1. セキュリティのアレ
  2. 第194回 アレですよ!アレ!ス..
2023-09-18 59:35

第194回 アレですよ!アレ!スペシャル!

Tweet【関連記事】 ・Security Online Day 2023 秋の陣(2023.09.26‐27[...]

The post 第194回 アレですよ!アレ!スペシャル! first appeared on podcast - #セキュリティのアレ.

Summary

Amazonの不正利用の話題がSNS上で取り上げられ、結果の整理から始まっています。複数の人々がAmazonでの不正利用被害を報告し、被害者たちは技術ブログを通じて情報交換を行っています。被害手口は、ダミー商品を購入した後に大量のAmazonギフトカードが購入されるというもので、被害者は二段階認証を使用していたにもかかわらず不正利用されました。被害の原因はまだ明確ではなく、Amazonは対策をまだ出していない状況です。マイクロソフトからの警告を受けて、イラン国家を背景に持つピーチサンドストームの攻撃キャンペーンが話題となっています。彼らはパスワードスプレー攻撃を使い、数千の組織に侵入を試みていました。初期侵入では脆弱性も悪用され、被害は広範囲に及んでいます。マイクロソフトのレポートによると、攻撃者グループストーム0324(別名:TA543、サングリアテンペスト)が、新たな攻撃経路としてTeams経由のフィッシングを始めたことが指摘されています。マイクロソフトはユーザーに対し、フィッシング攻撃やメール詐欺などのセキュリティリスクへの対策を呼びかけています。特に、フィッシング体制での認証方式の使用や、信頼できる組織を指定する設定の必要性が強調されています。ブログやSNSは人々の情報交換や交流の場となっていますが、アナログ的な方法も魅力的であることに気付くことがあります。

00:00
Speaker 1
SNS上で、アレがバズってるみたいなことすげえ言われるんですけど。
Speaker 3
あれ? 炎上ですか?
Speaker 1
わかんないですけど、なんかトレンドにアレが入ってましたよ、みたいなことをね、
お便りみたいなのをちょいちょい、お便りというか、ハッシュタグ付きで見たりとか。
Speaker 3
へー、ついに、ついにバズることが。
Speaker 1
バズることが来たぞというところで、何かはちょっとわからないんですけどね。
Speaker 2
あれか、アレか。
Speaker 3
アレですね。
Speaker 2
アレさ、このアレでも取り上げたよね、前。
Speaker 1
そうですよ。いろんなグッズが出てるみたいな、コラボして出てるとかね。
Speaker 2
アレアレ言って、何の話かわからないんだけど。
大丈夫ですかね、これ。
昨日ニュースになってましたよね。
Speaker 1
直接、普段会うことのある知人からは言われたのは、商標取っといた方がいいんじゃないですか。
Speaker 2
取れないでしょ、そんな。
Speaker 3
ちょっと厳しそうですよね。
Speaker 1
でも、セキュリティのアレやったら取れんじゃない。
Speaker 2
そこまで入れればね。
Speaker 1
多分、アレだけでは無理ですよね。
Speaker 3
アレは無理だよ。
Speaker 1
いくらジャンルを絞っても、さすがにAREとかで何かの略称ですとかで取れるかもしれへんけど、
カタカナのアレは多分無理ですよね。
Speaker 2
それは無理でしょう。
一般名詞すぎて。
Speaker 1
そう、ウィンドウズだけでは取られへんのと一緒でね。
そういうと一緒で、無理なんやろうなと思いつつも。
そんな盛り上がってて、アレという言葉をね。
やっぱり多分僕らの思ってるのとは違うので騒がれてるんだと思いますけど。
Speaker 2
いやいや、我々もバズらせていきましょう。
Speaker 1
そうですね。
一日にね、社会的に頑張っていこう言うてね。
はい。
なんかあの、ほら前回僕おすすめで宇多田ヒカルさんのを紹介したじゃないですか。
Speaker 2
最近出た新しい曲で。
そうそうそう。
Speaker 1
で、小室哲哉さんのね、面白いエピソードみたいなところで。
Speaker 2
言ってたね。
Speaker 1
で、オートマティックの意味が未だにわからんみたいなことをおっしゃってたっていうエピソードがありましたけれども。
あれをですね、僕が勤めているところの人もアレ勢が結構いるってことが最近わかりまして。
Speaker 2
はい。
Speaker 1
で、打ち合わせ中に実はアレ勢なんですみたいに言われて、この間のオートマティックの件なんですけどっていう風に話しかけられて。
Speaker 3
オートマティックの件、はい。
Speaker 1
そうそうそう。
アレあの件ですねみたいな。
ていうかアレ聞いてるんですねみたいな感じのね。
なんかね、僕も何回も聞いてたのに、歌詞マジマジ見ることもなかなかないじゃないですか。
Speaker 2
まあね。
Speaker 1
歌詞の中にね、あるんですよね。
声を聞けば自動的にサンウィルシャインっていう歌詞が。
Speaker 2
そんなあったっけ?覚えだせない。
Speaker 1
そう。っていうのがあるっていう風に教えていただいて。
まあその好きな人とかね、そういう思い寄せてる方の声を聞いたら、太陽が輝くのが自動的だっていう。
余計わからんようになったなという感じは。
ね、あったんですけど。
そこ、その辺のことを言ってるんじゃないかと。
まあ10代の時に作った曲やし、まあそんなこともあるかみたいに思いながら聞いてたんですけどね。
はい。
でね、あの今日はお便りに行く前に告知あります。
Speaker 2
何でしょうか。
Speaker 3
え、告知。
Speaker 1
たまにはなんかあの、僕らもイベントを出る時の告知とか真面目にした方がいいなってふっと思いまして。
Speaker 3
はい。
Speaker 1
今月の27日ですね。9月の27日の15時50分から16時半まで、これオンラインの配信になりますけれども。
エンタープライズ陣、商営社ですね。でやってるセキュリティオンラインデイっていうのに初めてこの3人が呼んでいただいて喋るという。
Speaker 2
ああそうか確かに。僕らからしたらまああちこち喋ってるけど、そのイベント初めてか3人で出るという。
Speaker 1
そうそう。たぶん商営社のイベントに3人で出るのも初めてじゃないですか。
Speaker 2
そうだっけなあ。まあそうかもしれないね。
Speaker 1
そうそうそうそう。たぶん各々がインタビューとかはあったかもしれないですけど。
それに我々3人が出るということで、今回は脆弱性とか資産の把握みたいなことに、今までお話もしてきてますけどそこにギュッとフォーカスを当ててしていこうかなみたいな。
最適解は何なんだみたいな事例を交えながら喋っていこうみたいなのがあるので、もしお時間が合う方いらっしゃいましたら、9月の27日の15時50分から僕ら喋ってるんでオンラインで見ていただければなと思いますという告知でございました。
Speaker 3
よろしくお願いします。
Speaker 1
ということでお便りが来ております。
はい、お願いします。
Speaker 3
今回かなりいいなって思う。これは絶対に読もうって見た瞬間に思ったやつがありまして。
Speaker 1
たぶんこれ初めての方かな、もしかしたら読むの。
会社の先輩のお勧めで聞き始めたセキュリティのアレ。特にねぎさんの声が好きで、私の中で眼鏡にヒゲを蓄えたダンディな方を妄想して聞いていました。
Speaker 2
ある日先輩がアレの人の写真だよと見せてくれた中に私のイメージ通りのネギスさんがいましたが、その人は徳丸さんでした。失恋のアレっていうお便りをいただいております。
ちょっとちょっとイメージ壊して大変申し訳ないね。
いやでもね、徳丸さんもイケボーだよね。
Speaker 1
確かにそうですね。
Speaker 2
落ち着いたいい声してるよね、あの人のもね。
あのイメージだったと。
Speaker 1
そうですね。眼鏡にヒゲを蓄えたダンディな方。
Speaker 2
もともと知ってる人が聞くんじゃなくて、逆のパターンでポッドキャストから入ってくるってパターンがあるってことだ。
あ、そうですね。
僕らの顔を知らずにっていうことでしょ。だって要するに。
そっかそっか、声だけ聞いたらわかんないもんな。
Speaker 1
いや面白いですね。声からのイメージって、そういうね、なんかこうビジュアルの組み立てというか。
Speaker 3
これを機にヒゲ生やしたらいいんじゃない?
Speaker 2
いやいやそういう問題じゃない。
Speaker 1
こういうふうに言われたからって言うで、ヒゲ伸ばす人それでも全然ダンディちゃうからな。
Speaker 2
いやまあでもあれだね、それをちょっとイメージが違ってて申し訳ないけど。
そういうふうに聞いてくれていいなって思ってくれたらとっても嬉しいですね。
Speaker 1
そうですね。
ありがとうございます。
面白いパターンが入り口もあるなって思いましたね。内容自体も面白かったなっていうことです。
Speaker 3
ありがとうございます。
フィラー言葉と喋り方
Speaker 1
あとですね、何か発言するときにえっとやあのーなどのフィラーが多すぎると聴取が発言内に集中できなくなることがあるそうです。
特についさんとねぎしさんはフィラーがほぼないと思うんですが、やはり意識してなくしているのでしょうか。
私はフィラーが多いので羨ましいです。
Speaker 2
よく聞いてるなぁ。
ついさんどう?
Speaker 1
言わないことはないと思うんですけど、少ないのかな。でも気にしてないですよ僕。
Speaker 2
僕はね、意識してるんだけど、喋るときは。
なんでかというと、意識してるにも関わらず録音したのを聞いたり、セミナーで喋ってる自分の講演を聞くと、まあ結構言ってるんだよね。
できるだけなくしたいと意識はして喋ってるんだけど、なかなか減らしてない。
実は種明かしをすると、このポッドキャストに関してはできるだけ編集で消しています。
Speaker 1
そうなんですね。ありがとうございます。
Speaker 2
なので、実は生で聞くともっといろいろそういうフィラーっていうかね、的なものはたくさん、実は僕もついさんも少ない方だとは思うけど、言ってはいるんだよね。
加護さんも含めてだけど、編集でだいぶ削ってます。
Speaker 1
そういうことなんですね。
Speaker 2
人によって違うと思うんだけど、僕自身が聞いたときに、ちょっと聞きづらいなと思うところがあって、
僕の基準で申し訳ないけど、編集してるあれで、ここら辺は切った方がいいかなみたいなそういうつなぎの言葉みたいなのは極力削ってるんで、
もし少ないなという感じだとしたらそれは編集のマジックですね。
Speaker 1
編集超マジックってことですね。
Speaker 2
実際はそこまででもないね。
Speaker 1
確かにこういうのって新卒で入った頃とかのプレゼンの研修みたいな、こういうの気をつけなさいみたいな言われた記憶あるんですけど、逆のパターンもあって、わざと入れるときがあるな、僕は。
Speaker 2
それもあるかもね。ちょっと間を取りたいとか。
Speaker 1
そうそう。話の間とか、みんなちゃんと聞いてる、今から喋るよみたいな感じで、面白いこと言う前とかね。
Speaker 2
注目させるためのってことですね。
Speaker 1
そうそう。ほら、何でしたっけ、あれねみたいな感じで、わざと言うときはありますけど、意識してるときもあるけど。
Speaker 2
どっちかというと口頭テクニックよね。
かもしれないですね。
大抵の人はさ、自分が喋ったことを後で聞き直すってことがあんまりないから、気づきにくいと思うよ。
僕もこうやって自分で編集してさ、意外と思ってるよりも言ってるなって、毎回思う。言ってないつもりでも結構言ってるなって。
Speaker 1
確かにね。編集が効かないような、それこそさっき告知したようなライブで喋るときは、もうちょっと意識した方がいいかもしれないですね、僕らも。
Speaker 2
その辺はできるだけスムーズにいきたいですけどね。
いやでも、細かいところまで聞いてくれて嬉しいね。
Speaker 1
いや、ありがたい。そうですよね。こういうの自分でも気にしたことあんまりなかったからな。
はい。
ありがとうございます。で、最後のお便りなんですけれども、
パスワード管理機能
Speaker 1
パスワード使い回しの件は、今だとブラウザ側でのパスワード管理機能が便利になっていますが、
アプリ上でのパスワード設定をするシーンも多く、まずはそこがブラウザレベルで自動サジェスト機能が使うと話にならないような気がしますという風にきてましたね。
なるほどね。
パスワードを保存できるとかじゃなくて、使い回しのこととかも普段が触れる方のところにこういうサジェストとか、
こういうのを気にした方がいいですよとか言ってくれるっていうのは一つありかもしれないですね。
Speaker 2
そうね。
元々のブラウザに付属のものもそうだし、ワンパスワードみたいな拡張機能で連携するやつとかもそうだけど、
そもそも登録してパスワードつけるときにサジェストしてくれるっていうのがあったりするからね。
そういうのをうまく活用するってところが第一歩なのかもしれないけどね。
そうですね。
ただ、悪い面というかいい面悪い面あって、ブラウザの機能だとそこからいろいろ漏れる可能性があるっていうのもあるので、
ただそれはその段階に行って考えてもいいのかなというか、まずは使い回しちゃうとか、
お気に入りのパスワードをずっとご承大事に使っちゃうような人は、まずそういうところから変えましょうって言わないと一足飛びには難しいよね。
Speaker 1
その段階を経ていくということですね。
Speaker 2
と思うけどね。
Speaker 1
確かにそうですね。
注意喚起みたいなやつも目に触れるようにさせるっていうことも一つの課題でありますからね、こういうのってね。
Speaker 2
そうですね。
Speaker 1
ありがとうございます。
ということでお便りをいただいた方にはステッカーの印刷コードを差し上げるので、よかったらハッシュタグセキュリティのあれをつけてツイート、今はポストかな。
していただければいいなと思います。よろしくお願いします。
結構シークレットに向けてリーチの人が増えてきてるんですよね。
Speaker 2
そうなの?
Speaker 1
僕の知ってるだけで3人くらいいるんですよ。
Speaker 2
まだでも達成したのは1人だけなんでしょ?
Speaker 1
1人だけ。5種類あるんでね。
Speaker 2
ランダムに出るとは言ってもそのうち達成するよな。
Speaker 1
そうですね。
Speaker 2
じゃあまたその次考えないとね。
Speaker 1
そうですね。本当によろしくお願いします皆さん。
はい、ということで今日もセキュリティのお話をしていこうかなと思うんですけれども、
かんごさんから行きましょう。
Speaker 3
私から行かせていただきます。
Amazonの不正利用
Speaker 3
今日はですね、SNSでもXですかね、Xでも結構話題になってるAmazonの不正利用の話を取り上げさせていただきたいなと思っております。
Speaker 2
よく見かけるよね最近ね。
そうですね。
Speaker 3
最近ですよね、結構見かけることが多くて。
ただちょっと事実の整理から入らせていただくと、
今言った通り国内で9月に、ちょっと私が検索した範囲ではあるんですけども、
9月に入ってからAmazonで不正利用されましたという被害報告っていうのがX上で複数登録されていると、
どういうふうに不正利用されたかっていうのを投稿されている方もおられるんですけども、
内容を見ると、なんか一つダミーなんですかね、ペンとかそういったものを購入されて、
その後大量にAmazonのギフトカードを購入されると。
そういった手口らしいというところが、Xに複数登録されているということで、
ただ気になるところとして、これが何で起きたのかというところについては、
正直分かっている人っていうのが誰もおそらくいないという状況なのかなと。
そういう感じでして、もっと気になるところとして、
被害報告している方の中にはAmazon二段階認証をもちろん対応しているので、
その二段階認証を使っていたんだけども被害に遭ったというふうに報告されている方も、
一人だけではなくて複数いると。
そういう状況ではあるので、なかなか気になるところではあるんですけども、
さっきも言った通り、何でこれが起きているのかというところは分からずというところで、
ITメディアなんかは、このAmazonの不正利用に関して取材をされているという記事が上がってたんですけど、
Amazon側は今のところ、今回の件に関して、例えば注意書き出しているとか、
二段階認証の突破と被害原因
Speaker 3
具体的な手口を確認しているとか、そういった回答はまだされていないと。
そういう現状だそうです。
そういったところではあってですね、
これ何で起きたんだろうなっていうのが多分誰も分かっていないというところで、
例えばセキュリティの専門家っていうんですかね、調べられている人とかを見ても、
結局何で起きているか分からないので、こういうところに注意してくださいとか、
そういった話っていうのがなかなか出しづらいという状況にあるというのが、
なかなか歯がゆいところではあるんですけど、
やっぱり気になるところとして、結構皆さんがSNSで投稿されているのが、
二段階認証が突破されましたっていう言葉を使われて投稿されていらして、
切り取り方というかその捉え方っていうのはいろいろあるかと思うんですけど、
私からするとこの二段階認証の突破って結構、
本当にその言葉だけを見て意味を取ってしまうと非常に重大な事態。
Speaker 1
そうです。根幹を揺るがす感じしますよね。
Speaker 3
もう下手したらサービスひっくり返るぐらいの、それぐらいの大きな意味を持つ言葉かなというところではあるので、
なかなかそれが事実かどうかっていうところが、
私自身としてちょっと受け取りなかなかできてないなっていう状況ではあるんですけども。
Speaker 2
ちょっと疑わしいよな。
Speaker 3
そうなんですよね。だからその突破されたっていうのが、
それをそのまま意味として受け取ってしまうというか、
ちょっとまだ今現状だけを見ると、少し状況を見た方がいいのかなっていうふうには見つつ、
実際投稿されている内容なんかを見ても、
その知人がやられたとか、だそうですとかっていう形で、
Speaker 1
言文形式ですね。よくある。
Speaker 3
ちょっと線度角度が不明瞭な情報も、当然中には流れていたりするので、
もう少し落ち着いて、被害に上がれた方からすると、
なんでやられたんだっていうのはやっぱり一番気になるところでは当然あると思っていて、
調べてみたらこんな情報があったっていうことで、
すぐそれを信じてしまうっていうのは当然仕方のないことだろうなとは思いつつも、
それを拡散してしまうと本当に何が事実なのかっていうのが、
ようわからんっていう状況にもなりかねないのと、
あとAmazonって別に今回に初めて不正利用が大量に出たってわけじゃなくて、
ある意味日常的にフィッシング詐欺とかそういったものでも狙われるサービスではあるので、
それも絡んできてしまうとますます混沌としてきてですね、
いろんなやってる人のいろんな攻撃の手口っていうのが、
いろんな人が注意喚起とかっていう形でごちゃ混ぜになるっていうところがあるので、
ちょっとその辺はうまく交通整理というか情報を見ながら、
自分でできる対策が何かっていうのは落ち着いて捉えた方がいいのかなというところがあってですね、
ちょっと手口は判明してないんですけども、
ある程度原因というかこういうことがあると今回の不正利用っていうのが起こるのかなっていうのは、
これまでの過去事例を前提に考えることもできるかなと。
対比するとAmazon側に起因したものと利用している方に起因している、
そういったケースが大きく2つあるかなと。
今はその利用されている方に起因するケースっていうのが当然疑われることが多数あるとは思っていて、
例えばパスワードを使い回していないかとかフィッシング詐欺に遭われて、
今なんかですと二段階認証のワンタイムパスワードを入力するようなそういったものがあったりするので、
そういったものに被害に遭われていないかとか。
あとは利用されていらっしゃる環境がすでに何かしらのものに汚染されていて、
例えばマルウェアに感染しているとか。
情報接種系のマルウェアの話ってこれまでもこのPodcastで。
取り上げさせていただいてますけど、そういったものからセッション情報が捉えてしまっていて、
そもそもパスワードとかワンタイムパスワードとかを使用せずに、
もうその認証済みのセッション情報を使うことで攻撃者側が自由に利用者のアカウントを操作する状況にあるとか、
いろいろ考えられるというところがあったんですけども、
今回Amazonがヘルプかな?そのページの中で説明しているものでちょっと気になる記述があって、
Amazonのクレジットカードのセキュリティっていうのがどういったものかっていうのを説明しているページがあったんですけども、
以下に該当するケースで購入時にクレジットカード情報を再入力していただきますっていう説明があるんですね。
その中の一つにAmazonギフト券の送り先のEメールアドレスを新規にご入力いただいた場合っていうのが記載されていてですね、
今回報告されている方の画像なんかを見ると、
実際なんか今回のためにおそらく作ったんじゃないかなみたいなEメールアドレスにギフトカードを送りましたみたいな、
そういったメールの画面っていうのを貼り付けていらっしゃる方が結構おられて、
まさにこの新規に入力された場合っていうのに該当するんじゃないかなと思っていて、
なので二段階認証云々というか、そもそもこのクレジットカードセキュリティの対策っていうAmazon側が取っている対策をバイパスっていうんですかね、
回避されてしまっているというふうに見ても良いのかなというところがあるので、
今回の問題っていうんですかね、手口っていうのがちょっとまだわかんないんですけども、
もしかするとその利用者側ではなくてAmazon側に何か起因した問題っていうんですかね、
ちょっと表現が適切かわからないんですけども、もしかしたらその脆弱性のような、
そういったものがあって悪用されている可能性っていうのがあるのかなっていうのが、
Amazonのヘルプページなんかを見ているとちょっと見ていて思ったところではありました。
Speaker 2
そのカード番号の再入力っていう対策っていうか、それはもともとあったの?
Speaker 3
もともとあったと思いますね、はい。
Speaker 2
ということで、今回の別に騒ぎ分論関係なく、以前から遅れ先が新規のメールの場合には、
そういう対策が実装されていたにもかかわらず、今現在起きてますという、そういうことね。
Speaker 3
というふうに、はい、私見ております。
Speaker 2
なるほど、なるほど。だとしたら、なんかそこはちょっとおかしいじゃないのっていうのはあるよね。
Speaker 3
ちょっとそのヘルプページがいつ記載されたかっていう日付が書かれてないので、
ちょっと今のねぎしさんの問いに対して正確に答えができないんですけども。
Speaker 2
なんかね、ユーザー側に起因するのとしたら、今のさっきの看護さんの可能性の話で、
事実がどれか正直今の段階でよくわかんないけど、
2段階認証突破っていうのはちょっとマイザーミドル型のフィッシング以外ではちょっと現実的ではない。
国内だとね、そのSIMスワッピング的なSMS乗っ取るみたいなのもできなくはないけど、
だとしたらもっと他にもいろんな影響が出てくるだろうとか、いろんなことを考えると、
なんか一番そのインフォスティーだけで乗っ取られてるんじゃないかっていうのが一番可能性が高そう。
Speaker 3
そうですね、真っ先にね、それが。
Speaker 1
しっくりくるかなっていう感じはしますよね。
Speaker 2
なのでユーザー権威であればその可能性が高いし、
もしくはそのさっき言ってたみたいなAmazon権威で何か問題がある可能性が、
ただそれだとするともっと被害が大きくてもいいような気がするという。
Speaker 3
そうなんですよね。ちょっとXに投稿されている方の数を見ると、
ちょっとそこがね少し違和感があるなっていうのは。
Speaker 2
正直それ以上は僕らも推測以上のことは分からないというか。
Speaker 3
はい、そうですね。
Speaker 2
なるほどね。
Speaker 1
複合かもしれない。複合というか、それぞれの原因が違う可能性もありましてね。
今やられたって言ってる人の。
Speaker 2
対立の原因じゃないかもってことね。
Speaker 1
この人はフィッシングでやられてたとか、
Speaker 2
確かに。
Speaker 1
2段階認証オンにしてるらしいとか言ったら本当にしてたかどうかも分からない。
確認の必要がないじゃないですか。
Speaker 3
はい。
Speaker 1
しょっちゅうしょっちゅうAmazonなんてフィッシング来るから、
全員が同じ原因っていうのも、
それもなかなかどうなんかなみたいに思いながら僕も見てたんですけどね。
Amazonの対応策と現状
Speaker 2
ただ同じタイミングである程度まとまった数が何か言ってるっていうのは、
何かしら共通する原因がありそうではあるけどね。
Speaker 1
そうですね。ボリュームゾーンが同じ原因っていうかもしれないですけどね。
Speaker 2
やられてる内容も同じっぽいしさ。
Speaker 3
はいはいはい。
Speaker 2
最初にテストで買ってその後大量で買うとかっていうのは、
いかにも犯罪者がやりそうなマニュアルっていうか手口っぽい感じがするから、
特定の手順に従って粛々とやっているような気がするので、
だとすると共通する原因があってもおかしくはない。
Speaker 3
謎が深まるんですけど。
Speaker 2
謎だよね。謎だけど、
あまりいわゆる本当のパスワードをちゃんと運用していて、
2段階以上もきちんと運用していたら、
普通そんなに簡単に突破されないので、
そこはそんなに気にする必要はないと思うんだけど、
むしろ自分の端末が安全かとか気にした方がいいんじゃないかっていう。
Speaker 1
僕の周りにも何人かとかいて、これちょっと喰らったみたいな。
本当?
その人は結構正直に言ってるんやろうなと思いましたけど、
いやそもそもパスワードの部分は使い回してたかもしれないですみたいな。
Speaker 2
その人は2段階認証は?
Speaker 1
オンにしてて、SMSでやってましたね。
だからそこから先は看護さんがこれまで話してくださったように、
そこはちょっとどうなってたかわからなくて、
Speaker 3
あとSMSのワンタイムは飛んできてなかったって言ってたんですよね。
Speaker 2
だから多分突破されてるんじゃないんだと思うんだよな。
Speaker 1
そうなんですよね。
普通は認証すると飛んでくるじゃないですか。
Speaker 3
そうですよね。
Speaker 2
電話番号乗っ取られてるわけでもないのに、
飛んでこないのに突破されるってことはちょっとありえないから。
Speaker 1
てことはその前のものを使われてるって考えるのが自然ちゃ自然ですよね。
そうですね。
あと僕もう一個ニッチなこのパターンみたいなのを1個だけ考えてたんですよね。
いろんなパターンを事件を見てた時に考えてたんです。
インフォスティーラーもありそうやなと思ってたんですけど、
二段階認証のリセットを使うっていうやり方もありえるかなと思ったんですけど。
Speaker 2
サイトによってはそういう穴があるところとかもあるよな。
そうそうそうそう。
ピーチサンドストームの攻撃キャンペーン
Speaker 1
Amazonの場合は身分証みたいなやつ、住所とか名前とかがはっきり映ってるようなものをアップロードしたら、
1日から2日ぐらいでリセットされて、二段階認証が無効になるんですよね。
Speaker 3
へー。
Speaker 1
でもそれしても多分通知のメールが来るんで、
気づく方法はあるのかなと思うんですけど。
こういうパターンも無しではないのかなと。
あんまなさそうやけどこういうのもあるかなとかいろいろ思いを巡らしてはいたんですけどね。
Speaker 2
サイト側のそういう認証周りの手続きに何かしらその穴というかバックドアがあるっていうのは、
これまででも結構そういう事例は知られていて、
時々狙われて、使われて、悪用されて、塞ぐみたいなのはある。
Speaker 1
そうですよね。本人確認に不備があったとかありますもんね。
Speaker 2
ただまあその場合にはね、サイト側が多分すぐ気づくはず。
だしAmazonぐらいあったら多分それで原因はもう分かってないとおかしいので。
そうですね。
Amazon側もすぐに理由が分かってないっていうところを見ると、
なんか本人側になりつまされていて、Amazonからは正規ユーザーに見えているんじゃないかなっていう。
Speaker 1
Amazonからは分からないところでってことですね。
Speaker 2
だからユーザー基因じゃないかなっていう気が、想像だけどね。分からないけど。
まあその辺でも明らかにしてほしいというかね。クリアにしたいよね。
Speaker 3
とりあえずなんかもう二段階認証、さっき言ったその突破されたとかっていう、
そういった投稿がすでに現状されている現状はあるので、
そこに対してしっかりとした正しい情報っていうのは、
Amazon側も原因がもし分かったらしっかり流してほしいなっていうふうには思いますね。
もうこれで二段階認証意味ないとかっていうふうに思われてしまうとそれはそれでよろしくないと思うんで。
直方待ちましょうという感じですね。
Speaker 1
はい、分かりました。ありがとうございます。
はい、じゃあ次はねぎすさんに行きましょう。
はい、じゃあ今週私からはですね。
Speaker 2
マイクロソフトからちょっと今週注意喚起が出てたんだけど、
ピーチストームって呼ばれている攻撃者グループのキャンペーン、
最近ちょっと観測しましたよっていうので出てたので、
これを今日紹介したいと思ってるんですけど、
まずですね、このピーチストーム、ピーチサンドストームかごめんなさい。
ピーチサンドストームだね。
というのは、いわゆるイランの国家が背景にいると言われている
ネーションステートスレッドアクターと呼ばれている攻撃者グループの一つで、
もともと前はマレコスとこれホルミウムっていう元祖の名前で
もともと呼んでたんだけど、名前が変わって今ピーチサンドストーム。
名前変えられたやつ。
他にはAPT33とかいくつか名前が呼びながらあって、
2017年ぐらいから活動報告が上がっているような
そういう攻撃者グループですと。
今以前からマイクロソフトも報告はしてるんだけども、
今年に入ってちょっと目立つ攻撃キャンペーンがあるということで
注意喚起が出てたんだけど、
何かというと、これまでのところ2023年は主に衛生通信だとか
防衛産業だとか医薬品系とか、特定の業界を狙うような
いわゆる情報摂取っていうの、サイバーエスピオナージュとかって言われるような
国家が特定のそういったところの情報を収集するような
そういう目的であろうと見られるという活動が目立ってたんだけど、
今日今回紹介する攻撃キャンペーンというのは
ちょっとそれと少し異なっていると思うんだけども、
初期侵入のところで様々な業種とか地域とか、今言ったようなターゲットに限らないような
幅広い業種の組織、およそ数千の組織に対して
侵入を試みてましたということなので、
マイクロソフトの見立てでは、おそらく初期アクセスの
侵入のところの手口におよそ数千の組織に対して
侵入を試みてましたということなので、
マイクロソフトの見立てでは、おそらく初期アクセスの
侵入のところの手口に関しては、
多分オポチュリティックにやっているというか、
要するにどこでもいいからとりあえず入れればいい、よしみたいな、
そういう感じで特定のところを狙ってターゲットに
やったんじゃないだろうと。
その数千の組織に対してやったという初期侵入の方法は何かというと、
大きく二つあって、一つはよく他にも使われているけれども、
インターネット上に公開されているアプリで
脆弱性を使うというやつで、ここで紹介されているのは
ZOHOのマネージエンジンというやつと、コンフレンスの2つの
どっちも2022年の脆弱性なんだけど、
これ両方ともKEVのカタログにも載っているやつで、
以前から悪用が確認されている脆弱性の一つです。
それを使って侵入するという事例があります。
ただ、これはよく他にも見られるので、
今回の目玉じゃないんだけれども、
もう一つの初期侵入のパス、
2つのうちのもう1つの面白い特徴があると思うんだけど、
パスワードスプレー攻撃と脆弱性の悪用
Speaker 2
パスワードスプレー攻撃でアカウントを乗っ取るというので、
パスワードスプレーはPodcastでは取り上げたことがある気がするんだけど、
改めて説明するまでもないかもしれないけど、
よくある少数のよく使われる脆弱なパスワードを固定して使って、
多数のアカウントを順繰りにいろいろログインしこうしていくというような、
そういうやつだよね。
だからいわゆるブルートフォース攻撃というのは、
パスワードをそのあたりで狙うというのに対して逆方向で、
パスワードの方は固定にしてアカウントをいろいろ変えていくというそういうやつだね。
リバースブルートフォースと言われたりもしますかね。
Speaker 1
そうだね、そういう呼び方もしますね。
Speaker 2
この攻撃の利点は、
パスワードの弱いアカウントを集中して狙えるという、
あとパスワードを固定してアカウントを変えることで、
特定のアカウントに対するアカウント指向を何回もしなくて済むので、
仮にログインに失敗してもロックアウトするのを避けることができるというのが、
最大の攻撃の利点だよね。
攻撃された側が気づきにくいというのかな。
今回の攻撃者はこのパスワードスプレーを広く使っていました。
明確に書いてないんだけど、
侵入後にAzureの中から侵入されたということを言っているので、
あと報告しているのがマイクロソフトなので、
Azureを使っている顧客に対する攻撃だと思うので、
マイクロソフトアカウントとかAzureのアカウントとか、
多分そういうやつのことを言っているんだと思うんだけど、
それに対してパスワードスプレーで、
結構それで成功しちゃうところが、
まあまああるんだなっていう、
通常のアカウントに対して、
まあまああるんだなっていう、
数千の組織が攻撃されているって言っているので、
それそんなにあるの?って、
ちょっと僕がまずそこに一回びっくりしたっていうのと、
あとこの攻撃手法自体は、
このピーチサンドストームは前から使っているので、
そんなに別に珍しくはないんだけども、
国家主体の攻撃者グループが使う手にしては、
まあなんていうかちょっと雑っていうかね。
Speaker 1
雑というか泥臭いというか、
犯罪者っぽいところが使う手口のイメージですよね。
そこがちょっと面白いなっていうのと、
Speaker 2
ただ一方でね、
今日はちょっとすごく詳しく話さないけども、
侵入に成功した後の手口は、
まあなんか普通のよくある標的型の攻撃っていうか、
その国家主体のアクターとかが使うような攻撃手法だったり、
ツールとかを使ってたりとかするので、
若干その初期侵入のところだけ力技だなって感じるところがあって、
なんか担当者でも違うんですかね。
Speaker 3
なんかちょっと違和感を感じるなーっていうのはある。
Speaker 2
分業家っていうことですね。
Speaker 1
もしかしたらね。
Speaker 2
もしかしたら何かそこで違いがあるのかなっていう気はする。
ただまあ実際それで、
外国人とか注意喚起を出すぐらいなので、
かなり幅広い被害が実際出てるんだと思うし、
まあそれが成功しちゃうっていうところが、
攻撃手法としてね有効な理由なのかなというふうに思います。
マイクロソフトは観測した攻撃キャンペーンの特徴として、
このパスワードスプレーについてもう少し詳しく書いてるんだけど、
例えば今年の5月、6月に観測した事例で言うと、
なんかこれできすぎな気がするけど、
イランの標準時間で、標準時刻かタイムゾーンで、
9時から17時の時間に集中してますと。
グラフを見ると確か明らかにその、
9時から急に増えて、8時から急に増えて、
17時、18時くらいから減るみたいな。
落ち着き始めるんや、夜に向かってね。
Speaker 1
なんかそういうタイムシフトで動いてるのかなみたいに見えるとか、
Speaker 2
ただね曜日がちょっと面白くて、
曜日も書いてあるんだけど、
日曜日から水曜日までがすごく多くて、
目金動画少ないんだよね、活動が。
まあこれもちょっとよくわからないけど、
まあそういう週休3日さんなのかなっていう。
日曜日が多いっていうのは結構珍しい。
Speaker 1
面白いよね。
なんかそういうシフトで動いてるのかどうかわかんないけど、
Speaker 2
明らかにそのパターンが見られるというのがあって、
ちょっとそれが少し面白いかなという感じですね。
あと最後にもう一つ、
このパスワードスプレーって他にも、
過去にもこのPeaches&Stormsが使ってたってさっきちょっと言ったんだけど、
過去の手法とちょっとだけ違うところがあって、
一つは、今回は過去と違って、
Tor経由でアクセスをしてますと。
それからあとユーザーエージェントが
GoHTTPクライアントっていう風になっていて、
これだからゴーラング使うと多分おそらくカスタムのツールか何かを
作ってるか何か。
数で攻めるための。
Speaker 3
おそらくね、自動化したそういうツールを何かカスタマイズしたものを
初期侵入手法と被害の広範囲
Speaker 2
自分たちで作ってるか、
マナーシャーそういうものをどこから使っているか、
利用してやってるかわかんないけど、
ユーザーエージェントに今までなかった特徴が出てますという話なので、
そういうツールをおそらく使ってるんでしょうと。
いうところで、パスワードスプレーと一口で言っても、
ちょっとだけ進化はしてるんだねっていう感じでした。
Speaker 1
へー。
これパスワードスプレーのことの時間とか思考回数とか書いてるじゃないですか。
グラフにされてたじゃないですか、このレポートって。
そのパスワードスプレー、さっきカンゴさんが言ったみたいなところで、
パスワードスプレーが攻撃の初手というかイニシャルアクセス、
その入れた後までどれくらい時間が空いてるんだとか、
そういうのはあんま言及されてないんですか。
Speaker 2
どっちかというと一個一個の攻撃のタイムライン的なものを書いてなくて、
一応その後にパスワードスプレーで侵入した後何やるかというと、
多分顧客によって違うと思うんだけど、
いくつかのAzureを使っている顧客、被害者に関して言うと、
Azure Houndっていう有名なブラッドハウンドのAzure版のツールとか。
Speaker 1
それもGoか何かで書かれてましたよね。
Speaker 2
Goバイナリティ。
とかロードツールズってよく使われているような、
Azure ADから情報を取ってきて、その後の攻撃に使うための、
偵察行為でよく使われるツール、有名なツールがあるんだけど、
それを今回の攻撃者も何か使って、
そういう情報収集をしているっていうのが見えていますと言ってるんだけど、
ストーム0324の攻撃経路
Speaker 2
実際に侵入に成功したからそこまでスムーズにやっているのか、
何かちょっと時間が空いているのかとか、
そこら辺はあまり言及がなかったので、はっきり分かりません。
Speaker 1
曜日別のやつが日曜日から増えているみたいに言ってたじゃないですか。
だからもし攻撃者が別になっているとか、
中に入るのは別の人たちがやるみたいな、
高度なテクニックを持っている人たちがやるってやったら、
入り口を探すのは日曜日ぐらいから始めれば、
月曜日からその後の人たちが仕事をできやすいなとか。
そういう感じで動いているのかなと思った。
Speaker 2
チームで分業したりとかしてね。
Speaker 1
だからお前らスタッフは日曜日に、
俺らが月曜日から仕事できるようにやっとけ!みたいな感じのこともあるのかなとかね。
Speaker 2
確かにそういうのは実際のところはよく分からないけど、
そういう分業があってもおかしくはないよね。
Speaker 3
そうですよね。
Speaker 2
だし交易手法が明らかに異なっているという感じがするので、
そこはもしかしたら本当に分業かもしれないね。
Speaker 3
ランサムギャングもやってますからね。
Speaker 1
そうですね。IABとかで見ますしね。
Speaker 2
そんな感じで、この後もね、
侵入後、今偵察行為やるって言ったけども、
他にもAzureのサブスクリプションを新しく作ったりだとか、
あと、侵入した後に横展開するためにリモート管理のツールの、
何かAnyDeskを使うとか、
いろいろ、よく他の広域でも使われるような手法がいくつか見られますみたいな、
そんな説明があるんだけど、ちょっと今日はそこを割愛するけども、
そういう感じで、所定の部分と侵入後の活動に若干ギャップがあるねっていうのが目を引いたのと、
あと対策とかも書いてあって、Azureの環境なんで、
よくある条件付きアクセスをちゃんと使いましょうとか、
多要素認証とかをね、ちゃんと使えばパスワードスプレーなんか防げるよとか、
Speaker 1
証明書とかでもいいですね。
Speaker 2
そうそう。よくあることが書いてあって、
これも後で実際の原文を読んでもらえればいいと思うんだけど、
なんかちょっと僕はそのギャップがあるとさっき言った部分と、
今回はそのポチュリシティックにその弱いところを、
狙ったといえば弱いところにたまたま入ったということだと思うけど、
とは言っても、MS側がこうやって注意喚起をするぐらい、
それなりの数の被害が出ているという現状にちょっと危機感を覚えるというか、
まだ未だにパスワードスプレーとか有効で使えるんだっていうのが、
ちょっと改めて僕らもというか、見直したほうがいいっていうか、
Speaker 1
そうですね、足元ね。
Speaker 2
未だにこれ使えるんだねっていう。
だってパスワードスプレーなんてもう本当何十年も前から攻撃なんで、
今でも有効なんだね、こんなのね。
Speaker 1
国内とかでまだまだインターネットのバンキング零明期の頃とかは、
ロックされないように弱いパスワード固定して銀行のアカウント狙う攻撃とか、
昔からありましたもんね、そういうのね。
Speaker 2
そうそう。手法は新しくないんだけど、まだ未だに有効だろうし、
それを防ぐ手法はそういう意味では前からあるし、
Azureでなくても別にどんなところでもそういうのってあると思うんだけど、
適切に運用されてないというか、
のがちょっとまずいかなというかね。
ですね。
Speaker 1
運用、前回もこういうことがあまりうまく伝わってないんじゃないかみたいな、
前回のフォトキャストでも言いましたけど、
そのパスワードに関してこうしましょうみたいな、
ずっと秘伝の樽敵にずっと伝えてきていると思うんですけど、
パスワードはこういうふうにしましょうとか、
パスワードの鉄則みたいな伝え方をしすぎてるのがちょっと良くないのかなって、
昔から思ってて。
まず攻撃者はこういうことをしてきます。だからこうしましょうっていうのが、
抜けてるようが多いと思うんですよ、僕それ。
Speaker 2
なるほど。実際の脅威がどういうものかを知らずに、
こうすべきですっていう、
お題目だけ唱えすぎたんじゃないかっていうことね。
そうなんですよね。短いパスワードがダメなのは、
Speaker 1
例えば4桁の番号やったら1万回試したらいけちゃうでしょとか、
そのやり方みたいな、その破られ方から入っていかんと、
そのリバースブルートフォースみたいなのがあるとかって、
攻撃手法キックで話していった方がいいんじゃないかなって、
僕は思ってるんですけどね。
Speaker 2
確かにね。今回のもしかしたらそういう、
弊害の現れかもしれないよね。
Speaker 1
そうそうそう。
これどうやってこれ、
よくある攻撃の仕方が書いてありますけど、
こういうのどうやって紐づけて、
このピーチサンドストームやって言ってるんですかね。
Speaker 2
そうね。過去のいくつかの攻撃キャンペーンとか、
MSもそれ対象してるっていうのがあって、
それと関連づけてるんだと思うけど。
Speaker 1
攻撃インフラとか、そういう感じなのかな。
Speaker 2
そうだね。どうなんだろうね。
それは分からないっていうかね。
多分攻撃手法も毎回少しずつ変わってる。
丸消し変わるってことも中にはあると思うし。
そうですよね。
メールやシェアポイントを利用した攻撃手法
Speaker 2
そういう場合にはアトリビューションって難しいよね。
Speaker 1
特に今回みたいなやつでは、
ねぎすさんも違和感を覚えたように、
言い口がえらい泥臭いことでやってきてるっていう、
結構大きな退化した変化じゃないですか。
コードじゃない変化をしてるじゃないですか。
入り口の面で言うとね。
Speaker 2
ピーチサンドストームに関しては、
前もパスワードスプレーは使ってたっていう実績があるので。
Speaker 1
それもあんのか。
Speaker 2
その辺との類似性とかもあるんじゃないのかな。
Speaker 3
かもしれないですね。
Speaker 2
あんまりさ、いわゆるレーションステートって言ってるやつで、
こんな泥臭いのを使うのってそんなに他にない。
Speaker 1
だから余計に分かりやすいってことか。
Speaker 2
っていうのもない。
それもあって今回改めて取り上げてみるのも面白いかなと思ったんだけど。
Speaker 1
確かにパスワードスプレー使った国家背景の攻撃者ってあんまり。
確かにそうですね。
Speaker 2
だからそぐわなくない?
Speaker 3
目立ちますからね、ほんと。
Speaker 1
すぐバレるやんみたいな。
Speaker 3
そんな大量にやったら。
Speaker 2
だからそれも意外でさ、そんなのでもまだ有効なんだなっていう。
Speaker 1
まだまだちゃんとやらなあかんとこがあるっていう教訓ですよね、これもね。
Speaker 2
そう、そうなの。そういうふうに思いましたね。
Speaker 1
いや面白い、面白いなこれ。
僕ちゃんと読んでないから読んでみようこれ。
はい。
ありがとうございます。
最後僕なんですけど。
僕もマイクロソフトのレポートから。
Speaker 2
お、気がありますね。
Speaker 1
MSつながり。
そうなんですよ、MS。
でもこの業界で事故したらMSつながりまくるやろと思いますけど。
確かにね。
OSで言うたら半分ぐらいWindowsだからね。
Speaker 2
あとマイクロソフトは結構ね、こういう攻撃活動とかをしっかり観測して分析して結構公表してくれてるからね。
Speaker 1
そうですね。
ありがたいですよね。読みごたえあるやつ結構多いですしね。
はい。
で、僕は今回はですね、攻撃者の名前で言うとストーム0324っていう。前の名前だとデブ0324って数字一緒なんですけど。
Speaker 2
ストームなんちゃらってのがいっぱいありすぎてよくわかんないんだけど。
Speaker 1
そうですよね。ただこれ別名で言うとTA543とか。
Speaker 3
わすわすわからん。
Speaker 1
サグリッドっていう名前で呼ばれていますって。もうどの名前もピンとこんなみたいな感じのやつなんですけど。
どんな攻撃者かというと初期アクセスを獲得してという、さっきの話ではないですけど、侵入したネットワークのアクセスを攻撃者に引き渡すっていわゆるIABとしての振る舞いを昔からしてきてるグループなんですよね。
Speaker 2
それに特化してるわけね。
Speaker 1
今までやってきた攻撃の仕方とかだったら契約書関係とか会計系のドキュサインとかクイックブックスっていったら支払いとか契約とか請求書を装ったドキュメントを使ってJSSローダーっていわゆるいろんな機能を持ったRATみたいなやつですね。
Teams経由のフィッシング攻撃
Speaker 1
リモートアクセスするようなツールを配布する攻撃者ということで、2016年ぐらいから確認されているような攻撃者グループなんですけど。
過去にこのグループ化した攻撃でポピュラーなものでいうとアイスドアIDとかあとドリデックスとかランサムでいうとガンクラブですね。
これももう今もいなくなっちゃいましたけど。
こういったものの配信に関わってきてたとおぼしきグループというふうに言われてるんですよね。
2019年ぐらいからはJSSローダーをインストールして感染させた後はラースのアクターにアクセスを引き渡すというふうなもので、関係あるって言われているようなラースのアクターでいうとダークサイドとかコロニアルパイプライン攻撃者グループですね。
その後に引き継いだんじゃないかと言われているブラックマターとかっていうふうな、マイクロソフトの名前でいうとサングリアテンペストっていうグループに引き継ぐみたいなことを言ってたりするんですけども、こういったグループだと。
攻撃の流れっていうと、さっきJSSローダーを設置するって言ったんですけど、大抵の場合はメールで支払いとか請求書をよそってリンクをクリックしたりするとシェアポイント上に置かれた圧縮ファイルをダウンロードさせられて、それを開いて実行するとマリシャスなDLLをロードする、ドロップするという最終的にJSSローダーに感染するというふうな流れなんですよね。
場合によっては検出されるのを回避するために、RUANに使っているそういう契約書の中にパスワードを設定しているようなものとか、あとは脆弱性を使ってきたこともあって、CVで言うと202321715っていう、今年の2月に修正されたドットパブファイルでMOTWがうまく動かんっていうやつですね。
これを有効にするボタンっていうのが表示されちゃうっていうふうな、一律禁止っていうふうなものがうまく働かないっていうふうなものを使ってきたり、というふうなこともしてきている攻撃チェーンを使ってたグループです。
で、このグループが今まで使ってこなかった新たな攻撃経路を使ったっていうのが今回レポートで取り上げられた理由なんですけれども、今年の7月ぐらいからメールになんか添付とかメールになんか書いてあるリンクが貼ってあるとかそういうのではなくて、マイクロソフトのTeams経由で悪意のあるリンクを送信するっていうことをこのグループが開始し始めたと。
で、この時に使われたツールっていうふうに思われているものがTeams Fisherっていうアメリカの海軍のレッドチームがリリースでGitHub上に上げられてるんですけど、Pythonで書かれているやつなんですけど、Teamsのテナントが外部のユーザーにそのリンクを送信することができるっていう仕様になってしまってるものがあって。
Speaker 3
話題になってましたよね。
Speaker 1
そうそう、それも話題になったのは7月の頭ぐらいからこれ結構日本の記事にも出たツールなんですね。外部テナントに送れちゃうっていうふうなやつで、それでアクセスさせてフィッシングに使うというか、おびき出すのに使うというふうなものですね。
なので外部のアクセスがこういうことができる、できる、できないっていうふうな設定があるんですけど、その設定が外部アクセスを許可しているっていうのが前提ではあるんですけど、これを使ってやってきてるんじゃないかっていうふうなことがこのレポートにも書かれてあるというふうなものですね。
感染してからの手口はほとんど一緒みたいですけど、入り口が変わってきたっていうところで、こういう入り口もあるんだっていう経路を知っておかないと気をつけようないですから、こういったものも知っておいていただいた方がいいんじゃないかなというふうに思って紹介したんですけれども、
マイクロソフトのセキュリティ対策
Speaker 1
あとは改善策というか対策に関しては結構いろんなパターン書かれてあるんですけど、マイクロソフトとしてはこの件を受けて、認証されてないこういう詐欺的というか攻撃的というかこういう行為をしているアカウントとテナントを停止しましたというふうなことを言っていて、
加えてじゃあユーザー側で何できるかっていうようなこともいっぱい種類が書いてあるんですけども、その中でいろんな一般的なものは結構並んでたんですが、主なものとしてはフィッシング体制である認証方式をきちんと使いましょうだとかっていうのもあったり、
あとはあれですね、信頼できるマイクロソフト365の組織を指定するというふうにすると、特定のドメインを許可かブロックするっていうような設定なんですけど、これをオンにしてここしかダメっていうふうにすると、そういったフィッシングに使われるようなチームズフィッシャーとか使ったようなメッセージが届かなくなるので、そういったことも検討しましょうとか、
あとはリンクですね、今回の攻撃の件だけではないんですけど、Microsoft Defender for Office 365っていうのを使ってると、それの安全なリンクっていうふうな機能があって、そのリンクの中身を評価して、悪意のあるようなものとかだとURLとかを書き換えて大丈夫な状態にしてくれたりとか、クリック時の検証を提供してくれたりとかっていうふうな、これライセンスがあるかないかによってできるできないはあるかと思うんですけど、そういった守る方法っていうのがいくつも挙げられていました。
全体見ててこう読んで思ったんですけど、経路は変わっても根本的な回避とか緩和とか防御策みたいなところって、やっぱりそんな大きく変わってへんなっていうふうにもまた改めて思ったんで、これいっぱい本当に緩和策みたいなところはダーって書いてあるんで、自分たちがチームズを使ってた場合ですけども、こういったものを使ってた場合に現状で対応可能なものをやってるかやってないかっていうのを確認するのにも使っていただければいいんじゃないかなっていうふうに思いました。
なんかソリューションを買おうとかっていうふうに見るよりも、まず自分たちのマイクロソフトもセキュリティ機能を結構有効にしてくれてるものもいっぱいありますし、一昔と比べたらデフォルトでできること結構増えてるなっていうふうに僕も思ってるんで、現状こう金かけなくても自分たちのライセンスってどこまでできるんやっけっていうのを見直すいい機会にできればいいんじゃないかなというふうに思いましたというお話でございます。
Speaker 2
さっきさ、すごく大事なことを言ってたけど、最初のね、書店の部分の経路、攻撃経路っていうか、経路はいろいろやっぱり変わってて、フィッシングとかもそのメールだったのがスメッシングだろなんだろって言われたりとか、SNSとかメッセージアプリ的なものを使ってLINEとかね、わかんないけど、そういうのに移ってったりとかいろいろあって、今はTeamsだったりSlackだったり、コラボレーション向けのツールが狙われるとかさ、
いろいろ変わっていくけど、結局でも大事な基本的な体制が変わらないとは言ったけど、なんかやっぱり僕らの側にもさ、その使うツールが変わって入り口が変わると、なんかこれまでとなんか違うって思っちゃうというか、例えばそのTeamsには外部からフィッシングなんて来ないみたいな
思い込みというかね。そうそう思い込みとか、例えばそのSNSとかのメッセージだと友達から来てるメッセージだから安心なはずとかっていうさ、そういう思い込みみたいのがあって、メールならスパムやらなんか怪しいものがいっぱい飛んでくるっていうのが感覚として見えついてるけど、確かにそうですね。
そういう過信とか思い込みとか、あるいはその経験値が浅いから来る、そういう部分っていうのが裏目に出ちゃうケースがあるのかな、そこを攻撃者に狙われるのかなっていうのは、なんかね思うね。だからこそ、そういうところじゃない根本的な対策が大事ってことになるんだと思うんだけど。
Speaker 1
そうですね。できることできないことっていうのはライセンスによってあるとはいえ、できることを有効にしてないっていうケースとかもまあまああるじゃないですか。そうね、それが必要だと感じてないとかね。そうそうそうそう。だからそういう基本的なことみたいなのをできるできないあったとしても、できることはやっておくことで、こういう新しいものが来ても騒がなくて済むっていうようなことを考えたらやっぱり常日頃の自分たちどうなってんねみたいなのは大事やなと思います。
Speaker 2
そうね。だいたいこういうのってアクセス制御の首とかもそうだけどさ、さっきのその信頼できるね、その組織とかテナントとかを設定しましょう的なやつもそうだと思うんだけど、攻撃されてみて初めてその必要性に気づくっていうパターンが多いじゃない。別にもともとそんなアクセス必要なかったんだから最初からアクセス制御して絞っておけばよかったのに、やられてみて初めてそこがゆるゆるだったとか、そもそもそういうことができたっていうことにその時気づくみたいなさ。
Speaker 1
そもそもそういうことできるんやみたいな感覚かもしれないですよね。
Speaker 2
自分たちが使っているその製品ライセンスとかでそういうことができたんだっていうことを後付けで知るみたいなことになって、それがすごく残念なので、やっぱりこういうその注意喚起だったり、あるいは他社の攻撃の実際の侵害事例だったり、そういうところから教訓を得て学んで、できればやられる前にプロアクティブにそういうことができるといいよね。
Speaker 1
これもなんか自分で喋ってて思ったんですけど、さっきの攻撃手法から入ってない話あったじゃないですか、僕が言った。それにこれも通じるんじゃないかな。
守る側がこういうことできますっていうふうに紹介するけど、それはなんでなんですがやっぱり書かれてないんですよね。これMSの文章を見ても思ったんですけど。
リンクからこの対策のところをクリックした、例えば信頼できるマイクロソフト365組織を指定するっていうところをクリックして開くと、信頼するドメインを指定できるんですから入るんですよ。なんでやらなあかんのみたいなのがあんま書いてないんですよね。
Speaker 2
だからさ、逆のリンク、ちょっと細かい話だけど、こういうドクメントも逆のリンクがあった方がいいのかもしれないね。
Speaker 1
逆のリンクっていうのは?
Speaker 2
だからさ、この攻撃キャンペーンの注意書きを見た人は対策の必要性がわかるけど、その対策の文章を見てもなぜ必要かっていうのがわかんないから、こういう過去に攻撃キャンペーンで使われたんですよっていうリンクがあると。
Speaker 1
確かにそうですね。
Speaker 2
わかるね、そのバックリンクっていうか、ドキュメントとかのオーガナイズをするツールとかだいたいバックリンクがついてるんだ、機能として。
Speaker 1
逆からもいけるようにってことですよね。
Speaker 2
これはなぜ必要なのかっていうのを元のリンクをたどって戻れるから、理解がしやすいっていうかね。
そういうのもあるから、そういうのももしかしたら、今のは文章の構造の話で細かい話だけど、
ただ、その注意書きをする立場とすると、なぜこれが必要?なんでこういう攻撃キャンペーンがどこで使われてる?なんで?っていう部分がパッと見てわかんないっていうのは問題かもしれないな。
対策だけ見てもね。
Speaker 1
やり方とかね、どういうことができるとかっていうのは書いてるんですけど、
これがあったから何が守れたん?とか、これをやってなかったからどんなひどいことになった?みたいなものがピンとくるような仕組みっていうのは大事なのかなっていうのは思いましたね。
Speaker 2
そういう点で考えると、新たなアタックのフレームワークはそういう点はよくできてるよな。
ユーザー側での対策
Speaker 3
確かにそうですね。
アタックはね、そういう感じの構成ですもんね。
Speaker 2
確かに。
だからそれがよく考えられてるよな。
Speaker 1
テクニックからどんなやつに使われたっていうのを見れるし、どんなやつらがどのテクニックを使ったかで、両方の観点から見られますし。
Speaker 2
様々な分析の視点ができるっていうのは、あれはやっぱり優れてるよな。
Speaker 1
実例の報道されたリンクとかにも、リンクにも書かれてたりしますしね、報道とかもね。
あれはそうですね、言われてみればよくできてますね。
Speaker 2
このTeamsも短時間でものすごいユーザーが増えて、それ以降やっぱりなんだかんだで結構広域に使われたっていう事例が後を絶たないというか、それは狙われるよねって感じだよね。
Speaker 1
そういうユーザーが増えればね、人の繋がりを悪用するものでもありますからね。
Speaker 2
利用してる人多いと思うんだけど、365とかもそうだけど、そういう主要なメジャーなプラットフォームになったものは、
Zoomとかもそうか、一気に人が増えてメジャーなプラットフォームになったものってのは、大体その後攻撃されるので、そういう心構えも必要かもしれないね。
Speaker 1
確かに、Zoomもコロナ禍に入ってからめっちゃ脆弱性見つけられたりとかしてましたもんね。
Speaker 2
そうだよ、その前は全然そんな見向きもされなかったもん。
Speaker 1
そもそもあんま知らんかったしぐらいのレベルではありますよね。
Speaker 2
Teamsもそうでしょ、一気にユーザーが増えてからでしょ、こんなに言われてなったのはさ。
Speaker 1
そうですね、そんな活用あってもそこまで今ほど活用もしてへんかった組織も多いでしょうしね。
学びが多いです。
Speaker 2
興味深いね、いろいろ。
Speaker 1
興味深いですね。
ありがとうございます。
メッセージカードの紹介
Speaker 1
はい、ということで今日もセキュリティのお話を3つしていきたいと思います。
最後におすすめのコーナーなんですけれども、
今日僕がですね、紹介するのはですね、メッセージカード。
Speaker 2
お、なんか珍しいね。
Speaker 3
メッセージカード。
Speaker 1
どうですか?お二人はメッセージカードとか送りあったりしますか?
Speaker 2
なかなか送る機会ないよね。
Speaker 3
あんまりないかな。
Speaker 1
メッセージカード自体を送るというよりも、何かにメッセージカードを添えるとかオプションじゃなくても付けれますみたいなもの。
Amazonとかもそうなるじゃないですか。ちょっとしたメッセージ付けるとかね。
そうじゃなくて、お祝いだとか誕生日だとかありますけども、そういったものをメッセージカードだけで伝えるってこともいいんじゃないかなということで。
今日僕が紹介するのは、日本ホールマークっていうところが出してるやつでですね、いくつかいろんな種類があるんですけど、僕がこれめっちゃおもろいなと思ったやつは、
エンカネコ2っていうやつでですね、メッセージカードが猫の形してるんですよ。
それに小っちゃいメモ帳みたいなのを挟むんですけど、そのカード自体がポチって押すと、エンカ帳にハッピーバースデー歌ってくれるっていうオルゴール機能付きのやつなんですよ。
Speaker 2
その円か。はいはいはい、なるほど。
Speaker 1
紙でできてるんですが、中にポチって押すところと、小っちゃいスピーカーみたいなのが付いてて。
Speaker 2
いろいろ音楽が流れるメッセージカードってのは昔からあるよね。
Speaker 1
そうそうそう。で、これいろんな種類があるんですよ。
例えばダミ声恐竜とか、漫才猫とか、あとオペラ犬とか、いろいろあるんですけど、エンカネコかなり良かったですね。
だいぶ拳利いてる感じの女性エンカ歌手みたいな声で歌いよるんですけど。
Speaker 2
それはどうやって見つけたの?それ。
Speaker 1
これもらった人に教えてもらったんです。こんなのあるんですって教えてもらった。これおもろいなと思って。
Speaker 2
そうだよね。なかなかそんなのあるなんて今言われなかった。知らなかった。
Speaker 1
それでね、検索して見てみたら、さっき言ったみたいにいろんなダミ声恐竜とかもあんねん言うて。
もちろんこれオンラインに買えるやつなんですけど、全部動画でどんな感じの歌歌いよるかってのも見れるんで。
これ見てるだけでもおもろいなと思って。
結構いろいろあるんですよね。ロックライオンとかもあるし。鳥もありましたよ。
Speaker 3
エンカ鳥?
Speaker 1
鳥は普通に鳥2って書いて。
Speaker 3
ここはエンカじゃないんですね。
Speaker 1
エンカじゃないですね。鳥としか書いてなくて、その人が飼ってる動物だとかね。好きな動物とかに合わせてこういうのを選んで送る。
Speaker 2
ちょっとセンスがあっていいね。おしゃれだね。
Speaker 1
結構探しながら見てみるのも面白いんじゃないかなと思う。
なかなかメールで送ったりチャットで伝えたりみたいなものが多い中、こういう物理的に伝えるってことってトントン減ったでしょ。
アナログ的な方法の魅力
Speaker 2
確かにね。いろいろ伝える手段が増えたからっていういい面もあるけど、こういうアナログ的なというかなんていうかわかんないけど。
そうですね。昔からあるようなものが意外といいかもね。なんか響くかもね。逆に今だといいかもね。
Speaker 1
昔だったら飛び出すやつとかありましたね。開いたら飛び出すとかね。
Speaker 2
あったあった。あったね。
Speaker 1
高校生の時とかだったら休み時間ごとに隣のクラスの人に手紙書いたりとかしてたでしょ。
Speaker 2
そんなことしてたの?
Speaker 1
してない?みんなしてたんじゃないの?
Speaker 2
青春だなぁ。
Speaker 1
授業中に誰々に回してみたいな、全員がリレーして回していくとかあったでしょ。
今やったらほらもうね、スマホでちょちょちょっと触ってLINEで送っちゃうみたいなのもあるかもしれないですけど、
みんなにリレーしていく間に先生に見つかってまうみたいな大変なことになるみたいなこともあったりとかっていうのも、
今はなかなかないでしょうから、こういうのもちょっとアナログに戻ってみるのもいいかなというのと、これ自体がおもろいと思ったんで。
紹介させていただきましたということでございます。
ということで、今回も以上です。また次回のお楽しみです。バイバイ。
バイバーイ。
59:35

Comments

Scroll