1. セキュリティのアレ
  2. 第19回 大阪より愛を込めて。..
2014-03-04 32:02

第19回 大阪より愛を込めて。あけましておめでとうスペシャル

Tweetということで収録したてほやほやのポッドキャスト! 今回は先ほどまで某Tmediaのパネルでご一緒させ[...]

The post 第19回 大阪より愛を込めて。あけましておめでとうスペシャル first appeared on podcast - #セキュリティのアレ.

00:02
哀ね返しになっちゃいました。
ただいま 、あ、セキュリティのあれ。
いきなり収録をし始めています。
2回ぐらい、いろいろ年寄りにやったんですか?
いや、今年5回ぐらいやった記憶がありますけどね
え、僕なしにやったんですかね?
でもこの間、ページ見ると
3年ぐらいこれやってるんですよね
3年やってて
18回しかやってない
褒められましたよね
褒められた
もう、IIJの人に褒められましたね
前回は12月23日で
あ、23日
だから明けまして
もう2月も終わって3月だね
ちょっと暖かくなり始めた
桜が咲こうかっていう時期ですけどね
今回会場を
大阪の防床にて
やっておりますけれども
これからパネルなんでね
打ち合わせなしで
世にやってますんで
まあなんかいろいろ
闇グーグルですとか
ビットコインね
マウントコックス被害者の方も
いらっしゃるということで
パネルではその話一切しない
というような感じで
スタートしたいと思います
後ほど本編は
終わった後に
ただいま
終了いたしまして
無事
パネルディスカッション
終了いたしました
なかなか時間がなくて
本当大阪の会場は
すごく皆さん真面目に聞いていただいて
ありがたいですね
会場満席でしたね
今回本当に
早々に受付も終了したみたいで
まあよかったな
無事終わってよかったな
はいということで
セキュリティのあれでいいんですか
あれが正式名称
さっきのパネルディスカッションが
想像以上に
大真面目だったんで
ゆるく
真面目でいいじゃない
ただですね
今年からですか
今年一発目
一発目なんで
変えていこうと
改革していこうと
話が
だばなしでいいのかと
セキュリティの話なのに
そうですよ
数少ないセキュリティポッドキャストが
だばなしだけでいいのかと
そんなことが
わかりのない
前々から言ってたぞ
何ヶ月開くんだと
03:00
そっちはよく言われてますけど
最近のニュースを
テーマにして
コンパクトに
の前に
今回ゲスト
久しぶりに始まりました
今かよ
失礼だろという話で
今回はパネルディスカッションに
参加いただきました
北川さんにペットとして
入っていただきまして
山山話
鈴木
裏パネル
裏セキュリティ
どれが裏なのか
わかんない
パネルディスカッションで
お話できなかった中に
最近流行りの裏グーグル
闇グーグル
もともとは
IPGAさんの発表を受けて
各記事で
商談という
検索サイトがある
それが
組み込み機器なり
いろんな産業機器の
設定ページを
設定だけじゃない
設定だけじゃない
そういうのをピンポイントで
検索できるということで
商談というサイトは
これから有名だった
2009年くらい
それが今
セキュリティ会話で
有名だったものが
一般には闇グーグルだと
NHKさんが
闇グーグルは賢く使える
というニュースを
3月18日に
これが
俺たちの中で話題
IPGAさんがレポートを出した
それを受けて
きれいに
NHKさんが
一般的にどう受け取られているのか
みたいな話
闇グーグルって
いわゆる2チャンネルまとめサイトとかに
取り上げられているのかな
取り上げられていますよ
ちょっと前に
今回の報道がある前に
CNNでしたっけ
CNNか
CNNか何かで取り上げられた後に
一番まとめができていましたね
1年前ぐらいがあるね
CNNで日本語記事が出たのが
去年の4月ぐらいで
6月ぐらいに
日経新聞の一面に
福岡が丸見えというところで
そこにも
商談の記事が出ていました
日経の一面ですね
時々取り上げられていますよね
一定数商談が好きな人がいるんですよね
そうですね
みんな大好き
私も記者発表では
トレンドマイクロさんが
割と組み込みだったり
産業機器のところすごく力を入れて
その後記者発表の中で出てきた
なので
闇グーグルで検索したところ
06:00
そんなにアウトロールな
まとめサイト
個人サイトあんまないんですよ
逆に言うともうちょっとキャッチなのかな
と思ったんですけど
闇っぽくない
このタイトルだと
グーグルがやってると思っちゃいますよね
グーグルの裏技で
こういうサイトがあると
商談って
グーグルの検索ワールドを
細かく設定して表示するという感じでは
なかったんでしょうか
全然関係ない
完全にとばっちりじゃないですかね
たまたま
グーグルが検索エンジンすごいから
それの闇バーンみたいなイメージ
韓国におけるロボットがガンダムってことでしょ
通常の検索エンジンが
インデックスする情報とは
ちょっと違うものを
集めてきてインデックスしている
検索エンジンということですね
バナー情報と呼ばれる
大体主な40ポートを
ポートスキャンして
バナー情報を取得して
それを検索可能に
コンテンツでなくて
ヘッダー情報とか
ヘッダー情報的なものが
集まっているわけですね
確かにそこを見て
自分のところに載っていたら
気をつけなきゃねという意味で
NHKが出している闇グーグルは賢く深い
正しいんですけど
一部では正しい
あまりにもキャッチーすぎるんで
なるほどね
研究者とかが
例えばある脆弱性が見つかったときに
この脆弱性を持っている機器が
やっくりどれくらいあるか
という数を把握したりとか
それが100台なのか1000台なのか
大さっぱな文庫を調べるとか
そういう用途は
多分向いていると思うんですけど
自分の組織が実際にどうなのか
調べるときにそれを使うと
ちょっと用途が違う気がします
自分で調べればいいわけですからね
自分のネットワークをスキャンして
調べりゃいいじゃんという話だと思いますよ
外から自分どころって決めるんやったら
自分で勉強して
フォートスキャンした方が
よっぽど有益だと思います
保証的に使うにはいいかもしれないですけど
意外とこういう
セキュリティ対策として
結構出ているのが
各社のウイルス対策ソフトで
引っかかるかどうか
チェックしてくれる
バイソンとか
そういう
正しい意味での発火
そういうとこあったりするんですけど
あんまりいっぱい出てくる
サイトではない
そうですね
初弾も攻撃する側が
脆弱性のある
ターゲットを
見つけるのに使うとか
よく書かれるんですけど
実際どうなんですかね
そんな風に使われることあるのかなと
よく分からないですね
使う人もいるやろうしいない
いる
使わないとは思うんですけど
例えばさっきの
09:00
グーグルハッキングってありますよね
グーグルの検索ワードをいろいろ絞り込むことで
脆弱性のあるサイトを
直接調べなくても見つけられる
あると似たような使い方だと思いますよね
そういう時って
そんなに本当に
それで見つけるかって
あれで出えへんかったから
安心する方が僕は危ないと思います
なるほど
だいたい
40ポートぐらいしか
調べてないんですね
だから
40ポートのポートスキャン
Nマップとかのポートスキャンだったら
すぐ終わっちゃうじゃないですか
もともとそのターゲットを
どこを狙うっていう
ターゲットが決まっている場合は
別に商談なんか使わなくて
直接Nマップとか
かければそっちのほうが早いですね
なんとなくどこでもいいから
狙うとこ探そうみたいな
あるかもしれないけど
確かにね
注目してもらうっていう意味では
ありはありだと思うんですけど
こういう話みたいに
一個先を調べてみないと
その人が伝わらなかったりすること
多いですよね
あとこういった
一般的に得られる情報を使って
云々というのは
別に商談に限らず
似たような
似たようなツールって
他にもいっぱいあるから
何かこれ一つずつ
作り出ししなくてもいい気がします
あと網羅製のことに
ついて言うと
商談って
Googleと比較する
場合がありますけども
個人で
フランス人の
個人が
運営している会社なんですね
別に
ITV4の空間を
全て網羅しているわけじゃなくて
ランダムに
生成して
定期的に
ポート試験して
バナー取得して
それをインデックスして
検索可能にいっているというようなもんなんで
例えば
どのぐらいの間隔で
来るかというのも本当に運次第だし
例えば
ちょっと昨日調べてみたんですけども
MTTデータ先端
技術の
インデックス
インデックス
調べたらば
そのウェブサーバーって
何も出てこなかったんですね
あと
www.netagent.co.jp
www.netagent.co.jp
IPアドレスで調べてみたらば
2010年8月の
データ
3年くらい前のデータだって
ちょっとその
代表的な企業を調べても
それぐらい何もないのと
3年くらい前のデータという風なのが
12:00
網羅性ってのは本当にない
保証できない
ちょっといいですか
ユーストするって言ってませんでしたっけ
いやまあいいですけど
ポットキャストを検定
ポットキャスト検定しましょう
ぜひ聞いてください
あともう一つ
あのー
倫理性の問題で
あのー
例えばそのインターネットを全部スキャンしてる
っていうのは結構他もあって
例えばNマップの作者の
ヒョードルっていうのも
インターネットを
スキャンしてるんですけども
それはただ
Nマップに
デフォルトのトップ100
トップ10
Nマップをデフォルトで実行すると
よくトップ10
トップ100、1000の
よく使われるポートが
デフォルトでスキャンされるんですけども
そのデータを集めるために
インターネットを全部スキャンしてるんですね
あと
メタスプロイトの作者の
インターネットを全部スキャンしてるんですけども
それも
例えば彼が
UP&Pの連絡に関して
リサーチペーパーを発表したんですけども
そのデータとして
どれくらいUP&Pの
有効にしてるデバイスがあるか
ということを調べるために
そういうふうに
全部インターネットをスキャンしたんですけども
スキャン
他人のサイトを勝手にポートスキャンするのが
税か費かっていう
そういう問題なんですけども
彼らは別に公開はしてないわけですよ
統計的なデータを
研究の資料として
発表するだとか
NMAPの特選の
ポートに
使うというふうに
してるだけで
それを検索できるように
公開はしてないわけですね
特例できるように
しかも
商談というのは
一部のデータを
有料で販売してますし
50件以上の
データを
見るためには有料のサービスを
買わないといけないんですね
なので若干
倫理的にグレーな部分がありますよね
NHKの
ニュースでも
なんだっけ
家の鍵が
ちゃんとできてるかどうかを
検索できるようなサイトと
考えれば分かりやすいでしょう
と書いてあったんだけど
家の閉じまりができてるかどうかを
勝手に調べると
ウェブサイトで公開できるような
サイトがあって
賢く使いましょうと
紹介するかと
警察とか警備会社の人が
そういうのを見て
警戒しようと
そういう風な利用を
一般の人まで
15:01
それを賢く使いましょう
という風に紹介するのは
どうかなと
書き手側の意図として
インターネットオブシングス
って言葉を使いたかったなと
複合機や
ウェブカメラの機器
ここを2つ書きたかった
っていうところが
インターネットオブシングス
書きたいことありきで
言ってしまった
今日のパネルディスカッションに聞いて
インターネットオブシングス
複合機や冷蔵庫がスパム
業界
IOT言いたいだけ
という気が若干する
面白いでしょ
フックにしてるんじゃないかな
若干しますね
インターネットに接続している機器が
自分たちの意図しない状態で
公開されていることがあるから
注意しましょうと
そういうのを勝手に検索している
商談みたいなものがあるから
そういう流れで
商談も紹介したわけじゃない
そっちはメインじゃなくて
インターネットオブシングス
をちゃんと取り扱いましょう
興味を持ってもらって
調べてもらいたいんだけど
やはりそこまでは難しい
特にNHKさんは
コンパクトに
しょうがない部分はあるでしょう
このポッドキャストは
不可思議な
ポッドキャストで
ツリーさんのファンである
セキュリティー界隈の偉い人たち
もともと私がやっていた
ディズニーポッドキャストの中で
聞いている人もいるんですけど
3人のうち2人が
ディズニー
その2人にとって
プラスだったらOK
今回の記事
結構Facebookで
僕の周りの人も
反応していたんです
反応する人が多いってことは
良いことは良いことなんですけど
結局よく分からない部分ってあるじゃないですか
記事には書かれない部分とか
これってどれくらいの品質のものなんだ
みたいなのがさっき出てますけど
その人は名前は挙げないですけど
普段僕たちみたいに
エンタープライズ向けなセキュリティーじゃなくて
もっと個人レベルに落とし込んだ
セキュリティーに関して取り組んでいる方
なんですよ
これを一般の人とかに
セキュリティーを高めるために
紹介できるツールなんだろうかどうなんだろうか
みたいなこと書かれてたんで
コメントをしたんですけど
これだけ知っても
18:00
あんまり幸せになれないような気がする
そうですね
自分が使わないサービスで
ハッカー級の人しか使わない
っていうツールだったら
別に知らなくてもいいというか
紹介されているのかな
っていうぐらいにしか受け取らないでしょうから
やっぱり自分が使うサービス
っていうところに何らかの
脅威があったり
正しい振動をさせなければいけない
例えば今回思ったのは
今まで
今でもまだちょっと残ってるんだと思うんですけど
攻撃できるとか
普通なら見れなさそうな情報を
見ることができるんだよっていうのの紹介って
もう後半が出るからやめましょう
みたいな
そういう危機がうっすら
昔からあったじゃないですか
それが結構取り払われてきているのかな
という気はちょっとした
ただ今回取り上げたこれがいいか悪いか別にして
出すようになってきたんや
サイトの名前も
昔5,6年前とか
ちょっと考えにくいかな
っていうのは
本当にあれですもん
辻さんの一番最初の連載が
ダークナイトではなくて
セキュリティ対策のある視点
それも実は最初
編集部でちょっと議論になったんですよ
2007年ぐらいですね
これこういう
攻撃者視点の記事
っていうの初めてだったんで
それやったら真似する人
出てこないみたいな感じで
結構実は注意書きもしっかり入れた
っていう経緯があった
自分の管理するとこだけにしかしたらだめよ
とかそういうのを入れましたね
今そういうの大体その手の記事には必ず書いてますもんね
真似すると
捕まるかもしれないよみたいなのがありますね
昔ほどそのあたりに気を使うというか
まあ確かにみんな
高知の情報なんだから
知らしめるべきだよね
特に圧倒的にエンジニア向けのところだったらやるべきだね
っていう
こういった情報が出やすくなってきたのは
いい傾向にあるのかなとは思うんですけど
出す以上はやっぱりちょっと
もうちょっと詳しく突っ込んで書かないといけないのかな
って気はしますね
もしかしたらそういうところを補足する記事が
別のところでも出さないといけない
出せることもできるけれども
引っかからない場合もありますからぐらいは
やっぱり書いといた方がいいのかなという気はしますね
正しく怖がるという
今日のパネルのね
繋がってますよね
ちゃんと裏パネルにつけてください
裏パネルにつけてください
次の話題行きますね
これ時間がちょっと限られてるね
時間が限られてるべきさんが
気になるニュース
今日パネルで出さなかったけれども
今日パネルで出さなかった
いきなり無茶ぶり
いきなり無茶ぶりですね
最近のニュースで
何かあったっけ
無茶ぶりに対応できない
どうしたんですか
マウントゴッグ
マウントゴッグ
ちょっとあまりにも
タイムリーすぎる
結構でもね
にわかにいろいろ
ビットコインのネタが盛り上がってますよね
今日本当に紹介のときに
21:01
マウントゴッグの話は言おうかなと思ったくらい
あの話で
昨日
FacebookとかTwitterに書こうと思って書いては
決して結局書かなかったんですけど
わーってなってて
こんな方法でお金を盗まれたら来いよ
みたいな
すごいみんな関心あって
うちの母親からもメールくるくらい
おかんからメールが
ビットコインが大変なことになっています
お前口座持ってたんかと思いながらドキドキして
口座持ってなかったんですけど
インターネットとか一般のメディアのニュースでとりあえず
すごい出てますね
朝のニュースランキングみたいなのが
たまたま流れてて
それ見たら2位か3位だと思う
でもねあんだけ話題になってるのに
セキュリティー界隈の人で
俺被害者っての見ない
見ませんね周りに誰かいますか
みんな俺はビットコイン
何ビットコインみんな持ってんのかな
次さんはビットコイン持ってるんですか
僕持ってますよ
一応やっぱりそういうね
流行りモンというかみんながやってるんだったら
どういうふうな使い方をするのかとか
ちなみにねぎしさんは持ってるんですか
持ってましたね
どういうことですか
ちょっとさっきの話だけど
1人いるよ
マウントボックスに口座持ってたけど
取引はしてなかったってフェイスブックに書いてた
セキュリティー界の巨人がいます
マウントボックスに持ってた
口座持ってた
取引してないわ
個人情報は見られたかもしれない
個人情報って
金融機関が取引目で
口座に
入金するとか
口座から出勤するときには
パスポートだとか
免許証みたいな
本人事やることを確認する
証明と現住所を確認する
証明が必要なんですよね
それを登録してるかどうか
結構みんな言わないんですよ
ビットコインの採掘してるとか
1人も周りにいなくて
僕は実験でやりましたよ
あれちゃんと計算すると
貧弱な感じでやると
電気代の無駄遣いって話
参加することに意義がある
僕は昨日
おととい母親に
ビットコインってこういうもんで
こんなに非効率なんだよみたいな話を
して
盗まれたお金ってこれだけでしょ
するために
ビットコインはほんの
スズメの涙ほどしか持ってない
最近
給付が
集まってるのと同時に
手数料がすごい割安で
世界中どこでも送金できるじゃないですか
今までって
海外送金ってものすごい手数料
大変ですよね
海外とかに住んで
お金を移そうと思うと
めんどくさい
最近僕が
あるプロジェクトに寄付しようと思ってみたら
ビットコインしか受け付けないんですよ
フェイバルとかもできない
そういうのもあるから
ビットコインって
24:01
今回いろいろ破綻などがあるけど
それ以外の取引所は
現在リマートも動いてるし
マウントボックスが破綻したからって
ビットコインが破綻したんだよね
価格も一時期落ちたけど
今戻ってるから
利用はどんどん増える方向だと思うんですよね
使ってみたいですよね
日本にあったら
日本円で入金して買える
手軽とは言わないけど
利息料が無くなっちゃうと
日本から買いづらいですよね
マイニングするしかないですかね
あとヤフオクで買うって
そうなんだよね
自分で別に
仕組み的にも一儲けができるようなもんじゃない
そういうもんじゃないですよね
だから寄付とかするために
自分でマイニングしたものを誰かにあげるとか
そういうのはいいかもしれない
できればもうちょっと
価格が安定してくれると
ランクを消しすぎて
手を出しにくい感じもあるじゃないですか
仕組みとしては面白い
最近ニューヨークとかシンガポールとかに
ビットコインのATMが置かれ始めて
長蛇の列になっているニュースが出てましたけど
そういう注目も結構浴びているから
面白いですよね
ロールテックが
そこ来ましたね
ビットコイン持ってたんですか?
かなり
ロールテックが
3年前に
2011年に
活動した時期に
彼が目の付けるところがよくて
その当時からビットコインで寄付を募ってたんです
僕らの活動に寄付してくださいって言って
ツイッターで
ビットコインアドレスを公開していて
財布のオレットアドレス
結構寄付が集まっているんですよ
当時
ちょっと僕今聞いてパッと出てこないんだけど
当時のレートでは
大したことないです
当時のレートが
100万円分くらい
当時のレートが100万円くらいになっているので
下手したら
多く超える額なんですよ
詳しく調べていないんですが
ビットコインアドレスがどこかにお金が移っているはずなんだけど
ビットコインって
全部アドレスの追跡性があるので
詳しく調べれば今どこに行ったか
分かるかもしれないけど
そのお金が一体どこに行ったのか
よく分からないですよね
どこに行ったのかみたいなニュースもありましたよね
多分デトピアリーが管理した
ロードセックスっていうのは
ハッカーチームみたいなのがいて
いろんなところを攻撃していて
時々人気がすごかった
注目を集めたグループでね
サブの時は
ある程度今もう
裁判で有罪判決
罰金とかで取られたわけではないので
ビットコインは別に押収されていないんですよね
なるほど
だからそのまま持っているのもおかしくない
すげえな
3年前に書くのから
先見性がありますね
すごい
僕は実はその時に初めて知ったんですよ
ビットコインの
早いですね
それまで全然知らなくて
27:01
ロードセックスをずっと追っかけていた
この寄付が募っているこれは何だろうと思って
そういう効果があるから
その時買っておけばよかった
本当に
その時は10ドルとかでしたからね
1ビットコイン
セキュリティー界で
クラッキングをするとかじゃなくてお金儲かる話
あんまりないですね
あの時はね
客戦機とかあんまりないですからね
まさかでもこんなに
話題になると思う
今は500ドル
今600から600ドルくらい
去年の6月の時点で
7000ドル
当時のレートで
当時のレートで7000ドル
100万ジャンプ
当時7000ドルだったら100倍くらいだった
すごい金額ですね
多分当時数ドルから
10ドルくらいだった
最初の頃
家買ったりとか
コードを入れていた
ハードディスクを捨てちゃって大変なことになった
ありましたね
めっちゃ高い
ゴシップ的な感じで
ビットコイン面白そうだな
面白いのはハードディスクに保管しておいたりとか
要するに鍵の保管なので
あとは紙に印刷して
そのあたりは
今までのパスワードどうするだとか
鍵をどうやって安定に保管するだとか
の話に結構近くて
お金に絡むと
身近になりますよね
面白いなと思ったのは
普及段階だなと思ったのは
ブルーバーゲーがテレビで
ビットコインの紙に
印刷できるんだけど
表側にパブリックのアドレスが
印刷してあって
中にプライベートのアドレスが印刷してあって
そういう形式のプレゼント用とかもあって
それをテレビで取り上げて
ビットコイン特集で取り上げて
うっかり仕返した人が
ペロってめくっちゃったんですよ
テレビで打っちゃったんですよQRコードが
そしたらすかさずそのQRコードをテレビでスキャンして
盗んだ人がいる
ほんのごく小額なんですけど
そういう事件に取り上げられるぐらい
まだまだちょっと
知らない人は公開後に
秘密かけながら出るってわからないじゃないですか
秘密かけながら出るって絶対に教えちゃいけない
っていうのは
コナンアンサーとかやってる人たちだったら
わかるかもしれないけども
PGPとかやってりゃわかりますけどね
だからうっかり開けたんですよね
そんなことあった
その後その司会の人は
盗んだ人がねレッドで
僕これ盗んだんだごめんねって返すわって
言って
返せなかったわけですよね
返せばその司会の人が
いやいや勉強になったからいいよそのまま持っててくれと
面白いですよね
そういうの結構向こうの国多いですよね
アカウントハッキングして
盗んだ方法を教えるとかね
そうですよね
攻撃した側が
このあたの
エンドレスさんとかの
教えてくれって言ったら
こうこうこうやったって教えてくれた
この間ずっとナリーを務めてた
30:01
そういうアクティビストグループ
ブルクルーっていう
がいるんですけど
最近ちょっと活動して
つぼやかなかったんですけど
どっかの企業の名前忘れたんですけど
サポートページがあるような
企業攻撃して情報リーク
したんですよ
今とかパソコン買うような
ページとか
自分がチャットでやるという
買う前にポーターに
あそこのページに行って
そこのサポートセンターの人に対して
自分がどういう風な攻撃方法で侵入したか
延々と教える
チャットで教えるってやってましたね
日本ではあんまりない
サポートページでオンラインで
いろいろなことをしてるサイトって結構ある
あるんですけどそこで教えに行く
受け取る側は
マジメにちゃんと聞いてたみたいですよ
そのスクリーンショットがありましたけど
信じたんじゃないですか
オープンなってきましたよね
ある種ね
攻撃の仕方とか
攻撃方法分かんないと
対策しようがない
この間のツイッターの例も
ソーシャルエンジニアリングでやった
っていうことが分かんないと防げない
分かんないですね
そろそろお時間になったんじゃないかな
そうそう
東京に戻らないといけないんですよ
久しぶりの
今回真面目すぎないですかね
大丈夫ですかね
こういう路線
皆さん望んでますこれ
ツイッターなんか撮ったらいいんじゃないですか
この方向がいいと思う方は
一応
そうでない方は
二応
どこにもするか知らないけど
自分の携帯電話ピッと押してください
ということで
久しぶりのPodcast
大阪で収録してみました
今日もゲストお二方
本当にありがとうございます
ありがとうございました
また
32:02

コメント

スクロール