00:00
こんばんは、Replay.fm第78回です。
こんばんは。
こんばんは。
はい。
諸事情により、今回は日曜日の収録ですが、日曜日の収録だからかわかんないけど、なんか、なんだろうね。
締まらないな、私は。
どうした?どうした?
なんか、なんかね、オフモードというかさ。
あーまあね、ちょっとまったりモードではあるよね。
そう、心ここにあらずとまでは言わないけど、なんか斜め上ぐらいにそのセキュリティについて考える脳みそが浮いてる感じがする。
あー。
そうかもしれない。
うん。
わからんでもないかもしれない。
うん。いい表現は思いつかないですけど。
いやー。
そんな感じでね、まったりやっていきましょう。
まったりやっていきましょう。
今日はね、ぼちぼちなんで、はい、やりましょう。
で、まあ引き続きお便り、皆さんGoogleフォームかTwitterとか適当にお待ちしております。
じゃあ1個目お願いしてもいいですか。
そうっすね、多分今日これが最後だからな。
見上げしながらね。
そうですね、真にAI手動開発を実現するバックグラウンドエージェント、ベースマキナさんのノートですね。
ベースマキナの社長。
CEOの人のノートなんですね。
ちまきんさんっていう、めちゃくちゃ優秀な方なんですけど。
どっから来たの、ちまきんは。
あー、これノートのアイコンだとわかりづらい。違うな、でもTwitterのアイコンは肉まんだったんだけど昔。
でもちまきんじゃないもんね、なんか確かに聞いたことないな、思いが。
はい、そのちまきんさんの記事ですね。
えーと、もう全く覚えてないなこれ。
なんか、ベースマキナでの多分実例なのかな、きっとね。
いや、マジで覚えてないですね。
違うのか、マジで覚えてないのか。
海外ではもう1段階先のフェーズに入りつつあるよっていう紹介をしたんだ。
そうだ、思い出してきた、思い出してきた。
で、クラウド上のサンドボックスで高等生成とかテスト、PR作成まで自律的に進めてくれるシステムがもう動き始めてるよっていうので、
いわゆるそれがバックグラウンドエージェントってやつで、
StriveとかRampとかSpotifyとかがもう大規模に運用していて、
実験段階っていうところはとうに過ぎているよっていう話ですね。
で、各社こういうシステムが動いてるよって話なんだけど、
共通点としてはもう爆速で立ち上がるサンドボックス環境があって、
その中でエージェントが勝手に開発をしていてPRを出してくるので、
人間がPRをひたすらレビューしていくっていう感じ。
で、週1000件以上のPRが回しされてるよみたいなStriveの例とかが紹介されてるような感じですね。
03:02
インザループからオンザループ、最後にラルフループに移行していくよみたいなことを言っていて、
ラルフループが何かというと、Gitをメモリレイヤーとして活用し、
エージェントが持続的に自立実行するモデルですよっていう。
これはまた実験段階でよっていうふうに言ってるような感じなのかな。
なので現状はオンザループっていう話になるのかな、きっと。
開発者がタスクの定義やトリガーの設定を行い、実行はエージェントに委ねるよっていう感じですね。
エージェントが自立的にPRを作って、開発者はレビューと方向修正に集中しますと。
3社紹介してたんだけど、それがまさにこのモデルで運用してるよっていう話ですね。
で、アーキテクチャがこうなってるよみたいな話とかもあるんだけど、その辺はいいのかな。
すげえ時代になったなと思いますね。
一番最初に主語が微妙に抜けてたけど、エコーディングの話ですね。
ああ、そうっすね。
結構個人的に印象深かったのは、サンドボックスで動かしてるっていうのは結構なるほどなっていうか、
一時期、わかんない、僕がついてきてないだけわかんない、今もバリバリやってるよって環境はあるのかもしれないですけど、
クラウドIDというか、GitHubで言うコードスペースとかああいうので、
リモートで爆速でいろいろ環境立ち上げてそこで開発しようよみたいなのが流行ったというかトレンドになりかけたというか、
そこはちょっと馴染んだのかどうなのか、僕は自分の仕事で使ってないんでどうなんでしょうって感じなんだけど、
結構感覚としてはそれに近そうというか、みんなが手元にクラウドコード立ち上げてじゃなくて、
もう多分、これ呼び出せば、ここに一周投げたらPRが吐き出されるっていうものが各社中前でガンガン動かしてて、
その中でいろんなことを担保できてる。
サンドボックスで環境区切るとか、MCPの話もあるし、ガバナンスみたいなところで言うと、
オンザグループの考え方一家なんだろうけど、
どっかでは人間が挟むとか、どっかでは誰かが承認するとか、
証跡を残すとか、
結構すごい世界だなとも思うし、
なんていうか、1年前、2年前の、なんだろうな、大規模の方がいろいろ投資できるよね、
めちゃくちゃでかい例というか、これもうスタートアップには絶対できないじゃないですか。
やりたかったら多分こういうサースが出てくるのがまずしかないというか、
この仕組み作るだけで多分、2,3チーム、AI使って1チームとかなのかな、それこそ、分かんないけど。
06:01
でも、ミニマム3人と考えて、オンコールとかも考えて、
3人1チームは少なくとも張らないといけないんだろうし、
分かんないけどね、なんか。
作るだけだったらそれだけどさ、多分検証してとか、
改善も入っていくだろうし。
プロダクト作りに、もうほぼプロダクト作りだと思うから、
なかなか真似できるなっていうのと、
あとはこういう世界観にみんな近づいていったときに、
セキュリティレビューというか、
コードに対するセキュリティの品質の担保はもう、
今の雰囲気だともうAIに95点を叩き出させましょうみたいな世界観になっていくというか、
それを目指さないと開発モトルネックとして残り続けてしまうのかなというのもちょっと。
でもそこは多重防御の原則はちょっと変わんない。
多重防御とはちょっと違うけど、複数レイヤーで見ましょうっていう原則はきっと変わらないはずで、
ある種の静的テストとして、
LLMに見させましょうっていうのが多分まずあるじゃない。
コードレビューの段階で、あるいはコード生成の段階で、
両面そこがまず今見てる話の中であると思っていて、
その上で成果物に対して、成果物全体品はプロダクト全体のコードに対して、
定期的に静的テスト全体にかけていきましょうみたいな話が多分レイヤーとしてもう1個あって、
最後にブラックボックスで全体で見ていきましょう。
95点叩き出した後の残りの5点の部分は、
残りの5点のうち多分4点分ぐらいはブラックボックスで巡回してるエージェントがいて、
そいつが勝手に見つけてくれるよっていう世界にするんじゃない、最終的には。
残りの1点が多分人の部分で、
その超職人芸的な部分っていうのはきっと残ると思うから。
なるほど、まあ確かに。
そうだね。
で、じゃあその、なんていうか、
その辺の会社の残り1点がどれだけ大事かっていう話になると、
多分大事じゃない、大事じゃないとは言わないけど、
大事な業態とかサービスが限られそうではある。
例えばだけど、マイクロソフトの残り1点はかなり大事だと思うんだけど、
なんか、
生活便利にするサース君とかはまあ。
そうそうそうそう、ぶっちゃけその、なんて言ったらいいんだろう、
まあ言い方があんまりよろしくないというか、語弊をお見せするだけど、
なんか鷹がしれてるというか、なんか。
なんかまあSAでの土管区が近い気がするな、
ロケット打ち上げるならもう100%目指さなあかんけど、
その残り1点を取る労力とリターンを考えるときに。
そうそうそう、で、そもそも別にセキュリティってそこの100点を目指しましょうっていう世界じゃないわけだから。
そうだね。
まあその残り1点を取りに行くか、まああるいはその残り5点でもいいよ、
残り5点を取りに行くかっていうのは多分会社によりけりだと思うし、
09:03
なんなら今95点取れてる会社ってどんだけあんのっていう話で。
そうだね。
まあまあまあ。
うん。
だからそれで言うとやっぱその、
もう人間がここでなんか技能を見せて食っていくみたいな世界にはもうならないんだろうなっていう、
なんか漠然とした。
うーん。
例えばその、別に目指してないけどなんだろうな、
その、自分がコードレビュー、人間のコードでもAIのコードでもいいけど、
コードレビューするときにその結構キワキワの脆弱性を見つけられたとか、
既存のコードからそれを見つけたみたいな。
で、それができる能力があったとしても、
なんかそこはもうAIで大体、
なんか必然的にされるんだろうなっていうぽんぽんやりとした気持ちがあるという感覚。
最終的にはそうだね、されるんじゃないかな。
どっちかっていうと多分ブラックボックスの方じゃない?
その動的テストの部分。
あるいはグレーボックスがどうかな、
まあ結構こう、ホワイトボックスでいけちゃう気がするからあれだけど、
その完全ブラックボックスの世界でのその技能みたいなのはちょっと人間側に一定残るはずで。
うーん。
そうだね。
それを新たに生み出すっていうさ、能力がないわけだから現状。
なんか、完全に新しい視点みたいなものはきっと。
あるいは新しいその、なんて言ったらいいんだろうな、
機能をChromeに入った超絶新機能に特有の脆弱性を探しますみたいなのはきっと難しいんじゃない?
なんかできそうな気はするけど、めっちゃコストかかるんだろうなって気がした。
めっちゃコストかかるし、物によりけりかもね。
超なんていうかもうパターン化されてるようなものとかだったら見つけられるだろうし、
そうじゃないものとかだったら結構難しいかもしれないね。
その機能によって新たに生まれた懸念みたいなものとかは多分判断できないんだよ。
例えばだけどフルスクリーンモードが入ったことによって、
ウェブの画面上でブラウザのUI部分をエミュレートするっていう偽装してあげると、
ブラウザ操作を、例えばだけどアドレスバーに入力しようとしている内容を取れちゃうよねみたいな話とかがあるわけじゃん。
あれってフルスクリーンモードが入ったことによって新たに生じた懸念というか、
生じたセキュリティーイシューだと思うんだけど、
じゃあなんか今日フルスクリーンモードが入りましたって言われたときに
LLMがそれを懸念としてあげられるかっていうと多分あげられないと思うんだよね。
フルスクリーンモードという概念が今まで世の中になかったところにそれが入ってきて、
これはこういうセキュリティー上の懸念がありますねってあげられるかっていうと多分あげられない。
今はもうフルスクリーンモードっていうものが存在して、
そういうセキュリティーイシューがあるよねっていうのを僕らが知ってるぐらいだから、
12:03
なんかLLMでもそこの判断ができるけれども、
そういうレベルのものに対して、
バグハンターとかが発揮するような技能っていうのは多分だいたい不可能で、
だからそこが多分人間に唯一残される部分だと思ってるけどね。
確かにね、そうかも。
確かに。
食っていけなくっていくみたいな難しくなるっていうのは多分その通りで、
ただ難しくなるっていうよりは食っていける人間がごく一握りになるっていう。
そうだね。
なんかただそれだけのような気がするし。
ピラミッドの下が少しずつAIに侵食されるイメージかな、
侵食というか。
結構その緩やかにはもうずっとその傾向ってあったような気がしていて、
そのなんて言ったらいいんだろうな、
こうなんかわからんけど、
そのセキュリティーテスターの多分人口って増えてると思うんだよな、
一昔前より。
需要が増えればさ、供給が増えればさ、
そうだね。
安くなるじゃん。
セキュリティーテストだけできるよっていう人が、
その食っていける時代っていうのは、
まあ遠からず、
食っていける時代ってのは遠からず終わるんだろうなと思ってたんだけど、
それがめちゃくちゃ早まったっていうのはあると思うし。
そうだね。
結構もう時間もんでるよね、きっと。
今日別記事でも入れてるけど、
あ、ちょうど次の記事か。
クロードコードのAIレビューのCodex版も出てきたりとか。
あ、そうなんだ。
そうなんです。
前々はね、なんかクローズドベーターかなんかで出てなかったんだけど、
もう使えるのかちょっとよくわかんないんだけど、
もう内容としてはもうクロードコードセキュリティレビューとね、
もう結構ほぼ一緒というか、
ちょっと流れで紹介しちゃいますけど、
Codex Security Now in Research Previewで、
まあリサーチプレビューだから多分一般で使えるわけじゃないのかな、
なんですけど、
まあアプリケーションセキュリティもね、
なんか一緒、
平たく言うと、
なんか単純なものじゃなくて、
いろんなコンテキストを含めた複雑な脆弱性も自動で見つけますよとか、
それに対して、
実際のリスク、
いろんなことを加味した上でのリスク優先順位に並べますよとか、
そこに対して当てるパッチを提案できますよみたいな話と、
実際にいろんなOSSでこれを回して、
コントリビューターと協力していろんなゼロで直しました、
具体的な脆弱性がバーって緩末にあって、
まあまあみたいな感じの記事ですね、
なんでもう1週間、2週間前に読んだっていう感じの記事なんですけど、
だからまあ、ある種メモにも書いたんだけど、
もうこの領域でもほぼ競争が始まっていると思っていいんだろうなって気はしていて、
15:00
アクロードとコーデックスと、
ジェミニーはまだ出てないよね、それでいうと、
なんかアクロードにはやってそうだけど、
まあどっちかって結構巨大プロジェクトというか、
しかもなんか別にジェミニーのファミリーとして出してくるかもわからないよね、
あんな感じだとなんか。
そうだね、ただまあアンチグラビティとか出てるし、
開発領域に、まあGoogleさんなんで、
全方位に行けんならいこうっていう部分ある気がするから。
めっちゃなんかゼロデイ探してますみたいなのがあったよね、前にね。
あった、なんかSQ、
ポスグレかなんかのゼロデイ見つけたみたいなやつだったけど、あったね。
そうだからやってはいて、だからその一般化するかどうかなのかな。
まあこのコーデックスセキュリティしかり、
クロードコードのやつしかりは結構その、
まあでもコーデックスセキュリティはちょっとわかんないな、
わかんないけど、
クロードコードのほうはさ、
割とそのビジネスロジック的な部分もいけそうな空気を醸し出してたから、
だからその辺、だからもうその手前はもうできるようにでいい気はしちゃってて、
そのOSSとあるOSSでもうインアウトが、
インアウトとやっかりはもう、
なんていうか言語がしやすいものに対してアラを探すっていうのはもう多分できちゃう、
ある程度。
だからその、こうあるべきがふわっとしてるものとか複雑なものに対していけるかどうかに、
今着手してるんですかねっていう感じですね。
さらっとですけど。
まあ、いやー、
ほんとどうなってることやらですよ、1年後は。
なんか意外と、
意外とめっちゃジャンプしなかったなと思いながら、
やっぱ話してるとなんだかんだジャンプしてるなって気持ちになるな、なんか。
どんどん進んでますねー。
そうだねー。
楽しいですね。
早く仕事なくなんないかなー、セキュリティってほんと。
なくなったらねー、世界平和ですよ。
割となんかコードに対してのセキュリティっていうのに終始してるけど、
なんかその、
コード化されてない領域に対してっていうのは今どうなんだろうね。
なんかWiZとかがいろいろやってるのかなー。
なんか、少なくともレッドチーミング的なことはできそうだよね。
前のAWSのリサーチブログで言ってたけど、
脆弱性ある端末探してとか、でそこから横展開とかできてるわけだから、
それを自社のASMですか、ASMでこの入口がこんなにありますみたいな、
これを渡して探させるみたいなことはなんかできそうな気はする。
なんかその構成を見て何かをするとか、アーキテクチャ見て何かをするとか、
なんか防御面からやるみたいな話は今んとこ意外と見てない気はする。
そういえば。
18:04
なんか難しいな。
Google Cloudのオーディターロールみたいなのあったよね、確か。
セキュリティレビュアだっけな、なんか全部見れるやつだよね。
セキュリティレビュアか。
うん、あるね。
ああいうの渡しておいたら吉野にやってくれるエージェントとかも作れそうではあるけどね。
でもね、中身が見れないからね、結局。
どことどこが繋がってるかとか、何のデータが入ってくるかわかんないから。
だからそれといろんなメタデータをくっつけられれば、いろいろできるかもね。
そのコードベースとかSBOMとかでもいいかもしれないけど、
ここでこのバージョンのこれが動いてるから、ここが危ないとかはいけるかもしれない。
いや、確かにね。
でもなんか今今で言うと、今今のなんか感じで言うと、
これから作るのはもう多分その、
オン・ザ・ループに入る前にどこまでその家へと対話して、
アラを切り詰められるかのゲームになるはずで、
今動いてるものをどうするかは結構、わかんないけど。
人間がちょっと、わかんない、3年後ぐらいにはさ、
いやこのアーキテクチャ人間が考えてた頃か、みたいになるかもしれないね。
いやー、じゃあコンテキストも残ってないし、
じゃあ外からとりあえず入らせてみる?みたいな、
なんかもしかしたらそういう感じになるかもね、知らんけど。
はい、大変興味深いですね。
ありがとうございます。
ありがとうございます。
マキンさんなんか気づいたらAIぐらいになってAIの記事ガンガン出してて、
あの興味ある人はすごいオススメです。
あのめちゃくちゃ優秀な人だよ、記事も面白いんで。
別に嫌いよとかじゃないんですけど、びっくりした。
おもろいね、なんかみんなそういうタイミングを踏むのかな、わからんけど。
なんかあるんだろうね。
かくゆ私も金曜から、ついにクロードコードのサブスクに部屋来しまして。
いやー、おめでとうございます。
1日で触ってるね、終わったわ。
おもろいよね、生活終わるよね。
ポコポケとかやりたいんだけどさ、まだ触れてないしさ、ふざけんなよって感じ、普通に。
ね、そうなんだよ、マジで。
おもろいんだよな。
タスクがあるうちはマジで無限感があるね。
そうなんだよね、なんか別にそんな作りたいもんないしなって思ってたんだけど、
まずクロードコードがっつり使い始めることによってドットファイル図を充実させようっていう流れが生きて。
あー、俺もやった。
週末はめちゃくちゃドットファイルやってたし、オブシリアのプラグイン描かせたりとか、
日常的になってたことがどんどん出てくるから、
そうなんだよね。
別に、クロードコードでもねえなみたいなものに、もののハードルがくそ下がるから、
21:01
うんうんうん、めっちゃわかる。
これはまずいなと思いながらちょっと使っとるわ。
いや、いもずれて出てくるよね、どんどん。
なんかでもそうね、リモートコントロールは結構期待外れだったな、なんか。
なんかまだちょっと、
まだちょっとって感じね。
クロードコード禁制のほうは、なんかOSSのほうは試して、そっちはぼちぼち動くなと思ったんだけど、
でもなんかその、そうだね、クロードコード普通に俺動かないんだよな、たまになんか。
そうなんだ。
で、明らかにバグってんだけど、エラー出してくんないから、なんかベータ版って感じがするわ。
うん。
なんだかなって感じだね。
うん。
AIグレイやっていきましょう。
うん。
じゃあ、次行きますか。
行きましょう。
シュシュッとシュシュッと。
次は、Xユーザーの竹ペペさん、AIなりしむし面談の注意喚起。
これは、記事かな、記事ですか。
AIなりしむし面談の注意喚起っていうツイッターの記事を竹ペペさんが出してるっていう感じですね。
ちなみに竹ペペさんはフロントエンド界隈で強い人ですね。
かなり有名人なんですけど、どういう記事かっていうと、
とある企業から竹ペペさんに対して、竹ペペさんになりすまして、うちのカジュアル面談を受けた人がいましたっていう、
垂れ込みが入りましたっていう。
やば。
面白い。
この記事のサムネイル。
垂れ込みが入って面白いな、まず。
記事のサムネイルが多分実際のあれなんだろうね、その画像なんだけど、
どういうことかっていうと、ディープフェイクですね。
ディープフェイクで竹ペペさんになりすました人が、どうやらうちの面談を受けたっぽいと。
なんでなりすましたか分かったかっていうと、
割と中身をおそ松な感じで、
日本語がタトタドシーとか、
よく見たら顔が変、AIが生成したっぽいとか、
あと生まれも育ちもUSっていう嘘を、竹ペペさんを知ってたらえ?ってなるやつなんですけど、
またリモートしかできない、海外在住なんていうところで怪しいなっていう風になって、
竹ペペさんに垂れ込みが入ったって感じですね。
この記事自体は、ディープフェイクで実際にやられ、
誤解やられちゃって結構怒ってるというか、
皆さんもご注意くださいみたいなところと、
あと偽履歴書、犯行に使われた偽履歴書をペロッと給与してて、
これはちょっと僕なんか見てないんですけど。
そんな記事になってます。
結構、フロントエンド回僕のタイムライン、
竹ペペさんを知っている人の間では話題になっているかもしれないですけど。
なんかそれはそれとして、この偽履歴書を、
これだって、これを受け取った会社から出てきてるんだよね。
どっかに公開されてたのかな?
何にせよなんか、どうなんだろうね。
教諭された。
24:00
フラフリ的な。
犯罪者の。
気になってしまうんですけれども、
確かに、言われてみるとそうだね。
なんか、どうなんですかね?ちょっと分からない。
この、身分査証で他人を語った時のこれ系の扱いってどうなるんだろうね、法的に。
全然分かんないね。
ね、分かんないね。
言われてみると確かに。
なんか、結構個人的にはこれ見た時には、
なんか、あ、とうとう日本にも来たかっていうのが一つで。
アメリカなのかな?
欧米だと割とこれってよく見かける。
1年半年前、多分AI出る前からもそもそもあって、
そう。
こういうのもあって、こうだね、あーそういうのか、みたいにちょっといろいろ話しててちょっと思ったこともあったんですけど、
結構なんかその、なんだろうな。
まあまあ米国、欧米では見る一方で日本で見なかったなっていうところで、
なんか意外と、なんだろうな。
えっと、理由あるかもなと思って。
一つはその誰かになり、今回はタケペフさんというか有名人になりそうなパターンに関しては、
結構その、片言、日本語だと引っ掛けらんないよなって気はしていて。
で、その欧米とかだとさ、例えば有名なアジア人になりすまして、片言の英語を喋るってなったら、
別になんかアジア人が英語喋れないのも別に変じゃないし、
ネイティブじゃない人たちに触れるっていうのも、
まあ僕の知ってるなんかアメリカの世界観だと別におかしいことじゃない。
まあ具体的にはあれですか、サンフランシスコとかカリフォルニアの価値観ですけど、
おかしくないのかなって思うから、
なんか日本はそこが違うっていう、攻撃者目線がちょっとハードル高いのかなっていうのを思ったし、
まあ今回も片言日本語っていうのが一つ決めてになってそうだなっていうのと、
なんでどっちかっていうとこのなりすましも、
まあもちろんなんか恐れるべきなんだけど、普通になんかその、
僕が本気で日本の企業に入るなら、優秀な外国人を想定、英語喋って、
もしくは日本語を勉強した外国人の手で入るほうがいいんじゃないかなって思ったっていう感想ですけど、
だからなんか何を狙ってそのこれをやったのかちょっといまいち、
そう考えるとわかんないなというか、
もしかしたら実験これでどれぐらいいけるのかっていうのをやってるのかもしれないし、
本気でやったんであればまあ今回の攻撃者ちょっとおすまつかなと思ったりもするし、
27:05
映像付きだったらいけると思ったのかとか、
またその直近だとLINE社長グループ案件でめちゃくちゃ儲けが出てるから、
意外と日本がワインじゃないみたいな、流れもあんのかなとかちょっといろいろ思いを馳せましたって感じです。
まあいろいろ試してるところっていうのはあるかもね。
結構。
なんでまあ従来と気を付けべきことも変わんないし前提も変わってないと思うけど、
身近に来たなっていう感覚は持ってもいいかもなっていうことは改めて思いましたし、
知らない人がこの機会に広く知ったっていうのはすごい良いことではあるから、
発信自体には感謝って感じですね。
僕らは声は鳴りすませるだろうから、
動画どう…いやでもなあ、動画もいけるんだろうなあ。
まあね、ほぼパブリックコンテンツみたいなもんですからね。
登壇、たくさん登壇とかされてるだろうから、
そういう登壇動画とかかき集めれば普通にいけるんだろうなとか、
だからそういう人はやっぱ、
それでいうとそういう意味で有名人に語りたかったんじゃなくて、
顔出ししてる人で優秀な人になったのか、
まあいいや、はい、なんかいろいろちょっと。
これ見てちょっと気になるというか、
気をつけないとなと思ったのは、
うちとかそうだけどトライアルでアカウント発行してるじゃん。
ああ、はいはいはい、そうだね。
本当にここまでやってくるんだったら結構そこは、
言うてもトライアルってなんか言って、
先行通ってきてるわけだしっていう見方をするんだけど、
しがちなんだけども。
確かにね。
ここまでやって本気で中に入り込もうっていうのをやってくるんだとするならば、
ちょっと見方変えないといけないなとは思ったな。
確かにね、それはそうかもね。
確かにね、だから会社で、
スラックでこれ見つけて話してくれてた人もその辺の話はしてて、
確かになーっていう気もしつつ、
いやー、またその、
そうだね、物理面接なしでも途中まではいいよみたいなパターンとかだと、
結構気づくフックはないかもねっていう気もするね。
いやー、はい、そんな感じです。
ありがとうございます。
じゃあ次は、
ご紹介しましょう。
Botnetの産業化、自動化と大規模化が生み出す新たな教員インフラ。
日本のトレンドマイクロの記事ですね。
記事はですね、結構濃い味というか重厚なんで、
30:02
ご興味があればという感じだし、
1から10まで話してると結構終わらないんで、
さらっと概要プラス気になった点を思い出しながら紹介できればという感じなんですけれども、
Botnetの話ですね、タイトルの通り。
Botnetっていうのは何かっていうと、
めっちゃざっくり言うと、
皆さんのご家庭にある脆弱性のあるルーターに、
協約他が世界中のその脆弱性のあるルーターとかをネットワーク機器に丸い輪をバンバンバンって巻いていって、
運善台、運満台、感染済みの端末を手中にした上で、
例えばDDoS攻撃をしたいってお金払ってくれる人がいたら、
その数万台からパケットを送るみたいなことをするっていう、
そういうインフラみたいなものを、
いわゆるBotがネットワーク上にバーっているっていうのをBotnetっていう、
めちゃくちゃざっくり言うとそういうものなんですけど、
これが進化しているよっていう話と、
進化してる過程でいろんなタイプ、
記事中では3つのタイプを紹介していて、
それぞれこういう特徴があって、
こういう部分に気をつけなきゃいけないとか、
今後はこういうふうに進化していくだろうみたいなのが見えてます、
みたいなのを結構詳細に紹介してくれている記事ですね。
印象深かったのはこの3つのタイプは、
なるほどなという気はしていて、
1つはロンドドックスっていって、
自己議科だったんだけど、
これはざっくり言うと、
室より寮パターンですね。
とりあえず感染させていく、どんどんどんどん。
その台数を増やすことで、
それを使ってビジネスをしているって話ですね。
例えばさっき言ったDDoS攻撃とかもそうだし、
ランサムな足掛かりとしても使わせたりもするし、
とにかくいろんなことをすると。
台数が大事なんで、攻撃の特徴にもそれが出ていて、
エクスプロイトショットガンって書いてあって、
不穏だなと思うんですけど、
基地のあるある脆弱性みたいなのがあるんですよね。
彼ら的にあるある脆弱性、あるあるパッチャ、
当たってないパッチみたいなのがあって、
それをひたすらいろんな端末にガンガン試行し続けて、
成功したら生まれは感染でおしまいっていうのを
ひたすらひたすらやっていくみたいなアプローチを取っているみたいな。
形だったりとか、またターゲットも産業リューターから
エンプラも狙ってるよとかいろいろありますよみたいなやつと、
2つ目がレッドテイル境界突破型で、
これは企業向けかな、
企業向けのセキュリティ機器を狙い撃ちするっていう感じですね。
なんで、これに関しては結構その、
APTと呼ばれるようなグループとかが、
表向きは感染したマイナー、暗号通過マイニングをするらしいんだけど、
バックドアも設置してあるから、
何個のときに使えるバックドアをコツコツ巻いて回ってんじゃないかみたいな、
33:04
ちょっと不気味なタイプって感じですね。
なのでかなり高度なやつっていう感じです。
3つ目がModern Locks Ghost、認証情報ハーベスタっていうのが書いてあるんですけど、
これは感染した上で認証情報を盗んで回るのが狙いらしいと、
分かりやすいとかあと.Mとかないかっていうのを
どんどんどんどん集めて回ってっていうのをやってるらしいです。
なのでこれはBotnetを作るつもりでやってるのかな、
基本的には周りは感染させてその後さらに盗みにいってるっていう構造になってるって感じですね。
このどのBotnetも共通しているところとしては、
記事中でも何回も何回も言われてるんですけど、
感染までのリードタイムがあまりにもどんどんどんどん短くなってますよと。
これ多分Botnetに限らずずっと言われてることだけど、
あるルーターのパッチが発行されました、CVが公開されました。
なるべく早くパッチ適用してください。
これ放置しておくとこのロジックで侵入しちゃいますみたいなのが出たときに、
基本的にはもうそのBotnet側は昔は多分対応に時間がかかってたんだけど、
今だともう数時間いないぐらいに対応しちゃって、
どんどん感染させるというのをやってるから、
そのパッチ適用がとてもじゃないと、
世界レベルで見ると全然追いついてないし、
結果数千台公開されたばかりのCVで乗っ取られてしまうみたいなことが
実際に起きてますよっていう話とか、
また脆弱性収集に対するモチベーションめちゃくちゃ高い記者が高くて、
CVを待つんじゃなくて、
例えば、なんて読むんでしたっけ、
世界的に有名なバグ…
ポンツオン
ポンツオン、そうです。
とかも内容がっつり見てて、
パッチとか見てなくても脆弱性の内容が公開されたらすぐに、
独自にエクスプロイトを作って、
数時間以内にどんどん反映させるということもやってるので、
なかなか時間がないですよっていう話が採算されていて、
これは結構しんどいなっていうところだなっていうのと、
またさっきの3つのタイプを合わせてみたときに、
ターゲットから外れるってことはほぼないんですよね。
ご家庭のルーターも当然ターゲットに入っちゃうし、
ネットワーク機器を運用してる企業であれば、
そういう物理的な機器っていうのも、
これらのどれかのターゲットに入っちゃうから、
さっき言った脆弱性であったら、
何時間以内に攻撃されるかもしれないっていう脅威に
ずっとさらされてるっていうところが、
やっぱ裏付けられてるというか、
結構しんどいですねっていうところと、
これも前からですけど、
36:00
いまだに2017年のPHPの脆弱性疲れてるというか、
美味しく活用されてますよって話とかもあったりして、
そうですよねって気持ちで読んだって感じですね。
なので結構しんどいですねっていうところはあるんですけど、
パッチを当てる方もそうなんだけど、
パッチ当てられなかったとしても、
爆発反響をいかに縮めるかとか、
結構だいぶ不利なゲームにさらされてるんですねっていうところは
再認識したのと、
あとBotnetの場合はもう感染しても多分、
向こう側は産声を上げないというか、
リードス攻撃で足場にされるんだったら、
多分自分たちは気づけないというか、
なし、ドッテンブも多分盗まれて、
悪用されて多分初めて気づくんでしょうね、
キーで盗まれてとか、ランサムが回復してとか、
だからそこもちょっとやっぱり不気味というか、
だから潜伏してくれるっていうことを考えると、
感染はしちゃうかもしれないけど、
定期的にきちんと健康診断をするとかは、
やってもいいかもしれないという感じです。
なのでBotnetを知らんっていう人、
さらっと読むといいかもしれないと思いました。
あとはもう1つも本当に皮肉だなと思ったのは、
攻撃者目線、
感染しやすさみたいなのを裏付ける
象徴になっちゃってるなと思ったのは、
攻撃者目線のゲームはボットネットの拡張、
ボットの数をどう増やすかじゃなくて、
増やせることはわかってるから、
競合よりより早く増やせるかとか、
入ったところに競合のマリアがすでにあったときに、
それを追いやるとか、もうそっちのほうに注目。
そっちのほうが注力してる。
だからもう感染する次第は別に、
もうおいしい端末いっぱいあるから、
だからそれぐらい、
攻撃側と攻撃される側の均衡としては、
かなりいびつな状態っていう部分も感じました。
不思議な世界だな。面白すぎる。
やっぱRansomと一緒で組織化が進んでるみたいな言及もあって、
だから稼がなきゃいけないんだろうねっていうのは、
稼ぎたいだろうしあると思うんだけど、
クリーンナップSHだっけ?
どっかの教育グループはクリーンナップ.SHっていうのがあって、
それ使うと競合のマリアは全部クリーンナップするみたいな。
へー。
あるらしくて。
それ配るしかないね。
それくれよって思う。
便利ツールすぎる。
なるほどね。
あ、クリーンナップ.SHか。
レッドテールがそうだね、クリーンナップ.SHが。
へー。
いや、おもろいよね。
便利ツールや。
うん。
まあ、掃除するだけじゃなくて、そいつらが入れなくして、
39:02
自分たちだけが選挙するっていうことをするか、
当然事故したらダメなんですけど。
はい。
そんな感じです。
うん。
教科書的ないい記事なんで、ぜひ読んでみてください。
はい。
じゃあ、次に行きましょう。
次に行きましょう。
はい。
ブリピンコンピューターで、
Amazon Drone Strikes Damaged AWS Data Centers inMiddle Eastという記事ですね。
まあ、結構話題になってたんじゃないかなと思うんですけど。
そうですね。
AmazonのAWSの中東のデータセンターが、
イランのドローン攻撃によって被害を込むって、
クラウドサービスに影響が出ましたっていう話ですね。
で、なんかそれめちゃくちゃ硬いことがあるわけじゃないんですけど、
まあ、さらっと話せばなっていうところで、
イラン関連のニュースが結構これ以外にもぼちぼちで出していて、
結構、
まあ、サイバー、これは物理の例ですけど、
サイバー空間でもやり合ってますよみたいな。
例えばイランがいろんなアメリカの企業を狙って
バックドアを仕掛けまくってるっていうのが観測されてますよとか、
逆もしかりというか、逆はそもそも多分米国側がちょっとオープンにして、
こういうスパイ行動をしてとか、
このアプリを乗っ取ってこういうことをしてみたいなのが結構調べると出てくるんですけど、
なんで割と始まってる感があるなっていうところと、
また実現するかはどうかはともかくなんですけど、
イラン目線でアメリカとも、
スタンスとしては真正面からやり合いましょうっていう状態になって、
今時点ではなっちゃってるんで、
その過程で今回は中東だったけど、別のデータセンターを狙うとか、
AWSじゃなくて別の重要なソフトウェアにおいて重要な場所を物理的に狙うとか、
もしくは同盟国を狙って、物理じゃないけどソフトウェアで何か狙ってくる。
ってなってくると日本もあんま他人事とは言えないというか、
自分の会社まで来るかは本当業種とかによると思いますけど、
対岸の舵と思っちゃいけないなって個人的にちょっと思っていて、
だからといって明日から明日の出勤で何かできることがあるかと言うと、
基本的なことをしくしくとやるしかないんですけど、
頭の片隅というか偉い時代にちょっと生きてるなーって気持ちで。
なんかきついね。
きついか。
セキュリティの領域の話においては、
外からドローンで攻撃される、特攻されるみたいなところまで、
42:03
脅威として想定しますか、どうしますかみたいな。
しんどいね。しんどすぎるね。
しんどいよね。
実際の詳細は出てないからなのか、僕はキャッチできてないのかわかんないけど、
AWSに関しては攻撃されて滅多滅多に破壊されたわけじゃなくて、
攻撃されて多分何かしら物理的な影響が出て、
とりあえず緊急で電源を落とすっていう手続きを踏んだみたい。
だから攻撃されて止まったっていうよりかは、
自分たちでも落とさざるを得ない状況に追い込まれたっていう形っぽいから、
なんか対策してたけど、対策しててそれで済んだのかもしんないなって今聞いてちょっと思ったな。
いやー、そうね。
いやー、でもまあそうだよね。
でもデータセンター、基本的には頑丈に作られてるんだろうなと思うけど、
一回昔、
いやでも、うんうんうん。
なんか新卒の時にデータセンターの見学行ったことあって、
そのオンプレの会社だったから。
うん。
結構、ここから防弾ガラスでここでボディチェックがあってとかやったのを今ちょっとすごい思い出したわ。
あー、防弾ガラスとかあるんだ。
ガラスがあるんだね、そもそも。
そうだね。
窓があるんすね。
入り口とか、
入り口とかね、はいはいはい。
そのサーバー室から、
サーバー室に行く途中でそのモニタールームみたいな、
管理センターみたいなところがガラス割りに見えるようになってるんだけど、
そういうものとかも全部ガチガチに守られてるみたいな。
なるほどね。
うん。
いやー、自社DCの見学はしたことあるんだけど、
うんうん。
なんか新卒の時に。
うん。
そういう話は聞かなかったなー。
あ、ほんと?
全く言及されてなかったから、
なんかちょっと中身がどんな風景だったかすらもはや覚えてないんだけど。
なんかそれなりに、
なんかどこも対策されてる気はするよね、
使ってるものを考えると。
データセンター目線はその、
仮に入られて全部破壊された時のその、
なんだろうな、損害賠償考えるとまあやるよねっていうのは多くから。
で、なんか。
まあね、
言ってもなー、なんか、
その、
その辺はなんか面積兆候として書いてそうな気はするけどな、
どうなんだろうね。
まあ、最低限はありそうだけどね。
うん。
どうなってんのかちょっと分かんないけど、
気になりますね。
うん。
いやー、
まあ、
まあ遊んでな、
明日から何かできるとは言わないけど、
まあ、
平和を祈るのみですね。
うん。
クラウドサービスっていうと、
なんかあれだね、
あの、
SLAチャレンジとかできるから、
できんのかな、この状況で。
あー、
SLAの契約次第かなー。
ねー、なんか。
まあ、AWS使ってて影響を受けた人はやってもいいかもね。
45:03
ね。
まあ、この中東使ってるって人は日本にあんまりいないだろうから。
まあ、あんまりいない気が。
うん。
だからその、冗長構成の一部にはなってるから、
その辺でもしかしたらちょっと影響を受けたとかあるかもね。
ね、あるかもね。
うん。
いやー、
だからその辺考えると、
なお守るモチベーションは間違いない。
クラウド側にはあるね。
あー。
金かけてでも、
破壊されてSLAで挟むみたいな。
いやー、
大変さー。
はい。
僕らも、
ドローンで攻撃されることも想定して、
セキュリティリスクについて考えていきましょうね。
考えていきましょう。
うーん。
我が国の自衛のための軍隊が暴走しないことに祈りましょう。
うーん。
うちはそうだね、暴走しようがない枠組みになってると思うけど。
はい。
じゃあ、残り2記事ですか。
次。
まあ、これサラッと、サラッとなんですけど、
GitHub Actions、スクリプトインジェクションの実践例という記事ですね。
で、コウキさんっていう方の記事だったかな、確か。
うーん。
この方なんか、なんかわかんないけど、
よく検索で引っかかるというか、
アクションズ多分詳しい人なんですよね。
なんで。
ぜひ、ネットサブスクライブって感じなんですけど、
まあまあ、スクリプトインジェクション、
GitHub Actionsにおけるスクリプトインジェクションの実践してみたみたいな話で、
これ最初の1ブロックだけ読めば皆さんいいかなって感じなんですけど、
よくあるGitHub Actionsでシェルを実行する部分に、
ダラ何カッコだ、
ナミカッコナミカッコ、
トジナミカッコ、
トジナミカッコで、
GitHub Actionsの変数を埋め込むっていうワークフローサンプルとして書かれてるんですけど、
これ何がまずいかわかんない人は、
お願いだから全部読んでくれっていうのが一番最初に書いてあって、
いい導入だなと思ったんですけど、
結論何がダメかっていうと、
ここにその任意の文字列が入る場合は、
アクションズのこの変数の仕組みとしては、
このアクションズの変数を、
実際の値に入れ替えるんですよね。
サンプルだとプルリクエストのタイトルとか埋め込まれてるんですけど、
このプルリクエストのタイトルを埋め込んだYAMLになって、
その後それをシェルとして実行するっていう順序になるんで、
例えばプルリクエストのタイトルに、
SQL Injectionのノリで、
ダブルクオーテーションに閉じて、
好きなお好みのシェルを書いて、
インジェクションが成功するっていうのがロジックですよと。
このパターンキャスト聞いてる方は、
みんな知ってる知ってるって感じかもしれないし、
これを防ぐ方法もアクションリントとかジズモとか
使えばいいですよって話なんですけど、
1個だけ本当これ僕も持ってますっていうので取り上げたかったのは、
48:07
この任意の値が入るっていう部分で、
任意の値が入らない変数もあるんですよね、
アクションでしょって。
例えば、
パッと思いつかないんですけどあるんですよ、
コミットハッシュとか、
ワークフローの実行IDとか、
例えば変な文字列を入れるとか、
コミットハッシュとかも天文学的な確率でしか
任意の文字列を入れるって、
少なくとも記号とか入ってくるとかできないんで、
そういうのはこのスクリプトインジェクションの観点で言えば
セーフティーなんだけど、
でもとはいえこれなら埋め込んでも大丈夫、
大丈夫じゃないっていうのを、
いちいち毎回正確に判断するのは非常に重労働だし、
重労働なので、
とにかくLANの中では変数埋め込みをしない、
変数埋め込みは必ず環境変数を経由して渡すっていうのを
徹底した方がよっぽど楽だし安全ですって書いてあって、
これは僕もこういうお題にして言いたいなっていうのを
思って紹介したって感じです。
っていうのもアクションリントとかだと
これいい感じに解釈してくれるんですよ。
内部ロジック見ると分かるんですけど、
この変数は安全っていうのがあって、
それ埋め込んでる場合はアクションリント起こらないんで、
JISMはちょっと分かんないですけど、
アクションリントに関しては、
変数をLANに埋め込まないっていうところを
チェックしてるんじゃなくて、
埋め込んだら安全でない可能性があるものを
チェックするっていう風になってる感じなんで。
でも、なんで、じゃあアクションリントで回して
こけたら直せばいいじゃん、なんですけど、
僕はもうこけて直すのめんどくさいでしょって思うから、
何も考えずに環境変数で全部渡すのが
一番楽だよ、派閥っていう感じで、
この一文に感銘を受けてご勝負という感じでした。
いやー、シンプルだけどいい記事ですね。
そう、あと今だったらもうお好みのエージェントの
ルールとかでこれ一言書いとけばいいんじゃない
って思ってるんですよね。
どうなんだろうね、
なんか必ずアクションリント回せる方が
早いような気もするけど。
そうね、なんかもうGitHooksに入れちゃうとか
CAに入れちゃうとか、
それが最後の防衛ラインとしてはそこかなって
気はするね。
だからまあ、立場にもよるかもね。
仕事は今言ったガードレールを作るべきだと思うし、
個人でOSS活動してるって方は、
まあこれやられてるんで実際に、
なんかその、
各々自分がいいと思うGAをというか、
まあいいと思うGAというかも、
多分忍耐レールが一番楽だと僕は思うけど、
そうっすね、最後の取り出は欲しいね、
アクションリントって形でね。
51:02
じゃあ最後。
最後だよね、最後です。
From Reactive to Proactive,
Closing the Phishing Gap with LLMs
っていうクラウドフレアのブログです。
内容としては、
結論、クラウドフレアの
フィッシング検知のソリューションがあるのかな、
それの宣伝者宣伝なんですけど、
その宣伝の売りの一つというか、
実際にやってるよっていう部分で、
LLMを使ってフィッシングメールを
検知するっていうのをやってますって話ですね。
で、この具体的に何をしてるのかっていう部分が、
割といい、
LLMをセキュリティにいい方面に
生かすところのしっさがあるなと思って、
ちょっと軽く紹介できようかなって感じなんですけど、
前提として今までのフィッシングの検知っていうのは、
事後対応的でしたよっていうのが語り口としてあって、
事後対応的っていうのは何かっていうと、
例えばフィッシングメールが誰かに届きました、
これ怪しいって言って、
迷惑メールとして通報しましたとか、
実際に引っかかっちゃって、
これフィッシングメールでしたみたいな垂れ込みが
プロバイダー、サービス提供者側に入って、
ブラックリスト入りするとか、
そのメールを解析して、
じゃあこういうメール怪しいから、
こういうロジックで今度から検知できるようにしよう
みたいな感じで、
割とその被害が起きる、
もしくは起きる一歩手前になってからじゃないと、
なかなか新しいパターンとか、
新しい、何でしょう、
新しいパターンかな、
新しいタイプの攻撃に対応することが難しかった。
だけどここに対してLLMを使うことで、
数多のメールをいろいろ加わせて、
めちゃくちゃざっくり言うと怪しそうなメールを
怪しいよって言って検知するっていう部分に
生かすっていうアプローチで、
検知率を上げたよっていう話が
結構丁寧に書かれてるっていう感じですね。
具体的にはLLMを使う前、使った後で、
使う前に検知しそびれてたフィッシングメールのうち、
LLMを使う前に検知しそびれていたメールが、
LLMを導入したことによって、
全体に割で言うと20%減少させられたよっていうのがあって、
効果も出てるよって話があって、
なるほどなるほどっていう感じでしたね。
結構直近だと、例えば見抜きづらいやつとかと、
ビジネスやりとり風メールみたいなので話すみたいなのがあったりして、
そういうのとかは割と、なんだろうな、
事後的対応だとなかなか難しいけど、
LLMだとこういう風に評価できるみたいな感じです。
これいいよね。
54:02
これこそ得意分野というか、
Logicだとなかなかイタチごっこになってしまう領域だと思うから、
いいなと思ったし、
あと直近だと、
これもう検知できるようだったら申し訳ないんだけど、
LINEグループ作ってくれ社長メールとかも、
これで検知できるのかなとかちょっと思いながら読んだりしてたな。
ワンチャンいけるかもね。
いけそう。
各社こういう風にやってくれるんでしょうけど、
おすすめですは分かんないけど、
明るい未来の話として締めにご紹介でした。
ありがとうございます。
いやー、極端に短いメールとか普通にご検知されそうだけど、
大丈夫なのかな。
どうだろうね。
一応その、
隔離とブロックとパスみたいな3つのやつがあるから、
差し限り次第だろうね、そこも。
だから多分具体はあんま書いてなかったけど、
裏側でいろいろチューニングはしてそうな気はするな。
これけはご検知との戦いにはなっちゃうね。
この前久々にGoogleアカウントの迷惑メールフォルダを眺めてたんだけど、
最近はあれなのかな。
なんだっけな。
いやー面白いなったんだよな。
海外のみんなが知ってる企業の社長ですみたいな感じで、
200名に何ドルを小売りで加えることにしたんで連絡返信してくださいみたいなやつとか、
そういう当選系みたいなのが流れてきてて、
えーって思った。
いやもろ。
もうあの手この手で。
あ、保証金、あなたは保証金の対象になったから、
住所電話番号これ返信してねとか。
昔からよくあるパターンではあるかな。
まあね、なんか緊急世話なお金で釣るとかまおるとか、
だからなんかその辺もやっぱ一貫してるよね。
いや笑ったやつあったんだよな。
あ、そうだそうだ。
そうだそうだ。
あのウォーレンパフェットからメールが来てたんだよ。
あーイケね。
そう350万ドルの寄付金。
めちゃくちゃ面白かった。
いや、なきゃねえだろ。
これは最高だったな。
今日はそんな感じです。
サラッと。
オフモードでした。
オフモードでしたね。
まあ、もう来週はAIに狂って2人とも記事を読まずに来るかもしれない。
いや全然あり得るな。
なんか普通に。
いやその、なんだろうな。
57:00
いいよ、俺がちゃんと読むから。
俺はその、この読むのをAIで効率化したからだいぶ。
数分と上がってる感じがしますね。
あとあの、なんだろう新しいリリース積んでないからって言って、
すごい本当に社の扶養所で申し訳ないけどサボってた。
あのNPMのOIDC対応もガガガッとやって、
最高って思いながら。
ついでにリリースの自動化もして。
いいっすね、なんか。
いやー早くAIの変えた行動に苦しめられたい。
じゃあ今日はそんな感じですか。
はい。そんな感じで。
よろしくお願いします。
今週もありがとうございました。
ありがとうございました。来週も楽しみに。
皆さんさよなら。おやすみなさい。
おやすみなさい。
