00:00
マイナビのセミナーの収録、お疲れ様でした。
そうね。この間、やってきましたね。
これは、2月の25日、26日、27日の3日間の配信なんでしたっけ?
そうだね。事前収録だったからね。
そうそう。我々はね、一堂に会するのは3日目?
最後のパネルかな?
そうそう。3日目の頭のパネルかな。
そうだね。
重大脅威2025から考えるみたいな。
最新ですね。
結構ね、僕、あの5人でね、重大脅威を取り上げて話すのを意外と好きで。
そう?なんで?
重大脅威って、いろんなセミナーとか、ドキュメントっていうか、宣伝みたいなやつとか見てると、
これがないんやから、うちの製品がみたいな流れ多いでしょ?
そういう結構理由付けで使われるよね。
そうそう。それで、1個1個を、1個でもいいんですけど、そんな言うほど深掘りしてるのってあんまりないなというか。
確かによく見るのは、ランサム映画がずっと1位ですだとかさ、だからランサム対策かなとか、そういうのばっかりだもんね、見るのね。
そう。なので、重大脅威の中身にまで行くっていうのとか、それに対してどう思うとか、去年も今年も1位やけど、中身変わってるのか変わってないとか、そういう議論ってあんまり見かけないなと思ってて。
確かに。あとさ、ほら、あれって、去年も同じような枠組みでやったけどさ、別にそう決めてるわけでもないけど、だいたい5人の気になるポイントっていうのは、うまいこと分かれてるっていうか、
そういう視点もあるんやなーみたいなのが結構気づかされることが多いよね。
そうですね。パネルしながらちょっと勉強になってるみたいな。
感じになってるんで、これはきっとね、聞いてる人も面白いに違いないと思う。
宣伝や宣伝。
PR、はい。
最もらしいことを言ってるようで、何が言いたいかっていうと、見てねっていうことでございますね。無料で見れるんでね、お時間あう方は。
参加登録間に合うんで、ぜひどうぞ。
はい。
今日もお便りが来ておりまして、
お願いします。
第251回聞きました。看護さんの示していたエッジデバイスの対策に関する実践ガイダンスを読みました。参照文献を読み切れてないですが、ということなんですけども、
境界型防御モデルの限界などと最近一部で言われて軽視されている感じがありますが、その境界部分であるエッジをおろそかにしていいわけはなく、対策の重要性を改めて感じましたというお便りでございます。
そうですね。
いいですね。
全体的な流れとしては、ゼロトラストアーキテクチャのなんだろうかんだろうって言って、境界防御は時代遅れだ的なね。全体的なパラダイムとしてはそういう感じで徐々にシフトしていると思うけど、とはいえほとんどの組織がまだ境界防御をやっているわけだから、それはおろそかにしちゃいかんよな。
03:16
だからこれを聞いてて、僕もよく侵入前提って簡単に諦めないで前提の前提みたいなのをよく言ってるじゃないですか。
あと年末の井上さんが出てくださった時も、〇〇は死んだっていうのは死んだことにしたい人たちがいるとかいう話も。
出たね。そういう話ね。
そうそうそう。だから全部こっちみたいな振り方っていうのはちょっとある意味わかりやすいけど、危険なんかなっていうのはね、このご意見というかお便りを見ても思いましたね。
ありがとうございます。
次のお便りなんですが、リードス対策の話だけど、最初からイアースやパースで構築すると低レイヤーのリードス攻撃対策が最初からついていることがあり、
CDNを迂回されても大きな問題になることはないとしていることが多いかな。レイヤーが上だとWAFに頑張ってもらう感じかなという。
これ自分でこういうことを考えてるしてるっていうことなんですかね。
そうだね。結構そのAWSだったりAzureだったり、他にもいろいろあると思うんだけど、大手で言うと例えばそういうことはGoogleとかね。
あの辺は何も言わんで結構利用者向けのリードス攻撃を止めてくれていることが結構あるんで、
そうですね。
まあそういうサービスにね、あらかじめ含まれている範囲で守ってくれていればまあいいんだけどね。
そうですね。ただどれぐらいのものを止めてくれて、どれぐらい来たらあかんのかぐらいはやっぱ嫉妬感高いかなっていうのは変わりはないですね。
そうね。あとまあそういうその例えば大手だったらそういうのが例えばあるけど、そうじゃない例えば国産のそういうサービスだったり、
それ以外のものでちゃんとそういうものをついていると想定してて大丈夫かっていうか、
それはそのサービスのスペックとかちゃんとね確認しないともしかしたら期待している内容と違うかもしれないしね。
そうですね。大事なポイントですね。足元救われないようにっていうのが大事なと思うかなと思います。
最後のお便りなんですが、マイナス1歳からのセキュリティ教育、セキュリティのアレで退教中というお便りがお母さんになられるんですかね。
おめでたいですね。退教に効果してるわけ?大丈夫かな?
大丈夫かな。退教にいいのか悪いのかもわからないんですけどね。
このポッドキャストでもなんか僕がたまに好きで言う、そりまちたかしさんのポイズンってあるじゃないですか。
なんか前スポティファイで勝手に流れてきたみたいなやつ。
そうそうそうそう。あれはYouTubeとかで探してまだ残ってると思うんですけど、
あのイントロの音がすごくいいらしく、何にいいかっていうと赤ちゃんとかに心地いいみたいな。
そうなの?
なんかあの曲のイントロが流れると赤ちゃんが泣き止む説みたいなやつがあって。
06:02
なんか前その話聞いたことあるな。
そういうのがあるんで。あれはそういう結果が出てるみたいな。
ただ僕らのやつはちょっとどっちに転ぶか分かれへんからね。
スキーングは取れないんですけれども。
でもさ、割と我々のポッドキャストは緩い感じでやってるよね。
そうですね。
気楽に聞いてください的な。
だからほら、そのお子さんっていうかお腹の中のお子さん向けにどうかは分かんないけど、
お母さんがリラックスして聞いてくれれば効果はあるんじゃないですか。
間接的にね。
お腹の奥はお母さんの感情とか。
読み取るって言いますよね。
感じるとかって、本当かどうか分かんないけど、そういうことを言ったりもするし、
やっぱりつながってるわけだからね。何かしらいい影響はあるかもしれないし。
確かにそうですね。このお便り以前にいただいた方とかでも今ふっと思い出したんですけど、
寝るタイミングとかに聞いてて、毎回寝落ちしてもうて同じところに戻って聞き直さなあかんっていうか、
リラックス効果はあるのかもしれないですね。
あったね、そういうのね。それでも寝落ちしてちゃんと聞いてるんかいみたいな。
そうなんですよね。その方、お便り最近いただいてないかもしれないんで、
実際寝やすいということなのか、おもろないということなのか、そろそろ教えてほしいっていう。
そうね。その辺の真相をね。
ありますけどね。でね、今日はお便り以上なんですけども、来てます。
何が?
VSが来てます。
来た。久しぶりに来たね。何週ぶりか分かんないけど。
でもね、めっちゃむずいと思いますよ。
マジで?
2人ともに来てます。1つのお題というか、テーマというか、そういうところから、
2人用に、看護さん用、寝起きさん用というふうに送ってくださったんですけど。
それぞれ別々に。
これはね、僕が関係する話なんで、お二人分かるかなっていうのはあるんですけどね。
やってみよう。
いきましょう。
2016年に発売された、辻さんのセキュリティ特集記事が8ページ掲載された伝説のアンアンから出題です。
うわー、覚えてるけど。読んだけど。
まずは看護さんからいきますかね。
はい。
看護さんは3択です。記事中で辻さんの肩書きは何だったでしょうか?
1.セキュリティナイト
2.セキュリティプリンス
3.セキュリティヒーロー
えー。
僕、昔やってた連載の中にはセキュリティダークナイトっていうのがITメディアの記事というか、
アットマークITにはありましたけど、これはアンアンなので。
その今のあれは、ひっかけなのかヒントなのかどちらなのか。
えー、どちらですかね。
じゃあ、3番目。
セキュリティヒーローですか?
はい。
これは多分、ひっかけじゃなくてヒントだと思ったので、1番だと思います。
おー。正解は、1.セキュリティナイトでした。
よっしゃー。
素直にいけばよかった。
そうだよね。そんな気がしました。
確かさ、剣と盾を持って騎士の格好をしてたんじゃなかったかな。
09:00
あー、そうだそうだ。
よう覚えてますね。
でしょ。
そうだそうだ。
結構素直な感じだったんですよね。
だよね。それは覚えてました。
そうなんですよ。で、次はVSネギッシュさん用です。
あ、その同じネタからですね。
そうそうそうそう。
はい。
これは何択とかじゃなくて、こういうのだったっていうのを1個でも当てられればいいですっていう風に来てるんですが、
はい。
記事の中で、iPhoneのとある設定や機能がストーカーに悪用されるケースについて掲載されておりました。
とある設定や機能とはどういったものだったでしょうか。
えー、ストーカーに悪用される?
うん。片方は今はほぼ無理ですね。
えー、なんだろう。ごめん、その記事の内容は全く覚えてないんだけど。
まあでもiPhoneっていうのがあるんでね、一応ね。
覚えてないけど、iPhoneだから、あれじゃない、AirDropでなんか写真とか送りつけてる系の話じゃない?
あー、違いますね。
違うか。じゃあもう1個。
はい、どうぞどうぞ。
えーと、Bluetoothとかでホスト名とかね、自分の名前が入ってるとそれがバレちゃうよってやつ。
うーん、違いまーす。
え、それも違う?
えー。
私もいいですか?
あ、どうぞどうぞ。
AirTag。
AirTagなかった?
なかったよ。なかったもん、まだ。
あ、ほんとだ。2021年だ。
そうなんすか。
なかった?いや、俺もそれは思ったけどそれはなかったんで。
そうなんすよね。ちなみにこれ、アンドロイドでも全然できるんですよね。
あとなんかあったっけ?
位置情報?
位置情報、そうそう。両方位置情報に関係しますね。
写真?
あー、違う。難しく考えすぎですよ、多分。
えー、わかんない。
じゃあ答え言っちゃいますね。
はい。
はい、1つ目、2つあるんですけど、1つは利用頻度の高い位置情報の設定がオンになってて、それをこっそり見られると家がバレる。
あー、はいはいはいはい。
あと職場がバレるとか、あと場合によったら職場に内緒でしてる、例えば夜のバイトとか。
勝手に自宅とか職場とかを推定してくれるって機能ね。
そうそうそう。それをオンにしてると、昔はロックしてなかったりとかすると見れるっていうのがあったんですよね。
今はロックかかっちゃうんですけど。
うんうんうん。
それがまず1個で、これオフに、例えば履歴を全部消してオフにしておきましょうねみたいな話を多分してると思うんですよ、僕。
うんうん。
これが1個目。で、もう1個はiPhoneを探すの機能で、本人のスマホを触らなくても悪意の持ってるストーカーの男性なり女性なりどっちでもいいんですけど、
が、ターゲットのカバンにこっそりiPhoneを探すの機能をオンにして入れちゃうと。
はいはいはいはい。
家に着いた頃にかなって思ってずっと位置情報をトラックしてて、電話かけて、あ、それ誰?みたいな感じで、
あ、俺のスマホやわ、私のスマホやわって、あ、ごめん返してこんどって言いながら位置情報を全部取ってるっていうやり方ですね。
なるほどなるほど。まあエアタグがなかったけども似たような使い方ってことね。
そうそうそうそう。
じゃあ私実質正解って感じ?
いやいやいやいやいやいやいやいや。
12:00
何実質って何?
どこがや。
実質ってあんのか?
えぇー、でもちょっと悔しいなぁ、ドットは温かったなぁ、それなぁ。
いや当てれる感じでしたよねこれね。
当てれる感じだったねー。
懐かしいなぁこれ。
懐かしいね、2016年もうそんな前なのか。
いやーほんまだからもうそろそろアンアン出たことあるって言うとあかんわこれ。
そろそろもう一回出ればいいんじゃないの?
もう一回出るか、出たいなぁ。
じゃあ次はなんかセキュリティキングとかがええなぁ。
そうそうそうそう。
これ聞いてたら出たいなぁ、アンアンもう一回なぁ。
ぜひぜひ、チャンスあるじゃないですか?
あるかもしんないですね。
ありがとうございます。
お便りとVSをくださった方々にはセキュリティのあれのステッカー印刷コードを差し上げます。
5つ種類があって5つ揃ったらDMで送っていただければシークレット6つ目の印刷コードを差し上げます。
あ、そういえば一人来てました。
何が?
達成者達成者。
おおー。
1週目?2週目?
1週目1週目。
1週目2週目とか言うのがおかしいよな。
まあそうそうそう。
そんな精度はないのよ。
そうそうそう。
でもなんかシークレットのデザインめっちゃいいですって喜んでくれてました。
おめでとうございます。
ぜひまた2週目にチャレンジを。
そうなんですよね。
シークレットはね、一応言っておくとアレティさんがいつもアイキャッチを書いてくださってる。
アレティさんがデザインしてくれてるやつなんですよね。
いいね。
皆さんお便りお知らせいただければと思います。
お待ちしております。
はい、じゃあそろそろセキュリティのお話を今日もしていこうかと思うんですけれども。
じゃあ今日は僕からいきます。
お願いします。
僕は今日はですね、あるレポートを今日は紹介しようかと思ってるんですけども。
ソンポリスクマネジメントから出ていた
2024年我が国における認証情報の漏洩実態調査という
ドキュメントをちょっと紹介しようかなと思ってるんですけども。
まあ調査の内容はタイトルにある通り
認証情報がどれぐらいどんな業種から漏洩しているのかみたいなものを調べているものなんですけれども。
手法に関しては情報接種系のマルウェア、いわゆるインフォスティーラーですね。
そういったもののインフラ内部で流通する認証情報を確認するという手法で実施って書いてました。
これがちょっとユニークだよね。
そうそうそう。
大体はね、なんかダークウェブとかで売られているのを見てとか
そういう、あとはマーケットで見てとかっていうのが多い中
ちょっと違った手法のアプローチでされているやつで
漏洩した認証情報がどんなウェブサイトとかサービスで使われているもんでした
みたいなものを書いてくれているレポートなんですね。
一応このBotcastを聞いている方々は知っている方が多いかと思いますけども
一応インフォスティーラーとはということなんですが
情報を盗む、認証情報とかクッキーとかそういったものを
感染した端末から盗み出して
認証情報とかあと暗号通貨関連、クレジットカードとか
あとスクショ取ったりするようなものとか
キーロギングするようなものの中にはありますよね。
15:01
そういった情報を盗むことに特化したようなやつで
有名なものでいうとラクーンとかビーザルとかライズプロとかルマーとか
この辺りがマース、マルウェアアザサービスという形態で販売されてますみたいなので
結構有名なやつがいくつかあって
大体宣伝はテレグラムとかフォーラムとかでされているケースが多かったり
以前もこの辺結構僕も取り上げてたかなと思う
金額どれぐらいでサブスクできんねんとかですね
あったかと思いますよ
ビザール、さっき言ったビザールなんていうのは
セキュアワークスが昔ブログ出してましたけど
booking.comのホテル側の認証情報を盗んで宿泊客にフィッシングするみたいな
似たようなやつ最近もありましたけどね
これが原因かどうかわかんないですけども
結構よく悪用されているのかなというふうには思うんですけれども
ここで今回の対象になった漏洩の調査なんですけど
攻撃者のインフラの通信を見てるっていうのは結構珍しいというか
あんま聞かない感じですよね
具体的にどういうふうなことをしているのかっていうのは
あんまりよくわからないんで難しいなと思うんですけども
これはあれだよね
この会社自体でやってるわけじゃなくて
海外のサービスを使ってるんで
そこがそういうノウハウっていうか
攻撃者側のインフラに何かしら穴があって
仕込んでるんだと思うんですよね
そこを見てるんでしょうねこういうやつはね
そういうのに長けた会社ってことでしょうね
そうですねこれとダークウェブで出ているものを付き合わせてやれば
より精度が高いだろうっていうアプローチのサービスなんだと思うんですけど
調査期間に関しては2023年の4月から2024年の3月31日の期間で
検知した漏洩データとしていくつか挙げられてたんですけども
漏洩した組織の従業員が入力を利用したウェブサイト
入力した企業のメールアドレス
入力したパスワードというふうなことと
あとは感染した端末の情報
マシン名とか送ったりするのもいっぱいあるんで
その辺かなと思うんですね
それに加えてこれ調査の要になると思うんですけども
インフォスティーラー情報接種マルウェアがC2と通信したときの
パブリックのIPアドレスというのを取っているので
これ多分クッキーは対象外なのかなという気はしますね
業界に関してこのチェックした業界
どういう業界からいっぱいどれぐらい漏れてましたよみたいな話があるんですけど
いくつかの業種があって製造エネルギー運輸金融建設
商社飲食IT医療不動産みたいな
これのですねそれぞれ50社ずつピックアップして
見ているというふうな感じでしたね
日本企業500社のうち111社で認証情報の漏洩が確認されましたと
2割ぐらいってことね
18:01
そうですね自分もいろんなとこ見てたりとかしてますけど
漏洩したメールアドレスとかあるじゃないですか
111社ってそんなめちゃくちゃ多くないこんなもんかなという感覚ではありましたね
もっと多くてもおかしくはないよね
そうそうそうですね
それぞれ業種で50社ってあったんですけど
ITメディアっていう業界が最多で50社中20社
建設設備業界っていうようになっているものがこれに続いて17社っていうところでしたね
レポートの中には50社中何社っていうふうなものと
平均何件の認証情報が入ってたかとか
あとはその1企業から漏洩した認証情報の最大件数みたいなものが
表になってたんですけど
これこの数字が高いから狙われやすいって考えるのはちょっとどうかなって思ってて
数よりもどっちかったら多分欲しがるのはどこそこの認証みたいなもの
多いんじゃないかなっていうふうに思ってて
悪用目的がある程度決まってるケースがあるのかなと
なんで僕がたまに見ているブラックマーケットとかだと
ドメインとかで認証情報が入ってる端末を検索できたりできるんですよね
そういう機能がついてるってことはやっぱりどちらかというと
件数よりもこっちの方が優先されてるんじゃないかなっていうふうには僕は感じてます
漏洩した認証情報のアクセス先っていうところが
僕としては興味深いなと思う結果で
いろんな認証情報があるんですけど
例えばマイクロソフトに関係するようなM365Kとか
あとネットワーク製品パロワルトとかチームビューワーとかソーラーウィンズとか
っていうのが上がってたんですけど
エッジから侵入するのに使えそうだね
あとコラボレーションツールとかZoomとか
セールスフォースボックスとか
いわゆるみんながよく使ってるクラウドサービスって言われるのに入るようなものですかね
あとサンサンとかっていうのも入ってましたね
名刺管理ね
そうそう
あとはよくあるSNSとオンラインショッピングっていうふうなものがあったんですけど
この中で今言ったやつに一個言わなかったんですけど
企業システム企業ネットワークっていうのがあって
これがこの調査の結果
漏洩した認証情報がどんなところで使われているものが多かったのかっていうところを見ると
漏洩している漏洩情報の半数以上は自社サービスにアクセスするためのものである
これは漏洩なんで悪用されたかどうかはわかんないんですけど
自社サービスっていうか
中にはインターナルのやつも含まれてるんだろうね
社内での決済上げるやつとかね
あとは勤怠とか
多分そういう自社の中だけでしか使えない
そういうインフラとかシステムへのアクセス情報がかなり含まれてるってことだよね
直接的には悪用はすぐにはVPNで入らない限りは
21:02
ただこれ一旦入られたら結構おいしい情報だよね
そうなんですよね
例えば中に入るVPNをこれでして
その後社内のネットワークのそこからしかアクセスできないようになっているものに行くってこともできるし
結構機関系の重要なシステムとかさ
わかんないけどそのインパクトがあるようなものが含まれてたら結構それやばいよね
そうなんですよねそこに置かれている情報とかが
次の攻撃にかなり役立つような場合とかっていうのも
結構いろんなインシデント対応してると出てきたりするので
直接見られへんからって言ってあんまりほっとたかないようなもんかなっていう風には思いましたね
ちょっと意外でしたここにあんまり僕も目を向けてなかったんで
そうかっていう気づきがちょっとありましたね
こういったものの対策っていうのは本当に当たり前の対策でしかないんですけど
二要素認証ってのは必須やでと
クッキー取られたらどうするの問題はもちろんあるんですけどね
あとはねやっぱりIPアドレス制限って簡単に諦めない方がいいなっていうのは思いました
アクセス元の制限ってことね
そうそうそうそうなんか結構簡単にそんなに絞られへんからみたいな感じで諦めてしまう部分もあるんですけど
自宅からアクセスさせるような機器っていうのは難しいかもしれないですけど
メンテナンスとかそういったものはやっぱりできるものできひんものの棚卸しっていうのはしっかりしといて
攻撃されるところまず減らそうぜっていうふうなものはまだまだできてへんのちゃうかなって僕も思うんで
そこにもう一度目を向けてみてもいいかなってことと
あとは今回言及されてなかったですけどセッションについてもやっぱ忘れたらあかんなっていうね
セッションってやっぱねその認証情報が取られたから云々っていう風なところだけじゃなくて
理由はわからないにしても何かしら不正にログインされましたっていうのがわかった時にね
パスワード変えましただけで終わってる組織結構多いんですよ
あーなるほど
僕もねたまにインシデント対応とかで途中で呼ばれたりすることあるんですけど
現状を教えてくださいみたいなことを聞くとあのとりあえずパスワード変えましたみたいな
でセッション切りましたみたいなことを聞くとセッションってなんすかみたいな
なったりとか切ってないですみたいな結局それでもう一回見てみたらまた攻撃続いてますみたいなことにも遭遇したことあるんですよ
結構やってしまいがちなところだよね
あとセッションに関してはクッキー取られた時にもめんどくさいけど1日1回でもセッション切っちゃうみたいなのも別に僕無しじゃないかなと思ってて
1日1回ログインしなあかんっていうめんどくささはあるんですけど
その辺はねパスワード管理ソフトとかでカバーしちゃえばいいんじゃないのとかって思ったりもするんで
その辺もセッションっていうのはねあんまり忘れられがちなので
ここも目を向けてほしいなと思って今日この話題を取り上げました
なんか聞いててさインフォスティーラー系のその認証情報の漏洩の問題って
24:00
こういうレポートでその漏洩の実態的なのはわかるけどさ
読む側にとってというかその被害を受ける企業側にとっての一番の課題は自分たちの情報が含まれているかどうかっていうことと
それに気づけるかっていうことなんだと思うんだよね
今回その日本企業の何百社500社ちょっとやるのは難しいと思うんだけど
自分たちの情報が漏れていることを気づいてますかっていうふうにアンケートを取ったらどうなるかなっていうのが
この見つかったたとえば110社111社だっけ
はい111
例えば質問を送ってこういう情報がオタクの情報漏れてるのが調査でわかりましたけど気づいてましたってもし聞いたら
ほとんどの企業は気づいてないんじゃないの
いやそうでしょうねそのマルウェアに感染してその対処しましたみたいなものがあってもそれが漏れて売られてるとか
いうところまでは終えてないほうケース多いんちゃうかなと思いますね
そうだからその今回のこれクリプトスロジックのサービスを使ってるけど
とかまあいわゆるそのダークウェーブモニタリング的なやつとかいろんなサービスあるけどさ
そういうその認証情報の漏洩とかに特化したようなそういうちゃんとしたサービスで
自社の情報が漏洩したかどうかっていうのを調べることはできるけど
そういうのをやりてないところは多くの組織が漏洩しても気づいてないとか
あと今ついさんが言ったみたいにマルウェア感染にはケリで対処したけど
パスワードがその認証情報のリセットをしてないだとか
セッションそのままになったとかっていうような
なんか抜け穴が抜け穴っていうか対策漏れっていうか
そういう組織が多いんじゃないかっていうのが問題一番の問題なのかなっていう
あー確かに確かに
そもそもこういうのを防ぐ対策感染を防ぐ対策っていうのと
漏れても不正なアクセスを防ぐ対策っていうのがあるけども
漏れたことに気づける対策っていうのが多分一番抜けてる気がする
ずっとずるずるずるずるっていう原因が分かれへんままみたいなね
でそれが多分一番難しいんじゃないかなっていうか
こういうそのモニタリング的な調査以外になかなか気づきにくいっていうかね
でも気づくためにはどうするかってなかなかに難儀
いやーちょっと難しい
だからそれこそ本当にそのマルウェア感染した直後くらいにしっかりちゃんと検知して
止められるのがベストだけど仮に止められなかったとしても感染に気づけて
漏洩した情報をちゃんと調べられるなんかそういう調査能力がないとわからないよね多分ね
そうですねあとはなんか感染したことに気づけていたりとかすれば
そのマルウェアが何かっていうのが分かると
その端末にあった認証情報全部に対して対処しないといけないですよね
27:01
そうそうまあもう丸ごとその端末に入ってたものは全部侵入できないから
全部盗まれたと仮定しましょうっていうのが一番安全で
まあそれができる会社は多分ちゃんとやってると思うんだけど
それがもしできてないと例えばマルウェア見つけました駆除しました廃止終了とかさ
まあ会社の規模とか体制にもよるけどそういう対処しかしてないと
絶対気づけないよねこれね
いやーほんとそうですね
というのをもうちょっと知ってほしいというかそのリスクを
そういうリスクあるよっていうのをもっと知ってほしいというか
なんか最近のインフォスティーダー絡みじゃないかと思われるような
その認証情報漏洩から侵入されたんじゃないかと
わからないけど特定できてないからわからないんだけど
そうじゃないかと思えるものがなんか増えていて
どうもその脅威として前よりもだいぶいく分増してる気がするんで
なんかねそういうのはもっとちょっと
もっともっとそういうのをアピールしていかなきゃいけないかなっていう
そうですねなんか意外とインフォスティーダーって注目されてないというか
いや目立たないのよなんだかんだ言って
事例として出てこないっていうか事例として挙げるほど
結びつけられてへんっていうのが一番大きいのかな
だって目立ちにくくするのがやっぱりこういうのはさ
目立たずにできればずっとその端末にとどまって
ずっと認証情報を吸い上げられるのが一番ベストだから
できるだけね気づかれないようにするし
あとその別にランサムみたいな悪さをするわけでもないし
横展開するわけでもないから
その端末でしか気づけない基本的には
あとは外部との通信かな
そうですね変な通信してるっていうぐらいか
そういうちゃんとその検事とか監視をしっかりやっているところじゃないと
割とこういうのは見逃しがちなんじゃないのかな
そうですね注意喚起もしにくいねんな
刺さるような注意喚起って
そうなのよ難しいのよね
こういう風に売られてますよって言ったとてね
それが何かどこで起きた事件かを示すことができひんケースの方が多いじゃないですか
あとね僕さっきちょっと言いはしたけども
悪い面もあって例えばこういうのを見て
こういうサービスだったら監視できますよっていう
売り込みに使っちゃうケースがあるわけよ
それはやっちゃいけないやつで
ほらほらオタクの情報漏れてるの知ってますぜみたいなさ
そういう商売は過去に何度もあって
もう散々これは叩かれてきた
脅しで商売するってのは本当に良くないので
続きを聞きたければみたいなね
良くないので自分で気づいてほしいっていうかね
どうすべきかっていう対策をきちんとやってほしいっていうか
そういうのを考えてほしいよね
そうですねちょっと根深い問題ですけども
こういうのは定期的に言っていこうかなという感じはしますね
30:02
でもそういう危機感を共有するっていうか
状況を把握するにはこういう調査はありがたいかもしれないね
そうですねありがとうございます
じゃあ次はですねネギさんいきましょう
はいじゃあ今週はですね
先週の2月7日にアメリカのワシントンポストが
ちょっとスクープ記事を出したんだけど
その内容がちょっと衝撃的だったので
それを紹介したいんですけども
あんまりこれ日本ではちょっとあんまり騒がれてないというか
話題になってないんですけど
どんな内容かっていうと
先月1月にイギリス政府が
アップルに対してマイクラウドで暗号化しているデータに
政府がアクセスできるようにする
いわゆるバックドアを作ってくれという要求をしたという
とんでもない内容で
これは関係者からの情報でっていう感じで
リーク記事っていうかスクープ記事なんだけど
ワシントンポストはちゃんと裏を取ってると思うんで
確かな情報だという前提で話を進めるけど
これ一応法的根拠はちゃんとあって
知ってる人も多いかもしれないけど
イギリスって2016年に制定された
調査権限法っていう非常に強い権限を持つ法律があってですね
これ悪名高い法律なんだけども
これいわゆる政府に対する通信データの監視とか
情報の収集とか盗聴とか
テロへの対策っていう目的で
いろんなそういう幅広い監視を許可する
そういう法律なんだよね
その中に暗号化されたデータの複合を
必要であれば要求できるっていう項目があるらしくて
今回はそれに基づいてアップルに対して
イギリス政府が要求を出してきたということらしいのね
問題になっている対象になっているデータって何かっていうと
アップルが提供しているアドバンストデータプロテクションっていう
日本語だと高度なデータ保護っていう名前なのかな
これリスナーの人は覚えてる人もいるかもしれないけど
僕2年前に実はシャープ160で解説してんだよねこの内容を
ちょうどこの時2022年の年末だったかな
アップルが新しくこういう機能を出しますよって発表して
僕が嬉しくなってすぐさまポッドキャストで紹介したんですよ
嬉しくなったんですね
これ俺できたら日本で使えるんだったらすぐ使うぜみたいなこと言ってたんだけど
これ何かっていうといわゆる簡単にとエンドツーエンドの暗号化をして
データを保護する仕組みで
それまではアイクラウドに保護されているデータって
例えばそのアイクラウドキーチェーンとか
あと何だヘルスデータとか
33:00
そのいわゆるその個人の機微なデータに関しては
エンドツーエンドだったんだけど
それ以外の例えばアイクラウドバックアップだとか
あと写真とか
あとアイクラウドドライブに保存される文書ファイルとか
そういうやつはエンドツーエンドじゃなかったのよねずっと実は
でなんでアップルがその機になればデータを複合できて
なんで例えば犯罪とかそのテロの容疑者とかで
FBIとか例えばねアップルに対してこの人のデータを送れって言った場合に
いやいや端末のデータはアップルも手が出せませんって言ってたんだけど
一方でアイクラウドのバックアップのデータは提供可能だったわけね
なので結構それであの保守庫機関からの要請で
そういうデータはアップルが提供するっていうことはこれまでもあったわけ
だけどこの2022年の高度なデータ保護の機能によってどうなったかっていうと
ほぼすべて一部例外があるんだけども他社とのサービスの連携がある
メールとかのサービスを除いてほぼすべてのアイクラウドのデータが
全部エンドツーエンドで暗号化されるようになりましたと
ただしこれはデフォルトでは有効になってないので
自分で設定をオンにする必要があるんだけど
これをオンにすればアップルでさえアイクラウドのデータを
もうどうにもできませんと
こういう機能が出たので今回はそれをターゲットにして
いやいやアップルが何とかすれば複合できるでしょということで
そういう機能を政府に提供してくださいと
いうのを言ってきたということなんだけど
これ問題なのはそのイギリス政府が例えばなんかその
テロ対策でこの人が容疑者だからとかといって
アカウントを特定して要求してきたわけじゃなくて
今後そういうことがあるから
イギリスだけじゃなくて全世界のユーザーのデータを
複合できるような機能を要求してきていて
今後その必要に応じてこの人のデータをくれ
っていうような要求があった場合にすぐに提供できるような
そういうバックナーを作ってくれっていう
そういう要求なわけね
すごい要求やな
なので非常に影響が大きいということと
これまで今言ってみたら
iPhoneの暗号を何とかしてくれよって
Appleに言ってもAppleはできませんって言ったり
あとバックドア作ってよっていうのは
これまで度々あって
FBIとは結構ずっとどんぱっちやってんだけど
Appleはこれまで一度たりともそういう要求に
イエスと言ったことはないので
多分今回もイエスってことはないでしょうねと
そうでしょうね
イギリスの法律では一応その要求に対して
Appleは裁判を起こすことができて
なんかいやいやそれはちょっとおかしいでしょ
っていうことができるらしいんだけど
ただその裁判中もその
法律に従うのが猶予されるわけではないので
結局何か判断をしなきゃいけないわけね
そうなんや
で従わないとすると
おそらくだけど
Appleはこの高度なデータ保護の機能を
イギリスでだけは提供やめるんじゃないか
36:00
っていう話があって
それで手口にしようとしてるっていうかね
ただ一応それはそのイギリスの政府の要求
してるのはそのイギリスだけの話じゃないので
それで政府が引き下がるかどうかは分からないんだけど
今後そういうことをするんじゃないか
っていう風に話があります
だけどこれその一応この調査権限法の法律上は
その法律で基づいた要請があったっていうことも
その要求を受けた側は公開しちゃいけないんだよね
Apple側がそれを来たよって言っちゃいけないと
公開してはいけないことになってるんで
内容は全く秘密になってるんで
じゃあ何されてるか分からんってことですよね
そうなのそれがすごくヤバいことで
何されてるか分かんないし
Appleがどういう対応を取ったかってのも
公開されないので分からない
分からないんで今だから想像でみんな言ってるんだよね
多分こうするんじゃないかって言ってるってだけ
でこの記事が出て先週出て結構大きな騒ぎになって
いろんなところがいろんなことを言ってるんだけども
例えばアメリカの政治家だったり人権保護団体だったり
あとセキュリティの専門家とか
暗号の専門家とかいろんな人がいるんだけども
いろんな意見を表明してるんだけど
だいたいみんな反対意見なんだよね
多分だけどさ政府とか法執行機関とか
テロ対策に携わってる人とかは賛成するかもしれないけど
おそらくそれ以外の人はみんな反対なんだよねこれ
まあそうでしょうね
さすがにこれはちょっとやりすぎだろってみんな言ってて
でそのやりすぎだろうの中身もいろいろあるんだけど
まとめてみるとだいたいみんな共通のことをだいたい言ってんだけどさ
ちょっといくつかまとめてみると
例えばバックドアっていうのはそもそも悪用さで売るから
例えば技術的に暗号を弱くして
バックドア的なものを作っちゃうと
もうそれ自体が贅沢性っていうかさ
悪い人に悪用される可能性もあるでしょっていうことね
あとはその運用面でも
例えばそのちゃんとその政府機関がその必要なものだけを見るかっていう
保証を誰がするんだとか監視をちゃんとやるかとかっていう話もあるんで
過去にねアメリカでも911のテロ対策でって言って
はいはいありましたね
そう NSAやら何やらがすごい監視を強化した結果
行き過ぎちゃって後で大問題になったってのが過去にあったわけなんで
国内の人は見えひんとか言いながら見てたやんみたいな
そうめちゃくちゃ見てたんだよね
あまりにもその強い権限を与えすぎちゃったっていう反省があって
今アメリカはそっちとは逆の方向にちょっと触れてるけど
そういう経緯とかもあったりするんで
そもそもバックドアってのは良くないっていう話があるよねと
あとね今回のイギリスの元々この調査権限法自体があんまり評判良くなくて
いろいろなところから批判されてるんだけど
そもそもイギリスっていう一つの国の政府の決定が
世界中のアップルのユーザーのプライバシーを侵害するというか
39:03
影響を受けてしまうっていうのがそもそも良くないっていうか
それはまずくないっていう話があって
例えばそのイギリスの特定の国民の情報を
そのイギリスの法制度のもとに何か開示しろっていうのは
まあこれは一応わかるんだけど
全然関係ない日本とかアメリカとかいろんな国のユーザーの
暗号化のデータもバックドア作られたら
弱くなっちゃうわけなんで
それはダメでしょっていう
あとさっきも言ったけどこの調査権限法自体が人権侵害とか
そもそも法律としてこれはダメなんじゃないかっていう
批判も以前からあって地方の判断とかが出たりしてるんで
今回のもちょっとどうなのっていう意見が結構ありますと
あとは今回アップルは多分これうんと言わないだろうけど
仮にアップルがわかりましたって言って前例を作っちゃうと
例えばアップルだけじゃなくてグーグルとかさ
そうですね他にも波及しますよね
他にも同じようなことをやっているサービスを提供している会社が
みんな多分そういう要求を受けることになっちゃうし
あと例えばイギリス政府の要求に仮に屈したってなったら
他の国もじゃあうちの国もお願いしますってなるに決まってるんで
再現なくなりますわな
そうなんでこれはその前例を作るのは良くないっていう話もありますと
であとね面白いっていうかちょっと若干その皮肉なのは
去年さ中国の攻撃者グループのソルト台風っていうグループが
アメリカとかその通信会社に侵入をして
データを盗聴してたっていうのが
あーありましたね
大きなニュースになったことがあって
アメリカの政府機関もその調査に追われたとかっていうのがあったんだけど
アメリカだけじゃなくて日本を含む世界中の結構企業が被害にあったらしいんだけど
その時にねアメリカの政府はどうしたかっていうと
主に国内向けだけど海外も含めて
そのコミュニケーションができるだけ暗号化を強化して
そういう盗聴外国からのスパイ活動とか盗聴されないようにしましょうっていうガイダンスを出してるんだよね
でその中で例えばDHSとかFBIとかそういう人たちが
国民に対してもできるだけみんなエンドツーエンドの暗号化を使おうぜって言ってたりするわけ
なんでそういうのとちょっと矛盾するじゃんっていうのがあって
でもねちょっと俺あのその時は何とも思わなかったんだけど
その12月に去年の12月に出たガイダンスっていうのが
アメリカ以外にカナダニュージーランドオーストラリアが賛同してるのね
それガイダンスに
でも実はこれイギリスは入ってないのよ
通常こういうガイダンスってファイブアイズの5カ国ってのは足並み揃えてやることがほとんど多いんだけど
今回イギリス入ってないんだなーってその時は別に何とも思わなかったんだけどさ
今回みたいな基地を見てみると
42:02
あそっかそういうのがあるから整合性取るためにもそういう風に設定してるのかなとか
なんでイギリスはなんかちょっとそういう独自路線じゃないけど
みんな乗り得ること言ってるけどうちはもっと監視を強化しますねみたいなね
なんかちょっとそういう方向に進んでいるので
ちょっとこれはそのさっきも言ったけど
イギリスっていう一つの国だけの話にとどまらない問題なので
ちょっとこれ方向は要注意だなーっていうので
結構みんな注目してるっていう
そういう感じなんですよね
ただまあこれさ
僕らもねアップルのユーザーだと思うけど
あんまり利用者でできることないんだよね
僕もそれ思ったんですよ
じゃあ僕らがこれを通らないようにするためにはって
思い浮かんだわアノニマスが反応するか?みたいな
いやそれももう今のご実践なかったそうやなーみたいなね
仮に今回の法律の枠組みでなんかされちゃうと
アップルはその仮にその要求を飲んだとすると
ユーザーには一切知らせずに
密かにそういうバックダウンを作って
データを提供する可能性があるわけ
そうすると僕らはエンドツーエンドでちゃんと保護されてるって思い込んでたら
実は違いましたってことになりかねないわけよね
それは非常に危険だなというのがあって
ちょっとできることなかなかないな
ただねただできないとはいえ
僕もその高度なデータ保護ってやつ日本で使えるようになってから
もうずっと使ってるんだけど
結構このリスナーの人も含めて使ってない人多いと思うの
そもそもこれを
だってデフォルトで自分で有効になってないから
自分でオンにしなければ使わない機能だから
しかもアップルも別に積極的にやれって言ってるわけじゃないんで
多分ね使ってない人多いと思うの
使ってるユーザーの割合ってアップルも公表してないのは分かんないんだけど
で仮にものすごい少ない人しか使ってないとすると
それはそれで良くないっていうかさ
ほとんどの人が使ってるんだからもう別にいいんじゃねみたいな
だってそのほとんどの例えば9割の人が使ってないとしたら
9割の人のデータはそもそもエンドツーエンドじゃないから
全然法執行機関に提供可能なわけじゃん
だったら残り1割の人の分も提供してもまずくないでしょっていう判断が
論拠に使われそう
そういう風に埋まれてもおかしくはないので
僕としてはできるだけこういうのは意識して使うようにしてほしいっていうか
重要だよっていうことが利用者自身が思ってないと
提供する側とか政府機関とかはむしろ軽視しがちなので
Appleはまあね結構セキュリティとかプライバシーに厳しいうるさい会社とか
それを売りにしている会社だから
45:00
僕はあの大丈夫かなと信用してるけど
CMでもねそういう保護だけのことを言ってるCMも出してるぐらいですもんね
でもいつそれがひっくり返るかわかんないなっていうちょっと危機感を感じたっていうかさ
こんなのされたらたまったもんじゃないぜってちょっと思ったので
根幹から揺るぎますもんね
そうなんですよ
じゃあ僕はアノニマスを見といた方がいいってことですね
なんかねこういうのに格好つけてアノニマスとか攻撃するってのは
ちょっとなんかどうなんて思うけどさ
今の感じじゃないですねそういうのね
結構ねそのEFFだとか結構著名な団体とかが反対意見を述べたりだとか
あと例えばそのアメリカとかだとそもそもそういうのを
例えばこれ今回のAppleっていうのはアメリカの会社じゃない
なんでその外国イギリスのね政府外国の政府が
アメリカ国内の企業に対してこういう要求をした場合に
それに応じてはならないっていう法律を作ろうって言ってる人とかいたりとか
カウンター的な
国内法でそれを縛ろうって言ってる人たちがいたりとか
でそのまあ多分ねアメリカとかもそのFBIとかその政府の中には
いやこういうことできた方がいいよねって思ってる
バックドアあった方がいいよねって思ってる人たちたぶんいっぱいいると思うんだけど
いるでしょ
だけどそれを他国にやられるってのは良しとしてないわけ彼らは
自分たちがやるのはいいけど
他にやられるのはそれはちょっと待てよと
外国の政府にやられるのは自国の利益にならないので
いくらそれが同盟国とは言ってもそれは良しとしてないわけ
なんで自分たちの法律で国内の法律でバックドアを作れと要求するってことは
これはありかもしれないけど
他国の法律で勝手にそれをやられるしかもその対象がアメリカの
企業っていうのはこれは我慢ならないわけたぶんね
確かに確かに
なんでまあそういうような対抗措置を取るかもしれないし
そういうようなことをトランプ政権にね
プレッシャーかけていこうって言ってる人たちもいるんで
今後なんかそういうような動きが出るかもしれないんだけど
一方でその逆の今回の技術みたいな動きが
他のところでも出てくるとも限らないし
あと今回のやつはその要求があったことを表に出せない
類の命令なので
アップル以外も他にはいっぱい来てるかもしれないわけ
もしかしたらその他の会社わかりましたって言ってる可能性もあるんだよね
わかんないけど
だから僕らが普段使ってるそのアップル以外のねサービスが
実は政府の要求に福祉してる可能性もないわけじゃないわけ
でもわかんないからねだってねそれを
確かに確かに
そうだったらさどれ信じたらいいわけっていう
なんかだからクラウド化で保管するサービス全部
侵入できなくなっちゃうからさ
それはそれで結局その利用者の利益にならないというか
だって今回のそのイギリスだけサービスを提供やめようとかって
アップルがもし本当に言い出したら
イギリスの人たちにとっては不利益じゃん
48:00
そうですね
そういうなんかちょっとバランスうまく取りたいなっていうか
テロ対策っていう目的はいいことにやろうとしてるのはわかるんだけど
行き過ぎるのは問題って話じゃない
じゃあ落とし所はどこなんですかって誰もわからないから
難しいなあっていう
これはでも我々ができることはこの使っている人がもしく少なかったら
フリーにやるから高度なデータ保護を有効にして
アメリカに頑張ってもらうのを待つぐらい
だからそういうのを自分でどういうような保護を
自分が使ってるかっていうのを意識してほしいなっていうのと
積極的にこういうものを使って
例えばパスワードマネージャーとかもそうだけど
ああいう技術とか手段を積極的に使うようにしてほしいなっていうのと
こういうその今回の日本ではほとんど記事になってないんで
日本語の記事見つけるのが難しかったけど
こういう海外のニュースだけど
すごい海外ではめちゃくちゃ話題になっていて
すごい反響が起きているのに
日本だけそれを知らないではやっぱりちょっと進まされないので
なんかもうちょっとこういうのを話題にしていきたいなっていうのもあるね
確かに
問題意識をみんなで持とうぜっていう
そうですね
それぐらいかなできることはな
こういう情報源をねぎすさんだけにしてはいけないということですね
そうね
僕だけじゃないけど
もっとだからみんなは騒いでもいいんじゃないかなって気がするけどね
なんかちょっとこういう系の話題って
こう日本であんまり騒がれないガチみたいなのが昔からあるなっていう印象はありますね
所詮海外の話でしょみたいな
なんかそういう昔とかだったらソーパーとかアクターとかあったじゃないですか
ああいうのもなんかあんまりこうね反応が
あんまり国内ニュースそもそもあんまりないかなっていうイメージが強いかな
そうねまあなんかちょっと内容は変えていきたいけどね
そうですね
はい
ありがとうございました
ありがとうございます
はいじゃあ最後はカンゴさんですお願いします
はい今日私はちょっと小ネタ的な話ではあるんですけども
2月に入ってからいくつかの自治体かな
自治体が多分中心だと思うんですけども
鳴りすましメールの警告が私たちが送っているメールについちゃってますっていう
なんかそういったお知らせを出しているのを結構見かけることが増えてまして
本当に多分ざっと見ただけでも10以上わかるかってですね
検索したらババババッと出てくるくらいなそういった状況なんですけど
これ内容的にはもう読んでそのままの通り
そのメールを自治体から送るシステムがあるんですけども
そのシステムから送出しているメールを受け取った人
これが特定のキャリアというか通信事業者って書いてあるので
51:00
組織によってはもう本当にNTTドコモとか書いてあったりするので
私は多分ドコモのことだと思うので
お知らせの中に?
書いているところもあるので私もちょっとここでは面倒くさいので便宜的にドコモって言っちゃいますけど
ドコモのキャリアメールドコモメールですかね
ドコモメールに自治体から送ってきたメール届いた場合に
ドコモメールを使っている人の例えば端末アプリ上で
なりすましいメールの可能性がありますっていう
そういった表示が出てしまうというそのような状況が起きているので
そういう形でお知らせが出ていると
原因が何でっていう話ではあるんですが
原因についてもそのまま書いてあるんですけど
このメールは送信ドメイン認証が行われておりません
っていうのが書かれているというところで
なんでなんかなとは思うんですけども
この表示が出ている理由
字のごとくではないんですが送信ドメイン認証が行われていないんだろうなっていうのは
なんとなく想像はできるんですけど
やれよって感じだよね
それをなんかちゃんと説明されているところって
なんかパッと見た感じはなさそうで
原因をしっかり説明してなくてですね
対応してますと対応頑張ってますっていう形で
なんか対話してるんだっていうのはわかるんですけど
これがなんでそういう状況になっているかっていうところは説明をして
さっき言った10個とか私が見た限りでは書かれているところがなくて
よくないよね
なんかさそれだけ聞くとさ
表示をしているのは何かの不具合だったりとか
そうなんですよ
あるいはちょっとうがった見方だけど
表示をする方が悪い的なことも
そうそうそうそう
思われかねないよねこれね
本当になんか微妙だなって思うのが
よくないね
ネギさんがまさに言った通り
警告表示出てるけど問題ないよっていう
そういう感じのご案内
ちょっとさっき言い方悩んだのがまさにそれなんですけども
ご案内が大半そのように説明されていてですね
確かに自分たちのメールに関しては問題ないかもしれないけど
これをみんなが言ったらさ
警告の表示自体が意味なくなっちゃうじゃん
そうそう
何がオッケー何がアカンのかっていうのがわからなくなりますよね
これいいの?みたいなところになっちゃっていて
書きぶりがですね若干人ごと感があるというか
メール配信を担っているサービスの提供会社
いわくこういう状況でしたみたいな
何やそれ
送ってるのはあなたたちだよねみたいな感じはするんですけども
大体こういう実際のメール配信でどっかのサービス使ってやってるもんね
そうですね
そうなんですよ
でさっき言った10いくつの中では
具体的なサービス提供を行っている事業者名を抱えているところがあって
54:01
そこを見るとまさに住民向けに一斉情報配信をする
そういったメールシステムのソリューションを提供してますっていう
そういったサービスをやってらっしゃる会社の名前を挙げられていて
そこはもう全国自治体シェアナンバーワンで
昨年12月の時点で465件の自治体に導入しているっていう話だったので
すごいな
そんな事業者が何ちゃんと送信止め認証対応してないの
今の時点ではそういう状況で
これがちょっとそのまま全部影響が出てるのか何とも分からないんですけども
見かけるのが自治体に偏ってるっていうのは
なんとなくもしかしたらそういったところが背景にあるのかもしれないなっていう風には
なんとなく状況からお伺いしているところはあってですね
さっきそのNTTドコモって名前が出てたことについては
これあの今年の1月ちょっと具体日記載なかったんですけども
多分末ぐらいからDマークって呼ばれている
本当に送信ドメインの認証を行う仕組みをちゃんと行ってないと
なりすましメールの警告出しますよっていうそういう機能を始めましたっていうのが
1月からNTTドコモでは始まってました
始まってました
これ1年ぐらい前から実は予告してて
Dマークの対応を強化してくれますよっていうのはドコモの人があちこちで言って喋ってて
今年の2025年ぐらいから始める予定ですよってことはずっと言ってたんで
いよいよ始まったんだなっていう予定通り
まさかこんな影響が
こういうふうにちょっと広く影響が出るとは
ドコモ側もしかしたら思ってなかったかもしれないですけども
これはドコモのためにというか肩を持つわけじゃないけど
これはすごくいいことで
今回みたいなことはまあ起きるかも副作用で起きるかもしれないけど
もうそろそろDマークでちゃんと送信のドメイン認証をパスしないと
警告全部出しますよっていうのは
すごい良いと思うよこれは
良い方向に進んでたものってことですもんね
こういうの出されるのが嫌だったらちゃんと認証すればいいだけの話で
今時ねDマークの認証なんてもう必須でしょっていうのは
だってGoogleとかYahooとかが送信メールのガイドラインを変えた時に
結構騒ぎになったじゃない
そうですね去年も
あれで結構Dマーク一斉に対応したところが結構増えたというか
だいぶ変わったんで仕様目が
今となってはもういいタイミングじゃないかなと思うけどね
もうそろそろ必須でやれよっていう風に言っていいと思うけどな
なんかフィッシング対策協議会が1月に
これ実際調べてたのは多分プルーポイントだと思うんですけども
導入率の話っていうのをデポートしておられて
少し前のデータだよね
57:00
9月か8月ぐらいの去年の範囲としては日経2,2,5なので
狭いは狭いんですけども
その中では17%だったかな
未導入っていう形ではあったので
8割以上は導入済みと
ちょっと設定は隔離とか拒否ではなくて監視が多いって話ではあるんですけど
そこが課題なんだよね
まだ難になっててなかなかね
リジェクトとかでなってないところが多いっていうのは
それは今後の課題として
ちょっと多分諸外国に比べるとだいぶその割合が日本は低いんで
ちょっとね遅れてるって言われちゃうのは何とかしたいけどね
とはいえね、とはいえリマークには対応している
だからポリシーさえ変えればいつでも変えられるっていうのはね
そうですね、なのでそういう状況ではあったんですけど
1月のこういったドコモ側の対応を受けて
目に見えた状況としてはこういう感じで
分野分野では対応がまだ十分にできていないところっていうのも
あったりはしつつかつ加えて
こういうことが起きると案内がこういう感じになっちゃうのは少し
残念だなあっていうところは
そうね、これは何だろうな色々
自治体側はなかなかそういう
なんでこうなるのかっていうことに対する正しい理解が
各自治体の担当者には難しい面はあると思うんで
ちょっとそこを考慮すると
サービスを提供している事業者にもうちょい頑張ってほしい
そうですね、そこは確かに
仮にドメイン認証とかにうまく対応できていないんだったら
それはなぜなのかとかどう説明するのが良いかとかっていうことは
自治体側にちゃんと教えてあげるべきだろうし
下手にこういう傾向表示が問題ありませんって言っちゃうことは
むしろ害になるっていうか
さっき言ったような話をできれば考えてほしいし
自分たちだけが問題ありませんっていうのは
いかがなものかっていうのはね
多分言ってる人たちはあんまりそういうことを考えてないんだと思うんで
うちじゃなくて他がやってるとこはこういう風に言ってますみたいな
お知らせを出したりね
問題ないですからとかっていうのじゃなくて
数百の自治体に入ってるんでしたっけそういうやつが
そこのどっかの自治体でも
これ対応大丈夫なんていう声が上がってこなかったんですかねそこにね
どうなんでしょうね
気にしてなかったのかな
そこはねちょっと気になったなっていうのと
あとはなんかキャリアメールなんですねこれって
キャリアメールの利用率ってめっちゃ下がってるみたいで
なるほどそれはどこの何の割合
連絡を取るのに家族とか友人とか連絡に使っているっていう風なものになるんですけど
一般的な消費者の間でってことね
そうそう東京工科大学っていうところが調べているやつで
2014年には71.4%がキャリアメールがLINEに次い利用率だったんですけど
1:00:03
2023年には14.4%まで減ってるそうなんですね
この10年で多分そういう使い方がだいぶ変わってきたよね
そう変わってきていて
でもこの14.4が多いか少ないかっていうよりも
これ乗り換えてない人ほど結構なんかその高齢の方も多いのかなと思ってて
昔から使い続けている
柄系からスマホへの移行に合わせて多分減ってきたっていう側面もあるんじゃないかと思ってて
そういうのにこういち早く対応できないようなそういう
情報弱者っていうか
高齢者もそうだよね多分ね
そういう人ほど結構キャリアメール使ってる可能性あるよね
だからこの14.4まで70何パーがこの10年ぐらいで14パーまで下がってきたみたいなもので
少ないからというよりはこの少ない人たちを守るための大事な機能があるなって思ってみてて
すごいもったいないというかねせっかくいい方向に進んでるのになーっていう感じの
残念な気持ちがなりましたねちょっとね
そうね
どうしたらええねん対応してもらうしかないっていうことですねこれもね
そうですね対応できる限り頑張っていただくしかないんですけど
なんか結構時間がかかるっていうふうに説明してもらえるところもありはしてですね
なんかすぐなんか今月中にどうこうっていう感じになるっていうのはなんかなさそうかなーっていう
どこか特定のサービスだけの話じゃないと思うんだけど
大手のこういう自治体に限らずね大手のメール配信サービスとかっていうのも
ちゃんときちんとそういうDマークとか送信止め認証に対応しているサービスはもちろんあって
計画立てて前々からちゃんとやってると思うんだけど
別に今回の件があろうがなかろうがね
ただまあだから今回の件があってすぐにどうこうっていう感じではなくその計画に従ってやるっていうことなんで
まあそれを多少なんか前倒しするとか
なんかそういうのはあるかもしれないけどっていう感じだね
そうですね
あとまあなんかあの結構これはそのさっきのね注意喚起の仕方がよくないけど
ある意味こういうその副作用が出たことで注目もされるので
そういうメール配信とかに取り組んでる企業だけじゃなくさっきのそのポリシーのねまだリジェクトが結構少ないとかさ
大手では多いかもしれないけど中小も含めたらまだDマーク対応してるところは結構いるだろうとかあるから
まあこういう機会にはうちもちゃんとそろそろやらなきゃまずいぞっていう風に
自分たちのところではどうかっていう視点で考えてみるのもいいかもね
あーもう怪我の巧妙じゃないですけどね
これでまず大きくドライブすればそれはそれでいいのか
うちはこれ大丈夫だっけみたいなさ
うちからもしどこメールに送っても警告表示出ないよなとかさ
いい意味のうちは大丈夫か
そうそうそう例えばね例えばだけど
そういう業務的な何にしてもB2Cでね
商売やってるところあったら当然そういうメールとかも送るだろうし
1:03:03
そういうのも含めてなんかうちは大丈夫かなっていう風に考えてみるのもいいかもしれない
確かに確かに
それはそうですね
いやーちょっと面白いね面白いって言っちゃあれだけど
こんなこともあるんだっていう
はいありがとうございました
はいじゃあ今日もセキュリティのお話を3つしてきたんで
最後にですねおすすめのあれなんですけれども
今日おすすめするのはですね
超有名どころになるんですが
幼児屋の油取り紙
あれそれ前に紹介しなかった?
うそ
そんなことないかあれ
なんか幼児屋の油取り紙京都かなんかのやつでしょそれ
そう
それ違うかこれ個人的に聞いただけか
ついさんがね割と使ってるのは見たことあるかも
いつも持ち歩いてるよな
定番だよね定番
ここのそっかあれでおすすめはしてないか
多分してないと思うんですよ
してたら初めて聞いた手で聞いてください
多分今調べたらしてなかった大丈夫です
油取り紙っていろいろあるんですけど
なんで僕が持ち歩いてるかというと
僕すぐテカテカなるんですよ
人に多分余裕がそういうのね
そうですね
でも油分が多いんですよ
モイスチャーおじさんなわけなんですけど
何を言ってるんだ
この油取り紙自体は僕学生の頃から使ってて
そうなの
うちのね母親が使ってたんですよ愛用しててね
はいはいはい
それであんたテカテカやなって言われて
これ使いいいって
そうそうそう
なんかそのやりとり想像できるわ
ほんまですか
ネギスさんうちの母親を見たことありますもんね
そうそうそうなんですよね
これなんか油取り紙ってね
女性は化粧とかされる人多いじゃないですか
男性も最近いますけど
化粧落とさずに余分な皮脂だけを取るみたいな
テカリを抑える的なね
そうそうそう
油があるとやっぱり肌荒れになったりとかね
はいはい
なので基本取った方がいいものなので
取りすぎはあんま良くないんですけどね油分が
あーそっかそっか
そうそうそう
これ自体は金箔を叩く時に使う紙をちょっと加工して
めっちゃ油吸うようにしたっていう風なもんで
もう100年以上確かあるのかなこれ
そういう由来があるんだ
へーそれは知らなかったな
そうそうそうそうなんですよ
だから本当にいろんな油取り紙色に出てますけど
やっぱりこれが一番吸うなっていう感じがあって
あと一枚も大きいんですよね
なんかこれは結構有名だし一番良いって言うよね
そうそうそうそうそう
なのでこれは皆さんもそのね
油分が冬場とかも結構出ちゃいますんで
1枚1枚とか1シート
鞄に潜ませておくといいんじゃないかなと
結構あのサラサラなるんで肌が使うとね
1:06:02
なのでおすすめなんで
あれよねついさんとかさ
結構やっぱりメディアとかにね
結構露出したりとかすると
まあやっぱりそういうね
テカリがあるとちょっと気になるもんね
そうなんですよね
それであのそうそう
ツッコまれたんで言うんですけど
あのちょっとショックなことが前ありましてね
ああそうなの何か言われたの
ショックというか
まあその番組に出てて
CMとかが間にあるじゃないですか
うんうん
であの僕だけテカリ直される回数多い
ってことに気づいたんですよ
なるほど
だからもう最近はあのもう
入る前に1回油取ってから行くっていう
そっかそっかああいう番組だと
CM中にそういうのやってくれるわけね
そうちょっとそのテカリが多いと直してくれはる
来てくれはる時があるんですけど
あれなんか俺だけ毎回来てないかみたいな
メイク直したりとかあるもんね多分ね
そうそう女性とか特にねそういう多いですよね
それでも僕も直されたっていうのがあったんでね
気をつけてくれたなっていう
だからほらあのITメディアの収録の時も
僕だけテカってる時とかあるじゃないですか
よく言ってません僕
あんまりそう自分ではなんか言ってるけどね
俺あんまそういうの気にしたことないけどな
あほんまですかでも結構なんか後で
ネットの記事というかレップセミナーレポート
みたいな書いてこれ貼るじゃないですか
うんうん
それ見るとたまにやっぱテカってるんですよね
そっかなんかテカってるっていうよりは
その何なんちゃうのみずみずしいというかさ
いいと思うけどな
ほんまですか
なんかカサカサより良くないテカチカの
あまあカサ確かに
いやカサカサかギトギトかどっちがええんか
みたいなことなるとあれなんですけど
意外とね結構気になるもんなんで
ちょっとお試しいただけてもいいんじゃないかな
と思って紹介させていただきました
はーい
はいということで今回は以上です
また次回のお楽しみですバイバイ
バイバーイ
