1. セキュリティのアレ
  2. 第195回 KEVとOTPとMFA!スペ..
2023-09-25 1:09:50

第195回 KEVとOTPとMFA!スペシャル!

Tweet【関連記事】 ・令和5年上半期におけるサイバー空間をめぐる脅威の情勢等について|警察庁Webサイト [...]

The post 第195回 KEVとOTPとMFA!スペシャル! first appeared on podcast - #セキュリティのアレ.

Summary

天候が悪く気温が低い中で、空気感が少しずつ変わってきている。まだまだ30度を超える暑い日も続く一方で、秋っぽい季節が短いと感じながらも、セミの鳴き声が聞こえなくなったり、どんぐりが落ちている様子や川での刺される経験など、季節の変化について話し合われています。 ランサムウェアの活動について、クラウド環境に関する話題が取り上げられています。ブラックキャットランサムグループの攻撃手法と被害についても、詳しく考察されています。 シーザーさんが運営する悪用された脆弱性のカタログであるKEVの登録数が1000件を超え、政府機関における対応率が劇的に改善されたことが報告されました。KEVの基準や優先順位付けの方法、そして今後の取り組みについても明らかにされています。 今回のエピソードでは、リツール社の不正アクセス事例が詳しく紹介されています。攻撃者は、フィッシング攻撃やディープフェイクを用いて従業員からMFAの認証コードを入手し、会社のオクタやGoogleのアカウントに不正ログインしました。リスクについてはGoogleオーセンティケーターの同期機能についても考慮されています。企業が同期を管理できなかった場合の侵害のケースも紹介されています。 この事件について、Googleが全て悪いとは言えない部分もあるかもしれませんが、類似の機能を持っている製品はたくさんあるので、自社のセキュリティを考えるのは重要ですね。

季節の変化と秋の訪れ
なんか、空き感なくない?
ちょっとね、ここ数日少し。天気も悪いのもあるけど、気温がだいぶ低いよね。
ちょっとね、ちょっとそういう感じはするけど、なんかほら雨伴ってるじゃないですか、それって。
なんでね、なんか来週もまた30度超える日があるという。
まあちょっとまた戻るみたいね。
まあでもこうやってだんだん、空きっぽくなってくんじゃないの?
まあ少しずつね。
いやでも絶対そのなんか、去年とか一昨年の感覚とかあんまり覚えてへんのですけど、気づいたら冬じゃないですか。
まあそうね、なんか秋っぽい季節って短いよね、たぶん。
短いなあと思ってね。
けどもう外とかどんぐり落ちてますよ、普通に。
あ、本当?
どんぐり?
はい。
どんぐりなんかとんと見たことないな。
マジですか。公園とかね、近く散歩してるとセミじゃなくてどんぐりが落ちてて。
もうセミは鳴き声聞こえなかったもんなあ。
でもまだ未だに散歩で川に刺されますよ。
あ、川ね。
まだちょっとダメかもね。
そうですね、川いますねまだ。
夏の終わりと秋の始まり
そう、暑い日も続くしなんかもう最近ちょっと落ち着かないですわ。
なんで?
なんかバタバタしてる。
もともと落ち着けないんじゃない?
バタバタしてて、僕が物理的にバタバタしてるってことじゃないのよ。
そういうことではないんですか?
動き回ってるっていう意味じゃなくて落ち着かない、なんて言うたらいいの?落ち着きのない人っていう話じゃなくて。
違ったですね。
一旦それは認めるよ。落ち着きないと思う。
小学校の通知表で6年間かける3回生の18回通知表に毎回一書き二書き三書き全部に一言書かれたのは落ち着きがないっていうのがね。
前言ってたよね。
ずっと書き続けてこられて。
そうではなく?
バタバタしててね。
バタバタしてる。
ずっと資料作ってるわ。
スケジュール的に忙しいっていう意味ね。
資料作ったり、説明の文章をちょっと書いて送ったりとか。
行き着く暇がないってやつか。
Xデーにポストする件数も減ってるわ。
いいことじゃない?忙しくて。
いいのかな?書きたいなって思うこともあるけど、ちゃんと読んでからしか書けないじゃないですか。
例えばそうですね、最近今週一番思ったけどまだ書いてないなポストしてへんないうやつはもうノーウェアランサムってなんやねんっていう。
言ってたわ案件でしょ。
言ってたわっていうのもあるし。
なんかね新しい攻撃手法みたいなこと書かれてたねどっかにね。
新しくないわみたいな。
言いたいでしょ?
新しいって思ってるのってあなたたちだけじゃないですか?みたいなところもあるかなっていう気はしますけど。
ソースどこだっけ?警察だっけ?
警察庁。
警察とかIPAとか書くのってあんまりそういうろくどことがないっていうかさ。
混乱を招くような、母さん助けて詐欺と同じような感じ。
いい感じですね今日は。
言ってる人たちがろくでもないって言ってるわけじゃないよ。
もちろんもちろん。
言ってる人たちの意図が伝わらなくて変に誤解されて使われることがよくあるなっていう。
そうっすよね。
ノーウェアって海外でそのまま使うとなんか服着てないとか。
そうそうそうそう。
ニュアンスとして伝わりそうですよね。
全裸脅迫、全裸脅迫。
全裸ランサムみたいな感じ。
全裸みのしろ金みたいな。
音だけ聞いたらもしかしたらそう聞こえてしまうかもしれないですけど。
季節の変化を感じる日常の出来事
でも上手いこと言った感じもしなくもないけどちょっとニュアンス違うなっていう。
そうなんですよね。
僕も上手いこと言おうみたいなことをよくするタイプ。
この3人の中で一番そういうタイプかもしれないですけど。
上手いことを言った時っていうのはむちゃくちゃハマるかむちゃくちゃ滑るかしかないっていうね。
高い行為だということは考えとかないと本当に大怪我しますから。
確かにね。
難しいですよね。
定着しないんじゃない?今回の。
しないと思いますよ。
暗号化を伴わないランサムってことを言いたいんだと思うんですけど。
でもそれってジャンルは全然違いますけどD-DOSを使った脅迫は何て呼ぶねんとかも思うしね。
それやったらみたいな感じもするんで変な名前やなっていう感じはしましたけど。
言いたいことはわかるけどねっていう。
前々からさ、わりとあちこち辻さんはよく特に主張したけどさ、
元からあった暗号化の方法と、次出てきた二重脅迫と、
今言ってる新しいかどうかは置いといて、暗号化しないタイプの脅迫っていうのもあってっていうさ、
そういう脅威の違いによって変わらない部分もあるし対処として変わる部分もあるから、
そういう手法があるってこうやってきてる人たちが結構いるよっていうことが知られるっていうことは悪くはないかなと。
名付けがいいかどうかはともかくとして。
名前はさておきと。
そのフックにはいいかもね。
まだちょっと全部読めてないのでね、まだ紹介はできないんですけど、レポートに関しては。
はいはい。
お便りいきましょうかね。
お願いします。
今日はね、うまい感じにね、看護さん僕、ねぎすさん向けみたいな感じの。
まず一つ目なんですけども、これ看護さんってというか看護さん向けのお便りなんですけど、
TikTokでIT企業で働く三つ家女子、赤坂三つ家の三つ家なんで三つ家で働いてるんですかね。
三つ家女子が普段IT関連の情報収集に使っている参戦にピオログが二つ目に紹介されてましたと。
私が書いてるブログの名前なんですかね。
赤ちゃんの方ってこと?赤ちゃんのサービスでピオログってありましたよね。
同名のアプリ。
いやいや、IT関連の情報収集やからそれ以外ピオログって多分なさそう。
さすがに違うだろう。
まあでもね、セキュリティーやってる人にはさ、当たり前というかおなじみだけど、
セキュリティー関係なくね、そういう事案についてコンパクトに毎回毎回まとめてくれてるブログってそんなにあるわけじゃないから。
そうですよね。コンスタントに出してくれてるっていうふうなもので。
幅広くIT系だけでなく結構見られてるんじゃないかな、あそこはピオログさんはね。
そうですよね。しかもセキュリティーっていうジャンルってやっぱ狭いジャンルじゃないですか。
だいぶ狭いですよね。
ITの中からITと比べたら狭いじゃないですか。
でもそのやっぱりこのIT関連のっていうのがすごい僕ポイントやなと思ってこれ見てて。
ITの仕事しててもやっぱセキュリティーのことに触れないといけないような状況に変わってきてるのがあるんだよなっていうね。
なんかさ今それセキュリティー狭いじゃないですかって言ったけど、俺は全く逆のイメージを持っててセキュリティーめちゃくちゃ広いと思ってて。
はいはいはいはい。
だってどこにでもセキュリティーってあるじゃん。
そういう意味ね。どちらかと言うと関心の意味で関心を持っている人の数っていう風なやつを、やっぱ開発系とかの人の方が人口的に多いんかなっていう気がしてたんですよね。
関心っていうかさ、専門的にやってる人数は少ないと思うんだけど。
私その意味でした。
だけど関心を持っているのはむしろセキュリティーの方が絶対広いと思うよ。開発に関心を持っている人よりセキュリティーに関心を持っている人の方が絶対広いよ。
だってセキュリティーの事件とか身近に起きたら自分に直結する話じゃん。開発の話なんて別に自分の身に関係ないもん。
だからその専門的にやってる人は狭いけど、世間一般の興味はセキュリティーの方が絶対広いって。
だからピュアログはそういう意味ではすごく注目度が高いと思うよ。
うれしいですね。ちょっとそのTikTokの動画なんですかね。
なんだろうね。
TikTokで静止画やったらちょっと面白いですけど。
さすがに動画だろうね。
ずっと止まってたら面白いけどな。
そういう感じなのか。
そういうところにも紹介されてたという。
うれしいです。
頑張ろう。
次は僕ですね。
全てのお便りの方かな。
よく聞いているセキュリティーのあれ、いつぞやご本人たちもおっしゃってたけど、どういった方々がお話しされているのか全然気にしないで聞いていたので調べましたということで。
僕ら名乗らないじゃないですか、自分たち。
声がすごく若い感じで、勝手に辻さんのことを二、三十代のお兄ちゃんだと思ってたからびっくりということで。
そういう雰囲気あるよね。
そうですか、全然四十代のおっちゃんだったんですけど。
声若いですかね。
辻さんどうなんだろう。
しゃべり方からしたらね。
多分口調とかさ、関西の方、そういうことは偏見かもしれないけど、親しみやすいしゃべり方っていうか。
確かに。
多分関西弁的なものもそういうのに寄与しているかも。
あるのかもしれないですね。
そういう意味で、いい意味で若い人っていう感じかもしれない。
ちょっとわからない、俺らはあまりにも普段からしゃべりすぎてるから。
確かにそうですよね。
本人を知らずに声だけ聞いてどういうイメージかって言われたら、もはやわかんないんだけど。
どういう感じなんだろう。
お互いのイメージって確かに、僕らのお互いが思うイメージっていうのは世の中的に、周りの聞いてくださっている方々の感じるイメージはものすごい乖離あるでしょうしね。
さて、ほら、先週も俺の声聞いて徳村さん的なビジュアルをイメージした。
失恋のあれってやつ。
あれも別に俺だからしたらえ?って思うけど、声だけ聞いてそういうふうに思う人もいるかもしれないなっていうね。
確かに確かに。声ならでは感のやつですよね。
面白いですよね。
そうですよね。これでもなんかちょっと僕としてはですね、声が若い感じやったけど、そうじゃなかったってことなわけじゃないですか。調べたら。
見た目がオッサンやったってことなのかな。
確かに何でびっくりされたんでしょうね。
年齢で、僕結構プロフィールに何年生まれとか入れてるから。
まあ多分そういうのを見てってことなのかな。
そこやったらいいねんけど。
見た目っていうよりもさ、キャリアインタビュー的なやつとか。結構経験ある人なんだって思ったのかもしれないし。
そうですね。まあちょっと全力でね、年齢に抗っていこうかなと改めて思いましたということでございます。
最後のお便り。これネギスさんが前回お話ししたやつに関して、Xのハッシュタグつけてお便りくれてた方もいましたし、
僕に直接連絡をして教えてくれた方も2つの経路から違う方が教えてくれたんですけど、
前回イランの攻撃者と思われる攻撃が日曜日みたいな話あったでしょ。
それに関してなんですけど、中東あたりのイスラム教圏っていうんですかね、そういったところでは日曜日が仕事のところが多いらしいんですよ。
知ってるよ。
ちなみにイランは金曜と土曜がお休みという。
金曜はお祈りの日かな。
金曜は集団礼拝の日ですね。だから日目が平日にあたると。
周観とか文化とかの違いで、休みの日がいつかっていうのは結構違うよね。
確かに前回ちょっと俺もうろ覚えだけど、日曜から木曜が活発で、金曜は割と活動が少ないみたいな。
そういうパターンが見えますねみたいな話を。
そうそう。で、攻撃者が本番の攻撃と事前の攻撃する奴らで別れてんちゃうかっていう説とかそんな話しましたね。
なんでそこで言わなかったかっていうと、そこでは特にイスラム圏だからどうこうっていうことは元々の記事には特に書いてなかったので、特に触れなかったんだよね。
だけどすごいね。そういうことをちゃんと指摘してくれるが何人もいる。
一人の方は日本貿易振興機構ってあるじゃないですか。ジェトロ氏。
あそこのイランの祝祭日のURLまで送ってきてくれて。
そこの注釈に書いてるんですよね。週休日は金曜と土曜って書いてるところを送ってきてくれはってんですね。
みんなちゃんと聞いたことをそのまま鵜呑みにせずというか、なんでなんだろうって考えて調べられてね。
調べるのにもともと知ったのかわかんないけど、送ってくれて共有してくれるって嬉しいね。
そうですね。そういうことが癖ついてるんですかね。そういうリスナーの方々。
そういうのはすごい大事なことだよね。ありがとうございます。
そう、こういうのはわかってはるから言わんでいいかなじゃなくて教えてくれるのがありがたいですね。
わざわざアクションにしてくれたっていうのが嬉しいなって思いました。
ついでにっていうかさ、だから納得っていう面と、だからそれを装ってるっていう可能性もあるので。
だからそこら辺がね、難しい、こういうののアトリビューションというか、分析で難しいところで。
ずっとついてまわりますよね。
時間帯もわざわざそこに似せてる可能性もあるわけで。
だからそれはその、なんていうの、証拠としては若干弱いんだよね。
そうですね。一つの要素としてしか考えられない、証言葉では呼べないですよね。
バレても別にいいと思って、本当に生活時間帯で活動してる可能性ももちろんあるんだけど、
あえて騙そうと思ってやってる可能性もあるっちゃあるんで。
そうですね。
まあその辺がね、難しいけど。
でもそういう地域によってそういうのがありますよっていうことを知ってて考えるのと、知らずに何でだろうって思うのでは運手の差があるからね。
ありがとうございます。
学びがある。
はい、学びがあるね。
お便りは以上でございます。
はい、ありがとうございます。
もし質問とか、こうじゃないんですかとかいろいろあればご意見ご感想とかは、Xのセキュリティのハッシュタグつけてポストしていただければなと思います。
そうするとステッカーの印刷コード差し上げます。
はい、お願いします。
じゃあ、セキュリティの話していきますかね、そろそろね。
はい、じゃあ今日僕からいきましょう。
はい、お願いします。
はい、なんでしょう。
ブラックキャットランサムの攻撃手法
今日はですね、僕が紹介するのはまたランサムなんですけれども。
いいね、安定度。
ブラックキャットランサムっていうランサムギャングがいますけれども、そこの攻撃者がAzureのストレージを暗号化してくるっていう風な攻撃が観測されたと。
なんか前々からクラウドの環境に対するランサムウェアの活動っていうのもさ、ずっと前から言われてはいたけど、そんなに事例として目立ってなかったっていうのもあって、実際のところどうなんだろうみたいな。
やったところで効果が薄いかもしれんっていうのがあるかもしれないですね。
バックアップが勝手に取られてたりとかっていうのもあるじゃないですか。
戻っちゃいそうな漠然としたイメージですけど。
そうそう、そういうのであんまり指摘はされつつも目立ってこなかったっていうようなところがあったのをちょっと紹介しようかなと思ったんですけど。
ソフォスのインシデントレスポンスチームのX-OPSっていうチームの人たちがマストドンに投稿されてた内容が元ネタになってるんですけど、結構珍しいですね。
レポートじゃなくてマストドンかっていう。
ここのインシデントレスポンスチームが最近対応したインシデントの調査中に見つけたっていうふうなものがあって、何を見つけたかというと、
ブラックキャットのスフィンクスっていう暗号化するために使われているものがこのスフィンクスっていうツールで呼ばれてるんですよね。
いわゆるランサムウェアなんですけども、このASHが認証情報を使って暗号化するっていうのをサポートしてる機能がついたというふうなもので。
このスフィンクスっていうもの自体は今年に入ってから2月ぐらいにブラックキャットから発表されたもので、これまで何回か改善がされてきているようなツールになってるんですよ。
例えば改善したもので言うとコマンドライン引数ですね。暗号化するときにいろんな情報を与えて暗号化したりするんですけども、その引数を複雑化して検知されにくくしたりとか、
例えば-アクセストークンとかっていう引数のものを全然ランダムな文字列みたいな感じにして引っかかりにくくしたりとか、
あとはインパケットとか認証情報をダンプするようなツールとかっていうのを組み込んだりっていうアップデートがこれまでもされてきたものなんですね。
そのコマンドライン引数に追加された-Oっていうふうなものがあって、これに与えるのが認証情報を与えることでそっちにも暗号化を広げることができるっていうオプションがついたのがこのXopsの調査で見つかったというふうなものなんですよ。
認証情報っていうのはそれを使ってアカウントを不正にログインしてその先よってことだね。
公益の詳細はこのマストドンでガーって書いてあったので、めっちゃ細かくは書いてないんで、それをどうやってやろうなって疑問が残るところもあるにはあるんですけど、
仮定だけでちょっと言いますと、ブラウザの拡張機能を使ってラストパスの保管庫にアクセスして、そこから認証情報とかいわゆるOTPとかも登録できるじゃないですか、ワンタイムとか。
昔このポッドキャストでもIDパスワードを入れるのは普通にあるけど、ワンタイムはそこに入れたらあんまり良くないんじゃないかみたいな議論ここでもありましたよね。
あったね。したことあるね。
そうそう。それを盗まれたっていうところから攻撃が始まってるんですよね、入った後に。
そのままOTPとかIDパスワードを使うとありとあらゆるものの制御ができちゃうようになっちゃうんじゃないですか。
クラウドだけじゃなくて登録されているものすべてできちゃうということで。
ここはソフォスの顧客だったので、被害者、被害組織のソフォスセントラルっていう、ソフォスファイアウォールとかいろんなソフォス製品を一元で管理するクラウドプラットフォームがあるんですけど、そこにアクセスされちゃったんですね。
改ざん防止機能といわゆる、ランタンを動かしても変化させられへんとかそういうのがありますけども、そういった機能を無効にしてきていると。
めっちゃ怖いですね。この時点で怖いんですけど。
そういったさっきの-oのオプションを使って盗んだ認証情報とか、合計で39個のAzureストレージのアカウントを盗んでるんですけども、
それを使ってローカルの環境というかネットワーク内の環境とリモートのAzureクラウドストレージを一気に暗号化をするというのに成功した攻撃というふうな、なかなか地獄絵図になる感じかな。
怖いやつだったんですね。このブラックキャットを過去にどんな攻撃したかというのも、僕今日色々チェックしてたんですけど、結構いろんな新しいものを取り入れているグループの一つなんですけど、
例えば今年に入ってからだったら、4月にはバックアップソフトの脆弱性、ベリタスバックアップエグゼックの脆弱性を悪用してたりとか、
あとは他のグループがあんまりやってないというか、こういうネットワーク侵入型のランサムギャングはあんまりやってないかなという印象を受けているもので言うと、
7月にマルバタイジング、広告を通じて偽物のWinSCPっていうのはファイル転送するツールあるじゃないですか、SSHとか使って、
あれをインストールさせるキャンペーンもやってましたし、あと同じ月にはリークサイトに簡単にアクセスで情報を収集できるようにするデータリークチェックのAPIを公開したりとか、
あと最近一番直近で有名なやつで言うと、MGMホテルでしたっけ、カジノがあるラスベガスの、あそこも被害に遭ってるんじゃないかという報道がいくつか出てて、
VXアンダーグラウンドってあるじゃないですか、VXヘブンの後継というか、マルウェアとかいろんなドキュメントとかを貯めているサイト、
そこのTwitterのアカウント、そこの人たちの調査によると、このMGMに対するアクセス、イニシャルアクセスはリンクトインから従業員見つけて、
ヘルプデスクに電話かけてやったんじゃないかみたいなことがツイートされてたりとかいうふうなことで、
ブラックキャットランサムの攻撃実績
いろんな多岐にわたる攻撃手法というか、手をかえしなおかえが、スピード感がかなり早いなっていう印象が前からあって、
あとは独自のツールもこのスフィンクスだけじゃなくて、Xmatterっていうファイルの転送、
二重脅迫で盗んだ情報で脅迫するときに使うツールで、独自の転送ツールも持ってるんですね。
これはロックビットでいうところのスティールビットっていう独自の転送早いでっていうツールもあって、
かなりいろんなテクノロジーとか攻撃手法を取り入れてるなというふうに思ってたんですよ。
で、改めてこのリークの数とかをまたチェックしてみたんですけど、前にもごく紹介したと思うんですが、
クロップってたまにめっちゃ跳ねるじゃないですか。ロックビット超えるぐらい。
それはちょっとノイズなんで一応省いて、平気に鳴らしてみたりとかっていうのを比べると、
クロップのバチコーンって跳ねたやつを外すと、ロックビットに次ぐ件数をずっとほぼほぼ維持してるんですよね、ブラックキャンプって。
例えば今年に入ってからの8月までのリーク数でいうと、合計で265件のリークをやってて、
だいたい月平均にすると33件ぐらいで、どんどん右肩上がりに件数が上がっていってるっていうふうな感じではあります。
効果が出てるっていうふうに見てもいいのかななんていうふうに思っててですね。
他のランサムギャングとかの出てくるレポートだとか、アフィリエイトを募集するようなこんなツール備えてますみたいな、
これぐらいのお金の取り分ですというふうなところも見てはいるんですけど、
他と比べても手法も多岐にわたっている。進化って言っていいのかわからないですけど、そういった変化も絶え間なくやっているので、
これからもチェックしていこうかなというふうに。
チェックも単に興味があるというだけではなくて、やっぱりそういう攻撃手法を取り入れるのが早いっていうのがあるので、
守る側としてはこの動向をチェックしておくのっていうのは、結構有益って言い方悪いかもしれないですけど、
チェックせざるを得ないようなグループなんじゃないかなっていうふうに今回のソフォスのグループのも見ててちょっと思いましたというお話でございます。
どこと名前は出さないけどさ、いくつか最近というか前からこのグループは国内企業に対しても攻撃実績があるというか、リークサイトに載せられてしまったところが。
ちょこちょこありますし、今月もありましたしね。
ブラックキャットランサムの特徴とキャラクター
なので海外国内問わず割と件数もさっきの話で多いっていうことだし、
まだまだ注意を要する攻撃者グループの一つだよね。
あとはちょっと言い忘れましたけど、他のグループと比べて最近特にそうなんですけど、自分たちの意見をめっちゃ限ってくるようになった。
例えばあの報道はフェイクやぞとか、そういうのは違うからみたいなことを書いたりとかいうふうなお気持ち表明じゃないですけど、そういうことをよく書くのが増えてきたなっていう印象はありますね。
侵入の過程で知った、そこ突っつかれたら痛いなみたいな、まさに侵入受けている最中に中でやってたチャットのログとか。
これこんなこと今なってるけど、ここの部分大丈夫かみたいな感じの確認しているチャットログとかもさらしてくるみたいなこともしてて、
キャラクターがちょっと見えやすい感じになってきたなっていう印象がありますね。
多分攻撃者によってやり方は色々違うと思うんだけど、そういうことが一つ被害者に対するプレッシャーになっていくか、
その後から被害に遭う人に対して、君らも打ち払わないとこういうことになりませんみたいな。
そういう圧力の書き方なのかもしれないよね。
見せしめ的なってことですね。
主義主張優っていうのも、ある程度そういうふうに攻撃者のポリシーが見えた方が交渉がしやすい面があるというか、
誰も知らないところに金を払うよりも、考え方は色々あるかもしれないけど、払う側の交渉する側の立場になってみると、
ある程度交渉ができる相手なのか、考えが全くわからない交渉の余地もない相手とやり取りするよりは、
だったらもう金払わずにやろうってなっちゃうよりは、ある程度見えた方が、
ちゃんと応じてくれそうな奴らなのかどうかみたいな。
交渉しやすいかなという気はするよね。
確かにね。確かに取っ掛かりとしてはいいのかもしれないですね。向こう側からすると。
そうそう。知り滅ぼさなことをやるグループよりも、かなとかいうのもあるしね。わかんないけどね。
確かに。単なる愉快犯みたいに見えちゃうとね。
こいつら取り尽くしようもなさそうやなって思われたら、交渉のテーブルに乗ってこないかもしれないですもんね。
確かにね。お金払っても、ちゃんと言う通りにしてくれるのかどうかわからないとか。
二重共発券の場合には保証がないわけじゃない。取られた情報をどうするかっていうのはさ、
お金払っても、必ずしも本当に消してくれるかどうかなんて全くわかんないけど。
見えないですもんね。
それなりに実績もあり、考えも見えており、所詮は犯罪者だけど有限実行でやってくれるっていうのがあるというのが見えれば、払いやすくはなるよね。
確かにね。
そういう狙いがあるのかもしれない。わかんないけどね。
なるほど。
なかなか目が離せないなというふうに改めて思いました、このグループ。
そうですね。
そんな感じでございます。
ありがとうございます。
ありがとうございます。
ということで、じゃあ次はカモさんいきましょうか。
はい。じゃあ今日私はですね、実は今週って言っていいのかな。
ある記念というか、記念というのかな、ちょっと表現が適切かわかんないんですけど、記念がありまして、
もしかしたらね、ねきさんもしかしたらiPhoneかもしれないんですけども。
うるさいわ。
ちょっとiPhoneではなくてですね、私たちたびたび取り上げてあるKV、シーザーがやっている悪用が確認された脆弱性のカタログがありますけども、
KVのカタログに登録されている脆弱性の数っていうのはですね、
向こうの日付で言うと9月の18日に1000件を超えたと。
だいぶ増えたね、なんか。
増えましたね。始まったの2021年の11月だったかな。
なので2年足らずという感じですかね。2年足らず。
最初って200件とか300件とかだっけ?
そうですそうです。
200何件とかでしたよね、確かね。
そうだよね。それが2年経たないうちでもう1000件か。すごいな。
過去のものも追加はされているので。
たまに2014年とかありますもんね。
そうですね。そういうのも含めはしつつ、数としては1000件超えたというところがあってですね、
ちょうどそのタイミングを狙ったのか、シーザーがですね、1000件を超えましたというところで、
このKVに関しての運用状況をレビューした結果っていうのを公表されたんですね。
今日はちょっとそれをお話ししたいなと思ってるんですけども、
KVにそもそも追加される基準って、改めて言うまでもないかなと思うんですが、
3つの基準っていうんですかね。どういう対象になるとKVに追加されるのかっていうところ。
まずは改めて説明はその中ではされていたんですけども、
CVEが裁判されていることとか、悪用に関わる証拠があることとか、
あとは解決するための効果的な対策方法があるとかいう話があるんですが、
3つに対してシーザーがどういうふうに取り組んでいるかっていうのも合わせて書かれていてですね、
CVEのIDが裁判されていることに関しては、
シーザー自身も各機関、各ベンダーと協力をして、
悪用が確認されたものっていうのはIDが付与されるようにできるだけ働きかけというか、
動きをそもそもちゃんとやってらっしゃるという話ではあって、
CVE裁判されてないからKVに乗らないっていうのがこれまで、私も結構言ってたりはしてるんですけども、
シーザー自身も一応それは認識して、できるだけそのカタログに載せられるようにCVEの裁判をするという、
そういった調整なんかをされてるっていうのが書かれていたりとか、
あとは悪用に係る証拠っていうところについては、
業界の信頼できるパートナーであるとか、
セキュリティのリサーチあるいは政府機関というところをソースとする必要があるというところは、
前置きとしつつ、何でもかんでも悪用というか、
インターネットで脆弱性を使った動きがあれば登録されるという、
それそのものではなくて、しっかりと脆弱性の存在をスキャンするというんですかね、
脆弱性があるかどうかをちょっと簡易的に調査するとかっていう、
そういったものと本質的に悪用している行為っていうのをできるだけ区別して、
後者を登録するというところに重点を置いた分析をしているというのが書かれていてですね、
悪用っていうところに関してもシーザー自身の考えっていうのもそこにあるんだなとか、
政府機関における対応率の改善
問題解決の方法っていうのが効果的に対策されるかというところに関しては、
当然その対応というか、一番わかりやすいのはパッチではありますけども、
パッチがない場合は適切な回避策っていうのが必要になるんですが、
それが見つからない場合はソフトウェアのベンダーに連絡を取ったりとか、
できるだけパッチが適用されるリリースを早くしてくれという形で流したりとか、
そういったメッセージを明確にしてもらうための取り組みっていうのをやっていると。
ただやっぱりこの分に関しては、なかなか時間を要しているというのも現状としてはあるっていうのが、
3つの基準というところに関してシーザーのこれまでの動きとかっていうのが書かれていて、
そこはすごい参考になったなというところと、
あと実際この2年足らずって話であったんですけど、
このKEVの運用というか、BOD-2201が始まってから、
どういった効果があったのかっていうところも簡単に触れられてはいたんですが、
21年の11月以降、対象となっている政府機関においては、
結構な数なんですけど、1200万件以上の悪用された脆弱性の対応っていうのをしてきましたよというのがあって、
結構な数対応したんだなというところがあったり、
あるいはそういった政府機関において、
45日以上放置された状態の悪用された脆弱性の割合っていうのは72%減少しており、
そうでない組織っていうんですかね、
シーザー自身がやっているその脆弱性のスキャンサービスっていうのがあるんですけども、
そこに登録をしているSHUとか、あるいはJUFRAとか、
そういった機関においては、
同じく45日以上放置された状態のKEVの割合っていうのも3割、
31%減少ということで、
わかりやすく数字としても効果が出ているというところがある中で、
KEVの今後の展望
今回1000件超えたというところもあり、
その1000件のKEV、悪用された脆弱性っていうものに対して、
どういうふうに優先順位をつけていくかと、
当然KEVに登録されたらそれはしっかり対応していかなきゃいけないっていうのは、
それはその通りではあるんですけども、
悪用された脆弱性自身を、
組織においてどういうふうに優先順位をつけて対応していくかというところについては、
シーザー自身も質問を受けるということがあるらしく、
ここについては脆弱性の深刻度っていうんですかね、
そこについて一概に判断というか決められるものではなくて、
その脆弱性が含まれている製品っていうのが、
組織においてどのように運用されているかというところに影響を受けると。
それこそインターネットに晒されていて、
IDとかを管理しているようなシステムがあれば真っ先に対応すべきでしょうし、
ちょっと例示として適切かわからないですけど、
カフェテリアのそういったシステムであれば、
先ほどのようなシステムと比べれば優先順位は落ちるでしょうし、みたいな。
扱っている情報によりけりでってことですね。
なんか以前取り上げたかちょっと忘れちゃったんですけど、
SSVCですよね、デシジョンツリーで意思決定をしていくという形で、
脆弱性の対応を決めていくというところについても、
その中で紹介をされていたと。
今回1000件超えて、
じゃあ今後どうしていくかというところについても書かれてるんですけども、
我々はまだ長距離レースの最初の数週目だというところで、
なんかちょっと最終回みたいなこと言い出したじゃないですか。
本当にそんな感じでして、
我々の戦いはまだまだ始まったばっかりだと。
SEITA自身の考えとしては、脆弱性管理の取り味というか、
優先順位をつけるツールっていうのが既にいろいろあるわけですけども、
そこにKEVが組み込まれていくっていうのが理想ですということで、
いくつかベンダーの名前とかっていうのも挙げられていて、
KEVを使用している製品をご存知でしたら、
うちに連絡してくれとかメールアドレス書いてあったんで、
日本国内のそういうベンダーがおりらっしゃると思うんで、
ぜひ連絡したらいいかと思うんですけども、
組み込まれるのが理想というところで、
そうは言いつつ、
悪用の状況を完全に理解していくための関連情報も
できるだけ追加していきたいということで、
これちょっといつから追加されたとか、
私はっきり把握してないですけども、
ノートっていうのがいつぞやか追加されるようになって、
今だと参考URLみたいなのが書かれているのが中心なんですかね。
右側のほうについたやつですね。
そうそうそうそうそうそうですね。
なのでそこに例えばランサムウェアアクターが
使用してますとかっていうのも書いていこうかどうか
みたいなのを考えてきたりするようです。
あと、今はKVに追加されます、
私も結構Xの中でポストしてたりもするんですけども、
KVに追加されるというのが日常の出来事ではなく、
驚くべき異常な事態であるというものに
変えていかなければいけないっていうのが
結構かっこいいこと考えていてですね。
なのでそれにはやっぱりしっかりとした設計をもって
脆弱性がそもそも生まれない仕組みっていうのを
考えていったりとか、あるいはリサーチャーが
悪用する人物よりも先に発見できるような
そういった情報開示調整のプログラムなども
検討していかなければいけないとか
いろいろ書かれてるんですけども、
そういったことを考えているということが書かれていて、
まだまだこれからもしっかり取り組んでいくっていうのが
シーザー自身の考えとしてはっきり書かれていた
ということがあってですね、
今回は1000件超えてレビューの内容を
シーザー自身が出したっていうのを見てですね、
結構私もKV、いいよいいよっていうことで
リツール社の不正アクセス事例
いろんなところで言ったりするんですけど、
悪用された脆弱性の対応が1200万件対応してた
とかって話なんかを見て、
こういった運用を変えるということに合わせて
それを評価する、評価できる指標とか
あるいはその仕組みっていうのも合わせて
入れていくっていうのはやっぱり非常に重要だな
っていうのは今回のレビューの結果を見て
改めて感じたところであったり、
あとこれまでちょっと個人的に気になっていたんですけど
KV、いいよってある意味第三者である
自分が勝手に売ってるだけっていう現状があって
それをシーザー自身が運用している本人たちは
どういうふうに思っているのかっていうのが
あまり見えてきてないところがあったので
確かに無機質な感じはしましたね
なのでそこに関して今回のこのレビューの結果の中で
例えばその鳥味の製品に組み込まれるっていうのが
望ましいとかっていうのが書かれてはいたので
シーザー自身もこのBOD2201っていう枠組みの中だけで
閉じずに広く使われていくことが理想だっていうのが
シーザー自身の考えを知れたっていうのは
これは非常に良かったなっていうのは思いました
これ途中で紹介してくれた
脆弱性の対応の時間が早くなったっていうの
放置されてたのがだいぶ減りましたみたいなのは
素晴らしい成果だと思うけど
実際にその脆弱性が悪用されるインシデントの数は減ったのかね
そこは書かれてなかったですね
確かに気になるところですよね
普通に考えたら
悪用される脆弱性の数が減っていれば
それだけ攻撃に成功する可能性は下がっているはずだから
インシデントの数も減っててもおかしくないかなと思うんだけど
そこがちょっと気になるというか
そんなにそこまで直接関係がもしかしたらないかもっていうか
別の経路を見つけるだけなのかもしれないから
ただそれだけ難しくはなるはずだけどね
インターネットにさらされている明らかに簡単に狙える脆弱性が減っていれば
他を見つけるにせよ難易度は高くなっているはずなんで
そういう意味で攻撃側のコストを上げる効果は非常に大きいんじゃないかなと思うんだけどね
あとあれだね最後のところで
シーザーかっこいいこと言ってたけどさ
数としてはざっくりだけど
最初に始まった時に2,300件とかが今700件ぐらい増えてるってことは
ざっくり平均して1日1個以上はコツコツ登録されてるわけじゃない
そうなんですよね最近も連日何件も何件も追加されてますけど
その状況ってここ特に2022年から脆弱性報告される数自体が増えてるっていうのもあるし
年間2万件から3万件ぐらいっていう状況がそんなに急に変わるとは思えないんだよね
そうですね
そうするとその悪用される数もそんなに増えることはあり減ることはないんじゃないかなって気がするので
しばらくはだよ
ゆくゆくはこんなのは日常じゃないんだってしたいとは言ってるのは気持ち的にはわかるけど
しばらくはこれが日常になると思うんで
だとするとここにも書いてあるけど
連邦政府機関はさこれもうその法的に組み込まれてやらざるを得ない状況になってるわけだけど
僕らはそのまあ例えばアメリカ以外のところもそうだし民間の立場からすると
これを組み込んだ標準的な対応基準っていうのをちゃんと決めて
あとそのまあSSVCなり何なりわかんないけどその対応のプロセスとか手順っていうのもちゃんと決めて
なおかつさっき紹介のあったそのツールとかに組み込まれてるのをうまく使ったら
やっぱ自動化をするっていう
こんなの毎回毎回手動でやってらんないから
本当そうなんですよ
こんな年間何百件もあるのをやってらんないので
自分たちが使っているシステムとパッとマッチングして
これはすぐ対象が必要どうこうみたいな
そういうマネジメントツールとうまく連動した自動化がなされないと
これはちょっと正直やってらんないなという
これだけの数はね
そういうレベルに早く到達しないとこれは厳しいなというのを
改めてこの記事の今の看護さんの説明を聞いてちょっと思ったね
そこまで意識してやってるところがどのくらいあるんだろうなっていうのがちょっと心配になるな
脆弱性の追加される件数×影響を受けるホストというか
するとすごい数ですよね多分ね
この何百件千件に及ぶ中で自分たちが使っているものはその中でごく一部だと思うんだけど
とはいえ企業の組織とかの企業によってはそれなりに該当するわけで
毎度毎度それをやるっていうのはそれなりに大変なことだから
だから僕らはほらちょっと言い方悪いけど気楽にさ
KEVよ参照しようよって言うだけで済んじゃうかもしれないけど
実際にそれを実装して組織の中で対応するのっていうのは相当大変なので
いやほんとそうですね
だけどそれやるのが今後当たり前になってくると思うんだよな多分
そういうのを見越して皆さんやった方がいいですよっていう
そうですね準備をね
コツコツやった方がいいよっていう感じかね
こういう運用事例を出してしばらく時間が経って1000件超えたっていう節目みたいなので
やりっぱなし出しっぱなしじゃなくてちゃんと効果測定
ちょっと足りひん気になる部分ももしかしたらあるかもしれないですけど
どんだけインシデント減らせてるっていうのはさっきのがいい例だと思うんですけどね
効果測定ちゃんと出して中身とか現状が見えるようにしてくれるっていうのはすごくいいなって思いましたね
大事だよねそういうの
やったはいいけどほんまに良かったんか悪かったんかわからんみたいなものってやっぱり多いなって思うんで僕は
本当は効果があるけど言ってないだけかもしれないですけど
ちゃんと自分たちのPRにもなるっていうふうに思ってやってるんでしょうけど
これはすごく見えていいなっていう看護さんの話も聞いてて思いましたね
この2201に続くようなね2301、2302に関しても今後何か出てくるといいなと思いましたね
特にね2301の資産の可視化なんてめっちゃ大変じゃないですか結構
14日間と7日間でぐるぐる回さなあかんっていうのとね2302みたいに
管理インターフェースどんだけ効果あったんかとかも知りたいですもんね
1年後くらいなのかなこのスパンで見ると
シーザー今回のも含めてだけど指令を出すだけでなくて自分たちもかなり力得て
支援してますよね
やってるというかやらされてるというか
これはこのカタログの維持するだけで結構大変だと思います
本当大変だと思いますよこれ
それに付随する様々な支援の仕組みとかを立て付けなきゃいけないから
相当大変だと思うけど
こうやって目に見える効果が出てるっていうのは素晴らしいよね
いいなと思いました
ありがとうございます
最後はネギスさんですお願いします
最後行かせてもらいますけど
今日はですね海外のリツールっていう会社の不正アクセスの事例を紹介しようと思ってるんだけど
この会社はソフトウェアの開発用のツールとか環境を提供している会社で
攻撃者の侵入手法
先月かな今年の8月に不正アクセスを受けましたっていう報告をしてるんだけど
結果この会社が提供しているクラウドサービスを利用している27の顧客で
アカウントの不正アクセスがありましたということで
対応を色々やりましたという報告をしてるんだけど
今日紹介した侵入の手口がちょっと興味深いというかこれは気をつけないかなっていう風に感じたので
具体的な攻撃側の侵入の方法を順を追って説明しようかなと思うんだけど
まずですね8月の末先月末にこのリツールっていう会社の複数の従業員が
sms でフィッシング攻撃を受けましたと
スミッシングっていうのかな
これが非常に洗練されたというかよく調べてやったんだろうなと思うんだけども
まず攻撃側はこの会社のIT部門の社員を装ってメッセージを送ってきましたと
それっぽい給与システムにトラブルがあったんで
お時間になるときに連絡くださいみたいなメッセージで
できればこのリンクからログインしてくださいっていうURLが貼ってあって
まずこれがフィッシングサイトのリンクなのね
この会社はオクタを使って認証の管理とかIDの管理とかをやってるんで
そのオクタのこの会社のポータルを装ったような
フィッシングサイトに誘導するような
まずそういうsmsが飛んできましたと
大半の従業員は騙されなかったらしいんだけども
まずこれを従業員に送る時点で電話番号とかが分かってなきゃいけないし
IT部門のチャインを装ってるっていうところとか
中身オクタを装ってるところもそうだけども
この会社のことをよく調べてるなっていう感じがまずあるんだけど
でもほとんどの従業員は騙されなかったんだけど
一人の従業員だけたった一人だよ
一人だけこのフィッシングサイトのリンクを踏んでログインしちゃった人がいましたと
どうなったかというとログインするとすぐ攻撃者から電話がかかってきましたと
これもまたちょっとびっくりだけど
IT部門の実際の実在する社員の人の声をディープフェイクで偽装して
その人本人の声に似せた形で電話をしてきましたと
その声の元ネタどっからって感じ
そうなんだよね
だからそれもどっかでちょっとそこら辺が詳しく書いてないんだけども
でも実際にその人の社員の声を学習して作った
フェイク音声で電話をしてきたと
まずその時点でびっくりだけど
加えてそのIT部門の社員を装ってるんだけど
ちょっとちゃんと話の内容も一応社内の事情に通じているような会話をしてきたと
いうことだ
これもたぶん下調べをかなりしてるんじゃないかと思うんだけど
この従業員も電話の内容でなんかちょっと疑いを持ったんだって
ちょっと怪しいなと思ったらしいんだけども
思っただけで結局攻撃者の優雅ままに
MFAの多要素認証の認証コードを電話で伝えてしまいましたと
それ聞いてきたんですね
電話で認証コードを聞き出して
攻撃者はそれでオクタのアカウントにログイン成功して
すぐに自分のデバイスをMFAの要素として登録しましたと
なので以降は自分のデバイスを使って多要素認証も突破できる状態に
パスワードももうわかってるからねフィッシングで
なのでログインできる状態になりましたと
で次にどうしたかというと
この会社はオクタを使っていろんなサービスを管理してたんだけど
Googleのワークスペースのアカウントもオクタ経由でログインできるようになったらしくて
攻撃者はそのオクタ経由で今度Googleにログインしましたと
MFAの認証コードの窃取
ここからがちょっと面白いというかおっという感じなんだけど
このリツールって会社は他にもいろんなところで多要素認証を使ってたんだけど
その多要素認証で使っているTOTPのワンタイムパスワードのコードを
Googleオーセンティケーターのアプリで管理していて
でそのGoogleオーセンティケーターで
そのMFAのシークレットをGoogleのアカウントを使って同期してたんだよね
でこれはGoogleオーセンティケーターを使っている人はピンときたと思うんだけど
今年の4月にアプリのアップデートがあって
それまで対応してなかったんだけどGoogleのアカウントを使って
クラウドを同期する機能っていうのが新しく追加されたんだよね
でそれを使って同期してましたと
そうするとどうなるかというと攻撃者はオクタをもう乗っ取ってます
そこを使ってGoogleのアカウントにログインできます
そこにはGoogleオーセンティケーターのコードが保存されています
そうするとこの攻撃者は自分のデバイスにGoogleオーセンティケーターをインストールして
その乗っ取ったGoogleのアカウントでログインすると
復元されちゃうんだよね
もう降ってくる感じですよね
被害者と全くデバイスと全く同じ状態のものが
コピーされたんだよね
同期という機能だから
でそれにどうなったかというと
この会社は他にもVPNとか他の社内の重要なシステムっていうのは
全部MFAで管理したんだけど
そのトークンまとめて全部だから攻撃者に取られてしまったのと
同じことになってしまって
結果そのお客さんの環境にアクセスするためのアカウントも取られちゃって
という最終の結果につながるんだけど
ここ少し説明が端折ってあって
MFAは取られたけどパスワードはどうしたのって書いてないんだけど
書いてないってことは多分都合が悪いから書いてないんであって
ひょっとしたらパスワードは使い回したのかなとかね
わかんないけど
一応ダジになったのかもしれない
パスワードは書いてないんだけど
その他のシステムにも多要素認証を突破して
侵入されてしまいました
こういう点末でした
肝になるのはGoogle Authenticatorの行動
同期者で根こそぎに取られてしまったっていう部分はやっぱり最大の
それよりも前のソーシャルエンジニアリングも非常に手が込んでるんで
それはそれですごいなと思うんだけど
この会社はいろいろソーシャルエンジニアリングの対策が不十分だったなとか
あとMFAもTOTPのワンタイムパスワードだけでなくて
セキュリティキーも使うべきだったなとか
いろいろ反省点はありますねと言ってるんだけど
一番主張してるのはGoogleがひどいと言ってて
その主張のポイントは大きく二つあって
一つはGoogleアカウントを使って
多要素認証の行動を同期するっていう仕組みがそもそも危ないじゃないかと
言ってるんだけど
Googleだけでなくてマイクロソフトのオーセンティケーターも同じ機能を持ってるし
Appleもそういう機能を持ってるし
例えばパスワードマネージャーのワンパスワードとかラストパスみたいなやつも
さっき辻さんが別のところでそういう話をちょっとたまたましたけども
パスワードマネージャーの中に多要素認証の認証コードを登録する機能もあって
それもやっぱり同期するわけだよねクラウド経由で
なんでこれって結局他のやつも標準的に持ってる機能なんで
これGoogleだけが悪いわけじゃないんだよね
どこ使ってもってことですね
なんでこれは同期することによるリスクと利便性
同期機能の利便性とリスク
一個デバイスが使えなくなっても他で復元できますよっていう利便性と
どっちとバランス取るかっていう話なので
これは使い方とかアカウントの重要度によって変わってくる話だから
Googleが悪いっていうのはちょっとあれかなと思うんだけど
それが一つと
もう一個この会社が言ってる問題っていうのは
Googleアカウントで同期させるっていうこのオーセンティケーターの仕組みが
無効利できないと管理者が強制的に無効利できないって言ってるんだよね
それと加えてオーセンティケーターを使ってた人は多分経験があるんで分かると思うんだけど
4月にアプリがアップデートした時に
Googleのアカウントに紐付けますかっていうのが出てきて
指示に従ってると勝手に紐付けられちゃうんだよね
実はそれがデフォートの動作になってるんだよね
今仮に言ったら新しくGoogleオーセンティケーターをインストールして
使うとどうなるかっていうと
最初にそのスマートフォンでログイン済みのGoogleのアカウントに紐付けますかってメッセージが出てきて
同期をさせようとするんだよねまず最初に
そうですね促してきますねめっちゃ
そこで強い意志を持って同期はしませんっていうのを自ら選択しないと
基本的には同期しちゃうのよ
そこがダークパターンで良くないって言ってるわけ
確かにそれはちょっと一理あるかなと思ってて
というのはこれも言ってみれば利便性とリスクのこれもやっぱりトレードオフなんだけど
そういう風に同期できますよって表示してあげた方が
ユーザーからは利便性的には高いというか
というのも分かるんだけど一方でそれによって今回のようなリスクっていうか
一網打尽になっちゃう可能性があるよっていうリスクっていうのは
あまり説明されてない気がするので
なので利便性が高いよって言ってデフォートでそういう動作に捨てる割には
利便性はちょっと二の次になってないかなっていうのは確かに感じるので
同期するとこういうことが起きますよ注意してください
それでも同期しますかって例えばメッセージが出るのと
単にGoogleのアカウントに紐付けますかって出るのでは大違いなので
こういうリスクもありますよそれでもいいですか
それでも選択しますかはいいいえみたいなデフォルトはいいえになってるとか
例えばさわかんないけど
プチプチやるといいえに落ちるようになってる
例えばだけどそういうパターンになっていれば文句も出ないかもしれないんで
ここら辺もちょっとバランスどっち取るかっていうのは難しいなっていう気がして
Googleワークスペースの管理機能
あとでもこの子が言ってるGoogleワークスペースみたいな
企業とか組織がまとめて使ってるような利用シーンで
ユーザーが同期するのを管理者が全部一括して無効にするっていう機能がないんだって
統合管理できないんですね
ユーザーが勝手に機能をオンにしちゃうというか
Googleの言われるがままに紐付けますってやっちゃったら
基本全部同期しちゃうわけだよね
どうもこの会社もおそらくそれは認識してなかったみたいで
それは確かに問題かもしれないなと思って
これは改善の余地があるかなってちょっと思いました
ということでいずれにせよ便利な機能にはこういうリスクがあるっていうかね
この会社も今回侵害されてみて初めて
自分たちのオクターがやられると
寝こそぎやられるっていう危険に
おそらく多要素燃焼だからちょっと過信した部分があったんじゃないかなっていう感じがあって
でもこれは待ってよ実は自分たちも関係ないかってちょっと僕も思ってさ
実際このねGoogleオーセンティケーター使ってる人は便利だからって
Googleの同期を使ってる人結構多いと思うのね
でも個人で使ってる分にはそんなにもしかしたら影響ないかもしれないんだけど
企業で使ってる分には今回みたいなケースがあるし
あとこれさそんなに新しい話でもなくて
例えば前にもこういうソーシャルエンジニアリングの攻撃ってあったけど
リカバリー用のメールアドレスとかを指定してるとかすると
例えばそのツイッターXにGメールで登録していて
Gメール系だとリカバリーできるみたいな場合に
Gメールのリカバリーは例えばアップルのアカウントになってるとか
そういう感じで仮になってると
大元のアップルアカウントが仮に侵害されちゃうと
Googleも乗っ取られXも乗っ取られみたいな感じで
いもずるしくて全部乗っ取られちゃうみたいな
そういうのあるじゃない昔からそういうのあって
どこが一番レンサーの中で一番弱いかっていうのが
そこが弱いとこが狙われちゃうっていうのは昔からよくある話なので
そう考えたらそんな新しい話じゃないんだけど
なんでGoogle Authenticatorっていう
1個の製品の仕様の話だけの話じゃないとは思うんだけど
ちょっとそういう危険性を改めてこの話を読んで
おおそうかそういうことあるんだっていうのを
ちょっと思ったなっていうと
公になってる事例でGoogle Authenticatorの動機の機能がまずかったっていうのは
多分初めて見たんで
今後こういう類似の事例が出ないとも限らないなと思ったので
ちょっと紹介してみました
皆さんは大丈夫ですかっていうそういう
Authenticatorで動機できるようになったのは
ちょうどアイコンが変わったタイミングの時かな
そうだねGoogleのカラフルな色に
もともとは鉄っぽい感じのGマークみたいな銀色っぽいアイコンでしたよね
金庫みたいな
ちょっと素っ気ない感じのね
Googleのアプリどのアプリか分かれへんくらい
同じような色合い使ってるみたいな感じに変わった時
僕もこれ最初絶対こんなの動機するかって
ネギスさんが言う固い意思を持って
拒否
こんなん絶対あかんやろって思ったんでやらなかったんですよね
アカウントなしみたいなやつですね
そういう人は多分少数派だよ
だと思いますよ
だって僕も何聞かれても一瞬わからなかったんですよ
何言うてんねんこいつって思って
俺はだから最初そのまま便利だなと思って同期しちゃって
あれ待てよこれやっちゃダメなやつじゃないって
後でだからもう一回向こうにし直したんだけど
クラウドマークみたいなやつどこか設定また変えられますよね確かに
Googleのアカウントとのひも付けをやめるっていうことをすれば
一応バックアップしなくなるんだけど
ただこれは確かにちょっと分かりにくいなと思った俺も
しかも組織で管理しきれないっていうのもきついですよね
個人ならその人本人の責任だからまあいいけど
組織だとね
今回みたいな顧客環境にまで影響を及ぼちゃったらちょっとやばいから
そういうコントロールは組織としてできないと確かにまずいかなっていう
できても良さそうだな
俺もちょっと知らなかったんで
感じはしますよね本当
ひょっとしたらこの会社が知らないだけで何か方法があるのかもしれないけど
ちょっと僕もそこは調べきれなかったんだけど
そういうのがあるらしいので
似たようなことをやっているところはちょっと気を付けた方がいいよっていう
実施状況も分からないんでしょうね
誰が今どうなっているか
そうそうそう
だから一律拒否するなら拒否っていう風にできた方が望ましい
全体のポリシーで適応できればいいんですけどね
細かい話だけどGoogle Authenticatorは同期しなくても
一応アカウントのシードを全部エクスポートする機能があるんで
それを使えば別の端末に移したりとかコピーを作ることはできなくはないので
必ずしもクラウドの同期機能は必須じゃないかなって気もするんだよね
壊れたり紛失した時のためってことなの?
そうだからあらかじめエクスポートしておかない状態で紛失しちゃったら困るから
バックアップしておけばすぐに戻せるでしょっていうのは
確かにそれはそういう紛失リスクを考えたら非常に助かる機能なんだけど
今回みたいな乗っ取られて一網打尽になっちゃうっていうことは
ちょっと想定していないとまずいことになるよなっていう
そういう感じですね
被害者の多様性認証
この事件がGoogleのこれが悪いっていうところはちょっと無理筋な感じもするけど
この内容を聞いたらちゃんとした一石を投じた感はあるかなと思いましたね
今さっきも説明したけど似たような機能って他にもいっぱいあるので
類似の機能を持っている製品たくさんあるから
そういうのを使ってる僕も個人的にはいくつか使ってるけども
例えば組織的にそういうのに対処しようと思ったら
うちは大丈夫かなっていうのはちょっと考えた方がいいかもしれないね
確かに確かに
なんかね多様性認証だから大丈夫ってやっぱちょっと思っちゃいがちだからね
そこも気になったけどやっぱり声のところはちょっとめっちゃ気になったな
他にもそういうソーシャルエンジニアリングでこういうディープフェイクの
画像だったり音声だったりを使うっていう事例はないわけじゃないけど
そういうのやっていくんだなと思って
どこで本人の音声を入手したのかわからないけど
今のディープフェイクでかなり優秀だからそんなに長い時間なくてもいいんだよね
短い音声でも十分作れちゃうんで
あれか会社に電話してもいいのか
そうそうそれもありなんだよね
適当な会話してとか
ひょっとしたらだからこれ従業員の電話番号とか分かってるぐらいだから
鳴りすます人にあらかじめ電話したんじゃないかな
録音したのかもしれない
間違い電話を予想ったりとかね
恐らくそういう手口じゃないかなと思った
書いてないけどね
結構この会社の内部のことも詳しかったんでしょこの犯人は
そうなんだよね
オフィスの見取り図とかそういうのも分かってた
そうそう社内のいろんな手続とか
そういう情報にもかなり詳しかったって書いてあるから
そういう情報が外に書かれてたのかもしれないし
何かしらそういうのをちゃんと調べて
どうやって調べたんだろうねわからないけど
かなりそういう意味では巧妙だよね
かなりすごいした準備を
こんなの聞かれてもすぐ答えられたってことでしょ
たぶんこういうことをね
すごい準備していたのか
それもう内部犯行ちゃうのと思ってしまうぐらい
ですよねこんなんね
そういう情報を買い取ったのかもしれないですしね
わからないけどね
どっからどうやってそういう情報が漏れてんだろうね
準備が丹念って思いました
ただ決してこれがそのめちゃくちゃ珍しい高度な
例外的な事例というわけでもないので
この点のそのフィッシングで
そうしたエンジニアリングをかませてくるっていうのは
よく報告されている事例ではあるから
そうですね
こういうのはあるというふうに思ったほうがいいよね
一言だと思わずにあってもおかしくないぐらいに
思うのがいいですね
こういう連絡があった時の基本的なルールとかも
ディープフェイクとソーシャルエンジニアリング
ちゃんと確認し直す必要があると思いますね
同じぐらいのことをやられたら
どんだけのところが防げるのよっていう
いやいやほんまそうだと思います
思っちゃうよね
どうなんですかねこれ
声でのディープフェイクって
やっぱりあれなんですか
発音のイントネーションまで真似できるんですかね
いやなんかねある程度最近
どういうモデルを使うかとかにも当然よると思うんだけど
それによって精度がだいぶ変わると思うんだけど
外国人がしゃべるのが例えば英語だったり
例えば英語でも地方語とのニュアンスだったり
そうですね
鉛がいろいろあるんですね
そうそうそうやっぱり結構そうちゃんとね
学習してしゃべるらしくて
よほど気をつけて聞かないと
その本人かどうかっていうのは
聞いただけじゃ見分けがつかないぐらいの精度で
しゃべるらしいんで
そのあたりも怖いよね
だからそういうのではちょっとなんかあんまりね
信用できないというか
声とかさ画面の先の顔を見てもさ
だってAIが作った画像かどうかなんて
正直わかんないじゃん
いやそうですねそうですね
そういうどんな声でも
どんなイントネーションちゃんと
あれ本人やんけって思うようなものがあっても
ちゃんとした運用というか対応のルール
簡単にはコールバックするとか
いろいろあるじゃないですか
今まででもあったと思いますけど
そういったことも気をつけつつ
AIに真似できないようなしゃべり方
面白い話みたいなことをやっぱ
キャラクターをやっぱこう
人間関係構築していって
いや辻さんはこんなおもんないこと
言わへんのちゃうかみたいな
内容で勝負ってことね
普段会社の会話でも
2,3面白話入れてくるみたいな
雑談入れてきょんなみたいなところ
何言ってんねん
いやこれはセキュリティじゃないですか
コピーできないっていうのはほら
セキュリティの一つかなっていうね
なるほどね確かに
なんからしくないなみたいな
なんか辻さん今日あんま
おもろいこと言ってけへんな
余計なこといつも
いいこと言ってるなみたいな
いつも余計なことしか言ってけへんのにな
こいつみたいな
本当にこれ本人みたいな
そうそうその辺のアノーマリー的な感じの
難しいわそんなの
難しいっすね
はいはいはいすいませんちょっと
茶化してしまいましたけど
基本が大事やなという風にも思いましたね
そうですね
ということで今日もセキュリティの3つのお話をしてきたんでですね
最後におすすめの
あれを紹介しようかなと思ってるんですけども
今日は
食べ物です
白いご飯に合う食べ物が欲しい
ってこの間なったんですよ僕
なるほど
知人からね今年の新米が取れたんで
送りますっていう風に毎年送ってくれ
はる人がいるんですよ
仕事の関係で
つながった人なんですけど送ってくれ
はるんですよね
せっかく新米が来たって思ったから
白いご飯に合うちょっとした
つまむもんって例えば
つくだにとか
明太子とか海苔とか
塩昆布とか色々あるじゃないですか
いいねそれだけでご飯食べれるね
そうそうそうそれだけでご飯が食べれるものを
せっかく新米いただくんで
買いに行こう思って
デパ地下っていうんですか
デパ地下
行ってきたんですよ
いろんなものを見て結構久しぶりに行ったんですけど
デパ地下
AIによるディープフェイクの精度
何でもあるぞみたいな感じだったんですよ
ワクワクしてて
これご飯何杯食うねんって思うぐらい
いろんなもの買っちゃったんですけど
ついついテンション上がって
そうそうそうそう
じゃこは買うわ肉は買うわ
うなぎは買うわみたいな
目移りするもんなどれもおいしそうだもんね
あんまり食えへんもんやから
せっかくやから買うとこってなるじゃないですか
いっぱい何種類くらいかな
5、6種類買ったんですよいろんなものを
その中でも
抜群にうまかったものがあって
あの浅草にある
浅草いまはんのほうのいまはん
いまはんっていくつか種類があるらしくて
浅草いまはんってなんか本家みたいな感じで
そこは乗れん分けしてたりとかするらしいんですけど
浅草いまはんの
つくだに
つくだにの種類をいくつかあるんですけど
椎茸とかいろいろ
その中の一番人気って
お店のお姉さんが教えてくれたすき焼き
やっぱりすき焼きなんですけど
やっぱりすき焼きですかおいしいもんね
めちゃめちゃ
びっくりしました冷えてても
全然おいしいし
もう全然止まらへんようになるぐらいおいしくて
えーそんなつくだにが売ってるんだ
そうそう
これはオンラインショップで買うと
一個ずつは買えないんですよね
あーほー
うん
例えば椎茸とお肉と
セットで売ってるわけ
そうそうそうホタテとみたいなやつで
一番少ないので
二つセットみたいなやつからあるのかな
オンラインやと
オンラインに行ったら一つずつ買えます
なるほど
これもうめちゃめちゃうまかったんでですね
ちょっとやっぱいまはんちゃん高級なんで
そうね
でも三つセットで2000いくらとかなんで
ちょっとこう贅沢しようかな
いいお米あるしなとか
いろんなきっかけあると思うんですけど
そういうのちょっと試していただきたいな
いいね聞いてるだけで食べたくなってきた
そうでしょ
もう人にあげたくなるぐらいのうまさでしたね
えー
椎茸のいろんなやつを
食べてみて
いっちゃいよかったのがすき焼きだったってことですか
すき焼きともう一個なんか食べたんですよね
あと買ったやつはすき焼きと
それとあとホタテも食べてましたね
へー
そうですねもうぶっちぎりでうまかったですね
全種類はちょっと食べてないんですけど
ちょっとなんか他のも
逆に他のも食べたいなっていうのも思いましたし
じゃあこれ買おうと思ったら
そのオンラインショップで公式で買うか
いくつかまとめて買わなければいけないけど
あとは何やっぱデパ地下とかなの
デパ地下だと多分
僕オンラインで買えるのかなと思って
これだけちょっとリピートいっぱいしようかなと思ったけど
セットしかなかったんですよ見たら
なるほどね
お店行ってみたらほらいろんなものも置いてあったり
試食ができるところもあったりすると思うんで
はいはい
そういうところにちょっと行ってみるのも
もしね近所に調べてあれば
行ってみてもいいんじゃないかなって思ったんで
ぜひ
ご飯のお供に
これ聞いて
食べながらセキュリティのあれ聞いてもらって
いいですね
お供が2つでねということで
ぜひぜひ
食べていただければなという風に思います
ということで今週は以上です
また次回のお楽しみですバイバイ
バイバイ
01:09:50

Comments

Scroll