00:00
いやなんかどうですか最近何がですかなんかちょっと暑くなってきましたね 暑くなってきたよねちょっとジュワジュワと
かちょっと簡単簡単さが激しい予感ですよこれもうでも 最低気温もだいぶ上がってきているんじゃないですね
そう10度超えが朝晩も寒くなくなってきたやって今日なんか最高気温28度ですからね の女なんですね
熱いわけだなのに何かさっきあのアプリの通知できてましたけど明日は 京都7度下がるって下がるって言ってあマジで
体に悪いなぁそうだねまだまだ油断できひんなぁって思ってたんですけどよく考え たら y 外出てへんわ
そうね何を心配してんだよっていう気持ちに良くなるんですよね天気のことって なんかこんだけなんかねまあいろんな生活様式でしょうけど皆さん
こんだけでへんようになっても天気のことは気にしちゃうんですよね ずっと
うわぁなんか雨ばっかり嫌やわーって思うけど全然出てないもんねコンビニぐらいしか 行ってないでみたいなあと散歩
散歩は続いているの夜中のさあそうそうちょうど今月で散歩を始めて1年になりました おめでとうございますありがとうございます効果のほどはどんなもんですか
どうなんですかね効果って難しくないですかまあねその散歩が効いてるのかどうかとか よくわかんないもんね
なんかでもいろんなねその前もこのポッドキャストで紹介しましたけどなんかちょっと 猫と出会ったりね
あー言ってたねそうそう猫が猫と仲良くなっていって猫から寄ってくるようになったりとか なんか結構いろんな中出会いとかもありましたよね
中で前じゃないのその体力的な面とかはよくわかんないけどさ その気分転換というか気晴らしにはちょうどいいんじゃないの
そうですねあとなんかちょっと最近はのなんていうかなちょっと年末 年末が年始ぐらいがちょっと緩み始めたんで体重がちょっと増えてて
筋肉も増えてるんですけど なんでちょっと最近はたまにこうなんての軽くジョギングっていうんですか
うーんとかもしているんですけどなんかその やっぱりこの公園の中とかをぐるぐるぐるぐる回るよりも
いろんなこう住宅街をいろんなコースで走る方が気持ちが楽ですね ああ確かにね景色が変わるからやと思うんですけどね
そういういろんな発見はありますよ だいぶもう全然今言ってないけどだいぶ昔さ
ジムにしばらく通ってたことがあるんだけど ハイハイハイハイあのランニングマシーンとかさあるじゃん
あとあのなんか座って自転車ここみたいなそうそう一通り行ったんだけど なんかやっぱねあの変化がなくて長続きしてないっていうか飽きちゃってさ
わかるわかるでもほらみんな結構音楽とは聞きながらさ黙々と走ったとかしててさ すげーなーと思ったけど俺全然あれ合わなくてやめちゃすぐやめちゃった
03:05
僕もそうですねが10年ぐらい前 ジム行ってましたけど
あんま合わなかったですね僕にはねなんか合う合わないあるよねやっぱねジムに行く ようにしてたら週に1回は最低
行くようにもしてたんですけどやっぱりなんかそれこそ本当に毎日とかやる頻度が 多いからっていうのもあるんでしょうけどリングフィットとかその方が全然効果出ましたね
ああああああああああああああああああああああああああああああああああああああああああ あとほらあのね秋っぽい人がそうでない人とかあるかもしれないけどやっぱ
続けられるかどうかが一番のねそう ポイント何をするにしてもさ
それ考えた1年間続いたって立派だねいやーそうですよ すごいと
ただそのその前に先にリングヒットを1年以上続きましたし今今もやってますけどね 素晴らしい
そうそうそうほんでそれで次に散歩でしょほんで今度そのほら梅雨が始まるからって言って あるからへ外ある以下行きにくくなるからって言うでボクシングやつも買ったじゃない
ですかうんそれをやってますしねすごいね 想像でその後あのあれですよやり始めた禁煙も続いてるんですよ
大すごいねー
何度聞いたことがあって感じだからねそうそう ネギ子さんと知り合ってからの歴史は僕の禁煙の歴史みたいなところあります
本当も何回禁煙して何回渡すい始めたかって言う まだ最最長記録ではないんですか最長は2年ですね
まだそっか2000 2012年からあんたがこのまま辞めるんじゃないかって本気で思ったもんね
出たら気づいたらそう 気づいたらすいはじめてさ
そっから全然やめられてなかったですよねなかなかねそうだよね だから久しぶりの長さですよこれ
いやだから喫煙者の音禁煙はね当てにならないんだよな 確かに当てにならない
確かに禁煙よりも喫煙の方を継続してきてたわけですからねどっちかというとね まあまあでも頑張ってくださいあの頑張りが水を指すようなこと言っちゃいましたけど
いいえ大丈夫ですよ ということでお便りが来てますはい
はいえっとネットワークスペシャリスト試験 午前にの問い一
アーランってなんだから始まった ハーリー rl をについての問題が出題されていたのでセキュリティーのアレリスナーとして
はテンションが上がった助かった うーんこれが rl を
のやつって何か以前も何か試験に出たみたいなことでなかった違かったこれあるよう じゃなかったっけ
知らない以前いただいたお便りで何か a あれはノーティスかな
あああああ ni ct のやつねそうそうそれは何か確かにお便りで何か紹介した気がするな ありましたね
06:02
初めてか初めてかもしれないですねでもなんかさああの時々取り上げてるけど 結構このリスナーさんでさ
試験に取り組んでらっしゃる方意外と多くの多いですね多い なんかねえ言われてみればいやなんか皆さん素晴らしいよねそういうのってさ
本当にねそうですねなんかいつ何かの午後とかの試験とかよく売ってますよね でもみんな偉いねその
ちょっとね偉いと思うしいやのいいよねそういう試験をそのまま受けるかは受から ないはともかくとして
いやその試験勉強することがやっぱりそうそうあのその目標に勉強をするって いうことがすごくいいことだなぁと思って
続けて頑張ってほしいですね 第8次のお便りなんですけども東京駅を歩きながら第130回を聞いていたら目の
前にバターバトラーの売店 何かの縁だと思って買って帰ります
これほぼリアルタイムに書いた後リスナーさんから紹介された ネギさんへのおすすめとしてはコーヒーに合うお菓子ってまだ買ってないんで
そう ちょっと今度買いに行きますこれねあのバトバターバトラーが売ってる
腕が入っているテナントとあの僕が紹介したメゾンデュショコラが入っている テナントが同じ1個のテナントに入っているということがわかったんで
そう前回さあ編集しながら調べててさあれっと思ってみたら両方ともニューマンに入って いるんだよね新宿のね
最高じゃん だからこれはもうマイナビのお仕事でそうそうちょっと今度一緒に行く一緒に行こうぜ
買いに行きましょう 楽しみですねはい
あとは聞く前に反応してしまったがスキャン格納先の認証情報とかって見えるのは 確かに思った以上にやばかった
僕が紹介したあの強セラドキュメントソリューションのやつですね 複合機のやつねそうそう複合機のソープインターフェイス
想像以上にいろいろできるからやばくならないといいけど案内がファイヤーウォールで 守れはちょっとネット
確かにねファイヤーウォールで守れっていうのじゃなくてまぁ内部だったらどうしたら いいねみたいなところまで踏み込んだ方が今風の対策としては良かったのかなーって
僕も思ったねちょっと紹介するときにこれでええんかなみたいなことは言っちゃったんです けどね
なんかでもこれは何か取り上げた話題に関して自分はこう思うみたいなことを書いてくださるの っていいですねなんかねっ
自分と同じようなことを持ってるのかそういう意見もあるんやなみたいなのがあるんで そうですね
なんかね僕らとはちょっと違う反応っていうか感想意見をね 持たれているのを見るとあそういう考えもあるのかみたいなね気づかされるかなすごい
助かり助かるんで書いていただけてありがたいなといつも思っておりますとはい ありがとうございます最後なんですけどもこれは
あれから看護さんが紹介したあのもらいもらい事故的な感じで紹介されたやつだと思うんです けど
09:01
t モバイルが身の白金払ったけどもみたいなやつあったじゃないですか それに関しての言及なんですけど企業が身の白金を払ってしまう件
顧客からの訴訟対策っていうことはないんだろうか 携帯キャリアともなると顧客数は数千万から多くの単位になるし
訴訟大国アメリカでは弁護士が訴訟集団訴訟を焚きつけるので打てるては打ちましたよ というポーズをとっておくとかみたいな
なるほどねうん その辺の事情は日本と違うかもしれないよねちょっと確かにたしない
そうですねまあ身の白金をこうやって払うというのもいろんな理由はここに投げ られてあげてくださってた理由もあるでしょうし
払った方が安いという判断したのかもしれないですね そのあたりやっぱりねこうケースバイケースとかその企業ごとのいろんな事情とか
どういう業種に行ってどういうお客さんにどういうビジネスしてるかによってもさっきのさ 話じゃないけど訴訟リスクとか
だいぶ違ってくると思うしね なんかやっぱ考えることはいろいろあるよね難しいよね判断がね
なかなか出てこない情報ですね何どういう理由でどういうその意思決定のプロセスを経て 払ったんですかみたいなこといちいち言わないでしょうしね
あとほらそれが結果的に良かったかどうかっていうのもさ 例えばほらあのお金払って鍵を得て素早く復旧できて良かったみたいな感じでこう
ね言われることもある ランサーもそうですよねうん本当にそれが結果を往来で良かったのかどうかっていうのは
まあわかんないじゃんだってその払ったお金がなにめぐりめぐって何かに使われている 可能性もあるわけで
5段断片的な部分だけ切り取ってさ良かったねって言っていいかっていうのもよくわかん ないしそうですね時間が経たないとわからない最悪それが何の因果関係もわからない
ままってのも多いですよね逆に払わなくてさバックアップとかから戻すとか 再構築費用に莫大な費用がかかったとか
裁判のリスクがとかっていうのは仮にあるかもしれないけど 結果そっちのが実は後々良かったってなるかもしれないしね
人の判断やからね01じゃないってとそうなんだよねそこがまあちょっとやっかいの ところだよね
はいはいいうことでございますというところでお便りは以上ですねはいあれほどで今日も セキュリティーのお話をしていこうかなというふうに思っておるんですが影響はネット
プバッターはね看護さんですはいじゃあ私から今日はですね 脆弱性の話をさせていただこうと思ってまして
えっと脆弱性何の話かというとですねあの google のプロジェクトゼロっていうチーム ご存知だと思うんですが
4月の19日に 2020年2019年とやられて今回は3回目になるんですけども
あのゼロでと呼ばれているあの脆弱性を悪用する動き あるいはそれに関する情報についてあのレビュー
あのいわゆる総括みたいなことをやっていらしてですね 2021年版公開されたので今日はちょっとそれを中身を軽くご紹介させていただこうかなと思って
12:07
いるんですけども はいあの2021年にどれぐらい
ゼロデーがあったかって数えてたりしたことありますか ないですねなんかレポートで上がってくるのを見て方みたいな感じは毎年やってますけど
中でもあれだよねあの時々 テック系の記事とかでさ
なんか ios は今年もう何個目だとかクロームはもう今年ゼロで何個目だとか なんかそういう数で言及する記事はまあ時々あるよねなんかね
そうですね 今年は2021年は数としてみると58件
ゼロデー、インザワールド、実際に公開であったり悪用が確認されているものとして58件確認されてまして だいぶ増えたね
そう増えたんですよ あのこれまで
このプロジェクトゼロがカウントしているものとしては 2015年が一番多くてですねその時は28件だったんですね
たぶんあのいっちゃ多い時と比べても 2倍以上の数がこの1年で出たというところでこれが何でなのかっていうところを
分析されているというところではあるんですけど 中身その脆弱性の種類というか
どういった手口で攻めるかという部分に関して言うと あんまりその攻撃のやり口っていうのは変わってなくてですね
例えば58件のうち だいたい7割いかないぐらい39件がメモリ破壊の脆弱性で
これが非常にオーソドックスって言っていいのかわかんないですけども まああのよく使われるアプローチというところであって
Googleのそのプロジェクトゼロの研究者の方から見た見解としては この58件のうち彼らがすごいと思ったのは2件だけ
残り56件は今までのやり方の応用であったり 同じようなやり方で悪用を試みたものっていう形で分析をされていらしてですね
ゼロデーは増えてはいるんですけども 数字としては増えてはいるんですけども
攻撃のやり口というか考え方そのものに関しては そんな劇的な変化が何か起きたっていう状態ではまずないよと
じゃあやっぱりそのさっきの話なんですけど なんでこんな数増えたのっていうところに関しては
増えた数の経緯としてゼロデーを見つけようとする動きっていうのが より強まってるんではないかっていうところをまず一つ挙げていらして
in the wild っていう形で実際に悪用されている脆弱性を 実際に見つけようとする努力っていうのが
15:00
リサーチャーであったりコミュニティで 盛んになっているんではないかというところと
あと これ確かのブラウザーの脆弱性の時かなんかでも喋ったような記憶あるんですけども
自社でその脆弱性がありましたという形で そのゼロデーを公開する動きっていうのも
これまでと比べたら実際に数としては増えてきていると これまで5件ぐらいだったのが今年に
2021年になっては17件で 2社なんですけどね Microsoft と Google の2社なんですけども
その17件というのが 要は自社で実際に悪用されている動きっていうのを把握して公開する動きっていうのも増えてきていると
この辺が増えてきているというところの 一つの要因になっているんではないかというところを分析されていらして
その後ですね この58件の具体的な中身として ブラウザーであったり OS であったりとか
そういった各プロダクト別にもそれぞれ分析をされていらして これも結構興味深いことが多く書かれているんですけども
面白いというか興味深いなと思ったのが IE もまだまだ狙われているというところがあってですね
コンスタントに毎年大体3件、4件ぐらい やっぱりゼロデーっていうのが見つかっていて
2021年も4件のゼロデーが確認されましたと
この IE が 言ってしまえば IE って多分標準のブラウザーではなくなってしまって今もエッジですので
なんでそもそも狙われるんだっていうところはあるんですけども まだまだ使われているってことなのかな
最初にその Windows に侵入するためのアタックベクターとしては非常に狙いやすいところではありつつ
ただブラウザーとして IE を狙うというよりも MSHTML とかそういったコンポーネントとしてオフィスとか
その別のファイル形式から脆弱性をキックする そういったやり方が2021年なんかは
確か3件だったかな 4件中3件はそんなものだったりもしているので 攻撃の流れっていうのは少し変わってきているのかなっていうところは
評価をされていらっしゃいました さっき言った58件中なんかGoogle のトップのリサーチャーの方がすごいと言っていた2件が何だったのか
っていう話も気になるところなんですけども iOS で確認された
Post Entry Exploit っていうものに悪用されている2件の脆弱性で このエクスプロイト何で使われているかというと
18:03
ペガサスと呼ばれているスパイラーですね非常に有名で なんか最近もニュースになったかと思うんですけども
ゼロクリック脆弱性って言われてるんですが ゼロクリック脆弱性って何かあんまり何ていうか 馴染みがない言葉のような気もしなくもないんですけども
めちゃくちゃ怖い脆弱性で 要は何もせずに
おそらく見た瞬間にマルウェアに感染するっていう エモテッドだったら例えばマクロの実行有効化であったりとか
何だかのやっぱりユーザーアクションがありますもんね ユーザー側の操作っていうのが最近のマルウェアでもやっぱり必要とされること
増えてるんですけども この Post Entry Exploit を使うとゼロクリック脆弱性の場合は
そういう見た瞬間感染するっていう めちゃくちゃ恐ろしい脆弱性であって
この脆弱性に悪用されていた2件の 確か片方はCVEが裁判されてなかったのかな
その2件の脆弱性が この2021年のGoogleのプロジェクトゼロチームのみんなが
すげえと評価したもので 芸術作品という形で評価をされて
らしたので あんまりこういったものは出てこないでほしいなっていうのはあるんですけども
この2件というのは2021年においてトップの脆弱性 トップのアプローチとしてはトップの脆弱性だったのかなと
すげえってのは脆弱性を利用する上で 影響が大きいって意味のすげえですよね
あとですね どうやってサウンドボックスを回避するかとか その考え方ですね 攻略の仕方が
単純にメモリを破壊してそこに書き込んでとかっていう そういうやり方ではなくて非常に複雑な方法で回避を行うので
そういう意味でおそらく芸術作品というような 評価をしたんではないかなと
脆弱性を発見するようなコンテストとかも あると思うんですけども
ああいったコンテストとかでも いろんな方法とかを組み合わせて最終的に攻略するみたいな
複数のアプローチを使って攻略するみたいな そういったのもあってですね それにちょっと近いのかなみたいな
いわゆる本当に芸術的なアプローチを使って 攻略するっていうのが
そういう意味においてはGoogle側が評価した ポイントになったのかなっていうのは個人的には思うところです
技術者視点で見て エレガントな攻め方っていうかさ わかんないけど
そうですね
そんなにこれ簡単に思いつかねえぞみたいな そういうような美しさだよね
ある種美しい作品的なものを感じたってことだよね
そうですね
その辺がエンジニアっぽいよね その視点が
分からなくもないなっていう
そんなことできるんやそんなシンプルに みたいなのもエレガントっていったりしますよね
色々ね そうですね
21:01
色々なものを組み合わせるっていうのもそうだし 思いもやらない簡単な方法っていうのもあるしね
色々あるよね
よくこんなの誰も思いつかへんかったのを見つけたら こんな簡単なやつみたいなありますよね
あとですね Windowsとか他にもAndroidとか色々書かれてるんですけども
Microsoftのエクスチンジサーバーも今回取り上げられておられて
4件のゼロデーが確認されましたっていうものなんですけども
私なんかちょっと面白いなと思ったのは このゼロデーがたくさん見つかってるから
それ自体を単純に数字として評価をするっていうのは やっぱりちょっと推奨しないっていう風にGoogleが言ってまして
1個の脆弱性でいきなり攻略されてしまう サーバーをその1件の脆弱性だけで掌握されてしまうものっていうのが
非常に強力であることは分かりやすいんですけども なかなか今のソフトウェアであったりサーバーであったりっていうのは
1件の脆弱性だけですぐに攻略はやっぱりできないものでして 複数の脆弱性を組み合わせて攻略されるケースがあると思うんですけども
エクスチンジサーバーも同じような形で 複数の脆弱性を使って攻略するような類のものなので
単純にこのゼロデーの数だけに注目するっていうのは そういった部分の評価に影響が出てしまうんじゃないかなっていうのは見ていて思ってですね
4件のうち1件は認証がなく攻略ができる いわゆるプロクシーログオンと呼ばれる
非常に有名だと思うんですけども 有名な脆弱性で
それ以外の3件のゼロデーに関しては 認証した後に攻略に使われるような類のものということではあったので
単純な数だけ見るっていうのが終わりつつあって ちゃんと中身を見ていかないといけないのかなっていうのは
これを見て思ったところではありました
最後に質問形式でこういうの気にしておくべきではないかっていうのも 最後列挙されていてですね
ちょっと全部は紹介したいんですけど ゼロデーは今実際どこにあるのかっていう話の中で
結局この記事のタイトルが ちょっと噛まずに言えるかな
The more you know, the more you know you don't knowっていう
知れば知るほど知らないことが分かってしまったみたいな
そういうニュアンスのタイトルの今回レビュー記事になってるんですが
結局知らないところがまだまだあるんじゃないかっていうところが 一つ暗示されていてですね
例えばメッセンジャーであったり あとはmacOSとかLinuxとか
そういったWindowsとかAndroid iOS以外の他の主要なプラットフォーム
他にはクラウドであったり あと例で出されたCPUとかWi-Fiとか
24:06
あるいは電話コンポーネントに関するような そういった脆弱性情報はとんと見かけないという形で書かれていてですね
結局今回評価分析された脆弱性も 言ってしまえば見つかった?
ゼロデーではあったんですけども 見つかって実際に分析ができた脆弱性を今回レビューしたものではあるので
ここもしかしたらあるんじゃないか けど見つかってないよねっていうところはまだまだ多いと
というところは気に 実際Google側が冴えていらして 私たちも姿勢を置く必要があるのかなと
あとこういった分析において重要な要素としては 脆弱性もそうなんですけども
それを悪用する方法も重要だということで これまで脆弱性を基本フォーカスして分析している形になるんですけども
この脆弱性 今回の2021年の58件のうち5件だったかな
実際それを悪用する方法としてエクスプロイトの サンプルが公開されていたのが5件だったというところではあってですね
この非対称性っていうのはやっぱり 今後の課題になってくるかなっていうのは
実際に脆弱性がありますよっていうのは よく言われるんですけども
じゃあそれがどうやって悪用されるのか どういう攻略のされ方
あるいはどういうふうな悪用のされ方をした後に どんな被害が出るのかとか
悪用に関する情報とかっていうのが それに比べるとまだまだ少ないかなというところもあったので
そこはやっぱり今後の課題になるんじゃないかなとしつつ
最後の結論としては Googleのプロジェクトゼロの2021年の総括としては
ゼロデーに関して ゼロデーエクスプロイト そういったものに関しての検出あるいは公開に関しては
全体としては明らかな改善っていうのが 見られるようにはなってきたんではないかと
いい方向に向かってきてるんではないかと いうことはあるんですけども
当然こういったゼロデーそのものが 発生しないための取り組み
さっき言ったメモリ破壊の脆弱性なんかに関しては 特に非常にオーソドックスな攻略のされ方ではあるので
それをそもそも発生させないような 取り組みの仕方であるとかっていうのも
一層強めていく必要があるっていう形で 最後締められていました
ちょっとざっと言っただけなので まだ紹介しきれてない内容がたくさんあるんですけども
概要ちょっとかえつまんで お話しさせていただきました
細かい話を端折るとさ 全体的に数が増えたっていうばかりから
クローズアップされがちだけど その最後の話も絡めて考えると
これまでもしかしたら見過ごしてた脆弱性も いっぱいあったかもしれなくて
悪用されてたけど全然誰も気づかないうちに 密かに悪用されてたっていうものが実はいっぱいあったと
27:05
例えば毎年仮に100件ゼロデータ 悪用されてたものが実はあるんだけど
そのうち今までは最大でも20件ぐらいしか 実は検出してなかったと仮にね
どういう状況だったのか でもそれを検出することができる技術がだいぶ進歩してきて
悪用されればそれに気づけるようになってきた っていう側面があるから
今まで100件中20件だった中 100件中50件ぐらい見つかるようになりました
ということなのかもしれないよねっていうことを言ってて
実はそれが100件じゃなくて1000件かもしれなくて
ちょっと母数が誰もわかんないですよね
さっきのタイトルの部分も50件今見つかってるけど これが例えば100件見つかるようになったら
実は母数は1000件だったって見えるかもしれない っていうことを案に言ってるわけよね
そこがやっぱり見えてないっていうところと
さっき言った特定の分野はよく見つかってるけど 見つかってない部分がまだまだいっぱいあるみたいな話っていうのは
昔よりもいろんなソフトウェアが増えてきて 使い方もすごい多種多様になってきていて
よく言われるセキュリティ分野もすごく専業化が進んじゃってて
全体を組まなく見られなくなってるんで
カバーできてないところ多分いっぱいあるじゃん
そういう点考えると攻撃する側は手薄そうなところをとりあえず狙ってって考えるから
防御する側は全部を守らなきゃいけないけど
そういうちょっと不利な点がやっぱりまだまだありそうだなっていうか
課題はまだまだありそうだなっていうのが聞いてて見えてきたよね
課題がありそうだけど数が増えてるのは別に悪い傾向ではなくてむしろいい傾向ですっていう風になるかね
まあそれもなんかいい気持ちなのかもしれないね
いやなかなか面白いよねこういうこうちゃんとそのゼロデイとかをきちんとその
毎年のようにしっかり追いかけてるところってあんまりないから
いやないよね非常に貴重な
そうなんだよね自社についてはいろいろやってるところがあっても
そうですねChromeとかGoogleはやってますけどもそれに閉じずに
そうなんだよねプロジェクトゼロは非常に優秀なエンジニアがいっぱい揃っていて
信頼に足るデータを出してくれるからこういうのありがたいよね
僕もそのこの今話聞いてて聞けば聞くほどこのタイトルやなと思いましたね
ねまあこれはなんか贅沢性の分野に限らずまあ思うことだよね
そうですね確かに確かにそれはそうですね
やった全部知ったと思ったら全然そうじゃなかったみたいなのは
なんかさらに地平が開けてくるっていうのはねまあだいたい誰しも感じることだよねこういうのは
そこがまああのちょっと言い方あれですけど面白いところの一つでもありますからね
いやそれをねあの面白いと感じれるかどうかで変わってくるのよ
30:04
なるほど
多分僕らはそういうの面白いと感じるタイプなんだよ
なるほどマラソンだったらゴールテープ直前だったと思ったらもう全然先にあったみたいな
それを楽しめるからだからこの仕事を続けられるのよ
なるほど
そうでないと心折れちゃうもんこれだって
なんかこう何て言うんですかねなんかいろんなことを知りたいって思うじゃないですか
僕も看護さんもネギスさんもみんな同じ向きはね違うかもしれないですね
興味の穂先には違うかもしれないですけど
なんかこういろいろ勉強して去年よりも一昨年よりも今は賢くなってるはずじゃないですか
自分はいろんなものを学んだりとかしてね
だといいね
学べば学ぶほどっていうところで言うと
なんかこれ多分死ぬまでに全部無理やなっていう当たり前なことに気づくと
なんか死ぬまで全然楽しめんねやっていう気はしてちょっとそれは僕はワクワクはするんですけどね
そうそうそうそういう感覚よね
そうだこれ全部もし全部わかったら分かりきったで不幸やと思いますけどね
不幸かどうかは分からない
もうやることなくなるやんみたいな
そこに幸せを感じる人もいるからさ
僕はなんかそう思っちゃうんですよね
その辺が性格が出るよね
これからどんなアプリにゼロデーが出てくるのか
この辺もね攻撃する側とか調査する側の関心というのにも影響してきますからね
数とか範囲っていうのはね
あまりにもマイナーすぎるものを見つけても攻撃する人が少なすぎるとか
その辺のバランスも考えて探さないといけないでしょうね
はいじゃあ次の話題に行こうかなと思うんですが
じゃあ次はねぎしさんいきましょうかね
はいじゃあ私はですね今週はちょっと軽めの話題を紹介したいなと思うんですけども
今週はねアプリの紹介をします
テックっぽい
テックっぽいかな
久しぶりのテック系
ニュースとかの紹介じゃないよってことね
なるほど
何を紹介するかというと僕らも大好きなDuckDuckGoってあるじゃないですか
使ってますね
プライバシーを重視した検索エンジンのサービスなんですけども
検索エンジンだけじゃなくてそれを使うためのブラウザの拡張機能とか
あとモバイル向けのアプリとかも出してて
僕も普段よく使ってるんだけど
実はそこのDuckDuckGoが先々週新しくデスクトップアプリで
DuckDuckGo for Macっていうのをリリースしたんですよ
MacMacGo
違いますDuckDuckGoです
それMacMacGoって名前じゃないんですか
違います
本当ですか
それでもいいねそれ覚えやすいね
ちょっとDuckDuckGoにメールした方がいいんじゃないですか
MacMacGoにしてくれへんみたいな
誰か言ってるよ多分それ
言ってるか
わかんないけど
33:00
言って却下されてるんでしょうね
MacMacGoなんだけどさ
違うんだけど
違うけどね
それが先々週ね
デスクトップアプリ初めてリリースされまして
これは今招待コードが必要で
早速使ってみたいっていう人は
モバイル版のDuckDuckGoのアプリからちょっと申し込みが必要なんだけど
僕これリリース直後に申し込んだら
1週間ぐらいで招待コード来たんで
それぐらい待てば使えると思います
招待コード来て早速使ってみて
まだ通じつしか使ってないけど
そのファーストインプレッションも含めて
どんなアプリかっていうのをちょっと軽く紹介しようかなと
いいですねお願いします
DuckDuckGoを使ったことある人とか
モバイルのアプリを使ったことある人は
ピンとくるかなっていう感じ
そんなに大きく違うものでないんだけど
まず印象的なのが非常にシンプル
画面もシンプルだし
あと設定もシンプル
例えばChromeとかFirefoxとかでも
セキュリティの設定とかプライバシーの設定とか
何段階かに分かれてたりとかあるじゃない
レベルが書いてあったりとか
セキュリティ強め緩めとかあるじゃない
ああいう設定が一切ないの
最初からデフォルトでセキュリティもプライバシーもOKです
っていう状態になってて
いじれないようになってる設定が
これってなってるんですか
これっても決まってて
一応ブラウザの狙いがシンプルに
何も考えなくても安全に使えます
というのを売りにしたいっていう
そういう感じになってて
いじれるところがほとんどないんだよね
設定項目が
これで使ってください
これがうちの製品なんでって感じなんですね
プライバシー重視のブラウザとかっていうと
他にもいっぱいあるんだけど
ちょっと特殊な使い方をする人が使うものみたいな
そういうイメージが
もしかしたらあるかもしれないんだけど
ダックダックゴが言うには
普段使いできるブラウザにしたいと
みんながデフォルトのブラウザとして
普段使ってもらえるようなものにしたい
って言ってて
その辺の狙いがたぶん現れてるんじゃないかなと
難しく考えなくても使えますよっていう
それを一つの売りにしてるのかなと
実際そういう作りになってて非常に使いやすい
もちろんプライバシーっていう
ダックダックゴの売りもそのまま残ってて
モバイルのアプリ使ったことある人は知ってると思うんだけど
ファイヤーボタンっていうのがあってさ
それをポチッとやると
履歴とかクッキー情報とかが
ブワーッと燃えるアニメーションが出てきて
全部一気に消えちゃうんだよね
その機能はそのまま残ってて
でも普段使いする
例えばログインしっぱなしの
アプリケーションとかも必要じゃない
そういう場合には
そういうウェブサイトは
ファイアープルーフっていう設定にしておくと
36:00
ファイヤーボタンを押しても消えないようにできたりとか
一応そういう工夫もされていますよということで
あとその作りの話で言うと
これもちょっと特徴あるんだけど
ブラウザーのレンダリングのエンジンは実はウェブキットを使っていて
そういう意味では
Safariと中身は同じなんだよね
OS標準のブラウザーであるSafariと同じで
これはだから
iOS用のモバイルのアプリと同じ作りをしていて
エンジンはウェブキットをそのまま使っていますと
側の部分を全部一からスクラッチで
タックダックゴが作りましたと言っている
ウェブキットを使っている
パフォーマンスもすごく早いですと言っていて
それにプラスプライバシー重視の作りを作り込んでいるので
すごく使えますよということは売りにしていると
動作は結構だいぶ軽い感じ
めちゃ軽いよ
余計な機能はないし
いいですね
めちゃくちゃ軽い
使いやすい
とはいえマイナス面というかね
まだベータ版というのもあるけども
今の時点では設定がいじれないともあるし
あと拡張機能の機能もないのね
エクステンションを追加するということが
今できない状態
これはでも後でもしかしたらサポートするのかもしれないんだけど
というのがないので
例えばいろいろブラウザに
後から自分好みの拡張機能を入れて
カスタマイズしたいという人には
ちょっとまだそういうニーズには向かない
とはいえそれだと困るでしょうということで
これは必要でしょうという機能は組み込みますと言っていて
今の時点で最初から組み込まれているのは
パスワードマネージャー
は組み込まれていて
なんでねこれはいいよね
これはいいと思って
これは今のそのChromeとかFirefoxとかの
標準のパスワードマネージャーを使っている場合には
そのままブラウザの設定から移行できるようになっていて
プラスワンパスワードとかラストパスとか
僕らが使っているような
商用の別製品のパスワードマネージャーを
使っている場合には
CSVに一旦エキスポートして
そこから取り込む機能というのが
用意されているので
一括してDuckDuckGoのこの新しいアプリの
標準で組み込まれているパスワードマネージャーに
取り込むということが一応できるようになっていますと
そういう感じで
確かにそれはないと困るなっていう
めんどくさいですもんねかなり
そこはサポートしているけど
でもそれ以外にも多分いろいろ
他のアプリとの連携で使いたいとか
普段使いしようと思ったら
例えばそういうのはあると思うので
そこを今後どうしていくのかな
というのはちょっと分からないんだけどね
現状はそういう感じで
シンプルイズベストという感じで
極力余計なものは入れ込まないで
安全にプライバシーに配慮して
使えるようにという風になっていて
まあいいんじゃないかなと思った
今はしばらく普段使いしているんだけど
39:03
普通に使っている分には7コマで
僕は一応いろいろ調べなきゃいけないときもあるので
基本常にJavaScriptオフで使っているんだけど
そういう設定がないのよね
そういうところもないんですね
そういう細かい設定がないんだよね
その辺が今後拡張機能で対応するのか分からないけど
どうするのかな
でももしかしたらプロ向きって考えて
一般の人はそうしないでしょって思うんだったら
サポートしないかもしれないしね
これはあれなんですか
Macが先に出た
多分だけど
iOS版と同じような作りしているので
多分移植しやすかったんじゃないのかな
という気が分からないけどね
Windows向けとか
ただデスクトップ版としては
一応MacとWindowsはサポートしますって言っているので
近いうちに今開発していると思うので
近いうちにWindows版も出ると思います
MacはエンジンがSafariやけど
WindowsだったらEdgeとかなんですかね
多分ね
それはOSの中にあるものを使うっていうのが基本なんですね
そうみたいOS標準のものをそのまま使えますっていう方針でいくみたい
ある意味割り切った方法っていうかね
このやつってだいたいChromiumベースになってるやつが多いんで
そうしちゃうと結局なんだかんだで全部Chromeになっちゃうっていう懸念がさ
今僕Firefoxがメインで使ってるけど
Firefoxって今めっちゃシェアが下がっていて
下がってますね驚くほど下がってますよね
この間見たんだけどFirefoxをサポートしないって言ってるサービスが増えてきてるみたいな
そうですね結構見るようになりましたね
公的機関のサービスとかもSafariとかChromeはサポートって書いてあるけど
Firefoxは書いてないとかさ
結局複数のブラウザをサポートするってやっぱりサポートする側の負担になるから
できるだけ標準的なものは少なくしたいっていうのは分かるんだけど
なんかでも過去の歴史がさ
ブラウザの市場がそうやって集約されていくと良くないことが起きるっていうのは
過去の歴史が教えてるんで
僕はあんまりChromeに集中しちゃうのは良くないなと思っていて
あえて自分でも違うものをできるだけ使おうとしてるんだけど
でも世の中的にはそうでもないからね
そうですね
どうなのかな
モバイルはまだIOS頑張ってるからSafariとか結構使われてるけど
デスクトップではもうChrome圧勝だからね
まあまあちょっとそういうのもあって
いずれ今の話じゃないけどMac版先に出たけどWindows版も出るんで
出たらね
出たらぜひ使ってほしいなっていうか
こういうシンプルなのもアリだなって思わせる
42:02
あと難しいこと考えないで一般のユーザーの立場だったら
要はトラッキングとかさ余計なものは全部ブロックしてくれるんで
これは良いかもなってちょっと思ったね
ぜひちょっと使ってみてください
僕もちょっとしばらく普段使いしてみて
まだちょっと使い始めたばっかりで
良いところばっかり見えてるかもしれないからさ
悪いところもちょっと見えてこないと公平に判断できないから
ちょっとしばらく使ってみて
どんなものかなっていうのを追っかけていきたいなと思ってます
また気づいたこととか発見があったら教えてください
はい
ありがとうございますということで最後は僕のネタでございますけれども
はいお願いします
最近この話製片になったなとかって思ってたことが一つありまして
その話を今日はしようかなと思うんですけども
メールの訓練
おーなんか一昔前はさ
僕ら結構セミナーとかでも話題に取り上げてあちこちで言ってたよな
そうなんです本当に一昔前で自分でこのことを書いた記事があるんですけど
俺も書いたよブログで
それいつの間にかなと思ってみたら2011年の12月でしたね
あーなるほど
なんか標的型攻撃の最初の攻撃手口でメールがやっぱり非常によく使われるみたいな
そうなんですよね
一時期そういうのがありましたかね
大体どんなことをするかって大体実際の攻撃に見せたメールを送って
ユーザーがどういう反応するかというのを観察すると
メール開いたとかあとはリンクのクリックをしたかとか
あと添付ファイル開いたかみたいなところをトラッキングしてさあどうかみたいな
場合によってはその開封した人にはここを見てくださいっていう風に
教育コンテンツを見せるなんていうのが結構スタンダードになってきて
サービス化されてるっていうのがたくさんあるかなと思うんですけど
さっき看護さんが言ったみたいに2015年の年金機構の標的型攻撃ってあったじゃないですか
年金機構を含む標的型攻撃の経路っていうので
メールがmdbっていうやつですねくっついてくるっていうのがありましたけど
それが有名になって一躍それでメールの訓練っていうの需要が
もう爆発的に増えたんですよね
その話を実は僕とネギスさん動画の時のセキュリティのあれで
その話してるんですよ
覚えてる覚えてる
今もyoutubeで上がってますよね
その時の話の中で言ってたのが訓練したいってなってるけど
2ヶ月3ヶ月また変化ったら適否みたいな
そんなのあったっけ
珍しいですよねこの行列のできるセキュリティサービス
当時まだそんなにサービスとして提供してるところ少なかったかもしれないよね
45:01
なかなか回らないっていう状況で多分需要が増えすぎたんですよあの件でね
そういう訓練っていうのはどうですかお二人はそのメールの訓練っていうのは
受けたことはあるというか今もなお受けてたりとかするもんなんですか
定型的なサービスっていうのはどっちかというとやる側で
これ聞いてる人も受ける側というよりも
この訓練出す側の方の人ももしかしたら多いのかもしれへんなと思ってたんですけど
リスナーではそんなことないだろうさすがに
どうですか
情報セキュリティ委員会とか社内の
情報室とか
そうそうそっち系が多いのかもしれへんな
まあそういう人もいるだろうけどね
報告を受ける側とかねそういうサービスを採用して
そうだね
その訓練っていう風なものっていうのをちょっと今一度振り返ってみたいなと思って
自分の生意にも兼ねてね
何でこの話したかっていうとちょっと最近やっぱりこのランサムっていうキーワードもあって
ランサムってほら僕がよく見ているような
いわゆるネットワーク侵入型標的型とかって言われるようなものもあるけど
いずれメールでのばら撒きもあるわけじゃないですか
そうですね
それに加えてやっぱり今一番ホットなっていう風に言うとあれかもしれないですけど
エモテットとかそういったものであるんで
結構メールの訓練ってそういう機運が高まってきてたりするのかなと思ったんで
ちょっと振り返りたいなと思ったんですよ
この訓練っていうものに関して
なるほど
訓練ってじゃあ何のためにすんのかみたいなことなんですけど
これは引っかかる人を減らすっていう目的もあるのかなと
ただ忘れちゃいけないのはゼロにっていうのはなかなかならないっていうことですよね
開く人とか
こういう攻撃があるんだっていうことを知ってもらうっていう風ないわゆる教育のアプローチ
あとは一番僕はこれ重要と思っているのは
怪しいなっていうふうに気づいた時とかに正しいアクションを起こせるように慣れを養う
例えば報告をちゃんとする場所を知ってるとか
開いてしまった時に線を抜くのか線抜かずに引き渡しをするのか
無線やったらどこでオフにできるのかとかっていう正しいアクションを起こせるように慣れを養う
いわゆる訓練の一番目的とされるところかなというふうに思ってるんですけど
これもさっきもちょっと言った通りゼロにするっていうのを維持するってのは
僕は不可能なんだろうなというふうに思っていて
一定数引っかかる人っていうのがいるっていう前提で
システム側で対策をしないといけないってことに気をつけないといけないなというふうなことは僕は思っているんですけど
いろんな訓練の結果とかも目にする機会あるんですけど
ある程度減っていくんですけどそこからはもうずっと横ばいちょっと開く人がおる横ばいみたいなものが続くんですよね
2、3%ぐらいまで入ってくるとなかなかそこから減らないみたいな感じになってたりするんですけど
48:05
今はこのあたりのことをどういうふうに言及しているのかな
一時期開封率ばっかりに着目するみたいな
必死にね
なんかその結構偉い会社の偉い人がメール開くようなやつはあかんみたいな
あったと思うんですけどそういうのって
ちょっとはいろんな各社のサービスとかを見ていると
開封率だけじゃなくて教育にちゃんと重きを置きましょうみたいなところもあるんですけど
なかなか年金の頃とかにこういうサービスを採用せずにいた
今エモテッドでなんとかしなみたいに10年ぐらいも経ってますから
その訓練みたいなものが始まって世の中に出てからね
一周しちゃって逆にまた開封率に着目しがちになったら
っていうふうなことが結構エモテッドの流れもあって心配やなっていうふうに思っているというふうなところなんですよね
ネギスさんがさっき言った俺もブログに書いたっていうふうに言ってたやつがあって
セキュリティは楽しいかねっていうブログがあるんですけど
そこでずいぶん前のねエントリーなんですが
トラスティアっていう会社あったじゃないですか
今IBMの参加なのかな
そこがやった結果のアンケートが今でもやっぱ印象的で
知り合いがライバル会社に転職したよっていうふうなことを
リンクトインの通知を偽装してメールを100人に送るっていう実験やったやつがあって
これもそれなりにセキュリティの教育を受けてるという人に向けた100人だったらしいんですけど
これ最終的にクリックしなかった人というのは32人いましたっていう結果だったんですが
この実験の面白いのはなぜ開いたんですかじゃなくて
なぜ開かなかったんですかっていうことを聞いているのがすごく面白くて
32人のうちの16人がそんなメール来てたっけっていうのが16人
スパムフォルダに入ってるっていう
あとは普段そんなリンクトインからの更新メールなんて来ても無視してますっていう人が7人
興味わからなかったんで見ませんでしたっていうのが9人か
16人と7人と9人で
これ全部開かなかった人はたまたま開かなかったみたいな注意で気がついて開かなかったわけじゃなかったっていうのがあるんで
開いた人っていうのは逆に言うとたまたま開いたっていうのもあるんじゃないかみたいなことを思ったんで
そういったところがちょっとこれ聞いてる方は結構ご理解いただいてるんだとは思うんですけど
開くその開封率だけに着目するような訓練っていうふうなものはやらない方がいいんじゃないかなっていう話を改めてしたかったなっていうのがあったんですね
今月4月のちょっと中ぐらいだったかな上旬だったかなぐらいで
51:03
訓練をちょっとやり方をミスって軽い炎上しちゃいましたみたいな会社があったんですよ
ウエストミッドランズトレインズっていうイギリスの列車の運行会社なんですけど
ここの訓練でやらかしたっていうほどなのかちょっとわかんない
いろんなところでニュースで取り上げられちゃってたんですが
メールの訓練の内容がちょっとよろしくなかったんじゃないかっていう風に取り上げられてて
内容がコロナ禍において従業員の努力に感謝していますと
なのでボーナスを提供しますというメールを2500人の従業員に送ったんですよね
でこの内容がちょっとそのあんまりこうよろしくないというか
モチベーションをボーナスもらえんのかと思いつつも
実は訓練でしたっていうふうにモチベーションを下げてしまうであるとか
あとはここの会社でコロナにかかってしまって
亡くなられた社員の方もいらっしゃるというところがありまして
こういうやり方はどうなのみたいなよくないんじゃないのっていうようなことで
海外のメディアでは結構記事になっているというようなところがあったんですよね
なので訓練っていうのって開いてもらうような内容を送らないといけないのは確かなのかもしれないですが
明らかにわかるようなものをやっても訓練にならないという考え方をする人ももちろんいるので
それはそれでわかるんですけど
こういう内容にももうちょっと配慮した方がいいんじゃないかなっていうふうな
訓練が逆にモチベーションを下げてしまうような結果になるのは良くないなと
それが外に出てしまってこうやって記事に取り上げられてしまったら
別のインシデント呼んじゃってるやんみたいなものがあったりするので
こういうのも気をつけた方がいいんじゃないかっていう例が海外メディアでありましたというお話ですね
それちょっとどこがどういう訓練だったのかよくわからなかったんだけどさ
そのボーナスが出るよっていう内容の
社内から出ているように襲った社外からのメールってことなの?
そうですね
外部の攻撃者がそういうメールで開かせようとするかもしれないよっていうそういう意味?
そうそうそうそう
なるほどね
それはちょっと考えたやつがアホだったっていう感じだよね
もうちょっとちゃんとした方が良かったんじゃないのっていう
何人かで考えた結果こうなのかもしれないですけど
前にさ国内でもあったけど海外でもよくあるんだけどさ
実際の例に似せすぎちゃって問題になったやつとか
そうそれもちょっと僕今紹介しようかなと思ってたんですけど
あったあった
訓練やったら大騒ぎなったっていうパターンなんですけど
結構これも前のやつなんですがさっき出したMDBの内容をなぞった感じのやつなんですけど
健康保険組合連合会を装った不審なメールへの注意喚起っていうのが過去にありまして
54:01
差出人が今ねその保険組合連合会を装ってるんですけど
差出人名が健康保険組合連合協会
で添付ファイルのサイズが9K
MDBはちなみに200Kぐらいのサイズだったんですけど
これなんか注意喚起がすごい出てて
あれあれと思って僕調べてみて結局確認してみたら
訓練でしたっていう
これ訓練するときにさっきみたいな変な内容
変なっていうかちょっと言い方悪いか
モチベーション下げてしまうような
良くない内容を送るっていうことも良くないけど
訓練をするときに本当に自分たちの組織以外のどこに
連絡が行っちゃったりすることっていうのも
ちゃんと配慮しないといけないなってことなんですよね
いきなり警察に連絡しちゃうとか
IPAに連絡しちゃうとかっていうのももちろんあると思うんですよ
そういういわゆる通報窓口ですよね
じゃなくて訓練で養うべき慣れみたいなものは
ちゃんと不審なものを見かけたときには
ここに報告してくださいと
社内の部署をちゃんと定着させておくっていう必要もあるな
っていうふうなものは
結構この昔の内容なんですけどね
思い出したなっていうふうなところでございます
なんか海外でもあったし
実在する組織の名前で出しちゃって
リアルインシデントになっちゃったケースとか
サービスとしてちゃんと提供してるところは
そのあたりぬかりなくやってるんだけど
自社でそういうのを検討してやったりだとか
しちゃったとき
それは悪いわけじゃないんだけどさ
ちょっと考慮不足な点があると
どういう副作用って言えばいいのかさ
想定していない動きって人間はするものなので
それが結果的に悪い影響を及ぼさないように
っていうところまでちょっと考えないといけない
なかなか
それはそれで得るものはあるっていうか
過去の例でも炎上騒ぎにはなってる
今回のケースもそういう意味ではそうなんだけど
炎上騒ぎにはなってるんだけど
すごくそれが逆に教訓にもなっていて
こういうケースだとこういう動きになるんやっていうのが
リアルにわかるっていうのと
そういうのを実際に確認して
その場合にはどうすればいいかみたいなさ
気せずして本当にそういうリアルなインシデントの
訓練になっちゃったっていうのも
結果としては炎上はしたかもしれないけど
得られたことは結構大きかったと思う
そうですね
長い目で見れば確かにそうですね
炎上することによって得られた知見っていうのはあるでしょうしね
あとその会社だけじゃなくて周りがそういうのから得る教訓っていうね
ああいうことやっちゃうとああなるんだって
そうですね
他人の振り見て的な
そうそう
あとやっぱりリアルにもし起こった場合にも
多分そういう想定しないところに影響が及ぶっていうことは
やっぱり考えておかないといけない
57:00
そういう頭の訓練にもなるっていうかね
だから悪いことばっかりもないんだけど
なかなか難しいよね
思い通りのシナリオにことが運ばないっていう
何が簡単で何が難しいかっていうのは
見方にはよるのかなと思うんですけど
このメールの訓練ってすごくシンプルなものじゃないですか
まあやってること自体をね
そうですねやり方そのものは
でも扱ってるものは
パッチ当てる当てへんとかっていう
ゼロイチのものじゃなくて
人を扱うっていうところが非常に難しいポイントだろうな
っていうのは思うんですよね
どうなるか分からないとか
思っていないような動きをするっていうのは
ユーザーは管理者とかが
思ってないような動きとか
想定しない使い方とかっていうのをするのが
結構あったりするっていう話もあるじゃないですか
なんでここは本当にちゃんと考えてやらないと
なんか誤った使い方をしてしまったり
さっきから出てるように
開封率だけに着目するもそうですけど
なんか誤った使い方とか
ちょっとこう配慮が足りなかったり
っていうふうなことがあるので
しっかりもう一度見直してほしいな
っていうふうなことも思ったんで
こういうちょっと話を取り上げて
見ましたというところでございます
だから危ないからとか
っていう話ではなくて
実際にやったら
そういう想定しないことが起こるっていうことを
知るために訓練するのよ
要するに
訓練の目的はそういうことなのよ
でこう知見を食べていく
経験値を上げていく
予想通りで動いて
誰も不審なメロに引っかからなかった
よかったよかったっていう
確認をするために
訓練するわけじゃなくて
予想外のことが起こるのを
知るためにやるのよ
訓練っていうのはそういうものなのよ
名言きましたよこれ
いやだってそうじゃん
避難訓練とかもそうじゃん
想定した通りに
ことが運ばない
っていうことが起こるっていうことさ
実際にリアルに起きる前に
知るためにやるわけで
やってみたら実際想定通りに
いかないことってのはもう
そうですね
すげーあるわけで
なんかその避難訓練って今ね
ワードが出たんであれなんですけど
避難訓練って
避難する人たちだけの訓練でもないですからね
避難誘導する側の訓練でもありますからね
そうなのそうなの
そういうトータルで考えるとね
いろいろ得るところはあるから
ぜひそういう何炎上騒ぎとかあったら
もうやめようみたいじゃなくて
そういうのを気をつけつつね
いろんな効果が得られるから
ぜひやってほしいよねそういうのね
そうですね
はいということでございます
ありがとうございます
最後おすすめのあれを紹介しようかなと思ってるんですが
今日僕が紹介するのは
デトクリアブライト&ピールピーリングジェリーホットでございます
長いわ
それは僕に言われても商品名やもん
何の商品かもわからん
何の商品かもわからん
ジェリー?
ジェリーですジェリー
食べ物ちゃいますよ
食べ物じゃなかったらわかったよ
1:00:00
本当ですか
これ明色明るい色と書いて
明色化粧品っていう
メーカーが出してるやつなんですけど
何するやつかっていうと
ピーリングなんですよ
顔とかにねそのやっぱりこう
角質だとか毛穴の詰まりとかあるじゃないですか
これからどんどん熱くなっていくでしょ
やっぱりさっぱりしたいじゃないですか
そうだよね
人によるけどね汗かきの人は特にねいろいろね
特に僕とか代謝めっちゃいいから
汗かきなんですよ
なんでこれもずっと使ってるんですけど
これは顔に温感のやつで
洗顔の容量で使うようなもんって思ってもらえばいいんですけど
それをこうやってゴシゴシしてると
いろんな角質とかその
肌のくすみみたいなものとかが取れるんですよ
ボロボロボロボロ
温感なので結構気持ちいいんですよね
パックっぽさもちょっとあって
洗い終わった後の
使い終わった後のスッキリ感がすごい半端なくいいので
僕は季節関係なく週に1回ぐらい使ってるんですけど
それあの
逆に大丈夫なの?
何が?
使いすぎると肌に良くないとか
毎日は多分やめた方がいいと思う
そうだよね多分ね
そういうのってあんまり使いすぎてダメなんだよね
落とすものがないのに落とそうとするとやっぱり良くないので
逆に気をつけた方がいいよね多分ね
だからそのペースみたいなものは人によりけりなのかもしれないですけど
僕は1週間か2週間に1回ぐらいとかしかやらないようにはしてますけどね
これ洗い終わった後ボロボロ取れた後は
結構ツルッとするんですよね
ツルッとさせる成分も入ってるようで
なるほど
そうそうだからなんか多分
乾燥する季節とか皆さん
男性でも化粧水みたいなものとか
男性向けのものもいっぱいありますから
乾燥を防ぐために塗ったりするっていうのもあると思うんですけど
こういう一番ベースになってるところの汚れを落としてからの方が
そういうのが効果が得られやすいので
男性でも女性でもですね
これをたまにこれから汗ばむ季節なんで
どんどんこれで落としてしまえばいいんじゃないかなという風に思って
僕ずっと何年も使ってるんでこれ紹介をさせていただいたんですけど
なるほど
この手のスキンケアとか化粧品とかもそうなのかな
わかんないけど人によって合う合わないがあるからね
そうそう
必ずしも誰にでも合うと思わないけど
なるほど
辻さんは結構気に入って何年も使ってるんだ
そうですね
合う合えへんけど
逆に晴れたりとかヒリヒリしちゃう人もいれば
そうそう
肌の質とか全然人によって違うから
そうそう
あとはこの製品よりこっちの
知り合いはこっちがいいというか自分にはこっちが合うとか
結構それ探し出すと沼ですけど
そうだろうね
1:03:00
早くにいいのに出会えたらいいかなと思うんですけど
肌ツヤ良くないですかって言われたりとかすると
これ使ってますみたいな感じで紹介をするやつですね
これ使った時によく言われる
なるほど
今日肌ツヤツヤしてないですかみたいなこと言われるんですよね
なのでこういうのも使ってみてもいいんじゃないかなと思って
お二人はそういうスキンケア系のやつとかってされてるんですか
ピーイングはやってないけどね
普通の洗顔とか化粧水ぐらいの感じ
そうですねそれなりに最低限のことはやってますが
そうですよね
これもちょっとそんな高くないんで1000円ちょいとか
通販とかで買えるんですか
もうアマゾンで売ってますよ
定価は1540円ですけど買う場所によったら1000円とかで
880円って昔見たことあるな
じゃあちょっとお試しで使ってみるってのもありだね
そうですねちょっと買ってみるのにもいい値段かなという風に思うので
結構人気商品なんで検索すればいっぱいレビュー出てくると思います
そういうのも見ていただければいいんじゃないかなと思います
ありがとうございます
はいということで今日も3つのセキュリティの話と
セキュリティのあれ
セキュリティのあれじゃない
おすすめのあれを紹介
ここよく間違うんですよね
よく間違えるよね
セキュリティのあれはもうずっとやっとんねんっていう話なんです
ずっとやってるやつですね
はいということでそんなこんなで来週のお楽しみでございます
ではバイバイ
バイバーイ
