1. セキュリティのアレ
  2. 第85回 オレたちにゴールデン..
2021-05-03 1:20:58

第85回 オレたちにゴールデンウィークはないぜ!スペシャル!

Tweet【関連記事】 ・ネットワークセキュリティのエバンジェリスト・辻伸弘が語る『攻殻機動隊 ARISE』と[...]

The post 第85回 オレたちにゴールデンウィークはないぜ!スペシャル! first appeared on podcast - #セキュリティのアレ.

00:01
バッテリーがめちゃめちゃ膨らんで。
何の?スマホ?
ノートパソコンの。
いや、スマホじゃなくてノートパソコンの。
え、オレ昔iPhoneのバッテリーが膨張したことあるんだけど一回。
はい。
え、あれスマホがなるもんじゃないの?PCもなるんだ。
いや、僕これPCなの。2回目なんですよ。
あ、マジで?
そうそうそう。
え、膨張ってマズくない?放っておいたら爆発するよね。
そうそうそう。爆発するって言うじゃないですか。海外とかでもスマホが爆発したとかって聞くでしょ?
めったにないけどたまにあるよね。たまに。
何やってもおかしくないし、よくはないじゃない。
目で見て明らかにわかる感じ?蓋が膨らんじゃってる感じ?
そうそう。机のデスクの上でノートPCを置いて作業してるんですけどいつも。
机って基本、当たり前ですけど平らじゃないですか。
あー、はいはい。
でね、ちょっと前から立てつけ悪いなって思ってたんですよ。
ガタつく感じ?
そうそうそう。キーボード売っててもグイッグイッってどっちかが高いか低いかみたいな。
なんか嫌やなって思いながらも普通に作業できるからやってたんですけど、
何となく作業した時にリクライニングして椅子をね。
いつもと違う視点でやってたらもっきり隙間できてるんですよ。
それで気づいたんだ。
そう。これはあかんと思って直しにいこうと思って。
これ気づいたのが昨日なんですよ。
ほやほやだ。
そうそう。今この収録してますけど、バッテリーを交換したパソコンでやっております。
そんなにすぐ交換できるの?
そう。今日朝店が開くときに電話してね。朝1というか。
サーフェスブックが膨らんでるんですけど。
持って行ったら、即日で行けますかと。
行けますよって言って。今からは昼過ぎぐらいに来てくださいって言われて。
3時間いただければ一旦そこから帰って、3時間後に撮りに行って完璧です。
いい対応っていうかそういうものなんだね。
こんな平やんやと思うぐらい平。ぺちゃっとくっついてますわ。
普通そうだよな。
あまりにも平すぎて磁石でついてるのかなっていうぐらいの。
ちなみに2回目って言ってたけど、今回のサーフェスブック、古いやつなの?
03:08
初代です。
初代って言われても分かんないけど何年前?
多分2016年とかじゃない?だいぶ古いですよ。
じゃあ、経年劣化でバッテリーがいっちゃってても不思議はないのか?
多分ね、これ24時間動かしっぱなしにしてるからです、ノートやのに。
そういう使い方してるからか。
そのせいもある。最近特にちょうどここ1年半年ぐらいかな。半年ぐらい結構きつめに使ってたんで。
なるほど。
そのせいももしかしたらあるのかなっていうところですね。
でも多分ダブルパンチ的な。
なるほど。
ACにつなぎっぱなしだとやっぱりよくないですよね。
そうだね。リチウム用バッテリーってやっぱり4,5年ぐらいが一応製品寿命っていう一般には。
スマホとかもそれぐらいで結構バッテリーが減たれちゃうっていうか膨らみはしなくてもさ、
充電容量がだんだん減ってっちゃうってよくあるよね。
マックス充電にしててもマックスはマックスじゃないみたいなのありますよね。
マックスの80%とかね。iPhoneとかだったら見れますもんね。
満充電でこれ以上充電できないんだけど今までの能力の8割ぐらいしかいかないとかね。そういうのってよくある。
だんだんそれが減ってってある日突然充電してもさ、全然充電できなくなっちゃうみたいな。
いきなり途中で10%やったのにいきなり0にバーンってなったりとかよく聞きますよね。
そうだったら交換しないとダメだよね。
でもよかったね。膨らんだの早く気づいてさ。
本当ですよ。爆発とかしたらね。
実際国内でもあると思うけど爆発まではいかなくても出火しちゃうとかね。
火事の原因にね。
そうそう。あるからね。
これからどんどんあったかくなってくるから余計に負荷もかかるだろうし。
交換してどうですか?快適?
めちゃくちゃ快適ですわ。
さっきも言いましたけどピタッとくっついてるというかこんな薄かったんやっていうぐらいの感じ。
それでもさすがに5年も経ってるとサポート的なものは効かないんだよね。
そもそもいろいろサイト調べてみるとバッテリーの交換って基本的にやってないみたいですね。
そうなんだ。
だからサポートも切れてるというか対応もしてもらわれへんからサードパーティーのところに頼んでるんで
これをするとサポート効かなくなりますけどとか言われたんですけど
いやそもそもこれ効かへんからいいですってやってもらったんですけど。
よくアップル製品でもあるけど
アップルの純正のショップじゃなくて他でバッテリーとか安く交換とかしちゃうと
それで保証効かなくなっちゃうとかね。
よくあるのが液晶画面割れたらそこだけ変える人とかいますもんね。
そうそうそう。よくあるよね。
06:00
でもほんまに普段からやっぱりバックアップしてたからすごく楽でしたよ。
急にそんななっても。
クラウドに必要なものはバックアップとってあるし
ちょっと一応チェックだけしてこれちょっと抜けてるなっていうだけをちょちょっとやって
一応消えたら消える可能性もあるじゃないですか。
確かにね。
データ破損する可能性もあるんでバックアップしてたら
全然その辺は気が楽でしたね。
一応言われるよね。バックアップは取っておいてくださいって
保証しませんって言われるもんね。
意気揚々と普段から取ってるんで大丈夫ですって言っておきました。
さすが。
そりゃそうでしょ。だってランサムの話をしまくってる人間がバックアップ取ってなかったらダメでしょ。
確かに。そりゃそうですよね。足しだりとしてね。
そうそうそうそう。びっくりしましたけどね。その膨らみを見た時は。
でもほんまマジで皆さんもバックアップはちゃんとしておかないとね。
いざった時のためにね。
そうそうそうそう。本当にバッテリーは膨らむけど自分はへこむみたいなことになりますから気をつけてください。
何うまいこと言ってんの。
これは同じことツイッターでも言って60いいねぐらいもらって喜んでたんですけど。
へこんだけど修理できて一気に回復じゃないですか。
だから24時間動かすのはやめて、24時間やらせた作業は違うコンピューターにやらそうかなと思ってね。
ゴールデンウィークにやることができました。
そんな感じでお便りが来ております。
これは僕とか僕看護さん全員に質問なんですけど質問もちょっと含まれているんですけれども
答えられるか答えられないかはおのおのお任せしますが
高校生の時に広角機動隊サックスタンダードコンプレックスを見てセキュリティエンジニアにずっと憧れているという方がリスナーの中にいらっしゃると。
そういうきっかけの人もいるんだ。
セキュリティのアレ勢、セキュリティのアレ勢ってなんやってことなのか。僕ら聞いてる人なんですよね。
ガチ勢みたいなやつの勢ですね。
セキュリティのガチ勢みたいな。
いいねアレ勢いいね。
アレ勢いいですね。
これからはリスナーの方々のことをアレ勢って呼ぼう。
桃黒のファンをモノノフっていうのと同じ感じでアレ勢。
アレ勢いいね。
聞いてる方の中にもそんな方っていたりしないのかなということで
ネギスさん、辻さん、ピオカンゴさんなどセキュリティエンジニア側から見た広角機動隊ってどんな感想なんでしょうかということですけども
ネギスさんこれ見ました?
見た見た。
SACって何年だっけ?だいぶ昔だけど。
SACはね、僕まだ学生でした。
2000年代?
09:02
僕たぶん22とかですわ。
たぶん2000年代…違うか90年代かもしかしたら。
2000年代だよね。
オリジナルが90年代でしょ。
ゴースト・イン・ザ・シェルの方ですかね。
そうそうそうそう。
それは高校生でした。
僕それから見てるけど、
なんだろうな、それきっかけっていうか、あんまりセキュリティと結びつけたことはあんまりないっていうかさ。
確かにセキュリティっぽい内容もかなり含まれてるけど。
ハッキングっていうのが当たり前に出てくるアニメですもんね。
結構ね、もとこがすげーハッカーなしさ。
そういう要素があるっていう…なんだっけ、攻壁…なんだっけ、名前忘れちゃった。
攻勢防壁ですか。
突破するとかね、ファイアウォールっぽいとかさ、いろいろイメージは近いけど、
俺直接そうやって結びつけたことあんまりない。
じゃあちょっとSF的な作品として楽しんでみたいな感じですかね。
単純にね。あと作家の時にはもうすでにセキュリティエンジニアだったから。
確かに確かに。そうですよね。
順序で言うとね。順序で言うとそうなんで。
なのであんまりそういう風に結びつけたことはなかったね。
大好きな作品だけど。
そうですね。僕もゴーストイン・ザ・シェルから映画とかも見て、高校生の時に見て、
僕もセキュリティと結びつけてっていう感じではなかったかな。
ただ、サックもそうです。サック2もそうですけど、
先取りしてる感を感じるようなところがあって面白かったですね。
こういうふうなことが現実になる日も来るのかなとかね。
だいぶ世界観がすごい進んでる。
なんかね、後頭向けじゃないっていうかさ、
何十年か経ったらこれくらいになっててもおかしくないなっていう、
ちょっとね、そういうのを想像させる未来じゃない。
そうそうそうそう。
なんかその点は非常に面白いよね。
全くのSFって感じもしないし。
そうですね。僕は本当これすごい好きなんで、
2014年に広角機動隊を2時間くらい語るっていうインタビューを受けたことあるんですよ。
そうなんだ。
アライズっていう映画が何編かに分かれるやつが出た時に、
辻さんそういえば好きでしたよねって言ってインタビューに答えた。
アライズの時ってタイアップしてキャンペーンもやってたよね。
JPRSがタイアップしてステッカーとか出してましたよね。
色々やってたよね。
結構広角機動隊はセキュリティ関連で取り上げられること結構多いよね。
12:03
そう。今広角機動隊辻信博で検索した当時のインタビューがまだ残ってましたね。
昔NISQのキャンペーンでも使われたし、あとNYCTのプロジェクトでも使われてるし。
そうですね。
色んなところで使われてるよね。広角ってね。
そうそうそうそう。僕も好きな作品の一つですね。
でも直接セキュリティエンジニアと結びつけたわけではないってことだよね。
そうですね。寛吾さんはどうですか?
私はそもそも言うほどまず広角機動隊はちゃんと見てなくて。
あ、そうなんですね。意外だね。
結構寛吾さんはゲームとかアニメとか割と幅広く見てるイメージがあるけど。
多分庭科なんですよ。
そんなことないやろ。
すいません。ちょっと語れるほど見てなくて。
で、逆にセキュリティ色持って見てたやつなんだろうなっていうのをずっと2人の話を聞きながら思ってたんですけど。
なんだろうな。多分私の中だとソードアートオンラインとかは結構セキュリティのイメージ持って見てたかな。
ほうほうほうほう。
あれもタイアップとかやってましたよね。
そうだね、やってたね。
あとはちょっとお二人はご存知かわからないんですけど、
とある科学のレールガンっていうのも。
あ、なんかよくバナーみたいなのでバナーメーカーみたいなのが出てくるやつ。
とある何々の何々みたいな。
それはよく出てますね。
確かに。
あれも確か劇中というかアニメの中でハッキングをするのが得意なキャラクターが出てくるんで。
あれとかは見てたかな。
なんかでもどっちも、広角と比べるのはあれだけど、比較的新しい面の作品だよね。
そうですね。
なんかやっぱり新しい作品だとさ、もはやハッキングとかハッカーとかっていうのが割と身近だから、
結構題材で使われたりとか。
テレビドラマとかでもそういうの出てきたりとかさ。
身近でもおかしくはないよね。
そうですよね。今wikipediaとか見ると2002年とか放送されてたってありますから、
やっぱりその時だと私もそんなにセキュリティーって感じで見れてないですね、多分。
ついさんと同じような感じですね。
そういう意味ではだいぶ時代を先取りしてる感じがあるよな。
そうですね。ほんと息が長いですね。
サザエさんは言ってるんですけど。
サザエさんと比べんなよ。
でもお便りの人もそうだけど、
もしかしたら最近の人はそういう身近な作品からセキュリティーエンジニアって。
あるんじゃないですかね。ドラマとかもね。
15:00
ビビッときてね、俺もこういうかっこいいのやりたいとかっていう。
まあいいイメージだよね、多分ね。
そうですね。僕も結構好きなアニメやから。
他にもこんなのあったとかあれば教えてほしいですね、逆に。
確かにそうですね。それ逆にお勧めされている。
結構いろいろありそうだもんね。
ドラマとかやったら一時期ブラッティマンデーがすごく。
そうだね。
そんな感じですと。
あともう一つ来ておりまして、これはネギスさん向けでございますけれども。
やっぱりエアタグ買ったんですね。
余計なお世話じゃん。
届いた?届いた?
届いたよ。届いた届いた。
どうですか?どうですか?
どうですかって言われてもさ、あれは別に使う場面がないのが正しい姿だからさ。
確かに。
一応キーホルダー型のやつを買いまして、早速登録して。
もうほんと簡単でさ、iPhone近づけるだけで登録済んじゃうし。
もうすぐファインドマイアプリで探せるようになるし。
あれはじゃあ自分からどれぐらいか距離離れるとみたいなありましたよね。
教えてくれるみたいなやつあるんですね。
だからあれですよ、今度もしなんかのセミナーの収録とかの時あったら、
机の上にiPhone置いてるよう思うなら、僕はそのiPhoneを盗んで距離離しますからね。
いやいやいやいや。
無くしたことに傷を貸してやろうかみたいな。
いやいやいやいや。
まあでもよくできてる。仕組みとしてよくできてるなっていうか。
そうですね。もしこれから使って何かあったら、即このコッドキャストで報告してください。
使う前が来ないことを祈りたいですが。
なんかでもいいよね、いいなと思って。
見た目も可愛いですよね。
なかなかいい感じです、オシャレで。
これから空張りとか出るんじゃないですか?
どうなんだろうね。サードパーティー製品もたくさん出てるみたいだし。
入れ物とかね。
いいよね。
もっとちっちゃいやつ出てほしいな。
どれぐらいなんですか、大きさって。
大きさはね、500円玉ぐらい。
そうですよね。
でもそんな気にならんか。でも確かにちょっとちっちゃい方が、もうちょっとちっちゃいで嬉しいかと思うぐらいのサイズですかね。
リモコンに貼れるぐらいのやつが欲しい。
これは厳しいかも。これ一応普通の市販のボタン電池使ってるし。
そうですよね。
あとその振動して音が鳴るような仕組みがあるのと、
あとまあね、BluetoothとかUW、ウルトラワイドバンドだっけ?
各種そういった通信に対応するモジュールが入ってたりとか、まあまあ複雑なんだよね。
結構高機能なんですね。
そこそこね、そこそこ高機能なんで、たぶんそんなにちっちゃくはまだできないんじゃないのかな。
18:01
まあね、あんまり小さくしすぎると、今度これを無くした時に探すやつが必要になりますからね。
エアタグタグみたいな。
エアタグタグ。
タグタグが必要になってきますからね。
そんな感じのエアタグの流れで、今日はネギスタンからいきますかね。
いきなり本編ですか?
うん。
はい、わかりました。
今週も僕からいきたいと思いますけど、いろいろニュースあったんですけど、その中からですね、ちょっと紹介したいのはMacOSの脆弱性の話を。
あんまり今まで取り上げたことなかったかもしれないんだけど。
そうですね。
今週、MacOSのビッグサート、カタリナっていうのがアップデートが出てるんですけども、その更新で修正された脆弱性というやつで、
何かっていうと、Macって、Windowsも同じだけど、これまでいろいろマルウェアを実行させないような不正なファイルを防ぐような仕組みっていうか、長い歴史がいろいろあって、
いろんな防御策が詰まってるんだけど、それがことごとくバイパスできてしまうという。
あらら。
ちょっと面白いんだけど、やや致命的な脆弱性でもあるので、これ聞いてMacを使っている人がいたら、すぐさまアップデートした方がいいと思います。
じゃあ僕もアップデートしよう。
はい。でですね、そういったマルウェアで本来は止められなければいけないものがバイパスされて実行までいってしまうという、そういう脆弱性、簡単に言うとね。
で、これまで見つけたのはセキュリティの研究者の人が見つけて3月に報告をしているんですけども、見つけた本人よりも、もっとより詳しく脆弱性の内容を調べてブログに書いている人がいて、
これは有名なパトリック・ワードルさんというObjective-Cというブログを書いている、元NSAハッカーですね。この業界では超有名なMacのハッカーの第一人者なんだけど、その人がブログを書いていて、
All Your Macs Are Belong To Usっていうブログを書いていて、これ元ネタを知ってる人はね、クスッとしちゃう有名なMemeだけど、多分これ聞いてる人はみんな知ってるかな?知らないか。知らないんじゃないでしょうか。
これって英語圏でしか有名じゃないのかな?国内であんまり有名じゃないんだっけ?
英語のMemeってそんなに有名なやつって国内ありますっけ?It's over 9000ぐらいじゃないですかね。
そうでもないか。
あれもだって日本のアニメの海外でのMemeだもんね。これもそういう意味では同じだよね。一応知らない人のために言っておくと、昔日本のゲームで海外に翻訳されたときに、めちゃくちゃデタラメな英語が翻訳されてしまって、それを元にしたMemeだね。
21:19
気になる人は、All Your Base Are Belong To Us で調べてみてください。
ウィキペディアにある?
載ってますね。超有名なインターネットMemeの一つですね。これを文字ったやつはいろんなところで出てくるんですけど、それを文字ったタイトルでAll Your Macs Are Belong To Usっていうブログの記事があるんだけど、この記事の内容を軽く紹介したいと思うんですが、
まず、Macがもともと持っているマルウェアの実行を防ぐ仕組みっていろいろあるんだけど、そのうち代表的なやつが3つあって、まず一つ目がファイルクワランティーンっていう、日本語で言ったら検疫の仕組みって言えばいいのかな。
これは何かというと、これはWindowsでも同じような仕組みがあるけど、インターネット経由でダウンロードしたファイルには、クワランティアアトリビュートっていう特殊な属性がくっついて、これはダウンロードしたファイルだから信頼できないですよっていうマーキングがされるっていう仕組みですね、まず。
これによってこれを実行すると、これはダウンロードしたファイルですけど実行していいですかってユーザーにプロンプトが出て、イエス、ノーっていうそういうのが出ると。
Windowsで言うゾーンIDみたいな。そうですね、ほぼ同じ仕組みがありますね。Macにも相当するものがあるんだけど、これはだいぶ昔に導入された対策なんだけど、もっともこれだけだとユーザーはだいたい何も見ないでイエスって押しちゃう。
よくあるパターンですよね。全然防御策ならないということで、次に出てきたのがゲートキーパーってやつで、これは何かというと今度はコードの署名をチェックするという仕組みですね。これもWindowsにも当然あるけども、
Macにもアプリにちゃんとデベロッパーのコードの署名がついているかどうかっていうのをチェックして、署名がないと、署名がないので実行できませんっていうエラーメッセージが出るという、そういう仕組みがありますと。これはさっきの反省を踏まえて、署名がない奴は実行しますか、イエス、ノーじゃなくて、署名がないので実行できません、OKってボタンしかないという。
なので、実行を許可するためにはセキュリティの設定をわざわざと緩く設定し直して許可しなければいけないという、ひと手間必要になっているんだよね。普通のユーザーはそれで実行しないだろうという、そういう仕組みがまずできたんだけど、ところがこれもマルベアの作者とかが不正にアプリのデベロッパーのIDを取得してコードの署名をつけちゃったりすると、簡単にバイパスできちゃうというのがあって、これでも不十分だねということで。
24:05
その次に出てきたのがノータリゼーションという仕組みで、これは日本語に訳すと交渉じゃないですかね。公証役場の交渉ですよね。
英語ではノータリゼーションって言うんだけども、これはさらにもう一歩踏み込んで、ちゃんと署名がついてるかとか、いろんな条件をアプリにつけて、制約をつけて、事前に実行したいアプリはAppleのチェックを受けなければいけないと。
チェックを受けて事前にOKという登録がもらった、ノータリゼーションがOKになっているアプリしか実行できないような仕組みというのができました。
ユーザー側で許可を得るのもレベルじゃないってことですかね。
そうなんですね。なので、ダウンロードしたアプリをまず最初にMacで実行しようとすると、ノータリゼーションチェックが走って、Appleに問い合わせに行って、このアプリは実行が許可されているかどうかというチェックをした上で、OKであれば実行すると。
もしOKでなければ、これはノータリゼーションのチェックがOKではないので実行できませんとなって終了しちゃうと。
この場合も、やっぱり実行したければセキュリティの設定を緩くしないといけないという手間がかかるという、そういう感じで簡単に実行できないような壁を何段階か設けていると。
大まかに言うと、その3つの仕組みが今あって、これを突破しないとマルウェアはそもそも実行してもらえないということなんだけど。
今回見つかった贅沢性というのは、実はこの3つをことごとく突破して、何のメッセージも出さずにユーザーがうっかり実行してしまったら、何のメッセージも出ずにユーザーに実行しますかという問い合わせも出ずに実行されてしまうという、かなり危険な贅沢性ですね。
なんだけど、仕組み自体というか、すごくシンプルというか、今言った署名がついているかとか、ノータルデッシブのチェックがOKになっているかとか、そういう条件分岐が当然あって、全部通ったものだけが実行になっているはずなんだけど、
ある特殊な条件のアプリを作ると、そのチェックに引っかからないという穴を見つけたと。そういうもので、これ攻撃自体はすごい簡単で、MacのアプリってMac使いの人は知っていると思うけど、アプリって.appという拡張子がついているんだけど、appって単なるファイルじゃなくて、複数のファイルを含んでいるディレクトリー構造をしているんだよね。
27:06
で、その中にファイルのバージョンとか、メタデータを含んだE4.plistというファイルが入っていたりとか、Macのバイナリー本体が入っていたりとか、そういう決まった構造をしているんだけど、今回の攻撃のパターンというのは、まずメタファイル、E4.plistというファイルがまず無い、わざと無い状態にすると。
本来であれば不完全なアプリなんだけど、その状態にするとバイパスできるという条件ができる。それともう一つは、バイナリーじゃなくて、シェルスクリプトとかパイソンスクリプトとか、そういうスクリプトもアプリとして実行はできるんだけど、そのスクリプトにすると。
その両方の条件が揃った場合に、なぜか本来であれば通らなければいけないチェックを全部スルーしてあって、実行できちゃうと。そういうものです。なので、PoCとかもうすでに出てるんだけど、非常に簡単でこれ誰でも作れちゃう。そういう感じです。
動画で上がってましたよね、検証してるやつが。
動画で電卓アプリが起動するとかね。なのですごく攻撃が簡単なので、悪用も可能だし。
なおかつね、これちょっとやばい点は、この脆弱性を見つけた人、パトリックさんじゃなくて別の人なんだけど、別の人が3月の末にAppleに報告をしてるんだけど、実はその前の1月にはすでにShreyaというマルウェア、Mac向けのマルウェアでこの方法が使われているということで、
だからその研究者が見つけて報告する前、Appleが自分でもそれに気づくよりも、ずっと前にもう攻撃者側、誰か気づいてそれを使ってましたと。
じゃあゼロでやったってことですね。
しかもin the wildでしたということなので、今それがどのくらい広く使えてるかってちょっと僕わかんないんだけど、仕組みもすごい簡単で誰でも攻撃利用できるし、もうすでに実際に観測もされてるしということで、これはやや危険なので、
MacのApple Storeからしかアプリはダウンロードしませんっていう、そういう人はあんまり気にしなくていいんだけど、そうでないファイルを実行するような人は、これはちょっとやばいので、
速攻で?
はい、アップデートした方がいいと思います。
アップデートをすぐにしてほしいときは何て言うんでしたっけ?
なにとぞ、なにとぞ。
30:00
いや本当にそういう感じですね。
マイクロソフトの人の言葉をマックネッツに使うっていうのもちょっと味わえた。
そうですね。
なにとぞの案件ってことですね。
そうですね。
そんなに世間的にそこまで騒がれてない気がするんだけど、これはちょっと悪用が容易だし、インザワイドだし、そこそこやばいやつなんじゃないかと思うんで。
そうですよね。OSの基本的な機能をバイパスされるってことですから、本当に直しようがないといけないものですね。
うん、なんでこれはできるだけ速やかにアップデートした方がいいと思います。
はい。
そんな感じですね。
ありがとうございます。
こんなに簡単にできちゃうんだっていうね、そんなのが最新のOSでも残ってるんだっていう、ちょっと面白かったね。
なんかこう、ふっとしたときにありますよね。何年前からあったとかね、結構前から実は使われてたみたいなやつとか。
これも多分、Katarinaが出たタイミングからあったんじゃないかと思われるんで。
そうなんですね。
比較的長い間見つかってなかった脆弱性ですね。
そうか。
電源入れてないMacあるから、それアップデートしておきます。
そういうのは危ないよ。
やっときます。
はい。以上です。
はい。ありがとうございます。
はい。
ということで、じゃあ次はカンゴさんいきますかね。
はい。私はですね、4月の28日にサイバー情報共有イニシアティブの運用状況っていうのの第一四半期っていうのかな。
2021年1月から3月までの状況をまとめたレポートっていうのが公開されており、その中でちょっと気になった事例っていうのが取り上げられていたので、
ちょっとそれをご紹介したいなと思っているんですけども、
そもそも多分JSIPレポートって何ぞやみたいなところを多分あまり過去の多分Podcastセキュリティのあれで取り上げたことはおそらくなかったと思うので、
軽くそこから紹介させていただくと、JSIP自体はIPAっていう組織ご存知だと思うんですが、
それが情報のハブという形で、いろんな業界分けられていて、例えば電力業界とかクレジット業界とか石油業界とか、
いろんな業界ごとにそこに区分される事業者の方が参画されているという形のチームを作って、
そこから上がってくる情報をIPAが集約し、情報の参加組織間で共有する取り組みっていうのをずっとやっているんですけども、
その中で実際に取り替わされた情報として広く共有されるものというのをレポート等で紹介されているわけで、
33:04
今まで私のイメージだとJSIPのレポートってビジネスメール詐欺を結構詳しく取り上げられているケースがあるかなと思ってまして、
今回もその例にもれず、ビジネスメール詐欺の内容とかも結構細かく取り上げられているんですが、
他の国内、海外も含めてかもしれないんですけども、詳細にこういった事例が実際にこういうやり取りを経て行われてましたみたいな、
具体的な話を取り上げられているレポートって意外と少ないかなと思っているので、
ビジネスメール詐欺を単純に調べたいというケースにおいても非常に貴重な情報ではあるんですが、
今回はそのビジネスメール詐欺ではなくて、JSIPに参加している組織においてクラウドサービスに性アクセスが行われましたという事例が紹介されていて、
それをちょっとご紹介したいんですけど、
この事例はいつ起きたかっていうのは時期とか細かいところは割愛されてしまっているので、
あくまでもそういう手口があったっていう話ではあるんですけども、
クラウドサービスが性アクセスを受けましたという話ではあるんですが、
そこに至るまでの流れっていうのがなかなか興味深くてですね、
クラウドサービスの性アクセスっていうといきなりアカウントのフィッシングメールかなんかに騙されてしまって、
アカウント情報を入力して被害を受けるみたいな、そういうのは結構あるんですが、
このJSIPのレポートの中でご紹介されている事例としては、
まずは海外の拠点、海外拠点のネットワークが不正アクセスを受けましたと、
それをきっかけとしてはVPN装置の認証が、
ちょっとなんで認証装置が突破されたかっていうところはちょっと分からないんですけども、
なんだかの方法で入手して、その認証情報を使ってVPN海外拠点のあるネットワークに入り込んだと、
そこからランサムネアとかでもよく見られる話ではあるんですけども、
国内拠点に侵害範囲を広げていって、
国内拠点の認証サーバーにアクセスして認証を突破すると。
認証サーバーからさらにクラウドサービスでアクセスするための認証情報を盗むと。
その盗んだ情報を使ってインターネット経由で、当然クラウドなんでそうだとは思うんですけども、
クラウドサービスに対して不正アクセスを行い、クラウドサービス上のデータを盗むというそういう手口で、
結構手が込んでるなというのが最初見た第一印象であったのと、
36:07
これレポートにも書かれてるんですけども、
クラウドサービスそのものは、被害を受けた企業のネットワークから直接アクセスしたわけではなくて、
攻撃を実際に不正アクセスをしている人が、おそらく自分の持っているネットワークから直接不正アクセスを行ったというところでもあって、
なかなか使われたのは正規の認証情報だというところであったので、
情報提供された不正アクセス元ですよというIPアドレスに関しても、
本当にそれ自体が攻撃に使われたものなのかが判断が難しいといったような情報も含まれており、
例えば、それは直接は書いてないんですけども、JSIPのような共有をする取り組みにおいても、
そこら辺の弊害というかやりづらさというのもあるなと見てて思ったんですよね。
あんまりこういう事例って見たことなくて、
ただJSIPのこのレポートで実際に紹介があったわけなので、
本当にこういう事例っていうのが単なる脅威想定というわけではなくて、
本当に攻撃事例としてあったというところはショックというかびっくりではあるんですが、
ただちょっと私これすごいなと思ったのは、
この情報提供した組織はクラウドサービスのアクセス状況を監視していて、
たださっきも言った通りどういうタイムラインかというところはちょっとわからないんですけども、
この不審なアクセス自体は自分たちで検知して発覚したというところなので、
優秀ですね。
そこはすごいなと思いましたね。
かんこさん、このレポートには具体名は書いてないけど、
国内ではあんまり多分報告事例ってないけど、海外では結構このパターンってたくさんあるよね、報告って。
直接ですか?
うん、そこではさ、僕多分この事例も多分おそらくそうだと思うけど、
これ多分365だよね、クラウドサービス。
まあそうですよね。
このやられた認証サーバーっておそらくADFS使っているアクティブディレクトリーのサーバーじゃないかと思うんだけど、
もしそうだとすると、ソーラーウィンズとかでもね、あの事件でも使われたけど、
サンブルの認証のトークン取っちゃって、それを使ってクラウドサービス側にアクセスするってやつ。
39:06
そのパターンだったら多分たくさん海外では報告が出ている事例なので、
おそらくそれと同じじゃないかなーって気がするんだけど。
確かにそうですね。
わかんない、違ってたら違うかもしれないけど。
ちょっと具体名はここには書かれてないんで、なんともってところではあるんですけど。
あとさっき言った、というのはさっき侵入経路の第一段階でVPRを何らかの認証突破っていうのも、
こないだアメリカのCISAが報告していた事例でも全く同じ侵入経路が使われていて、
それもパルスセキュアかなんかのVPNを突破してるんだけど、
あらかじめ認証情報が何らかの手段で取られていて、正規のパスワードを使って入ってきたって書いてあるんで、
なんかよく使われる上等手段の一つかもしれないね。
一つはそのよくある脆弱性、VPNの脆弱性たくさん最近出てるんで、それを使って突破するっていうパターンと、
もう一つはよくいろんなところから流出しているパスワードの情報を使って、
VPNにもアクセスできちゃったっていうパターンと、
なんかその辺はいくつか報告があるから、
ひょっとしたらそういうのと同じようなケースなのかなっていう感じだね。
でもこれ、そういう他の類似事例でも書かれていて、そこでも厄介だなと思ったんだけど、
さっきこの事例の企業はちゃんと監視で不正アクセスを禁止できてすごいって言ってたけど、
これあれなんだよね、他の事例でもそうだけど、
例えば365とかでも使っている企業って、どこからでもアクセスできちゃうと、
フィッシングとかで簡単に突破されちゃうんで、
大抵はマルチファクターを有効にして使えってなっているはずで、そうしている企業が多いんだけど、
今がんごさんが説明してくれたこの中からトークン取られるパターンだと、それ効かないんだよね。
確かにそうですね。
なんで、なぜか外からログを見ていると、本来マルチファクターを使ってログインしてこなきゃおかしいはずなのに、
なぜかそれを経ないで認証に成功しているより見えちゃう?
逆にそれが怪しいっていうかね。もしかしたらそれで来てたのかもしれないね。
そうですね。
ちょっとそこまで書いてなかったよね。書いてなかったけど、
もしかしたら本来やってなきゃいけない認証をやっていないのに、なぜかアクセス成功できているからおかしいっていうふうに。
まあそうなったのかもしれない。分かんないけどね。
手順をスキップしているのがログにあるっていうところですね。
あとさっき言った組織外からアクセスしているのが不審とかね。
でもサートそういうのを監視しているって偉いよね。
42:02
うん。
それなりにちゃんとそういう運用が回っている会社でないとできないよね、これね。
そうですね。ここはすごいなと思いました。
すごいけど、そこで不正アクセスされるまで気づかなかったわけだ。
そう、それなんですよ。これただこの事例聞いて、うーん、じゃあうちで何とかしようかってなっても、
なかなかなんか何かやれば安全みたいな感じにはなりづらいのかなって気はしてて、
当然やるべきことはちゃんとやっていけば安全にはなっていくんでしょうけど、
海外拠点でとか、
海外のVPNへのアクセス経路とか、海外から国内へのアクセス経路とか、
臨床サーバーへの不審なアクセスとか、
多分何段階か攻撃が成功するには突破しなければいけない壁があるはずだけど、
どこでも見つからなかったんだね、これ。
そうですね。
間に合わなかった感がありますよね、これね。
間に合わなかったって何が?
ログで見つけたけど持ってかれてるわけですよね、これ。
そうそう、最終段階でようやく見つかったって感じですよね。
だから監視してれば何でもいけるっていうわけでもないと、
スピード感でここで間に合わなくて持ってかれちゃったっていうのがこの事例からわかるわけですからね。
この会社がどうかはちょっとわかんないけど、
クラウドサービスの外からのアクセスとかはちゃんと見てたけど、
内々のアクセスっていうのはちょっと緩かったなと思った。
海外拠点から日本企業のネットワークとかそのポイントとかですね。
国内の社内ネットワークから臨床サーバーへのアクセスとか、
そういうのはあんまりチェックがもしかしたらなかったのかもしれないね。
そうですね、確かに普通にありますもんね。
ポリシーが一致してないって言って、
例えばクラウドサービスだったらさっき言ってたようにMFAちゃんとやりましょうっていうのは上等手段ですけど、
VPNであったり社内の認証とかに関しては普通にIDパスワードだけみたいな。
そうだよね。
割とそれはあるあるな感じでは。
そうだね。
はい、思うので。
やっぱり一度中に入られちゃうと、こういう境界に若干依存してるとやや厳しいよね。
そうですね。
これどうなんですかね。
こういった事件、事故が起きても、
クラウドサービスが侵害を受けましたっていう風なリリースだけだと、
この根っこの部分が見えてこないものもありそうですね。
発表に入ってないみたいな。
確かにね。今回みたいにレポートでここまで書いてくれれば分かるけど、
確かにプレスリリースとかクラウドサービスに不正アクセスして情報が漏れましたとかだけだと。
45:04
そこだけ見たらフィッシングに引っかかってアカウント情報を取られてやられたのか、
こういう形で認証サーバーから取られてやられたのかっていうところの原因がぼやけてしまうなっていう風な発表になりかねないなっていうのを見て思いましたけどね。
確かにね。
でもこの事例でここまで経路が明らかっていうことは、
見つかったきっかけは最終段階のクラウドサービスの不正アクセスだろうけど、そこからちゃんとたどれたってことだ。
そうですね。
後追いで調べる手段はあったんだねっていうことは。
そうですね。ログとかそういうのは。
確かに確かに。
それをやっぱりちゃんとモニタリングしておく必要があったってことなんですかね、そういう意味でおいては。
そういうことだよね。後から怪しいってことが分かっていれば、
結果論で言っちゃいますけど。
トラックバックして順に追っかけて多分海外の拠点までたどれたってことだとおそらく思うんだけど、
それがリアルタイムではモニタリングできてなかったってことだもんね。
でもそういう意味だとリアルタイムで監視して見つけようっていう風なアプローチも大事ですけど、
何かあった時に追えるか自分たちはっていう観点でも見る必要がありますよね。
そうそうそうそう。
実際だって今言ったようなその痕跡を追うって相当難しいと思うよ。
難しいですよ。
大変だと思いますね。時間がかかるし。
いやでもそれがまず難しいし、それをモニタリングってちょっと簡単に言っちゃったけど、
実際そこまでできてる企業がどんだけあるんだよっていう気もするしね。
これ同じ攻撃されたらほとんどの国内企業ダメじゃない?
こんなイラストあるかもしれないですけど、何かクラウドやられたみたいな。
多分なんでクラウドが不正アクセス受けたんだろうなっていうところで止まっちゃうところもいっぱいありそうですよね。
ここまで置いただけでもかなり立派だと思うけど。
確かにちゃんと原因まで置いてますもんね。
最初の最初の最初の認証情報がどう捉えたか、VPNの認証情報がどう捉えたかっていうところはまだこのレポート上では何らかの方法って書き方ですけど。
アクセスされたアカウントが分かっていれば、そのアカウント情報は実は過去に漏れてましたとか、
あるいは過去に脆弱性情報を使って認証実は取られてましたとかね。
そういうのは予測はされてるんじゃないかねきっとね。
そうですよね。ログには直接残ってなかったとしても。
いやー厳しいね。これは厳しい戦いだねこれは。
そうですね。これは結構、なんか全てにおいてしんどいなって感じしますね。見つけるのも追うのも間に合うのも。
何段階か見つけられる壁っていうか、この攻撃経路を断ち切るところはいくらでもあると思うんだけど、それでも一個でもちゃんとできてるかって言われると厳しいなって気がする。
48:14
攻撃の手順が多ければ多いほど、それは一つ向こうから見ればハードルなわけやから、断ち切れるチャンスはこちらにはあるとは言っても、その時断ち切れるチャンスの数だけ自分たちは対策してないといけないわけですからね。
そうそう。
相当大変やろうな。
ちなみにこの会社はそのさ、検知はできたけど、この件を受けて対策を強化したのかね。
そこ気になりますね。
何をしたんだろうな。
特に対策については書いてなかったかな。
あんまり書いてないよね。そういうところができれば何か共有してほしい。
確かに。どうアクションを起こしたのかっていうところも知りたいですよね。それが実際まだ被害を受けてないにしても、どう対策を打つかっていうところの検討にはできるので。
いろいろあるじゃん。例えばVPN装置とかって言ってもさ、たくさんあるよ。全部見直しをするのかとかっていう話もあるし。
じゃあ中の認証サーバーへのアクセスを強化するとかいう話もあるし。
どこから手をつけるのがいいんだろうなっていうのはね、いろいろ考え方あると思うし、企業によって重点の置き方が違うと思うんで一概に言えないけど。
そういう情報を開示してくれると参考になるなって感じが。
確かにそうですね。この後のアクションっていうのは一番共有すると有益かもしれないですね。これだけでも有益ですけど。
全部の対策まとめてできればもちろんそれに越したことないけどね。優先順位をつけるとしたらどこだろうなっていう。
じゃあこれを聞いてるJSIPの方は次回のレポートでそれを入れていただければ嬉しいなと。
あとそういうのがないにせよ、こういうのは見てる見たり聞いたりしてる僕らは自分たちだったらどこからどうするかっていうのは考えるっていうのは。
それは大事。
それはいいケーススタディとして。
それは本当にやってほしいです。
いいと思いますね。
わかりました。
以上ですかね。
なかなかいい事例の紹介。
そうですね。これは市販機ごとにレポート自体は発行されてるので、3ヶ月おきに新しい事例ないかなっていう観点でチェックしてもらってもいいのかなと思います。
JSIPのレポートは毎回毎回結構いい情報入ってるよね。
濃いレポートなんで。
そういうのが集まってくるところですからね、この情報がね。
そうですね。
ありがとうございます。
最後は僕でございますけれども、結構僕はこれ気になったやつなんですけど、これまだ分かってない情報とか出てきてない情報とかもあるんですけど、今現時点で分かっていることをちょっと紹介したいなと思うんですが。
51:13
なんか現在進行形ですか。
そうですね。出てくるかどうかちょっと分からないですけど。
継続しておっちゃんけん。
増えすぎやけどもそれ。
僕もねこの事件のことを知ってそういう名前のソフトウェアがあるんだっていうのを知ったぐらいなんですけれども、オーストラリアのソフトウェアハウスのクリックスタジオズっていうところがあるんですが、そこが作ってるパスワード管理ソフト、僕らが大好きな。
どちらかというと個人というよりはエンタープライズ向け企業組織向けのやつで、パスワードステートっていうパスワード管理ソフトを作ってる会社があるんですけども、このソフト自体は世界中で2万9000組織、人数にすると37万人が利用しているっていう風に書かれてあったんです。
結構多いね。
いやかなり多いですね。
でも僕も全然名前聞いたの初めて聞いた。
そうなんですよ。社名もソフト名も恥ずかしながら初めてだったんですけど。
ややマイナーな会社だよね。
そうですね。そこが4月の22日にその顧客に対して管理しているパスワードをすべてリセットするようにという警告を出してたんですよ。
その内容自体はそこの公式のクリックスタジオのサイト自体には24日にリリースが公開されて、その後25日、27日、28日と状況が変わったりとかっていうようなところを結構細かいスパンでリリースを出してくれているんですけども、
久しぶりというわけでもないけど、こういうのまた来たかって思ったんですが、パスワードマネージャーのソフトウェアアップデートの機能を悪用したっていうパターン。
国内とかでも動画プレイヤーだとかテキストエディターだとかでそういうアップデート機能を使って、アップデートの本体があるところを侵害して自動アップデートに行くとマリシャスなコードが入ってくるっていうようなものがいくつか過去にもあったと思うんですけども、それと同じパターン。
いわゆる最近流行りのサプライチェーンアタックってやつですよね。
そうですね。侵害されたのはこのクラックリックスタジオスのサーバーとかではなくて、そこが使っているCDNが影響を受けたと。
国内の事例とかだったら、昔バファローのやつでそれありましたよね。
なんかあったね、そういえば。
CDNがやられたっていうやつありましたよね。
それをちょっと思い出したようなやつなんですけども、なのでこれ自動アップグレードをオンにせずに手動アップグレードだったユーザーは影響を受けないというふうなものだったんです。
54:03
実際に侵害を受けた期間というのは4月の20日から22日の28時間ぐらいはパスワードステートのユーザーが無防備な状態になってしまっていた。
要はその自動アップグレードするとそのままマリシャスなコードがそのコンピューターの中に降ってくるというふうな状態だったそうです。
このアップデートのファイルを落としてきたら中に含まれているDLLが悪意のあるものに置き換えられていて、それをロードしてしまうとマルウェアの本体が降ってくる。
この攻撃自体の名前はモーゼルパスかモーザーパスだと思うんですけども、そういうふうに言われているものが降ってくる。
メモリ上で展開されて、このコンピューターの中にあるコンピューターに関する情報、コンピューター名だとかユーザー名だとかドメイン名だとかいろいろありますけども、
そういったものに加えてパスワードステートが扱っている情報ですね。
ユーザー名だとかユーザーが書いたメモとかパスワードとかそういったものが攻撃者のC2のサーバーに送られてしまうというふうなものだったそうです。
このパスワードステートを作っているクリックスタジオスが発表している内容の中には、マスターパスワードは盗まれたという証拠はないというような言い方をしているんですけれども、
このパスワードステートの全部保管項ですね、ボルトというふうに言ったりしますけども、それを複合するツールというのが実は出ているんですよね。
レッドチームとかをされている方がGitHubに上げているんですけども、そういったものも出ているので、落感しはできないと。
実際盗まれた証拠はないとはいえですね、あまり落感しできない状況ではないというふうなステータスになっていると。
なので、このクリックスタジオスは全てのパスワードを変更するようにというふうにさっき言ったみたいに指示をユーザーに出していると。
このパスワードリセットする優先順位みたいなものもここは出していたんですけども、まずはインターネットに公開されているシステム。
そこに書かれているのがファイアウォール、VPN、外部のウェブサイトなどの全ての資格情報。
この次のやつがちょっと怖いなと思ったんですけど、内部のインフラの全ての資格情報。
実際にこのクリックスタジオスのサイトを見ればわかるんですけど、めちゃくちゃいろんなパスワードを管理できて便利な機能がいっぱいあるんですよ。
プチプチってやるだけで内部のRDPに接続できるとかSSHに接続できるとかみたいなものがあるので、
結構ここにこれを使っている組織の中の人たちっていうのは何でもかんでも認証をここに掘り込むっていうふうなことをしているんだろうなというふうなところですね。
これさっき手動アップデートだったら影響を受けなかったっていうふうに言ったんですけれども、もちろんそれは正しいんですけれども、
57:06
ここさっき4回リリース出してるって言ったうちの最後の28日、現時点でですね、最後の28日のリリースで、
顧客に対して自分たちが送ったそういう指示の内容というか、修正ここそういうふうにしましょうねとかっていう内容をSNSに投稿しないでっていう通知を出してるんですよ。
これは何故かというと攻撃者はその内容を監視して、攻撃するのに利用できない情報を探している可能性があるみたいなことを書いてて、
その根拠もあったんですけども、クリックスタジオで予想ってメールを送ってアップデートここからしましょうっていうフィッシングがすでに発生してるんですって。
なので、自動アップデートをしてなかったから大丈夫、じゃあ手動アップデートをちゃんとしようと思っている矢先に来たメールをクリックするとこれにまた感染してしまうんですよね。
なかなか攻撃者の囲い込みがエグいなっていうところですね。
この攻撃来た時に防げるかなっていうふうなものは結構見てて不安になりましたね。
僕も最近パスワード管理ソフト変えたところなんでゾッとするようなやつでしたね。
これちょっと聞いてて2つ思ったんだけど、1つは狙われたのがパスワード管理ソフトっていうタイプ。
これは昔から言われて僕らも大好きで使っているし、サイトごとにパスワード変えようと思ったらもうちょっと手動では無理だからこういうツールのお世話になるしかないじゃない。
だから使うのが当たり前というか、むしろセキュリティにシビアに思っている人ほどこういうのを使っていると思うんだけど。
でも前からこういうところに一箇所で全部集めたら、そこをやられたら全部おしまいじゃんっていうことは前々から言われてて。
でもそうは言っても仮に例えば僕ラストパスっていうサービス使ってるけど、そこのサーバー上に置いてある僕のボルトのパスワードが全部入っている暗号化されたファイルが仮に漏れても
マスターパスワードさえ強くしておけば安全だからっていうそこの一点が最後の砦だったわけじゃない。
だからまあ安心して預けてるんだけど、今回の攻撃はそうじゃなくてユーザー側にマルウェアが入っちゃってるわけじゃない。
今回配信されたマルウェアも結構解析とか進んでるけど、ユーザー側代わりにマルウェアが入っちゃったらこれもうアウトで、マスターパスワードがどうだろうかなんだろうが、多分もうこれダメなんだよね。
1:00:00
だってパスワードツール使う時にマスターパスワードに入力しちゃうからさ。
もうアウトでこれはアウトなんで、預けてたパスワード全部漏洩したと思った方がいいと思うんだけど、
ちょっとだからねこういうそのパスワード管理ツールって特殊なツールに今回のようなそのそのもう1個思ったってサプライチェーン攻撃っていう防ぎにくい攻撃で組み合わされたらこれもうちょっと防げないよね。
どうやって防ぐって言ったけどさ、防げたくないこれ。
これどうしたらいいって言われたらね。
いやーちょっとこれ防げないでしょ。
しかもこれパスワードリセットせいって言ってもものすごい数じゃないですか多分。
いやーそうそういやゾッとしてあるよ。自分でもしさこれ使ってないけどたまたま自分が使っているパスワード管理ツールで同じことが起きたらゾッとするよねこれ。
そうなんですよね。
いや考えたくないちょっと。
パスワードがんばって変えようっても変えてるうちにどんどんやられていきそうな気もしません?間に合わなくて。
いやただねそこでちょっと一点不利落ちないというか不利落ちないじゃないけど疑問に思ったのが、
その今回のって世界中で3万くらいだっけ30万だっけ3万?
ユーザー数ですか?
ユーザー数。
ユーザー数37万です。
37万。顧客数で言うと3万くらい。
顧客2万9千社。
ちょっとどういう解釈が入ってるかわかんないけど、攻撃した人の狙いはどこにあったんだろうね。
そこねそこね。
例えば何十万と言うユーザーの誰か一人を狙うとかはない。
いやわかんないけど。
ないと思うんだけどさ。
要はそのワンノムゼムで被害者の一人だったら、たまたまその一人のパスワードをわざわざ狙うかって言ったら、
まあそういう狙い方はしない気がするんだよね。
だけど今回この会社が狙われたのは何なんだろう。
これを使っているどっかの企業をピンポイントで狙いたかったのかな。
これね、僕もその目的、攻撃って言えば目的気になるじゃないですか。我々とかみんな気になると思うんですけど。
僕一個なんかうんって思ったところがあって。
この感染させた後に通信するサーバーっていうのは攻撃者が止めてるんですよね一回。
確かレポートに書いてたような気がするんですけど。
これなんか短期決戦なんかなっていう気はちょっとしたんですよね。
ちゃちゃっと盗んでちゃちゃっと売るっていうイニシャルアクセスブローカー的なことなのかな。
あーそっちか。自分で使うってことは考えてないってことね。
1:03:01
そうそうそう。それを取りあえず取ったやつを売るだけ売ってみたいな。
はいはいそれはありえるね。
そうかなっていう風な気はちょっとしましたけどね。
なるほど。
確かにね。一般の一般消費者っていうかが使うものではなくて、これはエンタープライズ向けのソリューションっていう話だから。
企業への侵入経路として使い道は結構ありそうだもんね。
自分で全部使う必要なくて、とにかくそれを全部売っちゃえばいいってことか。
数多分めちゃめちゃ多いと思うんで。
確かに。ちょっと1ユーザーあたり平均いくつか分からない。
仮に10個だとしたらそれだけでも300万の認証情報が手に入るわけだもんな。
それは言い過ぎか。全ユーザーが完成したわけじゃないから。
そうですね。
仮に1%だとしても30万のうちの3000。
それが10個だと3万アカウントぐらいは手に入るわけで。
そうですね。
まあまあ確かにいい借りになるかもしれないよね。
そうかそうか。走路可能性は確かに高そうだな。
そう。サーバー止めたっていうところがそういうところかなっていう気はした。
なるほど。僕はその顧客の中にどうしても侵入したいところがあったのかなっていう方をちょっと考えちゃったんだけど。
例えば政府組織の用心のとかね。
そうそう。これオーストラリアの会社だからさ。もしかしたらオーストラリア政府とか。
そういう重要な組織が使ってたりとかっていうこともあったりしたのかなと思って。
そこへの侵入経路として。だからそのスロッターは別にたまたま引っかかっちゃった。
流れ玉に当たったというかたまたま巻き込まれたというか。
もらい事故って感じで。本当の真のターゲットはどこか一個とかさ。そういう感じだったのかなっていうことを想像したんだけど。
まあ確かにそれもあり得ますけどね。
まあどっちもあり得るけど。聞いてると確かに鈴井さんの予想の方が近い気もしてきた。
当たってそうだ。
いやーでもね。
怖いなこれ。
ターゲットになってないからといって別にだからパスワード変えなくていいって話にならないからな。
そういう話にならないですからね。これはちょっと怖いなと思ってちょっと紹介したくなったんですよ。
いやー怖いよねこれ。怖いけどさ。怖いけどこれユーザー外できることなんかあるの?
ない。
だってこれ自動アップデート有効にしてたらむしろ被害に遭ったわけでしょ?
そうそうそうそう。だから常に最新版みたいな心得でいったらそれを逆手に取られたみたいな感じなんですよね。
でもそれ普通いいことってみんなに言われてるじゃない?自動更新は有効にしようってみんな言われてるもんね。
僕結構自動更新ってあんまり昔からオンにしないんですよね。自分でやるんですよね。
1:06:05
それは何で?
ちょっと様子見たいから。
僕でもそれで救われたこと1回あるんですよ。
僕もそのアップデートを利用した、苦用した攻撃に当たってしまったアプリケーションを使ってたことがあって、それをしてなかったんです。自動で。
アップデートしますか?っていうふうに出るんですけど、いつもそれは1回言えって言って、ちょっと間開けてから上げてるんですよ。
それが酵素をしたわけ?
そうそう。インターネットから直接攻撃できるような、ポート開けたりするようなアプリケーションじゃないので、ちょっとぐらいは優位を置いてでもいいかなっていうふうに思ってて、たまたまやられなかったっていうのはありましたね。
Windowsの更新も企業とかに当てる場合には、やや慎重に検証してからとか、いろいろ企業ごとのスケジュールでっていうのはよくある話だけど、一般のユーザーとかの場合には、基本Windowsとかも自動更新すべきっていう話になってるし、
例えばブラウザとかもね、普通今は、だいたい最新のバージョンが勝手に送られてくるからさ、再起動したら勝手に上がっちゃうしみたいなね。
Chromeとかもそうですもんね。
今、全般的にそういう方向になってるから、むしろ自動更新を止めるっていう方がリスクが高いというか。
そうですね。僕も自分の実家の家族のコンピューターとかは、もう自動アップデートにしてありますもんね。
知識がない人ほどそういうふうにすべきだからね。
そうそう。やっぱり忘れちゃうっていうのもあるしね。
でもそうすると、こういう攻撃にはどうしたらっていうか、感染しちゃうよね。
そうなんですよね。
怖いよね。
そう、だからどうしたらいいかっていうアドバイスがすごくしづらい。
ちょっと話ずれちゃうかもしれないんですけど、パスワード管理ソフトで、
OTP、ワンタイムパスワードを記録させる機能ってあるじゃないですか。
ありますね。
TOTP?
あれをやってます?
誰が?
例えば辻さんであるとか。
僕らがってことね。僕は自分のことで言うと、そこは分けてます。
やっぱり。
それやっちゃうともう最後の取り出が本当なくなっちゃうので。
そこは一つヒントになるかなとは思ったんですよね。
確かにね。
それは大事かもね。
二段階とか多要素の認証がないサービスではどうしてもないけど。
超重要なサービスって大体あるじゃないですか。
そういうサービスがちゃんとあって、僕らはそういうのは大体有効にして使ってるけど、
1:09:02
そういう場合にそのワンタイムパスワードのシードの情報というかシークレットの情報も
同じサービスに預けることをしない方がいいよねと。そういうことね。
確かに。
でもそれはあれだよね。
僕らはというか、そこを分けようという意識が向くけど、
普通はそれ一緒に管理できた方が便利だよねと思って
パスワード管理のツールもそういう機能を提供してるわけじゃない?
一緒に入力してくれますもんね、それをオンにして。
だってほら僕ら使ってるワンパスワードもラストパスもそういう機能持ってるじゃん。
あるんですよ。ついつい入れちゃいたくなるんですよね。
わかる。
使えって言われてるじゃない。
あえてそれを使わずに別のアプリとか別のサービスを使うっていうのはちょっと手間だもんね。
でもそういう時にそれが有効ですよと。
はい、かなと。
分けるってことね。
確かに確かにそれをすっかり忘れてたわ。重要なポイントだね、それはね。
確かにね。ワンパスワードも多分僕らが使い始めた頃ってその機能なかったんですよね、最初ね。
ラストパスもそうだよ、後から加わったんだもん。
そうで後から加わった時にこれええんかって思ったもん。
ちょっとね不安になるよね。
これ登録していいのかあかんのかどっちなんだいって思いましたもんね。
だってねその別々であるべきその認証手段を一箇所に預けちゃうってことだもんね。
そうなんですよね。
ちょっと矛盾してるよね。
そうなんですよね、あれみたいな。
利便性っちゃ利便性なんですけど、そこやられたら死ぬっていうことなんですからね。
確かにね。ちょっと考えすぎって言われればそうかもしれないし、利便性が大きく低下するって言われればその通りだけど、こういう事件を実際に見ちゃうと最後の取り出でそこは分けてた方がいいかもっていう根拠にはなりそうだな。
そうですね。
確かに。
それは一つかもしれない。
でもそれぐらいしかないな。
それぐらいしかないね。
結論それぐらいしかない。
ちょっと難しいなと思いましたね、こういうのは本当。
どうする?ワンパスワードが同じ攻撃手段で受けたらさ。
まずね、びっくりする。
びっくりするんですか?
びっくりするところからです。
これどうしよう。
絶対ないとは言い切れないよ、これ。
カンゴさんはワンパスワードでしたっけ?
はい、私ワンパスワードです。
ローカル型?
はい、スタンドアロン運用してます私。
そうですね、ボールとか持ってかれたらもうみたいな。
はい、そうですね。
ワンパスワードって自動更新?
自動更新ですね。あれ違ったかな?
まあそういう仕組みあるよね、当然。
僕はつい最近クラウド型に変えましたんで。
1:12:03
言ってましたよね、そんなこと。
自動更新の仕組みでマルウェア降ってきたらどうするよ。
どうしよう、実はもうね、みたいな話だったら大変ですからね。
どうしようというか多分気づかないんでしょうね、それは。
気づけないし多分。
気づかないですよね、これは。
いやー厳しいなあ。
自分たちではどうしようもない部分というかね、
更新ファイルを守っているところに依存してしまいますね、これだと。
まあだから完全はないけどさ、
だから一般のその利用者代わりにできることっていうのは、
できるだけセキュリティの高いというか、
そういう侵害とかを起こさなそうなところを選ぶくらいしかないよね。
分かんないけどね。
どれが本当に問題がないかとかって分かんないけどさ。
そこはなかなか難しいですけどね。
難しいよね。
なんか不便にする方法しか対策がないんですよね。
もうなんかこんなこと言い出したらさ、
前にパスワードをどう管理するかみたいなこととかってよく聞かれたりするじゃないですか、
インタビューとかでも。
それで例えばパスワード管理ソフトを使うけど、
パスワード管理ソフトを誰もが使えるわけじゃないと、
お金かけたくないって人もいれば、
いやいやもうアンチウイルスとかもいろいろやってるのに、
またソフト買うの?みたいなことを言う人もいるから、
その場合は紙にメモしましょうっていうのをお勧めするんですけど、
その時に紙に全部書かないっていうふうなことを言うんですよね、僕。
落とした時に大丈夫、誰かに見える時にはそのまま使えないように、
例えば前後に何か一文字ずつ出すとか、
っていうのをパスワード管理ソフトにでもやるんかって。
パスワード管理ソフトにも全部は登録しないみたいな。
それも違う気がすんねんなっていうね。
今回の事件とか見てて、
意外と紙最強じゃね?とか思っちゃったりするよね。
本当、紙が一番。
アナログで管理するのが最強じゃないかとか、
ちょっと最近思い始めてきたんだけど。
ワンパスワードじゃなくて紙パスワードかもしれないですね。
本当にね、それがもしかしたらひょっとしたら最強じゃないかなとか。
マジですか、アナログ帳作んなきゃいけないじゃないですか。
そうだよ、どうする?そういう世界が来たら。
ありえるよな、それ。
そういう疑心暗鬼に駆られて、便利なツールだけど使いたくないからって思っちゃう人出ても不思議はないよ。
それは何にでもありますよね。
ちょっとね、どうすんだみたいな空気に最後になって、
自分が最後に喋るべきじゃなかったなっていう。
じゃあそろそろ次行きましょうかねみたいな感じで流せれたらよかったけど、
僕最後になって思ったから。
しんみりしちゃったじゃないですか。
決して得意な事例ってわけでもないっていうか、
こういうパスワード管理のツールが狙われるってのは差もありなんて感じだし、
1:15:04
サプライチェーン攻撃は本当に最近よく聞く攻撃パターンだし、
考えておいた方がいいよね、身近な攻撃として。
こういうのがもし自分のところに来た時にはどうなるかっていう、
じゃあこうしようか、自分はこういう運用に変えようかっていうのは、
ちょっと考え直した方がいいきっかけだと思います。
自分が使っている便利なツールの負の側面というか、
リスクもやっぱりちゃんと考えなきゃなって改めて思ったけど。
そうですね。
ということで、ちょっと今日は長めになってしまってますけども、
さらっと最後におすすめのあれを紹介しようかなと思っております。
今日は映画でも音楽でも食べ物でもございません。
僕が最近ちょっと買ったものがあったんですが、
それを使ってみてよかったぞというお話です。
エアタグですか?
違うよ。
エアタグ買ってよかったなってことは、
もう僕すでに1回無くしておんのかって話です。
この短期間で。
家も出てへんのに。
今日はですね、着圧ソックスよかったぞと。
なんですかそれは?
ピタッとした足に履くやつですよ。
なんかあれ?むくびが取れるとかそういうやつ?
そうそうそうそう。
俺は自分では履いたことないけど、
女性向けのストッキングとかでもそういうのあったりするんじゃない?
なんか見たことある気がする。
寝る時にCMとかでやってるやつとかだと、
女性が寝る時に履いといて朝起きたらスッキリみたいなCMとかがされてたりとか。
よくそういうの見かけたことあるけど、
なんかそういうやつ?
僕最近、散歩をよくするっていう。
暖かくなってきたし、さらにするようになったっていうのがあって。
いわゆる運動じゃないですか。
1時間以上歩くんで僕。
それで足が疲れるっていうのもあるし、
逆に運動せえへんかったらせえへんかったので、
足ダルになってきたりするじゃないですか。
どっちにしてもダルになるやん。
なんかないの?ソリューションって思った時に、
そういえばCMで見たことあるやつ試してみようかなって。
あんなのほんまに効くんかいなって思いながら買ってみたんですよ、なんとなく。
そしたら履いた瞬間ちょっとすごい気持ちいいなこれっていう感じで。
圧迫される感じがするわけ?
そうそう。キュッとなってますわ。今もつけてますけども。
あまりずっとつけっぱなしっていうのはあんまり良くないんでね。
血行が悪くなったりするのもあるんで。
たまに脱いでやり、履いたりみたいなことしてるんですけど。
買った日は寝る前に履いてみたんですよ。
結構いい感じかもと思って。
朝起きた時の感じが全然違かったんですよね。
1:18:00
だから座り作業とか多くて運動不足でむくんだりとかっていうのもあるし、
座りっぱなしって結構むくみますから、
こういうものも試してみるのもいいんじゃないかなと。
僕は結構自分に合ってましたね。
ちょっと履いてる姿が違和感ありますけどね、自分は。
デザイン的にってこと?
あんまり格好の良いものではないなみたいな。
機能性重視ってことか。
家で使うもんなんで誰かに見せるわけではないですから。
運動とかしない時に履くものなの?
散歩とかする時に履くものじゃなくて。
僕はどっちでもいいらしいんですけど、
僕はどっちかというと家でリラックスの時に使ってます。
もしかしたら歩く時に使うと、
帰ってきた時にもそもそも足が疲れてないという状況にもなるのかもしれないですけどね。
そういうひと工夫で体の疲れとか取れるんだったらいいかもしれないね。
僕今まではこれじゃなくて、
足の裏に足の疲れを取るやつとかは貼ったりして寝てたんですけど。
旅行先とかに持って行ってました。
旅行って僕の場合はポケモンGOばっかりでしたから。
足が絶対に疲れるのが分かっているので、
それはかなり持って行ってましたけど。
あれはよく歩くゲームだもんね。
歩いてなんぼのゲームですからね。
なのでちょっと新しいソリューションを使ってみたということで、
僕は良かったですね。
辻さんもそろそろ無理の効かないお年頃。
そうなんですよ。
いろいろ物で解決するしか追いつかへんみたいなね。
だんだんそうなってくるよね。
今はなかなか快適ですとお勧め。
快適、快適、お勧め。
具体的にここの方が良いとか色んな種類があるの?
知らないけど。
いっぱいあるんですよ、調べると。
サイズとかもいろいろありますからね。
男性用、女性用とかもあるんで。
女性用ってサイズ感的なやつですね。
あとは寝る時用と普段用みたいなのもあるみたいですね。
硬さが違うっぽい。
寝る時の方は若干緩めみたいですね。
長い時間になるから。
寝る時って寝てる間ずっとつけてるんだもんね。
そういうのは自分に合ったものをつけてみるってことですかね。
ちょっと試してみたくなったな。
一回やってみるとそんなにめちゃめちゃ高価なものでもないですから。
そうなんだ。
やってみると良いんじゃないでしょうかということで紹介させていただきました。
今日結構充実してましたね。
そうですね、だいぶ良い感じに。
いつもより長めな気がする。
という感じで時間もかなり良い感じになってしまったので。
今週はここまでです。
また来週。バイバイ。
バイバイ。
01:20:58

Comments

Scroll