都市伝説とサイバーセキュリティ
もうね、あのさっき帰ってきまして。 今日は、これのアレの収録以外にもう一個ちょっと収録でして。
ミスター都市伝説、セキアキオの裏都市伝説っていうやつで、ネットの闇じゃないですけど、そういう
ランサムとインフォスティーラーの話をしてきまして。 なかなかね盛り上がりましたよ。
ちゃんと話もしっかり興味持って聞いてくれててね。 相性いいかもしれないですね。
ただ思ったのは、信じるも信じないも事実なんですっていう話しかしてないんで。 果たして都市伝説やったのかなっていう。
都市伝説って聞くと、迷うつまんぼの話みたいなさ。 どっちかというと審議が不明というかね。
どっちかというとね。 そうそうそう。見たことを話してるから。
まあでもいいのかタイトルが裏都市伝説やから。 裏都市伝説ってそれはもはや事実なんじゃないのか?
まあでもさ、今聞いてて思ったけどさ。 僕らにとっては割とほら当たり前っていうか、それ実際起きてるしみたいなこともさ。
日々見てますしね。 ところかわってというか見方変わって、一般の人からは都市伝説っぽく見えることもあるのかもね。
確かになんかね、今日ねインフォスティーナの話したってことは、やっぱクッキー取られるってやばいですよみたいな話をしてるわけですけども。
知らない人からしたらIDパスワード盗まれてなくても、ニュアンスをしててもそんなサクッと入れるってあんの?って思うのか?
もしかすると。 パスワード変えてるのにダメってなりそうだよみたいなさ。
確かになんかその映画の話みたいって言われてますもんね。結構いろいろ話すと。 そうそう、なんかそういうふうに捉えられてもまあおかしくはないのかなっていう気がするけどね。
なるほど。 そうか確かに我々の感覚とはギャップがあって、それがなんかほんまかみたいに思う感覚はもしかすると一般的なのかもしれないですね。
でもそこでいいんじゃないの?これは事実なんですよっていうことを視聴者に伝えるってのはなかなかいい仕事したんじゃない?
いやいやいやいや良かったなぁと思ってね。こういうのもちょっとチャレンジやなと思ってね。こういう普段ニュース系がやっぱり多いでしょ?我々。
あーそうかそうか。 社会部系のやつとかね。そういうのが多いじゃないですか。あとまあバインター金融系とかもあったりしますけれども。
そうでもやっぱりこう前からね結構この3人でいる時は僕はよく言ってたかもしれないですけど、普段と違うところに出ていって、ニュースだけだとリーチできへん人にもなんかちょっとでもいいから
危機感を持って欲しいみたいな気持ちがあるんで。 今回チャレンジかなーって思ってね。やってきたんですけどね。まあ長かったわ時間。
新たなメディアデビュー
まず1時間押すから始まるのよ。
めちゃめちゃ手持ちブサッタでしたね。最初ね。
まあいい経験になりましたけれども。お疲れ様でした。 このメディアつながりで言わせて一つ。
新たなメディアにデビューしまして。今度は何ですか? たまたまだと思うんですけど、この間何回か前に紹介した政府広報オンラインにデビューしまして。
マジで? デビューしちゃいましてですね。今も見れる。テレ東の番組でね。クリック日本っていう番組があるんですよ。
3分4分の番組で。番組と番組の隙間みたいな時間あるじゃないですか。 ヤンボーマーボースペースみたいなところ。
そこで流れてるやつがあって、政府広報でお金を出してたぶん流してる番組なんですよね。
それに乗るとテレ東のサイトだけじゃなくて、政府広報オンラインでも動画が後日配信っていうかオンデマンドっていうんですかね。
見られるっていうのがあって、2回に分けて3分ちょいぐらい出てます。 能動的サイバー防御の話で。
それであのこういうもんなんですよみたいなのを説明をするという。 ここだけこれを聞いている方だけに言うとですね
官兵を呼んでるんですね私。 事前に喋ることがもうさえつされてる感じなんですか?
一応決まってるやつに対して、いやこれ言い方はちょっと自分には合えへんなみたいなことがあると、
添削というか修正はしていただけるんですよ。 うちの会社の人も付き添いで来てくれてたんですけど、
すみません、あんな長いセリフ覚えたんですか?とか言って。 スタジオにおったわけじゃないから、カメラの映像をリアルタイムに見てただけやから。
僕が喋っている映像しか見えないんで、官兵は見えないんですよ。
なるほどね。 そうそうそうそう。で、ああ、官兵なんですよねーっつって言ってね。
あの3人いるんですよ。僕以外にその 海藤愛子さん。昔天気予報されてた方と、あとここでも1回オススメのあれで紹介した
ジョイントっていう、ジョイさんっていう。 3人でやるんですけどね、その不思議な撮り方で、お互い全員がそれぞれの目線の前にある官兵を見てるんですよ。
だからね、喋ってる時目合わないんですよね。 なるほど。逆に目合わせちゃダメなんですよ。変な目線になるから。
ああ、そっかそっか。 いや気持ち悪かったけど、こういう撮り方もあんねんなーと思ってね。
面白いね。そうだ編集の力ってね、すごいなと思いましたけど。 まあでも一応流れたやつをちょろっとだけ見たんですけど
決意を新たにしました私。 何? 痩せる!
あ、何?見た目がちょっと? うん。なんかね、ふくよかなってね、まあ年のせいもあんのか、ちょっと顔四角くなってきてるんですよ。
そういえば、自分で見てるのとカメラを通して見るのと間が若干違うんじゃないの? いや絶対そう、絶対そう。毎朝出かける前にセットしたりとか、僕はお風呂入るから頭乾かしたりとかするじゃないですか、朝。
朝というか昼の時もあるけど、多分ね、鏡に映ってる自分はちょっと何割マシかよく見えてるわ、多分あれ。
フェイクやわ、ディープフェイクやわ、鏡が。 脳内でフィルターかかってんじゃないの? ちょっとなんか0.5割ぐらいよく見えてるかもしれない。
いやーちょっとほんまにダイエットをちゃんとやろうっていうね、 決意を新たに、能動的ダイエットしていこうっていう。
もともと能動的だろう、ダイエット。 自動的なダイエットってそれもうほぼ病気やんけって話なんですけども。
従業員へのセキュリティ教育
そうそうそう、そんなこんなでね、今日もお便りが来ておりまして。 これを見た方もいたみたいで、この
政府広報オンライン。 あーそうなんだ、ほうほうほう。 ともとも番組の間やから付けたはったんですかね、どこかで聞いたことのある声の方が詳しく解説されていました。
油断も隙もないという。 この方結構よく聞いてくださっている方みたいで、油断も隙もないってこれネギスさんがたまに言う言葉ですよね。
油断も隙もないなーって僕によく言ってたから、それを使って貼るんやと思うんですけれどもね。 口癖かもしれない。
いやいやいやありがたいですね。僕自分で出るやつあんまり言わないんで、こうやって見つけていただけると結構嬉しかったりするんですよね。
見てくれる人はやっぱり見てるんだね。 そうですね、ありがたいなと思いました。 あと僕が前回したヒゲの話。
はいはいはい、どうでもいい話ね。 どうでもいい話にちゃんとお便りをくれるっていうのは、ほんまこれめちゃくちゃ嬉しいわ、こういうのほんまに。
ありがたいねー。 自分もヒゲの伸びが遅いタイプの人で、いっそ剃らない方が楽なんじゃないかと思い、医療脱毛をしました。
数回レーザーを当てた程度では、体幹3割減っている感じです。 剃る頻度は間違いなく減りましたが、1週間以上放っておくので、週間から外れて剃り忘れが多くなりました。
逆に間隔が空きすぎて、分かんなくなっちゃうのか。 逆に無性になっとるわなっていう。
面白いな、そっか。完全に無くなるわけじゃないからってことなのか。 週間って大事なんですね。
そっか、ちょっとそこからずれると難しいんだね。
あとは、まさかのコキアさんの話題になり、ガラにもなくテンションが上がりました。
人間ってそんなものね。本当のオト、大人のオオカミ、孤島、季節外れのサクラ、フクロウ、ドラゴンも好きです。
ネギジさんも聞いてくれると嬉しいなぁというふうに書いてますけど、どうですか?聞きましたか?
聞いた聞いた。ちょっとそんなに全部は聞けなかったんだけど、とりあえず収録終わってすぐに追算を進むの、ありがとうだっけ?
はいはいはい。
最近撮り直した新しいバージョンってのも?
いくつかあるんですよ。リマスターだけじゃなくて、もう完全に撮り直してるっていうのもある。
YouTubeに撮り直したMVがあったんで、それと、昔のオリジナルのやつはApple Musicで聴けたんで、オリジナルも聴いて良かったね。
ちょっと他のやつ全然聴けてないんだけど、少なくともその曲はめちゃくちゃ良かった。
歴の長い方って何年かの節目に、例えば20周年アニバーサリーバージョンとかって撮り直したりする方いらっしゃいますもんね。
良かった。聴いて良かったんですね。
良かったけど、聴けば知ってるかなと思ったけど、やっぱり聴いたけど思い出せなかったんで。
じゃあ初めてなんですかね?
たまたまだからちょっと触れる機会がなかったんだな。
まだ結構知らない曲いっぱいあるね。
いやそうですよ。本当に知らないことだらけで、この世はでっかい宝島いうてね。
また不思議アドベンチャーですよ。
どっかで聞いたことあるな。テレビアニメか何か。
そうですね。テッテッテッテレーいうてね。
それ以上はダメだ。それ以上は。
あーそうかそうかそうか。これ流れるんやもんな。
危うく歌詞まで行くとこでしたからね。
危ない危ない。
最後のお便りは質問が来ておりまして、
組織内のセキュリティイベントで、
従業員にサイバー攻撃の脅威を実感いただけるデモシナリオをお勧めのあれで教えていただけないかな。
仮のツールあたりでサクッとできそうなものだとありがたいですということで。
デモシナリオってのはなんか訓練的なことなのかな?
従業員に脅威を実感やからどっちかというと体感よりも見せたりするやつなのかな。
教育で見せるデモとかそういうことなのかな。
セッションというか講演形式のやつもあったりするじゃないですか。
その辺は辻さん得意じゃん。
そうですね。
そういうデモ見せる機会とか、さっきのテレビ番組もそうだけどさ、いろいろあるんじゃない?
そうですね。僕やるやつっていうと、仮使ってっていうので、仮何でも入ってるんでいろんなことできると思うんですけど、
エクスプロイト系とか、アップデートシーンはこんなことになりますみたいなやつとかだと、
ブラウザーでアクセスしてとかいう風なので乗っ取られてしまうってやつなんです。
乗っ取られるやつもシェル取れましてコマンド実行できましたみたいな見せ方じゃなくて。
それってなんかあれだよね。分かりにくいよね。見てる側はね。
テキストで進んでるだけで僕らは分かるけどね。
なのでどっちかっていうとパソコンを分かりやすく2台用意するっていうのもしたりたまにするんですよ。
乗っ取る側のPCと乗っ取られる側のPCみたいな。
1台でやるとやっぱり画面の切り替えで同じパソコンやけどこれどういうこと?ってなるから、
分けて、例えばメタスプロイトとか使ってエクスプロイトするんやったらVNCインジェクトとか使うかな。
画面がまんまこっちに見えて操作できてますみたいな。
リモートから乗っ取られちゃいますよってのが分かりやすいもんね。
そうそうそうそう。
ほんでテキストファイルなんか作ってくださいよって誰か手品みたいな感じで誰か指名してやってもらって、
作った瞬間にこっちから消すとかね。
そういうのをやったりとか、あとフィッシングのデモとか。
どっちかっていうとそういう見た目わかりやすい派手なやつと、
実際のリアルな脅威っていうのは直接結びつくものもあるけど結びつかないものも中にはあるじゃない。
そうですね。
実際にはこんなんないけどねみたいなやつもあるけど、
でも見た目には分かりやすいっていうね、そういう分かりやすさ重視っていうのも大事かもしれないからな。
そうですね。
例えばフィッシングも人に手伝ってもらうことあって、
そこにIDとパスワード入力して、ほんまのやつじゃない適当なんでいいんで入力してくださいってこっちでモニターしてこれでしょっていうふうに見せるとか。
それは分かりやすいね。
ランサムウェアの脅威
あと現実の攻撃とデモで一番近くて分かりやすいのはやっぱランサム屋の感染ちゃいます?
あー確かになー。
であのやっぱりデモもなんか見せるだけじゃなくてその前後を見せるっていうのも大事で、
正常な状態でテキストファイル開いたらほら読めるような意味のわかる文字でしょってやって、
で暗号化されてからメモ帳にドラッグ&ドロップしたらほらわけわからん文字になって読めなくなって使えなくなってるでしょみたいなことの見せ方っていうのも大事かなと思います。
ランサムノートとかも出てくるしね。
そうそうそうそう。
まあ確かにそれはよくあるデモかもしれないね。
そうですね。その辺がやっぱ鉄板なんかなー。
すごいマニアックなやつで誰もができるってわけちゃうけど、漏れてるパスワードとかの話とかかな。
デモというよりは事実を突きつける的なやつで言うと、
小人数の招待・威勢のセミナーみたいなやつが昔あってね。
10社ぐらいの人が来てるんですよ。
でその10社のメールアドレスのアットマーク後以降で全部漏洩データで調べて、
で何かランキングとかってランキングがいきなり始まってですね。
漏洩してたIDとパスワードの数のランキング作ってきましたみたいなギリギリのことやるみたいなことはしたことありますけどね。
それはなかなか難しいね。
見る人によったらちょっとなんかこう。
ちょっと反感を買う可能性もある。
なんかその恐怖を煽ってる系とさ、ちょっと紙一重なところがあるから難しいかもね。
関係性ができている人たちしか呼んでないやつやったんで。
そうだね。信頼関係は必要かもね。
もちろん漏れ出たデータが必要な方は全然無料で、一応NDAだけ交わして提供することができますみたいな、
仕事の延長みたいなところがあるんでできたっていうのはあるかもしれないですね。
それをなんかね、セールスに使っちゃったらちょっとアウトって感じ。
話が違ってくるというか倫理的な問題として僕はしたくないかな、それはって感じですね。
実際そういうとこあるからね。
そうですね。
もしなんかこう自分でやってみて浮きが良かったっていうのがあったらまたお便りで教えていただければと思います。
なかなか手軽に誰でもできてっていうところだとハードルがなかなか難しいかもしれないんで。
そうなんですよね。
はい、ありがとうございます。
ありがとうございます。
お便りを呼んだ方にはセキュリティのある特製ステッカーの印刷コード、コンビニで印刷できる印刷コードを差し上げてるんで、
よかったら皆さんどしどしお便りをください。
5種類あるんで、5つ集まった方は僕にDMいただければ6つ目のシークレットの印刷コードを差し上げるなんてこともやってます。
よろしくお願いします。
はい、お待ちしてます。
お願いします。
SharePointの脆弱性
はい、じゃあ今日もセキュリティの話をしていこうかなと思うんですけれども、
今日はねぎしさんがいきましょうかね。
はい、今週はですね、マイクロソフトのSharePointサーバーの贅沢性の話をしようかなと思うんですけど、
これはちょっと今も現在進行形なんで、注意喚起も含めてという感じなんですけど、
ちょっとね、これ経緯が非常にややこしくて、順を追ってタイムラインで話をちょっとしていきたいなと思うんですけど、
はい、お願いします。
はい、まずですね、ことの発端は今年の5月にポンツオウンドベルリンっていう大会で、ベトテルサイバーセキュリティっていうベトナムの通信会社のグループ会社みたいなんだけども、
このポンツオウンドでマイクロソフトのSharePointのエクスプロイトに成功して賞金10万ドルを獲得しましたと。
10万ドル。
結構大きいよね。
うん。
で、この時見つけた、報告した贅沢性っていうのは実際には2つあって、1つは認証バイパスの贅沢性で、もう1つはリモートコード実行可能な贅沢性で、
これ組み合わせることで認証なしでコード実行は可能ですよって合わせ技の。
最近多いですね、合わせ技ね。
そうね、よくあるね。合わせ技エクスプロイトで、このエクスプロイト自体のトゥールシェルっていう名前がついてるんだけども、
その認証バイパスってやつは、特定のSharePointのエンドポイントにポストするときに、なぜかリファラーを特定のパスにつけると認証なしでそれがリクエスト受け付けちゃうっていう、わりとシンプルなやつで、
それに加えてコード実行の方は、これもよくあるっちゃよくあるんだけど、そのポストのリクエストのボディの中にマリシアスなちょっとサイクしたデータを入れておくと、
それがサーバー側でデシリアライズされたときに、うまくハンドリングできなくてコードが実行されてしまいますっていう。
そういう感じなんだけど、合わせ技といったけど、リクエストとしてはポストリクエスト一発でいけちゃうんで、
結構攻撃側としたら使い勝手が良さそうだなっていう感じの、そういう出たくせいがこのとき報告されましたと。
悪用する人も多そうな感じですよね、それだと。
そう、なんとなくね。これがポンツオンでよかったなって感じなんだけど、ポンツオンは説明いらないかもしれないけど、
簡単に言うといわゆるバグバウンティーのコンテストって言えばいいのかな。
年に2、3回行われているんだけど、特定の対象の製品についてその期間中にエクスプロイトに成功すると、
その内容に応じてバウンティーが支払われますよっていう大会、ハッキングコンテストだよね。
腕のある人たちがそこに参加して賞金を稼ぐっていうのはそういう感じなんだけど、
もちろんいい目的もあってバグバウンティーなんで、攻撃に悪用される前にベンダーにデザクセイが報告されて修正されるという、
そういういい側面があるんだけど、今回のやつも当然その詳しい報告がマイクロソフトに行われて、
2ヶ月後の今月のパッチTUESDAYでこのデザクセイ2つのデザクセイは修正されましたと。
CVでいうと2025-49704と49706っていうやつ、今のコード実行と認証バイパスそれぞれ2つ修正されたので、
ちゃんとパッチを当てればそれで攻撃される前に直せてよかったねっていう話で終わるはずだったんだけど、
ここからがちょっとややこしくて、そうはいかなくてですね、実際はどうなったかっていうと、
その数日後ぐらいからセキュリティのベンダーとかが、これはよくあるけど、
パッチが出た後にパッチを解析したりとか色々して、自分もエクスプロイトの再現に成功できましたよ、
これは悪用可能だから気をつけた方がいいですよっていうような報告がリサーチャーからポロポロ出始めましたと。
で、これは実際に悪用できるんですねということが認識され始めたと思ったら、
先週末の19日だからこれ土曜日だから3連休の初日かなこれ、日本は3連休だったよね確かね先週ね。
でその週末にタイミングがあんま良くなかったんだけど、土曜日になってiセキュリティっていう会社が、
なんかどうもシェアポイントへの攻撃が行われていて、ゼロデイっぽいという話がまず出てきて、
でみんながこれはなんか大丈夫か危ないぞっていうふうに注意し始めたところ、マイクロソフトから公式にアナウンスが出て、
実はそのさっき言った2つのパッチが十分ではなくて、パッチがバイパスできる贅沢性が新しく見つかりましたという報告が出て、
しかもこれが悪用されてますっていう、ゼロデイ状態ですっていうアナウンスが出ましたと。
だからみんな注意してねという話と、そのタイミングではパッチが出てなかったんだけど、
翌日の20日、これも3連休の中身だけど、緊急で新しくバイパスされてしまったというやつに対して、
もう1回ちゃんとしたパッチを出しますということで、パッチを出し直しましたと。
この時にCV番組もちゃんとアサインされてて、それぞれ元々あったコード実行と認証バイパス、それぞれ両方ともバイパスできちゃったんで、
それに対応するツインなる贅沢性っていうのが新しく2つアサインされて、
53700ってやつと53771ってやつが出て、計だからトータル4つの贅沢性が出ましたと。
元々の2つとそれをバイパスする2つってやつね。
この大会でマイクロソフトは新しく出たコード実行のバイパスの53770ってやつと、
元々出ていた2つの贅沢性、これはもう既に悪用を確認してますという報告を出していて、
その後CISAからもこの3つはKEVに登録もされましたと。
あともう1つの4つ目の贅沢性は一応まだKEVに入ってないんだけども、
攻撃者の活動
見た感じそんな難しくなさそうなんで、これも悪用されてもおかしくないのかなという感じはします。
一応今のところ言ってるのは3つだけって感じですね。
連休明けの火曜日かな、7月の22日にマイクロソフトが詳しいブログの記事を出して、
そこで改めて今キャンペーンが行われてますっていう話と、
もう既に複数の攻撃者のグループがこれを悪用していますと。
ただアトリビューションしたところ、どうもどれも中国の攻撃者グループっぽいっていう話で、
名前も挙げてるんだけど、そのうちの一つはリネンタイフーンってやつと、
もう1個はバイオレットタイフーン、これはだからタイフーンでついてるから、
いわゆる国家の背景のっていうか、ネーションステートスポンサードの攻撃者グループがどうも使ってるという話と、
もう1個はストーム2603っていう、これはなんかウォーロックランサムウェアっていうランサムウェアを使っているグループらしいんだけど、
これ知ってる?ウォーロック、名前俺聞いたことないんだけど。
名前ぐらいですね。見たことはもちろん名前はあるけど、詳しくどういうグループでっていうのとか、
IOC、TTPとかあんまりそこまで深く掘ってないですね。
そんなメジャーじゃないけど、そういうランサムを使っているグループがいて、
実際にランサムウェアの悪用がどうも確認されていますという話がマイクロソフトから出てきました。
そのマイクロソフトのブログによると、一番最初は7月7日ぐらいからどうも初期アクセスの攻撃の観測がされてますよっていう話で、
結構早い段階から悪用されてるんだねみたいな話が出ています。
こういう状況で、この前後にいろんなセキュリティベンダーからうちも観測してるよとか、いろんなところから被害が出てますよみたいな話があって、
それらをまとめると、どうも少なくとも400以上のサーバーが世界中で被害に遭ってるっぽいという話があって、
中にはアメリカの政府機関とかもあるだろう、そんな話が出てると。
こういう状況が先週、今週っていう感じ。
今進行形なんで、このポートキャストが出る頃にはまたちょっと変わってるかもしれないけど、
今そういう感じで一応パッチは出てるけども、まだ攻撃は多分続いてるでしょうということで、パッチが当たってないところは攻撃されていても不思議じゃないよという感じですね。
なんかいろいろややこしいんだけど、考えるべきポイントっていくつかあるなと思うんだけど、
まずはマイクロソフトのパッチは最初からなんとかならなかったのって思う人いると思うんだけど、
これは確かに品質的にどうなのかなって、そんなに簡単にバイパスされちゃうようなパッチって大丈夫?っていう。
確かにそれはその通りなんだけど、一方でこの手のパッチが出ると、その周辺を詳しく調べて他にもないかなって調べたりだとか、
パッチそのものに今回みたいな問題があってバイパスできないかなって調べるっていうのはよくあるよね。
出てからあれもこれもって言って、このパッチ当てたらこっちの穴開いちゃいましたとか聞きますもんね。
そうそう。過去にも結構そういう事例は実はたくさんあって、正直これがいいとは思わないけど、こういうことって起こりうるって思ってないといけないのかなっていうのを改めてちょっと、
パッチが出て当てたから安心とは言えないんだなっていうのを。
パッチ管理の重要性
あとは今回のはちょっとたまたま運が悪くというか攻撃が比較的やりやすいところだったので、悪用も比較的簡単に起こられてしまったというちょっと不運な部分もあるけど、
ちょっとね、そういう守る側の心構えとしてパッチが出たから安心ではやっぱりダメだなっていうのがあるのと、
あと気になるところはもうあといくつかあって、スピード感で攻撃代わりに負けてる感じがやっぱりするというか、
一応パッチに穴があったという不運はあるけど、とはいえ今回の被害にあったってところが本当にゼロで状態でやられているのか、
実はパッチが出てパッチ当ててなかったんだけどやられたのかとか、ちょっとその辺の状況が詳しくわかんないんで、
果たして本当にそのゼロでの時にやられたところがどんだけあるのかなっていうのはちょっとわかんないんだよね。
単純にそのパッチを当てる時間はそれなりにあったんだけど、それなりといっても1週間もなかったかもしれないけど、
間に合ってなかったという可能性もあるなという、その辺のそのスピード勝負にやっぱりちょっと今回もなんか負けてるぞっていう感じがする。
あとこれはちょっとまだはっきり事実関係が出てないんでわかんないんだけど、
注意深く聞いてた人は気づいたかもしれないけど、マイクロソフトが観測した最初の攻撃の兆候っていうのが7月7日って言ったんだけど、
そのパッチTUESDAYでパッチが出たのが7月8日なんだよね。
なのでパッチが出る前から実はなんかどうも悪用されてたっぽいっていう話があって、
そのパッチが出た後だったらさパッチを解析して再現するってことは実際リサーチャーもやってるわけなんで、
攻撃側もできたともおかしくないじゃん。
こっちができることは相手も当然できるだろうっていうことなんだけど、
でもパッチが出る前に悪用ってどうやったんだっていう。
本当にゼロデイだったんですね。
そう、なんでちょっとこれはうん?っていう感じで、ひょっとしたら前にもこういうことあったんだけど、
マイクロソフトってパッチ正式リリース前に契約してるパートナーに情報は出してるんで、
セキュリティベンダーとかね、
もしかしたらそういうところからどっか漏れちゃったのかとか、
事前のリークがあった可能性がちょっと否定できないなっていう。
ポイントオンで報告されてから2ヶ月間の間にどっかで漏れる可能性があっても不思議ではないので、
もしかしたら攻撃側が先に悪用しちゃったのかなって。
もしそうだとすると本当にゼロデイだったってことなんだけど、
パッチがその穴があろうがなかろうがね、
ちょっとその辺の状況がはっきりしないんですけど、
本来であればね、ハッキングのコンテスト、バウンティーのコンテストで、
セキュリティベンダーが報告をして事前に修正をして、
見れたし見れたしってなるはずが、
なぜかパッチには穴があり、攻撃側が速攻で悪用してきて、
守る側が対処する間もなく世界的にやられてるっていう。
なんか前にもこういうことあったなみたいなのがまた繰り返されたなっていう。
インターロックランサムウェアの説明
なんかよしやしなとこも出てきますよね。
取り組みとしてはすごくいいじゃないですか。
やられる前に見つけて塞ごうっていうのってすごくいいと思うんですけど、
そこでねパッチに不備が出てしまうとゼロデイではなく、
一旦やっぱもちろんパッチが出るってことは注目集めてしまうわけでしょ。
そうなんだよね。
頑張れば侵入できる脆弱性っていうね。
パッチ当ててもあれこれこうやったらいけるやんっていうのになると、
下手したら被害を増やす可能性ももしかしたらあるかもしれないってことですもんね。
そうなんだよね。
あとこれもよしやしで、
エクスプロイトの再現に成功しましたっていう報告がちらほら出るってことはさ、
これ悪用できるじゃんっていうサインになっちゃうんだよね。
それを見て悪用したかどうかって言うと因果関係ははっきりわかんないんで、
むしろそれはその注意喚起につながるからいいっていう側面ももちろんあるんだけど、
あるある。
一方でね、悪用できますよっていうことを案に言っちゃってるんで、
公益側にとってもいい情報になっちゃうのかなっていうね、その辺が。
そうですね、絞り込みになるもんな。
そうそう、注意喚起になるですから、
防御する側がそれに気づいて早く対応できれば、
だから公益側よりもスピードで勝てれば問題ないんだけど、
現実問題は今だいたい高度で公益側の方がスピード早いからさ。
早いですね。
ちょっとね、負けてるなーっていう感じがして、
どこをどう直せばよかったんだろうっていうのがちょっとね、難しい。
でもパッチのリリースが出ない以上ね、
塞ぐ手立てがなかなかないのがこちら守る側なんで、
パッチを当てたとしても完璧であってほしいけどそうでない場合もあるから、
しばらくはやっぱり安心せずに温度感を保って、
ウォッチし続けるしかないですよね。
そうね、あと今回のオンプレミス版のシェアポイントだけが対象になってて、
当然クラウド側のM365のシェアポイントとかは対象外なんだけど、
今回の件に限らずVPNとかもそうだし、ファイアウォールとかね、
そういうエッジデバイスって言われてるやつもそうなんだけど、
なんかやっぱりインターネット側にさらされていて、
常に攻撃される可能性がある部分の脆弱性の管理は、
やっぱりちょっと難しいなっていう気がするよね。
こういう事例を見るたびに。
対処してもね、パッチが出てすぐ当てても間に合わないかもしれないし、
ゼロデイで狙われる可能性も結構あるしね。
どうしたらいいの?っていう。
厳しいよなぁ。
なんか一時期昔、ほんまめっちゃ昔ですけど、
こういうのがあったとしても大丈夫なバーチャルパッチですみたいな、
一時期よく聞いた記憶あるんですけど。
あるね、今も。
最近あんま聞かんくなったなぁと思って。
公式のベンダーが出す前にパッチに変わるようなものを出すベンダーとかさ、
ついさんが言ったみたいなセキュリティーベンダーで、
パッチが当たってなくても攻撃の影響を緩和しますよっていうのを売りにしてるようなサービスとか、
ないわけではないが、
それでどれだけカバーできるの?っていう話もあるし。
そうですよね。数も増えてるしな、昔よく言い始めた頃よりも。
対応しないといけないアプリケーションなんかもどんどん増えてますもんね。
でもかといってね、今回みたいなことがあるから、
できるとしたらパッチを当ててもしばらく攻撃の悪用されるかどうかっていうのを
注意して見ておかなきゃいけないし、
深海の可能性を常に頭に置いておかなきゃいけないしみたいな、
そういう備えをするぐらいしかないのかなっていう。
注意することと待つことしかできないですもんね。
かんこさんなんかある?他に。
あとはやっぱり攻撃の痕跡を確認する手段っていうのをやっぱり気にしておくぐらいですよね。
仮にやられることが防げなくとったとしても、やられたことがわかるようにってことね。
そうですね。
今回のもね、さっき言い忘れたけど、攻撃されて、
典型的なパターンだとなんかウェブシェル打ち込まれるらしいんだけど、
例えばウェブシェルを使うような怪しい動きは見つけられるようにするだとかね。
そうですよね。
そういうのもあるだろうし、あとウェブシェルにしても
そういったポストエクスプロイテーションの不審な動きを見つけるっていうのは
それはできるかもしれないしな、攻撃の痕跡を見つけるね、確かにそれは大事かもな。
ハンティング系の切り口ですね。
そうだね。
後手ではあるんですけどね。
なかなかそれもな、ハードル高いな。
高いけど、決してこういう事例が珍しくもないよということを
そういうことですよね。
注意してほしいなと思って紹介しました。
はい、わかりました。ありがとうございます。
はい、じゃあ次は僕いきますね。
はい、お願いします。
僕今日紹介するのはですね、あるランサムウェアの注意喚起が出てましたということなんですけれども
もうなんか最近ラース増えすぎやろ。
そうね。
なんかもう聞いたことない名前のやつとかがポッと出てきたりするから焦るんですよね。
で、今日のやつはCISAがFBIとかあとは保険福祉省とか
いろんな複数の情報共有スキームから情報を得て注意喚起を出てたやつで
インターロックっていうランサムギャングですね。
これのランサムウェアのIOCとかTTPを周知するために
ストップランサムウェアの取り組みがあるじゃないですか。
あれで個別に取り上げられてたんでちょっと気になったんで紹介しようかなと思うんですけど
インターロックランサムっていうのは去年の9月下旬ぐらいから観測され始めて
リークは10月ぐらいから行われてた二重脅迫型のアクターなんですね。
で、ヘルスケア病院系とかを積極的に攻撃してるみたいな感じで取り上げられたりもするんですけれども
登場してきた時期からこの年の7月の中旬ぐらいまでをリークだけで見ると
56件あって若干医療とかよりも教育セクターの方がちょっと多いかなっていう状況になってるんですけど
ただCISAは多分実被害とかを見てると思うので
リークベースよりももしかしたらあっちの方が正確で
ヘルスケアの方が多く観測されてる可能性はもしかしたらあるかもしれないなというふうには思います。
所在地国に関しては他のランサムとあんまり変わらずやっぱりアメリカが多くて
カナダをどっかに挟んでヨーロッパ諸国でちょっとオーストラリアみたいな感じではあるんですけど
ただこれさっきも言ったように56件なんで1,2件とかでも上位に入ってくるかなっていうところで
あんまり意識しなくてもいいかなというような感じではあります。
このインターロックランサムですねちょっと余談なんですけどもリークサイトにアクセスすると
なんかねセキュリティベンダーのウェブサイトみたいな文言が並んでるんですよ
例えば94%の組織は適切なパッチ管理を実施していれば回避できたランサムウェア攻撃を受けているのですとかね
あとは平均的なダウンタイムは9.7日という数字を並べていくやつあるじゃないですか
あるね
あとはランサムウェアの事業中断の推定平均コストは4.45ミリオン6億5千万ぐらいですみたいな
なんかあれセミナー聞いてるのかなみたいな気持ちになるような
お前が言うだろうな
そうそう本当にね
攻撃手法の分析
さらに肉ということにね自分たちの活動の動機は金銭的な利益を得るためだけではなく
サイバーセキュリティ対策の不備に対する企業の責任を追求したいという思いもあるという風に言ってるんですね
どどくちが言うんだよな本当に
思いもあるやから金銭も得るみたいなところなんですけど
今回いろんな注意喚起がランサムギャングごとに出ている中でこれを取り上げた理由っていうところが
攻撃手法がちょっと他のランサムとは違うなというところで
気をつけないといけないかなと思ったのでこれ取り上げることにしたんですけども
だいたい攻撃手法では一番注目するのは初期アクセスですよね
そうですね
この初期アクセスが何かというと侵害をした
この人たちが侵害した正規のウェブサイトにアクセスした被害者に
ChromeとかEdge、40クライアント、Ciscoセキュアクライアントの
偽更新プログラムを実行させるっていうパターン
へー
だったんですよね
でこのファイルはもちろん正規のものではなくて
RAT、いわゆるRATですね
リモートアドミニストレーションツールズですね
遠隔操作できちゃいます系のやつで
パワーシェルがそれをダウンロードして実行すると
パワーシェルが実行されて
新たな攻撃手法の紹介
正規のChromeのセットアップも始まるけど
同時にRATを入れて永続化をして外部と通信をするという風なことを
しているそうです
その後はもう決まりですよね
コバルトストライクとかシステムBCとか入れて
遠隔で操作できるようにして認証情報を取ったり
色が入れたりみたいなことをしていく
これもちょっと珍しいなと思ったんですけど
Rumorとかいうスティーラーを実行してくるケースもあるそうです
なんか今聞いてて思ったら最初の初期アクセスは
インフォスティーラーとかの感染パターンに近いよね
最近の流れにちょっと似てますよね
へー
そうそうそうでよくあるようなEDR止めてくるとか
あとはAzureの中を見て回って
BPとか使って情報摂取してランサメを展開するという風な流れなんですよね
他のとはちょっと違うというか
個人も狙う攻撃でも来るなみたいな感じというかね
エッジデバイスを狙って入ってくるというよりは
エンドユーザーも攻撃の対象にしてるかなというところで
ちょっとこれは特徴かなと思います
インフォスティーラーの復活
今回の注意喚起で書かれてた点なんですけども
さっきインフォスティーラーっぽいって
ネギさんおっしゃったじゃないですか
この手口がちょっと変わったんですけども
クリックフィックスを使ってきてるんですね
へーそうなんだ
この注意喚起自体はこの間の6月までの情報を元にしてるんですけれども
その後の7月ぐらい色んなセキュリティベンダーのレポートを見てみると
ファイルフィックスも使ってきてると
最近どんなやつでもその辺使ってくるよね
クリックフィックスに関しては過去224回で僕がクリアフェイク取り上げた時にも紹介して
看護さんも結構力入れてこの辺注意喚起をされているかなと思うんですけど
ファイルフィックスって取り上げたのは初めてかなここで
そうだね比較的新しいもんね
ファイルフィックスはファイルエクスプローラー使うやつだよね
そうそうそう
クリックフィックスは手順があって
コピーしたやつをコマンドプロンプトに貼り付けてパワーシェル実行みたいなやつですけど
これはコピーするところまでは大体同じで
ファイルエクスプローラーで実行できちゃうっていう
同じことが実現できるっていうのがファイルフィックス
あとファイルフィックスちょっといやらしい点っていうのは
ファイルエクスプローラーのアドレスバーから実行された実行ファイルって
MOTWの属性が削除されるんですよね
それがもう引っかからないっていうのもあって
さらにいやらしい手法やなって改めてこれ思ったんですけれども
こういうふうにやり口を切り替えてきてるんで
どうしてもランサムっていうと
どうしてもVPN機器とかそういうエッジデバイスから来るみたいな印象がすごく強いかと思うんですけど
いろんな国家背景としているような攻撃者グループも
こういうなんちゃらフィックスみたいなものを使ってきてることを見ると
ユーザーの作業に割り込んできてこういうことをさせるっていう
ソーシャルエンジニアリングの手法を用いてくるランサムギャングも
こうやって出てきてるんで
さらにこういう注意が必要かなというふうに思いました
対策なんですけどこれほんま
パワーシェルやめよ
そうね
マジで
とか署名付きのやつしか実行させへんとかってやり方もありますけど
ちょっとこれ真剣に考えるとどこかしかも
なんとかフィックスで来るでっていう状況になってきてるんで
結構僕もなんか危ないなって思い始めてて
実際そういう対処してるところはあると思うけど
どうなんだろうね
個人はともかく組織単位でパワーシェルとか
止めるような対策実際やったらどれくらい影響あるのかな
僕も結構そこそこの人数いる会社でパワーシェル止めてますっていう会社
いくつか知ってますけど
でもパワーシェル使って運用管理してるっていうところも結構あるから
一概に止めりゃ済むというもんでもないっていうところもあってね
あう危ないはあると思うんだけどね
クリックフィックスやったら
Windows Rで指定して実行系のやつを使わせないって
別にやろうと思ったらできるんですけど
ファイルフィックスこれ効かないじゃないですか
ここ嫌やなと思って
手段がちょっと変わると対応できなくなっちゃうんだよね
そうなんですよね
さすがにファイルエクスプローラー使わせへんなんて無理やから
根本治療にならない対象療法的というかさ
なんかね症状が出たらそれに合わせてっていうことしかできないだと
ちょっと後手にどうしても回っちゃうからね
その点パワーシェルもそういう意味では完璧じゃないけど
パワーシェル以外の方法使えたらダメじゃんってのはそうなんだけど
でも現実問題今かなりの公益がパワーシェルを経由するパターンがすごく多いからな
多い多い多い
何でもそうテンプでくっついてくるやつも結局はパワーシェル実行しますもんね
パワーシェル強力だからな
確かにね
Windows操作するには一番最強の言語ですもんね
なんでパワーシェルをやめりゃ済むけどそんな簡単にはいかへんっていうのがあるとはいえ
やめられへんかどうかっていうのはちょっと考えた方がいいかもしれないですこれ本当に
ここまで来たら
やめられないにしてもパワーシェルの利用をちゃんと検知できるように
するっていうのは事前の策としてはね
そうですねあとログとかもそうですよね
でこれ監視する豊かで見つけにくいっちゃ見つけにくいんですよね
昔はテンプファイルにエクセルとかからパワーシェル実行された
エクセルが読んだみたいなのあるじゃないですか
プロセスツリー
でもこれユーザーが操作してるからいきなりパワーシェルなんですよね
他のパターンもそうだけど
ユーザーに何かソーシャルエンジニアリング的にやらせるってやつは見つけにくいよね
自らやってるからね
そうそうなんでパワーシェルどうしようかっていうのを真剣に考えるのと
多層防御じゃないですけどね
攻撃のこんな手順があるっていうのを理解した上で
これが抜けたらこれこれが抜けたらこれって
どこで止められんねんっていうのを
もう一回見直した方がいいかなって思いましたね
一つの壁じゃちょっと過信するのは怖い
逆にさっきちょっと豊さん言ってたけどさ
国家背景だろうがランサムアクターだろうが
どんなアクターだろうが
インシャルアクセスのアタックベクターとか
使えるものは何でもいろいろ使ってくるわけじゃない
今さっき言ったファイルフィックスクリックフィックス
使い勝手のいい攻撃手法っていうのは
どんなやつでも使ってくるわけなんで
そういうのを別に特にアクターを限定せずに
対応できるメリットもあるわけだから
手法ベースですからね
そうそうそういう見方は必要だよね
そうなんですよ
これは真剣に取り組まなあかんというか
マジでもうすぐそこに来とんな感があるというか
すごいなと思った
クリックフィックス応用範囲広いって
結構早い段階で言ってたかも
ちょっとすげえなと思いましたもんね
どこもかしこもクリックフィックス溢れてるよね
偶然のクリックフィックスブームが
本当だよね
みんな言ってますからね
流行り始める前と今やったら
ベンダーだと500何倍増えてるとかね
ごっつい数字出てきてるやんとか思いながら
ちょっとこれは感化できないなっていうね
っていうことでございます
はいありがとうございました
はいじゃあ最後はかんこさんです
お願いします
今日はお二人の話とか冒頭の話とかと
関係するところではあるんですけど
インフォスティーラーの話を
ちょっと今日取り上げさせていただきたくて
注意喚起を兼ねて
先の話でもないんですけども
私も皆様に改めてっていうところではあるんですが
ルマスティーラー
非常に有名なインフォスティーラーありますけども
あれこの間テイクダウンされなかったっけ
そうそうテイクダウンされた
司法機関の取り締まりが行われて
活動が停止って言っていいのかな
かなり彼らのやっている活動に対して
強力な対応が取られたというところではあったので
そのまま終わっていただければ
よかったんですけども
今回ここで取り上げるということから
さっするに復活したという話が
トレンドマイクロかな
報告されておられましたので
脅威は去ってないというところを
皆様にちょっと気をつけていただきたいということで
お話をさせていただくんですけども
そもそも5月の取り締まりの時においては
よく見られるような
インフラの障悪っていうんですか
司法機関がインフラそのものを
コントロール下に置くっていうような
そこまでは至ってなかったという話っていうのは
ルマスティラを開発している
開発者って言っていいのかな
そのメンバー曰く
物理的な応酬っていうところには
至っていないと
侵害は彼らのインフラの侵害という
彼らのインフラに対する攻撃というのは
司法機関から行われていたものの
そのサーバーそのものというのは
司法機関側の管轄区域外というんですかね
おそらくは自制学的な理由だと思うんですけども
そういったところから
物理的な応酬までは至っていないと
なので司法機関側が取った対応としては
バックアップを含む全てのデータが
消されてしまったと
当局に対応が取られたという話を
開発者自身が行っていたので
マースって言われるそういったモデルとしては
若干鎮静化したという傾向にはあったんですが
残念ながらトレンドマイクロの
テレメトリの観測の状況などから
鎮静化した状況というのも
件数だけで見ると
6月7月にかけては
5月の取り締まり以前の状態
取り締まりが行われる以前の状態に
対応策と警戒の重要性
戻ったような件数だけで見ると
そういった状況に見受けられるというところがあるとともに
あとは活動再開に合わせて
その以前というんですかね
取り締まりが行われる以前と比べて
彼らが使っているインフラというところも
例えばこれまでクラウドフレアとか
アメリカ西側諸国の
そういったサービスを中心に
展開はされていたんですが
これは今も全くゼロにはなっていないそうなんですけども
ロシアに拠点を置かれる
クラウドインフラの事業者を利用するというところに
シフトしているという話もあってですね
罪で取り締まりもやりづらい状況というのが
生まれているというところもあるので
このルマスティラの脅威は全く去ってないよというところは
やっぱり知った上で対応を取らなければいけないんですけども
実際これどれぐらい被害が出ていたかというところについては
マイクロソフトなんかが具体的な確か数字を出していたかと思うんですが
40万回とか言ってなかったっけ確か
そうなんですよ
彼ら確かシンクホールか何かして
実際の感染している端末の状況をモニタリングされていたんですが
今ネギさんおっしゃったように世界中で40万台というところで
確か日本のJC3もその時のテイクダウンには関わっていたというところもあるので
ヒートマップマイクロソフトがその当時公開していたものを見ると
日本も真っ赤ではない
インフォスティラーの脅威
いやー真っ赤に近かったよ
十分赤い
北海道の辺りとかは緑ですけど
東京とかはネギさんおっしゃるようにかなり厚い色になっていまして
それなりの感染台数というのがあったんだろうなというところもありまして
身近な脅威ということはこれ変わらずな状況かなというところがあるので
注意しなければいけないんですけども
どういうふうに感染させてくるかというところについては
これまでも言われていたところではあるんですけども
正規のソフトウェアを装ったルウェアっていうのかな
ソフトウェアっていうのかな
そちらに忍び込むであったり
それそのものがインフォスティラであったりとか
あとは人気アプリのロック解除を謳って
実はそのロック解除はできるんだけども
裏側ではインフォスティラに感染するとか
そういった偽クラックキャンペーンってトレンドマイクロが書いてましたけども
そういったものがあったり
あと先ほども辻さんお話しさせていただきましたけども
クリックフィックスこちらデマスティーラーも
もともとクリックフィックスの主要な脅威の一つにインフォスティラーがございましたので
デマスティーラーはクリックフィックスからやってくるというところも
これ変わらず観測されていると
他あと2つトレンドマイクロ紹介していたんですけども
3つ目としてGitHubを使ったケースというのもあるというところで
これも先ほどの偽装ロック解除とかに近い感じかなと思うんですけど
自動的に生成されたおそらくAIで作られたリポジトリにおいて
ゲーム関連のチートツールとかそういったもののダウンロードを誘導すると
結果的にダウンロードしてしまってそれをインストールするとか
そういった流れにおいてインフォスティラーに感染するというものであったり
あとはSNSを通じてばらまかれているものもあるよというところで
YouTubeで人気の例えばPhotoshopとかそういったものを通じて誘導する
感染するURLに誘導されるケースとか
Facebookとかを通じて広告とかそういったものから誘導されるケース
本当に多岐にわたってインフォスティラーに接する機会というのが
テイクダウン後のこの復活のシーンにおいても見られるというところではありますので
ご注意皆さんぜひしていただきたいなと
本当にインフォスティラーに感染してしまうと認証情報
認可情報を捉える懸念というか可能性がありますので
捉えた後何が起こるかというのはいろいろ想像ができるかなというところもあるのとともに
これやっぱりいろんなインシデント公表なんかでも感じるところであるんですけども
インフォスティラキーンのインシデントってなかなかそれが原因だってたどり着くっていうのは非常に難しいのかなというところもあるので
さっき言ったクラックツールとかってそもそも業務PCとかでダウンロードはそもそも皆さんされないと思うので
業務PCはしっかり保護されていてそれこそEDRとかネットワークだったらしっかりそういったネットワークの監視が即でされているとか
バッチシな運用がされている反面クラックツールとか自宅のPCとか
ちょっとそういった保護が十分ではないところでやりがちなシーンにおいては
そういう万が一のインフォスティラ感染なんか起きてもやっぱり気づきづらい
そういったところに原因としてたどり着きづらいという状況はこれは本当致命かなというところではあるので
先ほど言った通り身近な脅威というところを認識していただいた上で
全然ドリマスティラは終わってないよというところも合わせて
引き続き注意していただきたいなというところでご紹介をさせていただきました
感染経路の増加
何が抜け漏れになるかわからないですもんね
そうなんですよ
ふっとカモさんの話聞いて4年ぐらい前にあれで取り上げた自分が取り上げた話題思い出しましたよ
生態分子研究所っていうところのそこで働いてたインターンかなんかの学生が
そのクラック版みたいなのをやったら最終的にリューク来たっていうやつ昔紹介してるんですけど
自分の社内で組織内に持ち込まれるコンピューターは全部見ないといけないっていう風なものを改めて聞いてて思いました
こういうマルウェアインポスティラも含めてだけどさ
マルウェアの感染って20年ぐらい前とかはさ
こんなもうそのうちなくなるんだろうなぁとか思ってたんだけどさ
思ってた
そうですよね
みんな思ってなかった?
マルウェア感染でいずれアンチウイルスとかいろいろ出てきて
根絶されるかなとかって安易に思ってたけどさ
いやーなんかなくなるどころかむしろ増えてるっていうか
感染経路って無限にあるな
確かにね
1個潰したら本当にもうボコボコボコボコ増える
本当だよね1個潰されると10個増えるぐらいなさ
そうですよね本当に
それは言い過ぎかもしれないけど
なんかさっきのクリックフィックスもそうだけどさ
新しい方法ってどんどん出てくるよね
出てくる
もうなくなる気配ないじゃん
マルウェアの感染経路でほぼほぼなくなった
飛んではいるけど実害っていう意味だとワームの経路ぐらいかな
罠くらいを最後にっていうか
そうそう
あれが10年ぶりぐらいで久しぶりだって感じだけど
それ以降ワーム系は確かにないけど
メール感染がなくなったかなぐらいかな
添付メールでっていうのはさすがにさ
最近はちょっと減ったかなっていう気がするぐらいで
マクロがね一斉に禁止になって
そうそうそう
なんかそういう潰された経路って確かにあるじゃない
そうそうそうですよね
だいぶそこは悪用するの難しいよねっていう経路って確かにあって
でもまあなんかその10倍ぐらい他の新しい経路ができてるなっていう
体感ね体感
メールの経路もねエモテットまでは全然普通にありましたしね
あったあった
さっきさルマンの話聞きながらエモテット思い出したんだけどさ
エモテットも何度かなんか潰した潰したとか言いながら
そのために復活してきたみたいなさ
そうですよね確かに
そうなんかトリックボットの力借りて復活したりとかしてましたよね
何回かなんか撲滅っていうかテイクダウンっていう言葉を何度も聞いたなと思うんだけど
シンクホールもしてたもんなあの時
あれも実際に撲滅されるまで数年かかったでしょう
確かにそうなんか撲滅したのか彼らが辞めたのかもちょっとよくわからないとこもありますけどね
なんかねはい
まあやっぱりこういうのって難しいんだねそのルマンもね
テイクダウンした時ってのはもう一斉にねC2のドメインとか差し抑えててさ
相当な効果はあったと思うんだけど
それでも早かったね戻ってくんの
テイクダウンが5月の21日だったんですね確かね
29日ぐらいにその
ルマンスティーラーのログを売るのに特化してるボットみたいなの見てたんですけど
それめちゃくちゃ減って400件とかやったんですよね
6月の頭ぐらいには900何件なって今何件やろうって見てみたらね
165,935件売ってるらしいですよ今見たら
復活っていうかもうなんか1週間で数千ペースで増えてるんでこれ
なんでそんな増えたんですかね一気にちょっと
いやー
すごいなーと思ってでもなんかこう
上手いことやったなーっていうのはこのこれサブスクじゃないですか
サブスクでどれぐらいの期間で勝ってるその攻撃者が多いのかわからへんけど
サブスク切れるまでの間にちゃんと取り戻したんでしょうね
サービスを継続するっていうところではなんか頑張りよったなっていう気はしますね
そうね
他に映らへんかったんやあんまりっていう
いやいや怖いなーほんまに
暗くなりましたよまた今回
まあそうは言ってもできることはね限られてるとかやれることやるしかないからね
そこは変わらず
頑張って継続してやっていくしかないけど
やってもやっても復活して戻ってくる
そうですねいたちごっこというかね
いやほんとだよねしんどいけどね
まあちょっとでもダメージコントロールを考えていく必要があるなと思いました
『笑うセールスマン』の実写化
はいありがとうございます
じゃあ今日はセキュリティの話を3つしてきたんで最後におすすめのあれなんですけれども
今日はですねYouTubeチャンネルの公式のYouTubeチャンネルを紹介しようかと思うんですが
これを聞かれてる方はどれぐらいの年齢層なのかわからないですけど僕にはぶっ刺さりのですね
アニメ笑うセールスマン
あー懐かしいね
僕ねこれ小学生の頃から大好きで
ギミアブレイクっていう大橋巨船さんがしてた番組のどっかのタイミングで10分ぐらい流れるんですよね
であのモグロ副蔵っていうあなたの心の隙間を埋めしますっていう明らかに怪しいセールスマンが忍び寄ってきて
なんかいろんなこう夢見がちなことを考えてくれたりするんですよ
でも決してこういうことはしちゃダメですからねっていう風に言えるんですけど
まあ人間の弱いところですよねやっちゃうんですよね
やったらあかんって言ってんのに
例えば博打やったらこれ1回限りにしてくださいねみたいなことを言うけど
やっぱりもっと儲けたいっていう風にやったら全部吸って大変なことになるみたいな
ちょっとブラックユーモアの効いた
そうだねちょっとダークな感じだよね
そうそうたまに何十回かに1回だけ幸せになる人が出てきたりするやつなんですけど
これがねあのアマゾンプライムで実写化されたんですよ
あーなんかそれチラッと見てないけど広告は見たな
見ました?お笑いの3人組のロバートっていうグループの中の秋山さんっていらっしゃるんですけれども
結構ちょっと他の人と違った笑いをよくやってて
僕もこの方のポッドキャストというかラジオを聞いてるんですけども
この方がさっき言ったモグロ副蔵セールスマン役で出ている実写がされたのに合わせて
youtubeチャンネルで過去のアニメの回を無料で流してくれてるんですよ
へーそうなんだ
そうそうそう結構なんか人気のあった作品とかっていう風なものもあるんですけど
平日の水金日の18時半に1話ずつ公開するっていうような感じでやってたりするんですけど
過去の作品そのまま見れるんで知らん方も結構あのあんまり他と他にはないようなアニメのパターンなんで
ただで見れる無料で見れるんでもちろん広告は出ますけど無料で見れるんで
実写アンマプラで見れる方も元々の原作を見てみてもいいんじゃないかなと思って紹介させていただきました
ちなみにちょっと見てないけどさ実写の方はどんな感じなの
僕ねまだ実写見てないんですよ先に公開されてる懐かしいアニメの方をある程度見てから実写の方に移ろうかなと思って
撮ってあるわけね
そうそうそうそう一旦ねちょっとこの作業の隙間とかに心の隙間を埋めるじゃないですけど
上手いこと言ったな
このアニメを見てある程度こんな感じやったなあんな感じやったらこんな話あったなみたいなのを経てから実写を見ようかなと思ってます
なるほど
でも結構実写のキービジュアルとか見ましたけれども
なかなかいい感じでしたね
この絵を実写になった絵を見て思ったのはね
モグロ副蔵役はロバートのこの秋山さんか石場首相ぐらいしかできるのちゃうかなって僕は思ってます
石場さんはなんか昔フリーザかなんかコスプレしてなかったっけ
そうなんですか
フリーザじゃないか違うあれだ
マジンブーかなんかのさコスプレネットニュースになったことあるよね確かね
そうなんですかなんでマジンブーやったんやろな
なんだっけどういう文脈か忘れたけど写真
見たことあるこれこれコラじゃないの
モグロ副蔵の思い出
いやそれ本当にその格好したんだよねそれニュースになった
これ僕見かけたX当時Xかツイッターかわかんないけど流れてきたの見たことあるけどコラやと思ってた
なんかそのコスプレが今ちょっと思い浮かんじゃった
そうなんですねほんまニュースにもなってるわ
フェイクやと思ってた違かったねこれ
いやまあ確かにモグロ副蔵ちょっとなんか独特なキャラクターだよね
そうそうそう結構好きで小学生の時の図学大作の時間で
僕モグロ副蔵の顔した箱作った覚えてんねえな
よっぽど好きだったんだな
めっちゃ好きでしたね子供心に結構夜遅くまで起きてた時とかもあって
母親もこれが好きでね
母親きっかけで知ったんですよ面白いのあんねん言うて
個人的にも思い入れのあるアニメではありますね
ちょっと懐かしいねちょっと見てみます
よかった見てください
はいじゃあまた次回のお楽しみですバイバイ
バイバイ
