00:00
いやーどうどうもこんにちはこんにちは。
今日はもうあれですよ。
すっごい不自然なんだけど今ね。なんか普段からいつも僕が勝手に録音始めて始まってましたってやってたけど今日は初めてですよねこれリモート3人ともバラバラで。
そうだよこれさあポッドキャストってもう丸3年だけど丸3年やっててリモートで収録するの初めてってすごくないすごいですよ僕ら何の仕事してんのかなって改めて普通リモートなんですか。
いや僕でも元々リモートでやってたんですよね昔は。
だよねいやポッドキャストってさ色々あるけどゲストを呼んでやるケースの場合だと必ずしも集まらないからリモートで収録してるっていうポッドキャスト結構多いよ多いですねあとはなんかあのパーソナリティ2人あのゲストじゃなくてメインの2人が例えば言ってゲストだけリモートとかありますねあそうそうあの俺結構海外のポッドキャストよく聞いてるけどそれもリモートでやってるところ多いよ。
そうですよね。
よくよく考えたら今まで何で集まってたんやっていう。
顔が見えた方がいいとかいろいろ言ってた。
いや僕はそう僕はそうそうやっぱりそのなんかまあとかまあとかね。
でもほら今はもうそうも言ってられないじゃないですか。
そうですね。
本当にはい。
移動すること自体がもうリスクみたいなね。
ねでもあれほら今回収録も初リモートだけどさ2月3月に何回か一緒にやったセミナーとかもね無観客でやったりとか。
そうですね2回2回ぐらいやりましたね。
やりましたよね。
でなんか俺もこの新しい体験でちょっとそれもそれで面白いかなと思ってるんだけど。
なんか僕もそうなんですけどなんかもうちょっと気になったことがあって。
2回ほど3人でやったじゃないですか。
3人で3人参加して2回ほどねオンラインセミナーみたいなやつやらしてもらったじゃないですか。
やりましたね。
はいあれね2つともオフラインでやるより人が見てたって言う。
そうなんですか。
でもあのほらオフラインだとやっぱりで箱のキャパシティの問題でさ制限あるけどオンラインだとねその辺がもうちょっと緩いから。
そうそうそうあとはあれですねあの実際に物理的に来れない方が見れるって言うのです。
なんかあの反応あのほら終わった後のアンケートとかフィードバックとかちょっと見せてもらったけども遠隔地から参加してる方いたよね。
そうですね。普段は見れないけど良かったみたいな。
そう特にその辺が色濃く現れたのが自己対応でしたね。
ですね。
今までその東京開催ばっかりやったけど初めて見れて良かったみたいなフィードバックがいくつかありましたよあれ。
03:05
ね今後もあのまああのその場でやるのもありだけどやっぱ中継とかやるとねそれだけしか参加できない人っているから良かったよね今回やってみてね。
そうなんですよでもねネギさんその考えはダメですよ。
えダメ?
ありえないです。今までの僕らの流れからするとありえないですね。
いやマジですか。
はいあの地方からもね東京以外からも見れて良かったというレスポンスがあったんであればこのコロナの騒ぎが落ち着いて収束見つかわからないですけどした時にはやっぱりこう大阪開催、名古屋開催、福岡開催を自己対応アワードやっていくっていうロードマップが持ってきてますからね。
確かに地方にニーズがあるからむしろそこに行くべきだと。
行かないとね。
そうそうそう東京一極集中は良くないというのが最近出てきてるじゃないですかそういうことですよ。
なかなか不自然な話の回転になってるけど大丈夫ですか?
そんなことないでしょ。
そんなことじゃないですよ。
まあドットキャストとしては初めてリモートってことでね。
そうそうそうそんな感じですけどどうですかお二人は?
最近の生活はリモートワークとか?
やっぱりリモートワークになりましたよ。
もうずっと家というかオフィスにはいってないんですか?
ずっとというか行く用事があれば行ってるけど僕は3月からほぼリモートが基本ですね。
そうですね僕も3月もどうしてもオフィスに行ってやらないといけない打ち合わせとかぐらいで数回かな?
もうずっと中頃。
それずっとじゃないですか。
そういうこと?
俺も今思ったそれ。
月何回って割と。
今までと変わんないじゃん。
前から聞いてたよ。
え、ほんまや。
だからある意味僕が先を行き過ぎてたみたいな感じですよね。
そうですね。
働き方改革、そしてプレミアムエブリディですからね僕。
いつ何時こういうこと起きても大丈夫ってことよね。
そのための準備をしてたんです。
検証をしてたんですよ。
でも世間は急にやれテレワークリモートワークとかって言ったからバタバタしてる会社はバタバタしてるみたいよね。
そうですよね。
需要が増えてるじゃないですか。
いろいろ見るとネットワークの帯域がだいぶ増えただろう。
サービスへの受注が増えただろう。いろいろ見かけるからね。
やっぱり僕の周りで聞くのはリモートワークする仕組みはもちろん導入してたけど、いざやってみたらこの人数受けられへんっていうのが多いみたい。
06:02
それはありますよね。みんな遅くなっちゃったりとか。
さすがに全員つなぐのは想定してなかったみたいなのがよく聞きますよ。
でも全社員基本自宅でみたいなことを言ってる会社とかって中にはあるじゃない。
ありますね。
ああいう会社ってちゃんとできてるのかね。すごいね。
結構早期にやり始めたところもあったじゃないですか。
2月末3月頭ぐらいからやってるとかありましたよね。
そうですね。比較的早くやってるところとかはむしろ逆に問題なくできてる感じがするような。
あんまり問題になったっていうのは聞かないんですけど、むしろ今本当にもうやばいぞみたいな時になって思い越しが追いかけてっていうところはいろんなところが泣いてるみたいな。
あり得ますよね。
僕今回のこれ受けてリモートワークの件で来年ちょっとやりたいなと思って、こういうコーナーをどっかに入れたいなっていうふうに思ってることがあるんですよ。
来年ってのは2021年?
自己対話ワードあるじゃないですか。今年も3月にやりましたけれども。
リモートワークを早くにやったところとか、前者でバンとやりましたみたいなところに表彰するかどうかは別にして、どんなふうに準備してたのかっていうのを共有してもらいたいなと思っててね。
話を聞きたい。
そうそうそうそう。よくその段階で踏み切ったなと。
かなりありそうですよね。
内容はいいけどさ、自己対応アワードじゃないじゃん。
どうかなでも自己どうですかね。事業継続的には自己対応にならないですかね。
だいぶ広いね。
ちょっと広くないすぎですかね。
ちょっと広くないすぎてるね。
でも今回サーバーのダウンみたいなのも入れたじゃないですか。システムのダウン。
入れました。
関心度合いによったらそういうのもありかなとかちょっとぼんやり。
なるほど。
話がありましたよね。台風の時こういう対応があったとかそういうのは。
そうそうそうそう。
そうですよ。
ちょっと全然話されていい?
どうぞどうぞ。
お二人はスマートフォン持ってますよね。
はい。
iPhoneでしょ。
そうiPhoneでもスマホでも。
iPhoneって言い直された。
iPhone。
iPhone。
iPhoneのことだよね。
なんでそんなめっちゃ言われんねん。
iPhoneとかでお二人はゲームされたりとかするんですか。
全然やらないです。
ドラクエウォークやってましたよ私。
本当ですか。
僕は全然やらないです。
09:01
本当ねちょっとちゃんとやって二人ともゲーム。
偽りのアリスっていうゲームがあるんですよ。
聞いたことあるそれ。
聞いたことあるやつだ。
今回のそのアワードの話で今思い出したんですけど。
やった偽りのアリス。
やってない。
ログインボーナスやってくれてたんですよ。
なんかキャンペーンやってたよね。
自己対応アワード受賞記念みたいなのでログインボーナスを8日間ぐらいやってくれてて。
それは見ましたけども。
見ましたよね。
それ僕やっててね。
レベル45まで上がったんですよ。
それがどんだけすごいか全然伝わってない空気がリモートで伝わってきた。
今全然分かんなかったんだけど。
自己対応アワード終わって2日後ぐらいからずっとやってる。
毎日起動して毎日普通にやれる範囲で全部やってるよ。
ホーチゲーだけども日々やる作業ってあるわけなんですね。
ログインしてアイテム拾ったりとかそのアイテムを使ってもっといいアイテムを作り出したりとかみたいな。
牧場物語とか前やったことあるんですけど。
はいはい。
ご存知ですか。
知ってますよ。
そうそうそうそう。
種をまいといてしばらく時間が経ったら収穫するみたいな。
そうそうそう。しばらくやると勝手に敵を倒したアイテムとか増えてくるんですよ。
お客さんがすごかったんですか。
自己対応アワードのログインボーナスはそんなに大したアイテムじゃなかったですけど。
アワードさ、5年目だっけ今回。
5年目です。
受賞キャンペーンやってくれるとかって嬉しくない。
めっちゃ嬉しい。
本当に。
めちゃくちゃ嬉しかった。
本当に。
やっててよかったですよ。
よかったよね。
本当に。なんで僕も嬉しくてインストールしてずっとやってますもん。
さすが。
だいぶ強くなったもん。
強さだけがわからないけどすごい。
作ったグループ、自分でパーティー作れるんですよ。
いろんなおとぎ話に出てくる主人公を組み合わせて。
いろいろジャンヌダルクとか出てくるんですよ。
ユーザーが何人いるのかわからないですけど、僕の作ったパーティー今1500位ぐらいまで上がりましたからね。
すごいね。わからないけど。
ちょっと伝わってない感がすごいから、そろそろ違う話にしようかな。
12:01
そろそろセキュリティの話する。
話戻しますけど、リモートワークの話しとんねん。
そこで戻るのね。
リモートワークが増えてくるっていうのは、今までITインフラ使って危険を回避したり便利にどこにいても同じ作業ができるようにっていうのは基本的な考え方じゃないですか。
そうですね。
でもやっぱり増えたら増えたで困ることというか弊害みたいなものも出てくるんじゃないかなと思ってるんですけど。
全く同じってわけでもいかないですからね。
あとは僕らのやってるセキュリティ的にもまずいことっていうのがいろいろ露見してきたりするんじゃないかなと思ってるわけですよ。
え?
これめっちゃ今話の隅やで。
結構ちょっといい喋っても。
結構今回のリモートワークっていうか、全世界的に家から出るな仕事は家でやれみたいな風潮が高まってるじゃん。
特に感染者が多いところとかね。
いろいろニュース出てるけど、例えばVPNのサービスとか、あとRDP、Windowsのリモートデスクトップの使っている数がスキャンしたら増えてたとか。
あとはチャットのサービスとか、クラウドのサービスがすごい負荷が上がってきてるとか。
単純に使う人が増えてるってのもあるんだけど、使う人が増えてるとそこ狙う人も増えてくるから。
そうですね。
連日そういう、僕らセキュリティの情報収集してるけどさ、ここのところ毎日ずっとそういう話題ばっかじゃない?
本当に。
そうなんですよね。
みんなが使い始めたツールを狙う攻撃が出てきましたとかさ。
はいはいはい。
そんなばっかりでしょうがないって言えばしょうがないけど、こういう機会って攻撃ツール側っていうか犯罪者とかそういう人たちにしてみればチャンスでもあるんだよね。
そうですね。
今までも脆弱性はあったけど、調査されてなかったものが今露見してたりとか。
そうそう、今までも攻撃はされてたけど使う人が少なかったからあんまり目立たなかったけどとかね、そういうやつがいっぱい増えてきてさ、なんかちょっとね、いやらしいけどそういうもんかなって思うしかないよね、これね。
そうなんですよね。なんかいろんなこれインストールするときに情報側とかMac版にこういう脆弱性がみたいなニュースばっかですよね、今。
なんかかんこさんそんなへんで気になることがあるんじゃないですか。
これちょっと収録日とか言っていいんでしたっけ。
15:01
全然いいですよ。
言っていいんでしたっけ。
なんかブログ返したよね。
ピオログっていうサイトが更新されたんですよ。
さっき?
さっき。
読みましたよもう。
ありがとうございます。実は私も今まさに話されていたやつで気になっているというか、興味が引いているトピックがあって、リモート会議とかセミナーとか私たちがやったようなセミナーであるとか、あと教育機関とかも学校休校になっちゃってるんで、
オンラインで授業みたいなことをやったり、講義とかやったりっていうそういった取り組みが増えてるんですけど、使われてるサービスでZoomって呼ばれているサービス、そういうサービス名でいいのかな。会社名もZoomなんですけど、Zoomっていうそういうサービス、ウェブ会議サービスが非常に注目というか使う人が増えていて、
ビビったんですけど、去年の12月末時点で、だいたいこのZoomっていうサービス使っている方っていうのが、無料給料合わせて参加している方の人数が1000万人ぐらいだったらしいんですよ。
それは登録ユーザー数?
Zoom自体は登録しなくても実は使えるんで、多分その辺の人数も加算してると思うんですけど、それが1000万人ぐらいっていう数が出ていて、じゃあ今どうなんだって話で、3月時点だとかなりの数、2億人を超える人数が利用している。
桁違いですか。
こんなに急成長というか急増するサービスってそうはないんじゃないかなっていうレベルで。
そうですね。
こんなに爆発的ヒットというか。
3、4ヶ月でってことでしょ。
そうですね。よくむしろZoom側のインフラ側はそれに耐えられた。
僕も今思うけど、いきなりこんだけ増えても耐えられてるんですもんね。
あんまり落ちたって話は聞かないんで。
元々注目はされてたよね。
上場とかでも。
成長見込みがあるっていうか。
そういう感じではあったよね。俺も元々使ってたしね。
そうなんですか。
使ってたよ。会社の配信とかたまに使ってたし、ビル側でも使ってたし。
そうなんですね。
Zoomって最初見たとき、車かなと思いましたもんね。
それCMだろなんか。
自動運転とか思いました。
他にそんなCMあった気がするけど。
ありましたね。
18:01
今Zoomは非常に使ってる人増えてるんですけど、やっぱり使ってる人増えてるからなのか、
それを狙っていたずらというか、悪質な行為であるとか。
それこそ注目を浴びてるので、セキュリティの研究者、リサーチャーの人たちが問題がないかというのを厳しくチェックしたり。
色んな問題が。
連日のようにこんな問題があった、あんな問題があったっていう形で報告が上がっていたりもするんですけど。
特にちょっと嫌だなと思ったのは、これあんまりまだ国内では聞いたことないんですけども。
オンラインの会議、実際開かれてるわけなんですけども。
その会議中に嵐行為っていうんですかね。
昔も掲示板とかチャットサービス。
妨害みたいなやつですよね。
あったと思うんですけど。
そういった嵐行為、海外だとズームボンビングとかって呼ばれていたりするらしいんですけど。
ズームレートとかね。
その嵐行為が結構頻発しているらしくて、ツイッターとかでもハッシュタグで検索するとこんな被害があったっていうのがわりと報告多数上がっていて。
見たら結構ひどいやつもあったりはして。
どんなやつがあるんですか。
よくあるパターンとしては。
アノテーション、注釈機能っていうのがあるんですよ。
書き込みをしたりとかできるような。
ホワイトボードみたいなやつですね。
その書き込みの機能を設定次第では参加者の人も使うことができて。
例えば、大学の講義とかで、教授の人が講義している最中に、もともとの参加者なのか、それともたまたま見つけて入ってきたのかっていうのははっきりはしないんですけど。
その参加者の一人が、講義として表示されている画面に対していかがわしいことを書いたりとか。
何かバッシングとか差別的なこととか、下ネタとかそういうことですかね。
あとは自分の画面を共有したりもできたりするので、画面を唐突に共有してポルノビデオを流したりとか。
当然そうなったらもう講義どころじゃないんで。
やり方によっては、講義をしている人を退出することができるんですけど。
事例によっては名前を変えたりとか、この辺設定したいなのかなと思うんですけど。
消しても消してもどんどん名前を変えて参加したりとか。
あと、実質一人なんだろうとは思うんですけども、仮想的に複数の関係を立ち上げて、何十人という形で一気に押し寄せて。
21:05
消してもキリがないみたいな形で、結局イベントが中止になっちゃったりとか。
そういう事例がある。
妨害ですよね。
そうですね、かなり妨害ですね。
やってる側はたぶんたわいもないイタズラのつもりなのかもしれないけど。
たわいもないのかもしれないですね。
昨日か今日とかも出てたけど、海外とか結構掲示板にスレが立ってた、たくさん。
みんなでZoom襲撃しようぜっていう。
祭りみたいな。
突撃用のスレとかあるんですね。
そういうのがいっぱい立ってるんだって、8ちゃんとかに。
昔あったようなのと同じで、日本でも2ちゃんとかであるのと同じで、みんなでここ行こうぜみたいなやつで晒されてるんだよね、ZoomのIDとかさ。
そうなんですね。
そういうのでトロールが流行ってるっていうか、みんなほら暇じゃない?家にいて。
確かに。
外出れない。
ずっといるわけですからね。
それも良くないなと思うけど、そういうやってる側おそらく、分かんない、中にはちょっと悪質なのもあるかもしれないけど、大半はそういうたわいもないイタズラのつもりなんだろうけど、やられた側たまたまじゃないっていうね。
そうですよね。
だからそんなに情報漏洩とかみたいなものじゃないにしても、やっぱ新たな脅威というかそういうのが出てきてるなっていう感じがしますよね。
嵐だよね嵐。
そうですね。
で、ちょっと怖いなと思ったのは、朝方クリティブスオンセキュリティっていうブログが更新されて、同じくこのZoomのミーティングを晴らされてるとかその辺のネタを掲載されてるんですけど、ウォーダイアリングをしてみたっていう検証記事が上がっていて、
これ去年もチェックポイントの人が7月ぐらいに総当たりでZoomの会議に有効なものがあるかっていうのを検証するってことをやられていたんですが、
実際使ってみた方は分かってると思うんですけど、Zoomの会議用の識別情報ってランダムではあるんですけども、数字なんですよね。これちょっと変えられるんですかね。数字が発行されて9桁から11桁っていう話なんですけども、要はその数字が当たってしまえば、
場合によっては会議に一つ参加できる。
でもあれですよね、パスワードで保護されている会議は大丈夫ですよね。
パスワードの機能が、どのタイミングだったか忘れちゃったんですけども、基本有効になってるんで、その設定を自分でいじめられない限りは仮に会議用のミーティングIDって呼ばれてるんですけど、そのIDの数字がバレてしまったとしても、いきなり参加されるってことはないはずなんですけども、
24:05
今日ちょっと気になったのは、クレブスの記事の中でまた別の方が検証されている記事が出ていて、これが実際検証用のツールを使って、防ダイヤリング対策を行ったって話もあったそうなんですけども、
Torを使ったら割とその辺、また同じように総当たりできたっていう話があったりしていて、それ自体はどうかなって話はあるんですけども、実際に総当たりしてみた結果、1日の総当たりのチェックで、パスワードで保護されていないZoomのミーティングIDだと思うんですけども、
そのIDを2400件検証。1時間あたり鳴らすと平均して110件ぐらいの会議を発見していて、成功率で言うと14%っていう話。結構かなり高い数字が出て、会議に参加できてしまうので、会議の内容とかも見えてしまって、
場合によっては主催者である、組織の名前、主催者の名前であるとか、どんな会議なのかっていうのを取り上げられるトピックの内容が確認できてしまったという話もあって、これはちょっと嵐とは別で、情報が実際漏れてしまう可能性があるというところもあって、
やっぱりちょっとこの辺注意してやらないといけないのかなと。
多分使う側がそれ意識してないとダメなんだよね。今みたいなブルートフォースで層渡りっていうのもあるけど、もともとIDの空間が狭いっていうのもあるけど、スクリーンキャプチャーで自分で晒しちゃうっていうケースもあるじゃん。
なんかほら、だいぶ注目を浴びてたけど、イギリスの首相がバーチャルで閣議やった図とかって書いてて、そこにZoomのIDが出てたとかね。
なんか昔からありますよね、それ。
パスワード貼ってたのが映ってるとかね。
そうそう、一緒一緒、それと同じだと思う。だからそのZoomのID知られちゃうと、パスワードで保護してないと誰にもつなげちゃうよっていうことをちゃんと知ってて使ってないからってことだよね、多分ね。
本当そうですね。で、今日、実は記事いろいろ検証してるにあたって一人会議ずっとやってたんですけど。
一人会議。
一人オンライン会議ずっとやってたんですけど、ちょっと怖かったのが、アプリ版?アプリ版のZoomとかだと、そのIDの下にパスワードとかも表示されていたりして。
27:02
生で?
生です、生です。
基本ちょっと既定値だと数字だったと思うんですけど、その数字であるとかパスワードの文字そのまま出ていて、これちょっと怖いなと思ったんで、ないとは思ってないんですけど、やっぱりちょっとその辺取扱い注意したいなと。
スクリーンショットで晒さないにしても、例えば誰もが見かけるような外のところでやっていたときに、後ろからちょっと見てもそれバレてしまうわけなんで、その辺ちょっと怖いなとは思ったんですよ。
確かにね、つなげないと思ってたみたいなやつとかも昔からありますよね。
映り込んでただけじゃなくて、クラウドの共有範囲が全公開でしたとか自治体とかでもあったじゃないですか、一時期。
ありました、ありました。
Googleドライブのやつとかね。
ありましたね。
その辺はちょっと自分たちがつないでるやつが他の人からつなげないのかっていうのはちゃんと検証してほしいですよね。本当は歴史繰り返されすぎやなと思うんで。
今回みたいに本当だったら、例えばそういうのをちゃんと導入するときには検証してっていうプロセスを踏むところが、もう今回急だったからさ、みんなバタバタバタバタしちゃって、そういうのがあんまりちゃんとチェックしないで使っているっていうのが多いんじゃないのかな。
手順とかは普通用意された上でやりましょうみたいな話になるんですけど。
パスワードで保護してないのが結構多いっていうのもそういうのじゃないのかな、わかんないけど。
そうですね、今後もそういうのいっぱい出てくるでしょうね。
なんかZoomはね、他にもこのタイミングでやたらといっぱい叩かれて、ちょっと若干見ててかわいそうな感じで。
でもやっぱりユーザーが増えたものは狙われるっていうのはずっと昔からですよね、Windowsしかり。
でもほら、それで昨日だか一昨日だかにブログ書いてたけど、しばらく新規の機能開発は凍結して、もうセキュリティとプライバシーで注力してまわすみたいな宣言出してたからね。
リカバリーできればそれでいいんじゃないかなと思うけどね。
それが上手い方向に向けばいいかなと。
なんかもう辿る道はどこも一緒ですね、そういうのって。
マイクロソフトもWindowsサーバーのやつで新たなやつ止めて、とりあえずまずセキュリティを全部やるんだとかってビルゲーツが昔言ったりしてましたけど。
同じ感じですよね。
でもこれを機械にね、なんかその自分たちが使ってるリモートワークのシステムって本当に安全なんやっけとか、パッチって大丈夫なんやっけみたいなものを改めて見直す機会になってほしいなと思いますけどね。
確かにね。これ多分Zoomだけの問題じゃなくて、たまたますごく目立っちゃったからさ、みんなで注目されちゃって問題が紛失したけど。
他でも多分あるからね、似たようなことはね。
そうですね。Zoom以外は別にリモートで会議するツールたくさんありますからね。
30:03
他のオフィスリモートワークの手段であったりもそうですけどね。
その辺は今後も注目しつつ、クラウドサービスのフィッシングもこれよりも増えてくるだろうし、クラウドでメールとか使ってると、家の普通の自分のコンピューター使ってアクセスできるような環境で仕事してる人も注意が必要だと思いますね。
保護されてない環境で仕事しないといけないっていうのはあるかもしれないんで。
確かにね。
早く落ち着いてほしいですけどね、この状況ですね。
まだまだかかると思いますけどね。
まだ数ヶ月かかるでしょ。
ちょっとすぐ来週解決するとかっていう状態じゃないですよね。
ないですね。僕の中では一旦ゴールデンウィーク開けた後どんな様子かぐらいかな、まず1個目って感じですけどね、僕思ってんのは。半年、1年のスパンかなっていう感じですね。
そうですね。
だから今のこの新しい状況に早くみんな順応して、新しいツールとか環境とか新しいリスクに早く慣れないとダメだと思うよね。
そうですね。焦らず粛々とって感じかな。
そうね。
そんな中ですね、僕がちょっと気になるやつがリモートワーク以外でもあったんでその話していいですか。
いいですよ。
ちょっとなんか久しぶりに、久しぶりにって怒られるんですけど、ちょっとちゃんともの調べたぞみたいな。
ひりひりしたの?
ひりひり仕掛けたみたいな感じ。
いやいや、結構僕いろいろ今もいろんなこと調べてるんですよ。あまり言わないけど。
誰もやってないとは言ってないよ。
この間のあのポッドキャストの内容を受けてまいたアタック?
前回僕が紹介したやつね。
そうそうそうそう。ちょっと僕は見たことはあるけどそんなに注目してなかったんで、ネギさんが教えてくれたじゃないですか。
はいはい。
それであのちょっと自分なりに説明する文章を作って会社の人に共有したりとかね。
お、すごい。
それ公開してくださいよ。
え?
ブログ持ってませんでしたっけ?
ブログ持ってるけど持ってたわ。
いやなんかちょっと今作りかけなんですけど、こういう項目があってみたいなのと、あと実際に使ってみたらこんな感じみたいなものやろうかなと思ってるんですよ。
いいですね。
前回紹介したのもやっぱりね、これ今後もっと使われるケース増えてくると思うよ。
やっぱり実際使ってみて思ったんですけど、やっぱり分かりやすいし、やっぱり一番大きいのは共通の言葉として使えるってことですね。
そう、そこが大きい。専門家だけじゃなくて一般の人向けにもね、同じフレームワークで同じ言葉で伝えるってのがやっぱりとても重要なんで。
33:10
今変わったことがないからね。
ないですね。なんか説明するときにここのこれっていうのをお互い共通で見れるものがあるってやっぱり大きいし、やっぱりすごくよくまとまってますよ。
分かりやすいよね。
そう、だからそういうのをもうちょっと日本語で広めるってこともしないといけないなっていう機会をね、もらえたかなと思いつつ、その話を今日するわけではないんですよ。
そうですね。
今日は何の話ですか?
僕が気になったやつは、皆さん二人ともご存じだと思いますが、ガマレドンって知ってます?
ガマレドン。
あれですよ、キッチンお手入れするやつではないですよ。
それはマンマレモン。
よく分かりましたね。
いや、ちょっと分かんなかったです。よく分かりました。
すぐ分かるわ、そんなの。
あんまり見かけへんから分かるかなと思ったんですけど。
いやいや、付き合い長いから。
ガマレドンっていう標的型攻撃のアクター、攻撃者グループがいるんですよ。
なんとか出会ったよね、それね。
2013年ぐらいから活動してるらしくて、ちょっと最近また動きがあったんで、トレンドマイクロのブログにも書かれてたんですけど。
それちょっと気になりました。
それで彼らが使ってくる攻撃が日本の国内でも観測されてるっていうのがきっかけで書かれた記事なんですよ。
ただちょっと見てると、このブログ内にも書いてあるんですけど、流れ玉じゃないかみたいなことも書かれてあるんですね。
それってさ、そのブログ書かれたのってこれまでは日本ではあんまり観測されてなかったけどっていうことだよね。
ウクライナの政府機関に対してよく集中的に攻撃してたグループなんですよね、これ。
それで流れ玉かもしれないけど、ちょっとそこはわかんないんですけどってことで書かれてあるブログなんですけど。
僕が気になったのは、彼らがどこをターゲットにしてるとか、日本を実際にターゲットにしてるのかどうかっていうことも気にはなるんですが、そうじゃなくて、彼らが使ってる攻撃手法がちょっと気になったと。
新しくはないんですけど、昔の2017年とかにSyscoがブログでその攻撃手法を取り上げたりとかしてるので、新しいかどうかって言ったらそんな新しくはないんですけど、そんなに取り上げられてこなかったパターンかなっていう感じのもので、
テンプレートインジェクションっていうのを使ってくるんですよ。
テンプレートインジェクション?
テンプレートインジェクション。どういうものかっていうと、メールで攻撃してくるんですよね。よくあるパターンで。オフィス文書が添付されてるんですよ。ここまで見ると、エモテットとかと一緒じゃないですか。
36:03
そうですね。よくあるパターンですよね。
エモテットの場合だと、いろんな手を返しなおかい、いろんな文面で来ると思うんですけど、くっついてくるテンプファイルって、だいたい僕が見たものだとワードかPDFなんですよ。
PDFも開いたら結局ワードが落ちてくるリンクになってるだけなんですけどね。そのワードの中身には何があるかっていうとマクロが入ってるんですよ。エモテットの場合はね。
テンプレートインジェクションの場合は、一番初めの初手の攻撃のオフィス文書の中には有害なものが入ってないんですよ。マクロが。
そこが大きな違いってことね。
そこでテンプレートインジェクションって何かって話なんですけど、送られてくる、例えばDocXとかが添付されていて、その中に書かれてあるそのXML文書のところにリレーションシップっていう項目があるんですよね。
そこにターゲットとターゲットモードっていう属性をくっつけることができるんですけど、ターゲットモードエクスターナル、要は外部になってて、ターゲットが外部のURLになってるんですよ。
開くと、インターネット上に置かれてあるテンプレートファイル、ドットドットとドットドットXっていうファイルあると思うんですけど、それが読み込まれてるんですよね。
読み込まれたそのファイルの中にマクロが入っていて、VBSをドロップして、そこからC2との通信始めるんですよ。
攻撃者が自分で用意したテンプレートをユーザーに読み込ませて、実行するからテンプレートインチェクションと。
そうそう、インターネット上から読み込ませるっていうやつなんですけど、これのやらしいところは、例えばエモテッドだったらマクロが付いてるので、マクロがあるオフィス文書、例えばWordでもExcelでも何でもいいんですけど、それを引っ掛けて止めちゃうとかっていうソリューションっていうのがよくあるんですよね。
メールのゲートへのところの製品で受信したときにテンプルファイルをチェックするとかそういうことね。
あとはマクロ除去するとかっていうものはあるにはあるんですよ。なので入り口の対策でほぼほぼ止められるんですよね。
あとはマクロとかほとんど使わない組織、使わない外部から送られてくるファイルに使わない組織、使わない部署とかだったら一律ブロックとかっていう分かりやすい対策をやろうと思えばできたんですよ。
でも今回の場合はそれがくっついてないので一旦ユーザーに届いてしまうんですよね、回避されて。そうなってくると出ていくときにURL内にドットドットとかドットドットXファイルみたいなものがあるかどうかを見ないといけないな、プロ機種とかで見ないといけないっていう対策の仕方が変わってくるなっていうところがすごい興味深いなと思ったやつですね。
すり抜けた後の端末というかエンドポイント側で何かするか、その出ていく通信を捕まえるか、対策ポイントがちょっとだから後ろにずれるわけよね。
39:08
でもまあ外部からね、そのさっき言ったテンプレートファイルドットファイルドットドットMかファイルを読み込むことってまあまあないんで、そういったものがそのブロック設定になってるかどうかって改めてチェックしなきゃいけない項目になったかなっていうところですね。
ああ、そっか。だから外部から読み込むファイルってかテンプレートが読み込まれたらロックとかすることができなくはないのか。
できなくはないですね。なんでまあその最悪開いてしまったけど、あの外に行くときに止めるってことができるんで。
そこで見ろと思えば見れるかなと思います。
ちょっとやらしいね。
ちょっと怖いですね。特に今なんかまああの社旗というか組織から端末配っていれば、端末側でそういった防御ってできるかもしれないですけど、自宅のパソコンとかになると、
そこなんですよ。
見えるの?例えばフィルタリングやってるからなんとかなるだろうみたいに思ってるとそこ通り抜けちゃって、自宅のPCで下手したら被害を受ける可能性って。
そうなんですよね。だから会社のネットワークを使って会社のVPNから会社のプロキシ出ていってるならいいんですけど、自宅のネットワークだったら多分ブロックなんか誰もしてないと思うので基本的に。
そうですよね。
その辺が抜け道になるのも嫌やなっていうふうにはちょっと思いましたね。
まあでもなんか僕いくつかそのサンプル見てみたんですけど、両方2つ見つけたんですよ。多分これこれこれが最近使われたやつやろうなっていうそのC2が共通やったやつのファイルを2つ見つけたんですけど、両方ともねキリル文字のファイルで。
日本語に訳すと情報請求っていうファイルとのワードファイルと、あとハンガリーのウクライナ大使館っていうタイトルのファイルでしたね。
ただまあその標的型だからどうとかっていうよりも、これがそのエモテットとかに使われ始めるっていうふうになると誰にでも関係のある話になるので、ちょっと気にした方が良さそうな感じはするかな。
っていうところがめちゃくちゃ気になってヒリヒリちょっとしてました。
なるほど。俺ちょっとそれあのちゃんと追っかけてなかったんだけどさ。
はいはいはい。
そのテープレートインジェクション自体は前から知られた手法だとしてあんまり使われてないの?
僕はあのあんまり聞いたことないですね。
あ、そうなんだ。
ないことはないと思いますしそんなにね難しい手法でもないから。
そうだよね。
誰でも使う、そうそうそう。できると思うんですけどあんまり見たことないですね。
うーん。
僕も本当は2017年ぐらいのそのSyscoのブログを読んだことぐらいしか多分目にしたことないですあんまり。
うーん。
じゃあまあもしかしたら使われてなかったのかもしれないねあんまりね。
あんまり使われなかったのかもうマクロでピッてやれば引っかかる人いるからそれでいいやってやってただけなのかはそれは分からないですけど。
42:02
うんうん。
確かにバランキ元がテイクダウンとかされちゃうと一斉に攻撃する側からしたら止まっちゃいますからね。
そうですね。
まあだから攻撃者としては多分乗っ取ったサーバーとかをリダイレクターとかにするっていうことをするかもしれないですね。
ああなるほど。
大元のファイルを置いてるところテイクダウンされても行き先変えられるようにするとかってフィッシングでもよくあるじゃないですか。
ありますね。
そういうふうなやり方。
そうそうそうそうそういうこともしてくるかもしれないんでちょっとまあ確かに看護さん言うみたいにテイクダウンされるっていうのは攻撃者のデメリットですよね。
そうですね。
ファイル開いて完結しない。
ブログが開けばそれで済むっていう話だったんでしばらく。
もしかしたらそれで対策が少し進んできたっていうふうに見透かしてなんか少し手をかえしなおかえじゃないですけど。
そうですね。
こういうのも使ってくるかもしれないなってところですかね。
ちょっとこれは気になって久しぶりにヒリヒリしてレポート自分で作っちゃいました。
公開はしないしないですけど。
しないのかよ。
ちょっとねなんか最近あの結構いろいろなんかオフラインで文章いっぱい作ったりとかしてるんですけどこれどこで公開しようかなみたいな結構多いんですよね。
まあそういう場がね。
ブログ離れですよね。
釣りさんのブログ離れ。
ちょっとよくないなと思いながらでもよくないなと思いつつもやっぱり最近やっぱりねセミナーとかの機会も減ってくるからね。
ちょっとどっかで出す。
あれだけじゃなくてねこのあのポートキャスト以外でもちょっと出すようなチャンネルを作らないといけないなっていう課題を改めてね思いました。
あれはいいんじゃないですか。
YouTubeでいいんじゃない。
なんでYouTube。
編集大変やもん。
重いね。
まあちょっとなんかねあのでもあれですよその出す場が少なくなってきてるなっていくなみたいな思いつつもこうやって今ほらあのオンラインでポートキャストの収録できてるじゃないですか。
はいはい。
だからなんかちょっと本当にそんな短くてもいいからなんかちょっと今やるみたいな感じで気になったやつこれみたいなんでやってもいいんじゃないかなと思うんですよ回数増やすっていうことですけど。
今月1回ですけどより集まりやすいというか話し話す場がすぐ持てるんじゃないかと。
そうそうそうそうそうでやっぱりその外でれないとかっていう人も多いからなんかね時間も手余しちゃうかもしれないしリモートワークやと音楽聞きながら仕事とかポートキャスト聞きながら仕事とかってしやすいかなと思うのでそういうコンテンツ提供としてはいいのかなってちょっと思ってました。
毎日やりますか。
毎日。
極端だなおい。
毎日毎日か。
45:02
毎日はやめよう。
まあまあ思いだったらやってもいいかもね。
そうそうそうそうちょっとこれ気になるよね。
じゃあやろうかみたいな。
なんかその誰か1人がなんかこの1個のネタ気になったみたいな風な話でやって、その2人がその質問するだけで終わりでもいいと思うんですよ。
それはあるかも。
前に1回ポートキャストでもさ、なんかもう緊急でこのネタでやろうぜみたいに集まってやったこともあるし。
あるある。
リモートなのだからすぐできるしね。
そうそう。
YouStreamとか昔やりましたよね。
ネギスさんね。
やったー。
そういえば。
YouStreamやってたんですね。
いや、YouStreamでITメディアでしたっけあれ。
ITメディア。
で、なんかアノニマスについてみたいなやつやりましたよね。緊急で。
あれはね、前日にやったんだよ確か。
そうでしたっけ。決まったのが前日でしたっけ。
前日にってのは違う。決まったのがもう前日だし、じゃあ明日やりましょうって言ったんだけど。
そのやった日が確かその次の日かなんかがさ、あのほらオペレーションの日かなんかじゃなかったっけ。
あーそうだそうだそうだ。デイオブアクション的な日だったんですよね。
そうそう日本のさ確か。
オプジャパンの。
あーオプジャパンですか。あの時ねそう。
そう。いやいやいやいや。
あのYouStreamめっちゃ見られたんだよね確かね。
千人超えてましたね。
すごいですね。千人超えて。
ある意味あれがもう僕らのピークですね。
ほらほらほらほら。
まあまあでもフットワーク軽くやっていきましょうよ。
そうですね。できるときは。
できるときは。どうせいい日いますしね。
なんかいけますね。
どうせって。
え?
まあね。あの気分転換みたいな。
そうそう聞く人もやる側の僕らもね。
そうそう。いやでもねあのこういう時だからこそだけど、正しい情報の提供とかさやっぱ大事よね。
そうですね。本当にそれは思います。
いやもう本当に有事ですからマジで。こんなちょっとおちゃらくなってますけどね。
そうそう。あの攻撃者側ばっかりさ、なんかこういうのに乗じていろいろやってくるので、黙ってみとく筋合いはないんで。
ないないない。
それやっていきましょうよ。
やりましょうやりましょう。で、今日はねぎしさんの話はなんかあるんですか今日は。
え?特にないけど。
あれ?ない?
特にないけどさ、あのちょっと小ネタだけど、小ネタっていうか、脱談していい?脱談っていうか。
4月1日ってエイプリルフールじゃない?
そうですね。
今年はほらあんまりこういうご時世だからさ、みんなちょっと嘘をやめようぜみたいな。
そうですね。ややこしいですからね。
雰囲気だったけど、まあそれとちょっと関連してね。4月1日ってクラウドフレアが毎年新しいサービス出してるんだよね。
48:05
はいはいはい。
2年前はほら1111っていうDNSのサービスを出して。
やってましたね。
去年は、去年はなんだっけな。去年はiOSのサービスだったかな確か。アプリを出しますとかっていうね。
まあなんか毎年さ、エイプリルフールにやるけどこれは冗談じゃありませんみたいなそういうブログ書いてるんだけど、今年も出したよね。
そうなんですか。
見てない?今年は。
全然信じませんでした。
今年も出してて、今年は何やったかっていうと、大したサービスじゃないんだけど、1111のDNSのサービスのファミリー版っていうのを出して、1112っていうサービスなんだけどさ。
刻んできた。
あと1113ってのもあるんだけど。
もうその流れなんですね。1個ずつ。
これはね、リモートワークする人とか家で勉強とかさ、今学校が休みだから家で勉強する人とか結構多いじゃない。
家族向けにマルウェアのブロッキングとか、アドルトコンテンツのブロッキングなんかをしてくれるDNSのサービスを提供しますと。
なんかそういうブログが出てまして。
なんかちょっと面白いなと思って。
終わり?
いや、みんな知らないでしょ。
知らなかった。僕も全然知らなかったです。
どっちかってさ、僕らってあんまりそういうブロッキングとかされちゃうと困るっていうかさ、いろいろ調べる。
できるだけそういうブロッキングもフィルタリングもないまっさらなやつが助かるわけだけど。
世の中一般的にはそうでもないんで。
そういう守ってくれるサービスっていいなと思ったんで。
ぜひ家庭で使うときにこういうのを使おうと思ったら、プロバイダーのDNSでもそうやってくれてるところは結構あるけど。
ちょっと使ってみてもいいんじゃないかなと思って。
確かにそうですね。そういう観点抜けがちですよね、僕ら。
そうなんだよ。
良くないなって今思いました。
よくよく考えたら、そういうのは止まってるものみたいな感じで考えちゃってるでしょ、僕ら。
そういうのをやめた方がいいなって思いましたね、このネタで。
そうそう、そういう視点も大事かなと思って。
確かに。
僕も昔検証で家にプロキシー入れてコンテンツフィルターの検証してたんですよ、家で。
鎮卒の頃。
だいぶ前だね。
だいぶ前ですね、17年くらい前でやってて。
51:05
家でプロキシー入れてブロックするかせいへんかとか、ルール変えたりとか、レポートですよね。
月に1回とかの利用状況とかを出してくれって言われる仕事があったから、検証してたんですよ。
でも家でね、頭乾かしながらでも構築できるぐらいになったんですけど、僕の仕事が全く進まなくなりましたもんね、ブロックされすぎて。
僕が普段見てるサイトの9割以上が見れなくなりました。
ひわいなサイトばっかり見てたもんね。
ひわいなんじゃなくて、ひわいなのも見てたかもしれん。でもどっちかというとジャンル的に言うとハッキングとかね。
なんか攻撃コードとか。
そうそうそう、そういうのに引っかかってしまって止められるみたいなのがよくあったなっていうのを思い出しました。
一般の人はアクセスしないもんね。
まあそうですね。なんかシーサーとドットニンジャーも前ブロックされたことあるよね。
そうなの?
そうですか?
なんかハッキング系みたいなんで、マカフィーかなんかのやつにブロックされたのかな。
確かになんか攻撃コードをそのまま生に近い感じで載せたりするとフィルターかかったりしますね。
私も前に脆弱性かなんかの記事でフィルターかかったことあります。
ああいうのって自動検出だからね。別に人が見てるわけじゃないし。
まあでもほら、僕らの書いてるようなブログはやっぱりそういうフィルタリングソフトにフィルタリングされてなんぼみたいなのがあるじゃないですか。
そんなことないと思うけど。
そんなことないな。なかった。なかったです。
まあでもね、そういうのが怖いからとかって言ってね、脱脂を示しても困るしね。
そうですよね。
そういうやつをお届けしていこうという感じで結構良い時間ですよ。
でしょ?
そんな時間になりました。
かなり喋ってたこれ。
53分でそろそろやっていいのかにして今日はねぎすさんは小ネタに切り替えたんですね。
そうなんですよ。もうちょっとだいぶ喋ってたなと思って。
今イヤフォンで聞いてるんですけど、2人の話をなんかあのポッドキャストで聞いてるみたいな感じになってて、黙っちゃう感じになるんですよ。
リスナーになってたんですよ。
僕もさっきずっとなんか結構今日の僕の話って結構説明的なやつだったじゃないですか。
こんなアッセンみたいなやつがあって、2人が合図値もなく普通に聞いてるのか切断されたのかわかりにくくて若干の不安。
確かにちょっと合図値見えないんですよね。
ちょっとね。
そうそうそうそう。
顔見えへんけどね。
あんまり合図値入れすぎると聞きにくいんだよ。
54:00
確かに。
タブルからね。
そうそう。
それこの前のウェビナーでもちょっと考えたんですよ。
うんとかはいとかちょっと言うのかなってちょっと悩んで。
そしたら何も喋んないなっていう感じでちょっと後でフィードバックもいただき。
しかも看護さんの場合映ってへんからさ。
いや映ってましたよ。ちゃんと映ってました。
え、写真でしょ。
写真がね。
写真っていうかしかも本人かどうかも怪しい写真ですからね。
いやちゃんと本人ですよあれ。
いやでも本当は次もしウェビナーみたいなやつ一応まだやる予定あるじゃないですか結構先ですけど。
予定はいろいろと。
その時はもう本当に5分に1回はポーリングしてくださいね本当に。
看護さん折れへんみたいな空気になるから。
なんかはいって急に言う。
そうそうそう。
そうですねとか。
なんかおるよおるよ。
ボットみたいなやつですね。
そうそうそうそうやってほしいなと思いますね。
じゃあ今日はこんな感じですかね。
そうですね。
今回初リモートだったんでそれをいろいろ反省も踏まえつつできれば引き続きやっていきたいですね。
そうですねまだ聞いた人はねこういう風な話がいいとかいつも通りとかいつも通りね言っていただいてもいいですし。
あのちょっと聞き取りやすかった聞き取りにくかったとかこういうことこうした方がいいんじゃないかとかあれば教えてもらえると助かりますね。
はいはい。
じゃあそんな感じで今日はおしまいです。
はいバイバイありがとうございました。
