00:13
こんにちは。
今回は、間隔短いですね。
短いですね、本当に。
短くするのが目的みたいなことになってますけどね。
もうね、ヘロヘロになりながらオープンいたします。
セキュリティのアレ、覚えました。
覚えました。やっと覚えましたね。
覚えました。
ということで、今回はノープランで。
同じこと考えた。僕もノープランで言おうと思ってました。
気が合うな、もう俺。
BLの世界からも注目を受けてますね。
セキュリティポッドキャスト。
始めたいと思います。
始まりました。
先日、ついさんがうちの会社に来ていただいて。
そうです、そうです。行きました。
セキュリティ界のイケメンが集う。
またそれで行くんですね。
アノニマスに詳しいタジさんと。
これまたアノニマスに詳しいネギシさんと。
決してスマートフォンには手を出さないでおなじみのラックの川口さん。
おばあちゃんのゆいぼんか何からしいですけどね。
メールの打つ速さはもう負けないぞみたいなことを言ってましたからね。
ワラ系でね。
何をやったんですか?
収録とある、名前言っちゃっていいんだと思うんですけれども。
ITメディアという会社があってですね。
そこでバーチャルエキスポっていうのをやってるらしい。
僕より宮田さんの方が詳しいんだと思うんですけれども。
そこでインターネットで普通の展示会見に行くようなテンションでやる。
ネット上でやるやつです。
そこまでは端休め的というか、息抜きになるようなゆるい感じのセキュリティートークを3人でするっていうのを収録に行ってたんですね。
本当にもう引っ張りだこですからね。
全然そんなことないですよ。
アノニマスばっかりでちょっとしんどいなって最近思い始めてるんですけどね。
そんなこのアノニマスのポッドキャストは一切しませんので。
しないです。
もうすでに通り過ぎたっていう。
そうですね。結構いろんなところで、だいたい行く先々でいろいろ聞かれちゃったりするんですよ。
03:00
だからもう一気にテレビとかで特集分でどっかやればいいのになって思うぐらい。
テレビの影響力強いんで。
いけがみあきらさんとかがね、こうやって明るいアノニマスみたいなのやってくれた方が早いんじゃないかなって気はしてますね。
同じ話ばっかりしてますから最近。
それを聞いたければ、愛知メディアのバーチャルエキスポ。
最新情報満載ですからね。
なんでこんなPRしてるのに俺には一線も入らないわけ?みたいな話ですよ。
そうですよね、本当に。
その時のアットマークIT編集部の現セキュリティ担当に、このポッドキャストを買ってもらおうって話をしてましたからね。
ソーサードにね、してもらって。
そうなったらいいなということで。
どんな話をしたかを。
触りだけでいいですよ。触りだけで。
あんまり言っちゃったらあれですからね。
2つに分かれるんですけど、1つはアノニマスの最近の動向と今後どうなるのかみたいな予想的な感じですよね。
今までこんなだったんで、日本に押し寄せてきたアノニマスはこれからどうなっていくのかとか、
日本で新しく生まれた、掃除をしたグループがいますけれども、
彼らはどうなっていくのかなみたいな話をしながら、
セキュリティのベンダーとして考えていることを話しながらというのが1つ目。
それは前半、4分の3弱くらいの内容で、結構盛り上がっちゃってですね。
あんまり重く置くつもりはなかったんですけど、
思いのほか盛り上がって、その後に話したのが、
人のセキュリティというのはどうなのかみたいな話で、
このポッドキャストでもね、ツイッターとかフェイスブックのセキュリティというか話をしたりしてるんですけど、
最近ツイッターのアカウントを、とある有名な人とかが乗っ取られてしまうまでとか、
最近ソーシャルハッキングというか、
詐欺まがいというか、簡単に言えばオレオレ詐欺の発展版みたいなやつで、
乗っ取られたアカウントがあって、
それってどうやって防いでいけばいいのかなみたいな、
ユーザーが頑張れること、企業が頑張るべきことみたいな話の2つをしてきますね。
そうですね、個人的にはやっぱりソーシャルのね、
ハッキングっていうのはすごい興味があるんですよね。
技術的なことわかんないじゃないですか、私。
なのでそっちのほうがすごく心理戦だったり、
そう来るかみたいなものっていうのは知っておけば、
とっかかりにはなるけど、知らなかったら本当に絶対守れないじゃないですか。
そのあたりはすごく興味があるんですね。楽しみですね。
そうですね、結構最新の事件に追っかけながらこうやれば防げるんで、
話しながらも結構打ち合わせとかあんまりしてないんで、
06:01
生な感じでいきなりやろうっていう。
あんまり先に喋っちゃうと本番で喋ることなくなったりとか、
案外打ち合わせとかの方が面白いってなるとまずいんで。
このポッドキャストもよくわかります、それは。
そうですよね、こんな感じでやってますからね。
詳しくはITメディアのサイトを見ていただけると。
そうですね、今もうちのページが出てますね。
なのでもうそれ以上は喋らなくていいです。
はい、わかりました。
セキュリティの話は以上なんですけど。
一つだけ喋った内容で、本編とは関係ないような内容で一つだけちょっと言っておきたいことが。
全然セキュリティと関係ないんですけれども、
一応1時間弱ぐらい喋ってたんですね、3人で。
その中で、なぜかうちの母親に触れるトークが中に出てきましてですね。
もしカットされてなければうちの母親の話が出てくるっていうところ。
合わせて聞いてもらえれば、それだけでもどんだけ緩い話してきたかっていうのは大体想像がたくさんあって。
編集されてなければいいなと思いながら。
編集も結構ね、面倒なんでね、これね。
大体このポッドキャストの取っ手出しに近い状態なのかな。
多分そのまま載るんじゃないかなと僕は思ってるんですけどね。
それは9月ぐらいには公開される予定ですので、ぜひ。
9月11日とかでしたっけ。
確か。
私、全然知らないんですよね。
多分9月の半ばよりちょっと前ぐらいから10日間とかそのぐらいの。
ぜひ空いてる時間を使って。
そうですね、24時間見られますもんね。
さすがバーチャル。
心の込めない。
すごいスカスカでしたね、今の。
部署変わっちゃったんでね。
よく分かってないっていうのが正直なところなんですけどね。
もうね、ほんと今回それ以外に何喋ろうかみたいな話をしてまして。
ここ最近ちょっと話題は豊富ですよね。
アノニマス以外でも。
ジュリアン・ガー・サンジが色々多くあったりとか。
エクアドルに名してみたいな話がありましたね。
皆さんお忘れかもしれませんけど。
ウィキディークス。
辻ディークスから取ったらしいんですけども。
逆ですよ。
ウィキディークスをやってたジュリアン・ガー・サンジの話ですとか。
あれは中継されてましたね。
イギリス政府に追いかけられてる状態で亡命をして。
スピーチをエクアドルの大使館のベランダでやったんですよね。
あの人逃げたら速攻逮捕されますからね。
これからどうするのかなって思うんですけど。
すごいですね。
歴史が動いてる感がすごい最近しますね。
09:01
僕もリアルタイムに中継されてたの見たんですけど。
見に来てる人とかすごい大勢いて。
すごい拍手喝采が起きてたりとかしましたね。
結構これから注目したほうがいいかもしれないですね。
あと何か辻さんが注目してた?
最近の事件とか。
事件って僕もそんなに畑違いかなと思いながら遠巻きにしか見てない。
辻さんって別にアノニマスだけ見てたわけじゃないですからね。
いろいろ見てたりとかしてるんですけれども。
キーポイントカード。
ツールバーなんですよね。
ツールバーの話って結構皆さん、僕は本当に検証するようなことは全然してないんですけども。
HTTPSって当然暗号化されてて通信が見えないようになってるじゃないですか。
その内容とかが全部裏口みたいなところから見た履歴とかを平文で送っちゃってたみたいな事件がありますね。
これなんでしょうね。
セキュリティに詳しい人は分かる。
一発でやべえよこれよっていうのが分かると思うんですけど。
どうやって伝えるかっていうのが。
難しいんですよね。
そっちの方に興味がありましたね。
結局ツールバーは公開停止というか公開中止になったんですよね。
なのでまずさがあったんでそれで中止停止になったのかなというには。
皆さん検証されて、穴というか、譜の部分というかそういったところが世の中の明るみに出て皆さんの注目。
分からない人にも説明が伝わって動いたのかなというふうに結構遠まきには見てたんですけどね。
規約にはそれっぽいことは書いてあるんですよね。
パスワードまで取ると書いてはないですけども。
書いてないですね。
URLを収集しますと。
いわゆる高木先生も問題にされてましたけども。
利用規約には書いてあるけれども、分かりやすく書かれた説明には書いていないっていうまずいパターンなんですよね。
ちっちゃい字で書いてあるとかっていうレベルではなくて、普通に読んで使う人が分かるかっていうレベルになってないということなんですよね。
URLを送っちゃうって別に見られてもいいよって思うような方もいらっしゃると思うんですけれども、
そうじゃなくてURLに含まれるものっていうのがいろいろある。
なんとか.comとかですね、その後のhtmlとかだけじゃなくて、パラメーターって言われる。
12:07
URLを細かく見てもらえば分かると思うんですけど、よく分かんないランダムに思われるものが入ってたりとか、
IDパスワードみたいなものが入ってたりするっていう時もあるんで、
それがそのまま平文で暗号化されずに送られちゃうっていうところがすごく問題っていうところですよね。
それの対価が1ポイントくらいでしたっけ?
数ポイントなんですよね。
そうですそうです、数ポイントですね。本当に微々たるもんでしたよね。
それで売るっていう人がいないでしょうっていうのもありますしね。
いろいろそういう意味ではポイント性っていうのは、何を対価としたポイントなのかっていうのは、
ちょっと気にしないといけないのかもなというのはすごくありますね。
例えばビッグカメラのポイントだったり、ヨドバシカメラのポイントだったり、いろいろポイントあると思うんですけども、
いろんな戦略をもって損をしないという前提でポイントつけてるっていうところ?
そうですね。無償で使ってる人だけが一方的に得をするような仕組みっていうのは基本的にはないと思っていいと思うんで。
そうですね。これもさっきのTポイントのツールバーとは別ですけども、
Tポイントの場合は単一のテンポではないっていうところがやっぱり一番大きな問題というか、
それがポイントの、Tポイントの便利なところではあるんですけども、
どんどん情報が寄せされるっていう恐怖?
そうですね。いろんなところの、本来今まで点在してたもののひも付けがされてしまって、
いろんなものが包む気になるというか、
Aという情報とBという情報がひも付いたら今度は、
AとBを1たす1イコール2以上のものにひも付いてしまう可能性があるっていうことなんですよね。
そうなんですよね。いわゆるネットストーカーの方はそれを日常的にやっているわけなんですけども、
インスタグラムの写真を見て、その情報をTwitterと比較して、あれ?みたいなそんな感じのね、
やってる方は知ってるだけで何人もいるんですけども。
こんなにいるんですか?
もうね、1億総ネットストーカー時代ですよ。
そうですよね。例えば2人がデートしてたとするじゃないですか、
そのAさんとBさん、男性と女性がいたとして、
Aさんはインスタグラムで写真をアップしてて、
Bさんはフォースクエアリッジ情報でチェックインしてたりとかすると、近いってのがわかるんですよね、景色とか。
ね、気を付けましょうね。
僕は気を付けることが何もないんですよ。全然大丈夫ですよ、もう全然。
さあ、次の話題に行きましょう。
15:00
早いな。
Tポイントツールバーはいろいろと情報があるので、気になったらぜひ見てください。
逆にいろんなソーシャルメディアっていうのができて、
ちょっと調べれば変だなと思った人が調べてる情報が簡単に見れる時代っていうのがいいなっていうふうには思いました。
ちなみにTポイントカードって持ってます?
持ってました。
ました? 解約した感じ?
解約まではしてないんですよね。
不思議な状態で、どっかのTポイントを作ったんですよ、カードを。
カードを作った後にウェブの会員に入った時に、ウェブでもTポイントが作ると。
ありますね。
で、それを合算させることができるっていうので、その処理をしたら両方ともおかしくなったんですよ。
両方しちゃったみたいな感じ?
ウェブのほうのポイントの残高とカードの残高が一緒になっているはずが全然合ってなかったりして。
整合性が取れなくなっちゃってた?
捨てました、結局。
ほったらかし状態?
ほったらかしですね。
多分そのTポイントカードにひも付いているのは、エクセルCオールで3回ぐらいお茶したぐらいしか入ってないんで。
じゃあ別に問題は個人情報がちょっと残っちゃってるぐらいの。
こんなテーブルですね。
たくさん知れてるかなっていうレベルだと思うんですよね。
ポイントのことをうっすら考えてたんですけど、Tポイントっていろんなところで使いたまるじゃないですか。
例えばとあるコンビニに行くと絶対にTポイントカード持ってますかって聞かれるじゃないですか。
だとか、あとは出前感っていうのが。
ネットで出前を注文できる。
電話するかネットでやるかの違いなんですけど、そっちの方が割引があったりとか。
それもTポイントがたまるんですよ。
そこでTポイントを使うこともできるんですね。
で、ポイントってそもそもなんであるのかっていうと、
差別化みたいなもんじゃないですか。
そうですね、囲い込みだったり。
要はそこでポイントを貯めて使ってポイントを貯めて使ってみたいなことを繰り返したり。
いろんな電気屋さんとかでもバラバラにやってるじゃないですか。
例えばヨドバシとヤマダとビッグが共通のポイントカードってないですよね。
ないですね。
なのにTポイントはなんでこんないろんなところで使えちゃうんだってことを考えたほうがいいかなっていうのをやっぱり思いましたね。
ポイントで共通に使える以上のものを得る人たちがいるんじゃないかっていうふうに考えるのが自然かなっていうふうには。
ぼんやり僕はそこまで規約がどうとかっていうところの専門家ではないので、
そういうふうなことを思いながらTポイントカードを使うのをそもそもやめたり解約をしようかなとか、
18:00
ふと最近思い始めてるというか。
もう使わないが一番かなって思うんですよね。
それはおっしゃる通りだと思うんですね。
自分も最近ビッグカメラとかヨドバシカメラのカードを持つのが嫌なんで、
そうですよね。
それだけ使うのをやめようと思ってるんですよ。
そうなんですよね。
ポイントもそんなめちゃくちゃ得するかっていうとそうでもないしなっていうのもあるので。
ポイントを必死に貯めるよりは財布がちょっと少なるほうが嬉しい。
そうですね。
結局僕もカードを持ったり持たなかったりするんですよ。
行くって決まってたら持って行こうかなと思ってたら大抵忘れますよね。
だからもういいかなっていうふうに思ってて。
別にみんな使うのやめようっていうふうに言うつもりは全くないんですけど、
そういうこと考えるぐらいだったらやめてしまって、
CDとかDVDとかのレンタルも今時わざわざリアル店舗に行かなくても大抵のものって揃うじゃないですか。
そうですね。
例えばiTunesでやるとか、あとはXboxとかプレステ3があれば、
フルって読むんでしたっけあれ?
HULUっていう低額で映画に行くみたいなサービス。
なんて読むんですか?
Hulu。
Huluって読むんですか?
そうなのか。
ああいうのがあれば手軽に映画も見れるじゃないですか。
そうですね。
それを考えたらいろいろ悩んだりとか、怖いかなどうなんやろうと思いながらリアル店舗に通うよりも
僕はそれを捨てたほうがいいかなっていう選択をしようかなっていうことだったので、
もう行かなくなりましたね、リアル店舗の。
まあね、Amazonとかもすごい安いし、
Amazonの場合は人によっては日本の税金を払ってないっていう話が、
私も真実かどうか知らないですけども、
っていう話があるんで、Amazonは使いたくないんだよねって人もいるんですよ。
日本の税金って?
海外から、海外の拠点があるっていう前提で。
Amazonがってことですか。
ここはちょっと審議のことは。
確かに聞いた話ってことですよね。
日本Amazon、COJPだけれども会社自体はアメリカのものなんでっていう。
それで避けてるっていう人はいますね。
そっかそっか。
要は向こうに外貨として流れていってしまうっていう意味ですよね。
自分の国のためにならないかもしれないからっていう意見を持った方もいらっしゃると。
さっきのカードの話になると、
最近ですね、ここ1年ぐらいかな。
小さな財布っていうものを使ってまして、
これ小さな財布で検索すると、
小さい財布っていうもの売ってるんですよ。
そのものがそういう名前なんですか。
名刺よりもちっちゃい。
そんなちっちゃいんですか。
これ私すごい気に入ってて、
21:01
クレジットカードサイズなんですよ。
クレジットカード5枚までやれますと。
お札は三つ折りにしますみたいな。
三つ折り?
お年玉袋に入れる感じ?
三つ折りサイズですごくこれ気に入って使ってるんですよ。
そのためにカードを減らしてたんですよね。
そういう意味では今、
ビッグカメラのカードも当然外れちゃってますし、
クレジットカードと定期等ぐらいしか入ってないんで、
それでカードを減らして、
ポイントよりはちっちゃい財布のほうが好きっていう、
こんな方法もありますというね。
強制的にそういう減らさざるを得ない環境を作ってしまうっていう、
自分を追い込みパターンなんですよね。
逆にヨドバシカメラに関しては、
最近iPhoneアプリが出たんですね。
面白くてですね。
ゴールドポイントカードのアプリを落とすと、
カードのバーコードを取り込めるんですよ。
iPhoneの中に?
カードを出さなくても、
iPhoneのバーコードを出せば使えるようになるんですね。
そうすると勝手に人のバーコードをコピーして、
使えちゃったりするような気がするじゃないですか。
それがワンタイムバーコードみたいなのを作るんですよ、iPhoneの。
賢い。
その表示がされてる間に、
バーコードを読み取ってもらってっていう処理ができるんで、
よく見てますね。
そういう方向に行ってくれれば、使ってみようかなと。
そういう意味でセキュリティーがしっかりしてるんだなっていう話を、
無理やりセキュリティーに向けてみた。
そうですね。
一箇所に携帯っていう、
簡単な個人を認証するための仕組みっちゃ仕組みじゃないですか、携帯って。
昔からそうですよね。
それになってくるときに、
じゃあ携帯どうやって守るかみたいな話もこれから、
一瞬にはなってくるのかなっていうふうに思ってて、
この間、バーチャルエキスポの収録のときにちょっとだけ話が出たんですけども、
二要素認証ってどう?みたいな。
ちょうど今日でしたっけ?
今日は22日ですけれども、
Yahooのログインとかにも、
二要素認証が使えるようになったっていうのがあって、
前からその電話でSMSを受信して、
そのワンタイムを使ってっていうのもありますけど、
それがまた穴になるっていう可能性もあるんですよね。
もし携帯を落としてしまった場合とかね。
そこはやっぱり気をつけないといけないなっていうのがあるんで、
ロックかけたとしても、
そのままSD抜かれたりすると中の情報見えたりとかっていうのもあったりするんで、
携帯だけは絶対に落とさないようにした方がいいと思いますね。
24:01
結構身近なセキュリティっていうのが実は重要だったり。
楽しそうな収録だったんじゃないかなという。
そうですね。本当にエキスポというか展示会みたいな感じ。
多分他と比べるとすごい浮いてるような感じなんで、
もし会社で見る人がいたらちょっと気をつけたほうがいいかもしれないですね。
いやいや、大丈夫です。
IT Mediaのバーチャルエキスポですって言えば。
最近本当にこのPodcastちゃんとセキュリティの話をしていて、
すごいですね。
そうですね。これこのままのペースで本当にいけるのかなっていう気がちょっとしてきて。
大丈夫です。どっかで息切れしますから大丈夫です。
そうですよね。
それを続けていくっていうことだけは大事に。
ちょっと2ヶ月会えたりとかしても、2ヶ月会えたからいいやみたいなんじゃなくて、
ちょっと2ヶ月会えたけどやりましょうかみたいな感じでいければいいかなとは思ってはいますけどね。
ついさんのサイトもAmazonアフィリエイトだとか、
Google AdSenseだとかいっぱい入れてですね。
ガッポガッポと、チャリンチャリンと。
そんなことはしないですけどね。
いやいや、やっと最近ちょっと勉強し始めましたんでね。
そうなんですか。
でもあれなんですか、いわゆるセキュリティのペレトレテスターっていろいろ穴を探す仕事じゃないですか。
AmazonとかAdSenseとかの穴とか連れちゃってガッポガッポとかしないですか。
最近はすごいちゃんとしてるんですよ。
そりゃそうですね。
昔とかは結構穴というか仕組み上の問題っていうか、
セキュリティホールっていうよりはどっちかっていうと裏技的な。
アクセスを増やすために簡単なスクリプト書けばポイントみたいなのが稼げるとかっていう話はよくありましたけどね。
連続でアクセスするようにしたりとか、ランタンでアクセスするようにしたりとかね。
絡んでくるわけだから攻撃する人っていうのも結構いるんですかね。
でもやっぱり攻撃というか、自分がトップするようにすると、
トップするアカウントがその人ってわかっちゃうんで。
そりゃそうですね。
銀行の口座を移すのでもそうですけどね。
自分の口座に移したら即行でバレるんで。
なるほど。当たり前の話だった。
本当に最終目標がこのPodcastにどでかいスポンサーがつくっていうね。
27:06
そうですね。
どうなんですかね。スポンサーって、前とあるPodcastをされてたじゃないですか。
あの時ってスポンサーって言ってたんですよね。
本当に自由にやらせていただいて。
僕の勝手なスポンサーっていうイメージがあるんですけど、
やっぱりこういうことは言わないでとか、こういうことは絶対言えとかっていう。
全くなかったんですよ。
そうなんですか。
本当にびっくりするくらいなかったんで。
お店の名前というか会社の名前を紹介するくらい。
ほとんど最低限でしたからね。
MacMemさんというメモリーを売ってる会社なんですけども、
本当に代表の方がよく聞いててくれててですね、
本当に申し訳ないと思ってました。
このPodcastはそういう意味ではスポンサーがついても、
最終目標はスポンサーがつきそうになるんだけど、
こっちが断るっていうパターンじゃないですか。
そうですね。
これはちょっとみたいな。
引退するんだったら俺たちは受けないみたいなね。
基本的に僕らはお金儲けのためにやってるわけじゃないですね。
これでみんなが楽しんで、ちょっとでもクスッとしてくれれば。
そうですね。あとはいつも言ってますけど、
通勤時間がちょっとでも通勤の苦痛から解放されるような。
名前だけでも覚えて帰ってくれればもう最高ですっていう。
そうなんですよね。
今回のバーチャルエキスポはスポンサーじゃないですからね。
バーチャルエキスポが収録の前にちょっとご挨拶で、
私もお伺いしたんですけども、
アノニマスに詳しいねぎしさんから
いつも聞いてますよって言われてね。
あらあらあら。
すいません。
一番ヘビーなリスナーだと思いますよ。
ちゃんとすごい聞いてくれてるみたいで。
ここまでセキュリティの方々に聞いてもらえると
思ってなかったんですよ正直。
本当そうですね。
このポッドキャストどういう人が聞いてるかというと、
私が昔やってたディズニーポッドキャストの流れで聞いてる人と
辻さんの仲間であるセキュリティの方々が聞いているっていう。
どっちに向いて喋ってるのかさっぱりわからないっていうね。
そうですね。僕も会社でたまに言われますよ。
聞きましたよみたいな感じで言われて。
いやーいいですね。よもやま話って言われますね。
そうそう。騙されたなっていうね。
そうですね。
そうですね。
ここでちょっと話を変えたいですね。
実は最近私の知人からですね。
よくPHPを使ってウェブをちょこちょこ作ったりする人なんで。
ディズニー系で。
30:01
ちょっと新しいのを作ってみましたっていうお話が来て。
ユーザーのですね。
言っちゃっていいのかなこれ。
セキュリティの方々ごめんなさい。専門用語いっぱい出てきますけども。
東京ディズニーリゾートですね。
いろいろショーがあるんですよ。
そのショーを見るために抽選があるんですね。
パスポート1日1回しか抽選できないんですけども。
1日1回しか抽選できないウェブのシステムみたいなのがあるんですか。
抽選書があるんですよ。
物理的に。
抽選書があって。
例えば1日4回やってるショーがあって。
第何回目を申し込みます。
ボタンをピッて押すと、当たりました。
ずれましたっていうのが出てくる。
これですね、ディズニー系のマニアの人たちはですね。
何時くらいに行くと当たるのかとか。
そういう情報が欲しいんですよ。
ショーが始まる時間が近づくにつれ、
残りの席をはかせなきゃいけないので。
当たる確率が上がりそうですよね。
いろいろ書説あるんですけども。
オリエンタルランドという会社は東京に出てるということがあって。
情報が欲しいんですよ、ディズニーマニアの人たちに。
その私の友人がですね。
何時何分に抽選をしたら何枚当たりましたっていうのを。
ユーザージェネレーテッドコンテンツみたいな形で
作ろうというウェブサイトをですね。
データテストの話が来たんですよ。
面白そうですね、それ。
作ってみたんです。
触ってみてください。
セキュリティー的にって書いてあったんで。
会社の名前出そうかと思ったんですけど。
それはここで公開テストを募集するってこと?
そこまではいいですって言われました。
断られちゃったんですね。
でもやっぱりその方は割といろいろ勉強されてる方なんで。
いろいろ気にはされながら作ってると思うんですけど。
例えばですよ。
私がPHPを勉強し始めましたというときに、
まず何をすればいいのかっていうのって、
辻さんの視点では何がおすすめですか。
PHPをやり始めたときにまず何をすればいいか。
何を気をつけるべきか。
何を気をつけるべきか。難しいですね。
何を気をつけるべきか。
でも一番初めにはまず形にできるような能力をつけないといけないと思ってて。
僕はあんまりちょっと語弊のある言い方になってしまったらまずいなと思うんですけど、
33:01
完璧なものって作る必要ってあんまないと思ってるんで。
なのでセキュリティの中でも、
PHPを、PHPでなくても何でもいいんですけど、
言語で何かを作るっていうときに、
これだけは絶対に防ごうって思う脅威を明らかにすることでしょうね。
例えばデータベースを扱うとか、
ユーザー情報がどうとかっていうのを考えるときに、
ウェブのセキュリティを考えるときでも、ネットワークでも同じなんですけど、
これだけはやられたら絶対まずいよねってことってあるじゃないですか。
例えばウェブのアプリケーションの脆弱性で代表的なものって言うて、
一番初めに浮かんでくるのってクロスサイトスクリプティングかSQLインジェクション。
SQLインジェクションにちょっと付随するやばげなやつで言うとコマンドインジェクションとかですね。
任意のコードが実行できるのはコマンドインジェクションですよね。
SQLインジェクションはデータベースを扱う言語を、
本来操作できないのに操作できてしまって、見えないものが見えてしまうみたいな。
考えるときに最低限クロスサイトとかは後からとか考えて、
SQLインジェクションとかデータベース抜かれるのだけは絶対あかんやろっていうところを、
何が一番まずいのかってところを把握することかなと思いますね。
なるほどね。
ここだけはやられたらまずいっていうようなところを分かってやるっていう。
全部埋めないといけないって当然そうなんですけど、
どっちつかずになってしまうっていうのとか、
脅威の大きさというかリスクインパクトのデカさっていうのを
分からずに作っていくとまずいんじゃないかなっていうのは。
なるほどね。
自分の弱点を知って埋めるっていうのもそうですけども、
何をされたら一番嫌か、どんなことをされると一番自分がまずいのかっていうことを
分かったほうがいいと思います。
今の話で言うとSQLインジェクションだとか、
コマンドインジェクションっていうのは存在するっていう、
そういう手法があるっていうことだけはまず、
ひょっとしたら最初に知っておかなければいけないことなのかもしれないですね。
あるっていうのと、それがどれぐらいやばいかっていうぐらいの、
どうやったらできるのかっていうよりも前に学んだほうがいいのかなっていう気はしますね。
そこがこんなことがあります、こんな怖いことになります、
こんなことやられますの後に、じゃあそこを守ろう。
守るためにはこういう手法があるんだなっていう流れになるんですね。
やっぱり守るときに、お客さん、僕たちからすると検査をしたお客さんとかに
一番分かってほしいことっていうのは、自分たちにとって何が危ないのか。
いくつかテストをすると、ここを直しましょうっていくつか出てくるわけなんですね。
それを検査をした後に報告会に行って説明をするんですよ、報告会という形で。
そのときに一番気をつけるのはテクニカルな細かいことがどうこうっていうよりも前に、
36:02
どれが一番危なくて、どれがそんな大したことなくてっていう説明をちゃんとして、
お客さんがどこから直していけばいいのかっていうのを
はっきり決められるような材料を僕たちが提供することが一番大事なことなんですよ。
そうですね。
これは以前のセキュリティのある視点、割と後半のほうで書いていただいたことですよね。
そうですね。15、6、7ぐらいとかで書いているところです。
報告のフェーズの話は書いてますね。
これってそうなんですよね。意外とセキュリティに詳しい側のセキュリティサイドの人たち。
なるほど、一般の方たちは自分には関係ないと思うかもしれませんけど、結構関係してくることだと思うんですよね。
そうですね。セキュリティ、穴が一つでもあったら地獄行きみたいな風潮っていうのは僕はあまり好きじゃなくて、
それがどれだけ危ないのかとか、確率で言い出すと難しいんですけど、
どれだけトレンド的に利用されがちなものなのかとか、ニッチなのかニッチじゃないのか、
細かいところまで言い出すといつまで経っても直せないものが中にはあるんですよ。
人の体と一緒でね。
なので、何を差し置いてでも明日にすぐ直せっていうレベルのものもあれば、
もう1ヶ月後とかでも別にこれは大丈夫ですよねっていうものも中には当然あるんですよね。
それ自体では何も起きないとか。
なのでその脆弱性って一言で言っても、いろんな重みが全然違うっていうのがあるんで、
それは絶対に理解した方がいいですし、僕たちも理解できれば説明をしないといけないなっていうふうに日々思ってますね。
なんかちょっと筋変わっちゃうかもしれないですけど、
多分それって作る前の心構え的なところじゃないですか。
そうです。リテラシーみたいな。
割と実践的な意味で、これヤバいっていうのって最近見たサイトで、
うんこードマニアックスでしたっけ?
なんかそれ、僕見てないですけど、
Facebookとかでみんながシェアしてたりとかしてたのを見た程度なんですけど。
うんこードマニアっていうサイトがあって、
プログラム言語でプログラムが書かれてるんですけども、
この行がひどいみたいなのをみんなつけてくんですよ。
それはもともと本来存在するコード?
サンプルですね。
プログラムがわかんない方への説明は結構難しいんですけども、
SQLでデータベースからあるテーブル全部持ってきてから、
プログラム上で検索していくみたいな。
それはひどいですね。
39:00
そもそも引き出したい情報だけを決め打ちで狙うべきものなのに、
一回全部吸い出してからそこから探すってことをしてるんですか?
外から見たらわかんないですけどね。
これ今の状態だとプログラム言語ごとになるんですけど、
セキュリティ版を作ってもいいんじゃないかと思ったんですよ。
ああ、こういうセキュリティはひどいみたいな。
こういうコードがあったら、ここやばいよねっていうのが書かれてると、
なるほど、こういうのがこういう意味でまずいんだみたいな、
サンプルが大量にあるっていうのは結構いい勉強になるような気がするんですよね。
そうですね。
実際のテクニカルなところだけじゃなくて、
長期的に見てまずいとかっていう事例もあると思うんですよ。
あんまり詳しくは言えないんですけど、
例えば今年検査をして、来年検査しても治ってないとか、
あとはA社のBシステム、Cシステムっていうのがあって、
Bシステムを検査して報告した内容がCシステムの方に展開されてなくて、
また同じものが違うシステムで出てくるとか、
そうですよね。
セキュリティに落としていくと失敗データベースに近いだと思うんですけども。
そうですね。
今まで僕たちが検査で見てきたようなものとか、
見聞きしたものとか、またこういうのはよくありがちよねみたいな、
ノウハウじゃないですか、蓄積してきたようなナレッジとかでしょうね。
そういうのがあると非常に勉強になるんだろうなというのをちょっと最近。
そうですね。
難しいですよね。
特にセキュリティって自分がやられないと分かんないっていうこと結構多いじゃないですか。
確かにそうですね。
自分がやられないと分からないっていうのもそうですし、
自分とこは大丈夫って思ってるっていうのは当然あると思うんで。
難しいですよね。
そうですね。
1から10まで全部いけないと身をもって体験できないっていうところは分かりながら、
じゃあそこをどうやって解決していくのかっていうのも難しいなと思っていて。
全然セキュリティとは関係ないかもしれないですけども、
最近ちょっと韓国の話が結構盛り上がってるじゃないですけど、
ちょっと国交的に危うくなってる部分のニュースとかいっぱい出てくるじゃないですか。
はいはいはい。政治的な。
政治的なところでね。
そこに対して何を言うわけではないんですけども。
一般の人がどう受けるかっていうと、
マスコミが報じてるのか報じてないのかみたいな話だったり、
そんなことテレビでやってなかったじゃんみたいな反応とかあるじゃないですか。
ありますあります。
なんかすごい難しいなと思う。
情報って結構いっぱいあるんですよね、そういう意味ではね。
いろんなところを自分から探せば、情報っていうのはいろんなところにあるのに、
42:07
それを丁寧に教えてくれる人がいなければ、
それを自分のものにできないっていうのって、
すごいジレンマな気がするんですよ。
そうですね。
普通のニュースでいうとテレビなんですけども、
セキュリティの情報はすごくあるんですよね。
あるんだけど、
それを自分のこととして捉えるには、
やられるだとか、身近にそういう人がいるだとかじゃないと、
実感できないっていうのはすごくもどかしいんです。
そういうのが共有できればいいっていうのは当然あるんでしょうけど、
やられた情報とかって出しにくいっていうのは当然あるんですよね。
企業間の話みたいになっちゃうんですけど、
こういうふうにやられて、
うちはこういう情報を外に持ち出されたっていうのは言えないんですよね。
だから前半のほうで話してたソーシャルなハッキングの事例、
AmazonですとかApple Storeですとかと絡めて、
電話を使って情報を取り出していってしまったっていう事例とかは、
ものすごく貴重だと思うんですよね。
そうですね。今までも細かいものはあったと思うんですよ。
これからまた増えてくるのかなっていう気はしてたりするんで、
コールセンターが狙われるんじゃないかみたいなのは、
特に日本とかって狙われがちなんじゃないかなっていう気はしますね。
意外とペネトレーションテストとして辻さんがいろいろやられてたような、
成功法のいわゆるハッカー的な、クラッカー的な、
テクニカルな攻撃ですね。
なんかよりも、もっとしたらゴミ箱を漁るほうが簡単で、
堅実な行為になっているんじゃないかなっていうことは、
ちょっと心の片隅に置いておいたほうがいいかもしれないですね。
そうですね。ゴミの捨て方とかシュレッダーの細かさとかっていうのを
ちゃんとチェックするような、そういうポリシーのやつだったりしますので、
ISMSとかそういうポリシー寄りの話ですけどね、Pマークとか。
まとめに入りますけれども、このような話を総合して皆さんに宿題として、
じゃあLINEはどうなの?みたいな話をね、これ以上しないほうがいい?
僕LINE使ってないですからね。
LINEもいろいろ言いたいこともあるけれども、あったけ広まっちゃったからな、
っていうところもちょっとあったりね。
そうですね。
でもみんな結構使ってるんですかね。
45:00
結構若い世代、僕らよりも全然若い世代のほうが多いんですかね、ユーザーは。
買ってますよ。
そうなんですか。
やばい。
なんかこのTwitter、Facebookとかだと、
ツイッターやってます?とかって聞かれるじゃないですか。
今はもう当たり前のようにあれですけど、
Facebookやったらよかったら友達になってくださいよとかっていうのとか、
いまだにあるじゃないですか。
LINEってないんですか?
LINEは不特定多数というよりは完全に仲間なんですよね。
友達、電話番号と同じですよね。
じゃあ、TASっていうサービスあるじゃないですか。
あれのもうちょっと広い版みたいな感じですかね。
そうですね。
TASも使ってないんですよね、僕。
本当にLINEのあたりもぜひ。
なんで私がこんなに引いているのかというのをですね、
いろいろ探すといろんなところに情報があると思います。
じゃあ僕もちょっと調べてみようかな、LINEのヤバそうなところみたいな。
ヤバそうなところね。
もう既に手遅れの可能性も高いので、
夏休みの宿題として考えていただけるといいんじゃないかな。
その宿題と合わせて夏休みが終わって9月になったら
バーチャルエキスポっていうのがあるんでみたいな。
そっちも見ていただいて。
多分今どっちかというと私のイメージの中では
セキュリティ側の人ではない話をしたので、
今度はセキュリティ側の人に向けたディズニー講座とかやりますか。
いいですね。
どんなポッドキャストだよって話。
どうなんですかね。
結局リスナーって3人ぐらいしかいないじゃないですか。
このポッドキャストって。
3人のうちね、男性とは何人なんですかね。
割合的に。
だからどっちかっていうと前回の女性目線の話があったじゃないですか。
ステイシーさんのね。
なのでIT、IT全般にしてもいいのかもしれないですけど、
そういう人がディズニーランド、ディズニーシーに行くときに
ちょっと女の子をって思われるようなアドバイスみたいなのがあると。
詳しくはその会員とお話ししますけども、
まだまだステイシーさんは私たちの業の深さをわかっていないということで。
楽しみですね。
ということで次回はセキュリティポッドキャストはお休みにしたいまして、
セキュリティじゃないポッドキャスト。
いいですね。
今までもほとんどセキュリティじゃない話っていうのもあります。
次回はステイシーさんと2人でディズニーシーに現地収録をですね。
いいですね。
しません。
ということでまたお会いしましょう。
終わり。
