00:00
もうね、散歩を始めて1年3ヶ月ぐらい経ちまして。 もうね、散歩を始めて1年3ヶ月ぐらい経ちまして。
夜中のね、夜中の徘徊ね。すごい。 夜中の徘徊ね。すごい。
で、ちょっと前には話したと思うんですけど、猫を探しながら散歩してるんですよ、みたいなこと言ってて。 猫を探しながら散歩してるんですよ、みたいなこと言ってて。
で、もうめちゃめちゃ仲良くなった。 それは何?前、このアレで取り上げた時と同じ猫?
同じ猫もいるし、そっから新たに知り合った猫もいるし。 猫フレめっちゃ増えてるんですね。
ちょうど1ヶ月ぐらい前に2匹新たに知り合って。 そんなコースは大きく変えてないんですよ。
で、昨日また一人知り合ったんですよ。 いつも一人でいる子がね、一緒に見たことない子といて。
で、もうなんか最近寄ってくるよね。 覚えられたのか。
そうそうそうそう。 歩いてたら車の下から出てきようんですよ。
普通逆ですよ、逃げる感じですよ。 本当に寄ってきてね。 警戒してね。
勝手に名前つけてるんですよね。 夜だからね。小さい声でよくいる場所で名前呼んでみたりとか、
チッチッチーみたいな感じで口で音鳴らしたりとかしても出てけえへん時はあるんですけど、ちょっと歩くと後ろから追っかけて来るんですよ。
すごくない? すごいね。
顔見知りになっている子っていうのも10匹以上いるんですけど、1回の散歩で。
見分けつくのすごいですね、10匹。 そうなんですよ。
で、その10匹の子とかもね、最初の頃は本当に近づきすらできなかった子とかも、全然近寄っても、
まあ走ってってあれかもしれないですけど、ゆっくり行けば本当に触れるぐらいの距離ぐらいまで行けるようになりましたね。
変わるもんやなぁって覚えてるんですかね。 何回も会うとわかるのかね、さすがに。
あと猫もね、生活サイクルっていうのが人間と同じなのがあって、
最近ちょっと早めの時間に散歩してたんですよ。早めって言っても8時、9時とか、昔は日変わる時とかにも行ってたから、
最近ずっとそうしたら、一切ここにいた子だと会わへんなと思って。
昨日、久しぶりに深夜に行ったんですよ。 そしたら、本当何ヶ月ぶりっていうぐらいに、ここにおったのに全然会えへんかった3匹、全員に一気に会えた。
やっぱり時間は結構重要なのかもな。
多分、どっかでご飯もらってて、その後こっちに移動するとか、そんなのがあるのかもしれないですね。
03:01
まあ、パターンがあるんだろうね。
彼ら彼女らの生活リズムがあるわけですね。
なんか、この人らは年の早いから早めにご飯もるとかはもらわれへんし、
深夜の奴らはあいつ最悪この時間に来るから、それまでに間に合ったらええか、みたいな感じでやっとるかもしれないですね。
なるほど。
うーん、そうそうそう。なんか続けてるといろんな変化が見てわかるなっていうのがね、ちょっと興味深かったというのと、仲良くなれてよかったなっていう。
猫によく嫌われるんですよ、なぜか。
ああ、そうなんだ。
犬には好かれるんですけどね。
猫とも仲良くなれてよかったなっていうだけの話なんですけど。
はい、よかったね。
もっと増えるといいですね。
オチがなかったね。
オチはないのよ。
いやいや、平和でいいじゃないですか、平和で。
そうそうそう。なんかちょっと最近ね、あんまり明るいニュースも聞かへんから、ちょっとほっこり系の話でもしたいなって思って。
そうかそうか。
ということでね、お便りが来ております。
ありがとうございます。
はい。不正アクセスはサイバー攻撃じゃないみたいなことを上司に言われてだいぶ混乱した。
上の方々のサイバー攻撃のイメージは標的型みたいなまさしく狙い撃ちされるものだけっぽい?というのが来てますね。
ああ、なるほど。
まあまあ、サイバー攻撃っていう言葉の定義自体が曖昧っちゃ曖昧かもしれないけどね。
その呼ぶ組織によって違ったりとかもしますよね。
結構広いですよね。
サイバー攻撃っていうといわゆるテロのようなものを指す組織もあって、それ以外のものはサイバー犯罪みたいな感じで分けてるところもあったりする。
だからある組織の定義によったら標的型みたいな国家が背景にいいんじゃないの、国家に準ずるような組織がいいんじゃないのみたいなものをサイバー攻撃って呼ぶから。
間違いじゃないっちゃ間違いじゃないのかもしれないですけど、不正アクセスはサイバー攻撃じゃなくてちょっとこれ難しい新しい組み合わせやなと思って。
まあまあその辺は正直一緒に働いている人たちというか、コミュニティの中で共通する意味っていうか定義があれば、まあぶっちゃけ何でもいいんだけどね。
そうですね。話が通じるように、名前はどっちかというとついていることに意味があるっていうか、お互いに認識できるっていうのがあるから、そこを深掘りしていくと。
確かにおっしゃる通り、割と使う人によってばらける言葉よね、それはね。
だから日本全部で認識みたいなものというよりも組織個々でこういう言葉の定義で理解深められるようにしていくのがいいんじゃないかななんてこれ見ててちょっと思いましたね。
そうだね。
あとは事業会社の情報セキュリティ担当をやっていますが、応料不倫誹謗中傷などのゴシップ的な報告相談が時々あります。
セキュリティ全然関係ないやんけと思いつつ適切な部署への橋渡しなどをしていますが、こういう事象って他の会社でもあるあるだったりするんですかねという逆のあるある質問。
06:08
なるほどね。でも微妙というか、会社によってはそういうのの窓口は別にあったりとか。
よくあるのはパワハラセクハラ相談窓口みたいな。
そういうような受付が別にあるとかいうのもあるだろうし。
一方で最近たまに聞く事例で、例えばそういう目的としてはそういう内部不正的なものなんだけど、その手段として例えば同僚のアカウントを不正に利用したりだとか。
最近ちょくちょく見ますよね。
例えばそういう不正アクセスに絡むというか、それだったらセキュリティの領分に入ってもおかしくないのかなっていうような実証もあって。
ちょっとその隅分けというか、どっちがハンドルすべきかというのは、微妙なやつも中には確かにあるよね。
会社によってはそういうのが情報セキュリティ担当に持ち込まれるというのもおかしくはないのかもしれないなと聞いてて思ったけどな。
そうですね。それぞれこういう時にはここみたいな窓口がここにあるのが理想なのかもしれないですけど、こうやってちゃんと橋渡しをしてくれている人がいるっていうのは組織としては言っちゃいいのかなという気はしますけどね。
まあそのチューブラリーにさえならなければね。
そうですね。どこに行っていいとかその場で止まらなければいいかなっていう感じはしますよね。
あるあるかって言われるとはっきりわかんないけど、あるあるじゃないかもしれないけど、まあでもそういう橋渡し的な人がいるっていうのは大事だから、うまくそういう人がハンドリングして解決にすればいいことだと思うけど。
まあなんかこの相談される内容みたいなものとかその内容というか経路みたいなものに合わせてなんか組織としてどういう窓口作っていこうかとか、どこがどの担当しようかっていう風にそのスムースに回るような問題提起みたいなものはした方がいいのかもしれないですね。
そうだね。
はい、次の最後の便りですけれども、前回あのお勧めいただいたものを僕がお蕎麦を紹介したんですけれども、せっかく麺のお勧めがあったのでということで、妻の実家が宮崎なのですが高千穂の麺つゆをお勧めします。
出汁が効いてて美味しい。そうめんこれで食べると美味しく麺ごと飲めますと。ズビズビって言っちゃうんですねこれね。
というので、山江食品工業の高千穂強つゆかつお味うまくちっていうのを紹介いただいたんですよ。
で、これお勧めのあれで僕は試したら紹介するパターンが多いんですけども、これ僕ちょっと残念ながらこれダメで、鯖が入っちゃってるんですよこれ。
あーなるほどなるほど。
これ出汁系ってやっぱり結構鯖多いんですよね。
うーん、なるほどなるほど。
少量だったらそんなに大丈夫だと思うんですけど、僕アレルギーが一応うちの家族全員鯖とかアジとか、いわゆるヒカリモノ、アオゼの魚って言われるようなやつ。
09:05
はもうできるだけ避けてたりとかしてて、ご飯屋さん行っても入ってたら教えてください、前もって言ってくださいって一応言ってるんですよね。
死ぬレベルとかではないと思うんですけど。
いやまあでもアレルギーは軽く見ない方がいいんじゃないの?
歳とともに変わったりすることありますからね。若い時は大丈夫だったけどとかもあるから避けるようにしてるんですよ。
なので多分美味しいと思うんですけど、僕は試せないので、もし興味ある方がと思ったらということで紹介してみました。
なるほど。ちなみにそこのやつは麺つゆだけで売ってるんだ。
麺つゆだけで、よくスーパーとかコンビニで売ってるような瓶で売ってますね。
いろいろ調べてみるとレシピと一緒に紹介されているサイトがあったりとか、
例えば親子丼とか、あとは長芋の鉄板焼きにちょっと垂らしてみたらどうですかとか、いろんなパターンが紹介されてましたよ。
あとは魚のサラダとかにちょっとかけるとかね。
なるほど。じゃあ調味料的にっていうか単なる麺つゆとして使うんじゃなくて、そういうお料理とかに材料として使うっていうのもアリなわけだ。
そうそう。結構そばつゆってそういうのに使われますよね。
おそば屋さんのランチタイムじゃなくて、夜のご飯の時とかってつゆ使ってることが多いから、
そば屋さんの一品料理ってちょっと他とは違って美味しいよねみたいによく言われますよね。
そうだよね。なるほどね。
だからこれから麺系を食べる機会も多いかもしれないので、興味ある方はちょっといつもと違うのっていう形で試してみてもいいんじゃないかなと思って、ここでちょっと紹介させていただきました。
ありがとうございます。なんかいいね。一個おすすめするとそこから派生して別のおすすめに繋がるっていうのが面白いね。
そうそう。なんかハッシュタグを見ようっていうきっかけにもなるし、僕らもなんかそんなんあんねやっていうものまだまだいっぱいありますからね。
全然知らないものだらけ。地方の名産なんてほんと全然知らないし。
そうですね。その人たちしか知らんようなものとかもありますよね。
地元には有名で美味しいんですよみたいなものがいっぱいあると思うので、また教えてほしいね。
はい。ぜひぜひお願いします。お便りは何でもいただければ嬉しいです。よろしくお願いします。
はい。ということで本編ですね。セキュリティのお話をしていこうかと思うんですけども、今日はそうですね。
じゃあねぎさんからいきましょうかね。
はい。じゃあ今日はトップバッターに行かせていただきます。
今日はですね、ちょっと前の1ヶ月くらい前の発表の内容がちょっと面白かったので、それを紹介したいなと思ってるんですけど、
何かというと、カナダのシャーブルック大学っていうところの研究者の人が、6月の初めにレジデンシャルプロキシーサービスに関する調査結果というのを報告していて、
これがちょっと興味深い内容なので、中身を簡単に紹介したいんですけど、そもそもレジデンシャルプロキシーサービスっていうのがひょっとしたら聞き慣れないかもしれないので、
12:05
確かに。
簡単に紹介すると、VPNと似たようなものなんだけど、いわゆるVPNっていうのは、例えば僕とかね、ついさんとかかんこさんとかも使ってるけど、
例えば世界中の、いろんな国のロケーションにサーバーが置いてあって、そこにVPNのクライアントからつなぐと、そこを経由して目的地にアクセスできるっていうのは、そういうものだよね。
VPNっていわゆるプライベートVPNっていうふうに呼ばれてる。
いろんなサービスあるけどさ。それと似てるんだけど、それとの違いは、このレジデンシャルプロキシーって言われてるやつは、その名前の通りなんだけども、
世界中で使われている、いわゆる自宅とかにある普通の一般家庭のコンピューターでプロキシーのサーバーが動いていて、
そのプロキシーサービスの利用者は、そのどこかの見ず知らずの人のコンピューターを中継点として使って、最終目的地にアクセスができるっていう、そういうサービスなのね、そういうプロキシーサービス。
なんかTOAっぽいですね。
そうそう。なので、仕組みは違うけども、TOAのリレーとかとすごく似てる感じなんだよね。
で、なんでこういうサービスがあるかっていうと、例えばVPNサービス使うと、メジャーなVPNサービスって大体知られているから、例えばVPN経由のアクセスだっていうのは、発信元を見ればわかっちゃうわけで、
そうすると、そのVPN、どんな場合に使うか、いろいろ使い道はあるけども、例えばとして、ある国でしか見られないような動画コンテンツとか、たまにそういう制限あるよね。
国ごとにそういう、著作権とかいろいろ権利関係がややこしいから、別の国では見れないサービスっていっぱいあるんだけども、
例えばそういうのをアクセス制限を回避したいからっていう目的で使う場合とかも中にはあるじゃない。
ところが大手のVPNサービスとかって、大体わかっちゃうんで、そういうのはブロックされたりとかするんだよね。
なんだけど、このレジデンシャルプロキシーってサービスを使うと、使い道の一例だけども、そうするとアクセス先から見ると、
同じ国の中の一般の家庭からアクセスしているようにアドレス上は見えるので、ブロックしにくいだけですよね。
なので、そういうアクセス回避されないようにっていうような目的で使ったりだとか、
単純にVPNサービスとかと同じような使い方でプライバシーを重視するために自分のアクセス元のアドレスを隠したりとかね、
いろんな目的で使われるVPNに近い似たようなサービスで、レジデンシャルプロキシーというサービスが世の中にはあります。
今言ったプライバシー目的だったり、アクセスの制限を回避するためにというような目的で使う場合もあるんだけど、
一方でVPNも同じだけどさ、自分の送信元を隠蔽する目的で、犯罪利用でっていう場合も当然多いわけよ。
15:09
そういうレジデンシャルプロキシーっていうのは世の中には結構あります。
そのうちの一つはこの研究者が調べたんだけど、何が問題かというと、
VPNサービスと違ってこのレジデンシャルプロキシーの場合には一般の家庭のコンピューターを使っているので、
その中継のサーバーになっているコンピューターの利用者が自発的に、さっきのついさんが例で挙げていたTORみたいにさ、
あれは大体世界中のボランティアが自分で自らTORのリレーを挙げていて、自由に使っていいですよってやってるわけじゃない?
そうやって自発的にやってればいいんだけども、プロキシーサービスの中にはちゃんとユーザーから同意を得ずに勝手にソフトウェアをインストールしているケースが見られるわけ。
これはある種マルウェアと同じで、
踏み台ですね。
勝手に人のコンピューターにインストールして踏み台として使ってるわけで、これは良くないよねと。
そういうサービスが往々にして不正な犯罪で使われているということで、今回その研究者たちのそのうちの一つのサービスに注目して実態を調べてみました。
こういう話です。
調べたサービスの名前っていうのは911、数字の911ね。911っていうサービスで、これは結構有名なサービスで、
数年前から使われていて、犯罪でよく使われているっていう悪名が高いサービスって言えばいいのかな。
なんですよね。これを調べました。
調べてみると、いくつかわかったことがあるんだけど、一つは、
今それ言ったけども、ユーザーの同意を得ずにって言ったけども、実はその無料のVPNサービスっていうのが世の中にいっぱいあるけども、
そのうちのいくつか、今回は2つ特定してるんだけど、
マスクVPNっていうサービスと、DUVPNっていう、いずれも無料のVPNサービスがあるんだけど、
このVPNを使おうと思ってクライアントをインストールすると、実は裏でこの911っていうプロキシーのバックドアが入っちゃうと。
だから完全にユーザーを騙してるわけよね。
ユーザーから見ると、確かにVPNサービスとして使えているわけ、普通に。
だから一見何の問題もないわけ。
なんだけどその裏で、そのコンピューターには実はバックドアが埋め込まれていて、裏では911っていうプロキシーサービスのC2サーバーとも通信をしていて、
そのプロキシーサービスのインフラに勝手に組み込まれちゃってるという。
めちゃめちゃマルじゃないですか。
めちゃめちゃマルなんですよ。
これは一切同意とか全くなく、規約にもどこにも何も書いてない状態なんですかね。
18:06
全くのダマですね、ダマ。
全くのダマ。
この911の前の前身のサービスプロキシーゲートっていう似たようなサービスがあったんだけど、
こっちの方は一応そういうのをあらかじめ分かった上で入れてねっていう感じだったんだけども、
今回の911のこのサービスはもう完全にダマで、他のサービスの裏で勝手にインストールされてるっていう。
まあそういう感じで、これはちょっとまあダメですよねと。
そうですね。
この研究所の人たちはそれを一応見つけて、
この2つのVPNのサービスのクライアントソフトウェアが提供されているので、実際にこれをダウンロードして動かしてみて、
その動きをいろいろ分析をして、その裏で動いているプロキシーのサービスとの通信とかね、
そういうのを分析をして、プロキシーサービスとしてのインフラの構造を明らかにしましたと。
その分析結果を利用して、実際に約半年間、去年の11月から今年の4月までの半年間いろいろスキャンとかして、
世界中でどのくらいこのプロキシーのサービスとして動いているコンピューターがいるかというのを調べてみましたと。
そしたら半年間で世界中で約12万台のIPアドレスが。
めちゃめちゃあるやん。
すごい大きい規模だと。僕もちょっとそこまで大きいとは思わなかったんだけど、結構大規模に実は運用されているということが分かりましたと。
後でリンク貼っておくけど、その研究者たちの記事を見ると、国別で何台って書いてあるんだけども、
1位がアメリカで2万台ぐらい。
で、あと韓国、ペルーで4番目に実は日本が来てるんだよね。
まあまあ使われているんですね。
で、日本が9305台のIPアドレスが見つかっているということで、まあまあ多い数が。
これがそのまま感染台数かどうかはちょっと分からないけども、おそらくそうだとすると、
1万台近くの実はご家庭のコンピューターがおそらくVPNと騙されて使っていて、裏で実はこういうプロキシーサービスの踏み台として使われているということが分かりましたと。
なおかつこれは多分全体のもしかしたら一部かもしれなくて、今回の研究者の人はその2つの怪しいVPNのサービスを特定して、そこを元に調べているので、
それが本当に全てかどうかっていうのははっきりしないって言ってて、もしかしたら全体の中の一部かもしれない。
だからもっともっと大きいかもしれない規模としてはね。分かんない。
減ることはなさそうですよね。
だよね。だから少なくともこれぐらいはいるっていうことだよね。
これ見て日本も多いんだなと思ったと思うんだけども、実は日本でも犯罪にこういうプロキシーのサービスが利用されているという調査は実は行われていて、
21:06
ちょっと随前にこれも紹介しようと思うんだけど、JPSARTさんが主催しているJSACっていうカンファレンス、毎年1月にやってるカンファレンスがあるんだけど、
今年の1月で行われたカンファレンスで、リクルートの井野さんって方が国内のアクセプロキシーサービスの闘争っていうタイトルで発表されてるのね。
で、この中で発表されている内容が実はこの911そのものなんだよね。
全く同じ?
全く同じサービスなんだよね。
彼らもカードの不正料だとか、不正な犯罪で使われているアクターを調べていて、実はそういう人たちが国内にあるプロキシーサービス経由でアクセスをしているということを見つけて、
独自にこういったプロキシーサービスがどれくらいあるかというのを調べているという、そういう発表内容なんだけども、そこで触れているのが実はこの911のサービスで、
だからその日本で感染しているのが1万台くらいいるっていうのは、全然だからそういう意味では新しい情報ではなくて、もうすでに国内でも知られていて、実際に結構犯罪で利用されているらしいのね。
なのでこれはちょっとよろしくない現状だなということで、おそらくだけど国内の全然気づいてないユーザーが、
ひょっとしたらさっき言った無料のVPNを使いたいと思ってうっかりインストールしちゃって、踏み台として気づかないうちに使えているのかなっていう、そういう感じ。
この井野さんの発表でも触れられているんだけども、国内でも一応各警察とかがこういうソフトウェア入れちゃうと不正アクセスされるから使っちゃダメよとかって注意喚起してるんだけど、
あんまり広まってないのかなっていう気がしてて、今回のカナダの大学の研究者の発表もあんまり国内では取り上げられてないような気がするんで、
全然無関係な話じゃないですよっていうことをちょっと改めて言いたいなと、
あとは国内でね、これ聞いてる人はいないと思うけど、無料のサービスっていうのには罠がありますよっていうかさ、
使いたくなる気持ちわからなくもないんだけど、無料のVPNサービスもちゃんとしたやつあるにはあるんだけど、
こういう裏があるやつも中にはあるので、VPNを使いたい場合にはちゃんとしたやつを使いましょうと、そういう感じですかね。
僕はプロトンVPNをお勧めしておきます。
好きあればお勧めサービス。
僕も使ってます。あれはなかなかいいですよ。
そんな感じで、こういったアクセのレジデンシャルプロキシーと呼ばれるサービス、知らなかった人はぜひこの機会に知ってほしいし、
こういったサービスをかくれみのに使われると、やっぱり発信元を追うのが当然すごく難しいわけで、
24:00
例えばVPNサービスだったら、中にはプライバシー重視でログを全く取れませんって言ってるところもあるけども、
一方でちゃんとログを取ってるサービスとかもあったりするので、そういうところだったら警察が紹介とかして発信元を割り出すということもできるかもしれないんだけど、
このプロキシーは一般のご家庭のところに勝手に入ってるやつを踏み台にしてるんで、
当然そこから追うっていうことは非常に難しいわけで、
送信元を隠すにはうってつけというかね、多分そういうので犯罪にかなり利用されてるんじゃないかなという感じだろうね。
もうちょっと注目してもいいのかなと、国内でもかなり使われてるっていうのが分かってきたので、
もう少し注目してもいいのかなというふうにちょっとこれを見て思いました。
入れた人よりもそれを踏み台にされて誰かが迷惑になるっていうパターンかな。
入れた人ってどういうこと?
この入れちゃった人、使って踏み台にされてる人よりもその先に迷惑がかかるからなかなか注意喚起も難しいですよね。
そうそう、そういう感じ。
伝わりにくいというか。
国内にこれだけ1万台弱感染者がいるっていうことは、不正アクセスされた側からそういうサービス側から見ると、
国内の一般家庭から不正アクセスが来てるようにしか見えないので、
例えば極端な話さ、うちは日本だけでサービスしてるから海外からブロックでいいやみたいな、そういうこともできないし、
そうそう簡単に対処もできないっていうか、
あと当然コロコロコロコロこういったIPアドレスってしょっちゅう変わるので、
非常に変化が激しいんでブロックっていうのもそんな簡単にできないよね。
そうですね。
なのでこれは結構、今まさについさんが言ったみたいに、不正なことに利用されてしまう側から見ると結構対処がすごく厄介なサービスなんだよね。
なのでちょっとそういう、なんていうか、みんなにそういうことを知ってもらって、
そういうのに加担しないように、知らないうちに加担しないようにってちょっと注意していかないとまずはいけないのかなっていうか、
そういう感じですね。
なのでそういうインフラがあればそれでビジネスしようとする人が出ちゃうのもわからなくはないので、
そういうふうに簡単にできませんよっていうふうにしないと。
自分から自らさ、TOWERのリレーみたいにブランティアでやる人は止められないけども、
うっかり入れちゃうっていう人はやっぱり止めたいっていうかね、
救ってあげたいという気がするので、ちょっと注意してほしいなというふうに思いました。
おそらく他にも似たような感じで、一見普通のソフトウェアのフリをして裏で変なのが入っちゃうっていうのは、
そういうトレードを置くだけっていうソフトウェアっていうのはよくあるので、
そういう使う自分がインストールするソフトウェアにはちょっと注意を払ったほうがいいなと思いましたね。
27:00
これネギスさんが紹介してくれたこの話のレポートの中にこのプロキシゲートと911のスクリーンショットが貼ってあるレポートですね。
カナダでしたっけ?
カナダのやつですね。
このやつにそれぞれのスクショみたいなのがあるんですけど、
VPNサービスってネギスさんも使われてると思いますけど、僕も使って、プライベートVPN使ってるけど、
経由するロケーションを指定できるじゃないですか。
それはサービスによって数は違うけどね。
これ指定できるんですかね。日本の投資体とかってできるのかな。
できるできる。
だったら、日本に攻撃する時にっていうのに使えるってことか。明示的にできるってことなんですね。
使えるプロキシのサーバーの数とかもプランによって数が変わったりとかしてることになってて、
高いお金のプランを買えば使えるプロキシのサーバーの数がたくさん増えるんで、
世界中どこでも使えたりとか、色々プランはあるみたい。
僕もこのサービス自体は使ったことないんだけども、そういうプランとかが出てるんで、
犯罪者側から見るとそれなりに使い勝手はいいんだろうね。
確かにね。日本に1万件って印象ですけど多いなって思ったんですけど。
多いと思うよ。
これ、映画とか日本でまだ公開されてない映画とかを、
例えばアメリカやったらアメリカのIPアドレスから行ったらアクセスできるとかっていう裏技みたいなのが紹介されたりするサイトもあるじゃないですか。
そういったもので自分からインストールしたっていう以外のものもあるんじゃないかなってちょっと思ったんですよね。
例えば何かをインストールしたら一緒に入ったとか。
全然別物を入れたらこれもくっついてたとかね。
このVPNのソフトが一緒にインストールされるみたいなやつもありえんのかなと思って。
なるほどなるほどなるほど。確かに。
今このマスクVPNとデューヴィピンでしたっけサービスの。
その2つで検索したらマスクVPNっていう言葉で日本語で引っかかった書き込みがあって、
入れた覚えのないマスクVPNがインストールされてるんですけどみたいな。
相談をしている人がいるんで、それもあり得るのかもしれないですね。
日本のさっき言った警察とかの注意喚起でも知らないうちにこういうソフトが入ってませんかっていう注意喚起になってて、
入れた覚えがなければ消しましょうってなってるんで。
ひょっとしたらちょっと僕はそれ直接確認はできてないんだけども、
こういうアクセスしたかったらこのソフトがオススメみたいな感じで入れたらこれも入ってきちゃうとかね。
何かにバンドロされて入ってくる可能性が高いよね。
なんか検索エンジン乗っ取り系とか昔あったじゃないですか。
フリーソフト入れたら検索エンジンここに固定されてもたとかあったと思うんですけど、
そういうノリで入ってる可能性もやってることがそもそもちょっとマルなことやってるから、
そういうのに入ってきてる可能性もあるなと思って。
30:02
あり得るね。あと人によってこれは違うかもしれないけど、
VPNって書いてあったら入ってても入れた覚えないけど便利そうだしいいかみたいな思っちゃうかもしれないしね。
確かに確かに。
分からんけどね。
なんでそういう感じで、あのテコードでもしかしたら入れさせようっていうのがあるのかもしれないね。
そうですね。
ますます注意必要ですよね。明示的に入れてなくても入ってくるかもしれないわけですから。
そうだね。そういうのもあるんで。
ちょっとえって思ってびっくりした人はうちには入ってないよねって確認した方がいいかもしれないね。
うちは大丈夫か案件。
確かに。
まあさすがにこれ聞いてる人で知らないうちに入れちゃってたみたいなことはないと思うんだけど。
でももしかしたらほら周りにいるかもしれない。
そうそうそう。身近な人がいるかもしれないから。
家族とかね、同僚とか。
そうですね。なんかセキュリティ対策書とかで検知できるようになってほしいですね。
そうだね。
このレベルになってくると。
確かにそうですね。
まあさすがにこれはマロだよね。
そうですね。聞いてる限りは。
真っ黒だよねこれはね。真っ黒なんで。こういうのはちょっと検出しないとダメだろうね。
そうだね。話だけ聞いてたらさ、外からアクセスできるようにやってC2と通信するってもうそれマリシャス以外のなんやねんって話ですからね。
そうだね。
ちょっと皆さんとか皆さんの周りの人にもこんなんあるよみたいな感じで気をつけましょうみたいなことを広めた方がいいかもしれないですね。あんまり取り上げられてないというのもありますし。
はい。
はい。ありがとうございます。
はい。
はい。ということでじゃあ次はカゴさんお願いします。
はい。今日はですね私はマルウェアの話をしたいと思ってまして。
はいはいはいはい。
えーと、ワンブルビーっていう名前のマルウェアで、これ日本語で言うとマルハナバチ?花鉢?
ああそうです。
鉢の多分一緒の名前、種類の名前が付けられたものでありまして、これ自体は比較的新しいものではあるんですけども、
最近少し盛り上がってきているというか、注目されている主に海外ではあるんですけども、マルウェアということで今日ちょっとご紹介したいなと思ってお話しします。
マルウェア自体は今年の3月に、私見た限りだと多分Googleなのかな、Googleの脅威情報を調査されているチームがあったかと思うんですけども、
そちらがブログか何かで公表された情報の中に、ワンブルビーっていう名前のマルウェアを取り上げられておられて、
それ以降も、例えばProofpointであるとかSymantecとかFortinetとかIBMとか、
たびたびセキュリティのベンダーが取り上げているというものでして、これ何で取り上げられているのかというところなんですけども、
33:03
バックドアとして使えているような、例えばトリックボットとかバザーローダーとか、あるいはISoDIDとか、結構有名なマルウェアがこれまでもあったかと思うんですけども、
今回お話しするこのバンブルビーについては、例えばトリックボットとかバザーローダーの代替というか、
入れ替えというか、それになり変わるというか、
合計的なね。
そうですね。そういう位置付けになるんじゃないかということがベンダーから指摘というか、分析がされているところでして、
例えばバザーローダーについてなんですけども、こちらについてはProofpointが観測している情報によれば、
今年の2月16日以降はバザーローダーは確認が、メールとかいったものを使っての配信というのが確認されていないと。
で、そこから少し時間が空いて、3月からこのバンブルビーが分かり始めたというところもあってですね。
Proofpointの分析だと、これまでそういった活動を行っていたグループ、複数あるという話で、少なくとも3つというのを挙げられているんですけども、
そういったグループがこのバンブルビーを使ったキャンペーンに移行した可能性があるという話を取り上げておられたり、
あるいは、もしかしたらもうすでにピンとこられている方いるかもしれないですけども、
トリックボットとかバザーローダーというのが開発している、あるいはそれをばらまいているグループが同じじゃないかというふうに言われているところで、
あるいはリュークとかコンティとかとの関係というのも指摘されているところではあるんですけども、
サイバーリーズンの方も4月ぐらいにこのバンブルビーの結構細かい静的解析をされた記事というのを上げておられて、
すごい大作の記事なんですけども、部分部分において一部類似点というのがトリックボットとミラデルというところがあったりしてですね、
やはりその辺の関連というのがもしかしたらあるのではないかという話があり、
この流れからきて想像ができると思うんですけども、このバンブルビーに感染した後何が起こるかという話については、
ランサムエアがやってくる可能性があるという話があってですね。
先行マルウェア的なね。
少し前なんかはエモテットが国内で非常に、今もそうですけども、
テイクダウン前なんかはエモテットから実際にランサムエアに感染というか、攻撃につながる事例なんていうのも実際に報告されていたところではあってですね。
今回のこのバンブルビーに関しても名前がかかっているものとしては、既に活動は終わっちゃってるんですけども、コンティであるとか、
36:03
あるいはマウントロッカーとか、クアンタムランサムエアとか、
ああいったところっていうのがこのバンブルビーのマルウェアを通じてそのランサムエアのキャンペーンにつながったものということで、
セキュリティのベンダーが報告しているというところがありですね。
なので現状かなり、少し前なんかスクワーデルワッフルか、
去年末に確かお話をして、もしかしたらこれが来るんじゃないかみたいな話をした記憶があってですね、
幸いにしてそのマルウェアは今は特段攻撃に使われているとか、そういった情報は公開されていないので見聞きしていないんですけども、
今回このバンブルビーに関しては、実際に攻撃が行われているところであったりとか、
その後のランサムエアの完成につながるというところが実際話として出ているところなので、
ちょっと注目を寄りしていかないといけないなというところではあるんですけど、
じゃあこのバンブルビーにどうやって完成させるのっていう話についてなんですが、
これ自体はトリックボットとかバザードーダとかと同じような形で、
メールを通じてばらまかれるという方法が基本的に捉えているところではあってですね、
ただ特徴的なところとしては、メールに例えばハイパーリンクとかが記載されていて、
そのハイパーリンクをクリックした後にジップが落ちてきますよと。
ジップ展開すると、例えばエモテッドなんかだとオフィス文書ファイル、エクセルだったりワードだったりが仕込まれていて、
マクロ実行したらクリプト動いて最終的に完成みたいな、そういった類だったと思うんですけども、
今回のバンブルビーに関しては落ちてきたジップの中にイメージファイルっていうんですかね、
ISO形式のあちらのファイルが含まれていて、それを開くことで完成すると。
そういったものが比較的共通の出口として用いられていると。
今はジップ形式を使った話をしたんですけども、
例えばメールの中にハイパーリンクではなくて、HTMLファイルがそのまま記載されていて、
そこからまたジップ形式のISOに誘導されたりとか、
あるいは問い合わせのフォームに苦情を装った投げ込みがあって、
その中にURLが書いてあって同じようにまたジップ形式のISOファイルが落ちてくるとか、
そういったような出口が共通的に捉えているところが多いと。
慣れていらっしゃる方だとISO落ちてきた時点でだいぶ不審さに気付けると思うんですけど、
あんまり慣れていない方でしたらそのまま実行してしまいかねないだろうなというところと、
39:04
あとこのISOが使われている背景としては、
やっぱりMark of the Webっていうんですかね。
要はインターネットから落としてきたファイルですよっていうそういったマーキングが、
WindowsだとNTFSの代替データストリームでつけられて、
そのフラグが立つとオフィス文書なんかだと保護されたビューでしたっけ。
仮に何かマリシャスなものであってもすぐさまそれが動くような形ではない、
そういった状態で開かれるっていうそういう仕組みがWindowsなんかには備わってますけども、
ISO形式のファイルの場合、当然インターネットからISOファイルをダウンロードすれば、
ISOファイルそのものにはインターネットから落としてきたっていうフラグは立つんですけど、
ISO形式そのものが実行されるのではなくて、
それ自身はいわばコンテナっていうんですか、
中に複数のファイルが内包されてると、そういったものであって、
残念ながらそのISOファイルの中を、例えば呼び込みした場合、
その呼び込みした中に入っているファイルには残念ながらそのフラグが立たないと。
いわばローカルにあるファイルと同じ扱いをされてしまうというところがあり、
インターネットから落としてきたファイルに対して働く保護機能がバイパスされてしまう可能性があるということで、
わざわざこのISOを使ったばらまきっていうのをやってるんだろうなというところではあって、
この辺特に慣れてらっしゃらない方が受け取られると、そのまますぐ刺さりかねないなという話にあって、
ちょっとやっぱり気にしておいた方がいいかなというところで、
私見てる範囲だとまだ、もしこれ聞いててもう打ち切ってるよとかっていう話があればぜひ教えていただきたいんですけど、
日本語圏だとこのBumblebeeのマルウェアが日本語の例えばメールの件名であったり、
内容でメール本文であったりっていうので来たって話を親家のレポートとかで見た記憶はないんですが、
実際韓国なんかではすでにアンラボとかは韓国のハングル文字で届いた事例なんかを掲載されてはおられてですね、
なので日本に来ててもすでに来ててもおかしくはないなぁと思いつつまだそういった事例は聞いてないので、
来始めたらですね、やっぱりちょっとこの辺は要注意だなという感じではあります。
ちなみにちょっと手口は細かく私も把握できてないんですけど、
エモテトと同じくスレッドハイジャックされたメールも確認されているので、
割り込んでくる系ですか?
そうですそうです。これどうやってスレッドハイジャックに至っているのかっていうちょっとその辺は私細かいところ把握してないんですけど、
42:00
実際に過去やり取りされていたメールにプラスでくっつけて送られてくる。
当然さっき言ったISOのZIP形式のファイルにつなげるっていうそこは共通の手口であるんですけど、
騙しの手口がスレッドハイジャックっていうのも確認されているところであるので、
ちょっとこの辺はやっぱり日本に来たら、あるいは既に来てるのかもしれないですけども、
大きくばらまかれ始めるようなことがあればやっぱりちょっと注意しないといけないなとは思いました。
そうですね。なんかこれISOファイルだからこそ開いちゃうっていうのもあるかもしれないですね。
詳しくない人からすると。
僕らだったらISOファイルなんて落ちてきたやつを開こうなんて全く思わないです。
いきなり怪しいなと思うけど、知らんからなんやろこれっていうふうに開いちゃうかもしれないですよね。
なるほど。ついつい。
ExcelとかWordとかそれこそ.exeとかっていうのは危ないので、
使われてるよっていうのはまあまあ広まってはいると思うんですけど、
ISOなんて使わない人は一生使わないファイル形式なんじゃないかなと思うんですよ。
VMとかインストールするときは使うけど。
VMを立ててOS入れなきゃみたいなときではよくお世話になる。
そうそう。それぐらいなんですよね。僕もあまり使うことがあるとするなら。
だから逆に知らんなと思ってポチポチってなんか警戒せずに開いちゃう人もいるかもしれないなっていうのが思ったのと。
あとはこういうBumblebeeが今ね日本で観測っていう情報が今看護さんの手元にはないよみたいなことを言ってたんですけど、
Bumblebeeが来なかったとしても同じこのISOとかこういう手法をエモテッドが真似するとかっていうのもあり得る話ですね。
あーそうですね。そうそうそうそう。この手口自体はついさん大好きなアタックに書かれてる手口ではあって。
ついさん大好きなやつ多いですね。なんかアタックだったりケブだったりね。
そうなんですよ。だから他のマルウェアがこの方法をそのまま転用していたとしても全く不思議ではないので。
その辺は何かちょっと注意が必要かなと思いながら。
そうですね確かに確かにね。オフィスはマクロのブロックがなんか吸ったもんだしたら逆始まるんではないかとそういう話が出てますので。
はい確かにそうですね。ついさんおっしゃってる通り。
ますますね回避で使われるかなと思いながら聞いてました。
はい。
はい。
ということで次いっていいですかね。
どうぞ。
特にコメントはありません。
あそうですか。どっかコンビニでも買い物にかかったんかなと思って。
まあそういうこともありますよね。長いことやってるとね。
言いたいことは言ってくれたからいいかなと思って。
はいわかりました。そんな感じで今日もお送りしておりますけれども。
はいどうぞ。
はいじゃあ最後は僕お話ししようかなと思うんですけども。
最後僕をお話しする内容はコンティっていう。さっき看護さんの話の中でも終わったという風な話でちょっと出てきましたけど。
45:01
コンティのお話をしようかなと思っていて。
アドブインテルどう読むのかわからないですけども。
リサーチやってる会社で結構突っ込んだレポートを書いてるところがあるんですけれども。
そこが出してたコンティの最後のコンティのレポートになるのかもしれないですけれども。
日本語で言うとコスタリカ政府のランサムウェアの背後にある真実の5日間の侵入みたいな感じのやつがありまして。
今年の4月の11日にコンティがコスタリカ政府の財務省とかを含む重要なシステムに攻撃するという風なものがあって。
国内とかだったらミノシロキンの金額がすごいことになってるみたいなので。
いくつか日本語記事でも報道されてて2000万ドルだったかな。
日本円にすると25、6億円ぐらいっていう風なものがあって。
実際の影響範囲は発表によると自治体とか国営の公共事業を含めると27の政府機関が被害にあったという風に発表されてまして。
実際の攻撃があってから1ヶ月以上経っても完全に復旧することができてなく、
当時のこの就任された間もない大統領だそうなんですけども、この方が非常事態宣言を出したという。
これはもう戦争だみたいな感じで非常事態宣言を出したというニュースがあったんですけれども。
これの実際の攻撃の流れみたいなものを紹介してくれてるレポートが出てたので、
実際にランサムウェア危ないよとかっていうことももちろん大事なんですけども、中に入ってどんなことされてたのか。
情報摂取とランサム感染までどんなことが行われてたのかっていうのは知ることが非常に大事なので、
これまでもいくつか別のベンダーのレポートを僕取り上げてきましたけども、今回もそういった内容を取り上げたいなという風に思ってます。
ちなみにこれは4月11日に攻撃があったという風に最初のアクセスがあったという風に言ったんですけども、
同じ月の15日までのだいたい5日間のお話、範囲の期間のお話ですということですね。
以前に紹介したソフォスのやつも5日目で対応に入ったので正常化したとかっていう風なものがあったので、
そういうスピード感でやられることなんだなっていうのがここから分かってくるんですけれども、
攻撃の流れとしては一番初め何でやられたのかってことなんですが、
これまたもや耳にタコぐらいかもしれないですけども、VPNを通じてアクセスをされてしまったと。
これでもよくあるコバルトストライクをインストールされたと。
その後どういう風な動きをしていったのかっていわゆるラテラルムーブメントのアクションなんですけども、
一番初めに攻撃者がしたことはNLテストっていうのを使ってドメインコントローラーの一覧を取得すると。
攻撃を展開していくために一番初めに狙われると言っても過言ではないADのリストを取って、
それを取ったら次に何するかというとどんなユーザーがいるかっていうのがあるので権限の高いユーザー、
48:02
ドメインアドミンスとかエンタープライズアドミンスとかそういったところに属するユーザーを列挙するという風にしたそうです。
その後はまたさらに調査行為なんですけども、シェアファインダーとかアドファインド、ADファインドっていうのを使って
共有フォルダーはどんなのがあるのとか、どんなユーザーコンピューターがあるのかっていうのを列挙してテキストに保存していくと。
これも上等手段ですよね。次の攻撃に備えた攻撃先リストを作っていくっていうやつですね。
その後は管理共有ですね。アドミンドルとかアドミンダラーとかっていう管理共有がありますけども、
そういったところにアクセスをして、PS-EXECを使ってコバルトストライクのDLLを登録してメモリ内でコバルトストライクを実行する。
これは検出しにくくするためによく使われる手段というようなところですね。
次に実行したのがこれもまたおなじみ、ミミカッツを使ってローカルおよびドメインのパスワードハッシュを取得、ダンプすると。
ここからどんどんどんどん被害の大きさが増していくわけなんですけども、
DC-SYNCっていうのを使ってアクティブディレクトリの情報を複製する。
これを複製すると複製した中からパスワードをハッシュ化したものを盗んだりとか、それを解析するのに使うとか、
それに加えて以前ネギスさんが紹介してくださったゼロログオンの脆弱性を使ってADを攻撃するということもしていたそうです。
なんか懐かしいね。
そうなんですよね。これがまだ直されてなかったってことなんですよね。
刺さるもんなんですね。
ここまでくれば詳しい方は分かると思うんですけど、この時点でほぼほぼネットワークの大部分を掌握できている状態というところですね。
この後、実際の情報を盗んだりとかランサムに感染させるという手段に移るんですが、
その前に一旦ネットワーク全体にピンを飛ばして、ドメイン情報とかをもう一回再取得する。
変わってないかとか、動いているコンピューターは現時点で何かみたいな。
もうこれいよいよ行きますぜという状況なんですよね。
で、乗っ取っているアドミンの権限、エンタープライズアドミンの権限を用いて、
いろんな資産を列挙してリスト化すると。
盗む情報のリストとかですね。
そういったものを再取得して最新の状態に更新をする。
で、これもまたそれかみたいな感じなんですけど、
Rクローンを使ってメガにファイルを流出させる、アップロードするというふうなことをしたそうです。
でもあとはここまで終わったらやることはもう一つしかなくて、
必要なツールだとか、あと自動化してランサムを展開するバッチスクリプトをアップロードして、
ランサムを各コンピューターに共有して実行していくという風な流れだったそうです。
で、これは緩和策とか推奨事項みたいなものも挙げてくれてはるんですけれども、
あんまりこれ当たり前なのか、当たり前だから書かないのかもしれないですけど、
書いてあった緩和策の一部ちょっと紹介すると、
51:02
HTTPS のリクエスト内のデータはちゃんと紐解いて疑わしいトラフィックを見ましょうとかですね。
うちから外のやつですよね。
で、あとはこれもバックアップの話ですけど、機密データとか重要なものは複数のコピーを置いて、
物理的に分離された安全な場所に保存しておきましょう。
これは情報が暗号化されたとしても復旧できるように。
盗まれたことの対策にはならないですけれども、
これをしていて助かった病院というのもありましたよね、戻すという観点においては。
あとこれは僕よく常々言ってることなんですけど、こういう攻撃に使われるようなツール、
これはマリシャスなものとかそうじゃなくて、
ネットワーク内、もしくはコンピューター内に鼻から入っているネットワーク調査系のツールとかに
ちゃんと重点を置いて調査を監視をしておきましょうとかですね。
あとはUACの制限を強化するというようなことも書かれてありましたけれども、
あとこれに加えて、これは僕が思ったことなんですが、
PowerShell 使われることはやっぱりまあまあ多いので、
PowerShell のログをちゃんと取っておいて監視をすると。
PowerShell 5 以降だったらログをちゃんと取ってということができるので、
そういったところも有効なんじゃないかなというふうなことをここを見ながら思っていました。
このポッドキャストを聞いてくださっている方は看護さんもねぎしさんもそうだと思うんですけども、
なかなかに典型的な攻撃の展開方法かなと。
他のレポートと比べるとちょっと詳しめにコマンドとかも書いてくれたりするので、
丁寧だなというような印象を受けたんですけれども、
Conti といえばマニュアルが流出したことでもちょっとおなじみというか、
有名になってた部分があるんですけど、
R-Clone 使ってメガニとかっていうのもマニュアルの中に完全に書いてあるんですよね。
確かにそうですね。
流出したファイルの中とかを見ると、設定ファイル読み込ませることもできるので、
メガの認証情報とかを書いておけばね。
それぐらいに使われてるっていうふうなものがあるので、
マニュアルがあるっていうふうなことは攻撃者を増やすというか底上げをするっていう力もあるんですけど、
同じような似たような攻撃やっぱり来やすくなるっていうふうに、
守る側にとってもちょっとプラスになるんじゃないかなというか、
相手の手口が分かりやすい事例共有されてたりとかするとっていうのはちょっと思いましたね。
試しに他にこういう事例紹介してるのないかなとかっていうふうに調べたら、
去年の11月にDFIRがレポートを出してて、
さっき看護さんの話もちょっと言ったバザーローダーからコンティが来たっていうレポートを出してるんですけれども、
これも同じような手口なんですよね。マニュアルに沿ってるのか。
ところどころ違う部分はあったりとかもするんですけど、大枠はほぼほぼ一緒。
で、ちょっと興味深いなというふうに思ったというか、
54:01
サンプルが少ないのでたまたまかもしれないですけれども、
このDFIRのやつも5日目でランサムを展開してるんですよね。
前に紹介したソフォスのやつも、ソフォスが途中から調査に入っていて、
ランサムに感染する前に入って、展開される前に入ってるので、
5日目に止めましたみたいな、ギリギリのところで止めましたみたいなのが書かれてあったんですけど、
スピード感も似てくるとか、あとはよく言われる攻撃者って意外とホワイト環境でみたいなことを言われたりすることもありますけど、
土日休んで月曜日から攻撃開始したら、5日目って金曜日なんで、
週末の休みの手薄な時になるってなると、5日間ぐらいで貫通したくなるのかなっていうスピード感なんかなーなんていうふうなことを思いながら、
見て、たまたまかもしれないですけど、5日6日ぐらいでやればちょうど休みの日にできるし、
最後にピング送ってやれば、最新の状態に更新すれば動いてるコンピューターにやるっていうのも、
でもまあまあなんか筋は通っちゃいるからとは思いながら見ていましたというお話なので、
コンティは終わりましたけども、この手法自体は他のところも使ってくるでしょうし、
マニュアルが流出している以上、参考にする攻撃者もいっぱいいるんじゃないかなというふうに思うので、
誰がとかいうよりもこの手法をちょっと注目して、自分たちのネットワークとか監視体制とかっていうのを見直してみるっていうのは非常に有用なドキュメントなんじゃないかなというふうに思って紹介させていただきました。
なんかさ、この記事にも書いてあるけど、そんなに攻撃手順として手法として洗練されているわけじゃないけど、
と書いてあるんだけど、確かに検出を回避してやろうとか、できるだけ見つからないようにみたいな、そういうのがそんなにあるわけではないというか、
見てて思ったのはさ、マニュアル化しているっていうのと多分同じことかもしれないけど、
ペネトレーションテストの手順書を見ているようだというか、
ネットチーム演習を受けているとそんな感じになるんだね。
特に見つかることをためらわずに攻撃手段を組み込んだらこんな感じになるかなみたいな、
そういう手順に見えるんだよね。納得感があるというか、何ていうか、
分かる分かる。読んでて腑に落ちるっていうか、次これやるんだ、確かに確かにみたいな感じがありますよね。
そういう意味でもっともっともっと洗練された攻撃者は、ひょっとしたらこんなありきたりなツールは使わずにやってくるんだろうけども、
だろうけど一方で多くの、さっき辻さんが紹介してきたような事例、共通する事例とかもそうだと思うし、
やっぱり似たようなツール、似たような手順、似たような方法でやってくるっていうのが多くを占めているんだとすると、
こういう事例たくさん見て共通するような手法が来たらやっぱり検知できるようにっていう風に準備しておかないとね。
57:06
せっかくこういう事例があっても、それに対応できなかったら元も子もないし、それで対応できないような高度なやつが来たら、
諦めるかっていう諦めもつくけどさ、こういう手順書とかマニュアルにありそうな手順で来たら、なんか止めたいよね。
使ってくるツールとかもね、Rクローンですかとか、プロセスハッカーですかとか、知ってる知ってるみたいなものはやっぱり、
知ってる知ってるから知っておいてほしいというかね。
また耳かつですかとかさ、どんだけこういう手順を聞いてきたんだろうっていう手順が繰り返し繰り返し使われているわけなので、
それだけその公益側にとって効果的なんだろうね。
やっぱりね、こういうよく使われるツールが何度も繰り返されるっていうのはやっぱりそれだけ効果的な手法だと思うんだよ。
そうですね。
だからそれを止められたらやっぱりね、公益側もおって思うだろうし、なんか別の手法を探してあたふたするんだろうから、
なんかこんだけさ、ちょっとさっきペレットの人のテストがレッドチームっぽいって言ったけども、なんか手順書通りにやられてそれが見事にスパーンとはまっちゃったらさ、
まあなんかこう、お手上げだよね。
そうですね。
これはダメだよね。
だからね、どっかでこれを止めるなり検出するなりやっぱりできるようにしないといけないんだなーっていうのが改めて思うね。
検出したり止めたりとかっていうのは、今ねネギスさんがおっしゃったみたいに攻撃者も、あ、上手いこといかへんやんけってなるじゃないですか。
で、マニュアル通りにしか、マニュアル通りにできるっていうこと自体は、それはそれで能力としてあるとは思うんですけど、
マニュアル通りにいかなかったら応用効かなくなる攻撃者も多いと思うんですよ。
ねえ、そこがほら、いわゆるペンテスターとかの腕のミスどころなわけじゃん。
そうそうそうそう。
その場で臨機応変にみたいなさ。
そう、でもなんかやっぱマニュアル化されてる人たちっていうのは応用効かへん人も多いんじゃないかなっていう気がちょっとしていて。
そうなんだよね。
そう、であたふたすると余計な痕跡残して、余計に見つけやすくなるんじゃないかなって思うんですよね。止めれるかどうかというよりも前に。
そういうところでも対応できる高度な攻撃者はもちろんいると思うんだけど、そんなに多数じゃないとするとだいぶハードルが上がるよね、そういうことでね。
そう、一つ止めるだけでも結構な効果あるんじゃないかななんていうのは見てて思いましたけどね。
ひょっとしたらそれで平均して5日ぐらいのところがさ、もっと時間がかかって見つけやすくなるかもしれないしね。
その間に止められるかもしれないし、わかんないけどさ。
そうなんですよね。
そうやってちょっとずつでも攻撃側のハードルを上げさせていかないとやっぱり勝ち目ないからね。
いやでも面白いね、こういうマニュアル通りっていうか手順通りにやっぱり来るんだなっていうかさ。
そうですよね。僕もネギスさんに言われて手順みたいなのをもう一回ザーッと読み返してみたら、ちょっと僕からすると懐かしさすら感じました。
1:00:05
なるほど。やったやったみたいな。
そうそう、これ使った使ったみたいな。これが出てくる前はこのツール使ってたなとかね。
そうそう懐かしさすらあるなっていうふうに思い起こしましたという感じでしたね。
今はこういうさ、見つかったとか観測した攻撃手法を共有してくれる人たちがいるわけなんで。
そうですね。
ほら、前は、前はてか一昔前はさ、そういう攻撃手法っていうのはノウハウだったわけじゃん。
はいはいはい。
例えばペンテストする側とか攻撃する側のノウハウだったわけで、あんまり共有されないことが多かったと思うんだけど。
確かにそうですね。
今はさ、よほど高度なものは別にして、この程度のランサムだったりマルウェア観戦とかしてきて、その後っていうラテラルしてくるみたいなやつは、まあまあよく手法が共有されるから、僕らも知る機会が結構前よりもだいぶ増えてるし。
確かにそうですね。
こういうのからやっぱり学んでいく必要があるよね。
そういう情報が公開されるようになったとかっていうのは、ノウハウでとかセキュリティ上の理由でとかいうものがうっすらなくなりつつあるというか、薄れてきて出てきてる状況っていうのは良いことですよね。
もうなんかありきたりというかね、当たり前のようになってきてるからもう隠す必要、意味ないっていうか。
そうですよね。共有制限のほうが逆に危ないやろっていうふうな判断ですよね。
そうそう。むしろ大体的に注意喚起するほうがメリットが大きいよね。
確かに。
そうですね。まだまだこういう突っ込んだやつっていうのは英語のドキュメントのほうが多いので、日本語とかでも出てくるといいかなとは思いましたけどね。
確かに。
まあまあそれがないからここで喋ってるっていうのもあるんですけど。
そうだね。紹介してください。
そうですね。
はい。ということで僕からは以上でございます。
はい。ありがとうございます。
ということで今日も3つのセキュリティのお話をしてきたので最後にお勧めのあれなんですけれども、前回情報提供いただいてお蕎麦を紹介したっていうのは冒頭でも言いましたけれども、それによって僕が予定してたですね、ほんまにどうでもいい、思んないあれ。
楽しみにしてた今週。
はい。さっき言うときと言うのは決してネタ切れしてるってわけじゃないんですよ。
わかってるわかってる。大丈夫。
あれやったら来週紹介するのも決まってるぐらいやからさ。
そうだった。
今日紹介するのはですね、知恵袋的なというか、Yahoo!じゃないですよ。おばあちゃんの知恵袋的なとかそういう意味ですけれども、これ多くの方に関係するかどうかわかんないですけど、着れなくなったTシャツ同寸年問題みたいなのが。
着れなくなったって何?縮んだとかそういう意味?
縮んだもそうですし、自分が膨らんだでもいいですけど、どちらかだと思うんですよ。
虫に食われたとか、穴開いたとか、ほつれたとかそれはちょっとごめんなさいね、無理ですけど。
1:03:04
これ実際に僕がやってることなんですけどね。
はい。
主にこう、僕ちょっと体大きくなっちゃったじゃないですか。
鍛えてね。
多くのTシャツが本当に3、4ヶ月前に買ったTシャツすら着れなくなったりとかしてた時期があって。
それをもったいないじゃないですか。そんな着れるもの捨てるの。
まあまあね。
外に着ていくものじゃなくて、家でパジャマ代わりに着るようなTシャツってあるじゃないですか。昔外で着てたけどみたいなやつとか。
あるある。僕も結構そういうのやるけど。
そう、楽ですからね。そういうのね。逆にクタクタなってる方が柔らかくて楽みたいなのもありますし。
ああ、そうね。
それで着れなくなったので、僕がやっているのはTシャツを切って腕の肩のあたりから胸の下ぐらいまでざっくり切ってタンクトップにしてしまうっていう。
ほー、なるほど。
体が大きくなって着れなくなるっていうのは大体その肩とか胸のあたりが苦しくなってくるのかお腹のあたりなんですよね。
僕の場合は身幅、体の身幅はあまりピチッとしたTシャツは好きじゃないので。
ああ、もともとサイズ大きいんだ。
ちょっとこう、僕の体型依存なんですけど、肩幅が結構あるんですよ。もともと。肩に合わせると必然的に身幅がでかくなるんですよ。
なるほど。
悪く言えばあまり合わない形っていう感じなんですかね。それだから上だけ切ってしまえばゆったり着れるのには変わりないんですよ。
なるほどね、頭いいね。
でね、これでなんで気づいたかっていうと、よくやってる職業の人がいるんですよ、これを。レスラー。
いや、いると思った。絶対。だよね、そっから来てるんだよね、これ多分。
そう。レスラーとかって。
聞いてて思ったよ。
本当ですか。すごい特注の衣装を着てくるレスラーもいるんですけど、タイトルマッチとかじゃなかったりとか、普段の平易な、平易なって言い方おかしいな。日常的な試合?
カジュアルな感じでね。
そうそう。自分の属してるチームだとか、あとは自分のTシャツとかが彼らはあるわけじゃないですか。で、ほとんどの人はタンクトップになってるんですよ、着て。
あれか、レスラーの人は二の腕とかすっごい太かったりするもんな。
たしかに。
そうそう、その肩周りというか胸周りというかね、そのあたりがですね。
すごい逞しいもんね。
えげつなくえぐれてるんですよ。人によったら、タンクトップの肩とかだけじゃなくて首の周りも切ってて。
なるほど。
もうなんかタンクトップの肩に乗ってるところが、もうこれキャニーソールちゃいますの?いうぐらい細なってる人とかいるんですよ、やっぱり。
なるほど、なるほど。
で、そういう風に見てて、これやったら着れんちゃうかと思ってやったらものの見事に着れたんですよ。
1:06:00
なるほど、そういうアレンジを自分でするわけだ。
そうそうそうそう。なんか最近はね、大量消費の時代とか言われてはいますけど、僕結構ほんまに10年以上履いてるスウェットのパンツとかもあるぐらい、結構大事にするんですよ。
えー、物持ちが結構いいね。
そうですね。
一番古いやつで、26、27の時に買ったナイキのジャージまだ着てるもん。
へー。
上は大きくなったけど、下はそうでもないんで、まぁ着れるんですよ。
なるほどね。
うん、そうそうそうそう。だからなんかちょっとすぐに諦めて捨てるんではなくて、家で着るんやったら、ちょっと着てみるっていうのもいいんじゃないかなと思って。
そっかそっか。俺結構衣類は着れなかったらリサイクル出しちゃうなぁ。
あー、そういうのも一つかもしれないですね。その世の中全体的な意味で考えれば。
これはちょっとお住まいの自治体とかによっては違うかもしれないけど、結構衣類はリサイクルで引き取ってくれるとかあるからさ。
確かに確かに。なんか前ニュースで見ましたけど、駅に持ってったらリサイクルに回してくれるとかっていう自治体と一緒に協力してる鉄道会社とかも。
おばあさんが駅に着なくなった服とかを持って行ってるニュースが前。
なるほどね。
テレビたまたまつけたらやってて。
はいはいはい。あとね、お店によっては僕ユニクロとか結構買うんだけどさ。
あの辺はお店で買ったものとかお店に持っていけば引き取ってくれるよね。
そういうのもまた一つの方法としてあります。
なるほどね。切って切れるようにするっていうのはちょっと思いつかなかったな。
あとレスラーノウハウで言うと、手幅が大きい人とかは横を切るんですよ。横。
なるほどなるほど。
スリットで出るみたいな感じ?
そうそうそう。前掛け後ろ掛けみたいな感じかなっていう人がね。なんとなくわかります?
そうそうそうそう。そうすると、あんまり切りすぎたり切り落としすぎたりすると、それ服なんかみたいなことになってくるんで。
服なのか布なのかわからなくなる。
そうそうそうそう。
ちょっと見栄えとのバランスっていうかね。
確かにね。
家だと楽だったらいいと思うんですけど、新たに買うっていう前に捨てるぐらいやったら試してみてもいいんじゃないかなっていう。
確かに確かに。
大事にした方がいいかなっていうふうに思ったんで。
おすすめというほどではないんですけど、一回ちょっと試してみてはどうですかというので。
レスラーの知恵って感じですな。
そうそうそうそう。
まさかそんなところからね、自分が知識を得るとは思ってなかったですけど。
面白いね。
やってみたらうまくいったっていう話になります。
なるほどなるほど。
皆さんもね、服に関するものとかでこういうふうにしたら物持ちいいよとかっていうのとかも、もしあったら教えていただければ嬉しいなというふうに思います。
ということで今回は以上でございます。また来週の楽しみです。バイバイ。
バイバイ。
