散歩と発見
結構散歩とかしやすい季節になってきたのかなって思ってるんですけど。 そうね、だんだん暑さも和らいできたよね。そうそう。で、結構僕昔から散歩よくしてるじゃないですか。
なんか夜行くって言ってたよね。 廃界、はい。そう、廃界、廃界老人。まあまあまあね。
はい、あの、廃界リサーチャーなわけなんですけれども。 散歩してるとこう、なんかいろんなもん目にするじゃないですか。こんなとこにこんなあったよなとか。
ここコンビニになったんやとかね。 新しい発見が。そうそうそう。そういうのにしてると、たまにこう目につくものに、特に住宅街に多いんですけど、
家とかマンションの入り口みたいな前にね、段ボールとか置いて、ご自由にお持ちくださいみたいな、いらんくなったものを置いてるの、たまに見かけたりしないですか。
あー、まああるかもね。 例えばなんかもう遊ばへんやったような子供さんが使ってたであろうおもちゃとか、
あとはなんかこう、いちいち買うにはあれやねんけどみたいなハンガーとかね。 そういうものが置いてあったりとかするの見るの結構味わい深くて好きで。
最近もちょこっと見たりとかしたんですけど、今まででこう見たね、これはっていうものがあったんですよ。
これをここに抱くかっていうものがあってね。 もう結構な大きさの完成したパズル。
塾造パズル? そう。
多分1000ピースぐらいあるようなでかいやつ。 完成したの崩せないの? 崩せるって、もう額に入ってたけど。
物によったらさ、ノリで固めちゃって。 あっ、はいはいはい、ついてますもんね。塾造パズル買ったらね。
鑑賞用にしちゃうっていうケースがあるから、それだともうどうしようもないけどさ。 なんかね、こう、全部ね、おもちゃだろうがなんだろうが全部中古なのは分かってるんですけど、
これはもうすんどるんじゃないのかっていう感じがあって、複雑な気持ちになったんですよね。
使用済み商品って感じだよね。 使用済みやねんけど、多分もう半分以上ね、済んでるでっていう。見た目は綺麗なんやけど、美品なんやけど、これは美品って呼べんのかっていう。
使用感がありすぎるっていうね。 単なる絵として飾るとかっていう人はいいかもしれないけどなぁ。
そうですね。 さすがになぁ、あれ担いでもっていくのもあれやし、完成してもてるし、なんかこう人の気持ちが詰まってそうじゃないですか。
そんな簡単にできるもんじゃないしね。 えー、でもそんなものもご自由にお持ちくださいみたいな、置いてあるんだ。
千葉県の方に行くと世界一有名なネズミがいるじゃないですか。 そのパズルでしたね。
いや、なかなかね、味わい深いなぁと思って。持って行かれるとおんのかなぁって思って。 そういうところあるんだ。あれは別に決まった場所にあるわけじゃなくて、たまたまそういうのが置いてあったってことでしょ?
そうですね。マンションの入り口みたいなところとか、あとたまに自分の家の、その方の家のガレージみたいなところ、観葉植物やとか置いているところに置いてたりとか、あとなんか自分で育てた植物というか食べ物、野菜とかを置いている人とかもいますよ。
へー、ご自由にどうぞって? いや、100円って書いてた。
無人販売所みたいな感じの家でやってる人みたいな。 面白いね、そういうのね、発見があって。
結構ね、そういう面白い看板とかもあったりとかたまにするんでね。 これは家の近所じゃないんですけど、たまたま出先で見かけたやつなんですけど、
あなたが花を盗んでいるのはもう分かっているんですみたいな。 花を盗んでいく人に対するメッセージが書いてあった。看板見たことある。
そう、だからいろんな発見ができていいんじゃないかなと。散歩もね、運動になりますし。 僕もダイエットしてるんで、今。
だんだん散歩にいい季節がやってきたかもね。 そうそうそう、ポケモンGO日和ですよ。
セキュリティのお便り
一応ね、打成で続けてます。 じゃあお便りいきましょうかね、そろそろね。
前に僕のオススメのあれで、早々のフリーレインを紹介したじゃないですか。 二人からすると今みたいなところがあったということで、それに僕に対するツッコミをしたくなったというお便りなんですが、
僕を紹介したタイミングに関するツッコミなんでしょうけれども、相当にフリーレインって言ってますね。 ちょっと苦しい。今日もなんか平和ですよね。平和だね。
平和やわ。 ちょっとほっこりした。
こういうなんでいいんですよ。こういう思いついたことを書いていただければ。 いいですね。センスがあっていいですね。
あとはセキュリティエンジニアの手元にMFAのリカバリーコードがあった件っていうのをねぎさんが前回紹介した。
デスクトップにファイルが置いてあったってやつね。 やっぱり最大の脆弱性は人間なんだと感じた。でも見つけ出した攻撃者もすごいなぁとちょっと感心しましたというお便りですね。
前回つゆさんも言ってたけどさ、そういうのってあるあるだから、ペンテスターだったり攻撃者とかは真っ先にそういうとこ調べるんだろうね。デスクトップなんかないかなーみたいなさ。
デスクトップはだいたい大事なものを置いているから。 そうだよね、だいぶね。
だからそこはね多分そんなにその攻撃側もその別にスキルが必要だったわけじゃなくて、まあね色々探してたらたまたま見つけだったみたいな感じかもしれないけどね。
そうですね。もう多分勘というか慣れでしょうね。これはもうね、お作法に近いかもしれない。
あとですねEDR製品機能の悪用だとEDRが提供しているリモートシェル機能を悪用する事例があったりしますねということでグーグルのブログを紹介してくれている方がいました。
これあのあれですね、クラウドストライクのEDRについている、クラウドストライク以外も多分ついてますけどリアルタイムレスポンスってクラウドストライクで呼んでるモジュールがあるんですよね。
RTRってこれはあの侵害されているコンピューターとかを調査するために必要な情報を抜くためにコマンド実行するっていうやつなんですけど
結構情報収集とかもできちゃうんですよね。当たり前ですけど。なんで多分この他のやつで言うとあのRMMツール
いわゆるリモートモニタリングマネジメントツールとかも結構パッチ適用のツールとかが悪用されたりするじゃないですか。
それと同じようなノリで使われる、使われますねというお便りですね。
セキュリティ製品とかね、それを悪用したらまあそれなりにいろいろできますよっていうのは当然公益側も考えるよね。
だからねそこはだからイタチコックというかそのEDRとかそのセキュリティ製品側も悪用されないようにとか悪用されたらすぐ検知できるようにとかって色々ねあの工夫を凝らしていると思うんだけど。
この機能は確かデフォルトではオフですね確かね。便利なものはどうしても悪用されるっていうのはどうしてもですよね。
そうですね。そういう前提でってことだよね。確かに。これも一応あれなのかなやっぱあのLOLになるのかなこれもね。そうかもね。
最後のお便りなんですけれども質問かな。クラウドは情報漏洩が怖いと自社でイントラに構築してメンテし続けているメールやファイルサーバー
今時クラウドの方が良いのではと思うが、お三方はどのように思われるのだろうか。メンテし続けられるならいいんじゃないなのか、もう無理でしょなのかどうですか。
なるほどね。まあこれもずるい答え方かもしれないけどケースバイケースだと思うんだけど、まあでもそろそろこう色々見ていくとその自社でのそういう運用管理とかセキュリティ管理
もうなかなか限界があるし、クラウドサービス側の方がねその辺は責任分解点はあるにせよさ、ある程度は任せられるっていうところがあるから
まあさすがにそろそろクラウドサービスの方が様々な面でメリットが大きいのではと僕は思うけどね
だから何か要件的にどうしてもその使えない要件があってオンプレを使うとかっていうのは別に否定しないけど
特にどっちでもいいって場合だったらまずは最初クラウドの利用を考えるべきなんじゃないんかね
そうですね、まあ何かその先にネギさんがおっしゃった責任分解点という意味でもいろんな脆弱性だった時に
クラウドの方はもううちで対応しておきましたみたいなリリース出すベンダーも多いじゃないですか当たり前ですけどこれもね
先にもそっちは対応済みですってなってるもんね
それがまあ楽っていうのもあるけどまあそれはそれもやっぱりケースバイケースかなっていうふうに思うんですけど
まあクラウドの方がコストも低くてっていうのはあるけど
クラウドサービスの考察
僕がいろいろこれまで見てきたインシデントとかでうーんと思ったものは
その例えばいろんな要件とかがあってクラウド使わなければいけないという場合も逆にあるわけですよね
そういう時にその要件に入ってるから無理やり頑張って使いましたみたいにするときちっとログが取れてないとか
うまく使いこなせてないっていうとりあえず動きますみたいなものにしてしまってて何か起きた時に大手立てがないっていう
ところをおろそかにしているケースっていうのがちょこちょこ見るんですよ
なんかそれは目的と処断がなんかごっちゃになってるっていうか
そうそうそうそうちょっと本末転倒かもねそれだとね
なんでいざインシデントになったらどこに何のログがあるのかわかれへんどれぐらい保存してるのかわかれへん
ログをきちっと何日間取る設定になってなくてデモルトのままで消えてますみたいなものって
まあちょこちょこ目にするんで乗りこなせるっていうのはどちらを使うにしても最低知っておくっていうのは大事かなとは思いますけどね
そうですねどっちでもやることは変わんないっていう感じはするけどね
そうそうそうだと思いますね
うまく回せるかどうかっていうところ主眼においてやらないと足すくわれて終わるんじゃないかなと思います
だからどちらでもいいと思いますけどね
はい
はいありがとうございますということでお便りを読んだ方にはセキュリティの特製ステッカーの印刷コードを差し上げてます
5種類あるんで揃った方は5種類揃いましたよと写真を添えて僕に dm いただけましたら6つ目のシークレットの印刷コード差し上げてますのでどしどしお便りいただければと思います
よろしくお願いします
はいお待ちしてます
はいじゃあ今日もセキュリティのお話をしていこうかと思うんですけれどもじゃあ今日はカンゴさんからお願いします
はい今日私はですねもうあのすでに皆様ご対応されているかと思うんですがシスコの脆弱性情報出ましたね
ちょっとそちらを今日は取り上げさせていただければと思うんですけども
今日取り上げたい脆弱性っていうのはゼロデイで悪用が報告されていた脆弱性1件だけじゃなくて2件なんですけども
CVEが裁判されていまして番号を読み上げますと
CVEの202520333というものと指紋語桁が20362っていうその2つですね
こちらはあのすでにCIAが運用しているKEVのカタログにも登録されているものでありまして
米国内においては至急対応という形での措置が捉えているところだろうなぁとは思うんですけども
今回これなんで取り上げたかっていうところについてですが
KEVに登録された悪用が確認されたっていう話でもあるんですけども
併せてこれの脆弱性に関連して同じくCIAからの緊急指令っていうのが久々かな
久々だろうね
ですよねED2503っていう確か番号が振られているそういった緊急指令が出ているものなんですけども
至急対応してくださいっていう形でより強くプッシュがかかったものでありまして
なんでかなっていうところも含めてちょっと調べてみたというところがきっかけではあったんですけども
もともと悪用が確認されていたというところの話については
Sysco自身が簡単な経緯っていうのは自社のところで情報公開はされておられていて
2025年の今年の5月にどうも複数の政府機関が関係するインシデントの調査依頼っていうのを
Syscoは受けていてですね
そちら調べていったところSyscoのファイアー製品の衛星ですね
そちらのシリーズにおいてどうも脆弱性を悪用されたと見られるそういった事象というところが調査の結果判明したと
加えてかなり技術的には難易度の高いそういった手段が用いられていたと
さっきも申し上げた通り脆弱性も当然ゼロであったというところがあったので
そういった諸々の調査であったり対応というところが一段落ついたっていう言い方が分からないんですけども
そういった期間が少しあって今回の公表に至ったのかなぁとは思うんですけども
なかなかその先ほどお話ししたCISへの緊急指令なんか見てもですね
本当にみんなできるのかなぐらいのレベルのかなり緊急性の高い対応っていうのを求められていて
これひどいよね25日に出してさ26の夜までにやれってさ
これねちょっと大変当社の方のことを思うとねもうなんていうか
これ出しても大丈夫なぐらいかなり影響が限定的だったのかなとかっていうのはなんとなく
ポジティブには考えてはいるんですけども
元々あの対象製品という形で列挙されていたものに関しても比較的古いものっていうんですかね
サイバーセキュリティの現状
最新の機種という意味で言えばかなりバージョンとしては古いものあるいはサポートが切れてしまっているものというところがあったりはしているので
対象範囲はちょっとどれぐらいかっていうところはなかなか
すいません私この製品のシェアについては承知していないので
はっきりしたことは言えないんですけどもそういったところもあって
対応という意味においてもかなり緊急性の高い本当に翌日なんとか整理という形での対応が求められたという状況があるのかなと
なかなかそういう意味においては深刻な攻撃っていうところも確認されているんだろうなぁとかっていうところは
なんとなく想像するところではあるんですけども
これ誰が関わっていたかっていうところのアトリビューションに関しても
あのシスコもあるいはCICも確か名前書いてたかな
書いてましたね
キャンペーン名書いてましたね
そうですアーケンドアっていうキャンペーンを書かれていて
このキャンペーン自身は少し前に2023年から2024年という形で当時攻撃活動を行っていたという形で
すでにシスコ自身も公表しておられたそういった活動に
今回のこの脆弱性を悪用したものっていうところも関わりがあるのではないかと
同一の許約他によるものというところを高い角度を持って評価していると
関連性が強く見られるというところがあったんだろうなぁと
これ確か前回もあれだよねSAの脆弱性を狙った活動だったよね
はいそうなんですよ
その時も確かゼロデーだったかな
そうだよねこういうのって特定の製品を集中して調べるのかなどうやってるんだろうね
本当にどうやってるのかなっていうところなんですけど
そういう部門みたいな感じなんですかね
高い技術力がないとそうそうホイホイゼロディに使わないから
なかなかこんな本当に要を見つけるなっていう感じはあって
今回もその流れに続いてっていうところでは当然あるのかなと思うんですけども
手口としては情報摂取っていうところに関しては
やり方っていうところはオーソドックスなものではあるんですけども
さっき言ったファイアウォールSAを狙った攻撃のやり方としては
かなりやっぱり慎重を期した調査をしないと
それこそ調査すらできないような状況に当たるんだろうなっていうところについては
このさっき言ったCIAの調査手順っていうんですかね
こういったことをやってくださいっていうような
そういった指示の内容を見ても思うところではあって
重要注意事項という形で
アンチフォレンチック対策に関して注意してくださいっていうような掛けぶりがあって
CIAが公開している手順にしっかり厳守した対応すべきで
対応してくださいよっていうところがかなり強く書かれていて
可能性として書かれていたものとしては
オートコンプリート機能であったり
コマンド補完とかっていうのを使うと
これらの機能をフックして
デバイスをクラッシュさせることで証拠を遺滅する
そういった仕込みがされている可能性があるのでというところであったりと
怖いね
設定変更とかよくやりがちなIPアドレスの遮断とか
アクセス制御の変更とかをすると
これも攻撃者が察知する可能性があるっていうところがあったりしてですね
なので慎重記した調査を行っていただかないと
そもそも侵害されたかどうかすら分からないような状況に陥る可能性が
リスクとしてあるっていうところがかなり強く書かれてはいるので
実際もしかしたらこういうのが確認されたのかなとかっていうのも
ちょっと思うところではあるので
まあそうだろうね じゃなきゃ書かないだろうねこんなのね
ですよね だからやっぱりちょっとそういう意味では
今回のように緊急指令という形で
強く呼びかけに至ったっていうところの背景的なところも
こういったところがあるのかなと
たださっき言ったこのキャンペーンをやっている
協約団に関しては具体的な国っていうところに関して
強く何というかどこそこの国っていうのを書かれているケースって
見受けられなくて
なんか中国関係ではないかっていう話として
書かれているところはあるんですけども
はっきりとは書かれていないと
例えばマイクロソフトなんかも
このキャンペーンのアクター名とかっていうのを書いているんですけど
フィッシング攻撃の事例
それも当然ストームっていう名前だったりもするので
なので特定国っていうところにまでは
トリビュートに至るような情報っていうのが
現状そこまで確認ができていなかったりもするのかな
っていうところではあるんですが
ただやっぱり手口であったり
強敵であったりっていうところを踏まえれば
これアメリカの話でしょっていうところで
落ち着かないっていうところはあってですね
JPサートなんかも同じタイミングで注意喚起出してましたけども
当然ながら影響を受けていないかっていうのは
しっかり調査をしていただくべき必要があるんだろうなと
幸い今のところ攻撃を受けたといったような
被害確認というんですかね
そういった話っていうのはJPサートCCは
入手されてないっていうような話をエックスには
確かにウェブサイトには書いてなかったですよねそれ
エックスには確か投稿されてたかなと思うんですが
なのでちょっとこの件に関しては慎重に調査をして
特にこの影響を受ける機器とかを使っていらっしゃるケースにおいては
慎重を期した調査っていうのが必要かなというところもありつつ
ちょっと私たち自身が攻撃の影響を受けている可能性っていうのも
十二分に考えられるので
ちょっと注意喚起っていう意味ではないんですけども
対応をしっかりした方が良いなというところも含めて
今回紹介をさせていただきました
今回のASAもそうだけどさ
VPN機器だったり他にもいろいろあるけど
その境界防御の要というか
その境界で使うってこそ意味があるから
当然外部からもアクセス可能な機器
そうならざるを得ないものですからね
そうだからちょっとこういう機器に脆弱性があって
特定の条件じゃなければうまく攻撃できないとかがあればまだあれだけどさ
そうでなくて外からいくらでも叩き放題とかもしなっちゃうと
ちょっと防ぐのが難しいというか
ちょっとどういう備えをしておけばいいんだろうなっていうか
今回のはまあ幸いというか
おそらく政府とか観光庁とか特定のところだけを
おそらく狙ったと思われるから
おそらくは
この機器使ってるから直ちにすぐ狙われるってことじゃないと思うけど
とはいえなんかもう安心して使えないよねこういうのね
そうなんですよねちょっとこういうのがやっぱり続いてるとか
もうなんていうか攻撃者側からすると定番っていう形ですよね
だって今回のもさっきの話じゃないけどさ
初めてじゃないしね同じキャンペーンで
こういうこと続くとなったら
しかもなんかあったらもうすぐ直ちに
明日までに何とかしろとか言われる
そうなんですよ
黙ったもんじゃないよねこれね
いやもう運用したくないですよね本当に担当者からしたら
さっきのクラウドの話じゃないけど
だんだんやっぱりこういう境界防御型からちょっと移っていかないとっていうか
こういう対応しなくてもいいアーキテクチャとかインフラに
やっぱしていかないと無理だよねこれ
ちょっと追いつけないですよね
これで脆弱性の管理とか対応しっかりしろって言われても
これ無理だよねちょっとね
そうですねなかなか厳しい戦いだなという感じがします本当に
これなんか調べてたらあれなんですよ
さっきアトリビューションのところで
アルカインドワーっていうキャンペーンの一環じゃないかみたいなやつあったじゃないですか
あれで見てたら結構その高い角度でっていう風に言ってたのも
手伝ってるのか知れませんけど
シスコのタロスの1年以上前のブログが更新されてるんですよねこの件でね
そうなんですね
今月の25日更新っていうのでこの脆弱性のことが紹介されていまして
でこのシスコでスノートルールとかも結構書くじゃないですか
このルールで見つけられませんみたいなものもちゃんと更新されてて
素晴らしいなってちょっと思いましたね
本当にベンダーが開示している情報っていう意味においては
かなり丁寧に情報を開示されてらっしゃるなっていうところは
これは見習うべき点だろうなっていうところは思いました
なんかどんな検索できても最新の情報がそこに載ってるみたいな風に
備えてくれてるのはすごいなと思って
確かにね
素晴らしい点ですよね
それと今回のこの1日で対応しろっていう風に言うのはきついっていうのは
多分100人に聞いたら100人ともそう言うんだろうと思うんですけど
このでもED2503で出てるやつの内容はでも本当に詳細で
すごいなって思ったんですよねこの手順をちゃんと書いて
まあ手順この手順通りやらんとえらいことなるからなんでしょうけど
いやこの手順をちゃんとここまで書くってなかなか
いやなんかすごいなって改めて
いやですよね
だいたいベンダーのなんていうか対応なりのURL貼り付けておしまいみたいなね
そういうのが割と多いかなっていう気はする中でここまでしっかり書かれていて
加えて何かあったらすぐメモリーのダンプ遅れと
そうそうそうそう
自分らでも解析するから早く遅れっていうような
なんていうか自分たちでも手を動かしてしっかり調べるっていう姿勢も
そこもはっきり見えてるので
なんか以前にカンゴさんが調べてたやつで
脆弱性情報の開示をベンダーがする時にね
侵害をすでに受けてるかもしれないのの
調べ方みたいなのが掲載されてるのって
ほとんどないんだっていう話を昔されたじゃないですか
はい
それを折り直かのごとく侵害の特定まで書いてるっていうのが
ベンダーの範囲を超えてすごい見習うべきとこやなって思いましたね
そうですね
ちょっと全部は難しいしても本当に何かクリティカルなものに関しては
やっぱこれぐらいしっかり支援というか対応手順なりが公開していただければ
かなり心強いですよね我々としても
しかもこの国のサイトでっていうのがあるから
やっぱり信頼度も高いんで
これ示されてるんでやりますっていうふうに
社内の話も通りやすいと思うんですよ
すごいなぁとちょっと思いましたね
ただ1日ってのはちょっと厳しすぎるなっていうのはやっぱありますけど
はいありましたありがとうございます
はい
はいじゃあ次は僕行きます
はいお願いします
今日僕紹介するのはですね
もしもサイバーセキュリティ企業がフィッシングの被害に遭ったらっていう
まあそれはあうよな
ちょっと言い訳してますけど
映画か何かですか
なんかね昔ありましたねそんな本ねもしも何かね
これはソフォスの社員がフィッシングメールの被害に遭ったという事件のお話なんですけど
自らソフォスがブログで書いてたっていうやつなんですけれども
偉いよねこういうのちゃんと書いてるからね
そうそうそうそう
でよくある偽のログインページに社員が認証情報を入力してしまって
多要素認証も回避されてしまって
そこの後攻撃者がソフスのネットワークへの侵入を試みたけども
失敗しましたみたいなお話なんですね
おー
失敗したから書けるのかもしれないってとこももちろんあるんですけれども
まあそうね
そうそうまずこの事件がどんな風な流れだったのかというと
タイムラインという感じで見ていこうかと思うんですけども
はい
まずは時間だけ言ってきますね
15時12分にこの方はメールを受信していると
で16時4分ですね
緊急対応の必要性
ユーザーがこのメールの中のURLをクリックしてしまって
アクセスしたところはよくあるドキュサインに模したものだったそうです
なんかフィッシングでよくあるタイプのやつだな
そうそうそうそう
英語で日本語圏にお届けでくるような感じの
ばらまき系のやつですよね
はい
でそこでメール内のリンクをクリックすると
マイクロソフト365のページに遷移してログインしてください
っていうものになったそうですよ
でそこで騙されてそのまま認証情報を入力すると
MFAが走ってそれをユーザーは承認したそうです
フィッシング攻撃のケーススタディ
これは何で承認したのかって書かれてなかったんで何かわからないんですけども
もしかするとリアルタイムフィッシング的なものだったのかなっていう
裏に攻撃者がいてそれを入力したらMFAが飛んだんで
OKさえさせれば自分入れますみたいなやつだったと思うんですよね
でまぁこれで攻撃者は有効なセッションを得ることに成功したわけなんですが
次に16時24分
要はこれはユーザーがクリックしてから20分後に
このソボスのMDRチームが
なんか変なことが起きてるぞっていうふうな不審なアクティビティを調査開始をしたと
さすがだね
そう早い早いんですよ
でこれはもうログインされとるでっていうふうなことがわかったのか
このインシデントレスポンスのチームに2分後にエスカレーションをしてます
素早い
素早い
でこの引っかかってしまったユーザーは16時4分にクリックしてからの34分後の16時38分に
あのなんか変なアウフンだかもしれませんみたいな報告をしていると
この引っかかった人もちゃんとすぐに気づいて偉いよね報告してね
34分っていうのはログイン処理はなんやかんやしてるから
多分実質もうちょっと短いと思うんですよね
ハッとしたのかもしれないですね
そうでそのユーザーの報告から20分後の16時58分にはIT部門がセッションを取り消しして
パスワードもMFAも全てリセットをかけるというふうなことをしたそうです
でまぁこれで一旦解除みたいなしたけれども
このインシデントレスポンスのチームが
IOCを元にハンキングを行って他の従業員にも届いてた同様のメール
これは15人届いてたらしいんですけども
それも削除するというふうなことをして事なきを得たという流れだったんですよね
多層的なセキュリティ対策
でこれあの防げたっていうのはじゃあなんで防げたのかと
ログインしてもある程度の情報ってすぐに見えるんですが
これあの成功したとはいえ何も見えないっていうような状態にできてたから
無事だったというふうに言ってるんですが
それが何でかということなんですけども
セッションを獲得した攻撃者はいくつかのM365なんで
シェアポとかいろんなものにアクセスしようとするんですが
このソフォースの環境では条件付きアクセスポリシー
CAPっていうやつありますけども
あれを制限をしていて情報が見れないようになってたんですって
ソフォースではこのCAPでいろんな条件付きの条件をつけることできるんですけど
いろんなインチューン入ってなかったらダメよとかいろんなものができるんですけども
ここではデバイス認証の仕組みを入れてたらしくて
例えばMDMが入ってなかったら何も見せへんとかっていうようなことができるんですよね
弾くみたいなことができるんですけど
そういうものを入れてたそうです
でソフスこういうのしてるんやっていうのを一個思ったのが
ネットワークロケーションで弾くっていうIPのジオロケーションとかで
弾くっていうふうなこともできるんですけど
これは誤検知が多いんで使ってないって書いてましたね
グローバルでいろいろやってる企業だとそういうことあるかもしれないねもしかしたらね
絞りきれないっていうのも多分あるんだと思うんですよね
結構移動してよく使う人がいるとかわかんないけどさ
そうそうだからOSの状態とかMDMが入ってるとかっていう
自分たちが使っているデバイス固有のものがないとリソース見せませんよっていうふうなものに救われたっていうのが
この功を奏した部分なのかなっていうところですね
なるほどちゃんと条件付きアクセスの正しい使い方してるな
そうそうそうそうでこの条件付きアクセス自体もこのデバイスの登録ポータルっていうのがあって
そこにアクセスして変更することができるんですけどもちろんそれを変更する権限もかなり厳密に管理されてて
ユーザーの権限ではできないようになってるっていうので穴がどこにもなかったというふうな感じで防ぐことができたそうです
今回のこの件を受けて教訓というか対応の鍵になったものっていうのをこのブログでは事件の後振り返りとして挙げてくれてるんですけども
その3つありまして一つが管理もう一つが協力で3つ目が文化っていうふうなものを挙げているんですけど
管理っていうのはこれも僕らがもう何回も言ってきていることですし皆さんも見にいたことだと思うんですけど
多層防御大事ですよねということで一つの対策が回避されたり何らかの理由で機能しなくなった場合においても他でカバーするっていうことですね
今回だったらメールセキュリティがあって多要素認証があって条件付きポリシーデバイス管理アカウント制限みたいな複数のレイヤーが関係しているので
MFAが仮に突破されたときのことも考えておいてブロックすることができましたっていう理路整然として当たり前のことを言っているんですけども
結構なんか今やっぱMFAってちょっとずつ普及してきてはいるもののなんかMFAがちょっと銀の弾丸化のような感じに
とりあえずこれやっとけばみたいな空気感がちょっと拭えてないなと思っていて僕は
個人のレイヤーでそこまで防ぎきることはできひんっていうのもあるかもしれないですけど
証券乗っ取りの件とかあったじゃないですか以前
あの時にMFAとかそういうのを有効にしたら被害がゼロになったっていうのはあるけど
でもそれでも突破されるときは突破されるっていうことは知っておかないといけないかなっていうふうに僕は思ってるんで
その辺はね特に組織とかだとMFAしか銀の弾丸化のように考えるのではなくて
やっぱりこれが突破されたときにこれあってよかったねっていうふうなものを
そろそろ見直すとかなあかんのかなっていう攻撃者の追随が近づいてきてるなっていう気がするんで
意識した方がいいんじゃないかなっていうふうには思い始めてますね
前回僕が紹介したさっきのお便りで触れた事例もねMFA簡単に突破されたもんで
リセットコードね
それを突破されたときにまあこのデバイスじゃないと無理ですっていうふうなものをやっぱり強力かなと思うので
ちょっとそろそろこれをMFAが突破されたらのことも考え始めないといけない時期かなっていうのを
いいタイミングとして考えてもいいかなと思った一つの管理というキーワードでしたね
っていうかさそのMFAを導入するときに同時に考えてほしいよね本当は
本当はね
導入するときに導入の効果と合わせて突破されたら何ができるかとかどうするべきかっていうのを
合わせて考えてほしいなっていう感じが
確かに確かに
何々を防ぐためにはこれみたいなところで止まっちゃうんだと思うんですよね
確かにそこで思考が止まっちゃうのは良くないかもね
これがなかったらとかっていうところまでいけてないっていうところがまあ予算の都合とかもあるのかもしれないですけど
まあでもねこのアクセス制限のこのポリシーとかはでもそのお金かけなくてもできる場合もあるし
すでにもうライセンスであるものっていうケースもありますから
ありものを使ってでもできることがないかっていうのを見直すのもいいかもしれないですね
そうねはい
で2つ目のキーワードが協力っていうやつですね
これさっきいろんな登場人物ありましたよね
引っかかった人とMDRチームインシデントレスポンスチームIT部門っていうようなものがあって
なんか連携が素晴らしかったよね
そうそうそうそうだからまあこれは本当素晴らしいなというふうに思ったんですけど
その社内のチームが常にこう緊密に連携している成果の一つが今回のこの結果なんじゃないかっていうようなことを抱え入れて
それぞれの専門分野専門性みたいなものをそれぞれの役割を果たすために繋がっているっていうふうなことで
コミュニケーションがきちっと業務の内容でもコミュニケーションがしっかり図れてるっていうふうなものは大事だというふうなことが書かれてあって
これもねなかなか協力ってどうなんかな
僕は結構こういうインシデントの話を外でする時ってのは泥臭い人の繋がり大事ですよってよく言うようにしてて
気軽に連絡できるとか
あとはそのなんていうんですかやっぱ結局あいつ知ってる人やったらあいつのタイヤがちょっとぐらい頑張ったろうかなみたいな
いうふうな泥臭い繋がりっていうふうなことも僕は大事なんじゃないかなと思ってますね
あとまあこれソボスがどうかはちょっとよくわかんないけどさ
ひょっとしたらそのソボスが顧客向けに提供しているサービスを社内向けにも同じ
そのスキームでっていうかやってるかもしれないじゃないもしかしたらね
だとするとまあ彼らは慣れてるから
その年から年中インシデント対応とかするこういうアラート対応ってのをやってるから
その顧客だろうが社内だろうが同じエンドユーザーときびきび対応できるっていうところがひょっとしたらあると思うんだけど
そうでない場合のその純粋な社内ソックとか社内セキュリティチームとかとどう連携するかっていうことを考えたら
僕はやっぱり対応訓練やるのが一番いいんじゃないかなと思ってて
泥臭い連携もさあらかじめその人脈があればいいけどもしない場合には作るしかないわけで
でそれはその早々インシデントって実際にリアルなやつはそんなに起きないから
いざ起きた時に素早く動けるような訓練はやっぱり定期的にやるっていうことなんじゃないかなっていう
確かに訓練って僕も結構機場の訓練みたいなやつとかを見学させてもらったこととかもあるんですけど
やっぱり人と人とがこうやっぱり会話して電話しながらとかその場にいない人と電話をするとかもあったりするんで
それでその人のことをなんとなく知るっていうのもありますから
そういう場を設けるっていうのは大事なポイントかもしれないですね
何かあった時に誰に連絡するかそれが相手のことをそのタイミングで知ることもできるし
やっぱりそういう対応手順がちゃんとできてるかとか確認のためにもさ
確かにそういうインシデント対応訓練はやっぱり必要かなって聞いててそういうのが思った
だからセキュリティベンダーじゃなければもしかしたらこんなにスムーズにはいかないかもしれないもんね
そうですね訓練したらちゃんと決められた通りに動けるかとかっていう慣れを養うっていうふうなものもあるけど
誰とそういう対応するかっていう慣れも大事かなっていうことですね
そうね
はいそれが協力という2つ目のキーワードでした
で3つ目文化これも僕はもうよく言ってますけど
責任を押し付けたり同僚のミスを批判するんじゃなくて
問題を解決して安全性を確保することに主眼を置く文化っていうことが書かれてありましたね
大事ですよね
ですね
クリックしちゃったユーザーを失責したり懲罰するとかっていうのではなくてっていうふうなことなんで
それが形に出ているのがクリックから34分後の報告っていうところがあるのかなというふうに思ってて
これはね違反ではなくて過失ですからそういったものをこういうふうにするべきだろうっていうふうに責めてもやっぱりしょうがないかなと思うので
こういう文化はなかなかねまだ根付いてないのかなと思ったりもするけど
でもなんかあんまりユーザーを責めたらあかんみたいなのって言い始めても10年以上経ってるから
チームの連携と文化の重要性
ちょっとずつは浸透してきてるんかなっていう気はしなくもないですけどね
そうねあとこれ読んでて面白いなと思ったのはさ
うん
あの引っかかった人がシニアエンプロイって書いてあって
そう結構上級なんですよね
そうひょっとしたら多分役職上の人だよねこれね
そうそうそうそうそうそう
でそういう人でもやっぱりこうやらかすことはそういう人の方がむしろやらかすかもしれないしね
そうそうそうそうそうですね
でこのなんか文章に書いてあって僕なんかいい言葉やなって思ったのがあってね
人間はセキュリティにおける最大の弱点だとよく言われるが
人間が最前線の防衛である場合もあるみたいなことが書いてあって
まあそうね両方あるよねだからね
そうそうそうそう人はだから最大の弱点でもあり最大のパッチでもあるみたいなっていうかね
結局たまたまかもしれへんけど検知できなかったものに対して疑問を持つっていうのって人間ぐらいしかできないじゃないですか
それを報告するっていうふうな意味だとそれに頼り切ったらあかんけど一つの多層の層の一つでもあるかなっていうので
その教育は完璧ではないにしてもおろそかにしてはあかんっていうふうなものを改めてこれで感じたなっていうふうに思いますね
なんかこれ一個だけ僕疑問があるんだけどさ
さっき社内にも複数人に届いたそのバラマキ系のフィッシングだったっていう話を
フィッシングメールの影響
ドキュサインかだっけなんかのさ
そうですそうですはい
よくあるタイプのやつだとするとこれ何で届いちゃったんだろうね
そもそも届いた理由?引っかからなかった理由?
そもそもこれぐらいの典型的なフィッシングはブロックすべきなんじゃないかなってちょっと思って
確かに確かにそうですよね
社員のインボックスまで届けんなよってちょっと思ったけどな
うんうんうんうんなんかで抜けたのかな
それは書いてなかった?なんでそこまで届いたんですか?
そこはちょっと気になったんだよね
もちろんねその今書いたことはすごく大事で多層病防御も大事なんだけど
そもそも届かなければよかったんじゃない?っていう
そうですね確かにね
ちょっとそれは思ったねそれは抜けてんじゃないって思ったけどね
確かにそうですね
そこを除けば素晴らしい対応って感じ
そうですねこれを読んでやっぱりMFAの一つもそうですけど
抜けたらっていうことをしっかり考えなあかんっていうことと
あとは問題は起こるかどうかではなくいつ起こるかだっていうふうに書いてあってね
それはよく言われてるやつだよね
そうそうだからやっぱソーシャルエンジニアリングってやっぱり人に当てるパッチはないみたいな感じで
誰でもやられてしまう可能性があるっていうふうなことをやっぱり心に留めとかんといかんなっていうふうに思いましたね
非常に読み応えのあるいいドキュメントでした
はいありがとうございます
DDoS攻撃の影響とテイクダウン
はいじゃあ最後はねぎすさんですお願いします
今日私はですね毎年夏にやっているユーズニックセキュリティっていうカンファレンスで採択された論文を紹介しようかなと思うんですけども
ユーズニックセキュリティって言わずと知れたトップティアのセキュリティカンファレンスの一つですけども
今年出てた中でちょっと目を僕的に個人的に興味を引かれたやつがあって
何かっていうと法執行機関によるDDoS攻撃代行サービス、いわゆるブーターですよね
のテイクダウンによってどういう影響が出ているかというのを調査しましたっていう
だから実際そのテイクダウンって何度も何度もやられてるけどもそれ本当に効果は出てるんですかっていうのを
かなり詳しく定量的に調べましたっていうそういう論文ですね
大事ですよねこういうのね そうそうそうこういうね何かいわゆる効果測定的なやつっていうのはめっちゃ大事
やっぱり大事だと思うんだけども 結構こういうブーターのテイクダウンの効果を調べたってのは過去にもいろいろ実は出てて
今回のが初めてではないんだけどもでも最近のデータとしては比較的新しめのやつなんでちょっとこれを紹介したいんですけども
書いている著者の人たちはケンブリッジ大学の人とかいくつか大学の研究者の人たちが書いていて
アカデミアの人たちなんだけども とはいえあの子の人たち実は法執行機関のテイクダウンに協力している人たちで
中の人なんですねそうそうだから当事者でもあるんだよね うんあのはちょっとあの僕はっきり詳しく知らないけどおそらくそのブーターとか
それを調べてデータを提供しているんだと思うんだけど でそれに基づいて法執行機関がまあいろいろ調べてテイクダウンしてるんじゃないかなと思う
本当だよまあそういう関係でありますと で今回その調べた対象になったそのテイクダウンっていうのは
2つあって一つが 2022年の12月に48個のブーターをテイクダウンした作戦
それから2つ目がそのちょっと後2023年の5月に11個のブーターをテイクダウンした作戦と でこれどちらもオペレーションパワーオフっていう結構有名な今でもずっと続いてやっている
そうですね続いてますよ一連のテイクダウンの作戦の中の一環として行われたものですと ということですねでこれでその2つのテイクダウンでどんな効果があったかなっていうのを調べ
ましたと 具体的にそのどういう効果があったかっていうのはどうやって調べたかという感じなんだ
けど まああのこう言ったらですごい詳しく調べていて非常に読み応えがあるんだけども
中でもちょっと大事なデータを2つだけ紹介すると 一つがそのブーターサービスそのものへのアクセスが減ったかどうかっていう話ね
だから利用者がこうガクッと減ってれば効果はあったって言えるじゃないっていうそういう 話ですね
それからもう一つが実際の d ドス攻撃の観測件数が減ったかどうかっていう これも面白い大事だねブーターは止めたけども d ドスは全然減ってねーとかだったら
効果はどうなんだって話になっちゃうそうですね まあその両方調べてみましたというのがポイントね
でまずそのブーターサービスへのアクセスはどうだったかというのを調べましたとでいろいろ 調べてるんだけど例えばどんなことを調べているかというと
この人たちだが200以上のブーターのサービスを中定常的に監視をしているらしくて すごいすごいよねやっぱりそういうところちゃんとしっかりやってんだなぁって感じなんだけども
でその定期的に監視をしてそのどうなってるかという状況と あとまあこういうサービスまあ僕らよく見てると思うけどそのブーターのサービスって
宣伝も兼ねてさあ今これぐらい攻撃してますとか過去とこれぐらい攻撃しましたっていう 情報を提供してるじゃない
でてるだのダッシュボードみたいなところに出してますよねあれが本物かどうかちょっと疑わしい ところがあるけども
一応そういうデータも収集して確認しましてますと それからもう一つがあのまあさっきも言ったけどもテイクダウンの当事者でもあるので
テイクダウンした後のいわゆるシージャーバナーが表示されるサイトってあるよね あのサイトへのアクセスがどれくらいあったかというのを調べてますと
なんでテイクダウン後に最初はテイクダウン知らずにユーザーがバッと来ると思うんだけど まあその数がどれくらいでだんだんだんだそれが減っていくとかっていう様子も調べました
面白いそれからもう一つがまあでもそれだけだとそのサービスへのアクセスが全部わかんないんで あともう一個はシミュラーウェブっていうこれはのウェブのトラフィックを専門に解析しているサービスがある
けれども このサービスのデータも使っていますということでまあいろいろこうデータを組み合わせて
じゃあ実際ブータサービスどうなったかなっていうのを調べてみましたっていうのが 一つ目なんだけど結果どうだったかっていうと
まずで面白いのがじゃあドメインテイクダウンして そのまま消えてっちゃうやつもあるけどまぁ中には復活する奴もあるわけよね名前変えて
復活するとかさあはいそれがどうだったかっていうと 1回目の48個の奴はその後25個
まあ半分以上が復活しましたと名前変えたりとかドメイン名変えたりとかして でしかもこれも数日以内に復活できて復活までの中央値が1日
以内って書いてからかなり早い段階ですね 予備をもっとるんですかね表に出してないやつをねなんかねそれもちゃんと調べていて
攻撃手段の変化
予備用のドメインをあらかじめ取ってあったところっていうのもあるんだけど そうでないところもなんかね数日以内に新規にとってすぐ立ち上げてるんだって
書いてなかったけど僕が思うにおそらくだけでもそういうそのノウハウってやっぱあるん じゃないかなーっていうか
手順書みたいなものがもうあるんでしょうね だそのまあテイクダウンがその別に珍しくもなんともないし
まああるいはその障害がないならば不可抗力でさ サービスが止まることってあるじゃない
でそういう場合にドメイン書いてすぐ新しいの立ち上げるってのは多分やりたいてるんだ と思うんだよねおそらくああもう
そういう折り込み済みでやってるんや多分ネタがそういうノウハウがあってそういう手順が 共有されているとか多分そういうことなんじゃないかなと思うんだけど
事業継続性バッチリなんですねすごいよねだからすごいそういう意味での対応力が早い っていうことで
まあ半分が復活ってのは素晴らしい素晴らしいって素晴らしくないよ いやー敵もなかなかやるなーって感じで確かにやってることは確かにすごいと思います
ね ねしかも2回目の11ドメインドは11度ブータンの方は
その水水に11個全部復活しましたっていうことで結構その復活力が高いということが わかりましたと
ただし復活はしてるんだけどもじゃあその復活すこのサービスにちゃんとアクセスが戻っ てきてるかというと
調べてみるとテイクダウンしてに行く2週間ぐらいでだいたいトラフィックが8割から 9割ぐらい減ったって言ってるんで
結局そのまあ戻ってる復活はするけども 使ってたユーザーが全部戻ってくるわけではないってことなんだよね
なるほどだそういう意味では結構テイクダウンの効果は余裕つに現れてると言っていいん じゃないかなとまあ8割9割減ったって言ったら結構効果大きいよね
そうですねなんでをこれはなかなか効果としては素晴らしいんじゃないって思うんで じゃあ一方ばブータンサービスが効果あったとして d ドス広域はどうなんですかと
言ってそっちも調べてるんだけど そっちは主にね2つあって一つはハニーポッドのデータを調べてこれは
いわゆるその udp のその踏み台を使ったリフレクション攻撃の観測をしていますと これがテイクダウンの前後でどうだったどうだったかと
いうのとあともう1個ばこれだけだと踏み台使った攻撃しかわからないんで ネットスカウトに協力してもらって実際の d ドス広域の観測データを中提供してもらってるらしいんだ
けども これらを組み合わせて全体としての d ドス広域が増えたか減ったかみたいなのを調べてみ
ましたと そうするとこっちもちゃんと効果は出ていて
ざっくり結果だけ言うとテイクダウンがあった後だいたい6週間にわたって udp の攻撃は2割から4割ぐらい減少が見られましたと
でこれ結構こういう効果の測定です非常に難しくってさ 例えばその季節変動だったり
このテイクダウン以外の別の要因がたまたま重なってとかということも起こり得るんだけど まあそういうその他の要因とかいろいろ後排除したとしてもおそらくこれぐらい減って
いるのはこれはテイクダウンの効果でしょうっていうふうに今この研究者の人たちは 言ってますと
なんだけど一方で今僕6週間って言ったんだけど 6週間経ったら元に戻ってるんだって
だからまあその影響は何時か限定的というか短期間に留まっているって言う ことが言えますねというのとあとさっき僕は udp はって言ったんだけど
tcp の攻撃件数は全然影響がなかったんだって 減ってないということもそうなんでこれもおそらくだけどブーターサービスが使っているの
が主に udp の攻撃が多いっていうことだとおそらく思いますと思う ということを言っていればだからその踏み台を使うサービスが多いんだろうねきっとね
ああああああそうかそうかとあとまあその攻撃手法としてもしかしたら udp の方が好まれてるのかもしれないけどわかんないけど
まあそのデータを分析したところ明らかに現象が見られたら udp だけでしたと いうことなんで
一定の効果は確かにあるなと6週間減ったというのは効果といえば効果なんだ けど
長期的に見ればテイクダウンしても結局 d 度数の件数には影響を与えられないと いうことが分かってまあちょっと厳しいねというのがわかりましたと
今のやつって言うその tcp のはまあどれぐらいの量が多い多いかとはわかるんですけど まあ増減があまらなかったってことじゃないですかそのテイクダウンの前後でってことね
そうですよねってことはその逆に言うとそのボット観戦して何が好きなもんを打てる ようなやつよりもリフレクションされる踏み出を減らす方が効果があるってことか
そうなんだよねだがやっぱそういう攻撃の発生元をいかに減らすかってやっぱ大事って ことが言えるよね一つはですねはいはいはいはいでねこれちょっと決めるようで
どうしたらと思ったのは そのじゃあ d ドス攻撃は減ってない
まあ長期的には減ってないとしてでもブーターサービスへのアクセスは明らかに減ったって さっき言ったじゃない
はい8割9割減ったってじゃあその減った分はどこ行ったんだっていうことになるんだけど この人たちが調べた範囲では定常監視している既存のブーターサービスへのアクセスが増えたって
ことはないらしくって どうもその新規に新しく生まれた別のサービスが吸収していったか
ないしはそれ以外の別の攻撃手段をまあユーザーが見つけた だろうとここは推測で言っててつまりねその
攻撃を実際にしたいそのこういうブーターの利用者って言えばいいのかな というのは仮にその自分たちが使っているブーターサービスが使えなくなったとしても
他の方法で攻撃手段を見つけてるってことなんだよね なるほど
だ結局そのニーズが減ってないそのやりたいって攻撃したいっていう動機目的が減って ないから
方法はこういくらでもあるから別の手段を見つけて結局 d ドス攻撃っていうその最終 結果だけあんまり変わってないっていう
サイバー攻撃の現状
途中の経路だけが変わってるって言うだけだっていうそういうどうも結論になり そうだっていう感じで
だそういう意味でこうなんちゅうがない子いろいろそのさっき言ったさあその攻撃の 発生元のインフラ踏み台とかさ
ボットとかを減らさないとサービスを止めただけでは結局もと戻っちゃうっていう話と あとその攻撃をしたいっていう人をいかにその増やさないかというか抑止するか
っていうことも考えないとはい結局手段は他のものを見つけて結局攻撃しちゃうって いうことはそうですね
データに出てるんで なかなかねやっぱりどっか1個だけ止めてもダメなんだなあっていうのがなんかこういうの
見てるとだからそういう全体としての回復力っていうかさ そういうものを感じる
これを潰すにはそのインフラも潰さなきゃダメだし こういうブーターのサービスも潰さなきゃダメだし
あとまあ犯人の逮捕そうそうそうそう法執行機関とか頑張って お前らこういうことだと犯罪で捕まるぞって抑止効果も出さなきゃいけないしっていう
そういうこうやっぱり組み合わせてやっていかないと なかなかね減らせないっていう
ただこれやってさあ全然効果がなかったわけで多分ないと思うんだよねその一時的には 減ってるってのもあるし
あとひょっとしたらその長期的に見てこれはの検証が難しいけど 何もしなかったらもっと増えてた可能性が結構高い
実際今回のまあの今ちょっと紹介してないけどアンダーグラウンドのデータとかも 調査した彼らしていてリスクがあるからこういう攻撃をやめようとかサービスもうちょっとやる
のやめようかなとかって言ってる攻撃者がいるとかね なんかそういうそのリスクに対する高関心が高まって抑止効果には出てるんじゃないか
調査もしてるんで全然効果がないわけではない長期的に見ても効果が出てるんだと思う けど
数字に現れにくいっていうかねところがあるし今これだけ頑張ってで今の水準にまあ なんとか収まっているとも言えるのかなという感じが
するんでまぁもっともっと頑張らなきゃとは思うけど 一筋縄ではいかんぞっていうのが改めてわかったなっていうそうですね
抑止策の重要性
分かっちゃいたけどこういうふうにたか数字で定量的に見せられるとやっぱりなぁ っていうのが
感じましたねやっぱり入り口をなくすだけじゃあかんってことですねそう だからそういうのこうなんかあの僕結構リードすごいけど話いろいろするんだけどさ
そういうところでもこういう話するんだけどやっぱりこう リードそのその発生のメカニズムとか構造を理解して対処していかないと
なんか目に見えるところでどっかだけ行ってもやっぱダメなんだよね あとその自分たちその僕らは攻撃を受ける側じゃん
受ける側だからまあその攻撃きたものに対応できるようにってついちそこだけ考え ちゃってまぁもちろんそれは正しいんだけど
でもやっぱりね長い目に見たらその攻撃のもとを立たないとやっぱどうしようもないなぁ っていうのはいやーほんまそうですねちょっと感じるねこれで
でもなんかこのテイクダウンされてなくなっても例えば次の新しく立ち上がったところに 移動するとかするわけじゃないですかこのいうユーザーと呼べばいいのかな
ストレッサーブーターのユーザー テレグラムのチャンネルとかでそういうサポートとかあるじゃないあるある
でここテイクダウンされたから次こっちねーみたいなやっぱそういうのあるじゃん 次の連絡先はここやでみたいな連絡事項を流すときはありますよね
ユーザーがそういうとこ見てればそっちに誘導されるんだろうねでもそこまでしてリードス をし続けるモチベーションって何なんですかねそうそこだよねだからそういうところをちゃんと
こう 分析をして
そうさせないためにはどうするかとか 考えないと例えばさあその今のそのロシアウクライナ関連とか
そういうのに関連して自分たちはこっちを支持するからお前ら消しからから攻撃みたいな やつは悪い意味でかっこたるその
断固たる意思があるというかさあそう政治心情的なことですよねそうそういうのは多分こう 防ぎようがないというかその攻撃する動機がもう非常に強固だから
まあどんな手段であろうが多分攻撃してくるじゃんそうですねそうですねそれは遅くことは できないと思いますねそうでも逆にねそのもっとそのなんちゅうかなライトな動機というか
カジュアルなちょっとやってみようみたいな感じだねそうそうそういう人って結構いっぱい いると思うんだよねむしろそっちが主流だと思うんだけど
実際捕まっちゃう人も多分そういう人たちだと思うんだよねその ちょっとこの気軽な気持ちで安易な気持ちでこういうブーターサービス
使えたからたまたまちょっと使って攻撃してみちゃったみたいな だがそういう層を減らすことができれば結構
効果としては大きいんじゃないかなーって気はするんだけどねそう そんなが移ってまでとかしかもなんか逮捕されるかもしれへん自分が使ったとこ差し押さえられた
てなったら自分の情報を取られているかもしれへんにも関わらず続けるモチベーションて その先だ政治心情とかとお金
そうねだからまあそういう子もネッカラの犯罪者っていうかとかそういうその なんとか共振者っていうかわかんないけど
もうそういう人たちはちょっとまあ抑止するのは難しいと思うんだけど それ以外は多分ねなんとかできるんじゃないかなって気はするけどねそうですよねなんか何
割かはこういうのを続けてればそげるような気もしなくもないですけどね そうそうそうまだがそういう効果を狙ってやっていくしかないんじゃないかなと思うけどね
そうかいやいやいやいやなんかなかなか根深い根深いというのがすごい大変な テーマに手を出してますよね実際いつも思うけどいやいやのことないけどさ
いやこういうでもあの調査をしてくれる人たちがいるからありがたいなっていうか 普段ほら感覚的にはわかってるし
断片的なデータもあるから多分こうだろうってわかってるけどさ ここまでフォーカス的な調査っていうか定量的な高評価ってなかなかできないからなかなかできない
ありがたいよねこういうのはね 効果測定ってされることってあんまないですもんね
いや難しいもんだってこういうのってやるだけの簡単だもん やるだけは確かに簡単ですよね
やってねこの効果があったかどうかともかくとりあえずやれって号令かけてやりました っていうのは簡単じゃん
やっぱりこのオペレーションなんとかっていろいろあるじゃないですかそのテイクダウン 系のオペレーションで他にもいっぱいあるよね
あるけどパワーオフって一番耳にするくらい継続してやってるっていうイメージある そうねこの今回その対象になった2022年が多分最初かなそれ以降
もう数年で何回も何回もテイクダウンやってるからねそうそう まあねその一つのでオペレーションでを消えていく方が多いっちゃ多いけどこうやって継続的に
やってるのってこういう効果測定もきちっとしてるからこそなんやなっていうふうに 思いましたね
そうねあとまあ1回行っただけではダメだってことだよねだからねそうそう続けて やっていかないと多分効果は現れないよっていうことの
裏返しだと思うけどねそうですねまぁこんなオペレーションしなくても済むようになれば いいんでしょけどあのこれからもいろんな情報出してもらいたいなと思う
おすすめの食べ物
そうですねはいまあなんかいろいろ継続してウォッチしたいと思います お願いしますはいはいありがとうございます
はいじゃあ今日もセキュリティの話を3つしてきたので最後におすすめのアレなんです けども今日僕がおすすめするのは食べ物なんですが
はい家でたまにそば作るんですよ まあそば作るというか油額だけなんですけどあーびっくりさあそうそばうず打つとかと思ったよ
ああ 流石の僕もねそば家とかまではし始めないついでそこまで行ったかみたいな
こだわりがねそばこりこだわりがみたいなさあありそうなねこうそばをこう この中の頃も結構いうのを問い寄せたりとかしてたんですよ
ヘギそばとかも結構好きなんですけどたまに食べたくなるんですけどね でやっぱり結局9そばが一番うまいなっていうそばがあって
山形の飛び切りそばっていう やつなんですけれどもこれは有名なんですか
どうなんですかね小川製麺所っていうところのやつで 結構ねあの3束入ってるシリーズでいくつも出してるんですよ飛び切りそば以外にも
あるんですけど 飛び切りそばってのはこれ何そういう名称なんでと製品名ですね製品名なんだ
そうそうそうそう いくつかあるんですけれどもその中のまあ飛び切りそばで結構だスーパーでも売って
まあ amazon でも売ってるし 比較的スーパーとかでも手に入りやすいよく見かけますこれいやじゃあ結構ポピュラー
なんだね多分そうですね結構なんか入れ物とかもなんか ちょっと高級感というかなんかなんていうかなイニシエー感があるというかね
雰囲気出てるんですよでねこの中のこだわりがあるらしくてね あの山芋を手打ちでこつなぎに使うのって難しいんですって
あそうなんだ山芋ってどっちかってこうは風味が出たりするんで入れるみたいなんです けど
その手打ち屋とか大変やから勘弁だからこそできるみたいな 山芋とそばこみたいな感じで
やってるらしいんですけどね太さ自体は1.5ミリなんでまぁ平均的 よりややちょっとほんのちょっと太いぐらいに入るんかな
ただねなんかこう食べた時の風味とあとはねあの結構僕腰のあるのが好きなんですよ しっかりしてるのがはいで結構これしっかりしてる感じで
たまたま昔であったんですよねこれねー 何年前かなぁ
12 3年前に出会ってるんですけど
うーんあの一人暮らししているときに年末年始何もすることないわーって思ってて 年末にして31月1日のことねなんかあるやろう
何もないねんてあのもうあのそのその31とついたらもうね2日からがペネトレやねん だいたい
その頃はお忙しいですね1つ1は一応動いてて2日からしか無理なそういう業種あるでしょ そういう止められへんねんいうとこ結構あるよねそういうタイミングでしかできない
みたいなところねそんで何もすることないから年越しそばでもと思って年越しは買いに 行くかと思って行ったんですよ当日ねところ商店街の近くとか行ってきたんですよ
なぁやだけど年越えそうだって予約なんですよね あーまあそうかもねそう全然売ってなくてでもしょうがないも観面でいいやと思って
一番良さそうな奴にしようと思って食べたらめちゃくちゃうまくて それから結構ずっとファンであの時々食べてるんですよね
そうねあのこれもしねあの食べてみようと思って食べた方いらっしゃったらこれまず覚えて ほしいんですけど
山芋使ってるんで結構ねこれ なんであの
蕎麦湯美味しいですよあーなるほど 風味がしっかり出てて蕎麦湯が美味しい
と合わせてねあのやってほしいなっていうことなんですけれども ねそばって単体で食べますお二人
蕎麦には絶対ついてくるものがありますよね 梅雨がいいです2がはいそうですねさすがに梅雨出しでは食わないようなでしょ
でその梅雨でめちゃくちゃ美味しい蕎麦湯を私は見つけたんでそれは来週 次回引っ張るなぁ
次回一緒にいいよ来週がどうかわからんけど次回 ああそうですかあのやってですねあのもしあのそれでも食べたいぞって言う方がいらっしゃった
今自分が一番美味しいと思っている蕎麦つゆ食べてみてくださいそれを超えるかも しれない蕎麦つゆを次回紹介させていただきます
まあ蕎麦つゆもいろいろありますもんねはいとんでもないの見つけちゃいましたから それは楽しみだ
はいじゃあそんな感じでまた次回のツインを含めてのお楽しみですバイバイ バイバー
