この番組はエンジニアの成長は楽しい学びからおもっとうに日々インプットした話題をワイワイお届けするラジオになってますさあ明けましておめでとうございますですね収録ははい収録は明けましておめでとうございますですはいじゅんぺいは絶賛引っ越し準備でそうだよねもうだってね1週間後にはフィリピンに行くからね彼ははいそりゃもうすごい引っ越し準備ですよこのタイミングで忙しくないわけがない本当にね

はいというわけでお便りですあそうねお便りから行こうかよしいいですかOKですラジオネーム特命です名前がないですねはいこれ消しちゃったわけじゃないよねうっかりだったらすいません大丈夫だわはいえーと感想からいきますねはい

日々楽しく視聴させていただいてますユーモアあふれる皆様のトークに元気づけられて自信の刺激になっておりますご無理のない範囲で継続いただけると幸いですすごい大人な応援ありがとうございます励みになります本当になるべくユーモアは出していきたいですからねいや本当に今日もユーモアたっぷりでいきましょうポッドキャスト見つけた理由すごいですね

なんて書いてます?クロードにおすすめポッドキャストを質問したところこのポッドキャストを勧められましたってことで今大流行りのLLMOってやつが僕らちゃんとできてますねオプティマイズゼーション?オプティマイズ?いろんな呼ばれ方してるけどLLMOとかAIOとかGIOとか素晴らしい

何がこうそうしてそうなってるのか全く分かりませんがそうですね検索ワードかなタイトルかな多分なタイトルでエンジニアとかっていうのが分かるのは大事な気がするLMO的に確かにはいというのでポッドキャストで話してほしいこと東方インフラ系のエンジニアのためソフトウェアエンジニアの皆様がセキュリティについてどのように日々注意して取り組まれているか興味があります

作るもののセキュリティよりも日々仕事をする上でのセキュリティ対策仕事用PCにEDR入れてるなどについて話聞けると嬉しいですが一つ目ですね二つ目が

話題にしづらい内容かと思いますが皆様の職場やプロジェクトではどのような契約形態で仕事をされているのか興味があります自社の待遇ではなくSES業務委託派遣などお客様とどのような契約をされているのかポッドキャストで配信されている第一線のエンジニアの皆様が実際にどういう形で契約されているのかに興味がありますというのが2つ目ですねありがとうございます

はい黄色が違いますがどちらも話していきましょうかじゃあじゃあまずセキュリティの方からいいですかはい僕これホットなやつが一個あってですね今日撮ってるの月曜じゃないですかはい大体の会社は今日が1月5日で仕事始めのタイミングかなと思うんですけど実は僕昨日ある意見で奔走してまして

昨日あららそいつは忙しいですねとある件で奔走しておりましてまさにこのねセキュリティに関する部分でですね怖いですね火を吹いてたんですよ僕がちょっと何があったかお話しさせていただいていいですかありがとうございますこの対策っていうとちょっとね対策というよりは事後処理に近いんですけどやったことはなんですけどあの

最近Diffyを使ってるんですよAIのワークフローをノーコードで自動で作れるよみたいなめっちゃシンプルに言うとノーコードでAIエージェント作れるツールみたいなやつですねそいつがねめちゃくちゃ重くなってて

クリックしてページ遷移するのに調子悪いと10秒くらいかかるみたいなそれはどういう意味ですか自分でホスティングしてるやつがそれともお客さんにデプロイしてるやつ自分たちの会社で使う用でEC2上にDockerでセルフホスティングしてますめちゃくちゃ重くてさっき言った通りちょっとの遷移で10秒くらいかかるみたいなめちゃくちゃ重いですね重いよねで

それ原因インスタンスサイズケチったわって思ってたんですよ普通に考えるとねCPUかメモリがパンパンになってるかストレージかなみたいなこと思いますけどストレージは余裕持ってそんなにコストかかんないから取っててログ見たらログというか中入ってトップコマンド使って様子を伺ったところですね

メモリがもうパツパツなるほどメモリがパツパツだったんですねプラスクラウドウォッチ見た時にCPUが不自然な動きをしてて20%で張り付いてるんですよずっとまあどっかで動いてるって言ってましたねじゃあなんかどっかのリミットか何かが

なのかなって次思いますねって思うじゃないですかでもそれをAIに聞いたところですね20%で張り付いているのはT3系のインスタンスファミリー使っててT3系ってクレジット使ってCPUのパフォーマンス上げたりみたいなことできるんですよバーストかかるやつでしたっけそうそうそうそう

だからそのバーストのできるCPUのクレジットを使い切ってるとCPUの性能MAX20%までしか使えなくなるんですよへー知らなかったそうなんだだからCPUのクレジット使い果たしててそれで20%で張り付いてたのねでもそんなにそんなに使うかなみたいなまあそうですねで怪しくてそのSSHでサーバーに入って

ログを確認してたんですよそしたらですねまさかのマルウェア感染してて裏側でマイニングのプログラムが動いててどうやって知らない知らないというかそこからどういう対策したかとか話していければなっていう

ちなみにマルウェア感染しててっていうログってどういう風に出るんですかなんかね不審な動きをしまくってるねコンテナがまず感染してたんですよマルウェアにその感染したコンテナだけCPUの使い方が異常だったいっぱい使ってたんですね180%使ってましたね

2コアで2コアだから90%90%くらい使ってたのかなその1個のコンテナが異常にCPU使っててそのコンテナ内からホスト上のいろんなファイルを書き換えようと試みるログが毎秒バーって残っててその大量のコマンド実行とかによってCPUが枯渇して性能落ちててみたいな

へーそれ分かる契機がディフィー重いななんだなるほど最初まさかそんなことになってると思ってなかったよそうですよねこれ最初の衝撃すごいよまさか内側ってなるですよねで

一旦丸上に感染してることは間違いなさそうなんで対策としてまずアウトバウンドのセキュリティグループをオフにして外に通信飛ばないようにしてインバウンドも自分家のIPからのみに制限してその上で必要なデータのバックアップ取って

最悪OSやられてる可能性あるからインスタンスを破棄しようってことで新しくインスタンス立ち上げてそこにDiffyのデータとか全部移行してって無事移行完了してじゃあ次はなんで感染したのかを調べようかなと思って今だったらそんなプログラム動いてもネットワークほぼ切ってるから

そんな大丈夫でしょうということでSSH調べて履歴SSHで入られた形跡はないとはいはいはい普通にユーザーとしてログインされているフロントからウェブのUIからパスワード突破されている形跡もないとうん

アクセスログも見て見たかったんだけどログローテーションされてて1週間分しか残ってなくてそのCPU貼り付いてたのが3週間前からだったんだよねそのせいで結局何が原因で突破されたのかは分かんないんですけどクラウドウォッチのメトリックスは1ヶ月分くらいあったみたいな感じなんですかそうそうそうそうサーバー上に残ってるエンジンXのログがログローテーションで1週間分しか残ってなくてうん

それを見てこれもう完全な原因突き止めるのは無理だなってなって一旦AIに可能性高そうなの聞いたらディフィの脆弱性つかれた可能性が一番高いっすみたいな

それでマルウェアが仕込まれてマイニング用のプログラムが動いてて張り付いて重くなってたっていう非常に怖い事件があってあとはですねDiffyなんでいろんなAIのAPIキーとか入ってたんでそういったのも全部インボークして使えなくしてっていう対策に翻弄してましたねお疲れ様でした焦りました焦りますよねなんか

こう言ったらあれですけどまだマシな環境で良かったですねそうだねあとまあなんかマイニング以外のやばい情報の乗っ取られ方みたいなやつはしなかったからそこはなんか権限ガバガバで作ってなくて良かったなっていう感じだったね確かに確かに大事なんですねそういう最小権限の原則を守るっていうか3週間前だと12月の中旬くらいかそんくらい

なんかもう少し前だとねあれですけどJSのNPMのサプライチェーンアタック回りがホットな時期でしたけどまあわかんないですねそうなんだよねなんかググったら出そうですけどね類似事例あー確かにちょっとそこら辺ググれてないんですけどとにかくこれで一番のセキュリティ対策ってまさか内側って思わないことだなってめっちゃ思ったというか

いやーなかなかな自分で食らってないと思えないかもしれないなまさか打ち勝手はまだ大事なんですけどもちろんただ僕は食らったことないんでのりさんほどリアルには思ってないですね一応これじゃあ防ぐならどういう対策あったかなみたいなところだと正直本当にディビーの脆弱性が原因だとしたら早く常に情報キャッチアップしてパッチ当てるしかないじゃん

できねえと思ったねそれで言うとDiffieってドッカーイメージですか?ドッカーイメージか物によってはギター部のディベンダーボットとかって知ってます?ああいうのを使ってライブラリとかはバージョン追従していくんだろうなって思ったりするんですけどドッカーイメージってどうやるんだろうなって思いますね

パッチバージョンとかだったらいやでもさすがにな検証しなきゃいけないからな普通に考えてめんどくさいですねしかもねもう動いちゃってるものだから改めてなんかさよしそろそろチェックしようかなみたいにならないんだよなんか大きい会社だとっていう話になっちゃうんですけど僕が今まで渡り歩いてきたような会社でなんかどんなことをしてるかで言うと

よくあることかもしれないんですがまずさっきの話で出てきていた脆弱性云々を追従するどうのみたいな話は会社に

その脆弱性の情報CVEとかで出た情報とかをキャッチアップしてヤバそうだったら絶対に直してって強めに言ってくれる部署がいて部署が専門でいるんだ専門の部署がありますね専門の部署専門のチームみたいなのがいてでサービスをリリースするときにそこにこんなライブラリ使ってますよみたいなのを全部登録してでそれでなんか管理してもらうみたいな

そこの部署が見つけて教えてくれるみたいな感じそうですねあとAWSとかだとセキュリティハブっていうサービス使ってどんなやつある?例えばラムダとかだと言語を選べるじゃないですか使えるああいうものとかどっかイメージスキャンしてその中に入っているライブラリとか見てくれてそれで脆弱性がCVEとかに乗ったら

アラート出してくれるとかそういう結構高度レベルっていうんですかねアプリケーションレイヤーレベルでちゃんと脆弱性があったら教えてくれてアラート上げてくれるみたいなサービスをAWSから使ったりしますね多分GCPじゃなくてGoogleクラウドとかAzureにもあるんでしょうけどどっかほどの存在ならそういうやつありそうな気もするなありそうですよねどうなんでしょう

あとはなんかそのまあでもそうですねさすがにバージョンアップごとに追いかけていくみたいなことをやるのはレアな気がするんでそういう脆弱性管理ツールっていうんですかみたいなのを使っていくのが一般的なのかなって思いますよねただそんなになんかやっぱりちゃんとしないといけないじゃないですかそうだねむずいっすけどちゃんとしなきゃなって思います本当にいやむずいんだよなむずいよねこれなんか利益に直接つながるわけではないけど

しくじった時のリスクでかいっていうかでもそのリスクって実際食らってみないと本当に食らうの?っていう気持ちになっちゃうところが怖いよねそうなんですよ今の僕自身の課題でもあるんですけど多分やっぱ呼吸をするようにセキュリティとかセキュリティとアップデートを追いかけるみたいなことを呼吸をするようにやれるようにならないといけないなってすごい思いますね

なおかつその重要性をちゃんと開発者以外に伝えられるみたいなっていうのはなんか最近しみじみ思いますわそうね真面目にあとはもう一個のりさんさっきログローテーションの話してましたけどうちの会社っていうか大きい会社って大体そうなんですけどログをこうやってログをどのくらいの期間保存しなきゃいけませんみたいなのが決まってて

ログローテーションした先にS3かなんかにアーカイブして置いておきましょうねみたいなのがそういう時のことを考えるとやっぱ必要なんだなって今のりさんの話聞いて改めて思いましたほんとそれなデフォルト設定じゃダメだわ今回のDiffieの使い方が何ユースケースなのかがあれですけど確かにな数ヶ月は必要なんですね多分ねっていう感じですかねちなみに

PCにEDREDRってなんだエンドポイントEDRってPCの中で動いているプロセスとか監視して変なことがあったらはいはいはい検知してみたいなやつだった気がします嘘だったらすいませんエンドポイントディテクティブなんちゃらかんちゃらかなエンドポイントディテクション&レスポンスディテクション&レスポンス検知と応答そうですね不審なき挙動を監視してうん

中央集権的に管理してとかができるやつですねこれも会社のPCには入ってたりしますけどウイルス対策ソフトみたいなもんですねちなみに基本的にそういうセキュリティ対策会社が提供しているものを使っているよみたいな感じそうですね大概ある程度の規模だったらそうなんじゃないですかねそうなるよねでもなると思いますなので正直

よく知らない真っさらな環境を渡された時に漏れなくこれをこうしましょうっていう整備をする自信はあんまないです確かにそうだね行動レベルで気をつけてることはちゃんとワンパス使うのとフリーワイファイ使わないぐらいですね色々ありますね会社レベルだというのはそれこそAIエージェント周りだとちゃんとオプトアウトの設定入れれるかとかうんうんうん

やっぱりあれ学習されちゃうと高度漏洩しちゃったよみたいなのがあるみたいなんで実際起きてるんだどうやって発覚するんだろうねそれめっちゃむずいよなめっちゃむずいけどなんかそのお客さんの情報じゃないですけど特定できるような情報が世に出てるみたいなのが巡り巡って話くるんでしょうねそういうことかさすがに自社でさこの聞き方したらうちの情報出てきそうみたいなチェックをしてる人はいないよね

いるんかないやいないと思いますよいないと思います暇すぎ確かにそれもう学習されたらさもう取り返しつかないよねそうですねはいどうしつかないですねこれ消してくださいとかそういう話じゃないもんねそうですねうんまあセキュリティのあたりはそんなとこですかねそんなとこですねはいまあ

まとめると私が触れるのはEDRとかっていう開発とか検証端末保守端末のセキュリティとあとは脆弱性対策運転どうするかみたいなどうやって管理していくかみたいなあとユーザーの棚下ろし系ですね使ってないアカウントすぐ消すよねとかあとはログの保管あとは異常そういうインシデント発生時の運用ルール作るみたいなそれも大事だよな今回めっちゃテンパったわマジでそうですよね

今ちょっとさらに言えるのはそんなもんですけど他にもあるからあったらすまんって感じです結構避難訓練みたいなめっちゃ本番だったんだけど避難訓練みたいな感じになったわいやそうっすよね結局ね社内で使ってみる用のディフィみたいな感じだったんであれだったけどまだましですねっていうのが前半のセキュリティの話でした後半

これはそんなにいかないかなサクっていくかもしれないですけど職場とかプロジェクトではどんな契約形態で仕事をされてますか僕からいきますねまず僕は自分の会社で働いているんですがSIとして他の会社から仕事を受けてますその契約形態は多分順位に

でちょっと細かいお金の流れは正直喋れないんですけどまあでも給料は自分の会社から出てますとただ全員が全員僕の会社の社員ではなくてパートナーさんと呼ばれる方がいますとでその方はフリーランスの方もいれば他の会社の

人もいますでそれは何なんだ多分順位人なのかな大体そうじゃない派遣の人もたまにいるけど順位人だと思いますはい順位人だな派遣の人もいるかな派遣の人もいるかないやいないな順位人ですねですねただ一社目というかなんか前職とかだとねSESの人とか派遣の方とかもちょいちょいいましたねうんうんうん

でこういうそうですね第一線言うても我々中堅エンジニアなんで中堅エンジニアって言ったらあれかもしれないな駆け出しシニアエンジニアみたいなところがあるんでそんなもんですけど多分世の中大概そんなもんじゃないですかまあなんかそんなもんだと思うコンサルもね結局順位人でしょうしねうんのりさんってどんな感じなんですかうちは今

一個受託で開発してると思うんですけど正直謎ですね契約何の契約交わしてるのか知らされていないから毎月お金入ってくるし開発してるけどどういう契約なのか知らないんですよねまあ低額入ってくるならあとは成果物が担保されてるかどうかくらいですかねSEとか

派遣とかではないですよね少なくともとは思う派遣って最近聞かないの?いるのかな?今度聞いてみようか確かに聞いてみてくださいでも派遣ね僕はSESで一番最初に行った現場には派遣の人いましたねでもね正直派遣とSESの違いがあんまり分かってなかったその時は私ちょっと今分からんかも

俺もね忘れてしまったななんか派遣さんの方ががっつり会社に入りますよねえーっとね指揮系統じゃなかったっけなこれ派遣は確か現場で現場の人が指示できるんだよねでもSESの順位人か順位人の場合だと現場の人は直接指示しちゃ本当はダメで自社の人が指示しなきゃいけない指揮系統が確か違ったはずなるほど

はいっていうのが今やってる現場の契約状況って感じですねそうですねはいというと何かのヒントになったら幸いでございます何かのヒントになるのかなこれ多分大体どこの職場も自社のメンバーがいてパートナーがいて大体そのパートナーはフリーランスで業務委託とか順位人で委託してるとかそんな感じになるよね順位人か業務委託か

ちなみにフリーランスの割合体感どんなもんなんですか結構いる印象ですかいや個人的な感覚はSESがめちゃくちゃ多いと思う半分以上SESじゃないなんかバドナーさんってはいそのイメージがあります感覚8割ぐらいSESなんじゃないかなって気がしてるんだけどフリーランスの人はなんかあんまりいないというか多分会社によって色がすごい違うんですよフリーランス行けるとこと行けないところうん

だからあんまり会ったことないちっちゃいところが多いんじゃないフリーランスはでかいところだとさ人数多いからさ一人一人とやり取りするのしんどいからどっかまとめてる会社いないときついんじゃない確かにありがとうございますというのでじゃあそろそろ締めましょうか特命の方ありがとうございました引き続きまた気になったのがあれば

お便りお願いします何でも聞いてくださいこの番組はハッシュタグひまじんプログラマーでSNSでフィードバック募集してますので本日のエピソードの感想とかありましたらぜひぜひ気軽にお願いいたしますマルウェア食らった仲間で飲み会しましょうめっちゃ気になるな真相本当だよね闇の中でインスタンスぶっ壊しちゃったし普通に超怖いんですけどだってクローズドですよね一応誰でもアクセスできるよないやWeb APIあるよ

インスタンスでした?ウェブ公開してる結局ガスからAPI叩きたかったから80番443か443ポート開いてたよでも443ポート開いてるからってまるや感染しないですよね443ポートに開いてたら油断するなって俺はジェミニに言われましたしこたま言われたわファイルアップロードされたってこと?世界に公開してたらそこでもうねリスクはあるんだからって

お母さんみたいなこと言われたよいやあるな言うのはいやー何なんだろうなめっちゃ気になるけどなマルウェアちょっとあんまり攻撃手法も詳しいわけじゃないですけどにしてもねだってプログラムアップロードしてそれを実行するプロセスコマンド叩かないと多分動かないはずだからなんか任意のコマンド実行できる何かがあったんでしょうねうんうん

ポッドキャストの説明欄からGoogleフォームで番組の要望・感想・質問お待ちしてます今日のお便りのようなものもいいですし楽しいとか面白かったとか何でもいいのでお願いします答えられる範囲でバシバシ答えていきますあとはポッドキャストの説明欄ではなく

日本のエンジニアは使うアプリが多すぎる事実ひまプロの使用アプリ平均数38.6個

レイキャストならアプリの即起動過去のコピー履歴を引き出せるウィンドウのリサイズなどこれ一つで作業効率アップしかも料金無料今すぐレイキャストで検索