新コーナーの提案
今日は、相談がありまして。新コーナーをやろうかなというか、リスナーの方々を巻き込んだ新コーナー。タイトルも決めてまして。
マジか。相談しろよ。
新しいコーナーはですね、どっちか選べるんですけれども、リスナーの方が。VSネギシとVSカンゴっていうコーナーをやろうかなと思って。
これはネギシさんかカンゴさんを選んでいただいて、問題を出してもらうというやつ。基準としては、僕にDMで送っていただいて、問題と答えを書いておいていただきたいんですけれども。
お便りの一環みたいなものとして位置づけて、ステッカーの印刷コードも採用した人は差し上げたいなと思ってるんですけど、基準としては難しすぎず簡単すぎずで、ああそういうのあったよなみたいな昔の事件を取り上げた問題とかね。
いやそれ俺らのムチが育たされない大丈夫? そうですよ。それはだからそういうチャレンジするわけですよ。僕としてはネギシさんもカンゴさんも僕の知らんことをいっぱい知ってるイメージがあって。
それは3人ともお互い様でしょ。 いやでもなんかさ、しらがネギの件もそうやん。
そういう一般的なのも入ってるわけ? まあでも基本的にはセキュリティに関係する方がいいなと思ってて。
っていう新コーナーという名の雑談何もない時に埋めるためみたいな。
でもこれは新コーナーって言うけどお便りの一環でしょ? お便りコーナーじゃん。
いや世の中物事っていうのは見せ方で変わるんですよ。 売れへんかったもんでもパッケージ変えたら売れるとかそういうのもあるでしょ?
大事なことなわけですよ。 まあそれは確かに大事だね。
そういう問題とか古い言葉を問うとかでもいいですよ。単語でもいいですしね。
これは何でしょうとかこういう事件はありましたけど何でしょうとか何でもいいんですよ。
サイバーセキュリティに関係するようなできるだけ懐かし話とかでもいいですし、もしかしたら確保支援士の問題みたいな過去問とか出してもいいわけですよ。
ちょっとそれはどうかな。 例えばね。
ということでね、ここでネギフさんに問題です。
いきなりかよ。
いいですか? 何?
辻さんはですねこれまでアノニマスに強迫魔害を1回、ディードスを1回受けています。
そんなアノニマスから派生したローズセックというグループのメンバー6人という風にされているわけですけども、
サブ、トピアリー、カイラ、ティーフロー、ポーンソースの5人は逮捕されましたが1名だけ特定逮捕に至っておりません。
そのメンバーのハンドルネームは何でしょう?
AVユニット。
すげー。
よっしゃー。
危ねー。
すごいっすね。
そうだよね、合ってるよね。
ちなみにメンバー6人なんですけど、7人目のアナーカオス、ジェレミー・ハモンドっていう本名のやついましたけど、
それを7人目に入れるかどうかっていう議論が分かれるんですけど、これは逮捕されてるんで、アナーカオスは。
そうだよね。
だから特定逮捕に至ってないのはこのAVユニット、アビュニットかAVユニットかちょっと分かんないですけど、
分かんないけどね。
そうそうそう、それで成果すごいっすね。
危ねー、なんかすげー懐かしいなー。
そうですよ。
よかったー、答えられて今の。
そうなんですよ、なんかね、なんか出そうと思ったのが最初にほら、あの強迫魔害を僕がされたとかいう話したじゃないですか、今ね、問題で。
その時のアノニマスのオペレーションは何でしょう?やったら、オペレーションキリングベイじゃないですか。
ちょっと簡単すぎるなと思って、ちょっと不安になるぐらいの問題っていうので。
今すげー、これガチ質問だからさ。
だってほんまに前振りも何もしてませんからね、これね。
めっちゃ今ドキドキしたわー、よかったー、答えられて。
懐かしいっすよね、このローズセックっていう。
なるほど。
こういう感じの。
こういう感じのね、まあちょっと面白いかもしれないね。
海ガメのスープってこの間紹介したじゃないですか。
はいはい。
それ系のやつでも作ってみましたでもいいかなと思ったので、ちょっと間延びしたら困るなと思ってね。
質問回数が多くなって。
1問1答ぐらいになるようなものの方がいいかなと思って、ちょっとこういう問題を選んでみましたという。
確かに。
ことでございます。
よかった、じゃあ今度ちょっとついさん向けの問題考えておこう。
あー、僕にも、そういうことVSのぶひろみたいな。
どっかで突然前振りなくやってやろう。
こわっ。
こわっ。
今あって君やったやんそれ。
確かにね、確かに確かに。
そうですよね、確かに。
殴ってもいいのは殴られる覚悟があるやつだけですからね。
そうそう、そうですよ。
確かにそうですね、僕は気を引き締めておきますんで。
じゃあこれお便り募集するわけね。
そうですそうです、送っていただければ取り上げますということで。
よろしくお願いします。
なければもう次回以降企画倒れということで。
そうね。
そうです。誕生日イコール明日みたいになってしまうかもしれません。
ぜひお願いします。
はい、ということでお便りが来ておりましてですね。
ありがたいお便りいっぱい来てまして。
はい。
いやもうみんな映画見に行ってくれてるんですよ。
おー、あれ先週だっけ、先週かな。
11月1日から始まります。
公開直前にここで紹介したよね。
そうそう、見に行きましたっていうお便りいくつもいただいててですね。
辻さんを見つけようとしたけど見つからんかったみたいな。
あー、確かにエキストラが出てるって言ってたもんね。
そうそうそう。
あとなんか辻さんの残像っぽいもの見ましたとか。
残像ってどういうことだよ。
残像って言うたはる人もいましたけど。
そんな中でですね、めちゃくちゃありがたいお便りがスマホ関係で来てまして。
スマホを落としただけなのにの最終章を見ました。2回目。
この短期間に2回見てるんですよ。
すごいな。
ついに辻さんを発見ということで
初回鑑賞時に辻さんを見逃してしまったであろうシーンに心当たりがあり
気になりすぎて確かめずにはいられませんでしたという。
そっか、それで2回行ったんだ。
そうそうそうそう。すごいなと思って。
ありがたいなと思ってね。
ステッカー50枚ぐらい送っとこうかな。
多いよ。上げすぎだ。
今手元にあるやつなくなるぐらいの量ですけどね、それはね。
ありがたいなと思いました。
おめでとうございますか。2件来てましてですね。
初、これギアックって読めばいいんですかね。
読み方目に触れる割に名前ジアックかな。
ジアックだね。3つのやつでしょ。
そうそうそう。初ジアック取得しました。
エッセンシャルだけど全部英語なので難しかったというお便りが来ております。
おめでとうございます。
試験って時期決まってたりするのもあるから。
ちょっと久しぶり感もあったなというところで。
もう一つのおめでとうございますはですね。
セキュリティ業界のつながりで彼女ができたんだけど、
普段の連絡方法がLINEではなくシグナルになった。
いいね。
ありがとうございますということで。
いいね。
そりゃそうだよね。そういうところはやっぱりエンドツーエンドでデフォートできちんと暗号化されてるやつじゃなきゃ。
安心して使えないもんね。
大事だよねそれはね。
僕のシグナル使ってますっていうのも最近ちょっと久しぶりに連絡取った知人がいたんですけれども。
待ち合わせの約束をしててね。
で、当日の連絡なりでしたらいいですかねみたいなことを聞いたら、
家族との連絡は全部シグナル使ってるんですけど、ついさんシグナル使ってますか?みたいな感じで。
意識高いな。
周りシグナル人口多いなみたいなね。
あれちゃいますか?シグナルなんかは日本においては、
あれのリスナーとか僕だと反射しか使ってないんちゃう?ぐらいの。
どっちかだよね。意識が高すぎるか。
そうですよね。普通LINEでこと足りますもんね。
そうね。
おめでとう。もう二人ともおめでとうございます。
おめでとうございます。いいね、セキュリティ繋がりで彼女ができた。
通信の脅威と対策
そんなことあるんだね。
でもさ、よくよく考えたら、境界ってどういう範囲を指すか分かれへんけど、
普通に職場とかでもあるんじゃないですかね。
まあそうかもね。
こんな感じですね。
最後のお便りなんですけど、前回看護さんが紹介してくれた
.rdpファイル添付で送ってくるっていうやつあったじゃないですか。
そうですね。
そうそう。それでどういうシーンで使うんかなみたいな感じで。
ネギさんがちょっと疑問に思われてたやつ。
言ってましたね。
それに関してのこんな時に使われてますよというお便りが来ておりまして、
金融関係でトレーダーの方々とかいらっしゃるじゃないですか。
仕事でそういうのされてる方。
そのトレーダーの方々はベンダーの動作保証の関係とかPCの処理能力の問題で
モニターを4,5枚、PCも3,4台みたいな状態で仕事をしてるユーザーってのが結構そこそこいらっしゃったんですって。
あーなるほど。
それはもう最近はそれが結構置き換わってて、昔はこのPCを並べていたのが今はもう仮想化にしてると。
あーなるほど。
その仮想化した端末にアクセスをするためにrdpファイルを使ってるっていうケースがまあまあありますよという。
へーそうか。
このトレーダーの方に何かシステムを提供されてる方なのかちょっとわかんないですけど、調子悪くなって端末を作り直したりとか、
テスト環境を作ったりするたびにIT関係の担当からこのrdpファイルを送ったりするっていうケースがあるらしいです。
なるほど。
でここにアクセスしてくださいっていう風にやるわけね。
そうそうそう。
へーじゃあそういうちょっと特殊な使い方かもしれないけども、まあでもあるって言えばあるんだね。
そうそうそう。
この間そういうメンテナンスをするところとかって分かった上で送ったら効果的なんじゃないかっていう話をちょっとしましたけど、
こういう金融関係とかでも使われてるってことだと狙われた時に成功する率が高いかもしれないなって感じですよね。
そうだね。
だからそのこの間もさ、割と広範囲だけどスペアフィッシングとして狙ったところに送ってるっていう話があったけど、
仮にその今回のようなケースで特定の業種とか業界ではこういう使い方があるって知ってる攻撃者だったらさ、
ピンポイントでそういう人たちに向けてそういうのを装って送るっていうことが可能だもんね。
そうそうそうそう。
それはリアルってことか。なるほどね。
ありがとうございます。
いやーありがとうございます。
勉強になりました。
こういうのなんかね、僕らのお呼びもつかないとか、経験せんかったら分かれへんことですからね、こういうのもね。
いやー全然知らなかったなー。
勉強になったなーと思って。
思いもしないところで使われてるからやっぱり決めつけずにいかんとあかんなと思いますよね。
だよね。
ありがとうございます。
ということで今お読みした方にはステッカー、番組特製ステッカーの印刷コードを送ります。
5種類プラスシークレットです。
5種類集めたら僕に連絡をくれればシークレットの印刷コードを送ります。
ということです。
はい。
はい、じゃあ今日もセキュリティのお話をしていこうかなと思うんですけども、
今日はねぎつさんからいきましょう。
はい、じゃあトップバッターに行かせてもらいますけども、
今日はですね、ちょっと小ネタというか暗号系の小ネタなんだけども、
ロシアがECHの通信をブロックするようになりましたという話をちょっとしたいんだけど、
これECHって以前はESNIって呼ばれてたんだけど、
これね2020年、ちょっと調べたら2020年だから4年前?
リモートの出力が始まってすぐぐらいかな?
の51回で、シャープ51で実は1回取り上げてるんで、
結構前ですよね。
結構前だね。
なのでもしよかったらそちらの方も合わせて聞いてもらえるといいんですけど、
簡単にこのECHって何かというと、
Encrypted Client Helloの略なんだけど、
TLSとセキュリティの進化
TLSの拡張の仕様の一つなんだけど、
はい。
どういうものかっていうと、
TLSのバージョンいくつかだけど、
1.2ってやつではハンドシェイクが全部終わった後から暗号化をするっていう仕組みになってて、
だからハンドシェイクの途中の証明書のやり取りだとかそういうのは全部平文で送られてたんだよね。
これはあんまりよろしくないねということで、
今の最新の1.3ではどうなってるかっていうと、
クライアントハローとサーバーハローの最初の2つのやり取りの中だけで暗号の鍵の交換をやってしまって、
ハンドシェイクの途中から暗号化が始まっちゃうんだよね。
ほいほいほい。
なんでそのその後送られる証明書とかも全部暗号化されて送られて、
よりセキュアになってますと。
見えない部分が多いと。
そうそうそう。
それが今の新しいものなんだけど、
とはいえ最初の鍵交換のクライアントハローとサーバーハローはこの部分はやっぱり平文で送られてるんで、
そうすると最初のクライアント側から送るクライアントハローの中に、
SNIサーバーネームインディケーションが入っていて、
どのサイトにアクセスしてるかっていうのがそこで一応平文だからバレちゃいますよと。
世の中にはそのSNIを見て、これはブロック対象だからブロックみたいな感じで検閲とかをやってる国が結構あるわけ。
なんでこれはなんかプライバシーとしたら何とか強化したいねということは前から議論されていて、
でじゃあここもなんとか暗号化しようぜっていうのがそのESNIってやつであり、
それが今名前変わってECHっていう名前になってるんだけど、
でこれはじゃあどうやってそのそもそも鍵交換する前にどうやって暗号化するのよって話になっちゃって、
結局ニワトリがタキサキかタマゴがそうかって話になっちゃうんで、
これはどうやってるかっていうとじゃあ別の仕組みでDNSであらかじめ公開書きを公開しておいて、
それをクライアント側が先に取得して、それを使って暗号書きを作ってクライアントハローのデータを暗号化すればいいじゃないかと。
先にもらってリクエストする段階でもってことですかね。
そうそう一番最初からもう鍵を持った状態で暗号化をしましょうって簡単に言うとこういう仕組みなのね。
でこれでECHっていうのが今、これまだまだ仕様としてはドラフト段階で標準化まだ今途中なんだけど、
これが結構普及していて、実はChromeもFirefoxも主要なブラウザーも標準でサポートしていて、
しかもデフォルトで有効な設定になってるんで、多分ね知らないうちにみんな使ってるんだよね。
じゃあそのサーバー側とかサービスを提供する側はどうなってるかっていうと、
代表的なところで言うとクラウドフレアが去年の9月ぐらいだったかな?
ECHをサポートしましたってブログ書いてて、もう使える状態になってるわけ。
なのでそうするとクラウドフレアで例えばCDNとかを使っているサイトにアクセスをするとどうなるかっていうと、
あらかじめDNSでECHに必要なカギを取得してアクセスをするというタイミングではクライアントハローは最初から暗号化されている状態になってるわけね。
この時クライアントハローとECHってどういう仕組みになってるかっていうと、
クライアントハローが二重になってて、外側と内側ってなってて、外側には外から見える平分のSNI書いてあって、
中に入っているECHで暗号化されている部分にインナーSNIって本当の実際のアクセス先が書いてあるっていう、そういう二重コードになってるわけ。
その外側の方のアウターのSNIってやつは、 cloudflare-ech.comっていうのが指定されていて、
中のインナーのSNIに本当のリアルなあたたきが入ってるとなってるんで、そうすると通信のトラフィックだけを見ている人からすると、
cloudflareのCDNを使っているところは全部同じに見えるわけよ。
ロシアのクラウドフレアブロック
アウターのドメインが全部同じに見えるから。
紛れ込ませることができるわけですね。
なので、実際にこのユーザーがどこにアクセスするかっていうのは全くわからなくて、なんかわかんないけど、cloudflareにアクセスしてるっていうことしかわからないっていう。
なのでこれでプライバシー強化されていいですよねっていう、こういう感じになってるわけね。
で、cloudflareは去年からもう利用可能になってるんだけど、実は先月からデフォルトで全サイトで有効に設定を変更したらしくて、
これは俺も知らなかったんだけど、で、有料プランを使っている人は自分の設定で無効にすることもできますと。
ただ、無料プランを使っている人はこれ強制的に有効になっちゃってるんで、今だからcloudflareを使って自分のウェブサイトを提供している、外部に公開しているっていう人は、
基本的に全部このECHが有効になった状態になってるわけ。
で、これが先月から始まったんで、これにロシアが反応して、ロシアって以前から国内で自分たちに不都合なサイトへのアクセスはブロックするってことはずっとやってるんで、
で、そのcloudflareを利用しているウェブサイトで自分たちがブロックしたいものが紛れ込んじゃってる、わからなくなると困っちゃうんで、
仕方なくっていうか、ロシアは今月からECHを使っているサイトを一律全部ブロックするっていうことを始めましたと。
なんか無茶するなって感じしますね。
そうそう。でね、実は4年前にさっき言ったシャープ51で取り上げたって言った時には何の話をしたかっていうと、
4年前はまだESNIって名前だったんだけど、ESNIを使っているサイトを中国が全部ブロックし始めたって話をしたのよ実は。
なので、4年前に同じことを中国はやってて、今回ロシアも似たようなことを始めましたっていう、そういう話。
で、ロシアのメディアとかの監視をやっているロスコムナゾールっていう象徴があるんだけど、そこが声明を出していて、
cloudflareを使っていると全部ブロックするよみたいな話が書いてあって、
そのcloudflareを使ってECHを使ってサービスを提供していると、
しかもロシアの国内で許可されていないサイトとかにアクセスをすると、それは法律違反だからねみたいなこと、脅し文句が書いてあって、
だから使うなよっていうようなことが書いてあって、でブロックを始めましたと。
で、実際にロシアの国内のユーザーからcloudflareを使っているところに見えなくなったみたいな報告が上がっているらしくて、
どうも先週ぐらいからそういうブロックが始まりましたっていうのが出ていて、
4年前に1回にこういう似たような話を取り上げているんだけど、それから技術的にもだいぶ使用が進んで、
まだ標準化はされていないけど、近々標準化されると思うし、多くのサイトがこれからcloudflareに限らず、
多分ECHをサポートして使えるようにどんどんなっていくと思うんだけど、
そうなった時にこういうブロックをしているというところがどういう対応をするのかなっていうのが、
もし仮に全部のサイトがECHを使い始めたら全部ブロックなんてできないから、どうするのかなっていうのと、
あとこういう暗号化とかプライバシーを強化するという取り組みっていうのはここずっと続いてきていて、
今回もその一環で、そういう流れとしては僕はいいことだと思うんだけど、
一方で中国とかロシアとかみたいに検閲とかをやっている国からすると、ますます検閲が強化されるという感じになっていて、
なおかつ今回のケースでだからcloudflareを使っているサイトはロシアから見えなくなっちゃってるんだよね、今ね。
そうですよね。
プライバシーと検閲のジレンマ
なんでそうするとますます前から進んでたけど、分断っていうかインターネットがどんどん切り離されていくっていうか、
そういう状況がどんどん進んでいくなっていう感じで、ロシアなり中国なり他のそういう大国は自国で囲い込んじゃっていて、
他国とのつながりがますます薄れていくなっていう感じがして、これはなんかあんまり良くないなとは思うんだけど、
まあ仕方ないねっていう。
鎖国っぽい。
そうだね。これはもうだいぶ前から進んでいて、そういうインターネット上での鎖国っていうか、
のが進んでますます顕著になってきたなって感じだよね。
これでもなんか自分たちに不都合起きないんですかね。
そうなんだよね。なんか今のところないかもしれないけど、別に国内で自分たちが提供しているというか国内向けに提供しているサービスは別に関係ないから、
主にその海外の欧州のメディアとか、自分たちのロシアにとって不都合なことを垂れ流しているメディアをブロックしたいっていうことなんで、
おそらくそんなに影響はしないんじゃないかというか、不利益はないんじゃないかと思うけどね。
あとそのさっきも言ったけど、以前からその海外のサイトにとかサービスに依存しないように、国内でいろいろまかないようにずっと準備してるからさ。
自給率的な感じか。
それもあるんで、あんまり多分不都合は自分たちにはないんじゃないかと思うけどね。わかんない。
ひょっとしたら逆に自分たちもマイナスになるところがあるのかもしれないけどね。
なんか攻撃、ロシア国内にいる攻撃者の攻撃の妨げになるんちゃうん?と思ったんですけどね。
攻撃の妨げになる?
クラウドフレアで自分たちのサーバー隠したりするじゃないですか。
あーなるほど。
オリジン見えへんようにするためにね。
ただC2とかもそうですけど、間にクラウドフレアかましてるケースでよく見るんで、そこに自分たちがアクセスできんくなんちゃうのって。
メンテナンスとかどうすんねんC2のって思ったんですけど。
確かにね、そういうような良くない用途でクラウドフレアみたいなCDNを使っていて、そこがブロック対象に入っちゃうとちょっとややこしいよね。
クラウドフレアって良くも悪くも寛容な部分あるじゃないですか。
確かにね。その場合は何かしらの迂回措置が必要になってくるよね。
ただその場合もロシアってVPNだったりなんだりとかのきなみブロックしてるから。
確かにね、いろいろそういう意味ではロシア国内にいる犯罪者がデメリットあるかもしれないね。
ロシア自体が支援している攻撃者グループだったら迂回路を提供することは容易だと思いますけど、勝手にやってる野良の犯罪者とかだったら困りそう。困ってくれた方がいいっちゃいいんですけど。
まあそうだね。その辺はひょっとしたら影響ちょっとあるかもしれないね。わかんないけどね。
そうかなーなんて思いながらちょっと聞いてましたけどね。
こういうのってどんどん増えるんですかね。他にもそういうことしそうな国いっぱいあるじゃないですか。外部との遮断する国結構あるんで。
でもまあそういうのって国家としての方針だからさ。外野がとにかく言ってもどうしようもないんで。
まあ確かにね。
仕方ないよね。なおかつ技術的にはこういうユーザーのプライバシーを保護する方向に向くっていうのは一応正しいことではあるから。
4年前の時でも似たような話をしたんだけども、こういうその検閲目的じゃなくて、悪性のサイトへのアクセスをブロックするだとか、
フィルタリングとかさ、いわゆる良い目的で使う場合にもひょっとしたら影響を受けるんで、
その辺はちょっとね、もろはというか、良い面と悪い面が我々にとってもあるなという感じはあるけどね。
端末の暗号化が良い面と悪い面があるというのと同じで、
アンチフォレンジックにもなっちゃう。
法執行機関から見たら良くないというのと同じで、
例えば企業内からのアクセスもうまいことしないと本来のアクセス制限を迂回することができちゃうとかさ、
禁止されているサイトにアクセスが容易になるとかね、例えばだけど、
そういうような迂回に使われないようにしないといけないっていうのはね、まあこういうのはちょっとしょうがないけどね。
両方の面があるっていうのは。
近い一歩を取るっていうことは、メリットだけを取るなんていうのはきっとできないんでしょうね。
ちょっと難しいよね、そういうのはね。
ただこういう方向はますます進んでいくんじゃないかなと思うけどね。
そうですね、こういうのが進みまくってブロックもできひんぐらいになれば価値なんでしょうね。
プライバシー保護したい側のね。
そうそう、それが当たり前になってくればね、またそうしたらまた別の方法を多分考えることになるんだろうね。
まあそういうなんか攻めぎ合いっていうか、そうそうイタチごっこですよね。
いやでもなんかネギスさんは本当こういうプライバシー系のやつは結構昔から興味持って調べたはりますよね。
そうだね、なんか好きなんだよね、こういうのね。
なんかこういう、DDoSかプライバシーかパスワードかみたいな。
そんなことはないだろ。
ほんまですか?
なんかすげーだから興味の範囲が狭いみたいな。
特になんか興味関心を示さはるなーと思ってて。
確かにね。
まあそういうとこにやっぱり取り上げるネタが偏るのはあるかもね。
あーそうかもしんですね。
今回の気づかずに取り上げてネタを決めた後に、あれなんか前に喋った記憶があるなと思って調べ直したら、
実は4年前に取り上げてたってことに気づいて、後から気づいて、
なんかやっぱりこういうとこって似たようなのを取り上げちゃうなーっていう。
あー無意識というかね。
無意識にね。
なんかこう選んだらこれ偏ってましたみたいな。
集計してみるとあるのかもしれないですね。
それは3人ともそうかもしれないですけどね。
はい。
はいありがとうございます。
はい。
はいじゃあ次はカゴさんいきましょう。
はい。
今日は私はですね。
日本の脅威レポート
イーセットが11月8日に公開されたAPT活動レポートを紹介したいなと思ってまして。
これ期間的にはいつなんだこれ。
えーと4月から9月なんで、第二四半期プラス第三になるかな。
そうだね。
ちょっと中途半端な期間だよねこれね。
若干ちょっとね時期がなんか微妙な時期ではあるんですけど。
今年の真ん中くらいの状況をまとめたレポートということで、
イーセットが観測した内容をまとめられていたそういうレポートではあるんですけど。
なんで取り上げたかっていうと、これまでもそうだったんですけど。
イーセットの脅威報告レポートブログとかって結構日本のことを取り上げられていることが多くてですね。
イーセットって日本で結構売れてるんですかね。
あまりそんなに。
売れてるでしょ。
でもなんか名前はよく聞きますよ。
全量販店とかでは結構並んでるのとか見るかな。
そうそうそう。
なんで結構ね日本のこと取り上げていただいて非常にありがたい限りなんですけど、
その今回のレポートでも日本のことが中で取り上げられてまして、
レポートの中身、ざっくり中身としては、
ミラーフェイスの活動
よくあるその4つの国の脅威動向、中国であるとかロシアであるとか、
そういった国々のAPTとしての活動がどういったものかっていうところをまとめられていると。
それ以外のものプラスアルファという形でまとめられているんですけども、
日本がターゲットというか標的であるとか、
そういった形で取り上げられているのは主に中国でして、
今回取り上げたいのはまさにそれであるんですけども、
ミラーフェイスっていう、これアクター名でいいのかな。
アクターが活動していますっていうところで書かれているものではあってですね、
ミラーフェイス、これまでこのポッドキャストで取り上げたか若干記憶が怪しいんですけども、
活動自体は2019年ぐらいから報告されているアクターでして、
使っているマルウェアであるとかからはAPT10との関係っていうのが指摘されている、
カスペルスキーだったかな、そういったところも報告としてはあったりしてですね、
日本を狙った標的型攻撃を行っている活動グループとして、
今なおやっているところとして、
最近の標的型攻撃ってあんまり特定のグループ名を出してとか、
あるいは実際に何かインシデントが起きてっていうところでクローズアップされること、
特にランサメ屋が最近は非常に多いので、
そういった意味では結構目にする機会が減ってはいるんですけども、
活動自体は標的型攻撃とかそういった活動としては依然継続中であるというところで、
知っておいた方が良いかなというところで取り上げたいんですが、
今回レポート中で取り上げられている手口としては、
これまでもこのミラーフェイスっていうグループが取ってきた手口の一つであるんですけども、
いわゆる標的型メールというもので攻撃活動を行っているというものでして、
去年は2023年はネットワークデバイスっていうんですかね、
エッジデバイスっていうんですか、そういったものの脆弱性を中心に攻撃するっていうのを
このグループは主にやっていたんですけども、また戻ってきたのか、
標的型攻撃のメールを使って攻撃を行っているというところで、
気にすべき点としてはさっきも言った通り活動は継続中で、
政府であったり、あるいは政党なんとか党とかそういったところを標的としているというところは変わらずですが、
加えて他の研究機関とか製造業であるとか、
そういったところも標的の範囲として拡大している傾向があるというところがあってですね、
先ほどの7月だったかな、JPサットもブログで似たような動向については報告をしているので、
活動範囲、標的としている範囲っていうのは広まっていると。
今回レポートだと日本以外にも欧州をターゲットにしているということで、
結構手広く仕掛けるようになってきているそういうところなのかなというところではあるので、
目にするというか脅威に触れる、脅威にさらせるというかね、
そういった可能性というのはより一層増えてきているというところに加えて、
今回ちょっと興味深かったのは、標的ガード攻撃のメールというと、
デコインに何を使うか、おとりに何を使うかというところがあるんですが、
今回はなんとエキスポ?大阪のですね、来年予定されてますけども、
エキスポの内容、ちょっと具体的な内容というのはレポート中にはなかったかなと思うんですけど、
タイトル的には2025年の日本の万博博覧会みたいな形の英文のタイトルのフィッシングメールが飛んでいたということで、
私がちょっと知っている範囲で恐縮なんですけど、
多分エキスポが使われたのは初めてじゃないかなとは思っていて、
初めてというかこういった形で報告されたのはおそらく初めてじゃないかなとは思ってはいるので、
隅では結構気になるというところではあるんですが、
手口的にはこのフィッシングメールのリンクがその文中に書かれていて、
そのリンクを踏んでしまうとZIPファイルがファンドライブ上にホストされているものが落ちてきてですね、
そのZIPアーカイブには同じ名前のショートカットファイル、リンクファイルが一つだけ含まれており、
さらにそれを開いてしまうとエーネルと呼ばれているバックドアに感染してしまう恐れがあるというところでですね、
これはマルウェアというかバックドアに詳しい方であれば多いと思うんですけども、
このエーネルっていうバックドア自体は結構久々の登場でして、
結構懐かしいなって思う方もいらっしゃると思うんですけど、
何でかというとちょうど多分2018年終わりぐらいでエーネルが結構使われているっていうのが減っていって、
代わりに出てきたのがロードインフォっていう、
入れ替わった形でしたね。
なんかなのでインセットのレポートでも後継として登場したと考えられていましたなんて書かれてはいるんですが、
今回はなんとそのエーネルがまた再び登場してきたというところでして、
ちょっとこれが何でなのかっていうところは何ともいかんともわからんところではあるんですけども、
なかなか脅威深い動きをしているというところではあってですね、
実際この辺の動きについてはトレンドマイクロも10月にブログ出していてですね、
何でそのエーネルに変わったのかっていうところは深くは書かれてはいなかったんですけども、
再登場したというところで、バージョンも確か上がってたのかなっていうところで、
動きとしてはちょっと注視というか興味深い動きであるというところなどが報告されていてですね、
そういう意味ではマルウェア開発の動きというかこの辺の動きっていうのは結構活発な状況が続いているなというところであるのと、
先祖カエルじゃないんですけども、過去の脅威がこういう形でまた再び蘇って出てくるというのは、
なんていうかちょっとうまく言えないんですけども、
なんか先入観的にこんなのもう出てこないだろうみたいな形でついつい思い込んでしまいがちなところがあるんですけども、
実例としてこういうふうに再び登場するということも実際に起きてはいるので、
この辺は検知名であるとか、実際に例えばEDRの検知であるとか、
そういったところで変な先入観を持って見逃しにならないようにちょっと注意したいなっていうのは、
これはこういう動きからなんとなく思ったところではありました。
確かに思い込みがあるとね、これなんかもう違うでしょとか思っちゃいかねないもんね。
そうそうそう、そうなんですよ。なんかちょっとその辺は気になったと。
北朝鮮のサイバー攻撃
あともう一点、すいません、今は中国のトピックのところで取り上げられていたところだったんですけど、
もう1個日本が出てくるところがあってですね、そこは北朝鮮のサマリンのところでして、
北朝鮮というとやっぱりアンゴイスさん界隈を狙った動きが非常に活発だというところではあるんですが、
日本標的とした動きとしては、キムスキーが日本あるいは韓国を標的に活動を行っているというところではあってですね、
その中でMSCファイルっていうのを使った攻撃っていうのを行ってますよと、
MSCファイル自体はこれはマネージメントコンソールファイルっていうのでいいのかな、
マイクロソフトのやつですね。これ非常に使い勝手が多分攻撃者からするといいんでしょうね。
なんでかというと、例えばファイルアイコンを偽装したりすることできますし、
あとはこれを使って、これ実際にはWindowsのユーザー管理とか、
ポリシーの管理とかっていうものに使うものではあるんですけども、
使い方によってはWindowsコマンドの実行にも使えるので、
そういう意味では非常に攻撃者側からすると使い勝手がいいというところではあって、
今回インセットの報告ではキムスキーが使ったという形で報告はされてはいるんですけども、
他のアクターも同じようにMSCファイルを使った悪用っていうのは行ってますよっていうのはレポート地にも書かれてますし、
あと確かちょっと前にNTTセキュリティジャパンもこのMSCファイルを使ったキャンペーンが
このキムスキーとは別で行われているみたいな悪用例なんかも報告はしていたので、
これ自体はそんなにまだ広く使われている手口じゃないかなと思うんですけども、
やっぱりこういった手口に対して今の現状の対策が良好かっていうのも、
改めて点検していただいてもいいのかなということをこのレポートを見て思ったところでした。
このニュースいくつかこのファイルそのエキスポのルワーと言えばいいんですかね、
この添付ファイルみたいなジップファイルが付いてたっていうのがあって、
ニュースを読んだ時に僕はちょっと勘違いしちゃって、
なんかこれ見た時に感想ね、ニュースを見た時の感想が、
大阪でやるエキスポを攻撃して何になるのやろ、その情報を取って何になるのやろって想像できるなと思ったんですけど、
別にそれはただただルワーだけであって、外交組織を標的にしてるだけで、
別にエキスポを釣ってるだけであって、エキスポを狙ってるわけではないってことですもんね。
ないかもしれないってことですもんね。
はい。
そうそうそう、ちょっとね、なんか自分の中で勝手に自分でミスリードしてしまったので、
これちゃんと気をつけて読まなあかんなあっていうふうに思いましたね。
ちょっと今回具体的にどこがこれでやられたのかっていうのは確か書いてなかったと思うんですけども、
そうですね、エキスポをネタにして興味を引くという出口ですね。
オリンピックとかでこういう大きなイベントの時は必ずこういうの起きるよね。
そうですね。
災害とかね、そういうのをネタにしてくるっていうのが多いんで。
僕の見たニュースもエキスポの画像みたいなのがアイキャッチになってたから、
エキスポ狙われてんのかなっていう頭で読んじゃったんですよね。
なるほど。
気をつけなあかんなあと思いながら。
ただ反省したというだけを言っただけなんで。
ありがとうございます。
はい。
じゃあ僕いきます、最後いきますけれども、
今日はですね、ちょっと前のニュースなんですけれども、
攻撃の背景
北朝鮮に支援されているであろうと考えられている攻撃者が、
IEの、IEって久しぶりに言ったかもしれへんけど。
確かに。
IEのインターネットエクスプローラーですね。
のゼロデイの脆弱性を悪用してマルウェアを拡散してましたというふうなものを、
アンラボがレポートを出してたんですけれども、
このゼロデイの脆弱性というのは何かというと、
CVE-2024-38178というもので、
KEVに既に掲載済みのやつで、
このマルウェアを拡散したことを先ほどアンラボと韓国のNCSC、
ナショナルサイバーセキュリティセンターが共同で発表したというふうな、
ものになっています。
脆弱性自体は、JavaScriptエンジンですね。
jscript9.dllというふうなところの、
メモリ破壊の脆弱性ということで、
認証なしで採取されたURLを介して、
リモートからコードが実行できますというふうなものなんですが、
先ほど言ったみたいに、
IEって久しぶりに言ったのは当然で、
2022年にもサポートを終了してるんですよね。
ただ、互換性のためということで、
Windows 10には標準搭載されていて、
11に関しても、
エッジにIEモードっていうのが残っているので、
これは使えなくはないということなんですよね。
使おうと思えば使えるというふうなもので、
そこを上手く使ってきた攻撃でしたということなんです。
ここのレポートで挙げられている攻撃者グループは、
apt37っていうふうなものが、
アトリビューションされていて、
別名で言うと、
リコシェチョルリマーとか、
リンキースクイードとか、
リーパーとかって呼ばれるような名前で、
呼ばれている攻撃者グループですね。
もうなんか攻撃者の名前がいっぱいあって、
よくわかんないよね。
上げ出したキーがないから、
などって言わな、しゃあないみたいな感じ。
他にはレッドアイとかいう名前もあったような気がするんですけども。
いろいろあるよな。
よくこのポッドキャストでも出てくる、
マンディアンによると、
軍事、政治、経済的利益の秘密情報収集目的。
これほとんどちゃうんかと思いながら。
それ全部ちゃうんみたいな感じの、
攻撃者グループだそうですけども、
結構歴史が古くて、
2012年ぐらいから活動しているという風に見られている、
攻撃者グループ。
もともとは韓国をターゲットにしていたそうなんですけども、
2017年ぐらいからはベトナム中東、
あとは日本にも活動範囲を広げているという風に言われている
グループになります。
マルウェアの影響
今回どんな悪用をされたのかというと、
アンラボ自体がこの攻撃自体の名前を付けていて、
オペレーション・コード・オン・トーストという名前を付けている攻撃なんですけど、
攻撃者は韓国国内の広告代理店のサーバーにまず侵入して、
韓国で広く利用されているフリーソフトのトースト広告っていう、
右下にペロンと出てくる広告があるじゃないですか。
通称Windows11とかの右下に出てくる
ウザいウェブ広告って僕は呼んでるんですけれども、
通称じゃないのは僕が勝手に呼んでるだけやな。
そこを通じて攻撃がやってくると。
そこの広告がペロンってきたら、脆弱性が存在すると攻撃が起きて、
マルウェアがダウンロードされるというふうなものですね。
さっき言った通り、IE自体はサポートを終了しているんですけども、
まだまだ多くのアプリケーションがこのIEのJavaScriptエンジンを使って
広告を出すっていうようなことをしているものもまだまだ残っているそうなんですよね。
今回どのアプリが使われたかってことは記事には書いてなかったんですけど、
そういったものが結構まだまだあるよ、みたいなことが書いてありました。
結果、感染させられるマルウェアっていうのがRockRATっていうのかな。
R-O-K-RATって書いてる。
ロックラットっていう読み方ちょっとわかんないですけど。
がインストールされて、特定の拡張子を持つようなファイルを
30分ごとにYandexに送出すると。
キー用具とかキー入力とかクリップボードの監視、スクションのキャプチャーを
3分ごとに取得するとかっていったような動作をするらしいんですよね。
あとはストーカーアプリとかでもよくされるような
メッセージングのアプリケーションの内容とかを記録収集するらしくて、
カカオトークとかWeChatの会話記録の収集などもして
外に出すっていうようなことをするものだそうです。
セキュリティへの影響
これ見てて思ったんですけど、やっぱりちょっと僕、このポッドキャストでも
3人で話す中で、僕、広告ブロックせえへんみたいなことよく言ってたじゃないですか。
なんか前の話したね。
そういうポリシーでね。
インターネットはなんだかんだ言って広告で成り立ってるから止めてもなー
なんていう気持ちがあったんですけど
ちょっとこの内容を見てるとまあまあ怖いなっていうか
そろそろブロックも考え始めようかなみたいなことを
ちょっと思い始めたんですよ。
なんでこういう広告をブロックするのにいいやつあったら教えてほしいなみたいなところと
あとはあれですね、自分たちが
まあいいなんてもうね、2年ぐらい前に終了してるとはいえ
使ってないと思ってるこういうコンポーネント
もう把握してないところで悪用に使われるっていうのは
ちょっと見落としがちなポイントになるから怖いなっていうふうにちょっと思ったという。
そうだね、サポートは切れてるしメインではユーザーは意識しては使わないけど
互換性のために保持されているような技術とかツールとかってまあまああるからね。
あると思うんですよね。
それが知らないところで結構、システムのバックエンドでちょっと使われてたり
こういうアプリケーションが実は中で使ってる
そういうコンポーネントで依存してるとかっていうのは結構あるよね。
なんでこのパッチ当てるときに、これクライアント系のパッチって言っても過言ではないというか
広告が出るようなアプリを入れるのって基本クライアントだと思う。組織内においても。
なんで全当て?みたいな感じでする組織も多いのかなと思うんですけど
どのパッチから優先的に当てていくかみたいなところで
IEの脆弱性なんていう表現をされていると
これ後回しでもいいかなって思ってまうことももしかしたらあるのかなと思って。
使われてないからみたいな?
そうそうそれは関係ないって思ってしまうかもしれへんなっていう
そこはもうちょっと想像力じゃないですけど
考える範囲を広めて悪用されるかもしれへんっていう可能性と
やっぱりこの悪用されてるっていうふうなものは対象になっているものは優先的に当てるって
やっぱり大事なポイントなんやなっていう風にね、これを見て思いましたね。
ただまぁそこでちょっと話少しそれちゃうけど
オープンソースとかのね、例えば
ソフトウェアのサプライチェーン的なやつとか
例えばそのパイソンなりNPMなり
そういう例えばパッケージとかに悪意のあるコードが紛れ込んでいたとか
あとはちょっと前のもうだいぶ前かあれログフォーセル的なやつとかさ
いわゆるどこでどういう脆弱性のあるコンポーネントが使えているかを
正しく把握できていないっていう状態は結構やっぱりまだまだ多いと思うのね
まあそういうのを解消するためにやれSボムだろ何だろっていろいろ言われているけど
例えば今回のやつもIEのコンポーネントを使っているものがどこにどれくらいあるかとかさ
それが実際社内で使われているのかどうなのかみたいなのって
じゃあ皆さん把握できてますかって言われたら結構厳しいと思うんだよね
だからそういうところをうまく攻撃側が狙ってきているというかさ
この辺盲点だろっていうようなところを多分使ってくるから
攻撃として成立しているっていうことだと思うんだよね
この場合だと韓国でよく使われているフリーソフトって書いてあったんで
なんかターゲットの絞り込みもしやすいですよねこういうふうなことするとね
そうだよね日本でもありそうじゃんそういう日本国内でよく使われていてとかさ
で実は脆弱性のあるコンポーネントが使われてますみたいなやつとかね
ありそうだしその結構管理が行き届かない可能性が高いなというか
そうですねなんか広告のブロックっていうとどうしてもブラウザーのイメージがやっぱ強い
まあそうだねまあそこがメインだもんね
とはいえこれは違うじゃないですかそのフリーソフトの広告に出てくるって
これも盲点になりやすそうやなと思ってね
ここまで見ないんじゃないですかねなんかその組織内で
いやどうだろうね
どうなのかなフリーソフトごとダメにしちゃうっていうのもあるんだとは思うんですけど
まだ許可されたソフトウェアだけちゃんと使いなさいみたいなねそういうコントロールはできそうだけど
仮にそこが緩かったとしてじゃあ使われているアプリケーションに
実はこういう脆弱性が潜んでますみたいなのって
いやここまでのレベルでちょっとわかんないけど厳しいよね
把握するのは難しいような気がするよね
もしそうだとすると根本的な解決にはならないけど
攻撃をされるその手法で調べるしかないというか
その使っている側で何とか制限ができないんだったら
攻撃されたタイミングで検知できるようにするにはどうするかとかっていう
ちょっとねその難しいやり方をせざるを得なくなるという
デリバリーはされるけどメモリ破壊発生するタイミングで検知しようかとか
あと最近のエンドポイント系のセキュリティ製品とかだったらこういうのも
何とかで検知してブロックしたりとか
物によってはできそうですねこの辺はね
するのかもしれないけど
本来であれば根本立つのがいいわけじゃない
脆弱性をなくすなりこういう使うべきではないものは
使わないようにするとかっていうのが正しいだと思うけど
IEDのコンポーネントだってもう使うのよみたいな話じゃない
言ってみればサポート消えてるんだしみたいな話になると思うんだけど
でも使われてるのが実態だよねってなって
しかもそれ把握するの難しいよねってなったら
そういう保険的な対策というか
根本が立てないなら起きた時に逮捕するしかないよねってなっちゃうもんね
そうですよね入ってくる経路とかだけ
経路って無数にあったりするし
把握しづらいからもっとジェネリックな部分でってことですね
だってこれもさそのやっぱり標的型だし
北朝鮮のアクターだっていう話だから
攻撃経路とかアクセスの先とかわかんないけど
そういうそのでブロックするってのは多分難しいと思うんだよね
基地のものじゃないねだと思うから
それが難しいとなると入ってきた後の動作をチェックするかとか
そっち系になるしかないから
ちょっと若干厳しめだよね
なかなかあんまりないというか
ちょっとハッとしたんで紹介させていただいた
確かにこういう点も大事かもしれないね
ありがとうございます
今日もセキュリティの話を3つしてきたんで
最後におすすめのあれなんですけれども
今日は食べ物を紹介しようかなと思ってて
サイトの名前っていうのかな
お店の名前って言えばいいのかな
かきたねキッチンっていう
豊洲って市場の豊洲ではなくてですよ
営業していますでおなじみの豊洲ではなくて
あられはやっぱり豊洲っていうCM
最近ないんかな
知らない
知らん嘘
ほんまですかそういうCMが昔あった
豊洲っていうところがやってる
かきたねっていうのは柿の種ですね
略してるんですけど
豊洲っていうのは会社の名前なわけね
そうそう
それのかきたねっていう商品があって
かきたねキッチンの多様な味
かきたねキッチンっていうところで売られていて
今どうか分かんないけど
昔品川駅にあったんですよね
かきたねキッチンのお店が
じゃあもしかしたら見かけたことあるかもしれないな
そこのかきたねっていろんな種類があるんですよ
その柿の種のピーナッツなしなんですよ基本的に
いろんな味があってチーズ味があったりとか
いろんな種類の味があるわけなんですよ
柿の種っていうと思い浮かべるあれだけじゃないんだ
違いますあるとはまた違う感じのやつなんですけど
チーズ味とか醤油系照り焼きとか
あとエビマヨとかいろんなフレーバーがあるんですよ
でなんかこの味一種類で結構量多めのやつを買えたり
あとアソートでなんかいろんな味がなんか小分けに入ってるとか
いろんなやつがあるんですけど
え、いいじゃんそれ
そうそうそうそう
ほんでこれ僕でもいつくらいかな
もう10年ぐらい結構好きなんですよ
あとは季節限定とか夏とかやったら枝豆味とか
あれこれひょっとしてなんかさ今ウェブサイト見たら
なんかパッケージに若干見覚えがあるんだけど
これつゆさんからもらったことある?もしかして
多分ね僕差し上げたことあると思います
小分けやったか何やったかどういうタイミングで
差し上げたかわかんないですけど
なんかの差し入れかなんかで持ってきたりとかしなかった?これ
したかもしれない僕差し入れ結構好きやからな
だよねなんか見た目に見覚えがあるんだけどなんとなく
ほんまですか?
わかんないけど
そうそうこれいろんな味があるんですけど
美味しそうだこれ
僕はもうずっとほぼほぼ食べてるんですよいろんな味を
季節限定も含めね
この中でどれかが一番好きとかあるわけ?
そうもうね最初に食べて未だに不動の1位を
キープし続けてるのが海鮮風塩だれっていう
チーズ入りとかじゃないんだ海鮮風塩だれ
そう海鮮風塩だれこれもうめちゃめちゃうまいですね
基本的にね味濃いの好きなんですよ
しょっぱいもん
酒飲みの志向だよね
そうそうそうそう
確かにつまみとかに良さそう
もし興味を持ったらまずこれから食べてほしいなっていう
なるほど
通販もやってるんで気軽にゲットもできるかなというところで
いいねなんかちょっとかきのたれって言うと
ワンパターンな味のイメージを思い浮かべちゃうけど
色々あるんだなこれな
海鮮風塩だれもなんかちょっと味のイメージが分からないな
どんなだろう食べてみたいな
でもね多分差し入れしてたら絶対ネギさん食べてますよ
そうかもなーでもごめん全然覚えてないわ
だいぶ前でしょこれ多分
うん多分差し上げてたとしても
そういうことコロナ禍前やと思いますわ
そうだよねじゃあまた今度差し入れお願いします
ほんならちょっとこの後カート逃げときますわ
次いつ会うんやったっけな
今月末に一回会う予定ありますね
そうだねまたセミナーでね
セミナーのライブ配信があるんで
それまでにこうときます
楽しみにしてます
それが楽しみに
そんな感じでございます
じゃあ今回は以上でまた次回のお楽しみですバイバイ
バイバイ