第21回あけおめ！ランサム！DDoS！艦Collection #1 スペシャル！

00:00

第21回あけおめ！ランサム！DDoS！

03:01

第21回あけおめ！ランサム！DDoS！

06:01

第21回あけおめ！ランサム！DDoS！

09:01

第21回あけおめ！ランサム！DDoS！

12:01

第21回あけおめ！ランサム！DDoS！

第22回あけおめ！ランサム！DDoS！

第248回あけおめ、最大カードあれー

第2 koşb

そうね。2015年末からもうなんだかんだで3年やってるからね。そのうちにだんだんこなれてきたのかもしれないね。

それでそういう結果が出て、そういう傾向が生まれたのかなと。

それは確かに面白いですね。

非常に興味深いなっていうところと、あとは前々回の時にねぎさんも言ってたんですけど、

侵入してから普通のバラ撒きの、今だったらガンクラブみたいな空いたバラ撒きのランサムとは違って、

ちょっとセキュリティ診断やってましたレベルとかではできないようなラテラルムーブメントをちゃんとやってて、

ちゃんとした攻撃をしてきている。こなれてるなっていうようなところがあったんですけど、それもちょっと触れられてて。

いろんな基礎上なんで、いろんな多くの事件を捜査してるわけじゃないですか。

そこで書かれてあったのが、やっぱこの2015年の末ぐらいから、12月ぐらいからでしたっけこれ。

時間と回数を重ねるごとにやっぱ攻撃がどんどん迅速になってきていて、

2018年ぐらいまでには被害者のネットワークに侵入して、数時間以内にもう彼らがやろうと思っていることの展開ができるようになってきているっていうのがあって、

すごいなと思って、ちょっとずつやっぱり上手くなっていくっていうか、

ネットワークってそれぞれやっぱりバックアップがどこにあるとか違うけど、

いろんなバックアップがここに起きがちとか、その辺の勘とかって、

ペネトレーションをずっと自分がやってた中で勘とかあるじゃないですか。

これこうやればいけんじゃないかとか、この傾向やったらこのパスワードでいけんじゃないかとかっていうのと同じような感じで、

こいつらも成長してたんやなっていうのを。

経験をどんどん積んでる。

そうそうそうそう。数時間ってすごいですよね。バックアップまで決めて、見つけて、展開していくっていうのはすごいなって。

手元にネットワーク図とかはない状態ですね。

ない状態でしょうね。

ゼロベースでですからね、基本的に。

同じ攻撃者、グループがやってると仮定して、同じ人たちがずっと続けてるとすると経験値が上がってるような。

上がっていってるのか、もしくは狙ってる業界が病院だとか薬所ってのがあったから、

構築してる業者みたいなところにも偏りとかもしかしたらあったのかもしれないですけど。

あとは同じような感じのシステム構成とかで、1回2回最初にそういう業種に侵入すると、

次も同じような感じでいけるのかもしれない。

つかめてくるのかもしれないですね。

ちょっと俺も病院とかあまり詳しく知らないんだけど、構成とか。

15:02

そうですね、僕も病院はそんなに経験ないですけど、いろんな業種、今まで僕も過去に、

新卒の頃からずっとペネトリやってたんですけど、

このメーカーのサーバーとか、このベンダーがSIに入っているところっていうのは、

これ系のサーバーはこのパスワードで大体いけるとかあるんですよ。

スキャンしてると大体どんな対象かわかるじゃないですか。

このポートが開いてて、このアプリが入っているってことはこの業者が導入しているサーバーやから、

それには必ずバックアップ用のこのユーザーがおるとかっていうのがあるんで、

そういった傾向とかも学んでいってるんやろうなと思いましたね。

かなりの活動やってますもんね。

サムサムでやられたアメリカ合衆国全土のやつが何件やられたかみたいな地図とかも出されたじゃないですか。

あれで白い色がついてる州はやられてない州なんです。

ゼロ県の州なんですけど、その州は1,2,3,5つぐらいしかないんですよね。

あとは何かしらの業種でやられてるっていうのがあるんで、

そんだけ経験値が積まれててもおかしくないなと。

だって確か基礎上に200以上の組織がやられてるって書いてあったよね。

実際名前挙がってたのは十何歩だったけどさ、すごいよね。

そうなんですよね。

どのくらいの大きなグループがやったのか知らないけど、

基礎上に上がってたのは2人だからね、攻撃者。

こういう侵入した後どういうふうにやるかみたいなのとかも、

マニュアルとして出てきたりするのかなとかね。

マニュアルとセットで販売するようなランサムウェアーザーサービスみたいなものも

出てくるかもしれないなと思って。

自動化するツールだけじゃなくてね。

そういうノウハウとかこういうやり方とかツールとか、

あるいはさっき言ったシステムのどこを見ればいいかとかさ、

そういうのって売れそうだよね。

標的型ランサム攻撃チートシートみたいなやつとか。

結構セキュリティのペンテスター向けとかもあるじゃないですか。

そういうペンテストチートシートみたいなやつとか。

僕の会社でやってる診断とかも、僕が作ったマインドマップとかもあるんですけど、

ほぼこのサービスがあったらこのコマンドコピペでやれば

だいたい誰でもある程度できるっていうのを作ってるんで、

そういったものもそれから出てくるかもしれないなと思って。

あるかもしれないしね。

そうですね。

なるほど。

そのあたりが読んでて。

勉強になったっていう。

そういうのをなかなか。

考えてればこうだろうなと思ってたけど、

実際裏が取れるとやっぱり調べてた側としては嬉しい気持ちもあるし、

やっぱりこうだったっていうのを広めていかないといけないなっていう。

電源切りましょうとかってあんまセキュリティ対策として言われないじゃないですか。

でもやろうと思えばそんな難しいことでもないと思うんですよね。

資産管理のソフトとか入ってれば切るとか。

ただ残念というかちょっとあれなのは、

端末の電源が入ってなかったらリモートからアクセスできなくなるとかっていう問題もあるから、

18:00

一概に全部切られへんなんとか。

サーバーも落とせないですしね。

最近どこからでもアクセスできるように開けっぱなしにしておくとかないわけじゃないし。

一回自分の席のコンピューター踏まないといけないとかでもあったりしますよね。

場所によっていろいろ構成違うと思うけどね。

それにしても最小限にするっていうのは全部切る必要ないので、

最小限切ることのできるものは切っとくとかっていう対策も有効かなっていうふうには思ったという話でした。

基礎上って例えば司法省とかが、

私見た感じだとアウトラインというかエグゼクティブサマリーというか

サマライズした文章があって基礎上はこれみたいな感じの掲示の仕方があると思うことがあって。

私はだいたいこんな感じだったって、

サマリーは明当するんですけど、基礎上まで明当ってことって本当に少なくて

よっぽど気になるやつとかだいぶ前にあったソニーピクチャーズのやつとか

そういうやつ自分が実際調べてたりしたやつは時間をちょっと取ってみたりするんですけど、結構しんどくないですか。

見方っていうのはどうしてたのかなっていうのは結構実際見ようねって話になった時もこれかなと思って。

僕はこの3人の中で一番英語力がないと思うんですよ。

なので翻訳ソフトとかも使いながらなんですけど、あとは自分の英語の勉強も兼ねてやってるんで、

できるだけ頑張って読むようにはしているんですけど、別にこういう風に読めば効率がいいとかっていうのは今は特にない。

今は頑張って基本は読んでるっていう感じで。

そうですね、頑張って読んでるっていうのとあとは一つだけはTIPSっていうほどじゃないんですけど、

基礎上とかって今回とかだったらjustice.govに挙げられてるんですけど、

違うところにも挙げられていて、ドキュメントクラウドっていうサイトがあるんですよね。

そこってアクセスするとPDFが挙げられてるんですけど、タブが3つに分かれてるんですよ。

ドキュメントこれも一番初めにオリジナルの文章が見れるタブなんですね。

で、ページ数っていうのがパワーポイントとかでよくスライド一覧バーって出すじゃないですか。

あれが出てくるページ。もう一個がテキストっていうのがあるんですよ。

テキストのやつはテキストファイルとして抽出してくれてるんで、

書かれてる内容ってことですね。

翻訳に書けやすい。

それはだいぶ使いやすいデータですね。

ただその文字が崩れたりとか、どこが開業なのかとか、どこが区切りなのかパッと見分からないので、

だいたい2画面で見比べながら。

一緒に見ながらってことですね。

文章が意味が分からなかったら、区切りが分からなかったらオリジナルの方を見てっていう風なことをしている感じかな。

あとはChromeで見てるんでWeblioのプラグイン、拡張を入れて、

コントロールを押すと単語の上でコントロールを押せばその意味がポップアップで出てくるっていうのがあるんで、

その辺で効率化というか楽してるっていうのはあるかな。

21:00

Macの場合はそのままOSの機能でクリックアップできるくらいの単語とかね。

あとドキュメントクラウドはアメリカのメディアがよく使っているサービスなんだよね。

あ、そうなんですね。

ニューヨークタイムズとかワシントンホストとかロサンゼルスタイムズとか、

あの辺が司法省のリリース文とかにノーテーションしてコメント書いたりとかして、

自社の記事に引用する時に使っている。

じゃあ海外の記事読んでて起訴状が出てたっていう風なやつの記事読んでると、

インラインフレームみたいな感じで埋め込まれてるのってそれが理由なんですか?

そうそうそう。

あ、そういう理由だったんですね。

ここの部分注目みたいなのもさ、

あ、色付いてるんですよね。

あれはメディアの記者が書いてる。

そういう意味なんですね。

マーカーみたいなやつですよね。

それも確かに読みやすいよね。

大体それで僕はちょこちょこ読んでるっていう感じかな。

あと記事は起訴状で覚える。

僕も自分の興味あるやつだけたまに読むんだけど、

ページが長いやつが多いんだけど、半分ぐらいは背景説明とかがある。

あ、じゃあすっ飛ばしてもいいんじゃない?

裁判官向けの資料なんで、インターネットとかビットコインとか、

そのレベルも書いてあるんだ。

そのレベルも全部説明が書いてあるのね。

で、背景がとにかく前段の説明が長いのがあったらしいんで、

そこ全部すっ飛ばして本論だけちょっと拾い読みするとかすれば、

そんなに実は中にそんなにないとかいうのもあるから。

結構何十ページとかになってて、

心中とか平気で覚えてきますよね。

結構多いじゃないですか。

だから多少慣れてくると、自分の興味ある部分だけ拾い読みってできるように。

どこにポイントを置いて読めば大体ざっくりわかるかっていう手口とか書いてある。

知りたいのはどういうタイムラインで、

起訴された人がどういうことをしたかっていう詳細が知りたいわけじゃないですか。

その前段とか、起訴された後の話とかってのはもうどうでもいいんで。

結構名指しで海外のハッカーとかを起訴してるやつとかって、

本当前のほうが長いですもんね。

背景が多いから。

あと全部の起訴状にあんのかどうかまでわかんないんですけど、

オバートアクツって読むんですかこれ。

わかんないけど何それ。

オベート、オバート、何て読む?

オ・ヴィ・イ・ア・ル・ティ・アクツって書いてあるところは、

そのタイムラインがあって書いてあったんですよ。

事実としてわかっていることみたいな感じのところがあったんで、

この辺ね焦点当ててみるとか日付がいっぱい書いてあるところで見るとか、

この辺全部タイムラインなんですよ。

何日ぐらいに。

私このインデントがびっくりするのめっちゃ気持ち悪いんですよ見てて。

これはオリジナルがこうです。

ちょっとやっぱり読み込んでいかないと、

ここらへんの読むスピードが上がらないってことですね。

そうですね。

それは何でもそうですからね。

当たりをつける勘どころみたいな。

それは食わず嫌いせずに、

特に新聞に載ったレベルのものに関しては目を通しておくっていうのは大事。

24:01

さっきカモさんが言った、

自分が調べて興味持ってやってたことは後から読んでみるとかね。

それ読むときのモチベーションもありますからね。

興味があったら。

なかなかさすがに全部はね。

全部はちょっと。

だいたいオリジナルを開いて、

テキストを開いて、

翻訳するためのブラウザーと、

あとメモを取るテキストに。

見てて気になるポイントとか。

こういう感じ。

エバーノートに貼り付けてあって、

タイムラインこんな感じでしたとか、

気になったところ。

それブログに書いてくださいよ。

そうだよ。

なんか最近ちょっといいこと言ったら、

ブログになって書かへんねみたいなやつ?

やつですね。

これちょっとどっかで発表したいなと思ってたんですけどね。

公演のデパ?

ライトニングトークとかで。

公演のネタで喋りますよ。

標的型ランサムはよく知ってるから。

そうですね。

軽めのネタとしてこういうの持って。

基礎情報を読もうっていうライトニングトーク。

いいかもね。

いいかなと思ったんですけど。

っていう話ですね。

勉強になりました。

僕もめっちゃ勉強になりました。

ランサムウェアっていうことはついでに一緒に。

ついでに。

今サムサムっていうターゲッテッド標的型のランサムウェアの話が出ましたけど、

年末にリュークランサムウェアっていうちょっと別の、

これもでもターゲッテッドのやつだよね?

そうですね。

なんかニュースに出てましたけど、

国内ではあんまり出てないかな?

被害受けたのがアメリカだからね。

まあでも日本由来の名前なんですけどね。

そうそうそう。

リュークって。

シーマミの、デスノートのシーマミの名前なんですけど。

僕全然そういうの見ないから、

へーって後で知ったみたいな。

あれ本当に由来リュークなんですか?

分かんないです。

分かんない?

そう言われてるだけ。

分かんないけど、他にでも由来となるようなものはないから、

そういうことですよね。

多分攻撃者がそう思って。

あのランサムノートにリュークって名前ついてるからね。

そうですね。

まあ多分つけたんだろうけど、

まあそれはともかくリュークのランサムウェアが、

アメリカの新聞とか大手新聞社とかの出版のところが

なんかのきなみやられてしまって。

やられたっていう。

大きなニュースに。

それ年末だっけ?

12月末くらいだったかな?

1月1日くらいとかにニュースが出ましたね。

年明けくらいか。

ニュースは。

そうだっけ?

僕が見たのはそういうくらい。

年末ですね。

年末だよね確かに。

年末ですね。

ピオログっていうやつに。

ピオログって。

おーすごい。

ちょっとあれどうやったかなって確認するのに引き裂いてたんですけどね。

ピオログってやつにそういうの載ってるみたいです。

本当に?

確か年末だったよね。

そうですね。

年末の本当に年の瀬みたいな時に。

前々から割とこのポッドキャストとかセミナーとかでも表役型のランサムの話ってしてたけどさ。

そうですね。

急にそのサムサムの基礎の話もそうだし、リュウ君の話もそうだけど、

急に一般のニュースの話題に乗ってきたっていうか、気が。

来たんじゃないですかこれ。

するよね。

ビッグウェブは。

ちょっとびっくり。

27:00

ランサム屋の被害の内容っていうか様子はサムサムと似てるんで省略するけど、

ちょっと面白かったのはさ、誰が攻撃者かっていう。

アトリビューション的な。

的な話が割と混乱しててっていうか、報道も混乱していて。

こうじゃないかって言われたり、実はそうじゃなくてとかっていうニュースが出てますね。

そういうのが一般のメディアにも結構出ていて、ちょっと面白いなと思ってさ。

あれ元々リュウ君って、去年から?

あれ去年だっけ?

始めたのは去年ぐらいだよね。

夏ぐらいでしたっけ?

去年の夏ぐらいにチェックポイントの研究者が割と詳しいブログを書いていて、

それで結構注目されたんだけど、

その時には元々北朝鮮の攻撃者のグループが使っていたマルウェアと、

コードのレベルで告示しているので、

関連があるかもねと、ないかもしれないと。

なので元々北朝鮮の人たちが使っていたコードを買うなり、

パクるなり、盗むなり、分からないけど何かして、

それを改変してリュウ君にしたのかもしれないし、

同じ攻撃者が変更して使っているのかもしれないし、

そこは分からないよってことを書いてたんだけど、

とにかくコードが似ているというブログを書いていて、

それが参照されてしまって、

北朝鮮が使っていたマルウェアがあります。

それとリュウ君が似ています。

だからリュウ君も北朝鮮っていう、変なサンダーの音でね。

伝言ゲームの。

北朝鮮がやった!みたいなニュースがバーっと出たんだけど、

でもその後、たくさんセキュリティのベンダーの。

否定というか特定は現時点では早急という形のコメント、レポートが結構出ましたね。

たくさん出たんだけど、それらを総合すると、

もともとチェックポイントも言ってたんだけど、

単にもともとのオリジナルのコードを買ったかなんかした、

別のロシアって言ってる人もいるんだけど、

ヨーロッパ圏とかの犯罪者グループがリュウ君の背後にいるんじゃないか、

っていう主張の方が今は多い。

だけどそれはだって正解とは限らないからね。

アトリベーションって時々この話題にもするけどさ、難しいなと思って。

結局分かんない。

分かんない。難しい。

分かんないけど、やることに別に意味がないわけじゃないんだけど、

確定的に言うことって本当に難しいなって気がした。

今回はもともとのチェックポイントの研究は割としっかり調べてたんで、

ちゃんとどっちのカーセルもあるよってことを言っているんだけども、

でも北朝鮮というところだけが割とクローズアップされちゃって、

言われちゃうとかね。

慌てて他のメンバーが否定するとかさ、

なんかちょっと考案してるなっていう気が。

だって最終的にさっきの起訴状の話じゃないですけど、

30:00

起訴されたところで本当に総括分かんないですからね、最終的に。

そうだね。

でもいずれにせよこのリュウ君も、

サトゥー・サムサムじゃないと同じというか、

結構被害が広がってて、

なおかつこれ面白いのは、

これどっかで喋ったっけ?

前その前段に別のマルウェアが観戦して、

リュウ君を連れてくるんだよね。

そういう形で。

最初はフィッシングのメールとかそういうので、

既存のマルウェアに観戦して、

呼ばれてくる別のマルウェアとして、

このリュウ君が呼ばれてきて、

ランサムに観戦しちゃうんだよね。

オニもそんな感じでしたっけ?

そうだっけ?

日本でも観戦あったよね。

確かそんなやつやった気がする。

何かラットみたいなのが入ってきて、

そこから次オニ展開していく感じじゃなかったっけ?

そこ調べてないですけど、

展開するとしたら、

特化したマルウェアの方が得意ですからね。

ランサム屋自体にスケールがあるように。

ベンダーのレポートとかを見ると、

数百万ドル単位で儲けてる。

サムサムも数百万ドル単位で儲けてるから、

600万ドルくらいってことですね。

結構いい金になるよね。

攻撃者だから、

こうしてやってるのかどうかわからないけど、

同じような戦術を使って、

ターゲットを狙って、

ランサム屋に観戦させてっていうのは、

しばらく続きそうな感じがしますね。

一時期ちょっと落ち着いて、

コインマイニング系とかも減ってきてるみたいなことと、

仮想通貨の価値が下がってるからみたいな、

そういう感があるって話もありましたけど、

下がってても、その時その時に金額を決めればいいだけですからね。

ゼロになったわけじゃないから、価値が。

だからアンゴスさんとかはまだまだ注目は、

まだまだ今のところあるから、

その間は無くならないんじゃないかなと思って。

そうですね。

日本で事例があんまり出てこないっていうのはね。

無いわけじゃないんだけどね。公開されてるのがちょっと少ない。

かなり少ないし、種類とかもほぼ言及ないんで。

サムサムの話もそうですけど、

基礎情報みたいなので詳しい情報が出てきてないっていうのが、

ちょっと心配なんですよね。

ドンとやられて、情報が全然共有されてないから、

こんなんあんのかみたいな。

あんまり知られてなくないですか?

標的型ランサム自体が。

セミナーでこういうパターンも喋ってるけど、

僕自分でセミナーで講演する時にも、

結構このデータはよく取り上げて喋ってるんだけど、

毎回結構新鮮な反応っていうかさ、

こんなの知りませんでしたみたいな。

もう少しこういう脅威があるよってことを知ってもらった上で、

対策を考えてもらわないと。

すぐに別に日本の会社が狙われるとは思わないけど、

33:02

でも狙われてる会社がゼロってわけじゃないから。

知っておかないと対策できないからね。

ちょっとあまりにも、

攻撃力やインパクトがデカい割には、

ちょっと共有されてない。

知られてないからね。

せめてニュース自体もっと取り上げてもいいんじゃないかなと思う。

一般の?

やっぱり国内で被害になるとなかなか取り上げにくいよね。

ピンとこないっていうのもあるでしょうし、

記事も読んでもらわないといけないというのもあるからかもしれないですけど、

ちょっと心配かな。

そんなのも年末ありましたね。

さて、こんな感じで続いて、

他は何が気になりましたか?

つゆさんがこれ気になったって言ったけど、

ロシア外務省も、

日本を目指して、日本だけじゃないけど、

あれちょっと僕詳しく読んでないけどさ、

僕もニュースぐらいしかそんなに読んでない。

ロシア外務省が、

自分たちが昨年攻撃をこんだけ受けましたみたいなのを、

報道発表で言ったんだよね。

日本とかアメリカとかいろんな国から、

ロシアはどこから攻撃を受けていると。

14カ国ですね。

ロシアの外務省のウェブサイトに受けた攻撃の件数。

外務省のって話。

2018年の1月から9月までに、

7700万回出た件数。

のサイバー攻撃を受けたっていう、

日本の筆頭人っていう報道もあるんですけど。

一般論として、

国がどこそこの他の国から攻撃を受けたって主張するっていうのは、

どの国もやっていて、

アメリカはロシアから受けたとか、中国から受けたとかって言ってるし、

アメリカや中国は我々こそが被害者である。

どの国も主張するから、

そういう主張として見ればまたよくあるやつねっていう感じなんだけど、

今回ちょっと変わってるっていうのが、

日本を筆頭にっていうか、

日本が最初に鳴らす。

特に鳴らしの順位については言及なかったみたいなんですけど、

なんで日本がトップになってるかわかんないですけど。

それは記事を書いた人の側の話?

外務省の公式の報道発表の文章の中でも、

日本がトップに掲げてるんですけど、

順位はなぜかっていうのは特に説明がない。

IPAの重大脅威みたいな感じってこと?

例えがよくないな。

コメントしにくい。

1位が別に一番気をつけなあかんやつ、

ちゃうやろこれみたいな。

全部気をつけようね。

順位に何の意味があったの?

人によるやろっていう。

コメントしにくいから。

申し訳ございません。

とはいっても、ジャパンを最初に持ってきたのは何か理由がある。

何かしらあるんじゃないかなと思うんですけどね。

外務省ということですからね。

あと7700万件だっけ?

どういう根拠か知らないけど、具体的な数を言ってきたっていうのも、

36:03

全く何の根拠もないでデタラメではないっていうことかもしれない。

ただこの7700万件っていうのは何の数字なのかがよくわからない。

前回ちょうど井上室長とその話をお渡ししました。

あれパケットでしたっけ?

単なるダークネットに届いたパケットの数ですと言ってましたよね。

それが貿易回数じゃありませんと。

だからセキュリティイベントの件数なのか、何の件数なのかちょっとわからないですね。

そういうのってよくあるけど、今回のもわからないんだよね。

そうですね。特にこの数字の意味については説明なかったように。

出てないんですか?

同じ中で18年の4月20日、現地の時間なのでもしかしたら1日ぐらいずれあるかもしれないですけど、

その時に大きなDDoS攻撃を受けたと言っているので、

もしかしたらDDoS攻撃のパケットを観測した数かもしれないですけど説明はない。

わかんないんだけど、それを年末だっけ?年始だっけ?

年始だっけ?年始だっけ?

僕はそれを、辻さんがツイートしたのをたまたま見て、

辻さんが情報源なんですね。

情報源じゃないんだけど、辻さんがコメントしたのを、ニュースはいろんなところから流れてきたんだけど、

辻さんがコメントしたのをたまたま見て、ツイッターでね。

これでも何が攻撃の発生物かわかんないよね、みたいなコメントをしてたじゃないか。

その辺が明らかになればいいですね、みたいなことをちょっと違ったかな、そんなポイントをしてた。

今、辻さん自身が見直してる。

件数1月12日なんですけど、これ見てふっと思った。件数も結構多いじゃないですか。

DDoSに関することとかも言及されたりするんで、

IoT機器の踏み台のIPのロケーションが日本も多めに入ってたのかなっていうふうに何となく思ったんですよね。

そもそも向こうが何かを立証してるわけではないから、それ違うように言えるわけでもないので、

件数から判断したりすると、踏み台になってるIoT機器がほとんどだと思うんだと、僕はね。

ただ、それを明らかにする、調査結果、日本からこういうのが来てたとか、他の国がこういう傾向があったとかっていうところ、

外務省なんでそんなこと出す必要ないかもしれないですけど、

そういったものが調査結果を欲しいところかな、こういうふうになさしするんだったらって思ったっていう話です。

もっともだなぁと思ったんだけど、そういう細かいデータは出さないだろうなって思ったんだけど、

僕それにリプライというかツイートを。

引用RTなんかして。

僕は通信会社でさ、そういう通信、攻撃の通信の状況とか見てられたとか、

あとそのハニーポッド、さっきのNICTのダークネットの観測もそうだけど、

39:05

ハニーポッドで今どういう攻撃がとかっていうのを観測してるじゃない。

去年そんな話もちょっとしたんだけど、

IoT機器を狙う攻撃、特に国内を狙う攻撃っていうのが、

去年一昨年か、2017年末から2018年の初めぐらいまではかなり活発で、

あんまりニュースとかでもなってないからみんな知らないんだけど、

一時期は2018年の前半ぐらいまではずっと未来っていうIoTのボットの感染数で、

おそらく日本がずっと世界ナンバーワンだったのよ。

それぐらい感染数が多い時期があって、

4月でしょ、4月だと多分そういう時期にまだ重なってるから、

もしその2,3ヶ月前にIoTからの何か攻撃が日本からね、

ロシアにあったのとしたら別に俺全然驚かないなと思って、

そういう公益発生を受けとして日本があっても全く不自然じゃないという状況があったのに、

今はだいぶ減ってるんだけど、いつまた増えてもおかしくないんで、

そういう仮に今回のIoT機器発のドス攻撃だという前提が何重にもあるけどさ、

前提だとして、そういうのってこれからも全然起こり得るなと思ってさ、

もうちょっとそういう事実を知られた方がいいかなと思って、僕もツイートしたんだけど。

気になったのは、もしそれがそうだったとしても、それも前提の話になっちゃうんですけど、

ここのところやっぱりアメリカが中国を、みたいなやつとかが多いじゃないですか。

APT10に対してとかっていうのがありましたよね。

アメリカが中国のAPT10の人を起訴するっていうのがあったじゃないですか。

国における重要な機密情報を盗んでいた奴らだみたいなことをやっている中で、

このニュースがポンって出ると、もしこれがIoT機器を踏み台にされただけだったとしたら、

同列に扱われてしまうのがちょっと嫌やなと思いましたね。

また全然別じゃないですか、経路が。

同じような情報を狙うような行為とは違いますよと。

例えばその中国、わかんないですけどね、中国なのかどうかわかんないですけど、

そのAPT10と言われる人たちがアメリカの重要機密情報の発見をして盗んだというのに対して

アメリカが起訴しましたっていう風なニュースを聞いていた人が、

このニュースを見た時に、日本もロシアの機密情報を盗もうとしているような動きがあるのか、

みたいな感じになるのはちょっと嫌やなと思いましたね。

元のデータがないからちょっとわかんないけど、できればそういうのは区別したいよね。

区別したい。

この辺の感じても外交カードみたいなところもあるんで、

言うたもん勝ちかな、今の状況とは見てても。

42:04

しかし2018年の4月の攻撃とかさ、あるいは2018年にこんだけとかさ、

わざわざなんて言ったんだろうね、わかんないけど。

いつかは確認してないんですけど、これまでもロシアは被害者だっていうのを

対外的には発表していて、今回は具体的な話をしてやろうということで、

具体的にこの期間でこれくらいの攻撃を受けていて、

この時期のこの攻撃が特にスパイクしていたみたいな話をしたっていうらしいんですよね、経緯としては。

何かでもそれにしてもちょっと滑ってますよね。

だってロシア外務省のウェブサイトっていうのを引き間に出している時点で

滑ってると思うんですよ、話が。

それは日本側の取り上げ方がっていう?

いやいやいや、ロシアの出し方が。

だって外務省のウェブサイトなんて機密情報ないじゃない、基本。

DMZにあるようなものなんですから。

他の攻撃って内部にメール内に何台で入ってくるっていうケースがあるのに、

ウェブサイトはこんだけ攻撃されたから、だからなんなんっていうのがもう、

ウェブサイト出た瞬間に滑ってるなって思ったんですけどね。

公表しやすいところを公表したんだろうね、多分ね。

その同列感もない?他のところ。

ロシアからその機密情報盗まれてるんだってアメリカが言ったに対して

これをかぶせてきたんで、あったとしたらちょっと滑ってるなって思いました。

でも一般のニュースとか、日本限らないけど、出る時には

日本やその他の国からロシアに攻撃って、多分そこだけ言われるからさ、

そういう効果を狙ったんじゃないのかな?

このニュースのタイトルも日本からサイバー攻撃、

ロシア外務省が名指しっていうやつが日経ビジネスのタイトル。

しょうがないけどね、タイトルにするにはどうしてもそう縮まるからね。

しょうがないけど、ちょっと違うなって感じはするよね。

何でもかんでも一緒にするのがちょっとなって。

見出しにサイバー攻撃って入ってたら、まず注意っていうのは最近の。

めちゃめちゃデカめのインディケーター来ましたね。

サイバー攻撃って丸まっちゃってるんで表現が。

サイバー攻撃って本当にそれぞれ、さっきついさんが話したようにそれぞれじゃないですか。

本当に情報を盗むものもあれば、サービス停止をやってドス攻撃でやったり、

それこそ本当に行ってしまえばちょっとファイルを置いただけとかっていうのも

人によってはサイバー攻撃って言うじゃないですか。

だからサイバー攻撃っていうのは見出しに入った時はまず注意かなっていうのは。

どんなものかとまず疑って方って言った方がいい。

人によって捉え方が大きく変わっちゃうポイントの1つが数字と同じなのかもしれないですね。

タイトルだけで判断しちゃダメ。

見出しに反応してる人が多い印象を私見ていて思ったので。

どんな攻撃なのかっていうこともそうでしょうし、

どういったところをターゲットにした攻撃なのかっていうのも大事ですね。

サイバー攻撃って言葉自体が使う人によって意味も全然違ったりしますしね。

人によってはサイバー攻撃とサイバー犯罪を分ける人たちももちろんいるじゃないですか。

確かにそれは言う通りかもしれないですね。

どういう文脈で話してるかによってだいぶ違うわけですね。

45:03

ちょっとこれ気になった。

今年入って一番初めに気になったニュースですね。

最初に結構出てきたニュースですからね。

なんじゃこれはと思って言うようになった。

そうかって滑ってるなと思うんですけど。

今ちょうどドス攻撃かもって話があったので、ついでに

ドス繋がりですか。

カンノさんがブログにまとめてましたけど、ちょっとその話しましょうか。

そうですね。これも今年入ってからの話なんですけど、

私結構ドス攻撃の事例とか、外見から分かる範囲で追いかけるっていうのは結構やっているんですが、

外見からってのは、実際にドス使うかどうか分からないけど、

ドス使いじゃないんで。

サービスが停止してるっぽいとか。

使えないとか、そういうレベルでの追いかけ方をしてるんですけど、

今年入ってからとあるゲームサービスが繋がらないっていうふうに頻繁にツイッターであるとか、

SNSに投稿されているものがあって、

何かって言うと、DMMとカドカが運営されている艦隊コレクションっていう、

結構有名な、何年前なのかな。結構経つと思うんですけど。

これ結構人気なんだよね。

すごい人気でやってる人多いんですけど、

そのサービスで、だいたい今月の9日、10日くらいから、

使っているユーザーが繋がらない繋がらないっていうふうに投稿しているのが増えていて、

実際、艦隊コレクション略して艦コレって言うんですけど、

艦コレの公式のアカウントでも、見ていてちょっと笑っちゃう、申し訳ないんですけど、

ロールプレイしてるんですよ。艦隊コレクションの公式のアカウントのスタッフの方が。

ロールプレイ?

ロールプレイ。艦隊コレクションなので、ちょっと私も表現が難しいんですけども、

戦闘とか、戦事とか、誘致とか、そういう感じのニュアンス。

ゲーム内で使われるような?

そうですそうです。そういうニュアンスで結構報告するんですよ。

そうですね。

今回ツイッターの公式のアカウントでは、ドス攻撃っていうふうに直接的な表現はほぼほぼしていなくて、

砲は接続攻撃っていう表現がずっとされていらして、

砲は接続攻撃による接続障害が起きているという話を。

漢字多めなんですね。

そうですそうです。漢字多めです。基本漢字多めです。

なので、その攻撃の報告っていうのは結構頻繁にされていて、

私ちょっとツイッターでカウントした漢字だとだいたい50回ぐらい関連するような報告を10回ぐらい結構してます。

しばらくはD-DOSってものによっては外からポットでキャッチして、

実際にドスのターゲットが飛んでいるかどうかっていうのを観測する仕組みってあるじゃないですか。

アドレスを偽装して攻撃している場合には無関係なところに応答が飛んでくるから観測でわかります。

48:03

そういったサービスあるじゃないですか。

D-DOSモンとか結構有名だと思うんですけど、今回もD-DOSモン使って艦隊コレクションの

実際のゲームサーバー20台あるんですけど、台かわからない。IPアドレスでいうと20個あるんですけど、

そのIPアドレス見ていくと実際やっぱり8日9日ぐらいから、

ちょっと私見て見られた範囲では18日ぐらいまで、だいたい10日前後ぐらいの期間で

D-DOSモンでDOSに関連するパケットが飛んでいたっていうのは実際で記録されていたっていうのはわかっていて。

外部の観測でも見えてるから、実際にやっぱり攻撃が起きてるかね。

ちょっと興味深かったのは、公式のアカウントも具体的な攻撃の中身っていうのをツイッターで紹介はしていて、

直接的に艦隊コレクションが稼働しているゲームのサーバーに対して行われているものも当然あるんですけども、

対応している中でキーワードが上流のISPの事業者の協力を得る対策に当たっているという、

なんかちょっとデジャヴ感があるんですよ。

あとは通常のD-DOS攻撃ではない攻撃も含まれておりますみたいな。

ちょっとそのフワッとした表現なんですけど。

通常のD-DOS攻撃?

通常のD-DOS攻撃。

前他のゲームのやつってなかった?

去年10月にファイナルファンタジーが

あったよね。そんな表現しなかったっけ?

結構そういう表現を使っていて、

本当に出ている情報ってそのぐらいのレベルなので、これ以上の細かい話は私知らないんですけども、

いわゆる単純な普通にD-DOS攻撃をドドドッと打っておしまいっていう感じではなくて、

結構必要にサービスを落とすためにあちらこちらに手を広げていたんだなっていう、

そういう印象をいろんな情報から見ていくと思ったというところで、

今はユーザーの方の繋がらない方向が減ったというかほぼ見かけないので、

サービスレベルとしては平時にいろいろな対策が構想したと思うんですけども、

近い状態に落ち着いたのかなと思うんですけども、

本当に10日前後艦隊コレクションに繋がらないという風に結構いろいろな方が投稿されていたので、

興味深い事例というか、もっと詳しい情報を知りたいなと個人的には思う事例ではあるんですよね。

これ公式が50回くらいいろいろ報告しているという話だけど、

その10日くらいの間というのは、

断続的に例えば繋がりにくかったりとか、

サービスにアクセスできなかったりというのもあれば、

何か繋がる時もあったりとかそういうのがずっと続いているって事なんだよね。

みんなネコッタネコッタって言ってるんですよ。

51:00

ネコル?

ネコルって言うんですよ。

艦隊コレクションでサーバーのアクセス状況がよろしくなくて、

例えば500のインターナルサーバイランみたいなのが開放される時に、

エラー画面に表示されるのが猫を抱えた画像なんですよ。

ツイッターで言うとクジラ?

前で言うとクジラ戦士。

みんな艦隊コレクションでネコネコネコって。

最初はなんでみんなネコって言ってるんだろうなって。

私やってないのでちょっと分からなくて。

知らなかった。

みんなネコって言ってる。

なるほどね。

そういう場面が結構多く出ますよね。

だからある時点では繋がらない。

でもちょっと時間が経つと繋がったりするんですか?

そうですね。

こういう上流が続いてるっていうのと、

あとほら、さっき言った上流の事業者の協力を。

サーバーは稼働してるって言ってるんですよ。

ということはその辺の外部の情報だけだと、

いわゆる通信回線を無駄に埋めるようなパケットをたくさん集める。

まさに法話攻撃だけどね。

そういう類の攻撃なんだろうね。

だとするとサーバーが普通に動いてても

途中の回線が全部埋まっちゃうので、

そうするともうゴリもなんない。

そうなると他のロス攻撃の例でもそうだけど、

プロバイダーとかに、

そのサーバーに届く手前のルーターとかで

パケットを落としてもらうとか、

ブラックホールで吸い込んでもらうとか、

ちょっとやってもらわないとどうにもならないっていうのはあるし、

大手のサイトとかが導入しているような

リードス対策のサービス、赤前さんとか。

ああいうように一旦ルートを曲げて、

全部のゴミも含めたパケットを吸い込んだ上で、

正しいパケットだけをオリジンのサーバーに戻すとか。

いろいろやるじゃない。

そういうのをしないと、

どうにもならないような状況っていう感じに

ちょっと見えるよね。

出るようには見えるんですよね。

これでもあれだね、さっきも話に出たけど、

ファイナルファンタジーの時のケースとかとちょっと似ている。

外見が出ている情報だけ見ると、

なんか似ている感じがする。

全然違うゲームだし、

同じゲームというのと長期間に渡っているというのと、

攻撃の様?やられ方というか、

なんか似ているよね。

これなんだろうね。

もともとゲームって

ドス攻撃のターゲットにものすごくなりやすい分野なんで、

またかという気もしなくはないけど、

ここまで必要なやつってそんなには実はない。

初めてなんじゃないかなと思うんですよね。

いくつかポツポツポツとやっぱり

ドス攻撃のターゲットの記録が残っていたんですけど、

こんなにまとめて長期間に複数のサーバーがっていうのはやっぱり

たぶんカウンターの対抗とはじめちゃう。

誰がどういう目的だったかさっぱり分からないけど、

54:02

でもかなり粘着しているよね。

こういうのって、

この被害を受けたカウンターは大変だったと思うんだけど、

その理由が分からないからさ、

なんでここが狙えたのか分からないから。

ゲーム系でも全部そうですよね。

同じような攻撃って他も受ける可能性が全然あるんだよね。

やっぱりそうなると対策難しいと思うんだよね。

さっきみたいに上流で吸い込むとかね、

技術的にはできるんだけど、やっぱりお金がかかるんだよね。

誰でもできる対策じゃないしね。

でもやられちゃったら対応がなかなか難しいからね。

自分で頑張ってもどうしようもない。

そうなんだよ。どうにもならないんだよね。

さっきのロシア外務省の話でも出たけどさ、

IoTBotだったりさっきのいわゆるアンプっていう踏み台を使った

アンプの攻撃みたいなやつって、

攻撃をする側は割と簡単に今できるから、

被害を受ける側は対策大変だけど、攻撃する側は簡単じゃん。

前回の時に話したブータープレスターみたいなサービス使ったら

ポチポチポチってできちゃうじゃん。

ちょっと厄介だよね。

バランスがすごい悪いですよね。攻撃に対する防御のコストが。

これでも今はちょっと落ち着いたけど、

また攻撃に再開するかもしれない。

理由がわからないとどうでもなんだよね。

理由がわからないですよね。

理由もでも大したことない理由かもしれないしな。

万歳とか。

全然普通にあるよ、そういうの。

高校生が。

ただ単にムカついたからだと思うのさ。

ゲームだと本当にあり得ますからね。

ちょっとしたゲームの中でのトラブルとかもあり得ますし。

ごめん、話し下げちゃった。高校の?

昔4,5年前ですかね。

リードスのサービス使って逮捕されちゃった。

高校生が。

書類送券かな?

それも確か赤バンカーなのかな?

理由が?

確か。

その冤婚というか。

パーンされたサービスにドス攻撃をかけた。

裏身だよね。

冤婚刑ですよね。

そういうのはドス攻撃の原因としてよくある一つなので、

特に若い人がやるケースだとかだと結構そういうのが多いから。

そんなことでみたいなことがよく起こりそうですもんね。

むしゃくしゃしてやったみたいな。

そういうのはちょっと防ぎようがないというか、

未然に対処しようがないからな。

これはずっと前から言ってますけど、いつ来てもいいようにするか。

いや、本当そう。

それをするか、もしくはこの程度だったら許容するって決めとくかぐらいは

決めの問題でしかないんですよね。

どこまでリスクを受容するかとか、対策をどこまで打つかとかって

57:03

考えておかないといけないってことだよね。

今回たまたまやっぱりタイミングが

冬のイベントというかキャンペーン期間中みたいなところで。

それを狙った可能性もあるのか。

それもあると思うんですけども。

なんかゲーム内でキャンペーンやってたのか。

やっていたみたいで。

やっぱりある程度のバックを得るには課金をやっぱりするじゃないですか。

課金してもサーバーエラーになっちゃうとすると、

サーバーによって課金した分が下手したら無駄になる可能性もあるんで。

ある。

不満を言っている方は艦隊コレクションのユーザーの方では

今回結構今言いましたね。

お金が絡むからね。

イベント中に使って、アイテム使って

サーバーが重くなってたりとか、ユーザーが増えてるからなると

本当にアイテム使った意味がなくなるんですよ。

それポケモンの話?

はい。

すごい苦しみだからさ。

経験から語るみたいな感じ。

ポケモンの話でしょ?

そうそう。

月1回あるイベントがあるんですけどね。

モンスターが出やすくなるアイテムとか、経験値を倍にするアイテムとか

あとはモンスターを育てるために必要な砂っていうものがあるんですけど

それを1.5倍にするアイテムとかあるんですよ。

それみんな課金アイテム?

基本的には。

ずっと育ててれば、時々レベルアップボーナスでもらえたりとかあるんで

必ずしもお金がかかるわけではないんですけど

基本的にある程度の人は課金してやってるわけなんですよね。

だいたい12時から始まるんですよ。

イベントが。

特定のポケモンが出やすくなる。

数も多く出るからレベル上げのチャンスじゃないですか。

砂獲得のチャンスなんですよ。

12時から3時の3時間なんですよ。

みんな最近よく言ってるのは

イベント側に笑ったんねん!

めっちゃ真面目に。

今までの話より一番真面目かかり真剣なんだけど。

今日一番驚異で真剣だよ。

サムサムより?

12時から3時までの限定期間が。

みんなサーバーダウンを経験してるから

その時にみんな一斉にログインするじゃないですか。

アプリ立ち上げようとするから

重くなりがちなんですよ。

だからイベントが始まって

15分くらいはアイテム使うなって言われるぐらい。

無駄になる。

暗黙の業界。

安定したのと。

ノウハウとして。

Windowsのところで言うと

砂時計とか出るじゃないですか。

そのマークが出なくなって落ち着いたら

アイテム使える。

みたいに一部では言われるぐらい

アイテムが無駄になることっていうのは。

そうですよね。

使って全く身動き取れなかったら

その分の時間無駄になっちゃうんだよね。

大変貴重な話だよね。

すごいね。

ユーザー数×100円とかですからね。

アイテムでも。

別の今のゲームの話だけど

似たような状況っていうのはあり得るんだよね。

気持ち分かるなと。

今回はやっぱりそういう事情もあったので

キャンペーン期間は5日程度延長してましたね。

なんかちょっといやらしい気持ち悪いというか

1:00:01

背景分かんないし。

ぼやっとしてるんで

とりあえず繋がらないっていう状況だけが

記録として残っただけなので。

なんか詳しい情報出してほしいっすね。

出ればいいっすね。

出してっていうのは被害を受けたところかってこと?

仮になんか出してもさ

例えばどういうところから

短時間でどれくらいの規模の攻撃が来たとか

そういう技術的な詳細は分かっても

じゃあ何が目的で

誰が何をやっているかはさっきまで分からないし

そこは分かんないですね。

トラフィック量とかは出してほしいな。

どうにもならないよこれ。

よく聞かれません?

どれくらいのトラフィックのDロス対策をすればいいんですか?

それなんかその話前もしたけど

それは大体一般的に攻撃が多いから

これくらいとか言うしかなくて

たまたま今回のやつは

詳しい話があった方が

みんなの役に立つかもしれないけど

同じ攻撃が全く同じ攻撃が来るとは

全然いけないし

それより大きい攻撃が来るかもしれないし

全然来ないかもしれないし

だから難しいよ。

もし今まで

テンプレ的な対策があって

今まで当然それをしてはいるんですけども

実際それが十分に機能しなかったのであれば

そこについては

共有はしてほしいなと思うんですよね。

どういう対策を打ってどう有効だったかとか

それは多分他の人も参考になると思うので

ただなかなか公表しにくいのは

そういうのを積極的に出しちゃうと

結構海外でそういう被害を受けて

対策状況を詳しくレポートしているところってあるんだけど

あるんだけど

それを見てじゃあ今度どういう攻撃をしようかっていう

攻撃する側にね

ディスるみたいな

ネタにもなるので

ちょっと難しいよねそこはね

難しい

あともう一個チップスというか

今回調べていて気づいたことなんですけど

さっきもこれ始まる前にちょっと言ったんですけど

DDoSも今回

当然パブリックなデータで唯一使えるものに近い

DDoSも僕らよく参照させてもらってるけど

中国のベンダーさんのサービスですけど

あのサービス今回も使わせていただいたんですけど

過去30日間みたいな形で

情報を確認できるっていうような

誰でもアクセスできればそこまでってことね

っていう形見えたんで

私ちょっと安心してたんですよ

ちょっと後でもまとめてチェックできるだろう

30日余裕があると

毎日はしんどかったので

ちょっと時間いっちゃった時があって

よしじゃあやろうかと思って確認したらですね

自分が見た日より手前のものが

バサッと消えてるものが半分くらいあって

全部じゃないけど

具体的に1月18日に確認できたものと

それ以外で

18日に確認できたものはそれ以前のものがバスッと消えてて

1:03:03

おーみたいな

痺れますね

どのタイミングでやってるか分かんないけど

あるタイミングでリフレッシュしてる可能性があるんですね

せっきり30日ってあったので

30日より前の

1月18日であれば

12月17日とか18日とか

それより前のものが消えるのかなって

消えるけど見えないような

毎日毎日30日分のやつが消えるみたいな

違うんだね

30日に1回リセットしてるのかもしれない

もしかしたらね

なんかそういうタイミングもしかしたらあるかもしれない

それは今日やったら昨日以降は見れないということですか

もしかしたらたまたま

そういうのがあったのかもしれないんですけど

量ですからね

あれはね

一般のユーザー向けに誰でも

気軽に使えますよって試しだからさ

ただ結構今回のカウンコレでも

このD-DOSモード使ってほら実際にDOS来てるやろ

っていう風に投稿していたんですよ

それなりにやっぱり知ってる人増えてきてるのかな

って思ったので

なんでかっていうと

ああいうのって

他にないんだよね

ないです

似たようなのを提供してくれてる

有料のサービスではあるかもしれないけど

あとその内部では

持ってるとかね

観測データ持ってるっていうのはある

うちもあるんだけど

定期的にそれをレポートするとか

うちもそういうのは一部あるんだけど

でもああいう風に誰でも使えるようにしてくれてるのって

ほぼないんだよね

あったら使いたいです

貴重な情報源なんだよね

あれもでも

何を観測してるか分かんないんだけど

ちょっとブラックボックスなんですよね

分かんないんだけどね

アップとかでも捉えてるから

実際自分たちで

踏み台になる可能性のあるやつを

見てるんだろうね

今回の話は直接関係ないんですけど

NICTとかでもやっぱり

DDoSのパケットとかしていて

DDoSモンのデータと

対比させたりしてるんですよ

そこに近い情報が確認されていたりするので

全くの

全く関係ないデータが出てる

というわけでは決してない

完全一致はしないけど

当然見てる場所は違うんです

そこは一致はしないんですけど

同じようなタイミングで同じような攻撃を見つける場合もある

なるほど

ちょっとそこ油断

油断してた

外部のデータを使うときはどこもそうよね

例えば看護さんもやってるけど

真面目に例えば魚卓取るとか

いろいろ

データ後で最初

その時に見えるようにとか考えないと

いつでも見れるわけではないからね

自分で持ってるデータじゃないからね

基本即保存

ペーストビンとかも

ローカルに

ローカルとかエバーの音とか

ペーストビンなんてすぐ無くなるからね

ペーストビンあれ系のはもう

保存しとかなきゃいけない

ちょっと

細かいネタでしたけど

いやいや貴重な

貴重なチップス

ローカルに保存と言えば

1:06:00

だいぶいい時間なんで最後ちょっとだけ

やりますか

コレクション1

ちょっとだけしますか

あんまり盛り上がってないですよね

盛り上がってないというかまたかって感じよね

慣れてきたんですかね

慣れてきた

慣れてきたかもね

7億か

確かにちょっと件数がインフレ起こしてるので

数字だけで見て

騒ぐっていうのはだいぶ下手な感じ

コレクションナンバーワン

あれは先週だっけ

先週だよね

中心地

我々にはお馴染みというか

よく大ファン

ハブアイビーンポンドの

トレイハートさんが

ブログで紹介したのが

最初のきっかけというか

大きく広がるきっかけになりましたね

コレクションナンバーワンという名前が付いた

スワードシューというか

があって

元のオリジナルのデータは何億件だっけ

重複を除いたら

7億件って言ってんだよな

元は何件だっけ

ちょっと桁が多くて

忘れちゃったけど

パッと読めない

10億?20億?

27億くらいですかね

ゴミみたいなの全部入れて

精査してみたら

7億件くらいのデータになりました

ハブアイビーンポンドに入ってないやつ

だよね

7億件くらいで

検索できるようにしましたよ

そういうブログだよね

簡単に言うと

件数が件数なので

またかみたいなニュースに出たんだけど

結局

今まで過去に

どれくらい古いやつがあるか

ちゃんと見てないんだけど

古くから新しいやつまで含めて

いろんなところから漏えいした

データの寄せ集め集ですよね

秘伝の樽的な

コレクションで名前通りで

どこかでたくさん集めてきたものですよ

ってことよね

新しく

どこから漏れたものでは

ないですと

去年の2億12億とかと同じような

16億

14億と2億

合わせたら16億

16億スクーク

スクーク

ポッドキャストでも取り上げたけど

あの流れですよね

決してその7億

17億の新しい情報漏えいが

あったわけではないと

ここだけはちょっと言っておきたいな

さすがにもうぼちぼち

慣れてきたから

そういうふうに間違ってまた新しく情報漏えい

って騒ぐ人はいないと思うけど

いや分かんないですよ

時間差で分かんないから

そういうことを

一応押さえておきたいな

もう一個そのコレクション

ナンバーワンって名前がついているのが

なぜかっていうのがその後

いろいろ記事も出たけど

これ他にもあんだよね

ナンバー2とかナンバー5まで

1:09:00

5までね

だからこのデータを集めて

集めた人を売ってる人

いろんな人がいるんだけども

最初に集めた人が

たくさんの何十億ってやつを

1から5までのコレクションに集めて

切り売りした感じかな

おそらくね

全部出すと

何十億件なのか知らないけども

数は多いんだけど

別に数が多いからね

危険度が増すとか

そういうレベルの話じゃないので

自分の情報がそこに入ったかどうか

っていう話と

仮に自分の情報が漏れていても

影響が及ばないようにね

ちゃんと対策をできれば

全然焦る必要はない

そういうのがまた次に2回3回

やったとしても今までやれって

言われたことをやってれば

そんなに大きな問題ではないですね

1個だけこういうのが出た時に

自分でも一応見てるんだけど

自分のアドレスとかパスワードが

入っているか入ってないか

っていう視点じゃなくて

サイト側の

自分たちのサイトから情報が

漏洩したんじゃないか

っていう可能性は

これはやっぱ注意が必要

前の2億円の時にも

あのタイミングで

情報漏洩に気づいた

という会社があったじゃないですか

今回のももしかしたら

過去に漏洩してるんだけども

気づいてない

サイトのデータが含まれている

可能性があるので

そういうのがあったら

あれうち大丈夫だっけ

っていうのは

見た方がいいかもしれない

自分のが漏れてるか漏れてないかと

漏らしてしまっていないかどうか

っていうのをチェックするんですね

これねぎしさんも調べられてましたけど

例えばずっと前に出た

2億円のやつと

2億円のやつって去年だっけ

去年です

1年くらい前

今回のものを

突合させてみて

ファイル名が

URLっぽいような

中にいくつか

流出元のURL

それを突合させてみたら

去年の2月に

出たものに含まれていない

URLが記述された

ファイル名のものが

20件くらいでした

JPのドメインで

やっぱりそういうものはある

そこはもしかしたら

どのタイミングかわからないけども

そのサイトから漏洩していて

そうですね

そのサイトは気づかないうちに

いろんなところにデータが

出回っていたということかもしれない

そういう可能性はありますね

そのサイトはもしかしたら

うちから漏れてるっていうのがあれば

ユーザーに注意喚起するように

対応したほうがいいかもしれないし

そういうのはちょっと考える必要があるけど

そうでないところは

こういう繰り返し繰り返し

こういうリークっていうか

情報って

出るんだけど

そのたんびに何か騒ぎ

1:12:00

することでもないかなとは

まあ件数が多いからね

ちょっとインパクトが大きいような

気が若干するんだけど

いやもうちょっとほんま

マジでリークするにしても

要領考えてくれよと

要領だ

データの要領は

今回の大きいもんね

何カザでしたっけ

コレクションナンバーワンですか

ナンバーワンだけど80GBぐらい

そうですね80GBぐらいやったら

僕も麻痺してるんですよ

確かに

そんなもんだった気がするけど

80GB

ナンバーワンだけど結構

ナンバーツーからナンバーファイブが

またさらにデカいんだよね

そうですね

どっかに書いたんですよ

サイズ

展開前と展開後のサイズ

展開前後もちゃんと

すごいですね

いやいや3人でやりとりしてる

チャットの中のどっかに書いた

このデータリークを

実際には当初販売していて

それはすぐにアカバンされちゃって

ページは閉鎖されちゃったんですけど

そこにもデータサイズ書かれてはいて

これは実際に数値かちょっと分からないんですけど

トータルするとやっぱり

990

いくつだ

ナンバーツーから5と

アンチパブリックと言われているやつは

圧縮された状態で

364ギガ

展開すると

847ギガ

カンコさんが最初に

販売されたと

あとその後ブライアン・クレブスさんが

ブログに書いた

あの辺見ると1テラぐらいの

そうですね1テラぐらいのサイズ

ちょっと誤差あるけど

そういう感じの量だよね

すごいよね

きついなぁと思って

きついね

何がきついの

要領

そういう話をしてたら

とある人が

チャットの中で

デカすぎて無理やぞと

言ってたんですよ

そうなんですよね

大きいですよねみたいなことを言うと

その人が辻さんに任せた案件と言い出した

誰その人

そんなことを言うのは

誰か名ですよ

誰的

いやこれね

すぐハグですよ

自分のコレクション1

ナンバーワンぐらいは調べたんだけど

さすがに

こういうの全部集めてたら

キリがないからさ正直

正直僕ら任せた案件

誰か1人が

そうそう

この収録してる最中も

364GBの

ファイルの圧縮を

回答してるんです

リードライト発生してる

1:15:01

ビカビカ光ってますけど

これでもさ

このデータも元々は

販売されてたわけで

売られてたんですよね

この間の

去年の2GBとか

2億件とか

その前の14億だっけ

とかもそうだけど

元々売られてたものが

ニュースとかになった時には

すぐになんかこう

放流されてさ

誰でもダウンロードできる状態になっちゃう

これも止められないね

毎回そうじゃない

ちょっと探すとすぐ見つかっちゃうみたいな

誰かが出すんだよね

結構ハッキングフォーラム

とかに

実際大きなニュースになって

それがトピックとして書かれて

みんなトレンド早いよ

ってずっと書き込むんですよ

そうすると誰か神が降りてきて

トレンド流されたいな

トレンド進化

サンキューゴッドみたいな

そういうのって毎回見るよね

だから

今までっていうか分からないけど

ある程度クローズドな場とか

あるいは犯罪者たちが

集まってるな

フォーラムの中だけで

理解されてたようなデータって

昔は多分あったんだけど

今は一旦表たたんだると

すぐ流しちゃうやつが

現れて

ほぼ高知のもの

誰でも見えるものになっちゃう

パスワードの

パスワード系が多いんですけど

そういうと全く同じような流れは

結構前からあるんですよ別のジャンルで

パスワード以外で

エクスプロイドキット

ハッキング系のフォーラムとか見てると

エクスプロイドキットって

有料で売られてるじゃないですか

今とかだとほぼサービスで売られてる場合が

多いんですけど

昔はソフトウェアとして

RARで圧縮されてたりとか

それをクラックして誰でも使えるように

したバージョンの

このバージョンのやつですみたいなのを

放流するやつとかはいたんですよね

同じような流れですね

ニーズがあるからって感じ

昔のアイスパックとかあったじゃないですか

恥ずかしいね

交流してるやつとか結構いましたもんね

やっぱりそういうのを

やって

みんなから喜ばれるのが

嬉しい人っていうか

モチベーションわかんないけどやっぱいるよね

フォーラムでの自分の立ち位置

みたいなのがあるかもしれない

貢献度とかでもやっぱり

クレジットみたいな形で

還元される仕組みあったりするので

やっぱりそういうモチベーションに

あったりするんでしょうね

今聞いてて思ったけど違う分野だけどね

パスワードでもエクスプレートキットでもないけど

僕は

IoT系のボットとかは

割と

ハニーポッドから観測するから

調べてるんだけど

未来とか

旧ボットとかって

メジャーなIoTのボットがあって

そのソースコードはもともと

公開されてるんだけど

それを

1:18:01

攻撃者がいろいろ

改編をして

特にアレンジしたものを作って

サービスとして売ったり

あるいはそのコード自体を

編成した自分のマイバージョンの

コードを売ったりとかっていうのは

よく見るんだけど

それがいつの間にか

リークされるのよ

誰か買った人が

リークしてるんだよね

俺買ったのを公開しちゃうぜ

みたいな感じで

ちょっと調べると実はそういう

リークされてるコードっていうのが

山ほど出てくるんで

いつまでも

隠しとけないっていうか

本当に自分一人で使ってるもの以外は

そういう一旦

誰かに売ったりとかして

外部に出たものっていうのは

いずれそういう感じで

公開されちゃうんだなっていうのを

スター

メッセージを送信

セキュリティのアレ

スター

コメント

こちらもおすすめ

第21回 あけおめ！ランサム！DDoS！艦Collection #1 スペシャル！

セキュリティのアレ

コメント

こちらもおすすめ

第21回あけおめ！ランサム！DDoS！艦Collection #1 スペシャル！