00:00
この間、SNSを見てたらですね、なんとなく久しぶりにチラッとフェイスブックを見てたんですよ。
カードの不整理をされましたみたいな人がいて。
こういうのあるからたまにはいろんな講座とかで変なヘッキ落としないかとかってみんなあかんなーとかって思って見たんですよ。
銀行講座はいくつかあるんですけど、銀行講座一つ見たら通知みたいなのが来てて。
この引き落としについてみたいな感じで確認してくださいみたいなやつが来てたんですよ。
クレジットカードの引き落とし講座にしている銀行なんですよ。
2つのクレジットカードの引き落とし講座になっている銀行講座なんですよ。
その引き落としの名目が、僕メインにしているカード以外のカードの引き落としが8万いくらあったんですよ。
SNSで僕の知人が書いてた引き落とし、不整理された引き落としも8万いくらだったんですよ。
おいおいおいおいと思うじゃないですか。
夜だったんで、直接クレジットカード会社に聞くのは明日の朝かと思って。
電話を次の日にしようと思ってその日は寝たんですよね。
しかもそのカードを普段使わないんですよ全く。
めんどくさいなぁカード番号買うの嫌やなぁとかって思いながら電話して、なかなか繋がらないんですよねあれ。
やっと繋がったわと思って、本人確認的な質問を受けて。
ありますね。
そうそうそう。
ほんで、ちょっと見に覚えがないというか言いにくいんですけど、あんまりそちらのカードメインで使うことってほぼないんですよね。
しかも最近有効期限が切れた新しいカードが来たばっかりだから使った記憶もないんですよって。
いつのかもわかんなくてって聞いたらお調べしますねっていう風に言ってて。
はい。
そう、ほんで確認取れました。
じゃあどういう迷彩かどういう内容かっていうのをお伝えするので、ご記憶にあるかどうか確認してくださいって言われて読み上げ始めたんです。
そしたら何月何日に東京駅から越後湯沢までと、ホテルでのお食事と、
あとその後越後湯沢から東京駅までのJRの新幹線のチケットをご購入のご記憶ございませんでしょうか?
喋ってる途中でもどんだけさえぎろうかって思うぐらいめちゃくちゃ恥ずかしになってきて、最悪のあれなんですよ。
ちょうどね、これ聞いてる方はわかんないかもしれないですけど、湯沢に行くときに僕はカードを入れ替えたりとか財布をちょっとバッグによって財布変えたりするときあるんで、
家に置いてきちゃったんですよね、メインのクレジットカードを。
03:02
その場面にちょうど居合わせたなぁ。
ネギスさん僕の左側にいらっしゃったと思うんですけど、「うわ!カード忘れた!」って言ってたし、
でも現金で払うのもなんかいややしなぁと思って、
じゃあ普段使えへんけど、なんかちょっとポイント損した気もするけどしょうがないこのカードで使おうって思ったやつでした。
めちゃめちゃ身に覚えはあったんですね。
身に覚えはなかったんです。
身に覚えはなかった。
使った履歴はあったけど、言われるまで身に覚えが全くなかったんですね。
面白すぎるなそれ。
ゴッツ不安になったわ。
良かったですね。
正気な理由ですね。
でもさ、そういうのを聞くとさ、
ほら、前は月に1回とか締め日の後にカードの迷彩が届くとかさ、
紙で届くっていうね。
というのが昔は一般的だったけどさ、
今時はアプリですぐ使ったらすぐその場で通知が来たりとかするじゃない。
そうですね。
だからあんまり身に覚えのないものが使われるっていうケースって、
絶対気がしない?するんだけど、俺は。
使ったらすぐ通知来るからさ。
え、使ったらそのままでクレジットカード?
そうだよ、使ったらもう数秒で届くからさ、アプリで通知が。
え、そこ来ないっすよ。
そんなリアルタイムで届くんですか。
そういうやつ使っていればすごく便利っていうか。
それはすぐ分かっていいですね。
そういう意味では安心だよね。
確かに確かに。
それは聞いてて話がどこに向かうのかと思ったけど、
まさかそういうオチとは。
いろいろちゃんと読み上げてくださったんですけども、
JRの出た瞬間に、「はっ!」ってなった。
そこで気づいた。
久しぶりにあんだけ息吸った。
久しぶりかなぐらい。
なった。
身に覚えありまくりじゃねえかみたいな。
身に覚えどころか、買った瞬間の絵も浮かんだわ。
3人で行ったもんね。
でも一応確認して安心できたっていうね。
良かったですね。
大事じゃなくて本当に。
でもさ、ほんの1ヶ月2ヶ月前のことなのに忘れてるもんだよね人間ってね。
そうですね。
普段使えへんカードやから余計やと思う。
それはあるんだね。
だから多分会場に新潟の方に向かうときには、
今日は面白い話するぞっていう気持ちの方があっても、
そういう多末なことはね、忘れていってたんだと思うんですよね。
確認して安心するっていうのはほんま大事だと思いましたね。
大丈夫やろって流すと良くないっていうかね。
ずっと引っかかるというか。
あとね、結構前に僕が何かを紹介したときに、
看護さんが教えてくれた映画が続編が出ることになりましたね。
サーチっていう映画の話したでしょここで。
06:01
看護さんがね。
僕が別のちょっと怖めのダークウェブ的なやつで、
怖い目に合うみたいなやつを紹介したときに、
サーチっていうのがあるよみたいな。
それ僕もサーチ見たんですけど、
サーチの続編がね、来年の1月の20日にアメリカで全米公開らしくて、
これの予告編が今YouTubeで出てて、
前回のああいう感じを画面の中で踏襲しながら、
新しい登場人物でやるみたいですね。
YouTubeで予告動画があるので。
これまた日本でも公開されたら見たいなと。
そうですね。楽しみですね。
そんな感じなんですけど、お便りいきましょうか。
はい、いきましょう。
お便りなんですけれども、
補完すっていうのを聞いたときに、
長期休暇でほったらかすという意味だと思ってて、
怖いって言ってましたね。
と思って聞いたら違うかったっていうお便り。
なるほど。
でもパッと聞いて、やっぱり何のことかピンとわからん言葉っていうのは、
あんま良くないのかなって思いましたね、これ見て。
なんか説明されないとよくわかんないもんね。
あとこれ方言かもしんないですけど、
物を捨てることをほかすって言うんですよ、僕。
それ聞いたことあるな。
ほかすって言います?言わない?こっちは。
こっちは言わないけど。
言わないですね。
それって関西の方言?
関西の方じゃない、西の方だと思いますよ。
こっちで言ってる人は見たことないですね、ほかす。
でもほかすっていう言葉を聞いたことあるっていうか知ってる。
知ってます?そうそう。
北海道とか行ったら投げるとか言ったりしますよね、確かね。
いろいろあるよね、たぶんね。
ほかすって言うのは放り投げるとかの意味だと思うんですよ。
そっちから来てるのかなと思ってるんですけど。
そういうのも考えるとほかすはヒントこんな言葉なのかもしれないなと思いましたね。
あとはこういう時に聞いてますっていうのをお伝えいただいたんですけど、
ちょうど帰り道に聞いてるという、出先の帰りなんでしょうね。
はいはいはい、移動中ってことね。
いろいろ他の方にもツッコミというか、これなんなんやろみたいな感じで書かれてる方もいますけれども、
この方もアイキャッチの画像いいですねっておっしゃってましたね。
最近何回かのね、あれさ、めちゃくちゃ3人の特徴を捉えてるよね、うまくね。
そうなんですよ、評判いいですよね。あれに癒されますみたいなね、あったりとか。
カンゴさんなんかもうそっくりじゃん。
そっくり?
そっくりですね。
一番、そこいく?
確かに一番表現を素晴らしい形でしていただいて嬉しい限りです。
新作イラストが次々出てきて。
09:02
僕の知人がなんとなく書いてくれて送ってきてくれるやつなんですけど。
ありがたいですよね。
あれ元々なんかこれ、このポッドキャスト以外でもなんかなんとなく書きましたみたいな感じで送ってもらってお二人に共有したこととかありましたよね。
あるあるとか見せていただいたことあります。
ポッと思いついた時になんとなく書きたくなって書いたの送ってますとかっていう風に言ってて。
その方はね、カンゴさんのキャラの位置づけが定まらなくて困ってるって言ってましたね。
どういう悩みだよ。
でも絵的に別に何の問題もないですよね。
この間なんて芸術の秋みたいな感じでど真ん中でモナリザ風になったりとかしてたじゃないですか。
なってましたね確かに。
うまい空いた隙間を綺麗に埋めるポジションっていうか、そういうのってアニメのキャラとかでもいますけども。
そういうマスコットとかなどの老人キャラみたいな。
そうですね。
じゃああれですかね、ワンピースで言うとチョッパーみたいな役を狙っていけばいいんですか。
はいはい、トニートニーチョッパーですね。
かもしれないですね、そういう位置なんで。
僕的には全然迷ってるようには見えないくらい綺麗にはまってますよっていう風に言ったらありがとうございますっていう風に言ってましたけどね。
ちなみに私、ツイッターアイコンで使わせていただいてるのと同じでしたよね。
そうそう。今使ってるやつですよね確かね。
今使ってるカンゴさんの。
めちゃめちゃ使わせていただいてます。
あれですよね、なんかセミナーとかでも出てきますよね、ITメディアのセミナーとかでも。
はい、もう全然オフィシャルアイコンとして勝手に使っていただいてます。
あれも同じ方がなんとなく3人の絵を描いてくれたのかな、その時は結構前ですけど。
で、あの時はツッコミをしたらそのツッコミに沿って修正してくれたんですよ。
なんかそのインコの足の爪みたいなところがなんか2本しか描いてなかったんですけど、
いやこれほんま3本なんですってカンゴさんが言ってきたから、これ3本らしいですよって言ったら描き直してくれた。
そう、あった。
だからアイコンめちゃめちゃドアップで見ていただくと足の部分若干ちょっと修正したっぽい跡が。
それは言ったらダメなやつです。
大きくすると気づいてしまうやつなんで。
それはね僕も気づいてたんですけど言わなかったやつですね。
4年ぐらい言わなかったやつかもしれないですね。
まあもういいかなと思って。
そうですねまあ異色王かもしれない。
いや可愛いんでめちゃめちゃ気に入ってます。
そういう風な感じで。
あとでこの帰り道に聞いてますという風におっしゃってる方はすごくいいことを言ってくれててですね。
何ですか?
さっきのこの言葉知ってますかシリーズの話に対するレッスンなんですけども、笑わないつもりだったのに朝分晩は笑いましたというね。
朝分晩っていうのはもう絶対おもろいやろうと思いながら言った言葉をですね2人はスーンみたいな感じで駆け抜けていかれたんでですね拾ってくれる人がいて良かったなっていうこともね。
12:07
もうそれぐらいじゃ拾いませんよ。
そうですねもう長いですからね。
長いですからね。
切れないもんねこんなに拾ってたらね。
切れない切れない。
そういえばでもぬんかつってさこの間聞いたやつさ、今週全然違うところでニュースで流れてきてさぬんかつってこれかと思って。
どっかで聞いたやつやみたいな。
そうどっかで聞いたやつびっくりした。おーすげーついさん流行知ってんなみたいな。
タイミング良かったですね。
タイミング良くびっくりしたよ。
最後のお便りなんですけどもこれは素敵なお話でございますけれども
相方の誕生日プレゼントに指キーを送りました。
相方は初見でしたが喜んでくれてその日のうちにグーグルアカウントで使ってくれました。
対応するサービスが国内にあまりないことに困ってはいますが…
送り物チョイスにも役立つあれというお便りをいただいております。
指キーのプレゼントで喜んでくれるっていい人だね。
そうですよね。
どういうご関係の方か知らないけどその人との付き合いは大事にしたほうがいいね。
そうですよね。
一歩間違えたら事故だよ事故。
何やこれみたいな感じに。
相手のことを大事に思ってこういう物を送ってるってことだと思うけどさ。
普段からその人自身を大事と思いつつその人が何か嫌な目に遭っちゃい困るからっていう意味での大事に思ってるっていう意味も含まれてますもんね。
アカウント守るって結構下手したらその人自身を守ることに繋がるからね。
最悪人生変えちゃいますからね。
だけどそれがちゃんと理解されるかどうかっていうのは相手によるじゃん。
いやでもよかったね喜んでもらえてね。
もしかしたらこれあの僕前も指キーの話何度かした時のどっかで言ったかもしれないですけどなんかちょっとこうおしゃれなブランドとかとコラボすればいいのにね。
あーそうね。
そういうなんか戦略はあり得るよね。回るかもしれないけどねそういうのね。
あんのかもしれないですね。
ちょうど年末のこういうシーズンとかにね。
銀細工にちょっとついてるとかね。
ネックレス。ティファニーのネックレスとかどうですか?
それはそれで高そうですけど。
あー確かに。
ティファニーの指キーハート。
売れないですか?わかんないですけど。
売れないなそれは。それは売れないな。
売れないですかね。それだったら普通の方買ってくれって言われそうですよね。
普通にね。
確かに確かに。そうかもしれないですね。
はい。という感じのお便りでございました。
ありがとうございました。
もしなんかコメントとかあればハッシュタグセキュリティのあれをつけてツイートいただければ
拾ったらステッカーの印刷コードを送らせていただきますんで皆さんよろしくお願いしますということです。
15:02
はいじゃあセキュリティの本題入っていきましょうかね。
じゃあ今日はねぎすさんがいきましょうか。
トップバターじゃあ行かせていただきますけども。
今日はですね。
BOA Web サーバーの脆弱性によるサプライチェーンリスクっていう内容について
ちょっと今週マイクロソフトが記事書いてたんでちょっとこの内容を紹介したいなと思うんですけど
記事のタイトルはどうだったかというと
Burnable SDK Components Lead to Supply Chain Risk in IoT and OT Environmentsっていうタイトルなんだけど
どういう内容かというとこの記事の調査のきっかけになったのは何かというと
今年の4月にレコーデッドフューチャーっていうスレッドインテルの会社があるじゃないですか
あそこが中国の政府が関与していると思われる攻撃者グループによる
インドに対するインドのパワーグリッドのインフラへの攻撃キャンペーンというものについて
レポートを公開したのね
そのレポートの中で攻撃者が使っているシャドーパッドっていうよく使われているマルウェアがあるじゃないですか
あれのC2のサーバーっていうのが主に台湾と韓国のDVRとかIPのカメラとか
いわゆるIoT機器を乗っ取ってそこがC2サーバーで使われてましたっていう報告を上げていて
IOCとしてIPアドレスの一覧なんかが出てたんだけども
そこまでがレコーデッドフューチャーの4月のレポートに書いてあった内容なんだけど
それを読んだマルコソフトの研究者がそこから先をちょっと調べてみたところ
実はこのC2に使われていたDVRとかIPカメラの機器っていうのに共通点があって
それが今冒頭で言ったBOAというサーバーをどうも使っている機器で
これらが基地の脆弱性を悪用されて乗っ取られたんではないかというところを特定しましたっていう
そういう報告だろうね
なんでこれがまずいかというと
その悪用されてたっていうIPアドレスを調べたのと
あと同じようにそのBOAサーバーを使っていて脆弱性を持っていると思われるもので
同じようにそのシャドーパッドにどうも感染してるっぽいってやつが
他にも複数見つかったらしくて
そういうのをちょっと継続して調べてみると
タイミングによっては未来みたいなIoTのBotに感染している時もあったりだとか
いろんな攻撃者にどうも悪用されているようだというのが分かりましたと
マルコソフトの調査によると
このBOAウェブサーバーってすごくメジャーなウェブサーバーなんだけど
インターネット上に100万台以上あるんだって公開されてるやつが
こんな数ですね
これはちょっとこんなに数があるとはちょっと俺も分からなかったんだけど
18:01
特に理由はよく分からないけどインドがすごく多いらしくて
世界中にね
日本にもあるしアメリカとかいろんな国に100万台以上どうも
全部が全部贅沢性があるわけじゃないんだけど
そういう規模で使われてますと
なんでこんなに使われてるかっていうとそれが問題につながるんだけど
実は結構その人気のあるSDKに最初からこのBOAサーバーって組み込まれてて
例えばリアルテックとか国内でも使ってるベンダーあるけどさ
ああいうメジャーなSDKに最初から組み込まれてますと
そうすると例えばIoT機器を開発しようと思った時に
じゃあこのチップを使いましょう
そのチップ使うにはこのSDKが要ります
そのSDKには最初からこのBOAサーバーが入ってますみたいな感じで
勝手に入っちゃうわけよね要するに
そういう感じで結構あちこちのIoT機器の
使われてるそのSDKに最初から組み込みに入ってるんで
100万台ぐらい使えるようなそういう状況になってるんだけど
ただ広く使えてるだけなら問題ないんだけど
何が一番問題かっていうと
このBOAウェブサーバーっていうのはオープンソースで公開されている
非常にメジャーなサーバーなんだけど
実は2005年からもう開発が止まっていて
更新されてないのね一切
なので2005年以降にもたびたび脆弱性が見つかってるんだけど
それはだからコードは直されてないわけよそのまま
そうするとどうなるかというと
例えばそれを使っている組み込まれているSDKを使って
開発されたIoTの機器
ルーターとかDVRとかいっぱい種類があるんだけど
例えば最新のファームウェアが公開されてます
自分はこの最新のファームウェアを使ってますから
安心と思っていいかっていうと
実はそのファームウェアが使われているそのSDK
例えばさっきのリアルテックのSDKみたいな
そのSDKの脆弱性をちゃんと修正しているかどうかっていうのは
保証されてないし
そのSDKが使っているそのBOAウェブサーバーにも脆弱性が見つかっていて
それが修正されているかどうかっていうのも実は定かではないわけ
大元のコードはもう更新されてないからさ
2005年からそのままほったらかしなんで
脆弱性を修正する責任は最終的にリリースしている機器のペンダーがやらなきゃいけないんだけど
なんかねそれがMSの調査だと
治ってると限らないらしいのね
ということでそうすると100万台以上使われてるって
使われてるのはいいんだけど
ちゃんと作ってる側が脆弱性を治してるかっていうと
それがはっきりしてないっていうことで
これは大問題じゃないかというのが
ソフトの記事の注意喚起というか
内容なんだけど
本来であれば作る側の問題として
自分たちが提供しているIoTの機器とかの
21:03
セキュリティをきちんと確保するっていうために
その使っているSDKとかウェブサーバーのコンポーネントとか
そういうののセキュリティもちゃんと本当は作る側が保証しないといけないと思うんだけど
実際にはそうなってないというか
自分たちが作ったもんじゃないからっていう理由か何かわからないけど
そこにサプライチェーンリスクがあるわけよね
使っている他のコンポーネントに脆弱性がある場合に
それがそのまま出てしまうっていう問題がありますねと
そうすると本来作る側がやるべきことなんだけど
使う側にしてみれば
自分が使っている製品の脆弱性の把握がとても難しくなっちゃって
その機器の最新のファームウェアを使っています
アップデートしています最新です安全ですって言えなくなっちゃうんだよね
確かにですね
しかも自分が使っている機器が
どこそこのウェブサーバーを使っているとか
どこそこのSDKでとかなんてわからないじゃん普通の人は
そこまで見てない場合は多いですね
普通はベンダーが出しているファームウェアを当てることすらしないのにさ
さらにファームが修正してないかもしれないっていう
そういう脆弱性があるかもみたいなことなんて
使う側がわかるわけないので
これ非常に厄介だなっていう感じで
とはいえ今は作る側がちゃんとやってないっていう現状があることは
いたしかたないので
MSもその記事の中で色書いてるんだけど
例えば使う側が
そういうその脆弱性があるかもしれない
そのはっきり確定できないような機器っていうのを
インターネット側に公開して使わないようにしましょうとか
あるいはその脆弱性を悪用されて何かその乗っ取られたりね
なんかそういうことがあるかもしれないので
そういうその攻撃されたらすぐ検知できるようにしましょうとかさ
未然に防ぐってよりは
そういう対策を少ししましょうっていうことしかないんだよね
脆弱性直すってことできないからさ
もちろんファームは最新にするっていうのは前提としてあるけど
でもそれでも直ってないかもしれないわけなんで
ちょっとこれは対応が非常に難しいなっていう
その今のIoT機器を巡るなんかさ
根本的な問題っていうのをちょっと含んでるなっていう気がして
これ実はね僕その
普段ここでも喋ってるけどさ
IoTのBotとか普段色調べたりとかしてるじゃない
そうすると国内で使われてるデバイス
例えばDVRとかね
去年以降結構韓国製のOEM製品のDVRとか結構
攻撃に狙われたりとかしてるんだけどさ
なんかそういうの調べたりとかしてるんだけど
そういうの見るとなんかこれは
なんか贅沢性がありそうで
なんか変なのに感染してそうだなとか
でそれらがなんかどうも共通のなんかコンポーネントを使ってそうだなとかさ
で調べてみるとどうもこれは韓国のOEMっぽいとか
これは台湾のOEMっぽいとか
24:01
なんかそういうのがめちゃくちゃ多いのね
で辿ってみるとそのOEM元はなんかもうなくなっていて
ソフトウェアの更新は出ませんみたいなことがあったりとかするわけよ
そうするとさじゃあその
OEMとして売っているベンダーがちゃんとやってるかっていうと
まあそれもベンダー次第なんだよね
そうですね
なんでなんかこういうそのOEM製品だったり
バーウェブサーバー使ってるとかSDK使ってるとかっていうような
そういうその製品のいわゆるサプライチェーンリスク的なものって
結構根が深いなとこれ記事見てて思ってさ
しかも割と身近に結構調べてるとよく出くわす問題でもあるので
これはちょっとね一筋縄ではいかないというか
すぐにはどうも解消しないので
なんか決定打がねないですよね
そうなんだよねだからそのさっきも言ったよその
使う側がある程度注意を払うとかっていうしか今のところないんだよね
だしあんまりこれ多分そんなに知られてないっていうか
だからこそMSがわざわざ記事書いて注意喚起したんだと思うんだけど
こんな脆弱なその十何年もずっと更新もされてないようなコンポーネントが
100万台も使われてるなんてさ誰も思わないじゃん
そうですね
まさかこんなことにね
そうそうでそんなみんなが誰も気づいてないところをやっぱり
攻撃側は使ってるんだなっていうかね
実際役用されている事例っていうのがたくさん見つかってますっていうのが
いくつかレポートでそのレコーデットフューチャーのレポートとかさ
いくつかあるわけなんで
いやまあこれはなんかちょっと根が深いなと思って
別にどうにかできますとか皆さんも気をつけようねとか
気軽に言えるあれでもないんだけど
でも知らない人も多そうなんでちょっと紹介しようかなと思ったわけですね
これはこのボアウェブサーバーもちろんこれインターネット側から
リーチできるから攻撃受けてるんだと思うんですけど
これはあれなんですか
使い方は様々なんですかその機器によって何のためにこれ使ってるのか
そうだねでも一番多いのはその例えばIoT機能の場合だったら
簡易コンソールのウェブサーバーで使われてるとかそういうのが多いね
じゃあまあその外に開ける必要がないというか制限かけようと思ったら
まだ制限の余地があるような口ってことですよね
だからまあそういう意味で本当にこれ公開する必要あるんですか
っていうのはまず先に確認すべきだろうね
これあれなんですかね外から繋がって80番を見れば
これ使ってるこのIPアドレスのデバイスは
ボアウェブサーバー使ってるって分かるようなバナーを吐くんですよね
サーバーのヘッダーに出るねボアウェブサーバー
であればなんか攻撃する側も使ってるやつが世界中にあるやつを
収集するのも簡単にできちゃうってことですよね
まあそれを使う側が意識してちゃんとやればいいんだけど
27:00
そんなの普通見ないでしょ
まあそうですよね
IoT機能の管理インターフェースのサーバーのHTTVのレスポンスのヘッダーなんて見ないでしょ
一般の人はね
僕らは見るかもしれないけど普通見ないですよね
何が動いてるんやとかあんま気にしないですもんね
それを使う側に意識させて
自分はこれ使ってるからこうしなきゃみたいなのを
使う側がやるってのはちょっとやっぱりどう考えてもおかしいので
これやっぱりね提供する側の作る側とか提供するベンダー側の問題だと思うんだよね
安易にだからそういうSDKとかポピュラー出して使いやすいからっていう理由で
使ってるとこういう問題が内在してる
しかもそれをこうちゃんとね責任持って直すってことをせずに
使っちゃってるっていうのが実情だっていうことだよね
いやすごいですね2005年でしたっけその終わったの
更新が最後の更新
それからでもそのIoT機器を作っていく上で使われ続けてるっていうのもちょっとびっくりしますよね
まあねそのオープンソースで結構シンプルで軽いウェブサーバーとか
使い勝手がいいんだよね多分ねIoT機器向けとかさ
結構そのIoT機器のウェブサーバーってだいたいそういうボアとかライティとかさ
なんかこうよくポピュラーのやつになんか集約されていくっていうか
なんかどっかで見たようなやつだなみたいなやつがあちこちで使われてるんだよね
だからまあそれも仕方ない面あるけど非力なIoTの機器のリソースで動くものっていうと
おのずと選択肢が限られてくるっていうのもあるし
あとそのSoCとかチップを選んだら基本的にそのSDKとか
作れるウェブサーバーとかっていうのはセットになっているところもあるから
あんまり選択肢がないっていうのもひょっとしたらあるかもしれないけどね
作る側も当たり前のようにスルーしちゃってるっていうか
それが常になっちゃってるのかもしれないですね
かといって別にねその脆弱性を放置していいっていう問題じゃないので
それは別の話ですからね
なんかちょっとこれは何とかしてもらいたいところだけどね
でもそういうのがあるっていう実情はやっぱり使う側も知っておいて
対処が必要っていうことですね今はね
これ仮にSボムみたいなああいったものが整理されてれば
把握できそうな領域で使われてるものなんですけど
さっきのSDKのさらにその中でって話になったときに
難しいねそれはね
Sボムの中にそのボアってちゃんと入ってくるのかなっていうのが少し聞いてて
まあちょっと難しいけど
でもその理想を言えばそういう機器IoTに限らずそういう機器を提供する側が
これはこういうコンポーネントを使ってます
このコンポーネントはこういうソフトウェアに依存してますみたいな
そういう依存関係みたいなものをちゃんと提示して
っていう風になってしかるべきだけどね
そうですね
そこまでやってくれてればさ
それで使いますか使いませんかっていうのを
使う側に委ねるっていうのはありだと思うんだけど
その提供する側がねそういう情報を一切示さずに
30:00
ひょっとしたら作ってる側もそれを意識してない可能性もあるんで
そうですよね
そういう状況で使う側に何とかせっていうのはちょっとこれは無茶だよね
ですね
だと思いますね
まあそのあたりちょっと問題の根深さがあるなっていう感じですね
なんかこういろんな問題がIoTだと昔からあるじゃないですか
脆弱なまま放置とかパスワードがデフォルトでしょぼいものが
しかも外向きに開いちゃってるとかっていうのがあって
そういうのがこういろいろ対処していかなあかんで言って
対処していきつつちょっとずつ減らしつつもっていうことをしてたらまた
こういうのがまた出てくるんですね
なんか最終的に時間が経たないと解決しないようなものもあるじゃないですか
これも多分なんかどんどんなくなってこれをなんか対処していくよりも
なくなるの方が早いんちゃうかなって思ったりする時あるんですよ
そうなんだよね結局そのいろいろ騒いでさ
注意喚起したりとかね
まああるいはなんか贅沢性があるようになって
だいたいノットライターとかするから
そういうの見つけたら例えば注意喚起とか
例えばあのNICTでやってノーティスなんかもそういうやつじゃない
ノーティスはそうですね
結局ああいう活動を一生懸命やってやっても
結局のところユーザー側が対処しないとどうにもならんっていうのが
結局最後ネックになっちゃって
最終的にはそのついさんが言ったみたいに
結局買い替えるなり何なりさ
こうそうやって自然に減っていくのを待つしかなくなっちゃう
っていうのはちょっと悲しいよね
そうですね
まあノーティスの減らしつつも
でもやっぱり置き換わりを待つっていう
待たないとなくなっていかないものも
残り続けるっていう意味ではねあるのかなっていうのは
そうそうある程度は残っちゃうんだよね
そういうのはね
まあだからそれ考えると
だから最初の作る側が出すときから
やっぱりそういうこと考えて出していかないと
消費者側に委ねちゃうとどうしてもそうなっちゃう
っていうのはこれはもうちょっといたしかたないので
それを考えたら
注意喚起の仕方とかも手を変え品を変え
もっとやっていかなあかんなっていう課題はあるな
とは思いました
そうねまあでもそれでどこまでできるかっていうのもあるけどね
難しいね
まあでもだからといって
効果がないからやらないってのもちょっと違うんで
できるだけ効果が出るようにね
いろいろやっていくっていう必要はあると思うけどね
はい
ということでございます
はいありがとうございます
はい
はいじゃあ次はカンゴさんいきましょうか
はい
えー今回私はですね
ラックが出していた
ブログで出していた
マスタングパンダのマルウェアについて
分析された記事をちょっと取り上げさせていただきたいと思ってまして
ほいほい
はいあの記事の名前は
中国圏拠点のマスタングパンダがマルウェア
これがクレームローダーっていうのかな
で標的型攻撃日本にも影響かと
そういった見出しで書かれている内容でして
内容的には
今お話ししたマスタングパンダの活動の中で
アーカイブファイルを使った攻撃の事例を確認しましたというところで
マスタングパンダって結構前から
33:02
2018年ぐらいから
7月ぐらいから活動してますねっていうのが
いろんなセキュリティベンダーであったりというところから報告されているものですけども
結構やっている手口としては
メール使ったフィッシングというか
標的型攻撃メールというか
いったイメージのものを扱うというもので
今回もおそらくそれだろうというところで
日本とアメリカとフィリピンかな
3カ国会議に関連した文章をルアーという形で
デコイですね
おとりファイルにして使った手口というのが見られましたというのを紹介されていたと
添付されていたであろうと
メールだったのかというのは
RACの記事の中には確か言及なかったんですけども
ZIPファイルアーカイブファイル確認されたというものではあってですね
この中にマイクロソフトの正規の
Windowsのソフトウェア開発キットのかな
ACCイベントっていう
確かアクセシブルイベントみたいな
そういうソフトウェア開発キットの
本当に正規の自己ファイルというのが入っていて
この中にDLLサイドローディングが可能だったので
それを使うことでマルウェアを呼び込まさせると
そういった手口で
手口自体は結構オーソドックスというか
マスタングパンダ自体も結構この手口
前から確か結構使っていて
似たような時期
トレンドマイクロもこのマスタングパンダの記事を出していてですね
この中でもDLLサイドローディングの手口というのが
一つ事例として挙げられているんですけども
この時はMSではなくて
Adobeの正規ファイルを使った
同じくDLLサイドローディングのやり方というのがあったので
いろんなDLLサイドローディングが可能な
正規のソフトウェアというのを把握してやっているんだなというのは
これはいろいろ手駒があるんだなというのを改めて知ったんですけども
今回ラックが取り上げている中で
これまではマスタングパンダ自体は
プラゲックスとかコバルトストライクとか
あとはシスコがチャイノチョッパーとかっていうのを
使っていたというので報告はしているんですけども
とも昨年末、21年の12月ぐらいから
さっきお話ししたクレームローダーという別のマルウェアも
使った手口というのが確認されてますよという話を取り上げていまして
特にこの中で興味深いなと思ったのが
このマルウェアの中で主張をしていると
アウトプットデバッグストリングという関数を使って
マルウェアの中に何とも一等は汲み取りづらいんですけども
このマルウェアを開発した側の
コメントが書かれているというところで
内容的には何とも言い難いものではあるんですけども
36:02
アイラブアメリカとかペロシーとか
アイラブトランプとか
アメリカの選挙関連とか
あるいは政治とかそれに絡めた内容なんですかね
そういったコメントというか主張が書かれているという
結構不思議な特徴があるもので
特に他にも気になる点としては
今回落画確認したこのペームローダーは
シスコタロスが同じく
5月ぐらいにこのマルウェアの解析記事
かなり細かいものを出しておられるんですけども
その時との違いとして通信方式が少し変わっている
というところを取り上げているんですけども
HTTPのポスト通信をするようになりましたよ
というそういった実装に変わっているんですが
実装されているシェルコードは
通信先としては直接
香港のIPアドレスをリトレインディアで
ハードコーディングしているんですけども
HTTPのポスト内容自体は
ホストを別に書けるんですが
そちらにはasia.microsoft.comという
定期のドメインが書かれているという
偽装のテクニックを使っているというところで
これ共有不可能だと思ったんですけども
もしかするとセキュリティ機器によっては
Microsoft.comの方を通信先として解釈してしまう可能性もあるね
みたいな話というのは取り上げておられて
そこは確かにこういうやり方というので
バイパスというか検知回避のテクニックってあるんだな
というのは改めて思ったところではありました
ちょっとバラバラ喋っちゃったんですけども
なんでこの記事を紹介したかというと
辻さんには申し上げないんですが
最近ランサムウェアばっかりじゃないですか
サイバー攻撃っていうと本当に
ランサムウェアみたいな
そういった状況というか
目にかける機会というのは非常に多いんですけども
15年とか16年の時とかは本当に
こんな標的型攻撃を受けて情報を盗まれました
みたいなのが本当に多く
それこそ報道であったり発表であったりというのがされていた中で
MDBとかの頃ですよね
チェチェスとかね
その時と比べると本当に主観的なもので申し訳ないんですけども
公開されている情報量って
かなり少なくともインターネットで
誰でも見られる範囲においては
目にする機会減ってきてるなと
JPサートとかロードインフォとかの情報とかは
時折公開はしておられるんですけども
あの時と比べると結構目にする機会が減っているので
日本に関係するかもとか
日本が含まれているといったような
そういった情報が出ているのであれば
39:01
結構丁寧に拾っていかないと
今現在の傾向から乗り遅れがちになっちゃうな
というのは見ていて改めて思ったので
今日はあえて取り上げさせていただきました
確かにね 手法を見ていると
ずっとあるやつやなというのがあって
見てもピンと来ない方も多いのかもしれないなというか
今更みたいな感じに思っちゃう人も多いのかもしれないですけどね
これは多分どういうところに来がちなのかとか
取り上げ方をしないと
キャッチしてくれない人が多いのかなという気がしましたね
この三か国会議がとかってなると
ちょっと民間の人だと
愚痴は関係ないかなと思っちゃいかもしれないですね
実際に関係あるかどうかは別としてですよもちろん
確かに確かに その観点は
看護さんの観点はそうですね
確かに大事なポイントだなと思って聞いておりました
僕に別に申し訳なくないですよ
すみません
ついさんが いつもランサーマックが喋ってるってことは
言いたかったわけではないんですけども
喋ることが多いっていうのもあるんですけど
飽きるって言い方はあるんですけど
ちゃんと伝えななって思う
騒ぎが大きければ大きいほうが ノイズとかも多くなってくるじゃないですか
そこじゃないんじゃないかなみたいな
大事なところっていうのがあるんで
結構言い続けたりとか
ちょっと変わったものがあったら紹介するみたいにはしてるっていう
さっきついさんがあんまり手口としては変わってないけど
オーソドックスとかっていうのは本当にまとえてるなと思っていて
変わらないからあまり目立たないというか
話題にも昇らない
しかもランサーマックのようなシステム障害とか
サービスが使えなくなるとかっていうのも
情報が盗まれるだけであれば
そこまでそういった事態が起きるっていうのは可能性としては限りなく低いので
業務が止まらないとか
自分たちが直接いきなり影響を受けないってことですよね
ネットワーク遮断をガツッとやったりすると
時折そういうのはあるかもしれないですけど
なかなかそういうケースっていうのが
ランサーマックと比べたら少ないんだろうなというところもあって
目立ちづらいっていうところもあるのかなとか
物事が起きた時の一即座に体感できる
インパクトっていう意味だとやっぱり
ランサーマックとか破壊系とかの方がやっぱり
強いのかなっていう気はしますよね
しかも自分たちの業務が止まるっていうのがありますよね
そこがあるのかもしれないですね
確かに難しいですね
昔から使われてるけど今でもこれやってるってことは
これで上手くいってるってことですよね
連載ドローリングとかは本当に
今だからこそむしろ王道というか
本当に使われるオーソドックスな手口になってるってことなんでしょうかね
しかもZIPで送られてきて解いたらエグゼなんでしょ
42:00
そうですね
それ実行しちゃってるんですよね
そうですね
分かりました
ありがとうございます
最後かな
鳥の後に鳥を務めさせていただくんですけども
鳥取で
今日僕が紹介しようかなと思ってるのは
全国災害ボランティア支援団体ネットワークっていう組織があるんですけども
そこが発行しているあるガイドを紹介しようかなと思っております
全国災害ボランティア支援団体ネットワークっていう風に
毎回言うのもまあまあ大変なんですけれども
略してもJVOADなので
どっちもいいか何々って書いても
使えられないので
この団体っていうようにしますね
この団体が出しているページには
ノウハウ集っていうページがあるんですけれども
見ていただければいいんですが
ノウハウ集っていうのはいくつかのカテゴリーに分けられて
それぞれにイラスト付きのカラフルなドキュメントが公開されているんですよ
例えば災害の備えっていうカテゴリー
災害支援の基礎情報
感染症対策
災害の支援事例みたいなこういうカテゴリーにあって
これに1個1個例えば災害の備えだったら火山噴火とか
在宅避難の備えとかっていうのが1個ずつ細かく
ガイドを公開してくれてるんですよノウハウっていう形で
今紹介したカテゴリーの中の災害の備えカテゴリーに
防災基礎情報っていう項目にある
コロナ禍でもすぐにできる防災アクションガイド
災害時のSNSリテラシーっていう風なものを
今日紹介させていただこうかなと思ってます
最近出たんですかって言われるとそうではなくて
2021年の11月15日なんで
ちょうど1年ちょっと前ぐらいに発行されたものなんですねこれ
今なんでこれっていうことなんですけど
僕も全然この存在を知らなくて
SNS経由で知ったんですけれども
空に浮いてる雲あるじゃないですかクラウド
雲ありますよねここでクラウドって言ったら逆にややこしいなのか
どっちのこと言ってるのかなってちょっと分からなくなりました
物理的な雲の話ね空に浮いてる
雲研究家の荒木健太郎さんという方が
ちょっと前にあった地震に対してですね
人工地震だという風に思う方とかそういうの受け取っちゃうような方は
一度このガイドを見てみてはどうですかっていうようなことを紹介されていて
再度注目を浴びたみたいな感じだったんですよ
ツイート見てみると1万いいねを超えてたので
これ自体がまだまだそんなに多く知られていなかったのかもしれないなっていう風な
ものだったんで僕も読んでみようと思って読んだのでその内容をちょっとですね
ちょろちょろっと説明していこうかなと思います
45:02
このドキュメント自体が何かっていうと災害時に
情報収集をすることになるんですけどもそういった時に気を付けるべきこと
例えば情報が錯綜してデマが流れるとか前とかもありましたよね
ライオンが逃げたとか写真が投稿されてちょっと騒ぎになったデマとか
あとなんか井戸に毒を入れたらなんたらかんたらとかそういうのは結構あったと思うんですけども
そういったデマが流れたりすることに対してはどういう姿勢で受け止めて
適切な判断そして行動するかというふうなことをまとめてくれてたりします
内容自体はすごい基礎的な内容ではあるんですがしっかりまとまっていて
応用すればこういう気象情報とかそういったもの以外のことでも
あとこういった災害時でなくても平時であったとしても
普段自分の身につけておくものとして活用できるんじゃないかなと思います
SNS の情報に関してどうやって見極めていくかっていうようなことは
いくつかポイントがまとめられていまして
投稿内容が本当に信頼できるかどうかを確認するために
それがちゃんと最新であるのかどうかタイムスタンプであるとか
みたいなものを確認しましょうとかですね
たまにニュースとかツイッターとかそういうのを見ててもそうですけど
あれこれ結構昔に見たことあるなと思って開いてみたら
過去のニュースが今のニュースっぽく出てきてしまうとかってあると思うんですよね
サジェスト系とか見てても僕もあるんですよ
Google の検索結果に応じたやつとかもあるんですけど
1週間以上前のことが今かのようにポンと出てきてしまう部分があったりするので
これ最新のものなのかっていうことであるとか
あとは情報ソースはどこかってことですね
一時情報なのかそれ以降のNG情報なのかとか
公的機関が言ってるかメディアが言ってるかみたいなものですね
あとはこれに加えてその情報ソースも
見た時にそうなんだではなくて更新情報が書かれている場合があるので
そういったものも見た方がいいんじゃないかと
あとさっきの情報ソースに被ってくる部分なんですけど
発信者自体をきちんと確認しましょうということですね
国自治体といった公的機関なのかメディアなのかっていうのだけではなくて
プロフィールはどんな人が言ってるのかとか
実名なのかとか
実名であればどういったバックグラウンドとか過去投稿とか
いうのもチェックした方がいいですよというふうなことですね
あとはそうですね
MOOC的には同じようなことを別のアカウントも言ってるかとか
発信してるかっていうのも大事なポイントなんじゃないかなというふうにも思います
あとこの脆弱性情報とかもこれは同じなんじゃないかなってこれ見てて思って
SNSだけじゃなくてニュース記事でどこが扱ってるかとか
別のメディアはどういうトーンで報じてるのかとかっていうふうなことに加えて
メディアとかも専門家とかも間違うことはあるっていうのは
考慮に入れながら見た方がいいんじゃないかなっていうのはもう
まるっと信じないみたいな
そうですね
なので普段からこの災害だけじゃなくてね
色々な複数のメディアとか専門家とかを常々見ておいて
48:01
自分なりにここは信頼できるなみたいな視点を交えながら
ニュースをその人のアカウントとか記事から拾う
っていうふうなことをしていくといいんじゃないかなっていうふうに思いましたね
内容としてはすごく真っ当なことを言ってるんだけど
これ災害時じゃない?
そう
災害時ってこういうことが冷静にできないから危険なんだよね
そうそうそうそう
なのでこの後の方とかにもいくつか紹介しようかなと思ってるものがあるんですけど
何かあった時にここを見ようってやっぱり決めておくものが
一つや二つあった方がいいと思うんですよね
事前にね
そうそうそうそう
それは本当にそうだよね
セキュリティの問題とか通じるなと思ったけど
平時にどれだけちゃんと準備できるかっていうので
多分有事とか災害時に冷静に行動できるかって
もうほぼ8割9割決まってくるじゃない?
そういうのと同じかなっていう気がして
多分こういうことを何もない時にちゃんと読んで
こういう確認をしようとか
何かあったらここを読んどこうとか
あるいはこういうアプリが信用できるからこれを見ようとかさ
何かそういう準備をしておかないと
災害時に急にやろうと思ってもできないよね
そうなんですよ
これだからSNSの情報をうまく見極めようっていうタイトルになってるんですけど
ここの項目はね
どちらかというとこれを読んで
これほんまに例えば地震があった時に
自分これ落ち着いてほんまにできるんかなっていうのを
加味して考えないと
絶対いきなりはできないと思うんですよね
俺もだっていざいきなり大地震とかに巻き込まれたらさ
こんなゆっくりやってできるかって自信ないもんな
そうですよね
そのツイートパッと見て
その人のプロフィールと過去投稿とか見てたら
自分死んじゃうかもしれないとかもあるかもしれないですもんね
そうすごく切羽詰まった状況だったらさ
何かこういうの確認せずに
何かパーッと動いちゃったりとかって叱れないもんね
確かに
国とか自治体のウェブサイトとかって
なかなかそんなに普段しょっちゅう見てる人って
そんなに多くはないと思うんですよね
そういった何かあった時に
ここを見ようっていう風なものを
用意しておくのは大事だと思います
困った時に立ち帰る場所っていうのは
何事も必要かなというふうには
今にぎりさんがおっしゃってくれた通り必要だと思います
あとはこれもね
焦ってる時には難しいですけども
デマに注意という風なところで
リツイートとかは慎重になりましょう
みたいなことも書かれてありましたね
いたずら目的の投稿が
ガチの混乱を招くっていうのは
実際に過去に何度もありましたから
いたずらでなかったとしてもね
このポッドキャストでずいぶん前に
僕紹介しましたけども
女子高生の会話から
銀行の取り付け騒ぎにまで繋がった話が
ありましたよね
SNSも何もない時代に
そういったこともあるので
そういう噂話みたいなものっていうのは
51:00
RTと同じなので
RTは強力だと思いますけど
今このだけネットは広がっているとね
なのでそういったものを
騒ぎに加担しないっていう
自分が最大に被災していなくても
被災地の人に影響を与えてしまうような
アクションも気をつけないといけないな
っていう風なことが書かれてありましたね
でもそれもあれだよね
悪意を持ってデマを拡散しようと思っている人は
ほとんどいなくてさ
そうなんですよ
みんなそういう被害者とか
そういう人のためとか思って
善意からやっちゃうわけじゃない?
広がった方がいいと思ってね
これはぜひみんなに伝えてあげなければ
良い情報だからと思って
そういう善意がデマを拡散しちゃう
っていう側面があるじゃん
そこがすごいやらしい
ってか難しいとこだよね
そうですね
善意が
善意にっていうようなところと
インパクトのある
センセーショナルなものっていうのは
気軽にRTされちゃうっていう風なものが
ある一方で
それをそうじゃなかったんだ
なかったんだよっていう
訂正する投稿っていうのは
あんまりRTされないんですよね
ふーんとか見た人は
ふーんそっかって終わって
RTまでいかんっていう問題があるので
そこが難しいポイントだな
っていうふうには思いましたね
あとはですね
他の項目で言うと
衛生科学とか陰謀論にも
注意しましょうみたいなものがあって
よく言われるのが
雲は地震の前兆には
ならないよってことが書いてあったりとか
あとは地震予知アカウントとかは
信用できない
現在の科学ではこういうことはできません
みたいなこととかを
粛々と答えてくれているようなところも
あったんですけど
この辺もですね
雲は地震の前兆になるかならないか
みたいな話って
これならないと言われていますけれども
不安を感じるんだったら
雲を見てどうこうよりも
普段からちゃんとした備えしとかんとな
っていう話だと思うんですよ
これもセキュリティに似てないですか
いろんな攻撃がターゲットになりましたよ
みたいなのがあってから
不安になるみたいなのって
そうじゃなくないみたいなのがあるんで
この辺も結構通ずるものあるなと思って
いくつか僕
ぱっと思い浮かんだものを
メモしてみたりとかしたんですけど
この製品サービス入れればオールオッケー
みたいなことを言われた時とか
それはもうできないことなんかないんですか
って質問すべきやと思いながら
いつも聞いてるし
脅威の話してても
それいつの脅威の話をしてるのかとか
チェックするようにもしてたりとか
みたいなのがあるし
あとこういうのは
アメリカでは当たり前なんですよ
みたいなことを言われたりとかすると
それ日本当てはまるんか
みたいな風に思ったりもするので
疑問を持つっていうこと自体がすごく大事
あとは何か確認するっていう風な
ググってみて
それはいつの脅威なのかとかっていうのも
ちゃんと見てみてっていうのが
大事なんじゃないかな
っていう風には思いましたね
あとはまた看護さんに言われるかもしれないですけど
ランサムな話で言うと
どこどこの業種への攻撃が急増とか
って言ってるけど
その急増って何件が何件で急増って言ってるのか
ようわからんもん多いじゃないですか
そうですね
病院とかだったら
54:02
どうしても表に出さざるを得ないようなものが
そういう経路があるので
どうしてもほっといても目立ってしまうから
に決まってるやん増えてるように見えるの
みたいなものの見方というか
ちょっとこうひねくれてるぐらいが
ちょうどいいのかもな
みたいな風に思ったりもしましたね
こういうのを見てて
あとはね
これは言葉の違いの話なんですけど
予測と予報は違うっていうことに
ちゃんと注意しましょうねって書いてありましたね
これお二人分かります?
予測と予報の違いって知ってました?
厳密な
普段そんなに意識することないよね
これ希少で言うとなんですけど
予測っていうのは
誤差が大きく生まれるっていうのは
前提なんで
あくまで参考情報でしかないっていう風に書いてあって
この予測の誤差を踏まえて
専門家である希少予報士が作るものが
天気予報なんですって
この違いっていうのは結構知らなかったですね
なんとか天気とかってよく見るけど
なんとか予報と予測っていうのは
ちょっとちゃんと
意識してみたことなかったなって思ったんで
ちょっと自分自身は
そうなんやっていう気づきがちょっと
ありましたね
なのでこれと同じ
希少で言うところの言葉なので
他のものには当てはまらないかもしれないですけど
例えば今言った
2023年を占うという脅威予測みたいなものっていうのは
予測やから大きな誤差が生まれるものやから
あんま気にせんでいいのかなっていう風にも
思ったりもしたなというようなところでございます
なので他にもですね
セキュリティに関係あるかないかは別として
さっき言ったみたいに
ノウハウ集っていうのがいっぱいあるので
これ一個ずつ読んでいってもかなりの量あるんで
ですし今読んどくことにやっぱり意味が
今ね多分災害に見舞われてる方
これ聞いてる方の中にはほとんどいないとは思うので
今読むことにすごく意味があるので
上から順番とかもしくは興味が湧いたものから
ちょっとずつ読んでいってもいいんじゃないかなという風に
せっかくすごい分かりやすい資料なので
読んでいただければなという風に思います
僕からは以上です
この内容そのものとは関係ないんだけどさ
聞いてて思ったのは
例えば今の議事科学の話とかっていうのは
どっちかとSNSのリテラシーというよりも
科学のリテラシーとかいう話だと思うんだけど
これってそのまあ別に基調の専門家に限らず
その例えば科学の知識がある方とか
という人にとってはわりと当たり前のことだったり
するわけじゃない
当たり前だし
こういうことは角度を持って何も確証を持って
言うことができないっていうことが当たり前だったり
だからむしろそういうことを言い切ってるのは
怪しいってすぐ見分けることができるとかさ
多分そういうリテラシーがある人にとっては
当たり前のことなんだよね
これ書いてあることってどれもこれも
これはもう誰もが分からないものだってことを
分かっている人たちってことですよね
それはね専門家とかっていうのは
一方そのSNSのリテラシーというか
そういうデマとかに惑わされちゃうっていうか
57:01
多分そういうのが見分けるのが難しい人たちであって
だからこういうガイドがこういうのは
違うんですよっていうことをちゃんと伝えよう
っていうことに意味があると思うんだけど
そのひるがいって自分たちのことを考えてみると
全く同じようなことがあって
セキュリティの専門家だったり
前提知識がある人にとっては
ある程度当たり前のことが
そうでない人には全然見分けがつかないとかさ
ということは結構あるなと思って
これはだからこういうガイドとかね
伝える側がある程度
歩み寄って努力して伝えていかないと
なかなか難しいよなっていう
やっぱこういうのね
知ってるか知ってないかによって
だいぶ差があるものじゃない
だからなかなかこれは
そういう視点で見てもちょっと勉強になるね
こういうふうに伝えるといいのかなとかさ
どういうふうに伝えると分かりやすいのかなとかさ
そういうのを考えるヒントにもなるかなっていう
そうですね
あとこういうドキュメントとして
いろんな熱中症の話とかも書いてあったりしますけど
ちゃんと残してくれてるのがすごくいいなと思ってて
SNSでこういったレバーを見分けるとか
失敗をしないようにするとかっていうふうなことって
経験としてバッドノウハウがたまっていったりするじゃないですか
人のフリ見て我がフリ直せみたいな感じでね
そういったものもSNSって
どんどん5年周期ぐらい消えていってる気がするんですよ
確かに
例えばバイトテロみたいな
最近言葉すら聞かなくなりましたけど
そんなん昔あったやんみたいなことがまた起きるみたいなのがあって
一周回ってまた新鮮になっちゃうみたいなね
そうそうそうそう
なんであの時にすごい大炎上して
記者会見までその会社が開いて
すごい賠償請求されましたみたいなものとかも
一周回ってまた新しい人が入ってきて起こしちゃうみたいなのがあるから
こういうの残してくれてるっていうのっていいなって思いましたね
ノウハウとして
経験をちゃんと残してくれてるっていう感じはしました
大事だよねそれもね
良かったら皆さん呼んでいただければなと思います
ありがとうございます
ということで今日もセキュリティのお話を3つしてきたんですけれども
最後にですねおすすめのあれかあるんですが
今日僕がした話に関連するようなものをおすすめというか
こういうの読んでみたらどうですかっていうふうなのを紹介しようと思うんですけど
これですね僕はね初めて読んだのっていつかなっていうぐらい
結構前も10年経ってないかな
結構前に知ってる
更新頻度が最近ないからちょこちょこしか見なくなっちゃったんですけど
一時期よく読んでたサイトで
頂上現象の謎解きっていうサイトがあるんですよ
1:00:00
ここはいろんな頂上現象とか
あとはその気象の話とかも出てきたりするんですけども
それってほんまにそうかという観点で
物事を紐解いていくみたいなサイトなんですね
基本的に会議的な姿勢ではあるんですけど
姿勢的に言うと
どんなに疑ってかかっても
その頂上現象みたいなものとかUFOとかっていうのが
あってほしいと思いながら見てるんですよ
でもそれをどんだけ頑張っても否定できなかったら
それは本当のものかもしれないっていうので
それを深掘りし続けるっていう姿勢でされてるサイトなんですが
結構面白くて
皆さんがもし興味があったら読んでもらいたいなと思ってるのは
ここのサイトにある一番古いトップ3の
3つの記事だけはまず読んでほしいなと思うんですよね
一つは基礎として知っておきたいこと3つっていうので
頂上現象編、記憶編、視覚編っていうのがあって
いかに人間の目とか記憶が曖昧なものか
みたいなことを説明してくれてるやつなんですよ
例えばUFOみたいなものを
UFO未確認飛行物体は見たっていうのをずっと調べていったら
結果的にそれはUFOではなくて
星でしたとか広告用の飛行機でしたみたいな割合が
どんだけあったかみたいなものとかを出してて
ほとんどUFO説明がつかないものがなくて
こういう見間違いのものが多いんですよであるとか
あとなんか一見手品をしているように
見せかけている動画なんですけど
手元にカメラがいって引いたら
実は背景とかカードをさらってた人の服が変わってるのに
まあまあ気づきませんよねとかっていう風なものとかを紹介してて
思い込みの曖昧さとか
人間の曖昧さみたいなものを突っ込んでる記事が
最初の古いところの3つにあるんで
そういうのを読んでみると
意外と自分が正しいと思っていることって
違うなとか思い違いっていうのは結構あるんやな
っていうのがあるので
そこからスタートすれば疑ってかかるとか
何でもかんでも鵜呑みにしないみたいな
発想っていうのを養うこともできるんじゃないかなと思って
ちょっとこのサイトを紹介しました
まあ結構人間のそういう記憶力とか感覚って
めちゃくちゃ曖昧だもんね
うまくできてるっちゃうまくできてるけど
脳の働きでうまいこと保管しちゃったりとか
見えてないものが見えてるように見せちゃったりとか
そういう脳の働きもあるじゃない
文字もそうですよね
前後が合ってれば読めちゃうみたいなの
一時期バズってましたよね
なんかあったね
ちょっと微妙に全部違うんだけど
普通に読めちゃうとかね
それはプラスに働いてる方かもしれないですけどね
そういうのも逆に働くと
そういうのにコロッと騙されちゃうみたいなね
トリックなんかそうだよね
マジックなんかもそうだけど
確かにそういうのを改めて客観的に
見てみるっていうことですかね
そうそう
実際の超常現象の紹介とかっていうところじゃなくて
そこの基礎的なところの話は結構役立つし
オカルトを信じる信じないとかっていう
関係なく勉強になる記事が3つあるので
1:03:00
読んでいただければいいんじゃないかなと思いました
ということで紹介しました
はい
という感じでセキュリティの話3つと
おすすめのあれを紹介したところで
今週はここまでです
また来週のお楽しみです
バイバイ
バイバイ
