トラッカーとワイヤレス充電、そしてお便り紹介
買いましたよ。あのトラッカー。 あー、こないだカンゴさんが紹介したやつ?
カード型のやつ? カード型のやつとキーホルダー型っていうか、それこそエアタグっぽい感じの丸濃いやつ。
めっちゃトラッキングしてますね。 めちゃくちゃトラッキングしたろーって言って。
トラッキングのやつで、カード型のやつとキーホルダーみたいなやつを買った時に、
とうとうそれとそれに付随して満を持して我が家に投入されたアイテムがまた一つ増えまして。
何でしょうか? チー充電ですね。 今まではワイヤレスの充電なかったんだ。
そう、全部ケーブルで充電してたんですよ。 マジですか? だって僕のね、主のというか僕の個人の携帯ってチー充電対応してないからさ。
ナッシングフォンの3A。 3はなんか対応してないのかな?Aが対応してないのかな?
なるほどね。まあでもほらアップルウォッチだとかiPhoneとか他にもいっぱい持ってるじゃん。 でもほらアップルウォッチはアップルウォッチの充電あるからさ。
まあそっか、表情のやつがね。 そのためだけに買うのはどうかなーって思ってて、 でもあのカード型のやつはチー充電しか無理やということが買う時に分かって。
ああそうなんだね。 そう、せっかくやからと思って。 僕今iPhoneがAirになったから
チー充電できるし、それで結構スタンド型っぽいやつ買おうかなと思って。 折り畳みのちっちゃめのねやつで、本当それこそ出張の時とかにも持っていけるような。
あれで一個で3つ充電できるからさ。イヤホンも充電できるからさ。 イヤホンは知らんかったんですけど僕のイヤホンのケース
対応してたんですよ。チー充電に。 まあ結構最近のいいやつは対応してるよ大体。
いやすごいね、置くだけで充電できるってすごくない? だいぶ前からあるけどね。 いやマジで未来来てるなぁと思ってさ。
いやいや君が遅れてるだけよ。 あ、そうか未来が来たんじゃなくて僕が過去から来たってこと? そうそうそうそう。
そういうの多いよね僕ね。 だいぶね。でも良かったね。 なんかね、あんなんさ、もう本間に思うねんけどあの
机丸ごとチー充電にせえよって思いましたよ。 それはちょっとコストがバカにならんだろう。
でもあの、なんやったらもう家の床全部チー充電にしてさ、なんかもう僕の疲れも治せよみたいな。 床段みたいにポカポカするみたいな。
すみません充電されそうです。 僕もチー充電に対応していきたいなって。 でもそういう意味ではあれだよな、高周波とか低周波とかそういう治療機あるじゃん。
ああいうやつをね、壁とか床とかに埋め込んだらいいかもね。 確かに、なんか床にあったら足の裏ほぐれるかもな。
足からなんかいい感じにほぐれてくるみたいなさ。 そうそうそう。ほんでね、そのトラッカー試してんけど、いろいろ実験したんですよ、家にこう1個、2つあるから1個は財布に入れて。
テストね。 そう、で1個は一応家に置いとこうと。 でやってみてんけど、やっぱね、家出てすぐ検知は無理やな。
あ、そう。 1駅ぐらい離れてから来たんやけど通知。 そんなに? それはちょっとおかしいっていうか、なんかあれかなぁ。
なんででしょうね。 なんかね、いろいろ調べたらやっぱその常時こうBluetoothの動きをOSが見てるわけでもないし、位置情報やとやっぱちょっと遅れてくるみたいなやつがあって、なんか僕がやりたいなって言ってることを実現したかったらもうちょっと工夫がいるかもしれへんみたいな結論ですね。
なるほどなるほど、その持ち物を置き忘れていかないようにっていう、その推算的な使い方にはちょっと難しいと。 そう、無くしたものをどこでやねんっていうふうに探す用途、だったらこれでいいと思うんですけど、本当ちょっと置き忘れてすぐ取り戻らないみたいなのにはちょっと違う工夫なんかと組み合わせるとかをしなあかんっぽい感じですね。
確かに常時チェックすると多分ねバッテリーの持ちにかなり影響するから、多分そこら辺はそういう工夫が入ってるんだと思うけど。 そうかそうか。そうなんですよね。ちょっとね、違うもんで解決しなあかんかもしれへんなっていう感じではあるんです。まあこれはこれででもやっぱあると便利ですから。
まあそうね。 うん、これはこれで使いつつちょっと自分に合った通知方法みたいなのを考えてこれからやってみようかなとは思ってますけどね。 そうですね。未来へようこそ。そうですね、本当になんかこう、あのカードの薄型を持ってるという気持ちがちょっとテンション上がるな。
確かに。 なんかな。まあわかんなくはないよ。なんか仲間入りできたなみたいな感じの気持ちが生まれましたね。
ようこそいらっしゃいまして。 ありがとうございます。遅れてきた感じですけどね。はい、そんな感じで今回もお便りが2週間ぶりのご無沙汰でございますけれどもお便りが来ておりましてですね。
はい、お願いします。 今のそのトラッカーの話でのお便りも来ております。エアタグの話を聞いて自分のタグの電池を確認したら切れでた。
あわてて電池交換した。こういう気づきも得られるポッドキャストということで。 あーそれはちょっとあれだね。デバイスルーって違うのかな。
あのアップルの純正のエアタグだとさ、電池切れるまで通知が来るけどね。 あーもう俺あかんわみたいな通知が来る。電池交換してくださいとかって出てくる。
でもまあほら通知もさ、なんかと一緒に見逃すこともあるやん。 まあね確かにね。来てたのかもしれないもんな。それは確かに。
アプリとかでもさ、なんかなんか通知来てて、もうその後から通知来たらその通知に上書きされて表示されるやつも中にはあったりするやんか。
そう何が何かいっぱいね。例えば打ち合わせ長い時間してたりとかしてその後見たら通知いっぱい来てて、その中に埋もれてサッと流してしまうとかもね、あるかもしれへんから。
そうですね。 定期的にちょっと確認するのもいいのかもしれないですね。こういうのね。たまに探すアプリを立ち上げてみるとかっていうのもいいんじゃないかなと思いますけどね。
それでまた関連してなんですけども、探す機能。新婚旅行でロストバゲージされた時にトランジットのところにはありそうっていうのがわかったので、ちょい安心感あったのを思い出した。
使えない国があるっぽかったので100%ではないけどっていう。 なるほど。使えない国があるの?
これなんかね、僕そうなんかなと思って調べたんですけど、そのままそのいわゆる電波法的なやつというか、
なんかね、あとね、探すはね、韓国ではね、2025年の4月から制限が突破現れたみたいで、一部制限があったみたいですね。
ああそうなんだ。まあまあそれはある程度はしょうがないね。 そうそうそう。あとあのウルトラワイドバンドっていうのこれ。
UWBっていうやつ。これが規制で使われへん国はいくつかあるみたいで、
ウクライナとかウズベキスタンとかロシアとかキルギスとか、あの辺の国は使えないのがいくつかあるみたいですね。
法律の面でね、あのアップルウォッチとかでもなんか血圧がどうとかいろいろあったじゃないですか。 ああそうそう、あれも各国ごとに認可が必要だから、厚生労働省かなあれはなんか
認可が下りるまでは使えないとか、まあやっぱり国ごとにだいぶ違うよね。 なんか機能としてはあるけどオンにできへんとかそういうことでしたっけ?
そういう感じ。まあそっちがルールの変更待ちってことですよね。テクノロジーじゃなくてね。 なるほど。
まあそういうのは要チェックしておいた方がいいかなといつも思いますね。 日本後からみたいな結構ありますからね、こういうの。
そうですね。 あとは注意喚起の件で、これは看護さんのですねあのポストが引用されてたんですけども
警視庁から注意喚起のあった2段階フィッシングメールは注意力がある方ほど引っかかってしまいそうです。間違ってクリックしても報告してくれた人を褒めるとしたいですねというやつで。
あれ面白いというかなかなか巧妙だよねあれ。 2段階式っていうのが一瞬僕なんかこの名前だけ見たらねやりとり型を思い浮かべたんですよね。
返信が必要なやつがあってで返してしまったら攻撃者から来たメールがフィッシングやったっていうのを思い浮かべたんですけど
僕が想像したやつよりこれ引っかかるかもなっていう感じでしたね2段階っていうね。 なかなかうまく考えられたもんだよね。
1個目も2個目も嘘ってやつでしょこれ要は。 そうですね。
で1個目に気づいた人ほど2個目に引っかかっちゃうみたいなね。 信じ込んでしまうんですかね。なんか2個来るはずないみたいな思うのかなやっぱりこういうね。
1個目に気づいたっていうのが自信になっちゃってそれが逆に作用しちゃうっていうことだよねこれね。
その辺のうまく真理をついてるというか。 ああそうですよね1個目はなんかこう
模したというか本当にこう嘘っこなんやけど2個目はその不審メールについてとかってくると これより信じるよなぁ
そうそうなんかねいや自分はちゃんとそれさっきの見抜きましたよみたいなさあ思っちゃったら なんかそれに反応しちゃいそうだよねそうですね
うまいよねこれはね。 なんか全然ほとんどコストかけずに成功率上げてる感があってよく考えてるなって思いましたね。
はいで次が最後のお便りなんですけれども セキュリティのあれ最終回あごめんなさい最新回をやっと聞けた
最終回かと思ったらびっくりしたー。 終わるんかーと思ってました。
その第306回の辻さんの他のお仕事の下りを聞いてこれの他のお仕事ってあの多分 世界が平和になったらどんな仕事しますかの話しちゃうかな
でまぁそれに対してですね僭越ながら一企業の担当程度である私も セキュリティ業務のしんどさを感じる瞬間が多々あるなといろいろ思い出して胃が痛くなりました
規模が違いすぎて恐縮ですがというお便りですね。 いやいや全然規模違うとかじゃないですよ本当に僕はのほんまにあの
気分嫌なとこあるからもうなんかええかなーみたいな何て言うんですかねこう 他の人がもうやってるからもうええかなーとかね
まあでもだいぶね僕らがというかまあこの3人それぞれいろいろキャリアは違うけどさ まあまあ長いことセキュリティの業界に携わってるじゃない
いやー長いですよね その最初の頃と比べるともうなんかだいぶ様変わりしてるからね
そうそうそうなんかもうなんか前に僕がやり始めたセキュリティ サイバーセキュリティとかって言葉も自分で言ってなかったけど何となくコンピューターの
セキュリティやりたいなぁと思ってきた頃なんて まだ学問としても確立しなかったもんな
いやそもそも大学とかで専門コースがそもそもなかったし それこそ今言ったけどサイバーセキュリティって言葉自体がなかったし
コンピューターセキュリティとか情報セキュリティとか そうだったはずでダマそれから考えとねだいぶいろんな状況が変わって
まあその分何中かなあの何僕は前にも言ったかもしれないけどさ そのすごく秋っぽい性格をしてるんで
まさか自分がその一つの分野にこんなに長くやれるとは到底思ってなかったんだけど どんどん変わるからそういう意味で飽きないっていうことはあるよね
なるほどああまあそうですね僕ら3人ともだけどやってる仕事の内容もまあほらちょっと ずつ同じこともあるけど変わってることも結構多いじゃない
まあ3人ともそういう感じで同じ業界だけどやってる仕事の内容は全然昔と違うから 確かに何かそういう意味で何か僕も秋っぽいけど意外と続けられてるのは何か
そういう新しいことどんどんどんどん出てくるさ 面白いことがなくならないから
ですよそうだそれこそ本当にそのセキュリティっていうのがなくならない限り こういくらでも続けられるなって感じがする
確かにねなんかこう新しいものもどんどん出てくるしなんかまたそんなことあったみたいな 同じようなこと前にもなかったみたいなところがこういい感じのバランスでまあ世の中にとって
いいかどうか別ですけどね いや結構あるよねなんか10年ぐらい経って一周回ってまた来たみたいなさ
あるあるあるあるあるそんなのも結構あるし いつまでもそれこそランサムウェアみたいにさいつまでもなくならないみたいな
なんかねあのか開戸的なアレじゃないんですけどなんかこう定まってない面白さみたいな ものはなくなったなっていうふうにちょっと思う時があって
おーなるほどなんかこう海のものとも山のものともよう分かれへんみたいなものが減ったかなー っていう感じというかね
成熟していくとしょうがないなという すごく感じはしますけどねそれこそ昔は何中がさあその領域も結構
あやふやだったしそれこそちょっと言い方はあるだけどその犯罪行為とそのそうでない 行為の境目みたいなのも結構曖昧だったし
ああ確かにそういうなその教会もなんかね今ほどはっきりしてなかったっていうか なんかそういう怪しげな分野でもあったじゃないある意味さあそうですね
なんかそれそれはいまちょっと違うからねだからそういう意味で確かに定まってないかん というよりはむしろねその若い人たちがこう
積極的に志すような分野でもあるしさ いい方向になってんじゃないのわかんないけど
まあ多分そうだと思いますね色々こうなんか決まってなかったことが決まってきてなんか ちりじりバラバラやったものが体系的になってきてみたいな感じではあるかなとは思うん
ですけどいやずいさんなんかまた新しいことやればいいじゃん確かにね ねいろんな新しいテーマを常々探してやってるから
はいはいということでございますということでですねあのお便りを読んだ方には セキュリティーのあれ番組特製ステッカーの印刷コード
コンビニで印刷できる印刷コードを差し上げております シャープセキュリティーのあれというハッシュタグをつけて x にてポストいただければ自動的にお便りとして扱い
ますんで応援だったりとか質問だったりとか意見とかですね そういったお気軽にコメントポストをいただければお便りいただければ嬉しいですよろしくお願いします
お待ちしてまーしまーはい あちなみにですねあのステッカーの種類は5種類あるんですね5種類揃った方は僕に写真を
撮って5種類揃いましたというふうに dm をいただければ シークレットの印刷コードを差し上げておりますそちらも振ってご応募いただければと思います
はい最近はちなみにコンプリートした人は出たりしてのあ 最近ねあの達成者が全然出てこないんですよ
そうなのをちょっと皆さんが頑張ってください 全然出てこないんですねちょっとあの次の企画考えようかなとなんかそれもなんか何回も聞いて
いるのは次やもうねあのあれなんですよ そば屋の出前みたいな感じだけどなぁ動き出してるんですよ
動き始めたマイレボリューションなんですよ 多分あのそうですね8月ぐらいには言えると思います
具体的になってきたねじゃあ楽しみに待ってますはい今年ですよね それはそうやろう今年今年
そんな中大それとあれではないんですけども軽く言っとくとコンプリートした人もまた 楽しんでいただけるんじゃないかなってことですね
いいですねじゃあ 楽しみに待ちましょうはいじゃあぼちぼちセキュリティのお話をしていこうかなと思うん
ですけどもじゃあ今日はですね ネギさんがいきましょうかはいじゃあ私からいきますけども今週はですね
Klue社へのサプライチェーン攻撃とCISA BOD 26-04
カナダにある クルーっていう会社のまあサービスが侵害されたっていう事件をちょっとご紹介しようかなと
はい思うんですけども僕もこれ今回初めて知ったんだけど 競合企業の情報分析のサービスを主に提供している会社らしいのね
で例えばそのセールスフォースだとかそういう営業支援のサービスがあると思うんだけど そういうのにマジ者の営業情報とか
中役していると思うんだけどそういうサービスと連携をして 例えば今営業活動している顧客がどこそこの強豪と自社のサービスを比べているとか
っていうそういう営業案件があった場合に その競合他社の分析をして
顧客にまあいろいろ様々な提案をすると そういうような営業支援ツールとして使われている
の子もコンサルみたいですねそういうクルーというまあサースのサービスがあるんだ けど
単にこの会社のサービスがその侵害されたって言うだけだったらまあそれで終わりなんだ けど
はい今日その紹介するのは何でかというと今お話をしたみたいに 実はその他社と連携してるっていう部分が実は肝で
で今回のその攻撃者もちょっとクルーの公式の 発表にはそこまで詳しく書いてなかったんでどうやったかははっきりわからないんだけど
攻撃者は何らかの方法で取得したその有効なクレデンシャルを悪用して でこの会社のインフラに侵入しましたと
でそれだけじゃなくてその今はまさに言ってたセールスフォースとか 他のサービスと連携している顧客のオースのトークンを盗んだと
なんかここまで来るとアレどっかで聞いたなって感じもするんだけどねしかに 聞いたことあるような
そうそうそうそう過去にも何かあったぞって感じなんだけどそういうその連携している サービスのオースのトークンを盗んで
それを使っているセールスフォースの方を狙ったということでなんでそのセールス フォースのユーザーでこのクルーのサービスと連携して使っている顧客がターゲットになって
いて 狙われたとじゃあこのクルーがハブになっちゃったんですね攻撃を広げるための
でもちろんそのこのクルーっていう会社も攻撃に気づいたら真中すぐにこのオースの トークンを無効にしたりだとか対応は取ったらしいのね
で後セールスフォース側からも発表が出てるんだけど 今そういう不正アクセスを検知してるからこのクルーっていうサービスとの連携はストップして
ますっていう感じで 対応は比較的早く行われたようなんだけど
とはいえね残念ながらその攻撃側にはやっぱりちょっと及ばないわけで マニアワン部分も出てきますよね
攻撃がどうもこのトークンを取ったらすぐさま行動したみたいで 既に複数の企業がこの攻撃でセールスフォースから情報を盗まれましたっていう発表を出して
いると あららいうことででまぁその中にいくつかセキュリティ関連の企業も含まれていて
よくねあのこのポートキャストでも多分紹介したことあると思うけどハントレスっていう 会社が
大今回の攻撃の影響を受けていて自社も影響を受けましたっていう記事を出してるんだ けど
それによると攻撃者側から脅迫のメールが届いたらしくって 盗んだ情報を出しにお宅らの情報
セールスフォースから盗んだよっていうメールで 48時間以内に連絡を起こさないと情報を公開するよっていうが脅迫付き
まあそういう感じでで今回の攻撃者実際にそのリークサイトには声明も出していて クルーに侵入しましたって書いてあってでクルーの顧客でセールスフォースから
データを盗んで我々からメールが届いた企業はすぐに対応してくださいねと 月曜までに対応がなかったら情報を公開しますよっていうような脅迫分がまあリーク
サイトに掲載されているっていう あの今この収録時点ではまだ公開されてないでわかんないけど
リスターの皆さんに届く頃にはもしかしたら動きがリークされちゃってるかもしれ ませんねという
まあ今こういう感じで現在進行形の情報なんだけど なんかこのサードパーティーのそのクラウドサービス連携しているサービス
特にセールスフォースと連携している奴から情報が漏れだってなんか前も聞いたな っていう感じで
思い出してみると去年これ確か看護さんが紹介してくれたと思うんだけどそうですね セールスロフトドリフトっていうサードパーティーのサービスからそうですね
まさに今回と同じように大するトークが取られて セールスフォースのインスタンスが大量に情報が漏れたっていうのがあって
これ一応今回のその 攻撃したって言ってる奴らとアクターは違うんだけど
やってる手法は同じっぽいっていうか そうですよねだしあとちょっとば似てる奴で違う奴っていうと少し前に僕紹介した
バーセルって会社に対する攻撃 あれは今回みたいなそのサービス態度の連携じゃなくてその従業員がたまたま使って
たコンテキスト ai っていう 全然違う連携してるサービスからグーグルワークスペースが乗っ取られてみたいな話だけど
あれもやっぱり連携サービスのオースのトークが盗まれたしかもその 第3社のサードパーティーのサービスが盗まれたっていう点では結構似ているんだよね
で最近こういうまあこれもそのある意味サービスサプライチェーンの一つでしかも サードパーティーから盗まれるっていうちょっと複雑なタイプだと思うんだけど
ですねうんでもなんというかな結構 事例が最近増えてるなーって感じるのと
あと今回のもうその本当に攻撃者が狙ったのがどこなのかよくわからないその たまたまクルーっていうところに入れて
たまたまオースの投稿が取れたからそっちを狙ったのか もともと逆でセールスフォース側を狙おうと思ってて連携サービスのどれかを狙ったのかわから
ないんだけど でもいずれにせよ
この攻撃者の狙いとしては複数の音そういう大企業重要な情報 特にセールスフォースから顧客の情報とかいっぱい入ってるんで
そういうのを盗んで脅迫してやろうっていうのにはまあすごく 目的に合致するというかそういう狙い方をしていると思うんだけどですね
なんかそういう なんか攻撃からの狙いっていうのは最近多いなーって感じで
でそういう時に直接その本丸であるというか まあセールスフォースたり何なり情報を取り扱っている企業を直接狙うのは難しいから
サードパーティーのサービスを狙うっていうのはある意味なんか上等手段になりつつ あるなってか
まあ成功率高そうという意味ではそうですかうん あとその今回被害にあったセキュリティはハントレス以外でも結構いろんなところが被害
報告してるんだけど こういうそのある意味セキュリティのプロの会社なわけじゃない
そういう会社も自社のリスクについては結構甘いんだなっていうか あとそのこういう会社がその脇が甘かったら他の会社もそうなんじゃないっていう感じがして
自分たちがその使っているそれこそ営業支援ツールとかサーバーあのメインのセキュリティ のサービスとは全然関係ないところで使っているんだと思うけど
そういうサービスと連携するサービスに実はリスクがあるっていうことを多分使っている 側とかそのサービスを選ぶ時に意識してないんじゃないかなっていう
気がしててまぁだからこそこういうセキュリティ企業もねやられちゃうっていうことだと すると
皆さんの会社もそういう感じじゃないですかっていう 確かにねなんかその今もネギさんはちょっと触れてはりましたけどこういうのを使うか
どうかを決定する部門ってセキュリティをゴリゴリやってる部門じゃないんじゃないですか セキュリティ会社とはいえね
まあ普通はそうだよねそうそうそうそうでもやっぱりその自分たちのセキュリティそのまま オンプレだったり自分が直接的に使っているクラウドサービスみたいなところはきちっと
まあ面倒見てるんだと思うんですけど 一旦外になってしまうとまぁ外とはいえ結局扱っている情報っていう軸で見れば自分たちの
扱っている情報なんですがそこは甘くなりがちっていうところを攻撃者知ってるんでしょう ねなんとなくねそういう感じがしていてその会社として
まあ営業で支援とか営業活動には欠かせないからこういう場制律フォースなり 他にもこういうサービスいっぱいあると思うんだけど
そういうのを会社に導入しますっていう時には 気をつけてサービス選定とかすると思うし
リスク評価もするような気がするんだけど いざじゃあそういうサービスを連携するサードパーティーのサービスって言ったらさ
今回のクルーもそうだけど例えば最近のその ai さっきちょっと言ったバーセルの例もそうだけど
ai 関連のサービスなんてコンテキストが重要だからいろんなサービスと結局連携をして その顧客の情報
いかにたくさん知れるかによって使い勝手が全然違うじゃない 営業活動なの顧客とのメールだろうなんだろうわかんないけどいろんな情報
ai に加わした方がいいに決まってるんではいそうやってなんかありとあらゆるものと あって連携してどんどんやってるとさ
知らないうちに行こうそういう攻撃の経路というか穴を増やしてるっていうことに ちょっと我々無頓着すぎるかもなっていう気が
そうですねうんなんかしててあまりにもちょっと今便利な方にばかり目が行っちゃってる ような気が少しするので
ちょっとねこういう事例を見た時にあれ大丈夫だっけって 思った方がいいのかなっていうそうですねだから脅威とかその自分たちが受けるインパクトの
見積もりの仕方というよりは見積もりの範囲がちょっと広くなりすぎてるっていうところ 意識しないといけないかもしれないなっては思いますね
途中で使い方が変わってリスクは変わっているのにそのリスクの評価がちゃんと 追いついてないのかな
環境の変化にということですねなんとなくそういう気もするし なんかそれぞれのちょっとギャップを感じたなっていう
まあなんかこう自分が日本に住んでて日本のことしかあんまりこうっていうところも あるからかもしれないですがさっきねその冒頭でネギさんをしたみたいな今回この事件で
このクルーっていうサービスをネギさんも知ったんですよね 知らなかった全然どれぐらいの目的意識をもってここを攻撃したのかもしくは行け
たから来たのかっていうのを考えた時にねうん このいろんな世界で使われているまあ業務だったりそのサービスですよねここの会社は
こんな業務をしているとかこういう情報を預かるようなサービスをしている ここと連携して便利なものを提供しているっていう風な
そういうサービス内容を詳しい攻撃者ってめっちゃ強そうな気しますね ああ確かにねうんなんかこう技術的なことだけじゃなくてねその業務上ここが
穴になりそうって目をつけるためにはそれを知る必要があるじゃないですかどんなサービス なんやどこと連携できるんやとか
はたまたニオソ認証ここ使われへんやまだみたいなとかがわかると攻撃対象の選定とか にすごい役立ちそうやなと思ってちょっと聞いてましたねうんそうだね
そういうこう情報をキャッチしている攻撃者がいち早くこういうとこ狙ってくるんだと 思うんで
その辺ねちょっと我々認識を改めないとなそうですね 攻撃者も何か我々の業務やこういうなんていう運用みたいなものを深く理解しようと
してやっているのもぼつぼついるんちゃうかなっていうのがお伺いしれるなと思い ました
はーいわかりましたありがとうございますじゃあ次は僕行きますはいお願いします はい今日はですねもこれはちょっともう外されへんなぁという話なんですけども
はい何でしょ我々がお休みしている間にですね bod のですね 2604 というものが発表されましてですねましたね
出ました出ましたであのまあの内容にかタイトルでまあリスクに基づくセキュリティ 更新プログラムの優先順位付けみたいな感じの
うーんタイトルで出てきてたものなんですけどどういうものかというとですね 6月10日にこれ公開されたんですけどもまあ bod なんでアメリカの連邦政府機関向けに
出されたもので脆弱性の管理方針をこういうふうにしましょうよという指令が出たと でまぁ cvss ベースからリスクベースへのこう転換みたいなものをはっきり打ち出した
実際にこう具体的な数字何日以内に対応みたいなものですね 打ち出したものになるんですけどもまだ簡単に言うとまで今までのクリティカルだったり
とかまあ緊急需要とかいろいろありますけども脆弱性の重み付けにですね そういったものは何日以内に対応という子単純な優先順位付けではなくて
まあ自分たちの状態とかその脆弱性が今置かれている状況みたいなもの 攻撃のリスクに基づいて対応期限を決めていきましょうというふうなものになっています
うーんでまぁ対応期限を決定するまあ評価の基準というか軸みたいなものが4つ用意されて いて一つが資産の露出ということで資産がその
ネットワーク機器なのかサーバーなのか別にしてですねそういった資産が公衆ネットワーク まあ要はインターネットとか誰でもアクセスできるところに公開されているものかどうかはい
いいえみたいですね 2つ目が悪用の確認の有無ということで我々大好き kev ですね
悪用が確認されている脆弱性のカタログっていうのがありますけれどもそれに掲載 されているかはいいいえだったりとか
あとは自動化ですねこれ攻撃の間自動化ということでまぁ脆弱性の悪用手順すべてが 自動化可能なものなのかっていうようなものはい
これもはいいいですね最後の4つ目が技術的影響ということでその脆弱性を悪用された時に 今制御される権限は部分的なのか
完全制御なのか平たく言えば管理者権限なのか ユーザー権限なのかみたいな見え方かなったところなんですけども
影響の範囲が部分的か完全化というふうなものですと いうふうなことでこの内容を見ると先ほど向かう cvss ベースからっていう
風に言ったんですけどまぁ cvss やめます kev 見ますみたいなそういう単純なものではなくて 今言った4つのものを総合的に判断して決めていきましょうというふうなもの
なんですね 今言ったその4つのやつではいいいえとまぁ完全部分的みたいな感じで決定していく
やつなんですけども4つあるんで一つずつが2つありますから 2つの判断がありますからそれぞれ組み合わせると16通りの
パターンがあるわけなんですよね例えば 対応がはいはいはい完全とかもこれで決めていてそれがこの対応期限ですみたいなものが
出るんですけど 対応期限の組み合わせに関してはいくつかあって一番厳しいものが3日以内に対応して
くださいプラス 侵害調査を実施してくださいってやつですね
よくあるのはパッチ当ててたけどやられたっていうふうな話の 蓋を開けてみれば実はパッチ当てる前に侵害を受けてたっていうふうなものもあるんでそれも
合わせてしてくださいこれが一番厳しい やつですね
そこから3日以内14日以内60日以内 システム更新の時っていうふうな5通りの対応の期限が決まるというふうなものになって
おります まあさっき言ったちょっとだけ言いましたけどもあの公開資産であって kev に掲載されて
て攻撃の自動化ができるもので影響が完全であるっていうもフルコンボですね のものに関してはさっき言った3日以内の対応プラス
侵害調査をしましょういうふうなものになっていく まあなんでこれはいといいえと頭完全不完全で答えるんでまぁ占いでよくあるのは
の何何ですかはいいいえみたいな答えていくみたいな感じで対応期限が見えてくる というふうなものが発令されたということですね
これでね僕にあの子16パターンで長めてたんですけど はいいいえはい完全なんで公開されててでも kevや乗ってないけど
攻撃が自動化可能で技術的影響は完全っていうふうなもので kev 乗ってないけど3日以内に対応っていうのはこれちょっとなかなか
興味深いなっていうふうに僕はちょっと個人的に思ったんですよね まあの公開資産で kev が掲載されてないっていうふうなものだと
なんかこう優先度が相当高くなるっていうふうなことでこれ同じパターンでね 公開資産じゃなかった60日以内なんですよこれ
全然違うっていうふうなものがあって kev に掲載されているかどうかだけじゃなくてこの 攻撃の自動化とかっていうふうなものがあってかつ公開資産だったら早くやら
なあかんっていうのはこういう決め方はちょっと僕の発想にはなかったなっていう ふうにちょっと学びがありましたね
とはいえねやっぱ kev に掲載の範囲がフラグが立つとそこそこ早めに対応してください に入りがちになってくるんですけど
それ考えたときにあの kev の掲載まで どれぐらいかかるのかっていうのを把握しておく必要あるんちゃうかなって思ったんですよ
なるほどね kev 乗ったけど乗ったのがめちゃくちゃ時間経ってから乗ったんやったらめちゃめちゃ やばい状況が続いたかもしれへんみたいなものが中には含まれている可能性がありますよね
なんでちょっとこう集計してみたんですけど 2023年から2025年の間に kev に掲載された脆弱性
これだね23にしたかっていうと21年にこれ始まったじゃないですか kev 2122っていうのは結構昔の脆弱性をバカスが入れてて結構数が多いんですよね
ここだけ最初はねそうそうで安定し始めたらなーって僕は感じるのが23年ぐらい やったからこの範囲ちょっと留めました
kev の範囲はそこからさらに cve に関してその掲載されている脆弱性の cv 番号に関してはkev が23年なんでその前の年のやつも乗ってくる可能性があるじゃないですか
23年に 例えば22年の12月のやつが23年の1月に乗るかもしれないので cv は
2022から2025の間の範囲で裁判されたものっていう風に調べてみた結果 477件僕この中で調べたんですけど
平均がね cve 掲載後から kev 掲載後まで平均が87.3日 で中央値で見ると8日ということなんで長いものがむちゃくちゃ長い奴が中に
はあるってことなんですよね 一番長いやつで1198日でした
でねあの1ヶ月以上かかるやつってどれぐらいあんのかな 掲載までにと思って見てみたんですけど38.5パーは1ヶ月以上かかってから掲載してるんですよ
なのでちょっとこれ kev だけで見てたらやっぱりやあんまり良くないのかなっていうまあ 前からあった問題ではあるかと思うんですけど
掲載まで結構ね吟味されたりとかもするじゃないですか検証されたり どうしても時間かかるなーっていうところでその間埋める方法なんかないんかいねと思ったら
僕ネギさんが昔話ししたことを思い出して あのバルンレッジメントってあるじゃないですか
あのバルンレッジメントの公開してくれているフィールドその各脆弱性ごとに発行されて ますけれども
そこのフィールドのエクスプロイテーションっていうフィールドを判断するのに これ自分たちが運用していく上で判断するのに使うのがいいんじゃないかなと思ったん
ですね エクスプロイテーションフィールドって何かっていうとそこにはの3つの値が入っていてアクティブ
か poc カーナンっていうのが入ってくるんですよね でアクティブっていうのはもうインザワイルドで観測報告されている脆弱性ですと
kev に乗ってなくても悪用が確認されたらここはアクティブになるんですよね まあ後に kev に入りがちっていうふうなものかなっていうようなものかと思うんですけども
次 poc っていうのは具体的なコードとか再現手法がインターネット上で一般公開または まあそういったフォーラムとかいわゆるアンダーグラウンドと言えばいいかな
そういったところで流通しているというふうなものが poc と 何はもう何もないです悪用コードないですよっていうふうなものなんで
kev の掲載がまだでもエクスプロイテーションが poc になってて でかつさっきのあの2604にあった自動化がされてて技術的影響が全体
あの完全っていう風になっているのであれば kev に掲載されていない脆弱性でも何日以内に対処するっていう風なルールを作れば
より今よりも能動的に高脆弱性の対処 次の一歩に使えるんじゃないかなというふうに思ったんですねこれであの kev の
掲載が遅れたとしてもやばい脆弱性には対処しやすくなるんじゃないかなというふうに 思いましたということなんですね
たださあそれゲームに乗ってない場合のリスクに対応したのがその今回なんじゃないの kev がさっき言ったみたいにその
脳であっても その他の条件がやばかったらやばくなるわけじゃん結局
だって kev がもし掲載されてなくても その後のさオートメータブルとテクニカルインパクトが範囲だったら3日以内になるわけじゃん
あそうそうそうそうだからまあそれを見れば基本的な良くてまぁさらにそれに加えて 状況もう少し定かに
あの判断するためには今言ったその poc が出てるのかどうかっていうのは必要だと思う けど
そこはもうシンプルに見なくて kev あるなしだけでもいいよっていうふうにできるようにしたって ことなんじゃないのかな
あーそうですねまぁもうもう一歩を踏み出すにはやっぱこここういうのを足してもいい かなってちょっと思って
判断軸を自分で作ってみようかなと今回自分でやってみたんですよね だからまずそのなんだろうな
8エクスプロイテーションとかまで判断が全然できない人とかこれはそもそも連邦政府機関向け だから
まあまずスタート地点としてはまずそこでいいかなと思ってて 1段階目っていう意味ですよねまず最初は
でまぁそもそも kev に乗らない奴がいっぱいある 例えば kev のカタログに乗る数って
その民間のセキュリティ会社が把握している カウントしている kev くらい比べるとはるかに少ないから
あーもうそう圧倒的に少ないですねまあそういうリスクもあるよとは思うけど ただまぁ今回のでその
パブリックリーエクスポーズとかどうかっていう部分が最も重要で エクスプロイテーションはその次っていう感じになってて kev に乗ってなくても
早いやつは早くやろうぜってなってるっていうのはまあまあわかりやすくていい かなと思うけどねそういう意味では別に他のところは見なくてもいいよって
したのは割とその csa 的には a 弾だったんじゃないかなと思う あーだいぶこうシンプルにした感はあるなっていうふうに
そうですねだしもう cvss の部分もそうでクリカルインパクトでまとめちゃっても cvss のクリティカルとかはいとか
どこ行っちゃったのって感じで 細かいの一気に吹っ飛びましたよねその cvss の部分
cbs のスコアとか出てこないから猫の評価にはさ まあだからそういうのもなんか今までちょっとなんか曖昧だった部分がすっきりした
なって気はするけどね僕としてはもうちょっとまだ不安が残るなっていう場合には あの追加でここを見てみてもいいんじゃないかなっていうふうに思ったんですよね
そういうところもあのしっかり見れる人はそういうのを見るべきだし あとまぁ自分でそういう情報を本当はバロニッチメントだけじゃなくてねそういう情報は収集
すべきだと思うしまあ見る範囲も広いんでまぁどっか1個次に行ってなったらバルーン リッチメントが拾ってきてより厳密な対処っていうか先回りをするっていうのもいいん
じゃないかなというふうに思ったんですよねそうね まだが自分で作ったの優先順位とかだと kev に乗っているもしくはアクティブになっている
ものはもう最優先とかね kv 乗ってないけど エクスプロイテーションが poc になってて
オートメイダブル自動化とところがあれば a ランクでその次の優先度みたいな声の子自分で 作っていってもいいんじゃないかなと思いました
見て思ったのはまあ cvss 捨てろというようなまあ話に近いなっていう印象をちょっと 受けたんですけどもまあこの cvss だけで優先順位決めるってのも時代終わったなっていうふうなやっぱ
印象は僕は強くて まあこの kev とかバルーンリッチメントみたいな悪用状況自動化みたいないくつかの今回で評価基準みたいなものがありました
けどもこういったものをまあこれここで3日がどうとか3日以内だどうだとかいっぱい書いて ますけど自分たち
自組織の公開状況を組み合わせて自分たちなりの優先順位っていうのをこういうのを参考に 作っていくとわかりやすくていいんじゃないかなというふうには思いつつ
かつその前提として大事なものになってくるのはやっぱり自分たちがどんな資産を持って てこれってどこに同好会しているのっていうのをまず把握戦ことには始まれへんなっていうこの管理の大事さ
っていうものも改めて感じたなというお話でございます 今回のその出たタイミングでおそらくその4月以降の
アンソロピックのミトスとかの フロンティア ai モデルの騒動が全く無関係でないと思うのね多分
そうですね今後その脆弱性は増えるは悪用のスピードは早くなるはみたいな 攻撃者が有利になる状況っていうのがちょっと見えていて
パッチーの波が来るデザクセのパッチの波が来るからそれに対して 我々対処しなきゃいけないようみたいなことを盛んにみんなちこちで言っている
わけで ただそれに対してまぁ今回それに対してまあまあみんな落ち着けようと
まあそうは言って贅沢性いっぱいあるかもしれないしパッチはいっぱいあって 優先順位つけの大変かもしれないけどいやもっとシンプルでこうでいいんだよっていう
はいはいはいことだと思うのね 結局リスクベースのアプローチが正しいんだよっていうことで
数が増えようが悪用がどうなのがとにかく自分たちの環境で今重視すべきは何なの っていうちゃんとリスク評価をして優先順位を作るっていうのがいいんだよっていうので
シンプルに出してはくれたけど だから結局ここ数年その ai の話がなくなくてもここ数年
ね毎年の贅沢性の数が3万件4万件5万件って思うずっと伸び続けてるわけで このまま行ったら破綻するよねっていうのは僕らもねこの3人でのディスカッションとかでも
多分34年ぐらい前からもう散々言ってきた話ですね 言ってて当時は今回そのこの bod 2604が出てなくなっちゃったけどさ
もともとあった2201だけあれが出た頃に同じようなことをやっぱり 言ってたわけでみんなで
これからはそういうのが必要だよねってでぼちぼちも cvs じゃないよねみたいな話は その頃からしてたんで
まあなんかそのなんていうかなそういうのなんかお尻に火がついたっていうかいよいよ もうまあ言わざるを得なくなったと後はその判断しやすくしてあげないとってなったんか
なんかいよいよそうなってきたなというのと あとまあそう考えてみるとなんかもう数年前からそういう kev だの bod だの取り組みを
やってた試合性はすごいなって気がそうですねこれなんか僕思ったのはやっぱ kev っていうものがあったからこそできることやと思ってて
もちろん最初からここまで見通してたとは思えないんだけど ただやるべきことをちゃんと順序立ててやってきてるなーって感じはするよね
そうなんか着実に一歩ずつ進んできたからこそ言えることっていうのが積み重ねがある からこそやなっていうのはね
関心しましたねなんかね kev 作って 何日台にあろうっていうルールを作って
ねでその後はこの 産管理とか贅沢性管理のさあプロセスをちゃんとやろうっていう bod 出して
定常的にそういうのを把握と把握できるようにしようぜっていう まあそういうのを積み重ねていったからこそ
だからできるのかなという感じなんでそのああそうですよね なんていうか今回のその
2604のなんか上積みだけをすすって月明け前だけでやろうと思っても難しいんじゃない かな
いやー厳しい厳しい kev はに先ねおっしゃった2201で公開資産は2301でしたっけ そういうのがあるからやもんなぁ
いやーそうそうだがそういうのがあってこそだから まあでもその改めてね今回その非常にシンプルに出してくれてまぁこの通りに別に
我々がやる必要ないんだけどそうですね ただそのリスクベースのこの考え方とその冷却性のスコアではなく
自分たちの環境がまずどうなのかとそれが適用されているのかっていうのが まあ今回のでば大きくその2つの柱なわけじゃない
そうそうねまずそこを見ようっていうところに注目してるっていうこの考え方はすごく 参考にすべきだなぁっていうそうそう
多分そのねさっきもねまあねぎさんもかも覚えてほしいこういう議論我々ずっとして きたじゃないですか
kv が出たぐらいの頃からねだいぶねやってるよねこうなっていくべきなんじゃないか みたいな我々もここだったりまあいろんなパネルディスカッションとかでも喋って
きたでしょうんはいこれねー csa このポッドキャスト聞いてるんちゃうかな
あれぞしかしたらあれ勢なんじゃないのかな なるほどそうかみたいな感じの割れで参考にしてるんちゃうかな
ブーブー言ってるのか csa が僕らによってのがわかるんだけどわかるで両方が歩み寄っ てる可能性もありますから
そうねいやでもアプローチとしてはすごくなんとか 振り落ちるというかいや本当にそうそう関心しつつ納得感のあるものを出してきてくれ
だなっていうのがあるんでぜひ皆さんも参考に自分たちだったらどういうふうにできる かっていうのを考えるのに使っていただければなと思いますですね
FortiGateを狙ったFortiBleedキャンペーン
はいはいありがとうございますじゃあ最後は看護さんです お願いしますはい今日は私またちょっと脆弱性続きの話があるんですけど
あのフォーティーブリードっていうはいこれなんだろうキャンペーン名でいいのかな キャンペーン名じゃないですか一応そうだね
あのカテゴライズが難しいですけどそういうねあのキーワードが結構先週 海外の記事なんかではかなり騒がしかったというか
目にする機会が多かったなということで簡単にちょっとそちら振り返ってみてであと ちょっと私
改めてこの騒動というかまああの動きを見て守ったことなんかもあったりしましたのでちょっと そちらもお話ししたいなぁと思うんですけども
はいフォーティーブリードってまぁそもそも何って話なんですけど 最初にこのキーワード見た時に
ブリードってついてるじゃないですかブリードって何かね我々ギュッとなりますからね なんかつけがちだよねこういうのねそうそうまぁ一番多分あの
なんだろう記憶に残るものと例えばハートブリードとかああ 2014年ねだから最初なんかまたなんかのゼロで見つかってなんかめちゃ漏れる
ような状況になったかなってちょっと一瞬焦ったんですよね はいこの中身自体はポーティネットも説明はしてるんですけども
なんかその今回の例えば騒ぎに関係して何か新しい攻撃手法が見つかったとか 脆弱性がまあそれこそゼロデーがわかったとかそういう話ではなくて
おそらくはというところではあるんですけどもあの基地の脅威っていうのがね脆弱性 こちらなどを悪用したりとかあるいはパサードスプレーというかまあ総当たりを使う
などして集められた情報をソースにした データセットではないかっていうところをまあの発端としたものではあるんですが
データセット自体がどこから見つかったかっていう話に関しても セキュリティ研究者の方がまあどうも攻撃者があの使っていたと見られる
環境サーバーで確認したものを分析したことが発端だったというところではありましたので フォーラムとかにこういった情報が貼り付けられていたりとかそういった状況には
少なくとも発端投資はなかったのかなと データセット自体がかなり大きな情報量というところがあってですね
最初に報告した話だとなんか2万件ちょっとぐらいの数がっていう話ではあったんですが なんかねこの数が結構いろんな人がいろんなこと言っててですね
一番目にする機会が多かったのは多分7万4千件3千件かな シーアイエース a とかがねあの注意喚起とかにそういう数字書いていたので
おそらくまあその数字が一番硬いというか 規模感というふうに見る意味では割と信頼が起きる数字というふうに考えて良いのかなと
思うんですけども まともその7万数千件4千件ぐらいの40ゲートのURLベースのものっていうのが
認証情報をつける形で流出しているというふうに分析などが進められていて さっきも言った通りそのデータが直接どこかにいまいまなんかあの大ピラに公開されていて誰し
もが入手できるような状況にはないだろうというところではあるのでやばいぞ という感じじゃなくて落ち着いて対応にベンダーがね
案内している方に乗っ取って対応に当たるというのがまずはやるべきところなんだろう なっていうふうには思うんですが結構流動的な状況というところもまあありはしている
ので こういった情報がおひれはひれじゃないですけどもなんかプラスアルファーつくような形で
もしかしたら外部に出てくるかもしれませんし ちょっとそういう状況っていうところまたあの動いてくるのかなというふうには意味では
なんて言うんですかねあの状況ちゃんと見ていく必要はあるんですが 目新しい攻撃が何か見つかってやられたとかそういった話では少なくとも今
今はなさそうだというところではあるのでこれまでねあのベンダーなどがセキュリティ アドバイザリー等であの呼びかけとしてやられている対策
あるいは影響を受けているかどうかという観点でのチェックっていうところが ちゃんとできているかっていうところをまあ改めて見ていただくっていうところが大事なの
かなっていうふうなまあそういった騒ぎのあの状況なんかを見て思ったところではあるんですが 脆弱性のその情報対応ってですかね
脆弱性の対応を取るっていうところのきっかけが結構厳しいなっていうのは改めて思った ところでなんでかっていうと
脆弱性見つかりましたわかりました直してくださいっていうのが当然最初呼びかけられる わけですけども
その後ってこういった詐欺ある別ですけどもまぁそんなことがない限りは 注意の呼びかけなんていうのはまずないわけで打ち漏らしがあるとずっとその場合になる
状況っていうのがこれ結構根が深い問題だなーっていうのがあってで kv にね 先乗る乗らないって話もありましたけど
kv に乗り乗ったタイミングでねあのちゃんと対応しなきゃーっていうのはまあそれは それであのよろしいことだと思うんですけども
やっぱりその乗った後のその乗った 脆弱性がその後どうなってるかっていう今現在の状況っていうのは
出ているカタログとかそういった情報だけからは私たちがリーチできるような状況に おそらくないかなぁとは思っていて
そのあたりの塩梅をつかむっていうのが結構難しいなっていうのが 思い出した時に急にバッと出てくるようなあの話題でもない限り
なかなか難しいんだなーっていうのは思ったところではあってですね これどうしたもんかなっていうのは改めてじゃないんですけども考えなきゃいけない
ポイントかなっていうのはちょっと思いましたそうね今回のもう 新しい贅沢性でなかったにしても結局そのこの今話題になっている認証情報が
全部誰も確認はしてないと思うんだけど 実際に正しいものが含まれているということは間違いないようなのでそうですね
だとするとその過去に漏れているか その脆弱性過去の脆弱性で何らかの情報が漏れていったのかそれがそのまま今も使える
のか そうですねセッションが切れずにね何かしら過去の対応に問題があったっていうことなわけじゃない
そういうことだと思いますはいだよねでさっき看護さんが言ったみたいにそういう なんちが打ち漏らしというか対応漏れっていうか
例えばすごいシンプルな例で言うとその脆弱性で認証情報が取られました 脆弱性は対応しましたでも認証情報は変えませんでしたみたいな
そういうこう手抜かりがあるっていうかね 脆弱性対応としては何か後あたかもできているかのように見えてしまうっていう
そういう場合に今回みたいな話があってあれなんかうちの会社の機械乗ってんだけど みたいなことになった時にあれなんで対応ちゃんとできてないのって話になるっていうさ
なんかそういうのでもない限り気づけないっていうねまさに看護さんが言ったみたいな そういう状況がしかも今回その7万件だか8万件だか正確な数はわからないけど
でもそれだけ情報が乗っているっていうことはまあそれだけの数が多分あるんでしょう そう考えるとさこんなにあるのみたいな結構日本のドメインも含まれていたりするし
まあまあ入ってるそうなんだよねだからそういうのが決して珍しくないんだなーっていうの がいやですよ本当にたまたまなんか過去でもフォーティゲートってあったし
なんかよく話題に出るけど人気ですね 別にフォーティゲートだけの話じゃなくてこの手のそれこそさっきのそのパブリックリ
エクスポーズとかどうかっていうまさにねその 今回の製品もそういう意味では外部に露出しているわけで
ですよ攻撃者にね真っ先に狙われる機械だから そういうところのなんていうかね対応の漏れって怖いよねこういうの見るとねどうしたもん
かなっていうのがあって注意喚起はねますまああの 見つかった時には出るんでしょうけど
運悪くというかそれを見なかったり気づかなかったりしたらずっとそのままな わけですからねあとその前にちょっと別のとこで看護師が入ってたことを思い出したんだ
けど その脆弱性対応におけるその情報の開示のあり方っていうの
どこまでやればいいんだとか あとさっきの水槽の話もあったけどその
フォレンジックトリアージをしなさいって話があったじゃない 心外を受けているかどうかの調査ですねパッチ当ての前にっていうそれでもそのフォレン
軸トリアージってで今回の cia 戦略は割としっかりね フォレンジックトリアージのガイダンスも乗っけてるんでああ
さすがだなぁと思ったけど ただでも本来はこういうはその脆弱性ごとにベンダーが公開すべき情報なわけで
ですよね何やったらいいかわかんないですからね 過去に看護さんがそういう情報垂れ出すぎじゃないのっていう問題提起したことがある
と思うんだけど なんかあんまりそういう状況変わってない気がするんだよね
そうですねパッチ当てておしまいみたいだねそうそう だから今回のフォーティに限らず何か侵害が起きている前提でどこまで対処がやれ
ばいいかここまであればいいんですよっていうのが多分あんまり ユーザー側にちゃんと伝わってないのかなっていう今回のを見ると少なくともね
そんな気がしますねやっぱり対応漏れがその 全体のさごくわずか対応漏れがありましたからわかるけど
ちょっとこの台数はあるのっていうのはねちょっとちょっとねこれは許容できない 数じゃないですよね
やっぱり情報の届け方に問題がありそうな気がしますよね これがその今回ゼロデイでやられてましたがこんだけありましたらったらむしろ
逆に納得感あるんだけどしょうがないかなってなっちゃいますけどね そうそうこんな短期間で対応できないからまあそんだけ被害出てもしょうがないよねって
むしろ逆に納得するけどそうですね そうじゃないならなんでこんなに漏れてるのっていう気がするからね
本当に驚きですよねこれはどうしたもんかね 難しいよなこのが脆弱性があるかないかっていうのはなんか第三者も調べようと思った
調べる方法を例えば国がそういうスキャンをするとかってのが見つかるかもしれへん けどパッチ当てる前にやられて認証情報を取られてましたとかそんな調べようないもんな
いやそうなのねだから今回むしろラッキーで まあラッキーは言い過ぎかもしれないけど
もうすでに悪用されてるかもしれないからね だけどまあ少なくともその悪用前に気づけたところも結構あるかもしれないじゃない
そうですねあー中にはそれはあるかもしれないですねこんだけ数があればね たまたま今回の攻撃者がちょっとヘマやってね情報を公開しちゃったから
それをセキュリティの研究者に結構調べられてみたいな話になってるけど こういうことでもなければ自分で気づけないもんね悪用されるまで気づけないことあるもんね
いや本当にこれあのなんか漏れた漏れたというかその見つかったデータと言えばいいの かなこれ専門家が見つけたんですよね研究者がね
でそれってあのねさっきカゴさんも言ってましたけどどっかのフォーラムに挙げられ ちょっとかそういうもんではなかったら中身我々確認できないじゃないですか
直接はねそうそうあの検索とかそういうのはねそういうの出してるとかありましたけど 中身見られへんからちょっと気になってるのはね
漏れてる状態はパスワード推測がパスワードだけだと思うんですけど脆弱性をついて なんか抜きましたって言うんだと
セッショントークンまで含まれてるんかなこのリストって言ってちょっと思ったんですよね ああどうなんだろう一応では漏れているリストには多分それは入ってないんじゃないの
かな 入ってないのかななんかねその一部でその
40ブリードでしたっけ名前ねそれのリストの一部売りますっていう風なあの 書き込み見つけたんですよ
でそのまあその書く本間かどうかわかりませんけどそこには何か url とユーザー名パスワードドメインっていうのとその会社のその資産状況みたいなやつが一行に1個書いてますみたいなやつを売り
ますって言ってるんですよね なんでセッショントークンまでは含まれているようなもんじゃないのかなと思ったんでいわゆる
その id パスワードがメインなんかなって思ったんで やっぱり多要素認証大事やなぁちょっとここで思ったんですよね
そうねそういうとこもあるよねそうそうそうそうなんかその まず一旦これ中身わかれへんかったとしても多要素認証のオンオフは完璧にしとこうやって
オンにそこやっていうのはねちょっとこれ見てちょっと思ったところというか あってよかったってなるかもしれへんでっていうのはちょっと気になったところではありましたけど
ねそうねそうですね いやでもなんかこういうのでもないとみんな火つかへんのかな
やっぱりいやーなんかねアクションのトリガーが少なすぎるっていうのはちょっと厳しい ですよねユーザーからしたら特によくない例だよねその度たびこういうの起きるけど
こういう騒ぎがあってその気づくっていうのはちょっと良くないよねこういう例はね ああそうなんですよね
悩ましいなぁと思いますけどね うーんはいありましたありがとうございます
おすすめのアレ:ポテトちゃん。
はいはいということで今日もセキュリティのお話を3つしてきたね最後におすすめのアレ なんですけれども
今日僕が紹介するのはの youtube チャンネルなんですがを あの僕ほら1日1時間はゲームする時間を確保したい
おじさんじゃないですか でもねパイでもいろんな猫ゲームの動画を見るのも結構好きで
なんか前にもなんかそのこと言ってたよねそうそうそうそう 前のゲーム実況のレトロゲームの実況のチャンネルを紹介したと思うんですけども
そうだねおすすめで紹介したねそうそうあれはほらやっぱり僕 ら世代の僕らが子供の頃クリアできひんかったゲームを成仏させるみたいなことをされて
たりもするんですけどあの今日紹介するのもねゲームの実況なんですけどね 方法あのゲーム実況って結構いろんなすごい
あまたあるわけですよゲーム実況チャンネルってなんかそうらしいね俺あんまりそういうの 見ないんだけどさあそうですよね
であのまあいろんなそのまあユーチューバーと呼ばれるような方もいればそれこそゲーム 好きの芸能人の方タレントさんとかね
なんか前にあの可能栄光さんのやつから紹介しなかったっけそうそうそう可能栄光さんの 栄光号っていうチャンネルも僕好きで見ているんですけれども
ねあれもなんかゲームとかやってるでしょそうそうそうそうあれはゲームというよりは ゲームをしている栄光さんが見たくて見てるんですけどね僕の場合は大好きなんで
あーそっかそっかメインじゃないとそうそうそうそうそう ゲーム実況なくて栄光実況のが好きなんで僕はねあーなるほどだから僕なんか単なるゲーム実況
とかあんまり見ないんですよなんかこうちょっとこうなんていう軽い色がしっかりしてる というかね立ち位置がしっかりしてるみたいなものを見ててあーなるほど
そうでどうしてもゲーム実況ってやっぱりみんなの興味を引いてアクセスとか回さないと いけないっていうのがあるんでやっぱりこうみんな似たり寄ったりのゲーム
選びがちなさ特に新しい注目するビッグタイトルとかまあそれはそうだよな それこそなんかバイオハザードとかもみんなが知ってるようなやつとかね
そういうのがあるんですけど今日紹介するのはちょっと違ったこう かぶえりすぐりで興味のあるゲームを選ばれてるんだろうなっていうチャンネルで
チャンネル名がですねあの運営者の方の名前と同じなんですけどポテトちゃんっていう youtube チャンネルでですね
あんまりこうプレステで出てるとかそういうとかビッグタイトルをめっちゃやるというより は自分が興味関心のあるゲームをブラウザゲーとかも全部そういうのも含まれているいろんな
ゲームされてるんですけども ちょっとツボのツボついてくるなみたいな感じのゲームを選んで実況されているよう
なう それこそねあの謎解き系とかのゲームとかだとあの unity で作ったゲームばかり集めてる
サイトとかもあるんですよねそういうポータルサイトみたいなそういうところから 20分ぐらいの実況で最後までいけるようなゲームとか
そういうのも実況してくれているチャンネルなんですけど 選んでいるゲームのチョイスもすごくあの僕も好みの面白いゲームを選んでるなっていう
ふうに思うのと実況されている方の語り口調が僕はすごく好きというか あのねすごい聞き取りやすい話し方をされてて実況なんですけど自分でゲームをし
ながら録音した音声を編集して流されているパターンが多いんですね なので実際実況てリアルタイムでこうやりながらみんなに話しがリスナーというか
視聴者の方に話しかけるパターンではないんですよなるほどなるほど ホントの意味と実況ではないわけねそうそうそうそうそれをそのマリアルタイムじゃないって
ことですよね それって結局一人でやって一人で喋ってるわけじゃないですか基本的にでもちゃんとこっちに語りかけて
くれてるようななんていうかなこうラジオみたいな感じというか なんかこうラジオっぽいこう一人で喋っていっぱい一方通行みたいな喋りの経験のある方
なんかなっていうぐらいすごい聞きやすくて話すのがうまいなって 思ったんでそういうダラダラ見る流すんではなくてちゃんとこう自分も一緒にやってるかの
ように引き込まれるような語りをされるチャンネルでみなさんにもこんなゲームも あるんやに加えてあ聞きやすいっていうのでね
皆さんにも見ていただきたいなと思ってね紹介しました 水さんはこれどういう経緯で知ったわけこれねなんかyoutube のゲーム実況を見てた時に
おすすめとか出てくるじゃないですか あーじゃあ似たような見てたからたまたます出てきたってこと
ゲーム実況系とかあったタレントさんですが僕はゴージャスさん っているじゃないですかわかんない知らないですか
なんかこう地球儀回してマザガスカルとかいう人です わかんない知らん知らないですかいらっしゃるんですけど
すいません宇宙海賊っていう設定のタレントさんがいらっしゃいまして その人もちょっと変わったゲームもたまに実況でやってたりとかするんですけどそれを見てる
時のなんかこれ好きやったらお前これも好きやのみたいなに出てきてサムネイルが興味 引いて開いてあのめっちゃ見るようなりました僕ちょっと全然ごめんゲーム実況系
ってまあゲームそうするものがやあんまりやんないからさ っていうのもあるよねうんそんなに興味なくて見てないんだけど
すごいいっぱいあるんでしょこういうのっていっぱいあるいっぱいあるそういう中で やっぱりね見てもらおうと思ったらいろいろ
こうなんとかそういう個性が出るっていうかなんか youtube って今なんかねあの規制というか あのルールがどんどん厳しくなっててもちろんそのまあ
グロいやつとかそういう意味ではなくてあの似たり寄ったりのようなコンテンツはもう あの閉じていきますよみたいなことを言いましてるんですよ
ブーバー例えばどっかの情報まとめて流すだけ みたいなやつとかはその世は価値があまり高くないというふうに判断されて収益が停止
とかっていうのもあるみたいなんですよね なんでこうより高個性が求められるっていう状況になってるんだとは思うんですけど
その中でもかなり際立つ個性やなっていうにもなるほどね ある意味いいのかもねそういうオリジナリティが求められるっていうかさあそうそう今
ほらちょっといろんなツール使えばいくらでもそういうのってなんか作れちゃう時代じゃない ああ確かに動画なんかほぼ自動で行けたりする部分もありますもんねものによったらなんてか
そういう発想とか創造力とかさクリエイティビティが別なくてもさ ちょっと言い方良くないかもしれないけどやろうと思ったらそういうのをできちゃう時代じゃない
ですか そうですねねだからそうすると逆にそういうなんていうから本当の意味でのそういうオリジナリティ
がある人っていうか クリエイターの人たちを潰しかれないじゃんそういうのってさあ確かに確かに埋もれて
しまいますからねそういうのでねそういう本当の中能力を持っている人を 消してしまうことになりかねないから
そうならないよりプラットフォームが規制するってのはある意味当たり前かと思うけど そうですね
なんかすごいちゃんとちゃんと見ようと思う動画が多いですね 聞きやすくて引き込まれるというか
ゲーム自身の教えてもらってこうあゲームって今こういう工夫もあるんやみたいな 音声聞こえてくる音声だけで推理するゲームとかね
そんなのいろんなところに移動していってあの話しかけてくる奴が異世界の奴で あの文字がそもそも僕らの知らん言語なんですよ
あーなるほどそれを解読していくわけそうそれを例えばこれってみたら何か指差した時に これを言ったらこれはたバケツのことをこれを言葉バケツって言ってるんやとかっていうので
だんだん進めていくとかねなるほどなるほど いろんなゲームの中普段こうプレスとかでせえへんようなパターンのアイディアゲーム
みたいなもいっぱい紹介してくれてるんでその辺見てみてもね 面白さがあるんじゃないかなと思います
はいはいじゃあそんな感じでございますまた次回のお楽しみですばいばい ばいばーい
