会社訪問の機会
スピーカー 2
この間、うちの会社のグループ会社に呼ばれて行ってきたんですよ。
スピーカー 1
呼び出し?
スピーカー 2
呼び出しって、そんなに怒られてるイメージある?
この季節、新卒の方だとか中途で入られる方だとか、いらっしゃるってことで、
僕に会って話したいっていう若者がいるみたいなことを、グループ会社の役員の人から連絡きて。
スピーカー 1
憧れの辻さんみたいな?
スピーカー 2
憧れなんですかね。ありがたいことじゃないですか。
で、行ってきたんですよ。新卒で入ったら会議室、そんな大きな会議室ではなかったんですけど、
スピーカー 1
10人強。
スピーカー 2
一人とかじゃなかった、そういう感じなんだ。
スピーカー 1
新卒の頃はどちらかというと、僕らが喋ってるのを聞いてるみたいな、メモしながらみたいな感じの勉強の兼ねてだと思うんですよね。
スピーカー 2
その後に、診断とかやってるような事業部みたいなところのキックオフみたいなのがこじんまりとやられてる会があって、
よかったら懇親会も出てくださいよみたいなことを言われて、
スピーカー 1
出たらなぜか協力会社の人とそこのうちのグループ会社のところの偉い人が喋るトークセッションになぜか急に出されるっていう。
スピーカー 2
IoTのセキュリティと脆弱性管理っていうテーマがバーンバーン出てきて、それについていっぱい喋るみたいな対談みたいな急に始まって。
結構刺激的でしたね。普段接してない人と急にバッと意見交換する場に。
人が見てるところで出されて喋ったんですけど。
普段は参加できないんですが、そういう中のイベントですからね。
でもこういう自分たちがこれからやっていこうと考えている事業の話みたいなこととかでディスカッションするっていうのは、
アグレッシブさを感じたというかね。
こういう風になっていくから自分らはこういう事業に注力していこうみたいな。
そういう感じのディスカッションに参加できた。思いもよらず刺激的な時間で良かったなっていうかね。
意外なトークセッション
スピーカー 1
いい機会。
新人の人たちと会話するのとはまた違ったいい意味のヒリヒリ感っていうのもあって。
スピーカー 2
すごい刺激的で、思いがけず良い会に呼んでいただいたなみたいなね。
スピーカー 1
新人の人たちとも喋れたりした?
スピーカー 2
喋りました。喋ったりとか。
その中にはアレ勢の方も結構いまして。
スピーカー 1
ステッカー渡してきた?
スピーカー 2
渡した渡した渡した。
何人かいらっしゃいましてね。
あとは終わった後に何人か話しかけに来てくださったんですけども。
話の内容も良かったんですけど、僕はずっと辻さんのスニーカーしか見てませんでしたみたいな人もいて。
そこからスニーカー談義になるみたいな。
スピーカー 1
なるほどね。
スピーカー 2
いいですね。たまには外に出ていろんな人と喋るっていうのもやっぱり大事なんやなって思いましたね。
スピーカー 1
確かに確かに。
結構もっと喋りたかったなって思って思いながら帰った日でした。
スピーカー 2
また行けばいいじゃんそしたら。
スピーカー 1
また呼んでもらおうかなと思って。呼ばれてなくても行こうかなみたいなね。
スピーカー 2
押しかけていっちゃって。
行った時にもね、僕はフリッパー持ってるんですけど。
フリッパーでちょっと試していいですかってもちろん許可を取って会議室のカードコピーして開けれるかどうかみたいなとかやってたんですけど。
開けれることができたんでもういつでも入れるんじゃないかなと思って。
いや消しましたけどね。消しましたけど。
そうそうそう。そんなこんなでね。楽しかったなっていう。
いい春の始まりやなと思いつつ。
スピーカー 1
確かに確かに。
スピーカー 2
そういえばね、それとは話変わるんですけど言い忘れてたことがありまして。
このポッドキャスト、YouTube Musicに対応したの知ってる?
スピーカー 1
あーそうそうそれね。
前にさ、去年かな?
Googleがもうポッドキャストは店じまいしますってアナウンスを出して
方針的にもう全部YouTube Musicの方に寄せますみたいなことが言われてたんだよね。
スピーカー 2
そうそうそうそう。
スピーカー 1
であれだよね、確かお便りでそういうのが来てて対応した方がいいよねみたいな話をちょっと前にしてたよね。
スピーカー 2
そうそうそうそう。それでやっと対応したんですけど、まあちょっとこれめんどくさかったですね。
スピーカー 1
あーそうなんだ。お疲れ様でした。
スピーカー 2
なんか登録してもすぐにアカウントがアクティブにならないというか
RSSというかフィードをなかなか呼んでくれなくてよくよく見たらなんかあの
本人確認がいるとかね。
ほらやっぱり収益化とかもあるからだと思うんですけど
まあそういうのどっちでもいいねんけどなと思いながらも結局なんかの自分の写真入りの身分証とかを写真送らなあかんとか
そういう風なのにしたんでもしよかったら youtube music からでも聴いていただければなぁと。
スピーカー 1
そうだね。なんかそっち系をよく聞く人とかは。
多分このポッドキャストはまあ俺なんかいつもそのアップル信者だからさ。
アップルのアプリでしか聞いていたことないんだけど
スピーカー 2
たまにスポティファイかな。結構スポティファイ派が多いような気がするんだけど。
あーそうですね。
スピーカー 1
そうそうそうアンドロイドのユーザーでグーグルのポッドキャストアプリで聞いてましたみたいな人もなんかまあいたし
まあねいろいろいると思うんだけどまた新しく入り口が増えたんでねぜひ使ってください。
スピーカー 2
入り口はセキュリティのあれの辻リークス.コムの方にもyoutube へのリンクも追加しておきましたんで。
気をつけました。
好きなやつで聴いていただければなと思います。
スピーカー 1
全部で聞いてもらってもいいですけどね。
スピーカー 3
そうですね。1回につき5回ぐらい聞いていただこうかなと。
スピーカー 1
何のために聞くね。
わからないですけどね。聞くたびに発見のあるポッドキャストということで。
スピーカー 2
じゃあお便り行きますかね。
スピーカー 1
お願いします。
スピーカー 2
バイバイの話あったやん。
スピーカー 1
まだ続くのそれ。
もうよくないですよ。
スピーカー 2
違う違う。どうやって調べたかを教えてくれてる人がいるんですよ。
スピーカー 1
前回確かにちょっと間違ったもんね。
スピーカー 2
そうそうそう。
二分期探索法で最後の10秒ほど聞き続けました。
なので判明した話の話数の前後は結構聞いてますと。
後半は線形探査に切り替えて効率よく探せたと思います。
トータル30話ぐらいは聞いたのではないかと。
スピーカー 1
言ってることがさ、二分期探索が線形探索とか面白いんだけど。
スピーカー 2
久しぶりに聞いたなっていうのもあるんですけど。
スピーカー 1
アルゴリズムヤンキー。
スピーカー 2
PCのウェブ版だとダウンロードしなくても聞けるんで。
メモしながらやれば特定が楽です。
皆様も是非って誰がやるかって思いましたけどね。
スピーカー 1
面白いな。
NVDの問題
スピーカー 1
でもそこまでやってくれて嬉しいけどね。
スピーカー 2
嬉しいですね。やっぱり地道なことをしてくださったんですよね。
スピーカー 1
ちゃんとそうやって特定したのか。素晴らしいな。
スピーカー 2
ちなみにこの方はコリコランワイドを予約して貼りましたね。
スピーカー 1
やばいだろそれ。
スピーカー 2
ポイントで全部買う予定みたいな。
マジか。
スピーカー 1
すごいな。あれで金持ってんな。そんな変えたいなの簡単に。
スピーカー 2
そうですよね。だってあの値段のものを買えるポイント溜まってるって相当金使って貼ると思うんですよ。
スピーカー 3
普段どれくらい使ってるんでしょうね。
スピーカー 2
すごいなと思ってね。
6月ぐらいに届くと思うんでね。使った感想とか教えていただければと思います。
スピーカー 1
そうだね。
スピーカー 2
あとは前回看護さんが扱ったNVDがパンパン屋で言う話があったじゃないですか。
それに対して最近平和だなと思ってたらそんなことなかったのはNVDが半ばパンクしてたからだったのかと。
看護さんのお聞いてここ数日の妙な違和感が腑に落ちましたということで。
ゼロデイとかCVSS銃が一気に車内で露見するなんて。バイデンさんもっと資金を。
バイデンさんが聞いてる前提のお便りですね。
スピーカー 1
確かにね。そのお便りくれた人だけじゃないと思うんだけど。
スピーカー 2
あんまり大抵的にニュースとかでも出てないし。
言ってみればアメリカの政府内の話といえばそうなんで。
スピーカー 1
とはいえ影響はこっちも及ぶぞってところはね。もっと知られた方がいいかもしれないよね。
スピーカー 2
確かに。
それに対してもう一つNVDの話ということで。
そんな重要な情報源をなぜ米国政府に頼っているのかが本質的な問題。
答えは持ってませんが。
スピーカー 1
だからそれが前回も言った自分たちの国でもつかみたいな話につながりかねないので。
本当にそれでいいの?っていうのはあるんだよね。
スピーカー 2
そうなんですよね。
昔からやってて出来上がってて一興みたいなところあるじゃないですか。このNVDって。
仕組みも含めて。
だったら今から新たにこれ作るのかっていう話もありますもんね。
スピーカー 1
前回紹介してくれたそのアライアンスっていうか。
うまくそういう民間とのパートナーシップとかでうまいこと回ってくれればいいけどね。
スピーカー 2
確かに確かに。
そうですね。ちょっと早く回復してほしいなというふうに思いますね。
ご新規さんのお便りも来ておりまして。
スピーカー 1
嬉しいです。
スピーカー 2
最近のジムのお供はこれ。たまたま見つけたけど他の人はどうやってポッドキャストにたどり着くのだろうという。
スピーカー 3
すごいですね。たまたま見つかるんですね。
スピーカー 1
どうやって見つけるんだろう。
スピーカー 2
逆にそうなんですよ。
スピーカー 1
逆に知りたいんだけど。
スピーカー 3
どう漂流したらここにたどり着くんだろう。
スピーカー 2
僕らのXのアカウントをたまたまフォローしてくれてあってそこから知るっていうのが一番多いんちゃうかなと思うんですよね。
スピーカー 1
新規でツイッターXの方をフォローしてそれでっていうのはそれはありそうだよね。
スピーカー 2
セミナーとかでも紹介するじゃないですか。僕らこんなんやってましてみたいな。
そこからも元々アレ勢の方の紹介とかこの順番ぐらいに多いんかなと思ってるんですけど。
スピーカー 1
意外に多いのがその最後のたぶん人捨てで紹介で聞いたっていうのが。
意外とアレ勢からのお便りでも教えてもらいましたみたいなのよく聞くし職場でみんなで聞いてますみたいなのも前あった。
そういうのってのは意外と多いのかなって気はするけど。
たまたまって難しいよな。
スピーカー 2
2年前とかやったら賞をいただいたから。
スピーカー 1
あの時は結構多かったよね。
スピーカー 2
あれで増えたっていうのはあるかもしれないですけど。
逆にこの方がどうやってたまたま見つけたかっていうのが気になるところがありますね。
スピーカー 1
ぜひ教えてください。
スピーカー 2
最後これネギスさんに対する質問とメッセージですけれども。
いつもアレを聞いていて思うのだけど非常に聞きやすい。
音もクリアだし所々編集しているのが全くわからないぐらい。
スピーカー 1
アレってどのアプリで録音して編集しているんでしょうかという。
なるほど。
録音はそれぞれ各自でローカルで。
リアルタイムの会話はディスコード使ってやってるけど。
録音は各自でローカルで録ってもらって。
僕がその音源のデータを集めて編集してるんですけど。
結構プロが使うツールとか色々あるんだけど。
僕はその辺特にこだわりないんで。
無料の編集ツールのオーダーシティってやつでいつもやってます。
でもあれ無料だけど非常に優秀で。
ほとんど何でもできるんで。
スピーカー 2
そうですよね。この感想をいただけてるってことはそういうことですもんね。
スピーカー 1
そうそう。優秀なやつだとアプリのツールとか色々他にもたくさんあるにはあるんだけど。
そこまでこだわりがないし。
さっきのお便りにも言っていただけてるけど。
まあまあいい感じでできるんで。
僕はそれでいつもやってますね。
スピーカー 2
このお便りが来たからっていうのもあって。
それこそコロナ禍に入ってこのペースが1週間になった時ぐらいの聞き直したんですよ。
スピーカー 1
昔のやつ?
スピーカー 2
全然違うよ。
スピーカー 1
昔はだって最初の頃ってスカイプでやってそれをそのまま出したりとか。
リモートの時も最初編集してなかったもんね。
スピーカー 2
してなかったしてなかった。
途中からディスコードがやっぱりいいよねってなってディスコードにしてやりやすくなって。
スピーカー 1
加えてやっぱりサーバー側で録音するよりローカルだよねってなって。
だったら編集もするかみたいになって。
手間はその分増えてるけどだいぶ聞きやすくなってるよね多分ね。
スピーカー 2
いやもう運命の差でしたよマジで。
音質も全然違うし。
いや全然違うなっていう。
ちょっと恥ずかしくなってきたもん。
スピーカー 1
昔のやつが?
スピーカー 2
そうそうなんかこうなんていうかな何でもほら芸事というか例えばダンスとか音楽演奏とかでもさ
昔の自分のやつって結構恥ずかしない?
スピーカー 1
あるよねそれはね。こんなのやってたんだみたいなやつでしょ?
スピーカー 2
多分なんかその僕初めてセミナーで喋った新卒の頃に一回喋ったことあるんですけど
レポート作成の重要性
スピーカー 2
その時のやつ今見たら多分死んでしまうやろなって思う。
スピーカー 1
それはねやっぱりね経験値がありますからね。
スピーカー 2
今のやつでも自分で見るの嫌やもんなって。
スピーカー 1
わかる。
スピーカー 2
こんななんかね十何年も前の昔喋ってるの見たら多分もう死んでしまうな。立ち直られへんかもしれへん。
スピーカー 1
でもね言うてコロナ禍で始めたやつもさもうすぐ4年でしょ?
スピーカー 2
そうですよ。
スピーカー 1
だからまあそれはそれなりにね。
スピーカー 2
進化してるというか。
スピーカー 1
良くなってなきゃおかしいよな。
スピーカー 2
そうですね。
スピーカー 3
4年も毎週よくやってますよね。
スピーカー 1
ほんまだよ。
スピーカー 2
ほんまやな。
スピーカー 1
よく秋も節続いてるよ。
スピーカー 2
ほんまそうですよ。
そんな感じなんで。
お便りを読んだ方にはステッカーの印刷コード5種類あってプラスシークレットがありますけれども
ハッシュタグセキュリティのあれをつけてXでポストしていただければ
拾ったら印刷コードを差し上げます。よろしくお願いします。
スピーカー 1
ありがとうございます。
スピーカー 2
はいってことで今日はですね。
セキュリティの話するんでしたっけ今日も。
スピーカー 1
そうですね。
スピーカー 2
そうですそうです。
じゃあ今日は僕から行こうかなと思うんですけども。
スピーカー 1
お願いします。
スピーカー 2
今日僕は紹介するのはですね。
Importance of Report Writing for Pentestersという
ペンテスターにおけるレポート作成の重要性みたいな。
スピーカー 1
なんかつゆさんがいかにも好きそうなタイトルだね。
スピーカー 3
タイトルが。
スピーカー 2
そうですよね。
スピーカー 1
なんか前から結構言ってるもんね。この話。
スピーカー 2
そうそうそうそう。
一番大事なところはここなんじゃないか。
レポーティングと報告会なんじゃないかみたいなことは言い続けてはいるんですけれども。
これはオフェンシブセキュリティというところがですね。
今年の4月の1日かなに
レポート作成っていういわゆるソフトスキルみたいなところが
テクニカルな部分と同じぐらい重要なんじゃないかってことに言及したブログを公開してたんですよ。
そこでレポート作成の価値はこういうもんなんだとか
あとはレポートの例を挙げながら
陥りがちなミスというか間違いみたいなものにも触れられてる記事なんですね。
そこでどういったレポートの価値があるかとかから話が始まっていくんですけれども
レポートっていうのはペンテスト
ペンテストだけじゃなくてもいいですね。診断でもいいと思うんですけども
そういったもので発見した脆弱性と対策の推奨事項みたいなものを
きちっと伝えるための媒体だと。
なので報告する側が書くんですけど
される側はその後アクションが発生するので
それをきちんと伝えることは大事なんだ。
そのための媒体としてのレポートだということが書かれてあって
どういう価値があるのかというのを5つぐらい挙げてくれてるんですよね。
1つ目は結果の文書化ということで
レポートの役割と価値
スピーカー 2
これは当たり前なんですけど報告書はきちんとリスクレベルを理解して
対策、場合によったら緩和策みたいなものを計画するための道しるべみたいなものなので
そういった位置づけなものなんで大事だということから挙げられていて
あとは様々なステークホルダーとコミュニケーションをするためのツールみたいなことがあって
報告をする側は基本テクニカルな人がほとんどだと思うんですけど
読む人によっては技術だけじゃなくて経営とか
場合によったら社外の関係者、日本だったらSIRが報告を聞くという場合もあると思うんですよ。
スピーカー 1
直接聞かなくてもその結果、データクセルの対策をするのはベンダーの人みたいなこともあるもんね。
スピーカー 2
そうですね。報告する相手はお客さん、エンドのお客さんやけど
対応の質問してくるのは間に入っているSIRの方とかっていうケースもありますよね。
だから報告書自体は技術的な詳細は当たり前ですけども
非技術的な読者が経営の判断をするとかでもあると思うんですけども
そういった内容として明確かつ簡潔に伝えないといけないというところに価値があるんだよというふうなこととか
あとは実行可能なは低減をしましょうみたいなことで
ここが危ないですよっていうふうに特定することとその対策ってのはセットじゃないですかやっぱり。
なのでその是正に関しては実行可能なものじゃないとダメと。
スピーカー 1
なるほどね。絵に描いた面白いダメですよと。
スピーカー 2
そうそう。優先順位をきちんといろんな脆弱性とか指摘事項呼び方はいろいろありますけれども
優先順位をきちんとつけた推奨事項を含めましょうみたいな。
これ場合によったらあれだと思うんですよね。1個の指摘に対して複数対策があるっていう書き方もあると思うんですよ。
スピーカー 1
なるほど。
スピーカー 2
これができない場合はこれ。ただしちょっと抜け漏れはあったとしてもこの場合だったらこういう策もどうですかみたいな
これは報告書というよりは報告会でのやり取りかもしれないですけどね。
なのでどれからやるとかだけじゃなくてどの対策をどういうふうにしていくかというふうに落とし込めたほうがいいんじゃないか
これは僕も思ってるというところですね。
あとはコンプライアンスと法的要件ということで
場合によったら業界の規制とか標準に準拠するためにこういうテストを実施するケースもあると思うんですよ。
スピーカー 1
なるほど。
スピーカー 2
認証資格を取るためとかね。あとPCI DSSとか必須になってますから。
そういったコンプライアンスの状態を証明するためとか後々の監査に使うためのレポートということも意識しないといけないということで
準拠するための基準に応じたレポートの体裁とか含めるべき内容も変わってくるかなと。
例えばレポートの中には高中低みたいな3段階で危なさを評価するレポートがあったりしますけど
PCIとかだったら5段階にしないといけないとか
そういうのにもきちんと対応できるようにしないとダメですね。
スピーカー 1
診断とかのサービスを提供する側がこういう基準にのっとった診断できますよとか言ってる場合もあるよね。
スピーカー 2
何々に対応した、準拠した。スキャナーとかもそういう売り方してますよね。
スピーカー 1
そうだね。
スピーカー 2
あとは最近とかだったらKEVのあるなしに載せてますかとか。
スピーカー 1
なるほど。
スピーカー 2
っていうのもありますよね。
最後5つ目が継続的な改善というふうなことに使われる価値があるということなんですけども
報告書って僕ら診断する側とかは出したら基本的にはそこで一旦終わりで研修なわけですけども
対策する側はそこからスタートなわけなので
長期的に指摘されたものが直していくかというふうな追跡するための記録としても機能しなければいけないと。
なので是正をするだけじゃなくて、再診断とかも場合によってはあると思うんですけど
対策のそのレポートだけじゃなくて対策シートみたいな一覧で見れるようなシートとかも僕は結構用意してたんですよね。
スピーカー 1
そうなんだ。
スピーカー 2
ワードのレポートPDFのレポートだけじゃなくて対策シートみたいな用意してたんですよ。
速報みたいな感じで一応出したりする場合もあるんですけど最終的なその出来上がるものは対策シートで
こういう指摘がありこのホストにこういう指摘がありましたこういう対策をしてください対策しますかしませんかしないんだったらどういう理由からですかみたいな
それがこれ直しましたはいになってたら次の診断の時そこをチェックするっていう
で直ったか直ってないかっていうまあそういう長い目で見たいうものを出すってことは僕はしてましたね
スピーカー 1
ユーザーによってはワンショットじゃなくて定期的にさ例えば半年とか1年に1回ずっと継続的でやるとか
そういうようなその診断とかをねやるところもあるだろうし同じその例えば外部の便題に頼むんだったらそういう継続性もちょっと大事なポイントだよね
スピーカー 2
そうですねで後だが先直さないっていう選択をした時には直さない理由を書いてもらうようにしてたんですね
さっきほら言ったみたいに遠藤そのお客様と間に入ってレスアイヤー実際対策をする s アイヤーってこの僕らと合わせて3社みたいな場合ももちろんあるので
お客様はその直さない理由っていうのが妥当かどうかという判断ができないから僕らに委ねてくるんですよね
なるほどベンダーはこう言ってるけどこれはどうなのみたいなそういやこれはさすがにまずいんじゃないかとかってやり取りをするためにも使えるような
コミュニケーションのツールとしての対策シートみたいなとこもありましたね
あとはよくあるレポートの間違いというふうなところでもここはね気にしないといけないところだと思うんですけど
まあ僕たち技術をやってる人間っていうかテスターはしばしばやっぱり技術的な表現ばっかりに陥りすぎて
技術的なあの相手を遠ざけてしまうっていうようなことが書かれてあったんでまあ広い理解を得るたびにそのリスクだとかどんだけやばいんかみたいなものは可能な限り平易な言葉で要約しましょうみたいな
ことが書かれてあったりとかですねあとはの整理整頓してレポート書くっていうのも大事で見やすさ
文字だけでばーって書いてるレポートって僕結構苦手なんですけどスクショとかログとかっていう小石に裏付けされて納得感があるような理解を
助ける工夫も必要ですよねってことが書かれてありましたね
あとは構成も大事とか書いてましたねレビューとかちゃんとしましょうみたいな入念にレビューして正確性と一貫性を担保しましょうだとか
ここ結構なんかどの文章にでも言えることだと思うんですけどねレビューちゃんとしてきれいな文章出しましょうみたいな
あとはまあ細かいところで言うとレポート作成のヒントとかも書かれてあって
エグゼクティブサマリー入れましょうとかねこれ結構こだわってましたね僕あのパッと見て見開き2ページぐらいで全体像がなんとなくヤバそうかどうか分かるものと詳細を分けるとか
あとはあの大体こういうシーンの結果って脆弱性を軸にして報告するパターンと ip アドレスホスト別に書くパターンあるじゃないですか
僕は手間かかるんですけどデフォルトホスト別の方にしてたんですよね
は何でかというとあの a っていうホストはあの子の s アイヤー b ってホストは別の s アイヤーというケースがあって
脆弱性軸に書くと全部の情報をそれぞれの s アイネ渡すことになるのを避けたいという様は結構多かったんですよ
そういう分け方をするとかっていうのもありましたねこのレポート作成のヒントのところは多分あの脆弱性という専門的な言葉を自分の違う業務に置き換えても使えるようなものなんで
さらっと見ていただければいいかなと思いますね なるほどはいあとはねここ僕最近てかその最近このレポートこういったレポート書くことがない
のでハッとしたことがあったんですけど 最適な媒体っていう項目があったんですよね
ほうで今お話にもあって話でも出した通りだいたいワードとか pdf で報告書で提出することが多かったんですよ
今もそうだし一般的だと思うんですけどやっぱりこうなんかこう状況が進化するにつれてやっぱり ダイナミックなレポーティングし方を求める傾向も強まってるんですってことが紹介されてて
どういうものかというとオンラインで見れるとかダッシュボードベースみたいなものとか そういったものが結構な人気を集めてきているっていう
まあなんか asm のレポートだかった声も何のかなって気がしますけどね 継続的に見ていて変化を見るようなものと語ったら今どうなってんの
レポート作成のヒント
スピーカー 2
これは直ったのみたいなものが見えるようなものの方がいいっていうトレンドも出て きてるんかなーってこれを見て思いました
まあでもレポートなんでやっぱり全体通して思ったのはやっぱ伝わってなんぼやなっていう のは改めて思いましたね
伝えるではなくて伝わるみたいなものでその時は考えたら自分がこう言いたいこととか これがヤバいんやでみたいなことだけじゃなくて相手の立ち位置を理解するっていう
風なものがやっぱ大事やし どうしてもこうテクニカルな方に行きがちだけど相手から見たらこの報告書と報告会
自体が多分相手から見える唯一の形ある成果なんじゃないかなと思うんですね なのでまぁやっぱ相変わらずこういう外に外の人が見るものっていうのは一番
大事で力入れとかなあかんなそのための裏打ちの技術ってのも大事やけどでっていう ふうなことを改めて思ったんでまぁこれね
今の時期って新卒の人たちも多いみたいなさっき話ちょっと触れましたけど こういう文書の作り方っていうのはもう1回見直し続けるというかいうのもいいんじゃない
スピーカー 1
かなと思って紹介させていただきました あのまあ僕も自分で今はもうさすがにやってないけどはいはい
結構ねペンテストとか診断とかはまあ長いことやってたからすごくよくわかるけど これってその今の話の中でもあったけど
テクニカルでは全然ない部分のまあ全くそういう意味ではその違うスキルなんだけど 非常に重要でかつまあ結構やっぱり若い人とかで自分はねこういう
で作成診断とかペンテストやりたいっていう人が最初からレポートのことを気にするかったら まず最初はまあ目にしないっていうか確かに確かにそっちは全然気にしない
ところだと思うんだけど実は意外と差がつくのはこういうところで なおかつそのテクニックは持っててすごく
スピーカー 2
ペンテストとかの技術は高いんだけどこういうレポーティングのスキルも高いっていう人は すごく希少価値が高いのでそうですね
スピーカー 1
なかなかでその技術的なところのてっぺん目指すってのはまあそれはそれで面白くて やりがいはあると思うんだけど
なかなかそっちで探すかがつきにくいようなところで実はこういうところでね 自分はこっちもできるっていうのはすごくプラスになるとか強みになるっていうことはまああるので
そういう見方もねしてほしいし あとまあさっきついさんも言ってたけども
結局その見つけたところで終わりじゃなくてそっからがスタートだっていうところ まあもう1回ねこういうことをやる人たちはぜひ肝に銘じてほしいなぁと思うね
スピーカー 2
それはなんかやっぱついてやってるとやっぱ忘れちゃうんだよね僕もなんかさ よし行った道通った道ルート通った道とかさあわかんないけど
スピーカー 1
まだはついついそっちに目が行きがちちゃう わかるたぶんやってる人はわかると思うんだけど
はい見つけてやったぜとかさあそれに残った成果を感じちゃって あとのとに報告はなが付け出しっぽくなんか感じちゃうことで多分あると思う
スピーカー 2
じゃあそれ全然違うんだよねー というかでも僕もでもある程度やってからだけどなぁそういうふうに思えたのは
最初のうちはやっぱりそう思えなかったもんなぁやっぱりなぁ 最初はそうでしたねなんかやり始めて2年
スピーカー 1
2年過ぎてあたりかなぁなが真剣に考え始めた やっぱね何回かやっぱり爆発踏んでさぁ
あれなんか言ってるとか伝わってねーなーとかさそうそうそうとかさっきの話じゃない けどあのこうしてほしいんだけどなんか結局うまく対応してくれてないとか
という場面を何度も繰り返すうちにあっこれなんか伝え方が良くないんだとか いい伝え方の形式とかねレポートの形式もそうだけど
スピーカー 2
なんかいろいろ工夫し出すようになるよね多分ねそうそうそれは結構大事だよね そういう診断の内容に関してもペンテストの内容に関しても自分がこれまでその会社の中で
あった実績に関してもそうですけどやっぱりこう 人に見てもらうものっていうので考えて評価してもらうためのもんだと思うんで
サービスだったらまた頼んでみようと思うわかりやすいレポート あこいつが行ったことはすごいんだなっていうふうに上げてきた自分の表自分自身の自己評価の
レポートが同じだと思うんですよ多分ああそうかもね相手にその大事さを伝える まあそれはヤバさなのか実績のすごさなのかわからないですけど
スピーカー 1
そこを意識するっていうのは全部に共通する話なのかなって思いますね 技術者といえるこういうとこ大事だよねやっぱね
スピーカー 2
そうそうまだ結構後回しにしがちやったり技術よりはちょっと面白くないと感じる方も 多いような気はしますけれども大事なところかなぁとは思いましたね
そうですねはい改めてはい そんな感じでございますありがとうございますありがとうございますということでじゃあ次は観光さん行きましょうか
はい今日私はですねもうすでに 応募で話題になっておりますけどもパロアルトの製品の脆弱性についてはいはい
スピーカー 3
はい取り上げたいと思ってましてこれさあだってこういうっていつも週末に出るんだろう ねちょっとねタイミングがまさか金曜日のしかも日本だという方ぐらいですよね
スピーカー 1
これ本当にタイミング悪いよこれ絶対週末とかさバタバタしちゃうっていうか 場合によったら知らずに月曜日迎えちゃったらやばくないこれね
スピーカー 2
本当にちょっとそれが深刻なぐらいな状況ではあるんですけどもどんなものかってまず 概要から軽くお話をさせていただきますとお願いします
スピーカー 3
はい脆弱性が見つかったのはパロアルトのファイアウォール製品に搭載されている オペリティングシステムのパン os っていうのがありますけども
その中のグローバルプロテクトっていう機能で os コマンドインジェクションの 脆弱性が見つかりましたと
cv で20243400っていうのが割り当てられているんですけども まあもうこれ見ていただくと分かるとおりもフルスコアっていうんですけども
あの全部振り切ってるって言うか 深刻度はまあ当然クリティカルですし
スピーカー 1
またのパロアルトしベース s のスコアリングあの 新しい v 4で入ってますよねやってらっしゃいますけどもちょっと珍しいよね
スピーカー 3
v 4つかそう珍しいなぁと思ったんですけどその珍しい v 4の基本値ではあるんですが 10.0というところで
まあこれも全部危険なというかリスクのある状況になっているというのが実際に スコアとしての分析されているもので具体的には認証関係なくルート権限で
デバイス上でコマンド実行されてしまう可能性がありますよっていうまあ強烈なですね ものではありましてパロアルトの製品の脆弱設定
あんまり話題になることっていうのはそんな多くなかったかなぁと思っていてで過去 っていうと2019年の
まあ夏ぐらいですかねあの cve の2019 1579というまあこれもまたグローバルプロテクト のリモート行動実行の脆弱性だったんですけども
nsa などが注意喚起というか警告という形でその後 あの悪用がされているという形で発出はされていたものなので
今回もちょっと心配ではあるのですがその影響が及ぶ範囲としては比較的新しい バージョンっていうんですかねあの10.20
11.0あと11.1ですかね その3つでそれぞれ
さっき言ったそのグローバルプロテクトのゲートへという機能とあとデバイステレメトリー っていうテレメトリーを送信する機能っていうのが
そもそもその機器の中にバージョンで言うとどれだったかな8中 まあ今多分お話ししたバージョンが規定で多分有効になってるんですかねテレメトリー送信
とその機器で取得している情報とかをパロアートに共有をしてまあパロアート側で 例えば
スピーカー 2
脅威分析とか分析の情報として役立てるっていうそういった機能があるんです けども11.0と11.01以降かながデフォルトで有効でしょ
スピーカー 3
あのパロアートの説明に書いてあったんですけどその後出たあの gp サートの間の注意喚起とかにも書いてあったんですけども
なんかどうもなんか10.2も10.2.4以降のバージョンは規定で有効になっているという話 だったのでなので影響対象になっているものはほぼ多分規定で有効になっている可能性が
スピーカー 2
高いのではないかなとは パロアルトの何か技術ドキュメントをまとめているやつとかだとなんかデフォルトはオフ
スピーカー 3
やけど11系はソースをどうですよかけぶりでしたよね だから銃はそうでもないのかなと思ったら新しいバージョンだともしかすると有効になっている
可能性がありますねそうですねちょっと確認は まあ実機で特にやっていただく必要があるのではないかなと
で実際これなんでこんな騒いでるかっていうともうあのパワーと自身がセキュリティ アドバイザリーで書かれていますけども限定的に言ってはあるのですが
バックドアの存在と攻撃手法
スピーカー 3
悪用されてますよっていう話を書かれていましてますでにもゼロでという形で攻撃が 発生していましたというところがまあやはり
脆弱性の深刻さと合わせて強烈な状況というところではあって 具体的にあのボレキシティが今回不審なトラフィックを確認したというところにターンを
発して今回の脆弱性の公開につながってはいるんですけども ボレキシティはネットワークの監視対象のお客さんの一つの中で4月10日に
その不審なトラフィックを確認したと翌日には別のお客さんでも確認をされていて どうもその悪用している脆弱性の動きなどを見るとリバーシェルとかを作って複数の
ツールを投入してラテラルムーブメントの入り口という形で 悪用することを目的に活動している可能性というのを分析しているというところで
さらに遡って色々調べてみると 3月の27日かな それぐらいから複数のお客さん組織においてはやはりこの脆弱性を悪用する動きというのが
確認をされているというところではあるので 実際に確認されてから半月ぐらいは既に経過している状況であるというのが
今のこの脆弱性を取り巻く結構深刻な状況というところではありまして 具体的にこの脆弱性を誰が悪用しているかとか その辺のより突っ込んだというか
アトリビューションとかそういった話っていうのはまだこれから もし出てくるとしたらこれからなのかなというところではあるのですが
さっきお話ししたボンレキシティが分析の中で確認をした Python で実装されているバックドアっていうものが具体的な機能とかが
報告というか記事として書かれていまして これちょっと面白い作りだなぁと思ったんですけども
バックドアが Python で仕込まれていた状態で そのバックドア何をするかというと
ウェブサーバー側のエラーログを見ていますよと エラーログ中に攻撃者がコマンドを仕込み
スピーカー 2
その情報というのをバックドアが確認分析をして 実際に仕込まれたコマンドを実行すると
スピーカー 3
その結果をさらに本来正規なファイルである CSS のファイルにその結果を出力すると
なので攻撃者はエラーログに吐かせたコマンドを通じて その結果を CSS のファイルを通じて確認すると
そんな動きをボンレキシティが確認しているというところで分析をされていて
対応策と注意喚起
スピーカー 3
今まで出ている情報でいうと大体このバックドアの動きであるとか インディケーター情報であるとかというところかなというところで
あとパルワールとジシマのスレッドリサーチのチームであるユニット42いますけども
彼らもその後情報というか ボンレキシティ以上の情報は見た感じに掲載されていないのかなと思うんですけども
オペレーションミッドナイトエクリプスという名前で この脆弱性悪用の活動を追跡してますよという話は記事中されていましたので
今後こういったオペレーション名とかが出てきたら 今回のこれに関するものだなとかっていうのは確認をしておいていただければ良いのかなというところで
じゃあどうしたらいいのかというところではあるのですが 幸いではあるんですかね まだ具体的な攻撃をどうやったら成功させられるのかという
エクスポイトコードとかPOCであるとかそういった情報を具体的には 今の時点では出回ってないというふうに見られていまして
あの今日でしたっけJPサートが注意喚起を土曜日にもかかわらず出しておられましたけども
その注意喚起中でも今のところ実証コードなどはまだ確認してませんということで JPサート自身もそのように書いてはいるのですが
今今のタイミングでは広く悪用できるような状況にはまだなってないと たださっきも話した通り過去の例などを振り返ってみても
今後解析などが進めば攻撃手法手段というのが確立していく可能性というのは当然考えられるので
そういった状況になる前にも一刻も早く対応打ってほしいなというところではあるのですが
残念ながらまだゼロでの状態で修正版が効果されてないと
パラアウト曰く14日までにはという話ではあるのでもしかしたら月曜日ですかね 月曜日のタイミングで効果されると非常に助かるかなと思うんですけども
そのタイミングで当然可能な限り早急にパッチ適用の対応というのを準備
していただくという必要がありますし さっきも言った通り攻撃がすでに発生しているというそういった脆弱性ではあるので
侵害されてないかどうかっていうところは実写内も当然そうですし
どうもやっぱり海外でもやはりこの製品 海外でもというかむしろ海外を中心に広く利用されているものではあるので海外の現地法人とかでも
同じような状況になってないかっていうのは これ合わせて確認をいただくと良いのかなというふうには思いまして
スピーカー 2
今回ちょっと注意喚起も兼ねてお話ということで取り上げさせていただきました これあれですよねあの侵害受けているかどうかを確認する術みたいなのも書かれてましたよね
スピーカー 3
テクニカルサポートファイルっていうのをケースをカスタマーサポートに切っていただいて それで送っていただくと
パラワート側で把握をしている基地のインディケーター情報との 突合などをして攻撃の影響を受けているかどうかっていうのは確認が取れるという形では案内されていらっしゃいましたね
スピーカー 2
あとあれか緩和策でテレメトリーを一旦オフにしとこうみたいなやつもあげられていたのかな
テレメトリー これちょっと私がこういうこと言うのあれなのかわからないですけどテレメトリーそもそも送る必要がそもそもあるのかっていう話も当然あると思うので
スピーカー 3
それを言っちゃって感じだよね
スピーカー 1
それはあると思うので本当に必要なものでなければ切ってしまうっていうのは今回の対応に限らず切ってしまうっていうのは一つの手かなというのは
ただテレメトリーってあれなんだよね 必要はないんだよ 使っているユーザーにとって
スピーカー 2
ユーザーにはね そうですよね
スピーカー 1
ただたくさんのユーザーからテレメトリー情報を集めることで 我々の側の分析で結果最終的に恩恵を受けるんだユーザーがさ
そうですよね だからまぁちょっとそこは難しいところだけどね
ただねあの今言ってたけどパッチがまだ出てないっていうのは効果不効かわかんなくて
今後想定されるそのシナリオとしては他のこれまでのケース考えると パッチが出ると同時に製作性の詳細が明らかになって
いろんなベンダーとかそのまあ攻撃者も含めて解析が進み POCが出て
攻撃が一気に広まるっていうのがおそらくそのパッチが出たらダダダダッと進むことが予想されるんだよね
どこを伝えたかわかりますからねそうそうで一番良いシナリオの場合には攻撃手法が非常に 難しい
スピーカー 2
ケースでパッチをちょっと見たくらいじゃ簡単に再現できないっていうケースが一番望ましい けどそうですねおそらくそうじゃない可能性が高いのでそうですね
スピーカー 1
だとすると本当にそのパッチが出てから当てるまでの利用期間がどれくらいあるかわかん ない
過去のね似たような製品のあれだと1日とか2日ぐらいでもう攻撃が来ましたみたいな ケースはまあ結構あるから
まあだからすぐにパッチが出たらもうほんと速度に当てられるっていう体制が整っている ところはいいと思うんだけど
そうでないところは今のうちに解釈しといた方が無難じゃないかなというか 今の攻撃が限定的って言ってる間がまさに有用期間なんでそうですね
スピーカー 3
そこで何か手が打てるか打てないかで多分その後の結果が大きく左右されるかなという ところが終末になってるっていうのがねちょっといやーそうですね本当に
スピーカー 1
最大のネックでまぁこれは狙ってやったわけじゃないと思うけど ちょっとねーどうなんだろうねはい
早く出さなと思ってやったのがたまたまここっていう まあでもあれから一応パッチが出る前の間にその終末とはいえ
ワークアラウンドやってねっていう機関が得られたというふうにまあプラスに考えなぁ そうですね休み明けにいきなりアドバイダリーとパッチが両方ドーンと出たらさあもう
なんか慌てるしかないけど確かにいい面かもしれないけどねわかんないけど ちょっとまあそういう中の最悪のシナリオが見えるので
はい使ってる人はねなんかこれは最新の結構新しいバージョンだからさあそんなにないかな と思ったけど意外と世界中使われているようで
国内でもまあそれなりに使われているっぽいのでそうですね 気をつけましょうって感じだけどね
スピーカー 2
はいこれあの nvd も相変わらず分析待ちになってましたしょうがないよこれ これなんかあのパルワルドがでパラドラ cna じゃないですか
でこれ最初9.8あったんですよね3.1あそうなんですね でさっき見たら10.0に変わってたんでどこがカードちょっと覚えてないですけど
スピーカー 1
最初はこっちは9点いくつなんやと思ってたんですけど いやーそうなんかあれから3.1で9.8って言うとスコープのところが変わったのかな
スピーカー 2
そうかそうか多分その違いでが変更履歴が3回になっているんだその間になお 書いたんでしょうね12年
なるほどね いやー大変やろうなぁと思うんで
スピーカー 3
はいなんか今年こういうの多いですねはい 年子のあのイバンティ
あー確かにねはいなんかあまりでもなんか頻繁に起きるからだかさ麻痺してきたけどね だよねちょっと慣れたくない感じはしますけどねまたまたかーってね
スピーカー 2
ああいう感じだね 皆さんお気をつけいただければと思います
スピーカー 1
はいありがとうございますはいじゃあ最後はネギスさんですねお願いします はーい今日私からはですね
アップルの通知
スピーカー 1
アップルがスパイウェアの攻撃の標的になっているユーザーにまあ通知を送って ますよっていうのがちょっとニュースになっていて
ちょっとこの話題を取り上げたいなと思うんですけどはいこれもあの平たく言うと 世界中のその全部のユーザーが対象になるってわけでなくて本当にごく一部の少数の
個人のユーザーがターゲットになっていて アップルはまあそれを検知したらその特定の個人の人にあなた狙われてますよっていう通知を送る
っていうことをやってますとだから注意してねーとちゃんと対策してねっていう まあ平たく言えばそれだけの話なんだけども
でこれはの別に何も今回初めてってわけではなくて 2021年ぐらいからかな不定期に何回か年に数回こういった通知をアップルはまあまとめて
そのターゲットになったユーザーに送っているらしいのね 幸い僕のとこで来てないんでわかんないんだけど
幸いなのか不幸なのかちょっとは来た方がいいよそうそうなんとなくねあの 来てほしい気もするけどね
スピーカー 3
若干ねまあなんでその初めてってわけでもないんだけどじゃあなんで今回取り上げたか っていうといくつか気になる点があったのでどこでしょうか
スピーカー 1
でその辺を話したいなと思うんだけどまず一つはねその今回ちょっと変わったところ としては今までは
アップルから通知にはステートスポンサードアタックっていう用語が使われていて まあいわゆるその国家を支援する国家支援の
まあ攻撃ですよっていうことがまあ明確に書かれてたんだけど 今回からその用語が使われなくなったのね
俺でその代わりにマーシナリースパイウェアタックっていう言葉になって でこれあのアップルのその日本語の公式サイトの翻訳見ると金銭目当てのスパイウェアって書かれて
いるんだけども ちょっとねこれ誤解しにやすいかなって思うんだけどまぁ金銭目当てれば間違ってはいないんだ
けどこれはの真下にスパイアタックって要するにその 商用の民間の会社が作っているスパイウェアを国家が利用して
まあその国家の代わりにこういった商用スパイウェアが攻撃に使われてますよって いうことを言うのにまあマーシナリーって言葉を使っていて
なんでそのニュース記事とかによってはその傭兵スパイウェアって訳している 記事も結構あってまぁそっちの方がちょっと意味的にはしっくり来るかなって気がする
イメージは来やすいかもしれないですねそうそうそうなんで例えばあのリアルの戦争でも さあいわゆる民間軍事会社とかが
あの国の軍隊にね変わってなんか活動したり攻撃活動したりだとかさ まあそういうことあると思うんだけどまぁそういったか傭兵部隊っていうのは若干近いニュアンスの
なかなーって感じはするので 傭兵スパイウェアの方がまあ少ししっくりくらいかなという気がするんだけど
なんか金銭メーターって言うとなんかサイバー犯罪者の活動かなかなかね イメージがイメージがなんか変なね誤解されやすいかなって気がするよそうじゃあり
ませんと なるほど商用のスパイウェアなんだけどその裏には国がいますよっていうそれが明確にして
ますよっていうのは変わってないですよと なるほどということですねでただまあそのそういう用語の使い方を変えましたと
でこの変えたっていうのはそのまあこういう商用のスパイウェアっていうのがすごくその 莫大なそのコストをかけて非常に高度な攻撃をしてくるとはまあよくねゼロで
攻撃なんかも使われてるけどもなおかつその世界中のまあごく一部とはいえ 世界中の国のユーザーがターゲットになっていると
で今回のアップルの報告に向かえたとまあこれはなんか150カ国の人に中 注意喚起でが通知を送っているらしい
結構な数ですね世界中どこでもって感じだよね まああの一つの国にそれ2人かもしれないけどねもしかしたらね
というのがあってまぁ世界中で行われているんでなんか特定の国がやってるとか なんかそういう国や地域というのを特定するとかっていうアトリビューションが非常に
難しいのでそういうことは言いませんと というのもあってまあステートスポンサードって言い方やめますっていう感じなのね
というのがまああの一つ表向きな理由なんだけど ちょっともう一つ面白い話があって裏の理由としてこれはあの
アップル自身は何も言ってないんだけど ロイターの記事に書いてあったのは
実はイント政府から内々にそのアップルに強い圧力がかかっていて このステートスポンサードっていう用語を使うだっていう圧力があったという話があるらしいの
でそれはなんでそんなことをするかっていうと実はこれもあんまり知られてないけど 去年の10月ぐらいに
インドの野党の政治家の iphone にこの通知が来たのね であなたの iphone は生徒スポンサードアタックにさらされていますと注意してねみたいな
でそれを受けてその政治家の所属する野党団体はこれはインドの与党の政府が やってるんだと
消しからんっていうふうにまああの批判をして国内でそういうその政治問題になっ ちゃったのね
ああというのがあってでそれを受けてそのインドでを与党政府側は消しからんって 言ってアップルに何とかし
スピーカー 2
つろってどうも言ったんじゃないかという話がまあなんか信頼できる情報を屈辞から ということで言われていますと消しからんの連鎖ですね
スピーカー 1
そうそう本当かどうかわからないけどまあそういう話があって正式でコメントは全然 出てないのでわかりませんか
もしかしたらそういうのもあったのかなということでまぁちょっとねあの政治問題 にもなったという話がありますと
というのでもちょっと用語の使い方が変わりましたというのが一つあるんだけど 僕がこのニュース見てもう一つの気になったところっていうのは
ゼロデイの悪用
スピーカー 1
今その商用のスパイウェアの影響がちょっと大きくなりすぎてるなぁという気が少し してて
をというのはこれニュース見てまず真っ先にちょっと思い出したのからあるんだけど これポッドキャストが取り上げてなかったから先月の末に
google が去年その2023年に悪用されたゼロデイの贅沢性のレポートってのを出したのね まあ多分2人は読んでると思うんだけど
でここで読んだ時ちょっと僕びっくりしたというかあーと思ったのが去年発表された ものって google で把握してるもんだけど全部で197個あるんだけど
そのうちそのどのアクターが使ったかっていうのがわかってそのアトリビューション ができたものっていうのは58個あって
スピーカー 2
そのうち24個が実はこの商用のスパイウェアのベンダーによるものだったという報告結果 があって
スピーカー 1
google はこれらのコマーシャルサーバイランスベンダーって言って csv って いうふうに略称で呼んでるんだけども
csv が24個でで同じ24個が国家を背景としてステートスポンサードの攻撃だって言って いてで残り10個が金銭目的場合はいうサイバー犯罪とかで使われましたと言ってるの
ね なんでそのまあ特定できたものだけに限るけども1年間に使われたゼロデイの贅沢性の課題の
割合をこの実は商用のスパイウェアのベンダーが使っているという事実があって でしかもそのこの csv のそのベンダーが使ってたゼロデイっていうのは全てがモバイル機器と
ブラウザー向けだったのね なのでまあいわゆるエンドユーザーをターゲットにしたゼロデイっていうのを
まあもっぱら彼ら狙っているというのがわかっていて ちょっとねこれはどうなのかなっていうかまぁゼロデイの悪用自体が多いっていうのは
まあここ数年の傾向だけども まあその中でもこういった商用のスパイウェアのベンダーの力が結構大きくなってきて
いるのかなというのがやや気になる というのがあってまぁちょっとこれ大丈夫かなというか
国がやっているのももちろん脅威だけども国になり変わってというかこういう ベンダーが要するにその
利益をめちゃくちゃ上げていて顧客としてそのいろんな国の政府がついていて それがビジネスとして成功しているということなんだよね
なおかつゼロデイをさあこんなにいっぱい使えるっていうことは特定の1個のベンダーだけ じゃないにしても
非常にこうリソースかけてまぁ自分たちで見つけてるかないしは買ってきてるかわからん が
それだけゼロデイを見つける能力があるってことじゃないしかもそれを自分たちのツールに 組み込んで使ってるわけで
こういうのがちょっとまかり通っているというのはやばいなぁというか みんながみんなさあその僕らもね別に対象に攻撃対象になるとはまあなかなかならない
かもしれないけども でもこれ実はターゲットになっている人たちってごく一般の人たちで
その特定の国の例えば政府の活動に反対している活動家とか 市民団体の人とか
あるいはジャーナリストとかね だからそういうようなまあごく一般の民間人がいきなりこういうその国家レベルの攻撃に
セキュリティへの懸念
スピーカー 1
さらされるっていう状況になっちゃってるので これはなんかねあんまり良くないなというかそういう影響力が大きくなりすぎてるなという
のがちょっとねなんか気になったなぁというのがあって まあそれでねあの今回のそのニュースを聞いてちょっとその2つが結びついてちょっとあれ
これ大丈夫かなってちょっと思ったんで まあ今回ちょっと紹介するんだけど
まあちなみにあのこれさえっとこれも先月ぐらいあったかな あのこういったその商用のスパイウェアが広く使われているっていう状況に対してなんか
国際的なその なんていうかアライアンスとか取り組みでこれを何とか解決しを防止しましょうっていう取り組みが
結構各国がやってて先月日本もそれに加わったんだよね 今世界中10何カ国まあアメリカとかを中心にして活動してるんだけども
こういう商用スパイウェアの活動は消しからんって言って これが広く使われるのを止めようっていうなんかそういう取り組みは一応やられてるんだけど
まあとはいえねその民間であのお金儲けで使われていてかつそれをその いろんなまあいわゆる7相撲の国家とか言われているようなそのなんていうかなまあ言い方
難しいけどその民主的ではない国々がこういうのを実際買って使ってるわけじゃない それをさあ止めようとなかなか難しいよなぁいやー無理ですよね
まあなんかちょっとでその僕らが今すぐ何がこれに対してできるっていうわけでもないし そのまあ被害に遭う側でもないのでなんかで若干さあこう対岸の舵的なそのあんまり
自分たちには関係ないよって思っちゃいがちだけど ちょっとでもこれは少し気にしちゃった方がいいかなっていうような気がそれぐらいのレベルで
スピーカー 2
ちょっと影響が大きくなってるなっていう感覚を持ちましたね これでもなんかその
なんか通知が出るじゃないですかこのスレッドのティフィケーションみたいな 出たことないけどねないけどね僕もこれ確認したら残念ながら出てなかった
スピーカー 1
そうそうこれねあのアップル id のアカウントでログインすると まあその画面に通知が出るかないしはメールかアイメッセージのメッセージかなんか通知が
飛んでくるっていうことらしいんだけど 裏の体験はしてないけどね
スピーカー 2
いやでもこれでもどうしようもないですよね
スピーカー 1
まあこのデバイスのメーカーがそうですね例えばそのアップでたロックダウンモードの 有効かとかそういうのぐらいしかそうそうロックダウンモードはかなりそのいろんなこれ
までも報告されているゼロクリックの贅沢性とかああいうのがでまぁだいたい防げるらしいんで かなり有効だと思うんだけどまた若干ねその一般的な利用に制限がかかるんで
そうですよね普段使いするっていう感じじゃないと思うんでもこういうあの攻撃 を受けそうだなぁとかあるいは通知が来たらそういうのを使うとかね
まあそういうことだと思うんだけど実質的なそういうぐらいしかないんだよね だって攻撃手法がゼロでなんだからさ
そうそうです全部じゃないしてもほとんどが多分そうだから なかなか備えるって難しいよね
電源切るとかしかねないですよねでやられても多分気づけないのでこれ そうですよね
なのカスペルスキーだったからだが前にそのこういうような スパイ部屋に侵害された iphone の調べ方みたいなさすげーマニアックで記事書いてたけど
すごくね専門的な知識ないとそもそも調べることすらできないんで確かそうですね これはちょっとねその一般人のレベルではちょっと場対処が非常に難しいというかまあ
さっきずいさんが言ったみたいにちょっとね何もできないかもなっていう まあそういうのもあるのでまぁ政府レベルで何とかしようって取り組みが進んでるのはそういう
ところだし あとまあベンダーねアップルとかまあグーグルとかいろんなそのそういう機器のベンダーもすごく力
入って対処はしてくれてはいるけどね ただまあそれを上回るレベルで攻撃側がやってきているのも事実なので
ちょっと難しいよねー なんか時代の移り変わり感を感じましたこれはなぁそうねなるほど
スピーカー 2
なんかこう昔ねそのほんとはるか昔も10年以上前とかに政府機関に対してゼロデイ とか
スピーカー 1
d 度数の依頼を受けますみたいな営業活動してた会社が暴かれたみたいな事件ありましたね昔 あったねー
スピーカー 2
そうである時の多分ゼロデイとかっていうのは普通にパソコンとかサーバー上で動くような アプリとか os
のやっちゃったと思うんですよ で僕ら普段生活してたらスマホのセキュリティってまあ気をつけないことはないけどここ
スピーカー 1
までなんか深刻な攻撃を受けるなんていう時代は昔そうじゃなかったじゃないですか そうだね
スピーカー 2
iphone とかゼロデイで攻撃されるなんてのは比較的新しい そうそうそうだからこうなんか今今でもそんなあの本当にクリティカルなとんでもない
ゼロデイみたいなものがスマホの攻撃 使われてボコボコみんなやられるみたいなものもあんまないじゃないですかまだ
だから一旦でも狙われる対象になった途端にものすごい高度なものがいきなり来るっていう のはすごいなんか対照的やなって思いましたね
井村屋の冷凍食品「きな粉おはぎ」
スピーカー 1
そうなんだよねだからこれちょっと例えが正しいかどうかわかんないけど なんかさあいきなり例えば街角で猫政府に対する抗議活動してデモ活動とかしてる人
とか だからそういうその政府の消しカラー
内容を取材している者ジャーナリストとかがいきなりミサイルで狙われるみたいな 確かにそうそうだからちょっとねまぁのあのリアルとちょっといきなり比べるのは難しいかも
しれないけどなんかそれぐらいの感覚なわけよしようは なあもうとんでもないレベルのものいきなり狙われちゃうみたいな感じになってるんで
近所のコンビニ買い物に行こうと思ったらスナイパーに狙われてるみたいなそうそうあの リアルだったらまあほぼそんなこと現実的で起きないよねみたいなことが結構サイバー空間
スピーカー 2
では割と起きちゃうんだよねそれがやっぱりね対処が難しいかなっていう 確かにそうですねなんかちょっとねあの冗談半分でね
スピーカー 1
通知出てませんでした母入ったけどこれ出たら出たで大変なことやったことでやめちゃくちゃ 深刻だよこれ
ブーブー言うけどまぁもし仮にそのだからその 自分は関係ないと思ってるんだったらあの必ずしもそうとは言えないので
まあ実際ねその150各区以上でターゲットなっているという現実があるんで日本 だから大丈夫とかさ自分は民間時代から大丈夫とは思わない方が良くて
まあ一応ねそういうことが起きたらどうするかとかまあ起きないにしてもどういう 備えができるかとかっていうのは考えておくべきだしね
スピーカー 2
そうですね
はいありがとうございますはいということで今日もセキュリティの話を3つしてきたんですね 最後におすすめのアレを紹介しようかなと思うんですけども
はい今日紹介するのは水産大好きコンビニ見つけたシリーズといいね 前回がプレミアだったからねそうそうそうそう今回はサッカーコンビニに行って帰るっていうやつ
なんですけど今日紹介するのは冷凍食品なんですけども たまたまね僕なんかめっちゃこれ食いたいなーってここ1ヶ月ぐらい思ってたらそれが
冷凍食品で売られているのを発見したというものなんですけども あの僕結構おはぎ好きなんですよ
あそうなの? へー おはぎ好きなんですけどでもきな粉のおはぎが好きなんですね
あーなるほど であの周りがなんかあのなんて言うんですかあの持ち込め持ち込めのつぶつぶ感が
スピーカー 1
残った生地のおはぎが好きなんですよねきな粉まぶしてやるみたいな なるほど
スピーカー 2
で好きなんですけどそれがですね売られていまして 井村屋のきな粉おはぎっていう
へーそのままやつがあるんですよそうそうそうそう名前もそのままの4個入りのやつ なんですけども
スピーカー 1
めちゃめちゃ良くてこれあの電子レンジでチンするだけでいいんですよ 井村屋ってあれか肉まんあんまんとかで
スピーカー 2
そうそうそう有名ですよね マークがなんかあのMのマークでチョンチョンってついてるやつですね
えーきな粉おはぎか そうそうそう これあの電子レンジでねあの10秒から30秒で解凍してくれて
電子レンジを使ってといいえどもこれ半解凍の状態はちょっと冷たいんですよ 冷たいのが嫌な人温かいのがいい人はそこから例えば5分から15分
ぐらい置いとくと温度ムラなく普通の温度で食べられるって言うやつですねまぁ 手間かけずそのほっとくって2時間で自然解凍もできるっていうやつなんですけど
へー なんか鮮度がすごく残ったままいいみたいな説明もねウェブサイトには書いてたんですが
レシピやアンケート結果の紹介
スピーカー 2
かなり良かったですねなんかもちもちな感じもちもちしてるしこのなんかもち米の まだここだけ切ってないというか
お餅にはまだなってないじゃないですかおはぎって中が粒あんで美味しかったんでちょっと これは手軽に食べられて1個でちょっとお腹すいた時に小腹すいたらちょっと食べるとか
でもね10秒から30秒で食べられるんで なんかちょっと腹持ちも良さそうっていうかそうそうそうそう
だからシリーズ調べてみてね知ったんですけど僕はこのきな粉おはぎしかあの 見つけられなかったんですけどあのラインナップがこのシリーズ5つあって
あそうなのこれで前から結構あるやつなの見たいですねなんかリニューリニューあるした みたいなことを書いてあったんでそうなんだ知らなかったそうそうそうそう
まあリニューアルってもねパッケージだけ変わってる場合あるからなこれ 気付けないですけどはい種類としてはよもぎ草餅
酒まんじゅークリーム大福で今紹介したきな粉おはぎ 黒糖わらび餅っていうのがね
スピーカー 1
a ある なんかどれも美味しそうな感じだなぁ
スピーカー 2
そうそうそうそう他のやつもちょっと見つけたら買いたいなぁと思うんですけども でなんかあのレシピというかアレンジの仕方をウェブサイトで紹介したいとかあと
井村屋が調べたそのまあ購買経験者200名のアンケート結果2021年の実施ですけど 98%の人がまた買いたいと答えたということでこれディズニーリゾートにのリピート率と
あんまり変わらない高さですがこういう比較なんだよそれ ちょっとあんまりいいのが思い浮かばなかったらそのまま口をついて出ただけなんです
いやまあでも俺も結構おはぎとかきな粉系とか好きだけど 美味しそうだねこれね食べてなかなかサークおはぎとか
特にきな粉おはぎって売ってるあまりいいのですよいやないよ確かにねでしょ そうだからもう実家におった時とかにねそのおばあちゃんとかが買ってきた奴とかを食べて
スピーカー 1
たのちょっとふっと思い出して食べたかったタイミングで見つけたんで 確かにまあ時々あのスーパーとかに行くとお店で作ってるやつとか売られてることが
パックで2個ぐらい入って売ってたりするんですよね そういうやつたまるんですね
スピーカー 2
そういうのはあるけどね それもなんかこうなんかあんこでくるんだやつしか見かけなかってきな粉が全く見つから
スピーカー 1
へんかった時にあったのがね 珍しいかもしれないねこれいうのはね
そうそうそうなんか冷凍でなんでもこんなん食べられるってええ時代やなぁ 確かにね
スピーカー 2
なかなかねこういうのを個別の店で売ってるっていう店もあんまないじゃないですか最近 減ってきてて
そうだよねなんでこういうのねちょっと 食べてみてもいいんじゃないかな買ってみてもいいんじゃないかなというおやつにね
はいいいかなぁと思って紹介させていただきました はーい
スピーカー 1
はいっていうことでどうする終わる なんか
何もない続くんとかも特にも何もないけどはロジャーローヤーはろっか はいそういうことでまた次回の楽しみですバイバイバイバーイ