2回目のスーツ着用
2023年、2回目のスーツ着たんすよ。
おぉ。
うん。
辻 伸弘
珍しいですね。
珍しいでしょ。
まぁ2回目っていうか。
おぉ、珍しいよね。
だって、直接僕がスーツ着てるのって 2人見たことあった?
辻 伸弘
いやぁ、ないかなぁ、ないかも。
あれ、ひょっとしたら一度もないかもしれないね。
あれ、ねぎすさん1回だけあるわ。
あったっけ?
あの、随分前、もう5年ほど前だと思うんですけど、
もう6年前やと思うんですけど、あの、
どこやったっけ、あれの場所。
DMMのスペースを借りて、
やった、あの、セキュリティの関係者を集めてですね、
あの、オープンなイベントで、
ノブヒロツジの滑らないLTみたいなやつやったやん。
あったね。
え、あの時スーツ着てたっけ?
あの時、全員スーツで行こうって言って、全員スーツやったやつ。
あぁ、そうやったっけ、そうか。
あの、しゃべる側がね、
僕がほら、サイコロ振ったりとか、
ほら、滑らない話に見せて、サイコロを、
ちゃんとしたサイコロを作って、
そうそう、全員スーツで来るってやつや、
それに合わせようかみたいな、確かあの時僕スーツやったわ。
あぁ、そっか、あれおもろかったよな、あのイベント。
2017年ぐらいですよね、確か。
だいぶ前だね、そうかそうか。
そうそうそうそう、そう。
それでね、それ以来だと思ってたもんね、だから、
それ、あ、それ以外ちゃうわ。
その、それぐらいたまま着てないと思うんですけど、
まぁ、俺は見てないです、少なくともね。
そうそう、ほんでまぁ、なんで着たかっていう話なんですけど、
着なあかんかったわけじゃないんですよ。
対談の服装リクエスト
おぉ。
でね、その、あるその、対談の仕事がありまして、
はい。
で、その時にあの、まぁ、メールでね、その向こうの、
間に入ってるメディアの方とやりとりしてたんですけど、
でまぁ、ちょっとこう、先方と打ち合わせしてる中で、
あの、ちょっとお願いしたいんですけど、
あの、ジャケットを着用でお願いしていいですか、みたいな。
へぇー、そんなリクエストあるんだね。
経緯はちょっとわからないんですけど、
カッコ、ビジネスカジュアルみたいなことが書いてあったんですね。
はいはい、はい。
で、僕、ビジネスカジュアルって持ってないんですよ。
おぉ。
で、ちょっとこう、メールでね、僕返したんですよ、それに対して。
はい。
ちょっと、いろいろね、自分でもポリシーがありまして、
ビジネスカジュアルは買ったことすらないんです、っていうのを返したんですよ。
うん、まぁ、事実だもんね。
うん、そうそうそうそう。
ほんで、あの、向こう、先方が、あの、間に入ってるメディアの方が、
あぁ、すいません、じゃあ、あの、全然、あの、自由でいいです、みたいな感じで返ってきたんです。
辻 伸弘
あぁ、それで短パンでもOKみたいな。
そうそうそう、逆にね、この季節に、えー、
裸の大将か、みたいな感じの、でも、まぁ、言い訳ですよ。
で、あの、僕でも、ビジネスカジュアルは、その、持ってない、
っていうことを言っただけなんで、
あぁ、逆にスーツで行こうと思って。
なるほど。
行ったら、あの、逆に、あの、完全にカジュアルで来るって思い込まれててですね、
先方がポロシャツで、あたふたして、急いでジャケット着てくる、みたいなシーンになって、
めっちゃ申し訳ないことしたー、と思ってね。
そういうとこあるよな、君が。
うん、そうそうそう。
あえて裏をかきで行くとこあるよな、そういうとこ。
そうそうそうそう、そうなんですよ。
ほんでね、こう、ちゃんとね、スーツ。
言えばいいのに。
スーツ着て、ネクタイもちゃんと締めてね。
辻 伸弘
うわ、すごい。
で、あの、ちゃんと革のバッグで、普通の、あの、ね、通勤とかに使うようなバッグ、
ちゃんとスーツ用の持ってますから、それで行ってね。
ほんで、あの、ほら、写真撮るじゃないですか、対談の後とか、
企業ロゴの前とかで、写真撮るでしょ。
辻 伸弘
ありますね。
そうそう、そこでね、あの、写真撮る前にですね、
対談してるところの方に、一人にご指摘をいただきまして、
耳元でこっそりね、
ついさん、チャック開いてます、みたいな。
もう、慣れへんことしたらあかんわ。
慣れへんことして、向こうにバタバタさせるし、チャック開いてるし、
しかも、あのチャックいつから開いてたんやろな。
はず。
辻 伸弘
マジで。
すごいですね。
面白いね。
辻 伸弘
そこの、アタックサーフェスがね。
そう、ほんまね、ASM、アタックサーフェス大事やわ、と思って。
何言うてんねん。
うん、やっぱりね、本当に、びちっと、
ビシッと来たつもりが、きちんと、切れてるかどうかを確認するってことを、
せえへんかったら、やっぱ、やられるってことで。
いやー、滑らねえ話だなぁ。
辻 伸弘
俺はもう、勇気いっただろうなぁ。
そうなんですよ。アタックサーフェスやったんですよ。
ポートやっぱね、不要、不必要なポートが開いてた。
もういいや。
いやいやいや、まあ、そんな感じのね、いうことだったんですけれども。
辻 伸弘
はい。
でね、その、ちょっと話変わりまして、お便り行く前にですね、前、何回前かな。2回ぐらい前でしたけどね。
前、何回前かな。2回ぐらい前でしたけどね。
前、何回前かな。2回ぐらい前でしたけどね。
フィルター回避とランサムノート
ネギスさんが、フィッシング対策協議会からですね、
フィッシングのフィルター回避なんじゃないか、みたいな可能性があるぞ、っていうふうなので。
あー、はいはい。IPアドレスの表記をちょっと変えたら、みたいな。
そう、なんか16進だの、8進だの、いろいろありましたよね。
なんか紹介したね。
そうそう。それをね、知人のコンテンツフィルター作ってる会社、iFilterっていう製品作ってる。
デジタルアーツって、あるじゃないですか。
内製で全部作って貼る。
内製で全部作って貼るところの人、知り合いにいるんで、聞いてみたんですよ、あれって。回避できんの?みたいな。
そしたら、そこ、製品2つ、コンテンツフィルターとメールに対するフィルターみたいな製品を持ってるんですけど。
はいはいはい。
そのコンテンツフィルターの方の挙動だと、あれはなんかブラウザーで変換してからリクエストするから、
プロキシを通るときには、もう普通のURLになってくるはずなんで、止まりますって言ってました。
元々のURLを持ってれば。
あー、なるほどなるほど。
IPアドレスベースで普通にマッチングするはずだということですよね。
そうそうそうそう。
なるほど。
なので、普通のIPアドレス表記でクリックしたのと同じ挙動が見えることなんで、
リストに入ってさえするとか、もしくはホワイトリストでしか通せへんってなってるんやったら、もう止まります、みたいなこと言ってましたね。
なるほどなるほど。それはそうだね。
そうそう。メールの製品の場合は、メールの文面で判定するから、登録されてないやつです、みたいに判定されるって言ってましたね。
メールでチェックするか、ブラウザーで変換後にプロキシで通信上で見るかによって変わるけれども、基本的にはそういう上流のやつでは止まるっていう風に言ってました。
なるほどね。
他の製品も多分そうだと思いますよって言ってましたね。
うんうん、まあそうだろうな。なるほどね、確かにそうだね。
そうそうそう。何のフィルター回避かっていうと、まあメールの文面のところではフィルター回避できるかもしれないですね。
そうだね。もしかしたらだからそれを狙って、まあでもどうなんだろうな。
そうですかね。
コンテンツフィルター入ってへんところとかもありますしね、あとは経路上のやつなのかな、迷惑メールフィルターみたいなやつとかで見てるやつとかあるじゃないですか。
SMSとかだったらもしかしたら回避できるかもしれないですね。SMSのフィルターとかあるでしょ、途中で見てくれるやつ。
そうね、まあだからメールに限らずそういうのもあるかもしれないな。
そうですね。
なるほどね。
ちゃんとね、教えてもらえたら。
ありがとうございます。
いえいえいえ、そうですね。
まあちゃんとここで説明に使ってもいいですかって言ったら、ああ全然いいっすよって言ってくれたんで。
使わせていただきましたということでございます。
はい。
はい、ということでお便りの方に行きたいんですけれども。
はい、行きましょう。
前回紹介したあの、ほら、何分聞きましたっていうSpotifyのやつ。
辻 伸弘
ああ。
はい。
あの、猛者が現れまして。
猛者が。
はい。
あ、何、先週のよりさらに上がいたと。
そうなんですよ。
辻 伸弘
先週の時点でかなりね。
先週の時点で4000何本とかでしたよね。
うん、2年分ぐらい聞いてる方いらっしゃるね。
辻 伸弘
そうそう、すごいいい数字でしたけど。
そうなんですよ。
で、その。
もう一人の方はですね、以前にもこのPodcastの説明みたいなのをイラストで説明書いてくれてた方。
ああ、何か紹介した方?
そうそうそう。
はいはい。
その方が8679。
え?
8000?
え?
4年分ぐらいあるぞそれ。
なんかね、過去、過去の100回分を聞きましたということで。
ええ。
はい。
ただ、よく寝る時に聞いてるので、寝落ち分も時間に含まれておりますが、
私は大変楽しませていただきましたので、お便りをいただいております。
辻 伸弘
いやー、それはすごいね。
8000はすごいですね。
だって8000超えてるってことは、だってね、なっぱと戦った時の悟空の戦闘力ぐらいですからね。
何言うてんの。
例えがよくわからん。
例えがわからん。
わかりにくいわ、例えが。
わかりにくいし、うまいこと例えられてもなかったですけどね。
いや、でもそれだけ聞いてくれたら本望だよね、こちらとしてはね。
そうですよね。
嬉しいね。
だってこれ、計算したら1年の1%ぐらいですからね。
ああ、全体の時間の?
そうそうそうそう。
ああ、そんなになっちゃうね。すごいな。
日にして6日間ぐらいですよ、たぶんこれ。
辻 伸弘
マジか。
すごいですね。
そうそうそう。いや、ありがたいなというふうに。
ありがたいね。
ありがとうございます、ということですね。
はい。
で、あとですね、別のお便りなんですけども、これも結構かなり興味深いなと思ってて、
むしろ直接話聞きたいなぐらいに思ったお便りが来てたんですが、
辻 伸弘
うん、はい。
脆弱性ありますじゃなくて、ありますみたいな話を前回したじゃないですか。
まあ、ないってやつですよね。
はい、結果的に、はい。
そうそうそう。で、そこのね、話で僕もちょっとこれ、ランサムノートに書かれたりとかしても嫌やんなみたいなこと言ってたじゃないですか。
ああ、なんかそういうね、過去になんかそういうケースもちょっと。
そうそうそう。だからVTとかにさ、ランサムノートに名前だけ書いて実際に攻撃してへんのにあげたら、わーわー騒がれるんちゃうから。
騒がれるんちゃうかーみたいなとかね。
はい。そういう嫌がらせやられたら嫌だねみたいな話したね。
そうそうそうそう。とかね、そうリサーチャーが引っかかっちゃうとかもあるでしょうしね。
うん。
っていう風なことを実際に経験しましたというお便りが頂いておりまして。
え?
え?
はい。あの内容がですね、あの某ランサム集団のリークサイトに、うちの社名が掲載され、各方面から大丈夫との問い合わせが。
おー、あーなるほどなるほど。はいはいはいはい。
そう。で、ところが色々調べても何も攻撃された痕跡もなくて、
これはいわゆるノーウェアランサムかという風に考えてたんですけれども、
ウクライナの通信事業者へのサイバー攻撃
まあ攻撃されたそのリークのサイトの方に、カウントダウンが終わって公開された情報を確認すると、全然違う会社のデータやったっていう。
はいはいはい。まあ時々あるよね、その。
ありますね。確かに。
なんかまあ攻撃側も適当にやってるっていうかさ、
盗んだデータの中に含まれてたものから、なんか類推したり、まあなんか全然関係なかったりとかっていうことが、
その国内の会社だけじゃなくて海外でも時々あるそういうのね。
あるある。
そうですね。ありますね。
ああ、それにかかったっていうか、やられたことあるんだ。
へえ。
そうそうそうそう。だから、それで何日間か、公開されるまではね、調査しなあかん言うたりとかして、
こう社内中が大混乱したのにもかかわらず、もうまあ会社間違えんなっていうお便りが。
いやーそれはひどいとばっちりだね。
辻 伸弘
そうですね。
これでも結構なんか色々ありますよね。なんかその、
例えばその、この会社名といえば聞くと、これはもう日本の会社ですみたいなとこあるけど、
これはやられたのは海外の使者やったとか、買収した会社やったとかっていうのもあるじゃないですか。
まあそれはよくある話だよね。
辻 伸弘
はい。本当に多いですね。
まあ結構ね、子会社とかが多い会社とかだと、まあ日本とかでもそういう自己関係なくそうですけど、
僕もほら、今までね、こういろんな会社のグループ会社でね、働いてきたことありますけども、
頭の冠の会社やと思い込んでますからね、親とかは。
辻 伸弘
ああ、そうですよね。
なんかこうNTTデータのグループで働いたときに、
NTT東のIP電話の障害があったんですよ。
はい。
ほんなら親から電話がかかってきて、大丈夫、なんか障害が起きてて大変とか言ってるけど、みたいな。
もう親会社ですらないし、みたいな。
もうほぼ関係ないよな。
そうそう、なんかほら、NTT言うたらもう1個みたいなね、知らん人はやっぱイメージあるじゃないですか。
そういうのでこう間違われたっていうところで。
確かに。あとまあ今回のケースだとあれだね、その、おそらく海外のアクターだろうから、
はい。
まあ国内の会社のことはあんまよくわかんなかったとか、なんかそういう理由もあるのかもしれないですね。
あーかもしんないですよね。
まあでもこれ風評被害だよな。
そうですよね。
だってね、それで下手したら株価に影響したりさ、
内緒はお便りいただいたみたいに、それなりの内部の対応コストがかかってるわけで、
いや、かかると思いますよ。
大迷惑だね、これはね。
辻 伸弘
結構証明大変ですもんね。
いや、ほんまそうですよね。で、1回記事書かれたらそういうイメージがついて、
やられたと思い込み続ける人もいるじゃないですかね。
だからこういうのね、いろいろ是非があるけどさ、
会社の公式の発表がないうちに、そういうリークサイトに載った情報、
どこまでメディアが出すのが良いのかとかね。
はいはいはい。
っていうのが、ちょっと一石を投じる感じはあるよね。こういうのを聞くとね。
そうですね。
やっぱちょっと不確かなね、公益側の言ってることを鵜呑みにするっていうのは、
果たしてどうなんだっていうのは、よく言われる話だからね。
僕も結構こういうの危ないし怖いなと思うから、
リークサイトに掲載されてても、それをちょっと扱いたいなと思ったときに、
公式に載ってたら、
公式のところで発表されてなかったら言わへんようにしてるんですよね。
特にアレックスとかではね。
こういう貴重な経験というか。
いやー、こんなアレ勢にそんな人が居てるとは貴重だったね。
本当にこういうの教えてもらえてありがたいですよね。
ありがとうございます。
ありがとうございます。
次はですね、ねぎすさんに対するお便りが来ております。
はい、なんでしょう。
PCに貼ったアレステッカーで繋がるアレというのがあるじゃないですか。
はい、いいよね、なんかね。
そうそうそうそう。
その人結構、この人の周りアレ勢めっちゃおんなと思うんですけど、
なんか今日お会いした人はアレ勢、アレ歴7年目の方ということで。
え?7年って言ったら、ほぼアレか。
最初から。
そう、そうですよね。
で、その方と忘年会に行かれたらしいんですけど、
ねぎすさん、ほら前なんか、
アレ勢の集まりだったら誘ってよーみたいなこと言ってたじゃないですか。
なんか前にもそんなお言い通りあったよね。
そうそうそうそう。
ほんでまぁもう次回誘ったら来てくれますかみたいなことを書いてあったんですけど、
それに加えてですね、一つ大事なことを書き忘れてましたということで。
はい。
その方は、セキュリティのアレのねぎすさんの声にいつも癒されてるんですって言ってましたという。
あ、その何、7年聴いてる方?
そうそう。
えぇー。
ちなみにこの7年聴いてる方は、ちなみに女性ですということで。
えぇー。
はい。
なんかあんまりその声について言われたことないけど、
まぁでもなんかこういうのってアレだよね、その何、
相性的なっていうか。
あぁー。
この人の声は何か自分には何か聞きやすいとかさ、聞きにくいとか。
うんうんうん。
まぁ多分何か人によってだいぶ違うもんね。
そうですね。
へぇー。
結構何かこう、ね、通りが良くていい声やってます。
人によったらちょっとうるさいとかね。
うん。
ありますしね。
はい。
そういういろいろ好みの問題っていうのもあるのかもしれないですね。
いや、でも何かそう言っていただけると何かすごい嬉しいな。
ありがとうございます。
何か何かね、声で発信してるやつですからね。
声を込められると嬉しいですよね。
そうね。
ポートキャストはね、声しか分からないもんね。
うん。
そうそう。
確かに。
うん。
いや、でもちょっと待って。
ちょっとね。
はい。
ひょっとしてさぁ。
うん。
俺らほら、自己紹介してないから、別人と間違えてる可能性ない。
辻 伸弘
僕のことをカンゴさん、カンゴさんのことをネギスさん、ネギスさんのことを
カンゴさんってことですよね。
なるほど。
時々いるじゃん、そういう。
あぁー。
確かに。
そうですよね。
でも7年も聞いてればさすがに。
うん。
うん。
うん。
うん。
うん。
辻 伸弘
うん。
うん。
うん。
辻 伸弘
うん。
うん。
うん。
えーと、違うよね。
はい。
辻 伸弘
違うよね。
そうですよね。
でも7年も聞いてれば、さすがに分かるか。
うん。
これ。
うん。
7年。
7年。
7年聞いてて、間違ってたら、めちゃめちゃおもろいけどな。
それはそれでおもろいね。
ふははは。
さすがに分かるでしょ。
だって、じゃあネギスさん。
今日ネギスさんから行きましょう、とかいうて。
喋ってのはんのに、実はカンゴさんとかやったら、僕らおかしい
辻 伸弘
でしょ。
めっちゃおもろい。
確かに。
そうそう。
はい。
いやいや、ありがとうございます。
お便りですけれども
以前別のアカウントで
こんなツイートしたという風に言ってて
RTリポストか
リポストを自分で引用リポストをされてたんですけれども
以前にツイートしてた内容が
教育系の仕事をしているけど
セキュリティを自分の職にしたいと
やばよくば子供向けの
セキュリティの話ができるようになりたい
学生の頃に
本気でセキュリティ勉強すればよかったと
セキュリティのあれを聞きながら思う
もう25になってしまったけど
今からでも頑張ろうという
ポストをされてたんですよこの方は
いいですねすごい志いいな
それに対して引用で
自分自身でですね
こういう先ほどみたいなツイートを過去にしてたけれども
ついに会社で
セキュリティの仕事を任せる
任されることになりましたと
まだまだひよっこだけど
頑張ろうと思うという
じゃああれか
何年か前か分かんないけど
過去にそういう仕事をやりたいなって
志して
多分そういうふうにいろいろ努力されたんだろうね
そうですよ
誰か急に降ってくるわけないからね
そうなんですよね
いやいやいやよかったなと思ってね
すごいね
これからも頑張っていただきたいなっていう風に
そのまんまのなんていうか
高い志で続けてやってほしいね
ちょうど多分
1年ちょいぐらい前に
おっしゃってたのかなこれ
そうなんだ
分かんないけど書いてないと思うけど
それに我々のこのポスト
ちょっとでもお役に立ってれば嬉しいけどね
確かに確かにそうですよね
おめでとうございますということに
紹介させていただきました
頑張りましょう一緒に
他にもね結構前にも告示しましたけども
ステッカーの印刷コードを差し上げるのは
このお便りを読んだものだけじゃなくて
アイキャッチの画像で
こんなやつを書いてほしいみたいな
そういえばなんか先週ぐらいから
あるかもとかって言ってたけど
そうそうこの間使ったアイキャッチは
お便りから取ったやつですよね
あそうなんだ
でなんか今回も
引き続きいくつも結構来てて
一人でですね10個ぐらい案出して来てくれると
多すぎやろそれは
すごいな
どれか言うときも当たるだろうみたいな
いやでもね全部ね共通点があるんですよね
何?
ビートルズなんですよ全部
あーなるほどビートルズがお好きなのかな
そうそうそうビートルズのなんかジャケットの
ジャケットのアルバムのタイトルあるじゃないですか
じゃああれか
有名ななんか渡ってるやつとか
あー
辻 伸弘
歩道渡ってる的なね
そうそうそうそう
なんとかロード
アービーロードか
うんうん
アーレーロードとかですよねだから
辻 伸弘
アーレーロード
そういう案をね
ビートルズ縛りで10個ぐらい
だからこれはほらジャケットがあるから
モデルがあるから書きやすいっていうのがあると思うんですよね
確かに確かに
そういう方もいらっしゃいます
そういう方向もあんのか
そうそうそう
嬉しいんだけどねそれね
これはもう引き続きね
毎回毎回結構やっぱこう
あのイラストの案が
考えるの大変やと思うんでね
確かにねいろいろあればその中からね
そうそうそう
皆さんで取り上げられてっていうのも
いいコミュニケーションの仕方かなと思うので
引き続きこちらも募集しております
ということでございます
よろしくお願いします
はいということでセキュリティのお話に
今日も入っていこうかと思うんですけど
今日はですねピオカンゴとピオカンゴ以外で
お送りしていこうということで
もう僕もこれ飽きてきてるんですよ
年代やると言うたやん
年代はやるけど
今年一応実質これ最後ですからね
そっかそっか通常回は最後だね
通常回最後なんで
あと一回言えば
済むということなんですけど
じゃあカンゴさんからお願いします
辻 伸弘
今日私はですね
新聞でも報じられていたんですけども
ウクライナの
通信事業者に対して
サイバー攻撃がありましたよ
という
そういった話が出ておりまして
ウクライナの通信事業者キーウスターの被害と影響
辻 伸弘
これを今日ちょっと取り上げたいなと思ってるんですけども
結構
ウクライナのロシアとの戦争
というところに関連して
サイバー空間上においても
いろいろ衝突というか
関連したインシデントなんていうのは
始まった当初からいろいろ言われてるんですが
今回取り上げられていた
通信事業者
これキーウスターっていう
通信事業者これ採用手らしいんですけども
そちらの事業者が
被害に遭われた状況というのは
今のところ出ている情報を見る限りですと
おそらく
侵攻後も最大
規模と言っていいような
そういったぐらい影響が及んでもおかしくないような
そういう事案ではなかろうか
というところが
どんなことが起きているのかな
っていうのは個人的にも興味があったので
ちょっと調べてみたというところなんですが
まずさっき申し上げた
キーウスター
契約者数が本当に
採用手っていうだけあって
結構多くてですね
ウクライナ人口のおよそ半数相当
になるぐらいの
契約者数があってですね
携帯電話なんですけども
2400万件
2430万件という数字が出ており
あとはインターネットの
通信サービスも行っておりまして
こちらも110万件ぐらいの契約者数が
あるというところがあってですね
日本で言うと
本当にそれこそ
NTTドコモとか
それぐらいの通信事業者に
相当するところではあってですね
ウクライナ国内で
若干下の規模で言うと
ボーダフォンが
1900万件
あとはライフセルっていうのかな
そちらが850万件という感じの
そんな状況で
なっていたんですけども
これどんな攻撃があって
っていうところについては
残念ながらまだ
まさに今なんていうんですかね
まだもっか対応中という状況もある
とは思うのですが
細かい情報がまだ出てないんですね
具体的にどういう攻撃があって
どんな被害が出てっていうところが
ですので断片的に
ちょっと落ちている情報を
ちょっと拾い集めた
という感じではあるんですけども
影響という形で
報じられているものとしては
キーウスターだからなのか
わからないですけども
キーウ州の
75以上の
集落であるとか
そういったところで
使われている
今まさに戦争中でありますので
空襲警報システム
こちらが使われている
そうなんですけども
これが通信事業者の
今回のサイバー攻撃に
起因して停止する
といったような影響が
出ていると
ただちょっと都市部
まさにキーウですね
そちらについて
実際に同じような影響が
出ていたかどうか
というところは
ちょっと触れられていなかったので
そちらについても
停止していたのか
というところは
なんともわからんという状況で
あったり
あるいは
ウクライナ軍ですよね
こちらが実際に使われている
作戦活動に対して
影響があったか
というところについても
今回のサイバー攻撃による
一連トラブルを通じた
影響があったか
影響というのは
具体的には今のところ
使えなくなったとか
支障が出たとか
そういった話というのはないと
以前スターリンクを使って
実際に通信のやり取りなんかも
しているなんて話もありはしたので
もしかしたら
そういった
いろんな運用手段というのがあるので
大きな影響が出ていないのかな
というところではあって
あと他には
最大の国営銀行のところが
ATMであるとか
ポスト端末の動作に
まさに
障害が出た通信事業者の
SIMカードを使用した
そういった運用サービス形態になっているらしくて
なので使えなくなってしまったことによって
一時的に
金融サービスについても
部分的な停止というか
中断があったと
ただ大規模な
そういった困難が生じるものではないよ
という話ではあって
なのでポツポツ出ている情報だけを
見ていると
NTTドコモが例えば1日2日止まったら
日本国内で言ったら
本当に大騒ぎですもんね
なのでそれは
過去実際あったわけなので
それは見れば
想像に絶やすいんですけども
断片的に出ている情報だけ見ると
市民の生活に
どれくらい影響が実際及んでいるのかな
というところは
なんとも分からないなという感じではあるので
ただ実際
通信の影響というのは
外部から観測されているような
トラフィック量というのは
これ12月の12日の朝に
サイバー攻撃とみられるものが起きて
その対応による影響などが生じたと
言われているんですけども
これ大体12月12日
朝から昼ぐらいにかけては
実際通信量がガクンと
本当に
10%ぐらいですかね
かなりの数字まで落ち込んでいて
今はだいぶ回復して
実際15日に
このキユースターの親会社の
ビーヨンという会社が
あるんですけども
これオランダだったかな
オランダの会社があるんですけども
そちらの会社が公表している
プレスを見る限りですけども
15日の時点では
モバイルのサービスであるとか
あるいはインターネットサービスについては
復旧してますと
ただSMSとかそういった付帯サービスはまだ
復旧途上の状況ではあるので
そちらについて取り組んでいます
という話が公表されていてですね
実際フェイスブックは
キユースターのアカウントがあってですね
そちらで結構精力的に
状況を投稿されているんですが
昨日の時点というんですかね
その時点では
さっきまさにビーヨンが公表していた
主要な通信サービスは回復しているけども
他の部分については
復旧中ですという
100%の復旧にまでは
まだ現状至っていないと
そういった状況ではあるんですが
このキユースターの中で
どんな被害が出ているのか
そこについてはさっきも言った通り
詳細な情報が何とも出ていないので
これはいろんな人が
好き勝手に若干コメントしている部分も
ありはするんですけども
言いたい放題ですよね今はね
辻 伸弘
いろいろ想像できますからね
CEOの少なくともキユースターの
CEOの方が国営テレビに対して
語ったというところによれば
その社内のITインフラが
部分的に影響を受けたと
破壊されたという
そういったコメントをしていてですね
なのでそういった影響から
局所化被害をある程度
限定的にさせるために
全体的なシステムの落とし込みというか
シャットダウンを決定
治安当局と判断をして行った
ということが報じられていた
というところがあったので
実際にサイバー攻撃によって
被害が出た影響が及んだ部分
プラスその対応というか
初動対応的なところで
全体を落としたことによる
影響というそういったところが
あるのかなと
さっき私
ローミング機能の課題と対応
辻 伸弘
1900万件の契約書とボーダー本があります
という形でお話ししたんですけど
実は今回
紛争が
昨年ですよね
戦争が始まってから
たびたび停電とかありましたので
他の事業者
通信事業に対してローミングをする
というそういったサービスを
導入されたそうなんですね
まさに日本でも
通信事業者の障害が
たびたび相次いだのでローミングをどうする
みたいな話がまさにやってますけども
ウクライナでも
同じような形で
例えば今回のケースで言えば
キーウスターがダメだったらボーダー本に移るとか
そういった対応が取れるように
準備はされていたそうなんですが
今回の攻撃の時には
ローミング機能が
機能しなかったという
ところがあってですね
当初は攻撃による影響だった
ということで報じているところも
あったんですけども
その後サートUAだったかな
公表されている内容を見ると
ローミング機能
はあるんだけども
そのローミング機能を有効にして
やってしまうと
他の事業者自体の受け先となる
例えばボーダー本とか
他の企業がシステム的に
過負荷になってしまう可能性があるので
できれなくなるんですね
辻 伸弘
そうですねなので全体が結局
止まってしまう可能性というのが当然考えられる
わけですからですので
ローミング機能を一時的に
停止するという措置を
治安当局が要請した
という話が
サートUA自身が
今回の対応というか
状況を報告している中で
掲載していたので
サイバー攻撃による直接的なものではなくて
一連の対応を通じて
そういった判断がなされたものだった
というところであるので
ローミング機能も有効ではあるんだけども
規模とか状況によっては
結構課題はあるなというのは
今回の事例なんか見て
思ったところというところで
あと最後にですね
攻撃の主要アクター
辻 伸弘
じゃあ誰がやったんかという話も
当然気になるところではございますけども
さっきも言った通り
これまさにまだ対応中というか
調査中という状況ではありつつ
外部では俺がやったという風に
投稿しているケースもありまして
一つは皆さんご存知と思うんですけど
キルネットですね
俺たちがやったという主張をしているんですけども
ただ主張はしてるんですけども
結局その主張を検証できるような
そういった材料というのは
投稿されてないので
関連は何とも分からないというところと
あともう一つ
ちょっと読み方が難しいんですけども
ソンツエペクという読み方で正しいのかな
読売新聞の中のカタカナで
ソンツエペクってそのまま書かれていたんですけども
ロシア系のAPTのアクターが
そういった主張を行っていますよ
ということを認識していますっていう
そういった内容ですね
先ほどのサートUAが公表されている
声明の中で言及されていて
直接ソンツエペクとは書かれていなかったんですけど
おそらくそのソンツエペクのことなんだろうな
と思うんですが
このグループについては
過去サンドワームと呼ばれている
こちらもロシアの以前のGRUの関係する
APTグループの一つではないかと呼ばれています
そのGRUとの繋がり
サンドワームとの繋がりが
指摘をされているというグループだそうでして
実際そのソンツエペクのテレグラムですね
アカウントあるんですけども
テレグラム上では
一万台のコンピューターが
一万台のコンピューターであるとか
四千台のサーバー
あるいはクラウドストレージやバックアップシステムを破壊したといった
そういった主張をテレグラムに行ってはいてですね
それっぽいスクリーンショットなんかも
四五枚合わせて投稿しておられてですね
Windowsサーバーの画面であるとか
VMwareの画面であるとかっていうのを
投稿されておられるので
見る人が見れば実際のものかどうかっていうのは
確認は取ることはできると思うんですけども
ただですね
ちょっとこちらについても
まだ状況分からんというところでして
なぜかというと
キーウッター自身がですね
その後これは単なる捏造だっていう形で
Xでキーウッター自身が否定する投稿を行っていてですね
審議の方は後ほど分かるみたいなコメントはしてるんですけども
その投稿の中で
ですのでこれも結局誰がやったのかっていうところについては
いろんな想像はできるんですけども
まだまだ何とも見えてきていないというところで
ございますので
戦争によって生じたであろうという
そういった見立てがいるデッキはしつつも
今のところはちょっと続報待ちかなという
手口とか実際の影響とかも含めてですね
そういったところをちょっと
今後も出てきたらちょっと見ていく必要があるかなと
ちょっと拾ってきた中で今回思ったところでした
サンドワーム系だともし仮にすると
過去にも結構ウクライナの電力設備だったり
辻 伸弘
そうですね
はい
はい
いろいろ
攻撃した実績があるから
そういう時に使った
ワイパー系のマルウェアを
今回も使ったのかなとか
そういう推測は
いろいろできるけど
現状では分かんないよね
実際のところはどうなのかね
キーウスター自身も
攻撃を抑制するために
シャットダウンしたりなんだりって書いてあったけど
まだ対応で
いろいろ混乱してるだろうから
もし仮に
被害があったとしても
さっき熱像だって
言い切って書いてたけど
もしかしたらそれ勘違いだったかもしれないし
辻 伸弘
その可能性もありますね
そういう逆のパターンも考えられるし
攻撃側が本当に適当なことを
出っ掛けてるのかもしれないし
とはいえ
何かしらサイバー攻撃があって
これなりの影響が出たってこと自体は
間違いないし
さあという上も
何の根拠もなしにロシアのAPTだとか
っていうことは多分言わないだろうから
だから
ちょっとそっちの線が濃そうだな
っていう感じはあるよね今のところね
辻 伸弘
そうですね
サンドワームって
結構久しぶりに聞いたなって
感じがしたんですけど
結構破壊的なイメージが
強いんですよね
改ざんしたり
データ破壊するって
ノットペトヤとかそうでしたよね
このサンドワーム
あとオリンピックデストロイヤーとかもでしたっけ
そうそう
結構破壊的やから
確かにそうかもしれへんなって聞いてて
確かになとかって
根拠ないですよ
ドアさんのイメージ的にそういう風な感じがしたっていうのは
ありましたね
僕も聞いてて
ちょっとどこで見たのか忘れたけど
ウクライナの現地のニュースの記事か何かだから
分かんないけど
侵入の原因が
従業員のアカウントの情報がどうたらこうたらみたいな
報道が出てたりとかして
結構大きな影響が出てるけど
ひょっとしたら
侵入の原因はね
些細なことかもしれない
分かんないけどね
そのあたりもう少し続報で詳しく分かるといいけどね
辻 伸弘
ぜひ出てほしいなと思いますね
これでもなんか
空襲警報のシステムとかも
一時使えなくなったんですよね
そうですね一部でね
これはあれなんですが
大元を止めざるを得なくなった状況になったってことなんですかね
どういうこと大元ってのは
通信ができなくてなのか
このキャリアを使えなくなったから
この空襲警報システムの情報をユーザーが受け取れない状況になったのか
大元を止められてるのか
各地域に配信するための
インフラだってことですよね
辻 伸弘
通信サービスが止まっちゃったからってことなんですかね
そうでしょうねおそらく
ってことは先ほどローミングしようにしても一気に切り替えられへんとかってなったら
これ維持し続けるためにはどうしたらいいんやろうなと思ってね
なんか別の通信手段がたくさんあった方がいいのかな
例えばそのフリーのWi-Fiとかそういう風なものが変わりになるのかなとかってね
まあそうね
そういう強靭なインフラはどうするかっていうのは
まあ特にね今回の空襲警報のやつはちょっとどこかよくわかんないけど
例えば軍の情報システムとかそういう研究とか
まあ多分ねそういうところはいろいろ各国で工夫が暮らしてると思うんだけど
だからまあちょっと今回のもはっきりわかんないけど
そのね軍の作戦には影響なかったとか言ってたりとか
いわゆる市民生活一般には多少影響が出たかもしれないけども
これが仮にそのロシア政府の意気が
かかった攻撃だとすると
まあ果たしてその戦争に関連する部分で言うと
どれくらい効果があったのかはちょっとよくわかんないけどね
そこはそうですよね確かに
でもなんかこう冗長化するとかちゃんとね
これよりも大きな影響があったときにはどうするかっていうのを考える
いいモデルになるかもしれないなと思いました
そうねたびたびやっぱり起きてるからねこういうことね
まあなかなか事例自体が少ないじゃないですか
こういうものはやっぱり
だからなんかそういう
そういうものがあったら
うちの国は大丈夫かみたいな感じ
まあリアルな戦争に絡んでこういうサイバー攻撃が起きるっていうのは
特定の地域でよくやってるけどさ
まあそれ以外の地域ではそんなに別にね
日常的に起きてる話じゃないからね
辻 伸弘
そうなんですよね
経由がなんか事例かなと思いながらね
辻 伸弘
はいおっしゃる通りだと思います
ありがとうございます
はい
はいじゃあ次ネギさんいきましょうかね
はいじゃあ私からですけども
今週はですね
うん
マイクロソフトの対策活動
えー
マイクロソフトから
出てた記事の内容を紹介したいんだけども
サイバー攻撃者のグループの
ドメインをマイクロソフトが
差し押さえましたっていう
記事がちょっと出ていて
でこれあのマイクロソフトの
ちょっと有名なデジタルクライムユニットっていう組織があって
こういうねサイバー犯罪の対応
場専門にやってる組織があるんだけど
そこが
外部のアルコースラボっていう
サートパーティーのセキュリティのベンダーと
協力をしてやりましたという
記事を出してたんですけども
サイバー犯罪者のグループっていうのが
MSがストーブ1152
っていう呼んでる
グループなんだけど
2年くらい前から結構活発に活動してたらしくて
このグループ
何やってたかっていうと
主に不正に作った
マイクロソフトのアカウントを
別のサイバー犯罪者の
グループに販売してましたと
でその
これを買った別の攻撃者のグループが
例えばランサムウェア感染に
そのアカウントから
マルウェアを配布するだとか
侵入するための糸口で使うとか
そういう
サイバー犯罪に利用していましたと
そういうようなことが結構観測されていて
その大元になっている
サービスを
この犯罪者グループが
運営しただと
なんか書いてあったのが
7億5000万件の
不正なマイクロソフトのアカウントを
作成して販売しただと
7億5000万だよ
辻 伸弘
すごい数ですね
国の人口で見る数字
マイクロソフトくらいだと
多分何十億ってアカウントの数が
おそらくあるから
全体からとしてどれくらいの割合か
ちょっとはっきり書いてなかったら
分かんないんだけど
にしてもすごい数だよね
すごい数ですね
でもちろんこんな数のさ
人間がちまちま登録してるわけがないので
もちろんもちろん
要するにそのボット使って
自動的なアカウントを作成をして
大量に作ったやつを
片っ端から売りさばいてたみたいな
そういうビジネスをやったときに
やったらしくて
自動で登録するためには
よくあるけど
アカウント登録のときに
そういうボットを弾くために
キャプチャーってのがあるじゃない
あなたが人間ですかって
確かめるみたいなやつね
辻 伸弘
ありますあります
なんで彼らはそれを
迂回するというか突破して
キャプチャーをちゃんと解決して
登録できるように
そういうことができるような
ツールとかも開発していて
ちゃんとしてるな
そういったキャプチャーを突破するための
サービスも販売したと
どうもおそらくそっちが最初みたいで
キャプチャーを
キャプチャーを突破する用のサービスを
自分たちで作って販売して
それを使って
自分でもアカウント登録を大量にやって
販売をしたっていう
多分そういう順序関係なんじゃないかな
と思うんだけど
今回マイクロソフトは
不正にマイクロソフトのアカウントを
販売していたサイトと
キャプチャーを突破するサービスってのが
いくつかあって
それの販売してたというか
そういうサービスのサイトを
合わせて複数のドメインを
差し押さえましたと
うん
さっきのキャプチャーを突破するサービスって
言ったけども
今回マイクロソフトに協力したって言ったら
アルコースラブっていう会社は何をしたかっていうと
ここは今言った
Botによる自動的なアカウント登録とか
そういうBotからのアクセスだな
っていうのを検知するような
サービス
そういうBot検知技術っていうのを
この会社は持っていて
マイクロソフトとかにもアカウント登録時に
Botを弾くような
そういうサービスをどこも提供してたらしくて
この会社が
2年くらい前から
どうもストーブ1152っていうやつが
なんかそういう
キャプチャーを突破しようとしてる
活動してるっていうのはどうも把握したらしくて
そうなんや
この2年間ずっと彼らと
対決していて
なんとかしてこいつらをブロックしようとすると
それを迂回するようなことをやってきたりとか
ずっとやってたらしいのね
でこの2年間いろいろやったけど
拉致が明るいのもあって
マイクロソフトに今回いろいろ情報を提供して
一緒に協力をして
こいつらをやっつけようとしましたと
でその結果
マイクロソフトはいろいろ調べて
最終的に3人のベトナム人が
どうもこのグループの背後にはいる
というところまで特定をして
その名前とかも書いてあるんだけど
その3人に対して
裁判所に対して
この人たちが提供してるサービスが
マイクロソフトに対して
いろいろ悪さをしてるので
やめさせたいということで訴えを起こして
ドメインを
マイクロソフトに移管して
そういうような訴えを
しましたと
一応それが裁判所に
アメリカの裁判所だけでも認められて
結果どうなったかというと
今回アカウントを販売したサイトとか
ランサム界隈のざわつき
あとキャプチャーの
さっきの言った解決するためのサービス
主に犯罪者向けに
売られてたサービスがいくつかあるけども
そのドメインが
それまではクラウドフレアの
サービスで提供されてたみたいなんだけど
なんで
DNSのネームサーバーもクラウドフレアを
使ってたんだけど
これが不一のドメインレコード見たら
12月の13日になって
クラウドフレアのアドレスから
ドメインの登録のときに
使われたレジストラーのマークモニター
って会社があるんだけど
このレジストラーとネームサーバーに
切り替わっていて
そのタイミングから
このドメインにアクセスすると
MSのアドレスに飛んで
そこからAzureのランディングページに
飛ぶっていうそういう仕組みに
変わっていて
面白いのがこのサイトにアクセスすると
マイクロソフトのシージャーバナーが
表示されるんだよね
なんか珍しいですね
企業のシージャーバナーって
あんまり
もしかしたら今までもあったかもしれないけど
僕はあんまり覚えてなくてさ
珍しいなと思ったんだけど
そこに書いてあって
マイクロソフトがこのドメインを差し押さえました
って書いてあって
一応法的な根拠はこういうのがあって
裁判所の例状みたいなのも
ちゃんと書いてあって
っていう
そういう説明ページが出るんだけどさ
そこに飛ぶという感じになっていて
ちょっと法執行機関じゃないってのは珍しいなと
そうですよ
FBIのイメージが一番強いかなと
ICPOとかさ
ユーロポール
だけど今回みたいなね
マイクロソフトだけじゃないんだけども
主に被害をこむっていうのがマイクロソフトだということで
おそらく裁判所も
それで許可したんだと思うんだけど
複数のドメインについて
本来の
ドメインの保有者というか
人から勝手に奪ってというかね
MASのアドレス当てに
名前解決するように
レジストラー当てに多分これ米領出したんだと思うんだけど
そういう具合で
こういう民間の会社だけども
きちんと法的な手続きにのっとって
こういうドメイン差し押さえっていうのは
できるんだなっていうのは
やり方次第だなっていうかね
いうことが分かりましたなというのと
あと
ただそうは言っても
今回のケースってベトナム人を
特定してお前たちがやったんだろう
って特定はしてるんだけど
あくまでもアメリカの国内での
手続きにのっとってやってるだけの
話なんで
別にベトナム人が捕まったわけでもないし
ネームサーバーを変えて
アドレスの
解決の
後先を変えただけなんで
彼らの関材の
元々の使ってたインフラが
潰されたわけでもないし
サーバーを抑えられてもいけないですもんね
例えばだから別のドメインでもう一回
販売したときとかってのは
やろうと思えばすぐできちゃうわけですよ
これによってどのくらい
彼らの犯罪の
ビジネスにインパクトがあったか
ちょっとまだ今の時点では分からないんだけど
とは言っても
こんだけ派手にやられてたら
目つぶってるわけにいかないし
こういう風に
潰すんだよっていうことを見せる
っていうのは結構大事かなとも思うし
あと
仮に
復旧っていうか
もう一回立ち上げ直すにしたって
それなりに
手間がかかるわけだから
そういうコストをかけさせるっていうのも
重要だから
こういうある意味の
もぐら叩きみたいになっちゃうけども
こういう潰すっていう対策も
地道にやっていかないとダメだなっていう
ちょっと改めて思ったなっていうか
あとこういうのってやっぱり
法執行機関がやるものっていう
なんとなくそういう認識が
ついついあるけど
ちゃんと手続きにのっとってやれば
こういう風に民間でもできることがあるっていうのを
示してくれてるっていう意味では
マイクロソフトは結構
こういう活動を力入れてやってるからさ
見習うべきところあるかなっていう気もするね
面白いなっていう
MSのCチャーバナがちょっと面白かったんだけどさ
確かに確かに
僕もなんかこれ記事見た時に
なんやこれって思いましたもんね
こういうのもあるんだなっていう
一つの例として紹介してみました
日本とかでもね
フリーのメールアドレスを
サービスとして提供してる会社もありますが
そういうところが動けば
こういうことができるかもしれないってことですよね
そうだねそうそう
あとこんなに
何その
海外の犯罪者グループが
ここまで手広くっていうか
こんなにちょっと件数が多いとは正直思ってなかったんで
本当ですよね
すごい規模でなんかやってんだな
この記事の中でもね
法執行機関の活動と影響
サイバークライムアザーサービスって
呼んでるんだけど
もうこういうアカウント買う人たちがいるし
彼らもさ
自分たちでアカウント作ってやるなんてめんどくさいから
安くねこういうとこから買って
それを使って犯罪した方が
足もつきにくいし
手間もかかんないからいいよね
そうですね
まあそういう分業がすごい進んでるんだなって
ちょっと改めて思ったね
いや7億5000万ってすごいっすね
ねインパクトある数字だよね
いやー
まあなんかちょっと前にほら
googleがちゃんと使ってへんアカウント止めてきますよ
みたいな活動を始めたじゃないですか
あーなんか2年くらい
全然ログインしないと止めますよみたいなやつね
そうそうそうそう
まあ2年って結構長めかなとは思いながらも見てたんですけど
こんな7億何本?
どんどん作られてるんだ
多分gmailとかもすごい作られてるんやろうなって思いましたね
これぐらいのオーダーなのかなと思って
辻 伸弘
そうですね
この辺の大手のメールっていうか
いろんなクラウド系のアカウントを管理してるところってのは
大金少なから大体似たような攻撃にあってるというか
多分対応に追われてるんだと思うんだけど
ここまでの規模だったら正直思ってなかったんで
いやそうですよね
だから今回の記事にも出てきた
いろいろボット対策の技術とか
ビスっていろいろあって
キャプチャだけに限らずさ
いろいろやってるんだけど
おそらくサイバー犯罪者が手を返しなお返し
そういうのを迂回するようなことってやってきてるんだろうなっていうことだよね
このアカウント全てに対して
彼らは2年間で切れないように維持するってこともやってたのかな
作った先から次から次へと売り飛ばしてたんじゃないの?
その先は別に自分ら関係ないですもんね
犯罪で使えたらすぐ
バーンされて終わっちゃうからさ
そういう感じの短期ビジネスっていうか
どんどんどんどん作っては止められ
作っては止められっていうのを繰り返してやってたんじゃないのかな
ぐるぐるぐるぐる回す感じか
所転式みたいな感じでね
それが積もり積もって2年間で7億件みたいな
そんな話なんじゃないかな
キャプチャを破る側と検事する側の戦いは結構面白いなと思いましたね
本当本当
やっぱりね
技術的に何とか回避しようとして
それに対してまた新たな策がみたいなさ
本当にイタチごっこだからね
そうですよね
普通に使ってるユーザーからすると
チェックほんま鬱陶しいんですけどね
そうなんだよね
ずっとちょっと待たなあかんやつがあるじゃないですか
時間
本当に人間にとっては何の嬉しくない
そうなんですよ
単なる邪魔でしかないんだけどね
しかもさ
あなたは人間ですかみたいなやつがあってまたいいんですけど
あなたはロボットではないんですよ
ロボットではないですかっていう質問出てくるやつあるでしょ
あるね
あれなんかすごい嫌な気持ちになるんですよ
ロボットではない
まあでも社会の歯車かもしれへんしなみたいな
辻 伸弘
なんで
自信を持ってロボットではないと言えない自分がちょっといるっていうのもありますよね
だしほら最近だとさそのAIベースの
はいはい
マシンラーニングベースのテクノロジーとかも結構出てきてるから
そうですね
防ぐ側も攻撃する側もそういうAIベースだったりとかするとさ
もうわけわかんないよね
確かに確かに
辻 伸弘
人間が置いてけばいいんじゃないですか
そこに人はおらんやんけみたいなことなりそうですもんね
そう
いやまあでも技術が進むと多分そうなってくんだよね
そうですね
いやすごい刺激的な話でしたこれは
ね
面白い
いやなかなか大変だなと思いましたこれは
そうですね
まあイタチごっこってね
すごいネガティブに使われること多いけど
まあねぎさんがよく言うね
犯罪者にコストをかけさせるっていう意味では
効果は絶対あると思うな
いやそうそう
こういうそのなんていうかな
その効果本当にあるとないのって
分かんないけど
分かんないけど
でもこういうことやっぱ積み重ねていかないと
多分ダメだと思うんだよね
効果出ないと思うんで
モグラたたきって言うけど
モグラたたきできてるうちは
僕はすごくポジティブだと思いますよ
キリないかもしれへんけど
はいありがとうございます
じゃあ最後僕なんですけれども
はいお願いします
いやもうなんかちょっとこの1週間2週間ぐらいは
ブラックキャットとノーエスケープの連携
もうかなりなんていうんですかね
ランサム界隈がざわついてたなっていう
辻 伸弘
ランサム界隈
ランサム界隈でどこだよ
辻 伸弘
どちらに
どこにあったよ
すごいよなんかさ
バーって上げていくだけでもさ
ハイブロランサムの攻撃者は捕まってなかったみたいな話
ここでしたでしょ前
でもほらこのアフィリエイトの資金洗浄
手伝った容疑でロシア人がパリで逮捕されたりとか
ありましたね
とかねブラックキャットのリークサイトが数日つながらなくなって
なんか法執行機関のね何かの影響なんかって噂が流れたりとか
かと思えばノーエスケープもつながらなくなって
アフィリエイトがつなぐところにもつながらなくなって
出口詐欺なんちゃうんかみたいなので
複数のフォーラムがざわついて
結局なんか連絡が取れなくなって
アカウントが複数のフォーラムでノーエスケープがバンされてたりとか
そんなんかと思えば
好きあらばやなこいつらと思ったら
ロックビットがこのブラックキャットとノーエスケープの関連で
盗んだ情報あんねんやったら
うちに連絡ちょうだいよみたいな
業界ごとの被害の傾向
好きあらば宣伝みたいな感じをしてたりとか
すごいですね
かなりランサム界隈がざわついてたわけでございます
辻 伸弘
その界隈
その界隈
どの界隈だよ
その界隈
アンダーグラウンドフォーラム界隈ですよ
狭すぎるわ
狭い狭い
狭いですね
界隈とも言えないかもしれないですけれども
それで今日僕お話とか紹介するのはですね
トレンドマイクロが出してたやつなんですけど
4年半ずっと国内の組織のインシデントレスポンスをしてきた中で
見えてきた
ランサムウェア攻撃のリアルとはというブログが出てまして
トレンドマイクロの記事パッと見たときに
執筆者をいつもよく見るんですけど
執筆者トレンドマイクロって書いてると
結構海外の記事の翻訳が多かったりするんですよ
そうですね
今回もそうなんかなと思って読んでいったら
タイトルが国内のって書いてあるので
日本の話だということで
ちょっと紹介したいなと思って
ちょっと僕も読み解いていってたということで
ちょっとここで挙げさせていただいたんですけれども
なるほど
4年間で結構長い期間なんですけど
2019年の1月からを対象にしているんですよね
うん
ほんでまず一番初めに
全体でランサムだけじゃなくて
自分たちがインシデントレスポンスをした業界を
パーセントで示してくれてるんですよ
うん
ただ件数自体は非公開で
パーセントでしか見れないんでこれは
全体の総数どれくらいかは分からないんですけれども
全体でインシデントレスポンス全体で見ると
4分の1
今日が製造業だと
その後続いて14%で建設不動産
9.9%情報サービス
9.9%流通サービスで
まあ教育7%みたいな感じで
いくつか円グラフで表してくれてはるんですけれども
これもパッと見て僕も思ったんですけど
まあいろいろ一つ頭が出てるな
製造が頭出てるなってのはあるけれども
レポートの中でも書いてあった通り
特定の業種がやっぱ狙われてるわけではないですよ
みたいな
ことが書かれて
まあこれもランサム僕も集計してますけど
まあ同じようなやっぱ感じかなっていう風に思いつつ
こういうサービス提供してる先やから
ちょっと偏りもあるのかなと思ったんですね
多分リークサイト見るよりかは偏りがあるのかなっていう
感じはしたんですけど
まあそこそこも安便なく
そういう近差で攻撃どこにでも来ますぜ
っていう風なことを考えると
実際のランサムのリークの業種と
こういったレポートの業種比較すると
どこが狙いやすいか狙い目かっていうのが
見えてくるかもな
攻撃者からするとって思いましたね
少なめのところの方がいけんじゃないかとか
みたいなことをちょっと考えたりもしてたんですけども
その中でこの4年間の間に対応した中で
インシデントの分類をしてくれていてですね
分類としては標的型とか
あとAPT、エモテッド
その他ランサムみたいな感じで
分けてくれてるんですけど
この4年半で対応した中の
54.9%が
ランサムウェアに関係する
インシデントレスポンスだったんです
多いね
かなり多いですよね
逆に
ランサムウェア、APT、エモテッドってやったら
エモテッドは止まってる期間が
ちょっと長いじゃないですか
そうそうそう
なので8.5%ぐらいになってるんで
少なくなって
長い目で見ると少ないっていうのはあるのかもしれないですね
なんかあんまり
見聞きする被害の感じから
するとそこまで多くないのかなと思うけど
実際にやっぱこれぐらい
表に出てきてへんものも含めあるんやなと
いうふうなことですね
また実際感染を止めたのはあるかもしれないですよね
そうね
これだからトレンドマイクロさんに
支援を依頼したところのうちってことだから
そうです
やっぱ自分たちだけでは
対応できない攻撃って考えると
この4年ぐらいは
ネットワーク侵入型のランサムウェア攻撃の増加
ランサムウェア主流って感じなんだろうね
それでも半分以上なのか
結構やっぱ多いんだね
結構思ってたより多いなっていう数字でしたね
このランサムの中身なんですけど
全ては示してくれてないんですが
一つだけ一番
このランサムの中でも
多かったランサムギャングの名前
っていうのが挙げられていまして
2位からは出てきてないんですけども
全体の40%が
ロックビットだったと
それはやっぱそうなんだね
が40%なんで
これ僕自分の集計をしてみたら
2022年の
1月から23年の6月までを
トレンドマイクルでは対象にしてるので
僕は1月からちょっと長めにとって
先月までの集計結果をしてみたんですよ
そしたらね
僕のところでもね
ロックビットの割合が39.9%でしたね
なるほどね
絶対数はおそらく違うだろうけど
リークサイトの数と
こういう数と
傾向的には似てきてもおかしくはないわな
そうですね
僕が集計したやつは
358件中1739件が
ロックビットだったと
あとあれだよね
今回のトレンドさんのやつは
国内企業型の対象だから
ロックビットはそういう意味では
国内外関係なくまんべんなくやってるんだな
っていうのも分かる
確かに確かに
2位以下ちょっと教えてほしいなと思いましたけどね
比較したいなーって思いながら
気にするポイントがちょっと違うのよね
辻 伸弘
あれですよね
トレンドマイクロさんが調べられてる範囲っていうのは
別にリークサイトがあるかないか
実際インシデントの対応を
辻 伸弘
そういうことですよね
切り口がちょっと違うんですけど
数字結構似てくるんやなっていうのは
そうだね
そんな感じで
おおよそ同じような感じだったんですけども
僕らもよく言いますけど
長く見てると長く見てる間の変化
っていうことを上げることができるじゃないですか
この4年間の変化
っていう風なものを
3つ上げてくれてはるんですけれども
まず1つ目が
標的型
ランサムっていわゆるネットワーク侵入型ランサムのことを
言ってるんだと思うんですけども
ここをやりますってって決めて
ばら撒きではないという風なものの
ランサムウェアの攻撃が
台頭してきたということで
今回のこの分析の中では
特定のターゲットに向けた
いわゆるネットワーク侵入型の
ランサム攻撃が95%
なんですって
でばら撒きが
かなり少なかったんだなってことなんですけど
このポートキャストでも以前取り上げた
いわゆる通称めぐる情勢
警察庁のレポートがありますけども
あれは
手口を確認できた被害の
やつで令和5年の上半期だけで
見ると83件あったんですが
そのうち65件が
ランサムの二重強括
ノーウェアーって言ってる
暗号化を伴わないものが6件で
83%がネットワーク侵入型
という風なことが
傾向的には似てきてるかなっていう感じですね
多さという風な意味では
これが
ちょっとこういうものが
出てきてますよというこの4年間の変化が
ありましたということが1点目
で2点目が
直接侵入の増加
っていう風なことが書いてあったんですけど
ちょっとピンとこないんですけどね
何を言ってるかというと
VPNとかリモートデスクトップ
など脆弱性ですね
を悪用して
内部ネットワークに直接入ってくる
メールをやって踏ませて
みたいな感じではないって意味だと
直接って意味だと思うんですけども
これは対象期間を前半
後半に分けて分析されていまして
前半が2019年の1月から
2020年の12月で
24ヶ月分を前半としていると
後半がその後の2021年の1月から
2023年の6月の30ヶ月を
後半として分析した結果なんですけども
前半で見ると
VPNとかリモートデスクトップや
脆弱性を使ったものっていうのは
22.2%だったものが
後半の2021年1月以降は
66.7%
およそ3倍ぐらいにが
こういった手口になっているということで
直接侵入とここで言っているものが
かなり増えたというふうに
言っているんですね
この侵入の手口というと
僕たちが
僕が大好きなのが
コーブウェアのレポートあるじゃないですか
あれと見比べてみたんですけど
トレンドマイクロが言っている
先ほどの24ヶ月の前半から後半に
向かうところを見ていくと
一番最初の頃は多かった
リモートデスクトップが下がり始めて
メールという手口がずっと
交差していた時期がありましたよね
増えたり減ったりみたいな
というところに当たり始める時期
だったんですよね
後半に当たる部分は
2021年の第1クォーターで
50%弱だった
リモートデスクトップでの
侵入が
23年の第2クォーターでは
25%という
約半分ぐらいにまで下回っているんですよ
でも
2021年の第1クォーターで
18%ほどしかなかった
脆弱性利用は
先ほどの2023年の第2クォーターで
35%にまで増えている
合わせると60%ほどになるので
これも近いのかな
という感じはしましたね
直接侵入の手口の変化
数字としては
傾向としては似ていなきゃおかしい
という感じ
あと
2019年からのこの4年間で
VPNはじめ
外部から直接侵入可能な
割と
使い勝手の良い脆弱性が
たくさん出た時期と重なっているので
こういう傾向出るよね
そんなに違和感ないよね
このレポートの中にも
コロナ禍の影響で
在宅ワークの導入が進んだというのがあるので
そういったところを狙われやすくなった
というのもあるんじゃないか
というふうなことが書いてありましたね
ただちょっと
トレンドマイクロの方では言及していなかったので
気になった点としては
コーブウェアの方だと
2023年の
第3クォーターに
最も多く
多かった割合を示してしまって
1位になったものの中に
僕らが危惧している
アンノウンという
理由わからんというやつがあってですね
これはトレンドマイクロの方だと
その他の方に入るのかもしれないですよ
その他は33.3%だったんですけども
でもさすがに
トレンドマイクロの調査をして
理由がわからんかったみたいな
あんまなさそうかなっていうのがあるんで
ランサムウェア被害の状況
これは僕の予想でしかないんですけど
きちんとこう
トレンドマイクロに限らず
何かしら製品入れてるところに
調査をお願いすることで
結構多いと思うんですよね
そうすると
理由がわかれへんっていう風なものってのは
少なくなってくるのかなっていう気はしましたね
きちんと準備をしていなくて
事故が起きた時に
いろんなところ探して頼んだところほど
ログもないしあれもないしみたいな感じになって
アンノウンになりがちなんかなっていうような気は
ちょっとしましたと
いうとこですね
最後3つ目なんですけど
これは次は
侵入してから実際の被害までの
時間が短くなってますということで
ランサムウェア実行までの
タイムリミットが侵入されてから
全部完遂するまでのタイムリミット
ってのは24時間だという風な
ものが変化として上げられる
という風に書いてあったんですけども
初期侵入からランサムウェアに
感染させられるまでの平均日数
っていうのが6.47日
なんですって
この使ってたケースの中では
ただその内訳の
28.6%
では24時間以内にデータが暗号化される
という風なもので
最短は3時間10分っていうものだったそうです
ただねこれ
1日以内24時間以内
28.6%なんですけども
2日以内っていうのも28.6%なんですよね
で4日以上っていうのは
もう38.1%っていう風なものがあるので
この辺に関しては
その初期侵入からデータ暗号化までに
かなり時間がかかってるのは
イニシャルアクセスブローカーの
影響もあるんじゃないか
っていうようなことが
レポートには書いてあったので
僕はこのグラフを見ては
早くやられるっていう風なものって
ニュース記事とかにも
あげられがちではあるんですけども
それを対処する必要はもちろんあるんですが
目を向けて欲しいなと思うのは
このある程度猶予期間があるケースを
4割ぐらいはあるんやでってことは
見た方がいいかなと思いましたね
そういう猶予期間に
検知する仕組みっていうのを
しっかりやっておくってことに
もうちょっと目を向けておくと
目を向けて欲しいなっていう
なるほど
短くなってるのはそういう傾向として
長い方に目を向けろっていうことね
そうそう
こっちの方も忘れんと
猶予期間の間に見つけられるチャンスはあるんだ
っていうことを
攻撃にもフェーズがあるんで
どこでだったら止められるのか
どこでだったら見つけられるのかっていうのを
もう一遍考えるってことって大事やなという風に
確かにね
この期間は多分アクセスブローカーの存在感が
真下敷きとも重なってるだろうから
そうですね
そういう意味で
二極化してるのかもしれないね
そうですね
初期侵入と後のランサムのアクターが異なる
ブローカーを使っているケースと
そうでないケースで
マルキシ傾向が違うっていうことを
考えられるんで
そうですね
それぞれに対応するっていう風に考えないと
一緒くたにしたい方がいいっていうか
それは危険っていうのは確かにその通りかもしれないね
そうですね
早いやつだと
もしかしたら間に合わないかもしれないですけども
間に合うような攻撃もあるから
そういったとこも視野に入れてやってほしいなっていうとこですね
結構そうですね
ネギツさんがおっしゃったみたいに
このイニシャルアクセス使ってるところは
やたらと暗号化まで早いとかもあるんですよ
いろんなねレポート見たりとかもしてると
あのカークボットがイニシャルアクセスのやつとか
例えばブラックバスターとかそうなんですけど
早いんですよねめっちゃ
本当それこそカークボットの感染させたら
この感染した状況を
もうブラックバスターとかは知ってんじゃないかな
とかねそう思いますね
すぐ連絡してんのかなとか
その通知する仕組みがあんのかなってぐらい早いんですよね
なのでそういったものもあるんで
両方の側面から見ていただきたいなっていうのは
すごくこのレポートでは思いましたということですね
4年間通じていろんな変化があって
自分もね自分で調べてるから
比較するのがすごく楽しいって言ったらあれかもしれないですけど
興味深く見れるんでですね
何が言いたいかっていうと
僕も4年ぐらいに入りましたけれども
ランサムのウォッチは
来年以降も
来年以降も
もう頑張りまっすんということでね
どっちかわかりませんけれども
引き続きやっていきたいなという風に
思いましたということでございます
いやしかしランサムウォッチもさ
つゆさんの
まさかっていうか
もうちょっと下辺になってほしかったなっていうかさ
確かにね
辻 伸弘
4年もあったらね
そうそうそう
防御側の取り組み
ちょうどほらね
4,5年前とかって
今標的型って言ってた
ネットワークの
ネットワーク侵入型って言ったりするけど
そういう日英共白系が
主流になり始めた頃で
メイズとかね
そうそうそう
でもこの流れは
すぐ収まってほしいなと
ちょっと希望的観測で思ってたけど
全然そうはならなかったっていうのはね
辻 伸弘
全然落ち着く気配が
むしろ悪化してるというか
この間の巡る情勢でもそうだけどさ
高止まりしちゃってるっていうか
本当に
なんかいろいろほら
一時期2年前だっけ
1年前だっけ
アメリカ政府が本腰入れてやるだの
あと業界横断的にいろいろ取り組みが進んでいて
ストップランサムウェアとか
CISMも一生懸命やってるし
そういう意味で対策はすごく進んでるしさ
セキュリティベンダー側もいろいろ頑張ってさ
バックアップしっかりやりましょうだとか
今回みたいなインシデント対応サービスだとかさ
やったりだとかっていう風に
そういう意味でそんなに後手に回ってるか
そんなにしない感覚的にしないんだけど
そうですね
その割には全然被害が減ってないなっていう感じが
確かにね
してて
なんかちょっとその
もやもやするっていうかさ
全然力及ばずっていう感じでもない
みんな結構頑張ってやってるように見えるんだけど
取り組みを見てるとしっかりしたいろんなのやってますよね
そうなんだよ
確かにほら
やれランサムランサムって
ランサム対策言い過ぎちゃうんっていうぐらい
結構業界力入れてさ
ランサムウェアの対策をやろうって
どこもかしかも言ってる割には
なんか各社いろいろその報告見ても
そんなに被害の状況が良くなってないなっていう
確かにそうですね
なんか身の白金支払いに関するね
法律みたいなもんとか
あとは国際的にそういうのやめようみたいな運動とかもね
ありますけど
なんかこう落ち着いてないっていうのは
なんかね
僕はほら
ウォッチするっていうアプローチで接してるじゃないですか
大変やなって
他の人たちはもっと大きな規模で大変なんだと思うんですけど
僕自身で大変やなっていうのは
最近の方がやっぱり大変やなと思ってて
アクターが多い
そうそうだから
その防御側のさ
努力が足んないっていうよりは
それを上回る規模で
攻撃側が活発にやってるっていう感じなんだよね
そうなんですよ
だからウォッチ範囲が
ウォッチ範囲とかも増やさない
減ったり増えたりするじゃないですか
急に止まったりとか
増えたりとかしてて
それにね結構対応するのが
まあまあしんどくて僕も
監視対象広げたりすると
サイトの作りちゃう方は
ウォッチするためのスクリプトも書き換えたりとか
追加でモジュール作ったりとかしてるんですよ
まあまあそのしんどいっていうのを考えると
努力が足らんというわけではないような気がするね
僕も
そうだから攻撃側が活性化してるっていうか
その
意識が下がってきて
いろいろ新しいアクターが
次から次へと入ってきてるっていう状況を
ちょっと抑制できてないよね
だから
防御する側はまあ頑張ってやってるんだけども
まあそれを上回ってるよね
相手側がね
攻撃側の活性化
いやほんとそうですね
ちょっとあの来年も継続していこうかなとは思ってます
よろしくお願いします
はいありがとうございます
はい
ということで
今日もセキュリティのお話を3つしてきたんで
最後におすすめのあれなんですけれども
今日紹介するのは
もともとテレビの番組として放送されてたんですが
2年ぐらい前からYouTubeチャンネルができてですね
現在176本の動画が上げられていて
今もなおちゃんと更新されてるんですけれども
その番組のYouTubeチャンネルを
ちょっと今日は紹介したいんですが
昭福亭鶴兵衛さんがやってる
鶴兵衛の筋なしっていう
番組のYouTubeチャンネルがあるんですね
でこれ自体は
1998年の10月から2014年の6月まで
CBC
チューブ日本放送っていうところが配信してた
テレビ番組なんですよ
もともとは地方局だけの狭い範囲でネットしてたんですけども
途中から東京とかもネットするようになって
広がったやつなんですが
どんなやつかっていうとですね
鶴兵衛さんとアナウンサーの人がまず
レギュラーで出ていて
そこに毎回違う俳優さんとかがゲストで来るんですよ
ではい今日はここですみたいな感じで
セットを見せられるんですよね
例えば車的
温泉地の車的場とか工場とかっていうのがあって
それだけ決まってるんですよ
で話はどんな風にしていくかっていうのは
はい始めますってなってから
役所もお互いで話をしながら
役作りをしていくっていう
いわゆる即興ドラマ
エチュードって言われるような
パターンのやつなんですよね
話していくうちに関係性
例えば男女がいたとして
父親と娘なのか
夫と妻なのか
分からないままスタートするってことなんですよ
探り探りやっていくわけね
片方がところで
お父さんさって言うと
お父さんだったわけですよねそこで
そういうのを筋なし筋がない状態で
話を進めていって
それを全部取り終えてから
反省会みたいな感じでプレビューしていって
この時どう思ってたみたいな話をする番組
なるほど
それなんかあれだね
結構スキルが要求されるね
いやいやかなりそう
その回によったら
その人が上手いか下手か
我々もまぁまぁスジナシだ!スペシャル!
噛み合う噛み合えへんとか
結構あって
本人としては不利としてやってるのに
それなんで拾ってくれへんかったんみたいな
我々もよくあるじゃん
あるあるわ
確かにね僕らも結構
パネルやってるけど
あれ筋ないもんな確かに
即興でやったら
どっちの方向行くのみたいなさ
あるあるある
お前今何の話
しようとしたん急にみたいな時あるもんな
時々あるよねそういうのね
結構確かにそう
僕らも一回やってみたいなプレビュー
で面白いかもねこれ
この時どういう気持ちやったわみたいな
そうそうそうそう
結構ねその
僕らのパネルご覧になられてる方は
どういう目線で見てるかちょっとわからないですけど
結構ね
僕はほら自分の顔見えないじゃないですか
自分も喋ってるからね
でもね僕がねこう喋ってるとね
ねぎしさんがねあれお前今
あれどうすんのよ
おつもりでそんなこと言うてんのみたいな顔する時
あんのよ
顔で言ってる
あとねちょっとねうんっていう時がね
半笑いのうんとか返してく時あって
なんかあるんですよ
結構ね
反省会騙したことないもんねそういうね
こういう時どう思ってたとかあんまないもんな
面白いかもね
確かにそうそうそういうの結構ヒリヒリするの好きやから
僕この番組結構昔から
テレビ放送の時から見てて
へー
久しぶりになんかふっと思い出したの
ですよねこのことをね
検索したらyoutubeチャンネルがある日みたいなあって
それで僕もこう一話ずつちょっとずつちょっとずつね
あの昔これ見てたわみたいなやつを見直してるっていう
へー
ちょっと面白そうね
いや面白いですね
1個20分から30分ぐらいかな
1個
うんいいね
そうそうそうね結構なコン数上がってるし
今も昨日も新しいやつ1個追加されてたんで
一個見てみよう
うん見ていただければなという風に思いました
ということでございます
はい
はいということで
はいということで
はいということで
今年の通常回は
今回が最後ということで
次回は
あの方が帰ってくる
スペシャル回になりますので
楽しみ
皆さん楽しみにしていただければなと思います
ということで次回もお楽しみです
バイバイ
