00:12
久しぶりじゃなくて結構頑張ってるじゃないですか。
結構やる気見せちゃってる感じなんじゃないですかね、これ。
1ヶ月くらいで出てますね。
確か前回ってよいお年をって言ったような気がするんですけど。
今回はもうおまけみたいなもんですからね。
そうですね。
これ年内に配信されるんですよね。
それは私次第ですよね。
同じことはトマークIT編集部でも言われたんですけども、私次第でございます。
年内に出ているか、おめでとうございます。明けまして。
おめでとうございます。
ということで、ポッドキャストやっていきます。
何喋りましょうかね。
何喋りますかね。この辺はいつも同じ感じですね。
でも今日、今ちょっとだけお話をして、割と盛りだくさんいろんなことをね。
そうですね。珍しくね。
たまたま収録日が今日、16日なんですけどもね。
これで今年中に出なかったら、それは俺の怠慢だろうと。
サボりすぎやろ。
たぶん年内に出てると思うんですけども、
Kaito Yaoi Mensoですか。
301って書いてあるやつですね。
恥ずかしいね、ほんとね。
そういう話があったり、あとは、
オペレーションキリングベイ。
はい、キリングベイ。アドニマスのオペレーションですね。
ですね。の話があったり。
あったり。
あとはね、辻さんがこの前ね、私の記事で書きましたけども、
シマンティックさんに呼ばれて。
そうです。メディア向けのね。
メディア向けといっても、IT系ではないところをターゲットにした発表に、
IT系ドマンナーのアットマークIDとして私行ったんですけども。
結構手出しましたね。
なんか普段、セキュリティー普段から扱っているところとかだけじゃなくて、
新聞系っぽいところとか。
そうなんですよ。
あとはPC系とかでもね、セキュリティーが厚いっていうよりは、
コンシューマー寄りの方とかもいて、すごい僕も楽しかったですね。
実はちょこちょこと、たまにやってたりするんですよ。いろんなところが。
電子マンティックで、辻さんが売ってるのすげーなみたいなね、そんな話があったり。
ありがたいですよ。
窓かマギか映画をやっていたり。
はい、見ました見ました。昨日見てきました。
昨日初めて見たんですね。2回目とかじゃなくて。
ずっと行きたいなと思いながらも、タイミングがちょっとうまくかび合わなくて。
03:05
その話があったり。まだまだ入口ですよ。話があったり。
前回ね、質問を受け付けるって言ったら、
古くはディズニー系のDポストJPポッドキャストというところからずっと聞いていただいているカンテラ君というね、将来有望な学生。
どういう意味で有望なんですか?ディズニー的に。
このポッドキャストも隅から隅まで全部聞いてますよ、彼は。
あれですよね、昔のやつのDポストの頃のやつでも何回目の何回目の回言ってたこれですよねみたいな方。覚えてるんですよね。
この前、iTunesがアップデートされた時に、設定によってはポッドキャストが全部消える設定だったんですよ。
私もやられてバックアップ戻したんですけども、どうやら彼もそれにやられて、体操ね。
失意のどん底に。
私としてはDポストJPポッドキャストは消えてもいいんじゃないかって話なんですけど。
そうなんですか。
しゃべってる側が覚えてないように、聞いてる側がそんなに真剣に聞いてはいけないっていうね。
いけないですね。
彼から質問があった。結構真面目なちゃんとした質問があったりしたんで、そのうちからいくつかピックアップして制限時間は60分として。
目標で60分。
まずは質問をしてきてくれましたんでね。
そうですね、消化しないことにはね。
消化しないことにはね。
何でしたっけ。ひどい。
結構ヘイトにしてましたよね。
ポッドキャストいつも楽しませてもらっています。知事も呼びました。
ワンパスワードは自分も長年使っていて、前回ねパスワードの話しました。
自分にとっては放送中でおっしゃられたように便利ツールのような扱いでした。
はいはい。
33日前。
かなり前ですね。
かなり前ですよね。
今33日前のそこだけは星をつけておいたんで、さらっと出てきたんですけども。
それもただの前段の部分ですね。
そうですね。内容は何かと言いますと、今追ってますけどもね。
何かと言いますと、クレジットカード番号の下4桁の話でした。
下4桁が書かれている、レシートとかに書かれてますよねと。
そうですね。
それって大丈夫なんですか?安心なんですか?というのが質問の趣旨でございました。
今見つけました。
クレジットカード番号の下4桁はほとんどオープンな情報として認識した方がいいのでしょうか?
レシートや明細だけでなく、例えばサファリの自動入力リストやiTunesの購入メールでも黒く潰されていません。
06:02
今までは気にしてレシートなどは番号がわからないように破って捨てていたのですが、あまりに色々なところで書かれているのでだんだん煩わしくなってきました。
そうですね。
辻さんやMTさんはどう思われますか?
下4桁以外書かれた時は丁寧に破ってから捨てた方がいいと思ってますけれども、下4桁はどうなんでしょうか?と。
また講座番号や追加番号の扱いも気になってますので、吉岡さんはその辺も教えていただきたいです。
真面目な。
今までなかった感じの。
ここにも年明けは待ちきれないので年内にって書かれてました。
これもしょうがないですね。年内に出しましょう。
出てます出てます出てます。皆さん聞いてますかね。
年内といっても何年の年内かは言ってない。
むちゃくちゃじゃないですか。
という回答を入れたところで。
確か逆に言うと上4桁はブランドのごとに書かれてるんですね。
識別できるんですね。
上4桁だけだったかどうかちょっとわからないですけど、規則性というかブランドを特定するための番号として。
頭の何桁かですよね。
そうですね。それを入力すると自動的にどこかで選んでくれるって感じですね。
最後の1桁は間違いなくチェックリジットです。
それが本当にカードの番号として一致するからチェックするための番号ですね。
なので16桁あるうちの15桁は確定なんですよね。
15桁で人を判断して最後の1桁はその15桁分から算出できるというのはクレジットカード番号のルールです。
このルールはオープン情報なんですよね。
もう大丈夫かと思うんですけども、一番最初の会社でSEをやってたときにクレジットカード決済のところをちょっとやったんですよ。
今から考えると相当ザルな感じでしたけども、伝聞を用意してみたいなそんな感じのやり取りをしてるんですけどね。
そのときに超極秘情報としてそれをもらったんですよ。
頭3桁がビザとかマスターとかの決定してるんでこれは固定です。
チェックレジットの出し方はこれこれこういう風に出します。
これはもう極秘でお願いしますって言われてすっきり釘刺されたんですよ。
ダットマークIT時代にPCI-DSSの連載をついさんの元同僚の川島さんに書いていたんですけど、原稿の中にそれが入ってたんで、あれこれ大丈夫なんですかって聞いたら全然オープン情報ですよって言われて。
そうですね。今ちょっと確認してみたんですけど、ブランドかどうかを判断するところの番号があるんですけど、発行会社の判別とかもするところが前の6桁。
09:00
6桁までなんですか。
6桁ですね。真ん中の9桁が個別の識別番号。最後の1桁がさっき言った通りクレジット番号が正しいかどうかを確認するためのコードですね。
あとは計算で。
逆に言うと最初の6桁はオープン情報なんですよねきっとね。
そうですね。
数種類しかない日本においてはっていう感じになっちゃうんで。
ブランドで限られてます。
結局レシートって何かっていうと、これカードが自分の情報でちゃんと出してるよねっていうところから、本人を特定するけれどもあんまり桁を出したくないっていう落としどころが多分最後の4桁なんですよね。
そうですそうです。
なので個人的にはですけども、そんなに用心する必要までは感じないけれども、気をつけた方がいい情報かなっていう。
そうですね。
まず僕、どうしてます?ちなみにご飯食べたりとかカード切ることもあるじゃないか。
その時って当然レシートと控えをもらうと思うんですけど、その時のレシートってどうしてます?だいたい4桁書いてるじゃないですか。
個人事業主になったじゃないですか。
そうですね。
クリーンになって。
仕事で使う用のカードに関しては保管義務があるから保管してるんですよ。必ずもらって。
捨てずに置いてるんですね。
じゃあ個人で使ってるカードはどうかというと、実はあまり気にしないで捨てちゃってますね。
その辺にポイポイ捨ててます?
もちろん家でですね。
人の目が触れないようにはしてる。
そうそう。
それは僕も同じですね。
最近、やっとAndroid端末を手に入れたんですよ。
久しぶりに。
1年前、2年前ぐらいはAndroid開発にちょっと絡んでたんで、Androidは1日も早く滅びればいいのにと思ってましたよ。
そうなんですね。
やっぱりよくなりましたね、最近ね。
そうですね。4Kぐらいから割といいかなと思うんですけどね。
今、サブ端末として、ドコモでArrows NX、富士通ですよ。
Androidの富士通はひどかったですよね、話題というか。
なんかすごい熱持つとか。
そうそう。それがArrowsの最初の頃なんです。
最初のやつですよね。
ひどい言われてたんですけども、1世代前と今のArrows NXはすげえよくできてると思う。
そうですか。
ちょっと使わせてもらった時期があったんですけど、すごいよくできてる。
そうなんですね。
私はXperiaを買おうと思ってたんですよ、今回。
一時期Xperia Miniか何か使ってますよね。
昔ね。
はいはい。
XperiaのZ1Fっていうのがもうすぐ出るんですよ。
12:04
多分これ配信されてる頃には出てるんですけど。
あれ黄色とかあるやつですか?
そうそう。
あれを買おうと思ってたんですけども、出てなかったんですよね。
で、電池の持ちはArrowsの方がいいっていう話を聞いて。
あの2チャンネルで割と絶賛されてたんで、ちょっと富士通って思って買ったんですけど、悪くない。
悪くないんだけど、いいTwitterクライアントがないんで、結局iPhoneを使ってます。
そうなんですか。僕は携帯とかスマホはずっとAndroidを。
iPad miniを使ってるんで。
それをね、一回考えたんですけどね。
ぜひちょっと後でTwitterクライアントのいいやつ教えてください。
わかりました。
今頃多分カンテナ君がムキーってなってると思うんで。
わかりました。
なんでAndroidを買って、Eddyを使い始めたんですよ。
Eddyはちゃんとレシートをもらって、自分で捨ててます。
そうなんですね。
じゃあ基本的には人の目に触れるような捨て方はしないってことですね。
僕もそうですね。
基本的にたまにコンビニとかで、僕はクイックペイとかも使うんですけど、
クイックペイでやったときと普通のクレジットカードでやったときに、
当然番号が違うので、同じカードから引き落とされる、同じ口座から引き落とされるんですけど、
印刷される番号が違うんですよね。
クイックペイの番号は他に何かに使うこともまずないので、
でもそれでも気持ち悪いなっていうのもあってもらうようにはしてますね。
クレジットカードの方も当然控えと一緒にもらうようにはしてて、
人の目には触れないようにしていますね。
これで気をつけないといけないところっていうのは2つあるのかなと思ってて、
1つは基本中の基本というか、そこまで気をつけるほどではないけども、
それはしない方がいいよねっていう基本中の基本の部分で言うと、
4桁の数字ってパスワードに使う人って結構多い。
クレジットカードで買い物する時よりも、ネットでいくら使ったかとか、
あとは一括で最初やったけども、やっぱりちょっと今月きついし、
3回に変えようかなとかもネットでできるじゃないですか、今。
その時のログインする時のパスワードにそのまま使っちゃう人とかいそうやなと。
なるほどね。
これ聞いてる人はそんなことはしないかなと思うんですけど、
覚えなくていいじゃないですか、カード持ってれば。
それでやっちゃう人もいるかもしれないなとか、
それをそのまま銀行のログインパスワードに使うとか。
なるほどね。
銀行のログインパスワードだと銀行のカードの番号の下4桁使う人もいるかもしれないですけどね。
それぐらいの軽いライトな部分が1つと、
15:00
もう1個気をつけないといけないところっていう話なんですけども、
気をつけないとっていうか、クレジットカードを使いましたので、
使った後どうしましょう。分割にやっぱりしましょうとかっていう。
クレジットカードのカードとサイトの中で閉じてるんだったらまだ気をつけようはあるんですけど、
僕たちの頑張りというか頑張るほどではないんですよね。
でもそれじゃ気をつけようがない部分っていうのはもう1個。
それがもう1点の方なんですけど、
クレジットカードの下4桁を言ってくださいっていう風に言わして、
本人確認をしてしまうっていうのが他のサービスでされるっていうのがあるんですよね。
はいはいはいはい。
それが一昨年ぐらい、2年ぐらい前だったかなと思うんですけど、
実際そういうのが起きててですね。
それは実際クレジットカード番号を、
ちょっと今回は盗まれたとかっていうところとは違うんですけど、
それを認証というか本人確認を電話でするときに使われてしまっているっていうのがあったんですよ。
それやられると困るというか、
その話があってから結構気をつけるようになったんですよね、私も。
僕もそうですね。
やっぱりそれでその事件っていうのが、
多分日本だとそんなにあまり有名じゃないかもしれないですけど、
メディアだとギズモードとか、
ワイヤードとかに記事を書いてらっしゃるマットホーなんていう人がいてですね、
その人がツイッターアカウントをハックされちゃったっていう事件があるんですよ。
その時っていうのが一番初めはギズモードのUSの方のアカウントが、
バリ雑言を急につぶやきだしたんですよね。
なんかギズがハックされたみたいな感じになってたんですけど、
実は蓋を開けてみればギズがハックされたんじゃなくて、
マットホーなんていう人のアカウントがハックされて、
マットホーなのアカウントがつぶやくとギズにも流れるっていう連携をしちゃってたことが原因だったんですよね。
その時にどういう風に最終的にマットホーなのツイッターアカウントがハックされたのかっていうところが今回の話のミソなんですけど、
一番初めに彼はiクラウドのアカウントをハックされちゃったんですよね。
その後、Gメールのアカウントをハックされて、
結局これGメールのバックアップをiクラウドで設定しているメールアドレスだったっていうのを
ひもずる式にどんどんやられていっちゃうんですね。
その後にデバイス、彼の持っているiPhoneとかiPadとかあとはMacBook Airのiクラウドがハックされてるんで、
全部リモートからレーダーを消されちゃったっていうのがあって。
でかい事件でしたね。
ツイッターのアカウントのバックアップ、パスワード当てた時にここに送るリセットのメールを送るっていうのも
Gメールに設定してリセットされてハックされたっていう話なんですけど、
この話自体、一番初めのiクラウドってどうやってハックされたのっていう話になっちゃうんですけど、
これAppleじゃないですか。
Appleでの認証、本人の確認をする方法っていうのが三つの要素が必要なんですよ。
18:05
一つはメールアドレス。
一つは請求書先の住所。
クレジットカードの下四桁なんですよ。
これは最初に聞いた時にはすごいと思いましたね。
そうなんですよね。
今日は詳しく話さないですけど、
これはAppleの認証してる方法と、
あとはこれAmazonも絡んでるんですよね。
詳しくは資料が公開してもいいかなと思って、
それはまた見てもらえばいいかなと思うんですけど、
そのズレがあって、結局下四桁を彼らが攻撃した人が手に入れちゃって、
日もずるしきにズルズルやられていったっていうのがあったんで、
下四桁っていうのが結構大事かなと思いますね。
これは追っていくと背筋が凍るじゃないですけど、
やっぱり一般の人たちって、
インターネットの恐怖ってウイルスっていう印象がすごい強いと思うんですよね。
ウイルスが一番わかりやすいんでしょうね。
何も知らないうちに静かに何かやられてみたいなことが、
やっぱりパッと印象されるんだけれども、
今はそれこそこの前ついさんが言ってたように、
ウイルスよりも脆弱性が攻撃されているところだったり、
プラス全然ウイルスでも脆弱性でもなく、
仕組み自体の弱いところについていくとか、
仕組みの脆弱性ですね。
人を攻撃していくだとかいうことのほうが、
よっぽど怖いですよね。
そうですね。すぐ対策もできないですし、
やられたことに気づきづらいっていうのは、
リモートワイプしたからわかったんでしょうけど、
派手なことしなかったらわからないですからね。
ちょうど前回、誠でやってる連載でも、
IT大掃除をしようっていうやつもね。
具体的にはTwitterとFacebookの連携を
ちゃんと見直そうねっていう。
大掃除年末だけじゃなくて、
これは毎月ぐらいのペースでやった方がいいよっていうのを
書かせていただいたんですけども、
ちょっとしたことで守れたりはするんですが、
ちょっと頭のいい人が起点を聞かせてやっちゃうと、
何とも言えない結果がね、
出てきちゃうなというのがさっきの事件でした。
そうですね。これの一番怖いところは、
会社を跨いじゃってて、
それが仕組みの穴になってるところがあるんですよ。
各社一つの会社で気をつけようがないっていう部分があるんですよね。
それこそ電話でパスワードとかIEを聞くみたいなことって、
実はシステム的には割とイレギュラーな対応になっちゃうんですよね。
21:05
そういうところに論理的な穴を見つけてみたいなことになるかもしれないので、
ちょっとこればっかりは個人で何ともできないですね。
そうですね。なのでできるだけそういうふうな番号、
普段どういうふうに本人確認されるかっていうところは、
たまにはサポートセンターに電話してみるとか、いいかもしれないですね。
いやー、っていうことなので、
結論としては、これぞっていうことはないんですけども、
気をつけるに越したことはないけれども、
あんまりにも厳密にやっても疲れるだけかなっていう気はしてます。
なので、外にホイホイ捨てないだとかいうことかな。
万が一、クレジットカード番号に関して言うと、
万が一それで不正利用があったときに、
割と高い精度で不正利用はわかるんですよね。
そうですね。
それがカードブランドの特徴でもあったりするので、
そうなったときに迅速に対応が打てるように用意するぐらいですかね。
そうですね。
あとはさっきのいもづる式にやられていく、
ここのメールがハックされるとかっていうのがあるので、
自分がどこでバックアップしてるか、
メールをリセットするときにどこに送るかっていうところだけは
思取するようにするっていう、
自分がどこと何をどう連携してるかっていうのは
把握しといた方がいいと思いますね。
最低でもFacebook、Twitter、Googleアカウントは
狙われやすいんで気をつけたほうがいいのかな。
そうですね。
あとiCloudも。
そうですね。iCloudもそうですね。
ちなみにさっきのAppleの三つの方法でって言ってたやつは
今はできないです。
この事件があったので対処された。
この事件結構大きく報道されたっていう。
そうですね。
後で配信するときには分かりやすい解説ページがあったんで
リンク貼っときます。
ということでカンテラ君、分かったかな?
お兄さんたちが。
まあいいや、ごめんなさい。何でもないです。
大丈夫です。
そんな感じで、次どれで行きましょうかね。
どれで行きますかね。
多分次さんアノニマスのこと先に言っといた方がいいんじゃないですかね。
アノニマスの話しますか。
アノニマスの第一人者として。
なんとね、この間のシマンテックでお話したときには
脆弱性とマルウェアの組み合わせっていうところで
話をさせてもらったわけですけれども
あの時の話をちょっとだけするとですね
マルウェアって山ほど作れるじゃないですか。
ちょっとソース変えたりとか
ちょっといじくるだけでパターンマッチに引っかからなくなるとか
いわば無限に作れるっていうところが
それを一個一個指名手配しみたいに見つけていく労力よりも
24:03
脆弱性を利用するパターンは圧倒的に少ないはず。
なのでそっちで見つけた方が効率的なんじゃない?
これからっていう話をしたんですが
なぜか、どこの記事かちょっと忘れましたけれども
僕の紹介のところにですね
日本でのアノニマスの分析か調査の第一人者っていう
あれはひょっとしたら
配布資料に引きずられたかなっていう気は若干します。
自己紹介のところでそういうのを調べてますみたいな
ただ第一人者って書いてなかったですよね。
でもそういえば思い出した思い出した
スジさんのプロフィールを見た時に
どこどこに勤めていて
個人では日本では珍しいセキュリティのアレという
ポッドキャストや
その次に何でしたっけ?
アノニマス、ハクティビストかな
最後に実践メタスプロイトの官役って書いてあって
順番が違うだろっていう
一番大事なのはこのポッドキャストですよ
このポッドキャストも来年早々
ちょっと発展系が皆さんにもお見せできるんじゃないかという
サプライズがね
さほどサプライズもないかもしれない
でもこのポッドキャストの
とりあえず最初の目標をひょっとしたらみたいなね
話ですからね
言えるかもしれないですね
これはATMARKITとかの記事にしましたし
結構いろんなところで記事にしていただいて
どこだっけ
ザクザクじゃなくてその辺乗ってたらいいんですけど
一般メディアに乗ってましたもんね
そうですね
エンタープライズ時とか
あとASCIIとか
あとは東京IT新聞っていう
メディアにも乗ってました
いろんなところにも来たんで
なかなか面白いことになってましたね
当日一切アノニマスの話をしなかったんですけど
ただタイミング的には割と旬といいますか
アノニマスのオペレーションキリングベイ
オペレーションが今も継続中のオペレーション
継続というかいつ終わるのこれって感じはしてはいるんですけど
それの話をちょっとしましょう
これ私も全然追ってなくてですね
そうですか
僕の周りのアノニマスウォッチャーも
アノニマスウォッチャー何人おんねんって話もあるんですけど
あんまり追っかけてないというか
辻さんが追っかけてるからもういいかなと思って
っていうぐらいのトーンがあったりもするんですけど
それの話をちょっとしていきますね
そうですね
去年ってオペレーションジャパンってあったじゃないですか
違法ダウンロード刑罰化に反対するっていうやつですね
いくつかサイトがダウンとか解散されたっていうのがあったと思うんですけど
27:02
そのときにTwitterとかやってる方は分かると思うんですけど
ハッシュタグってあるじゃないですか
関連する言葉でシャープなんとかとか
アノニマスの場合はシャープの後にオペレーション名を書くんですけど
シャープオブジャパンっていうのは国名がついてるんで
よく使われる可能性があるかなと思って
ちょいちょい見てるんですよ
なんか新しい動きがあるかなとかと思って
たまたま見てたら見慣れないアノニマスのアカウントが
ターゲットが若山.jpって書いててですね
若山.jp is downって言ってですね
どうしたどうしたと思って
そこについてたハッシュタグがオペレーションジャパン以外に
OP Killing Bayっていうのがあったんですよ
その若山.jpのリンクをクリックしてみたんですけど
ないんですよそのサイト
色々調べたんですよ
直接アクセスするとかっていうだけじゃなくて
そもそもそのドメインがあるのかとか
ネットクラフトっていうサイトがあったりするので
そういうところで調べたりできるんですね
あとは名前解決できるかって
自分のところでも試してみたりとか
若山.jpもなくて
www.wakayama.jpもないんですよ
で存在するのはよく自治体とかで付けられる
www.prefって付けて
pref.wakayama.jpとlg.jpってあるんですよ
lgは地方の自治体系ですよね
でwakayama.jpっていうドメインは一応予約はされてるんですけど
前に出たらなんか付くんですよ
www以外の
例えばcity.wakayama.wakayama.jpみたいな感じの
若山市のサイトになるんで
ダウンも何もそんなサイトないんですよ
攻撃したのかしてないのかわからないですけど
DDoSなのかDOSなのかわからないですけど
それをやってやったつもりになってる
何なのかとか言って
あとは存在するサイトにも攻撃を仕掛けてるけど
そのサイトが落ちてるんじゃなくて
自分ちのネットワークが落ちてたりするんじゃないのとか
と思いながら
ぼんやり見てたんですよね
そもそもこのオペレーションって
彼らで何かしらに抗議をしての行動を起こすわけじゃないですか
そもそも何にっていうところで色々調べてたんですよ
そしたらイルカが和歌山の胎児町っていうところで
イルカ寮があるんですよ
昔からあるやつですね
The Coveっていう映画で話題になって
そうですね
それのやつに反対してるってことを見てて
ああそうなんやと思って
ちょっと動物愛護系とかの流れなのかなと思って
ぼんやり一応ハッシュタグを追っかけてたんですよね
30:01
そしたらターゲットは発表されたんですよ
その後も発表されたターゲットはほとんどがGOJP
なんかこうパッと見た感じだったら
例えば農林水産省があったり官邸
首相官邸があったりとか
あとは外務省とか
どっちかっていうとGOJPのリンク集みたいな感じになってて
日本全体かと思いながら
こんなの本当にやんのかなっていう風に見てたんですよ
そしたら関連アカウントで
僕リスト作ってたんですけど
Twitterリストですね
そしたら急に官邸.GOJPをダウンさせた
23分間ダウンさせたっていう風に言ってるんですけど
全然アクセスできるし
落ちた気配も全くないんです
でもどうするのかなと
一応でも日本ターゲットになってると
関係する人が周りにいるかもしんないんで
情報を集めとかないといけないなと思いつつも
さらに攻撃するとかでリストも出してるわけじゃないですか
いつやるかってだいたいみんな書くんですよ
Day of Actionいついつって書くんですね
そういうリリースを出すときに
でも書いてないんですよどこ見ても
わかんなかったらどうしようかなという風に思うじゃないですか
僕の場合もわからなかったら直接聞くわけですよ
得意の
そうですね
一応自分はセキュリティのリサーチを日本でしてますと
いついつ行動日Day of Actionっていうのは
このオペレーションいつなんですかって聞いてみたんですよ
この主要アカウントっぽいなと思う奴らに向けて
書いてきた答えがEveryday is a Day of Action
毎日が行動日みたいな毎日がEverydayみたいな感じの
メッセージが来てはぐらかされたんですよ
そんなこと聞いてないねんと思いながらも
もうちょっと待っとこうと思ったらまたリリースが出てきたんですよね
よくPaste Beanっていうサイトにリリースが貼り付けてるんですけど
そこには自分の目を疑うような文章がそこにあったんですよ
そうしたら日本は台湾とか韓国とかの魚の輸出の量に負けてきてるんで
その対策を打つことを決定したと
この情報は自分たちが盗んだって言ってるんですよね
そこのやつがあるのがDevoxxっていうプログラムがあるんだと
そのプログラムの中身っていうのが驚くべきことに
日本が世界に輸出するマグロの肉をイルカ肉に変えて出してるんだ
33:04
すごいな
タイジチョウって魚格高くないしイルカってなかなか知れてるじゃないですか
マグロの肉をイルカに変えたぐらいで回復できひんやろうしわかるやろうって話
ほぼ陰謀論みたいな感じがあったんで
一応さらに聞いてみたんですよ
ツナの肉がイルカ肉に切り替えられたって
そんなこの情報の詳細を持ってるんですかって聞いたんですよ
証拠どこみたいなソースは誰みたいな
そしたらDevoxxとは日本のプログラムでSpaceBに書いてんのはお前読んだんかみたいなことを言われて
読んだ上で聞いてんねみたいな
それでも僕もめげずにですね
そんなDevoxxなんていう名前は聞いたことないし
そういう通信を傍受したハックしたみたいなことを言ってるんです
言ってるけどどうやってやったのって
それはね君Devoxxっていうのを聞いたことないのは当たり前だと
極秘のプログラムだから言われた
なんかすごいなー
日本の通信をハックしましたって
結局方法書いてくれてない
そうなんですよ
でもこれでまためげたらあかんなと
さらに聞いてみたんですよね
傍受したっていうその内容はいいですけど
公開するんですよねと
それは日本の農林水産省から
盗んだそのデータは
PasteBに公開しますって言い出したんです
そしたらそこのやり取りの中に
日本人の方が入ってこられたんですよ
その人は普段はトランスレーターをされてる翻訳家の方
英語を日本語に相互に翻訳されるんだと思うんですけど
英語のちゃんとした使い方
例えば複数形のSはこれは決まりで付けるとか
あとは英語のネイティブかどうか見たら分かるぐらい
ちゃんと仕事されてる方なんですよね
その人は結構グイグイ突っ込んでくれて
あなたがハックした通信ってのはどういう種類のものかと
英語で書いてたのかみたいなことを結構鋭く突っ込んでくれて
そういうふうなやり取りをしてて
僕も証拠見せてくれってさらに突っ込んだんですよ
それまでフォローしてなかったんですけど
フォローしたんです僕も
フォローしたから表で言われへんことあるんやったら言ってと
実は嘘でしたでも別にいいんですけど
なんか教えてよっていうふうに聞いてみたんですよ
そうしたら急にセキュリティリサーチャーと主張するようなお前には
共有できひんって言われました
速報で振られまして
どうしようやばいなと思ってたら
36:00
そこでまた翻訳家の方が入ってきてくれたんです
私はリサーチャーじゃなくて翻訳家だから
情報ちょうだいって
2対1の関係ができあがったんですよね
そうしたら全然そこまで絡んでこなかった別のアノリマスが入ってきたんですよ
これ今ネイバーまとめてまとめてくれてる方が
それを見ながら本人に実況してもらってる感じなんで
すごくよくわかる皆さんもこのページ見てから聞いてください
今言う話じゃないけど
そうしたらよくわかんないのが入ってきて
全部大文字でアルファベット大文字で書いてきて
警告ってきたんですよ
オペレーションを弱体化させようとか邪魔しようとしてるような
反逆者は許さないぞと
かるぞって言われたんですよ
今までアノリマスの研究の第一人称とか
テレビにちょっとだけ出させていただいたときには
アノリマスと接触したとかアノリマスの取材を続ける辻信宏さんみたいな感じで
いろんな謎の肩書きがあった中に新しくアノリマスに脅迫された辻さんが
来ましたね
良くねえけどいいな
そんな無理やりやなみたいな感じでやったら
どっちかどう絡んでいこうかなと思ってたら
そこに救世主が現れた
来たんですよ
その救世主が言った言葉がですね
お前ら本気かと
こいつらは言うにもはばかるような英語が入ってるんですけど
いい意味で訳したらすげえとかクールな意味のジャーナリスト論だと
お前ら落ち着けよみたいな感じで入ってきた救世主が
誰やろうと思って見たらですね
昔実際にあって取材させてくれた日本にいるアノリマスが
入ってきたんですよ
映画化しよう映画化
その瞬間相手どう出るかなと思うんじゃないですか
速攻で怯んだ
ノープログラムのノーホーリーズって言って急に怯んだ
意外と僕の取材したアノリマスすごいのかなみたいな感じのオペレーションで
結局いついつに行動しますと
12月の1日にやりますって言ってたんですよね
結局その時にはDDoSもやるし改ざんもやるしって言いつつも
Twitterストームをやるって言ってたんですよ
Twitterストームって何かっていうと
Twitter上でデモやるようなもので
特定のアカウントにメンションアットマークなんちゃらってやったりとか
特定のハッシュタグでつぶやきまくるっていうやつですね
それをやるって言ったんですが
当日僕日本時間で6時からやったかな
18時から始まるっていうので確か日曜日だったんですよ
39:04
だから早めに買い物済ませて
鍋の準備して
MacBook Airに映ってる画面をですね
AirPlayでテレビに飛ばして
Twitterの画面を全画面表示にしながら鍋つづいてたんですけど
こんなエンターテイメントないっすね
特に何も起きなかったんです
そうか
そうなんですよ
ちょいちょいいろいろ起きてたんですけど
つぶやきはあったんですけど
特に何かどっかがダウンしたわけでもなくですね
基本的には僕たちが気をつけないといけないような
そういうサイバー的な攻撃とかっていうのは
特になかったんですね
ただいくつかでもちょっとなっていうのはあったんです
あまり日本では騒がれてないんですけど
一つ土曜日ですね
彼らが行動するって言ってた12月1日よりも1日前
ちょうどその時に僕は抹茶445っていう
の勉強会で今日今話した内容をパワーポイントにまとめて
プレゼンをさせてもらったんですけど
そのプレゼンをする前に
喫茶店でいろいろチェックしてたキーイングベイを
そしたらLinux系のOSのシステムの中にある
ユーザー情報が書かれたファイルっていうのがあるんですよね
ETCスラッシュのパスWDっていう
そこにその情報をリークしてたんですよ
日本のサイトもしかも
よく見たらそこ普通に外からブラウザで見えるようなところで
多分Googleとか使って検索したり
そうなんですよね
それもいるか関係ないサイトなんか
どっかのホテルとか学校とか
まああれですかね
今日はこのぐらいにしといてやろう的な
そうですね
ついさんもツイッターで書いてますけど
こういう犯行予告されるとチェックしないわけにいかないから
何ともしかしなきゃいけないっていうのは
つらいですねこれね
警察の方とかも物理的な犯行予告もあるじゃないですか
例えば爆弾とかあとは硫化水素とか
毒物ですよね
いかないわけにはいかないというか
いやー何だかな
あれですよね
サイバー的なことをする人は割と
さらっとやって捕まってたりするし
リアルでさっきの話じゃないですけど
例の黒子のバスケ事件みたいな感じで
ネットワークを使わずにリアルで何かやった場合には
行動を起こすことで足がつくっていう今回いい事例だったのかな
そうですね
っていう気がするんですけど
この二つ組み合わさっちゃうとすごい怖いですね
そうですね
42:00
すごい慎重に行動する
ネットで攻撃する
本当に黒いハッカー
ブラックハットですね
そういうのがね
この前のまだ実際どういうことになってるのかわからないけど
鎌倉の江の島でこのUSBをつけてみたいな話とかも
わかんないですね
そうなんですよ
今回のオプキリングベイに関しては
日曜日に行動するって言っちゃったんで
多分土曜日日曜日出勤した人いると思うんですよね
そんなには警戒してなかったと思うんですけど
できるだけ得た情報はツイッターでつぶやける範囲でつぶやいてたんですけど
ただでもね
これ一応僕追っかけてるんですよ
彼らのアカウントとかはね
ここ3日4日くらいかな
新しくオペレーションに参加してきたやつがいて
結構オペレーションで参加したメンバーによって
結果が変わってくるので一気に変わるんですよね
なるほどね
例えばたくさんのボット
みんなに一斉にアクセスさせる仕組みを持ってるやつが一人でも来ると
大規模なDDoSに発展する場合もあったりとか
それはあるな
今回参加してきたなってこいつって思ったやつが
ちょっと脆弱性を使ってデータベースの中身を盗むようなことを
よくやってるやつっぽくて
実際にリークしたよって言ってるんで
本当かどうかわかんないですけど実際に試すわけにいかないんで
でも僕の知ってる限り
日本の.jpのドメインを持ってる会社が
4つやられてるんですよ
あんまりニュースとかでは出てないやつなんですけど
僕の確認できてる範囲で4つ
データベースの内容をリークしたっていう風に言って
そして実際に貼り付けてましたね
今回一番最初のきっかけがイルカでしょ
イルカです
あれ結局ザ・コーブっていう映画が
割とすっごい変更的な撮影の仕方をした結果
たぶん現地のことを知らない人がそれを見て
わーっと盛り上がって
たまたまそれが技術をちょっと持ってたから
始まってしまったことを考えると
やっぱりそういうデマと言っていいのかな
あと偏りのある行動というか
行動がきっかけで大きなうねりになるっていうのは
ほんとやめてほしいですね
そうですね
本当に困る人が何人も出てくるというか
あとは会社に出なくていいのに出ないと
とりあえずこないだろこんなの99%と思ってても
やっぱり1%が残ってると
対策というか構えないわけにはいかない
そうなんですよね
だから割とツイッターって最近ネタまみれになることが
45:00
多いじゃないですか
悪意を持ってないのにネタを書いたがために
それが回り回ってこういうことを引き起こす可能性があるってことを
ちょっと考えないといけないかもしれないですね
そうやってツイッター疲れが始まるっていう話なんですけど
そこからだもんな
本当に偽科学じゃないけど
根拠のないことを自信満々に言うのはやめよう俺も
そうなんですよね
でも断定と推測もちゃんと分けて言わないといけないですし
あとは難しいこの系のツイッター特にそうだなと思うのが
僕も今回キリングベイの話があって
取材を2つほど受けたんですよ
テレビとかじゃなくてネットのメディアで載るやつなんですけど
僕の立ち位置というか仕事の内容ですよね
っていうのを考えると
確実に攻撃はこんなの来ませんよとは言えない
だから本当に99パー思ってても1パーセント
0にはならないじゃないですか
だから一応今までの経験
今までオペレーションを見てきた中では危険度は低いですね
というか警戒度が低くていいと思いますとは言え
一人なんかが向こうに攻撃をゴリゴリやってくるやつが
参加した途端になっちゃうっていうのと
あとはそうやって気づけないといけない
こういう風になってるとかっていう情報が広がることによって
オペレーションがでかくなるってことなんですよ
やってないのにやってるやってるっていう風に
攻撃したしたって言ってると
参加してくる人が増えてくる
注目を浴びて
そこなんですよね
そこが難しいところ
難しいですね
なのでこれに関しても
ちょっと結論じゃあどうすればいいのっていうことは
ちょっと皆さんに委ねることになりますけれども
そうですね
でもこういう風に反抗予告
物理的な反抗予告はちょっとごめんなさい
なので何も言えないですけど
サイバー攻撃に関して言うと
やっぱりターゲットになったから
何かしないといけないんじゃないなっていう
なるほど
いつ来るかわからないけども
晩年にしておくとか
それは技術的なものだけじゃなくて
これがダウンした時にはこうやって復旧するとかっていう
やっぱり訓練って大事
そうですね
日々備えておくっていうことの大事さっていうのは
やっぱり理解してほしいなってすごく思いますね
今ちょうど私も聞きながら見ていたものが
サイバー攻撃宣言アナリマスが主張する
日本政府の極秘計画でOXって
っていうようなネイバーまとめが今あります
辻さんの発言もかなり入れて
流れがわかりまして
これほんと見ながら
ざっと見てもわからなかった人が
これを簡単な説明聞きながら聞くと
すごいよくわかるんで
実は今アトマー回帰編集部に
いろいろお仕事してるんですけども
ちょうどセキュリティクラスターまとめのまとめ
48:01
山本陽杉さんの方の
編集の作業を久しぶりにしたんですけども
そこで一行だけアナリマスが
日本を攻撃するという予告もありましたが
これも特に何も起きませんでした
裏にあたるのはこれですっていうことなんで
ぜひこれも一緒に合わせて見ていただけると
わかるかなと思います
面白いと言っていいのかわからないけど
いろいろ考えさせられる事件でしたね
難しいと思ったものがやっぱり難しいなって
いうふうになりましたね
すごい真面目な回になりましたね
最後に窓まぎの話でもしておきますか
見に行きましたよ窓まぎ
急角度でセキュリティが関係なくなる
このポッドキャスト
見に行きました?
何回?1回?2回?
僕も昨日が初回で行ってきまして
どうですかね
まだ見てない方は
ネタバレしない程度に
見たい人はちょっと気になる人は見ておいた方がいいと思います
もしテレビ版見てなかったら
前編後編の映画版を見ればわかる構成になっているらしいです
僕もあっち見てないんですよ
前編後編
テレビのやつと昨日見に行った
進撃というか
そっちを見ただけですけど
エヴァンゲリオンはもうちょっと見習えって話
一回でスッと終わって
続かないですよね
続ける気満々なのかな
僕はあれで終わっておくのが一番綺麗
間違いなくそれです
全部いろんなもの回収しきれている
エヴァンゲリオン
あと2年後とかやめてほしい
次はリドゥルでしたっけ
シン・エヴァンゲリオン
記号がリドゥルの記号なんですよね
僕でもあれですよ
エヴァンゲリオンの話としてもいいですか
僕勝手なやつなんですけど
今3回やったじゃないですか
あと何回続くと思います
今回でさすがに終わらせてもらわれて困りますね
本当ですか
次のやつ合わせて
5回やると思うんですよ
まじで
根拠っていうことでもないんですけど
今までのやつって
全部なんとかのっとなんとかでしょ
その説は熱欲がありますよね
そうなんですよ
51:00
かっこありかっこなしみたいなのがあって
ジョハってきたじゃないですか
ジョとハはたぶん
ノットありかなしで言うと
例えばありだったとしたら
ありありできた
今回の話って急に飛んだでしょ
今までのラインと
違うラインのやつなんじゃないか
そのあれもありますよね
この前のハに関しては
ノットですね
同じストーリーラインの
アンハッピーエンドパターンがあるっていう話が
そっちじゃないかな
それかなり深読みなんですけど
Qの公開前に
窓マギがブームになったじゃないですか
窓マギで出てくる
小村ちゃんと
カヲルくんってかぶってません
なるほどね
カヲルくんそのままのストーリーの流れで使うと
小村とタダかぶりなんみたいな
流れになるんで急遽
裏世界の方の話をやったのかな
色々蛇吸してた
答えは分からないですけどね
私もマトリックスの時かな
色々考えましたよ
2作目見た時に
盛り上げて
こうなるんじゃないか
全部吸っ飛ばして3作目が終わったんで
すごかったですね
そうですね
何がすごいか見ていただいた方がいいかと思いました
マトリックスは
この辺の世代は
通過儀式として見ておかないといけない
あとは
延長上映をしている攻殻機動隊アライズ
まだ見てないんです
両方見てないんですか
新しくなってから見てないんですよ
ゴーストペインとゴーストウィスパーを見てない
見てないんですよ
ゴーストウィスパー
試射室で見たんですよ
あれは
オンラインでも見れますからね
本当ですか
公開日と同時にやるんですよ
攻殻機動隊に関しては
まとめてちょっと見ようかなと思っているのと
あとガンダムUCかな
最後の2本見てないんで
攻殻機動隊はあと2回あるんで
次が6月公開なんで
あと1年ぐらい待てば多分終わるんじゃないですかね
54:00
結構いいと思いますよ
絵も声も変わってるんで
嫌な人いると思いますけど
1位はスーッと淡々とした感じでしたね
今回のゴーストウィスパーで
いいなって思いました
かっこよかったですね
ちょっと見ておかなきゃな
ぜひぜひ
私は最近見たのは
窓マギを見に行ったのと
日本では来年3月に公開される
アナと雪の女王というディズニーの最新作を
見てきました
完全にネタバレになってしまうので
これディズニー系の人たちが
引き続き聞いてる可能性も高いんで
ここでネタバレ言うと多分次の日から
罵倒がすごいですね
大炎上
アナとエルサという姉妹が
登場するんですけども
ラストシーンでですね
親指を立てながら陽光炉に沈むシーンを
涙なしには見られないですね
それ以上は言えません
ぜひみなさん3月にまた見てください
あと香港でソー2を見たくらいですかね
これちょっと待って何のポッドキャスト
セキュリティのポッドキャスト
マイティ・ソー2
怖い方じゃないです
脳が筋肉でできてる人たちの
マイティ・ソーの方ですね
これは日本では2月に公開なんで
ということで
マトマギのプレゼントとかするんですか
ここ3日くらいかな
金曜くらいから
今日今収録してる前の2日3日前くらいから
劇場に1回来た人ももう1回来てよう的なやつで
キャンペーンやってるのかなと思ったんですけど
先着で魔女図鑑っていう普通の紙なんですけど
紙というか冊子みたいなやつなんですけど
それがもらえるっていうことだったんですね
昨日僕はいろんなとこ遊びに行ってて
交通の便もあって豊洲の方に見に行ったんですよ
金、銅と経て
昨日日曜日だったんですけどね
最終の回19時10分の回に行ったんですよ
そしたら張り紙がしてあってですね
魔女図鑑は
今日の最終の回の途中でなくなります
全員もらわれへんのと思って
聞いたらもう並ばれてる方いますよって言われて
並んだんですよ
久しぶりに並びました映画で始まる時間の
1時間以上前から並びました
57:00
それで欲しいしと思って
いろいろツイッター見たら
自分のちょっと前でなくなったっていう人がいたんです
新宿はあるけど他のところは全滅的なツイートとかもあって
大変ですね
これ聞いてる方にはそれ欲しいなと思っていると思うんで
僕今手元に
セキュリティーでまどまぎに
重なってる人でしょ
そうなんですよ
ヤフオク見ると出始めって結構高くて売れるじゃないですか
僕が見たやつで最高6000円くらいで落としてるんですよ
タダでもらえるやつを6000円で落としてて
今なんか見ると相場3000円、2、3000円です
それもちょっとあれやなって
僕2人で行ってるんで
1つあればもう十分なんで
これを聞いてる方で欲しい方いらっしゃいましたら
差し上げますというプレゼントをやろうと
大変なことになりますよ
どうしましょうかね応募法
ツイッターであれじゃないですか
今回の話を聞いて
オプキリング米で大喜利ですか
えー
ハードの高くないですか
ハッシュタグをつけて
今のホットキャストのURLを
貼っていただければいいかな
アノニマスカルタを読んでいただいても
かまわないですしね
アノニマスのアみたいな
240収まんないよ
ハッシュタグとURLを
応募してるなー的な雰囲気が分かれば
多分拾うと思います
僕が拾えれば分かればいいので
どこかから郵送するなり
近い人だったら手渡しなり
面白い一言とか質問的なものがあれば
優先されるかもしれません
知れません
ということで
年内出たと
前提で
良いお年を
2014年が
皆さんにとって
最高の年になるといいですよね
2014年ですから
エヴァンゲリオンの年です
いろいろと動く人も
いるんじゃないかと思いますので
ということで
次回来年ですね
良いお年を
