まとめの限定公開に「リンク限定」が追加されました。URLを伝えてまとめを共有しよう!
266
Haruhiko Okumura @h_okumura
「無料のUSB扇風機」など貰っても絶対に自分のPCに差し込まないこと!
米朝会談で記者にUSB接続の扇風機が配布された

このUSB扇風機がbadusbかどうかは不明ですが、警戒したほうが良さそうです。

Haruhiko Okumura @h_okumura
補足説明: すぐ前にリツイートしましたが,米朝会談で記者たちに無料のUSB扇風機が配られました twitter.com/UID_/status/10…
Harald Doornbos @HaraldDoornbos
13/ Handig. In de persmap voor de #KimTrumpSummit zit een mini usb fan. Handig om koel te blijven tijdens het schrijven. Het is hier in Singapore idd vrij heet. 33°C of zo. Maar haalt het niet bij Dubai, koning van de oven. pic.twitter.com/6tQd5d7gCW
 拡大
Rickey Gevers @UID_
All accredited journalists at the #KimTrumpSummit get a free USB fan. Oh man, this is classic! #opsec twitter.com/HaraldDoornbos…
くりひろし@C95日曜東 タ 37b「プロジェクトBM」 @kurihiroshi
@h_okumura 失礼します、直前のリツイートのスレッド読みました。シンガポールで配られてたんですね。うーん。
tokoya @tokoya
米朝会談の記者たちに「USB扇風機」が無料で配られたという話が流れてきたけど、まさかそれ即座にPCに挿して使ったりしてないよね?(笑)。
つまりどういうこと?
小沢 純 @ozawajun
@h_okumura なんだかまだわからん。  イチイチリンク先を理解しろというのは 140文字には足りない 1, L負荷で USBポートが壊れるといいたいのか? 2, データかすめ取る何かが仕込まれていたのを見つけたとか?  3, 暑くない か?
犬@瀬下 大佐(輪廻転生) @SeshimoTaisa
@ozawajun @h_okumura 大抵の場合は2番が目的じゃないですかね?
リンク NTTPCコミュニケーションズ 1 用語解説辞典|【公式】NTTPC
チラ裏 @chiraura_work
@h_okumura 差し込むといったい何が起こるんです?夏場はよく使ってたんですけど…
いろは_なの @iroha_nano145
@chiraura_work badUSBと言われますが意図的にusbを別の物(例えばキーボードなど)と認識させ差し込んだだけで意図しない動作をさせることが出来ます。
チラ裏 @chiraura_work
@iroha_nano145 なるほど。やばいですなソレ。よい情報を教えていただけてよかったです。ありがとうございます。
もりわきやすし @molirinho
@h_okumura @kumikokatase 個人情報も風に飛ばされていきます。
檸檬森 @LEMONMORI
@h_okumura 最高の手口過ぎる…とくにエアコン効いてない日本の職場では。
ダレルタイター @DaTa_jp
これ、企業のキャンペーンのプレゼントでも使われた手法USBからパソコンに侵入してウィルスを送り込んだり、下手するとWiFiアクセスポイントを内蔵して、パソコンと直接繋がなくてもwifi経由でハッキングされるケースもある twitter.com/h_okumura/stat…
kensuke mano @yakumo_x
何かできるかなって想像してみたけど、PCの乗っ取り、データ破壊、盗撮、盗聴、物理的な発火(爆発?)くらいまでは出来そうだなって。日本でも気をつけようね。 twitter.com/h_okumura/stat…
エヌユル @ncaq
BadUSB知らなかった,USBキーボードをUSBメモリに偽装させて任意のキー入力をするのか / “BadUSB体験会 - Qiita” htn.to/KSi1Kk
リンク Qiita 6 users 1 BadUSB体験会 - Qiita こんにちは。去る11月8日に、BadUSB体験会という社内勉強会を開催しましたのでその内容を簡単に紹介します。 ([KLab Advent Calendar 2016](http://qiita.com/advent-calendar...
コンセントへの接続について

いろんな物が売れる時代なので気をつけたい。

Ghostface melOn (鳥類の姿) @FreeFromTheSoul
@h_okumura 「激安のUSB機器」とかも、コンセント経由で給電するのが基本ですよねえ。たまにPCに繋ぐ人を見かけますけど。
残りを読む(6)

コメント

クリスセドン @sedooooooon 2018-06-13 12:49:15
PCとUSB機器の間に挟むセキュリティ機材とかあるんですかね このケーブルを間に繋げばデータは通しませんみたいなやつ
Bauer @WorldLeaf 2018-06-13 12:53:45
直結するとセキュリティーが無効化されるやつ、元ネタBad USBだったのか……
空家の恵比寿様1968 @ebcdic_ascii 2018-06-13 12:53:58
まあシンガポールって蒸し暑いからうまい手ではあるな。配布元が怪し過ぎる以外は。
三楽斎 @nekokagetora 2018-06-13 12:56:12
一部か全部か知りませんが、セキュリティソフトがインストールされていると、USBが安全かそうでないかを判断してくれます。
よず @sp1185 2018-06-13 13:01:06
ISMSの内部監査で指摘されるやつですね(*`・ω・)ゞ
マシン語P @mashingoP 2018-06-13 13:33:19
“人から貰ったUSBポートへ挿す機器”という部分が肝なのに、こういう書き方をすると「USB扇風機が危険!」「ノベルティで貰ったのはUSBメモリだから平気だな!」という解釈をするのが一般人よな。
野良馬 @nobody_oyaji 2018-06-13 13:36:06
そいやなんかの記事で「テーブルタップに盗聴器が仕込まれてた」ってのがあったな。  だから「PCに刺さないからへーき」とは言えない。
titio @titio 2018-06-13 13:36:37
現実がフィクションを追い越してるわー
空家の恵比寿様1968 @ebcdic_ascii 2018-06-13 13:43:49
ebcdic_ascii でも、あらためて考えてみたら、屋外はやたらと湿度も高くて暑い代わりに、屋内(特に会議室など)は凍えるほど冷房が効いてんだよね。もしかしたら記者の方も「扇風機?いらねーよ。そんな物より上に羽織るものくれよ」とか思ったかもしれん。
oshow2001 @oshow2001 2018-06-13 14:05:28
USBコネクタのD+,D-を削るか隠して認識自体を防げるし簡単と思ったら、こいつmini-USBか。
oshow2001 @oshow2001 2018-06-13 14:12:46
デバイスマネージャーを開いておいて、接続後、怪しいデバイスが増えていないか確認して大丈夫そうだけど、まずいかな。
おねむ @onemu1846 2018-06-13 14:49:47
タダより高いものはない
しわ(師走くらげ)@休暇ホスィ @shiwasu_hrpy 2018-06-13 14:52:03
タダほど高いものは無いとは言ったものだ。     リスク高すぎるこわんい。
こねこのゆっきー @vicy 2018-06-13 15:06:10
昔、音楽CDにそういうの入れた日本企業があったよな。
えいすけ @umeeee777 2018-06-13 15:06:37
日本のオフィス街でばら撒いたらすんごいの釣れそうと思っちゃった。
ドラゴンガッツ @dragonchicken19 2018-06-13 15:07:43
GON!の記事で「セキュリティ業者のフリして調査に入って、手に隠し持った盗聴器をあたかも仕掛けてあったかの様に取り出して『こんなの有りましたけど』ってこずかい稼ぎ(詐欺)やってた」ってのがあった。
nekosencho @Neko_Sencho 2018-06-13 15:17:23
風が吹けば情報が盗られる
|´・ω・`)<中央南(ry @kabeutu_t 2018-06-13 15:17:49
なまじ扇風機って機能がついてて「USBを差し込む事」への心理的なハードルが下がる所が巧妙。 前に拾ったUSB覗いたらエロゲ入ってるwwとかあったけど、得体の知れない物拾い食いしてるようなものだって意識を持つべきだな……
FX-702P @fx702p 2018-06-13 15:19:01
「USBに挿したらドローン化して空へ飛び去った」みたいなのを期待したい。
ラクテノス @rakutenos 2018-06-13 15:21:15
こういうのは昔から似たようなものがあるもので、古くは修理業者を装って部屋に入るやいなやどさくさ紛れに盗聴器入り電源タップをコンセントに挿したりする例もあったりした。それが高度化したと考えると自然だろうかね
黒いぐら @kuroigura 2018-06-13 15:40:59
昔貰ったUSBメモリは差し込むと擬似的に光学ドライブにするソフトが立ち上がって焦った。
こねこのゆっきー @vicy 2018-06-13 15:56:59
Neko_Sencho 風が吹けば情報が取られる→情報が取られると独裁政権が調子こく→独裁政権が調子こくと人権が蹂躙される→人権が蹂躙されるとアメリカが介入する→アメリカが介入すると平和団体が独裁者を守る→独裁者が守られると核開発が進む = 風が吹けば世界は滅亡する
いかおとこ @mororeve 2018-06-13 16:14:17
これをそのまま挿しちゃう企業は全般的にセキュリティが甘いから何でもし放題って感じ?
黄色いちくわ @yellow_chikuwa 2018-06-13 16:46:46
一次ソースっぽいツイートがオランダ語で良く分からんので、Google先生に聞いた。「便利。米朝会談のプレスキットにmini USB扇風機あった。書き物中に涼むのに便利。シンガポール超暑い。33度かそこら。オーブンの王様ドバイほどじゃないけどな」 現場からは以上です。
kartis56 @kartis56 2018-06-13 16:49:34
nekokagetora セキュリティソフトが複数入ってて、全部期限切れてアップデートされてないPC見たことあると、わからない人にはどうしようもないなって思う
kartis56 @kartis56 2018-06-13 16:52:43
丸く切り抜いた紙のうちわなんて本当にタダだしなんの危険もない(今のところは) そのうちマイクロチップの盗聴器とか仕込まれるようになるんかな
Ichigo Mayo @15my 2018-06-13 16:57:52
上の「USBに挿したらドローン化して空へ飛び去った」ネタ、これ当然挿したままの状態で飛び去ったんだからPC盗まれたってことだよね?
てりやきたまご @donburi_tamago 2018-06-13 18:09:50
nekokagetora 普通のセキュリティソフトはUSBメモリに記録されている内容しか見ないので、ハードウェアレベルでの検査をしない限りbad USBであることは検出できない...とカスペルスキーのブログに書いてあったよ。https://goo.gl/Fjon8U
monolith@F失 @se_monolith 2018-06-13 18:12:52
この歴史的和平会談で、万が一盗聴行為なんてばれたら大変でしょ。そのリターンがたかが記者の情報って、ちょっと割に合わなくない?扇風機を分解されたら即ばれるし
空家の恵比寿様1968 @ebcdic_ascii 2018-06-13 18:34:24
se_monolith 見かけは物凄く安っぽいけど、実はとんでもない超技術が仕込まれていて、分解したところで素人にはその仕掛けがわからないようになっているのだ、とかだったらちょっとワクワクする。
はやし・しのぶ @Hirarinmac 2018-06-13 18:47:28
fx702p ドローンだけにドロンとな(言ってやった言ってやった)。
森㌧@株&スト実況 @plmjp 2018-06-13 18:48:00
よくわからんもんを、よく刺せるな
neologcutter @neologcut_er 2018-06-13 18:52:46
どこに向かって何のデータを飛ばしているか専門家による解析が待たれるな。自分だったらあの扇風機メルカリに流すけど。
yuki🌾遠征が終わりましたご期待以上でした♪⚔ @yuki_obana 2018-06-13 18:55:31
まぁやるなら物理破壊よりは情報収集用かねぇ(´・ω・`)
イエーガー@コミコン2日目 @Jaeger75 2018-06-13 19:15:32
sedooooooon USBに刺す充電専用ケーブル(”データ通信は出来ません”って書いてる奴)を間に挟めば電源の分の線しか無いから想定外の通信は起きないんじゃ無いですかね? USBの端子が実際にどうなってるか知らないので詳しい人待ですが。
fukken @fukken 2018-06-13 20:35:21
Jaeger75 ところがどっこい、単なる盗聴器という可能性があるんだなぁ、これが。データ的にPCとUSB接続するよりは遥かにマシですが。録音データは電波で飛ばしても良いし、適当な鍵のかかってないwifiを探索してそれに乗っかる方式でもいける。
なすかる @Naskal55 2018-06-13 20:40:23
いまどきUSB給電を屋外利用時にPC経由で行っていること自体が異常だろ。屋外や飛行機内の利用であればモバイルバッテリーで使うのが当たり前。少しでもバッテリー持続時間延ばすために、PC経由での給電はNG行為。そもそもモバイルバッテリーにはデータなんて入ってないんだから、情報が洩れようがない。それ以前にこういうのもらってUSB給電をするような奴は、プレスルームの無料Wi-Fiや有線LAN使って、すでにデータをダダ洩れさせてる。
Chariot @BLACK_RX_24 2018-06-13 21:03:43
mini USB fanって書いてあるけどこれ写真を見る限りmicroUSB Type-Cじゃね?
港区にある会社の代表取締れ役 @as681700 2018-06-13 21:03:48
Jaeger75 そうおもうでしょ。悪意ある人がやるのとね そのUSBは扇風機の為のUSBと偽装して 実はUSB Killerが仕込んでだったりするんですよ。
赤間道岳 @m_akama 2018-06-13 21:04:05
Jaeger75 格安の電源ケーブルノーセキュア 一句できた
たつざわ@アニメ・マンガ評論刊行会 @tatsuzawa 2018-06-13 21:16:22
BadUSB脆弱性について、これを公表したセキュリティ研究者は、公表から2年後に「マルウェアを使って標的型攻撃を仕掛けるよりもはるかに難しい」「あくまでも『理論上は可能』というだけで、実際に悪用された事例はまだ耳にしていない」と現実的な脅威ではないとしている。 http://ascii.jp/elem/000/001/260/1260611/
たつざわ@アニメ・マンガ評論刊行会 @tatsuzawa 2018-06-13 21:16:31
むしろ、この脅威を公表したことによって、もっと成功率の高い脅威(ソーシャルエンジニアリングやマルウェア)への対策に費やされるべき時間を奪ってしまった、と恥じている。
たつざわ@アニメ・マンガ評論刊行会 @tatsuzawa 2018-06-13 21:16:41
奥村晴彦さんはコンピュータに安全神話を抱いているのか、成功率の高い脅威には引っかからないという自信がそれら以外を過大評価する認知のゆがみを引き起こしているのか知らないが、
たつざわ@アニメ・マンガ評論刊行会 @tatsuzawa 2018-06-13 21:16:49
なんらかの信念によりBadUSB脆弱性を過大評価して「(配られたUSB扇風機を)絶対に自分のPCに差し込まないこと!」と大げさかつ画一的な、デマといっていいほどの主張を流しており、それをまとめるのも含め本当にやめてほしい。
三途線鉄道 @sanzu_line 2018-06-13 21:18:46
バラして何かミテクレ面白そうな部品があったら、レジンに沈めて飾りにするのが一番楽しい使い方なのかしら。
フローライト㌠ @FluoRiteTW 2018-06-13 21:20:28
バカはしゃしゃり出んな。小沢 純、テメーのことだよ
inu @inu1122 2018-06-13 21:31:06
「なぜ?」って書いてる人が多くて怖い。
かにかま @kanikama_surimi 2018-06-13 21:37:11
よそ様からの持込フロッピーをさすPCは普段の業務とは別のそれ専用のもので一度チェックしなさいねって時代はもうはるか遠くなのか…。
ふひひっ☆ @satoda3104s2 2018-06-13 23:12:15
コンセントのタップに盗聴器が仕掛けられるのが当たり前な時代だからなぁ・・・USBにあってもおかしくない。
うてん。 @uten00 2018-06-13 23:47:24
20年以上前から電源タップに偽装した盗聴器だのあったわけだからフリーwi-fiが飛び交って小型化もされてGPSなども利用できる現在はUSBに限らず他人のどんな機器も安心して使えないなあ
うてん。 @uten00 2018-06-14 00:04:12
たつざわ氏が『BadUSB脆弱性を過大評価して「(配られたUSB扇風機を)絶対に自分のPCに差し込まないこと!」と大げさかつ画一的な、デマといっていいほどの主張』って言うからどれほどセキュリティの知識あるのかと思ったら素人やん。既知のBadUSB問題だけでなく将来的にも悪用がしやすいUSB接続のリスクを広めることは正しい。デマっていっていいほどの主張はどっちかと。
Épouvante @epouvante 2018-06-14 01:05:30
ダイソーのUSBライトですらスイッチをオフにするとUSBの5Vラインをショートさせたりするのがあるので、新しいのは電池ボックスにつなげて様子を見る。
mikunitmr @mikunitmr 2018-06-14 02:15:02
怪しげなものはまず分解調査、ドライバーの携行は必須!
RAY@わんこ先生 @rayion89 2018-06-14 02:21:45
知らん人がくれた知らんメーカーの缶飲料飲んでみたとか知らん人が(中略)シリンジに入った薬物注射してみた みたいな
ななし @nanasi300 2018-06-14 04:11:56
バラした写真がないのは別に何も仕掛けられてなかったからか。つまんね。
りりぃ @katanasani 2018-06-14 06:15:45
USBバラしたところで目に見えて怪しいものがでてくるわけでもあるまいて
たつざわ@アニメ・マンガ評論刊行会 @tatsuzawa 2018-06-14 07:44:56
uten00 奥村さんは脅威の根拠をあくまでBadUSBだとしています。うてん。さんの「将来的にも悪用がしやすい」がなんなのか分かりません。しかし、仮にBadUSB以外の脅威があり、奥村さんの主張の一部(リスクがある)が正しかったとしても、主張全体が正しくなるわけではありません。
あらP★ @arapix 2018-06-14 09:06:05
一般人の認知度は低いので適切なセキュリティ警告だと思います。警戒心は必要。
アルビレオ@炙りカルビ @albireo_B 2018-06-14 09:36:28
nobody_oyaji テーブルタップもUSBも「ごく自然に電源供給を受けられる」というのが大きいので、「PCに刺さなくてもへーきとは言えない」ってのは不可能ではないけどけっこう難しいですよ
Briareos@残弾数はいつも────── @briareos 2018-06-14 09:46:35
いやまぁ「つないでスイッチオンしたら、即ショート」っていうUSBライトが日本で売られてたこともあるし、警戒しておくに越したことはないですね→https://youtu.be/vz1tZWCnhZo
紺碧 @Konpekin 2018-06-14 09:57:48
前に‪街中のゲーセンやガチャポン、テキ屋の当たり景品で出てくる、中国製の音楽プレイヤー(iPod nanoのコピー製品みたいなやつ)が試しにPC繋げた途端ウイルスダウンロードの動作しだして慌てて切った、って話もありましたので、「USBノベルティ全部危ない」はあながち間違いでもなさそうで怖い
菅原 政雄 @gedotato 2018-06-14 12:49:09
電源関連の過負荷の問題かと思ったら、何か仕込んであったのか。
うてん。 @uten00 2018-06-14 12:55:56
まとめに載ってませんが奥村氏は https://twitter.com/h_okumura/status/1006744742003015681 BadUSB以外にも言及はされてます。 USBという規格が様々に使えるインターフェースなので見つかっていない方法も含めて様々な悪用が想定されます。だから不用意に知らない人からもらったUSB機器を付けるなと言われてます。
ケンケン @KiloEchoNov 2018-06-14 13:01:55
一瞬、モバイルバッテリに繋げば大丈夫。と思ったけど、給電することにより悪さを働くデバイスだったらそれだけで明日となんですね。怖いわ。
山吹色のかすてーら @sir_manmos 2018-06-14 15:08:12
モバイルバッテリーにつないだことはある。
🦇🎩🔯谷木ハロウィンは墓にいる🔯🍭🕷️ @maximumpp180650 2018-06-14 16:17:02
「USB」は「U うかつに S 挿すと B 爆発する」の略だと思ってる。
うてん。 @uten00 2018-06-14 16:42:08
とはいえUSB機器全てがダメじゃないし現代でUSB使うななんて不可能なので「素性のわからぬUSB機器を付けるな」っていうすごく当たり前の話です。海外でもUSBメモリを学内にまいて実験されてた人もいますね。 http://ascii.jp/elem/000/001/213/1213231/
ちいさいおおかみ〜クリアカード編〜 @siu_long 2018-06-14 17:00:03
ガイアメモリかブレイクデカールか?各れにしろ、脱法製品を利用するのは自滅のもとです。
endersgame @endersgame3 2018-06-14 17:11:22
tatsuzawa 人々のセキュリティ意識を下げることでメリットが有る人の話
Nicholai MARO @MAROCKs 2018-06-14 17:57:31
USBポートからPCを破壊するハックツール「USB Kill 2.0」 - PC Watch https://pc.watch.impress.co.jp/docs/news/yajiuma/1019876.htm
Nicholai MARO @MAROCKs 2018-06-14 17:58:03
USB端子に挿すだけで機器を破壊する「USB Killer」にさらに強力な新種が登場 https://gigazine.net/news/20170317-usb-killer-v3/
Nicholai MARO @MAROCKs 2018-06-14 17:58:24
PCを一瞬で破壊する「USBキラー」!新品のiPhone 7 Plusに挿すとどうなる? http://www.appps.jp/243834/#QuvznWS.twitter_responsive
たつざわ@アニメ・マンガ評論刊行会 @tatsuzawa 2018-06-14 19:19:08
uten00 好意的に拡大解釈してもしょうもありません。「あれも危ない。これも危ない」と言うことはいくらでもできます。問題は「どのように、どれくらい危ないか」です。BadUSB脆弱性の公表者であるカルステン・ノール氏は、先の記事でセンセーショナルにリスクを喧伝することを有害視しています。それはリスクとベネフィットを勘案しない、極端なセキュリティー対策へ人を走らせてしまうからです。これは「USB機器」を「放射線」あるいは「原発」に置き換えてみれば容易に理解できるのではないでしょうか。
たつざわ@アニメ・マンガ評論刊行会 @tatsuzawa 2018-06-14 19:19:34
uten00 そのUSBメモリ配布実験にしても、USBメモリ内のマルウェアを手動で実行しているものです。これはメールの添付ファイルでも起こることで、BadUSBとは切り分けて考えるべきです。
ななし @nanasi300 2018-06-14 20:01:34
katanasani バラシて見りゃ解んだろ。通常のUSBファンなんてモーターしか入ってないぞ。
せんたく @senn_taku 2018-06-14 22:34:29
もしかしたらマジで危ないから注意してるのかも知らんが、圧倒的に文章力と情報量が足りなさ過ぎて、そっちのがヤバイ。しかも確固たる証拠がまとめられてないから信じていいのかもわからん。
せんたく @senn_taku 2018-06-14 22:44:08
vmwareとか触ってたら、usbまわりがガバガバなのは確かに理解できるが
なにぬねののこ @game_achi 2018-06-14 23:12:32
ダイソーのLightningケーブルとか怖くて使えなくなっちゃう
都幾川 沙月 @SatsukiFox 2018-06-14 23:22:50
tatsuzawa そもそもリスクやベネフィットを評価するのは各企業の経営者やシステム担当者ですし、「どれくらい危ないか」は「扱う情報の機密性や量」も含めて判断されるべきで、そのように「リスクを喧伝することが有害」などという単純な問題ではありません。放射線は医学的に「どれくらいが人体に有害か」が定量化されているのでリスク評価は固定しやすいですし、「原発」はリスク評価が社会的に定まっていない部分もあるので、それこそ同一視すること自体が間違いです。
たつざわ@アニメ・マンガ評論刊行会 @tatsuzawa 2018-06-14 23:35:07
SatsukiFox 単純な問題ではないのにセンセーショナルにリスクを喧伝することが有害ではないというのは理解不能です。リスクとベネフィットを勘案する必要があるという意味で、私は「放射線」や「原発」を例に出しましたが、それを否定されるということは、リスクとベネフィットを勘案する必要はないということですか。
都幾川 沙月 @SatsukiFox 2018-06-14 23:38:24
tatsuzawa USBメモリ内のマルウェアを自動で実行することもBadUSBと呼ばれる一連の技術で可能なんですけど。Windowsキー+Rキー、マルウェアのファイル名、Enter、を順番に自動でタイプするような「USBキーボード」として振る舞えばいいだけですし、その程度の実証コードなら1日か2日あれば作れるレベルの話です。
たつざわ@アニメ・マンガ評論刊行会 @tatsuzawa 2018-06-14 23:40:43
SatsukiFox それでその脅威はいかほどのものか、専門家による根拠はあるのですか。
都幾川 沙月 @SatsukiFox 2018-06-14 23:41:31
tatsuzawa 「リスクの評価が一般化できる」放射線と一緒にしてる時点で話が破綻してます。「どれだけ被曝したら人体に有害か、それをベースにどれだけの放射能物質は許容できるか」は医学的・放射線化学的に定量化されていますよ?
都幾川 沙月 @SatsukiFox 2018-06-14 23:44:42
tatsuzawa 情報処理安全確保支援士の資格を持ってる程度の専門家ですが、最近で言えばコインチェック等のようなソーシャルエンジニアリングと組み合わせた手法に用いられれば、場所によっては相当な被害が出る話だとは思いますよ。
たつざわ@アニメ・マンガ評論刊行会 @tatsuzawa 2018-06-14 23:45:14
SatsukiFox まったく同じものは存在しないわけで、例示したものに何らかの違いがあるのは当たり前です。その違いが、「リスクとベネフィットを勘案する必要がある」という私の主張にどういう影響を及ぼすのですか。
たつざわ@アニメ・マンガ評論刊行会 @tatsuzawa 2018-06-14 23:47:11
SatsukiFox 「特定の条件で被害が出る可能性がある」と「『無料のUSB扇風機』など貰っても絶対に自分のPCに差し込まないこと!」にはずいぶんと開きがあります。
都幾川 沙月 @SatsukiFox 2018-06-14 23:54:20
tatsuzawa その「特定の条件を満たすか」の判断ができない人の方が世の中には大多数なので、判断できないなら安全な方に倒すべき(素性もわからないUSB機器なんざ使うべきではない)というだけの話です。リスクを理解し、発生した被害の責任をきちんと負えるなら、注意喚起なんか無視して自己判断で使えば良いでしょう。
たつざわ@アニメ・マンガ評論刊行会 @tatsuzawa 2018-06-15 00:04:52
SatsukiFox ちょっと考えただけで、この米朝会談の例でも、資料がUSBメモリで配られたらどうするのでしょうか。一刻を争う報道で、「安全な方に倒すべき」とは言えない事態が容易に想像できます。「発生した被害の責任をきちんと負えるなら」とおっしゃいますが、では機会損失の責任は誰か他人が取ってくれるのでしょうか。
たつざわ@アニメ・マンガ評論刊行会 @tatsuzawa 2018-06-15 00:12:20
「無差別攻撃に用心して周りの様子を見る」とか「標的型攻撃に用心して誰かが自分を標的に仕込める状況かどうか配布の形態に注意する」とか、そういう論点が出てこないのが不思議で仕方ない。
都幾川 沙月 @SatsukiFox 2018-06-15 00:12:21
tatsuzawa なんで扇風機の話と、資料をUSBメモリで配る話を混同してるんですかね? 報道機関や政府機関であればUSBメモリを含む機器の運用ルールは、しかるべき責任者によって(危険性と機会損失を鑑みた上で)定められてる筈なので、それに則った運用をするだけの話だと思いますが。
たつざわ@アニメ・マンガ評論刊行会 @tatsuzawa 2018-06-15 00:14:25
SatsukiFox 「素性もわからないUSB機器なんざ使うべきではない」と扇風機に限らない話をされたからですが。また、フリーのジャーナリストもいることでしょう。
都幾川 沙月 @SatsukiFox 2018-06-15 00:18:38
tatsuzawa だいたい、資料として然るべき相手から配られたUSB機器と、出自も定かでないノベルティ的なUSB機器なんてリスクに雲泥の差があるのですが、何故それを一緒くたにしてるんでしょうか。この纏めの本旨は「出自が定かでないUSB機器」の話なので、その区別がつかないならもう少し勉強してきてください。
都幾川 沙月 @SatsukiFox 2018-06-15 00:21:47
報道機関が集まる場所で、資料として配られる、素性不明のUSB機器……。その人たちは一体、何を取材しようとして、誰から資料を受け取るのでしょう……。
たつざわ@アニメ・マンガ評論刊行会 @tatsuzawa 2018-06-15 00:26:41
SatsukiFox USBメモリとUSB扇風機で「然るべき相手から配られ」るという配布相手の決まりはありません。また、USBメモリは名の通ったメーカーが多いのに対して、USB扇風機は無名メーカーが多いという意味で「出自も定かでないノベルティ的なUSB機器」とされているのだと思いますが、BadUSBはUSB機器のファームウェアを書き換えられることが特徴で、書き換え前と見た目に違いがありません。「リスクに雲泥の差がある」とはいったいどういうことでしょうか。
都幾川 沙月 @SatsukiFox 2018-06-15 00:29:24
というか、PCの破損や情報漏洩、踏み台にされて犯罪の片棒を担がされる、等のリスクを負ってまで、使うメリットがあるようなUSB機器のノベルティなんかあるんでしょうかねぇ?マルウェア入りの機器なんざいくらでも報告例があるご時世に、そんなものほとんどないから「使うな」に一般化されるわけですが。
たつざわ@アニメ・マンガ評論刊行会 @tatsuzawa 2018-06-15 00:33:04
SatsukiFox 公表から2年たっても攻撃事例が確認されず、セキュリティーの専門家が「『理論上は可能』というだけ」と言うリスクを負うのはそんなにありえないのでしょうか。
都幾川 沙月 @SatsukiFox 2018-06-15 00:33:41
tatsuzawa 根本的に話が繋がってないのですが、何故「資料として配られるUSB機器」と「ノベルティのUSB機器」の話を無理矢理混ぜるのでしょうか。本題に関係ない仮定を重ねた上に、それを本題と同一視した主張をされても答えようがありません。
たつざわ@アニメ・マンガ評論刊行会 @tatsuzawa 2018-06-15 00:36:25
SatsukiFox ではまず確認します。「リスクに雲泥の差」はUSB扇風機とUSBメモリどちらが高いのですか。
都幾川 沙月 @SatsukiFox 2018-06-15 00:37:26
tatsuzawa 公表されたから対策され、それによって攻撃を防げた可能性を考慮しましたか?「出自不明のUSB機器は使わせない」という対策を講じた時点で、BadUSBを利用した攻撃が行われても観測できなくなります。そもそも「2年間なかったから今後もない」という発想が安直なのですが。
都幾川 沙月 @SatsukiFox 2018-06-15 00:39:27
tatsuzawa 何故、そこで配布元の違いを無視するのでしょうかね?信頼できる配布元からなら扇風機だろうとUSBメモリだろうと危険性は低いですし、出自不明ならどちらも等しく危険です。
たつざわ@アニメ・マンガ評論刊行会 @tatsuzawa 2018-06-15 00:41:54
SatsukiFox セキュリティーの専門家であるカルステン・ノール氏は、「(この脆弱性を公表した)結果、不安にかられた何百社もの企業から対策の問い合わせが相次いだ。しかし、この脆弱性を実際の攻撃につなげることは、マルウェアを使って標的型攻撃を仕掛けるよりもはるかに難しい」と言っています。これは単に攻撃がとても難しいと読むのが自然です。 http://ascii.jp/elem/000/001/260/1260611/
都幾川 沙月 @SatsukiFox 2018-06-15 00:41:55
tatsuzawa そのリスクに比べて得られるモノのメリットが圧倒的に低いか、あるいはリスクとメリットの比較が困難なので、安全な方に倒すべきだからです。
都幾川 沙月 @SatsukiFox 2018-06-15 00:45:20
tatsuzawa 攻撃が難しいことと不可能であることはイコールではありませんし、USB機器などに使われるチップ等は年々小型化・高性能化しているので、攻撃を仕込むことはだんだん容易になるのですが。というか、記事の言葉の都合の良いところだけを切り貼りして主張されても。
都幾川 沙月 @SatsukiFox 2018-06-15 00:48:23
古い(しかもたかだか1つの)記事の一部をツギハギしたのしか根拠にできない自説に、セキュリティー専門家でもない人が何故こうも拘るのか……。
たつざわ@アニメ・マンガ評論刊行会 @tatsuzawa 2018-06-15 00:48:57
SatsukiFox 私は「USBメモリとUSB扇風機で『然るべき相手から配られ』るという配布相手の決まりはありません」とすでに述べています。
たつざわ@アニメ・マンガ評論刊行会 @tatsuzawa 2018-06-15 00:50:36
SatsukiFox 「年々小型化・高性能化しているので、攻撃を仕込むことはだんだん容易になるのですが」に根拠がありません(むしろファーム書き換えが対策されてもおかしくないのでは)。記事に書かれている事実を使っただけで切り貼りしていません。
たつざわ@アニメ・マンガ評論刊行会 @tatsuzawa 2018-06-15 00:58:49
SatsukiFox それで、あの記事の本旨は、「リスクとベネフィットを勘案する必要があり、センセーショナルにリスクを喧伝することは有害だ」というもので私はこれを支持して、奥村さんの本まとめのツイートは有害だと考えています。
たつざわ@アニメ・マンガ評論刊行会 @tatsuzawa 2018-06-15 00:59:08
SatsukiFox それに対して、「リスクに対してベネフィットが小さい」と言ったところで反論になっていませんし、「リスクとメリットの比較が困難」には根拠がありません。少なくとも困難に立ち向かうべきです。
u1ρ @u1p 2018-06-15 01:31:37
mikunitmr 今時は職質で良くて没収、悪けりゃ逮捕の御時世、注意。
u1ρ @u1p 2018-06-15 01:48:45
こんなまとめのコメントで他人に自説披露&コメント応酬する暇があれば、本人に「お前有害」って直接mentionすりゃ良いのに。
ちいさいおおかみ〜クリアカード編〜 @siu_long 2018-06-15 03:21:14
否ぁ、実際、何も知らない人達は無頓着にLINEやNAVERまとめを利用してる位だし、この位の警告は必要だと思う。尚、件の攻撃ツールは全部、とある中東の基督教徒が作ってる。
ちいさいおおかみ〜クリアカード編〜 @siu_long 2018-06-15 03:42:13
nanasi300 でも、"何もしてない"が故に"危ない"回路もあるんですよ。それは端的に"回路の安全を確保してない"唯それだけで"危険な回路"は出来るものなのです。知らずにスイッチを入れれば即短絡事故なんて回路も出来るものなんです。実際問題の動画見て判ったのですが、DAISOのUSBライトの事故はそう云う奴でした(安全用の抵抗が入ってなかった)…。
アルビレオ@炙りカルビ @albireo_B 2018-06-15 09:49:08
SatsukiFox 古い話な上に直接目にしたわけじゃないですけど、「UBSメモリを刺すだけで自動起動するのでインストール不要のお手軽ソフト」にはこの方法で起動するものがあるらしいです。聞いたときは「わざわざ自動起動を無効にしてるのに迷惑だな」と思いました
ななし @nanasi300 2018-06-15 19:37:59
siu_long せやな。書いた後、抵抗がーって突っ込みが入りそうだって事は気付いてた。ただ、「無料のUSB扇風機」など貰っても絶対に自分のPCに差し込まないこと!言うてるこのおっさんが懸念してるのはそういう状況じゃないと思うんだ。
たつざわ@アニメ・マンガ評論刊行会 @tatsuzawa 2018-06-15 19:59:42
albireo_B USBデバイスにはデバイス・クラスというものがあり https://www.wdic.org/w/WDIC/%E3%83%87%E3%83%90%E3%82%A4%E3%82%B9%E3%82%AF%E3%83%A9%E3%82%B9 、これは一つしか持てません。そのためBadUSBの手法によってUSBメモリのファームウェアを書き換えてUSBキーボードとして動作させたとき、USBメモリとしては動作しません。もともとハブが組み込まれた特殊なUSBメモリなら別ですが。
都幾川 沙月 @SatsukiFox 2018-06-15 21:54:59
tatsuzawa 別にUSBメモリをベースに使う必要はなくて、PIC18F2450あたりにHUB(っぽい動作をする)プログラムを焼いてしまえば、HIDとして動作しつつMass-Storageも繋がってるように見せる、ぐらいは簡単なんですが(別途RAMを用意する必要はあるにせよ) というか、単機能に特化してるUSBのフラッシュメモリを無理に改造して使うより余程そちらのほうが簡単です。その程度の知識もなしに中途半端に技術の話題持ち出しても恥をかくだけですよ?
たつざわ@アニメ・マンガ評論刊行会 @tatsuzawa 2018-06-15 21:59:15
SatsukiFox 私は「USBメモリ」を刺すだけに対して言っているのであって、「別にUSBメモリをベースに使う必要はなくて」と言われても困ります。「恥をかくだけですよ?」はこちらのセリフです。
アルビレオ@炙りカルビ @albireo_B 2018-06-15 22:01:27
tatsuzawa まあ伝聞なので詳しいことはわからないです。「キーボードデバイスとして何かのコマンドを実行するだけでストレージとしての機能は持っていない」って可能性もありますが、それではできることがあまりないですしね
都幾川 沙月 @SatsukiFox 2018-06-15 22:09:32
tatsuzawa 「刺すだけでHID等の機能を使用して動作するUSBメモリ」の話なので、物理的な実装はどうあれ前述のような動作をするデバイスであることは確かなわけでして。そういう実例に対して「USBメモリは~」と言ったところで何の意味もないです。USB規格におけるMass-Storageについて言うなら兎も角、それに準拠してない(けれどもUSBメモリとして売られている)モノの話題で、中途半端に規格論だけ持ち出したところで話なんか通じるわけないじゃないですか。
都幾川 沙月 @SatsukiFox 2018-06-15 22:14:31
tatsuzawa まあ「HID等の機能も含めたものをUSBメモリと表記して販売するのがけしからん」というなら、それはそれで一理ありますがね。とはいえ市販商品なら兎も角、ノベルティやら何やらも含めた上、ソーシャルエンジニアリング的な要素まで加味して「USBデバイスが攻撃に使われる可能性」という本まとめの主題に関して言えば、「攻撃側が、USBメモリにはUSBメモリとしての機能しか持たせずに攻撃を試みる」なんていうフェアプレーを期待しても仕方が無いので、全く別の話題かと。
たつざわ@アニメ・マンガ評論刊行会 @tatsuzawa 2018-06-15 22:16:57
SatsukiFox 私は、アルビレオ@炙りカルビさんの話に対してコメントしたまでです。あなたが「全く別の話題」を持ち出しているのです。
都幾川 沙月 @SatsukiFox 2018-06-15 22:25:45
まとめのコメント欄で「まとめの話題とは全く関係ないコメントしたところに、勝手に別の話題(まとめの本題)に絡めてくるな」みたいに言われたら、もはやコミュニケーションとか無理ですよねぇ、と感じた今日この頃。
たつざわ@アニメ・マンガ評論刊行会 @tatsuzawa 2018-06-16 05:09:08
SatsukiFox 私はアルビレオ@炙りカルビさんの 「USBメモリを刺すだけで自動起動するのでインストール不要のお手軽ソフト」に対して「それは通常のUSBメモリでは不可能(特殊なUSBメモリなら別)」と指摘したのです。
たつざわ@アニメ・マンガ評論刊行会 @tatsuzawa 2018-06-16 05:09:28
SatsukiFox それに対して「特殊なUSBメモリなら可能だ。攻撃側は何をやってくるか分からない」と言われても「話が別」としか言いようがありません。
たつざわ@アニメ・マンガ評論刊行会 @tatsuzawa 2018-06-16 05:09:51
tatsuzawa 直近で都幾川さんは「あらゆる手口の攻撃を考慮すべき」という主張をしています。しかしこれも私が再三引用しているBadUSB公表者のノール氏が批判していること(センセーショナルにリスクを喧伝することは有害)の範疇を出ません。これは企業向けのていですが個人に置き換えられる話です。
たつざわ@アニメ・マンガ評論刊行会 @tatsuzawa 2018-06-16 05:10:25
SatsukiFox 「本来であれば、セキュリティ業界は、ハッカーのインセンティブにつながる企業リスクをふまえた対策を提示すべき。しかし、つい脆弱性ばかりを追ってしまい、(理論上起こりうる)最悪の事態を強調する形で発表する。その結果、ユーザーへの攻撃や影響、訴訟を回避したい企業は極端な対策へと流れてしまう」 http://ascii.jp/elem/000/001/260/1260611/index-2.html
たつざわ@アニメ・マンガ評論刊行会 @tatsuzawa 2018-06-16 05:10:50
SatsukiFox 私がノール氏を引いて主張する「BadUSBは現実的な脅威ではない」「リスクとベネフィットを勘案する必要があり、センセーショナルにリスクを喧伝することは有害だ」に対して、都幾川さんはひたすらいちゃもんを付けているだけに見えます。
たつざわ@アニメ・マンガ評論刊行会 @tatsuzawa 2018-06-16 05:11:40
SatsukiFox 都幾川さんのコメント「リスクを理解し、発生した被害の責任をきちんと負えるなら、注意喚起なんか無視して自己判断で使えば良いでしょう」に私は「では機会損失の責任は誰か他人が取ってくれるのでしょうか」と聞きました。
たつざわ@アニメ・マンガ評論刊行会 @tatsuzawa 2018-06-16 05:12:37
SatsukiFox 都幾川さんは「安全側に倒す」という主義をお持ちで、そのためにはセンセーショナルにリスクを喧伝して、受け手にリスクを過大評価させることも辞さないようです。その点機会損失はクリティカルな論点でしたが、その後お答えいただいておりません。
たつざわ@アニメ・マンガ評論刊行会 @tatsuzawa 2018-06-16 05:13:09
SatsukiFox 直接答えず「リスクとベネフィットの比較は困難」と論点をずらそうとはされています。しかし比較は困難と決めつけて、受け手にリスクを過大評価させるのは(リスク)コミュニケーションの放棄です。
たつざわ@アニメ・マンガ評論刊行会 @tatsuzawa 2018-06-16 05:20:40
SatsukiFox ノール氏の主張を一言にまとめれば「正しく恐れよう」です。そのためには冷静で詳細なリスク情報を広めるべきでしょう。
たいらあおば @g1830550 2018-06-16 09:59:37
携帯の充電器繋いでもアウトなのに(´・ω・`)
はりあ~@ワルキュリア @TNaka2011 2018-06-16 12:11:28
「知らない人から食べ物貰ってもほいほい口にはするな」ってのと同じ話なのに何でここまで揉めてんのかわからん。
都幾川 沙月 @SatsukiFox 2018-06-16 21:17:42
「変なUSB機器を刺したことによって発生するリスク」って、刺す対象の機器のコストや、ネットワーク接続等の使われ方、保存されているデータの量と価値によって大きく変動するので、おおよそ一般化できるモノではないし、それをセキュリティやリスクマネージメントの経験がない一般人に「正しく自分で見積もって理解しろ」なんて無理も甚だしいんですよ。現に上で頓珍漢な理屈を振り回してる人みたいなことになるわけでして。(続きます)
都幾川 沙月 @SatsukiFox 2018-06-16 21:20:03
(承前)なので「自分がその機器をリスクに晒しても問題がない」と*根拠もしっかりある状態で*言える人が、それでも尚、出自不明だったりメーカーが怪しげだったりするUSB機器を刺すメリットが、そのリスクより大きいというなら刺せばいいんじゃないでしょうかねぇ。でも現実的にはそんな状況は殆ど想定されないので、そこも含めて一般人相手には「変なモノは刺すな」の一言で片付けてるわけですし、それすら理解できない人がセキュリティを語るとか笑い話にもなりゃしません、という。
都幾川 沙月 @SatsukiFox 2018-06-16 21:23:25
ちなみに上で馬鹿の1つ覚えよろしくセキュリティ専門家の言葉を繰り返してる人が居ますが、その話題はセキュリティ関連のカンファレンスで行われたものでして。それこそ「管理している機器や情報の価値(≒それが破損・漏洩するリスク)を理解している人が、BadUSBをどう評価するか」という問題に関して、セキュリティ専門家が「リスク評価を高く伝えすぎたかも」という話です。つまり「リスク評価?どうやるの?」という一般人向けの話題ではないので、この纏めで振りかざすのは二重三重に的外れですよ、と。
都幾川 沙月 @SatsukiFox 2018-06-16 21:31:29
まあ私自身、セキュリティの専門家というよりは、しがないコンサル的なこともしてる社労士でして。それでもIT系の企業の面倒を見る関係で、情報処理安全確保支援士(旧・情報セキュリティスペシャリスト)やCCIE Securityは取得してる程度には勉強してますし、そう的外れなこと言ってるつもりはないんですが。上でやたら騒いでる人は一体どういう理論や体系で学ぶと、ここまでよくわからない主張ができるのか、ちょっと知りたいところではあったり。いや、単にわかってないだけなのだろうとは思いますが。
Chariot @BLACK_RX_24 2018-06-16 23:37:31
もうウダウダ言う御人は一々USB機器バラして中身見てそれこそ「正しく恐れ」てればいいんじゃないですかね
あすなろわさび @Asunarowasabi 2018-06-16 23:59:04
一方そのころ日本企業では自前の問題ないUSBも挿せないのであった
初瀬 神楽 @Kagura_d34272 2018-06-17 16:48:06
Asunarowasabi それ、機器は問題なくても、使い方に問題あるスカポンタンへの対策やないの?(仕事のデータを勝手に持って帰った挙げ句に紛失・漏洩やらかすとか、システム管理者がサポートできないハード繋いで相性問題を引き起こすとか)
たつざわ@アニメ・マンガ評論刊行会 @tatsuzawa 2018-06-17 17:39:05
都幾川さんの差してはいけないUSB機器の定義「出自不明だったりメーカーが怪しげだったりするUSB機器」を厳密に言えばおそらく「『新品未開封で入手した模造品ではない信頼できるメーカーの物』以外」ということになります(私をバカにするならこれくらい言ってほしいものです)。
たつざわ@アニメ・マンガ評論刊行会 @tatsuzawa 2018-06-17 17:39:09
しかし、これを守るのは現実的ではありません。私は素人ではありますが、BadUSBが現実的な脅威ではないことを踏まえれば、次の策がリスクとベネフィットを勘案したとき、一般的に妥当な落としどころに思えます。
たつざわ@アニメ・マンガ評論刊行会 @tatsuzawa 2018-06-17 17:40:35
「USBメモリのようなそれなりのメーカー名がある物はそれなりメーカー名である場合だけ差し(データの取扱には十分注意する)、USB扇風機などろくなメーカー名がないような物は、回路が不良である可能性も考え、壊れても惜しくないUSB充電器など何らかのUSB電源に差す」(これでも安全を見すぎかもしれませんが)
たつざわ@アニメ・マンガ評論刊行会 @tatsuzawa 2018-06-17 17:40:40
極端な対策は、ベネフィットを損ないますし、無視されかねないというのはノール氏の発言を引かなくてもごく一般的に言えることです。私の提案した策が妥当かどうかは分かりませんが、少なくとも極端な策よりは妥当であるはずです。
たつざわ@アニメ・マンガ評論刊行会 @tatsuzawa 2018-06-17 17:40:45
都幾川さんの「出自不明だったりメーカーが怪しげだったりするUSB機器を刺すメリットが、そのリスクより大きいというなら刺せばいいんじゃないでしょうかねぇ。でも現実的にはそんな状況は殆ど想定されないので」で分からないのは、他人から受け取ったUSBメモリの扱いです。
たつざわ@アニメ・マンガ評論刊行会 @tatsuzawa 2018-06-17 17:40:52
BadUSBは既存のUSB機器のファームウェアを書き換えられるという点がポイントです。BadUSBのリスクを常に回避すべきだという立場をとれば、他人から受け取ったUSBメモリを差し込めません。
たつざわ@アニメ・マンガ評論刊行会 @tatsuzawa 2018-06-17 17:40:56
「他人」でも「信頼できる他人」と「信頼できない他人」を分けるという考え方もできるかもしれません。しかし、他人自身に悪意がなくても、PCがマルウェアに感染しているかもしれません。
たつざわ@アニメ・マンガ評論刊行会 @tatsuzawa 2018-06-17 17:41:41
攻撃事例が確認されていないBadUSBのリスクを常に回避すべきだという立場をとったとき、このありふれたマルウェア感染の可能性は必然的に考慮する必要があります。けれども、他人から受け取ったUSBメモリを差し込めないのは、一般的には困ることが多いのではないでしょうか。
たつざわ@アニメ・マンガ評論刊行会 @tatsuzawa 2018-06-17 17:41:53
その点で「出自不明だったりメーカーが怪しげだったりするUSB機器を刺すメリットが、そのリスクより大きいというなら刺せばいいんじゃないでしょうかねぇ。でも現実的にはそんな状況は殆ど想定されないので」がいったいどのような状況を想定しているのか分かりません。
ビッター @domtrop0083 2018-06-17 17:47:21
電源しか通さないようにするコネクタ使ってる。
都幾川 沙月 @SatsukiFox 2018-06-17 17:59:41
あー。やっとわかりました、どこぞの誰かさんは「リスク=発生する確率×それによって受ける被害」という、セキュリティを学んだ人なら基礎中の基礎である定義すら理解してなくて、「発生する確率」だけを見てリスクを低い、と騒いでるんですね。そういうオレオレ定義なら勝手に自分でやっててください、とは思いますが、それは間違ってるので世間一般を混乱させるような使い方はしないでほしくないですねぇ、と。(続きます)
都幾川 沙月 @SatsukiFox 2018-06-17 18:04:25
(承前)で、相変わらず、前述の「リスク=発生する確率×それによって発生する被害」のうち、「発生する確率を高く伝えてたかも」という講演を根拠に、後者の「発生する被害」までも甘く見積もるという愚行をおかしてるわけです。そも、攻撃事例がないことをやたら強調してますが、それは単に、それこそ「発生する確率を高く見積もったことによるセキュリティ強化」の結果でもあるわけですし、「事例がないから防御しない」を是としてたら、どんな手口に対しても最初の1回は誰かが被害を受けないといけなくなります。
都幾川 沙月 @SatsukiFox 2018-06-17 18:07:11
まあご自身が管理するシステムをガバガバ運用して勝手に被害を出すのは自由なんですが、世間一般の人にまで「それが普通」みたいなことを広めるのは害悪でしかないわけでして。「自分の扱ってるパソコンが、どれくらいの被害を起こしうるか見積もるのが難しい」という世間一般の人に対しては、「じゃあ一般的に想定できる最悪の事態を考えておけば安全だよね」となりますし、そういう注意喚起に対して何でそうムキになるのかはわかりませんが。
たつざわ@アニメ・マンガ評論刊行会 @tatsuzawa 2018-06-17 18:30:32
BadUSBを公表したセキュリティーの専門家であるノール氏が、まさにBadUSBについて「(BadUSBの)脆弱性を発表したことにより、私は、攻撃の成功率がより高いソーシャルエンジニアリングやマルウェアの対策に費やすべき時間を企業から奪ってしまった」と確率で語っているわけです。オレオレ定義ではありません。
たつざわ@アニメ・マンガ評論刊行会 @tatsuzawa 2018-06-17 18:30:51
「じゃあ一般的に想定できる最悪の事態を考えておけば安全だよね」というような極端な対策に対して、ノール氏は①ベネフィットを損なう②対策の優先度を誤る③対策を無視されむしろ危険になる――とさまざまな弊害を語っています。
たつざわ@アニメ・マンガ評論刊行会 @tatsuzawa 2018-06-17 18:31:06
これらを私はさんざん引用していますが、にもかかわらずなんら有効な反論もなく「極端な対策をすべき」を繰り返し主張されるのは、まさに「バカの一つ覚え」です。
都幾川 沙月 @SatsukiFox 2018-06-17 18:47:21
tatsuzawa ノール氏の発言は「セキュリティ専門家が集まるカンファレンスで」「企業の経営者やIT部門など、セキュリティのリスクを把握した上で判断する人に向けて」発せられた言葉なのですが、何故そこを曲解するんでしょうかね。それこそ「企業から奪ってしまった」と言ってるように、*企業内で*そういった検討をする人に不要なバイアスを与えてしまった可能性こそあれ、一般人向けの「怪しげなUSBを使うな」という話とは全く関係がないのですが。
たつざわ@アニメ・マンガ評論刊行会 @tatsuzawa 2018-06-17 18:48:47
SatsukiFox 確率で考えるのはオレオレ定義ではないですし、別のスマホの事例を読めば、確率で考える点について個人も含むものだと解釈できます。まず「オレオレ定義」を撤回していただけますか。
都幾川 沙月 @SatsukiFox 2018-06-17 18:51:10
「どういった場で」「どういった人に向けて発せられた言葉か」というコンテキストを無視して、自分の都合の良いように曲解するのって、発言者に対して失礼な上、間違った情報を社会に流すことになるので、二重三重に害悪でしかないんですが。世間一般の「普通の人に向けた注意喚起」の話と、企業の「経営者やIT管理者等、リスクを評価・管理することも職務のうちである人」に向けた話題をごっちゃにしても、マトモな結論なんか出るわけないじゃないですか、っていう。
都幾川 沙月 @SatsukiFox 2018-06-17 18:55:45
tatsuzawa 発生する被害を想定せず、事象の発生確率だけで語るのはオレオレ定義です。少なくとも世間一般で使われている規格で言えば、ISO 31000やISO/IEC Guide 51:2014、あるいは国内のJIS Q 2001等の定義からは外れているので、それが「オレオレ定義ではない」と主張するなら、発生確率のみでリスクを評価する、社会的に認知されているアセスメント基準を示してください。
たつざわ@アニメ・マンガ評論刊行会 @tatsuzawa 2018-06-17 18:58:04
SatsukiFox 少なくともノール氏がBadUSBの文脈で、企業向けとはいえ確率で語っているのです。百歩譲ってBadUSB以外ならともかく、BadUSBなら「オレオレ定義」と言われるゆえんはないと考えます。
都幾川 沙月 @SatsukiFox 2018-06-17 19:02:26
tatsuzawa ついでに言えば「被害の規模が正確に想定できない際は、リスクを高い方に見積もって安全な側に倒す」というのも、Sidney Dekker氏やJames Reason氏など、安全管理の専門家が提唱し、明確な反対も出ていない話なのですが。(その辺の考え方はJames Reason氏の"Organizational Accidents"等の報告書に記載されています) それで尚、私が間違っているというなら、貴方自身の勝手な基準でなく「相応の資料」を出していただくべきかと。
都幾川 沙月 @SatsukiFox 2018-06-17 19:04:24
tatsuzawa だからそれは、企業の管理者やIT担当者は「発生の確率に、自社内で持つ情報が漏洩・毀損した際に発生する被害を乗算して考えるもの」という常識がある相手に向けた言葉なので、わざわざそんな初歩的な解説を省いてるだけなんですが。基礎がわかってない人が応用分野の一部分だけをもって語るのは不適切です。
たつざわ@アニメ・マンガ評論刊行会 @tatsuzawa 2018-06-17 19:05:19
SatsukiFox 「初歩的な解説を省いてる」ものを引用したとき、私の主張のどこが崩れますか?
たつざわ@アニメ・マンガ評論刊行会 @tatsuzawa 2018-06-17 19:05:56
ノール氏の主張は「詳しい人から詳しくない人にどういうリスク説明をすべきか(センセーショナルに説明すると極端な対策に走ってしまう)」という点で、企業のセキュリティー担当者でも個人でも共通するものです。共通する以上「関係ない」一点張りで逃れることはできないものです。少なくとも、企業と個人で何が違い、それによって何がどう関係なくなるのか、それくらいは説明すべきでしょう。
たつざわ@アニメ・マンガ評論刊行会 @tatsuzawa 2018-06-17 19:09:14
SatsukiFox リスク見積もりは程度問題なわけで、「リスクは高く見積もるべき」と「リスクを極端に高く見積もるべきではない」は両立します。
都幾川 沙月 @SatsukiFox 2018-06-17 19:13:58
tatsuzawa 企業のIT担当者や経営者は「自社の保持する情報のリスク」を把握し、管理するのが責務ですが、一般人にそこまで求めるのは無理も甚だしいです。そもそも、その管理ができることが1つの職責として成立する程の専門分野なので、そんなのを世間一般の人に求めるのが無理難題なのは当然のことですし。にもかかわらず、それを同等に扱う根拠がどこにあるか、逆に問いたいのですが。
都幾川 沙月 @SatsukiFox 2018-06-17 19:16:05
tatsuzawa どうあれ「出自が不明なUSB機器を刺して良いか、悪いか」の二択でしかない以上、安全な方に倒すなら「刺しちゃダメだよ」と啓蒙するしかないわけです。そして、それが「極端にリスクを高く見積もっている」とする根拠はどこにもないのですが。何しろ一般人が個人管理してるPCなんて、たいていの場合、企業が扱っているPCに比べてセキュリティの設定は甘いですし。それで扱ってる人のクレジット番号やらパスワードが流出するリスクを回避させることに、何の問題があるのでしょう?
たつざわ@アニメ・マンガ評論刊行会 @tatsuzawa 2018-06-17 19:18:12
SatsukiFox ノール氏の主張を「『リスクを高い方に見積もって』という程度問題ができず、リスクが極端に高い場合にしかやらないような極端な対策に流れてしまう」と考えれば、ノール氏の主張と都幾川さんの「安全管理の専門家が提唱し、明確な反対も出ていない話」は両立するわけです。これについてまずお答えいただけますか。
都幾川 沙月 @SatsukiFox 2018-06-17 19:19:31
tatsuzawa リスクを「適切に評価できる」ならそれに越したことはないし、そういう人はそれをすれば良いだけです。ですが実際には世間の大半の人はそれができないので、その場合に「そういった人が、ある程度の不便を甘受してでも、危険に晒されないための情報」というのは必要なわけです。それを「正しく評価しろ」と言ったところで無理ですし、ましてや「知識がある人に向けた言葉」を曲解して、その知識がない人にまで適用しようとするのは、控えめに言っても害悪でしかありません。
たつざわ@アニメ・マンガ評論刊行会 @tatsuzawa 2018-06-17 19:21:36
SatsukiFox ノール氏は「リスクをセンセーショナルに喧伝する→極端な対策に流れる」の結果、「対策を無視しむしろ危険になる」という指摘をしています。これは個人には当てはまりませんか?
都幾川 沙月 @SatsukiFox 2018-06-17 19:22:25
tatsuzawa リスク管理ができる人であれば、条件を定めた上で「使う」「条件によっては使う」「使わない」等の段階的な措置ができますが、その知識が無い人には「一括で使うか使わないか」しか判断基準が用意できないわけです。それとも個人が所有するPCのセキュリティリスクや保有する情報の価値をきちんと把握して、その上で個々のセキュリティリスクに対する評価を「一般人ができる」方策がある、というなら、それを提示していただきたいものですが。
都幾川 沙月 @SatsukiFox 2018-06-17 19:23:01
tatsuzawa 当てはまりません。出自不明な機器を利用しないことで、セキュリティのリスクを抱え込むケースが想定できないからです。
Daregada @daichi14657 2018-06-17 19:23:06
「立派な本シメジが自生してました〜」って写真を上げたら、「それは毒のあるカキシメジ。食べてはいけない。キノコに詳しくないなら、野生のキノコは絶対に食べるべきではない」と専門家に注意された。それに対し、「全日本キノコ学会(架空)の大会で、カキシメジの毒性は予想されているよりも弱いと発表されてたぞ」と反論する一般人。そして、彼は疲れからか黒塗りのドクツルタケを口にしてしまう...
たつざわ@アニメ・マンガ評論刊行会 @tatsuzawa 2018-06-17 19:24:43
SatsukiFox 「対策を無視し」というのは「極端な対策以外の知識がない中、独自の判断でUSB機器を使う」という意味なのですが。
たつざわ@アニメ・マンガ評論刊行会 @tatsuzawa 2018-06-17 19:29:17
daichi14657 その「毒のあるカキシメジ」は実験室にしか存在せず、自生は確認されていないのです。
たつざわ@アニメ・マンガ評論刊行会 @tatsuzawa 2018-06-17 19:34:52
SatsukiFox ノール氏の主張は「企業の担当者でもリスク管理をうまくできない(極端な対策を取っていまう)」という点から出発しています。その点で「『知識がある人に向けた言葉』を曲解して、その知識がない人にまで適用しようとするのは」は当てはまりません。
たつざわ@アニメ・マンガ評論刊行会 @tatsuzawa 2018-06-17 19:37:26
tatsuzawa 「一般人は極端な対策以外するべきではない」という主張を絶対に譲らないのかもしれませんが、先に指摘したようにUSBメモリのことを考えれば「極端な対策以外の知識がない中、独自の判断でUSB機器を使う」は容易に想像できる話です。
たつざわ@アニメ・マンガ評論刊行会 @tatsuzawa 2018-06-17 19:39:30
tatsuzawa また、ノース氏の主張に含まれる「機会損失の発生」を考えれば、「他人から受け取ったUSBメモリを絶対に絶対に差すな」も否定されます。
Daregada @daichi14657 2018-06-17 19:40:28
tatsuzawa どうぞドクツルタケ食べちゃってくださいね。ツキヨタケでもいいですよ
新しい名前が思いつきません @NewName_NoIdea 2018-06-17 19:43:35
Asunarowasabi自分では問題ないと思ってても何かが混ざっているというリスクはありますからねえ。致し方ないのでは
たつざわ@アニメ・マンガ評論刊行会 @tatsuzawa 2018-06-17 19:49:27
一般人に適切な判断ができないとして、ハナから期待せずに極端な対策をあおっていっても、機会損失が発生したり、むしろ危険になったりするわけで、しかも期待しない根拠もないわけです。であれば、冷静で詳細な情報を伝えていくべきではないでしょうか。私は一つ極端ではない策を出しています。
都幾川 沙月 @SatsukiFox 2018-06-17 19:59:51
tatsuzawa その1文だけで破綻してるのですが、「適切に判断できないで機会損失を発生させる一般人」が、「冷静で詳細な情報」だけで判断できるわけないじゃないですか。それとも「はいこれがBadUSBの実証コード、これが技術的な問題点。あとは自分で判断してね」で何とかなる問題なんですか?
都幾川 沙月 @SatsukiFox 2018-06-17 20:01:24
tatsuzawa で、あなたの物言いを肯定するなら、まさに「機会損失というリスクをことさらに強調して」る貴方の姿こそ、「企業にBadUSBの適切なリスクを伝えずに、危険性ばかり煽っていた」という誰かさんの反省と重なるんじゃないでしょうかねぇ。どうあれ、一般人に「よくわからないUSB機器は繋がないでください、危険ですよ」と啓蒙することのどこが「極端な対応」かはわかりませんが。
都幾川 沙月 @SatsukiFox 2018-06-17 20:05:05
で、「よくわからないUSBを刺すリスク」って、badUSB以外にも「USBを刺すだけで機器を壊す」みたいなのとか、電力供給するだけで発動できる「Wifi乗っ取りしてマルウェアを流し込む」みたいな事案まであるのですが、それも含めて「刺すな」が危険を煽りすぎる対応なんでしょうかね?
都幾川 沙月 @SatsukiFox 2018-06-17 20:08:10
そもそも「冷静な情報を提供されても、セキュリティやリスク管理の知識がない故に、自身の思い込みで決めつけて行動しようとする」ような人が暴れてるような状態で、「冷静の情報を提供すればいい」ってギャグですか。天丼ネタです。ちょっと高度すぎて笑えないんですが。
都幾川 沙月 @SatsukiFox 2018-06-17 20:12:14
念のため書いておくなら、「よくわからないものはUSBに刺すな」というのを遂行する限り、USBまわりの実装に起因した脆弱性やリスクは全て避けられます。ですが、「badUSBはそこまで危険じゃない」と叫んだところで、「で、他の脆弱性はどうなの?」という話になるわけでして。たとえ「badUSBは無視できる」としても、他のUSBに起因するリスクを下げることはできないし、全てを個別に評価することはできない以上、結局は「刺すな」しかないと思うんですが。
都幾川 沙月 @SatsukiFox 2018-06-17 20:15:39
いやまあ、一般人に「CVEは適宜目を通して、DefconやBlack Hat USAあたりで出た話は最低限、ちゃんと理解しておいてネ。その上で自身が持つ情報資産の棚卸やOS等の管理、トラブル発生時の対処法なども計画しておけば、冷静にセキュリティのリスクは評価できるよ」って言うのも、それが実践できるならいいんですが。世の中の「一般人」がそんな人ばかりになれば、セキュリティ事故とかなくなって平和になるんだろうなー、と思うばかりです。
たつざわ@アニメ・マンガ評論刊行会 @tatsuzawa 2018-06-17 21:02:20
「文脈を無視するな」と言っている人が「『badUSBは無視できる』としても、他のUSBに起因するリスクを下げることはできないし」と言っているということは、私がノール氏の発言を引いて主張していた「センセーショナルにBadUSBの脅威を喧伝するべきではない」に、もはや異論はないということですか。
都幾川 沙月 @SatsukiFox 2018-06-17 21:11:46
tatsuzawa この纏めの主題そのものが「badUSBは危険」ではなく「よくわからない機器をUSBに刺すのが危険」という話なので、それも含めて文脈を無視している貴方を批判しているだけです。勝手に「badUSBだけの話」にすり替えた挙げ句、それで異論の有無なんか聞かれても困る、としか。前提条件が間違っているものにわざわざ異論も何もなく、間違ってると言ってるだけなんですが。
都幾川 沙月 @SatsukiFox 2018-06-17 21:16:16
つまるところ「話の前提条件(badUSBの話題ではなく、出自不明なUSB機器全般の話題)が間違ってる」「ノール氏が対象としている企業の情報管理者向けの表現を一般人向けの話題と間違っている」「しかもその表現が危険度に関する部分だけなのに、発生率の話と混同している」「リスク=危険度×発生率という基本すら理解していない」「判断できないときは安全な方に倒すしかない、という原則を理解していない」という間違いだらけなので、異論しかないのですよ。
たつざわ@アニメ・マンガ評論刊行会 @tatsuzawa 2018-06-17 21:16:59
SatsukiFox 奥村さんは「badUSBでしたっけ??」という質問に「はいー」と答えている以上、「センセーショナルにBadUSBの脅威を喧伝するべきではない」という批判は文脈に沿ったものです。このまとめでも自体に理由がBadUSBであるとまとめられています。
たつざわ@アニメ・マンガ評論刊行会 @tatsuzawa 2018-06-17 21:18:28
BadUSBは公表者が公表したことを恥じているほど、喧伝の受け手が感じる脅威が大きく、実際の脅威が小さいものだということがノール氏の発言から読み取れます。つまり、BadUSBとそれ以外のUSBの脅威(可能性が高いのはさんざん指摘されている指摘されている粗悪な回路でしょう)を切り離して、少なくとも名の通ったメーカーのUSBメモリーを差してもいいことにするのは、すべての場合に当てはまるわけではないにしろ、一般的には妥当な線ではないでしょうか。そしてこの判断を一般人ができないとは思えません。
たつざわ@アニメ・マンガ評論刊行会 @tatsuzawa 2018-06-17 21:21:03
もちろんUSBメモリーの受け取りの態様しだいという点はあるにしろ、BadUSBとそれ以外を切り離すことは、ノール氏の指摘する、機会損失や、極端な対策の無視によるむしろ危険な状態になるという問題を緩和できるものです。
たつざわ@アニメ・マンガ評論刊行会 @tatsuzawa 2018-06-17 21:30:39
そもそも「BadUSB以外にも脅威はある」というコメントに対して私が「好意的に拡大解釈してもしょうもありません」「そのUSBメモリ配布実験にしても(略)BadUSBとは切り分けて考えるべきです」と言っていたところで、都幾川さんは「そもそもリスクやベネフィットを評価するのは各企業の経営者やシステム担当者ですし」と突っかかってきました。
たつざわ@アニメ・マンガ評論刊行会 @tatsuzawa 2018-06-17 21:30:45
にもかかわらず都幾川さんが結局「BadUSB以外」でしか反論ができないというのは、文脈の無視です。
都幾川 沙月 @SatsukiFox 2018-06-17 21:31:18
tatsuzawa では逆に問いますが、「BadUSBを危険視して、出所不明なUSB機器を使用しない」ことで発生する「極端な対策の無視による危険な状態」とはどのようなことを指すのでしょうか。発生しうるケースとして、具体的にお答えください。
都幾川 沙月 @SatsukiFox 2018-06-17 21:33:10
badUSBとそれ以外を「リスク評価の段階で」切り離す必要はありますが(というか個々のリスクは個別に検討されるべきなので)、その上で対策・対応は1つの指針として作る必要がある以上、結局は、一般向けには「よくわからないUSB機器は使うな」か「よくわからないUSB機器も使って大丈夫だよ」の二択にしかならないわけですが。その結論を出すのに「個々のリスクを切り分けるだけ切り分けた状態で放置」することは好ましくない以上、切り分けだけを主張することに意味はありません。
たつざわ@アニメ・マンガ評論刊行会 @tatsuzawa 2018-06-17 21:41:45
SatsukiFox 私に具体的な答えを求めるなら、まず「BadUSBを危険視して、出所不明なUSB機器を使用しない」をもっと具体化してください。「出所不明」といっても何を指すのか分かりません。
たつざわ@アニメ・マンガ評論刊行会 @tatsuzawa 2018-06-17 21:48:10
BadUSBは確認した限りファームウェア書き換えが定義に入っています<https://blog.kaspersky.co.jp/badusb-solved/11955/>;。そのため、BadUSBを考慮すると、製造段階から動作に悪意を持たせている可能性以外にも、後から動作に悪意を持たせている可能性を考慮しなければいけません。
たつざわ@アニメ・マンガ評論刊行会 @tatsuzawa 2018-06-17 21:48:16
これはBadUSBを考慮するかしないかで、「よく分からないUSB機器」の範囲が変わることを意味します。これだけでも切り分けに意味があるという根拠に十分なると思いますが。
都幾川 沙月 @SatsukiFox 2018-06-17 21:48:30
tatsuzawa 「出所不明」の意味がわからないのであれば、目の前にあるパソコンなりスマホなりで検索するか、辞書をひいた方が宜しいのではないでしょうか。私はセキュリティ分野では比較的専門職に近い立ち位置ですが、中学生レベルの日本語の教師の経験や技術はありませんので、お答えしかねます。
たつざわ@アニメ・マンガ評論刊行会 @tatsuzawa 2018-06-17 21:51:30
SatsukiFox 「一般人は判断ができない」と盛んに主張する都幾川さんがそれを言いますか。親しい友人から受け取ったUSBメモリは一般的感覚だと「出所不明」とは捉えられにくいのではないでしょうか。これも「出所不明」に含みますか?
都幾川 沙月 @SatsukiFox 2018-06-17 21:55:37
tatsuzawa BadUSBが発表された2014年のBlack Hat USAの話 https://www.wired.com/2014/10/code-published-for-unfixable-usb-attack/ には、「ファームウェアの書き換え」なんて話は出ていません。badUSBは「HIDデバイス等に偽装することでOSを欺く」という手法の総称です。貴方が例示しているカスペルスキーの記事は「badUSBの1つの実装方法」としてファームウェアの書き換えを例示しただけです。
たつざわ@アニメ・マンガ評論刊行会 @tatsuzawa 2018-06-17 21:57:25
SatsukiFox 思いっきりファームウェアの書き換えの話が出ていますが……。
都幾川 沙月 @SatsukiFox 2018-06-17 21:57:56
tatsuzawa 受け取った側が出所不明と感じたらそうなんじゃないでしょうかね?そもそも「USB扇風機等のノベルティが危険」という話で、何故、USBメモリに固執するかは理解しかねますが。USB扇風機の形をした(そして見た目はUSB扇風機としても動作する)badUSBを悪用したデバイスも普通に作成し得る、という認識がもしかしてないのですかね?
たつざわ@アニメ・マンガ評論刊行会 @tatsuzawa 2018-06-17 21:59:22
SatsukiFox 当事者が出所不明と感じなければ出所不明ではなく、都幾川さんの主張する「出所不明なUSB機器を使用しない」に当てはまらなくなるのですか。
都幾川 沙月 @SatsukiFox 2018-06-17 22:03:56
tatsuzawa 「HIDデバイスとして認識させ、ホスト側のコンピューターを操作する」マルウェアの実証コードとしてMCUs(USB Micro Controller)を書き換えた、という話しか見当たらないのですが。そこに「ファームウェアの書き換え」を必須とする理由はありません。「人を殺すのにナイフで刺せば殺せるとわかった」という文章に対して「殺人はナイフを使うこと」と定義するぐらい的外れな話です。
都幾川 沙月 @SatsukiFox 2018-06-17 22:05:43
tatsuzawa だから「出所不明なUSB機器は使うな」という話をしてるのですが?
たつざわ@アニメ・マンガ評論刊行会 @tatsuzawa 2018-06-17 22:09:22
SatsukiFox それはもともとから悪意のある動作をするUSB機器を作るのは、BadUSBの指摘以前から可能だと考えられていたからだという話に思いますが……。
たつざわ@アニメ・マンガ評論刊行会 @tatsuzawa 2018-06-17 22:11:52
SatsukiFox 友人のPCがマルウェアに感染していたとき、「出所不明」を「当事者が出所不明と感じたとき出所不明である」という定義でBadUSBを防げるのでしょうか。
都幾川 沙月 @SatsukiFox 2018-06-17 22:32:00
tatsuzawa だとしたら何なのでしょう。「BadUSBが危険だから出所不明なUSB機器は使うな」と「出所不明じゃないUSB機器は使ってもBadUSBの被害は受けない」はイコールではないのですが、その程度の理論的思考力もないのでしょうか? ついでにそのケースだと、一般的なUSBメモリの実装(2303とか2307とか使ってるやつ)は、物理的にピンを短絡させないかぎりファームウェアは書き換わらないので、原因は友人に悪意があったことじゃないでしょうかね。
たつざわ@アニメ・マンガ評論刊行会 @tatsuzawa 2018-06-17 22:48:58
SatsukiFox 「一般的なUSBメモリの実装なら、友人に悪意がない限りBadUSBは大丈夫」という甘い基準を用いるなら、一般的どころか攻撃事例が確認されていないBadUSBをそもそも心配する必要があるのですか。都幾川さんの言う「一般的に想定できる最悪の事態」の「一般的に」とは何なのでしょうか。BadUSBや世界初の被害を心配しているくらいだから、「絶対」に限りなく近いものだと思っていました。
都幾川 沙月 @SatsukiFox 2018-06-17 23:13:47
tatsuzawa まず前提として「攻撃事例が確認されていない」と「攻撃が行われていない」はイコールではありません。特にBadUSB等のような物理メディアを介した事案の場合、感染者のPCにはマルウェアが残るだけだったりするので「経路不明の感染」で終わる可能性もあります。企業ユーザーなら兎も角、個人ユーザーで感染したときに、いくらかかるかもわからない費用を投じて原因調査までやれる人は希でしょうから。
都幾川 沙月 @SatsukiFox 2018-06-17 23:17:13
tatsuzawa その上で、別にBadUSBを利用された場合に限りませんが、マルウェアに感染する被害で言えば、ネットショッピングの履歴等からクレジットカード番号を盗用され不正利用される、ユーザーの個人情報がネットに露出しプライバシーの侵害を受ける、PC内のデータが漏洩し第三者に迷惑をかける、Webサイト等への攻撃の踏み台にされ責任を負わされる、等の事例はいくらでもあるわけでして。それらは個人利用レベルでは十分に「最悪の事態」だと思うんですがね。
たつざわ@アニメ・マンガ評論刊行会 @tatsuzawa 2018-06-17 23:31:50
「センセーショナルにBadUSBの脅威を喧伝するべきではない」への反論が回り回って「BadUSBの脅威は意外と存在しない」(少なくとも友人から受け取ったUSBメモリは大丈夫と見てよい)になっているのが奇妙すぎる。
都幾川 沙月 @SatsukiFox 2018-06-17 23:41:59
tatsuzawa もともとBadUSBの脅威って、ある程度の信頼ができる友人からUSBメモリを受け取るというよりは、出所不明なUSB機器(USBメモリ)を使った場合に被害が想定される、という話なので、何も矛盾してないのですが。別にUSB機器が一定の確率でbadUSBになるわけでもなければ、「友人」を攻撃的な性格のクラッカーに変化させるような特殊な何かというわけでもないので。後者は実在したら、セキュリティというよりオカルトですけど。
たつざわ@アニメ・マンガ評論刊行会 @tatsuzawa 2018-06-17 23:50:10
ノール氏が公表したBadUSBの脅威はどう読んでもファームウェア書き換えです。製造段階で悪意のあるファームウェアを仕込むのはできるに決まっています。その上で、製造段階で仕込むのと、後から(ショートなどちょっとした技は必要にしろ)書き換えて仕込むのでは、後者の方が容易です。にもかかわらず、後者の攻撃は確認されていません。
たつざわ@アニメ・マンガ評論刊行会 @tatsuzawa 2018-06-17 23:51:04
そう考えると、製造段階で仕込まれていることをどこまで懸念する必要があるのでしょうか。悪意なく不良な回路が存在するというのはもちろん否定しません。
都幾川 沙月 @SatsukiFox 2018-06-18 00:07:38
tatsuzawa 「ファームウェアの書き換えができる」という脆弱性ではなく「ファームウェアを書き換えることで再現できる」というだけの話ですしもっと言えば SatsukiFox で挙げたように部品から「そういう機器」を作ることもできます。 そもそも「悪意をもったファームウェアが須く危険」という話ではなく、「USBの規格に則った動作のみで攻撃できる」ことにbadUSBの特異性があるので、ファームウェア書き換えの話に拘る時点で危険性の本質を見落としています。
たつざわ@アニメ・マンガ評論刊行会 @tatsuzawa 2018-06-18 00:09:04
SatsukiFox その「危険性の本質」は、「製造段階で仕込むのと、後から書き換えて仕込むのでは、後者の方が容易」に何も絡んでいないのですが。
都幾川 沙月 @SatsukiFox 2018-06-18 00:10:44
で、badUSBって、如何せんモノが物理デバイスに依存する以上、ブラウザやJava、Flash等の脆弱性を突いて「ネットワーク上だけで」何かをしでかすような脆弱性に比べて「拡散性」では圧倒的に劣るわけでして、そりゃ攻撃に使うにしても「特定の企業を狙ったピンポイント攻撃」か「イベント会場等での下手な鉄砲数打ちゃ当たる方式」ぐらいしかないわけです。なので発生しうる攻撃数も決して多くはないし、だからといって「事例がないから安全」ってモノでもないでしょうに。
都幾川 沙月 @SatsukiFox 2018-06-18 00:11:30
tatsuzawa 製造段階で仕込むことと、後から書き換えて仕込むことの「どちらが容易か」が、そもそも本題に関係ないのですが。何故そこに拘るのでしょう?
たつざわ@アニメ・マンガ評論刊行会 @tatsuzawa 2018-06-18 00:14:47
SatsukiFox お店に山と積まれているノーブランドUSB扇風機を一つ選んで買ったとき、それは一般的に「出所不明のUSB機器」と考えられる物ですが、これ製造段階で仕込まれていればすでに被害が発生していて販売停止になっていそうなものです。どれか一つだけに仕込まれていれば別ですが、それに当たる確率は……。
都幾川 沙月 @SatsukiFox 2018-06-18 00:15:34
単純な話として。「出所不明のUSB機器をPC・スマホ等に刺しちゃダメですよ」って、「OSやブラウザのアップデートはきちんと当てようね」とか「怪しいメールからの添付ファイルは開かないでください」、あるいは「httpsじゃないサイトでクレジット番号とか入力しちゃダメですよ」という一般向けのセキュリティ啓蒙の1つでしかなく。「それで絶対に安全」という類のものでもないし、「ケースバイケースで大丈夫なこともあるけど細かく言っても仕方ない」からそうなってるだけで。
都幾川 沙月 @SatsukiFox 2018-06-18 00:17:08
SatsukiFox そりゃ「OSのアップデートしたらPCが動かなくなる」とか「添付ファイル開かなくて仕事ができなかった」とか、細かいデメリットはいくらでもありますが、それらに比べて「そのプラクティスを行うことによる安全」のほうが圧倒的にマシだから、それが推奨される、ってだけの話なんですがねぇ。別にbadUSB「だけ」に限った話でなく、諸々のリスクがあるので「出所不明なUSBは刺さないでね」という話をしているのに、何故ここまで噛みつくのやら。
都幾川 沙月 @SatsukiFox 2018-06-18 00:18:55
tatsuzawa 被害に気がついて店にフィードバックするまでの間に何個売れるんでしょうかね。一般人なら気がつかない可能性も多々あるモノが。あるいはイベント会場なんかで配布された場合、「その場でIT機器に繋ぐ人」よりも「持ち帰ってから繋ぐ人」のほうが圧倒的に多いわけで、イベント終了してから被害が多発、でもイベント終了してるし配布者とはすぐには連絡取れない、なんてことはざらにあると思うんですが。そういうのなんで無視するんでしょうかね?
都幾川 沙月 @SatsukiFox 2018-06-18 00:20:11
っていうか、今回のまとめの話なんかまさに「イベント会場での配布」なので、「後から被害がわかっても、受け取った人にすぐに連絡はできないし、危険を告知しても伝わるとは限らない」事案の典型じゃないですか。そういうのから自衛しましょうって話にここまで噛みつくの見てると、「そういう機器作ってマルウェア仕込もうと企んでる業者さんですか?」としか思えないんですが。
たつざわ@アニメ・マンガ評論刊行会 @tatsuzawa 2018-06-18 00:31:39
どうも奥村さんの過去ツイートからすると、都幾川さんと私の意見の隔たりは案外小さく、都幾川さんと奥村さんの方が大きそうなのですが……。
たつざわ@アニメ・マンガ評論刊行会 @tatsuzawa 2018-06-18 00:31:46
「USBメモリには「BadUSB」といって私でも防げない怖いものがあるので,本来は絶対に刺したくない。USBメモリでのデータやりとり,絶対やめてほしい」 https://twitter.com/h_okumura/status/946567493190955008
たつざわ@アニメ・マンガ評論刊行会 @tatsuzawa 2018-06-18 00:31:50
「従来型ウイルスなら避けるのは簡単ですが,今のところほぼ避けられない「BadUSB」という手法があるのです」 https://twitter.com/h_okumura/status/1006376800811749378
たつざわ@アニメ・マンガ評論刊行会 @tatsuzawa 2018-06-18 00:37:56
また都幾川さんの「イベント会場での配布」の説明だと、「時間をおいてから接続すれば安全」に思えます。それって奥村さんの「『無料のUSB扇風機』など貰っても絶対に自分のPCに差し込まないこと!」から読み取れないような……。
しもべ @14Silicon 2018-06-18 17:57:57
Hirarinmac こんなので吹いてしまった
たつざわ@アニメ・マンガ評論刊行会 @tatsuzawa 2018-06-18 23:53:17
BadUSBの発見は「既製品のファームウェアの書き換えができる」です。都幾川さんが引用した記事でもそうとしか読み取れません。「再現」されたのは、ノール氏らが公表を控えたコードを再現できたということです。 https://www.wired.com/2014/10/code-published-for-unfixable-usb-attack/
たつざわ@アニメ・マンガ評論刊行会 @tatsuzawa 2018-06-18 23:53:19
しかし、都幾川さんと私で「ある程度の信頼ができる友人からUSBメモリを受け取った場合は心配しなくていい」という点で意見が一致しています。
たつざわ@アニメ・マンガ評論刊行会 @tatsuzawa 2018-06-18 23:53:22
その理由は都幾川さんは「一般的なUSBメモリの実装ではショート操作をしないとファームウェアを書き換えられないから」というもので、おそらくこれは「一般的なUSBメモリの実装では、USBメモリとそれ以外の機能(例えばキーボード)の動作を両立できない」という私が指摘した点が前提になっています。
たつざわ@アニメ・マンガ評論刊行会 @tatsuzawa 2018-06-18 23:53:25
つまり、友人自身がUSBメモリを受け取った時点でファームウェアが書き換えられていたなら、すでにストレージ機能が失われていることになります。それは、友人に悪意がない限り、友人から受け取ったUSBメモリでファームウェアが書き換えられていないことを意味します。
たつざわ@アニメ・マンガ評論刊行会 @tatsuzawa 2018-06-18 23:53:28
私は、「一般的なUSBメモリの実装」(「一般的」の程度が不明)に頼った安全策で大丈夫なのか疑問ですが、そもそもBadUSB公表から2年、BadUSBによる攻撃が行われなかったことから、安全と考えてよいと思っています。
たつざわ@アニメ・マンガ評論刊行会 @tatsuzawa 2018-06-18 23:53:32
問題はこれが奥村さんのツイートから読み取れるかということで、これは読み取れませんし、そもそも奥村さんはBadUSBを理由に「USBメモリでのデータやりとり,絶対やめてほしい」というツイートをしています。
たつざわ@アニメ・マンガ評論刊行会 @tatsuzawa 2018-06-18 23:53:39
専門家の都幾川さんなら、BadUSBのリスクがセンセーショナルに喧伝されても、USBメモリを場合によっては使う一方、(BadUSBの範囲ではない)悪意のない回路不良に用心したり、奥村さんとは違って「従来型ウイルスなら避けるのは簡単ですが」とマルウェアを甘く見ることはないでしょう。
たつざわ@アニメ・マンガ評論刊行会 @tatsuzawa 2018-06-18 23:53:49
しかし一般人はそうではないわけで、やはり「BadUSBのリスクをセンセーショナルに喧伝するべきではない」という私の主張が、都幾川さんの主張からも導き出せます。「一般人は友人からのUSBメモリをどんな場合であっても拒絶し、人間関係を壊すリスクを許容すべきだ」というのなら、この限りではありませんが。
闇の聖母ガラテア @galatea_rs3 2018-06-19 18:57:17
これは桂米朝の怪談よりこわい
忍夜 @ninyoru 2018-06-19 21:15:52
ま と め コ メ ン ト を 占 領 す る な 専門家でも何でもないくせに長々と自説をたれた挙げ句、コメントバトルと水掛け論を延々とするほどバカげた話もない。
蒼橘慎悟 @cingoP 2018-06-20 11:10:51
コメントだけまとめてもらって、討議してるのを眺められるようにしてくれた方が良いかも
初瀬 神楽 @Kagura_d34272 2018-06-20 23:37:06
cingoP 討議というより、真面目すぎる人が阿呆の妄言を訂正するのに手一杯で被害が拡大してるだけに見えるん。
忍夜 @ninyoru 2018-06-21 00:32:37
SatsukiFox いやまぁ、つい強い言い方をしてしまいましたが、まとめコメントというものは基本まとめに対して様々な方の意見を見るものでして、長引きそうな議論なら直接Twitterで当人同士で話したほうがいいかと。まして、相手が話の通じそうにない人なら適当に切り上げたほうがいいと思います。
ログインして広告を非表示にする
ログインして広告を非表示にする