喉の調子と講演の思い出
ちょっと喉の調子が悪くて。
先週何かオススメで紹介してなかったっけ?
もうずっと舐めてますけど、今は舐めてません。
ちょっと講演でね、2時間ぐらいぶっ通しの。
2時間延々と喋りっぱなしの講演をしてきまして。
それはなかなかハードだね。
久しぶりですよ、2時間ぶっ続け。
2時間ぶっ続けの講演って何がすごいって。
後半自分が飽きてくんねん。
長すぎてね。
長すぎて。
まだここか、まだここかみたいな感じになるんですけどね。
でも皆さんね、一人も寝ずに聴いてくれましたよ。
よかったね。
テンションも上がってね、いろんな話もしつつ、デモもしつつみたいな感じでやってきたんですけども。
感想もあってね。
この季節はね。
寝起き一発喉痛いみたいな感じで。
喉塗るスプレーやらいろいろありますわ、周りに。
確かに声聞いてる感じとかちょっといつもと違う感じはするね。
そう、ちょっと皆さんもお気をつけくださいということですけども。
俺も先週ちょっと変な声で大変お聞き苦しい点があり失礼しました。
カットはされてましたけどね、咳出たりとかもされてましたもんね。
ちょっとね、先週喉の調子が悪くてだいぶね。
皆さんもお気をつけください。
ということでね、久しぶりですけどコンプリートが出まして。
ステッカーの?
ステッカー募集でコンプリート。
おめでとうございます。
しかも同時に2名。
前に2人ぐらいだっけ?
前に3人ぐらいですかね。
3人ぐらいか、すごいね。
1人の方は4週集めるまでは1年やったけど、そこからが長くて聞き始めて3年ぐらいっていう風に。
そんなに?
そうそう。
知らんけど、特に何か言ってるわけではないですけど2週目を目指すっていう。
みんな2週目目指すんですねこれ。
なんかやっぱりコンプリートするぐらいの人はさ、結構お便りの常連さんなんだろうね。
多分そうですね、読んでしまいやすいお便りの入れ方っていうのがあるんですよね。
あとほら、一発でコンプリートできないじゃん。ランダムに出てくるからさ。
何回も最後の一面が出ないみたいな人もちょいちょい聞くもんね。
ずっとかぶり続けてたりとかしちゃいますからね。
2週目もぜひチャレンジしてください。
ぜひぜひぜひ。
5種類集めて集めたやつを送っていただければ、画像を送っていただければ6種類目のシークレットをプレゼントするっていうスキームでやってますんでね。
それはそうとね、僕全然話関係ないですけどめっちゃ気になったことがあって、お二人にね、もし知ってたら教えてほしいなっていうことがあって。
サグラダ・ファミリアの建設
スペインにサグラダファミリアってあるじゃないですか。
ずっと作り続けてるやつ?
未完成という完成やと思ったあれ今も作ってるんですね。
そうらしいね。
2026年にメインタワーのイエスキリストの塔が完成するらしく。
おーそうなんだ。
2034年頃に全体が完成すると。
ほんとかな。
1882年から着工してるから、34年って言ったら152年なんですよ。
そこで質問なんですけど、152年かけて作った建物は完成した次の年は築何年って言うの?
なんだろうね。確かに。
1年や2年かけて作ったものをできてから次の年築1年って言ったらまだ分かるけど152年やったら一番初めに作ったところ老朽化してんじゃん。
やってそうですよね、補修工事とかね、一緒に。
そうそうそう、延々と続けるやんっていうね。
そういう場合、築何年っていう言い方が当てはまらないかもしれないね。
あまりにも規格外すぎるんちゃうかなっていうのがちょっと気になったっていうだけの話なんですけど。
もし建設関係詳しい方いたらこっそり教えてくれると嬉しいです。
確かに、でもそういう建物って例外中の例外だからさ。
横浜駅ぐらいですか?
横浜駅。駅全体とかはそうかもしれないけど渋谷駅とかさ。
一個一個の建物はそんなにかかんないでしょう。
桜田ファミリアクラスではないですよね。
類似の建築物はあんまりないんじゃないのかな。あるかもしれないけど、知らないけど。
ちょっと聞きたいですよね、それね。
素朴な疑問シリーズね。
そんな感じでお便りにいこうかと思ってるんですけれども。
今日はお便りは一つなんです。
お便りの紹介
前回ね、僕が冒頭で本当ですかって嘘ついてはると思ってるんかなってスーパーの人に思ったって話したでしょ。
セルフレジーの話で。
それでね、最後おすすめのあれでおすすめを知ってたねぎすさんに僕がほんまですかって返したのツッコミ待ちだと思うけど完全にスルーされてるっていう。
そんなことあった?そんなやりとりありましたっけ?
いやいや僕は気づいてたというかもともと仕込んでたんでこれ。
全然記憶にないんだけど。
ほんまですかって言うてるやんって言われると思ったら何も言わんとバイバイって終わってもうたっていう。
ごめんごめん、全然それはもう完全に気づいてなかったね。
ほんまですか。下の根のも乾かぬ間にまた言うたったと思ってたらもう何もない。
今も言ったけどさ、割と自然に言ってるじゃん。ほんまですかって。
確かに聞く方も自然にさらっと流してるもんね。
そんなに違和感なく普段通りだったわ。ごめんごめん。
いやいや全然いいですよ。
今日はお便りこれだけなんですけれども。なんでお便りがこれだけかというとVSが2つ来ておりまして。
両方VS看護でしょ?
一つはVS看護なんですけど、一つはどっちでもないですね。
まずこれ入る前に一つずつ言いたいんですけど、前回問題を出す時に僕ぶっぱって言ったの覚えてる?
知ってるよ。
VSを送ってくださった方にステッカーを送ったわけですよ僕。
ところで問題を出す前のぶっぱってあれ何なんですかっていうつぶらな瞳で質問されまして。
ちょっと看護さんも戸惑ってたよね。
ほんまですか?なんかアメリカ横断ウルトラクイズ的な問題出す時に出題音みたいなやつあるじゃないですか。
よくあるよねクイズ番組とか。
そうそうそうそのつもりで言ったんですけどぶっぱって何ですかっていう。
すぐわかったけどちょっとくすってしてしまったけどね。
ほんまですか?ちょっともう言うのやめようと思って。
将来の展望
いや言えよ。
じゃあいきますよVS看護からです。
ぶっぱ?看護さんと何笑ってんねん。
説明されてから言うと笑うやつ。
確かにな言う自分もちょっと恥ずかしかったけれども。
看護さんといえばピオログからの問題です。
まじか。
ちょっと長めなんで覚えてください。
次の3つの記事を投稿された年月日が古い順番に並べてください。
覚えてるかな。
いきます。
A、ドコモ口座を悪用した不正臓器についてまとめてみた。
B、WPA2の脆弱性クラックスについてまとめてみた。
C、シェルショックの影響が及ぶケースをまとめてみた。
あーなんかどれも比較的前のやつですね。
そうなんですよ。
なんとなくこうじゃないかなって思うのはあるな。
ほうほうほう。
じゃあまずは看護さんから。
結構日付近いですかどれもそんなことは。
いや全部ねバラバラって同じ年では全くないですね。
明らかにこれが古いとかなんかそういうのあるよね。
そうですねめちゃくちゃ古いやつがありますね。
はいはい。
へー。
どうぞ。
でもこれ消去法でいけるんちゃう?
はいじゃあCかな。Cが一番古そう。
2番。
2番がBで最後がAかな。
あー俺と同じだ。
あじゃあファイナルアンサーでいいですか?
はい。
はい正解です。
やったー。
これはなんかちょっとわかるよね。
まあ時代背景でねなんとなく。
ちなみにシェルショックが2014年。
WPA2が2017年。
でドコモ講座が2020年ですね。
Bの年代があやふやだったけどさ。
ちょっとちょっとなんかAに近いかなとか若干思ってた。
明らかにCが古くてAが新しいっていうのはなんかわかるよね。
2つわかればね大体ねわかるかなっていう感じをするかな。
どれもどの時期もどの実験とかまとめも秋の秋にまとめてますね。
9月10月9月。
あー確かに言われてみれば。
季節的には同じぐらいのそんな感じで。
なんかでもうまいところを選んできたって感じでいいですね。
そうですよねいい問題でしたね。
ちなみにあのコメントが添えられていまして。
はい。
過去記事を見ていると女性がぐらっとくるセキュリティ系男子のスペック級パターンなど柔らかい記事も投稿されており最近のテイストしか知らなかったので新鮮でしたという。
それいつの記事だよ。
これ2011年の9月ですね。
うわー過去の記事掘り起こされるの一番恥ずかしいやつか。
いやこんなんやってたんや僕全然知らんかったこれ。
恥ずかしいやつだ。
初めて見たもんこれリンク送ってもらって。
マジですか。
これも見た記憶ないなー多分全部ぐらい読んでるはずだけどなー。
そんなもんねあったという。
掘り起こし怖いっすね。
怖いよね。
もう10年以上前に書いたやつ残ってますからね。
じゃあですねこれはどちらというわけではないんですが今カンゴさんやったらじゃあまずネギさんに答えてもらおうと思うんですけど2つ目。
セキュリティのあれといえばLINEスタンプが有名ですが。有名ちゃうやろ別に。
もうみんな覚えてないよねこれ。
覚えてないよなー。公開までに何回リジェクトされたでしょ。
あーむずいこれ。
えーとねうろうぼえだけど多分2回か3回だと思うんだよなー。
ほうほうほうほうほうほう。
それぐらいじゃないかなーえーわかんない。
ライフラインはなし?
ライフラインはじゃあまああのーライフライン言うてもこれ今喋ってるからもうほぼテレフォン使って持ってるしオーディエンスはおれへんしカンゴさんしかおらんのよ。
そうねカンゴさんどう思うこれ。
私は。
覚えてる?
覚えてないです。
覚えてないです。
覚えてないのですがまあ確かに2回か3回なんですよね。
えーじゃあわかんない勘で2回。
2回。
はいファイナルアンサー。
はい正解は3回です。
どっちかと思ったんだよねー。
あのーちなみにあの第167回のタイトルがLINEスタンプ3回のリジェクト乗り越え販売開始だスペシャルっていう。
まじかタイトルになってんのか。
タイトルになってたのを僕は忘れてましたけどね。
ねいや俺も知らなかった。
あーそれいい問題だなーなんか。
あーそうですねー。
今ちょっとどっちか悩んだんだよな似たくなったけどなー。
うーんなんかいろいろねあのーなんかどっかのロゴに似てるとかみたいなのリジェクトされ。
あーですよねー。
なんかあのあれだよねドコドコドリンクの。
そうそうそうそうあのーねあの買ったカップに名前書いてくれるでおなじみの。
ねコーヒーショップのにちょっと似てたみたいなね。
そうなそれがねあのーシークレットには含まれているとか含まれてないとかという噂ですけれども。
おっとそうなんだそれは俺も知らないけど。
そうなんですよということであのメッセージもこれそうやっていただいておりまして。
はい。
スタンプ第2弾待ってますということで。
なんか確か出した時はさーなんか他にもいろいろ何でもよく言う定番のセリフ的なやつが。
はいはい。
いくつか溜まったらまた出そうかみたいなこと言った時も。
そうですね。
うん。
まあこれあのアレティさんがもし聞いてたら第2弾を作ってくれるかもしれません。
あれしかしまあ俺らもあんまり使ってない身内で使ってないけどさー。
うん。
あのスタンプ使ってる人いるのかな。
どうなんですかねー。
お茶目でいい感じのスタンプになってるんでぜひ使ってください。
そうですよねー。
ていうかもうみんな買ってくれるんかー?
俺は買ったぜちゃんと。
僕も買いましたあれ自分でも買いましたし。
私も買いました。
あと何人かに送りましたよ僕。
ああそうなんだ。
まああのほとんどの反応が何これっていうね。
おかんとかにも送りましたからね。
リアルにさいろいろアレ勢の輪が広がったりするとかっていうお便りたまに聞くじゃない。
ぜひアレ勢同士で使っていただけると良いのではないかと。
そうですよね。
はい。
なんかねあのお付き合いされてる方となんかLINEのスタンプ送り合ってる方も過去にいらっしゃいましたしね。
ああなんかそういえばあったねそんなのね。
お便りいただいたよね。
第2弾もしかしたらあるかもしれないしないかもしれないです。
第1弾がたくさん使っていただければあるかもみたいな。
そうですねそうですね。
第2弾ないんですかっていっぱい言ってもらえればねあるかもしれないですよね。
ありがとうございます。
ありがとうございます。
この方々にはステッカーの印刷コードを差し上げます。
はい。
セキュリティの脆弱性
はいということでセキュリティのお話を今日もしていこうと思うんですが、
今日はねぎすさんから行きましょう。
じゃあトップバッター行きます。
今日はですねクラウドのサービスのマイクロソフトのアカウントで多要素認証のバイパスができる脆弱性がありましたっていうニュースをちょっと紹介しようかなと思うんですけども。
正確に言うとバイパスって彼ら言ってるんだけど正面突破に近いというか。
正面突破。
割と力技でやってるなーって感じの攻撃手法なんですけども。
はいはいはい。
これ今週はオアシスセキュリティっていうところがブログで公開したんだけど、
ちなみにこれマイクロソフトにはもう6月に報告済みで、
もうすでに修正もされているので、
今はできませんと。
だから公開したってことなんだけど。
今回そのターゲットになった多要素認証っていうのも、
多要素認証にもいろいろいっぱいあるじゃない。
種類がさ。
ありますね。
今回の対象はいわゆるワンタイムパスワードのアプリで、
6桁のコードを生成するってやつですね。
正式な名称はTOTPってやつですけども、
タイムベースドワンタイムパスワードってやつ。
あれがターゲットになっていて、
あれはシークレットを同期したサーバーとクライアントでしか、
ワンタイムのコードは生成できないから、
6桁で100万通りあるからね、
他人は推測は難しいですっていうのが安全の根拠になってるんだけど、
攻撃手法の解析
今回なぜかそれが、
言ってみればブルートフォースで突破できちゃいましたってことなんだけど、
そんなシンプルな攻撃がなんでできたのかっていうところがちょっと興味で、
一応今回の攻撃が成功するための条件というのが大きく2つあって、
まず1つがですね、
このマイクロソフトのアカウントにログインして、
アドレスとパスワードを入力して、
今回攻撃はそもそもパスワードは知ってるという前提なんだけど、
パスワードを入力に成功すると、
多要素認証有効になっている場合には、
ワンタイムパスワードを入力する必要がありますと。
この時に6桁のコードを入力するんだけども、
たまに打ち間違いがあったりとかさ、
当然そういうのあるから、
何回かは失敗を許容してるんだよね。
MSの場合には1回のセッションの中で、
10回まで失敗してもOKらしいの。
なんだけど、とはいっても100万回に1回が、
10回できるからといって10万回に1回になっても、
そんなにあんまり大して変わらないので、
これだけだったら難しいんだけど、
ところが今回その問題の肝になっているのは、
実はこの1個のセッションでは10回までなんだけど、
同時に並行して複数のセッションで
試行が可能だったということで、
ここがだから脆弱性だったんだけど、
詳しくどれくらいできたかという詳細は書いてないんだけど、
ここのMS側のレートリミットが若干緩めであったということで、
だから完全に100万通り全部食べすほど緩くはなかったんだけど、
多少確率が上がる効果はあったというのが1つね。
しかもこれ10回も20回もやって失敗しても、
パスワードは成功しているんだけど、
ユーザーにはあなたのパスワードでログインした人がいますとか、
通知が来るやつたまにあるじゃない。
ありますあります。
そういうのも一切来なかったらしくて、
攻撃中にユーザーだから気づくことができないと。
なおかつレートリミットが緩いので、
MS側の制限にも引っかからずに、
ワンタイムパスワードの施行ができるという条件がありました。
承認しますかみたいなやつではないから来ないってことですね。
そうそう。
というのがまず1つ目の条件で、
もう1つの条件が、これはTOTP全般に言えることだけど、
これってRFCの仕様で決まってるけども、
普通30秒に1回6桁のコードが生成されて、
それがどんどん変わっていきますと。
クライアントのアプリ側とサーバー側で同期をしているので、
同じ6桁のコードが一致しますよということなんだけど、
とはいえ時刻がちょっとずれてたりだとか、
あとはネットワークの遅延があったりするので、
厳密に30秒だとちょっと使い勝手に難ありということになるので、
一応使用上ももうちょっと緩くしてもいいよってことが書いてあるのね。
実装によっていろいろ幅があるんだけど、
例えば前後1個ずつは許容するとか、2個ずつは許容するとか、
いろいろ実装はあるみたいなんだけど、
今回調べてみたところ、マイクロソフトのアカウントは
30秒間じゃなくて、30秒ごとに生成されるんだけど、
3分間そのコードが有効なんだって。
1回作ったものは3分後までサーバー側を受け付ける設定に
どうもなっていたらしいと。今もそれがそうなのかちょっと分かりませんが。
なのでタイムフレームが長くなっていると、
30秒じゃなくて6倍の3分間になってましたと。
これはマイクロソフトだけに存在する有用機関ってことだよね。
今言った同時並行に実は複数試行できるっていう、
これは脆弱性と、あと3分間有効っていう設定が組み合わさると、
正確なやり方とかは書いてないんだけども、
彼らの見積もりだと、およそ3%の確率でTOTPを突破できると。
今後の対策
結構高い感じですね。
もともとは100万回に1回のところが、3%が100回に3回、
100回のうち3回ってかなり確率が高い。
これだから何回も何回もこの攻撃を、
しかも通知も出ないしMS側も止めないっていうことだと、
何度でも試せるんで、何回もやってれば、
100回のうち3回とかそのうち当たるよねってことなんだよね。
確率的にはこの3分間で3%の確率で成功できるものを、
連続して何回やったらどれくらい成功できるかっていうと、
約24回やると50%を超えるんだよね確率が。
なので24回だと3分間だから70分ちょっとかな。
1時間ちょっと頑張ってやれば、まあまあ当たっちゃうと。
これはかなり危険度が高いねという感じがすると。
ということでこれはマイクロソフトに報告されて、
どこを修正したかわかんないんだけど、
おそらく1番目のレイトリミットのところを少し厳しくしたんじゃないかなと。
それぐらいしか思いつかないですね。
ふわっとしたのが書いてあって、今はこの攻撃は有効ではありませんと書いてあったんだけど、
攻撃自体はこんな感じで非常にシンプルで、
やろうとしても多分誰でもできた可能性があるなという感じなんだけど、
ただそれに気づいたところは素晴らしいと思うんだけど、
ただねちょっと驚いて、これ最初見たとき驚いたのは、
そもそも手法が非常にシンプルですと。
特にめちゃくちゃ高度な技を使っているわけではないと思われるのね。
同時並行でやるという部分に多少工夫がいるかもしれないんだけど、
ただしこんなシンプルな攻撃なのに、
マイクロソフトのアカウントってめちゃくちゃ規模が大きいクラウドのサービスなのにもかかわらず、
こんなシンプルな攻撃が有効だったということはまずちょっと驚きだなというのと、
あと多要素認証だから安全とちょっと盲目的に思っちゃうところがあるけど、
MSでもこういうのが未だに残っている、未だにという言い方かどうかは分からないけど、
こういう実装上とか、あとさっき監視に引っかからないというかユーザーに通知もされないとかね。
はいはい、きっかけがないですもんね。
この辺の運用面でのちょっと不利というか課題というのもあるんだなというのが、
ちょっと意外だったというか、これぐらいの大手のサービス、超大手のサービスでも見つかるもんだなと思って、
もうこんなのないでしょうってちょっと頭から思ってたところがあるんでさ、びっくりして、ある意味逆に新鮮で驚きでした。
これしかもユーザーはどうにもできないじゃん。
直してもらう待つしかないんです。
そうそう、ユーザーはね、多要素認証を設定してるし安心だわと思ってたら、
サーバー側にこんなのがあったらさ、これだからパスワードもやっぱりちゃんとしておかないと、
一応保険的に多要素で対策にはなるとはいえ、パスワードが漏れてる状態でもしこういう攻撃さらされたら結構やばいなっていうね。
確かに確かに。
こんなんでもどうやってやろうと思うやろ。
ずっとあっただけでしょこれ多分ね。
そう多分おそらくずっとあったんだと思うんだけど。
ある日なんか思うんかな。
まずそもそもこんなの今さら有効な手だと思わなくない?まず。
そうそうそうそう。
まあその思い込みが良くないのかもしれないですけどね。
そうよくないよね。俺も思ったちょっとそこは反省だなと思って。
こんなの今さらできないでしょって思いながらでもちゃんとこうやってみて試してみたってところがまあ偉いなと思って。
確かに。
これマイクロソフトだけだったんですかね。
そうそう多分なんか似たようなのってね。
もしかしたら同じようなことを他にもやってみて他はダメだったのかもしれないよね。
ならいいんですけどね。
わかんないよね。
あとはこれオアシスの方々が気づく前に悪用されてなかったかですよね。
そうねそうそう。まあその辺もちゃんと調べているのかもしれないけども。
これログ残るのかな?
いやーちょっとね過去のものは多分追えない可能性があるよね。
そうですよね。だからあったかどうかをちょっと今から追うっていうのは無理そうな感じはする。
だから実際に乗っ取りというかその何スマッシュでログインの被害があった場合にのみ気づけてるかもしれないけどね。
そうかそうか。
こういうのってちょっとね気をつけないとと思うし、あと今看護師さんが言ってたけど今回はたまたま ms だけで見つかっているような感じだけど
同じようなその実装上の不備っていうか。TOTPってほぼ標準的にほぼ全てというか多要素認証ではどこでも使われてるんで
技術的にはもう十分枯れてる仕組みなんだけど、今言ってみたらそのね ms だけの限定したその実装上の問題みたいなやつは他のサイトでもまああっても全然おかしくないし
過去にはこの手のやつって見つかったこともあるって言えばあるんで、なんかその試行回数制限がうまく効かなくて突破されちゃいましたみたいなやつはたまにね見かけると言えば見かけるけど
最近では少し珍しいかなっていう印象だけどちょっとこういうのもしちょっと使ってる側は気をつけるのは難しいんだけど
実装してる側は気をつけてほしいなというのと、とはいえその多要素認証を使えるところではこういうのあるから使っても無駄だじゃなくて
使ってほしいと思うけどね
はいわかりましたありがとうございます
はいじゃあ次はカムさんいきましょうか
私はですね個人情報保護委員会っていう組織ご存知ですかね
めちゃめちゃ知ってますよもう
全国民が知ってないといけないだろこれは
私はインシデント公表結構見ますけど
だいたい書かれている中の一つに警察に相談するとともに個人情報保護委員会にも報告を済ませておりますみたいなのは割かし書かれてはいて
なのでこの不正アクセスに関連して報告されているものをかなり情報としてこの組織持っておられるんだろうなっていうのは前々から思っていたんですが
12月に入ってですねこの個人情報保護委員会が注意喚起を出されたんですね
名前がですね不正アクセスによる個人データ漏洩防止のための注意喚起っていうのを出されてですね
過去に私多分この委員会が出している注意喚起でこの手のものは見たことが
もしかしたらあるかもしれないですけど私は見たことなかったので不正アクセスに関連した情報漏洩情報流出に対する注意の呼びかけっていうので結構珍しいなと思ったので
今回ちょっとこれを取り上げたいなというふうには思ってるんですけども
そもそもこの注意喚起なぜ出したのかっていうところに関しては
こちらの公表されている内容まま読み上げると
ランサムエアを含むサイバー攻撃の高度化高明化が進んでおり
従前見られていた情報システムの脆弱性を狙った不正アクセスに加えて
グループ会社であるとか海外拠点におけるそういったところが弱点になり得る
関係性に起因するシステム侵入や機物情報が保存される領域への高度な水平移動等の手口による
個人データの漏洩が見られますっていう長いよっていうふうに思うんですけど
ちょっと難しい余計難しい感じがするな
はいまああのなんか多分ランサムエアとかがいろいろ流行ってきてるので
まあそれを受けて注意喚起出したんだろうなっていうのは私ざっくりと
報告が多いでしょうね
そういう印象で受け取り取りました
内容的には報告されている内容から8つの類型交わした内容を取り上げましたということで
事例が1から8まで並んでいるそういった内容です
こういった事例があってこういった原因があって対策の例としてこういうものが挙げられますよというのが
各事例ごとに取り上げられていると
本当に脆弱性であるとか不正ログインあるいはさっきも申し上げたグループ会社とか
そういったのが狙われている事例であるとかさまざまそういったものが取り上げられていて
原因とともに対策例が書かれているというものではあるので
目を通していただくというのがまずは一番分かりやすいかなと思うんですけど
どれもページ数で言えばもう全部1ページにはまとめられてはいるので
なのでそんなに見るのに大変という資料ではないので
見ていただくのがまずは良いのかなとは思っているとともに
ちょっと目を通していただくとこの手の情報脅威というか
この手の情報収集をされている方であれば
おおむねどっかで見たことあるなぐらいの形の内容でもありはするので
多少の事前予習じゃないんですけども
そういう前提を踏まえて見ていただくというのも一つありかなと
中でちょっとこれは確かになと思ったものも一つあって
これ事例7っていうものにあるんですけども
グループ会社への監督が不十分な事例っていうのがあってですね
事例のタイトルまま見ると親会社がいて
子会社のガバナンスがあんまり効いてないみたいな
そんなようなイメージを最初思い描いてみたんですが
実は逆で子会社が親会社に対して
従業員の個人情報とか個人データですね
個人データを預けてその取扱いの委託を
親会社に行っていると
人事人給のシステムとか多分割とグループでね
一元管理みたいな形でやっているところが多いかなと思っていて
おそらくそういったケースなんだろうなと思うんですけども
関係性で言うと子会社側が委託モードで
親会社側が委託先に当たるという整理になると
今回のこの注意喚起で取り上げられている内容に関しては
子会社側がその親会社に対して十分な管理とか
適切な監督を行っていないっていうのが見られますっていう
そういった書かれ方をしていてですね
これは割とあるなというふうには思ったんですけども
原因にも書かれている通りグループ会社同士
特に子会社親会社の関係だと
なかなか親会社に対してちゃんと管理しとんのかいって
力強く言えるところもそんなに多くはないのかなと思ったりもして
あんまないんじゃないですかね
ですよねなのでそういった一定の信頼関係が築けている
みたいなそういう表現をされてたんですけども
そういった状況前提だったりすると
管理の不備とかっていうのが起こりやすいのかなとか
そもそもこれが委託っていうかそういう関係に当たるっていうことを
子会社側が認識してないっていうケースも
あったという形で書かれてはいたので
この辺は割とこの手の状況に起因した事案が起こるのかな
っていうふうには見ていて思ったというところではあってですね
今7話取り上げたんですけども
8で1から8まで並んではいるので
これ見ていただくと実際に国内で起きた話っていうのが
こちらの個人情報委員会に上がってまとめられているというところではあるので
内容ざっと見ていただいて対策例とかも参考にしていただくっていうのは
結構余裕かなというふうには思いますし
さっきも言った通りこういった公表というか
インシデント公表されるとまずまず先に報告される先の一つには当たりますので
そういった情報を広く注意というか対策につなげるためにも
こういった話っていうのはもっともっと公開していってほしいなっていうのは
資料を読んでいて感じたポジティブなコメントです
で、から口な言い方をこれからさせていただくんですけど
珍しいですねなんか
読んでいただくとわかるんですけども
すみませんちょっとから口気味なんで申し訳ない
作っていただいた方には色々なおそらく
ご苦労があってこれになったのかなと思いつつも
ちょっとコメントをさせていただくと
対象者は個人情報を取り扱っておられる事業者の方向け
っていう書かれ方にはなってるんですが
対策例とかっていうところを見ると
これがいまいち具体的に誰を指した注意喚起にして
書き上げられたものなのかっていうのはちょっと見えないなっていうのがあってですね
例えば技術者を対象にしたものなのか
経営者、エグゼプティブの方を対象にした注意喚起なのか
あるいは会社のおそらく規模とか業種業態でも
やれることやれないことっていうのも当然出てくると思うんですけど
そちらについてはちょっとどういったところを意識して
書かれているのかっていうところはちょっとわかりづらいなと
内容が結構一般論に近い印象を持っていて
ちょっと言い方あれですけどできれば
それができてしまえば話は簡単かなっていうのも割とあってですね
例えばさっきグループ会社っていう話もしましたけども
特にグループ会社を狙ってた事例がありますみたいな話の中に
対策例としては国内だけの対策で完結せずに
海外拠点を含めてIT資産の洗い出し
脆弱性情報の収集分析
あるいはその対処を適切に行うっていうのが
対策例にあるんですけども
なんていうんですかね、言うがやすいじゃないですか
でき論というかね
できるんだったらやりたいよねっていうところあるので
なかなかそこが書かれている内容が
現実的にそのアクションにつながるかっていうところが
ちょっと疑問符がついたかなっていうところと
あと原因についても
なんでそれが起きたのかっていうところを
できればやっぱり報告を受けているっていう立場ではあるとは思いますので
深く知る手段がやっぱ欲しいなと思っていて
なんかいろんな声で私話すんですけども
結局それがなんで起きたのかっていうシーンっていうんですかね
それが明らかにされてないと
本当に認証情報が漏れたのが原因ですとか結構書かれるんですけど
なんで認証情報が漏れてるのかっていうところが
実は分かってないとか書かれてないとか
分析されてないとかっていうところがあったりしてですね
そこはもうちょっと頑張ってほしいなと思う
パッチ適用がされていなかったとかっていうのも
原因で書かれてるんですけど
それってあの原因というかなんていうか
結果であってそれに至る
なんていうかプロセスというか
そこが本来原因になって叱るべきなんじゃないかなとかっていうのも
思ったりはするので
できれば全部とは言わずでも
できればなんかそこにも深く
突っ込んだ分析とかをしてほしいなとかっていうのも
思いますし
あとは今1から8っていうのを
累計化していただいたっていう話をさせていただいたんですけども
見ていただくと分かるんですけど
数字があんまり出てこなくて
この例えば事例1がその全体のうちどれぐらいを占めて
結果的にその注意を呼びかけられるに至ったものなのかとか
そういった背景となるというか
例えば1から8全部やらんといけんのかってなった時に
重み付けしたいなってなった時も
やっぱりその辺の判断に優先順位付けに至るような情報とかも
欲しいなとかっていうのはやっぱり思うところで
例えば警察庁ですかね公開されておられる
我々がたまに言ってる巡る情勢
あれはまさに数字ベースで結構資料化統計情報って形で
まとめていただいてるんですけども
なんかああいった観点での情報も
あるといいのかなとかっていうところもあったり
あとは今回この注意喚起も
さっきどなた向けに対象としたのかっていうところが
若干見えづらいかなってお話ししたんですけど
っていうのは内容を見ていただくと
一般論って話もしたんですが
NISQとかも結構似たような知人喚起やってるので
これ改めて今回個人情報法委員会が出された意義とか
っていうのはどういったところにあったのかなっていうところが
もうちょっと注意喚起の書かれている内容から見えてくると
よりこれを見られた方が
具体的なアクションを起こしやすいのかなとかっていうのも
実際この資料を改めて見させていただいて
ちょっと感じたところではあったので
ちょっとこの辺は
実際あるのか分からないですけども
今後もしこの辺の情報がまた出していただけるんであれば
気にしてやっていただけると非常に助かるなというふうには
思いました
中々厳しいね
でもごもっともやなって思いながら聞いてたんですけど
そうですねグループ会社への監督が不十分な事例
っていう一番初めに挙げていただいた事例の7番かな
とかもね登場人物は子会社と親会社がおるから
どっちの誰にどう向けてんねんみたいなことも出てきますし
結局関係する人間が全部読まなあかんねんやんっていうね
感じはしなくもないなと思いながらも
件数がないっていうのももちろん
もっともな指摘かなと思ったんですけど
こういう事例があるっていうのをちょっとおさらいして
っていうチェックリストじゃないですけど
そういう見方をするんだったらそうかっていう感じだけど
そうかで終わったあかん部分もあるもんなっていうのが
後半の指摘かなっていうふうに思いながら聞いてましたね
まずポジティブ面から看護さんにならってコメントすると
僕はこれ最初すごいポジティブに
こういうのを出してくるようになったんだなと
まずはねスタート地点としてすごいいいことだなと思ったのと
あと事例が詳細がまだまだ隠れてて分かんないので
具体的な攻撃事例
どのぐらい役立つのっていうのは一旦目つぶるとして
そもそもこういう事例があることすら
僕らは僕とか看護さんやついさんとかは
こういう具体的な事例をそもそも
嫌ってほど目にしてるから
これ例のあれかもなとかすぐパッと思いついちゃうけども
そうでない人からするとこんなふうにやられる事例があるんだ
まずそこが気づきになるからこれがいいかなと思ったのと
逆に一般化されすぎてるところを利点と考えるのであれば
これは誰にでも自分の小泥として読めるっていう利点があるので
誰に対して言ってるか分からんっていうのは
誰に対しても言えるっていう逆のことでもあるから
グループ会社の人の立場でも読めるし
親会社の立場の人でも読めるし
さっきの話で言うとね
芸術者の観点でも読めるし
経営者の観点でも読めるっていう
そういう点では誰にでも刺さるので
これもうとにかく全員読めって言えるっていうか
さっき看護さんが言った部分は
個人個人読んだ人がちょっと補うしかないのかなっていうかね
自分だったらこれどういうふうに読み解けばいいのかなとか
何ができるかなって考えるっていう
そういう材料としては良いかなというふうに
議論の叩き台みたいなのにも使えそうですよね
これを使って色々みんなでディスカッションするみたいなね
ちょっと具体的な注意喚起には向いてないというふうに思う
確かにね
ネガティブじゃないけど希望とか期待として言えば
同列で論じることはできないかもしれないんだけども
アメリカのCISなんかが出しているような
注意喚起ガイドラインレベルのものくらいが
出せるようなたぶん事例はね
たぶんあるはずなんだけど
たぶん分析が弱いんだと思うのおそらくだけど
その辺はいろいろ体制面だったり
色々仕組みが整備されてないとかあるとは思うんだけど
ただここ数年の法改正でさ
今まで各監督官庁がバラバラだったやつが今
政府官公庁民間含め全部
PPCに一本化されるというふうに
数年かけてなってきたわけで
これは非常にいいことだし
ここに全ての個人情報絡みの
漏洩事案とかそういう事案は集まってきているわけだから
やるならここがやるしかないと思うんだよね
第一歩としてこれはすごいいいと思うので
次にさっき看護さんが言ったような
こういうところもやってほしいなという部分を
期待したいなという
そういう感じがしましたね
いい方向ではあると思ったけど
確かにもうちょっと頑張ろうぜっていう
これを親文書として
これを一個一個具体的な事例で
それをどう対策したのかというのがあると
もっといいですよね
さっき言ったこういう視点で何ができるか
みたいなのを整理するという切り口もあるだろうし
技術者の視点でとか経営的な視点でとか
っていうのもできるだろうし
いろいろ多分これを
実用的なものにするアイディアっていうのは
多分ある
出してる側も多分そういうのあったと思うんだけど
現時点ではここが出せる
まずはスタート地点として
っていうことなんじゃないかなと思うんだけどね
好意的に解釈するとすると
だから今後の期待じゃないですか
なるほど
もう一点だけいいですか
この資料からリファーされてたんですけど
今年の8月から
市販機ごとに
個人情報保護委員会が報告を受けている
内容の公表っていうのも実はやっておられていて
なので第一市販機と第二市販機分は
既に公表されてるんですけど
その2つ公表されている中の
監視監督権限の行使状況の概要っていうのがあってですね
これが注意喚起もさっきいろいろ興味深いというか
考えるべきポイントあるってお話ししたんですが
これも結構資産に富むというか
より具体的な内容結構ここに羅列されていたりはしてですね
特にその事案概要みたいな形で書かれている
表の内容は結構興味深いところが多くて
例えばVPN機器の脆弱性対応適時に行われていなかった
っていう事案があったとともに
管理者のアカウントのIDパスワードが
同じ5文字で構成されているように推測ができたとか
結構細かく書かれていたりとかですね
あるいはFTPサーバーが侵害を受けたケース
何かはその接続情報が外部から閲覧可能な状態で
ウェブサーバーに意図せず暫時されていたために
攻撃者がそれを読み取っていた可能性があるとか
より具体的な内容
本当に概要なのでそれ以上の内容は書かれてはないんですけども
その概要が結構細かく書かれていたりはしてですね
これ結構興味深いのが羅列されているなっていうのは
なかなか情報としては参考になる点があるかなと思ったので
こちらも合わせて見ていただくというのかなという風に思いました
こういうのはでもあれだよね
各事件の概要細かいやつをさ
さっきの注意喚起の多分みんなが読まないだろうっていう点がね
もったいないんだよねこういうのは
僕らみたいな立場の人は多分こういうのってお興味あるなって読むと思うんだけど
一般の人にとってはさっきみたいな注意喚起レベルのものが多分
届きやすい限界かなという気もする
リファーされているところまで読む真面目な人はいいと思うんだけど
なかなか届きにくいかもしれないよね
確かにそうですね
わかりましたありがとうございます
最後僕ですけれども
今日ランサムの話しようかなと思って
今日あれですからね通常回の最後ですからねこれ
そうだね年内最後だよね
だからなんでランサムやねんっていうよくわからないですけど
ランサムに始まりランサムで終わろうぜ
それ縁か悪いかわからないから
始まったかどうか覚えてないけどさ
今日僕が取り上げるのはね
ブラックバスターっていうランサムギャング
最近ちょっと前までおとなし目だったんですけれども
リークサイトをずっとウォッチしてるじゃないですか
夏ぐらいからちょっとおとなし目で
10月秋ぐらいから常習を取り戻す
リーク件数にまた戻ってきたという感じだったんですね
これまでも多分ブラックバスターで何回も名前出してきてるかなと思うんですけど
例えば198回取り上げたときはね
ダックハント作戦っていう
キューボットをテイクダウンした作戦あったと思うんですけども
それを先行マルウェアにキューボットをブラックバスター使ってたんで
その影響を受けてかリークがガーッと減り始めて
一時ゼロになった時期もあったんですよね
それで使うマルウェアをダークゲートに切り替えた
みたいな話を過去にしたと思うんです
今年もさっき言ったみたいに理由はちょっとわからないんですけども
昨年と同時期ぐらいにリーク数の落ち込みが
7月ぐらいから9月にかけて見せてるんですよ
今回もゼロの月が1ヶ月あって8月なんですけど
ここ2ヶ月ぐらい通常の件数にまた戻してきてるという感じで
わからないですけども夏休みやったんかなっていう可能性もあるかな
わかんないですけどね
そんな中ラピッドセブンっていうメタスプロイトを作ってる会社あるじゃないですか
あそこがレポート出してくれてですね
10月の初旬からブラックバスターによるソーシャルエンジニアリングキャンペーンが
復活したというのをまた観測しましたよっていうのが出てまして
復活というふうに書いてるんですけど似たようなキャンペーンは
2024年今年の5月8月にも報告されてたんですよ
内容に関しては使ってるマルウェアの難読化が進んだとか
ちょっと洗練されてきてるっていう感じで
大枠内容は変わってないんですけど
その内容がどんなのかというと
ターゲットに対していわゆるメール爆弾
メールボミングたくさんメールが届くってやつですね
いうのをまずするんです
やり方としてはメールアドレスターゲットのメールアドレスを
いろんなメーリングリストに登録してバンバカバンバカメールが飛んでくるような状況を作ると
メールがいっぱい来てなにこれってなってるときに
ブラックバスターが接触をしてくるんですよ
接触してくる方法はいくつかあるんですけど
例えばマイクロソフトチームズを使って
メッセージとか音声とか
これ外からアクセスできる場合だけだと思うんですけど
検索したりとかできるんでね
たくさんメール届いてると思いますけど
それを解決しますぜみたいな支援を申し出てくると
なるほど
その時にはターゲット組織の
例えばヘルプデスクとかサポートチーム
ITスタッフのメンバーみたいな名前を付けて送ってくるんですよね
例えばヘルプデスクとかヘルプデスクマネージャーとか
テクニカルサポートとかそういう名前でコンタクトしてくると
このサポートの過程でクイックアシストとか
エニーデスクチームビューワーとかスクリーンコネクトみたいな
いわゆるRMMっていうリモートモニタリング&マネージングとか
という外から支援するためのツールを
ユーザーにインストールしてくださいねみたいなことを言ってきたりとか
あと何か場合によってはWindowsの標準でも付くようになった
OpenSSHのクライアントを使って
リバースシェル接続を確立するっていう風な場合も
いわゆるリビングオフザランドみたいなことをしてくる場合もあると
あと内容とか理由は不明って書いてたんですけど
QRコードを送ってくる事例もあったらしくて
このQRコードは目的は一応不明とはしているものの
誘導先のURLがその組織名の後にQR-S数字.comみたいなもので
フィッシングか何かの誘導なのかなっていう風なことを
試みてたんじゃないかみたいなことも書かれてありました
さっき言ったRMMをインストールする時にちょっと一手間かけてて
こういう攻撃の過程で用いるツールないしマルウェアみたいなものは
だいたいのファイル共有サイトとかどっかのホスティングに置いてあるケースって
多いと思うんですけど
これはどっか侵害先にしておいたシェアポイントを用いるケースがあるらしいです
これはほら例えばAnyDeskやったらAnyDesk.com
AnyDeskを使ってない組織だったらこういうのをブロックしてる可能性あるじゃないですか
なので直接ダウンロードを制限している場合にそれを回避するために
シェアポイントのURLを使って落とさせるっていう風なことをするっていう風なことを
やってるらしいです
この攻撃のゴールというか目的は最終的にはランサムの観戦だと思うんですけども
これ初期アクセスから入ってきて情報収集の段階にあたるんで
環境に入ってきてですねユーザーの認証情報をダンプする
あと場合によったらVPNの設定ファイルを盗むこともあるそうです
あとは使われたファイルで言うとantispub.exeっていうやつを実行させて
認証情報の偽のポップアップを出させて入力させるっていう風なものも使ってくると
入力するとテキストに吐き出してそれをブラックバスターのアクターが盗んでいく
持っていって盗むと
あとはそういったものを実行後に関しては永続化を図るために
gbotとかダークゲートを仕込んでずっとアクセスをして
キーストロークを取ったりみたいなことをするそうです
これは聞いててお二人ももしかしたらん?と思ったかもしれないですけれども
ちょっと前に看護さんがよく取り上げてた自治体とか
政府とか国の機関みたいなところがサポート詐欺に引っかかってっていう話あったじゃないですか
あれは金銭目的のものがほぼほぼだと思うんですけど
ああいう手口でガチっていうかランサムとか国家背景みたいなアクターが
そういうやり口で来たら怖いなみたいな話を昔したと思うんですけど
これも高度なサポート詐欺に当たるんちゃうかみたいなところがあって
結構身近に来てるんやなっていう風なものは感じたなっていうことで
今回これを取り上げましたということでございます
これあれだね、ターゲットになった組織の中の人のサポート
例えば上質の部門とかサポートの部門とかの人を予想って連絡してくるってことだよね
だからその辺も下調べをしてあたかも本物であるかのように予想って
言葉巧みにマルウェアを入れさせるっていう
マルウェアというかRMMのツールか入れさせるってことだよね
サグラダ・ファミリアの完成予定
こういうイニシャルベクターにしてるのは
他の手段が使えない、使いにくいからなのか
こっちの方が成功率が高いからなのか
結構手間かけてる感じがあるじゃない
いわゆるアクセスブローカーとかから買ってきてやるみたいな
ある意味安易なというか
単純な手口ではなく
一個一個自分たちでソーシャルを仕掛けて
侵入経路確保してやるっていうのは結構手間かかってるね
そうなんすよね
これチャットとかで話しかけられたら外から来た場合は
名前の横にエクスターナルってつくんですけどね
チームズなんかね
でも引っかかっちゃう人、詳しくない人やったらね
わかんないかもよ
例えば自分の会社の部門の
聞いたことある名前の人とかわかんないけどさ
そういう人で
大きい会社だったらその名前まではわからないかもしれないけど
そんな感じで予想はれたら
まさか外部の人とは思わない可能性があるよね
思い込んじゃう可能性があるよね
確かにね、このとこいちいち見てないかもしれないですもんね
ちょっと前にブラックバスターやったと思うんですけど
使える脆弱性あったら買いますみたいなことを
リークサイトに書いてたことがあって
もしかするとそういうのがあんまり使えないとか
使える脆弱性が今ちょっと少ないなみたいな時に
こういうので間を持たせてるんかもしれないですね
逆に言うとこういう手口が使える技術というかさ
攻撃手法として使える
そういう選択肢があるっていうことはちょっと脅威だよね
より簡単な方法があればそれでもできるわけだし
簡単なのが使えないところはこういうちょっと高度なテクニックも
高度って言ってもあれなのかな
さっきのついさんの話でサポート詐欺と似ているようなところがあるっていうか
入口の部分はそっくりだよね
騙し方がどれだけ巧妙かっていう定像の差こそあれさ
ほぼ似てるっちゃ似てるよね
相手を困らせてそこに助け舟を出すみたいなのはね
すごい人間の心理をついたところで比較的近いから
それが日本でも結構いろんなところで
割とそのリテラシー面でちょっと難しいような
弱い立場の人を狙って完成させるっていうのが起きているのを考えると
建設の進捗と技術的な挑戦
そんなにターゲットとして比べてハードル高くはないのかな
なんか手口がさ高度っぽく見えるんだけど
意外とやってみると実はそうでもないのかな
ハードルが低い攻撃なのかもしれないねもしかしたらね
気になるところはチャットのログがレポートの中にあって
もう一回ログオンする必要あるから45分から60分ほど待ってくださいとか
数時間後にはこれ対応できると思いますみたいな
時間稼ぎのチャットを送ってくる場合があるそうなんですよ
攻撃側がね
これはラビットセブンのレポートに書いてあるだけなので
事実上はどうかわからないんですけど
攻撃する能力のある人間にバトンタッチする時間を稼いでるんじゃないか
みたいなことが書いてあったんですね
そこで役割分担が起きている可能性があるわけね
それこそ出し事を受け込みたいな感じじゃないけど
うまくいきそうだったらお願いしますみたいな
こういうの数多くバーっと能力そんな必要ないじゃないですか
先生出番ですみたいな感じか
そうそうそれをいわゆる下っ端がやっててみたいな
いう可能性ももしかしたらあるなってこれ読んでて思いましたね
確かにそれは使い分けてるのか
最初のところの入り口は別に対してそんなに高度なテクニックいらないけど
その先はとかって分かれてる可能性あるってことね
なるほど
メールアドレスから組織名でそこからね
Teamsで話しかけられるかどうかみたいなのを確認して登録してっていう
連絡つくとこまではやらせるみたいな
そういう可能性はあるかもしれないですね
あとはお金目的のよくあるサポート作業との違いは
能動的か受動的かってとこかな
自分たちから行くか待ってるかみたいな違いっていう感じはしましたね
あとはお金目的がどうかってこれもランサムだからお金目的じゃない
確かにそうですね
そうですね確かに確かに
最終だからランサムっていう手段に出るか
で脅迫するかないしは騙して振り込ませるか的なさ
リスナーへのメッセージ
まあ両方脅迫っていう意味では脅迫なのかな
まあそれに近いっちゃ近いか
だからさっき聞いててますますその細かい手段の違いはあれど
だいぶ似てるよね
似てる似てる
そうそうだからよりこうなんかね
そういうサポート詐欺なんて別に会社にはあんま関係ない
みたいな意識を持たれてる方もいらっしゃるんじゃないかなと思うけど
より身近にもう少し考えていただけた方がいいんじゃないかなと思いましたね
そうだね
さっき言った受動か能動かみたいなことはあるけど
ぶっちゃけその項目も別にさどっちだっていいっちゃいいわけじゃない
このいわゆるサポート詐欺のような方法でランサムに完成させても
ありのわけだ
そういう話前もしたよね
したした
逆もまたしっかりだし
これもだから別にランサム完成させなくても
これは組織が狙いでさ
組織内のサポートを装ってるから
いきなり金を要求するのはおかしいからさ
それはちょっと方法としてありえないけど
そういう細かいところの違いは
いろいろバリエーションが考えられるけど
入り口になる部分っていうのは似てるから
ぶっちゃけさ
分かんないじゃん
何なのかっていうのはさ
騙されてる側はこの後何が来るかって予想できないじゃない
そうですね
だからねなんかそのこういうサポート詐欺だから
大したことないとかランサムだから危険とかっていう
そういう区切りは危ないかもしれないよね
そうそう
どっちも入り口同じやぜみたいなさ
そうですね
爆弾の中身が違うだけっていうかね
先っちょは違うっていう
そういう可能性もあるよね
そうそう
そういう意識で見てほしいなと思ってね
そうですね
ありがとうございます
ありがとうございます
はい
はいということで
今日もセキュリティのお話を3つしてきて
最後におすすめのあれなんですけれども
はい
今日は食べ物でして
生ミルキーです
ミルキーはママの味ですか
そうそう
そのミルキーの生ミルキーっていうのが
結構前からありまして
あ、そうなの
食べたことないかも
あ、ほんまですか
結構ね口の中ですぐとろける系のね
他の食べ物で言うとね
花畑牧場のキャラメルみたいな感じかな
わかんない
すぐ溶けよるんですよ
ミルキーは
まあなんか
昔食べたけど
最近はあんま食べれないかもな
ありますよね
そういう昔めっちゃ食べたいの
大人だったら急に食べへんようになるものとか
ありますよね
あんま食べたくないミルキーって
そうですね
ミルキーそのものは
もう何年食べてないやろう
っていうくらい食べてないと思います
だよね
生ミルキー
そうコンビニに売ってたんでね
買ったんです
僕が買ったのは
甘おいちご味っていう
え、いろいろ味があんの
そうなんですよ
これね僕
2個ぐらい見たことで
プレーンがあるんですよ
普通のやつね
ただ単なるミルキーの生バージョン
いわゆるミルキーね
そうそう
それが青色なんですけど
僕がパッと見たら
赤いやつがあったから
なんやろうと思って買ってみた
それが甘おいちご味なんですけど
おー
これはなんか
季節限定とかそういうやつなの
多分ね季節とか
季節というよりは
時期限定とかなんかな
同じ意味はね
違う違う
今年はこれとか例えば
そういうこと
うん
過去のやつを調べてみたら
めっちゃ種類あるんですよ
あ、そうなんだ
うん
どこどこさんの何々みたいな
へー
例えば長野県産シャインマスカットとか
はいはいはい
あとは茨城県笠間産和栗とか
あと岡山県産清水ってもんかな
清水白桃とかっていうのがあったりとか
あとこれはもう全く分からんのですが
キキ&ララの星空クリームソーダ味
そういうなんかタイアップ系か
そうそう
それはもうクリームソーダ味ちゃうんか
って思うんですけれども
あ、じゃあ過去に色々出てるけど
今はこの天王のやつが出てますってことなのか
そうそうそうそう
へー知らなかったな
もしかしたら1回出たらもう当分出えへんのかもしんない
人気があったら再販されるとかあるかもしんない
そっかそっか
プレーン味はすでに出ていて
それ以外のやつは時期ごとによって
出たり出なかったりみたいな感じなのかな
そうそう
富士屋のサイトでも生ミルキーのページ見ると
今プレーンと福岡県産天王って書いてるんで
あと季節限定フレーバーみたいなの書いてるから
多分今出てるのはこの2つなんだと思うんですよね
へーそうなんだ
なかなか本当に一瞬で溶けるんですけど
めちゃめちゃ濃厚な感じで美味しいですね
8粒入りです
生ミルキー
これはコンビニとか普通どこら辺でも買えるの?
そうですね
ローソンファミマではあったかな
へー
うん
そう
甘いもん欲しがった時に冷蔵庫に入れとくといいんちゃいます?これ
おーなるほど
流石よく見つけてくるレコイドね
ですね
いろんなところスーパーなりコンビニなりを
隅々までいつも見るのが好きなのか
おすすめを探しているのか分かってないとこありますね
最近
だから最近どっちが目的になったか分かんないよね
そうそう
いやでもほらさ
僕ら毎週毎週
ほぼ毎週やってるじゃないですか
年間40回ぐらいですかこれ
やってると思うねんけどさ
毎回毎回セキュリティのネタ探すよりも
おすすめ探す方が大変な時があんねん
でもねこれ俺も思うよすげーなーと思って
よく毎週なんかおすすめ違うの出てくるなーと思って
そうっすね
なんか無理やりっていうのもね
違うなと思うから
でも結構昔にちょっと前に買ったもんとかを
振り返ったりするのにはいい機会ですけどね
なんかでもさ
無理やりっぽいなんかこう
おすすめのなんかのやり方みたいなさ
よく分かんないやつもたまにあるよな
そんなんあった?
あったでしょ
なんだっけなんかあったよ
プリン壊して食うとかですか
そうなんか食べ方とかさ
あれあれ言っとくけどあれ本気やから
本気で進めてんだよあれマジで
だから製品とかの紹介じゃなくてさ
何かのやり方みたいなやつとかさ
健康とか言ったことあったよなこないだもんな
あーそれはなんか僕のなんか熱い思いみたいな
そうそうそう
そんなのもあったしなんか
あれはだからもう半分注意喚起みたいなもんですよ
そうそうそう
機嫌とかさ
健康とかさ
あー言ってた
一番の極めつけはこのポッドキャストって言ったことあるもんな
あったっけそんなの
多分なんか300回え?200回記念
あーそっかそっか
節目の時ね
うん
あーまあなんか他におすすめはなかったんだろうね
いやあるって
サグラダ・ファミリアの歴史
なんかちょっとええ感じにしたかったとかそういうことなんですよ
そうね狙ってたわけね
そうそうそう
いやいやでも毎週毎週すごいなと思ってますよ
うーん
なんでねまあ今年最後の通常回か
はい
ということでえーまあ来週収録する内容は
まあ特別回ということですから
おあるんですよ今年も
一応はい用意してるんですけど
誰が誰が来るのかね
そうだねちょっと予想つかないですかね
全くわからないですね
こればっかりはね予測不能な
エンディング15秒を見逃すなみたいなね
エンディングどころか出落ち野郎ってとこもあるかもしんないですけど
そうねはいはい
まあでも実際聞いてみないとわかりませんからね
皆さん楽しみにしておいていただければなと思います
はいじゃあまた次回お楽しみですバイバイ
バイバーイ
