00:00
いやーもう前回のポッドキャストエピソードやってしまいましたね僕。
何かあったっけ? あ、あれか!
はい、もう分かりますよね。
いこまし?
そう。
あー。
あれー。
はい、やっちゃいました。マジで。
あれどこで気づいたの?
あれは、ポッドキャスト公開しましたっていうツイートをしたらすぐに、いこましは大阪やなくて名古屋や、あ、名古屋じゃなくて奈良で来てくれたんですよ。
誰かが教えてくれたんだ。
そう、教えてくださったリスナーの方が聞いてくださっている方がいらっしゃるんだと思うんですけど、その方に教えていただきまして、あーって思って。
マジか。
なんかあの結構多分皆さんもね、なんかずっと長年思い違いをしてたっていうのはあるんじゃないかなと思うんですけど、もう完全にあれですね、なんか僕、学生の頃に時々行ってたんですよ。いこましに。
あ、そうなんだ。
行ってたというよりも、あの僕通学で使ってた電車で寝過ごして行ってた駅が。
時々寝過ごして。
行ってたって言わねえだろそれ。
あの寝過ごしたプラス、僕の目的駅に止まらん電車に間違って乗って寝て起きたらとんでもない景色全然知らんみたいなときに、だいたいいこまぐらいまで行ってるっていうのがあったんで、僕はまあその学校は大阪府だったんで。
その延長で考えてずっと勝手に大阪へと思い込んでたんでしょうね。
えー、なんか地元、大阪が地元の人さんが思い込んでるぐらいだから、結構そういう風に思ってる人他にもいるんかね。
そうですね。
間違いやすい場所なの?
いや、全然。
ほら、東京にもさ、町田市っていうところがあるじゃないですか。
ありますあります。
よく間違われる。
町田ほどじゃないはず。
あ、そうなんだ。
僕の生活環境、過去の生活環境に寄ってしまったってところだと。
なるほどなるほど。たまたま辻さんが間違えてたってだけってことね。
おそらくね。
いや、全然土地勘ないからさ、全く大阪とか奈良とか言われても全くピンとこないんだけど、こっちは。
なんかね、そのすいませんでしたみたいな訂正のツイートをしたら、いやいや、いこまは大阪やって言い出す人がいたりとか。
なんかちょっとしたツイートをいくつかいただくっていう。
あ、そうですか。
いこまに住んでても間違ってる人おるとか、ほんまかいなと思うようなツイートとかも。
03:03
でもあれ、それは地理的には大阪に近い。
大阪よりですね。大阪で働いてる方とかが住んでるとか、ペットタウンだったりとかみたいなところがあるんですよね。
なるほどね。
だからそこに住んでて、大阪で働いてるとか京都で働いてるみたいな。
そういう人たちのことなんか不眠って呼んだりするっていうのがあったりするみたいなことをネットで調べたら出てきましたけど。
結構大きな市なんですけどね。
やらかしちゃいましたね。
確かにね。でも、奈良県いこま市に誇りを持って住んでらっしゃる方もいるからちょっと謝っておいたほうがいいんじゃないの?
本当に申し訳ございませんでした。
本当にね。全然気づかなかったね。
いやいやそうですよね。お二人は全然ピンとこないですもんね。
いや全く。調べようとも思わなかったし。
いやもう本当に言われるまで、大阪で立て続けに同じ事件かと思ってましたからね。
いや良かったね気づいて。
いや本当にこれ一生あんなけいじられたら間違わないです。
今後間違わないと言いながらさっき名古屋ってわけのわからないこと言ってましたけど。
名古屋も県ですらないからね。
かすってすらいないからね。
いやいやもう本当に気をつけなあかんなっていうことなんで。
ぜひね、ねぎすさんもかんごさんも思い込んでて間違ってたとかあったら教えてください。
なんか僕だけちょっと悲しいからさ。
まあまあでもさほら何十年生きてきたけど結構そういうふうに間違って覚えちゃってることってあるからね。
あるあるあるある。
全然訂正されずに生きてしまったみたいなこともあるでしょうからね。
気をつけていきましょう。
そんなこんなでお便りも来ております。
このポッドキャストをスポティファイとかで聞かれている方はあまりピンとこないかもしれないですけど
webサイトのほう、つじりくす.comのほう見てる方は
毎回僕途中からですかねちょっと前ぐらいから画像を貼るようになってるんですが
iCatchのね。
であの画像ファイルの意味を見て内容を想像するとか
だからこの画像なのかみたいな見方をしてくださっている方が
何か一定数いらっしゃるようで。
あれなんかさわかりやすいやつもあればちょっとわかりにくいのも結構あるよね。
そうですね何かどっから取ってきたんや。
ネタバラシないですからね。
今回そのお便りでダメだ画像の意味がわからないここまでわからないのは初めてっていう
毎回ちゃんとわかって貼ってある。
06:01
今回何の画像だったっけ?
今回はあの狼が月に吠えてるやつですね。
たまたま時期的にちょっと前にあの月食があったから月食かなぁとかってこともこの方ツイートされてたんですけど
これはあのあれですねヒントだけ出して答えわかったみたいなんですが
ないものねだりっていうのを英語で表現するとクライフォーザムーンっていう言葉になるんですよね。
それで検索して出てきたフリー素材の画像。
だいぶ遠いね。
ちなみに毎回公開してるpodcastの音声のmp3のファイルも実はちょこちょこファイル名が変なファイル名あったりするんで
今回だからクライフォーザムーンわかりにくいから今回のファイル名はファイル名の末尾ですね。
末尾の方にCFTMって書いてあるはずなんです。
それもわかんないじゃん。
一人でなんかそういうファイル名のことを突っ込まれたことはNEGISさんからしかないんですけど。
だってさ多分ほらwebで聞いてる人もpodcastのアプリとかで聞いてる人は多分ファイル名わかんないだろうし
PCとかでわざわざファイルをダウンロードして手元で聞くとかっていうよっぽど推挙な人でもない限りわかんないよねファイル名は。
NEGISさんなんでわかってたんですか?ダウンロードしてる?
俺毎回ダウンロードしてるから。
そういうことね。
一応自分で編集してるけどさ、編集後のやつも確認のために落としてるんで。
そうなんですね。
前にさなんだっけな、ちょっと後ろだけ切れたとかっていうことが。
あったあった。ちょっとだけ切れたんですよね。
何かを押した時に後ろがちょっと切れたとかっていうことが。
唐突に終わっちゃうやつですよね。
そうそうなんかあって気になるんで、編集して渡したやつと変わってないかな。
変わってたらいいんだけどさ、そっちで変えてもらったらいいんだけど。
一応確認のために落としてるんでファイル名そこで気づくんだけど毎回。
また今回もひねってるとか。
ひねってたりとかミスタイプしてるのもたまにありますけどね。
たまにね。
スペルミスしてるやつとかもあったりするんですけどね。
そういうのがあるんで、もし興味あったらその辺もチェックしていただければいいんじゃないかなと思います。
ちょいちょいあれですよね。
辻メモとかファイル名とかアイキャッチとかちょいちょいネタ突っ込んでくるもんね。
細かいやつ入れてる時もある。
本当に油断できないよね。
ちゃんと全部早送りとかじゃなくて全部聞いてメモとかもちゃんと書いてるんで。
細かいことやってますということです。
あとは僕と同じようにリングフィットプラス価値の散歩。
09:03
たまにフィットボクシングって僕と全く同じコースをされてる方がいらっしゃって。
お散歩のお供にはあれをという。
ありがたいですよねこういうの。
いいですね。
こんなかぶることあんねんなと思って。
コロナ禍やからとかこういうのやり始めた人も増えてるのかもしれないなと思いますね。
同じことやってるって言うと僕も負けてられへんなって思うから頑張ろうと思いますね。
次のお便りはですね。
スマホ。前回とその前で看護さんと僕ちょっとネタが似たようなやつでスマホに保存したクラウド連携してたファイルみたいなネタを扱ったじゃないですか。
それで私物のスマホはクラウド連携してたりするし一回機微な情報入ってないかを見直した方がいいかも。
何年分見なきゃいけないんだろう。
家族でフォトアルバム祭りでも開催しようかなって。これいいですね。
お互いで家族とはいえプライバシーはありますから今だったらテレビに動画とか写真とか映したりできるじゃないですか。
キャストして。そういうのでこういうことあったねとか言いながら見ていったらこれやばいかもっていうのを見つけたりとかするかもしれない。
楽しみながらできるっていうのはこういう方法もありかなって思いましたね。
最後のお便りが自社内ポッドキャストの方です。
第2回終了ということで。
素晴らしい。続いてるんだね。
続いてるんですよね。扱ったネタは第1回。前回はフィッシング。今回はメールご送信。次回はパスワードについて語る予定。
セキュリティが本業ではない方向け活動のため響く内容に落とし込むのが難しいですが頑張るぞということですね。
いいですね。今聞いたのはどれも身近に誰もが遭遇しそうな問題っていうか。
聞いた内容をかえって家族とかにお話ししたりとかできそうなやつですよね。誰にでも関係ないっていう。
いいですね。2回目3回目どんどん続けていってほしいですね。
いつかは僕らも聞かせてもらいたいな。
そうですね。呼んでください。
聞くんじゃなくて喋ればいいのか。
そうそう。呼んでください。
ネタがなくなったらあいつらでも呼ぶかみたいな。
いつでも呼んでくれる。
そんな感じのお便りが来ておりましたということです。
ありがとうございました。
本編の方に行こうかなと思うので。
行きますか。
今日は看護さんからでしょうか。
私からですか。
私はいつも事件事故メインで取り上げております。
12:03
ちょっと今回はですね。それとは違って。
とあるセキュリティ団体が公表した職種?
職種?
職種っていうのかな。キャリアを分析したレポートっていうのを出してまして。
ちょっとそれを紹介したいなと。
公開されたところはご存知の方もいると思うんですけど。
日本ネットワークセキュリティ公開。JNSAっていう団体あるかと思うんですけど。
あちらの団体の中にいろんな連絡会であるとか、
ワーキンググループとかあると思うんですが。
その中で情報セキュリティ教育事業者連絡会。
そちらのキャリアデザインワーキンググループというところが5月20日なんですが。
先月の5月20日にセキュリティ業務職種のキャリア展望についてっていう。
すごい壮大なタイトルのレポートを出されていて。
すいません、私も結構レポートが何ページあるかな。
結構ボリュームはそこそこあり、
ちょっと細かく全部見切れてはいないんですけども。
要はセキュリティのお仕事って本当に千差万別というか、
いろんな人がいろんなシーンでいろんなところで関わるものじゃないですか。
それらに対してどういったお仕事があって、
今お仕事に関わっている人はどういうふうなキャリア展望というか、
キャリアマップを描いたらいいんだろうっていうところの一条になるものとして、
昨今の状況を踏まえた上で分析をしたというものが今回のレポートなんですけども。
こちら内容が主に2つ書かれており、
このJNSAから、JNSAがもともとやっていた贅沢活動って呼ばれる、
先ほど紹介した情報セキュリティ教育事業者連絡会の中で行われていた、
セキュリティ人材不足ってずっと言われていたわけですけど、
それに対しての解決であったりとか、
働き方の多様化に対する追及するための活動であるとか、
その辺を分析であったりとか、検討を行っているワージーみたいなのがあったんですが、
それが昨年かな、全然私知らなかったんですけど、
一般財団法人になってまして、
日本サイバーセキュリティ人材キャリア支援協会、JTAG財団みたいな形になってまして、
15:05
今回のレポートもそちらの財団と先ほどご紹介したキャリアデザイナー寺、
そちらが連名な感じで出されているんですけども、
JTAG財団が中心にやられているスキル評価だったかな、
その中で150ぐらいの職種を定義して、
めちゃくちゃ多いですね。
めちゃくちゃ多いのか少ないのかもちょっと分からないですけどね。
セキュリティだけでそれ。
これ考え方が少し違ってて、
セキュリティだけというお仕事に関わっている人は全体数が非常に少ないと。
IT関係のお仕事において、
セキュリティに特化したお仕事をされている方と、
セキュリティに特化はしていないんだけどもセキュリティに関わっていらっしゃる方が基本的なところ。
プラスでITをやっているわけではないんだけども、
セキュリティに関わるお仕事。
具体的にホームとかになるんですかね。
直接はIT系のお仕事ではないんですけども、
プラスセキュリティとか名前つけてましたけど、
プラスセキュリティ人材か。
その類型、グループ分けをしているんですが、
今回は150ある中のプラスセキュリティと呼んでいる、
ITと直接関わりのない人たちを除いた129の職種に対して、
先ほどご紹介した贅沢財団がスキル評価診断みたいなのを、
スキル診断評価点、サンプルプロファイルみたいなのがあるらしくて、
その点数を元に129の職種の相関を分析して、
この職種とこの職種は関連性がありそうだみたいな、
そういう分析をたくさんやってるんですね。
これ何を目的としているかというと、
要は今例えばセキュリティソックのオペレーターであると、
その人が今後どういう風な展望をキャリアとして描いていったらいいのかっていうのを、
その相関分析した内容から、
キャリアアップ的なものっていうのを、
キャリアパスか、キャリアパスみたいなものを作れないか、
今回はキャリアパスまで確か落とし込めてないんですけど、
そういうものを落とし込めないかっていうところの元ネタとするための、
相関分析をしてみたというものですね。
それが一個。でもう一個は、
すごいこれも難しいんですけど、
個人のキャリアの8割は偶然の出来事によって決定されるという、
18:03
計画的偶発性理論というものを用いた、
セキュリティに係るお仕事をしている方に対しての行動特性の研究というか考察を行いましたというもので、
これもちょっとなかなか難しくて、
私まだ100%は理解しきれてないんですけども、
ハイパフォーマーと非ハイパフォーマーというのに分けて、
先ほどの行動特性の分析、
5つの軸があるんですね。
好奇心とか持続性とか柔軟性とか、
その5つの軸に対して、
すごいハイパフォーマンス、
要は高い業績であるとかっていうのを出していらっしゃる方と、
そうでない方において目立った差異が見られるかっていうところを分析したというものですね。
その2点を主だった内容として、
分析してレポートにしたものが20日に公開されていたんですけど、
私そもそもこんな分析やってたんだってことすら知らなくてですね。
分析っていうかな、こういう累計とか、
さっきの150とか全然知らなかったんですけど、
こういう動きが結構、
やっぱり皆さん好きっていう言い方あれですけど、
興味が非常にあるところではあるんですかね。
自分が今やっている仕事、
あるいはその先っていうのがちょっと見えづらいっていうのがある部分ではあるのかなっていうのは、
多少なりはあるのかなと思うんですけど、
結構業種業態によってはセキュリティ系のポストに入っちゃうとそこで止まっちゃうみたいな、
そこから先があんまないみたいな話もあるにはあるんで、
そういった方々に対してどういった形で自分自身を成長させていったら良いのかみたいな、
ある意味後ろ盾というか指針となるようなそういうのを目指しているのか、
ちょっとその最終的な起着点というのは今回のレポートからはまだ汲み取れてないんですけども、
そういうレポートが出ておられたので、
全然知らないっていう方は一回目を通していただいて、
これ私何を気にしているかというと、
分析として、例えば相関した触手がこんなのが出てますっていうのがいっぱい並んでるんですよ。
いっぱい並んでて、
これ実際やってらっしゃる方が相関して出てきたものに対して、
認識がそこまで差がなければいいんですけど、
やっぱり全然検討違いというか、
なんでこれが入ってくるの?みたいなのもやっぱりあるかもしれなくて、
21:01
ちょっとその辺の温度感の差っていうのが、
ちゃんと埋まっているのかなっていうのがそこは気になったところではあるんですよね。
今回は多分単純に数字の分析をメインでは、
なんかヒアリングは多少しておられて、
その部分は若干なり加味はされていると思うんですけど、
大半の分析をされている、さっきの129とかっていうところに、
129の触手に関しては基本的には数字分析をメインにされていらっしゃると思うので、
ちょっとその辺は少し気になるところではあるんですよね。
これ、スキルを測ってこういうのが得意、
ここが欠けているみたいなものも出せるみたいな感じですか?
サラッと見てみたんですけど、
例えばどういうのを判定の軸にしているんですかね?
こういうことができるとか、経験年数とかなんですかね?
経験年数とか、あとは資格であるとか、
さっきのジェイターズ財団っていうところのページに、
概略では評価要素って書かれていて、
テクニカルスキル、本当に技術的な内容に関するものであるとか、
資格、あと研修や講義などの受講した実績、履歴か。
あとはこれまでの業務経験。
これが能力部分で、
特性、資質、行動、特性診断っていうのがさらにその下にあって、
ヒューマンスキル。
ヒューマンスキルっていうとかなり幅広い感じがするんですけど。
ヒューマンスキルっていうと、対人接触とかね。
提案したりとか、あとは設計して、
何人のプロジェクトを何年やりましたとか、
どういう規模でやりましたとか、履歴書とか書いたりするようなやつありますけどね。
そういうことなんですかね。
最後が人って書いてあって。
人。
セキュリティに携わる上での基本的な人としての信頼度って書いてあって。
意識あるな部分の方かな。
ってことですかね。
さっき言った今の項目を先ほどのスキル評価の分析点として出して、
各職種の相関分析をしてっていう感じでやったんじゃないかなとは思うんですけど、
ちなみにこれセキュリティリサーチャーもあるんですよ。
あらら。あるんですか。
セキュリティリサーチャーもある。
別紙っていうのがあって、
概要本紙別紙って3つに分かれてて、
概要は今私が説明したような内容で、
本紙にはもうちょっと細かい分析した見解であるとか総括であるかっていうのが書かれていて、
24:00
最後別紙は今お話しした、
職種の相関分析をしたものがいっぱい載ってると。
セキュリティリサーチャーはですね、
セキュリティリサーチャーは評価点がだいたい50何点だこれ。
52とか3くらいなのかな。
で、その上、上を目指していくのが望ましいスタイル。
キャリアとしては上を目指していくのが望ましいっていう感じなんですけど、
リサーチャーの上がですね、
一番相関が強いものとしては、
セキュリティエンジニアって書いてある。
ん?
129あるセキュリティリサーチャーであるとか、
エンジニアであるとかっていうところのちょっと細かい定義を私見切れてなくて、
ちょっとそれも多分踏まえる必要は当然あると思うんですけど、
セキュリティエンジニアとかセキュリティアーキテクトとか、
あとちょっと相関が若干弱るんですけど、
情報システムITインフラ運用とかっていうのもありますね。
それは相関っていうのは近しい?
そうでございます。
上とか下とかそういうのじゃないんですよね?
さっきの得点が出るので、
得点が高い職種ほどイメージが高度な業務につくっていう形になる。
将来じゃあ自分は今これを経験してて、
次にこっちに行こうかあっちに行こうかの上位職種みたいなものがあるってことなんですね。
そうですね。
求められるスキルがちょっと高めになってくると。
そうですそうですそうです。
なのでリサーチャーでクビになったらITインフラ運用とか。
それはちょっと予定にはないですね。
そもそもクビになるとかあるわけ。
自分で辞めるとかはともかくさ。
クビになる。
辞めさせられるとかないよね。
リサーチャー、自分で辞めるってのはあるけどな。
そうだね。
そうそうそう。
ちょっとさっき後半もう一個の方で言ったんですけど、
セキュリティのお仕事に就いてらっしゃる方の大半は自分でやりたいって思ってやってるんではなくて、
外部からの、外部っていうか上からの指示であったりとか、
流れでやってしまっているとかっていう方が結構な数を占めてるというのも書かれて、
ただヒアリング結果としてはちょっとそこはフォローさせていただくと、
すごい嫌々でやってるっていう感じのコメントは載ってなくて、
みんなどれも満足してるとか、
どうしてよかったとかいろいろそういうポジティブなコメントをメインであったので、
27:01
とはなってたんですけど、
自分でやって変えていくっていう形の人は少ないというか、
撤退数として少ないんだなっていうのはそこはそうなんだなっていうのは思いましたね。
なるほどね。
それをみんなチャンスと捉えて前向きに取り組んでるってことだと思うけどね。
そうですね。
セキュリティの人材ってずっとやっぱり足りないっていうかニーズが高いって言われてるから、
そこに求められてぜひやってくださいって言われるとか、
移動になってとかっていうそういうきっかけって人が意外と多いってことだね。
そういうことですね、やっぱり。
新しくセキュリティ第一だっていうことで業務が、
専任の担当ポストが増えてそこについたとかっていう感じですかね。
結構書かれてるのも。
結構こういうのでさ、
僕もこれ実は看護さんに教えてもらって初めて知ったんだけど、
なので全然中身ちゃんと詳しく見れてないんで、
まとはずれなこと言ったらやってる人に申し訳ないんですけど、
だいたいこういうスキル評価とか分析とかって、
良い面悪い面両方ともあると思うんだけど、
例えば簡単に言うと良い面っていうのは、
自分のスキルとか特性を可視化することで、
自分でも気づいてなかった可能性が見えるっていうのは、
すごいプラスな面。
実は自分の能力をちょっと変えたら、
もっと実は良い役職というか職種につけそうとかさ、
さっき言った相関が近いっていうことは、
ちょっと考えて頑張れば、
そっちの方向も行けるっていうことに、
自分は今まで気づいてなかったけど、
そういう可能性が見えるってことはプラスだと思うんだけど、
逆に言うとマイナス面では、
自分が好きで取り組んでやろうと思ったところに、
実は意外と自分が向いてないっていうか、
適性がないっていうのが可視化されてしまった場合に、
それをどう捉えるかっていうことで、
僕の個人的な意見は、
良いところだけ見ろっていうのが個人的な意見で、
占いみたいなもんってこと?
そうです。
占いも自分にとっては都合の良いとかだけ見るっていう、
そういう人いると思うんだよね。
僕は基本的にそういう楽観的なアプローチの方が、
物事がうまくいくと思ってて、
僕は個人的に、
いや、そんなの全然受け入れられないっていう人もいると思う。
それは人それぞれだからどうでもいいんだけど、
僕は個人的には、
自分にとっては都合の良い結果だけを見れば、
いいんじゃないかなっていうか、
例えば仮に適性があまり向いてないって書いてあったところで、
好きなんだってやればいいしさ。
それが一番の活力かもしれないですね。
そういう好きとか興味があるっていうのは、
壁を突破するものすごい原動力なんで、
適性どうこうっていうのを軽く飛び越えられるんだよね、そういうのは。
なのであんまりそれにこだまる必要はないんじゃないかなと思うんだけど、
30:00
でも人間ってやっぱり弱いから、
そういうところに寄り所を求めたいじゃん。
ついついだからね、
お前は適性がないとかって言われちゃうと、
シューンってやめちゃう人もいるかと思うんで、
それはなんかね、もったいないなとちょっと思う。
確かに確かに。
だからそういう可能性を広げてくれるプラス面が大きく広がれば、
マイナスを覆い隠すくらいプラスになればいいなと思うけどね。
そこら辺が多分人によっては捉え方がなかなか難しいのかなっていう気がしたなっていうのが一つと、
あともう一個は、
僕らがって言い方あれだけど、
僕なんかもうセキュリティ20年以上やってるからさ、
自分がすげー幸運だったなと聞いてて思ったのは、
今って昔と違ってものすごく専門性がどんどんどんどん高くなっていて、
細分化しているじゃない。
だからすごく選択が難しくなってるんだよね、昔よりも。
第一線で活躍するためにはずっと高い専門性を突き詰めていかなければダメなんだけど、
そうすると逆に他に転換しにくくなるっていう危険性も高くなってて、
昔はさ、セキュリティのエンジニアって言ったら何でもやれる人だったんだよね、セキュリティに関しては。
そうですね、フルスタックエンジニアみたいなね。
つゆさんもカンゴさんも多分そういう経験をみんな知ってきてる。
今は多分そういう一線でいる人たちって結構みんなそういう経験をしている人が多いので、
割と何でもかんでもやってきてる人が結構多いと思うんだけど、
今って多分そうじゃないので、そこがね多分その時代とともに変わってきてて、
今こういうのが必要とされてるっていうのは、多分そういう難しさがちょっと昔と違う難しさがあるなと思って、
あんまり僕らの、昔俺はこうだったみたいなアドバイスってあんまり役に立たないんだよね、今には。
だいぶ変わりましたからね。
いやもう全然違う、全然違うんで。
状況というか。
そうそうそう、昔俺はこう悩んでこう解決したみたいなね、
なんかそういうのってあんまり多分今は役に立たないんじゃないか。
だからこそこういう客観的な指標が求められてるんだろうなっていう感じがする。
まあ難しいよね、なんか聞いてて大変だなと思った、なんかちょっと。
結構一言だけでさ、ごめん。
いやーわかんないですよね、西さん評価されるかもしれないですよ、これで。
マジで?これ多分ね、自分で評価したらこんなの全く当てはまんないと思う。
なんか適正全然ないなとか言われそうだもんな。
めちゃめちゃね、このレーダーマップみたいなの出てるんですけど、そのデータデザインとか見るとね、
なんかもう自分のアセスメント結果がすごいしょぼい、真ん中の方にしかないみたいな感じになっちゃう。
なりそうだよね、なんかね。
もうちょっと目も当てられないみたいな。どうしようみたいなね。
まあそういう可能性も全然なくはないよね。
まあそういうマイナス面っていうかも、一部ありそうな気がするんだけど、
33:04
あんまりそこにとらわれないほうがいいかなっていうか。
ちょっと面白いね、なんかそういう、
いや俺も知ってほしいわ、キャリアパス。
それは僕も知りたい。
知りたいよね、ほんとね。
みんな思ってると思うよ。だって、
他の職種もそうじゃそうだけど、特にセキュリティとかIT系の職種って、
本当にここ10年、20年でわーっと増えたからさ、
これが正解みたいなキャリアパスがないからね。
前例がない尽くしですからね。
全然ないから、まあそういう意味では楽しいけどね、自分がそういうの作ればいいじゃんみたいなね。
はいはい、ほんと。
なんか、下手に前例があるとさ、なかなかそれに追いつけないみたいな。
確かに。
そこに縛られてしまうっていうのもあるでしょうね。
そうそう。
まあそういうのがない分ね、本当に自由なんで、キャリアって本当に自由なんでね。
さっき言った、カゴさんが後半に書いたよって言ってた、
偶発的な何かでっていうのは、本当に当てはまると思ってて、
それが、なんていうの、自発的な要因かもしれない。
たまたま自分で何か思いついてやったとかね、そういう要因かもしれないし、
会社の命令データとか、あるいは何かしら突発的な事情で、
例えば仕事を辞めざるを得なくなったとかさ、わかんないけど、
なんかわかんないけど、何かそういう偶発的な事象が、
その後の自分を決定付けるみたいなことってあると思うんだけど、
それってなんかね、さっきのアンケート結果から思ったけど、
決してマイナスじゃないよね、プラスだなと思って、僕は。
それってすごいチャンスだと思って、
それを捉えられるかどうかで大きく変わるんじゃないかなっていうかね。
なんか上手いこと、なんとなく畳に見ると、
上手いことキャリアを上手く開発してキャリアアップっていうかね、
やってるなって見える人は、多分そういうのを捉えるのが上手いんだと思うんだよね。
そういう変化っていうか、全部が全部自分の力だけでっていうよりも、
そういう他人の力とか環境的な要因も上手いこと取り込んで、
そういうタイミングでバッと取り組めた人は、
っていう気がするので、
そういうのを見逃さない力っていうのも本当は大事なんじゃないのかな。
めちゃめちゃいいアドバイスが出ましたね。
それは確かに、それはどんな時でも出るよね。
それは私もそう思います。
多分ね、今までそういうのをやってきて、
なんとなく今活躍してる人っていうのは、
多分そういうチャンスを捉えるのが上手い人っていうか、
そこは多分共通してるんじゃないかって気がするな。
なんか深いねこれ。
話が深い。
そうなんですよ。
やっぱりちょっと気にしておいた方がいいなって思ったのは、
36:01
非常にいろんな方が動いて出てきてるアウトプットではあるので、
今後この出てきたアウトプットがまた次、その次っていう形で変化をしていく、
あるいはいろんなところに広まっていく可能性ってのもやっぱりあるわけで、
この辺の動きっていうのもしっかりキャッチアップしておかないと、
なんか気づいたらね、
あなたは先ほどのちょっとネギシさんじゃないですけども、
なんか適正がないみたいに言われちゃっても困るので。
確かに。
お前あっち行けみたいな。
怖いじゃないですか。
確かに。
そうならないように気をつけないとね。
そうなんですよ。
だからちょっとこの辺の動きも多少なりともね、
ずっと追いかけるのはちょっとしんどいかもしれないですけども、
なんか出てきたタイミングで、
今回のレポートとかちょっと見ていただいても、
人によっては全然違う気づきとかあるかもしれないかなと思うので。
はい。
勉強になります。
はい、ということで、
じゃあ次の話に行きますかね。
はい、ありがとうございました。
将来とかキャリアとかって深い話をした後に、
ちょっと僕は薄い話をしようかなと。
これでも薄いもんないだろう。
ないですよ。
浅い。
浅くもない、全然浅くもないんですけども。
いつも通りの平常運転のお話をさせていただこうかなと思うんですが、
ソフォスから出ていた、
毎度おなじみランサムウェアのお話で、
ランサムウェアの現状2021年版っていうレポートが、
これ4月の末に英語版が出てたんですけど、
先月の末、5月の末に日本語版もリリースされてて、
いつ話そうかなと思ってたやつを今日持ってきたということなんですけども、
2021年版ってまだ2021年半分も終わってない感じなんですけども、
これどういうレポートかというと、
全部です。ユーザーに多分聞いてるのかな。
30カ国に聞いていて、
5400人のIT意思決定者という範囲で聞いています。
2021年版とあるんですけども、
期間は今年の1月と2月に実施したものというふうに書かれてありました。
聞いた人たちの所属している組織の規模なんですけど、
100から1000名くらいの組織が半分、
1100名から5000名の組織が半分というようなところですね。
聞いた業種も結構多岐にわたってはいるんですが、
ボリュームゾーンとしてはIT、テクノロジー、通信って書いてあるのが996と結構多いですね。
それに次いで多いのが金融サービスで550。
一番少ないのが中央政府及び政府外公共機関と地方自治体で
131と117というふうになっている感じです。
その方々にしたアンケートの結果をいくつかピックアップしてお話ししたいんですけども、
39:04
まず昨年2020年にランサムウェアの攻撃を受けましたか?というふうに質問していて、
はいというふうに答えた結果、
1位が意外な国でした僕は。インドが68%はいというふうに答えているんですね。
これは昨年のレポートも僕見てみたんですけど、
昨年は今年30カ国に対して26カ国だったんですが、
昨年もインドが1位なんです。
その次に次いでオーストラリアでアメリカというふうになっているんですが、
アメリカは去年6位で今年は3位に上がってきていて、
じゃあ日本は?って話なんですけど、
日本は30カ国中29位というめっちゃ下になっているんですね。
これあの実際に見てみたんですけど、
僕自分の手元にあるリークサイトをチェックずっとしてるじゃないですか、
このBotcastでも何回かお話し、レポート作った内容をお話したことあるかと思うんですけども、
僕のやつと比べてみたんですが、
僕のやつは2021年の1月1日から今年の6月の4日まで広めにとってみて、
見ている数こういったベンダーよりも全然少ないんで、
この範囲にしたらちょっと若干ズレはあるかもしれないですけども、
この範囲で見てみたところ、
僕のところではアメリカが1位で、
次いでイギリス、カナダ、フランス、イタリアとなっていて、
インドは1、2、3、4、5、6、7、7位というふうになっていて、
そういう差異が出てきてたんですけど、
多分この差異が生まれているのは、
このソフォースのレポートはランサムウェアとしか書いていないので、
バラマキとかも含まれているから、
こういったちょっと差が出てきてしまっているのかなっていう風なところが感じられましたというところです。
さっきの国別に関してはツイートしてあるので、そちら見ていただければと思います。
あと業種で一番多かったのが、
小売と教育が同じ数値で1位、大位でしたね。
その後はビジネス、プロフェッショナルサービス、
何かしら専門に特化したような仕事をされているところが含まれるのかもしれないですけど、
そこがあって中央政府というようなところになっています。
これも僕同じように見てみたんですけれども、
僕のところでは建設土木がずっと1位で、
今年に入ってからも建設土木が1位というようなところです。
建設土木はソフォースのレポートだとかなり下で15位くらいかな、
かなり下の方に入っていて、
1位の小売というのは僕のレポートだと、
1、2、3、4、5、6、7、8、9、10、11位となっています。
42:04
結構こういう風にばらまきとかを含めたりすると大きく差が出てきて、
狙うところが違うというようなところも出てくるのかなという風に、
全然違う結果が出たのでなかなか面白いなと思って見ていました。
このレポートに書かれてあったところで、
ランサムウェアによる被害を受けたところに聞いているアンケートがあるんですけれども、
データの暗号化をされましたかというふうな質問に対して、
ランサムウェアからはいじゃないのかほとんどと思ったんですけれども、
これは止めたというのも中に含まれているので、
データの暗号化をされてしまいましたという風なところは、
攻撃を受けた組織のうちの54%、
これは去年は73%なので、かなり19%減っている状況。
なので、いろいろ対策が進んだりとか意識が高まった、
2020年結構ランサムの事件があって、
今年もかなりいっぱい出てきてますけれども、
2020年が一番契機になった年なのかなと僕は感じているので、
標的型とかがワーッとなったりとかしてた頃なので、
そういったことが影響が出て対策が進んだのかもしれないなというと、
それを裏付ける形でデータが暗号化される前に、
何かしらの方法で攻撃を阻止することができましたという風に言っているのが、
去年が24%に対して今年は39%で15%増えているという風なところがあります。
なので、この2つを見ると、意識とか対策が進んだという風なところが
見て取れるなという風に感じたところであります。
あとちょっと気になったのが、データは暗号化されていないけれども、
ミノシロ菌を要求されたという風なものが、
去年が3%に対して今年は7%、倍増しているという風なことが書かれてあったんですが、
詳細は書かれていなかったのでわからないんですけども、
暗号化されていないけど要求というのは、
最近ある二重脅迫みたいなものであるとか、
暗号化がうまくいかなかったけれども要求されているとか、
あとはクロップがアクセリオンを狙った攻撃で一時期脅迫のリーク数が増えていたんですけども、
そういったものも含まれて増えているのかもしれないなという風なところが、
ここから読み取れましたというところですね。
あとランサムといえば、どうしてもついて回るお話、
ミノシロ菌の支払いのところなんですけども、
暗号化された組織に対してミノシロ菌を払ったか払ってないのか、
みたいなところを質問しているところがありました。
これがミノシロ菌を払ってデータを取り戻しましたという風に言っているのが、
去年が26%に対して今年は32%に増えていると。
払わずにバックアップを使用してデータを復元しましたというのは、
去年が56%に対して今年は57%、横倍。
45:04
これちょっとよくわかんないですが、他の手段でデータを取り戻したが、
12%から8%なんですが、他の手段って他何があるのか、
ちょっと僕はここから読み取れなかったですね。
デクリプターとかじゃないの?
デクリプターですかね、元に戻す方法が後から出てきたとか。
出てきたとか、もともとデクリプターがあるマルウェアに感染したとか。
はい、そういうのかもしれないですね。
多分そうでしょ。
ありがとうございます。
バックアップを使用してデータ復元が57%で、
ミノシロ金を払ってデータを戻したのが32%に増えてしまっているというところが、
ミノシロ金の支払いをしている業種別グラフというのが用意されていたんですけれども、
1位がエネルギー、石油、ガス、公共サービス、
あと地方自治体、教育、ヘルスケアというふうになっているので、
被害を受けたところが、すぐにでもお金を払って、
でも早く元に戻さないといけないというふうなところが、
よく狙われてしまった結果なのかもしれない。
そこがよく狙われたというよりは、
広く攻撃を行っている中で、
そういうところに当たるケースもあったのかという、
どちらかかなと思うんですけれども、
教育とかだったら、
アメリカの大学とか、
多く単位のみのしろ金払いました、
いくつか事例があったりとか、
自治体とかも払ってとかもありましたので、
そういったところが影響を受けて増えているのかなという感じがしております。
みのしろ金を払わないのがお話になったら、
次に出てくるのは、払ったはいいけれども、
元に戻るんかいというところなんですが、
みのしろ金を支払って復元された割合というのが、
全部復元できたのが65%復元できました、
というふうに回答しています。
その65%復元できたの中の内訳がいくつかあるらしくて、
そのうちの65%のうちの29%の回答者が、
50%以下のファイルしか元に戻らなかったというふうに言っています。
戻ったり戻らなかったりというふうに回答されている。
全て復元できたのはこの65%のうちの8%なので、
効率が悪いんじゃないか、
あまり期待できないんじゃないかというふうにレポートでは書かれてありました。
このアンケートに答えた方々は、
みのしろ金を支払ったというふうに回答したのは357人だったんですが、
そのうちの282人の方が正確なみのしろ金金額を回答されていて、
平均支払額は17万404ドル。
日本円にすると1800万900万ぐらいですかね。
最も多かった支払額は1万ドル。
これはうち20人でした。
48:00
最高金額が320万ドル。
これは2人が回答されているというふうなところですね。
みのしろ金というのはやっぱり幅が出ていて、
どういったところで幅が出ているのかというと、
従業員数、組織の規模で結構差が出ているというふうにあって、
100から1000名規模の組織が払ったのは17694ドル。
それに対して1000から5000規模の組織が支払った金額は、
倍以上ですかね。
22万5588ドルという平均金額になっていると。
これは多分交渉とかをする中で減ったり増えたり、
やっぱりこれは払われへんとかっていうやり取りをしていって、
減っていったっていうのももしかしたら含まれているのかもしれないです。
ここであとでも注意しないといけないのは、
ニュースで見ているものとここで出ている数字がちょっと異なるっていう風なケースがあるんじゃないかってことなんですけど、
報道されている金額っていうのは要求金額しか出てこなかったりするので、
その後減額とか交渉とかしていく中で減っていってるっていうようなところは、
ちょっと違う数字なんだってことは、
ちゃんと区別して見ないといけないんじゃないかなというふうにも思いました。
あと金額に関しては、組織の規模だけじゃなくて地域性もあるそうです。
さっきの一番高い最高額320万ドル支払った2ケースっていうのはですね、
両方ともイタリアだそうです。
やっぱりアメリカ、カナダ、英国とかですね、ドイツ、オーストラリアとかっていうのは、
支払金額の平均額がやっぱり全体の平均よりも高くなってて、
インドとかでは低くなってるって書いてるのは、
これもしかすると標的型って言われるやつとばらまきがどっちが多いかによっても、
変わってくるので、そこをちょっと区別した数字が見たかったなというふうに感じたところですかね。
あとですね、最後に紹介したいのが、
展望っていうふうなところでレポートの中で書かれてあったんですけども、
自分たちがランサムウェアの攻撃を受けなかったというふうに回答している方に、
アンケートをしているところなんですけど、
今後ランサムウェアの攻撃の影響をあなた、
もしくはあなたの組織は受けると予測しますかっていうふうに、
今年受けなかった人に聞いている質問。
65%は今後ランサムウェアの攻撃の影響を受けるだろうというふうに回答している。
逆に35%は、いやいやそんなのは全然自分大丈夫っすわみたいな感じで予測していないっていうふうに言っているんですよね。
予測する理由としてはやっぱり攻撃が高度になってきている。
実際に高度かどうかは別にしてですね、いろんな見方あると思うんですけども、
高度化してきているので防止することがやっぱりちょっと難しいんじゃないかなとか、
51:00
あとはランサムウェア自体が増えてきている、蔓延してきているので、
そういったところは自分も自分たちも例外ではないんじゃないかとかっていうふうな回答をされているというところですね。
僕が気になったのは65%半分以上が影響を受けるんじゃないかっていう危機感を持たれていることはすごくいいことだなと思ったんですけども、
気になったのは35%の方で影響を受けることを予測していないというふうに答えた理由1位が、
トレーニングを受けたITセキュリティスタッフがいる攻撃を防止できるっていうふうに言っているところはちょっと根拠としては弱そうな、
これアンケートの質問にこう書かれてあったからかもしれないですけども、
ちょっとこれ過信しすぎると危なさそうな感じがするなっていうふうなところですね。
あとですね、あったのがオフラインでバックアップをしているからデータ復旧できますっていうふうに言っていることと、
あとは保険に入っているからっていうふうに書いてて、
これはどっちかっていうと緩和をする金額を、自分たちの金額的ダメージを緩和するとか、
バックアップが壊れたファイル、暗号化されたファイルを元に戻せるっていうようなところが緩和策かなというところがあるので、
影響を受けてるやろうっていう感じがして、レポートを読んでいくと、
一部の回答者というふうに書かれてあるんですが、選択肢を複数選択しているうちの、
2つ選択しているうちの1つが今挙げた2つのどっちかが入っているっていうふうなケースがあるので、
もしかすると、例えばソックとかちゃんと技術的な対策をしてるけれども、
バックアップもしてるからチェック入れとくかっていうふうに入れてる可能性があるので、
一概にこのランサムに対しての対策の理解が浅いというふうに言い切るのはちょっと厳しいかなっていうふうに感じたというふうなところですね。
このレポート結構盛りだくさんなやつで、生の声が聞けるっていうところと、
報道での数字と異なる数字がやっぱり出てきたりとか、自分が見ている範囲と違うなぁとかっていうところがあったので、
いろんなことに思いを馳せながら読むことができるレポートなので、皆さんも読んでいただければいいんじゃないかなと思いましたので、紹介させていただきました。
これ多分そのバラマキ系と標的型系って言い方が適切かどうかわかんないけど、両方含んでると思うんだけど、
なんかこれ感染したランサムウェアの種類とかで回答を開けられないもんかね。
そこを開けてほしいですよね。
全然攻撃の特性とか身代金の金額とか影響度とか全然違うんで、
だって中にはPC1台だけ完成しましたっていう事例もあれば、
この間のコロリアルパイプラインみたいにさ、LINEが停止しましたみたいな、すげーダメージを受けたみたいな、両方とも同じ一件なわけでしょこれ多分。
54:05
だとするとちょっと比較しにくいっていうか、
そうですね、金額とかも全然変わってきますしね。
なんか平均がこれぐらいとか言われても、いやそれピンキでやろうみたいな、さっきの100万円から1億円って幅入りすぎやろみたいなさ。
ちょっとその辺ふわっとしてしまう、勿体ないなって思いましたねこれは。
だからさっきの国とか業種っていうのを聞いてて思ったけど、
辻さんの方はね、いわゆる標的型でリークサイトに載ってるやつが対象だから、
多分比較してもあんまり意味がないかなって気がしてて、
逆にね、MCソフトが出しているレポートは、あれはさIDランサムウェアのサブミッションが元になってるから、
あれはほぼばらまきなんだよね。
あれもさ、サブミッションの1位はインドなんだよ。
インドが1位でこっちとは類似点があって、
その辺はちょっとなんでインドかわかんないけど、
英語圏でばらまきメールとかで引っかかりやすくて、人口も多くて、
IT産業も活発とかっていう、多分そういう要素があって、インドとかアメリカとかって多いんだとおそらく思うんだけど、
それってでもたぶんばらまきメールだからだよねっていうか、
標的型じゃないよねっていうかさ。
ソフスのレポートの中でインドに関する言及がされているところがちょこっとあったんですけど、
インドの企業を攻撃するために開発したランサムウェアが増加していることを、
ソフスラボは確認していますみたいなことが書かれてありましたね。
なんかちょっとね、そういう要素とか、
そのレベルのものを一緒で比較しても、検討しても、
僕らが例えば日本の企業、一般企業って考えたときに、
どこまで参考にすればいいのかなっていうのがね、なんか最後の方のその
意識のとこね。
まあなんとなく全般的にわかるけど、今の感染状況っていう点で見ると、
ちょっとなんか対象範囲が広すぎるかなっていうか。
対象範囲とあとその範囲の中の経路がちょっと異なりすぎるっていうところはちょっと、
同列に扱いすぎかなっていうのが印象ちょっとありますよね。
ランサムウェアが感染している所、組織すごい多いんだねと思うけど、
まあまあでもそのPC1台感染、例えば1000人規模の会社でPC1台感染しますって、
1年間にランサムウェア1台感染するんだって、
まあそれはそれぐらいあるでしょうみたいな気もするから、
なんとなくね、何万人の規模だったらそれこそ本当に日常3時で感染しててもおかしくないからさ。
まあだからなんとなくちょっともうその辺がちょっと残念な気はするけど。
まあでもそのアンケートで5千何百人から回答があった。
まあ今の生のリアルな声っていう点では非常に興味深いよね。
57:02
そうですね。なんか去年のレポートと見比べても、
その業種みたいなののカテゴリ分けの仕方とかもちょっと変わってきてるんで、
また今後出てくるレポート、まあこれ1月2月のやつです。
今年また多分もう何回か出すんじゃないかなと思ってるんですけど、
その辺はそれを踏まえて出てきてくれれば、またちょっと取り上げたいなっていう気はしてるんですけどね。
何回か、いやこれ1年に1回じゃなかったっけ?
あ、そうなんですかね。
でもそんな何回もアンケートしないんじゃない?
1月と2月だけ、そうか、でもそうなのかな。
違う違う違う。1月と2月だけって言ってるのは違うよ。
その1月2月に回答をもらいましたって言ってるだけで、だって対象は2020年でしょこれ。
そうですね。
だから年に1回だと思うけど、多分。
そうか、じゃないね。
そういう意味で経年変化を見るとかっていうのは割と重要かもしれないけどね。
ちょっと他と比較、同じ対象に対して同じ調査方法で経年変化を見るっていうのは何か意味がありそうだけど、
全然違う括りの別の調査結果と比べても何かちょっとなーって気がした、少しね。
なんで僕はこのレポート自体にはすごい高い評価っていうか価値があると思うんだけど、
使い方が難しいよね。
そうですね。
何となく自分のやつと比べてみようと思ったら、やっぱ全然違うなっていうふうに思ったんで。
違うってことが分かるだけでそれは当たり前だろうみたいな結論になっちゃうからさ。
それはね、データ違うから結果が違うって言ってるのと同じなんで。
何となくもうちょっと上手いこと分析できるといいなっていう。
そうですね。
そもそもぜひお願いします。
聞いてるかどうか分かる。聞いてたら嬉しいな。
そんな感じです、僕からは。
はい、ということで最後は編集長よろしくお願いします。
編集長、はい。なんかもうじゃあ結構だいぶいい時間なんで軽めにいきたいと思いますが、話し出すと長くなるので、
今日はですね、これ久しぶり、よく喋ってるネタではあるんだけど、久しぶりのDDoSのネタをちょっと軽く紹介したいと思います。
大好物来ました。
みんな大好物なんですけど、何かっていうと、今週ですね赤舞さんが出している記事で、
DDoSの脅迫キャンペーンが再び5月から活発になってみたいだよっていう注意喚起の記事が出ていたのでちょっと紹介したいんですが、
このポートキャスト聞いてる人はおそらく知ってると思うんですけど、この脅迫キャンペーンっていうのは割と古くから2014年ぐらいかな。
結構ある、よくあるパターンで、いろんな攻撃者がその真似をしてやっているんだけど、
ざっくり言うと、まず最初簡単なというか短時間の小規模なDDoS攻撃を実際にやってきて、
同時に今脅迫メールをその組織に送りつけてきて、
1週間後までに金を払わなかったらもっとひどい攻撃をお見舞いするぞって言って脅してくるっていう、こういうキャンペーンですね。
1:00:07
今年のその5月、先月から赤前さんの顧客も含め複数の顧客で、同じ攻撃者と思われるグループがたくさん攻撃をして脅迫メールを送ってきていると。
実際にツイートとかでもそういうのを言ってる人がいるんだけども、ファンシーラザルスっていう、なんだそれっていう名前の
混ざってますね。
混ざってんだけど、ファンシーラザルスっていう名前で名乗ってるグループが、0.5ビットコインを払って脅してきているらしいんだけども。
この赤前の記事は何を言ってるかというと、去年、実は8月から同じような大規模な脅迫キャンペーンっていうのが世界中であって、
あちこちで被害になったところがちょっと話題になったりしたんだけども、そういったキャンペーンとどうもちょっと類似性があると。
攻撃パターンが少し似てますっていうことを言っているのと、
あと、これまでというか、4,5年前の昔の脅迫キャンペーンっていうのを知ってる人は、大した攻撃じゃないんでしょって思っちゃって軽視しがちなんだけども、
昔は、僕らも知ってるけど、10ギガBPSとか20ギガBPSとかっていうそういうボリュームのお試し的な攻撃を仕掛けてきて、
軽くジャブを打ってきて、その後ね、生きてる攻撃をお見舞いするぞとかっていう、言ってみればこれはハッタリなわけで、
実際にはそんな攻撃来ないから、払わなくても何の問題もないんだけど、ちょっとビビって払ってくれる人を期待してる攻撃なんだけど、
今行われている攻撃キャンペーンって、去年もそうだし、今回赤前が報告してるやつもそうなんだけど、赤前さんは実際にその2つの顧客で実際に自分たちが攻撃を受け止めたらしいんだけども、
その攻撃規模が、1つは150ギガBPSで、もう1つは250ギガBPSって言っていて、ジャブにしてはちょっと重たすぎるジャブっていうか、
そういう感じだろうね。これが最近のこの手のキャンペーンの特徴で、最初の脅しの攻撃っていうか、かなり破壊力があるっていう感じ。
その後のその1週間後にお見舞いするぜって言ってるやつは、まあ泥道来ないんだけども、来ないんで無視しておいていいんだけども、
お金は払わなくていいんだけど、その最初の脅しの攻撃がかなりな規模なので、これに対応しなければいけないっていうのがちょっと厄介だなっていう。
そんな状況で、去年の8月からのキャンペーンっていうのは何ヶ月間も続いたので、また似たようなのが始まったとすると、ちょっとこれは注意しなければいけないなっていうのと、
1:03:02
今のところその大規模にこういう被害がありましたっていう報道は見かけないんだけど、おそらくたくさんの企業がもうすでに攻撃を受けていると思われるので、
これが今後例えば日本にも向いてきたら嫌だなとか、あとまあそのサービス停止とか長時間に渡るサービス停止みたいなのになっちゃうと、結構被害も大きくなっちゃうんで厳しいなっていう。
ということで、ちょっと注意も含めて紹介したんだけど、前々から疑問に思ったことが一つあって、こういう模倣犯っていうかさ、今回の去年と同じ攻撃したかもしれないけど、
2014年ぐらいからずっと毎年のように飽きずにこういう攻撃ってくるんだけど、これは儲かるのかね?
どれぐらい払ってもらえるのかっていう。
いやこれ最大の疑問で、これだけはね調べてもわかんないんだよね。わかんないんだけど、まあ推定で推定することはできるんだけども、
これでもそのこんなに毎年なくならないっていうことは多分金にはそこそこなるんだろうなっていう。じゃなきゃ続かないじゃない?
どれぐらいの範囲にやってどれぐらいが払うかですよね。
そうなんだよね。でね、この記事にもちょっと書いてあるんだけども、最近のその相場、ダークウェブとか、あるいはいわゆるブーターストレスターって言われる攻撃代行サービス的なところの相場っていうのがだいたいあって、
ざっくりだけど、ざっくり1時間攻撃すると5ドルとか10ドルとかそんな相場なのね。だいたいね。
だいたいの相場が。で仮に5ドルとするじゃない?安い方で5ドル。で、今回の攻撃って結構それ1時間とかじゃなくて何時間も続くケースもあるので、ちょっと多めに見て10時間ぐらいとするじゃない?
で、1箇所ね。1箇所10時間の攻撃をしますと、で例えばこれを100の組織に対してやるとするじゃない?
そうすると10時間で50ドルを100組織だから5000ドルかかるわけよ。5000ドルから1万ドルぐらいっていうふうに幅を見とくと、仮に例えばそのうち100組織のうちの1組織が脅しにくしてお金を払ったとすると、
0.5ビットコインって今だと2万ドルぐらい?ちょっと今ビットコイン暴落してるけど。大暴落してますからね。
ちょっと前6万ドルとか言ってたしね。4万ドルぐらいだとしても0.5ビットコインで2万ドルでしょ?そうすると1万ドル払っても2万ドル返ってくればお釣りが来るわけよね。
ざっくりだよ。ものすごいざっくりだ。それ以外のコストとか何も考えてないけど、ざっくり言ってもそんな感じなので、だとすると100に1つくらいは払うとこあんのかなとかね。わからんけど。
なんかちょっとありそうな気がしてきた。
わからんけどね。僕も断ることにこれ言ってて絶対払うなよって言ってるんだけど、払ったところで攻撃が止まる保証もなければ、払わなくても攻撃が来たためしもないんで、完全に脅しなので、むしろその手前の攻撃どう対処するかっていう方に主眼を置いた方がいいっていうか。
1:06:18
日常的にこんな攻撃来るからさ、相手でも。ということを言ってるんだけども。
言ってるし、2014年から何年にも渡って似たようなキャンペーン続いているんだけど、でもやっぱりそういう脅しが怖いし、最初の攻撃で業務止まっちゃって、これがまた来たら嫌だって思って。
なんか支払っちゃう企業っていうのが、もしかしたらあるのかなっていうかね。
支払いがあんまりちょっとピンとこないっていうのは、例えばランサムウェアだったら、支払えば鍵が手に入るからすぐに復旧できるっていう直接的なメリットが見えるので。
確認しやすいですよね。
さっきね、お金払っても元に戻らないケースが結構あるっていうのがレポートで出たけど。
それは置いとくとして、なんとなく払ったらバックアップからちまちま復旧するよりも手っ取り早いし、保険で賄えるしみたいなそういうメリットがわかりやすいから、ランサムウェアは払っちゃっても仕方ないって思うんだけど、
なんかね、リードスの脅迫ってあんまり払うメリット感じないんだよな。払ったところで何も得るものないじゃん。攻撃しませんって口明くそくが得られるだけだからさ。
それまた別の攻撃者が攻撃してきたらね、全然関係なくなっちゃうし。あんまり攻撃に対して支払ってる会社がいないイメージだったのよ、僕的には。
まあなんか支払わなさそうな感じはしますよね、そこだけ考えたらね。
こんなの誰も支払わないから全然金にならないじゃんってずっと思ってるんだけど、なんでなくならないのかなっていうかさ。
それってでもある程度利益あるからって考えるのが自然ですよね。
だよね。ちょっと誰か教えてほしい、この謎を解けなくて。そんなに儲かるのかなっていうか。
あともう一つは、コストが全然かかってない可能性っていうのはあって、これは前にもどっかで言ったかもしれないんだけど、やってる人たちが自分たちで攻撃インフラを持っているケース。
例えば攻撃代行サービスを自分たちで運営していて、その宣伝に使っているケースね。これは宣伝費用だと思えば別にリターンがそんななくても全く問題ないので、
ほらここのキャンペーンで落とした、これうちの攻撃サービスだぜとかって言って裏で売り込みかければね。
それで客が増えればさ、それは大きなリターンなので。ひょっとしたらそっちかなっていうかね。直接被害企業から身のしろ金を得ることはあんまり求めてない。ひょっとしたら求めてないのかなとかね。
1:09:00
リードス代行サービスを提供している人たちが自分たちでもリードスをちょっとリソースが余っているときにやる部門みたいなものを持っているみたいなところですね。
そうそう。宣伝を兼ねてやっている。それだったらまだ話が分かるなっていうかね。
でも払ってくれればラッキーかぐらいでやっていると。
なんとなくね。ちょっとそこら辺の疑問が解けなくて、何年もモヤモヤしているので、誰かが分かったら教えてください。
ぜひね、ソフォスにレポートを出してもらうということで。
ソフォス関係ない。
関係ない。
これ赤前。
そのジャブがちょっとでかいですね。
そうなのよ。これはさっきの攻撃からのコストがめっちゃ低いっていうのと対照的に、
これ赤前さんが記事書いてるけど、言っちゃ悪いけど、赤前ってリードス攻撃対策サービスの最大手なわけで、
自分たちのサービスの宣伝も兼ねているわけよね。自分たちのサービスだったらこんなの防げるよ、軽く防げるよって言ってるわけなんだけど、
いやいや君たちのサービスめっちゃ高いじゃんっていう。
まあまあまあね。
だってこれ大企業が買うサービスだからね、高いわけですよ、当然。
それだけサービスもすごく良くて、さっきの何百ギガの攻撃があったら全然減っちゃうんだけど、
いやーそんなサービス買えるのごく一握りでしょっていう話なわけじゃん。
そうですよね。
そうするとね、そういうごく一握りの人しか買えないサービスだとすると、
それ以外の大多数はそんな高いサービス買えないから、
これぐらいの100ギガ200ギガっていう攻撃が来たら、多分ね、持たないんだよね。
待つしかないですよね、終わるのね。
ほとんどのところは持たないんですよ。
だけどその攻撃をすぐに5トロ10トロでできちゃうっていう、
すごい非対称なのがますます際立ってて、
それが金にならなそうなんだけど、攻撃が止まらない一つの理由っていうか、
攻撃する側のハードルがめっちゃ低いんで、
100人一つでも払ってくれればとか、宣伝になればいいやーぐらい、
軽い気持ちで攻撃できちゃうっていうかね。
でもこのジャブやって、その後これ以上されたくなかったらみたいなパターンって何年も前からあるじゃないですか。
これをもうちょっと支払ってもらうためにジャブ長めとかに変えてきたりしないんですかね。
ジャブ長めだよ、今。
今もですか。もっと払うまで延々とだって、元出がほとんどかかってないんやったら払うまでやるぞみたいな。
値下げしちゃおうかとかっていう交渉とか。
それがだから去年のパターンだよね。
攻撃が効くって分かったところでは粘着してくるっていう特徴があって、
今回の攻撃者が去年と同じかどうか分かんないけど、
去年の攻撃パターンを見ていると、影響を受けたっていうか、
ビクともしなかったところっていうのは避ける傾向にあって、攻撃側も。
1:12:01
影響を受けたと思われるところは必要に狙ってくるっていうのが見えていて、
攻撃も何時間も続けてやってくるっていうのが。
前はね、その、
そういう意味ではちょっと最初のジャブがおぼたすぎるので、
それだけはノックダウンされちゃうっていうか。
そうですよね。ジャブでヘビー級で来るから。
そう、超ヘビー級ジャブが飛んでくるんで、
そのあたりのね、あの認識もし持ってない人がいるとしたら、
そこはね、ちょっとぜひ改めてほしいっていうか、
そういう意味でね、
そんなのがいつ飛んできてもおかしくないよっていうね。
なおかつその規模だとちょっと防げるところが限られてくるなっていう。
なんか中前さんのこの記事にも書いてあったけど、
自分たちのサービスを入れていて、
大丈夫ってところには攻撃が来てないって言ってるんだよ。
攻撃者も赤くないんだけど、
攻撃者のステージにいるときにね、
アプローチするようにいいんですよ。
アプローチするように、
アプローチするようにっていう感じ。
ないって言ってるんだよ もう攻撃者も頭に避けてるんじゃないですかね多分ねおそらく
あの狙ってもダメだからねそうですねやるだけ無駄やと思ってるんだそうそうそういう ところは多分狙わない狙いから外すと思うんで
だんだん育ってくるとねあの狙われるところが繰り返し狙われちゃうっていう 可能性もなきにしまわらずなのでそうですねまぁちょっとそうらへんもはい注意して
欲しいなぁはい はいわかりましたありがとうございますはい
はいということで今日も3つのお話をしてきたわけなんですがちょっと結構しゃべっ ている感じなんで最後お勧めのアレちょっとだけ
さらっとはい 紹介をしたんですけども
今回でこれ90回目かなこのポッドキャストそうだそう いよいよ100回が見えてきたんですけども
あのお二人とも覚えてますかねえっと第61回ですよさっき言うなよ はっはっは第61回で僕がお勧めのアレで紹介したやつ
ブーブー言いですね僕はグーニーズを紹介しまして ブルーレイ買いまいが
はいはいしてたそうですねしてたはい吹き替えがいいとかそう あのテレビ放送版の吹き替えであのまドラゴンボールの野沢雅子さんとか
あとガンダムのアムロレイの声優のフルタニさんとかがして出ているというやつ なんですけども
はいそれがですねこのポッドキャストは多分皆さんが聞いているのは月曜日の夜か 火曜日の朝とかそんなだと思うんですけども
まだそこから言うと今週の6月11日の金曜日 9時から10時54分の放送で日テレで金曜ロードショーでこの声優さんでグーニーズが放送
されるんで もしあのあの時に見てない方の方が多いかなというふうな気もするのでそれ
もし 見えなかった見えない時間だとしてもまあ録画しておいて見ていただけると嬉しいなという
1:15:02
ふうに思ってちょっと紹介ししましたと ええええええ
なんかさあ言っちゃうあれだけどこんな古い映画っていうか 名作だけどさあ
いまだにこう繰り返しテレビで放送されるって根強い利益があるんだね これはねあのあれなんですよあの
リクエストが多かったんですってああ ああこれってリクエストだって受け付けて受け付けてるんですよで2つ2つがその結構
前にもこれ決まってたんですけど直前に僕紹介しようと思ってずっと あのスケジュールにも入れたんですよあれで紹介っていうスケジュールを言う
んですけど あのスタンドバイミーとグーディーズ
あーどちらも名作ですなぁ 名作でまぁスタンドバイミーはこのもう前から放送されちゃったのかな
やっててはいその2つがあるっていうのがもう一番多かった2つなんですよね多分ね そうなんだじゃあ昔のスタンドバイミーも相当古い映画だけどめっちゃ古い
ですよ a 両方ともじゃあ根強い人気があって視聴者からリクエストが多いんだ
なんでそのブルーレイとかを見てなくても 持ってなくてもこの同じものが見れるというところでやっぱり声優さんが違うと全然雰囲気も
変わるんで 録画でもしてみていただければなぁとできればリアルタイムに見た方が日程的に
嬉しいのかもしれないですが 見ていただければな古い映画ですけどまあよくできた
なんかちょっとワクワクできる映画なんでぜひ見ていただきたいなと思いますねことです はいはいっていうことで
今回は以上ですかねそうですねはいまぁそんな感じでじゃあまた来週の楽しみです バイバイ
バイバーイ
