00:00
っていうのもちょっと気になるところで。 未知の脆弱性だったので、何らかの別のトリガーで何か不審な動きがあったっていうことがわかったんだと思うんだけど、
ちょっとねその辺の何をきっかけに気づいたのかっていうのは、できればぜひ、それさっきのゼロデーの話じゃないけどさ、
なんかね、それをこうどういうふうに対応すればいいかっていうのが教訓にもなるので。 どういう異常で気づいたかってことですよね。
いろいろありそうですけどね。知りたいよね、というのがちょっと気になりました。 そんな感じで、製品としてはね、いわゆるMDM製品で、
セキュリティを目的に、おそらく多くの企業が導入するであろう製品なんだけど、 そこに脆弱性が見つかっちゃうっていうのは皮肉ではあるんだけど、
でもこういうセキュリティ製品に脆弱性があって広域に利用されるっていうのは、 決して珍しくはないので、
なんかね、そういう脆弱性の例外にはならないなっていうか、そういう部分もやっぱりあるっていうことを肝に 見えてなきゃいけないなっていうのはちょっと改めて思いましたね。
何で気づいたのかっていろいろあると思いますけど、どこまで来て、どっかのIDSとかそういうものに引っかかったのか、
パストラバーサルやったから引っ掛けやすかったのかな、ちょっとわかんないですけど、 そういうのあるかなと思うんですけど、これ何されたかもちょっと気になるんですよね。
そうなんだよね。 これをして何がしたかったのかっていう、糸の部分っていうのが。
そうそう、ちょっとね、今のところ僕もプレイスカンファレンスとか細かいやつ全部全然見てないんで、
ひどく報道されている内容しか読めてないんだけど、ノルウェーSFもそこまであんまり公表してない感じなんで、
どの程度の影響があったのかっていうのはちょっとわかんないし、 あともしかしたら他にも被害組織がある可能性はあるので、
その場合にね、どこまでやられたのかとかっていう影響とか、何を目的に攻撃者がやったのかとか、いうのもちょっと気になるよね。
合わせ技ってもう怖いなーって思いますね。 そうなんだよね。これも最初に月曜日に、
その認証バイパスの出作成が当たった時には、なんかユーザー情報が取れますっていうのと、
一部の設定の書き換えができますくらいなトーンで書いてあったのね。 で、あれ?と思ったんだけど、アメリカのCISAが出しているアラートには管理者権限でアカウントが作れますって書いてあって、
そんなことベンダーのサポートには書いてないのよ。 言ってなかったやんっていう。
それとだいぶ印象が違うじゃん。 だいぶ雲行き変わってきますよね。 だいぶ印象が変わるなーと思って、ちょっとその言い方どうなのっていうのはちょっと思ったりとか、
あとその2番目のね、ディレクトリートラバーサルも昨日公開されたんだけど、
これもなんかその1番目のやつを調べていて、2番目のやつを見つけましたって言ってるんだけど、明らかにこれ組み合わせで使われてるんだよね。
調べててこれもあるやんじゃなくて、これ使われてるやんで知ったんでしょうね、たぶんね。 だから、その対応の経緯も若干ちょっと怪しいというか、
03:09
大丈夫かっていう。なんかやられているのを調べたんだったら、両方をちゃんと見つけて同じタイミングで公開するとか、
すべきなんじゃないかなっていうか、あんまりこの2番目の製作性はその週末の金曜日に公開されたこともあって、あんまりね、なんか騒がれてないような気がするんだけど、これ組み合わせたらかなり怪しいって。
いやそうですよね、なんかすげーブーストしてるっていうか、なんかこう、なんていうんですか、こう三崎くん、つばさくんみたいな感じちょっとあるじゃないですか。
ちょっとその例えなんかわかりにくいな。 わざとわかりにくく言ったんですけど。
まあまあでも言いたいことはわかるけどそうそう。
35081の方だと、あの、Tomcatユーザーの権限でファイルかけちゃいますみたいな。
でもさ、これだけ見たらさ、アドミンの権限が必要ですとかさ、なんか大したことなそうに見えるけど、でもまぁ一応そのサポートの情報には組み合わせて使われるので認証バイパスできますってことも書いてあるんで、
まあちょっと影響としてトータルで見たらこれかなりヤバいやつだな。 そうですよね、なんかこれもそうそう、なんかこの今、イヴァンチでいいんですかね。
脆弱性の紹介というか公表のサイトちょっと僕も見ながら話し聞いてたんですけど、これあのさっきのその35081の方っていうのはCVSS7.2なんですよねこれね。
合わせたことによってどうとかっていうことを考えるとやっぱり悪用ベースで考えるって大事だなっていうのをちょっと思いましたね。
1個目の方はね10.0っていうまぁこれは見るからにヤバいやつだけど。 でもこれセットですもんね。
そうなんだよねちょっとこの辺りがやっぱりねその単独でCVSSだけ見ていてもちょっと判断しにくいとかっていうのが。
だから組み合わせて悪用されてますっていう部分がやっぱり第一なのかなというか。 そうですね。
なかなかこれは。なんかちょっとこうまだまだなんか気な臭さが残るというか。
そうねちょっとこれは多分継続して情報が出ると思うね多分ね。
政府機関ですしねなんか何かしら出してくれるでしょうという期待はちょっとありますけどね。
あとそのまあ日本ではちょっと僕使われている数は少なそうではあるけど、これはあのちょっと週末また会えちゃってて若干危ないけど、
おそらくだけど攻撃方法が多分簡単なので。
ぽいですねなんかね。
多分ね多分だけど。
まあなんでこれはそのデイタクスやとか攻撃手法の分析記事が出てあの悪用が広く広まってもおかしくはない類のやつだと思うので。
そうですね。
これはちょっと対応を急いでほうがいいと思いますね。
使っているところはね国関係なくってことですね。
はい。
はいわかりましたありがとうございます。
はい。
はいということで今日も3つのセキュリティのお話をしてきたので最後におすすめのアレなんですけれども、
今日はですねちょっと飲み物を紹介しようかなと。
昔から結構好きだったんですけどたまたま行ったあの普段行かないスーパーで見つけまして、
06:01
これめっちゃ好きだったわっていうのがあったんでそれを久しぶりに飲んだんで紹介したくなったってことなんですけども、
もう結構長らくあるもんなんで皆さんご存知かもしれませんけど僕が思っているヨーグルト界の、飲むヨーグルト界の王様。
安田ヨーグルトですね。
え?知らない。
え?
安田ってのは漢字で安田?
カタカナです。
それはブランド名ってことね。
安田ヨーグルトっていう、はい。
あーあの牛が。
そうそうそうそうそうそう。
え?有名なのそれ?
そうです。
多分これ見たことあるんじゃないですかね。
多分ね見たことあるんじゃないですかね。
はい。
え?全然知らないんだけど。
安田ヨーグルトの安田ヨーグルトです。
へー。
安田ヨーグルトっていう会社があるんですよ。有限会社安田ヨーグルトっていうのが新潟県にあるんですけども、そこの会社が出してる安田ヨーグルトっていう飲むヨーグルトなんですよ。
なんかこれ今、ウェブサイト見たらドリンクヨーグルトって書いてるやつ?
そうそうそうそう。
あーなるほど。
これの一番プレーンのやつで、絞りたて生乳87%使用。
これ昔からあるの?
うん。
生乳って言った今。生乳でも分かるけど、生乳だろ?
生乳って言いたかった。生乳って可愛くないですか?なんか美味しそうでしょ?生乳。
可愛いかな。
もう僕はこれもう読み方間違えてるって言われても僕はもう生乳。
生乳。
どっちでもいいんじゃない?多分両方とも。
いいんすか?
うちの母親が生乳って言うんで。
まあそれはいいんだけどさ。これ昔から有名なやつ?
有名ですよ。
えー。
なんか見たことあるかも。
俺もしかしたら飲んだことないかもしれない。
見たことはある?
見た記憶も全く全然ないんだけど。
えー。
多分見てるんだろうね。意識はしてないだけで。
そうっすよね。多分ずいぶん前からあります。
パッケージとか変わってる?昔から。
これ会社自体が創業が1987年なんで。
すいません。全然知りませんでした。
子供の頃に飲んでた。中学生の時とかも飲んでた。
えー。美味しいの?
美味しいんすよ。めちゃくちゃ。
あのね僕ブルガリアヨーグルトとかみたいな食べるヨーグルトもまあまあ買うんすけど。
あれも飲むんすよ僕。
あー。え?どういうこと?飲めるぐらいにしてってこと?
最近四角いやつじゃなくてそこ深いやつじゃなくて浅めの。
でかいやつじゃなくてちっちゃいやつって言うんすよコンビニとかで。
分かる分かる。
あれを角からズズズって飲むの好きなんすよ。
なんかさ、前のプッチンプリンもそうだけど。
基本的に古景物がダメなの?
いやダメじゃないっすよ。そんなんじゃないっすけど。
なんかズズって行きたくなったりとか。
なんて言うんすかね。
おじいちゃんか。
おばあちゃんかもしれへんやんけ。
おばあちゃんか。
これね、この安田ヨーグルトってほんまねめちゃめちゃドロッとしてるんすよ。
へー。
あのなんかこう。
確かにこれドロッとしてますよね。なんか残る感じしません?
09:00
あ、そうなんだ。
なんて言うのかな。こう液体でも固体でもなくゲルみたいな。
ゲル状みたいな。
ゲル?
ゲル状。
中間的な感じなわけですね。
コップとかに注いでもドゥルンって感じがするんすよ。
でもものすごく濃厚で美味しいんですよ。
久しぶりに飲んだんですけど。
150ml、500ml、900gって急に単位変わるんですけどこれ。紹介してるページ。
150g、500ml、900gっていうね。
なんでこうなってるのかなってわかんないですけど。
ちっちゃいやつとか150gのやつほんとすぐ飲みきりサイズなんで。
ちょっと見つけたら飲んでほしいなあ。結構いいですよ。
久しぶりに飲んでこれで紹介しようと思ってウェブサイト見たらアッシュが出てるんすよまた。
アッシュ。好きっすね。
アッシュって何?
アッシュですよね。
例えば果肉入りブルーベリーヨーグルトとか。
あとバナナ。バナナもある。これ期間限定です。9月から出るらしいです。
バナナヨーグルトは美味しそうだな。
あとねえちご姫っていういちごね。バージョン。あとうんしゅうみかんバージョン。
あとキウイっていうのが出てるらしいですね。
基本的にこのあたりはヨーグルトとどれも合いそうだよね。
僕これはうんしゅうみかん出たら絶対飲もう。
僕はみかんとヨーグルトの組み合わせって結構好きで。
飲むヨーグルトと100%オレンジを混ぜて飲むのが好きなんですよ。
自分でブレンドするわけ?
そうそうそうそう。ソムリエがね。ヨーグルトソムリエがやるわけですよ。
誰がソムリエや。
これマジでどこにネギスさん飲んだことないんやったらマジで飲んでほしいですね。
ほんと多分ないと思う。でも一回飲んでみたいわ。
ちょっとロゴマークを頼りに。コンビニよりスーパーの方があるかもな。
スーパーで見かけるかもですね。
ちょっと行ってみてくださいよ。ぜひぜひ飲んでいただけたらなと思います。ということでございます。
はいということで今週も以上でございます。また来週のお楽しみです。バイバイ。
バイバーイ。
あの夜中にネットで開門するとあんまええこと終わらへんなって思うんですよ。
あーわかる。
わかる?どういうことどういうこと。どういう意味で思いました今。
ちょっと違う意味かもしれないけど。
俺結構夜寝る前とかになんかさ買わなきゃとか欲しいものが思いついて例えばアマゾンとかで調べること結構あるんだけど。
日用品みたいなもんってこと?
まあそんなに高級品ではないかな。
あーなんかその日々いるようなもんね。
でもこれちょっと待ってよ一旦置いとくかなみたいな。
うんうんうんうん。
前も言ったかもしれないけど一旦あの欲しいものリストに入れてちょっと考えて。
あーなんかそういう運用してるって言うてありましたよね。
そうそうそう。
いやなんかね前に一回それで一回っていうか何回かそういう失敗したことがあって。
なにそれはなに?
アンドロイドタブレット買ったとかそういうこと?
12:00
そうです。
いつまで言うんじゃろ。
まあまあそういうこともあったけどそういう失敗もね。
そこまでじゃなくてもちょっとなんか高いやつで買っちゃうとかさ。
あーはいはい。
例えば。
高値で買っちゃうってこと?
割引のセットが他にもあるのに別の商品買っちゃうとかさ。
あー冷静にこう吟味する時間なくさっと買うことがあんま良くないぞということですかね。
そうそう後で公開したくないんで。
だからねまあそういうことが結構あるんで思いついた時にはすぐ買わないようにはしてるな。
あーそういうことね。
そういうとは違うの?
違う違う。
おーなに?
あの僕ね何回も経験してるんですけどすぐにクレジットカードがロックされる。
どういうこと?え?
ものが買えへんのよ。なかなか。
なんか悪い使い方してんの?
してないですよ普通に。
なんかあれもこれもあれもみたいなとかやってるわけでもないし住所を変更したとかでもなく。
えーあれロックだって一度もないんだけど今まで。
クレジットカードの登録住所と違うところに送ろうとしたとかそんなことも全くなくて。
何が原因で起きるの?
分からないんですよそれが。教えてくれないじゃないですかそれって。
あーまあ理由は言ってくれないよね。
そうなんですよね。だからあれ買われへんなーと思って。
ちゃんとセキュリティコードって言われるやつあるじゃない。あれも入力も間違えてもないんですよ。
なのに買えないの?
そうでロックされてでなんかいろいろやってたら電話かかってきたりとかクレジットカード会社からね。
とかなんかなんかしましたみたいな。なんかしたお前らやろって聞いてるんですけど。
それとかなんかそのメールが来たりするんですよアプリに通知きたりとか。
それが何いつも夜中買うときに起きるわけ?
夜中にしか起きたことないです。
昼は大丈夫なんですか?
昼に起きたことは僕一回もないですね。
それなんかあれかなその時間帯が怪しいとかなんかそういうのに引っかかってるのかなぁ。
ディスクベース的なやつが働いてるんですかね。
まああるよね教えてくれないけどさ。
草木も眠る丑三時みたいなのがあるのかもしれないですね。
よくわかんないけど。
何回も普通にね昔ディズニーのチケット、ディズニーシーに行くチケットを買った時にもそんな大した金額じゃないんですけど、引っかかりました。
ディズニーは結構引っかかるってみんな言いますね。
そうなんや。
なんで?
やっぱりなんか転売とか見つかりやすいんですかね。
モニタリングは厳しいのか。
深夜とかその枚数とかで結構あるのかな。
そういうのあるんだ。
それも夜中の2時とかやったんですよ。
そのチケット買った時もたまたまなんかそろそろカットかなと思って。
なんかのうちの会社の役員の人が歓励を迎えるってことなんでディズニーシー連れて行ったろうって。
なんかそれ前聞いたねそういえばね。
そうそうその時にも引っかかった。
15:01
今回も普通の買い物なんですけど引っかかったんで。
これクレジットカードのブランドとかにも呼んだかもしんないですけどね厳しいところとか。
まあまあそれはね。
それはわからないですけどちょっと夜中にされた時のロック率高いんですよね。
わかったあれじゃないの?
今の転売で思いついたけどさ、毎回その引っかかるとなんか高級なスニーカーとか買ってんじゃないの?
違う違う違う違う。
絶対それだよそれも全部転売で引っかかってんだよ。
こいつまた転売屋だなんて。
僕転売屋と思われてるってこと?
可能性ありですね。
本来この収録終わったら24時間のサポートデスク電話して僕転売屋っていうより購買屋なんですけどって。
言おうかな。
それさ、こいつあまりにも高品度で高いスニーカーばっか買って絶対転売だって思われてんだよ。
違う違う違う。
転売すんねえと高いの買うとあかんから。
いやいや、もっと高く売れば全然オッケーじゃん。
まだ上がるかもみたいな値段がスネアスニーカーで。
まあわかんないけどさ、そういう転売目的の人と購買パターンが似てるんじゃないの?
可能性ありそうですね。
そうなのかな。そんなに僕人に売るほど物凍てないけどな。そんなに。
まあまあわかんないけど。でも理由を教えてくれないので困るよね。セキュリティ目的とはいえさ。
確かに毎回引っかかっちゃいますからね。
本人にも通知がないってのは困るよな。
よくないと是正の策が取れないじゃないですか。
いちいちロックされてたらもう不便でしゃあないでしょ。
そうだよね。一応夜中でなければ大丈夫みたいなそういう感じなわけ。
そうそう。それで一回そこの電話して本人確認とかするじゃないですか。
それでこれじゃあ大丈夫なんで、もう一回買ってみてくださいって言ってやったら買えました。
それは昼間にやりましたけど。夜にやってね。向こう別に人が見てやってるわけじゃないでしょ。
そうだね。
同じような感じでやったらまた引っかかっても嫌やからと思って今夜中止めて昼にやったら通りました普通に。
そうなんだ。
理由言ってくれへん。なんか気をつけ方教えてくれへんの困るよなマジで。
ですね。そうやって時間帯気をつけるとか思いつくことやってみるしかないもんね。
そうそうそうそう。基本的にやっぱりセキュリティ上理由でお答えできませんっていうのは僕は嫌いなんですよ多分。
あんまり言うとそろそろ悪いことばっかり言うてまいそうやからやめとこうわ。
暴言ばっかり言いそうやろくなもんじゃないですよ本当に。
いやーあれですね。しかし話変わりますけど。タイトルの件。
前回の?
えーなんかねー。
ミスったやつ?
なんかツッコミあった?
ミスって変言ってんねん今回は。今回はミスって変のよ。あのーめちゃめちゃ反応ありましたね。
あ、そう。へー。
間違えてる?みたいなのがあったりとか。
あとはあのーいやこれは今回はさすがに前回のことを踏まえて間違うわけないからわざとやって言ってる人がいたりとか。
18:00
あとはあのーあのーご丁寧にねあの心配してDM送ってきてくれたりとか。
へー優しい。
タイトルこれ大丈夫ですかみたいな。
忘れてますよみたいな。
ただ今回はわざとなのよ。
前回はね俺があのーDMしたけどね。忘れてるぜみたいな。
そうそうそう。あれはほんまに忘れてたんだけど。
いや今回は俺も学習してあ、これはわざとだなと思って言わなかったんだけどさ。
そうそうそう。そうなんですよね。いやいやちょっと皆さん本当に反応いただいて。
いやいいね嬉しいねでもね。
ありがたい。じゃあちゃんと見てくれてるってことですよね。
見ていただいてるんですね本当に。
えもうついさんからしたらあれでしょ。思った通りの反応でしめしめでしょ。
いやいやいやいや。ありがたいなーって思って。
狙い通りでしょ。
Aさん通りにやってるやつですよ。
そうそうそう。にやりだよね。
これでタイトル1回分浮いたぞみたいな。
そんなタイトル考えるのに時間かけてるわけちゃいますけどね。なんとなくでつけてますけどね。
はい。ということでお便りが来ておりまして。
お願いします。
タイトルに関するお便りもいただいてますけれども。
これもご心配いただいているようで。
もうネタも尽きたと思うので付け忘れた時のタイトルを考えてみました。
タイトル候補を挙げてくれるってのは初めてですよね。
内容も決まってないのにタイトルだけ挙げてきてくれるっていうパターンがありまして。
優しいなー。
内容決まらずにタイトル決まるのもおもろいですね。
5つほどありましてですね。
名前はまだないスペシャル。
名もなき詩。詩って書いてですね。銀雄詩人の詩ですね。
名もなき詩スペシャル。
言葉にできないスペシャル。
名前のない脅威スペシャル。
あの日見たマルウィエの名前を僕たちはまだ知らないスペシャル。
なんか具体的になってんなこれ。最後のやつ。
徐々にね。
なんかちょっとパクリっぽいのがあるな。
まあほぼほぼそうですよね。
名前はまだないって。
これもう完全にあの猫の話ですもんね。
そうだね。
あの猫。一番有名な猫の話ですよね。
名もなき詩ミスチルだよな。
そうですね。ミスチル。
言葉にできないは小田和正さんオフコース。
すごいですね。みんな元ネタありですね。
全部元ネタありだね。
あの日見たはもう完全にこれのタイトルのアニメありますからね。
いやーでもなんかいいね。なかなかセンスあるね。
確かにね。なんかパロディー系のタイトルってあんまつけたことないかもしれないですね。
いいかも。
パロディーというか名もなき詩はパロディーじゃないけどなこれ。
そのままだけどね。
こういうのもありがたいですね。
もしこれに合いそうなものがあった時とかには使うかもしれないですね。
楽しいね。
あとは前回のネギスさんのディードスの話をした時のことに関するお便りでして、
僕がたまたま口をついて傘に例えたじゃないですか。
あーあれちょっと面白かったよね。上手い例えだったね。
なんかねあれが結構例えとしてしっくりきたみたいな。
大きさや強度、携帯性または常に持つか出先で調達するかなどの組織のポリシーとか、
資産の重要性やリスクの大きさなどにより判断が違うなど面白い比喩だと思いましたという。
21:03
これはもう使ってくださいみんな。
一応辻さんからって言っていただければ。
でないと俺が先って言いに行くんでですね。
でもさ、前からカンゴさん結構天気予報のアナロジーで喋ってなかったっけ。
そうですね。
その意味ではカンゴさんが俺が先って言ってもいいんじゃないの?
そうですね。
脆弱性とかそういう対応しないといけないやつを天気予報でみたいなんでやれたらいいのにねって一時期よくおっしゃってましたよね。
天気予報ぐらいの精度で予測したいよねみたいな。
まあそうですねそう考えたらまあ内容は違うとはいえ僕はそうですねアシュですね。
じゃあ俺がアシュっていうことでしておきます。
アシュが登場するんだ。
でですねあとですねこれもねこれね石さん案件っていうんですかねあのいつの間にかダックダックゴーのWindows版のベータが出てますっていうお知らせを。
全然僕ノータッチでしたけどそうなんですね。
特に紹介しなかったけどそうそうあれMac版が先に出たんだけどiOS版とMac版が先行ってWindows版はちょっと遅れて出たけど今ベータ版で公開されてるね。
確かに僕その時なんかそれこそさっきの話ちゃいますけどタイトルでMacMacGoって言ってた気がするわ。
確かにWindows版はてかMac版もiOS版もそうだけど基本的にあれあのブラウザのエンジンはそのOSの標準だとそのまま使ってるんで。
Windows版もね確かエッジと同じレンダリングエンジンをそのまま確かそのまま使えば。
側だけ作ってるような確かそんなイメージだった気がする。
ただそれにそのプライバシー重視の機能を付け加えてみたいなところはまあ基本的なMacとかiOS版と同じだね。
ただあの裏で動いてるエンジンはOS固有のものを使ってるっていうところがちょっと違うんで。
だからその意味で細かい動きが少し違う可能性があるよね。
そっかじゃあなんかブラウザの方とかの機能の中身に脆弱性が出たらWindows版だけとかMac版だけとかで脆弱性が出るってことか。
それぞれの固有のブラウザのエンジンに依存するという感じだね。
そこはだからあのDuckDuckGoカーとしてはそこは面倒見ないっていうことなんじゃないのかな。
ああそうかそうかそうかそうか。あくまで自分たちが作ってる部分だけってことですね。
だと思うけどね。
最後のお便りなんですけれどもこの方お忙しかったんですかね。
あの3月ぐらいからポッドキャストが聞けてなかったのを6月ぐらいから再開してようやく最新の回まで追いついた。
あれ溜めちゃうと一気に聞くのは結構難しいよね。
そうそうそれをね同じようなこと書いてましてですね。
一度聞く習慣が途切れると復活させるのが難しい。追いつくのにも時間がかかるから大変だということで。
24:00
確かに。
これどうなんですかね。途切れてしまった場合っていうのはなんか新しいのから聞く方がいいのかもしれないですね。
ああ遡っていくってことね。
たまにね前も紹介したけどみたいなこと言っちゃう時もあるんでその時はちょっとポカンとしちゃうかもしれないですけど。
ちょっと旬の話とかで考えたら新しい方から聞く方がいいのかもしれないですね。
あとまあ基本的に毎週毎週その別に連続性はないので1回ずつが完結してるからさ。
特に間空いても気にせず最新のからまた聞き始めてもらえば。
そうですね。
むしろその間が空いちゃったからちょっと聞くの遅くなっちゃったなって思われる方が残念だからね。
確かに確かにそうですね。
なんかもう最新版だけ聞けばいいんじゃないですかね。
なんかこうちょっと余裕ある時に過去のやつ聞いてなかったなぁみたいなのを流れで聞いてもらうっていうのもええんちゃうかなって思いますけどね。
結構なんかこう前も言ったかもしれないですけど過去の回とかたまに聞くんですよ。
なんとなくこの回みたいなので聞いたりするんですよ。
そうするとなんかねその時に思えへんかった発見とかね。
なんか言うてたよね。
そうそう。その時考えてたことと今考えてたことってテーマが違ったりする時もあるじゃないですか。
自分の中で関心ごとみたいなね。
でその時は結構なんかそうなんやーぐらいの感じで理解して終わってたんですけどちょっと最近そのことにたまたま関心があって
これ今度今思ったことをセミナーで自分の思ってることとして話そうかなみたいなものが考えるためのヒントになったりするものが出てくるんで。
そういう聞き方もいいんじゃないかなって。
そうじて有益なポッドキャストということで。
どこから食べてもあんこに当たるみたいな感じというか。
どういうことよ。
分からへんけどね。だんだん言うててよく分からなくなってきたけど。
そんな感じなんでそうですね最新のやつ聞きつつ飛ばしてもいいんじゃないかぐらいの軽い気持ちで聞いていただけるのが一番いいんじゃないかなというふうに思いますね。
ありがたいですね。
はいじゃあということでセキュリティの話をしていこうかな思ってるんですけども。
今日はそうですね。今日看護さんからいきましょうか。
はい私から行かせていただきたいんですが。
今日はですね。
これも毎年恒例になってきたような気がするんですが。
時期がいつも微妙なんですけどずれずれてるとかいつもこの時期って感じじゃないんですが。
Googleが毎年ゼロでとなって悪用されている自弱性の状況について分析をされてその内容についてブログで公開をされてるんですね。
振り返りみたいなね。
そうですね。
今年でそういった分析は4回目。
2019年からやってるので4回目ということで。
ポッドキャストでもこれ第131回の続けることよりも止めないことの大切さスペシャルで。
いいこと言ってるななんかタイトル。
タイトルだけ聞いても中身がわかんないんだけど。
中身全然わかんない。
27:00
この中で去年のね。去年というか2021年かな。
その時のものっていうのをご紹介してるんですけど。
そういう新しいやつというか2022年の内容が公開されたということでご紹介したいんですが。
まずGoogleが把握をしているゼロで脆弱性という形で悪用されたものっていうのは2022年は41件確認されたというところで。
これ多いのか少ないのかっていう話でまず見ていくと。
2021年は一番これが多くて69件だったんですが。
それについで2番目ということなので。
数だけ見たらまあまあ多いというふうに見え見えなくはないのかなという感じではありますね。
その41件の中身についていろいろ分析はされてるんですけど。
GoogleがこれGoogleが言うのはなかなか面白いなと思ったんですけど。
Androidのゼロでとして悪用されていた脆弱性についてまず言及されていて。
Androidってエコシステムっていうんですかね。
全体のその仕組みという形で見ていくと。
Androidという形にOSに脆弱性の修正が適用されるまでのタイミングって結構マチマチだったりしていて。
今回このゼロでという形で取り上げられていた脆弱性のでとして。
ARMのメールGPUの脆弱性っていうのがあって。
これCVE-202238181っていうものが割り当てられてるんですけど。
これについて一つ例として取り上げられていたんですが。
要は発見をされて修正というか脆弱性があって対応しましたっていうのが実質出ているんだけども。
それがAndroid側に適用されるまでに時間を要したっていう形で。
これゼロでっていうかいわゆるNでっていうんですかね。
すでに公開はされていて修正までの期間に若干のラグがあることが生じたことで。
その期間実質ゼロでみたいな形で狙われてというか悪用されてしまったというケースでして。
今ご紹介した脆弱性で言うとこれはAndroidのセキュリティチームに発見者の方が22年の7月に報告をされたんですけど。
ARMの脆弱性だったのでAndroidのセキュリティチームは当時としてはARMに起因するものなので直接は修正されないという形で判断されて。
ARM側にその情報を共有されたと。
ARM側は最終的にそれを脆弱性という形で対応されて10月に修正はされて。
残念ながらその直後というか11月にin the wildという形でexploitが登場したと。
30:05
ただ修正されたARMの脆弱性のフィックスっていうのがAndroidのセキュリティ情報というかパッチレベルに反映されるタイミングが残念ながら23年の4月だったと。
ということで、これ非常に難しいなっていうところではあるんですけど、修正されたんだけどもそれがAndroid側に取り込まれるまでの期間に実際悪用されてしまったという形があって。
今後やっぱり増えていくというか、すでにいろいろあるんでしょうけども、これ一町一席ですぐ解決できないような問題ではあって。
もっというところでユーザー側はもういかんともしようがないっていうか。
待つしかないですもん。
待つしかないんですよね。
もっと言うとAndroidのセキュリティが実際に自分が使っているスマートフォンに落ちてくるタイミングっていうのも、
これもさらにスマートフォンの開発をしているメーカーによってもやっぱりタイミング、若干ズレがあったりとかっていうのもあって。
なかなかこれって難しい問題かなというのと、
あとこれ記事中でも言及があったんですけど、これ何をもってND、0Dっていうかっていうのが結構議論の余地があるなというのがあって。
今回は例としてARMの話を取り上げられてるんですけども、他にもLinux kernelの脆弱性の話とかがあって、
特にCVEとかの割り当てがされてない状態において、修正はされていたんだけども、実際の反映までにラグがあったことでその間に悪用されたものって、
それって0DなのかNDなのかっていうのがなかなか判断が難しいというか、そういったところが議論があるねみたいなのがこの記事中でも言及があったんですけども、
こういったちょっとAndroid周りっていうのは結構難しいなっていうのは、またこれ改めて見ると思ったところではあります。
これ当然悪用されてるんだなっていうのは改めて感じたところではあるんですが、一方でブラウザ側がどうかっていうところについては、
0Dとして検出された数っていうのは26件から15件に、2021年26件から15件に減少したということで、
これいろいろ考察はされてるんですけども、やっぱりブラウザ側の作りっていうんですかね、それがしっかりしてきているというところと、
当然ブラウザ側で脆弱性をついて何かしようとした場合は、ユーザーに何らかの操作っていうんですかね、ワンクリックさせるというアクションがどうしても必要になるというところがあってですね、
これ攻撃者視点で見ると何もクリックもさせずに攻撃をしたいと、要はゼロクリックという形で攻撃をしたいという形でやっぱり考えるということがあって、
33:09
やっぱりそういったところからブラウザ側でのゼロで検出の数っていうのがこういった形で影響というか、数の変化っていうのが出てきているのかなというところがあってですね、
なのでブラウザの脆弱性というよりかは、やっぱりブラウザ以外の他のコンポーネントっていうのが、ゼロクリックっていうのを何もアクションをユーザーに起こさせずに攻撃を成功させるということを目指す、
そういったことを考えていく趣旨であれば、ブラウザ以外のデバイスのコンポーネントっていうのを標的にするような、そういった傾向っていうのがやっぱりあるんではないかというところですね。
特にゼロクリックの脆弱性っていうのが何がいやらしいかというと、これはやっぱりユーザー側が当然気づきにくいというところがあるので、攻撃の全体像がわからんと。
見に覚えがないうちにやられてるみたいなね。
加えてさっきブラウザ以外のコンポーネントって話したんですけど、言葉だけでは簡単に一言で済むんですけど、非常に多くの複数のコンポーネントっていうのがOSデバイス上にあるわけで、
開発をしているベンダー自身も外部とのアクセスを行っているコンポーネントを100%完全に認識しているかっていう点については、これも正直不透明なところがあるというところがあってですね。
この辺はブラウザからもしかしたらちょっと別のところにっていうのが今後シフトしていく可能性っていうのは、これは私が読んでいて感想として思ったところであるんですけど、そういったところがあるのかなというところですかね。
さっき全然関係ない話題でASHって話題あったんですけど、ゼロでもASHの傾向があってですね、41件さっきあるって話したんですけど、そのうち17件は過去に発見、悪用されていた脆弱性をバリアントというか、使い方あるいはターゲットなどを変えるという形で利用しているケースがあるというところで、
これはさっきのベンダーが全てを把握していないというところにもつながるところはあると思うんですけど、脆弱性ありますよという形で指摘を受けて修正をするというケースにおいても、あるあるのケースとしては指摘をされたケースだけを閉じているということで、他の包括的って表現されているんですけど、
モーラ的に修正を行われていないっていうのは、これは往々にしてあるというところで、そこに攻撃者が目を向けているというところがあって。
36:02
モグラ叩き感あるって感じですかね。
そうなんですよね。出たら叩いて、出たら叩いて。モグラ叩きのそれそのものをなくすんじゃなくて、出たモグラを叩いてるみたいな。
多分そういう傾向が残念ながらあるというところであって、それって別にベンダーに限らず発見研究をしているリサーチャーというか研究者側でもやっぱりそういった傾向にあるので、
なのでやっぱりちょっとどうしてもモグラ叩きの傾向っていうのがどうしてもあるのかなというところがあって、こんな感じで、他にもいくつか書かれてはいるんですけども、ゼロでの状況などがまとめられているんですけど、
これあの私ふと振り返ると、去年はそうでもなかったのかなとか思いつつ、ただ今年ってなんか割とブラウザーのゼロで脆弱性ってさっきも言った通り見かける機会って減ったんですけど、
ゼロでの脆弱性が供与されているみたいな話題自体は割と今年入ってから目にする機会多いなとか思いながら、
非常にありがたいことにGoogleが確認している範囲においてゼロでと認識したものはスプレッドシートに記載されていて、
2023年版もすでにスプレッドシート上にどんどん追記されているんですけど、私さっき見たら、
31件かな、2023年のものが、31件すでに乗っかっていてですね、あごめん30件か、30件乗っかっていて、
もうちょっともう8月入りそうなんで半年は経ってはいるんですけど、これがちょっといい感じに21年を山にして減ってくれるかっていうと、
そういう感じにはならないんじゃないかなっていうのは、なんとなく数だけ見た状況からは見えているかなというところですかね。
この辺は見ていてなかなか気づきがあるというところであるんですけど、これ最後に結構いいことというかそうだよなっていうのも書かれていて、
この辺のやっぱり分析を確実にしっかりやっていくには、もちろんこういった詳細の分析をする必要はあるんだけども、それの情報というところをしっかり共有していく必要があるっていうのも書かれていて、
やっぱりこの辺はちょっと特にゼロでの脆弱性とかってなると、発見というか対応している側もなかなか、
そもそも機会が少ないですし、実際に遭遇したらそれをしっかり報告できるだけの技術力があるかっていうと、そこは全員に求められるところでもないのかなというところである、
一方でやっぱり情報がしっかり出てこないとこの辺の傾向分析っていうのもやっぱりできないので、情報をしっかり出して共有していくっていうのもやっぱり大事だなっていうのも、
最後、Googleが記事として書かれていた中で共感したところではありました。
このPatchがかなりの期間提供されないケースがまあまああったぞっていうお話が最初の方にありましたけど、この期間を埋めていこうみたいな動きはこうしていこうみたいなことが書かれていたりとかしたんですか?
39:07
うーん、迅速に提供する必要がありますねぐらいな感じでしか書かれたくて、当然書いたことをやるのは難しいよねとは書いてはあるんですけど、ただやっぱりそこを問題だよねっていう形で認識して対応していかないといけないですし、これって多分Googleだけが言っても解決しない問題なので、
そうですね、いろんな関係しているところ、コンポーネントを作っているところとかっていう多岐に渡るというか、その辺のアライアンスじゃないですけど、そういったところの強化が必要なのかななんて聞いててちょっと思ったんですけど、ただそういうのもありつつ、なんかこのエクスプロイトコードも出ててっていう話もあって、僕も実際に目にすることよくありますけど、
アンドロイドの脆弱性使われてやられましたみたいな事例って国内であんま聞かなくないですか? そうなんですよね、あんまり日本国内だとね、アンドロイドの脆弱性で何か広く例えば被害が及んでいるとか、あるいはそのまた逆で例えばAPTが利用したとか、あんまり目にする機会がなくて、どっちかというと権威主義じゃないですけども、そういった国が監視したいとかそういった形でスパイウェア的な形で使われる標的になるような、
まあそれはよくね、IOSでもありますもんね、それはね。 そういった国だとやっぱりこういった話題って非常に短いなったりするんかなとかっていうのは、日本もね、決してそういったところに遭遇する事例ってゼロではないと思うんですけども、
あんまりこう、裾野が広がって降りてくる話っていう感じのものではないかなっていう印象が僕もあったんで、看護さんとかどう思ってるのかなって聞いてみただけなんですけどね。 これさ、さっきその、NDayなんだけど実質ゼロDayっていう話があったけど、僕はのゼロDayの話を聞く時に、去年ぐらいから増えてるっていうのもあるけど、
逆のケースが、一般の組織の人は気にすべきかなと思ってて、逆ってのはどういうことかというと、ゼロDayなんだけど、実質NDayっていうか、ゼロDayの検出が増えている理由はいろいろあってさ、いい面悪い面いろいろあるんだけど、
でもその多くのゼロDayがそのごく一部の標的型攻撃とかで観測されてっていうのは相変わらずそんなに変わってないと思うのね。 ゼロDayが貴重っていうのは以前よりもさらに貴重になっているから、なんでその広くいきなりゼロDayの攻撃に世界中の組織がいきなり直面するっていうことはまあ起こりにくいわけじゃない。
そう考えると、実質僕らにとってはゼロDayはあんまり身近な脅威というわけではなくて、むしろそのごく一部のところがゼロDayで攻撃されて、その情報がベンダーに渡ってパッチが出ました、ここからが勝負だと思うのね、おそらく。
ゼロDayだったものが僕たちのところに来るってことですよね。
そうそう、そっちの方が実は僕は大事かなと思ってて、ゼロDayの中にはすごく攻撃が難しいものもあって、全然エクスプロイトが出回らないものもあるんだけど、中にはすごく簡単に攻撃ができちゃって、セキュリティベンダーがそのエクスプロイトの再現にすぐ成功しちゃったりとか、
42:21
場合によったらPOCとかエクスプロイトのコードとかが出回っちゃって、広く攻撃が観測される第2波っていうのがある場合があるんだよね。
そこが多分我々にとっては一番の課題で、僕はちょっと気になっているのは最近の傾向っていうか、ちょっとちゃんと統計的に調べたわけじゃないんだけど印象として、
NDayになってそのパッチが出て広く知られたところから、実際にその広い範囲で攻撃が来るっていうヤバい状況になるまでの時間が短くなってる気がするんだよね。
それは0Dayだけじゃないかもしれない。普通のいわゆるNDayの場合も同じことが言えるかもしれないんだけど、
だから0Day、0Dayっていうパッチがない状態で攻撃が来ますよっていう本当の意味での脅威よりも、むしろ他のNDayと同じように情報が解禁されてからの対応の方が実は大事なんじゃないかなと思ったりしてるんだよね。
そこがちゃんとしてないと、0Dayって別に自分たちにはあんまり関係ないんでしょってちょっと思ってしまいがちなので。
国家の人とかしか狙われへんのちゃうかという印象を持つ方もいますからね。
以前は確かにそうだったかもしれないんだけど、今の0Dayってそうじゃない気がしてて、実際に0Dayで攻撃されるタイミングは確かに限られてるかもしれないけど、
その後公開されてからのその第2波が、そっちが実は山場で、そっちは結構ヤバいよっていうのをもうちょっと言ってった方がいいかなっていう気がしてるんだよね。
時間経過とともに影響範囲広くなりますっていうことですね。
実際、今年に入ってからの0Dayとかでもそういう事例ないわけじゃないと思うんで、そういうのは少し気になってるんだよね。
そういうのを自分ごとのようにっていうかね、そういうふうに思ってもらえるといいんじゃないかなと。
確かにね、0Dayが出てる時に広くくる可能性が低いっていうのは僕もそう思うんですけど、
僕結構お仕事でアドバイスしたりすることとかもありますけど、その0Dayでこういう僕のお客様に使っているようなものとか、
使ってるかもしれへんものみたいな情報を提供したりするんですよね。
その時にはもう0Dayの情報とかも提供してるんですけど、これはもう準備期間だと思ってくださいっていう風に言ってます。
対処法が出た時にはすぐにできるようにとか、
ログがちゃんと取れるようになってるかどうかみたいな、そういう備えの期間っていうふうに考えるしかないですねみたいなことはよく言ってますね。
45:05
脆弱性の情報を把握したりとか、緩和策あんのかみたいなとか、その判断するための準備期間みたいな感じでよく言ったりはしてますけどね。
いやーでもなんかAndroidの、Androidユーザーとしてはね結構気にしてすぐ僕はアップデートするんですけど、
0Day、0Dayって言われていつもどうしていいんかなっていう、もう使うのやめようかなと思って。
まあそうなんですよね、ユーザーが取れる選択肢それになっちゃうんで。
なんかね、別に僕はiPhoneユーザーだから言うわけじゃないけどさ、
そのセキュリティの機能的にはもう多分ほぼ今遜色ないと思うんだよね。
AndroidもiOSも。
ただやっぱこうビジネスモデルの違いでそのパッチ的に言うまでのスピードはもう圧倒的にiOSが速いんで。
そうですね。
やっぱりその点だけでもやっぱちょっとiOSがセキュリティ面では有利と言わざるを得ないかなっていう。
まあ自分ところで全部見てますっていうのがやっぱ強み。
そうそう、ちょっと垂直統合とね、水平分岐のやっぱりビジネスモデルの違いがもう本当に一番現れてるんだよね。
ですよね。
これはもうちょっとね、ビジネスモデル変える、今更変えるわけにいかないから、
ちょっとこれはね簡単にはどうにもなんないよね。
そうですよね、どんだけ抗うかみたいな話ですよね、これも多分ね。
iOSとAndroid両方使ってますけど、やっぱりそのOSのアップデートみたいなの見てても、
Appleの方がスピード感っていうだけでなくて頻度もやっぱ多いですよね。
そうそう、リリースの頻度もそうだし、
あと適用されているそのバージョンのその普及率も圧倒的にiOSの方が最新版の普及率が速いんで。
そうなんや。
みんなどんどん勝手に自動で上がっちゃってるのもね。
そうですよね、寝て起きたら上がってるみたいな。
そうそう、知らずにどんどん更新していくっていう。
まあ一般のユーザーには理想的なモデルになってるんで。
本当はAndroidもGoogle純正とかあったらそれぐらいになってるんだけど、
やっぱちょっとあまりでも複雑になっちゃってて難しいよね。
全部のモデルにそれが行き渡らないっていうのはなかなか厄介だよね。
限界感はあるかなって気がしますよね。
そういうのを知った上で使う必要はあるよね。
確かに確かに。
ありがとうございます。
はい。
じゃあ次は僕行きましょうかね。
お願いします。
今日僕が紹介するのはこのポッドキャストでも、先の看護さんではないですけども、
たびたび紹介しているコーブウェアの、辻さん大好きコーブウェアのですね。
恒例ですねもうね。
2023年今年の第二四半期のランサムに関するレポートが出ていたので、
ブログでいつも公開されるんですけど、
それのちょっと紹介をしようかなと思ってます。
大体概要というかですね、ざっくり見てみると、
第二四半期に関しては被害者が攻撃を受けた人たちですね、ランサムの。
ミノシロキンを支払った割合っていうのはですね、
たまにちょっと増えたりちょっと減ったりみたいな感じで推移してるんですけど、
長い目で見ると基本的に右肩下がりになってきてるんですよね。
48:02
それが過去最低の34%に減少しましたという。
これは良い傾向だよね。
朗報ですかね。
ほら他のいろんなレポートとかあるけどさ、
いまだにその半分ぐらい払ってるみたいなレポートもちらほらあったりとかして、
多分業種だったり国だったりいろんな違いによって、
多分それはだいぶ変わると思うんだけども。
そうですね。観測してる、今ネギさんがおっしゃったような国とか業種っていうのもあると思うんですけど、
多分感染したランサムの種類にもよるかなと思いますね。
こういうそのある特定のベンダーが継続して調べていて、
その減少傾向があるってことは全体的に下がってることはおそらく間違いない。
増えてはないっていうことですよね。
それは良いことだよね。
過去34%に減少ということなんですが、
理由としてはいろいろ考えられるのかなっていうふうな部分で、
これも何かここで喋りましたかね、保険業界の動きとかもあるんじゃないかなと。
なるほど。
セキュリティちゃんとしてないと、
例えばバックアップしっかりとってEDRも入れてへんところには保険料上げます。
最悪の場合更新もさせませんみたいな動きがアメリカの方では強く出てるっていう話がありますけども、
そういったものにあって底を上げされて、
払わなくても自分たちで解決できるようなところが増えてきているとか。
あとこれは国がやることですけど、
アメリカとかだったら一部の制裁対象に入れたりとかして、
みのしろ金をそもそも払えないっていう場合がありますよね。
ありますね。
そういったものであるとか、
そういった被害にはあってこなかったけれども、
ランサムってどこの国でも結構大きなキーワードとして、
ここ数年扱われているかなってことがあるんで、
あと攻撃手口とかも、
どっから入ってきてこんなことしますってみたいなことっていうのは、
いろいろ周知されてるんで、
いろんな組織の対応能力っていうのはちょっと向上してきてる部分も、
ちょっとは昔よりかはあるんじゃないかなとか。
ありそうだよね、それはね。
あとはみのしろ金を支払うことに対する共通認識みたいなものが深まってきてるのかもなという、
払ったところで、
例えば情報を盗まれてその情報の公開をやめてもらうことに払うのって、
あんまり意味ないよねみたいな、やめた方がいいよねみたいなもののことを、
共通認識が深まってきて払わないっていうのもあるのかなとかね。
とは言いながらこの間、
ハワイの学校がノーエスケープにお金払っちゃいましたみたいなニュース出てましたけれども、
あったね。
ありましたね。
そういったものも深まってきてる部分も一部ではあるんじゃないかなっていう、
複合的な要素でこうなっているような気がするなというふうに僕は思ってますね。
実際のみのしろ金支払額の平均と中央値とか組織の規模っていうのは、
いつもこれ毎回このレポートには含めてくれてるんですけれども、
平均支払額っていうのは前のクォーターと比較すると126%になったと。
126%増でしょ。
2倍以上になったんだよね。
ちょっと増えすぎてない?これ。
そうなんですよね。
74万ドルっていう風な、プラス126ですからね。
ちょっとここ最近では急激すぎる増加だよね、これはね。
51:01
そうそうそうそう。
で、一方中央値の方を見てみると20%の上昇を見せてるという風なことなんで、
これは2クォーター前の数字とあんまり変わらないっていう、
前のクォーターよりかは増えてるけども、
2つ前のクォーターと同じぐらいに戻ってるっていうぐらいの数字になってるんですよね。
組織規模の中央値っていうのは、
2020年のQ2ぐらいだと100人程度からずっと上がってきてるんですよ。
ちょっとずつちょっとずつ上がってきてるんですけど、
今はですね、400人と過去最大の従業員規模ですかね。
の中央値になってる。
ただ、言っても400なんで、
まだまだ中小規模っていうところなのかなってところですね。
全体の人数で見ると1000人以下の組織っていうのはやっぱり65%を占めているので、
まだまだそのあたりがボリュームゾーンとして狙われてるのかなっていう風な印象はありましたね。
これさ、あれだよね、ちょっと遮っちゃうけどさ。
どうぞどうぞ。
組織のサイズ的に中央値が上がってる。
ちょっと上がってるというか、
少し前から少し増加傾向にあるっていうのと、
あと、さっきのミノシロキの支払金額も平均が大きく上がってるけど、
中央値はそうでもないっていうのは、
この間の、なんだっけ、別のところのレポートで僕が話した内容と、
チェーンアリシス。
そうそうそう。
あれとやっぱり傾向が一致してるよね。
確かに確かに、そうですね。
おそらくだけど一部のところが大きく払っているので、
平均額を大きく押し上げちゃってるけど、
中央値はそうでもないっていう。
そうそうそうそう。
そうですね。ここはいつも平均がガッと上に上がったとしても、
それに移られて中央値も上がるんですけど、
同じくらいの幅では上がらないじゃないですか。
やっぱり1個、いわゆるビッグゲームハントみたいなやつで
ガッと押し上げてるっていうのがあるんで、
これは平均だけ見るとあんまり良くないかなっていう数字かなって気はします。
しかも最初の話で、ミノシロキの支払いの率自体は下がって過去最低になってるはずなのに、
金額は減ってないっていうのはちょっと良くないというか、
そうですね。
他の前に話したところのレポートとちょっと傾向が一致するような気がするよね。
そうですね。みんなが同じくらいの金額をいっぱいで払ってるっていうものではないってことですよね。
だよね。
払ってないのもいっぱいあるし、ちょっとしか払ってないのもあるし、
でかいの払ってガッと上がってるっていうのもあるっていう見方が正しいのかな、
なんていう風に思ったりもしますね。
で、このブログね、いつも前になかったことを毎回ちょっと入れてくるんですよ。
なんか謎の分析みたいな、なんとか曲線みたいな。
あれ結構好きなんですよ。なんか味わい深いなこれっていつも思ってて、
知らん言葉いっぱい出てくるから勉強にもなるんですけど、
今回もですね、よくわからないグラフでよくわからない分析がされてまして、
54:00
サイバーエクストーションオポチュニティコストカーブっていう名前をつけてるんですけど、
サイバー強化つ機械費用曲線、訳せばいいのかな。
日本語で訳すとよくわかんないね。
わかんないんですよ。
機械費用って機械損失と似てるじゃないですか、言葉。
調べてみたら、機械損失っていうのはある行為を実行できなかったとか、
実行し損ねたことで生じる架空の損失のことを言うんですって。
機械費用って知ってます?初めて聞いたんですけど、僕。
そういう言葉もともとあるよ。
ほんまですか。僕も調べて知ったんですけど、あることをすると、
それのことによって他のことができなかったっていうのに生じるものみたいなのがあったんですけど、
この言葉の意味を理解しても、この曲線の意味、やっぱりあんまり理解できなかったんですよ、僕。
で、要は、頑張って読んでみたんですけども、
要はですね、5つの脅迫の種類を挙げて、被害者の経済的影響、
言い換えればそれは攻撃者がかけるコストにも言い換えられるんですけれども、
それと攻撃者の期待される利益の総額みたいなものをグラフにしてるんですよね。
この5つの脅迫の種類っていうのが挙げられたのが、ファントムっていうのが1つ。
これファントムってもしかしたらコーブウェア用語なのかもしれないんですけど、
ファントムインシデント詐欺みたいなものがあって、セクストーションとかいうふうなものとか、
あとはたまにメールアドレスも知ってて、どっかから漏れたパスワード使って、
これお前のパスワードやろみたいなものとか、
あとはちょっとした脅迫ディードスみたいな、本当はそんな能力ないんやけどちょっとやってくるみたいなものとか、
ネギさん前取り上げてくれはったりしたじゃないですか。
そういったものをこのファントムっていうふうなのに入れてるみたいなんですよ。
あと4つあるやつがデータベースを消すやつっていうふうなものとか、
あとはNASの脆弱性使ってよく暗号化するみたいなものとか、
ツイッターとか見てても暗号化されたみたいにおっしゃってる方いらっしゃったりしますけれども、
そういったものと、あとはデータの情報摂取のみでの脅迫というふうなものと、
最後が暗号化のランサム、エンクリプションランサムウェアっていうふうに書いてるんですけど、
この5つに分けて、この順番に結構かけるコストが大きくて、
得られる金額も多そうみたいなふうなものが紹介されてあったんですけど、
そこの中で僕が一番気になったのは、
データエクスフィルトレーションオンリーっていう情報摂取のみでの脅迫っていうのは、
最近ちょっと増えてきてるんじゃないかみたいな話をしたことありますけどね。
ビエンリエンとかも方向転換したぞとか、
あと有名なやつだとカラカートとかランサムハウスとかスナッチとかもこういうのに。
最近のクロップとかもだよね。
クロップもそうですよね。脆弱性使ってっていうのに、
たまに急に情報摂取だけに切り替えてきたりするケースもありますけれども、
こういったものっていうのは運用への直接的な影響っていう、
ファイルがアクセスできなくなったりとかサーバーがもう使い物ならんみたいな感じになることはないものの、
57:02
やっぱりブランドイメージが損なわれたり、
個人情報が含まれている場合とかだったら報告義務があったりみたいな、
するかなと思うんですけども、
これってKobe Airが言うには脅迫の成功率って3割程度なんですって。
暗号化を伴うものに関してはだいたい半分ぐらいっていうこれまでの数字があるんですけど、
3割程度とは低いと払う率ですね。
低いというふうに言ってますし、
クロップのさっきねぎされたクロップのムービットの脆弱性使ったやつっていうのは、
支払いしてる数ってのはわずかというふうにこのブログにも書いてあるんですけど、
支払いの金額っていうのがこれが押し上げてるっていうふうに書いてましたね。
さっき僕がちょっと紹介した平均支払い金額を数倍上回ってるケースがあるっていうふうに言ってて、
今回のこの一連のまだムービットのやつは継続中ですけども、リークに関しては。
これは7500万ドルから1億ドルぐらい稼ぐ可能性があるんじゃないかっていうふうに言ってましたね。
これも結構こういう事例が出てくるとこっちに蔵替えしたりとか、
あとは昔盗んだ情報を使って再脅迫、払えへん方とかに再脅迫するとか、
そういったことも出てくる可能性もあるんじゃないかな。
変化の兆しがこの結果によって変わってくるかなってことですね。
あとはあれですね、この曲線でも書いてある通り、情報盗むだけと暗号化するってことを考えたら、
情報盗むだけの方がかけるコストも少ないんで、数捌けるっていうのもありますから、
こっちに数値当たるで一発大きいの釣れたらみたいなことにもなる可能性もあるかなと思って。
ちょっと前は薄利多倍型なるんじゃないかななんて言ってたんですけど、
こういう動きもあるなっていう風にこれを読んで今回のレポートでも思いましたね。
なるほど。
最後に攻撃ベクター、ランサムウェアアタックベクターっていう攻撃の初期侵入の入り口、
初手と言えばいいんですかね。
これが今回もずっと今まで曲線を描きながら増えたり減ったりみたいなメールと、
リモートデスクトップが1位2位を繰り返してみたいなことが過去にもありましたけれども、
今回最も多かったのはメールが一番ですね。
ここのとこずっと2021年の第4クォーターか2022年の第1クォーターぐらいからずっとメールが上走ってるんですね。
それでそれに伴ってリモートデスクトップが減ってきててですね、2位になったりとかしてたんですが、
これも最近あんまほんまよろしくないなと思ったんですけど、
2020年の第3クォーターはこのリモートデスクトップを抑えて2位になったのは原因不明が30%ぐらいで、
リモートデスクトップが20%ぐらいかなっていうぐらいの差がついているぐらい、
ちょっとあんまよろしくない状況になっているかなというところですね。
これ1年ぐらい前からずっとこういう感じだよね。
そうですね1年ぐらいから上がって、ちょっと下がった時期もありましたけども、
結局ずっと2番をキープしている時期がありますね。
全体、このコーブウェアの調査している範囲に限るとはいえ、
1:00:02
全体の4分の1以上が原因不明っていうかアンノーンっていう、
ちょっとアンノーンの内訳がはっきりわかんないんだけどさ、
確証がないからアンノーンってなってるけど、ほぼこれだろうって思われるとかっていうのもあると思うんだけどさ。
時期的にとかね。
ただとはいえ、一応こういう機械の不明っていうのがこんなに多いっていうのはちょっとよろしくないよね。
そうそう。このレポートでずいぶん前からこういう傾向出てますけど、
これ割と一番脅威的やなっていう風に思ってるんですよね。
もうちょっとここなんか深掘りしてほしいな。
そうなんですよね。そろそろなぜアンノーンなのかとか、
ログが消されていたとか、そもそもこういう機器が入っていなかったとかっていうところは、
結構関心事なんですよね。ここね。ずっと上がってきたんだ。だいぶ数字が。
脆弱性とかは17%ぐらいかな。ここは結局脆弱性が出たか出えへんかったかみたいなところに影響を受けるんで、
あまり人の部分というよりはたまたま脆弱性が出たか出えへんかったかで変わるかな。
悪用しやすいものが出たかみたいな。
そうね。タイミングによるよね。
そうそう。あんまりここの数字はそんなには気にしてないんですけど、
アンノーンはちょっとこれはそろそろ深掘りしてほしいなっていうふうに思いましたね。
どうなんですかね。これはなぜ不明なのか、どういう不明なのかっていうのは結構気にはなるんですけど、
いろんな原因でアクターも増えて、いろんな攻撃経路もいっぱい出てきて、いろんな原因で発生するから、
それをトレースするすべがない組織ってまだまだ多いっていうことを表してるのかななんていう想像はしてたんですけど、どうなんですかね。
まあでもさ、比例するかどうかともかく、被害を受けたところの組織の規模は大きいところがあるからさ、
それに応じてセキュリティ対策もそれなりにはあるとすると、全然特定できないっていうのがちょっとどうなのかなっていう。
一方で昨年あった国内の事例とかでもあったけど、
その侵入経路になった機器をアップデートしちゃってログが全部消えちゃいました。
まあそういうので結局そのおそらくここだろうけど確定はできませんみたいなね、さっきちょっと言ったけど、
そういう事象がアンノウンに入っているのかもしれないよね。
あとその、いわゆるその正当なクレデンシャルを何らかの方法で持っていてとか、
例えばその全然わかんないけどインフォスティーダーか何かで実は盗まれていて、それが使われて入ったんだけど、
どっからそれが漏れたのかわかんないとかっていう例えばケースとかだと、
まあなんかそれももしかしたらアンノウンに入っちゃうのかもしれないなとか、
まあなんかねいろいろ考えられはするんだけどちょっとその、見えないですよね。
その要因をもうちょっとなんか分析しないとちょっとこれはやばいぞっていう気がする。
確かにそうですね、なんかその認証で入られたんやけど、
その認証をどうやってこいつは手に入れたのかわからんみたいなねケースはあるでしょうからね。
1:03:01
それは結局特定できてないと同じことだからね。
まあでもそれでもそれやったらでもなんかこう正面玄関から認証で入られたとかにしてほしいな。
そうね、でもほらそれもさその認証情報を内部から、内部の例えば協力で得たとか、
脆弱性を使って得たとか、あるいはフィッシングを使って得たとかによって多分変わってくるはずなんで、
それが分かんないと多分分類できないんじゃないのかな。
そうですね。
これだけ増えてきたらちょっとねこれ本当に分けてほしいですね。
内訳をね。
っていうふうに思いましたということで、結局あまり良い状況ではないんですけど、
身の白金に関してはちょっと減ってきてるぞという感じのことも書かれてあった。
ちょっと必ずしも良くなってきたなーって安心はできない状況ですね。
そうですね。とか言ってたらね、この間紹介したランサムのやつで払ったり、
さっきも言いましたが、ノーエスケープで払いましたっていうのがあったりとかもしてるんで。
はい、そんな感じでこれからも継続ウォッチ案件で頑張ってみていこうかなと思います。
はい、以上です。
はい。
じゃあ最後ネギスさんですね。よろしくお願いします。
はい。
贅沢性の話をしようと思うんですけど、
イバンティのエンドポイントマネージャーモバイルっていう、
これなんかEPMMって省略するらしいんだけど、
昔はこれモバイルアイアンコアって呼ばれてた製品で、
2年前か3年前くらいにこれ買収されて名前が変わったんだよね。
なのでちょっと古い名称で知ってる人いるかもしれないんだけど、
いわゆるそのモバイルのデバイスを管理するMDMって呼ばれる製品の、
マネージャー側の管理サーバーの方ですね。
に贅沢性が今週見つかってっていう話があるんだけど、
これ贅沢性実は2つあって、
1つは今週の月曜日に公開されたやつで、
CVE-2023-35078ってやつなんだけど、
これは何かっていうとそのMDMのそのマネージャーの製品に、
認証なしで特定のAPIのパスにアクセスをすることによって、
そこに登録されているそのユーザーの情報とかが取得できますというものと、
あともう一つそれに加えて、
こっちの方がより重要なんだけど、
その設定を書き換えて、
管理者権限をバイパスできると、
管理者のアカウントが作れたりとかっていうことができるらしいんで、
新たに?
そうそう新しくね。
バックドアアカウントできちゃうってことですね。
いわゆる認証バイパスの脆弱性と捉えれば良いかなというのが一つ。
もう一つがこれ昨日出たんだけども、
CVE-2023-35081ってやつで、
こっちはディレクトリトラバーサルの脆弱性を使って、
任意のファイルをアップロードして、
それを実行することができると。
だから例えばWebシェルなんかをアップロードして、
実行できますという使い勝手の良いものなんだけど、
ただしこっちはアドミンの権限が必要ですというものなんだが、
1:06:02
今言ったように一つ前の脆弱性がアドミンの権限が取れる脆弱性なので、
この二つの脆弱性を組み合わせて使うと、
認証なしに、
言ってみれば任意のコード実行ができちゃうという非常に危険なもので、
これはそのイバンティー曰く、
この情報公開時点でもうすでに悪用が確認されているので、
いわゆるゼロデイ脆弱性ですと。
ということなんだけど、
一応そのごくごく限られた一部の顧客でのみ、
この二つが同時に組み合わせて使われているのを確認していますと、
言っているので、
多分標的型で使われたんでしょうねということなんだけど、
もちろんこのベンダーは、
その顧客がどこかとかっていうわけでいかないんで、
言ってないんだけど、
ただ実は同じタイミングで今週の月曜日に、
ノルウェー政府が12個の省庁でサイバー攻撃がありました、
ということをプレスカンファレンスで発表していて、
その時には特定のサプライヤーのソフトウェアの未知の
脆弱性が使われましたと言っていて、
ゼロデイが利用されたってことだけしか言ってなかったんだけど、
その後イヴァンティーがアドバイザリーを公開したタイミングで、
実はこの脆弱性でしたっていうふうに後で情報を更新しているのね。
なので、
さっきのイヴァンティーのごく限られた顧客っていうのは、
おそらくノルウェー政府のことを指しているんでしょうと、
ということで、
知らないけどノルウェー政府は結構たくさんの省庁で、
このイヴァンティーのMDMの製品をどうも使っていたらしいと。
ということで、
ただ攻撃がなぜノルウェー政府の省庁に対して行われたのかっていう背景の情報だとか、
あと結局どのぐらいの影響があったのかっていうと、
詳細はまだあんまりわかっていなくて、
これからもしかしたら追加で情報が出るかもしれないんだけど、
そういう状況で、
いわゆる商談とかの公開されている検索エンジンとかで見てみると、
このEPMMってやつは全世界におよそ3000台くらい公開されてるんだけど、
だいたいアメリカとドイツが突出して多くて、
それ以外はヨーロッパの諸国が少しあるかなっていうぐらいで、
ノルウェーもあと日本も数十台くらいでそんなに多くはないんで、
なぜ特定のこのノルウェー政府の省庁っていうところがピンポイントでやられたのかどうかっていうのは、
ちょっとそこはわかってません。
そんなアメリカとかに行きそうなもんやのに、
ノルウェーってことは普段よく耳にする国じゃないかもしれないってことですよね。
そう、だから特定の何かしらの意図があって狙ったのかもしれないね。
という状況で、今のところこれくらいで、
まだちょっとこれは現在進行形の状況なので、
これ使ってる人はすぐにパッチを当てて対応した方が良いんだけど、
今サポートされている全バージョンが影響するらしいんで、
対応は必須だと思うんだけど、ちょっと気になる点がいくつかあって、
今日はその話もしたいんだけど、一つはね、
1:09:01
イバンティーのベンダーが月曜日にデータクセルの情報を公開したんだけど、
僕は直接自分では確認できなかったんだけど、
当初はどうもと有料のユーザー向けだけのフォーラムで情報を公開してたらしくて、
後になって一般公開に切り替えたらしいのね。
で、これがあらかじめ想定された動きだったのか、
あるいは結構リサーチャーとかが批判してたんで、
批判を受けて渋々一般公開に切り替えたのか、
ちょっとそこら辺の経緯はよくわかんないんだけど、
ただエゼンス要素最初は広く公開されてなかったんで、
これがちょっとどうなのかっていうふうに言われているところがあるのね。
パッチの公開とかは使っているユーザー向けだけでもいいかもしれないけど、
アドバイザル情報は広く注意喚起をしないと気づいてもらえないので、
ちょっとこの動きはどうだったのかな、予定通りだったのかもしれないけど、
どうだったのかなっていうのがあるというのが一つと、
あと今回ノルウェー政府がこの贅沢性で攻撃を受けたと言ってるんだけど、
政府の発表によると自分たちが最初の被害者ですと言っているんだけど、
果たしてそれが本当かっていうのも疑問を言っているリサーチャーの人がいて、
まあ証明できないですよね。
もっと前から実は攻撃はあったんじゃないかっていう、
そういう観測もあったんじゃないかって言ってる人がいるんで、
ちょっとたまたま最初に特定したのがノルウェー政府で、
ベンダーに報告したのが、もしかしたらここが最初だったのかもしれないんだけど、
もしかしたら攻撃自体はもっと前からあったのかもしれないっていう、
ちょっとそのあたりの経緯が今のところまだあんまりはっきりしてないので、
ひょっとしたらこれからセキュリティベンダーとかが調べて、
実は顧客で他のところでももっと前からやられてましたみたいなのが出てくる可能性はあるね。
ちょっとその辺がわかんない。
あとそれもあるけど、今回ノルウェー政府が気づいたとすると、
これどうやって切れたのかな?
