00:00
前回のアイキャッチにもしましたけど、やっと3人が揃いましたね、先週。
確かに久々でしたもんね。
何ヶ月ぶりぐらいって感じ?
毎週喋ってはいるんですけど、実際会うのってもうね。
そう。
でもこの話先週したよな。
ん?
3人で久しぶりに会ったって話先週しなかったっけ?
したっけ?した気がするな。
若干デジャヴっぽい感じ。
金曜日に会って土曜日に収録でその話した気がするけど。
その結果がアイキャッチ画像です。
記念写真撮ったよねって話ね。
ちゃんと3人で撮ったんですけど、写真を使ってしまいまして。
いいじゃないですか。いい感じで。
トルビは責任を持って私の家のソファーから常に見える位置に飾っております。
分かりました。そのうち見に行かせていただきます。
そうですね。オフライン収録っていうのもね。
そのうちとか、ぼちぼち落ち着いてきたし、また機会があったらやりたいね。オフラインでね。
そうですよね。なんか出張スペシャルまでにはやりたいですよね。
そうね。年末。
年末っていつも出張スペシャルなんかなんていう、握ったわけでもないけどさ。
握っちゃってますけどね。結果的に。
ここ何年もずっとそういう感じで。
雑談今してるわけですけども、雑談といえば前回とかのタイトルとかの話なんですけど、見ましたタイトル?
あれ何?
イン太陽と誇り。
チャギアスの。
そうそうそう。分かってるじゃないですか。
歌は分かったけど、なんでその歌なのかが分からないんだけど。
あれ看護さんがお話ししたあの脆弱性のMSDTの脆弱性のところで、結局攻撃側が先やんなみたいな話とかしてたじゃないですか。
その中の会話の中で追いかけても追いかけてもみたいなところ。
そこか。
結局キリないやんみたいな話じゃないですか、ああいうものって。
それが歌詞と被ってんのか。
大分マニアックなところに引っかかってきたんですね。
チャギアスやんって思って。
誰も気づいてないだろそれ。
あれ昔、あの歌カップヌードルかなんかのCMに使われてましたよね。
そうだっけ?
何かのCM、そういうののCMに使われてたような気がした。
初めて聞いた時にすごいメロディーがいいなって。
小学生、小学校5、6年生だったと思うんですけど、聞いたのを覚えてるんですよ。
何のCMかはっきりと覚えてないんですけど、そのCMで聞いたっていう。
CMちょっと覚えてないわけでとこ。
勝手な思い込みでカップヌードルかなんかのCMだったと思い込んでて、調べてないんでちょっとわかんないんで、はっきりしてないんですけど。
なんでカップヌードルと思い込んでるかって本当はどうかわかんないですよ。
本当にそうかもしれないけれども、追いかけて追いかけて追いかけてもっていうところが、僕その当時、お湯かけてお湯かけてもって聞こえてたんですよ。
03:06
絶対違うそれ。
あ、カップヌードルか、みたいな。
ソラミミアワーみたいな感じ。
ソラミミだよな、絶対違う。
すごいシリアスな歌い方でさ、お湯かけてお湯かけてもって、すごいなと思ってね。
熱いじゃないですか。
カップヌードルやからお湯かけるじゃないですか。
そうですね。
絶対違うわそれ。
絶対カップヌードルのCMだと思うで。
あれでもいい歌よな。
いい歌いい歌。
めちゃくちゃカラオケで歌うと結構盛り上がるよね。
カラオケ行きたい。
行こうぜカラオケ。
もう何年前ですか?ミミさんのカラオケ行ったの。8年とか前じゃん。
だいぶ前だね。
8年くらい前。
カラオケ行こうぜカラオケ。
カラオケ行きたい。
カラオケのあれしたいですね。
カラオケのあれ?カラオケで収録すっか。
カラオケのあれって。
カラオケBOXで収録しよう。
いいねそれ。でも収録には向いてんじゃないあれ。
確かにね、環境的には。
変な響き方せえへんし。
強調したい時はマイク通して喋ってもいいかもしれない。
最後の辻さんのおすすめのあれとかそのままそこで歌えばいいやつですし。
いいですね。
さすがに今日の1曲みたいなのは流せないですけどね、いろんな権利の問題も。
確かに。
急に歌ってみたとかでもないですから。
バウンされちゃう。
ということで今日も今週もお便りが来ております。
ありがとうございます。
前回から呼んだ方にステッカーの印刷するためのコードをお渡しするという。
あれ反響どうですか?
結構ね、コードを渡した方すぐにDMで連絡したら皆さんちゃんと返事くださって。
よかったよかった。
すぐ今から印刷してきますみたいな。
やったね。
今日会社の帰りみたいなところがあって、お便りを読ませていただいたお三方がですね、ちゃんと印刷をしてくれてるっていう写真というか画像をツイッターにあげてくださってました。
ありがたい。
早速貼ってくれてる写真とかもね。
いいねいいね。
綺麗に切るためにコンパスみたいなのを使って切ってる方とか。
素晴らしい。
いらっしゃいましたね。
それをすることになったきっかけをくださった方のお便りを見たいなと思いまして。
こういう配り方してるのはありますよ。他のポッドキャストで教えてくださった方いらっしゃったじゃないですか。
そうですね。
その方がセキュリティのあれコンビニ複合機出力シール始まってた。
多分そんなに強い紙じゃないだろうから透明シールを上から貼っておくと長持ちしそうと。
インクジェットなシールもこれで結構長持ちするというアドバイスをいただいてたので紹介させていただきます。
06:04
そういうノウハウがあるのか。なるほどね。
見たいですね。
透明シールとかそういうのは別にどっか売ってるの買ってくればいいんだ。
そうですね。多分ハンズタとかそういう手芸系のところとかに行けば売ってると思う。
防水処理されてるようなステッカー、例えば車とかに貼るようなやつとかあるじゃないですかステッカーで。
ああいうやつとかはそういう加工されてますよね。
剥がすと綺麗に剥がれなくて、その透明のシートみたいなだけ剥がれてしまう時とかあるんで2層になってるんですよね。
なるほどね。
確かに確かにそれを貼り付けて強化するのもいいんじゃないかと。
ありがとうございます。
あとは僕ら3人が出ているイベントを見てくださった方のフレーズがいいなと思って紹介するんですけれども。
視聴NOWということで、この間僕らITメディアのセキュリティウィーク2022サマーっていうのは3人で出たじゃないですか。
はい。
それをご視聴いただいてたようで。
ありがとうございます。
それに対してもはや見るアレやなということで。
いいですね。このフレーズ。
見るアレ。
聞くアレ見るアレ。いいじゃないですか。行く年来る年みたいになってる。
それ前やったじゃん。
確かに。
やってた。
行くアレ来るアレやったやんそれ。
やったわ。
やったよそれ。
やってるやん。
見るアレね。
そうか確かにね。動いてますもんね。
そう。
画面の先で。
これから僕ら3人で出させてもらうこととか、5人の中の3人が僕らやったりするケースとかもあったりするわけですけど、
今度セミナー出るんですよとかっていう言い方じゃなくて、今度見るアレがあるんでよかったら皆さんみたいな感じ。
いいねいいね確かに。
いいんじゃないですか。見るアレがありますみたいな。
確かに確かに。
セミナーはさ、その時々のテーマを3人で決めて考えた内容を喋ってるけど、
喋ってる内容は結構真面目な話だけどさ、雰囲気的にはアレとそんな変わんないよな。
変わらないっていうか、変えろって言われても変えられへんっていう。
ちょっと難しいですね。
逆なんじゃないですか。
え?逆?
逆逆。だってさ、このアレで3人でやるよりも先に多分セミナーで喋ってると思うから、
セミナーのスタイルがもともとこれで、アレがアレがこれになっちゃったんじゃないですか。
そうかもしんない。
なるほど。
まあまあどっちがどっちでもいいよね。
もともとアレでしたみたいな感じですね。
見るアレ。
でも見るアレと聞くアレってちょっと違うと思いますよ。話のたてつけとか。
それはそうだよね。見るアレの方もね、いろいろ毎回考えて面白い感じになってるので是非。
ほんまそうですよ。聞きながら見ながらということで楽しんでいただければ嬉しいです。
そうですね。
あとはこれはおすすめのアレへの反応なんですけど、これちょっと嬉しかったので紹介させていただきたいんですが、
09:02
母・父の日プレゼントは辻さんのおすすめコーナーからフリソナンとそのまんまシリーズをチョイス。
毎年ネタいないもので助かるという。こういう父の日と母の日のプレゼントを選ぶのの一つのソースにしていただいているというお便りですね。
なるほど、なるほど。辻さんのおすすめのアレも毎回色々試行を凝らしてるけどさ、
コンビニで簡単に手に入るものからちょっとお高めっていうか、ちょっと貸しこまった時にもっていうようなものから色々あるからね。
そうですね。
プレゼントとかに喜ばれるかもしれないね。
確かにこのフリソナンとそのまんまシリーズってピンときます?
なんかあれでしょ?おつまみ系のやつでしょ?
そうそうそうそう。買い箸でペッチャンコにしたやつとかね。
覚えてるよ、覚えてる。
フリソナンはこれチョコレートなんですけど。
このやつ食べた。
どうでしたか?
めちゃめちゃうまかった。
おっと?すごい貧弱なボキャブラリーで。
え?他になんかある?
いやもう食べてみてもらわないとわからないよね。
確かにそうですね。
でもね、実際コーヒーのお供に最高ですよ。
あ、そうですか。
最高。
3人でこの間このお店に買いに行って。
セミナーの帰りにちょっと寄ってね。
その数日後に行ったんですよ、僕また。
また行ったの?
今度は人に差し上げるようにね。
あーなるほど。
行ったらフリソナンだけ売り切れてた。
あれが一番人気なの?
そんなことないよ。
そんなことないですよ。
たまたまか。
たまたまだと思うんですけど、あれを買いに行ったらあれがなかったんですよ。
マジか。
でも俺この間せっかくだからすじさんのおすすめのフリソナン買ったけど、
次ちょっと近いうち。
ナッツがぎっしり入った系とかだから近いうちも食べてみたいな。
そうですね。あと半分甘系で半分ビターみたいなやつもあったんですよ。
そういうのもいいかもしれないですね。
はい。ちょっとまた次行った時は。
はい。
最後のお便りなんですけれども、
ニュースネタなのですが、最近のクレジットカード情報の流出はウェブページの改ざんがメインなので、
データベースにセキュリティコードを保管していないシステムでもセキュリティコードが流出する可能性がある。
という話がまだ世間では一般的な知識ではないのかなと思いました。
どうなんだろうね。
もうだいぶ数年前から主流はそっちになってるというか。
保存してないから盗めないものを入力の時に取ろうっていうね。
あとそういうクレジットカード関連の業界団体とかも基本ショップ側にセキュリティコードとかは保存しないようにということを求めているから、
それに対応した仕組みにどんどん切り替わったけど、
攻める側もそれに合わせてインジェクションとかでぶっこ抜くんじゃなくて改ざんしてリアルタイムで持って行っちゃうみたいなね。
12:05
それだと防ぎようがないからね。
リアルタイムに取られているスキミングみたいなことをされているわけですからね。
入力時のデータをそのまま中抜きして持って行かれちゃうからさ、これはどうしようもないっていうかね。
改ざんそのものを防いがない限りは。
確かにまあ相変わらずそういうショップサイトとかのカード情報漏洩って相変わらずなくならないよね。
そうですね。
世間一般にはあまり知られてないかもしれないな確かにね。
たぶんそのほら一番初めっていうのはやっぱりこういうことも危険視されてるんじゃないかみたいなコンセプトの話みたいなのが入って、
実際の悪用があって対策が進んでみたいな感じで最終的にエンドユーザーというか利用者の方まで深く浸透するのって結構時間かかると思うんですよね。
確かに攻撃手法とかの進化とかその環境の変化ほどはあんまり認知のスピードって広がっていかないもんね。
だいたいの場合ほらのデータベースに侵入とかシステムに侵入して情報が盗まれたっていうかそこにあったものを取っていくっていうのを盗むっていうイメージを受け取ると思うんですよね。
あー言葉のイメージとしてね。
そうそう。その入力したものを盗みはしてるんだけども盗むっていえばあるものを取っていく。存在してたものを貯めてたものを持っていくってなるけどリアルタイムに読み取るみたいなところのイメージが湧きづらいのかなって気はしますね。
なるほど。
そういうのも広めていかないといけないでしょ。パスワードとかもね使い回しがなぜダメかとかっていうのもなかなか理由まで知ってるぞっていなかったりしますからね。
結構。なんかよく言われるけどそれは何でかっていう説明をするとあそういうことなんやとかでよく一時期言われましたよ。
まあそういうもんかもね確かに。なんか聞いたことはあるけど実際のところをちゃんと知らないっていうのが多いかもな。
そうそうそう。あとはこういう風なことが主流になってるからこういうので盗んでいこうっていう手法がよくあるっていう風になる一方でまだ言うて保存したらあかん言うてんのにセキュリティコードを保存してましたって持ってかれるのもあると立たへんからどっちやねんってなるんでしょうね見る方からしてもね。
こういう結構嬉しいなこういうお便りはなんか意外と知られてないのかもっていう風なことを普段僕らは詳しい目線でやっぱり見ちゃうじゃないですか。
なのでこういうのがちょっと気づきというか一旦立ち止まってまた考えるっていう機会をこういうもらえてちょっと嬉しかったんで紹介させていただきました。
こういうお便りとかさ、ツイッターとかに書くから若干そんなにこんなこと書いて恥ずかしいなーみたいなのがひょっとしたらあるかもしれないんだけど僕らからするとむしろ逆で
その割とやっぱりその専門家的な普段立場で物を見たり聞いたりすることが多くてそうでないいろんな立場とかいろんな視点でどう見えるかっていうことをやっぱりね直接こういうお便りで教えてもらえるってのはものすごくありがたいので
15:01
別に恥ずかしがる必要も全くないので思ったことをバシバシ書いていただけるととても嬉しいですね。
そうですよね。僕らも知らんこといっぱいあるでしょうし逆に詳しくない人の感覚は僕らは知らないわけですからね。
そうそうだからお互いにウィンミンちゃんね僕らは知っていることをみんなに伝えられるし皆さんも僕らが知らないことを伝えてもらえるしさ。
いいと思いますね。
今読ませていただいた4人の方には番組特製ステッカーを差し上げたいと思います。
素晴らしい。
俺言ってみたかったんですよ。番組特製ステッカーが。
あと番組特製クローカードみたいなのも言ってみたくてさ。
確かに番組っぽいよね。いい感じいい感じ。
ということで今日もそろそろセキュリティのお話をしていこうかなと思うんですけども。
今日は僕からいきます。
今日僕が紹介するのはCISAのNon-Exploited Vulnerabilities Catalogっていうのがあって
結構前に出始めた頃看護さんが紹介してくださったと思うんですけれども
悪用が確認されている脆弱性をどんどん追加していくと。
脆弱性の危険度が何だっていう風なところじゃなくて
これはもうヤバいんですっていうようなものを示してくれるリストっていうのを紹介をいただいた。
わかりやすいんですよね。
僕も結構好きで登録してメールで通知するようにとかして見ているんですけれども
あれ結構どんどん追加された。最初200何件とかでしたっけ?
そうですね290件だったかな91件かな。
それで追加されたものに関して
いついつまでにアメリカの政府機関は直しなさいっていうルールが敷かれてたりするんですけれども
厳しいといえば厳しいルールというか指令ですよね。
それが一覧になったCSVだとかいろんな形式で配布してくれてるやつがあるんですけれども
今2022年なんですが2021年のものはともかくとして
2014年とか15年のものがいきなりドバッと追加されることとかがあったりすると
これなんでなんやろうなっていう風にうっすら思いながらもチェックしていたんですけども
なんかハートブリードがちょっと前に追加されたりとかね
確かに確かになんかねちょっと懐かしいなぁなんて思うのも
既視感ある2014なんていうのが始まるものとかが追加されていて
なんやろうなという風に思ってたんですけれども
そのKEVに対してですね
そのKEVのカタログの更新をしたり
更新の基準とそのプロセスってのはどういうものかっていうものを説明する文章が追加されたという風なものを
今日紹介しようと思ってるんですけれども
追加と更新がされたのがそのKEVを説明するそもそものウェブページと
あとはその高速力のある運用指令という先ほどの
いつまでに直さないとあかんでみたいなものが書かれてあるところのFAQが更新されましたという風なものが
18:00
CISのサイトに出ていたのでそれを読んでみましたということです
で基準どういう基準でそういう古いものも追加されていくんだけれども
どういう基準でこれ追加してるのっていう風なことが
3つの基準で説明をされていまして
1つ目がCVIDが割り当てられていることっていう風なものですね
これがなかったら識別できないっていうのもあるのと
あとはCVIDってどういう風に振られるのかっていうと
いろんな任意で参加しているソフトウェアベンダーとかオープンソースのプロジェクトとか
いろんな研究グループとかそういったものが任意で参加している
なっているCNAというCVナンバリングオーソリティっていうのがあるんですけど
その人たちがCVのIDをだいたい振ると
その説明とか参照を含むCVレコードを作って
マイターがCVのウェブサイトにそれを投稿すると
CVのウェブサイトとそれを見ている情報を書いているNVD
National Vulnerability Databaseっていうのが両方NISTが管理しているので
CVに登録されればNVDにも反映されるっていう風なこういう流れでやっているそうなんです
そういった流れでやっているので
僕はちょっと前にこのポッドキャストでも紹介したんですけど
CVSSを絡めてみたいなものを紹介したと思うんですけど
それはこういう流れがあるのでそのCVSSをくっつけて紹介するっていう風なものを
この間させてもらってたんですよね
1つ目がCVのIDが振られて識別できるということ
基準の2つ目が積極的なエクスプロイト
積極的な悪用みたいな表現されてたんですけれども
脆弱性の悪用可能性
悪用される可能性があるということは
このカタログに含める基準には満たされないと
名前の通り悪用が認められているっていうところなので
脆弱性があるないとかっていう風なものではなく
悪用できそうとかでもなく
悪用されているか否かっていうようなところが大きなポイントに
名前の通りになっていると
ただ悪用が認められればOKっていう風なことで
実際にそれが侵害に使われたかっていうのは関係ないそうです
どういうことかというと
実際の攻撃が成功するようなものが
ハニーポッドに攻撃観測として来たという風なものも
含まれるという風に書いてありました
スキャニングとかリサーチ目的とか
あとはPOCですね
Proof of Conceptはこの限りではないとのことです
これは2つ目
ちょっと一言だけごめんね
アクティブエクスプロイテーションって
今積極的なって言ったけど
日本語に訳すと積極的にはちょっと違っていて
エクスプロイト活動が観測されているか否かっていう意味なんで
アクティブってのは別に積極かどうかっていう
そういう攻撃者側の意図的なものが入っていなくて
実際に活動が見えているか見えていないか
認められている
それが担当基準ですって言ってるんだね
分かりましたありがとうございます
が2つ目ですね
21:01
次が3つ目なんですけど
この影響を受けるこの攻撃自体が
に対して実行する明確なアクションが存在するということですね
これは修正してくださいとか対処してくださいっていうの
期限が決められているので
ちゃんとした明確なアクションをできるようなものでは
できないとダメで
根本的な対策パッチを当てるとかですね
そういった対策であるとか
レジストルいじったりサービスをどうするかみたいなところの
緩和回避策っていう風なものが存在している
3つの基準を満たしていれば追加するという風な流れだそうです
これがさっき言った基準のやつですね
高速力のある運用指令っていう風に言われている
3つ3つまで直さなあかんよっていう風に
言われてある
公的な高速力があるようなものに書いてあったFAQ
これ結構な数FAQがあったんですけど
ちょっと僕が気になったというか
確かにその通りなんやなとか
確認思った通りやなというように
確認できたものいくつかピックアップして
ここから紹介させていただきたいんですけれども
まずは質問が最初に修正する重要なものは何か
重大でその基地の悪用された脆弱性が
重大で高いもの危ないものなんですかっていう風なもの
言われてるんですけど
これはここに書いてあったのが
2019年までの全ての基地の脆弱性の
4%未満が実際に利用されているようなものだそうです
結構少ないですよね
実際の攻撃で使われないような
何千もの脆弱性に焦点を当てるんではなくて
実際に使われている脆弱性に焦点を当てて
対策をしてくださいと
危なさみたいなものの指標だけではなくて
実際に危ないっていう風に
悪用されているものに焦点を当てるのが
いいんじゃないっていうようなことを言っていました
次の質問なんですけど
CISAはどのようにして
エクスプロイトを判断していますか
っていう風に言っているもの
これいろんな研究機関とかセキュリティベンダーから
こういった悪用情報を受け取っている
そうなんですけども
こういったものを精査していく中で
これを追加するときは
その情報が証拠固めをした上で
100%悪用されているっていう風に
信頼できる場合のみ追加してるっていう風に
結構なんか自信満々というか
確定でないと載せないっていう風なものだそうです
結構だからなんか噂とか
なんかあの
二次情報的なレベルだったら
ここには載らないっていうことなんですよね
そうですね
基準で考えるのであれば
なんですがちょっとでも危なそうだったら
注意喚起した方がいいとか
っていう風なものではないってことですよね
なるほど
で次の質問が
これあの気にしてたものの一つなんですけど
KEVカタログに追加されている古いCVEがあります
そうそうそう
CISAはそれに対する
悪用を見ていますかっていうところなんですけど
これ追加されたイコール
現在利用されているアクティブな
悪用の観測ではないです
24:01
って書かれてありました
でそれに対して
古いCVEもしくはサポート切れの製品が
このカタログに追加されるのは何でなんですか
っていう質問が
関係する質問があって
全てのレガシな製品に
完全にパッチが適用されているとか
サポート切れの製品がこの世界で
使われていないっていう風な想定は
もちろんしていません
で現在
悪用されている
確固たる証拠がなかったとしても
過去に使われていたものであれば
今後また使われる可能性を考慮して
そういったことを
使われる可能性を排除するものではないので
追加しています
っていう風な後追い入れている
という風なことが書かれてありましたね
はい
っていう風なところが
他にも今紹介した倍以上の
FAQがあるんですけど
僕が気になったものと
そういうことなんややっぱりなとか
知らなかったけど得られた
っていう風なところは
今挙げた4つか5つぐらいですかね
のFAQでしたということです
なんでこれ見てて思ったんですけど
いろいろ看護さんに紹介いただいたりとかして
興味を持っていろいろ調べてみたりとか
どれぐらいローカルのものがあるのかな
ネットワークのものがあるのかな
とかっていう風なことを
調べてみたんですけれども
やっぱりこういう根っこになる
これ何で追加されるのとかっていう
基準っていうのはやっぱり
しっかり確認しておく必要があるな
っていう風にちょっとなんか反省しまして
やっぱりこう脆弱性なんていう言葉に
もうね10年20年近く慣れ親しんできて
まぁちょっと人より詳しいみたいな
風なところも自分にもあるのかな
っていうところがあって
逆に勝手にこういう風に
理由で追加されてるんやろうなって
こう思い込む決めつけるっていう風なことは
やっぱ良くないなっていう風に思って
こういうなんか基準とかFAQとか
特にFAQとかって結構読み飛ばしがちなところが
僕はあるんですけど
こういったものをもうちょっとしっかり
確認するっていう風なことをした方が
いいなっていう風になんか
思いましたというお話です
元々のKEVの発想っていうかさ
さっきのそのアクティブエクスプロイテーションが
多分3つのクライテリアだから
多分その2番目が最も重要というか
僕の個人的なね感覚としては
はいはい
実際に悪用されてるか
そうさっきの4%って言ったけど
いろんな研究があってさ
年間2万以上あるCVEの中で
実際にどれぐらいが本当に悪用されるか
っていうのはまあ
リサーチがあるんだけど
まあ大体それぐらい
数パーセントって言われてるんだよね
だいたいね
なんでそのハイとか
クリティカルかっていう基準じゃなくて
そのCVSSの基準だけを見るんじゃなくて
実際に攻撃劇がされてるのか
されてないのかっていう部分に
もっと重点を置きましょうみたいなのは
昔から結構言われていて
それを米国政府がきちんとこういう
カタログっていう形で示してるっていうところが
まあ大事かなと思うんだけど
さっきの話を聞くと
だから必ずしもこれはその何
網羅的ではないんだよね
そういう意味では
そうですね
さっきのね
クライテリアのナンバーワンでさ
基準の一個目で
CVEが付いてないやつは
基本的には入らないっていうのも
例えばその一つで
27:01
CVEが付いてない
贅沢性なんて山ほどあるから
ワードプレスのプラグインとかなんて
ほとんど付いてない
そうそう
まあ大体ねざっくりだけど
さっきの2万ぐらいっていったCVEだけど
贅沢性の数っていったら
その倍ぐらいがあるんだよね普通
うんうん
ざっくりだけどね
だから付いてないやつが
同じくらいの数あってもおかしくなくて
でその中で悪用が確認されてて
やばいやつってのは当然あるはずなので
まあそういうのは
基本的にはここには載ってこない
っていうふうに
思ったほうがいいよってことだよね
そうですね
だからそういうところもちょっとこう
なんだろうね
そういうこう
使う情報の特徴というか
良い面も悪い面もきちんと
把握した上で
うまく使うっていうことが
まあ多分求められるんだろうね
そうですね
なんかまあその
モーラ性があるものって結構
重宝されるし
日本的で合ってて
合ってるんかなと思ったりも
する部分もあるんですけど
逆に僕はこういうミニマムな方で
絞りに絞って
最低でもこれはまずやっとこう
みたいなふうに示してる方が
なんかエントリーしやすいのかな
っていう気はしてるんですよね
うんうん
あれもこれもっていうふうに
全部見えるけど
結局なんか
こんだけやらなあかんのとか
本当に必要なもの探されへん
ってなるよりかは
ある程度ここに掲載するのって
100%のね
信頼みたいなところまで来てるんで
かなり絞られてるわけじゃないですか
うんうん
で相当やばいわけですよね
そうだね
なのでまずこれを見よう
っていうふうに言うのには
非常にいいんじゃないかなって
僕は思ってます
そうだね
あとまあ使い方いろいろだと思うけど
例えばその
もう既にあるさ
脆弱性の
そのハンドリングっていうか
鳥味の
この中の
そのまあ一つの判断材料として
ちょっと判断に迷うときとか
例えばね
うんうん
なんか需要相談だけど
これ本当にやばいのかな
やばくないのかなって
思った時に
KEVに入ってるって言われたら
これはやばいやつだって
例えばそういう
一つの判断材料として使うとか
そうそうそうそう
なるほど
まあいろいろ多分ね
その使い方は
だからこれに完全に別に
乗っかなくてもいいとは思うんだけど
一つ
まあでも
エクスプロイとか実際に
今行われているっていうのは
大きな判断基準なので
そうですね
ね
まあそれは
うまく活用できるといいよね
そうそう
だから今
ネギスさんが言ったみたいなやつで
すごくいいなと思うし
使い方
でもただ
逆は良くないなと思うんですよね
逆っていうのは
うん
こういう脆弱性出てて
ちょっと話題になってるけど
大丈夫かっていうように
確認するときに
KEVに乗ってないから
大丈夫ですっていう
判断の仕方は
しちゃいけないってこと
あ
そうですね
逆は真ではないってことだよね
そうそうそうそう
うん
それは確かに真理ですね
これが全てって思っちゃダメね
ここに乗ってるやつは危ないけど
乗ってないから危なくないは
正しくないってことですね
そう
まずは最低限っていうだけです
っていう風な理解の方が
いいなと思ってますね
確かに確かに
それは
そういう理解は大事だよね
うん
そうですね
はい
改めて結構勉強になりましたね
こういう基準なんやとか
ね
最初にリリースされてから
もう数ヶ月経つけど
さっき言ったね
古いやつが入ることもあるけど
まあまあでも
その最新の
30:00
実際に攻撃が確認されてるって
いうものは
どんどんどんどん
追加されてるように見えるので
そうですね
そうですね
そうですね
そうですね
そうですね
ね
まあ頑張って
アメリカ政府も
更新してるよね
誰か知らないけど
今や今
だって一番初め看護さんが紹介した
そのイニシャルの部分から見たら
今件数だけで見たら
2.5倍ぐらいになってますもん
もう数
あもうそんななってんの
はい
最初がね
あのさっき看護さん言ってたの
300件弱でしたよね
はい
今もう770何件とかです確か
なるほど
ドバッと増える時もありましたね
なんか何十件追加とかもあれば
1件
追加
追加
追加
追加
追加
追加
追加
追加
追加
追加
追加
追加
追加
追加
追加
追加
追加
追加
追加
追加
はい
はい
はい
はい
はい
そんな感じでございましたと
ちょっとこの話の中で
言っちゃうんですけども
あ。
言っちゃいましょう
何を
言いました
はい
あの今日ですね
私も実は
KV
なぁと思ってたんで 看護さんこの kev 系の話をしようと思ってたんですか
いやあの個人的にもやっぱりなんだっけ さっき水されたようにあのジャンジャがジャンジャが追加されまくってたんで
あのそれが何でなんだろうなっていうところがまあ一旦が明らかになったっていうのは 結構大きいところではトピックとしてはあったんで
そこはもし水産取り上げられなかったら話そうかなぁとか思いつつも 多分外さないだろうなぁと思ってたんで
私は今日はその kev さっきそのとかと追加されるとかなんか 何百件とかって話あったかと思うんですけど現状どんな感じなのかっていうのを
少しだけ振り返ってみたいなと思って なんかいろいろちょっと数えてみたんですよ
いいですねいいですねはいします はいでさっきあの生産おっしゃった通りあの kev のその脆弱性 cv の件数
っていうのがえっと今6月9日が最新だったかと思うんですけどえっと777件 追加されてリストに乗っていてですね
切り取り数字だねはいだいぶ剣術スリー7でまぁ結構な数 でも倍以上になってるんですけど
これあの やっぱり追加のされ具合っていうのが結構ムラがあって
まああのこの部屋のしさシーアイ性がのまあなんていうかリソースにもよるんかな とか思ったりはするんですけど
一番最初のそのこの指令が出た811月去年の11月3日の時に まず291件だったかなドカッと追加されたんですけど
なんかその後12月とか1月とかはまあちまちまと4件とか10中 多くても15件とかなんかそれぐらいのペースで追加されてって言ったので
こんなペースで増えていくんかなとか最初は思ってたんですけど なんかあの3月ぐらいに本気出したのか
33:03
95件一気に3月3日に追加されて なんだと思ってその後もたまにやっぱり結構な数
30件とか32件とか66件とか5月なんかもね 3日続けて出した日ありましたよねなんか23-24-25でねなんかドカドカドカっていきなり
増えてでさっきあのついさあのおっしゃってこれ政府に あの米国内の政府に対して拘束力を持った
法的な指令ではあるので追加されたやっぱりね あの政府の機関は然るべき対応を取る必要があるんですけども
やっぱりこれだけ一気にドカッと追加されるとまあ受け取るが結構しんどいん じゃないかなぁとか
なんかその運用に関わっている人の足がちょっと聞きたくなるような感じの 確かに回ってるんですかみたいなね
ちょっとその辺もね気になるぐらいの追加のされ具合ではありつつ どんな製品が追加されているのかなっていうところも数えてみたんですけど
ベンダーと後なんかプロダクトみたいな形で列が分かれてるじゃないですか はいでベンダー単位で数えるとえっと132件
ベンダー2件と言っているのか分かんないです132ベンダー でえっとプロダクト別で見たら353製品と言っていいですかね
ただちょっとあのプロダクトが若干なんていうか書き方というか分け方と言っていいのか わかんないですけども
荒いというかムラがある感じでオフィスって書いているものがあればワードって書いて まあ多分実際の脆弱性の発信された内容に寄っちゃってるのかなと思うんですけども
あとは例えばシスコなんかもあの ios って書いているものもあれば ios &
なんちゃらみたいな書き方になってたりとかまぁ若干なんであの数値としてはあまり なんか厳密にカウントするっていうところにこだわらなくてもいいのかなと思うんですけど
まあおおむねまあ300 350近い製品の数が追加されていて ただあの割合としてみた時にまあやっぱりどうしても
想像に絶えやすいというかまぁ誰でも思うと思うところではあるんですけども偏りはやっぱり あってですね
ベンダー別で見たらやっぱり一番多いのがマイクロソフトでこれが231件 これはもうダントツで
でその次がアドビーで59件 ただちょっとここあの注意しておかないといけないのはさっき辻さん言ってたようにあの
現行悪用されているかどうかに関わらず kv のカタログには追加されて言ってるようになって いて例えばのフラッシュプレイヤーとかの脆弱性がやっぱりここ最近
結構追加されてきているのでその辺とかっていうのはまああのフラッシュプレイヤーね 過去
もう本当に悪用されている脆弱性の代名詞と言っていいぐらいにとっかかりになるような 非常に凶悪な脆弱性たくさんありましたけども
そういった感じでフラッシュプレイヤーの脆弱性が追加されているのでもアドビー多いのかなぁと あとは
36:06
ネットワーク系でシスコが同じ数の59件 あとはグーグルが38件アップルが37件っていう感じの続き方になっていると
製品別で見てもちょっとあのさっき言ったと若干の揺らぎはあるんですけどね ちょっと数字は省略するんですけども一番多かったのは
Windowsでその次がフラッシュプレイヤーで あとはブラウザー系でiとか
あとちょっとあのChromeって言っていいのかねChromiumですかね なんで影響の考え方やっても例えばEdgeとかにも今だと影響を呼ぶものだと思うんですけども
それが3番目4番目ときてでOfficeとか そういう形で続いているという感じではあって
この製品別のなんていうか偏り具合というか割合を見て思ったんですけど やっぱりエンドポイントの割合っていうのもまあそこそこ多いなというふうには思っていて
さっき言ったね製品別で見た時になんていうかその辺少し偏りあるんかなと思ってみたら 製品別で見た時のその種類っていう意味においては
エンドポイントの数は50個ぐらいなのかなと だいたい50個ぐらいなのかなと さっき製品別でプロダクトの数種類で言ったら350いくつって言ってたんですけども
エンドポイントはそのうちのそんなに多くないと ただ数実際にその脆弱性の数で見たら
300件以上 そのさっき言った50製品に該当する脆弱性っていうのが追加されていて さっき777件が追加されてるって話だったんですけども
4割ぐらいになるんですかね それがエンドポイントを占めているっていうことなのでこのKVが見ている先っていうのが
なんとなく見えるかなとか その辺がちょっと透けて見えるとかいう感じなのと
あとちょっと興味深かったのはなんだろうな 最初この取り組み2021年の11月始まった後 追加されていた内容っていうのが
なんか概ね比較的新しいものっていうんですかね 2021とか2022とかまあ2020とかなんかそれが比較的多かったのかなっていう
最初その印象で ただ最近はやっぱりなんか古いのが結構どんどん追加されてるのかなっていうのを
印象としては持っていたのでこれもちょっと 見てみたら2021年11月からその翌年22年の2月までは
直近5年分の要はCVEでいうとCVE2018で振られているものから2022まで振られているものっていうのが
そのKVのリストにどれぐらい追加されていたかという意味で言うと 2021年11月から22年2月までは8割ぐらいが直近5年分の
39:05
脆弱性というのが追加されてたんですが ここ最近3月から6月までっていうのを見ていくとこれの数が4割に落ちて
残り6割はそれよりももっと前の 古いって言っていいのかわかんないですけどもちょっと前の脆弱性が追加されている
ということで なんでやっぱり追加される方針というか具合っていうのが少し
変わったのかなーっていうのはなんとなくこのKVのカタログの追加され具合とかっていうのを
見ていると思ったというところではあったんですけども 方針が変わったわけじゃなくてさ運用に乗ったからじゃないの?
優先順位的にさ 今まさに使われているものが優先度が高いっていうのは多分誰もが思うところで
それがある程度こう 数ヶ月経って新しいものってのは定期的に出るけどそれがまあ運用が回ってきたから
ぼちぼち古いのも出そうかってなったんじゃないの?別に方針が変わったわけでないって最初からそういう方針だったと思うけどな
最初から全部古いものドカッと出すわけにいかないじゃん 今今ヤバいやつから行こうみたいな
さすがにそんなにいっぺんに足しても対応できないからじゃないかなと思うけどな 291件最初にドカッと出してるんでそこに含めちゃえばいいんじゃないかって
個人的には思うんですけどね まあその辺のだからそれが別に俺は途中で変わったような気はしないけどね
ああなるほど ただそうそう方針が変わったって言い過ぎだったんですけども 違うかもしれないけどわかんないけどね
あのさっきのFAQの中でCSA自身が直接見ているって話もあったり
脆弱性情報を取り扱っているベンダーからなんか購入してるみたいなそんな書きぶりっていうのが追加されてませんでしたっけ
はいなんでなんかそういうのがもしかしたら影響しているのかもしれないですねこの村の出方というか
なんかあれですねサードパーティーのサブスクリプションのサービスを通じて入手してますみたいな表現はありましたね
まあ改めてちょっと振り返ってみると定常的に何というか新しいものがとかとか追加されているっていう状況ではなくて
タイミングタイミングでそのリストっていうのが常に見直されているっていうところはポイントであるというところと
あと改めてこのCVとかさっきの製品とかベンダーとか眺めてみて思ったのはやっぱりあのアメリカ政府の機関が見てるリストだなっていうのを改めて感じたところで
例えば日本で言うとさっきねクレジットカートの話ありますけれどもECキューブの脆弱性であるとか
あとは昨年末ムーバブルタイプの脆弱性なんかはやっぱりこのリストには入ってきてはいないので
見方としてはそういう辺の配慮というか留意っていうのが必要なのかなっていうところと
結局同じこと言ってるんですけどKVに入ってないから安心だっていうのは非常に危険だっていうのは本当に私の思うところで
42:01
直近のマイクロソフトの今まさにまだゼロで状態になっているMSADTの脆弱性ですかね
あれってまだKVに入ってなかったですよね
そうですね
はいこれがのさっきその3つの要件があるって中で脆弱性に対しての明確な修正アクションっていうところが十分に整っていない状態だとこのリストに追加されてこないのかなとは思ったので
なのでその辺っていうのがあったりするというところでも含めてこのリストだけを頼りにやろうとするとその辺の偏りとかの影響が出かねないので注意が必要かなっていうのは
改めてこのリスト見直したり数数えたりとかっていうのを見ている中で思ったというところです
確かそのMSADTのやつはガイダンスをCISAが出しているだけでこのリストにはまだ載ってないのかな
そうですね注意喚起っていう意味では多分出てると思うんですけど
逆にこういうのは削除されたやつもありましたよね
そうそう削除の何か基準もそういえば追加されてましたね
そうですそうです
脆弱性以上に影響度が大きい何か問題が確認された場合は取り除く場合があるみたいな
運用だとかそのシステムを動かすことの方に影響が大きすぎたら脆弱性の修正を取り下げるというかそのリストから取り下げるっていう風なものがあって
前のドメインコントローラーの認証の不具合が発生するっていうパッチのやつがこれが1回乗ってすぐに消されたんですよね
取り下げられましたねこちらはただ何か問題がやっぱり改善されたらすぐリストに戻すという書き込みになっていたので
トラブルというか不具合がパッチの方の不具合が解消されたらまたこちらすぐ戻るんだろうなっていうのはありますね
これもね削除されたからといってその脆弱性であることには変わりないから自分たちがどうするのかっていうふうなのは
ちゃんと判断しないといけないことだと思いますけどね回避策一応ありますからねあれだってね
そうですね
いうふうなところでございます
いやなんか今日はその
カンゴさん僕にあの何だっけ
KEVすごいツイッターの好きじゃないですかっていう風に言ってたじゃないですか
僕そのカンゴさんが一番初めにこのやつ紹介したのも実はもちろんちゃんと覚えてて
違うネタにしようかなとかっていう風に思ったんですけど
僕ねカンゴさんはね京都のね文書を運ぶトラックの人がめっちゃ風邪吹いて悲惨させたみたいなニュースがチラッとあったんで
これいくんちゃうかなと思ったから僕このKEVの話にしたんですよね
なるほどすいません
風邪じゃないからただ飛び散っただけなのかなそういった事件あったんでそっちくるかなと思ってまして
はいすいませんなんかまあでもなんか
いえいえ
なんかより深まった感じがしてよかったですね
はい
はいということでありがとうございます
はい
はいじゃあ今日は次最後のお話ですけどねぎすさんお願いします
お願いします
なんかもうKEVで盛り上がったからいいんじゃないこれで
いやいやいやそんなことないです締めてくださいねぎすさん
45:03
はい
じゃあ締めにちょっと軽めの小ネタ集を
いいですね
今週はですねパスワード関連小ネタ3連発でいきたいと思います
パスワードだけで3連発
いいですねパスワードで3つ
そうなんですよ今週ちょっと色々ありましてですね
はい
で一つ目はですね何かちょっとパスキーですね
このポッドキャストのでも何回か過去に紹介しましたけど
パスワードレス認証のど本命と言われてるやつですけども
これちょっと簡単に何回か紹介してるけど
仕組みをおさらいしておくと
はい
正式にはマルチデバイスファイドクレデンシャルっていう名前なんだけど
例えばウェブサイト新しくユーザー登録したいなと思った時に
クライアント側iPhoneとかねそういうスマートフォン側で
秘密鍵と公開鍵のペアを作りますと
でその公開鍵をウェブサイト側に登録しますと
で今度ログインする時に
サーバー側はチャレンジデータをクライアントに送ります
クライアント側はそれに秘密鍵で署名をしてデータを返します
でサーバー側はそれを公開鍵使って検証しますっていう
こういうやりとりでユーザーを認証しますっていうのが
ざっくり大雑把にいった時のファイドのウェブオーソンっていう認証の仕組みなんだけど
パスキーっていうのは何かっていうと
ファイドのクレデンシャル今出てきたウェブサイトごとに登録をする時の
ユーザー側が持っている秘密鍵の方ね
これを複数のデバイスで安全に同期しましょうっていうのが
パスキーっていう仕組みなんだよね
それがないと例えばスマホなくしちゃったりとか
新しく乗り換えるって言った時にすごく不便なので
普及しないよねっていうことでそれを解決しましょうっていうのが
このパスキーの画期的なところなんだけど
これまでパスキーってどうなってたかというと
去年のWWDCでAppleが初めて紹介して
その時にはテクノロジープレビューっていう段階だったんだよね
これであれでも紹介したんだけども
これちょっと期待できるねって話をしてて
それからしばらく音沙汰がなかったんだけど
今年の3月にファイドがこれを正式に
マルチデバイスファイドクレデンシャルっていう名前で
標準の仕様として提案をして
続いて5月にパスワードデーのね
世界パスワードの日っていうのがあるんだけど
5月のその日に合わせて
AppleとGoogleとMicrosoftのテック企業3社が
協力してこのパスキーを推進していきますということを
アピールして
これはなんかいよいよっていう感じになってきましたと
大きな流れができたんじゃないかって
このポッドキャストでもおっしゃってたやつですよね
紹介しましたよね
聞いたこと聞いてない人はぜひ聞き直してみてください
今週ですね
一年ぶりにというか
WWDCAppleの開発者向けのイベントが今週あって
そこで今年の秋9月頃にリリースされる予定の
48:03
新しいMac OS Venturerってやつと
iOSの16で
いよいよ正式にこのパスキーがサポートされると
いうことが発表されました
パチパチ
なんでいよいよこれ
iPhoneで普通に使えるってなったら
多分みんな使うよね
特に日本国内の影響はでかいですね
みんなiPhone使ってますから
もちろんiPhoneとかクライアント側が
サポートしただけじゃもちろんダメで
ウェブサイト側とかアプリ側が
WebAuthの認証の仕組みをちゃんと実装していて
なおかつパスキーを使うためには
追加のコードっていうのが必要になってくるんだけど
それをやったら
普通にiPhoneからパスキーで
ログインとかできるようになります
おそらくだけど
大手のサービスとか
が多分率先してまず
パスキー使えるように多分対応してくるだろうから
それを見て後に続くところが出てきて
だんだん普及していくんじゃないかなという
期待が持てるかなと
なのでいよいよ
多分だけどね
今年2022年が
パスワードレス認証の
本格的普及の年っていうか
そういう感じに
おそらく後世そういう年として
記憶されるんじゃないかなという感じの
動きになってまいりました
ちょっと楽しみで仕方ないよね
ですね
リリースされたらぜひこれちょっと使ってみたいなという感じですけども
そういう嬉しいニュースが出てきましたというのが一つ目です
パスキーは引き続き皆さんもぜひ
アレデイの人たちもちょっとウォッチしてみてください
それから続いて2番目のネタはですね
今度はパスワードマネージャーの話なんですけども
辻さんとカンゴさんは
たしかワンパスワードを使ってますよね
ワンパスワードです
かぶっとるかな
そのワンパスワードが
なんと今月6月3日にですね
ファイドアライアンスに正式に加盟しました
という発表をしました
そのブログでですね
近いうちに
ワンパスワードのデスクトップアプリが
WebAuthのデバイスになりますという発表があって
デモ動画が出てたんだけど
何かどうなるかというと
さっきパスキーの話をしたけども
ワンパスワードにファイドのクレデンシャル
つまり簡単に言えば秘密鍵だよね
ウェブサイトごとに登録をする公開鍵とペアになって
その秘密鍵をワンパスワードに登録できるようになる
なのでパスワードマネージャーだから
パスワードを管理するはずなんだけど
パスワードの代わりに秘密鍵を管理する
っていう機能がワンパスワードに
近々付け加わるみたいです
それ以上のことは詳しく書いてなかったんだけど
51:02
おそらくはさっきのパスキーと同じような
複数のデバイスで同期する仕組みが
ワンパスワードにも入るんじゃないかなと
これは推測だけど思います
なのでGoogleもAppleも
OSの標準の機能でパスキーをサポートすると言っているんだけど
ひょっとしたらそれ以外にワンパスワードみたいな
サードパーティーのアプリでも
パスキーをサポートするものが出てくるのかなという
そんな感じ
ただOS標準で使えるのに
わざわざワンパスワードとか使うかな
というのはちょっとよくわかんないけど
ちょっとそこはわかんないけど
クロスプラットフォームで使えたら
ちょっと便利かもしれないけど
わかんないけど
ちょっとそこら辺どうなるかわかんないんだけど
一応ワンパスワードで
鍵を登録するというデモ動画が出てたんで
なるほどそういう使い方ができるのかという感じで
パスワードマネージャーもね
パスワードレスの未来には
パスワードマネージャーは多分生きてないから
そうですよね
パスワードないって言ってますからねだってね
パスワードレスマネージャーをつくる
何マネージすんねん今の
なんもないやんけってなっちゃうんで
どういう未来が待ってるのかわかんないんだけど
一つの方向性としては
そういうウェブオースのデバイスとして生きる
っていう道があるのかなと
長い目で見たら
パスワードマネージャーは多分役名を置いて
亡くなっていく運命だと思うんだけど
今の時点ではちょっと過渡期なんで
パスワードの管理がいきなりなくなるわけじゃないから
パスワードも管理しつつ
パスワードレスのパスキーも
管理するみたいな感じになるのかな
少し前にワンパスワードが
SSHの鍵を管理できるっていう機能がついたでしょ
なんかあったね
そういうのの延長に捉えて今回のやつも
そういうものを管理しましょうみたいな
保管庫的な役割を目指しているのかもしれないですね
そうかもね
ウェブオースンという標準の仕組みに対応していれば
どんなサイトも基本的にこれから多分
ウェブオースンになっていくんで
ワンパスワードの使い道も出てくるかなっていうか
あとはひょっとしたらあれかな
パスキーが使えないようなプラットフォーム
でもGoogleとMSとAppleがサポートしたら
ほぼ100%使えるかな
この世界のほとんどですよね
どういう行きどこりの道があるのかわからないけど
一応そういう発表がありましたと
これが2番目
それから最後3番目
これもパスワードマネージャーの話なんだけど
今度は僕が使っているラストパスの話なんですけど
ラストパスが今週ですね
パスワードレス認証をサポートしますと記事出してて
これは何かというと
これは今までの話と少し違うんだけども
パスワードマネージャーっていわゆるマスターパスワードってやつを
54:02
最初にログインするときに入れると
保存してある他のサイトのパスワードに
アクセスできるようになるという
簡単にそういう仕組みなんだけど
ラストパスでマスターパスワードを入力しなくても
あらかじめアカウントのひも付いているアプリ
ラストパスオーセンティケーターっていう
専用のアプリがあるんだけども
僕も使ってるんだけど
これに通知を飛ばして
そこでログインを許可しますかっていう
許可っていうボタンをワンタップすると
それでマスターパスワードを入れなくても
ログインできる仕組みを
アプリ認証
導入しますと言っていて
言っているんだけど
これはね
僕はちょっと個人的には
あまりおすすめできないというか
ちょっとね
話が混乱
混がらがあるかもしれないけど
今その手前で話したサイトの
パスワードレスとかパスキーとかって
言ってるやつは
サイトごとに鍵を作って
パスワードの代わりに使いましょうっていう
これは非常に安全な仕組みで
パスワードを使うよりもはるかに安全なので
できるだけ普及してほしいんだけど
今言ったそのラストパスの
マスターパスワードを不要にしよう
っていうのは
これはもともとある例えばグーグルとか
他のサービスでも元からあった
パスワードレス認証の仕組みの一つで
パスワードを入れる代わりに
スマホのアプリに通知を飛ばして
ログインを許可しようってやつなんだけど
これは
不正アクセスに対して強くないので
例えばね
悪いシナリオで言うと
例えばその
パスワードマネージャーのログインに使っている
メールアドレスが
第三者に漏れてしまった場合に
第三者がログインを
施行することができちゃって
うっかりでそれで本人が
自分のスマホに飛んできた通知を
うっかり許可しちゃったら不正アクセス
成功しちゃうんだよねこれね
なのでこれは僕は
あんまりお勧めしない
ラストパスのような
重要な他のサイト用のパスワードを
扱っているすごく重要な
サービスにこれを使うのは
これはちょっと
お勧めしないですね
なんでこれは
もともとマスターパスワードが
あんまり強くない人とか
あんまりいないと思うんだけどね
とかあるいは
二要素認証を使ってない人
そもそもマスターパスワードの運用が
ない人は
切り替えた方がセキュアになる
と思うんだけど
二要素認証を使っている僕みたいに
マスターパスワードだけじゃなくて
すでにアプリへの通知とか
セキュリティ機とかを使って
保護しているような人は
これは使わない方がいいと思う
なぜかというと
二要素認証を使っている人は一旦
二要素認証を全部オフにしなきゃいけなくて
パスワードレスに移行しないといけないので
利便性は上がるけど
セキュリティ面ではあまり
強化されないので
これは僕はあまり
57:00
お勧めできないなぁと思いました
ラストパスワードは良いことのように専念しているけど
これはどうかなと
ちょっと思いました
これは要注意だけど
一応こういう機能が出ましたよということで
今パスワードレスって流行りだからさ
そうですね
その流れに乗っかったのかなという感じはするんだけど
同じパスワードレスといっても
実現していることの内容が
違うんで
これは注意した方がいいかなということだけど
一応パスワード関連の値段ということで
三つ紹介させてもらいました
すごいですね
三つも出せるのがすげえな
ちょっとさ
ワンパスワード僕使ってないからさ
いつWebAuthのサポートするか知らないけど
サポートしたら使ってみてよ
いいですよ全然
ラストパスもサポートするのかな
するんじゃないですか
ラストパスもワンパスワードも
飛びしめている感じがありますけど
なんかね生き残りをかけていろいろ
多分考えなきゃいけなくなってきてる
ほんと過渡期って感じしますよね
いやなんかね
パスキーの
説明のね
www.jshiro説明のやつとか見たけど
既存の
新規登録するのはまあいいんだけど
既存のサービスを
移行してもらう必要があるじゃない
だけどそのサービス側が
その移行をちゃんとサポート
パスキーへの移行っていうのを
仕組みとしてサポートしたら
わりとユーザー側は簡単に移行できるのよ
ポチポチってやるだけで
なんで僕だったら多分
どんどん移行したくなるもんね
だからそしたらさ
パスワードマネージャーの存在意義が問われるというか
いらなくなんじゃねっていう
一部のサービスとかじゃなくてね
いわゆるテックジャイアントと
言われるところがやるわけですから
まあそういうところに
全部集約されるのがいいかどうかっていう
そういう議論はまああるけども
ユーザーサイトから見たら
はるかにセキュアで便利になるので
しかもほら
パスワードマネージャーをさ
わざわざあまり詳しくない人に
使わせるっていうのはやっぱりちょっと
ハードルが高い面があったじゃない
一番の壁でしたからね
購入してもらって使ってもらうっていうのが
本当に
何年か前にグーグルが
アンケートした結果で
俺覚えてるんだけどさ
セキュリティの専門家とそうでない人の
大きな違いっていうのは一つは
パスワードマネージャーを使ってるか使ってないかっていうのは
ものすごく差が出るんだって
専門家はほとんど使ってるけど
一般の人はほぼ使ってないみたいな
はいはいはい
だからちょっとハードルがだいぶ高い
仕組みだと思うんだよきっとね
それがねその標準の
OS標準の機能でサポートされて
しかもパスワードいらずってなったら
多分こっち普及すると思うんだよな
ですね
そしたらなんかますます
パスワードマネージャーいらなくなっちゃうんで
ちょっとどういう未来が待ってるかわかりませんけども
しばらくはちょっとねカットキーで
色々こういう動きが出てくると思いますね
じゃあ僕も追加された
それちょっと使ってみます
ちょっと使ってみてください
1:00:00
はいありがとうございます
ということで今日も3つの
セキュリティのお話をしたので
最後におすすめのあれを紹介しようかな
と思うんですけども
僕が紹介するのは
味付けカレーパウダーです
使ったことあります?
ないない全然ない
そもそもその
パウダーって何こう
他の料理に
味付けとしてかけるそういうものってこと?
そうそうそうそう
例えばなんかわかりやすいので
言うと例えばあれですよ
シャカシャカポテトみたいなもんですよ
ごめんそれ分かんない
え?
フライドポテトにさ
味付けるために粉をちょっと入れて
振るやつシャカシャカポテト知らないですか?
あーそれは分かる分かる
ポテトに味付けされてるやつあるじゃないですか
はいはいはい
粉がかかってていろんなのり塩とか
いろいろあると思うんですけど
それのカレーの粉
なるほど
簡単に言ったらカレーのルーを粉末にしたやつ
って思ってもらえばいいと思います
ルーではなくてね
ハウス食品から出てたり
SBから出てたりとかっていうのもあるんですけど
いくつかあって僕がちょっと
最近好きで食べてるのは
ハウス食品のバーモントカレー味の
カレーパウダー
へーそういうの売ってるんだ
甘口のやつなんで
甘口はちょっとおこちゃまで
自分の口には合えへんなっていう方は
ジャワカレーバージョンがあって
こっちは中辛になってます
辛さが選べると
これたまたまスーパーかコンビニか
ちょっと忘れましたけどこれ見かけて
即買いしたんですよ
なんでかっていうと僕昔
高校生の頃に
夜中に
ラーメンを
母親に連れて行ってもらったり
したことがあって何回か
家から遠いところで
車で行くところなんですけど
夜中に行っても並んでるようなラーメン屋なんですよ
冬場でも
そこに僕と母親が行くのは
ラーメンももちろん美味しいんですけど
そこで出してくれる
唐揚げがあるんですけど
唐揚げがカレー粉
かけて出てくるんですよね
それが美味しくて
その記憶がすごく
あったから
自分でわざわざ粉末にしてかけるのもな
とかって思ってたんですけど
この粉を見つけて買って
食べたらやっぱり美味しいんですよね
唐揚げそのまま
食べても美味しいんですけどちょっとこう
飽きてくるじゃないですかやっぱり
ちょっとかけてみたりとかすると
なんかちょっと懐かしい感じもして
美味しいなーっていう風に思ったんで
今日紹介させてもらいました
最近そういう食べ方をしてたんで
なんかちょっと俺全然
使ったことないからさ
想像できないけど
今唐揚げってあったじゃない
他にどんな料理とかにかけたら美味しいんだろう
チャーハンとか
チャーハン?カレーライスになっちゃうじゃん
カレーチャーハン
ちょっとかけるわけちゃうじゃないですか粉
風味やから風味
1:03:00
何でもいいのかそういう意味では
じゃあ野菜炒め
カレーって何でも合いますからね
野菜炒め
あとなんかほらちょっと
朝トーストとかにちょっとかけてもいいんじゃない
卵乗せたりとか
そこにちょっとかけてみるとかさ
なるほど
そっかまあカレー好きな人は
何でも
かけて食べたいなとかって思うのかな
多分
でも俺カレーライスは好きだしさ
あとカレーうどんとかさ
ああいいですね
ちょっと和風な感じのね
そういうのとかも結構好きで食べるけど
カレーはカレーとして食べたいから
別にパウダーでかけたいっていう
なんかそういう
気持ちあんまなかったんだけどさ
やったことはあります?
いや多分ないと思う
カレーパウダーっていうものの存在は知らなかったんで
ああ本当ですか
そうですねまず
試しにフライドポテトからいきましょう
ポテトは確かに合いそうだね
なるほど
僕の務めてる会社の
ビルに入ってる
カレーうどん屋さんがあるんですけど
そこのポテトには
カレーかけて出してくれる
オプションがあります
カレーうどん屋さん
若幸屋っていうところですけど
名古屋のお店ですけどもともと
そこの夜のメニューで
カレーうどん屋さんがあるんですけど
マジで?
カレー粉かかってるやつがありますよ
そこは甘口というより
ちょっとスパイシーよりのカレー粉かかってますけどね
じゃあその辺の食べ方
割ともしくは定番なのかな
そうそう
知らなかった
なんかね結構いろんなパターン
考えられるんじゃないかな
なんか味がちょっと想像できるし
美味しそうではあるよね
意外な食べ方あるかもしれないですよ
ちょっとなんか足すみたいな
そうだよね
意外となんかやってみたら
めっちゃ合うとかってありそうだもんな
なんかそういう新しい味見つけるのは楽しいかもね
エビとかにも美味しいかもね
エビ
確かに合いそう
エビっていうか
天ぷらとかに合いそうじゃない?天ぷら
天ぷらもいいですよ
天ぷら食べるのってその天つゆだけじゃなくて
塩の代わりにとかさ
塩でもいろんな塩試したりする
できる天ぷら屋さんとか
例えば抹茶塩とかさ
カレーパウダーとか
いいんじゃないですか
エビ天とかねエビ天にかけたら美味しいかもしれない
エビ天にちょっとカレーパウダーとか
味が想像できたらいいかもしれない
美味しそうだよね
そういう感じで
食べるときにね
お肉でもそうですけど醤油で食べたり
あと
わさびで食べたり
そこに一個カレーパウダー
味に変化をつけてね
いいですね
いいんじゃないかなということで
やっと念願叶ったので
買ってみてよかったので
紹介させていただきました
ありがとうございます
1:06:00
ということで
今日もセキュリティのお話と
おすすめのあれを紹介したので
また来週のお楽しみでございます
バイバイ
