00:00
ちょっと告知があるんです。 先週も告知しなかったっけ?
なんかね、告知をしたりしなかったりでしょ? まあまあそうね。
A社のイベントしたんやったら、B社のイベントもした方がいいなっていうのと。 バランスで?
そうそう。なんかやっぱりこう、あとは僕、まあお二人はちょっとそういうふうに言われないかもしれない ですけど、あの辻さんっていつ仕事してるんですか?とかたまに言われることがあって。
ちゃんとこういう人前に出て、明らかに仕事だと分かるものも言っていこうということなんですけど。
あの結構前から僕ら3人で出てる、ITメディアのセキュリティウィークっていうのあるじゃないですか。
はい、いつもやらせていただいてますね。 そうそうそう。それがですね、
3月の3日から3月の11日まで。 土日挟むから全部全日程ではないんですけれども。
それでは今回も我々が出させていただくということで、僕らが出るのは3月の5日水曜日 15時10分から15時50分までの40分ですね。
はい。 でまぁ今回はちょっとなんて言うんですかね、いつもよりもかなりこう熱の入った。
そうか。 あれ?お、温度差が生まれている。 いつもいつも熱が入ってる。いつものね。
確かに確かに。 別にそんなに特別感はないけどな。 あ、ほんまですか。なんかちょっとまぁ僕だけか、じゃあ。
いやいいですよいいですよ。毎回毎回これまでのやつを越えていこうよ。 そうですね。
はい、熱入れて。 今年最高の冷え込みみたいな感じでね、毎回更新されていくみたいなやつ。
タイトルが、対象領域は明らかにしないといけないからっていうタイトルで。 なんか聞いたことあるような感じ。
ほんまですか?僕も聞いたことある。 気のせいかもしれない。 いや、それはね気のせいではないんですね。
それはそういう似たようなタイトルのゲームがあります。 タイトルから分かる通り、アタックサービスマネジメントの、ちょっとこうよく聞くようになったけど、
なんかこう、でもあれ僕ら2年ぐらい前に一回アタックサービスで喋ってるんですよね。 喋ってますね。
そう。なんでそこから時間も経ったっていうので、いろんなところでいろんなASMが生まれてきてるんで、
そういう整理をする意味も込めてやりながら、それでほんまに大丈夫かみたいなことをちょっと議論していくっていう、
我々らしいっちゃ我々らしいたてつけかなと思うんですけども。 そうですね。
ぜひね、お時間合う方はこれ見ていただいて、これ後日配信とかあるんでしょ? 確かあるはず。
申し込んどけば見れるのかな? そうそうそう、たぶんそうですね。まだやってますもんね、受付もね。
そうそうそう、ぜひ。一旦申し込んでもいいんでね。 しておいていただけるといいんじゃないかなというふうに思います。
はい。 ということで今回もですね、お便りが来ておりまして。 はい、お願いします。
毎週楽しくためになる配信ありがとうございます。 我が家も給湯器が壊れ温かいお湯のありがたみを感じています。
03:01
気持ちわかるわ。気持ちわかる。 給湯器ってそんなに壊れるもんなんだなぁ。
そうなんですね。時期はあるんじゃいます? 今みたいに告知する時期というか。
そうそう。でね、ディープシーク絡みのお話の中で、どこの国だからダメではなく製品ごとに確認すべきという内容があったかと思うのですが、
クラウドのリージョンの選定やアプリの選定など、確認すべきポイントがあればご享受いただければ幸いですというふうな質問が来ています。
なるほどなるほど。 何を採用するかというのの基準とか、ポイントなのかな?
ちょっと質問の趣旨とは違うけどさ、 その元々のそのディープシークが中国製のLMだからとか、
あと最近その手の話題は結構その中国製の機器がバンされるだとか、 あとロシア製の製品が使えなくなるだとか、
特にアメリカでは結構ねTikTokがバーンされたり、カスペルスキー製品がバーンされたり、
なんだかんだ、あと最近だったんだけどTP-Linkがどうどうとかさ。 そういう話題になってますね。
なんかそういうやっぱり背景がそういう国家の争いがちらつくようなケースっていうのが結構増えている。
だから今以前よりも技術的にはそういうのを使いたいけど、後々使えなくなるリスクっていうのはなんか以前よりもだいぶ増したというか。
それこそ日本では今あんまりそこまで厳しくなってないけど、諸外国ではそもそも法律で禁止されるとかさ、
あり得るわけだし、日本でもやっぱりそういう右に倣えで使いにくくなるとかっていうのは実質起こり得るので、
サービスが撤退しちゃうとかね、そういうのでわかんないけどさ。
だからその製品選定とかサービス選定をする上で、その辺はなんかちょっと以前よりもだいぶ気にしたほうが良くなってきているとは思うんだけど、
逆にその時々あるけど、例えばそのデータセンターは日本にありますか的な。
うんうん、よく聞く話ですね、それね。
国外に持ち出せないとか、いろいろそういうセンシティブなデータを扱うからとか、理由は様々だと思うんだけど、
国内で提供されているクラウドといえども国内のデータセンターを使いたいみたいなニーズってのは以前からあって、
そこが一つ差別化要因だったりとかするけども、逆にじゃあ日本にあればokなのかみたいなね。
日本にありさえすれば他はいいのかっていうと、まあそうとも言えないしさ。
そうなんですよ。
ね、あとそのまあわかんないけど、サービスのこれもサービスによるけど、例えばDCEで運用されている国産のサービス、
だから良くて海外のサービスがダメかっていうと一概にそうは言えないだろうし、
やっぱり競争力の差っていうかその規模の差があるからやっぱりどうしてもその価格面、機能面では負けてしまうこともあるとかさ。
06:01
なんかその以前はなんかそういうことあんまり考えずに、クラウドだからインターネットだからどこでも使えるから便利だから安いからとかっていうような、
すごくシンプルな理由で使えたものが、なんか今は使いにくくなってるっていう側面がなんか以前よりもあるのかなっていう気がする。
最初はね、可用性の面とか費用面とかっていう、まあいい面ばっかりのところがあって選ばれてたけど、ちょっと様相が変わってるというかね。
そうそう。だからその質問に対してちょっと正面から答えてないけど、いずれよりもそういうことも気をつけるようにした方がいいかなっていうのはちょっと思うけどね。
そうなんですよね。例えばその中国、ロシア製のものはやめようってなったとって、じゃあアホならアメリカやったらええんかって話になるんですよね。
そう、そうなの。実はね、なんかそういうこともあのあんまり考えずに使っているけど、実は我々その国産のものを使ってることってほとんどない。
少なくともITの世界に関しては。
特にですよね。
これは結構前からいろいろ言われてることで、国産製品をもっと頑張って作ろうみたいな動きはあるにはあるけど、まあでもね、実質どのくらい使ってるんだみたいな話はあって。
そうですね。例えば我々がアメリカに住んでるアメリカ人なんだったら、じゃあアメリカ製品を使おうでなんとかしのげると思うんですよ、ある程度。
日本になるとその話は通じないっていうのがあるから、結局何を信じるかっていうのと、今までもう何か考えてなかったけどもう選んじゃってるからその延長でやろうかぐらいの選択肢しかあんまないような気がするんですよね。
ただだから、最初に選ぶときに以前よりもそういう気にする観点が増えてるっていうことと、何かあったときに変更できるとかね、ロックインしないようなっていうのはちょっと考えたほうがいいかもしれないね。
何かあったらすぐに別の製品なりサービスなりに乗り換えられるかとか、そこら辺も少し以前よりも重要度が増している気はするけどね。
そういう中、なんとかセッチュアみたいに落とし込まれたのが日本リージョンのクラウドっていうところなのかなと思いますよね。
選ぶ立場の人たちは大変だと思うけどね、第三者的に偉そうに専門家が言うのは簡単、今僕もちょっと分かったようなこと言っちゃったけども、
実際に導入する人たちが選ぶ観点っていうのを考える上では、そんなこと考えたらコストが上がっちゃいますけどいいんですか?みたいなね。
そうですよね。
いろいろある自治体クラウドとかの話もあったりするじゃない。政府のガバメントクラウドの推進しろみたいな話があって一生懸命やろうとしたらむしろ逆にコストが上がるから導入を諦めたみたいな話があったりとか、
本末転倒の話になっちゃったりとかしてて、これがいい方法って思ってやったことがうまくいかないようなことはいくらでもあるからね。
09:00
セキュリティ関連でもそういうところはちょっと考えた方がいいかもしれないっていうかね。
そうですね。選定するときにどこで自分たちは納得できるか、これならまあしゃあないって思えるかっていうところしかないような気はするな。
そうなんですよね。バランスをうまく考えて評価してっていうことだね。
あとは使えなくなったときに他どうするっていう次を考えておくってぐらいかな。
ありがとうございます。
海外で話題になっているって何を見ればわかるんだろう?日本の新聞は毎日読んでるんだけど海外で話題になってるかどうかの情報入ってこないっていう。
それはあれセキュリティの話題とかニュースっていうことなのかな?
だと思いますね。
それは確かに日本のIT系のメディアだったり、主要な新聞雑誌系のメディアとかでもいいんだけど。
海外の話題を取り上げているものもあるけどセキュリティに関して言うとやっぱりちょっと遅れて入ってくるとか、よほど重要なものとか国内にも関連するもの。
日本でも広く使われているサービスとか、そういうようなものに限ってはメディアとしても流す価値があるから出してくれるけども、それ以外のものは自分から見に行かないとなかなかキャッチしにくいよね。
日本で起きている日本のことだったら出ますけど、海外で起きている海外の会社のことってなってくると、よほどインパクトがないとね。
先週、先々週だから珍しく質問があったから話したかもしれないけど、もし海外で話題になっている最近のとかホットなセキュリティのトピックを知りたいと思ったら、やっぱり自分で見に行かないとダメだと思うよ。
直接が難しかったらそういうのを話題にしている。例えば、看護さんがよくそういうのを出しているってわかっているんだったら、そういう人たちの取り上げてるネタを見に行くとか、
この前看護さんが紹介してくれた、そういうニュースをまとめているものっていくつかあるので、それを見に行くようにしてみるとか。
もっとリアルタイムに見たかったら、それこそ本当に海外のニュースサイトとかを自分でチェックするようにしないと無理だと思うし。
そうですね。これ結構僕、どっちの意味で言うてはんのかなと思ったのがあったんですけど。
どっちの意味っていうのは?
ニュースで報道されているっていうものなのか、いろんな多くの人が話題にしているってことなのか、違うかなと思ってて。
ニュースをまず見るっていうのは、海外で自分が撮りに行くっていうのは、ネギさんがおっしゃったのもその通りだと思うんですけど。
それって本当に気にしている人がおんのかとかだったら、SNSでその単語で見てみるとか。
あとはニュース記事の中には、そういう被害を報告している人が掲示板とかに書き込んでいるとかっていうのがあれば、何件ぐらい書いているのかとかって、
レディット見に行くとかっていうのは結構僕はするもの。
その場合もそういう話題が今あるっていうのはね、取っ掛かりが必要だよね。だからそれを知らないと探しに行けないよね。
12:05
そのぐらいのパターン。ニュースを見て、SNSとかそういう人が書いているのを見れる場所を見るかぐらいの感じかなっていうふうに思いますね。
その辺は自分からそういうのに対するアンテナを広げておかないと、なかなか国内のメディアとかだけでは入ってこないよね。
はい、そんな感じです。
あとねぎしさんが取り上げてくれてたやつが、いくつか、結構何人かからお便りがこれ系のやつ来てまして。
先週のやつ?
Appleの。
ADPが無効化されるっていうやつあったじゃないですか。
具体的には、ADPをオンにしようとするとエラーメッセージが出るんですって。
そうそう、それねちょっと今週動きがあって、金曜日かなぐらいに。
そうそう、金曜から。
イギリスのメディアとかで結構話題になって、それはそれで騒ぎになってるんだけど、
先週言ってたみたいにイギリスのユーザーに対しては高度なデータの保護、アドバンスとデータプロテクションを提供しないっていう決定になってしまって、
今どうなってるかっていうと、新しくユーザーがそれを使おうと思うと使えませんってイギリスでは表示される。
ちょっとイギリスっていう括りをどうやって認識してるのかよくわからないんだけど。
どういうふうにチェックしてイギリスって判別してるのかわかんないけど、それを置いといて新規設定をオンにできなくなっているのと、
イギリスでそのオプションを利用しているユーザーは当面使えるんだけど、
Appleの人が言うには遠からず将来的にはそれも無効になりますって宣言しているので、イギリスでは使えなくなることになりそうっていう。
そうみたいですね。
これは非常に良くない。仕方ない。Appleにしてみれば仕方ない。バックドア作るよりはこっちの方がいいだろうっていう。
背に腹は帰らないぜっていう選択だと思うんだけど、
ただこれやりだしたらさ、同じようなことを他の国が要求したら各国ごとに全部無効にしていくのかって言ったら、
実質的に意味がなくなっちゃうので。
しかも住んでいる国によって使えるセキュリティの機能に差が生まれるっていうのは、
これはちょっと提供時期に差があるわ、これはしょうがないと思うんだけど。
順次提供みたいなやつですね。
そう、例えばApple Intelligenceがアメリカから先で使えますみたいなのはしょうがないじゃん。
まあしょうがないですね。
日本語対応も4月ぐらいからできるらしいけど、それは仕方ないけどさ、でもセキュリティ機能は誰でも使えなきゃダメじゃん。
そうですよね。
そう思うんだけど、それがこういう理由で、あんたらの政府がこういう変な要求してきたからって言って、
そのツケを国民に回すっていうのはしょうがないと思うよ。
国民が選んだ政府が決定してる話だから、不利益をこむってもしょうがないでしょっていうのは、
15:01
そうかもしれないけど、これはちょっと良くない方向ですね。
ですね。
残念、非常に残念です。
本当ですよ。
お便りというか取り上げてくれて帰ってくれた人結構いたんだ。
3、4人いらっしゃいましたよ。
ポッドキャストで取り上げた回があったっていうもんだね。
なんか動きありましたねみたいなのをちゃんとウォッチしてくれてた人たちが何人か。
結構イギリスのメディアとか海外は割と金曜日ぐらいから騒ぎ始めたけど、
まだ日本ではそんなに、もともとのネタもね、日本ではあんまり取り上げられてないぐらいだから。
昨日日経がやっと取り上げた。
本当。
けな、確か。
ちょっと話変わってみますけど、日経といえば、ちょっと遅れて先週ぐらいでしたっけ、
ネギスさんがやってた、ニアレスとネイバーアタックでしたっけ?
あー、地球の裏側から攻撃されたぜってやつ。
Wi-Fi踏んで踏んでみたいなやつで、隣のビルからこんにちはみたいな。
あれだいぶ昔取り上げなかったっけ?
そうですね。
結構前なんですけど、先週ぐらい日経にそういう系のやつ出てましたよね。
本当?
それぐらいさっきの話じゃないですけどね、タイミングに差があったりするなっていうのはありますね。
そうだね。直接自分たちに関係するものとか、話題性がよほどないとなかなか取り上げにくいのもあるよね。
だからこそ僕らみたいな、こういう草の根メディアっていうか、
はいはいはい。
ポッドキャストみたいなものが、そういう話題を取り上げる意味があるっていうかさ。
確かに確かに。
確かに確かに。
そうですね。
そういうニュースを取り上げるんだったら聞いてみようとか思うじゃん。
そうですね。
やっぱりいろんなメディアありますけど、記者の人がこれはいいと思っても、それが必ず記事として出せるかとも限らないですしね。
そうだよね。
タイミングもありますからね。
そうそうそうそう。
なのでそういうところの隙間を狙っていきたいと思いますということですよ。
はい。
今日お便り多いんですけど、これカンゴさんの過去のネタに関係あるかな?
ビットリーが無料ユーザーが発行した短縮URLに広告を挟むというふうに改定すると発表した件について、
稲毛屋さんの事案と同じことが起こるかもと思っており、短縮URLサービスについての見解をお聞きしてみたいですというお便りです。
稲毛屋さんってあれだっけ?短縮URLをなんかチラシかなんかのQRコードかなんかに貼ったとかやつだっけ?
うん。
あったね、そういえばね。
一回踏むところのサイトに出てくる広告が変なところに誘導されちゃうようなものでしたみたいなやつですね。
うんうん、あったね、そんなのね。
まあ短縮URLをそもそも使う必要があったか見たら、確かその時はそんな話をした気がするんだけど。
そうですね。
なんか多分URLがやたら長かったりすると、そのQRコードも読まれへんような細かいものになるし、
広告の中に収まれへんからみたいな、そういうのあるんじゃないですかみたいなご意見ももらいましたけど、
とうとうこのビットリっていいのかなっていう感じなんだけど。
まあかなり老舗の短縮URLのサービスだよね。
結構使っている人もまだまだいそうですよね。
だってXがツイッターの頃の初期の頃からこれね、よく見ましたもんね、このアドレス。
18:03
ツイッターは途中から自前のやつに変えちゃったけどさ、あとほらなんだっけ、Googleとかもやめちゃったし。
Googleやめちゃいましたね。
結構その短縮URLのサービスって良さげなやつが意外となかったりとかして、
まあでもあればあったら便利だから使いたいと思うんだけどみたいなね。
そうか広告が出るようになったのか。
そうだから出ないようにするにはその短縮する側が有料プランに入らないといけないのかな。
なるほどね。
なるほど厳しいですねそれは。
そうそう有料プランに入るとそれは非標準じゃん。
これどっちがどっちなのかな、短縮する側なのかな。
短縮する側が有料で作ればそのURLは出ないとかそういうことなのかな。
使う人は出ないと。
多分そうだろうね。
でしょうね。
まあマネタイズするためにはそういうのは仕方ないと思うんだけど。
やっぱりそうなっちゃうんですね。
まあでも広告ってなあなんかまあちょっと必要だとは思うけど、
まあなんかねその悪意のあるものが入り込んだり、結構そういうのの温床にもなり得る。
そうなんですよね。
悪い面もないわけでないから難しいよね。
まああからさまに広告ってわかるものだけを出してくれるならいいんですけど、
続きを見たい方はこちらみたいな短縮URLのクリックとなんかすごい、
なんかその先ついクリックしたくなるような広告が出たりするようなケースになると、
まああんまりねそれはよろしくないんじゃないかなっていう風な感じはしますよね。
どうね。
あのQRコードの話もなんかその辺もうまくというか運悪くというか、
その辺がうまく噛み合ってしまってタップしてしまうっていうケースが多発してたとは思うので、
広告のちゃんと制御をしっかりしていただけるんだったらありかなと思うんですけど、
なんかそうはならないんじゃないかなっていう気は。
ユーザー側からちょっとコントロールしにくい部分ですね。
そうですよね。
広告はね特にね。
最後のお便りです。
面白かったという感想とですね、
セキュリティでふと思ったんだけど、
いろんな会社のCISOってどんなキャリアパスや経験で到達するものなんだろうか。
難しいなあ。
これなあ。
いきなり外から呼ばれてCISOみたいになると思いますよね。
そのパターンもありますね。
たくさんパスあるし、そもそもねそもそもCISOの、
これはCISOとかやってる人の方が詳しいと思うけど、
位置付け自体が会社によって結構だいぶ違うんで。
確かにそれはありそう。
どこまでをその業務の範囲として見るかっていうのも違うし、
あと例えばその兼務してる人とか結構いたりとか。
多いですよね兼務。
かなり多いし、
立場的にその役員対象とか結構偉い人の場合もあれば、
全然そういう人たちよりも一段その試職から比べると一段低い役職の場合もあったりとか。
確かに確かに。
これはなんかね会社によってだいぶ違うと思う。
そうですね。部長クラスの人とかでもやってるとかもいらっしゃいますもんね。
21:00
あとはなんかこうセキュリティの部門とかを統括して見るようになったから、
あなたCISOも兼務ねみたいなのもあったりしますよね。
ただまぁわかんないけどなんだろうな、
技術畑っていうかそのセキュリティのそのエンジニア系っていうか、
そういう人からなる人はひょっとしたら少ないかもしれない。
という気はなんとなくするけどね。
そうでもないんかな。
僕の知ってる人が周りの人はそういう感じじゃないというか。
CTOになる人はいるけどね。
確かに確かに。
セキュリティ系の技術者専門家からなる人はあんまいない気がするけど。
そうでもないかな。
ちょっとこれは僕もよくわかりません。
あんまりサンプルがそんなになくて知りません。
そうなんですよね。我々誰一人としてCISO経験があるわけではないので。
周りを見てこういう経歴の方がなられてるなっていうのを見てるぐらいやけど、
様々じゃあ様々かな。
様々だね。
その質問してくれたあれ程の人はCISOを目指してるのかな。
どうなんですかね。この質問の意図ってことですよね。
どうやってなるのかなみたいな意図なのかわからないけど、
単なる興味なのかわかんないけどね。
近しいところにいるCISOを見て外の人を見たときに全然違うやんって思ったかもしれないですね。
そうだね。
そんな感じでございます。
大変な職務だと思いますけどね。
本当ですよ。
お便りは以上でございます。ありがとうございます。
お便りをくださった方にはですね、呼んだ方には
セキュリティなりのステッカーの印刷コードを差し上げます。
5つ揃ったのを教えてくれたらセイクレットを差し上げます。
よろしくお願いします。
よろしくお願いします。
はい、じゃあ今日もセキュリティの話をぼちぼちしていくんですけども、
今日はカンゴさんからいきましょう。
はい、今日私はケラっていう会社の脅威インテリジェンスとかをやられてる会社がありますけども、
サイバー犯罪のトレンドに関するレポートっていうのを公開されまして、
いろんなトピック取り上げられてるんですけども、
その中でインフォスティーラーについても取り上げられていたので、
そちらを今日はちょっとご紹介というか概要をお話ししたいなと思っているんですけども、
インフォスティーラー、これまでも多分このポッドキャストとか、
さっきついさんご紹介されたセミナーとかでも、
たびたび私たちでも取り上げられている注目の脅威の一つっていうんですかね、
取っ掛かりというかサイバー攻撃の初期侵入、初期アクセスにかかる手段の一つとして、
真っ先に名前が挙がってくるそういった手口やり口ということで、
インフォスティーラーに感染して認証情報が盗まれてっていうところは、
これまでもお話ししてはいたかなとは思うんですけども、
今回ケラが確認した内容においては、
インフォスティーラーに感染している端末、
24:01
これまでもいろいろ統計情報を出されていたかと思うんですが、
2024年においては430万台以上の端末で感染を確認しましたよと、
ちょっとこれどうやって確認したのかっていうところは具体的に書かれてなかったんですが、
430万台以上の感染端末を確認してですね、
インフォスティーラーですので、その端末から3億3000万件の認証情報が漏れたと見られる、
そういった状況も確認したというところでして、
これちょっと私の計算が間違ってなければ、
多分1台あたり80件近くですかね、単純計算で、
80件ぐらいは多分認証情報が漏れたっていう風に見ることができるのかなと、
当然ながらケラー社も2025年においても、
このインフォスティーラーの脅威っていうのは引き続き注目すべき、
そういった脅威の一つであるというところは書いてはいるんですけども、
インフォスティーラーのケラーが確認した状況などがつらつらとまとめられてはいるんですけども、
感染したマシンの8割近くにおいては3つのインフォスティーラーによるものでしたというところで、
そのうちの1個はレッドラインでして、これは法事後期間のオペレーションで、
これはもう停止状態にあるっていう風に見ていいんですかね。
これが16%と。
あとはルマ、LUMMAと書いてる、これが結構割合としては多くて4割ちょっと40.38%と。
続いてスティールC、これが20%ということで、
このちょっとレッドラインは法事後期間の対応が捉えましたけども、
この3つが8割近くを占めているというところで、
さっきの430万台というところにつながっているんですけども、
その430万台においては感染したマシンの約40%においては、
組織とか企業とかそういったところの機密システムに関わる認証情報が含まれているというところも分析されたようでして、
例えばCMSとか、あとはメールであるとか、
ちょっと具体的なところを書かれてるんですけど、ビジネスクラウドソリューションズ。
ビジネス用途のクラウドサービス系のアカウントなんだと思うんですけども、
そういったものであるとか、そういうところなどが含まれていてですね、
この辺りの情報からかなりの件数が、あとはVPNとかですね。
VPNとかも対象としては入っていたというところで、
さっき言ったビジネスクラウドソリューションとかCMSについては、
27:03
割合だけでいくとそれぞれ20%を超えていたりとか、
メールも1割超えというところで、
リモートデスクトップとかも入ってはいたんですけども、
それは割合としてはちょっと少なくて2.64%というところではあったんですが、
ただそうは言っても保存はされているんだなというところではあったかなと。
こういった情報などを踏まえて流出したという形でケラーが確認したデータセット、
これは本当に今回のインフォスティブに関わらず、
本当に流通しているデータセットっていうのを見ていく中で、
そのうち65%は個人のPCに保存されていた企業の先ほども言った通り認証情報であって、
当然ながらこれがインフォスティーラーによって盗まれたものに加えて、
あとは私なんかそういう呼び方あるんだって知ったんですけど、
URLログインパスって書いてあるのがULPファイルっていう風に呼ばれているそうなんですけども、
このULPファイルっていうのが3.9億件確認したという話ではあるんですが、
この3.9億件は全部がインフォスティーラーというわけではなくて、
当然ながら他の流出情報であるとかフィッシングとか、
そういったものがいろいろごったにで作られていくというものではあるんですが、
ケラーが見るにはこの大半はインフォスティーラー由来ではないかというところではあるので、
出回っている情報などを見ていくとインフォスティーラーが与える影響っていうのはそれなりに現状として既にある状況なんだなっていうところは、
今回のケラーの分析からはなんとなく読み取れるところと。
じゃあ日本がどうなのかっていうところで見ていくと、
残念ながらケラーのそもそものサービスの提供範囲があるんだと思うんですが、
日本がそもそも分析対象となり得るほどのサービス提供が日本国内でされてないからなのか、
日本は残念ながらその、残念ながら?そんなことないか。
難しい、難しいですね。難しい。
ランキングっていうんですかね、国別のランクには入ってなくて、一番多いのはインド、ブラジルっていう感じで続いていくんですよね。
インドとブラジルが7%超えっていう感じで、
最も多い国ってなるべくその2つの国が一番多いと。
ダラダラと羅列されているその図の中には日本は書かれてはなかったです。
ちょっと日本でどういう状況なのかっていう感じは。
でもなー、これは怪しいよなー。だから少ないっていうことは言えなそこだけどなー。
そうなんですよ。少なくとも430番ってケラーが言ってる中には日本は入ってないんだろうなっていう。
だからじゃあ他に日本は全くないのかっていうと、
まあそんなうまい話はないだろうなと。
30:01
残念ながらってすごい言い得て妙な表現だと思ったんですけど、
被害があってないって考えるのは不自然かなと思うから、対象になってないから状況がわからないっていう意味だとなんかちょっと良くない状況かもしれないですね。
そうなんですよね。実態がねやっぱり見えてこないっていうところがあって。
さっきのマルウェアトップ3の話もしたんですけど、
日本だったらねもしかしたらまたちょっと傾向が少し違ってたりなんていう可能性もあるかもしれないので、
ちょっとその辺は気になるのと。
あと結局インフォスティラーにどうやって完成するのっていうところは、
今回のレポートではちょっと私がざっと読んだ限りでは書かれてなかったかなっていう気はするので、
海賊版とかそういったものが一つあるんじゃないかな。
あとはそのメールでバランマ書いたりとかそういったものがあるんじゃないかなと思うんですけども、
具体的な話っていうのはなかったかなと。
終わりの方にその対策っていうのも書かれてはいるんですけども、
インフォスティラーだからっていう対策はそんなないかなっていう感じはしていて、
まあこれあのいわゆるあの一般的なっていうか、
あのジェネラルなそのマルウェア全般に対するエンドポイントの対策っていうのが並んでいるという感じではあるので、
まあやるべきことはやっておけばいいのかなと思いつつ、
さっきその個人のとかっていう話になってきたら、
組織ベースでジェネラルに対応するっていうやり方が多分通用しない世界もあると思うので、
まあなかなか難しいところもあるかなっていうのは、
まあこれ現状維持っていうかですね、
2020年も変わらずなのかなっていう感じはこのレポートから読み取った、
私個人としては読み取ったという感じでした。
確かに守り方はね、これやから特別に何かするっていうわけでもないし、
これだけの経路っていうのもあんまり考えられへんかなっていうところですよね。
前回のついさんの話にもあったけど、
まあだからこういうのも今回のもその日本、
例えばさ、前についさんがどっかのマーケットで日本のアカウント、
結構調べたら出てきますよみたいな話を紹介してくれたり、
前回もその日本企業について調べて500社だっけ、
調べてみたら結構ありましたっていう調査結果があるとか、
だからまああるはすごいあるはずなんで、
まあそういう方向からの調査も見てみないと、
まあちょっと日本での距離がわかりにくいっていうのと、
前回も言ったけど、これってその情報を密かに盗んでいくのが目的だから、
気づかれにくくしてるし、気づきにくいんだよね。
そうですね。
さっき言った海賊版とバンドルされて入っちゃうっていうようなケースとかだと、
正規のソフトウェア普通に動いていて、
裏っかでこっそりこういうのを完成しちゃうと、
エンドポイントの製品とかアンチウイルス系の製品がちゃんと検出でもしてくれない限りは、
まあ見逃すだろうねっていう。
そうですね。
その辺がちょっと厄介よね。
確かに。
あとさ、さっき言ってたULPって結構最近よく見かけるやつで、
33:00
以前は結構スティーラーのログとかそのまま売ってたり、
あとそのスティーラーへのログを毎日毎日そのフレッシュなスティーラーのログを売りますね、
みたいなテレグラムのチャンネルとかが結構盛んだったけど、
まあそういうの差別感の多分一つの要因だと思うけど、
より使いやすく攻撃する側からすると、
使いやすい形にスティーラーの生のログじゃなくて、
そこから整形してURLとログインIDとパスワードの3つのセットを整理したものを売るように最近はなってきてるみたいで、
それがなんかULPリストっていう風によく売られてるっていう話は最近は聞くよね。
統一のフォーマットみたいな感じにしていこうという感じですよね。
より使いやすい形に進化してるというか。
向こうもね、なるほど。
で、そうすると例えば複数のスティーラーのログからそういうULPだけをいろいろくっつけて売ってみたいだとか、
まあなんかいろんな売り方ができるってことだとおそらく思うんだけど、
まあなんか最近はそうらしいね。
なんか今は亡きね、ジェネシスマーケットテイクダウンされましたけど、
あそこはブラウザーの拡張を作ってましたよね。
そうだね、専用のね。
広範囲拡張と思ってね。
それ使ったらユーザーのクッキーやら何やら認証情報をセットして使えるとかね、
使い勝手が非常に良い仕組みとかあったけどね。
そういう風にだんだん攻撃する側もね、進化してくるから。
ちょっとインフォスティーラーはなんとなく対策が後手に回ってる感じが否めないので。
なんかスポットライトがそんなに当たってないけど、やっぱり本当に気にしなきゃいけない脅威っていう感じで。
そうだね。
やっぱ事例が出てきにくいっていうのが一番な気がする。
本当なんですよね。これインフォスティーラー起因だったっていう形で、
そこまで分析たどり着ける事案って、本当どれくらいあるのっていう感じなんで。
仮にインフォスティーラーかもって思っても、漏洩する経路が他にもいっぱいあったらさ、
特定ができないっていうのもありますしね。
その後ろどれかみたいな話になっちゃって。
ですよね。
特定できないよね。これはちょっと厳しいよね。
いろいろ調べた結果、何も分からませんでした。インフォスティーラーっぽいですみたいな感じの最後のところになりそうなイメージがあるから。
ですよね。
そうなんだよね。
自信を持って言えないっていうところがあるから、結構事例にもなりにくいっていうかね。
逆に言うとさ、さっきその対策で別に、特にインフォスティーラーだからっていう特別な対策がないとすると、
既存の対策でちゃんとできるはずじゃない?
それこそ入り込む経路とか、感染を検知する仕組みとか、外部との通信とか、何でもいいけども一般のこれまでのマルウェア対策だとか、そういう情報漏洩対策でいけるはずなのに、
こんだけ増えてるっていうことは、だから既存の対策がうまくできてないんじゃないの?
かもしくは範囲が広がってしまっているからかな?
そうそうそう、だからそういう対策に漏れがあるか、我々の想定が穴だらけなんじゃないの?
36:05
いやー、痛いところ。
という感じがして、その広域側がそこをうまくついてきてるなという、ちょっとそういう危機感をちょっと我々持たないといけないかなっていう。
レポート中でもなんかスノーフレークの事案取り上げられてたんですけど、インフォスティーラー最大の2020年の事案という形で。
すごい大規模な漏洩があったよね。あれもインフォスティーラー絡みって話だもんね。
そうですそうです。ただ結局MFAをちゃんと使ってないアカウントが狙われていたっていう話ではあったので。
でもそれもスノーフレーク側の言い訳っぽいけどね。それは確かにそうなんだろうけど、だったら強制しろよって感じだけどさ。
いや、そうなんですけど。
だから盗まれる側も盗まれる側だし、サービス提供側にも責任はあると思うんだけど。
あれも確かマンディアンとかなんかがインフォスティーラーから盗まれた形跡を見つけましたみたいなレポート確か出したと思うんだけど。
さっきのビジネスクラウドだっけ?サービスとかって言ってたやつ。多分そういうのがスノーフレークとかが入ってるんだと思うんだけど。
あれも顧客の情報をアップして分析するための基盤とかそういうサービスだったはずだから。
大量のそういう機密性の高いとかセンシティブなデータを扱うようなサービスでこれやられちゃったら、顧客影響が半端ないからね。
本当ですよ。
ランサムウェアだけ見てたらあかんねやでっていうことを言われてる気がしましたね。
そうね。なんかあれもこれもやらなきゃいけないことがあるよね。
やっぱりこういうのを見ると対策って一緒なんじゃないのってことを見ると基本に立ち替えるタイミングはいるんやろうなと思いますね。
抜け漏れないんかみたいなとこですね。
そうですね。
なんか脅威を見てやるってことは必要は必要だけどさ、それ見てるとなんかもうありとあらゆる脅威を見なきゃいけなくなっちゃって。
対策視点で見ないとなかなか。
共通部分を見つけてね、これを優先的にやると幅広くカバーできる、対策としてカバーできるみたいなものをもっぺ見直すっていうことですよね。
はい。
ありがとうございます。
はい。
じゃあ次はネギスさんいきましょう。
はい。じゃあ今週僕はですね、Googleのスレッドインテリジェンスグループ、結構いつもいろんな報告を出してくれてるグループだけど、
ここがですね、今週出した記事で、ロシアの複数の攻撃者のグループがシグナルっていうメッセージアプリ、僕らもね使ってるありますけども、
シグナルのアカウントを狙うような攻撃がいくつか見られましたということで報告をしたんで、ちょっとそれを紹介したいんだけど、
誰がターゲットになってるかっていうと、主にはロシアとウクライナの戦争に関連した攻撃らしいので、
そういった関係者、政府関係者とかね、ウクライナの関係する個人とかがどうも狙われているようで、
39:05
シグナルってここでも何回か紹介してると思うんだけど、結構エンドツーエンドできちんと暗号化して非常に得性の高い通信ができるということで、
そういうプライバシーとかセキュリティーにうるさい人たちに結構人気の、逆の意味で犯罪者にも人気のサービスかもしれないけども、
結構そういうので使われているサービスなんで、そういう大事な情報のやり取りに使われている通信がどうも狙われていると、
戦争に関連して重要な連絡をしているようなアカウントを狙っているんでしょうねと。
ただ、今は観測した攻撃がそういうものだったって言ってるだけで、この後紹介する攻撃の手法自体はそんな特別なものではないので、
今後同じような手法が広く使われる可能性はあるよということで、一応注意はしておく必要があるかなと思うけど、
現状を見られているのは結構そういったロシアウクライナ絡みでの攻撃が多いですと。
具体的な手法なんだけど、うまく考えたなって感じなんだけども、シグナルのLinked Devicesという機能があって、
これは何かっていうと、シグナルって基本的にはアカウントが電話番号に紐づいているので、普通はスマホとかで使うわけなんだけども、
じゃあそのアカウントのメッセージのやり取りを、例えばタブレットでもやりたいとか、他のスマホでもやりたいとか、あとはデスクトップPCで使いたいとか、
ニーズが他にもメッセンジャーでもあると思うんだけど、そういう時にその別のデスクトップのPCのシグナルのソフトと、
既存の自分が持っているスマホのアカウントを連携させる仕組みっていうのがあるんだよね。
これは他のTelegramだったり、WhatsAppだったり、そういうようなメッセンジャーソフト、だいたい似たような機能を持っているんだけど、
これでリンクを設定すると、複数の端末で同じようにメッセージのやり取りができますよっていう、そういうもんだよね。
これは他のメッセンジャーのソフトもだいたい似たような作りになっているんだけど、シグナルはどうなっているかっていうと、
例えばデスクトップPCに新しいデバイスにアプリを入れましょうってやった時に、
インストールする時に既存のアカウントと紐づけるかどうかっていう選択でQRコードが表示されるんだよね。
これを今自分が使っているスマホのメインのシグナルのアプリから読み込ませて、デバイスのリンクをするっていうのを承認すると、
それ以降はそのデスクトップ、今インストールした新しいデスクトップのシグナルのソフトウェアでもメッセージの読みかけができるようになりますと。
こういうような仕組みで、基本はそのQRコードを既に登録済みの自分のスマホのシグナルのアカウントを読むってところがポイントなわけね。
これを使って今回の攻撃者がこのQRコードをターゲットとなる被害者に何とかしたり読み込ませるっていうことをしていると。
42:08
直接何のひねりもなしに読み込ませようと思ってもこれはなんだってなっちゃうんで、
これを別の形で偽装してフィッシングをして、騙してユーザーにQRコードを読み込ませるっていうのがポイントなわけね。
その入り口になっているフィッシングの方法は複数あるらしいんだけども、例えば特定のシグナルの受信者が興味がありそうなシグナルのグループに招待するっていう手を装って、
このリンクを踏めば招待されますよっていうリンクを踏むと、実はそれが招待リンクでなくてQRコードのリンクで間違ってそれを承認しちゃうと、
攻撃者があらかじめ自分で用意したデバイスと自分のアカウントがひも付いちゃうと。
なので攻撃者に自分のアカウントのシグナルのメッセージが読まれちゃうってことだよね。
そういう方法とか、あとは僕も初めて聞いたけど、ウクライナの軍隊で利用している特定のアプリケーションがあるらしいんだけど、
そのアプリに似せた、騙したサイトにフィッシングサイトを作って、そこに偽装してQRコードを表示させるっていう方法があったりとか、
あとそのシグナルの本物の警告メッセージかのように装ったフィッシングメッセージを送ってきて、
それを信用して踏んじゃうと、そこでQRコードが表示されてっていう方法とか、
入り口はいろいろあるらしいんだけど、何かしら利用者に興味を持たせて、騙して、リンクを踏ませて、
最終的にはさっき言った攻撃者が制止したQRコードを読み込ませるっていうところが最後のポイントになっていると。
非常に攻撃者としてはわりとシンプルで、駄目な化し方はいろいろあるだろうなっていう感じなんだけど、
なんでこれ成功しちゃうと、ひっそりとメッセージを盗聴するっていう目的で多分これは攻撃をしてるんだと思うんで。
使ってる本人以外の攻撃者のところにも同じようにメッセージが見えるような状況が作られるということですね。
そういうことですね。
メッセージを書くっていうことは多分書いたらバレちゃうんで、書くことは多分しないと思うんだけど、多分読むだけっていうことだと思うんだけど、
そうするとおそらく、被害者本人がシグナルもそうだけど、自分のアプリの設定の中にリンクしているデバイスの一覧が見れるっていうメニューがあって、
これWhatsAppもTelegramもみんなそういう機能があるんだけども、
それであれ?なんか自分のじゃない端末がひも付いてるぞっていうことに気づかない限りはずっと盗聴されっぱなしっていうことになっちゃうっていう。
メールボックス見られてるんでしょうね。
そうですね。BCとかメール先とかよくあるけど、密かにメール読まれてましたみたいなやつあるよね。
で、いいタイミングで割り込んでくるみたいなさ。あれもすごい気づきにくい攻撃だけどフォワードしてるみたいなやつとかね。
45:06
ああいうのに近くて、自分が本当は承認しちゃいけない攻撃者の端末で自分のメッセージが読まれてるっていう状況なので、ちょっと気づきにくいなっていう感じ。
あとね、このGoogleの記事の中でも参考として紹介されてたんだけど、実は先月1月にマイクロソフトも別のロシアのグループ、スターブリザードっていう名前の別のグループが、
こちらはWhatsAppで同じようなリンクとデバイスの機能を悪用した攻撃がありますよっていう報告をしていて、
これもやっぱりロシアの攻撃者なんだよね。ターゲットはWhatsAppかシグナルかっていう違いはあるけども、やってる攻撃手法はほぼほぼ同じなんで、
今ロシアの攻撃者の、これ全部やってるグループちょっとずつ違ってるんだけど、ロシアのグループに共通した攻撃手法として、
今ちょっとホットなのかもしれないというか、狙われてるのかなっていう、うまく狙われてるってことは多分うまく対処できてないんじゃないかっていう感じなんで、
ちょっとね気づきにくい攻撃だし、一旦承認しちゃうと自分でそのリンクを見つけて解除する以外に方法がないので、
ちょっとこれはやられるとまずいぞっていう感じがしましたね。
こういうのでもどうなんですかね、個人とかに来ることを考えるとどういう目的が考えられそうですかね、個人に来るかなどうかな。
そうそうさっきね、手法としては割と簡単だから広まるかもとは言ったものの、目的としては多分その人の情報を盗みたいとか見たいっていうことなんで、
そうですね、そこに興味があるんですもんね。
個人だったらそのストーカー的な目的とか、その人の私生活じゃないけどやり取りを見たいとかさ、なんかそういうような目的は考えられるけど、
あるいはその何だろうな会社の重要な立場とかなんかわかんないけど、ある程度重要な地位にいる人の情報、例えばインサイダー情報だとか、
様々なお金になりそうな情報を盗み見るためにとかっていうのはちょっと考えられるはするけど、どうだろうね、そういう目的が果たして犯罪者とか攻撃者の目的に合うかどうかはちょっとわかんないね。
今回みたいな、いわゆるスパイ的な目的で使うっていうのは、いわゆるスパイウェアを完成させるのと近いものがあるので、
特定のメッセンジャーっていう縛りはあるけど、そのメッセージをずっと密かに盗み見ることができるっていうのは、まあまあそういう目的考えたらおいしいなと思うんだけど、
これが一般の個人の目的と狙ってっていう場合にはどういう目的が考えるかっていうのはちょっとわかんないけどね。
48:01
まあまあまあでもこういうのが悪用されるのは別に国相手じゃなくても別にできるわけですから、知っておく必要はありますからね。
何に悪用するか、こんな悪用のことを考えるのは特に人たちいっぱいいますからね。
どうだろうね、こういうのって、だまくらかしてうまくQRコードを読みこませてとかやったら、
普通の知り合い同士でとかさ、人の秘密を盗みみたいっていうような目的で使いたいっていう人も中にはいたりするのかな。
ありとあらゆる方法でどれかいける方法ないかって探すのはあるんじゃないかなと思いますけどね。
そう考えるともしかしたら結構意外と身近な脅威かもしれないね。
もちろんこういうフィッシング全般さ、気づけるようにとか、あるいはフィッシング踏まないような対策とか、フィッシング入り込まないような対策とかっていろいろあると思うんだけど、
メッセンジャー側に限って言えば、見ず知らずの自分が承認した覚えがないようなアプリがひぼづいてないかとかっていうのは定期的に見た方がいいかもしれないね。
まあそうですね、確かにそれはなんかいろんなことに言えますね。
ウェブサービスとかもそうやし。
ちょっと事後的な対策になっちゃうけど、そういうもので気づけるっていうのは一応保険的な対策としては必要かもしれないな、確かに。
なかなかね、やらなあかんって分かってても、なんかふっとした時にしかやらへんみたいな。
全くやらへん人もいるしな。
そうなんだよね。
結構見るんすよね。これ何やったっけなみたいな。そういう時に思うのはね、本当にあのひも付けたところの名前は分かりやすいのつけた方がいい。
分かる。俺も結構こういうのちょいちょい見ちゃう方で、これ何だっけなとかさ、よく分かったことあるときに。
そう、なんかね、検証とかに使ったやつとかでやってるとね、デフォルトのPCなんちゃらみたいな名前になっててね、どれがどれか分かれへんくて。
分かる。
これっぽいなとか思ってサインアウトさせたりとか、もう使ってない端末かもしれへんからね。
やったらね、目の前にある左の方に置いてあるパソコンが勝手にログアウトする。あ、こいつかいみたいな。
俺もめちゃくちゃそれあって、俺の場合はiPhoneとiPadがいっぱい並んでるんだよ。
分かるわ。iPhoneを探すとか見るとね、いっぱい出てきたりしますよね。
全部iPhoneとかiPadって書いてあって、どのiPadだよみたいな感じになって、俺いっぱい持ってるからさ。
はいはいはい、確かに確かに。
いっぱい持ってる。
どれだっけってなっちゃうんだよね。
僕はGoogleもiPhone、iPadも探す系のやつあるじゃないですか、位置情報でね。
で、あれをちょっと紹介するっていうのがちょっとこの間あって、
ちゃんとね、今の状況のスクショとか撮りたいじゃないですか、やっぱり。
自分のやつってちゃんと撮りたいなと思って、あと検証も兼ねてやったらね、この端末なんか全くわからんみたいなやつありましたもんね。
分かる分かる。だからそういう状況があんまりよろしくないわけよね。
だからちゃんとそれを見るっていうことも大事だけど、見た時に分かるっていうのはログと同じで大事だなと思いましたね。
そうそう、自分がちゃんと認識しているものだけがちゃんと入ってるっていうことを確認できる、パッと目で確認できるってのは重要だよね。
51:01
大事大事。
まあちょっとそういうのね、もし皆さんもあったら見直していただきたいなと思いましたね。
そうですね、はい。ありがとうございます。
じゃあ最後僕ですけれども。
はい、お願いします。
今日僕が紹介するのは、地方独立行政法人岡山県精神科医療センターのランサムウェア事案の調査報告書というのが出てまして。
結構なんかボリューミーな立派な報告書が出てましたよね。
いやいや、かなりボリューミーな感じで60ページ以上に渡る文章だったんですけども、これをちょっと全部読んでみましたということなんですが。
全部紹介するには全然時間足りないんで、ちょっとつまみながら、僕がつまむやつっていうのは結構たくさんつまんでしまうんで、しっかり聞いていただきたい、休み休み聞いていただきたいなと思うんですけど。
まずこの報告書自体はですね、断りみたいな文章が最初の方にあって、いろんなネットワーク機器とかコンピューターが初期設定のまま稼働してたので、調べるためのログが失われてるなんていうのも結構あるんで。
残念ながらこの報告書は全ての事実を網羅できてなくて、一部推測に基づく記述もありますっていうことから始まるんですね。
まあまあそういうもんも結構あるだろうと思うんですけれども。
どういった事件だったかというと、去年ですね、2024年の5月19日の16時頃に、その組織とそれに加えて、サンクト診療所っていう関連しているネットワークにつながっているところの電子カルデが使えなくなったと。
使えなくなったので、外に頼んでいる電子カルデのベンダーが調査を開始しましたということで。
その次の日の朝ですね、朝の6時15分ぐらいに、バックアップファイルの中に見たことのないような不審な拡張紙のファイルを発見したと。
これでランサムウェアじゃないかっていうふうなことが発覚したそうなんですけど、この時にはランサムだったらすぐランサムってわかりそうなもんじゃないですか。派手なんで動きが。
でもランサムノート自体が特定のサーバーとか特定のフォルダーにしか置かれてなかったんで、前代で出るとかプリンターで印刷が始まるとかそういったものがなかったんで、ランサムウェアと確定するのは少し時間がかかったみたいですね。
ここから5月の20日ですけども、6月に入ってからいろいろ調査していく過程で個人情報の流出が発覚したというふうなものですね。
対応のスピード感なんですけど、この20日の時点で20日の夕方には対策本部を立ち上げてプレスリリースを出してサイバー攻撃を受けたんで電子カルテが停止しているというふうなことを公表すると。
入院患者とかには紙面口頭で説明をするということをしたそうです。
翌21日にきちっとランサムウェアと見られる攻撃であるというふうに続報として公表しましたということなんですけども、業務に関しては診療に関しては1日も止めずに復旧までやってきたというふうなことが書かれてありましたね。
初期侵入に関してですね、この事態を認知したのが5月19日だったんですけど、調べていった結果、5月の13日の夜の深夜の2時41分ということがわかったそうですね。
54:11
被害の範囲なんですけど結構大きくて、電子カルテの仮想サーバー23台、ストレージ1台とかですね、基盤用の物理サーバー3台、端末が244台というようなことでかなりの影響を受けて、
漏洩したかもしれない情報というようなものが最大、病名とかも含むようなもので4万人分の個人情報の漏洩の可能性があると。
これ先6月に判明したって言ったんですけど、フォレンジックとかで調べたのではなくて、岡山県の県警本部より情報が流出しているやつを確認しましたっていうふうに連絡があって、
その内容を見て認知したものがこれだということですね。
そもそも電子カルテをこの環境内において盗まれたのか見られたのかということに関してきちんと書かれてあって、
これファイル形式が18000ファイルあって、これ全部揃ってないと見えないらしいんですね、この仕組み上。
データベースへのアクセスのID、プロバイダー名、ソースID、パスワードとかっていうのが必要になるので、見るのは困難じゃないかみたいなことが書かれてあったんですね。
とはいえファイルを持ち出しでの閲覧は厳しいってことですけど、そもそも電子カルテのシステムにログインされてるんじゃないのってことに関しては、
ログオン失敗がこの範囲において35件あったけど、1件を除いては全て当日勤務していた職員の入力ミスだと。
残りの1件についてはユーザーIDの入力がなくパスワードだけ入れられてるもんだったので、これも操作ミスじゃないかということで、ログインもされてないようにログからは言えるというふうなことが書かれてありましたね。
で、これではなんでやられたんってことなんですけど、これはちょっと推測が入ってしまうんですけど、ここもほんまたぶんあるあるなんやろうなと思うんですけど、
インターネットと接続しているいわゆるエッジデバイス、FirewallとかSSL VPN装置に関しては、システムのイベントとかエラー、警告、状態情報を記録するSyslogの保存設定はしていなかったと。
で、各装置のメモリ上で取れる範囲で上書きどんどんされていくっていうふうなものだったんですけど、結局この保存の内容が4MBしかないというふうなことなので、
すべて上書きされていて、攻撃元となったIPアドレス、偽装されている可能性もありますけど、IPアドレスの調査は不可能ですというふうなことですね。
これSSL VPNの機器とかだとこの4MBしかないっていうのは結構あって、ストレージそもそも積んでるモデルと積んでないモデルがあって、積んでないモデルはだいたいクラウドに保存するっていうサービスが付いてたりするので、そっち検討したほうがいいのかななんてこれは見ててちょっと思いましたね。
で、病院関係者にいろいろヒアリングをしたり、あとA社ですね、この電子カルテのシステムを導入しているところに聞き取り調査をした結果、原因と考えられるものがいくつか挙げられましたというふうに書いてあって、
補修用のSSL VPN装置のIDがアドミニストレーター、パスワードがパスワード、パスワードのAがアットマーク、パスワードのOがゼロになっているっていう、辞書攻撃みたいなパスワードになっていて、加えて接続元のIPアドレスの制限はしていない。
57:16
インターネット全開き状態だったというふうな状況が一つですね。
もうこれしかないじゃん。
他にあるんかぐらいね。
絶対使っちゃいけないパスワード例として出てくるやつじゃん。
そうなんですよね。
なんでこんなの使ったんだろうね。
いや本当に。それに加えてもっと目も当てられなくどんどんなっていくんですけど、病院内のすべてのWindowsコンピューターの管理者IDパスワードもこれ。
だからもうこれ設定したベンダーがひどいとしか言いようがない。
一応いろんな可能性を探っているんですが、SSL VPN装置の脆弱性が2018年の設置以来以降修正されておらず、その中にはKEVも挙げられてたんですけども、そこでKEVでのランサムウェアキャンペーンに使われたかどうかっていうノーン・アンノーンってあるじゃないですか。
ありますね。
あれがノーンのものも複数存在していましたっていうことが書いてあって。
5つ表で挙げられてたんですけど、40ゲートが1,2,3,4,5台。
で、CiscoのASAが1台あって、これすべてがサポート終了してましたっていうような状況ですね。
ただ40ゲートの方はSSL VPNは使ってませんでしたみたいなものはあったんですけど、2022年の9月にサポートが切れているようなものだったと。
あと最後なんですけど、原因と考えられるというか、これは攻撃が広がった原因って言ったほうがいいのかな。
すべてのサーバー端末ユーザーに管理者権限が付与っていうようなものでしたと。
こういう状況だったんでラテラルムーブメントも超容易だというようなところなんですけど、一応リモートデスクトップは使っていなくて、これが悪用されたというようなものはなさそうということなんですが、
それよりも2000年代のペネトレでもやってた攻撃みたいなので、SMBでCドライブをリモートドライブとしてマウントされて暗号化されるというようなことをされたそうです。
先ほどのIDパスワードだったらまずこれするわなっていう感じはしますよね。
いやー攻撃した側も表紙抜けしたんじゃないの?こんなに簡単にできちゃったみたいな。
いやーまあ確かにねちょっと言い方悪いかもしれないけど、ハニーポットなんじゃないかって思っちゃうぐらいかなっていうね。
正直本当にちょっとね今のご時世では考えられないセキュリティ設定と言っても、ちょっとこれはしょうがない、攻められてもしょうがないっていうかね。
そういうような状況にしてしまったベンダー、それの確認をしていなかった委託元の方っていうところで、双方に解決しなければいけない問題はあるなっていうふうな感じはしますね。
でもこれね、笑っちゃうような人もいるかもしれないですけど、まあまああるんちゃうかな、こういうことって思いますけど。
いやーそうなんだよね。これがだから別にここの病院だけの特別な例ではおそらくないだろうっていう点が一番の問題だよね。
そうですね。
だってそのベンダーとかね、別にベンダーだけは悪く言うつもりはないんだけども、病院だけでこういうのってやっぱりできないから結局そういろんなベンダーが関わってるわけじゃない。
1:00:08
そうですね。
何年か前の大阪の救世記のやつも複数のベンダーが関わっててみたいなのがあったし、大きなところであればそういうのはあると思うんだけど、結局そのいった保守とか簡易発運用とかをするベンダーさんっていろんなところを受け持ってやってるわけなので、
そういうところがこういう設定をもし仮にしていると、他のところでも多分同じことをやってるんだよね。
いやいや、そうですね。
だからそう考えると決してここだけの笑っちゃうね、ひどいねって言って済まされる事例ではないんだよね、これはね。
本当ですよね。
ここの医療センター自体255床もある大きなところなんで、そういうところですらこういう状況になっているってことですし、
確か何床以上の病院とかでこういう被害があると厚労省から派遣してもらうんですよ、対策をするのに。
そういうのがあるんですけど、そうじゃないところはこういうところですらできてないんやから他のところもできてなくて、明るみになってないもんって多分いっぱいあるんやろうなっていうのは思いましたね。
これはここ数年、特にランサムウェア感染が増えて、病院でもデンカールのシステムがやられてみたいな事例が結構公によく見かけるようになってきたこともあって、
だいぶ厚労省もそうだし、いろんなところが一生懸命動いてさ、多分対策やるようにガイドライン出したり、いろんな人を出したりとかさ、
こういう事例も共有したりとか、僕らのセミナーとか自己対応アワードとかでも話をしてもらったりもあったけども、そういう過去の実際の事例から学びましょうみたいなね。
みんなやってて別に誰も悪くはないんだけども、多分追いついてないんだよね、そういうのがね。
で、こういう攻撃をされて原因こうじゃないかっていうことに加えて、やっぱりこのランサムに関してもそうですけど、復旧って大事だと思うんですが、
この復旧自体はこの病院と委託先がですね、オフラインバックアップの取得に関する契約はもちろん締結済みだったそうなんです。
で、インシストが起きたんで、変なファイル暗黒されてるやんってなってるから、オフラインバックアップから戻そうと確認したところ、オフラインバックアップは正しく取られておらず、
オフラインバックアップからの復旧は不可能となったと。
ありがちだよね。
訓練とか確認もせずにバックアップの設定しましたで終わってたんかもしれないですね、これ。
なんで取れてなかったのかわからないですよね。
いっぱいになってて新しく追加されへんかったのか、エラーが出てたのかわかりませんけど、無理だったというような状況だったんですね。
一応、復旧自体は約3ヶ月でデンカールのシステムは完全復旧したというふうに書いてるんですけど、
これも3ヶ月かかってるけど、ある種ちょっとラッキーでできたんじゃないかなっていうことが書かれてあって、
1:03:04
なぜか理由はわからないって書いてたんですけど、暗号化の被害を免れた医療情報のサーバーがあって、
そこからデータを取り出してちょっとずつ戻すってことをしたそうですよね。
なるほど。
で、90日ぐらいでこの病院の情報システムを復旧することができたと。
間々には中古サーバー買ってきてとかっていうのを結構調べたみたいですけども、それぐらいで戻ったと。
あとは復旧の中では端末のところなんですけど、端末先ほども言った通り、
ID、パスワード全部管理者権限与えて使い回してたってあったんですけど、
それに加えてWindowsアップデートなどの脆弱性対策は一切行われてない。
これ閉域漏やかららしいんですよね。
っていう状況なので、これから受けると何されてもおかしくないと。
ウイルス対策ソフト止められたりとかっていうようなことも疑われるので、
基本的に全てのコンピューターは完全な初期化、もしくは新品へと入れ替えというふうな対処を行って復旧にした。
これでもどうなんですかね。クライアント端末はこれからどうやって守っていくかっていうのは課題なんだろうなと思うんですけど。
そういったことが書かれてあったんですけど、このページの真ん中ほどぐらいにあるんですけど、
技術的対策っていう再発防止策が書かれてあるコーナーがあるんですね。
そこが侵入防止のためにはこういう項目みたいなものがあって、
例えばアカウントロックアウトが未設定とか、今までできてなかったことリストみたいなのがガーって書いてるんですよ。
これは結構自分たちができてるかなって、しかもそれは包括的に漏れなくできてるかなっていう調べるためのチェックリストにもなり得るぐらいのもんかなと思いましたね。
ここまで一通り話したんですけど、これね今話した内容全部概要編から取ってきたやつなんですよ。
詳細編っていうのがこの後にダーッと続くんですけど、詳細編簡単にどんなやったかっていうとね、
詳細です。かなり。
詳細編って詳細なんやなって思ったんですけど、
攻撃がどういう風に行われたかっていう時系列も書いてあって、それを全部アタックのフレームワークに当てはめて、
これから復旧方針とかの立案のために参考としていくのに作りましたみたいなものが書かれてあったんで、
この辺も併せて時間があれば読んでみると非常に役立つことが書かれてあるんじゃないかなと思いますね。
全体通して読んで思ったのは、まず人事と思わずに読んでほしいなとか、
自分のところとか自分が面倒を見ているところのネットワークとか、
あとはお客様のネットワークとかっていうふうに考えて、
真っさらな気持ちで読んでみるとだいぶ学びが多い活用のしがいのある、
教科書に近いようなものかなというふうに思ったので今日紹介させていただきました。
意外とここに書いてあることをちゃんと全部できてますって、
自信を持って言えるところが果たしてどれぐらいありますかっていうことだよね。
その自信を持って言えるためにはやっぱり確認してほしいなっていうことですね。
いやーもうでもほんまにこうなくならんなー、こういうのなーっていうね。
警察がいなくならないのは一緒だと思うんですけどね。ゼロにはできないとは思ってるんですけど、
1:06:03
思ってるんやけどなんかね、もうちょっとなんかやっぱね、
届いてるのか届いてないのか、届いててもできひん理由があるのか、
金深いこともあんのやろなーなんていうようなことをこういうのを見るとたびたび思いますよね。
その辺は踏み込んだ書き方っていうのは特になさかった感じなんですかね。
なんていうかもう初物じゃなくて、なんかもうこれ何回も見たわみたいな感じの事案じゃないですか。
で、言ってしまえばさっき救世機であったりとか、
あとハンダ病院とかね。
救世系なんてそれこそ第三者の報告書を2回出て、
加えてまあ注意喚起とかもいろいろ出てるはずであるにもかかわらず、
これが起きたっていうところについてはやっぱり何でなのかなっていう、
なんか構造的な問題があるのか、なんかその辺はなんかちゃんと分析した方がいいとは思ってはいて、
なんか単純になんか人手足らないよねっていうだけの話なのかな。
まあ人もの金だけの話なのかってことですよね。
なんかそういう話なのか、なんかすごい疑問というか、
結構厳しいじゃないですか。
あの言ってしまえば医療関係の組織って。
確かにそうですね。
国からの指導とかも厳しいにもかかわらずやっぱこういう感じに続くんで、
なんでなんかなっていう、そこがすごい一番の疑問ではあるんですけど。
指導も厳しいし、あとはまあそのこういう仕事だけじゃないけど、
直接的にお客さんというか患者さんの命を預かっているから、
物理面、例えば衛生面とか手洗い一つにしてもしっかりされてるけど、
それがシステムになるとそうこうが反映されないっていうのは、
所変われはしな変わるじゃないですけど、
そういうちょっと意識の乖離があるのかななんていうふうに思ったりはするんですよね。
いやーなんかそこがすごい疑問というかなんでなんかなっていうのは気にはなるんですよね。
そうですね。なんかこう反省の弁みたいなものが理事長の文章で書かれてあったんですが、挨拶の流れでね。
これ自体は報道にもあったんですけど、この事件が起きる前の年の暮れから、
何回かAD、アクティブディレクトリーが不調で再起動して復旧してたみたいなものがあったんですって。
これがもしかしたら攻撃の兆候かもしれへんなーとかっていうふうにもうっすら思ったけど、
警備だったんで、なんかこう狼少年になれた村人のような正常性バイアスを持ってしまっていたことが悔やまれますってことが書かれてあったり、
あとはさっき言ったみたいな半田病院とか救世記みたいな前例を踏まえて全然行かせてなかったっていうふうなことの反省の弁はあったんですけど、
それがなぜなのかってことは書かれてはなかったですね。
ここが気にはなりますよね。追求したいとか、責任を厳しく問うとか全然そんなことではなくて、
なんで繰り返されるのかなっていう純粋な疑問というか。
なんか共通の問題とかね、あるのかもなっていうふうには思っちゃいますもんね。こういうの多い、目に触れる機会があると。
1:09:03
人の問題なのかもしれないですけどね。人が足りないとかではなくてやり方の問題、スキーム方式の問題っていうのもあるんかなとか。
ちょっとこうやっぱりシステムとしてしか見られてへんのかもしれないですね。
その病院の安全管理とかとはちょっと乖離してるんじゃないかなっていう気はしなくもないですね、これはね。
ということで参考にしていただければ、明日は我が身と思って読んでいただければと思います。
これはもう絶対読むべきなやつですよね。
はい。ありがとうございます。
ということで今日もセキュリティのお話を3つしてきたので、最後におすすめのあれなんですけれども、
今日はテレビ番組を紹介して、ずっと紹介しようかしないか迷ってたんですけどやっぱり紹介しようということで、見れる範囲が狭いんですよちょっと。
見逃し配信とかもなくて。
東京MXでやってる古峠英二のなんて美だっていう番組で。
あれそれ、前なんか聞かなかったっけそれ。
なんか言ったかもしれないですけど、多分紹介はしてないような気がするな、おすすめで。
いや、ポッドキャストではしてない。
そうですね。
普段から話し続けてどこで何喋ったかわかってないですよ。
僕らのフタとザスザで出てきた話かもしれない。
そうかもしれないですね。
なんて美だっていう番組なんですけど、東京MXで、東京だと水曜の0時から0時半まで、だから難しいですね。
火曜深夜って言えばいいのかな。
そうですね。やってるんですけど、ちなみにネット局っていうのが東京はMXでやってて、
福岡放送、群馬テレビ、西日本放送。西日本放送は香川と岡山で見れるやつかな。
なのでかなり狭いんですよ。
地域によって見れないのか。
そう、だから大阪も見れないっていうね。
そうなんだ。知らなかったのか。東京MXってやっぱりなんかローカルなんだな。
そうなんですよね。一応YouTubeにこのなんて美だのチャンネルがあるんですけど、そこで流れてくるのは全部テレビで流れてないオリジナルコンテンツなんですよ。
それはそれで面白そうだけどね。
それはそれで別の見方ができて、両方セットで見たらっていうのがあるんですけど、見れる地域の方は見ていただきたいなと思うんですけど、
どういう番組かというと、ことげいじさんの冠番組なわけなんですけど、それとアイドルの池田てれささんって方と、アートディレクターの中谷秀さんという方が出ててですね、
あとはそのキュレーターっていう人がいて、これ芸人さんがやるんですけど、司会みたいなことをするわけなんですよね。
毎回毎回テーマがあって、そのテーマに関係する人を読んで、そのアートについて深掘りをしていくっていう番組なんで、お笑いも交えながらみたいな感じ。
結構いろんなテーマがあって、アートっていうとどうしても絵とか、そういうイメージをするかなと思うんですけど、日本刀とか。
芸術だよね、あれもね。
そうそうそうそう。っていうのもあったりとか、キャッチコピーとかね。
そう、結構幅が広くて、あとこの間ね、プラモデルとかもやってましたね。
1:12:00
なるほど、じゃあ結構アートって言っても狭くなくてすごい広いんだね。
最初の番組のやりとりのところで、キュレーターの方が、今回は例えばさっきみたいにプラモデルですっていう風に言うじゃないですか。
プラモデルって中谷さんってアートディレクターの方に、プラモデルってアートですかって聞くんですよね、大体ね。
大体アートですって。
そう言ったらランダムカンダム全部アートになりそうだな。
そうなんですよね、何々っていうのは何々の元なん、例えば絵の具とかって言う風に言ったら、絵の具ってアートですか、絵の具はアートの元なんでね、アートですみたいな。
っていうお決まりのやりとりみたいなのがちょいちょいあるっていう風な感じで、意外と公共施設とかね、例えばトイレとデザインとか。
トイレそのものではなくて、公衆トイレの建物含め、わかりやすく明るい色にしましたとかそういうのもあったりとかね。
珠仏とかあったり、結構いろんなテーマがあるんで、今となっては僕の中ではちょっとおふざけ要素が少なめのタモリクラブちゃうかなっていう。
例えがあっているのかどうかちょっとよくわかんないけど。
僕からするとタモリクラブなき今、タモリクラブの穴を、僕の心の穴を埋めてくれているのがこの番組なんですよ。
へー、なるほどね。アートってさ、身近なものだけど、今話聞いたら結構いろんなテーマがあって日常的なものもありそうだなと思ったけど、
一般にアートって言ったらちょっと敷居が高そうなものってイメージがなんとなくあるじゃない。
だからそういうのを、そうじゃなくてすごく身近なものなんですよっていう、そういう意味で見やすいのかもしれないね。
素晴らしいですね。
今聞いたらそんな感じがしたな。
今のねぎしさんのコメントはすごくてですね。
なんで?
この番組のコンセプトが日本一敷居の低いアートバラエティ番組っていう。
なんかそれどっかで聞いたことあるね。日本一感じの良いセキュリティエンジニアみたいな。
聞いた聞いた。聞いたことある。
聞いたことあるな。
誰かのキャッチコピーなかったっけ?
なんか多分それ10年以上言うたはるな、それ多分。
言ってるよね。
なるほど、そういうのを目指してるコンセプトなのか。
そうそうそうそう。だからやっぱりこういろんなものをアートとして捉えてっていう風にやってるんだと思うんですよね。
非常に説明も分かりやすくて、めちゃくちゃ分かりやすいですね。
スタジオに来てるスタジオゲストの方とかもお話するのが上手い人が多くて。
そのゲストっていうのはテーマのアートの専門家とかが来るわけね。
そうそうそうそう。プラモデルとかバンダイの人が来たりとかね。
そういうのもあるし、さっきの日本刀やったら日本刀そのものを売ってる人と、それを研磨する、つまり磨く人を読んだりとか、
あとは海外から来てダイヤ博物館で警備員やってたけど、めちゃくちゃ勉強頑張って学芸位みたいになって、
日本に来て日本刀を研究し始めた外国人とかね。
そういういろんな人を読んでやってるんで、結構理解もちゃんと深まるし、そうなんやって思うことが多いんですよね。
1:15:01
多分さ、どういうテーマがあるかわからないけど、おそらくほとんどのテーマについて我々知らないことだらけだよね。
いや、ほんまほんまそうですよ。ほとんど知らないですよね。
なるほどね。それは確かに面白そうだね。
面白いですね。もし見れる地域の方は見ていただければ、多分見てると興味ないものでも見てるうちに興味が湧くっていう。
なんかさ、思ったけどさっき見てる曲が少ないっていう話だったじゃん。
そういうコンテンツこそ誰でも見てるコンテンツで見れた方が発見がありそうっていうか、
それだってさ、東京MXとは言っちゃわねえけど、すごいローカルな曲じゃない?
そうですね。独立曲ですしね。
小さな曲でしょ。そういうとこを見なきゃ見れないっていうのはちょっと気づかれにくいよな、それな。
すごいもったいないと思う、この番組。
だいぶそうしてるな、それな。
なんかね、プレゼンっていうのを学ぶにも僕すごくいいなと思う。こうすればわかりやすいのかとか。
あー、なるほどね。
同じようなことをセキュリティでも言えるなみたいなことも思うんですよ、見てると。
すごい知見も広がるかなっていうのもあって、今当面の目標はここでサイバーセキュリティを取り上げられる日が来る。
サイバーセキュリティはアートですか?
アートですよ。
無理やな。ちょっと無理やな。アートって言い切るにはなぜかという理由が浮かばへんかな。
ちょっと遠いな、アート。
遠いな。そうですよね。人の気持ちを明るくさせるとかいうわけでもないですもんね。
そうかそうか。
防犯はアートですかっていうのがアートですって言えれば突破口は見つかるかもしれないですけど。
もうちょっと狭く切ったほうがいいかもしれないね。
そうですね、確かにね。出れたらいいなと思ってます。
ぜひぜひ。
見られる方はよかったら見てください。
ありがとうございました。ということでまた次回のお楽しみです。バイバイ。
バイバーイ。
