00:00
前回のサムネイルが意外と評判良くて、某アニメのテイストの…。
あ、ちょっと前に流行ったね。
ちょっと前ね。あのアニメ俺全然見てないから、中身知らないんだけどさ。
僕はあの…。
この絵柄は知ってるけどさ。
絵柄は結構知ってて多いですよね。
いろんな人が見てそうな。
僕はもうアニメも全部見て、単行本も全部持ってるんですけど。
え?これあれ?リスナーからのお便りで?
違う違う、これ実はですね。
これ違うの?
実はこれ、過去にボツになったサムネなんですよ。
あ、そうなの?
そうそう。
で、僕はこれめっちゃいいなって思ってたんですけど、ボツでっていう風に作成者にアレティさんが。
あ、そうなの?せっかく描いたけど。
そう、やっぱり自設柄にあったこっちにしますっていうのに、結構前にあったやり取りなんですよ、これ。
あ、そうなんだ、そういうのもあんのか。
なるほど、描いては見たけどちょっとお供え入りってやつもあんのか。
そう、やっぱこっちの方がいいですみたいな感じで。
あー、ほうほう。
そうそう、例えば今回やったら、今ぐらいやったら節分のやつが描けたからこっちがいいですとか。
はいはいはい。
あって、もう多分半年とか以上前ぐらいのボツになったやつ。
へへ、そうなんだ。
ようやく日の目を見ましたね。
そう、結構バタバタされてるなーっていう感じやったんで。
ちょっともう今回これでいこうと思ってるんですけど、過去のボツですけどいいですかって言ったら、あ、いいですっていうことで。
いいじゃない。
あれにしたんですけど、意外と評判良くてですね。
あー、そうなんだ。
そうそうそうそう、それで本人も喜んでるっていう感じですね。
やっぱりでも何事もそうですけど、フィードバックもらえるっていうのはいいなって思いましたね。
あー、確かにね。
そうですね。
なんか自分の感覚って、やっぱりね、あってるようで間違ってたりとかってこともあったりするじゃないですか。
うんうん。
出してみてわかるっていうね。
ね。
まあ、それがさ、別に正解ってわけじゃないけど、反応がいいから正解で、悪いから良くないってわけじゃないけどさ。
もちろんもちろん。
まあでもね、その一つのそういう反応がもらえるってことで、なんかわかることもあるしね。
そうなんですよね。意外と良かったなとか。それがね、反省点であってもね、やっぱ得られるものあるなっていうことなんで。
そうね。
そうなんだ。なんか俺てっきり、あれ勢の人からこうなのっていうリクエストがあったのかと思った。
確かにリクエストを受けて書いたっぽい感じの、自説系じゃないから余計にそう感じるかもしれない。
そうそう。急に何これみたいな、ちょっと面白かったんだけど。
そうなんですよ。意外と評判良くて、ワロタみたいな感想を書いてくれてる方がいらっしゃいましたね。
確かにね。いいよね。なんかちょっとクスッとする。
そうそう。たまにはああいうのもいいなっていうね。
いいね。はい。
そんな感じなんですけど、お便りいきますかね。
はい。お願いします。
お便りではあるんですけども、前回のフォローアップみたいなお便りが来てまして。
前回のネギスさんがいかつかって話しかけにくいみたいな。
03:01
もういいじゃん。それ終わったじゃん。
イベントの会場で。
まだ終わってくるですね。
それをね、どうしてもこれを伝えていただきたいということで。
本人が?
そうそう。ネギスさんの名誉のために補足をということでですね。
詳細な感想というか感じたことを書いてきてくださりまして。
なぜいかついと感じたかと。
これは推測である。ネギスさん本人に確認したわけじゃないので。
こうじゃないかなっていうところからこういうシチュエーションが同時に起こっていたから
こう感じたんじゃないかっていうのを2つ挙げてくださってまして。
まずはネギスさん自身が色々これまでのセキュリティ的な意味での人生で
ヤバい修羅話をたくさん乗り越えてきたからだと。
そういうオーラが出ているんじゃないかと。
それに加えて、そのベースに加えてJSACというイベントで
モードがね、ネギスさんは仕事モードに切り替わってきたから
この方が見られた時のネギスさんってのはきっとサイバー戦士に切り替わってたんだろうと。
多分違うと思うんだよな。
なんかそれさ、フォローっていうか逆に追い打ちかけられてない。
逆に?やっぱり違うか?違うか?
おもろ。逆にっていうかさ、仮にそうだとしてもさ
それをミスちゃダメだよな。
ネギスさんが?
確かに忙しそうにしてるから話しかけられへんみたいなのと同じでね。
そういう雰囲気を指してるのがよくないと。
いやちょっと反省だなそれな。
どういうタイミングでそう見えたのかわかんないけど
仮にそういうことがあったとしてもさ
そういうのちょっとミスっちゃいけないよな。
確かに確かに。
やっぱりね、僕らほら日本一漢字のいいセキュリティエンジニア目指してるじゃないですか。
話しかけやすい?親しみやすい?
みたいな感じにしないといけないですよね。
逆にごめんなさいっていう感じというか。
割と気さくでフレンドリーなキャラで言ってるんだけどな。
言ってるはずなんですけどね。
ちょっと気をつけよう。
僕からもちょっとこの方に補足を入れさせていただきますと
J作のイベントでモードが仕事モードってあるんですけど
僕一緒に行ってるイベントで仕事モードになってるのであんま見たことないです。
しっけえだなおい。
楽しく楽しく勉強しに行ってるかなって。
別にどっか行く場によってあんまり態度変わるってことはほとんどないから。
確かにそう。僕が一緒にどっかに行ってるときには
だいたいどんな場でも同じトーンですよね。
いないときもあんな感じよ。
そうなんですね。じゃあイメージがあるのかもしれませんね。
そうね。今後の参考にさせていただきます。
06:00
ありがとうございます。
前回の僕の話かな。
exe、例えばwgetとか何て読むのかわからないcurlとか
あれに関してのレスポンスというかお便りなんですけど
開発やってる方らしくてこの方は
開発やってるとこういった類のものをよく使いますねと。
シーサートをやりながら開発者やってると
サートとしての自分たちが決めたセキュリティ施策のせいで
開発者としての自分が苦しむことが稀にあります。
なるほどなるほど。
開発部門だけどシーサートの帽子もかぶってるのか
ちょっとどういう立場かわからないけど
両方とも兼務というか両方の仕事をやってるわけね。
シーサートもバーチャル的な感じでやる場合もありますしね。
あるよねそういう組織によってはね
いろんな各部署から集まってみたいなのもあるし
そういうのかもしれないしわからないけど
なるほどなるほど自分の首を絞められないっていう
そういうことね。
セキュリティの立場でこれはこういう風にすべき
禁止にすべき制限すべきみたいにしたら
それが自分が普段仕事する時の立場になると
あ、使われへんやんみたいな。
確かにね。あんまり良くないことだけどさ
安易にやってはいけないけど
セキュリティって何かをとりあえず使えなくしておけば
安全性は基本的に高まるから
あれもダメこれもダメってやっておけば楽は楽なんだよね。
最悪インターネット禁止にしたら完璧なわけですからね。
そうそう例えばの話そういう風に
なんでもお前らこれ使っちゃダメっていうのは簡単で
実際それやったら安全は安全になるんだけど
そうすると開発業務に限らないけど
自分たちの首絞めるというか
効率を下げたりとかね
いろいろ利便性が低下するとか
副作用があるわけで
でもあれだねその人はそういう意味では
良い立場っていうかさ
見方を変えるとね
その両方の立場でどっちのことも分かってるから
そういう人はすごくいいと思うんだよね
開発も知っててセキュリティも分かるとか
例えば運用ができてセキュリティもやってるとか
すごくいいと思うそういう
バランス感覚がね
良いんじゃないかなって
両者の立場に立って考えられる
どっちかに偏らずっていうのは
社内的にもそういう人はすごく重宝されるんじゃないかな
セキュリティ的にはこうやけど
これはちょっと緩くなるけど
開発現場としてはこうしてもらう方が
仕事はかどるんですみたいな意見をね
はっきり言える場になれば
さらにセキュリティ畑だけの人とかにも
あとその開発の現場から見た
もっと違うアイディアでこうすれば
効率も下がらないし
セキュリティも高まるよっていうアイディアが出せたりとかさ
セキュリティしか知らない人からは出てこないアイディアとか
出ると思うしね
そういう人が増えるといいよね
確かにそうですね
これすごくいい話ですね
いい話だね
そっかそっか
そのバランス感覚もどんどん磨いていただきたいなと思います
09:03
次のお便りなんですけども
セキュリティのあれ209回で話をしていたイベントっていうのは
ザ・セキュリティ2024なのかなと
これマイナミのイベントっすね
2024ジャーナリーね
前回話したやつ
そうそうそう
これ行きたかったけど予定がつかなくていけませんでした
次は参加してステッカーもらいたいということで
この方がコロナ禍になる前は
イベントで僕らが3人が出てるイベントに
来ていただいてたみたいで
へー
その頃はまだあれ勢ではなかったんですっていうのがあるんで
これからねちょいちょいオフラインにイベント振っていこうみたいな流れも
メディアによったらあるんで
そうだね
僕らが出るようなオフラインのやつとかはね
Xとかでここでもそうですけど
告知してみたりとかした方がいいかもしれないですね
まだまだねオンラインのセミナーも相変わらず多いは多いけど
ちょっとずつねオフラインっていうかそういう形式のものも戻りつつあるからね
そうですね
またやりたいよねそういうのね
僕も今月2件オフラインですもんね
おーそうかそうかいいね
まだまだ収録は結構ありますけどね
そうだね
収録とかオンライン配信ライブみたいなやつね
ちょこちょこここでも告知していきましょうということで
はい
最後の便りなんですが時間差でセキュリティのあれ200回おめでとうございます
っていうのが来て俺なんで今頃って思ったらですね
ちょっとずつ聞いてきてやっと追いついたんだでスペシャルっていう
おーすごい
全部聞かかったんでしょうねこの人ね
えー嬉しい
そうか遡るんじゃなくてこう古いやつから順番に追っかけてるんだ
多分聞いていったんでしょうね
それでなんかの他のツイートとかでも
あの僕の昔のツイートとかのポストを引用して
あのお便り読まれたらステッカーもらえるんかみたいな
もらえるんでしょうかみたいなこと書いてたんで
はいあのお便りいただければ読んだら印刷コード差し上げますんで
5種類ありましてみたいなことを送ったんですけども
こっちで読んじゃいましたね
なんで初紹介とか初お便り読まれたがこれになってしまいましたけれども
おーいいね
まあなんかでもね定期的にその何ご新規さんがいらっしゃるからさ
お便り書いていただけると取り上げたらステッカーのコード差し上げますよ
っていうのはねちょいちょい言っていくといいかもね
そうですね直接僕にあってもらえるのはきちんとカットした
ちゃんと加工したステッカーで
お便りの場合はコンビニで印刷するコードで
これが5種類ありまして
5種類ランダムにコードを配布するんですけど
それが5種類きちんと揃ったものを僕に送っていただけると
6種類目のシークレット印刷コードがもらえるっていう仕組みになってるんで
今のところまだシークレット1人だけだよね
2人2人
2人か
意外となかなか揃わないっていうね
そうだよね
まあでもこれステッカーもさもう多分2年近く1年半以上だと思うんだけど
12:04
1年半そんなもんかな
だいぶやってるけどなかなか難しいよね難しいし
うまく考えられてるねこれね
そうなんですよ
全部揃ってもお便りは普通にいただきたいなと思ってはいるんですけど
ぜひぜひ
そんな感じなんでどしどしいただければと思います
励みになります
ありがとうございます
ということでじゃあ今日もセキュリティのお話をしていこうかなと思うんですが
今日はネギスさんからいきましょうかね
はいじゃあトップバッター行かせてもらいますけども
今週はですねちょっとその気になった事件というか
日本のその求人情報のサイトでバイトルっていうところ
CMやってますね
そうだね結構有名なやつだと思うんだけど
ここに不正アクセスがありましたっていう事件がちょっと今週報告されてたんで
ちょっといくつか不思議な点があるのでその辺をちょっと紹介したいなと思うんですけども
まずですねこのバイトルって会社サービス知らない人向けに言うと
DIPっていう運営会社が運営している
名前からもちょっとわかるけどアルバイトとかの求人情報を見つけることができるサイトで
掲載係数が200万件以上あって
その求人情報を掲載している企業が3万社以上あるっていうから
すごく大きい
でかいですよここ
この手のサービスいくつかあると思うんだけど
多分最大手の一つだと思うんだけど
そうですね
でそのバイトルでその中で掲載企業3万社以上ある中の一つに
サンライズワークスさんっていう人材派遣とかやってる会社なのかな
ちょっと個人的には知らなかったんだけどこの名前
この会社があってこのバイトルにその求人情報を載せたい企業向けに
応募している人の情報とかを管理するための管理画面っていうのが提供されていて
各掲載企業は自分のところのアカウントでその管理画面にログインをすると
自社のところに応募してくれた応募者の情報が見れて
メールとかメッセージを送ったりとかできるみたいなそういう管理画面があるらしいのね
で今回不正アクセスされたっていうのはその掲載企業の一つである
サンライズワークスさんのアカウントが不正にアクセスをされてしまいましたと
でその結果何が起きたかというと
去年応募してくれた人が何千人かわからないけどいるんだけども
その中の応募者20名の情報と
これがちょっと面白いんだけど
その不正なログインに使った管理者の画面にアクセスするためのIDとパスワードの情報を
メールで外部に送信しましたと
でこれその管理画面の送信機能を使って応募者の一部に送ったらしいんだけど
その結果だからその実際に不正ログインをしてきた人と
あとそのメールを受け取った人
ちょっと何人くらいの書いてないんでわかんないんだけど一部しか書いてないんだけど
15:00
受け取った人が後からもしかしたら不正アクセスというか
試しにアクセスしてみたっていうことがあるかもしれないんだけど
結果そういう人たちに去年応募してくれた人の情報の一部で
約1300人分の個人情報がひょっとしたら閲覧された可能性がありますと
事件としたこういう状況で
もしかしたら個人情報が漏洩したかもしれない人に連絡をしてお詫びしたりだとか
とりあえず経済企業のアクセス自体は今ストップしてるとか
一応今対応してるんだけどまだちょっと調査中っていう段階なんだけど
でねちょっとこれ聞いてて僕がちょっと疑問に思ったというか
あれと思った点が大きく2つあって
一つはねその今言ったその応募者本人と
あと一部ちょっと何人かわかんないけど一部の応募者宛てに
そのIDとパスワードも含めてメールを送ったっていうのが
何のためにやったのかちょっとよくわかんなくて
動機は何なんだろうなっていうのが
ちょっとわかんないんだよねでそのこの被害を受けたそのサンライズワークスさんの
発表内容読むとちょっと不思議なこと書いてあって
事件が起きたのは去年の12月の30日年末なんだけど
その今言ったそのIDパスワードを含むあと応募者20名の個人情報が一部含まれた
メールがこの日に送られましたと
で続いてサイバー攻撃を受けている旨の不審なメールが
同じく一部の応募者様宛てに送信されましたって書いてあって
サイバー攻撃を受けている旨のっていうのがよくわかんなくてさ
はいはい今ここはあなたの使っているサービスは攻撃されてますよっていうことですかね
そうそうそうまあこのね文字通りに読めば攻撃されてるから
あなたの情報危ないですよとかわかんないけど
なんかそういうことを言おうとしたのか何なのかわからないけどさ
なんかちょっと普通の一般のその情報を仮にその盗むのが目的だとしたら
わざわざそんなことするっていうのもちょっと疑問だし
何のためにこのそのメールを送ったのかがよくわからないなーって
この発表内容だけ見てもよくわかんなくて
一体この攻撃者の動機は何なんだろうなっていうのがちょっとまずはてなっていう
これあのサイバー攻撃を受けている旨のメールが応募者に飛んだっていうのがあったじゃないですか
これとその最初冒頭の事件の概要で説明してくれあった
20名の応募者情報の一部と不正ログインに使ったIDとパスワードが記載されたメール
これイコールなんですか別?
いや多分別だと思う続いてって書いてある
これなんかあの最初のところってこれ外部へ送信されたって書いてるけど
これ外部ってどこかわからないんですよねこれは
18:00
わからないけどその外部って書いてあるけどこの管理画面の機能を使って送ってるから
応募した人の一部に送ったんだと思う
なんかその関係ない人には送れないんですよね
普通のメーラーかのようには使えないのかな
そうだと思うそういうものではないと思う
なんだけどその応募者全員に送ったわけではなくて一部っていうのはそういう意味だと思う
なんかその応募者情報の一部とその不正ログインこれでいけますせっていうIDパスワードが書いてたんやったら
その侵入できることの証明をしたかった
でもそれをその一部の応募者に送る動機がよくわからないよね
そうなんですよねこれをメディアの人に送ったとか
そうそう例えばね
だからこの外部へ送信ってそういう人にも含まれるのかなと思ってちょっと確認したんですけど
そうでもなさそうってことなんですね
そうなんだよねちょっとその行動がさなんとなくその
簡単に想像できる動機とうまく結びつかないっていうか
なんだろうなっていうのが一つと
まあその動機とも関わってるかなっていう気もするんだけど
そもそもこのアカウントのパスワード情報IDとパスワード
なんだこれIDはメールアドレスでパスワードでログインする
でちょっとまあヘルプ画面とか見たらニュース認証とかないみたいなんで
IDとパスワードがわかっていればログインできるんだけど
この情報が果たしてその第三者にどうやって漏れたのかっていうのがこれもわかんなくて
一応ねリリースを読むとその運営元のDIPの方は
管理画面へのログインに必要なパスワードは暗号化されているので
まあいつもの上等句っていうかさ
暗号化されているので我々自身もそれはわかりませんと
でそのこのサンライズワークスさんも自社から漏洩したものではありませんと
一応今の現時点ではそういう事実はありませんって書いてあるのね
どっから漏れたか全然わかんないわけ
ただしそのこのサンライズワークスの一応対応として今回の事案を受けた対応で
社内のそのPCからのログインの履歴とか
あとこのIDパスワードが誰にどうやって管理されたかって管理状況を調べているだとか
あとPCがマルウェアに感染してるかもしれないそういうそのウイルスのチェックをしていますだとかっていうことも一応書いてあるんで
まぁ一応その社内のその管理をしてたこのIDパスワードを管理した人のPCとかが例えばマルウェアに感染をして漏洩したとか
一応そういうことも想定して調べてはいるみたいなのね
進行中ってことですねこれは
そうただまぁその今のところそういう事実は確認されてないって書いてあるので
まぁ今のところまだわかんないんだけど
もしかしたらそのもともと知ってる人の可能性もないことはないなとちょっと
なんか騒ぎにしたかった円婚系みたいな
なんでかっていうとさっきの動機がちょっとよくわかんないんで
何かしらその外部に知らせる目的で知ってる人がやったのかないしはもともと知ってる人とかね
21:06
そのよくあるその今は辞めちゃったけど昔の知ってる人とかさ
まぁわかんないけど何らかの理由でそのパスワード情報を知ってた人がやった可能性もまあ否定できないのではないか今のところはね
なんか知ってもらうことが目的ですもんねこの感じだとね
なんかねちょっとわかんない
まぁなんかその個人情報を目当てでやったとかっていう感じはあんまりしないんだよね
読んだ感じ
なんか不思議なんだよねなんか行動が不思議で動機もよくわかんないし
認証情報が漏れた経緯もはっきりしないしって言うとなんか一体何なんだろうなっていう
ちょっとまあそういう感じで今疑問点が多いなっていう
そうですよねこれなんかねパスワードまでなんで書いたんやろうなっていうね
偶然というかうっかりこういうことは起きないだろうから意図的にね外部のその応募者に知らせる目的で書いたんだと思うんだけど
知らせて何なんだろうね
お前もログインしようぜじゃないでしょうしね
さっきのついさんの話じゃないけどこんなずさんな管理してますってとか
実際にほらこれでアクセスできますよ確認してくださいみたいなそういうこれが証拠ですよっていう意味で書いたのかもしれないし
でもなんかずさんな管理してますってやったらこの id パスワードの漏れた理由を言わないとダメですよね
そうなんだよねちょっとわかんないんだよねその辺がね
この id パスワードがなんかここで漏れてましたよみたいなものがそこのメールにも含まれてたならずさんと言えるんですけどさっきのパターンでいわゆる円婚みたいな嫌がらせみたいな騒ぎにすることが目的なんやったら
なんかあんまり単に騒ぎにすることだけが目的に見えるかなとずさんまで含んでなさそうというかね
今のところだからまああのちょっとねその辺も含めてほとんど憶測で今言っちゃってる
この文章以上のことはわかんないですからね全然わかんなくてまたちょっと不思議だってこんなリリースはちょっと初めて見たなというか
確かにあんまりこう素直な感じしないですよね
a ってなりますよねだしなんかその漏洩ゲームはっきりしないしその第三者全くの第三者が
情報目的であったにしてはなんか変なこといっぱいやってるからバレるしねこんなんしたらねすぐなんかちょっと
違和感しかないというか
なんでまぁちょっとこれまでまぁあの調査中ですって書いてあって運営がもその子の被害を受けた企業側も
一応その一緒に協力して調査してるみたいなんでもうちょっと多分ひょっとしたら続報が出るかもしれないんだけど
ちょっとなんだろうなーってまぁあのはっきりしませんねっていう後まあその
加えてというかさあこういう求人情報だから応募してる人も当然その何個人情報がっつり書いてるわけだし
24:04
このまあ今回その閲覧されたかもしれない漏洩したかもしれないっていうところにも住所氏名年年齢とかねメールとかそういう基本的な情報以外にも学歴とか職歴とかさ
ああ自身が持っているスキルだろうなんだろうとかまぁ今の現在の職業とかばなんか結構そういうそのなんていうの
履歴書に書くような情報っていうかまあ見方によっては結構機微な情報が入ってるなっていうのもあって
まあ全部が全部の人に埋まってる情報が全部入ってるわけじゃないけど 割とそういうのが入ってる割にはちょっと見たところなんかそのメールアドレスとパスワードだけで
そういう情報にパッとアクセスできちゃうっていうのもやや心持たない感じがしててこのシステム自体の音
なんでそれ2つあってその運営している側の保護っていうかその提供形態ってこれで本当に大丈夫かなっていうのが疑問が1個と
あとまあそのとはいってもそのまあ3万社の企業がさあまあ大行きところもあればまあ小さなところもあるわけじゃないもちろん
でそしたらまあなんか担当者一人がこういうのを管理してるみたいなこともあるわけでこの今回の会社がどうかとかわかんないけど
管理の仕方もねなかなかそんなに簡単ではないというか
ひょっとしたら他と何か使い回しあてて漏えいするみたいなことがあってもおかしくはないし今回のケースがどうかわかんないけどね
そういう坂岩いわゆるその他で漏えいした情報を使い使い回しを狙われたみたいなのがあっても別にねおかしくはないらしくはないですね
のでまぁそういうのを防ごうと思った時にさあに要素もない日っていうのはちょっとなんかこう 不安材料だなーっていうのを持ってね
なんだ意外とこういうその割と大手のまあこのサイトは多分大手のサイズだと思うんだけど そういうところでもまあこんな感じなのかなというのがちょっとまあこれが現実かもなっていうのを
ちょっと思ってそういうところも少し もうちょっと改善されていくといいなぁというのもあってまあなんかそういうのね2つ
この事案特有のちょっと疑問とまあこういう事件もそんなに珍しくはないのかなっていう ちょっとところとねこのシステム自体の運用形態とかもちょっと気にせずに要素あるなし
もそうやけど 日本そのあるなしの前にこのログインするため管理画面のこの各々の会社がこのシステムに
ログインするときにあのユーザーを使い回さないといけないようなか ユーザーを新たに発行できるのかとかにもよりません
そうだねアカウントだから管理をどうしてるかとか 各社ごとにさあ例えば共有のアカウント1個でやってるとかさあわかんないけどその可能性も
ありますねそれを管理めっちゃしにくいですよねやめていったりとかするとね まあなんかそれわかんないけどねわかんないけどそういうのもあるかもしれないし
まあその辺のそのね管理の仕方っていうのは簡単なようでそんなに簡単ではないから 確かに確かにねあとまぁその今回の事件とかも含めてまぁちょっとどこまでやってるか
知らないけど例えばそういうログインの不正なログインとかがあった時にきちんとそれが 後からログで終えるようになってるのかとかさ
27:04
そもそもその調査することができる余地があるかって話ですそうそうそう そういうのが前提事故起きる前提で調査できるようなちゃんと消費が残ってるかとか
それをねあのそういう今回みたいな顧客にちゃんと提供できるような状況になってるか とか
そういうのもまあその事件が起きてみて必要性に気づくってことがあるからあるある ねその辺のねまぁじゃあの対応が事前の準備がどのくらいできてきたのかなぁとかね
結構だからそういう点でも他の会社にとっても学びはあるんじゃないかと思うんだけど 確かにそうですね
こんなにねたくさんユーザー抱えているところでもこんな状況やからやっぱり変えてかなあかんぞ みたいなそうそうね
これ続かないといいですねじゃあそうなんだよねそう あの今のところやその運営会社側はその今回みたいな不正悪説はこの一社だけだと言って
いて だからまあ似たような事件が他にも起きているということはまあ今のところは言ってないんだ
けど だからまあこのサンライズワークスさんだけの固有の事情で起きた事件なのか
なっていう感じは今の時点ではするけど確かにそうですねまあでもわかんないよね このパス id パスワードの入手経路が何かによるかなって感じですね
そうそうそうですね 私は他のところでも似たようなこと起きても不思議ではないですよ
そうおかしくはないので まあ今回の経営受けて他のところも含めてねあのまあ見直しはするだろうけど
そうそうなんかね1個だけで済む話じゃないかもしれないっていうのはね看護さんと いう通りだよねちょっと続報がこれは気になりますね
ちょっとまああの事件としてはあんまり目立たないその小さな事案かもしれないけど 少し気になるところはいくつかあったのねまぁ今日紹介したんだけどちょっとね引き続き
もしなんか持つとはっきりした情報があれば紹介したいと思います よろしくお願いします
ありがとうございますはいじゃあへと次はじゃあどうぞ僕牧場かな はい今日はねもうほんまにねえあのランサムじゃないのよ今日
それ振りでしょ振り違うっていつもだぞ いつもだけでしょか違うでもほんまにあの
結局ランサムに収束そうそうそうちゃうちゃうちゃうちゃうあのほんまになんかランス ランサムを待ってくれてるとには申し訳ないなっていうぐらいランサムじゃないね今日は
あの今日ね僕は紹介っていうよりも僕ちょっとこれ使ってみて 使ってみたんですよみたいな気になってたんでっていう話なんですけど
ツールっていうかねまぁツールっちゃツールかもしれないですけど あれ指標みたいなもんですかね
どっちかというと指標そうそうあの特にあのセミナー僕ら一緒に3人で出ている時だとか このポッドキャストでもあの一番これをの名前を紹介しがちなのはネギさんなんですけど
僕らも皆さんも大好きな cvss っていうのがあるじゃないですかはいああいうものがあって まあその新たな指標みたいなんでね出てきているここ数年で出てきたものとかって
いくつかあったりすると思うんですよそん中に epss っていうはいはい あるじゃないですかエクスプロイト
30:05
プレディクションスコアリングシステム なんかセミナーとかでねこの3人で喋ったことはあるけど
ポッドキャストでは初めてかなもしかしたら epss ってのはあんじゃんみたいな感じの ぐらいの
トーンで出てくるぐらいだと思うなが言ったことぐらいはあるかもしれないなもう シューズの ssvc とかね
はいはいあったと思うんですけどこれをちょっと今日紹介しつつ ちょこちょこいじってみましてみたいな話をしようかなと思ってて
大平まあこれがそもそも何かってのまあ epss の略何かって今言ったかだいたい想像つく方も
いらっしゃるかと思うんですけども そのソフトウェアとかまあ os とかそういったものの脆弱性が今後悪用される可能性
まあいわゆる確率を機械学習でまあ推定してで毎日を出してくれているという指標が あるというようですなんですけどこれ珍しいというかその cvss はさ
何まあ一見は一番多分広く使われている指標だけど 贅沢性そのもののその深刻度っていうか
ねその影響を評価するものだけどちょっとそういう意味でこう全然方向性が違うよね この epss そうですねなんか cvss はだいたいを使われるのであの基本値
というかベーシックメトリクスって言われる値が期限度みたいな言われ方でね使われる ことが多いですけどそれ以外にもねあの環境とか
現状とかっていうのはあるけどあの部屋の部屋あんま出てこないその現状値にちょっと まあ
関係あるかなってが近いかなっていうふうなものかなというところあるんですけども これもあのファーストが主導でま無料でこういう情報を公開してくれてるんですけど
2021年の4月ぐらいに公開されて今はバージョンがもう32まで来ているというふう なものでこれもまあの epss 自体はまあ脆弱性を対応していく
脆弱性対応の優先順位をより適切に決定できるようにしていこうということがまあ大きな 目的としてあるわけであの cvss でまぁさっきほどからも出ているとおり
まあ業界標準的なものとしても当たり前に使われているんですけどあれ自体はその 脆弱性のコーマ経路何なんとかこれどれぐらいのあの条件で実行できるんとか権限
いんのとかそういう重大性みたいなものの尺度を提供するにはいいけどこれほんまに 組んのみたいなものとかいうようなことを考えるとちょっとあの限界があるんじゃないか
ということでこの epss の登場になるとそういったギャップを埋めるためのものというふう なことで登場したものになるわけでで悪用されるあの確率を出すって言ったけどこれあの今後その日
から今後30日間の間に悪用される確率というのを出してくれてるんですよね毎日毎日 なので前の値っていうのは毎日変わるわけなんですね昨日やばいって言ってたやつがやばくなく
なるときもあれば逆もあるわけなんですよねもちろん でその総数自体は機械学習でやってるって言えば結構ブラックボックスなんですけどどういうものを
ソースにしているかというものをある程度を書いてくれていて例えば脆弱性情報 やったら nvd とかあとは cpe が出しているようなその数値とかその情報とか
33:00
あと cve が公表されてからの日数だとか あとはの公開されている exploit コードとかあんのかとかスキャナーがあのいろんなクオリスとか
ネサスとかありますけどそういったもののスキャナーに チェックするものが追加されているのかっていうような脆弱性に関するものだとか
あとはエクスプロイトがどういう状況にあるかということを例えばそのデータパートナー ってここでは呼んでるんですけど
シスコとかフォーティネットとかシャドウサーバーとかそういうところからもらった 攻撃情報のフィードバックとかいうふうなものを入れたりとかあとはなんかこの
あ確かにそうだよなってボコリ回転を見て思ったんですけど悪用イコール成功じゃないんで 悪用が来ても成功しないパターンもあるじゃないですか攻撃って
なので自分たちでハニーポッドとか ids とかのセンサーを置いてきている攻撃の観測状況みたいなものも取り込んで最終的には
確率みたいなものを出しているというふうなものなんですよね でまぁ提供されるデータってのさっきから言ってる通りまあ epss プロバビリティ
これはいわゆるスコアってやつなんですけど30日間以内に30日間で悪用される可能性を 0から1の数値で表してるんですが基本的に置き換えて0から100%に置き換えた
表記をするのが推奨されていると すごい細かく0.00006なんとかなんとかみたいな感じで数値が出てくるんですけど
まあかける100してパーセンテージで見るのが推奨されているというふうな値 それが一つだもっともう一つあって
epss パーセンタイルっていう数字があってこれはこの epss 全体 スコアリングしている
脆弱性の全体で見たときにこの脆弱性がどこに位置するのかというふうなことで この数値はこの脆弱性よりもスコアが低いものの割合が何パーセントあるかって
いうことですね 例えばパーセンタイル0.6って言われたら全体の60%が今この見ている脆弱性よりも
低いスコアとして存在しますよというふうなものがわかる値 いうふうなこの2つが主に提供されているとでこれあの実際にきちんと使って
みたことなかったんであの使ってみたんですよ go anywhere っていうファイル転送系のソフトありますけれども
悪用がされてて僕もずっとウォッチしてた cve-20230669っていう脆弱性ともう一つ同じ 製品のやつで最近出た
cve-20240204っていう今年のやつの脆弱性を見てみたんですけど この20230669って去年悪用されまくってた
go anywhere の脆弱性なんですけどこれは cve の公開が2月の6日だったんですね2023年の
で epss の初登場時の悪用30日間に悪用される確率が1.08%とかなり低い感じは するんですよね
で2月9日になったら18.44に上がってその次の日にあのブリーピングコンピューター が記事であのクロップが悪用してますっていうふうに言ってるよっていうふうに
いう報道が出たりあと kev にもこの脆弱性が登録されたのが2月の10日だったんです この登録を受け受けてじゃないんですけどもこのいうふうな雰囲気になってきた時に
36:08
その次の2月の12日には epss が30.93%に上がると その後は最終的に3月7日ぐらいにも96.57っていう数字に上がっていくっていう
ようなことなんですけど これでもこれどの辺の値で自分たちは対処したらいいんやろうってめっちゃ難しいなって
思ったんですよね そうなんだよねでもう1個さっき言ったの最近のあの2024 0204の同じ合意に部屋の別の脆弱性
なんですけどこれが今年の1月22日に cve に公開されてまぁこれクオリスがレポート書いてましたけど でその次の1月の23日にクオリスがクオリスのスキャナーでこの脆弱性を検出
する機能を追加してそしたら次の日にはポックが公開されたぞ poc が公開されたんですよね でこのクオリスがスキャナーに検出機能があって
で poc も公開されている24日の epss 値は0.06%なんですよ めっちゃ低いんですよねで
かと思えばばこれ何が要因かわからないですけど 24日から次30日には12.25%に上がるんですけどその次の日の31日は
1.87%に下がってるんですよ でさっきモッペ見てみたら2月の3日が今日ですね
今日この収録時今日なんですけど18.78%になってるんですよ これねその僕なんでこれ見てこの epss に興味をちゃんと持って見始めたかっていうと
あのまあその悪用のやつでは kev 見ましょうまずこれ見ましょうみたいな話するじゃない ですか
それではカバーしきれないものをこれで何とかカバーできひんかなって考えたんですよ ね
なぁなるほどね脆弱性が数多く出てますで kev 乗ってますでもなんかちょっとこれ食らったヤバそう な奴ってどれぐらいの値なんやろうっていうふうにあって自分たちの持ってる資産と
照らし合わせて epss 何パーセント以上やったら余力があれば対象した方がいいん ちゃうかみたいな
敷地みたいなものなんかうまいこと作られへんかなって思ったんですよね一歩先行きたくて でもねー
1点何パーとか18パーとかでももうすでにやばいみたいな状況 じゃないですかそうするとなんかこうほかなんか脆弱性の差別化みたいな優先順位を決める
のにはちょっとこれ また厳しいんかなっていう気がしましてそうねなんで現実的に考えるとまあその
kev を対処したらまあいいやんって話あるじゃないですか悪用もガチ認められ てんねんからさあっていうのがあるけどこれもねあの
カゴさんが指摘されてましたけどこれももう選権超えたじゃないですかずいぶん前に なんでこれもバンバがバンバが出るようになってきたりとかしてしまうとこの中でも優先順位
決めなあかんのちゃうみたいなになった時に kev かつ優先順位高い奴を決めようとかっていうのでこの数値を無理やり当てはめる
ぐらいしかちょっと今んところ現実的に使えるかなって考えた厳しい気がしたんですよ ね
39:04
まあなんで今よりもこれをこの対象例えばいいえと2週間以内にやろうと kv 2 週間の幅があるから kv 習って2週間以内にしようってなってたけど
その間に90何パーなったからその予定よりも早めるかどうかの尺度として 使うっていうぐらいあったできるけどこの10パーそこらとか10パー20パーのそこらで予測して
なんか対処するっていうのってちょっと敷地としては低すぎるし 精度もちょっと厳しいかなってすでに幕僚されてるのに数字そんな上がって変年もみたいな
こともあるからちょっと難しいなあっていうふうな思ったけどなんかお二人はどういう ふうにこの数値を見たりしてるのかなっていう
もう聞きたくてちょっと紹介しました なるほどねうん僕まあ結構昔昔からというか
eps 出たぐらいからまあ注目はしてるけどまぁなかなか 実用にはまだほど遠いかなぁという目でずっと見てるんだけど
一応これねそのモデルが結構これはファーストのワーキンググループで結構精力的に 検討されててそうですよね
あの毎年よりどんどんアップデートしてされてってさ でモデル自体はおそらく多分良くなってて
でこのファーストのページにもそのいろいろ検証結果を書いたら結局その実際にこれ役立つか どうかっていうのは検証を繰り返して言ってその証明するしかないわけで
このモデルがいいかどうかっていうのはね でまぁそのさっきついさんが言ったみたいなその cvss ってのはさぁまぁ2万件とか
まぁ去年は3万件近いのが毎年出てて でそのうち実際に悪用されないパーセ1%くらいって言えば結果が出てるから
ところがそのハイとかクリティカルってやつはもっと遥かに多いからさ もっとずっと多いんで
そのギャップをどうするっていうのがすごく根本的な問題なんだけど eps はそれ と比べると遥かに小さい値でうまく
優先順位がつけられますよということを言っているんだけど とは言ってもその今後1ヶ月に悪用される可能性っていうのをどのくらいの重みで
見るべきかっていうのは誰もまだまだわかってなくてそう なんですよね
というのは1ヶ月ぐらいのスパンだとまあまあ悪用されるよねっていうのはさ 別にこんなモデル使わなくてもなんとなくはわかるものもあるわけ
そうそうですねそうですねこれやばそうやなみたいなありませんね1ヶ月も言うよう ないよってのは分かるんだけどそれが1日で来るのか1週間で来るのか1ヶ月なのかって
のはまあよくわからないですね 状態なのよねだから1ヶ月って言われると
まあそうだろうねっていう感じのデータは出てくるんだけど それが実際に
その贅沢性の対応にどれぐらい役立つかっていうのはじゃあこの1ヶ月後の確率が めっちゃ高いから
明日すぐ発表されるかっていうのとそれだとかそんなに明確じゃないわけでそうですね 30日っていう縛りですからね
範囲がねそこがまだはっきりわかんないっていうのなんで結局優先 どうどう考えたらいいかどのさっきもね追算したけどじゃあこれが50パー超えたらやばいと
42:04
考えるべきなのかどうなのかっていうのはまあこれはちょっともらう評価してみないと わかんないんだよね
あと最大の問題はそのまあこの機械学習を使っているモデルはどれもみんなそうだ けど説明可能性っていうか
なぜすぐ家が上がったら下がった人が正直全くわからないよねそうなんですよそれが やっぱり最大の問題で
ちょっとねそこがだからそのとれば ssvc なんかすごくシンプルにエクスプレートが あるなしっていうので分岐していくような決定義を用いてて
めちゃシンプルなんだよねあれはねそうですね またらその実際に発表されているのってのどう把握するっていう問題は依然として残ってる
けど そうなんですよただねそのいいピースのようにその予測ってのすごくそのなんていうの
夢が夢があるというかなんていうかなんか期待しちゃいますよねこれねいやまさに俺が 欲しかったらこういうものなんだよっていうものだと思うんでみんなが思ってるのは
ねはい でもっとこれが予測制度がどんどんどんどんこれが高くなっていけばさ
点球法ぐらいでこういう制度がねよくなっていったら 明日雨かどうかっていう方ってまあまあもうほぼ当たるじゃないないってまあそうですね過去の
統計も合わせて制度高いですよねそれぐらいの制度で明日この脆弱性は悪用されます だから今日行った方がいいですっていうくらいの制度になるんだったらめっちゃいい
めっちゃ使えるよね だけどなんかねそのだから目指している方向はすごくいってずっと思ってるのね俺はいそうですよね
思ってるんだけどなんかそこには永久に到達しないのではないかという そんな感じちょっとそんな金をちょっとしちゃいますよ使ってみるとね
なんでそこまで行くのはちょっとだからもう永久に来ないとしても 今の現状でうまく活用する手はあるんじゃないかっていうのは考えてんだよね
なんでそのこれにすべて依存するのではなくて ベンダーとかがどうやってるかっていうとその cb 説やら eps じゃない
いくつかのスコアを見て プラス自分たちのそのベンダー独自のノウハウとかも入れた上で判定するようなことにの
一つの材料として使ってるとか まあおそらく多分そういう使い方になるんじゃないかなっていうかもともとはこれね cb
してそのものを置き換えちゃおうっていうかさ これで全部バックいくんだぜっていうのを多分目指してるんだと思うんだけど
ちょっとそういう世界は来ないのではないかなぁと思い始めてます確かに確かになんかそう 僕もなんかそういうめっちゃこれがね制度高かったらええやと50超え
今までの音その悪用されてきた脆弱性とかそのいろんなメディアでてる情報とか悪用の 情報とかを振り返ってみてみたら俺これ結構やっぱり言い当ててるやんみたいなもん
やったらええなぁと思いながら見てみたんですけどそうじゃなかったんですよね そうねあとそのまあほら今さあその
ai とかね機械学習ってすごく花盛りだけど やっぱりでもその得意不得意な分野ってだからじゃない
ですごくある特定の分野ではめちゃくちゃすごい優秀で人間グレーも超えちゃうような ことをやってのけるけども
45:02
不特な分野ではそうではないじゃないでわかんないけどこの今そのいろいろセキュリティ のこの過去の脆弱性のね悪用状況とかをいろいろ学習したモデルを作って精度を高めようとしている
けども それってそんなにその制度が少し高くなるかどうかって自明ではないので
そのアプローチ自体がそもそも本当にその正しいのかどうかっていうのもちょっと僕も よくわかんないというかちょっとそのそこらへんの僕詳しい
あの何きちんとしたモデルの中身とか調べて言ってるわけでないんで適当なことを言っ てるかもしれないけどそれもどうなのかなーってこれを突き詰めていけばどんどん精度が
上がるっていう 保証があんのかなーっていうか
なんかねその辺も難しいよね だから実現できたらめちゃくちゃ嬉しいモデルなんだけど
難しいような気がする なんか kev の次のなんかみたいなことを考えてみようかなと思って調べたんですけどね
なぁ
まあ今ねあの混沌期というか cb 説もさあ去年バージョン4点は上がりましたよね まあこれから普及すると思うけどまぁそれ以外にはベンダー独自にいろいろこういう指標って
なんか今あっちこっちのベンダーがみんな独自のモデルを提唱してやってるっていう状況になっ てて
在宅生のその診断とか管理をするベンダーをやってるし そのユーザー企業とかを独自にいろいろそうの作って発表したとかしてるし
まあ何が正解的結局わかんなくて 実際に対応に使える奴が正解だとすると
それって1校じゃないんじゃないっていう気もするしね でもは結局なんかこれとこれとこれとこれをこれをつまんでこうですみたいな判断を
するのは結局やっぱり人かとそうあとまあその自分たちの環境とか状況にマッチする モデルなり指標なり
フレームワーカー何なのかっていうのを結局まあそれぞれに考えなきゃダメなんじゃない からと思うんだけどねどれを選ぶかから含めてってことね
そうそうそうまあ選ぶ選ぶかまあなしは使わないかという選択も含めたまま無視する っていうのが一つですよね
まあ本当はねその cbs なり pss なりこういうものはもう誰でもこれ見ておけば ok っていう
のがさまああの究極の理想だとして までもそれはちょっと難しいじゃない現実問題ね
そんなものはできないのでそう考えるとまあそういうのの一つ単なる一つって感じ なのかなっていう
そういうのねまあだからあんまりその ねえだからこういうのにその左右されないような
ハイハイ組み作りを しっかり考えたほうが結局早い道ならではないかと
なんかこれなんかそのネギさんが言ってたみたいなどれをねつまんでどうやって判断 していくねみたいなの一つのカードみたいな感じのこと言ってたらなかこういう情報でね
いろいろいろなベンダーが出したりとかするんでいろんなものあるじゃないかさっきの ssvc とかもそうですけど
なんかもどれ選んでどう判断するかってもなんかタロット占いみたいなことだったんだよ その同じカードを見てもなんかこう
48:05
だって自分その話した占いしている相手の感じを見てどういう適切なことを言って あげられるかの力ってやっぱりコンサル力とか
経験とかみたいなその占い師の制度みたいな解釈みたいな 結局そこかみたいなんでまだやっぱり
そういう機械学習埋め切れてへん部分とかっていうのがあるなーっていうのはねこれ やっぱり見てて思ったのが1個ですね
あとはなんかこの使い方としてはちょっとひねた使い方ですけどこの自分がなんか 親しみのある脆弱性というか気になった脆弱性とかを
時系列で遡ってこれと照らし合わせながら見るのもおもろいなと思いましたよ なるほどねうん
スキャナーに僕はあってもこの程度かみたいな そういう何研究目的というかそういう検証をするのは楽しいけど
そういう目的で使おうじゃないんだよねそうなんですよ でもよりより深く理解できましたあのこのタイミングでこの eps って
このぐらいの値あったんかじゃあちょっと厳しいかみたいな なるほどねまあそれは正しいけどね
これちなみになんですけどツイスターもしご存知だったら教えてほしいんですけど cve がいわゆる
公開されてからこの epss っていう値っていうのは比較的すぐ 算出されて私たちが知ることができる状態になるものなんですかねそうですね
はいあの例えばさっきのあの後の方の脆弱性 あの5エネの20240204の方は cv の公開がえっと1月22日なんですけど
えっと epss が一番初めに出たと思われるまあ履歴を追っただけなんですけど24日 2日後には出ている2日以内には出てましたね
なるほど2日のまあリードタイムぐらいはあるかもしれないってかじゃあそうそう その間に悪化されたりしてな
なんかやっぱりねはいちょっとそこは気になるところではあってやっぱり早さ勝負 ところがいっぱい今結構あるんで
そうこれ履歴履歴っていうところでこれ履歴を追うのも結構大変で 今回この履歴を追うのにねその役立ったなっていうサイトもちょっと紹介したいなと思って
いいですかはい昔からある有名なサイトなんですけど 昔僕が使うよく使ってた頃から見た目がもうちょっと前にガラッと変わりましてあの
cve ディテールズドットコムっていう なんか前にももしかしたかもしれないなそれもね紹介した時はねあの
インターフェース古かったかもしれないその頃 新しくなってあのしあの
定着性のその cv 番号で検索すると結構いろんな情報を無料のアカウントの範囲でも 出してくれるんですよ
kev に乗ってるかとかあのまた cvss のスコア epss のスコアとかあとメタスプロイトの モジュールが困難出てますとか
あと関連する参考文献みたいなものザーッと出してくれるんで 脆弱性情報を整理するのにも結構役立つかなというところでそこのこの epss
51:04
スコア履歴っていうのがあるんですよここは保存してくれてるみたいでたぶん api とって 保存してるんだと思うんですけど
なるほどそれの履歴が残っている奴でいうと先ほどの看護さんの質問だったら2日 後の値が一番当たら古いもんでしたという回答です
このサイトをちょっと活用すると他の使い方もあったりするといいと思いますよ 良くなってる昔よりさらに
まあそんな感じでちょっとあの触れてみてはいいんじゃないかなというので紹介しました という感じでございますはい
ありがとうございますということで最後は看護さんですねはい今日私ご紹介したいのは 8クラウドフレアーが先日というかあのつい最近公表していた
不正アクセスの被害報告についてなんですけども ブログに公表されておられてサンクスギビング2023セキュリティインシデントっていう何
か名前がすごいこじゃれてる感じではあるんですよ こじゃれてるという実際に彼らがまあ承知したと把握したのがまさにこのサンクスギビング
感謝祭の当日だったのかな前日だったかな 23日って当日なんですかねその日に把握したというそういった話だったんですが
これ攻撃自体は実はこれ奥田のインシデントっていうのが昨年の10月にあって 実際その奥田のサービスを使っているいくつかの企業
ワンパスアウトとかもありましたよねあったところがはい影響を受けたということで ちょっとドキッとしたインシデントがあったんですがどうも今回このクラウドフレアーが公表された
この事案についてはその時の奥田の流れを受けてというか その奥田の時に盗まれた認証情報を悪用されてしまったとそういった事案で
不誓約説そのものは11月の14日から実際に調査とか 偵察の行為っていうのが始まってその後中でゴニョゴニョ少し少しだけされて
最終的に特権グループにアカウントを追加したタイミングでアラートが発泡されて まあそれではいクラウドフレアーが把握をしたとそういった
ざっくりそんな流れなんですけどもこれ被害どんな影響を受けていたかというところに ついてはかなりクラウドフレアー内がダメージコントロールというかあの簡単に横移動が
できない仕組みが実現されているからという形でも彼ら自身が説明していたんですが 実際には彼らが内製というかオンプレで使用していた
アトラシアンの製品であったりまあそれが実際に動いているサーバーに被害というか 不誓約説の影響が限定されていたというところで
なのでクラウドフレアーのサービスを使っておられる他のシステムであったりとか顧客 情報であったりとそういったところには幸い確認されなかったと
54:02
いうところだったのでなので被害そのものっていう意味ではまさほど 大きな影響というのは今回の公表をされたケースではなかったんですけども
ただ思い返すとというか 奥田のインシデント公表があった時にクラウドフレアー自身も被害というか影響を受けました
対応しましたという形で公表されておられたので なんで今回のインシデントの
被害に繋がったのかっていうところ いくつか他にも興味深い点はあるんですけどもまずまずそこがまず気になってですね
でそこも本当にはっきりと書かれてるんですけども 認証情報を奥田の件で抽出してしまったんですけども
その中の一つのサービスのトークンと3つのサービスアカウントっていうのが ローテーションもね要は対応を忘れていたというまあ結構あのそんな感じではっきり書かれて
いて まあ影響を受けたのが実際には数千件って書かれていたのでそのうちの
まあ実際には4個なんですかねはい これが対応漏れだったというところでで漏れてしまった理由についても書かれているんです
けどもこのアカウントを 未使用であるというか使ってないものだったというところで認識を誤っていたために
まあ結果的に対応漏れが生じてしまったとまあ彼ら自身もこれはちょっと誤りだった という形で記載はしているんですが
あのそういったことでちょっとだけ対応が漏れてしまった本当にごくごく一部の アカウントから彼らの中
内部で運用していたアトラシアンのサーバーがステアクセスの被害にあったという ところではあるんですが
ちょっと怖いなと思ったのがさっきもたとりその数千件 リークされたデータのうちまああのほぼほぼすべては対応が適切になされたとは思うん
ですけどもその本当にちょっとだけ漏れてしまった 対応漏れのアカウントをまんまと悪用されたというところと
まああとはさっきも言った通りちょっとクラウドフレアもまあそういうミスというか あのオペレーション作業も漏れてるんですかねまあそういったことを起こして
しまうんだなっていうのはまあこれは結構興味深い ところかなぁと
またあの今回一連その対応を説明されている中でクラウド ストライクですかねあのそちらの調査会社に対しても対応を依頼したと
保連事故を依頼したという形で書かれていて 私結構珍しいなと思ったのはクラウドフレア自身て
結構その自分たちで割と何でもできる スキルというかリソースを持っているというまあなんか漠然とそんな認識があったので
当然あの不正アクセスの被害とか受ける 受けるとクラウドストライクのようなそういった調査会社に依頼するというのは割とよくある
ケースではあるんですけど クラウドフレアが依頼したっていうのはこれ結構なんかあの意外だなとは思ったんですが
57:04
これも中あのブログの中身を読んでいくとこのクラウドストライクへの依頼っていうのは あくまでもその独立した評価を行うために依頼をかけていると
当然自分たちで調べてはいて ただ自分たち自身で調べきれていなくて万が一取り除きができていないようなそういった
脅威などが残っていないかということを踏まえて調査の依頼を行ったというものでは あったんですが当然あのクラウドストライクの調査結果であったりとかから
有益な情報っていうんですかね支援などにつながったものっていうのはあったんですけども 結果としては自分たちで調べていた
情報以外の事象というのは確認がされなかったっていう話なんていうのも書かれていたと でなかなか
あのすごいなんていうかこのブログがめちゃめちゃ長いんですけどもあの 細かいですよねめちゃめちゃ細かく書かれていて
でその中であのなんていうかね私たちはこう対応しましたっていうその再発防止というか あの対応の初動対応みたいなところも割と書かれているんですが
被害の確認をして数日ぐらい経ってからそのコードレットって彼らが自分たち呼んでいる 緊急対応のようなそういったプロジェクトを今年の1月
いっぱいまでやってましたみたいな話を書かれていて でこの中でいろいろ結構あの参考になるな参考になるなというかあの
こういう対応をとってるんだなと思ったのは さすがだなと思ったのはあのサンパウロにまだ運用が始まっていないデータセンターがあって
今回のその不正アクセスを行っていた攻撃者って言うんですかね 脅威アクターはここに対してもサーバーに対してのアクセスを施行していたと
結果的にそれは失敗だったんですけども ただそのデータセンターに対して攻撃が行われていたということを受けて
100%の安全性というところは彼ら自身の中では担保ができないという判断に基づき データセンター内にあった機器をメーカーに送ってですね
これに実行してもらったと で結果何も出なかったんですけどもやはりここも安全側に倒してハードウェア交換まで
やっているというところでここまでやるかっていう感じではあるんですけども 結構あのこのデータセンターのクリーンな状態を維持するためにかなり気を使っているなと
あと ソースコードを管理しているサーバーに対しても
ステアクセスというのが行われていて 実際にはなんか12,000リポジトリぐらいある中の120のリポジトリが攻撃者によって
1:00:01
閲覧をされておりこのうち76件は アトラシアのサーバーにダウンドされていたと
このアトラシアのサーバーはすでに攻撃者が自由にコントロールできるようなそういった 映像監視機能というのが既に確立をされていたので
データが本当にその後攻撃者に流れてしまったかどうかっていうところについては 確たる証拠というのはクラウドフレア自身も承知はしていないみたいなんですけども
もう盗まれたという前提に基づいてソースコードに対して これソースコード自身が漏れることっていうのはこれはなんて言いますか
そんなに彼ら自身の中ではディスクという形では見てはいないということが説明する っていうのは結構クラウドフレア自身がオープンにというかブログであったりとか
そういった形で彼ら自身のソースコードっていうのは結構公開されているというところがあって なのでそれそのものが盗まれてどうかという話ではなくて
そのソースコードに含まれて 万一含まれているようなそういった秘密情報っていうんですかね
キーとかトークンとかそういった情報が入っていないかとか あるいは脆弱性がそのソースコード上に存在していないかという点を重視して
調査を行ってましたなんていうのも書かれていてですね なのでこの辺の取り組みというか対応をどう取ったかっていうのは割と参考になるというか
これうちらできないだろうみたいなのも当然いくつもあるんですけども こういった対応というのはクラウドフレア取ってたんだなというのは結構参考になるかなとは
思いました 最後これ誰がやってたんかっていう話については はっきりと具体的な協約ためっていうのは出てはいないんですけども
やられている内容からも想像に対すいんですが国家関与が疑われるような そういったクター
ではないかということをクラウドフレア自身は推定はしていると 盗んだリーク情報のほんとごくごく一部を上手く使って
アトラシアのサーバーを掌握したりなんていうことはやってはいるので なのでまあかなり技術的には宣伝されているというところでクラウド自身が評価している
というところもあるのかなとは思うんですが ただあのさっき言った通りこれ検知されたのが
実際にはスマートシートでこれ作業管理のサービスですかね そのサービスアカウントっていうのが連携をアトラシアの連携に発行されていて
でそのアカウントを協力たが管理者グループに追加をしたと その2分後にセキュリティチームに対して
自動的なアラートが発報されたことでクラウドフレア自身がこの事態に気づいたっていう ところであったので
なんかそこは少しなんというかあのお粗末というか もうちょっとやり終わったんじゃないかっていう感じはなんかしなくはないんですけども
1:03:07
はいまあなんかその辺はありはしつつもまああの結構攻撃者の スキルというんですかねあの技術力の高さっていうのはなんかこの対応なんかを見ている
と感じたところというものではありました クラウドフレアってまぁ過去にね何度も結構狙われてそうそうそうなんかねはいしょっちゅう
事案が起きているのもあるし まあすごくそういう意味で今回の記事もだけどめちゃくちゃ対応してる
ですげーなと思うんだけど それでもやっぱり思うのはそうさっきの看護さんの話で今回クラウドストライク頼んだって
のもさやっぱりその前回のそのまあまあ失敗というかはい 漏れてたっていうことは多分前回は自分たちで調べて完全だと思ったけど漏れてたので
今回は年2を値を得て第3者の調査もやったという まあ多分そんなような理由じゃないかと思うんだけど
いかにさそのクラウドフレアぐらい その外から見える範囲だからまぁ本当にどうかわかんないにせよすごくしっかりしてるな
と思うところですがやっぱりこういうその インシデント対応に起きるその根絶というか
100%大丈夫っていう状態がいかに難しいかという本当に 改めて思うのとひょっとしたら今回のもこんだけ年には念を入れてやっていても漏れてる
可能性ゼロじゃないそうですよまだまだあるってことですか さっき言ったその漏れたソースコードの中の脆弱性を狙われて侵入されるとか
どっかにシークレットが漏れてましたみたいな本当にあってもおかしくはない じゃない
まあないことの証明でそれだけ難しいですからねそうそうだからいかにそういうのが すごい難しいかっていうことかなっていうのとあとまぁこれそのクラウドフレアだけじゃ
なくて過去にもさあたってまぁラストパスとかもそうだし その1回どっかの環境に侵入されて根絶したと思ったら実はその時に漏れた情報を
使ってまた次やられましたみたいなのってのはたびたびやっぱり起きるんだよね だしまぁその今回がどうかははっきりわかんないけどまぁネーションステートって言われる
なぁそのまあコードなって一言で言っちゃうのはちょっとわかんないけど そういう攻撃者のレベルが高い場合にはまあなんか見逃してくんないんだよねこういうの
ねそうですよね本当に本当にそのわずかな見逃しを彼らはこう ついて利用してくるっていうのはまあこういう事例で実証されているので
はいまあちょっとしんどいよねだからまあそのしんどいから まあだからというわけじゃないけどやっぱりそのね
さっきの まあ抜け漏れがないとは言えないとしたらどう防ぐかっていうことはまたもこのクラウドフレア
もいろいろ考えているんだと思うし 仮に漏れてもすぐ検知できるようにだとかそうさっきのねそれ被害があまり横に広がら
ないように環境をしっかりあるとか あとそのさっきのデータセットの話も一度入られちゃったらもうあの根絶するのが難しい
1:06:05
ブーブーいかにクリーンな状態維持するかって言うで多分すごく不審してるんだと思うん だよね
まあそういうところのその考え方とかアプローチはすごく参考になるよねこれねそうですね でも後から出てきたのをちゃんと言ったのはまあね
もともとの原因は奥田やんっていうのがありあるとはいえ やっぱりありましたって言えるのか確かまあまあまあでも勇気いるはいいますけどね
多分ねそうねまあそういうところのマンの情報公開とかかなりしっかりしてるよねこの 会社ねすごいなぁと思いました
音の原因はね他やったとしてもねちょ調査は自分たちの範囲やからそこに漏れがあった っていうのは自分たちの日を認めることになるから
そうね素晴らしいなと思いますけどねまぁあのそうそうクラウドフレアはいろいろ批判される こともあるけどこういう姿勢は見習いたいよね
ブーブー自分たちに調査する能力があったとしても外に行こうねなんていうカバー範囲 今回みたいな子カバー範囲に漏れがないかとか
あとは外に出すときの説得力としてば第三者のっていうので大事やから自分たちで シーサーと思っててもなんかあった時にこういうカバー範囲を広めてもらったり
裏付けをしてくれる会社っていうのを用意しておかなあかんなって思いましたね そうねまあ普通の会社はだいたいこう役割分担を考えてさ
はいまあ専門的なフォレンジックは今回みたいなクラウドストライク見た専門企業に任せて まあ自分たちはその結果を聞くだけみたいな感じのところがおそらく多いと思うんだけど
そうですね まあねあのクラウドフレアみたいなのは結構理想的だよね
いやーそう自分たちでも調査能力を持っていてできるんだけどもまあそれをであの確認 するために第三者にも依頼するってのはね
教者のゆとりというか まあまあ確かになかなかそう簡単にできることじゃないですよね
いや普通はできないよこれ できないですよ
確かに確かにまあまあ僕もねまあいろいろ経験ありますけど自分らで調べられるけど 外にもちゃんと調べてもらおうみたいなことをしたことも過去にあるんでね
はいそうそうまあやっぱりそういう能力を保持しつつというのができると まあ余裕があるよね
なんかかなりね説明されている内容も説得力を持って見ることができるので それは大事だよねさっき言ったタイムラインがもうかなり細かいって言う
でボリュームもすごいじゃないですかこれめちゃめちゃボリューミーですはいなんかこう 終年みたいなものを感じますね
これでもかーみたいな感じで出してきたみたいな感じだとすると気持ちが熱が伝わって きますこれは
これで許してくれみたいな ちゃんとやったでいうていう感じはちょっとしましたね
これここまでやらなきゃダメなのかね厳しいね まあかなりのコストですけどねこれもね
いや真似できないよ普通の会社は真似できなくてもやっぱりこれぐらいのことを できなきゃいけない会社も多分日本にはいくつかあるんじゃないかなとは思うので
1:09:00
そういう事だよね要するにね みんなには求めないんですけど
100点というか高みを知ってこそちょっとずつでも近づけようという意識は大事ですよね
確かにそれはおっしゃるとおりだと思います
見習いましょう
頑張ります
見習うんだってのもあるんですけどまぁまぁまぁいい
はいありがとうございます
はい
はいということで最後今日もねセキュリティの話は3つしてきたので最後おすすめのあれなんですけれども
今日おすすめするのはですねなんかものとかそういうのはなくてですね
方法というか
方法
あのー2月といえば何ですかね
なんでしょ
ごめまきでしょ
あーなるほど
はいはいはい
豆巻きしてます?今までこれまでしてきてました?
いやーもう最近は全然しないっていうか
巻いた豆を拾うのが大変
あーそうね
そうですよねそう今いいこと言ったわ
やったはい
新しいタイプの豆巻きっていうのを最近人から聞きまして
新しいタイプの豆巻き
豆とはいえさなんかあれ食べ物やんか
で基本的に鬼は外福は内やろ
バンバン投げるのが楽しいですよ子供の時とかは
でももうなんかさあの節分の時の次の日の朝その辺街中豆だらけになってる時あるやん
あるか?
え?いやいや
見たことないけど
昔はそうやったんすよ
ここも豆やわこれ昨日のやつやわみたいな
小学生の時とかね学校行く時にもう通学路豆だらけですわもう
おー
もったいないでしょこのSDGsの時代にね
はい
片付けんのが大変やろう言うてなるんで新しいタイプの豆巻きの方法
はい
はい
古包装になってる袋で投げる
あははは
えーそれなんか豆投げてる感じしなくない?
いやこんなもん縁起物やから豆投げたらいいんですよ
なるほど
何豆がこう10例えば10チューブぐらいとかこう古包装になってるみたいな
あー
そうそうそうそうなんか例えば5個から10個ぐらいこうなんか入ってる
三角形みたいなやつあるやんなんか
はいはいはいはい
あんなんとかさ
そうそうあとまぁ平たいのもあるけど
うんうん
その1個ごとガッサー入ってるやつやったらもう全部豆巻かなあかんから
古包装になってるやつをもう投げる
なるほど
投げるっていうこともできて食べ物としてもちゃんと使えて散らばらない
新しいと思って聞いてびっくりして僕
新しくないんじゃないそれ実は
パラダイムシフトやで
あははは
そこまで言うか
パラダイムシフトが起きた僕の中で
なるほど
なんでこの方法ねそうそうこれしかもねほんとにこの収録してるのさっきもちょろっと言いましたけれども
今日2月3日なんでですねこの方法は皆さん来年使ってください
1年?
これが配信されるのはね
1年そうか
来年か
2月の5日とかで配信する
ちなみにさ最近もう買うことすらあんまりしないけどそういう古包装の豆って結構売ってんの?
1:12:01
売ってますよ僕さっきもスーパー行ってきましたけどスーパー売ってましたよいっぱい
あそうだった
へー
最近はそういう新しいタイプの丸巻が
巻けばいいんですね
コンビ僕のね大好きなコンビニにも行ったんですけど
僕が行ったコンビニにはなんかこう一袋でいっぱい入ってるやつしかなかったわ
古包装はなかったんでスーパーとか行ったほうが確実かもしれない
じゃあ次やるときには
そうですねなんか今年はもう無理だと思うんで
これ来る頃に終わってるから
終わってるから来年ぐらいからとかね
来年はこういう風にしようぜってね広めてもらってもいいんじゃないかなっていうことで
何この空気
はい!はい!
こんだけパラダイムシフトが起きた言うてる人に対して感想はい!そんなことある?
久しぶりだねこの温度差
いいっすよねなんかこのみんな知ってるけど僕だけ知らんくてめっちゃ感動してるパターンのやつな
でもわかんないですよでも本当にねあの時代の流れでねあのニーズが高まってきて変わるってことやっぱあると思うんですよ
僕前も前もそう前言ったやんあのほらしらがネギ買いに行った話したやん
あーなんか言ってたね
しらがネギっていうネギがあると思ってしらがネギくださいって言ったらはーみたいな顔されて
うーん言ってたね
でも今スーパーに売ってるからなしらがネギ
あ!え!マジで?
うん切ったやつ袋に入ってしらがネギって売ってるから
そっかそうやって間違える人が結構いるからか
そうでそれでもニーズあるんですよ自分でやるよりももうさっとしらがネギ買ってラーメンにちょっと入れるとか担々麺に入れるとかしたい人がおるから
基本的に僕は先を行きすぎてるんやと思うんですよ
違うなの
違うのか
違うなそれは違うわ
あでもそうかそうなんだ最近そういうの売ってるんだ
そうそうそうそうそうそうなんですよリモートワークだって僕はもう何年前からやってるんだと
はいこれ以上言ったままもうそろそろ墓穴放りそうな気がするんでね
今週はこんな感じで終わっていきますまた次回のお楽しみですバイバイ
バイバーイ
