オープニングとカップヌードルの思い出
なんか昔から食べてきたものとかで、久しぶりに食べたらやっぱりこれおいしいなみたいなありません?
あー、懐かしの味っていう?
そうそう、なんか別に世の中にはずっと常々あるんですけど、自分にとっては久しぶりみたいなもんあったりするじゃないですか。
あー、まああるよね、そういうのね。
そう、で、この間あの久しぶりにカップヌードル食べて。
おー、言われてみればなんか最近カップ麺ってなんかあんまり。
食べないでしょ。
人によるかもしれないけど、まあ俺はほとんど食べないわ。
でもお二人ともカップヌードルは食べたことあると思うんですけど、お二人は何味が好きですか?
あ、カップヌードルって日清のやつ?
そうそうそうそう。
あー、俺はノーマルが一番好きだな。
あー、赤いやつですよね。
赤いやつ。
うん、白赤のウルトラマンみたいなやつね。
なんかあれだね、シーフードとかカレーとかあるやつだよね、いろいろ。
そうそうそう。かんごさんは?
私カレー派ですね。
あ、一緒や。僕もそう、カレーめっちゃ好き。
そうなんだ、カレー好きな人も結構いるよね。
でね、カップヌードル久しぶりに食べてやっぱ美味しいなと思ったんですけど、カップヌードルのCMって今までいろいろあったと思うんですね。
あー、まあ歴史があるからね。
その中でね、もうこれだけはっていうのでめっちゃ覚えてるやつがあって、カップヌードルレッドゾーンっていうのが昔あったんですよ。
僕が小学校4年生とか5年生とかの頃。
すぐには思い出せないけど。
あ、ほんまですか。赤いシーフード、僕食べてはないんですけどCMが印象的で赤いシーフードっていうやつ。
カップヌードルがレースチームを作ったかスポンサードしたかなんか記念みたいなんで出たやつでね。
なんか今ね、メルカリでそれのフタだけでか7、8000円で売られてるんですよ。
今売ってるわけじゃなくて昔のやつだからプレミアってこと?
そう、フタだけ、フタだけ。
フタだけ?
フタがギミックがあって温めるとレースクイーンの写真とかが出てくるっていう。
熱感知で。
多分でもね、ネギスさんも、看護さんはどうかわからないけど、ネギスさんはCM見たことあるんちゃうかなと思うんですけど、
チャゲ&アスカさんのですね、太陽と埃の中での曲が流れてるCMなんですよ。
追いかけてってやつね。
そうそう、それね僕ねずっと間違えてたんですよ。
あ、わかった、追いかけてってやつだ。
そう。
思い出したそれ。
あれって追いかけてって言ってんの?
追いかけてって言ってんじゃないの?違う?
ほんまに?
いや知らない知らない、でも追いかけてと追いかけては引っかけたやつだよね。
多分僕はそう思ってて、あれなんて言ってたんやろっていう。
僕は追いかけてやと思ってるんですよ。
でもおかしない、追いかけて追いかけてもつかめないものばかりだって、追いかけたら逆につかまれへんやろが熱くてって思うんですけど、ちゃうんかな?
確かにね。
そうか、言われてみれば確かにあったかもね、そんなCMね。
そうそう、それがなんかすごい印象的でね。
あれ、チャギアスのあの曲めちゃくちゃ名曲だよね。
いやめちゃくちゃいい歌ですよね。
なんかね、旅番組かなんかその世界不思議発見的なそういうのなんかのやつにも番組にも使われてたはずなんですよ、あの曲。
そうそう、それをねずっとふっと思い出して、あれは結局追いかけてやったのか追いかけてやったのかなんでもわからんなっていう。
どうでもいい。
気になったっていう話なんですけどね。
めちゃくちゃどうでもいい話だったわ。
リスナーからの便りとセキュリティ評価制度
そうなんですよ。じゃあぼちぼちお便りにいきますかね。
はい、お願いします。
そんなね、僕の聞き間違いと同じような感じで聞き間違いをされた方からお便りが来てまして、
今週のセキュリティのあれは前回ですね、冒頭のセキュリティ対策評価制度の話題で、
欲しい靴と聞こえてきた。
なぜ突然靴の話になるんだろうと考えてたら、欲しい靴の方だと気がついた。
確かにな。
ついさんだからね、靴の話しててもおかしくないよね。
なるほど。
発言者がこれ僕やったらしくて、靴好きやっていうのを知ってらっしゃる方で、
余計に靴の話を急にしだしたこいつみたいな感じで見えましたというお便りが来てましたね。
聞いてるだけだとちょっと一瞬わかんないかもな。
そうそうそうそう。
それに関して言うとですね、そういう評価制度とかなんですけども、
インシデントを起こしたらバン付けが下がる大相撲のような仕組みだったら信用できるっていう。
なるほど。
これでも難しいですよね。これすると隠ぺいがあっていう可能性もありますからね。
そうね。隠した方が得するってなっちゃったらよくないよね。
逆にだからそういうのをちゃんと公表していい対応したらプラスになるっていう方の評価の方が、
加点方式の方がいいような気がするけどな。
そうですよね。インシデントを起こしたことは確かに悪いけど、
そのリカバリーが良かったら原点を原点するというかね。そういう方がいいですよね。
なんとなくね。
なかなかこれ難しい。公平な判断もするの難しいしね。
一個ずつにどれだけ時間かけんねんっていう問題もあるしね。こういう審査に。
あとその事故を起こしてない何もないところはさ、何もないからプラマイゼロになっちゃうから。
確かに確かに。
セキュリティってそういうとこあるじゃん。何も起きないことが一番いいことなのにそれが評価されないっていうさ。
攻撃が来てるけど守れたのか来てないからなのかが分かりにくいってのもありますもんね。
そうそう。なかなかそれを公平に評価するってのは難しいよな。
確かに確かに。
あとは関連で言うと、最近気が付いたのですがセキュリティフレームワークのスコアを追い求めるだけではなく、
組織の課題解決になったのかという観点がやっぱり大事だよなと思いました。
通過、パスして終わりじゃないでしょっていう、そもそも何のためでしたっけっていう観点が抜け落ちるのは良くないねってお話ですかね。
そうだね。全く正しいご意見ですねそれはね。
こういう制度が境外化していく道で出会うもんですよね。
本来定期的にやっておかないといけないような棚下ろしとかを継続審査の前にバタバタしてやるみたいなのっていうのがあるあるっちゃあるあるなんですけどね。
そうだね。いつしか目的か手段か入れ替わっちゃって、それを通すことだけが目的になっちゃうみたいなのは良くないけどね。
その認証的な感じで言うと、自宅のWi-Fiルーターがうっかりサポート切れのままだったので家電量販店に買いに行きました。
せっかくなのでJCスター星1が付いているものにしようと思いましたが全くなし。売り文句にならないのかなちょっと残念。
なお11月11日はWi-Fiルーター見直しの日だそうです。広まれっていう。
そんな日があるの知らなかった。
知ってましたこれ。僕も知らなかったんですよ。だって11月11日って絶対ポッキー&プリッツの日でしょ。
どう考えても。知らなかった。平成11年かららしいですよ。
さっき大事なことを言ってたけどさ、JCスターの星が付いてるやつがお店で売ってないわけ?
家電量販店にはなかったみたいですよ。どこで買えるのよ。
本当だよね。何のためにせっかく作ったんだよね。店頭の一番いいところに目指すところに置いて欲しいんだけどな。
もしくはレジの近くとかに置いて欲しいですよね。
そうか。なかなか評価と販売が直接結びつくわけじゃないってのは課題なのかな。
星1が付くようなやつってのは量販店で売らへんぐらいガチで高かったりするのか?
そんなことないですよね。だって1やもんな。
ただあれかな。もっと他に星が付いてないけど売れすぎる商品があって隠れちゃってるのかね。
でも探してもなかったって。なんかこういう精度せっかく作ったのに買われへんかったら意味ないからそういう販売戦略とかまでちゃんと立てて欲しいよな。
残念だね。それはね。そうか。知らなかったわ。それは。
いやー。そうらしいですね。
でですね。あとは以前1時間のジョギングにあれがちょうどよくダイエットに成功しましたと投稿し取り上げていただいたのですが、おかげさまでハーフマラソンを完走することができました。
次はあれでフルマラソンの完走を目指して頑張りますという。
ダイエット成功とマラソン完走
すごい。
すごいですね。
マラソンも走れちゃうわけ?あれ聞いて?
いやーすごいなー。あれいろんな効果ありますね。
めちゃくちゃ健康的やん。
何もいいと。
じゃああれかな。この人がフルマラソン出るときは僕と看護さんで応援の意味も兼ねて何時間も喋り続けるスペースやるかな。
完走するまで喋りますみたいな。
我々もフルマラソンしますみたいな。
でもフルマラソンってさー。
どれくらいなんですか?
素人でなかなか頑張った人でも3、4時間は当然かかるよ。
ですよね。
3時間やったらなんとかなるかもしれんけどなー。
3時間ったら市民ラーナーでもかなり早い方だよ。
あーそうなんや。
4、5時間は平気で。
そんなに速く走れないよ普通の人は。
オリンピック出てるとかそういう長いフルマラソンのプロのスポンサーとかついてるような選手とかでだいたいどれくらい?2時間半とか?
もうちょっと早いけど2時間台。
あーそうなんや。
3時間とかって言ったら相当早いよ。
あーそうなんや。
ちょっとそれは無理かもしれん。
4時間くらい喋らないと。
ちょっと厳しいなそれはなー。
休憩ハサミと喋ったら。
確かに。
水飲みますみたいな感じのやつですね。
吸水しながらさ。
セキュリティ学習方法とパスワード管理
今回お便り結構来ててですね。
はい。
前回僕が紹介したのノービー4のレポートあったじゃないですか。
人を罰するか罰せへんかみたいなやつとか。
ヒューマーリスクのレポートね。
そうそう。それを見てセキュリティに関して当事者意識が薄い人がまだ多いと感じました。
資料をダウンロードしたら担当者、これノービー4のですね。
担当者から電話があってどこで知ったのかと聞かれたのでセキュリティのあれで取り上げてたことを伝えておきました。
宣伝をしていただきましたよ。
レポートをダウンロードしただけで電話がかかってくるの?
会社にかかってきたんですかね。
これでノービー4の人もセキュリティのあれを知ってる。
ノービー4内ではセキュリティのあれってないよねみたいな。
ざわざわしてるかもしれないですね。
感じになってるかもしれないですね。
でもありがたいね。そういうところで広めてくれて。
嬉しいですね。
質問も来ておりましてですね。
いつも楽しく聞かせていただきながら勉強させてもらってます。ありがとうございます。
セキュリティに関して体系的に勉強したいのですが、おすすめの資格や書籍などありますか?
質問が来ておりますがいかがでしょうか。
どうでしょうか。
難しいな。資格か書籍らしいですね。
などなんで他でもいいか。
僕は自分が関わっているんで、サンズをおすすめしておきますか。
一応。
年に1回ネギスさんが講師しているのは?
年に何回かあるよ。
おすすめの資格。でも難しい。難しいというか。
一般的にセキュリティの分野で資格って言ったら、
日本だったら安全科学保護支援士の資格がまずは一番無難なんじゃないのかな。
それ以外にグローバルでっていうことを考えるんだったら、
CISSPか、僕が今言ったサンズのGEACの資格か、
その辺が世界的にはメジャーなので、その辺りなんじゃないの。
どれがいいってあまり別におすすめする強い理由はないんだけど、
でもどれでも大体体系的に学ぶっていう最初の入り口としてね。
そういうものはあるから、どれか一つ。
一番自分にとって取り組みやすそうなものを選べばいいと思うけどね。
カンゴさんどう思う?
私もやっぱり情報処理から入るのが一番セオリーというか、
ベーシックなやり方じゃないかなとは思ってまして。
一番参考する書籍とか多分人に聞いてもいろいろ分かるしね。
その後セキュリティって言ってもいろんな捉え方というか、
専門分野があるので、より極めたいものが見えてくれば
各々に適合した資格なりを勉強したり経験したりっていうようなやり方が
一番オーソドックスじゃないかなとは思いますけどね。
そうだね。
僕は持ってないからね、経験がないからおすすめできないんですけど、
自分が関わったことがあるっていう意味だとちょっと資格とは違うんですけど、
PCI DSSの要件を読んでみるっていうのもいいんちゃうかなと思うんですけどね。
なるほどね。
あれはクレジットカードっていうのを守るっていうのが大前提にあるけど、
別にね、そのクレジットカードが個人情報になっても
同じことが言えることばっかりだと思うんで、
あれも幅広なんでね。
あれをどういうふうに取得するのかみたいな、
これができひん場合はこれでもいいみたいな、
大体管理策みたいなのもあったりする、
そういう考え方も学べるんで、
そういうのを読んでみるのもいいんじゃないかなと、
僕は経験からは思いますね。
なるほど。
PCI DSSに限らずセキュリティの一般的なフレームワーク、
NISTのサイバーセキュリティフレームワークとか、
あとCISのコントロールとか、
よくセキュリティの分野全般を包含するような
フレームワークを勉強してみるっていうのもありだとは思うけどね。
ただ資格試験を取るっていう分かりやすい目標があった方が
取り組みやすいとは思うんだけどね。
ある程度のマイルストーンがある方がね。
あとほら、アレゼはね、結構そういう資格取ってる人多いからさ、頑張って。
確かに合格しましたってよく来ますもんね、時期にね。
何だっけ?ほら、我々の標語あったじゃん。
何だっけ?5点10点底上げするだっけ?
5点10点底上げされるポッドキャストです。
そうね。
合格するとは言ってないですね。
そうそうそう。そういうご利益も間違いなくあるわけだから。
ありますあります。
ぜひ頑張って取ってください。
最後の質問で、ワンパスワードユーザーの方から質問が来てまして。
ワンパスワードを利用しています。
iPhoneでアプリにログイン時、ワンパスワードが反応するアプリと反応しないアプリがあります。
意図してさせないようにしているのか、アプリが対応していないだけなのか、また他に理由があるんでしょうか。
未登録時に登録を促すアクションも出てきません。
ありますよね。
確かに。何だろう原因は。
多分いくつか原因あると思うんですけど、
サイトにアクセスしている時に、あらかじめ登録しているようなものだったら、
実は支払いの時だけドメインが違うというのがあるあるじゃないですか。
あとはウェブのやつだとフォームが動的に生成されてたりとかしたりとか、
サイト側でオートフィル許可しないみたいなのを止めているサイトもたまにあるみたいですけどね。
ああそうね。
あとね、アプリ内ブラウザーで、要するにWebKit、
iOSの標準のサファリと同じブラウザーを呼んでるやつであれば多分反応するはずなんだけど、
アプリそのものにログインする時には使えないやつとか、
多分そういう作りの違いもあるんだろうと思うんだけどね。
そうですね。理由は多分複数。
利用者から見るとちょっとわかりづらいよね。
そうですね。
なんでこっちは使えてこっちは使えないんだみたいなね。
たまにでもね、この間あかんかったけど今日はいけるみたいな、
ページの読み込みタイミングとかもたまにありますよ。
最後にフォームが読まれるからなかなか出てけーへんとかね。
いろんな理由はあるけど、これっていうのは特定しにくいんですよね。
自動でその登録なり補完なりが効かないと、
間違ったところにコピペする癖がついちゃったりするからよくないんですよね。
そうですね。
トロイハントメソッドになってしまいますからね。
それはね、気付けないといけないなと思うんで。
ちょっとそれはある程度運用でカバーしないといけない部分もあるのかもしれないですけどね。
そうですね。はい。
理由はいくつも考え、先ほど挙げたようなものが考えられるかなと思います。
はい。ということでお便りは以上なんですけれども、
お便りを読んだ方にはですね、
セキュリティのある特製ステッカーの印刷コードを差し上げております。
5種類あるんですね。
5種類揃ったら、揃いましたよと写真とともに僕にDMで送っていただければ、
シークレットの6種類目のシークレットの印刷コードを差し上げています。
シャープ、セキュリティのあれというハッシュタグをつけて、
Xにポストいただければ、それが自動的にお便りとして認識するんでですね、
感想とか質問とか、試験受かったぞとかなんでもいいんでですね。
あと応援のコメントもあると嬉しいですかね。
はい。お便りたくさんいただければと思います。
お気軽によろしくお願いします。
はい。お待ちしてます。
はい。というようなことで、今日もセキュリティのお話をしていくんですが、
今日はねぎすさんからいきましょう。
はい。今日はですね、なんかちょっと非常に小ネタで申し訳ないんですけども、
はいはい。
はい。先月の末に起こった韓国の国税庁がやってしまった大失敗のお話をしたいと思うんですけども、
ほうほう。
どんなことをやらかしたかっていうと、
国税庁でですね、脱税の容疑者なのかな、の資産を差し押さえるっていう事件があったんですね。
で、この中に暗号資産も含まれてたらしいんだけど、
で、その国税庁はプレスリリースを出して、
差し押さえた証拠の写真っていうのを公開しました。
よくやるよね、こういうのね。
はいはい。見せしめ的な意味も込めてね。
そうそう。犯罪捜査でこういうのを押収したぜ、みたいな。
その押収の写真の中に、いわゆる暗号資産のハードウェアウォレットのレッチャーってやつが有名なやつがあるんだけど、
これをその容疑者が使ってたらしくて、その写真が写ってましたと。
おっと?
USBで接続する本体が写るのは別に問題ないんだけど、
まずかったのは、そのハードウェアウォレットを使っている本人持ち主がメモしたリカバリーフレーズのメモが残ってて、
それがそのまま写真で公開されちゃったんだよね。
なんか昔にもそういう事件ありませんでした?
韓国国税庁の暗号資産流出事件
なんかペーパーウォレットの写真出してみたいな。
よく覚えてるね。今日その話しようと思っててさ。
おお、ほいほいほい。
僕もそのこの話聞いた時にそれ全く同じことを思い出して、
それは何年だったか10年以上前なんだけど、
アメリカのテレビ番組で、当時テレビの記者がビットコインを紹介するところで、
うっかりペーパーウォレットの秘密鍵をテレビで晒しちゃったんだよね。
写したらあかん方ね。
でそれを見た視聴者の誰かがすぐさまそれでビットコインを盗んじゃったっていう事件があって、
幸いその時は、確か当時のレートで20ドルくらいの金額だったのかな?
1ビットコイン?
いやいや、盗んだ金額がね。
あ、金額がね。はいはい。
なので、当時のレートは覚えてないけど、今よりもはるかに安かったんで、
盗まれても笑い話で済む程度だったんだけど、
今回はちょっと桁が違ってましてですね。
いくらでしょうか?
そのリカバリーフレーズを使って、プレスリリースが出てどれくらいの期間だったかちょっと分かんないんだけど、
誰かが気が付いて、しめしめって言ってそれを使って、
マイナーなPRTGっていうトークンを盗んだんだけど、
金額が約500万ドル相当?
え?
500万ドル。
500万ドル?
8億くらい?
7、8億円くらい。
うわーえげつな。
相当な金額のトークンを一瞬で盗んでしまったということで、
差し押さえた資産の8割9割に相当する金額を一瞬で盗まれてしまったので大失態だよね。
あらー悲しいなー。
さっき言ったね、10年前だったらまだまだビットコインなんで全然世の中に知られてない頃だったし、
テレビで素人の記者が間違って鍵を公開しても仕方ないねって済むけども、
さすがに今のご時世でそれをやっちゃったらちょっとどうなのっていう感じで、
額が額ですわな。
晒してしまった国税庁の担当者がこのリカバリーフレーズの意味を正しく理解してなかったってことだと思うんだけど、
そういう事件があって批判されていますと。
これ聞いたやつの暗号資産使ったことない人にはちょっとピンとこないかもしれないので、
なんでこのリカバリーフレーズってやつが大事かっていう話をちょっとだけすると、
これ暗号資産によってちょっと種類がいろいろあるんで、
ビットコインの例を取り上げるけど、
ビットコインの場合どうやって秘密鍵を作ってるかっていうと、
128ビットから256ビットまでのまず乱数を作るんだよね。
これがシードって言うんだけど、
このシードをもとにしてPBKDF2っていう鍵導出関数を使って、
実際に使う秘密鍵を生成するっていう、こういう仕組みになってるのね。
なんで実は128ビットとかのシードがすごく重要なわけ。
だからこれが覚えたらもう秘密鍵全部作れちゃうんで、
これが大事なんだけど、128ビットの乱数なんて覚えにくいじゃない。
まあまあそうですね。
こんな桁の数なんて覚えられないので、どうしようということで、
じゃあちょっとこれを変換しよう覚えやすいようにって考えたんだよね。
どうやって変換するかっていうと、具体的には128ビットの場合で説明すると、
まずシャーニゴロのハッシュを計算して、
そのハッシュの先頭の4ビットをチェックサーブとして加えますと、
そうすると128足す4で132になるよね。
でこの132ビットを11ビットずつ12個に分割しますと。
そうすると11ビットなので全部で2048通りになるわけね。
でこれを2048個の英単語からなる辞書っていうのを用意して、
その辞書の何番目に相当するかっていうその辞書の順番と、
その11ビットの数字を対応付けると。
でこうやってその1個1個の11ビットの数字を全部英単語に置き換えるってことをするわけね。
そうすると結果12個の英単語の順番が列ができますと。
これがいわゆるリカバリーフレーズの正体で、
専門的にはリーモニクコードっていう名称が多分正しい呼び方だと思うんだけど、
なのでこの英単語12個の順番さえ記憶するかどっか紙に保存しておけば、
その12個の英単語が1個1個から11ビットの数字に戻すことができて、
それを全部つなげると132ビットの数字になって、
そっからシードが復元できますよっていうこういう仕組みになってるんだよね。
なのでこのリカバリーフレーズってやつがなくなっちゃう、
誰かに知られちゃうとそっから簡単に秘密書きが復元できてしまいますよっていう、
そういう仕組みになってます。
今の説明としてはそれ以上なんだけど、
結構僕も自分で暗号資産いろいろ継承したりとかしてて思うんだけど、
なかなか分かりにくいなって思うのは、
例えば今ビットコインの例説明したけど、
他の暗号資産の種類とか、
あと場合によったらそのウォレット、暗号資産を使うソフトウェアね。
ウォレットのソフトウェアによっては採用しているリカバリーフレーズの方式が違うやつもあったりするのね。
なので一番使われているのは今言ったビットコインで標準化された形式っていうやつが一番ポピュラーなんだけど、
他にもいくつか方法があるらしくて、
必ずしも全部同じではないと、互換性があるわけではないと。
あと加えてさらにややこしいのが、仮にビットコインの場合だとしても、
さっき言ったシードまでは復元できるんだけど、
シードからカギを生成する方法っていうのは実はいくつか何通りかあって、
これもウォレットによっては違ったりするのね微妙に。
なので12個の英単語のリカバリーフレーズを覚えてるから大丈夫って思ってると、
実はちゃんと復元できるかどうかっていうのは試してみないと分かんないことがある。
あーそうなんや。
場合によったらあるのね。
なので僕はお勧めとしては、もし暗号試算を使ってる人があれ勢の中でいたら、
お勧めとしては、僕もやってるんだけど、
自分でリカバリーフレーズからシードに戻して、
シードから秘密カギを自分で計算して、
あー戻せるかみたいな?
うん。ちゃんと自分が持っている暗号試算にひも付いたカギにちゃんと戻せるかっていうのは、
確認できるようにした方がいいと思う。
あー検算みたいなことですね。
そうそうそう。
一応いろいろそういうことをする、手元で自分でできるコマンドとか、
あとはPythonのツールを使ったりとか、いろいろあるんだけど方法は、
ちゃんと自分で手元で検算する方法ってちゃんとあるのね。
そういうのを一番自分で持っておくと、
仮に自分が使っているウォレットが使えないとかさ、
復元できないかもってなった時に、ちゃんと手元でいつでも戻せるから、
僕としてはそういうやり方をお勧めしたいなと思うんだけど、
いずれにせよ、こういうカギの情報っていうのはちゃんと扱わないと、
こういう事件が起きるよなーっていう。
改めて身に染みましたね。
これでもこんな大失敗と呼べると思うんですけど、
これどう決着つけるんですかね、こんなことだって。
一応どうするんだろうね、ちょっと分かんないけど、
盗んだ人がさ、さっきついさんが紹介してくれた10年前の事件の場合には、
実は盗んだ人は罪の人で、
その後テレビの番組の方に返しますよって何か申し出てたらしいのね。
悪いやつに盗られるんやったら、俺が押さえて返すかみたいな感じやったってことか。
そうそう、よくあるんだね、そういうことね。
誰かに盗られる前にとりあえず確保しておきましたっていう。
僕がたまにやってるドメイン盗るのと一緒やな。
同じかな、それはな。
いやだってフィッシングサイトに使われるぐらいやったら僕が盗ったほうがいいでしょ。
ついさんに限らずそういうことをしてくれるセキュリティの研究者って結構いるんだよね。
悪用される前にちゃんと盗っておこうみたいなね。
そうそう、だから今回の人ももしかしたらそういう善意の人かもしれないので、
だとしたら戻してくれるかもしれないし、
何かそういう呼びかけようとしたりとかするんじゃないかな一応ね。
あー返してくださいみたいな感じな。
これでも難しいですよね。
善意でやってるか悪意でやってるかって今のところわからないわけじゃないですか。
全くわからないね。
それで例えば騒ぎになったから怖くなってやっぱり返しますって出て行ったら、
捕まったらどうしようって思って逆にけいへんかもしれへんなっていうのもあって。
それもあるよね。
だから今回みたいにミスではなくて脆弱性が暗号者の仕組みにあって、
ハッカーに盗まれましたみたいなやつがたまに事件であるけども、
あの時多くのサービスが上等手段でやるのは、
あなたをバグ、バウンティーで脆弱性を見つけたというふうに認定しますと。
でその報償金を支払いしますと。
だからその報償金を除いた分を返してくださいっていう。
じゃあ例えば今回やったら1億円あげるから7億ぐらい返してよということですね。
まあなんか落とし物を拾った人にじゃないけど。
あーはいはいはい1割みたいなやつ。
1割あなたにお礼で差し上げますんで残り9割は返してくださいっていう。
そういう方式を使うのが実は暗号資産の業界では一般的で。
それによって今まで結構戻ってきていることが多いのね。
そうすると盗った側は犯罪として訴えられる可能性はないわけで。
しかも資金洗浄しなくてよくなりますしねそれやったらね。
盗まれた側とかサービスを提供する側とそういう契約や約束を結んで、
あなたのことは訴えませんと、税でやったものと認定しますということを約束するわけなんで。
まあそういうリスクがなくなるからそういう方法を取るっていうこともあって。
まあ今回はちょっとね国の国税庁だからちょっとそういう方法は難しい気がするけど。
確かにね。
民間の事業者だったらそういう手も取れるけどね。
司法取引みたいな形なんだろうなじゃあもしかしたら。
まあなかなかその辺はちょっと難しいけどこういう失敗はなかなかやらないようにしないとちょっと取り返しがつかないからね。
確かに確かに怖いな一撃でこんなことになるとね。
そうなんだよね。
ありがとうございます。
なんかこのニュースをね読んだら財布を開けたままにして全国民に金取りに来いって言ってるようなもんじゃ言って大学の先生が怒った春ですけども。
そうなんだ。
その先生の名前がねチョ・ジェウっていう教授の方でちょっと冬のそなたを思い出すような名前やなって思いました。
どうでもいい。
はいありがとうございます。
はい。
はいじゃあ次はかんこさん行きましょう。
はい今日はですねあの私紹介したい記事がございまして毎年毎回かなあの紹介してたと思うんですけども。
Googleのスレッドインテリジェンスグループが年次で取りまとめているあのゼロデイ脆弱性の状況っていうのがあのレポートを毎年されていまして。
2025年のまあそのゼロデイの状況っていうところもそのGoogleが観測したデータをもとにまとめられた情報がレポートとして公開されていたので今日はちょっとそれを取り上げたいなと。
高齢感ありますよね。
ゼロデイですので修正される前に実際に悪用されたというまあそういった脆弱性という形でGoogleの方では定義されているんですけども。
それに該当し得るもの2025年何件あったかというところからまずは行きたいんですけども。
えっとですね2025年は数でいくと90件という数字でした。
どうですかね。多い?少ない?まあ私は多いなっていうのは。
多いでしょう。
まあ多い。まあその中身にもよるかな。その多くの人が使っているものかどうかにもよるかもしれないですね。影響と考えたらね。
でどれぐらいじゃあ過去数あったかっていう話でいけば一番多かったのは2023年でしてこれが100件ですね。
あんま変わらへんな。
まああんま変わらないとあのまさにその通りでして高止まりしている状況っていうのがまあ最近の傾向でして
なんでなのかな2020年とかはそれこそも30件とかだったんですよ定義に該当しているものっていう考え方で
ただもう本当に2021年以降は波はあるといえばあるんですけどもやっぱりまあ60件から100件の間っていうのがまあそれ以降ずっと続いている状況でして
数だけ見ても多いなという状況ではあるんですが注目したいのはまあその数だけじゃなくてその中身の部分でして
グーグル大きくそのエンドユーザー向けの製品とエンタープライズ製品まあ法人とか企業とかそういったところで使っている製品で確認されたゼロでいいかっていうところで開けているんですけども
2025年はエンドユーザー向けデスクトップとかモバイルとかあとはブラウザーとかもここに入るんですけども
あと pdf とかもかなそういうやつとかもかな入ってきます入ってきますあのそういった エンドユーザー
エンドポイントまあそういったところで使われる製品で確認されたゼロでは2025年は47件と エンタープライズ製品に関しては43件っていうことなので
半々ぐらいかそうですね半分ぐらいというところでして実は今お話しされてた半分ぐらい っていうところが実は変化が結構出てきているところでそうなんですね
実はもう年々エンドユーザー向けっていうところの割合は減っていっていて逆にその エンタープライズ向けのゼロでっていうのが割合としては増えてきているという状況では
ありまして なのでまあそのあたりのトレンドっていうのかな
狙われどころっていうところにまあ変化が起きていると 数で言えばたまに見かけはするんですけども
ブラウザーのゼロでなんかはだいぶ減ってはいて まあたまにねあのクロームとかでもまあ報告はされてはいるんですけども
まあそれでも数こそだいぶ減ってはきていて代わりにエッジデバイスであるとか あとはセキュリティーのアプライアンスっていうところが
攻撃者が狙ってくるまあそのゼロでが確認される対象としては まあ取り上げられている傾向にあるというところになってきておりまして
まあやっぱりそこを狙ってきている攻撃者としては まあもう想像に絶やすいところであるんですけども国家関与
まあもうさらに言ってしまえば中国系のアクターというところが Google はまあそのようにアトリビューションはしていて
こういったところが侵入経路としてのまあ価値を見出す形で主要な標的ということで 狙ってきている状況にあると
まあエッジデバイスとかまあそうですけどセキュリティアプライアンスのそうかな 1個見つけてしまえばいろんなところに使えると
いもずる式みたいなことね なので使い勝手が非常に良いというところもありますし
あと使った後に得られる成果っていうところもかなりわかりやすいというか 侵入した後にですねまあいろんな情報を盗んだりとか
あるいは場合によってはまあランサムやとかそういったとあのシステム 障害まあそういったところにつながり得る攻撃なんかにも使えるものではあるので
割合の変化っていうところにこの部分が出てきているのかなと ちょっと私もこのレポートを見て思ったところでした
あとはその今国家関与のアクターがっていう話はしたんですけども あとグーグルのレポートの中ではもう一つ重要なプレイヤーとアクターという形では
コマーシャルサーベランスベンダー スパイウェアとかのベンダーだよね
ペガサスとか多分ああいうの多分イメージされているんだと思うんですけども 政府御用足しっていうのが適切な表現かわからないんですけども一部の国々においては
こういった企業と取引をして使うっていうような 監視ツール監視ソフトウェアみたいなのがありますけどもまあそういったベンダーがゼロで
を使っているケースがなんか2025年は数で見ていくと さっきのその国家関与の事例よりも多かったというところではあるので
ここ数年なんかこういうベンダーの存在感がなんか増している感じがする いや本当にそうなんですよねなかなかはい
じゃあどうするかっていうところがお金が絡んでくるところなのでそうなんだよね 結局だからその世界中でそういう製品を必要としている国があって
まあそれなりにいいお金で買ってるってことだ そうそうなんですよもうなんていうかうまく回ってしまってるっていうところがあって
そうなんだよね これをじゃあどうやって止めるかっていうところは難しい
ところではあるのかなぁというまあそういった話なんかがまあレポートの中では 書かれていたとあとはあの今時って話ではあるんですけども
まあ ai に触れた話なんかも書かれてはいてですね 攻撃者はエアー使って
まあ脆弱性をどんどんどんどん見つける部分の競争力っていうところに強化をしている まあそういった可能性っていうことが今後一層考えられると自動化高速化って
話ですかね エクスポイントの開発だけではなくてまぁ実際に見つけたりとかそういったところで
まあスピード感っていうところが一層上がってくるというところがあるので その点を踏まえる形で防御がもう考えていかないといけないよねっていうような
まあそういう対応を今後は一層求められてくるんだろうなーっていうのは レポートを読んでいて思ったところではありました
まあすごいちょっとすいませんサラッとした感じのご紹介にはなってしまったんです けども他の細々した数字なんかもレポートには書かれてはいますし
あと私あの先ほど冒頭お話しさせていただきましたけども 2024年とか以前のレポートなんかもグーグルのブログでは残っているのでそことの対比なんか
しても変化っていうかあの動きっていう部分が見えてきて面白いのかなーっていうのは はい思いましたのでぜひちょっと見ていただいて
まあただねゼロでなので これをねあの
なんかじゃあどう頑張りますかみたいな話になった時なかなか対応対策まで踏み込んで 落とし込むっていうのがまあ難しいテーマではあるんですけども
一方で実際にこういうのが悪用されているっていう現実が変わらずというか ずっとさっき言ったとおり高止まりの状況なんかはあるので
これもしですね巻き込まれた時に私たちはどういう動き方っていうのができるんだろうか あるいは仮にそのゼロデーが使われてしまったとしても
究極な話あの被害っていう意味に至らないためにはどうしたら良いかっていうところは 考えていかないといけないなっていうふうには思いました
エンドユーザー向けは減ってきててエンタープライズ向けが増えてきててっていうのと あと2020年までと比較すると結構高止まりしてるっていうお話があったんですけど
まあ21年ぐらいを契機にこうなんか入れ替わって新規で増えてきた 脆弱性ゼロデーがあった製品ジャンルみたいなものとかの偏りとかって出てたりするもん
なんですかそういうもんでもないどうなんですかねぇ モバイルとかの部分については多少なりその部分の数の変動っていうところには
関わってきているのかなぁとは思うんですけども なんかその商用のスパイウェアっていうのをそのまま売ってはどっかのね国だったり
法執行機関とかが使うなんていうケースがたくさん増えてきてますよね モバイルデバイスなんかまさにそうですからね
そうそうそうそういうだとなんかスマホの脆弱性とか 特定のそういうまあ cpu みたいなの脆弱性とかが増えるからなんか意外と中身見てみたら
僕らにはあんまり直接関係ないものも多かったり 遠いものも多いのかなぁとかってもちょっと確認したしたんですよそうですね
すぐ様なんかそういう脅威に私たちが接するかっていうと なかなかなさそうな事例ではありますよね結構で打ち分けとかもやっぱしっかり見たほうがいいかも
いやーおっしゃる通りですねはい あとさあそのさっき後半に打ちたけど ai の活用
なんか最近も例えばアンソロピックとかが結構その自社の ai のモデル使って脆弱性を見つけるのが非常に効率よくできるっていう
ようなニュースがいくつか出たりとか 実際効果的なことはまあまず間違いないし今後多分その精度はどんどん上がってくる
と思うでしょうねでそうした時にまあそういった恩恵を公益がも当然同じように受け られるんだとすると
結局だからそのスピード競争になっちゃうっていうかその部分はどっちも同じ 武器を手にしているんだとすると
攻撃される前にいかに自分たちで穴を見つけて塞げるかっていう話になってしまって 一般の利用者側にできることっていうのはちょっとあんまりないなという気がするんだけど
だからますますの提供するベンダー側のなんかそういう責任っていうかが重くなってくるのかな というか
確かに今までよりもそういう脆弱性をこう多分広域がが見逃してくれなくなってるん じゃないかな
を見つけやすくなっているからだ防御がも当然見つけやすくなってるはず同じように見つけ やすいはずなんで
むしろ逆にもっと有利なはずだからそういうのを先に見つけてどんどんね 穴を塞いでいくっていうのを多分今まで以上に気合いれてやっていかないとまぁ気合いだけ
だどれもなんないけど まあ実際に行動をねしていくっていう
そういうこう仕組みをどんどん整えていかないと なんかね状況が良くならない感じはそうですね
確かになんかレポートの中でもやっぱりその 攻撃者が狙ってきている対象としては何ていうかその顧客の情報とかっていうと
当然それはありはするんですけどもそれ以外にソースコードとか 知財開発資料とかそういったのが対象となってきているケースが見て取れるって
話ではあってまあまさにそのネギさんおっしゃったように その攻撃のとっかかりとなりそうなところっていうのをデータとして手に入れて
まあ ai で探し出すっていうまあそういった 流れが本当に近いうち来るっていう状況になり得るのかなって
それはもうすぐそこ感あるよなそれねーですよねー ありましたありがとうございますはいはいということで最後は私からなんですけれども
はいお願いします今日はのちょっと kev に触れてみましたみたいな kev いつも触れてるよ
ブーブー確かにねいつも身につけてるぐらいなものかもしれないなと思うんですけど kev もねだってホラーも出てだいぶ経つじゃないですか
まあそうねこれ2021年11月3日からなんですよねそうか 今年5周年になるわけですねそうそう11月で丸5年とかになるのかな
ブーブーなんであのちょっと振り返りも兼ねて どんなもんかいねっていうので kev と戯れてみようといういつもよりもまして戯れてみようと
いろんな角度から あの他の情報ソースとも付き合わせて見てみましたというお話を今日しようかなと思う
ブーブー僕がねなんでえっとまず2021年11月からなんでまぁ最初はの2ヶ月ぐらいしか ないんですよね
それでも最初ね311件その次の都市が555件これ12ヶ月ですよねっていうに結構多いんです けどこれのkev ってあのその都市の脆弱性だけでなくて振り返ってみたいな
ブーブーこれまで使われた知ってたやつみたいなも追加されてこの2年間というのは ちょっと突出して多いんですよね
そうはね最初だけちょっと多かったよねそうそうでは2023 2425ぐらいを見るのがまぁだいたいこれぐらいなんかなっていう数字は
187 186 245っていうちょっと2025年はちょっと多いかなっていう風な感じ
そうだねだいぶ増えたねそうそうではあるんですけどあの 僕らが大好き cve あるじゃないですか年々増えているでおなじみの大好きではないけど
ね でもよく扱うよく取り扱うというソースね
そうですねそれをねあの母数にしてみてみるとどれぐらいかっていう風な 割合ってことね cve 分のその都市に発行された cv 分のその都市に発行された kev
の数っていうふうなもので見てみるとあのめちゃくちゃ多いその555件というまあ 過去振り返りも達しての突出している部分であっても2.1%なんですよね
2025年ゼロデイ脆弱性レポート
でそれ以降はその安定してきてるかなっていうふうなもので見ると2025年がちょっと kev 多かっ たって言っても cve も多いんで
そうね結局そうだいたいねその2023から3年間で0.6 0.5 0.5ぐらいですよね
なんでまあ cv で発行されるうちのまあその kev に乗るまあアメリカの csa が 悪用されているで修正戦会議っていうふうに言う奴はだいたい0.5%ここから
まあ自分たちが使っている製品に置き換えたらもうちょっと少ないんちゃいますの っていう風なので対策の現実味が出てくるんちゃいますかみたいな話を僕よくしたり
しているんですけれどもまた来場注意点としてはその何 csa の kev って本当に悪用されているもののうちのごく一部なんで
かなり慎重で慎重を重ねて掲載されますよねまあ実際にはその数倍あるからね まあ2倍が10倍かわかんないけど
まあ一応そこは注意が必要だけどねまあなんかこう ボトムラインというか最低限これぐらいはまずやっときましょうよっていうラインかななんて
そうだね思ったりするんですけれどもそこからもうちょっと あの深掘りしてみようかなというふうに思っててその僕もマネギンさんとか看護
さんもいろいろなところをおっしゃってると思うんですけど あの cvss の基本値だけで対策してたら飽きませんでっていう風な
ああそうだねよく言いますよねその例えばあのクリティカルハイミディアムロー ってありますけどミディアムに含まれるようなものでも悪用されているものもあれば逆に
クリティカルに入るバキューた9.0から10.0までの間の 脆弱性だっても悪用されてないものっていうのがあってこれって優先順位どうなるんです
かみたいな話をよくすると思うんですけど この中でも多分見落としがちというかあの甘く見がちってミディアムぐらいから何かなって
思ってて 結構そのローカルの脆弱性とかがミディアムとかになってしまいがちというかね
そうそうそうそうまあね10.0とかやったらもうねリモートからできます認証入りません 機密性完全性可用性全部に影響しますみたいなものがあってわかりやすいですけど
ミディアムってっていう だいたいミディアムで指摘されたりとかするねその診断とかペネトレで指摘サイトだいたい
1ヶ月から2ヶ月ぐらいに修正できていいんじゃないのみたいな感じのトーンが高いの からなんてまぁ経験上ねそういうふうに思ったりもするんですけれども
そのミディアムのあの脆弱性ってだいたいこの kev に掲載されているので何パーセントぐらい
あんのかなと思って見てみたんですよ そしたらだいたいねその毎年平均して10%ぐらいはミディアムなんですよ
なるほどでこの10%の自作そのまあ結構見落としがちでばローカルなんちゃうのとか っていうふうなものもあったりとかしてどんな
脆弱性があるんかなぁと思ってちょっと掘り下げてみたらですね cvss でいうところの av の値ですね
ネットワークなのかローカルか見てはいわゆるその攻撃経路と言えばいいですかね うんそれを見てみたらですね
だいたい半分以上ですねだいたい6割から7割ぐらいの間でリモートなんですよ ミディアムやけど
でそこからあの pr ですね認証のいるいらの権限が必要かどうかっていうのの n いらなしでいけますよっていうのを加えても
ミディアムのうちの半分ぐらいはネットワーク経由でいけてかつ 特に権限がいらんというものが半分ぐらいはだいたい占めるというふうな
ああそうなんだねそうそうそうそうだから意外とあの何かと組み合わせないといけ ないというのも中にはあると思うんですけど
意外とねネットワーク経由でいけるものをこんだけあるんやなっていうのがね 付き合わせてみてわかりましたという
お話なんですねまぁなんでよりこういうところにも目を向けないと例えば今すぐ やらなくてもいいけど
あのクリティカルって言われている攻撃手法のないものに時間を食われて本来やら ないといけないミディアムやけど悪用されているようなものを見逃さないようにやっぱして
くださいねっていう 今まで喋ってきたことの補強みたいな感じのことを調べてわかりましたというお話
なんです今までのやつここまでのやつはねなるほどということは攻撃の前提条件として はまあそんなに難しくなくて攻撃しやすいものなんだけど
まあ影響が限定的とかまあなんか他の理由でスコアとしては低くなっているわけだな そうですね例えばなんか機密性完全性可用性の1個しか損なわないとか例えばね
そういう避ける理由があるんだろうねなるほどね まあそういうものは当然悪用自体は簡単なんだから
それはね経緯ぶり乗ってもおかしくはないわなぁそうそうそうなのでちょっとこの辺見落とし 勝ちなんでねあの聞いている方とかにも知っていただきたいなぁと思った数字だった
ということなんですけれどもはいでそこからねさらにもうちょっと中でこういうのを調べたら どんどん楽しくなってきてわかるわけだったら気持ち
ブーバーこれはどうやねみたいなものを知りたくなってくるものって出てくるじゃない ですか
そうですねそうでねあのせっかくなんで cve と kev だけじゃなくてそこにエクスプロイト コードがあるかどうか
みたいなものも調べたくなってきたわけですよ まあのでその範囲っていうのがさっき言ったみたいな冒頭で言いましたけど kev
21年の11月3日から でもこの日から登録されるけど2013年の門とかもたまに登録されるじゃないですか
そうですねそうするとなんか cve につ登録されてみたいな比較したらものすごい期間空いて しまう可能性があるんで一応に cve の2021っていう数字以降の脆弱性に
絞ってみてみました だいたい180件ぐらいがそんなあったと思うんですけど
それぞれの登録日っていうのがどうかなと cve に登録されてエクスプロイトが確認できる までの期間がだいたいどれぐらいか
複数ある場合は一番古いものエクスプロイトが出た後からのか前なのかわかりません けども
エクスプロイトが出た日から記算して kev の登録日が前か後ろかどれぐらい前なのか後ろ なのかっていう風なものをね
調べてみましたちなみにあのエクスプロイトがあるかないかという判断って全然 全部のインターネット見るわけにいきませんから一応エクスプロイトデイビー
あとメタスプロイトのリポジトリとビットハブで検索してエクスプロイトがありそう かなさそうかみたいなものを調べるっていう風な範囲でやりました
まあまあ一般的によくエクスプロイトコードが見つかるところとか参照されるところを見 たってことだねそうですねちょっとできればねあの
x とかも見たいんですけど api の有料とかもちょっと厳しかったねこの範囲に絞って 調べてみました
そうしたらあの kev に登録されている脆弱性の中でそのさっき言った3つのソースで いわゆるそのパブリックエクスプロイトと言えばいいですかね
公に公開されているエクスプロイトの割合っていうのは 平均してね22.1%中央値でも21.7パーしか
その簡単に手に入らないっていう言い方が正しいのかどうかわかりませんけれども それぐらいしかないっていうふうに言い換えた7割以上がパブリックじゃない
この範囲においてはっていう ところなんでその攻撃高度があるのかないかを調べて対策するかどうかみたいな話
僕よく10年以上前言ってましたけどそれよりもこの kev の方がカバーしている範囲が広いとも 言えるかなっていうのでより有用性があるんじゃないかなと
攻撃を確認しているとかって情報の範囲もね広いからそうなってくるのは当然では あるんですけれども
こんだけ公開のエクスプロイトが少ないとはやってみるまでは思いませんでしたね あとそれに加えてほらそのエクスプロイト行動ってば中にはその間違ってるものとか
ああそうですね悪意のあるものとかも含まれていてその仮に公開されたとしてもそれが 正しいかどうかっていう検証する手間とかも必要だから
そうですねまあ今ついさんが行った情報操作は比較的とでも信頼性が高い情報だと思う けど
まあそれを考えるとね kev のような信頼的で操作に乗っているのか そのそうでないのかっていう違いは大きいかもしれないなぁ
そうそうなるほどねそうなんですよほんであのエクスプロイトはその cve が公開され
いわゆるエヌデーってやつですよねその脆弱性として明らかになってパッチが出たあの cv が出てるかってパッチがあるとは限らんのか
そうですねで私は cve のその公開とエクスプロイトのこの時間の関係ってどんなもん なんかなと思って調べてみたんですけど
cve が発行されてからエクスプロイトの発見さっき言ったソースに出てきたやつで見ると あのちょっとこうブレはあるんですけど
だいたいこ中央値で見ると2週間から4週間ぐらいの間にだいたい含まれていて 21年が2722年が29日
23年が20日24年がちょっとこれ伸びて50日 2025年がグッと短くなって14.5日
いう風になっててまぁだいたい cve 公開から1ヶ月以内にエクスプロイトが出てる感じかな なるほどそれぐらいのまあちょっとスピード感かなというふうなところではあります
ね逆にその先行でエクスプロイトが先に出てるっていう風なもののパターンも見てみ たんですけどこれ最小値で見てみたらあの一番あの早いやつで-247日
っていうのがありましたねそれは特殊な例だなちょっとな多分これあの 悪用できるってわかってるけど各地した日が遅すぎただけとかそういうのを多分にあり得るの
かなと思ってはいるんです8ヶ月ぐらいですもんねこれね なるほど
そうそうでも系部 kev の脆弱性の範囲においては先にエクスプロイトが出ているのは 平均で5.3%ぐらいの脆弱性
中央値だと3%程度っていうふうなもので9割以上は cve 公開後にエクスプロイトがこの さっき上げたソースに出てきているっていう風な感じでした
なるほどなんでまぁその kv の登録とエクスプロイトの公開のタイミングてまぁまぁ 近しいかなっていう風な数字も出てはいましたね
長いものへとめちゃくちゃ長いですけどね千何日とかありますけど平気で まあでもなんか結構やっぱりこうしっかりしてるなっていうのがこういう風な数字を見ている
とやっぱりを日々と伝わってくるっていう風な部分も感じたんですけれども やっぱりその75%ぐらいはその公開エクスプロイト確認できなかったのでさっき言った
みたいに kev てやっぱりきちっと確認して悪用の情報 コードがあるなしなく実際に来た攻撃を観測してるっていうようなところでは有用性は非常に
高いなあっていうふうなものもあったんですけどどうしても極端に遅いとかっていう ようなものも中にはあって攻撃コードが先に出てるっていうのもあるんで
その kev を受け皿にしつつも自分たちでこう 情報を拾っていくとかあと自分たちただ日本でしか使われてないソフトとか自分たちで見
ないといけないということにはこれまでとあまり大きく変わらないなというふうなもの を思いましたというお話でございます
あとまあその最後のところ まあちょっと理由はちゃんと掘り下げてみないとわからないんだけど
パブリックなそのエクスプロイトコードがないかないしはその入手が難しい 今言ったようなその簡単に入手できるところではないところで公開されているとか
全く公開されてないっていうパターンの場合には その75%くらいって言ったやつ
はいはいはその一つには非常に攻撃が限定的っていう場合が多分 ああここにしか来てない系のやつですねさっき看護さんのところで出てたけども
はいはいいわゆるそのサーベイランスベンダーが ios の例えばエクスプロイトで使ったとかっていうようなやつとかだと
たぶん絶対公開されないのでそういうやつは とかねそういうのとか標的型攻撃でごく一部だけで使われたみたいなやつで
全くその攻撃コードが表に出ないパターンっていうのは多分ある でも悪用されたってことはベンダーから公開されてますみたいな
逆に言うとそういうのがまあ今回のやつはそのパブリックの範囲が限定されてるから 実際にはもうちょっとあの量は多いと思うんだけど
とはいってもそういうそのコードが出てないってやつは逆に言うと酷く 攻撃される可能性は若干低めってことなんで
例えばランサムエアのアクターとかがこう 無差別に攻撃をかけてくるみたいなやつは
さすがにその攻撃に関する情報が全然どこにもないって言うと多分ないんで まあマレーかもしれないですねそれはね
だからそういうやつは例えばベンダーがその贅沢性を公開して実は悪用がすごい簡単で セキュリティのベンダーが検証してもすぐにブルーフォームコンセプトのコードが出ましたみたいな
パターンだと まあなんかすぐに悪用くるぞっていう風になったりするんで
多分その辺のこう一般のその防ぐ側の対応の優先度を考えると ちょっとそのね見方が少し変わってくるかなっていうか
コードがあるっていうのは自分のところにも来る可能性があるけど そういう行動があまり簡単には入手できない状況だったら
まあ確実とは言えないけどおそらく自分のところに攻撃が来る可能性は低いだろう とかっていうふうにね
もしくは猶予があがめとかねそうそう多少時間的な猶予があるよみたいな多分そういう ことは言えるので
まあその辺も含めてもちろん KEVが非常に信頼できるソースってことは僕もあの全く反対はしないけど
一方でそのエクスプレートコードがあるなしってのもやっぱりその自分たちが攻撃を 受ける可能性があるかないかっていうのに対する先行指標にも結構なると思うんで
そうですね問題はただそれはさっきもねついさんが言ってくれたみたいに 信頼できる情報ソースから入手できるかっていうのはやっぱり難しくって
そうですねまあそこがね解決しないとなかなかそれを指標として判断しようっていうのは難しいかもな
そうですねKEVに慣れ親しんだ後検証まではしなくてもいいからその自分たちの使っている 製品の脆弱性の高度が出ちゃってるかどうかぐらいを次のステップにするのもいいかなと思いましたけどね
ちょっと一気にハードル上がる感はあるかもしれないですけど
あとまあこれはピオカンゴさんが前別に調べてくれてたけど 脆弱性の情報を公開しているベンダーもさ
その悪用されているかどうかをしっかり書いてないし 確かにそうですね半分ぐらいが確か
ましてはエクスプロイトコードが出てるかどうかなんてまぁ全然わからないしみたいな そういう情報共有のされ方をしている現状では
まあちょっとその利用者側が自分で何かエッチなオッチが探さないと見つからんっていう のではさ
まあちょっと所詮無理があるよねまあラチ赤編っていうかなんかその各々がバラバラに同じことを してどうするのって話ですよね
ねせめてその csa みたいなその公的な機関とか セキュリティのベンダーとかソフトウェアのベンダーっていう公式の情報でそういう
情報が比較的容易に入手できるっていう状況じゃないと ちょっとは使えないよね
確かに確かにさそうですねそういう情報は自分で探しに行くというよりはベンダーが 出すべきっちゃ出すべきですもんねこれ悪用されてますとかとほら
カゴさんができてたのかなゼロデイとかの場合は特にそうですけど影響を受けているか どうかはこのログで確認してくださいなほとんどないわけでしょ
ねー そこがそこがネックになってるっていうのは確かにあんのか確かにそうですね
ねまあなんかその辺も含めたなんか状況の改善がされてされないとちょっとね だからそのユーザー企業がは使ってるがありばっかり全部の責任をしつけても確かに負担がでかいな
でも一方でその事故を起きればさぁ なんで贅沢性の対処してなかったんだってまぁ顧客に責められるわけじゃない
もちろんそうですよねと株主とかねなんかねまぁそれはちょっと 難しいよなぁっていうところもまあ一部はあるよね
ブーブー言い方はこうちゃうかったかもしれんけど一番悪いやつは脆弱性を 作り込んでるベンダージャーで怒ったあると言いましたよねなんかそんな人いたっけ
アメリカなんかどんな看護さんが紹介してなかったなんかそういう結構きつめの言葉で 言ってたみたいな
いましたよね csa の csa が何かで偉い人ですよねなんかねそう長官だった人だったかな
あったねそんなのね結構ね厳しめの鋭い感じのね そういう風な言葉に行き着くなっていう気はちょっといました
あの初めてあの人の気持ちがちょっとちょっとわかりましたそうなって言ってほしいなぁって 思いますねほんまに確かにベンダーにももう少し頑張っていただきたいというか
確かにはいそんな感じでございますありがとうございますありがとうございます はいということで今日もセキュリティのお話を3つしてきたね最後にお勧めのアレ
なんですけれども 今日所僕が紹介するのは youtube チャンネルでしてもうずっと好きなタレントさんなんですけどこれ僕
かの栄光さんがやっている公式チャンネル栄光号っていうのがあるんですけど これはチャンネルがほんまに面白くてですね
まあなんかこういろんなゲームをやることが結構多いんですよ この方ゲーム好きゲーム配信をよくされてるんですよね
あーなんかゲーム実況をやってるってのは聞いたことあるなぁ そうそうそうそうほんでその中でも僕がずーっと最近見てるのがその何回も何回もゲーム実況
するとそれのかメーバー面集みたいなやつが作られるんですよね あーなるほど例えば1個で3つぐらいの配信をギュッと1時間にまとめましたみたいなものとか
あとはほらあとあのリアルタイムじゃないんでテロップ入れたりとか 面白いエフェクトが入ってたりとか
みたいなものがあるんですけど僕が好きで見てるのは僕全然その ゲームやってないんですけどマインクラフトやってる栄光さんがめっちゃおもろくて
なんかマインクラフトって結構そのゲーム実況でよく使われる人気なゲームなんじゃないの そうそうそうそうで結構なんかこう見てると後発で参入してきた口っぽくてですね栄光さんは
そう本でねあの基本的にこの僕もやるゲームでとバイオハザードとかも好きでこのという やって貼るんですけど
基本的に下手なんですよ あーそうなんだなんか例えばそのガンシューティング系みたいな感じとかやっぱりロード大事じゃない
ですか玉を込め直しとくってああはいで玉込めんの忘れて敵が出てきてから玉込めるもんや からその間になんか縛られたり噛まれたりするんですよ
はっはっは全然学ばないですよ素人っぽいなぁ そうでもでもねなんかね憎めないというかそれを下手くそな自分がただ得意なやつとかで下手
くそなプレイ見るとなんかイラッとするっていうのがあるせなきゃそこで創生編ねー みたいなとかあるんですけどこの人ないんですよそういうふうに思わないんですよ
a なんかこの人が色々とマインクラフトとかでも普通に的にやられたりもするんです けど
みんなが助けてあげようとするんですよねああ応援したくなるのか そうでこの人が何か前できひんかったことができるようになることをみんなで応援してる
感がすごくあるという見てる僕もそう思ってしまうというかね それやっぱりやってる人の人柄とかによるのかね
ブーバーすごいなぁそういうとこあるんだろうなぁと思って僕自身は昔からこの人が 好きな理由ってのはこの人ほど笑いの神に愛されているとはいないと思ってるんで
あーそうだんだうんまあ持ってる感があるなっていうところがあったりとか あとこう漢字が読めない感じを無理やり読んで間違ってたりとかも面白いです
ブーバーねそういうところも結構面白かったあとが出てくる的に謎のあだ名つけて 読んだりとか
僕が一番好きな手足つき土の子っていう名前をつけてましたそれはもう土の子ちゃう やろみたいな変なネーミングをとっさにつけるっていうセンスもすごく良くて
ちょっとバイオハザードとかちょっと怖いとかっていう人もいると思うんで マインクラフトのこうその銘馬練習っていうのがこうつまんで見てみてもこうなゴンでいい
と思いますしコメントとか見てても最近嫌なことあったんですけどこの栄光さんの チャンネルに出会えて生き甲斐が見つかりましたなんて書いてと見たりするぐらいなん
で a だがなごむのにすごくいいんじゃないかなと思って今日は紹介させていただきました
はいそんな感じでございますというようなことでまた次回の楽しみですばいばい ばいばーい
