1. セキュリティのアレ
  2. 第159回 脆弱性マラソン!最後..
2022-12-05 59:54

第159回 脆弱性マラソン!最後にしたいが、もうちっとだけ続くんじゃ!スペシャル

Tweet  【関連記事】 ・Tenable Research Finds 72% of Organ[...]

The post 第159回 脆弱性マラソン!最後にしたいが、もうちっとだけ続くんじゃ!スペシャル first appeared on podcast - #セキュリティのアレ.

00:00
夜散歩でマチネコを見かける数が極端に減りましたおり、皆様いかがお過ごしでしょうか。セキュリティのアレのお時間でございます。
こんばんは。 こんにちは。おはようございます。
慣れへんことはすんなっていう空気が、もうひしひしと。 凍った感じだね。ここに来て新しい入り方だね。
急にね、一番まともそうな入り方してるのが一番寒くなる。 どっちの意味で寒くなったみたいな感じですけども。
なんか違和感あるね。 うーん、やるんじゃなかったなみたいな感じね。
チャレンジしていこうかということでやってみたんですけども。 チャレンジ大事です。
まあ、ほんまにでもね、あのあれですよ。散歩したら猫見かけなくなりました。 寒くなってきたしね、なんかね。
そう、だから寒いとなかなか出てきてこないんですよ。 え、どこにいるんですか?その方々は。
今?はい。 だいたいね、タイミングが合えば道曲がったらおったりする時もあるんですけど、
だいたいね、植え込みの中とか。 あと、暖かい室外機のとことかにいて、ちょっとこういつも居るような場所でウロウロして
しながら何かこう言葉を発したりとかするとガサガサガサって出てくる時はある。 へー、そこで暖を取ってるんですね。
あと車の下を覗いたりもしてますね、僕は。 冬感じるなぁと思って慣れへん挨拶をしてみたということなんですけども。
いやーもうどうですか?最近は。なんか結構落ち着いてきましたか? バタバタしてたのは。
そうね、ちょっと10月11月忙しかったのが少し落ち着いた感じはあるね。 なんかね、3人で一緒に出てたやつもありましたしね。
年末感が出てきた感じがそんなことないですか? 年末感ね、でもほらあんまりさ、こう街に出ないんで。 あ、そっか。
多分今頃イルミネーションなんでしょ、どうせ。 そうそうそう、そういうのがね、やっぱり街中に増えてきてる感じがしますよ。
クリスマスって感じか。 そうそうそうそうそう、あちこち見たら。 だいたいこうね、ハロウィンが終わったあたりから匂わしてくるじゃないですか。
匂わしてくる? 誰に匂わせるんだよ。 誰に対してですか? クリスマスがあるんですよ、みたいな。
そうですね。 プレゼント買う準備してますか?みたいな。ボーナスも入るんでしょ?みたいな感じの空気感が街からね、たらいてくるなっていう。
一番のかき入れ時だからね。 そうそうそう。そんなことをお尻目に、僕は新作のスイッチのポケモンやってます。
そうなんだ。 まったりですね。 なるほど、あれって今までと違って、なんていうか、オープンワールド?
今回そう、どこに行ってもいいっていうか、ストーリーが一本道じゃないんですよね。 あ、そうなんだ。
大きく分けて3つ目的みたいなのがあって、それをどの順番にやってもいい。 1個の道を全部終わらせてから次行ってもいいし、そうじゃなくても行ってもいいし、みたいな感じ。
03:08
初のオープンワールド系みたいな。 そうそうそう。そういうふうに説明ありましたね。
だから好きなところに、好きな時に行ってみたいなのもあるし、なんかバトルとかも、なんか今までやってたのはアクション系が多いから
テンポがすごくゆっくりで、なんか何々は何々を攻撃した、バシーン、攻撃が効果抜群だ、みたいな感じのぐらいのテンポなんですよ。
いやまあ、それポケモンですからね。 ゆっくり、ゆっくりなんすよ。なんかムービーも早送りできひんし。
あーなんかそれは確かに、なんかのゲーム批評みたいな記事で、それはなんか飛ばせるような設定があるといいみたいなのが見ました。
飛ばせる設定はあるんですけど、飛ばすにしても一切見れないんですよ。 あーなるほど。
01なんで、1回目の人は、1周目の人はこの機能はオンにしない方がいいですって注意書きが書いてるぐらいなんで、オンできないじゃないですか。
まあまあでもなんかゆっくりやるのもええかな、みたいな感じがあって。 そうですね。
そうそう僕もちょっとバタバタするピークも、ちょっと乗り越えた感じがあるんで、やり始めたって感じではあるんですけどね。
たまにはいいかな、ポケモンGOだけじゃなくて、こっちのまったり系もいいなぁなんて思いながら、ちょっとゆっくりしながらっていう感じではありますけどね、最近は。
いいですね。 そんな感じでございますというところで、お便りが来ております。
はい。 今回そのお便りの内容というよりも、こういうのをしてくださるのちょっと嬉しいなと思ってちょっと紹介するんですけど、
セキュリティのあれで紹介されていたサイトはこれね、みたいな感じでハッシュタグつけてツイートしてくれてたりとかするのがしてくださっている方がいて、
そうそうこういうのなんかあると、小ノートをね見過ごしたりとか、後から見よっかなとかって思って忘れちゃうとかもあるんで、こういうのあるとなんかリマインドになったりとかしてもいいなぁって。
そうそう、なんかありそうでなかったなみたいな。 それはあれかな、その聞いた人がこのサイトが何か参考になったよみたいなそういう感じたのかな。
でも、頂上現象の謎解き紹介してくれてたんですけど。 それかぁ。おすすめの方か。
防災のやつもありましたよ。 防災のもありましたね。
でもなんかありがたいなぁと思う。 ありがたいね。ありがとうございます。
で、もう一つですね。 指キーの話前回したじゃないですか。
はい。 むしろ指キーはハイブランドよりも、ちいかわとかすみっこぐらしとコラボして一緒に学ぼうセキュリティとか、そんな差しとセットで売って欲しいっていう。
確かにこれはそうかもしれないですね。 なるほどなるほど。
身近にするっていうことですよね。 確かに確かに。
まあそれありかもね。 そうですね。
なんかこうデバイス系のイメージって、なんかアップルとエルメスみたいなイメージが強くて。 そうですね。
06:01
どうしてもね。そうそうそう。なんか金のやつとか出てたじゃないですか。最初の頃。 ありました。
すごい高いやつ。 なんでそっちのイメージに引っ張られてたんですけど、確かにそうですよね。
こういう多くの人に手に取ってもらうとか、 馴染み深さって考えればこっちの方が自然なのかもしれないですね。
なるほど。 確かに指キーなんて普段から持ち歩いて、
どっちかちょっと肌身離さず身につけてください的な感じだから。 そうですね。
まあ確かにその親しみやすさっていう観点からいくと、そっち系とのコラボの方がなんかしっくりくるかもしれないね。
そうですよね。 できるだけ価格も抑えた方がいいですもんね。多くの人に使ってもらうことを考えたらね。
で、あとは指キーを送ったって人いたじゃないですか。 ああ、はいはい。喜ばれたってやつね。
前回紹介した人ね。 で、本当に相手のことを守りたいみたいなことなんですかね、みたいな話をここの3人でしたじゃないですか。
そう、それのね、裏話じゃないですけど、 実はこういう流れでこうなったんですみたいなものをメンションくださって。
で、なんかもともとこれは指キーを送るのには前日通短があると。 で、去年の誕生日プレゼントでその相方さんっておっしゃってる方からノードックのチケットをもらったんですって。
そしたら未破裂の動脈層が見つかった。 それで経過観察であって、まあまあ大丈夫そうではあるんだけれどもっていうのがあって、その流れがあってからの今年はあなたの安全をみたいな感じでプレゼントしたんですって。
なんかそれ素敵だね。素敵だねっていうか、それ見つかって本当に良かったけどさ。
なんかそういうのを送れる間だっていいね。 相方さんの思う相手の安全、安心、健康とかっていうのもあって、それのお返しで今度は自分の得意な分野で返してあげるっていうのがめちゃくちゃいい話。
素敵だね。そうですね。次回の自己対応アワードのエントリーかもしれないですね。 これはね。いやでもなんかそれはあれだね。
プレゼントとかのさ、送る相手がいる人にみんなお勧めしたいね。 そういうのね。いや本当そうです。こういうパターンもあるぞっていうことですよね。
いい話をありがとうございます。ありがとうございます。 本当に身体もね、相手も大事にしてあげていただければと思います。
最後のお便りですけども、ネギスさんのやつかな。SBOMの話。 前回ほらサポートがとっくに切れてる軽いライトウェイのウェブサーバーの話を。
はいはい、ボアウェブサーバーの話でしたね。 そうそうそう。それに関係してなんですけど、SBOM問題は企業の調達部門ならともかく個人レベルじゃとても追えないと。
ポートの塞ぎ方なんかも説明書とかにちゃんと載ってないしということで、結局ある程度信頼できるメーカーのルーターで境界を守るという90年代セキュリティに回帰するしかなさそうっていうお便りをいただきました。
09:09
なるほど。 後半の境界防御のところはちょっと異論があるかもしれないが、前段の信頼できるメーカーから買うしかないというところは、一消費者にとってはそうするしかないね実際のところ。
ただ問題は、前回も言ったけど、信頼できるところっていうのがどの程度かっていう話で、そこが自ら作っているわけでもなかったりするわけだから、 OEMだったりしてね結局は。
そうするとそのベンダーがどうかみたいな話があったりとかするんで、なかなかその難しいところではあるけどね。ところではあるけど、でもその最終責任を持つその最終の販売する機器メーカーがちゃんと責任を持ってやってくれるかみたいなところでは信頼できるところっていうのはあるかもしれないよね。難しいね。
単なるその市場の評判とか、例えば安いとかさ、わかんないけど、そういうのだけではおそらく測れないようなものかもしれないよね。そういうのって。確かに確かに。そうですね。値深さがあるなぁなんて。そうそう前回も言ったけど、やっぱりそれを消費者側に押し付けるのは無理だよね。やっぱり無理筋かもしれないですねそれは。
販売提供する側とかそのもうちょっと社会全体の仕組みとしてそういうのをカバーするような形にしないとダメだよね。ちゃんとすごい真面目なお便りをいただいてですね。これは紹介せなかったかもしれないですね。そうですね。いいご指摘ありがとうございます。はいありがとうございます。ということでお便りは以上でございます。はい。じゃあセキュリティの話をしていこうかなと思うんですけれども、じゃあ今回看護さんからいきますかね。
じゃあ私からはまずは聞かせていただきます。はいさっきちょうどあの年末みたいな話したんですけど、皆さん去年の12月何があったかって覚えていらっしゃいますか?結構バタバタしたじゃないですか。去年の12月は去年のクリスマスがありました。当たり前だね。毎年あるでしょみたいな。
毎年やからね。
もうちょっと後かな。12月の2週目ぐらいだったと思うんですけど、去年のログ4Jの低弱性の話っていうのはそのぐらいから盛り上がってワッとなりましたよね。
1年って感じさせないぐらいずっと言ってますよね。
本当それなんですよ。今日は1年近く経っているログ4Jに対してテナブルが11月30日に今の現状がどうかっていう話っていうのをテナブル側がテレメトリ情報で確認しているところから分析された記事っていうのを公開しておられたので、
12:09
今日はそれを紹介しつつこんなことあるんだっていうのを改めて知ったというところをお話ししたいんですけども。
タイトルにも書いてあったんですけども、未だに組織の7割、72%がログ4Jに対して脆弱な状況であるっていうのがまずガッと書かれてあって。
インパクトあるな。
いろんな機器であったりソフトウェアであったりっていうのが広く影響を受ける脆弱性っていう形でもともと言われていたところではあったので、これをまだそんなあるんだっていうふうに思うか、いろいろあるかなとは思いつつ、
確かですね、去年の12月の終わりぐらいにテナブルが同じく確か機器とかソフトウェアの10個に1個ぐらいは幅広い資産という表現なんですけども、
ログ4Jの脆弱性が実際あって影響を受けるみたいな記事を出しておられて、なので全体としては1割ぐらい影響を受けるっていうのが1年前の状況だったんですけども、
これが今年の10月の状況ですね。
2.5%まで実際に影響を受けるっていう機器が減っているので、改善が見られたっていうのが、それはそれで減っていると。
これ全体の数なのでさっきの組織の割合とはまた別だと思うんですけども。
一方で影響を受けていて、対応がしっかりなされた機器に対しては、残念ながら3分の1って書いてあるんですけども、ログ4Jの影響を受けるっていうケースが再発しているというのも書かれていてですね。
これちょっと今まであんまり意識していなかったところではあったんですけども、Tenableの記事中ではこの再発しているところの原因というか、経緯としてはこれだけ幅広い脆弱性ではあるので、しっかり対応を仮にしていたとしても、
また何か新しい機器であったりソフトウェアであったりというのを資産の追加とか変更とかが発生したときに、これが起因して再発っていうところにつながっているんではないかっていう、そういった指摘をされておられて、確かにそうだなというふうには、これちょっと読んでて思ったところではあって。
この手の脆弱性に対しては、記述でも書いてあるんですけども、継続的にやっていく、そういった戦いであるという表現がなされていて、確かに去年のISCでしたっけ、初期対応から終わって、これからはこのログ4Jの脆弱性との戦いはマラソンみたいな形になるみたいな。
15:21
そういった表現をやっておられたなっていうのを思い返してですね、確かに本当にそういう感じなんだなっていうのを改めて思ったところではあると。
あとは先ほどの組織の7割が影響を受けているって話については、どの分野、業態が影響を受けているとかって書かれてはいるんですけども、例えばエンジニアリングの分野であったら45%とか。
逆に金融機関とか政府であるというところであっても、比較的硬そうなイメージではあるんですが、やっぱり35%とか、これ金融サービスですね。金融サービスだと35%とか、政府だったら30%といった形で、それでも結構いい数なんじゃないかなとは思いつつも、それなりの数っていうのがいるという、そういった状況ではあってですね。
厳しい、完全に対処が完了しているといった状態にはなかなかなってはいないというと、あ、すみません、私間違えちゃいましたね。さっきの割合というのは修正が対応されている組織の数なので、逆の数がなかなか残っているという話ですかね。
なので、やっぱり3分の1っていうのは修復は済んでいるんですけども、これは地域的なものでいうと、これは順番的にはヨーロッパ、中東、アフリカ、アジア、太平洋、ラテンアメリカっていう形で続いてはいて、ただ全体としてはやっぱり3分の1程度が対応済ませていると、残りがまだ依頼を受けているという、そういった状況になっているという話ではありません。
ちょうど1年近く経った今というところもあるんですけども、改めて脆弱性、特にこのLog4jの脆弱性の影響っていうのがしっかり組織の中でリスクヘッジというか対応されているかっていうのは、やっぱりこういった状況を見ても改めて見ていただくっていうのは大事かなというふうには思いました。
結構対応していない組織が多いっていうのがクローズアップされているけど、なんで対応してないんだろうね、1年経って。
そこまでの考察はこの中では確か書かれてはなかったんですが。
18:03
テラブルのテレメトリーってことは、脆弱性管理の何らかの製品のテレメトリー情報を使っているんだとおそらく思われるんだけど、スキャナーとかも入ってるのかな、わかんないけど。
脆弱性管理の管理対象になっている顧客をざっくり世界中のテレメトリー情報として集めてやってるんだと思うんだけど、だとすると顧客は自分たちのアセットの中にLog4jの影響を受けるやつがあるっていうことは認識していると思われると理解したんだけど、じゃなきゃこの数字に入ってこないじゃん。
確かにそうですね。
だと思うんだけど、だとしたら放置してるとは言えないかもしれないけど、対応が遅れているのはなんでなんだろうな。3分の2くらいまでやってないってことはちょっと多すぎるような気もするんだけど。
やっぱり多いですよね。
多い多い。
そんなもんなんかなとかちょっと納得しかけたんですけども。
あるいはLog4jっていろんなところで使われていて、さっきのもう一回対応したと思ったらもう一回実は再発したみたいなのもあったりするっていうのも、どこから入り込むかわからないような脆弱性でもあるので、根絶するのが難しいと思うんだけど、
あともう一つ、どこまで外部からとか、あるいはリスクとして影響が実際にあるかないかっていう判断をしたときに、対応不要っていう風になるケースもあるっちゃあるのかなとは思うんだけどさ。
そうですね。
製品自体は影響を受けるけども、実際のところは考慮しなくてもいいかみたいな。
現実的には攻撃をおそらくは受けないだろうみたいな。
そういう使い方をしてますみたいなのはあると思うんで、そういうのを除くとしても、それにしてもやや感覚的にはちょっと多いかなっていう気がして、ちょっとその理由が知りたいよね。
そうですね。
その辺にもしかしたらちょっと根の深い問題が横たわってきたりするのかなとかね、ちょっとそこは気になるところだね。
確かに。
一瞬想像したのは、セキュリティのチェックはホールディングスみたいなところとか買収した元がやってて、その対象はお前らの予算でやれよみたいなことやって、いや予算ないからできないですとかっていうのも中には含まれてそうかなっていう気はしますけど。
脆弱性の管理の主体っていうか、どっちがやる問題がどっかにあるんじゃないかみたいな話ですね。
チェックしてくるのは大元のところが、本社とかみたいなところが、親会社みたいなところがしてるけど、対処するところはそれはやるのはそちらが主体として変わるじゃないですか。
21:04
そういうのも含まれて、そればっかじゃないと思うんですけど、それも積み上げられてるとこういう数字になってくるのかもしれないなと思いました。
まあ確かにね、修正する責任がどこにあるかっていうのは確かに、特にこういういろんなところに入り込んでる系のやつは、大元のベンダーなのか、自分たちなのか、あるいは親会社なのかとかわかんないけど、そういう責任範囲の分解点がどこにあるかっていうのはもしかしたらあるかもしれないね。
確かにそうですね。
あともう一つ考えられるのは、これスキャンした結果とか脆弱性管理の結果を、多分この5億件ぐらいでしたっけ?のテストって書いてありますけど、内部から内部にしたスキャンも含まれてるんじゃないですかね。
当然入ってると思うよ。
だから外からリーチできないとかっていうこととか思うんですかね、そういうのも含まれてると。
それがさっき僕がちょっと思った、現実的には攻撃されない環境だから大丈夫的な判断も、
中に入ってからやからみたいなね。
それは組織としてそういうリスクの評価をして大丈夫って判断するのであれば、それは別にいいと思うんだけどさ。
そうですね。
それがちゃんとそういう判断の結果になってるんだったらいいけど、なんとなくさっきの逆に今ついさんが言ったような責任分解点がよくわかんなくて曖昧で、
誰がやっていいかわかんなくて放置プレイだと、それは良くないよね。
そうですね。
なるほどね。テレメトリーだけだとざっくりでわかんないけど、もう少し個別のケースを見てみると色々問題あるかもしれないね、これはね。
1年経ってこれっていう状況ですから、本当に5年とか10年とか時間がかかる脆弱性になりそうだなと。
いろんなところに入り組んで思わぬところで使われてるっていう、そもそもその把握が難しいっていうのが一つあるのと、
あとそのせいで対応も難しいっていう、いろいろそこら辺がありそうではあるよね。
普通の脆弱性だったらこうじゃなかったはずみたいなのはもしかしたらあるかもしれないよな。
個別に多分事情はいろいろ違うんだろうけど、もしそういうのを該当するなというところは、なんでできてないんだっけっていうのは見直した方がいいかもしれないな。
修復されたやつがまた復活するっていうのはちょっと目から鱗でした。
ゾンビじゃないですけども。
言われてみたら理由は新しいやつを追加したからってことなんですけど、それだけ受け入れのテストやってないってことですもんね。
そうですよね。細かくまでは見切れてない。
本番の運用みたいなするときの前にそういうの大丈夫みたいなのがないから多分実地のテストで見つかるわけですもんね。
これはちょっと気づきがありましたね。
24:03
そうですね、確かに。やっぱりシーザーが命令として出すという形で発表があったような継続的な資産管理のモニタリングっていうのはやっぱりこういうところもあったりするのかなとかっていうのはちょっと…
確かにそうですね。だから定期的に回しましょう。どれに見つけましょうっていうことなんでしょうね。
わかりました。ありがとうございます。
はい。
じゃあ次はねぎさんいきましょうかね。
お願いします。
じゃあ私次行かせていただきますけども、今日はですね、この話をするのは何回目かっていう感じなんですけども、
はい。
ラストパスからの情報漏洩の話をしたいと思いますが、
やっぱり待ってました。待ってたらダメなんですよ。
何回目だ?
これは僕が取り上げないわけでいかないだろうってことで。
本当にそうですよ。
これは実は8月の事件の続きなんだけど、
続編なんですね。
続編なんですね。続編なんですけど、これ1回8月に初報があって、9月の15日に第2報があって、一応これで終わったかなと思ってたんだけど、まだ続きがありましたっていう話なんだよね。
前回の夏の事件については、150回目かなんかのポートキャストで話してるんで、ちょっとそこを聞いてない人は聞いていただきたいですけども、
カイツ版で何があったかっていう話をすると、
ラストパスのある開発者の端末に何らかの方法で侵入されてしまって、
そこから認証情報を取られたかなんかして、開発環境に攻撃者が不正アクセスをしましたと。
そこでソースコードとか技術情報とかの一部の情報を取られたかもしれませんという話で、
でも顧客のデータ、預けているパスワードのデータとかね、
そういうデータは全然プロダクションのシステムが全く別なんで、開発系とは異なるから心配いりませんよっていうような、カイツ版でいうとそういう感じの事件でした。
今回の情報漏洩は、ラストパスが出しているリリースを読むと、
ラストパスと親会社、もともとログインって言ってたけど、今GoToって会社の名前変わってるんだけど、
親会社とラストパスで共有しているサードパーティーのクラウドのストレージサービスに不正アクセスされましたと言っていて、
その原因がはっきり書いてないんだけど、8月の事件で攻撃者が取っていた何らかの情報が使われていましたって言ってるんだよね。
なので、続編ですねということなんだけど、
このクラウドストレージって言ってるのが、ドロップボックスとかGoogleドライブみたいなやつなのか、あるいはAWSのS3みたいなやつなのか、
何のストレージサービスかよくわかんないんだけど、なんかそういうやつですと。わかんないけどね。書いてないけど。
27:02
攻撃者は何を不正アクセスしたかというと、
そのサードパーティーのクラウドストレージで管理されていたラストパスの顧客に関する情報の一部ですという話なのね。
それしか書いてないんでわかんないけど、おそらく僕が推測するに、多分親会社と共有してるっていう話だから、
例えば営業とかマーケティングとかの目的で作っている顧客データベースとか、多分そういうやつなんじゃないかなと。
おそらくね。わかんないけど。
どういう部分に不正アクセスされたかというと、今調査中って書いてあるんで、はっきりわかんないんだけど、
だから指名とかメールアドレスとか電話番号とかわかんないけど、そういう個人情報とかが含まれてないのかとかわかんないけど、
そういう情報にどうも一部不正アクセスされたようですと。
これがほぼ全て。今わかってるほぼ全てで、これ以上のことは何もわかってませんということなんで。
今回の件ね、国内とか海外のメディアもいろいろまたラストパスで情報漏洩みたいな報道をいっぱい出てたんだけど、
どれもこれは不正確で、ちょっと良くないなと思ったんだけど、僕の印象ではだから個人情報なんか入ってたのねっていう感じだけど、
そんなに大したことないんじゃないかなっていう。プロダクションのシステムとは全く関係ないし、
パスワードの管理サービスとして最も重要な、我々ユーザーのパスワード情報みたいなやつとは全く関係ないんで、
そういう意味では別に特にそんなに心配する必要はないかなというのが一応第一印象ではあるんだけど、
とはいえいろいろ記事でもいろいろかさざ書かれちゃってて、そういう風に受け止めない人もいるかなと思ったんで、
ちょっとその辺が良くないなと思うんだけど、今回のラストパスの続編の方の良くないなと思ったところが2つあって、
一つは今言った公開している情報があまりにも少なくてさ、なおかつ書いてあることが割と曖昧なんで、
はっきりせえへんですね。
さっき紹介している記事がどれもこれもみんな不正確で良くないって僕言ったけど、確かにメディアは書きっぷりが良くないのは良くないんだけど、
曖昧なことしか言っていないラストパスも良くないなっていうか、これだったらそのいろいろ誤解されちゃってもしゃーないなみたいなことをちょっと思うんだよね。
なんか人によってちょっと解釈が変わっちゃうこともあるなっていうか、
例えばその顧客に関する情報の一部ってさっき僕言ったけど、これも記事によっては顧客データが盗まれたみたいな書き方をしてるやつもあって、
あたかも顧客が預けたデータのような印象に見えちゃうんだよね、そうするとね。
でも全然その顧客データではないわけよ。
なのでそういう書き方とかさ、もしかしたら事件が破格していち早く知らせるべきっていう、まだあんまり詳しくわかってない調査中だけど第一歩を出しましたっていう感じかもしれないので、
30:11
そこはトレードオフがあるかなとは思うんだけど、とはいえちょっとあまりにも情報少なすぎるし曖昧な書き方をしているんで、
ちょっと出し方にもうちょっと工夫が必要かなというのが。
まあちょっとね、ほらよく我々自己対応アワードとかでさ、そういうところを評価したりとかするじゃないですか。
そうですね。
そういう観点からするとなんかちょっとイマイチかなっていう気がする。
それが一つと、
あともう一個は今回の事件が続報って言ったんだけど、
クラウドストレージにアクセスされた原因が8月の事件で攻撃者が取っていった何らかの情報を使ってって書いてあるんだよね。
それが何かわかんないのよ。
わかんないんだけど、これも推測するにサートパーティーのクラウドストレージサービスに不正アクセスっていうことは、
そのクラウドストレージのサービスでアクセスできる何らかの情報を得たって考えるのが自然なので。
そうですね。
だとするとその開発者の端末に入っていた認証情報なのか、あるいは開発環境のどこかに入っていた認証情報なのかわかんないけど、
どこかにあってたそういう情報を使って仮に侵入したと仮に仮定すると、
まあそうでないかもしれないけども、いずれにしても、
結局その8月のインシデントの時の影響範囲の特定に失敗したってことなんだよね、つまりは。
そうですね。
一般的にインシデントハンドリングっていうと、まずインシデントを検知しましたって言ったときに影響範囲をまず特定して、スコーピングだよね。
その後、その影響範囲の中にある事象を封じ込めをして、値台足にして、最後回復して、おしまいっていう、そういうサイクルがあるわけで。
ただでも、往々にしてスコーピングに失敗するってことは結構あって、漏れちゃう、対応から漏れちゃうみたいなね。
ただそれが対応中に気づいて、もう一回影響範囲を特定し直して、もうちょっと広げて、もう一回対応するとか、
そういうことをグルグルグルグルグルサイクルとしてやるっていうのがよくある対応サイクルなんだけど、
今回のケースを見ると、それに失敗してて、多分だから漏れがあったとしか思えないんだよね。
だとすると、8月の事件の続きでしたっていう、何ヶ月も経ってこういう事件が起きちゃうっていうことに対して、ちょっと大丈夫かなっていうか、
インシデントがたびたび起きる、年に1回とか、ラストパスなんで結構年に1回くらい起きてるけどさ、
それ自体どうなのって話もあるけど、でも起きること自体はある程度しょうがないかなと思うのよ。
33:03
どうしても100%防げないってことはあるからね。だからインシデントが起きることは100ポイントずつ良しとして、問題はその対処の仕方なんだよね。
今回のそれを見ると、インシデント対応能力にちょっと疑問符がつくなっていうのは、これはちょっと良くないんだよね。
たびたび起きるけどしっかり対応してます、安全ですって言われればさ、
過去の例でもそうだけど、むしろ株が上がるっていうか、しっかりやってるなみたいな感じになると思うんだけど、
でも今年の夏以降の一連の対応はちょっとやや不安を感じるというかさ、
預けているデータは安全だろうし、そういったシステムアーキテクチャとか技術的な仕組みとかっていうのは信用できると思ってるんだけど、
対応能力とか体制、組織体制とかにもしかしたら何があるかもしれないなっていうのを、
ちょっとね、こういうのを見せられると、なんか少し不安に感じるなっていう。
なんかこのラストパスの人と人の動きみたいなところがちょっと文化なのかわからないですけど、
この曖昧な表現とかっていうのはちょっとそうですね、なんか頼りなさをちょっと感じてしまうというか。
若干ね。そうなんだよね。これインシデントの対応はマンディアントに依頼してるって書いてあるんで、
やってるところはプロがやってるだろうし、そこのところの技術的な対応はまあまあ信用できると思うんだよ。
思うんだけど、でもその依頼をするのはラストパス側なわけじゃない?
8月でスコープがちょっと漏れてたっていうのは、もしかしたらマンディアント側のミスかもしれないし、ラストパスのミスかもしれない。
そこはちょっとわかんないけど、まあでもそれひっくり返って対応に問題があるよねっていうのもあるし、
あとそれを公表するね、今ついさんが言ったような、公表する部門とか、部門を大大いろいろそういう調整とかが、
もしかしたらうまくいってないんじゃないかとか、わからんけどね、なんかもうちょっと書き方があるんじゃないかなという気もするし、
なんかねその辺の全体ひっくるめた対応能力がどうなのっていうところを問われているような気が僕はしましたね。
だからむしろこの事件自体のインパクトはあんまり大したことないなと正直思ってるんだけど、今の時点ではね。
まあ大したことないでしょって思える内容かなと今の時点では判断したけど、まあでもその対応能力にはどうなのっていう。
まあそういう印象でしたね。
なんかこの通知の出し方とか使う言葉とかっていうのはちょっとなんかあんまり印象を与えないなっていう気はしましたね。
まあメディアもダメだと思うよ。こういう事件見て書いてないことをいろいろ書いちゃうメディアもダメだと思うけど、
36:03
なんか正確に書いてたメディアほとんどなかったね。
俺なんかいくつか記事見たけどさ、どれもこれもみんな不正確で。
なんで書いてないことを書くのかなみたいな気がしたけど。
まあ受け取り手によって意味が変わってしまうとかっていうのをできるだけ防ぐっていうのも大事なポイントではあるのかなとは思いつつも。
そうそう。人によって会社が変わるようなことがなるべくないようにっていうのは心がけた方法がいいけど。
まあそれに関して言ったらまあちょっとこの書きっぷりは落題点だよね。
まあこの名前の通りこれはこの件に関してはもうこれでラストにしていただきたいですよね。
まあね。まあでもどうだろうね。この件は今調査中だから続報は出ると思うけど、
いやでもこれで本当に影響範囲は全部もう塞ぎましたって言ってほしいよね。
そうですよね。なんかこうあの今回の通知のブログみたいなのに書いてあったじゃないですか。
それ一番下までスクロールしたら大丈夫ですか?もうちょっとだけ続くんじゃとか書いてなかったですか?大丈夫ですか?
確かに。
それ書いてあったらもう倍以上続くっていうことですからね。我々の国ではね。
やばいやつだそれは。
まあ大事ではなさそうではありますけどね。何事もなければいいなと思います。
次の出てくるレポートがもっといいものだったらいいなと思いますけどね。
そうね。まあどうだろうね。わかんないけどね。ちょっとなんかあんまりそこは期待できない気もするけど。
製品を使うという上では問題はなさそうってことなんですもんね。
僕はラストパスユーザーだからそういう視点でも見てるけど、別にこれで製品として不安になるってことはないんだけど、
ただねこういうことが続いて対応能力に問題がありそうだなってなると、
多分こういう事件ってまた起きるんだよね。きっと。
そうなってくるとある時致命的な問題になりかねないので、ちょっと今のうちに対処してほしいなと。
そうですね。とかまあその同じように、製品サービスの利用に対して影響がなかったとしても、
不安を残してしまうようなかきっぷりみたいなものが続くと、ちょっとそろそろここやばいんちゃうかなっていう風になって、
引いていくお客もいそうですもんね。
多分ねそういう、僕は大したことないって今回さそういう風に読んだけど、
読み手によっては多分ねさっきの解釈の仕方がいろいろ違うし、
他のその間違ったようなこの記事とか見て不安に感じちゃってっていう人は多分出ると思うんだよな。
まあそういう点でもその他の会社の人はさ、ちょっとまあこれは何というか反面恐怖的に見てほしいというか、
あんまりよろしくない対応事例っていう風に見た方がいいかなっていう気がするね。
うん。
わかりました。じゃあまた継続してまた何かあったら教えてください。
お続きがあったら話したいと思います。
よろしくお願いします。
はい。
ありがとうございます。
じゃあ最後僕が、僕のお話で締めたいなと思うんですけれども、
39:00
今日僕が紹介するのはですね、このPodcastでもちょこちょこ紹介している、
Cobeware のランサムに関するレポートで、クォーターごとに出てくる、
少し前に出てたやつなんですけれども、それをちょっと紹介しようかなと思っていまして、
このレポートもいろんなことが書いてあったんですけれども、前回も取り上げた内容で、
この市販機ごとの身代金の支払いの平均額と中央値っていう風なものが、
前回と比べてどうなっているかって話なんですが、
前回はね、第2クォーターのところは、日本円で平均が3000万円強だったんですけども、
今回の第3クォーターは、3500万円強と13%ぐらい増えてるんですね。
ただこれは前回と同じで、異常値によって平均が引き上げられたみたいなことが書いてあったんですけど、
多額の支払いをした組織があると平均ってグイッて上げられるじゃないですか。
これも前回と同じで、そういったところがありましたっていうところがあったんですけど、
中央値を見てみると、前回は日本円で490万円ぐらいだったんですね、中央値。
今回は80万円ほど、15%ぐらい上がっていて、570万円強ぐらいになって、
こちらも上がっているという結果になっています。
上がってはいて、15%とか結構大きいかなと思ったんですけれども、
ずっとこれまでの2018年ぐらいから取られているグラフを見てみると、
2020年の第2クォーターぐらいでぐわっと上がってきた頃だとか、
そこから2021年の第4クォーターぐらいまでと今を比較しても、まだ低い水準ではあるんですよね。
なので、そんなにまだめちゃくちゃみのしろ金金額がガガガッと上がってきているという感じではなさそうっていう風には、
もうちょっと見ておかないといけないかなという感じの水準ではあると思います。
上がったり下がったりしながら、なんとなくここら辺で相場として落ち着くのかもしれないね。
この辺の変化は多分上がり下がりはずっとあるんじゃないかなと思ったりします。
そうですね。
前回は紹介しなかったところなんですけれども、
このコーブウェアが確認できた被害のランサムウェアというのをランキングをつけていて、
マーケットシェアという形で割合でランクをつけているんですよ。
これだいたいロックビットがずっと多かったりしてたんですけど、
今回ですね、これ1位から5位まで紹介してるんですけども、
今回ロックビットがランク外になって抜けたんですよね。
ここ見てる範囲というのもあるからかもしれないですけども、
それに代わってバイスソサエティっていう、
これも随分前から言いますけど、このグループがランクインしてきたというふうになって、
42:00
これも僕もグラフとか集計とかのやつで僕がツイートしてるやつあるじゃないですか、月に1回ぐらい。
はい、やってらっしゃいますね。
あれにはこのバイスソサエティ入れてないんですけど、一応見てはいるんですよ。
件数とかこれぐらいか増えてるな、結構いっぱい出してるなとか見てるんですけど、
結構リークが目立ってます、このグループ。
あとはちょっと前にも紹介しましたけども、
ビエンビエンっていうグループとか、あとロイヤルっていうグループ。
この新しめのグループも結構件数を伸ばしてきていて、
過去30日とかで見ると、ロックビットに次ぐらいの件数になってきてたりするんですよね。
新興グループがちょっと件数を上げてきているかなっていう感じがするので、
ちょっと僕も記録取る範囲を広げた方がいいかもなぁなんて思い始めました。
映ってきているのかもしれないなっていうのがあって。
ロックビットに関しては、ちょっと前にロックビットのアフィリエイトが逮捕されたとかっていうのがあって、
ちょっと向かい風気味なのかもしれないなっていうのがあるんですよね。
結構その割合を占めているアフィリエイトが逮捕されたりとか、起訴されたりとかっていうのがあると、
一気にその人の分が減るわけじゃないですか。
そうですね。
そのそこが減ってきてくると、他のところも見解かないと、
減っている分だけずっと追いかけてたってしょうがないので、
ちょっとどうしようかなっていうふうに僕も思い始めました。
このレポートを見ていて、自分のデータと比べて。
あとは興味深いなと思ったところは、アフィリエイトがより流動的になっていて、
いろんなラースのブランドを駆け持ちしているアフィリエイトももちろんいるわけで、
それは重複がかなり見られるっていうふうにレポートに書いてあったんですね。
どういうことかというと、攻撃は1回でその1組織にやってるんですけども、
2つの異なるグループから脅迫を受けているように見えるってやつです。
これ結構僕の観測範囲でもあって、例えば10月の末にロックビットがリークしてから、
1週間ほどしてスナッチ、情報の摂取したものだけで脅迫するってパターンの人たちですね。
同じ組織をリークしてるっていうのもありましたし、スナッチ結構これあって、
リビルが出した後の5ヶ月から半年ほど空いて、2つぐらい続けざまに同じ組織の名前を上げてっていう風なのもあって、
結構こういうの前からちょこちょこ見られてるんですよね。
なので、例えばロックビットとかリビルで脅迫したけど、自分たちで復旧したけど、データの使い道ないからもう1回違うところでやったろかとかっていう風にやってるのがあるのかもしれないですよね。
この辺最近ちょっと目立つなっていう気はして、ちょこちょこあるなっていう感じではありますね。
で、アタックベクターの話なんですけど、これ結構大きな変化が今回出てきました。
45:01
これまでだいたいリモートデスクトップとメールによるものっていうものがずっと混戦繰り返せて、メールが上がったらRDPが下がるみたいな交互に編んでいくような感じになってたんですけど、
徐々に伸ばしてきていたソフトウェアの脆弱性を使ったアタックベクター、初手っていう風なものが、どんどん加工してきたRDPと同じぐらいの割合になりました。
で、そのソフトウェアの脆弱性っていうのは2020年の初め頃は10%ぐらいを占めてたんですけど、今は20%弱ぐらいまで上がってきているってことですね。
で、それがめっちゃ伸びてきてるのかと思ったら、それよりも伸びを見せているものがあって、不明ってやつなんですよ。
不明が全体の4分の1、25%ぐらいを占めてるんですよね。
これは完全にわからないっていう風な意味ではなくて、こうじゃないかみたいなことを数字が高まっていることを分析してるんですけど、
マルウェアの添付とかのメール攻撃ではないものがあって、違う経路で取られた情報を使って入ってきたとかいう風なものがあって、
特定が難しいものがどんどん増えてきているとか、あとはいろんな脆弱性を使われているので、
どこから来たかっていうのがなかなか追いづらい、特定しづらいものが増えてきているので、このアンノウン、不明っていうものが増えちゃってるという風に書かれてはありましたね。
なので、インフォスティーラー系から漏れたものを使っていきなり入ってきたみたいなものもあるかもしれないですよね、この中には。
このグラフに大きな変化のもう一つなんですけど、今回初めて登場したアタックベクターがあって、すごい少ない割合なんですけど、
インターナルっていうもので、要は内通者っていうものが入ってくるようになりました、今回で。
で、あと最後ですね、ランサムの攻撃の影響を受けた企業、組織の平均規模と中央値っていう風なものがあるんですけど、
全体で見ると社員数1人から10とか、101から1000とかいろいろな区分けがあるんですけど、
1から100までの人数の割合だけで8割ぐらいを占めてしまっているという状況になっているんですよね。
前に確かその企業、組織の中央値みたいなものが下がってきてるっていう風にお話したと思うんですけど、
それが過去最高に増えたんですよね、ぐいっと。
で、250ぐらいになったんですけど、これも250って言ってもやっぱりまだまだ中小のところっていう風に考えるのが普通なのかなという風に思っていて、
メディアで報じられるようなところってのはどうしてもインパクトが大きい、大企業とか病院とかそういった分かりやすいものと、
あとは発表せざるを得ないようなところっていう風なものがあるんですけども、そういったところばかりがやられているわけではなくて、
48:00
ずっとこういう中小、数も多いですから、こういったところが狙われ続けてるってことにはそんなに大きな変化はないのかなっていう風に印象を受けました。
1から100までで8割って言った?
あ、すみません。言いましたっけ?1から100までって。
聞こえたけど。1から1000?
あ、ごめんなさい。1から1000までです。はい、1000までです。
そうだよね。中央値が250超えてるのに1から100までで8割はおかしいなと思って。
今そうですね。100って言っちゃいましたね。
1000未満のところだけが8割ぐらいっていうことか。
そうですそうです。大企業未満っていうことですね。ごめんなさい。
日本でも1000人以上だと大企業くらいの数だもんね。
そうです。100って言っちゃいましたね。すみません。ありがとうございます。
こういうところを受けると、まだまだいろんな攻撃のアサクベクターに関してもそうですけど、
あとはランサムのグループが散っていってるだとかって新しいグループが出てきたっていう変化がまだまだあるので、
これはちょっとまだ継続して3年目のウォッチを続けていこうかなっていう気持ちにもなりましたし、
やっぱりこういうアプローチ、長く見ているっていうアプローチから対岸の舵じゃないってことをやっぱりもっと伝えていかないと、
偏った情報ばかり伝わったらよくないなっていうふうなものを思ったんで、
来年の今頃ももしかしたらランサムの話これでしてるかもしれないんですが、
皆さんよろしくお付き合いいただければなと思いましたというお話でございます。
さっきのアタックベクターの不明が増えてるっていうのはちょっと気になるね。
そうですね。
いろいろさっきも言ってくれた理由はあると思うんだけど、
攻撃経路が多様化してて特定しにくいっていうのはあまり良い傾向だとは思われないというか、
増えたり減ったりっていうのはあるんですよ。
RDPだとかEメールだとかっていうのが分かっていれば対処の仕方もあると思うんだけど、
どこから入られたかよくわかんないけど最終ランサムまでやられちゃいましたみたいなやつっていうのは、
たまにあるじゃない国内の事例でも、
フォレンジックとかして調べてみたけど結局侵入経路の特定はできませんでしたっていう結論に終わってる。
至りませんでしたみたいなありますよね。
そうそう、そこまでログが残ってませんでしたとかそうなっちゃって、
報告書にはそれで結論として侵入経路が結局不明みたいなさ、可能性はいくつかあるけどみたいなのがたまにあるじゃない。
ちょこちょこ見かけますね。
あれってさ、さっきの話じゃないけど、
影響範囲がもしかしたら特定できてない可能性があるんだよね。
そうですね。
もしかしたら調べきれてないところが脱却性があったりとか、何かしらの原因があって侵入されてるかもしれないわけじゃん。
わかんないけどね。
こういう不明とかっていうのが増えるっていうのは、状況としてはあまり思わしくないね。
というふうに捉えたほうがいいような感じがするね。
何が起きたかわからないようなログの取り方、もしくは消されたもの、要はログ自体は守れてなかったっていうふうにも考えられますもんね。
51:06
とかないしは、鶴井さんが他のところでもジリアとかで紹介しているような、
割と所定からランサムが来るまでの期間がすごい空いていて、
ランサムの事案が発覚したときには、そもそもの最初が何だったかよくわからないみたいな。
数ヶ月空くとログもなくてみたいなとか。
そうそう、もしかしたらね。そういうケースがひょっとしたら増えてたりとか、
こういう不明っていうのがこんなに突き抜けて増えてるっていうのは、
ちょっと何か良くない状況が起きているというふうに思えるし、
これはその原因は何だろうっていうのは、ちょっと深掘りしたほうがいいような気がするな。
たぶんねぎさんが今ログが残ってないって言われて僕もハッとしたんですけど、
分かれへんものもどうしようもないじゃないですか、ログがない状況だと。
そういう場合でもどうするかって言ったら、もう外からスキャンして脆弱性あるかないか調べるしかないじゃないですか。
それでポコポコ見つかって、これのどれかみたいになるんでしょうね。
可能性としてはどれかかもしれないし、このどれでもないかもしれないみたいなね。
脆弱性全部対処したけども、実は認証情報が取られてて、それを使い続けて2回目が来るっていうのもあり得るってことですよね。
原因が特定できなかったっていうことは、そのスコープ外かもしれないっていう可能性がどうしても残るんだよね。
それはもちろん何やっても100%特定できるわけじゃないからさ、そうなんだけど。
でも原因不明っていうのはちょっとやっぱり気持ち悪いよね。
全部スキャンしました、脆弱性いっぱいありました。
じゃあこれ対処すれば塞がったのかと思って頑張ってやったら、実はない通車でしたもあり得ますもんね。
そうそう、例えばね。
全然システム関係なかったみたいな。
決してそれは極端な例じゃなくて、そういうことも大いにあり得て、そういう場合だからもう本当に最初からスコープが間違ってるんだよね。
だからそういうのを逃さないためにもちゃんと根本原因は何だったかっていうのはね、たどれるようにしておかないとダメだなっていうのを改めてこれ見て感じたね。
そうですね、怖いですよね。注意喚起もできないですしね、事例がないわけですからね。
ターゲットが骨粉化してるっていう話もやっぱりこの辺、原因がたどれないっていうところとなんか因果関係があるんですかね。
あるかもね。長中規模のところではそういう準備が不足しているってことなのかな、ひょっとしたら。
確かに。
そこの辺の因果関係というかね、どうなったからこういう結果になったっていうのがもうちょっと分かった方が対処の必要があるね。
そうか、なるほどね。看護さんでいうのは、それはだから割とありそうだね、なんとなくね。
54:02
感覚的に確かにそれはありそうって僕も思いましたね。
ますますそういうのが出てこない例が増えてくるのはあまり良くないことですね。
ちょっとこれは今後も要注意ですね。
じゃあランサムウォッチ期間1年延長しようかな。
なかなか終わりが見えないね、これね。
もうちょっと続くんじゃってね。ここに繋がってくるわけです。
これこそ終わりが見えないよ、本当に。
体力の続く限り、もしくは他にもっとやらないといけないということが出ない限りは、粛々と続けていこうと思います。
まだしばらくはちょっとこれはやった方がいいですね。
ありがとうございます。
ということで今日も3つのセキュリティのお話をしてきたので、最後におすすめのあれを紹介しようかなと思うんですけれども。
何でしょうか。
今日はですね、食べ物を紹介しようかなと思いまして。
アイスクリーム。
僕ね、結構ね、年中アイスクリームは好きなんですけど、
なんか結構冬場でアイス食べるのが好きなんですよね。
なんかちょっとわかるけど。
暖かい部屋がね、これから暖房も使ってきますし、
その暖かい中でアイス食べるってなんかすごいスカッとするというか。
なんかちょっと贅沢なあれだよね。
そうなんですよね。
そこで最近いくつか食べた中で、お、これはいいなと思ってリピートもしたアイスを紹介したいんですが、
もう皆さんおなじみのアイスのブランドですけど、ハーゲンダッツってあるじゃないですか。
ハーゲンダッツの新しいやつで、
ちょっと前に出てたんですけども、悪魔のささやきっていう名前のアイスが2ラインナップ出てまして、
一つが悪魔のささやきチョコレートともう一つがキャラメルっていうのが出てるんですね。
ただのアイスクリームじゃないんですよ。
これね、普通のアイスの中に、
例えばチョコレートだったらチョコレートアイスが入ってて、
そこにビターチョコレートのソースが混ぜられてて、線を描くようにね。
それにさらに上からミルクココアソースとチョコレートクッキーが入ってるのがかけられてるんですよ。
すごいじゃん。何重にも味が。
なんなんすかもう。すごいですね。
キャラメルもそんな感じなんですよ。
キャラメルがあって、ビターキャラメルソースがあって、キャラメルソースとバタークッキーが乗ってるっていう。
今これちょっと写真見たけどこれめちゃくちゃおいしそうなんだけど。
これはやべえやつですよ。
10月から売ってたんですけど、買って食べたのは最近で、
めちゃめちゃおいしいと思って、もう次の日には買いに行ったぐらいです。
ほんとだ。おいしそう。
57:01
そう、結構僕ハーゲンダッツだったらもうほんとベタにクッキー&クリームのやつだっけ?
ああいうの昔からあるやつか、サンドになってるやつ。キャラメルのサンドのやつとかを買ってたんですけど。
あるね。あれおいしいよね。キャラメルのサンドね。
そう、それを去っておいてこっちをリピートしちゃいました。
これってちなみにコンビニとかで売ってんの?
はい、コンビニで売ってます。
多分スーパーとかでもハーゲンダッツの扱いがあるところはあるんじゃないですかね。
僕はコンビニで買いましたよ。
これは食べてみたくなったな。
ほんとですか?なんかいいですよ。これほんとにおいしかったんで、ぜひぜひ食べていただきたいなと。
暖かい中でね。
寒い中で食べたら凍えちゃうよね。
そうなんですよね。それただの悪魔ですからね。
なんで家でね、家で食べていただければいいかと思うんですけど。
ハーゲンダッツもね、昔は実店舗ありましたけど今はもうないですからね。
あ、そうなの?
実店舗なんてあったんですか?
いや、ありました。新宿とかにもありましたし。
昔は結構いっぱいあったよね。
いっぱいありましたね。
それも随分前にもうないんですよ。
あ、そうなんだ。やば。
確かね、2013年の春ぐらいに日本国内からは一切なくなったんですよ。
そうなんだ。知らなかったな。
そう。最後の千葉かどっかあっちの方にある店舗が最後で終わったんですよね。
元々は店舗を出すこと自体は、ハーゲンダッツを広く知ってもらうためにやってたらしくて。
100割を終えて、普通にいろんなとこで量販店とかで売っても買ってもらえるみたいな算段が立ったのか、
それで撤退というかなくすってことをしたみたいですね、店舗を。
なるほどね。
撤退とは言われるか、店舗をなくしただけですね。
っていう戦略だったみたいですね。
なので、普通にコンビニ、スーパーで買えるっていう感じだと思うので。
まあそうね、手軽に手に入るからね。
そうそうそう、是非両方買ってください。
チョコとキャラメルと。
どっちが美味しかったか聞きたいんで。
いやでもこれね、食べる前からキャラメルの方が美味しそうなんだけど。
と思うでしょ?と思うでしょ?
いや絶対ね、両方美味しいんですよね。
分かってるわ、そんなことは。
是非お二人には両方食べていただいて、美味しかった方をシャープセキュリティのあれというハッシュタグをつけて呟いていただければ、お二人にステッカーを差し上げたいなと。
ステッカーもらえる。
ステッカーもらえちゃうんでですね、思います。
ということで、皆さんも良かったら是非食べていただければいいんじゃないかなと思います。
食べたい。
ということで、今回は以上ですね。また来週のお楽しみです。バイバイ。
バイバーイ。
59:54

コメント

スクロール