新しいスマホの購入
やっとね、2022年に買って以来かな、新しいスマホが来まして。
2022年、3年ぶりってこと?
そうですね、あのピクセル6以来です。
ナッシングフォン?
そう。
なんか欲しいとか言ってたよね。
そうなんですよ。ちょうどいいタイミングがなくて、どうしようかなって思って欲しいなと思ったら、もう発売して少し経ってたりとかして。
もうあの発売と同時に買いたいんですよ、僕は。
なるほど、新しいやつをね。
そう、時間経ってからだとちょっと安なったりすることもあるじゃないですか。
でも、使える期間短いなってことを考えると、やっぱり発売日に買うのが一番コスパいいと思い込んでるんで、僕。
いや、わかるわかるわかる。
俺もiPhoneを発売日に買いたい。
そうでしょ。
前回のピクセル6ももう発売前にもうなんかもう予約注文みたいなんで、なんか発売日に届きますみたいな。
あーわかるわかる。
そうね、今回もそれにしたんですけど、今回ね、ナッシングフォン3aっていうやつとプロが出たんですけど、
3aの無印の方のやつにしまして、それは理由はですね、色ですね。
ついさん、買うときいつも色が決めてたよね。
そう、前のナッシングフォンもなんかシルバーっぽい白っぽい感じのやつとブラック。
たまになんか限定カラーでなんか差し色に赤、青、黄がちょいちょい入ってたりとか、あとなんかこう暗闇で光るグローな感じのやつとかはもう中性に外れ、買えなかったんで。
今回はね、黒と白と青があるんですよ。
で、青が欲しくて買いました。
で、ただあの日本だとね、楽天モバイル、いやいや間違えた、楽天モバイルじゃなくてですね。
言い直す必要あったぞ。
携帯料金が高すぎるって言うとありますけれども、そこでしか販売がなかったんでね。
で、これ回線とセットやったら嫌やな。そんな抱き合わせ今あかんのちゃうかったっけ?と思いながら楽天モバイルのね、あのサイトのチャットで。
これって本体だけ、回線いらないんで本体だけって買えるんでしょうか?っていうようなチャットメッセージ。
いらん一言も添えて。
よかったら、海外の方なんですかね、ちょっとただただしい日本語で、全然大丈夫ですよみたいな。
そのまま申し込んでいただければ、その回線のところだけチェック外すなりなんなりみたいなことすればいけますみたいな。
なるほどね。
感じで届いたんですけど、いいですね。やっぱり新しいデバイスはワクワクするな。
これなんかさ、ニュースで見たけど、これ背面のデザインがかっこいいよね。
かっこいいんすよ。中身つけてるやつね。
めちゃくちゃいいよねこれね。
あとランプも3箇所あって、何か内容に応じて光り方を変えたりとか。
その光ってるの見てなんかわかるんだ。
そうそうそうっていうやつをまず買ってすぐオフにします。
意味ないじゃん。
僕、スマホその辺にポンと置くときって画面を上にするんですよ。
でもそうね。
ひっくり返す人いらっしゃいますけど、僕それはあんま好きじゃなくてやってなくて。
僕前はひっくり返したんだけど、今のiPhoneってちょっと前、少しだいぶ前かわかんないけど、
常時最近は点灯してて時計が常に表示されてるからさ、
表側を上にしておいたほうが便利なんだよね。時計がいつも見えるから。
オールウェイズオンみたいな。
そうそうオールウェイズオンになってるから。
Apple Watchもその機能ありますよね。
画面ロックでオフになっても、ディスプレイは消えても時計だけはちゃんとついてるっていう感じになってるからね。
だからランプはいらんかなっていうのはあるけど、新しいAndroidなんで、
あれこんな機能って他のAndroidにもあんのかなって。
多分あると思うんですけど、めっちゃ嬉しいなと思った機能が、
いわゆるデスクトップと言えばいいんですかね、アイコンが並んでるところ。
スクリーンあって、そこの何もないところをダブルタップすると画面消えてロックかかるんですよ。
へー。
これめっちゃいいなと思う。ハードウェアキーってあんま触りたくないんですよ、やっぱり。
それあれか、例えばアクセシビリティ的なやつで割り当てなくてもデフォルトではそうなってんだ。
いやこれはね、これはデフォルトではオンではなかったです。
違うメーカーのはデフォルトでオンになってたりするのもあるみたいなんですけど。
へー。
そうそう、なんやろこれと思って。これめっちゃいいやんと思って。
確かにね。
ハードウェアキーって押せるから感覚がちゃんとあって分かりやすいんですけど、
押しすぎてバカになったら嫌やなと思ってて。
聞きにくいとかグズグズになったら嫌やな。え?
そんな押します?
それに最近のスマホそんなそこまでヤバじゃないだろ。
ほんまに?
いやなんかちょっとこう、前よりも押した感じのへこみが少ないなとかなったら嫌やん。
なるほどね。
まあまあでも確かに便利だねそれはね。
そうそうそう。やっとね、やっと買い替えれてよかったと思って。
前のやつも落として割れてるとことかあったんですよ。
へー。
でも買い替えたいけど買い替えたいと思えるデザインのものがなくて、
やっと出会えてよかったなっていう感じなんですけれども。
おめでとうございます。
ありがとうございます。
セキュリティとメッセージング
そんなこんなでね、今日もお便りが来てるんですけども。
お願いします。
2週間のお休みもあったということがあって、お便り少なめでございました今回は。
今日は2件なんですけども、
ワイヤーの件、企業の場合添付ファイルや不正リンクのスキャン、内部不正による情報漏洩防止など、
逆にメッセージの中身はサーバー側で見るのが当然だと思っていましたが、
企業にもE2EEは需要があるんでしょうか?っていう頼りが。
ネギさんは難しいとこやなっていう話をこの回の時にされてましたよね。
その辺ってやっぱバランスなんだけどさ、
セキュアなメッセージングをしたいっていうニーズは、
大企業とかはあると思うんだけど、あると思うし、
ちょっと前にアメリカとかで、世界中でもそうだけど、
通信会社が攻撃、中国からね。
それと台風とかいうやからに攻撃されて、メッセージが見られるから、
みんなエンドツーエンドの暗号使っとけみたいなことを政府が言うとかさ。
ああ言ってましたね。
そういうのはあったりとかして、
だからサービスの事業者ですら見れないようなセキュアなメッセージってのは、
たぶんニーズはあると思うんだけど、
一方で今のアレゼンのお便りでもあるように、
でもちゃんと管理はしたいみたいなさ。
でもその管理者が管理できるってことは、
攻撃者も狙えるっていう裏返しでもあるから、
そこどうするの?みたいな話があって、
たぶん両方あるんだよね。
どっちを取るかっていう話だと思うんだけどね。
確かにな。どっちかしか取れないですもんね、これね。
両方うまくバランス取るのは結構難しいと思うね。
内部不正とかをする人のPCもロックかかってしまってたりとか、
暗号化されてたりとかすると困るみたいなのもあったりしますもんね。
そうそう。結局そこはどうしてもそうなっちゃうからね。
アンチホレンジックみたいな言葉も一時期よく聞きましたけれども、
いたしかゆしって言うんですか?こういうのは。
そうね。あっちを立てればこっちが立たずみたいな感じ。
どうしてもなりがちではあるけど、
全体的なここ10年の流れで言うと、そうは言うけど、
でもセキュアじゃない方のデメリットの方が大きいだろうっていう、
そうじて今そういう方向に傾いていて、
だから世の中は全部何でもかんでも暗号化っていう方向に、
今はちょっと進んでいるけど、
HTTPSしっかりそうですよね。
そういう方向。だからその流れの一環でエンドツーエンドがいいんだっていうことが言われているけどね。
デメリットももちろんあるよってことだよね。
何かあったときのダメージの大きさだけじゃなくて、
何かが起きる機械の確率っていうのも考えたら、
やっぱり暗号化の方に倒れてしまうのかなっていう気はしないですね。
だけどそうするとさっきのお便りもあるように、
もろもろそういうセキュリティのチェックとかはできませんよみたいな話になるわけなので、
それでもいいですかっていう話だよね。
継続することの重要性
これはもう各組織のポリシーの問題なんかな。
そうそうそうなると思うね。
その中身が見れるようになったら見れるってきちっと通知しとくっていうのもね、
それは抑止効果にはなるかと思うんで。
僕もねなんかね、昔から結構そういうのって会社側見てるのかなーなんて思ってて、
見てるのか見てないのかわかんない。
ずいぶん前ですけど、もう10年以上前からやってた。
たまにね、不審な内容のメールをわざと送ってみるっていうね。
訓練メール?
そう、なんか引っかかってきたらこいつら見てるぞみたいなものの、
こうなんかルアーというかですね、デコイというかですね、観測機器みたいな。
なんで?
そういうのはさ、どっちかっていうと常時監視するわけじゃなくて、
何かあった時に調べられるってだけで。
あー確かにね。
なんか常時見てるかもなっていうのをね、かまかけしてみようかなみたいなので。
見てたら逆に怖いわー。
社内の仲良い奴と、たまに定期的に忘れてお互いにね、
今後の身の振り方みたいな感じの転職の件みたいな。
転職に関するご相談した件みたいなタイトルで送ってみたいとかですね。
そういう笑いをやってたりとかしましたけどね、昔はね。
おもろいね。
まあまあポリシー次第かなっていうところだと思います。
はいありがとうございます。
次の最後の手ありなんですけども、
帰ってこられたということで半年ぶりに聞きました。
第244回ぶり、なんとなく離れなんとなく戻ってきました。
久しぶりにあれを聞いて、連続よりも継続って本当に大事だなぁとなんとなく思いました。
ありがとうございます。
なんとなくだからまあ多分理由は特にないんだろうけど、
聞かなくなってしまってそのままでなく、またふと戻ってきてくれたら嬉しいけどね。
嬉しい嬉しい。
なんかやっぱりこういう習慣みたいなものもあってね、
その続ける習慣もあれば、その習慣が途絶えたらもうね、
それに戻ってこないっていう習慣がまたできたりするっていうのがあるから。
だってさ、僕らの収録もそうじゃん。
ちょっと間が空くと結構ハードルが上がるでしょ。
そう上がる上がるし、なんかこうどうやってたっけなみたいな。
久しぶりにやってたらなんかいつもよりもね、なんかこうオーバーロードしてしまうというかですね。
ちょっとテンション上げすぎたかもなみたいな。
わかる。ちょっとわかる。
こういう時に人って怪我するんちゃうかなって思ったりとか。
そうねそうね。
離れていった方が戻ってこられるようにやっぱりずっと続けてないとダメですね。
そうですね。いいこと言ったね。
コインチェックの事件発生
いいですね。この連続よりも継続っていい言葉だなって。
そうそう本当にね。
何でも僕よく人に相談されることがあって。
体鍛えたりとかダイエットとか。
いわゆる運動ですよね。
それはなんかこう一回できひん日があったらなんかこう罪悪感に苛まれてもうやらんでいいかなってやるんじゃなくて、
やろうと思ったらまたやり始めればいいんですよみたいな。
やめないことが大事ですみたいなことをよく言うんで。
それをすごく綺麗な言葉で表現してくれてはるなっていうふうに思いましたね。
確かに確かに。
引き続きまた聞いていただければ、また離れたらまた帰ってきていただければと思います。
そうですね。いつでも。
ということでですね、このお便りを読んだ方には番組特製ステッカー印刷コードを差し上げているんですけれども、
5種類あるんで、5種類揃って揃いましたよっていうふうに僕にDMをいただいたら、
6個目のシークレットを差し上げるってのをやってるんで皆さんどしどしお便りいただければと思います。
よろしくお願いします。
お待ちしております。
お願いします。
じゃあ今日もですねセキュリティのお話をしていこうかなと思うんですけども、
今日はネギスさんから行きましょうかね。
今日はですね、ちょっと前に日本の番号資産の事業者でコインチェックさんという大手の業者さんがあるけども、
そこのXのアカウントが乗っ取られるっていう事件があって、
ありましたね。
これをお話ししたいんですけども、
ただですね、今日話したいポイントは別にXの乗っ取りがどうかということが言いたいというよりは、
迅速な対応とサービス停止
最終的にこのコインチェックさんは、
被害の拡大を防ぐたびに全部のサービスを一時止めたんだよね。
思い切った。
結構その決断が思い切ったなっていうので、
そこに焦点を当てて話をしたいなと思うんですけど、
簡単に何が起きたかっていうのを時系列で順を追って振り返りたいんですけども、
まずですね、4月の28日、連休前ですね。
おそらく朝の8時頃に公式のコインチェックさんのXのアカウント、
コインチェックJPっていうアカウントがあるんだけど、
これがどうも不正ログインされて乗っ取られたようだということで、
それから約2時間ぐらい経った、10時ぐらいですかね。
これは攻撃側の動きだけども、
その後フィッシングサイトに誘導するんだけど、
フィッシング用のサイトのドメインが登録されたのが10時ぐらい。
なのでおそらくだけど、乗っ取り成功したやったぜって言って、
そこから多分準備をしたのではないかと思われる。
なんか場あたりですね。
でも割とキビキビとっていうか素早く動いて、
2時間後にはドメイン登録してフィッシングサイト立ち上げてっていうことをやって、
それから1時間半後ぐらいの11時半ぐらいにその乗っ取ったXのアカウントを使って、
不正な投稿をして、それがフィッシングサイトに誘導するような内容でしたと。
多分この投稿でコインチェックさんも気づいたんだろうと思うんだけど、
その約10分後の11時40分ぐらいに、
もう一個別のコインチェックのサービスのステータスを通知するための別の公式アカウントがあるんだけども、
そっちのアカウントで本体の公式のアカウントが乗っ取られているので注意してくださいっていうような、
注意喚起の投稿が10分後に出ましたと。
ここら辺までは比較的スムーズだけど、割とよくある対応かなという感じがするんだけど、
びっくりしたのはこの後で、この約1時間後の12時26分に、
今フィッシングサイトに誘導する偽の投稿が出ているので注意してくださいというのとともに、
フィッシングで被害を受けるかもしれないのでサービスを全部止めますというアナウンスが出て、
実際に全部止めましたということで、これが結構その決断も早かったし、
実際にフィッシングサイトに誘導する投稿が出てから約1時間の間に注意喚起もして、
サービスを止めるという決断もして、実際に止めるということもやったというのは、
かなり早かったかなという気がする。
じゃあどんなフィッシングのサイトに誘導する内容だったのかというところも一応話しておくと、
Xへの投稿の内容自体は、セキュリティを強化するためにイコード手続きが必要ですよという内容の投稿になっていて、
日本語は非常に自然な内容なんだけど、ちょっとやや内容は唐突感があるものの、
暗号資産でこういうことがあってもおかしくはないかなという程度には最もらしい内容と言えばいいのかなと。
完璧じゃないけどって感じか。
そうそう、そんな内容になっていて、だからちゃんとそのコインチェックっていうビジネスを理解した上で、
ちゃんと日本語もわかっている人が投稿しているなという感じ。
そのリンク先がcoincheck.jp.netっていう、これも最もらしいドメインが登録されていて、
最もらしいからあれか、乗っ取ってからこういうのにしようっていうふうに取ったのかな。
多分そうだと思う。
そのサイトにフィッシングサイトが立ち上がっていて、アクセスをすると、
画面はそのコインチェックさんの本物のログイン画面そっくりの画面が出てきて、
IDとパスワードを入力するようになっていますと。
そこで入力してログインしようと、偽のログインだけども、
ログインをすると、今度はアカウントの移行のためにシードフレーズを入力してくださいという画面が出てきますと。
ここでも騙されて入力をしてしまうと、何事もなかったかのようにコインチェックの本当のサイトの方にリダイレクトされておしまいという。
よくあるパターンですね。
フィッシングとしてみた場合には割と普通。
ただし暗号試算を知らない人のために補足すると、
途中で出てきたIDパスワードの後のシードフレーズを入れるという部分は、
これは12個ぐらいの英単語の羅列なんだけど、
これは何のために使うかというと、
秘密鍵を生成する、導出するためのシードという乱数列を作るためのものなんだよね。
シードフレーズというものを変換すると乱数列になるんだけど、
これを入力するということは、自分の秘密鍵を入れるということなので。
そうです。めっちゃ危険なボイスですね。
分かっている人にとっては、あれってちょっとそこで思い通る感もあるかもしれないんだけど、
IDパスワードまではひょっとしたらそっくりの画面出しに入れてしまう人がいてもおかしくはないという感じで。
シードフレーズまでもし入れちゃったら秘密鍵取られちゃうんで、
サービスを止めようがどうしようが、
そこに入っている暗号試算が盗まれたも同然なので、
あまり意味はないんだけど、
フィッシングでIDとパスワードを持ち入力したユーザーがいたとすると、
それを使って本来の本当のサービスに不正ログインされる危険性はないわけではないので、
それを防ごうというのが、サービスを停止しようという判断につながったんじゃないかなというのと、
あともう一つは、いわゆるフィッシングなんて世の中いっぱいあるからさ、
例えばフィッシングサイトを作られて、メールをばら撒かれているので皆さん注意してくださいみたいなやつはよく見かけるけども、
それは自分たちでばら撒いているわけではないから、
それでいちいちサービスを止めたりすると商売にならないからさ、
そこはしないと思うんだけど、今回の場合は自分たちの公式のアカウントが乗っ取られて、
そこからフィッシングに誘導しているので、
このコインチックさんの人が乗っ取られたアカウントというのはフォロワーが20万人くらいいる、
影響と今後の課題
結構影響力がそこそこあるだろうというようなアカウントなので、
そこに自分たちの責任があるだろうという点も多分判断に働いたと思うんだけど、
にしても1時間以内というタイミングで止めようという決断ができたのは結構すごいなというふうに思いました。
その後いろいろ裏側では当然アカウント乗っ取られたやつを取り戻すための多分いろいろ手続きをやってたと思うんだけど、
14時ぐらいに対処が完了してアカウントが取り戻せましたということで不正な投稿も削除されて、
その後5時半、17時半ぐらいにサービスを再開しますというアナウンスを出して、
最終的には18時40分頃に全部のサービスを再開完了しましたと、元に戻りましたよというアナウンスを出してるんで、
なので止めてからだいたい6時間ぐらい止まってたのかなサービスとしては。
というそれぐらいの影響で、どのぐらいのビジネスインパクトがあったのかちょっと僕はよくわからないけど、
でも半日近く止まってたということなので、それなりの影響はあったんじゃないかと思うんだけどね。
攻撃者側のフィッシングサイトはどうなったかっていうと、その後もちょっとだけ来てたみたいなんだけど、正確な時間は僕も見てないんでわからないんだけど、
多分19時から21時ぐらいの間にフィッシングサイトは止まってて、それ以降はアクセスできなくなっていますという感じなので、
短い時間の間にどのくらいの人が実際にフィッシングに引っかかって騙されたかっていうのはちょっとわかんないんだけど、
かなり早いタイミングで注意喚起も出ているし、比較的サービスの停止までの判断も早かったので、
おそらくこれは完全に憶測だけども、ほとんど被害、実被害は出てないんじゃないかなと思うけど、
一例の長さとしてはこういう感じでしたと。
そのポイントとしては2つあって、今言ったサービス停止の判断が非常に早かったという点。
これは企業の規模とか止めるサービスのインパクトって全然みんな違うから、
止めるのが必ずしも良くて止めないのが悪いと言いたいわけではないんだけど、
だけど、もろもろ判断材料を考えた上で止めるという決断をするまでが早いというのは、
これはやっぱり評価すべきポイントかなと思ったのが一つと、
あとは攻撃側と防御側のスピード感っていうのがちょっと気になったというか、
攻撃側もさ、さっき話したけど、不正6位にうまくいっちゃったぜ、じゃあフィッシングサイトを立ち上げたろみたいな感じ、
多分ね、多分そういう感じの、ドメイン登録からフィッシングサイト立ち上げまで、
だいたい3、4時間くらいって感じのスピード感で動いてるというのが分かるじゃない。
今回は守る側も比較的すごい、それを上回るスピード感で動いてたから、多分あんまり被害は出てないような気がするけど、
これみんなこのスピード感で動けるんかなっていう。
厳しそう。
うん、ちょっと厳しそうだよね、なんかそういう感じがあって、
でもこれって結局スピードの競争っていうか、被害の拡大がどれくらい防げるかっていうのは、
初動がどれくらい早いかに結構かかってるところがあるから、
確かに。
まあそれ考えると、今回はたまたま、たまたまというかこの会社だからできたのかもしれないけど、
自分たちだったらこれぐらいのスピード感で果たして動けるんかいなっていうのは、
キリンランサムの攻撃手法
ちょっとね、スピード勝負っていうことを考えた場合に疑問だなっていうのはちょっと思って、
その辺がポイントかなというふうに事例を見てて思いましたね。
やっぱり前の事件というか、そういう対応したときの教訓が生きてるから、
こういう判断をすぐできるような仕組みももうできてたのかなっていうのはちょっと疑い知れますよね。
コインチェックさんに限らず結構暗号試算の事業者ってのは年がら年中、
こえっきり狙われる業種だからさ、
そうですね。
そういうので鍛えられてるっていうか、何かするにしてもそういう判断を誰がいつどういうふうにするっていう。
そうそう。明文化されてそうですね。
その辺がもしかしたらちゃんと機能したのかなっていう感じはするけどね。わかんないけどね。
これはたまたまかもしれないですけれども、ステータスを知らせる、いわゆる予備のアカウントのようなものがあったっていうのもまた一ついいですよね。
そうね。本体のサイトは別に普通に生きてたからさ、そこでもちろんアナウンスも出てたんだけど、
とはいえそれを見ない人とかには、Xの方がリアルタイムで情報が入りやすいっていう人もいるとは思うし、
どれだけそのユーザーに情報で届けるか、今偽の投稿がされてますよっていう情報を届けるかっていう観点でいうと、
チャンネルはいっぱいあったほうがいいからね。
そうそう。なんか我々もたまにほらなんかDDoSの話の流れで、
DDoS受けてる時に自分たちのウェブサイトでDDoS受けてますって言えないじゃないですか。
とかね、最近はあんまり聞かないですけど、組織のウェブサイトにマルウェア仕込まれてるとか、C2にされてるとかって時はもう止めざるを得えへんから何も言えないから、
そういう外部のチャンネル持っといた方がいいでみたいなことをたびたび言うじゃないですか。
そうだね。
この件はね、そのXのアカウントがやられた時やから、もう一個アカウントなかったらカンってことやもんなって思いましたね、予備のアカウント的な。
この手のサービスの事業者の場合には、今サービスが稼働中かどうかみたいなのを伝えるステータス専門のアカウントがあるっていうところは、
結構海外も日本も含めてだけど、結構多くの事業者がそういうアカウントを持ってたりとかするから、
それがね今回は幸いしたかなっていうのもあるけどね。
でもこれあのそもそもこのコインチェックのXのアカウントは何で乗っ取られたかっていう言及はあるんですか?
そうなんですよね。そこはよくわからないんだよね。
あーそうなんや。
フォロワー数も多い公式のアカウントそんなに簡単に乗っ取られるなよっていうのはちょっと言いたいけど、
影響力を考えたらね。そこのこんだけ素早い対応ができるんだから、アカウントの保護をもうちょっとしっかりやっておけばって気はするけど、
ちょっと若干そこがアンバランスな感じはしたんだけど、
ただとはいえ企業の公式アカウントが乗っ取られるってのは珍しい話ではないから。
インスタとかもねたびたび乗っ取られたりとかもしてますもんね。
しょっちゅうそういう報告出てるよね。だからちょっとその辺はねどういう経路でやられたのかという原因ははっきり説明されてないのでわからないんですけども。
そういうところはね対策を考える上でも言ってほしいというか、せめてMFAしてたんかしてなかったんかぐらいはちょっと早めに言ってほしかった点ではあるかなと思いますけどね。
これ完全に相当だからわかんないけどMFAもしてなくて担当者がフィッシングにかかっちゃったみたいなねすごい単純な話かもしれないし、
もっともっと全然より複雑な攻撃だったのかもしれないしわかんないんだけどね。
まあそれによってもちょっと見方が少し変わるかもしれないけどね。
そうですね。ちょっとなんか追加で出てきてくれると嬉しいな案件ではあるかなと思いました。
そこに一旦よくわかんないので目をつぶったとしても事後の対応として見たときには結構その参考になるべきというか判断ができるかとかこういうスピード感で動けるかっていうのは
まあなんかその自分たちだったらって考えるのにいい教材と言っちゃあれかもしれないけど。
確かに確かに。
考えてもいいんじゃないかなと思うね。
XのアカウントとかXに限らずねインスタとかのSNSアカウントが乗っ取られたら自分たちは何ができますか何をするべきですかっていうのを考えるのにいいきっかけだと思いますね。
Xのアカウントとかも単にその情報を流すだけ的なものであんまり本業にインパクトがないような使い方をしているところとそうでもないところみたいなのが多分あるじゃない。
単にねそのSNSのアカウントだからって言うでも重要度が多分企業によってとかだいぶ違うからそれによってねその管理の仕方とか使い方をちゃんと考えないといけないんだなーってのはちょっとこれ見て思ったね。
いや確かにそうですね。
はい。
ありがとうございました。
ありがとうございます。
はい。
はいじゃあ次僕行きます。
はいお願いします。
はい。
今日はあの今日も共同点またランサム関連なわけなんですけど。
いいですね。
キリンランサムという攻撃者グループのこんな攻撃してましたという話を紹介していこうかなと思ってるんですが。
キリンって結構このポッドキャストでもたびたび名前出してるかなと思うんですけども。
そうだよね。
このギャング自体は22年の10月上旬ぐらいに僕のチェックしてるところで初リークがあったっていう2年半ぐらいですかね活動してるランサムギャングでこのポッドキャストだとそのフォーカス当たったのは233回でMFAで保護されてないVPNの認証を突破した初期アクセスから
クロームに保存されている認証情報なぜかインフォスティーラーのように盗んでいくアフィリエットがいたみたいな話で紹介したギャングなんですけれども。
認証情報の窃取と拡大
ここのギャングはですね今年の1月の下旬にMSPが利用するスクリーンコネクトの管理者の認証情報にアクセスできるようになってそのMSPの顧客にランサムウェア攻撃を仕掛けたという。
サービスサプライチェーンと言えばいいんですかね。
ちょっと懐かしいね昔もそうだったよね。
リビルですね。
MSP系でバラ撒いたみたいな。
カセヤのVSAを使ってやるっていう風なものがあって。
ヨーロッパかどっかのねそのスーパーのPOSが使えなくなったみたいなのがあったりしましたけれども。
結構大きな影響でてたよね。
そうそれとほぼほぼ同じようなやり口かなということなんですけれども。
このスクリーンコネクトの管理者の認証情報じゃあどうやってこのキリンのアフィリエットはアクセスしたのか取ることができたのかってことなんですけども。
初期アクセスはですね。
eVirginXを使ったいわゆるAITMのフィッシングサイトに誘導するっていうメールからスタートしてます。
ほほー。
送られてきたやつがですね。
タイトルがニューログインオンユアスクリーンコネクトインスタンスっていうようなことで。
あなたのスクリーンコネクトのインスタンスが新しいIPから最近ログインされましたよっていうやつが送られてきて。
自分らだったら追加の操作はいらないですけど確認してくださいみたいなよくあるパターンのやつが送られてきてですね。
なんか似たようなパターンのやつって他のところでも見かけるよね。
そうそう。
それらしいメールなんですよね。
アカウントIDこれでドメインがここでっていうふうなものが結構書かれてて。
アラートっぽい感じのメールなんですよ。
で、メールの中にここからログインしてくださいっていうボタンみたいなリンクがあるんですけど。
ここは一旦AmazonシンプルEメールサービスっていうところを経由してからフィッシングサイトにリダイレクトされるっていう仕組みになってて。
cloud.screenconnect.com.msっていうドメインだったので正規サイトよりもちょっとドメインのサイトが違うっていう。
さっきのネギスさんのコインチェックのやつも似てますよね。
これでAITMをされてしまっているっていうようなことで認証情報を取られてしまったと。
この管理者権限を使ってログインした後は自分たちが管理できるスクリーンコネクトのインスタンスを監視対象ですね。
MSPから見たら顧客にあたる人たちにインストールをすると。
あとはPS-ExecとかNet-ExecとかWinRMみたいな認証情報を使ってどんどん自分の領地を広げてラテラルをしていくようなツールを使って攻撃範囲を広げていったと。
攻撃の過程でランサムの対策でバックアップみたいなふうにウリ文句で出ているビームのクラウドアップの脆弱性とかを使って認証情報をどんどん取ろうとする試みもこの攻撃の過程であったそうです。
いろんな認証情報をゲットしていって自分の領地を広げていって、情報をたくさん集めてからWinRARを使って圧縮に一本にまとめるみたいなことをして、
ChromeのシークレットモードタブからEasyUpload.ioっていうクラウドストレージのところにアップロードしてその後ログとかの痕跡を消してツールを消してランサムを展開するという流れだったそうです。
ランサムの現状
認証情報もAITも使ってくるって言う風なのがあるんで厄介やなと見要素が聞かへんっていうのもありますからねこの場合ちょっと手が込んできてるなっていう風なものはこれを見てて思いましたということなんですね。
こういう攻撃の流れでランサム紹介することあるんですけど攻撃の手口があんまり明らかになってないものがよくあるんで今回ちょっとこういう流れが書いてあったので紹介したんですけども
攻撃の流れは流れでこういう感じだったんですが現在のこのキリンランサムの状況っていう風なものをちょっと皆さんに紹介したいなと思っていて
キリンはですねちょっと前にあの紹介したドラゴンフォースとランサムハブの話あったじゃないですか。
はいはいなんか提携するだろしないだろ。そうそうそうそうそうそうでまあ多分あの見てる限りでは提携じゃなさそうなんですけどね見てると。
ランサムハブの管理者がめっちゃ怒ってるのがフォーラムに書き込まれてたりしてるのを見るとちょっと違うのかなっていう感じはあるんですけどいずれにしようランサムハブってこう一番勢いがあって今ノリに乗ってたリーク数も多いランサムギャングじゃないですか。
それが停止してからその僕の観測している範囲でもキリンはですねかなりリーク数伸ばしてるんですよ。
おそらくアフィリエルが移ったんじゃないかなっていう風に思うんですよね。かなり多いんですよ出てくる件数とかも。
キリンのラースの管理者ってのはフォーラムではハイセっていうハンドルネームを使ってるんですけどこの人のフォーラムの書き込みを見ると4月半ばには
リードスを行うパネルを追加しましたっていう告知をしてたりとか、早々と交渉のテーブルに乗れとかっていう風に焦らすためのリードスだと思うんです。
そういうパネルを追加しましたよっていう風な宣伝をしてたりとかもう一つこれ結構ユニークなんじゃないかなと思うんですけど
ターゲット組織に対して法的なことを何かコメントしたいとかそれで煽りたいとか焦らせたいっていう風な時に
新しい弁護士相談サービス
相談をしたい時には弁護士とチャットができるようになりましたっていう。
この弁護士はどんな弁護士かわからないですけどマッチングでつながった人なのか何なのかわからないですけど
弁護士の利用方法としてこのキリンが挙げてたものは盗んだデータの法的評価がどれぐらいなのかとか
どんだけお金請求されるかもしれへんよとかそれと同じような法規制に基づいて違反行為
GDPRは最低のものだと思うんですけどそういったものの説明だったりとか損害の法的評価とか訴訟の費用どれぐらいかかりそうとか
要求に応じない場合その組織に対して最大の経済的損害を与えるためにどういう風にすればいいかなって弁護士に相談することもできると。
おもろいな。そこで弁護士出てくるのおもろすぎるな。
そうこれたぶん今までなかったんじゃないかなって思うんですよね。
ランスタームの被害に限らないけど情報漏洩した場合のその法規制とかどんどん厳しくなってるからさ
何時間以内に報告しないとどうたらこうたらとか越境でさっきのGDPRじゃないけどさ規制に違反したら何パーセントの罰金だろうなんだろうって
すごい厳しいからそういうプレッシャーを与えるっていうのは一つの戦略としては法益側から見たら正しいのかもしれないけど
それをちゃんとした資格を持っている。本物かどうかわかんないけどさ弁護士って言ってるのが。
わかんないけどそれ法的側面からアドバイスをするっていうのはなんかおもろいね。
そうなんですよなかなかユニークかなっていうね。
普通のビジネスっぽい。
キリンの顧問弁護士みたいな。
おもろいね。
そうなんですよね。昔とかだったら例えばGDPRで罰金だったらこんな系やからミノシロキンの方が安いよっていう交渉をしてくるアフィリエイトだったりとか
あとブラックキャットみたいにSECってあるじゃないですか。あれSECでいいのかな。
アメリカのね。
そうそうあれをなんかちらつかせてきたりとかっていうのがあったんですけど
ちゃんと弁護士どんなのかわからないし弁護士に相談ができるっていうのは初めてだと思う。
ユニークだなと思って紹介しようかなと思って。
脆弱性の傾向分析
多分だけどさ、さっきのディードスパネルの追加とか今回の弁護士相談サービスわかんないけどとかも
なんとなく思いつきでやるわけじゃないと思うんでやっぱりそういうニーズがあるんじゃないのかな。
アフィリエイトから相談されたりとかするんじゃないですかね。
こういうのできないのとかっていうなんかそういうリクエストとかあってやってんじゃないの。
逆に交渉する時とかだったら多分その組織の人だけじゃなくてやっぱり顧問弁護士とかそういう法務に詳しい人とかが出てきたりとかして
これこれこうやからって言われた時にどうしていいかわかんないからっていう話もあったのかなとは思いますね。
そうそうカウンターパーとかそういう立場の人だったらこっち側にもねそういう知識が求められるっていうのは
まあ小池側の事情はよくわかんないけどさ。
まあそういうことがあってもおかしくはないよね。
そうなんですよね。そんなこんなでこういう弁護士の話もあってチェックしてたらまた新しいことを言い出して
近日中という予告ではあるんですけど1ペターバイトのストレージスペースを追加するって。
それは何?盗んだ情報をアップロードするわけそこに?
そうそうそうあの一時期ねロックビットがこれに関するアフィリエートからの苦情があったみたいなんですよね。
盗んだはいいけどアップロードできへんねんけどみたいな。脅迫できひんやん。
まあそういうの追加とかメールのスパム送信ツールとかあとは電話SMSかなスパム送信ツールとかも追加しますみたいな感じで
なんかすごいノリに乗ってる感じになってるなっていう状況もね紹介しつつ。
なんか眺めてるとキリンがなぜか宣伝してるスレッドでロックビットにめっちゃ絡まれるみたいなとか
野々知り合いをしたりとかしてるっていうのが人間模様が見えてなんかごちゃんとあんま変わらんなみたいな感じのとこもあったりとかするんですけど
こういうちょっと新しい変化があったんでこういう攻撃の流れもありますよとともにちょっと紹介させていただきました。
参入障壁がねその以前ここでも喋ってたかもしれないけど参入障壁下がってるよねみたいな役割分担がねうまく
ラース的なモデルのおかげでできてさどんどん入ってくるとするとやっぱり凶豪が増えてくるし
さっきのその突然途中でいなくなるようなグループもあるけど
かといって参入してくるグループは後を絶たないわけだから
なんかこういう差別化っていうかね他とは違うユニークな点でお客さんというかアフィリエイトを引きつけるような
何かがないとダメなのかもなっていうかどんどんそうやってこう機能化して
サービスがこうよくサービスって言い方がいいかわかんないけど攻撃側から見ると良くなっていくっていうのは
まあなんか自然な感じはするけどね
そうですねなんかもう売り手市場なんやなってやっぱりアフィリエイト抱えてなんもなんやなっていうのが如実に現れてるアクションかなと思いましたね
アフィリエイトがドカッと急に増えるわけではないだろうから
まあなんかみんなねその打ちこない打ちこないって感じでしのぎを削ってんだろうねたぶんね
そうですねこの間のロックビットが攻撃を受けてしまってリークみたいなリークされちゃってましたけど
なんか出てたねチャットとかなんか漏れちゃったみたいなね
そうそうアフィリエイトのアカウントとかもそのユーザーテーブルみたいなものも漏れてて見てるとなんか70ぐらいかな確かアフィリエイトの数が数十ですよね
3桁以下編ぐらいとかっていう規模感6ビットでさえそれぐらいって感じなんで取り合いなんやなっていうのが伺い知れますよねここからもね
まあそうだね
まあこういうのも背景情報として知っていただければなと思います
まあしかしこれあれだねそのMSP経由ってのはやっぱり狙い目の一つなんだなあなんか
たびたび繰り返される気がするんだけどさやっぱり
なんかそのMSPの顧客側からすると重いものを言わないところから攻撃を受けるって感じになるから
その経路は想定してなかったっていう風に言えなくなってきてるっていうかそこは安全と思ってたらそっちからやられましたみたいなね
なかなか厳しいよねこれはね
そうですねこれなんかどこの組織でどれぐらいの規模の被害があったかというとかちょっと明かされてなかったんでわかんないですけど相当のあれかなと思いますけどね
前先にさっき言ってたやつやとリビルの件とかだったらねあれはのカセヤのVSAのゼロデーを使ってMSPに入って顧客に展開やったんですけど
ミノシロキンの要求先はカセヤだったんですよね
あれでも結構被害確か規模大きかったよね
大きかったです
まあそういう風になりかねないっていう怖さはあるよねこういうのはね
そうですね
こういうの来たらどうするねどうしようもないのかな守る側としては
何を監視してるかによるか
そうだね本来はねMSP側にそういうの守ってほしいと思って契約してるんだろうと思ったけど
そうですね
逆にそこが穴になっちゃうっていうのはちょっと厳しいよね
そういうのも想定しなあかんのかなっていう気はするけどセグメンテーションだったりとかね
そうですね
はいありがとうございます
はいじゃあ最後はかんごさんです
はい今日私はですねPwCコンサルティング会社ですけども
PwCが公開された悪用された脆弱性の傾向分析っていうのをご紹介したいなと思うんですけども
脆弱性の取り味ですよねどう対応したら良いのかっていうところの優先順位付けの一つとして
悪用されてるかどうかっていうところはポイントになるんじゃないかっていうのは
これまでも言われてきたところではあるのかなと思うんですけども
今回のPwCが分析されたそもそもの目的においても脆弱性非常に増えてるよねと
判断基準がいろいろある中でその見直し迫られている組織が増えている中で
この悪用された脆弱性っていうところを改めて振り返ってみて
判断基準というところで何か参考にできるというか
指標になるようなものがないかっていうところを探りたいというのを趣旨に今回調査をされたというものでして
対象としては私たちもよく目にするCISAのKEVカダルグに追加されているものと
PwCが独自に確認をされたもの
CISAのKEVの方は直近2年ということで2023年以降のものということなので
件数でいうと先ほどの独自のものを合わせると568件というのを今回傾向分析の対象にされたというものでした
PwCが仮説ということでこんなのが傾向として考えられるんじゃないかというのを4点挙げてるんですけども
まずはソフトウェアの種類ですよね
どういったソフトウェアで見つかった時に悪用されやすいというものがあるんじゃないかというところ
次にはこれもよくあるんですけどCVSSのスクワッチですよね
10.0とか非常に高い数字のものっていうのは悪用されるそういった一定の傾向っていうのがあるんではないかと
他にも攻撃の手法この脆弱性ってどういう攻撃の使われ方に実際悪用されているのかというところ
最後にCWEっていうのがよく目にするものですけども
その中で悪用されやすいCWEっていうのはあるんではないかと
この4点っていうのを傾向があるんではないかっていう観点で探られたという
そういったレポートに内容としてはなっていました
悪用されるソフトウェアの種類
結論から言うとこの4点のうち3点は概ねその傾向が見られるんではない
ちょっと概ねって私の感想なんですけどもその傾向が見られると
一つはソフトウェアネットワークとかクライアント
あとちょっと意外だったんですけどもファイル共有のソフトウェアにおいて
これトップ350種類ぐらいにソフトウェアが分類されたそうなんですけども
トップ3が今言ったネットワーククライアントファイル共有という
ファイル共有が35件でその後ろが31件という形で
他のブラウザーとかコラボレーションソフトとか
だいたい後ろに少し近い数字並んではいるので若干断固感はあるんですけども
多少偏りは見られるというところがあってですね
ネットワークOSとかもVPNとかエッジデバイスとかそういった製品
前回も確かゼロデの時の分析の話ご紹介した時にも
取り上げたような気はするんですけどもそういった偏りっていうのはやはりあると
これあれかなファイル共有ってさついさんが前紹介してた
クロップとかが悪用しているゼロデとかある辺が入ってるのかな
多分そうじゃないですかストレージ系みたいなやつじゃないですかね
そうだよねあれをファイル共有って呼んでんだよねきっとね
おそらくそうですねSMBとかそういうのはないですね多分ね
そうですねあれは確かにゼロデ使って情報を盗むのに
かなり使われてたりとかするから悪用されてる贅沢性に乗ってきても
不思議じゃないけどそれが3番目ぐらいに多いっていうのは
そっかそんなにあるんだねって感じだね
でもあれ1回で悪用される件数が多いからっていうのもあるかもしれないですけど
CVSSと悪用の関係
一気にバーってくるから狙い目っていうところはあるよね
使えたら必ず使われるぐらいのレベルのものという
そういった一時期なのかもしれないですね
今おっしゃった通りクロップはまさにデポート内でも
クロップがっていうのが書かれてはいたので
じゃあ結構ボリューム占めてるかもしれないですね
っていうことかなと思いますね
ついでCVSSですけども
これもネットワーク経由で加えて複雑さ特権レベル
そうしてそちらの低さ
あとはCIAですね機密性とか可用性とか
そちらについての影響が大きいものというのが多いと
スコアも高くなるというところではありまして
PWCとしても悪用されやすさの指標として
CVSSのスコア値を見るというところは有効ではないかというような
書きぶりはされていました
実際のところクリティカル・ハイ・ミディアム・ローという感じで
段階別で分かれてますけども
ハイ以上のものっていうのがおよそ9割ぐらい
560件でしたっけ
そちらの分析された結果のうち
ハイ以上のものが約9割というような結果になったそうではありますので
ハイだからっていうのはないと思うんですけども
結果的に悪用されているものっていうのは
ハイであったりあるいはクリティカル
クリティカルとハイが大体同じぐらいの割合で
円グラフはなってましたが
大体そのような方より具合という形になっていたというものでした
これちょっと分析としてはやや不正確と言わざるを得ない
言わざるを得ないというかあえて言及されてないんだけど
よく言われているCVSSの弱点というか
なんでCVSSでの優先順位付けが良くないか
と言われていることは書いてないんだけど
これは悪用されているものに占めるCVSSの割合だから
高くなるのは当たり前で
逆なんだよね
CVSSが高いものがどれくらい悪用されているかという観点で見ると
CVSSが高いものっていうのは
そのうちの悪用されるものってのは本当に少ないから
CVSSを評価値にして
だから悪用されやすいかっていう風に見ていると
優先順位付けられないんだよね
数が
それがちょっとこれだとわからないなというのは見てて思うけどね
悪用されているものを結果的に見れば
それはCVSSが高いのが当たり前っていうか
それはむしろ当たり前であって
だからCVSSが評価として優先順位付けに有効だということは
言えないはずなんだよね
だからそこの結論が間違ってると思うな
攻撃手法の分類
確かにそうですね
結果的に相関があるのは当たり前で
だからCVSSが高いのを見ればいいよねとはならないよね
そうですね
それはそうだろっていう感じだよね
そうなんですよね
もしかしたら今日お話したら2人からツッコミ入るかなと
ツッコまないとダメだよね
そうですね
昔前に僕紹介したのは
CVプライオリタイザーっていうツールがあったと思うんですけど
そこでCVSSとEPSSを比較するような分布みたいなやつがありましたけど
そこで見るとどうしてもそうなるやろっていう
だからCVSSが高い方が当然悪用はされやすいだろうけど
その中で本当に悪用されるものをどう絞り込むかっていうのが
我々の今の課題だからさ
そこの回答にはならないよね
高くても悪用されへんものもいっぱいあるからねっていう話があるからね
そこは分かった上でこういうことを言ってたと思うけど
でしょうね
3つ目
残りはCWEか攻撃への手法のどちらかって話ではあるんですが
残ったのは攻撃手法の方でございまして
こちらにおいては
マイター社が2025年2月に脆弱性と攻撃手法
マイター曰く脆弱性管理と脅威の管理っていうような
それをリンクさせて分析させるという趣旨で考えられた方法論として
PKEVって読み方でいいのかな
プライオリタイズ・ズームダウン・エクスペリティ・バレナリティーズっていう
そういうのを2月に考え方として公表しておられて
その考え方をPWCの今回の分析においても参考にされておられると
実際そのPKEVにおいては
マイター社もですね
私ちょっと初めて見たんですけど
25年2月時点でいいのかな
KEVにカタログに追加されている最近のもの
2021年以降だったと思うんですけども
そちらにおいて実際この彼らが
方法論という形で考えられたものに基づいて
具体的にCVEが裁判された脆弱性っていうのが
アタックの奴隷に紐づくのかというような
分析っていうのをされていて
そのリストを公表しておられると
結構な数あるんですけども
CWEいくつが具体的には
アタックのIDの奴隷で
という形で分析されたものがございまして
今回のPWCの傾向分析においても
すでに分析されておられる
マイターの一覧と
あとはその方法論に基づいて
PWC自身が分析されたもの
独自で先ほど確認したものがある
という話もしましたので
そういったものなどを分析した結果というところを
傾向として見られたというものでありまして
元々マイターが分析されていたものと
今回彼らが分析されたもの
大体の傾向として
イニシャルアクセスとか
エグゼキューション
実行に至るというところとか
特権昇格とか
そういったところにおいて
使われるというのが
多くを占めている結果となったというところではありまして
これも難易度高いよなと思いつつ
脆弱性がどのような攻撃手法に使われるか
というところを分類することで
悪用されやすい脆弱性であるかどうか
というところを
ジャッジするということが
できる可能性があるというところを
評価しておられたというところですね
これもなかなか難易度高いかな
これ何かどこに紐付けんねんって
なりそうやなやってると
ケイブリ乗って
悪用されたって分かれば
こういう分類がされるから
後付けでは分かるけど
悪用されるかどうかを
判断する指標として使うには
ちょっと弱いかなというか
自分たちで紐付けをしないといけないということですよね
あとこれ見るとさ
マイターのアタックの
チェインでいうと
前半部分からだんだん多くなってるって
正直当たり前なんだよね
それ分析しなくても分かるやろっていう感じで
当たり前の結果だから
脆弱性を見て
これは初期アクセスに使えるから
確かに悪用されやすそうだねっていうのは
PWCの分析結果
ある意味当たり前っちゃ当たり前なんだよな
それがどのくらい悪用されるかどうかの
指標に有効に効いてくるかっていうのは
ちょっとよく分かんないよね
当たり前すぎるからさ
これでどのくらい絞り込めるのかなっていうのは
ちょっと分かんないよな
やっぱりそうだったということが分かった
確かにね
これまで
まさについさんおっしゃった通り
これまで色々
私たち含め色んなところで言われていたことと
全然検討違いのことっていうのが
結果として出てきたわけではなくて
これまで言われてきたことが
今回改めて
実際の具体的な数字データに基づいて
PWCさんが検証された結果
ある意味裏付けが取れたっていうような
それは大事だよね
そういう捉え方で見れば
非常に有用ではないかなというふうには思いまして
残念ながら最後のCWEに関しては
ばらつきがあったということですので
直ちにCWEいくつっていうのを持って
これが悪用されやすいかどうかっていうところを
判断にするというところは厳しいという評価が
されておられたので
今回の傾向分析においては
特定の種類と
ちょっと疑問符が立ちましたけれども
CVSSのスコア値
あと最後悪用のされ方っていうんですかね
具体的な抗議の手口というところの3点においては
判断指標の一つとして
傾向が見えてくるんじゃないかどうかというような
そういった締めくくりにはなっておられたというところでありました
これだからぜひPWCさんには
この続きをやってほしいなっていうか
実際にこのソフトウェアの種類とCVSSのスコアと
MITREのアタックのフレームワークにマッピングして
新しいディレクターが出たときに
これを使ってどのくらい絞り込めたのか
っていうのをやってほしい
そうですね
EPSSじゃないですけども
すごい数値と悪用されやすさレベルみたいなのが
非常に高いっていうものが出たときに
本当に悪用されているのかっていうところが
そうそう例えばここで悪用されたものが
ここら辺に集中しそうだっていうのは
これは結果としてそうなったっていうことを言っているんで
今後見つかるデジタル規制について
この分類に従ってやってみると
単純に例えばそのCVSSスコアだけを見たときとか
EPSSのスコアだけを見たときとか
他の比較指標と比べたときに
どれくらい有効かっていう
その有効性の検証が必要だよなこれはな
そうですね
やってみた系がいるってことですね
それってすごいめんどくさいからさ
いやー大変ですよ
時間かかるしね
ぜひやってほしいなっていう
他人任せだけど
そういう検証ね
今回PWCさんがこういうのやったってのは
すごく大事なことで
有効そうだっていうのが分かって
仮説として分かったわけだから
これを実際に検証して有効だっていうことを
誰かが言わなきゃいけないんだよね
確かにね
もしかしたらやってみたら
実はちょっとうまくいかなかったかもしれないんだけど
そうやってその一個一個検証して
結果を見ていくことがやっぱ大事なんで
そうしないと全然使われないし
うまくいかないから
現状に問題があることは分かってるからさ
こういう分析がとても大事だと思うんで
なかなかでもこういうの見ると
なるほどっていうか確かにってね
今まで自分がさっきも言ってたけど
思ってた議論してたことが
確かに数字で裏付けられるんだなって
分かる反面
やっぱ難しいんだなっていうのは
そうなんですよね
これそう簡単にできる
いやだからさ単純なね
本当は一個のなんか指標で
はいこれは適用されます
これはされませんみたいなのが
パッと分かれた指標っていうのは
今のところないからさ
今のところないし
脆弱性管理の課題
多分将来もないだろうから
なのにこの話のその前提だけど
脆弱性の数ばかりは
どんどん右肩上がりで増えてるから
ですね
これをどうやってやっていくかっていうのは
まあやっぱり
僕らもねポートキャストだったり
セミナーだったりとか
いろんなとこで
過去何年かこの話取り上げてるけどさ
まだ答え見えないもんね
ちょっとねどうしたらいいかっていうね
そうなんですよね
なんかこの
悪用された脆弱性のタクティクス打ち分け
っていう円グラフあるじゃないですか
二つ並んでるやつ
ここになんかちょっとね
脆弱性管理の運用の可能性を
ちょっと感じるというか
一旦その悪用されてるもので
対処しましょうみたいな話が
今よく言われるじゃないですか
我々も言ってますけれども
ただその中でもやっぱり
もうちょっとこの中で
優先順位を決めたいみたいなやつがある
ここのイニシャルアクセスとか
エグゼキューションぐらいまでやったら
もうほんまに一番早い対処が必要
権限昇格プレビエッジエスカレーション
だったらちょっと
遅らせてもいいかみたいなところが
まだこのKEV使ってるけど
その中でもやっぱ悩ましいことあるんです
っていう相談を受けること結構あって
なるほどね
KEVに乗ったやつは
全部対処するんです
みたいなことのルールを決めちゃうと
iOSもちゃんとやらなあかん
ってなってしまうとか
あの中での優先順位の決め方みたいなものも
ちょっともしかしたら
求められるのかな
なんていうふうに思ったんで
このタクティクスにマッピングしたときに
これだったらちょっと
遅らせてもいいかなみたいな
差し加減ができるようなものになると
ちょっと良さそうかなっていうのはね
見てて思いましたね
細かい話だけど
今聞いてて思ったのは
例えばKEVでも
そのいわゆるゼロデイで
悪用事例が非常に難しい事例っていうのがあるじゃない
KEVに乗ったけども
その後悪用は広まらないやつもあれば
KEVに乗る前から
もう酷く悪用されてるっていうレベルのものがあって
それはさ
コンテキストっていうか
悪用がどういう状況で行われたかっていうのを知らないと
判断できないんだよね
あとはどこに来てたかも大事ですよね
そうそう
だから結構今そのKEVでの
なんかいろんな情報を
エンリッチメントするっていう
いろいろプロジェクトがいっぱい立ち上がってて
こういう情報と組み合わせれば
こういうのが分かるとかさ
あとそのベンダーが独自で
いろいろやってるっていうのは
結局そういうことで
悪用されてる中にも
さっきのCVSSのスコアが高いやつの中にも
優先順位があると同じで
KEVの中にも
これは今すぐやらないとやばいけども
こっちはちょっと難しいよねとか
まだポックも出てないし
そもそもこれってそんな簡単にできないんじゃないの
みたいなやつがあったり
さっきのそのiOSのまさにゼロデなんかそうで
ほぼ多分iOSのゼロデなんか
我々はお目にかからないからさ
まあそう
用人とかジャーナリスト
そういうねやつですもんね
来るとこってね
正直そのレベルのやつは
iOSのアップデートに普通に対応しておけば
それでいいよっていう
本当に本当に
正直あんまりそこに
理想捜索明確な理由は見出せないんだけど
そうじゃないやつも結構あるからさ
その差をどうやって
普通のっていうか
そういうのを
詳しく状況をわからない人にも
伝える指標ってあるんですかっていうと
それが今ないっていう感じなんで
そうですね
昔はね
悪用すらやっぱり探すのが
情報なかったっていうので
全然雲泥の差だと思うんですけど
上がってきたね
悪用されたものに関する分析ができないと
優先順位っていうか
自分たちが疲弊することに
繋がりかねないっていう
レトロゲームの魅力
一面もあるなと思いましたね
そうね
その辺りの差事加減が
まだちょっと難しいんだよな
確かに
難しいなと思いつつもね
でもまあちょっと
ここの辺からの可能性を感じる
内容やなと思いましたね
この後ね
そうね
あとその今言ったのは
結構この辺の
今本当にこれは日々コクコクとっていうか
状況がどんどんどんどん
アップデートされてる領域だから
デラックスのこういう管理とかその
そうですね
そういう評価指標っていう観点
ここは十分今どういう状況かっていうのは
ウォッチしとくべきかなとは思うけどね
そうですね
過渡期間まだありますもんね
すごいあるねそれはね
はいありがとうございます
はい
ということで
今日もセキュリティのお話を
3つしてきたんで
最後におすすめのあれなんですけれども
今日はですね
動画のジャンルをちょっと紹介しようかな
動画のジャンル
最近こういうの私好きなんです
っていうやつなんですけど
前これあの僕
ウミガメのスープ紹介したでしょ
はいはいあった
それとね横並びで
よく流している系なんですけれども
同じくゆっくり
ゆっくり実況を使ってる動画で
レトロゲームのゆっくり実況系
動画
そういうのがあるの
見たこともないんだけど
本当ですか
ゆっくりレイムとゆっくりマリサが出てくるんですけれども
なんだそれ
それがゆっくり喋りながら
コンピューターの音声っぽい感じで
喋ってるやつなんですけど
レトロゲームなので
特に僕世代とか
僕よりもちょっと上
ネギスさんとかもそうですし
カンゴさんもあってはまるかもしれないですけど
昔のファミコンとかをやるんですよ
へー
ファミコンだけじゃないから
今の時代から考えたら
プレステ1とか2とかも
レトロゲームに入ってしまうと思うんですけど
ファミコンってのは
本当の初代のファミコンぐらいってこと
そうそう
それは相当レトロだぞ
そう
それを子供の頃に
クリアできひんかったのを
クリアしていくみたいな
あーなんかいいね
やっぱり新しいゲームを実況するっていうのも
もちろん面白いんですよ
映像は綺麗し
ストーリーもしっかりしてたりとかするのがあって
でもレトロゲームっていうのは
今のゲームにはないものがあるんですね
それは何かというと理不尽さなんですよ
あーなるほど
こんなんどうやって
攻略本なしでクリアすんねんみたいな
昔のやつにはそういうの結構あったよね
あるある
ノーヒントで
高C品買ったらクリアできひんなんて
いっぱいあるんですよね
そういう理不尽さに心折れてきた
ガキンチョたちの魂を
成仏させるがのごとく
クリアしていかはるわけなんです
でも何回も何回もやられていくんですけど
僕はゆっくり実況のレトロゲーム系の実況で
僕が一番好きなチャンネルは
戦闘力5のアラフォーレトロゲーマー
っていうチャンネルがあるんですけど
YouTube?
YouTube
これがめっちゃ面白いんですよね
使ってる言葉のチョイスも面白いし
何回も何回も死ぬんですよ
魔界村とかやって
ここで失敗するとは思わ…
やられちゃったみたいな
慎重に慎重を重ねましてですね
やられちゃいました
みたいなそんな感じの動画で
面白いんですよ
だから自分の好きなゲームとか
昔やってクリアできひんかったゲームとかを
見てみるっていうのも面白いし
あとはやっぱり昔で
ほらファミコンのソフトって
バンバが昔は出てましたから
買えなかったゲームもあったと思うんですよ
そういうのを見てみて
エンディングこんななんやとか
ここ確かにハマって抜け出されへんかったな
みたいなものとかも出てきたりするんで
このチャンネル以外にも
いくつもチャンネルあったりするんで
ゆっくり系のレトロゲーム
僕は見てるので
3つ4つぐらいあったりするんですけど
じゃあそういう
一つのジャンルになるぐらいいっぱいあるんだ
そうですね
ゲーム自体がいっぱいあるじゃないですか
有名どころから
名作と言われる有名ですね
から理不尽さ爆発の有名とか
クソゲー扱いみたいなのも
あったりとかしてて
なんかあれですかね
有野さんがやられてた
今もやられてるのかな
よいこのですよね
ゲームセンターCXとかに近い雰囲気なんですかね
どうかな
僕もそれ見たことあるんですけど
ノリはちょっと近いかな
懐かしさとか
その頃のあるあるみたいな
確かに自分もそうやったみたいな
共感系というか
そういうのもありながら
いろんなチャンネルある中で
この一つを僕が推したのは
言葉のチョイスが面白いっていう
なるほどね
ガキんちょたちの気持ちを背負ってとかですね
慎重に慎重を重ねましてのとかも面白いし
これタイトルに書いてあるけど
実際にアラフォーの人がやってるのこれ
多分そうだと思いますね
なるほどね
だからその出てくるネタとかも
なんかこういういっぱい
弾飛んでくるゲームとかあるじゃないですか
例えばパロディウスとかですかね
懐かしいね
そういうのとかでも
飛んでくる弾を
時のようにかわしとか
出てくる言葉のチョイスも古いチョイスやから
まあ多分40、50とか
アラフォーなんで今40
僕よりちょっと若いぐらい
世代が近いからなんか共感するのかもしれないね
そうそうそうそう
言い回しもそういうなんか共感するというか
あー懐かしいなぁ
そんな表現なぁみたいなのがあったりもするんで
ちょっと若い方にはピンと来ないかもしれないですけど
そんなゲームあったんやなとか
視聴者の共感
話進めてる時の実況会話自体も面白いんで
えー
一回見てみてもいいんじゃないかなとは思いますね
はい
そんな感じでございます
また次回のお楽しみです
バイバイ
バイバーイ
