極楽せきゅあブログ

ときどきセキュリティ

15年前、原稿大詰めなんだけどベトナムに行った思い出

2007年のベトナムは、名の通ったホテルのWiFiもまだまだ未整備な感じだった。現地で原稿やっても送れるかどうか心もとない。なのでいろいろ前倒しにやるしかない。そもそも単著のお仕事を頑張って仕上げなきゃならないときにベトナムなんか飛んでるからそうなるのだと言われたら返す言葉も無いけどね。どのくらい前倒しかと言うと、当時は飛行機からネットは使えず、飛び立つ直前の成田空港でとにかく原稿を送らなきゃあかんてことで行く電車の中でも書き、やっとのことで書き上げて送信してホッとして乗機し、ベトナムに降り立った。ホテルに着いたらWiFiあるよ、と言うんだけど繋がらない。いや正確にはアクセスポイントには繋がるんだけどDNS情報が降ってこない。当時は未だ旅先用レンタルモバイルルーター的な何かも無かったので別ソリューションも無い。やむにやまれず、ホテル側から提示されていないけど見えているWiFiのアクセスポイントをいくつか試してみると、1個フリーっぽいのに繋がった。だけど電波がとても弱くて息も絶え絶えな感じ。とりあえず原稿送信した結果はどうだったかだけは確認せねばと何とかメール確認。校正的なところで問い合わせが来ていたので電波を逃さぬように最適位置である部屋の隅で立ったまま返答を書き、大慌てで送信。送信し終えたと思ったら電波が絶え、唯一使えたアクセスポイントもロストしてしまった。繋がらないことにはいかんともしがたい。まぁたぶん大丈夫やろ、と割り切ることにした(笑)。
そしてわたしはバスに乗り、街灯のせいか黄色く染まったゴツゴツのコンクリートタイルの上に降り立ち、ぬるま湯のような湿気と熱気の中スタジアムに入り、W中村に遠藤なんていう魅惑の中盤を揃えたオシムジャパンを堪能したのだった。
そのオシムさんが亡くなったということだけど、何か気難しいけどおもしろくて愛すべき厳しいお父さんが亡くなったような感覚がある。指導というか、常に考えさせ、工夫させる、油断させない、自ら設定したルールの無視を要求して一瞬たりとも頭を休ませないトレーニングのことは今も手本としている。オシムさんのサッカーや考え方に触れたことがきっかけで、セキュリティと創発、アイディアなんていう食べ合わせの悪いことを研究するようになった。残念ながらサッカーほどわかりやすくそういうことができそうな仕組みを整えるまでには至ってないし、まだまだ先は長いけど、やるべきことをはっきり認識できたのはオシムさんのおかげだと思う。

オシムさん、ありがとうございました。

www.football-zone.net

jefunited.co.jp


P.S.そういえば長らくブログ書いてるのでベトナムも書いてたわーと思い出して掘り返してみた。

sonodam.hatenadiary.jp

sonodam.hatenadiary.jp

sonodam.hatenadiary.jp

sonodam.hatenadiary.jp

sonodam.hatenadiary.jp

sonodam.hatenadiary.jp

sonodam.hatenadiary.jp

sonodam.hatenadiary.jp

sonodam.hatenadiary.jp

sonodam.hatenadiary.jp

sonodam.hatenadiary.jp

sonodam.hatenadiary.jp

「1年間のハッカソン」SecHack365、参加者募集中

2022年度参加者募集中


ここ2年はコロナ禍にあって集まって何かをすることが難しく、SecHack365の6回のイベント+成果発表会はすべてオンラインでの開催となりましたが、2022年度は何とか集合イベントを復活させようと思っています。残念ながら今のテクノロジー、ツールではオフラインのスピード感と情報量には敵わない、と思いますしね。Zoomを使えば対話はできますが雑談はとてもやりにくい。オフラインのときと質・量ともに同等のやり取りをしようとすると、1時間で済むことが2時間3時間かかってしまう。この2年、Zoomやdiscord、oViceなどさまざまなツールを試し、チャットも駆使してきましたが、集まることができなくなって失われたものを全て埋めるには至りませんでした。
一方オンラインでは動画を活用することで、ライブの発表よりもコンテンツとして完成度が高いものを提供&視聴できるようになりました。1.5倍2倍の高速視聴もできるし、同時に話者本人とチャットでやり取りすることもできる。オフラインでも部分的に行われていたことですが、オンライン強制となってむしろ大々的に仕組みに取り込み、発表の品質は上がったと感じます。また、距離の壁を超えて、時間さえ合わせればいつでも対話できるようになった、ということも大きいと思います。もちろん、もともとオンライン会議は時間さえ合わせれば開催可能だったのですが、「会ったときに話せば良いや」とどこか積極的にやっていなかった。むしろ会ったときにこそ話そう、とオンライン会議はサブ的にしか使っていませんでした。オンライン強制になり情報の地域格差みたいなのは減り、差は縮まったと思いますが、会って話すときにこそやり取りできていたものは失われたままでした。
なので、今年度はともかく集まろう、と思っています。集まることで得られるものを復活させていこうと。
SecHack365には開発駆動、学習駆動、思索駆動、研究駆動、表現駆動という5つのコースがあります。このうち開発、学習、思索、研究は基本単独プレイ。表現はグループに拘り、グループによるものづくりに挑みますが、集まる効果が最も大きいのは表現駆動、いや、グループ活動だと思っています。今年度のSecHack365のテーマはグループワークの復権。基本単独プレイである開発、学習、思索、研究も別に単独プレイだけに留まる必要は無く、コース内、あるいはコースを超えてコラボレーションしてもらおうと思います。
各コースの詳しい情報はこちら>https://sechack365.nict.go.jp/course/index.html
そして今年度の開催概要はこちら>https://sechack365.nict.go.jp/document/
募集要項はこちら>https://sechack365.nict.go.jp/requirements/
課題提出〆切は5月10日(火)12時(JST)です。
たくさんのご応募、お待ちしております。

温泉地でDoS攻撃を食らってしまった話

家の用事で急遽ある場所に飛ぶことになり、せっかくなので近場の温泉地を探して宿を取った。他に有名温泉地もあるけどちょっと冒険したくなってしまったので(笑)マイナーなところ。遠隔仕事も抱えているので夜中も風呂に自由に入れるように奮発して風呂付きの部屋にした。
この部屋風呂が大外れだった。
出る湯がぬるいのは源泉の都合もあるから仕方無い。ぬるいときは(高温の湯を供給するパイプが檜の浴槽の下に這わせてあるので、そこにお湯を出す)バルブを回してねとあったので回してみるもお湯は来ない(()内は筆者の情報補完記述)。お湯が来ないのがわかったのはバルブの手前に蛇口が付けてあって供給状況を確認できるようになっていたからだけど、一瞬高温のお湯が来たけど(汲み桶一杯分程度)すぐに切れてしまう。深夜まで様子を見たけど改善されずあきらめてぬるい湯に入って寝た。
翌朝高温湯が出なかったことをフロントに伝えたが「ガスで温めているし止めてもいないので出るはずなんですけどね」という返答。朝食後確認すると高温湯が出てきたので早速入浴した。その後用足しに外出し、昼過ぎに戻ったらまだ出ている様子なので安心して遠隔会議に参加。終わってから確認すると今度は高温湯どころか部屋のどこの湯の蛇口を捻っても一滴も湯が出なくなってしまった。浴槽付近の蛇口、高温湯供給パイプ、別にあるシャワー室のシャワー、洗面台のお湯蛇口、すべて一滴も出ない。フロントにクレーム入れたら確認に来たが、依然として一滴も出ず。のちに電話で「タンクの掃除をしたため、まだ中身が3割程度しかありません。お湯がたまるまで少し時間がかかります」と言うので「いつ頃までかかる?」と聞いたら「夕方くらいまで」とのこと。その時点で15時くらい。バッファを見て19時過ぎに確認するもなお一滴も出ず(笑)。その後は仕事に忙殺され、0時過ぎに確認したが依然として出ない。大浴場は早じまいでもう入れないのでそのまま寝た。
翌朝も同じ。結局チェックアウトまで一滴も出なかった。重要なことなので二度書いておこう。お湯が、一滴も、出なかった(笑)。しかも、すべての、蛇口から。
ここまでの仕打ちに遭うことはそうそう無い。っていうか人生初ってくらい。正直なところげんなり、いや、美味しいって思った(笑)。10年このネタで飲めると思えば(笑)。
チェックアウトのときは前日までとは違うフロントマンなので、お湯が出ない状態であることが引き継がれているかどうか様子を見ていたけど引き継がれていないようだったので「昨日の昼から一滴も出てないんだけど、栓開けた方が良いよ」と言い捨てて去った。感覚としてはまさに、「栓を開けて」。そんな感じだった。それほど容赦なく一滴も出なかった。
これが顛末である。ではなぜ「DoS攻撃」なのかというと、お湯が出ない、お湯出ない、出ない出ない、と脳内でフレーズ繰り返すうちに、出ないアルお湯サービス(Denial of Service)というのを思いついたから(笑)。出ないアルの「アル」は良くあるマンガの中国系登場人物が喋る日本語的な表現だけど、ディナイアル・オブ・サービス=サービス不能or使用不能=出ないアルお湯サービス、ってかなりイカしてると自分では思っている(笑)。そしてその理不尽さから「攻撃」というのも良い感じ(笑)。なんだろうこの何でもネタにする感はw。

なお最後に、かなりのヘビーユーザーである宿泊予約サイトで、自身初めてクレーム文を書いた(笑)。滞在期間の半分以上お湯が一滴も出なかったのだから風呂付き部屋をとった意味ないよね、という趣旨だけど、そのサイトの口コミにはホテルスタッフのレスが一度も付いていないので伝わるかどうかは疑問。そこで、例によって自分の関わる仕事に、クレームを受けることもまーまーある立場として考えてしまうわけですが、やはりマメに書き込みとかには対応するというのが良い、というか必須とすら言えそう。過剰な、言いがかりみたいなクレームに囚われると病むばかりになるけど、そうじゃないものを見つけて、課題として把握して改善していく。クレームを受け付ける口を作っておく。このあたり大事だね。常識だろうけど。
さらに言えばインシデントハンドリング、インシデントレスポンスにおいて初動対応が重要だよな、と再認識した。何でもそこに持っていくな、と言われそうだけどまさにホテルの初動対応はいくつもミスってるもんね。最初のクレーム「ぬるい」への対応は源泉の湯温のことでもあるし良くあるクレームということかも知れないけど、お湯が出ないと言われ、フロントマンが部屋まで来て事象を確認してる。ここまではホテルマンなら当然すべきことでしょうね。実際すぐ来たことは良いと感じた。問題はその後。
お湯系の管理現場に確認はもちろんしたんだろうけど「掃除をしちゃったからいったんからっぽにしてしまい未だ中身は3割。お湯がたまるまでしばらく時間かかる」「たぶん夕方くらいまで」この情報の確認と提示には課題が見える。
まずなぜ掃除をこのタイミングで行ったのか。掃除した結果こうなることを把握できていなかったのか。把握できていなかったから掃除したのだとするとヤバいけど、把握してたとしてもヤバい(笑)。平日だし、変わり者?の客が部屋の良い風呂目当てに泊まりに来たのが珍しい、というのはあるかもしれない。じゃあいつ掃除すれば良いのか、という現場の感覚もあるかもしれない。しかし結果としてお湯が全く出ないというのは、金返せと言われても仕方の無いレベルだからなぁ。
あと引き継ぎ。これは危機認識が希薄だったってことだろう。クレームを受けて現状確認し、夕方までかかると伝え、伝えたのち何も言ってこないから大丈夫だったんだろうなーという思考だったのだろう。大丈夫だったんだろうなーである意味思考停止して客への確認を怠った。客が何らかの事情でクレームを言う暇が無い、あるいは言わないでいつか来るであろう夕方(笑)を待ってる、とは思わなかった。そこがポイントかもしれない。電話一本入れるかどうかで印象は変わっただろうし、その後のホテルとしての対応は大きく変わったはず。結果的にトラブルが解消できなかったとしても、手当はできただろう。
一方美味しいこれ、と思っていた(笑)あっし自身は、どういう対応をとるか待っていたという、美味しさを深めに行っていたフシもあるが(笑)。
それにしても教訓が多い事例だった。まさに美味しい思いをしました。湯は一滴も出なかったけどね。

XaaSというビジネスモデル

昨年11月に「悪人たちのビジネスモデル」というお題で講演したんだけど、そのときに改めてXaaSビジネスモデルについて考えて、以来ずっと心に留まっている。嫌がらせのレベル以上にビジネスモデルを壊す方法は無いんだろうか、ビジネスモデルにインパクトを与える方法は?考えるとどんどん出てくるけど、使えそうなのはそう多くない。

おっと前提で言えば、悪人がXaaSビジネスモデルを効果的に使いこなすようになってしまい、結果として自身のビジネス、つまり犯罪の目的により集中できるようになった。近年すごく深刻な、人の命に関わる病院をデータ人質の標的にして大儲けしているのもそうした流れがあるからとも思える。ランサムウェアのビジネスモデルの弱点を突くのは容易ではないけど、考え続けたいしもっといろんな知恵を使いたい。摘発でもテイクダウンでも大々的な嫌がらせでも何でも良い。

アイディアソンをしたいね。ついつい法的なこととか国際連携とか条約とか調整とかそんなことばかり考えてしまいがちだけど、それこそそういうところはXaaS的に専門家に任せて、実際にできそうかどうかくらいの尺度のみでアイディアを出しまくりたい。この数年、アイディアの捻り出し方についていろいろ考えてきたり、学んできたり読んだり調べて来たことを、そういうアイディアを出す場面で使ってみたい。

とはいえ良くあるブレストや、一般的なアイディアソンのように、その場でのみウケるアイディアばかりではつまらないし、現実味を出して行きたいしあわよくば社会実装したい。SecHack365に使う的色気は置いておき、みずからプロジェクトとして考えをまとめていく必要がありそう。抱えるプロジェクトの数と種類から見てけっこうしんどそうだけど、研究ネタとして揉んでいきたくはある。さて。腹をくくる必要がありそうだな。

前提となるネタをどこかでまとめて資料として公開しておくか。昨年の講演資料とかをもとにして。

トランプ大統領は罷免されるのか(タイトルと内容はあんまり関係無いw)

まぁされてもされなくても良いけど(笑)。
それにしてもトランプという人は変なプライドを持たず、自国の利益をアメリカンなビジネス感覚でずんずん追求する人だったなぁ(過去形(笑))。最後は負けを認めないとか、プライドがあるんだか無いんだかわからなかったけど、国としての動きはブレなかったというか。自国の利というものをシビアに見る感覚、ビジネスマンとしては割と普通の感覚だと思うんだけど最後までそのスタンスは崩さなかったよね。
アメリカという国は民主主義の総本山というか元祖というか、そのプライドがあるから、自国の利だけでなく世界の警察としての目線を持ちながら振る舞ってきたんだよな。逆に言えばそんなプライドという脆弱なものに依存してたってことか。冷や冷やだなぁ。
バイデンに代わってそれがどこまで「元に戻る」のか。プライドの原理主義者が居る党だから戻る力はけっこうあるんだろうけど、4年前は隠れていたけど今や多数がはっきりと表明しているトランプ支持者の数を無視できないんじゃないか。そう考えるのはトランプ支持者に考えが寄りすぎてるかな。議会でも辛うじて多数派となったので当初は「揺り戻し」を多くするんだろうな。しかし、選んでやるんじゃないか。そう思える。
・・・という前提で、戦略「物資」としての情報をどう考えるか。
トランプ政権誕生前夜に火種になりそうだったワッセナーアレンジメント。高間さんがコラム書いてるけど、

www.jnsa.org


結局トランプはこの手札を使わなかった。自国の利に聡いトランプなのに見逃したのか、それ以外のプレッシャー要素と秤に掛けて捨てたのか。とっておいたのか。それはわからないけど手札であることは変わっていない。アメリカはサイバーセキュリティの関連情報を生み出し続けていて、世界の少なくない国はそれに依存している。
そして世界のサイバーセキュリティ事情は、以前より国対国という色合いが濃くなっている。核のときもそうだったように、情報を今更(笑)統制しようと考えるかもしれない。ロシアや北朝鮮、そして中国をこの分野で脅威と考え、脅威の度合いが強くなっていると考えるなら、そういう方針になる可能性もある。そうなると、というか継続して課題であり必要なのは、ソフトウエア、システム、サービスの脆弱性を見つける能力、エクスプロイティング能力だろうなぁ。なかなか研究できていない部分。シンボリック実行以降どうなっているか。セキュリスト(脆弱性診断士)が立ち上がったけれども、それは相変わらず人間頼み、ということでもある。頼める人間を内製化できるほど増やすことは大事だけど、その手間を減らす研究も大事だよなぁ。CTFはそういう形になっていっているのだろうか。自動化は咀嚼されたものの、例えばSECCONを3連覇したCykorの「化け物」のようなノウハウがカジュアルになっているか、ツールに実装されているかというとそうでもない。「まだ」知的ゲームの域を出ていない。だからこそ熱中するのだろうけれども。
さてどうしていくか。

読書傾向の変遷

SecHack365の学習駆動コースの中でコンテンツゼミという何でも良いからセキュリティ啓発とかに使える使う利用できるモノを作ろうぜゼミをやり始めることになって、こりゃーラノベとか言い出すヤツ出るだろうなーと思ってこれまで一冊も読んだことが無かった異世界転生とかそういうのを大量に読んでみた。意外とこんなのでも本として出ちゃうのねーとか、打ち切り多いなージャンプかよとか、諸事情含めて興味深かったけどさすがに最近は飽きてきてる(笑)。それにオーバーラップする形で、今年度はショートショート!ということになって自宅の短編集、アンソロジー本を文字通り発掘して短編を読み始めたんだけど、目ざといあっしはとにかくおもしろい本をたくさん貯蔵しているので発掘する本する本だいたいおもしろい。習慣化実装ということで毎日1篇を緩めに読むようにしていて現在70篇。意図して消そうとしつつある異世界ラノベの方は徐々にシュリンクしていっているけれどもついつい読んでしまう。結果その手のものに割く読書量が増え、他のSFやらミステリやら技術書やらビジネス書やらが滞り始めているので、どういうバランスに落着させるかを思案しているところではある。
それにしても読むモノの変遷って自分ながらおもしろいね。
実は昔から読書録作るのが割と好きだったんだけど、短編もリスト作ってログ+簡単な評価や随筆的な文章を書いていたりする。こういうのがホイホイできる今ってほんと良い時代だなぁw。

コロナで封じ込められて考えたこと

昔々、といっても昭和くらいの時代。わからないことは職場の先輩に聞いていた。ベテランが蓄積してきた知恵は頼りになった。今でも、技能五輪とかで見られるものやいわゆる職人芸的なものは、醸造された知恵や感覚の結晶みたいなものを見せつけてくれている。
しかしコンピューター、IT、ICTの世界は全く違う。知恵に昇華する前に陳腐化してしまう世界。ある意味恐ろしいし疲弊するが、好奇心や食欲のような知識欲が衰えないタイプにとってはとても都合が良い世界でもある。
そういう世界になると職場に知恵者が居ることは稀になり(居ても長続きしない(笑))、外に知恵を求めるしか無くなる。あるいは知恵者の居る職場に転職するか。インターネット以前は知恵者の居る世界が遠かったけど、インターネットはそれを手元に強烈に引き寄せた。そのうち知恵を自分の中に留めているだけでなく、シェアし始めて世間はそれを称揚するようになった。
しかしインターネットはノイズも多い。知恵者は質問者に合わせて回答してくれるが、検索サイトは相当賢くなったけれども質問者に合わせる、ということをしてくれない。自分に合った良質な知識を探り当てるのに最低限の知恵が必要なのだ。ネットには単純にノイズも多いけれども、書き方を教わらずに見よう見まねで書いたテキストや、○○やってみましたー以上!というような若書き(よくある学生の研究発表ぽい(笑))も多い。良質な情報に行き当たるのにも知恵が必要な世界。
今はそれを埋めるものが出てきている。はてなに始まる良質なQAを蓄積共有するサービスは、Quaraなどに進化して、一流の専門家の丁寧な説明に触れることができる。その説明もRTされてシェアされる。
本体は行く末が気になるけれどもQiitaのような技術情報をシェアするサイト、サービスもネット上の情報群の質的向上に一役買っている。
クックパッドのような情報共有の仕組みの進化も興味深い。かつて地雷が多いと言われていたが、レピュテーションを事実の蓄積で示すつくれぽなどで情報の説得力を増している。Qiitaも良く玉石混淆だと言われるが、クックパッドのような使ってみました!という仕組みを採り入れたらおもしろいと思う。
対極的に、食べログのようにレピュテーションの使い方を誤った例も興味深い。
本質的には情報を集まる仕組みを構築し、ともかく集めたら勝ち、というのはある。グーグルは早くにそれに気づいてどんどん集めているし、Twitterフェイスブックも情報を集めまくっている。集めた情報をどうやって活かすか、社会として活かす方法、トラフィックを増やす=ビジネスモデルに活かす方法はこれも進化し続けているけど、さらにその上で、その質を担保する仕組みをうまく作れると知識の(おかしな表現だけど)純度が高まり、外部脳としてのインターネットの価値は途方も無いものになってくる。途方も無くなるんだけど、カジュアルにもなる。われわれはその先でどういうところで自分の頭を使うのか、使い所を模索し続けていかなければならない。ビジョンとして持っている必要があるのは、知識経済のその先の世界かも知れない。
コロナ禍は職場のノンバーバルなコミュニケーションから人間を隔離してしまった。ノンバーバルな部分を埋める方法を模索する一方で、じゃあ知恵をどこからどうやって借りるのか。↑の知恵を借りる世界、知恵の純度を高める世界は世間的にはまだ閉じられていて、世界の変化を見ている人にしか見えていなかった世界。家に封じ込められて仕事をする世界は、そうしたネットの知恵をより一層借りる必要がある。見えていなかった人たちを、ネットに拡がる良質な知恵の世界に誘導できるか。大げさに言うとそういうのが日本というコミュニティの力を上げることに繋がるように思える。
一方で知識を追いかける世界は、その分、ものを生み出さず新しいものを追い続けるという、地に足を着けていない感じ、新しい知識・技術ジャンキーみたいになってしまう恐れはある。次から次におもしろそうな情報が目の前に出てくる感覚。これに飲み込まれず、良質な情報を適量咀嚼して自分の生産性を上げていく。情報そのものの良質さと、その情報が自分の生産活動に役立つかどうかはまた別だろう。知識欲に流されず、適量にとどめて効率良くコンテンツを生産する。質の良いコンテンツは当然ながらネットの情報の質を上げる。知識を借りるものとしての恩返し。みんなで外部脳の質を上げる、こういう感覚が重要なのだと思う。