久しぶりの3人での出張
久しぶりの3人での出張、福岡出張お疲れ様でした。
確かにね。何年ぶりだろうね。
1年ぐらいじゃないですか。
え?1年?
そんなもんですか。
福岡は1年じゃないですけど、湯沢に行ったじゃないですか。
あー、そうね。
あれは、そっかそっかそっか。
ちょうど1年前か。
そうそうそうそう。
そうだね。
意外と3人で揃って、ご飯食べるのも1年ぶりぐらいでしょ。
そうね。セミナーで一緒に喋ることはたびたびあるけどね。
そうそう。その後打ち上げでもするか、みたいなことも特になく。
そうだね。
僕は結構新鮮な感じだったんですよ。久しぶりに。
コロナ中はね、いろいろそういうのが制限されてたのもあるしね。
確かにそういうのに出かけること自体がね、3人で出かけるっていうのが少ないっていうのもあってね。
去年の湯沢の方はめっちゃ久しぶりでしたよね。
そうだね。コロナまだ完全に明けては、今も明けたかどうかあれだけど。
確かにね。
去年はまだそういう意味では、久しぶり、本当に久しぶりだったね。
コロナ前以来って感じだったもんね。
そうですね。
今回場所を変えたっていうのもあってね。
福岡はね、よくセミナーとかで昔、年に何回か行ってたっていうのもあったんで。
その久しぶり感がかなり大きくて。
そうだね。大阪とか福岡とかは年に1回ぐらいはセミナーで行ってたもんね。
そうですね。1回ないしは2回とかは行ってた感じでしたけどね。
最近そういうのもなくなったんで、新鮮だったんですけど。
NICTのね、そういうなんていうんですか、カンファレンスって言えばいいんですかね、ああいうのは。
言ってたわけなんですけれども、ネギスさんがね、いろんなところに個人でやってる活動というか、
イベントごととか行かれた時の話を常々聞かされていて、すごく期待してたんですよ、僕はあることをね。
何をですか?
あれ聞いてますみたいな。
ああ、はいはいはい。確かに最近僕たびたびイベントにそう、あれらの人に声かけてもらって。
そう、ネギスさんが歩けばあれ勢に当たるみたいなところが。
こんなあちこちいるんだぐらいにね。
そうそうそうそう。で、その結局この福岡に行ってきて、2日間のね、カンファレンスで行ってきまして、
で、ステッカーももちろんね、持って行ってたんですよ。
おお、ついに。
コロナの影響とステッカーのコンプリート
そうですよ。しかもコンビニ印刷じゃなくてちゃんと印刷したやつをね、多めに持って行っといた。
スリットでしたっけ?
スリット入ったやつ持って行ってたんで、配った。配ったんですよ。配ったのがですね、一人。
ああ、いたんですね。
井上さんっていう人なんですけど。
聞いたことある。聞いたことある人だ、それ。
そうなんですよね。まあ、もはや半分身内みたいな。
純レギュラーと言っても。
ああ、そうです。純レギュラーです。基本的に1回出たら純レギュラーです。
1回出たら。
ああ、そうね。1人だけ?
うん。
寂しいね、ちょっとね。
なので、実質ゼロ。
実質ゼロですね、確かに。
やっぱあれですかね、セグメントが違ったんですかね。
いやいや、あれじゃないですか。僕らはまだまだ精進が足りないんじゃないですか。
ああ、そういうことですよ。
調子に乗るなという話ですよ。
リスナー3人なんですよ、だから。
やっぱりそうだったと。
奢っちゃいけないってことですよ。
だから井上さんにも僕から差し上げたということもあったので。
誰にも、ニーズがゼロだったということで。
俺、聞いてた、思ってたのと違うと思いながら東京に帰ってきたわけですけど。
確かに確かに。
まあまあ、そんなこともあるんやなということで、めげずに頑張っていこうと。
今日もお便りが来ておりました。
ありがとうございます。お願いします。
僕もお周りにアレをお勧めしているので、知らぬ前に周りにアレ勢が増えている気がします。
今まで一番良かった回は決められませんが、印象に残った回は第179回、続きはどこかのセミナーでスペシャルです。
179回っていうのは、前回お便り読んだ方も良かったって言ってた、ユーザーはアホやないんやでっていうね。
ネギスさんはドラゴスの脅して来よったやつがおったっていうやつ。
看護さんは首掛けストラップなくしてのやつ。
その回ということで。
言われなきゃ全く思い出せないな。
言われてもまだ何となく中身が思い出せないけど。
僕もユーザーはアホやないんやでっていうコミュニケーションをちゃんと取らなあかんでっていうのはあったけど、細かくは思い出せないですね。
もう一回聞き直さないと。
でもあれだね、複数の別のアレ勢の人がいいって押すってことは良かったと思う。
印象的だったのかな。
こういうのを教えていただけると励みになるんで。
僕らも毎回いろんなネタ喋ってるけどさ、何がどういう人に刺さるかよくわからないで喋ってるじゃん。
自分ら的には盛り上がって良かったと思っても、もしかしたらあれは響かないかもしれないしさ。
3人の3つのネタがあればどれか刺さるかなみたいな感じはありますけど。
3人のリスナーの誰かには刺さるかもしれない。
でもあれでしょうね、今回で202回目ですか?やってたら最初から最後まで何も思わない回もあるんでしょうね。
それはあれよ。誰かには刺さるだろうけど、特定の誰かにとっては思うなみたいな回もあるかもしれないよね。
それはしょうがなくない?
誰にも嫌われてないってことは誰にも好かれてないみたいなところありますから。
全員に刺さるってのはちょっと難しいからさ。
無難だっていうことかもしれませんしね。
頑張っていきましょう。
お便りの攻め方と告知
後悔されてる方もいらっしゃいますし、せっかく登壇するのにMacにセキュリティのステッカー貼るの忘れてたという。
これはちょっと残念ですね。
これは是非貼っていただかないとね。
そうですね、是非次回は貼っていただいてということで、今回もこれ読んだんで、さらに送りつけますから。
1枚と言わずに2枚3枚どんどん貼っていっていただければなと思います。
次のお便りがですね、これはちょっと僕目から鱗だったお便りなんですけども。
この方ね、あと1個でコンプなんですって。
4種類集まってるみたいなんですけども、前回もこれ読んで当たらなかったみたいということで、揃わなかったということで。
悔しいからいろんなサイズで印刷してみたということで。
一番小さく印刷するとケーブル類にも貼れるけど名前は書けなかった。
名乗りますのやつに名前書けないってことだと思うんですけど。
縮尺してみてやってるみたいですね。シートのサイズを変えてるんですよね。
それってあれ?コンビでステッカー印刷やったことないんだけどさ。
印刷するとき選べるのかな?
選べる選べる。
2人は僕が擦ったやつこんな感じですみたいなサンプル的な感じで見せたことしかなかったから、自分で印刷したことないんですよね。
印刷コード使ってやったことないんだけど。
僕がお便り読んだ方に皆さんにDMしてるんですけど、
その時に自分がこのぐらいのサイズって決めた2L版っていうのがあるんですよサイズが。
2L版で印刷してくださいってこれが標準というかちょうどハマるサイズなんですよ。
なるほど。もともと想定してるサイズがこれですって言ってるわけね。
言ってるんですけどこれ以外のサイズも選べるんですよ。
なるほどなるほど。別に否定したのじゃなくてもいいわけだ。
僕それ試したことなくて、2L版では何回かやってちょっと調整かけた方がいいなとかテストしては画像ちょっと割り当て変えてみたりとかっていうのやってたんですけども、
小さいってのやったことなくて小さいのでもいけるんだよなっていうね。
あれかそのロゴっていうかさ、書いてあるのも別に小さくしたから潰れたって見えなくなるようなものでもないしね。
そうですね。意外と画像付きでポストしてくださってたんですけど、いい感じでしたね。
いい感じ。じゃあちっちゃいのはちっちゃいのでいいかもね。
巨大にもできるってことですね。
巨大にはできないんじゃない。これ巨大にする意味ある?
あれって。
コースターぐらいのサイズにするとか。
ノートパソコンの裏全面にも貼れるぐらいの。
デカデカとね。
インパクトあっていいね。
いいかもしれないですね。確かに確かに。
いやでも大きくする分にはちょっとあれなんじゃない。ガビガビになるんじゃない。
画質的なところが。
いろんなサイズっていうのはちょっと新しい。
そんな技があるんですね。
コンプリートしないでさ、草などにいろいろ育って楽しんでくれて嬉しいね。
ありがたいですよね。
ぜひコンプリートしてほしいですね。
今回のやつでコンプリートすればいいんですけどね。
はい。
ということで最後のお便りなんですけれども、
この方もですね、ステッカーのコンプリートを目指しているということで、
ステッカーコンプリートしたこと、前回2人目の方が出ましたよというお話があったんですけども、
お便りもいくつかね、追いつくない毎回毎回多かったり少なかったりっていうのはあるんですけれども、
読まれない方ももちろん全員紹介するわけにはいかないということもあるじゃないですか。
はい。
なので自分もコンプリートになれるように、読んでもらえるようにということで、
ちょっと攻め方を変えてみようっていうね、お便りが来てまして、
自分も読んでもらえるようにですね、僕が、辻さんが好きなプロレスネタを中心に拾っていこうと。
ずるいなそれ。
ほんでね、これね前回多分お二人はスルーされたというか、気づかなかったと思いますし、
僕自身も気づかれてないだろう、気づかれないだろうと思って言ったことがあるんですけど、
ハイブがリブランドしたんちゃうんかとかっていう話が出てましたね、みたいな話をしたじゃないですか。
その時にね僕ね、お前ハイブだろうみたいなことを言ったんですよ。
これは予想通りスルーされてたから、自分はこういうとこ拾っていこうかなみたいなことを言ってるんですけど、
分かりました?
聞いたことある、それ。
ほんまですか?そんな有名?これ。
プロレスのネタだよね、それね。
そうそうそうそう。
藤並達美さんっていうね、レジェンドの選手。
まだ引退されてないんですけど、60歳過ぎて。
現役なの?今も?
一応現役のはずですから。
たまに試合入れてはるんですけど、その人がね、当時のマスクマンのスーパーストロングマシーンに対して、
試合終わった後にマイク渡されて、お前平田だろ!って言ったんですよ。
アローコとかマスクマンの中身の人の名前を言うっていうね。
それはもうファンはみんな気づいてたんですよね、平田さんっていう。
平田さんと一緒に絶対出てけーへんし。
よくあるよね、そういうのね。
分かってるけど言っちゃいけないみたいな。
そうそうそうそう。
そうなんですよね。
これが元ネタだったんですけど。
そうなのか、ごめんごめん。
全然全然。
それがどっかで聞いたことがあって、知ってはいたけど、前回の主力では全く気づかなかったわ。
そうですよね。ちなみにこれよくお前平田だろ!って言われるんですけど、厳密には言ってないんですよね。
そうなの?
逆なんですよ。ほんまは平田だろ!お前!って言ってるんですよ。
なぜかお前平田だろ!っていう風なのが広まってしまってるっていう。
そうなんですよね。本当に平田さんだったっていう。
なるほど。
そういうのね、ちょいちょい僕の場合は本当に気づかずに、もしかしたら看護さんは意図してスルーしてるかもしれないけど、
ちょいちょいスルーしてるからね、そういうのアレ勢が突っ込んでくれると。
そうですね。
知事さんも浮かばれるよね。
私もほぼ気づいてないです。
浮かばれるって別に死んでへん。
浮かばれるとかでもないし、成仏するとかでもないのよ。
安心していけるかなっていう。
確かに確かに。みんなで作っていこうということでね。
ありがとうございます。
お便りという絡みで、ちょっと告知じゃないんですけれども。
何かありますか?
アイキャッチ画像の要望とテーマ提案
こんなお便り募集してみますみたいなことがちょっとあるんですよ。
はいはい。
この間200回記念ということで、お気に入りの回とかあって教えてくださいみたいなやつあったじゃないですか。
それを引き続き言っていただけると励みになるから続けて、もし何かあったら言っていただきたいなというふうに思ったりはするんですけど。
それに加えてですね、いつもアイキャッチ画像を出してるじゃないですか。
はいはい。
もしかしたらスポティファイとかで聞いてると見ない人もいるかもしれないですけど、
ツイート、ポストか言い慣れへんな。
ポストするときに僕いつも画像つけてるでしょ。
はい。
で、つじりーくす.comの方でもアイキャッチとして出してる画像、イラストがあるじゃないですか。
はい。
あれをですね、アレティさんに書いていただいてるわけなんですけれども、
何かこんなん書いてほしいみたいな。
あーなるほどなるほど。
いつも何かね、いろいろ季節感があったり、キャラもいろいろ書いてくれて楽しいけど。
あー何かこういう要望ありますか?みたいな。
そうそうそう。何か僕ら3人を使って何かこういうテーマでとかでもいいですよ。
ざっくりでも別にいいと思うんですけど、
何かそういう、こういうことをしてる3人とかね。
プロレスしてるとか。
そうそうプロレスしてるでもいいかもしれないですよね。
そういうのでもいい。僕がピオカンゴマスクになっててもいいわけじゃないですか。
あーいいですね。
そうそうそう。そういうのでもいいですし、何かそういうこんな感じのみたいなアイディアというか。
あーはいはい。そういうのも募集したいと。
そうそうそう。まあ別に季節柄とかでもいいんですよ。
何か例えばこれからクリスマスとかでもいいですしね。別に。
そうだねー。
そういうのを何かこう、もしやって、まあ見て、どれかが採用されたら、
あー自分のやつがアイキャッチになったぞみたいな感じで。
まあ採用された方にはこのお便りと同じくステッカーの印刷コードを差し上げるっていうのもいいかなと思って。
なんかこう思ったこととか感想とか質問とかっていうのはちょっと何か出しにくいけど、
まあこれぐらいのやつだと出せるなーみたいな人もいるかもしれないんで。
確かに。ちょっとしたアイディアでね。
そうそう。ちょっと切り口を変えたお便りの募集の仕方をしてみようかなと思って。
いいですね。
以上させていただきました。
まあ両方とも引き続きいつでもですね、やっていただければなと思います。
はい。お願いします。
はい。ということでじゃあ今日もセキュリティのお話をしていこうと思うんですけども、
今日はそうですね、あのネギスさんとネギスさん以外でお送りしていくということで。
一周した?
一周したかもしれないですね。
では今日はネギスさんからお願いします。
はい。わかりました。
じゃあ今週僕からはですね、ちょっと前のこれは先週のネタかな。
フィッシングのフィルター回避手法の注意喚起
11月の14日にフィッシング対策協議会からちょっとまああの面白いというか変わった注意喚起が出てたんで、
それを取り上げようと思うんですけど。
タイトルがURLに特殊なIPアドレス表記を用いたフィッシングっていうこういうタイトルになってて、
タイトル読んだだけでなんとなくピンとくる感じではあるんだけど、
どういう内容かっていうと、よくあるフィッシングのメールとか例えばAmazonとかね、
ショッピングサイトに誘導する不正なフィッシングサイトに誘導するようなメールが飛んできて、
そこのメールには誘導するためのリンクがついているんだけど、
そのリンクのURLが、普通は例えばタイポスクラッティング的な本物にしたような文字列だったりとか、
いろいろ騙し方にもいろいろテクニックがあったりすると思うんだけど、全然関係ないURLの場合もあるけど、
今回のその注意喚起のやつはそのURLに発信数とか受信数とか重力指数で表された
IPアドレスが書かれていて、それが何か両者が混在、両者というかいくつか混在している場合もあるらしいんだけど、
そういったメールが飛んでいるというのが何か報告されてますよっていう、そういう注意喚起だったんだけど、
ちょっとこれね読んでても僕よくわからなかったことがいくつかあって、ちょっとお二人にも聞いてみたいなと思ったんだけど、
まずねその内容としてはそのURLにこういったその表記のIPアドレスを用いることで、
フィルターの回避を試みていると推測されますというふうに書いてあるんだけど、
これさあこれフィルターの回避って言ってるのはそのいわゆる迷惑メールフィルター、そのメールサービスとかで標準でついてくるような、
そういうフィルターなのか、あるいはそのアクセスするときのそのコンテンツフィルター的なやつなのか、これ何なんだろう。
なんかねそのあたりがあんまり詳しく書いてなくて、フィルターの回避って言ってるのは迷惑メールフィルターのこと言ってるのかな。
いろんなやつありますもんね、フィルターって一言で言うてもね。
そうなの、一般的に多分この手のやつだとメールの本文が例えば変なことが書いてあるとか、リンク先とかのレプテーションに引っかかるとか、
いろいろその多分手法はたくさんあると思うんだけど、
メール受信時にこれは迷惑メールですねとかスパムですねとかっていうフィッシングですねとかね、
そういう悪性の判定をしてブロックするみたいなのはよくあると思う。
それを言ってるのか、ないしは一般のユーザーとかはあんまり使わないかもしれないけど、
いくつか製品あるけどさ、URLでアクセスするときにその中身の、例えばそのURLだったり、
アクセスするときのコンテンツのチェックで引っかかるとか、そういうコンテンツフィルター系の
ウェブのアクセスするときに引っかけるようなフィルターもそういうのもあるだろうし、
ちょっと何を指してるのかわからなかったんだけど、なんだろうなぁと思って。
僕でも両方なんかなと思ってました。
両方かな。
ブラックリスト系のものみたいな。
そういうことかな。
だいたいURLと通常の受信表記のIPアドレスとかっていうのは両方持ってるのは多いけど、
ここで言ったら8信とか16信とか、2信とかでもいけると思いますけども、
そういうものはスルーしちゃうものも中にはあるからっていうことなんじゃないかなと。
どういうフィルターのことを指してるのかわからなかったなっていうのと、
仮にそれがどっちのどういうフィルターだとしても、
これ本当にこんなに8信とか16信に変えたぐらいで本当にフィルターは回避できちゃうのかな。
できる製品もあるんかな。
でも今は最近はあまり聞いたことないですけど、質問をしたことないんですけど、
昔も本当もずいぶん昔ですけど、コンテンツフィルター扱っている会社とか、
あとは明爆メールフィルターみたいなものを扱っている会社の人とか、
そういう製品の展示会とかあるじゃないですか。
ああいうところに行ったら必ずそういうフィルター系のところには聞いてたんですよ、こういうこと。
どういうのまで回避できたのか。
例えばこういう回避手法がありますけど、こんな手法昔からあるじゃないですか。
聞いてたのも大抵の場合はそういうの止まりますっていう回答が多かったですけどね。
なるほどね。もう一個疑問っていうのは、このIPアドレス表記だって別に、
言ってみれば目当たらしくもないというか、今更感があるような感じがちょっとしてて、
これフィッシングとかで使われた事例っていうのが珍しいのかどうかって、
ちょっと僕その辺の過去の類似の事例があるのかどうかっていうことを知らないんですけど、
仮にあんまりなかったとしても、なんかこの程度のことで回避されちゃうのでは、
ちょっとよろしくないなと思ったので、これ本当なのかなと思って、
大半のフィルタリングの、ちょっとどういうフィルタリングか分からないにしてよ、
大体のものはこれぐらいブロックするんじゃないかなと思ったんだけどね。
回避を試みているという、推測って書いてあるんだよ、実際に回避できるかどうか。
推測ですよっていうことなのかもしれないので、ちょっと分からないんだけど、
フィッシングのフィルター回避手法に関する疑問
その辺の実態が分からなくてさ、何か知ってるかなと思って。
何かどっちかっていうと、僕は見た時には何か人の目の方なのかなと思ったんですけどね。
いやそれも思ったんだけどさ、見慣れない人なんでクリックしちゃう。
めちゃめちゃ怪しいですよこれ。
逆にそれもちょっと思ったんだけど、
人が見たら明らかに怪しさが増す。
どうかな、よく分からんの方が先に行きません?
詳しくない人ですよだって。
いやでも詳しくない人でよく分からんものがあったら、クリックするかな。
よく分かんなかったら、はい押すのと一緒ですよ。
ああそういうのもあるのかな、なるほどね。
怪しさが増すっていうのはちょっと俺の先入観かもしれないな。
よく分かんないからクリックしない。
調べようとかね、何これ、もしかしたら他に事例あるんじゃないかって調べると思うんですよ。
検索したりとか。
でもなんかよく分かれへんの来てるし、なんか急かされてるし、クリックしようとかかなっていうのが、
そういう人が結構まあまあいるんじゃないかなっていうふうに僕は思ってるんですよね。
なるほど、じゃあもしかしたら人間のフィルターも回避される可能性があるってことか。
そういう人が結構いるんじゃないかなっていうふうに僕は思ってるんですよね。
じゃあもしかしたら人間のフィルターも回避される可能性があるってことか。
まあそうですね、それをフィルター回避って呼んでるだろうかちょっと分からない。
それは多分違うと思うんですけど。
まあね、ちょっと今はこりつけたけどさ。
なるほどね、そっかそっか。
まあ確かにね、思い込みは良くないよね。
こんなの絶対怪しくなるからむしろ開かないだろって思う人もいるけど逆の人もいるかもしれないもんね。
そうそうそう。
とかなんか似たようなアドレスは開かないとかっていう言葉はよく聞きますけど、
似てるも似てないもんよくわからんからクリックしようって。
いやまあ確かに。
もうちょっとなんかそれのあんまり詳しく書きにくいのかもしれないけど、
なんかちょっとそれが曖昧に書いてある感じがしたんで何を気をつけたらいいのかよく分からないなっていうか。
できればここら辺はその仮にフィルタリング系のソフトとかサービスの話だとしたら、
この程度のその仮にこれは回避手法だとしたらこの程度はまあなんかちょっと
普通にちゃんとブロックしてほしいというか。
確かに。
このぐらいで回避されるんでちょっと使い物になるんだろうっていう気が。
そうですよね。一旦なんか元のものに戻してから評価してほしいですもんね。
ちょっとそういう気が少ししました。
あとまあその今のその辻さんの話でちょっとハッとは思ったけど、
やっぱこれ読んでて思ったのはその今の話もそうだけど、
フィッシングでやっぱりこういうリンクをクリックしちゃう人がどうしてもいるというか、
今みたいなそのフィルターを回避されるかされないかに関わらず、
クリックしちゃう人がいるからまあこういうことやってくるんだよね。
きっとね攻撃者はね。
そうですね。
今ってやっぱその一旦クリックして飛んでしまったらそのフィッシングサイトを見て本物か偽物か見分けるっていうことは
まあプロでも難しいし一般の人にはますます難しいじゃない。
まあそれを期待しちゃダメで多分だからそのそもそもメールとかあとまあショートメッセージとかもあるかもしれないけど、
リンクを多分クリックした時点で負けだと僕は思うのね。
なんでそのこういう回避手法がどうこうっていう以前にまあもうちょっとそのまあ実はこの注意喚起でもちゃんと書いてあるんだけど、
そのメールとかsnsで来たURLはクリックすんなって書いてあるわけリンクとかは。
例えばあらかじめその公式サイトのブックマークから飛べとかさ、
まあそういうこと言ってるんだけどまあ確かにそういうそのリンクをそもそも来たものをクリックするっていうその行為自体をやめるっていうことをもっと強く主張しないと、
まあなんかこんなの回避策ってまあ今回のちょっとたまたまちょっと特殊な例かもしれないけどいくらでもなんかありそうだから、
さっきこれぐらいはこう全部そのサービスが飛べてほしいと言ったもののまあやっぱりそれでも抜け漏れはどうしても出るからさ。
なんかねそういうのをいちいち個別に対処しているのはちょっと厳しいので、
まあそもそもどんなのが来ようがクリックしませんっていうなんかそういう態度を徹底するっていうのをなんかもうちょっとね言っていかないと強く言っていかないとダメなのかなっていう。
なんかそんなことを改めて思ったなっていう。
そうですねなかなかでもクリックしないっていうのも難しいんちゃうかなと思うんですよ。
そうなんだよね。
いやそれはねもう最も一番楽な対策だと思うんですよね。
分かりやすいし0か1やから。
そうそうまあ紛れがないよね。
もうとにかくクリックしないって決めたらまあね。
そうそうそうそうでもねやっぱ中には本間のやつもあるからね。
そうなんだよね。
中にはてかもうめちゃめちゃ多いと思うんですよね。
なんか本間のやつで本間に放っとったらあかんタイプのやつもあるじゃないですか。
そうそうそういうのとの区別がそもそもねさっきのそのフィッシングサイトの区別も難しいけどメールの区別も難しいじゃん。
難しいですよね。
もっとそっくりでくるから。
見分け方みたいなも僕は知識としては必要だと思ってるんですね。
やはりそのメールだけとも限らないじゃないですか。
経路もね多分検索して行った場合もあるかもしれないですよね。
いろいろあるもんね。
そうそうそうだから行ってしまった場合のことをほったらかすのもちょっと微妙とかあんま良くないんじゃないかなと思ってるんで。
これもこれはそれはそれで難しいなと思ってるんですけど。
このクリックしたらほぼ負けっていうのは僕もそう思うんですよ。
思うんですけどどうなんですかねこれ。
メールできたやつはもうURLなんて徹底してクリックしないということともうメール辞めるってどっちが難しいかな。
そうだね。
そこなんですよね。
そろそろまあメールはまあただねその俺もまあなんか前にそのメールはやめろだのショートメッセージはもうそろそろやめろだのさ。
はいはいはいはい。
散々言ってきましたよね。
散々言ってんだけどまあでもそれをやめたらやめたら別の経路に移るだけなんだよな。
確かにね。
読むとかはまさにそれですよね。
そうかそうかそうですね。
なんかね結局別のまあメッセージやらなんやらわかんないけど何かしらそのユーザーに届く手段を見つけているだけなので。
まあ結局はねなんかいたちごっこなのかなという気はするんだけどね。
コミュニケーションやめろぐらいなレベルまでいかないと。
だから結局そうなってくるのさその信頼できる人かどうかっていうその相手をどう見分けるかって話に結局行きついちゃって。
パスはどういうパスでも良くて今その自分が相手をしているこの相手は信頼できるのかっていう話に。
その表示している名前アイコンとその向こう側におるやつがほんまに一緒なんかって話もありますね。
あとそのねよくその乗っ取られたアカウントからのメールとかメッセージとかと信頼できる人からそういうのが来る可能性もあるわけだし。
そういったらキリがなくなっちゃうんだけどねまあでも難しいねこういうのはね。
そうですねまあなんかそうねクリックしないとあとは何かおかしなところに気づけるもんなら気づけた方がいいかなっていう風に僕は思いますね。
なんかその気づくことに頑張りすぎるの良くないと思いますけどね。
そこにだからそこだけにこう注力してというかそこだけをこうあまりにもねその見分けるのが大事なんだってことを言い過ぎちゃうとおかしくなっちゃうしかといってそこは全く何もなしでいいってわけでもいかないよってことだよ。
そうですねまあなんかアマゾンとか多いじゃないですかフィッシングって。
あと銀行系が多いかな。
そうだね不正送金とか結構そういう被害がすぐ。
でもそういうやつはもうなんかそのブックマークというよりもアプリにしましょうの方がいいかな。
確かにね。
メールで来たとしてもアプリに切り替えましょうとかねそういう風なアナウンスの方が現実的なような気がするなあと思いますね。
あとなんかねその意外とその決定打に決定打になるかどうかわかんないけど普及度合いによるけど認証の仕組みが変わることも結構大きいかもしれなくて。
フィッシングって結局その成りつましをするために例えば認証情報を盗むとかさとかまあそういう話じゃない。
これが例えばパスキーみたいな強固な仕組みになったらそもそもフィッシングサイトで入力できないから。
なんかそういうので実はねフィッシング体制があるその認証の仕組みに置き換わることで意外とここら辺は解決しちゃう可能性がないわけじゃないかなと。
そっちもちょっと期待したいなっていう。
認証狙いはそうかもしれないですね。
そうそう。だからその全部が全部ってわけじゃないけどね。
クレジットカードとかのやつはね取られてる。
フィッシングで認証情報を盗むとか防ぐ手段としてはまあその認証の仕組みが強固になることで防げるものもかなり多いかなっていうか。
まあそういうの考えるとなんかいろんな対策を多分ねいろいろ組み合わせてやっていかないとダメなんだろうね。
そうですね。
いやでも今からちょっとなんかこう今更って言うとこれは一体こんなんで本当に回避できるのってちょっと粗末な疑問が今回に出たんで。
そっかそっか。
まあでも面白いよねなんかね。
あの手この手でやってくるな。
そうですね。
なんかねアレ勢の方でねこれうちで使ってる製品でこれやったら抜けましたってのあったら教えてほしいですね。
そうそういやだから僕ら知らなくても実はね実際にこういうメール受信しましたとかさだまされかけましたとかそういう人もいるかもしれないしねこういうフィルターしてるはずなのになんかすり抜けてましたとかなんかもそういうねあの経験談をお持ちの方いたらぜひ教えてください。
そうですね教えてほしいですね。
その製品名までは言わなくていいですがこれ抜けましたよやっぱりみたいなとかあれば教えていただければ嬉しいなと思います。
表で言いにくい場合はこっそりDMいただければと思います。
表で言いにくいやつこっそり言われてもここで喋れないじゃん。
でもほら違う違う違うほらどのアカウントが言ってたかっていうことが知られないっていうのがある。
なるほどなるほど。
会社の人が知ってるこのコメントのツイッターカウントはこれだって知ってる場合もありますから。
なるほどなるほど内容は伝えたいけど自分が言ったことは知られたくないってことね。
そうそうそうそう。
そんな場合もねあればと思います。
お願いします。
お願いします。はいありがとうございます。
じゃあ次はですねじゃあ僕行こうかなと思うんですけども。
ノーエスケープの攻撃手法
今日僕が紹介するのはですねNCCグループっていうところがあるんですけれども。
ここがノーエスケープっていうランサムグループの対応した内容をレポートしてくれてまして。
ねぎしさん前に僕がノーエスケープ紹介したときにこいつらはイニシャルアクセスとかどんな感じで組むのみたいなことをおっしゃってたような記憶が僕うっすらあってですね。
なんか一回取り上げたよねこれね。
もしかしたらノーエスケープかキリンかどっちかだと思うんですけど真進行のグループですよね。
それでちょっといくつか攻撃手法を持ってたのでそれを今日紹介しようかなと思うんですけども。
このノーエスケープ自体は今年の5月ぐらいからフォーラムで宣伝し始めてリークを伴うようないわゆる二重脅迫系のことをする進行のランサムギャングだというふうなものなんですけども。
あとあれですね暗号化の仕組みがほとんど同じっていうことか。
昔言ったアバドンの関係リブランドスピンオフみたいな指摘もあるみたいな。
なるほどなるほど。
これはちょっと僕二重脅迫って言ったんですけどここはDドスもしてくるんですよね。
リークサイトを見るとDドスのところにはDドスマークがついてたりするんで。
はいはい。
このノーエスケープ自体はどんなものかっていうのは187回で喋ってるんでもし興味ある方は詳しくはそこを聞いていただければなと思うんですけども。
今回そのどういった組織に入ったとかまでは特には書いてなかったんですけど。
マイターのアタックに当てはめてこんなことしてきましたみたいなものとあとタイムラインが書かれているっていうふうなものだったんですね。
初期アクセスは何を使ってきたかというとですね、プロクシシェルを使ってきたと。
なのでこれ2021年の脆弱性の組み合わせじゃないですか。
ちょっと前のやつだよねこれね。
これを使ってきててその結果Webシェルを作成してさらに攻撃を広げてくるっていう風な。
これあれだね事例としては新しいやつだから未だにこの脆弱性が直ってないやつが狙われたというそういう意味だよね。
そうそうそう。そうなんですよ。意外とまだこういうプロクシシェルなんでエクスチェンジサーバーですよね。
の脆弱性が未だに使われているということですよね。
実際に攻撃を仕掛けてきてWebシェルを設置してその中をいろいろ偵察行為をしたりとか認証情報を盗もうとしたりとかみたいな感じの動きをしていくんですけど
このレポート自体が毎回のアタックのフレームワークに初期アクセスとか実行とか永続性みたいな感じでそれぞれに分けてくれているので非常に見やすいんですけれども
大抵の場合は防御回避にあたるようなところでアンチウイルス止めようとかそういうようなことをしてくるわけなんです。
防御回避とAV殺し
そこで使われていたツールとかも紹介してくれててですね。ここちょっと気になったところなんです。
防御をどう回避するかとか認証をダンプするっていうところが結構特徴的やなと思って見てて思ったんですけど
防御を回避するといわゆるAV、アンチウイルスとかEDRとかを殺すみたいなことをするわけなんですけど
複数のツールを使ってくるんですよね。GMERっていうやつとか
アンチルートキット対策とかにも使われているツールなんですけどこれで逆に何でも殺せちゃうんで自分にとって攻撃者にとって邪魔なものを殺していくと
こういうのも使っているよく使われるツールなんですけどこれも使ってるなと思ったら他にですね
ファイル名ちょっとわかりづらいんですけどASWARPORT.SYSっていう
これアバストに入っている普通の正規のアンチルートキットドライバーなんですよね。
こういうのも使ってきて、過去にアボスロッカーっていう別のランサムギャングがこれ使ったりとかしてアンチウイルスとかを殺してくるっていうようなことをするんですね。
これを使ったかと思えばMHYPLOT2.SYSっていうこれあの原神のアンチチートドライバーなんですよ。
原神入れてアンインストールしてもこのアンチチートドライバーだけは残って動き続けるっていうちょっと物議を醸した問題があったと思うんですけど
こういうのをこういう複数のものを使ってくるってことなんですよね。
いわゆるあれかグリーンクエアオンバーナブルドライバーっていうやつか。
そうなんですよ。外から持ってきたやつを使って自分の都合のいいように活用するっていうふうなことをするというふうなことなんですよね。
クレデンシャルアクセスの手法
これはあれだよね。そういうのに使えるものがいくつか。いくつかっていうか結構たくさん知られてるから複数使ってやってくるっていうそういうことですね。
そういうのを投入していくというふうな感じだったみたいなんですよね。
クレデンシャルアクセスって言って認証情報をダンプするってパスワードダンプ的なやつも3つぐらいのツールを使ってるんですよね。
FGダンプとか昔からあるじゃないですか。2001桁年ぐらいからあります。2008年とかね。あの辺ぐらいが最終リリースだと思うんですけど。
そういったパスワードダンプとかメモリダンパーっていう。これ多分ファイル名からの検索なんでもしかしたら違うかもしれませんけど
プロセス情報を見て、結構検索性の高いプロセスチェックツールみたいなやつがあるんですけど、こういったものも使ってきてると。
これ見てて思ったんですけど、このレポートにも書いてたんですけど、ちょっとこの攻撃者そんなに手だれじゃないんじゃないかみたいな。
いろんなものを試していってサクッと終わらせられてないというか。
なるほど。洗練されてない感じがするってこと?
そうそう。
それはNCCグループの見立てってこと?辻さんの見立てってこと?
両方両方です。僕もそう思ったんです。読んでて。
そういうことも書いてあるってことね。
そうそう。そんなにこんなにいっぱい使ってくるってことあんまりしないんですよね。
慣れてるとこれでいけるやろうとか、使ってるアンチウイルス見たらこれで止めれるやろうみたいなものがはっきりしてたりとか。
試行錯誤していくつか使ってるように見えるって感じってことか。
そうそう。中にはMARS的なやつで、このアンチウイルス止めるんだったらいくらとかっていっぱい対応したら高くなっていくやつ売ってるじゃないですか。
そういったものを使ってくるわけでもないんやなっていうところではあるんですよね。
とはいえこれでパスワードのダンプに成功はしてるので、ラテラルムーブメントだとリモートデスクトップ経由でバンバンバンバン移っていくと。
これもよくありますよね。
そうだね。
あとは自分の攻撃するチャンネルを担保するために二次的なアクセスを用意するとかあるじゃないですか。
ウェブシェルが殺された時のためにこっちからやったろうみたいな。
でもね、PリンクっていうのはPuttyのコマンドライン版あって、SSHのトンネルを使ってリモートデスクトップ接続を外部からアクセスし続けられるように永続化というかそういったこともしているという。
これもよくあるんですよね。
あとやってたのは、実際に攻撃に使われたかどうかまでは書いてなかったんですけど、チームビューワー、ここの侵害を受けた組織っていうのはチームビューワーを使っていたらしくて、
そのチームビューワーの認証情報も取得するというふうなことが書かれてありましたね。
攻撃の最後の方なんですけど、情報を盗むためにやったのはおなじみMEGAを使って、MEGA SYNC.EXEを使ってMEGAのクラウドストレージに流出させて最後にスケジュール登録したランサムやノーエスケープを実行するっていう風な流れだったみたいです。
なるほど。
これ面白いって言ったらちょっとあれかもしれないですけども、手だれじゃないっていうふうに書かれたらこれも影響しているのかなと思うんですが、この攻撃者、MEGAにクラウドストレージにファイルを流出させている最中にランサムウェアが実行されてスケジュールしてた。
途中で?
そう。だから流出が途中で止まってしまうっていう。
なるほど。
そう。なのでこの攻撃の最中にランサムウェアを実行するためのスケジュールを登録してるんですけどもしかしたら間に合えへんかったんですかね、盗み出すのが。
タイミングがうまく合わなかったのか、思ってたよりランサムが早く動いてしまって流出が中断したっていうふうに書いてありましたね。こんなことあるんですね。
なるほど。
なのでこの辺も手慣れ感がないというかね、これが攻撃の流れで詳しくはいろんなこともっと詳しくいっぱい書いてあるんでですね、興味ある方は見ていただければいいかなと思うんですけども、せっかくなんでこれまでのノーエスケープということでリーク数とかも集計をし直してみたんですよ。
この11月の25日時点で結構数5月からやってて、116件リーク。
結構多いね。
20何件ぐらいのペースでやってきてるんですよ、月に。
その割合としてはやっぱりアメリカが最多で35件ということで30%ぐらいがアメリカになってます。
ちなみに日本は3件ということで、3件なんですけど3件ぐらいあっても8位、タイぐらいのランクになるんですよね。
傾向として全体の、僕が見ているのは14グループぐらいかな、それのグループの全体傾向と国は結構似てますね。
アメリカが1位で途中でカナダ挟みながらヨーロッパ諸国が並ぶみたいな感じであまり変わらないような感じなんですけど業種がちょっと他とちゃうんですよね。
これもちょっと談語状態になってたりするんですけど上の方で。
なんですけど一番多い業種が大体今だと教育とかITとか建設土木とかが全体傾向としては出てるんですけど、
ここは医療が病院&医療っていう僕がつけてるカテゴリーが12件ということで10%ぐらいなんですけども1位と。
2位がついでに教育みたいな感じで全体の傾向とはちょっと変わるかな。
全体で見ると病院は今のところ4位とかなんですよね。
なんでここは中にはロックビットみたいにそういう命に関わるような医療機関とか攻撃すんなとかっていうルール敷いてるとかあるじゃないですか。
ここはそういうのを結構無視してるというかそういうルールもきちんとやってるわけではないので少し前に10月ぐらいかな。
アメリカのヘルスセクターサイバーセキュリティコーディネーションセンターHC3って言われるところが注意喚起出してるぐらい結構病院がやられてるっていうのがポツポツ目立ってきてるんじゃないかなって感じですね。
それはあれだね、今言ったようなイニシャルアクセスで使っている脆弱性とか手法とかの偏りによるのか、あるいは攻撃者が意図的に狙ってそういった業界をね、だから増えているというそういう意図した結果なのか、どっちなんだろうな。
そうですね、なんか業界が同じやったりとかすると使ってるソフトウェアとかも似てるとかっていう傾向もあるかなと思うのであるかもしれないですけど、僕がこれちょっと思った、そこはちょっとわからないじゃないですか、調べてみないとわからないので結構中まではわからないんですけど、
思ったのは病院って基本的にあんまり狙わないって言ってるグループがおるからまあいけると思ってるかもしれないですね。
なるほど逆に狙い目だと考えてるかもしれないと。
かもしれないっていうことですね。
ちなみにミノシロ菌自体はだいたい数十万ドルから一千万ドルぐらいのミノシロ菌要求があるっていうのをこのHC3がレポートに書いてましたね。
そうなんですね、だからちょっとこう病院は狙われにくいみたいなことも場合によっちゃあるんですけど、こういうグループもいるのでやっぱりあんま関係ないかなっていう感じはしますよね。
まあそのあたりのポリシーはグループによって違うし、結局弱ければやられてしまう可能性があることには変わりないからね。
その点やっぱり医療とか教育関連っていうのはややちょっとその対策が後手に回っている感じが否めないので、狙われなければいいけど狙われた時がちょっと弱いっていうのはかもしれないね。
そうですね、病院教育というのはそうですね、こういったグループからすると狙い目になってしまっているのかなということと、これぐらいのこのさっき紹介した手口、手順みたいなものって見ても目新しいものはなかったんですよ。
そうだね、なんか今聞いてたけど、なんか特に今までもよくあるような感じだなって感じ。
そんなんすんねやみたいなものとかは全くなくて、逆にこれはなんか僕発見やなって思いましたね。
能力が低めの人っていうのはイニシャルアクセスブローカーに行きがちみたいに思ってたんですけど、結構こういういろんなものを試し、これあかんかったらこれやれぐらいの簡単なマニュアル作ったら、こういうアフィリエイトも増えてもおかしないなっていう風にも思ったし、
この攻撃自体が結構長い時間かけてやってるんですよ。
なるほど。
一番初めのWebシェルのアクセスからその次に進んでいくまでの間で、最終的にランサム実行までが33日かかってるんですよね。
今のなんかわかんないけど、わかんないけどってか、標準的なスピード感覚からするとちょっと時間かけすぎてる感じもするよね。
そうですね。
1ヶ月くらいかけてるのか。
そうなんですよね。
もしかしたらこのタイムライン見てると、Webシェルを設置してから1分で認証を取ってきたり、あとは9分でPリンクのもう1個のアクセス経路を確保するっていうのをやって、その後18日って書いてるからもしかしたらここから攻撃者変わってる可能性あるんですけどね。
なるほどね。
とはいえ18日から初めて33日やから結構やっぱ長いかなと思うんですよね。
だいたい何か数時間、早かったら数時間、長くても1週間以内っていうのが結構僕の中でイメージとしてあるんですけど、ちょっとなんか手こずってる感があるなっていう風なところが感じられたので、
なんかこういうアフィリエイトのところもちょっとこうマニュアルでいろいろやりますぐらいのやつも増えてきてるのかなっていう気はしなくもないなってところですね。
ということで、前にネギンさんが気にされてたことの答えになるような、一部の答えになるようなことがあったので、今日は紹介させていただきました。
攻撃者にとってはいいことだけど、我々にとっては嬉しくないけどさ、ラースのモデルによって割と敷居がだいぶ低くなってきて、今回のがどうだったかどうかはまあわかんないけど、
実際に手だれじゃなかったとしたら、そういう人たち、あんまりスキルが高くないような攻撃者も増えてるわけじゃないですか、多分ね。
そうすると、僕らはどうしても目新しさっていうか、技術的だったりいろいろ手法の洗練さにばかり目が行きがちだけど、
攻撃が長い時間かかる
実際に狙われる側からすると自分たちのところに来るのは、もしかしたらむしろこういう手だれでない人かもしれないわけで、そういった場合に、例えば今回1ヶ月間、結局このケースではそれまで対応できなかったということだと思うんだけど、
場合によっては相手がこういうタイムラインで来ているんだとすると、対処可能かもしれないよね。そうなんですよね。この初期アクセスの段階で気づくことも多分、ウェブシェルの設置とかね、結構意外とされてますけど、結構気づきやすいポイントなんじゃないかなって思うんですよね。
あと、仮にアクターが前半後半で違ったとしても、後半のランサムのアクターが来たときに、それでも10回以上2週間くらいかかっているから、その間に対処できないかとか、完璧に数時間とか洗練された攻撃できた場合にどう防ぐかということももちろん重要だと思うんだけど、そうでなくてこういうケースも考えられるっていうのはね。
あまり上を見すぎなくてもいいというか、地道なところでできるところからやっていくと、ある程度は防げるというところまでいけるかもしれないし、そういうのはこういう事例を見るとわかるというか。
そうそう、全部自動化された、すごい洗練された独自のツールばっかりバンバン使ってきて3時間くらいでやっていくみたいなものとかがフォーカスされやすいですけど、いまだにこういうのもいるので、こういうのぐらいはせめて防ごうみたいな。
そうそう、なんか俺もそういうふうにちょっと思ったな今な。これくらいは何とかしたい。
メガへのアクセスとか許可したらあかんやろみたいなとかね、そういうのもあると思うので。
そうね、でもあれだね、よくメガだけじゃないけどさ、この辺のクラウドストレージのサービスとかってよく使われるやつっていくつかあるじゃない。
ありますあります。
まあでもこれ大抵の企業は使ってないよねこれ。
普通って何が普通か難しいですけど。
でも普通は使わないでしょこれ。
確かにそうですよね。ドロップボックスすら通さへん会社もまあまあありますからね。
本当に会社で認めている、例えばちゃんと契約しているストレージサービス以外は使うなとかね。
ガチガチなところは本当に何も通らないとかって会社あるからさ、そこまでする必要はないと思うけど、
まあでもこういう明らかにまずいって分かってるものはあらかじめブロックするくらいはやっててもいいような気はするよね。
こんだけ悪用されてるとね、別にメガは面倒がたけにするわけじゃなくていいサービスだと思うけど、
まあでも悪用されてるのは事実だ。うまく後援記者に使われてるのも事実なんで。
そういうところは別に個人で使う分にはいいけどさ。
まあ組織で使うとなった話は別ですからね。
別に使わないでしょっていうところは止めちゃってもいい気がするけどね。
あとはこういう外に出ていかないというか接続させない系のフィルターの話になるときに注意が必要かなと思うのは、
このセグメントからはそうなってるけど、このセグメントからは通るみたいなものがないかどうかはチェックしたほうがいいかもしれないですね。
抜き道がないかってこと?
そうそうそうそう。このネットワークからはプロ機種通ってるけど、
こっちのネットワークからはプロ機種通わさずにやってるみたいなこととかって結構聞くんですよ。
まあね。
こっちはログがないとかね。あるそういう話も聞いたりするので、その辺の棚下ろしみたいなのも必要にはなってくるかなと思いますけどね。
実際で過去のいくつかの事例でそういうインターネットとの経路が複数あって、
どこかは良かったけどどこかはダメだったみたいなのはあるからね。
そのあたりがそのいわゆる境界防御の難しいところだよね結局。
そうですね。
入り口をきちんと把握して全部ちゃんと鍵かけておかないとダメっていうのは徹底するのがやっぱりちょっと難しいし、
攻撃がどっか1個でもなんか穴があればそれでいいわけだからね。
そうですそうです。
徹底して守るのがちょっと難しいよね。
今回のこういう攻撃ぐらいだったらここで止められるみたいなボトムライン的なものにしてもいいのかなと思いつつ、
なるほどね。
見ていただければなと思います。
はい。ありがとうございます。
ということで最後はKangoさんですね。お願いします。
はい。
未だ明らかになっていない攻撃目的
今日私はですね、マイクロソフトが11月の22日に報告をされていた
ダイヤモンドスリートと彼らが呼んでいるスレッドアクターのキャンペーンというか、
攻撃活動について取り上げた記事がありましたので、
それを紹介したいなと思ってるんですけども、
ダイヤモンドスリートって聞いて何かってすぐパッと思い浮かんだりしますかね。
攻撃者の名前が多すぎてわかんないね。
パッと聞いたらクリスマス商戦に合わせたアクセサリーの販売キャンペーンみたいな。
ブランド名とかでありそうだな。
そうそうそうそう。
ダイヤモンドスリートの輝きみたいなね。
わかります。
マイクロソフト最近というかちょっと前にスレッドアクターの名前の付け方を変えて、
スリートでいいんですかね。スリートはミゾレっていう、日本語でミゾレっていう意味なんですけど、
そのミゾレっていうのが付くのが国家が背景にいるグループに由来するものに付けられるものの一つでして、
これが北朝鮮に由来するものではないかというところであるんですけど、
そもそも名前変わる前に何付けられていたかというとZincっていう、Z-I-N-Cと書いてあるZinc、
あるいはラビリンス処理マーという名前で呼ばれていたそういったグループではあるので、
結構前から活動しているグループではあったんですけども、
今回そのスレッドアクターが何をしていたかというところをマイクロソフトが報告した内容について、
これソフトウェアサプライチェーンの攻撃がありましたよというのを報告していてですね、
これサイバーリンクっていう会社が開発しているソフトが今回ターゲットというか、
それを経由して攻撃が行われていたんですけど、
サイバーリンクってご存知ですかね、多分有名というか、私なんかだとPowerDVDとか、
動画の編集とか再生とか、そういったソフトウェアの開発をしている台湾の企業なんですけども、
今回はサイバーリンクのアプリケーションがどうも改ざんをされてしまっていて、
そのインストーラーが何もせずに事故するとですね、
インストーラーからまた別のマルウェアが落ちてくるというものであってですね、
これ結構、実際に被害に遭われる側からするとどうやって防ぐのみたいな、そのレベルの攻撃ではあって、
さらに言うと、改ざんされたアプリケーションがどうもサイバーリンクの正規の証明書で署名をされていたというもので、
これすでに発見したマイクロソフト側はブラックリストなどに登録を進んでいるという話ではあるんですけども、
その当時は有効な証明書が使われていたと、
加えてですね、またサイバーリンクの正規のアップデートの基盤というか、サーバーから配布されていたと。
じゃあこれ、前にも度々起きてるけど、正規のインフラがやられてたってこと?
おそらくはそれがやられてないとできないような、そういった手口だったなというところがあってですね。
ひょっとしたらビルドの環境とかなんかがやられてるんではないかなという可能性があるような。
今回気になるところの一つとして、マイクロソフトがこういったところに被害が及んでいる可能性がありますというのは具体的に名前を出しているんですけども、
台湾、カナダ、アメリカ、あと日本というのも名前に挙げていてですね、
複数の国で100台以上のデバイスに影響が及んでいたのではないかというところがあってですね。
なので日本も少なからず、具体的にどこかというのはちょっと分からないんですけども、
日本国内においてもマイクロソフトが把握したそういったものがあるというところではあるので、
台湾の火事というかそういったわけではなくて、実際に日本側も影響を受けている話と。
実際パーDVDとか動画編集のソフト、再生のソフトではあるので、
エンタープライズというか企業の中で使われているケースというのは結構限定的かもしれないんですけども、
言い換えれば個人用途のPCとかでそういった被害に遭われていたとすれば、
他にブラウザから情報が取られてどこかに漏れているなんていう可能性からまたそこから企業の中に入り込まれるなんていうのも過去に事例としてはあったので、
なのでこの辺はちょっと気にした方がいいのかなというところと、
あとちょっと作り込みとしてしっかりというか気にしてはいるのかなというところでは、
セキュリティ製品の検出を何とか逃れようとするためのそういった実装もダウンロードに組み込まれていて、
ファイアアイとかクラウドストライク、あとタニウムですね。
タニウムとそういったセキュリティソフトウェアが入っているというのが確認が取れた場合、
悪意のある行動というか改ざんして仕込んでいる行動というのは動かなくて、
本当に正規のアプリとしてのみ動作するというところがあるので、
この辺はちょっと気づきにくい作りがされているなというところではあるんですけど、
じゃあこれ、今回のダイヤモンドスリートが何を目的にやっていたのかというところについては、
これまだはっきりしたところというのは、マイクロソフト側もまだ把握というか確認はできていないようで、
これ今後また確認でき次第、公表されている記事などをアップロードする可能性はありますよというのが書いてはいるんですけども、
今のところ確認されている攻撃者側の行動としては、
よくあるような情報を取っていったりとか、あるいはラテラルムーブメントしたりとか、
あとはさっきも話ありましたけども、ビルド環境の侵害を狙ったりとか、
そういった行動というのは見られているそうなんですけども、
より具体的にどういった目的を持って今回の攻撃が行われているのかというところは、
今の段階ではまだ調査中だったのか記載がなかったので、また今後もしかしたらアップデートがあるかもしれないなというところであるんですが、
サイバーリンクのアプリケーションの改ざん
これ実際に被害に遭ったからだとか、さっきも言ったんですけども、
これしんどいというか、これ防ぐのは特に個人PCとかのレベルになってくると結構きついなというのが。
そうですよね。アプリケーションのインストーラーやられる系は本当に防ぎようがないし、
自動アップデートとかでもやってたらもうどうしようもないですよね。
そうなんですよね、本当に。
これはちょっと僕聞き漏らしたのかもしれないですけど、
これは正規のインストーラーっていうので、どの製品とかっていうのは書いてありました?
そこについては具体名書かれてなかったんですよね。
結構サイバーリンクって僕も使ってたことあるんですよ。
動画編集とかのやつで使ってたことがあるんですけど、
法人向けとかも一応出してるんですよね、ここ。
そうなんですね、それはすみませんでした。
ウェブ会議のシステムとか、セミナーの配信システムみたいなのがいくつか法人向けとして出してたりするんで、
どういう製品のインストーラーに含まれてたかなっていうのがちょっと気になったので聞いてみたんですけど。
これだからあれだよね、過去の似たようなソフトウェアサプライチェーンの事例でもそうだけど、
たびたびこの手のやつ起きるけど、最終ターゲットがちょっとどこか分かりにくいというか、
今回でもそこら辺はまだ記載がないっていう話だったけど、
さっきの日本も含めた100ぐらいのデバイスとか組織とかっていうのが、
これが仮に最初の感染の被害だとすると、
通常よくあるパターンだと最初は絞るわけにはいかないというか、
今どのアプリケーションを使ったか分からないけど、
動画編集のソフトとかそういったものだと仮に仮定して、
それを使っている人はもちろん狙っているんだろうけど、
その中の実はごく一部が本当の真のターゲットで、
よくあるパターンだと最初に感染して情報を取っていって、
そこで使っている組織とかを絞り込んで、
セカンドペイロードで真のターゲットに対してだけ、
ごく一部だけ本当の攻撃をするみたいな、
というパターンがよく典型的に見られる攻撃なので、
ひょっとしたらその次の段階についてはまだ伏せられているというか、
はっきりしていないのかもしれないから、
なるほど。
それ次第だよね。
そうですね。
被害の影響とサイバーリンクの対応
最近も3CXとか近いかなって感じがしますね。
確かに言われてみれば。
あれも本当かどうかわからないけど、
二重でサプライチェーンが起きて初めての事例じゃないか、
みたいなことが言われていたんだけど、
あれもまさにそういう感じだったよね。
あとその前のソーラービーンズだったりだとか、
過去にももっと昔にもいろいろそういうのってあったけど、
結局あれも最初の感染は、
割とその使っているアプリケーションがすごくメジャーなアプリケーションだと、
割と世界中で最初の被害は発生するんだけど、
その後の本当のターゲットはすごく一部ごく一部の少数だったみたいなケースがあるので、
今回のもね、北朝鮮という国家が関与するアクターだとすると、
無差別ではないか、
ないし北朝鮮だともしかしたら近戦目的という可能性もないわけじゃないので、
そのあたりがちょっとはっきりしないからわからないけど。
ちなみにサイバーリンク自身が何かこの件について情報を出しているかというと、
今のところちょっと私は確認できていなくて、
マイクロソフトは通知した後は言ってるんですけど、
今回の件に関して、
例えば被害に遭いましたとか注意してくださいとか、
そういった形でサイバーリンク自身が何かアナウンスをしていたりとかっていうのはちょっと確認ができていなくて、
実際、複数のセキュリティ関係のメディアなんかもサイバーリンクに取材はしてるっぽいんですけど、
テッククランチとかブリーピングコンピューターとかやってるんですけど、
コメント得られてないってみんな書かれてるので、
ちょっと、なのでそういう意味では続報がちょっと気になる事案かなっていう感じがしますね。
どこまで何を出すかとかってまだはっきりしてないのかな。
分かってるけどここまでにとどめたかってことですか。
もし仮に3CXの時もそうだったけど、
ビルド環境まで深く侵入されてたりとかすると、
結構対処が大変だし、
どこまでその状況を外部に報告するかっていうのは結構難しい話じゃない。
そこは企業によって方針が分かれるところだから、
もうちゃんと対処しましたって一言言って終わりかもしれないし、
別に顧客情報が漏れたとかではなくて、
ビルド環境がやられて、顧客には当然悪影響があったわけだから、
顧客に対して何らかのメッセージは多分出すと思うけど、
そうですね、出して欲しいですね。
でもそこに対して詳しく自分たちの侵害状況をそこに書くかどうかはちょっと分かれるよね。
そうですね。
えー、なんだろうね。
どういう経路でそこがやられたのかも知りたいし、
ちょっと詳しく知りたいけどね。
今のところこの辺を見ておいたらいいのかなと思うのは、
企業向けみたいなところで利用している、
企業向けの動画配信のサイト
こういった企業向けの動画配信を使っている大学の教育機関とか、
企業とかの名前がいくつか挙がってるんですよね。
その辺のサイトを見てたらもしかしたら何か出てくるかもしれないですね。
あー、なるほど。
いくつか技術系の工業系の大学っぽい名前のところが結構並んでるんですけど、
この辺なのかなとか気になって見てたんですけどね。
何か出ればいいですけれども。
そうですね。
だから侵害元と、
この影響を受けて被害を受けた顧客側にどのくらいの影響が出ているのかとか、
ちょっと全体像が分からないけど、
あと最終的な、本当の真の目的は何だったのかとかもよく分からないし。
なんかでも結構起きるね、この防ぎにくいビルド環境をやられて、
正規の署名付きのインストローラーが配られたら正直立ち打ちが難しいから。
そうなんですよね。
ちょっとそれが直接影響しているか分からないんですけど、
本当にウイルストータルなんかで実際に改ざんされた事故ファイルを今の段階でスキャンかけても、
やっぱり半分ぐらいはウイルストータル上では抜けてしまっている結果が出るので。
ただあれだね、EDRをチェックして動きを止めるみたいな話があったけど、
この辺はやっぱり見つけるんだろうな、多分な。
動きで見つけちゃうんでしょうね。
これ分かんないけど、MSはDefenderか何かで見つけたのかね。
そうですね、確かに。
この名前で検出しますみたいなやつは上がってましたよね。
ひょっとしたらそこら辺から調べたのかもしれないけど、
おそらくね、前の3CXの時でもポッドキャストで触れたけどさ、
センチネルワンだか何だったか、EDRは検出したけどそれを誤検知と思っちゃったみたいな。
あった。
残念だったみたいな話をたしかしたと思うんだけど、
人間の方が誤検知と思い込んでましたみたいなね。
多分最近のEDR系の製品は、
正規の署名付けだろうが何だろうがその後の動きが怪しいから、
多分検知はすると思うんだけどね。
その辺を多分公益者が分かっていて、下調べをしているか何か分からないけど、
特定の製品が入っていたら避けようとしているというのは分かるよね。
そうですね、その現れかもしれないですね。
逆に言うとそういうのが入っていれば、ある程度防げる可能性はあるというか、
とは言ってもね、これ正規品だからまた誤検知でしょうって思ってもダメだけどね。
そういうリスクがあるんだよね、ソフトウェアサプライチェーンの場合にはさ。
人間の側がむしろ騙されるっていうかね。
それも厄介だよね。
そうですね。
ファイアーアイとクラウドストライクとタニウムが入っていると動きようらへんわけじゃないですか。
不正なプロセスみたいなものは動かずに正規のインストラクションが動くってことは、
その真の目的っていうふうに考えているターゲットにはこういうのが入ってないって分かってるんですかね。
いや、どうだろうか。
どうなんですかね。
どうです。
入ってたら入ってたでしょうがないって思っているのか、分かっててやっているのかどうなのかなと思ってね。
そこまで調べているのかな、どうなんだろうね。
技術系の工業系の大学の名前
分かんないけど、単に色々調べられたくないというか、発覚を避けるためのような気もするけど。
テンプレでこういうのが入っているって言うだけかもしれないですよね。
どっちか分かんないね。
特定の製品を選んでいるのかもしれないし、どうなんだろうね。
そうですね。謎は深まる一方ですけどね。
分かりました。ありがとうございます。続報があったらまた教えてください。
はい、ということで今日もセキュリティのお話を3つしてきたので、最後にお勧めのあれなんですけれども、
今日紹介するやつはですね、前に同じブランドというか同じメーカーのものは紹介しているんですけれども、
JSONマークのQuick Wipersというやつですね。
クイックワイプスでした。ごめんなさい。
あれ、前靴の手入れの何かだっけ?
そう、液体洗剤というか、靴をゴシゴシブラシでやるとめっちゃ綺麗になるっていう。
何か紹介したよね、確かね。
キャンパス時のやつとか本当に驚きの白さに。
違うメーカーですけどね、今のフレーズはね。
宣伝?何かの。
違う違う違う。案件じゃないですけど。
案件?これ。
案件っぽくなりましたね、急に。
この間、結構前か紹介したやつは液体のやつでブラシでゴシゴシ言うやつだったじゃないですか。
ちょうど冒頭の雑談でも言いましたけど、僕ら出張してたじゃないですか。
そんなところに持っていけないですよね、そんなゴシゴシするやつも一緒にとか。めんどくさいじゃないですか。
帰ってからやればいいやん。
そんなん言うたら身も蓋もないのよ。
出先でちょっと汚れてもうたなみたいなやつとかも気になる時あるでしょ?
分かりますよ、気持ちは。
それで例えばメガネ拭きみたいな感じで使い捨てのやつとかあるじゃないですか。
体拭いたりするような使い捨てのシートってあるでしょ、物を拭くようなね。
それのジェイソン・マークのスニーカー拭き拭き版ってやつのシートタイプのペーパークリーナーって言うんですかね、こういうのね。
これが結構ブツブツしてる表面があって汚れとかも結構綺麗に落とせるんですよ。
で、1枚ずつパックになって入って売ってるんで、それを出先でも気になった時には拭けるというので、僕今回出張にも持っててたんですよ。
そんなん気にせえへんっていう人にはもう無用の長物かもしれませんけれども。
でも出先で結構お気に入りの、別に靴以外にも使えると思うんですけどね。
そうそう、こういうのちょっと持っといたら安心というか。
あーこれ響いてへん感じやなこれ。
いやいや、しばしどこ使いたいかなーってそういう気持ちになるかなーって。
ついでに使ったんですか?今回の出張の時に使ったんですか?
もちろんもちろん。
結構取れましたよ、これ。
もちろん。
いやでも、あれなんだよね、僕そこまでこだわって手入れはしないけど、
でもやっぱり普段履いてるとその日一日の汚れっていうのがつくけど、あれやっぱりこまめに手入れした方が長文字するんだよね。
そうですね、ついた素材にもよると思うんですけど、色系とかだって沈着しちゃうと落ちにくくなったりするっていうのもあるから、
気になったらその時に拭くっていうのができればその方がいいかなっていう。
まあ確かにね、それは確かにそうなんだけど。
ん?
ん?
汚れたらまた新しいのを買えばいいじゃない?みたいなことを言うんですか?もしかして。
いやいやいや。
まあね、確かについさんはね、いいもの履いてらっしゃいますから。
いや、そんなことない。そんなことない。思い入れが強いだけですよ。
いやでも、いや確かにその、何?お気に入りのさ、そういうものを大事にしようっていう気持ちはとても大事かなと思いました。
いや、そこは素晴らしいと思います。
うん、なんかこういうの持ち歩いて。別にその、なんていうんですか、別にスニーカーだけとかじゃないですからね。何でもいけますからね。革靴とかでもいいんですよ。
確かに確かに。
そうそうそう。あとただスウェード生地とかヌバック生地みたいなやつあるじゃないですか。
うん。
ちょっとボソボソしてるというかね。毛があるようなやつとか。
あー、はいはい。
短めの。
うん。
それはちょっと傷める可能性があったり、変色する可能性があるので、それはちょっと違う手入れの仕方しないといけないかなっていう。
なるほど。その辺が難しいよね、やっぱね。
そうですね。
ブラシで汚れを落とす
素材とかものによってね、手入れの仕方が違うっていうのは当たり前だけどね。
そうそう。だから特にね、スニーカーとかでいろんな素材使うじゃないですか。
あー、そうか。
うん。なんでその、ここはキャンパスやけど、ここはヌバックとかあるんですよ。
あー。
そういう時大変。だからスウェードとかヌバックとかやっぱりもうなんかちょっとした汚れだったらもうほんと、ブラシでシャッシャッてするだけで汚れ落とすみたいなのが理想なんですよね。
なるほどねー。
うん。まあなのでちょっとこれ一個持ってたら結構なんか、なんていうんですか、精神安定的な。
なるほど。
これもすぐ拭いたったらええねみたいな。
なるほど。旅先で汚れても気持ちにゆとりがあるよね、それはね。
そうそうそうそう。だからなんかなんでもそうですけど、セミナーで喋るにしてもそうですし、なんかこういろんな人にね、報告、上司に報告するとかもそうですけど、やっぱなんでもね、準備8割なんですよ。
備えあればってやつでございます。
なんかいいこと言おうとしてる。
そうするとね、ほんとにね、一泊や二泊三泊ぐらいのね、ちょっとした出張でもどんどん荷物が増えていくんですよな。
ついさ、だいたい荷物多いもんなー。
そうなんですよー。
はい。
一泊の時でもごっついの持ってるですよ、いつも。
そう、いつもごっついやつだよね。
うーん。
そう、人一杯でかいやつ持ってる。
そうなんですよ、ドライヤーとかも入っとんのよ。
ドライヤーとかでしょ?こう、替えのスニーカーとかもなんちゃかも入ってるでしょ?
替えのスニーカーは持っていくこともあったけど、もう入らへん。
最近ほら、寒いんやん。寒くなってきたからさ。
寒いね。
荷物多なるでしょ、寒いと。服がごらつくなるじゃないですか。
かさばりますよね。
そう、Tシャツで済まへんから、もうそれは無理ですね、冬場は。
ああ、そうだな。
限界です。
一足に決めていかんとあかんみたいな感じになってます。
そうだよね。
だからこそ今回汚れたら嫌やなって思ったんで。
なるほど、なるほど。
うん、そうそう。非常に。
多分これ誰も買えへんと思うわ。
いやいや、分かんないよ。
いや、ね、同じようにね。
一人くらいそういうこだわりがある人いるかもしれない。
そうですね。もう、だからあれやわ。
今度あれ聞いてます、あれのステッカーくださいって言われたら、これも一緒にあげよ、一個。
これで靴拭いてくださいね、言うて。
そうそうそうそう。一個持っとこ、いつもこんな。余分に持っときますわ。
はい。
はい、ということで今日は歯切れの悪いあれでしたけれども、最後。なんか。
したことないよ。
ほんまですか?まあこういうのもあってもええかな、こういうのも素敵やん、ということでね。
はい。
はい、じゃあまた次回お楽しみでーす。バイバイ。
バイバーイ。
