会社訪問の機会
この間、うちの会社のグループ会社に呼ばれて行ってきたんですよ。
呼び出し?
呼び出しって、そんなに怒られてるイメージある?
この季節、新卒の方だとか中途で入られる方だとか、いらっしゃるってことで、
僕に会って話したいっていう若者がいるみたいなことを、グループ会社の役員の人から連絡きて。
憧れの辻さんみたいな?
憧れなんですかね。ありがたいことじゃないですか。
で、行ってきたんですよ。新卒で入ったら会議室、そんな大きな会議室ではなかったんですけど、
10人強。
一人とかじゃなかった、そういう感じなんだ。
新卒の頃はどちらかというと、僕らが喋ってるのを聞いてるみたいな、メモしながらみたいな感じの勉強の兼ねてだと思うんですよね。
その後に、診断とかやってるような事業部みたいなところのキックオフみたいなのがこじんまりとやられてる会があって、
よかったら懇親会も出てくださいよみたいなことを言われて、
出たらなぜか協力会社の人とそこのうちのグループ会社のところの偉い人が喋るトークセッションになぜか急に出されるっていう。
IoTのセキュリティと脆弱性管理っていうテーマがバーンバーン出てきて、それについていっぱい喋るみたいな対談みたいな急に始まって。
結構刺激的でしたね。普段接してない人と急にバッと意見交換する場に。
人が見てるところで出されて喋ったんですけど。
普段は参加できないんですが、そういう中のイベントですからね。
でもこういう自分たちがこれからやっていこうと考えている事業の話みたいなこととかでディスカッションするっていうのは、
アグレッシブさを感じたというかね。
こういう風になっていくから自分らはこういう事業に注力していこうみたいな。
そういう感じのディスカッションに参加できた。思いもよらず刺激的な時間で良かったなっていうかね。
意外なトークセッション
いい機会。
新人の人たちと会話するのとはまた違ったいい意味のヒリヒリ感っていうのもあって。
すごい刺激的で、思いがけず良い会に呼んでいただいたなみたいなね。
新人の人たちとも喋れたりした?
喋りました。喋ったりとか。
その中にはアレ勢の方も結構いまして。
ステッカー渡してきた?
渡した渡した渡した。
何人かいらっしゃいましてね。
あとは終わった後に何人か話しかけに来てくださったんですけども。
話の内容も良かったんですけど、僕はずっと辻さんのスニーカーしか見てませんでしたみたいな人もいて。
そこからスニーカー談義になるみたいな。
なるほどね。
いいですね。たまには外に出ていろんな人と喋るっていうのもやっぱり大事なんやなって思いましたね。
確かに確かに。
結構もっと喋りたかったなって思って思いながら帰った日でした。
また行けばいいじゃんそしたら。
また呼んでもらおうかなと思って。呼ばれてなくても行こうかなみたいなね。
押しかけていっちゃって。
行った時にもね、僕はフリッパー持ってるんですけど。
フリッパーでちょっと試していいですかってもちろん許可を取って会議室のカードコピーして開けれるかどうかみたいなとかやってたんですけど。
開けれることができたんでもういつでも入れるんじゃないかなと思って。
いや消しましたけどね。消しましたけど。
そうそうそう。そんなこんなでね。楽しかったなっていう。
いい春の始まりやなと思いつつ。
確かに確かに。
そういえばね、それとは話変わるんですけど言い忘れてたことがありまして。
このポッドキャスト、YouTube Musicに対応したの知ってる?
あーそうそうそれね。
前にさ、去年かな?
Googleがもうポッドキャストは店じまいしますってアナウンスを出して
方針的にもう全部YouTube Musicの方に寄せますみたいなことが言われてたんだよね。
そうそうそうそう。
であれだよね、確かお便りでそういうのが来てて対応した方がいいよねみたいな話をちょっと前にしてたよね。
そうそうそうそう。それでやっと対応したんですけど、まあちょっとこれめんどくさかったですね。
あーそうなんだ。お疲れ様でした。
なんか登録してもすぐにアカウントがアクティブにならないというか
RSSというかフィードをなかなか呼んでくれなくてよくよく見たらなんかあの
本人確認がいるとかね。
ほらやっぱり収益化とかもあるからだと思うんですけど
まあそういうのどっちでもいいねんけどなと思いながらも結局なんかの自分の写真入りの身分証とかを写真送らなあかんとか
そういう風なのにしたんでもしよかったら youtube music からでも聴いていただければなぁと。
そうだね。なんかそっち系をよく聞く人とかは。
多分このポッドキャストはまあ俺なんかいつもそのアップル信者だからさ。
アップルのアプリでしか聞いていたことないんだけど
たまにスポティファイかな。結構スポティファイ派が多いような気がするんだけど。
あーそうですね。
そうそうそうアンドロイドのユーザーでグーグルのポッドキャストアプリで聞いてましたみたいな人もなんかまあいたし
まあねいろいろいると思うんだけどまた新しく入り口が増えたんでねぜひ使ってください。
入り口はセキュリティのあれの辻リークス.コムの方にもyoutube へのリンクも追加しておきましたんで。
気をつけました。
好きなやつで聴いていただければなと思います。
全部で聞いてもらってもいいですけどね。
そうですね。1回につき5回ぐらい聞いていただこうかなと。
何のために聞くね。
わからないですけどね。聞くたびに発見のあるポッドキャストということで。
じゃあお便り行きますかね。
お願いします。
バイバイの話あったやん。
まだ続くのそれ。
もうよくないですよ。
違う違う。どうやって調べたかを教えてくれてる人がいるんですよ。
前回確かにちょっと間違ったもんね。
そうそうそう。
二分期探索法で最後の10秒ほど聞き続けました。
なので判明した話の話数の前後は結構聞いてますと。
後半は線形探査に切り替えて効率よく探せたと思います。
トータル30話ぐらいは聞いたのではないかと。
言ってることがさ、二分期探索が線形探索とか面白いんだけど。
久しぶりに聞いたなっていうのもあるんですけど。
アルゴリズムヤンキー。
PCのウェブ版だとダウンロードしなくても聞けるんで。
メモしながらやれば特定が楽です。
皆様も是非って誰がやるかって思いましたけどね。
面白いな。
NVDの問題
でもそこまでやってくれて嬉しいけどね。
嬉しいですね。やっぱり地道なことをしてくださったんですよね。
ちゃんとそうやって特定したのか。素晴らしいな。
ちなみにこの方はコリコランワイドを予約して貼りましたね。
やばいだろそれ。
ポイントで全部買う予定みたいな。
マジか。
すごいな。あれで金持ってんな。そんな変えたいなの簡単に。
そうですよね。だってあの値段のものを買えるポイント溜まってるって相当金使って貼ると思うんですよ。
普段どれくらい使ってるんでしょうね。
すごいなと思ってね。
6月ぐらいに届くと思うんでね。使った感想とか教えていただければと思います。
そうだね。
あとは前回看護さんが扱ったNVDがパンパン屋で言う話があったじゃないですか。
それに対して最近平和だなと思ってたらそんなことなかったのはNVDが半ばパンクしてたからだったのかと。
看護さんのお聞いてここ数日の妙な違和感が腑に落ちましたということで。
ゼロデイとかCVSS銃が一気に車内で露見するなんて。バイデンさんもっと資金を。
バイデンさんが聞いてる前提のお便りですね。
確かにね。そのお便りくれた人だけじゃないと思うんだけど。
あんまり大抵的にニュースとかでも出てないし。
言ってみればアメリカの政府内の話といえばそうなんで。
とはいえ影響はこっちも及ぶぞってところはね。もっと知られた方がいいかもしれないよね。
確かに。
それに対してもう一つNVDの話ということで。
そんな重要な情報源をなぜ米国政府に頼っているのかが本質的な問題。
答えは持ってませんが。
だからそれが前回も言った自分たちの国でもつかみたいな話につながりかねないので。
本当にそれでいいの?っていうのはあるんだよね。
そうなんですよね。
昔からやってて出来上がってて一興みたいなところあるじゃないですか。このNVDって。
仕組みも含めて。
だったら今から新たにこれ作るのかっていう話もありますもんね。
前回紹介してくれたそのアライアンスっていうか。
うまくそういう民間とのパートナーシップとかでうまいこと回ってくれればいいけどね。
確かに確かに。
そうですね。ちょっと早く回復してほしいなというふうに思いますね。
ご新規さんのお便りも来ておりまして。
嬉しいです。
最近のジムのお供はこれ。たまたま見つけたけど他の人はどうやってポッドキャストにたどり着くのだろうという。
すごいですね。たまたま見つかるんですね。
どうやって見つけるんだろう。
逆にそうなんですよ。
逆に知りたいんだけど。
どう漂流したらここにたどり着くんだろう。
僕らのXのアカウントをたまたまフォローしてくれてあってそこから知るっていうのが一番多いんちゃうかなと思うんですよね。
新規でツイッターXの方をフォローしてそれでっていうのはそれはありそうだよね。
セミナーとかでも紹介するじゃないですか。僕らこんなんやってましてみたいな。
そこからも元々アレ勢の方の紹介とかこの順番ぐらいに多いんかなと思ってるんですけど。
意外に多いのがその最後のたぶん人捨てで紹介で聞いたっていうのが。
意外とアレ勢からのお便りでも教えてもらいましたみたいなのよく聞くし職場でみんなで聞いてますみたいなのも前あった。
そういうのってのは意外と多いのかなって気はするけど。
たまたまって難しいよな。
2年前とかやったら賞をいただいたから。
あの時は結構多かったよね。
あれで増えたっていうのはあるかもしれないですけど。
逆にこの方がどうやってたまたま見つけたかっていうのが気になるところがありますね。
ぜひ教えてください。
最後これネギスさんに対する質問とメッセージですけれども。
いつもアレを聞いていて思うのだけど非常に聞きやすい。
音もクリアだし所々編集しているのが全くわからないぐらい。
アレってどのアプリで録音して編集しているんでしょうかという。
なるほど。
録音はそれぞれ各自でローカルで。
リアルタイムの会話はディスコード使ってやってるけど。
録音は各自でローカルで録ってもらって。
僕がその音源のデータを集めて編集してるんですけど。
結構プロが使うツールとか色々あるんだけど。
僕はその辺特にこだわりないんで。
無料の編集ツールのオーダーシティってやつでいつもやってます。
でもあれ無料だけど非常に優秀で。
ほとんど何でもできるんで。
そうですよね。この感想をいただけてるってことはそういうことですもんね。
そうそう。優秀なやつだとアプリのツールとか色々他にもたくさんあるにはあるんだけど。
そこまでこだわりがないし。
さっきのお便りにも言っていただけてるけど。
まあまあいい感じでできるんで。
僕はそれでいつもやってますね。
このお便りが来たからっていうのもあって。
それこそコロナ禍に入ってこのペースが1週間になった時ぐらいの聞き直したんですよ。
昔のやつ?
全然違うよ。
昔はだって最初の頃ってスカイプでやってそれをそのまま出したりとか。
リモートの時も最初編集してなかったもんね。
してなかったしてなかった。
途中からディスコードがやっぱりいいよねってなってディスコードにしてやりやすくなって。
加えてやっぱりサーバー側で録音するよりローカルだよねってなって。
だったら編集もするかみたいになって。
手間はその分増えてるけどだいぶ聞きやすくなってるよね多分ね。
いやもう運命の差でしたよマジで。
音質も全然違うし。
いや全然違うなっていう。
ちょっと恥ずかしくなってきたもん。
昔のやつが?
そうそうなんかこうなんていうかな何でもほら芸事というか例えばダンスとか音楽演奏とかでもさ
昔の自分のやつって結構恥ずかしない?
あるよねそれはね。こんなのやってたんだみたいなやつでしょ?
多分なんかその僕初めてセミナーで喋った新卒の頃に一回喋ったことあるんですけど
レポート作成の重要性
その時のやつ今見たら多分死んでしまうやろなって思う。
それはねやっぱりね経験値がありますからね。
今のやつでも自分で見るの嫌やもんなって。
わかる。
こんななんかね十何年も前の昔喋ってるの見たら多分もう死んでしまうな。立ち直られへんかもしれへん。
でもね言うてコロナ禍で始めたやつもさもうすぐ4年でしょ?
そうですよ。
だからまあそれはそれなりにね。
進化してるというか。
良くなってなきゃおかしいよな。
そうですね。
4年も毎週よくやってますよね。
ほんまだよ。
ほんまやな。
よく秋も節続いてるよ。
ほんまそうですよ。
そんな感じなんで。
お便りを読んだ方にはステッカーの印刷コード5種類あってプラスシークレットがありますけれども
ハッシュタグセキュリティのあれをつけてXでポストしていただければ
拾ったら印刷コードを差し上げます。よろしくお願いします。
ありがとうございます。
はいってことで今日はですね。
セキュリティの話するんでしたっけ今日も。
そうですね。
そうですそうです。
じゃあ今日は僕から行こうかなと思うんですけども。
お願いします。
今日僕は紹介するのはですね。
Importance of Report Writing for Pentestersという
ペンテスターにおけるレポート作成の重要性みたいな。
なんかつゆさんがいかにも好きそうなタイトルだね。
タイトルが。
そうですよね。
なんか前から結構言ってるもんね。この話。
そうそうそうそう。
一番大事なところはここなんじゃないか。
レポーティングと報告会なんじゃないかみたいなことは言い続けてはいるんですけれども。
これはオフェンシブセキュリティというところがですね。
今年の4月の1日かなに
レポート作成っていういわゆるソフトスキルみたいなところが
テクニカルな部分と同じぐらい重要なんじゃないかってことに言及したブログを公開してたんですよ。
そこでレポート作成の価値はこういうもんなんだとか
あとはレポートの例を挙げながら
陥りがちなミスというか間違いみたいなものにも触れられてる記事なんですね。
そこでどういったレポートの価値があるかとかから話が始まっていくんですけれども
レポートっていうのはペンテスト
ペンテストだけじゃなくてもいいですね。診断でもいいと思うんですけども
そういったもので発見した脆弱性と対策の推奨事項みたいなものを
きちっと伝えるための媒体だと。
なので報告する側が書くんですけど
される側はその後アクションが発生するので
それをきちんと伝えることは大事なんだ。
そのための媒体としてのレポートだということが書かれてあって
どういう価値があるのかというのを5つぐらい挙げてくれてるんですよね。
1つ目は結果の文書化ということで
レポートの役割と価値
これは当たり前なんですけど報告書はきちんとリスクレベルを理解して
対策、場合によったら緩和策みたいなものを計画するための道しるべみたいなものなので
そういった位置づけなものなんで大事だということから挙げられていて
あとは様々なステークホルダーとコミュニケーションをするためのツールみたいなことがあって
報告をする側は基本テクニカルな人がほとんどだと思うんですけど
読む人によっては技術だけじゃなくて経営とか
場合によったら社外の関係者、日本だったらSIRが報告を聞くという場合もあると思うんですよ。
直接聞かなくてもその結果、データクセルの対策をするのはベンダーの人みたいなこともあるもんね。
そうですね。報告する相手はお客さん、エンドのお客さんやけど
対応の質問してくるのは間に入っているSIRの方とかっていうケースもありますよね。
だから報告書自体は技術的な詳細は当たり前ですけども
非技術的な読者が経営の判断をするとかでもあると思うんですけども
そういった内容として明確かつ簡潔に伝えないといけないというところに価値があるんだよというふうなこととか
あとは実行可能なは低減をしましょうみたいなことで
ここが危ないですよっていうふうに特定することとその対策ってのはセットじゃないですかやっぱり。
なのでその是正に関しては実行可能なものじゃないとダメと。
なるほどね。絵に描いた面白いダメですよと。
そうそう。優先順位をきちんといろんな脆弱性とか指摘事項呼び方はいろいろありますけれども
優先順位をきちんとつけた推奨事項を含めましょうみたいな。
これ場合によったらあれだと思うんですよね。1個の指摘に対して複数対策があるっていう書き方もあると思うんですよ。
なるほど。
これができない場合はこれ。ただしちょっと抜け漏れはあったとしてもこの場合だったらこういう策もどうですかみたいな
これは報告書というよりは報告会でのやり取りかもしれないですけどね。
なのでどれからやるとかだけじゃなくてどの対策をどういうふうにしていくかというふうに落とし込めたほうがいいんじゃないか
これは僕も思ってるというところですね。
あとはコンプライアンスと法的要件ということで
場合によったら業界の規制とか標準に準拠するためにこういうテストを実施するケースもあると思うんですよ。
なるほど。
認証資格を取るためとかね。あとPCI DSSとか必須になってますから。
そういったコンプライアンスの状態を証明するためとか後々の監査に使うためのレポートということも意識しないといけないということで
準拠するための基準に応じたレポートの体裁とか含めるべき内容も変わってくるかなと。
例えばレポートの中には高中低みたいな3段階で危なさを評価するレポートがあったりしますけど
PCIとかだったら5段階にしないといけないとか
そういうのにもきちんと対応できるようにしないとダメですね。
診断とかのサービスを提供する側がこういう基準にのっとった診断できますよとか言ってる場合もあるよね。
何々に対応した、準拠した。スキャナーとかもそういう売り方してますよね。
そうだね。
あとは最近とかだったらKEVのあるなしに載せてますかとか。
なるほど。
っていうのもありますよね。
最後5つ目が継続的な改善というふうなことに使われる価値があるということなんですけども
報告書って僕ら診断する側とかは出したら基本的にはそこで一旦終わりで研修なわけですけども
対策する側はそこからスタートなわけなので
長期的に指摘されたものが直していくかというふうな追跡するための記録としても機能しなければいけないと。
なので是正をするだけじゃなくて、再診断とかも場合によってはあると思うんですけど
対策のそのレポートだけじゃなくて対策シートみたいな一覧で見れるようなシートとかも僕は結構用意してたんですよね。
そうなんだ。
ワードのレポートPDFのレポートだけじゃなくて対策シートみたいな用意してたんですよ。
速報みたいな感じで一応出したりする場合もあるんですけど最終的なその出来上がるものは対策シートで
こういう指摘がありこのホストにこういう指摘がありましたこういう対策をしてください対策しますかしませんかしないんだったらどういう理由からですかみたいな
それがこれ直しましたはいになってたら次の診断の時そこをチェックするっていう
で直ったか直ってないかっていうまあそういう長い目で見たいうものを出すってことは僕はしてましたね
ユーザーによってはワンショットじゃなくて定期的にさ例えば半年とか1年に1回ずっと継続的でやるとか
そういうようなその診断とかをねやるところもあるだろうし同じその例えば外部の便題に頼むんだったらそういう継続性もちょっと大事なポイントだよね
そうですねで後だが先直さないっていう選択をした時には直さない理由を書いてもらうようにしてたんですね
さっきほら言ったみたいに遠藤そのお客様と間に入ってレスアイヤー実際対策をする s アイヤーってこの僕らと合わせて3社みたいな場合ももちろんあるので
お客様はその直さない理由っていうのが妥当かどうかという判断ができないから僕らに委ねてくるんですよね
なるほどベンダーはこう言ってるけどこれはどうなのみたいなそういやこれはさすがにまずいんじゃないかとかってやり取りをするためにも使えるような
コミュニケーションのツールとしての対策シートみたいなとこもありましたね
あとはよくあるレポートの間違いというふうなところでもここはね気にしないといけないところだと思うんですけど
まあ僕たち技術をやってる人間っていうかテスターはしばしばやっぱり技術的な表現ばっかりに陥りすぎて
技術的なあの相手を遠ざけてしまうっていうようなことが書かれてあったんでまあ広い理解を得るたびにそのリスクだとかどんだけやばいんかみたいなものは可能な限り平易な言葉で要約しましょうみたいな
ことが書かれてあったりとかですねあとはの整理整頓してレポート書くっていうのも大事で見やすさ
文字だけでばーって書いてるレポートって僕結構苦手なんですけどスクショとかログとかっていう小石に裏付けされて納得感があるような理解を
助ける工夫も必要ですよねってことが書かれてありましたね
あとは構成も大事とか書いてましたねレビューとかちゃんとしましょうみたいな入念にレビューして正確性と一貫性を担保しましょうだとか
ここ結構なんかどの文章にでも言えることだと思うんですけどねレビューちゃんとしてきれいな文章出しましょうみたいな
あとはまあ細かいところで言うとレポート作成のヒントとかも書かれてあって
エグゼクティブサマリー入れましょうとかねこれ結構こだわってましたね僕あのパッと見て見開き2ページぐらいで全体像がなんとなくヤバそうかどうか分かるものと詳細を分けるとか
あとはあの大体こういうシーンの結果って脆弱性を軸にして報告するパターンと ip アドレスホスト別に書くパターンあるじゃないですか
僕は手間かかるんですけどデフォルトホスト別の方にしてたんですよね
は何でかというとあの a っていうホストはあの子の s アイヤー b ってホストは別の s アイヤーというケースがあって
脆弱性軸に書くと全部の情報をそれぞれの s アイネ渡すことになるのを避けたいという様は結構多かったんですよ
そういう分け方をするとかっていうのもありましたねこのレポート作成のヒントのところは多分あの脆弱性という専門的な言葉を自分の違う業務に置き換えても使えるようなものなんで
さらっと見ていただければいいかなと思いますね なるほどはいあとはねここ僕最近てかその最近このレポートこういったレポート書くことがない
のでハッとしたことがあったんですけど 最適な媒体っていう項目があったんですよね
ほうで今お話にもあって話でも出した通りだいたいワードとか pdf で報告書で提出することが多かったんですよ
今もそうだし一般的だと思うんですけどやっぱりこうなんかこう状況が進化するにつれてやっぱり ダイナミックなレポーティングし方を求める傾向も強まってるんですってことが紹介されてて
どういうものかというとオンラインで見れるとかダッシュボードベースみたいなものとか そういったものが結構な人気を集めてきているっていう
まあなんか asm のレポートだかった声も何のかなって気がしますけどね 継続的に見ていて変化を見るようなものと語ったら今どうなってんの
レポート作成のヒント
これは直ったのみたいなものが見えるようなものの方がいいっていうトレンドも出て きてるんかなーってこれを見て思いました
まあでもレポートなんでやっぱり全体通して思ったのはやっぱ伝わってなんぼやなっていう のは改めて思いましたね
伝えるではなくて伝わるみたいなものでその時は考えたら自分がこう言いたいこととか これがヤバいんやでみたいなことだけじゃなくて相手の立ち位置を理解するっていう
風なものがやっぱ大事やし どうしてもこうテクニカルな方に行きがちだけど相手から見たらこの報告書と報告会
自体が多分相手から見える唯一の形ある成果なんじゃないかなと思うんですね なのでまぁやっぱ相変わらずこういう外に外の人が見るものっていうのは一番
大事で力入れとかなあかんなそのための裏打ちの技術ってのも大事やけどでっていう ふうなことを改めて思ったんでまぁこれね
今の時期って新卒の人たちも多いみたいなさっき話ちょっと触れましたけど こういう文書の作り方っていうのはもう1回見直し続けるというかいうのもいいんじゃない
かなと思って紹介させていただきました あのまあ僕も自分で今はもうさすがにやってないけどはいはい
結構ねペンテストとか診断とかはまあ長いことやってたからすごくよくわかるけど これってその今の話の中でもあったけど
テクニカルでは全然ない部分のまあ全くそういう意味ではその違うスキルなんだけど 非常に重要でかつまあ結構やっぱり若い人とかで自分はねこういう
で作成診断とかペンテストやりたいっていう人が最初からレポートのことを気にするかったら まず最初はまあ目にしないっていうか確かに確かにそっちは全然気にしない
ところだと思うんだけど実は意外と差がつくのはこういうところで なおかつそのテクニックは持っててすごく
ペンテストとかの技術は高いんだけどこういうレポーティングのスキルも高いっていう人は すごく希少価値が高いのでそうですね
なかなかでその技術的なところのてっぺん目指すってのはまあそれはそれで面白くて やりがいはあると思うんだけど
なかなかそっちで探すかがつきにくいようなところで実はこういうところでね 自分はこっちもできるっていうのはすごくプラスになるとか強みになるっていうことはまああるので
そういう見方もねしてほしいし あとまあさっきついさんも言ってたけども
結局その見つけたところで終わりじゃなくてそっからがスタートだっていうところ まあもう1回ねこういうことをやる人たちはぜひ肝に銘じてほしいなぁと思うね
それはなんかやっぱついてやってるとやっぱ忘れちゃうんだよね僕もなんかさ よし行った道通った道ルート通った道とかさあわかんないけど
まだはついついそっちに目が行きがちちゃう わかるたぶんやってる人はわかると思うんだけど
はい見つけてやったぜとかさあそれに残った成果を感じちゃって あとのとに報告はなが付け出しっぽくなんか感じちゃうことで多分あると思う
じゃあそれ全然違うんだよねー というかでも僕もでもある程度やってからだけどなぁそういうふうに思えたのは
最初のうちはやっぱりそう思えなかったもんなぁやっぱりなぁ 最初はそうでしたねなんかやり始めて2年
2年過ぎてあたりかなぁなが真剣に考え始めた やっぱね何回かやっぱり爆発踏んでさぁ
あれなんか言ってるとか伝わってねーなーとかさそうそうそうとかさっきの話じゃない けどあのこうしてほしいんだけどなんか結局うまく対応してくれてないとか
という場面を何度も繰り返すうちにあっこれなんか伝え方が良くないんだとか いい伝え方の形式とかねレポートの形式もそうだけど
なんかいろいろ工夫し出すようになるよね多分ねそうそうそれは結構大事だよね そういう診断の内容に関してもペンテストの内容に関しても自分がこれまでその会社の中で
あった実績に関してもそうですけどやっぱりこう 人に見てもらうものっていうので考えて評価してもらうためのもんだと思うんで
サービスだったらまた頼んでみようと思うわかりやすいレポート あこいつが行ったことはすごいんだなっていうふうに上げてきた自分の表自分自身の自己評価の
レポートが同じだと思うんですよ多分ああそうかもね相手にその大事さを伝える まあそれはヤバさなのか実績のすごさなのかわからないですけど
そこを意識するっていうのは全部に共通する話なのかなって思いますね 技術者といえるこういうとこ大事だよねやっぱね
そうそうまだ結構後回しにしがちやったり技術よりはちょっと面白くないと感じる方も 多いような気はしますけれども大事なところかなぁとは思いましたね
そうですねはい改めてはい そんな感じでございますありがとうございますありがとうございますということでじゃあ次は観光さん行きましょうか
はい今日私はですねもうすでに 応募で話題になっておりますけどもパロアルトの製品の脆弱性についてはいはい
はい取り上げたいと思ってましてこれさあだってこういうっていつも週末に出るんだろう ねちょっとねタイミングがまさか金曜日のしかも日本だという方ぐらいですよね
これ本当にタイミング悪いよこれ絶対週末とかさバタバタしちゃうっていうか 場合によったら知らずに月曜日迎えちゃったらやばくないこれね
本当にちょっとそれが深刻なぐらいな状況ではあるんですけどもどんなものかってまず 概要から軽くお話をさせていただきますとお願いします
はい脆弱性が見つかったのはパロアルトのファイアウォール製品に搭載されている オペリティングシステムのパン os っていうのがありますけども
その中のグローバルプロテクトっていう機能で os コマンドインジェクションの 脆弱性が見つかりましたと
cv で20243400っていうのが割り当てられているんですけども まあもうこれ見ていただくと分かるとおりもフルスコアっていうんですけども
あの全部振り切ってるって言うか 深刻度はまあ当然クリティカルですし
またのパロアルトしベース s のスコアリングあの 新しい v 4で入ってますよねやってらっしゃいますけどもちょっと珍しいよね
v 4つかそう珍しいなぁと思ったんですけどその珍しい v 4の基本値ではあるんですが 10.0というところで
まあこれも全部危険なというかリスクのある状況になっているというのが実際に スコアとしての分析されているもので具体的には認証関係なくルート権限で
デバイス上でコマンド実行されてしまう可能性がありますよっていうまあ強烈なですね ものではありましてパロアルトの製品の脆弱設定
あんまり話題になることっていうのはそんな多くなかったかなぁと思っていてで過去 っていうと2019年の
まあ夏ぐらいですかねあの cve の2019 1579というまあこれもまたグローバルプロテクト のリモート行動実行の脆弱性だったんですけども
nsa などが注意喚起というか警告という形でその後 あの悪用がされているという形で発出はされていたものなので
今回もちょっと心配ではあるのですがその影響が及ぶ範囲としては比較的新しい バージョンっていうんですかねあの10.20
11.0あと11.1ですかね その3つでそれぞれ
さっき言ったそのグローバルプロテクトのゲートへという機能とあとデバイステレメトリー っていうテレメトリーを送信する機能っていうのが
そもそもその機器の中にバージョンで言うとどれだったかな8中 まあ今多分お話ししたバージョンが規定で多分有効になってるんですかねテレメトリー送信
とその機器で取得している情報とかをパロアートに共有をしてまあパロアート側で 例えば
脅威分析とか分析の情報として役立てるっていうそういった機能があるんです けども11.0と11.01以降かながデフォルトで有効でしょ
あのパロアートの説明に書いてあったんですけどその後出たあの gp サートの間の注意喚起とかにも書いてあったんですけども
なんかどうもなんか10.2も10.2.4以降のバージョンは規定で有効になっているという話 だったのでなので影響対象になっているものはほぼ多分規定で有効になっている可能性が
高いのではないかなとは パロアルトの何か技術ドキュメントをまとめているやつとかだとなんかデフォルトはオフ
やけど11系はソースをどうですよかけぶりでしたよね だから銃はそうでもないのかなと思ったら新しいバージョンだともしかすると有効になっている
可能性がありますねそうですねちょっと確認は まあ実機で特にやっていただく必要があるのではないかなと
で実際これなんでこんな騒いでるかっていうともうあのパワーと自身がセキュリティ アドバイザリーで書かれていますけども限定的に言ってはあるのですが
バックドアの存在と攻撃手法
悪用されてますよっていう話を書かれていましてますでにもゼロでという形で攻撃が 発生していましたというところがまあやはり
脆弱性の深刻さと合わせて強烈な状況というところではあって 具体的にあのボレキシティが今回不審なトラフィックを確認したというところにターンを
発して今回の脆弱性の公開につながってはいるんですけども ボレキシティはネットワークの監視対象のお客さんの一つの中で4月10日に
その不審なトラフィックを確認したと翌日には別のお客さんでも確認をされていて どうもその悪用している脆弱性の動きなどを見るとリバーシェルとかを作って複数の
ツールを投入してラテラルムーブメントの入り口という形で 悪用することを目的に活動している可能性というのを分析しているというところで
さらに遡って色々調べてみると 3月の27日かな それぐらいから複数のお客さん組織においてはやはりこの脆弱性を悪用する動きというのが
確認をされているというところではあるので 実際に確認されてから半月ぐらいは既に経過している状況であるというのが
今のこの脆弱性を取り巻く結構深刻な状況というところではありまして 具体的にこの脆弱性を誰が悪用しているかとか その辺のより突っ込んだというか
アトリビューションとかそういった話っていうのはまだこれから もし出てくるとしたらこれからなのかなというところではあるのですが
さっきお話ししたボンレキシティが分析の中で確認をした Python で実装されているバックドアっていうものが具体的な機能とかが
報告というか記事として書かれていまして これちょっと面白い作りだなぁと思ったんですけども
バックドアが Python で仕込まれていた状態で そのバックドア何をするかというと
ウェブサーバー側のエラーログを見ていますよと エラーログ中に攻撃者がコマンドを仕込み
その情報というのをバックドアが確認分析をして 実際に仕込まれたコマンドを実行すると
その結果をさらに本来正規なファイルである CSS のファイルにその結果を出力すると
なので攻撃者はエラーログに吐かせたコマンドを通じて その結果を CSS のファイルを通じて確認すると
そんな動きをボンレキシティが確認しているというところで分析をされていて
対応策と注意喚起
今まで出ている情報でいうと大体このバックドアの動きであるとか インディケーター情報であるとかというところかなというところで
あとパルワールとジシマのスレッドリサーチのチームであるユニット42いますけども
彼らもその後情報というか ボンレキシティ以上の情報は見た感じに掲載されていないのかなと思うんですけども
オペレーションミッドナイトエクリプスという名前で この脆弱性悪用の活動を追跡してますよという話は記事中されていましたので
今後こういったオペレーション名とかが出てきたら 今回のこれに関するものだなとかっていうのは確認をしておいていただければ良いのかなというところで
じゃあどうしたらいいのかというところではあるのですが 幸いではあるんですかね まだ具体的な攻撃をどうやったら成功させられるのかという
エクスポイトコードとかPOCであるとかそういった情報を具体的には 今の時点では出回ってないというふうに見られていまして
あの今日でしたっけJPサートが注意喚起を土曜日にもかかわらず出しておられましたけども
その注意喚起中でも今のところ実証コードなどはまだ確認してませんということで JPサート自身もそのように書いてはいるのですが
今今のタイミングでは広く悪用できるような状況にはまだなってないと たださっきも話した通り過去の例などを振り返ってみても
今後解析などが進めば攻撃手法手段というのが確立していく可能性というのは当然考えられるので
そういった状況になる前にも一刻も早く対応打ってほしいなというところではあるのですが
残念ながらまだゼロでの状態で修正版が効果されてないと
パラアウト曰く14日までにはという話ではあるのでもしかしたら月曜日ですかね 月曜日のタイミングで効果されると非常に助かるかなと思うんですけども
そのタイミングで当然可能な限り早急にパッチ適用の対応というのを準備
していただくという必要がありますし さっきも言った通り攻撃がすでに発生しているというそういった脆弱性ではあるので
侵害されてないかどうかっていうところは実写内も当然そうですし
どうもやっぱり海外でもやはりこの製品 海外でもというかむしろ海外を中心に広く利用されているものではあるので海外の現地法人とかでも
同じような状況になってないかっていうのは これ合わせて確認をいただくと良いのかなというふうには思いまして
今回ちょっと注意喚起も兼ねてお話ということで取り上げさせていただきました これあれですよねあの侵害受けているかどうかを確認する術みたいなのも書かれてましたよね
テクニカルサポートファイルっていうのをケースをカスタマーサポートに切っていただいて それで送っていただくと
パラワート側で把握をしている基地のインディケーター情報との 突合などをして攻撃の影響を受けているかどうかっていうのは確認が取れるという形では案内されていらっしゃいましたね
あとあれか緩和策でテレメトリーを一旦オフにしとこうみたいなやつもあげられていたのかな
テレメトリー これちょっと私がこういうこと言うのあれなのかわからないですけどテレメトリーそもそも送る必要がそもそもあるのかっていう話も当然あると思うので
それを言っちゃって感じだよね
それはあると思うので本当に必要なものでなければ切ってしまうっていうのは今回の対応に限らず切ってしまうっていうのは一つの手かなというのは
ただテレメトリーってあれなんだよね 必要はないんだよ 使っているユーザーにとって
ユーザーにはね そうですよね
ただたくさんのユーザーからテレメトリー情報を集めることで 我々の側の分析で結果最終的に恩恵を受けるんだユーザーがさ
そうですよね だからまぁちょっとそこは難しいところだけどね
ただねあの今言ってたけどパッチがまだ出てないっていうのは効果不効かわかんなくて
今後想定されるそのシナリオとしては他のこれまでのケース考えると パッチが出ると同時に製作性の詳細が明らかになって
いろんなベンダーとかそのまあ攻撃者も含めて解析が進み POCが出て
攻撃が一気に広まるっていうのがおそらくそのパッチが出たらダダダダッと進むことが予想されるんだよね
どこを伝えたかわかりますからねそうそうで一番良いシナリオの場合には攻撃手法が非常に 難しい
ケースでパッチをちょっと見たくらいじゃ簡単に再現できないっていうケースが一番望ましい けどそうですねおそらくそうじゃない可能性が高いのでそうですね
だとすると本当にそのパッチが出てから当てるまでの利用期間がどれくらいあるかわかん ない
過去のね似たような製品のあれだと1日とか2日ぐらいでもう攻撃が来ましたみたいな ケースはまあ結構あるから
まあだからすぐにパッチが出たらもうほんと速度に当てられるっていう体制が整っている ところはいいと思うんだけど
そうでないところは今のうちに解釈しといた方が無難じゃないかなというか 今の攻撃が限定的って言ってる間がまさに有用期間なんでそうですね
そこで何か手が打てるか打てないかで多分その後の結果が大きく左右されるかなという ところが終末になってるっていうのがねちょっといやーそうですね本当に
最大のネックでまぁこれは狙ってやったわけじゃないと思うけど ちょっとねーどうなんだろうねはい
早く出さなと思ってやったのがたまたまここっていう まあでもあれから一応パッチが出る前の間にその終末とはいえ
ワークアラウンドやってねっていう機関が得られたというふうにまあプラスに考えなぁ そうですね休み明けにいきなりアドバイダリーとパッチが両方ドーンと出たらさあもう
なんか慌てるしかないけど確かにいい面かもしれないけどねわかんないけど ちょっとまあそういう中の最悪のシナリオが見えるので
はい使ってる人はねなんかこれは最新の結構新しいバージョンだからさあそんなにないかな と思ったけど意外と世界中使われているようで
国内でもまあそれなりに使われているっぽいのでそうですね 気をつけましょうって感じだけどね
はいこれあの nvd も相変わらず分析待ちになってましたしょうがないよこれ これなんかあのパルワルドがでパラドラ cna じゃないですか
でこれ最初9.8あったんですよね3.1あそうなんですね でさっき見たら10.0に変わってたんでどこがカードちょっと覚えてないですけど
最初はこっちは9点いくつなんやと思ってたんですけど いやーそうなんかあれから3.1で9.8って言うとスコープのところが変わったのかな
そうかそうか多分その違いでが変更履歴が3回になっているんだその間になお 書いたんでしょうね12年
なるほどね いやー大変やろうなぁと思うんで
はいなんか今年こういうの多いですねはい 年子のあのイバンティ
あー確かにねはいなんかあまりでもなんか頻繁に起きるからだかさ麻痺してきたけどね だよねちょっと慣れたくない感じはしますけどねまたまたかーってね
ああいう感じだね 皆さんお気をつけいただければと思います
はいありがとうございますはいじゃあ最後はネギスさんですねお願いします はーい今日私からはですね
アップルの通知
アップルがスパイウェアの攻撃の標的になっているユーザーにまあ通知を送って ますよっていうのがちょっとニュースになっていて
ちょっとこの話題を取り上げたいなと思うんですけどはいこれもあの平たく言うと 世界中のその全部のユーザーが対象になるってわけでなくて本当にごく一部の少数の
個人のユーザーがターゲットになっていて アップルはまあそれを検知したらその特定の個人の人にあなた狙われてますよっていう通知を送る
っていうことをやってますとだから注意してねーとちゃんと対策してねっていう まあ平たく言えばそれだけの話なんだけども
でこれはの別に何も今回初めてってわけではなくて 2021年ぐらいからかな不定期に何回か年に数回こういった通知をアップルはまあまとめて
そのターゲットになったユーザーに送っているらしいのね 幸い僕のとこで来てないんでわかんないんだけど
幸いなのか不幸なのかちょっとは来た方がいいよそうそうなんとなくねあの 来てほしい気もするけどね
若干ねまあなんでその初めてってわけでもないんだけどじゃあなんで今回取り上げたか っていうといくつか気になる点があったのでどこでしょうか
でその辺を話したいなと思うんだけどまず一つはねその今回ちょっと変わったところ としては今までは
アップルから通知にはステートスポンサードアタックっていう用語が使われていて まあいわゆるその国家を支援する国家支援の
まあ攻撃ですよっていうことがまあ明確に書かれてたんだけど 今回からその用語が使われなくなったのね
俺でその代わりにマーシナリースパイウェアタックっていう言葉になって でこれあのアップルのその日本語の公式サイトの翻訳見ると金銭目当てのスパイウェアって書かれて
いるんだけども ちょっとねこれ誤解しにやすいかなって思うんだけどまぁ金銭目当てれば間違ってはいないんだ
けどこれはの真下にスパイアタックって要するにその 商用の民間の会社が作っているスパイウェアを国家が利用して
まあその国家の代わりにこういった商用スパイウェアが攻撃に使われてますよって いうことを言うのにまあマーシナリーって言葉を使っていて
なんでそのニュース記事とかによってはその傭兵スパイウェアって訳している 記事も結構あってまぁそっちの方がちょっと意味的にはしっくり来るかなって気がする
イメージは来やすいかもしれないですねそうそうそうなんで例えばあのリアルの戦争でも さあいわゆる民間軍事会社とかが
あの国の軍隊にね変わってなんか活動したり攻撃活動したりだとかさ まあそういうことあると思うんだけどまぁそういったか傭兵部隊っていうのは若干近いニュアンスの
なかなーって感じはするので 傭兵スパイウェアの方がまあ少ししっくりくらいかなという気がするんだけど
なんか金銭メーターって言うとなんかサイバー犯罪者の活動かなかなかね イメージがイメージがなんか変なね誤解されやすいかなって気がするよそうじゃあり
ませんと なるほど商用のスパイウェアなんだけどその裏には国がいますよっていうそれが明確にして
ますよっていうのは変わってないですよと なるほどということですねでただまあそのそういう用語の使い方を変えましたと
でこの変えたっていうのはそのまあこういう商用のスパイウェアっていうのがすごくその 莫大なそのコストをかけて非常に高度な攻撃をしてくるとはまあよくねゼロで
攻撃なんかも使われてるけどもなおかつその世界中のまあごく一部とはいえ 世界中の国のユーザーがターゲットになっていると
で今回のアップルの報告に向かえたとまあこれはなんか150カ国の人に中 注意喚起でが通知を送っているらしい
結構な数ですね世界中どこでもって感じだよね まああの一つの国にそれ2人かもしれないけどねもしかしたらね
というのがあってまぁ世界中で行われているんでなんか特定の国がやってるとか なんかそういう国や地域というのを特定するとかっていうアトリビューションが非常に
難しいのでそういうことは言いませんと というのもあってまあステートスポンサードって言い方やめますっていう感じなのね
というのがまああの一つ表向きな理由なんだけど ちょっともう一つ面白い話があって裏の理由としてこれはあの
アップル自身は何も言ってないんだけど ロイターの記事に書いてあったのは
実はイント政府から内々にそのアップルに強い圧力がかかっていて このステートスポンサードっていう用語を使うだっていう圧力があったという話があるらしいの
でそれはなんでそんなことをするかっていうと実はこれもあんまり知られてないけど 去年の10月ぐらいに
インドの野党の政治家の iphone にこの通知が来たのね であなたの iphone は生徒スポンサードアタックにさらされていますと注意してねみたいな
でそれを受けてその政治家の所属する野党団体はこれはインドの与党の政府が やってるんだと
消しからんっていうふうにまああの批判をして国内でそういうその政治問題になっ ちゃったのね
ああというのがあってでそれを受けてそのインドでを与党政府側は消しからんって 言ってアップルに何とかし
つろってどうも言ったんじゃないかという話がまあなんか信頼できる情報を屈辞から ということで言われていますと消しからんの連鎖ですね
そうそう本当かどうかわからないけどまあそういう話があって正式でコメントは全然 出てないのでわかりませんか
もしかしたらそういうのもあったのかなということでまぁちょっとねあの政治問題 にもなったという話がありますと
というのでもちょっと用語の使い方が変わりましたというのが一つあるんだけど 僕がこのニュース見てもう一つの気になったところっていうのは
ゼロデイの悪用
今その商用のスパイウェアの影響がちょっと大きくなりすぎてるなぁという気が少し してて
をというのはこれニュース見てまず真っ先にちょっと思い出したのからあるんだけど これポッドキャストが取り上げてなかったから先月の末に
google が去年その2023年に悪用されたゼロデイの贅沢性のレポートってのを出したのね まあ多分2人は読んでると思うんだけど
でここで読んだ時ちょっと僕びっくりしたというかあーと思ったのが去年発表された ものって google で把握してるもんだけど全部で197個あるんだけど
そのうちそのどのアクターが使ったかっていうのがわかってそのアトリビューション ができたものっていうのは58個あって
そのうち24個が実はこの商用のスパイウェアのベンダーによるものだったという報告結果 があって
google はこれらのコマーシャルサーバイランスベンダーって言って csv って いうふうに略称で呼んでるんだけども
csv が24個でで同じ24個が国家を背景としてステートスポンサードの攻撃だって言って いてで残り10個が金銭目的場合はいうサイバー犯罪とかで使われましたと言ってるの
ね なんでそのまあ特定できたものだけに限るけども1年間に使われたゼロデイの贅沢性の課題の
割合をこの実は商用のスパイウェアのベンダーが使っているという事実があって でしかもそのこの csv のそのベンダーが使ってたゼロデイっていうのは全てがモバイル機器と
ブラウザー向けだったのね なのでまあいわゆるエンドユーザーをターゲットにしたゼロデイっていうのを
まあもっぱら彼ら狙っているというのがわかっていて ちょっとねこれはどうなのかなっていうかまぁゼロデイの悪用自体が多いっていうのは
まあここ数年の傾向だけども まあその中でもこういった商用のスパイウェアのベンダーの力が結構大きくなってきて
いるのかなというのがやや気になる というのがあってまぁちょっとこれ大丈夫かなというか
国がやっているのももちろん脅威だけども国になり変わってというかこういう ベンダーが要するにその
利益をめちゃくちゃ上げていて顧客としてそのいろんな国の政府がついていて それがビジネスとして成功しているということなんだよね
なおかつゼロデイをさあこんなにいっぱい使えるっていうことは特定の1個のベンダーだけ じゃないにしても
非常にこうリソースかけてまぁ自分たちで見つけてるかないしは買ってきてるかわからん が
それだけゼロデイを見つける能力があるってことじゃないしかもそれを自分たちのツールに 組み込んで使ってるわけで
こういうのがちょっとまかり通っているというのはやばいなぁというか みんながみんなさあその僕らもね別に対象に攻撃対象になるとはまあなかなかならない
かもしれないけども でもこれ実はターゲットになっている人たちってごく一般の人たちで
その特定の国の例えば政府の活動に反対している活動家とか 市民団体の人とか
あるいはジャーナリストとかね だからそういうようなまあごく一般の民間人がいきなりこういうその国家レベルの攻撃に
セキュリティへの懸念
さらされるっていう状況になっちゃってるので これはなんかねあんまり良くないなというかそういう影響力が大きくなりすぎてるなという
のがちょっとねなんか気になったなぁというのがあって まあそれでねあの今回のそのニュースを聞いてちょっとその2つが結びついてちょっとあれ
これ大丈夫かなってちょっと思ったんで まあ今回ちょっと紹介するんだけど
まあちなみにあのこれさえっとこれも先月ぐらいあったかな あのこういったその商用のスパイウェアが広く使われているっていう状況に対してなんか
国際的なその なんていうかアライアンスとか取り組みでこれを何とか解決しを防止しましょうっていう取り組みが
結構各国がやってて先月日本もそれに加わったんだよね 今世界中10何カ国まあアメリカとかを中心にして活動してるんだけども
こういう商用スパイウェアの活動は消しからんって言って これが広く使われるのを止めようっていうなんかそういう取り組みは一応やられてるんだけど
まあとはいえねその民間であのお金儲けで使われていてかつそれをその いろんなまあいわゆる7相撲の国家とか言われているようなそのなんていうかなまあ言い方
難しいけどその民主的ではない国々がこういうのを実際買って使ってるわけじゃない それをさあ止めようとなかなか難しいよなぁいやー無理ですよね
まあなんかちょっとでその僕らが今すぐ何がこれに対してできるっていうわけでもないし そのまあ被害に遭う側でもないのでなんかで若干さあこう対岸の舵的なそのあんまり
自分たちには関係ないよって思っちゃいがちだけど ちょっとでもこれは少し気にしちゃった方がいいかなっていうような気がそれぐらいのレベルで
ちょっと影響が大きくなってるなっていう感覚を持ちましたね これでもなんかその
なんか通知が出るじゃないですかこのスレッドのティフィケーションみたいな 出たことないけどねないけどね僕もこれ確認したら残念ながら出てなかった
そうそうこれねあのアップル id のアカウントでログインすると まあその画面に通知が出るかないしはメールかアイメッセージのメッセージかなんか通知が
飛んでくるっていうことらしいんだけど 裏の体験はしてないけどね
いやでもこれでもどうしようもないですよね
まあこのデバイスのメーカーがそうですね例えばそのアップでたロックダウンモードの 有効かとかそういうのぐらいしかそうそうロックダウンモードはかなりそのいろんなこれ
までも報告されているゼロクリックの贅沢性とかああいうのがでまぁだいたい防げるらしいんで かなり有効だと思うんだけどまた若干ねその一般的な利用に制限がかかるんで
そうですよね普段使いするっていう感じじゃないと思うんでもこういうあの攻撃 を受けそうだなぁとかあるいは通知が来たらそういうのを使うとかね
まあそういうことだと思うんだけど実質的なそういうぐらいしかないんだよね だって攻撃手法がゼロでなんだからさ
そうそうです全部じゃないしてもほとんどが多分そうだから なかなか備えるって難しいよね
電源切るとかしかねないですよねでやられても多分気づけないのでこれ そうですよね
なのカスペルスキーだったからだが前にそのこういうような スパイ部屋に侵害された iphone の調べ方みたいなさすげーマニアックで記事書いてたけど
すごくね専門的な知識ないとそもそも調べることすらできないんで確かそうですね これはちょっとねその一般人のレベルではちょっと場対処が非常に難しいというかまあ
さっきずいさんが言ったみたいにちょっとね何もできないかもなっていう まあそういうのもあるのでまぁ政府レベルで何とかしようって取り組みが進んでるのはそういう
ところだし あとまあベンダーねアップルとかまあグーグルとかいろんなそのそういう機器のベンダーもすごく力
入って対処はしてくれてはいるけどね ただまあそれを上回るレベルで攻撃側がやってきているのも事実なので
ちょっと難しいよねー なんか時代の移り変わり感を感じましたこれはなぁそうねなるほど
なんかこう昔ねそのほんとはるか昔も10年以上前とかに政府機関に対してゼロデイ とか
d 度数の依頼を受けますみたいな営業活動してた会社が暴かれたみたいな事件ありましたね昔 あったねー
そうである時の多分ゼロデイとかっていうのは普通にパソコンとかサーバー上で動くような アプリとか os
のやっちゃったと思うんですよ で僕ら普段生活してたらスマホのセキュリティってまあ気をつけないことはないけどここ
までなんか深刻な攻撃を受けるなんていう時代は昔そうじゃなかったじゃないですか そうだね
iphone とかゼロデイで攻撃されるなんてのは比較的新しい そうそうそうだからこうなんか今今でもそんなあの本当にクリティカルなとんでもない
ゼロデイみたいなものがスマホの攻撃 使われてボコボコみんなやられるみたいなものもあんまないじゃないですかまだ
だから一旦でも狙われる対象になった途端にものすごい高度なものがいきなり来るっていう のはすごいなんか対照的やなって思いましたね
井村屋の冷凍食品「きな粉おはぎ」
そうなんだよねだからこれちょっと例えが正しいかどうかわかんないけど なんかさあいきなり例えば街角で猫政府に対する抗議活動してデモ活動とかしてる人
とか だからそういうその政府の消しカラー
内容を取材している者ジャーナリストとかがいきなりミサイルで狙われるみたいな 確かにそうそうだからちょっとねまぁのあのリアルとちょっといきなり比べるのは難しいかも
しれないけどなんかそれぐらいの感覚なわけよしようは なあもうとんでもないレベルのものいきなり狙われちゃうみたいな感じになってるんで
近所のコンビニ買い物に行こうと思ったらスナイパーに狙われてるみたいなそうそうあの リアルだったらまあほぼそんなこと現実的で起きないよねみたいなことが結構サイバー空間
では割と起きちゃうんだよねそれがやっぱりね対処が難しいかなっていう 確かにそうですねなんかちょっとねあの冗談半分でね
通知出てませんでした母入ったけどこれ出たら出たで大変なことやったことでやめちゃくちゃ 深刻だよこれ
ブーブー言うけどまぁもし仮にそのだからその 自分は関係ないと思ってるんだったらあの必ずしもそうとは言えないので
まあ実際ねその150各区以上でターゲットなっているという現実があるんで日本 だから大丈夫とかさ自分は民間時代から大丈夫とは思わない方が良くて
まあ一応ねそういうことが起きたらどうするかとかまあ起きないにしてもどういう 備えができるかとかっていうのは考えておくべきだしね
そうですね
はいありがとうございますはいということで今日もセキュリティの話を3つしてきたんですね 最後におすすめのアレを紹介しようかなと思うんですけども
はい今日紹介するのは水産大好きコンビニ見つけたシリーズといいね 前回がプレミアだったからねそうそうそうそう今回はサッカーコンビニに行って帰るっていうやつ
なんですけど今日紹介するのは冷凍食品なんですけども たまたまね僕なんかめっちゃこれ食いたいなーってここ1ヶ月ぐらい思ってたらそれが
冷凍食品で売られているのを発見したというものなんですけども あの僕結構おはぎ好きなんですよ
あそうなの? へー おはぎ好きなんですけどでもきな粉のおはぎが好きなんですね
あーなるほど であの周りがなんかあのなんて言うんですかあの持ち込め持ち込めのつぶつぶ感が
残った生地のおはぎが好きなんですよねきな粉まぶしてやるみたいな なるほど
で好きなんですけどそれがですね売られていまして 井村屋のきな粉おはぎっていう
へーそのままやつがあるんですよそうそうそうそう名前もそのままの4個入りのやつ なんですけども
めちゃめちゃ良くてこれあの電子レンジでチンするだけでいいんですよ 井村屋ってあれか肉まんあんまんとかで
そうそうそう有名ですよね マークがなんかあのMのマークでチョンチョンってついてるやつですね
えーきな粉おはぎか そうそうそう これあの電子レンジでねあの10秒から30秒で解凍してくれて
電子レンジを使ってといいえどもこれ半解凍の状態はちょっと冷たいんですよ 冷たいのが嫌な人温かいのがいい人はそこから例えば5分から15分
ぐらい置いとくと温度ムラなく普通の温度で食べられるって言うやつですねまぁ 手間かけずそのほっとくって2時間で自然解凍もできるっていうやつなんですけど
へー なんか鮮度がすごく残ったままいいみたいな説明もねウェブサイトには書いてたんですが
レシピやアンケート結果の紹介
かなり良かったですねなんかもちもちな感じもちもちしてるしこのなんかもち米の まだここだけ切ってないというか
お餅にはまだなってないじゃないですかおはぎって中が粒あんで美味しかったんでちょっと これは手軽に食べられて1個でちょっとお腹すいた時に小腹すいたらちょっと食べるとか
でもね10秒から30秒で食べられるんで なんかちょっと腹持ちも良さそうっていうかそうそうそうそう
だからシリーズ調べてみてね知ったんですけど僕はこのきな粉おはぎしかあの 見つけられなかったんですけどあのラインナップがこのシリーズ5つあって
あそうなのこれで前から結構あるやつなの見たいですねなんかリニューリニューあるした みたいなことを書いてあったんでそうなんだ知らなかったそうそうそうそう
まあリニューアルってもねパッケージだけ変わってる場合あるからなこれ 気付けないですけどはい種類としてはよもぎ草餅
酒まんじゅークリーム大福で今紹介したきな粉おはぎ 黒糖わらび餅っていうのがね
a ある なんかどれも美味しそうな感じだなぁ
そうそうそうそう他のやつもちょっと見つけたら買いたいなぁと思うんですけども でなんかあのレシピというかアレンジの仕方をウェブサイトで紹介したいとかあと
井村屋が調べたそのまあ購買経験者200名のアンケート結果2021年の実施ですけど 98%の人がまた買いたいと答えたということでこれディズニーリゾートにのリピート率と
あんまり変わらない高さですがこういう比較なんだよそれ ちょっとあんまりいいのが思い浮かばなかったらそのまま口をついて出ただけなんです
いやまあでも俺も結構おはぎとかきな粉系とか好きだけど 美味しそうだねこれね食べてなかなかサークおはぎとか
特にきな粉おはぎって売ってるあまりいいのですよいやないよ確かにねでしょ そうだからもう実家におった時とかにねそのおばあちゃんとかが買ってきた奴とかを食べて
たのちょっとふっと思い出して食べたかったタイミングで見つけたんで 確かにまあ時々あのスーパーとかに行くとお店で作ってるやつとか売られてることが
パックで2個ぐらい入って売ってたりするんですよね そういうやつたまるんですね
そういうのはあるけどね それもなんかこうなんかあんこでくるんだやつしか見かけなかってきな粉が全く見つから
へんかった時にあったのがね 珍しいかもしれないねこれいうのはね
そうそうそうなんか冷凍でなんでもこんなん食べられるってええ時代やなぁ 確かにね
なかなかねこういうのを個別の店で売ってるっていう店もあんまないじゃないですか最近 減ってきてて
そうだよねなんでこういうのねちょっと 食べてみてもいいんじゃないかな買ってみてもいいんじゃないかなというおやつにね
はいいいかなぁと思って紹介させていただきました はーい
はいっていうことでどうする終わる なんか
何もない続くんとかも特にも何もないけどはロジャーローヤーはろっか はいそういうことでまた次回の楽しみですバイバイバイバーイ
