1. セキュリティのアレ
  2. 第62回 IcedIDに無くならない..
2020-11-09 1:00:23

第62回 IcedIDに無くならないスクリーニング!二年ぶりにブログ書いたぜ!スペシャル!

Tweet【関連記事】 ・Analysis Center on Twitter: “先週から複数の[...]

The post 第62回 IcedIDに無くならないスクリーニング!二年ぶりにブログ書いたぜ!スペシャル! first appeared on podcast - #セキュリティのアレ.

00:00
なんかもうあれですね冬の予想多いじゃないですか最近 今週ちょっと寒いよね
なんかちょっと寒いしまたねコロナも増えてきてるぞみたいなニュースもポツポツ なんかね北海道寒くなってきたら増えてきたみたいねなんかやだねちょっと
そうなんですよねそれに何か加えてあの 神奈川県が今までで一番多い感染者数を出したと
あ、そうなの?忘れてなかった 11月7日現在ですけど今までで一番多かったみたいですよ一人
いや1日で感染者数が ちょっとじわじわ増えてるねー
そうなんですよねだからなんかちょっと 髪とかも切りに行きたいんですけど外で極力減らすっていう気持ちもあるんでねどうしよう
かなとかって思ってたら なんか髪の毛皆さんも美容室とか行くでしょ
はい でなんかあの髪の毛
その時なんて言って行きます?髪切りたいなーとか髪切ってくるわーとかって子供の頃から言ってません?
うん おかしいなーってちょっと思って
なんで? 髪切るのは美容師であって自分じゃないんですよね
マッサージもマッサージ行ってくるわーってマッサージ受けてくるわーやんとか 髪切ってくるやんとかって言うのに髪切ってくるっていうのはなんか不思議な表現やなーって
最近ちょっと思ってたんですよ 切ってもらうか
そうそうそうそう髪切ってくるわーっていうのはそれは美容師が出かける時の言葉じゃん
細かいな
そうなんかそんなことを考え始めたら今度なんかいろんなこと気になり始めてピーマンの肉詰めってあるじゃないですか
あれピーマンにピーマンに肉詰めですよね
ピーマンの肉詰め何に詰めんねんみたいな感じのことまで気になり始めたという一週間だったんです
平和ですね
平和?
平和だった
平和だったかな平和やな
平和ですね
始まってますよ始まってますよもう
平和な始まりでした
平和な始まりでしたね
まあまあそんな寒さもコロナも吹き飛ばしていきますか
そうですねすごいいい感じのこと言ってくれましたね
なんか今のがセミナーやったらめっちゃやる気出る感じの始まりか
おねぎさん今日乗ってるなみたいな
はいやる気出してください
いやいやポッドキャストでもやる気出していこうよ
そうですよねむしろポッドキャストの方が力入ってるんじゃないか説みたいな
ほらほらほらほらほら
でもなんかあれだよね毎週の定例になってきたから肩の力抜いてやれる感じよね
03:01
なんか自然体ですよね
そうですねなんかそのちょくちょくこう3人で3人でとかもしくは3人が含まれてる回に出させてもらう時あるじゃないですかこの3人で
それもなんかちょっとなんか話す時にじゃあいつもの感じでみたいな感じでみんな言うけど
いつもの感じでこれのこと言ってるんですよね
そうですね
手術みたいなものが入れ替わってるなみたいなこと最近ちょっとこれコロナ禍の影響でもあるなっていうことはいつも思うんですよね
確かに
なんかちょっと前にねあの何月でしたっけねあれ9月でしたっけあのマイナビでやらせてもらった時あったじゃないですか
はい
あの時にあのねぎさんか僕かどっちかがじゃあいつもの感じでみたいな感じで言ったんですよ
多分覚えてないと思うけど
多分俺だなそれ言ったんだな
多分そうですねでそのちょうど多分その後ろねぎさんが見えへんところねぎさんの視覚になってるあたりに徳村さんがいらっしゃって
いつものってなんやねんみたいな顔されてたんですよ
あれいつものってなんやろなんやろみたいな
それはそうだよな
僕も特にフォロー入れず始めて始めたんですけどねあの時は
注意しよう確かに
でも板についててまあやりやすさはあるんでまあ雰囲気はこうやんわりできるから
いい感じでスタートできるんじゃないかなと思いますけどねこの感じ
まあそうですね
まああんまりこう内輪内輪な感じをお客さんに伝わらないようにしないといけないなっていうのはちょっと注意は
そうですね
しないといけないですねなんていうことを考えてたんですが
じゃあまあ今日もいつもの感じで
始めていきますか
はい
今日はどうします誰からいきますか
誰からいきますか
看護さんがいきますか
はい
私からじゃあいきましょう
そうですね
あのですねちょっと今週
まあツイスター的にはなんか平和だって話もあったんですけど
はい
実はですね
はい
今週初めかな
3、4ぐらいにあの
マルウェアに感染させるメールが
ちょこちょこばらまかれてて
あの
もしかしたら感染された
がまあそれなりにいらっしゃるんじゃないかなっていうのはちょっと
気になっておりまして
はい
なんかそのマルウェアプラスなんか
はいなりすましメール
まあスパムメールとかっていうとあの
エモテと結構連想するじゃないですか
まあそうですね
ここ最近ずっと
それすごい流行ってて
実はエモテとではない別のメール
別のウイルス
ウイルス
マルウェアなんですよ
名前があの
ちょっと正式にその読み方なのかって私知らないんですけど
アイスドアイディ
っていう名前の
アイスドアイディ
06:01
アイスドアイディか
そういう名前のマルウェアに
感染する
なりすましメールが
結構あちこちで
観測されてる感じですか
観測されてたようで
まあツイッターとかでも結構その
アイスドアイディに
感染させるメールが来ました
とか飛んでますみたいな話
されてらっしゃる方
いたりあるいは
JPサートCCも出してたかな
なんか注意喚起みたいな
なんかツイッターで出してたよね
分析センターみたいなアカウントから出てたやつですかね
フラッシュ的な感じの確か
扱いだとは思うんですけど
予兆というか警戒みたいな形での
投げかけを
ツイッターでされていたりとか
これなんで
改まって
こういう話になってるかというと
手口はですね
めちゃめちゃ
エモテトに似てるというか
ほぼ一緒
メールの文面とかそういう感じのところですかね
やり口は
エモテトまでは
正直言ってないんですけども
例えば
感染した端末から
おそらくなんですけども
盗んだメールの
データを使って
件名をまた
返信メールのように見せかけたりとか
あるいは
署名を使ったりとか
署名にその名前を使ったりとか
メールの下に付いてるやつですね
はい
あとちょっといやらしいのが
これは今回から
ってわけではないんですけど
前からはそういう挙動だったんですけど
パスワード付きジップで
添付されて
送られてくるっていう
よくあるゲートウェイすり抜ける
ため系のやつですね
そうですそうです
なんで日本の人が
ここまで騒いでるかというと
メールの文面が
今回が初めてかっていうのは
私情報持ちやすくないんですけど
日本語なんですよ
あと10月の多分
下旬ぐらいにも結構出てた
って話なんですけども
最近飛び交ってる
愛すドIDに感染するなりすましメール
っていうのが日本語の文面で
文面がですね
非常にシンプルなんですけど
例えば
先ほどご紹介した
JPサートコーディションセンターの中に
こんなメールが来てますみたいな
サンプル
明示されていておはようございます
ご確認よろしくお願いいたします
パスワードこれです
っていうような
すごいシンプルな
だいたい本文がこれと同じような感じ
なんですかね
だいたいこの使い回し
だから
エモテットで見られた
本当に本文まで転用して
返信
してるかのように見せる
っていうところまでは正直まだ
やってないんですけど
自分で作った
09:01
的な感じのやつなんですかね
フィルターをやっぱり
パスワード付きジップ
で抜けてしまってる
可能性がやっぱり高いらしく
あれらしく
実際メール届いてしまって
開いてしまってる方
いらっしゃるんじゃないかなと
私なんでこんなこと言ってるかっていうと
エモテットの
ばらまきと合わせて
注意喚起の数が
総勘とまでは
いかないんですけども
少し増えるとか
そういう話したことあったかと思うんですが
ここしばらく出ている
注意喚起なりすましメールが
発生してしまって
ご注意くださいって
そういう投げかけをされているようなもの
おそらくこの
Iced IDに関連している
ちょっと感染を
残念ながらしてしまった組織なのか
あるいは感染した
組織を通じて
なりすまされてしまった
別の全然
感染は直接していないんだけども
っていうところの組織なのか
ちょっとそこははっきりしたことは
私言えないんですけども
単になりすまされただけかもしれない
ここ最近ちらほら出ている
なりすましメールの注意喚起
おそらくは
このIced IDに関わるもの
ではないかなと
ちょっと紛らわしいけどさ
さっき紛らわしいと言ってた
エモテットは
もう
並行して活動は続いているの?
私なんでこんなこと言ってるかというと
実は最近
国内の
エモテットのばらまかれ方って
すごい落ち着いてるんですよ
数が減ってきたんだ
多分ほぼほぼない
って言っていいぐらい
全体を見てるわけじゃないので
そこははっきり言えないんですけど
私が見てる範囲ではかなり減ってます
なるほど
それが減ってて
代わりに似たような手口で
このマルウェアの感染が
拡大しているのではないかと
それはちょっと厄介ですね
手口めちゃくちゃ似てるじゃないですか
さっきご紹介したように
なので
おそらくこれIced IDなんだろうな
って思われる注意喚起の中に
結構エモテットに関わる
情報を掲載されている
組織もいくつかあって
うーん
混ざっちゃってるんですね
エモテットじゃないのに
エモテットと言っちゃってる
みたいな感じなんですかね
簡単に見分けられないの
うーん
簡単にっていうのがちょっと
どういうレベルか分からないんですけど
本文はこのIced IDの
今出てるものは
ほぼ使い回しなので
そこから
このメールから感染したのかなっていうのが
ある程度はっきりしていれば
そんなに詳しくなくても
見分けやすくかな
一般の企業とかとあれか
マルウェアの種類まで特定してどうこう
12:01
っていうのはなかなか難しいかもしれないもんな
そうですね
なるほど
単に鳴りすましのメールが来たっていうので
これ今流行ってるエモテットだみたいな
言ったじゃないですか
私もそうですけど
ちょっと盲点だったなと思ってて
若干危険だね
対策とか
対応とかってやっぱ違うもんね
これ
署名が付いてるって言ってたじゃないですか
これはあれなんですかね
僕は実物の
署名は見てないんですけど
署名自体っていうのは
どっかから盗んできたやつとかじゃなくて
適当に作ってるんですかね
いやおそらく感染した端末から
抜いてきてるんじゃないですかね
そうなんですね
これあれですよね
僕も
見たことある名前やなと思って
調べたんですけど
検索してみたんですけど
これって結構前からあるんですよね
そうなんですよ
2017年かな
あるみたいっていう風に書いてあったんですよね
パラッと検索した時に
でなんかふと思ったのは
これってもともと
エモテッドのインフラを使って
ばら撒かれてたやつなんですってね
その当時
ブラックベリーとかも
そういうデポって出してますよね
そうそうそうそう
エモテッドに感染して
二次感染っていう形で
このICEIDが降ってくるっていうのは
なんかあれなんですかね
エモテッドがちょっと休憩みたいなところで
インフラがもったいないから
誰かに貸そうかみたいな感じなんですかね
なんかポスト感がすごいなって
タイミングといい
少し狙ったかのような
そうそうそうそう
そんな感じはちょっと
わかんないですけどね
なんかあってもおかしくないですよね
そういう印象をちょっと受けたなって感じ
ですかね
なんかその標的型ダンサムが
すごい
流行って
で同じような
手口やり口を真似する
似たような
標的型ダンサムの
マルウェアって増えたじゃないですか
あのリークを
リークサイト作ってみたいなね
エモテッドもなんかすごい
この手口がいろんな人に刺さる
っていうのをある意味証明を
してしまってるので
それを真似する
類似の手口を使う
マルウェアとかそういう活動をする
キャンペーンが
2時3時と起きても
全然おかしくはないのかなっていうのは
今考えれば
そうだなと思って
だからちょっとエモテッド危険エモテッド危険
って言い過ぎた弊害っていうのも
少しあるのかなっていう
なるほど難しいねそれはでも
はいいや難しいんですよ
幸いというか
やるべきことは
そんなには変わらないので
エモテッドに感染してしまったケースと
なので
全く真逆の
15:01
ことを対策として
やってしまうとかっていうことは
少なくとも今のISOIDで
確認されている
状況においては起こり得ないとは思うんですけども
例えばそのメールクライアントの
ログイン
用のIDパスワードを
ちゃんと感染したら変えましょうとか
その辺はちゃんと
有効なんですけども
もしこの辺が少し変化が起きた時に
エモテッドが
っていうのがすごい頭の中に
皆さんやっぱり強く残ってしまっているので
なんかその辺が
変に作用しなければいいな
っていうところとこれを逆に上書きするのも
上書きっていうか
上書いちゃいかないですよね
エモテッドがまた起きたら困るわけですから
難しいなと思って
肌から見ている事象そのものは
そんなに素人見分けがつかないわけで
咳だけしている
状況の人を
単なる風邪なのか
全然別の病気なのかっていう
判別するような状況じゃないですかそうなると
確かにそうですね
なかなか難しいなっていうのを
このIced IDが
今週初め少し活発に
活動していた様子を見て
ちょっと考えてしまいました
なんかあれですね
手口の共通部分が何かとか
見てみると面白いかもしれないですね
そうですね
例えば
Iced IDはIced IDとエモテッド
両方とも添付ファイルはするけど
実はIced IDは
リンクは今のところやってきていないとか
例えばね
その感染した後も
ちょっと動きが違うとかっていうのが
あるといいかもしれないですね
基本的にここは抑えとかなあかんというところは
そんな大きくは変わらなさそうな感じ
はい今のところは
そうかなと
あれだね
今どういう攻撃が流行っている
どういう脅威があっていう話も
もちろん大事で
それも伝えていかなきゃいけないけど
大西さんとかの話を聞くと
多分エモテッドに感染しちゃうようなところは
こういう別のマルウェアにも
感染しちゃう可能性が非常に高いというか
なんかね
基本的な対策がおそらくできていないんじゃないか
と思われるので
今来ている脅威に対応するという観点も
大事だけど
基本的なマルウェア感染の対策とか
メールからの感染を
どう防ぐかとか
そういう対策をしとけば
どんなのが来ても
防ぐことができるんだとすると
そっちに注目
もっと注目するというか
そうですね
そっちの方をもっとより伝えていくというか
エモテッドが大感染して
今大変だということを言いつつ
対策は基本的にこういうところをちゃんとやりましょう
というか
それを分けて伝えるというか
伝え方がなかなか難しいかもしれないね
やっぱり手洗い油害は大事
みたいなところですよね
そうだね
そういうところはちゃんと聞くよ
コロナにも効くんだしね
それをしとけばインフルエンザの感染者が減ったみたいな
現実世界でもありますからね
そうそう
18:01
確かに実際に出てますしね
そういうアナロジーが有効かもしれないね
やっぱ基本が大事やな
そうですね
基本大事ですね
難しいですねそういうのね
なかなかね
医者みたいな専門家でなければ
細かい違いってやっぱ分からないもんね
風邪は風邪やもんな
素人目からしたらね
本当そうですよ
そうだね
あんまりつきわき場的な知識とか
振り回すよりは
基本に忠実にやった方がいいのかもしれないな
いい話やな
ネタが浮かんだぞ
いろいろ
質差に富む話だね
議論したいですよね
別のところで
いいですね
それどこかでやりますか
どこかでやれそうな予定
いくつかありますからね
いっぱいあります
その時の資料は
僕が作るんですよね
いいネタありがとうございました
ということで
次の方のお話に移ろうかと思うんですけど
次はねネギスさんで
ネギスさんお願いします
私ですか
私はですね
今日は久しぶりかな
前にもポッドキャストで
何回かは取り上げてると思うけど
不正ログインの
話をしたいなと思うんですが
最近のネタじゃなくて
これちょっと前なんだけど
いつぐらいですかね
先月かな
10月の13日に
広告が出てるんだけども
東京電力の
会員制のウェブサービス
ウェブっていうのがあるんだけど
ここで
発表は13日だけど
10月5日から11日の1週間の間に
不正ログインがありました
っていう
報告が出ていて
結果的に何が起きたかというと
260件
会員ページの
不正ログインがあって
ポイントの交換はやられてないんだけど
おそらく
住所とか情報ね
氏名とか
個人情報が
閲覧されたのではないかと
そういう事件があったんだけど
ちょっとねこれ
なんで今頃取り上げたかというと
2つ気になるポイントがあって
それを言うと
まず1つは
その260件の
不正ログインの他に
もう1個ちょっと興味深いことが書いてあって
会員登録画面から
大量の
不正な仮登録の申請が
行われましたと
仮登録
なんかどっかで聞いたことあるなっていう話
なんかちょっとね
ゾワッとする
なので
このクラッシュテップコアウェブを
使っていない人で
登録した覚えもない人に対して
結構その登録の手続きの案内が
21:01
メールで飛びましたと
いうことで注意をしていて
関係ないので破棄してくださいと
これはおそらくだけど
東京電力の
案内には書いてないので
はっきりしたことはわかんないんだけど
おそらく広木市は
自分が持っているメールのリスト
一覧のリストを使って
まずこの会員登録の画面で
登録があるかどうかっていうのを
チェックしたんだろうと
使用済みかどうかということで
登録済みかどうかをチェックね
これやってみれば
わかるけど登録してると
登録されてますってエラーになる
こういうのって
他の会員サービスでも
大体登録があると
そのアドレスは使えませんとか
登録済みですとか
そこで登録してる人がどうかってのはわかると
それを使って
リストのいわゆるスクリーニングを
したんじゃないかと
無駄を減らすためにね
そうですね
このサイトに登録があるな
っていうアドレスだけを抽出して
その後に不正ログインを
したんじゃないかなと
そっちの不正ログインは外部で
漏えいしてる
パスワードとか
一般的なパスワードを使ったのかはっきりわかんないけど
それを使って
ログインに成功したんじゃないかなと
思われますと
このスクリーニングっていうのが
ちょっと一つ気になってるポイントで
過去にもね
たびたびそういう話って
実は公表されてて
そうですね
有名なところだと2年前くらいかな
ディノセシールさんで
詳しくそういうのを報告してくれて
すごいいい
自己対応として素晴らしいものが
あったんだけど
そういう新規登録の
二重登録防止の機能を
悪用してスクリーニングをした後
不正ログインしてきました
という報告があったんだけど
それ以外にも何回か
そういうのがたびたび起きてて
やっぱり今でもそういうのがあるんだな
というところだね
これだから
サイト側は
どうすればいいかというと
新規会員の登録のところで大量に
そういったチェックが入ることが
攻撃者によるね
チェックが入ることがあるんで
それをちょっと検知して防ぐとか
しないとダメなんだろうなと
なんかそのディノセシールの話を
この3人でどっかでしたときも
そういう話しましたよね
不正ログインで敷地設けて
ブロックするとかっていうのももちろん
当たり前のようにしないといけないけど
チェックしてくるところで
止めるってそこって結構抜けがちですよね
みたいな話しましたよね
そうなんだよね
多分この東京電力がどうしてたか
わからないんだけど
不正ログインはこれだけ話題になってるんで
結構気にしてるところはちゃんと気にしていて
ブロックとか検知したりとか
やってるかもしれないけど
こういうスクリーニングのところの
不正ログのところは抜けてるとか
っていうのがありそうだな
っていう感じね
24:01
それがちょっと気になる
やっぱりこれやると成功率がね
かなり変わると思うんで
上がるでしょうからね
かなり上がると思うんだよね
そのあたり今回の
クラッシュテップコペ部では
詳しく書いてはないけど
そういうことがあったんじゃないかなと思うんで
改めてそういう点にも
注意をしてほしいなということで
それからね
もう一個
気になったのは
これ東京に住んでる人は
もしかしたら使ったことあるかもしれない
東京電力を使ってる人向けの
サービスなんだけど
なんかさ電力会社って
よく狙われるなって思わない
このいう類のやつとかってことですか
そうなんかねちょっと気になって
調べてみたら
分かってるだけでも
今年の8月に関西電力
去年の
12月に東北電力
それから7月から10月に
かけて中部電力
2年前の
8月には四国電力って結構ね
全国の電力会社の
会員サイトが狙われていて
去年とか
去年とか一昨年の過去のやつだと
ポイント不正に交換されてるとか
実被害というか
情報閲覧が実被害じゃないかというと
語弊があるかもしれないんだけど
そういうポイント交換も
されちゃいましたっていう被害が発生してるんだよね
今回はたまたまそこまでは
行ってないんだけど
なんかちょっと
他にもいっぱいあるんだけどさ
他にもいろいろそういう不正6位の被害ってあるんだけど
なんかやけに電力って狙われるんだな
っていう気が
ちょっとしたんだけど
そんな気しない?
ちょっと俺も理由わかんないんだけど
また電力かみたいなかと思ってました
そうそうそう
なんのね
情報もないっていうか根拠もないんで
単純に
たまたまかもしれないんだけど
ひょっとすると
なんか電力の会員サイトって
多分
個人情報が
しっかりしてるっていうかさ
そう登録されないってことですかね
そうなんですよ
前、宅配系のサービスでも
同じことがあるって
辻さんが言ったのかな
僕です
あれと同じことをちょっと思って
電力サービスって
たぶん住所、氏名、年齢とか
電話番号とかわかんないけど
そういう情報かなり正確なものが入っているはずなので
あとあれですね
物によったら
ニュース読むやつとかは
そう登録するんであって
個人の情報ってあんまり書かないじゃないですか
そうだよね
こういうのは明らかに個人固有の情報を書くっていう
特徴はありますね
宅配とかで
法人かもしれないけど
おそらく大部分は個人だと思うんだよね
個人向けと法人向けで
サービスが違うケースもあるし
なのでそれ考えると
もしかしたらポイントの交換は
今回なかったけど
そういう
27:01
情報が狙いなのかな
とかね
それで電力なのかなとか
これは妄想ですけど
わかりませんが
あり得る考え方ですよね
そんなに数がない電力会社が
結構全国やられているから
なんだろうなって
ちょっと気がかりっていうか
そんな感じで
気になったポイントは
スクリーニングは
まだというか
狙われているねというのと
電力系っていうポイントが
もしかしたら関係あるのかなっていうところ
であと改めて
不正ログインって
会員サイト側も
頑張って止めてはいるけど
ユーザー側が使い回したら
どうにもならないんで
改めてちょっとね
パスワードの使い回しは
ぜひやめて
もらいたいなと
思うんだけど
最近の
そういう調査結果ないかなと思って
調べてみたんだけど
IPAが毎年やっている
ユーザーの意識調査というアンケート調査があるんだけど
去年のデータを調べてみたら
パスワードを
サイトごとに全部変えている
使い回しをしていないっていう人
全体の半分ぐらいしかいないんだよ
半分っていうのは
全部合わせた半分なんですか
アンケートに有効回答している人の
半分ぐらいしか
やってなくて
残り半分ぐらいは
使い回しをしていますと言っている
全部が一緒とは言っていないけど
いくつかをぐるぐる回している
使い回していますと言っていて
やっぱりまだまだ多いのね
という感じなんだよね
なかなか
ブラウザとか
僕らもたびたび
推しているパスワードマネージャーだろう
そういう
使い回さなくていいためのツールってあるにはあるし
今パスワードレスの認証を
一生懸命みんな普及して
しようとしているから
いずれはそうなるんだろうけど
それまでの間はこういう不正ログインって
なくならないなという感じですね
そうですね
ちょっとずつ移行していくっていうのと
あとは実際に被害にあった人から
そういうのをやめていくっていう
環境がずっと続いていると思いますよ
被害にあった人は多分やめるよね
本当に
僕も仕事柄
そういうのを個人的な知り合いから
相談を受けますけどね
やっぱり使い回しなんですよね
原因が
ちょっと相談したいって言っているから
人越しにワンホップ
向こう側から相談されることもあるんですけど
じゃあパスワード全部変えましょうか
とりあえずパスワード全部今
バラバラにしましたみたいな
バラバラにしなあかんってやっぱり
分かってるんですよ
そういう被害に遭わないと分かんないよね
でもね
人越しになあかんっていうことを
分かってるっていう時点で
ちょっと僕は2014年ぐらいから
比べると進歩じゃないかなと
僕は思ってますけどね
確かにね2013年14年ぐらいかな
30:01
この不正ログインがすごく
大流行し始めたので
その結果かもしれないけど
やっぱり被害に遭う人も増えてきて
だいぶ意識は変わってきているのかね
分かんないけど
そうですね
僕への相談件数も増えてますもんね
そうですか
独りIPAみたいなのかと思いましたけど
なるべくちょっと被害に遭う人が
少なくすんで
その間に
技術が進歩して
利用者の意識も変わって
被害がなくなるといいんだけど
それまではまだしばらく
注意が必要かなっていう感じだね
でも今そのねぎすさんの
話で前ね
僕が言ってた宅配と同じような感じかもな
みたいなことを言ってたじゃないですか
それを聞いてて
ちょっとなんか嫌やなって思ったのは
今の話みたいにね
パスワード取り巻く状況が
プラスの方に
進んだとしてもね
パスワードレスになっていたとしても
その当時に盗まれた情報
ほとんどがたぶん
その時に使い続けることが
できるんですよね
あーなるほど
それはちょっと嫌やなって
パスワードを変えたり
認証の仕組みが
楽でセキュアになったとしても
盗まれた情報に変化がなければ
もう取られてるのと同じ状態が
ずっと続くわけじゃないですか
あーそうね
個人に紐づく情報はね
そう簡単に変えられないものも
中にはあるからな
多くの人がそんなに頻繁には
引っ越しとかもしないですよね
そこがちょっと
こちら側がめちゃくちゃ不利なポイントやな
っていう風には
ちょっと感じました
確かにカードはね
漏洩したらカード番号変えれば済む話かもしれないけどね
住所とか
生年月日絶対変わんないですよね
生年月日電話番号とか
変えられるものもあれば
なかなか変わらないものもあるもんな
変えたくても変えれないってのはまだでしょうしね
そうね
でも電力会社があっていうのは
ちょっと気になるな
ちょっとね
なんか気になりました
あと最近はね
このテップコミもそうだけど
電力の使用状況とかも分かったりするからさ
そういう
若干機微な情報じゃない
生活に関わる部分っていうか
空き室とかに使えるとかですかね
そうそう
例えばね
リアルなそういう犯罪に
結びつかなければいいなって気がするけどね
そこまでのことは
今のところ多分発生してないから
いいんだと思うけど
そういうのと
紐づく可能性が高いから
そういう点でも電力とか
ライフライン系って
ちょっと気になるよね
他とはちょっと違いますよね
単なるポイントサービスとか
そういうのとはちょっと違う感じが
嫌だなっていうね
そういうのもあって
1ヶ月前の事件だけど気になったので取り上げてみました
33:01
良かったです
はい
実際にはこういう
語り尽くしたかもしれないものを
振り返ってみるっていうのもいいですね
新しい気づきが
いろいろ言ってきたけどね
まだまだ被害がなくならないからね
被害がなくならないうちは
言い続けないとね
鬱陶しいって思われだしたぐらいが
スタートラインっていうね
前言ってたよね
またか分かってるよって言われるまで
言い続けるっていうね
またかよってぐらいがスタートラインっていう
名言が
それは確かに
確かに名言だわ
はいそうなんですよ
ありがとうございます
はい
ということで
久しぶりじゃないですか最後僕喋るの
そうですね鳥羽つじさんで
そうなんですけどね
僕的な
私事というかあれなんですけど
トピックなんですが大トピックがありまして
今週
ブログ書いた
あれ2年ぶり
約2年ぶりっすね
すごいじゃん俺1年くらい書いてないけど
俺よりもさらにすげえな
そういうあれですか
ネギスさんより書いてなかったでしたっけ僕
そうだよ俺1年くらい前に書いたから
マジですか
そうか
2018年の
11月23日ぶりの新規エントリーです
本当
○○2年じゃん
何書いたの
標的型ランサムしか
書くことないからさ
そんなことあれへんわ
あるわ他にも
書こうと思ったらあるわ
今一番力入れて調べてるもんな
そうですね
本当に標的型ランサムおじさんって
呼ばれるまでがんばろうかな
って
あるんですけど結構
今まで
ちょいちょいここの
お話してきましたけど
ずっと調べてる標的型ランサム
いくつかあって
中には見てるだけのもあれば
ちゃんと記録とってるのもあればみたいな感じで
やってるんですけども
それをちょっと一旦
10月の末
10月の31日までの記録を
全部自分もまとめて見て
振り返ってみようかなっていう風に
ふと思い立って
書いたんですよ
そういうの大事だよね
調査結果を整理してまとめるってやっぱ大事だよな
そうそう
わかってるんだ
この系の話を振られたときとかに
返す
ここはポイントやなみたいなことを
話するじゃないですか誰かに聞かれたりとか
会社でもそうですけど
それ以外にもこうやってまとめて
振り返るとこういう事実も
あったんやなみたいなの
グラフを改めて作って思うこととかも
あったりするなっていう風なことを
感じたんですけど
気づきもあるよね
一番初め
ブログを書き始めて
初めにとか書いたりとか
36:01
なんでこの標的型ランサムの攻撃を
観察記録しようと
思ったのかとか
枕の部分とか書いていくじゃないですか
トピック
項目に分けて
まず一つ思ったのは
セキュリティの話が動画っていうところではないんですけど
その前に2人とも見ました?
このブログ
長い
絶対言うと思ってん
ところどころ
思いが溢れてるんだけど
長いなこれ
思った
正直思った
そういうのを言ってくれるのが
ネギスさんやと思ったし
長いっていう風に
ストレートに言ってきたのは
ネギスさんが初めてなんですよ
そうなんだ
多分多くの人は
いやいやたくさんの情報で
対策でとかよくまとまってて
とかっていう風におっしゃってくれるんですよ
ポジティブなこと
ネガティブなことをわざわざ言ってくると
あんまりなかなか直接はいないじゃないですか
その中でストレートに長いって
言う人がいるとすればネギスさんやろうなと思った
そうなんですよ
本題に入ればれば長いなと思って
そうです
なぜ記録しようと思ったのか
的なとこあるじゃないですか
そこがちょっと
あふれすぎたなと思って
そうそうなんかわかる
思いがね
普段こう思ったりとか
ポッドキャストだけじゃなくて
個人的な話をするときに
僕が言うこととかあるじゃないですか
お二人に
情報共有系どうなん的なこととかね
その辺がちょっとあふれてしまったな
っていうのがあってね
心の中で溜まってる思いがあんのかな
なんてことを思いながら
ハケ口にさせていただきました
でもいいんじゃないの
ほら自分のブログなんだしさ
書きたいこと書けばいいと思うよ
まあまあそうですよね
長いと思ったら
飛ばして読めばいいんだからさ
読む側がいくらでも
そのために項目分けてるっていうのもあるんで
だからいいと思うよ
そうそう
昔のナヤナの件とか振り返りつつ
その時の記事も読んでみたりとか
自分の資料読んだりとかもしてたんですけど
まあでもやっぱり改めて見てみたら
やっぱり
体系化されてきてますよね攻撃がね
もう一つのテンプレみたいな
さっきの看護さんのエモテットじゃないですけど
まあなんか似たようなパターンが
増えてきてて
最初はぽつぽつしかなかったのに
結構追いかけるのもしんどいぐらいの数になってきて
改めて数えたらもう17件見てんのかとか
いう風なことを感じたりとかしつつ
で結構な数グラフ見ると思ったんですけど
全体見ると
アメリカの組織がやられてる数が
圧倒的に多いっていう
とこなんですけど
意外と見てみると
僕が見てる中でも結構勢いある方に
入るネットウォーカーは
実はアメリカ半分超えてないとかね
そういうことに
細かいことに結構気づいたりとか
39:01
あとこの書いてて
書いてる時と書いた後で
ちょっと状況が変わったことが
一つあって
多くのね
全体のグラフとか
全体のグラフと
僕がチェックしてる標的型ランサムの
業種と対象国みたいな
組織の存在する国みたいなグラフを
1個ずつ
計2つを紹介するって形をしてるんですけど
メイズが
すごくボリュームを占めてるんですよ
全体が
616やられているのに対して
メイズはそのうち
249やってるんですよね
あれねやっぱり
単体っていうか
アザーサービスでいろんなところがやってるから
やっぱり多くなるよね
そうそうそれで大きくなってくるんで
やっぱりそこの結果が色濃く出るんですよ
全体にも
なるほど
っていう風なものが
メイズに依存する
グラフになってるなぁ
やっぱり多いし改めてみるとこうなるなぁ
っていう風に思ってたんですけど
そんな中
メイズがプレスリリースを
出しました
どんなプレスリリースかというと
一応ブログ
このメイズのサイト上では
11月1日付けのプレスリリースとして
出してるんですけど
1行目からいきなり
The project is closed
っていうことを言い出してですね
活動をやめたと
これ傾向結構出てて
10月
9月ほとんどないんですよ
メイズの動きが
9月までは
全然多かった
9月は59件あったのに対して
10月はずっと見てたんですけど
全然ここ更新ないなと思って観察してたんですよ
1件だったんです
その矢先に
クローズって言い出したんで
これからもしかすると
このメイズに依存してた
全体像が変わってくるんじゃないかなと
なるほどね
弁護士系とかを
好んでやってるっぽいなとか
あと特定の国
組織が多いとかっていうところが
メイズに薄まることによって
結果がこれからまた変わってきたりするかな
っていう風なところが気になるところですね
なるほど
でもこれあれだよね
終了って言ってもさ
これまでのも考えると
学名通りには受け取れないよね
名前変えて違うのやってたりとかしても
同じ攻撃者がどうかっていうのも
こっちから見えませんしね
他にもそういうようなやつって
いくつかあるじゃない
名前だけ変わって
多分やってる連中は変わってなさそうとかさ
そういうの考えるとね
メイズも
理由ははっきりしないけど
本当に終わったって言えるのかどうか
ちょっとよくわかんないよね
そうですね結局自分らは手引いてるけど
同じインフラ同じような仕組みを
使わせて誰かから
常納金を受け取る
という形に変えただけかもしれませんしね
別のランサムやりね
これもいろいろ言われてるけど
42:01
移ったんじゃないかとかね
わかんないが
そうそうそうそう
いろんなこことここが関連するとか
結構言われてますよね
でもあれだね
今の流行りの
ダブルエクストローション
っていうか
暗号化して脅迫する
あと情報を摂取して
リークするといって
二重に脅迫するというタイプが
今主流になっちゃってるけど
それは先駆けじゃないですか
今の流れをつくった
庁本人だけど
多分この明治が終了
って言ってもこの流れは変わんないし
次々とまた似たような
他のやつが出てくるんだろうね
そうですね
僕が17個見てますけど
結構ここは
更新頻度高いなって
考え出してる数が多いな
っていうふうなものもあるので
僕の観察する範囲も変えなあかんな
っていうふうに思いましたね
なるほどね
そこらへんは柔軟に変えていかないとね
そうそうそう
この場を借りてね
ネギスさんに本当にありがとうと言いたい
俺が何か言ってたっけ
ネギスさんがきっかけで
更新チェックを
自動でするっていうツールを
つくったので
やればいいじゃんって
何の気なしに
随分気軽に言ったもんな
多分本人は
そういう時ってあんまり覚えてへんね
と思いますけど気軽に
言ったでしょ
気軽じゃなくて
観察するんだったら限界あるから
自動化しないとだめだよって言われました
そうだっけ
限界あるぜ
ごめんね
やる側の気持ちも知らないで
いやいやいや
結局
目視するっていうのって
1日1回とかやったら最大24時間
以上の差が出てしまうじゃないですか
今日の
夜の6時にチェックして
明日は8時やったとかやったら
24時間超えちゃいますよね
今とかやったら
最初は自動化だけやったんですけど
最近は自動化した
チェックのログも全部取るように
していて
この時間に更新
この時間からこの時間の間に
されてたという範囲を狭めれば狭めるほど
精度が上がるじゃないですか
そうですね
自分が違う作業をしててもチェックはしてくれるんで
自動ツールなんで
なんで
この月は何件やったとか
ちゃんと出せるようになったんですよ
素晴らしい
それと
これはね
メイズ最初の方は
ロックデートってやった日を書いてたんですよ
そうだっけ
最初の方はロックデートって
5月ぐらいまで書いてたのちょっとずつ
5月ぐらいから
書いたり書かへんかったりなってきたんですよ
何月何日って書いてたやつから
今度5月しか書かへんかったりしてきてて
45:03
とうとう書かへんかったんですよ途中から
5月の途中ぐらいからかな
それを書かないようになったから
僕のグラフも表も抜けてるんですよ
678が
ツールを作ったからそういうのも
全部取れるようになったっていうのと
あとは結構汎用性持たせられるようにしてるから
あるルールの部分
チェックするルールの部分だけ足せば
何個でもチェックできるように作ったんで
それはいいよね
他のが新しく出てきてもね
そうそうそうなので今回
このブログを書いた後に
メイズの終了っていうのを知ったので
新たに2つチェックするものを増やしました
メイズの代わりにってことですね
そうメイズ
ポストメイズっていうほどではないかもしれないですけど
ここを見てる範囲だと
勢いあるもんなっていうやつを
追加してチェックをしだして
今後多いで記録を
手入力してるとこです
素晴らしい
その辺はまたまとめて出したいなとは
思ってはいるんですけどね
この辺はあついさんに任せました
いやいやいや
任せられていいのかわからないですけど
あとね
もう1個あるんですけど
どこの
標的型ランサムがどの国
どの業種みたいなやつを出したのと
それに対しても僕はちょっと
気になるコメントを書いたのに加えて
日本にね
日本の国内の関連する組織
っていうのを表にまとめてみたんですよ
例えば
例えば本体は
海外どっかの国にあるけれども
日本人向けの
ウェブサイトがあるとか
日本法人があるとか
販売代理店があるみたいな
そこの商品の代理店があるみたいな
ものとかをまとめてみたんですよ
各ランサムウェアごとに
そしたらやっぱ23組織も
あったんですよね
日本の
海外グループとかもあるんですけど
そういったものを全部1個にまとめて
美好にそういうのが何か書いてあるんですけど
これでも
一見関係ないように思えるんですけど
実は本体の方だとか
っていうところと繋がってるとか
ここが止まると全部止まるとか
中にはあるかもしれないじゃないですか
確かにね
だから穴がち
海外の会社やけど
日本に支店とかチェーン店みたいな
展開しているような飲食店とかね
そういったところが
影響を受ける可能性もあるかもってことも
考えてこれからちゃんとチェックしたほうがいいな
っていうふうに改めて思いましたね
なるほどね
確かに日本企業からすると
自分たちに関係ある
話なのかどうかっていうところはやっぱり
気になるポイントだもんね
そうそうそうそう
決して海外だけで起きてる話ではない
前から言い続けてるけどやっぱりね
こういうふうに見せられると
俺たちも気を付かなきゃってなるからね
そうなんですよ
これからもちょっと
情報をチェックしたものを出していこうかなと
48:01
いいですね
誰か同じことをするまで
なかなかできないでしょ
こういうのってやっぱり積み重ねが大事だしね
やろうと思っても
なかなか難しいので
あとほら自動化して楽になったとは
やっぱり面倒じゃない
正直
やる内容めんどくさい
得られることも結構大きいけどさ
こういうのはなかなかね
パッと誰でもできる
誰でもできるんだけど
誰でもやるかって言うとやらないからさ
そうですね
そういうことでやっぱり価値があるよね
ニッチな
これをちょいちょい継続してやっていきますので
また何かあったらここでも報告します
なんかあれだよ
定期的に出そうと思わなくてもいいけど
ちょっとおって思うような結果が出たとかさ
傾向が変わったとかさ
そういうタイミングとかで
出してくれると嬉しいよね
そうですね
2年後になっちゃいますから
エクセルの知識が
2年後って言うな
ほらほらほら
2年後にならないようにね
これでも2年後まで標的型のサムウェアとか
流行ってたらやだな
いやーどうですかね
もうでも2年くらい続いてるからね
そうですよね
言うてそうですよね
3年くらいか2017年くらいだもんね
これ
なやなが2017年かな
そうそう
昔あったサムサムとかさ
そうですねサムサムも
2016年の末ぐらいからだから
もう3年は経ってるよね
そうなんですよね
やだなまだ2年も続いたらやだな
早く終わってほしいよ
でもなんか標的型ランサムを
成功させる手口みたいなものが
あるわけではなくて今までの侵入方法で
結果としてのランサムじゃないですか
そうだね
だから無くなるときは
費用対効果合わなくなったときなんでしょうけどね
どっちかっていうと
うーん
今みたいな感じだと
侵入方法もどんどん増えるし
昔からの侵入方法も
相変わらず使えるし
ってなったら
ちょっと無くなる雰囲気ないよねまだね
そうですねまたエモテと由来っていうのもありますしね
お金にもなっちゃうしさ
今のところだから
無くなる要素っていうのがあんまりないかな
他に儲かるものが
出てきたときとかかもしれないですね
そうだね
費用対効果考えて
こっちの方がええやんってなれば
減るかもしれないですけど別の脅威が生まれるだけなんですけどね
本当ですよね
そりゃそれで嫌ですよね
そうだね
もし気になった方いらっしゃったら
ブログ読んでいただければ
嬉しいですというお話でした
引き続き
よろしくお願いします
という感じで
そろそろいきますよ
おすすめの
あれのコーナーでございます
来ましたね今週も
すっかり定番のコーナー
はい辻さんの
コーナーですよね
51:01
おすすめのあれだけで
一回やったのかなみたいな
セキュリティのあれちゃうやんけみたいな
それいいね
一回まるごとおすすめのあれのコーナー
マジっすか
やってみたいね番外編でさ
それ僕だけがしゃべるだけちゃいますの
そうそうそう
それはさすがに
その回ぐらいはみんなで持ち寄る
みたいな感じにして
事前にちゃんと宿題として
出しとく感じですかね
おすすめのあれの回とか
それでもいいかもしれない
おすすめのセキュリティ対策の
コーナーもいいかもしれないですね
そうだね
今これ押しますみたいな
うんうん
ちょっと統一したテーマでやるってのが
面白いかもね
ちょっとごめんなさい
今週のおすすめのあれはなんですか
今週のおすすめはですね
なんですけれども
辻さん
はいはい
現場の辻さん
私も
おすすめしたいんすよ
おすすめしたい
私にいつも
おすすめさせるのは
非常に申し訳ないなと思ってて
看護さんのおすすめってこと
マジですか
ちょっと待って
俺はないよ
いや
ちょうど
ぜひ紹介したいな
っていうものがあって
今日は看護さんに任せようかな
辻さん
大変申し訳ないんですけど
私が
ご紹介したいのは
とある
動画なんですよ
動画?
映画じゃなくて動画
動画です
youtubeなので動画です
youtubeそこそこ
見てるんですよ
多分3人の中で一番見てるんで
きゅうりでしょきゅうりの動画
いやいやまあ
思わぬ事故が起きましたね
キュウリ
きゅうりNGワードですよ
ちなみにきゅうり
じゃない別のものにも変わってますから
鉢が
それはそれでお楽しみいただければ
と思うんですけども
何の動画ですか
私結構youtube見てまして
最近
みんなに見てほしいなっていう動画が
上がったんですよ
youtube
急上昇に入ってたので
えーと
結構毎日見てる方だったら
すでにご覧になってるかもしれないんですけども
美容館をそんなの見てんの?
って言われるかもしれないんですが
私結構幅広でyoutubeの動画見てて
レペゼン地球
っていうグループって
知ってますよ
何それ
多分ネギさんは知らないと思う
グループ
全然知りません
54:01
グループ名ですね
DJをやってる
グループなんですけど
年末に
福岡で
ドーム公演をすると
それに合わせて
解散しますっていう発表をして
twitterのトレンドが
今そのタイミングで上がってたりして
結構話題になってて
なんで解散するみたいな話が
あったんですけど
それに対するアンサー動画というか
これこれこういう理由で
解散するんですっていうのを説明した
動画が
11月5日にアップされまして
なんで解散するかっていうのは
その動画を見れば
レペゼン地球のリーダー
DJ社長っていう人なんですけど
その人がずっと語ってるので
それを見ればわかるんですが
私がご紹介したいのは
その後に今回この動画が
最後になるかもしれないと
いうことで
メッセージを皆様に
話したいっていうので
最後動画が18分あって
6、7分かな
それぐらい結構語られてる
部分がメッセージとしてあって
これぜひみんなに聞いてほしいなと思って
どういうところから
そう思ったんですか
結局レペゼン地球のグループ
っていうのはすごい
スタートはミニマムというか
知らないところから
ずっと頑張ってやっていって
大きくなっていったっていうところで
その取り組みに対する
考え方っていうのを
語ってるところなんですけど
本当にビッグになって
やりたいことをやりたいと
好きなことして生きていきたいっていう
そういう思いを
動画が非常に
いい出来なので
私がこれを喋ることで
変に
解釈されてしまうと困るので
ちゃんとした内容は動画を見ていただくのが
一番よろしいかと思うんですけども
やりたいことをやるために
どういう考え方を
していく必要があるかっていうのを
非常に
心を打たれるぐらいの形で
熱く語ってるんですよ
そこにちょっと
看護さん的にこれいいこと言ってるな
みたいなので今回紹介したということなんですかね
はい紹介したくて
実際
結構見てる方も
多くて再生回数が
今の数で409万
再生
内容言っちゃうと
性格の良さが壊れちゃうっていうんだったら
例えば
今の話だと
自分は何やったらいいんだろうって
悩んでる人に聞いてほしいとか
誰にオススメとか
そうですね何やったらいいんだろうって
えっと
なんだろうな
このままやっていっていいのかなっていうのを
すごい悩んでる人にぜひ
今やってること
このまま続けていいんだろうかとか
57:01
はい
あとはやりたいことがあるんだけども
ちょっと構えちゃってるとか
そういう人にもぜひ見てほしいな
と思ってて
一歩踏み出せないとか
そうそう本当にそれですね
そういう話なんだ
そうですね
めちゃめちゃ
いいねボタンと
YouTubeって
バッドボタンもあるじゃないですか
結構
レペゼン地球って
アンチも多くて
それなりにバッドの数もつくんですけど
いいねの数がすごい多くて
29万いいねついてる
おーすごいな
なかなかないですね
これだけつく動画って
すみません不勉強で子供たち全然知らなかったけど
ちょっと今ので気になったので
この動画を見てみます
僕も
その動画解散されるっていうのは
僕もトレンドで見て
知ったんですけど動画までは見てないので
今回のおすすめいただいた
動画を見て
標的型ランサムを続けるかどうかを
考えればいい感じですかね
そうだねそうだ
ついさんも悩んでる
悩んでるよ
悩んでるよ
一説だけ紹介すると
やりたいことがみんなあるよねと
ただやりたいことを
やりたいことっていうのは
やりたくないことをやらないことじゃないんだ
っていうのを結構言ってるんですよ
おー
なかなか深いね
ちょっと深みが出てきましたね
これは見てみましょう
ぜひ聞いてほしいです
かんこさんはなかなか
自分でもさっき言ってたけど
幅広いですね
浅く広くで
でも
こういうとこからもさ
幅広いってのはもちろん今褒め言葉で
言ったんだけど
いろんなところから
インプットがあるっていうか
それがかんこさんの強みだと思うな
諸々雑多なようで
一見意味がなさそうなものも
あるかもしれないけどさ
どこまで
そういうためになるものがあるかどうか
わかんないけど
ためになるならないじゃない
そういうたくさんのものに触れている中から
いろんなものが得られるっていうのは
すごいね
そこら辺に今すごみを感じたね
ほんとですか
さすがですね
おすすめの
あれ1回目にしていい感じのがきましたね
これ1回目で
次があるわけ
かんこさん今回だけじゃないでしょ
あれは
またあるでしょ
あるんですよ
おすすめの紹介したいのはまだあるんですけど
動画じゃないんですけど
それはちょっと
おすすめのあれだけ
あれだけコーナーがあるんですよね
きっと
あれだけかい
俺も反省した
1:00:01
いろいろ気になって
いいなと思ったら紹介しよう
そろそろねぎしさんの
おすすめのあれのコーナーが待たれるという
感じですね
ということで今日はそんな感じかな
そうですねちょうどいい時間ですね
いい時間ですね
じゃあまた来週のお楽しみということで
バイバイ
バイバイ
01:00:23

コメント

スクロール