初エンタープライズ陣のセミナー、お疲れさまでした。
初エンタープライズ陣のセミナー、お疲れさまでした。
お疲れさま。
お疲れさまでした。今回、BOD3つをね。
BOD尽くしでしたね。
そうそう、2201、2301、2302とね、一人ずつ担当を決めて喋るっていう。
今までいろいろ、こことか他のところで喋ってきたのを、ガツッとまとめて話できてよかったかなみたいな感じもありまして。
あれでも、ここ2年くらいか、出てからさ、僕らはわりとあっちこっちのセミナーとか、ポッドキャストでも取り上げているから、
まあ、なんか当たり前の感覚だけど、どうなんだろうね、セミナー聞いた人とか、新鮮に感じたのか、また喋ってるわ、こいつらみたいな感じなのか。
見てる人にもね、あれのところね、リスナーの方とかだったら、また喋ってるみたいな感じにあるのかもしれないですけど、
でも、どうなのかな、KEV自体は知ってても、今回はそれぞれの背景とか、課題とかいろいろね、そういう議論もあったんで、
意外と僕もなんか、ちょっと新鮮な感じもちょっとありました。
僕らも整理できたしね。
ネットコミュニティの成長とAI技術の進歩
だからあれも、僕らが喋ってるほどは、多分世間的に、特に国内は、あれは何らかないといえば、やっぱりアメリカの政府の話でしょ、みたいな、そういう捉え方もまだまだあると思うんで、
意外とそんなに身近じゃないっていうかね、中身をよくよく、そこまでちゃんと読んでないっていう人はまだ多いような気もするから。
そうかもな、なんかこう、海外のです、みたいな感じで、人にとっては耳バタン!みたいなね。
まだそう言っても日本は関係ないでしょ、みたいな。
でもね、今回のセミナーでも僕ら喋ったけどさ、あれも近いうちに常識というか、
僕らその日本の民間の子とか、民間限らないけど、人たちもあれぐらいのレベルは当たり前のようにやる基準ってなるんじゃないかね。
確かにそうですね。
そういうつもりの方がいいと思うな、なんかな。
あれからこう、足すことはなくても引いていくみたいなことで、現実界に落としていくみたいなのが、民間のこれからの流れなのかなっていうような感じはしますよね。
わかんないよ、今、足すことはないって言ったけど、あれが最低ラインかもよ。
ああ、そうか。確かにKVに関してはあれか、日本独自のやつとかは自分らで見ないとダメですしね、今のところはね。
それこそ千鶴さんが喋ったASMとかさ、少なくとも外部からスキャンぐらいしようぜみたいなのはもう当たり前でしょみたいなのは何年も言ってんだし。
確かに言ってるのはそうですね。
そろそろその辺は最低やっとこうぜみたいになってもいいんじゃないの?
確かに確かに。
そういうぐらいの基準にしたいよね。
40分ぐらい3人で喋ったわけですけど、僕的には結構ハイライトっていうのが今回ありまして。
何かあったっけ?
そんなシーンあったんですか?
結構ね冒頭の方やったと、ほら喋ったことをすぐ忘れるでおなじみの3人なんで、どの辺で喋ったことかって覚えてないんですけど、
まあこういうこともね、僕らなんかもう100万回ぐらい言ってるんですけどねっていうのに対して速攻でそんな言ってへんやろうみたいな感じでネギさんが突っ込んできたっていう。
そんなには言ってないよみたいな。
それ言った本人ももう覚えてないけど。
覚えてないでしょうけど。
多分もう反射神経で言ったんだなそれな。
そうなんですよ。割とね、ほんまにこの人関東の人かなっていうぐらいのいい感じのまで的確な突っ込みが来て。
それはね、辻さんとのコンビだからもう散々喋ってるからね。
そうですよね。
もう自然に出たんだね多分ね。
多分冒頭の方やったと思うんですよね。そのなんかBOD知ってますか?みたいな。
100万回はねえわみたいな。
100万回ぐらいはね僕らも言ってきてるんですけどねって言うたら、そんな言ってないやろうみたいな。
いい感じに温まったぞっていうね。
いいじゃないですか。ハイライトか。
そうですね。見てた人は笑ってたのかどうなのかわからないですけどね。
ライブなんで。
僕ら的にはなんかいつもの風景って感じだね。
そうですね。なんかこれからでもね、ライブよりもオンラインよりもオフラインがちょっと増えていきそうな感じもいろんなとこは聞いてるとあったりするんですけど。
やっぱりリモートはなんかせめてボタンは欲しいですよね。
ボタンとか。
ボタン?
なんか押すと消えていくようなボタン。
違う違う、ボタンはなんかハートが出てくるとかさ、笑ってるが出てくるとかね。
あー、観客の反応ってことね。
そうそうそうそう。なんか文章だとさ、もう読まれへんかったり、写るのもめんどいじゃないですか。見てる側もやっぱりね。
それやったらこうなんかボタンで出せればね。
あれだよね、リアルで講演する時ってさ、人によっていろいろだけど、僕結構熱心に聞いてうなずいてる人とかやっぱり見ちゃうんだよね。
わかるわかる。
なんか聞いてくれてる、伝わってるっていうのが感じて乗ってくるっていうか、それで。
わかるわかる。
逆にほら、あんまり僕らの時見かけないけど、寝てる人とかたまにもしいたらさ、ちょっとそれはなんかね、シューンってなるよね。
僕結構寝てる人を探すの好きなんですよ。
言ってたよね、なんかこいつ起こしたろみたいな。
水飲むタイミングとかで3秒ぐらい黙ったら起きてるんですよね。しかもなんか寝てへんぞみたいな、誰も聞いてへんのに寝てへんみたいな。
野球界の動向と大谷翔平選手の活躍
わかるわかる。
なんかそういう反応ね、見ながら喋るのもちょっと面白いというか。
そうですね、こちら側が見れるリアクションっていうかね。
そういうのもあると嬉しいけどね。
そうですね、まあてな感じで、今日も今日とてお便りが来ております。
はい、お願いします。
僕がなんか前回、川の話したみたいで。
川?あーなんかあれか?
カムシの?
セミはいなくなったけど川はまだ生えてる。
そうそうそう、川意外と多んなみたいなことを言ったらですね、なんか川は暑すぎると活動が鈍くなるらしくて、今頃の方がちょっと過ごしやすくなった頃の方が多いんですって。
あー逆にね、なるほど。
なんか散歩の時とかね、あの虫除けみたいなやつをつけずに行ってたんですけど、逆に今の方がちゃんとつけなあかんのかもしれないですね。
そうかもね。
最近はやっと夜とかは涼しいんじゃないの?
いや、だいぶ涼しいですよ今。
ね、ようやくって感じだけど。
そうですね、もうちょっとこれぐらいが長く続いて欲しいんですけどね。
確かに朝晩急に冷え込むみたいな時期にあっという間になるもんな。
春と秋がないみたいな感じは嫌やなっていう感じですね。
そうですね。
あとは寛吾さんが紹介したKEVが1000超えましたっていう話に対してなんですけど、最初にこれやればいいよとは言えなくなりましたねと。
製品名をAIとかでうまく抽出するか、米株式の企業の名前みたいに企業と製品名の略称を製造企業が提示して、脆弱性では必ずそれを使うとか、名前の統一ができれば少しはかどると思いますけどどうですかねっていう。
これ1000超えたら見ていくだけでも大変ちゃうんかってことをおっしゃってるんだと思うんですけど。
そうね。
どうなんですかね。これなんか僕思ったのはショットの診断とか、あとは製品の把握とか脆弱性管理のソフトとか使って一旦綺麗にしてからその後のチェックみたいなのにしていくのが現実的なのかなと思ってたんですけどね。
なるほどね。一気に1000個どうこうしようっていうのは確かにしんどいね。
確かにね。検索性だとかそういうのも考えていかないといけない数に増える一方ですもんね、基本的にはね。
ただ基本的には新しく出るものをとりあえずリアルタイムに追従できるようにってしていけばいいと思うんだけど、今言ったみたいに過去のものが必ずしも全然出てこないわけでもないし。
そうですね。
あとその過去にKEVに乗ったものっていうのが引き続きずっと、例えば去年とか一昨年とかもよく悪用される脆弱性って結構古いものが出てきたりとかするから、
そうですね。
相変わらず定番の良く狙われるものっていうのがずっとあったりとかするんで、
だからとりあえずね、新規のものから追従していくのはいいとして、過去のものも全然忘れていいわけじゃないというか、長く悪用されるものあるっていうのはそれはちょっと要注意かもしれないけどね。
そうですね。
だから一回そういう意味で今言ったみたいにショットでスキャンしてきれいにしてからっていうのは一ついい考え方かもしれないね。
そうですね。いきなりこれ全部やっていこうってだいぶしんどいんで、リストからやっていくとね。
はい。
活用の仕方もちょっと考えていかなあかんぐらいの数だなってことですね。
はい。
でですね、あとGoogleオーセンティケーターとGmailのアカウントが同期されているのを放送を聞いて確認したらやはりしてしまっていたと。
すぐに解除したんで全然把握できてなかったんで勉強になりましたというお礼のお便りが来ております。
なるほど。でもそれもその把握してなかったっておっしゃってるけど、たぶんアップデートした時に知らず知らずのうちにはいはいって押してるんだよね。
たぶんそうですよね。
それはユーザーが何もしないうちにオンにはならないんで、僕も最初にGoogleがオーセンティケーターをアップデートした時にひも付けますかっていうのに何も考えずにはいってやっちゃってるんで、
おそらく多くの人がそういう感じで意識しないではいってやってるんだよね。
そのやり方が確かにちょっと問題かっていうのが先週の議論だったけど、結構多くの人がそうなってるんじゃないかな。
それはそれでリスクとして持続してますって言うんだったら別に構わないんだけど、
そうですね。
知らないうちに同期したらやべえっていうのだけはちょっと避けたいなっていう話があります。
そうですね。あと個人の場合と組織で使う場合っていうのも考えないといけないでしょうしね。
そこも結構難しいポイントで、社用携帯がない場合にオーセンティケーターだけを個人の携帯に載せるっていうような運用してる会社は結構あるらしくて。
ちょっぴりBYOD的な。
その場合にもし仮にそのオーセンティケーターのコードを個人のアカウントで同期したらどうなるんだみたいな話はあって、
そうすると最悪の場合、個人アカウントが侵害されると、直ちにすぐ侵害には結びつかないけど、会社の業務アカウントの認証のアプリの情報が漏れる可能性はあるんだよね。
そうですね。
そういうことを承知の上で、それでも社用の携帯を全員に配るのは難しいからみたいな理由で、そういうのをオッケーにしてる会社っていうのがあって。
多分いっぱいあるでしょうね。
そういうのも今の先週の話とはまた違うリスクの話だけど、いろんな携帯考えられるよね。
統合管理みたいなのができひんって話前にやったじゃないですか、前回。
その把握することができないみたいな問題なんじゃないかってあったけど、それができるようになったら社用携帯でやるのがベストなんだと思いますけどね。
例えばGoogleのワークスペースに限っての先週の話だったけど、他のそういうクラウド系のサービスとかいろんなサービスで各ユーザーが今どういう認証の携帯でとか、それがどの端末でとか、それがルールにのっとってるかとかね、きちんと監査ができるような、そういう環境であればよろしいけど、
そういう管理ができないような、統制がきかないような環境だと、ちょっとユーザー任せると危ないっていうことが起こり得るってことだよね、今回のケースはね。
そうですね。とはいえね、前回僕とねぎすさんの話でちょっとかぶってる部分はありましたけど、じゃあパスワード管理ソフトにOTPまで入れていいか問題とかもあるじゃないですか。
それもどこまで許容して良いかっていうのはなかなか。
社用携帯は全員には行き届いてないけど、パスワード管理ソフトは全社で使わせるという組織もあったりするんで、その場合OTPがそっちに入れてくれってなると、そこ取られるケースもあるやんってなってきますしね、難しいと思うんですよね。
勉強になりましたということで良かった、気づきを与えられたということではないでしょうか。
最後のお便りなんですけれども、質問です。全員に対して3人に対して質問なんですけど、セキュリティのあれのお三方の知識はどこから得ているのでしょう。
他方面からインプットされているとは思うのですが、どのような書籍をお読みになっているんでしょうか。
お勧めの書籍などあれば教えていただきたいと思います。また技術面以外の愛読書も興味本位でお聞きしたいですというお便りが来ておるんですけれども、これは書籍、本、何か読んでます?
それでもあれだね、情報の収集の話と書籍から得る話っていうのは何かちょっと違うことのような気がするというか。
どこから知識を得ているのかの一つが人によっては本かもしれんということですよね。
なるほど。
どうですか?お二人は。
私は結構買うっていうんですかね。付き、それでも2,3冊ぐらいかな。
本当にセキュリティ関連の本が出てて、自分の興味関心を引くようなものだったらちょっと買ってみるかって感じで。
取っ掛かりとしては、当然Xとかで流れてくるようなものもあればそれは見るんですけど、私新聞読んでるって言ってるじゃないですか。
日曜日かな土曜日かな。毎週1回ぐらいのペースで各紙が書評みたいな形のを載せてらっしゃるんですよ。
その中にたまにサイバーセキュリティとか情報セキュリティとかに関連するような書籍が載ったりもするので、それは結構手に取ってというか中身をちょっと見てみようかなって感じで買ったり読んだりっていうのはやってたりはしてますね。
そうか。どのような書籍っていうふうなところに絞った質問だと僕はもうほぼほぼ読んでないですね。
今はあんまり本かさばるの嫌なんで途中からあるものはもうほとんどKindleとかでみたいな感じになってて、今ちょっとKindleアプリ開いてみたんですけど、95%漫画っすね。
まあいいんじゃないですか。
漫画っすね。技術的な本っていうのはここ最近ほとんど買ったことがないですね。
オンラインでどっちかというとニュースとかどっかのレポートとかみたいなものを読むかな。
何かしら整理した本とかはいいのかもしれないですけど、やっぱり出るまでに古くなるとかあったりするものもあるのかっていうのも自分の中にあって。
書籍っていうと難しいですね。本当にセキュリティとか全然関係なくて、昔読んでこの本は良かったなみたいな本とかはあったりするけど、あんまりセキュリティ関連という意味だとあんまないですね、僕は。
僕はないわけじゃないけど、具体的にどれっていうよりも、本から知識を得るというか、どっちかというと整理のために買うことの方が多いというか。
全然知らないことをいきなり本読んで勉強するっていうことはそんなにないというか。逆に自分が知っていることを、だから新しいことにある必要がなくて、改めて整理してみたいというか。
まだ見直すわけじゃないけどなんだろうな。確認とかみたいな。そうそうそういう目的で買うことはたまにあるかな。
そういう場合も全部通して読むというよりもバラバラバラっと自分の知っていることに抜け漏れがないかなって確認したりだとか。そういうのを確認、整理に使うみたいなことはたまにあるかな。
あとなんか昔読んだ本をもう一遍読み直すってことはある。すごい良かったなって思ってて。でもやっぱり全部覚えてるわけじゃないですか、もちろん。印象的に残ったとこだけなんで。
人にいい本ないですか?みたいな。仕事に関係する。セキュリティじゃなくて仕事していく上でみたいな。そのときに紹介するときにもう一回全部じゃないけどポイントポイント読み直すみたいなことは、そういう本が3冊ぐらいあったりしますけどね。
古い本ばっかりですけどね。今でも全然買えるのかな?みたいな感じでもう一遍読み直すみたいなことはあります。そんな感じでございますね。
お便りいただいた方にはセキュリティのあれのステッカーの印刷コード差し上げるんでですね、皆さんいろいろ意見とか質問とか送っていただければと思います。
はい、お願いします。
じゃあそろそろセキュリティのお話ということで、今日はそうですね、ねぎすさんからいきましょう。
じゃあトップバッターに行かせてもらいますが。
お願いしまーす。
悪用された脆弱性の傾向
今週はですね、2,3日前にマンディアントが出した記事の内容を紹介したいんですけど、どういう内容かというと2021年から22年にかけてマンディアントが分析をした悪用された脆弱性、全部で246個あるらしいんだけど、その分析した結果っていうのをブログの記事でまとめてたんで、
それを紹介したいんですけども、この後いろいろ細かい数字がたくさん出てくるんで、先に全体的な結論というか傾向だけさっきしゃべっちゃうと、大きく2つあって、1つはこの2年の傾向としてゼロディが相変わらず多いですということが1つ。
それからパッチが公開されてから悪用されるまで、実際にその脆弱性が悪用されるまでの期間が年々短くなっていますということで、今の2点はどちらもどちらかというと攻撃側が有利で、防御側が若干不利な内容だということをまず最初に言っておきたいなと。
ということで、細かい内容を少しだけ紹介すると、まず246個、全部が悪用されたものだけを対象にしているんだけど、そのうち153個、62%がゼロディ、残り93個、38%がエヌディなので、ゼロディの方はいわゆるパッチがリリースされる前から悪用が確認されていましたというものが、
この246個の中では全体の6割がゼロディです。ということで、この割合はその前の年の2020年からそんなにほとんど変わってないそうです。なので相変わらずゼロディは結構多いなという数で言えばそういう印象だよね。
それから次に、パッチがリリースされてから実際に悪用されるまでの今度は日数、スピードですね。これは2018年から19年が63日だったのに対して、その次の年が44日に短縮されて、今回2021年から22年はこれが32日まで短縮されているので、年々年々だんだん短くなっていると。
思えばいいでしょう。これは一つ前の期間が44日だったのが32日減っているんだけど、さっきも言ったけどゼロディの割合自体は変わってないので、にも関わらず悪用されるまでの日数はかなり減っているということで、公益側のスピード感が増しているというふうに思えばいいのかなと。
ただちょっとねこれ少し意外だったのが、今ゼロディとエヌディまとめて喋ってるんだけど、エヌディに関して言うと、実は若干むしろその悪用されるまでの期間というのはちょっとだけ伸びてるらしくて。
全体の平均の44日から32日で悪用期間が短くなった主な要因はゼロディなんですということなんだよね。ゼロディの方が数字を避ける要因になっていて、ますますちょっと防御側から厳しい内容になっていると。
加えてこの32日というのは結構控えめな数字の立法になっていて、中には実は7項のパッチがリリースされていない、この期間にはパッチが出なかったという脆弱性が7つ含まれているのね。これが実は数字を押し上げている要因になっているので、この例外の7つを除くと、実は平均日数が20日間にまで短縮されているということなので、かなり早くなっているなという。
ますますですね。そういう感じですね。ますます短くなっているなという印象。で、ちょっと内訳というか、ゼロディとNディに分けて中身を見てみたいんだけど、まずNディの方は、今93個って全部で数字は言ったんだけど、このうちパッチが出てから、Nディだからパッチが出てから悪用されているんだけど、パッチが出てから1ヶ月以内に悪用されましたっていうものが29個なので3分の1くらいかな。
6ヶ月以内、半年以内のものが全部で70個と言っている。ほとんどが半年以内という期間で悪用されているんだけど、逆に言うと残り23個は半年以上経ってから、結構遅くなってから悪用されているというものがあって、中には1年以上経ってから悪用されましたっていうものが6個くらいあるらしいんで。
こういう自宅勢の悪用って割と鮮度っていうか、早く早く悪用されるっていう思いがちだけど、かなり時間が経ってから忘れた頃にやってくるっていうものも中には一部あると。
それ遅いのと1年ぐらいしてからでしたっけ、今。
1年以上経ってから悪用されたものが6個ありますと。
1年というのはマンディアントが悪用を確認したのも1年後ということ?
そうそう。なのでパッチが出てから1年以上経って、かなり後になってから悪用されたというものが中にはごく一部だけであると。
というところは数としては少ないけど、忘れちゃいけない部分かなというふうに思います。
それから今度は一方ゼロデイの方だけども、全部で153個ありますと言ったけども、
1週間以内、悪用されてから、今度は悪用されてから、そこの悪用日を基準にして1週間以内にパッチが出ました。
だから防御が素早く対応しましたっていうものが101個って言って結構大半を占めていて、
逆にその1ヶ月経ってもパッチが出ませんっていうものは35個しかなかったので、
比較的ゼロデイが多いとは言っても、ゼロデイと言っても悪用されればどこかではそれが観測されるわけで、
例えば被害企業がセキュリティ企業に助けを求めてセキュリティ企業が分析をしたりだとか、
ゼロデイが多いとは言ってもそんなに放置されているというものが多いわけではないということですね。
たださっきも言ったけど、悪用までの日数が減っている主な要因はゼロデイなんで、
ゼロデイの悪用と攻撃コードの関係
ここは予断を許さないところかなという感じがします。
ざっくり全体に細かい数字を言ったけども、平均するとググッと悪用までの日数が短くなっているというところを注意が必要ですね。
あとこういう脆弱性の悪用って話になると、じゃあエクスプロイトコードが公開されているのかどうかとか、
プルーフオブコンセプトのコードがあるとすぐに悪用される危険性が高いみたいな話を僕もよくするんだけども、
これはどうだったかというと、今回の246個のうち、エクスプロイトコードまたはプルーフオブコンセプトと呼ばれるコードが公開されていたものは約半分、125個。
なので残り半分はコードの公開がない状態で悪用されていました。
これを見ると、完全に推測なんだけど、おそらくマンディアントが分析したものって内訳が詳しく書いてないのでわからないんだけど、
多分標的型とか非常に巧妙な攻撃とかで使われたものが多いんじゃないかなというか、若干そういう偏りがあるんじゃないかなという気がします。
例えば、政治家とかジャーナリストのスマホの脆弱性とかも含まれているんですか?
もしかしたらね、例えばそういうものはパッチが出て脆弱性情報が出るけど、攻撃コードとかPOCは結構複雑で難しいからずっと出ないみたいなことはあるので、
そういうものが半分ぐらい占めているというのは、ちょっと思ったよりも割合としては高いなという気がしました。
で、それからさっき言った、こういうコードが出ると悪用されるよねっていうのはどうなのかというと、
246個の全体のうち22%に当たる53個に関しては、こういったエクスプロイトコードとかプルフォブコンセプトのコードが出た後に悪用が出ましたと。
逆に言うと残り8割は、こういうコードが出ていないか、今言ったけど半分は出ていないということなんで、出ていないかないしはコードが出る前にもう悪用されてましたってことなんだよね。
なので割とそのパッチが出てから、簡単なものについてはソースコード分析してすぐに攻撃が来るとか、そういうものもあるだろうし、
でも攻撃コードが出るか出ないかっていうのは結構インジケーターとしては重要な指標かなと思ってたんだけど、実際に悪用されるかどうかっていうのに対してね。
今回のマンディアントの分析に関して言うと、そこは実はそんなに強いインジケーターではないと。
コードが出ようがデバイが悪用されるやつは悪用されるんだっていうことを言ってて。
おそらくこれはさっきも言ったけど若干その標的型攻撃とかその攻撃の内容とか種類に偏りがあるからじゃないかなという気が少ししていて、
もう少し広い範囲で見ると攻撃コードが出る出ないっていうのはその何?
コードではない攻撃者にとっては攻撃コードがあるかないかっていうのは自分が攻撃できるかできないかっていうのに対して多分大きな要素になるから、
これがあればすぐにそれを使ってちょっと内容を書き換えて攻撃してやろうとか、
あるいはあんまりスキルがない攻撃者だったらブルーホブコンセプトのコードそのまま使っちゃおうとかっていうのは結構実際に観測されているので、
そういうのと比べるとちょっと意外だなというふうに僕は感じました。
思ったよりも少ないなっていうか、コードが出ているものも半分しかないし、コードが出たから悪用されるってわけじゃなくて、
思ったよりも先に悪用されているものが結構多いっていうのはちょっと僕の直感には少し反する感じかなっていう気が。
コードもなくて悪用バンバンされてますっていうやつが何だったかまでは言及されてないんですよね個別のやつは。
そうなんですよ。
相当なんかちょっと感覚であれですけど偏りが結構ありそうな感じしますよね。
ちょっとわかんないけど中身がそこまで詳しく書いてないのでどういうものがそれに該当するのかなっていうのはちょっとわかんない。
一応最後にベンダー別に悪用されているものの内訳っていうのが割合で示されてるんだけど、これは割と想像通りというか、
1位がマイクロソフトでこれが全体4分の1ぐらい占めてて、2位がGoogleで3位がAppleってこの3つが産協で、
ただしこれまではこの3つでだいたい半分を占めてたんだけど、今回初めて半分を若干割りましたって言ってて、
マンディアントの分析としては依然としてこの3つが主要なベンダーであることは変わりないんだけど、若干バラつきが見られると。
他のベンダーも狙われるようになってきていると言っているので、そこはパッチの対応の優先順位とか考える上で、
よく狙われてるからこっちを優先しようっていうのは考え方としては間違ってないんだけど、
そっちばっかり優先度を高くしちゃうと足元救われますよっていうことを彼らは言っているので、
そのあたりの若干バラつきが出てきたっていうのは一つ注意すべきポイントかもしれないね。
そんな感じで今ザーッと話したけど、もう少し細かい数字も出てるんだけど、ちょっと今はしょって説明しちゃったけど、
総じて言うと、なかなかまだまだ厳しいなっていうか、ゼロで相変わらず多いし、攻撃されるまでの期間が年々短くなっているっていうのは、
その辺は感覚とも一致してるんで、そうだよなっていうのを改めて分析で確認したって感じだけど、
この状況に対応するには結構しんどいなっていう。
そうですね、全部が早くなってきてるって、どんどん早くなってきてるわけじゃないですか。
10年前と比べたらもう雲泥の差ですよね。
いやもう全然ね、暗いものにならないよね。
ずいぶん前のセミナーとかで、1ヶ月やったものが2週間になり、みたいな話してたけど、どんどんどんどん短くなってる。
もちろんこれ平均だからね、早いものはずっと早いわけですよ。
そうですよね。でもこのスピードが早くなっているのはなんでなんですかね。
なんでだろうね。
そういうところに力を入れるようになってきたってことなのかな。あとは人も増えたってことなんですかね。
やっぱり攻撃をする立場というか、デバッグしたりとか、脆弱性を探すような人たちが増えたってことなのかな。
そうね。ゼロデイに関しては、これはGoogleとか他のベンダーとかも、マニアのGoogleか今は。ややこしいな。
他のところでもいろいろ分析とかがあって、ゼロデイが多いとはいっても決して悪い点ばかりではなくて、見つけるのも早くなってるし、
それに対する対応も早くなっているとは言っているんだけど、まだ若干攻撃側のスピードに負けている感じはあるよね。
じゃなかったら、その悪用されるまでの日数が年々どんどん短くなるってのは、もうそろそろ避け止まらなきゃおかしいんで、
まだそれがなってないということは、まだ若干攻撃側に対して誤点になっているというか、そういう感じはあるよね。
さっきも確認の質問をしたんですけど、N-Dayとかだったら1年経ってからみたいなパッチが出てからかな。
ゼロデイに使われる脆弱性とN-Dayでそんなに遅くなってから攻撃高度が出てきたり、悪用されるっていうふうなものの差って何なんですかね。
それは確かにね、そこら辺にどういう差があるのかっていうのは、ちょっと分析した方がいいかもしれないよね。
インターネットに直面しているようなものとかがゼロデイでよく狙われがちとかね。
一つはね、N-Dayで期間が空きがちなものっていうのは、さっき言ったマイクロソフトとかグーグルアップルみたいな、主要なもの出ないというか目立ちにくいというか、
あまり使っている人がいなさそうなやつっていうのは、やっぱり攻撃者も最初はそこは見向きもしないんだけど、
でもその新しい贅沢性というのは、どんどんどんどん出てきてそれが悪用されるっていうのは続くんだけど、
一方でそのあまり使われてなかったものっていうのは見過ごされてるんだけど、実は悪用できるっていうのが後になって攻撃者が気づくっていうこともあるよねっていう。
だから数としてはすごくたくさんの攻撃に使えるわけじゃないんだけど、たまたま自分が狙っているところがそのソフトウェアとか製品を使っていれば別にそれが古い贅沢性でも、
使えさえすれば使いたいわけじゃない。
じゃああれか、僕らこちら側とすると修正していくためのパッチを当てていく優先度みたいなのがあるように向こうも攻撃するの優先度があるってことですね。
それは逆に言うと結構盲点になってしまう可能性があって、あまりその主要なものではないというか狙われてもいない。
攻撃者が注目してもいないということで、これはちょっと後回しでもいいよねって仮にやってたりとか、
あるいはパッチを当てることをせずに見逃してしまったりということが仮にあった場合に、
未来英語を見逃してもらえるとは限らないっていうことなんだよね。
そういう意味では必ずしも今狙われてるからとかっていうだけで優先順位を決めちゃうと危ないっていうのはまさにそういうことなんだよね。
それが絶対に悪用されないって保証は全くないわけなんで、
その辺がね結局攻撃がやっぱりこういう点で有利なのは、攻撃がどこを狙ってもいいのに対して防御側はすべて防がなければいけないじゃない。
だから優先順位を考えるのはもちろん大事なんだけど、かといって今狙われてないものを放置していいかって言ったらそれはダメなんで、それがちょっと厳しいよね。
悪用が確認されてるやつはもちろん優先順位一番高くして対応していくけど、
それから漏れたものをどれぐらいのスパンでカバーしていくのかっていうのを合わせて考えないと足元救われるってことですよね。
優先度が高いものに比べたら多少時間的ゆとりはあるかもしれないんだけど、かといってずっと放置したままじゃダメですよ。
それをちゃんとカバーしてくださいねっていう、そういうちゃんと仕組みになってるかどうかっていうのも大事かもね。
その辺りの攻撃側のトレンドに合わせた優先順位の付け方っていうのももちろん大事だし、
そこだけにしちゃうと間違った優先順位付けになってしまいかねないというかね。
自分たちの状況とか使っている環境とか、あるいは扱っている情報とかの重要度とか、
自分たちなりの基準できちんと考えないと足元救われる可能性もあるような。
そのあたりのバランスが難しいなってちょっと思いました。
確かにその悪用されてないやつの残っている分、対象が残っている分っていうのも、悪用されるのは待たんでもええんやでってことですからね。
そういうことなんだよね。それが1年後、2年後、いつ悪用されるかなんてもう全くわからない。誰も予想できないから。
それを待たずにちゃんとやろうぜっていうことかもしれないね。
分かりました。これだいぶ喋れるな、この話。
だから今、杉さんが言ったみたいに細かく読んでいくと、これなんでなんみたいなツッコミポイントが結構出てくる。
気になるところね。
あれちょっとこれ何でみたいなとか、これとこれの違いは何みたいなすごく引っかかるポイントがいっぱいあって、
ちょっと個別に分析したら面白いかもしれないね。
ちょっと冷静に読んだほうがいい記事かもしれないですね、その辺はね。
僕もそういう意味ではまだ咀嚼しきれていない感じはありますね。
分かりました。ありがとうございます。
はい、じゃあ次はカンゴさんいきましょう。
注意喚起の背景
はい、私はですね、9月27日に内閣サイバーセキュリセンターであるとか警察庁が出されていた
中国を背景とするサイバー攻撃グループブラックテックによるサイバー攻撃について
という文章っていうんですかね、発出されたことをちょっと取り上げたいなとは思ってるんですけども、
主要な報道とかでもこの件を取り上げていられるのでご存じの方が多いかなと思うんですが、
ブラックテックってそもそも中国の国家関与が疑われている脅威アクターの一つという形で、
結構前から言われているのかなと。
台湾とか日本とかよく狙われてますみたいな。
そうですよね。実際なんか文書中でも2010年ぐらいからとか書かれていたかと思うんですけども、
それがなんで今出たのっていうのはやっぱり見ている方は結構気になるというか、
改めてなんで今出たんだろうなっていうところはあるとは思うんですけども、
一つ意味っていうかこれが出たところの背景としては、
まず今回ちょっと特殊というか初めてのものとしてアメリカのNSAとかFBIとか、
あと先ほどあのKPの話ありましたけどもCISAとかが出している文書、
連名で今回注意喚起という形で出ていまして、
なのでそれは当局間での連携をとって初めて出されたっていうもののところが一つと、
あともう一つは今回もその中国を背景とするっていうこの部分に大半の意味があるんじゃないかなと思っていて、
日本政府これまでも去年はラザルスでしたっけ?
確かラザルスの名前を使っていたりとか、あるいはちょっと2021年だとティックですかね。
あちらも中国あるいは北朝鮮が関係しているみたいな形で出しておられましたけども、
パブリックアトリビューションという形で政府機関が実際に特定の国を名指しして、
攻撃が行われたという形で出すっていうところにおいてはこれも一つの意味があるということで、
6例目って確か報じられていた方が多いんですけども、
なのでそういうことについて意味があるのかなと。
注意喚起の内容と言語の違い
で漢字の中身どうなのかっていうところなんですけども、
読まれた率直な印象として受けられるんじゃないかなと思うんですけども、
まず日本語で出ているものと英文で出ているものがあってですね、
先ほど私申し上げたFBIとかNSAとかの連名で発出しているものっていうのは当然英文の方なんですよね。
で英文で出されているものと日本語で出されているものを対比されて、
例えば日本語で出されているものの内容がちょっと薄いとかっていう形で印象を持たれる方多いのかなと思うんですけど、
ちょっとこれ表現がなんか微妙なんですけど、
注意喚起として出たのは英文の方っていう、そういう立て付けのように私ちょっと見えてまして、
で日本文で出ている方はその英文で出た内容を受けて、
NISQとか警察署が可否通っていうかちょっと色を付けたというか翻訳したというか、
そういう感じの文章なので構造というか立て付けというか出し方があんまりこれはどうなのかという感じはするんですけども、
なので英文の方見ていただくっていうのがまずはよろしいのかなというところがあってですね、
英文の方はブラックテックがどうやって攻撃を行ってきたかっていう、
主にその手口の紹介とそれに対する英文の方も割とざっくりした感じの対策っていうのが書かれているんですけども、
大きく2つがあって、1つは海外の子会社から侵入される手口っていうのが確認されていますと、
これも改めて言うところなのかなとは思うところありつつ、海外の子会社のルーターなどを介して本部というか拠点というか、
実際の狙いたいところに対して攻撃を仕掛けてくる、このブラックテックでいうと日本であったりアメリカの海外の子会社ということですね、
そちらが狙われて実際にその本拠地という形で狙われるケースっていうのがあるよというのと、
あと今回のその注意喚起の中でも実際名前出てるんですけども、
シスコのルーターを狙った攻撃っていうのも見られていますと、
実際にそのシスコ社製のルーターのファームウェアを改ざんというか、
自分たちがいいようにできるファームウェアに取り替えをしてしまって、
なのでその取り替えたファームウェア上で好き勝手できるようにすると、
実際にログが残らないようにしたりとかバックドア機能をつけたりとか、
そういったことができるようになっているケースが攻撃の出口として確認されていますということで、
紹介というか注意喚起がなされていてですね、
そういった攻撃に対してしっかり対応を取ってくださいという形で、
例えばファームウェアの改ざんが行われていないか監視してくださいとかって書いてあったりしたんですけども、
結構大変だよなとか思いながら見てはいたんですが、
そういった手口というのが紹介されていて、
その後ぐらいにシスコが、実際今回シスコ社製のルーターということである意味な差し合わせされていて、
シスコ側もこのレポートについて反応というかですね、
シスコのルーター攻撃
アンサーリリースというか反応するリリースを出しているんですけども、
そもそもシスコもCISが取り組んでいるジョイント、
JCDC、何のレグだったか忘れちゃった、
取り組みに参画している企業だった記憶があるんですけども、
シスコが今回出たレポートを確認しましたと、
次の点を強調したいですみたいな形で、
今回のファームウェアが改ざんされたものに取り替えられるみたいな話についても、
特定の脆弱性を使ったものではなくて、
管理者の資格情報などが取られて、
あるいは脆弱な資格情報などを使っていて、
被害に回っているのが一般的なものではないかということで、
脆弱性が悪用されているケースというのは否定していると。
シスコに責任はねえよってことだよね。
そういうことですね。
あとは最新のデバイスではそもそもそういったことができないように作られてます、
なのでこの辺が少し注意喚起が出ていないようと、
実際の悪用化されたルーターの製造物であるシスコとの若干の温度差があるなというところは、
なんとなく連携がちゃんと取れているのかなという違和感はありつつ、
なんか調整できていなさそうですよね、それだけ見たらね。
IoC情報の不足
あともう一個気になったところとしては、
先ほど私は英文の方を見た方がいいと言ったんですけど、
英文が全部書かれているわけではなくて、
日本語の方も英文の方に書かれていない内容というのがあるんですよね。
やっぱり一番気になったのは、
その中でですね、参照という形でリンクがバラバラバラッと書かれているんですけど、
この参考資料も全部読めっていうのも結構しんどいのかなと思うんですけど、
その中で下から2つ目に、
これはついさもXか何かで反応していたような気がするんですけど、
家庭用ルーターの不正利用に関する注意喚起についてというのも。
VPNの機能がオンになってないか定期的に確認しろ注意喚起ですよね。
あちらが参考資料ということで記載をされておられて、
もしかしたら家庭用ルーターとして悪用された事例というのが、
このブラックテックで実際に被害に遭った事例とリンクしているのかなというところは、
この2本分の中の参考資料にちょこっと書かれているだけだったので、
具体的な話というのはなくて、
加えてCSAが伝明で出している、
あちらにはこの家庭用ルーター云々という話は一切ないので、
この辺は細かいところは分からないんですけども、
参考資料の中にはそういった記述があったので、
この辺もしかしたら過去に出されていた家庭用ルーターの話というのと
リンクしているのかなというのは分かるところであるんですけど、
書いておいてほしいよね、これね。
本当におっしゃる通りで。
関係あるんだったら、例えば企業への侵入で家庭用のルーターが不備用で使われてますとか、
そうなんですよね。
それ言ったから何か問題あるのかとか正直よく分からないんだけど、
なぜそういうことがあるのかそれを書かないのかなという気がするよね。
不思議な感じの注意喚起で。
分からないよね、何行くのって言ったらもうね。
実際にこれを担当しているというか、
この注意喚起を受けてアクションを取らなければいけないという方からすると、
結構しんどいなっていうね。
この紙だけ例えば社長から渡されて、
うちはブラックテックの対策をしっかりやっているのかって言われたら、
なんか答えに急するんじゃないかなっていう感じはなかなか。
あとさ、いつもCISAとかFBIとかよく出すこういう注意喚起ってたびたびあるじゃない。
ありますね。
今回はブラックテックに限らず、例えばラザルスがだとかロシアのなんとかだとか、
出しで注意喚起っていっぱいあると思うんだけど、
そういうのに比較して今回すごい気になったのが、
IoCの情報がめちゃくちゃ乏しいっていうか。
ないと言ってもいいぐらいのね。
ほぼないと言っても、攻撃手口の解説はあるんだけど、
例えばそれに使われた、実際にファームウェアとかマルウェアとかのハッシュ地だったり、
例えば使われたC2情報だってわからないけど、
いろいろあるじゃん、IoCってさ。
悪用されてないかっていうことを自分たち大丈夫かって確認しようと思ったときに、
じゃあログをチェックしましょうとかって思ったときにパッと使える情報がほとんどないというか、
内部で使っているCISAのファームウェア全部チェックするんかいみたいな話になるんだけど。
下手したらそういうことに繋がりかねないですよね。
もう少しそういうのに使えるような情報があっても、
普通はあるなという気がしてて、
あえてそれを無いくしているのか何なのかわからないんだけど、
ちょっとそこは気になったね、違いとしてはね。
そうですね。確かに。
おっしゃる通り、読むと結構不思議というか疑問というか、
情報として欲しいところっていうのが結構あってですね。
なので、すごいコミュニケーションのリソースを割く、
下手したらそういう感じになりかねない中間期なんで、
できれば実際に発出している方が担当の立場から、
例えば記者会見開いて説明を受けるとか、
説明を対応するとか、
そういうのをやってもいいのかなっていうような内容かなとは思ってはいて、
今回も警察庁の長官が出してやったぞという形で記者会見に応じてはいるんですけど、
トップの方が出したっていうことを話すこととはまた別軸で、
実際これがどういう意味なのかとか、
どういうアクションを取ればいいのかとか、
なんかもうちょっと細かいね。
現場レベル向きというか。
できるような場があっても、
いいんではないかなとかいうふうには見てて今回は思いましたね。
受け取った側がちょっと困惑する内容という感じはするよね、ちょっとね。
そうなんですよね。
何していいかわからないというかね。
そうね。
問題の深刻さの割に結局どうしたらいいのかなってなっちゃいかねないっていうのは、
ちょっとはもったいない気がするよね。
そうですね。
なるほどね。
マルウェアの名前とかそんな手術を持ってたのって確か。
そうですね。
CISAとかが出してる方がね。
マルウェアの名前わかってもっていうのはありつつ。
そういう位置づけじゃないということなのかもしれないね。
ブラックテックの公益活動ってこれまでもいろんなベンダーとかが注意喚起してるし、
実際に国内でも過去に結構大手の国内の会社が公益されましたみたいな事例っていうのは結構知られているので、
具体的なものはそういうものをこれまでのものをちゃんと見てよっていうことで、
新しい情報を付け加えたというよりは改めてこういうのが今も起きてるよっていうことを
連名で出したことにもしかしたらそれこそ自体に意味があって、
さっき看護師さんが言ってたけどね、パブリックアドリビューション日本が連名でやりましたっていうこと自体に意味があって、
ということなのだとするとわかんなくもないけどね。
とはいえ出されてみるとどうすればいいのかなってなっちゃうっていうのはちょっともうちょっとなんか説明が欲しいよね。
リスク低減のための対処例っていうのもね、なんか急に話薄なったなぁとこの辺で思います。
急に一般論の話に入ってきたなって思って。
他でも全部当てはまるやんけみたいな。
これ全部コピーしてたら大体いけるんちゃうかみたいな感じの内容というかね。
だから間違ってはいないんだけどね、間違ってはいないんだけど。
なんかね過去の参考情報としたりとかやったらこういうの載せんのは厳しいのかもしれないですけど、
そういうIOCとかを載せてくれた過去のベンダーのレポートの方こそ参考資料に入れた方が良かったんじゃないかなという気がしましたね。
そういう位置づけだったとしたらね。
そうそうそうであればね。
なるほどね。
ありがとうございます。
ということで最後ですね、僕の方から。
今日はですね、今日も京都邸なんですけれども、ランサム関連ということ。
ですよね。
ありとあらゆるアプローチでいきたいなっていうね、ランサムに。
でも考えてみたらさ、毎週毎週喋ってもネタがつけないってすごくない?ランサムウェア。
そうですよ。ランサムウェアもすごいけど、それちゃんとずっとやってる僕もすごいなってたまには言ってくれよ。
あえて言わないようにしていたスタイル。
言わなくてもいい。
今日はランサムウェアとはいえですね、ランサムウェアがどうだとか個別でとか、個別にこんな攻撃がとかいうわけではなくて、
ランサムウェアの攻撃が増えてきているということによって、サイバー保険のそういう保険の請求が増えてますよというレポートが出ていまして。
結構関連する動きだよね、その辺はね。
そうですね。そこにしか見えてこないようなこともありますしね。保険会社からしか見えてこないようなこともあるということでちょっと興味深く読んだんですけど、
サイバー保険の増加とランサムウェア
レポートを出しているところがコーリションという保険の会社なんですけれども、ここがアメリカの保険会社が全米保険委員会というところにいろいろ報告をするんですけれども、そこに上がってきているデータを用いて分析しましたっていう風なレポートが出てて、
これランサムだけじゃなくて、例えばいわゆる日本でいうとこの振込詐欺みたいな大きい版のBECとかですね、そういったことにも触れられてるんですけど、ちょっと長くなっちゃうんで、ランサムの関係しそうなところだけピックアップして気になったところと解説と紹介をしたいなというふうに思ったんですけど、
まず全体的に見てランサムだけとかいうわけじゃなくて、全体的にこのサイバー保険でどういった感じには増えているの、減っているのみたいな話からこのレポートが始まるんですけれども、
6月末までのものを比較、サイバー保険全体で比較すると、昨年の下期と比べて12%ぐらい保険が使われて増加しているというふうなことがあるんですが、そこの中で気になるポイントっていうのが、この保険金を請求しますよという風に被害組織が言ってくるわけですが、
そのサイバーインシデントの約19%がランサムに関係することによって請求されていると。なので、5件に1件はランサム事案と言ってもいいというふうなものですね。
なぜかちょっとわからないんですけども、このコーディションが言っているのは、コーディション史上、1ヶ月の観測の中で一番忙しかったというふうになったのが今年の5月なんですって。
5月が何かその得意的な何かがあるというわけではないとは思うんですけど、僕もそのリークの件数とか見ていると、5月とか4月、5月に起きたようなものとかっていうのはだいたい6月、7月とかにリークされるケースが多いですけど、
5月よりも6月、7月でかなりリークの件数も多かったんですよね。上昇している感じだった。その辺のちょっと一致するなぁみたいなところがあって、保険の請求頻度とか金額が増えているのはランサムウェアが最大の要因であるというふうにこの会社は分析していると。
ちなみにその先ほど19%ぐらいがランサムって言ったんですが、残り多いのは26%がBECで31%がFTFという送金詐欺ですね。そういったものがあって、それと並ぶようなぐらいの数字に近づいてきているというふうな感じみたいです。どちらかというとBECが減ってランサムが増えたみたいなことが書かれてありましたね。
組織の収益帯によってどれぐらいの保険の請求頻度なのかみたいなものがあるんですけど、これ区切りが25万ユーロ、日本円で40億ぐらいですかね。1億ユーロ、160億ぐらいですかね。1億以上みたいな、結構ちょっとあのでかい規模で見て分けちゃってるので、もっとちっちゃいところはどうなのかなっていうのは見えてこないんですけども、これ全部の収益帯において増えていると。
請求頻度が増えていて、1億ユーロ以上の組織、160億円以上の収益のところだと20%ぐらい上昇しているということですね。ただ、これ比べているのが前の下期とかと比べて言ってるんですけど、2021年とかと比べると、どちらかというと水準は2021年の方が高いです。比べると。
なので、2021年から2022年の下半期に向かって下がってきていたものがちょっと跳ね始めたというふうな感じっていうのが全体的な表れってことですかね。
今ちょっとちなみにユーロって言ったけど、ドルだよね。
あ、そうだ。あれ?そうですよね。なんでユーロで計算してるんだろう。
知らない。
あ、じゃああれだ。日本円の部分も変わってくるやん。そうやったら。
まあ、多少違うよね。
そうですね。なので、これからはじゃあドルで行きます。
確かに。なんでやろう。
勘違いがあったんでしょう。
そうですね。ユーロって言ってましたね。全然ユーロでやってたわ。
で、平均損害額っていうふうなところでいくと、2023年の上半期の平均が11万5千ドルっていうふうなものだったんです。
で、2022年の下半期と比べて42%も増えてきていると。
ただね、これもさっき言った通りなんですけども、2021年の上半期の方が12万7千950ドルなので、それは今回の2023年の上半期は下回っているという数字になっている。
やっぱりこうV字に、あんまり良くないV字かもしれないですが、V字傾向にちょっと見えてきているかな。
なるほどね。去年だけちょっと低かったわけね。
そうそうそう。そういう感じなんですね。
これは全体的なお話なんですけれども、ランサムの保険に関するところで言うと、このレポートでは、コーディション曰くランサムウェアはこの1年半ぐらい減少傾向にあったっていうふうに言っているんですね。
これ多分、保険金を払う側の視点としてはそうだったのかもしれないですね。件数とかだけではなくてね。
なので、その2021年上半期のV字になっている上のところから見ると、長い1年半で見るとちょっと下がっている傾向っていう意味だと思うんですね。
僕らの感覚としては減っている感じないじゃないですか、あんまり。保険の部分から見るとそういうふうに見えてるんだなっていうところですね。
ただ、残念なことに2023年の上半期は請求件数も平均損害額も共に増えてしまうというふうな状況になっていてですね。
請求件数に関しては27%増加していて、平均損害額は過去最高ぐらいに増えてしまうというふうなもので、
36万5000ドルを超えてしまって、これは半年で61%ぐらい増加しているってことなんですね。
請求件数が27%で、平均損害額が61%増えているってことで、金額の方が増加が著しいってことを考えると、
公益している側から見たら、単価を上げるとか大きな組織を狙うという結果、こうなっているのかもしれないなというふうな感じがあります。
この辺は、ついさんがたびたび紹介している他のレポートとかとも整合性がとれているというか。
コーブウェアでもビッグゲームハントによっているみたいなことを、だいぶ前に紹介した時にも言っていたので、これはここでもそうなんだなというふうな感じはしましたね。
実際の損害額っていうのは、復旧とかにかかるお金も含まれるんですけど、
ロックビットと他のランサムウェア
ミノシロ菌に関してもこのレポートの中には触れていて、2023年の上半期の平均ミノシロ菌要求額は162万ドルということで、前年の下半期と比べて47%増ということになっていますね。
結構な値段だなぁ。
そうなんですよね。
これは、V字の始まりのところの2021年の下半期と比較しても約2割ぐらい、19%ほど増えているんですよね、要求金額っていうのが。
なのでやっぱりこれも先ほどお二人が言っていたコーブウェアのレポートみたいに要求金額が上がってきているっていうのは確かにそうなのかなっていうことですね。
もしくはディスカウントあまりしなくなったかってことですかね。
そうだね。だって平均で2億円ぐらいってことでしょ。もっとか。なんかちょっとすごいなぁそれはね。
そうなんですよね。それぐらいの規模を扱ったり、そういう脅迫を受けるっていう風なところが保険に入っているからかもしれないですけどね。
中傷とかっていうところはあんまり含まれてないって考えた方がいいのかもしれないですね、この辺は。
被害を受けたここの会社の保険契約者のうち36%がミノシロ菌の支払いを選択しているそうです。
これはあれだね、他の調査結果よりも若干低めかな。
そうですね半分ぐらいとか40何パーとかっていうのが多い中30%台というのは少なめですかね。
若干ね。
これもどうなんですかね。規模が大きい会社だとバックアップでなんとかいけるみたいなことが多かったりするからその辺が数字の減っているのに影響しているのかもしれないですけどね。
なるほど。
このコーディションという会社は攻撃者とのミノシロ菌支払いの交渉もしているらしくて。
だいたい何件交渉したかは書いてないんですけど平均44%までのディスカウントに成功してますというふうなことが書かれてありましたね。
おそらく攻撃者グループとかによって多少バラつきはあるんだろうけど。
多分こういう交渉とかどんだけ数してるのか知りませんけどいっぱいしてたらまたお前かみたいなのあるそうですよね。
前こんだけ引いてくれてるから引いていいやみたいな話もあったりしそうな気がしますけどね。
多分その辺が被害者が直接やるのと違ってこういうところが交渉人がやるメリットでありデメリットであると思うんだけど
そうですね。
落とすところがわりと分かりやすいというかお互いに分かっているので何となくなところに毎回落ち着くっていうかね。
そうですね。数やってるとそういうのが出てくるんやなっていうのはちょっと思いますね。
そういうのはあるかもね。
ちょっとこの平均いくらまで下げたっていう話をレポートで読んでてちょっと最近気になるロックビットの動きがあったんでそれをちょっと紹介したいんですけど
最近アフィリエイト向けの身代金交渉に関するルールの提案みたいなことをロックビットがしてたらしくて
新山のアフィリエイトが目先のお金に目がくらんでめっちゃ大幅なディスカウントするのはちょっとなぁみたいなことから
ルール作りますみたいなことを出してたみたいなんですよ。
基本的にその支払いに関してはアフィリエイトに任せるとはしつつも
最低支払い金額ってのはこれぐらいにしますみたいな提案というかこういうルールにしようかなみたいなものが出てて
基本的に被害組織の年間売上高の3%で50%の割引までっていう風なものにしようかなとか
あとはランサムウェアの保険で賄える部分の金額を下回る支払いには応じないようにみたいな
ということでこういう新しいルールみたいなのがあるんで50%までいけるんやったら44%は確かにいける数字なんやなみたいな感じで
これぐらいのところを狙ってんのかなみたいなことを過去の実績から考えて50%とかっていう数字にしてるのかもしれへんなと思って見てましたということですね
あんまり交渉に応じて下げすぎるとさ足元見られるっていうのはまあ多分彼らもあるんだろうけど
かといってね交渉でうまくまとまらなかったら一戦も入ってこないリスクがあるから
そうですねやり損というかねそういう意味でも確かにアフィリエイトからしたらさ
下げてももらえるものはもらっときたいっていうのは気持ちは分かるけどね
アフィリエイトもねその入り口の部分に関してはIABから買ってることを考えたら仕入れた分マイナスになりますからねその分ね
結果が出ないと
ロックビットというかまあそれはラースごとに多分同じようなモチベーションだと思うけど
ブランド全体としてある程度のところ維持しとかないと他のアフィリエイトの交渉にも影響する可能性があるから
そうですね
特定のとこだけ下げすぎちゃったり安く買い叩かれちゃったりするのは良くないっていうのはあるんだろうな
面白いね
普通の経済と一緒ですよね
ここのお客さんだけに下げすぎたらみたいな他のお客さんの手前とかいうのもよく出てくる話じゃないですか
それと一緒ですよねお金は使ってるんでね
はい
であとはここがその対応したところでランサムウェアのどのランサムウェアが多かったかみたいなものも出してくれてるんですけど
上位はあのちょっと僕意外やったんですけど
ブラックキャットローヤルロックビットっていう順番だったんですよね
ただ6ビットは2.0と3.0合わせたら一番多いっていう風な結果にはなってるんですけど今回
ただこのローヤルは6月ぐらいから活動めっちゃ低迷してて
リークサイトもたまにダウンしてて新しいリークも全然出てこないんですよね最近
ただその穴を埋めるようにノーエスケープがちょうど6月に登場して件数を彼らから見るといい感じに伸ばしてきてるので
この辺もあんまり名前は入れ替わりはするもののあんま変わらんのかなっていう感じはしましたね
ランサムウェアの被害の増加
さっきのミノシロキンの要求の頻度であるとか金額であるとかっていうようなところを
今後今回上半期の部分だけなんで今年通じて見ないとわからない部分もあるかなと思うんですけど
このちょっとうっすらV字でまた上昇傾向かみたいなところを見てると
ちょっとそこを打ってあんまりいい状況じゃないのかなっていう風なものも見方によってはできるのかなっていう風に思いました
あとはミノシロキン金額がいくらみたいなことっていうのは結構注目しがちではあるんですけど
結局支払い以外にも被害額っていうのはもちろん存在するんで
その辺は忘れちゃいかんなという風に思ったということですね
あとはその様々な規模で被害に関する影響っていうのは全部上昇しているという風に出てきてるんで
今回入ってない下の部分もあると思うんですけども
どこに来てもおかしくないっていうのと
どのランサムが来てもおかしないっていうのはあんま変わらんなっていうところはあったんですけど
普段から違う視点で見れた部分は面白かったなと思いましたね
交渉が何パーセント下げれるとかっていうようなところは
あんまり僕も普段レポート自体が少ないんで
こういったものを見えてよかったかなという風に思ったというお話でございます
僕個人的に気になったのは被害にあった場合
その支払いに応じなかった支払い金額が増えたのはわかるんだけど
支払いに応じなかった場合でもかかった対応費用が増加しているのはあんまりよろしくないというか
食い止められてないからじゃないかと思うんですかね
その支払いはしなかったけども結局影響がかなり広範囲に及んでとか
長期間に及んでとかそれなりに被害が出てしまったので
保険金の支払いもそれに応じてなのかわかんないけど増加してみたいな感じだとすると
支払いの率は多少下がっているのかもしれないわからないけど
あんまり光明が見えないというか
なんかそんな明るい感じしないですね
なんかそういう兆しはまだ見えないね
そうなんですよね
あとはこの大きいところばっかりが狙われるとも見てほしくないですしね
そうだね
意外と思ったほど薄利多倍型とかにもならずみたいな
ランサムごとにそういうのはあるのかもしれないですね
大きいところを狙うグループもいるじゃないですか
グループの数自体はどんどん増えてますしね
これ聞いたことのない名前のやつとかもいますもんやっぱり調べてたら
毎月毎週のように新しいグループの名前がニュースに出てきてとかさ
そうなんですよね
新しいやつが出てきたなと思ったら
個人が急にブログ書くの面倒くさなったみたいな感じで活動なくなったりするやつもいますしね
そういう意味で少し前からだいぶ前かなわからないけど
ラースに代表されるような役割分担がうまくできて
3人消費が下がってっていうのは
相変わらず変わってなくて
プレイヤーは次から次へと入ってくるみたいな感じで
それに対してあんまりドラスティックに上手く状況が変わるようなことは起きてなくて
むしろじわじわ被害金額は上がっててみたいなのは
そうですね
ちょっとよろしくないね
でもこんだけ結構金額に関してはぶれるもんなんですね
だいたいこれぐらいって落ち着いてくるのかなと思ったけど
3年4年やったらそんなもんなんですかねまだ
そうね上がったり下がったりみたいなね
これだけ見て上がって来年だったらまた下がるかもしれないしわからないからね
でもあんまり良い兆しは見えないなっていう
そうですね
たまたまかもしれんしねこの上がったり下がったりとかもね
あんまりうまくいかへんかったから下げすぎたとかもあるでしょうしね
フワッとした事情でっていうのもあるかもしれないなと思いますけど
当たり前の話だからこれは全米の話だと思うけど
おそらく他の国とかでも傾向的にはそんなに変わんない気もするんで
多分そうだと思いますね
全体で見ても
全体で占めるアメリカの割合もまあまあ高いだろうし
大手企業や組織の狙われやすさ
そういう点考えてもね自分たちにとってもこれはまずいぞっていう考えで見ていかないといけないかもね
そうですね
あんまり明るい話はいつもできないんですけどっていう感じですね
はいそんな感じでございましたありがとうございます
はいということで最後はおすすめのあれを紹介しようかなと思ってるんですけども
今日はですねなんかこう便利グッズというか
服を干したら時にシワで着るの嫌でしょ
なんかちょっと前になんかハンガーとか紹介したけど
あしたした
措置系か
措置系ですね
いやあのとはいえなんか時間もない時あるやん朝
でなんかいろんなこうシワ取りスプレーみたいなやつとかいろいろやってみたんですよ僕
あーなんかあるよねそういうのとか
あとなんだっけスチームアイロン的なのでなんか伸ばしたりとか
そういう意味で言うと最強はスチームアイロンです最強は
プッシュみたいなやつね
そうそうそう
ありますあんな朝無理でしょ
まあなかなか忙しい時にはね
そうそうそう
いろいろ使ってみたんですよ
いろんな方法で僕シワ伸ばしをやってみたんですけど
手軽にできるとか
あとはそのなんかどっか泊まりかけで出張に行ったりとかっていう時にはなかなかできひんじゃないですか
そういう家のスチームアイロン持っていくわけにいきませんしね
そうですね
そう考えたらなんかもう結果的には
洋服のスタイルガードっていうあのライオンが出してるやつが一番リーズナブルで
それなりのそれなりので怒られるかもしれないですけど
それなりの感じでこうピシッとしてくれるかなっていう
あーそういうのがあるんだ
そうそうシュッシュッシューいうてするやつがあるんですけど
シュッシュッシューだけじゃダメですよ
シュッシュッシューってちょっと手伸ばしてあげるみたいなやつ
特に僕は着ないですけどスーツの背中のあたりとかシワ寄るじゃないですか
持たれたりとかするとね
とかあとズボンの膝の裏というか
あの辺とかねそういうこととか
僕の場合はTシャツとかですかね
そういうシワができやすいところっていうか
そうそうそうそう
なんでTシャツの場合は僕は乾燥までは絶対しないんですよ
外に着ていくやつは
濡れた状態で乾かすんですけど
それでもちょっとシワつくんですよね
それで無理やった具合はシワをシュッシュッと伸ばしておくと
完全には消えないですよ
ピシーみたいになるのをイメージしたら
星一つとかにしてしまう気持ちになるかもしれないですけど
気持ちちょっとこう増しになるぐらいの感じで
気分よく外に出れるかなっていうので
結構愛用してます最近
なるほど確かにアイロンかけるほどはできないけど
手軽にできてそれなりに効果もあると
僕の場合はね合わせ技することが多いんですけど
朝僕出かける前に絶対お風呂入るっていうルーティーンがあって
湯船に浸かるようにしてるわけなんです
その時に僕は自分がお風呂入れる時にお湯を張るじゃないですか
その時にも1回かけとくんですよ僕
なるほど
それでちょっと水分含ましといて
仕上げでこのスプレーちょっと使ってみたいな感じにしてますね
そうそうそう
でも自分がお風呂入ってる時は
もう外にかけといて乾かすフェーズで
シワスプレーを振っといてその間にお風呂入るみたいな
そうすると結構ピシッとしますねって思ったんですけど
よう考えたら皆さんあんま外でTシャツ着て出かけないかもしれないですね
僕しょっちゅうTシャツ多いと思いますけど
でも別にスーツとかにも使えるんで
そうだね
いろんなある中コスパ考えたこれが一番良かったかなっていう
一番手軽にできるという意味ですよ
なのでちょっと使ってみてもいいんじゃないかなという
逆にこっちの方がいいよみたいになったら
僕逆にそれ教えてほしいかなっていうのもあって紹介しました
はい
そんな感じでございます
ということでまた次回のお楽しみです
バイバイ
バイバイ
