2017年10月のssmjp〜キタガワナイトふたたび！ WannaCryスペシャル！！〜のまとめ

明日の #ssmjp の入館についての情報を明日のお昼頃connpassからメールでお送りいたします。忘れずご確認いただけますようお願いいたします(尚日中メールを確認できないなどございましたらご連絡下さい。)

— #ssmjp info(@_ssmjp)Wed Oct 25 09:40:27 +0000 2017

今日は #ssmjp です。引き続きキャンセル待ちとなっている方が多数いらっしゃいます。参加が難しいという方は goo.gl/JwfxwR キャンセルの処理を早めにお願いします。 また、現在キャンセル待ちとなっていらっしゃる方は繰り上がり状況をご確認下さい。

— #ssmjp info(@_ssmjp)Wed Oct 25 22:19:28 +0000 2017

尚、入館についての情報をお昼頃connpassのメール機能でお知らせいたします。メールをご確認頂けますようお願いいたします。 #ssmjp

— #ssmjp info(@_ssmjp)Wed Oct 25 22:19:36 +0000 2017

今日は #ssmjp だ！

— やなぎぃ(@yng_hr)Thu Oct 26 00:00:36 +0000 2017

ただいま、connpassのメール機能を使い本日お越しの皆様並びにキャンセル待ちとなっている皆様に入館証の発行についてメールを送付いたしました。 ご確認お願いいたします。 #ssmjp moby.to/xxr3ha

— #ssmjp info(@_ssmjp)Thu Oct 26 03:21:07 +0000 2017

今日の #ssmjp は 選外かー。残念。

— 菅原 俊(@Shun_Sugawara)Thu Oct 26 08:23:58 +0000 2017

#ssmjp うーん、繰り上がらないかなぁ。

— 山上勝年(@kachou_1999)Thu Oct 26 09:05:06 +0000 2017

本日の #ssmjp 会場準備中です。今しばらくお待ち下さい。

— #ssmjp info(@_ssmjp)Thu Oct 26 09:44:45 +0000 2017

Swarm

株式会社DMM.com

https://t.co/TiJjCeIC46

Office in 東京, 東京都

— かんぱぱ(@kanpapa)Thu Oct 26 09:52:13 +0000 2017

#ssmjp 開場いたしました。

— #ssmjp info(@_ssmjp)Thu Oct 26 09:54:39 +0000 2017

今回は #ssmjp 繰り上がりそうにないなー　^^;

Twitter

 

2420 Pockets

http://twitter.com/search?q=#fb

http://twitter.com/search?q=#fb

— はと３５(@hato1964)Thu Oct 26 09:56:11 +0000 2017

わなわなしに来た #ssmjp

— えにぐま(@enigma63)Thu Oct 26 10:11:58 +0000 2017

ということで #ssmjp のキタガワナイトに来ました。今日はブログ枠で参加なのでログ取る。 pic.twitter.com/CqUgXcneJ5

— KOYAMA Tetsuji(@koyhoge)Thu Oct 26 10:13:40 +0000 2017

#ssmjp キタガワナイト　ちぇきん！ pic.twitter.com/t0Sl7h1Pl1

— やなぎぃ(@yng_hr)Thu Oct 26 10:19:49 +0000 2017

オサレなオフィスだーーー！ #ssmjp

— にゃん☆たく(@taku888infinity)Thu Oct 26 10:20:55 +0000 2017

#ssmjp 今宵はいつもとは部屋が違う。
いつもの広大な部屋は宴会の模様！マイクを使った乾杯の音頭が！

— やなぎぃ(@yng_hr)Thu Oct 26 10:22:02 +0000 2017

#ssmjp ここのプロジェクターは接続後のタイムラグが定番w

— やなぎぃ(@yng_hr)Thu Oct 26 10:24:29 +0000 2017

#ssmjp 今回は入館時に受付機にバーコードをかざして無人で発行する形式！斬新！

— やなぎぃ(@yng_hr)Thu Oct 26 10:25:55 +0000 2017

#ssmjp フライングスタート！

— やなぎぃ(@yng_hr)Thu Oct 26 10:28:17 +0000 2017

近くでハロウィンパーティをやっているらしい。#ssmjp

— かんぱぱ(@kanpapa)Thu Oct 26 10:29:15 +0000 2017

少し早いけど、始まりました〜 #ssmjp

— yakumo3(@yakumo3)Thu Oct 26 10:29:16 +0000 2017

宴会はハロウィンパーティーとのこと。廊下でモンスターに会うかも！ #ssmjp

— やなぎぃ(@yng_hr)Thu Oct 26 10:29:16 +0000 2017

#ssmjp 繰り上がらなかったか。残念。飯食って帰るか。

— 山上勝年(@kachou_1999)Thu Oct 26 10:32:26 +0000 2017

いるにゃん #ssmjp

— エコハマショー?(@eco_hamasho30)Thu Oct 26 10:34:42 +0000 2017

Twitter

 

2420 Pockets

http://twitter.com/search?q=#ssmjp

http://twitter.com/search?q=#ssmjp

— turedure(@tudumi)Thu Oct 26 10:35:45 +0000 2017

画面結合部分で重要なところが隠されてる! #ssmjp pic.twitter.com/1qDv36YzIS

— がみ(@gamiko)Thu Oct 26 10:37:00 +0000 2017

#ssmjp 始まった

— ArctanX(@arctanx93)Thu Oct 26 10:39:50 +0000 2017

475枚のスライドw全部話し終われるの？？ #ssmjp

— えにぐま(@enigma63)Thu Oct 26 10:40:36 +0000 2017

475枚w #ssmjp

— にっちそうり(@nyachihide)Thu Oct 26 10:40:40 +0000 2017

475枚のスライドｗｗｗ #ssmjp

— にゃん☆たく(@taku888infinity)Thu Oct 26 10:40:41 +0000 2017

スライドの公開予定なし！475ページ！ #ssmjp

— やなぎぃ(@yng_hr)Thu Oct 26 10:40:45 +0000 2017

SDカード忘れた #ssmjp

— lumin(@lumin)Thu Oct 26 10:42:35 +0000 2017

話題を絞って475枚。475枚… #ssmjp

— えにぐま(@enigma63)Thu Oct 26 10:43:45 +0000 2017

わな…わな… #ssmjp

— えにぐま(@enigma63)Thu Oct 26 10:43:56 +0000 2017

たくさんかんせんしました☆（ゝω・）vｷｬﾋﾟ #ssmjp

— にゃん☆たく(@taku888infinity)Thu Oct 26 10:45:05 +0000 2017

はやい。早口でスライドが次々に。475ページいくかも。 #ssmjp

— やなぎぃ(@yng_hr)Thu Oct 26 10:49:16 +0000 2017

活動期間や感染台数、支払金額としては他のワームやランサムウェアなどと比べると意外と少ないWannaCry #ssmjp

— えにぐま(@enigma63)Thu Oct 26 10:50:06 +0000 2017

爆速でスライドが消費されていく… #ssmjp

— yakumo3(@yakumo3)Thu Oct 26 10:50:16 +0000 2017

ランサムウェア別支払額が掲載されている資料[PDF]はこちら。 blackhat.com/docs/us-17/wed… #ssmjp

— 辻 伸弘(nobuhiro tsuji)(@ntsuji)Thu Oct 26 10:52:35 +0000 2017

あまのはら　ふりさけみれば

 

1 Share

『「Shadow brokers」1：彼らは日本人である』

https://t.co/TrIic21DiC

シャドーブローカーズは2016年8月にNSAやCIAのハッキングツールをネットでオークションに掛けた犯罪者である。その話をネタに何か書こうと思って調べていたら…

— やなぎぃ(@yng_hr)Thu Oct 26 10:59:02 +0000 2017

WannaCryの発症条件ってざっくりこんな感じですかね。 #ssmjp pic.twitter.com/e1g4qjeeMp

— 辻 伸弘(nobuhiro tsuji)(@ntsuji)Thu Oct 26 11:00:02 +0000 2017

当時、XPでネットワーク感染するかをテストしたのですが自分の環境では感染しなかったり、BSODになりました。7では問題なく（？）検証は成功しました。その際の動画はこちら↓ #ssmjp twitter.com/ntsuji/status/…

— 辻 伸弘(nobuhiro tsuji)(@ntsuji)Thu Oct 26 11:07:22 +0000 2017

そほすwwwww #ssmjp

— やなぎぃ(@yng_hr)Thu Oct 26 11:08:04 +0000 2017

報道や米下院に出たシマンテックCTOがwannacryがxpを狙ったと発言 #ssmjp

— やなぎぃ(@yng_hr)Thu Oct 26 11:09:16 +0000 2017

NHS内にあるWindowsXPの割合について言及したステートメント。 / UPDATED Statement on reported NHS cyber-attack (13 May) – NHS Digital #ssmjp digital.nhs.uk/article/1493/U…

— 辻 伸弘(nobuhiro tsuji)(@ntsuji)Thu Oct 26 11:10:10 +0000 2017

NHSのxpの台数は4.7%。９割はxpが１台でもある英病院の数。 #ssmjp

— やなぎぃ(@yng_hr)Thu Oct 26 11:11:44 +0000 2017

海外ニュースの読み間違いで、英医療機関で多くのXPが使われていたと間違った報道が続いたわなわな。実際は全体の4.7% #ssmjp

— えにぐま(@enigma63)Thu Oct 26 11:12:21 +0000 2017

実際の感染の多くはWindows7だった #ssmjp

— えにぐま(@enigma63)Thu Oct 26 11:13:32 +0000 2017

感染の98%はWindows7 #ssmjp

— やなぎぃ(@yng_hr)Thu Oct 26 11:13:42 +0000 2017

Twitter

 

2420 Pockets

http://twitter.com/search?q=#ssmjp

http://twitter.com/search?q=#ssmjp

— にっちそうり(@nyachihide)Thu Oct 26 11:15:19 +0000 2017

今日は2時間休みなしでキタガワナイト？ #ssmjp

— lumin(@lumin)Thu Oct 26 11:15:40 +0000 2017

Twitter

 

2420 Pockets

http://twitter.com/search?q=#ssmjp

http://twitter.com/search?q=#ssmjp

— にっちそうり(@nyachihide)Thu Oct 26 11:16:08 +0000 2017

Twitter

 

2420 Pockets

http://twitter.com/search?q=#ssmjp

http://twitter.com/search?q=#ssmjp

— にっちそうり(@nyachihide)Thu Oct 26 11:17:06 +0000 2017

わなわなとXPを巡る報道の変化面白いなー。 #ssmjp

— えにぐま(@enigma63)Thu Oct 26 11:18:54 +0000 2017

#ssmjp　サポート切れのOSを使い続けていることよりも、２ヶ月前のパッチを適用していないことが問題

— やなぎぃ(@yng_hr)Thu Oct 26 11:19:27 +0000 2017

バッチがあるのに適用されないまま運用されてるWindows 7やServer 2008があまりにも多かったのがWannaCry蔓延の元凶。XPではWannaCryは動かない。(一般報道ではXP元凶説が囁かれたが) #ssmjp

— MORI Tomoya(@moritomoya)Thu Oct 26 11:20:28 +0000 2017

WannaCry特集、濃くて良い感じに #ssmjp

— F@L(@falms)Thu Oct 26 11:20:42 +0000 2017

サポート切れOSのXPを使うより、パッチが出ているのに適応してなかったことが問題って、色々と管理が出来てないことかな。 #ssmjp

— えにぐま(@enigma63)Thu Oct 26 11:21:49 +0000 2017

イケイケハロウィーンパーティーじゃん #ssmjp

— そけと(@sys_socket)Thu Oct 26 11:22:00 +0000 2017

Twitter

 

2420 Pockets

http://twitter.com/search?q=#ssmjp

http://twitter.com/search?q=#ssmjp

— にっちそうり(@nyachihide)Thu Oct 26 11:22:02 +0000 2017

隣のハロウィンパーティーにプロジェクターを乗っ取られたw #ssmjp

— やなぎぃ(@yng_hr)Thu Oct 26 11:22:13 +0000 2017

画面がハロウィンパーティーにハックされてる #ssmjp

— エコハマショー?(@eco_hamasho30)Thu Oct 26 11:22:41 +0000 2017

どなたかBitcoinでお支払いお願いしますww #ssmjp

— にっちそうり(@nyachihide)Thu Oct 26 11:23:13 +0000 2017

20時半まで休憩！ #ssmjp

— やなぎぃ(@yng_hr)Thu Oct 26 11:23:20 +0000 2017

画像がかわった。#ssmjp

— かんぱぱ(@kanpapa)Thu Oct 26 11:24:55 +0000 2017

画像が戻った #ssmjp

— かんぱぱ(@kanpapa)Thu Oct 26 11:26:08 +0000 2017

猛然とログを取っていたが休憩で一息ついたw #ssmjp

— KOYAMA Tetsuji(@koyhoge)Thu Oct 26 11:26:35 +0000 2017

Twitter

 

2420 Pockets

http://twitter.com/search?q=#ssmjp

http://twitter.com/search?q=#ssmjp

— にっちそうり(@nyachihide)Thu Oct 26 11:26:55 +0000 2017

Hacked by DMM www #ssmjp

— yakumo3(@yakumo3)Thu Oct 26 11:26:58 +0000 2017

これで時間が押してるだとーーーーーーーーーーーーまだ155Pあと300P。#ssmjp

— にっちそうり(@nyachihide)Thu Oct 26 11:28:05 +0000 2017

まだ155ページ目 #ssmjp

— やなぎぃ(@yng_hr)Thu Oct 26 11:28:20 +0000 2017

1時間で155ページ消化 #ssmjp

— かんぱぱ(@kanpapa)Thu Oct 26 11:28:21 +0000 2017

約1時間で100ページ。残り300www #ssmjp

— えにぐま(@enigma63)Thu Oct 26 11:28:29 +0000 2017

endgame のレポートが紛らわしかった #ssmjp

— やなぎぃ(@yng_hr)Thu Oct 26 11:31:08 +0000 2017

ワナクライのエタブルはgithubのpcapを流用。ハードコードされたIPがそのまま #ssmjp

— やなぎぃ(@yng_hr)Thu Oct 26 11:34:50 +0000 2017

感染から24時間でSMBスキャンを止める。 #ssmjp

— やなぎぃ(@yng_hr)Thu Oct 26 11:37:27 +0000 2017

突然のJアラートwww #ssmjp

— えにぐま(@enigma63)Thu Oct 26 11:38:19 +0000 2017

記事に対する怒涛のツッコミwww #ssmjp

— えにぐま(@enigma63)Thu Oct 26 11:39:22 +0000 2017

Jアラートの筆者把握。シャッチョさんやw #ssmjp

— MORI Tomoya(@moritomoya)Thu Oct 26 11:39:59 +0000 2017

Twitter

 

2420 Pockets

http://twitter.com/search?q=#ssmjp

http://twitter.com/search?q=#ssmjp

— toshis(@toshis_)Thu Oct 26 11:40:39 +0000 2017

登場から7～8時間でキルスイッチがシンクホール化 #ssmjp

— やなぎぃ(@yng_hr)Thu Oct 26 11:47:33 +0000 2017

WannaCry出現後から7ー8時間でKillSwitchがシンクホール化されたため、被害が少なかった #ssmjp

— えにぐま(@enigma63)Thu Oct 26 11:47:44 +0000 2017

RT @ntsuji: ランサムウェア別支払額が掲載されている資料[PDF]はこちら。 blackhat.com/docs/us-17/wed… #ssmjp

— くろの(@Chrono_Net)Thu Oct 26 11:51:17 +0000 2017

virustotalにpassivetotal機能がありドメインの過去IPが分かる…無料で使えたっけ？ #ssmjp

— やなぎぃ(@yng_hr)Thu Oct 26 11:53:22 +0000 2017

キルスイッチのない亜種の出現の報道は誤報。virustotalのやつはITWなし。 #ssmjp

— やなぎぃ(@yng_hr)Thu Oct 26 11:55:43 +0000 2017

１日半後、ITWに。誰かがvirustotalから落としたのが拡散しちゃった？ #ssmjp

— やなぎぃ(@yng_hr)Thu Oct 26 12:00:15 +0000 2017

Twitter

 

2420 Pockets

http://twitter.com/search?q=#ssmjp

http://twitter.com/search?q=#ssmjp

— toshis(@toshis_)Thu Oct 26 12:01:36 +0000 2017

Twitter

 

2420 Pockets

http://twitter.com/search?q=#ssmjp

http://twitter.com/search?q=#ssmjp

— とある診断員(@tigerszk)Thu Oct 26 12:01:59 +0000 2017

不審メールフレンズwww #ssmjp

— yakumo3(@yakumo3)Thu Oct 26 12:02:03 +0000 2017

Wannacryの感染経路が不審なメールフレンズｗｗｗ #ssmjp

— にゃん☆たく(@taku888infinity)Thu Oct 26 12:02:41 +0000 2017

Twitter

 

2420 Pockets

http://twitter.com/search?q=#ssmjp

http://twitter.com/search?q=#ssmjp

— にっちそうり(@nyachihide)Thu Oct 26 12:03:20 +0000 2017

確かにWannaCryは最初、感染経路情報が迷走してたなー。 #ssmjp

— えにぐま(@enigma63)Thu Oct 26 12:03:26 +0000 2017

時間がないのでスライドを飛ばします！ #ssmjp

— やなぎぃ(@yng_hr)Thu Oct 26 12:08:08 +0000 2017

普通のランサムウェアは被害者ごとに異なるビットコインアドレスが使われる。シマンテックによるとバグのせいでアドレスが固定。 #ssmjp

— やなぎぃ(@yng_hr)Thu Oct 26 12:10:52 +0000 2017

修正後にメッセージが送られていた #ssmjp

— やなぎぃ(@yng_hr)Thu Oct 26 12:17:22 +0000 2017

QUARTZにワナクライ被害者２人の記事が掲載されている。支払った。メッセージ送信。
5/17支払い受領確認のメッセージが来て複合できた。 #ssmjp

— やなぎぃ(@yng_hr)Thu Oct 26 12:19:46 +0000 2017

支払っていないのにコンタクトアスから払った！とメッセージを送り続けたら、複合鍵を入手できた。 #ssmjp

— やなぎぃ(@yng_hr)Thu Oct 26 12:21:48 +0000 2017

WannaCryには誰が支払ったかを判別しないバクがあったため、身代金を支払わず「支払った」と毎日連絡を取ったら複号できたwww #ssmjp

— えにぐま(@enigma63)Thu Oct 26 12:22:04 +0000 2017

６月以降はC2サーバーがテイクダウンされていたのでもう復号できない #ssmjp

— やなぎぃ(@yng_hr)Thu Oct 26 12:24:05 +0000 2017

デスクトップとマイドキュメントのファイルは上書き削除されるが、それ以外は単なる削除なので復元できるかも #ssmjp

— やなぎぃ(@yng_hr)Thu Oct 26 12:29:34 +0000 2017

ロスタイムに入りました。 #ssmjp

— lumin(@lumin)Thu Oct 26 12:31:29 +0000 2017

時間になったけでまだ終わらない！ #ssmjp

— やなぎぃ(@yng_hr)Thu Oct 26 12:32:05 +0000 2017

誰が背後にいるのか。 #ssmjp

— やなぎぃ(@yng_hr)Thu Oct 26 12:32:23 +0000 2017

凄い本当に475ページ走りきりそうだ！ #ssmjp

— yakumo3(@yakumo3)Thu Oct 26 12:33:06 +0000 2017

googleの研究者がlazarusとの共通点についてツイート #ssmjp

— やなぎぃ(@yng_hr)Thu Oct 26 12:33:47 +0000 2017

βとSPE攻撃とアドレスが一致してた #ssmjp

— やなぎぃ(@yng_hr)Thu Oct 26 12:34:47 +0000 2017

このIPの端末はセキュリティが緩そう？ #ssmjp

— やなぎぃ(@yng_hr)Thu Oct 26 12:35:30 +0000 2017

攻撃者が誰なのか？ということはすべての人が気にしなければいけない事項ではないとボクも思いますよ。守り方、対策が大きく変わるものではないですからね。 #ssmjp

— 辻 伸弘(nobuhiro tsuji)(@ntsuji)Thu Oct 26 12:36:31 +0000 2017

まとめを見てるとWannaCryだけでもこんなに不正確だったり間違いだった情報が多く出回ったんだなー。 #ssmjp

— えにぐま(@enigma63)Thu Oct 26 12:40:02 +0000 2017

不正確な情報が多い。対策の誤解、実施の遅れにつながっている。　#ssmjp

— にっちそうり(@nyachihide)Thu Oct 26 12:41:13 +0000 2017

狙われた環境、感染経路、キルスイッチドメイン、複号と言ったWannaCryを巡る情報を聞いてると、間違った報道が拡散されることもあるし、偽の情報も出るし、正しい情報の見極めって難しいなと思った。 #ssmjp

— えにぐま(@enigma63)Thu Oct 26 12:41:40 +0000 2017

メディアだけでなく専門家が発信する情報にも偏りや間違い、不正確さがある時もある。 #ssmjp

— えにぐま(@enigma63)Thu Oct 26 12:42:23 +0000 2017

475ページ完走おめでとうございます！！ #ssmjp

— えにぐま(@enigma63)Thu Oct 26 12:42:56 +0000 2017

475枚完走。ありがとうございました。#ssmjp

— にっちそうり(@nyachihide)Thu Oct 26 12:43:04 +0000 2017

#ssmjp 力作のプレゼン終了。勉強になった。

— ArctanX(@arctanx93)Thu Oct 26 12:43:47 +0000 2017

さきほど終了した #ssmjp キタガワナイトの記録メモを公開しました。 gist.github.com/koyhoge/c127f0…

— KOYAMA Tetsuji(@koyhoge)Thu Oct 26 12:47:13 +0000 2017

手を動かして調べないと、間違っていたり、おかしなこと言っていたりするからな。 #ssmjp
北の関与は全力で否定した。

— lumin(@lumin)Thu Oct 26 12:54:13 +0000 2017

圧倒的な情報量でした。#ssmjp

— かんぱぱ(@kanpapa)Thu Oct 26 12:55:02 +0000 2017

gistはすでに公開済ですが、ブログ枠なのでブログにも書きました。 / “#ssmjp キタガワナイト「公開情報から読み解くWnnaCry騒動」にブログ枠で参加してきた – Blog::koyhoge::Tech” htn.to/ycf9F9

— KOYAMA Tetsuji(@koyhoge)Thu Oct 26 15:06:48 +0000 2017

今夜のキタガワナイト、資料公開とか無いそうですけど希望があればおかわりも有りだそうです。
…やるなら土曜の日中とかに特番かなぁ…(今回も増刊号でしたけどw) #ssmjp

— yakumo3(@yakumo3)Thu Oct 26 15:39:09 +0000 2017