心の支え
そういえばさあ、先週言い忘れたんだけど。 収録で言おうと思ってばっかり忘れてたんだけど、
今週、ついさんお誕生日ですよね。 おめでとうございます。
おめでとうございます。
そんなの持ってたの?
サプライズ!
45歳になりました。 おめでとうございます。
今日何かそういうのあるって聞いてないんで、お便りで紹介したのかな?
2人が全然言われてくれへんから、お便りに来てんねんぞ!
先週収録終わった後に気づいて言ったんだよね。
収録が何日でしたっけ?
先週の土曜日。
翌日が誕生日だったでしょ?
かな?
収録終わった直後に気づいて言い忘れた。
で、日付が変わってすぐ言いました。
なんなんそのアニバイみたいな、俺はちゃんと言ってたぞみたいなやつをここで言う。
ありがとうございます。
いくつになっても嬉しいもんですよ。
ちょっとそれ言い忘れたのがずっとここに残ってたんで、今日言えてよかったです。
一番いつも通りちゃう。
それがあったからちょっと違和感があるなぁと思いながら。
そのフリやったんだな。
ここからはいつも通りやっていこうか。
さっきも言いましたけど、初コラボですよ。
そうなんだよね、実はね。
なかなかコラボってない。
この3人はセミナーに呼ばれてるとかはあるけど、
そうですね。
ポッドキャストの収録としてやるのは初めてだよね。
コラボという意味で、場所借りてとかあったりとか、
あとほら最近やれへんけど、リサーチャーズナイトみたいな名前で3回ぐらいやりましたよね。
あれもやりたいよね。
リサーチャーズナイトとあれの違いってなんなん?
資料があるかないかとかそれぐらいか。
かもしれないですね。
リサーチャーズナイトはセミナーっぽいよね。
確かにしっかりおのおのが調べてきたみたいな話をしてましたね。
企業の方に会場借りてやったりとかして。
大阪2回、東京も2回やった。
うちの会社で1回やりましたしね。
またやりたいですけどね。
ゲスト呼んだりとかもしたいなってずっと言ってる。
ずっと言ってますよね。
呼ぶ呼ぶ詐欺だよね。
番組的なことやりたい欲が強いだけなのかもしれないですね。
公開集で言いたいだけみたいな。
ずっと言ってるもんね。
今日ね、お便りが多いというか、多いというよりも重め。
嬉しいじゃないですか。
重め?長め?
愛が重めってこと?
愛はそんなないかもしれない。
長めのやつというか、
身近にこういう風な被害に遭った人、
今した紹介シリーズみたいなの。
そういうのも来てるんでですね。
いくつか今日も紹介していこうかなと思うんですけども。
まずは看護さんへのお礼が来てましたね。
SSHの脆弱性あったじゃないですか。
あれのサイトすごく参考にさせてもらいました。
いつもありがとうございます。
嬉しいです。
これは別にメンションでよかったんちゃうのかっていうのもあるんですけれども。
ステッカー保持できちゃうの?
あ、まんまと。
そうそう。
これ読み上げた人はね、
ステッカーのコンビニで印刷できる印刷コードを差し上げるっていう。
それにまんまと。
ソーシャルエンジニアリング的なことに影響があったってこと?
いやいや、そんなことないですよ。
でも嬉しいですよね。
嬉しいです。ありがたいです。
そんなのがあったりとかですね。
あと乗っ取られ系なんですけど、身近に。
たとえば知人だと思うんですけども、この方の。
iPhoneが乗っ取られて中国から、
これはIPアドレスで判断されたんだと思うんですが、
遠隔操作でリセットをかけられたという被害の報告がありました。
おそらくApple IDが乗っ取られて、
デバイスを探す的なものから遠隔リセットをかけられたように思いますということで、
この方は警察とAppleへの連絡はもう済んでいるということで、
昨今iPhoneが乗っ取られる被害の問い合わせが増えているそうなんですよね。
ずっと定常的にあるのかもしれないですけど。
Apple IDは基本メールアドレスですよね。
なので、昨今多発している不正アクセスの流出を受けて、
ログイン志向も増えて、
ポリシーの甘いパスワードとか二要素をやっていない人が、
被害もこれから増えそうですねというお便りが。
こういうのって起きてるんやろうなと思いつつも、
実際に被害に遭った人に、僕ら聞くこと少なくないですか。
仕事自体がエンタープライズ向けなのが多いからかもしれないですけど。
身近な人での被害事例はあまりないかもね。
こういうお便りを聞くことの方が多いかもしれない。
そうなんですよね。内容はだいたい想像つくけど、
実際に起きてるんやというふうに教えてもらうと、
そうなんやという、あらためて生の情報というか。
あと、前よりもスマホ、特にAppleとかGoogleとかの
アカウントが乗っ取られた場合の影響度合いが
格段に上がっていると思うんですよ。
なんで、前よりもその辺をもっと注意しなきゃいけなくなってきたなっていうか。
何でもかんでも紐づいていってたりはしますしね。
だからApple IDも、僕はApple信者なんでAppleの話しかしないけど、
なんでなん?
Appleアカウントの最低ニューオースト認証。
Appleだとニューオースト認証あるけど、一番今いいのは
Appleはセキュリティキーで保護できるんで、
2本いるんだよね。セキュリティキーが2本いるんだけど、
セキュリティキーを保護するのが一番安全で、
心配な人はそれをお勧めしたいんだけどね。
物理的な機能が2本いるっていうのがちょっとハードルが高すぎるんで、
もうちょっといい工夫をしてほしいなっていうか。
それはベンダー側の努力も必要かなって気がするけどね。
そうですね。何段階かやる方法があって、
これが一番今いいやつみたいなのがあるけど、
そのに伴って不便だとかハードルが上がるんだったら、
上げてでも今よりもちょっといいやつぐらいにする方がいいかなと。
ただね、他の多要素認証の設定もそうだけど、最初だけなんだよ。
設定の時だけが大変で、僕は結構Appleのデバイス、
今日もいっぱい手元にあるけど、普段使っているデバイスで
認証を求められることはほぼないわけ。
だからそれをなくした時とか、他人が攻撃をする時に有効なわけ。
普段の自分の利便性にはなんら影響しないの。
なんだけど最初のハードルが高すぎるのよ。
それをなんとか乗り越えられるようにするにはどうしたらいいのかなっていうのはちょっと…。
最近は機種、デバイス買い替えてもそのままいけますみたいなのがあるからね。
全然普段は全く意識しなくていいんだけど、
自分が多要素認証とかセキュリティ機で設定してるって忘れちゃうぐらいだけど、
でもそれは他人からの攻撃には有効だから、
そういうのがもうちょっとうまく普及するといいなっていうのもあるけどね。
なんかでも怖いね、こういう乗っ取りがあるっていうのは。
まだまだ時間かかりそうだけど地道に言うていかなあかんなと思いましたね、こういうのが。
でもありがたいですね、こういう実際の生の被害の声というか。
ドシドシ。
ありがとうございます。
ドシドシいただいてる場合っておかしいですよね。
ドシドシ被害になってるってことやもんな、それは。
ちょいちょい教えていただければいいかなと思います。
DMでいただいたんですけれども、
なんかちょいちょいDMあるよね。
最近ちょっとお便りがDM付いてるんですよ。
なんか表では出したくないのかな。
でもお便りで読み上げていいですかって言ったらいいです。
思っててよかったんちゃうかなっていう気もするんですけど。
これはちょっと普段と経路が違うやつなんですけど。
この方は普段セキュリティマネジメントの業務に従事しててですね、
このセキュリティのあれを楽しみに聞いていますと。
ありがとうございます。
ちょっと直接伝えたいということまでDMをしました。
なるほど。
もう今も直接どころじゃないですけど、ブロードキャスティングされてるわけですけど。
重めだね。
そうなんですよ。
私ごとですが、ここからちょっと様子おかしくなるかもしれないですけど、
ゆっくりゆっくり言って聞いててくださいね。
人事異動に伴いまして、
7月から大阪から東京への単身分離で一人暮らしを始めました。
自炊も含め、初めてずくしであり、不安を感じながら日々を過ごしております。
だんだん迷子になってきましたよ。
何のお便りなんだこれ。
そうなんですよ。
ですが、日課である週一の最新回、僕らの中のポッドキャストの最新話と、
過去からのものを聞くことっていうのが、引っ越した今も変わらずにずっと聞いてくださっていると。
僕ら3人の掛け合いとか、それぞれ結構似てる部分もあるけど、視点が違ったりするじゃないですか。
一つのものを見てもね。
そういうのがセキュリティに関する気づきだけじゃなくて、
自分の心の支えになっていることに気がつきました。
せっかく単身で東京に来たので、
おすすめのあれで紹介される食べ物や商品も積極的に試してみたいと思います。
いつもありがとうございますという。
嬉しいけど重めだね。
重いけど、とうとう心の支えにまでね。
来るところまで来たね。
行き着くところまで来たかもしれない。
ここまで熱く書いてくださるっていうのは、お二人にもちゃんと伝えたいなと思って。
だいぶあれかな。以前からずっと聞いてくださっていることなのかな。
そうですね。引っ越ししても変わらずこれからも聞いていただければと思います。
最初のくだりが良かったですね。
最初にだんだん読んでるときも、なんでこれ僕に送られたのかなと思ってたんですけども、最後まで読んだら分かりました。
ありがたい。
ここからあと三つお便りがあります。
まだあるの?そんなに。
聞いてきて。三つあんねんけど、同じような内容やね。
なるほど。
合格のお祝い
人によってはこの時期はということなんですけども、情報処理安全確保支援士に合格しました。
おめでとうございます。
自分の勉強で得た基礎、テキストが埋めてくれた穴、そしてセキュリティのあれで得られた応用的な知識のおかげだと思っておりますという、ゆきひろさんおめでとうございます。
おめでとうございます。
あと二人合格した人です。
セキュリティのあれのおかげで支援士合格できました。
DDoS対策の問題でピオカンゴさんのパブリックキーのお話を思い出しながら書きました。
ありがとうございますということで、みぞれさんおめでとうございます。
おめでとうございます。
おめでとうございます。
最後ですね、セキスペの結果を確認して。
すごいな、みんな合格だな。合格でラッシュですね。
合格ラッシュ。
セキスペの結果を確認して、あれのタグを見たら案の定お仲間がいて嬉しい気持ちになりました。
もはや風物詩になっているということで、カイセイさんおめでとうございます。
おめでとうございます。
そろそろこの資格の取得支援するような本の帯とか書いてもいいんちゃうかなって思います。
なんか前からさ、俺らちょっと自分から言ってるけどさ、どっからも来ないよな。
全く来ないっすね。聞けば浮かる。
ポッドキャストみたいな紹介とかしてほしいんですけど。
資格維持に勉強しないといけないっていうのが、確か支援士ってありますよね。
あるある。
普通にね、あれを聞いたらその時間分ね。
でもさ、前別に言うとこのお便りでも紹介したかな。
CISSPのあれにはポッドキャストって入ってるんですよね。
登録できるんだ。
あれは聞く方。
セキュリティ事故の原因と情報の伝達
聞いたら1時間1ポイントだったかな。確かいけるんだよね。
上限はあるんでしょうね。
上限はある。
だから同じような感じでなんかできないのかな。
いけそうな感じしますね。
こんだけ貢献してればなんかそろそろ。
ただ誰も支援士持ってない。
持ってないですよ、僕らは。
あれか。
これが問題か。
それが問題か。
あれか。
すじさん、じゃあ取ってくださいよ。
説得力ないかもね。
確かにね。
そんな感じでなんで。
素晴らしいお便りを。
でも嬉しいお知らせですね。
そうですね。
お便りありがとうございます。
ありがとうございます。
紹介した方にはステッカーの印刷コードを送るんでですね。
今日俺初めて聞いたって方もいらっしゃると思うんで。
セキュリティのあれのハッシュタグをつけてXにポストいただければ
読み上げればステッカーの印刷コードをお送りします。
よろしくお願いします。
よろしくお願いします。
ということで今日もセキュリティの話をしていこうかなと思ったり思わなかったりしてるんですけれども。
どっちなんだよ。
思ってるんですけども。
今日はねぎさんがいきますか。
じゃあ私からトップバッターに行かせてもらいますけども。
今日はさっき小ネタで、さっき言ってないか。
小ネタでいこうかなと思ってるんですけど。
小ネタと言いながらですね。
先月6月の半ばくらいに日本国内で人知れず起きた大事件を。
人知れず?
人知れず起きたものをなんで話してるの?
人知れずなのにね。
確かに大事にしてるな。
話したいんですけども。
あまり注目されてないってことですね。
序端県の県が主催するセミナーの事務局のメールのアカウントが普通にアクセスされて
そこから大量のスパムのメールが送られましたっていう。
事件としてはよくある感じかなというところなんだけど。
これ実際に運用している業務委託先の会社の方が原因を調べたけどもよくわからなかったと。
原因不明ですと。
よくわからないってことも言ってくれてるんですね。
原因不明なんだけどもこういうふうに考えられるということで
おそらくパスワードを解析をして16文字のランダムな文字列を
偶発的に突破して侵入したんじゃないかと推測されますということを書いていて
対策として16文字のパスワードを20文字のランダムな文字列に変えましたと。
長くしましたと言ってるわけです。
4文字長くなった。
これだけ聞くとどこから突っ込めばいいのかわからないんだけど。
キツネにつままれたみたいな気持ちがする。
こんなこといちいち細かく言うまでもないかもしれないけども
一応言うともし仮にこれが本当に16文字のランダムなパスワードを
偶発的に突破したとすると
16文字だとアルファベットの大文字小文字あとは数字あとは記号を合わせたら
大体80から90種類ぐらい文字の種類があるのね。
文字種がね。
16文字だと大体ざっくり計算するとわかるけど
大体2の100乗をちょっと超えるぐらいの
すごい組み合わせになる。
ものすごい多い量ですね。
100ビット以上のセキュリティのある強度のものを
偶発的に破るっていうのは正直とんでもないことなわけね。
それはでも専門家だからパッとそういうふうに思うし
直感的に16文字がランダムなものの解析ってほぼ無理って
起こり得るとは考えにくいと。
思うんだと思う。
もちろん確率的にゼロじゃないんだけど
ちょっとおかしいよねってすぐ思うと思うの。
だけどこういうふうにプレスリリースで書かれてる。
それについてどうこうっていうわけじゃないんだけど
もしそれが起こり得ないことだとすると
実際には何だったんだろうなっていうのが
本当の原因。
本当の原因は他にあるはずじゃないかと。
それは何だったんだろうなって考えてみると
攻撃者が多分パサードを知ってたんだろうと思うしかないというか
そう説得されると思うので。
調べて発表された方っていうのは
偶発的に突破したんだろうってことは
多分そんな試行回数も多くないってことですね。
その辺は調べてるかどうかちょっと分からないけど
もしかしたらそういうログもなかったかもしれないよね。
仮に攻撃側がパスワードを知ってたとすると
という前提で話を進めるけど
そうすると大きく2種類考えられて
1つ目はパスワードを使い回していて
外から使い回してる別のところから
外部からログインしましたと。
それをたまたま攻撃者が手に入れて
侵入しましたと。
いわゆるリスト型みたいな感じですね。
それが1つ。
あともう1つは
内部から漏洩してたっていうケースが考えられて
これは例えばいろいろ考えられるけど
内部で使っている人のPCの端末が
マルウェアに感染していて
そこに保存されてたパスワードが実は漏洩してました。
インフォスティーラー系か。
実は担当者の人がフィッシングかなんかに
実は引っかかっていて
その間にパスワードを入力していて
実は漏れてました。
くらいが多分最もらしいというか
考えられる。
他に何かあるかな?
いやパッと思いつくのそれくらいちゃいます。
自分で入力したか取られたか
違うところから漏れたかみたいなね。
そうですね。
それくらいがちょっとパッと思いつくとか
ある感じなんだけど
もしそうだとすると
例えばマルウェア感染とかだったら
継続して漏れてる可能性があるので
今もなおね。
さっきその16法条20文字っていう
変えるってあったけども
もしかしたらそれ変えてもまた漏れるかもしれない。
変えた後にまた取られるってことですね。
その原因がわかってない中で対策をする
というのは難しいと思うんだけど
でも対策になってない可能性があるわけ。
例えば原因わかんないけど
パスワードだけでは不安なので
例えば多要素認証を付け加えましたとか
だったらまだわかるかなという気もするんだけど
ちょっとその辺のね
対策の考え方が難しいなっていう風に思うと。
今日こういう話したの何かっていうと
小ネタって言った割には
そうじゃないかもしれないんだけど
言わんかったらよかったな。
こういうね今その話をしたのは
こういう事件とかがあると
何馬鹿なこと言ってんだみたいな
こんなこと起きるわけないじゃんみたいな
16文字のランダムな文字列のね
しかもこれ今回のって
パスワードの発地とかをさ
手元に持ってきて
クラックしてるっていうわけじゃなくて
オンラインで多分アタックしてるから
余計難しいですよね。
なんだけど別にこういうことがあると
例えば何馬鹿なこと言ってんだって
言っちゃう人がいるのは分かるんだけど
やゆしたりいじったりみたいなことが
よくありますよね。
僕はどう感じたかっていうと
情報の関心を引く方法
なんかもうすごい敗北感っていうか
敗北感?
なんでかっていうと
この担当者の人
委託先の人が書いたのか
県の人が書いたのか分からないけど
もし仮に今言ったようなことを
知っていたけど
原因が分からないから
でもなんか書かなきゃいけないから
まあとりあえず適当なこと書いとけって
もし書いたんだったら
それはそれでちょっと逆に罪深いけど
まあ確かにね
その煙巻くようなこと書いちゃったら
まずいけど
そうじゃなくて
本当に分からなくて
こんなこと起こり得ない
っていうようなことを知らずに
そういう知識もなく
かといって周りに
専門家というか相談するような
聞ける人がいないとか
例えばね周りにそういう人もいなくて
これどうですかねとか
こういうこと起こり得ますかねとか
原因としてどうですかねみたいなことを
相談する人もいない
自分一人で何とかせなあかんってことですよね
だとすると
僕らの立場からしたら
負けじゃない
伝えられてないってことですよね
こういうのを見るたびに
そういう感情が湧いてくるっていうか
胸が痛くなるという
そこまで言わないけど
本当ですか
なんかそのなんていうかな
自分たちがやってることが
届いてない感っていうか
それは常々感じることはありますけどね
なんか別にエモいこととか
言いたいわけじゃないんだけど
なんか悔しい気持ちになるわけ
こういうときに
どうしたらいいのかなと思うんだけど
例えば教務委託を受けてるシステムの人とかが
そういうときに相談できる人とか
県でもいいんだけどさ
なんかそういう窓口とか
例えばあれば警察に被害届けとか
相談したら
なんか相談に乗ってくれるとか
わかんないんだけど
例えば自治体とか中小企業とかさ
多分この委託先のこんな大きな企業じゃないと思う
その地場の
おそらくそういう地元の企業とか
というところまで
結局なんか届いてない感があるっていうか
わかんないよ今のは全部
だいぶ家庭の話で進んでるから
そういう可能性もあるという
全然違う理由かもしれないけど
もしそういう風に思うと
どうやってそういう問題解決したらいいのかなっていうか
というのはさっきも言ったみたいに
もし本当に間違って原因を考えてたら
対策が全く無意味な可能性があるわけ
さっきのマルウェアに関連してたときもそうですよね
だし
もっと他に被害を拡大する可能性もあるわけ
というのを全部追いかくしちゃうわけ
知らないことによって
というのはちょっとなんか
こういう事件を見るたびに
一言とは思えないわけ
自分たちにも若干の責任の一端みたいなことがあるんじゃない
責任とまでは言わないけど
だってさ
僕らも長いこと専門家としてやってて
こういうことを一つ無くせないっていうのは
なんかちょっと
それで敗北感ってことですね
ちょっとなーっていうか
あーそうですね
そういうのなんかどうしたらいいのかな
ってのは分かんないんだけどね
そういうのをちょっと思って
今回ネタに取り上げたんだけど
どうしたらいいんだろうね
2つぐらいあるのかなと思いまして
1つはそもそも届いてないっていう問題ですよね
届いてないよ
我々が発信したりとか
メディアを通じて発信してるようなところが
僕たちが思っているよりも
人に届いてないんじゃないか
僕らだけで限らずってことですね
我々セキュリティに詳しい人が発信する情報が
届いてない
届けるようなスキームがまだできていない
あと関心を引けてないっていうのも
もしかしたらあるのかなっていうのが1個ですね
これは難しいですよね
続けていくしかないか
手を変え品を変え
いろんなところに
前から辻さんが言ってると
届けるためのチャンネルを変えるとか
伝えるためのやり方っていうのがあるでしょう
よく言ってますよね
やっぱり自分の経験で言うと
ニュース番組で事件事故があると
コメントすることあるじゃないですか
それを何回か出てたけど
全然リアクションがなかった層っていうのがいるんですね
あるバラエティーに出た時に
小学校卒業以来連絡取ってない
友達から見たっていうレベル
それは今は
ママ友ネットワークみたいなのが出来上がってて
昔の同級生が地元に残ってる子たちで
誰かがたまたまそれを見てて
辻君出てるでみたいな感じになって
当時はツイッターでしたけど
ツイッターで僕を探して見たっていうのを
わざわざ連絡もらえたっていうのがあるから
普段届いてない層に届いてるっていうレベル
だから同じような経路のところに
発信をし続けるってこともめっちゃ大事だと思うんですけど
違うところに出さないと届かない
同じところにばっかりずっと届き続けているだけ
っていうのはすごく感じました
それはあるよね
それが一つ
もう一個は伝え方っていうか
今のパスワードの話
認証って言えばいいのかな
認証の話って言っちゃ分かりやすいかなと思うんですけど
何文字以上にしましょうとか
長ければ長い方がいいよねと
あと使い回しするのやめましょうとか
あと単語とかもやめましょう
こんなの700万回ぐらい言われてるじゃないですか
700万回がもっと多いかもしれませんけどね
ずっと言われてますけど
それがあんまり用ないんちゃうかなって僕思ってて
自分がパスワードのやつをちゃんとしましょうね
っていうふうな企業とかに対して
インハウスのセミナーとかよくありますけど
その時に一番初めに紹介するのは
こういう風に言われてるけど
これ何でか知ってます?っていう話をする
攻撃してくる側がどうやって破るか
言われてることの根拠っていうか
ブルートフォースっていう
全部試すやつがあってねみたいな
場前の番号を全部合わせようとするやつがあるから
これ短かったら短い方で破られやすいでしょとか
リスト型っていうやつだったら
パスワードって漏れてる前提で
一個漏れたら全部一網打尽に
同じの使ってたらやられますよと
例えばハブアイビーポンドみたいなんで
自分のメールアドレス入れて調べてみてください
漏れてるでしょっていう風なものを
破られ方、破ってき方みたいなものをやって
その動機づけじゃないですけど
こういうものがあるからこうしましょう
っていう流れで説明をするケースって
あんまり見かけないなと思う
意外と僕らにとっては常識だけど
そういう説明をちゃんと聞いたことがない
っていう人が多いってことだよね
今回のレムもしかしたらそういう破られ方とか
盗まれ方みたいなものを知ってたら
こういう考えに至れへんかったんちゃうかな
っていう風に聞いたと思いました
確かに何度も言ってあれだけど
16文字のね
もし本当にランダムな文字やつだったら
そもそもそういう今みたいな
手法とか破り方を知っていれば
これ無理って最初にまず
思わなければおかしいような話だけど
そこに至らないってことはそういうことだから
分かって伝わってないってことね
守る方法は知ってるけど
何故かを知らんっていう人って
結構多いと思いますよ
その話をするとそうなんですね
みたいな感じで言われること多い
なるほどね
一個聞いてて気になったのは
今回のこの
広島県で起きた
インシデントだと思うんですけども
広島県に限定して
情報のやり取りがされるってことは
おそらくないんじゃないかなと思っていて
おそらくは
所管だと総務省とかになるんですかね
総務省とか例はもしかしたら
報告が
ニスクとかに多分報告
共有されてるんじゃないのかなって
勝手に見てて思ってて
であればまさにさっきねげてさんが
思ってたような疑問っていうのが
報告受ける側から
見つけられてても
自然なのかなと思って
その結果これが出てるんだとしたら
ちょっとそれは違和感というか
それでも順序と逆なんじゃないの
こういうのが出た後に
仮に出た後だとしても
なんでなのみたいなツッコミができるはずなんですよね
なるほど
それがちゃんと機能してるのかなっていうのは
報告しただけで
それがスルーされてるんじゃないかってこと
もしかし
可能性の一つではあるんですけど
もし本当にそうだとしたら
なおさらちょっと深刻だなって感じはしますよね
あとなんかね
メディアとかでもなんだっけな
どっかのメディアが
このリリースの内容そのまま流してたんだよね
こんなことがありましたみたいな
こういう風に
パスワードが突破されたと推測されているようですみたいな
そこは突っ込んでほしいんだよね
メディアに?
ああ
メディアだけの責任というか
僕らの責任もあると思うんだけど
流す時に
いやいやこれはちょっとおかしいっていうことを
せっかく流せるわけだから
おかしいって伝えてほしいなっていう
そういうのがあると
おかしいんだって気づけるきっかけにもなるかな
分かんない
メディアの人もそう思ってはるかもしれない
そう言うってことはそうなんやろみたいな
だから伝える人は誰でもいいんだけど
僕らでもいいしメディアでも何でもいいんだけど
そういう時に別に批判しろって言ってるわけじゃないんだけど
これは間違ってるかもしれない
こういう考え方もあるんじゃないか
こういう風に言うてはいるものの
ちょっと足すみたいな
そういうようなチェックが入るようなのがあるといいのかな
さっき言った報告の時にそういうのが
分かるようにするとか
そういうのがないと気づけないとさ
自分だけでっていうのは結構限界が
難しいよね
あとはあれかな
僕らのポッドキャストを聞いてもらうようにするってことかな
好きならば宣伝
聞いてる人に宣伝しても仕方ない
こういう人たちに聞いてもらうにはどうすればいいのかな
メールすればいいんじゃない
確かにね
メールアドレスに載ってます
押し売り
安全の押し売りみたいな感じでよくない
アレゼの人で知ってる人がいたら
ぜひ紹介してあげてください
確かにアレゼどこにでもいますからね
逆に言ってもらう
逆にこういう風なこと
聞きたいとか知りたいとか
お便りじゃないですけどね
こういう事故がありました周りで
みたいな話もあったら
こういう話取り上げてほしいとか
別に何かこうすべきとか
こうしたいってあるわけじゃないけど
なんかもうちょっと
できるんじゃないかなっていうか
でもそういうの
教えてもらった方がいいかなって思うことも結構あって
僕らはもうこれ
言い尽くしたとか
僕らは口酸っぱく言い過ぎて飽きてるみたいなものが
今実は
オンゴーイングで進んでて
みんなの関心事であるケースになるかな
そういうのもご意見もいただければいいんじゃないかな
ぜひよろしくお願いします
はいありがとうございます
はいじゃあ次は
伊勢東のランサムウェア被害
寛吾さん
今日私はですね
伊勢東っていう会社の
インシデントを
取り上げたいなと思ってまして
伊勢東っていう会社ご存知ですか
いや今回の事件で初めて
私も今回の件で初めて
知った会社なんですけども
結構ですねいろんな会社と取引されて
おられて銀行とか
地方公共団体とか
安全者と取引をされておられると
具体的には
葉書とか案内とかを
送付発送するそういった
サービスなんかを業務委託
という形で受け終われて
ビジネスとしてやってらっしゃるという会社で
今回そちらの会社
ちょっと前なんですけどね
5月の29日かな
初報が発表されたのはランサムウェアの被害に
あったということで
公表されておられてですね
さっき言った通り取引先が
数に及んでいるというところがあり
その取引先の情報が
どうも外部に流出した
あるいはその可能性があるということで
伊勢東っていう会社を含めた
リリースが本当に
6月に入ってから7月に入ってもそうですけども
ずっと出続けている
という結構そういう現状になっている
というところでですね
で私さっき数えてみたんですね
伊勢東っていう
社名入りで
なかなかね社名を入れて
こういう被害に遭いましたって
リリース出すのもなかなか
そんなに多くはないですね
今までね
そのような形式で
公表されているのが
私数えた限りだと40組織
超えてて
他の企業の被害も多数
入れてるだけでですよ
入れてないものも当然あって
ちょっとぼかして
そのようなものまで含めると
多分60近い
実際流出していることが
確認されましたということで
被害を公表されているところも
本当に多くおられて
ざっと数カウントすると
私調べた感じは80万件以上
ということで
公表されているだけでも
そういった状況なので
なかなか影響が
広く及んでいる
そういった因子点と
今年結構続くなって感じはするんですけども
2月ぐらいに
埼玉の健康事業団でしたっけ
あちらも埼玉県内とか
いろんなところが影響を及んでいましたけど
今回も業務委託先が
実際にランサメの被害にあって
ランサメは最近の流れですと
実際にランサメの被害にあって
システムがダウンするだけじゃなくて
情報を盗んでそれを公開する
ということもやるので
情報流出の被害という形でも
多く委託元に被害が及んでいるという
状況なんですけども
被害公表のタイミングとリストの問題
これなんで被害が影響が出たか
というところを
公表であったり報道を見ていると
もともとは
もちろん被害にはあってはシステムサーバー
被害にはあっているんですけども
お客さんの情報を取り扱うネットワークでは
被害は確認されませんでした
という主張というか
そういう説明を当初されておられて
なのでもともとはそういった形で
報告を受けていましたということで
公表しているところもいくつもあるんですね
じゃあなんでなのかというと
大きく公表のタイミング
実は2つに分かれていて
この会社が最初
5月末に公表されて
それに続く形でバラバラと出したところと
あと最近になってまたバラバラと
出ているところで大まかに2つに分かれるんですけど
最初の方に関しては
どうも受け負われていた方の
パソコンに
さっきその
歯書きとか案内とか発送する仕事を
受け負われているって話をしたんですけども
そのやり取りの中で宛名を写真で撮ったり
とかっていうのをやってらっしゃる
その写真撮影されたものが
どうも端末状に残っていたり
あるいはそれをリスト化したものが
うまく届かなかったとか
そういうことだと思うんですけども
リストが被害にあった環境の方に
残ってしまっていて
それを両方リストの可能性があるということで
はい
当初はそういった形で被害公表されておられて
影響が出た可能性があると
なので件数で見ても
結構少ないんですよね
十数件とか
リークサイトの公開
そんなものなのかなという形で
実際ブログに書いてはいたんですけど
なんかここ最近またバラバラと
出始めたぞっていうのは
不正アクセスを働いたランサムギャング
さっきも言ったようにリークサイトを持っていて
そのリークサイトを6月18日に
どうも伊勢東の会社の
情報と見られるものを公開したと
その18日に
公開されて
伊勢東なのかな
実際に入手をして分析をしたところ
彼らが想定していなかった
情報がそこに含まれていた
というのが
リークデータを見て初めて発覚した
というところがあって
なので最近公表されている件数なんか見ると
一気に十何件とかではなくて
1000件2000件とか
下手したら40何万件
という形でかなりの数で
公表されているケースがあって
これ
どこに教訓があるかというのは
いろいろあるんですけども
これリークされないと
実態をつかめないっていうのが
結構なかなか
これは厳しいなというところが
あってですね
もともとは影響がないという形で
報告を受けておられたところが
多数おられたので
本当に実は受けていたんです
なんていう形で話が180度変わった形で
いきなり報告が来ると
なんでって話になって
本当に事後的な
後手に回った対応にどんどんなってしまうので
なかなかこれは
厳しいなというところと
あと今回
業務委託という形ではあるんですけども
直接の委託もあれば
一社挟んで再委託
という形で
さらに委託委託という形で
お仕事を受け終われていたというところもあるらしくて
そうなると関係者もたくさん出てきていて
インシデントハンドリング
仕様にも
実際今回伊勢島に対して
取材されているメディアがかなり多くいらっしゃるんですけども
私たちの一存で
勝手にいろんなことはしゃべれないという形で
情報公開に関してもなかなか
難儀されているんだろうなという
回答をしていらっしゃるシーンもあったりして
こういった業務委託先で
起きたインシデントを
きれいにハンドリングする
特に今回のような取引先がめちゃくちゃいるような
そういった事案だと
これはなかなか
一言で一番申し訳ないんですけど
大変だなというのは
うまくこれどうやったら取り回せるのかな
というのは結構
頭抱えるそういう事案だな
というのは思うんですけど
やっぱりこういうのがどんどん増えていくんだろうな
とも思っていて
最初の一つ目の
リークされたデータを
見ないと影響範囲が
特定できないというのは
結構あるあるだと
思うのね
これまではそういうのあったなと
大企業中小とか
企業の規模とか対策状況によっても
変わってくると思うけど
被害の痕跡が
残っていないから影響範囲が
わかんないから最大限に見積もって
最大これくらいって言って
公表するとかっていうのはこれまでにも
結構あって
実際漏れたデータを見てみて
ここだったかってわかるみたいなのはさ
それがやっぱり
今回も含めてだけど
やっぱちょっと問題の深刻さを
表してるっていうか
そういうの見ないと
わかんないっていう状況自体が
すごく深刻だよね
そうなんですよね
ただファイルじゃ
持ってかれたかどうかのログを
取るかっていうと
それもかなりのログ
サイズになるでしょうから
単純に全部ログ取れっていう話には
おそらくならないとは思うので
そこも
何が取られたのかっていうところを
正確にたどるっていうのは
難しいよね
過去の事例でもさ
攻撃者が集めて
圧縮したファイルを持っていって
その後消しちゃったみたいな
痕跡はあるんだけども
実際の中身のデータは特定できませんでしたとか
圧縮データ自体が暗号化されてましたとか
いろいろ理由があって
結局よくわかんないとか
ログを全部調べても
わかるかどうかちょっと微妙だしね
時間もかかりますしね
なかなか難しいね
被害の範囲拡大
最大って言いたくないっていうのもあるんでしょうね
最大何件って
言いたくないっていうのもあるんだと思う
できるだけ少なく言いたい
でもそうなんだけど
セオリーとしては
最大限を言っておいて実はこうでした
っていう方が望ましい
だんだんだんだん増えていくっていうのが一番最悪で
これもありましたってことですよね
見た目の印象的にも
自体は全くコントロールできてないんだな
っていう風に見えちゃうし
自分は対象外だと思ってたのに
被害に入っちゃったっていうのは
印象が良くないんで
気持ちはわかるけどね
あんまり大きく言いたくないっていうのはあるけど
それは悪心な気がするけど
今回はさっき言った通り
被害にあった方のネットワークでは
そもそもお客さんの情報を取り扱っていなかった
っていう前提があって
そこで封じ込めが
確実にできていたっていう根拠から
おそらく被害範囲っていうのを
最大に積もってこれだろうっていうことで
お客さんに連絡取っていたと思うんですけど
結果リークサイトに公開されていた情報は
想定していたものよりも
遥かに範囲が広いものだったっていう
それが何でなのかというところは
公表はされていないんですけども
そこがうまく回らなかったなっていう感じですかね
どういう備えをしていれば
そこを的確にさっと言えるのかなっていうのも
難しいと思うんですよね
社内のシステムとか仕組みにもよると思うけど
難しい
あと今回の特殊なケースかもしれないけど
郵便物とかの送付とかを
受け負ってる
情報の精査と課題
仕事だったから
顧客の顧客のデータが
大量に入っていたっていう
銀行だったら実際に銀行を使っているお客さんの
情報とか
影響の件数が大きくなっちゃった
原因なのかなというのと
あとなんかさ
最近の増えたデータとか見たけど
本来は消されていなければいけなかった
契約で消さなければいけなくて
実際消したって回答していたケースも
あったようなんですよね
それなのになんで
今回こういう形になったのかっていうところは
やっぱり説明がないと
被害側の当事者としては
なかなか納得いかないところでありますよね
難しいよね
ちょっと話がそれるかもしれないんだけど
ランサム系ってさ
顧客から預かったデータも含めた
業務データを維持するっていうか
バックアップか戻すとか
いかにそのデータをちゃんと
残しておくかっていうことに
主眼が置かれがち
だけど今回のケースは
逆にそういうのが
ちょっとバックアップとは違う観点だけど
残ってたデータが被害を大きくしたってことでしょ
そうですね
両方ちゃんと相反するようなことを
両方ともやらなきゃいけないっていうのは
結構難しいね
どのファイル触られたかっていうのを
調べるっていうこともしますけど
これ暗号化されていったら
調べるのも大変そうだなと思うんですよね
その
残ってるファイルがないわけじゃないですか
全部暗号化されてるから
だからそれをどういうふうに触ったのか
暗号化されたっていうのはわかるし
調べればわかると思うんですけど
そのファイルを攻撃者が触ったかどうかも
トレースできないから
もう腹くくるしかないんかなと思うんですよ
最大って言うしかないと
僕は思ってるんですけど
リークサイトに
ランサムの二重脅迫系で情報接種
ともなようなやつでやったやつで
実際に被害にあった人とかに
何人かに聞きましたけどやっぱり
リーク待ちするケースって
まあまああるみたいですね
それを見てみないと影響範囲がわかるんですか
もちろん一方としては
漏れた可能性があるっていうふうには言うけど
その最大っていうか
ちょっと濁した表現
現在調査中ですって言いながら
身の白気払わないと決めてるんで
リークされるのを待ってそれを頑張ってダウンロードして
その中を精査してから発表する
っていうのってまあまああるって
やっぱり聞きますね
あとこれ委託元からしてもさ
ちょっとコントロールしにくいよね
こういうのって
契約上はなってるかもしれないけど
実際のところまでわからないとか
これ結構今回のケースでそういうのがあると
揉める可能性あるよね
これどうやって収集つけるのかなっていうのは
自分たちの顧客データが漏えいしてて
自分たちが被害者だけど
契約上は本当はなかったはずで
被害を受けなかったはずなのに
みたいなことになったら
どうするのかわからないけど
その先にさらにまたお客さんとか
俺ら怒られるのお前らのせいや
みたいな話になってきますからね
思った以上にその影響範囲が大きく
最初はこれでもう終わるかなと思ったら
全然そんなことなかったんで
今の方が見ますもんね
そうです
もう全然件数も
最近の方が公表されてる件数全然多いんで
もしかしたらまだ続くかもしれないですね
公表関連してるものが
これもう腹くくってって言う以外に
アドバイスないですかね
まあ腹くくってというか
あと今回のケースちょっと
侵入原因とか細かいところはよくわかんないけど
ランサム屋全般にいるけど
入られてここまで来ちゃうと
対処が非常に難しいので
いかにその手前で防げるか
というかね
なんか暗くなっちゃいましたね
そうですね
たまにあるんですよね
そうですね
難しくて出口が見えにくくなる
毎回毎回我々も答えがあるとは限りませんから
そうなんだよね
いやなんか難しいな
まあでもやっぱこう
ちょっと綺麗なこと言うてしまいますけど
なんで言う前から笑ってんだよ
どうぞ
その振りがね
言わないで恥ずかしいわけよ
振りなしで言えばいい
どうぞ
こういうのを見ると改めて思うのは
透明性どんだけ担保するかやと思うんですよ
もう分かれへんかったら分かれへん
最大だったらもう何件
それで減らしておく方がいい
っていうのは多分頭では分かってるけど
なかなかできひんのと思うんですね
それをどういう風な方針で発表するか
っていうのもあらかじめ
経営層の巻き込んで
決めておくってことになっちゃうかな
今回の件別に隠そうと思ってたわけではない
と思うんだけど
結果的に比が拡大しちゃったっていうのがあると
その辺の確かにね
今回の件で自分たちで把握できた
画像っていうのがあったっていうのは
かなり想定外だったんだと思うんで
もしかしたら最大これですって言ってても
最大じゃないケースももしかしたら
情報発信の線引き
あるかもしれないですもんね
それをいかにうまく説明するかってことだよね
はい
次行く?
行きますか
次行きますか
最後は僕なんですけど
今日ですね僕が話をしたいのは
特定の事件を紹介するとか
そういったレポートを紹介するとか
そういうのではなくて
いろんな攻撃が起きたとき
インシデントが発生してそれがリリース
するわけなんですけども
そうするとやっぱりメディアで取り上げたりとか
我々みたいな個人というか
専門家って呼んでいただけるような
立場の人間が情報発信をすることもありますよね
そういうところで
そういう公の場で取り扱うときに
どうやって線引くか
これは振れる
これは言う
これは言わへんみたいな
聞いてる方も含め
お二人もそうですけど
どういう風に考えてるのかな
というのを聞いていきたいなと思ってるんですけど
前提としては
法律に振れる振れへん以外のことに関しては
答えないとは思ってます
おのおの
感覚というか
正義なのか倫理観なのか
ちょっと分からないですけど
そういったものに基づいて
動いてはるんだと思うんですよね
どちらかというと親権に取り扱う
というところの範囲というのが
当事者事件に巻き込まれた
当事者被害者というところではなくて
メディアを含むいわゆる第三者に当たる
もしかしたら
メディアと個人によって
線引きの仕方は変わってくるかもしれないですけど
それの例えば仮に
一つ目で言うと発信内容
どういうものは触って
みたいなもので
僕もネギスさんもそうですけど
カンゴさんもそういうのを調べた方だと思うんですけど
僕らが一番
輝いてたあの頃というか
2011年
輝きを失ってる
アノニマスが代表するような
ハクティビストの攻撃予告とか
いわゆる
外から見て分かるもの
ダークウェブとかいわゆるところも含めて
ちょっと調べれば外から見えるもの
っていうのを代表格としては
ハクティビズムハクティビストというのがあると思うんですよね
今でもそういう攻撃予告とか
反抗声明的なものは結構あったりするからね
リードス関連とかもいまだに
そういうのが続いて
ロシアウクライナの話とかもありましたけれども
そういったものもあって
ハクティビストの攻撃の意図とか
あとは攻撃の内容とか
あとはそのターゲットは
今どこになっているのかとか
っていう風なものを
扱うときに
気をつけていることみたいな
ところが僕の中にはあったんですけど
これ結構ね
僕もちょっと大人になったのかなっていうところがあるんですけど
攻撃の情報を言うべきか
昔は
昔のことをね
反省してます
反省されてるんですか?
反省してるよ
そんな反省してない
一回言うたことを二回聞く人
大事なことなんでね
そこまで意外じゃないだろ
どう見てんだよ
私のことを言うてね
昔はやっぱり
攻撃者でいわゆるアノニマスですね
ハクティビストが
Xツイッターを通じてどこどこやってやったぞと
単語ダウンみたいなやつやってたじゃないですか
それを
まとめてたんですよ僕昔
攻撃者の名前
ツイッターID
今言ったXのIDを
直接書くのはなんかちょっと尺なんで
略称にしたりとか
イニシャルっぽくしたりとか
にしてこいつっていう
自分のメモも含めやってたんですよね
あと件数カウントしたりとか
攻撃の主張を言ってるだけですよってこと
注意書きはもちろん
実際に落ちてないケースもあるし
短時間しか落ちてないケースもあるから
でもやっぱり主張したXで
ポストツイートした時間と
やってやったぞ
っていう風に言っているだけかもしれないけど
組織名と
主張者みたいなものを書いてたんですけど
今の僕は多分そういうことせえへんな
なんで?
なんかそれってあんまり
攻撃性もないかなって思って
集計したんだったら集計した数だけ言えばいいかな
と思ってて
どこがっていう必要はあんまないかな
なるほど
僕もそういうの参照させてもらったりするけど
はいはい
今攻撃がどのくらいの
影響範囲で
今後もどれくらい続く可能性があるかとか
あと自分たちとか
あるいは自分の顧客とか
仕事に関して言えば
顧客とかにどれくらい影響が及びそうかっていうところが
主なポイントなんで
それが分かるような
情報が欲しいんだよね
今現在進行中
これから起こるだろう攻撃に関しては
そういう情報が欲しいんだよね
個別のもあったほうが
助かる場面もあるけどね
でもそれを何か必要とする人は
そんなに多くないのかなと思っていて
それを例えば自分の
何人の人が見てるかどうかは別として
ブログっていう誰もがいつでも見れるようなところに
書く必要はないかな
っていう
必要な人に届ける手段があれば
難しいですよね
攻撃に関する主張と真偽
必要としている人を探すのも大変ちゃう
あるんですけど
ネギさんには別に全然いいんですけど
この3人の中での
アンドニーマス担当みたいなところちょっとありますから
いいんですけど
それを出したところで
例えば本当にターゲットが1個になっているようなところは
言わざるを得ないと思うんですよ
主張とともに
主張を言うのもちょっと難しいところあるなと思っていて
まあね
もともとが公表されている情報だから
それをまとめただけと言えば
その通りなんだけど
なんか攻撃者の宣伝に
組み合わせているようなところもあるし
そこなんですよね
確かに
バランスが難しいなと思うのは
なんでこんなことが起きているのかっていうのは
多くの人の関心事だったりするわけじゃないですか
そういうものがあるんだ
っていうことを
知ってもらう必要はあるのかなと思うので
主張は取り上げないわけにはいかないなと思っている
確かに
そこが今の僕の
賛美祈願かな
もともとはね
アノニマスも別にDDoSばっかりやってるわけではない
そうだね情報漏洩とか
リーク系とかもやったりする
リークは基本的には内容については触れない
前から決めてたんです
別にその攻撃に関する
守ることに必要な情報じゃないって僕は思ってるんで
なるほど
今ちょっとアクティビズムの話になったんで
少しその話にすると
僕が難しいと思うのは
嘘が混じっていることが
客観的なデータから裏付けられている
事象がままあって
というのは表には出せないけど
攻撃の事象そのものを
自分が見れる立場だったり
お客さんだったりとか
そうでない場合も含めて
明らかにこれは攻撃がなかったってケースがあるわけ
だけども
攻撃がありましたって言ってるってケースが
あることを知っているから
そうすると
第三者の立場で見ると
それが正しいかどうかは全く判断できないわけ
そうですね
単なる主張なわけ
例えば僕らがまとめて言っちゃうと
あたかも事実誰かのように
見えちゃうから
それはどうなのかなって思うことがあるんで
それは言わない方が
望ましいような気がしていて
逆に当事者が言っているのであれば
それは言っても
別にいいのかな
見えづらいアクセスしづらい時間が
ありましたみたいなことを言っている
だから攻撃者の情報を言うというよりは
受けた側がこういう攻撃を受けました
っていうのに関しては
それがいいのかなっていう
線引きはその辺かな
当事者が言っているか言っていないか
当事者が言っていないことに関して
実際の当事者は
何も言えない立場のことが
多かったりするけど
実はでも
攻撃を受けていなかったら攻撃を受けていません
ってわざと言わないから
そうすると分からないわけ事実は他の人には
知る術がないですからね
でもそういう知れる人からすると
明らかなわけ
ないってことは
でもそれがその第三者から分からないから
その第三者から判断つかないようなことは言わない方が
余計な
誤解を招く
アノニマスもやってないのに
とか成果が出てないのに
やったって言ったり
あとはなんか
小手先のあれで
サイトのアクセスのチェックするサイトってあるじゃないですか
チェックホストとか
チェックホストのやつでURLを見ると
もともと
www.っていうのを削ったら
アクセスできひんのですよ
そうやのに
wwwわざとつけずにアクセスできひんで
書の画面だけを出してやったっていう
差も落ちてるかのように
そうそうそういうのは結構間引いたりとかは
してはいたんですけど
そういうのがね
長年見てるっていうか
専門家の立場だったらさっきの話じゃないけど
パッと見て分かるとか
ちょっと調べれば分かる
ということが
そういうふうにまとめられると分かんなくなっちゃうわけ
その重要な部分が
すっぽり抜けちゃうわけ
なのでそれは難しい
難しいというか占拠としては
必要かなっていう
あとはこの人たちが
このアカウントたちが言ってるだけなんで
本当かどうか分かりませんよってことを
注釈を入れたとしても
そこが抜けて伝わるケースがある
それはね
単なるエクスキューズっていうかさ
無責任と取られかねない
そう
それはちょっとよろしくないですか
そうなんですよね
そういうつもりはありませんよっていうことでしょ
それちょっと逃げてるよね
それ書くのもちょっとなっていうのもあるし
そうでもしないと
真意が伝わらないようなことは
言わないほうがいいかもしれない
うんうん
そこはね今の僕やったらもうやらへんかな
えぇ
鶴さんも大人なりましたね
人に言われたらちょっと嫌やな
自分で言うのも悪いけど
人に言われたらちょっと嫌な気になる
俺からやったら
それは言ってもいい
でも難しいね
でもそれはね
さっきの話じゃないけど
別にこうするのが正解ってのがあるわけじゃないし
多分僕らの間でも意見が違う
この3人の間でもね
他の人だったら多分もっと違う意見があると思うんだけど
正解はないなりに
ランサムウェアの公開と報道
まあいったようなことを考えることが大事だと思ってて
情報発信するときの
そこまで考えて出しましたのか
何も考えて出しましたのかは
結果が同じでも
仮定が全然違うから
と思うけどな
まあそれも言い訳なのかな
でもなんかこう長く接してき
歳取っただけじゃなくて
長く接してきてるからっていうのもあると思うんですよね
それをなんかこう
それも伝えなあかんのかなって思うときあるんですよね
長くだから分かることってこと?
そうそうそうそう
こういう風に迷惑をこう思う人がおるんかなとか
そういうのってやって
運みたいなことがあるじゃないですか
気づけるかどうかって
言ってもらえるかどうかもあるやろうし
まあ結構耳に入ってくることもあるもんね
あるあるある
そういうのを見てるとね
最近とかもハクティビストだけじゃなくて
情報のリークっていうのに注目を集めやすいやつ
先に寛吾さんが紹介したら
そこで注目を集めて発信をしちゃってる人とかを見てると
あ1週目なんかなこの人みたいな感じで思うんですよやっぱり
君は何週目なの?
僕たぶんもう17週くらいしてると思う
たぶんね
まあだからそういうのは
ある程度そういう
フィードバックを受けながらっていうか
何週目か分かんないけど
そういうのを得ないとなかなか難しいかもね
そうなんですか
そういう成熟が必要だと思う
国もそうだし
社会全体としても
さっき言った千引きが
もうちょっと明確になるような
風に成熟しないと難しいんだと思う
合意形成みたいな感じというかそういうものが
そういう意味では
そういうのができつつあったような気もするけど
何となく
何かあるとガラッと変わっちゃうもんね
できつつあるなと思ったんですけど
ここ最近吹っ飛んだ感じがしていて
確かにそれぞれ個別の事案ごとに違ってくるからね
アノニマスとか
アノニマスとかそういうのはある程度落ち着いてきたりとかして
メディアの方と話をしてても
お家は取り上げないですみたいな
多いんですよ
聞くんですよね
結構過去に記者の方から相談されたりとかね
これは取り上げるべきか
あと何か信憑性がどれぐらいあんねんとか
あいつらは嘘ついてくることもあるみたいなこと
知らなかった時代もあったじゃないですか
なので結構最近は
アノニマスの話
日本向けってほとんどないですけど
ちょっと前とかやったら結構聞かれましたね
ついさん今回の件も調べてはるんですか
調べてますよみたいな
でもアノニマスに限らず
攻撃者側の一方的な主張っていう側面は
最近でもいくらでも
いろんな場面であって
攻撃に関してもね
それをどう取り上げるかっていうのは
ずっと課題だよね
難しいと思う
ランサムリークやったら
じゃあどこまで伝えるとかね
それもだから攻撃とか
ケースによって多分
判断基準が変わってくるか
なって気がするんだよね
攻撃者の名前を言うのか
言わへんのか問題とかも
ありますし
自分たちって被害者
個社名出す必要ないですけど
いろんな会社が被害にあてて
自分たちでランサムとも何とも
言ってないのに
リークサイトに載っちゃってるから
言ってしまうとか
あとこれは僕の個人的な意見とか
個人的な感覚で言いますけど
酷いもので言うと
リークもされてないんですよ
なのに
交渉サイトに何かしらの方法で
入って
いわゆるランサムノートを
入手してってやつですよね
海外のメディアでもあるよ
それは賛否両論あって
交渉の様子をそのまますっぱ抜いて
チャットの内容とかありますよね
海外のメディアでも結構大きく取り上げられたんだけど
それはね
賛否真っ二つです
そういうもんだよ
それは国内限らず海外もそう
じゃあ海の向こうも
それをどうするべきかみたいな
そういう事実が
明るめに出ることによって得られるものもあるし
失うものもありますね
っていうのはしょうがない
しょうがないって言っちゃうのはあれか
まだまだこれからみたいな
ランボかもしれないけど
どっちもあるよね
そういうのを経ながらさっき言った
何週間重ねていかないと難しいかもしれないね
あとタイミングもあるのかな
いつ言うか
いつ発信するか
確かに
さっきのね
自分たちで発表してないのに
リーグサイトに載ってるからっていうタイミングで言っていいのか
ここが結構最近
ずっとそこの線引きはあって
自分たちで言ってるんだったら
言ってる内容に関しては
触れてもいいかな
そこ結構私も同じかもしれない
ランサムにやられてますとしか
言ってなかったら
ギャングの名前までは
基本触らないようにするとか
なかなかそういう細かい機微はさ
僕らだったら分かるけど
一般には伝わんないな
結構ほんと
最近はほんとふっとんだなと
接種情報にまで言及し始めてるっていう
個人が
一周回るって話がありましたけど
回るに対して
自発的に
これちょっと違うなって気づければいいんですけど
社会的な制裁であるとか
それこそ法的な取り締まりを受けるとか
ってなってしまうと
それは悲しい状況でしかないので
本来は
例えば今回のランサムウェアの事案であれば
ランサムウェアを使った人
不正アクセスをした人が
本当に罰するべき人であるにもかかわらず
それはちょっと別にして
実際に漏れ出た情報を
リークされた情報とかを
使い方をちょっと
誤ってしまって
結果その人が
逮捕されるとか
それこそSNSで炎上してさらし者になるとか
それはちょっと
一周回るっていう意味でも
代償としてはかなり厳しいな
っていう風には思うので
そうはなってほしくないなっていうのは
個人的な希望ではあるんですけど
そういう人が出てくる前に
タイミングと線引きの難しさ
なんとかなればいいかなと思うんですけど
一番強力なのはそれなんですよね
それがあるとみんなお呼び越しになってやらなくなる
っていう効果も一定あるのかな
はっきり線が見えるわけですからね
そこである意味
そうなんですよね
いろいろな線を引いているんですけど
皆さんはどうですかって聞きたくて
みんないろいろ各々の線引きがある中で
時にはその線が重なったり重ならなかったり
の部分で
意見の相違があるんだろうなって
SNSなんか見てても
特に最近なんかは結構はっきり分かれるな
っていうのは見てて思いますね
ただそれでこう
誰もが触らなくなったりとか
報道しなくなったりっていう風なのも
あまり良くないなと思って
そういうことに気を付けたり
線引きを個々人とか組織とか
メディアとかでやらないといけないなと思いつつも
やっぱり好評はしてほしい
共有もしてほしいっていうのがあるんで
そこで絶対また出てくるんだろうな
って思ってるワードが
それは攻撃者にリスるんでみたいな
それで逃げるのもあんまり
世の中にとって良くないのかなとは
思ってるんでね
これからも続けていこうかなと思ってますけど
そこら辺のバランス感覚がね
難しいところだけど
なんか一方言うと
一方の肩持ってるんかみたいに言われるのも嫌で
だから最近あんまり
触らへんようにしてるところもあって
聞かれるまで答えへんっていう線も
良いかなって思ってる僕は
あとはあれですね
聞かれた時に答える時によく
最近は気を付けなきゃなって思ってるのは
みんな忘れてるかもしれへんけど
被害者、被害の組織も
そこから漏れてしまって
そこから漏れた時のこの人たちも
両方被害者やってことは忘れてはあかんな
っていう風なのは思いますよね
なんかちょっとええこと言うた今
被害者の立場と社会的な制裁
そうでもない
そろそろこの人の話
終わらへんのかなってみたいな感じになってた
リリスさんからそのオーラは
笑ってたもん今
今回公開収録で
本当にはっきり見て取れたから
確かにいつもは表情見えないから
いつもは本当になんていうか
英語と言うんやろお前
これがその顔です
付き合いないからね
ありがとうございます
ということで
今日もセキュリティのお話は3つしてきたんです
収録でしたね
セミナー感が
居酒屋の通いはないんやからね
おすすめのあれっていうのを
セキュリティほとんど関係ない
なんでこれ始めたのかも
あんまり思い出されへんのですけど今となっては
僕が最近気になったこと
使ってよかったなとか
みんなに聴いて欲しい音楽みたいなものを紹介する
コーナーなんですけど今日紹介するのはですね
メグリズム
炭酸で柔らか足パック
ラベンダーミントの香りです
おー癒し系?
癒し系じゃないかな
足のふくらはぎとか
初めて聞いたんだけど
もう一回言ってもらっていいですか
メグリズム炭酸で柔らか足パック
ラベンダーミントの香り
そんなおもろいかな
一回で入ってこなかったんで
長いもんね名前がね
どういうとき使ってんのこれ
結構歩き疲れた日とか
立ち仕事多いときとか
なんかありません?足むくむとき
座り仕事でも
ずっと座ったら足むくんで
寝るときに足だるみたいなときないですか
あんまり俺感じたことないかもしんない
えー
僕なんか足めっちゃだるくて目覚めるときあるよ
えーそれはない
だるくて柔軟しが
足ちぎったろかなと思うくらいだるときないですか
全然ない
足バーンちぎってもんだろかなみたいな
でも俺だから寝る前に毎日ストレッチするのが日課になってるから
あんまりそういうだるさを感じたまま寝るってことはあんまりない
ストレッチして多少すっきりしてから寝るから
ストレッチは毎日されてるんですか
ほぼ毎日してる
お風呂上がりのストレッチは日課だから
週間化してるんや
そういう時は使うわけ
そういうのにならへんようにするために
今日多分これ来るなみたいな
わかるんですよ
今貼ってるんですか
貼ってない
貼ってないよ
柔軟性は言う話なんですけど
柔軟してもやっぱりなるときはなるんで
あとはほら最近
だいぶゴートゥーサマーな感じきてるやん
今
夏の暑さへの対策
なんで英語で言ったの
ゴートゥーサマーな感じ
だいぶゴートゥーサマーって
好きなんすよそういう言葉が
語呂だけでしょ語呂だけ
聞いたいだけみたいなところあるけどさ
でも暑いでしょ
メグリズムって言ったら有名なやつは
蒸気で合いマスクなんですよ
そっちは知ってる
同じシリーズなのあれ
それの違う足バージョンの
足バージョンの冷たいバージョン
これあったかいのもあるんですよ
でももう嫌やん今は
暑いのも
結構動いたりとか
立ち仕事が多かったりみたいな
イベントでずっと座る暇なかったとかも
あると思うんですけどそういうときって熱持つでしょ
足がそのときにもかなりいいんすよ
6時間
効くんで
結構長く効くんだね
カモさん今張ってるんですかって聞いたのも
結構大事なポイントかなと思ってて
疲れる仕事する前から
張る人もいるみたい
そうすると疲れ方が変わってくるみたいな
とこもあるんで
前に紹介したんだけど
コリコラン
コリコランワイド
そう
そういうのの商品紹介
結構多いよね
健康グッズじゃないですけど
体大丈夫?
いろんなとこ悪くなってくるやん
正直
そうなってきたら
欲しいもんいろいろあるんですけど
一番欲しいもんは健康みたいなものがあってくるんですよ
確かにね
なるほどね
健康寿命の重要性
健康寿命大事やん
当たり前だろって言ってる
でもほんまにやっぱりガタ来て気付くこともあるやん
早め早めに
肩車にできる
いいかもね
自分をいたわる時間にいいんじゃないでしょうかと
暑い夜に張るのもいいんじゃないかなと
ということで紹介させていただきました
はい
そんな感じか
これでいつも終わってたもんね
また次回のお楽しみです
ばいばーい