セキュリティシーズン4の開始
いやー、アレですよ。始まりましたよ。これ。
何が?何が始まった?
いやもう、始まったというか、前回の内容聞きました?ちゃんと。
前回?前回ってなんだっけ?スペシャル回?
そうそう、最後のスペシャル回。
聞きましたよ、もちろん。
アレを受けて始まるものと言ったら、一つしかないでしょう。
何かあったっけ?前回。
セキュリティのアレ、シーズン4ですよ。
何でシーズン4なの?
シーズン…だったんですか?これ。
いや、前回だって最終回やったでしょ?
あー、そっかそっか。勝手に終わらせられたんだ、そういえば。
そうですよ。井上さんによりね。
そうだった。
そう、終わらされたんで、アレでシーズン3が終わったんですよ。
そっか、じゃあ新たなシーズンがスタート、こっから。
そう、2025年ね。
そっか。
そう、だから今日からシーズン4が始まってます。
今年の一文字とサプライチェーン
あー、そういうことですか。なるほど。始まってましたか。
そうそうそう。そうなんですよ。だからアレの最終回っていうのは本番やったってことですよ。
マジか、終わってたんだ。
なるほどね。
そんなこんなでね、2025も始まったということで。
そうね、新年一発目ですよ。
そう、ということは何の話ですか?これは。
何だろう?
何ですか?
あったっけ?年始に。
今年の一文字ですよ、私の。
あー、毎年やってるやつか。
やってますね。
もう去年が何の字だったか忘れちゃったよ。
何でしたっけ?
去年は探す、探っていう字ですよ。
おー、探求するとか。
そう、探す、探るとかそういうね。
そういうね。
はいはいはい。
見つかりましたか?
探れましたか?
探りましたしね。
自分探し。
見つかったりもしましたよ。
おー。
で、なんか今年どういうことしていこうみたいなものとか。
逆に見つけたことによってね、行動をちょっと変えようかなとかっていうのもあったりとかね。
おー。
で、来年どういうセキュリティのテーマで考えていこうかなとか。
そういうのを考えて踏まえて今年の一文字はですね。
くさびです。
くさび。
うん。
おー。
そう、くさび、いろんな自分で考えた結果でいろんな意味があるんですけど。
くさびって、ほら、物を繋ぎ止めたりとか固定したりとかするものでしょ。
そういうのもあったり、逆の意味でも使われたりする。
そう、立ち切ったりとか、隙間に入れて割るとかに使ったりしますよね。
くさびを打ち込むみたいなね。
そうそうそうそう。
それで、繋ぐものと立ち切るものみたいなものを自分の中で視察・選択をしていこうかなっていうふうなことと、
あとはどれぐらい深掘りしていくかも分かれへんけど、気になっているのはサプライチェーンがずっと気になってて、去年から。
なんかあれだよね、この3人のセミナーでも取り上げたよね。
そうそうそうそう。
なんでサプライチェーンって一言で言っても、サプライチェーン攻撃なんか、サプライチェーンリスクなんかとかって結構ややこしいじゃないですか。
幅広いよね、扱うところがね。
サイバー攻撃を受けて、その繋がりでまたサイバー攻撃っていうのもあれば、サイバー攻撃を受けて物理に影響を受けるとかね。
種類でもね、サービスやビジネスやとかいろいろあるじゃないですか。
そういうのをちょっと整理をきちんとせなあかんなあっていうふうなこと自分の中でもあって。
それもね、繋いでいくサプライチェーンに打つくさびみたいなタイトルで喋ったりもしたことありますけども。
なので今年はこのくさびっていう文字で意識してやっていこうかなというふうに思ってるわけですよ。
リスナーからのお便り
いいね、もっともらしい感じでいい感じだね。
もっともなのかもっともらしいなのかで大違いなのよ。
いいんじゃないの?それを1年かけて。
そうやっていこうかなと。変化の年にしていきたいなと思ってます。
まあでもなんか聞いてると毎年変化はしてるよな。
意外とね。
なんかほら我々同じようなことをやってる続けてるようでいてさ、このポッドキャストも7カンダで7年?今年で8年目なのかなもうちょっとで。
僕らこの形になってから?
2017年の4月からだから今度の4月で丸8年になるんだよな。
長く続けているけどやってる内容はちょっとずつ変わってたりとかさ。
なんか割と今でも新鮮味があるというか。
そうですね。なんか新しいリスナーの方とかマレー勢の方も増えてきてそのやり取りをしたりとかね結構形はちょっとずつ変わっているのかなって気がしますけどね。
なんか変化を追い求めてるっていう感じはあるんで。
いいんじゃないですか?毎年毎年。今年も変わっていきましょうか。
今年もよろしくお願いしますということでお便りが来ております。
ありがとうございます。
さっきちょっと冒頭でも触れましたけども、前回の井上さんの冒頭の部分が評判良かったですね。
評判良かったんだ。
勝手に一人で始めて終わらせようとしたやつね。
そうそうそう。しかもあろうことかこのポッドキャスト一人でずっとやってたっていう。嘘だって言ってる。
聞いて待ってる時にいつ止めようかなって思ってる時に結構笑いこられてて僕も。
とんでもない誇りしたもんな。
マイクミュートしようかなって思ったもん。
あのままほっといたらどこいったんだろうね。
それはちょっと面白そうな感じでしたけど。
面白かったんで公共の場で聞くもんじゃないなこれはとか。
最高の褒め言葉がいろいろ散見されましたよ。
来てるお便りなんですけどDMとかでもお便りいただいておりまして。
いつも楽しくセキュリティのあれ聞いてます。
2024年の初頭にビビッと来てセキュリティ資格をたくさん取ろうと思いつきました。
CISSP、CISA、CISPプラス支援紙などの10個ほどの取得を1年でしました。
すごいね。そんな取れるもんなんだ1年間で。
会社にあったら補助金とか出してくれたりとか報奨金とかくれたりするじゃないですか。
そういうのも一切なく。
家族からは無駄遣いと言われてもセキュリティのあれに支えられて1年頑張ることができました。
本当に感謝しています。全アレ勢にも感謝です。
10個って1年で取れるんや。
すごいね。その自己懸賛っていうかさ。
結局誰かに強制されるわけでもなく、補助的なものもあるわけじゃないから。
自分次第なわけじゃない。
全部そうですよね。
自分の家庭になると思ってやるわけだから。それはすごいね。
本当にびっくりしてね。
立派ですね。
10個持ってますじゃなくて1年ですからね。
ぜひそれを今後に活かしてもらいたいね。
素晴らしい。
本当におめでとうございます。頑張ってください。
支えになれてよかった。
セキュリティのあれを聞いて、親にパスワード管理手帳を与えてみたら、かなり小さくて使いにくかったけどこれは大きくて良さそうということで、商品を一つ紹介してくれてまして。
手帳って紙に書くタイプってこと?
そうそう。
名前が70歳からのスマホのパスワード記録ノートっていうめっちゃいいタイトルの商品が紹介されて。
とにかくまず書きやすい。
デカいんですよ。1ページに1個売れる感じだと思います。
そういう商品が売ってるんだ。
縦21センチ横15センチでこれ一つのパスワードのことを書くみたいです。
細かいところに書くんではなくてもそもそも書くところが大きかったりとか。
なるほど。一応そういう高齢者向けというか書きやすさ見やすさとかを重視した感じになってるのかな。
確かにこれいるなって思ったのはパスワードの上にフリがなって書いてるんですよ。
なるほど。これゼロやったかオーやったかみたいな。
そうまさにそれ。
僕らみたいにパスワードマネージャーとか使ってると曖昧な紛らわしいやつは除くとかっていうオプションがあったりして。
あと色ついたりしますよね。
わかりやすくしてくれたりとかするけど普通に作っちゃったり、
あるいは勝手にシステム側が発行してきたやつとかだとそういうの特に考慮されてない場合も中にはあるもんね。
後で自分で見て分かんなくなっちゃったりするもんな。
それとかね、あと記号を使いたいなと思った時にもスマホで日本語キーボード、アルファベットキーボードにおいてこの記号はどうやって出すかも書いてるんですよ。
それはあんまり詳しくない人向けには親切だね。
だから勝手に付けられたパスワードとかもあるじゃないですか。
発行されたりとかソフトが付けてくれたとかそういうのも自分で出されへん時もあるでしょ。
確かにこの記号どうやって打つんだみたいなね。
そういうのも僕らも一瞬分かれへん時あるじゃないですか。
どれやったっけなみたいな時あるじゃないですか。
そういうのもこうやってやれば出せますよっていうのもちゃんと説明されてるみたいです。
いいね。しかも主にスマホなのかもしれないけどさ、PCやらスマホやらタブレットやらわからないけどいろんな機種の違いとかによってさ、
ソフトウェアキーボードとかも配列が微妙に違ったりとか、出し方が違ったりとか結構俺らも使っててもあるからね。
それは確かに丁寧でいいかもしれない。
70代からのなんちゃらみたいなのをこの作者の方3つぐらい出してるみたいですね。
いいね。いい狙いかもしれないね。知らなかった。
なかなか思いつきそうで思いつかへんっていうかね。
いいアイディア商品だね。
そうそうそういうのをお勧めいただきましたということでございます。
最後のお便りなんですけども、今スポティファイのエッジっていうプレイリストが辻さんお勧めの諸派でちょっと嬉しいと。
あれを続けていく過程でも辞めるなら今だという悪魔の囁きがあったのでしょうかという質問ですね。
辞めるなら今だっていうのは去年の末に配信が始まった諸派の新曲ですね。
そういうのあるんだ。
自分が辞めるか辞めへんかの自問自答の歌みたいな感じかな。
音楽を周りはどんどん辞めていくけどもみたいな。
みんなの中から聞いたのが結局自分だけ変わらなかったから今の自分なんだみたいな歌詞なんですけど。
辞めるなら今だって、このあれを続けていく上で辞めるって思ったこと一回もないな。
そうね。誰もないよね多分ね。
何ていうかやってるっていう感じでもあんまないね。
確かに自然にね。
それはおかしくない。
いやいやいや生活の一部というか。
分かる分かる溶け込んでるよね。
そうそうそうそう。
よしやるかっていう気合入れなくても普通にやってる感じだよね。
そうですね。普段やってることからちょっと深掘りをするのをどれにするかみたいな感じだけど、
それも結構別にこのためだけでもないですしね。他に役立つもん。自分の理解とかに。
だいぶなんかもう習慣になって溶け込んでるよね。
僕らはないかなってことですよね。
まだまだ続けていきたいなっていうことですけどね。
このお便りいただいた方々にはセキュリティのあれのステッカー印刷コードをお送りしておきます。
5つ揃ったらシークレット差し上げるんで揃ったよというDMをいただければと思います。
Chrome拡張機能のインシデント
そうだね。そろそろ2週目が出てきてもおかしくないかもしれない。
2週目、そうですよね。2週目頑張ってる勢がいますからね。
すごいな。
すごいですね。じゃあセキュリティのお話をそろそろしていこうかなと思うんですけども。
じゃあ真理一発目僕からさせていただきます。
よろしくお願いします。
僕が今回紹介するのはですね、GoogleのChrome拡張が悪意のあるものに変えられてやばかったみたいな話ですね。
なんかあったよね。年末ぐらいにありましたよね。
12月の27日ぐらいに出てましたけれども、
企業のデータの不整理を検出したり止めたりみたいなもので、
企業の組織内の内部データの使用状況を追跡するっていうプラットフォームを提供しているサイバーヘイブンっていう会社があるんですけども、
ここがクリスマスイブに発生したこの会社が提供しているChromeの拡張機能の機能が悪意のあるものに変えられましたよというインシデントに関するブログを公開してくれてましたと。
どんな影響があったかというと、悪意のあるバージョンに付け替えられて、
ユーザーにデリバリーされるということになったんですが、
12月の25日の午前1時32分。これUTCですね。
12月の26日の2時50分なので、52時間ちょいですね。
そういった時間公開状態になったので、この間にアップデートしちゃったユーザー。
これ調べてみると大体40万人強いるらしいです、ユーザー数が。
が影響を受けるというふうなものが書かれてありました。
これでも普通、Chromeの拡張って自動アップデートだから知らん間に感染している可能性あるってことだよね。
そうですね。
Chromeの設定から変更できるようなもので言うと、更新チェックの間隔のデフォルト何秒とかに変えるぐらいしかないので、基本的に自動で上げられてしまうというふうなものですね。
ここの会社は25日、12月の25日の午後11時54分に何かおかしいというふうなことを検出して、1時間以内に悪意のあるパッケージを消したと。
26日の午前10時9分に顧客にこんなことがありましたという通知を送ったそうです。
これ消した時間の後にもっていうようなものが多分反映される前にちょっと時間がかかるのかな、これもしかすると。最新になるのかね。
その結果、サイバーヘイブンは開発環境とかコード署名とかを含むようなサイバーヘイブン内のシステムの侵害は起きたわけではないというふうなことはまず否定をしていました。
拡張機能を入れてしまうと、この拡張機能を入れているブラウザから特定のウェブサイトのクッキーとか認証のセッションとかいうものが取られる可能性があります。
コードの解説とかもされているんですけども、主にフェイスブックの広告ユーザーとかを特定する目的で、フェイスブックアカウントのトークンを標的にしているというふうなものです。
そのトークンだけじゃなくて、フェイスブックのマウスクリックイベントを待ち受けているコードも含まれている。
ユーザーがページをクリックするたびに何をクリックしたのかというところで、特定の文字列を含む画像をチェックして、見つかったらその画像をC&Cに送るというものなんですね。
これ何かというと、QRを盗もうとしているようなもので、要はニオート認証に使えるようなそれをバイパスするためにQRコードを盗んでしまおうというふうなことが意図としてあったんじゃないかというふうに言われてますね。
これ実際にこれの不正なコードが入ってしまって、フェイスブック側の情報とかも取られて悪用されたというところまで行っちゃった人ってどれくらいいるんだろうね。
そこまでは言及されてはなかったんですけども、気づいてないかもしれないですね。
そうそうそうそう。一時的な被害のところはわかるんだけど、本当のところエンドユーザーにどのくらいの被害になったのかというのはちょっと追いにくいよね。
今もなおこの拡張を使い続けている人もいるかもしれないですね。
気づいてない人もいるってもおかしくないからね。
この拡張が何で置き換えられたのかという原因なんですけども、フィッシングだったと。
フィッシング攻撃の実態
フィッシングでサイバーヘイブン社員のGoogle Chrome Webストアへのアクセスが侵害されたと。
フィッシングの内容に関しては、Google Chrome Webストアのデベロッパーサポートを装ったフィッシングメールで、あんたはデベロッパープログラムポリシーに違反してますと。
このまま放っておくと拡張機能がストアから消されますぜっていうふうなもので、ログインしてくださいっていうふうなものが来ている。
これ調べてみると、この社員以外にも来てたみたいですね。
確かに公益の手法としてはそんなに特段目当たらしいものでもないし、似たようなところを他にもばら撒いたらできそうだもんね。
この開発者を狙うっていうのもどういうふうにやったのか気になりますけどね。
確かにね。
どこかに公開されてるんですかね、問い合わせ的な感じで。
どこかどこかのChromeの拡張の開発者の人たちっていうのをターゲットにしてるのかね。
代表のメールアドレスみたいなのかもしれへんけど、受け取る人はこの開発者ののかもしれないですね。
SNSとかあとは掲示板、海外のRedditとかを見て投稿された内容によると、これ系のものは12月5日頃には似たようなものが複数来てたみたいなものが情報共有されてました。
まだ広く行われてたってことなんですけども、こういった件を受けて、ブラウザ拡張の管理を支援するようなサービス、ソフトウェアを提供している
セキュアアネックスってとこと、エクステンショントータルっていうところがあるんですけども、
ここが少なくとも35の拡張機能が影響を受けていたというリストを公開してました。
じゃあ実際に被害にあったのが35ってことは、どれくらいの確率で引っかかるかわかんないけど、かなりもっと手広くフィッシング自体は送ったんだろうな。
多分そうでしょうね。その影響を受けるユーザー数とかもこのリストに書いてて、これWebストアのページを参照してるんだと思うんですけども、
260万ユーザーって書いてましたね。かなり広くあって、このリストを見てみたら、僕も過去に使ってたやつが入ってたりとかしてる。
情報管理の重要性
今は使ってないのね。
拡張機能を使ってると、拡張機能の管理ページみたいなやつで、これもうそろそろ他のものに変えることを推奨されますとか出たりするじゃないですか。
そういうので出てると、もう使うのやめて、違うやつ探したりするようにしてて。
確かに長く使うものは使ってるけど、ちょいちょい見直して、これをやめてこっちに変えようとか。
もっといい機能のものが出たからこっちに移ろうとか。
便利なものないかなとかね。
そういうのもあるかもね。
見た方がいいですよ。広く行ってるからだと思うんですけど、いろんな拡張が。
特定のものだけに限ってないもんね。
拡張だったら何でも良かったと思うんですよね。
おそらくね。
これは一回見ておいたほうがいいんじゃないかなと思ったりもするんですけども。
確かに。
でもこれね、どうする?これ。
どうしたらええん?これ。
これあれだよね、さっき冒頭にちょっと言ってたけどさ、いわゆるソフトウェアサプライチェーン攻撃の一種というか。
そうなんですよ。
その開発者とか開発企業とかが侵害を受けて、最終的にそのエンドユーザーが被害に遭うっていうか。
これエンドユーザー側気づくの難しいんだよな。
めちゃめちゃ難しいと思いますね。しかも情報盗み系やから基本的に隠密に動くじゃないですか。
そうですよね。
ランサムとかとは違うからね。
個人ではちょっと多分普通の人は気づけないと思う。例えば僕らが感染しても多分これタイプだと気づけないと思うんだけど。
企業とかその組織とかだったら変な情報を送る通信とか外向けの通信が監視で引っかかる可能性はあるけどね。
ただまあそれもそのC2のサーバーが基地だとか、あるいは送っているデータのパターンがなんか不審だとか何かしら特徴がないと
単に外と別にhttpsで通信してますぐらいだったらわからないよ。
わからない。紛れてるからわからないと思うんですよね。
ちょっとこれはだから今回のもそのサイバー、僕の認識ではこのサイバーヘイブンのインシデントが結構大きく取り上げられたんで
それをきっかけに他のも調べてみたら他にもやられてましたみたいな感じじゃない?
多分そうな感じしますよね。
だよね。だからここが声を上げて打ちやられましたよって言わなかったらみんな知らずにやられてた可能性もあるよね多分ね。
これよりも先にやられてたものもあるでしょうしね。
そこが怖いんだよね結局。でこういうのってそのやられたところから言わないとさっきの話みたいなエンドユーザー側気づきにくいからどうしたらいいの?
しかもこれ商用で使って配布しているものとかユーザー登録したりとかするけど全部がそんなもんじゃないじゃないですか別に。
クローム拡張だったら結構無償で使えるものとかそんなばっかだもんね。
組織とかやったらGoogleが配布してるのはポリシーテンプレートで禁止するとか?
特定の拡張以外は使えないようにってこと?
そうそうそうそう。
そういうのやってるところあるよね。
あとはGoogleワークスペースとかっていうのは使ってるならクロームエンタープライズみたいなのでこういうのは制限するとかでできるみたいなんですけど。
でもそれで許可しているものがこれになるかもしれないもんね。
まあ最悪の場合にはね。
結局そうなんでね。僕もなんか自分で使ってる拡張とか見てみたけど普通のエバーノートとかねそういうベタなやつしか今は使ってないんですけど。
これやられたら終わりやなって。
あとその使ってるソフトウェアの管理とかさ、資産管理的なっていうか。
そういうちゃんとアセットマネジメントやってると言っても例えばこういう拡張までは見てないとか、そこまではポリシー決めてないとかっていうところも多分あるだろうし。
ちょっと盲点になりがちだよね。
EDRとかで防げるのかな?
いやどうでしょうね。
ちょっとEDRの話聞くときには質問するリストに入れようと思ってこれ。
今回みたいな情報を送るとかだとどうだろうなちょっと難しいんじゃないのかな。
難儀やなと思う。ちょっとでも早く気づける術をと言ってもそれもなかなかなあっていうね。
あとさっき自動更新でって言ったけどさ、基本的にこの手のソフトウェアとか自動更新するのがよろしいと思われるんだけど古いのを使い続けるよりは。
だけどこういうのが入り込む隙にもなっちゃうというか。
ほっといても勝手にユーザーががアップデートして不正なコードに感染した自ら感染しちゃうということになるのは防げないので難しいよね。
さっきの組織だとやっぱり禁止するものそうでないものみたいなものでできるだけ確率を下げるっていう風にするしかないかなっていう。
あとまあ比較の話なんだけどこういうのもやっぱり訳の甘いところがやっぱりやられてしまうので。
DDoS攻撃の現状
こういうのも例えば開発者1人がフィッシングにあったところで別にウェブストアのトークン取られてなんかやられるみたいなことをそこまで行くかどうかっていうのはやっぱり組織ごとに違うと思うし。
あとまあその1人とかで開発してるような小さなものもあれば、ちゃんとこういうサイバーヘブンもそうだけど会社としてやってるところとかもいろいろセンサー番別じゃない。
そうですね。
例えばそういうもので使う拡張を使う側が主催選択するっていうか、それぐらいしか自衛手段はなんかちょっとないよね。
そうなんすよね。もう全部消そうかなと思ったもん。拡張。
本当はだからプラットフォームで何かこういうのをコントロールできればいいんだけど、
例えばやろうと思ったらほら、例えばそのアップルのアップストアじゃないけど、アップデート前に審査が必要だからまあ結構更新そんなに簡単にできないっていうかさ、
時間がかかるようなところで、それでセキュリティを担保する方法もなくはないと思うんだけど、逆にね自由度が下がるし、
そこら辺はトレードオフなんで、コストもかかっちゃうからね。
そうですね。なのでちょっとこれは答えは出えへんし、確率下げるぐらいしかないけどちょっとこれ気にしていこうかなと、
これを防ぐにはどうしたらいいんやみたいなものを製品やサービスで解決できるのかとかそういうのもねちょっと意識していきたいなというふうに思いましたね。
そうですね。リスナーの人にはこういうインシデントにも敏感になってほしいというか、
自分のさっきの追算じゃないけどさ、自分が使ってるものはないよなーとか定期的にそういうの見直しをするとかさ、
そういう点でちょっと感度を上げてほしいなっていうくらいかな。
確かに何でもかんでも入れてほったらかさずにってことですね。
そうそう、なんかよくわかんないものは入れないとかね、なんかそういうのは自分なりにできる自衛手段だよね。
はい、そんな感じでございます。
ありがとうございます。
じゃあ次はねぎさんいきましょう。
攻撃の種類と分析
今日はですね、ちょっと小ネタではあるんですけども、DDoS攻撃の話をしようかなと思うんですけど、
DDoS、このタイミングで。
年末からね国内でも結構DDoS攻撃が原因と思われるのは結構障害が多数起きてて、それが何らか話題になってるけど、
その話じゃないです。
違うんや。いいですね、安定感あって違うと。
ちょっとその話はどっかまた別の機会にということで、
でも今ちょうどその話題になってみんなの注目も集めているところなんで、
今日は直接その話じゃないんだけども、
先週見かけたAPNICのブログで紹介されてた記事で、
DDoS攻撃の現状というか状況を把握するためには色々協力が不可欠ですよということを言っている、
ちょっと面白いというか、僕が常々思っていることと非常に近いことを言っている記事があって、
それは元々は論文の内容を紹介する記事なんだけども、
この紹介されている論文を書いている人たちはドイツとかアメリカとか中国とか、
いろんなところの大学とか、あと民間の研究者とかが共同で書いている論文なんだけど、
彼らがやろうとしたことは結構シンプルで、
DDoS攻撃の脅威って最近の事件もあるし、十分脅威だとみんな思っていると思うんだけど、
例えばそれが自分たちにとってどれくらいリスクがあるんだろうかとか、
対策をどれくらいきちっとやったらいいんだとかということを考える上で、
じゃあ現状DDoS攻撃がどのくらいの脅威なんだよということをちゃんと把握しておく必要があるよねと。
なので、いろいろ例えばアカデミアだとか、いろんな民間の様々なDDoS攻撃に関する観測のデータとかをいろいろ分析したら、
そういうのが分かるんじゃないかと。
そういうのをちゃんと分析して長期的なDDoS攻撃の傾向、
例えば攻撃が増えているのか減っているのかとか、
ひどくなっているのかそうでもないのかとかっていうのをちゃんと見ていかないと、
今までの対策が有効なのかどうかも分からないし、
今後どういうのが必要かっていうのも論じることができないから、
まずはそういうのをちゃんと分析しましょうというのがどうも彼らのモチベーションなんだよね。
民間とか大学の関係者がいろいろ集まって分析をしてやってるんだけども、
データとしては2019年から2013年までの4年間かな、
いろんなデータセットを集めてきて分析をしてましたと。
データ以外にも、例えばDDoS攻撃の対策を提供しているベンダーとかが教諭レポートとか定期的に出したりするじゃない。
そういうような事業者が出しているレポートなんかも分析をして、
長期的に見てDDoS攻撃どうなっているのというのを分析してみましたと。
そんな感じね。
彼らが攻撃といって分析をしたDDoS攻撃の種類っていうのは大きくは2つあるんだけど、
1つはここでの論文の読み方に習うとダイレクトパス攻撃ってやつで、
これは攻撃元から直接攻撃のパケットが飛んでくるっていうか、
例えばBotnet使いましたとか、
あとは古き良き時代でいうと、自分のところでそういうDDoSツールを実行しましたとかね、例えば。
古き良きじゃないでしょ、古き悪きですよ。
そうね。
ロイックとかホイックとかね、ありましたよね。
今でもそういうツールあると思うけどさ、
そういう感じで直接攻撃者が自分のところからマナー社が乗ってたマシンからターゲットに対して攻撃を送ってくるっていう、
これをダイレクトパス攻撃とここで呼んでますと。
これは攻撃の当事者、だから被害を受けたところとか、
あるいはそこにDDoS対策タービスを提供しているところとか、
あとは通信事業者とか、
少なくとも何かしらその攻撃の経路上にいるところでないと攻撃がわかんないよっていう感じだよね。
このダイレクトパスにはもう一個ちょっと種類があって、
ダイレクトパスで直接来るんだけど、送信ボトが偽装されているパターンというのがあり得ると。
この場合はちょっと例外で、その攻撃ボトがランダムに普通は射症されてるんで、
戻りのパケットが出たらめなところに飛んできますと。
それがいわゆるバックスキャッターっていう感じで、いろんなところに観測されますよっていうので、
これはこの論文ではネットワークテレスコープって呼ばれてるんだけど、
一般的にはいわゆるダークネット観測っていう方が一般的かもしれないけど、
例えば日本だとNICTなんかがニクターっていうダークネットの観測システムを持ってるけども、
ああいうところで使ってない未使用のアドレスを観測してると、
時々いろんなところから跳ね返りのパケットが飛んでくるので、
それを見るとどこかが攻撃されてるなっていうのが見えますよと。
ダイレクトパスっていうのは一応送信ボトの殺傷を知っている知ってないで一応2つあるけども、
一応大きくこれで1種類と。
それからもう1個の種類っていうのがリフレクションアンプリフィケーションアタックってやつで、
いわゆる踏み台を使ったその戻りのパケットを使った攻撃ってやつだよね。
反射系のやつですね。
有名なやつで言うとDNSアンプ攻撃とか、こういうのは今でもよく使われるけども、
こういう反射系のやつっていうのは当事者以外にもそのいわゆる踏み台となるサービスをHoneypotで用意しておくと、
そこは攻撃者が踏み台として使う可能性があるので、
そうするとそのHoneypotのデータを観測していると攻撃状況が見えますよという感じで、
国内だと有名なやつは横国大が提供しているアンプポットってやつが、
今回の論文でもそのデータ使われてるんだけど、
研究の結果と考察
そういうのがあるんでそこで見えますよねと。
そういう感じで今言ったその大きく2つ、細かく分ければ3種類の攻撃についてこの人たちは分析をしていて、
今言ったみたいにその直接攻撃の経路上で観測できる人、
例えばリードスの攻撃と対策サービスを提供しているベンダーだったり、
あと今言った2番目に言った査証されたパケットの場合にはダークネットで観測できる場合があったり、
あと最後の3番目の場合にはHoneypotを運用しているところだったらそこで攻撃を観測できる場合がありますよということで、
今言ったその3パターンの観測のデータっていうのをいろいろ集めてきて、大学でそういうのを運用してますとか、
あとは民間のそういう対策サービスからデータを提供してもらうとか、
4年分のデータを彼らは集めてきて、それを細かく分析をしましたってことだよね。
いろいろデータによって偏りがあったり、例えば攻撃の観測の条件なんかも多少違うんで、
そういうのをできるだけ慣らして、同じように見えるように分析をしてみて、
そしたらさすがに傾向って見えるよねというのをやってみたんだけど、
結果はどうだったかっていうと、細かいところは結構長い論文なので、僕も全部読めてないけど、
論文の内容とかあとブログの記事を見てもらいたいんだけど、一言で言っちゃうと攻撃傾向は割とバラバラだったんだよね。
大きな流れで言うと、今言ったダイレクトパスの攻撃は全体的に増加傾向にあるように見えて、
リフレクションの攻撃、踏み台を使う攻撃ってやつは全体的には減っているように見えるんだけど、
ただデータセットによっては逆の傾向を示しているものもあったりとか、
あと4年間のデータの長期的な傾向で見ると、なだらかに減っているとか増えているとかっていうふうに傾向が見えているようでいて、
そこは一致しているんだけど、細かく見ると短期的なピークがどこにあるかっていうところが全然バラバラだったりとか、
結局たくさんのデータセットを集めてきて分析したんだけども、全体を通して分かるような傾向っていうのが実はなくて、
結構バラバラだったってことが分かりましたと。
じゃあ、なんで同じリードス攻撃という脅威を観測しているはずなのに、こんなバラバラになるんだよっていう。
それがちゃんと解決しないと、結局さっき言った全体的な状況っていうのは見えてこないよねということで、
その辺もちゃんと分析してくれてるんだけど、これも簡単にまとめちゃうと、さっき言った観測の場所とか方法が違っていて、
結局その見えている攻撃っていうのは全体の一部なんだよね。
僕も普段やってるからそういうのはよく分かるんだけど、
彼らがすごいのはそういうのを全体的にちゃんと調べて、
例えばある大学の観測地点で見えた攻撃っていうのが他では見えてないとか、
ある場所で見えているものは他でも結構重複が見られているとかっていうのを結構細かく分析してて、
確かにその似たような攻撃方法を観測する場所、
例えば同じようなハニーポット同士であれば、なんかデータが似てるねとかっていうのがあったりするんだけど、
観測方法が違うと全然違う種類の攻撃を観測したりとかっていうことは結構あって、
結局言えるのはそのどのデータセットを取ってもそれぞれに限界があって、
見えているものが全体の一部であるってことなんだよね。
なので今回の研究者みたいに全体をMORRISのデータセットをちゃんと集めて分析をしてみるっていうことを、
DDoS攻撃と情報共有の課題
すごく手間のかかることをやってみないと全体は見えないし、
しかも全体見えたと思っても結局データごとにバラバラっていうことが分かるだけなんで、
これじゃダメだよねっていうのは課題提起をしているというかそういう感じで、
だからこのブログのタイトルは、だからこそ協力が必要だよねっていうことを強くアピールしていて、
例えばアカデミアの人たちとか対策サービスを提供している民間の人たちとか、
そういう人たちがもっともっと協力しろよお互いにと、そういうようなことを言っていて、
確かになっていう、何か振り落ちたっていうか、
普段感じてたことをちゃんとデータとして提示してもらったんで納得できたなっていうか、
そういうのと、あと結局DDoS攻撃っていうのは攻撃としてはメジャーだというか、
よく知られているけども、あんまり全体像が把握されていないっていうところが、
こういうところに理由があるのかなっていうか、難しいなっていうのをちょっと感じましたね。
これは国内でもこういうことはもっとちゃんとやっていかなきゃいけないというか、議論されたほうがいいなっていう気がしますね。
なんかそのDDoS攻撃のこういう技術的な情報共有っていうのは、
スルースキームがどれぐらい有効的に動いているかわからないですけど、あるにもあるじゃないですか。
でもね、自己対応アワード僕らやってるけど、
いろんなレポートだったりリリースだったりを見てるけど、中にはDDoSのものとかもあったりするじゃないですか。
でもね、DDoSが最も言い過ぎかもしれないんですけど、
DDoSを受けて表彰したってなくないですか。
今まで?確かにないね。
そうなんですよ。
ないしさ、これも被害組織によるけど、そもそもDDoS攻撃って言ってるところ自体がそんなに多くないよね。
確かにそれもありますよね。
今回はね、別に主な話としては取り上げてないですけど、
年末年始にあったような、大量のデータ喪失を受けてみたいなやつあったでしょ。
ああいうのでも、そのリリースを見てもやっぱり詳細に出してるっていうリリースって見かけないですよね。
確かに。
どういう、例えばL3なのかL7なのかちょっとわかんないですけど、
そういうどういうのが来て、どれぐらいの量が来て、どれぐらいの時間継続してみたいなものが、
つまびらかに出されている、我々が表彰しようと思うようなレポートが出てきにくい事故ジャンルかなって思ってるんですよ。
そうね、それはでもあれだね、国内に限らないね。
そうですか、やっぱり。
海外も、海外で時々ちゃんとしたの見ることはないけど、
全般的に被害を受けたところが詳細な被害状況を明らかにするっていうのはあんまり見たことなくて、
大体その事業者だよね。対策サービスを提供している事業者とかが顧客名は伏せて詳しく述べるとか、
そういうパターンがほとんどじゃない?
そう、せやからね、リリースを見て、うちは大丈夫か問題に対処するのが最も難しいジャンルなんじゃないかと。
いや、それはまさしくおっしゃる通り。
過去にさ、例えばハクティビスト系、ついさんとかも結構詳しく調べられてるけど、
よく日本もハクティビストに狙われるキャンペーンとかあるけどさ、
あれもハクティビストなんで、こういう攻撃やったぜって自分たちで言ってくれてるから、
こういうところが攻撃を受けましたみたいなのは出ることはあるけど、
じゃあ実際にどういう攻撃だったの?っていう詳細が出るってことはほとんどないよね。
たぶんない。むしろ攻撃者もよくわかってへんと思いますしね。
それはありえるよね。
こういうのって共有するにしても、自分たちの対応力も見えてしまうから出しにくいっていうのもあるのかなと思うんですね。
これぐらいで来たら落ちるシステムなんやっていうのがわかってしまうっていうのもあるから、
それから出しにくいっていうのがあるからこそ、間取り持って共有するような仕組みが進まないといけないジャンルなんかな、
今のネギさんの話を聞いてても思いましたね。
あと攻撃を受けるところっていうのは結構頻繁に受けるところがあってさ、
これは業界とか業種とか組織の規模とかわかんないけど、いろいろ種類によると思うんだけど、
よく受けるところはそれなりに知見がたまっていて、
対策もちゃんといろいろベンダーとかに協力してもらってやったりとかしてて、やってるんだけど、
そういうのがないところは全然何も知らんのよね、多分。
ほぼ事業者任せだったり、あるいは自分たちがやらなくても何かしてもらえると思って勘違いしてたり、
いざ攻撃を受けてみると何もできないみたいな。
そういうところはまだまだ多い気がする。
そういう意味で確かに杖さんが言うみたいに被害の公表も進んでないし、
あんまりそういう非対称なところが非常に大きいかもしれないね。
やってるところとやってないところの差が激しいというか。
確かにそれはいろんな、一言では言えないけど、
一つの要因としては今回の記事で取り上げたみたいな、透明性のある情報共有が進んでないというか、
というのはあるかもしれないね。それはちょっと耳の痛い問題ですね。
そうなんですよね。そういうところも能動的にやっていっていただきたい!
そうね。でもこれ何とかしないと、今回のいろいろ一連の攻撃があって被害を受けたとかもあるし、
CVE脆弱性の増加傾向
まあ被害を受けてないとかも多分あるだろうけど、
こういうのはやっぱり繰り返しされてると、もうちょっと何とかしたいなという気がするよね。
そうですね。
そういうののきっかけになればいいなというか、正面からこういう共有が必要ですよってちゃんと論じていて、
しかもきっちりデータの分析をして根拠もちゃんと示してるし、
そういうのはなんか久しぶりに見たなって感じなんで、
ぜひ興味ある人は、論文の方は長くて僕も全部読めてないけど、
ブログの記事は短めなんで、ぜひ読んでください。
なかなか出てきそうで出てこない話なんでね。
そうですね。
はい、ありがとうございます。
じゃあ最後はかんごさんです。お願いします。
今日私はですね、年末もなんか脆弱性の話取り上げてた気がするんですけども、
懲りずに年始も脆弱性の話題をちょっと取り上げさせていただきたいんですが、
何を取り上げるかというと、CVEが裁判されている脆弱性2024年どうだったのかっていう話についてでして、
しかも2023年の状況を去年のたぶん似たようなタイミングで取り上げさせていただいて、
JDガンブリンさんっていうシスコのスレッドリサーチをやられている方がブログで公開をされておられてですね、
今年も非常にありがたいことにそちら2024年版を公開されておられましたので、
そちらの内容を取り上げさせていただければと、
ご紹介をさせていただければということでお話をさせていただきたいんですけども、
2023年もですね、めちゃめちゃ数が多かったって話題をしたんですが、
2024年どうだったかというと、同じ感想になってしまうんですけど、
めちゃめちゃめちゃ多かったっていう、めちゃくちゃ増える感じですかね、減る要因がなくて、
確か昨年にまさにこのガンブリンさんが、2024年こんぐらいになるかなみたいな件数で、
3万2千6百件みたいな予想してたんですよ、予測として。
2024年がどうだったかというと、もう全然予想外れまくっていて、
4万件をちょっと超えている大幅に。
なんか年の途中でそのくらいに行きそうな感じは予感はあったよね。
脆弱性の具体的な分析
そうですね。
4万の大台をついに超えたというところで、
2023年が2万9千件ちょっといかないくらいだったので、増加率で言うと38%以上というところではありまして、
いやもう本当に2020年比で2023年が15%増加だったので、増加率も増えてるし、
件数も圧倒的に増えてるしというところで、
かなり、件数だけで見ると尋常じゃないという表現が本当に適切なぐらい脆弱性の報告、
これは報告の件数なので、報告されている件数が非常に増えているというところではありまして、
単純平均でいくと1日あたりで108件脆弱性の情報、CVに裁判されているレコードというのが増えているというところではあるんですが、
一番多かったのは、デイリーでは824件というのが5月3日にあったんですね。
考えられへん。1日で?考えられへんわ。そんなことある?
1ヶ月じゃなくて1日で824件新規に裁判されたというところではあってですね、
本当にこれ脆弱性情報を全部取り味していこうってなった時に、
1日で824とかが来た時にこれ果たして全部見切れるのかというような状況が、
昨年やっぱりNVDのデータベース分析待ち遅延問題というのがまさに現在化しちゃってましたけど、
本当にああいうところに余波が行っている状況なのかなというところがあってですね、
これは件数はよ落ち着いてほしいなというところではあるんですが、
なかなか厳しい状況は2023年、2024年というところでずっと続いてしまっている状況というところではあって、
実際月別の報告、そのCVの件数見ていっても、まさにこのガンブリンさんがグラフにされていたんですが、
2021年からその2024年まで一度たりとも下回ることがないというんですかね、件数ベースでいくと。
なので、このペースが2025年も続いていくとなると本当にごまんはないとは思うんですけど、
いくんちゃいます?これ。
本当にね、そんなことも起きかねないというような状況になってきてですね、
さっきも言ったようなトリアージとか分析とかその辺を立場からするとかなり厳しい状況だなと、
で、はよ何とかならんかなというところではあるんですが、中身見ていくとCWEっていうその共通脆弱性識別情報というんですかね、
脆弱性タイプを割り当てられているその情報で見ていくとCWEの79というところで、
これはクロスサイトスクリプティングの脆弱性なんですが、これがやっぱり2020年も一番多いというところで6227件ですね。
ちなみに2023年は4474件だったので2000件近く増えているんですが、これがトップというところでして、
ちょっと気になるところはついでとしては未裁判というんですかね、割り当てがされていないものっていうのが、
同じような件数として6292件というところで、先ほどのクロスサイトスクリプティングと同じような件数というのが全体を占めて
全体の15%ですかね、全体の15%、15%合わせて30%を占めているというところで、これは2023年から変わらずこの状況というところではあるんですが、
ちょっとこの未裁判というのがNVDの脆弱性分析マチとかその辺に絡んでいるかどうかというところはちょっと何ともわからないんですけども、
未裁判の件数というのも総じてそれなりの数が含まれているというような状況ではあるんですが、
あとはその気になるところとしてはCVSSのスコア値ですね、こちらについては2023年と比べると少しスコア的に言うと低くなったというんですかね、
6.67がスコアの平均だったと、2020年ですね、一方でフルスコアというんですかね、基本値で、いずれも基本値なんですけども、
脆弱性の現状分析
10.0がつくものですかね、全部フラグが立っているようなものといったものに関しては2023年は36件だったんですが、
2024年は231件ということで、かなり数的には10.0がついたものは2023年比でいくと結構増えているというような状況ではありました。
目にするもので言うとそんなに10.0、10.0というのはそんなに目立ってたかなという印象はそんなにないんですけども、件数だけで言うとそれなりの数というのが2020年は結構数としてはあったというところですね。
ちょっとガンブリンさんの記事とは書かれている内容から話題は逸れるんですけど、気になる関連している動きとしてKEV、アメリカのCISAがカタログとして取りまとめられているKEVの2024年の状況というのもちょっと見ていくと、
2024年にそのKEVに追加された、これ実際に悪用が確認されたCVが裁判されている脆弱性に該当するものについては、これは186件ということで、これはそんなに増えてない状況かなと思うんですが、
さっき4万件って言ったんですけど、その4万件のうちこの186件というところについては、これかなり低い割合になると思うんですけど、これを探し出すというか、実際に見つけたり対応していったりっていうのを見ていくというふうに踏まえると、
効率的な作業なのかなというのはちょっと気になってくるかなというところではある一方で、さっき4万件のうちクロスサイトスクリプティングに該当しているものが6000件を占めていて、すごい多いという話、一番多いという話をしたんですが、
KVに関しては、そんな偏りっていうのは大きくはないんですけど、一番多かったのは、ちょっと数字が近いんですが、CWEの78ということで、これはOSコマンドインジェクションの脆弱性ですね。こちらが一番多いというところで、クロスサイトスクリプティングは5件はあったんですけども、突出して多いという状況にはないので、
この辺は少し全体のCVEが裁判されて、全体の母数として見たときのCWEの分布と、実際に悪用がされているものの分布で見ていったときのギャップというか差はあるなと。
まだまだこの状況続いていくのかなというのは何度も言ってるんですが、この辺の脆弱性の動きとかウォッチとかされている方は結構苦しい状況だなというところ。
ちなみにNVDの状況については、昨年の夏ぐらいに本気出して解決するわみたいな話も出てた。
体制とかを拡充とかをしてしっかりやってきますってお話しされていたかなという記憶がうっすらあるんですけど、現状分析待ちになっているCVEのものっていうのがどれぐらいあるかというと、
これはまだ21640件が。
いやもう本気とかじゃないよもう。
これは解消する日が来るのかぐらいな感じの結構ひどい状況ではあるので、そういった状況も踏まえながらこの辺の脆弱性の情報であるとか、
実際自分たち自身がトリアージュするという立場に立った時のその判断のところにはやっぱりちょっと見ていく必要があるポイントになってくるかなっていう。
これ2025年も変わらずというところでした。
そうね、なんか状況は良くはなってないっすな。
そうですね。
良くはなってないし、まあこの辺の話題はさ、結構何年も前から僕らセミナーで取り上げたりなんだり、ここのポートキャストでも取り上げたりとかしてるけど、
KEVが出たりとか、参考になる指標がいろいろ出てきたりだとか、良くなりつつある面もないわけじゃないけど、まだどれも決定打には欠けるし、
結局その脆弱性管理を個々の組織で工夫してやっていくしかないっていう状況はあんまり変わってない感じですよね。
ですね。
一方で、KEVに乗る乗らないはともかく致命的なっていうか、悪用されるものっていうのはやっぱりあって、実際に被害も発生してたり標的型攻撃で使われたりとかっていう、
そういう実害っていう意味でもあんまり良くはなってない感じだから、辛いねこれは。
数のインパクト、4万件はすごいインパクトあるけどさ、実際のところは自分たちに影響するものっていう観点で言えばそこまではないとはいえ、取り上げの負担はやっぱり大きくなってるよね。
脆弱性管理の課題
そうですね。
以前に比べればね、やっぱり使う製品とかシステムソフトウェアも複雑で増えてるし、さっき話に出たみたいなソフトウェアサプライチェーン的なのもあったりとかして、
本当に。
どこに何使われてて、どこが影響を受けるかって、ちゃんと把握できてますかっていうのも問題だしね、なかなか難しいですね。
一方でどうなんだろうね、この辺はちゃんと分析してみると分かんないけど、あえてプラス面に目を向けるとすると、たくさん見つかって改善されてるとも言えるわけで、ソフトウェアの品質が良くなってるのかなっていう。
確かに。これ4万件ってどうなんですか、ちゃんと全部修正されてるんですかね。
そこは気にはなりますよね。
今までは見過ごされたものがちゃんと報告されて修正されてるから数が増えてるんだったら、品質が良くなってる証拠だよねとも言えなくもない。
そうですね。
だから贅沢性の数は増えてるんだけど品質が良くなっていって、結果その悪用が減っていく未来であれば、必ずしもこの件数が増えることは別にマイナスじゃないんだよね。
そうですね。
どんどん増えても別に問題はなくて、ただ全部対処されてます、だったらすごい優秀です、いいですねってなる話なんで。
だから単純に僕らはそんなに気にせずパッチを当てるっていうことをできるだけ自動化するとか省力化すると良いわけなんで、必ずしも悲観的な未来だけじゃないと思うんだけど、現状そういう気はあんましないんで。
確かにそうか。NVDに掲載する情報、詳細書いたりとかあるじゃないですか、リンク先とかね。ああいうのを積み残しをどんどん処理していってても、結局それまでにもうみんな対処終わってるっていうのもあり得るもんね。
そうそうそう、そうなってけばね。ただほら、一方さ、去年だっけそのポッドキャストで話したのかな?だと思うんだけど、かんこさんが取り上げたみたいにさ、本当に必要な情報が掲載されてるのか問題ってのがあるじゃない。
ああ、その被害を受けてるかどうかをチェックするにはとか、例えば?
そうそうそう、例えばね。だからそういう情報がちゃんと行き渡っていれば、仮に数が増えても対処ができますっていう未来もあり得ると思うんだけど、そっちもあんまり今んとこ明るい感じじゃないんで。
ああ、件数はあんまりかんましくなかったんですね。
そうですね、結構厳しい状況でしたもんね。
全然良くなってないって話だったじゃない。
何パーセントやったっけ?めっちゃ少なかったですよね。
すごい少なくて。
だったよね、だからまだそういう意味では全体的にそういうちょっと努力が必要な感じはあそるよね。
そうですね。
そういうちょっと危機感を持った方がいいかもしれないね、これはね。
そうですね、これに依存せずにっていうところも大事だなって思いますね。
そうだね。
はい、わかりました。ありがとうございます。
はい。
はい、ということで今日も3つのセキュリティのお話をしてきたので、最後にお勧めのアレでございますけれども、
今日僕が紹介するのは新年も何も考えなく紹介するんですけど、
はい、いいよ。
フルーツ紹介する。
いいですね。前もあったよね、フルーツ紹介する。
あったあった。今回はですね、メロゴールドっていう。知ってる?
何の種類?知らない知らない。
知らない。これはね、グレープフルーツとポメロ。いわゆる分担ですね。
あ、掛け合わせってこと?
そう、掛け合わせた柑橘系の食べ物なんですよ。
知らない。食べたことないかもしれない。
スーパーに売ってたんですよ。何これ?って言って結構でかいんですよ。
へー。
それこそどれくらいっていうか、グレープフルーツもまあまあ大きいでしょ?
うん。
でもグレープフルーツよりも全然でかいんですよ。
あ、そうなんだ。
これ、びっくりするでかさですね。
かなりでかい。
初めて見たからびっくりするかも。手のひらサイズですよね。
狂気に使えるくらいかも。
だいたい400から650グラムって調べたら買えてたけど。
へー、結構大きいね。
そうそうそう。
こんなの売ってる?スーパーに。見たことないの?
売ってる売ってる。売ってるよ。
Amazonでも買えるよ。
Amazonでは買わないと思うんだけど。
一応Amazon調べとこうと思って売ってた。
味は?どんな味なの?
味はね、グレープフルーツってどっちかっていうと苦味みたいなのあるでしょ?
苦味、酸っぱみを感じることもあるね。
甘味というよりはどっちかっていうとね。
幼き頃の僕はグレープフルーツに砂糖をかけて食ってましたからね。
あー、俺も俺も。子供の頃は砂糖かけてた。
でもね、その苦味とかも結構なくて。
酸味もそこまで強くなくて、まろやかな甘さみたいな。
じゃあそういう品種になってんだ。
どっちかというとすっきりした感じって言えばいいのかな。
へー。
口直しのデザートにぴったりみたいな感じですわ。
ちょっとでかいのと皮が分厚いのでね、がっつり切らんとあかんっていうのもありますけど。
あれだね、メロゴールドを使ったスイーツとかあったら美味しいかもね。
確かに確かに。濃いめのヨーグルトとかに合いそう。
結構色々調べると薄皮もちゃんと剥がして食べた方が美味しいとかって言ってる人もいたりとか。
メロゴールドを探しにスーパーに行こうとするとなかなか出会えないかもしれないですけど、あんまりメジャーじゃない感じしません?
もしかしたら俺も口にしたことあるかもしれないけど、記憶にないので食べたことないかもしれない。
もしかしたら食べても何やったかっていうメロゴールドやったっていうのもわからんかもしれないですね。
この品種って昔からあるの?
結構前からあるっぽいですよ。
そうなんだ。全然知らないかもしれない。
僕も全然知らなかったんですよ、存在を。
たまたま見かけたってことね。
そうそうそうそう。
なんでね、ちょっと試してみてもいい?やっぱりAmazonでね。
なんでAmazon押したんだよ、そこで。
Amazonじゃなくてもいいけど、届くの早いなっていう。
ほんまやったらヨドバシで売ってたらヨドバシで買えないですけどね。
Amazonじゃなくても、生鮮食品系のデリバリーのサービスって色々あるから、そういうの使えばあるかもね。
確かに確かに。
ちょっと変わった感じに、夏場ヘアどうしても暑くなるでしょ?
そういう時にご飯食べた後にすっきりするのにええんちゃうかなと思って。
あとグレープフルーツの苦さ酸っぱさが苦手な人はいいかもね。
そうそうそうそう。
そういう人ももし見かけたりとかして興味があったらお試しいただければと思います。
メロゴールドの紹介
はい。
はい、じゃあそんな感じでまた次回のお楽しみです。バイバイ。
バイバーイ。
