新年の抱負
明けましておめでとうございます。 明けましておめでとうございます。おめでとうございます。今年もよろしくお願いします。
2026、令和8年ですか? そうですね。2025年も終わっちゃってたんですね。 終わっちゃいましたよ、もう本当に。どうでしたか、年末年始は。
まあ、なんかのんびりしましたね。 あ、そうですか。 特別感はなかったけど。 確かに。
僕も大体、パワーポイントとか、仮想環境を作ったりとか、そんな2026年に向けた便利環境を作ろうかな、みたいなことと。
2月、3月ぐらいを見越した資料作りと、みたいな感じで、相変わらずでしたね。
僕も、いつもと違うのは、毎年年末にやってるけど、1年間の見直しっていうか、振り返り。 1年間どんな事件があったかなとか、まとめたりとか、そういう振り返りにいつも使ってるんで。
それはやったけどね、それくらいかな。
年末やからみたいなことはあんまり、ランサム集計とかぐらいかな。
それもあんまり変わらんやん、いつもと。
それをちょっと楽するコードを書いたんで、だいぶ楽にはなったっていうぐらいなんですけどね。
そういうメンテナンス系だよね。
そうですね。年始という意味では、今年の1文字を決めましたね。
毎年やってるやつだ。去年のやつ覚えてるよ。クサビでしょ、クサビ。
おー、さすがだってね。東壇のね、僕らのパネルのタイトルにも使いましたからね、クサビっていう字はね。
それはなんか結構印象に残ってるな。
そうですか。まあまあ僕もね、これも10年以上やってるけどね、だいぶ忘れてるんですよね、昔のやつ。悩んだから。
メモしてなかった時もあったから。
そうそうそう。ほんでね、今年の1文字、僕は三元字に決めるんですよね。
決めまして、今年の1文字は、浸という浸透の方の浸ですね。浸入の人弁ではなくて、三水の方の浸。
はいはいはい。
意味としては、浸す浸るっていう浸水とかって言ったりとか、浸みるとか浸み込むとか、浸透とか浸潤とかって言ったりしますけど、
あとは三水に参るみたいなやつ書く、滲むっていう字あるじゃないですか。これも浸って読むんですけど、これの置き換えにも使われるような、滲むっていう風なね。
いう風な字をちょっと今年の1文字に据えようかなと思いまして。
その心は。
でね、これまでの自分の記憶の中にある範囲の今年の1文字を振り返ってみるとですね、分けるっていう字、文ね。
とか、あとは立つ、断っていう字。
切り離すとか切り捨てるとかみたいな感じの話すようなものが多かったんですよ、今まで。
おー、なるほど。
で、去年はね、先ほどね、ねぎすさんがおっしゃった通り、くさびっていうやつで、くさびの説明した時には、断ち切ることにも使うし、何かを止めたり繋げたりするようなのにも使う。
結構、分けるっていうのと繋ぐっていうのを中間の字を選んだなっていう風に思ったんですよ。
はいはい。
今年は、いろいろ間の字を使ったということもあって、繋ぐ、広がるみたいな意味で、染み渡っていくみたいな字にしようかなと思って、いろんなものを繋いだりとか。
僕自身もね、ちょっと私事になるんですけれども、会社が変わるというか、転職というわけではないんですけど、変わるんですよ。
あー、そっかそっか。親会社にね。
そうそう。いわゆる合併というんですかね。統合というか。そういうところに身を置いて、活動範囲も広げたいなとか。
新しいところに自分自身も浸りつつ、自分自身を染み込ませつつ、みたいなことをやっていければなっていう一連にしたいということで、親という字にしてみましたね。
セキュリティ関連の成功
活動の幅が広がるというか、そういう思いも込めてみたいな感じかね。
そうですね。僕としては今まで外のお客様って言えばいいんですかね。今までずっとやってきましたけど、今度は組織だいぶ大きくなりますから。
そうだよね。大企業だもんね。
そうそうね。中のセキュリティにもやっぱりちょっと身を置きたいっていうのもあって。
なるほど。
外のお客様に接するだけではなくて、グループだったりとかね。そういうところで今まで得られなかった情報とか、扱えなかった情報は扱えていて、規模感的にこういう情報はなかなか見られへんわな、みたいなもの。
そういうのを自分の会社としてアピールするような材料にも使うのの一助になりたいなと。
外と中を滲ませるみたいな感じというか、そういうことをしたいなっていう気持ちを込めてこの字にしてみました。
いいじゃないですか。いい経験になりそうですね。
そうそう。今後の2026の辻にこうご期待ということで。
楽しみにしてます。
はい、お願いします。
はい、お願いします。
ということでね、お便り結構来ておりましてですね。
3週間間がいたしね。
そうですね。
まず一つ目はですね、前にVPNって一言で言ってもみたいなお便りあったじゃないですか。
あー、どうやって呼び分けたらいいかみたいな話?
そうそうそうそう。うまく伝えるにはどういう風な言い方がありますかみたいな。
それに対してですね、DMで結構長文でいただきまして、こういうことだったんですみたいな。
お便り採用いただきまして誠にありがとうございます。とても嬉しいです。
プライベートVPN、コーポレートVPNと大変勉強になりました。
会話の中で2つが交わるシチュエーションがあまりないとのことでしたが、私のケースを紹介させていただきますということで。
業務でセキュリティの調査をする際には、ウェブサイトなどへのアクセスをする場合にプライベートVPNを使用してOPSECすることをチームメンバーに説明してます。
VPNをあまり知らないメンバーもいるので、なぜVPNを使う必要があるのかとか、VPNソフトの使い方を教えるということをしている立場だそうです。
そんな中で、VPN機器の脆弱性をつかれてランサムウェアに感染等のニュースを目にしたメンバーから、
うちらが使っているVPNソフトは大丈夫なのですか?という質問を受けたことがきっかけとなりました。
あまりサイバーに詳しくない方にとっては、VPNサービスが2種類あるという概念がないので混同してしまうかなと思った次第です。
そのため、メンバーが外部の人とVPNについてお話をする際に、混同しないようにするため、
VPNを知らない人に教える際には、この2種類があることを説明するようにしましたという答えでございます。
なるほどね。やや特殊な状況というか。
そうですね。業務でプライベートVPNを使うということ自体はそんなにあまりなさそうですもんね。
まあそうだよね。
業務によるという部分はあってもね。
でも、どういった系統でどういう会社で働いてらっしゃるか知らないけど、
ちゃんとそういうOPSECとかなんか意識して調査をされているってのはなかなか素晴らしいですね。
確かに確かに。そういう手順とかがしっかりされているんですかね。
それは大事だよね。どういう調査をするかによっては気にしすぎって言われるかもしれないけど、
場合によったらそういうことが何かに影響する可能性もないわけじゃないから。
IPアドレスによったら、例えばフィッシングとか特定のアドレスからまっ白のページしか出さないとか、
組織が知られたくないとかっていうのはあるから、そういうのをしっかり知るのは素晴らしいなと思いましたね。
あとその僕なんかもまあそのOPSECよりもむしろよく使う場合っていうのは、
結構その国によって見れるコンテンツが違うやつとかあるじゃん。
ありますあります。
日本もそうだけど海外からのアクセスを遮断しているコンテンツとか結構あるんで、
そういうのはまあなんかその調査で見なきゃいけない時ってのはやっぱあるから、
OPSECというよりもその国のアドレスからでないと見れないものを見るために使ったりとかっていうことは結構。
確かに確かに。そっちの方が多いかな。
そうそう意外とねそういうのあるんで。
なるほどねそういうVPLの使い方を知ってるから今度はしないようにってことね。
聞いてみないとわからないことあるなと思いました。
そうですね。
でですねこれ時期的なもんですかね。
たくさん今回今までで一番来たんちゃうかな。
合格しました系のお便り。
おめでたいね。
はいいっぱい来てましてですね。
ちょっと全部読み上げていこうかと思うんですけれども。
ポッドキャストの影響
秋野情報処理安全確保支援士に合格しました。
セキュリティのアレで興味を維持できてよかったです。
広瀬太田さんおめでとうございます。
おめでとうございます。
本日合格しました。
これから一人前のアレ勢になれるように頑張ります。
島小松さんおめでとうございます。
おめでとうございます。
ありがとう情報処理安全確保支援士に合格しました。
キムタンさんおめでとうございます。
おめでとうございます。
ありがとうから始まるっていうのはちょっと嬉しいな。
そうね。
情報処理安全確保支援士試験。
前回受けた試験ではいつもアレを聞いているのに
CVSSの最新バージョンの問いに答えられず不甲斐ない思いをしつつ結果も不合格。
今回はリベンジに成功合格しました。ありがとうございました。
ガンガンいこうぜさんリベンジ成功おめでとうございます。
おめでとうございます。
次が50歳越えでも安全確保支援士合格。
セキュリティのアレのおかげです。
ギリギリクリアできたのは欠かさず聞いて得た知識で自由記述欄に目いっぱい書き込めたおかげ。
飛行機みるひさんおめでとうございます。
おめでとうございます。
素晴らしい50歳越えてか。
情報処理安全確保支援士合格発表後に
セキュリティ関連のSNS投稿をいろいろ調べていたら
面白いポッドキャストにたどり着いた。
今までも記事等でついさんの名前をメニューすることはありましたが
こんな面白い配信があったとは。
明日から通勤のお供になりそうということで
ぷぷじさんおめでとうございます。
おめでとうございます。
この方も同じなんですが支援士に合格した後に
さらに勉強したくていろいろ探しているうちに
セキュリティのアレに出会うことができました。
最新回から遡って聞いているのですが
聞けば聞くほど試験を受ける前に出会いたかったと思います。
これから試験を受ける人はみんな聞いておいたほうがいいです。
もっと広がれということで
へっぽこさんおめでとうございます。
おめでとうございます。
もう一つは安全確保支援士ではないのですが
会社から提供してもらったCISSPの受験チケットが
年末で切れるので受験。
90分ほどで100問程度こなしたところで試験終了。
セキュリティのアレを欠かさず聞いていたからなのか
思いのほか順調に回答もできたようで無事合格しました。
これからも継続して調校させていただきます。
ということでハマーさんもCISSPおめでとうございます。
おめでとうございます。
おめでとうございます。
僕全部これ見たらおめでとうございますみたいなリプを返してるんですよ。
その中でやり取りしたかったのが
すごい名言を言ってくださいました。このポッドキャストに対して。
何でしょう?
これ聞いてると合格するんだみたいな感じの空気感もある中で
これめっちゃいいフレーズやなって思ったやつがあったので紹介しますね。
5点から10点は底上げされるポッドキャスト。
なんか現実的だね。
現実的やしあまり課題評価にもなってなくてちょうどいい表現やなと思って。
確かに。
ぶっちゃけそれぐらい効果あってもおかしくないよね。
そうそう。キーワードが引っかかったらこれ聞いたことあるぞみたいな
真剣ゼミで見たやつや的な感じのやつがあってもおかしくない。
ポッドキャストと合格の重要性
1問とか2問とか合否を決定付けるようなその位置もできてればみたいなのが
もしかしたらポッドキャストでっていうのはあり得るよね。
ちょうどお守り感みたいなところもあって
合格するポッドキャストって言うとあんまり言い過ぎたら
まるまる信じ込まれると看板に偽りありみたいになるじゃないですか。
確かに。そこまで目指してない人こっちもね。
冗談で言ってるけど、冗談って通じない場合も中にはあるかもしれないですよね。
一元さんというか初めて聞かれた方とかはね。
だからこれ言っていこうかな。5点から10点は底上げされるんでっていう
いいフレーズね。嬉しいなと思いましたね。
それ嬉しいですね。あと意外と合格してから初めて聞きましたというか知りましたっていう人が
それもだから安全確保支援士に限らないけど
とりあえずまずは資格を勉強して取るところからっていう風に
もしかしたらそういうところからセキュリティに入る人が結構いるんだと思うんだよね。
そうですね。
そうすると別にね、こういうコンテンツとかそんなに詳しくは当然ないだろうから
それをきっかけに入ってくる人がいるっていうのも嬉しいなと思ったね。
そうですね。セキュリティの部署にね、例えば上司室から
シーサート部門のバーチャル組織で入りました。今年からとかで勉強しますみたいな人が
試験から入ってこれを知ってもらうっていうのは嬉しいですよね。
結構外部のトレーニングとかそういうの見ててもさ
いきなり部署移動で派遣されてきました的な人ってよく聞くから
いますよね。
全然右も左もこれから勉強しますみたいな人結構いるからさ。
結構僕の周りでもいますよやっぱり。
ぜひね、今後も聞き続けていただけると嬉しいですよね。
5点から10点は底上げされるということになります。
サイバー攻撃と復旧手順
これはもう実体系に基づくコメントですからね。
確かに確かに。
5点10点で合皮は上がれるかもしれませんから。
そうですよ。
そんなこんなでですね。
あとは前回の年末の井上さんが来ていただいた簡易に対するコメントで
似たようなコメントいくつか来てるんですけれども
なんちゃって国税庁の税金収めろ迷惑メールとか
なんちゃって総務省の国税調査迷惑メールとかもあるから
ノーティスのメールも怪しまれちゃうんだろうなとか
あとは警視庁が直々に容疑がかかっているというふうに
メールでお知らせしてくる昨今。
これ偽物のやつですね。
総務省にオタクのルーターが脆弱ですって言われても
ああまたかっていう風になってしまうんじゃなかろうかということとか
あとはスパムかと思ったっていうのは割と納得できる。
疑わしきは触らないと思う人は多いと思う。
コスト次第ですが市町村や国税調査など
郵送にて通知するのが多いので
郵送もいいんじゃないかなという風に思いました。
っていう風なものだとか
あとは詐欺と思って真面目に見てもらえなかったら
お知らせしている側からすると残念な気持ちもあるだろうけれども
何も考えずにポチポチされそうというよりは
気を使っている人が増えたとも言えるのかもという
お便りが来ております。
結構難しい面があって
ノーティスに関して言うと
直接のユーザーとの接点はプロバイダーなんだよね
そうですよね。そこが連絡するんですもんね。
NICTでも総務省でもなくて
メールに書いてある内容はそういうことは書いてあるし
井上さんが言ってたみたいに
GOJPのドメインが書いてあることが
信用につながるんじゃないかということを言ってたけど
メール自体が届くのはプロバイダーから来るんだよね
なのでプロバイダーによっては
ユーザーに信じてもらうというか
届けるために個別に電話をするだとか
あるいは訪問的なこともやってるかもしれないけども
地域とかによってはね
多分そういう
この手でユーザーにどう届けるかという部分は
今言った単に総務省がとかっていう話だけでは
語りきれない多分。いろんなご苦労が
そうでしょうね。多分ね。多分
そういうのを含めて
結局はユーザーに何とか対応してもらわなければ
どうにもならないっていう問題はあるんで
どうやってその対応してもらうように働きかけるかっていうのは
これはなかなか頭の痛い問題ですよね
そうですよね。できるだけ利便性を重視して
コストを抑えみたいなことで僕も調べてみたんですけど
郵便でウェブレターってあるじゃないですか
ウェブレター?
ウェブから書いて手紙が実際物理で送れるっていうやつ
あれ費用どれくらいなんかなと思って調べてみたんですけど
A4、C6、L1ページで129円もかかるんですよね
だからこれで予算どう何年っていうのもあるんで
なんか郵送っていうふうに切り替えるのも
プロバイダーがやってるってこともね
合わせていったと難しい問題ではあるのかなというのはちょっと思いましたね
結局その辺のコスト負担はその会社が
プロバイダーの各会社がしてるからね
そうそう。そもそも連絡するっていうこと自体もコストなわけというか
持ち出しみたいなものになってるんじゃないかなと思うんで
さらにってなると相当大変なんかなっていう
いろんなしがらみがあるなっていうふうに思いました
最後のお便りが質問なんですけども
ちょっと難しいなっていう質問だったんですが
サイバー攻撃にあってバックアップからの復元を行うとき
大体の場合はランサムとかなのかな
同一ドメインのままで復旧してよいのはどの程度の侵害まででしょうか?
ADまで侵害されていたとしたら新ドメインで復旧が推奨されますか?
アスクルやアサヒはどうしたんだろうかというふうに書いてありますね
難しいよなこれな
綺麗な環境を作ってたら別に同じドメイン名使ってもいいけど
新環境ですよねほとんどの場合多分入れ替えて
ドメインを変えなければいけないことってあるのかな
多分ないと思うんですよね
同じ環境のまま安全宣言まで至ってないのにするっていうのはさすがにまずいと思うんですけど
別にドメイン名っていう意味だと別に変える必要は何もないですよね
ドメインがっていうのが多分焦点ではなくて
おそらくそのドメインコントローラーなり各種サーバーなりを
そのままクリアアップして使い続けてもいいのか
ないしは新規で全部作り直さなきゃいけないのかみたいな
そういうところが焦点になることが多いんじゃないかなと思うんだよね
あとその作り替えるにしても業務止められないから
今はついさんが言ったみたいに新しく作って移行するだとか
そういう運用手順が多分結構めんどくさい
あんまりドメインを移行するかしないかというよりは
多分その辺のジャッジが大変なんじゃないかな
環境がそのきれいに戻ったか戻ってるところでやるかどうか
侵害されたものをそのまま使って
きれいにしたけどもそれを使うかどうかというところの分かれ目ですよね
結局その辺はランサムに限らずだけど
原則としてはセキュリティを最大限優先するのであれば
侵害されたものは信用できないんだから
一から作るのは当たり前なんだけど
ただそこに業務の要件が入ってきて
いやいや業務は継続しなければいけないから
そんなに何でもかんでも再構築なんてできないよって話が出てくるわけで
じゃあその場合にリスクをどの程度許容して
クリーンアップして使うという判断をするかみたいな話になる
現実にはなるわけで
その落としどころは被害を受けた侵害の影響の度合いだったり
規模だったりあとは業務のインパクトだったりとか
いろんな要素が絡んでくるから
ボットネットの活動
実は一概に難しいんだよねこれはね
ランサムの被害にあった組織で
自己対応アワードにも出てきていただいた
良機工業の方が言ってた話が
結構僕未だに印象的で
あったらよかったなとか
っていうものっていうのを挙げてくださってたと思うんです
その時にやっぱ新しいPC
使ってないPCと
あとは普段は使ってないけども
独立したクリーンなネットワークと回線
っていうふうなことをおっしゃってたんですよね
なんで綺麗な環境で新しい環境を構築していって
徐々に移行していくっていうのが一番綺麗けど
準備大変やなっていうのはありますけどね
コストもかかるしね
その辺の判断が難しいよね
そうですね
答えになっていれば嬉しいなと思います
はいありがとうございます
ということで今日も今日とていつものように
一つ忘れてました
お便りを読んだ方にはステッカーの印刷コードを
差し上げてるんですが
シャープセキュリティのあれというふうに付けて
Xでポストいただければそれがそのままお便りになります
で今月の24日に公開収録的なものをするので
5種類揃えてシークレットを僕から渡された方は
僕にDMをいただければ
24日の10時からの公開収録に参加できるんで
もしよかったら僕にお便りいただければと思います
よろしくお願いします
はいお待ちしてます
はいじゃあセキュリティのお話をしていこうと思うんですが
今日はそうですね
ねぎすさんがいきますか
はいじゃあトップバッター行かせていただきますけども
今日はですね
いつも僕が結構取り上げてる
IoTのBotnet系の話をしたいと思うんですけども
今日お話するのは
キムウォルフっていう名前が付いている
Botnetの活動について紹介しますが
このキムウォルフってやつは
最初にこの名前付けたのは去年の12月年末ですね
中国のセキュリティ企業のチアンシンってところが
XLABっていうところがあるんだけども
そこがブログで報告したのが最初なんだけど
Botnetとしては実は2024年だから
2年前くらいから活動している
アイスルっていうBotnetがあるんだけど
名前はもしかしたらこのポッドキャストでも
紹介したかもしれないけども
このアイスルっていうBotnetと関わりがあって
そのAndroid版がこのキムウォルフだ
っていうふうに言われています
ということでおそらく攻撃者というか
作った人は同じか何か関連があるんだろう
ってことですよね
キムウォルフってやつはどういうBotnetかっていうのは
詳しくはそのXLABのブログを見ていただきたいので
細かくは述べませんけども
概要だけ言うと特筆すべきは
感染規模が非常に大きいっていうところで
正確な数は分からないんだけども
概算でおそらくだけど
200万台程度の規模だろうと言われていて
めちゃめちゃすごいな
本当ですか
この数が果たして本当かどうかっていうのは
確かめようがないんだけども
一応XLABはC2の一つを乗っ取ったっていうか
おそらく攻撃側が取得していなかったやつを
取ったということだと思うんだけど
C2をコントロールして
そこにアクセス作るアドレスを観測しているので
そんなに多分数はずれていないはずなのね
とはいえ当然IPが変わったりとか
重複してカウントされるやつもあるだろうから
実態は分からないんだけども
でもユニークIPとかの数を数えたら
キム・ウォルフの規模と攻撃能力
数百万台あるのは間違いないんで
この人たちは低く見積もっても
200万台ぐらいって言ってるんで
そんなにずれてないと思う
後で紹介する別の企業もそれぐらいって
概算を見積もってるんで
多分それぐらい本当にあるんでしょうと
規模感としてはそれぐらいっていうのが
それぐらい100万台200万台ぐらいの規模感は
おそらくあるんでしょうと
恐ろしい
恐ろしいよね
アンドロイド版ってさっき言ったけども
どうも観戦してだと
大多数はテレビとかスマートテレビ
アンドロイドテレビとか
あとセットポップボックスとかって
言われてるようなやつで
アンドロイドで動いてるやつが
どうも主要な観戦元だろうという風に
言われています
このキム・ウォルフ
機能としても当然DDoSの機能は
持ってるんだけど
さっき言った観戦規模が200万台ぐらい
っていうとんでもない規模なので
比較のために言うと
普通のIoTのボットレットはどれぐらいか
だいたいよく言われてる未来アシュとか
って言われてるやつで
規模が大きいもので
1万台を超えたら大きいって言われてるんだよね
だいたい
再生期の未来ボットとかでも
10万台20万台ぐらいと言われているので
ですよねそういうぐらいでしたよね
桁違いですもんね
そう桁が1桁2桁違うんだよね
ということで
その規模に物を言わせてというか
DDoSもその規模がやっぱり影響していて
ものすごい攻撃能力を持っていると
言われていて
セキュリティ会社の概算では
30テラBPS程度の能力があるだろうと
言われていると
一応これはその別にその単なる数字
推測して言ってる数字ではなくて
去年の年末ぐらいだったかな
クラウドフレアのレポートの話を
したと思うんだけども
彼らが2025年に観測したその10テラとか
20テラを超える攻撃がありましたって
言ってる奴はどうも発生元は
このキム・ウォルフ・ボットネットっぽいと
いうことが言われているので
実際に観測されている攻撃規模と
だいたい整合性が取れているという
そういうことですね
そういうとんでもない規模の攻撃能力を
持っていると
プロキシサービスの脆弱性
加えて面白いのが
去年の後半ぐらいからは
そのDDoSは控えめになっていて
むしろそのプロキシの機能を
結構よく使っているそうで
DDoS以外にプロキシ機能というのを
持っていて
何らかのその
トラフィックの中継に使われていることが
どうも多いようだと
キム・ウォルフ単体で
使われているというよりは
他のプロキシサービスとかで
また貸しされているような感じらしくて
他のサービス経由で
有料で使うユーザーがいて
実際にはこのキム・ウォルフの
ボットネットを使って
プロキシでアクセスしていると
そういうような使われ方を
しているようですというのが
昨年報告で出たんだけども
これやっぱり大きな疑問は
さっき2人も言ってたけども
なんでこんなに桁が違う規模なんだ
本当そうですよ
原因が強いタイプ
なんか脆弱性では
使っていたのかと思うぐらい
そうそう
そこまでひどく使われている
脆弱性だったら
総理に関する情報がないとおかしいよね
というのが
去年までの疑問だったんだけど
それに関して
今年の年明け1月の2日に
シンシエントっていう
別のセキュリティの企業が
またキム・ウォルフに関して
ブログを書いていて
これが今の疑問に
一つ答えを出してくれているんだけど
実はこの会社の調査によると
レジデンシャルプロキシの
脆弱性を悪用して
感染を拡大したんじゃないか
ということを言っていて
どういうことかというと
レジデンシャルプロキシは
多分前にも何回か紹介したこと
あると思うんだけど
うんしてくれましたね
犯罪とかで悪用されてますよ
って話したと思うんだけど
なんかのアプリ入れたら
ついてくるみたいな
そういう機能をね
そうそう
結構SDKがたくさん配られていて
本来の用途と関係ないのに
なんかアプリ入れると
勝手に入っちゃうみたいな
そういう悪さをするプロキシが
いっぱいいますよ
みたいな話をしたと思うんだけど
そのレジデンシャルプロキシって
一般には普通の一般の家庭で
PCとかにインストールされている
プロキシソフトウェアを使った
中継サービスであって
今杉さんが言ったみたいに
本当は入れるつもりはないんだけど
勝手に入っちゃうやつとか
あるいは小遣い稼ぎで
自ら自分でプロキシを動かす
っていう場合ももちろんあるんだけども
かなりの規模で
使われているサービスなんですよね
で今言ったみたいに
中継でその発信元を隠すのにも
使われるんで
結構サイバー犯罪とかでも
当然使われていますと
いうことで
良い目的でも悪い目的でも
使われているサービスとして有名なんだけど
今言った
プロキシサービスの贅沢性を
使っていったらどういうことかっていうと
普通はプロキシって
当然中継に使うサービスなんで
自分がアクセスをしたい
ウェブサイトとかサービスに
アクセスをする時に
中継として使うわけだよね
もしその時に
アクセスをしたいターゲットとして
ローカルホストとか
あとはループバックのアドレス
12700の
スラハチの
アドレスだよね127001とか
127002とか
そういうループバックのアドレスを指定したり
だとか
あるいは
0.0.0.0っていう特殊なアドレス
を指定したりしたら
どうなるかっていうと
本来はその中継の
サービスの目的からしたら
ローカルにアクセスはさせてはいけないはずだから
そうですね
そういうアクセスはブロックしなければいけないんだけど
うんうん
いくつかある
結構メジャーで使われているプロキシーのサービスの中には
そういうローカルの
アドレスへのアクセスを
許してしまうものがあると
だいたい除外設定に入ってますよね
そういうアドレスはね
そうなんですよ
それが全くないガバガバなプロキシーサービスは結構あると
うーん
それを悪用するとどうなるかっていうと
本来は中継するはずが
中継しないで
自分自身に中継しちゃうことになっちゃうわけよね
ループバックのアドレスだから
そうすると何が悪いかっていうと
そのプロキシーサービスが
稼働しているマシーン自体が
攻撃ターゲットになっちゃうってことなんだよね
あーはいはいはい
加えて
例えばループバックのアドレスだけ
ポーとかリスンしてるとか
それはファイヤーボールとか外からは見えないはずの
ポートに
プロキシーを経由したらアクセスできる可能性があるわけ
うんうん
でどうもこのキムウォルフってやつは
話を戻すとそのプロキシーサービスで
そのガバガバなやつを狙って
ループバックとか
ローカルホストとかのアドレスを
ターゲットにして
本来は外からは見えないポートを狙って
観戦をしているんじゃないかと
うーん
いうことなんですね
実際にその使っている攻撃機手法自体は
ありふれたもので
アンドロイドでよく使われている
アンドロイドデバッグブリッジっていう
ADBっていうプロトコルサービスがあるんだけど
このADBのサービスポートに
アクセスをしてコマンドを打つと
セルみたいに使えるんだよね
でこれは前から
IoTのボットケータでよく使われる攻撃機
手段なんだけど
ただもちろんその場合にはそのADBの
ポートが外部からアクセスできないと
ダメなんだけど
今回のそのプロキシーを狙うってやつは
どこがすごいかというと
そのADBのポートが直接
開いてなくても
ループバック経由でアクセスできちゃうってことなんだよね
それがすごい怖いところ
でもしかしたらループバック以外にも
プライベートアドレス
例えばHQD164とかね
そういうやつを使えばもしかしたら
同じネットワーク内でいる別の
機器も狙えるかもしれないけど
つまりはそういう感じで
バイパスをしてプロキシー経由で
攻撃ターゲットに
アクセスをできることで
どうも本当だったら外部からは
感染できないはずの機器に
感染したのではないかと
こういう
どうも攻撃手法だったようですと
感染機器の詳細
今回狙われたやつは
中国系のメジャーな
規模の大きなレテンシャルプロキシーが
どうも狙われたっぽいんだけど
そこを経由して
このキム・ウォルフに感染を
したように見えますと
なるほどね
これは結構
盲点だったなというか賢いなというか
あと
そんな脆弱性というか
ガバガバなやつが結構あるんだな
というのもちょっと驚いたんだけど
結構そういうサービスがあって
この研究者の人は
そういった問題のあるプロキシーの
サービスには通知をして
いくつかは修正されたらしいんだけども
まだまだそういった穴があるやつは
結構あるんでしょうねと
ただね
もう一つそうするともう一個疑問が
湧いてきて
今言った今回のキム・ウォルフの感染
元になっているアンドロイドで
動いているテレビとか
スマートテレビとか
セットボックスみたいなやつっていうのは
じゃあ元々プロキシーの
サービスが動いてたのかということになるわけよね
確かにそうですね
じゃあプロキシーが
感染してなかったら
動いてなかったらキム・ウォルフが
感染してないわけなんで
根本的にはそうですね
質問が入れ替わっただけで
じゃあなんでプロキシーが動いてたんだって話になるわけじゃん
これもちょっと驚きなんだけど
この研究者の人は
キム・ウォルフの感染していると思われる
対象機器をリスト化してくれてるんだけど
いくつか実際に
それらの機器を買ってみましたと
そうしたらなんと驚くことに
買った状態で最初から
プロキシーが動いてましたと
よー
のっぴきならねーな
ついさんが言ったけど他のアプリに
SDKとかでプロキシーが
入ってる場合があるって言ったけども
買ったテレビに最初から
プロキシーが入ってるっていうことが
発覚したわけですね
そういう機器が結構かなりたくさんある
ということがわかって
どの機種がどれくらい
そういう風になってるかってのはちょっと詳しく調べられてないから
わかんないけど
脆弱性の増加傾向
少なくとも今回のキム・ウォルフの
200万台規模のやつの飾りのやつは
どうもあらかじめ
プロキシーが動いてたっぽいと
いうことで
最初から脆弱性が
あったわけよね
プロキシーと言えば聞こえばいいけど
マルウェア入りってことだよねつまりはね
そういうマルウェア感染した状態でも
売られてるってことで
マルウェアと認識してるかどうかわかんないけど
プロキシーのSDKが
あらかじめ埋め込まれていて
もちろんそれも金になるから
そういう状態の
テレビとかがかなりな
規模世界中で売られている
ということで
今回の感染も国別で見ると
ブラジルとかインドとかその辺が結構
多いんで
人口の多いところで
たくさんそういった機械が売れるところ
多分わかんないけど安いんだろうね
こういうのはねおそらくだけどね
そういう安い機器を
買っちゃうと実は
無駄なくプロキシーがついてくるみたいな
いらんプロキシーがついてくる
さらにそのプロキシーがついてくるだけじゃなくて
今回見たら別のマルウェアも振ってくるという感じで
踏んだり蹴ったり
な感じなんだけど
どうもそれが真相なようですねと
さっき看護師さんが言ったみたいに
新しい未知の脆弱性があって
その脆弱性が
使われたとかっていう話ではなく
あらかじめ
組み込まれてたと
仕込まれてたってことですね
なんちゃいそりゃって感じだけど
どうもわかってみればそういうことでした
ということで
原因はわかったけど
これでもちょっと根が深いなというか
結局ねその脆弱な
機器を
無くそうと今みんな取り組んでるのに
わざわざそういう
埋め込まれた機器を売ってる人たちがいるわけで
そうですね
それ飛べないからどうにもならないよね
っていう
見分けんのも大変じゃないですか
だからそれこそ
日本も今取り組むことしてるけども
その認証制度とかさ
ベンダー側が言ってるだけでは
信用できないから
第三者認証機関による検査だとか
そういうようなので
担保して
安かろう悪かろうっていう機器を
駆逐していくことをしない限りは
難しいと思うんだけど
ただ世界的に見たら
こういう機器って安いし
便利だし
そういうのはちょっと難しいんじゃないかな
っていう
そうだと思うんですよね
さっきの話題の中にも出てきた
セットトップボックスって
結構
一時期証券の取りに
実はこれ踏まれてましたみたいな
報道もあったじゃないですか
ニュースで話題になったよね
そうそう
結構大変だったみたいで
いろんなケーブルの会社とかが
うちが扱ってるのはこれの影響ないです
ちょっと誤解を招くもんね
セットトップボックス全てが悪いって
わけじゃなくて特定のやつ
なんですよねある程度
結構調べてみると
Amazonとかでも売られてたりするんですけど
振れ込みとしては
サブスクしなくても
見れますとかね
ちょっと怪しいやつなんだよね
いろんな最近動画配信のサービスって
結構シュシュザッとあるじゃないですか
だからこれ入ってるから
これを見たい独占配信のために
新たにお金払うのも嫌や
みたいなのがあって
こういうのを買っちゃう人がいるみたいなんですよね
なんでそれって入ってるのって
不正なアプリとか何入ってるかも分かれへんようなものを
買ってしまうっていうのがあるんで
その裏でこういうふうな踏み台に使われてる
っていうふうなものが
横行しちゃってるんだと思うんですよ
今まさに言ったみたいに
買った本人はまさかそんな機能とか
自分が知らん
悪用されるものが
含まれてるなんて夢にも多分思ってないはずで
なおかつ
こういうプロクシーが厄介なら
多分使われていてもさ
ちょっと待機を使う予防に
使ってるぐらいで
あんま多分気づかないんだよね
今回みたいに感染台数が多ければ多いほど
一つの力が小さくて済むわけですしね
そう
だから非常に気づかれにくいし
悪用されてもね
ちょっと分かんないから
対処が非常に難しいよね
買う側に何とか求めるのは難しいんで
売る側を何とかしないと
これはどうもならんなっていう感じが
確かにそうですよね
あとはその買う側が
安全であるという風なものが
分かるような見える仕組みとか
そういうことでしょう結局は
でも売られてたら安かったら買うもんな
そういう目的の人は
でねその安全な信頼性の高いものは
当然コストに跳ね返ってくるから
まあちょっとね難しいよね
どうしても安い方に流れるような
仕組みになっちゃいますよね
構造上のバグ的な感じになっちゃいますよね
そうそうそう
だからこういう
ある意味悪い人たちのエコシステムっていうの
あらかじめそういう機器に
SDKを埋め込んで売っちゃうっていう
それをさらに悪用する
連中がいるっていうさ
あと何かね加えて
今回悪用された
レジデンサルプロキシーのサービスも
そもそも怪しいサービスなんだよね
あーそうなんですね
そもそもこのサービス自体も怪しくて
ひょっとしたらグルなんじゃないか
って可能性もあるんで
そういう可能性も
なきにしもあらずなんで
正直この辺は
手が出しにくいっていうか
根絶するのが非常に難しいなと思ったね
これを見て
こういうの
少なくともそういう
不正に動いちゃってるやん
っていう風なアプリが入ってるものは
規制するしかないのかな
そうねまずはね
これ箱作る先にグルなんじゃないか
ってのもあったけどグルかどうかも
証明しにくいじゃないですか
うちは箱作って
アプリ入れてるだけなんですって
実はアプリを作っただけは悪いかもしれへんし
グルかもしれへんし
ってところもなんかやらしいとこやなと思いましたね
うーん
そういうの買わないのが一番だなという風に
思いました
はいちょっと注意が必要かなと思いました
はいありがとうございます
はいありがとうございます
お願いします
はい私もですね
年末は井上さんがやってくる
っていうので高齢化してますけど
最近は私年始は
高齢化している
取り組みというか紹介している
ネタがございまして
高齢化ってそっちの意味ね
高齢のって意味でびっくりした
高齢化してって歳とってる話されるのかと思った
あぶねードキドキした
間違ってもないですけど
両方の意味で二つの意味で高齢化
今日私が取り上げるのは脆弱性です
はい
今回は
2025年の脆弱性ってどんな感じだったの
っていうところを
ちょっと振り返るというところで
ございまして
こちらの振り返るにあたって
毎年のように取り上げさせていただいている
ゼリーガンブリンさん
こちらセキュリティの研究者の方が
毎年その年の状況
っていうのをデータで
まとめてくださっていて
精度の高い情報でもありますので
参考にさせていただいて
おりまして
今日はもうその2025年の状況が
まとめてくださってございましたので
それに乗ってしまおうという形で
ご紹介をさせていただく感じでは
なるんですけども
気になるところですよね
まず何件あったのかというところ
毎年言ってますけども
年々年々数が
右肩上がりで
ずっと増えていってどこで止まるんだ
ぐらいのそれぐらいのペースで増えていって
しまってますけども
2025年はですね
件数としては
いわゆる識別する
CVEが割り当てられている
脆弱性の件数ですけども
そちらは
48185件
というところで
ございました
増えすぎて伸びてきてるから
5万いかんかったんや
よかったーと思った
麻痺してるわ
麻痺してて
2024年は3万9千ちょっとだったので
1万近いのが増えてる
がっつり増えてます
すげー増えたねー
なので
依然として増えているというところは
傾向として維持されている
状況にあると
前年比でいうと2割ぐらい増えてる
というところになってきておりました
件数が増えている
というところも
あるところではございますけども
他
深刻度と傾向の把握
気になるところとしては
例えば深刻度である
というところに関しては
1番多いのは
ミディアム
1番上から3つ目
2つ目が
ハイ
クリティカルが3番目に多い
件数でいうと
2万5千がミディアムで
ハイですね
という風に言われるのかな
深刻度でいうと
そちらが1万5千3件
クリティカル緊急扱いのものについては
3984件
という感じでは
ございましたが
他にはCVSSですね
こちらも
10が出ると非常に話題にはなるもの
ではございますけども
平均値としては
6.60ということですね
先ほどのミディアムが
1番多いというところを踏まえれば
おおむねこれぐらいの数字なのかな
という感じは
してはいるところではあるんですけど
中央値も大体一緒でして
6.50というところではあるので
増えた
5万件近い数
というのがそういうような状況で
取り扱われている
深刻度というような
状況になっていると
ただこの辺は傾向としては
変わらず維持されている状況かな
ワードプレスとプラグインの影響
というところではありまして
突出して緊急
扱いのものが多いとか
そういう感じには2025年も
なってはいなかったのかなと
結局この
1万件近く増えた脆弱性
というのが何が
原因なのかというところに
目を向けてまいりますと
これも2024年も
話題に出てたかな
と思うんですけども
プラグイン周りの話が
どうしても増えてきているという
ところでありまして
ワードプレイスのプラグイン
とかっていうのが
ガンブリンさんの記事でも書かれてはいるところで
あるんですけどもCVEを
裁判するCNA
と呼ばれている機関
っていうのがそちらについての
統計っていうのもガンブリンさん
捉えてるんですけども
プラグインとかサードパーティーとか
ワードプレイス関係の
その手の脆弱性を裁判
している組織が多い
というのが特徴では
ありましてだいぶ
ワードプレイスによった
裁判になってるっていうような
言い方がいいのかな
脆弱性のトレンド
パッチスタックとか
はディフェンスっていうんですかね
ワードプレイスのプラグインとかの
脆弱性をよく取り上げておられたり
対応しておられるベンダーの
それがCNAとして裁判されている
件数がそれだけで1万件
越えですかね
先ほどの2つの期間だけで
今まではやっぱり
大手のソフトウェアっていうんですかね
マイクロソフトとか
Googleとかそういったところが比較的
このCNAの組織としては
数字として
目立ってはいたところではあったんですけども
2025年に関しては
2020年もそうだと思うんですけども
ワードプレイスとか
サードパーティープラグイン
そういったのの脆弱性を取り扱って
おられる組織がCVEを
裁判しているっていうような
そういった動きっていうのが
最近のトレンドになってきている
というような状況なので
先ほどの5万件すごい多いよ
っていうところも
その観点を踏まえた上でちょっと
見た方がいいかなっていう風には
水増し感が
あるかもってことですかね
なんかいろんなソフトウェアでたくさん
ババババッと出てるっていうよりかは
特定の分野
あるいは特定の対象において
比較的
集中的にというんですか
出やすいっていうのもあると思うんですけども
そういったものに少し偏りがある
そういった数字として
積み上がってきた
っていうような見方っていうのを
少し見た方がいいのかなっていうのは
見ていて思ったところでして
実際そのCWEっていうんですかね
脆弱性の
種別っていうのかな
どんな脆弱性だったか
っていうところをタイプ別に
区分している
そういった情報っていうのもCWEで
発売された脆弱性とか見ると
くっついているレコードの一つとして
書かれているデータではあるんですけども
これもやっぱ
一番多いのがCWEの
79っていう
クロスサイトスクリプティングですね
さっきねワードプレスのプラグインの脆弱性が
比較的偏って
多いって話があったんですけども
それ由来の影響
っていうところが
どこにも出てきているのかなっていうような
クロスサイトスクリプティングが
めちゃくちゃいろんなウェブサイトで見つけられまくってる
っていうようないろんなソフトウェアで
見つけられまくってるっていう状況よりかは
特定のプラグイン
特定のCMSのプラグインとかっていうところに
集中して発見されている
っていうような状況なのかな
っていうのはこの辺りのCWEとか
の傾向なんか
を見ていても
思ったところではございました
悪用確認された脆弱性
こんなような状況が
2025年ですかね
脆弱性の
騒ざらいというところでありまして
ちなみにちょっと余談的な話としては
いつ最も多かったのか
シリーズみたいなのも
ガンブリさん記事で取り上げられていて
例えば
一番1日あたり
脆弱性
CWEが裁判された日
っていうのが
いっぱい脆弱性が出た日
公表された日みたいなことね
そうですね
開発元がそのタイミングで
公表してるかちょっと分からないですけども
確かに確かに
CWEが同日に裁判された日として
最も多かったのが
去年の2月26ですね
2月26日で
約800件
考えられへんな
もうめっちゃ多いですよね
ちなみに曜日別で言うと
火曜日が最も多いと
それはマイクロソフト関係
素晴らしいですね
パッシーズでの影響ではないかという話で
逆に週末は
カクッと下がって
日曜日が最も平穏
平穏?静かっていうような
平穏
嵐の前の静けさかもしれないですよね
まあまあとは言っても
別に全くないというわけでもないですし
まあ
クリティカルな脆弱性とか
目を向けてまいりますと
別にこの曜日の話ってそんなに影響ないので
このあたりはそういうもんだ
っていうふうに
予断的に聞いておいていただければ
よいかなと
ガムリンさんの記事としては
大まかにご紹介した内容
細かいデータなどは
そちら見ていただければ結構ですし
あとですね
リアルタイムで
今私がお話したデータを
参照できるように
ガムリンさんがウェブサイト
立ち上げておられていて
10月今年も11日ですけども
そちらの状況
含めてどうなのか
っていうのをダッシュボード的に
見ることができますので
その時点での
リアルタイムの最新な
情報っていうのを参照できるので
非常に助かるなと
これ去年新しくできたやつだよ
ガムリンさんが
こういうの作ったよって言って
Xとかに投稿したら見たんで
あーそうだったんですね
これいいなーと思って
すみません存じ上げなかったので
これすごいいいですよね
これを本当に
見ているだけで
今私がだいぶかいつまんでしゃべっちゃいましたけど
そういった話の状況などが
ザッと分かるような感じのデータで
非常に良いなとは思ったんですけども
こちらの今ご紹介した
ダッシュボード中にも実は書かれてはいる
ネタの一つであるんですけども
脆弱性めちゃくちゃ多いんですけども
結局どうしたらいいんだ問題も
私たち
考えなければいけない重要な
トピックの一つでして
今の一つの落としどころとしては
悪用が確認されたもの
っていうのは
頑張って対応しようよっていうのが
一つの流れとして
来ているかなという風に
思ってるんですけどもいわゆるKEV
ってやつですね
そちらについてですけども
先ほどのダッシュボードにも
KEVのデータなんか載ってはいるんですが
2025年の
KEVの状況というところ
なんかこれも毎年
言ってた気がするんですけども
そちらについて少しだけ振り返させて
いただきたいんですけども
KEVに関しては
私が
確認図としているものとしては
245かな
2025年に
アメリカのCISAが
カタログに追加した
悪用確認された脆弱性というのが
245件あってですね
そのうちずっと
古い脆弱性なんかも
なんでかわからないですけど急に登録されるというようなことも
あったりはしますのでそういったものを除いて
純粋に2025年に
発見というか
ゼロデーも含むと思いますけども
発見をされてKEVに
カタログに追加されたっていうものは
純粋な数で見ていくと
166件と
でこの166件の
脆弱性ですね
情報公開の
状況としては
悪用された脆弱性という視点に立って
脆弱性に詳しくない方でも
適切に対策が講じられるような
情報公開というのを
望んでいるというか期待したい
ところではございまして
そのトレンドというか状況というのは
結構前からずっと追いかけてはいたんですけども
いくつかの視点で
こちらKEVにカタログに追加される
ごとに公式の開発元が
出している情報
セキュリティアドバイザリーとか脆弱性情報とか
参照はさせていただいていたんですが
KEVですので
悪用されてるよ
っていうことがそもそも書かれてないと
このさっき言った5万件の中に埋もれちゃう
っていう下手した
そんな見方もできるわけですけども
じゃあ悪用されてるよっていうのが
書かれてる脆弱性ってどれくらいあったか
っていうと私が
確認したものとしては
88件
というところでございました
半分ちょっとかな
数字としては
実はちょっと悪くなってて
そうなんですね
悪くなってるんですよ
この166件の細かい中身
見切れてないんですけども
166っていう数字自体も少し増えてて
2024年とかは
もうちょっと少なくて
前半じゃなかったでしたっけね
なんですけど
ちょっと少なくて
そういうのももしかしたら
あるかもしれないんですけども
88件というところであるのと
そこから先ちょっと
いきなり悪用されてるっていうのが
だいぶ数少ないので
その先の数字もちょっと言いづらいんですけども
例えば影響を受けてるよね
どうやったら確認したらいいの?
っていうようなそういった
確認の手段っていうのが
少なくもインターネット上で
確認できるような形で公開されてるケース
って言うんですかね
あるとかアカウント持ってないと
見れないっていうようなケースですと
こちらの数っていうのはちょっと
入ってないんですけども
私が確認した影響を悪用されてた場合に
それを確認する術
などが書かれていたもの
っていうのは18件
ということでございまして
少なっ
2割いってないかな
少なすぎるやろ
2割いってなくて
その先の数字もちょっと言いづらいので
対処方法とか
悪用されてる手口とか
具体的な話が書かれてるとか
その数字でかなり少ない
数字だったというところでは
あったのであんま変わってない
っていうあんま変わってない
むしろちょっと減ってるぐらいの
注意喚起側がちょっとあまり
追いつけてないっていう感じ
注意喚起にすら
なってないっていうような下手した
なってないってことですよね
本来広めないといけない人たちが
伝えられてないってことですね
結構厳しい状況というところ
ではございましてなので件数は
増えてはいるし
増えてはいるんだけども
一つの巧妙として見えてきた
KEVに関しては情報公開の状況
っていうのはあんまり良くなってない
っていうのがちょっと岸文さんの
記事に相乗りさせる形であったんですけども
私が今回ちょっと見てた中で
わかったというところでご紹介を
させていただきました
じゃあなんかこう脆弱性対処する上で
脆弱性対策の重要性
KEV見ようよっていう風に
言うのも大事やけど
ベンダー側の動きを変えてもらう
ってこともしないとやっぱ
届かないってことなんですかね
KEVに載ってたURL見ても
パッチ当てろしか書いてなくて
それで根本的な解決
本当にされるんだよねっていうのが
ちょっと分からないですよね
それだけですと
パッチ当てろとCV番号だけと
言われても対処する側からしたら
ほなどないしたらええねみたいな
カンゴさんよく気にしてるやつで
件数が一番えげつなくなるのは
侵害を受けてるかの確認方法を
載せるところの割合ってのは
えげつなく少ないじゃないですか
そうなんですよ本当に
そうするとせっかく頑張ってパッチを当てたとしても
やられて別の穴が空いてる状態のままで
っていうのが
残っちゃうってことですもんね
結果的にはそういうことがね
起こりかねないってことですので
ちょっとこの辺はね
もうちょっと頑張ってほしいな
結局この手の情報出してるところっていうのは
ずっと前からやられているとか
悪用されてしまっているっていうようなベンダー
大手のベンダーに
本当に偏っていて
初めて見るというか
あんまり見かけないようなベンダーですと
この手の情報が揃って出てくること
っていうのはほぼほぼ皆無に近い状態なので
開発元がそもそも
出すのに慣れてないっていうところが
多分にあるんでしょうね
フォーマットみたいなものもないですもんね
こういう風なものを含めましょうみたいな
テンプレというか
いやー厳しいですね
厳しいですね
去年に続いて今年も
数の水増しはあるんだろうけどさ
今言った
悪用されているものがどれかとか
見極める
取り味の問題の難しさは
僕ら数年前からずっと言ってるけど
全然状況はあんまり良くなってないし
結局その縛り寄せて
今看護者が言った
注意関係する出す側が
結局その情報を受け取る側が
色々調べなきゃいけないってことなんで
そうそう本当にそうで
数は多いは
影響度合いも対応方法も
調べなきゃよくわからんわってなると
結局その脆弱性
管理の負担は
企業側に今押し付けられている
状況になっているから
その課題はね
結局まだ変わってないなっていう
ここ数年ねずっと
色々僕らも取り上げている
言ってますね
テーマで取り上げているけど
その課題意識はやっぱり変わってないね
いやですよ
この状況だとしばらく
対処する企業側が色々工夫したり
お金かけて
例えば自分たちでできないのであれば
ベンダーのサービスとか受けるとか
アートソースするっていう
そうそうそう
そういう工夫なりお金なりをかけないと
ちょっと対処しきれないっていうか
むしろ
悪用に後手に回っちゃって
やられてしまうっていうケースが
やっぱりここしばらく続きそうだなっていう
ちょっと見通しとしてはあんまり
明るくないなっていう感じですよね
数字だけ見るとね
その状況を
理解するっていうことは結構大事で
確かに
良くなればいいんだけど
良くなってないということを分かった上で
そういう危機意識を持ってやろうっていう風に
思わないと
負け戦がずっと続いちゃうんで
心防の時々なんで
状況が良くなるまでは
自分たちの身は自分たちで守らないと
ダメだから
状況を認識した上で危機意識を持ってやろう
っていう風に皆さんに思ってほしいな
っていう感じですね
ちょっとこの右肩上がり傾向が
どっかのタイミングで
頭打ちになるんじゃないかな
っていうような
淡い期待はあってですね
そうなってくれば少しまた変わってくるかな
っていう気もします
青天井で上がるはずだと思うけどね
青天井で上がるはずはないんで
ちょっとどんどんどんどん
やらなきゃいけない対象物が増えていっちゃってる
っていう状況なので
落ち着いて考える状況にもないっていうのも
ありますからね
だからここの時に
今頑張って企業側は
体制作って仕組み作って
やっていかないと
どんどん対処できなくなっちゃうから
そうですね
今が頑張り時っていうか
辛いですけど
確かにな
情報を共有公表しようみたいな
動きがずっと
動いてますけど
流す情報をどう使うかも
セットでやっぱり
流さないと
流すだけで終わっちゃうなっていうのは改めて思いました
ですね
ありがとうございます
じゃあ最後僕なんですけれども
今日僕をお話しするのはですね
お騒がせグループ
スキャッタードラプサスハンターズの話を
関連する話ですかね
はい
このスキャッタードラプサスハンターズ
っていうこのくっつけた名前の
3つのグループが
去年話題になりましたけれども
このグループが
今年に入って1月3日に
彼らが運営する
テレグラムのチャンネルで
セキュリティ企業である
リセキュリティという会社があるんですが
そこのシステムに
侵入して完全なアクセスを獲得
したぞと
従業員のデータとか内部のチャットとか
いろんな顧客リストである
とかっていうことを成功したんだ
ということに成功したんだというのを
スクショとともに主張を
しているというふうな出来事がありました
合成データの利用
ただ
っていうことなんですけれども
それじゃあどうやって入ったのかとかそういう話ではなくて
ですね
オチを言ってしまうと
これハニーポットだったんですね
あ、侵入したところが
ってことですか
まんまとおびき寄せられたっていうのに
引っかかって
さらにやったったみたいな
ことを言ってしまいましたと
やっちまったよねこの人たちね
そうなんですよね
簡単に振り返って時間を振り返って
見てみるとこれ発表というか
主張したのは1月3日だったんですが
このリセキュリティが
俺らのハニーポットやでっていうふうな
レポートを出してくれてるやつを見ると
この話は11月
去年の11月の21日から
始まっていまして
最初このリセキュリティですね
公開している
サービスとかアプリケーションとかに
アクセス志向がたくさん来てるぞ
っていうふうなものを
ここのセキュリティチームが検知したと
検知して遮断を行わずに
さっき言ったみたいに
ハニーポットにですね
ハニーアカウントを用いてですね
攻撃者を誘い込んで
逆流に成功して
情報を盗めたかのように見せかけて
監視をしていた
というレポートを出してくれています
でそのハニーアカウントとかを
作ってですね
攻撃者はそのデータを盗んだんですが
このデータも合成データというふうに
このレポートでは書かれてある
ものを捕まされていたと
合成データって何かって話なんですが
ここの
顧客とかを装ったような
2万8000件以上の
レコードと
19万件以上の
支払い取引のレコードという
2種類のデータセットを
ポンと置いたそうなんですよね
でただこのデータセットこんな件数
多いんですけどもこれは
両方とも
ダークウェブとかいわゆる
アンダーグラウンドのブラックマーケット
っていうんですかねそういうところで
入手可能な基地の侵害データを
ある程度
マスクして使うというふうなことを
あるみたいです
加えてですねマークケリーという
ハニーアカウントを
リセキュリティは含めていて
これをブラックマーケットにも出品
しているものらしいです
なるほどね
マークケリーっていう人って
おるんかなって調べたんですけど
調べてみると結構
リンクトインもあってフォロワー数も
多くて
動画とかにも出てるのでおそらくいる人
なのかなと
実在するように見せかけてるわけではなくて
多分実在する人っぽく
名前を設定しているだけなのかな
っていう風な感じでは
ありますね
そのさっき言った合成データに加えて
さっきチャットのログっていう風なものも
スクショで貼ってたという風に言ったんですが
これは実際の
2023年の古いログで
構成されたオープンソースの
メッセンジャーでこれ僕知らなかったんですけど
マターモーストっていう風な
雑談をしているような
チャット環境雑談環境を
用意して見せるという風な形にしてた
そうです
その後12月の12日から
クリスマスイブの
24日までこの攻撃者の
動きは続くんですけれども
この合成データを
なんとか盗み出そうとするような
18万8千回ぐらいの
リクエストがこの
ハニーポッド環境に送信されたと
ずっとこの活動を
リセキュリティは監視し続けて
どんなIP使ってるのかみたいな
ことを観察してたそうなんですけども
これを盗み出すための
試みではさっきネギさんの
お話にしてたレジデンシャルプロ
騎士を使ってアクセスをしてきてた
そうで
ただすごい回数のリクエストを
行っているのでたまに
接続障害が起きて
この攻撃者おそらく
実IPと思われるもので繋いできちゃってる
っていう風な
ダメじゃん
これどうなんですかね
自分のスクリプトを使って
エージェント型のプロ騎士
使うソフトを使っているからこういうことが
起きるのかわからないですけど
切るスイッチみたいなのがなかったものを
使ってたんですかね
接続切れると
ネットワーク遮断するっていう機能ついてる
プライベートVPNとかもありますけど
そういうのもなかったっぽいと
自爆をしてしまった
っていうのもあったりとか
それにさらに加えてこのリセキュリティは
このレジデンシャルプロ騎士使ってきてるな
っていう風に監視しててわかっているので
そのIPをこちら側でも
バンバカバンバカ遮断するっていう風なことを
するとそういう時にも
実IPと思われるものがまた表示された
攻撃者の行動
みたいなことが書かれて
ありました
こういった動きで得られた
情報に関してはこのリセキュリティは
法執行機関とか
ISPとかに提供する
という風なことをしたそうです
というのがこういった事件の
表しですね
ただこれちょっと読んでて気になったのは
他の海外のメディアとかも
ちょっと指摘をしている部分でも
あったんですけど
公開情報
ブラックマーケットで売られてたりとか
過去にどこかから買った人がペロッと
漏洩させるとかフォーラムで公開する
なんていうのが認証情報とかでは
あったりするんですけども
そういう情報を公開情報
とはある程度言えるけども
攻撃者を
攻撃者を欺くために
これを使うっていうのは
ありなんかな
っていう風に僕もちょっと思ったんですよね
グレーだよね
そのデータがめちゃくちゃ
古かったとしても
公開されているもんだとしても
現在進行形で使えるようなものも
ある可能性って多分
だいぶあると思うんですよね
そうなってくると
得られる情報が多いとか
攻撃者を欺いて
ある情報とかにつながるとはいえ
これを
攻撃者にペロッと提供するのは
果たしていいんだろうかっていうのは
一向の余地があるのかな
っていう風なのは僕も
思いましたというところですね
ただこういうやり口
っていうのは自分自身で
ガッツリハニーポッドみたいなものを
作らなくても
例えばオフィス
M365とかそういった環境で
わざとフィッシングサイトに
合わせてアクセスしてきて監視する
っていう風なものはいろんなところで
やられたりレポートも出てますけど
非常に興味深いなっていう風に
思いましたし向こう側の手口とか
どういう風なことをよくやる
攻撃者がいるんだっていうのを観察するには
すごくいいなっていう風に思ったので
ちょっと僕も大規模なことが
できないですけど小規模でも
こういうのも手出してみたいなっていう風なのは
思いましたというお話で
ございます
ハニーポッドとか
ハニートークン
といったり今回のようなアカウント
とかね
そういうのを使って騙すっていう
テクニック自体はかなり
昔からあるもので
そこまでその手法自体は
新しいことはないんだけど
今回もそうだけど
本物っぽく見せるっていうのがやっぱり難しくて
そうですよね
例えば実環境ではない
仮想環境で
本物っぽいデータを
いかにそこに
残せるかとか
おとりなんだけども
仕事してる風にどうやって
見せるかとか
そういう作り込みが
手間がかかる割には
騙すのが難しいので
そうですよね
流行らなかったんだよね
こういうやつっていうのは
一時期こういうのあって
実際にプロダクション
本物のシステムのすぐ横に
偽物のおとりの仕組みを置いといて
そっちに誘導することで
時間を稼いだり
攻撃を観測するっていう
発想自体はずっと
昔からやられてるんだけど
結局あんまりそれが目的に
合わなかったというか
そこまで効果がなかったんで
廃れちゃったんだよね
結局残ったのって
ハニーポッド系で残ったのって
今回みたいなセキュリティ機構がリサーチ目的でやるのだけが
残ったっていう風に
あんまり実運用で使われるってことは
ほぼないんだけど
今回のはちょっと面白いよね
実際にそれで
攻撃者が
割と著名な攻撃者が騙されるっていうのも珍しいし
なかなか
こういうこともあるんだなっていうか
そうですね
似たような環境をエミュレートしておくっていう
ネギさんがおっしゃったやつは
そういう製品とかもあったけどやっぱり話あんま聞かないですもんね
そういう製品が
流行った時期もあったけど
ほとんどないんだよね
ほとんどないね今ね
ハニーポッドも管理の面から
かけるコストの面から考えると
本物に近しい
ハイインタラクションなものよりも
ツールとか使ってやってくる傾向を見るような
ローインタラクションの方が
流行りましたもんね
どっちかっていうとね
置いとくだけでみたいな
そうね
国内でも結構観測されてるのはやっぱり
ローインタラクション系のやつがほとんどで
あんまりね
本当に実質環境に見せかけるってやつは
ちょっとやっぱり
運用が大変だよね
リスクも大変やし
壊された時に戻すのも大変やし
っていうのもあるから
ほんまに侵害されて踏み台にされたら困るじゃないですか
コントロールが難しい
あとやっぱりさっき言ったグレーな部分はさ
ちょっとやっぱりね
配慮しないといけないというか
公開データとはいえその拡散に手を貸しちゃっていいのか
っていうのもあるし
なんかその辺はやっぱり偽物のデータを
いかにうまく作るか
っていうことになると思うんだけど
公開データの倫理
そこにそんなに手間かけても
あんまり
気持ちはわかるかなってとこはありますけどね
そうね
そうなんですよね
だからすごく面白い結果が
得られているっていうのはあるけど
とはちょっと手放しで
素晴らしいとは言いにくいかなとは
思う部分もありましたね
なかなか難しい
一般でここまでやるのはなかなか難しい
だから多分効果が高いのは
本物のサイトを
法執行機関が乗っ取るパターンだよね
ああ確かに
これはもう囮というか
囮とはいえ本物をそのまま
乗っ取ってるんで
見分けつかない
これは非常に効果が高いので今まで実際にFBIとか
結構あちこちやってる
それで犯罪禁拒に繋がってるような
ケースっていうのはあるけど
これは法に基づいてやってるからいいんであって
立場もありますからね
僕らやったら犯罪になっちゃうから
攻撃観測の意義
せいぜい囮を
つかませるくらいしかないけど
囮つかませたところでどれくらい
効果があるかっていうのが
あるので
なかなか難しいよね
コストに見合う効果が得られないっていうのはね
そうですね
ただこれの中で結構学びがあるなと思ったのは
相手のプロ騎士を
遮断しまくっていったらこういうものが得られることもある
っていうことですよね
面白いね
意外とそんなことで生IPって
出てしまうんやみたいな
このグループ自体が
寄せ集め感もあるからね
スキルレベルも様々なんだと思うんですけどね
確かに
学びがあったな
今つゆさんが言ったみたいに
今までの過去の例とかを見ても
OPSEC失敗するケースって
結構あって
やっぱりね
プロクシーサービスだったり
何らかのトラブル
手元の関係のトラブルとか
使ってるサービスのトラブルとかで
本来とは違う経路で
アクセスしちゃうっていうのは
今までも見たことあるから
ありましたね
攻撃側の視点というか
僕らも研究者として攻撃側に近いことをやることもあると思うんだけど
そういう視点で見ると
よほどこれは注意しないと
やっぱりねなかなか徹底するのは難しいよね
そうですね
今回のこの
すごいデカいデータっていう風なものが
構想した部分かなと思いましたね
そうかもしれないね
ちょろっとした
ファイルを持ち出すっていう風にはなくて
多分スクレーピングみたいな仕事したと思うんですよ
これ攻撃者がツール使って
それで時間をかけさせるっていう風なことが
狙ったか狙ってないか分からないですけど
それがあったから得られた知見かな
っていうのは思いましたね
確かに確かに
そういうのが分かるっていうのが
ハニーポッドだったりいろんな観測の
面白いとこだよね
そうそうそう興味深いなとは思いました
はい確かにありがとうございます
ありがとうございます
はいということで今日もセキュリティのお話を
3つしてきたんで最後におすすめの
あれなんですけども
あのちょっと前に僕ね
パックのコーヒーの
芸者って
紹介した覚えてます?
あーなんかあったねうんうん
普段は牛乳しか作って
牛乳系を作ってコーヒー系は初めて
コラボで作りましたっていう
やつありましたよね
ブラックコーヒービーンズ
芸者ブレンドっていうのがあったと思うんですけども
またですね
芸者ブレンドを同じくファミマで
見つけまして
よく見つけますなそういうの
今回はねファミボスっていうのは
ファミマとボス?
サントリーかな
コラボしてる
コラボラインみたいなやつがあるんですけども
そこで芸者ブレンドブラック
こっちは缶コーヒー
なんですよ
前回
前に紹介した芸者ブレンドの方は
割合
ブレンドなんで芸者の豆使ってる
割合っていうのが
調べたんですけど非公開っぽかったんですよ
今回のやつは
51%
使ってるっていうやつ
なんですよね
買って飲んでみたんですけれども
ちなみに値段は200円ぐらい
198円かそんなやつだと思うんですけども
そうですね芸者
僕100%のやつは
昔喫茶店で飲んだことあるんですけど
それと比べればもちろん51%なんで
劣るとはいえ
ちょっとね
芸者感かなり出てましたね
芸者感
芸者感って言われても分からないんですけど
なんかね
缶コーヒー特有の
金属さみたいなのあんまなくて
酸味がしっかりしてて
なんかこう
コーヒーの中で言えば
フルーティーな部類
っていう風なものがあって
前回よりもかなりいいし
缶なんで持ち歩きやすい
蓋閉めれる方の缶なんですよ
なんで飲みやすい感じで
おーおーっていう
普段飲んでるのとは明らかに違うな缶が出てたんで
良かったんじゃないかなと思って
オススメをちょっとしたいんですけど
これオススメする上で
公式サイトとかを
調べようと思って見てた時に
たまたま見つけたら
同じくファミマで
30円ぐらいあげる
230円ぐらいで
新商品の紹介
ファミマルプレミアムっていう風なもので
芸者100%が売ってるってことに
さっき気づきまして
へー
もしこの芸者の感じが好きやったら
この100%も
これ僕は飲んでないんですけど
この後収録終わったら買いに行こうかなと思ってるんですけどね
そっちもね
合わせて楽しんでいただいても
良いんじゃないかなと思って紹介させていただきました
これあれ
期間限定とかそういうやつ
多分前の芸者は
数限定やったんですよね
数限定か
前回の紙パックのやつね
今回のやつは特になんか
限定ではもちろんあると思うんですけど
期間がどうとか
っていうのは特に書いてないですね
じゃあ一応
同時にファミマに行けば手に入るってことで
亡くなり次第終了的なこと
なんだと思いますね
コンビニの新しいお菓子とかによくありがちな
パターンかなと思うので
11月のね
頭から売ってたそうなんですよ
あそうなんだ
意識してコンビニ行ったら
見ていただいた方が良いかもしれないな
という感じではございますね
なるほど
ぜひ
他にこの豆おいしいぞとか
あったら教えていただいても嬉しいな
という風に思います
それは色々あるだろうな
コーヒー好きの人は多分そうなるだろうね
意外とね
お湯入れるだけのやつでも
これ他のとちゃいますよとか
これめっちゃ気に入ってるんですって
皆さんおのおのあるかなと思うんで
そういうのも教えていただけたら嬉しいなと思ってます
はい
ということで今回は以上です
また次回のお楽しみです
バイバイ
