洗面所のひまわり発芽
先日ですね、あのー、めちゃめちゃびっくりしたことがあって。
めちゃめちゃ?
めちゃめちゃびっくりした。
おー、相当じゃないですか。看護さんがびっくりするなんて。
いや、もうほんとにもう、こんなことある?と思って。
おー、はいはい。
あのー、洗面所のですね。
うん。
掃除してたんですよ。
はいはい、おーおーおー。
排水孔のとこって言うんですかね。あの水流すところも汚れるんで、当然掃除しようと思って。
うん。
あれなんて言うんでしょう。えーと、トラップっていうのかな。なんかゴミとかが溜まるところあるじゃないですか。
そこもきれいにしようと思って、ガポッと上に持ち上げて外すみたいな感じなんですけど、うちについてるやつって。
あー、フィルターみたいなやつをってことね。
あー、そうですそうです。なんで、ちょっと上に上げるまで中がどういう様子になってるかっていうのがわかんなくて。
うんうんうん。
でね、上げたらもうちょっと一瞬声出しそうになったぐらいにびっくりして。
えー。
そこからですね、ひまわりが目出してて。
え?ちょっとごめん、ちょっとわかれへんねん。どういうことそれ。
あの、ちょっとですね、私も最初わかんなかったんですよ。これなんでこんなこと起きたんって思って。
面白いんだけど。
ただ、あの思い返すと、そこでうちインコさんいるんで、掃除とかをすることがあってですね。
うん。
餌箱もたまに汚すんで、そこで洗ったりとかするんですよ。
あー、その時に流れずに止まってたってこと?
で、ひまわりなんで、おそらく流れずにそこで引っかかって、発芽して、普通に育ってて。
4センチぐらいになってたかな。もう下手したらもうちょっと待てば、わざわざ排水溝外さなくても横からこんにちはしそうな感じの。
そうですよね。
面白いんだけど。
びっくりして、こんなことあると思って。
それはすごいな。
ただ、それって誰にもどこにも言うことができなくてですね。ちょっと今日この場をお借りしてお伝えしたかったという。
なんかのハケ口みたいな扱いを受けてるってことですか?このオープニングが。
これはちょっと皆さんに共有しておきたいなと思って。
いやでもあれか、水さえあれば発芽して育っちゃうんだね。
ですね。
面白いね。
びっくりした。
すごい。
土の中みたいには栄養とかなくてもある程度水でいけるのか、そこぐらいまでやっぱり。
それなんかずっと放っといて、花も咲いて、それでも放っといて、最後ひまわり畑になるみたいな感じが一番ハッピーエンドなのかもしれないですね。
日が当たらないんでどこまで育つかっていうのはありますけど。
花咲くかどうかはちょっと怪しいかもしれないですね。
あと、育ちすぎたら邪魔くさいよな。
そこで確かに変わったりとかできませんからね。
ちなみに発芽したひまわりは今も洗面所にあるんですか?
いるわけないだろ。
実はどこまで持つかと思ってそのまま戻しちゃってですね。
いいじゃないですか。
まだいるんだと思うんですよ。
まだいるんだと思っててちょっと後でまた見てみますけど。
面白い。
それでもほんまにひまわりなんですよね。
ひまわりの種からニュキニュキ生えてたんで、もうおそらくは。
見るからにひまわり感があった種なんです。
ちょっと目だけ見てるとね、ひまわりかどうかって私分かんないんですけど。
またやっぱり謎草でしたみたいな。
ちょっとその可能性なくはないですけど。
何ヶ月後かにあの例の件あったじゃないですか、言って。
謎草でしたっつって。
観察日記をちょっとね、看護さんにはつけておいてもらって。
いいですね。
お願いします。
いやーなんか本当にびっくりしたっていうので、どんな話かなと思ったらほんまにびっくりする話でしたね。
ちょっとびっくり、ちょっと怖い話だね。
ちょっと怖いですよね。
ちょっと怖かった。
そんなことあんねんなっていうね。
ありがとうございますな、ご来日喋っていただいて。
てことは始まってるってことですよね。
始まってました。
始まってました。
はい。
じゃあどうします?お便りいきますか?
いきましょうか。
はいはいはい。
バラクーダのバグとコストコのケース処分アイデア
ていうことでですね、前回お話ししたバラクーダの件に対するお便りとか来てましてですね。
ESGのゼロデイね。
そうそうそう。
交換って聞くと製品の物理セキュリティを高めるために一回変えたら二度と変更できないようにしているんだろうなと思ってしまいます。
実際そういう製品見たことありますし、てことで。
それがアプライアンスの選定理由にもなったりするんですって。
なるほど。
絶対書けない、書き換えられないところがあるみたいなものとかそういうコンペの仕様とかにあったりするのかな。
あんまり僕見かけたことなかったから結構新鮮というか、へーそんなんあんねんやーって思いましたね。
この件に関してはなんかあれですよ、僕らと同じようにリスナーの皆さんも私も気になってたんですよ、その脆弱性みたいなお便りが。
気が合うね。
ちょっとね、同じタイミングで気になっちゃった人がやっぱり。
そういうのあるんですかね。
信じるか信じないかは、信じるか信じないか次第ですけどね。
何言ってるかわからなかったですね。
皆さんもそうだったということだそうですね。
あと看護さんが悩みがあるということの相談をしたのの、コストコのケースの処分の。
僕がピザの箱の処分の仕方を紹介しましたけれども、コストコのケース処分のアイデアをyoutubeで見つけましたということで。
かさばるコストコのプラゴミをコンパクトにして捨てる方法ということで来てまして。
これ看護さん見ました?
はい、メンションで。
どんな方法なんです?これ。
動画見ていただけば一発なんですけど、お湯をかけてめちゃくちゃ柔らかくして潰すっていう。
動画だと実際鍋に突っ込んで柔らかくするっていう、結構アグレッシブなというか。
それ大丈夫なの?プラスチック的に。
動画的には特に溶けたりとかっていうのはなさそうでしたけど、
ただやっぱり鍋のサイズがコストコのデカいケースに勝てるサイズじゃないといけないんで、
そこは結構デカ鍋持ってないと入れられなそうな感じしましたけどね。
あと柔らかくなってるっていう時点で、あまりそういう使い方は想定されてない気がするので。
そうですね。
容器的に大丈夫かなっていう心配は若干するけどな。
確かにお湯につけてるところじゃなくて鍋に当たってるところがちょっと燃えたりとかすると。
それはちょっと危ないですね。
有毒物質的なのが出ちゃいますんで。
あんまりプラスチックはちょっとその辺が気になるけどね、少しね。
燃やすわけにもいかんからっていうんで茹でちゃえってことなんでしょうね、たぶんね。
でも結構手間かもしれないですね、これもね。料理もよるのかもしれないですけど。
とりあえず私安心したのはやっぱみんな困ってたんだなっていうのはちょっと安心しました。
それを解決するソリューションをコストコがコストコで売ればいいんじゃないの?
マーチポンプだな。
それね、たまにあるんですけど、コストコは本当にデカさがバグってるんで、
すごいシュレッダーのクソデカいやつとかきっと売り出してコストコのケース超えていけるよみたいなのがあるかもしれないんで、
ちょっとコストコに売らせないほうがいいかもしれない。
そうかもしれないですね。
で、あとはですね、私も初参加の勉強会の時にステッカーをお守りに持って行ったら、
名乗ります?と話しかけてもらいましたという。
ステッカーの名乗りますバージョンか。
その前にステッカーをお守りに持って行くっていうのがちょっとよくわからなかったんですけど。
いやいや、何言ってんの、ご利益があるからだよ。
でも結果的に話しかけてもらうっていう。
すごいあったじゃん、効果が。
確かに勉強会とかってね、初参加って時って誰が誰かもよくわからなかったりするしね、
周りも仲良しみたいなグループとかできて入りにくいっていう時もあると思うんで、
こういうきっかけになったっていうのは僕らとしても嬉しいことですよね。
皆さんも張っててよかったみたいなのがあったら教えていただけるとありがたいです。
最後のお便りというか質問なんですけれども、
マルウェア動作検証の環境
数ヶ月前からセキュリティのあれを聞き始めて気になったのが、
自分の手元でマルウェアの動作を確認したいとかで動かす場合に、
そういう動かす用のPCを用意してやっているのかなと想像するんですが、
どんな環境下で動かしているんでしょうかという。
ついさんなんかよくランサムウェアの動作検証やってるけどどうやってるの?
あれも普通にVM上でプチプチ言うてやるだけですよ。
プチプチ?なんだそれ。
右クリック管理者で実行みたいなやつ?
だからそういう動作検証とか動的な解析とか例えばやったりする時には、
隠れされたVMの環境の中でやってますよってことね。
そうですね。一応最初に実行するときには、
実行しても動かないようになってしまったりするじゃないですか。
なので通信ができないとダメとかいろいろあると思うんですけど、
一応最小限にして全部通信モード、ネットワークのデバイスのところ、
仮想的なデバイスをオフにした状態で、
そこよりも外には及ばないようにして実行するっていう。
ランサムとかだったら暗号化されるかどうか見ないといけないので、
他のファイルの種類、PDFとかワード、テキストみたいな感じで置いておいて、
どんな変化があるのかみたいなのでやってるかな。
あとは速さ見たりとか。
なんでそんなに特別なことしてないかな。
どういう動作の確認とか解析をするかとか、
対象のマルウェアの種類にも、今言ったみたいなね、
ランサムウェアなのかとかソロラットのマルウェアなのかとか、
そういうのにもよると思うし、
一概に言えないけど、
解析余計とか、解析者高さのやつとかって中にあるけど、
そういうのを一旦目を瞑れば、今言ったような、
確認された環境で、もし仮にそこでマルウェア動いて何かあったとしても、
外の環境には一切影響が及ばないような、
注意をしておけば、細かく何か気にしなければというのはないかもと思うけど、
それもだからケースによるんだよな、いろいろね。
なので、どこと通信するんやとか、
どのレジストリ見に行ったりするんやとかってなってくると、
また見方変わってくるのかなと思うんで、
通信先みたいとかそういうのになってくると、
ワイヤーシャークとかTCPダンプとか動いてたらダメとかあるじゃないですか、
動かないっていうね。
なのでそういう時は自分の環境でやるよりも、
まずフリーのやつでも何でもいいんですけど、
サンドボックス系のサービスに投げて、
どういう挙動をするかみたいなのをそっちに先にやってから、
それでもうまくいかへんのやったら、
自分の環境でやるしかないかみたいな感じの優先順位でやってるかな、僕は。
そういうサービスを使ってる人も多いかもしれないね。
できるだけ手間かかれへんやり方っていう感じはあるかな、僕は。
本当にそれですよ、はい。
じゃあ本編いきますか、セキュリティの話。
はい、いきましょう。
ランサムの変化
じゃあ今日は僕からいこうかなと思うんですけども、
お願いします。
今日は僕はですね、何かニュースがとか何かのレポートがというわけではなくて、
僕がずっとやってるランサムウォッチも結構長らくやってるということもあってですね、
そこから見えてきたこの3年分ぐらいかな、
変化をちょっと見たものを紹介しようかな、
最近こうです、みたいな。
もう3年も続けてるのか。
すごいですね。
すごいね。
すごいすごい、継続が力張りだな。
本当ですよね。
結構これやってると、何でそんなん調べてるんですか?とかよく言われるんですよ。
ずっと長く。
ランサムについて把握しておきたいっていうのがあるんだったら別に、
いろんなドキュメントとか海外のやつもいっぱいあるじゃないですか。
なるほど、自分でやらなくてもいいんじゃないの?みたいなこと?
そうそう、それを自分で集計してまでみたいなことがあるんですけど、
何でこれに興味持ったのかって結構昔に遡るんですよね、このランサムに興味持ったのって言うと。
2017年ぐらいにあった韓国のホスティングサービスのナヤナっていう。
ああ、懐かしいね。
153台エレバスにやられたっていう。
しかもそれってホスティングなんでお客さんのデータとかが暗号化されたってやつですよね。
大変でしたよね、あれは本当に。
そうそう、当時にしては結構センセーショナルだったっていうのと、
あんまり事例がない中、交渉してる内容とかも普通に公開してたんですよね、ナヤナが。
いくら要求されていくらになりましたみたいな。
例えば最初は50億ウォン要求されてたけど、最終的にはいろいろ交渉しながら13億ウォンか12億ウォンぐらいまで下がったみたいな。
いうものがあって、すごいなんか興味深いし、こんなの流行ったらめっちゃ怖いなとかって思ってたら、
その後サムサムっていうのが出てきたりとかして。
アメリカの病院がやられたりとかしてましたよね。
あったね。
そうそう、これはビジネスとして広まるんじゃないかなと思ったのがきっかけで、いろんなネットワーク侵入型のランサムっていうのかな。
当時は標的型ランサムとか、海外のニュースでもターゲットランサムとかって言われてましたよね。
そうそう、呼び方があんまり統一されてなくてね。
僕らも何て呼べばいいかわからなくて、とりあえず標的型ランサムフェアなんて呼んでたけどね。
そういうのがあって、これはちょっと見といたら結構なインパクトのあるものになっちゃうんじゃないかなと思って見てたら、
2020年の4月ぐらいから、ちょっと前にその前に2019年の末ぐらいからMEIZUっていうのが出てきて。
そこで初めて二重脅迫っていうのが言われ始めたんですよね。
情報盗むのと暗号化するのにみたいな。
いくつもそういうグループがポツポツ出始めてきたんで、これ全部見て集計したら被害状況とかある程度見えるんじゃないかなっていうモチベーションで始めたんですよね。
あとそういう二重脅迫タイプだとリークサイトとかを立ち上げて、普通の人もそれ見れば状況がわかるみたいな感じでもあったしね、その頃からね。
2020年の4月ぐらいからコロナ禍っていうふうに言われ始めて、それと重なったんで結構家でいろんなことをする時間が増えたと。
通勤時間も減ってなくなるっていうのもあって。
いろんなのをウォッチしてて、最初は5つとか6つとかやったんですけど、どんどん数増えてきて。
増える前にね、ネギシさんって人がね、筒井さんそれ目で見てたら無理やでって言われて。
そんな話、なんかポッドキャストからでもしたね。
そうそうそう。今度はちょっとスクリプトでも書きますかというふうにやった。
次の月にはすごい増えてきて、どんどんどんどんグループが。
タイミング良かったよね、そういう意味ではね。
そっから徐々に観測範囲を増やして、今現在出てきたり消えたりする分も合わせて最終的に15グループぐらい見てるんですけど。
それの集計のお話で、このポッドキャストでもちょっと話したかもしれないですけど、2021年と2022年の集計結果を比較したときに、
ちょっとこれはというふうに思ったものがあったっていう話、ちょっとしましたかね。
したかもしれないね。
2020年は680件で、グループの数は違うにしてもね。2021年が1522件のリークと。
2022年が1867件ということで、年々増えてきている。
グループも増えてきているっていうので、当たり前の数字の増え方なのかなというふうなところもあったんですけど、
21年と22年比較したときには、21年は16グループで1522件だったんですよ。
22年は14グループで1862件。グループ減ってるけど件数増えてるというふうなものがあって、
これは僕が見始めた頃にはまだいなかった、コンティとかロックビットに押し上げられてるっていうふうな、
リークの多いグループがポーンと出てくるだけで件数が一気に跳ね上がったりするっていうところがあって、
影響を受けているのかなってところだったんですけど、
注目したかったのはその合計数を見ると、件数だけで見ると1.2倍になってるけど、
アメリカを拠点とする被害組織っていうのが731件から735件と4件しか増えてないっていう話を前にしたような気がするんですよね。
48%が39%に低下してて、これは多分アメリカが制裁対象に加えたところがあったりとか、
あとは保険が厳しくなってみたいな、バックアップとかEDRちゃんとやってなかったら保険入れさせませんよ、更新させませんよみたいなものがあって、
相対的にレベル感が上がってお金払ってくれないっていう風な流れになったんじゃないかなみたいな話をしたかと思うんですけど、
それは今年どうなってたか、今年7月までの1月から7月まではどうなってたかというと、戻っちゃってるんですよ割合がアメリカの件数の。
今の件数で言うと、1月から7月までが1666件なんですね。
半年ちょっとで。
グループ数が違うとはいえ、もう4ヶ月ぐらい早いペースって感じかな。
去年の11月ぐらいがこれぐらいの件数だったんですよ。
そのうち801件がアメリカってなっているんですよね。
半分くらい?
そうそう、だからこれは2021年の48%とほぼ同じぐらいの数字になってきているという変化があるんですけど、
これいろんなそれぞれのランサムグループを見てみたら、やっぱりアメリカの件数っていうのがちょっとずつ割合が増えてます。
去年と比べると各グループほとんどが。
じゃあどっか特定のグループの偏りがあるってわけじゃないんだね。
そうですね、全体的に上がっているというのはあるんですけど、偏りが一番大きかったのはクロップですね。
あーなるほど、件数も多いしなあれは。
そうそうクロップはゼロでムービットの脆弱性の利用とかっていうのがあったんで、
例えば2022年にクロップが攻撃した総数の25%がアメリカだったんですよ。
それが今60%がアメリカになっているんですよね。
なるほど、じゃあひょっとしたらそれは全部が全部ムービットかどうかわかんないけど、ムービットトランスファーを使っていたところの偏りがひょっとしたらそのまま出ているのかもしれないね。
そうそうそうそう。なんでその特定の業種でよく使われるアプリケーションとかアプライアンスとかっていうのが影響を受けるとその業種が増えるのと同じように、
使われている国の影響っていうのもこの辺に色濃く出てくるんだなっていうところは今のところこういうところで見えてるってところですね。
あと業種、僕は被害組織の所在地国も記録とってるんですけど、一応業種をリンクトインの内容とかない場合はそのサイトの中身を見て近そうなジャンルを登録して業種を見てるんですけど、
2021年と2022年っていうのは建設土木が頭1個出るぐらいの感じってちょっと多かったんですよね。
なんかずっとそれは変わってないよね。
そうそう。多かったとはいえ全体で見たときに1位と言っても7%とか6%の間ぐらいだったんですよ。
なのでばらつきはそんなにないっていうふうな感じだったんですよね。どの業種に来てもおかしくないですわぐらいのことが言えるような感じだったんですけど、
今のこの7月までの周期、今年の読むものを見ると建設土木よりも過去にその下にいた教育が今1位なんですよね。
まあとはいえこれも1666件中109件とかなので、そんなに突出して多いというわけではないんですけど、
去年は教育が2位だったんですね。21年からどんどん教育とかが上がってきて、最終的には建設土木を抜いて1位に踊り出るというふうなことになってました。
まあまあでも個別の事例でも結構学校とか特にアメリカが多いかな。なんかまあよく話自体は聞くよね。やっぱね。
教育業界の増加
この辺ちょっと旨味があると思っているのが、これもグループごとに見てみたんですけど、
2022年と2023年をまたいで活動しているグループ10個に絞って見てみたら、そのうちの6件はやっぱり割合増えて、微増という感じで増えてましたね。
残りの3つについてもそのうち3つのうちの2つは特に変化がない。0件が0件のままみたいなものがあるので、全体で見ればちょっと増えてるっていうところが、このグラフの傾向にも現れているのかなという感じはしましたね。
ただまあこれも前、ホットキャストの違う回で言ったかもしれないですけど、特定のグループが教育を3割以上攻撃してるっていうのがあるんで、
そのグループが活動止まるとこのグラフにも影響が出て変化が現れるかもしれないので、1年通してみたらどうなるかっていうのは全く予想がつかないなっていう感じではありますね。
ちなみにここで一旦クイズを出したいなと思うんですけれども、
2023年1月から7月までの間、リーク数が多かったランサムギャング順に並べてほしいんですけど、今から4つ言いますんで。
難しいな。
いきますよ。1番がロックビット、2番クロップ、3番ローヤル、4番ブラックキャット。
順番並べると1、2、4、3じゃない?
1、2、4、3。
私もそんな感じを今思ってました。
ほんまですか?めっちゃ正解やん。
でしょ。
最近の印象を持っているとクロップがロックビット抜いてんちゃうかっていう答えをするんちゃうかなって思って。
このペースでこのまま後半もいけばクロップが抜いちゃうと思うけど。
確かにそうですね。
だってクロップってここ1、2ヶ月じゃない?多いのはさ。
そうそうそうそう。あと5位に上の時ですね。
半年くらいで見ればまだちょっとロックビットが上かなという感じを持った。
ロックビットはすごいコンスタントに結構件数積んでますもんね。
いきなり跳ねるっていうのがない限り安定感があるっていうかね。
こういうロックビットに関して。
あとは前に情報をいただいてここでも紹介しましたけど北半球と南半球どうなってんのみたいな。
なんかあれだよね。もともとは結構北半球に集中するような傾向があったけど
途中からちょっと南半球にも被害が拡大するような流れがありますよみたいな話あったよね。
その紹介いただいたやつっていうのはランサムとしか書いてなかったので
バラマキも含んでいる可能性が多分にあるかなってことで
自分の調べたところだとどうかっていうふうに見ると
21年も22年も23年も変化ないです。ほとんど。
もう95%以上が北半球で5%未満で南半球みたいな感じで
Evil Proxyによるフィッシング攻撃
これ3年とそんなに変わってないっていう感じではありますね。
なんでこういうのが今日は合計してこういう変化があったみたいなぐらいの紹介でしかないんですけども
ちょっとこういうことが起きるとこういう変化があるんやなっていうのは
長年見てきててわかったことだとか
集計してから意外と変わった部分は教育が1位になると思ってなかったんで僕も。
とはいえ教育が1位っていうものだけじゃなくて
他のところの件数と比べてどれぐらいの差の1位なのかっていうのを注意しないと
自分たちが属している組織の業種が危ない危ないばっかり思っても良くないから
こういう情報は継続してウォッチして
ツイッターとかそういう講演とかでもっとどんどん発信していこうかなという風に
思いましたという話でございます。
こういう例えばさ時々辻さんが紹介してくれるコーブウェアさんのレポートとか
ある程度の期間同じ枠組みで観測しているからこそ分かる変化っていうのがあるし
そこにすごく重要な意味がある場合もあると思うんで
それは僕らもここのポッドキャストで度々取り上げて議論にしたりとかしてるけどさ
一方で全体を通して丸めちゃうと逆に変化がありそうっていうか
逆に見えてきちゃう変化っていうのがあって
でも実はそんなに今分析してくれたみたいに細かく分割して中身を見てみると
実はそんなに大きな変化じゃないとか
ないしは特定のファミリーだけが急に突出して違う傾向を表したから
全体でもそれが引っ張られちゃったみたいな
そういうケースも中にはあるから
そのあたりうまく注意して見分けていかなきゃいけないなと思うんだけど
とはいってもやっぱりそういう長い期間だからこそ見えてくるっていうものは
やっぱ価値が結構あるので
そういう分析って大事だよね
そうですね変化があんまなかったとかも
先ほど業種で言っても教育とか順位がちょこちょこ入れ替わったりはしてるけど
数字全体で見たらそんなに大した変化じゃないというか
順番が変わっただけで件数で見たらそんな差ないやんみたいな話なんで
変に怖がらせないというか
いうふうなことの役割もこういうのにはあるのかなと思います
あと逆に変化がないこと自体が良くない傾向のサインかもしれないので
特にランサムウェア関連に関しては本当はもっとどんどん数が減っていってほしい
そういう変化が起きていてほしいけども
今のところ各種いろんな指標を見ても悪い意味で変化がないので
ちょっとそういう意味でも変化があるなしがどういう意味を持ってるかっていうのも
その場その場に応じて考えていかないといけないよね
対策する側は今までどおり粛々とやるということには
多分何も大きな変化はないんじゃないかなと思うんですけど
そんな感じでございました
ありがとうございました
じゃあ次はりきさんいきましょうか
僕からは今週はプルーフポイントというベンダーさんが
今週報告していた記事の内容を紹介したいんですけども
Evil Proxyというツールを使ったフィッシング攻撃のキャンペーンがありましたよというのを
記事にしてくれていたのでその内容を紹介したいんだけど
そもそもこの記事で書いているフィッシングの攻撃ってのはどういうものかっていうと
これ前に確か辻さんが紹介してくれたんだと思うんだけど
フィッシングの種類としてはアドバーサリー・イン・ザ・ミドルと呼ばれるタイプの攻撃で
これAITMって省略したりとかするんだけど
いわゆる普通のフィッシングの場合には
例えばその本物そっくりの偽善のサイトを作って
そこにメールかなんかで被害者を誘導して
被害者が騙されてIDとパスワードを入力しちゃうと
それが攻撃者に盗まれちゃいますと
こういうのが典型的なフィッシングサイトなんだけど
アドバーサリー・イン・ザ・ミドルの場合には
このフィッシングサイトが被害者からの入力を
そのままリアルタイムに本物のサイトに中継をするというところが
ちょっと新しいというか
リバースプロキシーみたいに動作するという感じなんだけど
だから攻撃者が真ん中にいる感じになっているので
アドバーサリー・イン・ザ・ミドルって名前がついているとね
これが何がいいかというと
普通のフィッシングに加えて
これは実は多要素認証が有効になっているようなアカウントに対しても
攻撃ができるというのがちょっと大きな利点で
これはリアルタイムに入力を中継するので
例えばSMSで認証コードを受け取るとか
認証アプリでGoogle Authenticatorみたいなアプリで
ワンタイムパスワードを入力するタイプだとしても
それをユーザーが被害者がそのまま入力しちゃうと
それをそのまま本物のサイトに中継しちゃうんで
本物のサイト側はあたかもユーザーが
入力しているかのように思ってしまって
ログインが成功してしまうと
攻撃者側はそのログインの成功した後に
発行される認証のクッキーを取得して
その後アカウントに不正アクセスができちゃいますと
多要素認証MFAの場合でも
フィッシングが効果的ですという意味で
このAdversary Intermittentというのが
ちょっと最近ここ1年くらいかね
そうですね話題になってますよね
話題になってきているかなという感じなんですけど
今回のこのキャンペーンは
このAdversary Intermittentのタイプの
フィッシング攻撃ですと
そのEvil Proxyってさっき言ったら
これは何かっていうと
そのAdversary Intermittentの攻撃を使う
フィッシングアザーサービスの
ツールの名前なんだよね
フィッシング攻撃の特徴
これはいろいろこういうの
前もついさんが紹介されたんだったかな
何だっけちょっと名前パッと今忘れちゃったけど
EviljinXですか
そうそうEviljinXとか
いくつかこういうよく使われる
フィッシングのツールとか
サービスってあるんだけど
その中の一つで
これは去年の9月くらいからどうも
ハッカーフォーラムとかで宣伝とかされていて
サービスが提供されているらしいんだけども
結構活発に使われていて
今回のキャンペーンでも
このEvil Proxyっていう
フィッシングアザーサービスが
使われたと思われますと
こういうものですね
でこれ結構セキュリティベンダーとかが
実際に検証して
記事とか書いてくれてるんだけど
まあよくできてて
トワのオニオンサービス上で動いてるんだけど
ログインしてポチポチってやるだけで
簡単にフィッシングのサービスが作れてしまって
例えばマイクロソフトとかグーグルとか
狙いたいサービスを選んで
あと割と価格もリーズナブルで
1ヶ月で1個のサービスあたりだと
400ドルくらいとかかな
なんかで使えるらしくて
まあリーズナブルだし使いやすい
GUIベースでポチポチポチってやるだけで
使えちゃうみたいな
そういうところもあって
比較的攻撃側というか
サービスを使う側にとっては
あんまり敷居が高くないと
いうところがちょっと厄介な点かな
という感じですね
で今回のブルーフポイントさんが
報告してるキャンペーンにも
ちょっと特徴があって
いくつか紹介したいんだけども
まずフィッシングの最初の
攻撃の起点となるのは
やっぱメールなんだけど
コンカーとかドキュサインとか
アドビとかいわゆる企業で
よく業務のサービスとして
使われるようなところを予想った
偽装メールが飛んでくると
で受信した人にリンクをクリックさせて
っていうそういうタイプの攻撃ですと
なので見た目には
本物のメールっぽく予想っているので
ちょっと見分けがつきにくいと
それからそのリンクも
いきなりフィッシングのサイトに
ダイレクトに行くわけじゃなくて
他段階でリダイレクトが挟まってますと
いうことで
これもフィッシングだっていう風に
検知されるのを避けるような
そういう工夫がされていて
例えば記事になってたのは
YouTubeとかの
本物のサイトをうまく使った
リダイレクトを使ってたりとか
あといろんなところの
インターネット上のウェブサイトに
侵入してそこに
リダイレクト用のコードを設置して
勝手にリダイレクターとして
悪用してるとか
そういうのをいくつか多用していて
今回のキャンペーンだと
3段階ぐらいリダイレクトした後に
ようやくフィッシングのサイトに
到達するというような
手の込んだことをやってましたと
それから3つ目はちょっとこれはね
意図がもしかしたらよく分からないんだけど
この研究者が調べたところだと
トルコのIPアドレスからだと
攻撃の対象外になって
正規のサイトにリダイレクトされて
終わってしまうということなんで
なんか水飲みウワガタ攻撃みたいですね
なんでこれはその攻撃者が
被害規模と対象
トルコと関係があるのか
ないしはトルコのユーザーを
ターゲットにしたくない
なんか理由があるのか分からないけど
今のところこのキャンペーンでは
トルコ以外のIPアドレスが
対象になっているということらしいですと
結構ランサムウェアとかだと
旧CIS国諸国は対象外だとか
いろいろそういうね
ジオIP使ってアクセス制御しているような
攻撃ツールっていうのは
いろいろあるけども
今回のEvil Proxyの設定上
そういうことが設定できるらしくて
今回のキャンペーンでは
トルコが除外されていましたと
すごいお客様のニーズにお答えしました
みたいな機能ですね
それからこれがちょっと面白い
4番目の特徴として今回
何ヶ月かのプルーフポイントなんか
調べた範囲で
100以上の世界中の組織が
被害に遭っていて
数百ユーザーが実際にアカウントを
不正アクセスされた
というようなことなんだけど
その数百ユーザーの内訳を調べてみると
ちょっとこれどうやって調べたか
分かんないんだけど
調べてみたところ
役員クラスの従業員が非常に多いらしくて
全体の39%がいわゆるCレベル
CEOとかCFOとかね
そういうCEPKOという
肩書きが付いているような役員さんが
全体で4割近かったということで
例えばこの後役員のアドレスを使った
ビジネスメール詐欺とかね
そういうのに使う狙いがあったのかとか
ちょっと細かく書いてないんだけど
ビジネスメール詐欺にも使われた
ということは書いてあるので
もしかしたらそういうようなところを考えて
あらかじめ役員クラスのメールアドレスを
ターゲットにしたのかもしれないねと
ランダムにやったにしては
明らかにちょっと偏りが大きすぎるので
そうですね
明らかにその大企業の役員クラスを
ターゲットにしたキャンペーンのようですと
いうことでした
あと最後細かいけども
アカウントの不正アクセスとして載っておった後
攻撃者は自分の自らの多要素認証の
手段を追加しているらしくて
これ後でたぶんログインし直すときに
もう一回フィッシング引っ掛けなくても
もうID・パスワード入手してるし
多要素認証も自分のネット登録しておけば
いつでも入れるねということで
そういうのを考えて
多要素認証の使われる
認証アプリとかを自分のネット登録者とか
してるらしいんだけど
そういう動きが見れましたと
このあたりが今回の特定のキャンペーン
EBLプロクシーってさっきも言ったけど
フィッシングアザーサービスなんで
いろんなユーザーが使ってるんで
その中の今回目立ったキャンペーンとして
そういう特徴がありましたと
いうことでした
こういうフィッシング
特にアドバーサリー・インターメトロ
ってさっき紹介したけど
今まではフィッシングって言われたら
じゃあ多要素認証やっておけば
一安心みたいなところが
ちょっとあったかもしれないけど
最近はここ1,2年ぐらいは
こういうちょっと高度な攻撃も
結構増えてきているし
あとそのEBLプロクシーとか
さっきのEBLエンジンXみたいな
割とその敷居が低くて
攻撃者側から見ると
誰でも使えるような
サービスとして提供されているものが
まあまあ広く普及しているので
こういうものを使われると
ちょっと防ぐ側としては
嫌だなというかね
そうですね
きついですよねこれもね
ちょっとねこういう状況はあんまり
よろしくないなという感じなんだけど
まあでもこの今のEBLプロクシーも
昨年からもう1年近く使われていて
いまだに活発に利用されている
ということなので
引き続きこういうものはちょっとね
見つけにくいし
さっきのいろいろ検知用の仕組みとか
工夫が結構あるので
いわゆるメールのゲートウェイでも
もしかしたら
うまく検知できないかもしれないし
あとねその人が
こういうメールに気づけなければ
クリックしちゃうのは
ある程度は仕方ないと思うしかないし
そうすると例えば
多要素認証でフィッシングに
耐性があるような
ファイドのセキュリティキーを
使いましょうとか
でもまあそれも全社に配るには
コストがあるしなとかさ
そうですよねあんまりそこまで
普及してないですよね
そうなんだよね
あとまあ今回の結構その
マイクロソフトのアカウントが
結構クラウドのアカウントが
ターゲットになっているので
そうすると例えば
クラウドのアカウントで
このフィッシング経由で
アクセスされると
多分最初のログインは
通常とは違うアドレスから
ログオンがみたいな感じの
ちょっとね不審さは
あるはずなので
そういうのに引っ掛けるだとか
モニタリングをしっかりしていて
できるだけ早いタイミングで
不審なアクセスに
引き付けるようにするとか
まあちょっとその
緩和策的なものを頑張って
いろいろやるしかないのかな
っていう
まあそんな状況ですね
ということで
できるだけ早く見つけましょう
みたいな
そこですよね
ですね
まあこういうの攻撃
そんなに珍しくないので
ちょっと皆さんも
気をつけてほしいなと思って
ちょっと紹介してみたんですけど
はい
これはあれですかね
やっぱその
引っかからないように
そのまあ
乗っ取られないようにっていう
被害を被害を
被らないようにっていう観点で
言うとやっぱりそういう
セキュリティーキー的なもの
ぐらいしかないですかね
やっぱり
んじゃないかな
なんかあるかな
他に
僕もそうそれぐらいしか
思い浮かばないんで
そうなってくるから
さっきね
おっしゃったみたいに
緩和策というか
そうなんかね
やっぱ決定打的なものが
ちょっと
ないんだよね
あと
これって
いわゆるその
なんていうか
アカウントの情報
そのクレデンシャルを
盗むっていう
手段として
使われるのであって
その大きな被害は
その後じゃない
盗まれた後
それがどう使われるか
っていう部分で
さっきその
ビジネスメール詐欺の
例を出したけども
他にもね
その組織への
侵入の遺族地として
使われたりとか
あとここにも書いてあったけど
その
臨床情報を売る人
とか
その
その
その
売る人も
いるかもしれないし
それ
買った人が
どう使うかっていうのは
わかんないわけで
それはいつかも
わかんないですもんね
そうそう
そう考えると
ちょっとね
その後の
被害にも
ちょっと
及ぶので
そのあたりも
見越して
対策をしないとな
っていうので
なかなかちょっと
防ぐのが難しいし
厄介だなっていう
そうですね
まあその辺
防げたら
見越したことはないけど
っていうこと
だけど
それが
なかなかね
おいそれと
共和したできるような
ものじゃないじゃないですか
その何か
キーを導入するとかも
うん
複数の緩和策を
やるしかないのかな
っていう
そうですね
まあそう考えると
なんかあの
なんていうか
後出しというか
後追いみたいになってしまって
あんまり効率よくないのかも
しれないですけど
ログインした後
攻撃者はこういうこと
しますみたいなところに
着目して
そこの変化に気づくぐらい
しかないかなって
ところですね
そうだね
なんかそれも一つの手だよね
そういう
ログインした後
攻撃者に合わせた
監視を強化するとか
例えばね
そうですね
とか設定を変更
してくるんでしょ
これだからその
いつでも入れるように
mfaを新規で登録してくるとか
そこの変化だと
見てれば気づけるところも
あるかもしれないですよね
そういうのが例えば
ログをちゃんとチェックするとかね
やれそうなこと
ありそうだよね
組織としてね
そうですね
クラウドのサービスによるのかも
しれないけど
だからそういう設定を
そもそも変更
ユーザーにさせないとか
っていう機能とか
あればいいんですけどね
こういうのね
そうすれば
1回は入れるけどね
セッション切れたら
もう入られへんのあるじゃないですか
とかね
サービスによっては
管理者側の機能として
そういうところをやるとかね
たまにはセッション
全部クリアに
しちゃったらいいのかな
それも手としてはあるよね
侵入された場合に
セッションをリセットする
っていうのは
上等手段なんで
そうそうそう
いずれにせよ
そういうのも全部
どっちかっていうと
入られたとしての
そういう前提で
どうやって
それを見つけるか
みたいな感じだよね
完全に入ってくるのを防ぐ
っていうのは
難しそうだ気がするよね
そうですね
でもなんか
いろいろ工夫できそうなところは
あるんで
なんかこれ
皆さんも見ていただいて
うちのクラウドで
どんどんできるかな
とか考えると
多分自分たちが
使ってるクラウドの
サービスとか
あとは
こないだ別のとこでも
話したけど
使ってるライセンスとかによって
いろいろできること
できないことが
おそらく変わってくると思うんで
ないしは
機能としては提供されてるけど
自分たちがうまく
使いこなせてないっていうのも
あるかもしれないから
そのあたりをきちんと
使ってみるっていうのは
あるかもしれませんね
そうですね
もしできなかったり
そんな機能がなかったら
要望を上げてみるとかっていうのを
すると
変わっていくかもしれない
っていうのがあるかもしれないですね
サービス側が変わってくれる
みたいなのもあるかもしれないですね
はい
はい
わかりました
ありがとうございます
はい
はい
じゃあ
次はカンゴさんですね
はい
今日私はですね
ブラックハッドでのハニーポッド分析
今まさに開催されていた
って感じなのかな
ブラックハッドが
開催されているんですけど
その中で取り上げられていた
セッションの一つを
ご紹介したいなと思ってまして
すでにもういくつか
資料とかっていうのも
上がっているところではあるんですけど
その中で
通じたんじゃないですけどもね
3年間
リモートデスクトップの
ハニーポッドで
リモートデスクトップを動かして
モニターリストに
配送されてたんですけど
その中で
リモートデスクトップの
リモートデスクトップの
デスクトップを
何回か
動かすというのが
いっぱいあるんですけど
リモートデスクトップを動かしてモニタリングをしてみたっていう そういった分析結果を発表されているセッションがあってですね
今日はそちらを紹介したいんですが まずは3年間なんで非常に期間としては長いんですけども
その期間中において具体的に見られた件数というところでは 2100万件の俗に施行があったと
すごいな 3年間ですからね 3年でもそんな数になるんだっていうぐらい 結構な数ではあるんですが
ただその中で実際 ログインに成功できた数っていうのは 2600件ほどというところで
さらに実際に記録ができたものっていうのは 少しまた数が減って2390件だったというところでして
もう少しこの細かい2390件の状況というのを見ていく中で 今回ゴーセキュアっていう方がこちらの分析をされたんですけども
レンジャーとバーバリアン
そちらの方がパイRDPという読み方だったのかな そういったRDPのモニタリングツールっていうのをもともと開発しておられて
それが大体3年前ぐらいなんですよね 2020年ぐらいに公開しましたってさっき記事見たんで
2020年に公開してずっと多分その後から監視をされ続けていたんだろうと思うんですけど
その期間中においてそのパイRDPを使っていろいろ情報を取れるんですけども
例えばビデオに攻撃者が実際にやっている操作とかっていうのを ビデオにして記録するっていうこともできたりして
たまったビデオの時間としては100時間ほどと その中でさらに録画時間が非常に短くて
何やってるかわからんみたいなものを取り除いたものを見ていくと 大体RDPのセッション数ベースで339件のセッションが
今回発表の中で取り上げられていた分析の対象の件数になったと なので3年間で有用な分析可能なそういった件数というのが339件あったというところではあったんですが
ちょっと特殊なというか特徴的な分析のされ方を このゴーセキアのリサーチャーの方はされておられていて
ダンジョンズ&ドラゴンズってご存知ですかね 有名なテーブルトークRPGでいいのかな
そういったものがありまして 非常に歴史があるやつですね
その中で登場される職業、ジョブですね そのジョブに実際に今回接続されてきた339件を分類してみたというところですね
ちょっと特徴、特殊な分析の仕方かなと思ったんですけども まず一番割合として良かったのはレンジャーっていう形で
カリウドなのかな?レンジャーということで これは本当にログインされた後にいろんなコンピューター上のフォルダーを探索したり
あるいはネットワークホストを見つけたりとか あるいはパフォーマンス見たりとか
全般的に偵察行為をすると 逆に言うとそれ以上のことはアクションとしては実行しないというのが大半を
多くを占めていたというところで なので動きとしてはその後に続いてくるであろう 他の人が実際にそのシステムに入れる
簡単に入ることができるように評価をしている そんな可能性もあるねみたいな話もしておりました
続いてレンジャーの次に多かったのが このレンジャーとその次のやつがもうほとんど大半だったんですけども
バーバリアン これ野蛮人っていう役になっちゃうんですけどバーバリアンですかね
バーバリアンっていう職業の分類される 接続をしている人が多くてこれ何をやっていたかというと
いろんなツールを使ってそのログインしたコンピューターから 他の多くのコンピューターに対してブルートフォースの攻撃を仕掛けると
踏み台的な そうですねもう本当に踏み台ですね
マススキャンとかそういった総当たりツールとかを実際に使っている バーバリアンがよく見られましたなんていうふうには書かれていて
なのでこの偵察行為をする人と実際それを踏み台にして他に影響を及ぼすっていう人が大半を占めていると
ウィザード魔法使いとシーフ
じゃあ他3つが何かっていうと まず1個目は先ほどのバーバリアンに動きとしては似てるんですけども
他の おそらく同じような方法で侵害可能な状態にある他のコンピューターに対して
踏み台として使うポータルっていう言い方してましたけどもRDPアクセスをすると 一回RDPで入られた後さらにそこから別のとこにRDP接続するとか
なので身元を隠蔽するとかっていう目的で使われているんだろうと思うんですが これに対してはウィザード魔法使いということで名前が割り当てられていたと
たださっきも言った通り全体の割合としては非常に少数ですね
あとはシーフということで盗賊なんですけども 名前のごとく獲得できたこのRDPのアクセスを何とかお金に繋げようという
そういったアクションを取るというところで 実際制御官に置いた後はいろんなことをすると 例えばプロキシウェア仕掛けたり
他にはクリプトマイナーインストールしたりとか さらにはモバイル作業にAndroidエミュレーターをダウンロードしたりとか本当にお金に繋がるような
いろんなことをするっていう そういった人も見受けられたというところでして
なのでそういったことも当然やる人いるんだろうなというところで 最後が銀雲詩人ですかね
銀雲詩人ということでズバッと書かれてるんですけど ハッキングスキルを明らかに持たない人ですというふうに評価されていてですね
一番最後に出てくるからすごいんかなと思ったら一番あかんやつ 何しに来たんやって感じたね
はい本当にあの何しに来たんやっていう人で google 検索をしてですね
いかがしい動画を見たりとかっていうことをやろうという そういった行為に及ぶ人たちが見られたと
わざわざRDPした端末でやるんだ おそらくはイニシャルアクセスブローカーとかそういった
さっきレンジャーじゃないんですけどもそういった人物からアクセス権を購入して 今回のような行為に及んでいるんではないかというふうには見ていて
でなんでこんなことしてるのかなっていうところについて推察もあったんですけども 接続されている国からするとどうもそのポルノ動画とかを
例えば視聴するっていうのが禁止されているような地域
プライベート vpn のノリで使ってるってことですかもうほんとそういうことかなるほど なのでまあそういった地域から接続して
まあ自分の欲求を満たすということに及んでいる可能性っていうのがあるんではないかな みたいなのもそれからちょっと理解できるね
そうですねちょっと恋そのものはちょっとあのをって思うんですけどはい まあでもねそうそういうものがねこの世界を変えるモチベーションになることがあってそう
まあ確かにはい 学んでこの以上の5つの職業にカテゴライズされたまあ300ちょっとのセッション
を分析した結果っていうのがまとめられているんですけどまぁ他にはあのもうすぐに ブラックハッドのサイトには資料とかも出ているんですけど
実際に攻撃者があの使用していたというふうにあの彼らが分析している いろんなツールとか
もう乗ってはいてですね例えば d コントロールっていう ソフトも入っていたんですけどこれな何をするツール買ってわかりますか
d コントロール d ってないなぁ d コントロールはい
思いつかへんが d 何やろう ネギスは何かわかりますレイヤー使ったことない普通は使わないツールとこれ
あの ディフェンダーコントロールという名前もまあ別書あるらしくてよあのウィンドウズディフェンダーを
無効化するというそういったソフトウェア も使っていると例えばさっきのシーフとかにカテゴライズされるような
あのまあそういった人物とかこういったソフトウェアを使ってましたよみたいなのを 書かれていてですねいろんなツール
まあの使ってるんだなっていうのとまあのさっきのツイさんじゃないですけどもこう いったの実際の
シーンっていうのはしっかり見ることでトレンドとして使われているツールとか っていうのがどんなものかっていうの具体的に把握できるっていうのはこれは
結構面白いなっていうのは改めて たぶんおそらく似たようなことっていうのはいろんなツール
過去含めいろいろあると思うんですけど実際これ攻撃者が使ってるっていうのがまあ はっきり見てとってわかるわけなんでそういう意味では非常に
参考になる情報かなーっていうのはまあ今ご紹介した以外にもいくつかツールとか っていうのが載っているのであのまあよろしければ資料を見ていただければなぁと思うんです
けど さっき成功したあのログイン成功件数の話しましたけど
資料の世界地図上にマップされただけのものを私見ているので具体的にどうかって はっきり言えないんですが日本からもおそらく
あの接続されたであろう数字が14件 アカウントされてるんですねこれがあの日本の人がしたのか日本を例えば踏み台にしたもの
なのかあるいはジオ ip が間違って日本に割り当てられたものだったのかいろいろあると思うん ですけどまぁ日本も数字としては乗ってたなぁっていうのがせませんちょっと
おまけ的にはい 乗っていたものということではい以上になります
なんかその オルノを見るためにみたいなのをプライベート vpn のように使うっていうのはちょっと考えつかなかった
ですけどでもリモートデスクトップ アクセスって10ドル
以下で買えますもんねいろんなマーケット見ているとそう考えたらそのプライベート vpn に加入 するノリでそういうブラックマーケットで買うっていうのもあり得るんやなっていうか金額的
よね全然減ったしたら vpn より安いかもしれないですからね あとあれだよねその国によっては vpn 自体がブロックされてて
あたしたいねうん あのいわゆるセンサーシップが強い厳しい国ってのはまぁまぁ世界中にはあるので
はいそうですねそれもあるし仮にその通信経路は仮に vpnk でひとくできたとしても自分の端末で やること自体にリスクがあるって
はいはいはいはい思う場合には何かねまあその他人の rdp を乗っ取ってというかそこで やった方がより安安全というまあそういう判断もそういう国ではもしかしたら
成り立つのかもしれないね その辺は何かちょっとで僕らと事情が違うから一概にどうこう言えないけど
いやなんか面白いねなんかそういう用途で使われるんだっていうのはね 全く想像してなかったんですよね
見るんやったら自分の画面に見ても人の画面通してる奴を自分に移しても一緒ちゃうんかい と思ったんですがさあなるほどねそういう理由があるのかっていう感じでしたね
これ僕ツールこのレポートの中身見てないあんまり見てないですけど リモートデスクトップで入ってきた攻撃者とかって他のやつに入られんの嫌うっていうのがあったり
するんで rdp を締め出そうとするようなツールを仕掛けていくやつもいるぞそういうのの 言及はまあなかったですから追加ツールみたいな中に
あの永続化をするというものはあのありましたけど 締め出しはなかったかなぁ
今回 rdp ガード3っていうようなやつとかのパーソナルファイアウォール的なねここからしか もうアクセさせへんぞみたいなやつとかも
あんのかなぁと思ったまあここはにことだとうまく動かないかもしれないですけどもああ そうかそういうのもあるかもしれない
ちょっと仕様がわからないで何とも言えないですけど いやでも非常に興味深いですねこれね5つの分類にしているのもなんかわかりやすい
かわかりやすくないんかよわからんまま聞いてたけどどっちなんだっていうのはあります けどねまあ話をしている時には多分こういうなんか名前つけた方が分かりやすい
かもしれん会場にいる方々はね いやちょっとなんかもうちょっと深掘りして読んでみようかなと思うような内容でしたね
はいということで今日もセキュリティのお話を3つしてきたんで最後にですねおすすめの あれを紹介して終わろうかなぁと思ってるんですけど今日はの飲み物をね
をいただいた飲み物がありましてそれがもうめちゃめちゃ美味しかったんで自分でも買おう かなぁと思い始めたやつなんですけど
はいえっと jf ず大分っていうところがオンラインショップでも売っているものなんです けど
そこにつぶらなシリーズっていうのがあるんですよ ほぼ裏のシリーズそうそうつぶらな何々っていうのがでつぶらな
カボスとかですね本当だある ゆずとかリンゴみかんぶどうど5種類かな確かそれあれいずれも大分の特産品的な感じ
そうそうそうみたいそうみたいそうでそれでは jf ずを置いたで直接売ってるん ですよねこれオンラインショップで僕がもらったのはその
カボスをもらったんですけどすごいなんか見やすい スッキリしててあの量もねちょうどいい量なんですよ
カボスのジュースがスッキリと飲めるサイズ
一貫で190グラムなのでまあまあ飲み切りサイズというかそうだねそんなに多くもなく だいたい今ってみんなペットボトルじゃないですか
飲む時って大抵の場合ねペットボトルだと飲みすぎちゃうっていう問題があるみたいな話 たまに聞くんですけど
残しちゃったらあれなんでつい特に飲みたくないけど飲むみたいなことをすると多くとっちゃう みたいながあるんでそんなままなく結構スッキリと飲めるようなサイズなんで
スーパーに売ってるのかなっていうのがあるんですけどね 確かになぁ
ちょっとそれはお取り寄せしないとダメかもしれないねそうだこういうのねその大板の スーパーとかはあるかもしれないですけど
そもそもはカボスのジュース自体があんまり遭遇しなくないですかね いや飲んだことないかもしれないカボスのジュース
結構でもなんか周りの人に聞いて飲んだことがあるって言うといたんですよね本当 へ
リンゴとかみかんとかブドウとか言ったり別にこうなんてさ 他に替えが効くかなと思うんですけどカボスってなかなかねないよね
あんまりないんでそうそうそう僕が飲む時までカボスってそもそもどんな味やねんと思っ てましたからピンとこなかったんですけどね結構すっきりした感じで量も味も
なんか今の季節にちょうどいいんちゃうかな 寝起きとかにもいいかもしれないですね
あと最近結構僕の子供の頃より世の中につぶつぶジュースって減ったなっていう気が するんですけど
そうかもしれないねそう昔ながつぶつぶっていう名前のジュースなかったでした あったあったねあれでもないんですよ
言われてみれば確かに何か果物のその素材をそのまま感じるような つぶつぶジュース系ってあんまり見かけなかったねそういえばね
逆にレアな存在になってるなーってずっと思ってたんでそうそう久しぶりにねなんか 体験したことない味のもんですけどつぶつぶやっぱりええなーっていうふうに思い
ましたねなるほどそう昔よくつぶつぶっていうなんかこう 全面に書かれているやつでぶどうと
なんかみかんがあったんかな昔それを何か昔無償に思い出し飲みたくなって調べたらもう ずいぶん前になくなってたっていうのを聞いて
そうだからがつぶつぶジュースな懐かしさもありましたね つぶつぶ感のねはいまぁちょっとハードルが高いかもしれませんけどもし興味の
湧いた方は買って飲んでみてはいかがでしょうかということでございます はいはいということでまた次回のお楽しみですバイバイ
ばいばーい
