00:00
今日は2年ぶりぐらいの特別回というか、イレギュラー回というか、今日は2人なんですよ。
そうだね、寂しいね、ちょっとね。 そうなんですよ。なんかね、体の一部をどっかに忘れてきたみたいな。
そこまで? そうね。 なんかね、違和感あるんですよね。
まあいつも3人だからなぁ。 結構こんな違うもんかなぁなんて思ってて。
始まるところの、まあこれね聞いてる人はわからないと思うんですけど、始まる前にさあ行きますよみたいな時の感じがやっぱりいつもとちょっと違うと。
確かに確かに。でもさ、俺はやってないけど、ついさん、ほら、看護さんとよく2人でスペースやってるじゃん。
あーその収録がお休みの時期とかですよね。 そうそうそう。
やってるやってる。いやあれはなんかね、何も決めてないし、始まり方がいつも僕がチャンネルっていうか喋るところを作って、看護さんに僕がそのショートAボタンを押してみたいな感じで聞こえる?聞こえる?とかそんなことやってるから、
なんかこう構えてスタートする。スタートするって感じがあんまないんですよね。 あーそっかそっか。まあ収録とはちょっと違うか。
そうそうそうそう。だからあんまり緊張というか、そういうのはない。決まった型みたいなのはないかなっていう感じかな。
だからどうしようかなってね今日、雑談。 いつも通りでいいじゃん。
ほんまですか?なんかもうせっかく2人っていうこともあって、なんか2人の出会いから話していったろうかなみたいな。
何そのエモい話。
なんかもうニーズも何も考えず、そんな無視して。
でもなんかさ、出会いとか言われてももう昔過ぎて覚えてないんだけど。
ほんまですか?
最初のきっかけってこと?
とかほら、きっかけから一緒にいろんなことやり始めるまでみたいな感じですよ。
なんかないですか?いろんな人と出会うわけじゃないですか。仕事なりなんなりで。
でもそっから定期的に何か一緒にやるとかっていう人ってやっぱ一握りだと思うんですけど。
いやまあそりゃそうだよね。少ないよね。
なんでこうなったのかもわからないっちゃわからないところもあるんですけど。
ずいぶん前ですよね。始めは。
いや相当前。15年ぐらい前か?
そうかも。え?2009年?
9年ぐらいでしょ。確かに最初。
2009、2010ぐらいがオンラインでのファーストコンタクトみたいな感じじゃないですか。
まだ直接会う前だけど、お互い相手のことは知っていて。
時々SNSとかで絡みがあるみたいな感じだったよね。最初はね。
なんか一番、僕ら二人でね。
覚えてる、ねぎしさんが覚えてはる僕との最古の思い出ってなんすか?
え?最古の思い出?
仮に最古じゃなくてもいいですよ。一番古いやろな、この思い出なっていうやつ。
03:03
オンラインも含めて。会う前も含めて。
なんかSNSでやりとりした記憶はあるんだけど、何の話だったかな?
覚えてない。
覚えてない。でもなんか確か辻さんからも言われた記憶がある。
え?
すごいそれが印象に残ってるみたいなことなんか言ってなかったっけ?
あー言ったかもしれない。僕の中でねぎしさんとのやりとりの最古の思い出は
APTっていう言葉の日本語訳の、日本語訳って言えばいいのかな?
はいはいはい。
そのAPTと標的型攻撃みたいなそういうキーワードで、
それを定義は違うみたいな話をしてたっていう。
なんか当時生きてたからね、ちょっとね。
生きてたんすか?
生きてたんすか?
確かいろいろな用語の使い方に割と我慢ならない時期でさ。
はいはいはい。そういう時期だったんですね。
そういう時期だったのね。
多分それで言ったんだよね。それはでも覚えてる覚えてる。
なんかそのAPTっていう言葉はよくメディアとかで、
無理やり日本語にするとコードで必要な攻撃みたいな脅威みたいな。
あー当時そんな書き方されてたんですよね。
そうそうそう。だから僕もその頃はずっとペンテストばっかりまでやってた時期でもあるんで、
どっちかっていうと言われている言葉そのまま信じてしまう不思議がまだその頃はあって、
必要だったり高度だったりみたいな、測りにくい、
今となってはそれどうやって比べんねんみたいなもあると思うんですけど、
レベルの高い標的型攻撃よりも一段高いものみたいな。
あーなんかちょっと今だんだん話してて思い出してきたんだけど。
それは違うみたいな。
違うっていうかまあ今となったらどうでもいいんだけどさ正直。
当時はそのAPTって言葉を使い始めたのがそもそもアメリカの軍関係から始まってて、
で元々APTってのはその攻撃の手法とかそのHowじゃなくてWhoだと、
誰がやってるかが重要だみたいな話を確か当時知ってて、
でお前らの言ってることはみんな違うみたいなことを結構当時思ってて、
どうでもいいんだけど別に自分が言い出したわけじゃないからさ何を偉そうに言ってるって感じだけど、
ただまあそのほら言葉の標準理解って大事だから、
元々ほら自分たちが作ったもんじゃない言葉なわけだから、
最初に作って言ってる人たちが何を意図して言ったかっていうことは正しく理解しておいたほうがいいだろうっていう当時思いがあって、
で単にまあしかも英語だからさ、
Advanced Persistent Threatっていう言葉の表面だけを捉えて単にそれを訳した感じになっちゃうと、
全然やっぱりニュアンスっていうか全然違うじゃん、言ってる内容が違うから、
いやそうじゃないんだよなっていうことは当時伝えたかったんだよね多分ね。
06:04
なんか結構何往復かしたのを覚えてて、
それはそうじゃなくてもともと言ってた人たちはこういう意図で多分言ってるんだよっていうようなことを確か言ったんだよね多分。
だからなんかその僕もねそれを言われて、
そうなんやとやりとりをした後に思い始めて調べてみると、
やっぱりもともとその軍関係の人たちが、
攻撃してくる人たちの識別詞というかね、
コードネームみたいな意味で使われてたものが、
ちょっとマーケティングに乗っかってしまって、
そういう風に伝わり始めたみたいなことがわかってきたんですよ。
あれ結構衝撃的でしたよ僕。
そう、なんか当時はあれマンディアンだったかな、
どこだかもうブログかなんかで、
APTっていうのはこういうもんだみたいな、
ブログでカーブン解説記事書くぐらい、
あまり浸透、まだ浸透してなかったんだよね当時ね。
その頃と、ちょうどアノニマスがその後、
ブームというか盛り上がりを見せてくるじゃないですか。
そういうのが合わさって、
いろんなことをちゃんと調べなあかんなと思い始めたんですよね。
本当に調べていったらわかってくることと、
表面上でメディアとかセミナーとかでよく聞くようなことの、
内容の食い違いっていうのをすごく意識し始めた時期で。
ちょうどそのタイミングでその当時、
TwitterとかSNSがすごく広まって、
いろんな人とやりとりするのが当たり前になったじゃないですか。
こないだ今月か、
通知が来てアプリから、
あなたは15年前の今日Twitterを始めましたみたいな。
なんかあれ毎年来るやつですよね。
15年前か、確かにそうだ2009年ぐらいに始めてたなみたいな。
多分その頃だからTwitterと出会ったのもその頃なんだよね。
僕は2009年7月からTwitterを利用しています。
俺も同じタイミングなのよ。
ちょっと早いぐらいみたいな感じですよね。
多分ほぼ同じタイミングで始めたんだよね。
そういうタイミングだったよね、いろいろね。
そういう情報発信とかは当時そういうことも考え出して、
SNSで情報発信とかもしたいなとか思ってたし、
情報の収集も。
当時だから情報収集の方法にもすごいこだわり始めた時期でちょうど。
RSSとか?
そうそうそう。
どうやって海外とかも含めていろんな情報収集をして、
それを自分の中で咀嚼して発信していけばいいのかということに
いろいろ考えてた時期で。
いろいろ調べたけどブログでたくさん発信してたのもちょうどその頃で。
いろいろやってた時期だったよね。
スタート、いろんな新しいことをやり始めた時期でもあるかな、僕も。
割とね、そうそうそう。
僕にとってはそれぐらいの頃、
昔のツイッターやり始めて少ししてからぐらい、
09:00
2010年とかが情報収集元年的な感じがちょっとあるかも。
確かにね、その辺りだよね。
アノニマスとか調べたりとかね、そういうのが。
俺もその頃、標的型攻撃とかAPTとかアクティビストとか、
興味を持つ対象が結構いっぱいあってさ。
しかもちょうどそういうのが出始めた時期だったんじゃない、だいたい。
APTも2010年でしょ、オペレーションオーロラが確か2010年とかで。
懐かしい、IEの脆弱性使うやつや。
APTっていう脅威自体が大きくクローズアップされたのがちょうどそれぐらいのタイミングだったんで。
いろいろたくさん調べなきゃなーっていう時期だったんだよね、ちょうどね。
うまくそういうタイミングにハマったっていうか。
そうですね、アノニマスが一番きっかけかな、たぶんね、
ギサでいろいろやり取りするようになったの。
そうね、一段仲が深まったのはそこだよね。
だって、それまではなんとなくお互い同じ分野にいる人だなってのは分かっててもさ、
共通の興味っていうものがあったわけではなかったけど、
アノニマスはしかもそんなにあんまり詳しくみんな調べてる人が周りにいない中で、
この人はすごい詳しく知ってんなーみたいな人ってごく限られてたから、
自然と情報交換しだしてみたいなね、そういうのはあったよね。
懐かしいね。
そうですね、当時なんかね、日本の中でアノニマスの詳しい屈指の5本の指に入るって言われたけど、
そもそも詳しい奴が3人しかおらん時代っていう感じでしたよね、あの頃ね。
5本って言われても5人名前が挙げられないみたいなね。
そうなんですよ、3人でもう次出てこんみたいな。
他に誰かいたかなーみたいなね。
まあ調べたらいらっしゃるんでしょうけどね、学問的に調べてるとかいらっしゃるんでしょうけどね。
もちろんもちろん。
そうそう、そんなでしたね。
ありましたね、懐かしいですね。
ということであれですよ、これは辻ネギシ出会い編っていうところで。
これ続くの?
続きますよ、これ次回またいつかわかりませんけど、僕とネギシさんの会がもしあれば次また違う。
じゃあまた2年後ぐらいだ。
そうですね、次は旅立ち編とか。
どこ行くんだよ。
よく言うじゃないですか、外国人ってよくこういう旅とか航海とかよく言うじゃないですか。
こういう旅が始まったみたいな、そういうので。
アノニマス以前、アノニマス以後みたいな感じというかね。
確かに。
いつなるか知らんし、覚えてるかどうかも怪しいですけど。
じゃあ次は旅立ち編でお会いしましょう。
そうですね、終わるからお会いしましょう言うたら。
今始まったとこなんですよ、言うても。
そうですか。
お便りが今日も来ておりまして。
お願いします。
垂れ込みがまたございまして。
前回かな、かんごさんがクラウドストライクの話をしましたよね。
ファルコンの大障害ね。
そうそう、ファルコンの大障害ってすごい歴史的な話に聞こえますね。
12:05
いやいやいや、歴史的な事件でしたよ、あれは。
確かに確かに、そうですよね。
それに関してですね、対応してたっぽい方というか、食らっちゃったのかなこれ。
現場で対応した人ね。
いっぱいいるだろうね。
それで、ワークアラウンド、これチャンネルファイルが問題だったっていうので、
チャンネルファイルの削除というものがXで広く知れ渡ったせいで、
Windowsが普通に起動した状態で当該ファイルを削除する人がたくさん出てきましたと。
なるほど。
この状態でファイルを削除すると、ファルコンは動作しているのでもちろん、
自己改ざん検知機能という、不正にファルコンを止めようとすると検知する機能があるんですけど。
本来の手順ではセーフモードにして消すとか、いろいろちゃんと手順があるのに、
そうじゃなくて単にファイルを消すっていう部分だけが知れ渡ってしまったってことね。
そうそうそう。そうなんですよね。
結果として、この自己改ざん検知の機能による大量のアラートが監視している側に通知されて、
ブルースクリーンの対応も必要なのに、そもそもアラートの取り合わせ作業をしないといけないということが加わってしまったと。
この方はダブルのDOSで機能を停止となりましたという。
余計なことをやっちゃったみたいだね。
そうそうそう。
これでおそらく他のSOCやセキュリティチーム、上司も同じ状況だったと推察されます。
対応に当たられた皆様お疲れ様でしたというお便りが来ておりますね。
まさに前回看護さんが言ってた、デマとまでは言わないけど不正確な情報がツイッターエクストで広まることによって、二次被害というかそういう感じだよね。
そうですそうです。
起きなくてよかったはずなのに、障害対応でさらに被害が拡大しちゃうというか、余計なデマが増えちゃうというか。
しかもそれって多分上司数の人の対応負荷が上がるってことに結局なっちゃって、むしろ仕事を増やしてるもんね。
そうなんですよね。
なるほどね。実際にそういうのがあったのか。
みんなが口コミみたいな感じで、みんながこうやったら嫌らしいぞみたいな。とかもね、監視とかしてる立場とかだったらね、監視先って全部各々のお客さんですしね。
複数それが発生するわけで、複数組織で発生してることが即から見えるわけですから。
ただれさえね、わちゃわちゃしてるのにさ、加えてだもんね。
そうなんですよね。
それはお疲れ様でした。
いやー、美境感やなーって思いましたよね。なんかあった時に勝手に触る触らへんっていうところは、自分の組織ならまだギリギリいけるかもしれんけど、即の目から見るとなかなかそういうところ抑制かけらんないですよね。
なんかそういえばそれ、クラウドストライクとマイクロソフトかな?後日談で出てたけど、被害規模が850万台とかって出てたね、そういえばね。
15:00
出てた出てた。ものすごい台数ですよね。
そう、すげーと思ったけど、それを多いと見るか少ないと見るかはあれだけど、結構EDRとしてはファルコンってシェア高い方だから。
そうですね。よく聞きますしね。
それぐらいの製品規模になると、1000万台近い全世界で被害が出るって相当だよね。
相当ですね。
だってあのほら、ちょっと古い話であれだけど、ワナクライとかさ、
はいはいはい、2017年。
全世界でとかって言ったけど、あれはインターネット経由でワームで感染するってやつで、あれもでも多くても20万台とか100万台とかって言ってる話もあったけど、もうちょっと多分少なかったと思うんで。
そうですね。
層玉と比べたら桁が違うからね。
ワナクライはなんかほら、一応あれ久しぶりにワームって言葉聞いた事案だったじゃないですか。
そうだね、10年ぶりぐらいで聞いたって感じだもんね。
でもなんか昔ワームが流行り始めた頃ってまた多分2000年とかですかね。
2000年、2001年とかがコードレッド、ニムダとかあの辺、スラマーとかあったと思いますけど、2000年から2008年ぐらいまで流行ってたかなワームって。
そういうのってこうね、ずっとルーターが家に入るのが当たり前になってるから今。
自家つなぎが少ないじゃないですか。
まあまあね。
ああいうSMBが露見してるっていうのは少ないから、あんだけの被害で済んだんかなと思いますけどね。
まあそうね。インターネットに露出してるかしてないかというと、今回みたいなエンドポイントって必ずしも別にインターネットに繋がってなくても可能性としてはあるから。
でもアップデートがあるからな。何らかしら疎通はないとダメかもしれないけど。
まあでもそのね、利用規模とかも多分違ってると思うけど、こんなになっちゃうんだなっていうのはちょっとね、肝に銘じておきたいっていうか。
いや本当そうですね。
うん、なるほど。いや現場で対応した人お疲れ様でした。
そうですね、この方以外の方も多分聞いてる方でいらっしゃると思うんでね、お疲れ様でしたということでございます。
次のお便りなんですが、私の担当するIoTの講義の中で番組を紹介させていただきました。
ノーティスの井上室長、当時ご出演の回は、IoT機器の悪用を防ぐ活動をどのように進められてきたのかを知る良い教材だと思っています。
加えて学生たちがリスナーになれば試験も受かるのではないかと願掛けも込めて、という私も拝聴を始めてから情報処理安全確保支援試験に合格した者の一人です。
おめでとうございます。
すごい。
え、それ講義でってことは、大学とか?
先生なんでしょうね。
ってことだね、教えてる側ってことだよね。
ありがたいですね。
学生さんに教えてる方なんでしょうね。
そういうところで紹介してもらえるの嬉しいね。
これでみんな受かったらやばいですね。
やばいね。
それはでも多分この先生の手腕だと思います。
そうね、そうね、ポートキャストの影響ではないね。
18:00
おめでとうございます。
これは主にネギスさんに対する話だと思うんですけど、
質問とかではないんですけれども、
少し時間ができたので、長年どうするか悩みに悩んでいるパスワード管理問題に少し取り組む。
セキュリティのあれでネギスさんがずっとお勧めされているパスキーをどう運用するのが最適解なのかを考え中。
なんとなく仕組みは分かってきたけど、具体的に何をどうするのかをもうちょい深掘りせねばというお便りが来ていました。
なるほど。確かにね、パスキーだいぶ普及してきたけど、まだまだこれからって感じだし。
そうですね。
あと使い方も今のところ一番メジャーなのはスマホのデバイス。
iPhoneであればAppleのアカウント。
AndroidであればGoogleのアカウント。
で、それぞれパスキーを同期して使うっていうのが多分一番メジャーで。
で、実験としてワンパスワードみたいなパスワードマネージャーで使うと、プラットフォームに存せずに使えるので、そういう使い方もありっていう。
そっかそっか、OSというよりアプリでやるっていう感じですね。
その辺がどれがいいか。で、今のところそれらをインターオペラビリティっていうか、なんて言うんだ。
日本語で言うてもらっていいですか。
日本語が言えばちょっと思いつかなかった。複数のプラットフォーム間で相互に利用っていうことができないので、
Appleでパスキー作っちゃったら、Appleでしか使えなくて、基本的には。
なのでそれを全然違うところで使おうと思ったら、例えばスマホでQRコードをかざしてとかっていう連携が必要になってくるとか、
Googleの方でパスキーを使っちゃうと、GoogleのパスキーとAppleのパスキーとは全く別々になっちゃうんで、
その辺の自分としての使い勝手の良い方法っていうのを見つけないと、あっちこっちに分散しちゃうってことになりかねない。
余計に煩雑になりかねないってことですね。
ということが起こり得るので、その辺は使い始める前に要検討って感じかもしれないね。
それあれですか、さっき言ったワンパスワードのレイヤーでやればそういうこと気にしなくていいってことなんですか。
そうそう、ワンパスワードがパスキーをサポートしたのがちょっと遅かったので、
僕はもう先にAppleとかで使い始めちゃったから、今更いいやって思っちゃったけど、
今から始めるんであればワンパスワード以外にも多分パスワードマネージャーでパスキー使えるってところはあるはずで、
サードパーティーっていうか、そういうやつを使えば特にプラットフォームに依存せずにどこでも使えるので、それもありといえばあり。
今ならそういう選択肢もあるってことですね。
そうですね、やる前にちょっと自分なりにどれが良さそうかっていう検討をしておかないと。
21:01
やり始めてからだと戻せないとか面倒くさいとか煩雑になるっていうのがあるからね。
そうなんだよね。
あとはどこを信用するかみたいなところもあるのかな。
結局はどのサービス、どのプラットフォーム、あるいはどのデバイスを自分でちゃんとセキュアに管理するかっていうことが一番重要だよね。
そこがやられちゃうとね、結局そこから芋づるしきに他のやられちゃうっていうことになるんで。
悩みどころですよね。
なかなかね。
僕もワンパスワードの方でとか考えたりはしてるんですけど、どうしようかなっていうね。
あとパスワードに代わるもんだから、パスワードマネージャーに保存するっていうのは自然といえば自然なんだけど、
何でもかんでもそこに集中しちゃって、例えばワンパスワードがやられたら大丈夫とかね。
そうなんですよね。
だからそういう、できれば一般のユーザーにそこまで要求するのはちょっと無理だけど、
少なくともエンジニアとかある程度セキュリティを志してるとか、セキュリティ詳しいような人は、
仕組みをちゃんと理解した上で使うべきだと思うね。
そうですね。
ちょっと悩んでいただいて、自分に合うっていうのと、これならって思えるやつを選んでもらうのが一番かなっていう感じのものですよね。
最後のお便りなんですけれども、これ僕が紹介したレポートのことに関してのご意見だと思うんですが、
前回の40ネットのやつ?
そうです。特に罰則を与えられた経営層みたいな話ちょっとあったじゃないですか。
あったね。意外に多かったみたいな。
そうそう。それに対してなんですけども、インシデントを起こしたら、罰則を与えるようにすると隠蔽や責任転換が発生しないか。
社内のセキュリティを保つには気軽に声を上げられる雰囲気が大事だと思うという、
なんかちょっとこう最近あんまり口にしてなかったことを言ってくれたなっていうのでハッとしました。
ずっとよく言ってたけど。
ただね、現場で何かミスをした人個人に対する罰則はあまりよろしくない。
それはルールをちゃんと決めなかった組織が悪いとか、
ちゃんとその手順通りやったのに何かミスをした個人を責めるのはそもそも筋違いっていうかね。
という話と、前回のレポートの話はその責任者たる組織の長っていうか、
マネジメントに責任を取らせるっていう話はちょっと多分違うと思う。
何かあった時に組織のトップが責任を取ることは当たり前の話なんで、
現場は悪くないと、悪いのは俺たちだというふうに会社のボスがね、責任は俺が持つからっていう風になるっていうのはそれは正しいと思うんだけど、
そこの罰則っていうか何だろうな、前回も罰金だとかさ、
あとまなり給与とかボーナス返上とかわかんないけど、
24:01
手当なくすとかそういうのはよくありますよね。
経営陣がしっかり監督できてなかったとか、セキュリティの問題をちゃんと対処できてなかった、
セキュリティは経営の課題だみたいなさ。
よく聞くやつね。
まさにそれを字で言って、それがちゃんとできてなかったのはマネージメントの責任ですって言って、
何かしら責任を取るっていうのはあっても良いかなと思うのね。
でないとまたその失敗を繰り返すわけだからさ。
そうですね、組織の形としてもあるべき姿の一部ではあるかなと思いますね。
それに対してお便りで言ってるのはまさにその通りで、
現場の個人にそういうことを責任を押し付けちゃうと、
むしろ隠したがるっていうのはまさにその通りなんで、
それはもちろん逆にルール通りにちゃんとやってたら、
別にミスっても罰則なんかないからちゃんと言おうねっていう雰囲気を作るっていうのは大事だよね。
じゃないと隠蔽体質になっちゃうからね。
迷路の訓練にしてもそうですよね。
そうだね、そうそう。
何で何か過失なのか、違反や行為なのかによっても違うかなと思いますね。
明らかに犯罪行為とか行為に違反行為をするってこれはダメだ、それは罰則がないとダメだと思うけど、
そうじゃない場合ってことだよね。
ミスってしまった場合とか、違反も結構難しいかなと思ってて、
ルールがおかしすぎて違反する人が多すぎる問題みたいなのもあるじゃないですか。
それはルールの方を変えなきゃいけないよね。
そうそう、例えばいちいちファイルにパスワードつけてファイルをサーバーに移すときには指紋認証付きUSBってなんて運用回らんやろみたいなものがあったりするじゃないですか。
ルールはルールとして基本守らなあかんもんとはいえ、それで現場が回れへんのやったらそれはルールの方が間違ってることも考える必要あるんじゃないのとは僕は思いますね。
確かにね。
これちょっと最近意識できてなかったことなんでハッとしましたこれ。
雰囲気づくりの大事さってことですね。
ありがとうございます。お便りを読んだ方にはステッカーの印刷コード5種類プラス1のシークレットがあるんでどれが出るかわかりませんが、また他の方もどしどしお便りいただければなとセキュリティーのあれハッシュタグつけてツイートしてください。よろしくお願いします。
お待ちしてます。
はい、ということでセキュリティーのお話をしていこうかと思っておるのですが、じゃあねぎさんがいきましょうか。
今日はですね、ちょっと小ネタを2つほど紹介したいかなと思ってるんですけど、そのうちの一つはですね、ちょっと実は前回の話のちょっとフォローアップをしたいなと思っていまして、
まずそっちからいくと、前回ね、スクエアスペースっていうレジストラーでドメインハイジャックの事件が起きましたっていう件を取り上げたんだけど、
ちょっと前回の収録時には気づいてなかったんだけど、収録の直前というか前日くらいかな、公式のポストモーテムが出ていまして、
27:01
その内容をちょっと紹介しておきたいというのは、前回は外部のセキュリティの研究者から見た攻撃っていう方法を紹介したんだけど、
はいはい。
公式の声明ではどうなってるかっていうところですね。
その事後レポートが出てたんですね。
今回その紹介する公式のレポートによると、ハイジャックの原因は何だったかっていうと、
オースによるログインの仕組みに実は問題があって、何か脆弱性があったのかな、ちょっと具体的なその詳しい何が問題だったかってことは書いてないんだけども、
その仕組みに問題があってそれを修正しました。7月の12日に修正しましたって書いてあって、
前回その外部のリサーチャーが言うには、そのメールアドレスでログインする仕組みで新規でアカウントを登録するときに、
本来であればメールアドレスが本人のものかどうかっていう確認するプロセスがあるべきなのに、
それがなかったがために攻撃者に勝手にアカウントを、本人がマイグレーションする前に第三者が勝手にアカウントを作ってしまって乗っ取られたみたいなことを言ったんだけど、
公式の声明ではそれは全然違いますということらしい。それが原因で乗っ取られたアカウントは一つもありませんって明確に書いてあって、
乗っ取り被害にあった、数は書いてないけど、少数っていうことらしいけども、すべてこのOOSのログインの仕組みの問題が原因ですって書いてあって、
なので原因がちょっと違ってたようだというのが一つなんだけど、それでそうなんだと思ってたら、実はその後今週になって、
別のDYDXっていう、これも暗号資産関連の分散取引所というサービスなんだけども、ここがドメイン乗っ取られましたっていう被害を訴えていて、
ここもスクエアスペースを使っている。なんだか直ってないじゃんと思ったわけ。そしたら彼らもポストモーティングで自分たちから見た被害状況というか事故のレポートを書いてくれてるんだけども、
そもそもは今言ったOOSの脆弱性っていうのを自分たちも利用されて、一度7月の9日に乗っ取られてるんだって。ただこの時は直って特に問題は発生しなかったと。
ということなんだけど、今週の7月23日になってもう1回乗っ取られたと。それは今回修正しましたってスクエアスペースが言ってたのとは全然違う手法で、これは一言で言うとソーシャルエンジニアリングでしたと。
ソーシャルエンジニアリング?
いわゆるカスタマーサービスに、電話なのかメールなのかわかんないけど、スクエアスペースのカスタマーサービスに連絡をして、本人じゃないのに自分がこのドメインの所有者であるかのように偽の情報を提示して、
30:04
メイドアドレスパスワードとかのアカウントの肝になる情報をサポートに変えてもらったらしいのね、どうも。
変更してもらうってこと?
だからよくあるさ、アカウントのログインパスワード忘れちゃったんで、リセットしてくださいってサポートに連絡するってあるじゃない。
ありますあります。
あれです。攻撃者は何らか、ちょっとそれも詳しく書いてないんだけども、何らかの方法でこのそのdydxの管理者の不利用して襲って、カスタマーサービスに連絡をして、だからそのスクエアスペースのカスタマーサービスがちゃんとその確認をせずに騙されてしまって、ソーシャルエンジニアリングで。
アカウントリカバリー処理をしてしまって、攻撃者にアカウントを渡しちゃったってことだよね。
で、乗っ取られたということで、これも幸いすぐにそのスクエアスペース側とやり取りをして元に戻ったんだけど、ただ今回は実際のそのこのdydxを使っているユーザーに被害が出てるっぽくて、
イサリアムとか何だか取られたユーザーがいるっていう話が書いてあるんだけど、実被害もちょっとは出てるらしいんだが、立て続けに問題が起きたので、この会社はゴーに言わして、お前のところは使わないって言ってレジストラを変更したみたいなんだけど、
ちょっとこういう感じで、先週話した内容が少し違ってましたというのと、それ以降、必要に暗号試算関連を狙う攻撃自体はどうも続いているようなので、引き続きこういったサービスを運用している人もそうだし、使っている人、このリスナーにどれくらいいるかわからないけど、こういうサービスを使っているという人はちょっと気をつけた方がいいかもしれない。
知らない間に自分が使っているサービスのドメインが第三者に乗っ取られているというケースが、ちょっとここ最近続いているので、まだ落ち着いたかどうかはちょっとわかんないというか、元々の原因となった贅沢性はスクエアスペースが修正しましたって言ってるけど、今回みたいな他にもあるというか、他の方法を使ってでも乗っ取ってやろうっていうのは結構わりと攻撃者側が粘着している感じ。
モチベーション高いですよね。
そうそう。なので、それなりの動機がある攻撃者がやっているのかなという感じなので、その辺が要注意かなという感じです。
そうですね。なんかその最初の方のOOSの方のやつに関しては、このスクエアスペースが出しているレポートを見ると、結構自信ありそうな書きっぷりですよね。特定して、なんかこう、当社のセキュリティチームはレッドチーム分析をしましたって書いてるから、ちゃんと特定して直したでっていうのは自信ありげやけど、その2つ目に紹介してくれやったの取引所でしたっけ?このDYDXの話は、
これでもユーザーが頑張れる余地ないですよね。
そうそう。これはどうしようもないので。
33:00
仕組みの問題やから、結局なんか変なことが起きてるって気づいたら、きちんとこのレジストラとか関係するところに連絡できるような術をこちらで用意しておくぐらいしかないってことですもんね。
そうなんだよね。あと、このソーシャルエンジニアリングって、どこに対しても通用する攻撃手法ではあると思うので、だから結局サポート側がちゃんとその相手を確認する手段があるかっていうか、そういう手順があるかとか、ということになってしまうので、これはね、なかなか厳しいので、それこそ先週言ったみたいにそういう対応がしっかりしているサービスを使うっていうぐらいしかない。
利用する側は対処の仕様がないので、今回そのレジストラ変えましたっていうのもいたしかたないかなっていうか。
そうですね。使う前に見る先定基準みたいなとこなのかな、こういう忘れたときのリセットってどうやったらできるんだろうってあんま考えないじゃないですか。
ただそのサポートがどれくらいこういう攻撃に対して贅沢かどうかっていうのは使う前にはわからないでしょう。
使ってからこの仕組みまずくねって思うかもしれないけど、使う前は確かに知るすべがないかもしれないですね。
あとこれは別に今回のケースに限らないけど、本当にアカウントのリカバリが必要なときにサポートとか柔軟に対応してくれるってことは、実はユーザー側にとってはプラスでもあるので、
確かに、何かあったときはそうですよね。
今回はその裏をかかれちゃった感じだけど、難しいよね。その辺のトレードオフが難しいなって思いましたね。
攻撃側がそれだけちょっと巧妙だったかもしれないね。
昔もレジストラの登録情報をFAX一本で変えられるとかありましたよね。
あったあった。そう。そういうところは狙い目なのかもしれないけどね。
確かに確かに。
そういう先週話したときからちょっとね、親親って感じで。
状況が変わった。変わったというか追加もされたみたいな。
これで収束して終わればいいけど、ちょっとわかんないので、引き続き注意はしましょうって感じですね。
という感じで、それが一つ目ですね。
二つ目いきましょうか。
これだけだとあれなんで、せっかくなんでもう一個ごネタを紹介したいんですけども、
二つ目はですね、全然今とは違う話なんですけども、
今週ちょっとGoogleのセキュリティのブログで紹介されてた記事なんだけど、
Chromeのダウンロードするときのファイルのチェックする仕組みっていうのはもともとあるんだけど、
それが少し変わりましたっていう記事が紹介されてて。
あれか、エグゼ落とした止め寄るやつかな?
そうですそうです。それですね。
何が変わったかっていうと、大きく3つ変わったポイントがあるんだけど、
一つ目はユーザーインターフェースがちょっと見やすくなりましたよっていうかわいらしい変更なんだけど、
もともとはね、Chromeのブラウザの下の方にお前怪しいファイルダウンロードしようとしたからブロックしたでみたいなのが出てくるんだけど、
それが今度からは右上のダウンロードのボタンのアイコンのところにポップアップでもう少し詳しく分かりやすく表示するように変えましたと。
36:07
統一したんですね、場所を。
そうそうそうという感じで、これは分かりやすさ重視でいいかなというふうに思いますと。
というのが一つ目。それからもう一つが、今までは単純に危ないからブロックしたでだけだったんだけど、
今度からはちょっと2種類に区分しますということで、これはセーフブラウジングの機能を使って、
既にマルウェアだとか危ないって分かっているファイルとマッチした場合にはこれはもうデンジャラスだからこれはもう絶対ダメっていう感じでブロックしますと。
で、そこまで分かってないんだけど、どうもこれは怪しい、サスペシャスであるっていうファイルは今のデンジャラスとは別にサスペシャスですっていう感じで、
アイコンもあと表示も分けて、2種類に区分して表示をするようにしますと。
なので赤字でこれはデンジャラスだからダメって出たやつは本当に危ないからやめましょうと。
サスペシャスってやつも危ないかどうか分からないけど気をつけてねってやつも一応ブロックはしますと。
ただその違いを分かるように2種類区分しましたっていうのが今回新しく追加になりましたと。
これもね、分かりやすくていいんじゃないかなというふうに思いました。
それから最後の3番目の変更っていうのが、
セーフブラウジングって今言ったダウンロードしたファイルをスキャンするっていう機能もともと前からあるんだけども、
セーフブラウジングには実はデフォルトのスタンダードプロテクションっていうモード以外に、
より強化されたエンハーストプロテクションっていうモードがあるのね。
これを使うとさらにセキュリティのチェックがより厳しくなるんだけど、
これまではエンハーストプロテクションのディープスキャンっていう機能があって、
ダウンロードしてくるファイルが怪しいかどうかっていう場合に、
それをGoogleのクラウド側に送信をして、そちら側でファイルのチェックをしてマルウェアかどうかっていうものを
スキャンを行った上で、これはマリシアスだからやばいっていう場合には、
ダウンロードをブロックするっていうのを即座にやってくれるっていう、
そういう機能がもともとありましたと。
ただしこれは、例えば暗号化されたZIPファイルだとか、
実際にマルウェアとかの配布でそういう手段使われることあるじゃない?前からあるよね。
中身見られないようにするとか、途中の経路で止められへんようにするための策でよく使われますよね。
そうそう、ゲートウェイ製品とかのチェックをバイパスするためだとか、
いろんな理由で暗号化しておいて、ユーザーに別途パスワード、
ブラウザで表示するのに、メールでパスワードを送るのにわからないけど、
このパスワードで開いてねって言って、ユーザー側に開かせてマルウェアを実行させるっていう手法がもともとあります。
こういう場合だと、今言ったGoogleのセーフブラウジングのスキャンの機能ではチェックできなくなったわけね。
それを今回変更して、Chromeでダウンロードしたファイルが暗号化されたZIPファイルだということを検出した場合には、
39:03
ポップアップが出てきて、これはパスワードで保護されているので、パスワードを入力してくださいというポップアップが出ますと。
ユーザーがそのブラウザのポップアップにパスワードを入れると、
その暗号化されたZIPとかRARファイルとか圧縮ファイルとパスワードがGoogleのクラウド側に送られて、
そこで回答をして中身をちゃんとスキャンをして、中身がマルウェアだったらこれはマルウェアですって言ってブロックされると。
商用製品のレベルですね。
そうそう。あ、そこまでやるんだ。へーと思って。なんかちょっと一歩組み込んだなっていうか。
そうですね。
そういうところまでやってくれますという機能が新たに追加されました。
ただし、これは今言ったけど、セーフブラウジングって2つモードがあるんですけど、
エンハンスとプロテクションっていうモードで自分で設定した場合にのみ有効。
デフォルトじゃないんや。
デフォルトの場合はどうなるかっていうと、デフォルトの場合でも一応ポップアップが出てきて、パスワードを入れてくださいって出るんだけど、
その場合にはローカルでおそらく複合して、回答したファイルの中身のメタデータだけをブラウザがクラウド側に送って、
そのメタデータの称号だけをしますと。
じゃあフルスキャンにはしてくんないですね。
そうそう。もともとスタンダードプロテクションのスキャンってもともとそういう機能なのね。
暗号化された圧縮ファイルの場合にも同等の機能を提供しますよということらしい。
なのでファイルそのものを送ってディープスキャンをするか、メタデータだけをチェックして、いわゆるシリーズマッチングっていうか、
あらかじめ不正ファイルですよって分かっているリストとの称号だけをするかみたいな、その違いだよね。
精度の違いですね。
そうそう、精度の違い。
どちらも一応暗号化されているパスワードでロックされている圧縮ファイルにも一応どちらも対応するように今回変更しましたということらしいです。
なんでちょっとさっきも言ったけど一歩踏み込んできたなっていうか、よりそういう安全性が欲しいユーザーはそちらのモードを使えばいいし、
いやいやファイルをそのままGoogleに送るなんて嫌だよっていう人も真ん中には当然いると思うので、
そういう人はでもスタンダードのプロテクションモードでも暗号化ジップとかに対応しているっていうのはいいかなというか、
あとさっきのUIの変更だとか見やすさ重視とかねというのも含めて、
いい点ばっかりじゃないかもしれないけど、ユーザーの利便性をできるだけ損なわず、
プライバシーを気にする人にはその人なりの、あとはセキュリティを重視する人にはその人なりのバランスの取れた選択ができるなっていう感じはしていて、
どれか一辺倒じゃないっていうかさ、セキュリティを重視したい人はそういうモードにも変更できるし、
そうじゃない人はデフォルトのままでも十分使えますよっていうようなバランスが取れた感じになっているような気はするね。
42:00
そうですね、いやなんかその、今ね一歩踏み込んだっていうふうにネギさんおっしゃってましたけれども、
これはでもアームストロング一歩だと僕は思いますよ。
大きな一歩だ的なね。
言いたいことはわかるけどさ、それ言う必要ある?
いやいや、結構僕の中で衝撃でしたよ。商用製品でできるものっていう感じのイメージだったから。
まあそうだね、この辺のなんかゲートウェイ製品だったり、
メールセキュリティとかですよね。
結構ね、こういうスキャンはしっかりやってくれるっていう製品はあるけど、無償で提供されているブラウザーの機能でやれるっていう。
まあいいことなんじゃないかな。
あとその、何だろうな、わかんないけどその逆にさ、一般のユーザーとかは、
そのよしよし、まあでも難しいかな、わかんないから、
いっそのことデフォートで強化されたエンハンスとプロテクションとかにしちゃってもいいんじゃないかなぐらいに思うけどね。
アップロードしてる方ってことですよね。
まあでもさすがにあれかな、デフォートでやっちゃうとユーザーの同意なくファイルをアップロードすることになるからそれはまずいのかな。
まあちょっと反発食らうんじゃないですかね。
かもね、まあその辺のバランスなのかもしれないね。
まあそういう点でもまあいいところ落としどころじゃないかなって気はするけどね。
そうですね、まあほぼだけ考えたらアップロードデフォルトの方がいいと思いますけど、
多分そういういろんな意見を配慮してこういう選択肢にしたんだと思いますけどね。
これちなみにパスワードを入れてくださいポップアップが出てくるじゃないですか、右上、ブラウザーの右上の方に。
これ逆にこっち、いやいやそんなええねん言うてパスワード入れへん方どうなんやろ。
入れなくてもできるよ。
じゃあそのまま入れへん方落とせるんですか。
入れなかったらスキャンしないので、マリシャスかどうかわかんないのでそのままダウンロードできます。
じゃあそれは自己責任でやってくださいね。
そういうことです。
リスクは自分で授与してねってことだよね。
それはできるんですよね。うむも言わさず入れへん方ダウンロードさせへんとかではないってことかな。
いやそれはだからちょっとやりすぎじゃない逆に。
そうそうそうそうそうなんですよ。
それは予想の余地もちゃんと残されてるのはいいなというふうには思いますね。
ダウンロードはちゃんとできます。
なんかこう完全にこの仕組み自体がどうとかっていうわけではないですけど予測としてこれのポップアップが出へんようにする回避の脆弱性とか出てきそうですね、そのうち。
そうね、あとなんかこのUIを装ったような偽のテクニックとか出てくるかもね、なんかねわかんないけどね。
確かにそういうのが出てきそうですよね。
MOTWじゃないですけどね、ああいうのを回避するみたいなやつと同じようなものが出てきそう。
あとさ、見る人が見ればね、ZIPとか暗号化されたこの圧縮ファイルを解凍するためのパスワードって一目でわかるけども、なんか騙されちゃったりするとそのうっかりね、自分のそのサービスのパスワードとかさ。
あーはいはいはいはい。
Googleのパスワードとかね。
そうそう、入れさせるっていうことをしやすくするっていう可能性もないわけじゃないので、マイナス面があるとしたらそこだよね。
45:03
誘発されてしまうとそっちの方ね。
下手にその入力するフィールドがあるっていうことはさ、騙されて変な本来入れてはいけないものを入れてしまうっていう可能性があるわけで、それがそのGoogleに送られる分にはGoogleだから大丈夫だと思うんだけど、
Googleではない第三者が偽の画面を表示して入れさせるっていうような攻撃がもし出てきたとすると、それは騙されやすくなるかもしれないなっていうのもあるけどね。
ファイルをダウンロードすることが多ければ多いほどこれに遭遇する率も高いわけじゃないですか。
そうだね。
だからそれを入力するのが当たり前になったら出てきたパスワードに何か入れちゃうっていうのが当たり前に感じて区別つかずにやっちゃうっていう可能性もある。
そういう間違いとかミスを誘発しやすくなる可能性もないわけじゃないね。
だからその辺がプラスもあればマイナスもあるっていうのはしょうがないところだけどね。
でも僕は結構これは評価できるかなっていうふうに思いました。
そうですね。それがあったとしてもそれよりもあまりあるプラスがあるんじゃないかなっていうのは感覚的には思いましたね。
守られる人の方が多いと思うね。
そうそう。いいなこれ。いいですね。エンハンスにしようかな。
ぜひちょっと使ってみてください。
はい。ありがとうございます。
じゃあ次僕行きますね。
今日はブレインサイファーっていうランサムギャングがいるんですけれども。
そんなにメジャーではないよなこれ。
ある事件でちょっと話題にはなったけど、このギャング自体はそんなにリーク数とかも多いわけでもなく、
今年の6月ぐらいから活動し始めて、7月ぐらいからちょこちょこリークとかもしてるっていうぐらいの感覚の進行ギャングって言えばいいんですかね。
これも僕がよく見ているリークサイトを持っているような、いわゆる二重脅迫。
盗んだものと暗号化の2つで脅迫してくるっていうギャングなんですよ。
この収録をしている時点では6件ぐらいしかリークがないと。
なぜこれに注目したのかってことなんですけど、これ6月の20日にインドネシアの政府が運用しているインドネシア国家データセンターっていうのがあって、このギャングがここを攻撃したんですよね。
なんかニュースになってたんですよね。
そうそう。結構大きめのニュースで海外では扱われている。日本でもかな、いくつかありましたけれども。
これで政府のやっているデータセンターがこのランサムの被害を受けるってことはかなりの影響範囲があると。
そうだよね。公共のサービスに影響が出てるはずだよね。
インドネシア政府の発表によると、メディアで書かれてたんですけど、省庁を含む外国団体とかももちろんあるんで、230以上の公的機関が影響を受けたと。かなり大きいですね。
入国管理局のオンラインサービス全般とか、新規学生登録のオンライン発表みたいなやつがあるらしいんですけど、登録できた人とかの発表なのかな。
48:06
それの影響を受けて、入国管理局のオンラインサービスもかなりの遅延が発生するというふうな状況で。
ただ、これ攻撃を受けた5日6日後ぐらいにはオンラインに戻ったというふうな、復旧できたという話ではあるんですけどね。
この結構驚きの発表内容が1個あって、侵害されたデータセンターに保存されていた約98%の政府データが、予算の都合でバックアップされてなかったって。
これめっちゃ怖ないですか。98%でもほぼ100%やっていうね。
ありえないよね。
逆に2%なんやってんっていうのが気になったりするわけなんですけれども。
バックアップなしで、ランサーも出なくても障害とかあったらすぐ止まっちゃうじゃん。
そうなんですよ。下手したら停電とかで吹っ飛んだりするかもしれないですよね。
止まってもいいサービスだったらともかくさ、政府が提供する公共のサービスでバックアップがほぼないってどういうことなんだろうね。
めっちゃ怖い。しかもこれ230以上の攻撃機関って怖いなと思って。
信じられないね。
今後はバックアップの作成を義務化するって当たり前やろと思いながら。
言わさなきゃよって。
わかってるわ言わんでもって思うぐらいのことを発表されてはったんですけれども。
今回のその影響に関しては、8月までに政府が提供しているこの230とこのサービスとかを完全に復旧させる。
データは戻ってこなかったとしても動くようにするというようなことだと思います。
これ自体、実際に受けたこの攻撃による身の白金の要求っていうのがあったと報じられてるんですけども。
800万ドル。日本円にすると13億ぐらいかな。
この身の白金を要求してたんですが、この事件の発表の後にさらに発表した内容でインド政府は支払いについて拒否しますというふうに発表。
記者団に伝えたという報道がされてました。
この98%のデータはもう戻らんわけですよね。
そうだね。
っていうふうに思ってたらですね、事態が急変しまして。
オロロ?
このブレインサイファーが済ませんよって。何で済ませんって言ってるのかちょっとわからなかったんですけども。
複合金渡すわって言い出したんですよ。
たまにあるよね。病院とか本来やるつもりはなかったところを攻撃しちゃってすいませんって言って複合金を渡しますみたいなことは。
ちょいちょいあるといえばあるけどね。
そうですね。病院に払うとかもあるし。理由は明確には書いてないんですよ。
これは自分たちのリークサイトで発表してるんですけど。
書いてある内容っていうのは、とにかく無料で鍵を差し上げますと。
で、この自分たちの攻撃によって専門家を採用することがいかに重要かわかったでしょ?みたいな。
上からなんか下からなんかわからんこと言い寄るんですけど。
51:00
お前らが言うなだよな。
そうね。ちなみにこの自分たちの攻撃には政治的な背景はなく後払いのペンテストですと。
違うやろ?犯罪やろ?と思いますけど。
一緒にすんなよ。わしがやってた仕事と一緒にすんなみたいな。
まあでもあれだよね。過去のメジャーなランサムギャングとかでもお金払った人にアドバイスしてあげますよみたいなのはあるよね。
あるある。何の方法で入ったかもちゃんと言いますみたいな。
そうそう。ちゃんとお前ら対策しろよみたいなね。
本気なのかジョークなのかわかれへんけどこれはビジネスでペンテストなんですっていうふうなことを主張するランサムギャングはいくつかこれまでもいましたね。
何を思っているのかわかれへんけどインドネシア国民の皆様このような形で影響を及ぼしたことをお詫び申し上げますというふうなことが書かれてあってですね。
それに対してFAQじゃないんですけどよくある質問と回答みたいな感じでいくつかあげられてたのが
今回の判断は法執行機関による介入があったわけではなく自発的にやってると。
チーム全員一致でこのような決断に至った私たちは素晴らしいチームですみたいな。
対外にしとけよって感じだね。
でここまではまあまあまあまあいいやと思うんですけどそこからは無料でキーを受け取れるのはこれが最初で最後。
値引き交渉も受け付けませんみたいなことを言ってちょっとなんか落ち着けよと思う感じしますよ。
何言ったら知り滅裂な感じがするとか情緒が不安定な感じしますよね。
そうね。
見てるとね。
あとはデータセンターっていうのがやられると大変な被害に遭うからねとか。
今回も数千テラバイトの情報を暗号化するのでそれほど時間はかからなかったというふうなこととか。
いくつかそういうのが挙げられてたりとか。
あとは市民の認体に感謝するとかね。
いうふうなことを言ってたりとかしてて。
複合キーを提供したことに関してちょっと言及していたんですけれども。
データがこのキーを使って復元されたことを公式に発表されるのを私たちは待っていますと。
言い換えると自力でこのキーを使わず第三者の助けを借りてデータを複合したというふうに発表された際にはデータを公開するぞって言ってるんですよね。
許してもらおうと思ってるのかどうなんかわからん感じはちょっとしますけれども。
自分たちのこの複合キーがきちんと有効だから払うに値するもんだっていう証明をしたいんだと思うんですけどね。
なるほどね。
って言ってたのにちょっとしてからデータセンターからの回答は待たないって言い出したんですよね。
複合キーが機能することは確かなんで現地の専門家が問題なく複合してくれることを期待するに加えて全てのデータは削除したので自分たちに代わってこのデータ盗んだデータだぞっていうふうに。
売ろうとするものがいたらそれは偽物だから気をつけろみたいなことを言い始めたと。
なんかフワフワしてますね。なんかやったらめちゃくちゃ影響でかくてビビってしまったのかな。
なんかそういう感じだよね。なんか色々こう反応、世間の反応を見ながらなんか右往左往してるっていう。
54:03
実際のところはわかんないけどなんかそういう感じ印象を受けるよね。
そうなんですよね。なんかこう見てると今までのギャングとはちょっと違うなっていうね。口数が多いなって思いましたね。
なんかそのいわゆるプロフェッショナルというよりはティーネイジャーとかがちょっとやっちゃったみたいな感じなのかもしれない。
ティーネイジャーとかいうのが表現が適切かどうかわかんないけど。
ちょっと経験が浅かったりというかそういうことですよね。
なんとなくちょっとやってみようと思ってやってみたら意外とできちゃって、むしろ本人たちはびっくりしてるみたいな。
ちょっとそういうところ、なんか稚拙な感じというかね。
なんとなくね。わかんないけどね。
そうそうそうそう。後ろめたいことある人ほど口数多いみたいな感じというかそういう感じがちょっと生み受けられるなと思って。
なるほどね。
なんか人間模様が見えたな。人間感覚透けて見えたなって感じがちょっとしましたね。
でその今、ちょっとティーンかどうかは別にして、そういう経験の浅い知見の浅いちょっとちょっと稚拙な方がやったんじゃないかみたいな感じの意見が今ネギさんからありましたけれども。
これであのまさにそうで自分たちで開発したランサムウェアじゃないんですよ。使ってるの。
あーそうかそうかなるほど。
でこのブレインサイファーは去年の9月ぐらいですかね。
あのロックビットのブラックいわゆる3.0って言われるやつのビルダーが流出したでしょ。
それをね流用してるんですよ。
あーあの後結構それを流用した攻撃者って結構出てきたもんね。
そうそうそう。多分このポッドキャストで紹介したやつだとあのブラッティーランサムとかは過去に流出したものばっかり使って。
コンチ使ったりとかロックビット使ったりとかみたいな紹介したと思うんですね。
この辺の結構影響度合いっていうのが大きいんじゃないかなって僕は考えてて。
ソースコードやビルダー流出もあれば販売もあると思うんですね。
ちょっとまあこれも新興ではあるけれども結構勢いのある部類に入るハンターズインターナショナルっているじゃないですか。
はいはい。
そうそれも一時期こうまことしやかに言われたハイブの後継じゃないかというふうに言われたけど実際はハイブのソースコードを自分たちは勝手使ってるっていうふうな表明をしてたりとか。
そもそもさっき言ったそのロックビット3.0自体がブラックマターのソースコードをロックビットが購入して改良して作られてるんですよね。
っていうのを考えると結構そういう誰でも参入することがしやすくなってきているというかますます。
そういうので考えると最近ね国内の事例でもそうなんですけど、
ランサムウェアそのものというよりはランサムウェアの対応範囲としてLinux ESXiに対応するランサムってのはもうほぼ主流になってるんですよね。
これも多分流出が影響していると僕思ってて、
2021年の後半ぐらいかな、主に2022年ぐらいからこのESXi対応みたいなものがボツボツ出始めて主流になり始めたという感覚が僕にはあるんですけど、
57:07
これも一気にこういうのが広まった背景として僕は思っているだけですが、
2021年にバブクっていうランサムのソースコードこれESXi対応しているソースコードの流出後なんですよね。
でそのセンチネルワンが解析しているレポートを見るとコンティとかリビルのESXiに対応しているランサムウェアっていうのはバブクのソースコードとの重複がかなり見られるという発表がされてるんですよ。
こういうことを考えるとソースコードが漏れることによって参入は簡単にちょっとやってみようでできてしまうっていうのが整ってしまっているのかなという気がしていて。
このESXiに関しても結構油断できひんなと思っているのが、ランサムハウスっていうランサムギャングがいますけど、
この人たちが使っているのにMr.Agentっていうソフトウェアがあるんですよ。独自で開発したやつっぽいんですけど。
これはESXi上にランサムウェアを自動展開するツールなんですよね。
いろいろエージェントを入れておいてポチッとやれば一気に展開してくれたりとか、あとはSSHのセッションをポチッと切ったりする機能とかっていうのもついてたりとかして、
最終的にはハイパーバイザー上のVMをボコボコ暗号化していくっていうツールとかもあるんで、かなりこの辺のESXi対応が広がってて、
昔はWindowsメインのものも多かったですけど、ほとんどがどんどん対応されていってて、まだまだ全然盛り上がってるし、ちょっとちっちゃい人たちも参入しやすい。
知識がなくても参入しやすいものになりつつあるのかなっていうのが、あんま止まってないって感じがするなっていうふうなことがちょっとこの辺の話に触れてみようかなと思って。
ソースコードかビルダーかわかんないけど、リークないしは販売とかっていう手段って、結局その実績のあるものはやっぱり使いやすいというか、
右も左も分からずに参入してくるような人がどれだけいるかわかんないけど、仮にそういうコースが広がってそういう人たちが入ってくるとしたら、やっぱり実績のあるものが使いやすいよね。
そういうものが選択肢がたくさん、たくさんはないかもしれないけどあるということがこういう被害を拡大する一つの要因になっているかもしれないね。
そうなんですよね。ランサムウェアって結構もうなんか、なんていうのかな、ポピュラーじゃないですか。もはや僕らからするとね。
Google のトレンドとか見てると、やっぱり過去の大きな国内の例で言うと、昔カプコンがありましたよね。
あとは救世駅とかハンダ病院があったじゃないですか。事件として。
今回カドカワっていうニコニコがあったんですけど、一番検索されてたのって今回なんですよね。
なのでやっとこう、一般って言い方あれかもしれないですけど、エンドユーザーの、より一人の個人のユーザーにもやっと広まってきたかなとかっていうのはあるけど、
1:00:05
ランサムウェアって言葉自体はもうセキュリティに関わると言ったら誰もが知っているような言葉じゃないですか。
でもランサムウェアなんか知ってますよっていうふうに思い込んでしまって、脅威そのものだけに目が行ってて、攻撃者の変化の動向ってあんまり伝わってないのかなっていう気がしてて。
そう考えるとこういう参入障壁が下がってて真根っこでこんなでかい被害を与えることができるとか、ESXIとかそういったところにも被害を大きく与えて金が取れそうなんでっていう変化が出てきてるってことを知らないと、
自分たちが被害になった時の見積もりができないのかなと思ってて。
この変化を知って対策について考える。どれぐらいのインパクトなんだ。
じゃあ対策しなければなっていうことを考え直すきっかけにするっていうのはこういう情報も必要かなと思って、今日はこういう話をしてみましたということでございます。
そういう状況は刻一刻、そこまでじゃないかもしれないけど変わっていくからアップデートしていかないといけないよね。
そうそうそうそうなんですよね。なかなかねあんまりいいお話にはならない。明るい話ではないんですけど毎回毎回ランサムに関しては。
こういうこともね知っておいてほしいなと。すごいプロみたいな奴らばっかりがやってきてるわけじゃないようなフェーズに入ってるぞということを知ってもらいたいですね。
実際のところのどういう攻撃者があってのは捕まえてみないとわからないところが多いけど、
多分そのいろんな人がいるんだろうね本当のプロの犯罪者もいれば、本当に素人に気の生えたぐらいの感じの人とか多分ものすごい幅広いんだろうねきっとね。
捕まったりとかしてるあのウクライナの警察とかが突入する時の映像とか見たらほんまもうガチギャングばっかりですけどそうじゃない。
自動処遇みたいなのがあるところを乗り込んだりするじゃないですかああいうのって。
でもそうじゃなくて普通になんかそれこそねあのわかんないですけど学生がちょっとやってみましたみたいなこともありえるかなと思うしね。
ちょっとコンピューターのそういうセキュリティに興味があってたまたま調べたら穴があるのがわかっちゃったみたいなね例えば。
っていうフェーズかなフェーズなんじゃないかって考え始めといた方がいいんじゃないかなと思いましたね。
なるほど。
そんな感じでございます。
ありがとうございます。
ということで今日は2人なんでセキュリティのお話を2つしたわけなんですけれども最後にお勧めのあれなんですがこれどうかな皆さん使ってるかなわかんないですけど今日僕がお勧めするのはですねニベアUVディーププロテクトアンドケアジェルっていう。
なんかそういうコスメ系とか美容系とかちょいちょい突っ込んでくるような。
そうなんですよ。いわゆるこれ一言で言うと日焼け止めです。
はいはい。
めっちゃ安いです。
日焼け止めってもうなんかこうちょっと前から全然違ってて昔は同じぐらいのクオリティーやったらもう1本数千円みたいなやつやったんですけどこれは定価が980円でアマゾンで買うと750円。
1:03:05
安いね。
これ何がいいかってやっぱ値段が安いっていうのが単に安いからいいというよりも日焼け止めって高いもんってやっぱちょっとずつ使おうってもったいないからあんまがっつり使えないじゃないですか。
あーなるほど。
ね、あの残りを気にしたりとか月に何本使うねんとかなってくると思うんですよやっぱり細かい話。
とはいえ日焼け止めっていうのはもう塗って何本のもんですから。
まあそうだね。
そんな気にして使うぐらいだったら塗らへん方がいいぐらいなんですよそれってっていう。
だからこれはもうすごく安くて使えるしあとはねその日焼け止めとしてだけではなくて日焼け止めって結構ねいろんなもの試すとねベタベタなるんですよ。
すごいもうベタベタしたりとかあと服につくと白くなったりとかするのね。
でもこれねそんなに言うほどベタベタしないです。
これまでのやつと比べると。
サラッって感じどっちでも。
そうそうそうそう。
美容液の成分も入ってるんでベタベタせえへんくて美容液の成分入ってるから保湿にもちょっと効果があると。
なるほど。
しかも安いから勢い余って首やら体やら塗ってもいいと思うんですよ。
まあでも基本的には外に出てるとこだけ塗ればいいんじゃないの。
なんかこうつるすべつるすべするから。
目的変わっとるやん。
まあそうなんですけどそれぐらい使ってもなんか値段的にコストパフォーマンスがいいですっていう。
まあ確かに出かけるときに塗るの忘れるぐらいあったらもう塗りたくったけってことよね。
そうそうそうそう。
ツヤっともしますしね。
でこれあの別になんかこうなんていうのかな美容とか美容では美容茶あるんですけどやっぱりねこの僕結構これを日焼け止めを使い始めたきっかけっていうのがあって。
シミですね。
シミができるんですけどあれもうあれって何年か前のやつなんですよね確かね。
なんかどんどん前に出てきおるんですよ代謝で。
だからもうそれを機にねちゃんとやろうと思ってやり始めたんですけどやっぱ高いんですよそのなんかきっちり防ぎます系のやつは。
SPFなんちゃらとかって基準があるんですけどね。
それを見てもそれを見てもこれこの値段で同じぐらいのやつでちょっと時代が変わってきた感があるんで。
ちょっと使ってみてもいいんじゃないかな。
やっぱほらあのなんていうの露出しているところの部位の面積が広いところってやっぱり人に対する印象に関わるらしいですよ。
なるほど。
例えば髪とか髪の毛とか面積広いじゃないですか頭ね。
で顔のねその顔の目とか鼻とかない部分の顔はただほっぺたのあたりとかっていう肌の感じみたいなものもやっぱりこう人に与える影響って大きいんですって。
だからそのだから今言ったその2つ肌と髪が綺麗ツヤっとしてるだけでいい印象がやっぱ全然印象が違うらしいんですよ。
どうも。
そういうのもやってみてもいいんじゃないかなと思ったんですけどね。
ネギさんに聞きたいんですけどネギさんたまにあれじゃないですか暑い時日傘させてるじゃないですか。
はい。
あれは暑いから?
暑いから。
暑いからと日焼けも防ぐっていうのもあるよね。
1:06:03
ネギさん日焼け止めとか塗られますか?
塗ってるよ。
そうなんや。
じゃあよかったこれも何か試してみてもいいんじゃないか。
確かに。
この時期はやっぱりこういうの必須だよね。
ダメージなりますからね日焼けってやっぱり。
そうですね。
やっぱりいいことないですからね。
手軽に買える値段なんでちょっとねその意識したことなかったなーって言っても使っていただければなぁと思って紹介させていただきました。
はいありがとうございます。
はいそんな感じで以上でございます。
また次回のお楽しみです。バイバイ。
バイバイ。