夏休みと忙しさ
夏休みでしたよ、我々。
え?先週?
一回ね、お休みを頂いたと。
あれは、夏休みだったの?
夏休みじゃないんですか?
後付けっぽい感じもしますね。
いやいやいや、ほら、やっぱ休みも大事やぞってことじゃないですか。
でも、podcastを休んでる分、他回忙しいんじゃないの?
そうなんですよね。
夏休みを取ってて、ずらしてたりとかしても、別に我々は普通にサラリーマンですから。
意外とこの休んでた1週間、割とバタバタしてたぞっていうのが。
いや、割といつも以上に忙しかったよ。
そうなんですよね。収録ないのに、我々今週2回やってますからね。
なんでなんですか。
いやいやいや、喋る仕事でね。
はい、お疲れ様でした。
マイナビのセミナーの、あれは収録ですか?
そっか、あれはまだやってないのね。
そうですね。
ぜひ皆さんご参加ください。
ショーノートにURL書いてると思いますんで。
あともう一個はITメディアの、こっちはライブで喋ったんでしたっけ?
そうですね。
これはでも後日配信みたいなやつあるんでしょ?
そうらしいね。
もし見てない方いらっしゃったらよかったら見ていただきたいなと。
なんだかんだでバタバタの1週間だったなってことなんですけれども、
iPhoneの新製品登場
今この収録してるのは9月の2日ということで、
あと10日少しもすればね、あるじゃないですか。
なんかあったっけ?
9月の13日。
え?
全然ピンとけえへんの?
全然ピンとけえへん。
いやいやいやいやいやいや。
いやいやいや。
iPhoneの。
ああ、そっちか。
全然今頭から抜けてたな。
Appleのイベント日ですね。
そうでしょ?iPhoneの10号ですか?
なんか出るらしいですね。
10号じゃないかっていうね。
そうそうそう。
噂によると30万超えするとかっていう。
ほんとですか?
あれほんまなんですかね?
ほんとか?
いやまあでもスペック的に一番いいやつで、
例えばストレージ増し増しとかさ。
はいはいはい。
なんかすごくしたら、もしかしたらそれぐらいいくかもしんないけどね。
ひょっとしたら。
わかんないけど。
前回でも多分20万超えとかだったでしょ?
そうですね、20万超えでしたね。
だからまあおかしくはないっちゃおかしくはないけど、
さすがに30万って言ったら手が出せなくない?
いやいや手が出せないとかじゃない。
出さないとか。
え?
何言ってるんですか?
いやいやいや。
俺は買うよ、俺はね。
ああ、おお。
え、プロマックス買うってこと?
プロマックスっていう名前になるかどうかわかんないけど。
ああ、確かに確かに。
いっちゃえやつっていうやつですよね。
まあ一応そこはポリシーなんで譲れないんで。
すごいポリシーですね。
でもすごいですよね。
基本的に毎年買いますんで。
いや、なんか僕もニュースで見てね、
そのiPhone15がどうなるのかみたいな、
まあどういう、充電用の端子が変わるとかそういう話もね。
ああ、なんかUSB-Cに変わるのはほぼ間違いなさそうだね。
ああ、それ大きいですね。
そうそう、そんなんとかがあって。
僕も一応、まあ僕は買わないですけど、
iPhoneはね。
自分では買わないですけど、iPhoneは。
それもポリシーですか?やっぱり。
ポリシーですね。
いや、あの会社携帯がiPhoneなんで、
わざわざ自分でっていうのは。
いやいや、2台持てばええやん。
いっちゃえやつ。
いや、Androidも持ってるんですよ。
iPad miniもあんね。
俺も持ってるよ。
やめとこう。この系で張り合うのやめとこう。
いや、でもほんまびっくりしましたよ。
円安的なこともあって、
高額な価格と購入意欲
結構いくんじゃないのかみたいなのをね、
記事で見たんすよ。
ネギスさんこれどうすんねやろなと思ってね。
値段が結構上がるかもしれへんみたいなことを言ってる人がね、
三上陽さんがインタビューに答えてたんで、
これは信頼における情報かもしれんぞと思ってね。
これはやばいなと思ってね。
30万、ネギスさんどうして販んのかなと思ったんですけど、
買うということですよね。
まあまあ、値段はちょっと見てみないとわかんないけど、
基本的には買うつもりですよ。
でも考えたらすごくないですか?
手のひらに持ってるもんで30万もするようなもん、
手に持つことってある?普段。
いや、ちょっとね、さすがに高すぎるよね。
辻さんのスニーカー履いてるから変わらんような気もするんですけど。
いやいや、そんなことないでしょ。
確かにね。
プレミアがついての値段ですけど、
それを確かに踏んづけて道歩くってなかなかないんじゃないのか。
あとは、時計とかいいものを持ってる人は、
まあそれぐらいの値段は普通にするでしょうね。
するするする。
ほんまに好きな人とかは3桁万円とかのいくつも持ってるんで、
半分投資でされてる方とかもいますもんね。
ただ、スマートフォンっていう区切りで見るとちょっと高すぎるけどね。
そうですよね。30万ってすごいよ。
ちょっと前のは普通のMacじゃないですか?
ちょっと前とか今でも普通にMac買えるよ。
まあそうですかね。
すごい時代になったな。
ちょっとね。
見せてください。触らせてくるとは言わないんで。
見せてください。買ったら。
買ったらね。
ということでお便りが来ておりまして。
お願いします。
この聞き方の話なんですけど、
お風呂で聞いてるっていうのも結構ありましたけれども、
なかったね。
1時間部屋の掃除をするお供に聞くとめっちゃはかどるらしいですね。
広い部屋なのかな。
どうなのかな。でもほら掃除機かけるたりとか、
あとフローリング掃除機かけるだけじゃなくて、クイックルワイパー的なので拭いたりとかさ、
お風呂掃除とかもあるし、玄関の掃除とかもあるからなんやかんやで1時間でいけるんじゃないですか。
まあそうかもね。確かに確かに。
逆にちょっと今日余裕あるなみたいな日にはもうセキュリティのあれでも聞くかいうついでに掃除しながら聞けばかなりいいんじゃないですか。
まあまあポッドキャストとかラジオとかもそうかもしれないけど、
ながらができるっていうのがやっぱ強みですよね。
そうですね。いろんなシーンで聞いていただければいいかなと思いますね。
でですね、さっき冒頭でちょっと話したITメディアで、ライブで僕らセキュリティウィーク出たじゃないですか。
それに関してです。お便り来てまして、いつものポッドキャストと違って新鮮ですと。
動くし、内容はあれの復習があったりでも有益。
ただ動くからお二人の洋服が気になって、もしかして二人ともサイコバニーのTシャツ。
何を着ているのか詳細が気になりましたという。
サイコバニーそういえば前ポッドキャストで喋ったね。
グッチより対応が良かったサイコバニーっていうやつですよね。
よく聞いてるなあ。リスナーすげえなあ。
すごいですね。サイコバニーね。
ちなみに僕は残念ながらサイコバニーではなかったです。
僕も違いますよ。
僕サイコバニーは白いシャツ1枚ぐらいしか今持ってないなあ。
ちょっと待ってそんなところも見られてんの?やめて。
いやいやいや。
めっちゃ見られてます。
これでもあれですよ。そのうちこの間、この時のマイナビ、去年の夏のマイナビと
今年の夏のITメディアで同じTシャツ着てましたねネギスさんとか言われるかもしれないですよ。
でも本当、でもさあそれめっちゃ気にしてるよ俺。
僕も気にしてる結構。
だってさあその毎四半期ごとに何回かとかって同じようにやってるとさあ
季節が巡るとなんか似たような服着ちゃうことあるじゃん。
分かる分かる分かる。
そんな別に1年や2年で捨てませんしね、服なんかね。
あれひょっとしてこれ前着てたかもとかさあ。
あとほら記事とか残ってて、写真が残ってたりするからさあ。
そうですね。
なるべく違うのにしようと思ってます。いるけどね。
確かにね。
僕もなんかインタビューの時のTシャツ、例えば着てたやつと
セミナーとかっていうんだと同じの着る時ももちろんありますけど
セミナーで同じのとか記事で同じのとかできるだけ避けて、覚えてる限り避けてますね。
できればね。そこまでしなくてもあれかなと思ったけど
いや実際こうやって見てる人がいるっていうのは。
そうそうそうそう。なんかそのあんまりね自分から言うのはなんか自意識過剰みたいな感じで嫌ですけど
でもやっぱ見てる人は見てるということですよね。
そんなんお前らの姿が誰が気にすんねんみたいなさ。
じゃあみんなもうパネルになったらいいんじゃないですかね。
どういうこと。
いいかもしれない。看護さんパネルやもんね。
そうそう私はね、お二人と比べると楽させていただいてるところあるっぽいね。
確かにね。
一回やります?全員声だけっていう。
みんなパネルで。
怒られるよな多分。
怒られるっていうかちょっとそれはできればやめてほしいですみたいな大人の感じの対応されるんだと思いますけど。
いつかは看護さんも顔出しするってなったら逆に僕らが出てないっていうのもいいかもしれないですね。
俺らがパネルで。
そうそうそうそう。一人しか映ってないみたいな。
いやいやでもセミナー聞いてもらってありがたいですね。
そうですね。ありがとうございます。
でですね久々ですかね最近あんまりこういうタイミングとか時期もあるからだと思うんですけども
これちょっとお祝い的なことなのでスクリーネーム、Xのスクリーネーム読ませていただきますけど
よつやさんからですねCISSP合格したぜという。
おめでとうございます。
おめでとうございますということでスクリーネームなんでいいかなと思って読ませていただいたんですけれども
ちゃんとCISSPの合格したぞっていう写真もちゃんとつけてあげていただいてたんでねおめでとうございます本当に。
素晴らしい。
本当に大変だったと思います。
本当そうでしょうね。
なんか我々がポッドキャストお役に立ちましたでしょうかね。
そうですね。
そうですね。役に立ってたら嬉しいですね。
ぜひねこれ聞いてたんで受かったっていう風にいろんなとこで言い回っていただきたいなと。
そうですね。
一緒にやってる仲間が多分いるからね。
そうですね。
目指してる人とかね。
励みになるといいですねそういうのはね。
ありがとうございます。
最後のお便りなんですがこれちょっと質問です。
脆弱性情報のまとめ方のコツはありますか。
複数のソースが発表した情報をまとめて正確な情報を認識すべきと言われても一体どこを見に行けばいいんだろうとなってしまうという。
なかなか難しい質問ですよ。
これはもう看護さんじゃないですか。得意なところは。
そうですね。
えー。
えーじゃないですか。
難しいですね。
いやなんかもうここだっていうのがあるにはあるかもしれないですけど毎回ケースバイケースっていうか。
そうなんだよね。
ズバリこれだっていうのがあるかな。
まあもちろんあのね日本で言ったらIPAとかJPサートとかそういったところが出しているね公的機関が出している情報はまあもちろん信用できるところに値する情報ではあるので。
そういった情報を参照されるのはベストではあるんですけども当然やっぱ時間差があったりはするので。
そうなんだよね。
ちょっとまあ確認取れてからしか更新されないからちょっとタイムラグあるよね。
そうですよね。
ちょっと難しいですよねどこがってズバリって言うとなると。
まあ一般論答えになってないけど一般論で言えばそのまあ脆弱性であればそのソフトウェアのベンダーその脆弱性の対象となっているといえば公式のそのベンダーのところがまず第一で。
あとまあ今言ったその公的機関の情報と。
あとやっぱり最近だとその実際にそれが悪用可能かどうかとか。
公的が実際に来ているのかどうかっていうのがまあその緊急度に割と結びつきやすいんで。
そういうのを調べたり観測して報告してくれているセキュリティベンダーとかね他のベンダーさんの報告とかも本当は知っておいた方がいいし。
そうですね。
あとまあそういう情報って今ちょっといろいろ分散しちゃってるけどまあツイッターとかにねそういう情報ってリアルタイムで流れるからそういうのも追わなきゃいけないとか。
割と見なきゃいけない範囲が広いんだよね。
でそれがしかも毎回色々バラバラにばらけてるんで。
同じことを最終的に言っていればまあいいんですけど最近なんかあのバラクーダの。
なんかすごい抗がんしてて。
なんかね今週出たそのFBIが言ったやつとマンティアントーとバラクーダが言ってる話がちょっと矛盾してるみたいなね。
なんか合わないけどこれどっち信じたらいいんだって。
ちょっとあれおかしかったよねなんかね。
そうなるとつらいですよねウケる側は本当に。
あとまあその間違ってるわけじゃないけど不十分なというか完全じゃない情報が結構先に出て後から更新されるとかってことがまあまああるんで。
結構ありますよね。
そういうのもね追っかけていかないといけないとか途中で変わったりするからねそういうのもあって。
確かにだからこのねご質問されてそのリスナーの悩みというかなんかそういうのわかんないっていうのはまあみんな思ってることなんだよね正直言うと。
本当はそういうのが高齢危機感が何なのかわかんないけどもみんなが同じ悩みを抱えてるからどっかがまとめてやってくれるのが一番理想ではあるんだけどなかなかそうなってないっていうのはあるよね。
ベンダーとかっていうのもあるでしょ。
脆弱性の場合だと発見者が一番初めの情報って場合もありますからね。
そうね。
なんかどこ見るって結構あんまそんな意識したことなかったな。
その場その場でだからその今までの経験上さあやっぱりみんなアンテナがあるからその時に応じて必要なところを見れるっていう風になってるんだけどいざそれを全くない状態でやれって言われたらまあできないよね。
積み重ねていったここのサイトは情報が早いとかそういうのがね自分の中でできていくと早くできるのかもしれないですけどね。
なんか結構僕は埋めるべき項目みたいなやつ用意してそこにいろんなところが情報とでいて&取って埋めるみたいなことをするかな。
どんなもんなんていう概要と影響を受けるバージョンと対策だけじゃなくて緩和策と攻撃行動があるかないかと。
ざっくり言ったらそれぐらいなんですけど。
それを埋めていく作業を何回かやってみて。
自分に関係のない脆弱性でもなんでもいいからそれやってみて埋めていくっていう作業をしていったらここ見たらこの情報をちゃんと取ってこれるなとか。
こういうの確認が取れてるとかで情報を提供してくれるサイトやなっていうのがわかるから何回か練習してやってみる方がいいんじゃないかなと思いますけどね。
自分なりのその方を見つけるっていうかね。
まあ大体はそのみんなに共通してる方ってあると思うんだけど、
でも人によってやりやすいやり方ってあるからね。
まあ確かに今ついさんが言ったみたいに実践してみるっていうのがいいかもね。
過去に結構有名あった脆弱性の情報を自分で一回の収集してみるとかもいいかもしれないですね。
まあ慣れるのが一番かなっていうところかもしれないですね。
本当はそれがいいと思えないですけどね。
本当はどっか見ればいいんでしょうけどっていうのがあればいいんですけどね。
はいありがとうございます。
お便りいただいた方にはステッカーの印刷コードを差し上げますんでよかったら皆さんもお便りいただければと思います。
はい。
はい。
じゃあセキュリティの話をそろそろしていこうかなと思うんですけど、
今日はそうですね、じゃあネギスさんから行きましょう。
はい。
じゃあトップバッター行きますけども。
はい。
Juniper Networksのネットワーク機器のウェブインターフェースの脆弱性
今日はですね、ジュニパーネットワークスのネットワーク機器の
ウェブインターフェースの脆弱性の話をしようかなと思っているんですけど、
また管理インターフェースの話かよっていう感じなんだけど、
これ認証なしでリボートコード実行可能な極めて危険度の高い脆弱性なんですけど、
対象になっている機器っていうのがSRXっていうシリーズとEXっていうシリーズと2種類あるんだけど、
8月の17日、今月の半ば、今月じゃないかもう先月か、もう9月なんだね。
はい、9月ですね。
先月の半ばお盆休みぐらいにパッチとアドバイザリーが公開されたんだけど、
CVEとしては全部で4つ公開されてるんだけど、
今言ったみたいに対象の機種が複数あるので、
ざっくり言うと脆弱性の種類としては2種類あって、
一つが2位のファイルを認証なしでアップロードできますっていう脆弱性と、
もう一つがこちらも認証なしで、
PHPの環境変数の書き換えができますっていう、
このウェブのインターフェースとJWEBっていうのがPHPで書かれてるんだよね。
なのでそのPHPの設定は書き換えられますよっていうのが脆弱性で、
この2つなんだけど、
CVEとしては全部で4つなんだけど、
いずれもCVSSのスコアは5.3になってて、
これもエクスプロイタビリティのメトリックスは実はすごく高いんだけど、
アップロードができるとか書き換えができるっていう感じで、
インパクトメトリックスがすごい低くなってて、
完全性がローになってるけど、
あとの2つの機密性と可用性はなしになってるんで、
最高でも5.3にしかならないという感じなんだけど、
実はこれそのアドバイザリーでも書いてあるんだけど、
この2つの2種類の低着性を組み合わせると、
認証なしでコード実行までリモートからできますよということで、
CVSSのスコア的に言えば9.8相当になって、
これはクリティカルですと。
合わせ技1本みたいなね。
インパクトメトリックスが全部ハイになるっていう感じで、
極めて危険なんだけど、
ちょっとね僕はその今日取り上げたっていうか注目した1つの理由としては、
17日に出た最初のJuniper Networksのベンダーの公式のアドバイザリーに、
ちゃんとこれらの低着性を組み合わせることで、
認証なしリモートコード実行可能ですっていうことが明記されてるっていうことと、
あと普通だったらCVEの番号ことっていうかさ、
それぞれにCVSSの評価をするってのは普通なんだけど、
今回の場合とかはトータルでその組み合わせでCVSS9.8ですっていうことがちゃんと明記されていて、
パッと見てクリティカルっていうことが一応わかるようになってるんだよね。
珍しいんですよね。
これは親切でよろしいかなというか、利用者に誤解させないっていうかね。
今回のやつはスコア低いから大丈夫ねって誤解されちゃうと一番それがまずいんで、
それを避けるためにちゃんとこういうふうに表記してる。
表記の仕方が複数組み合わせでスコアをつけるっていうのが正しいやり方かどうかはちょっとはっきりしないけど、
でもわかりやすさっていう観点ではいいなと思いましたというのが一つ。
これが8月17日なんだけど、それから1週間経って8月25日に、
今度はですね、このWatchtower Labsってところがセキュリティベンダーなんだけど、
この脆弱性の解説記事を書いて、合わせてプルーフオブコンセプトの行動を公開しましたと。
これ比較的脆弱性の種類としてというか攻撃のしやすい脆弱性だったんだよね。
なので検証していろいろ調べたところ容易に特定が可能で、
それが実際に攻撃できると、悪用できるというのを再現可能ですよっていうことを示してしまったと。
そうしたところ、シャドウサーバーっていうこういう脆弱性の状況とか、
スキャンしたりとか、あと攻撃を観測したりとかしている団体があるんだけど、
そこがツイートで、ツイートでは今Xか。
ポストですね。
ポストしてたんだけど、このプルーフオブコンセプトの行動が公開されてからすぐに攻撃が観測されるようになりましたって言っていて、
なんで今から9月2日なんで、もう1週間くらい前からインザワイルドの状態になってますというこういう状況で、
これはいつものように商談とかいろいろそういうスキャン状況とかね、公開しているところがあるんだけど、
ちょっとばらつきがあるけど、だいたい数千台から1万台以上、多ければ1万台以上どうもこの管理インターフェースがインターネットに公開されているらしいので、
まあまあ影響があるんじゃないかなというのと、もうすでに何種類かの攻撃者が攻撃してるっていう話なんで、
これ該当する人はもうすでに多分攻撃を受けていると思った方がいいと。
まあそういう状況でした。
脆弱性の攻撃行動と影響範囲
ちなみにこの公開された攻撃行動を一応見てみたんだけど、さっき言った製作者の組み合わせって言ったじゃない。
実際どうやって使っているかというと、まず最初にその任意の行動を含むPHPのファイルを、まずその脆弱性を使ってアップロードしますと。
攻撃者だったら普通Webシェルとかね、多分そういうのをアップロードするんだと思うんだけど、まずこれが第一段階と。
で、二段階目でその今アップロードしたファイルを実行するように指定したPHP.iniファイルっていう設定ファイルだよね。
これをアップロードしますと。だから2回ファイルをアップロードしますと。
で、最後3段階目として今度は別の脆弱性を使って、今度はその今アップロードしたPHP.iniファイルが読み込まれるようにPHPの環境変質を書き換えて、
今アップロードしたファイルを読み込むと。そうすると読み込んだファイルが最初にアップロードしたPHPファイルを読み込んで実行するっていう、そういう多段階の流れになっていて、
で、最終的に最初にアップロードしたファイルが読み込まれて実行されますよっていう。こういう感じになっていて。
だから3回ウェブサーバーでリクエストを投げて最終的にコード実行まで持っていくと。
こういうのは自動化しているPythonのスクリプトをこのベンダーさんは公開してるんだけど、非常に公益時報自体はシンプルだなというか、
これはすぐに再利用できちゃうぞっていう感じなので、非常にやばいと思った方がいいかなという感じです。
今日取り上げたデザインとしてはそこまで珍しいものではないんだけど、
合わせ技1本というのが、ベンダーがちゃんとそれを明示しているというのと、攻撃方法としてちょっと面白かったので紹介してみたって感じですね。
まだまだ管理インターフェース外に開いちゃってる問題っていうのはあるんですね。僕らが思っている以上にあるのかな。
そうそう、これもまたかって感じですね。これの先週お休みしたけどさ、
イバンティのセントリーっていう製品でもあれも確か管理インターフェースの脆弱性で、そこそこの頻度でこういう管理インターフェースの脆弱性に対する攻撃っていうのが出てるよね。
だから今回のやつもね、パッチを当てて修正するっていうのが回避策なんだけど、
回避策というか修正なんだけども、一応ワークアラウンドとして書いてあるのは、
ウェブサーバーを止めるか、アクセス制御して管理インターフェースにアクセスできないようにしなさいというのが書いてあって、
まあ結局そうなるんですねっていう。
まあ本来そうなっておくべきものをやりなさいってことですね。
これもそうしとくべきだよねって話だよね、それね。
まあ管理インターフェースってのはやっぱりそうなっちゃうっていうか、
ひどくインターネット上に公開しとくリスクっていうのはやっぱりちょっとね、これはちょっと許容できないリスクなんじゃないかなという感じがしますね。
これだって出たらすぐに攻撃されちゃうっていう危険性ってリスク高すぎるよね、これね。
まあそうですよね。出てから探されてるというわけでもなく、多分普段から探されてるでしょうからね。
その空いてるリストみたいなものをおそらく作ってるでしょうから、すぐに攻撃に転じられるようにね。
いやでもなんか結構この外向きに何かいらんもんが空いてるって、
例えばRDPとかもそうじゃないですか。結構多いもので言うとね。
そういうのってこうシステム導入した時の確認とかってきちんとされてないのかな、そこちゃうんかなと思うんですよね。
そうだね。今回のやつもそうだけど、一番台ぐらいあるっていう話だけど、だいたいどれくらいが意図的に空いてるのかどうかっていう話だよね。
そうですよね。
意識してないで空けっぱなしになってるっていう可能性もなくはないじゃない。
今のRDPもそうだけど、ちゃんと確認してますかって言ったら、してないところが多いのかもしれないよね。
あとはその、空けてるだけやったら大丈夫っていう認識ももしかしたらあるんちゃうかなって最近思ってて。
あーちゃんと例えばパスワードとか書いてあるしみたいな。
認証をokにして、あとはものによったらね、多要素認証も使えるものもあるじゃないですか、そういう管理系のやつでも。
なるほど、容易には入られないから大丈夫って思ってないかと。
認証があるところやから、認証を固くしとけば大丈夫なんでしょっていう考えがあって、その認証なしで使える脆弱性があるっていうところまで知られてないっていうか、多くに広まってないのかなっていう気がする。
まあ確かにそこをちょっと過信してる可能性はあるよね。
認証ありでないとできひんものもあるけど、なしのものもまあまああるじゃないですか。
そこの伝え方誤ってきたかもしれんぞ、もしかしたらっていう。
こんだけ空いてるのを見るとそう思ってしまうんですよね。
単にずっあんなだけじゃないのかもしれないなっていう。
ああ確かに、そういう人たちはもしかしたらそういう人がいるっていう家庭で話すと、今回のもそうだし、
過去にも結構その管理インターフェース系で認証バイパスの脆弱性で行動実行まで行っちゃうってやつはまあまあよく見かけるけども、
そういうのに対するリスク評価がちょっとだから間違ってるのかもしれないね。
ちゃんと認証してるんで大丈夫ですっていうふうに収められて、あそうですかじゃあいいですねみたいになってるのかもしれないみたいなね。
あともう一つで考えられるのは、仮に見つかってもすぐにパッチ当てれば大丈夫でしょって思ってる人たちもいるんじゃないかなっていうか。
僕はそっちも気になってて、それだと今回の1週間ぐらいっていう猶予だったけど、早いか遅いかっていったら早いやつはもっと早く1日とかで来るやつもあるからさ。
だからそこがねあんまりそのスピード競争になっちゃうのはあんまり良い手ではないなっていう気がするので。
ちょっとギャンブル感あるなぁ。
そうそう毎回毎回必ずしも攻撃者よりも早くパッチが当てられるって保証は全くないから。
だったら最初からその閉じとくとかアクセス制御してそもそもそこのリスクを減らしておくっていう方が賢いよね。
精神衛生的にもいいですよね。
そうそうゆとりが持ってるもんね。
しかもね土曜日とかに来られたら負けちゃいますよね。
そうなのよ。週末の間にやられてるって実際あるからね。過去にもそういうのあったしさ。
そもそも減らそうっていう。
そんなに目新しい話じゃないけど改めてちょっと注意喚起というかね気をつけなきゃなって思いました。
伝え方も考えていかないといけないなって思いましたね。
そうだね。
わかりました。ありがとうございます。
じゃあ2番目は僕いきます。
お願いします。
アノニマスの抗議
僕が今日紹介するのはですね、福島原発のアルプス処理水の海洋放出についてアノニマスがわーっと言うてまっせっていう話をちょっと紹介しようかなと思います。
なんか一部で盛り上がってますね。
アノニマスが盛り上がっているのかセキュリティの専門家側が盛り上がっているのかちょっとよくわかりませんけど。
これですね、一応僕も見てはいるんですけど、2021年にこのアルプス処理水の海洋放出っていうのが決定したんですよね。
やりますよ、2023年にやりますよっていうのは決まってそのタイミングでこのオプ福島っていうのが立ち上がってるんですよ。
この時にターゲットリストとかがテキスト共有系のサイト、ペイストビンとかいろいろあるじゃないですか、ああいう貼り付け系の。
そのところに公開されていたんですよね。
そのリストの中には海洋放出と直接的にもしくは原発関係の組織と関係なさそうなところも結構入ってたんですよ。
それは今のリストにもそうなんですけど。
当時は今はなき、前回ですか、アノーファイルズ、カンゴさん紹介されてましたっけ。
今はなきアノーファイルズに東京電力の関連する情報が公開されたっていうのが2021年にあったんですよね。
調べてみると一個一個見たら全部公開情報なのにリークっぽく出してるみたいなものがあって、当時僕それブログに書いてたんですけど。
そういうものがあって、海洋放出するっていう風な2023年がきて、実際に今も行われてますけれども、
このアルプス処理室の放出が始まるちょっとぐらい前からこういう報道も増えてきますよね、国内外問わず。
7月ぐらいからかな、7月ぐらいからDDoSが上手くいったぞみたいな、ダウンしてるぞっていう証拠を貼り付けて
ツイッターに上げるっていうようなものが結構増えてきてたんですよね、アノニマス関連と見れるようなものが。
よくある手ですよね。
アノニマスと見て取れるアカウントっていうのはイタリアのアカウントが中心となってやってたんですけど、
それ以外にもいくつかDDoSしたよみたいなことをツイートしてるアカウントもあって、
中には過去に今年の1月ですかね、渋谷区のホームレスの強制退去っていうのがあってそれに反対するっていうのがありましたけども、
その時に渋谷区の区役所に攻撃を示唆してたようなアカウントも今回もちょこっと参加してるような感じでもありますね。
あとは他は見てみると、観光庁から盗んだという風な感じでリークした、不利をして出しているようなアカウントがいたりとか、
Xにも、あとTelegramとかにもこういうアカウントいるんですけど、調べてみると公開情報やん、これみたいなものばっかりだったりとか、
あとは認証なしでブラウザーでURL打ち込んだらアクセスできるようなライブカメラの映像のリンクリストを公開してたりとか、
あとは国内で流通しているルーターの脆弱性を使って処理水反対っていうような感じのメッセージに改ざんするみたいな、
いくつかのパターンのアノニマスもしくはアノニマスに関連すると思われるアカウントが出てきているっていうのが現状なんですね。
いろいろ見ててですね、僕もアノニマスウォッチして長いですから、ちょっとこれ僕も独自にちゃんと調べようかなと思って、
インタビューをしてみました。
いいね、ついさんといえば、突撃インタビュー。
突撃となりのアノニマスですね。
それでイタリアのアカウント、中心となっているようなアカウントですね。
これはちゃんと声明文とかもターゲットリストとかも出しているようなアカウントなんですけども、
直接連絡をしてですね、いくつか質問したので、その質問と答えをちょっと紹介したいなと。
はいはい、興味深いですね。
これは福島自体はさっきも言った通り、2021年に僕調べてブログに書いてたりとかするんで、
この2021年に同盟の作戦ありましたけども、そちらとの関連性は今あるんですか?って聞いてみました。
ないって言ってましたね。
これとはまた別の関連、前やってた人とは全然関係ないですよっていうふうなことなんで。
同じ名前だけどと。
リストは一部転用しているような感じはするんですけど、関係性はないというふうなことは言ってました。
あとはサイバー関係ないような質問もいくつかしてるんですけど、
イタリアと日本って結構遠いじゃないですか、物理的な距離が。
なので影響ってどれぐらいあるのかって押し量れない部分もあるんですけど、
どうして離れているにも関わらず抗議してるんですか?というようなことを聞いたら、
距離っていうのはあんまり関係なくて、
領土の問題、距離の問題じゃなくて、形の問題ですみたいなものがあって、
彼らは環境に優しいアノニマスみたいなところがちょっとあるのか、
海はみんなのもんだということで、ゴミ捨て場じゃないんだというのが彼らの主張だというふうなことが。
これは詳しいことは自分たちのブログに書いてあるので、それ見てくれみたいなことは言ってましたね。
あれだよね、もともとアノニマスってそういう環境保全的なっていうかさ、
以前日本もターゲットだった海洋生物保護的なのとか、
比較的世界中の知事を得やすいような主張で攻撃してくるっていうのは、彼らの一つのパターンではあるよね。
そうですね、いくつかパターンありますよね。環境系とか動物愛護とか、
あとは人の人権とかプライバシーとか、いくつかジャンルがありますよね。
人種差別とかね。
そうそう、それの環境保護系の人たちの主張かなっていうふうなところですね。
実際にやってる人たちが本当にそれを思ってるのか、単なるそういう建前でやってるのかよくわかんないけど、
そうですね。
面倒向かってこういうのって反対しにくい主張だから、彼らとしては攻撃の理由としては言いやすいよね。正当化しやすいっていうかね。
なかなか反証もしにくいってところもありますしね、専門家じゃないんで僕らは。
アノニマスの攻撃活動
あとは、これはサイバー系の質問でしたんですけど、攻撃の手段っていうのはDDoSのみなんですかってのを聞いてみました。
改ざんとかね、そういうこともしてくるのかなっていう、このイタリアのアカウントに対してですけども、
自分たちは攻撃活動をしているんであって、IT戦争をしているわけではないので、今のところそういうつもりはないみたいなことを言ってますね。
そういうつもりっていうのはDDoS以外で何かするつもりはないってことですね。
抗議をできればいいのでっていうふうなことを言う。
逆に言うと、DDoS攻撃は抗議だっていう主張だよね。
そうですね。IT戦争っていう直訳したこういう言葉を言ってましたけど、サイバー攻撃っていう感覚があんまないのかもしれないですね。
昔からアノニマスは最初からね、そもそもDDoSは抗議だ、デモと同じだっていう主張をずっと昔してたからね。
そういう流れにのっとっているといえば、あってるかもしれないね。
そうですね。昔リチャード・ストールマンもそんなこと言ってましたね。
このDDoSに関してもうちょっと突っ込んでみようと思ってですね。
DDoSにはブーターとかストレッサーといったいわゆるDDoS代行サービスを使ってるんですか?って聞いてみました。
ノーコメントって。
逆にさ、それまで普通に質問に返したのにノーコメントって意味深だね。
なかなかね。
ちょっと分かりやすいって言ってるかも。
これはね、どう取るかは聞いた人次第かなっていうところは。
肯定も否定も次第ってことだよね。
そうそうそう。ノーコメントということで。
で、どれぐらいの通信量のDDoSしてるんですか?って。
まだ食い下がるみたいな。
また来るかみたいなね。
一応ざっくりで、トラフィック量とかっていうのではなくて、1秒間に数千から数百万の接続をしているという風に言ってるんで。
それはどうやって測ってるんだろうなぁ。
そうなんですよね。
そういうのが出る何かがあるんですかね。
それこそブーターストレッサーでさ、性能を謳っているっていうかね、これぐらい出ますよって言ってるとか、
あとその料金プランによって、行営規模がこれぐらい変わりますみたいに、建前として言ってるところはあるから、
単純にそういうのを言ってるだけなのか、適当にでっちゃいけたのかわかんないけど。
だいたいああいうのでなんちゃらBPSかセッション数っていうかね。
そうそうそう。リクエストパーセックでこれぐらい出ますとかね。
まあいろいろなんかそういうのはあるけど、
まあでもぶっちゃけこの辺はその実際に攻撃を受けたところがどのぐらいのトラフィックが来たかっていう事実が正しいんであって、
攻撃側が言ってることはあんまちょっと好みにできないね。
やっしーは仮にブーターストレッサーとかを使ってても、
自分の今やってるこの攻撃ポチッと押したやつがどれぐらい今出てるのかってリアルタイムに記すべきは多分、
使ってる人側からは見えないと思うんですよね。
そうなのよ。攻撃側はね、正確な数字は把握してないと思うんで。
そうそうそう。なんでこのふわっとした感じとノーコメントを合わせるとやっぱツコトンかなっていう気はちょっとしたくもないなっていう。
いや、なんとなくだけどね。そのコメントはそういう感じがするね。
そういう感じしますね。
わかんないですけどね。推測でしかないですけどね。
攻撃の意図とターゲット
あとターゲットについても聞いてみまして、
攻撃のターゲット、いくつかリスト上げてましたけども、
アルプス処理水の海洋放出と無関係じゃないのかこの組織はっていうふうなものが含まれてるんですけど、なんでなんですかっていうふうに聞いたらですね、
主に原子力発電や政府一部の国の取り組みに関連する機関のサイトを攻撃しました。
いずれにせよ、抗議するということは広範囲に混乱を引き起こすことでもあるんです。
雷マークってきてましたね。
なんかお茶を濁してる。でも答えてはくれてるな。
そうそうそうそう。
でもなんかわかんないけど、実際に狙われてるところっていうかさ、
僕らからは彼らが攻撃したっていうところしか見えてないけど、
毎回この辺のアノニマスとかハクティビズムの話をするときはいつも言ってるけどさ、
表に出ない失敗した攻撃ってのを彼らは無数にやってるから、
単語ダウンって言えない、全然影響がなかったっていうところはそもそも攻撃したってことすら言ってないんで、
そういうのも含めるとかなりたくさんやってると思うんだけど、
まあどうなんだろうなあ。そんなにちゃんと目的を持って狙ってやってるとは思えないけどね。
なんかちょっと調べたことに書いてあったニュースにあったものとか、
例えば過去のやつで言うと、イルカとかクジラの反対のやつあったじゃないですか。
キリングベイとかオブホエイルスとかあったじゃないですか。
あの時にね、鉄道会社が攻撃のリストに入ってたんですよ。
これなんでなんて聞いたことがあるんです、昔僕も。
その時にはイルカとかクジラとかを運ぶやろって言われたんですよ。
そんなんもう全部やんみたいになってくるっていうね。
こじつけなんだよね。
まあ後からだったらいくらでも言えるっていうかさ、何かしら関わってるでしょって言われてばまあそうなんだよね。
例えばそういうね、イルカのショーを見るためのツアーをやってる旅行会社があるからっていうことでも攻撃対象になるわけですから。
だからね、いくらでも言えるっちゃ言えちゃうんで。
だから逆になんでなんだ、何か深い意図があるんじゃないかというふうにあまり考えずに見たほうがいいんじゃないかなっていう気はしますね。
そうなんだよね。
でですね、あといくつかあるんですけど、普段同じような抗議をしている方、同じ意思を持つ方々とは連携取ってるんですかっていう、
いろんなね、複数のこういろいろ今まで見ていると、この人はこの違う国のアカウントやろうなとか思う攻撃者いるわけですよね。
中東系とかいるんですけど今回のやつにも。
聞いてみたらですね、もうすごい模範回答のような答えがきましてですね、
We are Anonymous, We are Legionってきましたね。
なるほど。
答えになっとらんなっていうところがちょっとあるんですけど、まあまあこれはまあお約束の感じかなっていうね。
軽く言い出された感じだね。
そこはブレてない。
ブレてないです。なんかちょっとこう、なんかアノニマスも世代交代した感じはあるのになって思ってたんですけど、ちょっとこういうのはやっぱ残ってるんだなっていうのはね。
そこはね、ブレてない。
いやそうですね、なんかあの頃のアノニマスと変わっているところもあるなみたいな感じがちょっとはいしましたけれども。
あとはまあの処理水に関して、日本以外にも報出されている事実がありますけれども、そのあたりはどのように考えてますかっていうようなことを聞いてみたんですが、
これはの排出先の問題とかじゃなくて、あの排出管理業務が明確に透明性を持ってやられていないことにありますって言ってましたね。
まあこれだからその公益の一つのそのなんていうの、公実になってるのがさ、国内でもまあ反対意見があるじゃない。
はいそうですね。
環境破壊への関心
まあ地元を中心にというか、そもそもちゃんと合意せずに見切り発車した的な批判があったりとか、
抗議デモ的なものも国内でも行われてるしさ。
そうですね。
そういうのってきっかけになりやすいんだよね、公益が。
確かに確かに。
そのローカルでのそういう反対があるっていうのがグローバルに取り上げられたりとかすると、
それに対して反対を押し切ってやった。
はいはいそういう構図ですよね。
国家権力が民衆を踏みにじったみたいなっていうのは割とそのすごく公益対象としてしやすいっていう。
やり玉にあげやすいというかね。
っていう側面はちょっとあるかなって気がする。
もちろん環境破壊につながるっていうのは事実としてあって、
それが実際にその海洋にどれくらい影響があるかっていうのは正直これは本当にわからないというか長期間にわたって見ないとわからないんで、
安全だって言ってるのが本当は間違ってるかもしれないし、いや本当に安全かもしれない。
これはわかんないじゃん。
僕らね今現在はわかんない。
誰もわかんないわけじゃない。
そうですね。
ただその地球環境に何かしら影響があることは間違いないと思うんだけど、
ただそれ云々と言ってもさ、そこは正直勝ち負けがない議論なんで、
それよりも反対を仕切ってやってるけしからんっていう方が割とわかりやすいよね。
あの時の合意はどうなったみたいな話っていうのはさ、
国内でもいろいろある議論があるところだから、
せめる公益にしやすいっていうかね。
質問と回答は以上なんですけど、
今までずっと僕も10年以上、
ねぎしさんとの付き合いはアノニマスとの付き合いと同じぐらいの感じで。
懐かしいね。だってアノニマスがさ、
こんだけ有名になった2010年、2011年ぐらい、
最初に僕ら興味を持って調べ始めたところがきっかけだもんね。
そうそうそうそう。
あれからもう十何年経ってるけど。
うん、経ってるんですけど。
でもそんな大きく変わってないし、
国際的ハッカー集団みたいな言葉は未だに使われますけど、
そういう言葉に目くらましみたいな感じになってしまっている状況ってまだあるかなと思いましたね。
聞いてみて分かったことっていうのは、
やっぱりだいたい同じ感じでやってるなっていう。
そんなに大きくは変わってないなっていうふうに思ったんで。
変に大騒ぎする必要もないんじゃないかなっていうふうに思ってて、
普段気になることがあったら質問したりするアノニマスとかいるんですけど、
そのアノニマス自体が言ってましたね。
騒ぎすぎって。
なんかもう危なくないと困るんですかこの人たちみたいなぐらいのことをおっしゃってましたね、その人はね。
なので冷静に見るっていう。
攻撃者が何かではなくて、
実際に行われていることとかっていうのは冷静に判断するっていうのは、
この言うことでも同じようなことが言えるなっていうふうに思ったんで、
こういう裏側じゃないですけど、こんな感じらしいですよってことを皆さんに紹介したいなと思って、
こういう話をさせていただきました。
確かに騒ぎすぎかどうかはともかく、今回のアノニマスもそうだし、
他にもこういうオペレーションに参加している人たちって、
分かんないけどさ、どれくらいか分かんないけど、
中には目的と手段が入れ替わっちゃってる人って多分いると思ってて、
攻撃するっていうことが主になってて、
叩く先を探してるっていうか、
常にそういう先を世界中探していて、何かそういうネタがあれば飛びつくみたいなさ、
そういう人が多分一定数いるんだよね。
こういう人たちは何かを叩き続けてないと先へ進めないっていう感じの人が中にはいるんじゃないのかなっていうか、
この人たちがどうか分かんないけどね。
本当にこういう事態とか環境破壊とか、
そういう事態を本当に猶予していて、
真剣に考えていて、それに対するあくまでも一手段としてこういうサイバーでの
抗議活動というか、攻撃をするみたいなのもあると思うんだけども、
見てるとあんまりそういう感じはしないんだよな。
あとは僕見てて思うのは、
こういうのをしてて逮捕されてるのも何人か過去に海外でいるんですよね。
そういう海洋動物とか、環境破壊に対する反対みたいなことを言ってる人たちだけど、
サイバーの能力とかを持ってないとか、
こういう人たちをたきつけてやってるっていうのも少なからずあるんじゃないかなとは思ってて。
なるほどね。
そこはアノニマスに言うのかどうか分かりませんけど、
その辺も抗議する側も冷静に判断して抗議した方がいいんじゃないかなとは思うんですけどね。
今更言う話じゃないけど、
本来の処理水の海洋放出の問題っていうのはそもそもあるわけで、
これはこれで日本としてはちゃんと責任を持って取り組まなきゃいけない話じゃない。
そうですね。
それは別にして、今回のアノニマスだとかいろんなネットで騒いでる抗議活動があるじゃない。
これは実際のところどれくらい影響があるかっていうのと、
それに対するどう対応するかっていうのは、
それは本来の問題とは切り離して考えた方がいいような気がするっていうか。
そうですね。
実際どのくらい影響があるかっていうと、
アノニマスとかアクティビズム系の話って騒がれってなんぼの活動なんで、
騒げすぎちゃったらこちら負けになっちゃうからさ。
結構彼ら自身が報じられた記事とか、あるいは分析されたレポートとかを、
また彼らの成果、活動成果っていう形でまた拡散に利用されているというのも残念ながらあるので。
その辺は冷静に取り上げる側もというか、
例えば報道機関だったり、こういう行為を分析する、
僕らもそうだしセキュリティの専門家だったりとか、
一般の人がある程度こういろいろざわざわってなっちゃうのはしょうがないと思うんだけど、
そこはね、はい確かに。
そこにいくと年齢をくべちゃうようなことはしてはいけないんだよね、僕らはね。
そういうのをちょっと冷静にやらないといけないなという気はするね。
そこはセットかなって思ってますね、僕。
セットっていうのは?
結構そういうのでインタビューとかされること結構ありますけど、
これ以外でも黄色ネットとかもありましたけど、
そういう時にはこういうことが起きてるっていうのはみんな知っておいた方がいいと思いつつも、
加担するっていうのをできるだけ減らすバランスとしては、
大騒ぎするようなものではなくて本当に大事なところっていうのは別に、
リードスで落ちても大丈夫な資産もあるし、そこを見極めることの方が大事だ。
それは別にこういう攻撃者がいようがいまいが関係ないっていうことは合わせて言うようにはしてますね。
できる限り騒ぎすぎないように粛々とやるべきことなんですよっていう話はセットできるようにしてますね。
何もちゃんと対応できてればこんなの一時騒ぐ必要ないからね。
そうなんですよね。
なるほど、なかなか辻さんらしい突撃インタビュー。
本当ですか。
時々あるといいですね、こういうの。
分かりました。
最後は寛吾さんですね。よろしくお願いします。
私はもうまさに2人の話を足して2で割ったような話なんですけど。
そうなんですね。どういう数字なのか分からないけど。
足して2で割った?足したような話か。ちょっとボケてました。
通信機器の改ざん事件
ちなみに辻さんも少しお話しされてた国内の通信機器、おそらくルーターと見られるそういったもののログイン画面が多数改ざんされるっていう、
そういった事案が8月の末ぐらいから起きてますよっていう話を今日したいんですが、
おそらくはその処理スイートが、あるいはもしかしたら別かもしれないんですけども、
そういった形の何らかの主張をされたいという趣旨の下、
攻撃者がその通信機器のログイン画面ですよね。まさにさっき言った管理画面とかって言われてるような、
そういったものに入るためのログイン画面を改ざんしてそこに主張文を埋め込むっていう改ざん事案っていうのが、
おそらくはもう数百、報道なんかだと1500とかっていうのも報じられてましたけども、
結構な数やられているところが国内の危機で起きているっていう話があってですね。
これ結構深刻だなって私は思っていて、改ざんされて何か主張文が埋め込まれるっていう、
それはそれでまた別の意味では深刻かもしれないんですけども、
本質的にはそういうことが何をもってされたかっていうところが非常に深刻だなと思っていて、
さっき言ったX上で、おそらくこれに関与したと見られる人がこういう形の手口だっていうのを情報として投稿していたりもするんですけども、
それが本当に事実であれば、通信機器の脆弱性を悪用した結果改ざんを行っていると。
脆弱性の彼らの投稿している内容としては、ハードコードされた認証情報を使用して、
バックドアって言ってしまっていいのかわからないですけども、そういった情報を使って認証し、
その後また別の脆弱性として特定のプログラムにコマンド実行の脆弱性があるので、
そこに対してコードを仕掛けることで改ざんを行っていると見られる、そういった投稿がされていて、
脆弱性については投稿内容だとゼロでとかって書かれているんですけども、
見る限りその通信機器、すみません、ちょっと話が前後しちゃったんですけども、
スカイブリッジって呼ばれているセイコーソリューションズ製のIoT用のルーターではないかというふうに見られてまして、
そのIoT用のルータースカイブリッジについては、
今年の2月28日にセイコーソリューションズ自身が脆弱性がありますという形で脆弱性情報を出しておられて、
おそらくはその脆弱性を悪用した、要は基地の脆弱性を悪用された、
対応が改ざんされるまでにされてなかったと見られる、そういった機器に対して攻撃を仕掛けて改ざんをしたと、
そういった事例ではないかというところで、正直なところは実際に改ざんの被害に遭われたところが、
これこれこういう機器で改ざんに遭いましたっていう公表現状今出してないので、
外部から見えている情報でっていう、そういった前提にはなってしまうんですけども、
IPAなんかも先ほど申し上げたセイコーソリューションズが公表した脆弱性について、
8月の30日だったかな、注意喚起を出していて、注意喚起文中には、
攻撃が実際に観測され確認されてますっていうのも書かれてはいるので、
実際のセイコーソリューションズ自身も再啓という形で、また改めて2月に出した情報を出してはいたので、
その辺とかを踏まえれば、おそらくは基地の脆弱性を悪用したものっていうのを使って改ざんしたのではないかな、
というところではあるんですが、その脆弱性の中身、今お話の通り非常に何でもできるっていうんですかね。
リモートから攻撃者が自由にその機器を操作、あるいは改ざん、プログラム仕掛けるなんていうことができたりするので、
これ考えようによっては、改ざんされた機器っていうのは、例えば書断とか、
ああいったものを通じて確認が取れますので、そこにリストアップされている機器は脆弱性対応がされていないということがもう、
誰から見てもある意味は明らかな状態になっていて、別の攻撃者が改ざんとは別の悪用をするっていう可能性も当然ある、
考えられるケースかなと、何かの攻撃の踏み台にされたりとか、あるいはちょっとIoT用のルーターなので、
直接企業内に侵入できるかって、私は詳しくは承知していないんですけども、
例えばそれを取っ掛かりにして初期侵入に使われるとか、考えられなくはないので、
使っていらっしゃる方においては即時対応すべき事案でありますし、
かつ、もう攻撃にあっている前提でアクションを起こすべきだろうなと、ちょっと残念だなと思ったのは、
再掲されている注意喚起とかはあくまでも、脆弱性を修正するとか、
そういった趣旨で基本書かれているものなので、ちょっと被害に遭われている前提においては、
ちょっとこれそのままってなると少し十分でないんじゃないかなと個人的には思ってはいて、
例えば初期化とかは多分必要になってくるんじゃないかなと思うんですけども、
初期化の手順とかっていうのがマニュアルに一応書いてはいるんですけど、
書かれている手順で、例えばその改ざんとかプログラムが設置された状態っていうのが、
本当にクリーンな状態に戻るのかとかっていうのはわからないところがあって、
そこは多分問い合わせを実際に使っていらっしゃる方がしていただかないとわからないところではあったりするので、
ちょっとそこがあいにく記載がないので、できれば変えてほしいなとは思うんですけども、
使っていらっしゃる方は対応してほしいなと思ってはいつつ、
IoT用のおそらくDotaという形で、
使っているっていうのをそもそもあまり十分に認識していらっしゃらない方も、
それなりにいるんじゃないかなっていうのがちょっと気になるところではあって、
実際初段の改ざんされたとみられる台数なんかを見ていくと、
もちろん初段側の検索というか、サーチのタイミングにもよるかと思うんですけど、
最初私見たときは結構な数っていうんですかね、500とか結構な数があって、
少し減ったんですよね。その後400くらいになったんで、
なんか順次対応が進んでいるのかなと思ったんですけど、
今見たらまた560とかになってて、
もしかするとやっぱりあまり十分に対応が進んでないのかなっていうのが、
一旦改ざんページが消えたけどみたいな感じかもしれないですよね。
もしくは単に初段側の巡回タイミングのたまたま数字が減って見えただけだったのかなと、
実態としては全然対応がされてなくて、
そんな感じでちょっと見えただけだったのかなとか、
脆弱性と攻撃手口
そこはちょっと気になってはいて、
なので何とか使っている方にリーチできるように、
ベンダーなりあるいは公的な機関なりがしっかり呼びかけを頑張ってほしいなとは思っています。
これいくつか、製品の該当する製品いくつかあったじゃないですか。
はい。スカイブリッジとスカイスパイダーでしたっけ。
そうかな。この中にはVPN機能とかもあるやつもありましたよね。
はいはいはい。
なのでちょっと前にありましたけど、
VPNの設定で変更されてとかっていうことも使えるし、
それでアカウントとか作られる、
どういう設定になっているかわからないですけど触ったことないんで、
知らんうちにバックドアアカウントみたいなのがあったりとかしたら、
結局パッチだけだったら意味なかったんちゃうのみたいなことにもなりかねないと考えると、
結構気を配らないといけない範囲が広いのかなという気はしたんですよね。
はい。ログイン画面いじれるんで、ほぼほぼ設定の内容も全て使えるので、
ログイン画面いじれるんで、ほぼほぼ設定の内容も改ざんできると考えるのは自然ではありますよね。
そうですね。ログインのID、パスワードだけ残して他改ざんされてるみたいなやつがありましたしね。
被害の深刻さと対応策
これ気づきにくいというか、改ざんした人の日本語訳メッセージみたいなのにも書いてましたけど、
ルーターは損傷してないので通常通りお使いいただけますって書いてたっていうところが、
おもむき深いなっていう感じはしたんですけど、だからこそ気づきにくいんだろうなっていうふうに。
そうですね。繋がらなかったりすればそれで気づけるかもしれないですけど、
普通に動いていればわからないですからね。
これちょっと気になるのが、ほぼ国内でしか使われてない機器だよね。
そうですね。
半年前に公開されたもので、対応してないものがこんなにあるっていうか、
全部でどれくらいあってそのうちどれくらいが脆弱性未対応だったのかはっきりしないけど、
そうですね。
IoT機器の脆弱性対応っていう文脈で見ると、やっぱりちょっと難しいなっていうか、
いわゆる自動でアップデート更新がかかるとかさ、
何かしらそういう最新に保つ仕組みとかがないと、ちょっとこういう状況になっちゃうなっていうのが残念だなというのと、
いわゆる例えばIoTBotだったりとか、他にもいろいろ悪用の可能性って多分考えられると思うんだけど、
今回はね、アクティビズム系だったんで改ざんっていうわかりやすい攻撃だったけど、
さっきカンコさんも言ってたけど、いろいろすでにやられててもおかしくないというか、
何か埋め込まれてたり何かあったりもおかしくないんだけど、
ただね、僕ほら結構IoTBot系の調査普段からやってるんで、
特に国内にある機器で何かちょっと目立ったものがあったら、まあまあだいたいアンテナに引っかかるんだけど、
これはちょっとあんまり効かなかったなというか、
悪用されてるって話とかっていうのはちょっと急に来たって感じがしたので、
これまで国内限定の製品だったから見逃されていたのか、
でも今回一斉に改ざんっていうことが行われたので、
攻撃側は攻撃手法を知っていたわけで、
攻撃者の目的はねはっきりしないけど、仮にその処理性がダメだと仮にすると、
日本決勝から日本で使われている機器をターゲットにしてやろうって思ってやったというふうに考えられると、
どうやったかわかんないけど、今回のタイミングでよしじゃあ日本を攻めてやろうって考えたとすると、
割と時間をかけずに、これ狙い目じゃんっていうのが見つけられて、
攻撃実際やって改ざんまでできちゃったとすると、
それはそれでちょっと脅威だなというか、
攻撃の影響と対応
そうですよね。
見逃されてたのにしろ何なのにしろわかんないけど、
こういうものって決して特別じゃない、
LT対応ルーターなんてありきたりな製品だから、
こういうの他にもいっぱいあったら嫌だなっていう。
確かに確かに。
だしこれが現状なのかなっていうちょっとね。
そうですね。
なんかこのメッセージとは裏腹にこの攻撃をしたと思われるアカウントは、
その処理水以外のことを言ってるんですよね。
国民のプライバシーを侵害していることがわかりましたみたいな、
そっち系のメッセージも書いたりするんで、
何を目的としているのかいまいち分からんなってとこもありましたよね。
だからこういうのって厄介な、出張はよくわからんので、
何が本当の目的かわかんないんだけども、
でも攻撃した事実自体は割とそれなりにインパクトはある話。
今回ほんと単なる改ざんで済んだけど、
済んだっていう言い方はあれだけど、
もっと深刻でもおかしくなかったと思う。
そうですね。できることといえばもっとえげつなくしようと思う。
できるわけですからね、これね。
あとさっき寛吾さんが言った、
この裏で別に他の人たちが何かやっててもおかしくはないんで、
ちょっとそういう意味で、
意図はどうはれ、やられたことの影響の深刻さはきちんと冷静に、
これはまずいぞって思って対応しないといけないなっていう。
そうですね。あと漏れなく対応しないといけないってことですね。
なんかほら改ざんされただけでしょみたいなさ、
メッセージ埋め込まれただけでしょみたいな、
そういう捉え方危ないよね。
確かに確かに。
ありがとうございます。
ハンガーの紹介
ということで今日も3つのセキュリティのお話をしてきたんですが、
最後におすすめのあれでございますけれども、
今日私がですね、紹介するのはハンガーです。
え?ハンガー?
ハンガー。
ハンガーっていろいろあるよね、ハンガー。
僕が紹介するのはタヤっていうメーカーのスチールハンガーTシャツ用っていう。
タヤってメーカー自体名前初めて聞いたんだけど有名なの?
有名ですよ。
タヤシャツのハンガー作ってますよ。
あとディスプレイ、ディスプレイって僕らが言うディスプレイじゃなくて、
物を飾るディスプレイあるじゃないですか。
例えばバッグかけるとか、ああいうのとかも作ってるんですよね。
なるほどなるほど。いわゆる家庭用というよりは、
そういうショップ向けの専門?
そうですね。
そういうものも作ってるやつですね。
その中にはハンガーもいろんなハンガーがあって、
ホテル用のハンガーとか、ズボンもかけれる、ジャケットもかけれるみたいなやつがあるじゃないですか。
いろんなハンガーを作ってる中の僕が紹介しているのはTシャツ用っていうやつなんですけど、
形がちょっと結構変わっていてですね、
口では説明できません。
今写真を見てますけども。
これ説明できひんでしょ?
確かにちょっと難しい形してるね。
そうなんですよ。
凹んどるんですよ。どこがやねんって話ですけども。
要はどういうふうな凹みには意味がありまして、
干す時にTシャツってやっぱり襟元がどんどんデロンデロンなっていくじゃないですか。
できれば伸ばしたくないですよね。
でもハンガー通すとなると、襟元のサイズにもよりますけども、
ちょっと伸ばさないと入らへんとかあるじゃないですか。
せやから言うて濡れてるTシャツを下からハンガー入れるのもめんどくさいと。
なるほど。かける時にここに入れるのか。
そう。一旦くぼみにTシャツの襟元を一回入れたら、
引っかからないように入れられると。
なるほど。ここで奥まで入れるとスムーズに入りますよってことね。
そうそう。こういうのを作ってるメーカーなんで、
肩幅に合わせて横幅が4種類選べるっていうのもあるんですよ。
なるほどね。
だから自分の着てるものに合ったサイズで、
襟をできるだけ傷つけへんようにサッと干せるようにするっていう
Tシャツのことを考えたハンガーということで。
なるほど。だからハンガーによって干した状態を綺麗にというか、
あんまりヨレザレしないようにっていうか、
干した状態に合わせた形が違うようなハンガーとかも中にあるじゃないですか。
あります。ジャケット用とかやったら肩に当たるところの面積が広くなってる
ハンガーとかもありますよね。
ありますね。
俺最初そういう意図かと思ったけど、これはそうじゃなくて、
Tシャツを掛けるとき、選択終わった後、干すときに、
首から入れるときに首を広げなくていいような形状をしてるってことね。
そうそう。
考えられてるね。
そうなんですよ。なので干すときも多分気をつけずに、
昔みたいに下からやらんと、気使わずにでもササッと入れることもできるんで、
結構おすすめかなと思って。
これだからあれか、さっきのディスプレイって話じゃないけどさ、
分かんないけど、お店とかでこういうの使ってるの見たことないけど、
そういうしょっちゅう人が合わせたりとかして、外してとか、掛けてとかって、
なんかしょっちゅうやるような場合にはこれいいかもね。
いちいちそのときに下からなんかやってらんないじゃない?
うんうん。
普段家で使うときにそんなに頻繁には使わないかもしれないので、
むしろそういう場面が多いところではメリットがすごく活かしやすい。
そうですね。あとは全部が全部、ハンガーなんてそんなにお金かけたくないじゃないですか。
普通はね。
なので5本とか10本とか買っておいて、お気に入りのTシャツを干すときだけ使うとかでもいいかもしれないですけどね。
あるよね。長く使いたいみたいなね。
そうそう。これ長いこと着ておきたいな、痛めたくないなみたいなやつっていくつかあったりするじゃないですか。
うんうん。
そういうのにやってみるっていうのもいいんじゃないかなと思って。
これつゆさんは前から知ってたの?
はい。もちろんもちろん。
有名なんだ。知らなかったな。
多分有名なんじゃないですかね。
さすが。
いやいやさすがなんですか。
さすが。違いますな。
アノニマスの話してるときより褒められてるような気がする。
確かに。
もしよかったら自分の肩幅に合わせて買って使ってみてはいいんじゃないかなと。
ちなみにこれは購入手段は?
Amazonとかで売ってますよ。
そうなんですね。
Amazonで売ってるんだ。
サイズだけは気をつけてくださいね。4種類あるんでちゃんと見ないと。
さっき言ったね。
そういう感じでございますね。
ありがとうございます。
ということでまた次回のお楽しみでございます。バイバイ。
バイバイ。
