00:00
スピーカー 1
みたらなんかどうも発端はここだったみたいなのが後になってわかるみたいなことは あるかもしれないけど
スピーカー 2
終えないケースが結構あったりとかね多分ね感染したタイミングで気づきにくいとかね そうですよねなんか今お前のアカウントから変なアクセスあったからお前の自宅のコンピューター
スピーカー 1
調べさせろっていうのもできんのかできひんのかいう問題もあるでしょうしね あー確かにそれはそうね
まあ契約次第かなと思いますけどねそれはその組織の会社によってはそこまでやらない とかもあるだろうしね
スピーカー 2
まあそもそもこういうものを知らなかったらそこにまで考えが及ばないケースもあるでしょうしね なんでだろうなーっていうのねなんか知らんけどやられたみたいな
スピーカー 1
確かに確かにどっかから漏れたんちゃうかなーで終わっちゃうっていうのも結構多そうだと 思いますけどねでもそうなっちゃうとますますそのね原因結局不明のままで
根本原因は結局対策されないままってなっちゃったら まあまたやられるよねきっとねそう
スピーカー 2
パスワード変えてもね結局また漏れ続けてそうなのそうなの元が元が立ってないからね そうなんですねでやられるしほんでそれは事例として表に出ないんで
スピーカー 1
うちも気をつけようともならんっていうのがやらしいところそうねなんかまあそういう意味で 改めてこの辺はちょっと注意
スピーカー 2
していくっていうかねみんなにも意識してもらっていく必要があるかもしれませんね そうですねはいちょっとあのこのレポートはなぜか
コピペができずに翻訳がしづらいので あの読む方はあのねあのなんですが ocr とかで文字起こしをしてですね
スピーカー 1
あれだった方がいいめちゃめちゃめんどくさがあったマジで窓キーそんな意味あるわけ なんかねほんとにほやめてほしい
スピーカー 2
pdf アップロードして翻訳する奴にかけたらかけてテキストで吐き出せずダメ元でダウンロード したら
点々しか書いてなかった的なはっはっはっは大変でしたけどもはいでも読む読む価値は あると思います非常に興味深い
はいいただければと思いますはいということで今日もセキュリティの話を3つして きたんで最後にお勧めのアレなんですけれども
スピーカー 3
はい今日はねあの おばあちゃんの知恵袋みたいな話でしょかなぁ
スピーカー 1
えっなんかこう こういうことすると便利ですよみたいな
まあだから言ったらアレスあのアレスあのプッチンプリンまでたら美味しいですよそう いう系の地形か
スピーカー 2
そう音楽とかものとかそうじゃなくてって話はいこれねたぶん皆さんはもしかしたら ご存知かもしれないです僕調べてみたら少し前に何かネットとかでも話題なさらしいんです
けど 全く知らなかったんですよでほんまにやってみたらマジやんけみたいになった
やつなんですけどあのピザ なんですかピザアーマーピザピッツァ
スピーカー 1
僕の知り合いは必ずピッツァって言ってたら食べ物のピザねそうそうピザの箱って 捨てる大変所箱
スピーカー 2
あーデリバリーとかのやつのってことそうそうそうそう あのちょっとね熱保つ系の熱あるじゃないですかあの
スピーカー 1
パカッて開けて食べてる時は皿みたいに使えますよね そんであいついつもあのゴミ袋突き破りよるんですよ
03:08
スピーカー 2
で潰すもまあまあなんかめんどくさいんですよねそれをめっちゃ簡単に捨てる方法がある っていう
お話なんですけどあの水で濡らすとくしゃくしゃなるんですよちっちゃく あーそうあのあのそれこそなんていうの野球ボールあるや
スピーカー 1
うんあれぐらいになん めちゃめちゃフニャフニャなんであそういう素材でできてんだあれ
スピーカー 2
そうそうそうなんですよ もともとあれは段ボールみたいなもんやけどダンボールでチェーンするとダメなんですよね油で
汚れてるんでまあまあそうね 燃えるゴミなんで
たまに何かちょっと切りちょっと綺麗にしてあの ゴミ捨て場にピザの箱捨てている人バンボールとして出て居るけどそれはほんまダメ
なんですよね 水で濡らしたらネックタイプくちゃくちゃーってなってほんまボールぐらいのサイズ
ぐらいのでちっちゃくなるん 最近知りました2002年ぐらい前に何かニュース
なんかニュース記事とかみたいな上がってましたけど 意外と知らん人おるんちゃうかな
スピーカー 1
それさああの俺ちょっと自分では全然そのピザのデリバリーと頼まないんでわかんないんだ けどが本番ですかはいいろんなあのチェーン店というかショップがあるじゃない
ピザ宅配のピザってさ どこもみんなそんな同じなの
スピーカー 1
大抵これでいけるみたいですねいろんな人にいろんな人が試してましたけどじゃあ どれも皆同じような素材でできてるんだ
スピーカー 2
そうそうそうだからねあのもしもしねそのなんかピザ屋さんててもらったか なんか地場の地場のピザ屋とかもあるじゃないですか地域限定って言えばいいですかね
あーからなチェーン店とかじゃなくてってことでそうそうそういう風なところの箱 はどうかはさすがに分かんないですけど
大抵のところはこれでいけるらしいんでいわゆる大手の宅配ピザのチェーン店となったら そうなんだ知らなかったそれ逆に逆にこれできへんかったらもう文句言うだはいい
どうやって捨てたらいいんやー言うて ピザ屋さんこそ知ってほしいですねそれだとねこういうことができるやつに変えて
スピーカー 1
欲しいみたい あれそれはそのもともとそういうことを想定してそう作られてるのかしらね
スピーカー 2
いやそうじゃないんじゃないですかそうなのかなぁ そんな普通そうやった書いてますよね
スピーカー 1
ね書きますよね書いてないと思うんでそれ逆にあの なんかマズいことはないのかな
スピーカー 2
水に濡らしてその丸めてないのいいんじゃないのか 特にもともと油に浸ってるもんですしね
どっち道リサイクルできないから燃えるゴミで捨てるしかないんだったら同じか そうそうそう一緒一緒一緒一緒
もともとは普通の可燃ゴミの同じ扱いですよね なるほどゴミ袋を突き破る心配なくなるとちゃんともちゃんと燃えるゴミで出せる
かさばりよるんですよほんまにあいつマジで あいつのせいで他のゴミが入れへんわなったりとかするから
スピーカー 1
なんか気軽に頼んでる食べ物を食べた後でなんでこんな俺 嫌な思いせなあかんねんっていつも思ってたんで邪魔やわーこいつみたいな生活の
06:05
スピーカー 3
知恵だねそうそうそう 釣りさんちょっとそれのシリーズであのコストコのコストコのあのクソでかい
入れ物の捨て方もちょっとあんのそれ知ってる方教えてほしい 知ってる方がお勧めしてくれってこと突き破るんで同じように
スピーカー 2
コストコの何が何箱箱はプラスチックですね プラスチックのやつが結構大きいんですよコストコのやつも
スピーカー 3
結構大きくてちょっとそのままね捨てるのもなかなか大変っていう プラスチックって一番扱いにくそうですよねそうねなんかね
単純に畳めないですし畳まれへんしもや燃やされへんしねプラチプラスチックなんかね ちょっとそのおばあちゃんの知恵じゃないんですけどなんかねあれば
逆に逆におすすめのリスナーからのおすすめのアレ後はうちはコストコの箱こうして ますみたいなそうですね
スピーカー 2
辻さんに調べていただいてもいいんですよ本当ですかそんなこともリサーチするっていう もし何かでコストコのヘビーユーザーの方とかいて私は僕はこうしてるみたいなが
あれば 逆に教えていただけて看護さんがいいって言ったらもうそれはもステッカーですよね
そうですねステッカープレゼントのやつですよね はいということでございます今週は以上でまた来週とかかなぁもしかしたら夏休みと
か撮っちゃうかもしれないけどじゃあ次回ばいばい ばいばーい
スピーカー 3
だだだー言うてね知ってますダーウィンが来た言うてねー だだだーってそのだそのだか
スピーカー 2
だだだけじゃわからないよほんまにだだよそうだって日本一有名なだだだやと思ってます そうなんですかはいダーウィンが来た
とりだめしてて 面白いですよねなんか興味あるやタイトルで興味低いようなやつから見たりとかするんですけど
なんか見るもん何もない時に最後の取り出みたいな感じでどういう位置づけよ 見てるんですけどねそれであの
あれって思ったことがあって 日本のその固有の固有種って言うんですかね日本にしかおらへんみたいな生き物っていくつか
いるじゃないですか あるねうんそれをねあのうさぎを紹介してたんですよ
はいでその紹介してたの名前がそのうさぎの名前が 日本のうさぎっていう
やつやったんですよ 固有名が日本のうさぎって名前なの
スピーカー 3
変な名前じゃない なんなんそれな1種類しかいないってことなんですかね
スピーカー 2
それのなんかそれの前回の話じゃないけどそれのアシュは国内に居るらしい もうマジで今週はアシュやめよアシュの話はやめよ
やめよやめよ 変な名前だと思いません日本のうさぎって
ちょっとねぇなんかねぇ であのよくよく見てたら日本のうさぎじゃなくて日本のうさぎやったんですよ
09:07
スピーカー 2
あそういうことか日本のうさぎ 日本の日本にいるのうさぎ
ていうので最初日本のうさぎって聞いたら日本の夏 緊張の夏みたいな感じじゃんけって思いながら見てたらどうも違うなのうさぎの話って
言い始めたぞと思って そういうことかそうそうでそれ以外のあのうさぎもその固有種というか
紹介されてて それはねあの黒黒うさぎなんですけどそいつの名前が
あまみの黒うさぎなんですよ脳の使い方がブレトンな名前にっていう そっちはのうさぎでないんだそうなんですよあまみのあまみにいる黒うさぎはあまあまみの黒うさぎ
なんですけど それだったら前のやつこっちに合わせになったら日本ののうさぎにせいやって思いながら
なんか学名みたいな声をつけるときってそういうなんか揺らぎみたいなやつ 考えへんのかなぁと思ってね
ねうん しょうもない何のポッドキャストでしょ
いやーいいね今日も絶好調だね ようあるからねこういうことねいやだからそれはそうとね
はいちょっと話変わりますけれども出ましたよとうと何が いやー確率って怖いもんですなぁということで
はい コンプリートが出たんですよ
スペッカー大大大大大大大 ん
スピーカー 1
どうなんじゃだからあの c クレットねこの収録 号に送ろうかなーとやっで同5種類だっけ
スピーカー 2
そうですね5種類であの上のセキュリティのアレのロゴと名乗りますのやつは共通で その下にあるおまけのロゴみたいなパロディーロゴみたいなやつが異なってるって
スピーカー 1
いう感じででもさあ毎回5種類ランダムに出てくるんでしょ それでコンプリートってさあ取り上げられた回数も多いんだろうけど確率的にもすごいね
そうするだって5分の1がですからね一つそれがかけ掛け算ですからね いや引き強いなぁと思ってねね遊えないあの連絡があったの
スピーカー 2
そうコンプリートしましたってコンプリートしましたねー いやーすごい嫁とございございこれでシークレットが初シークレット
スピーカー 1
ブーブーあれシークレット俺らも見てなくない あれ見せたと思うよ画像あのセミナーの収録の時にあそっかあの
スピーカー 2
すごくのスマホで見せますああそうかそうかなんかそうかそうかそうそう 本米これであのプレゼントをしたらあのシークレットもらいましたって画像を上げられて
スピーカー 1
シークレットでもなんでもなくなるみたいな 確かにそれはシークレットでしょってほしいね
それはシークレットにしておくぜっ張るのはね全然いいとまあまあ確かに確かに 全公開はちょっと避けて欲しいかなってとこはありますねすごいレアだねおめでとう
12:06
スピーカー 2
ございます
スピーカー 1
送っておきますということでねはい っていうことでお便りが来ておりましてですねはいお願いします
スピーカー 2
今週のセキュリティーのあれ1時間5分47秒からのおすすめのアレを聞いてたら フレーバー違いのことを足呼ばわりしていて吹いた
足って言うな足ってって思いながら url をコピーしようとページ開いたらめっちゃ足 連行してってタイトルでまた吹いたっていうね
スピーカー 1
タイトルゲーうまいこと言ってるやんって思いながら いやー本当にね先週はあれでも始めるときはまさかねそういう展開になると予想もして
スピーカー 2
なかったけどねそうですよね サンゴぐらいレンチの前仕込みでもなんでもだよね全然そう
本当に本当にタイトルは後からつけてるっていうのはねもう丸わかりですけどね ありがたいですねこういうのはタイトルいじっていただけるとね
タイトル考えたかやるなって言う確かに確かに感じはしますねはい あと前回の聞き方の話を少し取り上げたかな
思うんですけどお便りでああなんか間が空いたらどうしようみたいな話ねそうそうそうそうね あのまあこのお便りいただいた方もセキュリティーのあれは確かに最新回から聞くのが
おすすめかもとこの方は150回ぐらいから聞き始めたらしくて 最新はから遡っていったけど毎週旬の話が聞けるし過去の事例も振り返る
スピーカー 1
ということで二重の楽しさがあったなぁというふうに振り返っていただいてましたね いいですねですね
まあ最新回聞いて後は聞ける範囲でゆっくりみたいな感じでがやっぱり一番楽なのかな と思いましたねあとほら時々さあ過去の回をちょっと振り返って言うとか
これ前に紹介しましたけどみたいな話が出てきたそういうタイミングで過去のも聞いて みるとかね
スピーカー 2
あそうですねその関連性とかで検索してもらったりとかするとねいいかもしれないですね 多分小ノートとかあの辻コメが引っかかるかなと思うんで
検索していただいてもいいんじゃないかなと思うねはいえーっとね最後のお便り なんですけれどもこれはのステッカーを先も言ってましたけどステッカーの印刷
コードをプレゼントしてるじゃないですか あとはまあリアルに合うことがあった方にはね僕がステッカーを持てた差し上げるみたいな
スピーカー 1
ことをしているわけなんですけれども まずステッカーの効果が出たなというか効果を何かゴリ役があるのあれ
なんかそういうなんかその不正アクセスから守ってくれるとかそうそういうのがそうそう すげーすげーなぁ初やったおかげで総理違いとか違う言ってるやろ
そんなもう神田明治みたいなやつちゃうんですよ いやそういうそういう夢も持たせてくれ
スピーカー 2
あそういうサーバーに貼ったらなんかスキャン減りましたみたいなゴリ役 いいかもしれないですよねではいでねあの
そうこれはお客様先に行こうなんか提案なのか何なのかちょっと詳細書いてなかったんです けど
15:01
スピーカー 2
うん今日あのでもそのお客さん先にしに行ったみたいなお話が書かれてあってですね おーはいはい便座の人が中なのかなそうですねその方とお客様1お客様にっていうのがこの会話
形式ちょっとファットツイートに書かれたったんですけどね 方で多分ステッカーを貼ってらしたんだと思うんですけど pc とかに
それでお客様市があアレ勢ですねみたいな 感じでそのツイートされた方が私って書いてあったんですがはい
というと何何さんもですかみたいなうん でお客様市がはいアレ勢です毎週聞いてます
でお客様に私も毎週聞いてますお客様市があれ面白いですよねみたいな感じの話で盛り 上がってですね
スピーカー 3
その後デモのデモのために用意した時間の半分をアレの話でもありましたっていう それはどうなんだそれは大丈夫ですかねちょっと心配になりますけど
スピーカー 2
なんかこう提案とかでもとかももちろん大事だとは思うんですけどこうやってほら なんていうの結局人間同士じゃないですか
スピーカー 1
なんでこうやっぱ共通の音ことがあったりした方がいいんじゃないか間違いなくでもうまく いったんじゃない
確かにそうだと思うあそういう意味ではやっぱりやるんがあるんですね 貼っとくとねでもなんか嬉しいねステッカーから広がるはっていうかさ
そうそうなんかじゃああれかことあるんですねめざとくそのステッカー貼ってあるのに パッと気づいたんだねきっとね
スピーカー 2
そうですね だからそのこれステッカー貼ってなかったらわざわざいきなりねお客様先でこうでもしている時に
スピーカー 1
セキュリティのあれってありましたねみたいな話はしないじゃないですか 普通いきなり僕らだったらさあ僕らに対して
スピーカー 2
その聞いている人たちが聞いてますよって話しかけるってのはまあこれはあるじゃん あーそうですね僕もあの本当の普通のお客様先に営業と一緒に行った時に言われたりすること
スピーカー 1
ありますねそうそう僕も結構こうなんか公園行ったりこう なんかいろいろな会合とか言ってさ初めての人に会った時にまあまあの確率で聞いて
ますよって声かけてもらうってことがあるんで まあそれはね僕らが喋ってるってのはわかってるから言ってくれてる
そうまあそうですねだけどあれ勢同士って何か何かきっかけがないとわかんないもんね いやー嬉しいねこういうのね
ステッカーがあってなおかつねその出先に持っていくものに貼ってくださってたって いうのがあったからこそがなっていうね
スピーカー 2
いやー嬉しいのなんかこうステッカーってねありがとうございましたとかここに貼りました みたいなものとかねまあそれももちろん嬉しいんですけどこういう効果でがあったっていう
スピーカー 1
のを聞けるのもなんか良かったなって思いますよね いやー本当にこういうお便りね嬉しいですね
そうそうそうやっててよかったって感じはしますよね いやーご利益あったなぁ
スピーカー 2
うんですね ということで今日もセキュリティーのお話をしていこうかなと思っているんですけれども
スピーカー 3
じゃあ今日はそうせ看護さんから行きますかねはい私からはい 私あの
ちょっと前の話なんですけどはいはいはいあのふとですねあの 6月の15日かなあのマンディアントが分析された記事出しておられたあの
18:10
スピーカー 3
タイトルままで言うと中国との関連が疑われる攻撃的かつ高度なスキルを持つ 攻撃者がバラクーダ esg のゼロで脆弱性を悪用っていうのをちょっと今日
スピーカー 1
なんかちょっと唐突感がねまあ若干あるんですけどちょっと今日取り上げたいなと思っ てですねそういうこともありますよなかなかいいタイミングですね
スピーカー 3
タイミング良かったですかね僕も気になってたとこですからですよね まあ概要としてはあのもうタイトルに書いてある通りそのバラクーダー
esc イメールセキュリティゲートですねそちらのアプライアンス製品においてゼロで 脆弱性を悪用する活動が確認されましたっていうまあそういう内容なんですけど
脆弱性が結構ですねあのえげつないって言うたりなんですけども結構やばい奴で あのまあリモートからコマンド実行ができるよっていう
まあそういったもので で発見した確認したのはまあまさやのベンダーであるバラクーダー
なんですけどあの確認したのが5月19日にあの確認をして でその毎翌日翌翌日ぐらいにはあの世界中のアプライアン製品に対してあのパッチを
リリースしたと その時点で見れば非常に動きとして早かったんですけどこれあの
非常にですね攻撃者がしつこいというかまあ攻撃者も結構その辺の動きをしっかり見て いたのかあのそのパッチをまあ
バイパスするというか無効化するような動きっていうのも見せるということで 6月6日にまあバラクーダー自身はあのアプライアンスの機器交換もあのしてくれという形で
まあ結構なので使っている人からすると大事というかあの大変な 実際に対応された方は大変だったんではないかなというものなんですけど
マンディアント自身が分析したところによればこれあの5月よりももっと前ですね 2022年の10月10日頃から現地時間ですけどもそれぐらいから
あの少なくともマンディアントは攻撃の悪用が認められたということを まあその記事中では書いておられて
であの既読分析っていうのもやってはおられるんですけれども 彼らが付与したあのアクターの名前としては unc 4841
ということでまぁの他の過去の基地のアクターっていうんですかねあのそことの関連 っていうのはちょっとまだ見えてこないっていうところであるんですが
使用されているマルウェアであったりとか あと
まあやっぱり中国系のアクターがよく取る手口でやっぱりこういったのゲートウェイとか あのネットワークアプライアンスとかの脆弱性とかを悪用してそこに入り込む手口であるとか
っていうのはやはりよく見られるところで中国関与の脅威アクターではないかという ところを分析しておられてちょっとドキッとするのがその脆弱性を悪用して
21:05
スピーカー 3
どういったところに被害が及んでいたかっていうところなんですけど ワンディオン党が把握している範囲では少なくとも16カ国の多数の官民の組織で被害が見られたと
で3分の1は約3分の1は政府機関と見られるという話であってですね なのでまぁ結構被害というか影響を受けた組織っていうのが結構多かったんではないかな
というところで 手口としてはそのリモートコードのリモートコマンドの実行ということでどういうふうにやってたか
というと あのどうもバラクーダのその ESG の製品内において受信したメールに対してファイルのスクリーニングという処理が
まあ当然走るというところなんですけど まあそのスクリーニング処理の中において
一部ユーザー制御が可能な入力が可能なそういった部分というのがあってですね なのでそこをつかれて
ESG の権限においてリモートコードの実行が可能になってしまうというもので で実際攻撃者自身はターファイルですねあの圧縮ファイルを送って
リバーシルをまあ ESG 上で実行させるっていう手口を行っていたらしいので まあなので実際にまあそういった
再考された添付ファイルが付いたメールっていうのが実際被害に遭われていたところには届いて いるというところなのでまあなので
公表とかねされておられるところにおいてはもしかしたらあのそういったメールっていう のが確認されたのかなというふうには思うんですけども
なんですかねこの ESG 上でリバーシル獲得して何をしていたかっていうと どうも情報を摂取する活動が主ではないかというところでちょっとドキッとするのは
メールデータを盗むという活動も確認されていてですね 盗んだメールデータをESG上でアーカイブして外部に送ると
自分あの彼らの攻撃場に対して送るという活動であったり あと一部のケースにおいては台湾とか何ですかね台湾とか香港とか
まああのおそらく協力ターが主としてあの興味を持っているんじゃないかと見られる ところにおいては特定の名前とか組織名に対してまああの情報収集をするという
標的型の情報収集活動なんていうそういった行為も見られたというところで で実際これあのバラクーダ自身もたびたび
セキュリティ情報のアップデートっていうのは行っているんですけど 未だに最新の情報どんどんどんどん追加されていて一番新しいものだと7月の
28日に出ているんですけども追加でアメリカンシーザーが あのマルウェアの行動分析しましたなんていうのも先ほどのそのセキュリティな
24:04
スピーカー 3
アドバイザー以上で書かれているんですけど調査まだ進行中ですって書いてあるんですよ ねなので
まだもしかしたらあの分かってないところとか調べているところとかっていうのが出てきたり するとまあよろしくないなっていうのは思いつつ
これねもし日本でねやっぱり使っている方がおられればまあ影響を受けている可能性 って否定できないのであのこの辺あの当然ねあの先ほどの
バラクーダのね韓国というか推奨に従えば9月6日 まあそれに近いタイミングではしかるべき対応とられているんだろうとは思うんですけども
まああの交換して終わりではなく実際に影響を受けたかどうかっていう点も含めて やっぱり調べる必要が当然ある
まあそういった事例なんだろうなっていうのははいあの まあ改めてねあのちょっと今回見させていただいて思ったところというところですかね
スピーカー 2
はい なんかの添付ファイルを送るだけでっていう通すだけでっていうのは結構極悪な感じや
本当ですよねー それとあとなんかこれ先でカゴさんも現在進行中でって言ってましたけどこれリリースが
リリースがその注意喚起が韓国みたいなのが出た後とかも結構ない あの
スピーカー 1
ガラッと変えてくるとか交換しないといけませんとかね 交換ってなかなかないんですよねこれ交換ては本当に交換なんですよねちょっと珍しいよねこれね
スピーカー 2
ねえあまりいないですよねこれなんか製品で何か音プレというかそのなって言うんですかね アプライアンスだけが影響を受ける
スピーカー 3
あそうですサースはねあの影響は受けないって話でしたけどまぁ自分たちで直してるから だと思うんですけど当然そうでしょうね
スピーカー 2
だからアプライアンスの場合は交換なんですね攻撃をされたっていうのが1個あればもう 交換になるっていう
のがちょっとがえってまあなんかな戻せないところが何かあるのかもしれないです けどねはい
じゃあそこ俺は結構なんかやばやばいやばいなそんなことあんねやっていうのがすごい 印象的ではありましたけどね
スピーカー 1
あとさあこれあれだよねそのまあマンディアントの調査によりもまぁ昨年からこういう 起動も行われてたようだっていう話だからまぁ
いわゆるゼロデイで ベンダー側がこの贅沢性を把握してその修正をする前から攻撃されてたわけじゃない
これまぁ攻撃者側はこういうそのアプライアンス製品とか まあどうやってやったらかわかんね自分たちでも7カ所と優秀してさ
定点的に調べたのかなのかわかんないけど まだかそういうののゼロデイをねちょっと見つけて悪用するだけの
まあそういうスキルというか技術というかそうですねそういうものを持っているっていう のもちょっと脅威だし
あとこれそのまあなんかその最近もさあ vpn 製品だったりとか あとまあ他にはまず今先週もねあの
epmm ってイバンティーのさあそうそうそうまさにねはい セキュリティ関連の製品とか
27:02
スピーカー 1
まあなんかそのセキュリティの向上を目的に入れたんだけども結果的にそこが狙われて しまうっていうちょっと皮肉にな結果にねなっちゃうことが
多いなというかちょっと目立つなっていうのと あとこれその今回の esg もさ
スピーカー 3
インターネット上に置かざるを得ないしオープンにせざるを得ない じゃない制限できないっていうメールをね受け取るものですからね攻撃者で
スピーカー 1
か誰もがリーチできないとダメなもんですからね いやだからさあその例えばほらこの間あの話した
おついさんが話したんだっけ管理インターフェースみたいなものは例えば アクセス制御をしましょうとかね
スピーカー 2
はいアメリカ政府もその外部から直接アクセスできないように見たらルールを変更した とかなかあったじゃない
スピーカー 1
なんかさあいわゆるそのああいうような体が使えないというか そうですね基本的にその裸でっていうのはいいだけどそのさらさざるを得ない状況で
スピーカー 2
でもまあその脆弱性が全くないっていうことはどんな製品でも保証できないからさ 確かに確かに
スピーカー 1
だこういうケースってらまあそういう意味では起こり得るといえば起こり得るって いうこと
なんかねあらかじめ想定しておかないといけないっていうのはちょっと厳しいなぁという ですよね
これはねー どうしようもなくできなくない
まあ僕はお願いし攻撃の所定で何とかするっていうのはもう無理ですよね だから極端なことを言えばね例えばその
スピーカー 2
本当に取得性の高いメールはもう全部エンドツーエンドで暗号化しなさいとかさ 見られたら困るような
スピーカー 1
とかそのまあもうメールはやめていついいで使える メッセージサービスだけを使ってやり取りしなさいとか例えばね
極端なことを言えばそうやることで外部との通信経路を取得するっていうことは可能は 可能だけど
そうですでもそしたらその外部の普通の人と連絡手段がすごく制限されちゃうことになる ので
まあその例えば政府機関だろうがその民間だろうがなかなかそういう対策が取りにくい し
スピーカー 2
かといってじゃあメールにそのさあ当たり障りのないことしか書くなっていうのもまあそれも ちょっと無茶な話で難しい話ですよね
スピーカー 1
なんかその辺でバランス考えたらいやこれはちょっと 対応が非常に悩ましいなぁっていう
スピーカー 3
よく狙ったなっていうのは改めてね思います逆に言うとそういう守りにくいところを 狙ってるのかなとも言えるしね
スピーカー 1
そういうのはちょっと怖いよねなんかまあなんかそういうところをあえてその攻撃 側が高いスキルのある人たちがそういうところを何か狙ってきてるんだとすると
ちょっとそれはそれでそういうさっき言った想定っていうのが 比較的高高い確率で起こるかもっていう風にちょっと考えとかないと
スピーカー 2
ダメなのかなぁとかねぇ 前僕が紹介する多分あの bod-2302の話
やったと思うんですけどそうまあ管理インターフェースとかってなったらあれはもう まず最低限これはやってくださいよみたいなもんじゃないかなと思うんですよね
30:05
スピーカー 2
私はあれはほら管理インターフェースが別にね全員からアクセスできる必要がないからね 必要がないからそういう中うっかりみたいなものとかを減らしましょうねっていうのでまぁできるだけ
こう まあ一旦しっかりしてそれを管理しておけば自分たちがこの攻撃できるポイント減らせ
ますよねの話だと思うんですよねそうですねそうそうでもこういうのになってくると だから同期付けたらええからその外との通信とかでやっぱり監視なあかんよねみたいな話になって
くるのかなぐらいしかなくてそうだねー でこういう外に公開せざるを得ないものってはこういうまあメールとかメールのゲート
a とかもそうですし今までた vpn とかもいろいろありましたけど そういった製品はもうこういう前提で多分その攻撃する側もまあおそらく
スピーカー 3
買って調べるぐらいのことをしてるんやろうと いやーしてそうですよねほんとにパッチ対応の動きとか見てるとそうそうそうそう
スピーカー 2
普通にサポートを受けてるんじゃないかなって思うんですよね だからまあそういう本っていうのも
スピーカー 1
一段上げて監視を強化するとかそういうふうにしていくしかないのかなあっていうのは 思いましたねあとまぁ今回のはその脆弱性のその
悪用のされ方的にそのまあメールの中身も読めてしまうようなことに結果的になっ ちゃったけど
あと一つはそのこういうアプライアンスとかその外部にさらされるようなリスクの高い製品 は仮に外から攻撃を受けたとしても影響範囲がこうすごく狭めることができるよう
な ハードウェアソフトウェア的にねもうガチガチにハードリングされているようなとか攻撃が非常に
そのできなくはないけど 攻撃の可能性が非常に低くなるような対策を例えば os とかその
ソフトウェアレベルできちんとやっとくとかさまあなんかちょっとコスト上がるけども なんかそういうことぐらいでしかまあちょっとなんか難しいのかなっていう
確かにねネットワーク的にも最小限にしてまあそういう意味で炎症を防ぐみたいなね そうそうそうことですよねなんかそういう緩和策を考えるしかないかなっていう感じはあるけどね
スピーカー 2
いや悩ましいねこれはいやー嫌らしいなぁというか久々にこういうの見たら結構他と違う 脆弱性メールが通ったら地獄行きみたいなねはい
で交換みたいな インパクトあるなぁって思いましたね
スピーカー 1
ね危機交換ってさあただでさえそう大変なのにそのほらスピード感的にちょっと難しいよね そうですねしかもゼロででしょ
スピーカー 2
しかも一番初めのその注意喚起みたいなやつって危機交換入ってなかったんですよね最初 ね確かね
スピーカー 1
最初はねはい最初はパッチーを流しましたっていうあだからそれもさあその前にねここで いい人も喋ったかもしれないけどその脆弱性の状況って
国一国と変わっていくのを例えばそのね最初パッチが出たタイミングで当てたから大丈夫って もし思い込んじゃったとしたらさ
その後やられてるかもしれないもんねそうそうそうそう本当にそうですよねそういう状況 ちゃんと監視しておかなきゃっていうのもなんかこれ見て思ったよね
33:07
スピーカー 2
いやー何なんかどんどんどんどんですね何が感じなんか いやなんかもどないしたらええねみたいなやつがどんどんやな
スピーカー 1
いやでもねそうそうあの以前よりもだいぶそういう意味でその攻撃の難易度は多分上がっ てるんだけど
その分こうやられてしまった時のその防御側の対応が難しい ケースっていうのが増えてきてる感じはするんだよねどうしようかなっていうそうなんだよね
攻撃側がコードになっているに合わせて防御がやっぱりコードになっていかないといけ ないのかなっていう
スピーカー 2
感覚だよね いくつか何か緩和策はいろんな考え方ができるのかなという意味で言うとこのレポートを全部
読んで打ち合った交渉かみたいな うーん
そうねそのファイル共有サービス使ってたっていうのがあるからそういうのって打ち ブロックしてたっけとかさ
それが完璧な策ではないけどねうん そういうふうなものでなんか一発目にそこをやってくれれば
ブロックしたってログがあるから気づけるきっかけになるかもしれないんじゃないか とかねそういう見方もするのもいいんじゃないかなと思いましたねこれは
スピーカー 1
はいありがとうございますはいじゃあ次は姉さん言いますかね ほい
じゃあ私今週はですねこれもちょっと先週出たレポートなんだけど まあ今はちょっと名前でてくれアメリカの試合生シザーがリスク&バルネラビリティ
アセスメントっていうのをまあ毎年 2019年からやってるんだけどまあその2022年版のレポートっていうのがちょっと先週出たので
スピーカー 1
その内容を紹介したいんですけどこのねまあの聞いたことない人もいるかもしれない 簡単にこのリスク&バルネラビリティアセスメントっていう
rva って省略して呼ぶらしいんだけど何かっていうと えっとまあ2019年から毎年そのアメリカの連邦政府機関とか
あと重要インフラの事業者とか地方自治体とかまあいくつかのその セクターが決められているんだけどもその重要インフラのセクターに対して
まあアセスメントをしますと毎年毎年ね でまあその結果をアセスメント受けた組織に対して報告をして改善してくださいねって
いうことは毎年やってるんだけど その一個一個の報告書の内容はもちろん公開をされてないんだけど
全体を通して1年間でまぁどういう傾向があったかっていうのを毎年取りまとめて いるのね
でまぁその結果をもとに最終的にその毎ターのアタックのフレームワークがここでも 何回か紹介したと思うんだけど
あのフレームワークのそのタクティックすごとにどういうテクニックが実際にその診断 で有効だったかっていうのを分析をしてレポートとしてまとめてくれているというまあそういう
感じなんですね はいでえっとこの rva って具体的に何やってるかっていうとちょっと今年のレポートの中には
あの省略書で書いてねんだけども 去年までレポートに具体的にその6つの方法でテストしてますって書いてあって
36:05
スピーカー 1
で何かっていうとまず一つ目がネットワークペネトレーションテスト よくあるやつですね
それから2番目がウェブアプリケーションのテスト それか3番目がソーシャルエンジニアリングのテスト
スピーカー 2
こんなのやってんだねそれから4番目がワイヤレスのテスト それから5番目がサーバーとデータベースの設定のレビュー
これはあのまあいわゆるオンサイトとかの診断とかで行ったりとかするからあの 設定値の確認とかってやつですね
スピーカー 1
で最後6番目がその防御する側の組織の攻撃の検知と対応の能力の評価ということで まあこれはなんだろうなまあよくそのレッドチームブルーチューミン
エーシュなんかでやるような感じがあるけども 実際に攻撃を受けた時どれくらいのスピードで検知できますかとか対応できますか
というのはまあ何らかの方で評価していると この6つのなんか方法でアセスメントってのをやってるらしいのね
で今そのCISAの専門のアセスメントのチームが毎年毎年やってると でこれちょっと最初の年の数が書いてなかったら分からなかったんだけど
2020年は1年間で37回やっていると まあだからおそらく37組織ってことだと思うんだけど
2021年がちょっと数が増えて112回 で去年その2022年が121回テストしていて
で今回そろそろ紹介するレポートはその121回1年間であった rva 全体でどういう傾向だったかというのをまとめていますと
まあこういう感じですね でレポートさっきも言ったけどそのアタックのフレームワークで全体で紹介しているちょっと長いので
今日はその中の一番最初のイニシャルアクセスのとこだけをちょっと紹介しようかなと思うん だけども
なのでこのイニシャルアクセスっていうその初期侵入のフェーズ タクティックスですねタクティックスの中でこの121回のアセスメントの中でどういう診断の中で
どういう攻撃手法が有効だったかと攻撃がの視点で見てね というのをレポートにまとめてくれてるんだけどもちょっとこれ面白くって
まあ過去で4年間のうちその2019年と20年の最初の2年間と後半の2年間ちょっと傾向が 変わってて
最初の2年間はその数がちょっとね回数がさっき言ったけど 2020年は37回てちょっと少なかったんで数がここで一気にガッと3倍
かに増えているんでその影響がもしかしたらあるかもしれないんだけどその最初の2 年間は
攻撃に成功その侵入イニシャルアクセスだからその初期侵入に成功した回数のうち どのテクニックが一番多かったかと
どれが一番そのテクニックとして有効だったかということなんだけど これは実はフィッシングスピアフィッシングリンクが最も数が多くて約半数で
39:00
スピーカー 1
このスピアフィッシングリンクで成功してるって風に出てるのね なんでまぁそのいわゆるそのメールの中に今不正なリングが貼ってあってそれを
クリックするとままの部屋をダウンロードして完成しちゃいますみたいなやつがいわゆる スピアフィッシングリンクっていうテクニックに該当するんだけども
これが最も成功率が高かったと人のアクションが必要なやつってことですね なんだけど2021年と2022年はちょっとこの傾向が変わって
最も有効だったテクニックの一番はバリットアカウントに変わったんだよね なのでまぁいわゆるそのもともと登録されている有効なアカウントを使った初期
侵入というのが 2021年は全体の51%それから去年の2022年は全体のうち54%でこのバリット
アカウントっていうテクニックを使った攻撃が成功しましたと言っていて これが1位なんだよね
なんで俺ちょっとなんか傾向変わったなっていう感じで でこれ具体的にバリットアカウントってまぁあのアタックのフレームワーク見ていただくといろいろ書いて
あるんだけども実際にこのアセスメントでは例えば退職者のアカウントがそのまま 有効になっていてこれが授与できましたとか
あとはまあシステムにもともと入っているデフォートの管理者カードがそのまま有効で でまぁデフォートのパスワードがそのまま使えましたとか
まあいわゆるこういうやつで初期侵入できるような状態だった組織が半分ぐらい あったと
まあこういうことなんだよね でまぁさっきまでその1位だった前の年まで1位だったスピアフィッシングリンクは2021年から
2番目になっていてまぁそれでも結構高くて 21年が36%去年が33%なのでまあまあそれでもやっぱりかなりの成功率
ですということででこの上位2つでバリッドアカウントとスピアフィッシングリンク この2つでほぼ全体の8割から9割
を占めていると いうことでまぁこの2つが最もまあ広域側の視点で見た時に今回のその診断対象
トラッシュ組織に対しては有効なテクニックと言えますねと まあいうことなんだよねであとはねまあ細かいやつで言うと
スピアフィッシングのアタッチメントまあだから添付ファイルにそのまま丸いがついて くるようなケースとか
あとまぁちょっとあの気になるところで言うと エクスターナルリモートサービスリーズ
いわゆる rdp とか vpn とかその外部に効果されているリモートサービスを使って 侵入してくるというケースまでもこの辺のその
3以降はねいずれも1%か2%とかちっちゃくなるんで ちょっと上位2つのテクニックが突出して多いなぁという感じなんだよね
でこれはその対象がねその今回の方の rva の対象になったところだけで具体的にどこが 対象になったかちょっと書いてないんで
まあ連邦政府機関のどこがの象徴かまあ14インフラの事業者がどこかっていうぐらい しかわからないんだけど
42:06
スピーカー 1
まあでもそういうところでもうというかそういうところだからというべきかわかん ないけど
そのまあいわゆる正規のアカウントを使った侵入ってばなんかさ 行ってみればまあありきたりなというかそうですね今更感のすごくあるような
侵入方法をテクニックがまあ実は最も今でも有効ですっていうかまあ今だからこそ 有効ですというべきかもしれないけど
ちょっとこれは注意した方がいいんじゃないかなと思ったのと あとさあその最近でも国内でも結構あるし実際の侵入の事例でもさ
その事前に vpn から認証情報が取られていって それが使われましたとか
あとこないだもクラウドサービスでさあその 実際の利用者のアカウントが何らかの方法で取られていて
なりすましてクラウドサービスに侵入されましたみたいな事例とか 結構そのいわゆるこのテクニックいうところのバリッドアカウントに該当するような実際の侵入
事例っていうのは結構目にするなぁと思ってて ああそうですねなんかそういうのもちょっと記憶にあるから
なんかそういう目でこのレポートを見るとやっぱりそうなのかっていう気にちょっと なるのと
やっぱりっていうかでも これ直ってないんだというか
スピーカー 2
結局なんかこういう当たり前の手法というのが今でも有効に使えちゃうっていうのは ちょっとこれは僕らも考えなさいといけないなっていうかさ
スピーカー 1
やられ続けているのってどうやねんとそうなんだよねなんかこれはあの ついつい何か初期侵入でその脆弱性をとてもさっきのねゼロデーの出てくせみたいな
まああれは本当に対処が難しいやつだと思うけど いやでもその全体の中の割合的に見るともっと全然簡単な方法が使われてますよって
スピーカー 2
ことじゃ要するにね 結局足元救われてますってとこそうそう
スピーカー 1
さあなんかさあの昔からよく診断ねセキュリティなんとかペイトルテストがやってるから わかると思うんだけど
結構その無実に難しいことやなくても簡単な方法で入れちゃうなってまあよくあること じゃないまあそうですねねなんかそういうの中地で言ってるなっていう感じがして
しかもその辺が一番先に試すことですしね ペネトレとかだったらねで意外とそれとそのまま入れちゃうみたいなね
そうそうだからまあなんかその防御レベルとしてその なんだら難しいことをやったりとかいろんなソリューションとかも入れて一見レベルが上がって
いるように見えて意外となんかこう 手短なところというか足元がおろそかなってないかなっていうようなところを
ちょっとこれ自分たちでもこれ大丈夫かなっていう子自分たちのところの組織ではどうか っていう視点でこういうアセスメントもねなんか
一言と思わずに見直すとまあなんかいっなかなか学びがあるんじゃないかなぁと ちょっと思ったんで
まあ今日はちょっと時間も関係でイニシャルアクセスだけ紹介したんだけどこの後の ねそのエグゼキューション以降のアタックのタクティクスに関しても具体的にどこがどう有効だった
45:07
スピーカー 1
かっていうのを 書いてくれてるんでまぁでもねそこもそんなに意外性はないというか結局こんな方法
スピーカー 2
なんだみたいな感じなんだよねなんとなくねああ やっぱりなって思ってたことの裏付けが出てくるみたいな感じかだから
スピーカー 1
結局やっぱりこういう方法なんだなっていう感じの感想を持ったので でそれはこのここだけが別特徴ってわけでは多分自分たちもそうなんだろうなって思った
スピーカー 2
ほうがいいんだろうなって言う
そうでしょなんかそういう意味で学びがありましたね いやなんかねこれ僕もさらっと見たんですけど全部結構な量じゃないですかこれ書いてるやつ
なんでこうなんか本当さまった感じのやつとかさらっと見たぐらいなんですけど なんか今のそのネギさんの話を聞いててねなんかちょっとああ
見落としてたなあっていう気がのしましたどの辺を改めてですけど その先まあお話でも言ってそのフィッシングリンクってのがまあ今まで1位だったと
でバリッターカードも有効なアカウントっていうのがもっと入れ替わっ だけどその2つが8割なわけじゃないそうだね全体の音で猫のレポートって結構すごい多岐に
渡ったもの書いてインフォグラフィックとかも公開してるじゃないですか ニュース記事とかでも取り上げられてたってのもあるんですけど僕が一番初めに見た
やつはやっぱりエクスプロイティとバルヌラビリティーズみたいなやつの方を先に 見ちゃってるんですよねなるほど
その考えが良くないなっていうのを思ったんですよ始まりっていうところ まずそこを見に行くっていうのはなんかこうそういうことに取り組んで仕事している側だから
スピーカー 1
そっちに先に目が行くっていう関西がちょっと自分としては良くなかったなっていう でもわかるなんかでもそういうところがやっぱり気になっちゃうし
スピーカー 2
結構そこがそういうところが取り上げられやすいというかねニュースとかでもなんか ここにフォーカスしているニュースも多かったんですよね
スピーカー 1
だけど実際のところすごく地味な結果といえば地味かもしれないが 正規のアカウントの利用とかフィッシングとかさ
もう何年前からあるんだよみたいな方法が結局それが最も有効な手法でしたっていうのが なんかね
スピーカー 2
まあ意外でもあり全然意外でもないない感じもありというかそうですねああ言われてみ たら確かにそれが多いって言われたらまあそうかもなーって言う
スピーカー 1
そうそう腹落ちはしますよねだからなんか一周回ってこういう 昔ながらの手法ってもう1回改めて考え直してみないと実はなんかねちょっと漏れてたり
スピーカー 2
するのかなーっていうそういう感じもしたね いやーなんかねこれねすごい悩ましいなぁと思ったんですけどね
さっきも繰り返しありますけどそのフィッシングリンクとバリッドアカウントが8割の わけでしょ
スピーカー 1
8割が人と運用の話なわけでしょがそうなんだよねいや 逆に言うとねだからその技術的なところを結構対策が進んでいて
そのそういう高効益が成功しにくいからこういうところが狙われてくるってこと 成功率が高いだと思うよ多分
48:01
スピーカー 2
まあまたあと os とかソフトウェアの堅牢性とかアップデートの頃サイクルが確立して きてるっていうのもあると思うんですよね
スピーカー 1
だから結局そのさっきその一周回ったって言うけど本当に何かそういう意味で対策がさあ 一通り行き渡った結果こうなってんじゃないのかな
スピーカー 2
なんかこういう対策とか運用の見直しみたいなところとか そのまあ先のペネトレとかにしてもそうなんですけど予算って別に無限にあるわけじゃない
から 何からやっていく何から力を入れていくみたいな話になると思うんで対策していくとき
ねこのさっきの8割がその人や運用の話 見落としだとか引っかかってしまうとかっていうふうなものなんであれば
スピーカー 3
ほならペネトルよりも先にすることこっちなんかみたいな話になるんちゃうかなっていう 気がしてて
スピーカー 2
効率よく何かここから対処していったらいいっていうアドバイスをすることにおいては同説明 していくのが一番
縁やろうなっていうねそういうようなカウントとかも結構なんか洗い出すの大変だってする じゃないですか
スピーカー 1
なんかねこういう不要なアカウント棚の場所の方も管理きちんとやりましょうとかさ あとまあなんかフィッシングなんかだったら何かねてっ手っ取り早くってかパッドその思いつく
ユーザー向けに教育しましょうとかなっちゃうじゃない そういうのってその簡単に取り組める対策でもあるんだけども
効果が割と目に見えにくいのよついつい後回しにもなってしまいがちというか まあそうですね毎回結果違うでしょうしねこれはねそうなんだよねだからまあそういう意味で例えば
そのデートウェイの中さ対策を入れましょうとかエンドポイント対策しましょうみたい なのに比べると
まあちょっとなんかわかりにくいしやりにくいというかねというところがまあ逆に ちょっと狙われやすくなっているのかなっていう
スピーカー 2
なんかこういいんがな感じするなっていうね自伝マーを感じるようなかね ちょっとまあ悩み続けなあかんのかなという気はしますけどね
だからといってね別にこの2割でやられることもあるわけやからそうなんだよね いやーなんかなんか読めば読むほどねなんか悩ましい話はないでね
身も蓋もないこと言うとなんか終わりがないのよねこういうのってねそうですね まあまあ結局やっぱりですねほんと自分らがどんだけできるでできてないかっていうのを把握した上で
どれからどれが弱いんやっけとかできてないんやっけとかっていうことを考えると まず自分たちの知るってことからやらなあかんであろうなってことは変わらへんなと思い
スピーカー 1
ましたねねしかもそれを常にこうさ ずっと見直し続けていかなきゃいけないっていうところがね
スピーカー 2
本当終わりがないんだよねっていうのを中あらためて感じましたね ちょっとこれもっと読んでインフォグラフィックとかもちゃんと見てみようかなと思いましたね
やっぱりね なんか答えはなかなか出せないから逆に興味深く読めそうな気がしてきました
はいありがとうございますはいはいじゃあ最後は僕なんですはいお願いします えっと今日はですねあのフレアっていうまあ強いインテリジェンスとか使ったりとかあと
ダークウェーブの監視とかっていうサービス提供しているような会社があるんです けど
そこがのスティーラーロブズ&コーポレートアクセスっていうレポートを公開しましてですねこれも先週 かな
51:03
スピーカー 2
に具合に出てたやつなんですよまぁちょっとさらっとあの読んだのでその内容に触れていこうかなと思うん ですけども
スピーカー 1
あのスティーラーっていうのはまあいわゆるあのこのポッドキャストでもネギさんよく言うかな インフォスティーラー系のマルウェアがとかいう話をなんか紹介したかもしれないね前にね
スピーカー 2
そう僕も何かしたかものがシャークスティーラーとか紹介したような気がする そうだ何回か取り上げたかもしれないねそうそうそうまあそういう場いわゆるその
インフォスティーラーなのでまぁ日本語で言ったら何ですか情報接種系のマルウェアー みたいな感じで言えばいいんですかね
そうだね まあこういうのの怖いパターンというものを考えると僕の中でのこの感想に近いですけど
まあ中は従業員でも組織で働いている人とか所属している人のまた個人所有のデバイス にその組織へのアクセスの認証情報を保存しているとか
あとはクラウドへのアクセスを認証保存しているとかあとは認証済みのクッキーとかも そうですよね
そういったものが取られてその組織のリソースにアクセスされましたみたいな これさっきネギさんが言ってたやつで言うとこれ
スピーカー 1
バリットアカウントに入るんですかねそうそうだからこれさっきのところのバリット アカウントところも
なんでそのアカウント情報が広域側が入手したのかっていうのは実際の事例だとそこが 結構難しいポイントなんだよね
スピーカー 2
そうですよねだからその不要不要なアカウントデフォルトのアカウントとかっていうのがある けど乗っ取られアカウントみたいなのもまあバリットアカウント
スピーカー 1
またバリットですもんねで含まれるのかなと思ってそうそうさっきもいたら例えば vpn から もうに積まれてましたとか
あとそれ以外でもちょっとなんか一体これはどこから盗まれたんだっていうのがわかんない ようなケースっていうのも多分おそらくあって
でほらあの前に先週だっけ コーブウェアのレポートでも紹介したさ
あはい新入経路がアウンローンなってる奴とかっていうのも もしかしたらこういうような奴でそのインフォスティだけのねマルウェアとかで認証情報が盗まれて
いてそこから入ってくるみたいなのは まあなんかあるけど経路不明になっちゃいがちなんだよね
でそういうのをひょっとしたらちゃんとそのそこらへんの裏付けが全部そういうのって 結局アンノウンだからさ
調べられないでわかんないんだけどももしかしたらそのうちの結構な割合をこういった スティラーのマルウェアから盗まれた情報が占めているかもしれないんだよね
スピーカー 2
そうそうそうなんですよねだからなんかこう このインフォスティラー系のマルウェアの扱いにくいというか
やらしいところっていうのはこいつら単体でどうかっていう 単体の影響よりも盗まれた情報によって引き起こされる影響っていうのが大小異なっている
スピーカー 1
とか今姉さんおっしゃったみたいに顕在化しにくい そうなんだよね盗まれただけでは特に別にまあねひょっとしたら何も被害起きないかもしれないから
スピーカー 2
わかんないんだよね そういうこうなんか特徴みたいなものがあるからかちょっとあんまりこう話題になりにくいという
かねそういうイメージが僕もあってですね ちょっと課長評価されてるかもしれないねこれもだから攻撃者からするとすごい使い勝手がいい
けどあんまり世の中では話題にならない子なんか 攻撃ツールの中で言ってもまあこう
54:03
スピーカー 3
迷惑役っぽいところになってんかなと思ってるんだよね 攻撃者からしたらですよなるほどそうですね
スピーカー 2
そうそうでまぁ有名なもので言うとなぞレッドラインとか ラクーンとかタイタンとかオーロラとかビーザルとかっていうのがまああるんでまぁどれ
か1個ぐらい多分まあレッドラインとか皆さん聞いたこと聞きがちかな ラクーも結構有名ですもんねそうですね
そうそうまだ僕が前に紹介した記憶を薄れあればシャークスティーラーとかっていうの こういうやつですかねこのレポートではですね
スティーラーのログを1960万件ぐらいのその複数のデータセットを調査しましたっていう レポートなんですけど
その中に組織の認証情報へのアクセスのを含むような数は何件とかあとオンライン バンキングのアクセスとかあのコンシューマーアプリ例えばネットフリックスとかそういう
ようなものも含まれるんですけどそういったアプリケーションのようなものがあるか みたいなことを調べていくっていう内容やったんですよ
で何か販売されているものってのはさっき言ったみたいに組織へのアクセスとオンライン バンキングコンシューマーアプリっていうふうに分けられてはいるんですけど
この3つについてちょこちょこ説明がされてあってでまぁ組織のアクセスっていうふうな ものってはビジネスアプリケーションとかって呼び方してましたけど
CRMとか組織へのリモートデスクトップの認証とかあと vpm とかサーズのアプリケーションへのログイン 認証なんですけど
リモートデスクトップとかだったら組織の規模によっては日本円すると50万円とか 高いものたり100万円ぐらいとかで
売られてますってこのがこれが一番高価に高価な値段がついていると価値が高いという ふうなものがあってもさっき言った順番に下がっていくみたいなんですけれども
そういったものを見ていると僕も結構いろいろなところでこういうまず何ですかねこう イニシャルアクセスブローカーみたいな人たちがどんな風に何をどんな風に売ってんねみたいなことを見てたり
するんですけど最近見かけた奴とかだったらオークション形式にしてる奴とかもあって ねリモートデスクトップのアクセスである製造系の組織ですみたいな感じで
らしてたんですけど3000ドルスタートで500ドル単位の入札で売りますみたいなものが落札 されてたりとかそういったものもあったりしましたねまあ結構高い値段で売られるという風
なものです あとまぁオンラインバンキングとかは金融系のアクセス金融サービスのアクセスとかですねこういったもの
は平均112ドルぐらいで売られてたとこれはのジェネシスマーケットの調査のことが書かれて ありましたねこれも今はなきジェネシスマーケットですねテイクダウンされ
んありましたけどそういったところではだって112ドルぐらいで売られていると 今コンシューマーアプリってこれまさきちょっと言いましたけどネットフリックスみたいなものとか
あとは個人向けの夜プライベート vpm とか そういったものがあってこれなんかこれはなんか単なる子自分で使いたいがために買う人が
いるみたいなものらしくてですね こういったものはそうなんか価値がどうぞそのサービスに入りたくないみたいな
自分のお金は使いたくないみたいなものが安くで使い続けたいみたいな愛乗りしたい的な やつとかだったら10ドルから15ドルぐらいで妹も安く売られているような
57:02
スピーカー 2
毛色のベータとしてあるというふうに書いてありましたね でこういった情報でどこで取引されてんねっていう話なんですけどそういうフォーラムとかで売ら
れてたりもするんですけどそれよりも多くは テレグラムとかで公開チャンネルで困難ありますよみたいなものでやるケースが多いって書か
れてあって これはでもなんかそのバンバカバンバカその困難ありますせーみたいな感じだしてるだけじゃなくて
結局有料チャンネルに入ってもらうための宣伝として使われるんですって ビップチャンネルみたいなものがあってそこにアクセスするにはあのだいたい人数25人から35人
ぐらいしか入られへんようにして月数百ドルでこう 情報をどんどん流してくれるみたいな感じのものへの宣伝というふうなことが書かれて
ありましたね あとはまぁそっからこのテレグラム以外だとまぁさっき言ったジェネシスマーケットみたいなそういう
マーケットで販売するとかっていうふうなものとかもいろんな売り方があって これこの値段で売りますよでこれでこのログに関してはこのだけの認証情報いっぱいありますよだから
こんだけねって決めるパターンもあれば 1ログあたり10ドル10ドルで固定販売しているようなマーケットもあったりというのは様々だ
そうですね もうテイクダウンされたらジェネシスマーケットとかだったらマーケットによったらそこで買ったものの
クッキーをブラウザに読み込ませるための拡張機能を配っているようなフォーラムもあったりする というふうなものもありますね
で内容のその件数のとこなんですけど 1940万件ぐらいのログの中でクラウドサービスに使われてるやつっていうふうなものとか
いろんなものがあったんですが今回ちょっと紹介するのはクラウドの部分なんですけど AWS のコンソールにアクセスするのがこのうち18万件ぐらいありましたとか
あとグーグルクラウドのクレデンシャルとかは2344件ありましたっていうのがあって こういう件数の中からだいたいこのうちの75%が
テレグラムのチャンネルに出現してたと なのでそこから25%が別のマーケットで売られている
出現していたみたいな表現があったので まあ主にはテレグラムでやり取りされているケースが多いっていうふうなことかなって
ところですね ログの件数にこの変化が2020年との比較をしてたんですけど最近ほら
AI AI 言うて話題じゃないですか あのオープンAIとかねいろいろチャットGPTとかありますけどそこにもちょっとフォーカスが当たって
てこれちょっと興味深かったんですけど オープンAI.com のログに関しては20万件以上含まれてたとこの中に
これは過去と比較するともう飛躍的に増えてて 去年は2万件ぐらいなので10倍ぐらいに増えていると
まあたくさん使っているとがいるからそれも取られるしっていうところでそういった ところにもちょっと注目が集まってきているのももしかしたらあるかもしれ
んですねその企業内で使ったりしたような内容 キーが内容とかがあれば何か機密につながるようなこともあるんじゃないかみたいな
ところも 攻撃者が目をつけていくのかもしれないなっていうのはちょっとこの件数からも思いました
1:00:05
スピーカー 2
というところですね 全体的に見ると1940万件中のうち
オープンエラー部分を除いたらこの中には1.91%およそ2%がその組織にアクセス するようなものがログとして存在していたっていうふうなまとめになっていましたね
まあこれ見て全部全体見てもっといっぱいいろんなこともっと書いてあるんです けれども
僕これ見て思ったのは膨大な数のログから価値の高いものを見つけ出すっていうのも 仕事として存在できるのかなっていうのは思いましたね
ガチャみたいな感じで良いものを探してそれを侵入しやすいようにして売るっていう イニシャルアクセスブローカーも多分おるなというふうにも思いますし
売っているそのマーケットとかでフォーラムに書いてある内容を見ると 認証情報だけじゃなくてもうこういうツールも仕込んでありますみたいなことを書いて売ってる
ようなものが中にあるんですよね 価値の高いものに変えてから売るみたいなことを考えている人たちもやっぱりいるなぁ
っていうふうなのが思ったのでますますそういう関与する人っていうのは増えてくるし 買ってガチャする人も増えてくるんじゃないかななんていうのは思いましたね
なんでまぁ日本とかだとそのマルウェアっていうのは聞くと多分ここ数年は最近で停止中の まあエモテットくらいしかあまり話題にならないですけど
さっきのそのコーブウェアとかでもそうですけどアンノウになっている一定数がこういう ものが含まれているかってことを考えると割とこうもうちょっと
一段上げた脅威としての認識をしないといけないんじゃないのかなぁなんていうふうに 全体を通して思いましたということですねこういったログがどうやって抜けていっているところ
どう監視するのかもあるだろうしそういったものの因果関係調べられるように自分はなっ てるのかなぁみたいなことの観点もちょっとあった方がいいのかなぁなんていうのはこれを見て
スピーカー 1
思いましたというお話でございます もともとこれがそのスティーラー系のマルウェア由来だとして
そもそもそういうマルウェアを作る人がいてまぁそれをこう パラマク人っていうかねダウンロードアザサービスのやつでさ
まあなんか違法ダウンロードとか指定したらそれにバンドされてましたみたいな まあそういう形で結構マルウェア感染するとかっていうパターン多いけども
a そういうバラマク系の人とか でそこから吸い出された認証情報を集めてまぁ今日話があったような
マーケットやらテレグラムのチャンネルやらで売る人がいて であとおそらく今さっき水産がまさにしたみたいなそのそういう情報を買ってきてその中から
価値のあるものを見つけたそれをまた販売する再販売するようなブローカーが多分いて っていうでそれを買う
たてばランサムウェアのアクターアフリエートのねアクターとかさ がさっきその例えばコーポレートアクセスがまあ何十ドルか何百ドルかわかんない
けども そんなの誰が買うのって思う人がいるかもしれないけどまぁ実際にそれを買って
1:03:01
スピーカー 1
例えばランサムウェア感染してまあすごいお金もかるっていう場合もあるわけなんで まあそのコストパワーパフォーマンス次第ではまあまあそれぐらいのお金払って仕入れても全然
ペースちゃうわけだよね っていうさなんか全体的なそういう今一例だけどもなんかこう
犯罪者側のやっぱこう売り会のエコシステムがなんかうまいことできてなーっていうの こういうレポートを見るとなんかすごく肌で感じるというか
売る人がいれば買う人いるしみたいなさうまくいってなーって後ねその 結構こういう話ってその漏らしてしまう側っていうか
感染する側とか組織側からするといや仮にそんなの持っても大したことねーしみたいなやっぱ ちょっとそう思いがちなんだけど
価値を見つける側は自分たちにとって価値のあるものが見つかればいいんであってそうですね 守る側と視点が違うんだよね
そこがちょっと非対称になっててそれをついつい忘れてしまいがちっていうか僕らに とってはなんてことないと思っていることが実はある攻撃者とってはすごく価値の
高いものだったりするわけなんで そういうことを考えないとまあなんかちょっとね足元すくわれちゃうなっていう
スピーカー 2
そうですよねなんか情報にしてもものにしてもね 売る場所とかどういう人がいる場所とかっていうようなことが変わるとガラッと価値って変わりますから
スピーカー 1
だから価値は自分たちで決めるもんじゃないっていうのが何を実がに現れているなっていう のはこれ思いますよねあとまあこんだけ数がこのデータセットも1900万件って言って
まあおそらく全体からしたらさあ多分その流通している 全体からしたら国一部だと思うんだけど
まあそれでもこんだけあるんだねっていう だからそういう実態がやっぱまだまだ知られていない怖さもあるよね
スピーカー 2
そうですね多分イニシャルアクセスブローカーとか こういうインフォスティーラー系のマルウェアの使われ方みたいなものでまだまだ伝わってないと
スピーカー 1
は思いますね別に新しい話でもないじゃんもうだいぶ前から 言われている話だし割と日常的に起こっていることだけど
まあその周りにあんまり何か みんなで注意しようっていう風にそんなにならないというかそれからバランサムや感染
ほどはさあそうですねいやでもそのもとになってのこういうことだよっていうところに まだあんまり目が行ってないっていうか
スピーカー 2
なんとなくだけどねまたもこれこういうの大体テレグラムで仕入れてがバッと仕入れて チェックしてフォーラムに高く売り出すみたいなものが何か常になっているのかもしれ
スピーカー 1
ませんねこういうのね あとなんかこういうのってちょっと話違うけどテレグラムやっぱりいろんなところで何か活躍して
スピーカー 2
いるっていうかなんか最近なんか日本とかでもねなんかそういう事件があるとテレグラム みたいな音出て名前が出てきますね
スピーカー 1
まあなんかわかんないけどねこういう者側からしても足がつきにくいというか使い勝手は いいんだろうないろいろな
スピーカー 2
まあなんか irc 昔の irc がテレグラムをチャンネルになったって感じかな なるほどね
1:06:03
スピーカー 1
でなく個別にやり取りするんだったらがトックスとかそういう感じのイメージが結構 僕はありますけどねまあ確かにランサムの感染の連絡とかでも特殊使ったりとかね
スピーカー 2
そう連絡先はだからねそのリークサイトというかその 交渉ページじゃなくても特殊かこのメールに送ってこいみたいな
ランサムノートも結構見ますしねなんかその辺もなかなか様変わりしてるねちょっとね そうちょっとこれはもっと伝えていかなあかんことなんちゃうかなっていうね
同じマルウェアですけどみたいな ちょっと違ってきてますよみたいなねところはね伝えていかなあかんなーってちょっと思った
スピーカー 1
なっていうことですね あのまあ今回はそんなに盗まれた情報の話でそのティーラーのマルウェア本体の話じゃないけどさ
はいまあ多分気づきにくいんだよね多分そうそうですよね 密かに感染してそのブラウザとかの認証情報を盗んでいって
悪用されるのはまたちょっと全然違うところで悪用されてそれを自分自身に被害があるわけ じゃないじゃん
スピーカー 2
盗まれるだけじゃん そうですね使えなくなるわけじゃないですかそうなんずーっとアカウントが使えるし特に何の
スピーカー 1
支障も来たさないんですよそこだけ見たらねでまぁ コーポレートじゃなくてそのパースなのねアカウントが例えば乗っ取られて
自分に被害が及べばまあ気づくだろうけどそれは そうでもなければちょっとね気づきにくい
のもちょっと厄介なところなのかもしれないよね 後になってダイバーとなって調べ