年度末についての雑談
今年度が終わります。そうですね。おつかれさまでした。 今年度最後の収録?これ。
なんかあんまり年度っていう切り替えのタイミング、あんまり実感わからないけどな。そうですね。あんまりこのポッドキャストね、季節があんまり。関係ないよね。
いやなんかほらやっぱ年度代わりってさ、なんかこう一応会社に勤めたりとかすると組織がどうだとかみたいな話出てくるじゃない。
またそんならしくないこと言っちゃって。いやいやいやいやいや。なんかね一番らしくない。一番らしくないよな。
なんかこういろいろ漏れ伝わってきたりとか、逆に聞かれたりするじゃないですか。何を?4月以降どんなことすんのみたいなとか周りに聞かれたりとか。
はいはい。そんなことある?あるある。聞かれるんですね。聞かれるから、あの分からへん言うて言うてます。
聞く方も聞く方だよな。そうですよね。だからこう自分はこうやねみたいな感じのことをやんわり言われるんですけど、僕人のことをいっぱい聞くと、僕自分のこと知らんくて話せへんから人のことばっかり詳しがってくるんですよね、だんだん。
でねその今年度終わるっていうのもそろそろやめた方がええんちゃうかなと思ってて。やめてどうすんの?
いやなんかねこれほら1年短いって言うやんみんな。なんかもう今年終わるのかみたいなこと言うでしょ。
これはもう僕よく言ってるんですけど、年度の仕組みのせいやと思ってるんですよ。
1月から1年が始まるじゃないですか。そっから3ヶ月経ったら年度が終わりますよね。
年度が終わって新しい年度になったっていう4月を1月と勘違いして、1年は9ヶ月しかないっていう感覚に陥ってるんちゃうかなと思ってて。
始まりが2回あって終わりが2回あるからね。 そうそうそうそういう1年が短く感じるっていうのをブーストさせてる
あしき風習なんじゃないかなって。 まあまあなんか確かにこうややこしくはあるよね。
今年もっていう言葉が年度を指しているのか本間の1年を指しているのかわからん時もあるしね。
そうね年度って言わないとわからなかったりするもんね。 そうそうそう年度なんかねほらなんか決算時期とかで言ったら会社によってちゃうやん。
ああそうね。 そうそういうのもややこしい。日本式と海外式みたいなんでうちはこうでみたいなところがあってますますよわからんようになってくるなっていうふうに
思うんでねもう統一した方がいいんちゃうかなと。 はい。 まあ僕はね相変わらず1年長く感じてますけどね。
なんかもうそろそろ春やぞみたいなことをみんな言うけど僕の中ではもう割とゴー トゥーサマーなんだ感じなんで今も。
前も言ってたよなそれ。 だいたいこの話するタイミング時僕の感覚ではもうそろそろ夏かなくてぐらいの感覚で遅いぞって思ってるっていう。
スマートフォンの買い替え
でもなんか今日東京夏日だったらしいよ。 うん25度超えてましたからね。 びっくりした。 25度っていうのを超えると夏日になるんですか。
はいそうです。 まあでもほら25度の夏日もそうやけどこれ昔で言うとこの夏日でしょ。
そうねなんかもう25度って言ったら夏じゃないよね。35度ぐらいだもんな夏って今な。 25度ってさあ過ごしやすいよね。
そうね意外とね。 ちょうどいい感じになってきたかなっていう気候もね。
思いながら皆さんいかがお過ごしでしょうか言うてやってますけれども。 特に話すことないんです雑談で。
それよく考えたら年度末っていう切り替えよりもさ 今回256回なんだよな。
あ!変わられてしまった。 ついに8ビットオーバーフローしましたよ。
そっちの方がなんか切れ目が感じるけどな。 われわれはね。 われわれ的には。
でもダメですよそういうのをなんかもうよく分かれへん人に言ったりとかするとこういうのは。 このあれで言うよりは別にいいでしょ。
確かにね確かにね。心の中ではいいかな。 ということでお便りが来ております。お願いします。
はい5年弱ぶりにスマホを買えました。 前回はIDパスワードだけでアプリの引き継ぎができたのに今回は多様素認証が多かったです。
だんだんと良い方向に向かっていると実感しました。 ちとめんどくさいと感じたのも事実ですがというお便りが来ております。
なんか毎年買い替えてる俺が申し訳ないな。 確かに5年弱。僕も結構長いなまだ。
でも5年ぐらいは最近のスマホって全然使えるよね。 まあなんかいろんなスマホとかも見てるとアップデートに関しては5年6年保証しますとか書いてるの多いですよね。
そうだね最新のOSとかもそれぐらいまで対応してるもんね。 僕もパソコンとかもだいたい5年ぐらい区切りにしてるかな。
原価消却が4年とか5年とかまあねだいたいそんなもんだし機能的にもそれぐらい全然持つもんね。
僕今使ってるスマホは2021年に発売して発売と同時に買ったんですけどまだ全然 使えるもんな。そうだよね。
ただねあの毎年乗り換えてる僕から言わせてもらうと良いことがあってですね。 買い替えするとってこと?
そう毎年買い替えると毎年毎年データの移行とかさ アカウントの引き継ぎとかやるわけじゃん。もう慣れましたね。
いつ起きても大丈夫っていうか。 どういうこと?いつでも買い替えても大丈夫ってこと?
買い替えられるし仮に例えば故障とかしてトラブルが起きてさ なんかやらなきゃいけないって時ももう全然大丈夫だって。
あー忘れてないから? そうそう今のアレゼンの方も5年ぶりに乗り換えるってなったら結構手続きとかも変わってるって今言ってたじゃない?
確かに確かに。 毎年やってるとそれがどんどんアップデートされるからもう全然大丈夫。
それでも毎年やるためにはもう10万20万いるわけでしょ? 安い端末でもいいんだけどさ別にそれは。
結構だからそういうふうにはある程度強制的にっていうか頻繁にそういうことを自分でやっておくと
訓練じゃないけどさそういうのになるよ。 冗談じゃなくそれは真面目にそう思ってるよ結構。
確かにめんどくささとかもなくなるんかな?その間空いてるとちょっとこれどうやっけあやて不安な気持ちが一番ハードルになったりするじゃないですか。
あとなんかほらあのどのアプリはちょっと手続きが違うとかこれをサービスはちょっと違うとかさこれがネックになるとかっていうのが結構わかってくるから
それはねまあ慣れると悪いことはないよねまあ別にあの高い端末を買う必要ないんだけどさ。
別に iphone じゃなくてもいいんだけどもということですよね。
確かに何事もなんかこう短いサイクルでやるっていうのはお金のことはさておき大事は大事ですよね慣れとくっていうのはね。
年に1回やっておくとね結構いいよ。
キーボードのこだわり
次のお便りなんですけれどもこれmona2ってものかな。
mona2が欲しくてたまらない今日この頃お三方はどんなキーボードを使われているのでしょうかという質問のお便りですかね。
そういう何キーボードの名前があんの知らないわ。ハッピーハッキングキーボードブラシは知らないんだけど。
僕名前読み方はちゃんとmona2であったのかとか知らないですけど見たことあるのは両手にこう分かれるキーボードあるでしょ2つに。
分かれてなおかつトラックボールがついてるんですよ確か。
最近じゃなくて結構前からだけどほら自作キーボードにハマる人とかっていらっしゃるじゃない。
いますいますいます。
キートップから何からあとその何押すのも機械式だのなんとか設定式だのなんかいろいろあるしさ。
好みに全部合わせてさ作るっていうのはまあなんかそれはそれで面白そうではあるよね。
そういうキットもありますよねなんかこことここは好きに変えれるみたいなね。
あれはなんかちょっと惹かれるものあるよねなんか作ってみたいなとか。
あと健康的にもその分割してる方が肩とかね腕とかあんまり無理がかからないからいいっていうしね。
お二人はどうですかキーボードは。
いや僕はあのアップル純正キーボードしか使えない人なんで。
なんかあれですよねネギスのあのアップル純正のキーボード以外で入力しようとすると指が荒れてくるっていう。
そうなのちょっとねあの複雑反応が起きちゃって。
本当ですかそれ大丈夫ですか。
そうなんですよちょっとヤバいんで自宅でも仕事場でも基本的に全部アップル純正のキーボードしか触らないんだけど。
それはあれですかあのMacBookのそのキーボードあるじゃないですかラプトップのね。
それ以外の家で触る時とかは何かワイヤレスのアップルのキーボードとか使って貼るんですか。
そうそうクラムシェルで使ってるから。
クラムシェルしてんねや。
家とか会社で使う時は大きいディスプレイでクラムシェルで使ってるんで。
その時には外付けのワイヤレスのキーボードとトラックパッドを使ってやってます。
かんごさんは?
私そこまでこだわりないんですけどロジクールのMXシリーズっていうんですかね。
なんかちょっとキータッチは多分薄めっていうかそんなに深く打鍵する感じではないんですけどそれはずっと使ってますね単純に。
それは使いやすいの?
使いやすいのと今はそうでもないんですけど複数の端末を同時操作できるっていうところもあったのと。
あとキーボードじゃないんですけどマウスもMXシリーズ使っててMXマスターってやつですけどこれホイールがめっちゃ頑丈なんでちょっとエアソフトじゃ壊れないんでなのでめちゃめちゃ愛用してるっていう。
かんごさんは割と酷使するタイプなのか。
ホイールがすぐ壊れるんでMXシリーズはかなり壊れにくいかなと個人的には。
こだわりが。
ですかね。
ついさんは?
僕はもう今使ってるラップトップのキーボード。
純正のっていうか。
家1台Macあるからそれはワイヤレスのマジックキーボードって言うんでしたっけこれ。
純正のやつね。
これをめちゃくちゃ10年くらい前に買ったやつですよこれ。
すごいね。
昔だから本当2014年とか3年とかに買ったやつ。
いまだに使ってる。
でもあれかキーボードはそんなに壊れないっちゃ壊れないかもな。
確かにそうですね。
あとはもともと昔家にデスクトップPCみたいなのがあった時にはハッピーハッキングでしたね。
あのモサッとした感じの入力感が好きでしたね。
あと静か。
その辺であるよねカタカタ音がなる系とかすごい静音設計のやつとか。
ありますね。
押す力の強さ具の具合とかやっぱりこだわりみんなそれぞれ。
こだわらなくても多分人によって合う合わないってあるよねきっとね。
そうですね。
僕はメカニカルがちょっと苦手なんです。
カチャカチャカチャカチャカチャ。
そうなんだ。
カチャカチャカチャカチャカチャになるみたいな。
そうそうできるだけまあラップトップの キーボードって静かな奴多いじゃないですか
まあそうだねだから結構だいたいまあ このだけめっちゃ嫌やなぁみたいなのあん
まりないかな そんな感じですねはいありがとうございます
で8情報処理安全確保支援しのオンライン 講習終わったそして初めての登録更新の
申請完了ってことはセキュリティーの あれの podcast を聞き始めて4年以上になるの
かしみじみという 4年のアレ勢はもうこれは子さんと言えるんですかね
子さんですね 最初に登録した時ぐらいにこれを聞き
始めたってことなのかなわかんないなぁそう かなそうかなその近辺なんでしょうね
ありがとうございます4年程で何かこれ podcast 自体は 問題は長いことやってますけど間
開けつつとかもやりながらやったら4年っていう タイじゃないそのリモートで収録し
オープニングと感謝の気持ち
始めたぐらいからとかっていう感じなのか そっかそっかそっか今の形になったぐらい
ってことかそうそう4年てすごいぞ4年も 聞いてくれてるって嬉しないですか
じゃあ嬉しいめちゃくちゃ嬉しいよねー ありがたいのに
なかなか途中で心折れずにね聞いて いただいて嬉しいなと思いますねこれから
もね聞いてくださいはい最後のお便り なんですが255回セキュリティーのあれ
聞きましたクリックフィックスこんな バレバレ操作する人おらんやろうと思って
ましたがそれなら流行るわけはなく知識 ない人の感覚を忘れているんだなぁと
反省その観点に気がつける感性を持てる 専門家大事だなと痛感ということと加えて
今回の回数に合わせてですねオンライン なのにゼロ ff と書いてオフ会次回256
の切り番ですねというお便りが来ております もう
うまいのかうまいうまくなるかわかんない けどでもこれは採用します
もうタイトル決まりましたこれです オンラインなのにオフ会スペシャル
いうでね タイトル採用させていただこうかなと
思いますねはいでクリックフィックスの ことですけどもねこれは確かにまさにそう
これかごさんが喋ったやつですよねそうですね 僕ら反射的に思うもんねなんかこんな
クラウドフレアの調査
ひっかかるのかって一瞬思っちゃうもんね まあねどうしてもねそうそうだからがいろんな
こう x だとかテレビとかメディアで 流れているようなニュースとか見てね被害者
の方の話とか聞かないといけないなって僕も つねづね思うんですよね
これも逆もあるなぁと思って逆逆っていう のかななんかこの引っかかるのが温度か
だけじゃなくてこういう対策すればいいねん っていうのもそういう人たちの気持ち
忘れたらあかんなって思うんですよ 結局なんかまたお金かかるまためんどくさい
みたいなことを僕らはも対策として挙げざる を得ない時もあるじゃないですかそうね
はいそうだからか接注案だか100%じゃない けどなんかこう
ここぐらいまではみたいなものとかっていう それこそ小築売じゃないですけどそういう
のをいくつかこう段階を上げてメリット デメリットみたいなもので選択させてあげる
っていう風な方がなんか0-100に落ち着か へんくてええんかなぁとかって思ったりは
しますけどねそうね本当はだったらね 初心者向けにはこれぐらいまでとかね中級者
上級者はもう少しやってみようとかなんか そういうレベル感は欲しいところだよね
どうしてもねなんかこう漏れがあったら いかんってどうしても思ってまうじゃない
ですか我々対策はそこちょっと気をつけて いってこうなんかちょうどいいところ
みたいなのをやっぱり一緒に探していくの も我々の立場としてやらなかったことなん
かなぁなって思ったりしますねそうですね はいありがとうございますございますはい
ということでですね お便りを呼んだ方にはステッカーの印刷コードを
差し上げます ステッカーの種類5種類あるんで5種類揃ったら
dm で僕に揃ったぞと写真を送っていただけ れば6つ目のシークレットの印刷コードを
送りしますのでどしどしお便りいただければ と思いますはい持ちしてますはいじゃあ
今日もセキュリティーのお話をしていこう かなと思うんですけども今日はネギさんから
いきましょう多い今週クラウドフレアの ブログでちょっとあのまあ興味深いその
パスワードの利用についての調査結果が 報告されてたのでその内容を紹介したいな
と思うんですけどクラウドフレアってその まあこれはフの機能のの一つなのかな
8リークとクレデンシャルディテクション っていう
まあ機能があって何かっていうとそのクラウド フレアのバフを使っているサイトで
http のリクエストの中に id とか パスワードとかまあいわゆるログインの
リクエストっていうのがあるじゃないですか でこのリクエストを検知したときにその
リクエストの中に含まれているパスワード なんかが過去に漏えいしたものが使わ
れてないかどうかっていうのをチェックする っていうなんか便利なサービスがあるん
だよね でこのポッドキャスト聞いてる人は
分かったと思うけども過去にいろんなサイト から漏えいしたパスワード情報とかその
パスワードのハッシュとかっていうのが あっちこっちに公開されたりとか売られ
たりとか するしあとまあハブアイピンポーノ
みたいな有名なサービスでねそういうの チェックしたとかはいまぁできるっていう
のもあるんでなんかクラウドフレアも 独自に今なんかハブアイピンポーノのデータ
も含んでるって書いてあったけど独自で なんか150億件近くのなんかデータを持って
いるらしくて そのパスワードとまあ発注を比較して
今そのログインしてきたそのログイン リクエストの中のパスワードが漏えい
しているかどうかっていうのはチェックする っていうのをサービスとして提供して
ますと なんでこのままサービスを使っているその
まあクラウドフレアを使っているサイトの オーナーはこれによって例えばその
自分のそのサイトのユーザーが漏えいした パスワードを使ってるかどうかとかっていう
のを確認できるし その場合には例えばそのユーザーに
こう警告をするなり ないしは例えばパスワードを強制
リセットするなりっていうことがまあその サイトのオーナーがができますっていう
まあそういう機能だからここはユーザー向け じゃなくてオーナー向けサイトのオーナー
向けの機能ってことなんだけど でこれを使ってそのクラウドフレアーが
そのこのサービスを使っている人たちの データをモラ的に調査をしてみてどの
ぐらいそのリークされたものが使われて いるかどうかっていうのを調べてみましたと
まあこういうものなのねで対象になっている データっていうのはその無料プラン
クラウドフレアの無料プランを使っている 人で去年の9月から11月までのまあ3
ヶ月からのデータをちょっと収集してみ ましたと
で結果がまあなんか予想通りというか まあちょっとびっくりというかなんだけど
実際にこの3ヶ月間にそのログインに 成功した
リクエストでまぁこれリクエストてその 人間以外ボットが生成するものもあるから
ちょっとボットは一旦除いてはいまあ 明らかに人間だろうとそのボットの検知に
引っかからなかった人間のリクエストで ログインに成功したもの成功したリクエスト
のうちその3ヶ月間のリクエストのうち 全体で41%が
実は漏洩したパスワードの検知に引っかかっ たと
いうことでものすごい一数だよねー 全体のまあ半分ともらいかないけど40%
41%が漏洩したものをだから使っています と
つまりこれはこの人たちはそのまま自分の パスワード他のサイトで使ってるパスワード
が漏洩したってことを知らないで 他のサイトでも使い回して使っているか
知ってるけども そんな大丈夫でしょって高く食って
他のサイトのパスワードを変えていないか わかんないけどまだが使い回しているユーザー
が全体のリクエストまあ何人というわけ じゃないぞ人数の割合でないから全部の
リクエスト中の割合だから まあわかんないけどまぁでも4割近くと
まあそれもまあまあな数字ですよねいや 非常に大きな数字でインパクトの数字だ
よね で今その人間のリクエストに限った
けれどもじゃあこれをボットとかも含めて 集計するとどうなるかっていうと
ボットも人間も含めてあとまあこれその ログインに成功したかどうかってことは
関係なく全部のこの期間中の http のリクエストを調べてみると
全体のおよそ52%が漏洩したパスワードに よるリクエストだと
なんでまぁ半分近くはだからもう漏洩した ものを使っているということなんだよね
でしかもボットを含めているんで 実際たどのぐらいがボットによるアクセス
かっていうとその漏洩したパスワード今 そこ行った52%って言ったうちの95%は
ボットによるものだなってほぼほぼ ボットやそうだからおそらくだけどこの
ボットってやつだから他のサイトから 漏洩したパスワードをリストに持っていて
まあそれを使ってまあいわゆるそのリスト 型攻撃って言えばいいのかな
英語だとクレデンシャルスタッフィング って言うけどこれを試みているボットに
よるまあ不正アクセスなんでしょうねと これがかなりを占めて今クラウドフレアの
このサイトに限った調査だけどまぁでも クラウドフレアで結構ね世界的にもシェア
大きいから まあ全体の傾向的にもまぁこんな感じ
なのかなあっていうあごせ1個1個があの戻っ ちゃうかもしれんこれログイン成功して
ワードプレスのセキュリティ
いるボットのことですよねいやえっと最初の 人間のリクエストはログインに成功した
リクエストのうち 41%がそうでしたとで今2番目に行った
やつはボットも人間は含めた奴はログイン 成功か失敗関係なく全部含めてログイン
リクエスト全部ってことわかりましたよ 回数だからまあ失敗も入ってると思うけど
だから漏えいしたものを使ってできるかな っていうふうに試しているってことだよ
ねうんでそのうちの95%がボットによる ものですとこういった機械的なとツールを
使った リスト型アタックっていうかこういった漏えい
したパソードを使った攻撃っていうのは まあかなり広まってるんだなーっていうこと
だよね そういうツールもね結構売られたりとか
するしねそうですねパスワードとセット になっててさあここにアクセスできますよ
みたいなやつと結構あるからまあそういう ものを使った攻撃なんだろうね
でねあとば加えてまあこれだけでも結構 あの衝撃なんだけど
例えばワードプレッサーとかグルーパルだ とかよくある cms とかを使ったサイトって
のも結構多いと思うんだけど こういうのもターゲットになりやすくて
で例としてワードプレスの例が乗って いるんだけど
ワードプレスのサイトに限って言うと 漏えいしたパスワードを使ってログイン
に成功したってものが76%とかなんだけど そのうち
約半数52%が正当なユーザーによるもので 立つまでかパスワードを使い回している
人ってことで 残りの48%はボットによるログインが
成功しちゃってるんだって あかんのちゃうそうだから僕だが
不正アクセス成功しちゃってる0点はすごい 多いってことはまあワードプレスの不正
アクセス成功ボット率が半分ぐらいって ことをそうワードプレスいい限りばね
じゃあちょっとこれはすごいびっくりだ データっていうか
まあワードプレスは狙われやすいってのは まあ確かにそうだけど多いからね
そうそうまあそれにしてもちょっと 成功率のボットの占める割合が高すぎる
なっていう感じがする このローエスタパスワードを使っているのが
成功率が76%もこれもちょっと高すぎるんだ けど
半分人間で半分ボットだとしてもさ 人間もちょっと多すぎだろっていう感じで
まだこういうデータ見るとちょっとその 数字的には衝撃的だけどまぁとはいえその
いろんなユーザーへのアンケート結果的な やつだとさ
まぁだいたいその半分ぐらいの人は使い 回してるだろう
パスワード管理の重要性
あと前にツイさんが紹介してたやつだっけ そのトレンドマイクロさんとかがアンケート
の結果とかヒアリングベースのやつそうそう 前に公開したやつもあれもその1種類から
6種類ぐらいまでのパスワードとか使ってる とかまで入れると確か8割ぐらいあったと
思うんだけど856%かな そうだよねだからやっぱりかなりの割合の人が
そういったものを自分のパスワードを 少ないパスワードを使い回してて
で漏えいしていても気づいてないか気づいて も変えてないかで
非常に割合が高いという使い回しの というまぁ実態があのまあ結構それ
アンケートベースのものはこれまでもあった けどこういうその実際のログインの
リクエストペースの観測結果っていうのは そんなに見たことないんで見たことない
ですね まあこれはこれでちょっと衝撃的だなぁ
と思いましてちょっと紹介してみたんです けども
いやちょっと感覚を改めなあかんなぁちょっと 思いましたからそうだよね
なんかこういろんなウェブサービスと言われる ような買い物とか
記事読むとかまあいろんなあるじゃないですか でもワードプレスってちょっとやっぱ
ケイロちゃうと思ってたって思ってたんですよ 僕はだからなんか他にパスワードを使い
回しててもワードプレスには使い回せへん かなあっていう感覚が僕にちょっとあって
だって自分のブログだわけでしょブログ というかはウェブサイトとかでもワード
プレス使っていろいろ顧客向けのサービスを 提供してるとかあるあるあるまあそういう
のもあるからユーザー向けでもそういうの を使っているユーザーが使い回してるって
ことだと思うんだけどどうなのこれその 自分でなんかそういうのは始めようって
思ってワードプレスと思ってて使わない ワードプレスを知らずに使ってるとビル
じゃないですか ポチポチでできちゃうみたいなねあまり
意識せず使ってる人もいるかもしれないね そういうのだと延長で使ってパスワード
使い回してしまうってことがあんのか まあだから猫特定のそのサービスとか
サイトとかまあその cms とかに限った 話かもしれないけども
までも最初の方の話はまあクラウドフレア のまあ全般的なサイトでの話で
世界的な利用のされ具合を見るとばクラウド フレアっていろんなそれこそカテゴリー
のサービスで使われているから まあそう考えたりとあらゆるサイトで
こういう使い回しが横行してるというか まあなくなってないっていうのが改めて
わかったよねこれでねいやちょっとあの ワードプレス
とかだと乗っ取られた時の影響も結構 大きいじゃないですか
その人に迷惑をかけるっていう意味での sns とかだとなりすましでね
話しかけたりとかするのに使われるでしょ さらなる詐欺を働くとか例えば
ワードプレスはねなんかフィッシング サイトを置かれたりとかさそういう後
悪いといわゆる悪いものをホストされる っていうのがあってさらなる攻撃に
悪用されやすいからなんか僕その sns とか金銭絡みのやつは優先的にパスワード
使い回し止めるように変えたほうがいいです よねみたいな話をするんですけど重要
なものとそうで悩むのって分けて考えた方 があるよね自分にインパクトが大きめな
ものと他人に迷惑をかけちゃうかもしれない ものに絞ってたんですけど
ちょっとこのブログとかっていうのも入れよう かなと思いましたね
いやいやちょっと驚きの数字ですで結構 その使い回しはダメってまぁこのアレを
聞いてる人はさぁ 今更っていう感じだと思うんだけど
まあみんなにはたまんないと思うんだけど またらねみんなの周りにいる人とか
まあだから一般のユーザーではまあまだ まだこういう使い回しがね応募して応募
してるというかなくなってない現状っていう のをちょっと再認識させられたなーっていう
かそうもうちょっとなんとかねんまぁ これはこの状況はだからパスワードがなく
ならない限りなくなんないのかなーっていう の中で前も話した気がするけど
ちょっとね状況を改善するなんかいい 手当てというか見込みが
なんかないよねこれはそうですねワード プレスに限って言うとワードプレスはじめ
からに要素をつけてくれたらいいと思います けどねそうそうだここでもそのワード
プレスに限らずそのに要素はできるだけ 使おうとか
そういう対策はもちろんあるはあるけど 結局それが浸透してないってことだよね
だからね
まあそのあたりはなかなかねそのユーザー 側だけじゃない課題とかもあるし
まあユーザーももちろんねその自分の ことだから使い回せずにやれよっていうのは
まあそれはそうなんだけど そうできないとかそうしない人たちに
対してどう守ればいいかっていうのはまあ サイトを提供する側のね責任できることも
あるだろうからまあそういうある意味その もうこれから多要素必須にしますとか
内緒はもうパスキー必須にしますとかね そういうふうにしていくっていうのは
サイトサービスを提供する側に求められる ことかもしれないね
そうですねなんか使い回せると多いですよ なんていうふうなものはさっき僕がね
過去にも紹介したトレンドマイクロが毎 年実施してきてた奴が2014年ぐらいから
ずーっと出してきてるけどやっぱり数字 変わらないじゃないですかそうだよね
なんか自分ごととして思えてないというの があるのかなっていうの意味だとやっぱり
この流出漏洩しているパスワードなんだよ ってことをきちんと認識する術があんまり
浸透してないというのもあるんやろうなと 思うんですよねそうねまあでも今さ
結構そのまあクラウドフレアに限らず google もやってるし
あとはファイアフォックスもとかさその ブラウザーベースのものとかは結構そう
いう漏洩したらパスワードをチェックして 教えてくれるやつがあったりとか
まあだが身近なところでだいぶそういう サービス出てるんだけどね
そうですねパスワード管理ソフトとか使っ てるとそういう警告も出してくれるしあと
アンチウイルスとかについてくるような ものとかでもねそういうのを教えてくれたり
するけどまあ割と身近になってるとは思うん だけどまあまだ足りてないんだろうな
たぶん僕使ってないかわからないです けどあのパソコンでじゃなくてスマホで
そういうのが出てこなかったのかな そうねースマホベースで誰もが使えるよう
なものにまだまだまだなってないって ことなのかなまあパスワードマネージャー
もねパスワードマネージャー使ってる ぐらいだったらまああんまりそれあっても
なくても関係ないかもしれないそうなんですよ 使ってるとはそもそもリテラシーとか
やってる内容もしっかり知るでしょっていう ねそうなんだよね
まあその辺がなんかちょっとね難しいよね そうですねまあこの感覚さっきね今日の
読み上げたお便りにもあったけどね知識 ない人の感覚を忘れているとかねこういう
観点に気づける感性を持てるっていうふう なのを改めてこれでも教えてもらった気が
しますそうねはいはいありがとうございます じゃあ次は僕にしますはいお願いしますはい
ブラックバスターの内部情報
はい今日僕が紹介するのはランサムギャング にブラックバスターっていうギャングが
ずいぶん前からいますけれどもここから ですねこのグループこのギャングたちの
チャットログがリークしたというお話が 先月かなありましてそうだね少し前に
ちょっと話題になったよね2月11日だか なんだかだと思うんですけれどもあって
その内容をちょっと分析しましたよみたい なものがいくつか出てきてるんです
けれどもこれさなんだろうねその前もさ ランサムギャングのさコンティだっけ
なんかリークが出たりとかさコンティ はマニュアルまでリークされてました
よねなんかこういうちょいちょい内部の 情報ってなんか出てくるよね外にね
なんかこういうのって昔からじゃないですか あの本当にこう開庫開庫的な感じである
かもしれないですけどあのアノニマスも よくチャットの漏洩とかあったでしょ
あったあっただからこういう年中その 内紛があってとかさ
まだか中の人がリークしたりするんだよね こういうのねそうそうそうやっぱりなんか
犯罪っていうのは人数が増えれば増える ほど失敗確率が上がるなんて言ったり
しますけどこういうことが起きてしまう んですよねやっぱりね面白いよねちょっと
ねこういうのねそうでこのチャットログ っていうのが2023年の9月の18日から
2024年の9月の28日でまぁ約1年分ぐらい ですかねうん
であのネギさんが前に紹介したマトリックス ってあったじゃないですかメッセージング
のプラットフォームのこのやつでロシア語の チャットだったそうですね
であのエクスプロイトウィスパーズって 頼っている人物なのかグループなのか
わかりませんがからリークがされたと でもこのちょっとログからわかるもの
っていうのはいろいろまあ結構なログなん でわかるものがいっぱいあるんです
けれども2023年の末までにブラックバスター は90以上の被害者から1億700万ドル
だから日本円すると160億以上かな すごい威嚇だよねいやもうパッと
わからないですよねその160億って 今のハブアイビーンポウンドに
登録されてるアカウント数が多いです からねちょっとそれも床がない何と
比べてんのかよくわからないですけど 企画がおかしくでそれそれが何がすごい
のかもピントコン数字の上げ方っていう ねそうそうそういう身の白金これぐらい
ゲットしましたよだとかあとなんか 内輪も目が発生してるっぽいぞとかね
そういう風なものがいろいろ書いてあって ブラックバスターで1月11日を最後に
リークもしてなくて2月の末ぐらいから もうサイトもつながんないですよリーク
サイトがいろいろあこういうリークの 内容も受けてるかもしれないですけどね
そろそろやばいと思ったのかグタグタが あったかもしれないねそうそうそうそう
結構なんかねあのブラックバスターで 言うとここでも紹介したやつやったら
のあのキューボットとかダークゲート とかを僕しか言ってないでお馴染み
先行マルウェアとして使ってたみたいな 話をしたじゃないですか前あったね
そうそうそのキューボットのインフラ 持ってるやつがなんかこうわちゃわちゃ
言い始めたみたいなことを書いている レポートもあったんですけどまあそういう
内紛みたいなものが起きているいうふうな ことで今回はその分析したっていう
脆弱性の分析
ふうなものを2つ紹介しようかなと思うんですが 1つ目は脆弱性に関するチャット
ログを分析したバルンチェックの分析 結果なんですけどどんなものかというと
このチャットの中で言及されていた 脆弱性の数が62個あってですね
でそのうち53個なので85.5%ですねこれは バルンチェックが出している独自のあの
バルンチェック kev ってあるじゃないですか あれに悪用されてるっていう風になって
いるものだったそうですあの言及されスター ってのはつまり
そのブラックバスターのチャットの中で 攻撃者同士がこれは攻撃に使えるんじゃ
ねとかそうそうそうそうエクスプロイト これやぞとかねねそういう話を今度これ
使ってみようぜとかわかんないけどそういう 話をしてたってことだよねそうそう
あとはまあなんかまだ悪用されてたり とか攻撃コードがなくてもこれちょっと
いけそうなんちゃうかとかそういう議論の テーブルに上がってた脆弱性ってこと
ですよねそうだね であと44個70.9%は cisa の kev に
掲載されている脆弱性だったと まあ言及だけなんでねここはね
でその62個のうちこれも現在で比較して だと思うけど55個の脆弱性については
エクスプロイトや poc が公開されている というような
ものですねなんで85パー以上867パー ぐらいかな
でチャットではですねそのセキュリティ アドバイザリーが公表されてからまあ
いわゆる n ですよねこういっても n でもゼロでも含むのか公表されてから
数日以内にこういう議論がのテーブルに 出たそうですこの脆弱性が
まあ結構早いスピード感ですよねで 3つの脆弱性については cve が発行前
アドバイザーに出てるけど cve まだ ちょっと遅れてて振られてないとかも
あるじゃないですかそういったものに ついても言及されていたそうですね
であとはね2022年の古い脆弱性についても まだ使えるぞみたいな感じで言及された
そうです なるほどオールドバッドノット
攻撃手法の考察
フォーゴットンってあの古いが忘れられて ないでこの脆弱性みたいな感じでこういう
ところにも言及がされてたというような ことが書かれてありましたね
で今悪用どんだけされててどういう ところに登録されてたでみたいな話が
あったんですけど悪用をされているっていう ふうなも確認がされてねなくてなおかつ
cia 生の kev に掲載されてないものに ついても言及がされていてですね
例えば cve の202421378っていうあの マイクロソフトのアウトルックの rc の
脆弱性なんですけどこれに関しては検証 環境で動作したことを確認したっていう
ふうなチャットがあってこれはの poc は 出てるんですけど kev には載ってない
っていうやつがあったと なるほどだこいやつはだから実際に
使われてたかもしれないし 使われずに検証だけしたのかもしれない
けどということだね そうこういうのがにいくつか列挙されている
でも違うどんながあったかって全部見 たい方はバルンチェックのあのレポート
見ればいいと思うんですけど あともう一つね cve の202336394っていう
これ windows サーチの特権召喚の 脆弱性でもいわゆるローカルの
脆弱性なんですけどこれについては あのポックとかはあの基地のエクスプロイト
ポックはないんですけどエクスプロイト の購入を検討しているっていうふうな
感じのチャットがあったんですね なるほどねまあやっぱりこういうのが
勝手にやろうなぁとかってまあ自分 でしたし調べてるが勝手にやろうなぁ
みたいな話をしてきましたよまあこういう ことは当たり前のように会話されてるん
やなっていうようなものが明らかになった ってことですねまあそういうのをちゃんと
流通しているところに行けば購入できる っていうことだよねそうですね結構
積極的にブラックバスターこういうのの 脆弱性あったら買いますみたいなことの
アナウンスもしてたことがあるんで なるほど
そうそうまあこういうことを積極的に やってたグループなんだなってことが
わかったってことですね あとは脆弱性関係以外の言及で言うと
こういうとですね特定のケースなんです けどそのは特定のケースって特定の
被害者ですね接種したデータを強豪他社 とか組織に売却するしようかみたいな議論
もされてたとなるほどまあこれは盗んだ 内容によるのかもしれないですね知的
財産とかそういう魅力的なデータだったら まあ身の白金をせしめられへんかったら
お金に変える風にはどうするかみたいな 議論はされててもおかしくないかなとは
思いますね なんか場合もね別のところでさあ
身の白金の要求に応じない場合にその顧客 に対して連絡を取るだろうまあなんか
いろんな高校とやってくる攻撃者グループ っているもんねこういう時ってね
2階関係者に連絡するパターンそうそうそう なんかあったよね前ねあのなんか
学校のやつとかもありますよねその親御さん に連絡するみたいなやつでそうやって
プレッシャーかけるみたいなそうそうそうそう まあなんか思いつくようなことはやっと
なっていうふうなことですよねやっぱりね そうだねはいまあ脆弱性に関しては
これでであともう1個ツールというか プラットフォームに関して言及している
レポートもありまして エクレクティック iq っていうところも
ここ初めて知ったんですけどここがチャット の分析をして
自分たちはよは未知のですねブルートフォース フレームワークっていくかも記事が書いて
あったんですけど ブルーキッドっていうここの会社が勝手に名付けてるんです
がこういうあの有効なアカウントとかを 狙うような
ブルートフォースの総あたりとか辞書とか いろんなあのテクニックを使ってパスワード
を突破するっていうプラットフォーム独自に ブラックバスが持ってたという
でまぁのソースコード分析とかもこのレポート ではされてるんですけれどもまあその
組織のネットワークとかよく使われていわゆる エッジデバイスのファイヤーウォール
とか vpn みたいなものに対して自動で スキャンして
クレデンシャルスタッフィングなんかも 行っちゃうっていうような機能を持ってる
ものだったそうですね でまぁ期待かとか再利用されても使い回しの認証情報の
悪用を効率化するようなもので 証明書の情報から文字列を取ってきてその
パスワードを生成するとかっていう機能も 持ってて使ってそうなもの
頭に組織名付けて後ろ数字に変えるとかって まぁ診断とかでもしながらペネトレとかで
やるんかな 僕はやってましたけど人間がこうつけ
ちゃいそうなパスワードのパターンって ことだよねそういうのを生成するツール
っていうのを結構昔からあったじゃないですか そういうのも使っていてですねこれ
まああのレポートねカチッと書いて なかったんですがアフィリエイトとかにも
使わせたりとかしてたのかなというふうな 感じはしますよねそうかもねまあそれは
結構なんというかそのアフィリエイトに対する プラスになるっていうかさ
うちらとこういうツールも使えませんみたい なねいろいろリクルーティングという
か宣伝するときにねこれぐらいの割合で お金当たったこれぐらいいっぱいもらえ
ますよ他のラースよりっていうのもあれば d ロスのプラットフォーム貸し出します
とかねそういうのもあるんでその1個に あったのかもしれないですねね
機能としてはねなんかこうプロキシ ローテーションして身元隠すとかさっき
言った認証情報の生成はドメインとか 証明書の情報から作っていくとか
あとは結果のレポートを生成してその ログを c 2に報告するようなまあその
効率化を図ったような機能がたくさん ついているというふうなものですねあと
ターゲットごとにコカスタムした環境変数 とかあのエッジデバイスごとにこう設定
情報が変わっているような行動が結構 書かれてあって結構カスタムされている
っていう最初見た時には別に既存のもの ではいけんちゃうとか思ったけど使い
がってのいいようにこのターゲットには これみたいな vpn 機器にはこれみたいな
環境変数を設定したりとかしているので かなり使い勝手がいいんじゃないかない
かなと思いましたねこういうのって 自分たちでコツコツ作るんかねぇ
そうなのかなぁなんかどっ だそういうのが得意な人がいたりとか
そういうのを外注してるかもしれないです けどねそうそうそうなんかそういうような
なんか開発の中エコーシステムというか 業務の分担というかさぁ委託っていうか
わかんないけどなんかあんのかなぁそういう 仕組みがなぁ
まあ多分買って済むんだったらね150 160億円以上で稼いでるわけですがこれぐらい
どうってことないんでしょうけどね外に出し てもまあそれは全然ペイするよね効率が
全然違うもんねこういう自動化された ツールがあればね結構考えられていると
いうかねなんかこう 使い回しているものだけとかじゃなくて
その使ってそうなパスワード生成とかっていう ふうなものもあって結構なんかやる気を
感じるというかね使われる場面は違うけど さあ
さっきのそのクラウドフレアのところでも 言ったけどその
bot による自動的なこういうアタックが 多いっていうのさ
この手のタイプのツールがだから使われて いるんだろうねきっとねそうでしょう
防御の重要性
これランサムだけに使われているとは 限らないです前単にね自分のバイトとか
でを使っていると思ったかもしれないですね まあそうだね
まあやっぱりこうさっきのネギさんの話 じゃないですよ使い回せたりとかも含む
有効なアカウントっていうのはいつも狙わ れるでって言われるのはこういうのが
なくならへんからやなぁっていうのはね 改めて今度見ると思いますよねこういう
自動化された効率化されたツール手段が あればさ
まあかなり大規模に行こうネットワークを スキャンして
侵入できるとか探してとかっていうことを やれるから
まあこういうのがあるからその 大きな被害というかそのミノシロキンの
金額だとかにつながるんだろうなぁ いややっぱこう感覚で言うとなんかこう
ブルートフォースまあいろんなブルートフォース って順繰りに試すだけでなくてもっと
効率よくこれはやってますけど なんかやっぱ非効率に感じるんですよ
ね僕私が総当たりって聞くとねそうそう でも非効率って感じるけどこういう
プラットフォームを作って少し工夫している とそれなりの成果がやっぱり出せるん
やなっていうのはねこれもなんか考え 改めなあかんなっていう
思いましたねあとまあそのこの通路を 使って実際にどれぐらいの被害があったか
まあちょっとわかんないけどはいはい ただそのこれだけカスタマイズしたものを
作り込んでるっていうことはさあ 多分ツールが有効だからだと思うんだよね
きっとね で使っていくうちでこういう子だから
もっとこう作り込んでいこうって多分 なってるんだと思うんで
まあそういうことに対する防御っていうか うまくだから守る側ランサブウェアのその
被害を受けてしまう側がうまく対処でき てないってことが裏返しだよねこれはね
まだまだ強く言っていかなあかんことない なパスワードなっていうね
であの先に紹介した方のあのバルンチェック の方のレポートでねはい結局 kev 乗って
へんやつの原型はこれ実際の悪用サイト かまでかどうがわからないですけど僕は
紹介せず以外にもいくつかその言及さ れてたけどあの掲載されてへんみたいな
やつがいくつかレッグされてたんですよ それを見ていくとあの1個ずつちゃんと
ね poc ありとかっていうのを書いて くれてるんですけど poc ありやけど kev
サプライチェーン攻撃の背景
掲載なしみたいさっきの2つもそうなんです けど
あるんでちょっとなんか kev だけっていう 押し方っていうのは考え直さなあかんか
もなあっていうふうな気はしてきた あとまあこのバルンチェックのやつもさ
あのバルンチェック独自の kev って やつがあってこっちはあの csa の kev
でもカバレッジが広いんだよねだから そうなんですねそうそう数倍そうそうで
だから自分たちのサービスだから売り込ん でるわけで
kev csa の kev だけだと不安でしょう みたいなさ
とはいえやっぱりねそのそれはじゃあ ベースとしてはいいと思うんでまぁあれが
すべてと思わなければ いいとは思うんだけど
まあねこういう実際にそういうところに 乗っていないものでもまあ悪用している
かもしれないとかそのちゃんといろいろ 検証して調べてるとかっていう実態がね
実態のまあ全部じゃない人も一旦がわかった わけなんで
彼らも情報の収集もしてるし ね多分勉強もしてるしねいろいろ
自分たちで開発検証もしてるしっていう まあ当たり前だけど当たり前のことちゃんと
やってるんだなーって感じだよね まあそうですねまだ kev を押す時もやっぱ
こう kev だけじゃダメですよっていう のは一応言いつつこれは何かその一つの
踏み台として使うのはいいけどっていう 言い方をしっかりしていかなかんなっていう
のはね僕は情報発信する側としては 思いましたねまあそうねこれだけで安心
と思わせちゃったらまあちょっとは良く ないかもしれないけどねまずこれをやって
でまぁその余力で悪用されているっていう 情報とかあと攻撃コードの情報とかって
のを見れたらさらに理想的かなぐらいの 伝え方をしていこうかなと思いました
これを見るとランサムエアーの攻撃が 成功する理由がちょっとわかるよねいや
ほんまにそうですねこんだけだってちゃんと さあいろいろ調べてて検証をしててツール
も作っててさあ それは成功しないわけないよねこれ
ねいやそうなんですよ言い方悪いけど ちゃんとやってるなっていうですね本気
具合がこういうのを見た時にやっぱりこう 成功するグループはちゃんとやってる
よね
なんかこう回転休業状態とかではないん ですねチャットもねっていう対抗する
我々もそういうのが相手だということを やっぱりみんなに考えてやらなきゃいけ
ないよねそうですねそういうのを知った 上で伝えていくってことも大事かなと
攻撃のメカニズム
思いましたはいありがとうありがとう ございますじゃあ最後は看護さんで
お願いしまーすはい 今日はタクシーはあのギットハブ
アクションズっていうサービスで発生した サプライチェーン攻撃について取り上げ
たいなと思ってるんですけどもちょっと 今週大騒ぎになってますよね今週先週
ぐらいか日本語言っちゃうとあんまり見かけ ないような気がするんですけど海外だと
もうねめちゃくちゃ大騒ぎになってて 確かに rss 見ててもこればっかり出てくる
もん まあギタバクションズってあの
ギットハブ上で何て言うんですかねあの ci というかあの開発している時に
まあルーティン的にやりたいことを自動化 させるまあサービスって言うと伝わるの
かなまあワークフロー自動化するっていう ものをまあギターブ上で提供されてい
まして まあ実際のギットハブアクセスすると
アクションズっていうタブみたいなのがあって まあいろんな
ツールやサービスっていうのがまあそこで 提供されてるんですけどもその中の一つで
コンポーネントが侵害をされてしまったと で当然だからあのその
コンポーネントは多数のリポジトリから 参照されていてまあ2万3000という数も出
てましたけどもそういったところに影響が 及んだ可能性があったという話が
当初出ていたというところがあってですね まあ tg アクションズチェンジファイル
ファイルズっていうリポジトリでなんか ファイルの差分とかを取得できるものと
まあ汎用性が高い まあリポジトリとかコンポーネント
なのであの多くのリポジトリとかがまあ こちらを見ておられたんだろうなぁと
思うんですけども あのその後も
まあその話って結構流動的というかあの その後の調査というか状況結構変わって
きていて a この tj アクションチェンジ ファイル図がそもそもこれ何でやられたのか
っていう話について見ていくと別の コンポーネントが被害にあっていてでそこ
がきっかけというかそこをトリガーには tg アクションズの方に影響が及んでいたと
レビュードックアクションセットアップ っていう名前のコンポーネントなんです
けどもそちらが先に侵害をされていて それのまあ影響を受ける形でさっき言った
その tg アクションズの方にも影響が及んだ という形になっていたので
まあなんていうだろう多重サプライチェン というかそうだねうん
そういう事態になったというところでは ありまして攻撃自体は
今のところ把握されている範囲だと3月の 12とか13とかっていう日付が出てはいるん
ですけども tg アクションズチェンジファイル ずっても侵害されていたものっていう
のを仮に実行している場合は まあちょっと興味深いんですけどもあの
ログ上に機微となるような情報例えば api の アクセスキーであるとか
ws とかですねまあそういったシークレット キーであるとかそういったものを吐き出す
と なのであの攻撃者がそのパブリックに
公開されているログを参照すればそういう 情報を盗み取ることができる状態になって
しまう可能性があるっていうそういう 攻撃が行われていたというところでは
あってですねまぁ実際中のこれ cv が 裁判されてましてそうだねまあなんか
珍しいパターンだよねこういうのね csa からも注意喚起でしたもんねそう
なんですよこれはさっきね話題にもあった その経営部員にもあの300620253006っていう
のが割り当てられて悪用されているよって いうのがカタログに載っているっていう
ようなそういったものではあったんですか 結構な形で影響がもしかしたら及んでいた
可能性がまあ今のところなんかここで 盗まれたとみられてそこからまた
二次被害的に何か攻撃が及んでいたとか そういった話っていうのは公開されている
範囲においては 把握されたものっていうのはあって
て情報としては出てきてはいないんですが セキュリティ会社であの
まあちょっと別件ですごい話題になったと with っていう名前のセキュリティ会社
はいグーグルが買収されたということで 非常に話題になってましたけれどもその
with が公開実際今回の事案のサプライ チェーンの一連の点末とかを調査したその
結果であるとかあとパルアルトのユニット 42とかも公開されているんですけども
そちらなどが公開されている情報によれば 当初はコインベースの
まあ同じくリポジトリを狙ったすごい標的 を絞った攻撃で当初行われていた可能性
があるっていう形でまあ分析はされておら れてはいたんですがその攻撃自体も成功
したという状況に至ってはなかったので まあその後より大規模な形でまぁ今回の
ような形で広く影響のような攻撃に まあ攻撃者側のやり方っていうのが変わっ
たっていうような形での分析がされている となんかコインベースはうまく防いだ
みたいねなんかねですねかなり早く対応さ まあまあさすがだなというか前にそういう
で別の攻撃があった時でもコインベースは 非常に対応が早くて日本ではねあのあん
まり広く知られてないかもしれないけど 海外ではかなり著名な暗号スターの
取引所だったりまさまざまなサービスを 提供していてよくしょっちゅう狙われる
ところだからねあそこそうなんですよも 狙われ具合も半端ないというかあのこんな
攻撃だら普通はやられるだろうっていう ようなレベルでも防いでるとかその被害に
至らないという形にはなって対応しっかりを 頼られているところであるのでまぁ今回
もそうだねなのではい早々に対応を 捉えていたのでまぁ結果的にコインベース
のリポジトリーに対しては攻撃は成功 しなかったっていう状況ではあったん
ですけど その後あのより後半に攻撃を行う
っていう形でまぁ攻撃者側が方針を変えた っていう感じなのかな
これが何でなのかっていうところその動機に ついてはちょっといまいちわかってない
というところではあるんですけどこの目立つ ようなことっていうのをあえてしたっていう
ところ まずちょっと遠回り的な感じでログに
わざわざ吐き出してそれをまあ結果的に 攻撃者が盗み見るっていうような多分あの
出口になると思うんですがそういう手順を 取ったっていうところについては
これも何でなのかなっていうところはまぁ あのいまいちはっきりしないねっていう
ところはさっきのパラワーとのレポート なんかにも書かれてはいるというところ
ではあるのとあとちょっとあのレビュー トックの方についてはこれなんで改ざん
されたのかっていう侵害されたのかっていう ところについてははっきりしたところは
わかってないというところがあってですね まああのトークンが
漏れたというところについてはそこまでは 特定がされてるんですけどもこれなんで
影響と対応
トークンが漏れてたのかっていうところに 関しては調査中というかは判明していない
と なのでデビュードックあるいはさっき
その tg アクションズを依存しているとか 参照しているようなリポジトリにおいては
影響が及んでいる可能性っていうのを前提 に対応に当たられた方が良いのかなぁと
際ユニットフォティ2だかなあのレポートに おいてはその参照している数どれぐらい
あるかなっていうのを調べられてたんです けど
最適的にそのレベル3って書いてるかな まあ3段階ぐらいまで参照している先っていう
のをたどっていくと 結構な数書かれてて
15万9000は実質16万ですね 攻撃があったよっていうのが広く周知された
その後に集計された情報ではあるので また実際は当時のその手前の状況が攻撃
時点の状況ともっと数多い多い状況だったん ではないかどうかね
いうのはまあこれあのレポート中も書か れてはいるので
自分たちがそもそも公開している管理して いるポジトリが影響を受けてないかという
のもそうですし それを使っていないかどうかっていう
ところも含めて確認は した方がいいのかなっていうところも
あったので 海外ではやっぱりさっきも言った
とおり結構な騒ぎになってたという状況 だったのかなというふうには思います
これわかんないけど日本のまあ別に日本 だけ気にするわけでないけど
日本国内でGitHubのリポジトリでこのサード パーティーのアクションを参照してた
ところがどのくらいあったのかなとかね そうですねちょっとその辺はねどれぐらい
なのかっていうのは あとまあそういうところが
直接狙われてなかったかもしれないけども 影響を受け得る状態であったということを
ちゃんと認識して対応できてたのかどうか とか
GitHubアクションによるリスク
これね難しいですよねまさかそこがっていう のはね目の付けどころがじゃないですけど
よく狙ったなっていう感じは でもまあその今回はたまたまその
GitHubアクションっていうちょっと特定の サービスに限った話だけど
とはいえGitHubっていうまあその世界的に 国内も含めてすごい使われているサービス
だから影響も大きかったと思うし 例えばこれがそのオープンソースのいわゆる
普通に使われている広く企業とかで使われている オープンソースの
ソースのプログラムで例えばこういうことが 起きたりとかするともっと大きな影響が
出るしまあそういった事件は前にもあったし さあこういうのなんかあっちこっちで
起こり得るなあっていう ねまあこういうのもソフトウェア
サプライチェーンっていうのかなわかんない けど
今回のGitHubのアクションに限らずなんか サードパーティーのものに依存する危険性
っていうのはやっぱり前よりもなんか高く なってる気がするよね
攻撃者がもううまくそこを好きと見て 攻撃してくるんだなっていうのはより
強まっている状況にあるなっていうのは 今回のだってさあサードパーティーのこの
レビュードックもそのTJアクションのこと だけどそこを狙ったというよりは
そこから影響を及ぼすることが狙われ たとすると
何でも狙われる可能性あるじゃんそういう 意味ではさあ
たまなま今回はこれだったってだけじゃない だからね
多数のそのプロジェクトとかリポジトリ が最初されているってことはそれだけ
その使いやすい使い勝手の良いものを 作ってるという意味で良いことでもある
けど逆にこういうことが起きた場合の 影響が大きくなってしまうっていうね
なんか両面あるなあっていう 使う側は十分注意して使わないと
安易にこういうのを使っちゃダメなんだな っていうのを思い知らされるよね
いやネギスさんとカンゴさんがね コインベースはねすごいぞと
いろんなまま常にね攻撃にさらされて きてるから連動も高いんだと思うんですね
コインベースクラスなら防ぐことができる ってできたというふうに言えることも
できるのかなと思って これはもうちょっとなんか古い考え
なのかもしれないんですけれども なんでも便利でええやんええやん
言うて使うのが当たり前になってるっていう のも怖いなあっていう気がする
まあそうね 外部の参照してたところが影響を受ける
とかってなるわけじゃないですか今回ね 依存してたところが
それをなんかこうリスクの見積もりが どれぐらいなのかっていう話なのかも
しれないですけども ちょっと当たり前になりすぎて
安易に使っちゃってるっていうのがあるん じゃないかなとか思うんですよねいろんな
クラウドサービスのキーとかが漏れたり みたいなので被害でもなくならない
じゃないですか そのコスト面考えたらねこっち使った
方がいいとかこっちのが速度が早い みたいな感じでなんかノリノリでやっ
ちゃってるけど なんかこうリスク度外視しちゃって
見落としているところが多いんちゃうかな って感じることが多くてね
そうそうなんか今時あの何オンプレなんて みたいな考えでこういけいけな人とか
たまに見るんですけど 大丈夫かーって思うことあるじゃあ
クラウドやから危ないわけじゃないですよ オンプレでも危ないものもあるし非効率な
ものもあると思うけどがもうちょっとこう バランス考え案と偉い目に合うでって
思っちゃうんですよねちょっと今回の例 と違う例だけどさ
去年とかもあったけどそのウェブサイトとか で使うその結構便利なスクリプトとか
外部のスクリプトを使っていて でそれがまあなんか
侵害されてとかさあそういうようなケース っていうのは結構これまでもいろいろ
報告されててそういうその外部のものに 依存している場合のリスクっていうのはその
今回のケースに限らずさっきのオープン ソースもそうだしいろんな場面で起こり
うるっていうことは過去散々事例で示さ れているんだけど
やっぱねなんかそれを今そのツイさんが言っ たけどでも便利だしなっていう
安易に使ってしまってそのリスクをちょっと ない頭にしているというか
コインベースが動画だとかちょっと内情 わかんないけど
仮にその今回のケースが起きてもすぐに 対応できるとかまああるいはその改ざんを
防げるような 特定のバージョンのみを使うように
していたその改ざんした場合にはそれを 参照しないようにするとかまあいろいろ
多分仕組みでできると思うんだけどそうですね そういうようなこうちゃんと備えを
しているところはいいと思うんだけど そういう備えなくそのリスクのその
適切な評価なく便利だからってだけで 使っているとこういう中しっぺ返しという
かさ なんかいつでもね起こりうるっていうのは
なんかなんかちょっと改めて考えたほうが いいかもしれないなぁってないですね
秋さんの音楽活動
できる限りこう最小限にしててここが こういう被害にあってこっちにも攻撃が
及んだらみたいなものをできるだけ少なく してここまでやられたらまあしゃあないか
これで検知するかぐらいまで行っとかんと 安易に使うのは怖いなあっていう
クロームの拡張一つにしてもそれと思うん ですよねまあそうそうそうだね
あとワードプレスのプラグインもそうです ねあそうそうそうそう
ちょっとアインかなっていう 考えなかんのちゃうかななんか広がり
すぎてるというかね当たり前に簡単に 使いすぎてるんじゃないかなっていう気は
します確かにこういうのもあれかな アタックサーフェスって言うのかな
実際攻撃対象になってるわけですからね こういうのも含めてやっぱりそのどっから
攻撃されるかってのを考えなきゃダメだよね そうそうそうねこの間そういうセミナー
でさあしゃべったまさに観光さんがそういう 問題提供したと思うんだけどしましたし
ましてアタックサーフェスって捉え方が 狭すぎんじゃねみたいなさあそうそうもっと
ね広く捉えていかないといやこういう ところもちゃんとその盲点にならないように
備えておかないと危ないよねですね いやー攻撃するからも巧妙だよなぁ
ですよ ちゃんと勉強しなきゃね俺だもね
はいはいありがとうございますはいはい ということで今日もセキュリティーのお
話を3つしてきたんですが最後におすすめの あれなんですけれども今日紹介するの
アーティストなんですが大なんでしょはい えっとアルファベットで ak 愛と書いても
秋さんですね秋と読むアーティストの方 なんですけども
この方は多分でどっかの事務所に所属 しているとかじゃなくてですね
sns を中心に活動している女性のシンガー ソングライターなんですけどフリーで
やってるんだへ だと思うんですよねあのこういう所属しているとあの続く
レーベルの音公式サイトとかあったり すると思うんですけど
特にないっぽいんですね えっと2024年の1月24日ぐらいから曲を
配信し始めている方でじゃあまだ1年 ぐらいなんだそうで元々はティックトック
とかインスタとかでいろんな顔カバーの 曲をアコギでアコースティックギターで
歌うっていう動画をコンスタントにこう 投稿されてた方なんですよ最近はそういうの
もあの頃なんだっけ去年紅白で月さん だっけ
がーはいはいまだ中学とか高校だから 向かいそうそうそう
女の子って言ったらしてるからあの結構 ティックトックとかそういう sns 経由で
あれは広まったんでしょ そうそうそうそうなんですよすごいよね
そういう影響力ってでなんかメジャーな その事務所とかに所属しなくても売れちゃう
っていうかその注目を集められるっていうか すごいね物理が必要なくて届けられます
からね今はねそういうのはねこの人も なんかそういう感じというかそうそうまだ
ねあのアルバムを出すオリジナル曲で アルバムを出すっていうところにはまだ
行ってなくてまだ5曲ぐらいですね今年の 1月24日に5曲目を出された
パターンなんですけどこれはのなんか フィルタープロジェクトでこれ僕知ら
なかったんですけどこういうの新人発掘 プロジェクトみたいなものがあって
それできっかけにその自分の曲オリジナル 曲をリリースするっていうのに至った
みたいで すごいのがあのまあ皆さん cm で
もしかしたら聞いたことあるかもしれないです けどこの一番初めに出た曲の秘密のっていう
曲があるんですけど それはね amazon プライムの cm で使われ
たんですよあそうなんだ a じゃあ 気がつかないで聞いている可能性あるのか
なんであと最近の一番新しい5曲目の 話そうぜっていう歌もテレ東のドラマで
使われエンディングで使われてたりとか ジップロックの cm とか
というさんはなんでこれこの方を知ったの 僕はその結構その
2024年1月24日でたって言ったやつは秘密の っていう曲をその amazon プライムの cm
をなんか youtube か何か見てる時に 流れてきてあって思ってすぐ調べたん
です へーさすがだなぁ今の曲何やと思って
調べたらこの秋さんで全然知らなかったん ですけどじゃあいい曲だけどこれは
何だろうって調べたんだそうでその スポティファイとかで見てたらこう曲が
どんどんこうリリースされていって ずっとそのお気に入り登録してるんで
新しい曲でたら通知も来るし聞いてる っていう感じで
そろそろそろそろかなと思って紹介そろそろ かなとそうさっきでネギさんが言った
月さんもう結構早い段階で知ってたん ですけどそれよくあるやつだ俺知ってた
わーみたいなやつそうそういやちゃうで 知ってたじゃん世間が見つける前に俺は
知ってたわーみたいなことでしょ 知っててゲーこれも敗北の敗北宣言
なんですけどあのあれでちょっと紹介し ないみたいに思ってたら火ついてもで
これ今更紹介できると確かにそういうの あるよねなんかあるあるあきらめて
しまったんですよじゃあこの秋さんは まだ国からって感じなんだねまだそんな
そんなでもないんじゃないかなっていう これあれか動画投稿があの中心ということは
普通に皆さんも見れるわけねそうそうそう あの youtube のやつを多分紹介するのが
一番いいかな youtube チャンネル はいはいじゃあ後でショーの音に
貼っておきましょう静かめの感じであの ちょっとこの物がなし曲が多いですけど
歌詞見るとまあそんな前向き熱もあるんで まあ聞いていただければいいかなとこれ
次回のお楽しみ
から来るんじゃないかなと思っております 聞いてみますよかったら聞いてください
はいはいじゃあまあそんな感じでまた次回の お楽しみですバイバイ
ばいばーい
