ゴールデンウィークの思い出と仕事観
世の中はゴールデンウィークらしいですよ。 そうみたいね。今年はあれか?あれ去年だったっけ?なんか休み、今年は普通なのかな?
いつから休み入れるかにもよるとは思うけど。 なんか飛び石っぽいよね、今回は。30と1日が平日やんで、この2つを休むと結構長いですよね。
1週間以上。 来週の7と8が確か平日だから、そこも休むと多分長くなるんだよな。 めっちゃ長くなりそうですね、それで。
すごい長くなるはず、そうすれば。 ゴールデンウィークとか、いわゆる長期休暇みたいなもんで、
僕からすると、もう夏休み、受験生の夏休みの感覚なんですよ。 受験生の夏休み?
夏を制するものは受験を制すみたいな。 懐かしい。 僕は中学受験からしてたんですけど、
死ぬほど勉強させられたことあってね。 そういう思い出か。 特に小学校6年生の夏休みって、鈴鹿、僕関西なんでね、出身がね。
三重県の鈴鹿まで行って、鈴鹿サーキットとか遊園地みたいなとこある横を通り抜けて、合宿所みたいなとこ行って、朝から晩まで、
ご飯とトイレ以外は勉強みたいな。 勉強しすぎて、おかしなる人も出てくるんですよ、そんなんしてると。
ああ、まあそうだろうね。 鼻血出すやつとかね、急に。 あれも厳しかった。みんなが遊んでるときに、みたいなこと言われるじゃないですか、やっぱり昔。
もしかしたら今だったらちょっとそれ考えられないかもね。昔の時代だからこそっていうかさ。 そうそうそうそう。
もうなんかこう、お受験とか、教育ママみたいな言葉があった時代やからね、その頃。 ああ、それぐらいからだよね多分ね、教育熱心だっていうのはね。
そうそうそう。だからこう、休みの間は基本長期休暇は、年末年始とかも含めてだいたい仕事してるんですよ、僕は。
ああ、その何?昔からの習慣が抜けないってこと? そう、なんか休みの時に遊ぶっていう発想はそんななくて。
休みの時にこそ仕事でーって? そうそうそう。なんかこう連絡、横入りとかの連絡とかもないじゃないですか、長期休暇って。
わかる。ちょっと気持ちわかる。集中していろいろできるよね。 そう、なんかこう、手止めなあかんとか優先順位の組み替えをまた考え直さなあかんっていう、このなんていうの?
シークタイムみたいなさ。 わかるよ。それがないからやっぱ一番快適に仕事ができるっていう意味だったら長期休暇は基本僕もずっと資料作ったりとか
してるなあ。 確かに。あとさ、これはまあこういう仕事からしょうがないと思うんだけど、僕ももうずーっとその何?
情報収集とか分析とか? なんかそういうことやったり、その観測データの分析なんかもやったりとかするけどさ、
そういうのって基本休み関係ないじゃん?あんまり。 あー、やしほらゴールデンウィークって2本だけやしね。そうなの。そうなの。全然関係ないから、
あんまりその休みだからそういうのをやらないっていうことはないので。 あんまないねんなあ。そうそうそうそう。
俺もだから普段とあんまりそういう意味では変わらない。ちょっとだから時間に余裕があるとかさっき言ったね、その他の割り込みがないっていう程度で
あんまり違わないし、そもそもさ、俺らゴールデンウィークに収録してるからな。 確かにそうなんすよ。なんかね、あのメンション来たんですよ。
あのXで。ゴールデンウィークやからお休みなんですかね?みたいなやつ来たからもう速攻で返してきまして収録しますっつって。
本当だよね。俺ら収録休むの年末年始ぐらいじゃない?せいぜい。 まあそうですね、ホリデー的なとか長期休暇的で休みにするのはそうですね、年末年始ぐらいか。そうですね。
さすがに年末年始はちょっとお休みしてるけど、それ以外はあんまり世間が休みだから収録休むかっていうことにならないよな。
ならない。その発想がない。 そうね、まずね。
なんかこう、その普段ね情報収集分析とか、僕がやった資料、ねぎさんもそうですけど資料作ったりとかって結構もう習慣みたいになってるし
なんかこういろいろやってると、僕もちょっといろんな集計とかやってたんですよ。ちょっとスクリプト書いて集計しようかなとかやってたんですけど
あの多分根本的にいいのか悪いのかわかりませんけど、仕事してる感じっていうか仕事してる気じゃないですよ、別にあんまり。
わかるわ、それもわかる。 気になんねんみたいな。仕事って言ってやらされてるわけじゃないからね、なんかね。そうなんですよね。
別にノルマとか期限もないじゃない。資料はね、公演とかがあるけど、それのネタになるようなものを調べたり資料に起こしといたりみたいなのって別に誰かにいつまでにやれって言われてることちゃうからなっていうのもあるな。
わかるわかる。いい意味でも悪い意味でも区別がないというか。そうですね。
メリハリがちょっとつけにくいというかね。 わかるわかる。そうそうそうなんです。だからそういう意味で言うと僕らはもうずっと休みなんかもしれん。
逆に?逆に?逆の発想かもしれん。それはちょっと世間体がよろしくないので。
あんまり人気悪いか。そう、あいつずーっと休みで遊んでるよって言われたら嫌やそれ。確かになぁ。でもなんかこういうことを考えてるといつもね、昔僕とかネギスさんとかカンゴさんとかとね話したことを思い出すんですよ。
ただの日がな一日インターネット見てるだけのインターネットおじさんなんじゃないか我々は。
なんかそういう話題もあったねそういえば。 だからリサーチャーって言っちゃえばいいんじゃねーのみたいなところもありましたよね。
あのもう10年以上前ですけどね。そうねそんなのありましたね。
お便り紹介:警視庁動画、淡路大江ノリ、情報セキュリティ事故対応アワード
まあそんな感じでこれ公開するとき皆さんはまだ休みだと思うんですよ。聞いてくれるのかな休みでも。
まあゴールデンウィークもねちょっとした息抜き。息抜きじゃねーか。逆の意味でなんか。逆の意味でね。
まあメリー・ハリオスキーのためにちょっと聞いてみようかみたいなのもいいんじゃないかなと思いますけどね。聞いてくれたら嬉しいなと思いますけどね。
はい。で今回もですねお便りが来ておりまして、読み上げていきましょう。
警視庁のあれって勝手に読んでるんですけど、これあの僕が監修したyoutubeの動画のこと言うたはるんやと思うんですけど。
警視庁のあれの2話でvpnから侵入されましたって言ってて、何でもvpnのせいかって思ったらちゃんとファームアップしてませんでしたって言ってフラグ回収されませんでしたっていう。
ちゃんと見てるなぁ。僕が何でもかんでもvpnのせいにすなっていうふうに言ってたあれを見てて、まさかこっちで愛犯することをやってんじゃないかというチェックが入ってしまいましたね。
よく見てますね。いやいやもうちゃんとチェックしてますよこれもう。あれでもなんかこうよくよくその3話でさ、いろいろなその実際にあるなんかリアルな事案がまあ多分念頭にあって
あのシナリオを書かれてるんだと思うんだけど、まあよくできてるなぁと思ったよ。そうですねなんか僕も監修のチェック、いくつかねその提案を受けて何社から何社から選ぶんで
まあもうそもそもそのなんかちゃんと調べてはるなぁとかちゃんとあの変な理解してないなとかっていうところがやっぱ選ばれるんではあるんですけど
なんでその中のまあある一社っていうところでやったんで、まあ元々結構よく書けてる台本というか原稿というかねでしたよ。なるほどねということです。見ていただいてありがとうございます。
であとですね、前々回のおすすめのあれで紹介されてた淡路大江ノリ。世の中にはそんなうまいノリがあるんかと聞き流していました。
先日実家に帰った折、食卓に鎮座した子供の頃から見慣れたノリのパッケージをよく見ると淡路大江ノリの文字、東大元暮らしとはこのことですね。
マジで?昔から家にあったら逆に気づかないか。なんか気にしないかもしれないですね。
どこのメーカーのどのブランドのどういうものとかってまあ子供は特に気にしないよな。そんなうまければなんでもいいもんな。
まあ当たり前のようにね終わったからっていう。改めて見たら結構長い間食べたはったでしょうね。
そっかなんかそれは逆に良いご家庭だなぁ。うらやましい。そうですよ。結構ちゃんとこだわりがあるのかもしれないですね。こういうのに。
たぶんご家族がそういうのにこだわっているのかもしれないしね。あるいはめちゃくちゃ身近にあるものなのかもしれないけどね。
ああ確かに。もしかしたら実家の地域にもよるかもしれません。昔から簡単にと言うとあれですけど結構身近にあったものなのかもしれないですね。スーパーとかで。
もしかしたらね。いやでもそれはうらやましいな。うらやましいですね。
でですねセキュリティーのあれでお便りが読まれていただいたステッカーをコンビニに印刷しに行った。
プリンターのとこに置き忘れ印刷済シールがあったのでチラッと見てみたら演歌歌手のような着物姿おじの同じ写真が4つ並んでてビビリ散らかした。そっとそのままにしておいたっていう。
いいですね。結構コンビニでステッカーを印刷するって結構僕あんまり馴染みなかったんですけど結構普通にされてることなのかな?
他でもそういうのがあるのかね? まあただの着物姿おじの写真が4つ並んでるって言いますけどまぁ僕らもあのセキュリティーおじが3人喋ってるだけっていうのもありますけどね。
まあねまあね。でですね休みが取れまして5月14日の情報セキュリティー自己対応アワードに現地参加できることになりました。
昨年は仕事で行けず受賞された団体のお話をアーカイブで伺いながら会場の温度感をぜひリアルで感じたいと思っていました。
思いや教訓を持ち帰って社内やお客様と共有したいですという。 休みを取って。嬉しいね。あれ?
ポッドキャストで自己対応アワードの告知ってしたっけ? してない。じゃあしようよ。
告知した方がいいですか?せっかくだから今ちょうどお便りいただいたし。 はいはいえーとですね第11回ですよもうこれも。
11回もやってるの? 11回もやってる。すごいねー。そうなんですよ。第11回情報セキュリティー自己対応アワードってこれ
ポッドキャスト聞いている方は知ってくださっている方も多いのかもしれないですけどちょっと改めて言うと簡単に言うたらあのセキュリティーインシデントが起きること起きたことっていうのはまあそんなに良かったですねって話ではないけれども
きちっと対応したところと対応せえへんかったところで同じような扱いがされるんやったらみんなやれへんようになるんちゃうかと
情報共有も進まへんやんかということでいい対応をしたところは対応は対応で褒めたほうがいいんじゃないか表彰してその内容を広めようという
コンセプトで始まったイベントなんですねアワードなんですけども いや今考えたら11年前にこの取り組みを始めたっていうのは
いやーまあねつゆさんが言い出しっぺでねその審査委員長とかさやってくれてるけど いや選権の命があるなぁと思うよね
いやいやいやもう11年前なのか11回だからね ね結構こういうのって大事じゃないその事故はなかなか減らせないけど
取り組むが良いところがさ評価されたらさ まあなんか頑張ろうってみんなで思うだろうし
そうそうそうしっかりやろうって思うしまあそれが結果そのそれを見る人たちに対しても プラスになるわけだからそうですねまぁあとはが専門家がこういう対応いいと思うんだっていう
のを知ってもらうのもいいんじゃないかなって思ってるんですよね だって叩くのは簡単であれでもできるからさ
まあ後出しやしね情報漏洩して消しからなで誰でも言えるから そうではなくやそれはそうだけど
だけどっていうところにね目を向けようっていうのはそうそうすごいいい取り組みだとは ちょっとまあ自分でやってて言うのはあれかもしれないけど
取り組むとしてはいいと思うんだよなぁ それはの今年のですねもう来週再来週かな
5月の14日の木曜日に14時から15時半まで今回はのいつもはねあのマイナビの窓から スペース借りたりとか配信とかっていう形でやってたんですけど今回はちょっと趣向を
変えまして開催場所が東京ビッグサイト そうなんだよねちょっといつもと違うチャレンジなんだよね今回ねそうそうでまぁこの間もねあの
アミアの展示でね僕らもビッグサイト行ってましたけれどもああいう展示エリアでは なくてセミナー会場っていうのがあって南の34ホール
3-4ホールっていうところでやるオデックスっていうイベントとの閉催でやらせて いただくという形になってるんですよね
うんなんでこうオデックスの申し込みもあるんですがもし来られる方はこのオデックス とはまた別にこちらの申し込みも必要になるのでそこはちょっと注意が必要ですという
感じなんでパネルディスカッションもしつつ表彰もしつつあとは今回の音表彰になった 組織に生の声でお話をしていただくというふうなものも準備してるのでちょっと場所
はね人によった遠いかもしれないですけど来られる方はぜひお越し頂ければなぁと思っ てます
いや僕らもこれすごく実際に事案に対応したところの リアルな話は聞けるってすごい勉強になるし
そうそうそうそうそうのちゃんと情報を公開してみんなさんの教訓になるように行って 積極的に取り組んでくれている素晴らしい企業はたくさんあるんだけど
まあやっぱりまだまだ少ないからこういう機会にねそういうのぜひ皆さんに聞いて ほしいなぁと思うんでそうですね
せっかくやしあのいつも通りですけどもあのセキュリティーのアレのちゃんと印刷 した作った場のステッカーも配るように持っていっておこうかな
そうだねぜひ会場で声かけていただいてはいはいグラとしゃべりましょうとお待ちして ます
お便り紹介:APT28のDNS特定方法
はいはいでですねお便りの続きなんですけれども えっとですね300回おめでとうございます聞いてます
apt 28の件戻し先の dns アドレスはどうやって特定したんだろう やはりノーティスみたいなプロバイダーと組まないと無理ではそれとも tp リンク
からログの入手だったりクワッドナインが戻されたりしたんでしょうかという質問これ ネギさんが紹介した件のああ
何回か前に紹介した あの fbi がそうそうそう裁判所の許可をもらって
結構攻めたことやったやつですよねうん確か tp リンクを dns の設定書き換えられてるやつを戻したみたいなやつだねそうそうはいはいはいはいなるほど
これだからどうやって特定したんだろうっていうふうに質問だったけど それはちょっと多分無理なんで当然そのアメリカ以上に散らばってる
ね tp リンクのルーター当然プロバイダーもあちこちバラバラだろうし それをその fbi 側がどうこうするのは難しいんで
書いてない公開はされてないんでちょっとよくわからないけど 多分単純にその設定をリセットしただけなんじゃないかなぁと思うので
デフォルトに戻した的なことかな多分年だからその普通にインターネットプロバイダー とかケーブルテレビとかもしかしたらその業者によって違うかもしれないけど
まあ普通はデフォートのルートから ip アドレスが降ってきて ds の設定も降ってきてみたいな感じになってそのプロバイダーの標準の dns サーバーに向くっていうふうに
普通はなるはずなのであのユーザーがね自主的に変えてなければはい まあだから多分そういうふうにしただけなんじゃないかなと思うんで
どっか特定のアドレスに上書きしたとかっていう話じゃないんじゃないかと思うけど ちょっとせませんこれはわかりません推測ですね
まあデフォルトに戻したんじゃないかと今あまり書き換えてもね良くないでしょうから ね111とか9999とかさあわかんないけど
そういうあのパブリックな dns サーバーに書き戻したら面白いけどね ちょっと席はなってるやみたい面白いけどそれはあの
多分やりすぎで裁判所の許可取れないと思うよそれは多分 確かやりそうさすがにやりすぎやろうということですね
機器のそのオーナーの許可を得ないであるやっているものだから 意図しない動作をしちゃったらまずいから
多分本来のものに戻す以外の選択肢は多分ないんだと思うよねこういうのはまあね その結構攻めたことやったとはいえまあ最小限のアクションかなっていうふうに思います
もねこういうのはそうそうできるだけ影響が出ないようにっていうふうにやっぱり しないとダメだからねやること多すぎたらで裁判所の許可もおりにくくなるだけですからね
多分ねはいはいまぁそんな感じだそうですはいお便りは以上です お便りをですね採用した方にはセキュリティーのある特製ステッカーの印刷コードコンビニで印刷
できる印刷コードを差し上げております 5種類あるんで5種類揃ったら揃ったよという写真とともに僕に dm で揃い
ましたというふうなメッセージを送っていただければ6つ目のシークレットの印刷 コードを差し上げてるんで
感想だったり応援のコメントだったり質問だったり何でもいいんですね お気軽にシャープセキュリティーのあれというハッシュタグをつけて x でポスト
いただければと思いますよろしくお願いします お待ちしてます
VPNとレジデンシャルプロキシの悪用実態
はいじゃあ今日もセキュリティーのお話をしていこうと思うんですけどもネギさんから じゃあお願いしていいですか
はいじゃあ僕から今日は行きますも今日は看護さんいないんですね あそうなんですが今日2人でやってそうですねはい
じゃあ今日は2人でば僕から行きますけども今日はですね ここでも何回か取り上げてるけども
レジデンシャルプロキシーの話題なんだけど ファイファイ8まあレジデンシャルプロキシーと頭 vpnですね
まあよく使われるまあ僕らも使ってますけど こういうサービスがどのくらいその悪用されてるかっていう話で
3月に開催された rsa カンファレンスというカンファレンスで発表された内容をちょっと 紹介したいなと思ってるんですけども
方法 これはどういう発表内容だったかというとまぁその発表内容をまとめたあのブログの記事が公開され
たのでまぁそれを紹介したいんですけど これですね発表したのは
ip インフォっていうところと あとアビューズ ipdb っていうこの2つのサービスを提供しているところが共同で
リサーチした内容なんですよね でこれまあ僕らは多分なじみがすごくあるというか
そうですね僕しょっちゅう使ってるけども 知らない人にちょっと簡単に紹介すると
ip インフォの方はこれ名前の通りそのままなんだけど ip アドレスのまあなんていうかな属性情報とかを提供しているサービスなんだけど
例えばこの ip がどのプロバイダーのもので ジオロケーションはどこそこで
どういうふうに使われ方をしてて例えばそれが vpl のアドレスとして使われてますとか それこそレジデーサルプロキシーとして使われてますとか
まあそういうような情報を集めてデータベースとして提起をしている会社なんだよね うん
まあこれ無料でも一部使えるんだけど ip アドレスを調べるとまあそういう情報が返ってくるっていう
でここはのそういうデータベースを作るためにいろいろアクティブなスキャンとかも やってて
例えば vpn っていう風になっているものに関しては実際にその vpn の例えばプロトコルで
接続ができるのかどうかっていうのは実際につないで確認してみたりだとか そういうのアクティブなスキャンもやって情報の精度を高めているんだよね
ちゃんと挙動まで見てってことですよねそうそうまあそういうようなデータベースを 持っている会社がありますと
で一方のそのアビューズ ipdb の方はこれも名前そのままなんだけど ip アドレスがどのくらいその悪用に使われているかっていうのをデータベースとして持っている
まあいわゆるその ip アドレスのレプテーションって言えばいいんですかね まあそういうサービスで実際に彼らが持っているハニーポッドで例えば
どこそこのアドレスからスキャンがありましたとか エクスプロイトの試みがありましたとか
まあそういうの観測もしているし あと世界中の様々なところから
自分のところでこういうスキャンを観測したよとかこういうところから攻撃を受けたよ っていうような悪用の報告も受け付けてて
そういうその世界中のそういう観測情報とかを集めて集約している会社なんですよね で集めたものを整理してこの ip アドレスはいろんなところから報告が来ているから
悪用の確率は100%とか そういうその悪用の角度っていうかそういうパーセントで表示してくれていて
はいはいおもみづけみたいなそうそうそう まあそういうのレプテーションデータベースを維持してまあそれを
顧客向けに提供しているというまあこういう会社があるんですね でこの2つが手を取り合ってですね
で実際にその報告があった観測をされた悪用の ip アドレスに対して それがどこから来たのかっていうのをその2つのデータがあれば付き合わせてわかるよねって
いうことで 強力ですよね調べてみましたってだからこれ面白いなぁと思って
で結果どうだったかっていうのをちょっと軽く紹介すると結構長めの内容なのでいく つかピックアップしたいんですけども
元になったデータセットっていうのは2億6千万件の ip アドレスユニークな ip アドレスが含まれていて
そのうち9400万件がエジデンシャルプロクシーのアドレスだそうですと あららら結構締めてるのでそれから
2400万件が vpl のアドレスでまぁこれはもともとの ip フォのデータベースでこういう データがありますと
でそれに対してじゃあ悪用されているのがどれくらい観測されているかというのを 調べてみると
実際に悪用が確認されている ip アドレスの全体の半分を超える53%が vpl またはエジデンシャルプロクシー
だそうですごいのんだから悪用されていることの半分以上は こういうサービスからだからまあ匿名性を確保したい攻撃
者が vpn とかレジェンサルプロクションよく使ってるってことなんだよね
でまぁ特にその中でも45%はレジデーサルプロクシーなんで まあそのデータの方よりは若干あるかもしれないけどこのアビュー材 p が ipdb
が見ている 悪用のデータの中の約半分はプロキシーから来ていると
こと悪意のあるアドレスとして認められているものの半分の半分がレジェンシャル プロキシーところだ違う米米米
53%っていうのは vpn かレジェンサルか両方っても含まれているんで 全体の45%はレジェンサルっていうこと半分の半分ではないごめんごめん
了解ですよはいということでかなりの割合占めてるなっていう感じなんだよね そうですねただしこれは悪用されている中の割合なんで
そんなに vpn と加工されているのって思うかもしれないけど さっき言ったその例えば2400万件のvpn とか
9000万件のレジェンサルの中で どのくらいが悪用かっていうとそっちはもうずーっと少なくて例えば vpn の
場合だったら全体の約4%を一気に数字が小さくなりましたね レジェンシャルでも6%ぐらいなのでまぁ数は多いけどだからその悪用されている
がごく一部のアドレスでまぁそれ以外はそんなに別に悪用されてるってわけじゃないんだ けど
ただ攻撃とかまぁあとスキャンとかもあるのかな まあそういうその悪用されているものの活動の中で占める割合はかなり高いという
うーん 攻撃ではない正当な使い方が大半を占めてるんだけど8割9割はそうなんだけど
ごく一部そういうものがあるよってこと だからねこれ面白いのが vpl とレジェンシャルのプロクシーではやっぱりそのまあサービスの違いもある
けども 悪用の中でも結構特徴がそれぞれあって
はい例えばね vpl の場合には これはプロバイダーっていっぱいあるじゃないですか
あるあるじゃあプロバイダーごとに見るとどうかっていうと なんかトップ15のプロバイダーに絞って調べてみたらしいんだけど
各プロバイダーの ip アドレスの中でどのくらいが悪用されているかっていう割合を見て みると
一番少ないところが5%なのに対して一番多いところは95% いう方もあかんやアカウン使い方しかしてねーやこれ95%でエクスプレス vpn
っていうかなりメジャーなところなんだけど大きいでございますを95%ってことは その ip 4がエクスプレス vpn のアドレスっていうふうに認識しているもののほぼすべてが
悪用されているってことなんだよねそうですね じゃあこれ悪人しか使ってないのってちょっと勘違いしちゃうんだけど
vpn って普通ねあのものすごいたくさんのユーザーが 少ないプールをみんなで共有して使っているから
あーそうですね vpn のサービスによっては今皆さんが使っているこのアドレスは何人が 使っててこれがな不快ですとかっていうのはわかるやつもあったりとかする
じゃない 速度が見えるのもありますよね
まあそういう感じでたくさんの人がこう一つのアドレスを共有して使ってるんで 国一部でも悪用する人がいると
まだガタガタも全体が汚染されているに見えちゃうんだよね 1回でも汚染が攻撃をしてしまった ip だったらもうそこは全部真っ黒の印がつい
ちゃうからってことねちょっとそういう傾向があるので 必ずしもこの割合が高いところがもうほぼ悪人しかいないとかそういうわけでは
ないとここのいうエクスプレス vpn のユーザーの9割以上が悪人っていう意味じゃないってことね 治安が悪いサービスってわけじゃないですよっていう
まあその辺はちょっと注意してみなきゃいけないんだけどそうですね ただただとはいえ割合が多いっていうことはまあそれだけ多分悪用する人が多いことは
まあ間違いないし まあなんだろうねプロバイダーによってその悪用しやすさというかまあ使いやすさかな
単にそういう使いやすい使いにくいっていうだけかもしれないけどちょっと数字で偏り が結構見られますねっていう5.4から94.9へと中どんだけそのこっちのが使いやすくて
思ってるんやろうっていうところの理由は気になりますよねねどういう理由で偏ってる かはまあ当然データからはわからないんだけど
例えば僕が使っているプロと中も60%ぐらいの結構多いですね ちなみにねそのさっきで5%って一番少ない奴は
日本の vpn ゲートですねそうまあ時々ねあれも悪用されている事例とか紹介されたとか するけど
なんか ip アドレスの割合で言うとなんか少ないらしい そうなんですね多分あんまり知られてないんだろうね
確かに世界的に知られてないっていうのがあるかもしれませんねそうそうまああれはあくまで もね日本の学術研究目的で提供されているものなのであんまりメジャーじゃないの
かなって感じだけどねでもこれ逆に数字が少ないところだったらまだ黒いフラグがついて ないから少ないところを使ってやろうという攻撃者が出てくるかもしれへんところですよね
そうそういう見方もできるよねそうだからちょっとこれは面白い データだよねうん
そうそれから今度レジネーサルプロクシーの場合にはじゃあどういう特徴があるかっていうと これは前にもちらっと言ったかもしれないけどもその仮にその悪用されてるっていう風に観測されて
てももうすぐ消えてなくなっちゃうんだって まあそうかなばレジェンサルプロクションで数も多いし
動的アドレスアドレスが変わったりするから その生存期間と言えばいいかな
すごく短いんだってで具体的例えばその3分の1が1日内で消えちゃうと早 だもうすぐ1日記録されてその時はちょっと悪用があるかもしれないけど
もうそれ以降全くパタッと聞いてなくなっちゃうと でもうちょい長いものでも42%が2日から7日間って書いてあるんで両方合わせると
70%以上が1週間以内で消えちゃうんだよね だそうするとこれだけその生存期間が短いと仮に何か広域が観測されて
レジェンサルプロクシーからだってなったとしたら例えばその ioc 的に使おうと思ってもあんまり効果がないっていう
あーもうもぐらたたきが間に合わないですね延々と続けないといけなくなっちゃうか 次またあの悪用するときでは全然別のアドレスから来るという感じに多分なってしまうので
これはの他の研究でも同じようなことを言われていて レジェンサルプロクシーってのはあんまりそういうような ip アドレスペースのアクセス制御が全然
効かないっていうね これはその防御からからすると結構厄介なポイントでそれがまあ今回の発表でも裏付けされ
攻撃側からするとリソースがもう潤沢すぎるってことですね そうだってさっきの話でもさあここのデータセット中だけでも9000万件あるんだから
まあそれは使い放題いくらでも使えるよねまあね1個にこだわる必要なが全くないわけ ですからねそうなんだよねまあだから今結構その悪用さっきのねその悪用の中のユニーク ip
で言うと4割近くがレジェンサルプロクシーっていうのもまあ なるほどの悪用しやすいんだろうなーっていう感じ
ダネはちょっとそういう特徴がありますと あとこれも前別のところでちょっと言ったけど国別の偏りってあんのみたいな話なんだ
けど キムボルフのところのポットネットのところで話をしたんだったか
ip アイディアとかのプロキシーの音サービスの話をちょっとしたと思うんだけど あーなんかの入り口いっぱいだけど実体一緒やんか名前変えてるだけでの話の時かな
あの時にさぁ android テレビとかそのセットトップボックスだとか
はいはい海外で売られてる安いちょっと怪しげな違法のやつで 買った時にはもう最初からプロキシーとかボートレットが入ってですね
そう埋め込まれてるってやつがあるって話したじゃないまさにあれで 国別でビルドブラジルが突出してレジェンシャルプロキシーの割合が高いんだよね
いやーそうなんや具体的にはブラジル8700万件の ip アドレスを持ってるまあこのデータセット
中ではあるんだあるんだけども その中のおよそ6%がレジェンシャルプロキシー
なんだってブラジルの持ってる ip の6% 全体の6%で他の国は0.何パーとか1%超える国はほとんどないので
アジア突出してるんですね突出して多いもうここがダントツ多い でおそらくそのまあこれのいくつかそのブラジルのプロバイダーとかに何か聞いてるらしいんだ
けども まあ多分さっき言ったそのまあ違法だというか
あらかじめ埋め込まれちゃってる奴のせいだろうとこれがブラジル多分多い理由なんだろう ねって話でそういう国別の方よりが見られましたと
うーん で最後これもちょっとで面白いなぁと思ったんだけど
ポットネットリードスコーヒーとかに使えているボットネットね はいとどのくらいデータの重複があるんだろうっていうのも調べていて
具体的に今どことは名前を書いてないけど 実際に使えている2つのボットネットをまあこれなんか購入したって書いてあるんで
またもサブスクリプションがなかったんだろうね実際にね 実際に買って確かめてみましたとでそれによって
ボットネットに感染していると思われる場確かな ip アドレスのデータを17000件集めましたと ほいほいどっかに攻撃させて自分たちで観測したとかそういうことなのかな
多分ねわかんないけどああ かもしれ使ってみたんでしょうねおそらくね
でそうすると実はこの17000件の ip アドレスのうち 全体の半分以上62%が
vpl またレジェンサルプロクシーだったんだって 一番多いのは41%を占めてるのがやっぱりレジェンサルプロクシーでなんでこれはその理由は
はっきりしないけども パターンとしてはいくつか考えられて
例えばそのボットネットに関して見せる奴が 同時にその感染している機器をプロクシーとしても提供している
ああ たまにそういうボットだとあるんだよボットに関するとソックスのプロクシーとして動作
する奴とか 複合型になっているとですねそうそう元々そういうものがあるので
ボットに関係するとプロクシーとしても使われてしまうっていうパターン はいはいはいかないしはプロクシーサービスを経由してボットネットがまあ
使っている悪用しているそれぞれ役割分担しているネットワークがあるということですね カーないしはこの記事では書いてないけど
僕が思うにたまたまその ip アドレスが重複しているだけ という可能性もあってその
自宅でさあホームルーター経由でアクセスをしていればまあみんな同じアドレスを重複 して使うわけだけども
そのホームネットワークの中にレジデンサルプロクシーに感染している例えば pc の端末と ボットレッドに関してする iot の機があって同じアドレスで外に出てくるみたいな
単にアドレスを共有しているだけなのかなっていうのも確かにそれもあるかもしれない ですねんじゃないかと思うけど
ただまあそれにしてもちょっと明らかにそのオーバーラップが割合が高すぎるんで キムウォルフとかのところでもちょっと話をしたけど
実際にそのボットネットが完成するときにプロキシーのまあ贅沢性というか弱点をついて プロキシーに感染してる奴に対してボットネット完成するってその両方
重複して感染してるってやつが実際いたわけではいまあこの両者には何かしら多分その 関連性があるよねっていうのが分かりましたということでこの辺はちょっとね
あの興味深いデータだなぁと思って確かに確かに気になる データがありまして紹介してみたんですけど最近やっぱりそのレジデンサルプロクシーの
あとさっき言ったみたいなその出荷段階からも感染してるって言うこれ避けようがないやつ そうですねとかがあって多分数としても増えてるのかなっていうのがあるんで
まあ前も取り上げたみたいにその方式を期間頑張ってテイクダウンとかやってはいるけど 追いつかなさそうですよねね結局他の奴がまだ出てきてみたいな感じに見えるので
で加えてねさっきの話でその悪用が確認されているものの中の半分近くがそういった ところから来てるってなると
これはちょっと なかなか見過ごせないぞっていうねそうですよね
にも関わらずそういうのね特にレジアルプロクシーはその生存期間が短いから観測した時には もういないんですよねもうね
もうその価値はないっていうかさないですよね俺はちょっと厄介だなぁっていう 多いし追っかけても無駄やしみたいな
多いしコロコロコロコロアドレスは変わっていくし 追いかけられないし
でどんどんどんどん違うサービスができるしみたいな 感じでこれはちょっとやっつけるのが相当骨だぞっていうふうに
いやそうですね 根っこの仕組みを立たないといけないのかなぁ
これだとだけどさあそのさっきの音話でクリーミットで見たっていう時の話で まあ幸い日本はすごく少なくて
割合言うと0.2%とかなのかな だまクリーミットまあかなり少ない割合なんだけど
じゃあ国内は少ないからいいかって言ったらほとんどの悪用ってのはまあ海外から 来るわけなんで
国内だけ綺麗でもやっぱダメだし さっき言ったみたいなねその他の国で流行っているそういうその真中違法な機器とか
怪しげな機器にバンドロされているとか あとその従来からあるその例えばなんていうのクラック版のソフトウェアをダウンロードしたら
それにくっついてきたととかさ そういうその本来の目的とは違うところで勝手に入っちゃうってやつを防ぐって
らこれ相当難しいので 水産がいた元を立つというその元っていう系度がいっぱいあるからさ
なんかその特定の例えば一部の国でとかその一部の機器の元を立つはできると思うん だけど
とかない車と一部のプロバイダーの悪用を何かテイクダウンして防ぐはできると思うん だけど
全体のパイを効果的なレベルまでグッと減らすっていうことを考えた場合には ちょっとこれどういう手が有効なのかなっていうのはパッとね思いつかない
そうですねなんかあの ブラジルが突出してて多いって6パーでしたっけ
多いっていうのでそのブラジルでっていうのちょっとずいぶん前に1023年ぐらいの ニュース思い出したんですけど
クリッパーゼロってあるじゃないですかああはいなんかまあ bluetooth やったり nfc やったり
あとはの赤外線通信とかエミュレートしたりとかするが何でもかんでもいろんなことできます ってツールみたいな物理的なねちょっとガジェットで流行ったよね
ブラジルがあれあの輸入差し止めしてるんですよねフリッパーゼロ あっそうなんだ方
そうあの犯罪にまあ使われるっていうのがあるんで ブラジルとねカナダがダメやったんちゃうかな
a そういう厳しい国もあるんだねそうそうそうだそういうところもなんかできればね こういうふうに寄与できるのかもしれへんなっていう気はしなくもないですけどね
法律の枠組みにあいでできることっていうのを各国が強調して取り組むとかなんかやん ないと多分追いつかないと思うんですよねそれでもなんか自分たちから参加すると
ブーブー言ってとかってまあ中にはいるよね そうそうそうだまあそのだとセットトップボックスみたいなああいうのがダメっていう
にできてもまあゼロにはもちろんならないですけど かなり減らせるんちゃうかなーって気はしますけどねこういう全国で国ごとにちゃんとやれ
ばそれこそさその日本のノーディスみたいな取り組み あれはまあかなり先進的な取り組みで素晴らしいと思うんだけど
海外でも結構称賛されてましたよねあれねああいうようなまあなんかやっぱりその国を 上げてとか
まあと当然今回の枠をされているところのプロバイダーとかもやっぱり 結構偏りがあったりとかするわけで
例えばそういうそのプロバイダーない通信会社なりまあとさっきの vpn プロバイダーでも結構 偏りがあるみたいな話をしたけど
そのちゃんとしたサービス の会社であれば
そういうところが悪用できるだけこう防ぐような取り組みってのはやっぱりやら ないといけないと思うし
まあさすがにレジデータルプロクシーはね勝手に感染者で勝手に悪用されて気づかない ケースってのが多いのでそれを当事者が何とかするってのはちょっと
難しい気がするんだけど だったらそれを第三者である公的機関が何とかするっていう風にしないと
これ一向に減らせないよねちょっとねそうですね なかなか難儀やなぁこれもなぁ
まあ悪用するがそれはね便利だから使うよねっていう そりゃそうですよねそりゃそうだよなっていうなくられにしてもちょっとこう全体
ちょっとでも減らすような取り組みがあるといいなぁと思いました まあでもそういう意味でもまだが実態がよくわかってすごく
のためになりましたそうですね次のアクションにつながるといいですよね はーいありがとうございますはいじゃあ次は僕なんですけれども
SCS評価制度に関する注意喚起と課題
はいお願いしますいろんなところで普通に家でいろんなウェブサイトを見てても セミナーやり何やりの広告が出てくるでおなじみ
サプライチェーン強化に向けたセキュリティ対策評価制度いわゆる scs 評価制度と 言われている
についてちょっと今日は触れてみようかなとちょっと珍しい話題ですね これきっかけがですねあの注意喚起が4月の27日に出ていまして出たねなんか経済産業省
から出てましたねそうそう scs 評価制度にかかる不適切な勧誘にご注意ください っていう注意喚起がね経産省から出てた
こういう注意喚起でるって珍しくない いや珍しいと思いますよかなりねえ相当なんかいろんなところで
ミスリーディングな話が行われちゃってる 問い合わせ多かったんじゃいますもしかしたらこれ本番ですかみたいな
たぶんね目に暴る感じでいろいろそういうのが出てきたんだろうねきっとね そうそうそう
まあだからそこで言われた注意喚起っていうのは例えば評価を取得していないと小取引 が規制されるぞとか
まあ今すぐ評価を取得今すぐ評価を取得ってこれまだ決まってないのもまだ始まって ないような
取るに取られへんやんけと思うけどこれと今すぐとらへんかったら入札できひんくなんぞ 除外されんぞみたいな営業活動ってもこれは派手にやってますよねこれ勢いある
文言でやっとんなと思うんですけどなんかいわゆる恐怖を煽る系の商売だよね そうそうそうそうなんかもう地獄に落ちるわよみたいなね感じのやつですけども
まあこれに対してはまあ2社間の取引とか契約においてはそのまあ 任意の制度であるとお互いにこう状況を確認することを想定した
2位であるっていうことがまず1点強調されてまして もう1個は特定のセキュリティ対策製品の導入が必須とされているものではありませんので
注意してくださいという喚起がそりゃそうだよね国が主導してやってる評価制度でさ 特定の製品とかを必須にするわけがないじゃんねそうそうそうそう
でもねこれごめんちょっと話に残しよって悪いけどさあどれどぞ この間僕びっくりしたのは
あのほら3人で セミナー行ったその情報セキュリティエキスポ
ああはいはいはい僕らはほらあの網屋さんのブースです 公演しただけなんで他別に見てもらったわけじゃないんだけど
まあそうずっとが通ったぐらいかなこんな感じかみたいなね だけどちょっと見ただけで
あっちのブースからもこっちのブースからも この scs 評価制度っていう単語がああ
セッションやってましたねうんセミナーでやってたり あとなんかブースで何か scs 評価せるに向けてっていうような感じで売り込みを
あっちこっちでやっててやってててといやそれがフッと頭よぎってこの注意喚起時に あそういうことねーみたいな
あれもだからこうねちゃんと制度を知らない人にとっては これやらないとやばいみたいなこうなんかそういう焦りをちょっとね
産みかねないっていうかさそうですねなんかちょっと 大丈夫かなーって気がその時ちょっとしたのよねなんかね結構ねそうそう僕も
なんかねこの制度の頃売り出し方という売り出し方ってその各種ベンダーの発信してる 情報とかを見ていると僕らが pcidss 思い出したんですよね
あークレジットカード業界向けのやつですね pcidss っていうような要件が12要件あってまぁそれぞれ
中であのは不入れなあかんでとかソースコードチェックしなあかんでとか スキャンを認定ベンダーから受けて変更があったら受けてとか市販機に行ったりいろんな
子基準があってね でもちろんその代替管理策っていうのもあるわけなんですよこれが出来品場合はそれ
同等もしくはそれ以上の別の方法すればいいですよっていうのがちゃんと書かれて あるんですねあの制度も
にもかかわらずそのうちのこのサービスや製品は pcidss に準拠してますみたいな売り方をしてるのが昔あったんですよ
よくあるよねそういうのねそもそも製品が準拠もヘッダクレもないんであれは 仕組みの話ですからそういうのはね
あの pcidss がやっているところがあのそういうのを受け付け窓口をちゃんと作ってて そういう文言出しているところを通報したら直接そういうのを消しなさいっていう
ふうにいう仕組みもあるんですよ なるほど
ソースまあそれはねこれを scs がそういうのがあんのかないのかわかりませんけれども まあ多分ないんじゃないかなと思ってのでこういう注意喚起が出たんじゃないかなと思うわけ
なんですよ はいそうではこの scs 評価制度もこういうのがこうやらなあかんなあっていうふうなものが立ち上がって
いろいろ検討に検討を重ねて今もね検討中でこれからどうしていくのみたいなところで まあ例は8年末ぐらいに制度開始が予定されているっていうふうにされているものなんで
時系列で変化してきているなっていうふうなものも見ててちょっと感じるんですよ 世の中の動きとかを見つつ
はい最初は猫なんか最初のコンセプトが僕が受け取っているコンセプトではあるんです けれども対策レベルっていろんな各社ねバラバラなんでそれぞれ取引先の安全性が
わかれへんからどないしたらええねんっていう物差しないやんかみたいなね でまぁあとはいろんなこうチェックシートがこうそれぞれバラバラに存在してたりとかしてこれ
書いてくださいみたいな風に出されると受け手側の方の負担も大きいとか まあとは何をすればいいかわから何からしたらいいかわからん
人それに対しても人も金もないねんけどっていう風な 中小企業の対応がなかなか進まないっていう風なものに対して
まあ最低限の基準というかまあ共通の物差しって言ったらいいのかな そういうふうなもので評価して可視化するっていう熱をが結果全体の底上げしましょうよっていう
のが僕の受け取ってた最初のこの制度の対するコンセプト だったんですよね僕もそういう認識でしたし
多分そういうそもそもの最初の制度設計の趣旨とか 目的というか狙いは
すごく真っ当だと思うんだよねそうですね一言言ったらもうちゃんと図ってちゃんと 比較して合理的判断する材料みたいなイメージ
だったんですけどなんかこういうのっていろんなまあこれまでもいろんなそういう 認証を取得系のものとかで出てくる話でアリアあるあるなんやろうなと思うんですけど
なんかこういろんなこう見てるとベンダー側が走る情報を見てのがちょっと影響を 受けているのかもしれないですが
だからチェックリストを埋めるためのもんというか なんかこう丸々とかイエスがいっぱいついたら ok みたいな雑な判断がされて
しまうんじゃないかというか実態よりもなんか回答の上手さが重要になりがちっていうか なんか僕はこういうの書類審査ゲームって呼んでるんですけど
あーはいはいそういう風になって言ってるんじゃないかなっていう風になってて リスクを下げよう低減しようというよりも
証拠作りみたいなあとはもしもうちょっと言うと評価はして責任は果たしたから インシデントの時にやることはやってたって言いたいみたいなそういう未来が何かこう
僕の中ではですねちょっと危惧されているというかね なるほどねそう手段の目的かというか評価が評価すること自体がこう目的
化しているような気がしてならないっていうそうねー 当事者でなくてその文句だけ言いたいわけじゃないんだけど
多分これに関わっている人たちはみんな何とか良い方向に持っていこうって多分みんな 思ってる
絶対それはそう思いますわ だけどそのいろんな人たちがいろんなことを考えてやってやっていくうちに何となく本来の趣旨から
恐れていくってことはまあまあよくあって まあそうですねまあ難しい落とし所を探るのは難しいことだと思うんだけど
なんかそのさっき言ったその最低限のそういうレベルをね底上げ全体のレベルを底上げしよう とかっていうことに対しては
まあ結構その今の状況を見ると割とこの評価制度って求めている内容が多いというか 多い多い多いが増えて増えてますよねこれね
だからそうするとねそうすると気になるのが これが悪いって言ったわけじゃないよ
だけど例えばさっきたその pci dss とか 普通の会社だったらまあ結構中小企業がわかるんだけど大企業あったらさ
やれ isms だのやれ is を何とかだの やれプライバシーマークだのまあそれこそ何かこう業界標準だったり
顧客向けにこれは取らなければみたいなやつってのはこれまでにもいっぱいあってそれと のこう位置づけはどうなるんだろうとか
あーこれをとっている人はここは見なせるみたいなものとかの困った方対応表みたいな も欲しいですよねとかなんかこうまとめて全部評価できるとか例えばでわかんないけど
似たような全然別の枠組がポンポンポンポンできてもさ 結局負荷が増え去るさっきのチェックリストがあちこちから来るって言うと何ら変わらずに
評価するとかポンポンポンポンできても困るわけじゃん だけどいやいや全部共通してますからだったら
あじゃあなんか一括でできて楽だなっていうふうになるなら嬉しいなと思うんだけど まあなんかそういう感じにも見えないしさっきの例えばチェックリストが
これで全部なくなるんだったらありがたい話で これで星取れば星3つとか星4つとかって出せば他のチェックはいりませんよってなるんだったら
まあなんか負荷も下がるしいいかなーって気もするけど 果たしてそうなるんだろうかっていうようなちょっと懸念もあるし
なかなかばこういうのって根付かせて当初の目的通りに行こう運用されるとこまで行くって 難しいような気が
危険な香りを感じてしまうんだよなぁっていうのが何かこういう横串やったり方眼関係 だったりみたいながあればいいんでしょうけどね
でも結局そういうことだとどんどん複雑になっちゃってて なんかそうする結局はそういうのを予告してみるとか
複数の制度に精通しているコンサルベンダーとかが活躍したりとかしだして あれなんか当初の目的がどこ行ったみたいにならないかなぁみたいな
でそれが猫手段がね目的化してしまってすると実態との乖離も大きくなりそうというか 作って終わりみたいな感じになりそうなところがちょっと猫
懸念してしまいますよねどうしてもね今までの歴史を見ていると余計にっていうのも あるかそうなんかねちょっと若干ネガティブにやっぱりこう
見がちになっちゃうしまあ そうそうそうなんですよねそこはちょっと気になってるんでまぁこれからもちょっと中止は
したいなと思っているんですけれども でねこれをきっかけにそのまあ項目ちょこちょこ増えたりややかんやしてるなってことで
1回もう1回これ見てみようと思ってね ざーっとこう
エクセルシートで配ってくれててその3とね 4の奴がの黄色とピンクで色付けして配ってくれてあるじゃないですか
あと水色とかもあったかなまあいろいろありますけどもそれを見てみてこざーっと こうはこんなやつかはいはい確かにこれはもう昔から言われてるやつねはいはい
みたいなやつでいろいろ見てたんですよ だからその中で星3の項目まあでですね気になるのが1個あって
の番号で言うとねあの4-4-4っていうところに もうちょっと4-4-4-2ってところが一番気になったんですけども
セキュリティパッチアップデートの手順っていうところがありまして 4っていうのはなんか攻撃等の防御ってところに関するところかな
そうそうそうそうそのジャンルのところではあるんですけれどもはいはいはいはい そこの中のまあセキュリティパッチアップデートの手順って今我々もよく言及する
脆弱性管理にあたる部分かなと思うんですけどもそこに書いてあったのがですね あの情報機器 os およびソフトウェアのセキュリティパッチ
およびおよびいっぱい多いなと思うんですけどもおよびアップデートの適用にかかる 手続きを定めることっていうことが書かれてあって
でこの項目は他の項目とちょっと異質というか あんまり他の項目では求めてないような何日以内みたいな数字
そう明確に書かれてるんですよいいじゃないさ具体的にいいじゃないですか そうそこに書かれてある項目が何かというと
cvss 7以上は14日以内に対応 cvss できましたかそうなんですよね
でまぁその対象になる機器とかって何かってもうほぼ全部なんですよ 会社支給の pc スマートデバイスサーバーインターネット協会のネットワーク機器を対象に os
ミドルウェアブラウザオフィスソフトアプリファームウェアについてっていうところで ベンダーが重大高リスクっていうふうに判断される cvss 7.0以上の
脆弱性が対象になると a ちょっと待てよ このあれでもたびたび紹介していますがはい7以上のその重大とはいクリティカルと
はいだよねこれねそうそうそうクリティカルとはいですねすごく多いのですけども そうなんです一応ね一応これあの14日間以内にできない場合っていうのも一応例外の
書かれてあるんですけど まあそのやむを得ず期限内にアップでまぁほぼやむを得へんけどなんですけどこんな基準
を受けたら本当に緊急なもので本当に悪用されているそれほど kev に乗るようなさ 悪用されたものはまあ14日でも遅いぐらいだけど
ねあの csa の kev 乗るやつでも物によったら数日以内とかでやれとかっていうのが ああそうですね基本的には2週間が多いけどね遅くやれもたまにあります
そうそうたまにあるからまあそれは臨機応変にやるべきだと思うけど この基準で大丈夫かって気はするよね
そうなんですよねまぁでも適用できひん場合はまあ適用するまで機能を無効にしろとか あとベンダー推奨の回避策を実施ってまぁ結局手間かかるやんっていう
それでもワークアラウンドがそうであればいいけどさ そうなんですよそれがなかったらネットワークから分離するとかね
あとゆるめのやつで言うと通信の監視遮断やから監視はしてましたで逃げれんのかな これ分離とかできればそれやるだろうけどさ
そうできひんから困るんですけどっていうところが書いてある これちょっとなーっていうふうに思ってですね
cvss 7以上って結構あるんちゃうんと思って僕カウントしてみました いやこれ相当あるよ
いやすごくてそのまま cve ってものすごい数で年々増えても5万件いくでっていう勢いじゃない ですか今年はねもうね
そうそうまあ2025年の cve 総数で言うと49,972件あったんですけど でこれで2021年から2025年までの5年間でその cvss 7以上ってどれぐらい
あるのかなーって見てみたんですよ そしたら cvss 7以上の割合っていうのはだいたい半分ぐらい
だからまあ7未満がもう半分があるんで 出てきた脆弱性で自分たちが使っている製品が該当した場合には
だいたいこの割合そのまま当てはめると年間の半分の対象を2週間以内にしないと いけないということになるんですね
まあねもちろんその何万件のうち自分たちが使っているものってのはまあ割合として 少ないと思うけども
ただまぁこれだけ頻繁に出てくる脆弱性に対して 対応の優先順位付けが難しいよねっていう話を
まあ僕らあちこちでしているしずーっとしてますよね 実際それがまあ今のその業界全体の共通認識で
cvss だけではちょっとその判断としてよろしくないので だからどうしようっていうので epss だの
いやいやこれからはその悪用ベースでちゃんとやった方がいいとか ssvc とかもそうですよねそう
そういうフレームワークが出てきたっていう流れを なんか完全に無視してるよねこれ僕これ見た時にちょっと逆行してるなあっていう気が
しましてですね これと比較して一応 kev も見てみたんですよもう1回
今この各都市のその件数に当てはまっているものに当たる kev って何件ぐらいあるのかなみたいなやつを見てきたんですけど
そうすると kev の総数で言うと2021年が213件 22年が129
23年が163 24年が159 25年が193てまあ200件100件税判から200件ぐらいの間みたいな感じ
だったんですねでその中でじゃあ cvss 7 未満の kev の件数とか割合を見てみたんですよ
そしたらねえっと毎年だいたい15%ぐらい 13から16パーないだけで収まる感じですね
そうなってくるとこのさっき言ったその cve の半分自分たちが使っている製品対応し なあかんうちの
まあ全部が当てはまるわけじゃないですけどもそれをやったとしても15%は 見落としてしまうとか対応できなくなってしまうっていう風なことになるんですよね
これができたとしてもっていう風なことなんでこの辺はやっぱりその例えば 贅沢性の複数の組み合わせだったりだとか
スコアは低いけども重要なポイントで使われる贅沢性だとか やっぱそれってその使われてる製品だとかその悪用の攻撃者のそのどういうところで使われてる
かっていう状況によって優先度って変わるものだから だからこそこの cvs っていうのだけだとなかなかそういう状況がわかんないよねっていう
のが難しいっていう話だったんで ちょっと荒くなってしまいますからねねまぁなんかそういう別にこの
だの基準があるとはいえ緊急度の高いそういう悪用されてるものはちゃんと対応する っていう社内のポリシーがあれば良いけどもそうそうそうそう例えばねそれを
これに合わせて作ってしまうとかしちゃうと逆のことが起きちゃうので そうなんですよねその優先順位を決め変化ったらその2つのマイナスがあるっていう
話僕よくするんですよ外でね まあ一つは今やらなあかんってほんまに今やらなあかんねんっていう風なもの以外に
リソースを割いてしまう 浪費してしまうということが1点と本当はやらないといけないものをこぼしちゃうっていう問題が
あるから優先順位をしっかり決めないとっていうことにちょっと相反しているような 項目かなっていう風にあって
まあ年間の脆弱性の半分対応するっていう負荷をかけているにも関わらず15%の悪用を 見逃すってこれ悪用されてつの7件に1件
こぼすってことになるんでちょっとなんか運用不可の割に見合ってない部分もあるん じゃうかなっていう気はするんですよね
悪用もねその kev 乗ってるもんだけが全てじゃないから そうそうそうそれ以外もありますからね漏れる可能性はもっと多いわけなんで
あのまあこのね1個の項目だけ取り上げてやりのいいつ言いたいわけじゃないんだ けどもちょっと実態に即していないけども厳しい基準をつけてしまうのは
むしろ逆効果になる可能性があるので ちょっとこの辺は
柔軟に考えられるようにしないと 本来的にはこういう制度というか基準というのは
具体的な方が望ましいんだよね本来はね アーマー解釈がブレるのよくないですしね
本来はこういうふうにたど数字がきちっとなっていて何日何しようとかって具体的な だから望ましいは望ましいんだけども
ただ今って環境自体がすごい複雑だしいろんな環境があるから あんまりそれを一律決めてしまうことはむしろマイナスになることも結構あるんで
そうそうちょっとこの辺は何かねいたしかゆしというか そうなんですよね
ははーなるほどねちょっとそこは確かに気になりますなぁ そうまあこのにマネネギさんおっしゃったみたいにその cvss で優先順位決めてるっていうふうな
ものはまあ一つの物差しではあるけどちょっと時代にあってないかなっていうふうな ところも脆弱性のスコアで守るのか現実で守るのかっていう話になるのかな
っていうふうに思ってて評価制度に対応はしないといけないっていうふうなのがある 一方でこれだけだとまずいっていうのがあるから実際の悪用にも目を向けた運用
ての考えないと結局やられてまうやんかっていうところはちょっと見落としがちな ポイントとなるからここで話したいなと思ってちょっと取り上げたという感じでございます
共通項として最低限やるべきっていう レベルをさ
どこに合わせるかっていう あとまあのなるべく具体的かつ効果的な内容にするかっていうのは
まあやっぱり難しい判断で まあでもね今の一つちょっと見ても後ば他にも結構厳しめのことがかなり書いてあって
いやーそうですね他にもねあるあるまあなんかその専門家的に見てもこれちょっと本当に できるのみたいなところがなくはないので
これをそのこの評価制度の対象としているところが果たして本当にやれるんだろう かっていうか
むしろその負荷が上がっちゃうんじゃないかとか あとそのさっきちょっとねそのなんてから
注意喚起のもとになったその売り込み的なやつ これもあのまあその不適切な勧誘自体はダメなんだけど
ダメなんだけどそのやることがわからない中小企業にとっては わかりやすくあるわけまあまあねこういう製品とかサービスを取るとこういう評価
サイトでも対応できますさっきのさらその pcid セス準拠ってのと同じで 間違ってるんだけどもでもベンダーから見たらその自分たちの製品の特徴を出しやすい
し 使う側から見たら
何が痛いからわかんない人にとってはまあありがたいことでもあるんで なんかまあ一見ウィンウィンに見えるんだよね
そうですねそうですねそこだけ見るとなんだけど全体として見たらそうでもないって いうことになっちゃいかれない
なんでまぁちょっとねなんかあの別に文句だけ言いたいわけじゃなくてこううまく さっきのさあそう制度の趣旨は僕いいと思うんでそういう方向に行くように全体のそこだけ
になるようにできるだけなってほしいんだけど なんかちょっとねいろいろ心配の
そうそう不安の種がいっぱいあるなっていうか まあなんかそういうちょっと自分たちがやるとしたらどうすべきかっていう
なんか冷静な身で見てほしいねなんかねそうですねだからここで言われてるからも全部 やらなあかんねーって言ったって多分そういうわけじゃないからねっていう
なんかベンダーがやりやり売ってるけども 私は本当にこれはどうなんだろうっていうなんかちょっと冷静な判断をしてほしいなと思う
けどそうですね ほんまそうまあそういうなんか変な売り込みがあったら僕のところに垂れ込みいただければと思います
確かにそれはちょっとここで取り上げようぜ そうだが1個ねこのこの注意喚起はもっと広まってほしいなぁみたいなポストをした時に
陰陽かなぁなんかで書かれてた人がいて 回ってきたんですってそのチェックシートみたいなやつが
うーん本なら何か特定のベンダーの製品を使えと言わんばかりのものやったらしくて 加工されたもんやったんかもしれどっから来た
ねそのチェックシートが知りませんけどねそういうものがあったとのことなんで何かそう 社内で聞いたとか営業受けたみたいなこんなことを言われましてみたいながあるとぜひ
垂れ込みいただければ嬉しいなと思いますはいはいということでセキュリティーのお話を 今日もしてきたんで最後におすすめのアレのコーナーなんですけれども
おすすめのアレ:俳優・黒崎煌代
はい今日はですねあの人というか俳優さんを紹介しようかなと 珍しいね今までだとなんかお笑い芸人とかの紹介とか歌手とかはあったけど俳優さんで
多分あんまりだか映画紹介してこの俳優さん好きなんですはあったかもしれないですね そうだね
去年僕が紹介する俳優さんはですね黒崎光大さんっていう方なんですけど はいえっと2023年に連続テレビ小説ブギウギで俳優デビューされたまだ
3年ぐらいの英雄さんはだ若手の俳優さんでまぁ2024歳なんですけど ごめん僕ちょっとあんまテレビも見ないしちょっとお名前存じ上げないんですけども
そうで僕も猫の俳優さんのことを知らなかったんですけど最近あの僕はネットフリックス オリジナルのドラマの苦情の滞在ってこれあのコミック
あー 原作知ってる知ってるそうあの牛島君の作者の新作というか
はいはいやつなんですけどもそれのえっと全部に出てるわけではないんですけども 曽我部沿ったという役で出ていまして結構前半の方で出てくる
まあ3話3話4話ぐらい関わってくるのかな ネットフリのドラマってちょうど今やってるんだよねそれ
そう4月からやってるそうでもあのネットフリックスとかもアマゾンとかもそうですけど一気に 全部バーンって出すんですよね
全話そうなんでは見ようと思えば一気にもできるまあ10話ぐらいあるから10時間以上かかるんです けど見たらそれであの曽我部沿ったという役でこの役はですねあの周りにもいい
ように使われてるんですよねその強者に使いっ走りさせられたりとかしてもあの 麻薬の運び屋とかをさせられている役なんですよ
でまぁ親親子でそのある一家にずっと敷いてあげられてきてるんですよお父さんはその 今自分が敷いてあげられている人のお父さんに敷いてあげられてきた
みたいな人で結構こう いいように使われている役なんですこの人がまぁちょっとある方法で最終的な一死
報いるっていう話があるんですけども 演技がとてつもなくすごくて
だからその普段のそのキャラクターからもガッと変わっても役に入り込んでるっていう のがあってネットで調べてもこの人の演技すごいみたいな結構賞賛の声も上がって
いるような人であやっぱみんな見てもそう思うんやなと思って今後はすごい期待できる いい役者さん出る作品によってもう全然違う感じを見せてくれるというか
そうそうすごいだからまあ知りたげないというか頼りない感じの弱そうな役なんですよ でもあの全然そういうとは違う普通普段普段ででもキリッとしている感じで
全然キャラが違うそうですね僕中野タイガーさんっていう あの俳優さんも好きなんですけどもその人以来かな
グッときましたね最近だとそっか結構そういう作品見て言ってなんかそういう人に行こう ちょっと目が向くわけね
そうなんですよそれでその今ねその港カナエさんてのミステリー書いてる方や小説家の方 いらっしゃいますけどその人が15周年記念か何かみたいなに人間標本って作品を作って
てこれが実写化されてるんですよアマゾンでこれもねちょっとあのこの人をきっかけで 見てみようかなと思ってて
あそうなんだじゃあなんかあれ今ちょっとブレイク途中の俳優さんって感じかしら そうですねでももうこのデビューしてまだ3年というかにもあの去年2025年には見晴らし世代っていう
映画であの初主演をもしてるんでこっちも配信が始まったら自分の音 入ってるサブスクで出たら見ようかなぁと思ってもそうなんだじゃあもう今絶賛売り出し中で結構
いやもうものすごい勢いあるんですよすごいのはじゃあちょっとそれは気にしてみっどっ から見てみよう
そうぜひぜひ見ていただければなぁと思って紹介させていただきましたということですはいはい ということでまた次回のお楽しみですバイバイ
バイバイ
