ダブルクリックジャッキングの脅威
こんばんは、Replay.fm第17回です。
こんばんは。
こんばんは。
えっと、明けましておめでとう回は終わってて。
終わった。
新年2回目ですね。
うん。もう、正月気分も抜けてしまって。
ほんとかよ。
ただの日中。え、でも抜けたけどね、割と。
あー、確かに。今日ようやく抜けた感じがするな。
年末に話してたことを、なんかめっちゃ思い出す回が今日あったわ、なんか。
なるほどね。
いやー、とかもう。
てか、私そもそも20日から休んでたからさ。
あー、長かったんだね。
そう、長かった。
あー、もうなんか、あれはな、その保育園が再開したらもう日常感がエグいなって感じ。
あー、なるほどね。
始まった、始まったみたいな。
強制日常復帰マシーンや。
そうそうそう。
仮に勇気を取ってたとしても、それは変わんないから。
そうだね。
それはあるかもな。
なるほどね。
全然悪いことだと思ってないけど。
いいね。なんか、いいね。
うまい表現が、そう、うまい表現がちょっと見つかんないんだけど、なんか、いいね。
メリハリはつく。
いやー、なんか、むずいとこだな。
まあ、いろいろちょいったんあるんだろうけど、なんか。
うーん。
ちょいったん、そうね。
まあまあ、まあでもなんか、そうね。
特に感もなく、不感もなくて。
一方で、記事の様相はまだ正月感というか。
そうだね。
20、30から1月5日の記事だから、まあ少なめですねって感じですけど。
だらだら。
2時間に伸ばすことなく。
探っていきましょう。
うん。
そんなに触れるとこないんじゃないかなと思うんだけどね。
そうね、一個ね、去年の振り返り記事があって、まあ割といい感じの、
個人的にいい感じのヘッドラインだったから、まあざっざっとサクッと読めるパターンがいいかな。
スルーしちゃった。スルーしちゃったけどでも確かにいいね。
なんか今見てるけど。
うん、いいリュード。
じゃあ1本目いきますか。
はい、お願いします。
はい、えーっと、
New Double Click Jacking Attack Exploits Double Clicks to Hijack Accountsというブリーピングコンピューターの記事ですね。
はい。
かっこいい。ダブルクリックジャッキング。
で、まあタイトル通りダブルクリックジャッキングっていう新しい攻撃手法の話で、
文字通り従来クリックジャッキングがありますけど、あれのダブルクリックバージョンでアカウント、
まあアカウントを乗っ取るっていうのは記事の内容的には正確な表現ではないんですけど、まあアカウントを乗っ取ったり、
まあオース認証を強制的にさせて一部権限を乗っ取ったりみたいなことをされる、させる、えー、する攻撃ですと。
で、クリックジャッキングと発想は一緒かと思いきは、いや、これ記事、文面だけ読むとどういう攻撃かっていうのがわかんなかったんですけど、
その実証動画があって、これ見るとマジ一発でわかるんですけど、
その、先にこの攻撃の何が新しいのかって話をすると、従来のクリックジャッキングの防御策を回避できちゃいますっていうのが、
新しいポイントであり、まあ脅威ですよってことを言っていて、で、なんで回避できちゃうのかって話っていうと、
攻撃の手順としては、まあまず一番最初はクリックジャッキングと一緒で、まあ偽サイト、まあ魅力的な何かなんでしょうね、
まあ何かしらの魅力的な偽サイトを作って、まあそこにユーザーが流れ込んできて、
で、そこでユーザーは、何かしらの、例えば記事中で確か触れられてたのは、
なんかの画像をダウンロードしたいみたいな、ダウンロードボタンをポチッと押したときに、
キャプチャー的な、偽のキャプチャー的な画面が出てきて、
まあロボットじゃない判定をするために、このボタンをダブルクリックしてくださいみたいなのが出てくると。
で、これをダブルクリックすると、何が起きるかっていうと、1回目のクリックイベントを取ったときに、
そのクリックした位置に本物のオース認証画面の許可するよってボタンが来るように、
もともと用意してたそのページをバッと表示させて、
で、ユーザー側はダブルクリックするつもりなんで、気づく間もなくポチポチって押しちゃって、
あってなっちゃうっていうのが趣旨っぽいと理解した。
なんかちょっと自信はないけど。
いや、あってると思います。
あってると思います。
そうだよね。
うん。
なんか動画見て、なんかシンプルながら結構笑っちゃったというか、
なるほど、と思ったんですけど。
これさ、たまにちょっとどのサービスだったかわかんないんだけど、
こう、ページロードから何かしら次のボタンを押すまでに一定時間、
待たないといけないようなサービスが何かあった気がするんだけど、
ちょっと思い出せないんだよな。
あー、なるほど。
アカウント連携とか全然関係ないやつかもしんない、もしかしたら。
何だっけな、ちょっと思い出したら、なんかXに投稿しときます。
お願いします。
なんか、いや、割と日常的によく見てるんだよ、多分。
うんうん。
全く思い出せない。
もしかしたらこういうのの対応なのかなってちょっと今ふと思った。
うんうんうん。
うん。
確かにね。
あとはこれなんか、ネット環境弱かったらできないよねとか。
できないね、確かにね。
うん。結構な速さで。
でもさ、そのボタンの位置をさ綺麗に合わせるって結構大変じゃないかな。
まあでもその。
スクリーンサイズ見て。
あー、確かにね。
まあでもそうだね。
それこそその本物のページのCSSパクれば、パクればっていうか読めばそんなにずれることはないんじゃない。
多分だけど。
本当に?
そんなことある?
だって別にさ、そのなんていうか、アブストリートポジションでボタンの位置指定しないじゃん。
そうだね。だからそれこそそのディスプレイも揃えて。
あー、で他は全部非表示にしとくのか。
そうだね。
例えばだけど。
そうそう、そのボタンの位置だけ合ってればいい。
うーん。
だからそのレイアウトパックってそのボタンがその位置に。
あー、なるほどね。
それがまあ演技的には。
頭いいね、確かに。
うん。
面白い。
あと、本物ページが複雑な仕様じゃなければっていう条件はあるけど。
いやー、なんか手おかえしなおかえいろいろやってくるね。
これin the wildで普通に使われてるのかな。
それともなんか実証、要はproof of conceptをやってるだけなのか。
あー、これは多分記事の感じはPOCだったと思うけどね。
うん。
なんか元ネタが紹介したみたいな感じはこれか、元ネタ。
うーん、できるよって話なんじゃないかな。
だから実際にこれがその使われてるっていう話ではなさそうだよね。
うーん、と思いますけどね。
うーん、はい。
いや、興味深い。
興味深いけれども、なんかまあ興味深いにとどめておきますか。
そうですね、まあこれが使われるのか使われないのかは今後知りたいですけど。
まあこれユーザー側は多分あれってなるだろうから。
いやー、ほどロード時間短くない限りはあれってなるよね、きっとね。
うーん、動画見てちょっと笑っちゃったもん、なんか。
まあそうかみたいな。
まあまあまあまあ、でもそのものによってはね。
まあ攻撃者としてはだからこれを成功させた後にいかに早くそれを悪用するかっていうところが多分鍵になるんだけど。
そうだね、うん。
まあでも全然そこは行けちゃいそうだよね。
そのユーザー側が主導で、一般の方々は起こす連携をわざわざ外した経験なんてないだろうから。
またなんかその連携を外すって発想に至らないかもしれないよね。
お問い合わせしてちょっとなんか変なの起こしちゃいましたとか。
だからそれぐらいの時間があれば十分自動化でやりたいことはできちゃいそう。
うーん、まあだから成立はするんだろうね、やろうと思えばね。
そうだね。
いやー、興味深い。面白かったです。
ASO2022JPのクロスサイトスクリプティング
うん、面白い。はい、そうですね。
いやー、賢いよな、みんな。
はい、じゃあ次はこれ先に。
いや、大丈夫じゃないかな、この順で。
なぜかというと、次に来る、次の次に一応並んでる記事のサマリーがこの記事の中で紹介されているので。
なるほど。
順番はね、全然大丈夫。
はい、ASO2022JPによるXSSの話っていう、まあ久々なんじゃないかな、長谷川さんの。
なんか3年ぶりに書きましたとか書いた気がする。
そうだよね、いやーそうだよ、2021年の記事ぶりだもんね。
3年ぶり。
うん、久々、もう久々すぎてなんか、あのー、フィードリーに登録してなかったので。
分かる、俺もこれ見て登録したわ。
これ見て登録しました、はい、ありがとうございます。
えーっと、まあなんか、たぶんねこの流れで言うともう一個の、まあ徳丸さんの記事なんですけど、
徳丸さんの記事は紹介しなくなっちゃう気がするので、
個別に読まないっていう意味で紹介しなくなっちゃうと思うので、なんか合わせて紹介してしまうと、
経緯としてはまず大晦日に徳丸さんがASO2022JPの自動判定によるクロスサイトスクリプティングっていうブログ記事を上げていて、
それに対してのなんか研究を含めた記事として長谷川さんがブログ記事を上げているっていう経緯です。
で、この記事の中でも徳丸さんの記事について研究していて、
HTTPレスポンスヘッダーやHTMLメタタグでの文字エンコーディング名の指定がない場合、
要はブラウザが文字エンコーディングを推測しないといけないようなケース。
推測しないといけないっていうか、仮定してレンダリングするか推測して決めるかのどっちかになるのかな。
そういうケースで攻撃者がASO2022JP特有のバイト率をHTML内に埋め込むことで、
ブラウザがそのコンテンツをASO2022JPであると誤認する。
その時に動的にJavaScript内の文字列を生成しているとすると、
US-ASCIIでいうバックスラッシュではなくJIS-X0201の延期号を挿入することで、
エスケープが無効になる結果としてJavaScriptの文字列外に攻撃者が行動することができるというのが、
徳村さんが書かれている記事になりますっていうサマリーを書いてくれていて、
このまとめ能力が俺も欲しいよって思ってるんだけど。
素晴らすぎるな。
っていう記事をまず徳村さんが書いてたんですよ。
これを説明してしまうともう徳村さんの記事を個別に紹介する必要がなくなっちゃうので、
このままサクサク行くんですけど、徳村さんの記事では既存のベストプラクティスで十分対応できる話ではあるんですけど、
HTTPのレスポンセーター、コンテンツタイプかなとか、
HTMLのメタタグで文字エンコーディング名を明記するようにするっていう方法が対策として紹介されていて、
他に特定の文字エンコーディングに、難しいな。
各文字エンコーディング特有の文字列をHTMLのセントフキに埋め込んでおくとかするといいんじゃないみたいな、
未確認だけどそういうのも効果があるかもねみたいなのを書いてくれていたりして面白い。
これ昔あった気が、いやこれ違うな、エンコーディングは関係なくて、
えーっと、なんだっけ、えーっと、えーっと、えーっと、ちょっと待ってね。
いや多分IEのコンテンツスニッフィング対策でこういうのやってた気がするんだよな。
なるほど。
そう、ちょっと忘れちゃった。
いやあった気がするんだよ、こういうの、なんかその冒頭付近のそのIEがコンテンツスニッフィングに使うのが先頭のこの部分だから、
えーっと、この部分をなんかあれするとこう、なんかいい感じになるよみたいなのあった気がしていて。
はいはい。
そうあった気がするんだけど、ちょっともうね覚えてないんだよね。
使わんのしなあ、現代で。
そう、なんかっていう感じです。
で、えーっと、まあ記事の本題に戻ると、えーっと、2つ、えーっと、熊野さんの記事から派生して2つ紹介してくれていて、
1つがメタタグによるCSPの指定のバイパスっていうのを紹介してくれているのと、
あともう1個なんだっけ、えーっと、属性値はテキストノードのエスケープのバイパスっていうのを紹介してくれてます。
まあ細かいところは記事読んでくださいって話になっちゃうんですけど、
はい、まあ割と限定的なケースで成立するよって話で。
正直徳丸さんの記事の方も、徳丸さんの記事の方で紹介されてるやつはなんか割と微妙になんか刺さるケースがなくもなくもなくもないのかなみたいな感じだった気がする。
結構なんかブラウザと、なんかいくつかの条件突破すれば。
とりあえず日本語サイトでは成立しなそうだねって話だったんだよね、とりあえず。
なので、まあ、なんていうか、この令和の時代にこれを読むことが、この記事が出てくるのが面白すぎるんだけど、なんか面白いねという話でした。
これはなんか、そのSS大臣の見解を聞きたいんですけど、
メタタグ指定するのが一番悪いっていう解釈でいいんですか?
メタタグっていうか、普通にHTTPヘッダーでいいんじゃない?
ああ、そうだね。
どっちかの、こっちかな、なんかもう今の時代になってきても指定しなくてもいいよみたいな。
ああ、それは多分一度も何も言われてないと思うな。
そうか。どこで見たんだっけな。
指定しなくていいんじゃなくて、指定しなくていいっていう風潮があるけど、こういうのあるよみたいな、なんか導入がどっかで見た気がしてて。
そういうことか。
気のせいか。
わからん。
ああ、そうそう、これだこれだ。
指定し…
そうっすね。
ああ、ほんとか?
ウェブコンテンツに、もちろん5人が面白くされなくても脆弱性として指摘しなくてもよいのではという意見も見られますっていう。
徳丸さんのピースの方ですね。
そうそうそうそう。そう主張する人もいるって話かな。
うーん、でもなんか指定しない理由がなくない?
ないと思う。
アプリケーションJSONは指定しなくていいみたいな話はあったと思うよ。なぜかというとJSONという仕様そのものがUTF-8を前提としてたはずだから。
ああ、なるほどね。
確かに。
JSONはRFCレベルでBOMなしUTF-8でってなってるらしい、一応。
今バッとなんか調べただけだけど。
BOMだから熱いな。
だからエンコーディングをアプリケーションJSONのときはコンテンツタイプアプリケーションJSONのときは別に指定しなくてもいいはず、理屈上は。
なるほどね。
とかそういうのはあるけど別に指定しない理由がないっていうか。
だってデメリットがないじゃん。
デメリットないね。
だからこれがあるから指定するとかそういう話ではないんだよな。
プラクティスとして指定しとけよって感じかな。
いや正直気にしたことなかったのがなんか普通にフレーマーク使ってたらついてるのかな。
だいたいUTF-8指定でついてそうだけどね、今どこか。
変なことしてなければ。
だってわざわざSGISとかEUCJPとか使うことないだろうし。
間違いない。
SGISとかはちょっとわからんけどね、場合によって扱ってるところもあるかもしれないけどどうなんだろうな。
こっそり自分のサービスちゃんと見ておこうか。
いや、なんか普通にだってセキュリティ診断とかやってれば指摘されると思うよ。
そうか。
答え合わせできてよかった。
面白かったでも。
なんかこういうのいいよな。
いいんだけどさ、なんかこう趣味性が強いよね。
まあまあまあ。
海外で見つけてるっていうのもまた面白いんだけどさ、なんかこのわからんけど、
いやその日本のXSSのトレンドと海外のXSSのトレンドの微妙なズレみたいなのが僕は面白くてむしろ。
へえ。
なんかそのこの辺の話ってなんか正直そのUTF-7のさ、
あのXSSの話とかの頃に多分だいぶ通ってきてる道のような気がしていて。
そうなんですね。
わかんないけど日本のXSSかいわゆるは。
うんうん。
でその後なんかUTF-16、UTF-32とかを使ってなんかゴニゴニするみたいなのをなんか金沢さんがちょこちょこ探してたりとかして、
それはもう面白かったけど、なんかこの辺の話若干一周遅れでなんか海外が追っかけてるような印象を受けるから面白いなーってなんか。
なるほどね。
国ごとになんかこの脆弱性が人気とかあんのかわかんないけど。
いやーどうなんだろうね。
一周回ってこのなんかISO2022JPのこの話でXSSが海外から出てくるのは本当にちょっと面白い感じがする。
確かにですね。
ありがとうございます。
あーわかんない、なんか最近の海外の話が僕は全然わからんのでなんとも言えないけど。
確かに。
面白い。
はい。
勉強になりました。
はい。
よし、こっちもチェックつけちゃおうかな。
よし。
はーい、じゃあ次は。
これさ、ちなみにさ、もう一個出てきたんだよね、そのごとくまるさんの記事が。
あ、そうなの?
来週のに入れといたんだけど、もうもういいかなって感じするから多分読まない気がする。
もう一個、年明けてもう一個出てきたのよ。
ほんとだ。
Chrome拡張機能の攻撃
えー、これちょっと読むのかな。
これ得丸さんの記事を紹介してるのもいいんだけど、元の記事の方を本当は紹介した方がいいのかもね、我々は。
あーなるほどね、確かに確かに。
多分この話題はこのポッドキャストではこれきりな気がするので、ぜひ皆さん読んでみてください。
よし、ありがとうございます。
えー、じゃあ次は私読むか。
New Details Reveal How Hackers Hijacked 35 Google Chrome Extensions っていう、
ブリーピングコンピューターの記事ですかね。
で、これもね、かぶってるんだよ、だからこっちは読まなくていいや。
結構ブリーピングコンピューターハッカーニュース周りは、
これ系の記事がすごい多させてるんですけど、
何かっていうと、
タイトル通り35個以上の、結構有名どころも含む、
Chrome 拡張機能を乗っ取ったというか、丸い絵が仕込まれちゃいましたよっていうところの、
インシデントというかキャンペーンなのかな、
コーヒーキャンペーンが展開されていて、
その手口の話とか何を言われたかっていう部分が、
徐々に明らかになってますよって話ですね。
手口としてはフィッシングを、
開発者側に送り込んで、
例えば、あれかな、ちょっと3割より記事をちゃんと読んだ方が良かったな。
何かしらのポリシーに違反してますよ、みたいなフィッシングメールを送って、
騙されてポチッと言われる企画と、
Google のオース認証がページに飛んで、ここで認証通してしまうと、
Chrome エクステンションを乗っ取るための権限を依承してしまうことになって、
結果としてやられてしまいますよっていうところがありますって感じですね。
全体像全部見えてないんですけど、
35個以上乗ってられてるよって話と、一部はなんだっけ、
サイバーヘイブンか、サイバーヘイブンもやられた企業のうちの一つで、
サイバーヘイブン側の記事を見ると、
リビングコンピューターには標的型の攻撃だみたいなことが書いてあるんですけど、
サイバーヘイブンのやられちゃいましたレポートには、
Facebook カードを介して展開されている非標的型というか無差別の攻撃だっていうことを言っていて、
どっちがどうなんだろうなっていうのはちょっと僕は、
僕はというか今段階だとわかんないのかな、わかんないですけど、
まあそんな感じで幅広くやられちゃってるって感じですね。
なんかそんな感じの印象を受けますね。
結構なんか、AI系か、
そうですね、なんかAIを補助するようなエクステンションとかが、
AIっていうかやられる運命ですかね、とかあんまパッとわかんないですね。
まあ要は広くいろんなサイトにアクセス権限を持ってそうなやつを攻めたっていうことなんですかね、
わかんないけど。
そうかもしんないですね。
結局オリジンベースのあれじゃないですか、アクセスコントロールじゃないですか、
Chrome エクステンションって。
確かにそう。
あとあれかな、サイバーヘイブンの記事には、
これを通じて何を集めてたかとかはクッキーとか集めてましたっていう、
だから攻撃手法自体はそんなにまわたしくなくて、
普通にコードの中に気づきづらいコード仕込んでC2サーバーがいて、
エクステンションを実行しているページ上のいろんなものを収集してましたよって話ですね。
あとなんかスプレッドシートでやられたエクステンションリストが公開されてるんで、
気になる方っていうか管理者の方とかは、
もしかしたら社内で使ってた人いないかっていうのを見てみるといいかもしれないですね。
これGoogleワークスペースのアドミン持ってれば確認できるんだっけ。
サイバーヘイブンの報告
わかんないな。
なんかChrome for Enterpriseとかを使ってたりしないとわからなくなったりするのかな。
ちょっと僕は知識不足でわかんないですね。
結局でもFacebookの、難しいね。
なんでその最終的に行き着く先がFacebookだったんだろうな。
いまいちね、なんかちょっと記事がチリチリになっていて。
でもFacebookのビジネスアカウントを持ってるやつがたまたまいればラッキーっていう感じなのかな。
あ、Facebookアカウントを表的にする。
これP.O.Log的な記事が欲しいなというか。
欲しいなって。
お前が作るような案件だなと思うんですけど。
お前がP.O.Logになるんだ。
そうそう。
そうなんですよ。
Chromeエクステンションとセキュリティ
それで言うとサイバーヘイブンのこのまとめがそうなんでしょ。
まあいまんとこはそうね。
詰まるところね。
そんな気はする。
攻撃手法とかも詳しく書いてくれてるし、コードも書いてくれてるし。
ブリビンコンピューターもこの辺のキャプチャー取ってきてるだけなんで、これがソースになってるのかなっていう気はしますね。
いやーシンプルながらやだなーって気持ちで。
いやーエクステンションなー。
結局アカウントそのものを乗っ取るのが難しいから、こういう形でクレデンシャルそのものというかクッキーの情報とかを取りに行く方向にシフトしてるのかなと思う。
なんか去年、それこそこの後の記事にも書いてあった気がするんですけど、インフォスティーラーが台頭してきたみたいな話があって、その辺もたぶん今言ってくれたことが背景になる気がしますね。
確かに確かに。
きついねー。固いってなー。
なんかこの企業のセキュリティ担当者としてどうしたらいいのかなっていうのは結構頭を抱えるところで。
いやーそうだねー。
なんかChromeはそのエクステンションのマニフェストの仕様がメジャーアップデートで安全性が上がったバージョンがあって、マニフェストV3かがあるんですけど、移行が進んでないみたいな話があって。
なんかその前、マイクロソフトの方のエッジのエクステンションの方でそのセキュリティレベルを高めるために最初の審査通ったらAPIキーもらって、90日で応援されるってやつあるじゃないですか。
ああいうようなそのエクステンションをパブリッシュする側の仕組みも欲しいところだなっていう気はしつつ、Chrome側はたぶんシェアが大きすぎてその破壊的な変更が結構進まないみたいな。
本当に?結構やってない?
いややってるんだけど、そのこのマニフェストV3の話とかは3ヶ月前ぐらいにモザイクFMで聞いた時は結構なんか、なかなか進まんみたいなところで予定が伸び伸びになってるというか、V2廃止するよって言ってんのにみんなV3に移行しないから、どうすんのよこれみたいな。
まあでも最終的にはエリアで変えそうだけどね。
まあね、まあまあまあある程度は。
広告ブロッカーとかが動かなくなるぐらい運営の限定で。
まあ自由度が高いとね。
V2の時点でCSPが必須になったのかな、たぶん。
そうなのか?全然わからない。
いやーこの辺もなんか知らないこと多いな。
何もかも勉強したいな。
はい、まあそんな感じです。
そうですね、管理者目線はちょっとWorkspaceでできるかどうか勉強していきます。
気になる。
できそうだけどね、できるとは思うんですけど、どういう条件だとできるかっていう部分はちょっと知っときたいかな。
ホワイトリストで指定したりとかできると思うんだよね。
うん、できると思う。
あとはなんだっけ、ワークスペースの権限で、ワークスペースで管理されているChromeに特定のエクステンションを入れるとかもできるはずで。
具体的な攻撃手法
そうだね、それはね弊社実はやってるわ。
だからなんか何らかできると思うんだけど。
まあでもホワイトリスト管理したところでわかんねーよな、この何ていうか。
結局ホワイトリスト、例えばなんだけどこのサイバーヘイブンとかさ、当然会社としては許可してるわけで。
だから当然許可してるし、当然みんなのブラザーに入ってるわけじゃん。
そうだね。
どうしようもないよね。
どうしようもないね。
まあでも管理しとくと、もしくはホワイトリスト管理してなくてもその把握できる状態にしとくことで、今回だったらこの35個の票を見て、こいつがやられたぞっていうのはわかるかもしれないかな。
それはそうね。
まあでもそうだね、サイバーヘイブンはやられるときはやられるっていう教訓として考えるしかないのかな。
まあ無理だもんな、一種のサプライチェーン攻撃みたいなもんだろうかな。
まあそうだね。
最近のサイバーセキュリティ事件
エクステンションガンにも進化を期待しつつって感じです。
え、最後じゃないですか。
最後なんで。
30分しか経ってない。
2個減ったから。
そっか、そうだね、殴ってたんですね。
確かに確かに。
まあ読みましょう。
じゃあ最後、まあでも最後にふさわしいんじゃないですか。
ブリビンコンピューターの記事で、
まあ2024年の重たったサイバーセキュリティ間の攻撃とかトピックをまとめた記事ですね。
で、14個。
これはランキング形式なのかどうなのかちょっとわかんないですけど、
でもなんか読んでる感じはランキング形式な気も先行ないけど、
まあちょっと順番にこんなのありましたねって読めたらいいかなと思って追加したんで上から読むんですけど、
まずはインターネットアーカイブが発覚された事件。
10月ですか。
10月にありましたね。
予定覚えてない、リードスクラったのか。
リードスクラって、
全く覚えてないんだよな、俺この話。
読んだ、ちゃんと読んだ記憶はあるんだが、
これ読むか、もと記事ありますけど、
ああ、そうだそうだ、データベース侵害されちゃったのか。
データベース前だったんですね。
パスワード変更とかも入ってて、結構それなりにニュースとしては大事になりましたねって感じですかね。
これ結局原因わかってんのかな、この記事だと原因わからんみたいな。
リードス攻撃が不正義で、JSライバリティ経由でウェブサイト解散されたって言ってるから、サプライチェーンで言われたかもしれないですね。
そんな事件がありましたっていうと、いいですね。
クラウドストライクのアップデートにより、
8.5ミリオン、ミリオン?
850万か、850万のWindowsデバイスが死んだと。
これはまあ、TwitterもXも逃げ合ってたんで、みんなご存知のって感じですよね。
これなんかクラウドストライク側に訴訟を起こされてたけど、どうなったんだろうな、そりゃ気になってたんだよな。
損害賠償とか。
ああ、そんなんもあったんだ。
アメリカの話だけど、損害賠償できなくね?とか思いながら眺めてた記憶がある。
デルタ航空?
まだ裁判中かな。
訴訟の話聞いた時に、結構どう保証中か、契約上どうなってるんだろうなとか普通に気になったんですよ。
利用契約上、面積としても最悪落ちるよって書いてあったら、みたいなところというか。
そういう意味ではちょっと気になったわけですけど、結果とかはまだ出てないのかもな。
日本円で736億円請求。
そうですね、8月の記事で、まあまあもうまだ出てないのか。
はい、そんな事件もありましたね。
で、次が、カスペスキーがバンされて、気づいたら、朝起きたらウルトラAVが民主党に裁判された事件。
いやー、あったなー、これ。
これは、これもうちょっとザワザワしてましたね。
これはさ、その、まあこのポッドキャストで触れた時にも話したけど、その、どうだったらよかったんだろうなーってちょっと思うんだよね。
そうだね。
本当にその、もう明日からこの国の国ではもうサービス展開ができませんっていうシチュエーションで、
そのアンチウイルスを提供している企業がどうするべきなのかっていう、なんか試行実験としては結構難しい話だよなーと思うし。
そうだねー。
じゃあポンと消えてそれでいいのか。
アンチウイルスだよなー。
そっちの方がいいのかどうなのか、どうなんですかっていう。
なんか、そう、これとか多分下のトピックもそうですけど、あと今日取り上げなかったんだけど、なんか取り上げなかった記事とか読んでもったのが、
割とその、去年もちょこちょこだし、なんか最近読む記事で、アメリカが、いわゆる敵対国というか、別の記事だと懸念国って表現してたんですけど、
中国とかロシアとかイスラエルとかその辺の国に対してのサイバーセキュリティ観点での、制裁とまではいかないけど、対策とか制約がなんか徐々に増えてる感じがあって、
今日読まなかったやつとかは、懸念国に個人データを転送しちゃいけないみたいな、台東両例が出たみたいな話があったり、
このカスペスキーのやつも、元はロシアか懸念って話な気がしてて、なんでなんか、もしかしたら今後どんどん増えていくのかもしんないなっていう気は。
ちょっきなところならTP-LINKも、TP-LINKは国っていうよりかは、接着性多すぎだから使うなっていうかもみたいな話だった気がするけど、
なかなか振り回される側は大変だなって気はしますね。
そうね、トランプさんどうなんでしょう。
これあと今ふと思ったけど、利用契約というかタームソフュースというかなんか、それ系の同意とかどうしたんだろうね。
ポンと入れ替わってました。入れ替わるまではいいけどさ、その辺どうしてたんだっけ。勝手にって話だったよね。
ポップアップは出たん、いやなんか一応。
なんか事前通知みたいなのはしててっていうのを読んだと思うんだよ確か。
で、だけど、だけどっていう感じだったと思うんだよね確か。
言えばオプトアウトできたけどみたいな感じだったのかな。
これじゃないか。
ちょっともう思い出せないけど、なんかその辺とかどうなってんのかなってちょっと思いましたね。
そっち方面で普通に怒られが発生する可能性はあるんじゃないかなと思って。
メールですね、メールで。
メールで保証はしてたけど置き換えるよっていうことは書いてなかったから、
書いてなかったから出てたのか。
やり方がまあちょっと。
いやでもどうだったらよかったんだろうね。
元々のカスペルスキー側の利用規約の何かにこれを公開してくせればまあセーフでしょみたいなのとかがもしかしたらあったりしたのかな。
書いてあるか?そんな本当に。
むちゃくちゃだろマジで。
え、でもさ、サービス名が変わって新しいソフトウェア、サービス名が変わってインストールされたよって解釈に整理にしようとかわかんないけど。
どうなんだろうね。
わかんないですけどね。
でも続報がないってことはそんなめっちゃバチクソに怒られたとかないんだろうな。
ユーザーは怒ったけど。
まあ唐突で戸惑いはしたけどっていう感じだったのかな。
まあ普通に怖いよね。なんか入れた覚えのないソフトが入ってたら。
ウルトラVを知らない人とかだったらなおさら何これよってなるし。
なんかちょっと動きとしてはなんかあんまよろしくない感じがするよね。
まあ軽余な事件だったね。
データ侵害の影響
なかなか世の中で生きててそれに遭遇することはないよな。
あとは次がロシアのアクターによってマイクロソフトの従業員のメールが盗まれたってやつですね。
これ多分ここでは読んでなくて。
1月なんでやってなかったんじゃない?これまだ。
なんか別のポッドキャストで聞きはしたんだよな。
結局原因がよくわかってないって話だった気がするんだよな確か。
一回原因わかりましたって言ったんだけど、
しばらくしたらその原因わかりましたっていうポストがしれっと編集されてて、
その確定じゃないみたいな表現に切り替わってておやってなったみたいな話をポッドキャストで聞いた。
マイクロソフトレベルでもちゃんとやられちゃう時はやられちゃいますねっていうところで言うと結構な。
そうね。狙われてるっていうのもあるんだろうしもちろん。
あと社員の数も多いだろうし。
そうね、確かに。守る目線になるとその辺は普通にしんどそうやな。
確かにその発想はなかった。
多く今話したやつはちょっとパッと出てこないんで後で見つけたらあれですけど。
まあまあ。
やられ、攻撃されては頑張って守りって感じですね。
あとは、これも多分、いつの事件だ?
社会保障番号が、アメリカの話ですかね?
侵害の具体例と影響
2.7ビリヨン。ビリヨンっていくつだっけ?
ビリヨンっていくつだっけ?
16?
16ですね。
27億レコードの個人情報が盗まれたって話か。
社会保障番号が。
これはなんか8月だからギリやってたのか?
でも話した記憶ないな。
ないよね。
9月だもんね、第1回が。9月8日。
じゃあギリだね。
これ読んでもないな、多く。読んでもないとか把握もしてないな。
ああ、でもこのキャプチャーは見たな。
集団訴訟を抑えちゃってますよって感じ。
これ結局続報どうなってるんだろうね。
まあ結局高値では売れなかったっていうオチにはなったのかな。
漏えいはしてるけど、134ミリヨンだから。
1億3400万のユニークなメールアドレスは含まれてたって感じか。
まあでも派手な規模ではありますね。
はい。
あとはエッジネットワークデバイスへのランパンとは攻撃が横行したとしてでしたねっていう。
Fortinet、TP-Link、Ivanti、Ciscoいろいろやられましたと。
そうっすね。
これは何?VPNの話?
VPNのデバイス経由で侵入されてっていう話なのかな。
たぶんそうだよね。
VPNとかかな、またそのルーターとかその辺の脆弱性疲れて。
ああ、そうね。
だからもちろんエッジデバイスというか。
確かにこれなんか、
僕はこういう記事をちゃんと読み始めたのがほぼ去年からなんで、
ずっとこういう世界なのかなって思うんですけど。
そうね、ずっと。
いや、ずっとこういう世界なのかな。
そうではない気がするね、確かに。
なんかわざわざ取り上げられてるってことはやっぱ多かったとか増えてるとかあるのかもしれないですね。
わかんないけど。
あとちょうど今日聞いてたんですけど、
総務省のノーティスっていうプロジェクトは知ってますか?
知らないです。
なんかね、このノーティスプロジェクトって。
これねってなるパターン。
これねってなるパターンですね。
これってあれでしょ、これの中でさ、NICTがなんだっけ、
インターネットをバーってスキャンして薬みたいなのやってたやつだよね。
です、です、です。
で、なんか言ってしまって聞いたのはあれっていうポッドキャストで、
毎年年末にこれの中の人のすごい偉い人、
名前はもう忘れちゃった、大変失礼しましたって感じなんですけど、
が来てこの取り組みのアップデートをしてくるっていう風口を知ったんですけど、
それ聞いたら結構面白くて、なんかこれ思い出しましたね。
結構今言ったようにネットワークスキャンして脆弱な端末を探して通知するとか、
またそれを作ってる側のメーカーに対してもこれ直してとか、
パッチ当ててよとか、そのパッチ展開してよとかそういうの取り組みを進めたり、
またそのIoTデバイスのバージョンのハニーポッドを作ってうんぬんとか、
結構いろいろ話をしてて、めっちゃいい話だなって思った。
日本の製品に関しては初期の段階で、
昔あるあるだったその脆弱なデフォルトIDパスワードが設定されるっていうのは
もうほぼなくなったっていう話があって、めっちゃいい話じゃんと思いつつ、
ただ海外製品とかはやっぱり手が出しづらいから依然として残ってて、
国内で動いてる海外製品で脆弱なものっていうのは結構残ってるんだよねみたいな話をしてて、
なるほどねみたいな話をしてて。
新たな対策と技術の進展
井上さん?なんか今見てきたけど井上さんっぽいね。
室長って書いてあるもんね。室長じゃなくなって、
で、そうそう。
そう、所長になった方。
井上さんかな、多分井上さんだよね。
そうですね、そういうのを思い出しつつ。
だからなんかこの辺のなんていうか、
攻防戦は大変なんでしょうね。
あ、井上さんでした。
面白かった。
いやー、なかなかな。
普段業務で見ることがあるかって言われると、
まあ会社次第なんでしょうけど、僕はないから。
まあドキドキするなーって気持ちでありますけど。
ちなみにこのNoticeと連携してるサービスで、
本社のWi-Fi端末がマレアに感染してるかどうかをチェックできるサービスがあって、
やってみたらうちは大丈夫でした。
面白いよ。
なんかね、そのWi-FiチェックしたいそのWi-Fi繋いでる状態でメアド送るだけで、
そうするとそのメアド宛てにスキャンした結果送ってくれるっていう。
どこだっけなー。
これなに、Am I Infectedってやつ?
あー、そうそうそう。
横浜国大がやってる。
無料で言うから、ありがたいなーって思いながら。
えー、おもろ。
やってみよう。
結構ドキドキしながら、ファームウェアがやばいな、あんまアップデートしてないかとか思いながら。
えー、これなんか結構かかるの?
いや、5分ぐらいできます。
なんで、今送ってもらって、5分後に放送できない結果になるかもしれないけど。
放送する頃には直しといて。
放送する頃には何とかしといて。
そうね。
でも見てるよ、私。
何だっけ、脆弱性が出たから何とかしてねーみたいなお知らせちゃんと見てるよ。
自分で使ってる品番が含まれてないから見てる。
はいはい。
いやー、僕も頑張ります。
全然できてない。
いやー、大事っすね。
昔はね、シスコのルーターがいたからよかったんだけど。
うんうんうん。
最近めんどくさくってそういうの使われてない。
うん。
いやー、僕も頑張ります。
はい、頑張ってください。
そんなまめにチェックしてるわけじゃないけどね。
見かけたときにはちゃんと見てるよ。
うんうん。
で、あとは、これも分かんなかったですね。
CDKグローバルランサマーやったんです。
分かんない。
Takes Down the Car Dealership Industry。
結構、なんか来る自動車業界が破壊的にランサマーにやられたみたいな話だったけど。
6月だからそうですね、触れてないですね。
うーん。
あー。
見かけた気がする、でも。
うんうんうん。
あー、自動車業界相手にサースを提供してるんだ。
うん。
なるほどねー、それでやられちゃったと。
何でやられたんだろう。
えーと、公安範囲に、あー、で、物理のサプライチェーンとかにも多分混乱が出て結構あれなんですね。
いやー、この辺なー。
そう、なんか物理サプライチェーンの何か起きた時のなんか大変さみたいなのをちょっと知り合いから聞いたことがあって。
いやー。
それこそ損害大変だったでしょうね。
うーん。
これ原因なんだったかも気になるけどな。
お、問題ありませんでした。問題名は見つかりませんでした。
お、よかった、さすが。
良かった点悪かった点が筆数気になるの嫌だな、判決。
まあまあ、そこは、そうですね、協力してもらって。
はい、で、あとはスノーフレークのデータセフトアタックスとデータログですね。
これを、あー、ギリ読んでないかな、見かけはしたっすけどねー。
うーん、あー、いや、期間的には入ってるはずだよ。
9月11日でしょ、だって。
まあ、ブリーピングコンピューター、タッカーニュース、余裕がある週しか読めてないから。
うん、だから俺が拾ってないってことなんじゃないかな、きっとね。
うん。
正直これ系ありふれてて、なんか、読んでない、拾ってないんだよね、私。
うんうん。
スノーフレーク、僕は全然お世話になってないけど、その、結構、その界隈で見かけるから、
見かける人にとっては、もしかしたらインパクトでかかったのかな。
まあ、ここで取り上げられてるぐらいだから、うーん、っていう気はしますけど。
うん、そうですね。
まあまあまあまあ、こんなこともありましたよと。
あー、あれか、スノーフレークが侵害されたんじゃなくて、スノーフレークのアカウントに侵害されたんだ。
なるほどね。
うんうん。
だからまあ、そういう意味では、スノーフレーク使ってる人がやられたんじゃなくて、その得点のあれがやられたのか。
はいはい、はいはいじゃないけど、はい。
そうね。
申し訳ない、いや違うんです、何の意図もないんだけど。
まあ、よくある話ではありますね。
あとは北朝鮮の、あれですね、IT労働者の攻撃スキーム、直近で有名なビットコインもありましたけど。
あれは野党側か、偽の求人広告な話ですけど、
なんかアメリカなか、アメリカやらどっかやらで、その、成りすまして従業員として入り込んでみたいな記事は何回か見かけた気がするから、その辺の話かなって気がしますね。
うーん、いやこれすごいよな、なんか、これこそミッション・インポスティシブルの世界だよなっていう。
うーん。
入り込めちゃうんだなっていうのが。
まあ、てか日本にもいるんだろうね。
そうだね、いるんだろうね。
いやー、もうちょっと掘ってみたいけどな、そのフルリモートで見抜けなかったとかなのか、物理で出社してて見抜けなかったとか、なんかその辺は結構気になる。
マンディアントとセキュアワークスのなんかレポートがあるらしいから。
うんうんうん、確かにその辺見ればな。
いいんだろうけど。
うーん、まあでも物理も入り込んでるだろうなー。
うーん。
これはでも、その国籍とかその人物としての背景情報はどこが用意してるんだろうね。
ね、そうなんだよな、ダークレブなんじゃないですか、わかんないけど。
まあでもその免許証の身分証明書の画像が5ドルとかで買えちゃう時代だから、まあ金さえ、予算さえあれば結構作れちゃうのかもしれないね。
うーん、だってビザは、就労ビザはさ、取ってるわけでしょ。
ああー。
でもなんかこれ、マンディアントのやつを見てる感じは、あれかもね、その実際に働き始めて盗むっていうよりかは、
その、先行に乗っ取ってその過程で差し込むって感じかもしれないですね。
うーん、もしかしたら。
そのー、書いてあるのはなんていうか、まあリモート、だからやっぱりリモートワークとかで、
まあアメリカ国内からビデオ通話とかを繋いでたり、パソコン繋いでるように偽装しつつ、
Chrome拡張機能とランサムウェアの影響
なんていうか、まあまあなんかそんな感じでやってるっぽいな。
だからなんか支払いコースとか、ノートパソコン発送先住所の変更や、
なんかありきたりの履歴書法が出てきたり、通常とは異なる対応時間とかがあると怪しいぞみたいなことが書いてある。
タイムゾーンとかの話ですよね、多分。
セキュアワークスの方。
うーん。
うーん。面白いな。
はい。で、あとは、あーユナイテッドヘルスチェンジヘルスケアランサメアアタックス。
これは読まなかっただろうな。
あ、2月ですね。なんだろ。
ユナイテッドヘルスのランサメアアタックス。
うーん。
まあ医療ケアどこもあれなんだね。区には関係なく。
そうだね。だし、なんかここに、このまとめにも確か医療系が狙われつつあるよねみたいな話が、研究があった気がしますね。
いやー、まあ攻撃目線はそうだけど本当に嫌な気持ちになるなという気持ちで思ってますけど、まあまあって感じです。
なんかそれこそ、健吾さんが求めてた大統領令で、この辺特定の業界を守るみたいな話で医療が入ってた気がする。
何で見たんだっけな。忘れちゃいましたけど。
はい。
あー、ロックビット。ロックビットディストラクト。
これは結構印象的でしたね。
うん。結局ロックビットは復活したけど、
多分来週読むやつに入ってるんですけど、ランサムギャングの勢力としてはだいぶ弱くなったっぽいみたいですね。
でも結局なんかそのロックビットのソースコードを利用して別のランサムギャングが大統領とかがあるらしくて、まあまあモグラ叩きであるんだなと思いつつ。
日本も協力してて、日本の警察庁が複合ツールを開発して提供してるみたいな話はちょっといい気持ちっていうか、日本もちゃんと頑張ってるんだなって気持ちになる。
Windows 11とプライバシーの懸念
あったな、確かにそんな話は。
まあその、この協力してる14カ国で分業してるうちの日本の役割だったのかなとは思うんですけど。
あとはWindows11のリコール、プライバシーナイトメア。
これは、これ何だろう。多分覚えがないな。
リコールって何?
うーん、なんか、俺らがイメージしてるリコール、なんか車のリコールっていうのをイメージしたっていうか。
なんか機能名っぽいけどね。
あー、リコール機能、へー。
あー、過去に見た情報を思い出すのに役立ち、簡単な検索でそのいろんな情報にアクセスできるようになってるんだけど。
あー、なるほどね。
これがプライバシー侵害。
あー、それは確かに。
アクティブウィンドウのスクリーンショットを数秒ごとに撮影し、Windowsで行った全ての操作をデフォルトで最大3ヶ月間記録します。
あー、やばいよ。
これいつの記事?
5月かね。
5月か、じゃあ見てないね。
これあんまり話題になってなかった気がするんだけど気のせいかな。
確かにね、ちょっと欲しい機能ではあるんだけど、その、いやー怖いよ。
せめてオプトインになってほしいよな。
あー、これどうなったんだろう。
えっと、ホッシュ的なプロジェクトし、プライベートローカルに安全性。
結局、これは特にオプトアウトとかされずにって感じなのかしら。
へー、これはプリピンをトップ3に入っちゃってるけど大丈夫なんですかね。
どうなったんだろうね。
まあ機能としては残ってそうだけど、
これオプトインになったっぽいね。
あー、ほんとだ。
あー、しかもあれか、そのリリースしてみたら、そのクレカとかの機密情報適切にフィルタリングできてなくて。
いやー、作り的に無理だろうしな。
テレコム業界とインフォスティーラーの台頭
そうだね、何が映ってるかなんて一時理解できない。
いやー、なるほどね。
オプトインでいいだろうな。
面白いな。
これも知らなかった。
あとは、2024のテレコムアタックス。
テレコム業界へのアタックでしょ。
はいはいはい。
AT&T、Verizon、T-Mobileなどなど。
これはそうですね、なんか先週か先々週触れてたやつですよね。
ずっと気づかない、バックドアが仕込まれちゃってて。
というよりなんか、その話はあれだよね、
法律上設けていたバックドア的なものが悪用されちゃってるよみたいな話だった気がする、その話は。
あー、なるほど。
これがその話とリンクしてる話なのかはちょっと分からんね。
あー、でも含まれてるっぽいな。
それも含むいろいろっていう、少なくとも9個の事業者がやられましたと。
いやー、結構きついよね。
それと台風の中国背景の脅威アクターですかね。
いやー。
嫌になっちゃいますね。
はい。
これが2個で、最後の1個がRise of Info Stealer。
あー、これじゃないですか。
1位じゃないですか、1位。
ランキングじゃないと思うけど。
インフォスティーラー対等っていう。
ランキングっぽい作りをしとるけどな。
そうだよね。
ランキングってことにしましょう。
どうぞの1位です。
そうですね。
インフォスティーラー、ブラウザ情報、クッキー認証情報、クレカ情報、暗号変わると。
さまざま進むために使われてる。
そうですね。
大量にあって、いくつか紹介してるよっていう感じですね。
なんか僕は結構ブラウザのイメージを持ってるけど、
実体あんま分かってないかな。
でもウォレットの話とかも書いてあるから。
ブラウザに全然限らずいろいろってことか。
うん。
分からんけど、ハードウェアウォレットのあれをインターセプトするようなやつとかもあったりするんじゃないかな。
なるほどね。
あれはソフトウェアウォレットのあれをなんかするようなやつとか。
あれをなんかしか言えなくなっちゃってるけど。
概念としてはなんでもございます。
この辺の記事ちょっと読んどこう。
いろいろあるね。
オレンジスペインライフアカウントというコースBGP。
この辺は割と僕らの身近に着うる教員室よね、普通に。
これってさ、でもなんかその、
多様性の印象使うといいよみたいなのこの記事で書いてあるけど、なんか。
そうなんか?
クッキーの中に持ってかれましたとかだと全然機能しないだろうし、
なんか本当かってちょっと思っちゃうけどね。
アカウント情報、まあそうだね、セッション取られたらダメだろうね。
なんか、何かで見たか聞いたか忘れたんですけど、
そのChromeとかはクッキーとかクレーカーとかパスワードマネージャーとかは
ローカルにインフォディティレイが入り込まれたとしても
なんか相当盗みづらくするみたいな仕組みが入ってた。
入ったとか元々入ってたのかな?みたいな話があった気がしてて。
なんかちょっと原理は全然覚えてないですけど。
ただそれWindowsだから。
パスワードはね暗号化してると思うんだよね。
その暗号化のパスフレーズが別に設定されてるから。
Windowsはできてないみたいな話があって、
できてなかったけど徐々にやり始めたよみたいな話が去年あった気がする。
もしかしたらWindowsとかの、まあブラウザの話だけで言うと狙い放題なのかもしれない。
まあどんな感じの2024年でしたって感じですね。
アップバウンドエンクリプションって言ったらそうなのかな?
ああこれかも。
そうですね。
ああそうか、Mac OSはキーチェインに入れるから
キーチェイン侵害できないと、侵害されなければセーフっていう感じ。
そうですね。
どうなんだろうね。
Windowsだとどうするべきなんだろうね。
暗号化した状態でファイルシステム上に置いといたものをオンメモリで複合して、
プロセス単位の保護に依存するっていう感じなのかな。
DPAPIとかは多分そういうことだよね。
そうですね。
まあまあそんな感じのものだと理解してよさそうな感じがする。
いやー面白いなー。
いやー面白いなー。
ほんといろいろあるなー。
面白いよね。
このセキュリティーという領域の広さがよくあるのか。
そうだね。
この2024まとめ記事をすべて1から100まで解説する。
この2024まとめ記事をすべて1から100まで解説できるような人材になるには、
あと30年くらい必要なのかもしれない。
まあでもどのレイヤーでどのレイヤー向けに解説をするかによるんじゃないかな。
要はExecutive Summaryが作れるかどうかっていうレベル感で言うと、
多分そんなに細かいところは求められないというか。
逆に言うと広さが求められるし、
ポイントが何なのかとか、
何を具体的なアクションにつなげるべきなのか、
つなげるとして何をするべきなのかみたいな話ができないといけないので、
なんか一般論としてこうですよねっていう話とか、
現実問題みんなこうしてますよねみたいな話とかを知ってないといけないから、
プラクティスな部分を把握してないといけないし、
一方で技術的にどうなのっていう話を全部説明するっていうのは、
確かに結構難しい部分があるはずで。
キャッチアップの旅は続くっすね。
まあ、なんか難しいな。
自分の目指すセキュリティ人材像みたいなのは多分必要で、
何て言ったらいいんだろう。
なんかね、感覚としては、
例えば僕だとGraphQLをプロダクション用にしたこともないし、
ガッツリプライベートにしたこともないけど、
概念とかプロスコンサはさっとわかるというか、
バックエンド界隈周りは新しい概念とか出てきたりしても、
多分割とふわっと説明できるんですよ。
なぜなら、ベースの知識もあるし、
パラダイムシフトとかは割と抑えられているし、みたいなところがあって、
セキュリティの庭に来るとそれがあんままだまだだなっていう気持ちがあって、
さっきのヤギ足がDPAPIでこういう感じね、みたいなところぐらいは
行きたいなって気持ちはあるっていう感じはしますね。
僕の一端のベースラインじゃないですけど。
それはすぐなんじゃないですか。
僕もなんもわからんよ。
なんかDPAPIは別に触ったことないし、
DPAPIなんだろうかもよくわからんけど、
サッとググって、そういうAPIがあったよね、確かにっていう。
どっちかというと、そもそも仕組みとしてファイルシステム上で複合したら持ってかれちゃうよね、みたいな話がまずあって、
じゃあファイルシステム上で複合せずにっていう風になるとオンメモリで複合するしかなくて、
オンメモリでプロセス間の保護機構がちゃんと効いてれば、
メモリの保護機構なりプロセス間のアイソレーションなりがちゃんとできてれば、
マルウェアがそれを盗むっていうのは難しくなるかもね、みたいな話とかはできると思うし、
でもそうするとじゃあ複合の鍵とかどうするんだっけとか、
なんか新たな疑問が出てくることにはなるんだけど、
わかんないよ。
Chrome拡張機能の対策
わかんないなりになんとなくそれっぽいことを今話してるだけであって、
別に中身はない。
いや、勉強させていただいております。
いや、今のとかスラスラと出てくるのはやっぱ違う。
今までのインプットの量というか、知識に基づくものだと思うけどね。
もちろん全部を楽しく説明できるとは思ってないから、それはもちろんそうなんだけど。
それはもちろん。
個人的にはこの数えてないけど、多分半分以上は見た見たみたいな気持ちになれたのは、
いい話。
ようキャッチアップしている。
うん、ほんとようやってる。
いや、4ヶ月やってるんですよ、これ。
偉い。
マジで。
毎週毎週ね。
毎週毎週。
結構な、しかも意外とそんなに無理なく続けてられてるから、よかったな。
いやー、2024年も大変でしたね。
2025年も大変だったよ。
大変だったよ。
大変じゃないといけないな。
いや、大変だよ。
もう大変だもん。
まあ、そうか。
そうですね。トランプさん。
そうね。
まあ、そうか。
アンティーモバイルの記事とかあるな。
はい。
そうですね。
まあ、ちょっと元気出していこう。
はい。
まあ、なんだかんだ1週間ですけど、そんな感じですか、今日は。
そんな感じですね。
ちょっとあっさりめに。
なんか復讐シリーズしれっと、自然消滅したみたいになってるけど、ちゃんと僕やれるときはやるんで、頑張って。
いやー、マジやりてんだよー、やんなきゃなー。
ちょっとねー。
やんなきゃなー、やんなきゃなーと思ってるんだけど、いやなんかね、手を動かしてる時間がね、微妙になるんだよな。
まあね、わかるよ。
いやー、記事を消化していくことはできんだけど、なんか。
うんうん。
直近はお雑煮食べるのに忙しかったんで、まあ来週から頑張りましょう。
うーん。
なんか2人いるんだからさ、記事読みにサボってキャッチアップ優先してもいいと思うけど。
いや読みたいじゃん、読みたいじゃん。
まあまあね。
読んでこそだと思うんだよな。
まあ確かに、難しいとこやな。
難しいとこだけど。
うーん、はい。
自然消滅してないぞっていう強い気持ちですね。
まあまあまあ、ある時もあればない時もあるからね、そりゃね。
そうだね。
はい、じゃあ17日はそんな感じで、今年も、今年も頑張りましょう。先週行った気がするから、来週も頑張ります。
お楽しみに。
毎週言うなそれ。
気分で言う。
気分で言う。
じゃあ、みなさんおやすみなさい。
はい、おやすみなさい。
