00:00
セキュリティってちょっと業界狭いじゃないですか。 狭いか故にTwitterのタイムラインと一緒ですけど、見えてる世界みたいな狭くなる現象ってあると思ってて。
それ、録音しながら喋るの?
いや、撮ってますよ、もう。
撮ってます?
はい。
でもさっきもそうだよね。美容看護さんの知らないなんて、だいぶ大多数知らないもんね。
集まりの時に、何々さんってますか?みたいなのを問われて、知らんみたいなこと言われたら、え?知らないんですか?みたいなこと言われることあるじゃないですか。
あるね。
あれ、なんなん?
知らない。
知らんもんは知らねえなって話を言う。
名前、自分たちのことはすっげえ隣にあげて言うんだけど、名前が出てる人って本当どうでもいいじゃないですか。どうでもいいって言うとすげえ悪い言い方だけど。
世の中のセキュリティの仕組みってそんなところで回ってるんじゃなくて、本当名前もないふうの人たちが努力してやってて、そこをもっと評価しないといけないと思ってるんで。
俺らこんな無駄に時間喋ってるだけでしかなくて。
ん?
ん?
だってこれ3人の人が聞くわけですよ。3人の時間が。
今日は5人で喋ってる話を3人以外で聞く。
関係者8人しかいない。
8人じゃないですよね、1人。
7人めちゃめちゃコスパ悪い。
そうなんどうでもよく言ってさ、本当でも世の中って名前もない普通の人たちが回してるわけじゃないですか。
俺はもっとそっちを評価すべきだと思うよね。会社の仕事だと言われながら、いやいやかもしれないけどきちんとやってる人たちってすごく世の中にたくさんいてて。
単に名前が売れてるからって言うだけでなんか表彰されたりだとか評価されるって、やっぱなんとなくいびつな気がするよね。
そうですね。
すごいスローな。
なんかね、DEFCONにずっと出てるおじいちゃんがインタビューで答えてたんですけど、歴史上の人の何世紀くらいの人の有名な人というか、名前を何人挙げられるみたいなことを喋ってはったんですよね。
で、結局それ上がってくるのは誰だよ誰だよ2,3人くらいでしょみたいな。でもその裏にはいっぱいいるんだぜみたいなことをよく言ってましたね、インタビューで。リチャードシームっていう人が。
そこは俺の気がありそうだね。
コートプールに来たじゃん、リチャードシーム。
あ、そうなんですか。なんかよくわからない話して帰って行ったっていう噂だけは聞きましたけど。
CIAとかがさ、UFOの話とかしてたじゃん。
宇宙というか、よくわからない話をして帰って行ってた。
多分次元が違うんですよ。
辻さんも似たようなとこ。
ポジションが同じ。
近い。
セキュリティのためにトイレットペーパー変えましょうみたいな。
よく覚えてますね。
そういう世界じゃないですか。
なんだっけそれ。
トイレットペーパー変える。
じゃあセキュリティのためっていうか、一人一人ができることってあるやろみたいなことを書いたときに言ったんですよ。
03:06
世界を変えるのは別に難しいことじゃないっていう。
すごい発表内容とか、すごい技術的な検証者とかっていうのがないと、ネタがないとかってよくみんな言うじゃないですか。
自分は全然そんな出るアレじゃないですよみたいな感じで言うでしょ。
そんなの別に誰かに貢献するのって誰だってできるんじゃないのっていう話をしたときに、
トイレに入ったときにね、トイレットペーパー自分が入ってさ、吹こうと思ったときに、
トイレットペーパーなかったらとかしてなんか、ってなるじゃないですか。
変えとけや。ってなるじゃないですか。
それでもね、全員がねトイレットペーパーをね、自分の番で。
何やらとんねん。
全員が変えたらですよ。
めちゃめちゃ。
ちってならないよ。
不安ならないですか。
なかったらどうすんねんみたいな。
じゃあなんかもう、手洗うとこでいいっすわ。
トイレの。
トイレ好きやなって話ですよ。
手洗うとこびちゃびちゃなとるときないですか。
タオルあんのに、おいたんあんのに。
拭いたらええやん。って思うんですよ。
あれ全員がきれいにしたらめちゃめちゃ気持ちいいですよ。
ていう話。
いやだからそのあれですよ、そんなすごい技術力がなくても、
家に帰ったときになかなか覚えも悪いし、なんかわけのわからん質問ばっかりしてくるおかんに、
スマホの使い方教えてあげるだけでもいいでっていう話ですよ。
今日は神回みたいになりそうやな。
なんでなんで。
雑談だけかもしんないですね。
身近なところかなってことね。
で、なんかね、世界をよくしようみたいなので、急にトイレの話すると会場が一瞬ポカンとなる空間みたいな話になります。
狙い通り。
狙い通りですね。一回落としてみたいな。
その話もほんま好きで、
3回くらい聞いてるよね、たぶんね。
そん時から出るじゃん。
何だっけその話。
それも流したらいいと思うんだよ、トイレだけにね。
嫌うんよ。
毎回忘れてるんだよね。聞いたのは前にみたいな。
聞いてから思うんですけどね。
たぶんこの話、発表してるのも聞いてはりますよ。
セクコンかなんかでされたとき。
セキュリティはみんなのものですっていう話をしたときですね。
僕はあの発表をやじってたときです。
やじるの好きだよね。
たまにすごいやじるんですよ。
感じ悪いからやめて。
あれは愛のあるやじで。
やじるだけなら私もたまに巻き込んできます。
ねえ、辻さんって振ってきますからね。
そんな日もあります。
始まってます。
始まってるのこれ。
セキュリティのあれ。
いや、途中で入って大丈夫なのかなって。
06:00
始まってます。
今日の話でしたっけ?
長谷川さんがしたい話があるので。
最近、改ざんしてマイニング。
ウェブとかサーバーとか、
某S社がサーバーを改ざんされてマイニングする。
あれ改ざんじゃないですけどね。
某S社ってどこ?
そこですよ。
マイニング。
あれもそうだっけ?
俺が気になったのはJSでマイニング改ざんされて、
JSでマイニングっていうのは近い将来あるだろうなと思ってて、
少し前から思ってて、
実際問題ここ数ヶ月すごいそういうの聞く。
それはそれでそうだろうねってしかないんだけど。
それはウェブサイトを改ざんして、
それにアクセスしてきた人のリサーチを。
ブラウザーでマイニングするっていう。
マルウェアを埋め込む代わりにそういうのが流行るだろうねっていうのは
なんとなく想像はできてて、
どれくらいでペイするかというのはさておきとして、
仕組みとしてはあり得るよねって思ってて、
それは全然納得できないんだけど、
そうじゃなくって、
S社はインターネット上に検証用サーバーを置いてましたので、
そこの認証を突破されて、
サーバー内でマイナーを埋め込まれて、
それと繋がってるコンピューターですね。
マイナーでガンガン掘られてましたよっていう。
実行ファイルで。
掘られてはないですけどね、止めてましたけどね。
詳しいですね。
聞いたらわかる。
関係者ですか?
サーバー1台をわざと脆弱なサーバーを探し出して、
そこに単一のサーバーに対してマイナーを埋め込んで、
実行させるっていうそのコストって、
ガンガンサーバーでいくら回したところで、
すっげー頑張って数十円という話じゃないですか、1ヶ月。
そのコストって攻撃者的にペイするんですよ。
サーバー上で掘らせるっていうこと?
サーバー上で掘らせる。
マイルウェアにしてもばらまくとか、
ウェブサイト解散してブラウザでやらせるって、
数の勝負だから、
ビジネスとして成り立つ可能性はあるなと思うんだけど、
単一のサーバーをそうやって1台だけで動かし続けるって、
本当にペイするの?
もし仮にそれがペイするんだとしたら、
攻撃側のコストっていうのは、
我々が考えている以上に恐ろしく低いんじゃないの?
安いんじゃないの?
1ヶ月数十円とか以下で、
数円とか1円2円で攻撃できるんじゃないのっていう話で、
全世界のサーバー見つけてそこに何か押し込むっていうぐらいは、
1円2円限価、そんな話でできるんだとしたら、
結構これって怖いよねって思うわけですよ。
そのVoS社のやつってさ、
手の込んだやり方?
自動化されたツールで、
全然手が込んでないです。
自動化されたツールとかでひょいっと降り立ってくる。
そんな感じはしますね。
人とのやり取りも発生しないし、
その分のコミュニケーションコストもおらない。
まあそうなんだろうと思う。
単にSSHの層あたりみたいなのできてるんだとしたら、
本当に完全自動化で、
別に自分たちのリソースも扱わずにできてるんだろうけど、
09:01
とはいうえ、数円、数十円を目的にそんなことを、
サーバーを改ざんされるっていうと。
確かにな。
普通のサーバーだとそのぐらいなんですか?
機械学習用のGPU積んだら?
わかんない。
俺全然詳しくないから、
どれぐらいでペイするか知らないけど、
でも、もう3、4年前からさっき通じて言ってたけど、
電気代もペイしないぐらいの。
自分で掘った場合はね。
だから多分数十円とか、
そういうレベルしか稼げないって話でしょ?
最近だとそれこそ機械学習用のNVIDIAが搭載した
ハイパワーなやつで、
それで攻撃者がもう実証実験中なんじゃないですか?
攻撃者の実証実験ね、なるほどね。
全然想像なんですけど、
自動化してて楽屋っていうのでコストが低いってあると思うんですよ。
特定の脆弱性狙うとか、
あとはしょぼいパスワード狙って自動化して、
それで置いて実行してっていうのって、
人間の手をほとんど改札にできるじゃないですか。
それでコストが低いっていうのもあるかなとは思いますけどね。
最近だとクラウド上のAWSとかGCPが
マシンラーニング用のインストールしてるじゃないですか。
あれを気軽に立てて、
大体デフォルトをどこからでもSSH受け付けますよっていう感じなんで、
そこに目をつけてる人もいるかもしれないですね。
昔よりやりやすくなってるんじゃないかな?
攻撃が。
攻撃ができる穴というか、
外に置いてるものが多いから。
あれかもしれないですね。
AWSとかGCPとか、
クラウドベンダー縛りみたいなのがある程度普及してきて、
標準化されてる、狙うターゲットが標準化されてるというのも
もしかしたらあるかもしれないですよね。
やりやすくなってるっていうのと、
昔オンプレでやってた頃よりは、
外に空いてるサービスが管理用のものが多いので、
しかもそれが統一されてる。
パイが増えてるっていうのもあると思いますし、
あとは攻撃者側がどんなふうなことをしてるかわからないですけど、
組織化してるとかよく言うじゃないですか。
そういうのもあるのかなと思ってて、
例えば、ばらまき事業部。
事業部?会社?会社?
事業部制みたいになってるかもしれないと思うんですよ。
ちょっとビットコインマイニングの事業立ち上げます
みたいなことを言い出したやつがいて、
ちょっとやってみろよ。
研究会一緒。
R&Dみたいな。
あり得なくはないと思うんですよ。
なるほどね。
できるっていうものだけが残っていくわけではないんじゃないかな。
いろいろ試していってるとか思いますけどね。
でもさっきの話を長谷川さんが言ってるのはさ、
同じサーバーに入って何か改ざんしてマルウェア仕込むなら、
もっと…
例えばだからそこからウェブのコンテンツを改ざんして、
ミニヒラヒラを感染させるような仕組みを作るとか、
あるいは違う脆弱なサーバーを探すための何かを入れるとか、
長く続けることと発覚するのを抑えるバランスを考えて、
12:00
ウェブ改ざんすると外に浮いちゃうわけじゃないですか。
バレやすいですよね。
それはあるかもね。
だからよりもっと利益を得やすい方法がありそうな気がするのに、
なぜそれを選ぶのかみたいな。
そうやって考えると、
すげえ攻撃コストが低いのかなって思って。
そうかもね。
そうですけどね。
例えばさ、うちとかとハニーボットを運用してるじゃない。
観測してるのを見ると、
例えばこの間のストラッツ2のやつとか、
もっと前の3月のやつもそうなんだけど、
ああいうのが出ると、
それ使ってマルウェアに感染させるのってすぐ出てくるんだけど、
ダウンローダーで何ダウンロードするかだって見ると、
結構な速さでマイニングのツールを落としてくるやつが多くて、
それで直接、
確かにマイニングって直接すぐにお金につながるっていうメリットはあるけど、
さっき言ったけど、そんなに効率よくお金稼げないから、
むしろ非効率なんじゃないかって僕は個人的に思ってたんだけど。
1週間ぐらい動かしても0円ってのはあり得ますからね。
でもこれだけさっきのJavaScriptで動かすタイプもそうだし、
こういうマルウェアで動かすタイプもそうだけど、
マイニングでお金を稼ぐっていう活動がこれだけ見えるってことは、
おそらく僕らが考えている以上にコストが低くて、
割と良い利益につながる。
利益につながるのが良いのかもしれない。
続いているってことはそうか。
おそらくそうだと思うよ。
じゃなきゃ続かないでしょって。
もっと他の合理的な活動にかかっていったほうが。
これから産むとかのほうが良くなる。
よほど儲かるんだと思うしさ。
あともう一つはやっぱり、
ちょっと最近乱講下してるけど、
ビットコインもそうだし、
あとコインハイブルもあれもモネロでしょ?
あの辺も1年前に比べたらめちゃくちゃ値段が上がってるんで、
過去にはペイしなかったけど、
今年に入ってマイニングできる価値自体が10倍ぐらいに上がってるからさ、
それでもしかしたらペイするようになったのかもしれないけどね。
ちょっと分かんないけどね。
モネロも1万円超えてますね。
そうだよ。ちょっと前もっと安かったのにさ、
数十ドルとか数ドルだったのに今は100ドルとか上がっちゃうでしょ?
ビットコインも1年前だって10分の1ぐらいだったよ。
10分の1以下ですよね。
そういうのもあるかもしれないけどね。
もしかしたらそれでスキーちゃんを買っちゃったのかもしれないけどね。
最近仮想通貨はだいたい上がってますもんね。
モナーコインも上がってますからね。
モナーコイン今見たら448円ですから。
そういうのもあるよね。
そういうのがお金になりやすいっていうのもあるかもしれないね。
匿名性ってどうなの?
どうなんだろうね。
仮想通貨の匿名性?
仮想通貨の匿名性。
完璧じゃないと思いますけどね。
っていうぐらいかな。
そうね。
完璧だと思ったらあかんのちゃうかなと思います。
確かにね。
完璧だと思わなくても現実的に確かにつかない。
何かありますよね。
15:01
ネロンするためのサービスみたいなやつありましたよね。
一回チラしてっていうやつありましたよね。
ミックスするやつね。
そういうのもあるし、あとこの間の
ワナクライで使われたアドレス?
はいはい。
シェイプシフトでモデルに変換されて
ガッてお金動いたやつですよね。
分かんなくなっちゃったとかね。
あるある。
あるからね。
ビットコインはブロックチェーンが全部見えててさ、
トランザクションがどのアドレスからどのアドレスにいくら動きましたって
全部見えるじゃない。
でも今コインハイルがマイニングしてるモネロとか
あと有名な暗号学者が設計に関わっているGキャッシュとか
あの辺はもう完全匿名だから
全部ブロックチェーンじゃないですね。
全部ブロックチェーンだよ。
いくいくら全部違うブロックチェーンだけど
Gキャッシュとかモネロは送信元も送信先も金額も分かんないから
全然公開されてるけど全部暗号化されてて分かんない。
当事者しか分かんないようになってるから
Gキャッシュってあれですか。
シャドウブローカーズが言ってたやつですよね。
あれも本当新しくてまだ2年ぐらい立ち上がって
だけどたぶん将来性は非常に高いやつで
ああいうの使うと、ああいうのはただ本当に匿名だよね。
誰がどこにいくら送金したとか
当事者以外には見えないようになっていて
でもブロックチェーン自体は公開されてるっていうね。
あれはなかなかもうちょっと
中身見えへんけど処理したことだけはちゃんとお互いしてるってことなんですね。
それと比べたらビットコインは全然透明性が高いし
アドレスさえ分かればいくら振り込まれたか分かりますので
だってほらこの間ブラックハットで
Googleがさ、研究者が発表してたやつ
面白いなと思って読んだんだけど
ランサムウェアの稼ぎ費がいくらかって
あ、なんか当ててましたね。
ブロックチェーンの動作企業と組んで
ランサムウェアのアドレス全員片っ端から調べてさ
ロッキーが何億円だっけ
8億円だっけ9億円だっけ
1年間で儲けて
こいつがトップの稼ぎ貸しだなみたいなのを調べてたじゃん
結構そういうことは結局バレちゃう
いくら儲かってるかバレちゃうみたいなのは
ブロックチェーンが非常にね、そういう意味では
透明性が高いからで
そのどのアドレスが誰に紐づいてるかは分からないから
まあ匿名っちゃ匿名だけどね
でも一旦関係が分かっちゃったらずっと追っかけられるからさ
それって実際、お金に変える、現金に変えるときに
やっぱり足がついたりするんですかね
それはあるよね
取引所で結局どこから変えなきゃいけないっていうのがあるから
いやだからさっき言ったみたいに一回その変換しちゃうとか
違う通貨に変えたりとかね
だからそのわざわざにブロックチェーンのまま
取引所をうろうろしていて
そこで関係されたら分かっちゃうけど
もうねのに一回変わっちゃってその後もう得ないから
そしたらどこで関係されたもん
足つかない
だからそういうのはおそらく仮想通貨本体から足がつくんじゃなくて
18:01
別のところから割れるんじゃないか
なんかちょっと尻尾出しちゃってとか
割れるんじゃないか
ちょっと話戻るけど
そう考えるとちょっと最近の
仮想通貨、暗号通貨のマイニングを試みる攻撃者の動き
まあなんか増えてきそうだよね
もしそんだけコースとか非常に低くてできるんだったらね
ハニーポッドでうちにも置きに来るんですよ
なんか言ってたよね
うちに持って自宅でしょ
ひとりしさと
自宅のラズバイ
ラズバイから移行しまして
マックミニ買った
4台くらいのラズバイ使ってたよね
4台です、6台
あれもうないの?
あれはもう外しました
マックミニ?
スコアアップグレードですね
マックミニで
マックミニで4台?
マックミニ1台
16GBのメモリを買って
それでもう全部VMにまとめました
それでそこのハニーポッドにも?
置きに来るんですよね
置きに来るやつで掘るやつ
掘る通貨の種類ってあるじゃないですか
モチーバーも観測してるって言ってましたけど
モチーバーがビットコインか
モネロなんですよ大体
それ以外って来たりします?
今はあんまりないかもね
そもそもダークウェブとかの
マーケットで使えるのが
ビットコインとモネロでしょ
思ったのは掘るやつもしかしたらと思っただけなんですけど
効率は悪いかもしれへんけど
今なら掘れるような通貨ってまだあるじゃないですか
モナーはもうダメ?
モナーはちょっと厳しいですね
新しいやつとかで掘っておいて
それの価値が上がったら
違う通貨に変えるために今のうちに掘っておこう
みたいなのだと
効率は悪くないのかもしれないなと
新規通貨をってこと?
上がる時って爆上げしたりするじゃないですか
それでもちょっとかけじゃない?
先者取引みたいな感じですけどね
ちょっと違うね
ちょっと異に違う気がするけど
でも後々上がりそうな新規通貨を見越して
ってことでしょ?
攻撃しないと全然価値ゼロになっちゃうかもしれない
でも掛けるコストが低かったら別にいいんじゃないですか
攻撃者ってそれだけやってないと思うんですよ
それだけで正解とか出ないと思うんですよね
それだけで正解か
それ俺もやりたいよ
正解立てるな
今出たモナコインもここ数ヶ月も見てたんですけど
10月入ってすぐぐらいまでずっと40円50円あったんですよ
それが10月の半ばぐらいに入って500円もなかったんですよ
急に10倍だったの?
急にじゃなくてバンバンっていう感じ
4,3月10倍
その1ヶ月の間ってことでしょ?
21:01
なんかあったの?
わかんないですけど
誰かが注目してるみたいな記事を
結構真面目な記事を書いてた
結局欲しがる人が増える
要するに需要があるから
それに対して供給料に限界があるから
価値が上がる
それだけの話でしょ
552円まで一時期上がって
そこからバツンと落ちないんですよ
安定ってことじゃないんですけど
300円から400円ぐらい
うろうろするような感じになってて
モナコインって使われてるの?
使われてない
エコシステムがちゃんとしてるみたいな記事でした
それを読んだ記事を
全然知らないわ
わりとリアルテンポで
秋葉原とかのリアルテンポで
使えるところがあるんですよね
使えるの?
使えるところがある
知らない
ビットコインですらまだまだ使えないのに
やっぱり面白いね
そういう先見の目じゃないですけど
なるほど
あんのかなと思ったんですけど
どうせ投資コースは大してないんだから
そっちにかけとけみたいな
いろんなカソツが
ライトコインとかもあるじゃないですか
ライトコインちょっと上がってるけど
あとドッジコインとか
あるかもね
その辺はわりと有名だよね
市場大きいじゃん結構
そうですね
あとはリップル
リップル
ネギスさんにあげたリップル
ちゃんと見つけた?大丈夫?
見つけました
ビットコインとリップルを交換した
鍵なくしたかと思って探した
あったあった
ちゃんとあったね
よかったよかった
リップルもちょっと上がってましたからね
っていう話
大丈夫ですか?
大丈夫ですよ
途中からまるで興味ない顔して
話があるでしょ
話がだいぶするから
そろそろ話変えなあかん感じだなって思って
全然別件の連絡が入ってない
いやいやいや
ほんとね
動画で配信してやろうかと思うぐらい
自分から話し吹いといてね
今日やっぱそう
動き入れないぐらいで超大容赦
ハニーポッドの話あたりぐらいから
おかしくなっちゃう
完全に興味がない顔だよ
俺のせいだ
せっかくたけのこきのこ買ってきたのに
きのこの山のほうがすげー蛇が入る
たけのこの里
これいつもね
戦争が勃発するやつです
たけのこ派
僕はきのこ派なんです
たけのこ派
きのこ派
きのこです
負けてる
負けてる
ほんとにさ1時間かけて
こんなクソみたいな顔を聞かされる
リスナー3名
かわいそうでしょ
5人の話を3人が聞くっていうね
エストニア行ってきたらしいじゃないですか
そうなんです
すごい編集で
急に来たね急に
すごいね
エストニアってよく聞きますよね
エストニアにならえみたいな
そうですね
電子政府
電子立国って言われてるからね
よく聞くやつ
ナンバー2ですね
ナンバーワン
イスラエル
あの国にならえとか言わなくて
イスラエルではとか
元イスラエルのみたいな
よく聞くじゃないですか
何がすごいか知りませんけど
エストニアはよく聞くじゃないですか
24:00
エストニアではねみたいな
聞こうところではね
去年貴重公園だよね
エストニアの電子政府とか
それ興味持ってちょっと行ってみた
いいねそれ話聞けたね
なんかエストニアの人もすごい
最近日本からの訪問者が多くて
その口かみたいな
その口やったわけですか
日本だけじゃなくて
多分世界中から来てんじゃないの
そういう視察的なやつって
なんかあそこ
e-governmentって
ようにしてるじゃないですか
そこでショーケースしてるんですけど
僕が行ったときは
なんかオランダの大使の人とか
アメリカから来た人とか
バシャっていましたね
注目されてるもんね
一人旅で
僕は一人旅ですね
何見てきたんですか
大体なんか
その世の中の人が
どうやってその
あれじゃないですか
マイナンバー並ぶ
家で自転車
あれをどうやって使ってるのか興味
街中で普通に使ってる
実際に向こうで
エストニアの人たちが
どうやってるかってこと
どうだったの
そんなにみんな
バシャバシャ使ってるイメージ
どういうときに使うんですか
例えば選挙のときとかに
家からこう
家から
投票するときに
カードを使って
これ俺ですよって言って
投票するみたいな
それってあれなんですか
カードみたいな
物理的なカードみたいなのが
こういうやつ
僕も取ったんですけど
何人でも取れるんですか
こういうやつって全然
条件が
見えないですけど
あれどこだろう
条件っていうかこれか
ICカードですね
そうですね
ICカードで
この中に証明書が入ってる感じです
それをカードリーダーに
くっつけて読み込ませるみたいな
なんかあれだよね
行政サービスとかだいたいみんな
これ使ってできるんだよね
これ接触
いや
非接触も
非接触はまだ
これ今じゃあ
ここで俺らがスキミングしたら
俺は鈴木賢吾になりすまん
僕のピンコード知らなきゃ無理です
そうなのよ
層当たり層当たり
無効化ぐらいはできますよね
層当たりしてね
3回やったらロックされます
とりあえず使えなくするぐらいのことは
層当たりで
そうすると僕が大使館行って
ロック解除してます
めちゃめちゃコスト高いですよね
電話とかでできないですもんね
できないです
これ海外から来た人が取った場合
これ何に使うのかな
これは正直よく分かんないですね
よく分かんない
なんか例えば入国するときに
パスポート代わりになったりとかもしない
それはEUの世界説
そうですね
向こうで法人化なんか作って登記するとか
そういうときに使ったりするのよ
なんでちょっと会社作ってやろうかな
っていう思いもあったんですけど
そもそも住所が無いとダメみたいで
27:01
そうなの?
それ誰かに借りるとか
そういうサービスもあるみたいです
今だとエストニアで会社作ると
3名抽選でエストニアへの旅行をあげますみたいな
エストニアに行って会社作ったのに
エストニア旅行をもらっても知らない
そうなんですよ
だから多分外から
外にいる人が会社作れる
きっとサービスみたいなのがあるんだな
っていう気持ち
あそこに行かなくても
なかなかでも面白いね
国としてはそうやって人を呼び込むっていうかね
会社とか資本を呼び込むっていう
ただなんかエストニアとしては
これあんまりオシテルっぽい感じじゃなくて
なんかEUとかにスタンダードにしたいんですか?
って聞いてみたんですけど
別にそんなことはないよっていうことを
どこで聞いたんですか?
このカードの仕様とか
聞いたり
あとちょうど僕が行った時に
カンファレンスっていうか
ショーケースみたいなのをやっていて
そこで政府の人が
こういうことをやろうとしてるんですよ
っていうことを発表してたんですよ
EUでもやるのかって聞いたら
そんなことはないみたいなことを
ローカルの話だったんですか?
意外とローカルに目指した
スタートアップが多くて
僕のもう一つの目的は
スタートアップをちょくちょく
見送ることだったんですけど
政府のこういうところが足りないから
俺たちがなんとかしてやろうぜ的な
ボトムアップな感じですね
そこを政府と組んで上手いことやるみたいな
スタートアップが多い印象でしたね
補助金とか出るんですかね?
出るんじゃないですかね
やりやすさがあるのかもしれないですね
日本だったら補助金だろうけど
仕組みごと変える感覚があるよね
エストニアとか
社会的な構造そのものを
スタートアップも含めて
この方がいいみたいな話になれば
そこを合わせていこうみたいな
当事者三角意識は強そうな感じがしますね
僕もずっとそう思ってたんですけど
どっちかっていうと
彼らの歴史的背景に根付くものかなって
あそこをするときに
不安定な
いつ国がなくなってもおかしくない
それコードブルーの時にも言ってて
国がいつなくなってもおかしくない
国家がいつなくなってもおかしくないという状況の中で
国家を存続させるためには
電子化しておくことが最大限
永続化できる方法じゃないのかみたいな
データにしておくってこと
そうそうそう
そういう話はしてましたよね
本当にエストニアっていう国ができたのが
割と僕が
僕は生まれ1988年なんですけど
そこの辺でできたんですよね
最近ですよね
その時に国の人口がめっちゃ少ない中で
どうやって行政とか作っていくんだっていうときに
採用されたのがただの電子化であって
30:00
彼らにとって別に
その時の技術的最新を狙うではなくて
築き残り戦略上創世ざるを得なかった
なるべくしなかったという
シュートル化したい
差し迫ってなったっていうわけってこと
じゃあそういう時代背景ができて
できたシステムを日本に持ってこれるのかっていうと
持ってこれるけど別に合わないよねっていう
結論になってしまったという
僕らの思っているエモい感覚で最先端をやってるとか
そういうのじゃなくて
単に創世ざるを得なかった
実際は日本のマイナンバーカードも
同じように鍵とか入ってるわけですよ
個人認証の鍵とかあって
でも全然出てきた出地が全然違うから
シンプルにしようって考え方あんまないじゃないですか
日本で見てても
でもやっぱり同じもの
同じベースがあるからもしかしたら
日本も変われるんじゃないかっていう
下地はできつつあるのに
変わる気配が全くないのはすごい惜しいですね
まあ差し迫って
ないからですよ
困らないからじゃないですか
マイナンバーカードって全員が持ってるわけじゃないでしょ
持ってないでしょ
持ってるよ
持ってるんだ
僕も持ってる
意識変わるな
気がするけどよく覚えてない
通知カードしか持ってない
実際いらないじゃないですか
副業率相当低いよね
2割似てるよね
個人事業主の人以外は取る必要ないですよ
個人事業主
取ったところで
管理がめんどくさいから取らないほうがいいんですよ
取らないほうがいい?
取る価値がないんですもん今
社会の仕組みとしてダブルスタンダード
日本両方サポートしないといけなくなるから
余計にそこの社会的な
持ってると管理が
番号を見せちゃいけないだろうか
でもあれ一枚で表と裏だけで
証明できるから便利じゃない
証券講座とかだと開く速度が半分
全然違います
便利だよね
あれ私はe-TAXのために取ったんですけど
e-TAXはあのカードいらなくなるみたいなんで
あと1,2年したらいらなくなる
何のために取ったんだっけ
下手したらマイナンバーなくなるかもしれないですね
普通に会社員で雇われてるだけだったら
いらないですね
観光庁系でお仕事する人は
取らなきゃいけないかもしれないですね
一応マイナンバーカードも
狙いは最終的に狙いは
収入と支出全部あれで管理して
確定申告をボタン一発で終わらせる
まさにエストリア多分それをやってるんですけど
そこまではまだちょっと日本は遠いですね
確かにエストリアを基盤にするのはいいけど
背景が違いすぎる
日本はそこの隙間に
33:01
フリーとかマネーフォワードみたいな
会計をクラウドでやりますよ
っていうのが間に入っているからまだいいんですけど
本来だったらああいうのもなく
まあそのだけでできるはいい
政府から
エストリアじゃなかったような気がするんですけど
どっかの国は全部それが管理できてて
政府から例えば日本で2月ぐらいに
お前の税金これだから文句がないんだったら
承認ボタンだけ押せで終わるんですよ
意義もおっしゃってんの
楽ですね
エストリアも多分それで
よく税理士がいらなくなったみたいな
ちなみに僕それ言ったら笑われました
現地の人に税理士ってどれぐらいいるんですかって
日本でこういうこと言われてるんですけどって言われたら
笑われました
嘘?
嘘?
なるほど
日を貸すとじゃあ誰かが確認するのよって言われたら
そうだねっていう
役割っていうかその
目の前にしてるあれが違うだけで
面白いね
投票と納税とか以外に何かこう
使ってるものってある?
あとは
会社を起こすのとかもだから
やっぱりそれだった
通院履歴とかも見れますね
公認ポータルみたいなのがあって
そこにログインすると
自分の通院履歴とか
学歴とか全部出てくるんですよ
面白いのはそこに軍歴とかもあるんですよね
それ漏れる漏れないみたいな話とかって
事件とかあったんですか?
漏れる漏れないは今んとこないですけど
そういえばこのカード今脆弱性があるらしくて
話題になってる
RSAの脆弱性が
WPN2の脆弱性に隠れてひっそり出たじゃないですか
あまり注目されなかっただけですか
インフィニテクノロジーの
それがなんか
エストリアの政府にはだから
8月ぐらいに通知があって
ニュースが出てたよね
僕もメールきました
持ってるから?
お前の持ってるカードに脆弱性あるかもみたいな感じで
これどうするの?再発行なんの?
フォロワーってメールが来てないんで
どうなってるのかなっていう感じ
あれみたいなね
自転車のカードみたいな
ビーキャス?
ビーキャス
急に身近な感じになりました
あれ脆弱性幅広く色んなやつに影響が
ユミキーもそう
DPMとか
HPとかWPN2とか色んなPCが影響してるし
興味なさそう
興味なさそう
5人全員が興味のある
難しいですね
当選通知来たんやなと思った
当選通知ね
これは誰か当選通知来たんじゃなかったっけ?
36:00
久々に来たって言ってたよね
何の話ですか?
マイナーなサービスですでしょ
それの話を今しようと思ったわけじゃなくて
当選通知来たんですよ
何の?
クレジットカード会社から
既に来ましたか?
ロックしました
整理をされたの?
その疑いがあるためにロックしました
メールが来て
やったじゃん
もしかするとこのまま放っとったら
本当に使えなくなるよみたいなのが書いてあるんですよ
カード切れなくなるからね
この利用はあなた本人ですか?
確認があったの?
まず電話してねって書いてあって
本人確認はもちろん電話口でするんですけど
2時3時
場所は?
実家
僕がどこにいたかじゃなくて
そんなことない
大事なことです
誰がどこにいたのか
夜中の2時3時で
あんまり場所のこだわりって
辻さんの場所重要じゃないから
いやいやめっちゃ大事です
めちゃくちゃ大事ですよ
夜中の2時から3時くらいの間に
何をしたかってことなんですけど
自分のカードで買い物をしようと思って
アカウント登録してカードを登録しているようなサービスではなかったんですよ
買おうと思って
カード入れる
番号入れるじゃないですか
あとは有効期限と名前と
あとはCVVS
セキュリティフォード
何買おうとしたんですか?
あ、それはね
ディズニーシーで行くチケットを4枚
これも大事なことですよ
ディズニーのチケットを4枚
当日買うと7万とあかんから
行ってすぐ入りたいからね
そこで4枚買ったんです
なら1発目から使えないんですよ
決算降りないんですよ
どっか入力し間違えたのかなと思って
確認したんですけど
間違ってないんですよ
もう一遍やっても同じなんですよ
そしたらメールが飛んできた
そのメールが飛んできてたの後から気づいたんですけど
面倒くさいわと思って
違うカードのブランドのやつにやったら
一発で通ったんです
サイトを使ったからってことですか?
たぶん電話で話したんですよ
こうこうこうなんです
ツイさん悪くないですみたいな感じで
こっちの敷地に引っかかったみたいで
夜中の時間帯と
場所が普段と違う
IPアドレスが僕の実家のプロバイダーのIPアドレスということと
あとはチケットを4枚そんな時間に買うっていうのが
ありえない
詳しくは言ったわけじゃないですよ
主要なことは教えてくれないんで
やられたことが異常というか
カード会社のモニタリング
普段はニーランドにはいかないキャラ認定
39:03
キャラまで?
そんなの分かっちゃうの?
最近だとそういう認証の裏のリスクエンジンってあるみたいですね
そういう厳しめにしてるのか知らないですけど
そういうのに引っかかったっぽいですね
それはカード会社によってめちゃくちゃ違いますよね
たまたまそこに引っかかった
それで解除しておきましたね
明日からすぐ使えるようになりました
でもいいんじゃないの?
当選じゃないじゃん
当選じゃないやん
全然違うよ
完全に不利な立場になった
海外だと
割と面白い話したつもりだったんですけど
海外に来たら初めて使えるんだ
そんなにないでしょ
大阪、東京とか頻繁に両方で使ってるけど
普段せいへん行動を
普段違うところでやったらあかんってことですよ
あかんくはないよね
あかんくはないけどバレてるってことだよ
あかんくしてないからね
多いのかな?チケット買って監禁するとか
ディズニーなんか多いですよ
テンケイなのかもね
カードを不正に利用する人が
ディズニーっていうよりはチケット全般監禁性が高いから
あとAmazon、GIFTとか
最近はスマホのゲームの課金をギリギリで
1万円だとバレるから
9000円いくらで止めて何度も何度もやるみたいな
敷地を下回る金額でやる
超高額じゃなくてカジュアルな感じの
カジュアルな感じの何度も何度もやってっていうのは
よく聞きますね
オッジしてるサービスがある
当時のRSAで
5年くらい前にその話聞きましたね
こういうサービス出してるような
RSAは昔からリスクベース認証とかやってるからね
PayPalで決済をやってもらった時も
電話かかってたことあります昔
カード会社からかかってくる
PayPal
中国のウェブサイトで買い物をしたんですよ
8万円くらい
それなきかかり
レインボーテーブル買った
レインボーテーブル
レインボーテーブル
懐かしいね
3人のうちの2人くらい
ギスナーの3人のうちの2人くらい
20万円くらい
レインボーテーブル買うか
懐かしいね
NTLMに対応したやつとかも欲しい
何十ギガもするやつでしょ
ハードディスクで送ってくるんです
パスワードをギラグに戻すためのツールね
辞書ファイルみたいなやつ
変わったからね
レインボーテーブル使わないもんね
42:01
電話来ましたよね
電話来たんですよ
PayPalで決済は通ったの?
通った
通って保留だったのかな
電話かかってきて
買い物されましたかみたいな
中国のサイトで
いくつか質問された記憶があります
結構前なんですけど
ただその電話かけてきたやつが
片言やからどっちがいいかそっちのほうが怪しい
それは一応PayPalのサポート
買いましたか?みたいな
何も答えたくなくなりました
っていう話
新しいよね
実はレインボーテーブル業者が
かけてきてても
もっと引き出せないの?そしたら
そういうのもありましたね
昔ですけどね
よくしかしそんな怪しげなサイトで
怪しげじゃないの?
サイトではレインボーテーブル売ってるな
でもなんかレインボーテーブル
フリーでいくつもダウンロードさせて
くれてるようなサイトだったんですよ
追加でここで欲しかったら
払える的な
それなりにレインボーテーブル知ってる人からすると
メジャーなサイト
レインボーテーブル業界には
めちゃくちゃ狭いんだよ
なるほど
ちょっとほら
それ大変な金額払うにはためらう
だから買うときは最悪
カード番号変えることにもなるかもな
と思って買いましたよ
でもここでペーパーを使ったでしょ
ペーパーだってカード情報いかないから
届かないかもしれない
変なサイトでやるときはペーパーを使ったりするの
それが理由があって
カード情報いかないからね
代行してくれてます
そういうのがありました
という話
なんか落ち着いた感ありますね
そうね
しゃべり切った
パスワードの定期変更でもしますか
このメンバー全員で
一番重要なパスワード変えていこう
パスワード覚えてる?
覚えてないです
パスワード定期変更で思い出したけど
どういうタイミングで変えてる?
漏れたら
ログインする都度
全く覚えてないから
毎回リセット
それもありですよ
漏れたら
イベントドリブンってやつですよね
そうね
完全に生成すらもラストパスに預けてるんで
そうだよね
ここら辺にいる人たちはそんな感じだよね
作るときで
生成して覚えさせて
そうですね
あと二段階認証できるとか
二段階認証オンにしてたら
漏れてても変えるまで
余裕あるなって気持ちになりますけどね
ヤフーとかもありましたしね
アメリカのね
定期変更しないってことでいいですか?
今日も
今日も京都でしない
悩んだらこれ集まるたびに
45:01
パスワード変えるっていう
どれくらい面倒くさいか
聞いてる人から募集したらいいんじゃない?
いいパスワード思いついたら教えて
3人
でもさあ
言うからね
俺ラストパス使ってるって
大丈夫ですか?
竹所佐藤が喉に今入った
まじですか?
ラストパス使ってるって言ったけど
ラストパスって自動で変更する機能がついたよね
ありましたね
1年くらい前
変えたいって言ったら自動で
いくつか限られたり
対応できるところ
もはや変更するのすら
自動でできる
場合によっては
変えなくていいって言ったでしょ
あれだ
IDのメールアドレスを
変更した
今までメインで
使ってるメールアドレスじゃなくて
FacebookとかTwitterとか
やられそうなやつは
メールアドレスを変えました
なんで?
Gメールアドレスに変えたんですよ
Gメールアドレスが
私全然知らない人が
思い込んでる人がブラジルにいるんですね
未だに来るんです
未だにブラジルのマリオくんが
知ってるんで
そいつに取られないように
Gメールアドレスを
たまに使わなきゃ怖いなと思って
Facebookとか
あいつが使えそうなところを
一回りして
変えました
誰と張り合ってんだよ
すっげえ
ブラジルの範囲が狭いわ
ブラジルのマリオくんに向けた
割とちゃんとした請求書とかが
こっち来るんですよ
それでも通信手段ってないの?
連絡してあげればいい
連絡手段もない
あいつの連絡手段はメールアドレスが書いてない
間違えてたもんね
Appleの人に
一回話したんですよ
Apple IDでGメール
使われてるんで
俺のアドレスなのに
俺のやつが使ってる
ありがとうございます
向こうにしております
こっちから連絡する必要がないんです
個人情報法もあると思うんですけど
そういう目的で
連絡しちゃいけない
目的外資料になる
こっちからできることは
その人がAppleストアに来てくれたら
居ますって言われて
いまだにApple IDの話が
来るんで
自動的にはできるのか
もしかしたら
聞いてるかもしれない
マリオが
ごめんってメールが来るかもしれない
そんな話
Facebookとかは
俺はGメールのエイリアスを使って
普通じゃないアドレスにはしてる
なんとなくだから
48:01
若干でも
Facebookは賢くって
例えば
Gmail.comとか
プラスとか
変更しようと思ったら同じメールアドレス
って言われる
一旦だから全然違うやつに変えておいて
もう一回変えたら
ログインの時とかできないくせに
変更する時に関してだけ
言われる
そこは一応変えておいて
なんとなく違うのにしておいた方が
パスワードじゃなくて
メールアドレスの複雑さを上げている
最近またリスト型攻撃
上がってきた
すっげー遠いところ見ながら読み上げようと
リスト型ちょいちょいありますよね
9月多かったよね
9月とか
リスト型攻撃
アメリカではパスワードリウスアタック
分かりやすい
まあこれなくなんないよ
気になっていることがあって
なくなんないし
インフラ系に来てるの多くないですか
ごめん何?
インフラ系ってどういうこと?
カシュマーのサービス
あーそういうことね
14インフラサービスとか
あれ見てて思ったんですけど
今までやってきたのの
集大成みたいなものがあるのかなと思ったんですよ
単にポイントサービスじゃないの?
インフラ系とか関係ないんじゃない?
インフラが攻撃されているという意味ではなくて
ある程度なお寄せしている
かなと思ったんです
電気ガス水道って
僕が全然違う東京ガス以外のガス会社
例えば四国とかのガス会社
使うわけないじゃないですか
この地域の人たちのIDパスワードとか
持ってて精度上がっているのかな
とか思いました
いやーそれはちょっと
考えすぎ?
じゃあ考えすぎで
漏れてる漏れてる
個人情報とかで
そういう属性データが
どんどん増えているわけじゃないですか
そうですね
そのあたりを攻撃に
活用し始めたのかな
2、3年前に
宅配業者ばっかりがリスト型攻撃に
あったときぐらいから気になっていたんですよね
だんだんそうやって
絞られているってことは
住所も定期的に変更したとき
もうならないですけど
なんかあの
取材で先週行ってた取材で
クレブソンセキュリティのクレブスさんが
言ってた話では
要するにブラックマーケットで
売っているクレジットカードデータを
買いましたと
買ったときに
いろんな属性が入っているんだけど
その中に郵便番号があったらしいんですよ
ジップコードがあって
ただ使っている人のジップコードじゃないっぽい
っていうのを把握したらしいんですね
使っている人ってそのカードの
出現する割合とかを見ると
51:01
どうやら使った場所の
クレジットカードを使った場所の
ジップコードじゃないかと
物理的に使ったってことですか
ですね
それを調べていくと
ジップコードの出現率と
ターゲットのテンポのある場所と
ほぼ一致していたらしいんですよ
そこからターゲットのものじゃないか
っていう風な言い方をしていたので
そういう
ターゲットというのは
販売会社
標的という意味じゃなくて
ターゲットという名前の店舗という意味
例の事件
ターゲット社ですね
もしかしたら売っている側も
よく分からないけど
一緒についていた情報を出して
攻撃者が買った人が
調べてそれを活用するみたいなのが
あるのかなと思った
さっきの内容性というか
もしかしたら可能かもしれないけど
リスト型攻撃やっている?
誰か知らないけどさ
人たちって
そこまで考えている感じは
しないんだけどね
なんとなく単純に
ポイントに監禁できるサービスを
手当たり次第狙っている
くらいかなと思っていたけど
考えが足りないかもしれないけど
あり得なくはないかなと思ったんですけどね
宅配業者に
リスト型攻撃して
金銭的メリットないんですよね
ポイントで何か
特に大したものがなくて
本当の目的が何なのか
唯一言えば
正しく登録されている情報は
今の住所が登録されているはずなので
ほとんどの場合が
それを何かにくっつけて使おう
って考えたのかもしれないぐらいに
思っていたんですけどね
構想事故になりますよ
黙ると
なんか
久しぶりのこの5人でやってて
終わり方分かれへんわって
終わりないんですか
時間そろそろ
何分ぐらい喋ってるの
あれじゃないですか
いつもあれを言わないから
全ていろんな事件
止まったら嫌やな
いろんな事件ありましたけど
みんなそれぞれ継続してウォッチをしていただいて
自分のコラムで
最近書きましたよ継続ウォッチを
雑なまとめなんかいつでも使える
いつでも使える
もうだって55分
いい感じですね
ということで
これを聞いていただいている3人の方
ネキシタの3人の方に
感想とかをどしどし
どこに送るんや
ハッシュタグとかですか
トピックのネタとか
僕最近
セミナーで自己紹介する度に
セキュリティのあれやってます
ポッドキャストやってます聞いてねって
増えてんのかなリスナー
アクセス数は僕は知ってますけど
聞きたくないです
言わないです
54:01
でもあれは
iTunesから聞いてる人は分かんないんだよね
ポッドキャストアプリとか
一応MP3をダウンロードしてる数は多分分かると思うんですけど
それダウンロードでしょ
MP3のダウンロード数は
iTunesじゃ分かんなくないですか
サーバーの
ストリーミングでポッドキャスト聞いてる人は分かるけど
ストリーミングでポッドキャスト聞いてる人は分かんないもんね
そういうのを気にしてる2人はかっこよくないよ
だから聞きたくないです
人数とかさ
分かるとか分からないとかさ
聞きたくないです
でも増えてたらいいなと思ってさ
みんな聞いてるんですよ
いろんな人に聞いてほしいじゃん
だから知らない人にはこういうのあるよ
もしかしたら面白いかもしんないよって
いろんなとこで
コラムを書いて
ヤフーに転載された時
ヤフーコメントの上の方に
セキュリティのあれというポッドキャストで
書かれた時はすっごい嬉しかったですよ
それ俺がやってるんだよ
それ言いたかったけども
でも聞いてくれてありがとうっていう
すごく嬉しかった
聞いてるリスナー
今の宮田さんの熱弁
誰が喋ってるんだろうと思って
繋がらないですよね
繋がんなくていいんです
名乗ってさえないから
誰が喋ってるかっていうのを聞いてるとは
紐づいてないかもしれない
5人って誰?
そんな感じで
謎のね
ピオカンプでした
怒られますよ
怒られる
今日はこんな感じですかね
じゃあそういうことで
セキュリティのあれ
次回もお楽しみに
お疲れ様でした
