1. セキュリティのアレ
  2. 第20回 室長スペシャル!
2018-12-30 1:18:31

第20回 室長スペシャル!

Tweet ※お食事中の方はお食事を終えてからご視聴くださいませ。

The post 第20回 室長スペシャル! first appeared on podcast - #セキュリティのアレ.

00:00
室長スペシャル, セキュリティのアレは2人で考えたんでしょ?
室長スペシャル, タイトルとかその時その時に気になった 別業界のキーワードとか入れること多いんですよ 宮田さん
室長スペシャル, 例えば僕の一番初めの連載 セキュリティ対策のある視点ってやつなんですけど
室長スペシャル, あれは映画のある視点っていう表彰のやつがあるんですよね
室長スペシャル, その後ダークナイトは完全にバッドマンから撮ってるんですけど
室長スペシャル, パクリ? パクリじゃない 影響を受けたんだ
室長スペシャル, インスパイアーザ・ネクストです
室長スペシャル, これこそパクリですよ
室長スペシャル, だからセキュリティのアレももしかしたら何かか撮ったかもしれないんですよ
室長スペシャル, その頃やったかな 情熱のアレっていう漫画があるんですよ
室長スペシャル, 女性向けのやつなんですけど
室長スペシャル, 外から撮ったのかもしれない 聞いてないんですけど
室長スペシャル, ということで始まってました
室長スペシャル, また? また始まってたぞ
室長スペシャル, 始まってます
室長スペシャル, やばい感激 間近で始まってました
室長スペシャル, 今回はあまり間開かずにやってますね
室長スペシャル, 間開かへんというか 11月の積み滅ぼしをやってるんですけど
室長スペシャル, 今日年末ですけどね
室長スペシャル, 年末ですよ 12月28日です
室長スペシャル, 仕事収め
室長スペシャル, 都内某所のティーソックかな
室長スペシャル, 仕事収めしてきました?
室長スペシャル, 何かするの?
室長スペシャル, だってもうあれでしょ 今日だって夜の8時ですからね今
室長スペシャル, え?
室長スペシャル, 仕事してきた後でしょ
室長スペシャル, え?
室長スペシャル, 細かいことはあまり言わないんですけどね
室長スペシャル, そうですね
室長スペシャル, 時差とかありますからね
室長スペシャル, 時差あるあるある
室長スペシャル, ということで今日はゲストは
室長スペシャル, 久しぶりちゃいます
室長スペシャル, ゲストとかそういう雲あんの?
室長スペシャル, そもそも
室長スペシャル, ゲストとか番組っぽいじゃないですか
室長スペシャル, そういう感じ
室長スペシャル, ゲストとホストみたいな
室長スペシャル, これでも結構抑えてるほう
室長スペシャル, 笑っとんねん
室長スペシャル, 仮想環境っぽいから
室長スペシャル, 結構そういうのやりたいの
室長スペシャル, 抑えてるんですよまだこれでも
室長スペシャル, コーナーとか作りたいもん
室長スペシャル, いつも雑談コーナー
室長スペシャル, 辻論、口論
室長スペシャル, パクリパクリ
室長スペシャル, パクリだよ
室長スペシャル, マジっすか
室長スペシャル, 辻論
03:01
室長スペシャル, 口論
室長スペシャル, 行く辻来る辻
室長スペシャル, オブジェクションみたいな
室長スペシャル, 腹立ってきた
室長スペシャル, ゲスト来とる言うとる
室長スペシャル, なかなか僕話し始められないんですけど
室長スペシャル, 今日のゲストは
室長スペシャル, 肩書きとかよく知らないんですけど
室長スペシャル, おいおい
室長スペシャル, 雑だな
室長スペシャル, 読み方雑じゃない
室長スペシャル, ゲスト呼んどいて雑だと
室長スペシャル, 自己紹介させるのもあれかな
室長スペシャル, 自分紹介したことないもんね
室長スペシャル, 今日はNICTの
室長スペシャル, 井上室長
室長スペシャル, 室長でいいんですよね
室長スペシャル, 室長が来てくれてまして
室長スペシャル, よろしくお願いします
室長スペシャル, NICTといえばあれですよ
室長スペシャル, 初めてだねゲストとしても
室長スペシャル, そうですよ
室長スペシャル, 看護さんもゲストなんだよね
室長スペシャル, ゲストだったら
室長スペシャル, 看護さんはスーパーサブです
室長スペシャル, かっこいい
室長スペシャル, スーパーサブですからね
室長スペシャル, 俺もなりたいスーパーサブ
室長スペシャル, せっかく井上さん来てくれてるんで
室長スペシャル, NICTといえばみたいな
室長スペシャル, 話もできたらいいな
室長スペシャル, よろしくお願いします
室長スペシャル, この間ね
室長スペシャル, あのー
室長スペシャル, トイレに行ったんですよ
室長スペシャル, あのー
室長スペシャル, いきなりちょっと待って
室長スペシャル, NICTと関係ある?
室長スペシャル, 関係あるよ
室長スペシャル, 今言うとかな多分
室長スペシャル, 言う話聞くことないやろ
室長スペシャル, あのー
室長スペシャル, トイレ 出先のトイレって
室長スペシャル, あのー
室長スペシャル, あのー
室長スペシャル, あのー
室長スペシャル, あのー
室長スペシャル, あのー
室長スペシャル, あのー
室長スペシャル, あのー
室長スペシャル, あのー
室長スペシャル, あのー
室長スペシャル, あのー
室長スペシャル, あのー
室長スペシャル, あのー
室長スペシャル, あのー
室長スペシャル, あのー
室長スペシャル, あのー
室長スペシャル, あのー
室長スペシャル, あのー
室長スペシャル, あのー
室長スペシャル, あのー
室長スペシャル, あのー
室長スペシャル, あのー
室長スペシャル, あのー
室長スペシャル, あのー
室長スペシャル, あのー
室長スペシャル, あのー
室長スペシャル, あのー
室長スペシャル, あのー
室長スペシャル, あのー
室長スペシャル, あのー
室長スペシャル, あのー
室長スペシャル, あのー
室長スペシャル, あのー
室長スペシャル, あのー
室長スペシャル, あのー
室長スペシャル, あのー
室長スペシャル, あのー
室長スペシャル, あのー
室長スペシャル, あのー
室長スペシャル, あのー
室長スペシャル, あのー
室長スペシャル, あのー
室長スペシャル, あのー
室長スペシャル, あのー
室長スペシャル, あのー
室長スペシャル, あのー
室長スペシャル, あのー
室長スペシャル, あのー
06:01
室長スペシャル, あのー
室長スペシャル, あのー
室長スペシャル, あのー
室長スペシャル, あのー
室長スペシャル, あのー
室長スペシャル, キナリ!キナリ!
室長スペシャル, 着らしたよそっち
室長スペシャル, すごいね、戻し方
室長スペシャル, キナリ!ジジでたね
室長スペシャル, ブーターストレッサーサービスが
室長スペシャル, 一斉…一斉というか
室長スペシャル, FYIは複数のヤツを
室長スペシャル, キナリ、きたね
室長スペシャル, 摘発したぞ、ってことが
ブーターストレッサーって言葉ってそもそも定着してるんですかね?
結構日本ではあんまり使われてないかもな
なんかねブーターとかストレッサーって
ネギスさんとかカンゴさんとか井上さんもそうですけど
その辺ぐらいからしか聞いたことない言葉
そうかもね
ドスクラスターって
なんかドスクラスターって
これ結構公演とかでDDoSの話するときには
よくブーターストレッサーの話って毎回触れるけどね
そのときどうしてます?
ブーターストレッサーって言うだけ?
それともブーターストレッサーとは?
説明するよ
ブーターストレッサーって一般に言いますけど
いわゆるDDoSの代行サービスで代わりに攻撃してくれる
お金とか払うと
ビットコインなり何なりを払えば
DDoS for hireサービスっていったり
いろいろ言い方ありますねみたいな説明は一応するよ
でもブーターストレッサーって言葉はよく出てくるから
みなさん知ってねって
これを機会に
公演ではそういう紹介する
僕もだいたいDDoS代行サービス
あとは加計さんの漢字見て
そもそもブーターストレッサーって資料には書いてるけど
声には出さんときはありますけどね
英語圏では普通に使うからね
ニュースとかでも出てきますしね
今回の司法省のやつにも普通にブーターストレッサーって書いてあるから
基礎上に書いてあるからね
書いてあるから
ストレッサーっていうのがストレスを与える
webのアクセスのストレステストと表彰して売ってるサービスがあるじゃないですか
ブーターってなんでブーターって言うんですか
なんだろうね
え?
ブートする
ブーターストレッサーサービスを摘発したっていう
なんか基礎上エンギンさん読まれたらしくて
結構ねこれ面白いこといろいろ書いてあって
みんなさニュース特にほらこういうの摘発しましたっていうのを
日本語に出てきたニュースとかを見て
えーって思うじゃない
今回もGDNETとかね
もうちょっと興味持ってる人だと
オリジナルのじゃあソース読もうかって言って
英語のニュースぐらいは見るけど
でも基礎上までみんな読まないじゃん
でも基礎上読むと結構詳しいこといろいろ書いてあって
面白いこといっぱい書いてあるの
今回のやつもトータル3人
サービスに関わってた人たちが摘発されてるんだけど
そのメインで摘発されたサービスがね2つあって
なんだっけ
ダンゼムってやつとアンプノードっていうサービスがあって
09:01
これもう何年も前からずーっと使われていて
その利用状況とかさ結局差し抑えてるから
どれくらいのユーザーがいて
何人ぐらいがどれくらいの頻度で使ってるかとかっていうのも
結構書いてある
いくら儲かったかとかも書いてある
あと面白いのがアンプノードっていうサービスは
他のサービスに売られている
OEM販売っていうかさ
そのバックエンドのシステムは一緒?
チャンネル販売みたいなものってことですか
サーバーを使って別の人に
その人自身のサービスを作っていいよっていう
そういうサービス
サーバーだけ作ってくれれば何%が取り分お前みたいな
そんな感じの仕組みなんですかね
あといわゆるアンプ攻撃ってさ
DNSとかNTPとかUDP使った
アンプの攻撃ってよくドス攻撃で使うじゃない
あれの踏み台に使えるアンプリストっていう
IPアドレスのリストを販売したりとか
そういうのもやってる
手広い
単純に利用者として使わせるだけじゃなくて
自分もサービスを提供したい人向きに
インフラを提供するとか
リストを提供するとかっていうこともやってる
フランチャイズ展開みたいな
その捕まったもう一人はそれを使って
自分のサービスを2012年ぐらいからずっと動かしてる
っていう人が捕まってて
6年間ぐらいやってたってことですね
結構そういう実態を書いてあって
面白いこういうなるほどねと
みんなそうやってるとはみんな知ってたけど
実際捕まって
あんまり明らかに
同じやつやってるなみたいな
あと日本だとちょっとできないかもしれないな
ってちょっと思ったのは
今回FBIが摘発するにあたって
実際にサービス買って試してるんだよね
いくつも
僕らがずっと気にしてたことじゃないですか
それ書いてあって
どことは書いてないんだけど
複数のサービスを実際に買って試しました
でスタンダードのサービスを買って
いろいろプレミアムとかいっぱいあるじゃん
継続時間が長い
さすがに高いやつは買えないから
スタンダードのやつを買って試してみたら
30GBPSぐらいの攻撃能力がいました
っていうことを書いてあって
言ってるメニューに書いてあるのは
おおむねたの正しいっていうか
中には言ってるのと全然違う攻撃能力が
正しくないやつもあったけど
メジャーで利用者がいっぱいいるやつは
だいたいその言ってる通りの攻撃能力がある
ということが分かりました
だからこいつらは悪意があるっていうか
そういう攻撃能力があるからやばいんだと
だから摘発するんだ
そういうふうに基礎上に理由が書いてあるわけ
摘発するに至る一つの証拠語の一個
そうそうそう
こいつらだから適当なこと書いてるんじゃなくて
本当に攻撃能力があるし
攻撃に使えてるから
だから摘発するんだよっていう
そういう主張でね
12:00
どこに向けて打ったんですかね
多分自分で一応管理してて
トラフィックとか見れるところだと思うけど
そこまで書いてなかった
でもそういう時ってやっぱあれなんですか
プロバイダーとかバックボーンに協力要請
あらかじめ言うんじゃない
してんのかな
かないしは自分たちがちゃんと管理してるところなのか
分かんないけどどういうインフラ使ったのかは書いてなかった
そこまでは書いてない
何年か前にオランダの大学で
同じようなことやってる学生がいて
悪い側ですかいい側で
いい側で
いい側じゃないでしょ
いい側でしょ
研究するためにブータサービス買って
その学生は自分の大学に向けて打ち込んで
それ許可取らず
許可取って
よくしてくれましたね
大学の先生に許可を取って
自分の大学にドスを打ち込んで
誰の先生が許可出せるんですね
結構やっぱりオランダとかそうですけど
かなり踏み込んでやっていて
学生は確かローエンフォースメントの
警察から来ている社会人の学生
なるほどね
年齢はちょっと上なんですね
結構上なんですけど
そうすると自分のところに打ち込んでくるんで
打ち込むために使われている
アンプリファイヤーとして使われている
DNSとかNTPのリストが作れる
送信元がね
送信元があるから
だからそのブータサービスで使われている機器のリストには
リフレクターはこれですみたいなのが上がってきて
結構面白いですね
今言われて思い出したけど
それは多分それとは別の研究かな
同じやっぱ大学の研究機関で
複数のアンプのサービスを全部調べて
そいつらの送信元がだいぶ重なっている
結局みんな同じアンプのサーバーを使っている
っていうのを調べた研究もある
そういうのちょっとね
なんかやりにくいけど
やってみるとすごい面白い結果が得られる
気になってたのが
一時期Memcachedが
今年の2月
1.何テラとか
ニュースにもなってたじゃないですか
ブータサービスとかにも
いろんな選べるんですよねあれ
HTTP打つとか
ICMPとかUTPとか
いろいろ選べるじゃないですか
結構メジャーどころとか
お金ちゃんと取ってるようなところだと
そういうのが多岐に渡る選択肢がいっぱいあるんですよ
ちょうどそのタイミングで
Memcachedが組み込まれたりするかなと思って
一時期20個ぐらい
ブータサービスのアカウント作って
作らなくても見れないじゃないですか
結局その時は早すぎたのが
なかったんですよね
それと同時に気づいたのが
結構久しぶりに間開けて
ブータサービスを見に行ったんですよ
有名どころみたいな
上から20個ぐらいみたいな感じで見ていったんですけど
無料プランみたいな
お試しプランみたいなのが
昔あんまなかったんですけど
すごい数あるんで
さっき言ったFBIが試したスタンダードプランみたいなやつなんですよね
無料プランやったらどれぐらいでいいのやろうとか
15:01
その辺は結構気になるなと思って
でも試せないじゃない
お試しだとたぶんそんなには出ないんだろうな
たぶんね
たぶんそうなんですけど
やっぱり見てみないとわからないじゃないですか
簡単に試せないよね
NYCDとかそういうのやったらどうでしょう
今ちょっと折行と思ってました
ちょっと売ってみていいですかみたいな
自分たちのインフラに向けてぶっ放すみたいな
無料プランだったら
別に向こうの日本社会勢力に
お金落としてないわけじゃないですか
お金を払わなければいいかというと
そうとも言えなくて
結局踏んでるんだよね
そうかそうか
そういうリスト裏で何が使ってるかって
こちらからコントロールできないじゃん
そうするともしかしたら
攻撃にあたって
何かしていて
僕らが攻撃を依頼したことで
その踏み台に何か不利益があったら
通信遅くなるとかかもしれないし
それで別にね
訴えられはしないかもしれないけど
そういうことを言う人もいるでしょ
そういう場合に
なんて反応するかっていったら結構難しい
難しいんですよね
ってなってきたときにやっぱり
IoTスキャンってことになってくる
そこに
いやいやほら
無理矢理繋げただけ
全然無理矢理ちゃうやん
大分無理があるよ
何かあるんですか
さっきほらオランダの
何笑ったんねん
CMが入ったみたい
そうだよ
攻撃をさせることによって
ソースが分かるから
踏み台リストが
分かるわけでしょ
でもそれができないじゃない
我が国は
でもね
できないかどうかが
分からないグレーなんですよね
できないとは言ってないよ
やればできるんだよ
できるし別にやってもいいと思うけど
そんなどっちみち踏まれてるんだからさ
おっ
まあそうですね
ニカライン中踏まれてるやつに
一刻終わったところでどうってことないと思うよ
実際のところはね
どう言ってやっていいかって言うと
これは結構微妙
しかもね
それをさ
例えば国の機関とかね
どこがやるって話になるじゃない
そういうちゃんとした背景が
法的な整理がないうちにやるのは
なかなかやっぱ難しいところあるよね
だからこっちから
弱いIOT機器を探すっていうスキャン
なんじゃないのかなっていうので
繋がってるやん
繋がってるよ
スキャンのやり方がだいぶ無理があったなと思って
そう本当に
思わなかった?
ちょっとね
いやいやいいっすよ
来ました?スキャン
来ました?どこに?
自分を観測してる範囲に
すぐ来たよ
やらせていただいています
その辺ちょっともう
あれはいかがだったんですか
具体的に誰がやってるってのは
ちょっとそこには言えないんですけど
18:01
一応責任者は僕でやっています
お前さんが
撃ってるわけじゃない
僕が直接は撃ってない
ボチってエンター押すやつ
どうぞ
それめっちゃおもろい
準備できましたどうぞ
バーン
でも実際に撃つ前はこのポートで
これぐらいのPPSで撃ちますっていうのを
連絡もらって
OKってやってます
一応慎重にやらないとね
結構あの後
ツイッター上でも
うちのハニポリなんか来たとか言ってる人いっぱいいましたから
IPアドレスの元のスキャン元の
アドレスは公開してますしね
そこから来たら
ちゃんとした法的根拠のある
活動だからね
後ろ見たくないから
バナーも出てますしね
クルースキャンの
スキャナーの名前とか
入ってますね
別に言っても
全然大丈夫です
あれはなんで
ツールというかバナーにしてあるんですか
あれはマススキャンを使っているだけで
インターネット高速にスキャンする
ツールライトを使って
今だってハニポで検索している
検索じゃない観測していると
マススキャンとGMAPが
動的に多いので
マススキャンはハニポリによく来ますね
その二つがほぼスキャンで
V4空間ぐらいだったら
10分ぐらいで
全域読めるので
それぐらいのスピードでできるのって
なかなか
あの二つぐらいじゃない
今大きなメインのやつは
あれ早いやつ一個ありましたよね
何やったっけ
何やったっけ
めっちゃ早いやつ
めっちゃ早いやつ
それだけじゃわ
GMAP
出た出た
聞いてないから
今マススキャンとGMAPの
二つ言ってたじゃん
GMAPって言いました
滑舌が悪かった
発音が良すぎた
スキャンは
言えないことは
言えないことは黙っとく
いっぱい聞いてもいいってこと
今は
事前調査だから
まだまだ
2月以降ですね
ICT法のね
施行されてからだから
法律は11月1日
施行されてます
それ以降
だいたい今目標としては
2月末ぐらいに調査を開始しよう
今は事前調査で
今インターネットがどうなっているか
というよりもむしろどれくらいのパケットを
僕らの
通信の足回りで出せるのか
というところを調査している
聞いている人はあまり詳しくないかもしれないけど
事前の部分はどんな感じで
やって
本番はどんな感じでやるか教えてもらえますか
事前は
21:00
ポート番号そんなにたくさんなくて
調査予定のポート全てではない
じゃないですね
80番とか23とか2323とか
いわゆるIoT機器の
脆弱なやつが使っているやつ
に対してスキャンをやりましょう
スキャンの範囲は
日本の
インターネットの範囲限定なんですよね
外に行かないように
まずはそこで
スキャンは1回きりなんですか
定期的にやるんですか
定期的にやります
データ更新されていくんですね
同じ対象でも2回3回
結構それ
IoTのボットに実際感染すると
ポートが閉じたり開いたり
いろいろ状況変わるし
利用状況もどんどん変わりますからね
更新しないとね
感染したら23
逆に止めちゃったりするので
そうすると
例えば1日1回やってると
23開いてたやつが
閉じたなとか
逆にこれもしかしたら感染してる
そういう動きも全部蓄積してる
そういう意味では
スキャンするだけではなくて
データも蓄積をしておいて
後からも見れるようにしておくという
ような活動
その調査が事前の
これは本番に入ったときに
そういう調査をしましょうと
事前は自分たちのシステムのスペックを
どう決めるかというための
調査がメインなんですよね
片晴らしですよね
そうですね
アップを始めました
本番になると
本番になると
今の計画では
100ポートぐらいを
まずは初年度は決めて
それに対して
1発音に対して100ポート
そうですね
1発音に対して100ポートを
1日1回ずっと舐めていくというような感じですね
そこでスキャンをして
まずどこのポートが空いているのか
というのを見て
次にバナー収集
ポートが空いているところに対しては
バナー収集をかけて
バナー収集で危機特定ができて
これはポートが空いていて
おそらくこの機種だというのがわかったら
あとは
ポートの入力ですね
そこが特定アクセスと言われている部分で
不正アクセス禁止法の
除外規定のような形で
NICTの
法律を変えて
NICTの法律を変えたのは
一番の理由は
不正アクセス禁止法を普通にやると
IDとパスワードを入れると
不正アクセス禁止法に引っかかってしまうので
NICTでこういうおさほでやれば
不正アクセス禁止法の
除外になりますよというのは
いわゆる除外規定みたいな感じになっているので
それをやると
そこまで踏み込まないと危ないか危なくないかまで
調べられないからということですよね
空いているだけではなかなか
ポートが空いてますよというだけでは
ユーザーさんに注意喚起ができにくいので
なので最終的に
このようなIDパスワードで
ちょっとやばい奴で運用しているので
というのを最後ISPさんに
24:00
お伝えをしてISPからご注意喚起をしてもらう
みたいな流れです
それあれなんですか
今回のやつが
本番のやつが一通り終わって
注意喚起をしてもらう
プロバイダーとかにしてもらうと
あと確認とかするんですか
どれくらい減ったぞと
やります当然
これ5年間の継続するプロジェクトというか業務
1年が終わりというわけではない
一応今回それは時限決まっていますので
なので5年間も
危なかった数が
注意喚起をして
しばらくスキャンを始めたら
こんだけなくなりました
ということを出すのが
目標ですね
僕中心事業者側じゃないですか
同じように
何回か
そういう脆弱性を持った
機器が使われていて
不正アクセスされているから
注意喚起して減らしましょうって
これまでも何度もやっていて
例えばそのうちの一つだとやっと減ったな
ってかかるのに2年間かかってる
やり始めてから
注意喚起し始めてから
今回のもNICTさんがチェックして
特定するじゃないですか
IPアドレスが分かりますよね
それ各プロパイダーに連絡して
各プロパイダーもそれをもとに
お客さんを特定して
注意喚起をするじゃないですか
例えばメール一本送ってやってくれる人もいれば
個別に訪問して
おじいちゃんこのホームルーター危ないから
交換しようねとか言わなければ交換できないところもあるわけですよ
分かんないから
そういうのを各プロパイダーが地道にやるでしょ
で本当に減ったねってなるまで
多分2,3年かかる
だからその5年っていうのは決して長くないんですよ
効果をちゃんと
測定するにはそれくらい
結構息の長い話ですよね
そうですね
訪問するっていうのも大変な
実際そういうのやってるプロパイダーもあるし
そこまでしないとやっぱりリーチできない
例えば
注意喚起のなんかポップアップを出すとか
いろいろメール出すとか
あるいは電話するとか
いろいろみんなISPやってるんだけど
中にはそういう直接
っていうところもあるって聞きますね
そういう訪問するっていうのは
設定を変更してあげる
場合によるんじゃないか
サービスによるんじゃないか
例えばそういうサポートまで全部やる契約していれば
そういうのやってあげるとか
そういうのもあるでしょ
そういう詐欺とかも出てきそうで怖いですね
そうね
だいたいホームルーターって
今までアップデートみんなしないからね
最近のでもちょっとずつ
自動アップデートがついてくるようになりましたけどね
そういうのが増えてくるよね
変わりますけどね
難しいよね
聞きたかったのがこれ
本当のホームルーター
脆弱なホームルーター
であるのか
僕たちみたいにやってる
ハニーポッドなのか
見分けつけるように
スキャンで見分けがつくか
見分けつけようと思えばできると思うんですけど
色々あるハニーポッドをスキャンして
その差が
27:00
本物とどれくらい差があるか見れば分かると思うんですけど
僕が心配してるのが
家に連絡来たら嫌やなと思って
プロバイダーからお前脆弱やって
別にいいじゃん
アリフォーデソーって言えばいいんだからさ
話めんどくさいじゃん
訪問来たらどうしますおじいちゃんかなと思って
いきなり来るわけじゃねえから
見分けの部分で
どうなんかなと思って
技術的には
色々ハニーポッド
ディテクションのやり方とかがあって
ポートの開き方を見てるだけで
これハニーポッドかなみたいな
いっぱい開いてますもんね
この白いのハニーポッドかなみたいなのが
分かったりするので技術的には可能なんですけど
注意喚起に乗せるときに
色々選別をして
かなり特定できて
もうこの機種だっていう風な
分かったものっていうのが
一番最初の注意喚起の
プライオリティが上がってくるんで
でないとISPさんが
なんかよく分かんないけど
IOTがあって感染する可能性がありますって言われても
ISPとしてやっぱり動けないので
数が多いしね
まず確定的なものから絞ってくると
あとはホワイトリストを
運用する予定になっているので
もうここは
ハニーポナンでやめてくださいとか
こっからここのレンジでやめてくださいっていうのを
上げる
情報として上げていただけると
そこはホワイトリストにも
乗せてでもうスキャンもしません
ということもできるようになる予定なので
シーサーと忍者も登録するよね
そうですね
海外のGMAPとかさ
マススキャンとかを使ったスキャンも
そういう受け付けてますもんね
ここはスキャンしないでねとか
今も受け付けてるし
同じような感じですよね
でもそれ来なければ来ないでちょっと寂しい感じ
そう
来たら絶対ツイートツイートする
その流したいがたびに
逆にハニーポッドの
ポート絞ろうかな
それこそハニーポッドじゃなくてさ
本物を置けばいいんだよ
贅沢性のあるルートを買ってきてさ
置けばいい
踏まれるじゃないですか
何よりそれをコントロールするのが
腕のお店とか
出ていかないようにポート絞ってね
上で絞ってね
ICMP何個投げたら止める
とか
ありましたねそういう昔ツールで
フィッシュなんとか
でもその辺のハニーポッドの
コントロールする技術って
昔からやられてるから
そういうのやるとかね
さっきのハニーポッドのケースっていう意味だとさ
ショーダンっていう検索エンジンあるよね
あれもすぐバレるやつは
ハニーポッドってタグが付いてる
バレるやつはバレる
あと攻撃する側も
例えばIDパスワード
たまに何でもログオンOKって
してるハニーポッドすぐバレるんだけど
こういうやつだと
本当はないパスワードを
入力してログオンできちゃったら
30:00
これハニーポッドって見分けるとかね
簡単な見分け方も結構あるし
何やっても入れるやつもありますもんね
ただうちごとだけど
観測とかでみんな真面目にやっているところは
それなりに見分けられないように工夫しているから
そうそう簡単に
分かんないよ外から見ても
僕は開けまくってますから
それは分かるかもね
自動的に飛んでくるようなものだけを
取りたいだけだから僕
目的によるよね
全体の状況を知りたいだけ
そういうのは別にね
バレてもいいっていうかね
本当の動きを知りたかったら
ガチガチにやらないと
いろいろあるよね
誰を騙すためにやってるかみたいなね
SSHとかテルネットのやつとかも
このIDでこのパスワードしか
返さへんように
ログインプロンプト返さへんようにするとかもありますね
設定できるからね
楽しみやな
どれだけ減ったかってレポートが
なかなかそこまで踏み込んで
今までできなかった部分だいぶこれで
変わるから結果は楽しみ
その結果ってちなみに公開されるんですか?
公開予定ですね
素晴らしい
公開大好きですから
できるだけそうで公開して
やるからには
効果をちゃんと外向きに
できましたっていうのを
言っていかないといけないし
できなかったらできなかったで
やっぱり効果上がってないんで
もっと違うやり方とか
考えないといけない
自分たちでもハニーポッドを
やってるからさ
NYCTさんもニクターも
ライブでウェブで公開してるじゃないですか
ああいうデータとかすごい参考になる
ニクター結構セミナーとかの
資料で進めてますもんね
見てる見てる
どのくらいの人が見て活用するか知らないけど
自分たちの観測範囲以外で
ニクターってさ
ダークネットなどで
たくさん見てるから
大きな動きってすぐ分かりやすいんだよね
急に何かがスパイクでポーンと増えたりすると
すぐ分かるから
あれはすごく便利で
これ全体的に
起きてる活動なのか
うちだけピンポイントで起きてる活動なのか
見分けたりとか
ニクターを見て自分のところを確認したり
逆もあると
あっちではどうなんやろ
ニクターは主に日本とかだと思うけど
海外の
アドレスもあるし
海外は海外で
そういう海外での観測状況を公開してくれるところが
他にもいっぱいあるから
そういうのを横断的に見て
そういうのを見るときに
そういう公開データって役立つ
結構大きい
アドレスを持っているところとして
比較評価したり
未来とか
あの系のアシュがたくさん出るようになってから
変なポート番号を使ったときって
一気にスパイクが
上がって出てくるんですよね
だから
トップ10リストっていうのを
毎日デイリーで公開してるんですけど
結構激しく
ありますよね
33:01
時間があればほぼ毎日
トップ10の
今日は変動があるかなって
ニクターファンじゃないですか
ファンですよ
ニクターステッカーとかないですか
ニクターステッカー貼ってるやつ
結構そういうの助かるし
観測レポートとかも書いてくれてるし
ツイッターで
投稿してくださいよ
そのデイリーのトップ10に
それはいいですよね
バットパケットとか
デイリーで出してる
あれいいよね
試験運用中の
ツイッターカウント
あれでやりましょうよ
今日のトップ10リスト
解析チームっていうのを
ニクターの中で去年あたりから作って
解析専門の
メンバーというのを増やしてやってるんですけど
外向きにどう情報出していくか
っていうので
ツイッターでかなり軽めに出せるじゃないですか
やっぱりブログとか
レポートとかってやると
重くなるんで
これどうかなとかまだ
根本原因分かってないんだけど
皆さんどうですかみたいな意味で
ツイッターにポンと出せるような
チャンネルを持っておきたいな
試験運用してる
ニクターサイバー天気予報みたいな
どっかで聞いたやつですね
あったっけ
ニクターじゃないやつでどっかあった
ニーまでは
僕も
ある程度まとまった
観測結果をブログに書くけど
そうでないやつはツイッターでよくやるし
さっきのトップ10流すだけでも
いちいちレベル見に行くのはめんどくさいけど
ツイッターがタイムラインに流れてきたら
見るとかって言ってはいると思うんですよね
で何かそこであれって思ったら
詳しく見に行けばいいですね
ある程度自動化もできそうですね
ツイッターも
トップ10って仕事とけばね
いいと思う
来年2019は
期待ですね
仕事収めから出てくる
ニクターの観測っていう意味だと
カモさんあるんですよね
件数のことで
今度は上手かったね
毎回さ
話振るの評価すんのやめて
今のは自然だったね
今なんか話変えようとしてんやろ
お前っていう顔したんですよ
モニター見てたとき
自然感じたんですよ
観測結果毎回気にされてるじゃないですか
大好物ですよね
僕も件数大好物ですけど
2017年は
1500億件だった
サイバー攻撃の件数
とかっていう名前で
NICTで観測している
データを使われる
ケースって結構
多いですよね
本当に一人歩きしてる
あれ最初何件くらいから始まったんですか
2005年が
3.何億件
2005年からいけるのすごいですよ
NICTでもう13、4年
2005年から逆の方
36:01
って言えるのがすごいなと思って
大ファンだもんね
それがどんどん増えてくるんですよね
最初3億?
2005年が3億で
2010年が何件だったかな
ちょっと忘れちゃったんですけど
途中
僕今データ見てますけど
途中
128億件
パケット数ですけど
パケット数
そこそこ
そこそこ
そこ大事
何なんですか
これが
今日いい回ですよ
神回です
パケット数
正確に言うと
NICTという
ダークネット
使ってないアドレスを観測してるんですけど
なので何にも
サーバーとかパソコンとかが繋がってないところを
観測してるんですね
そこに飛んできたパケットを見てるんですね
なので基本的に
感染したとか攻撃成功したとか
は一切関係なく
僕たちのNICTの観測網に
年間飛んできた
パケットの数です
全部のパケットの数です
なので
大体の全体傾向が
見えますよっていう話
それが大前提であるシステム
それがちょうど
2013年に128億
パケット数
2014年に
256
ちょうど1ニッパーから256
めちゃくちゃ気持ちいい数字
何か得てましたよね
メモリのサイズか
僕らもちょっとドキドキしてて
2015年に51に
ドキドキしてる
1024かもしれない
だんだん増えていって
去年2017年が
約1500億パケット
すごいですよね
その
あくまでパケット数なんで
本当に重要なのは
1IPアドレスあたりに
年間平均で
どれくらい届くかっていう方が重要
なぜかというと
アドレスの数が増えてる
観測のアドレス数が増えるんで
当然パケット数も増える
受ける数が増えてる
なので
ちゃんとデータとして正規化するためには
1IPアドレスに
年間どれくらい届きましたかっていうのを
見ないといけないんで
それが去年が
1IPアドレスあたり56万パケットですかね
56
それでもだいぶ増えてますよね
2014年から
伸びがやっぱり大きいよね
これよく見ると
2011年12年くらいあたりから
だんだん倍々で増えて
いってるんですね
そこのあたりから
1IPアドレスに対しても倍々で増えてる
そうですね
なぜ倍々で増えているのかっていうのは
そのあたりから
昔2010年くらいに
チャックノリスボットとかで
39:01
ブロードバンドルーターに感染するやつが出てきて
そこからIoT
今でこそIoTって言ってますけど
当時はLinux組み込み機器とか
それがどんどん増えていく感じなんですよね
だいたい
全体の統計で
こういうもの増えてますよとか
例えばWindows系の
攻撃は比率的にはだんだん下がってますよ
みたいなのを
見るためのものなんですけども
それがメディアに出ちゃうと
日本への攻撃1500億件
みたいな感じになってしまって
そんなにかよみたいな
インパクトあるもんね
それが流通しちゃうんですよね
セミナーとかでもそういうの
使ってある人いますもんね
何件
捉え方として
今みたいな
例えばWindowsよりもLinux
組み込みとか
いわゆるIoTへの攻撃が増えてますとか
そういう文脈で使うんだったら
数字としていい気がするんだけど
今鶴井さんが言ったみたいに
年々年々日本への攻撃が
増大してみたいな
脅威を煽るような文脈でただ単に
数字を使いたいだけみたいなと
ちょっとその中身と違う
返りしてる気がするんだよね
数字の使い方って難しいなぁと思って
数字がタイトルに入ってる記事って
大体そういうもんじゃないですか
大体
煽ってるというか
見出しに入ってるってことですか
大体かどうかは分からないけど
そういうの多いよね
分かりやすいってのはあるんだよ
数字って分かりやすいし
伝わりやすい
間違っても伝わりやすい
でも一応増えてるのは増えてる
増えてるのは増えてる
なんか日本の政府機関に対する
攻撃が1500億とか書かれてることも
あ、そうなの?
政府機関ってのはNIGTが出してるかな
そうなんですよ
NIGT政府機関ですよねみたいな
無理やりすぎだよこれ
無理やりじゃなくて
政府機関が発表したってだけですもんね
結構
メディアに言うときには
かなり丁寧に説明をするんですよね
これは使ってないところのものなんで
直接何か
1500億回
攻撃成功したっていう話でもないですし
っていうのはやるんですけども
記事化されるとどうしても簡単な部分が
丸まっていったりしますしね
最初に出た記事って
記者さんがちゃんと考えて
こっちからのリクエストに答えて
書いてくれるとかあるんですけども
その記事をまた丸めて参照する記事
っていうのがどんどん出てくるんですね
そうすると
政府機関じゃないですみたいなのが
言ってたのがいつものように
どんどん
弁言ゲームで変わっていく
みたいなのがあるんですよね
それは他の事件とかで報道でも
時々ありますよね
途中で何か変わってるみたいな
なので
2015年までのレポートは
メディア向けに
42:00
情報出してたんですけども
2016年からレポートは
観測レポートで公開してますよね
あれすごいいいですよね
あまりにもやっぱり数字が変な形で
独り歩きするんで
ちゃんと僕たちのレポートの中には
これはどういう数字ですというのを
書いて出しましょう
そういう意図があるな
日本への攻撃1506
NICって言っとるじゃないかってなった時に
いやいや僕らはそうじゃなくて
僕らの観測網に届いたこういう数字です
最初のレポートの中には
これを
政府機関への攻撃ですというのは
間違いですって書いてあった
グラフィカルなところもあるのかもしれないですけど
日本への攻撃を
みたいな感じの見出しというか
図に説明つけるじゃないですか
一行ぐらい
それによく使われてるんですよ
日本への攻撃を
これ絶対
井上さん見てないやろなこの記事っていうぐらいの
やつが書かれてるのが
たまに見かけますけどね
結構使い回しで
世界地図上での攻撃が
飛んできてるみたいなのが
わかりやすいから
記事の内容と絵全く関係ない
あるあるある
記事の内容にNICT出てこないんですよ
全然出てけへん
悲しいなと思って
見てるんですけど
ちゃんと書いたらえらいですよね
2016から公開するようにして
あまりにもやっぱり数字が
独り歩きしすぎたっていうのがあるんで
ちょっと
ちゃんとしよう
もう結構絵時間ですよ
お?
45分ぐらい喋ってます
最近ちょっと麻痺してきてますよ
麻痺してないよ
1時間ぐらい
40分ぐらいじゃなかったですか
長くなってきてるんですよ
僕らの収録時間もやっぱ
倍々にしていかないといけない
最近は
パケット数増えてないですよ
そんな倍々には
そうですか
そうそう
パケット数でいうと
寛吾さんが言う通り
さちってる感じが
少しあれですよね
1500とか1200とか
2016年から2017年は
1.2倍ぐらいなんですよね
だんだんこの
マルヤの感染曲線みたいなのが
よくあるじゃないですか
立ち上がりがめちゃめちゃ早くて
安定していくみたいな
シグモイド曲線みたいな感じですけど
対応的にも
結構感染しきって
ちょっとさちってきているかもな
っていうのは
サチル
サチレーション
高止まりとか
そんなにずっと上がっていかない
初めて聞いた
ネットワーク系の用語かな
通信速度が
45:00
どんどん倍々で
速くなっていくんですけど
そんな無限に速くならないじゃないですか
ビューっと
安定していくのがサチル
サチルってのは初めて聞いた
安定してきてるとかっていう
表現は
ネットワーク用語でよく使いますね
エンジニアの人とかよく使う
今の話を聞いてちょっと思ったのは
20
わかんないけど
2016年ぐらい
未来とかが流行り始めたっていうか
ソースコードが
その前のキューボットとか
ソースコードがリミックされてて
みんなそれを勝手に
作り直していろんな人が
参加してアッシュが出てるじゃない
そうすると
サチルって一つの理由としては
パイは共通しかないのに
そこをいろんなプレイヤーが取り合ってるんだよね
そうするとハニーポッドで見てても
あるタイミングでは未来が完成したのに
次のタイミングでは別の
ボットが完成してて
そのまたちょっと後にはまた別のボットが
完成したみたいに取り合いになってる
感じなんだよね
そうするとさっき言った
ある程度
上限見えてるところを
みんなで取り合ってる
成長はエアドン化していて
今取り合いの競争になってんのかな
っていうのは実際観測でも
ちょっと見えてる感じはするよね
入ってきて完成して
別のプロセスを切ってとか
自分の
新しいバージョンのプロセスを
切ってとかもありますよね
結構アップデートして
相手方のIOTの悪いが
入ってこないようにとかって
プロテクトをやってる感じですよね
交互戦が
マルウェアの中にさ
切るプロセス名とかが埋め込まれてるんだよね
それに見ると
自分以外のマルウェアを
止めてしまうっていう
あとさっきユウさんも言ってた
IPテーブルでポートを閉じちゃうとかね
いろいろやってても
リブートすると切っちゃったりするから
また完成するんだよね
それを繰り返し
根本的に減らすにはさっきの話じゃないけど
脆弱性があるやつを
減らさない限りは
どうもならん
次のお話します
なんですか
今日はニクターに関する誤解みたいな
誤解というか
伝わっていく中でおかしくなっていく
ということを
井上さんに思いの丈を
語っていただきたいなと思ってたんですけど
ニクターに関しては大丈夫ですか
他に言いたいことあれば
この機会に言っておいてほしい
あのですね
大体言いました
井上さんもう一個
思ってることがあるんですよ
この間とある会合でも
おっしゃってた話があるんですけど
今日話そうと言ってた話題の一つと
関係してて
APT話ですか
APT10と呼ばれている
グループいるじゃないですか
48:00
僕の大好きなAPTですね
違う意味でね
別名で言うと
メニューパス
ストーンパンダという名前が付けられている
セキュリティのベンダーが勝手に付けた名前なんですけど
この名前定着したよね
APT数字が最近多くないですか
APT数字とかさ
コージーペアファンシーペアとか
しょっちゅうメディアで見てさ
なんとかパンダとか
タイガーとかはクラウドストライク
定着したよね
APTいくつっていうのは
マンディランド
なんとかベアーとかはクラウドストライク
割とあの辺の
言ってる名称が定着してる感じがあるよね
覚えやすい
確かにね
でも数字やめてほしいですけどね
数字は測りにくい
ベアーとかパンダはね
分かりやすい
分かりやすい
よく見てる数字は
28とかね
それで
そのAPT10って言われている
国家の背景があって中国なんじゃないか
という風に
いろんなベンダーが言ってたやつの
2人がAPT10のメンバーと思われて
2人が
に対してアメリカが起訴するという
アメリカ司法省がね
最近じゃないか
ここ何年くらい
今年は多い
今年は多いかもしれない
オバマ政権からも
いわゆる
ネームアンドシェルム
国際的に非難して
同盟国にも
強調してもらって
そういう戦術を取ってるから
増えてる気は確かにするね
ロシアとか中国とか北朝鮮とか
もう片っ端から起訴してる
結構やってますよね
それに対して
ファイブアイズ
ファイブアイズと
日本も非難を
一緒にするという流れが
同じタイミングで日本の外務省もさ
あれもちょっと珍しいというか
初めてじゃない
珍しいですよね
強調して
今までもファイブアイズって
ファイブアイズは
ファイブアイズ
どうしたんですか
ファイブアイズって一般的によく知られてる
ファイブアイズって
アメリカイギリス
オーストラリア
ニュージーランド
カナダ
5カ国の情報機関が
そういう特別な
契約というか
協定を結んでいて
情報機関同士が
強調して
いろいろやってるんだよね
その間は
例えば機密情報なんかも
ファイブアイズ限定で
共有OKという情報がいっぱいあって
その5つは
そういう意味では
いつも足並み揃えて
活動してるんだけど
そこに今回日本も加わって
6カ国が同じタイミングで
中国決しからんって
51:00
非難をして
ちょっとびっくりしました
珍しいですよね
タイミング的に言うと
明らかに足並み揃えているというか
事前共有しながらやってますよね
同じ日に同じタイミングで
やってますよね
事前にあったんでしょうね
出すことに意味があるんですかね
やっぱり
非難することにもやっぱり
いろいろ意味はあるんだろうね
なんでこのタイミングでやろうと思って
そうね
これはもううがちすぎた見方なのかもね
たまたまなのかもしれないですけど
ファーウェイと
ZTに
続けてまたポンポンときたなと思って
でもね
これって前の
大統領選挙に対するロシアの
介入とかも
アメリカの大統領選ですね
名指しで
アメリカが起訴したりとかやってるし
今回もやってるけど
多分に
政治的な側面
っていうかさ
背景がよくわかんないんだよね
なんでこのタイミングで
このタイミングで今言ったのも
今言ったような他の中国関連の動きと
連動してるのかもしれないし
そうでないのかもしれないし
単に起訴しただけで
これ別に中国に住んでる人たちが
捕まるわけじゃないからさ
実質的にどこに何かが起きるわけでは
ないんだけど
だけど
お前たちがやってることはちゃんとわかっているぞと
俺たちの調べがついてるぞということを
わざわざ言うことで
今後の外交とか
国際的な政治だったり
そういう国防関連の
動きで何か
圧力をかけたり
有利な状況を引き出したりするとか
わかんないけど
何かしらそういうのに使うということもあるかもしれないし
さっき言った
今までの既存の
中国に対する動きを補強する意味で
このタイミングに合わせたのかもしれないし
最初のAPT1
2013年の時にも
あの時にも
そんなことがあって
中国関連の動きが続いていた中で
あれを出して
出したのか
たまたまなのかわかんないですけど
そこの辺の意向というかさ
APT1の時には
民間の企業が
出したけども
多分中国でアメリカの政府の意向が
かなり強く反映されていると思うし
今回のはね
司法省の基礎だからさ
もろにそういうのが
色を濃く出ていますよね
出ているんじゃないかなと思うけど
わかんないけどね
相手もそれとちょっとさ
違う話ちょっとだけしていい?
あれ起訴された2人
あるけど半年ぐらい前に
イントルジュントルースっていう
全然
謎のグループが
いるんだけど
あそこのグループが名指しした人なんだよね
でその前に
APT3っていう
54:01
グループに対して
アメリカが起訴したことがあるんだけど
それもそのちょっと前に
イントルジュントルースが名指しした人を
そのまま起訴しているんだよね
でなんでお前ら
わかんの?みたいな
イントルジュントルースが
誰かわからないからね
結構ね
謎グループなんだけど
的確なことを言っている
だよね結果的に
あれ謎なんだよ
ブログで普通に公開してるんだよ
たまに出てきますよね
謎グループね
シャドウブローカーズとかもそうじゃないですか
謎グループだったじゃないですか
シャドウブローカーズを並んで今2大謎グループ
世界の2大
シャドウブローカーズはさ
ロシアだとかいろいろ言われてるけどあれもわかんないでしょ
イントルジュントルースもわかんないけど
あれでもなんか
シャドウブローカーズは
アメリカと思われる
グループ
に対しての攻撃だったじゃないですか
イクエーショングループに対する
イクエーショングループイコール NSA
と言われてますけど
アメリカじゃないかもしれないとか
ロシアだとか言われてましたよね
今回のは
アメリカに対してじゃないですよね
中国に対して
その前のAPT3も
お前ら中国だろって名指しして
批判していたら
アメリカの司法省が起訴してるとかね
なんだろうねあれ
どうなんですかねあれは
誰だろうなって気にはなりますね
逆になんかもう
アメリカがイントルジュントルースの
を見てやってたらめっちゃ面白いですけど
なんかね
関連はしてると思うんだけどね
情報共有くらいはしてるかもしれないですよね
情報提供かなと
あるいは背景動いてる人たちは
そういう情報機関とかの関連の人なのかもしれない
知らないけどね
わざわざブログで公開してる意味がなんなのか
わかんないよね
そうですね
今回の起訴のやつもさ
表に出てない情報とか色々たくさんあるはずで
そうですね
これの情報も
どこやとかも変えないでしょうからね
だって起訴するってもう
最終手段じゃないけどさ
最後の最後じゃない
確信なだけでもやんないじゃない
でも表に出てる情報だけでは
確信が持って言えるのかよくわかんないじゃない
イントリューショントゥルースが出してるブログの内容も
これだけでなんか
こじつけっぽいなっていうこと書いてるからさ
協力者なのかもしれない
例えばイントリューショントゥルースの仲の人が
誰かどんな人かも
属性もわかんないですけど
俺はここまで調べられてこう思うと
そこから先は自分ではできないんで
って情報提供してるかもしれない
かもしれないな
だからその
表に出てない情報で
ヒューミントとかさ
既存のいろんなことを使って裏を取ってるのか
そこら辺は全く
わかんないからさ僕だから
でも何かあるんだろうね
もしくは情報提供してるわけじゃなくて
57:01
ブログを書くこと自体が
情報提供なんかも誰かの目に止まってほしい
と思ってるだけかもしれない
用途がわかんないからね
用途がわかんないんだけど書いてあることは
結構信憑性が高いことを書いてるからさ
謎だなと思って
ごめんちょっと話逸らしちゃったけど
そこで気になってくることが
外交的なカードとして
使って名指しするっていうのって
大事なことじゃないですか
向こうから引き出すなりなんないとか
ってことを考えたときに
それってみんなが考えなあかんのかなっていうことを
前にも話してた気がするんですけど
そこで二上さんがアトリビューション
これは誰による
どこどこの国による
攻撃だっていうことに一言
なんかあるんですよね
大してないよ
長かったぜ振り
気になってるって言ってたよ
言ってなかったですか
最近やっぱ
アトリビューションとかスレッドハンティングとか
すごい流行りじゃないですか
バズワード的になってる
そこに対して
あとだからそれでまた
サイバーインテリジェンス情報とか
ビジネスが始まってるじゃないですか
結構高いですよね
高いよあれ
高いですよね
でも結局蓋開けてみないと
サイバーインテリジェンス情報
インテリジェンスって言ってるんですけど
何が入ってるか分かんないとかもあるじゃないですか
でも結構それをビジネスとして
売ろうとしている人たちがいて
でもアトリビューションって
それこそ中小企業がやらないといけないのかとか
大企業であっても
セキュリティ関係ないところがやらないといけないのか
って言うときっとそうじゃないんじゃないかな
と思うんですよね
今アトリビューションアトリビューションで
みんなでアトリビューションしないといけない
ちょっとノリになりつつあるのが
若干どうかなって思ってるんですよね
難しいよね
さっき言ったさ必要なケースってのはあるよね
特に国のレベルとか
あるよねっていうのと
という視点が一つと
あと間違いやすいっていう
間違いやすい
難しい非常に難しい
断片的な情報を集めて
攻撃者が誰で
お前の帰属先はこの国だろうって言うって
確信を持って言うっていうのは
かなり難しいじゃない
セキュリティベンダーも
ハイコンフィネンスだって言ってる場合もあれば
いやこれちょっと自信ないけど
この国かなみたいな感じで
言っているところもいっぱいあるしさ
最近もなんかありましたよね
セキュリティコミュニティに
ここから先は任せたみたいな
オペレーションシャープシューター
直球で言うんですね
シャープシューターですね
あと当たり前のように
もし本当に国の情報機関が関わっているとしたら
騙すテクニックをいっぱい使って
他の国だと思わせるようなことを
いっぱいやってるはずなので
それをちゃんと見抜くっていうのはすごく難しい
アトリビューションがとてもハードだ
っていうのは共通認識だと思う
それをあえてやる
1:00:01
から間違いもあるよ
ということを知った上でやらなきゃいけない
あと間違いないで本当にちゃんとやろうと思ったら
さっきの話じゃないけど
複数のそういう
いろんな民間だったり
政府機関だったり
のところのいろんな
知恵とか情報を集めて
ようやく
分かるっていうレベルで
どっかの企業が
単独で何か調べて
パッと分かるっていうレベルは
たぶんそんなにないと思うんですよ
例えば
ワードで使われている
フォントがこれやみたいなやつとか
それはそれで意味がある
情報かもしれないけど
いきなり攻撃者とか
国にたどり着くかって言ったら難しいじゃないですか
わざとそうしてるかもしれない
だからそういうのをちゃんとやろうと思ったら
なりにそういう体制がないとできないし
間違いやすいし
本当に必要なレベルっていうのは限られてるし
とか考えると
それって今
自分たちには
それが分かったところで
そんなに言うほど守り方とか対策は
変わるわけでもないなと思ってるんですよ
変わる場面もあるかもしれないな
とは思うけど
それがだからどれくらい
時間とかコストとかいろんなものをかけて
やってそれに見合うものなのか
っていうのは
一個の会社がとかっていうレベルで見ればね
そうそうそうそう
中小の企業だったり大企業だったり
いろいろ立場あるけど
自分たちにこの情報は
活用うまくできるんだねとか
そういうのを考える必要があるんじゃないかなと
ちょっと確かに踊らされてる感が
僕もすごい感じてて
僕もたまに言うんですけど
発表するときとかで
こういう話ちょっと厚かったりすることもあるんで
よく言うのが新聞
新聞だけじゃなくてテレビもそうですけど
新聞やメディアの見出し
一番大きく書かれてるとか
一番大きく発せられてる情報が
全ての人間が
同じように考えないといけないっていうもんじゃないですよ
そうね
自分たちにとっての
ニュースとか情報の
意味とか価値は何なのっていうのをね
考えないと
今はやはりその
教員インテリジェンスなの
ダークウェブの情報なの
いっぱいあるけどさ
価値のあるものも当然中には
有効に使えば
いいものもいっぱいあるけど
でもね
ぶっちゃけ大半のところには
抵抗せないと思うんだよね
あんまりそういうのに
踊らされないほうがいいなー
って見てて思うけどね
中意喚起が出てたんですよ
どっから?
APT10と言われるグループによるサイバー攻撃について
っていう中意喚起が
どっから?
それはこんなの出てます
外務報道官談話が出たじゃないですか
それを受けて出てるんですけど
それはアメリカからとか英国からとか
発表されてますよと
それは知的財産を取るために
1:03:00
取るような被害につながっていると
国際的な関心も高まってて
っていうやつが
冒頭に書いてあるんです
その後に書いてあるのは
この種の攻撃には様々な変種
関わりがあるんですね
手口がありますが日頃から
不審なメールや添付ファイルは開かない
OSやプログラムの
パッチやアップデートを
過急的速やかに設定するなどの
適切なサイバーセキュリティ対策の
一層の強化を行うとともに
不審な動きを検知した場合は
速やかに諸葛省庁
セキュリティ関係機関に
連絡してください
いつもやないかい!
だいぶ短くなってきたね
いきなり途中からね
そういうことでしょって
そういうことなんだよね
やることはあまり変わらないんだよね
そういうPDFが出てた
一般のレベルでは
やることは変わらないんだよね
どこそこのAPTがやれ
活発に動いているのは何なのって言われても
それに見合う
動きが必要なところっていうのは
ある程度限られるっていう感じ
そうですね
私これ見てて逆にちょっと不安になったのが
一番最初の
国内において
きっかけになったのが
外務省談話
外務省が出した
報道官談話
それを受けてニスクが
注意喚起を出して
さらにその注意喚起に受けてIPAが
これに気を付けてくださいっていう情報を
出してるんですよ
共同報酬取れてないんですよね
基本的にこれって
ニスクがイニシアティブ取って
各関係省庁に対して
働きかけをすべき
まあそうですね仕組み上そう
その時点ですぐに
順番が逆になってんじゃないかな
っていうのはもうこれで見えちゃうんで
日本共同的に
動けてないな
っていうのが見えちゃうっていうのは
すごい国際的に見ても
なんかちょっと違和感感じる
なるほどね
そういう視点もあるか
でも難しいよね
たぶん今回の話は
外務省主導で行われてるんだろうからな
主導で行っちゃうっていう
時点がちょっともう
なるほどね
足並み揃ってないなと諸外国からは思われる
これじゃないですよね
ニスクに頑張ってほしいと
本当そうなんですけど
ちょっとそこは見ていて
気になったんですよね
そういうのはさっきの話じゃないけど
本当に例えば今回のはたまたま
アメリカ初だけども
日本から
今日本に対してこういう攻撃活動が行われていて
例えば特定して
国の帰属者権まで
特定してとか人を特定して
避難をしようとか
そういうふうに思ったら
関係省庁とか民間とか巻き込んで
協力してやらないと
絶対無理だと思う
でも今今そういうことができる体制かって言ったら
日本はなってない
そういう感じもするし
そうですね
1:06:00
ただ今月
サイバーセキュリティ基本法の改正が通って
協議会ですか
協議会ですね
法的な後ろで伊達ができた
情報共有の仕組みっていうのができる
変わりますか
それが機能するかとか
そういうところですよね
情報共有の仕組み好きやからな
みんな見てると
いっぱい作っちゃうからね
情報共有
疲れしてるところ
バカモノの
情報共有
バナレ
そうね
情報共有スキームいっぱい作りすぎて
情報共有スキーム同士の情報共有が
できてないんじゃないかも
アイザックアイザック問題ですか
アイザックアイザック
アイザックだけじゃないですけどね
色々ありますけど
個別に集まりすぎなんじゃないかな
結局バラバラ
なっちゃうぞっていう気はしなくもないな
という
情報共有
疲れかどうかは分からないけど
活用の仕方はやっぱり難しくて
どうしても提供する側と
受け取る側の
バランスが悪くなるっていう点と
受け取る側は
くれるものは何でもくれっていう感じで
とにかく色んなところに入って情報をもらう
っていうのが
見えるんだけど
もらった情報じゃどうやって生かしてるんだ
っていうところまで
あんまり
深く検討されてないっていうか
どう活用したか
活用できなかったっていうことも一つだと
思うんですけどそのフィードバックが出す側に
来てないんじゃないかな
それはセミナーでも前に
喋ったけどそういう話
そこはやっぱりまだまだ難しいね
継続して取り組んでいかないと
まだ
こなれた共有になってない
感じがするよね
とりあえず枠作りましたみんな出してねみたいな
受け取ったら活用してねって
いう
良かったのか悪かったのかも分からないので
出す側からしたら辛いですけどね
セミナーとかでもアンケートとか無かったら嫌でしょ
そうね短いところでそういうのあるかもね
だから情報共有の場で
提供する側の人とかと話を聞くと
やっぱそのそれが
生かされたのかどうかっていうのが
分かんないから
難しいって言ってたよね
フィードバック重要ですよね
すごく重要だと思う
それがどう活用できなかったのかとかっていうのはね
それがないと出したら出しっぱなし
受け取ったら受け取りっぱなしで
ってなっちゃうとね
あんまり
なんかアメリカ
FBIとかは結構
パブリックプライベートリレーションシップ
とか彼ら呼んでますけど
民間のテックの会社との
連携とかをすごくやっていて
一緒になんか
テイクダウンとかやってるじゃないですか
そういうFBIのクローズドな
ワークショップとか行くと
1:09:00
もうこっからは
FacebookとかTwitterとか一緒になしで
そっからはこういうデータをもらったんで
こういう人たちを捕まえたぜ
みたいなのを
捕まえた人のパスポートの写真とか
バンバン出しながら
プレゼンしてて
それがまたすごい面白い感じで
にあるんですよね
めちゃめちゃ面白いですよ
やっぱりそういう
こういう情報を受け取ったから
こういう効果が出たんだ
ありがとうっていうのを
連携してワークショップみたいになっていて
そういうのってすごく進んでるなと思って
やっぱりもらった側がブラックホール組織
になってしまうとやっぱり
提供する側も
やっぱり組織でいろいろと
仁義を切って
あそこに提供しますんでとか
エフォートを割いてるわけじゃないですか
で吸い込まれただけで
3ヶ月後くらいに
提供元の組織であれどうなったんだっていう
いやちょっと上げたんですけど
ありませんってなると
モチベーションもね
続かないですよね
結構やっぱり
NISQの中でもいろいろと
情報共有の取り組みされていて
僕も一部ちょっとなどの中入ってたりもするんですけど
NISQの中でも相当
そこは意識をして
やっぱりもらった側もちゃんと分析能力を
高めて
できっちりと使って
使った結果をどうフィードバックしていこうか
っていうのはかなり真剣に議論してるみたいですね
なんか今日深い話してんじゃないの
いいんじゃないですか
最初のトイレの話はどこ行ったみたいな
あれカットカット
言っていらないと
カットできなかったから
カットできなくなっちゃいました
いやー
なかなかいい話
一応話バツって切り替えて編集店作っといた
いやゲストが
いらっしゃると
広がり深みも変わりますね
ゲストがいないと普段
僕の店さんだけだと雑談が多くなるからね
雑談と
ディーロストアノリマスの話
少ない話しかしてないから
いやいや
でもあれですよ
今日のこの話の延長戦がありますから
延長戦というか前哨戦ですか
そもそもなんで今日汗まってる
そうですよ
本当だよね
家帰ってやることないんかお前ら
暇なんだね
僕らが暇ってことで
いいことなんですよ
今日井上さんに来てもらって
ゲストに呼んだわけじゃないんだよね
元々打ち合わせです
元々井上さんが主役なんだよ
何の打ち合わせですか
これですね2019年来年
2月7日に
NICTサイバーシクリティシンポジウム
がありまして
そこでこのお三人さん
鶴井さんネギさんピオカン君さんと
僕で
今日のメンバーで
4人で出てきたから
今まで聞いてる人
誰が喋ってるかわからない
リスナー3人だけ大丈夫
1:12:00
今日の話の延長の
パネルディスカッションじゃないですけど
雑談を
みんなの前でしましょう
今の話そのままでいけないの
今録音したやつそのまま流れてる
でもほら前に座ってるだけ
めっちゃ楽ですよね
恋恋の話とか流れますから
よくあるじゃないですか
EVDのやつよくあるじゃないですか
流れてる映像に見てるやつが
声上げてるやつ
監督とかが
後から
ああいう感じ
でも声に声出してもわけわかんない
8人のおっさんが喋ってる
2月7日
それも一般の
会員じゃなかったら来れないとか
これも誰でも
毎年やってる新ページ
誰でも申し込めば来れる
APT10の人も来れる
はい来てます
来ねえよ
来ないですよね
何話してますかね
これもう申し込みページは
できてるんですか
来年年明けに
申し込みページ
出たらツイートしましょう
このページです
何人くらい来れるんですか
毎年150人から200人くらい
来れるんで
結構な人数
新橋で
新橋の
AP新橋
アドバンスの
アシステント新橋
お買いを招く
APS
全然必要だ
ちょっとハモったんですけど
そこでやる
楽しいですよね
そうですね
真面目な話になりましたね
数字の話は絶対
それやりたいですね
過去にも何回もやられてるイベント
これ過去に何回もやってるんですけど
結構過去は
割とお堅い感じで
招待講演してもらって
うちの人がみたいな感じだったんですけど
今回初のコミュニケーションで
またアウェー
今回やって
試されてるのは今回ですから来年ですよ
来年またお堅いのに戻ったら
あかんかったってことですよ
あれはイレギュラーです
僕らだいたいそういうの多いからね
アウェーしかないですね
ホームどこなんですか
ここ
ホーム
実際ホームだしみたいな
ホームないですよね
アウェー
この間の集まりも
クリスマスにね
アウェー感すごかった
お堅いところに
風穴と爪跡
爪跡を
今みたいな
いろいろ
テーマについて
なんかこういう
今日は件数の話もしたいし
件数やりたいですね
別に井上さんに
1:15:00
こういう件数なんですよ
パケット数で
倍々で
あとリビューションの話もしたいな
今日以上の話
ないかもしれんけど
今日話した
けどきっと新しい
ネタもきっとありますし
今日話した以外にこんな話したいな
とかってあるんですか
これは言ってほしい
こんな感じで
時間何分くらい
時間ね
これだけで1時間15分
トイレのやつを切れば
トイレ15分
トイレ15分
たぶん1時間くらい
そんなもんでしょうね
もうちょっと資料とかも
入れながら
60分560分あれば
2つか3つくらいの
言うであっちゅうまですから
そうなんですよね
自己紹介もありますから
アノニマスにだけ行かなければ大丈夫です
そうですね
アノニマス禁止で
禁止でしょ
分かんないですね
何かって
ほんまに知らんときの顔してますね
IWC
鯨関係の話があったんで
でかいのが来るかもしんない
これまでに
じゃあ禁止で
そういう話は他でもいくらでもできる
そうですね
NHKのシンポジウムから
井上さんとやる
やる話
ならではの話
その話しようよ
逆にミートなんとか清
ミートバッカー清
またそこ
気になる
ミートバッカーにまた来るのか
そっち行くと長くなるから
楽しみじゃないから
ミートバッカー清はデックジで扱ってない
色々言い出すから
英語以上の肉しか扱ってないから
楽しみですね
2月7日
すでに今日この話した感じで
いけそうな気がしてきてるんですけど
もうちょっと頑張って
そうですね
まだ時間もあるし
年明けて1月2月でしょ
1月1日くらいか
そうですね
大きい事件まだ起きるかもしれないしね
そのタイミングでまた
2018年の観測レポが出てるはず
それも呼んどかないといけないですね
いよいよ2000億になるか
そうですね
どれくらいまでいくのか
IP数がどれくらい去年から増やしてるんですか
観測のIPアドレス数は
そんなに1万2万増えてるわけじゃなくて
30万ちょっと増えるぐらい
じゃあ全体は変わらない
完全に変わらないですね
まあ
予測としては2000はいかないでしょう
1700くらいじゃない
いったとしても
1700
去年が1500
1.1倍ぐらい
もうちょっといってるかな
800
1:18:00
みんなそれぐらいいくんですね
じゃあ僕ちょっと
上の方いっとこうかな
2020
2020億キロ
言いたいだけでしょ
2020
言いたいだけだよね
来年2019ですよ
それに先駆けての
ってことはあれか
2020年には
2025億円
ちょっと半端に
大阪版
分かりにくい
そのうち怒られると思う
こんな的なことばかり言ってる
カウントしてる人も切れますよ
ずっといい話だったな
最初と最後
しかも絶対怒られるのは僕なんでしょ
そうです
来年も頑張っていきましょう
楽しみに
これぐらいで
良いお年を
01:18:31

コメント

スクロール