スピーカー 2
お便りが来ておりましてですね。
スピーカー 1
お願いします。
スピーカー 2
この季節になると無償にタワラメシさんの動画を見たくなります。
スピーカー 1
勝手に見てください。
スピーカー 2
それはもういつ見ていただいてもいいですけれども。
まあでもほらタワラメシといえばですよ。
この季節とタワラメシといえば
スピーカー 1
そうね。あの人だよね。
スピーカー 3
個人を特定できるぐらいのね。
スピーカー 2
個人情報に当たりますよね。たぶん。
これはもう漏れたら。
スピーカー 3
タワラメシだけで。
スピーカー 2
そうですよ。この小上位に言わないといけないレベルかもしれないですね。
今年の年末は来ていただけるのかどうかというところで。
スピーカー 1
言わないだろうね。
スピーカー 2
あの方が。
スピーカー 1
そうね。
スピーカー 3
名前を言っていいのかわからない。
スピーカー 2
これも看護さんの解除と同じく祈っておいていただければ。
スピーカー 3
そうですね。
スピーカー 2
そうですね。
前回その紹介したお話の一つで
サポート詐欺のやつを紹介したんですけど
スピーカー 1
リリースをね。ウェルシアの。
スピーカー 2
それに関して結構反響が来ていましてですね。
241回でも話題になっていたサポート詐欺ですが
以前ピオ看護さんもポストされていた新バージョンの件は
その後落ち着いたのかなと直面したことはありませんが
操作不能となったPCを会社のWi-Fi環境から切り離す方法について考えると悩みます。
スピーカー 1
新バージョンって何のこと?
スピーカー 2
たぶんあれじゃない?エスケープ長押しが効かないやつとかじゃない?
スピーカー 1
攻撃側もちゃんと対応してるよっていう話か。
スピーカー 2
結局電源切るしかないんちゃうのみたいなやつとかあるじゃないですか。
それでWi-Fiを切るにはどうしたらいいのか。
画面操作できないんでっていう。
スピーカー 1
物理的にそういうスイッチがついてればいいけどね。
スピーカー 2
そうですね。ラップトップとかついてるやつありますけどね。
スピーカー 3
昔よく見ましたけど今はどうなんですかね?
ついてるのすごいような。
スピーカー 1
今は見たことないね。ほぼね。
スピーカー 2
確かにあんまり見ないですね。
そもそも自分が使ったPCにそういうのないな。
スピーカー 3
そう、私もなくて。
スピーカー 1
少数派だよね、そういうのね。
スピーカー 2
厳しいですよね、これね。画面操作効かへんかったら。
あれやるしかないじゃないですか。
BAT USBみたいな感じで挿して。
特定の操作を無理やりやるとか。
スピーカー 1
他にあるだろう。
スピーカー 3
え?何とかできんかな?
スピーカー 2
無理かな?キーボードが全然効かへんくなってるから。無理なんかな?
スピーカー 1
わかんない。なんかあるかもしれないけど、エクスプロイトの方法が。
なんか違う気がするな。
なんか違うよね、方向が違うよね。
スピーカー 2
すごいちっちゃいことにでかいことをやってる感じがするというかね。
上手い例えは出てこないですけど、ちょっと違う気はしましたね。
あとはですね、それに関連するやつなんですけど、
怪しい何かを受け取ったら社内のどこそこに連絡してと告知しても、
その何々部門、連絡する部門の人の態度によっては躊躇する場合がありますよねと。
あとは連絡する側も恥ずかしいとかを教えおこうなんて、
みたいなプライドがみたいなこともありそうですね。
人間関係の障壁というんですかね、これ。
スピーカー 1
それは会社の文化とかコミュニケーションがどれくらい敷居が低いかっていうか、
その辺は多分会社によってだいぶ変わりそうだよね。
サポートにそんなに気軽に連絡できないっていう可能性があるのか。
それはちょっとあんまり考えてなかったな。
僕この間、前回の時にさ、こんなの会社のPCとかで引っかかったら、
まず真っ先に攻撃者じゃなくて社内で連絡しろよ的なことをちょっと言っちゃったけど、
それが結構難しいハードルが高い場合もあるよってことね。
スピーカー 2
これはそうですよね。
そんなことでいちいちみたいな反応されたりとかするんじゃないかとかっていう風に、
怒られるんじゃないかとかっていうハードルができちゃうのかもしれないですね。
スピーカー 1
なるほどね。それはでもセキュリティ事故全般に言えるけどさ、
何かそういう風に連絡の敷居が高くて自分で何とかしようとすると、
ろくだことがだいたいないんで。
スピーカー 2
余計怒られることになるかもしれないですもんね。
スピーカー 1
そうそう。それはだから、うまく会社としてサポート部門側がそういうのを受けやすく、
各ユーザー部門側が連絡しやすくするようなことをやっぱり施策としてやらなきゃダメなんだろうな、それはな。
もしうまくいかないんであればね。
スピーカー 2
そうですよね。連絡する側だけの責任じゃないですもんね、組織ですからね。
スピーカー 1
そうそう。それはだから全体でやるべきことだよね、それはね。
スピーカー 2
と思いました。
なるほど。
それと似たようなものでね、同じようなことを言っている方もいらっしゃいまして、
社内のサポート部署へ問い合わせに親的安全性がないのかもなと。
大抵人少なめで忙しいから当たりがきつめだったりすると。
なるほど。
あとはTwitter、Xでもそういった詳しくない人たち、高齢者の方も含めね、
そういった人たちをバカにするようなポストをよく見かけるけど、リアルにこういうことをされたら辛そう。
スピーカー 1
なるほどなあ、会社内でもそういうのがあり得るのか、ちょっとそれはあんまり、そうか、盲点だったなあ。
そこはなんか気軽に連絡できるもんだっていう前提で喋ってたわ、俺の近くにいると。
スピーカー 2
だからやっぱり日本一漢字の良い情報システム部を目指していただかないと。
スピーカー 1
そうだね、それは確かに。かといって人手不足とか負荷の問題は単純に解決できないから、
そういうのもちゃんと考えた上でやらないとダメだよなあ。
スピーカー 2
でももったいないですよね、こういうのが壁になってしまって。
スピーカー 2
はい、じゃあ今日もセキュリティの話をしていこうかなと思ってるんですけども、看護さんからいきますか。
スピーカー 3
はい、じゃあシャドー版中の私から聞かせていただければと思います。
はい、お願いします。
今日はですね、これは公開したのはCISAと、これ何て言うんだろう、HSSEDIって書いてあるから国土安全保障関連の研究所でいいのかな?
マイターが運営するって書いてあるんですけど、そちらの2つの組織が公開をされたCWE、日本語の正式名称と忘れちゃったんですけど、共通脆弱性タイプでいいのかな?
そうですね。
コモン・ウィークネス・エニュメレーションでいいのかな?
そちらのトップ25っていうのを、毎年やられてるんですけども、今年の最新ものを11月20日に公開をされましたので、それを取り上げたいなと思っておりまして、
毎年変わり映えないだろうぐらいに思ってたのかもしれないですけども、お二人も。
実はですね、今年結構変わってまして、どういう風に集計をしたかというところを読んでいただくとですね、結構長文でダラダラって書かれててですね、スコアリングを最終的には出すというところにはなるんですけども、
計算式そのものはこれまでと変わってないんですけども、そこに投入される実際のデータの部分についての精査っていうのかな?スクリーニングっていうか、そこに関してやり方をちょっと今年は変えたというところで、
なのでランキングを見ていただくと少しその辺の影響もあったりはするのかなと。もう一個ちょっと影響が大きいやつがあるんですけども、それらが影響してランキングもこれまでのものからちょっと変わっているというところであります。
このトップ25自体は一応その発信元というか公開されているところに書かれている内容としては、やはり脆弱性を削減したいと。こういったやっぱり気にすべき脆弱性の種類っていうのを把握していただくことによって、
そもそもその開発している人たちであるとか、そういったところにフィードバックをして脆弱性、欠陥、そういったものを全体として排除していく、削減していくというところに役立てていっていただきたいという趣旨でトップ25を整理されているというところがまずは謳われてはいるんですけども、
コストの削減であるとか、トレンド分析とか、ちょっとこれあの私若干疑問不安あるんですけども、あと悪用可能性に関する洞察であるとか、その辺などを踏まえてトップ25を提供していると。なのでそういう趣旨で見ていただくと良いのかなというところではあるんですが、
さっき言ったそのどういうデータをここで分析しているかというところについては、2023年の6月1日から2024年の6月1日までの1年間の脆弱性においてCWEの2023というのと2024というのがつくものを対象に、
件数で言うと31770件と書かれているんですけども、そちらを対象に分析を行いましたと。
スピーカー 1
CWEだとそれはCVEだよね。
スピーカー 3
あ、ごめんなさい。CVE。
スピーカー 1
この1年だともう3万件超えてるんだな。
スピーカー 3
そうですね、はい。
というのを対象に分析をされていると。
ただ、その3万1000件弱をそのまま分析したというものではなくて、一応中身も見ておられて、CWEのそもそものCVEごとに設定されているCWEのタイプというんですかね、間違いがあるかどうかというところであったりとか、
あとは彼らの中でその根本原因を示すキーワードリストを持っているらしく、それとの凸合というか分析を行うなどして、最終的にはこれちょっと要精査じゃないかという対象がCWEの件数でいくと9900件確認されたと。
スピーカー 1
多いな。
スピーカー 3
そんなある?という感じではあるんですけど、3分の1近く対象になって、それそのままを分析してしまうとトップ25の分析に影響が及んでしまうので、
これCNAというCVEを割り当てなどを行っている組織に対して247のCNAの組織が分析した9900件が対象ということではあったんですけども、
この分析を行っているチームから各CNA、247のCNAに対して確認をしたと。これで間違いは本当にないのかということで問い合わせをされて、
スピーカー 1
この中で返事があったのがCNAの数でいうと148のCNA、全体の6割。でCVEのレコードベースでいうと2717件という。少ないな。
スピーカー 2
3割に満たないフィードバック。悲しいな。
スピーカー 3
だからちょっとこれいろいろ書いたのかなと思うんですけど悲しい書き込みがここでツラツラと書かれてまして、なのでそれに対しては修正あるいは確認を行ったと。
残念ながらそれ以外については元々マッピングされているものっていうのを割り当てて分析をしたというちょっと悲しい書き込みがありまして。
スピーカー 1
残りは9000から引いたら7000件ぐらいか。
スピーカー 3
おっしゃる通りで7183件。
スピーカー 1
ということはそこは間違いがもしかしたらあるかもしれないっていう前提で。
スピーカー 3
そういう前提で見てもらった方が良いのかなと。
スピーカー 1
なんか意外とCNAって言っても反応にだいぶ差があるね。
スピーカー 3
一応その理由も書かれてはいて、大半の理由としてはそもそも応答しなかったっていう。
スピーカー 2
それ理由じゃなくないですか。結果ですよね。
スピーカー 3
応答がないと。それ以外の応答してくれた場合においても残念ながら改めてその確認、レビューをするという時間がそもそも取れないという形で返答されるCNAもおられたという形で。
渋いね。
現実はこんなもんだんだなっていうのをちょっとマジマジと知るというところではありまして。
スピーカー 1
発行するのはできるけど直すのは結構大変だな。
スピーカー 3
おそらくは自分たちがベンダーの立場でそれで発行してるってなるとある意味自分たちに閉じてできなくはないのかなと。
スピーカー 1
大元に確認が必要だもんね。
スピーカー 3
確認がとかっていうのがまたさらに必要になったりするとちょっと荷の足踏むのかなとかっていうのは思ったりしますね。
そんな感じで分析されたデータを最終的にスコアに落とすという流れで。
スコアリングの計算についてはこれは2023年に行っていた計算式と、
私パッと見た感じで変わらないかなと思ってまして、
基本的には頻度ですね。
CVのレコード上においてそのCWEが何回出てくるかというものと、
あとは各CVSSのスコアの平均値っていうのを算出をして、
最終的にそれらを掛け合わせたものを出すというところの計算式。
これがどういう経緯でちょっとそういう計算式になったのかっていうのはちょっと説明が詳しくは書かれてなかったんですけど、
そういう計算式で出されているんですが、
私さっき疑問符がついたっていうのはこのスコアリングにおいては少なくとも悪用されているかどうかっていうところは重み付けとして式には入ってなかったので、
なので実際今年のリストなんかは、
私たちのKEVのそれぞれの脆弱性において確認されているCWEのタイプっていうのが何件かっていうのも書かれてはいるんですが、
これ結構その数字だけ見ると多かったり少なかったりと、
その1位のものが決してすごい多いかっていうとそんなこともないというような感じの、
このCWEトップ25そのものが悪用されているかどうかを指し示すトップ25ではないっていう認識はしておいた方がいいのかなっていう、
そういう見方になるかなと。
スピーカー 1
あくまでもだからCWEとして登録されたものの中では多いけど、
実際それが悪用も多いかどうかはまた別問題と。
スピーカー 3
それはまた別のちょっと指標として見ていかないといけないのかなと。
スピーカー 1
なるほどね。
スピーカー 3
危険度っていう書き方にはなっていたので、実際に悪用されているかどうかちょっとまた別なのかなっていう。
スピーカー 2
もうあれなんじゃないですか。じゅんぐりにところてん方式でやっていくしかないんじゃないですか。
スピーカー 3
どうなんですかね。もうちょっと2024年で分析終わらなかったらもうそれで2020年終わりでいいかぐらいな感じでいっちゃうんですかね。
次いくぞみたいな?
どうなんですかね。
スピーカー 2
どうなんですかね。
スピーカー 3
これどんどんどんどん溜まっていったら大変だなとかっていうのはちょっとこの25の説明なんかを読んでふと思い出したという経緯だったんで。
状況はあんま変わってなかったという感じではありました。
スピーカー 2
いつまでたっても2025が始まらないっていうことがあるかもしれないですもんね。
スピーカー 3
なかなか厳しい状況だなというところですね。
ちなみに肝心の25のランキングCWEのそちらはどうかというところについては1位はこれは前回とちょっと上がったのかな。
クロスサイトスクリプティングが1位というところですね。スコアでも結構開きがあるのかな。
先ほどの計算式だと56.92というスコアでして、これ2位が範囲外の書き込みということで787というタイプのCWEが2位に入ってるんですけども、
これが45.20というスコアだったので結構1位と2位開き、3位もまたちょっと開きが少しあってっていう感じはSKLインジェクションですけども、
開きがあるっていうようなランキングではありましたので、この辺は変わらずいろんなところで実際見かけるシーンもありますし、
気にしておくべき脆弱性として特にクロスサイトスクリプティングだと割とディスク評価というところについては大丈夫だろうみたいな形で少し
落としてみてしまいがちではあるかなとは思うんですけども、これも使いようによっては管理者の情報を取れたりとかっていうこともできたりもしますので、
そういう意味ではさっきちょっとの悪用の話というのはしたんですけども、ちょっとそれ抜きにしてもこのリストっていうのは見てもいいのかなというところではありました。
最後に1点だけ誤用というか誤って使われるCWEっていうのも最後に書かれてまして、ちょっと細かくは説明しないんですけども、
ここに書かれて挙げられているようなCWEが割り当たっている説明がなされている脆弱性のアドバイザリーであるとか情報については、
これもしかしたらちゃんと分析してないんじゃないかっていうような前提で見てもらった方がいいのかなと、例えばCWE-200とかっていうのも割と結構見かけるんですけども、
これ機密情報が流出してしまうっていうそういったものなんですけども、あまりに頻繁に利用されておりまして、
脆弱性に対しての説明タイプマッピングとしては推奨しないと。なぜなら機密情報の流出漏洩というのは多くの脆弱性において一般的な結果だからです。
身も蓋もない感じの説明はされているんですけども、こういったCWEが割り当たってたりすると、ちょっと警戒してもいいのかなっていうような感じではあったので、
スピーカー 1
そういう意味でも少し参考になったというところで、以上になります。
スピーカー 1
傾向の変化とか全体的なのを見るという使い方は分かるんだけど、
前からCWEって一般の会社がどう活用するのがいいのかっていうのはちょっと分かりにくいんだよな。
スピーカー 2
僕めっちゃ同じことを思ってた。僕避けて通ってきたんですよ、これ。
このCWEについてはずっとそんなのあんねんなみたいな、こういうのがあるんやなってランキングに上がってるようなやつがあるなとかね。
いろんな分類とかしてるやつあるじゃないですか。ツリー構造でCWEを説明してるやつとかIPAとか出てるじゃないですか。
これで何が分かるのっていうのがちょっとあって、ちょっと恥ずかしながら聞いてみようと思ったんですけど、これどうやって使うのが一番正しいものなのかなって。
スピーカー 1
一般の脆弱性管理とかと対応するような企業がどう活かせばいいかっていうのがちょっといまいち分かりにくいんだよね、これね。
スピーカー 3
なるほど、なるほど、なるほど、そうですね。
スピーカー 1
さっきの誤用っていうのも、つける側の誤用の話でうまくこれを活用するっていうのはもうちょっと活用の仕方が難しい。
一般の会社が使うっていうよりも、脆弱性とか生み出しちゃう側っていうか、デベロッパー側とか、脆弱性を見つける側、リサーチをする側とか、そういう人たちにとっては割と活用しやすいっていうかね。
スピーカー 2
そうですね。
スピーカー 1
と思うんだけど、その辺どうなのかな。
スピーカー 2
なんかいろんな、例えば脆弱性の診断みたいなやつとか、あとは総数コードみたいなのを解析する、解析というか評価するようなソフトあるじゃないですか。
そういうののレポートにちょっとついてくるぐらいのものみたいなイメージなんですよ、僕。
スピーカー 1
なるほどね。
スピーカー 2
これを見てどうかっていうのは、なんかランキングを見て思ったのは、KVいくつみたいな書いてあるやつがあるじゃないですか。
これはちょっとなんかこう、ここ入り口にどんなやつがあったっけなって見てみるのにはちょっと面白いかなと思いましたけどね。
スピーカー 3
なるほど。
スピーカー 2
はい、わかりました。ありがとうございます。
スピーカー 3
はい。
スピーカー 2
はい、じゃあ次はねぎさんいきましょうか。
スピーカー 1
今日はですね、iPhoneに最近追加されたちょっとしたセキュリティの機能を紹介しようかなと思うんですけど、
あんまり巷ではそんな知られていないんだけど、10月の28日にリリースされたiOSの18.1ってやつからどうも実装された機能らしいんだけど、
正式な名前はわかんないんだけど、インアクティビティリブートっていうものなんだけど、
これどういう機能かっていうと、iPhoneとかデバイスがロックされた状態、画面がロックしてるよね普通ね。
その状態で72時間経つ、3日間だね。丸3日間そのままの状態で置いておくと、自動的にリブートするっていう機能が実は密かに追加されていまして、
これは特にAppleがどこかでこういう機能追加したよとかって公表してるわけじゃないので、きっそり追加された機能っぽいんだけど、
スピーカー 2
サイレントアップデートみたいな。
スピーカー 1
そうそう。今月になっていろんなところでニュースになってるんだけど、なんで騒ぎになったかっていうと、
どうも最初にこの機能に気づいたら法執行機関じゃないかっていう話があって、警察とかが証拠として押収したiPhoneが知らないうちに勝手にリブートしたと。
どうなってんだこれはみたいな感じで、騒ぎになったという話がまずあって、
で、セキュリティの研究者とかが調べてみたら、どうもこういう機能が入ったらしいぞっていうことになりましたと。
なんでこれが騒ぎというか問題になってるかというと、
実はこのデバイスが単にロックしたっていう状態と、再起動して起動した直後の状態っていうのは実は大きく違っていて、
これはいわゆるフォレンジックツールとかでデータを取得するときに取れるデータが全然違うのね。
これは法執行機関だったりモバイルのフォレンジックとかやってる人にとっては当たり前のことなんだけど、
これ一応まだ状態に名前もついてて、その起動直後の状態っていうのは、
Before First Unlockって言ってBFUって名前がついてるんだけど、
要はその一度もまだロックが解除されてませんっていう状態ね。
パスコードをまだ誰も入れてませんっていう状態、起動した直後の状態っていうのはBFUって言いますと。
それに対して1回でもユーザーがパスコードを入力した状態は、
After First Unlockって言ってAFUっていう風に名前がついてるのね。
今回みたいにAFUから再起動してBFUになっちゃうと、取れるデータが一気に減っちゃうわけ。
なので証拠で取ってあった、普通警察とかってさ、僕は詳しくないけど、
後から調べるためにiPhoneを例えば欧州にしたとしたら、電源が切れないように電源を入れた状態で、
電波が届かないような専用の施設に入れて、調べるっていうようなことをするんだよね。
そうしないと例えばリボートからワイプ足りたりとか、電源が切れて再起動したりとか困っちゃうんで、
一応そういう風にしてやるはずだったのに、今回なぜかそれが勝手にリブートしたんで、
データが調べられないじゃん、困るじゃんっていう話になりましたと。
こういうことなんだね。
これってどうもAndroidでもiPhoneでも同じような感じらしいんだけど、
僕ちょっとAndroidの方はあんまり詳しくないんで、
なんでこういう取れるデータの違いが生じるかっていうのをiPhoneの場合は簡単に説明しようと思うんだけど、
iPhoneの場合は、これ暗号化の仕組みに依存してるんだけど、
iPhoneの場合、ファイルごとに暗号化の鍵っていうのが生成されて、
その鍵がファイルシステムのメタデータに保存されるんだよね。
だけどそのままだと金庫の上に金庫の鍵が置いてあるみたいな状態になっちゃう。
それじゃダメだから、そのファイルごとの鍵っていうやつを別のクラスキーってやつで暗号化して保存してあるのね。
このクラスキーってやつが今回の鍵で、
このクラスって名前からわかるようにデータ保護クラスっていうのと対応してるんだよね。
このデータ保護クラスっていうのがファイルによって変わっていて、
これによってどの状態でどういうふうに保護されるかっていうのが決まってると。
一番強い保護クラスっていうのはコンプリートプロテクションっていうクラスがあるんだけど、
これはどういうやつかっていうと、
画面がロックされて、例えばパスコード入れるなり生体認証で解除されていないロック状態だと、
このクラスキーってやつがメモリからすぐ消えちゃうのね。
なのでロックしてると、この一番強いクラスで保護されてるやつはクラスキーってやつがもうないから複合できないわけ。
なので仮にこの状態で、もし仮にForensicツールが何か使ってiPhoneの中からデータを取れたとしても、
それは暗号化されてるからどうにも見ようがないわけね。
これが一番強い保護クラスですと。
もうちょい弱いクラスっていうのもあって、これが今回の問題の鍵になってるんだけど、
Protected Until First User Authenticationっていう名前がついているクラスがあるんだけど、
その名前の通り最初にユーザーの認証がされるまで保護されますっていうクラスがあって、
これはさっきのやつと違ってて、ロックされていてもこのクラスの鍵はメモリから消えないのよ。
なので起動して最初にユーザーが認証してパスコードを入れます。
そうするとこのクラスキーってやつがメモリに常駐します。
そうすると一旦常駐するとこの鍵はその後画面がロックしようが何しようがずっと消えないのね。
スピーカー 2
再起動まで消えないってことかな?
スピーカー 1
そうなの。なのでこのクラスのデータは何らかの方法で、
例えばロック状態でもiPhoneのデータにもしアクセスできれば複合できるんだよね、鍵があるから。
スピーカー 2
取れちゃうんだね。
スピーカー 1
これが大事なやつで、これがほとんどのサードパーティーのアプリのデフォルトの保護クラスに指定されてるのね。
なのでAfter First UnlockでAFU状態になっていると、
フォレンジックツールか何か使ってうまいことデータが取れれば鍵も一緒に取れるからたくさんのユーザーのデータが見れますと。
スピーカー 1
ところが一回再起動しちゃうとこのクラスも保護されて鍵が生成されないのでほとんどのユーザーのデータが見えなくなっちゃいますっていう。
こういう違いがあってこれは大変だと法執行機関はどうしようってなっちゃうっていう、こういう話で。
なので法執行機関の操作っていう観点からすると、勝手に放っておくと72時間でリブートしちゃうから、どうするんだろうね、72時間以内に頑張って処理するしかないのかもしれないけど。
スピーカー 2
難儀ですよ。そんなにいっぱい処理しないといけないものがあったらね。
スピーカー 1
ちょっとね。時間との戦いで。これはそういう意味ではマイナスなんだけど。
じゃあなんでこんな機能Appleがつけたかっていうともちろんプラス面があるわけで。
説明がないからわかんないけど、おそらくユーザーが紛失したり盗難したりとか自分の手元からiPhoneがなくなってしまったっていう時に、
例えばその紛失モードにするとかリモートからバイプするとかってできるんだけど、それももし効かないってなった時にでも、
72時間続けば勝手にリブートしてデータのその鍵が消えて安全になるから、犯罪者にもし手に入っても悪用されるっていう危険性がなくなるよね、
という意味では一応プラスもあって、お決まりのトレードオフっていうか。
スピーカー 2
相手が落とした、なくした人が善人だろうが悪人だろうがあくまでユーザーを保護しますってことなんですね。
スピーカー 1
そうそう。建前としてはそうなっていて、ただそれが警察とか法執行機関の人であってもマイナス面が出ちゃうので、
ちょっと難儀ではあるけど、機能としては悪くないかなっていうか、安全になったねっていう感じだけど、
ひっそりリリースされてるから裏でもあるのかなと思っちゃう。
スピーカー 2
なんかあってこれを急に入れたのかなみたいな。
スピーカー 1
なんでこんなひっそりとリリースしたのかよくわかんないけど、こういう機能が実は入りましたよっていうので、
警察やらセキュリティ研究者がいろいろ騒ぎましたっていうのが今月ちょっとそういうニュースがありましたね。
スピーカー 2
これ難儀ですよね。
スピーカー 1
どうするんだろうね警察の人はね。
スピーカー 2
初回の起動した時のロックの解除とその後のロックって全然違う状態になるってことでしょ?
そう。
だから解除後のロックをバイパスできるみたいなものがあっても、
それまでの72時間来るまでの間にそれに何かしてもいいっていう許可が取れないとアウトなんですよね。
スピーカー 1
そうそうそう。そういう許可を取ってツールもあって環境も全部準備してデータを取得するっていうのを72時間以内にやらなければいけないっていう。
スピーカー 2
あとあれか、初回ロックの状態って時は指紋とか顔とかできないでしょ確か。
スピーカー 1
そうそうそう。初回はパスコードの入力が絶対必要だから。
スピーカー 2
犯人の顔をかざして開けるとかっていう風なことが72時間以内にやらないとパスワードなんて忘れましたって言われたらもうまか見れないってことですよね。
スピーカー 1
そう。だからまあ被疑者なのか何なのかわかんないけどその証拠の持ち主が自発的にパスコードを教えてくれない限りはちょっと厳しい状態になるねっていうことだよね。
スピーカー 2
なんか72時間っていうのに何か意味があるのかな?
スピーカー 1
なんだろうね。そのバランスを取ったんじゃないの?
スピーカー 2
なんかそれは紛失とか盗難とかにあったら72時間ってちょっと長いかなと思ったんですよ。
スピーカー 1
そうね。だからそれをさ、そっちを思いっきり置けば24時間とかでもいいはずだしだけど。
そうしちゃうとますます操作に影響が及んじゃうから。
まあその辺のバランスを取ったんじゃないのか。
スピーカー 2
そんな気しますよね。
スピーカー 1
なんとなくね。
スピーカー 2
しかもユーザーはその時間を選べないでしょ。72時間は固定なんですよね。
スピーカー 1
固定。コードの中に埋め込まれてるから。
スピーカー 2
そうですよね。じゃあそうか。
スピーカー 1
ただ分かんないよ。この辺はその今回ひっそりリリースされたけどもしかしたら途中で変えるかもしれないよね。
スピーカー 2
あーそうかそうかそうか。
スピーカー 1
いろいろそういう分かんないけどその法執行機関から多分反対の意見とかが出てアップルにまた何か言うんだろうし。
ひょっとしたらねそのなんかデフォートの設定値をもうちょっと長くするとかしてユーザーが短く変えられるとかってするかもしれないしね。
難しいですね。
そういう可能性はあるっちゃあるね。
スピーカー 2
伸ばしすぎたら本当に保護したい人たちの保護が働かなくなってとかってバランスもあるから難しそうやななんかその辺をバランス。
スピーカー 1
そうなんだよね。まあそれは想定考えればまあ72時間はまあ妥当かなと思うけどどうなんだろうね。
スピーカー 2
なんかそれぐらいなんかなみたいな。頑張ったところなんかなっていう気はするな。
スピーカー 1
警察の側の人の意見を聞きたいけどね。
スピーカー 3
聞きたい聞きたい。
スピーカー 2
そうですね。はいありがとうございます。
スピーカー 1
はい。
スピーカー 2
はいじゃあ最後僕なんですけれども。
スピーカー 1
はいお願いします。
スピーカー 2
ほぼほぼロックビットと同じようなレベル感というか。
なってきているこのランサムギャムなんですけど。
これをちょっとつかぼりしてみようと思ってどんなグループなのかっていうやつを調べてみたんですけど。
このグループ自体は今年の2月ぐらいにフォーラムとかに宣伝を出して。
我々のランサムこんなんですよみたいなこんな機能ですよみたいなものを出して現れたランサムギャングなんですよ。
いろんなレポート見てみるとサイクロプスっていうランサムギャングが昔いたんですけど。
それがナイトっていうのに名前を途中で変えてるんですよね。
これは自分たち名前変えるっていうふうに言ってナイトになったんですよ。
このナイトの先がリブランドがランサムハブじゃないかっていうふうに言われてはいるんですけど。
これあの1回このナイトってソースコードが売りに出されてるんで。
ソフトはその同じような系譜のものであったとしても攻撃者一緒とは限らんなっていうパターン。
最近ので言うとハンターズインターナショナルみたいな感じのパターンかなってところですね。
ハイブのソース買いましたみたいなやつだったと思うんですけどそういう感じですと。
でどういうふうなラースでやってるのかっていうとこの件数増えてる理由の一つにもなってるんじゃないかなと思うんですが。
最近のラースとアフィリエイトのお金の取り分みたいな報酬の取り分っていうのがやはり8に入れ8がアフィリエイトっていうのが相場かなっていうのがずっと続いてたんですね。
でも最初からこのランサムハブは9-1っていう。
スピーカー 1
きまいがいいね。
スピーカー 2
そうきまいがいいんですよね。
ソフトウェア的にはそのWindows Linux ESXIっていう大体対応してるなっていうふうな感じになってると。
ただアフィリエイトになるためにはちょっとハードルが高そうっていうのはありましたね。
例えばそのいろんなそういうハッキングフォーラムっていうのかちょっとわかんないですけどフォーラムでのIDと登録期間とかあとレピュレテーションっていうふうなものも見ますとか。
あと他のラースと過去に協力した証拠支払い済みのアドレスのスクショとか送れとか。
ただ一番簡単に参加する方法としては一旦お金を私たちに預けてくださいというデポジット。
これが一番早いですって自分たちも言ってて最初の支払いの時にそれは返金しますっていう仕組みらしいです。
よくあるランサムの禁止事項ってあるじゃないですか。
それがよく言われるいわゆる旧ソ連圏CIS諸国はダメですと。
それに加えてキューバー北朝鮮中国への攻撃は禁止。
キューバーってあんまり見えないけど入ってましたね。
中国は結構フォーラムの管理者が中国語話者だったりするんでそこはあかんのかなとかっていうのはたまに見かけはするんですけど。
禁止ターゲットがあると。
あとは支払いをした標的。
要は身の白金を払った被害者ですよね。
スピーカー 1
に対して繰り返し攻撃するのは禁止。
スピーカー 2
それに加えて支払い後交渉の内容で合意した約束した内容に関して
全てを満たさなかったらバンしますっていう風に言ってるんですね。
あとはよくある非営利の病院の暗号化は許可されていませんが
データの接種による漂白はOKです。
これロックビットも一緒でしたね。
こういったルールで行われていると。
あとは特徴とか他のランサムギャングもそうかなと思うんですけど
いわゆるEDRを殺す系のツールとかもよく使ってくると。
TDSSキラーとかEDRキルシフターとかですね。
こういったいわゆるネギスさんが昔181回で紹介されてたんですけど
BYOVDですね。脆弱なドライバーを読み込んで
それから攻撃しちゃう高い権限でっていうやつあるじゃないですか。
ああいったものを結構多用してくるっていう風なレポートが
FBIから出てるレポートにも書いてて
いろんなベンダーからもこういうのが出てましたね。
スピーカー 1
やっかいだねそれはね。
スピーカー 2
そうそうそうそう。
看護さんもどっかのイベントでしゃべってはったときに
質問でね、EDRの製品の止めてくるのに耐性って大事ですよね
スピーカー 2
そうですねちょっと来年もランサムは見ていこうかなと
いうふうに思っているという決意を新たにいたしました
スピーカー 1
まあなんかねこの間はちょっと別のとこでもなんかこの
あれだっけわかんないけどランサムエアは全然勢いなくしてないみたいなさ話
カンゴさんがしたんだっけちょっと忘れちゃったけど
スピーカー 2
カンゴさんですね
スピーカー 1
まあなんかこれは来年も持ち越しそうだよねこのままだとね
スピーカー 2
そうですねまあ減る要素が多分ないですよね
スピーカー 1
まあロックビット大きく減ったけど結局ね代わりランサムハーブが増えたみたいな感じになっているし
まあ仮にこれで名付けられたランサムハーブがもしテイクダウンされてもまた別のが出てくるだけだしな
スピーカー 2
そうですね
スピーカー 1
まあ結局ねその入り口となる弱点を潰すなりそのアクターの根元を潰すなり
いろんなことやってなんかガクッと減らないことにはどうにも変わらんっていうかね
スピーカー 2
そうなんですよね
なんかさっきちょっと名前出したプレイもね結構長いことおるんですよね
やられずに
スピーカー 1
そうだね
スピーカー 2
で件数もまあそこそこの件数ずっと出してきていてるんで
今サムもその2強かなって感じはしてますねロックビットが落ちちゃったしブラックキャットがいなくなったしっていうんで
スピーカー 1
まあちょっとまだ引き続き注意していかなきゃいけないねこれはね
スピーカー 2
そうですね
はい
そんな感じでございます
ありがとうございます
はいありがとうございます
はいということで今日もセキュリティの話を3つしたきたんですが
最後におすすめのあれを紹介して終わりにしようかと思うんです
今日紹介するのはもともと舞台でやっててDVDかもされてるものなんですけども
今YouTubeで無料でフルで見れる舞台の映像なんですけども
テイクオフライト3兄弟っていうやつですね
これはあのKKPっていう風にいう名前で小林健太郎プロデュースっていうラーメンズ
もうラーメンズはあの活動してないですけども
ラーメンズの一人の小林健太郎さんがその自分がプロデュースする舞台っていうのをずっとされてたんですよ
それの5つ目のやつでそのテイクオフライト3兄弟っていうやつなんですけども
これ結構僕好きで実際にあのいつだっけな2006年とか7年とかかな
2008年くらいかな一回見に行ってるんですよリアルで
スピーカー 1
そうなんだそんなジャンボ大分昔からやってる舞台なんだね
スピーカー 2
多分僕は最遠の方を見に行ってるんだと思うので2008年とかかもしれないですけど
どんな話かっていうと3人主に登場人物が出てきて自転車で日本一周の旅をしている青年がいると
その人が寝床としてビルの屋上を使おうと思うんですけど
そこで引退するジャンボジェットの最後のフライトを見に来ていた飛行機マニアと
飛行機が欲しいっていう風に言ってる息子のために原寸大の模型を作ろうとして
測量に来ている大工と出会うんですね
スピーカー 1
どういうことよ
スピーカー 2
もうなんかよくわかんない原寸大の模型って何やねんっていうそれ模型なんかっていう話もあるんですけど
ちょっとぶっ飛んだ人なんですねこれ一応ほとんどコメディちょっと感動ありコメディみたいな感じというか
このそれぞれ3人は青年はやりたいことに悩んでいる20代なんですよ
飛行機マニアは旅行代理店で勤めてるんですけども
仕事に悩む30代なんですね
スピーカー 1
大工は家族との関係に悩む40代なんですよ
スピーカー 2
それぞれの立場からいろいろ話をしていくとちょっと闇の部分が見えたりとか
ちょっと嘘が混じっていたりとかみたいな
なんでライトさん兄弟なのかというと
日本一の青年が大工のお金がいるんで
大工のお仕事を手伝うんですね解体現場の
スピーカー 1
そこでライト兄弟の幻の飛行機の設計図を見つけるんですよ
スピーカー 2
この設計図って本当にいけんのかみたいな感じで
飛行機マニアに聞いてみようって聞いたらこれいけるんじゃないかみたいなんで
みんなでライトフライヤーという名前の飛行機を頑張って作る
それを作ってそれは本当に飛べるのか
スピーカー 1
3人の関係性はどうなるのかというお話です
スピーカー 2
なので無料なので見ていただければいいんじゃないかなと
スピーカー 1
確かラーメンズって前に紹介したよね
スピーカー 2
そうなんですよね
じいさんが好きだとかって言ってたよね
紹介してからちょっとオリンピックの件があって
ちょっと良くなかったというのがありましたけどね
そう紹介しましたね
ラーメンズの確か過去のDVD化されてるやつのコントのほとんどが無料で見れて
それが寄付に使われてますみたいな紹介を確かしたのかな
スピーカー 1
YouTubeかなんかのチャンネルを紹介した気がするんだよな
スピーカー 2
そうそうそれは紹介しましたね
スピーカー 1
今度は舞台か
スピーカー 2
舞台ちょっと長めですけど
スピーカー 1
なんか設定がちょっとなんかさ
奇抜な感じというかそんなのありかよと思ったけど