体調と応診サービス
久々に体調を崩してまして、やっとこさ、まあなんとかっていう感じ。
ちょっと完治というか、フルというわけではまだないんですけれども。
お大事に。では今日終わりますか、これで。
いやいや、何のために準備したんだ。準備もしてんのよ、一応。しんどい中ね。
風邪ですか?季節の変わり目だしね。
一応、応診に来てもらって。
前もそんな話してなかったっけ?
基本やっぱり応診に来てもらうんですよ。
チェックもしてもらいました。インフルもあるし。
今流行ってるみたいだよね、インフルね。
あと、コロナも言うてもなくなったわけちゃうじゃないですか。
今のやつってね、一回やったら同時にできるんですよね。
線が出るところが2個あって、検査キット。
便利になったね、そうなんだ。
こっちはコロナのチェック、こっちはインフルのチェックみたいなのがあって、
線が両方出てたら検査は正常にできましたの線でね、みたいなのが2個あるんですよ。
へー。
両方とも陰性だったんで、たぶん風邪こじらしたみたいなもんやと思う。
疲れてたっていうのもあるのかもしれないですけどね。
まあまあ、忙しいですからね。
まあまあ言うてもバタバタね、お仕事もらってますけれども。
応診をする時にちょっとね、もうイラッとしたわ。
何?何かあった?
いつも頼んでる応診サービスみたいなのがあるんですよ。
それで電話したら、やっぱり休み、週末にかけたんですよね。
先週末ね。
土日ってやっぱり混むんですよ。絶対数少ないし、普通の病院に行けないじゃないですか、みんなが。
そやから応診頼むっていう方が多いわけで。
はいはい。
そんなことももうこっちは知ってるんですけど、なんかもう今日はもういっぱいでみたいな。
で、その時間が秋次第みたいになるんですって言われたんですよ。
そうかと。まあそれはしょうがないんで。
じゃあ、深夜でもいいんで来ていただきたいんですよね。
深夜も来てくれるんで、夜中の本当に、てっぺん回ったら2時、3時とかでも来てくれるんでね。
へー。
そういうのがあるんでって言ったら、秋次第になりますみたいな。
さっき聞いたな、それと思って。
それは、すいません、それは空いたら来ていただけるっていう意味なのか、
空いてるかどうかのタイミングにまだ電話を見計らってするのかどっちなんですかみたいな。
今、隔約はできませんって言われて。
そういうルールでしゃーないかと思って。
そうしたら、頃合い何時か分かれへんけど、小刻みというか、
例えば夜の10時にかけて、12時にかけてっていう風にした方がいいんですかねっていう風に言ったら、
まあそれしていただくのは全然結構ですけど。
ずっとロボットみたいなやつと喋ってる感じで、
もうなんかこっちはしんどいのに、もうつらいわと思って、分かりましたって一回聞いて、
検索してそこにかけたんですよね。
いつもメモってなかったから電話番号を、サービス名は覚えてるけど、
もう一個似たようなサービスが検索結果に出てたの。
そっちに一回かけてみたんですよ。
いつもと違うところってことね。
そう、初めてのところ。
そしたら、すごいなんかまず出てきた感じがいい感じのおばさまで、
なんか声に安心感があるんですよ。
なんかないですか、しんどい時に病院行った時にね、
看護師さんの接し方に安心感を覚えるみたいなのあるでしょ。
なんかホッとするみたいなね。
そうそう、そういうちょっとおっとりした感じというかね、
感情のこもった感じの声で、今いっぱいなんですみたいな。
じゃあ待つしかないですかね、また折り返し何回かかけた方がいいですかと。
いやいや、秋次第こちらでも何時になってもいいんだったら電話しこちらからかけますみたいな。
いいじゃん。
全然違うさっきとと思って。
じゃあ携帯いつも横に出れるように置いておきますね、
休み休みに寝たりするかもしれないんでって言ったら、
いやいや、大丈夫です近くに置いておいてもらえば何回かこちらからかけ直したりもしますからって言って。
親切だね。
そうやっぱりね、何ていうかね、
サービス内容としてその中身を提供することも大事だけど、
やっぱり安全じゃなくて安心を与えることも大事なんちゃうんかっていう、
あ、いいこと言うってバレた?今から。
自分も改めて相手に親身になるっていう仕事で大事やなって思ったってことなんですよ。
そういう対応のポリシーっていうかさ、決まってんのかね。
その人の判断でやってるというよりは、むしろそういうふうにやりますって決めてるのかもしれないね。
そうなんです。でも今までそんな感じじゃなかったんですけどね。
僕が先にかけた方は結構CMとかもやり始めてて。
そうなんだ。今じゃあそういうの結構。
拡大してるんやと思うんですよね。
だからちょっと次からはそっちじゃない方、今回初めて使わせてもらった方にかけようって思いましたね。
確かに何かね、それだけたまたまその電話を受けた人の、もしかしたら人によっての違いがあるかもしれないけど。
それは人依存の部分あるかもしれないですけどね。
ひょっとしたらね。
でもその辺って教育による平準化の大切なとこじゃないですか。
なんかね、その人を見て全体のサービスがどうなんだろうってやっぱ思っちゃうもんね。
だいぶそれ印象変わるよな。
もしかしたら、物によったらそこの人が電話を受けてるんちゃうかもしれないですからね。
あー、委託してるってこと?
そうそう。電話を受けるのを多いから外にも頼むようになったとかっていうのも結構ありますからね。
今そういう営業電話とかでもそういうのあるでしょ?
一旦そこの会社の人じゃないのが受けるみたいな。
一時受けは全部代わりにやってくれるみたいなね。
そうそうそうそう。だからそういうのなのかもしれないです。
まあまあ、邪推ですけどね。わかんないですけどね。
なるほどなるほど。確かにね。
これも委託先管理が大事だって。
そうね。
大事だなっていうことを、体調崩してもただで沸きひんぞと。
あー、なるほどね。はい。
ということでね、そういうことがあったというお話でございます。
学生からの反響
いやいや、お大事になさってください。
ありがとうございます。お便りが来ておりましてですね。
はい、お願いします。
セキュリティのあれ聞いてますと学生から声をかけられました。
以前授業で紹介させていただいたのを聞き続けてくれてたとのことで、話が面白いから聞き続けたくなるねと盛り上がりました。
今週日曜日、これ先週の話ですね。
今週の日曜日の情報処理安全確保支援士にも挑むらしいです。頑張ってという。
おー、その人は学生から?
先生なんですかね。
先生ってことだね、たぶんね。
うーん、そうそうそう。
えー、先生が何こういうのあるよって紹介してくれたのか。
うん。
で、学生が聞いてくれてると。
そうそうそう。で、このあれの話で盛り上がってるという。
めちゃくちゃいい話じゃん。
そうなんですよ。だから僕これ先週のお便りだったんで、またちょっと体元気だったときだったんでね、返事返しておきましたもん。
ちゃんと、「ありがとうございました。試験頑張ってくださいとお伝えください。」っていうふうに送ってきました。
あー、そっかそっか。先週一回修読休んだからね。
そうそうそうそう。
あー、へー、そっか。いや、それはすごい、めちゃくちゃありがたいね。
いやー、そうですよね。これ受かったらね、受かりました。あの時の生徒ですみたいな。別に僕ら会ったことないけど。
あの時の助けていただいたつるですじゃないですけど。
ね、言っていただければね、お便り読みますからね。ステッカー差し上げたいですよね。
ぜひね、お便り欲しいですね。待ってます。
とびきりそばの体験
うれしい。ありがとうございます。
ありがとうございます。
で、あとはあの、とびきりそば試してくれる人結構いっぱいいまして。
あ、聞いて聞いて。
はいはい。
俺も先週食べた。
マジっすか?買いました?
たまたまスーパーに行ったときに、ふと思い出して。
いや、俺結構普段さ、あの、ついさんのおすすめのやつ売って。
まあ、どうせまた売ってないよなーとか思って。
はーいって探したりしないんだけど。
探してよ、一回。
ふとね、ふと。あ、そういえばとびきりそばはどこでもなんかあるかもって言ってたなーと思って。
買い物行ったときに、そばとかそうめんとか売ってるところに行ったら、とびきりそばって売っててさ。
あの三本セットみたいなやつ?
そうそう、三本セットのやつ。三本てか三束?三束セット?
三束か。
あ、これやーと思って。買って。
買いましたか?はいはい。
食べました。うまかった。
おー、どうでしたか?
いや、めちゃめちゃうまかった。あ、とちょうど、あの、残念ながらつゆの方おすすめのやつはちょっとなかったんで。
あ、当選強。
はいはいはい。ちょっとそれはなかったんで。普通のというか、他の市販のつゆを使ったんだけど。
いやー、なんか、めんはおいしかったですよ。すごく。
のどごしもいい感じ。しっかりしとるでしょ、結構ね。
うん。のどごし、歯ごたえなんかちょっといい感じで。
この方もね、同じで。
当選強めんつゆは近くのスーパーやカルディーまでも行ったみたいですが、カルディーでは売っていなかったので、セットでは試せていませんが、とてもおいしくいただけましたということで。
これね、当選強もネットで買ったほうが早いんかな。
まあ、そうかもね。ちょっともしかしたら手に入りにくいかもしれないね。
そうですね。ネットとかで安いとこ探したら4,500円とかで買えるから、なんかの、例えばアマゾンとかでなんかのついでに買うとかでもいいんじゃないかなと思うんですけど、ぜひこちらも合わせて試していただきたいなと思いますね。
はい。ちょっと今度試してみます。はい。
次の手順ですが、セキュリティのあれで紹介されたポケットのサービス終了ですが、先ほど確認したところ、ポケットアカウントはモジラーアカウントに自動移行されているので、アカウントは今後も生きるようです。
不要ならアカウント削除をお勧めします。モジラーアカウント作った覚えなかったのにということだそうです。
それはね、ちょっと正確にいつか忘れたけど、だいぶ前に最初ポケットがモジラーに買収された時か何かに、途中までは別アカウントだったんだけど途中で投稿されたんだよ確かね。
そうそう。ポケットの時のアカウントと違う名前に僕も書いたもんだ確か。
そう。俺も一回そこでアカウント移行してモジラーアカウントの方に投稿されちゃったんだよね。
だからそうそう知らないうちに、そういう意味ではモジラーのアカウントは、ただモジラーのアカウントって持っててそうはないっていうかさ。
僕もそのモジラーアカウントで、前に紹介したかもしれないけど、Firefoxのリレーとかモニター、ハブアイビーンポードのやつ。
Firefoxモニターですね。
フィッシングの手法
そうそうそう。あのモニターサービスだとか、あの辺全部そのモジラーのアカウントがないと使えないから、そのまま使ってもいいんじゃないですかねって感じだけどね。
あれは海外だけなんでしたっけ?個人情報の消せるみたいなやつ。あれモジラーでしたっけ?
あれは海外だけだし、あれはサービスの提携先かなんかちょっと怪しい会社だったんで、あれはその後撤回されたんじゃないかな?わかんないけど。
あーどうやってこれ調べてんねんみたいなね。
日本ではやってないねあれはね。
そうですよね。もともとそうでしたよね。
まあポケットだけ使ってて一向されたんやったら消してもいいかもしれへんけど、まあなんか他のサービスの活用とかもきちっとアカウント管理さえしてれば問題ないんで活用してもいいんじゃないかなとは思いますけどね。
最後のお便りなんですけれども、277回目のあれでね、これちなみに59番目の素数なんですよね、277っていうのは。
はい。
はい。
はいって。
タイトル誰もたぶん気づかないんじゃないかなと思ったんだけど。
そう誰も気づいてないから今種明かししたんですよ。
まあいいやそれはね。
わかんないよねこれね。
わかりにくいですよね。わかりにくいの好きなんですよね僕ね。
いいよいいよそういうひねったの大好き大好き。
本当ですか。
でその277回でソフォスの社員がフィッシングに引っかかったでって話あったでしょ?
あーはいはいセキュリティ会社もこういうのに引っかかっちゃうねみたいな。
フィッシングの手口自体は一番初めのルアーはドキュサインやったって話あったじゃないですか。
なんでこれ届いちゃったんだろうねみたいな。
そうそうそうそうそれに対するその届いた人から連絡が来まして。
あー同じやつが。
多分こういうこれこれこういうで引っかけにくかったんだろうっていう特徴と手順というか流れをね踏まえて連絡いただきまして。
えーありがたい。
この同じようなやつそのフィッシングが来たらしいんですよ。
ドキュサインを語るやつがね。
で送信元のメールアドレスは多分もともと正規なものが不正に利用されているgメールから送信されてたと。
なのでまあ送信ドメイン認証はパスしてたということらしいですね。
で本文はそのドキュサインが送信してくる標準テンプレートとまぁそっくりの内容フィッシンガーでそうですよね。
で本文中のリンクをクリックすると
リダイレクトを3回繰り返すと。
まあもちろんその見た目には3回繰り返してない見えないと思いますけど一瞬でパパッと変わっていくんで。
いきなり最後のところに来たように見えるってことですよね。
で最後はえっとグーグルの認証ページを模倣した作りになってるんですけどこの模倣したそのグーグル認証するページのところの
ドメインを調べてみたらブラックリストに登録されていないようなものだったそうで
セキュリティ製品いくつかでのそのフィルターをチェックしてみても引っかからずに白の判定だったという風な感じで抜けましたという感じだそうです。
なるほどね。まあその辺は何とかイタチごっこの面があるから
例えば文面がさ本物そっくりだと目が開けられないかもしれないし
あと今言ったメールのそのDマーク的なチェックだの
あと今言ったそのねリンク先のチェックだのっていうので
いくつかそのハードルはあると思うんだけど
まあそれクリアされちゃうとねなかなか難しいよっていうのはまあ確かにおっしゃる通りですわね。
これまあ開いたタイミングにもよるんでしょうけどね。
そうだね。
誰かがね一番初めに引っかかって通報してくれてればその以降のユーザーは引っかかれへんとかもあるやろうしね。
そうね結構最近はそのフィッシングの報告後のそのなんていうかな
例えばセーフブラウジングとかのさチェックだとかああいうのってすごいスピードが早いから
もう1日も経たずに黒判定されちゃってブロックされちゃうとかっていうのが結構多いけど
一方でそのフィッシングする側のドメインはいくらでも変え放題だから正直ね追いつかないっていうのがあるよね。
そうですねリダイレクト先変えてくるとかもありますね。
リダイレクトのするやつは生きててとかもありますもんね。
そうだねそうそうそういうのをかましてくるといろいろ防ぐのが難しいかもね。
まあなんでも完璧はないっていうことですよね。
いやでもそういうあのねこんな風じゃないかって事例を教えてくれるの嬉しいですね。
そうそう結構あのここのドメイン踏んでこの ip でみたいなやつもきちっと書いて教えてくれたので。
はいありがとうございます。
きちっと検証したような感じの愛用でいただきました。
はいありがとうございますということでお便りをいただいた方にはセキュリティの特製ステッカーの印刷コードを差し上げてます。
5種類あるんで5つ揃ったら写真を撮って僕に dm いただければ6つ目のシークレットを差し上げるということをしておりますのでよろしくお願いします。
あとはあの揃った人を招待するこの公開なんちゃって公開収録みたいなも企画で考えてるんでどしどしお便りいただければと思いますよろしくお願いします。
はいお待ちしてます。
最新のフィッシング攻撃の傾向
ということで今日もセキュリティのお話をしていこうかと思うんですけれどもじゃあ今日僕からいきましょうかね。
はいお願いします。
僕が今日紹介するのはですねもうこのポッドキャストでも結構このポッドキャストだけじゃないですかね世の中でもよく聞くようになったクリックフィックス。
どちらかというと最近なんかペケペケペケフィックスとかオールフィックスとか言ったりしますけど。
なんかいろいろこうなんかアシュっていうかさ。
そうなんですよね。
ちょっとひねったテクニックがいろいろ出てきてるよね。
そうなんですよね。
そこで今日僕が取り上げたいのがファイルフィックスのアシュって言ったらいいのかな。
新たなっていうよりもファイルフィックスの拡張みたいな感じなんですかね。
組み合わせというか。
それをちょっと紹介しようかなと結構なかなかこういうの確かにいけるなっていうのがあってハッとしたんで紹介しようと思うんですけど。
はい。
もともとはそのなんかXとかでその手法とかが出てたんですけどパンデミックボーイっていう人がアカウントですかね。
がXとかでこれを報告しててでエクスペルっていうセキュリティ会社がこの詳細なレポートを出していたというふうなものなんですけども。
まずどんな流れかっていうのをファイルフィックスのおさらいも兼ねて説明していきたいと思うんですけど。
はい。
まずですねそのアクセスしたページで嘘っこのページが出てきてこれコピーして実行してなみたいなことが出てくるのがよくある手口なわけなんですけれども。
この攻撃ではフォーティネットのVPAのクライアントコンプライアンスチェックっていうページが偽装されたページが出てくるというふうなもんだったんですね。
でそのアクセスした偽のページのところにはこれをコピーしてエクスプローラーに貼り付けろっていうようなことが書いてあるんですけれども。
うん。
まずコピーする文字列が見えてるんですけどそこには通常のというか異常のないような単なるファイルパスが出てるんですよね。
そう見えると。
そうそうパブリックサポートVPNフォーティクライアントコンプライアンスドットエグゼみたいなものが書いてあるんですよ。
もちろんこれが本物なわけでなくて。
まあよくある前にねスペースが入ってるんですよ。
139個入ってるそうなんですけども。
でその前にはPowerShellのコマンドが配置されてるんですよね。
ただそれはあれか貼り付けた時には見えないってことね。
そうそうそうまずその自分が見ているところにも見えないようになっているってことなんですよね。
ちなみにこの正当に見えるこのファイルパスは実はシャープでコメントアウトされている文字列なんで実行の時には全く何の効果もない文字列だと。
なるほど。
いう作りになっているんです。
でこれをコピーしてエクスプローラーに貼り付けるっていう風にするとこれちょっとかわいいところなんですけどエクスプローラーに貼り付けたらシャープちょっと見えるんですよね。
ダメじゃん。
ちょっと見える。なんで本なら139個やねん。もっと減らしとけよみたいな。
調節しろよって感じだよな。
そうもう一個減ってたら見えてなかったんちゃうみたいな感じにもなってるっていうね。
まあちょっとその辺がかわいいとは一瞬思ったんですけれども。
まあでも普通の人はさあそのシャープがコメントだとか。
違和感覚えないですかね。
知らなかったらわかんないよねこれをね。
そうそうそう。ちょろっと見えてしまうっていうところがクスってちょっと動かしちゃったんですけどね。
ただこのファイルフィックスってそのコピーして貼り付けるっていうだけじゃなくてあのだいたいコントロールVで貼り付けるとかあとエンターっていうところがあって。
エンターでやるとこのエンター実行するとこのヘッドレスノードで実行してそれであの目に見えないコマンドがパワーシェル実行されるわけなんですよね。
でこれパワーシェル実行するとどうなるかっていうところ。ここはちょっとね注意深く聞いといて欲しいんですけども。
まずはその40クライアントスラコンプライアンスっていうフォルダをローカルアップデータの下に作るんですよね。
でその後Google Chromeのそのユーザーデータの下にあるキャッシュデータのところにファイルをキャッシュファイルをコピーするんですよ。
でその正規表現を使っていわばマッチングパターンマッチを使って特定のランダムっぽい文字列2つの間にあるコンテンツを検索するんですね。
このキャッシュの中にある。キャッシュされている画像ファイルに見せかけたものは実は中身がジップファイルなんですよ。
でそのさっきスキャンして抽出するっていうところでその中身のジップを取り出して解凍して中身のエグゼが実行されてこれがインフォスティーラーマルウェアだというようなことで実行されるというふうなものなんですよ。
でこれ肝になるのがさっきのそのスクリプトがスキャンしたキャッシュファイルっていうふうなことなんですけど
これねずいぶん前に僕が161回でキューボットがデリバリーされるのにhtml スマグリングっていうのが使われてるんですっていうのを紹介したと思うんですけど
要はこれもスマグリングの手法でキャッシュスマグリングっていう攻撃なんですよね。
これいつの間にスマグリングされたのか密輸か密輸という意味ですけどされたのかっていうとこれあのさっきクロームのキャッシュの中に画像に模した実は中身がジップのファイルが保存されてたって言ったじゃないですか。
フィッシングへの対策
これがですねこの被害者がさっきそのファイルフィックスをするページにアクセスするとこの画像を取得しますっていうジャバスクリプトが実は実行されてるんですよ。
取得する時のタイプがイメージすらJPEGっていうファイルタイプでやられているんでブラウザーは素直にそれをシステムに自動的にキャッシュしちゃうんですよ。
これがさっきのクロームのキャッシュに保存されるっていう種明かしなんですよね。
あらかじめだからマルウェアを画像ファイルに偽装して仕込んでおくわけね。
そうキャッシュの中にでそれをパワーシェルで探し出すという。
なるほど賢いね。
そうなんですよ。だから明示的に何かをダウンロードさせるみたいなことをユーザーにはさせないんですよね。
これはある意味しょうがないっていうかねそのブラウザーの基本動作としてそういう画像を勝手にキャッシュするってのはユーザーから見えないってのはこれしょうがないよね。
もう使用上そういうもんだということなんで。
それはうまく悪用してるってことだね。
まあ強いて言うとブラウザー側がこれがほんまに画像かどうかっていうのを中身をスキャンしてチェックすること以外は防ぐことは無理なわけなんですよこれはね。
しかもでもさスキャンしても例えばそのフッターヘッダーぐらいとかさなんかシグネチャーでチェックするぐらいできるかもしれないけど中にそのジップで圧縮されたマルウェアが含まれているかどうかなんて。
なかなかクイシーですよね。
見えなくはないと思うんだよね。多分そういうことをやろうと思えばできなくはないと思うんだけどめちゃくちゃ複雑になるし多分パフォーマンスに影響が出るからできないよねそういうのね。
現実的には厳しいなということなんですよね。しかもね今回そのこの文字列とこの文字列の間って埋め込みにしてるわけですから余計見つけにくいですよね。
なかなかすごい面白い手法だ。面白いって言ったらあれだけど。
こういうふうにすることで直接的にダウンロードさせるんじゃなくてこっそりキャッシュさせるっていうことと動作を検出しにくくなるっていうやり方をしてるんですよね。
そうだねこれブラウザでももちろんそうだしさあとほらセキュリティ監視的なやつもこれ見つけらんないよね多分ね。単に画像をダウンロードしてるだけっていう風にしか見えないからね。
そうそうそうだから対策っていうのがなんか結構大変かなっていうのでももちろんこういうものがあるっていう周知はまずしておかないといけないっていうのはあるにはあるんですけど
とはいえ人に依存しすぎるのもまあまああれじゃないですか。だからというとですね例えばなんかこう新しいドメインに関するブロックとかホワイトリストができるようなものか?
っていうのもこれもなかなか現実的じゃない部分があって。まあ強いて言うとこれ監視するっていうと多分これブラウザのキャッシュからプロセスが生まれるのかな。
EDRとかで見てると。でもこれキャッシュのファイルを別のところにコピーしてるんでしょこれ。そうそうそうだからパワーシェルからこここのファイルを触りにはいってるんですよねでもね。
これも結構なかなか難しいし。だってくるとこれはもうまた100万回ぐらい言ってますけどやっぱりパワーシェル本気でなんとかしなきゃいけないんじゃないですか。
パワーシェル万能だからなぁやっぱりなんか不必要なところでは止めるがやっぱり正解なのかなぁ。
そうですね一応なんかこのエクスペルのサイトとかでもそのどういうふうに守るかみたいなことが書いてあったんですけど。
やっぱりパワーシェルを使用を必要なユーザーに制限するっていう風なことを上げられてましたね。
あとは教育的なこととか。
言い換えればホワイトリストでそのフィルタリングとかドメインの信用度を見るとかそれぐらい上がってないんですよね。
これもさっきの話じゃないけどさアクセス先のフェッシングサイトっていうかそのそこでブロックできなかったらユーザーはここまで行っちゃうのは防ぎようがないから。
あとは教育でっていうのも確かにこういうコピペっていうのは勝手にやっちゃダメよみたいなのは有効だと思うけどね100%で防げるとは限らないからね。
そうなってくると最後の取りでやっぱりパワーシェル止めるかなぁ。
パワーシェル止めるか。なんかクリップボード監視するのも現実的じゃないやろしなぁとかね。
多分ねいろんなそういうその壁っていうか防御策は何種類があると思うんだけどなんかどれも突破されそうだもんね。
そうなんですよね。
なかなか厳しい。
いやこれ結構なんかさらにクリックフィックスはほらまだWindows Rの制限とかであっち使わせるようにすることできるじゃないですかファイル名を指定して実行ね。
でもファイルフィックスはねエクスプローラー止められへんからさ。それだけでも厄介やのにこういうデリバリーの仕方をしてくるっていうのは確かに言われてみたらそれできるけどっていうのがね出てきてハッとしましたね今回これ見てて。
なんかでもよくやっぱり公益側もその今回みたいなさファイルフィックスっていうその入り口になる手法と加えてそのマルウェアのデリバリー手法としてのキャッシュスマグリングっていう組み合わせっていうのはちょっとこれまであんまり聞いたことないから新しい取り組みだと思うけど。
でもまあ言ってみたらこういうこの手の組み合わせっていくらでもありそうだから。
いやそうなんですよね他のもんとかね過去に使われた手法と組み合わせてさらに厄介なものにするっていうののこのなんとかフィックス系はいろんな幅広で使えるなと思ってたけど組み合わせも多種多様でますます厄介やなっていうに改めて思いましたね。
やっぱりこういうソーシャルエンジニアリング系の手法の汎用性の高さっていうのが際立つよねこういうのね。
いや本当にそうですね。
ちなみにあのこのレポートに関係している人っていうのは書いた人がマーカス・ハッチンズっていう人で。
そうそう。
ちょっとなんか久しぶりに聞いたなっていう。
懐かしいねちょっと。
そうそうそう。
まあ興味のある方はどんな方かを調べていただければいいかなと思いますけど。
この会社に行って犯人やって思いましたね。
この前は聞いてたんですけど。
この会社に行ってるっていうか多分なんかこれ協力関係であるとかなんじゃないの?
そうなのかな。
会社に所属してるわけじゃないでしょこれ。
そっかそっか。
多分ね。
まあ有名人だしねこの人ね。
そうですね。
いろんなあれで有名でございますね。
そうですね。
はいそんな感じでございます。
はいありがとうございます。
ありがとうございます。
じゃあ次はねぎすさんいきましょう。
はいじゃあ今日はですね僕は今週の10月の15日に日本証券業協会っていうところがガイドラインを改正したっていう話を。
はいはい。
めっちゃCMで聞くねんそこ。
あそう?
あのスポティファイ僕聞いてるんですけど。
あのポッドキャストを聞いてるんですよね。
いろんな芸人さんとかの。
例えばそのなんかオールナイトニッポンとかあるじゃないですか。
ああいうやつ聞いてるとねスポティファイのCMではなくてそのラジオ自体のCMが入っててカットできひん時とかあって。
それでね日本証券業協会の兄さんをCMもう1日に何回も聞いてるんですよね。
本当知らない。
俺は聞いたことないわ。
そうそれで今ねあいつらかって思いましたね。
すいませんちょっと腰折ってしまいました。
そのラジオでもなじみの日本証券業協会さんなんですけど。
その何を改正したかっていうとインターネット取引における不正アクセス等防止に向けたガイドラインっていうのが前からあるんだけどこれを改正しましたと。
でこれなんで改正したかっていうと背景としてはこれまでポッドキャストでもちょっと紹介したかもしれないけど。
今年に入ってフィッシングなんかでその証券会社のサービスのアカウントが乗っ取られるというか不正ログインされて勝手に株式を売買とかされるっていう被害がすごい今年入って増えましたと。
5月ぐらい多かったでしたっけね。
そうそう4月5月ぐらいがピークだったかな。
でその状況を受けてこれ良くないねということで業界団体としてガイドラインを改正しましょうという取り組みが始まって。
7月8月ぐらいにパブコメを募集してその結果今回10月に改正しましたよっていうそういう感じなのね。
多要素認証の重要性
でいくつかその改正のポイントっていうのはたくさんあるんだけども。
その中でもちょっと1個重要なやつを今日取り上げようと思っているんだけどそれは何かというと今回ですねフィッシングに耐性のある多要素認証の実装を必須にしなさいということを。
強めだ。
ガイドラインで言っていて具体的にはこのフィッシング耐性があるっていうのはパスキーとかだよね。
パスキーとかそういったものが例として挙げられているんだけど。
でこれはなんでこんなにこう結構そのきつめというか厳しめのことを言うようになっているかっていうのは今のついさんからも指摘があったけども4月5月に結構被害がすごいピークになったっていう話があるけどこれ金融庁が毎月報告しているレポートでも明らかに出てるんだけどものすごい被害が数千億円という被害が発生したんだよね。
そうですね。
ただこの時結構証券業界はこの証券業協会を中心に証券各社がいろいろ取り組んで4月以降多要素認証を必須にしようみたいなことをやり出して結果どうなったかっていうと被害はググッと6月以降にすごい減ったんだよね。
9月とか最新の情報も出てるけどもかなり被害としては減りましたということで多要素認証がこうそうしたなとここが発揮してるなっていうのは出てるんだけどとはいえまあ多要素認証ってさあいろんな種類があって中にはそのフィッシングに強いものもあればそうでないものもあるわけじゃないですか。
でまあそういう状況を受けてということなんだけどちょうどね先週楽天証券さんがリアルタイムフィッシングの被害が発生しましたということで顧客に注意喚起を出していて
おっと結構リアルタイムフィッシングの注意喚起ってあんまり見かけないなぁと思ったんでこれは何かっていうと楽天証券も同じように結構被害が発生したので
6月からは多要素認証を必須にしたんだよね。しましたね。はいでこれがちょっと面白い方式で絵文字認証ってやつを楽天は採用したんだけどもこれどういうやつかっていうと
通常の id とパスワードでログインをしますそうするとあらかじめ登録したメールアドレスに絵文字が届きますと。そうそうそうなんですよ
僕ちょっと楽天証券使ってないんで実際にやったことないんだけども 絵文字が2つ届きますとでその届いた絵文字を画面に表示されている中から10個くらい表示されているのかな
そうですね。中から正しい絵文字を選んでくださいっていうこういう方式になっていて一見なんかちょっと珍しいなって感じなんだけども
本質的にはいわゆるワンタイムパスワードをメールとか sms で送信するってやつと基本的には変わらないよね。数字を入れるか絵文字を入れるかってだけの違いなんで
大きくは違わないんだけどこういう方式を採用しましたと。多要素認証を使っているから比較的安全は安全なんだけど
とはいえこれは以前から指摘はされているんだけどそのワンタイムパスワードも同じように攻撃者が中間にいるような攻撃、中間者攻撃というかアドバーサリーインサーミトルっていうのかな
フィッシングだとリアルタイムフィッシングっていうふうに呼ばれるけどもこういう攻撃の場合には有効じゃありませんよってことは分かってはいたんだよね
楽天証券の絵文字認証
分かってはいたんだけども被害として実際に減って効果があるからこれでいいかと思っていたらその矢先というか10月に入って実際に被害がどうも発生したということなんで
こういった状況をおそらく受けてこれはまずいよねということでガイドラインとしてはもうこれはフィッシングに耐性のあるやつじゃなきゃダメだよねということにしたと思うし
あと楽天さんも手をこまねてるわけじゃなくて実は10月の末からパスキーの導入を予定してて今後はこれを使ってくださいっていうふうに案内をすでに出している状況なんで
ちょっとそこに至る矢先に被害が発生しちゃったということねただ楽天さんも他の証券会社さんも一応パスキーの導入に加わって動いてはいるんだけども
ただ今のところとはいえそのパスキー使えない人とか使いたくない人もいるかもしれないけどわかんないけどという人もいるから従来の多要素認証も一応依然として有効にはなるみたいなんで
ただねこれで被害がどれくらい出るのか出ないのかちょっと状況はわかんないんだけどこういう感じになっていて
ガイドラインの方はかなり厳しめになってますよとこういう状況だね
パスキーってこのポートキャストでもアップルが最初に発表した時から結構取り上げていてちょいちょいちょいちょいパスキーの話
僕大好きだからパスキーって断ることに言ってるんだけど
こうやってその痛みを伴ってはいるけどもようやくガイドラインとか業界のガイドラインで必須にしようって言ってるぐらい
必要性がようやく認識されて実装の方はクライアント側の実装はもうだいぶ進んでいるけどまだまだそのウェブサイト側の対応が進んでないという状況だったんで
こういうのをきっかけに普及していくのかなっていうようやくそういう普及が見えてきたかなっていう感じはするんだけど
なんかでも一方でこれはもう前から言ってるけどそのパスキーの利用って基本的にはその鍵を保存するデバイスありきの仕組みなので
パスワードみたいに自分で覚えておくみたいなことはできないので
そうすると基本はスマホだよね一応パスキーを保存するデバイスとしては一応スマホが一般的に考えられていて
スマホがほぼ必須だし
あとそのスマホに付属しているパスワードマネージャーかないしはワンパスワードみたいなサードパーティーのパスワードマネージャーを使うということが要求されるので
普通の人にはややハードルが高いんだと思うんだよね
だからそういう壁を乗り越えてどこまで普通の人に普及できるかっていうところがここからの課題なのかなというか
今回の証券各社は実装必須かというか実装すること自体はもう多分ガイドラインに従えば各社全部やると思うんだけど
それが実際にどのぐらい使われるかというかね
それによってフィッシングがどのぐらい防げるかというのは今後見ないとわからないけど
普及するためにはそういうハードルがまだまだあるなという感じはする
セキュリティの強化と課題
あとはこれうまくできませんとか自分が使えなくなってしまいましたら問い合わせ対応とかもすごい増えそう
サポートのそういうコストというか負荷というかねそういうのも方式が変われば当然変わるだろうし
パスワードを使うのと同じくらい当たり前にパスキーが使えるっていう風にならないと
なかなかねそこまではまだちょっと道のりは長いかなという感じはするけど
そうなんですよね
とはいえなんかこういうのが出てきたってことはまあいい兆しではあるなというか
まあ確かにセキュリティレベルは強制的にでも上げるっていう流れが来てるわけですからね
あとやっぱり証券のサイトのサービスは今回のその被害をきっかけにというのはやや残念ではあるけど
それまではやっぱりちょっとその銀行とか他の金融機関に比べるとややセキュリティが甘かったことはちょっと否めないので
なんかねIDパスワードだけで普通にログインできるとか
まあ対応所認証あっても必須じゃないとかねそういう感じが今回のね
まあだいぶ変わったっていうのは良かったことだと思うんだけど
ただこれその別に証券業とか金融業だけの話ではないので
ここからこういったところが金融系がやっぱりこの手の話にはセンシティブなので
先にこういう取り組みをやってると思うけど
だんだんこれが他の例えばECサイトだったり
P2Cのお買い物とかね
そうそうその他のいろんなサービスで今だいぶ普及しつつあるけど
パスキーとかさ
そうですねパスキーにしますかというの出てきますもんね
そうそうそういうの出てきてるから
だんだんこれが当たり前になってくるといいなというか
そんな感想を持ちました
なんかねこの注意喚起僕も見てて
ちょっと気になったっていうか僕がその分類が細かすぎるだけ
っていう話になるかもしれないんですけど
このリアルタイムフィッシングっていうのは
AITMも含んだことを言ってるのかな
リアルタイムフィッシングって
最後の最後までサイトが偽物のイメージなんですよね僕は
裏でその入力した情報を入れてると
例えばIDパスワード入れました
それを攻撃者が本物のサイトにIDパスワード入れました
本物のユーザーのところの携帯に
例えば数字が表示されてますとか
SMSが届きますとか
それも偽サイトで入力するページに遷移して
それを入力したら
短時間内にささっとリアルタイムに入力したら
ユーザーが入れずに
攻撃者が本物のサイトにアクセスしてるんで
入れましたっていうふうなもんだという認識なんですね僕は
ただこの楽天の画像の認証と言えばいいですかね
ログインの追加認証と言えばいいのかな
これって偽物を用意するの結構大変なんですよ確か
絵文字自体が数百種類用意されてるらしくて
全部を本物のように出すことが確率論的には低い
だからあれだよね僕もこれ
実際のサイトの仕組み見てないから
どうやってるのか分からないけど
やるとしたら正規のサイトにアクセスを裏でして
表示された絵文字のパターンを読んで
それをそっくりそのまま偽サイトに出さなきゃいけないよね
だからそういう仕組みを
多分自動的にできるような仕組みが作られてないと
ちょっと難しいよねそうしないとね
そうですよね
読みに行ってそれをユーザーに返すか
もしくはもう完全にアドバーサリー
AITMみたいに間に入って全部中継するかどっちかですよね
それがどっちなんかなっていうのはこれを読んでて
両方あるのかもしれないですけど
ちょっと気になったんですよね
そうだね今回の件がどっちかっていうのは
ちょっと詳しく書いてないもんね
AITMの方がなんか簡単そうかなと思ったんですけど
こういう実現するにはあんまりその
今言ったみたいな中継するのはあるけど
全部コピーしてそれもまんま表示するっていうのって
あんま聞いたことないなぁと思って
若干手間かかるし
もしそれをやるならこの楽天サイト専用の
そういうツールが必要になるよね
そうですねそうですね
そういうのを公益者が作ったのか
まあわかんないけどね
そうそうそう
ちょっとなんかこの辺は単なるね
詳しくない人にも向けた注意喚起やから
こういうふうに丸めて書いてあるんかもしれないですけど
ちょっとそこはね
リアルタイムもそうですね
クッキー取られる取られない問題とか
どうなってたのかなっていうのはちょっと気になったな
っていうところではあるやするんですけど
あとね僕もう一個気になったことがあって
まあこれ仕方ないのかなとは思うんだけど
こう注意喚起のリアルタイムフィッシングのね
詐欺の注意してくださいっていう楽天さんの
注意喚起の文面を読むと
フィッシングサイトは見た目がそっくりで
判断しづらいので
正しいURLかどうかを確認してくださいって書いてあるんだよね
正しいURLってのが表示されてるんだけど
正直さフィッシングサイトってURLも
似せてるやつもあるから
頭が全く一緒でとかね
これを見て見分けてくださいというのは
ちょっと無理なんじゃないかなっていうか
あー確かに
まあでもねそれしか書いてないんだよね
違いがないってことですよねそれぐらいしか
基本的にはそうそうだからまあその
今言ったその中継してるのかどうしてるのかわからないけど
見た目的には多分区別がつかないから
URLを必ず確認してくださいって書いてあるんだけど
いやーちょっと今時URLで確認して
フィッシングサイトを見分けるって
プロでも難しいぞっていう
気がしてて
これはその前についさんが言ってたかもしれないけど
あらかじめその公式サイトはもうブックマークしておいて
もうリンククリックとか絶対しないです
もうそっからしかアクセスはしないとか
まあないしたら必ず公式アプリを使うようにするっていう
そうですねアプリ使いましょうの話はしましたね
そうそうそれがやっぱりいいよねって話してたじゃない
うんうんうんうん
それがやっぱりいいんじゃないかなという風に思う
そうですねなんかその二要素多要素認証強制とともに
もうなんかアプリ強制にできひんのかな
そうそうそうなんかねそういう風に
まあちょっとサービスによってはなかなか難しいかもしれないんだけど
人によっては売ったり買ったりをすぐする人からすると
ブラウザーでないとちょっとってなるのかな
でもねまあそれがいいんじゃないかなっていうのと
なんでその話したかっていうと
実はそのさっき紹介したガイドラインの改正で
実はそれパブコメでそのことを言ってる人がいて
おおこれ追作かなと思ったんだけど
パブコメでねその顧客への周知としては
正しいURLをブックマークに登録してアクセスするか
アプリからアクセスするっていうことを
ガイドラインに入れるべきじゃないかっていうコメントをしてる人がいて
あらあれあれ勢じゃないですかそれ
そうでそのコメントで採用されてるんだよちゃんと
マジでいやもうじゃあ言っとけばよかった僕それ
今度のその改正されたガイドラインには
正規のウェブサイトのブックマークや
正規のアプリケーションからログインすることについて
顧客への周知を行うっていうのが入ってるんだよね
やったよかった
いやこれはだからねあの素晴らしい判断だと思う
いいと思う
コメントした人も偉いけど
今後はこれをもうスタンダードとして
広めてくるのがいいんじゃないかなって気がするよね
いいですねそれは
ガイドラインがこうなるっていうことが
もし分かってたんだったら
楽天さんにもそういう周知をしてほしかったなっていう
確かに確かにね
もちろんURLで確認できると確認でもいいんだけど
それ普通の人には無理だからっていうのは
ちょっと書いてほしかったなっていう
確かにそうですね
そしてまだまだそういう点でさ
フィッシング攻撃の難しさ
やっぱフィッシング
こういうとこ見るとフィッシングってやっぱり
防ぐのが難しい攻撃だよね
そうですね
今回のガイドライン改正がいい方向に行けばいいな
と思いますけども
高度なというか手の込んだ攻撃が出てくると
それに対応しなきゃいけないっていうのは
ずっと続くのかなっていう気がしました
そうですね
なんかこう
これはなんか僕の感覚かもしれない
感覚だけかもしれないんですけど
なんかやっぱりどうしても
普段我々こうテクニカルな方に寄りすぎるじゃないですか
なんか脆弱性がとかさ
そうね
うんとか
だからこう
でも最近こう
いろんな事例を見たり
まあ我々もほら
いろんなところでお話しさせてもらうじゃないですか
3人とかで
うんうん
そういう時もやっぱりこう
人のミスみたいなものっていうのは
やっぱりバカならんぞっていうのが
ひしひしとね
システムが固くなってきたりとかすればするほど
どうしても残り続けるものの一つなんやなっていうのは
なんか痛感してます
そうね
なんかどんだけ技術的に頑張っても
人が穴になるし
逆に技術が突破されても
最後に人が守れるっていうこともあるし
そういうこともある
そうそうそうそう
ソーシャルエンジニアリングの重要性
どっちもあるっていうところはやっぱりどうしてもね
それは考えとかないといけないよね
そうなんですよね
だからこそなんかこう
こういうのにも引っかかる人たちっていう
インターネットなんかもう誰もが使う
もうインフラじゃないですか今やね
で老若男女を使うわけですから
そういうところにもきちんと目を向けていかなあかんなあ
っていうふうに思って
ちょっと最近あの
いつ使うかも分かれへんけど
ソーシャルエンジニアリングについてまとめたスライドを
作り始めてるんですよね
そうなんだどっかで使おうやじゃあ
使うどっかで使うけど
そうそうなんかあれなんですよ
昔一回やったことあるんですよね
ああそうなの
ITメディアのやつで
10年ぐらい前やと思いますけど
へー
その時にはソーシャルエンジニアリング
例えばさっき言ったみたいな
スペースでとかあったじゃないですか
スペースで見えへんようにしてとか
似たようなドメインとか
ずいぶん前ちょっとネットでバズった
あのキラガナのうんにするやつね
ああいうのとかを全部まとめていろいろやったんですよ
名前できん最近使えへんから
文字逆順にするやつ
あーはいはいRLO
なんとかRLOか
そうそうそうそういうのとか
もう全部そういう細かいテクニックとか
フィッシングやら何やらみたいな
全部で紹介したことあったんで
それの2025年版でも作ろうかなと思ってて
今聞いてて思ったけどさ
うん
それもソーシャルエンジニアリングの
その技術的な面だよね
確かにそうですね
うん
いやソーシャルエンジニアリングって
ほら心理的な面もあるじゃない
はいはいはいはい
どうやってその人に行動を起こさせるかとか
焦らせるも一つですよね
そういう意味だとね
信頼させるにはどうするかとか
うんうん
時々日本でもあるけど
海外の方が多いかもしれないけど
電話でさ
例えばサポートを寄せて電話して
情報を聞き出すみたいなやつとか
あーはいはいはいはい
あの辺ってのはどっちかというと
技術っていうよりもなんかこう
心理的ななんかテクニックっていうか
それも技術といえば技術だけど
なんかその標的型とかでも
一回やり取りを始めてから
途中からとかいうのもありますしね
あれもソーシャルエンジニアリングですよね
そういう面も含めて
どういうところを気をつけるべきかって
いろいろ奥が深いよね
ソーシャルエンジニアリングはね
そうですよね
なんかこう
コンピューターの知識とかだけじゃなくて
やっぱりその心理学みたいな人とかとも
話しすると面白いんやろうなとは
業務知識とセキュリティ
思ったりしてるんですけどね
昔そういう話したことあるかもしれないけど
ソーシャルエンジニアリングに
その結構強かったというか
得意だった
人が
ケビー・ミトリックって人なんだけどさ
あーあの
あざむくほうの技術って本出したね
黄年の凄腕ハッカーと言われている
あの人が
唯一日本で講演した時に
僕聞きに行ったことがあるんだけど
その時にスタノが同じようなことを言っていて
テクニックっていうか
人間のその心理にどう働きかけるか
っていう部分を勉強するのがいい
って言ってて
そういう本を紹介したりとかしていて
えー
やっぱりそういう
ソーシャルエンジニアリング強い人ってのは
そういうとこ考えたんだなって思ったんだけど
はいはいはい
そうそう
そういうだからね
普段我々があんまりその
接しないそういう心理的な面とか
どういう風に人間に働きかけるかみたいなね
そういう面が入ってくるのがちょっとややこしいっていうかね
あー確かにね
技術だけでは防げないところっていうか
うん
なんかそういうのを考えるとこうね
最近僕つくづく思って
いろんなとこでこう機会あれば
言わせてもらってるのがあるんですけど
今そのいろんな業務してる
まあそのセキュリティに直接関係のような業務してる人も
会社にはたくさんいらっしゃるじゃないですか
うんうん
そういう人たちにセキュリティの知識を身につけようみたいな
プラスセキュリティとかっていう
運動と言えばいいのはああいうの
ありますけども
その逆もいるやろって思っててね
あー確かに
セキュリティの人材にってことね
そう僕たちこそが
その皆さんの通常の業務を学ぶことで見つけられるものっていうのとか
働きかけるアプローチとかを学ぶってこともあるんちゃうかな
っていう風に思ってるんですよ
両方こう一緒だよね
業務知識的なものは全く知らないその
セキュリティのエンジニアとか担当者って
どうしてもそのセキュリティ原理主義的なところに走りがちなんで
うんそれ現実的じゃない時がね
そうそうバランスが悪くなるというかね
そうなんですよだからそれをね
そのプラスセキュリティに対してセキュリティプラスって
もう先に名前言っとこうかなと思って
さっき言ってたぞっていう
誰か使うかなそれ
わかれへんけどちょっとそういう概念をね生み出したとってことを
ここにねくさびを打っておこうかなと
そうですかわかりました
思いましてですね一応打っておきました
はいありがとうございます興味を伺った
はい
今日カゴさんいないんですよそういえばね
そうか今日も二人ですねはい
そうそうそうそう
なので今日は二つなんですけれども
最後にあのセキュリティのあれじゃないや
おすすめのあれを紹介しようかと思うんですけども
今日はですね僕のこのなんていうんですか
おばあちゃんの知恵袋的なとかいうか
かっこよく言えばライフハックですよね
時々あるよねそういうなんかこう
なんだそれみたいな
これはもうすごいです僕の生活が変わりました
何ですか
あのコンビニ袋あるでしょ
あのコンビニ袋ってコンビニに行って
最近は有料じゃないですかここ何年か
いわゆるレジ袋ってやつね
そうそうそうそう
それをエコバッグとか使ってる人とかは
なかなかたまんないでしょあの袋
僕もエコバッグを使ってますよ
あそうなんや僕は
もう本当にちょっと自分の持ってる
そのトートバッグに入るぐらいだったら
もう袋いりませんっていうか
袋もらうか買うかにしてるんですよ
で買うっていうのももちろん
それ無駄にするわけではなくて
ゴミ袋にしてるんですよ
いいね
キッチンのところにかけて
ゴミ袋にしてるんです
はいはい
それでちょうどいいんですよあのサイズって
そうなんだ
1日で捨てるようなぐらいの量なんですよゴミ
ちょっと食べたもんとかね
でもあれ枯渇するんですよそれしてると
コンビニ行かへん日もあるもん僕
だからそのコンビニ袋と同じ
例えばペットボトルの2リットルを
無理やり掘り込んだら
3本ぐらい入る量のサイズのが売ってるんですよ
それを100枚買った
良かったね
良かった寝ちゃうねって
ネギスはほら僕の家に来たことあるから分かると思う
覚えてへんかもしれへんけど
燃やすゴミプラゴミペットボトルっていう風なものが
3つに分かれたゴミ箱が置いてあるんですよ
置いてあるね知ってるよ
あれ今燃えるゴミずっと空えん
なるほど毎回てかすぐ捨てられるからね
そうそうそう
だからそうするとああいうの入れるとね
まだもうちょっと入るからギュってやろうとか
やって袋出したらさ
入れ替えんのとかめんどくさいよ
ゴミ箱のセットする袋
それをコンビニ袋にしたら
ゴミ入れて次の日出かける時とかに
上だけくぐってポンと捨てれるわけですよ毎日
なるほどね
え?なんで?
清潔でもあるしね
そうそうだからコンビニ袋をまず100枚買う
なるほど
なんでそんな
あれかこの僕のライフハックは
もともとズボラなやつにしか響かへんやつか
もしかすると
やってる人はやってるんじゃないかな
そういうことってちょっと思っただけ
でもわざわざなんか買うことするんかなと思って
そうねどうなんだろうなわかんないけど
そのコンビニ袋だけでレジ袋だけでやってたら
やっぱどんどんなくなっていって
途中から袋欲しいからコンビニ買いもいこうかな
みたいな気持ちになって
これ間違ってるぞって思って
それはおかしいやろ
コンビニ袋って売ってるのかなと思って
Amazonで調べたら売ってたんで
それで買った
レジ袋っていうかいろんなサイズ売ってるよあれ
そうなんですよね
段ボールとかも調べたらいろんなサイズあるんですよね
ちょうどいいねそのサイズのやつを買って
それで運用すると
もうゴミをポンポン捨てられるようになるよ
貯めない
目から鱗ですな
なんやその心のこもってへんやつ
ライフハックの重要性
ごめんごめんごめん
そんなね工夫もして
僕にとっては劇的な生活の変化だったという
でもねごめんごめん別にバカにしたわけじゃないんだけど
こういうライフハックってさ
自分だけが便利でも別にいいんだよね
それ正直さ
あー確かに確かに
万人に別に通用するもんでなくても
誰か一人でもそれで便利になったっていう人が
いればいいってもんだと思うんだよ俺は
ライフハックっていうのは
あーちょっとした工夫みたいなね
そうそうだから別に他の人には響かなくても
自分にとってはすげー
劇的にこれが改善されたんだぜっていうのであれば
それはやっぱりねライフハックとしていいんじゃないかなと思うんで
いやーなんかめちゃめちゃ心の安心にもつながってる
そうそうそう
やっぱりちょっとした成功体験って人生大事だと思うんですよ
ちゃんと今日もゴミきちんと捨てれたぞみたいな
貯めてないぞみたいな
なんかQOL上がった感じするよね
そうそうそうそう
だからもしそれ良かったぞっていうのがあったら教えてほしいな
励みになるんでそういう声も結構大事ですから
確かに確かに
もしよかったらやってみてください
はいありがとうございます
はいじゃあまた次回のお楽しみですバイバイ
バイバイ
