00:00
お久しぶりでございます。
だいぶ間が空いたね、今回はね。
元気そうか?こんな短い言葉で。
これだけでわかるの、すげーな。
唾液だけで全部何もかもわかるみたいな、ハイテクノロジーな感じがしますけれども。
いかがお過ごしでしたか?
結構忙しかったよ、みんなね。
カンゴさんは、真梅のスペースというのをやってましたけど。
そっかそっか、やってたね。聞いてませんけど。
2回やったのに全く何を話したのかも覚えてない。
それはそれですごいよね。
ほんまに思い出せへんのですよね。何喋ったっけなーっていう。
ほんまにトピックも出てけえへんわ。
いくらでも喋れんじゃん、もう。
ずっと雑談してたかもしれない。
雑談でやったかな。
俺は先週1週間沖縄行ってたから。
そうみたいですね。
10月ってまだ真夏なんだよね。全然暑くて。
向こうはってことですか?沖縄がってこと?
そうそう。30度ぐらいあってさ、普通に海で泳げるぐらいの気温で。
そうなんですかね。でも秋とかっていないんですか?危ない生き物が。
危ないってどういうこと?
クラゲとか。
いや、また大丈夫なんじゃない?わかんない。俺は海には入ってないけど。
そんな暇ないよ。遊びに行ったわけじゃない。
分かれへんよ。合間に入ってるかもしれない。
確かに。入っててもおかしくなかった。
まあまあ、いろいろ忙しく過ごしましたよ。
僕も特に何もなくて。
そうですか。
登壇の収録とかしたりとかはしてましたけど。
そういや、ビッグイベントがあったじゃない?今週。
何?
iPad mini 出たでしょ?買った?
買ってないよ。
買ってないよ。
なんで買わないんだよ。
いや、なんで買うんよ。
いやいや、買うって言ってなかった?
どういうこと?言ってないよ。言ったっけ?そんなこと。
いやいや、3年以上前の話ちゃいます?それ。
そうだっけ?3年ぶりに出たんだよ。iPad mini が。
買うでしょうが。
いやいや、僕はiPad mini を新しいの欲しいなって昔ずっと思ってたけど、
ハードウェアボタンと言えばいいの?真ん中のポチボタンあるじゃないですか。
ああ、丸っこいホームボタン?
そうそうそうそう。あれが無くなるか無くなれへんかみたいなのをずっとミニが言われてたんですよ。
その事前のリークで無くなるだろう、やっぱ無くならへんだろうみたいな。
なんか一番最後まであれ残ってたもんね。
そうそう。それでこれ無くなったタイミングでは流石にiPad mini 買おうって思ってたのが、
多分その3年前って今おっしゃってたやつ。
あ、そっか。じゃあ前回の話か。
そうそうそうそう。今回はなんかそんな大きく変わったんでしたっけ?
いや全然変わってない。
いやでも買うだろう、普通。
いや、なんなんその全然変わってないっていうコンディションで買うやろと思うその判断。
確かに。いやでもさ、今回事前の告知全く無しに急に出たからさ。
03:02
不意打ちでしたね。
あ、不意打ちやったんすか?
そうそう。俺なんかしかも沖縄に出張中にさ、急になんかニュースでiPad mini出ましたみたいなさ。
待ってくれよーと思ってさ。
沖縄、Apple Storeは無いんですか?
別にショップに買いに行くわけじゃなくてさ、予約注文すればいいんだけど、
いやいやほらバタバタした出張先でなんかやりたくないってなんかこうあるじゃんそういうのが。無いか?
ちょっと待って、それAppleは何、ネギスさんのステータスに合わせて発表するかどうかみたいなとこあるってこと?
そうだよー。
なんでやねん。
ちゃんと考えてくれよちゃんと。今じゃないだろうって思ったよ俺は。
うわうわうわうわうわ。
帰ってからにしてくれよって思ったね。
なんなんその、どの、ネギスさんぐらいなら多分その立場の感じになってくるんすよね。
そうだよ、だってもう出たら買うからね、まず。
えっ、ほんならにこれ新しいやつ買うの?
買ったよもう、あるよ。
うそ?
買った買った、手元にあるよもう。
マジで?マジで?
マジでだよ。
すげー。
買うだろ、3年前買ったもんだからもうそれ買い替え時期だよ。
すごいなー。
俺ちょっと前にも言ったかもしんないけど、
はいはいはい。
あのね知ってる?iPadもiPhoneもね。
まぁ今回俺買い替えたけど、
はい。
3年前のやつを舌取り出しじゃないですか。
あーいいいい。
半額で舌取りしてくれるわけよ。
ってことは実質半額で買えるってこと?
そうなの。毎回実質半額で買えるってことすごくないこれ?
はいはい。
すごいよ。
すごいというかそのネギスさんの圧の方がすごいな今。
いやもうぜひ買ってください。
ちなみに僕は会社で買ってるんで舌取り出せない。
あそっか。なんだよ。邪道だな邪道だよそれ。
邪道邪道じゃない。僕Appleデバイスは基本的に会社で買ってるやつばっかです。
そっかそっか。なるほどね。
サーバーみたいに使ってるminiはもちろん自分で買ってやってるけど、
それ以外といわゆる携帯デバイスと言えばいいんですかね。
そういうのは全部基本会社のやつですね。
そんなビッグイベントを見過ごすとは信じられません。
みんなそれぞれイベントごとが2週間もありゃ3週間か。
3週間だよ。
僕はもうほんまに細かいことしかなかったですね。
そうですか。
車道歩いてて感じたことぐらいのことしかないわ。
何それ。
僕よく散歩してるじゃないですか。猫に会いにとか言うて。
道を横断するとき、それが横断歩道だろうが横断歩道がないとこだろうが、
特に横断歩道がないとこですね。信号がないとこ。
それを横断するときに横切る車とタイミングが合うときあるでしょ。
基本的に車が譲ってくれる世界じゃないですか。普通は。
まあまあね。
でもね、皆さんもあると思うんですけど、自分が渡ろうかなと思ったタイミングで車が来ました。
だから自分も何も考えずに車が止まってくれるから前提で言ったら引かれるかもしれないでしょ。
確かに。
だから僕もゆっくりになってどうするのみたいな空気になるじゃないですか。
車ももちろん減速してくるけど停止せへん車もおるんですよ。
歩く方が止まるかもしれないと思って。
明らかに減速はしてるんですよ。
でもきちっと停止まで行かへん車って結構多くて。
06:02
あれふと思ったんですよ。僕が行くか行かへんかじゃなくて、僕が行くのに合わせて引こうと思って減速して合わせてきてるんちゃうかなって。
タイミング合わせて?
そうそう。
止まろうとしてくれてるってみんな思い込んでるかもしれないけど、あれ僕に当てにきてるためにタイミング測ってるんちゃうかなって。
なるほど。
思い始めたんですよね。最近多かったからそれが。
早くても遅くてもタイミング合わないからね。
そうそう。早すぎたら僕出てきえへんし、遅すぎても通り過ぎられるからこいつに当てられる距離まで詰めとこうみたいな感じで思ったはる人も、もしかしたら何百人に一人いるかもなぐらいの。
どういう世界で生きてんだよ君は。
ありとあらゆる可能性を探っていくのが我々リサーチャーでございますから。
確かに確かに。リスクはいろいろね。
みなさんも気をつけてほしいななんてことしか考えてない2週間3週間でございましたね。
確かに。
3週間も空いたら溜まってんじゃないの結構。
全然溜まってないの。
寂しいなそれはそれで寂しいぞ。
全然溜まってない。
マジか。お願いします。
一つですね、ハードニングの話が先ほどねぎすさんからありましたが。
先週僕が参加したイベントね。
ハードニング競技でねぎすさんにお会いでき、撮影もポストもご開拓いただけました。
はいはい。
セキュリティの勉強を始めてからポッドキャストセキュリティのあれを聞き勉強を続けおかげさまでRISSやCISSPの資格も取れ
ありがたいことに競技参加にまで至りました。
その感謝をお伝えでき感無量ですというふうにねぎすさんとツーショットの写真をあげてくださっている方がいらっしゃいました。
それは会場でね声をかけてくださって
今お便りでね言ってくれたことを嬉しそうに喋ってくれて
ぜひ写真一緒に撮らせてくださいって言ってくれて
でこれポストしていいですかって言うから
全然嬉しいよって言って
そういう話は確かにしました。ありがとうございます。
ちなみにステッカーは差し上げたんですか?
いやそれはね一応もうねあげたい気満々でさ俺は
なんかさほら普段持ってないじゃん俺
基本的にすいさんがステッカー持ってるじゃないですか
だからその普段はステッカーって言われたらごめんすいさんが持ってるんでって
言うから自分から言うことはなかったわけ
ところが今回はなぜかたまたまステッカーを手元に持ってたんで
あげたくてあげたくてうずうずしててさ
だけどほら自分からステッカーあげるよって言っちゃったら
これちょっとほらなんかちょっと違うじゃん
どういうこと?違うってどういうこと?
いやいやだから前回もう忘れてるかもしれないけど
前回キーワードを言ってくれたら
あーはいはいはいはい
ユーザーワードとかでさもし声かけてもらったときに
キーワードを言ってくれたらステッカーあげますよって
この時はそれ言ったじゃないですか
言った言った
だからねこれはやっぱりちょっと言われるまで待ってなきゃダメだなと思ったわけ
はいはいはいありがとうございます
そのキーワードを言ってくれた人にはあげようと思って
もう手ぐすね日出ましたわけ
はいはいはい
結果ね誰も言ってくれなかった
09:01
ほらねほら
やっぱそういうもんなんだね
やっぱりそうやね
僕の気持ちわかったでしょ
わかったわかったちょっとでシュンとなった
そっかでもなんかこのねあげてくださってる写真あげてくださってる方の熱量からすると
なんかステッカーもらなかったんかなって
ネギさんにもね10セットぐらい預けてるじゃないですか
そうそういやちょうどねイベントハードリングもあったし
こういう時には割とリスナーの方にお会いすることが多いんで
一応念のため持っとこうかなと思ったんだけど
まあちょっと自分から押し付けちゃうのはちょっと違うかなと思った
確かにステッカー入りますって言いにくいよな
我慢したのよだから結構
で言ってくれたら
でちょっと水を抜けたわけ
その人だけじゃなくて何人か声かけてくれた
5,6人だったかなリスナーの人に声かけてもらったんで
ありがたい
最新回聞きましたみたいな感じで
予備水みたいなことやってる
そう言ったらある人は
いやすいませんちょっとハードリングの準備で忙しくて今回は聞けてないんですみたいなことを
余計に使わせてどないすんのそれ
余計で言わなきゃよかったみたいな雰囲気になったんで
わかるわ
ついさんの普段の気持ちがよくわかりました
そうなんですよ
なんかそれね結構なんかあれの話を振っていただく
聞いてますみたいな感じでね
言われる時とかも聞いてますっておっしゃってくれたから
そのパッと浮かんだ最近しゃべったトピックの話とかを振るんですよ僕も
振っちゃうんですよ
あのこうなってあれ結構大変ですよね
なんかしゃべってても対策ってあんまりうまいこと言われへんものもあるんですよ
みたいな感じで言うじゃないですか
そうするとそれは何の話ですかみたいな顔される時がたまにあるんです
わかるわかる
あー失敗したもっと古いやつ言ったらよかったとかね思う時もあってね
変に気使うっていうありますね
まあよかったですがこの方ステッカーの印刷コード送るんで
いやでもあの声かけてもらって嬉しかったです会場で
これからもね声かけるだけじゃなくステッカーくださいっていうのをね積極的に言っていただきたいということで
そうですねお願いします
次のお便りなんですがご夫婦の会話を上げてくださっててですね
見てみてセキュリティのポッドキャストで紹介したから買ってみたと焼肉ザパンチを画像上げてて
前紹介つい参加したやつか
そうそうでそのに対する旦那さんのアンサーがですね
えっどういうことって
それだけで終わっとるんですよ
まあまあまあ確かにセキュリティのポッドキャストがなぜ焼肉みたいなのはあるよね
確かに確かにそうそうこれどういうことで終わったはるんでね
これ紹介したねこの後どうなったのか教えてほしいなという
確かに続きが気になるね
こっそり教えていただければなと思いますということでございます
はい
あとですね2024年度も下記に入ってきているけれど
24年4月5日の日経新聞に経済産業省は5日企業のサイバー対策を5段階で格付けする制度を
2025年度にも始める政策案を公表したとあった件その後どうなっているのかなという
12:03
あって調べてみたんですけども
特に新しいドキュメントが出ているわけでもなくてですね
あとはでもなんかその全然違うんですけど
サプライチェーン強化に向けたセキュリティ対策評価制度の構築についてっていうのを
産業サイバーセキュリティ研究会というところでIPAが
今年の7月の12日にドキュメントは出してはいるんですけども
関連するっちゃするかなぐらいのやつしか出てないかなということですね
これなんか格付けするには海外ではこんなことやってますみたいなドキュメントが
あったんでこの紹介したやつですね
あるんでそれも読んで計算書の動きを回ってみてもいいんじゃないかなと思いますけどね
ということですね
格付けどうなんですかね
こういうのでよく出ては消えてるなっていうのはあるんですけど
そうね前にも民間の取り組みでそういうのを格付け制度っていうのが
ありましたねニュースとかよく出てて
いわゆるそのグローバルの認証制度とかもちろんあるけど
それでももう少し国内向けに分かりやすいものっていうのはかなり前からあるはあるけどね
そうですねそういうリスクの可視化ツール使って
ランクをAだのBだのってつけるとか点数でやるとかって結構ありますよねそういうツールも
あとその格付けとは違うけどこれもまあなんか広まりそうで広まってないなって感じなのは
その情報セキュリティに関するその会社の取り組みをその年次の報告書みたいな感じでまとめて
公開してる結構先進的な企業はそういうものをちゃんとまとめていててさ
自分たちの取り組みはこうですみたいなの
あれもまあなんかちょっとちょっとだいぶ前だけでもそういうのをやろうっていう機運が高まった時があるんだけど
一部の企業はちゃんとやってるんだけどあまりなんか広まってる感じはなくて
確かにやるとこは勝手にやってるみたいな感じの空気感ですよね
結局そのそういう自主的に公表するなり第三者が格付けするなり
あるいはその外部の認証資格を取るなりっていうのはいずれにせよその
誰が見てもわかるある程度一定の基準でどれくらいやってるかってことを示そうってことだと思うんだけど
まあ難しいよねその例えばあのほらプライバシーマークを取ってるところが情報漏洩を起こしちゃうとかさ
まあでも普通にあり得るわけじゃないそういうことあります
だからまあそういう資格とか格付けとか基準を持ってるから安全安心と言えるかというと
必ずしもそうでもないしかといってその一般の消費者とか
あるいは取引先の企業とかが相手方のそのセキュリティのその成熟度合いをどうやって
測ればいいかっていうのはなんかそういう基準がないとわかんないもんね
それはなんか昔からの問題だよね
まあその今言ったみたいに取ってるから安全である保証でもないっていうのもあって難しいとかと思いますけどね
まあ個人の資格とかと同じだけどね資格を持ってるからっていうかあくまでもそれは一つのね基準であって
それでめちゃくちゃ仕事ができるできないってのはまた別問題なんで
15:02
まあそれは組織でも同じなのかなっていう気がするけど
かといって何もないよりはまあまあ材料としてはあったほうがいいかもしれないけどね
最近ねなんか預けたところで情報漏洩があってみたいなものがポツポツね
看護さんが気にされてたやつでもありましたけれども
そういうのがあるとなんかこういう格付けをもっぺんやろうかみたいな機運は高まるのかもしれへんなとか思いながらちょっと見てましたけどね
はいありがとうございます
サーズのセキュリティ対策の一つとしてログインする際の接続元のIPアドレスの制限がありますが
セキュリティ対策としてどの程度有意義なものでしょうかという質問ですね
なるほど
2要素とか2段階とかあるけどこういうのも有用なんでしょうかみたいな
なるほどねまああれか例えば組織の中のアドレスレンジとかからのみアクセスを許可するとかそういうのやつかな
あとまあ会社によってはクラウド系のサースのっていうかサービスとオンプレのサービスっていうかネットワークを併用していて
あるその安全なと思われるアクセス元組織の中の協会を経由する場合には普通は例えばプロクシーなりファイアウォールなりのアドレスを経由してくるからアドレスレンジが狭く決められてるっていう場合があったりとかするんで
例えばねそういうアドレスを指定してそこからは社内からアクセスと仮定して許可するとかそういうことやってるところは多分多いと思うけどね
まあそれがフルオープンに開けとくよりはだいぶ違うんじゃないかと思うんだけど
最近はもうちょっとさあその何いわゆる条件付きアクセス的なもうちょっとその各セキュリティのそのコンテキストに応じて
本当にそれを許可していいかどうかっていうのは送信元のアドレス以外の条件もいろいろ含めてもっと詳しくね
アクセスコントロールするっていう方がまあ主流だと思うんだけど
言ってみれば何ないと比較するかの程度の問題なんであって何もしないでサーズだから全部 ok っていうじゃなく
何だろう関係する業務委託先からとか自社のアドレスからとかある程度絞るのはそれやらないよりやった方がいいんじゃないのかな
そう僕もそう思いますけどね2段階とか2要素とかっていうのはもちろんオンよりオフよりオンの方がいいと思いますけど
絞るにしてもねここだけ許可するっていう風なものだけじゃなくてここはダメとかっていう風な
範囲日本は ok とかっていうのもやるかやれへんかでやった方がいいしみたいなものを僕はあるのかなと
海外からのアクセスが禁止するみたいなやつ例えばできるのであればなるほどね確かに
組織向けというよりは個人向けのサービスとかでもさ結構海外からのアクセスを禁止するしないっていうのはユーザーが選択できるとか
あるある僕が使ってるサービスもそういうのありますね
自分が海外行ってる時に接続したらめっちゃ弾かれてあれと思ってそれで知ったんですけどデフォルトオンなんですよね
18:05
そうそう普段ねそういうで歩かないっていうかアクセス元が限られている場合はそういうのは積極的に使った方が安全は安全だけどね
ただ逆にね僕が気になるのはそういうアクセス元を絞ったから安全ってしちゃうのはあんまり
だからむしろ多要素認証は必須にしておいた方がそれプラス送信元をちゃんと絞ろうねとかっていうのはありだと思うけど
そうですね僕が関わったケースだと2要素だけしかちょっと無理やなって
IPアドレスの制限厳しいなみたいなのに出会ったことがあって
その使い方によって制限が難しいってことね
使い方ってちょっと特殊でコラボレーションするようなツールなんですね
なのでサービスを提供している側と提供されている側双方がログインしてやり取りするっていう仕組みなんですよそこが
でその提供している側は固定でできるので制限できるんですよIPで
でもその提供を受けている側要はお客様側ってことですかねそれはね
それはできひんと踏み台を用意してとかそんな細かいことできませんみたいなのでしょうがなく2要素2段階に落ち着くっていうケースとかもありますよね
そうだねなるほどね
場合によってできるできひんとあとどこまでできるかっていうのを考えるのがいいかなということかなと思いますけどね
なるほどそうですね
はいそんな感じでございます
最後のお便りなんですがこれ久しぶりですよね
CEH合格しましたあれや辻さんの過去記事のおかげでモチベーションを保てましたということで春さん合格おめでとうございます
おめでとうございます
この方あれですよ忍者の絵を入れてあの僕らのあれをまとめ画像を描いてくださったりとかすることがある方ですね
なんか前にも一応お便り紹介したことあるよね
ある何回かそうですねあります
わかりやすい絵でイラストで描いてくれてる人だよね
そうそうそう
はいはい覚えてます覚えてます
合格したそうです
おめでとうございますいや合格発表何回聞いても嬉しいね
嬉しいですね
合格発表というか合格報告か
報告かな
他の方も皆さんもしあればねおめでとうございます言わせてくださいということでございます
はいぜひ
お便りは以上ですね
はいということでセキュリティのお話をしていこうかなと思うんですがじゃあ今日は久しぶりさなんで僕からいこうかなと
お願いします
今日は何かその何かの事件事故とかどっかのレポートとかという風なものではなくてですね僕がやってる取り組みでよく質問される
それ何やってんのっていうのを聞かれる2つをちょっと紹介しようかなと思ってまして
ちょっと珍しいね
この間の湯沢で僕ら3人喋ってきたじゃないですか
僕ら3人と警視庁の方2人と5人でパネルディスカッションしてきたそこでもちょっと紹介した内容が1つ目になるんですけど
僕は警視庁のサイバーセキュリティアドバイザーっていうのをやらせていただいてまして
21:00
2022年に2年間の契約というかあれで移植いただいたんです
それが今回この間も言いましたけど2年間さらにまたということで再移植していただいたんですよね
それって何やってんのってよく聞かれるんですよ
確かにニュースとかでは見かけるけど実際のところどんな仕事してるのっていうことは
移植されましたってこんなことするんですみたいなニュースがあっても
取り組み自体が紹介されることがあんまりないと思うんですよね
確かに言われてみればそうだね
その内容こんなことしてるみたいなのをちょっと紹介しようかなと思って
あとあれだよね僕もさ僕自身は関わってないけど
身近な人でそういう地方の県系のアドバイザーやってる人って結構何人も知り合えるけども
もしかしたらそういうところによって取り組みの内容は違うかもしれないし
意外とわかんないよね
アドバイザーって一言で言っても各都道府県系で名前がちょっと違ったりするんですよ
確かにそうかもね
僕はサイバーセキュリティアドバイザーっていう名前なんですけど
他の県系の方はなんちゃらテクニカルアドバイザーなんですよね
サイバー犯罪テクニカルアドバイザーとかそういう頭がちょっと変わったりもするんですけど
基本テクニカルアドバイザーっていうのは大体ほとんど人気1年ぐらいが多いんですよ
あ、そうなんだ
そうそうそうそう
県庁だけちょっと違う形ではあるんですけれども
これ自体どういう経緯でなんのとかもよく聞かれるんですが
多分なんかいろんな人のツテとかもあると思うんですけど
僕の場合は2022年の5月の末ぐらいにあった
しらさまのサイバー犯罪シンポジウムみたいなやつあるじゃないですか
あれがきっかけであれを見てくださってて
この人に頼もうかなと思ってくれたみたいなんですよね
へーそうなんだ
本当に思うがままに言いまくってただけなんですけど
それはいつものことだよね
ランサム攻撃の犯人どうやったら捕まえられるんかねみたいなパネルに出させてもらって
壇上にはモデレーターが学校の先生ですね
僕記者の方、理事長の方っていう4人で喋ってたんですけど
その時にその前に捕まえよって言ってんのに
この執行機関の人がこういう壇上に上がってけえへんのがおかしいんちゃいますのみたいなことを言って
後から怒られるかなと思ったら
アドバイザーよかったらどうですかみたいな感じがきっかけ
それだけちゃうと思いますけど
2年間やってきたんですけど前期ですね
基本的には月1回ぐらい訪問してます僕は
勉強会みたいなこともやったりとかして
2年間で勉強会やった回数は14回ぐらいやりまして
ディスカッションとか企画みたいなことやるんですけど
勉強会って言っても僕がアドバイザーなんで
何か教えますみたいなもののやり方もありはありなんですけど
どっちかって言うと僕も喋ることもあれば
出席者の方持ち回りで各課の話をしてもらうっていうことをしてましたね
輪行形式みたいな感じだな
24:02
いろいろこれネタないです喋ってもらえませんかみたいな感じで
それだけ喋ってたら聞く人たちの横のつながりみたいなのが
あんまり生まれへんの嫌やなと思ってて
各課分かれてて同じようなツール使ってるけども
各課同士で使ってるノウハウみたいなのが
あんまり共有されてないのかなって見てて思ったんで
同じツールでもどういう使い方してますかとか
そのツールって自分知らないんですけど
どういう時に役立つんですか
速度これと比べてどうですかみたいなディスカッションとかも生まれたりとかして
そういうふうな回も作ったりとかしてましたね
そうかそういうきっかけ作りでもなってるわけだね
中にはこういう研究してますとかも言うのもありますし
あとなんかテレグラムの話をしてみたりとか
あと車のフォレンジックの話とかもありましたしね
その車載のフォレンジック手法みたいな
こんな情報が分かるんやでとかっていうのを聞いてきました
みたいなのを喋ってくれる人がいたりとか
そういうふうなこともしつつ
あとは情報提供ですね
これは普段僕が気になるものとかがあれば
向こうの関係するようなかの方に投げるっていうふうなことをしたりとか
あとは海外の法執行機関ってこういう取り組みしてますよとか
例えば紹介したやつやったら僕やったのは
オペレーションパワーオフの話とか
DDoS系のやつか
そうそうそう
囮操作みたいなのしてたじゃないですか
申し込んだ人に連絡して
自分の国以外の人にはその法執行機関にその人の情報渡して
注意喚起してもらいますみたいなやつあった
結構ユニークなやつありましたよね
ああいう取り組みもありますよみたいなことを
紹介することも中にはありました
あとは対外発信ですね
これ最近やり始めたことなんですけど
この間ね湯沢でお話ししたっていうのも
対外発信の一つかなと思ってるんですけれども
ドキュメント1個出したんですよね
警視庁ならではみたいなものもやっぱり欲しいなと思って
警視庁が事案を通じて得た情報を
広く多くの方に伝えるっていうのを
ブログ形式で発信をしていこうみたいな取り組みを
夏ぐらいからやり始めててですね
なんかあんまり知らないけど
ちょっと今までの警察っぽくないっていうか
確かにそうですね
あんまりなかったかなっていうのもあるんで
それで第1弾として
営業秘密漏洩防止のためにっていうページを作って
PDFでドキュメントできるだけ柔らかい感じというか
あんまり難しい言葉をできるだけ使わないように
あとは対談形式みたいな
僕と警視庁の人が話しながら
こういう風にした方がいいですよね
こういうのって意外と抜け漏れになって
犯人を捕まえにくくなるんですよとかね
そういうのを入れて
ちなみに僕が喋ってるところは関西弁になってます
なるほど
一応それも読みやすさとか
伝わりやすさ親しみやすさを重視してってことなんだね
そうそう
これちょっと拡充していきたいというか
27:01
何回か重ねてやっていきたいなっていう風に思っていて
今後もちろん被害者の方々がいいというかどうかいう問題もあるんですけど
実際に内部不正が起きた組織の人の
被害組織の方にちょっと話聞きに行ってみるだとか
あと僕がやりたいなと思うのは
僕の興味関心というのもあるんですけど
ランサム被害にあったところに聞きに行くとか
そういう生の声というかね
そういうのってなかなかセミナーとかでも
たまに事例とか出てくるんですけど
やっぱりまだまだこういうのって少ないなと思ってて
まあそうだよね
僕らがここの対応良かったなと思っても
自己対応アワードっていうチャンネルはありますけど
なかなか詳しく説明とかもアプローチもしにくい部分あるじゃないですか
ちょっとごめんなさい受けらんないですとかもあるし
なんで相談をした先の警察が警視庁からだったら
ちょっと答えてみようかなっていう風に
思ってくれる方がいればいいなと思って
ちょっとアプローチしてみようかな
今後っていうのは考えてます
実際にそういう様々な被害にあった人の
現場の生の声って我々もすごい参考になるからね
意外とこういうのがあって役立った
例えばテザリングができてネットワーク使えて
ちょっと業務完全に止まらずに済んだとか
そんな話もあるじゃないですか
確かにちょっとしたところでね
そうそうそうそういうところって
僕らの想像では出てきえへんような
実地で経験者しか分かれへんことっていうのを
引き出せればいいかなっていう風なのはね
できるかどうかわかんないですけど
アプローチしてみようかなと思ってるということですね
今後やりたいってことですね
そうそうそう
楽しみだねそれを
だからどっちかっていうと警察の方がやろうと思ってくれれば
いろんな提案をすればやれるってことなんで
こういうこと必ずしもやらないといけない
決まってるわけでは少なくとも僕はないな
っていう取り組みの仕方を
そうなんだ
それはでもなんかあれだよね
ついさんだからかもしれないけど
アドバイザーを今やってるのはね
でもついさんとしてもそういう方がやりやすいんじゃないの
いろいろ提案ベースでさ
やりたいことができるっていう
何ヶ月に1回来て発表だけしてくださいって言うんだったら
別に僕じゃなくてもいいんじゃないのって思うし
そういうのよりは
自分ならではのいろいろ出し方ができるっていう
でも多分受け手側の警視庁の方からすると大変だと思いますよ
それはそうかもね
これできひんのあれできひんの
なんでできへんのみたいなこととか言ったりするタイプなんで
でも分かんない
あちら側の方の考えは分かんないけど
ある意味ちょっと言い方があれだけど
ついさんに頼むぐらいだからさ
そういうのを半分期待していいんじゃないの
そうですねそれはあるかなと思います
ある意味外部からそういう人に言ってもらわないと
確かにそうですね
ああいう組織ってあると思うから
半分そういうところを期待しているんじゃないかなと思うけど
そうですねコンサルとかと近いかもしんないですね
社員が言っても経営者聞かへんけど
コンサルが言ったら同じことでも聞くみたいなとか
動き出すっていうのもあるから
30:00
そういうのにも使ってもらえたらいいかなとは
僕自身も思ってますね
見てない人には
そういったことをやってますというのが一つ目なんですけど
もう一つよく聞かれるのが
映画とかドラマとかそういうのを
監修辻さんたまにしてますけど
何してるんですかっていう
確かに時々やってるもんねそういうのね
作品を見てもここは辻が監修してますわ
出ないじゃないですか
ああ確かに
テクニカルなところやけど
僕が意見コメントしたところもあれば
そうでないところもあるわけなんですよね
僕は映画のスマホ落としただけなのにっていうのが
2作出てて2作目を僕サイバーセキュリティ監修
って形でやらせてもらってたりとか
あとはマンホールっていう映画とかも監修しましたし
あとちょっとまだ公開されてないんですけど
あるドラマの監修とかもちょっとこの間したんですけど
監修何されるんですかって
これもさっきのアドバイザーと同じで
多分やる人によって全然違うと思うんですよやり方
ああそうかもね
あとはどこから関わるかによっても変わるかなと思ってて
どこからってのはどの段階でってこと?
そうそう
例えば映画でもドラマでも企画の段階で
脚本家が脚本を書く段階から関わるのか
ある程度出来上がって脚本の書摺というか
一番初めの書講みたいなものが上がってる段階で
やるのかによっても違うかなと
なるほど
ある程度出来上がってからやったら
ガサッとは変えられない部分もあるので
確かにね
こういうアイディアどうですかみたいなことは
多分最初の段階の方に
それこそシフトレフト的な初期の段階で関わってないと
できないっていうのもあるかなと思うんです
逆に今言ったみたいに
監視をやってる辻さんの側から
こういうような例えば
例えばだけど犯罪系だったら
犯罪のトリックでこんなの使ってみたらどうですか
みたいな提案をするってこともあるわけ
そうそう最初の段階だと特にあります
そうなんだ
じゃあ企画段階から関わると
そういうところからアイディア出しができるってことなんだね
こういうツールありますとか
こういうハードウェアあるんですけど
こういう枠絵の仕方ができるんですけど
こういうのをどこかトリックに入れられそうじゃないですかとか
なるほど
あれか監視を頼む側もどういう考えかわからないけど
今の現場の専門家に頼むってことは
ある程度のリアリティを追求したいっていうかさ
あまり現実離れしたことをしたくないし
かといって面白みがないことじゃダメだし
多分その辺のバランスを取りたいところで
アイディア出してくれるってのは
求められてるのかもしれない
そうですね
それは多分作る側の方の
どれぐらいそういうのを現実的かどうかに
重きを置いてるかによるかもしれない
そうね
とりあえず魔法みたいなもので話を
とっちらかった話をまとめる
ワイルドカードみたいなハッキングみたいなのを
使うっていうふうなもんだと
多分そこまで詳しさとか現実性を求めないと思います
確かにそうだろうね
そうそう
だから難しいのは
今ネギスさんが言ったところで結構ポイントで
あんまり厳密にしすぎて
33:01
何回なっても伝わらないんですよ
確かに
なんかそういうのあるよね
一般の人からは
なんとなくすげーことやってるくらいしか
わかんないけど
専門家が見るとちょっとクスッと笑えるみたいな
そういう作りがいいよね
そうですね
ちゃんと一応ディテールまで作り込んであるんだけど
別にそれを知らない人が見ても
純粋に楽しいっていうか
そのバランスって結構難しいから
それがいいよね
現実からかけ離れすぎると
ジャンルがもうSFになってしまうんで
そうだね
それはそれで
そんなのありえへんでみたいなものまでは
さすがに僕がやるときにはチェックするかな
これはちょっとやりすぎですよみたいな
こととかはする
今現在はできなくても
近い将来できそうくらいあったらね
そうですね
それぐらいだったら多分いいと思いますね
いいけど
突拍子もなくてこんなの絶対無理ですよ
みたいなやつはちょっとなんとなくね
そうそうそうそう
その辺のさじ加減が難しそうだな
だからその場面の表現とかも
結構大事かなと思ってて
なので攻撃手法とか
こういう風になるんですとか
っていうイメージみたいなものっていうのは
基本僕の頭の中にしかないじゃないですか
なのでそれを実際に目の前で
デモやったりとか
撮影する方とかの目の前でやったりとか
実際にあった事件事故学に
困難がありますみたいなレクチャーを
するっていうのは僕はしてますね
なるほどね
そういうのが監修のお仕事なわけだ
そうそう
僕はそういうやり方をしてるかな
なので例えば実際にあったやつだったら
そのスマホの通話だと
パスワードを盗むっていうところの
これがキーになるっていう演出の部分で
ここはもうほんまに
現実に起こりうるようなものに
近づけてほしいって言われたんですよね
そういう風なリクエストがあったわけだ
そうそうそうそう
なので出てくるヒロインがカフェで
Wi-Fiあるんやって繋いだら
実は攻撃者が用意したWi-Fiで
イービルツインだ
そうそうそう
それでアクセスすると
DNSとかも好きに扱えるじゃないですか
こっちに行かせるみたいな
IP変えれるでしょ
フィッシングサイトにSNSで誘導させて
パスワードを入力しているのを取るっていう
なるほど
確かにそれはリアリティがありますねだいぶ
ちゃんと入力してログインポチって押したら
もう1回ログイン画面が出てくる
っていうところまで演出してもらったんですよ
本当の本物の画面に映る
そう2回目は本物でログインできる
っていう風なやつをやったりとか
あれだねそれを見ただけだと
専門家じゃないと
それは確かに伝わらないかもしれない
でもそこは気使ってくれて
作品の中では
なんかパスワード盗まれたっぽいねんけど
みたいなところに詳しいやつが
それもしかしてログイン2回シーンか
みたいなことを聞いてるシーンがあって
それでそれはフィッシングや
って気づくっていうシーンがあった
そこは僕言ってなかったんですけどね
言い出てくれてました
すごい理解してたんでしょうね
なるほどそれは言わなかったかもしれないけど
中にはこういうセリフがあった方がいいです
みたいなセリフとか細かいところも
コメントしたりするわけ
あしますします
それはする時もありますね
へー
36:00
そうそうそうそうなんですよ
でねあのちょっとこれ
ここから宣伝なんですけどいいですか
宣伝かい
急に
急に
いいよどうぞ
あのースマホ落としただけなのにの
最終章ファイナルハッキングゲーム
っていうのが
11月1日に公開されるんですよ
え?11月1日?
うん
今度の金曜日じゃない?
そうなんです
でねあのー原作
これ僕原作の関心をしてるんですよ
小説の
あへーそういうこともあるんだ
そうそうそうそう
あのチェックをして
アイディアを入れてもらったところがあって
映画ではちょっと違う表現があって
原作の方は
飛行機の位置を確認できるアプリあるじゃないですか
はいはいはい
あのー何だっけ
フライトレーダーみたいなやつ
そうそうフライトレーダー
うん
であれをその
ハッキングして
本当は飛んでないのに
その一箇所に飛行機が
なんか突っ込んできてるみたいな
あー
そういう風に偽装するわけね
そうそう
そうするとなんかこう
スマホを落としただけなのにっていうタイトルに
合ってるかなと思って
スマホの中で起きてることが
現実だとみんな思ってませんかみたいな
なるほどなるほど
本当は空見れば飛んできてないのは分かるわけですよね
っていう風なものが原作であって
映画ではちょっと違う表現に変わってるんですけれども
へー
うんそういう風なところを今回監修しててですね
今回なんかめちゃくちゃこれを言いたかった理由はですね
あのー
僕ちょっと出てるんですよ
え?あーなるほど
エキストラ的になったこと?
エキストラであのー
ほんと1秒あるかないかやと思いますけど
えそれーあのー
見たら気づく?
えーとー
そうですね
いっぱいいろんな人が出てくるシーンがあって
その真ん中に僕がいます
えーまあでもそれでも1秒かそこら?
それはこの場面で出るって言われなかったら
分かんないかもなー
そうすかねーなんかちょっとこう
そうですね
あんまり中身言われへんからあれなんですけど
あーそうだねそうだね
あのいろんないろんなその
しゅしゅざったな一般の方が
関わるシーンがあるんですよその
その中の1人ってことね
そうその中の1人
ゲームをなんか伝わってます
えセリフはあんの?
ない
まあそっかエキストラだもんな
ないししかも結構前に撮ってるやつなんで
僕あの髪型前髪下ろしてます
今みたいに分けてないんで
あでもさエキストラに出てるってことはさ
その監修としてじゃなくて
エキストラとしても名前が出てるわけ?
エキストラとしては名前出ないです
エキストラのほとんどって結構そういうのの
あのほとんどはだいたいスタッフの方とかが
撮ってたりとかするから
あーそっかそっか
まーあるいはどこそこの皆さんピみたいな感じで
そうですね僕はあの
サイバーセキュリティ監修のとこで
あの名前は出てます
あのエンドロールに
じゃあまあもし見たらちょっと探してみます
そう探していただきたいなという風に思います
ということで
えーお決まりのセリフを最後に一言言わしてください
はいどうぞ
えー皆さんぜひ劇場に足を運んでください
言ってみたいだけのやつだ
言ってみたかったやつ
また言えた久しぶりにっていうことなんで
はいまあまあもし見る機会があればね
あの映画館なりまして
まあプラとかでもいいんで
なんか見ていただければなと思います
39:00
あこういうとこチェックしてたんやなみたいな感じで
確かに
どこが小さいの意見が反映されてんだろうって
見たら面白いかもね
そうまた見た方は感想いつでも言っていただければ
嬉しいです
確かにお便りお待ちしてます
はいそんな感じで
ありがとうございます
はーい
じゃあ今日はそんな感じ?
違う違う違う
違う違う違う違う
次はあの
次じゃあネギさんいきましょうよ
あそうですか
じゃあ今日はあの
小ネタシリーズですけども
はいはい
iOSのパスワードの生成
あのパスワードマネージャーとかあるじゃないですか
うんうん
あれにその自動的にパスワードを生成させると
どんなパスワードが作られるかっていう話は
ちょっと今日取り上げたいんだけど
うん
あのまあ実はこれ別に全然新しい話じゃなくて
うん
今のあのiOSのパスワードの作り方って
2018年だから6年前か
おお
6年前のiOS12から今の方法になってるんだよね
おお
だからまあそんなに新しい方法じゃないんだけど
たまたま先週だからなんだかにマストドンとかで
ちょっとそのこの方式を考えたアップルの中の人が
ええ
ちょっとそれを話題に取り上げていて
でまあブログにも簡単にちょっとまとめて紹介してて
僕はちょっとそれで気づいてさ
うん
でなんか多分その6年前にも見かけた記憶はあるんだけど
ちゃんと中身をしっかり多分よく見てなかったと思うんで
うん
今回その人の記事を見て
ああこういう風にパスワードを作ってんだと思って
ちょっと面白かったんで
うんうん
その内容をね紹介したいんですけども
はいはい
iOSまあ使ってる人は
ああ確かにこんな感じだよねって馴染みがあると思うんだけど
うん
一応まあ使ってない人向けに説明すると
iOSのパスワード生成って
うん
アルファベットの6文字が
うん
ハイフンで2つつながって
まあ全部でその6文字のアルファベットが3つあるような
うーん
で間がハイフンでつながってるんで
まあ全部で20文字っていう
まあそういう構成をしてるのね
おお
でそのうちのアルファベットの1つだけ大文字になっていて
うん
で1つは数字に置き換わってるっていう感じで
へー
まあトータル20文字で
えーまあ大文字小文字数字記号がまあ全部入ってるような
それはあれですか大文字と数字に変わるところは
その区切りのどこかとは決まってないじゃないですか
ランダムなんですよね
どっかが変わるんですよね
そうそうそう決まってない
数字に関しては一応ハイフンの前後とかで決まりはあるんだけど
あーはいはいはい
大文字はまあランダムにどっかが大文字になるみたいな
まあそんな感じになってるのね
うん
でなんでこういう形式になってるかっていうのも一応理由があって
ほう
でそのアルファベット6文字っていうのもそのランダムな6文字ではなくて
うん
実は2つの音節から構成されていて
へー
で音節っていうのはそのシーンとボインとシーンの3文字で
うん
成り立つやつで
例えばそのポッドキャストだったらポッドキャストだから2音節なんだけども
はい
最初のポッドの部分はPODだったよね
うんうん
でPODだからシーンボインシーンっていう組み合わせになっていて
うん
この3文字で1つの音節になってるわけ
おー
でこういうようなそのシーンボインシーンっていうパターンの音節を
42:00
うん
2つくっつけて6文字のなんかその英単語っぽい何かが
はいはい
できるとそのシーンボインシーンの組み合わせはランダムな組み合わせなんで
うん
別にそれを2つくっつけて6文字にしたところで別に単語になるわけじゃないんだけど
うん
ただ英単語っぽくなんとなく読める2音節の
あーはいはいはい
単語っぽい何かになるわけ
うん目で見るとそういう風に見えるでしょうね
そうそうそうそうでだから無理やりだからあの
まあ僕らはさネイティブじゃないからあんまり関係ないかもしれないけど
ネイティブの人から見るとなんとなく読めるわけだから
うんうんうんうん
普通にねでそういうようなやつが3つ繋がったパスワードになってるわけね
うん
なんでこんなになってるかっていうといくつかその作った人が理由を書いてるんだけども
うん
まずその1つはアルファベットベースにしかも小文字化基本的なベースになってるのは
例えば外国のキーボードだったりあるいはゲームコントローラーだったりとか
うん
そのいわゆるフルキーボードでパスワードを打つとは限らないので
できるだけそういう意味では入力しやすいものにしたかったと
スマホとかも想定してみた
そうそうそうそういろいろ想定してそういうのにできるだけタイプしやすくしたかったと
うん
というのとあとそのあえてその読みやすさっていうかそのわざわざ音説日本説くっつけて単語っぽくしてるっていうのも
まあその完全に覚えておくのは難しいかもしれないけど
使う時に一時的にあのパッと覚えられるような短期間であれば覚えられるような
読みやすさっていうのを考慮して
うん
音説ベースにしましたと
パスワードマネージャーがランダムに生成するとは言っても
なんかもうでたらめな読むこともできないし記号や大文字とかいっぱい入ってるっていうわけがわかんないのではなく
読もうと思えば読めるしなんとなくその覚えやすくもあるっていうような
形にしたかったと
で加えてそっちばっかり重視してさパスワードの強度が弱くなっちゃったら意味がないんで
一応これは強度もちゃんと考えてあって
そのシーンボインシーンっていう3文字の組み合わせって計算するとだいたい2000通りぐらいあるのね
うん
ランダムにつまりこれはその2000個のワードがある辞書の中から
うん
2個ずつ3組だから全部で6個並べる組み合わせの数っていうかランダムに選択した場合のどれぐらい組み合わせがあるかっていう
まあそういうことになるんだよね
はいはい
で加えて一応その多くのウェブサイトがあまりその良い基準とは言えないけど大文字を使えだの記号を使えだの数字を使えだの
まあなんかそういうルールを強制してくるじゃないですか
逆もありますよね記号はあかんぞみたいな
そうそうそうそう
でね今でこそそういう複雑なルールは強制すべきではないっていう風になってるけど
一応そういうことを言ってくるサイトもあるから
一応それに準拠するためにさっき言ったみたいにどっか1文字大文字にして記号としてはハイフンが入ってるし
あとはどっか1個数字をどっかに挿入するってことをやると
一応このルールには合致しますと
でねざっくり今ので組み合わせを計算するとだいたい70ビット以上のエントロピーはあるのね
45:00
だから70乗以上の組み合わせがあるってこと
これっていうのはざっくりだけど
ランダムに普通に大文字小文字数字記号でランダムな文字列を生成した場合に
だいたい12文字ぐらいの相当するパスワードの強度
12文字ぐらいあったらまあまあ一応強度としたら問題ないかなっていう
そういう感じになってるんでこの方式だと十分する強度も確保されつつ
理不尽な複雑なパスワードのルールも一応クリアしつつ
でもまあ多少打ちやすくて読みやすくもあるっていう
なんかそういうバランスを取ったところにあるんだなっていう
よく考えられてますね
よく考えられてるなと改めて思って
なんかすごい迂回してる感がすごい
そうそうそうそのバランス感がうまいよね
あともう一つね数字を本当はロック文字の単語っぽい何かを3つ繋げて
カイフンで2個繋げてからそれで全部で20文字でしょ
でどっか大文字で変えればいいとして
数字をどこかに加えるってやったら21文字になっちゃうわけ
ところがAppleさんの調べによると
これも良くない習慣だけど最大でも20文字ぐらいにするっていう
悪いルールを適用してるサイトは結構あるらしくて
21文字にした途端になんか弾かれちゃうところが中には結構あるんだって
なので20文字以内にするっていうことは一応マストにしたかったということで
数字はだからどっか1個のアルファベットの置き換える形になってるんだよね
6文字6文字だから一箇所どっか5文字になっていてプラス数字が入ってるみたいな
こんな風になっていてトータルで20文字で一応基準はクリアするような
今言った絶妙なバランスの上に成り立ってるっていうか
という説明を読んで何気なく使ってたんだけど
なんかすげー考えられてるじゃんと思ってさ
すごいすごい聞いてたらおーって思った
なんかそのたかがパスワードだと思って
ランダムだから僕らだとパスワードマネージャーで勝手に結構長いパスワードを生成してるから
あんまり僕も普段意識してなかったけど改めて今回の読んでさ
確かに言われてみればと思ってiOSでパスワード生成したら確かそういうルールになってんだよね
何回生成してもそういうやつが出てくるんで
これはなんかそういうその使いやすさとそういうそのパスワードの強度っていうか
ルールのバランスの上に絶妙なバランスの上に成り立ってるなと思って
すごいなー
結構多分だから考えたんだろうねいろいろねこの人は
というのをちょっとね改めて思って
パスワード一つ取ってもなかなか思う気があるなと思いましたっていう
いやすごいすごい
あのパスワード生成っていろんな
専門のツールもあればパスワードマネージャーについてるとかっていう
大体その2つぐらいかなと思う
そうだね
デフォルトの状態で生成したパスワードを
いくつかのウェブサイトにやってみたら
48:01
こんだけ通りました通りませんでしたみたいな成功率みたいなの出すと
面白そうだなと思いましたね
確かにね
一応コンセンサスが取れてる
こういうふうにやるべきこういうことはやるべきではないっていうのはあるにせよ
必ずしもすべてのサイトがそういうのにのっとってるかっていうとそうもなってないから
なおかつそのiOSなんてね世界中で何億台使えてるか知らないけどめちゃくちゃ
使えてるデバイスだからさ
いろんなその要件にできるだけ合うようにっていうか
しなければいけないっていうねそういう意味では難しいじゃん
最小公倍数的なっていうかさ
違うか最大公約数的か分かんないけど
いろんな条件できるだけ全部に当てはまるようにしたいっていう多分そういう
考えで決められたと思うんだけどその割では割と十分な強度をちゃんと保ってるし
非常に合理的な考え方で作られてるなという気がしましたね
すごいな
実際その他のパスワードマネージャーとかさ
僕が使ってるワンパスワードとかパスワードマネージャーとかだと
完全にランダムなやつか
あとA単語をいくつか並べるかみたいな
なんかそういうのが出てくるんだけど
なかなか今言ったみたいな複雑なルールに合ってするようなとかさ
細かい配慮は多分されてないんで
結構ねそれへんはそういう使うツールとかによって
考え方が違ってくるんだなと思って
知らんかったですもんねこんなちゃんと考えられてるってことを
多分そのちゃんと解説された時に
目にはしたと思うんだけど
しっかり考えたことなかったなと意外と思って
今回改めて指で見てハッとしてそうかと思って
なんかちょっとこういうのはちゃんと評価されてほしいですね
そうだよねひどくねこれだけ使われてるもので
よく考えられてるなと思って
さすがAppleやでっていうか
なんかそういう感じをしましたね
新しいiPad買えへんかったことを謝りたい
今からでも間に合うよ大丈夫
買わないですすいません
そうっすか
ありがとうございます
じゃあ最後はカンゴさんですお願いします
今回はですね私取り上げたいのは
これ昨年ネギスさんが取り上げてらっしゃったかな
と記憶してるんですけど
マンディアンが公開した脆弱性の
これは攻撃にかかる時間などを分析したレポート
タイムトゥエクスプロイトという形で
そのトレンドについて分析をしたレポートが
2024年版と言えばいいかな
対象としては2023年の脆弱性なんですけども
そちらの分析した内容というのが公開されたので
それをちょっと簡単にご紹介したいなというところではあるんですが
前回はこれ確か2年分だったので
結構件数としてはそこそこなボリュームだったんですけど
51:00
今回は2023年に公開されて
実際に悪用が確認された脆弱性ということで
件数で言うと138件というところでありまして
それについての分析をしたものというところなんですけども
まずはどれくらい脆弱性
さっきタイムトゥって話したんですが
まずはゼロデイがどれくらいかというところについては
いろんなこのレポート取り上げだけじゃなくても
7割とか出ていたんですけども
ゼロデイの割合が97件
およそ7割というところで
41件はNデイというところでしたので
割合で見ると
これまでこの分析
大体今回で何回目なんだ
3回目?4回目かな?
2回目なんですけども
これまで比較的ゼロデイとNデイの割合というのが
パッチが出る前に悪用されているものと
パッチ出た後に比較的すぐ悪用されるみたいな
そういった攻撃の割合というのが
安定して
大体比率で言うと
4対6
ゼロデイの方が多いという形ではあるんですけど
そういう割合で続いてたんですが
今年はちょっとその割合が変わってですね
4対7でゼロデイが増えたという状況で
マンディアンはこれについては
Nデイとして悪用されている状況が
収まっているとか下がってきたというものではなくて
ゼロデイとして悪用されているものが
増えているというか
実際多分検出されているという
そういった状況が増加したことが
要因ではないかということを
指摘しておられてですね
ますますゼロデイ
結構Nデイって最近は言われるようになってきてるんですけど
それよりもゼロデイというものに対して
パッチ適用前に攻撃が始まっているというところが
これまで以上に増えているというか
より私たちが気づく
そういった状況になってきているというところではあるんですが
ただ今回その分析にあたってこれは
毎回もそうだと思うんですけども
実際に悪用された時期というところは
これ結構曖昧な表記が
されているというところがあってですね
7月中旬とか
大西半期とかそういう感じで書かれていることが多いので
具体的な日数というのがなかなか
そういう意味では今回の分析とかをする際に
難しいところではあるんですが
妥当な値というところを
マニアント側は設定をして分析をかけてはいるんですが
実際のところは
保守的というか
妥当な数値と言っているので
実際のところはもうちょっと
早い状況なんていうのは起きていても
おかしくはないということではあるので
そういったことも踏まえた
54:00
結構このレポート中に
日数の数字出てくるんですけども
そういったところを踏まえた上で
見ていただくっていう形が
よろしいんじゃないかなというところではあるんですが
やはり気になるところとしては
この脆弱性
実際に悪用されるのにかかる
平均時間
TTEという形で表現されているんですけども
攻撃者が
脆弱性を見つけて
それを悪用するというところに
かかる時間というもの
ということで私理解しているんですけども
これはもともと
こういった分析始まってから年々
どんどん短くなっている
というのはこれまでの過去のレポートからでも
言われていたことなんですが
前回のレポートだと
このTTEの
平均した値というのが
32日ということで
およそ1ヶ月ぐらい
ということになっていたんですが
2023年
これがいきなり縮んで
5日ということになって
ちょっと急すぎじゃない
だいぶ
圧縮したなという感じがあるんですけど
そうですね
一応なんか標準偏差的には
ハズレ値的になってしまうような
ものっていうのは
全部で15件あって
NDが2件で
0Dが13件あって
それは含めていない計算として
5日ということになっていて
これ実際に含めると
ハズレ値なので結構日数としては増えてしまって
47日には増えてしまうんですけど
それを除いた
綺麗なというか
標準偏差的に問題ない分析をかけると
5日というところであって
かなり
短くなってきたなというのが
率直な印象と
それにしても
ちょっと急激な変化すぎるね
これはあれですか
平均期間っていうのは0Dが多いから
そいつらが下げてるってことなんですかね
おそらくはその理解で
良いんじゃないかな
前回よりもだって1割近く0Dが増えているから
それがだいぶ平均を
それにしてもちょっと急激すぎるよな
ですよね
半分とかだったら
6分の1ですからね
1ヶ月が1週間というのは
ちょっとインパクトある数字だよね
いやですよね
これはなかなか厳しいな
というところでは
あって
NDの方も
0Dが増えたという話はしたんですけど
NDの方もこれも1ヶ月以内に
悪用されるというものが
やっぱり最も増えていると
割合でいうと
1日以内が12%
1週間以内が29%
さっき言った1ヶ月以内というのが
56%という
結果でありまして
加えて前回の分析ですと
半年以内に
脆弱性情報が出て
悪用されたというものが
25%の割合だったんですけども
今回は
2つを除いて
マンディアンとかNDという風に分析した
ものについては
57:00
半年以内全て悪用されていた
ということでありましたので
0Dも増えていますし
NDという形で
すぐに攻撃に悪用されているというところも
その期間がかなり短くなってきているんだな
というところも
この辺の数字から見えてくるな
という感じではありまして
なかなかこれは
結構怖いなというところで
ありました
対応する
猶予期間としては
猶予ってないですよね
ほんとに
たびたびここでも話題に出す
KEVに乗っている
BODの
法的な強制を
持っている
連邦政府機関向けのやつも
2週間以内とか設定されているけど
そうですね
平均的に間に合ってないってことじゃん
そういうことになるので
あれもだからもしかしたら
こういう今の状況を見て
見直しをしていくとか1週間以内にやれ
とかなるかもしれないね
あれはありそうですよね
平均ってことは
ハズレ値を除いて平均値ってことだから
そしたらだって
半分以上は間に合わないってことになっちゃうと
そもそも
それは基準としてどうなのってなるよね
我々も
あれですら
ちょっと早くて厳しいんじゃないかと思ってたけど
14日きついよね
って話をしたんですけど
もはやそれでは間に合わない
あれ最初に出た時は2021年だから
3年前の数字と
今ではちょっと捉え方を変えなきゃいけない
っていうことだよね
そうですね
2020年21年の時はさっき言った
TTEっていうのは平均して44かな
まだもうちょっと
あったもんね
それを見れば14は妥当かな
みたいなのはあったんですけど
5いつかみたいな形で来ると
ちょっとやや衝撃的な
数字ですね
厳しいなというのは
ありました
あとですねちょっと脅威がかかったのは
TTEの日数が縮まったよ
って話とは別に
実際に
攻撃が始まる
そういった攻撃の活動と
エクスプロイトコード
攻撃手法そのものが
公開されることに
おおよそ因果関係はないんじゃないか
っていうのはこれまでも言っていた
という形ではあるんですけど
改めて分析
という形で例に挙げられて
分析なんかもしておられて
これはなかなか興味深いな
というところではあって
一件はワードプレスの
これはプラグインかな
ウーコマースのプラグインと
もう一件はポティOSの脆弱性で
これなんて読むんでしたっけ
XORソリティゲートでいいんでしたっけ
攻撃手法の名前だっけ
そうですね
その脆弱性のその2つを取り上げて
実際にその脆弱性情報が
出たタイミングであったり
それをなんていうんですかね
POCというんですかね
兵器化はされてないんですけども
1:00:00
攻撃のやり方だということで紹介する
詳細な情報なんかが出たタイミングと
実際にそれが
攻撃活動という形で
その脆弱性を悪用した
攻撃活動が出たタイミングっていうのが
タイムラインで見ていくと
いまいちそこについては
ケースバイケースというか
状況に応じて開いたり開かなかったり
っていうところもあるので
一応には言えないという形の
分析なんかもしておられて
これはなかなか興味深いなというところ
あともう一個が
ベンダーどういったところが狙われているか
というところも
これも変わらずMSマイクロソフト
Apple Googleというのは
数としては多いんですけども
割合がただ
50%割合だったのが
40%に落ちたらしくて
他のベンダーが
攻撃の対象になっている
という状況が
分散している傾向があって
多様化しているという表現はしているんですけど
そういう意味では
アタックサーフェスという議論
結構これまでもされてますけど
幅広く見ていく必要があるよね
っていうところも
マンディアントは
終わりの方で言及しておられたので
なかなか厳しいな
というのを改めて思い知らされた
レポートだった
2024年が
どうなっているのかな
ちょっとゾッとするな
今年は脆弱性の報告件数自体も
例年以上に多いし
多い
このペースで言って
ゼロでも相変わらず多い感じだし
はい
今見えている現状では
この数値よりも良くなる
未来は見えていない
全然これが
改善というか
もうちょっと猶予が出る
みたいな形になっていくか
そうじゃないよな
って感じがするので
この悪用された脆弱性の経路
前回もそうなんですが
気になるんですよね
条件があったものなのか
なかったものなのか
よくあるのが
BODの2302でも言われますけど
いらんもん開けんなってあるじゃないですか
ああいうものとかも
あるのかないのか
ちょっと巧妙があったりするのかな
とか思ったりするんですけどね
確かに悪用のしやすさ的な観点は
あるはずだもんね
そこちょっと気になるかな
っていう
それがわかったとても
とんでもない状況なのかもしれないですけどね
確かにね
一方でゼロデイで観測されたやつ
っていうのは
ごく一部の標的型攻撃
みたいなやつで
選ばれたみたいなやつも
たくさん含まれてるはずなんで
そういうのだと
単純にリモートから
空いてて
簡単に行動実行できました系のやつ
ばかりというわけでもないはずだし
そうですね
結構だから
攻撃の手法としては難しいものも
入ってるんじゃないかと思うんだけど
1:03:00
確かにその辺のどういう前提のものが
どれくらい多いのかっていう
中身は少し気になるところだよね
特にゼロデイとかやったり
気になりますよね
一般論としてはこういう
猶予もないし
ゼロデイが多いしでわかるけど
実際自分たちに影響のある贅沢性
どれくらいそういった傾向が
そのまま当てはまるのかっていうのは
必ずしも言えないもんね
分かんないですけど
一か所に一人や二人に来た
iPhoneのiOSの贅沢性とかも
入ってるかもしれないわけでしょ
入ってると思いますよ
だからそこの辺とかを省くと
もう少し一般的に考えたら
どれくらいの数字なのかなっていう
それは確かに
見極めが必要かもね
ただ
ますます前から
ポッドキャストだったりセミナーとかでも
話をしてるけどさ
贅沢性管理はちょっと
状況的には悪化の一途を
辿ってるというか
さっきも言った数が増えるだの
こういうゼロデイとか
悪用のスピードがますます早くなっているし
今言った
ついさんが言ったみたいに
自分たちにとっての影響とか
そういう条件を加味しつつ
優先順位をつけて
取り組むっていうのが
以前も使ったけど
さらにしんどくなってるなっていう
印象しかないよね
紙を細かく見ても
よくはなってるっていう結果ではならんやろうな
と思いますよね
ますます前に
ここで評価したっけ
SSSだの
さっきの
Proof of Conceptのコードが出ても
あまり直接的な関係は
もしないんだったら
もうちょっと
これはすぐにやった方がいいっていうのが
わかりやすいような指標がないことには
ちょっと取り組みが
大変だなっていう
これはだいぶ無理芸感が出てきた
前よりもさらに
もうちょっと状況よくなるかなと思ったけど
そうでもないねこれは
ただこれを見て
ゼロデイが多くてもどうしようもないから
だから新入前提なだけには
また僕は振りたくないなっていう気持ちは
もちろんねそうだね
諦めちゃダメだと思うんだけどね
こういう時だからこそ
より効率的に
きちんと管理する手当てを
考えないといけないかなっていう
やっぱやみくもにやっててもダメだし
以前のCVSS的な
スコアだけだとやっぱり破綻するし
とか
あとこの猶予期間をやっぱり考えるためには
なんかそのスピード感のある
対応方法というか
体制をもっとより考えていかないと
1ヶ月ももってくれないぞ
っていうね
1ヶ月くらいあればなんとかできる
っていう組織は結構あると思うんだけど
あると思いますね
これを1週間以内にやれって言われたらかなりこれは厳しいよ
きついきついきつい
扱いを気をつけないといけない
受け取り方を気をつけないといけない
と思う記事でもありましたね
そうだねそうだね
ありがとうございます
1:06:00
はいということで今日も3つの
セキュリティのお話をしてきたんで
最後におすすめのあれなんですけども
お願いします
今日はですね洗顔を紹介しようかなと思いまして
洗顔
前は確かね
そうそう前に紹介してたピーリング
俺使ってるぞあれ
あれいいでしょ
あれめちゃくちゃ気持ちいい
言ってなかったけど紹介されたからちゃんと
使ってます
意外と使ってるんですよね
あれめちゃ気持ちいい
洗顔今回は
僕はもともと洗顔ずっと
20何年
26歳の頃から
使い続けてるのがあるんですけど
すごいな
それ以外のやつで結構僕
土日とか完全にほぼ外出えへんで
決まってる時って結構なんか
ずさんになりがちなんですよ
肌の感じが
その時どうしよう
ちゃんと洗顔すればきれいに戻ってくるんですけど
肌弱くて僕
それでなんかちょっと
サッとできるようなやつないかなと思って
探してたんですよね
シロルっていう
やつで
炭酸濃密泡洗顔
クリスタルホイップっていうやつなんですけど
結構なんか
口コミとかも良くて
一回ちょっと使ってみるかみたいな
口コミ良すぎるとちょっとな
逆に怪しいとか思ってしまうタイプなんで
確かにね
でも一回使ってみることには分かれへんなと思って
今一本買ってみたんですよ
まず楽なのは
泡立てしなくていいんですね
要はそのヘアムースみたいな感じですわ
言うたら
最初から泡なわけね
泡が出てきて
炭酸が入ってるんで塗るとピリピリするんですよ
炭酸が弾ける
それで毛穴をきれいにする
浮かせるゴミを浮かせるみたいな感じの
やつらしいんですけど
どっちかというと洗顔でガーってやるというよりは
泡を
パックみたいに乗せるみたいな感じ
っていう使い方を
僕は結構してて
たまにお風呂で洗顔するけど
上がってからとか
起きて単体でこれだけ顔を湿らして使う
塗って流すみたいな
感じのをしてるんですけど
すごいなんか
ちょっと荒れてる状態でも
すぐに喉に戻るというか
洗い上がりもしっとりもちもちするっていうか
なので
パックみたいな
パック寄りの洗顔という感じはしますけどね
なるほどねこれは知らなかったな
そうそうこれはかなり
1回使って
長く使った方がもちろん効果はあるっていう
ものだと思うんですけど
思ったより速攻性があったんで
もうすでに1本使い切って
今もう2本目になってます
リピートですか
なのでさっと泡立てるのも
面倒い人はこういうのいいんじゃないかな
と思いますね
確かに普通の洗顔ホームだと
泡立てるところからだもんね
それがちょっと面倒くさいときもあるので
面白いね
こういう製品結構あるのかな知らなかったな
僕も知らなくて結構売れてる
1:09:00
本数とかもあって評価とかも
見てると高いんですけど
人気の商品なんだ
コスメ系のサイトとかでは
人気上位みたいですね
これはあれ
男性女性問わず
誰でも使えますみたいな感じなんだね
結構その
1本使ってよかったんで
何人かにそういう話をして
使った人がいるんですけど
確かにこれいいわみたいな反応でしたね
見るよりもとりあえず使ってみた方が
わかりやすいかもしれない
これから冬なんで
どんどん乾燥する季節になってくるんで
肌荒れやすくなってきますから
こういうので潤いを与えても
いいんじゃないかなということで
ご紹介させていただきました
ありがとうございます
ということで今日も以上です
また次回のお楽しみです
バイバイ
