1. セキュリティのアレ
  2. 第10回 風邪?花粉症?豚草な..
2012-10-23 56:46

第10回 風邪?花粉症?豚草なのか?えーくしっ!スペシャル

Tweet ntsuji, mtakeshiのスケジュールが噛み合ずペースダウンをしてしまいました。 ペースダ[...]

The post 第10回 風邪?花粉症?豚草なのか?えーくしっ!スペシャル first appeared on podcast - #セキュリティのアレ.

00:12
はい、どうもこんにちは。こんにちは、どうもどうも。はい、セキュリティのアレ、スカリックス、豚草でね、ペースをね、またあるんでね、もっとしていかないといけないというところで、いろいろね、セキュリティ系動いてますよね。
そうです。最近なんかニュースにことかかない感じですね、ほんとに。
アットマークIT時代に本当にいろいろお世話になった方がガンガンNHKに出てきているというね。
そうですね、その前の方も出てますね。
なのでね、その辺りの話はアットマークITに任せて、適当にノープランで喋っていきたいと思います。
まず、花大丈夫ですか。
いやー、なんかね、どうも花粉症かもしれない疑惑が出てまして。
風邪とかではない?
え、なんすかなんすか?
風邪ではないですか?
風邪では多分ないと思うんですけど、それどっちかちょっとわかんなくて。
で、最近ちょっと熱出してたりとかしてたんですけど、その流れでまだ治ってないのか。
で、今この季節ってなんか豚草の影響があるらしくて、なんかちょっと非症状的に言うと、まあ今まで花粉症一回もなかったんですけど、
なんかちょっとそれっぽい症状、人にかかってる人に花粉症ある人に聞くと、どうも僕もそれっぽい症状に当てはまるんで、もしかすると風邪ではなくて花粉症かもしれない疑惑が。
ちょっと聞き苦しいところがあるかもしれないですけれども、できるだけ話すすらないように喋るんで。
本当に予防が大事だというのはセキュリティの基本ですからね。
そうですね。僕もセミナーで散々喋ってますからね。
そこで無理やりセキュリティトーク。今回のセキュリティはこれで終わりなんですけども。
いろいろ動きがあって、どれ取り上げるべきなのか、私たちで喋れることって何なのかみたいなね。
3ヶ月くらい前に起きた事件とか忘れてしまうぐらいバタバタしてるというか、セミナーでもネタとか考えなくてもいいぐらいいっぱい。
セキュリティ系の話って本当に不謹慎ですけど、事件が起きるとネタができるっていうイメージなんですよね。
最近メディアが取り上げる速度も早いんですよね。
03:00
早くなってきて、割と的確になってきたなという印象がありますね。
今までどこに聞いていいか分かれへんみたいなところが多分あったと思うんで、偏りがちだったのかなっていう気もしてたんですよ。
でも最近いっぱいいろんなところに聞いてて、5人ぐらいに聞いてそれの輪を取って行動してるみたいなところも結構。
新聞社さんとかも昨日電話あったっていうと、こっちもありましたみたいな話が結構僕らの間でもあるんで。
今までだったらそれこそアットマークITとか技表とかそういうテクニカル系のサイトですか、アクセスしてなかった筆者さんとかが一般メディアの方に出てきてっていうイメージですよね。
今までだとネットメディアしか報じてなかったパターンとかが多いですけど、最近は朝のテレビとかで普通に見ますよね。
アノニマスもそうですし、最近だと遠隔操作のやつとかですかね。
CSRFなんですね。
一つはそうらしいですね。横浜の事件がリンクを踏ませてその形跡があったっていう。
確か横浜のがそう。
大阪のとかはウイルスであったっていう話のようですね。
私は聞けてなかったんですけどTBSラジオかな?DIGっていう。
昨日でした。
非常に素晴らしい内容だったっていうのだけちょっと漏れ聞こえてきて、秋から聞いておけばよかったと思った。
僕もそれ聞いてなくて、聞いてる人のツイッターは見てたんですけど、直接は聞いてなかったですね。
ラジオはすごい早いんですよね。
昔から結構ラジオってそうでしたよね。
私も一回だけど、JWEBの朝の番組に取材を受けたことがあって、朝7時ぐらいに待機して。
電話がかかってくるのを待ってみたいな。
それ何の件?
それは迷惑メール防止法が出てきた時なんでしょ。
未承諾メールみたいなの?未承諾メールつけろみたいな頃ですか?
その後かな。2007年、2008年。
オプトイン、オプトアウト絡みのやつだったと思うんですけども、それも前日の夜に来たんですよ。JWEBから。製作会社から来て。
前日の夜に、「明日の朝出てくれないか?」って。
急に連絡があったんですか。
それで、実はこういう法律ができて取り締まりが効くようになったら迷惑メールは減っていくんですよねっていう前提のプロットだったんですよ。
実はそうじゃないんですよって話を返して、であればその話をぜひしてくださいって言われて。
逆に面白かったのかもしれないですね。
そういう法律ができても、海外から来たらどうするのって話ですよね。
06:02
国境はないですからね、ネットはね。
なんで正直これだけで解決するものではないんですよって。
インターネットは国を越えてしまうのでっていう話をして、10分くらいですか。
出させていただいたことがあって。
それはあれですかね。ありも前の話になりますけど。
宮田さんがメールセキュリティについてセミナーで喋ったの、あの頃ですか。
その頃です。
懐かしいですね。ちょうど僕たちが出会ったぐらいの頃ですよね。
懐かしい懐かしい。覚えてますよ。その資料もらいました。
テンプレートで。
その頃はテレビと違って映像編集とかがいらなかったりすると、電話取材とかできちゃうじゃないですか。
そこはすごい早かったんですね。
即時性がやっぱり高かったんですかね。
ちょっと前にその当時の編集長が取材を受けてて、その流れでアットマークITをいっぱい頼ってきてくれたっていうのがあって。
その構図も結構似てるんですよね。今とね。
辻さんがアノニマス絡みで結構いろんなところから取材を受けたのは多分横につながってて。
取材のほとんどが、もともと知ってた人とかは別なんですけど、テレビはやっぱり検索してっていうのが多かったみたいですね。
アットマークITの去年でしたっけ。6月に直接取材した記事があったじゃないですか。
あれをきっかけにしてツイッターアカウントを見たらそれらしいことをたくさんつぶやいてたんで聞きに来ましたみたいな。
多かったですね。だからアットマークIT様々ですよ、またこれ。
本当にちゃんとした人、今までずっとセキュリティを追ってた人とかが、ラジオだけじゃなくてテレビにも出て、正しいことを噛み砕いてっていうことはすごくいい時代になりますね。
いい傾向かなっていう気はしますね。最近本当にポツポツと今まで出てなかった人とかも出てき始めて、僕もその一人なんですけど。
自分もアットマークITとかメディア側にいて思ったんですけど、よくテレビがつまんなくなったのは、知識レベルの低い人に合わせたみたいな話をするじゃないですか。
理由の一つとしてね。
一番下に合わせないと理解してもらえないだろうと思って、平易にしていった結果、簡単すぎてプイってなってしまった。
優しすぎるっていうことですね。
結局誰がそう思ってるかっていうと、視聴者がそう思ってるわけじゃなくて、制作側が思ってるだけなんですよね、きっとね。
勝手に思い込んじゃってるっていう。
ここまで噛み砕かないと理解してもらえないだろうっていうふうに思い込んでるからそうなっていくんじゃないかっていうのはちょっと自分では思ってるんですよ。
09:04
作ってる側とか、僕たちもセキュリティ守る側というか、専門寄りじゃないですか。
自分たちがあんまりこんなネタ面白くないよなって思っても、案外聞く人は新鮮とかってあるんですよね。
出したときにはこれちょっとコードすぎてわかんないだろうと思ってたものが意外とヒットしたりするってことは結構何度もあって。
以前は無線LANのコミュニティをより強硬にした。
いわゆるウェブが前世だった時代に、WPAじゃないんだけれども非常に安いコストで、計算コストで暗号化するっていうのを、
分析を大量に入れた記事を出したことがあるんですよ。
当時、中でもこれちょっと無理じゃねっていう話が出たんですけど、それ結構読まれたんですよね。
結構ビュー取れたんですね。
わかんないもんですよね、結構ね。
特に私はあっという間に話しちゃったんですけど、わりとあそこは読んでる方も結構コードっていう前提でやってるみたいだったりする。
他のところも実はそういうのを考えなきゃいけないのかなっていうね。
逆にね、案外これいけるって思って滑るってのもありますけどね。
それは言いたくないですね。
これそうでもないのか、全然本当ダメダメって言うほどではないんですけど、そんなあんま反応、そうみたいなのありますよね。
あとは一部にしか受けないとかね。
そこはね、頭かいてはありがちっちゃりがりなんですけども、それがいつしか役に立つ気があるっていうことを信じて勉強者をやってましたね。
確かに確かに。
あれなんですよ。ここ最近ちょっと気にしてるというか、自分ができることはなんだろうみたいなことを考えたときに、
ちょっと想定なんですけども、ITメディアっていう会社、ネトラボっていう媒体を持ってるんですよ。
ひらがなでネトラボ。
ネトラボって何かというと、完全に今までいなかった読者層を想定してて、結構ツイッターを使ってる若い人間とかだったりするんですよね。
割と軽い記事とかなんですけども、ひょっとしたらそういうところにもセキュリティーって入れなきゃいけないんじゃないかみたいな話をネトラボ編集部の方としたことがあって。
面白そうですね。
今までそういう意味で、アットマークITみたいにコアな、作る側の人に対して啓蒙に近い技術記事を出していた方々は全然違うじゃないですか、やっぱり。
そうですね。
完全に使う側で何を考えなきゃいけないんだろうっていう、実はそこが一番難しいんじゃないかって私もちょっと思ってるんですよ。
そうですね。このネトラボだけちょっと経路全然違いますもんね。
全然違いますね。
今さらっと見てるんですけど。
12:01
編集部の座席的にはすぐ後ろにいる人じゃん。
あんまり僕もツイッターで流れてくるぐらいでしか見てなかったんですけど、パッと今目についたのがいきなりテンガですね。
テンガグローブみたいですね。
そうそう。あんな感じ。
全然違いますね、ほんとね。
ちょっとネットの旬なネタを。私個人的にはすごくちゃんとしたガジェット通信だと思っていただければいいかなと思って。
あれな感じしますけどわかりやすいかもしれない。
一応その編集部の方たちの動きをおぼろげながらに見てるんで、ちゃんと裏取り取材を割とするネットメディアだと思っていただけるとね。
一応そこの編集部の方と仲良かったりするんで、たまにネタを垂れ込みするんですよ。
今ちょっといい話聞いたなってすごく思ったんですけど、
アットマークITで一応連載をちょいちょいやらせていただいているじゃないですか。
そこに書くまででもないんだけど、即時性がある突撃ネタとかやりたいなって思う時あるんですよね。
企業でこんなこと言われてるけど本当のとこどうなのよみたいな。
別にそれをすぐやりたいとは。今パッと浮かんだんだと、いじくるツールってあるじゃないですか。
Innersoft?
僕はInnersoftって呼んでるんで、すっきりレフラグとか作って。
僕もWindows98とかの頃からありましたっけ。
はいはい、そうですよね。
レフラグとか自動でやってくれたりありましたよね。
レジストリとかいろいろシステムの奥深くのところをいじらせてくれるツール。
それがスパイウェアなり。
あれはスパイウェアですね。
スパイウェアっていうかソフトじゃなくてサイトが引っかかってるんですよね。
そういうことなんですね。
それでウイルスチェックソフトに引っかかるように。
ペンチですよね、要するにね。
そうですね。
っていうのが引っかかってるというのがあって。
それが有名になった。
そうです。何回も繰り返してたりとかして。
あれはちょっと経緯見ましたけど、かわいそうではあるなと。
そうですよね。もうだいぶモチベーション折れてるなみたいな。
見ててきついな感じが伝わってくるじゃないですか。
ああいうのとかうまくできないのかなって見てて思うんですよ。
いろんな言えない理由とかもあったりするとは思うんですけど、
15:03
やっぱり出せるものは出して、セキュリティなんで、
ノウハウなんでとりあえずダメですみたいな風に断るのって
時代遅れな気がするんですよね。
案外言っても大したことなかったりすることって
機密とは呼ばれているものの
案外そんなのどこの会社もやってるよねみたいなこともあったりとか。
やっぱりツイッターとかいつもこのポッドキャストで
SNSというかソーシャルの話がよく出るじゃないですか。
やっぱりそういうものができて人と人の距離も
人と企業の距離もやっぱり縮まってる中でね。
今まで電話でやってたようなことの時代と同じようにやってたら
あまり正義も伝わってこないというか、本当に正義があったとしても
伝わってけえへんのちゃうかなっていう気もするんですよね。
あの件に関しては、評算の一角だったとしたら問題なんですけども、
本当にソフトが一つだけであるんであれば、
取り込んでっていうのは実際にお会いして、こういうのですと。
深く調査してホワイトリストに入れるっていうのもちょっとあれですけど、
検知ソフトのアルゴリズムをちょっと変えてみるだとかっていうのを
一つのテストベッドとしてね。
そこの部分も直せないとかっていうところがあるじゃないですか。
そこがたぶんネックになってて、
内容がこういうロジックなんでっていうのも言えないっていうのもあると思うんですけど。
いわゆるこれってヒューリスティック周りの話なの?
さすがにどっちかってウェブサイトにアクセスしたときにブロックする機能のところじゃないですか。
それだと言うと持ちませんか。
ヒューリスティックだったらサイトの作りを変えればどうにでもなると思うんですけど、
何かどうしても外せないものがあるんだと思うんです。
そっちのほうが確かに強いですね、線としては。
名前は出せないんですけども、
とあるソフトウェアがとあるアンチウイルスに引っかかるっていう事件に僕ちょっと関わったことがあって、
それは今回のイナーソフトというか、
INAなのか分かんないですけども、
サイトが引っかかるとかっていうのではなくても、
ソフトウェアそのものが引っかかるっていう事例があったんですね。
その時っていうのが、そのソフトっていうもの自体が、
管理するためのソフトなんです、ユーザーを。
例えば皆さん会社とか学校とか入ってるか分かんないですけど、
資産管理とかですよね、例えば。
どういうソフトウェアが何本とかって数を超えちゃうとアウトじゃないですか。
その数を管理するであるとか、
あとは通信のログとか、
18:00
いっぱいいろんな管理するとか監視とか管理とかをするソフトってあるじゃないですか。
あれって基本的にユーザーに止められたら意味がないものじゃないですか。
入れてますよっていう話は多分契約とかではしてるんだろうと、
会社さんごとに違うかもしれないですけど、やってるんだろうと思うんですが、
基本的に停止ボタンがあったりとか、
そもそも動いてるって事が見えないように作ってあるものが多いんですね。
それって正しい使い方というか、
悪意のない使い方ですけど、それを悪意のあるに置き換えると、
ルートキットと同じなんですよ。
例えば自分自身を隠蔽するとか、
それの設定している情報とかDLLとか、
必要なファイル、一連のファイルですよね。
それが入っているディレクトリとかをフォルダーかWindowsだと、
見えないように、ユーザーからは見えないようにするとか、
あとは持ち出し制御とかあるじゃないですか、
情報漏洩したらダメなんで、USBからファイルが出たらダメとか、
そういうデバイス制御とかをしてたりすると、
結構深いところまで、デバドラまでのレベルまでいっちゃうんで、
もろにルートキットだって言われればルートキットなんですよ。
はい、そうですね、なるほどね。
そう、例えば分かりづらくするためにプロセスの名前、
一応表向きは見えないようにしてるけども、
見えるように解析しても、ちょっと普通に動いてるような、
もともとはWindowsが使ってるような変な名前に似た名前とか、
にしてたりするっていうのが、
アンチウイルスに引っかかったって話があってですね、
それが引っかかると、やっぱり数百とか数千みたいなユーザーが
おる中で、そこでアンチウイルスに、
ウイルスだって前代が急に引っかかった大事件じゃないですか、
それで何とかなれへんのかみたいな事例を聞いたことがあってですね、
その時は、要はバージョンアップする時に、
一回提出すると、それをホワイトリストに入れてもらって、
みたいな運用でカバーするみたいなところで、
その先どうなったか僕は知らないんですけど、
そういうふうな企業間での協議みたいなのがあって、
企業同士だとそういうふうにやりとりはできたりとか、
あるいは個人対会社なんで、なかなかって思っちゃうんですけど、
でもこれから個人と会社っていうのが当たり前になると思うんですよね。
当たり前になると思うというか、当たり前だと思うんですよ。
企業に対して何かを言って、それをみんなが見ている状態っていうのも
普通にあるじゃないですか。
そうですね。
なのでああいうのをね、ちょっと話逸れちゃいましたけど、
こういうネトラブルであるかどうなのかわからないですけど、
間を取り持つようなこととかってやっぱりメディアの人たちとかがやっていってくれたら、
もっと接中案ではないですけど、片方が泣きにしないような状況とかができればいいなというふうに思いながら
あの件を見ていましたね。
そっかそっか。
そのあたりはずっと一つを掘り下げていくっていう意味では、
21:01
あんまりダットマーカイティー向きなのかもしれないですね。
結構そういうのがみんなスイッチしたり最近。
そこがありましたね。
かわいそうですからね、ああいうのね。
なるほどなあ。
そういう意味ではいろいろと表には出てこないけれども、
わりと深刻なネタとかって結構いっぱいあるんですね。
多いですよね。
やっぱり個人と会社でやってると個人が当然弱いじゃないですか。
一対他みたいなことがあって。
なのでお金の面とか精神的な面とかもやっぱりあるでしょうしね。
そういうのがやっぱり事件でワーッと盛り上がるんだけども、
あらけんってそういやどうなったんやっけみたいなの多くないですか。
結局何も片付いてなくて何となく終わりましたみたいな。
多いですよね。
水面下で続いているのかもしれないですけど、
例えばこの間言うとキングソフトのステマ疑惑動向で。
難しいんですよね。
継続するっていうのがやっぱりなかなかね。
あれはどうなったか僕知らないですもんね。
完全に立ち消えでしょうね。
そうですよね。
ワーッと騒いでステマ、いやこれはステマじゃなくてみたいな議論があって、
時間が経ったんでシュンっていう感じの。
そうですね。それこそ人の噂もみたいなところなんだろうな。
かもしれないですね。
時間が一番効くっていうかそれぐらいしか対処方法はないっていう。
日にち薬ってやつですよね。
そうですね。時間が全てを癒してくれますよ。
なんかあったんですか?
いやないですね。
意外とセキュリティの話になりましたね。
心が済む前はこんなはずじゃなかったのであれですけど。
どういう意味だっていうね。
割と私の中ではセキュリティに興味のない人に興味を持ってもらうためにはどうしたらいいかっていうのは
割とずいぶん前から思っていることだったりして。
ちょっと今ネトラブル編集部が近くにあるっていうだけで
なんかできないかなっていう試行実験みたいな感じになってきました。
大事ですよね。考えてみるっていうかね。
それでもし本当にできそうだったら協力しようかなと思ったりするんで。
ただ、普通の人、本当にセキュリティ興味がないくて
ユーザーである人に対してできることって
今までだったら気をつけようだったじゃないですか。
そうですね。
それもう無理じゃないですか。今回の事件とかもね。
基本的に僕も結構昔から言ってたわ、何年前から言ってたわみたいな感じですけど
でも結局気をつけるしかなくて。
24:00
そっからその先やられたらどうしようっていうところを考えないから痛い目に遭うっていうところだと思う。
例えば健康な時って病気になった時のことってあんまり考えないじゃないですか。
確実に言えるのはソフトウェアアップデートしておこうねなんですけど。
多分セキュリティ系の人たちが思っている以上に普通の人はセキュリティソフト入れてないですよ。
どうなんですかね。
正確に言うと入れてはいるんですよ。
はいはいはい。
期限切れなんですよ。
ああ、1年間ライセンスが切れ取るっていうことですか。
そうなんですか。
買うじゃないですか。買うと3ヶ月分無料とかになってるんですよね。
それ以降はアップデートしてない。
そんなもんなんですか。
そんなもんみたいな。
それだけは絶対ほんまやりやって言うて実家のPCだけはずっと買ってますよちゃんと。
うちのおばとかね、母親は。
それ本当に自分がやられないと気づかないっていう。
そういう意味だと、うちの実家はウイルス被害なんて。
当然僕がいた頃はね。
僕が面倒見てたら一度もそういうのなかったですけど。
うちの家族は別に自慢するわけじゃないですけど。
ひどい事故にあったことって一度もないんですけど。
アンチウイルスはちゃんとずっと更新してるし、
あとバックアップは1ヶ月に1回撮ってるんです。
最高じゃないですか。
ちゃんとやってるんです。そこだけは。
全部DVDに焼いてね。
いや、新しいです。
この前iTunesのライブラリが全部消えたっていうんで見に行ったんですけども、
ホームディレクトリー化が不可視状態になってたんですよ。
あら。
ありがちですよね。
そうですね。あるんだけど見えないみたいな。
検索すると出てくるんだけど、
よく考えるとこれ、ホームディレクトリーしたら何もねえなみたいな。
ああ、はいはいはいはい。
そんなインシデントレスポンスをしてたんですね。
ちゃいましたね。
ウイルス対策ソフトも入れてない。
そうですか。
割と普通にあるみたいなので、
落とし所はそこなのかな?みたいなね。
ああ。
するとメディアの特性上、
うわ、またウイルス対策ソフトのステーマを落つみたいに書かれるんですよね。
書かれるでしょうね。
最近、あ、そう。
ぐっと話変えちゃっても大丈夫ですかね。
いいですよ、もうここから。
Gメール使ってます?
使ってますね。
Facebookもしてますよね。
してます。
その2つって結構大事じゃないですかね。
あとTwitterもやっぱ大事ですかね。
自分の色が出てるものはあるっていうね。
例えばGメールとセキュリティ上答えっていうのがいいのか悪いのかわからないんですけど、
27:02
僕は知ってるんですが、
二要素認証ですよね。
この間ね、Gメールからメールきまして、
GメールからGメールに、
Googleからって言った方が正しいのかもしれないんですけど、
不正なログインをブロックしました。
お、来た。
来たことあります?
いや、ないですね。
ないですか。
初めてかもしれないですね。
二要素認証は私もやり始めたんですけど、
もうやっておくべきだとは思うんですが、
トラブったときに大変ですね。
トラブったとき?
実はね、GメールとFacebookとGoogleアカウントとFacebookとDropbox、
全部二要素認証を入れたんですよ。
二要素認証何かっていうと、
ログインしますと。
ユーザー名、ログインパスワードを入れます。
そうすると、SMSが来るんですよね。
SMSなり、あとは電話ですね。
電話ですね。
私はSMSしてたんですよ。
そのSMSで送られた6桁くらいの数字を
もう一個入れてくれた。パスワードと別にね。
はいはい、そうですね。
っていう機能なんですよ。
これ重要なのが手元にある携帯電話なんですね。
そうですね。
この前ですね、iPhone5って出たじゃないですか。
出ましたね。
今まで持ってたiPhone4Sを知人に渡したんですよ。
iPhone5が出る前にね。
ここが重要なんですけど。
重要ですか。
その間はSIMフリーのAndroid端末持ってるんで、
電話だからこれでやろうと。
ちょっといろいろ込み入った事情がありまして、
iPhone5を旅行に行ってたんですけども、
旅行前に手に入れた。
その端末の切り替えをいろいろ早めにやっておきたかったために
4Sを先に出したんですね。
4Sがなくて、5もない。
Androidしかないっていう状態だったんですよ。
その時、二要素認証でどうログインするかって話なんですよね。
なんかトリッキーな話になってきましたよ、これ。
その切り替えをやった時には全然何も考えてなかったんですけども、
Facebookにログインしようとした時に、
SNSで番号を送ったから、それ入れやがれってくるんですよ。
30:02
そうですね。
ちょっとゴニョゴニョっとしたAndroid端末なんで、
SNSは受け取れるんですよ。
だけど、Gmailのほうは、GoogleアカウントはSNSじゃなくてキャリアメールなんですよね。
そうですね。Googleアカウントのほうは本当に日本のキャリアのメールしか無理ですよね。
ドコモ、NECPとかiソフトバンクとかしか無理ですよね。
SIMフリー端末でSNSを受け取るのってちょっと大変なんですよ。
そうなんですか?SIMフリーの端末で?
具体的に言うと、ソフトバンクのSIMでAndroid端末でソフトバンクNEJPのアドレスのメールを受け取るには、
ソフトバンクのアプリを使わなきゃいけないんですね。
いろいろやればできるんですけども、
でもSIMフリーの端末だと、ソフトを落とすことが結構めんどくさいんですよ。
そうでしょうね。
なので、ログインできない。
ちゃんと二要素認証を書くFacebookとかは、
ちゃんとその時にも考えてて、緊急コードってのがあるんですよね。
ありますね。
一番最初に設定した時に緊急コードを10個払い出すから、
最悪何もできなくなった時にこれを入れろっていう風なものなんですよ。
3つぐらい使っちゃいましたね。
あららららら。
なので、二要素認証はすごく便利なんだけれども、
ちゃんと手元にiPhoneがあるとかAndroidがあるっていう前提で考えなきゃいけないよっていうね。
僕そういうこともあろうかとっていうのと、あとは僕はもうキャリアメールを捨ててるんですよ。
そうなんですね。
私も今回ソフトバンクからAUに変えたんですけども、
キャリアメールは母親にだけしか教えてないですね。
ああ、そうなんですね。一応活かしてはいるんですか?
そうそう。
僕はずっとDocomo使ってるんですけど、
Docomo、NA、JPを使ってないというか、もうないですね。
AndroidのほうはGmail、携帯用に取ったアドレスを使って、そっちも二要素にしてますし、
普通のパソコンに分けてるんですよ。携帯のみで受け取るやつと、
パソコンにずっと今まで使ってきたGmailのアドレス分けてて、両方二要素にしてあるんですけど、
そもそもキャリアのメールがお台場前からないんで、
ずっと電話が普通にかかってくるんで、
SIMさえ差し替えてれば電話かかってくるんで、それで大丈夫なようにしてます。
電話で切り替えたほうがいいのか。
そうですね。絶対そっちのほうがいいですね。
そうやったらあんまり気にしなくていいじゃないですか。
切り替えようと。
電話のほうにしておくと。
やっぱりキャリアのメールは、
まあ確かに教え直すのがめんどくさいとか、
33:02
いろんなめんどくささと今までの便利さみたいなのがあるのかもしれないですけど、
やっぱりあれは早くに捨てたほうがいいと思いますね。
確かにそうかもな。
だって僕すごい昔から不思議なんですけど、
ナンバーポータビリティって、電話番号が変わるの嫌っていうのが、
競争に対する阻害要因になるからっていうんで、
取っ払おうってなったわけじゃないですか。
メール残ってたら意味ないやんと思うんですよね。
あれはそうなんですね。結局、
アメリカで出てきた概念じゃないですか。
そうですね。
アメリカってSMSはキャリアを超えて普通にできるのが前提だったんです。
そうですね。
それがあったんでMMSが全然普及しなかったんですよね。
はいはいはい。そうじゃ聞かないですもんね。全然。
それがあるんで、日本には合わないって言われてたんですよね。
やっとSMSが普及し始めましたけども、
今やLINEとって変わられてるんで。
LINEね。LINEすごいですね、今。
LINEはね、悔しいですけどね。
なんで悔しいんですかね。
LINEはどうなのよ、セキュリティ的にって話がまずあって。
それは絶対出てくる話ですね。
なんであんまり自分では使いたくないっていうね。
僕は、僕も入れましたけどね。
僕はそうですよね、宮田さんいる前で入れましたもんね。
多倍のないことを投げるぐらいだったらいいかなという。
僕最近ね、台湾に友達ができたんですよ。
はいはいはい。
いろいろやり取りをしてて、
リアルタイム性があんまなかったんで、
テキストメッセージのやり取りできるやつ使ってないんかみたいなこと言われて、
LINE、この間ご飯食べたときに入れてたじゃないですか。
LINEかFacebookのチャットあるじゃないですか、Facebookメッセンジャーですよね。
あとはGtalk。
この3つあるけどどれがいいって言ったら、
迷わずLINEやったんですよ。
LINEはアジアで強いですね。
アジアで強いっていうのも改めて通過しましたね。
スウェーデンとかあっちのヨーロッパの方、
ヨーロッパの方はKIKっていうのが結構主流みたい。
国ごとに結構違うらしいんですよね。
ヨーロッパだけなのかどうかちょっとわかんないですけど、
KIKっていうのをKIKって呼ぶのかわかんないですけど、
結構使ってる人もいて、
アンドロイドのマーケット見ると日本人でもちょいちょい使ってる人いるみたいですけど、
やっぱでもアジアはLINEがすごいみたいですね。
LINE楽しいなみたいな感じですけどね。
今日もあれですよね、LANにつないでるとき、
36:02
要はWi-Fiにつないでるときは暗号化通信をしてるんだけども、
3Gのときは暗号化してないっていうのが出ましたね。
例えばアンドロイドでルートを取ればTCPダンプとか入れられるじゃないですか。
それであれば暗号化されてないとかわかったみたいなのがあったんですけど、
3Gの回線って頭頂を回すの無理だと思うんですよね。
そうですね。やっぱりGSMは結構ハックされてましたよね。
今日も僕ちょっとツイッターでつぶやいたんですけど、
記録は曖昧だったんで一緒に調べたんですけど、
2Gですね。GSMは十数万円くらいで作ったアンテナでクラックできたというのが2年くらい前にあった。
2、3年前に何かあったなと思って調べたんですけど。
ブラックハッドとかなんかでやってませんでしたか?
確かそうですね。ブラックハッドかDEFCONかどっちか。
会場写真だけちょっと見たんで、あれなんですけどDEFCONっぽかったですけどね。
基地局立てて全部登場しちゃうぜみたいな。
そうです。3Gとかをジャミングして、3G使わさないようにして、
2Gに落とさせて撮るっていうデモをやったっていうのが過去の記憶にあったんで。
その記事には3Gは限定的って書いてあったかなと思って調べたらやっぱり3Gは無理だったって書いてあったんで。
2年前なんで状況は変わってるのかもしれないですけど、
僕専門家じゃないんであれですけど知る限りはあんまり聞かない、そんなに危険かそれっていう気はしますけどね。
どっちかというと端末をハックしてとかちょっと難しそうだろうな。
これをするんだったらもっと違うもん一気に抜けますからね。
っていうのがあったりとか。
LINEは普通に、主に英語の勉強として使ってますね。海外の人とやりとりを。
僕も英語、当然母国語じゃないですし、すごい苦手なんで。
でも向こうの人は母国語、中国語じゃないですか、台湾って。
台湾に住んでるんですけど、本当は実家は違うらしいんですけど。
そういうやりとりを英語ですると毎日2、3個とメッセージやりとりしても結構勉強になるっていうか、
なんとなく分かってくるようになるんですね。
いいですね。
そんな感じでLINE。
普通にLINEじゃなくてもいいんでしょうけど。
どうなんですかね、アドレス帳アップ。
僕はアップしてないんですけど。
もう諦めですね。
僕の登録してる動画何時なしにやってたらそれでアウトでしょっていうのがあるんで。
もう諦めるしかないのかなっていう。
残念。残念なのか。
さっきのネトラボを見ているような方たちに何が言えるかっていう話なんですけど。
ひょっとしたらなんですが、
セキュリティいろいろ考えなきゃいけないらしいぜっていうことだけを分かってもらえれば、
39:00
意外とその人の知り合いとかにウェブ開発者とかいたりするんですよね。
そうでしょうね。
本来はその人たちにアットマークITを読めだったり、
徳丸本を読めだったりっていうことが伝われればいいだけの話だと考えれば、
一般の人はウェブ開発をするにはいろいろ考えなきゃいけないんだねっていうことだけが伝われば、
ある程度は成功なのかもなと思ったりします。
やんわり意識してもらうようにしていくっていう感じですかね。
それこそついさんおっしゃってたように、勉強するしかないだったり、
勉強するしかないという意味での慎重にするっていう。
慎重にするためには何をすればいいのか、慎重にした後どうすればいいのかみたいなことを考えるっていう意味での勉強をするっていうところで持っていくっていうのは成功法なのかもしれないですね。
僕たち基本的に仕事をするときってあまり個人の方を相手にすることってないじゃないですか。
コンシューマーって言えばいいのかわかんないですけど、
アンチウイルスソフトを売るような個人に売れないことはそんなにないわけじゃないですか。
そんな中ででもある程度は示さなあかんなって、
結局企業とかってばらしてたら個人なわけなんで、
やっていけばできないなって最近ちょっと思ったのは、
どこまでとりあえずやっといて、
ここまでやってあかんかったら諦めよう。
諦めてこういう被害に遭ったときにはこういうふうなことをしようっていうことを教えてあげるほうがいいのかなって気はしてきたんですよ。
やっぱりやりだすとキリないじゃないですか。
とりあえずこのパスワード関係はこうしようとか、
人用素認証は確かにめんどくさいけど一回やっとけば大丈夫やし、
っていうふうなこととかを教えてあげたほうがいいのかな。
最低限これはやろう。やられたら諦めようみたいな。
どっかで線を引くしかないと思うんですよね。
そこはちょっと考えていったほうがいいのかなと思いながら、
そういうのはまず実験台として自分の家族を実験台にしてみようかなとかね。
パスワードってどうとかっていう話をよく考えていたら、親としたことはあまりないんで、
使い回しとかってほんま危ないでみたいな話もあまりしたことないんですよ。
母親とはアノニマスな話とかしたことがある。
母親がアノニマスのニュースやってるねみたいなのを教えてくれたりするんで、
そんなたわいないことがあっても結構本気でそういうのをしゃべったことがないなって
最近ちょっと思いましたね。
やっぱり今って何かしらの組織に属してる人ってまだまだ多いじゃないですか。
主婦の方とかだとまだ家だけかもしれないですけど、
やっぱり普段は個人でもどこかの会社の偉い人だったりとか、
たくさん企業とか団体に紐づく人っていう方がやっぱり多いと思うんで、
その企業を狙うためにまず個人を狙うっていうのがあると思うんですよ。
42:04
今までの事例とかでもあって、
この間いちごゆざわの話をさせていただいてきたんですけれども、
その時に出した一つの話題が、ギズモードのツイッターがハックされたっていう事件。
少し前にありましたよね。
あれは結局ギズモードのツイッターがハックされたっていうことで、
発端というか事件として騒がれ始めたんですけど、
実はやられたのは個人のアカウントが奪われてた。
マットって方なんですけどね。マット・ホンナンっていう人なんですけど、
その人のアカウントが奪われてたっていうやつが、
すごい組織の穴というか、狙われてるやつで、ほとんどソーシャルハックなんですよね。
全然プログラム作ってどうとかっていうことでも一切なくて、
やられたやつがあって、この流れちょっと話してもいいですかね。
はいはい、いいですよ。
この事件結構好きなんで。
一番初めこのマットっていう人。
この人はエディターと言えばいいんですかね。
ライターさんというか、ギズモードとかワイヤードとかに記事を書いたりしてた人みたいなんですけれども、
まずこの人、ほとんど使ってるデバイスがAppleの製品で、
まずiCloudのアカウントが乗っ取られたんですよね。
この乗っ取られた方法はこの段階では全然わからなかったんですけれども、
iCloudでやると.Macっていうアドレスでしたっけ。
そうですね。
そのアドレスがもらえるんですね。
それがもらえるんで、その次にGmailがハックされたんですよ。
このGmailがハックされた理由っていうのが、
iCloudのアドレスがバックアップアドレスになってたんですね。
そこにリセットメールを送ることができちゃうと。
そこでGmailのアカウントをハックした後に、マットのTwitterを奪うんですよね。
そのままTwitterのパスワードの再発行先がGmailやったっていう。
芋づる式の流れなんですけど、
あとはそれのおまけにひどいことに、
この人はiPhoneとiPadとMacBook Airを持ってたみたいなんですけど、
iCloudを乗っ取られてるもんなんで、
全部リモートからワイプかけられたんですよね。
だから何もできなくなっちゃってっていう流れがあったんですけど、
これただ、今言ったのはiCloudだけ、
GmailのバックアップがiCloudで、
TwitterのバックアップがGmailでっていう順番の話をしましたけど、
iCloudってなんでハックされたんでしょうっていうところが一番大事なとこなんですよ。
今はこの方法は通用しないように対策はされてると思うんですけど、
iCloudでどうしてもパスワードを忘れて電話で対応してもらったりとかってあると思うんですが、
45:03
Appleのそのときの認証が、
メールアドレスと請求書先の住所。
請求書っていうのは要はアプリかったりとか。
あとはクレジットカードの下4桁だったんですよね。
クレジットカードの下4桁ってハックするって当然その人の周りにいるけど、
基本ネットワーク使ってやってくるわけじゃないですか。
だからレシートがどことかそういうケチな話じゃなくて、
これをどこで手に入れたかっていう話なんですけど、
そこなんですよ。
どこかっていうとAmazon。
下4桁言ったらちょっと忘れてもらって、
Amazonからどうやって下4桁を引き出したかっていう話なんですけど、
まずAmazonに電話を、サポートに電話を、
そのマットのフリーショップに電話をするんですね。
新しいクレジットカード番号を追加したいっていうふうに申してるんですよ。
新しいクレジット番号を追加するために必要な情報っていうのが、
指名と請求書先の住所とメールアドレス。
これ別に何もハックしなくても言える情報じゃないですか。
その次に一旦これで登録、クレジットカードの番号、
自分の番号なのか偽物なのかわからないですけど登録しますと。
一回切るんです、電話を。
もう一回電話をするんです、Amazonのサポートに。
ここでパスワードがリセットしたいんだけれども、
メールアドレスを追加したいと。
リセットするやつ忘れたから新しいメールアドレスを追加して、
その分かるメールアドレスにリセットを飛ばしたいから、
メールアドレスを追加させてっていうふうに言うんですね。
このときに必要な情報っていうのが、
指名と請求書先の住所とクレジットカード番号。
何もなくメールアドレスを追加するには、
クレジット番号のところでこけるんですけど、
自分の知ってる好きな場所の前で登録できちゃってるんですよね。
これはよくできたシナリオでしたね。
一個ずつずれてるんですよ。
パスワードをAmazonで再発行の処理をすれば、
当然自分が登録したメールアドレス飛んできますよね。
リセットすればアカウントをダッシュできて、
ログインすれば下4桁だけ表示されるんですよ。
よくできたシナリオ。
そうなんですよね。
この情報を使ってiCloudを乗っ取って、
さっき言ったみたいにTwitterまでたどり着いた。
これやっぱり一番怖いのは、
企業をまたがってるじゃないですか。
このAmazonの仕組みの穴もそうなんですけど、
これは今はもう無理らしいんですけど、
これやられたら防げなかったと思うんですよ、誰もが。
やっぱりAmazonとAppの、
Amazon出た情報を使ってApp出るっていうところ。
48:02
ストレーサビリティも無いじゃないですか。
これ何でこんなことが赤に分かったかっていうと、
マット本人がやった人間にね、
コンタクトを試みて、
法的手段には絶対出ないから、
やった方法を教えてくれって言ってきて。
すごいなー。
これ見つけたら、知ってた人はいるかもしれないですけども、
これいろいろハックされてる最中にね、
マットがいろいろ情報を出すんですけど、
みんながアドバイスしてたんですよ。
パスワードは大丈夫なの?
使い回してないの?とかね。
ちょっと固くした方がいいよとかって言ってたんですけど、
こんなのを言い当てた人誰もいなかったんですよ。
そうですよね。
で、このハックをしたのは確かTeenなんですよ。
確か。
で、確かですけど、
で、理由が、
このマットっていう犯人はよく知らなかったんですよ。
有名な人ってあんまり。
で、ハックした理由が、
最終到達点がTwitterのアカウントじゃないですか。
この彼のマットのアカウントってそのままマットなんですよ。
短いんですよ。
短いアカウントが欲しかったんですよ。
それだけの理由でここまで。
はー、なるほどね。
すごいこれの事件は面白い。
これはそうですね、この事件は興味深いですね。
そうなんですよ。
これだからAmazon、今は対策されてるとはいえですね、
この前の問い合わせのスキームだと防ぎようないですよね。
そうですね。
全体的にめちゃくちゃな穴があるっていう感じの話じゃないんですよね。
そうなんですよね。
繋ぎ合わせていくとお、お、おっていう感じなんですけど、
そうなんですよ。
そうなんですよね。
なのでこの事件自体は、
どこで何をすれば防げられたかってことを考えた時に、
Amazonのアカウントを乗っ取られてしまうのは、
この状態であった時の防ぎようがないと。
住所隠すとかそういう風なアナログな方法しかないですよね。
仕組み自体に問題があるんで。
なので、Gmailのアカウントが発掘されるタイミングで、
Gmailが二要素認証を使っていればやられなかった。
そうですよね。
だからiCloudが乗っ取られてしまうので、
デバイスのリモートワイプとかはされてしまう可能性がありますし、
iCloudってごめんなさい、僕使ってないんですけど、
二要素認証ってあるんですか?
できないですね。
できないですか。じゃあ防げないですね。
だから防ぐとしたら、Gmailのアカウントと
そのへんに紐づいてるTwitterのアカウントがやられるのは防げたと。
二要素やってれば。
ただでもiCloudがやられてる時点でリモートワイプされる。
確かにiCloudはそろそろ何かやってくれないと困っちゃうなという。
51:00
そうですよね。さすがにちょっとデカいですよね、iCloudは。
Appleはネットワーク系弱いんですよ。
そうなんですか。あんま強いイメージないですよね。
iCloudの全身の全身の全身あたりのサービスとか本当に弱かったですからね。
そうなんですか。僕もApple最近だって。
ひどいです。
そうなんですね。
Appleが苦手な分野ですね。
そうですね。いいか悪いかはあれですけど、
Microsoftみたいにそういう意味で叩かれ慣れてないというかね。
ひょっとしたらMSにおける2000年あたりのダブレターウイルスあたりの
試練をこれから何重にもアップデートされた脅威がAppleを襲う日がとうとう来るのかなっていう。
ベース自体はフリーBSDでしたっけっていうのがあるんで、
おいそれとはやられなさそうなイメージとしてはもんやりはありますけど、
それでも安全とは言い切れない。
でね、こんだけやっぱりユーザーが増えてきてるとっていうのが心配では。
App Storeだったり、それに対抗しようとしてかなり今のMountain Lionって10.7か。
僕もそれです、今。
開発者IDがないアプリはもう動かさないだとか。
10.8でした、10.8でね。
そういうサンドボックス化をかなり進めてるので、
あんまりアプリ入れないくなっちゃいましたけどね。
普通のWindowsもMacも。
僕もあんまり一回作るとも、自分の最適な環境を作るともあんまり維持ないですね。
あとはVM上とかで使うのもいいし。
LinuxとかWindowsですけど。
こっちでやるかな。
本当にこう最近ですね、踏み台系の話でもよく言われてますけれども、
攻撃者の方が必ず有利なところからやってくる。
そうですね、先手が確実に攻撃者ですしね。
なのでちょっと一般の人だったりも、
一般の人が二要素認証を使うかっていうと、
今のところはまだまだ一部の人ですけど、
これがどんどん多分普及していかないといけないし、
Yahoo!もね、今二要素認証やってるんですけど。
Yahoo!ちょっと前対応しましたね。
本当にこれ聞いてらっしゃる方、
割とセキュリティ組の人とそうでない組が結構分かれてる。
そうでない組の人もちょっとやってみるといいかなと。
セキュリティ組の人は結構やってる。
案外やってなかったりする人もいるかもしれない。
セキュリティ組の人は逆になんか、
俺は大丈夫だって思ってる人が入ったりするかもしれない。
大丈夫じゃないですからね。
頑張ってみるといいかと思います。
54:02
まずはGmailとかFacebookから。
一回やってみるとそんなに難しいものでもないんで。
このPCを信頼するみたいなPCに置いていけば、
今までと全然変わらないんで。
あとブラウザー変えるともう一回やらないといけないとかはありますけど、
一回やればもうそんな個人で端末山ほど持ってたりとか
っていうわけでもないでしょうし。
でもそうでもないのかな。
実はFacebookは割と二要素認証してると、
スマートフォンアプリでトラブルが出るっていうのは
結構今体験してますので。
自分が関わってるソフトもそうだったりするんですけど。
なのでちょっと気をつけながら。
でもやってほしいですね、二要素認証は。
そうですね。
もう本当にセキュリティの話できますね、私たちね。
できますね。
あんまりできないと思ってたら意外と。
始める前の軽い打ち合わせでは
ミヤさん海外旅行行ったならそんな話しましょうよっていうね。
そうですね。
打ち合い出てても5分くらいの
今日どんな感じですかねみたいなあれの時ですよね。
今日はね、僕の中で
別にしゃべるネタは山ほどあるなと思ってたんですけど
遠隔操作の話はいいかなと思いながら
結構まだ盛り上がっているというか
どう落ち着くかわからないんで
まあいいかなと思いながらも
僕としては今回はせっかくアメリカ行ってきはったみたいなので
ディズニー会にしようかなと
とんでもない、そんな暇はありゃしない
ありゃしない
なかったですね、結構いい時間しゃべってますね
1時間はしゃべってますよね
ということで次回はですね
越後湯沢の時に
サッカーでセキュリティを語るというセッションがあったらしいので
次回はですね
ついちゃんがエヴァンゲリオンで
また出たらめちゃ無理
無理ですよそれ
大丈夫、大丈夫
エーティーフィールドガーとか逃げちゃダメだとか言ってみればほら
ロンキュースの槍ガーって言えば
そうそうそうそう
ここに置けるのがエーティーフィールドなんですよみたいなこと言ってけば
そういうとこ聞こえるんで
今出しただけでもう全部出しちゃいましたからね
もうないですよ
完全にセキュリティ系の人と
エヴァファンの人を敵に回しましたよね
ダメですよ本当に
エヴァ大好きですけど初日も見に行きますけど
次回はついちゃんが窓かマギかで
セキュリティを語るのかい
お楽しみに
映画見てないし
56:46

Comments

Scroll