インフルエンサーとお風呂の話
インターネットやってると、結構興味があんまりなくても、こういうのあります?とか、動画をお勧めされたりとか、ニュースをお勧めされたりするじゃないですか。
それは何?広告的な意味で?
広告というか、誰かが例えばXやったらリツイートしたのか、リポストしたのか、PRみたいなのに乗ってきているのか、ようわからんけど、ようわからん経路でデリバリーされる情報あるでしょ?
よくリコメントされたりとか、よく知らんものが出てくることあるよね。
それで見てて、最近はこういう発信もあるのかと思って見てたものがあってね。
女性のインフルエンサーの動画なんですけど、頭を洗ってない時の髪のセットの仕方みたいなやつを紹介してて、こういう風にすれば綺麗にまとまるみたいな。
忙しくて、例えばお風呂入れないとか、頭洗えないとか、そういう意味なのかな?
たぶんそうだと思うんですけど、そうなんやと思いながらね、見てたんですけど、インフルエンサーなんやったら、頭洗うことをインフルエンスしてほしい。
俺もちょっとそう思った今。
そうなんですよ。なんかね、不思議な気持ちになったりとかしてね。
なんだろうね、それはちょこ忙しい人向けなのかな?
最近ほら、なんとか界隈とか言うて、お風呂をキャンセル界隈とか言うて。
あー、なんか聞くね、そういうの。お風呂は入ろうぜ。
そうなんですよ。しかもお風呂をキャンセル界隈っていう言い方もちょっと変やなって思ってて。
いや、キャンセルっていうのは一回申し込んだ人がすることなんですよ。
お風呂は基本でも毎回申し込んでいいんじゃないの?
そうなのかな?一回お湯張ったけど入らへんかったらキャンセルやと思うんですけど。
なんかほら、サブスクみたいな感じじゃない?お風呂って。
あー、そうですか。
とりあえず毎日入るみたいな。
あー、そういうことでキャンセルなんか。いや、お風呂スキップやったらわかるんですけど。
どうでもいいやんけ。
どうでもいいですか。
言葉の使い方ね。
そうそうそうそう。いや、なんかこう、最近もうなんだかんだ言って新年度も始まったとはいえ、
なんかまあまあ言うてバタバタしてるからこういうどうでもいい話をする時間がなくてですね。
あー、そうなんだ。
まあそれにはお二人とこのアレ勢に付き合わせてるっていうだけなんですけど。
まあでもなんか中にお風呂好きじゃないっていう人もいるしね。
いるいる。昔からいましたね。学校とかでもいましたよ、お風呂苦手やみたいな人。
なんか好きじゃない人っているみたいな。できるだけ入りたくないみたいなさ。
別にその清潔じゃないっていう意味じゃなくて、そもそもお風呂っていう時間が好きじゃないっていう人もいるみたいなことは。
入ってはいるねんけど好きで入ってるわけじゃない、いやいや入ってるみたいな人いらっしゃいますよね。
必要だからいやいや入ってるみたいな人はなんか聞くけどね。
確かに確かに。まあそうですね、僕も疲れてる時とかはやっぱちょっとめんどくさいなっていう時はあるかな。
まあね。
入ったら入ったら気持ちいいし、ぐっすり寝れたりもするんですけどね。
ね、湯船に使ったら割と疲れ取れるよね。短い時間でもやっぱ入るとシャワーだけよりもだいぶ違うけどな。
僕もシャワーだけで済ませる日なんかないですもん。絶対湯船に入るはずなんで。
俺もそう思ってたな、どっちかっていうとな。
だからまあ皆さんはお風呂に入ってくださいということですよね。
シークレットと届け方
そうね。
それはそうとね、シークレット出ましたよ。達成が。
また?
ありがとうございます。
もはやちょっと数えるのがわかんないけど、何人目だか知らないけど。
多分6、7人とかなんじゃないかな。
すごいね。皆さんすごいな。
次の1って考えなあかんかな。
そうね。2週目に入っている人がこんだけいるとね、ぼちぼち。
ただでも今のって5個集めてっていう感じじゃないですか。
だからまた違うパターンがいるのかなみたいな。めっちゃおもろかったやつとか。内容に応じて盛り上がったネタとか。
ついさんの気まぐれで。
僕の気まぐれですね。
まあそれもありだけどね。
まあ問題は届け方なんですよね、これどっちかっていうと。
確かに。
渡し方っていうのは、やっぱり住所をいただくっていうのはちょっとね、なかなかハードル高いかなっていうのがあって。
まあそれ考えたら、今の印刷用のコードを渡しするっていうのは、まあまあいいあると思うけどね。
まあステッカーの種類を増やすとかかな。
そうね。
10種類ぐらいになっても、一応5種類集めたらみたいな。確率も上がるやん、そろすると。シークレットもらえる。
まあシークレットの数を増やすとかもあるしね。
シークレットもランダムにすれば。
おお、なんかもうちょっと消費者庁から怒られそうな、そんなガチャしてええんかみたいな。
社交支援はなんか。
ちょっとなんかね、有料5人なんかさせちゃったりして。
まあでも一応ほら、これ聞くのにお金かかってないからさ。
確かに、無償なんで別に消費者庁に怒られることでもなんでもない。
まあ一応ね、そこは大丈夫だと思うけどね。これが有償だったらやばいけどね、ガチャになっちゃうけどね。
そうですね、別にお互い何かコストかけてやるとかいうことでもないから、いいかもしれないですね、それもね。
ちょっと考えますわ、それは。
はい、お願いします。
デジタルセキュリティの課題
はい、ということでですね、お便りが来ております。
はい、お願いします。
はい、いつも散歩しながら楽しく聞かせていただいております。
第256回のサプライチェーンセキュリティの話題で、ネギスさんが広く使われていることは良いものを作っているということだけど、
影響範囲が広くなるので注意が必要だとおっしゃってましたが、完全に同意ですというお便りが来ておりますね。
そうですね。
まあ難しいところですからね。
難しいよね、そうそうそう。
これ言い出したらね、Windows使ってる人の数みたいなところもありますからね、そんなこと言い出したら。
そうね、結局だからさ、広く使われるものって狙われる運命にあるというか、Windowsもそうじゃん。
こんだけ性が高くてみんなが使ってるから狙われやすくてさ、
別にMac向けのマルウェアとかがないわけではないけど、相対的に見て非常に数が少ないのはどうしてもそうなっちゃうっていうかね。
それと似たようなところがあって、ちょっとそのレベル感は違うけどさ、オープンソースのものとか、プロプライタリーでも広く使われているものはどうしても狙われちゃうみたいなね、あるもんね、そういうのね。
確かにね、そうですね。それはもう宿命なんだと思うんですね。
それもコミでのリスクっていうことを考えろってことなんだと思うけどね。
だからってマイナーなやつ使って全然更新されへんとかサポートがゆるゆるやとかって言っても困るわけですからね。
逆にそっちのほうがもしかしたらリスクが高いかもしれないし、品質が低いものを使うリスクっていうのも考えるとどっちがいいのかなっていう話だよね。
そうですね。広く使われているものに関しては、そういうのを作っている方々にはそういう責任感を持ってやっていただくぐらいしかこちらからアプローチしようがないですけどね。
ありがとうございます。
前、このポッドキャストでちょっと告知みたいなさせていただいたNHKスペシャル。
ついさんが参集したとかいうやつだっけ?
そうそうそうそう。それを見ましたというお便りをいただいておりまして、
ディープフェイクって悪い意味の言葉に聞こえてしまうんですよね。使い方次第だとは思うのですが、技術としては素晴らしいものなので、
もっと良いイメージが湧く言い方はないでしょうか?
ドラマの最後で続編を匂わす感じ良かったですというお便りが見ていただいてありがとうございます。
フェイクはフェイクだからね。
そうなんですよね。フェイクってあんまりね、どっちかというと願作みたいなイメージでよく言われたりとかいうのがあるから、あんまり良い言葉じゃないっていうのはあるけど、事実そうですもんね。
イミテーションとかの方がいいのかな?
どの道でも本物があってそれに似せて作られるものっていう意味では、言葉を変えても変えなくてもどの道悪いイメージは。
ドラマの中ではちょっと良い使い方みたいなところというか、こういう使い方もみたいなのが出てくるんですけど、
うん、なんか言ってたよね。
そうそう、そこでどっちなんや、良いのか悪いのかみたいな考えさせられるものだったりするんですけど、どうしてもこのディープフェイクって悪用の話が先行してるっていうのがイメージとしてもあるんかなと思いますけどね。
そうだね、その方が分かりやすいというかね。
良い使い方よりも悪い使い方の方が分かりやすいから。
クリックフィックスが良いか悪いかの話もこないだはしましたけどね。
あー、伝わりにくさとかですね。
そういうのが伝わりやすさというか、インパクトのある言葉ではあるかな、ディープフェイクって。
あと、実際、事実、今のところ、悪用の方が圧倒的に多いというか、むしろ良い使い方を考える方が難しいので。
確かになー。
そう考えると分かりやすく、フェイクというか良くないものっていうイメージがある言葉の方が良いかもしれないけどね、注意喚起としてはね。
良いものができたんだったらそれは別の名前をつければいいのかもしれないですね。
ありがとうございます。
次のお便りがですね、最新セキュリティニュースのポータルサイト的なものを見てても、本当に中小企業の被害がたくさん出てくるようになった気がしていて、
同じ立場で参考にしようにも飽和状態で、例えば原因別に見られるサイトなんてあったりするんでしょうか?
しんどくなってきてて追いつけませんという情報を追いかけるの大変お便りが来ておりますね。
原因別か。
あったらそれは俺も見たいな。
そうなんですよね。
なかなかね、これもね、原因別に分類するのも大変だと思いますけどね。
そもそも書いてないのたくさんありますからね。
そうそうそうそう。結局その他とか不明とかがいっぱい増えてしまうだけな気がしていて。
結構ありますからね。
この間、ITメディアさんだっけ?やったセミナーで、看護さんがそういう整理をしてたよね。
結局原因がはっきり特定できてない事案が多すぎるみたいなさ。
そうそうそう、結構多くて。
そういう整理してたもんね。
してたしてた。
看護さんが一生懸命分類してくれてわかるくらいっていうかさ、そもそもだからそういう原因別でのパッとわかるようなサイトとか一覧とかもないし、
そういう分析がちょっと足りてない感はあるっていうのはね。
ベンダーが提供するレポートとかで、その事案の原因はとかっていうのにまとめてるものってのは別にないわけじゃないんだけども、
ただそれはどっちかというと、その統計的な情報として、
例えば1年間の事案の何パーセントがバリットアカウントでとか、フィッシングが原因でとかっていうような、そんなやつは見ることはあるけど、
具体的に今起きている、例えば国内の事案が原因別で一覧になってるみたいなやつはちょっと難しいかもね、見つけるのはね。
そうですね、なんかこう自分の観測網に引っかかって経編事件とかもあるじゃないですか、やっぱり。
それを漏らしてんじゃないかってやると結構きつそうかな、整理するのあれがないこれがないとかってなってしまうケースもあるやろうし。
クリックフィックスの紹介
なんか結構昔、2001桁年とかの頃にね、そういうのをずっとまとめてるサイトとかがあったんですよ、昔。
その情報セキュリティ事項まとめみたいな、何が起きてとかどういう被害でみたいなものがテンプレになっててね、
そういうのだけをまとめてる企業のサイトなんですけど、あって、それは話を聞くとそこの会社の販売促進の人たちがずっとニュースを追って更新してたんですよ。
ただでもやっぱり事件の数が全然違うからね、今は。
まあそうなんだよね。
倍とかでは効かないじゃないですか。現実的じゃないですよね。
こういうのこそ、個人情報保護委員会とかが作ってくれるのが一番いいんじゃないですかね。
前にかんこさんが紹介してくれてた、シャンキーことかなんかの。
はいはい、ありましたね。
なんかあの辺を充実させてくれたらいいかもしれないけどね。
個人情報漏洩しか載ってこないかもしれないですけど、それだけでも結構大きいと思うし、原因もいろいろあると思うから。
だいぶ違うと思うよ。あそこが把握してる事案かなり多いと思うからね。
一番多そうな気しません?なんか。
まあ聞いてる方がいらっしゃったら対応していただきたいと思います。
他に任せっていうね。
最後のお便りで、多分お二人からどうでもいい質問と言われるんですが、多分言われると思うけど答えます。
何回くらいブリーチしたら辻さんみたいな髪色になれるんだろう?というお便りが来ておりましてですね。
北朝鮮のリクルーティングキャンペーン
ちょうど僕今日美容室行ってきたんですよ。
こんな質問来てて?っていう風に言ったら、もちろん人のそれぞれの髪の色によるとまず。
ブリーチの落ち方っていうのも違うし、あとは回数に耐えられる毛かどうかっていうのもあるんですよね。
やっぱりブリーチすると痛むもんね。
昔のブリーチの2回分の痛みぐらいで1回ぐらいの良いブリーチはあるんですよ。
2回3回分ぐらい落とせます。ダメージは少ないですみたいな。
あるんですけど、僕が完全に自毛やった時に真っ白にした時あったじゃないですか。随分前。
あったあった。
あの時でブリーチ3回やってます。
そうなんだ。結構大変だね。
最近とかだと黒いところ、生えてきてる毛あるじゃないですか。それを色を入れるために抜き回すっていうのは2回ですね。
毛先の方とかになってきたらもう多分3回4回ブリーチされてるんだと思うんですけど。
どうしても浸食されてくるところもあるんですよ。ここって塗ってもちょっとはみ出てもするから。
やってる僕からするとメンテナンスの大変さとか、やっぱり白にしたら真っ白のままではなくて黄色くなってきたりして嫌なんで。
メンテナンスのこと考えたらあんまりお勧めしないですね。
3週間から1ヶ月必ず美容室に行けるっていう運用ができるならいいと思いますけど。
あと日々の紫のシャンプーをするとかっていう日々のメンテも大変ですよ。
あとちぎれるから毛が。
そうだよね。
いいことあんまないけど。
気づいちゃいました?気づいちゃいました?それ。
僕もね、2018年ぐらいからやってきて最近ちょっとそうかもって思い始めたんですよ。
ええことないやもしれへん。
でもね、やっぱちょっとオシャレでかっこいいもんね。
ちょっといいイメージ、キャラクター的にね。
そういうのを狙うんだったら、そういう痛みとも付き合わないといけないという。
うちの僕のやってくれてる美容師さん曰く、自分の家の近所とか行きやすい場所で自分がなりたいなと思うカラーの写真を上げてる美容室に行って、まずは相談するのが一番いいと思いますよって言ってました。
人によるからっていう部分でしたね。
何のポッドキャストなんでしょうか。
美容系になってる。
ぼちぼちセキュリティの話をしていこうかなと。
お願いします。
じゃあ今日はカンゴさんからいきましょう。
今日はですね、私、前々回に取り上げさせていただいたクリックフィックスっていうソーシャルエンジニアリングテクニックをご紹介したと思うんですけども、
今回もその流れじゃないんですが、その手口を使ったキャンペーンっていうのがあったよっていう話がありましたので、
今まさにちょっと個人的には注目している手口の一つというところではあるのでご紹介したいなというところではあるんですけども、
今回報告されていたものはセコイヤっていう企業が報告されていたものなんですけども、
北朝鮮がこのクリックフィックスを使った攻撃をしていましたよっていう話でして、
ご存知の通り北朝鮮というと日本の企業も標的となっているというところで注意喚起とかもされてはいるという話もありますので、
私たちの身近でもいつこのクリックフィックス使った手口、実際に攻撃を受ける可能性もあるというところもあり、
ご紹介という感じではあるんですけども、どんなことをしてたかというと、これまでもやられていた手口の一つではあったんですけども、
北朝鮮というとソーシャルエンジニアリングとして偽のリクルーティング活動というんですかね、採用面接とか、
そういったことをしばらく前から攻撃の手口の一つとして使ってやっているわけですけども、
その中でオンラインのインタビューっていうのが当然採用活動の中でやられているわけで、
偽のリクルーティング活動の中でも実際やられるわけですけども、今回確認されたものとしては、
標的の方をオンラインインタビューに参加するように促してですね、ウェブサイトに誘導すると、
SNSなのでリンクトインとかマイクスとかそういったところではあろうと思うんですけども、
北朝鮮の攻撃者が用意をしたウェブサイトに誘導すると、そのウェブサイト上においては問い合わせフォームがまず置かれていてですね、
当然ながら標的は暗号試算関連の業界の関係者の方と、彼らはその暗号試算を狙っているというところもあるので、
その業界の方を狙った形で、暗号試算に関係する自由形式の3つの質問が用意されていると。
それに答えるとカメラを使ってですね、ビデオを作成するというような流れに入ってですね、面接の準備中というような感じに入っていくんですが、
その中でドライバーのインストールみたいな形で作業を促されるシーンが出てまいりまして、そのドライバーのインストールの一連のステップというのが、いわゆるクリックフィックスの手口だと。
そういった形で記載された画面上の手順ステップですね、それを実行してくださいという形で実行すると、最終的には合成のバックドアに感染をしてしまうと。
本当にクリックフィックスの手口そのものというところであるんですけども、今回確認されたのは2025年の2月にこの手口が使われているキャンペーンというのを確認はしたと。
ターゲットとしては開発者とかエンジニアというよりかは技術的な専門知識、それがちょっと限定的というかITディテリアシーがそこまで高くないような方っていうのを狙って、
先ほど申し上げたアンゴイスさん関連の業界の会社の方を標的としたキャンペーンというのが、実際の偽のサイトを確認してですね、
そのサイトの状況などからこういった人たちが被害に遭っているのではないかというような形で分析をしていると。
エンジニアとかいなくてですね、マネージメントとかマーケティングとかそういった方々を標的にキャンペーンが行われていたという形で報告をされていて、
あと若干の工夫というか少し手が込んでいるところとしては、先ほど申し上げたドライバーのインストールっていうシーンに入る際において、
ブラウザー側のユーザーエジェントっていうのをウェブサイト側でも見ているようで、WindowsだったらWindows用の実行のステップっていうのが表示されますし、
MacであればMac用のものが出てくるというものではあったので、そこはちょっと手が込んでるなと。
あとセコヤがこれできるだけ目立たないようにするものではないかという形で分析はされていたんですけども、
実行というかダウンロードとかにおいては、まずはcurl.exeを使ってファイルのダウンロードをさせるというような動きが今回確認されたキャンペーンにおいては使われていたと。
北朝鮮自身は様々な攻撃手法を積極的に取り入れている、そういった脅威アクターの一つとは思ってまして、例に漏れず今回のこのクリックフィックスに関しても、
すでに積極的に採用して、まだ現在進行中で攻撃は起きているという形で書かれてはいたんですけども、採用した攻撃を積極的に使って、
実際に仕掛けているというような状況なんだなというのは、改めて今回の報告を見て思ったところではあったので、
今回のこのクリックフィックスの出口だけ見ると、そんなに引っかからないだろう、大した影響ないだろうみたいな形で、
少しリスク評価という面においては甘く見積もってしまいがちではあるんですけども、後半に悪用されているという情報は別に、
今回のこの件に限らずいろんなセキュリティベンダーがすでに、2月3月なんかはかなり報告事例がたくさん出ているところではあるので、
やっぱりちょっと注意して、すでに見られている一連の流れだけで、市安全だというふうに思ってしまわないようにしないといけないなと。
これも偽のリクルーティング活動というところではあったので、前段として恐らく攻撃者側がターゲットとなる人を、
多少なり信用させている、その前提でこのステップを踏ませるというような、そういった手順になっているというふうには見られますので、
一層この表示された内容を、それそのまま鵜呑みにして実行してしまう可能性というところは、単純にスパム的に表示されるものと比べるとかなり高いんじゃないかなと思うところではあってですね、
ちょっと注意したいなというのは、これは前回とちょっと変わらずというところではあるんですけども、恐らく似たようなというか今後も
クリックフィックス使った手口あるよという形で、今回に限らずいろんなベンダーなどからもまだまだ報告出てくるんじゃないかなと思うので、
細かいところも含めてちょっとその辺の動きっていうのを見ていった方がいいなっていうのは改めて思ったところもあり、紹介をさせていただきました。
なんかあれだよね、攻撃手口がシンプルなだけに応用範囲が非常に広いというか、
あとその今看護さん言ったみたいにその前段にソーシャル的なのがあってとか、なんかその攻撃のチェーンのどっかに使ってくるみたいな、
そうですね、それ単発というよりかは組み合わせてっていうところでより一層効果的かなと。
そういう使い方もね考えられやすいというか、いろいろできるなというか、面白いね。
あと今回のもさ、前回のこの手のインタビューに誘う的なやつっていうのを北朝鮮のグループがやるっていうのは結構あるし、
大きいところで言うと、去年の日本のDMMビットコインのやつも、
そうですね、あれはかなり大きな話題になりましたね。
これまではどっちかっていうとさ、今ね話も出てきたけど、開発者向けでは例えばGitHubからなんか変なものを落とさせるとか、
最初報告されたのはそれでしたもんね。
他にも開発者を狙ってるなっていう感じだったけど、今回のはちょっとねそれとは少し違って、
そうなんですよ、ターゲットが変わってきたなっていうのがあって。
逆に言うとさ、それを変えてるってことはちゃんとそのターゲットの人のバックグラウンドというか、
攻撃手法の進化
ちゃんと調べた上でというか、インタビュー、リクルーティングのインタビューに誘うぐらいだから、
そういう情報を分かった上で、この人は技術者じゃないからこっちとかさ、
なんかそういうことをやってるってことじゃない?
その人にあったね、ターゲッティングした攻撃をちゃんとやってるっていうところが非常に巧妙だなと思いましたね。
単体で見たらそれほどって思うけど、やっぱり組み合わせるってさっきカムさんが言ったみたいに、
一旦何か踏んでから信じ込ませてからこれって言うとかなり成功率高そうかなっていうふうに聞いてて、
思ってて、例えばなんかどっか何かしらプラットフォームを乗っ取ってそこを通じた連絡ってやるとさらに成功率上がりそうじゃないですか?
なんかホテルで言うところのbooking.comを予想ってみたいなのを転職サイトのプラットフォーム乗っ取ってとか、
そういうのとかね、そういうのでつなげていったらかなり成功率も上げられるし、
そういうとこ乗っ取るとその人の情報ってもう先に知られるじゃないですか、いろんなことが。
かなり効率的なことを組み合わせ次第ではかなり強力なことができそうやなって思いましたね。
何も前提なしに素でこれやられたら何かおかしいやろって。
確かに違和感はありそうですけどいきなりは。
こういう一連の手続きを中でやってくださいって言われたら何か必要な手順なんだろうなって思っちゃってもおかしくないもんね。
そのあたりは巧妙だよね。
このビデオのやつっていうのを組み合わせるのは絶妙やなって思いましたね。
本当に頭いいなと思います。
ドライバーを入れさせるっていうね。
こういうのインタビューではやりそうだもんね。
エンジニアとかでもリテラシーが低い方に来てしまったとかってあるかもしれないけど、
エンジニアって一言で言っても、ことセキュリティに限ったリテラシーってほんま様々ですから。
僕はずっとマイクロソフトのMVPっていうのをもらってて、
いろんなセキュリティの方が逆に珍しいんですよね。
そのMVPの数で言うと。
やっぱり開発の言語とかオフィスとか、マイクロソフトのテクノロジーに特化した人たちが多いんですよ。
で、そいつらと話しする機会とかあっても、やっぱりことセキュリティになったらよくあんまり知らんっていう人が多いですね。
そうだよね。
何でもかんでもエンジニアやったらこういうのに強いってわけじゃないっていうのも、僕らは覚えとかなあかんことかなと思いましたね。
ありがとうございます。
じゃあ次は僕行きます。
お願いします。
トロイハントとその業績
今日僕紹介するのはですね、皆さんがおそらくご存知であろうという有名な方、トロイハントさんがフィッシングの被害に遭ってしまいました。
俺もこれちょっと不謹慎かもしれないけど、読んでクスッとしちゃったよ。
トロイハントさんが被害に遭ったってことですよね。
トロイハントさんがハントされたっていうことなんですけれども。
言うと思ったよ。
これはどっかで言うとかなあかんなと思った。
まさにその通りだよね。
びっくりですよね。
一応トロイハントさんって誰っていう人ももしかしたらいるかもしれないので、簡単に紹介しておいてはいいかなと思うんですけど、
オーストラリアのウェブセキュリティのコンサルタントというタイトルで仕事されてる方なんですけど、
ハブアイビーンポウンドの管理者って言えばいいんですかね。
そっちが有名だよね。
超有名で、メールアドレス入れたらパスワードとか自分に関する情報が漏れてるかどうかを調べられて、
今150億レコードぐらい登録されてるサイトなわけなんですけども、
この人は別にそのサイトだけやってるわけじゃなくて、いろんなセキュリティ教育にすごい力入れてたりとか、
ワークショップ開催とかもいろんなことをやってて、
この人もセキュリティの知識があまりないソフトウェア開発者に対して、
そういうアプリケーションを攻撃者視点で見ようみたいなことを啓発されている方なんですよね。
もともとそっちが本業なんだよね、どっちかというとね。
そうそう。
ハブアイビーポウンドは完全に趣味で始めたやつがなぜか大きくなっちゃったみたいなね。
結構いろんな漏洩してるのを調べられますみたいな機能が付いてるソフトウェアのバックグラウンドはこれが使われてるっていうのが結構多いですからね。
あと今だともう世界中の法執行機関と連携して情報交換したりとか、
この分野ではもう標準、世界標準的な扱いになってるからね、今やね。
この方もそういう国の会合とかにもよく出て、いろんなことを意見されてるみたいですね。
しかもこの引っかかった時もパスキーに関する話をしてきた後やったみたいなことを書いてましたけれども。
いろいろ味わい深い件なんですけどね。
なんか非常に疲れスターみたいなこと書いてたよね。
何が起きたかというと、このトロイハントさんがやっているこのブログの高読者向けに利用しているメーリングリストみたいなニュースレターを送るやつがあるんですけども、
メールチンプっていうのがあって、そこを装ったフィッシングメールにトロイハントさんが騙されてしまいましたと。
今登録されている方だけではなくて、過去に登録されてた方の高読者のやつ、合計約1万6000件のレコードが持ってかれたと。
メールチンプから、メールチンプを装ったメールの内容なんですけど、
サービスを一時的にスパムの苦情を受けたからあんたのところのやつ止めてますよみたいな、よくあるそういうメール。
要は注意を促すというか焦らすというか。
そこに記載されているリンク。リンクって言ってもHTMLメールなんでボタンみたいな感じなんですけど、
ここから復元手順を実施してくださいねみたいなメールが届いたと。
そのリンクからアクセスしたサイトに認証情報を入力してしまってですね、
ワンタイムパスワードを入力したんですけど、サイトが動かなくなったみたいな。
これちょっとおかしいというふうに思ったのかもしれないですけども、
ちゃんと自分の手で公式サイトにアクセスしてログインしたらログインできて、
パスワードを即座に変更したんだけれども間に合わず、
違うIPからそのリストがエクスポートされたよというのと、
新しいAPIキーが作られたよという通知をトロイ・ハントさんが受け取ることになるということで、
被害者になってしまったというようなことなんですよね。
フィッシング攻撃の教訓
で、騙されてこのハントさんが言っていることっていうのがいくつかあるんですけれども、
こういった超超超専門家じゃないですか、この人って。
なのになぜこんな典型的なフィッシングに引っかかったのかというと、
さっきネギスさんがちょっと言ってましたけども、理由は疲れてた。
なんか人間らしいよね。
いやもう潔いかなっていうふうに思いますよね。
いや俺も思ったよ。なんかほら言ってみればさ、プロがこんな手に引っかかるって恥ずかしいことじゃん。
いやめちゃくちゃ恥ずかしいことだと思いますよ、ほんまに。
でもそれをしっかりちゃんと書いて、しかもさ、潔くちょっと疲れててこんなバカな手に引っかかっちゃったみたいなさ、
自虐も入ってると思うけど、俺もバカだなみたいなね、なんかあると思うけど、
いやそれをちゃんとこうね、しっかり書く、さらけ出して書いてるっていうの立派だと思うけど。
いや本当に本当に、なんかこう自分、あの時の自分が恨めしいぐらいのこと書いてましたもんね。
そうね、そうそう。
愚かなことをしたみたいな感じの。
いやでもこれ読んだ時に俺自分もさ、こういう状況だったらやっちゃうかもなってまさに思ったよ。
だってこの人がかかる、だからみんなかかってもおかしくないでしょ。
そうそうそうなんですよね。
届いたメールに関してのコメントもされてて、改めて見たらよくできた文章だなと。
大げさになりすぎず適度な緊張感、緊急性を演出している文章だみたいなことを言ってましたね。
そうだね。
変に大げさじゃないっていうのは確かにさじ加減が上手い文章だったのかなと。
なんか淡々とした文章でしたね、僕も見ましたけど。
そうだよね。
僕が一番これはっていうふうに思ったことが、
このハントさんは僕らも使っているでおなじみ、ワンパスワードのユーザーなんですよね。
ワンパスワードもここのデータベース参照してとかいうふうなこともしてますけれども、
本来このワンパスワードとかを使ってて、フィッシングサイトにワンパスワードを使って認証情報を入力しようとすると、
アクセス先のドメインが一致しないから、入力広報とか自動入力されることってないわけなんですよ。
そうなんだよね。
僕も昔パスワードに関する記事を書いたときに、
パスワード管理ソフトってある意味フィッシング対策にもなるみたいなことも言ってたんですけど、
ハントさんも同じことを言ってるんですよね。
入力しようとしたときに出てこなかったら怪しいと思いなさいってことってのは一つわかりやすいじゃないですか。
ハントさんは何したかというと手動で入力してるんですよね、わざわざ。
そうなんだよね。
パスワード管理ソフトを使っていると検索書を呼び出してコピーして貼り付けたのかもしれないですけども、
管理ソフトの機能ではなく自分で操作をして入れてると。
パスワード管理ソフトこれ聞かれてる方、使ってる方多いんじゃないかなっていうふうに思うんですけど、
これ自動入力がしばしば聞かへんっていう経験がある方って多いんちゃうかなって思うんですよ。
俺もこれ読んでるとめちゃくちゃあるあるだなと思ってさ。
だからこそ引っかかるかもって思ったんだけど。
そうなんですよね。
使ってるときのサービスとログインするときのドメインが違うっていうのが結構あるんですよね。
使ってるときっていうのはこのワンパスワードでパスワードを登録するときなんだよね。
なのでアカウントのレジストレーションのときのURLとログインのURLが違うサイトっていうのは結構あるんだよね実はね。
そこが問題というか、それを自動でちゃんとうまく保管することまではなかなかできないんで。
僕も手動でログインのURLと違うやんって言ったときは、わざわざURLを追加して足したりとかさ。
自分で運用しますよね。
そうそう。それをその人にやらせるっていう点がまずいけてないんだよね。
これは利用サービスとログインのドメインが異なるっていうので、これ2パターンあって、
登録するときのドメインと本当に使うサービスが違うケースっていうのもありますし、
買い物とかだとログインしているときと決済するときで違うっていうのがあるんですよね。
そうなってくると登録している中のデータベースの参照だと出てこないんですよね。
この辺は単独のサービスで完結していない場合に結構こういうことがよく起きるというか、
他のサービスと連携してないかしてるとかね。
そうですね。決済は外部委託してるとかって結構多いですしね。
そういう時でも上手く作れば、ちゃんと画面の繊維とか上手く作ればそうならないようにできると思うんだけど、
そうなってないところが事実として結構あるっていうのが。
そうなんですよね。なのでこういう手動で自分たちの運用でカバーみたいなことをしてしまうのが状態化してしまっていることも、
こういうのをしてしまった範囲の一つじゃないかなとは、誘発した要因ですよね。
そういうところでそういう手動でコピペとかっていうことを普段やっているから、
おかしいと思わなくなっちゃってるんだよね。
それに加えて、これはメールチンプ依存の話なんですけれども、
セッション管理とフィッシングのリスク
ここのサービス、認証のセッションの有効期間がめっちゃ短いらしくて、
サイトにアクセスするたびに再認証が必要だから、入力するっていうことが慣れてしまってて、
いつものアクションみたいな感じにやっちゃってたみたいですね。
その辺もなんかよしよしだよね。短い方がいいじゃんって一瞬思いがちだけどさ、
セッション無駄に長くない方が安全そうだけど、そういう逆の弊害というかね。
そうなんですよね。自分で確認してセッション切るとかっていうようなことをする人にはどんな長さでもいいんでしょうけど、
利便性考えたら長い方がありがたいなっていうのもありますもんね。
セッション1ヶ月有効にするチェックボタンあったら押したい気持ちになるもん。
あとはこのハントさんが言ってたのは、世の中のOTPがすべてフィッシングに強いわけではなくて、
入力された情報を自動的に中継するようなタイプのフィッシングにはそれほど強くないってことも忘れちゃいかんなっていうようなことを書いてありましたね。
万能じゃないぞっていう風な。
だからこれもさっきねぎしさんが言ったみたいに、やっぱりこういう専門家でも引っかかってしまうっていう風なことなんで、
よく詳しくない人を頭ごなしに、こんな分かれへんねん、できひんねんっていう風な言うとあかんなっていう、
疲れてるっていうだけでやっぱりやられてしまうんやなっていうね。
俺も本当にこれマジで一言には覚えなかったね。
後日系の話ですけど、ただでは転んで起きひんなと思ったのは、この人、これで漏れた1万6千人分ぐらいのやつ、
自分のHave I Been Pwnedに登録してましたね。
しかも登録しててクリックするとハントさんの顔出てくるんですよ。
めっちゃ急ぎ、ちょっと途中でおもろなってきてんじゃんかこの人っていうぐらい。
ネタになってるよねだいぶね。
でもさすがやなって思ったのが、一番初めに来たフィッシングメールのタイムスタンプから、このブログの初報を34分で出してるんですよね。
初報なんでこういうことが起きましたぐらいしか書いてへんと思うんですけど、さすがやなって。
やっぱなんか責任感しっかりある人ってこういう人なんかなって思いましたね。
包み隠さずというかきちっと出すっていう。
逆になんかちょっと信頼できるじゃん。こういう対応されるとさ。
そうそうそうそう。これは個人でも組織でもそうですよね。
結構みんなも言うと思うけど、事件が起きても事故の対応で逆に信頼感が増すというか。
そういうことってあるじゃない。あるべきだと思うんだけどさ。
こういうのは結構典型的な。今回たまたま事件はそんなに大きなものではなかったかもしれないんだけど件数もそこまでじゃないしね。
言ってみれば個人のサイトの登録してるニュースレターなんて大した高かし入れてるからさ。
インパクトはそこまで大きくなかったかもしれないけども。
例えば組織が仮にこういうことが起きた場合にこういうようなリタイア対応されたら逆に信頼感増すんじゃないかと思うけどね。
本当にそう思います。結構この事件を取り上げてるブログとか見ててもやっぱり賞賛のコメントありましたもんね。
なんでまあこれは自分たち僕らもそうですけどもどんなジャンルでも専門家っていっぱいいますけど専門家やというふうに高をくくらずにね。
なんかこういうのが来てほしくはないけど来るかもしれない日っていうふうに備えてどういうふうに動けるのかっていうのを改めて考えとかなあかんなあっていうのは思いましたね。
自分やったらこれどう表現するやろうっていうのはちょっと考えさせられる自分たち自分の組織だったりですね。
あとさあこれあのまあ僕らにも共通する点として言うとさ、多分だけどドロイハントさんは著名人だし、ピンポイントでこの人を狙ってこれを送ってきてると思うんだよね。
それっぽいですね。
ターゲットとしてさ。このサイトがメールチーム使ってるなんてのはよく知られてるし、ドロイハントさんのメールアドレスも調べればわかると思うんで。
そうですね。
狙ってピンポイントでこういうのが来るっていうのは、外向けに結構こういうオープンな活動をしている人には避けられないっていうか。
こういうのを自分たちでもあると思わないといけないよね、僕らもね。
いやあ、ほんまにそうですね。
そうそうそうそう。やっぱりこういう時こそ試されるっていう感じはあるな。
ね。しかもこういうシンプルな手法だよね。やられる時はやられちゃうんだよね。
そうそうそうそう。
わかりにできないよね、これね。
できないですね。
素直なわかりっていうか。
ほんとだよね。
個人やから動きやすい面もあったのかなっていうのはあるんですけど、これがこと自分の所属組織やったらどう振る舞えばいいのかも考えないなって思いますね。
確かに。
どれぐらい説得力のある、出すべきであるってことをどれだけ進めていくのかとか、そのリスク。
そっちね、なるほどね。
言うことによるリスクが何なのかっていう、しかも判断する人たち経営層がわかる言葉できちっと説得できるようになっておかないとなっていうのは思いましたね。
確かに。例えば今回のケースでもね、顧客向けだけ連絡して済ますって言っても仲はないのかな。
そうそうそうそう。
その辺の選択の余地がどれぐらいあるかとかね。
そうそうそう。気をつけていきつつもこういうことが起こらないようにしないといけないんですけどね。
起こった時にっていうのはやっぱりたまには考えなあかんなっていうのをね、気づかせてくれたブログでしたというお話です。
いい教訓が得られましたね。ありがとうございます。
ありがとうございます。じゃあ最後はねぎさんです。
Gmailの新機能の導入
はい。今週はですね、僕はGmailの新しいE2Eの機能を紹介しようかなと思うんですけども。
今週ちょっとGoogleがブログで紹介してたんだけど、対象はエンタープライズ向けのユーザーなので、
Googleのワークスペースのビジネス向けのプランっていうかを使っている人がとりあえずは対象なんで、個人でGmailを使っているという人は当面対象ではないんだけども、
何がその新しいエンドツーエンドの暗号化の機能なのかっていう話なんだけど、一応これまでもGmailで、
SMIMEベースだけども、エンドツーエンドの暗号化の機能ってのはだいぶ前からサポートはされてて、
加えて最近だとクライアントサイトインクリプションって彼ら呼んでるんだけど、CSEっていう機能も使えて、これを使うと、
Gmailってブラウザベースで普通は使うもんだけど、個人のブラウザで暗号化メールを送ろうとした時に、
ブラウザ側で暗号化が行われてしまって、Google側もプラットフォーム側もそのメールは一切読めませんよという、
そういう意味ではちゃんとしたエンドツーエンドの暗号化っていうのが実はこれまでにも提供はされてるんだけど、
ただしベースがSMIMEベースなので、これPGPとか他のやつもそうだけど、基本的に暗号化のメールを相手に送ろうと思ったら、
相手の公開鍵を先に知っておく必要があって、ちゃんと信頼できる公開鍵をどうやって交換するかっていう問題とかがあって、
そこが非常に面倒くさいっていう、使い勝手の問題だよね。なので、これまでGmailに限らず、
たぶんSMIMEもPGPももうだいぶ歴史古いけど、たぶんあれ勢でも使ってる人ほとんどいないんじゃないかなと思ったよね。
いないんじゃないですかね、あんまり。
確かに僕もほぼ使ってなくて、僕はSMIMEじゃなくてPGPメインなんだけど、鍵もキーサーバーで公開してるんだけどさ、自分も。
だけど、実際にPGPでメールを受け取ることってほぼなくて、たまにJPサートが送ってくるメールはちゃんと全部署名がついてるけど、
あそこはちゃんとまみにPGPで全部署名つけてるから、それくらいかな。あとは一応でも、僕一応Cサートの仕事としてはCサートの部門にいるんで、
Cサート間のメールの場合には一応PGPで署名をつけたり暗号化して送るっていうのは、一応昔から慣習として行われてるから、
そのために使うことはなくはないんだけど、一般にはほぼ使われてないと言っても言い過ぎじゃないと思うんだよね。
見ないですよね。
見ないよね。
見ないです。
これはメールが非常にレガシーだから、例えば比較すると、メッセージ、LINEとか、あとiMessageだとかメッセンジャーとか、いろんなあるけどさ、
ああいうメッセージのサービスって今基本デフォルトで全部エンドツーエンドで暗号化されてるけど、
あれは言ってみれば一つの事業者がプラットフォームを全部提供してるんで、自分たちの中でそういうの閉じてやれるから、
まあやりやすいっちゃやりやすいんだよね。
だけど、メールって非常にレガシーで、いろんなベンダーがサポートしているから、
実はメールのエンドツーエンドの暗号化って思ったほど普及してないんだよね。
いや、してないでしょうね。
ということで、それを何とかしようっていうのが今回の新しいって言ってる部分で、
具体的に何がどう新しいかっていうと、仕組みはそんな新しくないんだけど、
Gメールのブラウザ上で暗号化メールを送るってやると自動的に暗号化されて、
受け取った側も意識せずに、スマイルで鍵の交換がどうだこうだっていうことを意識しないで使えるような仕組みを用意しましたと。
基本的にはそういう話ね。
この機能の提供って3段階に分かれてて、
まずは今週から同じ組織の中、Googleのワークスペースのビジネスプランを契約している人の組織の中ではもうこの機能を使えるようになりますよと。
今後数週間以内にGメールの中で全部使えるようにしますということを言ってて、
これ読んだら個人向けのアカウントは送信はできないんだけどどうも受信はできるみたいで、
例えばエンタープライズの契約をしているGメールのワークスペースのユーザーから、
このエンドツーエンドの暗号化のメールをGメールで受け取ると自動的にGoogleの中でその鍵の交換とかメールサイトも全部やってくれて、
暗号化メールが複合されて普通にGメールのメールとしては読めるようになるみたいですと。
じゃあ会社がエンタープライズのやつを使ってて、そこにGメールを使って応募してきている一般の会社を受ける人とかでは全然そのメッセージのやり取りはできるってことなんですね。
個人側から送ることはできないのね。
逆はいけるってこと。
逆はいけるってこと。おそらくね。
一方通行かじゃあ。
ただしリプライはできるはずなんで、企業側から送られてきた暗号化メールに多分暗号化メールでリプライはできるんじゃないかな。
そっかそっか。そこは開始さえされていればできるか。
多分ね。その辺はちょっと使えるようになってから使ってみようかなと思ってるんだけど、そんな感じらしくて。
3段階目としたら今年中にサポートしますと言っているのは、Gメール以外の他の組織の一般のメールってことだよね。
あてに暗号化メールを送れるようになりますと。
これまでだったらSマイムベースだったんで、Sマイムでメールを受信できるような環境の一つとしかやり取りできなかったんだけど、
今回の新しい機能って言ってるやつはどうなるかというと、一応今デモ画面だけ見えてる状態なんで、実際どうなるかわかんないんだけど、
暗号化メールの普及と課題
Gメールから暗号化メールを例えばどこかの会社向けに送るとかってやると、
GメールのワンタイムのURLがついたメールが送られてきて、
あなた宛に暗号化メールが届いてますよっていうGメールからのメールが届きますと。
で、そのURLをクリックしてゲストアカウントでログインするとそのメールが読めるようになるみたいな。だからどうもそういう機能らしくて。
これはそんなに別に新しいわけじゃなくて、例えば既存のものだとプロトンメールとか、
いわゆる暗号化メールを専門に提供しますって言ってるメールのサービスってあるけど、僕も使ってるけども、
あれも同じような感じで、プロトン同士は勝手に暗号化されてるんだけど、
プロトンのユーザー以外にメールを送るとどうなるかというと、今の同じような感じでワンタイムのURLが送られて、
プロトンの場合はパスワード保護が必須になってるんで、パスワードを入力すると暗号化されたメールが読めますみたいな、そういう機能なんだよね。
だからなんかその仕組みは違うけどもやり方は多分似たような感じにGメールもなりそうだなっていうのが、
これが今年中にサポートしますよと。なので個人向けではどうも当面使えなさそうで、もしかしたらずっと使えないのかもしれないんだけども、
それでもGメールが専門のプロトンだとか他のような暗号化のメールサービスをわざと扱わなくても、
普段使っているGメールというかGoogleのワークスペースの機能で、こういったエンドツーエンドの暗号化が今までよりずっと簡単に使えるようになるっていうことは、
それなりに意味はあるんではないかなというふうには思いましたね。
これはでもなんか僕からするとね、あんまり意識してない人は見ないじゃないですか。
こういう暗号化されてるっていうのを、でもこういうのにも力を入れるっていうGoogleのモチベーションは何なんやろうな。
こういうことをやっぱりしてるってことが大事なのかな。
そうね、こういう暗号化はできるだけクライアントサイドでエンドツーエンドで暗号化する。
これ、Gメール以外の他のサービスでも結構Googleが力を得てやってるから、
やっぱりそういう中でメールだけがちょっと片手おうちになってるというかさ、
メールはあまりにもレガシーすぎて、Googleでもほら例えば他のメッセージのサービスとかは当然エンドツーエンドで暗号化の仕組みを提供してるけども、
メールはどうもみんな普及してないし使ってないぞっていう感じじゃない?
ちょっと見落とされてきたというか忘れられてきたみたいなところで手をつけ始めただけってことなの?
でもその割には結構Gメールも含めて、メールっていうインフラ自体はまだ今でも十分広く使われてるから。
いや、中の現役ですもんね。
それ考えると、もちろん送信経路は暗号化されてるかもしれないけども、
エンドツーエンドではないからそこは何とかしたいなっていうのはあるのかもしれないけどね。
Gメールって元々どう頑張ってもGoogle側は中身を見れないっていう仕組みなんでしたっけ?
Botはメールの内容をチェックしてガッチした広告を出すのに使ってますみたいなことは聞いたような気がするんですけど。
今のエンドツーエンドで自ら暗号化しない限りは基本的には全部Googleが読めるよ。
ってことはこれをすることによって我々も見れないようにできますっていうふうなことを示すことにもなるのか。
もともとクライアントサイトエンクリプションっていう機能自体はあって、
使おうと思えば使えるんだけど、SYMベースだからあまりみんな多分使われてないんだと思うんだよ。
我々メールを見ないようにしたいとか、メール見ませんから見れないようにしますから使いやすくしたんでっていう感じ?
だと思うよ。ただ今回のも一応機能としては提供するけどデフォルトでオンにはなってないので、
ユーザー側がメールを送るためにデフォルトでオンにするか、ないしはこれはエンタープライズ向けの機能なんで、
管理者が自分の組織では全部基本デフォルトでこれをオンにするっていう設定をすることもできて、
そうするっていうことでGoogle側もメールが見れないような状態にするっていうことは可能は可能だね。
デフォルトがオンかデフォルトがオフかどっちか選んでくださいってことですね。
どうなんだろうねわかんないけど、メールはもはやこういう機密性の高い情報の交換には使われないのかもしれないけど、
でもさ、ほら先週とかシグナルゲートの話があったけど、
ありましたありました。
あの後後日談で、あの政府の交換さ、Gメールで機密情報やり取りしてた時、
そうなんですよね。
話があって大丈夫かよみたいな。
なんかそういう話があるじゃん。
例えば仕事でLINEを使うのがどうかみたいな話とかもあるけどさ、
LINEの方がよっぽど安全な気がするよ。
僕もそう思う。
デフォルトで全部あればエンドツーエンドで暗号化されてるけど、
Gメールなんて全然暗号化なんかされてる保証ないからね。
Google読めるしねしかもね。
よりにもよってそれ使ってたっていう、
あんたがいっちゃんバックドアって思いながら。
そういうレベルじゃない?
メールって結局そういうレベルなんだよね今でもね。
その辺を変えたいっていうのはあるかもしれないけどね。
Googleぐらい大きなところになってくると、
こういう責任もあって大変やなって思いましたね。
あとほら、Googleがこういうのをやると、
ちょっとたぶん仕様が変わる可能性はあるかもね。
そういうことね。
他持続系みたいになる可能性はあるから。
例えばYahooとかマイクロソフトとか大手のメールのベンダーがやるかもしれないし。
そうか。差別化だったり世の中を良くする一つというふうに考え方もできるんですね。
そういう意味でGoogleのようなGメールっていう大手のプロバイダーがやるっていうことには、
それなりの意味はあるんじゃないかなと僕は思うけどね。
わかりました。ありがとうございます。
使えるようになったら使ってみたいなと思います。
はい。
赤ちゃんのライブ配信
ということで今日もセキュリティのお話を3つしてきたので最後にお勧めのあれなんですけれども、
今日紹介するのは、
ウェブサイトで配信されている画像と言えばいいのかな。
画像?
画像というか映像なんですけども。
医療法人社団新興会谷病院っていうところがやっているワクワク赤チャンネルっていうのがあるんですよ。
なんだそれ。どこでそういうの仕入れてくるの?
ネットでバズっとるなとかですよ。
そうなの?
これは谷病院っていうところの新生児室、生まれたての赤ちゃんですよね。
24時間ライブで流すっていうやつなんですけど、
カメラは固定されていて赤ちゃんが寝ている赤ちゃんの顔が見えるように固定されたカメラで、
一人しか映らないんです。
一人って誰なの?
赤ちゃん。
誰って決まってるわけじゃないわけ?
そう。赤ちゃんは時々交代します。
でもここ最近1週間ぐらい見てるんですけど、結構色々な赤ちゃんが見てるんですね。
誰の赤ちゃんかっていうのは分からないんだ。
なるほど。
それでこれがすごい仕組みで。
なんかほらちょっとプライバシー的にどうなのかなって気もしたんだけど。
そう思うでしょ?そう思うでしょ?
でね、これ何々さん家の赤ちゃんが見たいというリクエストを受け付けてはいるんですよ。
その時にどうリクエストするのかっていうと、この病院に入院中のママまで連絡してくださいっていうルールなんですよ。
そうするとご希望の赤ちゃんが登場します。
なんだそれ。
赤ちゃんが登場する日時はママに聞いてくださいと。
なるほど。保護者の許可があればということなわけか。
そうそう。だからその病院に直接リクエストしてもダメやし、登場する赤ちゃんの名前やろうが登場時間などの質問も一切受けてくれないです。
なるほど。だから知ってる人が見ればこの子はあの子だってわかるけど、知らない人が見てもただの赤ちゃんってだけなんだね。
そうそう。
面白いね。なんでこんなことを始めたんだろうね。
これねコロナ禍とかに2年ぐらい前にも結構ニュースになってたんですけど。
そうなんだ。
コロナ禍の時って赤ちゃんに会えないんですよね。
なのでそういう配信で見せるっていうのをやればいいんじゃないかっていうので始まったやつらしいんですよ。
ネットでバズってるというか注目されてるのは理由は何なの?かわいいから?
かわいいから。赤ちゃんが結構変わるんですよ。コロコロコロコロ。
で、どうしても赤ちゃんが出てこられへん時にはキューピーちゃん人形が映ってます。
なるほどね。
それが24時間見えるから癒しになるとかそういうことなのかな?
今もこれ収録中23時以来ですけど今も赤ちゃん映ってますから。
確かに今調べてみたけどかわいらしい赤ちゃんが映ってるね。
そうなんだ。コマ送りみたいな感じのリアルタイム映像っていうのかな?これっていうぐらいカクカクって動くだけのやつなんですけど。
大抵新生児って寝てるからね。
大体そうですね。
動きないからね。
でもちょいちょい寝返りというか手を動かしたりとかしてるんですよ。
でね、僕最近パソコンで作業するときは小さいウィンドウにして赤ちゃんを常に映してるんですよ。
ちょっと目に入るみたいな?
そうそう。赤ちゃんが変わったりとかするとウィンドウが被ってたりとかしてもちょっと変化があったとか。
キューピーやったけど赤ちゃんに切り替わったぞってなったらプチッてやればフォアになるようにしてるんですけど。
面白い。
ちなみに理由があるんですよ。
あるの?何?
これね、昔2012年に広島大学の研究チームが科学雑誌に公開した研究結果っていうのがあって、
男女大学生96人を対象に細かい作業をするっていう実験をやってたんですね。
ピンセット使って小さいおもちゃをつまみ出すとか、
不規則な数列から指定された数字を目視で数え出す作業とかいうこの2つのパターンの、
注意力と集中力が必要な作業をしてくださいという実験をして、
その休憩の時間に動物の写真7枚を好きな順番に並べ替えてもらうっていうのをやってるんです。
グループが2つに分かれてて、
幼い動物の写真を並び替えるグループと成長した動物の写真を並び替えるグループをやって、
どっちが成績の変化が良くなるかっていうのを実験してるんですよ。
幼い動物の写真をやった方は最大44%良い結果を出すようになってるんですよ。
可愛いものを見ると集中力が上がるんですね。
それはでも本当にそうなのかなぁ。
なんかね、可愛いものを見ると行使するじゃないですか。記号引き付けられて。
それはでも人によるんじゃないの?
かもしれない。かもしれないですけども、
曖昧曖昧に赤ちゃん見てね。赤ちゃん見る機会あんまりないじゃないですか、そんな。
毎日毎日。
最近近所の猫もあんまり見えないし。
だから赤ちゃんをデスクトップに映しておくっていうのをやって、
集中力を高めていきたい所存ということでございますよ。
癒しの効果
後半の集中力の下りはどうでもいいけどさ。
どうでもよかったですか。やっぱり。
ほっこりはするよね。癒やし効果はありそうだね。
ありそうなんで。赤ちゃんだけじゃなくてもね。
こういうのもあるんで見ていただければいいかなと思って紹介させていただきました。
ありがとうございます。
そんな感じでございます。また次回のお楽しみです。バイバイ。
バイバーイ。
