再赴任と取り組み
2年ぶりにやってきましたよ、また。 警視庁のサイバーセキュリティアドバイザー、再移植されてまいりました。
おめでとうございます。おめでとうかどうかちょっとわからないですね。 あれ2年間人気なんで、また2年間頑張るぞ、言うてね。
久しぶりにまたスーツ着て。 そうよ。そのためにまたスーツ買って。 そういう時くらいだもんね。買う機会ないじゃないですか、普段。
2年前とはいえ、あの2年前から僕スーツ1着も買ってないから。 だから同じのを着ていくのもちょっと嫌でしょ。
なるほど。言うてそんなに着る機会があるわけでもないからな。 そうそうそう。だから2年に1回ぐらいだったらまあいいかみたいな。
でちょっと色味も違うやつを買ってね。それを着て行ってきました。 いやなんか結構ね、あの移植式とはいえ、移植しまーす、移植されまーすみたいな感じだけじゃないんですよ。
前回は記者の方とかも来られるんで、もちろん。 なんでミニミニセミナーみたいなやつやるんですよ。
前回はさ、これ初めてだったじゃないですか。 なんでその実績みたいな話とかせずに、自分はこんな仕事してるんです、こんなこと調べてるんです、みたいな話を
したんですけど、今回はね、この2年間の取り組みとか。 あとは今後こういうこともしていきたいとか、あとなんかこうちょっと感じた課題とか。
なんかいいね、らしい感じになってるね。 移植式らしい、かつ辻らしからぬみたいなことがあるんですけれども、そういう話をしてきた。
よくよく考えたら、このポッドキャストでもこんなことしてるんですよ、みたいな話とかしてもいいかなとは思うんですけどね。 まあまあまあそうね。
そう、ならでは感というかね。 確かに。 機会を作ってね、できればなと。 そうね、たまにはそういう紹介もお願いします。
また2年間頑張りますわ。 そっか、頑張ってください。 頑張ってくださいって。
いやいや違うやんか。あるやん。 何が? 湯沢があるやん。 そうねもう来週だね。湯沢もそういえば2年ぶりだね。
本当だよ、確かにそうやわ。 2年前行って車座やって以来ですね。やったやった確かにそうですね。
なんで今回はね、ほらこのアドバイザーの警視庁の一環じゃないですけど延長というか繋がりというかで、今回はねあの僕ら3人に加えて
警視庁1号、2号みたいな。 紹介なってましたよね、ウェブサイトみたいな、なぜか。
そうそうそう、そういう企画もある。もしね、どうなんすかね、このポッドキャスト聞いてる人で、湯沢にも行き回すみたいな人いんのかな?
まあいるんじゃない?それは。 そうな雰囲気はありますが。 まあね、いたらね、あの現地、ちゃんとステッカー持っていっておこうか。
確かに確かに。 100枚ぐらい持って行ったほうがいい? 100枚もないんやって、そんな元々。
100人来たらどうすんのよ。 本当ですよ。 終わりやで、また発注せなあかんことになるから、それはちょっとやめてほしいねんけど。
でもなんかね、それはそうと、でもね、あの前回ね、そんな言うほどくださいってけえへんかって。 まあまあ確かにそうか。
置いとこうかな、その辺に。 いやーそれはどうなの? ごそっと持ってかれますね。 ミスナーじゃない人も持って行っちゃうかもしれない。
それは良くないですよね。 それは良くない。聞いてます?って言ってくれた人じゃないと。だって普段はさ、お便りくれた人に送っているものをさ。
湯沢イベントの準備
確かに。 しかもスペシャル仕様のやつですからね、あっちはね。 一応ね、聞いてくださってる人に優先したいというか。
確かに確かに。 じゃああれかな、セキュリティのあれのポッドキャスト、247回を聞きましたみたいな。
247回目やってないよ、37回。 また間違えた、また10回間違えた。
なんで10回間違えるの? そう、お便りでも指摘されたんですけど、ある時からね、僕のエヴァノートでしゃべる内容をまとめてるやつが10回飛んどるんですよ。
ああそういうことか、なるほど。 そうそうそう、だから逆に247回聞きましたって言った人にあげましょか、ステッカー。
それ聞いてへんわ、やってへんわ。 まだやってへんわ、じゃあはいステッカーみたいな感じでね、差し上げられるんじゃないかなと。
まあぜひぜひ現地でね、お会いできれば。 そうですね、ということで今回もお便りが、お便りが来ております。
ありがとうございます。 はい、カスペルスキーの件あったじゃないですか、ウルトラAVに強制リプレイスされるやつ。
はい、ありましたね、本当びっくりしました。 そうそうそう、強制BCC以来のびっくりやなと思いながらね、聞いてたんですけど。 あったで、そんなの。
ありましたよね。 あった、懐かしい。
それがね、入れ替わってるっていうのの話を聞いて思い出したことということで、7月のクラウドストライクの件ではまず悪用が頭に浮かんでビビったと。
で、あとは疑わしいファイルも入れられるってことは、外部によるEDR監視は信頼できないとお願いできないなと思いましたということですね。
そうね。 その辺はだから難しいんだよね。
クラウドストライクの件もさ、そういう高い権限で動いてるから障害になった時に大変なことが起きるみたいなのは、まあそれは前から言われてた話だし。
あとその、まあ今回のはちょっと極端だけど、違うソフトウェアに置き換わっちゃったみたいな極端だけど、
割とそのインストールされているマシーンの中で何でもできるは言い過ぎだけど、結構いろいろできるっていうことは、まあそれはね以前から言われていた話で、
その陰謀論的なやつだと、それこそカスペル付きなんか結構前から批判されててさ。 まあそういう知性学的なね。
そうそう、実際は違うのに彼らはそのインストールされたやつを結構その、何いろいろ調べて好き勝手やっていいんじゃないかみたいなことを結構言う人がいるわけよ。
まあそうですよね。 それはまあ技術的には確かに可能は可能だけど、可能だからやるかって言ったらそれはまた別問題なわけで。
まあその辺は確かにね、でもそのとはいえ今々はなかなかその、そういうね性格的なとかいろんなリスクがあって、
使えないとか、まあ本当はそんな別にリスクはないかもしれないけど、まあでもっていうふうなのはあるからね。
そうですね。高い権限で動いているというか、高い権限で動かさんとしゃーないもんってのもありますよね。
だからその辺はだからね、仕組みである程度できる部分もあると思うけど、
なんていうかトレードオフ的な部分もやっぱあるよね。あるあるある。 だからさっきねそのお便りでその外部にもし委託するならてんてんって言ったのはまさに本当その通りで、
それこそその穿った見方をすればさ、信頼できると思っていたそのパートナー企業の人が変なことをやる可能性もないわけじゃないから。
もちろんもちろん。 とかそのこういうことはないかもしれないけど、例えばね業務委託に入っている人がとかさ、
孫受けの人、下受けの人がなんかやっちゃったとかっていうことは、まあ実際その別の場面とかではそういう事例とかでもあるわけで。
内部情報漏洩的なやつとかね。 そうそうとかね。いい奴はキリがないんだよね。 そうそうそうなんですよね。だからこの
製品そのものがどうかというよりもね、なんかこう監視してもらっているところが大丈夫かみたいな、そのサプライチェーン的な心配もあるじゃないですか。
ああそうだね。 例えばRMM系のさ、ツールとかが乗っ取られて、昔あったじゃないですか、カセヤのVSAを使ってるところがやられて、その顧客が影響を受けたっていう。
ランサムウェアは一斉に感染したってあったもんね。 そうそうリビルでしたっけね、その時ね。そういう風なリスクもあるってことですよね、踏まれた時のっていう。
標的型攻撃でもさ、マネージドサービスプロバイダーを経由して侵入しましたみたいなのが以前、何だっけ、APT10か何かだっけな、忘れちゃったけど。
リードス攻撃のコスト問題
あれですね、クラウドホッパーですかね、APT10ですね。 あれ以来結構それは上等手段っていうか、そういうところを狙ってみたいなのはよく聞く話なので、
そういうのは何か、利便性と合わせたそういうリスクも一緒に考えなきゃいけないっていう感じだよね。
こういうのって起きてみな分かれへんこともあるし、 信頼できるのかどうかなんていうところって結構難しいじゃないですか。
だからって言って、こういう風な製品が止まった時とか使われようになった時のためにもう1個同じ製品入れとくとか、そんなんもできないじゃないですか。
確かにね。 そうそうそう、だから悩ましい問題やからなっていうのはありますけどね。
何も受けなければ全く心配しなくていいけど。
可能性は低いとはいえリスクとして考えておく、頭の中に入れておくところが大事かなと思いますよね。
そうですね、それは大事ですね。
それに引き続きですけれども、OSに近い場所で動作するソフトが悪意のある企業に買収されて、同一名称でサービス継続されて、
しかも買収企業がバックに国が付く企業だったりとかすることを考えると怖いですね。
その辺も買収とか、もうちょっとちっちゃな話で言えばさ、よくあるのはブラウザーの拡張機能だったり、
そういうやつで開発継続できないから他の人に売ったら、ある日突然それがマルになっちゃったみたいなさ。
情報収集する機能がついてとかね。
そうそうそう、そういう話はいくらでもあるからね。
あるある、拡張とかキーボード系とかもそうかな、入力系のやつね。
身の回りに入り込んでいるソフトウェアとかそういう目で見ると、いつ何時それがマリシアスなものに置き換わったらって考えるとちょっと怖いけど、
かといってそういうのに全く依存せずに普段生活するとかお仕事するって無理じゃない?
だからね、それもそういうのをリスクとして考えながら、そういうことが起きないようにとか起きた場合にすぐ気づけるようにっていうふうに考えるしかないんだろうなぁ。
これも難しい問題ですよね。
最後のお便りなんですけれども、
一般的な企業ではリードス攻撃は回線業者による遮断か、CDN業者による遮断が良い気がしています。
専門のリードス攻撃対策サービスも良いものだと思いますが、そこに支払う費用が厳しいと思ってしまいます。
おっしゃる通りですね。耳が痛いですね。
これ多分7000万人ぐらいがこんなことを思っているんじゃないかな。日本国内の。
半分以上が思っているんじゃないかな。
本当おっしゃる通りで、攻撃側のコストに比べても防御する側の対策のコストっていうのがもうべらぼうに高いから、
くらいぼうにならないからね。防げはする、今お便りにあったような対策サービスだとか、各種いろいろアプライアンスだとかいろいろあるし、
CDNのサービスもピン切りだけどさ、お金かければそれなりにちゃんと防いでくれるところはいくらでもあるんだけど、そんなにお金かけられますかって話なんで、
来るかどうかもわからないリードスで攻撃してくるかポチポチっとやってさ、
1時間何ドルか知らないけどすごい安いお金で攻撃してくるのさ、そのためだけに年間いくらかわからないけどすごいお金を投資できますかって話じゃん。
それはおっしゃる通りだよね。
どうなんですかね、リードス関係とかはねぎさんはずっと調べて身近でやられてるじゃないですか、そういう調査をね。
僕とかもちょこちょこ見たりはするけど、一時期よりはあんまり見てなくて、そういうことをちょっと離れたりとかすると、もしくは他のところに重点を置くようになると、
こういう内容とか事情に加えて、製品やサービスがどうなっているのかって、ちょっとやっぱり疎くなるんですよ。
そこでね、まねぎさんもし知ってたら、だいたい肌感覚でこうみたいなのがわかればいいんですけど、
リードス対策製品とかっていうのって、そんなに言うほど値段って変わってないものなんですか?まだ高いままなんですか?
以前からってこと?
そうそう、なんか連貨版が出たりとかさ、色々選択肢が増えてるのか、色んな事情で上がってんのかみたいな、
その辺の状況って全然わからんな最近なって思っています。
いわゆるエンタープライズなっていうか、高価なサービスは依然として変わってない。
ただ安価に使えるサービスとか、例えばクラウドフレアなんかさ、無料で使えるサービスなんかでも結構やってくれたりとか、
セキュリティの現状
その選択肢は多分増えてると思う。ただそれって防御する側の選択肢もそれなりに増えてるか、それ以上に攻撃側の方の選択肢っていうか、
安く攻撃できる手段っていうのがもう格段に防御側よりもはるかに攻撃側の方が進んでいるっていう、
そういうアンバランスな、
非対称性みたいなやつですね。
だから決して、自分たちは直接自分がサービス関わってないからさ、ちょっと一言みたいに言っちゃうけど、
そういうサービスを提供しているところが努力してないわけじゃなくて、
いろいろ頑張って値段も下げようとか頑張ってると思うのね、多分ね。
だし、できるだけ多くの人に防げるようにやっているとは思うけど、
でもやっぱり限度があるよね。
そうですよね。しかもユーザーが増えへん。高いから増えへん。増えへんかったら下げられへんっていう面もあるかもしれないしね。
だからそこはね、なかなか難しいよね。
そんなに言うほどめちゃくちゃ劇的にかんばしくなったかというとそうではない。
まあそうではない。だからちょっと話変わるけど、
DDoS攻撃を生み出す元を断ち切ることをなんとかしないといけないかなと思ってて、
元を断たずに防御するサービスを安いよ安いよって売るのもなんかちょっと違うじゃない。
しかも安くなってないしあんまり。
それよりはサービスが儲かるか儲かんないかの話は一旦置いといて、
そもそもそういう別にサービスなんかに頼らなくても攻撃あんまりきませんっていう状況が望ましいわけなんで、
だからそもそもそういうインフラっていうかね、
例えばBotだったりあるいは踏み台になるサーバーだったりとかっていうのを減らす努力を続けていくしかないのかなっていうか、
もうここ10年以上ずっとそういうのみんなやってんだけどね、なかなかそれが効果を上げてないっていう感じなので、
そっちはもっと頑張らなきゃなって感じじゃない。
CISAのVDP年次報告
根本的なところってことですよね。
もちろんサービスのほうもやるとして、そっちばっかりに言っててもねっていう。
対象両方じゃダメですもんね。
そうそうそういう感じだね。
わかりました。ありがとうございます。
ということでそろそろセキュリティのお話をしていこうかなと思ってるんですけれども、
今日はかんごさんからいきましょう。
今日は私はですね、CISAが公開されたレポートを紹介したいなと思ってるんですけども、
何のレポートかというと、
Vulnerability Disclosure Policy Platform 2023 Annual Reportっていう内容でして、
VDPっていう風に略されることが多いんですけども、
これってご存知ですかねっていう。
どうだろうね、聞いてる人はあんまり知らないかもしれないね。
なんかあんまり聞きかけたことないかなと思っていて、
CISAって多分日本だとKEVとかなんですかね。
KEVが一番やっぱり知られてるんじゃないですかね。
はい、国内でもよく聞くキーワードでありますけど。
あとはほら、僕が前にポートキャストでも紹介したRVAとかさ。
ああ、確かに確かに。RVAもそうですね。
あとなんかストップランサム系とかかな。
そうですね、それくらいは多分ポートキャストで紹介したやつは聞いてる人は知ってるかもしれないけど、
VDPは多分今まで一度も取り上げてないんじゃない。
取り上げてないですね。
取り上げてないですかね。
VDPって何っていうところを簡単に話すと、
もうそれそのまま脆弱性開示ポリシーっていうものではあるんですが、
これってそもそも何かっていうと、ちょっとだいぶ前なんですけど、
2020年にいわゆる拘束命令ってCISAが出されてるものがあるんですけど、
KEVだと2201ですよね。
BODってやつね。
はい。VDPに関しても出していて、
BOD2001っていうのを2020年に出してるんですね。
これ何かっていうと、
政府機関において脆弱性、特にインターネットからアクセス可能なシステム、
それについて脆弱性をどう取り扱うかっていうところについて、
方針をしっかり開示してくださいねと。
具体的なテストの手段。
何でもかんでも無差別にテストっていうんですかね、
システムに対して何でもかんでもやっていいっていうものではなくて、
具体的にはこれはやらないでくれとか、
さっきまさにお話のあったDDoS攻撃であるとか、
ソーシャルエンジニアリングとかそういうのはやめてくれというのを書いたりとか、
あるいはそのスコープ、どのシステムを対象とするのかとか、
あと実際に見つけた時にどこに連絡してねっていう報告先であるとか、
簡単に言えばそういったものっていうのをポリシーという形で開示しっかりしていきましょうという
命令というのが出されてまして、
そうは言ってもこれ実際やろうとすると、
なかなかお金の面であるとか体制の面であるとかっていうところが苦労するところはありまして、
2021年にBOD-2001を補完するっていう目的でCISAが
ADPプラットフォームっていうのを立ち上げたんですね。
そのプラットフォーム上で脆弱性の連絡というか調整のやり取りであるとか、
あるいはCISAが運用管理しているので取り味をするとか、
そういったところっていうのを実際にやっているという話ではあるので、
今回はそのレポートっていうのはそのプラットフォーム上で実際にやり取りされている内容を受けて、
CISAが年次の状況っていうのをまとめたものという話ですね。
外部の人とかはできるだけ脆弱性の報告をしやすくするようにしましょうっていう、
そういう取り組みってことだよね。
そうですね。なかなか報告者視点で見たときに、
今ねぎしさんおっしゃったように報告どこにしたらええねんって話であるとか、
あとは報告してもこれ直してくれるのかなっていうような確信であるとか、
あと一番怖いのは法的な措置。
やられましたって言われちゃうっていう。
まあその辺のトラブルってよくあるもんね。民間でも多いしね、その辺はね。
そうそうそうなんですよ。
BRD2001の中で今言った話って実際に書かれていて、
そういったのをできる限りなくしていきたいという、
そういった目的があってこのポリシー解除しましょうというものではあるんですが、
いい取り組みだ。
ちょっと話が汚れそうになっちゃうんですけど、
このポリシーのテンプレートもCISA公開していてですね、
この内容って見ていくとですね、
割と、割とというか結構参考になる点が多くて、
なので先ほど民間でもって話あったんですけど、
どの組織においても結構役立つというか考えるべきポイントっていうところが整理されていて、
立場によってはこれ解除してもいいのかなっていうような内容ではあるので。
あれか、進んでるところの、
例えばバグバウンティのさ、プログラムとかちゃんと整備して、
報告があったら対応して、
報酬金を払うとかやってるところは結構先進的な企業とかであるけど、
そうですね。
仮にそこまではなくてもこういうポリシーを公開するだけでもだいぶ違うかもね。
いや全然違うと思いますよ。
なのでちょっと参考にしていただいてもいいのかなというふうには思いますね。
で、そのVDPの保管、
保管というかそのBOD2001を保管する目的でCISAが立ち上げたプラットフォーム、
2021年立ち上げなので、
レポートも年次ではあるのでこれ2回目の公開になってですね、
昨年は2023年のちょっと前の8月に公開をされていたので、
今回2回目というところで、
内容的にも、なのでその前回からどれぐらい変わってるかみたいなのが、
割と書かれ方としては目立っているポイントではあったんですが、
ハイライトとしてはCISAは割とこういう書き方多いかなって感じはしなくもないんですけども、
顕著な成功を収めた。
言いたいなそれな。
このCISAのね、先ほど申し上げたプラットフォームは非常に大成功でしたと。
そういった振り返りから2023年入られていてですね、
いろんな数字が並んではいるんですけども、
参加している、そのプラットフォームに参加している組織としては、
51の機関がこのプログラムに参加をしておられて、
報告されている件数で見ていくとですね、結構多いんですね。
これは12,409件というのが提出はされていて、
実際に修正までたどり着いた件数っていう数字でいくと、
1,991件ということで、そこそこの数ですね。
内容的には、これはあの脆弱性の、
CVEの裁判されている脆弱性の種別とか見ていてもそういう傾向はあるんですけど、
一番多いのはやっぱりクロスサイトスクリプティングがかなり多いというところではあるんですが、
そういった内容というのがプラットフォームを通じて、
実際の機関との間で調整をなされたと、修正までされたというところではあってですね、
非常に増えたという形で報告をしておられてですね。
あ、でごめんなさい。ちょっと私、先ほどトータルの件数で言ってしまったんですけども、
2023年っていう視点で見ていくと、7,000件が、
12,000件のうち7,000件が提出されていて、
修正されたのが1,991件のうち、2023年は872件。
修正はちょっと減ったのかな、だから。
なので提出された数に対して、2023年は前年度で比べると少し減ったという状況ではあるのですが、
ここら辺のちょっと減った理由についてはあまり深くは考察されてはいなかったんですけども。
逆にそこを言ってほしいな。確かにね。顕著に言ってほしいな。
そうですね。報告が増える理由ってなんとなくわからなくもないんですけど、
先ほどね、バグバウンティーの話されておられましたけど、
やっぱりこういったところのプロセスに進むための支援っていうのもやっているというところであって、
先ほどのプラットフォームのオプションの機能としてあるそうなんですけども、
バグバウンティープログラムの脆弱性の開示に進んだサポートをした期間は2023年は2つあったということで、
実際に支払ったお金とかも書かれてはいるんですけども、
私は脆弱性の保証金界隈っていうのは詳しくないので金額の代償っていうのは何とも言えないんですけども、
支払った金額の総額という形で書かれていた数字は33万5000ドルという形で書かれてはいますね。
229件の脆弱性に対してなのかな。
そこそこの数に対して実際にバグバウンティーのプログラムの立ち上げなんかをサポートしつつ、
そういった形で支援をして、そんなトータルの金額が払われているというところがあって、
先ほど大成功って話が、プラットフォームは大成功だって話はしたんですけども、
そこに関してはやっぱりそのプログラムに参加している機関側の報告受けた内容の取り味の部分ですかね、
そこについては実際に報告受けた時にその点について機関側が苦労しているという話が書かれてはいるので、
バグバウンティプログラムの意義
そのプラットフォーム、CISAが立ち上げたVDPのプラットフォームを通じて、
この辺の修正にかかるトータルのコストっていう意味での潜在的な部分としては、
これも結構な金額なんで、推定445万ドルが節約されました、なんてことが書かれてはいまして、
クリティカルっていうことで判別されているのがトータルで書かれているものだと思うんですけども、
442件というのがクリティカルの判定になっているというところではあってですね、
ちょっとそのクリティカルっていうのが具体的にどこまでの影響を及ぼすものかっていうのは、
具体的な説明は書かれてないんですが、
深刻な形ということで取り上げされたものなんだろうなというふうには思いまして、
こういった形で成功と言って、CISAは成功とは言ってはいるんですけども、
こういった状況で取り組みっていうのがある意味、数字として可視化されているのは分かりやすいなというふうには思ったので、
この辺が真似できるというか参考になるところがあればやっていくといいのかなというふうには思いつつ、
ただこれやっぱり一組織でこれをちょっと頑張るっていうのはやっぱりちょっとさっきも言った通り、
体制とか時間とかリソースとかそういったところが課題になってきちゃうので、
やっぱりこの辺は公的な取り組みというか支援団っていうのが日本においても進むといいなっていうふうには。
入り口を一個にするみたいなことってこと?
そうですね。やっぱりいろんな人がいろんなように、もちろんいろんなやり方があってはいいと思うんですけども、
やっぱりちょっと入りのところが複雑すぎると報告が大変というか、
下手したら報告はちょっと手間だからやめちゃおうっていうふうに考え方が行ってしまう可能性もなくはないかなとは思うので、
この辺がシンプルになっていって、結果的にさっきその報告者の懸念みたいな話はしたんですけども、
そういったところも払拭された形でうまく調整がされていくといいなっていうふうには今回のレポートを読んでも改めて思ったところでした。
こういうのなかったら、なくても善意の人がさ、積極的に報告をしてくれることはあるかもしれないけど、
こういうプラットフォーム、プログラムがあるなしで、多分だいぶ違うと思うんで、
大成功かどうかはちょっとよくわかんないけど、ただプラットフォームがない状態に比べて多分明らかに報告件数は増えて、
その分脆弱性が見つかって修正される件数が増えたことは間違いない。
あとその報告する側もわかんないけどさ、これまで累積で一番報告の多かったリサーチャーの名前とか、
今年のトップ3の名前とかさ、書いているわけで、その報奨金をもらえるもらえないはともかくとして名誉っていうか、
あとはこういうところに公的な機関としてちゃんと認定されたっていうのは、
その仕事の上の実績としても結構いいんじゃないかなというふうに思ったりするので、
それはその報告する側にもメリットがあるんじゃないかなっていう気がするので、
これはそういう意味ではウィンウィンな取り組みとして非常に良いと思うし、
でもやっぱり単体組織とか民間政府機関とか単体でやるのはちょっとしんどい。
この辺がやっぱりCISAとか、他の国でこういう取り組みやってるのかってあんまり知らないけどさ、
さすがだなっていうかね、こういうのちゃんと政府の取り組みとしてCISAっていう取りまとめの官庁がちゃんと主導してやってるっていうところはやっぱり立派だよね。
そうですね、ちゃんとレポートという形でまとめてますし。
これ件数増えてる…増えてるがちょっと今年は減ったのかな?
でも結構数じゃないですか、1万2千件、2023年7千件でしたっけ?
はい、そうですね。
ってあるんですけど、これってあれなんですかね、重複はあんのかな?あんまないのかな?
どういうこと?重複って。
同じ脆弱性が報告されてるかってことですか?
そうそう。
別の人からってこと?
うん、そうそうそう。
それはないんじゃないの?最初に報告した人から1件なんじゃないの?
そうなのかな?DAS側からするとそれがもう既に報告されてるかどうかって分かるんかなと思って、このプラットフォームだと。
あー、報告したら分かるんじゃない?
報告する本人が分かるんかな?事前に分かるんかな?分かれへんのかな?
多分分かんないですよね。
事前には分かんないでしょ。報告したらそれはもう報告済みですって分かるんじゃないの?
その辺の法律の部分と、あとはいっぱい来たら来たら受けてる人たちを捌くのも結構大変なんかなっていうところに陥ってしまわないかなっていう不安はちょっとあるなっていうところでした。
これはどれくらい率を押し掛けてやってんだろうね。
分かんないですよね。
そうですね。脆弱性の届出とかっていろんな国でやられてますけど、重要度とかも考えて、本来分けてこっちを優先するとかもしなあかんのかなと思うんですけど、
それができずに順番になっていくっていうふうになるとちょっといびつな結果を生んでしまうかもしれないというのはちょっと懸念としてありましたね。
でも取り組みとしてはすごくこういうふうに窓口みたいなのがあったりするのがあるといいなと思いました。
そうですね。
ありがとうございます。
はい。
じゃあ次、ネギスさんいきましょう。
今週はですね、脆弱性の話をしようと思ってるんですけど、実はちょっと脆弱性の話のフリをして、先週に続いてディードス攻撃の話を。
DDoSを実現するための条件
隠れミノにして。
それ言わないほうがよかったね。
いやいやいいですよ。
最初にバラしちゃうけど、何の脆弱性の話かというと、これ先週かな9月の26日にLinuxとかUNIXなんかで広く使われている印刷のシステムでC-UPSっていうのがあるんだけど、
CUPSっていう人もいるのかなちょっとわかんないけど、僕はC-UPSと呼びますけど、ここで4つ脆弱性が見つかって、
その4つの脆弱性を上手いこと組み合わせるとリモートコード実行ができますよっていう、インパクトのある話が出たんですよね。
これ自体も発見者の人がベンダーとの調整で上手くいかなくて、
あとなぜかアメリカのSTARTコーディネーションセンターに発見者が報告したレポートの内容がブリーチフォーラムにリークされちゃったりだとかして、
正式公開前に情報がリークされて、とんでもない下手くそだみたいな変な情報だけが一人歩きしちゃって、
蓋を開けてみたらそこまででもなかったみたいな、そういうドタバタ劇があったんですよね。
これはちょっと今日の本筋じゃないんで、詳しく知りたい人は発見者の人のブログを後で見てもらえばいいと思うんだけど、
今日話したいのは、今週赤前が記事を出してたんだけど、実はこの脆弱性、DDoSに使えるんじゃね?っていう記事を書いてて、
個人的には僕はそっちの方が面白いんで、そっちを紹介しますけども、
そもそも元々のCUPSの脆弱性っていうのは、ざっくりどんな感じだったかっていうと、
CUPSって631番のUDPポートでリスンしてるんだけど、そこに攻撃者が採掘したUDPのパケットを送って、
そうすると、その中に攻撃者が指定したアドレスに対して脆弱性のあるCUPSのサーバーがアクセスをしてファイルを取得するようなことができると。
そこで攻撃側があらかじめ採掘したファイルを置いておいて、それを取ってこさせて、最終的にはその以外の脆弱性もトリガーにして、
エコード実行まで至るっていう、ざっくり簡単に言うとそういうフローなんだけど、赤前が言ってるのは、最初の部分だけ使って、
攻撃側が自分たちのサーバーに誘導するんじゃなくて、攻撃したいターゲットのアドレスを指定したらどうなるの?っていう風に。
一斉に取りに行くようなことをやらせるってことですね。
そうすると、いわゆる踏み台を使ったリフレクション攻撃みたいになるんじゃないかっていう、こういうアイデアなわけね。
で、実際今回のその脆弱性を使うと、UDPのパケットを1個送ると、それに対してそこで示されているアドレスにアクセスに行こうとするんだけど、
TCPで指定されたサーバーにアクセスに行って、リクエストを2つ投げるっていう動作をするわけ。
なので、これがひょっとしたらDDoSに使えるかもしれないなっていう、そういうことなのね。
ただし、DDoS攻撃に使えるためには、僕が思うに大きく条件としては2つ必要で、まず1つは踏み台となるサーバーがたくさんあるってことね。
これは当たり前だよね。サーバーが1台2台しかなかったらDDoSにならないから。まず踏めるやつがいっぱいいるのって話よね。
これに関しては、もともと脆弱性を見つけた人もインターネット上スキャンして、どうもこの631のUDPでスキャンをすると応答返すやつが20万台ぐらい居そうだということは言って。
だったらこれが全部が脆弱ってわけじゃないんだよ。だけどそれぐらいは潜在的に居そうだなっていうことは分かっていて。
今回赤前が自分たちがこれDDoSで使えるんじゃないって言ったんで、めっちゃ検証してスキャンしてみたところ、
確かにUDPのパケットに対してTCPで応答が返ってくるやつっていうのが、20万台全部じゃなかったんだけども、そのうち全体の約34%だから3分の1くらいかな。
5万8千台以上が応答返しますと。これをDDoSに使おうと思った場合のインフラとしては結構イケてるなって感じだよね。
十分ですね。
こんだけあれば十分だよね。だから条件の1番目はOKでしょうと。
2番目の条件としてはもう一個大事な増幅効果ってやつで、これよくUDPだとUDPのアンプ攻撃なんていう言い方をよくするけども、
例えばDNSとかあとNTPとかかな、そのUDPのリクエストのパケットのサイズに対してその踏み台から返ってくるレスポンスのサイズが10倍とか20倍とかすごく大きなサイズになりますと。
そうするとそれをDDoS攻撃に使った場合にはすごく通信量が多くなるので影響が大きくなるよねっていうそういうことね。
なのでこういう増幅効果って何倍か何十倍かとか一番多いやつだったのはMemcachedとか一番倍くらいのやつだったかな。
そうですね。
無限増幅のリスク
ちょっとあれは懐かしいよねもはやね。
あれはちょっと例外だけども、それが何倍かっていうのは結構大きなファクターなわけね。
じゃあ今回のやつはどうなんですかっていうのも一番赤前さんが調べてみましたということで。
送る最初のUDPのパケットのサイズも一応その贅沢性を利用できるかできないかで一応制約があって一番小さいサイズだと30バイトぐらい。
で一番大きく詰め詰めに詰め込んだとしても1028バイトまでは行きましたと言ってるのが大体およそ1キロバイトだよね。
この場合に増幅効果としてさっき言ったけどもUDPのパケット1個送るとTCPでリクエストが来て2回リクエストが来るって話なんでそのトータルでデータサイズがどれくらいですかっていうのを調べてみましたと。
そうすると一番小さいサイズの30バイトのデータを送った時には400バイト返ってきますと。
だからまあ10倍ちょっとだよね。
で一番サイズが大きい1028バイト約1キロバイトを送るとどうなるかっていうと約2400バイト返ってきましたと。
こっちは2倍ぐらい。増幅効果としてはそこまでサイズが大きいけど倍率としてはあまり大きくならないっていうそういう結果になりましたと。
そしたら単純計算で小さい時は400バイトのレスポンスに対して大きい時は2400バイトだから大体6倍ぐらいのサイズになってるから増幅率が下がったとしても絶対量としては大きいのでその部分は馬鹿にならないなって感じね。
で話はここで終わらなくてこれだけでも増幅率は数倍2倍から10倍だからまあまあ使えそうになったって感触だけど。
加えてなんか中にはねその今回その58000台を実際にヤカマイさんがいろいろ調べてみたらそのターゲットとなる、実際にはこれ自分たちのアドレスに対してテストしたらしいんだけど
ターゲットのアドレスからのレスポンスが例えば404のノットファウンドとかでそのファイルはありませんっていう音を返すと
その踏み台のCUPSサーバー側が何回も何回もリクエストずっと無限に送ってくるやつがある。ループになるんですね。
無限増幅っていうかリクエスト一発なかったらもうひたすらずっとレスポンスが返ってくるっていうかそういうやつがあるんだって。これが何か数百台ぐらいあるらしいよね。
DDoS攻撃の脅威
これも考慮に入れるとだからその無限のやつってのは増幅率無限大だからさどうやって減らすかわからないから実際はどっか飛ばるんだろうけどそれも考慮するともっともっと大きくなりますと。
これはちょっと特殊なやつだけども58000台のうち全体で見てもおよそ6割くらいは最低でも10回ぐらい再送するんだって。
なんでこんなに再送するのかよくわかんないけど実装に多分依存するんだろうね。そういう元々の問題っぽいですね。
だからCUPSの古いバージョンとか結構いっぱい使われてるから多分そういう実装依存で何回もエラーで再送するやつとか1回しか送らないやつとか色々あるらしくて平均するとさっきの無限の増幅のやつも含めて全体平均すると58000台の平均で1台あたり45回再送するっていう計算に理論上なるんだって。
理論上ね。さっきの無限のやつがだいぶ平均値を押し上げてる気がするんだけど。
なのでざっくり理論値として理想的な状態で攻撃したら45倍になるわけよ単純にね。
そうするとさっきの増幅率でさらに45倍になるわけ。
でトータルで計算するとどうなるかっていうと最初の30倍との小さいサイズの場合には倍率が600倍になって帰ってくると。
なんかどんどん話が変わってきたな。
で1028倍とか1キロバイトの大きいサイズ送った場合でも約100倍のレスポンスになって帰ってくると。
だからかなりの増幅率だなって感じなのね。
もちろんこれはあくまでも理論値なんで実際にはもうちょっと下がると思うんだけどね。
だけどもしかしたらこれくらいいくかもしれないと。
なんで例えば単純計算で今のサイズが大きいやつで考えてみるとリクエストが1キロバイトでそのレスポンスが100倍でしょ。
単純に100Kだとすると100Kで仮にさっきの5万台のうち1万台ぐらいの踏み台を使って攻撃をすると単純計算でそれだけで1ギガバイトになっちゃうんだよね。
だからこれが単発で1ギガバイトだから単位時間あたりどれくらいできるかわからないけどもそこそこの攻撃努力がありそうだなっていう見積もりとしてはね。
になるのであれこれ意外と脅威じゃないっていう感じに理論的にはなりますねということで。
実際にはこういう話が出てこれ使えるじゃんって例えばDDoSの代行サービスみたいなやつがスキャンをして踏み台になるやつを探して
それをアドレスリストにして自分たちでインフラに組み込んで攻撃に使ってみるみたいなことがもし起きればまた話が違ってきて現実の脅威として
それは認識する必要があるんだけど今のところはまだこれは理論上の話でまだこれを使ったDDoSがありましたっていう話ではないですよと。
だけどもしかしたらこれは比較的早めに攻撃手法も簡単なので意外と早めに観測するかもしれないね。
現実のものとして実際の攻撃で来るってことですね。
CUPSとサーバーの現状
近いうちに来るかもしれないわからないけどそういう感じで真ん中なんか知らないけどまた新しい攻撃手法が見えちゃったなっていう感じ。
ただし他のUDPのリフレクションなんかも結構そうだけどそもそもUDPのリフレクションの場合にはUDPのレスポンスが返ってくるから
そもそもそんなにUDPの変なレスポンスの通信なんて普通のサーバーは必要ないはずだからブロックすることもできるし
今回のやつはTCPのリクエストが来るんだけど送られてくるリクエストの中身は割と特徴的なパターンになってて
あとは送信部とかCUPSのサーバーなので、例えばユーザーエージェントだったりとか
いかにもCUPSって感じの特徴的なある分裂が入っているので
例えばWAFかなんかでそういうのをあらかじめブロックするとかいう設定をしておけば
防ぐのは比較的簡単にできますよっていう感じではあるんだけど
ただこれは来ることが分かっていて事前に想定してた場合なので
いきなり来たらそんなに簡単に防げないのではっていう感じはする
知らんところに来たら対処に間こつくかもしれないですね
なんか普通にTCPでコネクションを張ってきてポストリクエスト送ってくるっていう感じだと
一般のアクセスとパッと耳開きがつかないのでそのまま受け取っちゃうとまずいんじゃないっていう感じはするね
なんか備えが必要かもしれない
なんかそんな感じでちょっとコード実行の方だけに目が向いてたけど
確かに踏み台として使えばDDoSに使えるなっていうのはちょっと面白いアイデアだなと思って
しかしこれそんなそもそもこのサービスが外部に空いとることの方も気になったな
本当そうなのよ
こんな空いてんの?
そうなのよ先週この話があった時にいやいやだってこれ印刷サーバーだよだって
そうですよ印刷
インターネットで晒す必要なくない?
ない
なんで空いてるの?
そうなんでこんな20万台も30万台も空いてるわけ?わからないよね
空いてるのがけしからんというよりもどうやったらこうなるっていうことの方が僕はなんかノウハウとして気になる
本当だよだったらね多分だけどLinuxなりUnixのサーバーで最初からこれが入っていて
いわゆるその000のアドレスどのインターフェースからでもリスニングしますみたいな感じになってるのが多分デフォルトの状態っていう
多分古いOSほどそういう感じになってるんだよね
まあそうですよね
でそれをそのままインターネットに繋いじゃっていてファイアーボロも何もないっていう多分そういう感じだよねきっとね
さすがに上流に何かおったらこんなのはならないですよね多分自家繋ぎですよね
ちょっと俺ちゃんと調べてないんで適当なこと言って間違ってたら申し訳ないけど
そういう特定の用途で使われる機器にこういうのが入っていて数を押し上げてるのかもしれないけどね
それもありそうですね
なんか本来は必要ないけどそれこそIoT機器系とかさわからないけどLinuxベースの結構台数が多いやつとかで
なぜかこのデーモンが上がっててみたいなやつっていうのはありえなくはないっちゃありえなくはないけど
俺もちょっとここまで多いとは想像してなかったよね
サーバー系として使ってるというよりはさっき言ってたIoTみたいなでもインターネット自家繋ぎ前提のものがこうなってるものが多いかもしれないってことね
そうそう必要ないのにサービスとして上がっちゃってますよみたいなのがあるのかもしれないけどね分かんないけど
だって普通に考えたら必要ないもんね
いやしそもそもこのサービス自体がもうなくなっても大丈夫だぐらいレガシーなイメージなんですけど
まあ昔からだいぶ使えてるからね
使ってる人今もおんのか
おるんでしょうけど
いるでしょうよそれは
いるか
それはいると思うよ
別のもんにしてくれって思う
インターネット上で使う必要はないよね
ないないない
たぶんね
そうですねそこは
ただねでもそれを言ったらこの程度そのリフレクションの攻撃で踏み台になっちゃうサービスってほとんどがみんなそういうやつばっかり
確かに
SNMPとかもそうですよね
そうそうなんでこんなインターネットで空いてんのっていう
今そのカップスでしたっけ
そうそうなくなったらええのにって思ったけどよくリードスの代行サービス
ストレッサーとかブーターいわれるやつに出てくるやつで最もこれいらんやろって思うやつ
キャラクタージェネレーター
そうねキャラジェネ
エコーとかでしょ
エコーもいらん
そうそうそれいらんいらん
キャラクタージェネレーター一番えげつないと思いますよ
ブワー返してくるじゃないですか文字で
そうそうそうそう
あれいらんあんなのこの世界がなくなってもいいと思ってますから
そうそうそうだよねでもあの辺数は減ってはいるけど
ただその減り方っていうのはじわじわ減ってはいるけどたぶんその何
意図的に減らそうと思ってるっていうよりは単純にそのサーバーが止まったとかさ
そういう自然源っていう感じで減ってる感じなんだよね
もうその置き換わっていっただけっていう
そうそうそう単純にね
いまだにそういう古いレガシーなやつが残ってるっていうかね
ベライゾンのDBIRレポート
そういう状況だからさなんかまあいたしかたないって言えないけど
そうですね
まあそんなに不思議ではないけどね
難しいなこれしかも使ってる側は絶対わかってへんわけやし
いやそうだよね
しかもたいして困ってへんしねこの踏まれてる側っていうのは
そうなのよそれが問題だよね
今回の場合どうなるかわからないけど踏み台の側も結構負荷がかかるかもしれないんでわからないけど
ずっとループなんかした日にはそうかもしれない
だけどそれこそねサービスが落ちて影響がなんか出なきゃ気づかないよねきっとね
そうですね
それが厄介なのは踏み台のなる側はあんまり直接的には影響がないっていうのが問題かもしれないんだけどね
自覚症状もあんまなさそうなのも多いですしね
ちょっとそんな状況でしたっていう
なんかちょっと新しい切り口というかそういう見方あんのかっていうのはね興味深かったですね
ちなみに20万台はもちろん世界中だとは思うんですけど日本もやっぱりある
まあそこそこいるんじゃない
こういうのってあんまり国におる方より結構あるやつもあるもんな
製品とかが絡むとそうかもしれない
特定の国でよく使われてる製品とかねそういうのあるけど
こんなネガシーというかなんでそんなことなってんねみたいなやつに迷惑をかけられた日にはもう
能動的に無害化したのかという気持ちになる
もうちょっとわかるなっていう気もしましたこういうの見て今聞いてて
なんとかしたいけどねこういうのね
ありがとうございます
じゃあ最後は僕からなんですけれども
今日僕紹介するのは春過ぎぐらいに多分英語版のやつが出てた
5月ぐらいかなベライゾンのDBIRっていう
毎年出てるやつですね
データ漏洩侵害調査報告書って言われる日本語にするとね
言うてるやつが出てて多分夏ぐらいに日本語が出てたのかな
出てたことはねぎさんから話したりとかして知ってたわけなんですけれども
たまたま記事で紹介されてるのが最近あって
読んでないちゃんと読んでなかったと思って読んでみたっていう
そういうことあるよね俺もよくあるよ
優先順位があるんでねやっぱり
読むの忘れてたみたいな
つんどくのデジタル版みたいなことするじゃないですか
よくありますよ
そうなんですよ
ちなみにこのレポートはサインアップとかしなくても読めるっていう
良心仕様になってます
これはベライゾンが得た情報から
攻撃者がどんないるんだとか攻撃者の手口とか
攻撃のこととかターゲットですね
どんな業種がこんな業種はこうでしたとか
特化した17回目らしいですねレポート
そうだよねだいぶ新世代だよこれ
だからセキュリティレポート会の中ではかなり重鎮になるんじゃないかな
そうですね
ちなみに今回こういう数重ねてるからなのか
このベライゾンっていう会社がそうなのかわからないですけど
表紙がちょっとおしゃれでしたね今回ね
ドアの扉が隙間から光が差し込んでる絵なんですけど
その情報いる?
いるこれ結構大事
その内容は自分で見ていただければいいかなと思うんですけど
おしゃれな表紙でしたというところがありまして
コロナレポートって毎年11月の1日から10月の31日っていう範囲になってるんで
今回は22年の11月1日から
2023年の10月31日が対象範囲になってて
国に関しては94カ国
セキュリティインシデントの件数に関しては
3458件のインシデントを分析した結果というのを
90何ページにわたって書いてくれてるかなりボリューミーな
そうなんだよね
新入経路の分析
読み応えのあるというか途中で疲れるというかね
そんなレポートになっているわけなんですけども
その中で僕は気になったところとか
自分の関心事の部分とかをつまみながらお話をしていこうかなと思うんですけど
新入経路の分析ってのはここはもう本当に外せないポイントなんですけど
僕としても
6963件のうち何々が何パーセントでしたみたいなグラフが書かれてて
やっぱり認証情報が一番多いんですよね
40パーセント
ネギスさんが紹介してたレポート
RVA
略称いっぱい考えて何が何かわかんない
RVA
いわゆる有効なアカウントみたいな
バリットアカウントね
これも40パーセント弱ぐらいなんですけど
ただちょっと下がってきてるんですよね
40とは多いとはボリュームゾーンとはいえ
それに引き続くのはフィッシングで
これ15パーセントぐらいなんですけど
ほぼ横ばいになってるんです
脆弱性の悪用っていうのが
2023年から比べるとかなり増えていて
パイ自体は15パーセントではあるんですけども
ほぼ3倍
前年比較ほぼ3倍の180パーセントですか
ぐらいになってるという風なもので
ここはちょっと気になるポイントやなっていう風に紹介されていました
ただ単に悪用できる脆弱性は
この世の中で増えたっていう風なことではなくて
このインシデントの数の中では
ムービットトランスファーのゼロで
だった脆弱性あるじゃないですか
クロップとかが使わせたやつね
2023-34-362っていうやつが
かなり広く使われたっていうのが
これを押し上げている要因になってるっていう風に書いてました
結構件数多かったもんねやられたところで
実際の件数はCISAが8000件以上みたいな
帰ってきてからの悟空の戦闘力ぐらいの量みたいな感じの
その名前いらないよね
そうですよね
ちょいちょい入れてしまう
ごめんなさい言ってしまうんですけど
結構件数実際の事故の件数は多いなということですけど
僕が見ている範囲だと
先ほどクロップのリーク数っていう風なので見ると
2023年6月7月この2ヶ月で
ほぼこのムービットトランスファーの脆弱性と思われるものでの
リークがあったんですけど
当時のロックビットのリーク件数を2ヶ月連続で抜くっていう
そうかそうかそうなったね
そうなんですよね
かなり大きな数リークがあったってことは
被害数もかなり大きいんだろうってことが考えられるなっていう風なものが
この脆弱性の割合を押し上げた原因ですという風なことが書かれてありました
逆にそれ以外はそんなに変わってないっていう
なるほど
ところなんですよね
サプライチェーンと脆弱性管理
侵入の経路に関してはこんな感じで
あとは漏洩とか侵害が起きたときに
何が関与しているかっていう風なことを紹介しているものがあって
人的要素だとかランサムまたは脅迫が関係するとか
ヒューマンエラーみたいな
エラーが何々がありますみたいな
いろんな項目があるんですけど
一番多かったのはやっぱ人的要素っていうものが
相変わらずずっと8割とか7割8割ぐらいを横ばいで
進んでてこれが一番多いというところでしたね
文章の中にも人間だものみたいなこと書いてありましたけれども
まさにそうかなっていう感じはしましたね
結構設定ミスとかいろいろな作業ミスとか
そういうのは繋がりかからないもんね
そうですね
やっぱなんかこう我々もよく言いますけど
いろんなレポートを見ているときに脆弱性がどうだとか気にするけども
やっぱりこういう昔からあるものが根強く残ってるっていうのは
見落としがちになる分
意識しなあかんなっていうのは思いましたね
今回から集計の仕方が変わったところっていうのがあって
そこ僕も結構見てて気になったんですけども
サードパーティーが関与する侵害っていう風なものがあって
こういうものがこのベライゾン自身も
ちょっとこれの概念自体を広げて考えないといけないんじゃないかみたいな
ことから集計の仕方を変えましたみたいなものがあってですね
パートナー企業パートナー組織のインフラが影響を受ける場合とか
直接的にもそうですし間接的にソフトウェアにおけるサプライチェーン問題みたいなものも
結構顕著に出てきているかなと
はいはいなるほど
例えば3CXみたいな例とかね
アップデート例入ってきちゃうとか
そうそうそうそうそう
そういうの他にもいろいろあると
ソーラーウィンズとかもそうですよね
あったと思うんですけど
そういうようなものも視野に入れていかないといけないということで
集計の仕方が変わったのでちょっとパーセンテージが増えて
前年比68%増ということで
なるほど
15%に達したということで増えているんですね
ただカウントの仕方を変えて
あれもこれもちょっと入れるとこうってなってるから
増えてるっていうのもあるのかなっていう気はするんですけれども
確かに僕もいろいろ見てるとサプライチェーンって呼べそうなもの
いろんなものもハードウェア関係するようなものもねあったりしますけれども
これちょっと注目していきたいなっていうのを以前から思ってて
最近ねほら看護さんもよく言ってた
続くなーみたいなのをおっしゃってましたけど伊勢東田とかね
総合会計事務所とか
最近は物理で影響あったものやと貫通でしたっけ
出荷が遅れちゃいましたみたいな
あれもねITインフラがやられた結果物理に影響するみたいな
いわゆるサプライチェーンとサプライチェーンじゃないですか
あの辺ちょっと気になってたんで
これそういうところの見方もしとかなあかんねえなっていうのがあったんで
ということでこのサプライチェーンのところは
集計の仕方が変わったっていうのは大きなポイントかなと思いました
脆弱性の悪用とその影響
これちょっとね僕も本当は気にしてるんでね
喋る宛もないのに資料作ろうかなみたいなぐらい気になってますね
まあでもだいたいそういうのってさ
準備しとくとどっかで喋る機会が絶対来る
そうそうそうそう
でも気をつけなあかんのはね
作ったからどっかで喋りたい気持ちになるっていうのはちょっと避けなあかんなっていうのはありますね
いやいいんじゃない?別に
いいんですかね
大事なことだからまとめてるわけで
ぜひどっかで発表の機会を作ろうってなるのは別に悪くないんじゃないですか
分かりましたじゃあ11月か12月ぐらいどっかで喋ろうかな
まあそんな感じでちょっと気にしてますっていうところですね
であと一個ですね気になったところが脆弱性の悪用に関する話ですね
やっぱ人の話大事と言いつつもやっぱここはどうしても気になるということで
KEVに登録されている脆弱性がパッチ公開されてから適用されるまでがどんだけの期間かっていうのをグラフに出してくれてるんですよね
でこれはなんかそのKEVの脆弱性生存分析っていうのが名前ついてましたけれども
まあこれただKEVに載っているものっていう縛りなんで
KEVって掲載前にパッチが出てるものもあるじゃないですか
遡ってねあの例えば最近でも2010何年のやつとかが載ったりするから
ちょっとその辺はこう掲載までに実際のパッチが出てから1年以上開くようなケースもあるので
ちょっと見方は気をつけないといけないかなっていう気はするんですけど
この中で見ていくとねパッチが出てから30日経って修正されてない割合というのが85%修正されてないんですって
で55日これ55日の切り口ってのは多分半分になってるかと思うんですけど
50%になればね55日ぐらいかかってるんですね
でグイグイっといって365日まで見ると
365日経っても8%はやっぱ治ってないっていう風なものでした
でこのレポートの集計期間のところの間のKEVの出てる数を見てみたんですよ
2022年と2023年のものに絞ったらですね
177件この期間にリリースでてて
22年23年絞ると130件あったので
さっきの85%の1年単位で見ると110件ぐらいはやっぱり修正されないっていう風な計算になるかなっていうところですね
でこれその30日経って85%修正されてないっていうのは多いと感じるか少ないと感じるか
これ人それぞれかと思うんですけど
このレポートの注意書きの中にはですね
この統計の対象組織っていうのは少なくとも脆弱性管理ベンダーを雇うだけのリソースのある企業であることは忘れるなと書いてましたね
なのでもうちょっと広げてみると世界で見るともっともっとひどい結果なんじゃなかろうかみたいなことを匂わすようなことが書かれてありましたね
ただまあこのパッチがその出てから当てるまでっていう指標ももちろん大事かなとは僕は思うんですけど
冒頭でも言ったようにこの登録されるのとパッチが出るのって前後するから
なんか測りにくいなっていう風には感じましたこのグラフは
どっちかというと以前ネギスさんでしたっけ紹介されてたアナリシスオブタイムトゥエクスプレートトレンズっていうレポート紹介してましたよねマンディアントのやつね
あれだったら悪用っていう風なものがあって悪用された前どんな結果があったかの指標があるんで
あっちの方がなんかちょっと扱いやすいかなって気はしましたね
あれだとその1ヶ月以内に悪用されたやつっていうのはND93件のうち29件なので3割ぐらいっていう風なものがあったんで
あのレポートも確か去年今頃出てたと思うんですよね9月の末ぐらいに
2021、2022ってやつがだから多分これも今年のやつそろそろ出るからこれが出たら見比べてみてもおもろいかなっていう
確かにね
ちょっと楽しみやなこのレポートが出るのこっち側のも楽しみかなっていう風に思いながら読んでいました
このレポートではですね脆弱性の対処っていうのはこんだけやっぱこう時間がかかる
なのでスキャンしてても間に合わんみたいなことが書いてあってですね
ほなどないすんねみたいなことを書いてるんかなと思って見たらめちゃめちゃ辛辣なことが書いてあって
どっかで聞いたことあるなーっていうことが書いてあったんですけれども
企業は採用したソフトウェアベンダーに自社製品のセキュリティの結果について責任を負わせるべきですみたいな
これなんかどっかの長官が言ってましたよね
看護さんが紹介してたから
いやそれはそうやねんけど
いやそれ言うても治れへんもんしゃーないんちゃうみたいな感じだけど
こういう風な結論になってしまうのかなっていうのは
なんか気持ちはわからんでもないなとは思いつつも
ただやっぱりさっきのネギスさんのDDoSの話じゃないですけど
必要なレポートもまだまだ空いてるじゃないですか
使ってないアカウントがまだまだ残ってたりするものもあるんで
まだまだ見直しの余地があるんじゃないかなとか
パッチ適用するまでの猶予を得られるような無駄な設定が行われていないかの見直しとかね
そういったものにちょっともうちょっと僕はフォーカスを当てて
これからも話していきたいなーなんていうことはこのレポートを読んでて思いましたね
なるほどね
さっきの長官の話とか今回の話じゃないけどさ
確かに今KVだやれKVだというか脆弱性管理のサービス側とかさ
盛んにいろいろやっててある意味大盛況だけど
僕らも結構そういうのが大事とかってセミナーで喋ったりしてるけどさ
ぶっちゃけああいうのでセキュリティベンダーは潤うかもしれないけど
企業のセキュリティ課題
企業とか対応する側は疲弊するばっかりでさ
脆弱性の件数は増えるうなぎ登りで増えていく一方だし
正直やってらんないよねこんなのね
だからそもそも提供するベンダーがセキュアに作るべきっていう話は本当最もで
そうでもしないとそれを各企業とかの責任でやらせるっていうのが土台間違ってると言われてれば間違ってるんだろうな
不健全な状態が続いている感じはしなくはないですよね
ちゃんとできるところは一握りじゃない
それは言ったら言い過ぎかもしれないけど
そんなリソースもないとか一人上出でやってるような規模のところだったらさ
こんな無理じゃん
あれもこれもねしかもどんどん新しいものでできてね
だからさっきのサプライチェーンじゃないけど業務委託先に丸投げしちゃって
被害をこう持っちゃったりとかするわけじゃない
自分たちではどうしようもないからもう任せとこう専門家で任せとこうって言ったら
その専門家がやらかしちゃうみたいなさ
そんな感じなわけじゃないようするに言ってみればさ
そうですね
でねそこに業務委託してる会社が全部の沖縄みんな影響を受けちゃうみたいなさ
本末全通なことになってるわけじゃない
本来であればその任されたところがセキュアにしておけばみんな守れてるわけなのに
逆のことが起きてるわけじゃん
厳しいことを言えばそういうことでるわけでしょ
そういう状況はだからもうそもそもやってる前提が無理なんだよな
業務委託の影響
いわゆるデスマーチみたいなところというかね
あらかじめ負けることが分かってる戦いをやらされてるような感じはなんとなくあるよね
ゲームの設定自体を変えないと勝てないよねっていう感覚はない?
そういう感じはする
確かに確かに
いろいろ話していってもこういうことを大事ですとかみんながこういうのを意識しなければとか
ほらよくセキュリティは専門家だけでなくみんなでやるものみたいなことを言うわけだけど
無理なこと言ってるよね無茶だよね
確かに確かにそうですね
まして中傷とかになってくるとそもそもなんもできへんみたいなところもあるっちゃあるんで
どうしようもないっていうのはやっぱりインターネット使わざるを得へん世界になったっていうところもあるんでしょうね
急に大海原に放り出されたじゃないですけど
そういう環境の急激な変化に対応できることできないと差が広がっちゃったっていう面もある
本気で保護するってなったら根本から変えるような施策を打たないと無理かなと思うときも僕もありますね
ちょっとリード数の話じゃないけど対象両方じゃなくて根本がみたいな話とパン本質的なにててさ
例えば僕が結構専門でやってる iot とかの危機だったらそもそもセキュアじゃない製品が売れないように厳しくしてきてるわけじゃない
こういうルールにのっとってない製品は売っちゃいかみたいなことを言ってきてるってまあそういうのは多分そういうことだよね
あとまあその民間でもねその製品を常に自動的に最新の状態にするようにっていう仕組みを入れることで
消費者にはそういう負担をさせないみたいなさ
全体的にはそういう方向だよね多分ね
今後の対策と提案
そう考えてみるとやっぱりあれだなそのCI制の調査が良いということは正しいのかもしれないな
確かに根本的なっていう意味ですからね
本当に悪いのはお前らだみたいな
言われてもどうしようもなれへん問題もありつつも
まだ僕はちょっとねあがきたいなっていうところもありますけどね
こういうレポートはそういう現状を改めて認識するのには必要っていうかね
まだまだそういう根本の対処にまでは至ってないなっていうところだから
仕方ないけどちょっと無理ゲーだけど頑張るしかないかっていうね
あがくしかないかっていう
そうそう現状を知るっていうことも大事やし
答えがないって分かってても答えがないことに悩んでるってことは
知っとかんとあかんかなって思う
悩み続けなあかんことっていうのもあるんやなっていうのは
こういうレポートを読むと毎回どっかのポイントで思うことは多いですね
そうですね
まあ頑張りましょうということでございます
そうですね前向きに行きましょう
前向きに行っていこうということですね
はいそんな感じでございますありがとうございます
はいということで今日もセキュリティのお話を3つしてきたんですけれども
今日は最後におすすめをまた紹介しますよ
今日はですねちょっとおつまみ系です
ちょいちょいあるよねおつまみ系ね
そうそう僕は子供の頃からお酒を飲めない年の時から
おつまみ系がずっと好きなんですよもともとこういう味の濃いやつがね
でこれねあれを聞いてますっていう人におすすめいただきまして
たまたましかも僕の所属組織の方なんですけど
出張は普段東京にいらっしゃらない方なんですよね
その人がこっちに来られた時にちょっと僕と打ち合わせがあって
初めてお会いしたんですけど顔を合わせたのは初めてなんですけど
その時にこれよかったらおいしいんで食べて
おいしかったらあれで紹介してくださいよ
実はあれ勢なんですって言われて
いただいて食べたらおいしかったので今日紹介してるんですけど
株式会社千里東っていう会社のやつなんですけど
名前がですねうずたまらんっていう名前の
これうずたまらんだけ言うからわからんのですけど
これもともとここの会社の主力製品っていうのがあるんですよ
それの派生製品やからちょっと名前がピンとこんのやと思うんですけど
卵ってこと?
そうそうそうそう
元々の主力製品っていう名前がもうたまらんっていう
ダジャレじゃねえかよ
そうなっていくんですよ多分こういうのは
好きですよね
もうたまらんとかうずたまらんとか
なんか前レタスとかそういう紹介してましたよね
前なんだっけあったよね
前にもあったよねそういうのね
おいしい名の名がなっぱの名になってるみたいなやつ
それのうずらバージョンなんですよ
なるほどうずたまらんね
もうたまらんの味付けのやつをうずらでやりましたっていうバージョン
なるほどなるほどようやく合点がいきました
なんとなく見えてきました
見えてきましたね
それの2つ味があって
粗挽きガーリック味とハバネロ入り唐辛子味っていうやつがあって
パックに入ってて180日ぐらい保存が効きますみたいなやつなんです
両方本当にピリッとする感じのやつで
お酒飲む人でも飲まへん人でもちょっとおやつにみたいなんで
味のしっかりしたやつ食べたい時にめっちゃええんちゃうかなと思って
多分僕は食べてないですけどさっき言った
もうたまらんの方はでかいんですよやっぱ卵が
まあまあそりゃそうだろうな
そうですよね
ちょっと食べるにはなっていう感じがするんで
つまむにはこっちの方が向いてるかなと思って
食べてめちゃめちゃ美味しかったので紹介しました
通販もねやってますね
5袋ずつセットで10袋で2200円
そんなめちゃめちゃ高いって感じではないかな
これ基本webで全部買えるんですけどむちゃくちゃ種類あるんですよ
全部たまらんシリーズ
全部たまらんシリーズですね
なんかねでもねちょっと名前が変化してるのもあるんですよ
あのねもうたまらんっていうのもあったり
一度食べたらもうたまらんもあるんですよ
同じじゃねえかよ
結局いろいろやってきた結果
ちっちゃいのもあってもええんちゃうかっていう中で
うずたまらんで無理が出たんですよネーミングにね
うずたまらんって全く意味わからないですよ
最初僕もそれだけ渡されたから何やこれって思って
調べて初めて気づいたんですよ
もうたまらんの方がわかりやすいよな
わかりやすいわかりやすい
ちなみにもうたまらんのらんは卵っていう字ですかね
わかりますよそれぐらい
ここまで言っててわかってなかったらやばいなと思って
もしよかったら興味ある方はね
どっかアンテナショップとかで売ってるかもしれないですけど
そうなんだなるほどね
興味ある方は通販していただいてもいいんじゃないかな
というふうに思いました
ありがとうございます
あれでしたっけ
次回はお休みなんでしたっけ
湯沢だからね直後だからね
お休みですね
湯沢は流石に公開収録じゃないですか
むしろ非公開の場です
なるほどなるほどそうでしたか失礼しました
だからちょっとその次の週も
そうだね間がちょっと空くかもしれないね
そうそうだから2週間ちょっと空いちゃうんで
どうせ間空いてもなんかやってるでしょ君らは
なんかやってる
そうそうそうそう
君らはなんかやってるでしょいつも
やっぱりそういう
そう考えたらあれですよね
よくできた名前だと思いません
何が
そんな空いたところにスペースってことでしょ
そうだね上手く埋めていく
そうそうそうそう
多分私とカンゴさんがなんか雑談をする
ちょっともしかしたらポッドキャストの配信は
1,2週間かかるかもしれませんね
そうですね2週間空いてスペースどっかでやる
でやる時はちょっとできれば告知とかを
Xの方でするんで
よかったらお時間おかたは参加いただければな
と思います
はいじゃあそんな感じでまた次回のお楽しみです
バイバイ
バイバーイ