いつもの雑談から:ひらがなの「お」と「を」の使い分け
ひらがなって、おーって発音するのは2つあるじゃないですか。 あーおーとおーってやつ?
そうそうそうそう。あれの区別するときに、どっちの方のおーって言うとき、何て言って説明する?
ああ、口頭で説明しなきゃいけないとき? 特にWOの方のおーは、何て言って説明する?
なんだろうね。ワイウエオのおーとか言うのかな? ワオのおーとか。
ああ、やっぱりそうなんや。 他に何かある?
いやこれね、あのちょっと前に話題になったんですけども。 関西とか西の方なんかな、僕は少なくともね、難しい方のおーって言うんですよ。
難しいんですか? そうだね、言われてみたら別に難しくもないんですよね、言うこと。
画数で言ったら同じじゃね? そうそう、だから難しい方のおーって言うのが結構僕の周りでは少なくとも当たり前だったんですけど、こっちの人に通じ品買ったことがあってね。
ああ、いや、言ったことないな、それを聞いたこともないし。 ああそうなんや、じゃあ方言に近い表現の仕方なのかも。
関西限定なんじゃない? なるほど、それで関西人化が判別できるという。 かもしれへん、そうそう。
初めて聞いたわ。 関西ってか西の方もあるかもしれないですけどね、どっか。
でもなんかその難しい方のが通じ品となると和音っていうのもちょっとゲーないなっていうのがあるんで。
それはなんてですか、犬っぽいみたいな。 ああ確かに、なんか決済積んのかなみたいな感じもね、ポイント貯めてんのかなみたいななっちゃいますもんね。
なんでやねん。 間三つおって言ったほうがいいかな、じゃあ。
え、間三つおのお? それもちょっとなんかマニアックすぎるな。
じゃあ、渚カオルのお。 わかんないよ、それ。どんどんマニアックになってくる。
ちなみに僕気づいたんですけど、渚カオルかなって思ったんですけど、エヴァンゲリオンのおって言ったらダメですね、たぶんね。
あれ、通常のやつはゲリオンのおはおなんですけども、新劇場版のゲリオンのおは難しい方のおなんですよね。
表記が違うんです。 あれ作品によって違うのか。 そうそうそうそう。
和音がいいかな、じゃあ。 和音で。 え、でもどういう場面でそれ使う必要あるの?
例えば渚カオルのおって何って言われたら難しい方のおやん? そういう会話になるシチュエーションが思い浮かばないんだけど。
本当ですか、難しい方のおやでみたいな感じの。 言ったことないわ。
例えば若者言葉みたいなのとかでも、例えば自分はの和をはじゃなくて和音の和って書く人いるじゃないですか。
なるほど。 だからおとかもなんかどっちのおやねみたいな。
それって正しいのは難しい方のおちゃうんかみたいな感じの会話もあるかなとかね。 まあ好きに言えばいいんじゃないの?
なんか説明の仕方というか表現の仕方で地域性があるっていうのは結構僕発見でね、これは。
いや確かにね、それはちょっと聞いたことなかったわ。 そうですね。
だから何なんだっていう話なんですけどね。 そうねそうね。いつもそういう話多いけどね。
だいたいそうですよね。 なんか天気の話すんのもあれやん。
なんか暖かくなってきたなとかもうなんかゲーないかなと思って、ちょっとなんか話題なんかないかなと思った結果これでございましたということですね。
お便りのコーナー:セキュリティ教育、社内での活用法、Nmap
はい、ということで今週もお便りが来ております。 はい、お願いします。
ネギスさんが紹介したFBIのレポートで被害件数の45%被害金額の85%が詐欺というのは驚きの数字ですが、
セキュリティに対するシステム投資が十分にできない中小企業でもセキュリティ教育である程度は被害を抑えられるのではないかと少し勇気をもらえた気がしますというふうに来てますね。
確かにね。最近もなんかニュースで社長詐欺、CEO詐欺とか、相変わらずなんか今も続いてるよね。
続いてるし、なんか注意喚起の件数少し最近また増えてきたなっていう印象があるので。
いやなんか手法がシンプルなだけに防ぎにくいよね。 あれはしつこく使われそうな気がしますね。
注意喚起が増えていると言ったらそうそう、僕もあのチャットワーク使ってるんですけど、
チャットワークでそのウェブでログインするとポップアップみたいなんで出てきてたんですけど、今度ねアプリの方でもアプリでポップアップ出してくるっていうのがあったわ。
あー注意喚起でね。じゃあ結構悪用の事例とかもあるんだね。
確かにこれはね中小企業でも教育である程度ってのは、まあもちろん銀の弾丸ではないですし、完璧ではないし継続していかないとダメですけど、
自分たちにあった対策っていうのでね、金銭面が一番ネックになりがちなところを選択肢として捉えておくって大事なことかなと思いました。
でですね、次がカンゴさんご紹介のアンソロピック、今回初めて知ったのですが、社内で話題になったので、さも前から知ってました感を出して参戦でき、技術格差ができてしまうことが懸念と言ってみたら、
おーなるほどとなりました。最後はネタバラシでセキュリティのあれで議論されたことを伝え紹介した次第ですというお便りでございます。
おーいいですね。いい使い方じゃないですか。ちゃんと宣伝とね、出典をね出してくれているのが非常にありがたいというかね。
そのネタバラシ別にしてもしなくてもどっちでもいいけど、でもまぁ紹介してくれれば嬉しいし、あとそういうその周りに対するネタ元として使ってくれてるってのはまあなんかありがたい嬉しいよね。
そうなんですよね。これ似たようなこと僕もたまにねあのイベントとか登壇とかすると、一緒に登壇したような人とかから言われたりするよこれ。
あ、そう。
うん、セキュリティのあれで聞いたやつをほぼパクってるんですみたいな。
マジですか。アレ勢じゃないですか。
うん、アレ勢なんですよね。まあステッカー渡しておきましたけど。
全然そのねパクって使ってもらってウェルカムだもんね。
全然いいです。ソースというか紹介をどっかでしてくれたらありがたいなというかね。
そうですね。なんか嬉しいって感じで。
そうですね。まあただまあ僕に見つかるとそれ俺が先って言うかもしれないですけどね。
マジかー。
まあどんどんパクっていただければ広めていただければいいかなと思います。
本当にそうですね。
はい、次のお便りですが、I'm fine thank you and youと若い頃アメリカ旅行で話してたんですが、
後に現地に住んでみると誰も使ってない表現だと知り恥ずかしい体験をしました。
今教科書に沿ってNマップを使った攻撃手法を学んでいて…誰も使わんのかーい!って書いてますね。
なるほどね。
インターネット経由での外からのスキャンだったらまあ使うこともあるかもしれないと思うんだけど、
多分ね、中のね、その侵入してからのところではちょっと使いにくいかなっていう話だよね。
まあインストールが発生したりとかスキャンの仕方によったりとか、別のね、ライブラリーでできないとかもあったりするんで、
その辺はめんどくさい。外はまあね、どんなの使ってるかわかりませんけど、
後半やったらGマップ使ってる人たちもいるでしょうしね。
そうね、結構あのハニーポッドみたいなやつで観測してると、
だいたいそのGマップとマススキャンのスキャンがやっぱり結構割合としては多いね。
ああ、マススキャンも結構上がってきますね、アラートでね。
ですね。
インターネット全体のレンジをすごく効率よく早い時間でスキャンできるっていうと、
まあだいたいあの2つが名前が上がるから。
そうですね。
よく使われてるみたいだけどね。
まあ用途によってっていうのもあるし、
まあなんかこの教科書に沿って、この後この方がどういうふうな使い方を想定しているのかわかりませんけど、
こっちの方が便利やったりね、終わった結果を加工しやすいとかっていうふうな利便性があるんやったら、
こっちを使うのも全然アリだと思いますけどね。
そうですね。
あとまあその攻撃、別にするわけじゃないじゃん。
するわけじゃないとしたら、その自分が使い慣れたツールをいかに使いこなせるかっていう方が結局役に立つこと結構あるんで、
あんまりそこら辺はね気にせず。
そうですね。周りに流されすぎる必要はないですよね。
そうですね。あとはあれかな、他のツールとの連携とかかな。
そうね。
まあ効率重視がいいと思います。
そうですね。
辻さんから個人でMDRを使っているという発言が出ていてっていうのがあってですね、
これは1個訂正したいんですけど、MDRじゃなくてMDMですね。
あのストライカーの話をした時だよね。
そうそうMDMってこんな使い方されたら怖いなーの話ですよね。
あと承認も何か複数者が承認しないと大事なのは動かへんとかって大事ですよみたいな話をした時だと思いますけど。
うん。
はい。でまあそのまあ僕がMDMを使っているという発言が出てて、
さすがに一般の一般の語家庭で書いてるんですけど、一般のいつがあのいつだそのいつ。
で語家庭の語が誤るっていう仮定が書かれてるんですけども、その一般の語家庭すぎると思ったサイバーセキュリティ界隈だと割と一般的なんでしょうかという。
一般的じゃないですよ多分個人でMDMなんて。
僕はそれついてるパソコン使ってるっていうだけの話なんで、個人で多分買えないんじゃないですかねMDMって多分。
強いて言うとスマホのほらリモートワイプとかはあるよね。
まあ契約の仕方次第なのじゃないかな。
あーかもしんないですね。パソコンとかやったらちょっと法人でないとダメですとかあるかもしれないですけどね。
多分ね。
そうそうそうそうそう。一般的じゃないですということでいいと思います。
で最後のお便りなんですけれども、医療機器メーカーの工業界の方がJPサートの人らと話すと医療機器のサイバーセキュリティは本当にひどいですねというような趣旨のことをいつも言われると。
薬器法で縛られていること以外を頑張るインセンティブがないらしいです。どうにかならないかしらという。寝深いなこれ。
なるほどね。
それ以外のことはやりたくないっていうのは、コストに跳ね返ってくるっていうところもあるからなのかもしれないですけどね。
これまでだったらさ、例えばその患者さんとか病院を運営する上に必要なことはきっちりやるけど、
それ以外はっていうのはわからなくもないが、ただ今時はさ、仮にその医療機関でランサムや感染とかがあったら、
下手したら人命に関わるから、あんまりねその法律上うんぬんとかだけではちょっと心もとないというか。
もしそういうね、デンカルなり何なり、この間はなんかナースコールのシステムがみたいな病院もあったけど、
そういう院内のシステムに影響があった場合に何が起きるかっていうのを考えると、ちょっとねもう少しもう一歩進んで考えていただいた方がいいとは思うんだけど、
とはいえ、結局病院からしたら別にそういった情報システムとかシステムのおもりをするのはまあ自分たちの本来やるべきことではないから、
なかなか多分ね業者任せだったりになっちゃってるんだと思うし、難しいところあるよね。
この法律うんぬんとか、あとはこれに対する何か基準だとか外圧的なもので、こうしなければならないっていうのを出てくるのは待つのは相当に時間かかると思うので、
こういう機器と別のそのIT機器の接続がどうなってるかとかみたいな、その侵害範囲とかを意識した棚下ろしからまずやって、そこはガチガチにっていうところを今は頑張るフェーズなんかなという気がしますけどね。
はい、そんな感じでございます。以上です。お便りを読んだ方にはですね、セキュリティのある特製ステッカーの印刷コードをコンビニで印刷ができるんですけども、それを差し上げてます。
5種類あるんで、5つ揃った方は揃ったよという写真とともに僕にDMをいただければ、シークレットの6番目の印刷コードを差し上げてるんでですね、どんどんお便り、
質問とか感想とか、あとは何気に喜ぶのは励ましのお便りみたいなやつとかもいただければ嬉しいなというふうに思うので、何でもいいんでですね、
シャープセキュリティのあれというハッシュタグをつけて、Xでポストいただければと思います。よろしくお願いします。
FBIによるロシアのルーターネットワーク無害化作戦
はい、お待ちしてます。じゃあ今日もセキュリティのお話をしていこうと思うんですが、今日はネギスさんから行きましょう。
じゃあ今日は僕から行きますけども、今週はですね、ロシアの攻撃者のグループに乗っ取られたルーターロネットワークをアメリカの司法省が無害化しましたっていう話題を取り上げたいんですけども、結構良い成果だと思うんだけど、
具体的にロシアのってのは、APT-28って言われているおなじみのですね、これはロシア軍の情報機関の一部隊だというふうに言われているけども、以前から結構活発に攻撃活動しているグループですよね。
で、ここが何をしてたかというと、世界中のTP-Linkというルーターの基地の脆弱性を悪用して、認証情報を取得したと。それを使ってルーターに不正アクセスをして、DNSの設定を改ざんしてましたと。
これは昔から結構よく使われる手法の一つだけど、こういったホームルーター双方のルーターのDNSをハイジャックするとどうなるかというと、当然そのルーターを使っている一般のご家庭だったりオフィスだったりのユーザーの人たちは、本来使うべきプロバイダーとかのDNSサーバーの代わりに攻撃者がコントロールしているDNSサーバーを参照しに行ってしまうと。
で、今回の攻撃者はそれで何をやってたかというと、普段は普通に正規のサーバーにアクセスできるんだけど、特定のドメイン、例えばマイクロソフトのアウトルックだとか、そういうサービスにアクセスを被害者がしようとした場合に限って、正規のサーバーのアドレスの代わりに
攻撃者がコントロールしている不正なサーバーにアクセスを誘導して、そこでいわゆるマインザビル、中間者攻撃をやってましたと。
おー、経路ねじ曲げて。
そうそう。で、中間者攻撃なので、ユーザーから見ると本物にアクセスしているように見えるんだけど、実は攻撃者のサーバーをプロキシーとして経由しているという、そういう感じだよね。
ただし、DNSで設定を書き換えているから、被害者のブラウザから見ると、正しいドメインに接続しているように見えるけど、実際は違うので、証明書のエラーが出るはずなんだよね。
うん、そうですよね。
正規のサーバー証明書を攻撃者はもらえるわけではないから、そういうエラーが本当は出るはずなんだけど、そこでそのエラーを無視してそのまま進んでしまうと、
中間者攻撃に見事にはまってしまって、アウトロックの正規のサーバーに自分がアクセスしていると思ってID、パスワードを入れたりすると、その認証情報が取られたり、
アクセス用のトークンが取られたりして、結局サービスに不正アクセスされて、そこから何を盗んでいったかわからないけど、様々な機密情報を盗んでいったようだと。
こういう攻撃をしていましたってことなんだよね。
攻撃者の攻撃の詳細については、今回あまり触れないけども、実際に不正アクセスされていたマイクロソフトだとか、ルーメンなんかが詳しい攻撃内容をブログで紹介しているので、知りたい人はそちらを見てほしいんですけども、
こういう感じで、乗っ取られたTPリンクは世界中で数千台あるという話なので、かなりの数の規模でこういった情報を摂取するためのネットワークというか、そういうものがロシアによって運用されていましたと。
これに対して、今日紹介するアメリカのFBIがやった作戦、オペレーションマスカレードという名前がついているんだけど、
何をやったかというと、これ前にも紹介したことがあるので、アメリカではお馴染みの手法かもしれないけど、
裁判所に許可を取って、なんでそれ、対象はアメリカの国内にある機器だけを対象にしてるんだけど、
実際に乗っ取られてDNSの設定が改ざんされたTPリンクのルーターに対して、FBIから複数のコマンドを送信して実行しましたと。
そのコマンドは何をやったかというと、実際にロシアのAPT28に侵害されているかどうかというのをまずチェックすると。
侵害の証拠が残っているから、例えばDNSの設定が書き換えられているかというところをチェックするんだろうね、たぶんね。
そうですね、IoCで分かりますね。
そういうDNSのサーバーが変なところに向いていないか確認したりして、侵害が確認されたら、そのDNSの設定をリセットしますと。
もっとの状態に戻します、正しい状態に戻しますと。
加えて最後に、また侵害されて改ざんされないように、脆弱性が再び悪用されないようになるかそれをブロックしますと。
穴を塞ぐってこと?
うん、とこまでやりましたと。
すごいな。
公開されているFBIのアメリカの司法省のプレスリリースにはちょっと詳しい情報が載ってなかったので、
具体的にコマンド送信というのはどうやってやったのかというのはちょっとわからないんだけど、
ただその読んだ感じ、バックドアか何かがあるのでない限り、たぶん攻撃者と同じような手法でやったんじゃないかなという。
乗っ取り返したみたいなもんですよね、結局はね。
たぶんだけど、書いてないけどそれしかないんじゃないかなと思うんで、
攻撃者が無断でやってるか、裁判所の許可を取って法執行機関がやってるかの違いだけで。
やってることは一緒やね。
そう、やってることは結局同じなんじゃないかなというのと、
あとその最後にやってる脆弱性を再び悪用されないようにブロックっていうのも、これもちょっとわかんなくて、
ファイヤーウォールド設定かなんかでブロックするようにしたのか、
ないしファームウェアをアップデートして脆弱性がない状態に勝手にしちゃったのか、
わかんないんだけどちょっとそこまで詳しく書いてませんでした。
そういうことをFBIがやったということで、
過去にもこういう、なんとか台風いくつかあるからわかんないけど、
似たような中国とかロシアの攻撃者が、
同じようにこういったルーターとかを乗っ取って、
なんか悪さをしてましたっていう時に、
法執行機関がこういうのを使って穴を塞いじゃうっていうのは過去にもやったりとかしてるんで、
そんなに珍しくもないんだけど、
我々から見るとちょっと思い切ったことやってるなっていうふうに見えるなという。
あと一応ユーザーに対しては、
リセットしようと思えば工場出荷の状態に戻せるから、
心配はしないでねみたいな。
心配やろ、2回も侵入されたら。
ルーターの正規の動作には問題がないので、
大丈夫ですよっていうこと。一応その事前にかなりTPリークのルーターに対しては、
かなり検証をやって問題ないっていうことを分かった上でやってるっぽいんだけど、
とはいえね、一歩間違ったら何が起きてるかわからないし、
使えなくなってるかもしれないし、
割とちょっとリスクがある方法をやってるなっていうのは、
ちょっと思ったけど、ここまでやらないと、
よく言ってるけども、多分被害者が気づけるタイミングが、
さっき言った証明書のエラーだとか、
実際にマインザーミドルで何かねじ曲げられてる時にしか多分わからないから、
そういうのがないと気づけない可能性が高いんだよね。
確かにね。
で、注意喚起しても自分には関係ないよねって多分みんな思っちゃうんで、
ちょっとこういう、ある意味強行手段に出ないと、
防げないっていうのはしょうがないのかなっていうのと、
あと、詳しく書いてないんだけど、これによってその、
具体的にどういう実際の被害?
例えばアウトロックに乗っ取られたとして、
そこから何が盗まれたかってのははっきりわからないんで、
何がしたかったのかわからないですよね。
何しようとしたんですかね。
多分だけど、ロシアが自分たちに興味のある情報がないかっていうのを漁ってたんだと思うけど、
ただね、それがどういうものかわかんないし、
それが具体的にどう悪用されるか、今後悪用されるかっていうのもはっきりしたいんだけど、
そこにかなりリスクがあるっていう判断なんだろうね、きっとね。
でしょうね。
この攻撃者のファンシーベア、APT-28がコンシューマー狙うとは考えにくいなと思ってたんで、
広く網を張って何か欲しかったのかなぐらいにしかちょっとわからないなと思って。
ただ、そのコンシューマーとはいえ、
家庭だけで使われているかっていうと、そうとも限らない、スモールオフィスとかで使われていたり、
あとその、家からなんだけど、例えば政府の用人が家から使っているだとか、
プライベートだけど、そこにはその仕事の内容が入っているとか、いくらでもあるじゃないですか、そういうことは。
だから完全にコンシューマーとちょっと何か合わないよね、という話ではないと思う、おそらくだけど。
ただちょっとその辺わかんないんで、もしかしたら実際に政府の用人で不正訳されたとか、
そういう実被害が確認されていて、その原因がこれだってもしかしたらわかってやってるのかもしれないけど、
ちょっとそこまでは書いてませんでした。
まあこういう、これはアメリカの話なんだけど、たびたびこういうような割と思い切った手を使ってくるなというのを、
これまでは指を加えて見てたけど、これから日本でもアクセス無害化っていうのが、
日本できるかもしれないですね、同じようなことはね。
そう、今年の10月ぐらいからできるように法律が施行されてできるようになるらしいので、
もしそうなったらどうなんだろうね、日本でも、日本だと今のたてつけだと警察とか自衛隊が必要性があれば、
第三者委員会の許可をもらってアクセス無害化できるようになると、一応法律の整備ができたので、
例えば今回のようなことが日本で起きて、今回のも多分そのTP-Linkあんまり日本で使えてないかもしれないけど、
でも多分被害に遭っている人はいると思うんだけど、これ当然アメリカ以外は海外の外なんで、
例えばこういうような事案が発生した時に、今後例えば日本も協調して対処するっていうのかな、
一緒にっていう形で。
やろうと思えばできるはず、コマンドとかも例えばFBIから内容をもらって日本でも検証して、
日本の国民が使っている機器に対してやるっていうことは多分できると思うんだよね。
許可が取れればできるはずで、そのための法整備をしたわけだから、
こういう事例、ひょっとしたら日本でも将来できるのかなって考えるとちょっと、
そうですね、ノーティスと相性の良さそうな感じですよね。
脆弱性があるってだけでは多分ダメだと思うんだよね。
悪用されているとか踏み台とかね、デジセンシャルプロクシーみたいな。
今回の立て付けられた法律の中では、無害化しないととんでもないことが起きるっていう緊急性がある場合にのみできることに一応なっているから、
じゃないと何でもかんでも無害化されたら困っちゃうんで、
そのための第三者委員会だし、そういうのを考えると単にノーティスで脆弱性がありますよっていうのを注意するのとはちょっとレベル感がだいぶ違うので、
実際にその悪用されて不正アクセスが目に余る状況になっているのをどうにも止められないって時に使うおくのではと思うけど。
ノーティスとかだと普段からずっとスキャンしてるから、迅速に動けそうかなと思ったんですよね。
把握してるからっていうだけなんですけど。
そうね。
危機特定をしてるから。
発動された時にすぐに動けるかな。
ただ情報と連携はできそうだけどね。
できそうできそう。
そういうのにつながるのかなっていう。将来の展望が少し。
明るい話というか。
わかんないけどね。こういう事案に適用されるのかどうかちょっとわかんないけど、日本はまだ事例がないからね。
そうですよね。
ただこういった事例を参照して背景として検討されたはずなので、できてもおかしくはないのかなっていう。
そうですね。
コンシューマー向けが含まれてるかもって話はあったんですけど、さっきのサポートをどうするかっていうところは結構議論がありそうな。
なるほど。
コンシューマーだと特にありそうな気はしていて、さっき話題だったノーティスだったらISPを介してっていうところで、
今そのISPの事業者さんが主にそういったサポートになってるんだと思うんですけど、
司法機関がそういった措置を行った時にね、トラブラないようにやるんでしょうけども、何かあった時誰がそういったフォローするのっていう時は誰がやるんだろうっていうのは。
それはあるよね。ノーティスもね、ユーザーへのアプローチはISPだけど、問い合わせ窓口はサポートセンターがね。
サポートは専門のやつはありますね。
制御のやつを割と立ちつけてしっかりやっているから、あれは大変な業務だと思うし。
やってますもんね。
今回のFBIのリリースにもユーザーから問い合わせ窓口はここですよとか、一応そういうのもちゃんと書いてあるんだけど、
そういうのがちゃんとないと逆に混乱を招く可能性はあるよね。
そうですよね。
その辺も含めたサポート体制っていうのは大事かもしれないね。
特に一般の家庭が含まれるとなるとその辺が課題かもね。
アメリカの司法省の話が直接きっかけというわけではないですけど、
Xではタイミングが良いのか悪いのか分かりませんけど、
TP-Linkのルーターが福岡大のNTPサーバーにめっちゃアクセスしてDDoSになっていた過去の話と、
あとバッファローの製品に、46製品に脆弱性が見つかったみたいなのが被るような感じでXで話題になっていて、
シスコがあったら、いやそれNSAのバックドア疑惑あったやんかとかっていうのもあって、
結局ヤマハのRTXとか使ったらいいんちゃうかみたいな、
どのルーター使えばいいか大切りみたいなのが上がってましたね。
それはでも言い出したらね、たぶんキリがないというか、どんな製品にも脆弱性は見つかるし、
バックドアガーとかっていうものはちょっとね、特殊なものによると思うんだけど、
ただこの間の僕紹介したみたいにアメリカ側がやろうとしてるみたいにさ、
じゃあ外国製は全部ダメとかっていうのはちょっと極端だと思うんだよね。
確かにそうですね。
あれで本当に国民の安全が守れるならいいけど、そのコストは誰が負担するのっていうのとか、
やっぱりそういうバランスを考えた議論がちゃんとないと、
単純に今言ったみたいなね、これらの製品は過去にこういうのがあったから使えないとかって切り捨てちゃうのはちょっと、
極端ですよね。
乱暴かなっていう気が、もちろんね、X上では大切りで遊んでるんだと思うけど、
ただその中にはそういうこと極端なことをやっぱり考えちゃう人もいると思うんで、
そこはちょっと注意したいなというか、今回のも別にTPDが悪いって言ってるわけじゃないので、
そうですね。
脆弱性を放置してるとこういうことが起きますよっていう注意喚起なので、
そういうことがないように使っているユーザーがどのくらい安全意識を高めてやっていけるかってことだと思うけどね。
そうですね。
ありがとうございました。
Chainalysis 2026 Crypto Crime Report:ランサムウェアの動向
はい、じゃあ次僕行きます。
お願いします。
今日紹介するのは1ヶ月近く前にリリースされたやつなんですけど、
やっとそのレポート読みましたというお話なんですけども、
Chainalysisっていう、このポッドキャストだと多分ねぎすさんが取り上げがちなイメージが。
そうだね、何回か取り上げたかもしれない。
これ聞いてる方だとほとんどの方はもしかしたらご存知かもしれませんけど、
ブロックチェーン上の取引データとかを分析して、いわゆる暗号示唆の流れを可視化することで、
犯罪の全体像とかマネロンとかランサムとかみたいな資金の流れを明確にすることができるようなサービスを提供していて、
その内容の年次のレポートで、
2026年暗号示唆犯罪動向調査レポートっていうふうなものが出てましてですね。
これも日本語版が出ておるんですけども、それを読んでみましたというお話でございます。
これいろんなことに本当に言及されてて、
マネロンとか詐欺、あと麻薬、ランサムウェア、経済制裁、人身売買みたいななどを扱っていて、
これページ数表紙入れてるんですけど105ページもあるんですよ。
まあそれだけ今は暗号示唆がいろんな犯罪活動にすごくよく使われてるっていうことの裏返しだよね。
そういうことですよね。
そうなんでこんなの全部扱うわけにはいかないですね。
どの辺の話をピックしようかと悩みに悩み、慎重に慎重を重ねた結果、
今日はランサムウェアの項目を扱いたいなと。
結局そこかい。
まあそれを目的にこれを読んだんですよ。
そうでしょうね。
でですね、どんなことが書かれているか。
結構僕が普段から調べているようなこととも親和性が高いことがよくたくさん書いてあったんですけれども、
まず言うまでもないですけど攻撃件数だったりリークの件数は増加されていると。
どれぐらい増加っていうのは別の会社、e-crime.chっていうところの文書が引用されてたんですけども、
被害者数、リークだけじゃないと思うんですけど、把握されている被害者数に関しては前年比で50%増ということだそうです。
僕が調べているランサムの公開されている情報とか色々調べて集計してますけれども、
僕の方だと2024年が6129件で、
25年が8159件で1.3倍、30%増なんで、
こちらの方の方が把握されている数が多いのかもしれないなっていうところはちょっと見えました。
で、チェーンアリシスのレポートなので支払いに関しての言及がやっぱり強いわけで、
そこが読みたくて僕も読み始めたんですけれども、
ちなみに支払い金額の中央値に関しては上昇しております。
で、この上昇というのもですね、
12,738ドルから2025年は59,556ドルなので、368%の増加という。
めちゃくちゃ増えてるじゃん。
すごいですね。
あれでもさ、支払う割合自体は減ってるんだよね。
いいところに気がつきましたね。
この中央値だけでなくもちろん総支払額っていうようなものもこのレポートでは言及されてまして、
2024年は約8億9,200万ドルだったんですね。
すごい金額だな。
すごい金額。
25年は約8億2,000万ドルということで、増えてるどころかちょっと減ってるというか、
横ばいって言えばいいのかな。
じゃあこの2年よりも前、24年以前ってどんなもんやったんかっていうのを見ると、
2023年は12億3,000万ドル。
じゃあだいぶ減ってるね、それからするとね。
その前の年がなぜか2022年が6億3,700万ドルで、
21年が20年も10億ドルぐらいやったんですけど、
22年だけガッと落ち込んでるんですよね。
22年に何があったかっていうのをちょっと振り返ってみたら、主要なランサムギャングで言うと、
この2022年の真ん中ぐらい、半年経ったぐらいにコンティが止まってるんですよね。
その影響が大きいのかな。
そうですね、あとはあんまりこのポッドキャストでは取り上げたことないですけど、
PYSAっていう名前のランサムギャングも、
この年ほとんど活動ができずに止まっちゃったっていうようなものがありましたんで、
その辺の影響のかもしれないですね、この22年の落ち込みっていうのは。
25年は総額としてはそんなに増えてない、むしろ減ってるのに、
中央値はすっげー増えてるんだ。
そうなんですよ。攻撃件数っていうのはこのポッドキャストでも飛びたび取り上げてますし、
このレポートの引用にもありましたけど、攻撃自体は増えてるのに、
総額が増えてない、中央値が上がってるってことは、
一部大型事案と言いますか、彼らからすると案件とか、
その一部が高額化しているっていうことが見て取れるのかなということですよね。
逆に言うと、それ以外大半はみんな小粒ってことでしょ?
っていうふうに言える。これはなんでこんなことが起きてるのかみたいな。
今のねねぎすさんのご意見とかもありましたけれども、いくつか挙げられていまして、
インシデント対応の改善だったり、規制上の強化が進むことによって
支払い頻度が低下しているんじゃないかってことだったりとか。
例えばこれで言うと、オーストラリアの法律が少し前に変わりましたけど、
ランサムに金払ったら、慎告せいへんかったら罰するぞっていう法律ができたりとかもしてますよね。
そんなものがあったりとか、あとは国際的な措置ですね。
テイクダウンとかしたりもしてますけども、そういう一部の収益フローに対して
圧力をかけることができたんじゃないかとか。
これはそんなに大きな影響なさそうな気もしなくもないんですけど、
一部のケースで複合することが可能な場合があるっていう。
いわゆるランサムウェアのバグですよね。
そういったものも影響しているかもしれないなということと、
先ほどネギスさんがおっしゃってたように、コツ深が進んでいると。
今までのラースの仕組みが一部のラースに集中していたことがどんどん下がってきて、
より小規模で独立しているようなランサム攻撃をするアクターが急増したということを言ってますね。
僕もこの間の展示会で喋らせていただいたネタでも、
出した情報とすごく合致するなというふうに思ったんですけど、
ランサムギャングは2020年から2025年までどうやったふり増えていっているかだとか、
リーク数の繊維とかっていうグラフを出したりとか、最近公演とかでもしてるんですけど、
ランサムギャングの数は2020年は18だったのがぐいぐいぐいっとどんどん年々増えていって、
25年は125グループめっちゃ増えていると。
リークの件数もどんどん増えてうなぎのぼりなわけなんですけど、
その一方でトップ10のリーク数を誇っているランサムギャングが占める割合っていうのは、
年々減っていっている傾向にあるんですよね。
なので今だったら、2025年だったらトップ10のランサムギャングのリーク数で占めるのが54%。
ということは、10グループを引いた115グループで半分占めているってことは、
やっぱり小粒化してるんじゃないかっていうふうに僕も考えてるんです、みたいな話を前にしたと思うんですけど。
あとは、これもね、266回で取り上げたレポートで、ソフォスの僕がいつも好きで読んでる、
The State of Ransomwareっていうレポート、6年ぐらい出てるやつ。
あれで、こんだけランサムランサム言うてんのに、バックアップで復旧してる割合が過去最低ってどういうことよ、みたいな話を以前にしたと思うんですけど。
この辺も、ターゲットが移り変わっていって、バックアップきちっとできてない組織がやられてるのかも、みたいな仮説を僕立ててたと思うんですけども。
こういういろんなデータ見ても、ちょっと僕もね、自分の立ててる仮説があるからそっちに寄りがちっていうのはあるにしても、
いろんなデータを見ても、やっぱりコツ深が進んでいってるんじゃないかなっていうふうなものが見て取れるなって改めて思いました。
でも、さっき言った非常に身の資料金の支払い額が大きいやつがごく一部あるっていうのは、ちょっとこれは気になるね。
金額が大きいってことは多分大きな組織だと思うんだけど。
払える金額ですからね。
当然ね。仮にそうだとすると大きな組織で対策もある程度しっかりできてたはず、その抽象みたいにお金がなくて全然対策できませんでした、バックアップも取れてませんではなく、
ある程度しっかりやってたはずが、その身の資料金高いお金を払わざるを得ないような状況に追い込まれたっていうことでしょ、逆に言うとさ。
普通の手段では復旧できないから払ってるわけじゃん。
その要因がちょっと気になるよね。なぜそういう状況に追い込まれちゃったのかっていうのが。
そうですよね。確かに逆に大きいところなんでっていう疑問は残りますよね。
そういう二極化がちょっと進んでる感じが。
そうなんですよね。なので平均的に見ると、この治安の規模というか被害の規模とか金額ですよね。
そういったところも小粒化しているけども、上位の方の大型案件というのはむしろ被害額がでかくなっているっていう。
今、ねぎすさんがまさにおっしゃった通り、小粒化だけじゃなくて二極化も進んでるっていうふうなのが正しい表現なのかなというふうには思いましたね。
そうね、そうだね。
ランサムな話、いつも僕は比較的多くすると思うんですけど、基本的に明るい話ってもうほとほとないじゃないですか。
一向に良くならないよね、状況が。
このレポート、物はいいよっていうふうに捉える方もいらっしゃるかもしれませんけども、この総支払額がむしろ減少してるじゃないかっていうふうなことは、
彼らに資金を提供するというふうな形にはなっていないっていうことはちょっと明るい部分もあるのかなというふうに思う一方で、
さっき引用で出てきたecrime.chの創設者の方が言ってるんですけども、
小規模な被害者はより早く支払うみたいな発言もあるので、この小粒化っていうのは今一旦減ってはいるかもしれないですけども、ちょっと注意が必要なんじゃないかなっていうふうには思いましたね。
これに付随して、ランサムと切っても切れないって言っても過言ではない、僕の大好きって言うとIABってあるじゃないですか。
イニシャルアクセスブローカー、新入口の売人ですよね。
この密接にあるかなというふうに思うんですけど、これのIABたちが受け取った金額っていうのも、総支払額とかを出してくれててですね。
これ2025年と2024年がほぼ同額で、1400万ドルなんですよ。
ただ2020年が100万ドルなんですよね。
だいぶ増えたね。
そう、400になり600になり1000になり1400になりみたいな感じで来ているんですけど、
さっき紹介したランサムウェアの総支払額が2025年は8億2000万ドルだったに対して、IABは1400万ドルなので58分の1ぐらい。
なのでやっぱIABに対する当たり前ですけど、投資対効果ってデカいんやなっていうね。
こういうのを買う人からすると。
でもね、こっちにも値下げの波が来ているようで、別のベンダーのやつを引用してたんですけど、
ダークウェブIQっていうところからの引用がこの文章の中でされていて、
2023年の第一市販期から2026年の第一市販期にかけて、このIABが売っているアクセスのイニシャルアクセスの平均価格っていうのが、
もともとは1427ドルだったものが439ドルぐらいまで低下してるんですって。
3分の1ぐらいになってるんだ。
そうそうそうそう。
だいぶ安くなったね。
これの理由はたぶん2023年とかはまだポーランドで売り買いされてたりしてたようなものがあって、
最近だとやっぱり参入障壁が下がりに下がりまくっているインフォスティーラーのログが増えまくって在庫肩ぐらいになってて、
その辺で価格を押し下げているんじゃないかと。
なるほどね。ちょっとまあ供給が増えすぎたのかな。
ということですね。
あとは売るところもマーケットで売ったり、テレグラムの特別なチャンネルで売ったりみたいなところで、
中身も薄まってる気もしなくもないんですよね。使い回しとかね。
信頼性も低いのかなっていう気はしなくもないんですけども、
とは言うもののこっちも同じで、ちゃんと確認できてて高い権限でエンタープライズな会社にアクセスするようなところをやっぱプレミアム価格を維持していると。
なんでこっちも二極化している状態という。
なんでインフォスティーラーとかで儲けようとしているようなIABはもうほんまに群遊滑挙でプレイヤーも多いけど、
もうすごい小粒が小粒になってっていうような感じのマーケットが出来上がっているんだと思いますし、
あとフォーラムとかやっぱり見てると本当にクライアント何千台みたいな感じで、
スペックを出して売ってるやつとかはやっぱり3000ドルとか5000ドルとかで取引されたりするんで、
やっぱ二極化がすごいなっていうのはこの辺の数字から見て取れるなと思う。
自分の見てきたものと合致してるなっていうふうに感じましたね。
なるほどね。
なんで全体的に見ると金額的な向こうへの支払いっていうことを考えると少々コストをかけさせられているとは言えるかなというふうに思うんですけど、
身代金を支払わないからって言って損害そのものは発生してるじゃないですか。業務が止まるとか。
当然ね。
情報は盗まれ続けてるっていうふうなことを考えると、
この剥離多倍っていうふうなものをもうちょっと自分ごととして捉えていただくためのデータに使って、
いろんな人に発信していかなあかんなっていうふうなことを思ったんで、
それに伴って大きな組織じゃなくてもこれぐらいはみたいな抽象でもできるような策っていうのを分けて、
注意喚起していく必要があるのかなというふうに今回このドキュメントを読んで思いましたというお話でございます。
なるほどね。
こういうブロックチェーンの分析でさ、
数年間にわたってこういう分析活動をしてくれてるから、
傾向が非常に見えてて面白いなと思うんだけど、
ただ一方で、あくまでオンチェーンでの分析で、
ランサムウェアのアクターとかさっきのIABのアクターと特定できたものに限って集計できているので、
カバーしている範囲が全てではないので、
多分これ全体から見たら一部なのか、7割8割カバーできてるのかちょっとその辺がはっきりわかんないけど、
少なくともこれは加減であってこれよりももっと多いはずなんだよね。
そうですね。
そう考えるとやっぱすごい金額だなっていうか、
増えてはいないけど被害総額横ばいだとすると、
それでも8億ドルでしょ?すごい金額だから、
これをもっと抑えるためには、
さっき言ったプラスの効果、いろいろ対策ができているから減ってる面、支払いの割合自体は減ってるけど、
でもトータルは減ってないのはどうしていけばいいのかなっていうのは、
もうちょっと引き続き考えていかないと、
なかなかね、さっきあんまり明るい話題がないなって言ってたけども、
もうちょっと明るい兆しが欲しいよね。
そうですね。今はこれぐらいしかないっていうところですね。
これを戻さないように頑張らないといけないですよね。
本当そういう感じだよね。
ギリギリここで留まってるけどっていう。
向こう側の剥離多倍の勢いがすごすぎて、またまくられることがあり得ますからね、全然。
あとさっきのIABだったり、インフォスティーダの供給状況だとか市場の状況とか、
そういうものによってだいぶ左右されるんだなっていうのがあるから、
もうちょっとその入り口のところを減らせれば、何か治安は減らせるのかなとかね。
確かに確かに。その辺で手を打てるところがあるんじゃないかってことですね。
例えばだけど、インフォスティーダの感染の数とか割合を減らす策か何かないかとか、
あとIABのマーケット経路をもうちょっと潰せないかとか、
攻めるポイントっていろいろあるなっていうのを今聞いててね、一連のエコシステムの中で。
攻撃者側に付け入れるところがありそうってことですね。
そうそう。ランサムのアクター自体を摘発するとかいろいろあると思うけど、それよりも前のところにもあるんだなっていうのをさ。
確かに確かに。
例えばブロックチェーンの取引自体に手は出せない。そこはちょっと難しいと思うんで、
あくまでこれは事故に分析をするだけでブロックするのは多分難しいと思うし、
でも差し押さえたりとかするってことは証拠が揃えばできるのかな。
あとはサーバーの場所が分かれば。
そうね。チェーンアリスは実際法執行機関とも結構協力していろいろ情報を提供したりしてるみたいだから、
そういう直接的に暗号試算を抑えちゃうっていうこともできると思うんだけど、
ただそれはやっぱり暗号試算の特性上なかなか難しいので、
そうだとするとその経路のどこかもうちょっと前の方でできるだけ何とかしないとなっていう感じはしたな。
そうですね。これをまくられないようにするためにはかなりの注意喚起、注意喚起の仕方を考え直さないといけないかもしれへんなと思いました。
そうね。
NIST NVD方針転換:脆弱性データベースのバックログ問題
はい、そんな感じです。ありがとうございます。
はい、じゃあ最後はカンゴさんです。
はい、今日私ですね、これまでも紹介してきたNISTアメリカの機関ですね。
あちらが運用しているナショナルガルネラビリティデータベース、NVDって言われてるもんですね。
あちらでバックログっていうんですか、分析対象の脆弱性がたまっちゃって大変だよって問題について、
新たなというかついにっていうような動きが。
あれなんかここのポートキャストでさ、カンゴさんが取り上げたのってあれって2年前ぐらいだっけ?
そうですね。
なんか2回ぐらいその話題取り上げてない?
はい、何度か取り上げさせていただいております。
そうだよね。あれから一向に改善してない感じが。
いい話聞きませんし、予算がどうたらとかもちらほら聞こえてきますけど。
ちょっと振り返ると、確か2024年の前半かな?
それぐらいの時に問題が顕著というか、
なんかどうも分析できてないCVEが増えとるぞみたいな指摘が。
でその後ニストがですね、CVEがたくさん報告上がってきて大変やねんみたいなリリースを出して、
まだ2020年後半ぐらいにちょっとずつ改善していくわみたいな話であったり、
あるいは他の機関との連携ですかね。
なんかでしたよね。
アメリカのCISAがバルンディッチメントプロジェクトでしたっけ?
その名前のやつで補完的に情報を出してきますよとか、
ニスト自身も外部と契約して情報というか分析を強化したりとか体制強化したりとか、
そんなこんなをやっていくことで、このバックログたくさん溜まっちゃってる問題を何とかしていきたいというような、
そんな話をしてきて、でどうなったかというとですね、
結果としてはバックログ増えちゃったみたいで、
で今日のお話なんですけども、じゃあどうなったかというところで、
方針を大きく変えたという話を4月15日に発表したと。
平たく言うと、全分析やめましたっていうのが。
でもちょっとスッキリしたんじゃない?その方がなんか。
そうですね。
ついに諦めましたか。
もう上がってきたもん全部分析するっていうような、そういうやり方だったので、
もう本当に数どんどん増えてるわけですけど、CVだけ見ても5万件近いみたいな話もありましたけども、
そういったスタックしている状況を何とか解消するために、もう全部はやめますと。
対象を絞る形っていうんですかね、本当に見なきゃいけないものっていうのを絞る形で、
しっかり分析をやっていきますよっていう、そういう方針の変更を行いますっていう発表を今回したと。
まあ正しいアプローチだよね。
そうですね。
まあなので、これまでそのデータベースを見れば全部載ってたっていう状況からすると、
まあ少しと言うかな、結構変わってきたという風に見ていいのかなと。
じゃあ何を対処とするかっていうところを。
優先順位付けね。
こっちについては3つ示していて、どれかに該当するものっていうところではあるんですが、
まず1点目としては、ここでも度々取り上げられているKEVですね。
アメリカ支援生がまとめているKEVのカタログに登録されているCVEを対象としますよと。
だいたい1営業日内にこれを毎日データをNVDに登録したいっていう、そういう目標を立てています。
ってことはKEV掲載後ってことなんですかね。
基本的にはそうなりますね。
そうですよね、はいはい。
あと2点あるんですけども、電報政府で使用されているソフトウェア、
ちょっと具体的にリストは示されてなかったかなと思うんですけども、
電報政府で使用されているソフトウェアを対象とした脆弱性。
もう1点は大統領令の14028、
こちらはクリティカルソフトウェアっていう形で書かれてはいるんですけども、
ラテラルムーブメントとか、
要は乗っ取られるとメチャクチャそのネットワーク内で影響が大きく出てしまうというような、
そんなソフトウェアを、すみません、すごいざっくり言っちゃったんですけども、
そういったものをクリティカルソフトウェアって形で14028の中では細かく書かれてはいるんですけども、
そういったものを対象とした脆弱性、
そのいずれか2点ですね、KEVか今私お話したその2点に該当し得るものっていうのを優先して分析やっていきますよという、
そういった方針の変更を行っていて、
これまでのスタックしてたNIST自身はバックログ何件と報告はしてなかったと思うんですけど、
ダッシュボード上でおそらくそのアウェイティングアナリシスっていうふうに書かれていたものが、
それにおそらく近い数字なのかなということで、最終的に多分3万2000とかそれぐらいの数字があったかなと思うんですが、
それどうすんのって話に関しては基本的にはもう分析対象外っていうんですかね。
じゃあもう一旦やめますと。
そうですそうです。3月1日より以前のものっていうのは、
ノットスケジュールドって言うんですかね、分析対象の予定はないという、
そういうカテゴライズに入るということで、だいぶ優先順位としては落ちていくと。
何て言うんですかね、要望というかリクエストを受けて、
そういった優先順位の見直しを行うかもしれないっていう話は、
ノットスケジュールドが付加されたCVにおいても起こり得るっていうのは説明はしてるんですけども、
基本的にはさっき言った3点に該当しているものが対象ということで、
すでにダッシュボードも実はもう変わっていて、
アウェイティングアナリストとかってなってたやつはもうなくなっていてですね、
今はアウェイティングエンディッチメントっていうふうに少し名前が変わっているんですね。
件数も3万2千いくつあったのが3356件かな、今見ると。
なので10分の1ぐらいの数に減ったということで、
バックログがたくさん溜まっちゃった理由が爆発的に増えた、
ちょっとこのCVEの状況だっていうところが原因としてあったので、
この3300というのが適切な数字なのかちょっと私もなんともわかんないんですけども、
今のところはこの数字10分の1ぐらいには分析対象の数字自体は落ち着いているというところではありつつ、
さっき言った私が言った対象外っていうものはもう10万3899件というところではあるので、
こういった情報はもうNVD上には詳細なものは乗っかってこないっていうような、
そういうたてつけに変わってきたというところではあるので、
放送を目にするというか私たちが直接影響を受けるっていうものが果たしてどれぐらいなのかっていうところはありはしつつ、
この辺ですね、詳細な情報というところで一つの取っ掛かりというか辞書代わりに使えるようになっていたNVDというところが、
少しそのあたり見れないものがもしかしたら今後出てくるかもっていうようなところはあるでしょうし、
当然日本のJVNですかね、こちらもNVDの情報とかと参照というかリンクしていたりはするので、
遠からずその影響っていうのも出てくる可能性っていうのは考えられるのかなというふうには思うので、
脆弱性の取り味っていうところをやっているところちょっとどれぐらいいらっしゃるのかわからないんですけども、
スコアリングとかそのあたりを取り味の基準として外部が出している情報を参照して対応を行っているようなところであれば、
ちょっと影響を見とかないといけない部分はあるのかなと。
自社ではやってなくても外部からそういった脆弱性情報を購入しているっていうようなケースにおいても、
今回のこのNISTの方針を変えたっていうところがどれぐらい影響あるのっていうところは、
少なくとも確認はしておいた方がいいぐらいの、そういったトピックではあるかなというところで紹介はさせていただきました。
これでも昔のやつっていうのも一旦リセットというか、なかったことにみたいな感じにはなってるけど、
KEVで結構昔のが乗ることもあったりするけど、そういう時は拾われるってことですね、たぶんね。
そうですね、それは拾われてますし、過去KEVに乗っかったものも全てNVD上ではフォローされてるっていうところではあるので。
1営業日ってかなり早いですね。
そうですね、ちょっとこれがいつからそういう形になるのかわからないんですけど、
少なくとも一番最新のKEVに乗ったやつはまだエンディチュメントされてないので、
1営業日が果たして速攻で破られるのかどうなのかってちょっと気になってはいるんですけども。
確かに数によるかなっていうところもあったりするんだろうなと思いますけど。
ただでもこのKEVを参照する時にもこれまででもついて回ってきてた問題かなと思うんですけど、
アジアとか日本とかでよく使われてるけど、
連邦性付近では使われてないっていうふうなのの脆弱性情報がパッと見えなくなるっていうのはちょっと困るなっていうところもありますね。
そうですね、その辺のちょっとスピード感がもしかしたら変わってくるかもしれないですよね。
何かあった時に参照するのはNVD以外どこ見ればいいのかの準備は必要かなと思いましたね。
確かにそうですね。ここだけ見とけばっていうところではちょっとなくなったかなっていう感じではありますね。
まあでもしょうがないんじゃない?
必要性重視でいた仕方ないかなっていうか、
今年ももうすでに5万件超えるペース、去年は上回るペースでCV増えてるしさ、
それに対してそのNISTもそうだし、あとCISAもそうだけど、
どっちかちょっと予算はカットされる方向になってるから。
そうですね。結構そういうニュースが出てますもんね。ちょっと心配になるような。
人も減らされるだとか、予算もないとかでは、まあちょっと立ち行かないよね。しょうがないよねそれは。
そうなんですよね。
だから僕らの方がやっぱり考え方を変えないといけないのかなっていうか、これまでいつでも参照できるって思ったところを少し
使い方とか参照の仕方とかを考え方を変えないといけないのかなっていう。
あとまあもしかしたらこういうのを受けてその贅沢性の管理とかそういったものを専門にやっているベンダーが、
ここがチャンスって思って。
あーうちだったらわかりますせということですよね。
我々だったらちゃんと見れますせっていうのを売りにして、そういうところをやってくるのかもしれないけど、
一方そういったものを使うというか参照して実際に対処する我々一般の企業とか組織は、
じゃあこういう状況に対してどう対処するのっていうのはちょっと考えないとね。
なんか知ってるところと知らないところっていうのが何というか二極化してしまうっていう状況が生まれてしまうのは良くないかなと思うので。
なんかこう、いつまでもあると思うな親とかでとNVDって感じですよね。
ほんと無くなったら困る。こういうことが起きないとありがたみがね、分かんないっていうのはちょっと本当に困るよね。
なかなか難しいですね。
はい、分かりました。ありがとうございます。
おすすめのアレ:淡路大江のり
はい、ということで今日はですね、3つのセキュリティのお話をしてきたので、最後にいつも通りおすすめのあれなんですけれども、
今日紹介するのはですね、食べ物なんですが、これ紹介してなかったんやっていうぐらい僕はよく食べているものなんですけれども、
有限会社大江のりっていうところが作って製造している、淡路大江のりっていう。
淡路って淡路島の淡路?
そう、淡路島の淡路。
のり。
のり。これはね、もうほんまに、なんていうかな、おいしいよって思ったんですけど。
そのままじゃねえかよ。
もうちょっとはナイスか。
ちなみにこれは有名なの?ちょっと初めて聞いたけど。
僕もね、これ知人に紹介されていただき物でもらったのがきっかけだったんですけど。
どうなんだろう、あんまり全国ではないのかしら、ちょっと知らないけど。
あんまりね、スーパーで売っているのもあんまり見たことない。いつも僕通販で買ってるんですけど。
どんな特徴でいうとね、いろんな僕も味付けのりって子供の頃からよく、僕ん家結構朝和食やったんで、
のりと白いご飯と味噌汁と鮭とかも出してくれる。
ばあちゃんがよく作ってくれてたんですけど。
いいね、日本の朝食って感じだね。
小学校とか旅館行ったら、ばあちゃんと一緒の物出てきたみたいな感じ。
ぐらい絵に描いたような朝の和食やったんですけど。
いろんなのり、これまで僕も好きでね、食べてきてたんですけど。
まずね、厚みが結構ある。
ほんでもうね、びっくりするぐらいパキパキなんですよ。
固めってこと?
固め。で、味がちょっとピリ辛なんですよね。
濃いめって言えばいいのかな。
へー。
なんかしょっぱいというよりもちょっとピリッとする感じの味付けのりで。
なんかご飯に合いそうだね。
そうそうそう。たださっき言ったパリパリ具合がもうほんまに尋常じゃなくてですね。
そうなの。想像しにくいんだけど。
ほんまに?
どれぐらいかっていうと、僕ふりかけよく食べるって言ってたけど、これもよく食べるんですけどね。
白いご飯とこれだけみたいな時もあるんですよ、ご飯僕。
その時とかに食べようとすると、やっぱり海苔を巻きたいでしょ。
お箸でお茶碗にあるやつを巻きたいじゃないですか。
くるっと巻いて食べたいよね。
海苔巻きにしてね。
2つに割れんの。
バキッと。
なるほど。そういう感触ね。なるほど。
そうそう。だから結構ね、さっき言った有限会社大江のりってとこ、
ウェブサイトがなくて普通に販売している台店みたいなことやってるところの店ばっかりは多分原作者で引っかかると思うんですけども、
台店的な感じで売っているところの説明とかにも書いてるんですけども、
パリパリすぎてごめんなさいとか書いたりする。
だったら一通のことさ、最初からバリバリにしてふりかけみたいにして食べないんじゃないの?
それもありかもしれないですけども、一応海苔に巻く時のコツは、乗せてちょっと経ってから巻く。
あー、なるほど。
少ししっとりさせるんですね。
そうそう。だからほかほかご飯しかできないんですね。
なんのライフハックできるんだ。
なんじゃそりゃ。
そうそうそうそう。
でもこれおやつとしても結構食べてしまうというか、僕も白いご飯で巻いて食べてるんですけども、
白いご飯なくなってからも2、3枚海苔だけ食べたりするね。
おやつって本当にこれだけパリパリ食うわけ?
あー、全然これだけでもいいと思いますよ。
海苔ってあんま消化用ないんで、あんま食べ過ぎたらいい悪するかもしれないですけど。
あー、そうかそうか。
そうそう。でもすごいおすすめなんで。
海苔どれかって言われたらこれかな?今。
ふりかけもそうだしさ、ふりかけ以外もそうだけど、なんか割とご飯のお供系っていうか、そういうものを紹介しがちだよね。
確かに好きですね。白いご飯が多分好きなんですよ。
だろうね。なんかね。
そうそうそう。気軽に買えるんでよかったら試していただければいいんじゃないかなと思います。
はい。
はい。ということで300回でございました。バイバイ。
そうだ。
