00:00
いやー、残念やったわ。
何が?
出られへんかった。
それじゃ分かんないんだけど。
何に?
コンクラーベー出られへんかった。
コンクラ強行選挙?
そうや。コンクラーベー出へん。全然分かんかったわ。橋にも棒にもかかえへん。
どこに出る要素があんだよ。
出たかったですね。
いやー、ちょっとコンクラーベー出たかった。80歳以下だったらいけるんでしたよね、あれ。
そうなの?
コンクラーベーって、今回久しぶりだけど、映画で取り上げなかったよね?
ありました。
コンクラーベーってそれしか思い浮かばないんだけど。
あれは、80歳以下の数奇強っていう立場の方が投票できるんですよね。
へー、そうなんですね。
だから僕は改めて分かったのは、数奇強ではなかったと。
そもそもね。
改めて言うまでもないよね。
煙の色が変わるんでしょ?黒と白でね。
そうらしいよね。
それも確か映画でやってたような気がするんだよな。
すごい予測したかのようなタイミングというかね。都市伝説界隈がざわつきそうな感じというか。
あとはあれでしょうね、煙が色が変わるまでずっと見てるので、ある意味こっちもコンクラベやなみたいな。
その2つの都市伝説界隈と親父ギャグ界隈がざわついてたんじゃないかななんていうふうに思ってたんですけれども。
何だかんだいつもランサムの世界の会合とかにも呼んでもらわれへんしね。
なんとかイニシアチブとかね。
そろそろ呼ばれてもいいかもしんないよね。
あの時前も言いましたけどバイデンさんが欠席やから枠空いてたはずなんですよね。
バイデン枠がね。
空いてるなら回してくれよってな。
なかなか呼ばれへんっていうふうな僕も一つ呼ばれたことの成果が出ましたよ。
何ですか?
能動的サイバー防御の法案がですね。
通ったね。
成立いたしましてですね。これからかなっていう感じではあるんですけどね。
資料が出ると思いますけどどういうふうに段階的にやるんだとかあると思いますから。
具体的にはこっからだよね。
そうそうそうやっとスタートラインっていう感じではありますけれども。
具体的にどうやって動くのかとかね。
あと今後整備されるその体制面の話もさ。
まだこっからじゃない。
ニュースとか報道とか見ると来年再来年ぐらいまでには本格的にみたいな話だからさ。
まだちょっと先が長い話だよな。
やろうにも今すぐ取り組めることと時間かかるような設備がいるようなこともあるでしょうから。
準備でいろいろ時間かかるよね。
逆に言うと国会に提出されたような内容の資料とか。
それこそ新法と整備法はどうだなんていうのをまとめられた資料というのは随分前に公開されてるんで。
03:02
今のうちに全体把握しておくのはこの仕事に関わってたらいいんじゃないかなと思いますけどね。
どこでどう自分たちの仕事に関わってくるかっていうのは。
自分とか自分たちのお客さんとかですかね。
そういう見方をするのにはちょうどいいタイミングだ気がしますね。
確かに。そういう意味ではあれか。
自分が関わったものとしての成果があっていうことね。
そうそう。
お疲れ様でした。
良かったなって言ったわねっていう感じではあるんですけど。
ただ僕は最後の会合で言ったんです。
作るのがゴールじゃないと。
これから運用とか。運用の方が大事だと。未来がね。
だから僕はそれに関わりたいと思っているので。
立候補します!って言って。
最後の会合で言ってちょっと笑いを切るみたいな。
こっちは本気だぞみたいな。
こっちは本気なんですけどね。ちょっと茶化しにかかってきやがってね。
珍しいんじゃないの?そういう有識者会議の。
そうかもしれないですね。
らしくていいと思うけどね。
ほんまですか。議事録には名前が載ってないですけど。
自分の言ったことは言ってもいいって言ってたんで。
ただこんなことだいたい辻さんの言いそうなことはわかるって周りの人によく言われますけど。
そうだよね。俺も読んだらだいたいわかるよ。
これあいつやなみたいなね。
内容でね。
そんな感じで。
今日もお便りが来ております。
お願いします。
全サービス停止の決断速度。
前回ねぎさんが紹介したコインチェックのやつですね。
580億という未曾有の損失を出した会社ならではのものだという気がします。
一度地獄を見ただけに少しばかりの機械損失より安全を取れるのではと。
まあそうね。
これは確かにそうですよね。やっぱり物の見方変わると思うんですよね。
この会社に限らずやっぱりね。
一番目の色変わって本気で取り組むってのはやっぱりインシデントが起きた後だって。
みんなどの会社に聞いてもそういうことを言うっていうかさ。
小さなマイナスを許容して大きなものを。
いわゆるダメージコントロールって言うんですかね。
だから結構ね。吉原氏なんかなと思うんですけど。
僕もいろんなインシデントを見てきてますけど。
ちょっとした軽めの事故とかがちょいちょいっていうのは逆に良くないときはあるなと思いますね。
なんで?
なんかねちょっと慣れてしまってるというかね。
事故の対策とか取り組み見てるとそれまたやるんちゃうかなみたいな。
緊張感がちょっと違うっていうかね。
それもあるけどさ。
どっちもあるよね。
小さいのを何回も繰り返すのは確かに良くないかもしれないけど。
そこで留まってるんであれば大事にはいたらずに済ませられてるという点で
うまくコントロールできてるからかもしれないし。
逆についさんが言ったみたいにね。
インシデントを慣れしていて逆にその後大きなことが起きちゃうとかさ。
06:03
それがやったら最初から何か起きてた方が実はその後の取り組みはもっと真面目になってたんじゃないかとかわからないけど。
それでも結果論だからなどれもな。
やっぱりちょっとのど元すぎれば感が見えるのもあるなっていう印象はちょっと個人的に。
それはどの組織でもあり得る話で。
だからってでかい事故を起こしたらいいってもんではないと思うんですけど。
それをいかにビジネスが傾くぐらいの大きな事故を起こさずに
起きたのと同じぐらいのインパクトでっていうかその人に与える影響っていうかね。
もし起きたたらって思ってやってくれるのが一番いいんだけどね。
そうですねこれで止まってよかったな怖かったヒヤリハットみたいな感じで考えてもらうとね。
その段階で抑えてしっかりやろうってなってるのが一番理想的だよね。
本当はね大きな事故を起こしたところとその後の取り組みみたいな生々しい声が共有されて
自分ごとのように考えられるコンテンツみたいなのがあるのがもっといいのかもしれないですね。
そういうのが増えてくればって感じだね。
NHKとかやってくんないですかね。インシデントX言うて。
よほど大きいやつじゃないと取り上げにくいのもあるかもしれないけどね。
聞き迫るナレーションとかでさ。辻は泣いたとか。
なんで泣くのよ。
分かれへんけど。何も出てけへんかったから言うてもうたけど。ありそうかなと思う。
そういう伝え方というかでも一つあるよね。
そうですね。次のお便りなんですけども。
TBSのニュース番組で証券口座の乗っ取りの対策としてパスワードのこまめな変更を推奨していて不服。
被害者のうちの一人はMFA対応済みにも関わらずキーロガーか何かによって乗っ取られたとのことだけど
その場合でもパスワードのこまめな変更が有効な対策にはならないと思うのだがという。
出てくるよな。これはどうしてもなんかおまけみたいについてきますよね。
こまめな定期的な変更って言葉。いまだにやっぱり。
全く意味がないとは言わないけども、こういう場合に限っては意味あるかもねとかさ。
あとこういう場合にはほぼ意味ないからこっちやった方がいいねとか。
多分そういう細かい話になってくるとなかなかそのニュースとかメディアでは伝わりにくいから。
複雑に説明すぎてもねっていうのがあるんだと思うんですね。
本当にこれ効果あるんだっけという対策も言ってしまうっていうところはねあるとは思うんだよね。
そういうのを知ってる人から見るとちょっとなんかね不満に思うっていうのはわからなくはないけど。
別にこの言ってた番組が何か誰が言ってたかちょっとわかんないですけども。
擁護するわけではないですが限られた時間でどう伝えるかっていうのはやっぱこうあるっていうのはあるんですけどね。
なかなかこう緊張感もあって僕も出てる時には気をつけてるのはなんか変な方向にとか
09:05
今回みたいに自分が思ってないそれあんま意味ないやんみたいな話の時には
勇気を持って止めてちょっといいですかっていうようにはしてますけどね。
なかなかそんな難しいもんな言うのもな。
でもさ今回の事件で一ついいなと思ったのはフィッシングとかに対して
例えば今話が出たその多要素認証やってたけどダメでしたみたいなケースがあるみたいな話が
ちょっといろんなメディアとかにも出てきてていわゆるそのAITMというかリアルタイムに中継する系のやつだと
多要素をやっててもダメですとか。
あと今言ったキーローガーだったりインフォスティーラーだったりみたいなやつで
別の経路から漏れたんじゃないかみたいな話に言及している内容だとか
そういう正しい理解が少し進んだんじゃないかなっていう印象。
だからといって決して今回の被害が軽いわけじゃないからさ
この4ヶ月で3000億近い倍々の被害ってめちゃくちゃでかいから
それに見合うかって言われたらちょっとなんか見合わないと思うけど
ただそのそういう中でも明るい材料を探すとすると
今後のね被害の拡大を防ぐためにそういうのが広まるのは良かったかなと思うけどね。
そうですねなんかこうタダでは起きひんぞみたいなところというか
教訓にできたのは議論のテーブルにいくつかの可能性っていうのが載ったのは
良かったかなっていう僕も思いますね。
今回なんでこんなに被害が広がったんだっけとかさ
どういう対策すればいいんだっけとか今までのでダメなんだっけみたいな話が
なんかだいぶねなんかいろんなところで聞くようになったなって気がする。
そうですねなんか報道の中にはインフォスティーラーという言葉が出てるのもありましたからね。
そうそうそういうの見かけるようになったのはまあいいことかもしれない。
ちょっと答えがね分かれへんからいろいろ多岐に及んでしまって
予測推測でしかないなとは最初思ってたんですけど
こういう議論のテーブルっていうのに乗って
皆さんが知る機会があるっていうのは結果的に良かったなって感じましたね。
はい。
でですね質問なんですけども何度か取り上げてもらっていると思いますが
エンドツーエンドが盛んになりだした昨今
共通鍵の扱いについて皆さんの見解をお聞きしたいです。
共通鍵は定期的に交換した方が良いするべきだと思いますが
期間はそれぞれだし強制ではない手間なのも承知ですがという難しい質問を受けます。
なんかちょっと質問が一般的すぎるんだけど
用途とかにも関係してくるからな
期待してる答えと違う気がするんだけど
一般に結構長く使われる鍵はいわゆる公開鍵暗号とかで使うことが結構多くて
それに対してメッセージとかのエンドツーエンドの暗号化とかは
一時的な鍵を使うっていうのが今のベストプラクティスというか
今その標準で使われているプロトコルはほぼ全部そうなっていて
12:03
なので共通鍵ってのは1回きりしか使い捨てなんだよね
毎回使い捨て
なんかどこが共通やねんっていう気持ちにはありますよね
毎回使い捨てで毎回鍵交換をするっていうのが今のほぼベストプラクティスなんで
だからそういう使い方が推奨されてるっていうのが一般的な答えだね
だから前に紹介したエンドツーエンドのメッセージングだと
メッセージ1回あたりに1個の共通鍵を使ってるようなイメージなんだよね
毎回毎回鍵を変えるっていう
1個が割れても他見られませんっていうことですからね
その仕組みがだからすごく厄介で
毎回鍵交換を細かいことをしないでも
うまく共通の鍵を作る仕組みはどうすればいいかみたいなのが
みんな悩みの種であって
その仕組みをどう作るかっていうのが難しいんだけど
なんかいろいろ扱いがありますけど
だいたいこの系のやつはNISTのSP800-57とかに
こういうのはこれぐらいが望ましいみたいなのがいろいろ書かれてたりしますよね
あと今言った長く使う系の鍵
例えばSSHの鍵認証で使う鍵とか
例えばPGPの署名とかで使う鍵とか
数年単位で使うものもあるじゃん
1年2年とかね
というものもあれば
でもそういうのも短くなる傾向にあって
最近だとサーバーの署名書
あれも基本的には公開鍵のPKIで実現されているものだけど
あと数年経ったらあれがもう何十日とかっていう単位で短くなっていくから
今前みたいに長い鍵はすごく長く使えてみたいな
常識がだんだん通じなくはなってきてるけどね
ちょっとね答えが難しいなと思いながらね
使い方とはケースバイケースでだいぶ違うかなって感じ
そうですね これではこう言われてるんで
この文章参照してくださいぐらいの回答になりそうかな
っていう気はしてたんですけど
取り上げてみました
最後なんですけれども
この質問ですかね
一般向け対策としてインフォスティーラーを警戒し
ブラウザのパスワード機能は使わない方がいいのでしょうか
それともサイトごとにブラウザから推奨される複雑なパスワードを使い
自分では覚えずブラウザに覚えさせてオートコンプリートされないところは
フィッシングの可能性ありと疑うように
ブラウザ機能を使う方が安全と言えるのでしょうか
もちろんワンパスワードのようなパスワードマネージャーが一番良いのでしょうけれど
というご質問が来ております
なるほどね
なんかこれ試験問題みたいですね
どう答えるんだみたいな
いろんな可能性を保存している時点でっていうのがありますからね
やっぱりね
あとはほらこの間のトロイハントさんのと同じでさ
オートコンプリートされへんって言っても自分で入れてしまう場合もあるしとかね
まあ難しい
こういうのって全部他もそうだけどさ
どっちのいいとこ取りってできないので
15:01
マルウェアに感染して保存しているものを全部抜かれるリスクと
パスワードをそのランダムなパスワード保存せずに
例えば使い回しをしたりだとか
弱いパスワードを使っちゃうリスクと
どっちを取るかみたいな
そうですね
まあそういう話だったりするわけで
どうなんだろうね
保存してなくてもね入力してしまうっていう風なのだったら
AITMだったら取られますからね結局
そのあたりだから
どのリスクを自分にとってはどれが一番リスクかっていうのを
考えるっていうことだと思うんだけどね
だから全員に全員
ブラウザに保存はダメですとかさ
ブラウザに保存つっても最近のやつは
ブラウザに標準にパスワードマネージャーが付いてるから
ChromeだったらGoogleパスワードマネージャーが付いてるし
SafariだったらAppleのパスワードのマネージャーが付いてるとかさ
基本ちゃんとしたパスワードマネージャーが付いてるから
僕は正直それを使った方がトータルでのリスクが低い気がするんだけど
でもまあじゃあそれで全く問題ないかっていうと
まあそうではないから
だからどの道どっちかに極端に論じるのは一番危なくて
保存は危ないから全部やめようは危ないし
全部保存しとけば安全も危ないし
単一のっていうのが多分無理あるかなと思ってて
これは組織でしかできないことももちろんあると思うんですけど
この攻撃でいいパスワード認証もしくは認可っていうようなところ
グッキーとかですよね
そういうのが取られる経路ってのは一つじゃないから
守るのもこのブラウザで保存する云々だけで考えたらあかんのかなって気がしますけどね
個人ってなったらちょっと厳しいですけどね
そこも一つの経路としてっていう
難しいこれは答えがないですけどね
答えがないのを探して考えるのが大事なんだけどね
やることっていうのはできることっていうのは従来の対策なんですけどね
今まで言われてきたような
こんな感じでいいですか
そうですねそれ以上なかなか気抜きで答えもちょっと言えないけど
何だったらこれに弱いみたいな一覧みたいな作ってみてもいいんじゃないですかね
自分の使い方だったらどれがいいかなみたいなのを考えてみるとかね
合う合わないもやっぱりありますからね
そんな感じでこんな認証の話というか認可の話というと
我々5月27日にITメディアっていうところでパネルやるんですよね
そうですね認証認可のね
そう認証認可唯我独尊第2章
タイトルをさ同じタイトルで第2章ってやったの初めてじゃない
そうよく気づきましたね
確かに
まあなんか2025とか2024とかはあるかもしれないですけどね
18:00
ああそうねタイトルでね
第2章っていうのはまあこれへんでもちょっとまたこの認証認可も整理するんで
もしよかったら見ていただければいいかななんて
はいぜひ
第2章ってことなんでね
トラブリューさんの労働を抜けるぐらいの章を語っていきたいななんて気持ちも
あれすげえ長いぞ
何章まであんねんみたいな
ほんとだよねあれ
まあやっていきたいなというふうに思っております
はいお便りありがとうございました
お便りいただいた方には番組特製ステッカーの印刷コードを差し上げてますんで
5種類ありますんで5種類揃った方は僕にDMで揃ったよという風に教えていただければ
写真を添えてですね教えていただければ
シークレットの印刷コードを差し上げるんでどしどしいただけると嬉しいですよろしくお願いします
はいお待ちしてます
はいということでじゃあ今日もセキュリティのお話をしていこうかと思うんですが
じゃあねぎさんいきましょう
はいじゃあ私トップバッターいきますけども
今日はですねまあちょっと今ちょっと認証認可の話が出てパスワードマネージャーの話もちょうど出ましたけども
これまでも何度か取り上げてますけどパスキーに関するちょっと小ネタを今日は紹介しようかなと
思ってるんですけども
大好きもうパスキーといえばねぎさん
そうね大好きだね俺ね
ちょっと前にですねGoogleがChromeの開発者向けのブログでちょっと発表した内容なんだけど
Chromeの136っていう今新しい出てるバージョンで
パスキーアップグレードっていう機能に対応しましたよと
でこれGoogleパスワードマネージャーで使えますよっていう内容で
開発者の人はぜひ使ってくださいねっていう話なんだけど
このパスキーアップグレードっていうのは何ぞやってる
これは多分まだこれまで喋ったことないと思うんで
ちょっと紹介しようと思ったんですけど
これは何かというと一言で言うと
ユーザーのパスキーを自動的に作る仕組みって言えばいいのかな
普通は僕らもパスキー使ってると思うんだけど
例えばそのサイトにログインしたらパスキー使えますけど
作りますかみたいなメッセージが出てきて
じゃあ作りましょうかみたいな
あるいは僕なんかパスキー作りたくてしょうがないから
どのサービスがパスキー対応しましたとかっていうニュースを見ると
すぐそこに行って設定画面を見て
すごいっすね
ささくってる場合じゃねーみたいな感じ
マジそうよ
どこでパスキー作れるんだどこだみたいな感じで探して
そういう感じなんだけど
いずれにせよサービス後までは極端にせよ
ユーザー側がパスキーを自分で作るっていう動作が必要じゃん
そうですね
なんでパスキーなんて興味がねーとかパスキーなんじゃそれみたいな
そういう人にとってはいつまでもパスキーを使う場面は出てこないわけで
それじゃあまずいんで
じゃあだったらユーザーの手を煩わせることなく
勝手にパスワードマネージャーがパスキーを作っちゃいましょうと
でパスキー使えるから作っといたよって
ユーザーに事後で通知だけすると
そういう仕組みにしたらいいんじゃないのっていうのが
21:00
このパスキーアップグレードのやつなんですよね
実は仕組み自体はだいぶ前からあって
WebAuthのAPIでコンディショナルクリエイトっていう仕組みがもともとあって
実は去年もAppleはサポートしていて一足先に実装してるんだけども
このコンディショナルクリエイトってのは
ある条件にマッチした場合にはユーザーに事前に許可をもらわずに勝手に
パスキー作っていいことにしようぜっていうそういう仕組みで
その条件って何かっていうと大きく二つあって
一つはユーザーがそのサイトのパスワードを
デフォルトのパスワードマネージャーに保存していること
っていうのがまず一つの条件
だからもうすでにパスワードマネージャー使っていて
そのサイトは登録済みですよってことね
加えてもう一つの条件が
その保存されているパスワードを実際に最近使ったことがあるっていう
一応仕様上推奨されているのは
ユーザーがログインに成功した直後に
このコンディショナルクリエイトを実行して
パスキーを生成するのが良いとされていて
推奨通りに作るとすると
ウェブサイト側がそうやって実装すると
ユーザー側の体験がどうなるかっていうと
あるユーザーさんがパスワードマネージャーで
あるサイトのパスワードを保存してますと
そのサイトにログインしに行こうとしますと
そうするとパスワードマネージャーが自動保管するよね
ログイン成功しましたってなると
パスキー作りましたっていう通知が出ると
あれ俺何もしてないけど勝手にできたぞってなって
次回以降ログインするときにはパスキーが使えるようになりますよ
こういう感じになると
なのでユーザーが自らパスキーを
よしじゃあしょうがないよ作ってやるかってやらなくても
あらかじめ作っておきましたよっていう感じで
パスワードマネージャーが気を利かせて作ってくれるっていう
こういう仕組みで
ただこれやるためにはブラウザー側が
この仕様に対応してなきゃいけないんで
今現在対応してるのは
iOSとMacのSafariと
今回Chromeが対応したのでChromeと
一応この2つが対応してるっていうことに
今なってますと
あと当然そのウェブサイト側が
Conditional Createっていう機能を呼ぶ
コードを書かないといけないので
各サイト側がそれを実装する仕組みがあるので
今回開発者向けにぜひ使ってくださいというアピールをしましたと
これ対応を再登録してくださいね
そうそうそういうことね
この仕組み自体はすげえいいなと思うんだけど
今の話で気づいたと思うんだけど
大きな問題が一つありまして
これはパスワードマネージャーを
使っていることが前提なんだよね
そうですよね
普通パスキーを使ってほしい人っていうのは
パスワードマネージャーを使ってない人なんだよね
多分ね
パスワードマネージャーを使ってないからこそ
パスキーというもので安全に使ってほしいわけで
24:03
パスキー使えば
パスキーって基本的に
どこかしらのパスワードマネージャーに
パスキーの鍵を保存することになるからまあ自動的にパスワードマネージャーを使う ことがあるんだけども
でもパスキーそもそも知らない人はさあパスキー作りますかって言われてもわざわざ 作ることで何の意味があってわかんないじゃん
作ろうとしないわけだよねでそういう人じゃあ救おうと思って自動で作れる仕組みが あるけどもでもこの自動の仕組みはパスワードマネージャーをそもそも使ってパスワードを管理
している人が前提なので そういう人はそもそもまあ言ってみれば意地気が高い系の人だからさ
まあほっといても多分パスキー使い始めるんだこういう人はさあさっきのネギスさんが まさにそうそうまあ僕はちょっと極端かもしれないけどまぁそこまで行かなくても
あ自分が使ってるパスワードマネージャーパスキーも作れたんだじゃあ作ってみようって まあ多分そのうちになるわけよ確かにそうですよねその本来引き上げたい人たちではなくて
もうちょっと引き上がっている人たちをより強固にするのにはいい仕組みかもしれないです けどそうそう一足飛びに上げるっていうもんでもちょっとないか
それもでもさないよりはあったほうが良くて パスキーの方がはるかにセキュアだから
パスワードマネージャー使っている人をさらにセキュアに持ち上げるのには有効だと思うんだ けど
まあでも本当はこれパスワードマネージャー使ってない人にこそパスキー作っ使ってほしいんだよ なっていう
そこがねちょっとなんかまあ難しいけどそこまではちょっと手が届かないよねっていう ところでこれだからこういうの見て思ったんだけどさまだいつも言ってたっても
こうこって多分平行線だからもうそれこそ何中からその パスキーを強制的にも作る
作らせるユーザーが作るって言わなくてももう強制的に作らせる カーナイシはそのパスワードマネージャーをもう強制的に使わせる
でまぁ昔はちょっとさてば1パスワードだとか僕がちょっと前使ったラストパスだとか そういうサードパーティーしかうまく使えなかったけど今はさちょっと状況がだいぶ変わってて
例えばスマホのアンドロイドだったら今行ったその google のパスワードマネージャーってのは デフォルトで使えるし安全にね使えるしパスキーももちろん使えるし
そうですねで iphone だったらアップルの音パスワードのアプリがもうデフォルトで 安全に使えるし
だからもう極端なこと言ったらもうこの人たちは強制的にこれを使わせるとかっていうふうに なんかしないと
データではパスワードマネージャーを使ってもパスワードも強制的に使わせると保存させると それだけどその保存するとがいいのかどうかっていう問題はあるあるけど一旦それ目を
つぶったとしてもう使わせるとパスワードマネージャーをと でそうすればこの自動アップグレードっていう仕組みが有効に機能するから
自然と全員パスキーを使うっていう道にさあ乗っかるわけじゃんそのパスにですね まあそれぐらいしないとなんか
永遠にそのギャップが埋まらない気がするなぁっていう なんかねそういう気がして仕組みとしてはすごいよくて今回クロームがね
27:00
サポートしたからクロームってね試合的にはすごいナンバーワンだからさ そうですね今やねであとなんか近いうちにアンドロイドをサポートしますよって書いてある
から これでほぼ全てのプラットフォームで使えるようになると言っても言い過ぎじゃないんで
そういうインフラとしては整ったと言えるけど でも所詮救えるのはパスワードマネージャー使ってる人なんだよなぁって思うと
じゃあ使っていない大半の層はっていうかねそうですね なんかそこが置いてきぼりになっちゃってますますなんか差が広がっちゃうような気もするし
というなんかねそれはジレンマというかまあこれをまあ仕組みっていうのがあることが 大事ではあるし素晴らしい取り組みだと思うんですけど
なんかねーまた要素2段階っていうふうなものとかを普及させなあかんで使わなあかんで みたいなことをっても10年以上言ってるわけじゃないまあそうですねそうでその中で
ね僕 昔言ったこと今思い出したんですけどうんあのもうなんかこうユーザーがそれをしたら得
するキャンペーンみたいなした方がいいと思うね あーなんか前言ってたらそういうのね例えばそのサイトでねそのマッシュあの b 2 c の
サイトとかでさ ニオンその日あのニオン層をオンにしたらなんかポイントもらえません
言ってたよねそれねそうそうだそういうのにこう近いかサイトとサイト側とグーグルが 協力する形なのかなこれをやろうとすると
あー確かにねとかねそのアップルなりグーグルねそういうプラットフォーマーが パスワードマネージャー使ってパスワードを作ったら何ポイント還元とかね
両方ともグーグルにしてもアップルにしてもマーケットを持ってるわけじゃないですか 自分たちのアップストアとかそういうのとかねあとグーグルプレイとかあってそういうところは
ポイントだとかまあなんか映画1本見れるでも何でもいいけど そういう風なんでも1000限りなんかこう
引き上げられへんのちゃうかなという気は ポイントとかわからないけどユーザーへの還元の原種をどうするかっていうのがあるけど
まあでも考えてみると結果的にはさあその不正なアクセスとか 不正ログインとかがまあ減るって考えたら
トータルプラブルプラスなる気がするんだよなぁそうそうもうずーっと毎日のようにそんなことが 起きてるわけじゃないですか
そうだねだからまぁそこまで見据えて一致団結してみんなでやろうぜ業界でっていうのは 確かにねそういうのはあってもいいかもしれないよねそういうのでもないと
もなんか今までのやり口では厳しいんちゃうかなって そうねあのちょっと話とれるけどさうん前回だから前々回だから言い忘れたことがあって
5月の第1木曜日はパスワードデーなんだけどさ 今年は珍しく言わなかったですね言うのを忘れたんだけどさんしか言ってない奴
もはや誰も覚えてないじゃん 覚えてますよ僕は世界的にさあ全く誰も見向きもして前面見向きもしてないは言い
過ぎだけど でもまたがそういうキャンペーンというのだからあるわけ昔からあるわけよあるあるあるけどそのお題
目だけ唱えてさあ今日はパスワードの日だから みんなパスワードに気をつけようとか言っても誰も何もしないわけじゃん
30:03
確かにそうですね 境外化してますよねそうそうそうだからそのちょっといやらしい
あれだけどでもそのインセンティブっていうがね今行ったその何か行動に繋がるような何か ポイント還元なのなんだのちょっと
ニンジンぶら下げないとダメみたいなのはまあ実際のところあるかもしれないねそういうのは ねそうそうそう
そうすれば何かそういうことやってるよっていうふうにメディアも取り上げてくれると思うんですよ そうで確かにそれは何かあったほうがいいかもしれないですね
そうそうそうそういいんじゃないかなぁと思いますけどねなかなかもちろんなんかまあ なんか歴品理由があるのかもしれないですけどねまあねいろいろねあるけど
まあでもそういうぐらいのことしないとなんかちょっとあんまり状況を変えられないのかなー って気はなんかするねぜひやっていただきたいですしやるときにはのセキュリティ
あれで聞いたからやりましたって言ってもらいたい そうなんすか
そんな言わずにあったらもう僕もすかさず俺が先って言いますか まあちょっとそういうことを思いましたはい来年からはねえっと世界じゃなくてネギシパスワードでに
ブーブー言ってありましたけどもどうですかみなさん 5月12日ねはいえなんかあったっけ
の日ですかなんかあったね5月12日なんかでしょなんかの日でしょなんかの日だねー 今日はねあのちょっといつもと趣向を変えてランサムな話していこうと思う
大珍しいね
毎回言ってるなこれだって言ってますねもうそろそろになってきてるかもしれんけど 売れなくていいですよブレですよね本当にね5月12日はアンチランサムウェアデイっていう
ねほらこういうのも誰ももう覚えてないでしょこんなの この日はねなんでこの日なんかでまぁこれを作ったというかこの日をこれにしよう
というふうに言ってるのはインターポールとカスペルスキーなんですけれども この5月12日というのは2017年の罠くらいの大流行のあった日なんですよ
覚えてますよ金曜日の夜だよあれは で土曜日に ipa から文章が出るみたいなことになって結構騒ぎでしたよね
週末結構大変だったも覚えてるそうそうそうそうそう だからこれも僕は今年から言っていこうかな5月12日でカレンダーに出ましたから
アンチランサムウェアデイ毎年の予定に入れましたけど全く浸透してないよなぁこれなぁ それをきっかけと言ったらなんですけどチェックポイントがですねあのブログを出して
ブーバー内容がまあ日本語にするとランサムウェアリローディット 2025年が最も危険な都市になる理由みたいな感じのまだまだ危険な都市が最近の
わけ いやもう十分に危険やろっていう感じがあるんですけど毎年更新されてるじゃん
いくつかね理由が4つほど挙げられてるんですがまあこの予想が当たるかどうかとか っていうのはまあ別にしてですね曲げられてた理由っていうのはどういうのがあるか
33:04
というとファイルの暗号化のみじゃなくてまぁこう本格的に強化通していくエコシステム になっていくだろうって一つ目で挙げられてたんですね
まあこれはのもいうまではなくこのぼっときがそれ何度もたあの取り上げてますけれども 暗号化でお金をせしめるというふうなだけではなくて
二重脅迫っていうふうにも言われて久しいですけど 情報を盗んでその被害者のそのシーンを貶めるっていうのを人質にするとか
ドスをするとかみたいなものがありましてということで ではデータのそのまあ dls ですねそのリークサイトありますけどもこれが
2025年の第一四半期は前年度比べると126%に増えてますと いうふうなことがあるということですね
また増えてんだねそうなんですよねまぁ数 まあ攻撃者の数も増えているように見えるってのもあるんですけどねグループが増えて
いるっていうのは前紹介しましたけれどもそうね 骨分化してるってなんかね前から言ってからそうそう
数としては結構だから被害の数も結局相変わらず増えてんだよねそうなんですよね でまぁそれ今言ったのが2つ目の理由として参入障壁の低下ということで
まあ2024年だけ見ても46の新しいランサムウェアグループが出てきていると 前年1.5倍ぐらいなってたかな確か結構な増え方だをしているんですよね
手厚いラースからのサービスみたいなものがあってまぁスキルの低い攻撃者でも いろんな攻撃ができるようになってまあラースモデルっていうのは定着してます
定着してますねっていうのが2つ目の理由です あとは3つ目がですね ai のことが挙げられていたんですけどもこれは中山時っぽいね
そうそうそうこの ai 直接的に ai で全部解決というようなことは言われたわけではなくて 例えばそのファンクセックっていうちょっとこれも進行グループで結構勢いのある
グループなんですけど あの ai で生成したランサムウェアのペイロードを使ってるっぽいみたいなようはその開発に
攻撃にかかるコストを減らしている時間とかを減らしているって今補助的に使ってる っていうふうな意味で紹介されてましたね
なるほどあとは組み合わせっていうふうなところでリツールで紹介したお話あったと思います けどリツールの件でね
ネギスなんかなそうだね相のと同じようには ai で作成したようなフィッシングのおびき寄せ方とか ディープフェイクのなりすましとかっていうので今まであった攻撃の実行方法が最低
されつつあるとちょっと強固にされているとか強化されているみたいなイメージで書かれて ましたね
実際ねその初期侵入のところでは多分 ai の威力がまあ結構 聞いてくるパターンはありそうだよね自然な文章を誰でも作れるっていうね日本語が
堪能でなくてもっていうのが大きいですよねこれは結構ね ですねビデオとかボイスフィッシング系とかさ
リープフェイク的なやつそうそうあれなんかはまさにねその騙されやすく多分以前よりも なってると思うからそうですね
まあそういうのが初期侵入の手段として使われるとっていうのはありそうだよね まあそれが3つ目で最後の4つ目ってこれはちょっとあの経路が違うんですけど
36:06
捏造された被害者の被害者と偽のリークみたいなものが書いてあって 要はの被害範囲を誇張したりとか
例えば小さいどっかの拠点とか工場って言って本店を行ったように見せかけるとかね 例えばね
あとはその偽のデータを公開するっていうのとか そのどっかのランサムギャングがリークしたものを自分たちがダウンロードし自分たちもやった
っていう風に強が脅迫をするとか なるほどまあ多種多様になってきてるっていうふうなものをちょっと上げられて
ましたこういうのを結構よくやっているグループも バブクビョルカっていうグループが今のちょっと一時期よくやってたんですよね
結構な僕もいろんなランサムギャングのリーク見てるとなんか偉い同じ時期に複数 同じ組織って言ってるなぁみたいなもあったりするんでそういうのもあるかなぁっていう
風な子が挙げられてましたと 本でね僕そのさっき言ったこの4つのうちのそのファイルの暗号化から本格的な強迫の
エコシステムと参入障壁の低下っていうところこの2つにちょっとフォーカスして 最近気になる気になってきたことを紹介したいんですけども
なんかこうどれぐらい成果が上がってるんやろうみたいな話でここでも議論したこと あるんですけどなんか暗号化っていうものよりもなんかデータリークに
なんかギャングが寄ってきているような気がするんですよね まあそのファイルの暗号化っていうことをすること自体をもう放棄してデータ盗んだデータ
だけで強迫をするっていうふうなものに集中しているというかそっちのが成果を 上げてるんじゃないかみたいな
グループもちょっと少し前から出てきているかなというふうに思っていて 例えばそのクロップなんてなく顕著だと思うんですよ
まあそうですねずっと俺も僕2020年21年からこのクロップ 見てきてますけどだいたい何もないときは一桁のストリーク数が
でまぁゼロの月もあったりするようなとこなんですけど これももうお二人もご存知の通りあのデータのコーストレージ系というんですかねあの
ファイルをやり取りするための製品の脆弱性を使った時だけ思い切り跳ねるんですよね この間看護さんがね紹介してくれたやつでも出てきたよねファイル共有の
ブーブーゼロデーの第3位だかなんとかいい カテゴリーで入ったりに入ってましたそのクロップだと実は2021年はアクセリオン fta
由来と思われるもので21件ありましたし 23年たゴーエニュエア mft で103件月
その後同じとしてムービットトランスファ由来で2ヶ月にわたってリークでたんです けど1ヶ月で89件もう次の1カ月で169件なんですよ
最近のクレオのやつ クレオの脆弱性由来と思われるものは1月から3月ぐらいまでかけて380件
超えてるんですよね グアーというふうに上がっているというようなものもあるのもちょっと気になっていてですね
このギャングも紹介したと思う元ハイブちゃうかって疑われてたっていうふうに言った ハンターズインターナショナルっていうグループいるじゃないですか
39:01
このグループが去年の11月にハンターズインターナショナルプロジェクト終了のお知らせ みたいなものをアフィリエートに発表してるんですよね
まあでもただ2開けてみたらまだ停止してないんですよね でその中で猫ランサムウェアのビジネスっていうのはこう政府機関の監視とか
あの知性学による悪影響でリスクの割に収益が低下しているみたいなことを言ってるん ですよ
でその時のタイミングで起きてたことっていうふうなものを見ると あの f atf っていう資金洗浄対策の国際機関みたいなのがあってですね
そこがのロシアを資金洗浄対策が不十分だというにグレーグレーリストに追加する みたいな問題が出てたんですよね
それを受けてあのロシアはその4つの地域で暗号 資産を匿名でやり取りできる取引所の関連団体に対して6人逮捕する
148件の捜索を実施みたいなことをしてこのリストから入るの免れたんですよね こういうのを受けて自分たちは動きにくくなっているんじゃないかというようなことで
ランサム自体がもっかテロ扱いされているぞってことで今年の1月1日から名前を変えて ワールドリークスって新しいプロジェクトをやってるんですよ
これはの情報接種のみでデータを盗む出すための自動化ツールを独自に開発で提供 したりみたいなものをしているという動きが出てきていると
あとはの小さいまだそんなに大きいグループではないですけど今年2月ぐらいから 宣伝開始だアヌビスっていうこれも進行ランサムギャングなんですけど
ここもあのプランが3つあってランサムで感染させたら 取り分が82で8あなたですとリークのみあったら64で6があなた
これ新しいのがもう1個あってですねアクセス権を提供したら接班ですっていうのが あるんですよ
これは要はインシャルアクセスブローカーをも自分たちのアフィリエイトにしようとして いるんですよね
そうだこういうのが動きを見てるとなんかこう様々な切り口でこうラースは必要な ものを提供して今までこうアフィリエイトを通じて
my ab とつながってみたいなものがラースのが1個のプラットフォームとなっていろんな タイプの攻撃者を
なんか怪獣しようとしているというか一箇所に集めようとしてきててなんかもうこれも はや会社やでみたいな
動きになってきてるっていう風なものがなんか分業専業みたいなことをちょっと前まで 言ってましたけどそれがもう1個のグループみたいな
いやーまりつながるグループみたいな感じになってちょっと前と比べて結束が固まっ ているような感じがしているなぁという風な印象を受けたということで今回これを
紹介させていただきましたやってる人たちの背景はよくわかんないけど お金さえ儲けられればいいんだとするとその手段はね正直何であってもいいわけ
なんでそうそうですね暗号化してダメージを与えて脅迫する方が儲かるケースもあれば そのさっきのクロップみたいなあのクロップのケースはやや特殊なケースだと思うん
だけどゼロデーだったってのもありますねあれはね ネットからそのアクセス可能なエッジにあるファイル共有とかファイルストレージの製品のゼロ
42:08
デーはまあどうやって見つけたかわかんないけど彼らがゼロデーとして見つけたものを 使ってまたか要はその自分たちだけがその知っているゼロデーで対策がされる前に一斉に
攻撃できるわけだからまあそれは成功率が高いし数も増えるはなって感じなんで それはね別にあえて暗号化なんかじゃなくても盗み放題なわけだから
それに特化した方が効率もいいし稼げるのかなっていう気もするんだけど ただそれはちょっと特殊なケースな気もするからまあそれだけ
そっちばっかり寄っていくかというとまあそうとも言えないだろうし やっぱりね暗号化した方がインパクトはでかいからさ
与えるダメージとか停止しますからね事業がねそれでまあ強迫して応じるケースがどれ くらい増えるかって言ったらそれはまた違うかもしれないわかんないけど
まだ情報漏洩だけに集中した方がまあかける手間に対してリターンはもしかしたら 効率はね投資効率はいいのかもしれないけど
攻撃側から見たらさ数を増やせますしねその 招き入れられる人のスキルも多種多様でも対応できるっていう風なものとしてはちょっと
脅威かなと思ったんですけど ただこういうふうに目つけられへんようなバランスを取ろうとしているっていうのは一定方
執行期間の効果が出ているというふうにも見れるなと思いましたねまあそうね いずれにせよなんかその手段は多分多様化した方がこっちがダメでもこっちのケース
だこっち使おうこっちだこっち使おうみたいなね一つのソロラースの中でも今行った みたいなそのいくつか統合化しようとしているというのはちょっと面白い動きっていうかね
まあ普通のビジネスもそうじゃ1個のサービスだけに全部のさあ売上が集中してたらそれが ダメだったら一気にガーンと終わっちゃうけどだから
それがうまくいったり2本目3本目の柱を作ろうみたいなまあ普通のビジネスもやるわけで 同じようなことを考えてるのかもしれないけどね
ねまぁあんまりこう僕ら側からするといいことではないのかもしれないですけど攻撃者側 もいろいろ工夫をししのぎを削り始めてるなっていうそのそういう意味でもなんか会社っぽい
なっていう感じはそうねこの変化が一つかなっていう気がしましたね まあ犯罪組織もそういう意味ではねちゃんと組織化されたてやってるんだろうからさきっと
あの本格的なところはねそうでないようなぽっとりのところはそうじゃないかもしれない けど
そういうくらいのその規模体制でやってる人たちが相手って思わないといけないかもね あー確かに確かになんかここらへんもブラッシュアップしなきゃいけないかもしれんですね
こう今までちょっとした犯罪者がやってるっていうのではもうないぞといういよいよ っていう感じはしますね
いうことでございますありがとうございますありがとうございますはいじゃあ最後は看護さん デイ
はい今日私はザリリスター海外のメディアございますけども そちらの記事で取り上げられていた
45:00
スノーフレーク会社ですねクラウドサービスの事業をやっておられる会社ですけども そちらの cso がインタビューを受けられたという記事がありまして
スノーフレークの事案ってどうですかなんかたびたびキーワード的には ポッドキャストとかまああと先ほどご紹介のあったようなセミナーとかでも出てきてた
かなぁとは思うんですけども大きな事件だったもんねあれね そうなんですよね本当に2024年最大規模のデータ侵害の一つとも言われている
ぐらいの結構大きな事件ではあったんですけど 取り上げたこと自体はこれはなかったかなっていうこともありましたのでちょっと振り返り
ながら あのインタビューの内容でもこういう考え方なんだっていうところもあの学びとしてあったので
あのご紹介したいなぁと思っているんですけども スノーフレーク自体は先ほどお話した不正アクセスっていうのは2024年の5月
ぐらいにですね顧客企業数で言うと165なのかな 少なくともかなりの数のそのフレークのサービスを使っておられる
企業が被害に遭われたというところでまぁ中には日系企業も入っていたという話でも あるんですが
利用されている企業が総じて大手が非常に多いというところがあってですね まあなので数百万とか数十万とかそういったレベルで影響が広く及んでいったという
まあある意味そのサプライチェーン攻撃のあの事例という形でも取り上げられる まあそういった
の事件ではあったんですが これいわゆるあのスノーフレークが直接攻撃を受けたかっていうとなんかそういったものでは
なくて 提供されてサービスになんか脆弱性とかそれこそ設定の不備があったとか
なんかそういったものではなかったというのが特徴としてあってですね じゃあなんでそんなにたくさんの企業がやられていたのかというところについては
調査入られたところなどの結果によれば先ほど冒頭から話題に上がってましたけども インフォスティーラーですかね
インフォスティーラーなどを使って スノーフレークを使っている顧客企業のクレデンシャル認証情報が外から盗まれて
それがスノーフレークのサービスに対して使われてしまっていたという まあそういった事案であったと
残念ながら多要素認証は有効になっていなかったと被害にあられていた多くのその 企業においては有効になっていなかったというところがあってですね
サプライチェーンの代表例でもありますし インフォスティーラーが深刻な脅威という形で実際にこういった広く影響が及んだ
ということで事案につながった有名な事例の一つにも挙げられるのかなというところがあってですね
いろいろ学びが事案だけ見てもいろいろあるというところではあるのですが 今回このインタビューにおいてどのような考えでそのしあえそうな方が答えられていたか
48:03
というところにおいては クラウドサービスで言うとよく言われるのが責任を共有する
責任共有モデルというのが一般的なんですかね もうかなりAWSとかクラウドサービスを利用するにあたって考え方として広く浸透しているところではあって
インフラ側の保護に関してはベンダー側が責任を負って その上で実際に動かしているデータであったりアプリケーションとか
そういったところにおいてはクラウドを使っているユーザー側の責任という形で ある意味その責任分解をはっきりさせた上でやっていくというまあそういった考え方
モデルというのがまあこれ今一般的な考え方であって 今回のそのスノーフレークの事案においても
言ってしまえばスノーフレーク自身は全く悪くなくて そのクラウドサービスを使っていた顧客企業が十分な管理っていうのを残念ながらできて
いなかったっていうところが大量の不正アクセスの事案につながっていたという ところではあったんですが今回のこの事件
不正アクセスを受けてスノーフレーク側の考え方というところについて インタビューの中で答えられているCISOの人が答えられている内容においては
責任を共有するというところからですね もう一歩進む考え方として
運命のこれ運命の共有でいいのかな シェアードディスニーって書いてあるので運命の共有っていうのが多分日本語的には一番近いのかなと思うんですけど運命を共有する考え方に移行していくという そういった考え方にも続いて対策とかを進めていくと
これはやられている内容自体はまあこれまでも いろいろいろんな企業とかベンダークラウドサービスの事業者がやられているところかなぁと思うんですけど
考え方としてはこういう考え方が来ているのかなというところもあって まああのやられている対策の一つとしては先ほどお話に挙げさせていただいた
MFA 多要素認証においては2024年の10月以降は新規のアカウントに対しては規定で必須化したと
単一のパスワードにおいてはこれは段階的な廃止っていうところを進めていて 25年今年の11月までには完全にこれを終えるというところを進めていたりとか
あとは外部でそのリーク情報という形で出回っているようなものにおいて スノーフレーク側のアカウント情報だなというふうに考えられるものにおいては積極的に
これを検証していくと アクティブなというか積極的なというかお客さんの情報というのをしっかり保護していく
というところを考え方として取り組んでいきますということで 顧客側で起きた問題を単純にその顧客の責任でしたっていう形で閉じるのではなくて
51:05
そこで例えば今回の事件はスノーフレークであったり そこに関係するお客さんのニュースっていうのが今回の形で結果的に出てきてしまうと
それはお互いにとってマイナスにつながるという そういった考え方に基づいて運命を共有していくというところを
2020年の5月に発覚したそういった事案を受けて対応を進めていくという そういった考え方をやっていくというところもあったので
ある意味こういう考え方がもっと浸透 広まっていくと自己責任というようななんかそういうすごい
それだけを見れば解決というか考え方としてはシンプルだとは思うんですけども 広く見た時にそのサービス全体のエコシステムであるとか
評判レピテーションであるとかそういったところにつながってきかねない そういった状況などが起きて現状起きていることを踏まえると今回のような
運命を共有するモデルっていうのがちょっと表現として 他側を一緒に使っていくかっていうのちょっと微妙な感じのネーミングではあるんですけど
そういった考え方に基づいてクラウドサービスというかこういったサービスを提供 する事業者側もより顧客と残念ながら十分に対応が取れない
取ることが難しいお客さんに寄り添っていくような対応っていうのが求められて くるのかなっていうのは今回のこのインタビューなんかを
ちょっと短いインタビューであったんですけども記事に載っていたのはそういった インタビューの内容を見るとちょっと伺えたところかなと思って紹介をさせていただき
ましたこのあの 運命今日何なんでしたっけ運命共同体的な表現運命共有モデルですね
共有モデルかそうかそうかまあそれが流行るかどうかは僕も別の話やなぁと思いながら 聞いてたんですけど
そのなんかこういうサービス提供する側がこの被害こむった人たちのどう守っていくか どう保証していくかっていうのは最近日本でもあったあの証券会社系の
薬缶の定めどうすんのみたいな話だったじゃないですか あれも結局そのようなところがね薬缶の定めに関わらずその個々の状況に応じて一定の
保証しますみたいな方針を示しているっていうのがあるので 会社側というかその組織側の方がもうちょっとこう一歩踏み込んで保証していくっていう
風なものになると 本腰を入れますし本腰を入れたらねに要素認証を必須にするとかっていう風になってくる
から いい方向なんかなっていうそうですねトータルで見て
そうそう全体的にこうダメなところに流れていこうお金なり何なりが減らせられるって ことを考えるとこちら側の駅になるのかなっていうふうには
世界的にそういう動きになっていっているのかなっていうふうに思いましたね これさあちょっとまああえて批判的に言うけどさ
まあこれはのスノーフレークさんの cso のインタビューだからまあ自分たちにちょっと都合よく言っているところがあって
54:02
その批判的な立場の人から見たらというかあとその実際にこの件で被害を受けた企業 例えばチケットマスターとか at & t とかダナタルの企業がみんな被害を受けてるんだけど
ですね例えばチケットマスターというか顧客の情報のアカウント数5億6千万件だからね漏れてる 件数が多い
at & t だって1億件とか超えててそうですね でそもそもこのスノーフレークと財物自体がそのデータクラウドっていうその顧客のデータを
大量にぶっ込んで分析するっていうことを売りにしているサービスなわけで そもそもがだから大量の顧客データっていう割と機微なデータを扱うことが前提になってる
じゃない だからこんなにそれいろんなお客さんのデータをみんな大企業がぶっ込んで使ってるわけで
でそれに対して事件があってまぁ一生懸命その対策をしたのはわかるが 対応総認証を必須にするだろうなんだろうかんだろうやってるけど
それやっとけばよかったんじゃねっていうかもともと それはオタクの不備ではって言われてもおかしくはなくて実際この事件が起きた時に結構
Snowflakeはかなり批判されたんだよね 自分たちの責任ってないって言い張ったから
すごい批判されてその反省もあると思うんだよ今回の方向転換というか 結局さっきの証券会社のケースもそうだけど以前からいろいろあるけどそれはユーザーの責任
ではねって言うのは簡単だが結局被害を受けた時にユーザーが被害を被った時に サービスを提供した側も一連択勝っていうかさ
自分たちのそのレプテーション下がるしユーザーの満足度は下がるし 新規顧客は逃げていくしみたいな感じになったら結局誰も得しないのでそうなんですよね
そういうのを考えるとまあなんかある意味その運命共同体っていうのは当たり前っちゃ当たり前 であってほしいなというか
いやーそれはのユーザーの責任でしょううちは知りませんよって突き放せないし 突き放している会社は多分どうだされちゃうんじゃないかなっていう気がする
まあそんなことも言うてられへんぐらいに被害が出てるってことですからねそうそうで 実際そのそういう対策をちゃんとその選定でやっているところはだからこれ
そういう採択をしてなかったから狙われたと思うんだよこれああ 旨味があるぞとだってそのインフォスティーラー由来だとしたらさ
いろんなサービス会社のアカウント情報が漏洩してたはずなのに ここがその利用者も使ってないし入るの簡単だし
顧客情報は大量に扱っているから脅迫もしやすいしこれ実際に漏洩したところには 脅迫してるわけだからさそうですねこれは金になるとしめしめって言ってだから狙われた
わけよねここピンポイントで だからこっから情報が漏れたわけじゃないけど結果的に狙われたのにはやっぱりなんか不備があるん
じゃないのって思われても仕方がないその恐れないの理由があるんじゃないかなというのは ちょっと思うそのままあえてそういう批判をすればね
57:04
実際そのところはまあちょっとあの意見が分かれとかと思うけど ちゃんと管理してなかったそのユーザー企業がもうダメだと思うよダメだと思うけど
ダメだと思うけどって突き放しちゃってもダメだねっていうのがまあね今回のインタビューで そういうこと言ってるってのはいいことかなと思うけどさ
あーそのやったことがまあ結果的にはね良い方向に進んだというけど結果的にはそうだな って思うけどそれお前が言うだよって思うけどね
まあでもこれも何かさっきちょっとねあの話でしたけどその やらかしてしまったからこそ気づけたっていうところもあるのかなそうなんですよ
やらかす前に気づけるのが一番言っちゃいいんですそうなんだけどねまあそれ難しいよね 僕はこのスノーフレークとの話ではリンクとの頃見たときはしなかったですけど
その証券会社のが薬缶で突き放すっていうようなものももう時代にあってないん やなっていうふうに思いましたね
社会全体の損失っていうのを考えると ユーザーの被害は知りませんよって言うのはまあ
薬缶縦に言うってなった簡単にできるけど 結局で両方とも損するからねそうお金持って行かれ放題な状況
止血できないわけですからねそう今の状況だった今これまでだったらね まあだからそれをちょっとあえて踏み込んで一定のまあそのなんかユーザーによっていろいろ段階は
あるあるっぽいけど まあでも保証しますよって言ったってことはまあ結構大きなポイントだった気がするけどね
まあでもなんかああいう何千億みたいな被害が出る前にこっちももっと早く考えてほしかった っていう気持ちになりますねそういうの聞くと思わなかったでも証券会社のサイト
ログインでニュースなくて大丈夫かなあとはまあ薄々思ってはいたよね 銀行系が早くからニュースを取り組んだらにもかかわらず証券系はものすごい遅れ
たから遅れてたしデフォルト音じゃないしとかね だからまああの怒るべくしておきだと思うよこれは正直確かに何か
そうですよねその証券会社のそのに要素みたいなのをちょっと工夫してあったりするような ものもあるんですよねその数字を入力するパターンじゃないとか
あるんですけどそれメールアカウント1個乗っ取られて終わりやみたいなまたするんですよ まあやらないよりはマシだけどぐらいのやつとかね
まあそれに比べたらなんかその他の金融機関は特に銀行系とかはさ かなり席はだし最近の銀行のアプリってほとんどその
生態認証系とかあーそうひも付けられますよね そういうのを使えるようにしててばむしろそっちを積極的に使わせるようにしてたりだ
とか まあああいう取り組みやっぱりね見習うべきかもしれないなっていうそうですねなんかアプリ開く
たびに恩にせい恩にせい言う出てきますしね まあね業種によるそのいろいろ規制などなんだが違いはあるにせよ
そういう取り組みは参考にすべきだったのではとは思うけどね まあ今更ではあるけど確かにオンラインバンキングってもう20年以上前からの物理的
なのワンタイムトークンとか配ってましたもんね そうそうそうかなり取り組みとして早かったよね僕も大好きな今はなきジャパンネットバンク
1:00:07
なんかそんなが先駆けじゃないですか 名前が変わったんですけどね
まあ今ペイペイ銀行って名前でね なんかお金が出て行きそうな名前やなぁと思って嫌やなぁ
いいじゃねーか便利だからペイペイはそうですかなんか ペイペイはいいけどペイペイ銀行と言われてなんかどんどんお金をペイペイみたいな
なんでそんな名前よねみたいな感じもありますけれどもまぁ頑張ってくれてたんで僕は 応援しているんですけどね
はいはいありがとうございますはいはいということで今日もセキュリティの話を3つして きたんで最後におすすめのアレなんですけれども
これからねあのもうなんかちょっとで気候がもはやもつゆの様子を見せ始めてきております けれども
でねそのやっぱつゆっていう風なものが来るとやっぱりこう ジメジメジメジメするでしょ
はいはいなら出てきおるんですよあいつらが 何が何だろうカビがあカビか
片つむりがと思ったそう違う違うつむりは ドルが別に出てきたらいいじゃん美味しくいただけばいいじゃない
でねそのまあそのつゆ云々関係なく家の中で一番湿度の高いとこってのお風呂 お風呂ってまあその家のそのお風呂の作りもよると思うんですけど僕がこうずっと悩みの
種あったものがあって あのパッキンあるでしょパッキン
カドンとことかに入れてある固まってゴムみたいなやつあるでしょ あそこにですね
つく黒いカビ 黒カビねあれほんま取れへんのよ
あのカビを取るのでおなじみの有名な製品を使っても取れへんかって でちょっとまあ年に1回ぐらい掃除っていうのであの人によったらプログラマの横外したりとか
しても掃除したりするじゃないですか あーあるねんちょっとそれがねめんどかったっていうのもあって業者の方にお願いした
ことがあったんです去年かな 方法それをやってもそのパッキンの黒カビは落ちなかったんですよ
業者もお手上げですかそうでねこれちょっとなぁと思って何とかしたいなぁってつい も近いしも綺麗したいと思って
業者の人にパッキンをもう入れ替えてもらおうかなと思ったんです あーなるほどいやでもやっぱりそんななんか大掛かりなことしたくないしなぁと思っ
なんかこうできるもんないかと思って探したら出会いました 激落ち君のですね
知ってます激落ち君って激落ち君は知ってる使ったことある知ってるでしょ レックっていう会社が作ってやつなんですけど激落ち黒カビ君ってのがあるんですよ
そうなの名前だけ見たら黒カビつけるんかな あの黒カビ君カビ取りジェルっていうのがあって
チューブで先が細くなっててもチューブ大きいって言えばピューってこの塗るような感じで あーはいはいはい
ジェル状なのでをさらさら流れていかないわけですよねちょっと留まってくれるんですよ 吸着してカビを対応する方で30分ぐらい放置して流してくださいっていう製品だったんですよ
1:03:00
まあいろんなねこれまでそのお風呂の製品で言うとカビもそうですしあと石鹸カス みたいな固まってなかなか取れへんやつとかあるでしょ
あんなもなかなか取れへんかったからもで半信半疑でまぁ騙されたと思ってって思ってやったら めっちゃ綺麗だったんですよ
おおそうなんだ 真っ白真っ白真っ白通り越してもマッチロマッチロ
まあすごいねそうまあそのあのゼル状とはいえやっぱりちょっとやっぱりこう 重力に負けるんでまぁそういう時はそのティッシュとかキッチンペーパーとかを当てておけば
そこにとどよけとどまってくれた狙い撃ちできるわけなんです 1年ぐらいもずっと何か気になり続けたやつがすっきり
モッペ言いますけどマッチロですマッチロ気持ちいいねそれね マッチロこれマジでその黒カビ系に悩んでそれを特にパッキンなかなかと染み込んで
取れないんですよカビがああそうね 根深くてねいやこれはもうね本当にこの感動を伝えたくてご紹介させていただいたんですけど
もう どれぐらい感動したかっていうとこれ今日で収録する前にちょっと僕美容室行ってたんですけど
先に美容室の人にも何の脈絡もなく紹介するぐらいの感動です これいいですよってもう無理やり話を持ってくれ
お風呂のカビとか気になったりしませんみたいな売り込みみたいなことを言い出すみたいなね おもろ感じでこれ本当にちょっと悩んでる方いらっしゃいましたらぜひ使っていただきたいなって
他の手段で何やってもダメだったって場合にいいかもねこういうのねそうそう100g 900円なんで定価
全然ありですねそうそうそうそうぜひぜひあのもし騙されたと思ってもしうまく 落ちなかった僕がそれ買い取ります
うちの落ちたんで小さな保証つきだぜひあのこれから梅雨を迎えるんでねスッキリして いただければと思いますはいありがとうございます
はいということで今回は以上ですまた次回のお楽しみですバイバイ バイバーイ
