新年一発目
辻 伸弘
新年一発目ですよ。
根岸 征史
明けましておめでとうございます。
なんかだいぶ間空いたよね。
辻 伸弘
そうですね。年末にはやってたんですけど。
根岸 征史
年末というか年始ですけどね。
辻 伸弘
12時半くらいからやるって言ったんですけど。
2回目なんですけど。
でもちょっとなんかね、明けましておめでとうっていうには
もう一回元旦からやり直したいぐらいの
ちょっとあんまり明るいニュースもない始まり方でしたね、今年は。
根岸 征史
まあそうね。いろいろあったよね。
辻 伸弘
そうなんですよね。
僕もちょっと年末、クリスマスあたりから体調崩したりとかしてて。
根岸 征史
なんか今も鼻声じゃない?ちょっと。
辻 伸弘
今もちょっとね。
喉が痛いんですけど。
ちょっと心配になる。
根岸 征史
今は熱はないんですけどね。
辻 伸弘
喋らんほうが良くない?
本当ですよ。
ちょっと抑え気味にいこうかなって感じがある。
ポートキャスターで喋んなかったら放送事故になっちゃうから。
そうなんですよ。それ何の意味もないんで。
とはいえね、今年が始まったということで
毎年してる話をさせていただきたいんですけれども。
根岸 征史
そういえばあれか。漢字。
そう。
漢字の一文字をね。
辻 伸弘
そうかそうか。あれ恒例だったね。
これまでポッドキャストで話して、オンラインで喋るようになって収録してね。
頻度上げてからっていうんだと
対決するの対?っていうのが来て
相対するの相?って来て
去年が容器の容。入れ物?
官用の容ですよね。だったんですよ。去年が。
今年も何にしようかなと思って
決めまして。
今年は炭。
日本語って色々漢字あるから。
読みで言うたら分からないですね。
探すっていう字ですね。探索の炭。
探求の炭。
探求する。
根岸 征史
炭穂とかもありますよね。訪れるっていうね。
辻 伸弘
いい漢字じゃない?
相対するの対?と相対するの相?って
入れるっていう入れ物の容器の容って
ちょっとなんかこう
マックス100%中50%な感じがしててね。
これまでのやつは。
根岸 征史
そのイメージがちょっとよく分からない。
辻 伸弘
踏み込んでない感じというか。
根岸 征史
守りに入ってるみたいな?
辻 伸弘
様子伺ってる感もちょっとあるなっていうところがあって
容器の用の受け入れるっていう方の用なんて
完全にパッシブじゃないですか。
piyokango
なるほど。
辻 伸弘
かといって物事急にガッて変えるのも
しんどいから
ちょっとアクティブさも出しつつ
あとランサムとかも
ずっと3,4年やってるじゃない?
調べてるやつとかね。
やめるわけではないんですけど
他の物も探してみようとか
根岸 征史
探っていくみたいな感じ?
辻 伸弘
そもそも探るっていう意味もありますしね。
根岸 征史
なるほどね。
辻 伸弘
ちょっと外に目を向けようみたいな
言葉の意味とか調べてみると
探すっていう字自体が
尋ねるとか見物するっていう意味もあるんですよ。
見物っていうのは
根岸 征史
いろいろ見てるようであんまり攻めてなさそうな感じもあるでしょ。
表面的なサラッと見るみたいなね。
辻 伸弘
ちょっとアクティブさみたいな意味でも
いい感じかなと思って
根岸 征史
この漢字探すっていう字にしてみました。
なるほど。そうやって聞くと
辻 伸弘
意味合いが分かってくるっていう感じですね。
意外と漢字って一個の意味でもいろんな意味あるんやなっていう感じ。
根岸 征史
そこがいいとこでもあり難しいとこでもあるよね。
辻 伸弘
新しいジャンルも
深掘りしていきたいなみたいなところもあるんでね。
そういう都市にしていきたいなっていう意味で
根岸 征史
探すという字にしました。
辻 伸弘
今年も楽しみですね。
ということでお便りが来ておりましてですね。
セキュリティ人材の問題
辻 伸弘
お願いします。
前回かな、教育の話が出てたじゃないですか。
井上さんが出てたときね。
その新人教育で思い出したけれども
社内トピックでセキュリティのあれを
進めていたせいか
今年度の1日だけ
抗議のセキュリティ分野の担当の一人になったって書いてますね。
えー。
どんな内容をされたのかわからないんですけれども
これは抗議はし終わってるらしいんですが
ツイートとかポストとか見てはね。
根岸 征史
それであれかな。
その新人教育でもあれを進めてくれたのかな。
piyokango
そこ大事なポイントかもしれないですね。
根岸 征史
大事なポイントだよね。そこで増やしてもらわないとね。
辻 伸弘
担当の一人ってことは
セキュリティ分野でお話しされるというか
社内の教育の抗議に何人か選定されてはる中の
根岸 征史
一人だったと思うんですよね。
辻 伸弘
どういう内容で
抗議されたのか気になるので
もしよかったらこっそりでもいいので教えていただきたいと思います。
セキュリティのあれもちゃんと進めていただいてたのかどうか
大事なポイントではあると思います。
それは大事なポイントだよね。
でも社内で
セキュリティの話とかちょっとしてよとか
朝礼みたいなやつで定例とかで
セキュリティのトピックを話しましょうみたいなところにも
このあれが役立ってたら嬉しいなと思います。
そうですね。
ありがとうございます。
もう一個も教育に近い感じの話なんですけれども
セキュリティ人材不足ってよく耳にしますが
セキュリティ人材って何?って聞かれた時に
あれだよあれと明確に答えられる企業が
どれだけあるのかが少し疑問です。
例えば統制と技術で分類しただけでも
求められる知識や能力も違いますし
幅が広いですよね。ふと思いましてということで
パシュタをつけてポストいただいております。
質問というかコメントか。
根岸 征史
そうですね。難しいところですよね。
確かにね。僕らとかさ
結構長くやってるからさ
昔はセキュリティって言った時の
対象がもっとシンプルだったし
もっと狭かったし
それがだんだん
年を減るにつれて
より複雑になってより専門的になって
どんどん難しくなってるから
求める今言った人材って言った時に
どっち向いて言ってるのかって
分かりにくくなってることは確かだよね。
人によって捉え方が全然違うじゃないですか。
辻 伸弘
10年以上前
15年とか20年とかの頃だったら
セキュリティの仕事をしますって言ったら
もうあれですよね。監視科、診断科
アンチウイルス系
そういった構築とか
導入みたいなのしかなかったですけど
今はもうウェブやないんやとかいろいろあって
根岸 征史
めちゃくちゃすごく広がったからね
それいいことだけどね
逆に良くないことかもしれないけど
いろんなところでセキュリティを意識しないといけなくなってきちゃったから
どんなところでも
セキュリティに関わる仕事って今存在するしさ
それこそ経営レベルみたいなところでも
必要になってくるし
統制みたいな言葉も出てきたけど
もっと技術的な細かいところでも出てくるし
幅広いよね
辻 伸弘
何か起きたときにそれを調べる力だけじゃなくて
調べて出てきたものをどう扱っていくのかとか
どうやって人を動かしていくのか
みたいなものも入れると
経営課題の一つみたいなもので言われたりしますけど
根岸 征史
特別なものじゃなくなってきたっていう意味では
いいのかなって思ってますけどね
辻 伸弘
そういう意味だと
僕たちがずっと
昔からやってきてる僕らの意識を変えないといけないところが
根岸 征史
あるんじゃないかなって最近よく思ったりしますけどね
辻 伸弘
やってる人たちがいつまでも固定観念でやってたら
やっぱダメだしね
限られた人たちだけのものを
根岸 征史
どんどんどんどんどん
どんどんどんどん
辻 伸弘
限られた人たちだけのものみたいな感じで
これまできた感じがあるなって僕は個人的に思ってるんで
それをよく変えていかないといけないな
もっともっと分かりやすい伝え方があるんじゃないかとか
そういうことを考えていきたいなと
根岸 征史
そういうことも探していこうみたいなところもあるんですよね
piyokango
はいはい
急になんか激だったよ
辻 伸弘
これに関してはどっかで深掘りできればいいかなと思ってますけどね
根岸 征史
そうですね
被災時のフリーWi-Fi利用について
辻 伸弘
最後のお便りなんですけれども
被災時のフリーWi-Fiの利用について
VPNやHTTPSなどに関連して
ネットでいろいろ議論が起きておりましたけれども
そのことについてお三人のお考えを聞きたいですという
フリーのWi-Fi安全に使えるか問題みたいなのが
ちょこちょこ流れてはきてましたね
根岸 征史
割としょうもない議論が
行われた気がしたけどね
辻 伸弘
そうなんですよ
危ないかもしれないっていう可能性っていうのを考えたら
なんでもきりないかなと思ってて
いい例えされてるなっていうか
ちょっと飛躍してるかもしれないですけど
たまたまその方のポストも身についたんですけど
名前忘れましたけども
緊急事態の時に気にするようなことなんかみたいなことを
例えば仮説で用意されたテントとかが
防犯問題があるからそれを使えへんで言うんかっていう話とかね
根岸 征史
だからそれはあれだよね
今回の震災みたいな
非常時っていう文脈の話と
通常使う空港やら
喫茶店やら何やらどんなところで使われる
ホテルとかね
辻 伸弘
ちょっと状況違うよね
ただ基本的に
今の世の中はhttpsになってるから
盗み見言うのもそんなに簡単にはできへんねやでとか
あとアプリでも認証済みのものとかがあるから
間で取られない限りは
そのレアケースのために使えへんっていう
のがいいんか悪いんかみたいな
話をね
これが今も安全なんだよってことが伝えきれてなかったのも
根岸 征史
まあそうね
今言った状況に応じても違うし
細かいことを言えばさ
httpsって昔に比べればめちゃくちゃ普及してて
ほとんどメジャーなところはそうなってるから
辻 伸弘
今は暗号化されてない通信のほうがレアだからね
根岸 征史
その認識は正しいんだけど
かといって100%ではないので
そのリスクはなくなってるわけじゃないんだよね
それをどのくらい許容するかって話なんで
0か1の話じゃないわけよ
あと例えば今httpsだけの話してるけど
じゃあDNSはどうなんだって言ったら
DNSはさ自分で今DO1とかやってなかったら
普通暗号化されてないわけなんで
ちょっと前にさカンファレンスでそのDNSの名前解決のデータを
ちょっと不要意に公開しちゃって
例えばああいうケースがあるわけよ
それがどれくらいインパクトがあるのかって話になるけど
そういうケースバイケースで全然考えることって違ってくるんで
なんかあんまりシンプルに
安全安全じゃないとかっていう議論になっちゃうのはあんまり良くなくて
こういう状況ではどうとかこういう場合はどうとかっていうのを
ちゃんと正しく判断できるような知識を
本当は皆さんに持ってほしいけど
なかなか今言ってみたら細かい話って
ちょっと分かりにくいし伝わりにくいんだよね
だから一般向けにはほとんど記述必要はありませんよ
っていうのが多分正しい答えなんだろうけど
ちょっとそれを専門家が言うのはちょっと言いにくいっていうかね
辻 伸弘
確かにそうですね厳密に言いたくなっちゃうところもあるからね
根岸 征史
そうそうなんかその辺がだから難しくて
分かってる人ほど難しく言っちゃうっていうかさ
辻 伸弘
それはでも伝わらへんみたいなね
根岸 征史
そうそうそれはちょっとね
良くないことではあるかもしれないよね
辻 伸弘
そうですね災害時の時にさ
例えばWi-Fiを使ってアクセスするようなサイトって
どういうのがあるのかな例えばね
根岸 征史
それはあれじゃないの今の状況を伝えたり
あるいは物資とかがどうなってるかとか
あるいは交通がどうなってるかっていう状況とか
あるいは天気やら災害の今後の見通しみたいなのを見たりとか
いろいろあるんじゃないのかな
辻 伸弘
そういうのにそんなに言うほど危険も潜んでない気もしますけどね
根岸 征史
そうそうだからそこでねどれぐらいその機微なというか
個人情報とかを取り扱うのかとか
そういう話だよねだからね
そういう時にはどうするとか多分そういうことなんだろうね
辻 伸弘
災害の時用のみたいな話があった方がいいのかもしれないですよね
難しいよな
同じようなWi-Fi建てられてとかでそこのDNSは実は
採掘されてて違うところに飛ばされてる可能性があるっていうのは
あるからなそれはなってなると難しいな
話伝えていくのって思いますよね
2023年のランサムギャングの変化
辻 伸弘
いくらでもこういうのってあるからね
そうなんですよね100%じゃないっていうのは簡単やからな
根岸 征史
指摘するのは簡単ですよね
辻 伸弘
なかなかね難しい
時と場合によるっていうので何を優先するかっていうことを考えたら
使ったほうがいいんじゃないと僕は思いますけどね
僕は使いますけどね
ということでございます
ステッカーの印刷コード差し上げます
あとは引き続きアイキャッチの案みたいなのも
募集してるんで
たまに来てるんですよね
根岸 征史
この間僕ら3人を武将に例えてみたいな
戦国武将ってこと?
辻 伸弘
イメージらしいです僕は誰誰
piyokango
ネギさんは誰誰
辻 伸弘
すじさん何になるんですか
歌舞伎元か
piyokango
雲の彼方にですね
辻 伸弘
色々アプアも楽しいですね
どれが採用されるかは分からないですけどね
気長にすぐ採用されるわけではないので
今回どうしようかなと思ったら
これ使ってみようみたいに選ばれるんじゃないかなと思ってます
根岸 征史
なるほどストックとしてね
辻 伸弘
ということで今日もセキュリティのお話を
根岸 征史
そろそろしていこうかなと思ってます
辻 伸弘
新年一発目ということで
根岸 征史
僕からいこうかな
辻 伸弘
お願いします
冒頭で今年の一文字探すとは言ったんですけども
やっぱりね2023振り返るのも大事なんじゃないかな
という気持ちもあってですね
根岸 征史
今日も今日とてランサムな話をですね
辻 伸弘
いいですね2020年もブレないですね
2024なんですが2023の
辻的ランサムまとめみたいな感じの話をしようかなと思ってまして
これ聞いてくださっている方は
長らく聞かれている方はご存知だと思いますけど
僕は集計してるじゃないですか
ランサムのリークサイトのやつを
ずっとリークサイトを集計してきてるわけなんですが
その辺の結果を過去のものと比べてどうかみたいな話を
ちょっと紹介していこうかなと思ってます
まず観察対象の変化
これはランサムギャングのリークサイトのことを指すんですけど
この辺の変化をちょっと紹介しようかなと
入っていこうかなと思うんですが
2023年は最終的に
16グループのギャングを見ていました
増えたり減ったりというのもあるんですが最終的に
トータル延べで16だったということですね
途中でいなくなったやつも1としてカウントしているという意味です
2023年新たに観察対象に
登場したので加えたというやつが
メデューサロッカー、ノンエスケープ、キリン
ハンターズインターナショナル、アキラ
これアキラは滑り込みで
振り返って追加したんですけど
今はちゃんと観察対象に入れていてこの5つを追加
するようになっています
これ言い方が正しいのかどうか分かりませんけど
ランサムのリーク数の増加傾向
辻 伸弘
サービス終了したランサムギャング
サッシュ
ラースエアも
サンサムエア、アズアサービス
だからサッシュというのが一番正しい
いくつかこれもいて
ハイブですね
これは何度も取り上げていますけど
結構劇場型な感じというか
キーをFBIが取って
いろんな被害組織に提供するみたいなこともありましたけど
このハイブだとか
piyokango
これ資金洗浄役じゃないかという人が逮捕されたりしていましたよね
辻 伸弘
あと日本でも一時期話題になった
ラグナロッカーですね
これもインフラが止まって開発者とみられる
このコアなメンバーが逮捕されるのは珍しいケースだと思う
これもフランス当局が逮捕という報道が
されていましたよね
ノーエスケープが登場したんですけど
サッシュもしている
根岸 征史
サッシュというよりは持ち逃げしたのか疑惑がかかっている
辻 伸弘
たまにあるよね
アバドンの生まれ変わりちゃうんか
いきなり何にもアクセスできなくなって
アンダーグラウンドなフォーラムでも
ノーエスケープ自体がバンされてしまう
ローヤル
バイフソサイティ
これが特に何もなく
宣言もなくスンといなくなりましたね
ずっと更新されていない
インフラが不安定なのがありつつも
根岸 征史
急にいなくなってしまう
辻 伸弘
そういうのもあるんだね
5つが増えて5つが減る
6ビットやブラックキャットも
16グループ見てました
リークの総数
被害の大きさというイコールではない
リークの総数
3年間2021年、22年、23年
見てみた結果
グループ数は変わっている
平均で見たら
95.125件
22年は133件
23年が176.6件
平均は
根岸 征史
1グループごと?
リークの総数をグループ数で割っています
辻 伸弘
これで見ると
順調に
増えている
被害組織の所在地国
相も変わらずアメリカがぶっちぎり一挙
それに続く国は
上位10カ国で見ても
多いものでも6.3%
暖房状態が上のほう
3年間は大きく変わっていない
アメリカが1位のことには変わらない
アメリカは去年1回落ち込んでいる
根岸 征史
保険の入るのが大変
辻 伸弘
セキュリティレベルを上げない
保険の継続
制裁対象に加えられていた
ギャングがいくつか
金払いが悪くなって
狙われない
2022年
21年と同じ割合の水準
2022年まで戻る
日本の件数は
2021年から
13件、22件、31件
増えている
割合は
0.9%、1.2%、1.1%
リークの件数で割った割合
割合は変わっていない
根岸 征史
全体が増えている
辻 伸弘
いろんな国は増えたり減ったり
イギリスは
ずっと増えている
その辺は
大きく変わっていない
被害の組織の
業種
1位だったとしても
全体で見たら
6.5%
根岸 征史
ずっと続いている
辻 伸弘
2位、9位
2%、5%
間で動いている
特定業種が
狙われる傾向が
言えない
相変わらず
業種の順位の入れ替わりについて
変化があった
頭1個、2個で
数%のところで団子
建設土木が
ずっと1位だった
それが入れ替わり
21年は
教育が
2位
教育が
1位
23年が
順位を上げて
1位に入れ替わる
病院&医療
3位
建設土木は
2位
ギャングの内訳
教育に関して
6ビットが
21年から
1.1%で5件
3.3%で27件
23年は5.6%で58件
教育を1位に押し上げた
一番大きな要因
単体だけではなく
いなくなったものも含む
バイスソサイティ
41%が教育
教育が多かった
18件
全体の件数が少ない
バイスソサイティ
ロイヤル、メデューサ、アキラ
1割は教育
1位
母数の大きい
6ビット
1位
179件
教育
頭1個半
根岸 征史
がらっと入れ替わった感じ
わからないけど
公開されているデータからは
伺えられないけど
業種ごとによって
侵入のしやすさはあると思うが
公益側から見た
支払いしてくれやすさ
その割合が高いのかもしれない
辻 伸弘
僕もそう思っていて
この3年間で
上位にいつもいる
弁護士
法律事務所
教育、病院
被害組織の業種と地域
辻 伸弘
共通するのは
他人の情報を扱ってる
払ってもらいやすい
病院は他の要素もあると思う
根岸 征史
わかんないけど
表に出てきてない別の要因で
狙われやすいのかもな
辻 伸弘
報道を見てると
教育系が払ったニュース
根岸 征史
たまに見かけます
辻 伸弘
ハワイの学校が
3位に上がってきた
病院&医療機関
ロックビットは
2021年から
0.9%、3.1%、3.7%
じわじわと増えつつ
ビエンリエン
11.7%
16件が医療系
ロックビットは3割
ノーエスケープも10%
1位を占める
これによっても上げられてる
教育と病院は
専門家がいない
導入してるSIが
共通で狙いやすい
ポイントがあるのかな
建設土木は
拠点がやられてるイメージ
どこかの工場がやられました
統制取りにくい
守るべきポイントが多い
建設土木は
この3つが
建設土木と病院は
一件差でほぼ同じ件数
バイオスソサイティが
いなくなった
piyokango
影響してくる
辻 伸弘
以前
南半球が
狙われてる
北半球と南半球
一応気にしてカウントする
21年、22年、23年
南半球は4.5%、4.8%、4.8%
大きな変化はないかな
南半球は
オーストラリア、ブラジル
南アフリカ
変わってないかな
今回の振り返り
日本で言うと
病院、教育、建設土木
全然傾向が出てない
電気系、電子製品系
が多いかな
教育は表にはなってない
教育関係も年末に
千葉がランサムで
リークに載ってない
カウントしてない
参考にならないかもしれない
世界中の傾向とは
一致しない感じ
根岸 征史
件数が少ない
辻 伸弘
傾向という意味では
こうなるんちゃうか
って思ってたりしても
アメリカはまた増えたな
気になり続けてるから
全体的に
根岸 征史
希望としては
収束方向に向かってほしかったけど
よくはなってない
状況を見るだけでは
被害を拡大方向に
まだある感じだから
辻 伸弘
まだしばらくは
こういう感じかもしれない
総数で言うと
2021年は1522件で
今年は2826件
根岸 征史
主要なグループだけを見てるから
全体ではないかもしれないけど
傾向として捉えてると思う
被害が増加傾向にあることは
辻 伸弘
おそらく間違いない
いろんなところから
ランサムってまだまだ話題になってますから
いろんなニュース出てくるんですけど
自分は自分で見る部分って
大事にしていかなあかんなと思ったんで
自分にとってのニーズという意味で
続けていこうかなと思いました
根岸 征史
引き続きよろしくお願いします
辻 伸弘
僕からは以上でございます
次はカンゴさんいきますか
piyokango
私も2023年の状況まとめみたいな話を
させていただきたいんですけども
ランサムではなくて脆弱性についてでございまして
去年の今頃もCVEの
2022年の状況みたいな形で
ジェリー・ガンブリンさんという方が
記事で取り上げてらして
それをご紹介したかと思うんですけども
また今年もガンブリンさんが
記事を公開されておられたので
まずは件数の状況をお話ししたいなと思ってまして
2023年に公開された
CVEの件数って
どれくらいかって分かりますかね
根岸 征史
聞いてる人は分かるかもしれない
もしかしたらあんまりピンとこない人も多いかもしれない
辻 伸弘
2023年に裁判された的なこと
piyokango
裁判というか公開されたというのが適切ですかね
必ずしも2023というもの以外も
公開される可能性がありますので
それも含めるってこと?
それだとちょっと分からんな
数で言いますとガンブリンさんがまとめた件数でいくと
28902件が
2023年に公開されていて
2022年は
25,081件だったので
純粋に10%以上13%くらい増えて
発行されたというところがあって
なので以前というか
むしろ増え方としては
CVEの公開状況としては
より加速的に公開が進んでいる
根岸 征史
進んでいるというか増えていると
piyokango
もうちょっと緩やかな増え方かと思ったけど
だいぶ急に増えてるね
ではあってですね
数としてはかなり多いなと
本当に単純計算でいくと
1日平均で80件くらい公開されていて
根岸 征史
月だと2000件くらい
piyokango
すごい数だよね
単純にこういった情報だけを
1個1個見るっていうのは結構限界来てるよな
純粋に言うと数
限界来てるなっていうのは
数の多さだけ見ても分かるんですけども
2023年のCVSSの報告
piyokango
合わせてCVSSとかについてはどうかというと
平均値でいくと7.12
っていうスコアがこれ基本値ですけども
発行されていた先ほどの29000件近い
CVEの平均スコアと
いうところで
ちなみにCVSSのフルスコアっていうんですか
ついてしまう基本値で10がつくものっていうのは
数としてはちょっと
さっきの29000件という数からすると少ない印象ではあるんですけども
36件というところではあったので
根岸 征史
あれだよね致命的なリモート行動実行とかって言っても
9.8ぐらいだったり
piyokango
10がつくっていうのはそんなに多くない
めったにないよね
9点台とか入れると全然数というか
件数は変わってくるんだろうなと思いますけど
10がつくのは36件というところでした
あと中身としてどんな種類の
脆弱性が多いのかというところについて
CWEベースでカウントされておられていて
一番多かったのが4474件の
CVE79というもので
これ多分脆弱性オタクの方だったら
すぐパッと出てくるのかもしれないですけど
これクロスサイトスクリプティングの脆弱性ですね
これが4400件ぐらいというところで
これがもう突出している感じですね
件数でいくと
突出していてですね
ほとんどクロスサイトスクリプティングというところではあるんですけど
これもしかするとではあるんですけど
ワードプレスのプラグインとか
の部分で
もしかしたらこのクロスサイトスクリプティングの
報告裁判というのが結構多い状況
というのが続いているのかなというのは
実際にCNAですかね
割当てを行っている組織の発行の件数の状況を見ても
パッチスタックとかWPスキャンとか
というところがかなりトップのCNAとして
件数積み上げているので
もしかするとその辺も影響があるのかなというのと
あとついで多いのが
これもわからなくもないんですけど
NVD CWAノーインフォというやつで
これは未裁判 裁判されていない
CWAが割当てされていないというものでして
これもしかするとなんですけど
さっき言った数がめちゃくちゃ増えていて
処理がなかなか
全部に追い切れていないというのがあるのか
もしかしたら裁判をするための必要な情報というのが
そもそも出てきていないものというのが
相当数あるのかというのが
ちょっと気にはなるというかちょっと心配なところではあるのかな
これ数で言うと本当にさっきの
クロスサイトスクリプティングに近い件数で
4100件ということで
全体の1割以上を占めているので
これがまた中身が正確に分析されてくると
もしかしたらこの辺の傾向というのが
また少し変わる可能性もあるのかなというのは
数の多さから見ると思うところではあるので
ちょっとこの辺が何で多いのかなというところまでは
ジェリー・アミリさんも当然わからないところではあるので
書かれてはいないんですけども
数としてはこういった未裁判に割当てされていないものというのが
多いというところも
現実を見ていかないといけない
根岸 征史
そこら辺までは全部自動化できないもんね
ある程度人がどういうものかって中を見て判断しないと
脆弱性の数と悪用の増加
piyokango
人出が多分入ってしまうところがあるので
もしかするとそういうのも影響あるのかなと
2023年のCVの件数ベースの状況はそんな感じだったんですけど
実はもう1個ですね
クオリスが去年の12月末
更新日が今年の1月4日になっていたので
もしかしたらクオリスが
静寂性の脅威ベースの視点に立った分析をされておられて
クオリスも前からこういうの出してるよね
これも結構興味深いなと思って
実際にその迫用がされている状況がどうかとか
根岸 征史
その辺の話をクオリス自身も調べて情報を持っているので
piyokango
そこの分析を2023年のランドスケープというのを
実際にさせていただきたいと思っております
クオリスに関しては
クオリスに関しては
そこの分析を2023年のランドスケープということで
されている結果を
去年末に公開されているんですけども
全体的にこれもいつも言われているところではあるんですけども
日常的に悪用されるそういった高いディスクのある
という形で書かれている
クオリスが評価した脆弱性っていうのは
クオリスがカウントしたベース数で言うと
これちょっと時期的なものもあると思うんですけど
脆弱性の中でハイディスクということで
クオリスが評価したものについては
206件というところで全体としてはもう
約1%ぐらいだったというところでして
これ実際悪用がされている
あるいはその可能性が高いという脆弱性が対象になるんですけども
その中身206件について
より細かく分析されているんですが
悪用が確認されているというと
我々まず井上一番にKEV
CSAのカタログをまずは
出さずにはいられないところではあるんですけども
KEVとこのクオリスが分析をしていたその206件の
結果について突合された
結果としては薄々とというか
あるだろうなと思ったんですけども
97件がKEVには乗っかっていなかったと
半分近くは実際に
悪用されている可能性が高いということでクオリスが評価
しているものがKEVには乗っていない
というところがクオリス自身が分析した結果として
書かれていてですね
さっきランサムエアとかって話もあったんですが
当然ランサムエアのアクターギャングは脆弱性の悪用している事例も
ございましてまずはその全体の
クオリスがトレースしている強いアクターが
脆弱性どれくらい悪用しているかということについては
さっきの206件のうち
半数以上の115件の
悪用というのを実際に確認していると
またそれ以外にランサムエアのアクターが
使っているものとしては20件と
悪用を確認していて
あとはボットネットとかマルウェアとかで悪用されているケースとしては
これは15件ということで
クオリスが分析していてですね
全体の1割ぐらい
実際ランサムエアのアクターも
ハイディスクとクオリスが分析した脆弱性を
供与しているということで彼ら自身が分析していたと
何と言いますか
数字として多いと見るか少ないと見るかというのは
脆弱性の件数だけじゃなくて実際の中身を
見ていく必要があると思うんですけども
実際に数としてはそれぐらい使われているというところを
分析しておられてで最後ですね
公開をされてから実際に
悪用されるまでどれぐらい期間を
用意していますかというところも
クオリス分析していてですね
平均でいくと44日
というところで結構
余裕あるなっていう感じの印象は
受けるんですがこれも本当に平均ででして
実際クオリスがですね
対応までの時間的猶予の減少
piyokango
グラフを掲載しているんですけども
day to exploitというグラフを公開している
実際に何日用意したかというような
棒グラフを書かれている
これを見れば言わずもがなという感じはあるんですが
実際に公開されてから
悪用されている脆弱性の割合において
25%は公開当日に
悪用されていたというところ
さっきのハイディスクという形で分析していましたね
206件というものについて
より細かく見ていた結果として
25%にあたるものが公開当日に
悪用されていたよというところで
これもかなりスピーディーなというか
公開当日直後に
悪用される実態があるということで
これもしかしたらゼロで入るのではないかなとは思うんですけども
そうかもね
NDもやっぱりここは気にしておく必要は当然あるかなと
本当に件数で見ると
当日というのが突出した
棒グラフにはなっているように見えるので
この辺の脆弱性情報が公開されて
実際に対応するまでの
リードタイムについては
以前ちょっと意識して対応していかないといけないというところが
このハイディスクというところについて
分析した結果だけにおいても結構明らかなのかなというのは
見ていて分かったというところで
根岸 征史
あんまり時間的猶予はない感じだよな
ないですねこれだけ見てしまうと
だから中央値が多分1週間もないくらいなのかな
piyokango
ないですねおそらく
根岸 征史
それぐらいのスパンで考えないと
ボタボタしちゃうとほとんどやられちゃうという可能性が
あるわけだよねそれが結果で出てるよね
piyokango
こういうのね
という感じで
さっきつい探求探すという
感じでやってましたけど
私は今年は見つめ直すという形で
辻 伸弘
見るという感じで攻めていこうかな
急に今年の一時始めましたみたいな
piyokango
急につなげてきたね
思いついたかのように決して思いついたわけじゃないんですけど
今年はもう少し腰を据えて
脆弱性の状況とか少し見ていきたいなというのは
こういった数字とかを見ても
根岸 征史
改めて思ったところです
踊らされることなく冷静にそういう数字を見つめるというのは
piyokango
大事なことだよね
根岸 征史
今の話聞くとさっきのランサムと
つなげるわけじゃないけどさ
脆弱性の数もちょっと増えすぎじゃないっていうぐらい
もちろん増えた傾向が
さっきのクロスサイトが多いとか
必ずしもすごく深刻なものが増えたってわけじゃないと思うんだけど
とは言っても数として増えてるし
あと効率の結果だけでなくて
他にもいくつかいろんなベンダーがこういう分析してるけど
だいたい数の増加とあと
時間的猶予がだんだんなくなってるっていうのは
piyokango
ほぼ共通してて
根岸 征史
なおかつ実際に
悪用されているエクスプロイトされているものっていうのが
多くても4,5%ぐらいっていうのもだいたい共通してるので
それらをちゃんと見極めて
対応できるだけ急いでやらなければいけないという
状況がますます難しくなってるっていうのは
たぶん間違いないとこなんだよね
そういう対応する側からすると
ちょっとそういう困難な局面になってるっていうのは
そういう認識はちゃんと持ってこないと危ないよね
piyokango
これ年末に
例えば今回のクーリスの結果で206件という形で
言ったので
206件だったらいけるやろうみたいな感じで
ちょっと思いがちなんですけど
一番3万件近い脆弱性があって
その中で本当に急用して対応しなければいけないもの
とかっていうのが200件という形なのでも
本当に先に探しのような
作業が下手したらあるわけで
根岸 征史
前に別の動画でもメンバーとかで話したけど
必ずしもハイリスクってここではクーリスが
ハイリスクって言ってる区分だけども
いわゆるCVSSの区分でハイとかクリティカルって
言ってるものだけが悪用されるわけでもない
あとさらっとさっき出てきたけど
KEVがカバーしてないやつが結構あるっていうのも
結構あったと
それも前から言ってた話で
そのあたりが今後の大きな課題なのかなっていう感じだよね
そうですね
その辺はたぶん2024年通して我々も考えていかなきゃいけない
piyokango
課題じゃないですかね
辻 伸弘
さらにもっとカバーするにはどうする工夫がいいのかとか
根岸 征史
そういうことを考えていけない
あと対応速度を上げていくにはどういう取り組みが必要かとか
piyokango
そこが本当に
根岸 征史
あとそういう慌てて対応しなくても
良いような相手はできないのかとかね
そういうことをいろいろ考えていくことが必要なんでしょうね
辻 伸弘
そうですね
悪用されている脆弱性 KEVに掲載されるようなやつとかもね
あれはあくまでアメリカ側という主語がつくじゃないですか
根岸 征史
アメリカ側というか
連邦政府機関向けに出しているものだからね
辻 伸弘
そこで認知したものとかといういろいろな基準があるというのがありますけど
その脆弱性がどれぐらいの範囲で使われているかっていう指標が必要になってくるんだろうなと思いますね
根岸 征史
そのあたりはちょっとわからないからね
辻 伸弘
そうなんですよね
まだまだ課題は山積みですな
頑張っていかなあかんなと改めて思いました
ありがとうございます
ということで最後はねぎすさんですお願いします
根岸 征史
じゃあ最後私からですけど
僕は2023年の振り返りとかっていうわけじゃないんだけど
前を向いていくわけですね
前を向いているかどうかわからないけど
年明け2024年年明けいろいろ事件あったけど
オレンジスペインの通信障害
根岸 征史
その中で1月の3日に
スペインの大手の携帯電話会社で
オレンジスペインという会社があるんだけど
ここがちょっと大規模な通信障害を起こしまして
これについてちょっと今日取り上げたいんだけど
ちょっとこれ原因が面白いって言ったら禁止なんだけど
piyokango
興味深くて
根岸 征史
一言で言うと不正なROAを発行されたから
起きたっていうことなんだけど
このROAって何かっていうところを
簡単に最初説明すると
インターネットで経路制御に使われるBGPというプロトコルがあるじゃない
あれって受け取った経路情報が
本当に正しいものかどうかっていうのは
実は判別する仕組みっていうのがそもそもプロトコルではないのね
なのでそうすると何が起きるかっていうと
例えばある事業者が設定ミスをして間違った経路情報を流しちゃいましたとか
あと攻撃者が意図的に経路をハイジャックしてやろうと思って
不正な経路情報を流しちゃいましたっていうようなことが起きると
受け取った側はそれをそのまま信用するしかないわけ基本的には
それからミスなのか攻撃なのかっていうのを
piyokango
見ただけで判別する手法はないのね
根岸 征史
来たら受け取る受け取るみたいな感じで
そうそう基本的にはね
そうするとそういうちょいちょいインシデントが今までも結構起きてきたわけね
そうですよね
piyokango
それを何とかしたいなということは
根岸 征史
いちいちそれを一目で見てこれは間違いだろうとかってやってるわけにはいかないので
何とか自動的にそれを判別できないかっていうので
できた仕組みがROAってやつで
これはルートオリジンオーソライゼーションの略なんだけど
これも一言で簡単に言うと
通信事業者とかIPアドレスの割り当てを受けているところが
このアドレスレンジは
どのASから経路情報を流しますよっていうのを
あらかじめ宣言しておきますと
そうするとその宣言したROAっていうデータと
実際に受け取った経路情報と比較することで
経路情報が正しいかどうかっていうのを
ルーターが自動的に判別できるようにしましょうと
こういう仕組みなのね簡単に言っちゃうと
そのROAっていうデータが今回不正なものが発行されちゃいました
っていうのが障害の原因なんだけど
なんであんなこと起きたかっていうと
このROAってやつはIPアドレスの割り当てと関連しているデータを
そういったものを管理している地域インターネットレジストリーと呼ばれている
世界中に5つある組織で管理されているんだけど
日本だったらJPNIC APNICとかいうところが
アドレスの管理をしているけど
今回はスペインなんでヨーロッパなんで
ヨーロッパの場合にはライプNCCっていうところが
こういうIPアドレスとかの位置を管理をしているのね
そこで今説明したROAっていうデータを
使っているんですけど
今説明したROAっていう
データの発行とか管理もやっているんだけど
今回の障害っていうのは
実はオレンジスペインっていう会社が
持っているライプNCCのアカウントを
不正に乗っ取られましたと
第三者に勝手に乗っ取られて
そこで本来とは全然違う不正な
ROAのデータを勝手に作成されて
発行されちゃいましたと
そうするとこれを受け取った他の通信会社とかは
実際にオレンジスペインから流れてくる経路情報と
攻撃者に不正に発行された
ROAのデータが一致しないので
これは間違った経路情報だと判断してしまって
通信できなくなっちゃったと
こういうことなんだよね
それが正しいROAのデータに最終的に
復旧するまで約4時間くらい
大規模な通信障害が起きていて
トラフィックがかなり減っちゃったと
そういう事象が起きましたと
これが起きた事象なんだけど
今言ったオレンジスペインが使っている
ライプNCCのアカウントが乗っ取られた
というのは何で乗っ取られたのかという話になるんだけど
そこですよね一番大事なところ
理由が2つあって
1つはこのアカウントで使っている
メールアドレスとパスワードの情報が
インフォスティーラーのマルウェア幹線で漏れたと
これは事件があった後に
セキュリティベンダーから報告があって
よくインフォスティーラーからリークされている情報を
辻 伸弘
調べている会社があるじゃないですか
根岸 征史
いわゆるブラックマーケットを見ているところですよね
そういう情報としてインテリジェンス情報として
サービスとして売っているところもあるけど
そういうところが調べたところ
このオレンジスペインのアカウントがありましたと
パスワードも乗っていましたと
恐らく攻撃者もそれを見て使ったんじゃないかと
これは推測ね分からないけど
あとプラス加えて二要素認証が有効になっていませんでしたと
パスワードが漏洩していればそのまま
ログインできた可能性が高いと
これがノー取りの原因ではないかと
考えられています
実はこのパスワードもライプアドミンという
piyokango
めちゃくちゃ簡単なパスワードが付いていたらしくて
根岸 征史
そういうのを聞くと
アカウント管理がちゃんとやってなかったんじゃないの
piyokango
という疑いが
根岸 征史
ちょっとそういう感じがするんだと
ただし別に
この会社だけが特別というわけではなくて
というのはこの事件を受けて
ライプNCCが調べたところ
分かったのは他にも
同じようにパスワード情報が
漏洩していますよというものが
辻 伸弘
800アカウントに見つかりましたと
根岸 征史
めちゃめちゃあるな
全体がどれくらいで何パーセントか分からないけど
結構な数見つかってこれらは強制的に
パスワードをリセットしましたという報告がされているので
似たような感じでマルウェア感染に気づかずに
パスワードが漏洩していて
ノッ取り被害に遭うリスクがあるアカウントが
結構あるということがこの調査で分かって
ちゃんと皆さんやってね
ニュースレーションはみんな使ってねという注意喚起をしているんだけど
ちょっとさっき僕お粗末って言ったけど
意外とこういう状況なんだな
ということなんですね
他去年セミナーとかでも
僕少し喋ったけど
最近こういう正規のアカウントのノッ取りの被害というのが
ちょっと目立つなという話をしたんだけど
今回もそういうケースで
おそらく事前にマルウェア感染で漏洩したんだろうと
言われているんだけど
そういういろんな理由で正規のアカウント情報が
実は最初から漏れていて
それが侵入に使われちゃうと意外とあっさり
ニュースレーションとかないと結構あっさりノッ取られちゃうみたいなのは
もうちょっと気を付けないと
800アカウントも漏洩していて気づかないというのは
ROAとは
根岸 征史
もうちょっと危機感を持った方がいいなというふうに思って
今回こういう事件が起きたから
Life NCCも調べてみたわけで
そういうのがなければリセットとかしないで
ノッ取り放題になっちゃう
このアカウントのうちどれくらいニュースレーションが有効だったかわからないので
ノッ取り放題は言い過ぎかもしれないけど
今回みたいなケースは他にもいろいろ考えられるなと思うので
自分たちのところの
認証情報を漏洩しているかもという
前提で考えるというのは難しいと思うんだけど
そういうことも少し念頭において
対応しないといけないんだなというのを
念頭から改めて思っちゃったというか
そんなことがありました
さっきも言ったけど
BGP外部の障害って
だいたい間違った経路情報が元に起きることが多くて
今回のケースは逆で
経路情報としては正しいんだけど
それを継承すべきROAのデータの方を不正に書き換えられたというのは
これはちょっとレアなケースなんで
僕はこの辺はそんなに詳しいわけではないので
確かにこういう例があったのかどうかは知らないんだけど
こういうことが起こり得るんだなというか
こういうことによる障害は想定していないと思うので
設定する人が人的なミスとして
設定を間違えちゃうということは可能性として考えられるんだけど
攻撃者が乗っ取ってやるっていうのは
目的がちょっとはっきりしないんで
何か障害を起こして何か利益があったのかどうか
よくわからないんだけど
辻 伸弘
目的が確かにわかりにくいですね
根岸 征史
いわゆるサービス妨害的なのと同じで
何か止めたいというか
倒したい痛心があったのか
単なる有害犯なのか
背景はわからないので何とも言えないけど
こういう攻撃したというか
こういうのもあるんだなというのは
辻 伸弘
びっくりしましたね
確かにこういうことは漏れ出ますねみたいなことって
結構話題になったりするじゃないですか
どこどこのやつが漏れてるぞみたいな話題になるけど
こういうのいきなり来たって感じしますよね
聞いてて思ったのは
何でこれやったのかわかれへん
倒したいやつがあったのかという推測ではあるんですけど
あんまり利益にならんから顕在化しなかったんですかね
根岸 征史
もしかしたら
例えばいわゆる経路のハイジャックだと
経路をねじ曲げて通信を盗みみたり
こっちに寄せたりということですね
あるいは不正なデータを間にかませたりとかして
何かしらその先に
何かしたい不正な行為があって
辻 伸弘
そのための準備段階としてやるみたいなことはあるんだけど
根岸 征史
今回のハイジャックではなくて単に
いくつかの通信がつながらなくなるというか
通信できなくなるという状況を生み出しただけなので
あんまりそういう直接的な
攻撃だとするとこれが
そういう利益に結びつかなそうな感じはあるんだよね
アカウントの乗っ取りとセキュリティ
辻 伸弘
そうなんですよね
できたけどやられてこなかったのかという気はしますよね
根岸 征史
なんとなくね
そうは言っても考えによっては
サービス妨害を起こして
不利益を起こさせることで
それによって可能性的に自分が利益を得るということも
あり得なくはないので
そこら辺がはっきりしないと何とも目的は
推測するしかないけどわからないけど
辻 伸弘
もしかしたらこういうことを起こすことで
根岸 征史
警鐘を鳴らしたかっただけかもしれないですしね
まあそういうこともあり得るよね
辻 伸弘
それにしては結構大胆なあれだけどね
根岸 征史
影響がでかいことをやってるなって
かなり大きいよ
スペインで第2位の携帯会社だから
日本で言ったらauとかドコモとかが
辻 伸弘
影響があったと思うよ
根岸 征史
4時間くらいでしょ
辻 伸弘
まあ短く済んでよかったけどね
対策はちゃんとするっていうね
ごくごく当たり前の対策ってことですもんね
根岸 征史
たまたまターゲットになったのが
BGP関連するところだったから
通信障害っていう事象になったけど
元々の原因は単なるアカウントの乗っ取りなんで
マルウェアからやられたんちゃうかとかね
他でやっとくべき対策と何ら変わらないんで
まあちゃんとやろっていう
辻 伸弘
そうですよね
ちゃんとしろっていう
これ分かってよかったんですよね
根岸 征史
そういう意味ではついさんがさっき言った
好か不好かそういう傾向にはなったけどね
辻 伸弘
こんなこと起こるんですね
根岸 征史
もしかしたら前にも起きてるかもしれないけど
ちょっとね僕自身はびっくりして
辻 伸弘
こんなこと起こるんだと思って
これ以外のことでも何にでも言えると思うんですけど
これぐらいのことやってるやろみたいな
根岸 征史
見なしみたいなほんま危ないなって思いましたね
夜間の応診サービス
辻 伸弘
いやいやなんかちょっとこう
年の始めにすごくいい罠やったなって思いました
ちゃんと見直さなあかんでっていうね
ありがとうございます
ということで今日もセキュリティの話題を3つしてきたんで
最後におすすめのあれなんですけれども
おすすめのあれというか
一つのサービスを紹介するっていう形になるんで
気が引けるところもあるんですけど
僕や僕の知人も結構救われたサービスということで
紹介したいんですけれども
ファストドクターっていうサービスなんですけどね
根岸 征史
夜中にでも応診に来てくれるっていう
辻 伸弘
やつなんですよ
しんどい時ってなかなか病院行くのもきついでしょ
今やったらコロナや
インフルとかいう
いわゆる感染症
気をつけなあかん感染症みたいなやつあるじゃないですか
人にうつしちゃったりとか患者増えてますねみたいなやつ
だから自分はワクチンや何や受けてて
弱かったりとかしても人にうつしてしまうっていう可能性もあるわけでしょ
自分がちょっと無理すればいける
出かけられるでみたいな時もあるけど
それが他の人に結果的に目に見えへんかったとしても
迷惑かける可能性があるもんってあるじゃないですか
検査すぐしたい時とかあってもなかなか
検査も予約取られへんかったりとか
いろいろあると思うんですよ早く知りたいとかってあると思うんですね
僕は本当に病院行くのも
しんどい派なのでこういうの読んで
検査もしてくれるんですよ
年末にすごく助けていただいて
検査もしていただいてみたいなことをしたんですけど
仕事頑張って行って帰ってきたらどっと疲れてて
体調悪くなってみたいな時でも
もう病院やってへんやみたいな時あるでしょ
そういう時にも夜中の4時くらいに来てくれたりするんですよ
なるほど
で何時に行きますみたいな感じで
お医者さんがおれへんかったら遅い時間になったりとか
piyokango
この時間に来てくれっていうのはなかなか決め打ちでは難しいんですけど
辻 伸弘
順次行きますみたいな
例えば僕の経験だったら夜の6時7時くらいに電話して
10時とか遅かったら
12時過ぎてから火またいでから
来てもらうみたいなことがあって
根岸 征史
5日分くらいの薬もちゃんと出してくれるんですよ
辻 伸弘
だから明日の朝なってから
様子見て病院行こうとかっていうのもしんどい
っていう時には結構使えるかなということで
なるほど
オンライン診療とかもあるんですよね
行ってもらうだけじゃなくてオンラインでスマホで
ビデオ通話でやって
薬を家まで持ってきてくれるっていうのもあるんですよ
なかなか便利だね
そんなこともしつつ
いろんな病院におるお医者さんが
夜は大丈夫かなとか
やってくれたりするんだと思うんですけど
いろんな登録してるお医者さんがおるんだと思うんですね
それで今回のと半島地震があったじゃないですか
そういうのも
体の不調がある人とかは無償で
根岸 征史
オンラインで診療受け付けますみたいなこともされてたんですよ
辻 伸弘
なのですごく使い勝手がいいなと思って
僕基本的にこれお願いすることが多いんですよね
根岸 征史
これでもあれか
辻 伸弘
来てくれる場所は限られるのかな
根岸 征史
日本全国どこでもっていうわけにはいかない
さすがにそれは無理だよね
辻 伸弘
都市部とかに限られちゃうのかなもしかしたら
そういうのも限られた場所ではあると思うんですけど
もちろん似たようなサービスが
どこの範囲にあるかもしれないんで
こういう選択肢もあってもいいんじゃないかな
っていうことですね
根岸 征史
できるだけこういうのにお世話にならなくていいより
健康だったほうが嬉しいけどね
辻 伸弘
いざった時にはってことだよね
今日は鼻ぐずって僕が言うほうが説得力あるかなと思って
根岸 征史
確かに今まさに紹介するサービスかもしれないな
辻 伸弘
ほんまにそうですね
知らなかったみたいな感じで
この間使ってみたんですよみたいなことで
お医者さんに来てもらって調べてもらったら
安心する気持ちもあるじゃないですか
確かにね
タンナの風邪かとかなる部分もあるかと思うんで
意外と僕もこれ来てもらった後で元気になった気がするんですよ
piyokango
なるほど
根岸 征史
安心できたなみたいなね
辻 伸弘
そういう気持ちの問題も大事かもしれない
分かれへんことが一番嫌じゃないですか
もし自分の範囲とか
もしくは他のサービスで地元でやってるようなものがあれば
個人の健康管理の重要性
辻 伸弘
そういう選択肢もあるというのを
調べておくといざという時に使えるんじゃないかなと思って
紹介させていただきました
ということでまた次回のお楽しみです
今年もよろしくお願いします
