長く使っているもの
一週間お休みをいただきましたね。お久しぶりで。お久しぶりで。もう2週間開くと久しぶりって感じるこの3人ですけれどもね。
まあと言ってもなんかね、その間も話したりとかしてるけどね。そうですね。まあ言うたら昨日も喋ってたなって思いますけどね、3人でね。
そんな間にですね、あのめっちゃ悲しいことがあって。
お二人はどうですかね。ずっと使い続けているものとか、物持ちよく使っているものとかってあったりします?
昔からの愛用品的な?
ずっと同じものを買い換えずに使ってるってことですね。何年も同じものっていう。あんまりない?
あんまりないかもな。筆記用具とかは比較的。
かなり耐久品でもありますしね。
ペン先がダメになっても買えれば使えますしね、きれいに使っていれば。
そこまで別に高級品じゃないけど比較的その辺のお気に入りの筆記用具的なやつは結構長く使ってるかも。
なんか僕もちゃんと使い続けてるっていう風なもので言うと、ジャージなんですよ。
ジャージ?
17年8年くらい前に買ったジャージを未だに着てるんですけど。
相当値段ものですね。
だからサイズ的にはちょっときつくなってもいいはずやのに、伸びきってる部分があるんでちょうどいいサイズになってて、体に馴染んでるんですよ。
その間で結構体伸び縮みあったんじゃないの?いろいろ。
でも僕の場合では下半身はそんなでもないんですけどね。
腰周りがズボンがきつくなるというよりは上がきつくなる方が多かったですけど。
ずっと昔、自分が27歳とかかな、6とか7とかの頃に運動しようと思って買ったジャージなんですよ。
ジャージって生地がナイロンとかポリエステルとかじゃないですか。
引っ掻き傷とかあると絶対ダメな感じでビーって線吐いてするんですけど、それでも吐いてて。
でも腰紐とかも抜けてなかったりするんですよ。ゴムしかないんですよね。腰のところなんか。
それをずっと履いてても、これはもうずっと履き続けようと思ってたんですけど。
ある表紙に洗濯した後に畳もうかなと思ったら、お尻のところの生地のつなぎ目が破れてきてるんですよね。
お尻と同じ感じに割れてきてる感じ。
ちょうどいいやん。
何にちょうどいいねん、それ。
ちょっとこれはヤバいなと思って、めっちゃ悲しいんですけど、脱ごうかなと思って。
それはちなみにそのジャージは結構お気に入りで、外にも着てたわけ?
散歩の時とかですかね。
なるほどなるほど。
散歩とか公園で県水したりとかみたいな時に、いわゆる家着みたいなもんですよ、ほとんど。
とは言っても外でって。
そうなんですよ。だからさすがにお尻が丸見えにはならないんですけど、これゆくゆくは丸見えになる。
分かんないですけどね、破れたところがちょうどいい感じのお尻の溝やったら、夜やったらバレへんかなみたいな。
どういうこと?
分からないですけど。
何言ってんだよ。
ちょっとね、だからこれ黒い糸買ってきて縫おうかな。
黒いジャージなんでね。黒い糸買ってきて縫おうかなとかって。
お裁縫で。
そうそうそうそう。これはもうずっと一生着たいなと思ってるぐらい。
愛着ですかね、なんかね。
もともと気に入ってたのに加えて長年ずっと着てるからってのもあるのかな。
そうそうそうそう。
ちょっとこれは悲しいなと思ってね。さすがにお尻の破れはな。膝とかやったら別にいいんですけど。
お尻はちょっとね、合法じゃなくなってくる可能性もあるじゃないですか。
何言ってんだよ。
イリーガルジャージみたいになってくるかもしれない。
気をつけばあかんなと思ってね。
辻さんミシンとか持ちなんですか?
ミシン持ってないよ。だから手縫いする。
手縫いでいけそうな感じなんですか?
いやでも、このためにミシン買って物を増やすの嫌やし。そもそもミシン使われへんから、僕。使い方わかれへん。
いやまあ、慣れですよきっと。
慣れやけどそんなしょっちゅう破れへんからな。
そうか。けどなんか強度問題でまたすぐ。
あー確かに確かに。
再びまた出会うことがあるかもしれないんで。
あー確かに。ちっちゃくて小回り効きそうなやつとか場所取らへんようなやつってのを考えた方がいいかもしれないってことですよね。
まあでもいいんじゃない?直しながら大事に長く使うってのはいいんじゃないですかね。
まあここの話の流れからどうやってセキュリティに行こうかなっていう。
無理でしょ。
だからまあ強いて言うとパッチのリリースがあればいいんですけど多分もうサポート切れてるからもうあかんので。
そうねはい。
ということでね。
苦しいな。
そんなこんなお便りが来ております。
はい。
セキュリティとCPE
CISSP合格の声。合格しましたってのありましたよね。
前にね。
そういうのは喜ばしい限りですけど維持するのがやっぱりまたしんどい。この方もホルダーなんですかね。
毎年更新時期が近くなると獲得CPEを数えて青くなっていますがポッドキャストの対象になるとどなたかが言っていたのでセキュリティのアレをカウントしてみたいと思います。
確かなんか上限があったはずだけどポイントに確かなるはずだよねポッドキャストとかね。
書籍とかね確かそういうのもあったはずで。
自己検査の一環ということで確か。
情報収集的なアレをしてますみたいなことか。
これポッドキャストを聞くのとポッドキャストを配信するのでも全然ポイントって一緒なんですか。
一応聞いて学習するっていうことを想定してる。
配信はあまりカウントされないんですね。
例えばトレーニングとかセミナーとかも一応実行する聞く側で何時間とかっていう感じになってて。
じゃあこれいけるんですか。
何が。
このポッドキャストもカウントできるのかな。
いっぱいポッドキャスト聞いたらそれが全部カウントできるかって言うとそうはいかないんだけど。
いくつかまでのCPE上限いくつってのは決まってる。
ちょっと忘れたけど一年間何ポイントまでって上限決まってたはず確か。
審査する人というかチェックする人がこのポッドキャスト聞いて
いやこれはあかんやろみたいになったらどうしようかなと思って。
いやいやほらほら。
このあれぐらいになったらさ。
あれぐらいになったら。
あれぐらいになったらリスナーがいっぱいCPE申請してるからさ。
最近日本からのCPEでこのポッドキャスト多いなみたいな。
いいですねいいですね。そこから広がっていくみたいな。
ないかそれは。
公式とかなんかないですかそういうおすすめみたいな。
ないでしょ。
そういうのはないんですか。
積極的に自分たちで売っていこう。
そうですね。地道にやっていきましょうね。
CISSPでも受かるポッドキャスト。
いいですねいいですね。CPEでもいけるぞみたいなね。
そういうお便りいただいてましたね。
あとはですね。バタバタされてたんですかね。やっといろいろ落ち着いてきてですね。
数年ぶりに聞き始めるという。
おお。
数年ぶり。
100回記念は聞いた気がするから90数回ぶりかなっていう。
うれしいですよね。これ帰ってきてくれたの。
昔聞いてたけどちょっとなぜかご無沙汰しちゃったみたいな人が戻ってきてくれるのは嬉しいね。
そうなんですよ。こんだけ90回は約半数離れてたのに帰ってきてくださるっていうのは嬉しいですよね。
リモートになってからだから多分2年近くだよな。
無理せず聞いていただければいいかなと。
特に違和感なくまた聞き続けられるのではなと思います。そんなに変わってないので。
そうですね。大枠変わってないので。
喋ってる奴ら変わってないので。
なんか変わったかなって感じがしますね。
もっと言うと喋ってる奴らが何喋ったか覚えてへんっていうのはある。
大会新選だからね。
そうなんですよね。
いつからでも聞き直せます。
そうですね。金太郎雨みたいな感じで聞いていただければなと。
次ですね。子供の寝かしつけの時にお子さんにお仕事の話をしてと要求をされたので
7月公表のストリックスネットスケーラーの脆弱性CVE-2023-3519を悪用したログインページの改ざんキャンペーンが8月にあったらしくと話していたらすぐに寝てくれました。
お話をしたことについて、なぜかCVEのベーシックメトリクス基本値を出しているこの方。
攻撃基区分が物理。攻撃条件の複雑さは低くて必要な特権レベルが不要。ユーザー関与レベルも不要。スコープ変更なし。CIAに関してはCなしIなし。
可用性に関してはこうというふうなものをつけて悪用成功というふうに書いてたんで。これKEVに掲載しなあかんやつやんけっていうね。お便りが来ておりましたね。
お子さんがどれくらいの年齢の方かわかんないけど、親のお仕事に興味を持ってっていうところは多分嬉しいだろうけど、難しいよな。どういうふうに喋ろうかとかね。
確かに大人同士でも例えば同級生とかね、その昔の例えば同窓会とかあったときに、藤井君今何の仕事してんのって言われたら結構説明難しくないですか?
そうそう。そんなに簡単に言えないよね。セキュリティの仕事って言ってもね、なんかちょっとピンとこないもんね。
そうですよね。ひどいですしね、そもそも。
結局なんかIT系とかって言ってもなんかもうお茶にごすみたいな時とかもありますけど。
IT系だとなんかね渋谷で働いてそうな。
キラキラしてそうな感じっていうか。
そうなんですよね。
これはCVSSの値を出してくれてるんですけど、これはちょっとどうかな。僕はそうじゃないと思うっていうのがあったんですけど。
必要な特権レベルはこれは親御さんが話してるってことなんで、特権レベルは高いんじゃないですかね。
特権高い。確かに高いかも。
誰もができるかって言ったらそうでもないかもしれない。
ある程度の特権レベルがないとこの話をしてというシーンに出会わないと思うんで。
誰の話でもいいわけじゃないもんな。
だから特権レベルは必要なんじゃないかな。
それは鋭い指摘だな。
修正しないといけないかもしれないですね。
ちょっと低めになってしまいますけど値がねこれで。
そんなことも言いながら。
最後のお便りでございます。
セット売りの安い商品
僕が以前に紹介した浅草イマハンのやつあったじゃないですか。
浅草イマハンのあれがセット売りで安くなってたらしいんですって。
オンサイトっていうお店で。通販とかじゃなくて。
許可をいただいて写真を撮影したって言って写真もあげてくださってたんですけど。
もともと3186円のものが2000円っていう。
めっちゃお買い得じゃん。
だいぶ安くなってるんでですね。
セット売りってお得なのか結果高くつくのか悩ましい。
必要ないものも含まれる場合があるじゃないですか。
高いんか安いんかってちょっと難しいところやなみたいなことをやって。
写真もあげてくれてて。
こういうの嬉しいなと思いました。
だいぶ安いですよね。
1000円以上1200円くらい安いってことですもんね。
相当安いよね。
店にも読んだかもしれないですけど、見てみて安かったら買ってみてもいいんじゃないかなと思いましたね。
Syscoの脆弱性による攻撃
毎回ついさんのおすすめのあれはさ、そういう食べ物系だったりいろんなのあるけどさ、
そんなにめちゃくちゃ多くはないけど何人か必ず買ってくれる人いるよね。
確かにそうですね。コンビニスイープ系のやつとか。
意外と音楽も反応があったりとかね。
それはちょっと嬉しいよね。
本編より反応あるんじゃないかと。
いやいやいや。
確かにそうですね。今日のお便り全部本編に全く関係ない話。
シートだとネットスケーラーぐらいかっていう感じではあるんですけど。
なんかでもそういう方が良くない?本編だけの話の反応よりもね。
いろんな反応が来て、ちょっと聞いてくださいよ的なのも。
コミュニケーションできてるっていう意味では全然嬉しいしありがたいなと思います。
嬉しい嬉しい。幅が広がって嬉しいです。
ありがとうございますということで、今を読み上げた方にはステッカーの印刷コードを差し上げますので、
他の方もハッシュタグセキュリティのあれをつけて、Xでポストしていただければいいかなと思います。
はい、お願いします。
じゃあ今日もセキュリティのお話をピオカン語とピオカン語以外でお話をしていこうかなと思ってるんですけれども。
どういうことですか?
最近好きなんですよ。〇〇と〇〇以外っていうのが最近好きで。
セキュリティの話をしていこうかなと思うんですけども。
今日はカンゴさんから行きましょうかね。
じゃあピオカン語とピオカン語以外ってことだったんで。
そうですね。
お願いします。
今日は私はですね、ブログでも投稿したんですけども、
ディスコのiOS XEの脆弱性について取り上げさせていただきたいなと思っておりまして、
結構SNSXとかで非常に話題、一部で話題になっているので、
対応とかでご苦労されてらっしゃる方大変多くいらっしゃるんじゃないかなと思うんですけども、
現在進行形というか、まだまだ動いている状況かなというところがあり、
そもそもこの脆弱性自体の修正版って今の時点で、
10月21日の時点で、確かまだ出てなくて。
そうだね。明日か明後日かで出そうだ。
そんなアナウンサーで出たんですけど、まだ未修正の脆弱性で、
加えてご存知の通り悪用されている活動が非常に広く確認されているものというところもあり、
非常に影響度が心配されるという、
これ何でかというと、Syscoの製品ではあるので、
当然ネットワーク製品の影響が及ぶ脆弱性というところがあり、
なのでネットワーク製品で好き勝手やられてしまった際に、
その接続されているネットワーク領域に対してどういった影響があるかというのをしっかり見ていかないと、
結構怖いなというところがあるんですけども、
ざっくり概要をまず説明させていただくと、
CVEで申し上げると、2つ今回、悪用が確認されていると。
当初はCVE-2023-20198という特権収穫な脆弱性と、
あと未知のメカニズムみたいな形で表現されていたんですけども、
まだ完全としていない手口を併用して攻撃が行われているという話で、
今日の日本時間で朝、未明ぐらいに、
その未知のメカニズムというかその手口としてちょっと分かっていなかったところが判明して、
新たにCVEが裁判されて、
CVE-2023-20273という、
その2つを組み合わせて攻撃が行われているという話でして、
CISCOの評価ではあるんですけども、
前者の20198の方については当然ながらクリティカル評価で、
加えてCVSSの基本値は10.0というところで、
MAXの深刻度があるという形で評価をされていまして、
20198と先ほど話した20273をどういう風に組み合わせているかというと、
まずその20198の脆弱性がですね、
どうも外部に公開されているWebインターフェース、
管理コンソールですね、そちらの管理コンソールに対して攻撃を仕掛けることで、
一番権限の高いアカウントを第三者が作成することができるという、
結構強烈なやつでして、
加えて先ほどの20273の方は、
コマンド、任意のコマンドを実行できると。
なので管理者権限を用いてネットワーク製品上で任意のコマンドが実行できてしまうということで、
今確認されている悪用の事例で申し上げれば、
どうもネットワーク製品上にバックドアと見られるような、
外部から何か注入されているものというのが確認されているというところでして、
強烈なのが観測されている攻撃を受けたのではないかと見られているその台数なんですけども、
いろんなところが外部からですね、攻撃されているだろうと見られるホストの確認をしていてですね、
結構開きはあるんですけど、一番多いもので言うと、
Censusが公表されている例においては、
10月18日の時点で41983件のホストに対して影響が出ているのではないかと。
一番近々で翌日確認された話で言うと5000台減ったみたいな話はあるんですけど、
というところでして、大体おおむねどこも3万とか2万とか結構な数字を出しているというところで、
当然日本もこの中に、割合で言うとそこまで多くはないにしても、
数百台ベースで攻撃の影響を受けたと見られるホストが確認されているという話なんですけども、
Syscoが今回この脆弱性の悪用を、
脆弱性の影響度と対応策
どうも顧客の端末上で確認された不審な挙動というか、
そういったものを通じて確認されたということではあったんですけども、
まだ具体的に脆弱性悪用して仕込まれたバックドアを通じて、
どんなことをされたかというところについては、
まだ情報としてはあまり出てきていなくてですね。
なので、もしかしたらまた先ほど流動的と申し上げたんですけども、
追加でどんなような悪用がされているのかみたいな話が出てくるのかなとは思うんですが、
現状ですとあまりその辺の詳しい情報は出てきていなくて、
出しているところでいうと、
例えばRapid7とかがこんなコマンドがMDRで観測されてログ分析したら事故されてましたみたいな、
そういった報告はしているんですけども、
現状その辺侵害をされた台数がかなりたくさんあるんですけども、
実際にどういった悪用をされているかっていうところについては、
あまり詳しい情報というか、
どういった影響が及んでいるかっていうのがあまり見えてきていなくて、
ちょっとなんとも気持ち悪い状況だなというところがあったんですけども、
ブログ公開した後、いくつかコメントもいただいてたんですけど、
当然私もそう思うんですけども、
そもそも今回この脆弱性確認されたCisco IOS XEっていうのが、
結構なネットワーク製品、エンタープライズ向けの、本当に大手の企業とかが使うような、
そういったエンタープライズ向けのルーターであるとか、
そういった製品に搭載されているオペレーティングシステムのソフトウェアなので、
そういった状況にもかかわらず、インターネットからアクセスできるような状況に
管理コンソールを置いてるんだっていうところに結構やっぱり衝撃というか。
実際、BOD2302でしたっけ、CISAが管理コンソールネットワーク製品のものを出すんじゃないよ、
みたいな命令も出してはいたところではあったんですけども、
やっぱり現状こうなんだなっていうのは改めて思い知らされたっていうところはありますね。
やっぱり今回のこの被害の状況なんかを見ていると。
これどれくらいが意識して空けてるんだろうね。
本当にそこがちょっと見えてなくて。
多分これデフォルトで空いてるから気がつかずそのままみたいなやつがほとんどとか、
意識しないでというかね、そもそも空いてることすら知らないっていう状態のやつとかが、
何万台もあれば多分相当進めてるような気がして、
本当に使う必要があって、使ってますっていうのを意識しているっていうのは、
そのうち1割なのか2割か分かんないけど、すごい少ないような感じはするよね。
実際使ってらっしゃる方からすれば、やっぱりインターネットに
本当に誰でもアクセスできるようなところに置いておくのはまずいって思うのは、
結構私個人的な感覚では普通なのかなと思うので、
むしろそういう通常の使い方をされている方だと、
アクセス制限とかはしっかりやられるんじゃないかなとは思うところではあって、
ねぎすさんおっしゃったように、そもそも使っているっていうか、
そういうのが機能しているっていうのを認識してないのかなとかっていうのも。
意識できたらさすがに絞るやろうっていうことですもんね。
とは思いたいんですけどね。
なんか攻撃を受けているところとか、さっき特権のアカウントを作ることができるっていうふうに
カノさん言ってたじゃないですか。
これまたパッチ当てたけどやられるっていうのが生まれるパターンですよね。
そうなんですよ。
ちょっとSyscoが用意している修正版FIXが果たしてどこまでやってくれるかっていうのはわからないんですけども、
今回仕込まれているバックドア自身は永続性がないと言われて分析されていて、
再起動で消えてはしまうんですけども、
先ほどついさんおっしゃったように作成された第三者が勝手に作ったアカウントっていうのは残り続けるという話ではあって、
なのでしっかりそこもケアしないと、バックドア消えたとしても誰でもまた入ってこられる状況には変わりはないという話ではあるので、
パッチ当て以外に脆弱性の対応っていう意味でしっかりケアしていかないと非常にまずいものだなと。
アカウント管理の重要性
特にゼロデーの期間が1ヶ月ぐらいあるわけですからね。
そうですね。
パッチとかも当てた時に今あるアカウント一覧とか出してくれればいいのにね。
確かにそれはそうですよね。
流石に消すとかはできないじゃないですか。
正規のものなのか悪用で作られたものなのかは見分けつかないと思うので、プログラムからは。
今回もそれっぽい名前なんですよね。
シスコサポートとかシスコタックアドミンとか、
本当にありそうなそれっぽい名前を使っているので、
確かに確かに。
パッと見やっぱり第三者からすると判別はやっぱりちょっとしづらい。
そうですよね。
ADとかだったら、内部で使っている社員が使うようなやつの、
ADとかだったら退職者とかでちゃんと管理してできている組織もあるにはありますけど、
ネットワーク機器の中の権限とかユーザーまできちんと棚下ろしできてるかってなると結構、
ADと比べるとそこまでできてなさそうな感じがします。
なかなか難しいかもしれないですね。
共有アカウントみたいなのがあったりとか。
使っているぐらいの認識はあるかもしれないですけど、
そこにどんなアカウントがあって、誰がどう使っているかっていうところまで。
もともと何があったかみたいなので、
そうですよね。
ピンとこなさそうっていう気はちょっとするので、そこをちょっと怖いところやなと思います。
怖いですね。
あとそういえばカンコさんさ、
サポートチームへの不正アクセス
今回のタイミングで2年ぐらい前の過去の脆弱性も悪用されてましたみたいなので、
アドバイザリーが更新されたよね。
そこが、もともとはその脆弱性自身も、
2年前のものがコマンドインジェクションの脆弱性でして、
タロスが、シスコの対応に当たっていたチームが、
どうもそれを悪用してるんじゃないかって最初は分析していたらしいんですけども、
その後の調査で、やっぱそれじゃなくて、
全然別件の新しい脆弱性を使われてコマンドインジェクションされていたっていう話で、
コマンドの2027さんが裁判されたと。
でもさ、古いやつのアドバイザリーも今週更新されたよね。
そうなんですね。ちょっと私、そちらはトレースしてあげたんですけど。
今週2年経って、脆弱性のエクスプロイテーションを確認していますって言って更新されたんで、
だから中には、今回新たに裁判された脆弱性の利用ももちろんそっちが主だけども、
おそらく放置されていて2年間パッチが当たってないやつも、
今回その同じタイミングでなぜかそっちも悪用が確認されたっていう。
どうもそういうこともあったみたいで。
だからこういうのって、今回たまたますごく目立っているからあれだけど、
スキャンしてるやつも特定のインプラントだけをスキャンしてると、
もしかしたらこのタイミングで他の悪用もやられててそっちが見えなくなっちゃったりとかね。
そういうこともあるかもしれないから、若干一筋縄じゃいかないなっていう印象を受けたね。
さっきの脆弱性の当時はわからなかったみたいなのもそうだしさ、
思ってたよりもあんまりそんなに簡単な事象じゃなかったんだなっていうのが、話を聞くと。
そうですね。
だから侵害された前提で調べるにしても、
想定してたものと違うやつがもしかしたら入り込んでるとかさ、
そういう可能性もないわけじゃないだろうし、
さっきの管理インターフェースが上がってることすら意識していないようなところは、
おそらくパーツのマネジメントもちゃんとやってなかったんじゃないかとかね、
そういうのも考えられるし、
いろいろ実はやられててもおかしくはないよね。
確かに。
複数あるとね、
行われた事象がどの脆弱性由来やったかって調べるだけでも結構大変ですしね。
結構大変ですよ。
本当に最新の状態に常にアップデートしてるような感じだったら、
その未知のものしかありえないってなるだろうけど、
そうでなかったら、
一体これはいつ何でやられたんだろうみたいな感じになっちゃうもんね。
そうですね。
期間が長いとね、攻撃者1人とは限らないですしね、
複数にやられてる場合もありますからね。
厄介だよね、こういうのね。
そうですね。
やっぱり外から見たらどうかっていうのは自分たちで把握しないといけないなと思いました。
いや、本当だね。
はい、ありがとうございます。
はい、じゃあ次にねぎすさんいきましょう。
はい。
不正アクセスの詳細と被害範囲
今週は僕からはですね、
昨日かな、10月の20日にオクターが発表した
サポートチームに不正アクセスがありましたっていう事件を紹介したいなと思ってるんだけど、
これちょっと面白いというか、こういうやり方もあるんだなっていうふうに興味を引いたんだけども、
どういう事件だったかっていうと、
オクターが自分たちの顧客向けのサポートチームのアカウントが、
事前に認証情報が盗まれてたらしくて、
それを使って不正アクセスされましたって言ってて、
なぜその認証情報が漏れてたのかはちょっと書いてないんでわからないんだけど、
どっかの端末からもしかしたら漏れてたのかもしれないし、わからないけどね。
で、そのサポートチームへの不正アクセス、何が起こったかっていう部分が大事なんだけど、
そもそもこのサポートって、例えばオクターを使っているお客さんが、
例えばオクターのサービスを使っていて、何かうまく使えないとかさ、
管理メニューの何かここにアクセスしたらどうもうまく動かないとかわからないけど、
そういういろいろトラブルがあった時に、
トラブルシュートをするために、客さんからサポートチーム宛てに、
うまくいかなかったトラブルが発生した時の、ブラウザ上でのHTTPのアーカイブのデータ、
拡張者が.harっていうふうになるデータをアップロードしてもらって、
そのデータをサポートチーム側と共有して、お互い調べてトラブルシューティングしましょうみたいな、
そういうことをやっているらしいのね、普段の業務として。
これ自体は正常な業務なんだけど、
.harのファイルってこういうトラブルシューティングでよく使われるやつで、
ブラウザのデベロッパーツールとかで簡単に取得できるファイルで、
JSON形式でファイルがエクスポートできるんだけど、
この中にいろんなパフォーマンスのデータとか、いろんなデータが入っているんだけど、
当然ながらブラウザでOktaのサービスにアクセスをした時の、
リクエストとかレスポンスのデータの詳細も入っているんで、
実はこの中にはそのトラブルシューティングで、
調査を依頼した顧客のOktaのアカウントの認証のトークンとかも入っているわけ。
クッキーとか?
そうそう。
このHAファイルを使ってこういうトラブルシュートをするっていうのは、
よく知られている方法なので、
一般的にはそういったセンシティブな情報は除いて、
やり取りしましょうみたいなことが言われているんだけど、
普通に面倒くさくてそのままやっちゃうじゃない?
特定もしやすいですね、セッションは。
そうそう。今回のOktaのケースでも、
複数の顧客がそういうデータをサポートのチーム宛にアップロードしていました。
攻撃者はそのサポートチームのアカウントを乗っ取って、
その顧客からアップロードされたファイルの中身を見ることができました。
特定の、どうも限られた少数の顧客らしいんだけど、
特定の顧客の認証のトークンのセッションクッキーの情報を見て、
その顧客のOktaのアカウントに不正アクセスを試みました。
どうも最終ターゲットはOktaそのものでなくて、
そのOktaを使っている先の顧客だったっぽいのね。
なるほど。
その後、その被害の範囲がどのくらい大きいのかっていうのは、
Oktaがちゃんと書いてないのでわからないんだけど、
一応僕が見ただけで、うちに被害があったと言っているのは、
ビヨンドトラストっていう、これは別のIDの製品を提供している会社なんだけど、
クラウドフレアがOktaのアカウントに対する不正アクセスがあったと公表していて、
そのビヨンドトラストっていうところが、
実は一番最初にこの事件を見つけたところらしいんだけど、
そこのブログの記事によると、10月の2日、2週間、3週間くらい前に、
その今言ったような、まさにOktaのサポートチームとやり取りをしていて、
HTTPのアーカイブのファイルをサポートにアップロードしたら、
その30分後に不正アクセスされたと。
早っ。
そう、めちゃくちゃ早くて。
だからこれ多分攻撃者側が侵入してデータを監視したんだろうね、きっとね。
ずっと見てたんでしょうね。
わかんないけど、この会社ももしかしたらもともとターゲットに入ってたかどうかわかんないんだけど、
多分そういうのを見てたんだろうと思うんだけど、
たまたまこのビヨンドトラストって会社は、
自身もID系の製品を提供している会社で、セキュリティが結構しっかりしてたんで、
セッションクッキーが取られていても、特定の端末からこういうポリシーでとかガチガチで固めてたんで、
不正アクセスではブロックしたらしいのね。
ただし一部のAPIのトークンとかが使われてしまって、
不正アクセスを完全には止められなかったって書いてあるんだけど、
でもすぐに気づいて対応できましたって言ってて、大きな被害にはならなかったと。
優秀ですね。
さすがだよね。
どうもこれは我々の側ではなくて、これはオクタ側から漏れたのではないかとすぐに気がついて、
オクタに連絡をして、ただオクタはすぐには原因が特定できなくて、
2週間くらい調査をして、ようやく今週になって、
うちのサポートチームから漏れてましたっていうことが確定できてっていう、
そういう流れだったらしいのね。
その調べてる間にどうもクラウドフレアは不正アクセスをされちゃったと言ってて、
ただクラウドフレア側も同様にしっかり防御してるんで、
ひどい被害を受ける前にブロックできたって言って、
ちゃんとできたよっていうブログの記事を公開してるんだけど、
そういう感じでいくつか連鎖的に被害が発生したというか、
そういう事件がありましたということで、
もしかしたらこの後もうちょっと顧客として被害を受けたところが報告を上げてくるかもしれないんだけど、
ちょっと今の時点で僕が見つけられたのはそれぐらいでした。
だからオクタのサービスって、別にオクタが悪いかどうかっていうと、
オクタが悪いっていう面ももちろんあると思うんだけど、
オクタに限らず、この辺のサービスって世界中でものすごく広く使われてるので、
前にフィッシングのターゲットになったりだとか、
ラプサスだったかな、ソーシャルエンジニアリングのターゲットになったりとか、
結構な頻度でオクタさんは攻撃の者に狙われてるんだよね。
そうですね。
セキュリティ対策と防御手段の重要性
その大手の会社とか、本当の真のターゲットの会社もオクタを使ってるからという理由で、
そこを狙うための踏み台としてこういうところを狙うっていうことはこれまでもあったんで、
今後もこういうことはあるんだろうなというのと、
今回はたまたま事例に出てるところがしっかり結構防御しているところだったんで、
認証トークン盗まれたぐらいでは不正アクセスされなかったという、
いい事例として出てるんだけど、果たしてこういうことが起きたときに、
どれぐらいの会社がちゃんと防げるんだろうかなっていうのをちょっと心配になったというか、
防げるかの前にそもそも気づけるのかもありますもんね。
そうなの、そうなの。
で、これもその前に別のところでも言ったけどさ、例えばインフォスティーラー系とかでクッキーから直接セッションの情報が漏れちゃうとか、
もうすでに認証済みのそのトークンが盗まれちゃうと、例えばMFMを聞かないだとかさ、
いろいろあって結構気づきにくいっていうのは前からいろいろ言われていて、
今回のケースはマルビア由来でなくて、まさかだけど使っているサービスのサポートから漏れてましたっていうちょっとイレギュラーな感じではあるんだけど、
ただその経路がどうあれ、こういった自分たちが使っているサービスのクレデンシャルが自分たち以外から漏えいした場合に、
それを想定してすぐに気づけるかとか、
ないしはそういった場合にすぐに不正アクセスされないような防御手段がちゃんとあるかっていうのは、
まあそろそろこれはもう当たり前に起こり得るっていうふうに考えてやらないとダメなのかもなっていうことをちょっとまた思って、
でもこれ多くの会社とかは組織は難しいんじゃないっていうのもちょっと思って、
今回のような攻撃手法は特殊といえば特殊だけども、まあでもかといってそんなに珍しいというわけでもないんで、
大丈夫かなこれとかね、うちは大丈夫かなって思うところ結構多いんじゃないかなと。
聞いてても本当に夏前でしたっけ、マイクロソフトアウトロックがやられたっていう事例なんかも、
気づかずにクラッシュダンプがデバッグ関係に入った時に問題があって、
署名カギっていうかそういった情報が気づかず入っていたっていうのが盗まれたっていう話ではあったんで。
あったよね、あれもマルコソフト自身から漏れたけどもその結果そのサービスを使っている顧客に影響が誘ったってやつだもんね。
そんなめちゃめちゃなんかもう珍しいかっていうと、結構じゃないにしても目にする機会はやっぱポツポツあるなっていうのはネギさんおっしゃった通りですね本当に。
あと多分だけどマイクロソフトもそうだしオクタもそうだけど、おそらくそのターゲットの流量なところとか、
普通には直接狙いにくいっていうか侵入経路が見つけにくいところも、こういうサービスを経由すれば入れちゃうっていうのが多分あるから、
狙われやすい面もおそらくあるよねきっとね。
ここやっちゃえばかなり広くいけますからね。
鍵を一個ずつ盗むというよりは鍵束を盗むに近いと思うので。
鍵を管理している、鍵とロッカーを狙うみたいな感じのイメージだから、そりゃ効率がいいわなっていう。
オクタ側はこのセッションを執行させてるとは言ってますけど、
これ執行するまでの間にやられてたらっていうのがわからない顧客もいっぱいいそうですよね、おっしゃってる通りで。
一応オクタ側はこのサポートへの不正アクセスで漏れた認証のデータと影響を受けた顧客には通知をしていて、
対応しているので通知がなかったところは影響を受けてませんみたいなことを言ってて、
しかもごく限られたところしかやられてませんと言ってはいるんだけど、それを顧面通り本当に受け取っていいのかどうかとか。
届いてる、オクタと言ってるだけで呼んでるかどうかわかりませんしね。
今回はもしかしたらその通りかもしれないけども、
使っている顧客側も多分今回のクラウドフレアとかビヨンドトラストみたいに、
完全にそのオクタ側に任せきりでなくて、自分たちももし何かあったら自分たち側が先に気づけるぐらいのカーブの体制を整えているから対応できたのであって、
そうなってないとちょっとこういう経路は防ぐのが難しいなぁと思って、気づきにくいよねこういうのね。
でもなんかこういうサポートのシステムとかそのコンピューターがやられましたから始まる話、
ちょっと最近ここ1年2年目立ってきたなっていう印象があって、
そうなんだよね。
で、この顧客に対してはリセットしましたとか、そういう事象の説明することは大切、
井の一番にしないといけないことだとはいえ、
この盗まれたクレデンシャル使ってサポート管理システムにアクセスされましたっていうのに関して何でっていうのがないんですよね。
これまでの他の事例でもさ、開発者の端末がマルウェアに感染していたとか、
なんかその初期侵入のところの経路がなんかモヤっとしてるやつが多くない?
そうなんですよ。
そこが知りたいんだけどなーっていう。
そうなんですよね。そこを抑えられないと結局これの発端は消せないっていう話になるじゃないですか。理由がわかんないっていうところで。
根本原因が潰せないままに対象両方的にちょっとなんかね、やっているようにも見えなくはないので、
そこはなんかしっかりね、公表できないこともあるかもしれない。
もちろんもちろん。
なんか他の他社への教訓とかにもなるようにさ、うちもこれでやられたからみんなも気をつけなみたいなことは言ってほしいけどね。
そうなんですよね。なんか結構その仕事の仕方としてリモートも当たり前になったり、
その中には組織外の人が入っている場合もあるじゃないですか、そのシステムを使っている人っていうのは。
例えば協力会社だとかね、いろいろあると思うんですけど、
そういうのが当たり前になっているから、なんか守ってもらわないといけない大事な情報というか、
さらにその攻撃広げられるような情報を扱っている大きな会社ほどいろんな人がアクセスするっていうのがあるから、
なんかますますやられる確率が増えるんじゃないかって怖くなっちゃうんですよね、これ見てると。
いやそうかもね。
なんか結構全然関係ないと思えないというか。
いや本当だね。だって今まさに言ったみたいなサードパーティーのっていうか、
業務委託してる人からとかっていう事例も過去に結構出てるしね。
そういうのを考えると、どこまできっちり守れるかっていうのは難しい面あるからね。
そうなんですよね。なんか自分たちが使っているシステムから漏れた情報で何かされるということじゃなくて、
自分たちのシステムでも大丈夫かっていう考えるためにここは明らかにしてほしいなぁとか思うんですけどね。
環境だけでもいいって言ってほしいなと思いますよね。
そうだね。
はいわかりました。ありがとうございます。
はい。
ダークゲートの悪用
じゃあ最後僕なんですけれども、今日僕がちょっと取り上げるのは、
ダークゲートっていうマルウェアですね。
はい。これ調べてみたら2017年ぐらいから出回ってたドロッパーとかローダーとかって言われるようなものなんですけども、
これ自体も機能を持っていて、例えばリバースシェルですね。外からコマンドを実行できるようにする機能だとか、
キーログをしたりとか、あとクループボードとかブラウザーに代表されるような保存されている認証情報、クッキー、
そういったものを取るっていう機能もありつつ、暗号資産のマイニングもできたり、
あとそこからドロッパーローダーというとこなんで、リモートアクセスソフト、例えばHVNCとか隠れて動くVNCですね。
操作しているのが見えないような、正規の利用者からわからないように動くようなVNCとか、
あとそれのAnydesk版とかそういったものを掘り込むみたいな、結構多彩なというか多機能なドロッパーローダーがあるんですよね。
これが2017年から出回ってたとはいえ、今年の6月の7日にいろんなフォーラムに宣伝の書き込みが始まりまして、
開発者というふうに言っている人がですね、書き込みを始めて売りますみたいなやつなんですけど、
当に曰く2017年からこれめっちゃ開発頑張ってて、2万時間以上を投資してきたプロジェクトなんですみたいなところから始まるんですけど、文章が。
この宣伝者の書き込みによると、1日使うんだったら1000ドルで使わせてあげますというふうに言っていて、
1ヶ月だったら2万5千ドルで使えますというふうなもので、かつ10人あんまり広めるつもりないんで、
10人限定ですみたいな感じで、僕が見たフォーラムには書かれてあったんですね。
これがどういうふうな攻撃に使われたのかということなんですけど、
こういうローダー系のものでだいたいメールでばら撒かれたりとか、あとはウェブですかね、
例えば広告とか、あとはSEOのポイズニングで使われたりとか、みたいなものを経路とするケースがやっぱり多いんですけれども、
今回はその経路が違っていて、この2つではなくて、調べていたレポートを出してくれた会社だと、
トゥルーセックとかトレンドマイクロがこのことに言及してたんですけれども、
今年の8月29日にマイクロソフトのTeamsとSkypeのチャットメッセージにダウンロードリンクとか、
添付ファイルをくっつけてくるっていうふうな経路で送られてきてたと。
1つはシェアポイント上にホストされていて、中身はPDFに模したリンクファイルだったりとか、
PDFに見えるようなファイル名になっている、実はスペースがブワーってついていて、後ろの方には.vbsってついているファイルがくっついてきてたと。
内容に関しては聞きやすいというふうなところもあって、新しい契約書を確認してくださいだとか、
休暇スケジュールの変更みたいな内容で送られてきているチャットメッセージが来てたそうなんですよ。
1つは前者のほうですね、Teamsで送られてきてたほうに関しては既存の会話に割り込んでくる形で来てたと。
トレンドマイクロのレポート
エモテッドとかみたいにメールでスレッドハイジャックみたいな感じで来るじゃないですか、アカウント乗っ取ってそこから来るみたいなのと同じで、
そのチャットを送るプラットフォームのアカウントを事前に侵害して、もしくは侵害したものを購入してっていうふうなものがあって、
いわゆる成りすましで送ってきているので、今まで会話してた人から送られてきたように見えるようなものが来てたというふうな経路で来てたそうです。
送られてきてたファイルをポチッというふうに開いてしまうとどうなるかというと、
フォルダー作ってコピーした後にリゲームしたCURLと読む人もいますけど、ファイルをダウンロードしてくるWgetみたいなやつがWindowsで標準でつくようになりましたけども、
それを使ってAUTOITっていうソフトウェアの本体と、それをどういうふうに動かすかというふうに実行するスクリプトを落としてくるそうなんですね。
このAUTOITっていうのはGUIの操作とかコマンドとかをいわゆるバッチ処理的な感じで自動化するためのフリーウェアなんですよね。
これは2018年ぐらいからのダークゲートもこの手法でずっとやってきてたそうなんですけれども、
エモテットとかカークボットとかアイスドIDみたいないわゆるプリカーサーマルウェア、先行マルウェア、ローダーというふうに言われるやつでは、
こういった悪用はトレンドマイクロいわゆる確認はされていないので、結構ユニークな特徴なんだなというふうに書かれてありました。
なぜこんな手法とこのダークゲートを取り上げたのかというと、ダークゲートそのものの悪用方法はこれまでずっと長くありましたし、様々ではあるんですけれども、
トレンドマイクロのレポートの途中に、ダークゲートはブラックバスターっていうランサムグループと関連しているツールなんですみたいなことが書かれてあったんですよね。
ブラックバスターとカークボット
これはちょっと関係あるやんけ、ブラックバスターから僕に関係あるかというとちょっと語弊あるんですけど、
なんかちょっと見とかなあかんやつやんけみたいな感じのね。
ウォッチされてらっしゃる。
ウォッチ範囲、まさかのウォッチ範囲界みたいなところで、
そうそう。それで結構このブラックバスター、僕最近結構気になってて、
8月にカークボット、別名Qボットとか言われたりしますけども、それのインフラが全てじゃないにしてもテイクダウンされたってニュースあったじゃないですか。
うん、なんか大きなニュースになってましたね。
そうそうそうそう。なんか配信システムはテイクダウンされてないんじゃないか説みたいなのもありましたけども、まあまあそういう発表がありましたと。
それをカークボットってブラックバスターの先行マルウェアでよく使われてたんですけれども、
8月にテイクダウンされた後、9月のブラックバスターのリークの件数がブラックバスター登場から見て初めてゼロ件になったんですよ。
ブラックバスター僕は2022年の4月ぐらいからリークを確認してるんですけど、これまでゼロになったことって1回もないんですよね。
それが初めてゼロになったんで、カークボットのインフラがやられた、テイクダウンされた影響もあるのかななんていうふうにも思っていて、
ゼロになったのはいいことかなというふうに思ってたんですけども、それと入れ替わる形でダークゲートのキャンペーンが増加してますよみたいなものを見て、
今月、10月に入ってからブラックバスターのリーク件数見てると、またいつもと同じぐらいにポツポツ出てき始めている。
これたまたまかもしれませんし、システムの中に入った後、脅迫して連絡もあってリークするまで間が空いてるんで、
一概にこのカークボットが止まってダークゲートが使われ始めてるんじゃないかってことが完全に相関してるのかということは言えないかもしれないですけれども、
ちょっとこれ気になったなっていうふうなことと、一つそういったものがやられてしまう、止められてしまうっていうのはすごくいいことだと思うんですけど、
やっぱり入れ替わり立ち替わりでトカゲのしっぽ切りみたいな感じになるんやなっていうふうなことを思って気になったので紹介したという話でございます。
なるほどね。前からついさんとかがよく話をする、いわゆるラースモデルっていうかさ、
人とか役割がうまく分担できてるっていうのがあるじゃない?
分業専業みたいなね。そうそう、ランサムウェアを開発するオペレーターとかデベロッパーの人たちと、実際に侵入をするアフィリエイトの人たちと、
あとはその侵入経路を得るアクセスのブローカーの人たちとかみたいな感じで、うまくビジネスが回ってる的なのがあるけど、
加えてその人たちの役割に加えてというか、今言ったようなインフラ、マルウェアを配るインフラとか、
そこに人々を呼び込むためのインフラとかテクニックを専門にやってる人たちとか、
あとそのインフラを使ってランサムウェアを配るっていうところをビジネスにしてるとかね。
いろいろ利用してるというか、やってる人たちの分担プラス、ツールとかインフラとかの分担もうまくできていて、
だからこそその科学ボットみたいなのが、例えば1個大きいのがテイクダウンとかされたとしても、
多少影響は受けるんだろうけど、今回のやつが本当にそれが影響をどれくらいしてるかっていうのははっきりわかんない。
サイバーギャングの役割とインフラの運営
さっき言ったとおりだけど、
ただ、そういうことがあっても何食わぬかは別のに配信インフラに乗り換えて活動を続けるみたいなことはあってもおかしくないなって全然ね。
そういうように思えるような、うまくそういう分担っていうか、大体となるようなそういうインフラが、
公益者にとってのインフラがたくさんあるのが現状なのかなっていうのを今聞いてて改めて思ったんだけど。
そうですね。ランサムの話で言うと、だいたいラースがいてアフィリエイトがいてIABがいてみたいな。
IABっていろんなものを持ってますけど、その認証だったり脆弱性の利用だったり、そういうあるいは配信インフラとか持ってたりしますけど、
例えば仮に一番大元であるラースを止めたとしても、結局ラースって複数あるんで、
会社がつぶれてもアフィリエイトは転職すればいいやと他のラースに行けば済む話なんで、結局やっぱ止められないっていうのがあるなっていうのは改めて思いましたね。
どこが止め止まっても結局変わりがいくらでもいるなっていうのは。
あとね、もともと複数のラースと契約っていうか、両方やってるとか複数掛け持ちでやってるアフィリエイトとかもいるしね。
だからそういう意味ではこういうボットとかのインフラも複数使ってるとか、特定のランサムウェアが今言ったみたいに特定のボットとかローダーから配られる場合もあれば、
複数そういう系統があるっていう場合もあったりとか、複雑に結構結びついてるじゃない、こういうのが。
だからそれを把握していってもちょっと変わっていったりとかさ、あるいは新しいのがどんどん出てきたりとかするし、なかなかこれを全体像を把握して抑えていくっていうのは結構難しいよね。
ネギスさんとかがよく見ているD-DOSのシステムとか、ブーターとかストレッサーとかのテイクダウンの話とかも過去してくださいましたけれども、それも結局フロントエンドが止められただけでインフラが止まってるわけじゃないから。
他にも入り口いっぱいあるからっていうのと同じような感じだなって、どこもそうなんやなっていうふうには思いましたね。
非常に厄介やなというふうに。
全然僕ダークゲートなんかノータッチだったんで、この件まで。
そんなやつおんのかぐらいの感じでしか思ってなかったんですけど、これはブラックバスターとかみたいな瞬間にちょっとテンション上がって。
テンション上がって?テンション上がってないじゃん。
ちゃんと調べなあかんって思ったんですけどね。
そんな感じでございます。
ありがとうございます。
ありがとうございます。
泥ソースの紹介と関西の食文化
ということで、今日もですね3つのセキュリティのお話をしてきたので、最後におすすめのあれをちょっと紹介しようかなと思ってるんですけども、
今日紹介するのはですね、これ聞いてる方で関西圏の方だったらもう何より今更感のあるものかと思うんですけれども、
最近ちょっと久しぶりに焼きそばめっちゃ食いたなってですね。
焼きそば?
焼きそば食べたかったんで、ソースを買いに行ったんですよ。
そのソースをちょっと紹介しようと思うんですけど、オリバーソースっていうところの泥ソースっていう。
泥?
はい、泥ソースっていうやつなんですけども。
それは何?今のお話だと関西では超有名なの?
超有名です。
全然知らないんだけど。
もうちょっと言うと、正式名称は泥ソースでいいんですけど、枕言葉みたいなのがついて、濃縮旨辛泥ソースですね。
濃縮旨辛。
全然ピンとこないんだけど。
前さ、オタフックソースか何か紹介しなかったっけ?
した。
したよね。
あれは何だっけ?お好み焼きとかで使うんだっけ?
そうそう。僕の感覚なんですけれども、オタフックソースの方が関東圏の人たちもよく知ってるんじゃないかな。
そうですね。オタフックソースはいろいろ見かけますね。
でもあれも一応関西のやつだよね。
そうそう。
そうだよね。でも僕も知ってたぐらいだからな。
でも今回のやつは全然知らないわ。
焼きそばするんだったら僕は泥ソース派なんですよ。
そうなんだ。
濃縮旨辛ってついてる通り、ノーマル無印の泥ソースでもちょっとピリ辛って感じなんですよね。
僕の場合は、こってりしたソース焼きそばが食べたかったんですよ。
なので、これは沈殿製法っていうやつで、濃い部分だけ取っとるんですよ。
沈殿部分だけみたいな感じのやつで取って。
上積みは使わねえと。
そうそう。
それを長期熟成してみたいな感じのやつ。
濃いめって言えばいいのかな。ソース自体がそのものが濃い味付けのもんだと思うんですけど。
そっちのほうがやっぱり辛くて、辛味もあって、泥っていうぐらいのこってりしてる感じが僕はするんですよね。
なんかさ、わからないけど関東のほうだと焼きそばとか作るときって、
ウスターソース系とか、あんまり濃くないやつを使うイメージがある。
そうなんですよ。
冷凍食品とかコンビニで売ってるようなやつをちょっと焼きそば食べたいなと思ってて、
買ってくることもあるんですけど、もうなんか食べた気せんのですよ。
確かにそういうのがデフォートの感覚だと薄くってか物足りなく感じるかもしれないね。
焼きそばのようなものみたいな。
そこまで言うかよ。
僕の口に合わないというだけですけど。
そこまでの答えは好みの問題であるために。
これだいたい焼きそばって焼くときにソース絡めていくでしょ?
まあそうだね。
それじゃ足りないんですよ、私。
え?
ガーってやると焼けてるからちょっと味薄なってるんですよ、ここからすると。
ちょっと味トンドンなみたいな。
全部焼き終わった後に食べるときにまたかけたりするわけ?
2回目があるんですよ。
オイドロがあるんですよ、オイドロが。
それをかけて。
確かにオイソースってか普通にかかってる写真載ってますね。
公式サイトも。
お好み焼きとか焼きそばとかたこ焼きとか。
しょっぱそうですけどね。
ちょっとなんかそれはしつこいようなイメージが、ごめん食べたことないからわかんないけど。
塩分多そうな感じですかね。
僕基本的に何でもしつこいぐらいがちょうどいいって思ってるタイプなんで。
え、それはあれなの?
水産コーチの好みの問題もあるだろうけど、関西の人は結構そういう食べ方が多いの?
関西の人って言うとちょっと広くなりすぎるかもしれないですけど、少なくとも我が家では。
狭いね。
いきなり狭くなりました。
うちの母親とか。
関西からいきなり実感だったんですね。
結構濃い味が好きな家で育ったんで。
なるほど。
公式のオリバーソースのサイトにも書いてますけど、
餃子にかけるとか、
あと味付け卵にかけるとか、
あとせんべいにかけるってあるんですけど。
せんべいもありますね。
せんべいにソースかけるんですね。
せんべいにかけるのはおすすめ。
これもおすすめがあって、
コンビニにたこせんみたいなやつ売ってるでしょ?
みりんがちょっと塗ってあるやつ。
せんべい。わかります?
赤みのある色で。
たこせんって言われるような。
これには僕必ずソースかけて食べます。
へー。
なので結構いろんな料理の幅も広がるんでいいですし、
あと僕先ほど無印のドローソースって言いましたけども、
もっと辛い方がいいっていう人は
カプサイシンが5倍の辛さのやつもあります。
ある。辛さ5倍ってある。
これ普通にこっちの関東圏でもスーパーとかコンビニで手に入るの?
コンビニでは僕見たことないです。
どこ?スーパー?
スーパーですね。
通販でもいいですけど、僕はスーパーで買いましたけどね。
じゃあ一応メジャーなものではあるんだ。
そういうところで手に入るんだね。
コンビニはたぶんおたすくは置いてるコンビニで見たことあるけど、
ドローを置いてるの見たことないですね。
へー。またこれドローって書いてあるから
なんか目立ちそうだよな。
そうなんですよね。ソースよりもドローの方が大きく書いてるんで。
だからこれはソースじゃなくてドローかもしれへん。
ドローそばかもしれへんなってところもあるな。
名前もちょっとインパクトあるよな、ドロー。
お二人はこのドローソースで使ったことあります?
いや、全然ない。
そっかそっか、じゃああんまり見たことないって感じなのかな。
でもちょっと興味はあるな、なんかな。
はい、興味だけは。
興味だけってどういうこと?
すみません、ちょっと。
なんかね、いや美味しそうではある。
美味しそうです。
そうですよね、ぜひ。
笑ってんねん!
辻さんの家に行ったらこういうの出てくるのかなと思って。
あ、だから僕の家にお二人が遊びに来ることもたまにあったじゃないですか、コロナ前とか。
そうですね。
そういう時に焼きそば作れって言われたらドローソースに。
ドローが出てくるんですね。
楽しみだな。
神戸の会社のドローソース
ちなみにこれは大阪の会社じゃなくて一応神戸の会社ではあるんですけど。
あ、そうなんだ。
そうなんですね。
ぜひ見かけたらちょっと買ってみてもいいんじゃないでしょうかということで紹介させていただきました。
はい、ということでまた次回のお楽しみです。バイバイ。
バイバイ。
