00:00
今週はなんかちょっと疲れましたね。 Oh, I'm a little tired this week.
あれ?その前、白浜で疲れたって言ってたのに。 Oh? You said you were tired in Shirahama the other day.
ずっと疲れてる感じですね。 Yeah, I've been tired all the time.
白浜行ってさ、帰ってきたのが土曜日の夜とかなんですよ。 I went to Shirahama and came back on Saturday night.
家着いたらもう10時回ってるか、10時ぐらい。9時、10時とかかな。 When I got home, it was around 10 or 9 or 10 o'clock.
この収録もずらしたもんね、平気で。 This recording was a little off, wasn't it?
急いで帰って10時とかやったと思うんで、それで土曜日はもうまるまる無いじゃない。 I think I hurried home and came home at 10 o'clock, so I didn't have any time on Saturday.
しかもだって、その次さ、16時間寝たとかさ、先週言ってたよ。 Yeah, and you said you slept for 16 hours the next day.
寝た。そうそうそうそう。だから結局、日曜日もほぼほぼ潰れてるっていうことで。 I slept. Yeah, yeah, yeah. So in the end, Sunday was almost over.
月曜から仕事してますからね。 I've been working since Monday.
なるほど。週末の休みなくそのまま入っちゃった感じか。 I see. It's like you went in without a weekend off.
でもなんかね、このいい感じの疲れなんですよ。 It's a good feeling of fatigue.
心地よい。 Comfortable.
そうそうそうそう。ちょっと充実感っていうか。 Yeah, yeah, yeah. It's a little fulfilling.
あと、ほら、昨日ね、看護さんにもネギスさんにもお会いして、ほら、セミナーの収録があったじゃないですか。 Also, yesterday, I met the nurse and Negishi, and we had a recording of the seminar.
久しぶりに顔合わせましたね。 Yeah, it's been a while since we've seen each other.
そうそうそう。昼ぐらいから夕方6時半、7時ぐらいまでやってたじゃないですか。 Yeah, yeah, from about noon to about 6.30 or 7 p.m.
はい。お疲れ様でした。 Thank you for your hard work.
そのセミナーも、なんかこう、体は疲れてて、結構バタバタしてるなーみたいなところもあったんですけど、 Yeah, that seminar was also like, my body was tired and I was kind of fluttering.
週の終わりの締めくくりに、結構重めやと思いつつ、やってみたら、なんか、いい感じに話できたぞ、みたいな。 I thought it was pretty heavy at the end of the week, but when I did it, I felt like I was able to have a good conversation.
このセミナーも、今回9回目だっけ? Is this the 9th seminar?
そうですね。マイナビの専門家とベンダーの対話的なやつですね。 Yes. It's like a conversation between an expert and a vendor at MyNavi.
そうそう。ツッコミセミナー。 Yeah. It's a talk seminar.
だいぶやってるけど、なんか毎回、疲れるけどさ、やりきった感あるよね、毎回ね。 I'm tired every time, but I feel like I've done it all, every time.
なんか、なんていうんですかね。普通のセミナーが悪いわけじゃないですけど、僕らが喋って、ベンダーの人たちが喋ってみたら、きちっと別れてるのも、それはそれでいいのかもしれないですけど、 It's not that the normal seminars are bad, but when we talk and the vendors talk, it's a good thing that they're separated.
僕らが質問する時間があるじゃないですか、これ。 We have time to ask questions, don't we?
そうそう。だから結構、展示会に行ってるような気持ちにちょっとなるんですよ、僕。 I feel like I'm going to an exhibition.
気になったこと聞いたりとか、いうのはできるんで、その辺結構ね、疲れるというか、時間はかけて、労力はかかってるんですけど、 That's why it takes a lot of time and effort, but
その分、何ていうんですかね、得るものがちょっと大きいというか、普段のものとは異なるものが得られるというか。 I think I can get something different from what I usually get.
だからちょっと充実感があって、帰りに好きなチョコレートも買って帰ったから、結構満足なんですよ。 So it's fulfilling, and I bought my favorite chocolate on the way home, so I'm pretty satisfied.
じゃあ疲れたとはいえ、充実した疲れってことですね。 So it's a fulfilling fatigue, even though you're tired.
それが良かったですね、本当。 It was good.
そうなんですよ、ちょっと開放感もあってね。 I feel a little more open.
詰まってたスケジュールよりちょっと緩やかに、まだやることはあるけど、ちょっと緩やかなゾーンに入ったからっていうのもあるのかもしれないですけど。 It's a little more relaxed than the packed schedule, but maybe it's because I'm in a more relaxed zone.
03:06
久しぶりに3人で顔を合わせて、やっとですよ、写真撮れましたね。 It's been a while since the three of us got together, and we finally got a picture.
毎週収録してるからさ、そんなに久しぶり感はないんだけど、声は聞いてるからね、いつもさ。 It's been a while since I've recorded every week, but I've always heard your voice.
実際、顔を合わせて話しするのってめっちゃ久しぶりだったもんね。 It's been a long time since we've actually met face to face.
久しぶり久しぶり。 It's been a long time.
総務大臣賞、奨励賞をいただいたじゃないですか。 I got the Prime Minister's Award and the Prime Minister's Award.
あれをいただいてからは会ってないから、やっと3人で表彰状とトロフィーが僕のところに届いてたから、それをやっと開けずに僕は持ってて。 I haven't seen it since I got it, so the three of us finally got the award and the trophy.
それをやっと開けずに僕は持ってて。 I finally brought it without opening it.
何か持ってきてるなと思ったら、何かと思ったらさ。 I thought you brought something. I was wondering what it was.
3人で写真撮ろうと思って。 I was going to take a picture with the three of us.
まだ開いてないとか言って、開けておけばよかった。 I was wondering if it was still open.
一人で開けるのも悪そうと思って。 I thought it would be weird to open it alone.
代表して開けとけばよかった。 I should have opened it as a representative.
寂しいじゃない。 It's lonely.
でも3人で記念写真も撮れてよかったね。 I'm glad the three of us got a commemorative photo.
やっと撮れたんでね。良かったなと思ってね。 I'm glad we finally got it.
大事にね、撮っておきますよ。 I'll take good care of it.
何かあった時にはトロフィーで戦おうかなみたいな。 When something happens, I'm going to fight with that trophy.
泥棒が入ってきたりとかしたら、あれで戦おうかなと思って。 I'm going to fight with that trophy.
戦える感じではあったけどね。 I felt like I could fight with it.
ステッカーももらった?ありがとう。 Did you get a sticker? Thank you.
やっと渡せましたね。 I finally got it.
可愛らしくて色味もいい感じで、超気に入った。 It's cute and the color is nice. I really liked it.
本当ですか?良かった。どっかに挟んでくださいよ。 Really? That's great. Please put it somewhere.
先週も言ってくれた、リスナー向けに作ってくれたシールプリントのやつも。 You made a sticker for the listeners last week, didn't you?
対面で会えなくても渡すにはどうするかって言ってたやつね。 You said, what if I can't meet you face-to-face?
あれも見本ミスもあったけど、結構いい感じだね。 I made a mistake, but it's pretty good.
思ったよりって言うとあれですけど、本当なんていうか、そのまま普通に渡せるクオリティーのね。 It's better than I thought, but it's really good quality.
コンビニでサッと印刷するっていう風なのより、聞いた感じよりも良いクオリティーですよね。 It's better than just printing at a convenience store.
最近はすごいね。コンビニであんなのが出来るなんて。 It's amazing that you can do that at a convenience store.
あんな出来ちゃうんですね、本当。 You can do that, really.
なので、一応調整もして、僕が個別に印刷で発注して作ったやつよりか、ちょっと一回りぐらいは大きめのサイズになるんですけどね。 So I made some adjustments, and it's a little bigger than the one I ordered individually.
これは今回お便りを読んだ方からプレゼントっていう形にしようかなと思ってるんですけど、今回からでいいですかね。 I'm thinking of giving it to the person who read the letter this time, but is it okay to start with this time?
まあいいんじゃないですか。どこまでとか遡っちゃうとわからなくなっちゃうからさ。 I think it's okay. I don't know how far it will go.
そうそうそうそう。だから仕切り。大体書いてたらいちじゅんするんちゃうかなっていう感じがするんですけどね。 I think I'll be able to do it if I write it roughly.
結構書いてくれてる方、そのうち多分どっかでまた読まれますので、是非よろしくお願いします。 I'm sure you'll be able to read it somewhere, so thank you.
06:03
ちょっと前後はあるかなっていうぐらいですけどね。 I think it's a little bit back and forth.
今回からでいいんじゃないですか。 Yes. Can I start with this time?
はい。なので、どしどしいつも通りお便りいただければ回ってくると思います。 Yes. So, if you can write as usual, I'll be waiting for you.
じゃあ今日もお便りちょっと紹介しようかなと思うんですけども。 I'd like to introduce the letter today.
これは僕のiCatch画像に関する言及なんですが、この画像の意味がわからず、セキュリティーの話どころではなかったが、 This is a study on my iCatch image, but I didn't understand the meaning of this image, and it wasn't just about security,
最後にググってみたら英語だとそういうのね、ということがわかってすっきり。 7時間睡眠でも2回は目が覚める。おじさんとしては羨ましい限りです。というお便りをいただいています。
前回のiCatch、どんなのだったっけ? What was it like last time?
丸太がベッドで寝転んでる雑い絵のやつですね。 It's a rough picture of a log lying on the bed.
全然知らないけど、なんかそういう関与表現があんの?英語の? I don't know at all, but is there such a general expression in English?
ライクログって言って丸太のように寝るっていう表現が英語にはあるんですよ。 日本語で言うと泥のようにみたいな。
なんかあるよね。なるほどね。 爆睡してたみたいな意味らしいですよ。
リスナーの人たちほどiCatch画像全然気にしてないからさ。 気にしてないって言ったら柔らかい言い方ですけど、興味がないっていう。
今ちょっとオブラートに包んでいたつもりだったけどさ。 すごいんですよね。
ちなみにスリープライクアログっていう言い回しですね。 死んだようにぐっすり寝てるとかそんなまあいろんな意味ですけど、あるんですけど。
勉強になった。 まさか英語の言い回しをネギスさんに教える日が来るなんて思わなかったですね。
そんな俺も知らんって。 そんなもんなんですね。日本語でも知らんこといっぱいあるもんね。
全然知らないよ英語なんて。 ということでございます。
ただセキュリティの話どころではなかったまでは気にしてほしくないなっていう人はちょっと知らない。
確かに。 iCatchの話しかしてないやん。 そうなんですよ。
ということでございますね。 あともう一つは、現在は教育系の仕事をしているけどセキュリティを自分の職にしたい。
あわよくば子供向けのセキュリティのお話とかできるようになりたい。 学生の頃に本気でセキュリティを勉強すればよかったとセキュリティのあれを聞きながら思う。
もう25になってしまったけど今からでも頑張ろうと。 全然遅くないですよね。
いや全然そんな早いも遅いもないよ。 やろうと思ったらいつでも始められるしさ。
そうそうそうそう。 死ぬまではねやろうと思えばできますからね。
そういう心出しがあるのすごいなぁ立派だなぁ。
そうですね。
何かしらこのあれが、きっかけとまでは言わないけどさ、後押しになれば嬉しいね。
ぜひ頑張ってほしい。
あとは体系的に学ぶのも学問的に学ぶのもいいかもしれないですけど、自分の興味が湧いたところからやっていくっていうのも結構いい勉強の仕方かなと思うんで。
09:04
そういうきっかけにこれがなったらいいなぁとかって思いながら。
今回の方は学生さんじゃないけど、学生の人からよくさ、何勉強しとけばいいですかとか。
例えばね、あるいは学生でなくても社会人になってセキュリティの仕事を始めるってなった時に何からやればいいですかみたいな質問って。
まあまあだいたいよくあるんだけど。
よくある。
まあねあのぶっちゃけなんでもいいんだよ正直。
もちろんね、例えば大学とかで体系立てて学ぶとか、あるいは資格を取るために学ぶとか。
まあなんでもいいんだ。やり方はいろいろあるんだけどさ、その人それぞれのいろんなあったやり方って違うと思うし、どれかが正解でどれかはダメっていうことは全然ないんで。
まあ多少その何回り道かもしれないってことはあるかもしれないけど結果的にね。
でもそれ全部ちょっと回り道かもしれないけど無駄には全くならないんで。
まあだからねあの本当にその今ねついさんも言ったけどいろいろやりたいことをやってみるでいいと思うんだけどね。
まあそんなにこれは間違ってるのかなとか今から遅いのかなとかやり方これでいいのかなみたいなね。
思ってるんだったらとにかくやった方がいいよ。
いや本当それは思いますね。若ければ若いほどなんか目の前にいろんな道が上り坂とか下り坂とか橋とかいっぱいあったとして、それどの道が正解かなっていうところで渡る前から悩むぐらいだったら自分がこれやと思うものを選んでそれを正解に変える努力したほうがよっぽどいいと思うんですよね。
なのでいいきっかけになればいいなと思います。
応援してます。
最後、平町では外部組織へのアドレスにメールを送信する対15分までなら送信取り消しできるシステムを導入してます。
それにしてもメールも入札みたいに2人以上の立ち会い添付ファイルはすべて開封して内容確認してから送信しないといけないぐらいダメなんですかね。
前回の福田山県庁のご送信の看護さんのネタの関連がね。平町っていうぐらいだから同じような自治体の方なのかしら。
なんとか町なんでしょうね。
なるほどね。15分以内。そういうのあるよね。
いろいろ多分技術的にというか仕組み的にそういうご送信をなるべく減らす仕組みってのはあると思うし。
15分以内に気づけばなんとかなりますよみたいな話なのかな。
これも何分までやんねんっていう話もありますしね。
今お寺で話が出たみたいにどこまでやんねんっていう。若干キリがない話でもあるしね。
難しいところですけどね。ここまでやればOKっていうのはないですからね。
何気なのはこれでそのご送信なりなんなりをしてしまった時に再発防止策どうするのってなった時にチェックする。二重チェックが三重チェックになりみたいな。
12:08
そうね。なんだっけ。めっちゃ気をつける?
僕がよく言ってるやつですね。どうするのかめっちゃ気をつけるしかないですみたいな。
最後そうなっちゃうもんね。
めっちゃ気をつけるってもう心理やと思ってますからね。
なるほど。でも実際にそういう立場で苦労されてるというか、そういう方からのお便りって感じですね。
そうですね。難しいけどね。メールっていうものがある以上はどうしてもそうなっていくんやろうなと思いますけど。
これもあれですよね。二重チェック、三重チェック、四重チェック、五重チェックってどんどんなっていったら、
そのメールが受け取る人がチェックしてしまうぐらいの人数になってしまうかもしれないですよね。
それも見せとるやないかみたいな。送信相手にチェックしてもらうっていうのもいいかもしれないですね。
届いてるやんけみたいな。
むちゃくちゃなこと言い始めたからそろそろ本編いきましょうか。
はい。いきましょう。
ということで今日もセキュリティの話をしていこうかなというふうに思ってるんですけども、
今日は寛吾さんからいきましょうかね。
お願いします。
今日はですね、私あんまり王道ネタを引っ張ってこないように個人的なポリシーを持ってセキュリティのあれ望んでたんですけど。
初耳ですけどね。
たまに王道ネタ言ってるんですけど、今日はちょっとこれ言っておきたいなっていうのがあってですね、
脆弱性の話で、個人的には非常に注目に値すべき脆弱性なんですけど、
周りが、周りっていう言い方がなんですけども、セキュリティに特に関係のない人たちからするとそこまで注目されてなさそうな感じも印象としてはあったので、
それも含めて今日ご紹介したいなと思ったのが、
マイクロソフトのWindowsの脆弱性の話なんですけども、
相性っていうか呼び方っていうのかな、脆弱性のあるじゃないですか、たまに名前をつけるっていう、
あれが常についているもので、フォリーナっていう言い方でいいのかな、
そういう名前がついている脆弱性で、
ちょっと私さっきWindowsのって言っちゃったんですけど、正確にはWindowsのマイクロソフトサポート診断ツールっていうものが、
これいつから入ってるんだろう、
そういったものがWindowsに、皆さんがお使いのものにも入ってるんですけども、
そこに脆弱性が見つかりましたと。
これ何がまずいのかっていうと、脆弱性の使い方次第で、
ファイル、文書ファイルってあるじゃないですか、Officeの、
あのOfficeファイルにサイクをして、
この今お話ししたマイクロソフトのサポート診断ツールの脆弱性を、
服用することができると。
なんていうか、言い方を変えると、
15:03
例えば、添付ファイル、メールに添付ファイルして、
開かせて攻撃するっていうのが、
エモテッドなんかでも非常によくとられる攻撃の方法なんですけども、
あれにそのまま応用できてしまうっていう、
非常に、なんていうか、怖い脆弱性で。
何が怖いのかっていうところをちょっとこれから話すんですけども、
なんていうか、今まで、
Office文書で脆弱性が見つかった時に、
最後の防波堤じゃないんですけども、
保護ビューっていう機能がついてるじゃないですか。
で、あの機能を基本的に解除しない限りは、
そこの、本当水際なんですけども、
そこで止まって脆弱性は動かなくなって、
影響を及ぼさないっていう、
そういったものがあったんですけども、
なんであの手この手で、
保護ビューを解除させるっていうのは、
みんな必死に攻撃者がするわけですけども。
今回のこのフォリーナって呼ばれてるものに関しては、
一部の方法ではなんですけども、
そのさっき言った保護ビューっていうのを、
解除させずに攻撃をすることができるというところがやっぱりちょっと怖くてですね。
それこそやり方次第では、
ファイルをプレビューとして見てしまった時点で、
その脆弱性が動いてしまう可能性があるというところがあってですね。
これが表現ちょっとどうなのかなっていうのはあるんですけど、
ゼロクリックって呼ばれてるような、
本当にクリックをユーザー側にさせずに攻撃ができるっていうものなので、
非常に使い方次第では強力かなというところがあるんですけども、
サポート診断ツールの細かい脆弱性の話は省略するんですけども、
このちょっといやらしいなと思ったのが、
まずこれ自体が既に悪用されている脆弱性でしたというのがあってですね。
5月の末、最終週ぐらいに、
ナオテックってセキュリティのリサーチチームがあるんですけども、
不正なドキュメントファイルを見つけたと。
それが今回のこのフォリーな脆弱性を使ったものだったんですが、
それを皮切りに、
実は4月の10日?12?確かそれぐらいに既に報告済みだったんだよっていうのが、
その後別の方がTwitterに投稿されておられて、
その時点でマイクロソフトがおそらくそういった話っていうのは認識、脆弱性というか、
そういった攻撃方法があるっていうのは認識していたんだろうと思うんですけども、
その後も実はこういったファイルがあったという形で、
過去に実際に攻撃に使われていたとみられる、
18:00
正な文書ファイルっていうのがどんどん発掘をされており、
ちょっと私、完全には確認したいんですけども、
2021年の10月ぐらいから、
実はこの脆弱性を試す動きってあったんじゃないかなとも言われているところで、
なので、もしかすると攻撃者側からわりと認知されていた状態で、
一部なんですよ、一部の攻撃者側にとっては認知された方法として、
使われていた可能性があるというところがあり、
いわゆるゼロデーですね、ゼロデーの脆弱性として握手されていたというところがあると。
このゼロデーの状態って、
今日は6月4日ですけども、
未だにゼロデーの状態でして、
修正プログラムとかはまだこの時点では公開はされていないというところがあり、
できる対策としては、
今お話ししたマイクロソフトのサポート診断ツールを、
特定の方法で呼び出させないようにする、レジストリの変更を行うなど、
あるいは確かグループポリシーの変更かなんかでその辺が対応できるって話があるんですけども、
その辺の対応方法しか今のところはなくてですね。
これは更新プログラムが出次第すぐに当てていただきたいというところもありますし、
あとは攻撃、特にそういった国家的なっていうんですかね、
一部のAPTアクターとかの脅威によく晒されそうな業種業態仕事をやっていらっしゃるところは、
すでに攻撃を受けていないかっていう観点でも対応に当たられた方がいいのかなっていうのは思いまして、
今回ご紹介をしたというところでして、
嫌だなと思ったのが、すでに悪用されてるし、非常に強力な攻撃ツールだ、攻撃方法だっていうこともあるんですけど、
なんていうか方法自体が非常に応用力っていうんですかね、
やり方がいろいろ考えられる脆弱性でして、
今回マイクロソフトサポート診断ツールの脆弱性っていう取り上げられ方ではあるんですけども、
この脆弱性を悪用する方法にさっき言ったオフィスの文書を使ったやり方があるって話をしたんですが、
オフィスの文書からマイクロソフトのサポート診断ツールを呼ぶときに、
オフィスのリモートテンプレート機能だったかな、
要は外部からファイルを呼び込むっていうそういった機能がオフィスにあるんですけども、
そこに今回のサポート診断ツールを呼び出す特定のやり方っていうのを仕込んでおくことで、
脆弱性を文書ファイルを使って悪用するというものなので、
当然サポート診断ツール自体の脆弱性もそうなんですけども、
他に同じようなWindows特有のカスタムURLスキームっていうんですかね、
21:06
いろんなスキームが用意されてるんですけども、
他に悪用できる方法がないかなっていうのを結構皆さん調べ始められていて、
今のところ今回見つかったフォリーなレベルのものっていうのは情報は出てきてないのかなと思うんですけども、
例えばWindows Searchのスキームを使って同じようにプレビューをさせた瞬間に、
外部から実行ファイルを表示させるとかっていう方法も一部では出てきたりしているので、
この辺動きが少しログ4Jじゃないんですけども、
あの時のように少し盛んになってきてるかなというのが気にはなっているところなので、
ちょっとこの辺はしばらく見といた方がいいのかなっていうのはちょっとあったので、
今回ちょっとご紹介をしたというところです。
どの経路からこれを呼び出されてっていう手法の部分ですよね。
やり口がまたなんか今気づかれてないけど、
これやったらやばいんちゃうのみたいなものが出てくるかもしれないみたいな。
そうそうそうそう。今のところはね、文書ファイルでっていうのが一番強力なんですけど、
例えばね、ブラウザーで表示させた瞬間呼び出されちゃうとかっていうのは、
もしあればもうやっぱりひっくり返るぐらい本当に危険な状態になるので。
同じ名前付きのやつだったら経路は全然違うし対象も違うけど、
シェルショックの時も最初そんなにやばくないんちゃうかと思ったら、
いろんな呼び出し経路があってっていうので、
どんどんやばくなっていったっていうのがうっすら記憶あるんで、
それいうのがあるんで、対処法がしっかりとしたパッチとかっていうのが出るまでは、
そういうウォッチをし続けないといけないかもしれない。
でないと不意打ちみたいなのがくらっちゃうかもしれないですからね。
あと呼び出さないようにする、このMSDTを呼び出さないようにするっていうのもあったけど、
Windows Defenderでシグネチャー適用すればみたいなのもありましたよね、検出可能みたいな。
はい、基地のやり方であればとりあえずアップデートをWindows Defenderしっかりやっておけば、
検出はされるのかなと。
そうですね、一旦はこっちのほうがレジストリ全部いじるよりかはハードル低そうな感じはちょっとするかなと。
そうですね、確かにそうですね。
これ聞いてて思ったんだけどさ、やっぱり悪用されるのが先なんだね。
ちょっとびっくりしましたね。
しょうがないんだろうけど、今回はオフィスみたいなアプリケーションから、
別のアプリケーションなり別の何かを呼び出す機能って他にもあるし、
汎用性が高くていろんなところで便利に使えてるから、危なそうだなってのはわかるし、
今回見つかってから見ればなんでこんな危ないことができちゃうの?
後付けで言うことは誰でも結構できちゃうんだけど、
結局でも今回の悪用されてるのが見つかって、やっぱり攻撃側が先に見つけてるのかみたいなさ。
24:04
そうですね。
なんかちょっとこうしても出遅れてるっていうか、後を追うしかないのかなみたいな。
なんかちょっとそういう感じがまたかっていうのがどうしてもつきまとうっていうかさ。
難しいのかな。あらかじめこういうのを見つけて塞ぐっていうのができないもんかねと思うんだけどね。
そうですね。
もやっとするっていうか。
悪用する側の方がモチベーションが高いんですかね。
そうかもね。なんかどっか使える方法ないかっていうのを見つけ出すのには、
なんかまあかもしれないけどね。
直接的利益っていうのがあるからモチベーション強そうな気はしなくもないですよね。
そうですね。
自分が使わなくても売れるしね。
またまたゼロデーカーみたいなさ。なんかもうだいぶ麻痺してきて、別に驚かないっちゃ驚かないんだけどさ。
もうちょっと騒いでもいいんじゃないかなって思うぐらいの強烈なやつかなと個人的には思ってたんで。
なんかね深刻度合いに比べて、さっき看護さんが言ってたヤバさ加減っていうのがあんまり伝わってないような感じも。
そうですね。デモ画面とか見ると、なんかこれヤバいやつだっていうのは多分すぐわかるんじゃないかなと思うんですけど、
なんかサポート診断ツールの脆弱性ですって言われても、ん?そんなの使ってないしなみたいな。
自分に関係なさそうに聞こえるよね。確かに。そういう伝え方の問題もあるかもしれないね。
そうですね。かといって、これがオフィスの脆弱性かって言われるとね、正確な表現としては適切ではないので、そのようには言えないでしょうし。
結構いろんなこれのニュースが日本語でも出始めてきた時に僕も見てたんですけど、MSのオフィスにゼロデーっていう記事タイトルだったりとか、
あとは、マクロを無効にしてもやられるとか。
それはそうなんですけど、オフィスのゼロデーっていうのはオフィスのワード、文書ファイルを経路としたっていうだけであって、別にオフィスがヤバいわけじゃないなと思ったし、
あとマクロを無効にしてもっていうのは、いやいやマクロとかっていう範疇じゃない話だしなとかね。
でもこの方が記事としては読まれるだろうし、ヤバそうと思うかもしれへんけど、正確性にちょっと大きく欠けるなと思いつつ、
正しくヤバさを伝えて、響くにはっていうのの難しさを記事タイトルいろんなところを見てて感じましたね、僕は。
そうですね。いろいろ工夫の一つではあると思うけどね。
そうそうそうそう。難しい問題な。
そういう人はカンコさんがまとめた記事を読んで勉強しよう。
そうですね。記事にも一応参考になる情報としては羅列しておいたので。
みんなで読もう、それを。
27:01
読んでいきましょう。
まだゼロデーなんで、なのでアップデート更新プログラム出たらすぐに当てられるように皆さん準備しておくのがよろしいのかなと。
おそらく時間が少しかかっているので、もしかしたらちゃんと検証評価っていうのを自分の組織でもやっておかないと、またそれが原因でトラブルになったりするとあれなので、その辺も含めた準備っていうのをしっかりやっておくのがよろしいのかなと。
MSDTってそんなに普段からしょっちゅうしょっちゅう通常の業務内で呼ばれるようなもんじゃないイメージがあるんですけど、そうでもないのかな。
どうだろう。わかんない。
これ呼び出されたかどうかっていうのを監視しとくのも一つの方法かなと思ったんですけどね。
なるほどね。
そういう仕組みがあればね、起動したかどうかみたいなのを見ていれば、攻撃があったかなかったとか疑いがあるかどうかを追うっていうのにはいいのかなっていうふうに思いました。
確かに。そんなに普段呼ばれないんだったらおかしいって気づくもんね。
そうそうそうそう。今呼ばれているかどうかを見てみてそこから考えてもいいんじゃないかなということでございます。
はい。
ということでじゃあ次は僕いきます。
お願いします。
ランサムの話をね。
ブレないね。
ブレないですね。ここのとこブレてないですね。
6月になりましたということで、
今日そんな話をメインに話すわけではないんですけど、一応ちょっと変化があったというのを報告をしたくて。
いろんなその二重脅迫系というかリークを伴う系のランサムのリークサイトのリーク数とかウォッチしてるじゃないですか。
今回めっちゃ減ったんですよ。
そうなの?それは?
そうそうそう。
全体の数が?
そうそう。去年の真ん中、下半期ぐらいからはだいたい150超えているのがほとんどだったんですよ。
今年の1月は減ったんですけど、2月、3月、4月って160、223、180やったんですけど、5月は119っていうのがあって、2021年の7月ぶりぐらいですね、この110いくつっていうのって。
そんななんですね。
ガツッと減ったんですよね。
何が減ったかっていうと、いつも1位、2位を独占していたロックビットとコンティがあるって言ったんですけど、コンティがめちゃくちゃ減りましたね。一桁です。5月が。
コンティはいろいろあったもんね。
そうなんですよね。
全体的にロックビット自体もちょっと減ってるんですけど、20件。先月と比べたら20件。その前の月と比べたら30件ぐらい減ってるのかな。
だから全体的には減ってるんだけど、それでも70件。いつもぐらいの平均じゃ平均かなっていうところがあるんで、コンティはいつも65件、47件ときて、先月が7件っていう数になってるんで、これが大きく影響をしたかなってところですね。
30:01
あれだよね。その分というか、別にそこが減ったからどうってわけじゃないけど、全体としてっていうのはついさんが観測している範囲ではそうだけど、ひょっとしたら観測範囲に入ってないやつがすっげー増えてるかもしれないよね。
そうですね。あとはあるグループが増えてるっていうふうに増えてるかもしれないし、そもそもグループの数が増えて全体で見たらちょっとずつ上がって底上げされてる可能性もありますよね。
かもしれないですね。そこらへんは注意して見ないといけないね。
あくまで僕が見ている、僕が思う主要なところかなっていう範囲でしかないので。
そうは言ってもこれまでの主要なグループの活動が、一部では活動を停止したみたいなことを言っている人たちもいるし、そういう意味では結構大きなマイルストーンだったかもしれないけどね。
そうですね。とはいえこのコンティも止まってるわけではなくてちょこちょこ出ているので、コンティが止まってるっていうふうなものを見方をするのか、そもそもちょっとあんなリークもあったしヤバそうやからっていうふうなところもあってアフェリエイトが離れてるだけかもしれないですね。
いろいろコンティに関してはいろんなところがいろんな記事書いて分析もしてるし、ちょっとここら辺で店自慢してまたリブランド的なね。あるかもしれないですね。もしかしたらリブランドしたものがあるかもしれないですね。なんかねいろいろ出てるみたいだしね。
そんな変化がありましたっていうことなんですけども、今日紹介するランサムはそういった僕が見ている主要なところのものではなく、ちょっと変わり種を紹介しようかなと思ってるんですけども。ランサムといえば金銭を要求するのが主かなと。金銭ではない珍しい要求をするランサムウェア、グッドビルという名前のランサムウェアを紹介しようと思いまして。
グッドビル。多くの場合ランサムウェアというのはファイルとかシステムをロックしたりとか、あと接種した、盗んだ情報を非公開にするっていうことと引き換えに仮想通貨、暗号資産とか金銭を要求するのがポピュラーなやり口だと思うんですけれども、このグッドビルっていうのは良いことをしなさいと。世の中にとって良いことを。
そういう意味の良いこと。
グッドビル自体がそういう意味だからな。
グッドビル自体が善意とか親切とかっていう意味で。
そもそもグッドビルでランサムウェアってちょっとおかしいよな。
グッドビルランサムっていう時点でいきなり矛盾してるんですよ。
矛盾してるよね。
金銭じゃなくて、例えば恵まれないとされるような人々に手を差し伸べてくださいというふうなものが、失われたファイルを元に戻すためのアクションになると。
これ自体はクラウドセックっていう会社がレポートしてるんですけれども、5月の末ぐらいにレポート出して、それがちょっと日本語記事でもここ数日ぐらい前から話題になってたランサムなんですね。
33:04
発見自体は3月ぐらいにされてて、僕も調べたんですけど、ウイルストータルには3月17日ぐらいにアップロードされてましたね。
ちょっと前に見つかったやつなんですけれども。
これ感染するとどうなるかっていう話なんですが、ファイルを暗号化して拡張紙を.gdwillっていう拡張紙に変えてランサムノートが表示されるんですね。
これをやりなさい、あれをやりなさいみたいな感じで表示されるんですけれども、
1つ目が道端で困っている人たちに新しい服や毛布を提供して、その証拠としてビデオとか写真をFacebookとかインスタ、WhatsAppのストーリーに投稿して、その投稿のスクショと有効なリンクを私たちに送ってくださいっていうのが1つ目のアクション。
2つ目が13歳以下の近所の貧しい子供たち5人を選んで、ドミノ、ピザハット、ケンタッキーに連れて行って、好きな食べ物を食べさせて幸せな気分にさせなさいと。
これも同じようにビデオストーリーにして、攻撃者が提供するフォトフレームが中に入ってるんですけど、そのフォトフレームとキャプションを使って先ほど言ったようなSNSにストーリーで投稿して、
あとレストランの請求書を取って私たちに送ってください。
2つ目のアクションなんです。
なかなか長い道のりなんですけれども。
最後3つ目、ファイナルアクティビティー、3つ目のアクティビティーなんですけども、
これが最寄りの自分の家の近くの病院に行って治療のお金に困っている人たちがいる現実をちゃんと見て、そういう人たちにもう心配する必要ないですよっていう風に自分ができる最大限の金銭的な援助を提供しなさいと。
その際には笑顔の自撮り、セルフィーを撮って、その患者の人との会話を録音して私たちに送ってください。
最終的にはランサムウェアの被害者になることによって親切な人間に変身した素晴らしい経験をSNSに投稿ということをすると、元に戻すためのキットを提供しますっていう風な脅迫をしてきますっていうやつなんですよね。
なかなか難しいですよね、この近所の子供に話しかけるのも大変やし、そもそもこういう人たちを見つけにくい豊かな国もありますからね。
ちょっと俺このランサムウェアあんまり詳しく知らないんだけどさ、そもそもこの被害を受けているターゲットはどういうところなの?
そう、それがね、書かれていなくて攻撃の経路とかもわかってなくて、もしかしたらVTで見つけて調べていった結果こうだったんじゃないかなという気がするんですよ。
実際の被害があって検体提供されたのか、そういったVTから見つけてきてやったのかっていうのはちょっとここで明確に書かれていなかった。
僕の見た範囲だと。なのでもしかしたら被害者いないかもしれないですよね。
一旦実際にこういう活動があったと仮定すると、例えばターゲットの企業を巧妙に選んで、悪いことをして利用者からお金をむしり取るような、ちょっと言い方悪いんだけど、
36:11
そういう悪い企業とかを狙ってね、完全懲悪的な活動をして、
偽族的なね。
そうそうそう。で、悪い奴からお金を取っていい人たちに分け与えるようなことをやろうっていうのは、モチベーションとしてはわかるんだけど、
真面目にそれをやろうとしているのか、あるいは単なるシャレでね。
ちょっと悪ふざけみたいなね。
そうそう、ランサムウェアっていう、そもそも悪いことをしようっていうのに、あたかもいい目的なのかのようにシャレでこういうことを言ってるのかとか、いろいろ考えられるじゃん。
確かに確かに。
だから本当に活動がこういうのがあるんだとしたら、その辺が何なのかなっていうのはちょっと気になるけどね。
そうですね。
確かに。
でも一方でもしかしたらこれは単なるテスト用のやつかもしれないのか。
そうなんですよ。
そっか、それはわかんないのね。なるほどね。
このマルウェア自体の分析結果みたいなところに、ヒンディ語と英語を混ぜたような言葉みたいな、ヒングリッシュっていうらしいんですけど、そういった文言が見つかっていて、
VTにあげられてたのは初アップロードもインドからなんですよね。
ちょっとね、もしかしたらテスト用なのかもしれないなっていう感じはしてて、僕もこれ自分のテスト環境で実行してみたんですよ。
で、Windows10とWindows7両方でやってみたんですけど、うまく動かないんですよね。
GDWillっていう拡張子に変えて暗号化されるファイルは見つかる、暗号化される動きはあったんですけど、ランサムノートが検体の中から自分から頑張って取り出そうと思わないと取り出せないっていうか、勝手に動いてて表示されないんですよ。
ちょっとうまく動かなかったっていうところがちょっと気になるところ。もしかしたら僕の環境のせいなのかもしれないですけど、ちょっとね、うまく動いてない感がちょっとありました。
で、過去にこういった似たようなもの結構あったなぁとかっていうふうに思って、ネギさんが今言ったみたいにね、その貴族的な。
いいか悪いかは別にしてあったので、パッと僕思い出したの2011年のアノニマスとチームポイズンがやってたオペレーションロビンフッドとか。
だいぶ昔だね。
そうそう、盗まれたクレカ使って寄付するってやつとか。
懐かしいね。
そうそう、あとアノニマス単体で見ても、これは脅迫とかそういう悪い行為は伴ってないですけど、オペレーションセーフウィンターって言って、冬場になると寒さで人が死ぬからみんなで助けようっていうふうなものもやってましたし。
あと最近だと、これもやり口は少し違いますけど、寄付っていうふうな意味だと2020年にダークサイドがコロニアパイプライの犯人ですよね。
2つの団体が各1万ドルずつビットコインを寄付したってのがあったじゃないですか。
そういったものとか、あとはその金銭ではなくて違うランサムの使い方っていうふうな意味だと、今年の1月にサイバーパルチ団がベラルーシ鉄道にランサム攻撃しかけて、政治家を何か医療措置を必要とする50人の政治家の釈放とロシア軍撤収みたいなのをやらないと元に戻さないよみたいなことをしてましたよね。
39:20
やってましたね。
そう。だからこういうのを見てると、ランサムも別にお金だけじゃなくて、ランサムウェアだったら対策自体はどういう目的であったとしてもやることはあまり変わらないなっていうふうに思うんですけど、お金で解決できない方法を持ってこられた方が逆に厄介な場合もあるのかなって気がしましたね。
確かにね。
逆にお金で解決できた方が楽だというふうに感じる組織もいるのかなっていうふうに思ってたので、お金とバックアップだけでなんとかなるっていうふうなだけではなくて、もう一つこういったなんかちょっと違った脅迫の仕方っていう選択肢もちょっと視野に入れとかないといけないなっていうのがこういうのを見てて、今回ちょっと感じたんで紹介させていただきました。
手段は同じでも脅迫する目的がどうか、お金なのか、はたまたこういうね、わからないけどさ。
隠してたことの謝罪をしろとかそういうのも来るかもしれないですよね、もしかしたら。目的はいろいろあるなっていうふうに思いましたね。
まあ攻撃者によっては目的がやっぱりそれぞれ、単純に金って決めつけるのも危ないかもしれないし、なるほど。攻撃者側の目的っていろいろあるよねっていうところでちょっと気になったっていう感じか。
そうですそうです。
さすがランサムウォッチャーとしては目の付け所が違いますな。
いやいやいや。
本当ですね。
違いますなって言われたらなんかちょっとヒリッとする。
ありがとうございます。
じゃあ最後はねぎすさんですね。お願いします。
私はですね、今週も小ネタシリーズでいきたいかなと思ってまして、今週はですね、プライバシーに関するちょっと小ネタを2つほど紹介しようと思ってるんですけども、
実はどちらもブラウザーの話なんですけども、
まず1個目の方なんだけど、これは何回か前にちょっと僕が紹介したネタに関連してて、みんな大好きDuckDuckGoの話なんだけど、
DuckDuckGoのベータ版のMacアプリが出たんでちょっと使ってみましたみたいな紹介をしたんですけども、
MacMacGoって僕が言ってたじゃないですかね。
あったあった。
Mac版はまだベータなんだけど、iOS版とかAndroid版はずいぶん前からブラウザーアプリとしてリリースされてるんですけど、
それについてですね、2週間前かな、先週の月曜日なんでちょうど2週間ぐらい前に、
外部のセキュリティの研究者の人がDuckDuckGoのブラウザーの挙動を調べててちょっとおかしいって言ってツイートしてたんだけども、
何かというと、DuckDuckGoっていろんなプライバシー重視のアプリっていうのを売り物にしてて、
いろんなサードパーティーのトラッカーとかをブロックしますよっていうことを言ってるんだけど、
42:00
この研究者の人が言うには、確かにGoogleとかFacebookとかのトラッカーはブロックしてるんだけど、
なぜかBing.comとLinkedIn.comの2つのドメイン、これ両方ともマイクロソフトのサービスだけど、
この2つのドメインだけはなぜかトラッカーがブロックされてないということをツイートして、
なんかこれは挙動がおかしいんじゃないの?みたいなことを言って、ちょっと注目を集めて、
海外の掲示板サイトとかでもちょっと炎上気味というか、議論が盛り上がったんだけど、
結局最終的にDuckDuckGoのCEOの人が出てきてコメントして、それは事実ですと認めたんだよね。
一応言い訳はあって、実はDuckDuckGoの検索のエンジンで検索したときに表示されるコンテンツの中には、
広告のコンテンツもあるんだけど、これは提供しているのがマイクロソフトが提供していて、
マイクロソフトの間には元々DuckDuckGoはパートナーシップの契約を結んでるのね。
それ自体は前からだいぶオープンになってて、こういうのが表示されますよっていうのはちゃんと説明されてたんだけど、
実はこのCEOの説明によると、その契約の中で、
BingとLinkedInのマイクロソフトが使っているドメインのトラッカーはブロックできないっていう契約になってたらしくて、
なおかつその契約条項でその契約内容の詳細は公開してはいけないってことになってたので、
これまで説明できませんでしたと。ちょっと苦しい言い訳をしてて、
ちょっと苦しい言い訳をしてて、なおかつこれはまずいってことは分かってるんで、この制限をなくす方向でマイクロソフトとは交渉してますということで、
一応その幕引きというか鎮静化を図ろうとしてるんだけど、
なんていうか、え?っていう感じで、ちょっとそういう苦しい言い訳をしてました。
ということで、確かに契約だから仕方ない面はあるし、できればこれを聞いた時にあらかじめ自分たちで言ってくれればなと思ったけど、
それも契約で縛られて言えませんでしたって言われたら、しょうがないなとは思うんだけど、
ちょっとDuckDuckGo自体がこれまでプライバシーを重視して、透明性も高いってことで、
既存のGoogleとかそういう原作エンジンに対抗して利用者を伸ばしてきた背景があるんで、
結局パートナーのマイクロソフトだけは密かにブロックしなかったんかいっていう、
ちょっとユーザーを裏切るような行為に若干移るので、ちょっと信頼なくしたかなっていう懸念があるなって、
僕個人としてはね個人的にはまあしょうがないかなと思いつくと残念だなっていう感想で、
まあでもちょっとこれからも応援していくよ頑張るよって気持ちはあるんだけど、
45:02
ちょっとねこれでもしかしたらちょっとユーザーの信頼が損なった可能性はあるよね。
見る人によったらもうなんかね、天と地ほどの差かもしれないですよね。
そうそう、結局お前もそういうことやるんかいっていう風に見られちゃったら、
期待してただけにっていうのはあるかもね。
まあね、いろいろこうなんだろう、力関係とか、契約なんでね、これ法律が絡んでるんで、
訴訟とかになったらまずいから勝手なことはできないっていうのはわかるんだけど、
別に悪いことしてたわけではない、そういう意図があってやってたわけではないんだろうけど、
とは思うんだけどね、そういう隠そうと思ってやってたわけでもないしと思うけど、
思うけどもちょっとこのやり方はどうなのかなっていう気はするけどね、仕方なかったのかな、わかんないけどね。
まあちょっとそういう動きがあって、若干炎上しました。
今はどうなっているかというと、正式にというかアプリの説明のページがその後指摘を受けて解禁されて、
マイクロソフトの契約で一部ブロックされませんということは一応明記されている。
そうなんですね。
今アプリのページに書いてある一番最後の方に。
そうなんだ。しかも最後の方なんですね。
だけどちょっとね、それでみんな納得するかって言ったらちょっと納得しない人もいるかなっていうか、
これで使うのやめるって人も出てくるだろうなって気がするね。
そうでしょうね。
まあちょっと引き続き僕は使いながら心霊回復どういうふうにやっていくのかなというのを見ていこうと思ってるけど、
まあちょっとまずいやり方だったなあって気がするね。
そうですね。
まあそういう感じで、プライバシー重視とはいえ、そういう力を持ったベンダーとの契約には逆らえないのねっていうかさ、
当たり前だけど。
現実突きつけられた感じをちょっとしますよね。
そう、俺もそれがそう思って、ビジネスパートナーとして契約を結んでいるところから言われたら、
まあ確かにしょうがないかなあ、ビジネスだもんなあ、これもなあっていうかさ、ボランティアでやってる仕事じゃないからね。
確かにね。
まあそこはちょっとある程度ね、認めてあげなければいけない部分だけど、ちょっとやっぱり残念だなっていう感想を持ちました。
確かに。
僕もダクダク後は散々これまで進めてきた手前、こういうマイナス面もちゃんと言っておかなきゃなと思って。
ああそうですよね。いいと思います。
確か何かね先週も、先週ね確かそのこの件を気にされているお便りというかハッシュタグでツイートされている方いましたね。
お、さすがあれだよね、ちゃんと見てる。
このニュースを引用か何かしてハッシュタグつけてくれてたのかなあ、そういらっしゃいましたね確か。
本当さすがそれは。ちょっとこれ日本では全く取り上げられてない多分ネタだと思うんだけど、海外ではねそこそこ炎上してたんで。
そうですね。
ちょっとまあ注目ですね。
僕もなんかRSSによく上がってきてましたこの件。
48:02
あれでの人には是非ちょっとこれは注目してほしいなと思いました。それは1個目です。
それからこれから2つ目はですね、もう一個ブラウザー関連なんだけど、今度はモジラのFirefoxの話なんだけど、
これ昨日から僕ちょっとツイートしたんだけどFirefoxで翻訳ツールのアドオンを公開しましたという、一見なんてことはない今さら翻訳ツールみたいな。
確かに確かに。
内容なんですけど、実はこれ結構画期的で、何が画期的かっていうと、実はこの翻訳の処理が全てローカルコンピューターの中で行われるという特徴があって、
でね、翻訳のアドオンっていうと、さっきの思い浮かぶのは例えばGoogleトランスレートとか、ああいうやつみんなも使ってると思うんだけど、
僕も使ってるんですけど、あれはですね、何がいいかっていうと拡張機能を入れたりとか、拡張機能入れなくてもGoogleトランスレートのページに行ってやってもいいんだけど、
翻訳ってやると、例えばそのページ、ウェブページ全体を翻訳してくれたりとかさ、あるいは入力したテキストを翻訳とかしてくれるんだけど、
あれどうやってるかっていうと翻訳したい文章をGoogleのトランスレートのクラウドのサービス上に持っていって、
実は翻訳室の処理は全部クラウド上でやってるんだよね。なのでGoogleのデータセンターのどこかに、
機械翻訳のための機械学習が何かした学習モデルがあって、翻訳のエンジンがあって、それを膨大な計算力を使ってやっているので、
あるだけ精度の高い翻訳が非常に高速で実現できているわけなんだけど、
前々からこの手のツールの問題で言われていたのは、セキュリティとプライバシーの話で、
例えば翻訳したい文章の中に機密情報が入っていたらまずいんじゃないとか、
なのでそれを使う人は十分注意して使いましょうっていうことだし、
例えば会社とかでも社内の文章の翻訳とかには使っちゃいけませんとかね。
たぶんそういうルールってあると思うし、個人でも使う時にはちょっと気持ち悪いと思う人も中にはいると思うんだけど、
それは前々から指摘されていた問題で、今回それを解決しようというのが目的なわけなんですよ。
実はこれはプライバシーでうるさいEUがお金を出しているプロジェクトで、
ヨーロッパの大学とかモジュラファウンデーションとかが協力をして、そのEUのファンドで研究開発をして、
今回実装しているものをリリースしましたっていう、そういう話なんだよね。
なので実はこれ僕もちょっと使ってみたんだけども、翻訳をしようとすると、
だから翻訳のエンジンとか必要なデータがまず全部ダウンロードされているのよ、ブラウザーに。
51:02
ローカルのブラウザーの中で翻訳が全部行われるので、一切クラウド側にデータが送られないっていう特徴があるのね。
なのでさっき言ったクラウドサービスを使ったときのセキュリティとかプライバシーの懸念はありませんよっていうのが、
売りですよっていうことなんですね。
でもそれだと結構翻訳の精度とか速度とか出ないでないって思うかもしれないけど、
そこが一番気になるんだけど、
実装はWebAssemblyでやられてて、使ってみた感じそんなに遅い感じはしないというか、
そこそこちゃんと実用的な感じで翻訳できるし、
WebAssemblyなんでプラットフォームに依存しないで、どこでもFirefoxが動けば基本的には動くということで、
実用的かなと思うのと、あと試しにいくつかサイト、ニュースサイトとか翻訳させてみたんだけども、
ちゃんと一応読めることは読めるんで、若干怪しいところはあるけど、
Googleとかマイクロソフトとかいろんなところがやっている翻訳に比べると若干質は落ちるけども、
でも実用には使えるかなっていうレベルにはなってる。
ただし難点を言えば、まだ対応言語が非常に少ないっていうところで、
そこは仕方ないかなっていう面があるんだけど、Googleなんかは100カ国国外相当な数サポートしてるけども、
現状このFirefoxのやつは、これはEUのお金っていうところからもわかると思うんだけど、
とりあえずヨーロッパ圏が今のところ重視されてて、なので対応言語が10個くらいしかまだなくて、
ドイツ語とかスペイン語とかポルトガル語とかね、そういうヨーロッパ圏の言語と英語との翻訳しかできない。
ちょっと偏りがすごいですね。
日本語にならないってことなんですね。
日本語全然もうそんな無理無理。
なるほど。
全然無理。
なので基本的には英語とヨーロッパ圏の国の言語っていう翻訳しかできない。
普通翻訳で順番で並べていくと、イタリアの次に大体ジャパニーズってくるんですけど、
そんなんすっ飛ばしてないんでしょうね。
Jがないんじゃないかぐらいね。
ないです。
今後いろいろ協力してもらって、そういうのを増やしていきたいっていう意欲はあるみたいなんだけども、
ちょっとそこまで行けるかどうか、リソース的にどうかなっていうのはあるけど、
今さっき話したクラウドベースのサービスの制約で、
こういうサービスを使いたくても使えないっていう、そういう状況の人はいると思うので、
そういうところに向けてっていうのと、
ローカルで全てやろうっていうプライバシーとかセキュリティを考えた取り組みとしては意欲的でいいかなと思って、
使い方とか制度的にはまだまだっていうところはあるかもしれないけども、
取り組みとして面白いなと思ったのでちょっと紹介してみました。
あと今の機械翻訳の仕組みがだいぶこなれてきたから、
54:05
そんなに計算能力を必要とせずに、大きなエンジンの実装を必要とせずに、
ローカルのブラウザでもそこそこできるようになってきたんだなっていうのもなかなか驚きだったし、
もっともっと進化してくればもうちょっと実用的になってくる未来もあるかもしれないし、
ひょっとしたらそのうち日本語も出るかもしれない。
日本語が出たら嬉しいですね。
わかんないけど、そういう感じで注目していきたいなと思ってます。
ありがとうございます。
なんか僕は今の話を聞いてて、
i-loveトランスレーションを思い出しましたね。
ね、私もそれ思い出しました。
それ、昔問題になってたでしょ。
そうそう、翻訳した内容とか、メールの内容とかを翻訳かけてその結果が公開になるっていうのを、
もちろん公開になりますよって歌ってるのを知らずにやっちゃってたっていうのがあって、
2015年とかかな?
そんな前か。
情報漏洩が何かに繋がるとかって、何か注意喚起出たやつだよな。
そうそう、IPAAがどっかが注意喚起出してましたね。
そうだよね。
正直ね、さっき若干煽っちゃったかもしれないけど、
今現在使われている主要なGoogleトランスレートに代表されるようなクラウド系の翻訳サービスは、
正直そこまで懸念はないっていうか、
そこに例えばセキュリティ上、社外記とかの機密情報を仮に間違って入力してしまったとしても、
それがすぐさまどっかに漏れるってことはないし、
Googleの中で翻訳の精度を上げるための文章としては使われるかもしれないけど、
Googleがそれをどっかに売ったりとかね、そういうことをしない限りは、
どっかに漏れるってことも基本的にはないので、
そんなに直接セキュリティとかプライバシーの懸念があるかって言われたら、
それは多分ないんだけど、
でも多分利用契約上は入力したものは何かに使うよって書いてあるし、
それが何かで漏れても文句は言えないなっていうか、
出ていくことには変わりないですからね、自分の手元からね。
そこを気にするところはやっぱりあるかなと思うし、
サービスによってはI Love Translationみたいな、そんなの今時もうないと思うけど、
漏れちゃうようなやつもあるかもしれないからね。
気をつけるに越したことはないですね。
今自分が使っているサービスのデータはどこでどう使われているのかなっていうのは、
一応気にはした方がいいよね。
分かりました。ありがとうございます。
はい。
ということで今日も3つのセキュリティのお話をしたので、
最後におすすめのあれを紹介しようかなと思うんですけれども、
今日紹介するのは飲み物です。
はい。
飲み物の名前がですね、カルピスとリンゴ酢っていうやつです。
なんか聞いたことあるな、それ。
57:01
本当ですか?5月の24日に発売されました。
最近発売されたやつなんですけども、
カルピスとリンゴ酢っていうのは、カルピスはカルピス社。
リンゴ酢の方は三つ館のリンゴ酢の初コラボだそうです。
そうなんだ。
それを混ぜたやつなんですけど、
ちなみにカルピスってブランド誕生から103年なんですってね。
すごくないですか?
そんな昔からのカルピスって。
らしいんですよ。
知らなかった。
三つ館のリンゴ酢自体は発売から60年以上の歴史があるっていう風に。
リリースに書かれてまして。
結構三つ館のリンゴ酢自体も健康的だから飲むので使うとかっていうのは、
昔からあったよね、そういうのね。
炭酸ではって飲んだりとかね。
僕結構幼き頃からですね、カルピス好きなんですよ。
でもカルピスはだいたい子供好きじゃない?
大人になっても、大人になってないからまだ好きなのかもしれないですけれども、
めっちゃ好きなんですけど、これほらカロリー高いんですよやっぱり。
砂糖が多い。甘いでしょ?
甘いよね。
確かに甘い。
だからいつもカルピス系って、いろいろコンビニとか行ってるとなんちゃらカルピスとか、
いろいろコラボしてたりとか、
いろんなオレンジカルピスとかいっぱいいろんなのがあって、
新しいの見るたんびに原材料とか栄養成分表みたいなとこ見て、
やめとこうってなる。
意識高いじゃん。
そうなんですよ。なんか味わいカルピスかってパッて見て、
味わいすぎこれは。ってなって、
僕には多すぎるってなるんですよ。
なるほど。
でもうこれ見て買って飲んでるんですけど、
これは違うの?
例えばエネルギーが、これ500mlなんですけど、100mlあたり18kcalなんですよ。
確かに。
ペットボトル500で90kcalで脂質ゼロで、
炭水化物が21.5gではあるんですけど、
これ全部で500mlでね。
でもエネルギーだいぶ低いなと思って、
買って飲んでみたらめちゃめちゃうまかったです。
ちょうど今みたいな季節にいいですね。
甘酸っぱくてたっぱりしたというか、
かなりいいんでちょっとおすすめということで紹介させていただきました。
これでも期間限定だと思うんですよね。
こういうコラボ系なんで。
リリース見ると5月24日から期間限定で、
いつまでか書いてなかったんですけど、期間限定で発売しますっていうのがあったので、
コンビニでもし見つけたら手に取ってみて飲んでいただいてもいいんじゃないかな、
季節にぴったりですというご紹介でございました。
なんかでもあれだよね、
僕はまだこれ飲んだことないっていうかさ、
ただ飲んだことないけど、
なんとなく味が想像できる、
相性の良さを感じるというか、
1:00:02
なんとなくだけどね。
ひょっとしたらさ、これコラボ今回したのって、
もしかしたら元々カルピスとリンゴ酢別々に買って、
合わせて飲むっていう飲み方ってあったんじゃないの、ひょっとしたら。
ああ、それはそうかもしれない。
もしかしたらユーザーからのあれかもしれないですね。
家で普通にやっててもおかしくなくない?
合わせて飲んだらおいしそうじゃん。
確かに確かに。
カルピスのサイトにカルピスのリンゴ酢割りっていうレシピ載ってますね。
マジで?
そういうことね。
その実現でリンゴ酢使うんやったら、
新鮮なところとコラボしようみたいな感じだったのかもしれないですね。
まあ、そりゃそうか。誰でも思いつくわな。
なるほど。定番の飲み方のひとつとしてあるわけだ、昔から。
確かにそうか。
僕もオレンジジュースとヨーグルト買ってきて、
混ぜて飲んだりするもんな、いつも。
なるほど。
まあ、いろいろ人によってあるかもしれないね。
自分なりの楽しみ方っていうか。
みかん味プラスヨーグルトって結構少ないんですよ。
たまに見かけるけど結構少なくて。
でもそれは僕結構好きで、その組み合わせが。
そういう感じか。そうかそうか。
カルピスは甘すぎるから普段全く飲まないけど、
リンゴ酢って言われるとちょっとおっと飲みたくなる感じが。
ぜひ、亡くなる前に1回くらい飲んでいただければと思います。
はい。
ということで、今日も三つの石器っていう話をして、
オススメのあれも紹介したということで、
今日はここまでです。
また来週のお楽しみです。
お便り呼んだ人、コード送るんで印刷してください。
バイバイ。
バイバーイ。