Labs
00:00
靴ベラが割れたんですよ。
え?靴ベラ?
靴ベラ使ってます?2人は。
使わないね。
ほとんどスニーカーだからさ、靴ベラいらずっていうか。
靴ベラ、僕長い靴ベラ好きなんですよ。
それは何?オシャレ的な?
違う違う違う。いやいや、玄関に置いてるもん。別に誰に見せるわけでもないけど。
いやわかんないけど、こだわりがあるのかなと思って。
割れるんですよ、やっぱり。しゃがまんでいいから。
じゃあ機能的ってことね。
そうそうそう。それで割れたんですけど、これで2回目なんですよ。
それそんなに力入れてんの?
あるんすね。
そんな割れるか?あれって。
最初に割れたやつがプラスチックやったんで、昨日やつに買い替えたんですけど。
1年ぐらいですかね。買ってから。
パキン割れて。
よっぽど固い靴履いてんの?
靴によったら履き口の狭い靴とかもあるじゃないですか。
まあね、まああるよね。
それで行って迷ったんですよね。
行って迷ったか、そうか。
そうなんですよ。
なので速攻で今度は最強の金属の長いやつを買いまして。
ああ、あるね、それもね。
でもええ値段するんじゃないの?
いや、結構ええ値段しましたね。
ええ値段したんで、もうこれ一生使うつもりで。
俺、下手したら狂気になるんじゃない?
いや、もうほんと狂気で。しかもね、ちょうどね、武器になりそうな長さ。
ちょうど?何がちょうど?
長すぎず短すぎずみたいな、ちょうど相手の間合いを図りながらみたいな感じの。
いい感じの長さではあるんですけど。
そんなことしてたら僕ちょっと、今日はちょっと収録いつもと違って日曜日に収録してますけども、
仕事で出かけてたんですけど、その先でですね、長い靴ベラをもらうっていうのもありまして。
第一声、仕事でお会いした方が、すしさん靴ベラ割れたんですよね?みたいな。
そっからか。
はい、感じで言われまして。
僕ちょっとランサムの話だけじゃなくて、ランサムとかの被害にあった企業の話とかもしてきたんですよね、そこで。
で、僕がいろんな組織あるけど、対応にするときに大事なポイントの1個として、やっぱり透明性って大事じゃないですか、自分たちから開示するとか。
はいはい。
っていう風な話をしたのもちゃんと踏まえて、透明の靴ベラやったんで、透明性靴ベラですって渡されたっていう。
おもしろいな。
そんなのも、昨日僕初めてですよね、仕事で行って帰りに靴ベラ持って帰ってるっていう。
おもしろすぎるね。
なぜか我が家には長い靴ベラが2本あるっていう状況になってて。
03:00
だからあれですよ、久しぶりにセキュリティのステッカーも希望の方に配ってきましたよ。
なんかいろいろあれだね、そういうことは表で言ってみるもんだね。
いやいやいや、そうそう。ツイッターとかにあげたんですよね、靴ベラ割れたみたいな。
見てる人は見てるんだなぁ。
わざわざ、しかもそれあげてそんな時間経ってないのに、その合間に買いに行ってくれはったなと思って。
確かにね。
いや気持ちが嬉しいなと思ってね。
そうそうそうなんですよ。
なんでちょっと透明性靴ベラも使っていこうかなみたいな。
なるほど。
感じではありますけれどもね。
ということでお便りが来ております。
はい。
この感想をいただいたんですけれども、
攻撃に対するパスワードの選定とサービスポートの変更という初歩的な対策についての有効性を複数のレポートを参照してお話しされていました。
将来的には高度な対策は必要だけれども、まず初歩的な対策から取り組むことも大事ですね、というふうにセキュリティのあれを紹介してくださっているツイートがありまして。
前回のあれか、RDPの追算のやつか。
そうですね。
こういうことって当たり前すぎて、僕らは忘れるわけではないですけれども、ここに焦点をわざわざ当て続けるみたいなことはもちろんしないわけじゃないですか。
だけど絶対忘れたらあかんポイントやろうし、僕らはそろそろこっち気を付けなあかんのちゃうかと思ってても、まあまあなかなかこういうことができてないっていうことを意識しなあかんなっていうふうなのはね、このコメント通り思ってるなっていうことでございます。
基本的にいつまでもずっと大事だよね。
意外とそういうのが、なんかすごい先進的な攻撃とかみたいなのもあるけど、意外とやられてるのを見てみると、あ、それかみたいなものっていうのもよくありますからね。
そうだね。
まずはそこというところを忘れずにいきたいなというふうに僕も思った次第でございます。
次質問なんですけれども、モバイル端末でコンテンツブロックするために広告ブロッカーを探しているんですけれども、お三方が使用されている広告ブロッカーやおすすめはありますでしょうかという質問が来ております。
モバイル端末なんですね。
僕はこのポーズキャストでも何回か紹介してるけど、モバイルでもDuckDuckGoブラウザーを使っているので普段、あとブレイブとかも使うかな。
あの辺のプライバシーを強化したブラウザーってほとんど組み込みでブロッカーが、トラッカーのブロッカーとかアドブロッカーが標準で入ってるんで、
基本それで困らないっていう感じなんで、僕はそれ以外に何か特別何も入れてないんだけど。
かんごさんどうですか?何か使ってますか?
私もブレイブですね。
あの辺は使い勝手もいいし、いいよね。
そうですね。
僕は何も使ってません。
前も言ってたよね、広告は。
そうですね、ポリシー的に。
06:00
ブロックしないで見る派だってみたいな。
広告はそうですね、なんかこう、なんか鬱陶しいなと思うようなものもありますよ。またかみたいなとか、そんなん興味ないねんとかもあったりするんで、たまにこう選べるやつは興味ないとかあまりにも出過ぎてて鬱陶しかったらやったりするぐらい。
で、まあなんか広告もなんかね、面白いもあったりもしますし。
そうだね、全てが悪いわけじゃないけどさ、最近もほらマルバタイジング系の事例とか、ちょいちょいなんかねグーグルの広告を悪用して、マリシアスのやつがたまに含まれてるから、そういうのを防ぎたいっていうね、気持ちというかニーズはわかるし、
そういうのと広告といってもいいのも見たいやつもあるぜみたいな、ちょっとそういうバランス難しいよな。
Cって言うとクロームとか、モバイルのクロームとか使ってたりすると、ポップアップを許可しますか?とか出てきたりするじゃないですか。
ああ、はいはい。
ああ、あれだけは拒否してますね。
なるほどね。
でも結構なんかね、広告ブロックしてないとね、最近よく見かけるようになったなって思うんですけど、普通の値段よりもすごい乖離した値段で安く売ってるサイトとかも広告にめっちゃ出てくるようになった。
ああ、なるほど。それ怪しいやつだ。
そうそう。僕はアンドロイドもiPhoneも使ってますけど、アンドロイドの方でピクセルって一番左までスパイスワイプしていくと、
お前こんなん吹き野郎みたいなやつが出てくるんですよね。サゼストの記事みたいなやつとか出てくる。だからセキュリティーなやつとかも出てきたりするんですけど、
例えばアパレル関係とかで見るととんでもなく安い値段で売ってるのとか見つかるんで、そういうの見るのも結構好きだったりするんですよね。
ああ、なるほど。
URLだけちょっとコピーして安全な環境で見たりとかするんですけど、こんな手口があるんやなとかっていうのがあると、ニュースでそういうのがなってくると、
ああいうサイトのこと言うたら反応やろうなみたいなので、ピンと繋がって一人で楽しいっていうわけなんですけど。
僕ら的にはあえてそういうのも見たいっていうのもあるけど、普通の人は多分そういうのをブロックしたいだろうな。
そうですよね。お二人はブラウザーをデフォルトから変えてブロックする機能を使っているという感じですかね。
それが多分手っ取り早くて使い勝手もいいんじゃないかなと思うけどな、お勧めとしても。
そうですね。ということでございます。最後のお便りなんですが、先週LINEスタンプの話したじゃないですか。
ああしたね。
そうそう。第1弾と第2弾以降は募集もできたらいいかなみたいなことを言ってたでしょう。
それで早速こんなんみたいな感じで、いくつか挙げてくださっている方がいたうちの一つ紹介しますけど、
IT系ネタスタンプとかも面白いかもということで、
プロキシ伝言ゲーム、PING生存確認、アンチウイルスウイルスとウイルスをかけてみたいな、
09:03
最近のCOVID-19のウイルスかけてなのかな、ちょっとわかんないですけれども、
そういった何かいくつか挙げてくれている方がいらっしゃいまして、
でね、なぜこの方のこれを紹介したかというと、
多分表明をしている、ツイートしているという意味でしか判断できないんですけれども、
この方ね、LINEスタンプ一番初めに買ったアレ勢かもしれない。
そうなんだ。
そうそう、とうとう審査通りまして、
おめでとうございます。
やっと。
やっとって言っちゃった。
そうそう、これ聞いてる方は僕リジクトされたみたいな話をちょっとしてるけど、
都合を4回出し直してるんですよ。
そんなされるもんなんですね。
4回目でやっと通ったんですけど、それがちょうど昨日か、
だから、4日の土曜日の昼ぐらいに通って、
で、販売開始ボタンを押したんですけど、
その後結構すぐに買ってくれてて、
まだ告知も一切してないんですよね。
出ましたという告知はね。
確かに。
で、それを言う前にLINEスタンプ購入しましたっていう風に。
昨日の段階で。
嬉しい。
あったんでですね。
そうなんですよね。
早いなと思って。
多分僕よりも買ったの早いんちゃうかなっていう。
富士さん、そういう第2弾のアイディアのやつ、
ちょっと皆さんからの意見集めておいてね。
一応、いいねボタンを押したりとか、
押したやつ後から拾ってメモに入れてはあるので。
次回のネタにしましょう。
これでも結構ね、大変っすね。
何が?
変換するときにスタンプの候補出てくるじゃないですか。
あれほっとったら出てこないんですよね。知ってました?
そうなの?
あれね、もともとはクリエイターズスタンプっていう、
僕らが出してるようなところのやつは、
許可されてなかったっぽいんですよ、ああいうのが。
あ、そうなんだ。
公式だけだったの?
そうそう。
調べてみたら、ちょっと前にそれがうっすらできるようになったみたいな記事があって。
そのスタンプにタグ付けできるんですよね。
そのスタンプ1個1個ごとに、1個につき8つまでやったかな?
数忘れましたけど、あらかじめ用意されてるテンプレートみたいなのがあるんですよ。
話、会話とか、動物とかいろんなジャンルがあるごとに、
1個ずつタグが中に入ってるんですね。
そのタグを1個ずつ選んでいかないといけないんですよ、こっち側で。
それを僕もやっときましたけど、一応。
ありがとうございます。
今は多分反映されてなくて、それも審査があるらしくて。
そうそうそうそう。
関係ないタグとか付けられてて、出てきちゃったら困るからか。
結局使ったら会話の中に出てきて、それをクリックして買う人が出てくるじゃないですか。
12:01
気に入ったりとかすると。
いわゆる宣伝みたいにもなりますね、使ってもらうことが。
だからその辺をバランスとるためにやってはるんやと思うんですけど、
それをプチプチプチプチちょっとね、一応やっときました。
反映されれば使えるんだとは思うんですけど、それっぽいタグを一応選んどきはしたんですけど。
もしよかったら買っていただければいいかなと。
そうですね。
ちなみにこの時点で10人以上の方がなぜか買ってくれてます。
なぜか。
うち6割ぐらいは身内なんだと思うんですけど。
6割7割は身内なんだと思うんですけど。
目立とう人はやっぱり早いね。
検索そろそろかなと思って見ててくれてはったのかもしれないですね。
前回告知はしたからもうぼちぼち出ますよとは言ったけどね。
ありがとうございます。
引き続きこういうのがあったらいいのになみたいなことを言っていただければいれるかもしれませんので。
よろしくお願いします。
あとお便りもですね。
ハッシュタグセキュリティのあれをつけてついていただければと思います。
よろしくお願いします。
ということでセキュリティのお話をしていこうかなと思うんですけれども。
今日はそうですね。
僕からいきましょうかね。
お願いします。
今日僕が紹介するのはですね。
マイクロソフトのOneNoteって皆さん使ってるかどうかはちょっとわからないですけれども。
OneNoteを使った、OneNoteのファイルですね。
OneNoteのファイルを使ってマルウェアを感染させようという手口がちょっと目立ってきてるんじゃないのみたいな感じの。
最近よく見かけるよね。
確かに記事で見ますね。
今週1週間くらいポツポツ見るようになったかなという感じですね。
目立ってきたよね。
僕もそんな感じなんやと思いながらも複数のところから出てきたのでちゃんと調べてみようと思って調べてみました。
マルウェアの感染経路としてやっぱり一番のポピュラーなところってメールの添付かなと思うんですけれども。
オフィスがファイルが付いてたりとかジップ、あとISOがっていうのも看護さん紹介してくれてたと思うんですけども。
そういったものがあったんですけど、オフィスの文章っていうのはMOTWのものとかマクロのブロックによって
まあまあちょっと防ごうと思えば防げるようになってきたのかな以前よりはみたいな。
ジップファイルもパスワード付きジップ受け付けませんみたいなところが出てきたりとかしているので、
これもちょっと脅威としてはレベルが下がってきているのかなと。
それでそんなこんなしたらISOでコンテナファイル使ってみたいなところもあったんですけど、
あれはMOTWのセキュリティ機能の回避があったんでそれもパッチで対応されたと。
そうだね。
という中で結構いい感じになってるやんと思ったら今度は1ノートで一応やったらかいみたいな攻撃が出てきているという話なんですけども、
15:02
これもメールに1ノートのファイルが添付されているという風なものなんですけれども、
いろんなレンダーがレポートを出してくれているんですが、
.1っていう形式のファイルがくっついていて、
その1ノートのファイルそのものではなくてその1ノートのファイルの中に入っている、
内包されているくっつけたファイルが悪さをするという風なもので、
1ノートに埋め込まれているファイルがマリシャスな挙動をするという風なものになっています。
そのファイルの名前にはRLO、RTLO、RLOですね、
右から左に読むか、左から右に読むかみたいな地域によって違うと思うんですけども、
並びを逆順にして拡張子を偽装して実はエグゼでしたみたいなやつの手口って昔からあると思うんですけども、
そういったものがくっつけられたりするケースの中にはあります。
で、これどうやって悪さをするような動きをするのかってことなんですけれども、
1ノートのファイルを開いただけじゃなくて、開いた時にですね、
不正な挙動をするファイルを覆い隠す形で上から画像が貼り付けてあるんですよね。
見えないように。で、例えばその不正なファイルが複数いっぱい貼り付けられてあって、
そのボタンっぽい画像、上に乗っかってる画像、そのファイルを隠している画像のどこをクリックしてもいいように配置されてるんですよ。
で、その画像もダブルクリックしてくださいみたいなことが書かれてあって、
ダブルクリックすると画像の裏に隠されているファイルが実行されて動いちゃうという風なものが
一番スタンダードという、スタンダードというか一番簡単なやつなんですよね。
なるほど。そんなんで動いちゃうんですね。
そうそうそうそう。で、もうちょっとした発展版のやつがあって、
そのボタンがあるところよりもさらにそのボタンの下に、要は不正なファイルが貼り付けてあるのと、
ボタンの間にもう一個画像を挿入していて、これも画像がぼやけてる画像なんですよ。
なんかぼかしの入った。で、設計書ですみたいなやつとか設計図ですみたいなものがあって、
これをちゃんと見るためにはダブルクリックしてくださいという風にやると、
さらにその下にあるファイルが開かれてしまうという風な、それっぽいパターンも結構あるんですよね。
実在する航空部品業者を寄せようと送ってくるパターンとかもあって、
昔の標的型攻撃によく使われた感じの雰囲気というかデコイというかね、そういう風なものも出てきていると。
さっき僕はそのファイルには、一番下の不正な動きをするファイルにはRLOを使ってるっていう風に言ったのは、
マウスオーバーした時にファイル名がポコって小さくポップアップしてくるんですよね。
その時に不審がられないようにするために、実際の拡張子を隠す、偽装するために、
そのRLOを使って違うファイル名に見せかけてるっていうテクニックを使っているという風なものです。
で、その裏に貼り付けてある一番下のところですね、大元のところに貼り付けられてあるファイルっていうのの種類っていうのがいくつかあって、
18:07
HTAファイルとかVBS、あとBatchファイル、あとWSFですね、Windowsスクリプトファイルかなとか、
あとはOfficeファイル、これはワード文章が貼り付けてあって、その中にさらにHTAが入ってるであるとか、
あとはもうそもそもExeファイルが貼り付けてあるとかっていう風なもので、いろんなパターンがあります。
Exeだったらそのまま動作をするんですけれども、スクリプト系のものが貼り付けてあるやつだったらですね、
どこそこのサイトからダウンロードしてこいみたいな動きがあって、これがマリシャスなファイルなんですけれども、
単にマリシャスなファイルだけを落としてきて実行するというだけではなくて、
そのメールの文面とか、ワンノートの内容に沿ったようなデコイファイルみたいなものと一緒にダウンロードしてくる、
2つダウンロードしてきて実行する、でも目に見えるのはデコイファイルだけっていう風なパターンですね。
だいたいダウンロードしたときに実行される、PowerShellとかそういうものが動いたりするわけなんですけれども、
実行したときに動くのはPowerShellのWebリクエストのものが走ったりとか、
あとWindows標準で入っているAdminとかAdminExeとか、
あとWindows 10標準で使えるようになった、初めからインストールされるようになった、
CURLっていうコマンドラインでダウンロードするときに使ったりするものが、
Wgetみたいなやつがありますけれども、こういうものを使って、
さっき言ったデコイファイルとか不正な動きをするマルウェア本体をダウンロードさせるという風なものが動作としてするという風なものですね。
その後使って実際にダウンロードされるものはマルウェアもあるんですけれども、
ツール類ですね、攻撃ツールとかラテラルムーブメントとかにもよく使われるような、
ペネトレーションテストのツールって言われることもあれば、攻撃ツールと言われることもあるものも複数あって、
マルウェアだったらMarcosとかAsyncRatとか、
あとこのPodcastでもネギさんが紹介したのかな、レッドラインスティーラーですね。
インフォスティーラー系の情報を盗んじゃう系の有名なレッドラインスティーラーが落ちてくるという風なものがあります。
あとツール系とかだと、これも超メジャーになりましたよね。
コバルトストライクとか、あとパワースプロイト、あとエンパイア、あとはポッシュC2ですね。
裏口開けてC2に接続するやつありますけども、このポッシュC2っていうのが落ちてくるような、
様々なケースが出てきているので、一つのグループではないのかももしかするとしれなくて、
よく使われる手口になってきているのかなという風な気はしました。
さっき同産のところでも言ったんですけど、パワーシェルが動いてとか、ビッツアドミンが動いてとか、
21:00
CURLが動いてというところがあって、これでダウンロードさせているという今のところ手口がほとんど、
見てみるとほとんどだったので、ここを止めるとか、いるかいらんかを押し座選択するというアプローチは一つとして残されているのかなという気はします。
手口が変わっていても大元は一緒かなというところですね。
なのでいろいろなところから出ているレポートを見てみたんですけど、
やっぱり次から次にしっかり考えて効き張るなという風な感じも思いまして、
僕今回これと同じように、上に貼っているのになんで下のファイルが実行されるのかと思ったので、
自分で作ってみたんですよ。
ワンノートちゃんと使ったの初めてやでというタイミングで。
私は使ったことないかも。
一瞬使ってみて、エバーノートなのかワンノートなのかいろんなノートアプリが流行った頃に試しに使ってみたことがあるんですけど、
それ依頼ぶりぐらいにちゃんと使ったぞみたいなのでやってみたんですけど、
上に画像が2枚あってもちゃんと実行されるんですよね。
重なってるのにっていうのがあって、なんでこんな仕様なんやろうなっていう疑問はあるんですけど、
動くのは動くんでしょうがないなっていう。
僕もこんなことができるって知らなかったんで。
よう考えますね。
そうだワンノートでやろうって思ったやつなかなかすごいなってちょっと思って。
そういう物事の仕様とかにもちゃんと着目してるんやな、攻撃者はなっていう風に。
ちょっと自分も反省をしたなという風なことなんですけども、
新しい手口とはいえ防ぎ方はそんなにこれまでとは大きく変わらないですけども、
やっぱり新たな手法ということもあるので、
自分たちの組織内とかでこういう風なものがありますっていう風なものは広めておく、
知っておいてもらうってことは大事なんじゃないかなということとともに、
システム側でさっき言ったみたいな動く動作に着目して、
システム側でできることっていうのは何かなっていうのをこの機会に見直してみてはいいんじゃないかな
なんていうことを考えさせてくれるような事象でしたというお話でございます。
OneNoteっていうアプリケーションを使っているっていうところはあるけどさ、
結局その昔から変わらないんだなっていうその利用者に何とかして興味を持たせて、
クリックさせてっていうことをしないとできないわけじゃない?
そうですね。
開かなければいいしクリックしなければどうってことはないんだろうけど、
結局攻撃者からしたら、ユーザーに何もインタラクション発生させないで勝手に感染しちゃうのが一番手取ればいいわけだけど、
なかなかそういうのは最近は難しいから、何だかんだ言って結局その昔ながらのやり方に回帰しているような感じが。
そういう風にしないとうまくいかなくなってきているっていう状況はずっと続いてますよね。
何かしらユーザーのアクションが必要とされるものが多いですよね。
そうなってくるとさっき言った画像上に重ねるなど、それっぽいデコいを落としてくるなど、
24:06
偽造する方法って結局昔からずっとあるから、
なんかそれは変わってないし、そこに騙されちゃうってのもやっぱり変わってないからね。
人間やからしょうがないかみたいなところはありますもんね。
なかなかそれを止めるっていうのはやっぱり一筋縄ではいかないよね。
あとワンノート側が何かしら対応者としてもまた違うのでとかって結局繰り返しだもんね。
またやらしいことにWindows 10と11っていうのはデフォルトでワンノート入ってるんですよね。
その辺も狙い目なんだろうね。
この前のOSがどんどんサポート切れてきたじゃないですか。
タイミング的にもすごくいいタイミングにやってきてるなというふうに思うんで、
場合によったら使ってないんであればアインストールするってのも一つかもしれないですね。
確かにデフォルトでは入ってるけど、必要なければってことね。
そうそう、組織で使ってないんであればってことですけどね。
それも一つシステム側としてできる対策としてあるんじゃないかなと思いました。
確かに確かに。
なかなか厄介ですね。
公益手法としてはシンプルで言えばシンプルだしさ、
さっきのいろんなペイロードとしていろんなのが入ってくる可能性があるってのは、
結局いろんなタイプの公益者に使われる可能性があるってことだね。
かなり汎用性広いと思うんですよね。
そうですね。
なのでこういうものだけじゃなくて、それこそ標的型とかにももちろん使われるでしょうし、
というふうなことも留意して、今後どうしようかってことを考えてほしいですね。
はい。
ありがとうございます。
ありがとうございます。
はい。
じゃあ次はそうですね、ねぎさんいきましょうか。
はい。
じゃあ私は今週はですね、ちょっとこの前看護さんが何回か前にCVEとKEVの話題を提供してくれたじゃない。
はい。
でちょっとあれに少し関連した話で、今日はCVSSの話題を取り上げたいなと思ってるんだけど。
いいですねいいですね。
なんかねちょっと今週面白い記事を見かけて、
はい。
贅沢性情報のサービスとかを手がけているバルンチェックっていう会社があるんだけど、
CVSSって果たしてどれくらい本当にスコアって正確なんだろうねみたいな、
そういう疑問を投げかけるような記事を書いてたんで、
はいはい。
ちょっとこれを紹介したいなと思います。
うん。
で、そのCVSSの対象、分析の対象としているものは何かっていうと、
アメリカのNISTが管理している、NVDってあるじゃない。
あ、ありますね。
ナショナルバーネラビリティデータベースっていうね。
はい。
あれに登録されているやつってのは、基本的にNISTがCVSSのスコアも一緒に付けて登録してるんだけど、
NVDに入ってる、確か20万件くらいだっけ、なんか前ね、お看護さんが紹介してくれたけども、
全部でそれくらい入ってるうち、なんか12万件くらいがCVSSのバージョン3のスコアが付いてるんだって。
27:04
うんうん。
で、それを一応対象に調べましたって言ってて、
で、僕も知らなかったんだけど、そのうち2万5千件くらい、だいたい20%くらいがNISTのスコア以外に、
もともとの開発しているベンダーのスコアも一緒に登録されてるんだって。
うんうん。
たまにあるじゃない、NISTのスコアとベンダーのスコアって2つ入ってるやつとか。
閉域されてる場合あるんですね。
そうそうそう。そういうやつってのが2万5千件くらいありますと。
で、本来であれば、その脆弱性の対象のソフトウェアの開発元だろうが、NISTだろうが、誰が評価してもさ、脆弱性の中身は同じなんだから、
同じスコアでなければおかしいはずじゃない?
うん。
ベーススコアはね。
なんだけど、なぜかその2万5千件のうち1万4千件、結構な割合5割超えてるけど、1万4千件は実はその2つのスコアが違っていますと。
ほら。
いうことで。
よう調べましたね、そんな。
で、俺もえっと思って、ちょっとこれはそこまで多いとは思ってなかったんで、違うやつはあると思ってたけど、そんなに多いの?っていう感じで。
で、なんでこんなに多いのかっていうと、いろいろあるんだけど、
例えばこの記事で例として1個だけ最近のやつを挙げてるんだけど、1つあるのはWebminの去年報告された脆弱性で、
CV-2022-36446っていうのがあるんだけど、
これなんかリモートコード実行できるやばいやつなんだけど、ただしこれ認証が必要なデータクセルなのね。
なので本来であれば最高でも7.2にしかならないはずですと。
なんだけどなぜか、さっき見に行ったんだけども、なぜか認証が必要ないっていう評価になってて、スコアが9.8ってなってんのね。
明らかにこれは間違ってる例ですね、というふうに記事で挙げてるんだけど、こういうようなやつが他にもいっぱいあるわけ。
で、1個1個自慢要請権全部調べるわけにいかないんで、どうしようかなっていうんで、この人たち何やったかっていうと、
ちょっとわかりやすいやつを調べてみましたっていうことで、クロスタイトスクリプティングとクロスタイトリクエストフォージェリーっていうメジャーな脆弱性があるよね。
で、あれを調べてみましたと。で、何でこれを調べたかっていうと、NVDの中にCWE、Common Weakness Enumerationかな。
共通する脆弱性の種類を分類している基準があるけども、あれでXSSとC-Surfっていうタグが付いてるやつってのがあって、それは調べやすいから分析しやすいねっていうのと、
これさ、どっちも悪意のあるリンクとかをユーザーがクリックするとか、ユーザー側が何らかのアクションを取らないと発動しないじゃない。
クロスタイトスクリプティングってそういうやつだよね。なので、どっちもCVSSの評価で言うとユーザーインタラクションが必要なんだよね。
30:06
なのでそういう評価になっていなければおかしいと。なのでこれも間違っているかどうかっていうのが分かりやすいよねということで、これを調べてみましたと。
記事の中で紹介されているXSS、クロスタイトスクリプティングの例をちょっと紹介すると、NISTがスコアを付けている中でクロスタイトスクリプティングの贅沢性が13000件ぐらいあるんだけど、このうち111件が間違っていると。
ユーザーインタラクションはいりませんっていうふうに区分になっていて、間違っていると。でも割合で言ったら1%未満なので少ない。
もっと酷いのがベンダーが付けている方で、ベンダーがスコアを付けていてXSSの贅沢性ってやつが2000件ちょっとあるんだけど、なんとこのうち346件が間違っていて、およそ17%ぐらいが評価を間違ってますと。
これはあくまでもXSSっていう一例なんだけど、これだけの数百件の間違いが見つかりましたと。この手のやつっていうのが他にもわんさかあって、それがどう当てつるもれば一番400件なのかわからないんだけど、相当な数実はスコアの付け間違いっていうのがあるんですよっていうのがこの記事の主張なんだよね。
これはバルーンチェックっていうサービスの会社だから、だからうちはスコアが新しいサービスを提供してますよっていう、そういうサービスの誘導なんだけど。テレショッピングみたいな流れになっている。うちのはいいですよっていう、そういうオススメなんだけど、それは一旦置いておくとして。
よくこのポートキャンセルもたびたび話題で取り上げるけど、CBSってよくできてる仕組みだと思うんだけど、本来であればそのベーススコア以外に環境値とか現状値とかっていうのがあって、これを正しく運用することで今の状況に即した自分たちの環境に即した評価っていうのができるはずなんだけど、現実の基本値しか使われてないよねっていう。そういう問題っていうかね、そういうのもあるじゃない。
だけど、そもそもその基本値もベンダーとかにストレーター付けてるやつが結構間違いが含まれてるっていうのをこの記事は指摘してて、それは確かにちょっと盲点というか、間違いがたまにあるなっていうのは知ってたけど、
ここまでとはという。こんなに多いとはちょっと思ってなかったんで。
あと、この記事以外にももともといろいろ批判はあって、前も言ったかもしれないけど、ベンダーによってはあらかじめ批判を防ぐために高めにつけておくとか、影響をちょっと高めに見積もっちゃうベンダーとかね。
あるいは逆に脆弱性の影響を低く見せたい、そんなに大切じゃないですよって言いたいがために低く見積もっちゃうベンダーとか、そういうのは前からいろいろ言われてるわけ。
ちょっと感情みたいなものが入ってるんじゃないかって言われてますもんね。
33:02
本当はおかしいんだけど、これはこうでしょっていう解釈の違いみたいなちょっと曖昧な部分なので、高くなったり低くなったりっていう。
もともと意図的にそうやってつけてる例もあるわけよ。あるし、NISTがつけてるやつはおそらく意図的ではなくて単なるミスだと思うんだけど、ミスも結構あるわけね。
めちゃめちゃ評価してますしね。
年間2万件とかやってるわけだからさ、それはミスもあるようなと思うけど、でも中にはCVSSのスコアをもとにいろいろ脆弱性の対応してる企業が多いことも事実で、
だからそこに依存しちゃってる対応ってのはちょっと危ないよねっていうのが、もともとCVSSでの対応はどうなのっていう批判は結構ここ数年いろいろ言われてるんだけど、
なんか改めてね、ちょっとやっぱこれだけに依存するのは危ないなっていうのが、そのスコア自体の信頼性も実はあんまり高くないかもしれませんよっていうことを主張してて、
もしこれが本当にそうだとしたら、これをそのまま受け入れるとしたらさ、毎回毎回自分でも評価しなきゃいけないわけじゃん。
まあ原理的じゃないですよね。大変ですよ。
全然そんなやってられないじゃない。贅沢性の情報詳細見てこれはどうだって自分でやるなんてちょっとありえないじゃん、普通ではさ。
普通はニストなりベンダーなりが出してるスコアというのは信用して判断してるわけで、それもちょっと信頼できないし、なおかつ件数もめちゃくちゃ多いから、それだと負担があっていうのがあると。
ちょっとねCVSSに依存したやっぱり贅沢性対応のやり方っていうのはちょっと難しいよなっていうのはこれを見てもちょっとあるなって、なんか改めて思ったなということですね。
まああれですね、数字として出してくれているから活用した方がいいけど、間違いは人なんでもちろんあるし、そういう感情も絡んでくるから、自分なりに判断する材料の一つぐらいに考えておかないといけないってことですよね。
そうそう、あくまでもその参考として見るけど、これに依存して何でもかんでもこれがクリティカルだからこうとかっていうふうに決め打ちしちゃうとちょっと危ないかもねっていう。
まあそんな話だね。
何事もね無批判に信じ込んでやるのは良くないですもんね。
そうそう、この記事自体はやっぱり多少バイアスがかかってるというか、自分たちのサービスに誘導しようという人がありありと見えるんで、
ちょっと僕も自分で調べてないんであんまり偉そうなこと言えないんだけど、こんなに多いのか、古いやつが多いのか、新しいのが多いのか、そういう分析もしてないし。
あと脆弱性の種類によってもあるかもしれないですね。
バージョン3のスコアというかそんな古いはずはないんだけど、中にはその間違いを誘発しやすい例があったり、実はそんなに大したことないっていうものが多かったりとかさ、例えばスコアが低いものに間違いが多かったらあんまり大したことないじゃない。
まあそうですね。
とかね、そういうこともあるって、そういう分析は全くしてないんで、ちょっと掘り下げが足りてないなーって気がするんだけど、
まあでも一例として疑問を感じてもらう例としてはいいかなというか、面白い着眼点だなと思ったんで。
36:03
なんかあれですね、KEVとかに載ってるやつだったらどうなのかとかっていう絞り方で見ても面白いかもしれないですね。
そうだね。さすがにその辺は間違ってないと信じたいけど、ちょっとそこまで。
僕もでも自分でさ、そう言われてみれば全然無批判で、ちゃんとそれ合ってるかどうかってやったことあんまりないなと思ってさ、ちゃんとは。
あれっておかしいと思ったやつは気になるけどさ、全部が全部調べたりしないじゃない。
確かになんか違和感あった時だけこれってなんでリモートなんとか認証ありなしなんていうのは調べたりはするけど、まあそんなの1年に何回かしかないですよね。
ね、特に気になるのは贅沢性ぐらいは調べるけどさ、全部が全部調べたりしないからね、やっぱそれもちょっと危ないなーと思ったね。
確かに確かに、そうか。じゃああれですね、こういうCVSSには基本値、現状値、環境値と環状値があったということですね。
環状値はないね。
言いたいだけです。
言いたいだけですよね。
ちょっと言ってて思い出したけど、この辺の話、去年のH5ユーザーのワークショップでちょっと3人で話した中でも少し触れたんで。
確かにこの辺はどう扱うべきかみたいな議論しましたよね。
確かつゆさんのところの会社のブログで結構詳しく記事書いてくれたんで。
読むにはだいぶパワーのいる、かき起こしレベルのものが上がってるんでよかったら読んでいただければ。
あれすごいしっかりかけてて、セミナー聞いた感じになるもんね。
事前に僕もレビューしたんですけど、お二人にレビューしていただく前にね、あの記事。
読んでた僕が結構いいこと喋ってたなって。
ちゃんと仕事してるなーみたいな気持ちになりますね。
あれいいので、衝動取りリンク貼っておきますんでそちらもぜひ見てみてください。
よかったら見ていただければと思います。
はい、ありがとうございます。
はい、じゃあ最後カンゴさんお願いします。
お願いします。
今日はですね、私はマイクロソフトが先月26日にブログに書かれていた、
2023年のIDセキュリティの傾向とMSのソリューションっていうそういったタイトルで書かれていた記事の紹介をしたいなと思ってまして、
これ内容的には昨年の10月に、ちょっと私知らなかったんですけど、
Authenticate 2022っていうそういったカンファレンスがあったらしくて、
そこで取り上げられて、基調講演でお話しされていた内容を元にMSの現状というか、
実際の数字とかを出してどうなのかとかっていうのを記載されているものなんですが、
私いいなと思ったのは、IDというかアカウントを狙った攻撃っていうのも、
いろいろこれまでもセキュリティのあれであったりとかセミナーとか、
いろんなところでお話しさせていただいて、取り上げさせていただいているんですけど、
結構きれいに整理というかまとめられているなっていうのを読んで、
39:01
印象として率直に思ったところがあってですね。
というのは、IDを狙った攻撃っていうのが、
大体この4分類ありますよっていう形で整理されていて、
1個目がパスワードに対する攻撃ということで、
これはパスワードスプレー、これは推測されやすいパスワードを使っているとか、
あるいはパスワードの使い回しを狙った、
MSの表現としては侵害に対するリプレイ攻撃という形での表現であったりとか、
あるいは言わずもがなんですがフィッシングですね。
こういったものっていうのがまずありますよというところで、
ちょっとびっくりしたんですけど、
MSの規模を考えれば当然そうだろうなと思うんですけど、
マイクロソフトのサービスに対して、
こういったパスワードに対する攻撃っていうのが大体秒間旋回、
これ検出なのかな?発生していると。
多いね。
すごい感じですよね。秒間ですからね。
なので下手なの多分、L7のDOSとかに引退したら引退するような感じですね。
感じかなというぐらいなんですけども、
残念なことに侵害されてしまったアカウントについては、
99.9%は多要素認証MFAを使って有効にしていなかったと。
やっぱりMFAっていうのはこういうことに対しては有効なんだなっていうところと、
ただ昨年の12月の状況において、
多要素認証を使ってらっしゃる利用者っていうのは割合としては28%、
MSのサービスですよ、28%にとどまっているという感じではあって。
まだそんだけしかいないんだね。
そうですね。まだまだと。
MSのサービスってことは、例えばAzureとか365とかってことですよね。
基本的には企業とか組織の人の方が多いってことですもんね。
の方が多いと思うんですよね。
会社で使ってるのももちろん含まれてるけど、個人で使ってるやつも全部ひっくるめてだろうね。
ひっくるめてですよね。
分けたらもうちょっと多分割合違うと思うんだけど、
まあでも3割もいかないのか。低いな。
いろいろ種種雑多な人が個人とかも同じぐらい割合バラバラと使ってて20何パー高いかなと思ったんですけど、
組織の方がボリュームとして多いってことを考えるとやっぱりまだまだ少ないなって思いましたね。
なんとなくね。
まだこういう数字というところがバスタードに対する攻撃という感じなんですけども、
続いてはMFA、多要素認証に対しての攻撃もありますねっていうところで、
これに分類されるものとしてはMFAファティーグって呼んでるような、あれ何でしたっけ?
土井さんの表現で言うと。
通知。通知ウザウザ詐欺。
そうそうそう。
42:01
忘れんなよ。
そうですね。ウザウザ詐欺の他にAITMであったりとか、あるいはシムジャッキングですね。
そういった手口による多要素認証に対しての攻撃っていうのがありますよというところで、
MFAファティーグに関しては当然さっきのバスタードに対する攻撃に対して見れば当然やっぱりやる側もコストは当然かかるので、
数こそはボリュームとしては減るんですけども、それでもちょっとデータとしては少し古いんですが、
昨年の8月の状況としてはAzure ADで検出された件数としては月4万件ぐらいというのがこういったMFAに対しての攻撃というところで検出がされてるというところで、
傾向としてどうなのかって見るだけのちょっと絶対的な数字っていうのがあんまり出てはなかったんですけど、
なんとなく増えてるなぐらいの感じで、少し右肩上がりの数字に若干見えてきてはいるので、やっぱりバスタードに対しての攻撃っていうだけでなくて、
MFAに対しての攻撃っていうのも少しずつ増えてきてるっていうのはもしかしたらあるのかなというのはちょっとMFが掲示されているグラフからは。
実際にね、このポートキャスターの前にどっかから喋ったけど、なんか去年ぐらいからちょっと攻撃の事例で使われるケースもポチポチだから目立ってきたもんね。
実際の被害でこういうふうに会えましたよとかっていうのは出てるところもあるので。
だから件数も多分増えてるんだろうなやっぱりな。
これってMFAファティーグだったっていうふうには、これどうやってMFAファティーグって判断してるんですかね。
これほら、多要素認証を有効にしてたら、MFAファティーグしようと思ってるか思っていないかに関わらずユーザーの方に飛んでっちゃうじゃないですか。
とかしますかみたいなやつがあるんで、逆にあれですかね、MFAを有効にしているユーザーが増えれば増えるほどこっちの件数も増えてくるってことですよね。
まあ多分そうなるはずだよね。
そうですね、確かに。
という感じで、じゃあ次何くるかというと、これもこれまで取り上げていた認証後に起こり得る攻撃ということで、
ポストオーセンティケーションアタックという感じで表現されてるんですけども、何かというと認証トークンを盗むという手口。
これはねぎさんのご紹介されたレッドラインスティーラーとか、そういったインフォスティーラー系でセッション情報、トークンを盗んだりとかっていう形でやるやり方であるとか。
ちなみにこれも何か数が出てたんですけども、これも同じく去年の8月でAzure ADで検出されたそういった攻撃事例としては5.9万件ぐらいという感じで、
これもそこそこの数ではあるなという印象はありますね、やっぱり。
もう一個は、これもこのカテゴリーなんだなと思ったんですけど、コンセントフィッシング。
45:03
これちょっと日本語で言うと同意フィッシングっていうんですかね。同意を取るっていうのはそういった趣旨ではあるんですけど、
これオースとかそういったアプリケーションのアクセス許可をフィッシングを通じて攻撃者側に取られてしまうというそういった手口で、
例が適切かわからないですけど、Twitterなんかでは比較的よく見られる、過去よく見られた事象ではあったかなという感じがあるんですけど。
アプリの連携ってやつね。
そうですそうです。
ユーザー側に騙して許可させちゃうってやつだよね。
そうですね。そういったものもここに入ってましたと。ちょっとこれは具体的な数などはちょっと出てなかったんですけども。
だから正面突破の認証から行くんではなくて裏口使ってみたいな感じだよね。
そうですそうです。
これもちょっと盲点になりやすいところだよね。
なんかちょっとやっぱりこんなやり方すればあるなっていうのは改めてちょっと見て思いました。
最近もこの辺のオースのコンセントフィッシングとMSが何か注意関係してたよね。
何だっけ、Verified Publisherの悪用したどうたらこうたらみたいな。
そういう記事が出てたじゃん。あれはこれに分類される攻撃だよね。
そうかそうか。
なんか最近もやっぱりあるんだよね、こういうのね。
ですね。
はい。
最後は、ドチョッキなんですけども、インフラが侵害されてしまうケースというところで、
特にこれは多分自分で構築しているケースだと思うんですけども、
オンプレでそういったID管理をしているサーバーが侵害されてしまうというケースで、
特にゼロトラストっていう考え方っていうんですかね、
そういったポリシーを浸透してきたことにつれて、認証に対して仕組みとして攻撃するっていうのはなかなか難しくなってきたというところについては、
ある程度技術力が高い攻撃者からすると、やはりIDインフラ直接攻撃するケースっていうのは当然出てくるだろうねっていう話が記載されていたというところではありました。
最後、先ほど28%MFAの話したと思うんですけども、
これちょっと確かに言われてみたらそうかなと思ったんですけども、
コンシューマー向けのOutlook.comとか、あるいはゲームのXboxのそういったアカウントをもしかしたら持ってらっしゃる方がいるかもしれないんですが、
そういったアカウントと組織で、エンタープライズで利用されているアカウントを比較すると、
どっちがハッキング成功の確率が高いかっていうと、
実はコンシューマーアカウントの方がエンタープライズのアカウントと比較して、
ハッキング成功の確率は50分の1という結果だったらしくて、
これはそもそもコンシューマーアカウントに対しては、マイクロソフトがMFAなどであったりとか、
48:06
そういったセキュリティポリシーの適用っていうのを管理策として導入できているというところが一つ要因としてあるというところで、
当然組織側でも同じことできるんですけども、それはMSがどうこうって話じゃなくて、
そういった組織に依存した話ではあるので、その辺の差がこの確率の違いに出てきているんだなというところが分析されています。
でも50倍も違うんだ。ちょっと驚きだ。
そんなに違うんだ。
逆に言ったら、有無を言わさずMSレベルのポリシーを強制したら全部が50分の1になるんだ。
そういうことですよね。
ちょっと乱暴だけど。
そういうことですよね。
そういうことだよね。
法人ごとのポリシーが悪いわけじゃないけど、全体として攻撃される可能性を減らすためには全体を底上げして、
このレベルは最大限クリアとかにして、そこは常識だよねっていう合意をみんなで取っていかないと、
まだそこまでいかなくてもいいよねって大半の人が思っているから上がっていかなくて28%と留まっているってことだもんね。
そうですね。
だいぶ道のりが長いな。
長いですね。
ちょっとショックだな。
全体こうやって見てみると、さっきの基本は大事って話に戻るけどさ、
相変わらずパスワードで突破されるのがそれなりにいる。
でも99.9%多要素認証してないからっていうのは納得だけどさ、
去年ぐらいからさ、それをさらに回避する攻撃とか、そもそもトークン盗んじゃってMFA必要ないとかさ、
そういうところがちょっと目立ち始めてるなっていう感じはなんとなくするじゃない?
事例として、全体の数としても多分増えてるんだろうけど、それ以上に大手の企業とかの侵入事例とかでちょいちょい目立ってきてるような気がするんで。
そうですね。
だからもうそういうところはさらにその先にMFAは当たり前で、プラスその先にっていうふうに考えていかないといけないんだろうね。
そうですね。
MFAを導入してるところもそれで安心して終わりではなくて、
やっぱりさっきネギスさんおっしゃってたトークン盗まれたら、ちゃんとそれを検出できるような対策がとらえてますか?とかっていう。
なんかやっぱり認証にまつわるこのセキュリティの話って終わらないですね。
本当にそうね。
2014年ぐらいLINEの成りすましみたいなのでリスト型攻撃みたいなのがわーっと広まって報道されたりもし始めたじゃないですか。
51:03
その時に結構その今更そんなことを?みたいな風にやっぱり専門家の人とかは言ったりしたんですけど、
やっと僕はそこでスタートラインに立ったみたいなことをよく言ってたんですよ。
最近とかもたまにテレビとかつけてたりとか、あとはニュースの配信とか見てたりとかすると、ついこの間ですよ。
リスト型攻撃に注意みたいな報道がされてたんですよね。
あったあった。
だからそれで使いまわし、それでも使いまわせばまだまだなくならない現状があるじゃないですか。
いろんなところがアンケート取ったりしてますけど。
それをなくしてもまた突破されたりする可能性もあるわけじゃないですか。
その認証ではなくて認可を取られてしまうとかね。
それをこうなんか次はこういう注意喚起もそろそろしていかないとなーっていう風に思いつつも、
なんかまたあれもこれもこれやってもねこれやられたらダメなんですよなんて言ってたら、なんかやってくれへんのちゃうかなっていう気がしてきました。
あー結局これやっても対策ならないでしょって思っちゃったら。
そうそうそうそう。
確かにね。
なんかこうMFAファティーグというよりもなんかもうセキュリティーファティーグみたいな感じになって。
それは確かにあるよね。
それはでもねもうなんだろう、セキュリティーってもう本質的にそういうものじゃない。
まあそうですけどね。長年やってきてそう思いますけどね。
もう何かやったらそれが突破されてまた次何か手を打ってっていうのをその繰り返しの歴史だから、今後も多分おそらくそれはなくならないんで、
もうそういうものだと思ってもう付き合っていくしかないよね。
まあそうですよね。でも注意喚起をしていく側としてはなんかちょっと心苦しいさがさらに出てきたなっていう気はするなー。
確かに確かに。今やる側も確かにほんと疲れちゃうよね。まだやんの?みたいなね。
こないだこれやったじゃん!みたいなのあるよね。
そういう解説とかさせてもらう時でもあるじゃないですか、たまにね。
そういうところで結構ニュース・報道系ではなくてちょっと緩めのバラエティーっぽいところでリスト型とかの話をしたことがあるんですよ。
これやってもあれやってもこういう方法があってまたやられるとかってなったら、
じゃあ今はとりあえずこれやればまあなんとかなるでしょみたいなものってなんかあるんですか?みたいなことを言われて、
そこで二要素認証を言ったんですよ。
そのところでSMSで送ってくるものとかアプリの通知がくるものでとかっていうふうなものを設定してね、
でもそうやってサービスごとにやるんでしょ?って言われて、
まあそうなりますね。だから大事なものからやっていく必要がありますねみたいなことを言ったら、
ものすごい嫌な顔でめんどくさいって言われたんですよね。
それが普通の人の反応だよね。だからこそ28%しかなんないんだよね。
そうなんですよ。もうカメラ回ってんのにそんな顔で言われたんで。
そこをやっぱりでも変えていかないとどうにもなんないよねこれはね。
54:01
我々も気長に地道にやっていかなあかんなっていうと、もっと頑張ろうっていう気にはちょっとなりましたけど。
そうは言ってもやってくださいよって言ってかなきゃいけないね。
辛抱強くねやっていかないとなと思いました。
はい。
ありがとうございます。ということで3つのセキュリティのお話をしてきたんでですね、
今日も最後におすすめのあれを紹介して終わろうかなと。
はい。
今日はですね、食べ物を紹介しようかなと思いまして、
ちょっと足りひんかなと思って買ったら余る。
余るかなと思って少なめにしたら足らんっていう紹介を先週したみかんがあってですね。
そのみかんで、僕結構ふるさと納税好きなんですよ。
なんか言ってたね。前から。
なんかちょっと買いたいなとか食べたいなとかって思ったりとかすると、
ふるさと納税先に見るようにしてるんですね。
ふるさと納税見てると結構自分がみかんと言ったらこれ買うみたいに思ってるものが決まってると、
そればっかり買っちゃうじゃないですか。
まあまあそうだね。
でもふるさと納税とか見てると結構やっぱりいろんなもの出てくるんですよ。
面白いのが、僕すごい好きなみかんが1つ種類あるんですけど、
それを検索するとそれだけじゃないっていう単語も使ってアピールしてくるみかんとか出てくるんですよ。
なるほど。
それええんか、その検索みたいな思うんですけど。
うまいね。
そうそう。それでいろんなものを見てて、これちょっと試してみようかなとかって思ったりとかすると、
初めてのものとかも結構買うんですよね。
で、みかんを頼んでて忘れてたんですけど、
一昨日ぐらいに届いて、届いたやつがですね、
味の甘い辛いの甘いに平って書いてカンペーって読むみかん。
カンペー。
僕も知らなかったんですよ。
初めて聞いた。
そうそうそうそう。
どこの?
どこのですか?
愛媛。
愛媛はみかん有名だよな。
そうそうそう。愛媛のみかんなんですけど、
よくわからずに、とりあえずみかんやったらなんでもいいかなと思って、
どちらかというと自分の置いときたい量、何キロとか書いてるんで、
それで選んで届いたんですけど、開けた瞬間にびっくりしまして、
むちゃくちゃでかいんですよ。
1個1個が?
うん。わろて舞うぐらいでかくて。
みかんって結構小さいものから大きいものまでいろいろあるよね。
そうそうそうそう。
大きめ。
そうでめっちゃでかいと皮とかめっちゃ分厚かったりするじゃないですか。
手で剥くの結構きついなみたいな感じやったら嫌やなと思ってやったら、
もちろんうんしゅうみかんとかと比べたらちょっと硬いんですけど、
別に手で剥けるんですよ。
大きさでいうとね、だいたい平均220グラムなんですって1個。
あ、そうなんだ。
まあまあでかいですよね。マンダリンタイプって言われるようなやつらしくて。
57:04
で、食べてみると大きいと結構大味なんかなと思ったら結構みずみずしくて、
甘さも結構ちゃんとあったんですけど、
それよりも何よりも嬉しかったとかこれいいなと思ったのは、
なんかシャキシャキしてるんですよ食感が。
なんかねこれあのもともとはですね、デコポンとかあるじゃないですかでかいやつ。
はいはい。
あれ種類がシラヌイっていう種類らしいんですけどあれ。
商品名がデコポンやったかな。
あ、そうなんだ。知らなかった。
そのシラヌイっていう大きなやつとかを後輩に使っているやつらしくて、
2005年とかにできたやつなんかな。
登録されたのが。
比較的新しいやつなので、
でもすごいシャキシャキしてて食べ応えもあって、
全然酸っぱい系でもなくて、
甘さもちゃんとあるっていうんで、
たまたま選んだやつだったんですけど、
これはまた買おうかなみたいなやつだったんで、
ちょっと紹介させていただいたというところで。
ちょっと僕知らなかったけど、
結構もしかしたら全国的にも有名なのかもしれないね。
そうですね。出て10年以上経ってますから、
知ってる人は知ってるんですけど、
僕は初めて知って、
ちゃんと自分で調べるまで、
官邸じゃなくてずっと僕アマヒラって呼んでたんですよ。
でもあれだな、今聞いたけど、
意識してなかったけど、
あんまり多分スーパーとかでも見かけたことない気がする。
僕も見たことないですね。
ない気がしますね。
そんなにはまだ知られてないのかもしれないですけど、
おすすめだと。
かなり良かったんで、
皆さんももし機会があれば、
ふるさと納税で探して、
自分なりの美味しいもの探してみるのもおすすめなんで、
そういう買い方をしてみてもいいんじゃないかな、
なんていうふうに思って紹介させていただきました。
はい。
ということで、今週も以上でございます。
また来週のお楽しみです。バイバイ。
バイバーイ。
