セルフレジの使用経験
セルフレジってあるじゃないですか。 コンビニとか?
そうそう、スーパーも最近セルフレジの導入が進んでいるんですけれども。
そうだね、増えましたね。
で、コンビニ、スーパー巡りが好きなね、私としてはですね。
はい。
セルフレジもどんどん使っていこうということで。
はい。
で、コンビニはともかくとして、スーパーってやっぱりいろんな商品あるじゃないですか。
バーコードがないやつもあるんですよ。
ああ、なんかそういう場合には直接売ったりというか。
野菜とかね、ありますね。
そうそう。
ほんでね、バーコードがないときには、直接金額を入力するんではなくて、ジャンルから選んでいくっていうのがあるんですよ。
うんうんうん。
何、果物とかお肉とかさ、いろいろあるじゃないですか。
それで僕、ほら、果物好きなんで、イチゴ買おうと思って。
おお。
で、イチゴって押したんですよ。
そしたら、僕が買おうと思ったやつは、トチアイカだったんですけど。
はい。
トチオトメの画像しかなかったんですよ。
ふふふ。うんうん。
値段は?
違う。
あ、そうだ。
あ、値段は一緒やったんかな。ちょっと覚えてないですけど。
ほんで、店員さんをもう呼ばなあかんと、これは。
で、店員さんを呼んだんすよ。
はい。
で、これこれこうでて今言ったみたいなことの事情を説明したときにね、
え?本当ですか?って言われたんですね。
ふふふ。うん。
あれ、嘘ついてると思ったはるんかな?
いや、私のその、レジの方に間違いがないだろうっていう思い込みで言ったんじゃないの?
どうなんですかね。本当ですかって結構何かこう、あいづちのように言ってしまうときあるじゃないですか。
ああ。確かに。嘘でしょーとは言わないもんね。
そうそうそう。だから、本当ですか?みたいな感じで、
肯定なのか否定なのか分からへん言葉やなってこれ言われて思ってね。
はいはいはい。
嘘ついてると思われてんのかなって思ったから、これ僕も本当ですか?みたいな、
みたいなことは言うのやめようかなっていうことを思ったという話なんですけれども。
確かに。なんか微妙だよね。
難しい言葉あるでしょ。そういうなんか。
本当ですか?ってね。
いや、ほんまやから呼んでんねんみたいな。
確かに確かに。
そうそうそうそう。
ちょっとね、こういう言葉って何気なく使ってるけど気をつけた方がいい言葉ってあるなっていうね。
受け取られ方ね。
そうそう。僕も多分ね、言うてもおてるときあると思うんですよ。
まあ確かに。
そうですかの勢いで本当ですか?みたいな、お前ですか?みたいな言うてるときあるかなっていうのがあるんでね。
自分が感じたように嘘ついてると思ってんのかと思われたらあかんなと思ってね、気をつけていこうかなっていう。
ちなみにそのレジのやつは結局何?何か間違いあったの?
土地問題はどっちの土地やったの?
あの、土地乙女でよかったんですって、土地愛家も。
あ、そうなんだ。
あ、どっちでもいいと。
紛らわしい。
そうそうそうそう。紛らわしいなと思ってね。
紛らわしいね。
サイバーセキュリティの問題
そうそうそうそう。それやったらもう花から自分で数字入れる方が楽やねんけどなっていうね。
あー。
そうそう。結局その店員の方はボタンポチって押してあげました。これでいいそうですみたいな感じで確認しに行かれて。
はいはいはいはい。
で、そんなね気抜いてたらね、来てるんですよ。VS看護。
お、来たね。
え、嘘。
しかもこの収録をする30分くらい前に来た。
マジですか。
行きますよ。難しい問題なんで3択なってますから。
はい。お願いします。
はい。えー。
ぶっぱ!
警察庁の令和5年におけるサイバー空間をめぐる脅威の情勢等から出題します。
令和5年中における不正アクセス禁止法違反のうち、識別不合を…。
なんて読むんやこれ。
節用型って読めんのかなこれ。
用型の検挙件数は475件でした。
この475件中、識別不合を知り得る立場にあった元従業員や知人等による犯行の検挙件数は何件だったでしょうか。
わかるわけねえ。
わかるかー。
わかるかい。そんなもん。
だから3択。だから3択なんですよ。
3択でも難しいわ。
なるほど。はい。
要するにあれか。ちょっとちょっとね。要するに内部の人の犯行がどれくらいの割合かってことね。
そういうことですね。
そうそうそうそう。
なるほどなるほど。
1、34件。2、68件。3、136件。
え、なんかちょっと数字が微妙に近くないですか。
どれも…。
これ34から倍々になってんだよなこれ数字。
どれも微妙でわからんわ。
微妙だなあ。難しいなあ。
3択ですから。
まあそういう取り上げ方で質問してくるっていうちょっとメタ的な思考でいくと…。
あ、良くないぞそれ。
何ですか。
知らないやんそんな。
もうね、ちょっと頼るところがなくてですね。
一番多いじゃあ130件でしたっけ。
はい。ファイナルアンサー。
えっと他に何でしたっけ。なんか頼るやつ何でしたっけ。オーディエンス何でしたっけ。
オーディエンスないですね。3択やもないけど。
ないですか。
うん。
まあけどなんかそれぐらいありそうな気がするんですよね。
そうね。
俺は一番少ないやつだと思うな。
34件ですか。
うん。
正解発表します。正解は2、68件。
あいだかい。あいだかい。
持ってるなあ。
オーディエンスしても外すんかい。
あいだかい。
ちなみにこの問題の答えに対して一言メッセージがついておりましてですね。
はい。
退職する際には立つ鳥跡を濁さずを心がけてほしいものですという。
鳥だけに。
何を上手いこと言うとんねん。
それか、なんで私なんだろうなと思って。どういうことか。
分かんないわ。でも、分かんない。
いや、これも僕も分かんないですね。半分ぐらいかなと思ってたら半分になってる数字もないしね。
そっか。400何件って言ってたから10パーよりも多いくらい。
そうですね。1割は超えてますね。
そっかそっか。ちょっとモクさんは謝りましたなあ。
なるほど。でも嬉しいですね。問題。
お便りの紹介
そうですね。
ありがとうございます。
ありがとうございます。面白い。
ちなみに、IPAサイバーセキュリティ対策カルタの中に立つ鳥跡を濁すっていうやつがあるらしいんです。
へー。
いや、そもそも。
どういう意味なんだろう。
そもそもこのカルタの存在をこのお便りで知りましたね。
そうね。
なんかIPAのやつにあるんですよ。そういうのが。僕も調べたらありましたね。
はい。
ということで、ありがとうございます。
引き続きお待ちしております。
はい。すみません。ちょっと回答でちゃんと正答できなくて申し訳ないですけど。
そうね。
どんどん送ってください。
はい。
難しかったわ。はい。
他にもお便りが来ておりましてですね。
はい。お願いします。
僕の前回紹介したプレミアム。
おー。おすすめ。
緑のライトいいですよね。気にはなってました。持ちがちゃんと緑に照らされて最終的には吸ってくれるのかを確認してほしいですという。
僕に死の淵を彷徨えというリクエストが。
変なこと言うから。
口は災いの下って言いますね。
純粋なリスナーが信じちゃうよ。
ほんまですよね。
はい。
でですね。再生周波数帯域がとても広くてハイレゾナで対応している重低音に評判のイヤホンを買った。ただしこいつがメインに流すのセキュリティのアレ。
もったいないですね。
ちょっと僕らがハイレゾナに対応してないですから。
いい音楽聴いてくれ。
でもオススメのアレで紹介したら音楽聴いてくれたりね。
それは確かにいいつもりだ。
PCとかで繋いでテレビにキャストしながらイヤホンで聴くっていうこともできると思うんで。
確かに。
ぜひ活用していただいて。宝の持ち草でなりますからね。
はい。というお便りだとかですね。
あとあのリスト型のことが来てまして。
前回看護さんが取り上げた。
そこでメールアドレス変えられたらええんちゃうみたいな。
IDが全部メールだからって話ね。
それに対してリスト型のアレ対策としてはiCloudのメールを非公開が使えると思うんだけどネギスさんからの言及がなかったと。
パスワード管理ソフトにセットで覚えさせておけばどんなメールアドレスか覚える必要もないしいいんじゃないかというご意見をいただいております。
いいですね。
それもiCloudのHide My Emailのことだと思うけど。
僕もそれ使ってて。
あと似たようなやつで言うともともとそのFirefoxがFirefoxリレーっていうのをやってるし。
あと確かPodcastでも紹介したと思うけどDuckDuckGoもEmail Protectionっていうのは。
そうですね。
同じようなDuckDuckGo用の匿名のその隠せるメールを発行してくれるっていうサービスがあるとか。
あと最近だとこれも紹介したかなプロトンパス。
なんか紹介したような気がするな。
プロトンVPNが新しく出したパスワードマネージャーであれはそういう登録用のランダムなメールアドレスを毎回作成してくれるっていうのが一つの売りになってて。
だから毎回毎回登録するところごとにメールアドレスが変えられるんだよね。
それもだから事業者側が対応してくれなかったら自分たち側でやればいいじゃんっていうのが元のアイディアなんで。
そういう方法も確かにありますね。おっしゃる通りでいいご指摘ありがとうございます。
パスワード管理ソフトがこれに対応してくれればいいのにね。
だからそのプロトンパスがそうだよ。
プロトンパスが対応してるのか。ワンパスとかが対応してるだけか。
だからプロトンパスの利点はそこなわけよ。
そうかそうかそうか。自分たちのところでできるからそれが。
IDも変えられるしパスワードも生成してくれるんで両方やってくれるわけ。
確かにね。
ワンパスワードもやってほしいな。
プロトンパスはプロトンメールっていうメールの仕組みがあるからできる。
自分たちが持ってるからってことですよね。
そこは彼らの強みかもね。
確かにね。ありがとうございます。
脆弱性診断・ペネトレーションテストに限らずですが
実施者のスキルによる差があるのはあるのかなと思います。
ノウハウを共有することはやっていただいているとは思いますが
全ては難しいと思うので少なからずは仕方ない気がしますという
難しいこと言いますね。
ただわからないけどさ、以前よりも自動化できる部分っていうのは
ツールでできる部分もだいぶ増えてるし
あとは昨今のAIの利用とかさ
たぶん今後も自動化なり標準化・平準化が増えてくると思うんだけど
そうなってくるとどんどんより専門的な部分が
人に頼らざるを得なくなってきて
そこの人への依存度っていうか
個人ごとへの依存度っていうの
人によって変わってきちゃう部分っていうのは
やっぱり残ると思うんだよね。
だからそういうところを差別化に使うのもありだけど
先週言ったみたいに
同じサービスなのに人によって全然品質が違うわ
これはやっぱりやめてほしいので
そのあたりをどうやるかっていうのは
なかなか難しいところかもしれないね。
これはペネトレとかするチームの大きさにもよるのかなと思う
チームというか規模
人数が多ければ多くなるほど
やっぱり目の届かへん範囲も
どうしても増えていく部分があるじゃないですか
なんで仕上げはこの人みたいなのを置いてるかどうかっていうのは
業者選定の時に僕が聞くんですよ
最小人数何人でやりますかとかも聞くんです
脆弱性診断とペンテストの違い
例えばネットワークやったら
1IPやったら何人、2人以上でやりますかとか聞くんですよ
なんでそういう仕上げをする人がいるのかどうかみたいなことは
結構聞くかな
この辺もチェックのポイントにはなってくるかなと思うんですね
あとは同じ関連で来てたんですけど
脆弱性診断とペンテストの違いの話をされてたということで
ポッドキャストを紹介してくださっている方がいたんですけれども
分かり味が深いのでこれらを検討する立場の人
みんなに聞いてほしい
ネギスさんが全部言ってくれた感あるわというお便りが来ております
なるほど
ベタボメです
ベタボメですよ
でもこれはみんな悩んでるんだよね
前回のショーノートで
本編の中では特に取り上げなかったんだけど
これがちょうどいいかなと思って
脆弱性診断師のプロジェクト上野さんとかがやってくれてる
あそこで取りまとめたペンテストとはっていうやつが
あれが一番分かりやすいかなと思ったんで
ショーノートで紹介しておいたんだけど
今第一線でやってる人たちもやっぱ悩んでいて
ユーザーさんが理解されていないからこそ起きる問題っていうか
脆弱性診断ってこういうもんですよとかペンテストってこういうもんですよっていうのを
ちゃんと正しく伝えようって頑張ってる人たちもいるわけで
一方そういうのがトラブルになるってこともあるわけだから
なるべくそのギャップは埋めてもらいたいけどね
僕はそういう意味ではちょっと先週偉そうなこと言っちゃったけどさ
今もうペンテストの第一線からちょっと離れてるから
第三者的に言っちゃったところはあるけど
今やってる人たちはいろいろ悩みも深いんじゃないかと思うんで
そういう方々の意見もぜひ伺いたいね
イントルーダー社のCVEトレンドダッシュボード
ありがとうございます
お便りいただいた方にはセキュリティのステッカー印刷コードをお送りしておきます
5種類あって全部揃ったら僕にDMをくれると
シークレットの印刷コードも差し上げるので
どしどしお便り寄せていただければと思います
お待ちしております
じゃあ今日もセキュリティのお話をしていこうかなと思うんですけれども
じゃあ今日は僕からいきますね
お願いします
今日僕が紹介するのはイントルーダーという会社があるんですけども
そこがリリースしたCVEの流行を見ることができるダッシュボードという感じのものがあるので
ちょっとこれを紹介しようと思うんですけど
イントルーダーという会社あんまり聞いたことない人の多いのかもしれないですけど
贅沢性管理とかタックサーフェスマネジメントとかの業務をしていて
贅沢性スキャナーとか自動ペネトレーションテストみたいなのを提供している会社なんですね
そこがそういうCVEの流行トレンドを見るプラットフォームダッシュボードみたいなものを
ベータ版で今公開しててですね
名前がちょっとややこしいんですけど
CVEトレンズっていうどっかで聞いたような名前の
あれなんか前に紹介しなかったっけそれ
前なんか同じ名前のやつ
それとはちゃうやつ
違うの?
そうなんですよ
名前変えろよ
ややこしいですよね
イントネーションが違うとか
そこまでは読み取れないんですよ
もうちょっとね
少し前にXのAPIが有料化されたじゃないですか
その有料化のタイミングでもともとあったCVEトレンズっていうのとか
あとちょっと前に紹介したかもしれないCVEストーカーみたいなやつがなくなったんですよね
もうちょっとこれ無理ですわということで
それを言い事にこの名前使ってるかどうか知らないですけれども
これがどんなものかというとですね
過去24時間にソーシャルメディア上でトレンドとなっている
上位の10件のCVEを表示してくれるっていうものなんですね
トレンドグラフでどれぐらい言及されてるかとか
ギュンと伸びたぞとかっていうのも出てきますし
あとは独自のこれどうやって計算してるかわからないですけど
ハイプスコアっていうのがあって
過去12ヶ月間にソーシャルメディアでの状況を示すスコアらしくて
最大は100らしいんですよ1から100なのかな
これあんまり使い方よくわかんないですけど
そういうスコアも出してくれると
で一目で必要な情報が見えるっていうのでいいなという風に思って紹介したんですけども
画面ではCVE番号があってCVSS値とか
あとエクスプロイトの有無もちゃんと出てくるんですよ
これはKEVを参照してます
でさっき言ったハイプスコアと発行日と説明
あとさっき言ったグラフトレンドグラフみたいなものが出てくると
そこからポチポチという風にクリックしていくと
詳細情報も見れるっていう風になってて
その詳細の中にはその説明の詳細版とか
あと場合によってはここのエンジニアのコメントが付いてる場合があるんですよね
であとリファレンスとかSNSでの言及が一覧で見ることができるっていう風なページに遷移すると
で1時間ごとにこれ更新されていて
RSSでも受け取ることができるという風なもので
必要な情報が1画面である程度まとまって見れるっていう意味では
すごくいいのかなと
そうですね 使いやすそう
そうそうそう
その有料化でなくなってしまったサービスと同じようなことがまた見られるっていうのが
返ってきたのがすごくありがたいなという風に思ってますということなんですね
でこれだけだとちょっと心もとないかなと
KEVだけ見ててもね
あかん場合もあるかなと思ってて
速さの面でね
どうしても吟味してから掲載されるっていうのもあるんで
ちょっとキャッチアップっていう意味ではこれだけだとちょっとまずいかなということで
組み合わせると有益なんじゃないかなと思ってるサービスも
多分何回かちょろっとは言ってはいるんですけども
in the wildっていうサービスもあって
これ無料で見られる
それなんか前紹介したよね
そうそうそう紹介しました
そこのin the wildっていうやつがあって
これあのバルネラビリティフィードっていうのを提供してくれていて
タブが2つあるんですけど
ExploitationずっとExploitsっていうのがあるんですよね
でExploitationはなんかどっかで悪用の確認が言及されているというもの
でExploitsは攻撃コードがリリースされててっていうので
両方ともリンクが
みんなで投稿できるようなシステムなんですよね
CVEと説明とレポート日と関連リンク
でExploitsに関してはそのコードへのリンクとかもちゃんと書いてあると
ここは更新はAPIで取得することもできますし
あとXのアカウントでも更新状況が見れるので
通知ONに取得とかっていうのも一つありなのかなと
いうふうなとこですね
あとは僕はこれに加えて見ているのは
もうちょっと詳細な情報が知りたいなって時は
CV Detailsって昔からあるサイトありますけど
ここは補助的に結構使っていて
だいたいこのIn the WildとCV Detailsを使って
注意喚起の文章とかを作ったりとかしてたんですけど
さっきのダッシュボードも加えてみると
一目で見れていいかなと
あと言及のところも見れるんでいいかなというふうなところですね
あとはこれも213回で紹介してるんですけど
CV Prioritizerっていうツール紹介したと思うんですけど
気になるCVがあって
状況って刻一刻と変わるじゃないですか
自分たちが使っている製品が載っていた場合に
自分で追従するためにリストに追加するんですね
CV番号を
それを定期的に回して
EPSS値が変わってないかとか
Exploitが出てKEVに掲載されてないか
そのプライオリティの変化がないかっていうのを
追うっていうふうなことを僕は
ちょこちょこやってたりするというふうなことで
今までやってたことに加えて
このダッシュボードを見るっていうのも
一ついいんじゃないかなというふうに思って
紹介させていただきました
セキュリティ情報の統合と活用
名前がややこしいですけどね
そうですね
まだ出たばっかりなんで
ちょっと試験運用みたいなものを
していこうかなというふうに思ってるんですけど
これが出る前は僕結構
画面にバルンチェックの画面とかを
表示してたんですけど
あれねCV番号しか出てこないんですよね
なんでせめて説明ぐらいがあると
自動で翻訳するように
ブラウザでやっといたら
なんとなくどんな製品っていうのを
一目で分かるんでこっちのほうがちょっと
僕は見やすいかなと思いましたね
僕は自分では直接使ってないんだけどさ
結構この手の脆弱性管理の
いわゆる商用の製品っていうのかな
無償のやつじゃなくてね
企業向けのちゃんとしたやつって言えばいいのかな
ああいうやつだと
ちゃんとこういうのが
一箇所にまとまってるっていうか
全ての情報がね
ちゃんときちんと一つのダッシュポードで
見れるようになってたりだとか
割とそういう
ちゃんと手が届くようになってると思うんだが
おそらくね
自分で使ってないから想像だけどさ
画面とか時々紹介されてるのを見ると
使いやすそうだなっていう風に
見てるんだけど
そういうの使えるところだったらいいけど
そうでない場合で
こういう無償のツールで
自分たちの工夫でやろうと思ったら
今のところいくつかこういうのを
用途に応じて
見比べた方がいいかもしれないね
そうですね
使い勝手だけじゃなくて
ここを見とくとか
組み合わせる方かなと思いますよね
あと別に信用しないわけじゃないけど
今言った
例えばCVなり
EPSSなり
CVなりCVSSなり
一般的に知られたスコアは
どこで参照しても同じだと思うんだけど
各サービスごとに
独自の色の指標を使ってたりする場合に
ありますねそういうのね
それがどのくらい
信用に足るものかっていうのが
客観的に評価できる指標であればいいけど
ちょっと分かんないと
これはどのくらい
信じていいものかっていうのはね
分からないからそういう点も含めても
いくつか状況
横並びで
見比べてみて
今の辻さんのいくつか見てる
っていう使い方は
バランスが良くていい気がしました
そうですね
有料のサービス使えないんで
ひとりCサート
僕としては
久しぶりに聞いたねひとりCサート
まだあったんですね
違う違うまだあったんですね
じゃなくて逆逆まだ一人なんですね
って言ってほしい
残念やね
なので
紹介したこの4つかな
イントルーダーのやつと合わせて
4つありますけどこれをちょっと
皆さんにも見ていただいて
自分なりの使い方みたいなものとか
使っていただければ
有料のやつ使ってても
こっちの方が早いとかもあったりすると思うんで
見てみるといろんな運用の仕方があるんじゃないかなと思いますね
いいんじゃないですかね
ぜひぜひ使っていただければと思います
ありがとうございます
ありがとうございます
じゃあ次はですね
ねぎさんいきましょう
僕からは今週はですね
12月の3日かな
なんかに
ユーロポールが報告をしたんだけども
主に犯罪者が
使っている暗号化のメッセージ
サービスで
サービスの概要と摘発
マトリックスっていうのがあって
これを摘発しましたっていう話題を
紹介したいなと
これちょっと名前がややこしいんだけど
2回か前に僕はここで
マトリックスっていうのがあるよって
言った気がするんだけど
聞く覚えが
あの時言ったのは
IRCとかJavaみたいな感じで
分散型のプラットフォームで
ちゃんとエンドツーエンドで
確かそのエンドツーエンドの
大元の仕組みはシグナルと
同じなんだよみたいな話を確かしたと思うんだけど
はいはいはい
あそこで言ってたやつは
matrix.orgっていうサイトで
主に提供されているやつで
あれは全く別です今回のとは
オープンソースのやつですよね
なるほど
名前がたまたま同じなだけで
何の関係もないです
今回のやつはどんな
摘発したサービスというか
そもそもどういうサービスだったかというと
まずそもそもの
今のちょっとややこしいんだけど
エンドツーエンドのやっぱりサービスで
ちゃんと暗号化して
メッセージが送れるサービスですと
主にグーグルのピクセルに
インストールされたアプリとして
使われて
ただしこれは犯罪者向けサービス
ってことで招待制になっていて
どういう
招待ブランドか知らないけど
招待がないと使うことができないサービス
だったらしいと
あと今回の摘発で
ある場所から1000台ぐらいの
携帯端末が応集されたって
書いてあったんで
アプリ売りじゃなくて端末ごと売ってたのかもしれないね
あーはいはい
そういうのありますよね
悪いことする用電話みたいの売ってるやつ
専用電話って感じで
インストール済みのピクセルをもしかしたら
端末ごと売ってたのかもしれません
ちょっとその辺はわかりません
言及されてないですね
そうですね
主な用途としては今言ったみたいに
主に犯罪者が
麻薬とか武器の密売だったり
資金洗浄だったり
違法な
様々な取引の目的で
どうもこのサービスを
使っていたらしいということで
今回摘発されて
わかったこととしては
世界中で少なくとも
8000アカウントがあって
主に
南ヨーロッパ方面で使われていた
そうですと
さっき紹介された人が
どうやって使うかというと
6ヶ月利用プランってのがあったらしくて
値段が
1300から1600ユーロ
だから
20万から25万くらいかな
日本円で半年ではそれぐらい
年間にしたら
4、50万ってことかな
まあまあの値段かなという感じもするけど
これで
安全にメッセージやり取りできるのだったら
安いと見るかもしれないね
わかんないけど
端末としては今言ったみたいに
Googleのピクセルが使われているけど
サービスのインフラとしては
10台以上のサーバーが設置されていて
中でも
重要なサーバーはフランスとドイツに
ありましたと
これは今回摘発されてテイクダウンされています
こんなような
サービスの概要だったんだけど
今回
どういう風に摘発したかという
作戦の方なんだけども
そこで一番気になりますね
きっかけとしては3年前に
オランダで起きた
ある事件の被疑者の携帯電話を
差し押さえて
調べたらその中で
マトリックスというアプリがどうも入っていたらしい
ということで
そこで犯罪者が使っているサービスがある
ということはどうも認識したようですと
それ以来
主にオランダとフランスの
法執行機関が中心になって
このサービスのことを
ずっと地道に調べてあげていたらしい
その結果
今月になって摘発に踏み切ったわけだけど
3ヶ月に渡って
このメッセージを監視していたらしくて
その結果
230万通以上の
メッセージを取得して
中身を解析した
摘発の経過
と書いてあって
結構な量だよね
3ヶ月でこれくらいの件数で
その中では33の言語が
使われていましたと書いてあるので
主にヨーロッパだから
多民族多言語の国家が多いから
とはいえ
かなり幅広く
使われてたんだなという感じ
いろんな地域で使われてたんだろうね
33も言語がありましたと
今回の摘発で
フランス
スペイン
リトアニアなんかで一応捜索が行われて
メインはスペインで
2人逮捕されているんだけど
ここにどうも
このサービスのオーナーと
母式リトアニア人がいたらしくて
この人は逮捕されました
逮捕されました今回
同時に先程言ったような
仙台近い携帯電話とか
あとかなりの量の現金とか
そういったものも一緒に
押収されて
インフラとしては壊滅状態と
そんな感じ
いうことなんで結構ヨーロッパの
法執行機関が頑張ったなという感じ
なんだけど
僕が今回紹介したのに
気になった点が2つほどあるんだけど
1つは
これさっき言ったけど
3ヶ月監視をしたって言ってて
230万通以上メッセージを取得して
解析って言ってるんだけど
これどうやったんだろうっていう
これみんなが喋る部屋みたいなのが
あるのかな
いやいやないと思う
ないと思うし
エンドツーエンドって言ってる仕組みが
どういうものか分からないんだけど
当然技術的な詳細は
開発してくれてないから
分からない
本当にエンドツーエンドだったとしたら
サーバー側で登場できるはずがないので
そうですよね
中間じゃ無理ですよね
だからこそエンドツーエンドっていう
わけなんで
だから
サーバーに何か仕込んで
クライアント側に何かを送り込んだのか
何か
分かんないけど
何かしら何かやらないといけない
がないしは
暗号化の仕組みがそもそもしょぼくて
解読可能なような
しょぼい暗号化の仕組みだったのか
ただこれはちょっと
考えにくいというか
過去にもこういうサービスあるし
さすがにそういうのから学んできてるから
ちゃんとしたものだったと思うんだけど
その辺が分かんないんで
どうやってやったのかな
というのがちょっと驚きですね
これはあれなんですけど
操作の過程で
40以上のサーバーで構成と
ありましたけど
サーバーを途中で見つけて
触れたとかあるのかな
それはあると思う
もしかすると
実はこのメッセージのサービス
提供している人は
元に戻せる仕組みがあったとか
それもあり得るけどね
バックドアみたいなね
いわゆるオープンソースの
ちゃんとしたサービスではないから
第三者がね
監査しておすすめ付きを与えているわけでもないし
仕組み放題
運用側が
もしかしたらそういうバックドアがあってもおかしくはないね
確かに
その辺がこういうサービスの
モロ派のところっていうかね
どこまで信用できるか
っていうのもあるけどね
過去にさ逆にっていうか
法執行機関側が囮でこういうサービスを
作って配った
っていう事件もあってさ
それを
まんまと信じて
使った人たちが一番おだじになった
っていう事件もあったくらいで
そういうのもあるしね
今回のだからそのオーナーが
もしそういうことをやったとしたら
何を意図してやったのか分からないけど
確かに可能性としてはそういうバックドアがあった
って可能性はあるね
犯罪者向けサービスの未来
そんな感じでいろいろ想像は膨らませられるんだけど
何が真実かはちょっと
よく分かってませんと
何回か前に
ここで紹介した時も
エンドツーエンドの暗号かって
一口で言っちゃったけども
単にエンドツーエンドですって言っても
本当の意味で安全なエンドツーエンドかどうかは
ちょっと分かんないんだよね
こういう例があるから
ちょっと分かんないなっていう
そこが一番気になったところで
あともう一つは
今回みたいな
サービスの暗号化のメッセージ
特に犯罪者が使っているサービスの
摘発って初めてではなくて
今年に入っても
夏くらいだったかな
ゴーストっていう似たようなサービスが摘発されたりとか
あと過去にもエンクロチャットなど
何種類か
主にヨーロッパ方面で犯罪者が使っている
って言ってたやつとか
あとオーストラリアでもあったかな
ちょいちょい濃点の摘発って
行われてるんだよね
そういう状況を見ていると
多分
犯罪者ご用達のサービスっていうのは
次から次へと
出てきていて
多分今回の8000アカウントっていうから
そこそこの人たちが使ってた
サービスで
今回の摘発によって
メッセージを解析して使ってた人たちは
多分今捜査の手が及んでると思うんだけど
そうですよね
でも全員捕まるわけじゃないからさ
多分そうすると
犯罪者は例えば
今度はまた別のサービスを使ったりとか
するわけじゃない
だからちょっとイタチごっこになってるな
っていうのと
あとこういうのを
包含するような大きいサービス
があるわけではないので
全般的に
このリリースにも書いてあったんだけども
フラグメント化してるっていうか
骨粒化してるって言えばいいのかな
ちっちゃい
暗号化のサービスっていうのが
いっぱいいててそれぞれ
小さなところで使われてるっていう感じ
になってきていて
例えばそれこそシグナルだとか
テレグラムだとか
グローバルで使われてるような
サービスがあるわけではないんだけど
犯罪者にとっては便利で
有用性の高いサービスっていうのが
結構あるんだな
っていうかさ
今回のこの犯罪者向けのサービスのことは
知らなかったんで
ああこういうのがあるんだな
他にもたくさんあるんだろうなっていう
そうでしょうね
ちょっとキリがないけど
今回の法執行機関が頑張ってくれたみたいに
潰していくしかないんだろうな
っていう
根本的にこういうのが
根本からなくす方法って
多分ないんで
ちょっと難しいな
とは思いながら
どうやってか分かんないけど
頑張ればこういう
インフラへの浸透っていうか
盗聴もできるし
摘発もできるし
非常に頑張ってくれて
嬉しいなって感じでした
素晴らしいですね
ちなみにこの
サービスを提供してた人たちが
オーナーも抑えられたって
おそらくオーナーだと思う人が
これは何の罪なんですかね
何の罪か
犯罪とかの法助だろうね
法助か
本人たちは知れませんって
言うかもしれないけども
主に犯罪者向けに招待制で使われてたわけで
言い逃れできないと
知らぬ存ぜぬは
プラットフォームの提供者として言えないでしょう
確かにそういうものがあるんだったら
バンするとかしないと
本当はいけないわけですからね
普通のサービスだったら
脆弱性情報の概要
違法な取引とか
法助したとか
そういう罪なんじゃないかな
鼻からそういうことを目的として
作ってるよなお前らな
って言えますもんね
ということなんじゃないかな
他のSNSはそういう目的ではない
全部排除できないじゃないですか
だからね
技術的に言えばさ
さっき今回のやつに
マックドアが入ったかもしれないし
おそ松な実装だったかもしれない
分かんないんだけど
結果的発はされたわけじゃない
だから犯罪者側から見たら
本当だったらシグナルなり何なり
定評のあるっていうか
明らかにここは多分
安全だろうと思われるものを使った方が
実際国内でもね
シグナルとかテレグラム使ってる犯罪者が
みたいな報道がよく出るけどさ
そういう人たちもいるわけなんだけど
デメリットとしては
彼らは真っ当なサービス事業者なので
テレグラムは分かんないけど
微妙なとこありますよね
一応真っ当なので
各国の法執行機関とか裁判所からの
例状があれば
情報は提供するんだよね
ユーザーの情報は
犯罪者とは思われる人の情報であれば
このアカウントはどこそこの人が
こういう情報で
使ってますみたいなことは多分出すだけよ
エンドツーエンドだった場合には
メッセージの中身は分かんないかもしれないけど
メタな情報は多分提供するんだよね
今回みたいな
犯罪者ご用達サービスって
そういうところがないから
安全って言ってるわけで
ある意味ね
そこがどっちを取るかみたいな話なわけだよね
その辺が難しいっていうか
でもこれで
芋づる式にいけそうな感じをしますよね
そうね
使ってる情報の分析とかから
うまく犯罪者にね
過去の作戦でも
犯罪者の摘発につながったっていう
実績もあるんで
2023年の分析結果
こういうのを地道にやっていくっていうのが
あとやっぱり
こういう風なサービスになると
複数の国にまたがるから
今回のもユーロポールとかユーロジャストとか
橋渡しになっていて
各国の法執行機関が
連携して動けてるんで
インターポールの作戦もよくあるけどさ
やっぱり今は
こういう国際連携が欠かせないんだな
っていうのが改めて思うよね
確かに
最近は日本の警察も結構こういう国際連携に
参加してるから嬉しい
ロックビットとかで
すごい頑張ってるよね警察もね
ロックビットも押さえたところの中のチャットログが
どんどん広がっていきそうな感じもありましたしね
頑張ってほしいですね
ありがとうございます
じゃあ最後はカンゴさんです
お願いします
今日は私
断面光を当てて
っていう
どこかで聞いたことある
どこかで聞いたことあるな
聞いたことあります
去年の
11月に
私とあと
ついさんでゲシさんと一緒に
登壇させていただいた
ITメディアのセミナーで
これはタイトルって言っていいんですかね
タイトルです
タイトルをまさに
申し上げたんですけど
なんで今さらそれを言ったのかというと
私が取り上げたものの
その後っていうのをちょっと今回
調べてみたっていう話が
ありまして
何を調べたかというと
先ほどついさんKEV
脆弱性の話されてましたけども
KEVで公開されている
脆弱性情報において
私たちやっぱり悪用されている
っていう前提に立つと
単純にパッチ当ててくださいじゃ
済まない世界っていうのは当然出てくるわけで
なのでその辺を
実際に対応する側の
視点に立って必要となる情報っていうのが
どれくらい提供されているかっていうのを
5つのポイントに
観点を置いて
情報公開の具合っていうのを調べました
っていうのを去年公開させていただいて
実際ITメディアの記事
当時の内容をまとめていただいたもの
公開されてはいるんですけども
その時に調べた状況などは
実際その記事中の
スライド資料っていう形で
公開されているんですが
じゃあ
2023年がそうだったんで
きっと2024年は
もうちょっと良くなっているかなと
2023年は
なかなか厳しいっていう状況が
数字としては
見えていたというところがありましたので
2024年
1年経ったので
もうちょっと良くなっているかなと思ってですね
その状況を改めて
見直してみたという
ところではあるんですけども
まず何を調べたかというと
先ほど申し上げた通り
CISAがまとめておられる
KEVのカタログに載っている
脆弱性において
CVE2024
っていうのが裁判されているもの
これを対象に
調べさせていただきました
もちろん2023とか過去のものも
今年登録されてはいるんですけども
最近の状況を把握したいという趣旨で
2024というのがついているものに
絞っていると
それで絞ると
今年追加されたもので
件数でいくと109件
カタログに追加されているんですけども
幸いというか
大体同じぐらいの感じで
あったのが去年の状況でして
去年も11月ぐらいに調べたものだったんですが
去年は106件だったので
似たような数字と
でKEV見られている方であれば
ご存知だと思うんですけども
アディショナルノートとかという形で
参照情報というのがURLで
掲示されていまして
そのURLで記載された先に
例えば
ワーク用に関連するような情報というのが
載っているかというところを調べたと
そういうものです
なので頑張って調べれば
当然いろんな情報出てくるので
かなり充実した情報というのは
手元に揃ってくるとは思うんですけども
まあそういうことをやる人も
なかなか少ないかなというのは
正直だとは思いますし
どっかにまとめてくれって感じだよな
そうそう本当にそうで
それを全員に求めるのはちょっと違うとは思うので
なのであくまでも
KEVのカタログに載っているURLの
参照先に載っているものを
ベースに調べたと
でちょっと繰り返しになってしまうんですけども
そのどの観点で見たかというところは
個々のポイントというと
一応私の方で調べてまして
当然ながら
悪用されているかどうかというのは
そもそもの話というのが
その参照先の
前はセキュリティアドバイザリーとか
脆弱性情報とか更新情報とか
そういったものになると思うんですが
そちらに書かれているかと
この脆弱性は悪用されているものです
悪用確認されたものです
そういった形で書かれているかというのを
まず確認したもの
で次が
じゃあその悪用がされているということに対して
より具体的に
その状況というのが書かれていますかと
よくある書き方としては
限定的な悪用を確認しましたとか
後半の悪用を確認していますとか
そういった形ですかね
そういったものが書かれているかと
さらにちょっと
より具体的なところとしては
悪用されているのであれば
実際に私たちがそれを
使っていたとして
影響を受けているかどうかというのは
当然知りたいところではありますので
どうやったら影響を受けているかというのを
確認できるかという手段
方法というのが
情報の中で書かれているかという話
攻撃を受けた痕跡があるかどうか
みたいなことですよね
単純にパッチを当ててくださいとか
そういう話だけでは当然
済まない世界だと思うので
どうやったら自分たちが攻撃を受けたかという
知る手段が書かれているかと
かつ影響を受けていたと
したのであれば何をしたらいいのかと
パッチを当てるだけでいいのか
あるいは別の作業というのを
改めてやらないといけないのかと
中には機器の交換をしないといけないとか
そういった類のものがあったかと思うんですけど
ありましたね
そういった対処手順というんですかね
そういうものが説明されているかという
話
大体ここまでは書いていてほしいなという
ところがあって
もう一個加えてという形であれば
どういった
悪用のされ方をしているかと
例えば
ランサムウェアで使われていますとか
具体的には何々ランサムウェアとか
どのランサムギャングが使っているとか
あるいはAPT
これが使っていますとか
例えば中国系のアクターであれば
私たち脅威の対象になる可能性が
グンと上がるので
そういったところなどが
書かれているかみたいなところを
以上この5個のポイントを
調べてみたというところではあったんですが
まず1点目として
悪用が確認されて
いますよと書かれていたもの
これはどれくらいあったかというと
件数でいうと
69件
1件ということでして
これ割合でいうと
63%かな
減ってるじゃん
そうなんですよ
多分今先ほどお伝えした記事を
ご覧になっていらっしゃるのかと思うんですけど
去年は7割超えてたんですけど
73%だったんですけど
減ってるの
10%減ってですね
去年の11月時点で調べた情報であるので
参考値程度には見てほしいんですけども
それでも10%ぐらい減ってる
というところが
あってですねいきなり
雲行きが怪しくなってるんですけども
ここから挽回しよう
ちょっと挽回していきたいんですが
続いてこれも1個目に引きずられちゃうんですけども
悪用の状況
詳細に書かれているかというところについても
これもちょっと残念ながらというか
41件というところで
全体の
割合からすると
38%
ちょっとちょっと
というところでして
対比の仕方としては
悪用が確認されたものが
69件あったので
そのうち41件という
見方をすると
大体何%だろう
60%ぐらいなんですかね
それぐらいの数字なんですが
去年は78件中61件だったので
なんかそれで見ても
ちょっと
厳しい感じではあってですね
ここで結構厳しい
厳しい状況だっていうところが
なんとも見えてきてはいるんですが
影響確認手段については
これはですね
去年は17件だったんですけど
今年私が見た限りですと
20件ありました
ちょっと増えた
2%ぐらい
5差かな
5差って言われちゃうと
何も反応ができないぐらい
あるんですけども
加えて対処手順ですね
何をしたらいいかというところについては
これは少し開きが出まして
去年は11件だったんですけど
今年は18件ということで
国際連携の重要性
割合でいくと7%
違いが出たと
なので影響確認と対処手順
というのは比較的セットで書かれている
感じが今年結構あったなと
去年は確認は書いてあっても
実際はどうやったらいいかというのが
ちょっと書かれてないというものも
ありましたので
そこが今年はセットで書かれていることが
この件数だけ見てはちょっと少ない
少ないっちゃ少ないんですけども
書かれてはいたという状況でありました
最後に
悪用の状況についてより具体的な
話っていうのが誰が悪用してるかとか
どういう悪用され方してるかとか
そういったところが書かれている
ものに関しては
去年9件だったんですけども
今年はですね
2件と
情報更新の重要性
なるところでして
厳しいですね
もともと厳しかったんですけども
8%から2%になっても
次は0%になってしまうぐらいの
それぐらいの減り方で
変わってないところが
きついなという感じが改めて
浮き彫りになったという
ところではありまして
きついなというのは
実際に脆弱性悪用があって
それを対応しなきゃいけないという
立場の人からするとという意味ではあるんですけども
路頭に迷いそう
そうなんですよねどうしたらいいねん
なかなか厳しい
状況は変わらずなんだな
というのが今回の
KEVという件数だけで見れば
少ないものではあるんですけども
その状況だけで見ても
こういった傾向が明らかになった
というところで
なかなか厳しいなという話があって
先ほどついさんがご紹介されていた
ようなツールとかを
本来はやっぱりああいうのを
使わなくても
必要な人にすぐ情報が届くというのが
あるべき姿だと思うんですけど
まだまだこういった状況を見ると
この手のサービスを
十分に活用していかないと
対応が
どんどん遅れていってしまうなとか
片手おじというか
抜け漏れというのが出てきちゃうなというのが
なんとなく見えてきたというのが
今回調べてみて
ちょっと悔しいなという感じではあるんですが
見えてきたところ
これちなみにさ
去年のセミナーの時にも
そんな話したかもしれない
ちょっと覚えてないんだけど
これってベンダーによる偏りとかってあるのかな
結構ありますね
偏りはあって
これは
各社のポリシーだと思うんですけども
公開時点の情報から
更新をするかどうか
というところがやっぱり
結構影響出るかなというのもあって
これ特に
NDAとかという話で
影響が出てくるところがあるかな
と思うんですけども
公開時点では悪用がなくとも
直後とか少し時間を置いて悪用が出たりすると
それが更新されているか
という意味で言うと
されてなかったりするかなというのも
ちらほら見えるというところがあって
一回出したら
更新しないというポリシーとかも
あるかもしれないですね
例えばあれだよね
マルコソフトなんか詳しく情報を出してくれて
すごいありがたいけど
確かそこは脆弱性
という方法だけで
更新はしないという方針だよね確か
エクスプロイタビリティデックスが
更新されないんですよね
だからパッチが出た後に
仮にエクスプロイトが出たり何だりしても
変わらないんだよね
その辺がだから
ベンダーがやるべきだのか
それはさっき言ったみたいな
ユーザー側ないしは
脆弱性管理とかを
やる部分が補うべき
話なのか
それはよくわかんないけど
ユーザーから見たらどこがやってもいいから
わかるようにしてくれって感じだと思うんだけど
難しいよね
ポリシーにはポリシー内の理由があると思うんで
別にそれがダメとは思わないんだけど
なるほどね
そういうのにも結構依存することは
あり得るのか
難しいね
譲って最後の
悪用の手口の部分は
セキュリティの専門家とか
ベンダー側にとっては
アトリビューションしたりだとか
攻撃の根元から
何とかするためにはそういう情報も
重要だと思うんだけども
対処する具合にとってみれば
とりあえず真ん中の
対処すべき影響範囲と対処の手順
ここと数字が
もうちょっと上がってくれば
そういう意味ではね
去年よりもちょっと上がったより
ちょっと上がったよりも
見えなくはないんで
いい兆しと言えなくもないな
脆弱性管理の新たなアプローチ
という
ちょっと無理があるか
もうちょっと増えてくれるといいんですけど
もうちょっとね
なんか去年に話したときには
僕記事にも書かれてあるんですけど
はい
利用者がベンダーに問い合わせ続ければ
ベンダーもその声を聞き
変化が現れるかもしれないって
言ってるんですよね
一人一人の声じゃあれだかもしれないけど
大勢がそういうことを主張すれば
届くかもしれないよね
そうそうそうそう
やっぱり
まだまだパッチを当てる
っていうのが対策っていう
ムードはね
残ってるから
先にやられてるかもしれないから
調べないとっていうところまで
まだ浸透させられてないのかもしれないですね
そうですよね
でも腹感覚としてはさ
去年今年と特に
パッチを当てただけでは
もはや不十分っていう事例が
増えてる気がするんで
増えてますよ
マイターはまさに
ベンダーの言った通りにやったのに
侵害されてたって感じでしたし
パッチを当てたタイミングでは
侵害されてる想定でだとか
例えば
パッチだけでは不十分でこういう手順が
必要とかっていうのが
前よりも多くなって
その分対処する側が
複雑なことを考えなければいけなくなってきてるんで
やっぱり
それに対する
情報の提供っていうのは
もうちょっと
きめ細やかにできた方が望ましいよね
そうですね
ベライゾンのレポートとか
以前紹介したじゃないですか
データブリッジのレポート
パッチが当てられるまでに
何十日で半分も当てられてないとかね
それとか
マンディアンが出してる
脆弱性が悪用されるまでの
期間っていうのを考えると
やっぱりちょっとどんどん
そことの乖離が出てしまっているっていうのは
ちょっと良くない感じ
するなあっていうね
ネギさんよく言いますけど
各々が調べてとかっていう
効率の悪い手段選びたくないですもんね
そうね
やっぱりここは業界上げて
考えるべきっていうところ
かなあっていうか
情報共有のスキームというかね
そういったこういうところにも
やらなきゃいけないなとちょっと思いましたね
あとちょっとごめん
文脈が忘れちゃうけどさ
これやっぱKEVすごく有用
でもそれでもやっぱりこういう課題がある
というわけで
でもこれまだあるだけマシな方で
国内のやつはどうするのかとかさ
この間ちょっとびっくりしたけど
プロセルフがKEVに乗ったじゃない
そうなんですよ
でもあれ1年後ぐらいでしょ
今ちょっと関係なくて
言うか迷ってたんですけど
私あの去年
CISAに送ったんですよね
連絡したんですよ
これ追加せんのかって送ったんですけど
全然何の落とされたもんな
普通に無視されてですね
追加されなかったんですよね
今回何で追加されたのかよく分かんないけど
なんで今更と思って
本当にやっぱり
地域特性というかやっぱり
偏りっていうのはどうしても出ちゃうな
っていうのは
参考にはなるけどやっぱりね
そういうのに依存しちゃダメなんだろうなとか
かといってさっきね
ついさんが紹介してくれたような
サービスとかを
それぞれがそれぞれで
上手く組み立ててやるっていうのも
これも馬鹿らしいしね
現状そうだと言われてもね
あんまり効率がいいとは思えないですからね
かといってその贅沢性管理のベンダーに
オンブになったかも
これも間違ってる気がするんだよね
彼らはすごい良いサービスを提供してくれると思うけど
だけどそれでいいの?っていう気もなんかするし
かといってじゃあそういうのに
高いお金も払えないし
っていうね、中傷とか
そういう人たちの方が多いですからね
そういう人たちはどうやって救えばいいの?
みたいな話とか
僕らみたいな専門家が頭悩まして
いろいろ考えなきゃいけない部分なのかな
というか
時間かかりそうですね
まだまだちょっと
今の数字、もうちょっと良くなってるような気がしたんだけど
意外と
しょっぱい感じだったね
どうでもなかった
厳しい現実を目の当たりにして
そうですね、2025年こそは
もうちょっと改善するといいなとは思ってます
でも僕さすがだなと思ったのは
正直1年前のこのセミナーの内容もすっかり忘れてたけどさ
自分がやったまとめた内容をさ
1年後にもちゃんともう1回見直して
比較してて
スイさんもやってるけどさ
ランサムやカルネンとかさ
やっぱ大事だねこういうのね
誰もやってないじゃんこんなことさ
確かにね
海外のベンダーとかでもね
けっこうKEVだろ何だろ
毎年毎年検討してるところってあるけど
自分たちでこういう自分たちなりの視点で
まとめて整理して分析して
何を変えるべきかって考える
やっぱ大事だなと改めて思いました
さすがでした
ありがとうございます
ありがとうございます
ということでですね
今日もセキュリティのお話を3つしてきたので
最後におすすめのアレなんですけれども
今日はですね
季節柄もあってこれを紹介しておかないとな
というものをコンビニで見つけたんで
紹介しようと思うんですけれども
今日僕が紹介するのはですね
ネギスさんはこれはもたぶん親しみがあるもんだと思うんですが
流角酸
おー
流角酸なんですけれども
いろいろあるよね
ネギスさん使われてる流角酸ってどんなやつ?粉?
いや僕はその
流角酸ののど飴を
カバンにいつも入れてます
ティックのやつ?袋のやつ?
袋のやつ?なんていうの
上がピーって止まるやつね
銀色というか白っぽい感じの飴ちゃんみたいな
そうそうそうです
そうですよね
それのですね僕が見つけたやつが
たまたま飴ちゃんの方がなかったんで
流角酸の効果
これにしとくかと思って買ったやつが
あったんでそれが良かったんで紹介するんですけど
わかった
え?何?
言ってみて
流角酸ののどすっきりタブレット
俺もそれいいなと思ってた
ほんまですか?
初めてダブルでのおすすめじゃないですか
それねなんかね
電車の中か駅かなんかどっか
その辺で宣伝してる
よく宣伝してるんだよね
そうなんですね
あのさついさんさ電車乗らないでしょ
どんな生活してるやつやと思われます?
たぶん知らないと思うんだけど
あの電車のJRかな
車内広告でたびたび出てくるよ
舐めてることを人に知られずに舐められる
そうそうそうなんですよね
しかもね
ネギさんが舐めてる方のやつは
結構成分見ると
植物化物が高いんですよ
こっちはシュガーレスなんですよ
いいじゃないですか
じゃあ俺もそれにしよう
言うたらフリスクみたいな感じなんですよね
俺留学さんが
いつも好きなのはさ
何らかのいろんなのど飴とか
いろいろトローチナとかさ
舐めてるけど
やっぱりあれが一番しっくりくるったんだよね
自分の中では
味的にも効果的にも
一番すっきりするというかね
ほとんどそういう感じはあるの?
全然ありますよ
そうなんだ
たまたまこれしかなかったから買ってみたんですけど
意外に良かったですね
多分こっちの方が新しくて
今売り出し中っていうか
押してるんじゃないかな
僕もいろんなのど飴試したものの
ネギさんがそんだけつこてるんやったらと思って
普通の飴ちゃんの方に買ってたんですよ
やっぱりこれ
結構ええなと思って
あとやっぱり口に入れた瞬間
大阪効いてる気もするんですよ
まあ確かにね
でこのタブレットのやつを買ったんですけど
なんとなく店にとったんですけど
効果も全然普通の飴ちゃんと同じような感じやし
あとは
やっぱりシュガーレスっていうね
いうのもいいなっていうのと
ちょっと知らなかったわ俺も
あとですねただですね
公式サイトを見ていただきたいなと思うんですけども
すごいキャッチフレーズが書いてて
小粒なので
舐めたまま喋れるって書いてるんですよ
そうそうそうそう
それがだからCMで売ってるんだよ
でこれね
いろんなシチュエーション
例えばコールセンターとかね
って書いてるんですけど
挙げられてるのにプレゼンテーションや講演って書いてるんですよ
やってみりゃいいやん
みんなパネルでやる?
そうそうそうそう
いやそれさ舐めてるのバレたらさ
二つの意味で舐めてるみたいになれへん?
確かに
隆角さん舐めてる
隆角さん舐めてる我々と
お客様を舐めてるみたいな
それが言いたかったのか
違うわ
でもプレゼンはたぶん
僕なんかテンション上がってきたりとかするからさ
講演とかしてるとエモいこととか言い出す
ぴょろーんって出たら
ダイナシアン系みたいなね
まず一回ポートキャストでやってみようぜ
一回やりますか
これ今サイト見たけどさ
いわゆるノーマルのやつ以外にも
ハニーレモンとか抹茶ハーブとかあるんだね
そうそうそうそう
そうなんすよ
ちょっとこれいいな全部試してみよう
僕見かけたのは青いやつ
一番ノーマルって言えばいいのかな
これしかなかったんですけどね
そうそう俺もちょっと気になってたんだよね
ちょっと試してみましょうよ
今度
ポットキャストで
3人のうち
誰が舐めてたでしょうかみたいな
しょうもな
3人全員かもしれへんし
3人僕だけかもしれへんしみたいな
確かにじゃあそれはお便りでお待ちしようか
くだらない
やってみましょうよ今度ね
くだらないの大好き
これからの季節ね
喉結構いたわらないと乾燥もひどいですから
確かに
流角さんじゃなくてもいいと思うんですけど
喉痛いとね
喋りづらかったりとかしてストレスもたまると思うんで
皆さんも喉のケアをしていただければな
と思って紹介させていただきました
喉のケアの重要性
はい
という感じでまた次回のお楽しみです
バイバイ
