対策は変わらなくて
手続き上の
このレベルの手続きを
単として一人でできるっていうのが
そもそも統制上良くないよねとか
いろいろ多分話としてはあるから
確かにね
なんか今当たり前に迷惑電話が
手元にかかってくるように当たり前に
詐欺LINE通話とか
かかってくる時代が来るのかもな
うん
嫌ですね
キンキンは意外と知るだけで
知らないとやられるけど
知ったらやられる確率を下げられるのが普通にあるかもな
そうね
大丈夫だと思うんですけど
いい感じの情報の
濃さだったので紹介してみました
じゃあ次
お願いいたします
論文なんだよね多分ね
っていう論文が出ましたよっていう話
オープンAIのモデルと
ディープシークのモデルを
比べて
そのディープシークは
オープンAIのモデルに対して
10倍以上の頻度でヘイトスピーチとか
ちょっと良くない回答を生成したよっていう
研究結果の論文です
10倍以上
いやー
この辺さー
別の記事のコメントでもややしっかり書いてくれてるんですけどさ
その星取り表
誰か作ってメンテしてほしいよね
これ
モデルっていう
単位で見ると山ほど出てきててさ
これを
サービスとして利用する分には
いいとして
これを使ってサービスを展開しましょうってなった時に
変なこと言わないのこいつっていうのを
ちゃんと評価しないとまずい
って話だよね
その一端というか
評価フレームワークはいくつか出てきてると思っていて
それを使った評価を誰がやるのっていう
そうね
導入する側でやらなきゃいけないんだと普通にだるいし
いやー
なんか
生成AI版のSOCK2とかISMSみたいな
印象があるといいのかな
結局そういうことだよね
観点として
安全でない部分もそうだし
あとハルシネーションとか
ハルシネーションもそうだし
何も知らない人が側だけ見たら
同じように見えて結構見なきゃいけない
というか差分はあるんだな
面白い
AIシステムのセキュリティ
ディープシークが比較して安全じゃないっていう記事はチラッと見たりしたんだけど
こういう論文が出ててっていうのは面白いですね
面白かったね
中身は読んでないんだけど
ちょっと乗せみよう
この評価フレームはこの子の頭に入れとこう
なんかGoogleとかからそのうち出しそうだけどな
これじゃないのもあったよね
ここで紹介した中で
あーそうですね
それで言うと
その時紹介したのは
もうちょっと外観の話というか
使う側ですか作る側ですかで
使う側になった時にこのポイント抑えてますかみたいな感じ
だからポイントを抑えた上で
そのポイントに基づく評価は自分たちにやらなきゃいけないというか
ハルシネーションの話とか
危険な話とかもあるけど
その評価自体のハウについては触れてないって感じなんですよ
なるほど
なんだろう
その汎用的な距離分析の図があって
ここでこういうポイント抑えておいてねみたいな感じが
わかるって感じかな
そうそう
それとはまた別だけど
一個
ちょっと関連したんで繋げちゃうと
Googleさんのセキュリティブログの記事で
How we estimate the risk from prompt injection attacks on AI systems
っていう記事で
読んで気付いたけどちょっと違うかも
でもいいや読んじゃおう
これ何かっていうと
LLM経由で機密データアクセスをする
できてしまうような脆弱性が
なんかこのポッドキャストでも話したことありますけど
インダイレクトプロントプトインジェクションっていう風に
言うらしくて
インダイレクトの理由は何ですかね
LLM自身が吐き出すっていうよりかは
LLMが取ってきちゃうっていうところで多分インダイレクトって表現なのかなって
僕は解釈したんですけど
それにどう対策するのかっていうところ
Googleなんで多分Geminiがそうしちゃわないようにとか
っていうところでどういう取り組みをしてるかって話だと思うんですけど
書いてあることは一つで
ネットチーム的なことをしてるよって話と
それを自動化するシステムを組んでますって話を言ってて
ネットチームっていうのは何ぞやって言うと
攻撃用のプロンプトをひたすら投げていって
攻撃が成功するかを試すっていうのを
自動で試すって話をしていて
その試すっていうプロセスを自動化していて
一つは攻撃用のプロンプト自体をいくつか
どんどんどんどん自動生成していって投げてみて
それに対する攻撃が成功したかしてないかの判定をして
してなかったらどんどん改善していくっていうのを
ぐるぐる回るようなシステムを作っているっていうのと
あともう一つはちょっと僕は知見なかったんで
ハーテナって感じだったんですけど
基本的に攻撃用のプロンプト自体を
どんどんどんどん自動生成していって投げてみて
ハーテナって感じだったんですけど
結構分かりやすい攻撃プロンプトを1個作って
例えばデータベースのレコードを取ってきてくださいとか
誰でも作れるようなシンプルなやつを作って
その末尾にランダムなトークンっていう風に書いてあって
トークンが何なのか分からなくて
乱数なのか文言なのか分からないですけど
ランダムなトークンを付与していって
攻撃が成功するかしないかっていうのを試していって
攻撃の精度を上げるっていうのをやってるらしいっていう
技術です
なんである意味これも一種の評価というか
これは評価するっていうか
自分たちは攻撃して改善して送り返すっていう感じだと思うんですけど
こういうのもいい感じに使えるようにして育ちしてくれないかなとか思いながら
読みつつって感じですね
DeepSeekの脆弱性発見
インダイレクトプロンプトインジェクションがなぜインダイレクトなのかは
AIのエージェントが取ってくるコンテンツが
アタッカーによって生成されたものでっていう図が出てるね
今見えてる図がそうなんだけど
プロンプトのコンテキストとか
エージェントのリズミングループに繋がるようなコンテンツを
突っ込むことによって
なんか多分内側のプライベートな情報が
AIエージェントを通じて吐き出されて
なるほど
完全にミスりました
なるほどね
失礼しました
ちょっと思います
ありがとうございます
よくわかんねえ俺も
ちょっとLLMというものについてもうちょっと勉強しないとダメかもしれない
データエントリングプログラム
いやこれなんかその
そうね
へーなるほどね
ノーションになんか仕込んでノーションAIでクエリしたら
何か起きちゃうみたいな話だよね
たぶんそういうことなんだと思うんだけど
うーん
そうね
たぶんランダムなトークンって書いてあるのは
記事の方読んでないからわかんないけど
たぶんデータアナリシス的な考え方なんじゃないかなと思うんだよね
なるほど
データアナリシス的な考えとは
テイントアナリシス
テイントアナリシス
うん
要はこのランダムなトークンによって
なんていうかプロンプトインジェクションが成立したねっていうのを
確かめてるんじゃないかなと思うんだけど
ちょっと記事の方読んでないからわからないな
テイントアナリシスっていう文言はないけど
なんかビームサーチっていう表現をしてますね
うーん
ビーム
ああ
枝刈り
ビームサーチっていうことか
うん
よくわからん
うんうんうん
まあ記事自体は短いんですけど
そうですね
なんかその割と内部でやってるよ的な感じのあれ
めっちゃ詳しくは書いてくれてはないかな
ジェミニとか出すのにさこれないと無理だよね
確かにね
うん
ユーザーも多いしね
だってあれで突き抜けてさ自分が見えないGoogleドライブとか
いやー
Googleドライブ内のファイルとか見えたら結構悪夢だよね
悪夢だねめっちゃ繋がる
そうねグループやメールもそうだしね
うん
確かに確かに
こんなことしてるらしいですよって感じですね
うん
はい
いや進化が早いね
もう本当よ
うん
次もまあ今日AI系ラストかもな
まあまあちょっとわかりやすいAI系ラストなんですけど
えー僕なんか紹介すると
これは多分なんかみんな一度は目にしたトピックだと思うんですけど
With Researchの調査によってDeepSeekのデータベースが
パブリックに露出してたよっていうのを報告したよっていうところの報告書なんで
巷で騒がれてるあらゆる記事の元ネタがこれっていう解釈でいいはずっていうところですね
で内容としてはAI云々っていうかシンプルな話で
クリックハウスっていうデータベースを使ってたそうなんですけど
それへのアクセスがパブリックインターネット経由で可能になっちゃってましたよと
でそのデータベースの中に100万行を超えるログとか
チャット履歴とか秘密キーとか全部入っててやばいですよと
問題自体は報告して修正されてますって感じですね
でなんかちょっと面白かったのが多分大体の記事はここまでの話を
認識情報として流してると思うんですけど
元記事ではちょっとだけどういうふうに見つけたよとか
見つけたデータベースの絡むとか書いてあるんですけど
なんかきっかけとしたDeepSeekがリリースされてめちゃくちゃ流行っていて
WizResearchがどういう指針でその意思決定をしてるのかちょっと書いてなかったんですけど
流行ってるサービスってことでちょっと脆弱性探そうっていう感じで探し始めて
探し始めたら数分以内にクリックハウス見つけちゃって
認証もかかってないしアクセスしてテーブル一丁も取れるしって感じで
やりたい放題できちゃいましたっていうことが書いてあったって感じですね
でなんか関連記事もいくつかあったんですけどまあまあまあって感じですね
でなんかネタとしては本当にシンプルだなって感じで
データベース露出してましたって話だし見つけ方もそんな特殊なことしてなくて
DeepSeekが所有してるドメインバーって洗い出して
ポートスキャンなりを多分恐らくかけてそうした怪しいやつがあって
繋げてみたらデータベースでしたみたいな感じですねっていうところ
で結構一方で確かになと思ったのは最後の締めに
AI系のサービス流行っていていろんなのがバカすか便利なのが出てるんで
結構みんなすごいペースで採用というか使い始めていくんだけど
一歩立ち回ってセキュリティ観点でリスク評価ちゃんとできてるのかとか
その辺ちゃんと考えて使ってほしいよっていうことが書いてあって
確かに直近仕事に向き合う機会もあったんで
思ったところとしては生成AIであっても本質的には今までのSaaSとかと
そんなにめちゃくちゃ評価術が変わんないっていう話はありそう
業者が信頼できるかとか利用規約プラポリどうなんのか
預けたデータがどうなんのかとかどういう認証取ってるのかとか
そういう観点で見るっていうところは共通項である一方で
確かになんかそのペースは異常だなっていうのは思っていて
言われてみればじゃないんですけど
その開発系でも毎週は持ってるかもしれないけど
毎月毎月なんか知らない名前がツイッターに流れてきて
みんなうおーって触って全土基地がバーって流れてきてみたいな世界になってるんで
確かにその個人がお試しで自己責任使う分には別に好きにやればいいと思うんですけど
会社で採用するとか会社で検証するっていうときに
何でもかんでもオッケーにするっていうよりかは難しいですけど
なんか抑えるとこは抑えた上で向き合っていかなきゃいけないよねっていうのは
改めて思わされたって感じですね
ちなみにイタリアではディープシックがバンされたらしいです
いやーこれ何どうバンしてんの?
これはGoogleプレイストアとアップストアから消えただけだから
ウェブは普通にアクセスできるってこと?
ウェブは確かアクセスできるしインストール済みのアプリは消えてないかな
確かですけど斜め読みしたんですけど
あとはなんかそのディープシックに対して
データ管理どうなってんねんって政府からなんかインタビューが言ってるらしいです
20日以内に回答しろみたいな
大変だなと思いながら
大変だね
ディープシック、今週はディープシックの週だったな
来週もなるかもしんないけど
OCSPの廃止
もうちょっと続きそうな感じするね
なんか技術的にはね、全然悪いものじゃないというか
いろいろ負の面も報道されてるけどいいレポートもいろいろ出てるんで
言い付け方ができるといいですね
次お願いしまーす
The Slow Death of OCSPという記事ですね
フェイスティーダックというとこなのかな
ちょっと何のアレなのか分かんないんだけど
OCSPが緩やかに死に向かっているよという記事です
この辺の動き正直あまり追いかけきれてなかったんだけれども
Let's Encryptが2024年末に
OCSPによる証明書執行確認のサポートを終了することを発表して
2025年5月以降には完全に廃止するよみたいな話があって
OCSPが実際にはセキュリティを向上してなくてコストだけかかっていて
代わりにものすごく生存期間の短い証明書の導入をすすめるよ
っていう話があるよっていう前談がまずありまして
これ全然知らなかったんだけどブラウザが十分に対応してなくて
プロトコル自体にも割と問題があって
最終的にOCSP自体がもう死んでいく運命にあるよっていう状態らしいです
OCSPって知ってますか
OCSPは知ってます
知ってますさすが
運用の課題と解決策
でもセキュリティ取った時になんかめっちゃさすがに覚えました
あとTLS本読んだんだっけな
それはちょっとあるけど
この話は全然知らなかったですね
ちょっとあんまり追いかけきれてなかったところで
あーなるほどそういう感じだったのか最近の動きはっていうので
僕の中では繋がったんだけれども
どっから拾ってきたかというと片杉さんが
気になった記事とか読んだ記事とかをピックして全にまとめるっていうのを始めて
そこで引っ張ってきたんですけど
片杉さんコメントをそのままちょっと読んじゃうと
OCSPもCRLもうまくいかず証明書の執行処理は人類には不可能という結論が出つつある
今は証明書の有効期限を短くする方向
JOTの執行もスケールは違うが同じ問題を抱えていると思っていて
現実的に実装不可能だと思う有効期限をある程度短くするしかない
コメントをしていてなるほどなっていう
そうだね
枠組み次第なんだろうなと思っていて
マイナンバーカード要はJPKIのCRLとかOCSPとかは一定うまくいくんじゃないかなって思っているし
だから適材適所で残っていく部分はあるのかもなと思うんだよね
マイナンバーカードの証明書の期限を6日にはできないわけじゃん
そうだね
確かに
なので残る部分はあるんだろうけど
特にこのウェブのJOTの考え方においては
多分この辺の話はなくなっていくんだろうなというのは確かな流れとしてあるんだろうねきっとね
確かになるほどね
その視点は全然なかった
いろいろあるな
今セキスペ勉強する人とかこれ知らずにこんなものがって言って勢いよく現場に飛び込んであれってなるんだろうな
セキスペってそんな現場で役に立つ?
それはノーコメントでね
役に立つ部分はありますよ真面目な話
でもそのミクロの部分はあんま役に立たないかな
なんかアンキゲイだし正直
あれ撮ったのいつだっけ
撮ったのは去年だっけ
じゃあ結構最近の試験なんだね
最近の試験結構難しくない?
昔の試験分かんないか分かんないな
私が撮った時と比べるとなんか結構レベルが上がったなっていう
質題のそのやり方そのものがちょっと難しくなったなっていう感じは見てて思う
プロダクトマネジメントの視点
そうねあんまりネスペよりは簡単だったよ
ネスペはちょっと知識なすぎてきつかったけど
ネスペ普通に私も一回落ちたしな
難しかったネスペはちょっと
こんなプロトコル一生使わねえだろっていうのをめっちゃ頑張って覚えた記憶あるわ
まぁいいや
ちょっと話しすぎるけどこのJotのやつは
あれ思い出したわ
チャットワークだっけ
チャットワークでやってましたっけ実は
チャットワーク
チャットワークのそのJotの生存期間を30分にしたみたいな
記事をすごい昔に読んだことがあって
なんかその辺が
まぁちょっとコンテキストあれなんで気になる人は記事調べてほしいんですけど
この執行みたいなの現実的に不可能というか
その記事で語ってたのは
何かじゃあ侵害されましたとか盗まれちゃったかもってなった時に
30分以内に
30分以内っていうか
自然に執行するのが先か
ちゃんとトラブルシューティングして
手を打てるのが先かというと
まぁそれってだいたい30分かかるよねっていうのを根拠に
30分にしたみたいな記事があって
なんかちょっとそれを思い出しましたっていう
そうね、まぁそういう決め方が妥当だよね
うん
チャットワークさんアクセスとか
これすごいよ
うわぁこれ6年前か
マジでえぐいな
この記事合ってるかな
まぁいいやちょっと見つけて貼っときます
はい
今日は多いよ
なんかちょっと疲れてきちゃった
疲れてきた?
ちょっと肩の力抜いてやっていこう
やりますか
次が保守性から見た長期目線でのプロダクトマネジメント
10Xのプロダクトマネージャーの方のノートの記事ですね
はい
長期的なプロダクトマネジメントに起きる保守性の重要性と
その具体的な取り組みについてっていう記事なのかな
で、えっと
まぁなんか別に読んでくださいっていう感じなんですが
ソフトウェアエンジニア視点だとトイルの話とかなのかな
とちょっと思いながら読んでた
トイルっていうのがあるじゃないですか
ありますね
なんかかなり近いのかなと思いながら読んでいて
プロダクトマネジメント視点のこの話って結構興味深いなと思って
持ってきてみました
なんかどうすか
恥ずかしながらこれ
読んでないんですよねこの記事
読んでないんだ
記事が出たのは知ってるけど読んでない
うんうん
東大元暮らしじゃないんですけど
いやー浦さんいいんだよなー
いいんですよ
なんか繰り返し発生している運用業務を機能化する意思決定をしました
これ結構なんか特に管理側言えばいいのかな
CS対応とかしているようなところだと
これをやれないとどこかで行き詰まるというか
なんて言ってるんだろうな
アンコントローラブルな業務が大量に生えてきて
事故ってもどうしようもないみたいなのが
起こりがちなイメージがあって
分解不可能なレベルで染み付いちゃって
なんか困っちゃうねみたいなのが起こりがちだから
この意思決定をちゃんとやれるっていうのはすごくいいな
そうだね
いやー
時が経てば経つほど無理だよね
そうそうそうそう
コンテキストも失われるし
組み上げた人は誰もいませんだし
そうそうそうそう
これって本当に回らせるんですかとか
結構
コストがどんどん上がる
まあお伝えみたいなもんだよね
まあなんか
ここで書いてるような話も大事だし
あとは
何かを捨てるとか諦める意思決定をしたときに
いつかどこかでそこに立ち戻れるかみたいなのも
個人的には割と大事だなと思ってて
なんかありうる未来への備えと
今前に進むこととのバランスって結構難しいよな
みたいなことを
この保守性っていうテーマで書かれてる記事を
読みながら思ってたりしました
何にせよなんか
この視点がプロダクトマネジメントっていう領域で出てくるのは
面白いなって思って
うん
なんかちょっとだけ内側事情を話すと結構
事業特性もあるのかなって気はしていて
うん
やっぱその
何でしょうね
事業特性かつ僕らのプロダクトの
辿ってきた歴史上の
課題でもあると思うんですけど
やっぱ細かい
なんだろうな
2Bで向き合ってる人はもしかしたらみんなあるあるっていうのかもしれないですけど
やっぱその
理想は契約してる
Bのお客さんも全員が
自分たちの作ったシステムを
想定した通りに使って
全部100点を取るみたいなのが
理想だけど
現実はなんていうか
こういうのがあってこういうデータ壊しちゃいましたとか
これ
何かのステートを戻したいですみたいな
時とかに
じゃあちょっとスクリプト書いて直しますとか
なんかその
データ
本番操作的なことをなんかいろいろやりますみたいな
でそれがなんか状態化していく
みたいなことはやっぱり
少なくない
そうなんだよね
でなんかその難しいのが
その単純な
なんだろうな
考数観で言うと
作るよりやっちゃった方が安いって
いうものが結構少なくない
そうなんだよね
週1ソフトエンジニア1人が
15分作業すれば済むとかさ例えば
それってなんか
機能化して運用する
価値あるんだっけとかなんかその辺の
差し掛けがやっぱ難しいだけど
一方でさっき言ったとおり
それをじゃあなんか3年後にそれ続けてたら
どうなっちゃうのとか
その
この記事で触れられたかわかんないけど
じゃあ僕ら目指してる
プロダクトってそういう姿なのとか
そういうことを考えていくと
いつか向き合わなきゃいけない問題
でそれに対してその
ごまかさずに向き合えてる
っていうのは多分
この浦さんの優秀さでもあるし
開発チームの優秀さでもあるし
っていう部分はあるんだろうなって
気はしますね
Microsoftの新機能
結構ちょっとそれるかもしれないけど
こう
本質的な解決にちゃんと向き合わないと
その
潜在的には
他にも問題があって
みたいな
状態に気づけない可能性もあるような
ちょっと具体例を出せないんだけど
あるかもな
みたいな事案を
仕事の中で目にすることがあって
なるほどね
潜在的な
つながってる的な感じなのかな
ちょっとね
具体例を出さないとこれは説明ができなくて
かなりもどかしいんだけど
どう説明したもんかな
その
本質的な解決は
めちゃくちゃコストがかかる
今はなんかすごい
ワークアラウンドで何とかしている
で
本質的な解決に向き合うことで
本来もっと
こうあるべきなんじゃないか
ワークアラウンドで
力技で解決していたせいで
えーっと
気づくこともできなかった
課題があって
なんていうかそれの解決に向き合うためには
本質的な解決を
その減る必要が
あるんじゃないかみたいな
仮説
余計に分かんなくなったけど
分からんくもない
そういうのが生まれやすい構造はあるとは思っていて
やっぱワークアラウンドであるがゆえとか
人が運用しているがゆえに
なんていうか
その
よくも悪くも
成り立っちゃってるんだけど
ある目線で見たときに
それまずくないって話とか
なんだろうな
空中戦みたいな顔しちゃってるけど
分かるっていう気持ち
ではないます
そうね
なんかその
こういう目線の人がいてくれると
なかなかね
ありがとうございます
手前見そうな気もしますが
僕もちゃんと読んでおきます
残り三つ
二つはね
二つの軽い記事のうちの一つなんで
こう読みますけど
Microsoft
Test Edge
Scareware Blocker to Block
Support Scams
っていう記事で
Edgeですね
WebブラウザのEdgeに
Scareware Blocker
っていう機能を
テストでリリースしてる
っていう感じで
っていう記事です
これ自体は何かっていうと
テクニカルサポート詐欺に対する
防御機構になっていて
ますと
元々こういうサイトに対して
防御機構がないわけじゃなくて
不正なサイトが何かしらのロジックで
検知されたり報告されたら
ブラックリストみたいなデータベースが
おそらく中央にあって
全部ブラウザにバーって巻かれて
ちゃんとブロックするっていうのは
数分単位でやれるようにはなってるんだけど
それに加えて
ローカルでMLモデルを動かして
ウェブサイトの警告機能
開こうとしてるウェブサイトが
テクニカルサポート詐欺の
サイトじゃないかどうかっていうのを
判定して怪しいって判定したら
警告が表示するっていう機能が
テストリリースされてますっていう話です
例えばの例で
分かりやすいのは
フルスクリーンで開こうとしてくる
怪しそうなやつ
みたいなとこだと警告ページが
表示されてて
この警告ページ手元では見てないんですけど
記事中にはキャプチャーがあって
イメージ的にはChromeの
HTTPサイトを開こうとしたら
安全じゃないですって警告が
出て安全じゃないけど
アクセスしますみたいな
本人が
リスクを飲んでやるって言うなら表示するよ
っていうような感じのページが
表示されるっぽいところですね
で なんか
誤検知もあるだろうし
実際に
開いたらちゃんとサポート詐欺だったってパターンもあるだろうし
その辺はユーザーからフィードバックを
集める仕組みがあるらしくて
そういうのをもとにちょっとずつ
制度向上させていくよっていう
ことを言ってるっていうところですね
はい
まあなんか個人的には
ありがてえというか
ブラウザで押さえてくれると結構
いいなっていうところと
あとなんかローカルで
MLはなんかふと思ったけど
この前のChromeでもあった気がしてて
その
僕の記憶だとなんか2017
18年ぐらいになんかHML
というかそのクライアント側で
ML 軽量なMLモデルを動かして
今の端末リッチだから
動かしていい感じにできるよみたいなので
すごい色めきだった
記憶があるんですけどそこから6年経て
なんか当たり前かのようにこんな感じで
価値のある機能を実装
されてるのはすごい
おじさんみたいな感想ですけど
いい世界になりつつあるなっていう
あとは有効性がどこまで
制度上がるかとか
気になるんですけど
まあまあなんか
単純なエレクチョンは
そもそも表示される前に
抑えられるっていう感じになるといいかもな
と思ったりしてます
はい
なんか
端末側のスペック問わず
普通に動くのかな
どうだろうね
なんかあまりに
それは気になるかもね
まあでも
ある程度
なんていうか貧弱なものでも
動くような状態にしてそうだけどね
マイクロソフト
何だろうな
シェアの広さを考えると
そうね
そうであってほしいという願いでもあるんだけど
それこそ言うて
僕が
言った話も6年前に色向きだった
ってことだから6年でもあれば
だいぶ進化もするだろうし
いろいろ
わかんないですね
見てみないとわかんないですけど
あともしかしたらその辺テストリリースで
なんかそれこそページ
MLモデルがボトルネックになって
ページ掘り下げねえよとかそういうの
収集してたりとかするのかもしれない
なるほどね
想像ですけどね
はい
OWASP NHI トップ10
じゃあ
次の記事
いきますか
Do we really need the
WASP NHI
のトップ10という記事ですね
ハッカーニュースの記事です
WASPの
なんだっけ
NHIはNon-Human
Identity
のトップ10
が本当に
必要なのかというタイトルの記事
一言で言うと
NHIはAPIキーとか
サービスアカウントとかの機械的な資格情報を含む
読んでも字のごとく
Non-Humanの
アイデンティティなんですが
いろんなところで
使われているので
ユースケースを考えたときに
そこのリスクがかなり上がってるよね
っていう話があって
なんだっけ
さっきのファブリッククラウドのセキュリティの
NHIの記事とかでも
触れてたような話で
シークレットの取り扱いってめちゃくちゃ
気をつけないといけないよねっていう
ある中でOWASPが出してきたもの
っていう感じですね
いつ出たのかが
ちょっと分かんないんだけど
APIキーとかのセキュリティリスクの整理に
めちゃくちゃいいな
っていう風にちょっとざっと
眺めた感じ
思いました
ここはちょっと
収録前に急いでざざっと読んだんですけど
素晴らしい記事です
コナミ感ですけど
全部
概ね同意で
これがあると何が相応しいかと
思ってかというと
僕は結構ずっと危ないと思っていて
このNHIと呼ばれる
ここで故障されてる
ものが危ないというか
これをちゃんと管理しないと危ないと思ってて
ちゃんと管理したいんだけど
管理するのすごい大変なんで
結構やる側は
やってよって言われた時に
結構何でやるのとか
なんだろうな
それをやることと
この脅威の紐付けみたいなのが
説明コストがあるよな
っていうのを漠然と思ってたんですけど
そこでこういうのがあると
根拠の一つになるし
自分の思考の整理にもなるし
ありがたいなって思ってた感じですね
それだけ
なんですが
CSPMとかでも
このOWASP NHI
トップ10対応です
みたいなのが今後出てくるんだろうな
っていう感じですね
なんか
そうだね
仕事で使ってるCSPMとかで言うと
Google Cloudの
久々かん時
とか作ったらもうそれで
アラート出るね
なるべく
キーレスで頑張れっていうアラートなんですけど
多分実態の
実にできない部分あるんで
またあれか
でもそれで言うとあれかな
キーの有効期限中か
生存期間とかは見てくれてなかったから
そういうのは見ててほしいかもな
これの7番に入ってますけど
そうですね
再利用とかもね
でもCSPMで検知できないものもかなり多いんで
なんか
どこでどうされるかはなかなか難しいんだよな
っていう気は
しつつですけど
本当に
悩ましいな
って気持ちにしかならないけど
頑張ろう
はい
Teamsのフィッシング攻撃対策
じゃあ最後
またしてもマイクロソフトに
帰ってきましたけど
マイクロソフト Teams
Fishing Attack Alerts Coming to Everyone
Next Month
ブリビンコンピューターの記事ですね
これはタイトルのとおりなんですけれども
マイクロソフト Teams
マスラック的なやつですね
に
フィッシング攻撃に対する
警告機能みたいなものが
実装されるよっていう話です
これは
何かっていうと
なんかそもそもの
そもそもマイクロソフト
Teamsでフィッシングって何やねんって話をすると
マイクロソフト Teamsには
おそらく
組織的なところの設定で
外部からのアクセスを許可するっていう設定が
できるらしいと
これを許可してる状態にすると
外部からメッセージを送信できるらしいと
ただ
無条件で何でも送信できるわけじゃなくて
送信された側の受信者には
誰々さんからメッセージが来てるよ
やり取りしますかみたいな
承認モーダル的なものが
出てきて
そこで承認ってポチっと押すと
やり取りができるようになるっていう
感じの仕組みがあります
これを
悪用したフィッシング詐欺ってのがあって
多分実際に被害が
ちょこちょこ出てるはずなんですけど
マイクロソフトの
サポートみたいな予想って
おそらくその承認画面にアカウント名とか
メッセージのもしかしたら一部とか
出るのかもしれないんですけど
何かしらを騙して
承認されたらサポートチームですみたいな感じで
認証情報を聞き出すとか
そういうのを
承認して
認証情報を聞き出すとか
そういうようなことをするっていう感じですね
こういう攻撃がある中で
マイクロソフトチーム側から
この攻撃の
恐れのある外部からの
メッセージ送信リクエストの場合は
警告を表示するっていう
機能がリリースされるって話です
これ自体は
等しく管理者側で設定しなくても
広く設定されるらしくて
ロジックのところはちょっと
言及がなかったんで
ちゃんと元記事を追ったほうがいいかもな
っていうのを思いつつ
イメージ的に
Facebookメッセンジャーとか
スパム死ぬほどたまに見ると
たまったりするけど
何かしらのロジックであんな感じで判定してくれるのかな
とか思いつつ
分かんねえなっていう感じですけど
詳しいロジックはちょっと
分かんないですけど
いいリリースなんじゃないですか
って思ってます
すごい軽い
クソ雑
紹介
そうですね元記事
読む時間なかったな
多分そんなに
ロジックとかそんなに公開しないと思うんだよな
公開したら回避されちゃうし
いろいろいろんな工夫を
してるんだと思います
チーム使ってる人とか
そうだね
記事中ではチーム使ってる人で
そもそもこの外部からのアクセス許可
必要ないならオプタートしとけっていうことが
書いてあってそれはそうだって感じ
なんで使ってる方いたらもし
気にしてみてくださいって感じですね
結構
謎仕様だよね
外部から
どういう概念なんだろうな
スラックではあんま直感的
じゃない感覚というか
うん
なんか
あれなんじゃない
ビデオ会議できるじゃん
あれの設定とさ
結合してたりしないかな
あるかもね
ね
なんか今日ちょうど聞いたんだけど
マイクロソフトチームズのストレージの裏側は
なんかワンドライブとは別の
なんかのドライブがあってそっちはそっちで権限の
概念があるっていうのを聞いて
うわって思ったんだけど
確かに繋がってるかもね
なるほどね
ちょっとわからん
でもなんかありそう
ありそうだね
はい
いい記事です
いい記事なんじゃないですかって感じですね
はい
いっぱい読みましたね今日は
久々にこんないっぱい読んだんじゃない
いや多すぎや
15記事だよ
15記事
だいぶ疲れ出てるよ
だいぶ出てる
0時だしね
寝なあかんよ
寝るか
寝ましょう
でもなんかいいな
攻撃側の
嫌な記事も多いですけど
防御側の改善にも
頑張ってもらってる
ということで
来週はディープシークという
運用とカバーの重要性
言葉を発さずに済む
収録になるといいですね
知らんけど
どうですかね
わからないけど
もう
入ってたりしない
わかんないけど
俺は入れてないかなまだ
まだ入ってないわ
まあでもあるだろうな1個ぐらい
読みたいと思うような
トピックがあるかどうかだね
鋼の石で読まないと
決めてしまう
なんのプライドやねん
いや
はいじゃあまあ21回そんな感じで
また来週も
お願いします
みなさんおやすみなさい
おやすみなさい
