1. セキュリティのアレ
  2. 第125回 今回までは、ゆくアレ..
2022-03-15 56:31

第125回 今回までは、ゆくアレ!スペシャル

Tweet【関連記事】 ・About twitter.com supported browsers ・Russ[...]

The post 第125回 今回までは、ゆくアレ!スペシャル first appeared on podcast - #セキュリティのアレ.

00:01
暖かくなってきましたね。 It's getting warmer.
先週ぐらいだっけ?なんか、あ、先週じゃないか。 It was last week, wasn't it? I think it was last week.
風が強い日があって、春一番が吹きましたみたいな。 There was a strong wind that day, and the first day of spring was blowing.
春一番ね。 Yeah, the first day of spring.
そのあたりからちょいちょい暖かい日が。 It's getting a little warmer around that time.
もうなんか20度ぐらいとかね。 It's about 20 degrees now.
朝晩はまだちょっと寒いけどね。 But it's still a little cold in the morning.
人によったら厳しい季節ですよ。外に寝るのが。 It's a tough season for some people. Sleeping outside.
あ、花粉? Oh, pollen?
僕は花粉症ないです。 I don't have pollen.
ちょっと秋口ぐらいになってくると豚草がちょっと怪しいかなぐらいな。 It's a little suspicious when autumn comes.
ついさんはいつも豚草、豚草言ってるのだけ覚えてる。 I always remember Tsui-san saying pig grass, pig grass.
豚草っていう響きが好きだっていうのもあるんですよね。 I like the sound of pig grass.
ついさんは豚草なんですよ。 Tsui-san is pig grass.
俺は全然ないよ、花粉症。 I don't have pollen at all.
私もないです。 I don't have it either.
最強のお三方じゃないですかね。 You're the strongest of the three.
花粉が飛んでいようが全然いけますよ、本当に。 I don't care if I get pollen.
いけますよってどこに行くねんって言われてるでしょ。 Where are you going to go?
そらそーとはネギスさんのツイートでこのポッドキャストがもうちょっとだけ続きますって書いてましたね。 You tweeted that this podcast will continue for a little longer.
あれ何?亀仙人のやつですか? What is that? Is it from Kamesennin?
なんかそんな昔あったよね。 It was a long time ago, wasn't it?
ちょっと思い出してさ。 I just remembered it.
この間のタイトル見た時におめでたいけど終わりそうな雰囲気があったかな。 When I saw the title the other day, I thought it was a happy ending.
最終回みたいなね。 It's like the final episode.
終わるのかなみたいな。 It's like the final episode.
あれ?これはそういうフラグなの?と思って。 Is this a flag like that? I thought.
なんかね、父にありがとう、母にさようなら、全てのチルドデンにおめでとうみたいな。 It's like, thank you to my father, goodbye to my mother, congratulations to all Children.
終わっちゃいそうなんよね。 It's about to end.
感じはちょっとありましたよね。 I felt that way.
ツイートする時に終わっちゃいそうだなと思って。 I thought it was going to end when I tweeted it.
いやいや、まだまだ終わんないよっていう。 No, it's not over yet.
それを言うとそこから2倍3倍やらなあかんからね。 You have to do it two or three times from there.
そうなんだよね。 That's right.
最低でも500回くらいまではやらないと。 You have to do it at least 500 times.
そこからが長いんだよね。 It's a long way from there.
ある意味スタートラインっていうのもね。 In a sense, it's a starting line.
そうです。シーズン4がスタートしたんで。 That's right. Season 4 has started.
海外のドラマなんてシーズン10なんぼとか20なんぼとかありますからね。 There are more than 10 or 20 overseas dramas.
それだけでも人気だから続くだけでしょ。 That's just because it's popular.
我々もそういう感じでいきたいですね。 We want to do that too.
そうですよ。リスナー3人しかいないんで、10人目指して頑張っていこうって言ってね。 That's right. There are only 3 listeners, so let's aim for 10 people and do our best.
いつからリスナー3人って言い始めたのね。 When did you start saying 3 listeners?
元ネタがよく分かってないです。 I don't know the original story.
3人くらいの気持ちでやりましょうみたいなところから来てるんですよ。 I think it came from the feeling of 3 people.
最初っから言ってるよね、それね。 You've been saying that from the beginning, haven't you?
前回のやつを受けて告知しましたよ。 I announced it last time.
ありがとうございます。 Thank you very much.
3月15日の火曜日を、このアレを振り返るような感じというか。 On Tuesday, March 15th, I'm going to look back on this.
行くアレ、来るアレ。 The past, the future.
ネーミング最高だね。 You have the best naming sense.
03:01
最高のネーミングセンスしてますよ。 I have the best naming sense.
誰があんなタイトルつけたの? Who gave you that title?
誰だろうね、アレ。 I don't know.
この収録というかエピソードを公開するときには、まだやってないと思うんだけど。 I don't think I've done it yet, so please listen to it on Tuesday night.
せっかく今回受賞記念ということもあるんだけど。 I know it's a celebration, but
今回のきっかけに知ってくれた人とか、これまで長いこと聞いてくれた人とか、どちらにも楽しんでいただけるように、これまでの軽く振り返りつつ、リスナーからもしあれば当日質問聞いたり、要望なんか聞いたりして、今後に向けた抱負なんかを考えてみたりする。
ずっと雑談してるわけじゃないということですね。
ちゃんと行くアレと来るアレに分けつつね、話をして。 リスナーの人も、「へー、そうだったんだ。」みたいな。
僕らも覚えてるかどうか怪しい。 私もほとんどわからない気がします。
僕ら自身も楽しい内容にしましょうね。
お便りに行こうかなと思うんですけど、お便りにもあったんですが、スペースって30日間アーカイブできるじゃないですか。
前はできなかったけど、去年ぐらいからできるようになった。
ふとできるようになってたので、前回僕と看護さんでやったときは特にアーカイブとかしなかったんで、今回はせっかくなんで聞き漏らした人とかね。
せっかく記念配信って言ってるしね、単なる雑談だと別にアーカイブするまでもないかなっていう感じだけど、今回は残してもいいんじゃない。
残してもって言うけど、30日以内に聞かないと消えるんだよね。
消えちゃうってことですね。
本当に行くアレになってしまう。
ああ、なるほど。
当日の夜聞けない都合が合わないっていう人は1ヶ月以内に聞けるでしょ。
聞いていただければ。
ぜひいいかなと思います。
お便りなんですが、意外と炭酸せんべい知っている人いましたよ。
それはだって関西では有名なんでしょ。
でもローカルだと思ってなかったっていう人が多かったです。
炭酸せんべいそのものは知ってたけどと。
あまりにもメジャーすぎて、全国だと思ってたと。
全然一度も聞いたこともないし、目にしたこともないよ僕は。
私も全く一緒で。
自分の知っているものは全国かと思ってしまうんですよ。
あるあるだよね。
僕は小学校ぐらいまで関西弁が標準語だと思ってましたからね。
でも周り全員関西弁だったらそうなるよね。
標準語っていうのがあるって学ぶまでわからなかった。
テレビで聞こえてくることも関西ローカルの番組も多いから。
そうかそうか確かに。
06:01
どっちが標準語かっていう概念がなかったからね。
逆に関西ほど大きくない地方圏っていうか、
全国の放送とか普通標準語で喋ってるから、
自分たちの使ってる方言との違いって多分意識しやすいのかもしれないけど。
関西だと逆にそれが意識しにくいかもしれないね。
そうなんですよ。
面白い。
意外といたなってことと。
あとはこれはご新規さんって言えばいいんですかね。
最新話プラス後順で新しいものから順番に聞いて100まで聞き終わりました。
素晴らしい。
もうそのまま一番で聞いてくれ。
すごいですよねこれ。
ずっと流してたってことですよ。
1週間ぐらいでしょ。
1回1時間だから結構だよね。
今125回目だっけ?
これが125?
だから20何時間聞いたわけだ。
すごいな。
ありがとうございます。
ちょうどロシアウクライナの話題あたりでスポーティファイの障害で落ちたので、
このポッドキャストはどこかに監視されているんじゃないか説を決めておきます。
そういえば先週あたりスポーティファイ障害あったよね。
そうなんですよ。やばいですよねこれ。
プリズムとかに見られてるかもしれない。
マジか。
何も困らないですよね。
だって聞いてほしくてやってるもん。
でも嬉しいね。
そんな障害もありながらちょっと変更を加えたんで、
iTunesでなかなか反映されないというトラブルが、
配信されないっていうのがあったじゃないですか。iTunesだけ。
Appleポッドキャストも。
なんだろうね。ちょっと困るよね。
それに対して辻さんが新しいパソコン買ったからちゃうかって言ってる人いましたね。
何なんですか。デスブログみたいなやつってこと?
じゃああれかな。Apple信者の俺が代わりにやったらいけるのかな。
いけるかもしれないですね。
どんなテクノロジーやねんそれ。
まああればAppleそういうとこあるからな。
何なんですか。Appleそういうとこあるって友達?
そう。あるんよ。
割とダッチ感ありますよね。
ちょっとある。許してあげて。
ティムとマサって呼び合う仲なの?
悪気はないよ。悪気はないの。
悪気はない。
すごいよね。エピソードだけ配信されたアートワークだけ変わらんっていうね。
なんだろうなあれ。
固くなさを感じたな。
ひょっとしたらそのうち治るかもしれないけど。
気長にというか。
そんな中、テクニカルなやつをずっとチェックしてくれてたんですかね。
オニオンシェアの話をツイートしてくれてる方がいらっしゃいました。
懐かしい。だいぶ前に紹介したよな。
それで実際に使ってみたっていう方と同じ方だと思うんですけど。
オニオンシェア2.5を久しぶりに試したら、
09:04
Linuxではスナップやフラットパックで簡単に導入できて、
チャットでは日本語もAndroidとはブラウザーでも使えるようになっていました。
だいぶ進化してるね。
ちゃんと使って報告をいただけてるっていう。
こういうのもいいですよね。
そんなお便りが来ておりましたということでございます。
ありがとうございます。
そろそろ本編いきますか。
前回誰だったか覚えてないけど、
ネギさんにしようかな。
TOAの話したし。
確かにオニオンシェアを紹介したのは俺だもんな。
ちょうどいい流れであれですけど、
今日はTOAの話しようかなと思ってて。
今日紹介したい話は、
Twitterが最近TOAのオニオンサービスに対応したっていうニュースが。
してた。
今まで対応してなかったの?逆にびっくりした。
それにびっくりした。
多分そっちでびっくりしたっていうのがあるかもしれないんだけど、
その話題を紹介したいなと思うんですけど。
TOAのエンタープライズオニオンツールキットっていう、
ウェブサイトをオニオンサービスに対応するためのツールキットを開発している人がいて、
この人がつぶやいてたんだけど、
私がTwitterをお手伝いしましたみたいな。
かっこいいな。
結構このツール、いろんなサイトで使われてて、
標準的な感じで使われてるんだけど、
なんでこのタイミングでTwitterが今さらっていうか、
オニオンサービスに対応したのかっていうと、
実はその前振りがあって、
その1週間ぐらい前に、
ロシアの規制当局が、
Twitter消しからんのでアクセスを制限しますという発表をして、
実はその前にFacebookもアクセスを制限しますと発表してるんだけど、
一応それを受けてということで、
だったらこっちはオニオンサービスやっちゃうもんねみたいな、
そんな感じのやり取りがあって、
なんでロシアがロシアの国内からTwitterとかFacebookを制限しますって言ってるかというと、
それでも前振りがあって、
実は先月からのウクライナ情勢で、
結構そういうソーシャルメディアがロシアの国営のメディアとかの内容を規制したりだとか、
これは真実じゃないかもしれないとか、
注意するようにみたいなことをユーザーに気づかせたりだとか、
いろいろやってるんだよね、プラットフォーム上で。
それが気に入らないのでロシアはけしからんと言って、
アクセスを制限すると言って、それに対してじゃあという感じで、
お互いにちょっとやり合ってると。
そういう感じの流れがあって、今回のオニオンサービスの提供という感じですね。
12:06
これ聞いた人ね、驚いてる人ももしかしたらいるかもしれないけど、
ロシアって実はもともとたくさんのサイト、ウェブサイトへのアクセスをもともと結構制限していて、
そういう規制をかいくぐる人を許さない、回避できないようにということで、
VPNとかそういうのもブロックしたりだとか、
そういう意味ではアグレッシブに国内で制限をしている国の一つなんだよね、ロシアってね。
そういう国いくつかありますよね。
例えばそういう国ってどんなのがあるかっていうと、
フリーダムハウスっていう団体が毎年毎年フリーダムオンザネットっていうレポートを毎年出してて、
これは色んな国を調査して、その国がどれくらいネットが自由に使えるかとか、
規制があるかないかとか、あと権利の侵害があるかないかとかっていうのをスコアリングしてランキングしてるんだよね。
ありますよね、報道の自由とかそういうのもありますもんね、そういった類のやつですよね。
そういうのの一つでネットの自由っていうのを調査している団体があるんだけど、
そこで去年の最新のレポートを見ると、ロシアは100点満点中で30点なんだよね。
落雷点で、最下位は中国の10点なんだけど。
10点?
最下位、ひどい点数で、例えば日本とかアメリカとかは80点ぐらいあって、
自由っていうのに対して、ロシアとか中国はネットが自由ではないっていう風に、
一応そういう格付けになっている、そんな国なんだよね。
なので、いろいろ規制がもともとあるんで、そんなに珍しくはないなという感じなんだけど、
今までも一応規制はしてて、ただそんなにきつくはなかったのを、
今回はさらに強化したとかっていう感じらしいんだけど、
とはいえいろいろ報告を見ていると、あくまでも自分でも試してみたんだけど、
VPNとかを使ってね。完全にブロックされている感じでもなくて、
プロバイダーによってブロックしたりしてなかったりっていう感じで、
ちょっと待ち待ちみたいな感じ。今のところ。
そういう状況になっていますと。
TwitterがTOAのオニオンサービス提供したわけだし、
じゃあみんなTOAでアクセスすればいいの?っていうと、
実はそうでもなくて、
こっからTOAの話に少し入るんだけど、
去年の12月から実はロシアはTOAのブロッキングも始めてて、
TOAはこのポートキャストを聞いているあれ勢の人たちは、
当然TOAブラウザーを毎日使っていると思うんだけど、
毎日使ってるでしょうね。
毎日使うよね。
毎日使いますよ。
使えますよね。
そうですね。
みんな使っていると思うので、仕組みは詳しく知っていると思うんだけど、
ガードとミドルとエグジットという3つのリレーを経由して、
アクセスをして匿名性を高める仕組みなんだけど、
その途中を経由するリレーのアドレス自体は公開されているんだよね。
15:03
なのでブロックしたいと思ったら、
公開されているTOAのリレーのリストのIPアドレス、
これ変わるけども、それをブロックしちゃえば止められるんだよね。
はい。
ロシアはどうもIPベースのブロッキングを12月から始めたようだと。
という報告が上がっていて、
TOAのプロジェクトも詳しく調べていて、
確かにブロッキングしていますねと言っているのね。
ちなみに、ロシアってどのくらいTOAが使われているかって、
2人とも知っている?
どのくらいっていうのは?ユーザー数?
ユーザーがロシアはどのくらいいるかって知っている?
はっくしたことないですね。
オーダーがピンと来るんだ。
じゃあ世界中で国別で見たら多い方か少ない方かって言われたら、
まあでも規制がある国だから、
多いんじゃない?
そう。多いんだよね。実はね。
実はすごく多くて、
元々ロシアって、
去年の12月の制限される前までは、
TOAってザックリだけど、
1日に全世界で200万人くらいが使っているんだよ。
1日あたり。デイリーユーザーでね。
で、そのうちの30万人くらいがロシアで、
まあまあまあ、ボリュームゾーン。
で、50万人くらいがアメリカで、これが1位なんだけど、
ロシアは2位なのよ。国別で見ると。
ものすごいヘビーユーザーなわけ、ロシアは。
で、それがただし、ブロックが始まってグググッと減っちゃって、
今はだいたい1日15万ユーザーくらいなんだけど、
それでもアメリカドイツに次いで3位なのね、国別で見ると。
だからまあすごくその世界的に見ると、
TOAをよく使っている国の一つなんだね。
で、まあでもそのIPベースでブロッキングされちゃったんで、
アクセスできない人とかもいるから、まぁちょっと減っちゃったと。
ただ代わりに、これもTOAの仕組み知っている人はよく知っていると思うんだけど、
ブリッジっていう仕組みがあるじゃない。
リストとして公開されていないTOAのリレーがあって、
それをブリッジって言うんだけども、
これを使うと簡単にブロックできないので、
結構その検閲されている国でも使われる方法なんだけど、
ブリッジを使っているユーザーは、ロシアはだから、
去年の末からグググッと増えてて、
こっちは今まで1万人くらいだったのがロシアの中で、
今4万人くらいの人がブリッジ経由でアクセスしていて、
トータルすると15万と4万で20万人くらいの人が大体毎日、
ロシアからTOAを使ってネットを見ていると。
こんな感じだねということになってて、
それだけなんだろうね、もともと多かったのもあるけど、
今のこういう情勢で、
正しい情報がやっぱりロシア国内だと得られないのか、
そういうメディアの統制が結構厳しいのか規制があるのか分からないけど、
それなりの人がこういうブラウザを使って、
ブロックされない状態の外のメディアを見ていると言っていいのかなという感じで、
18:05
そんな状況が今ロシアでは行われているようということですね。
どっちが多いんですかね、スマートフォンでTOAを使っている人とパソコンでTOAを使っている人。
どうだろうね、スマホでも一応使えるけどさ、若干使いにくいよね。
ちょっと使いにくいですね。
まあやっぱり、それはごめん調べていないというか、もしかしたらメトリックスであるかもしれないけど。
そこまで世界2位で、しかもアメリカよりもブロッキングされているところでというと、
1位なわけだ、実質。
そうなんだよね。
使わないといけないと迫っている度合いで言うとアメリカよりも上なわけですよね。
先ほどの点数で言うと。
そこまでなってくると、やっぱりスマホとかも多いのかなとか、ちょっと気になったんですよね。
一応iPhoneでもAndroidでも、オニオンブラウザというかTOAブラウザに代わるものというか、
TOA経由でアクセスできるアプリとか仕組みはあるから、
それを使っている人もいるかもしれないけどね。
PCの方が多い気もするけど、わかんないな、そこは。
用途にもよるでしょうしね。
しっかりしたことをするってなったらやっぱりパソコンの方が多いかもしれないですしね。
そうだね。
そんな感じで、TOAを提供する人もいるし、ブロックしようとする人もいるし、
頑張って使おうとする人もいるし、みたいな感じで。
こういう時よくありますよね、逃走とする人と止めようとする人のイタチごっこみたいな。
そうなんだよね。どっちかが何かやると、どっちかがまたそれを回避してとかさ、
またさらにそれの上を行ってみたいなね、そういう感じになるなっていうか。
ただ、TOAの今のブリッジの仕組みって結構よくできてて、
簡単にその通信見てもTOAの通信ってわかんないようにいろいろ採掘してあるし、
あとさっき言ったみたいに公開されていないIPアドレスを、
アドレスを毎回買いでつなぐってこともできるし、
そんな簡単にブロックできないんで、
そういう意味ではね、本気出して買いくぐろうと思ったらできちゃうから、
それこそ本当に遮断するとかね。
そうですよね、インターネット遮断みたいな。
実際そういうのもね、ロシアはいろいろ考えてるらしいから、
まあそういうのが国単位で。
北朝鮮は結構さ、そういう意味ではネット遮断して使ってる国だけど。
もともとそうですよね。
それでそんなに影響出ないような規模かもしれないけど、
ロシアぐらいになるとなぁ、なんか遮断したら影響、
自国による影響の方が大きい気がするけど。
いきなりはかなり影響が大きいですよね。
前々からね、そういうのをいろいろ計画してやってるみたいだし、
整備はしてるんだと思うんだけど、
実際やったらどうなるかわかんないね。
そうですね。
21:00
あり得るかもしれないですけどね、今進めてるみたいですからね。
そうだね。
ありがとうございます。僕はもうツイッターに繋いだだけで満足してました。
自分のアカウントを開いて。
あんまり必要性ないのに使わないほうがいいかなと思って。
僕らはね、そう考えてあれだよね。
僕らは普段、規制とかブロックとかとは丸い意味無縁というか。
日本に住んでるとね。
気にせずに暮らしてるけど、そういうのが日常の人たちには大変だよね。
そうですね。本当に。
なんか家のインターネットが重いなぁと思ったら、
ずっとロシア経由で繋いでたことにこの間気づきまして。
VPNで?
ずっとVPNあったから。
サーバーが落ちてるのか、ブロックされてるだけなのかを確認するためにやったままになっててね。
えらい遅いわと思って。
VPNあるあるだよね。
忘れちゃう時ありますよね。
Wi-Fiルートは買い替えたろうかなと思って。
全然違うかったっていうやつでしたけどね。
ありがとうございます。
じゃあ次はカンゴさんお願いします。
私はですね、今週3月の10日にクロームのセキュリティチームが記事を1個公開されてまして、
クローム周りでエクスプロイトが増えてますねっていうのは、
昨年も話したような記憶があるんですけど、
今回はクロームのセキュリティチームも、
Google Chromeのエクスプロイトを取り巻く現状みたいな形で、
総括っていうのかな、
そういったところを少し整理した情報っていうのが記事に出されていたので、
それを紹介したいんですけども、
クロームのエクスプロイトって、
去年とかだとしょっちゅうゼロデーが出てるねみたいな話を目聞きしていたわけなんですけども、
もうちょっと前の、それこそ2015年とか、
本当その時代の時って、
クロームそのものにエクスプロイトが見つかって、
さらにゼロデーで悪用されてるっていうのは、
本当になくて、強固というか、
非常にセキュアなブラウザーで安心して使えるねみたいな、
そんな感じではあって、
それが少し変わってきたのが2019年かな、
にゼロデーで悪用されている脆弱性が確認されたという形で、
報告であったりっていうのが出てきているわけで、
そこから徐々に徐々に増えてきてるんです。
徐々にというか件数がどんどん増えてるんですけども、
件数で言うと2019年が、
プロジェクトゼロの方が把握している件数で言うと、
2019年が2件、2020年が8件、2021年が14件と。
24:02
今年はもう1件、ゼロデーの脆弱性修正されましたね先日。
という感じで、エクスプロイトが実際に悪用されている状態というのが出てきているという、
そういうところがある中で、
それが何で数が増えているのかというところを、
噛み砕いた内容というのが4つ理由がありますというのが、
その記事の中で説明をされており、
1個目としては、
Chromeのコードって基本オープンリポジトリ上で開発されており、
バグであったらバグという形で、
ちゃんと公開された状態で修正をされるわけなので、
要はこっそり修正って当然できないわけで、
透明性が担保されていると、
そういう状態なので、
だからこそ実際の数字としてそれが形状されているというのが1つあるのと、
あともう1個は、
時代の流れじゃないんですけども、
攻撃者がやはりフォーカスしている先というのが、
Chromeに向くようになってきている現状があると。
少し前は、やはりプラグインというか、
AdobeのFlashプレイヤーを使ってドライバーでダウンロードで実行させるような、
そういったFlashの脆弱性というのは非常に人気で、
ExploitKitとかでも多く使われていたと思うんですけども、
そちらが非推奨になって、
基本もう今Flashで動くサイトって、
メジャーなサイトだとほぼほぼないんじゃないかなとは思うんですけども、
使われなくなって、
攻撃者が次、矛先として見るのはどこかというと、
Chromeに目が向きがちだと。
あと、Edgeと呼ばれている、マイクロソフトが開発している、
いわゆるWindowsの標準と言っていいですかね、
いわゆるブラウザー、MSのブラウザーというとEdgeがあるんですけども、
あちらもChromiumベースの実装がされるようになって、
なんで、例えばChromeで見つかった脆弱性が、
そのままMSのEdge側に同じように影響が及ぶと、
そういった現状にはなっているので、
1個見つかれば応用が非常に効くと。
幅広く、攻撃者側からしたら、
いろんな人にリーチできるというところからも、
フォーカスされやすい状態になっているのかなと。
ここまでは、なるほどと思ったんですけど、
3つ目は、確かにと思ったのは、
さっきも言った通り、
Chrome自体の実装というのは非常にセキュアな実装になっていて、
一昔前だと、それこそ1個の脆弱性で、
すぐリモートコード実行みたいな状態になることはあったわけですけども、
最近の、それこそChromeの実装なんかというのは、
1個の脆弱性だけでそういった攻略をするというのは、
27:03
やはり難しくなってきているので、
悪用するにしても、
複数の脆弱性を組み合わせるというのが、
オーソドックスというか、
今の攻撃のやり口になっているということではあるので、
当然その複数の脆弱性を使う必要があるということは、
悪用が発生すれば当然その分だけ数が増えてしまうというところもあり、
確かにそれはなるほどなぁと、
少なくとも2つのバグはやっぱり必要になってくるので、
そういう意味でも、
今まで1件で済んでいたのが、
ミニマム2件であれば当然2倍の数というのが、
数自体は増えてきているので、
当然そうだろうなというふうに思ったところと、
最後4つ目はですね、
これは当然そうなんですけど、
やはりソフトウェアにはバグは付きものだろう、
だというところをGoogle自身も説明をしていて、
当然バグの中には今説明したようなエクスプロイトとして
悪用できるものがあり、
特にその中身が複雑になればなるほど、
そういったバグは生まれやすいという現状ではあるので、
そういった複雑さというのが1つ起因しているところもあるという、
こういった4つの理由というところを、
Chromeのエクスプロイトが増えてきている1つの背景だというふうに
説明を記事の中でされていました。
最後の4つ目はもう誰もが発展していくソフトウェアは
誰もが通っていく道みたいな感じですね。
そこからまた枯れていくみたいな感じですかね。
そうですそうです。
Google側がやっぱり懸念しているというのは、
ゼロデーというのは、
修正前の脆弱性が悪用されてしまうような
そういった状況を指す言葉として使われているんですけども、
パッチが公開をされて、
それを適用するまでの期間と言っていいんですかね。
それがNDAという形で表現されているんですが、
その期間に起こり得る攻撃のリフクというのを
Google側もやっぱり懸念はしているというところがあり、
リリースサイクルを早めたりとか、
そういった手をGoogle側もずっと手を打って、
Chromeの76については35日間かかっていた
そのリリースサイクルが、
今だと平均で18日ということで、
半分ぐらいになっているというところではあり、
そういったリリースがどんどん進められていくことで、
バグであったり、さらに言うと、
さっき言った脆弱性であったりというのが修正される
タイミングがどんどん増えていくので、
そういう意味では非常によろしい状態になってきているのかな
というところと、
あとはこれは最後締めのところで書かれていたのですけれども、
簡単に勝つというのはもはや難しい状態ですというところも、
簡単に勝つ
30:00
簡単な手はないという意味だと思うんですけれども、
いろんな手を2手3手という形で対策として進めていく中で、
単純にセキュリティだけを高めていっても、
例えばそれが結果的にパフォーマンスの部分に影響が及んでしまうと
よろしくないというところの、
そういったトレードオフとかも出てくるというところもあり、
なのでそこら辺に関してはバランスを見て対応しつつ、
なかなか簡単にはいかないというような形の書きぶりがされているので、
最後にどういった対応というか、問題に対して私たちができるかということに関しては
取り分けということで、
Chromeの更新通知がされた場合は更新を行ってくださいという、
そういった書き方がされていました。
取り分け。
取り分けに。
それは言わないようにしてたんですけど。
全員が思っているのに、
言っておかないとね。
絶対これ突っ込まれるやつだから。
なかったらまたフルしてるっていう。
絶対言われるから。
最近はリスナー厳しいからね。
厳しい厳しい。
油断できないですから、我々も。
でもこれあれだね、
Chromeはやっぱり何だろうな、
昔のインターネットエクスプローラーと似たようなというか、
シェアが高くなりすぎてるっていうかさ。
そうですよね。
使ってらっしゃらない方がいないんじゃないかっていうくらい。
そうそう。
存在感が大きくなりすぎてるのもあって、
狙われるのは狙われるし。
ただ、
さっきのカンゴさんの説明にもあったように、
非常に開発プロセスは透明性が高いし、
修正能力も高いし、
開発プロセスは透明性が高いし、
修正が出るまでの期間が短くなってるとか、
決してソフトウェアの品質が悪くなってて、
攻撃が増えてるわけではなくて、
むしろ高くなってるんだけど、
攻撃側も手を緩めてなくて、
攻撃が見つかってるっていう状況で、
それがあってもちゃんと可視化されてるっていうのは、
悪い状況ではないかなっていう。
そうですね。
そういう見方だよね、多分ね。
穴が見つかったとしても、
ちゃんと自分たちで最小限に留めるっていう努力を
し続けてくれてるわけですからね。
だから比較的、
そういう点でもChromeは、
確かにExploitとか出たり、
ゼロデーだとかって言われることはあって、
またかと思うけども、
ただ使う側からすると、
素早く修正してくれてるし、
安心して使える感じはするけどね。
そうですね。
自動で更新される仕組みも、
早いしね。
ゼロデーとは言っても、
実際に広く広まる前には、
大体パッチは当てられる状況になっているので、
標的型で、
33:01
本当にゼロデーでピンポイントで狙われるってやつは、
防げないかもしれないんだけど、
その後の一般のユーザーが、
ひどく被害を受けるような状況になるかっていうと、
そこまでは、
きちんとアップデートしてればならないかなっていう。
おっしゃる通りかと。
特にね、ちゃんと毎回毎回、
OSを立ち上げ直したり、ブラウザーを立ち上げ直したり、
してれば、それだけで対策されてるわけですからね、
裏で。
そうですね。
でもほら、前に辻さんだっけ、何回言ってたさ、
赤くなるんです、最後。
そう、赤くなって、ずっと赤くなってたまま使い続けるとかっていう人がいたら、
これはちょっとダメだけどね。
たまに何かこう、
そういうパソコンの画面が映ってる配信とかやってる人とか、
たまに何かオレンジ色なってる人とか、
見かけたりしますけど。
そういうのがちょっとやめてほしいというか。
だから、これはね、
ちょっとGoogleの人聞いてないかな、これ。
なんで?
アップデートボタン採用してくれへんかな?
何か言ってたね、何だっけ?
アップデートのボタンのところが、
だんだん精神的ブラクラみたいな、
怖い奴らに変わるんですよ。
鬼みたいな。
絶対採用されないですよ。
それは無理だよね。
絶対こんなん出てたら嫌や、みたいなやつにすれば、
みんなやると思うんですよ。
確かにね、分かるけど。
あかんかな。
それをやって効果が上がったのって言ったら、
すごいことじゃないですかね。
あれブラウザーですよ。
そうそう。
ちなみに、
今紹介した話からずれちゃうんですけど、
この記事中に、
プロジェクトゼロの方が追跡をされている
ゼロデイバグリストっていうのが、
Googleのスプレッドシート上で、
公開をされておりまして、
以前から、
CISAが公開してる、
Non-Exploited Vulnerability Catalogみたいな、
ああいった情報みたいな感じで一つ、
参考にできるのかなと思ったので、
はいはいはい。
見ていただいてもいいのかなと。
いいですね。
クロームの脆弱性だけに限らず、
Microsoftとか、
iOSとか、
結構いろんな、
メジャーなですね、
メジャーな製品のゼロデイバグ、
ゼロデイのエクスプロイトが確認されたものっていうのが、
リストで整理されているので、
見ていただくと参考になるかなと。
はいはいはいはい。
それは小ノートにリンクか何かを入れておいてって感じですかね。
そうですね。
わかりました。
ありがとうございます。
じゃあ最後は僕なんですけれども、
今日はランサムネタを、
ちょっと小さいのを二つ紹介させていただきたいなと思っていまして、
一つはですね、
もうこのポッドキャストでも紹介したランサムギャングの、
ランサムウェアの名前なんですけど、
プロメテウスっていうのが、
ちょっと勢いちょっとあったんですか、
みたいなことを言った気がするんですよ。
はいはい。
勢いというのは、
僕が監視する対象、
記録対象にしたんですよね、
みたいな話をしてて、
それのデクリプターが、
36:00
何回目かのデクリプターなんですけど、
アバストから出たんですよね。
デクリプターって何かっていうと、
ランサムウェアに感染してしまったけれども、
お金を払わなくても、
元に戻すことができる方法が、
サードパーティーで出てきたりとか、
もしくは、
これやめるわって、
ランサムギャングが言い出して、
どんなファイルでも元に戻すことができる、
いわゆるマスターキーを公開するパターン、
みたいなものがあったりするんですけれども、
これ、僕結構過去にも何個か試してるんですよね。
Mazeとか、
セクメトとかに対応してるものもあれば、
古くは、
VVVウィルスとかあったじゃないですか。
懐かしいですね。
あれも最初、元に戻す方法。
ちょっと結構ややこしいやり方だったんですけど、
デクリプターによって、
必要とされる情報っていうのは違うんですよね。
元に戻すために、
これとこれとこれが要ります、
みたいな。
前提が違うんですね。
そうそう。
もし、聞いてるリスナーの方が、
感染することはあっては、
欲しくないですけれども、
もし感染してしまった時に、
お金を払わないという風になった時に、
デクリプターに頼らないといけないことも、
あるかもしれないので、
その時の備えとして、
こういうパターンが今まで僕、
遭遇しましたみたいなのを、
紹介しようかなと思いまして。
なるほど。
一つは、何も考えずに、
暗号化されたファイルさえあればいいパターン。
が一つ目。
もう一つは、
そのファイルに加えて、
ランサムノートが必要なパターン。
感染した時に、
何が起きたの?
何が起きたのかとか、
ここでビットコイン買えよとか、
テキストファイルが多いですけど、
それが必要。
その中に書いてある、
ユニークなキーが必要になってくる場合があるんですよね。
あとはこれは、
一瞬聞いたら、
身も蓋もない、
暗号化されたファイルと、
その暗号化されたファイルの、
元のオリジナルデータが必要な場合があるんですよ。
え、それがあんねんやったら、
大丈夫やんけって、
みんな思うかもしれないですけど、
そうじゃなくて、
暗号化されるファイルっていうのは、
セーブとか、
ビットマップとかも含まれてるので、
どのOSでも同じファイルが入ってたりするじゃないですか。
例えば、壁紙とか。
それがあれば、
キーを割り出す、
ブルートボックスみたいなことをして、
キーを割り出して、
他のファイルにも適用すれば、
元に戻せるよっていうふうなものがあるんですよ。
全部のファイルが必要なわけじゃなくて、
どれか一つってことだね。
なるほど。
大体この3つのパターンが多いかなっていうとこなんですよね。
あとは、一丁気をつけなあかんやつは、
バージョンとかによって、
拡張子が変わるタイプがあるんですよね。
例えば、VVVやったやつが、
YYYとかに変わるとかね。
同じランサムウェアファミリーなんですけど、
ちょっと仕様が異なるとか、
いう場合があるんですけど、
僕は過去にそれを遭遇したやつで、
あなたが感染したやつの拡張子どれですかって、
選ぶところを違うやつにやって、
39:00
ポチッと押してしまうと、
二度と元に戻されへんようになるっていうのが、
あるんで。
それはチェックして、
止めてほしいよね。
そういうやつも中にはあったりとか、
ちゃんとした言い方はあるんですけども、
商用のソフトウェアを開発している会社ばっかりが、
こういうのを作るとは限らないですし、
ちょっと融資が、
とりあえずっていう感じで、
作っちゃうパターンもあるので、
こういうこともあり得るっていうことを、
想定しておかないといけないってことですね。
なるほど。
じゃあ、バックアップが必要だな。
そうそう。バックアップ難しいですよね。
感染する前のバックアップのほうが大事なんですけども、
本当はね。
感染したやつのバックアップ、
バックアップも必要だし、
まず戻すときには、
少量のファイルで、
1個とか、1個とか2個とか、
ちょっとしたフォルダの中とかだけっていうのを、
1回やってみるっていう。
長くかけると時間もったいないから、
それをやってからっていうふうなものが大事なんですよね。
なんで、今ほら、
暗号化されたファイルのバックアップがいるって、
ネギスさん言ってくれましたけど、
ランサムウェア対策の一つとして、
被害をできるだけ最小限に抑えるために、
バックアップ取ろうみたいなのが、
一つの対策として、
言われると思うんですけど、
これはもう強く言いたいのは、
最近結構、逮捕されたりとか、
逃げちゃったりとか、
みたいなものが多くて、
キーが出てくる場合も、
まあまああると。
なので、被害に遭ってしまったときでも、
元に戻せる可能性が残されてるんで、
元のファイルを戻すためのバックアップも大事ですけど、
被害に遭ったときに、
その暗号化されたファイル、
元に戻せる日が来るかもしれないので、
こっちのファイルも残しておく。
残しておくときには、
一つの対策として、
もし感染することがあった場合には、
そういったバックアップも
一つアプローチとしてあるんじゃないかなと思って、
紹介させていただきました。
確かに。
それ結構ね、時間空いてから出てくることあるもんね。
そうそう。
1ヶ月、2ヶ月とか、
忘れた頃にとかもあります。
1年ぐらい空いてとかもありますからね。
あるある。
エグレゴールとかもそうでしたね。
そうそうそう。
そういうものもあるというようなことが、
一つ目の。
意外と盲点かもしれないですね。
あんまり言われてない。
インシデント対応でバックアップを取るっていう。
そうそうそう。
事前のスナイパー、ついさんがおっしゃった通り、
本当にそうなんですけど。
あんまりないからちょっと、
僕結構言うけど改めて言っときたいなと思って。
気をつけるポイントとセットで話したこと多分ないから。
確かに確かに。
ちょっと言っとこうと思ってね。
一つ目の話題として紹介させていただきました。
もう一個なんですけど、
これ前回かな、
市販機レポート。
ちょっと金額が大きくなってきて、
ミノシロキンの要求の金額が大きくなってきてるよねみたいな話ちょっと触れたんですけど、
後半に一つだけ紹介しておきたかったことを、
紹介しきれなかったものがあったので、
それはたくさん書かれたレポートの中の攻撃を、
42:00
ランサムウェアの攻撃者が攻撃するときに使う一番一般的な初期侵入ベクター。
何からやってくるかっていう攻撃の初手って言えばいいのかな。
これは依然として多いのはリモートデスクトップとメールなんですよね。
そこは全然変わらないね。
これランサム全般の話なので、
二重脅迫だけではないので、
EメールとRDPがずっとEメールが増えたらRDPの割合が減ってみたいな、
ずっとクロスしていく感じなんですよ。
でもちょっとずつRDP特になんですけど、
ぐんぐん減っていってるんですよ。
例えば、上がったり下がったりしてるんですけども、
長い目で見ると2019年のQ4、第4クォーターが55%の割合を占めてたんですね。
他にRDP、Eメール、ソフトウェア、Otherってあるんですけど、
それのうちの半分以上RDPが占めてたんですよ。
それが2021年の末の第4クォーターには30%ほどに落ちてると。
で、メールも同じスパンで見ると微増なんですよ。
25%が30%ほどに増えてるんですね。
ということは他が増えてるんだ。
そう。その増えてるものが何かっていうのは、
さっき言った4つの中の1つしかないんですけども、
脆弱性利用がグイグイと増えてきてるんですよ。
なるほど。
これ2019年の時のさっき言った同じ幅だったら、
10%だったものが今20%ぐらいに増えてるんですよ。
ちょっと嫌な感じかなっていうところがあって。
この理由っていうのがレポートにも書かれてあるんですけども、
そういった侵入する方法、エクスプロイトに焦点を当てて、
アプライアンスとかソフトウェアに特化した分業体制の攻撃者。
ランサムのリクルーティングとかでもペンテザーが欲しいとか、
っていうふうなやつがあるって話をしたことあると思うんですけども。
ありましたね。
そういった人たちが増えてきてたりとか、
分業、専業化がますます進んできているんじゃないかなと。
あと、攻撃者も増えて、この仕組み自体が、エコシステムっていうのかわかんないですけど、
こういう仕組み自体が成長、成熟してきている証拠なのかなっていう気はしていますね。
なるほど。あとでも、タイミング的に、
ランサムウェアのアクターも悪用しやすい形で、
こう、ひどく使える贅沢性がたまたま出ると増えるっていう可能性もあるんですね。
そうですね。簡単に利用できるようなやつとか、かなりクリティカルなものとかね。
単純なものとかね。
そうそう。例えばだけど、この間のログフォーシェルみたいなやつとか、
あれは結構ランサムウェアのアクターだったり、クリプトマイニングのアクターだったり、
なんかいろんな人たちが、あと標的型の人たちも使ったとか。
そうですね。
誰でも使えるような感じだったからさ。
例えばああいうようなやつが一個バーンと出ると、
その時だけググッとそういうのが増えるっていうことはあるかもしれないよね。
45:00
そうですね。さっきのChromeみたいにユーザーが多いっていうのが一つの条件でしょうしね。
使われるっていうのはね。
でもその全般的な傾向として、たまたまその時に増えたっていうのはあるかもしれないけど、
それとは別にというか、全体的に長い目で1年、2年っていうスパンで、
やっぱりそういう増減があるっていうのは、やっぱりちょっと注意が必要だよね。
ネギさん言ったように、この時のタイミングでグッと増えた、グッと増えたみたいなものが、
たまたま見つかったっていうのもあるかもしれないですけど、
長らく使われているものに積み重なって積み上げられていってるっていうふうにも考えられるのかなと思ってて。
例えば今回そのレポートの中に書いてあった、
悪用された上位3つの脆弱性っていうのが紹介されてるんですよ。
1位、2位がプロクシーなんとかですね。プロクシーしてるとプロクシーログオン。
エクスチェンジのやつね。
第3位が40OSなんですよ。
だいぶ古いやつだ。
2018-1379なんですね。
未だに出てくるんだね、それ。
これはでも看護さんとかよく言うけど、
脆弱性を利用されてた可能性も加味した対策をしないといけないっていうふうじゃないですか。
なるほど、なるほど。
脆弱性を使われて、認証情報を取られててパッチ当てて納得してたら、
これ脆弱性利用され続けるわけです。
認証を使われ続けるわけじゃないですか。
そうですね。
こういうのがずっと2018年のやつから薄くあって、
新しいのが追加されていって増えてるように見えてるのかもしれないなっていうのはちょっと思いましたね。
なるほど、なるほど。
だからこういう脆弱性をどういうふうにウォッチして、
どういうふうに見ていけば付き合っていけばいいのかっていうのは、
ちょうど今ITメディアのセキュリティウィーク春っていうのがやっててですね。
アーカイブ配信が、え?
こないだ講演してたやつだ、3人で。
それだー、なんかどっかで聞いたことある。
なんか途中からちょっとどっかで聞いたことあるような話がなってきたでしょ。
なんとなく窪域が怪しいなみたいな。
そうですね。
もし事前に申し込んでて、忘れてたっていう人がいたら見ていただければいいかなっていう。
あれですね、今ふと思ったけど、セミナーで話した内容をちょっと忘れた頃にここでも触れるっていうのもいいかもしれないですね。
確かにね。
見れなくなったり聞けなくなったりするっていうのがあるからな。
結構いいこと言ってるからね、僕らね。
結構ね、ちょっと全部DVDに焼いて壊りたいなぐらいの。
そこまでは言ってない。
言ってない。
そんな感じの2つのランサムネタをちょっと紹介させていただきました。
ありがとうございます。
海外に限らず国内でやっぱり感染事例もいろいろ目にする機会が多くなってきているというか。
やっぱり気をつけないと。
そうですね。しかもリークが出てしまうとかなり取り出される可能性も高いので。
そうだね。なんかそういうのは最近やっぱり目にするし。
48:03
そうそうそうそう。
改めて気を引き締めていきましょうということでございます。
ということで今日はセキュリティの話3つしたので、最後におすすめのあれのコーナーなんですけれども。
今日はちょっと趣向を変えまして、リスナーのあれでございます。
え?どういうこと?
リスナーに紹介いただいたおすすめのあれを紹介してみようと思います。
なるほどなるほど。すごいいいなあ。
そういうことですか。
たまたまこれもいつか紹介してくださいっていうふうにツイートしてくださった方のこれっていうやつが僕知ってるもんだったんで。
前回と似たような毛色になってしまうんですが、関西の会社のお菓子なんですけど。
はいはいはい。
これは結構百均とかに売ってたりするんで。
知ってるかもしれないですね。
知ってるかもしれないです。
満月ぽん。
知らない。
満月ですよ満月ね。
満月でカタカナでぽん。
初めて聞きました。
ぽん菓子って聞いたことない?
ぽん菓子って圧力かけてポンってさして米とか膨らましたりする和製ポップコーンみたいなやつをぽん菓子って言ったりするんですけど。
それはわかるけど満月ぽんはわかんない。
うそ。
えー知らない。
こんなお菓子百均で売ってるんですか?
なんかでも今ちょっと調べたんだけどさ、このパッケージはなんか見覚えがある。
あります?
でもごめんちょっとわかんない。
これも大阪の名物品ですか?
そうなんですよ。大阪の松岡製菓という会社が作ってるんですけども、松岡製菓は満月ぽんしか作ってないんですよ。
すごくないですか?
それだけでやってるの?
そう。
例えば全く同じもの1個ってわけではないですよもちろん。小分けになってるものとか大きいサイズ味が濃いやつとかギフト用とか色々バリエーションはあるんですけど基本は満月ぽんなんですよ。
そこはブレずに。
ずっと満月ぽんを昭和57年から作ってる。
すごい昔からやってるな。
そうなんですよ。
で、袋に製造者って書いてあるところが松岡力大丸って書いてあるんですよ。
これ有名で初代の立ち上げた人の名前なんですよ。
力大丸。めっちゃ強そうでしょ。
元々は僕も調べて知ってたんですけど飴とかも作ってたらしいんですけど知り合いと一緒に。
別の菓子会社をやってて。
で、このぽん菓子の作り方っていうのを聞いてこの会社を立ち上げたんです。
それが今もずっと続いてるってことはこれはすごいヒットして売れてるわけだ。
51:04
ずっとヒットしてるんですよ。
ごめんちょっと知らないというか食べたことない。
醤油味ですね。
今ウェブサイト見たら色んな味っていうか種類があるんだね。
チョコが入ったりとか。
僕もすごいですよね。松岡製菓のドメインが満月ぽんCOJPなんですよ。
もうそっちがメインって感じだね。
ウェブサイト初めてちゃんと見たんですけどすごいですよね。
原材料がこれで砂糖も牛の骨、牛骨使ってないからビーガン対応でもありますみたいな。
時代の流れに合わせてるのかどうかわからないですけど。
これはでも関東圏というか色んなところで手に入りやすいの?売ってるの?
そうですね。さっき言った百均とか。
見たことある?
ありますあります。
地元のスーパーマーケットみたいなところとか。
探そうと思って探せば見つかるのか。
あとAmazonっていうサイトもあるから。
知ってます。
奇遇ですね。
知ってましたか?
通販でお菓子って買ったことないかもな。
嘘?僕お柿とかも買うよ。
あとは柿の種とか。
スーパーとかに行って買うことはあるかもしれないけど、わざわざ通販でお取り寄せとかはしたことないかもしれない。
チョコレートとかクッキーとかもないんですか?
ないな。
えー。
そこまでしないと手に入らないようなものってあんまり買わないかもしれない。
スーパーとかで気軽に手に入るものとかしか買わないかも。
そうですか。
でもちょっとおいしそうだね、これ。
炭酸せんべいに続きね。ちょっと毛色が違うというか。こちらしょっぱいめの。甘じょっぱいみたいな。
ついさんはこの満月ポンもよく召し上がるんですか?
満月ポンはたまにしか食べないです。
でもたまに食べるんだ。
でも実家に帰ったらあるわ、絶対あるわ。
あー、そういう感じなんだ。
うちの母親が好きで買ってて、送ってきよるときもあるんですよ。
じゃあこれは子供の頃から慣れ親しんだ味なわけだ。
満月ポンはそういうことだ。僕も子供のときは顔丸顔やったんで、満月ポンみたいな顔しやがってって言われてました。
知らんがな。
自分の子供捕まえて満月ポンみたいな顔しやがってって、どういうこと?お前が産んだんやろ?って思いますけどね。
あれはなんやったんだ。
嬉しい表現なのかもしれないですね。
嬉しいのか、言いたいだけなのかよくわからないんですけど。満月ポンみたいな。
でもこのうさぎのキャラクターもちょっとかわいいね。
そうですね。ポンちゃんでしたっけ?
なんかかわいい。このトートバッグとかちょっとかわいい。
トートバッグ?そんなのあるんですか?グッズ?
54:02
うん、グッズ。これかわいい。これお買い物バッグでちょうどいいな。
エコバッグ的な。
風呂敷みたいなのもあるんや。
お菓子よりもこっちのほうが欲しいな。
そんな本末転倒なこと言ってあげないでくださいよ。
グッズかわいいこれ。
まずポン。
確かにまずポンね。
普通のポンね。
手軽に手に入るなら探してみよう。
これ複数の甘辛醤油とか濃い味とか黒蜜とかもあるんですよね。
黒蜜の甘辛とか塩味っていう、もともとほんまこっちちゃうんかぐらいスタンダードな感じがするやつの変わり種パターンなんですけど。
これはね、多分東京では見たことないな。あんまり見かけない。
満月盆あってもだいたい甘辛醤油ですね。
定番の味ってことね。
うん。90%ぐらいはそうじゃないですか。
とりあえず見かけたらちょっと食べてみようかな。
ゲットしていただいていただいてもいいんじゃないかなということです。
じゃあこれは立永の方もカナカナもお勧めされたと。
そうそうそうそう。
たまたま僕も知ってたからっていうのもあってね。
そういうのも嬉しいよね。
そうですね。
僕らのというか、だいたいお勧めは辻さんだけどさ。
辻さんのお勧めを聞いて、そうやったら自分もこういうのをお勧めしたいとか思ってくれたわけでしょ。
そういうの嬉しいじゃん。
嬉しいですよね。まさにユーザーのリスナーのあれでしたよ。
ここで全部取り上げられないかもしれないけど、そういうお勧めもあればぜひ教えてください。
さすがにね、自分が食べたことなかったら紹介できないですからね。
たぶんね、お勧めされたら全部辻さんが食べるから。
おーまじで。
いいけどさ、1個5万円の桃とかやめてくださいよ。
確かに。
あるからそんな恐ろしい食べ物、世界には。
自分は食べたことないけど辻さんにお勧めだろうみたいなね。
そうそうそう。誰も幸せになれへんやん。
それともね、お待ちしております。
なんなん、そのミイ削り系やったわ。
そうそうそう。ミイ削るの辻さんだからさ。俺削らないから別に。
確かに確かに。僕だけどんどん削れていってんのよ。
そうそうそう。よろしくお願いします。
ということで3つの話とお勧めのあれ、今回はリスナーのあれだったんですが、それを紹介したので今日も今週もこれでおしまいです。じゃあバイバイ。
バイバイ。
56:31

Comments

Scroll