12.28🎂🌹👑

大好きなルスラン様、おめでとうございました。

年越しちゃったうえ1ヶ月以上遅れだけどやっぱり絵でもお祝いしたかった。

(今年は当日載せられるよう体調整えたい⋯)

孤高の存在であり冷血とも思われるルスランさん⋯でもその奥を覗けば寂しさや葛藤⋯多くの事に飲み込まれぬよう惑わされぬよう拭い抗い立ち続けて来た皇帝でありいち一人の人間の姿。

ヒロインとの出会いはまさしく運命。

少しずつ自分を見せる、初めての感情に向き合う、一つ一つの変化と柔らかくなっていくその表情⋯見る度に嬉しくなりました。

ヒーローとヒロインだけど、常に皇帝と王女という立場で常に対等に臆することなく意見や考えを交換し合う二人の関係性も好きです。

クリステンとオーロリアの道が良い形で結ばれた先。これからもお幸せに。

春が来たらミラプリ歴1周年！！本当ルスランさん出会えて良かった推しの一人です。これからも大好きです。

.

【難易度SSS級】歌劇「ルスランとリュドミラ」序曲／エレクトーン演奏【りっちゃんの音楽】

娘史上、最難易度の曲にチャレンジしました。 リズムがない曲で、音替えは全てフットスイッチを使って自分でしています。 かなり激しめに切り替えがあるので、所々ズレていたりします。 生で聴くとそうでもないのですが、音をラインで取ると色々バレるし機械的な感じもします💦 お聞き苦しいところもあると思いますが、暖かい目と耳でご覧いただけましたら嬉しいです。 ※ステージの響きに近づけるため、全体的にリバーブを上げています。 この曲の本番(ソロコンサート)にて、音量のペダルを下げたまま1音目を弾くという、いつもはしないミスを盛大にやらかした娘。 当然音は鳴らずに補助ベースの打鍵音が響いていましたが、そのあと気持ちをすぐに切り替えて弾き始めていました。 演奏は気持ちよく弾けたとはいえ、少し悔しさが残った舞台でした。 その日家に帰ってきてからその思いを吹っ切るために、自分の持てる力を全て出し切って、思いっき…

View On WordPress

独立行政法人情報処理推進機構（IPA）および一般社団法人JPCERT コーディネーションセンター（JPCERT/CC）は7月29日、SKYSEA Client Viewにおける複数の脆弱性について「Japan Vulnerability Notes（JVN）」で発表した。GMOサイバーセキュリティ byイエラエ株式会社のルスラン サイフィエフ氏とデニス ファウストヴ氏が報告を行っている。影響を受けるシステムは以下の通り。 ・CVE-2024-41139 SKYSEA Client View Ver.6.010.06からVer.19.210.04eまで ・CVE-2024-41143 SKYSEA Client View Ver.3.013.00からVer.19.210.04eまで ・CVE-2024-41726 SKYSEA Client View Ver.15.200.13iからVer.19.210.04eまで 　Sky株式会社が提供するIT資産管理用ツールSKYSEA Client Viewには、下記の影響を受ける可能性がある複数の脆弱性が存在する。 ・特定プロセスにおけるアクセス制限不備（CVE-2024-41139） →特定のフォルダに細工されたDLLファイルを配置された場合、SYSTEM権限で任意のコードを実行される ・共有メモリを介したデータ交換におけるリクエスト発信元の検証欠如（CVE-2024-41143） → SYSTEM権限で任意のプロセスを実行される ・パストラバーサル（CVE-2024-41726） →任意の実行ファイルを起動される

SKYSEA Client View に複数の脆弱性 | ScanNetSecurity

ウクライナは2日、実業家のイーロン・マスク（Elon Musk）氏がソーシャルメディアでウォロディミル・ゼレンスキー（Volodymyr Zelensky）大統領について、ロシア軍を撃退するため西側諸国に軍事・財政支援を再三求めているとやゆしたことに猛反発した。 　マスク氏は2日、自身が運営するXにゼレンスキー氏のミームを投稿。同氏の画像には「10億ドル（約1500億円）の援助を求めなくなるまで5分かかりました」という説明が添えられている。 　ミハイロ・ポドリャク（Mykhailo Podolyak）大統領府顧問はXで、「今のウクライナに対する黙殺や皮肉は、集団暴力と大量殺りくを正当化するロシアのプロパガンダを直接喧伝（けんでん）するに等しい」と批判した。 　ルスラン・ステファンチューク（Ruslan Stefanchuk）最高会議（国会）議長もマスク氏の投稿を非難。同氏率いる米宇宙開発企業スペースX（SpaceX）が4月に打ち上げたロケットが試験飛行中に爆発したことに言及し、「宇宙征服」を目指すマスク氏の試みは5分で失敗し、同氏は多くの問題に追われているとやゆした。(c)AFP

マスク氏、ゼレンスキー氏を嘲笑 ウクライナ猛反発　写真2枚　国際ニュース：AFPBB News

22年コンサート#202

12月15日　サントリーホール

ファビオ・ルイージ指揮NHK交響楽団　第1973回定期演奏会

M.グリンカ　ルスランとリュドミーラ　序曲

S.ラフマニノフ　ピアノ協奏曲第2番

　河村尚子　ピアノ

A.ドヴォルジャーク　交響曲第9番

ラフマニノフが素晴らしかった。気品に満ち、繊細で、それでいて親密。第2楽章は、ただ美しいだけでなく、三部形式の中間部がスケルツォ的性格をあわせ持つように感じさせる構成の妙もあった。「ロシア的な」ゴージャスな演奏とは異なるが、この演奏、私は大好き。

NHK Symphony Orchestra. Tokyo

conductor Fabio Luisi

piano Hisako Kawamura

M.Glinka - Ruslan and Lyudmila -Overture

S.Rakhmaninov - Piano Concerto No.2

A.Dvorak - Symphony No.9

for review

2022年2月25日

海の向こうで戦争が始まりました。

私たち『暮しの手帖』は、敗戦まもない1948年、「もう二度と戦争を起こさないために、一人ひとりが暮らしを大切にする世の中にしたい」そんな理念のもとに創刊した雑誌です。

暮らしをいつくしみ、誰かを愛せるのは、平和があってこそ。

私たちは戦争に反対します。

ウクライナ選手の反戦メッセージに警告出さず　主審の対応をネット絶賛「かなり異例」「正直驚き」（スポニチアネックス）

サッカーの欧州リーグ（EL）決勝トーナメントプレーオフ第2戦が24日、各地で行われ、アタランタ（イタリア）がオリンピアコス（ギリシャ）に3―0で勝利。ロシアのウクライナ侵攻を受け、ウクライナ代表MFルスラン・マリノフスキー（28）はゴール後に反戦メッセージを掲げたが、主審がイエローカードを出さなかったことでネット上から称賛された。

この日2得点と活躍したマリノフスキーは、1―0の後半22分にゴールを決めるとユニホームをめくって「ウクライナに戦争はいらない」というメッセージが書かれたTシャツを披露。両手を合わせお願いするようなジェスチャーで必死アピールした。

試合中に“抗議行動”に出たマリノフスキーに対し、主審のカルロス・デル・セロ・グランデ氏は通常であれば提示されるはずのイエローカードを出さず。そのまま試合を再開させると、ネット上では「審判グッジョブ!」「審判、素晴らしい!」「かなり異例な対応に“男気”を感じました」「正直驚きました。例えどんな状況でも試合中に政治メッセージパフォしたら問答無用で警告だと思っていたので」と称賛の声が上がった。

欧州サッカー連盟（UEFA）では24日「ウクライナで進行中のロシアの軍事侵略を強く非難します」と公式声明を発表。別会場のナポリ（イタリア）対バルセロナ（スペイン）でも試合前に両イレブンが集まり「戦争を止めよう」というメッセージを掲げるなど、欧州サッカー界での“反戦運動”が広がりを見せていた。

UEFA、今季のCL決勝開催地をロシアから変更。パリのスタッド・ドゥ・フランスに

欧州サッカー連盟（UEFA）は25日、2021-22シーズンのチャンピオンズリーグ（CL）決勝��開催地をフランス・パリのスタッド・ドゥ・フランスに変更したことを発表した。

欧州最強のクラブを決定するCLのファイナルは今季、5月28日にロシアのサンクトペテルブルクにあるガスプロム・アレナで開催予定だった。しかし、ロシアのウクライナ侵攻による緊張状態から、決勝の開催地変更が濃厚とみられていた。

治安情勢の悪化を受け、UEFAは25日に臨時ミーティングを実施。その結果、CL決勝の開催地はパリのスタッド・ドゥ・フランスに変更となった。5月28日、現地時間21時キックオフの日程に変更はない。

また、同日の会議を受け、UEFA大会に出場するロシアとウクライナのクラブおよび代表チームは、さらなる通知があるまでホームマッチは中立の会場で実施することが決まっている。

マンＵがアエロフロート・ロシア航空とのスポンサー契約打ち切り、損失は12億円超見込み（日刊スポーツ）

マンチェスター・ユナイテッドは25日、23年までとなっていたアエロフロート・ロシア航空とのスポンサー契約を打ち切ったと発表した。

ウクライナへのロシアの軍事侵攻を受け、英国ではガス事業などを手掛けるロシアのガスプロム社や、アエロフロート・ロシア航空などの商業活動が禁止されていた。

英デーリーエクスプレス電子版によると、マンチェスターUは同航空との契約を打ち切ったことで、年間800万ポンド（約12億8000万円）超を失う見込み。

クラブの広報担当者は「我々は世界中のファンと関心事を共有し、（ロシアの軍事侵攻で）被害を受けた方々に哀悼の意を表します」などと話したという。

中国軍用機9機が台湾防空識別圏に侵入（ロイター）

［台北　２４日　ロイター］ - 台湾国防部は２４日、中国の軍用機９機が防空識別圏（ＡＤＩＺ）に侵入し、台湾軍機が緊急発進したと発表した。

国防部によると、ＡＤＩＺに侵入したのは中国の「殲１６」戦闘機８機と偵察機１機。台湾が実効支配する南シナ海の東沙諸島（プラタス諸島）の北東の空域を飛行したという。

台湾国防部は中国軍用機に警告するために台湾軍機を緊急発進させたほか、「活動を監視する」ために防空ミサイルシステムを作動させたと説明した。

「台湾への中国対応占う」　安倍元首相（時事通信）

自民党の安倍晋三元首相は２５日午前、衆院議員会館で開かれた会合で、ロシアのウクライナ侵攻について「台湾に対し中国がどのような対応を取っていくかを占う意味で日本にとっても深刻な出来事だ」と指摘した。中国がロシアとの外相電話会談で同国の行動に一定の理解を示したことに関しては「重大な発言」との認識を示した。

「プーチンさんは信頼できる人情家」安倍晋三氏、鈴木宗男氏の愚かすぎる“お友達アピール”に再注目

「ロシアを強く非難するとともに、米国をはじめとする国際社会と連携して迅速に対処していく」

深刻化するウクライナ情勢を受けて、2月24日、参議院予算委員会にて岸田文雄首相はそう答弁した。

同日午後3時ごろ、政府は国家安全保障会議（NSC）を開き、ウクライナ情勢の分析や、今後の日本政府の対応について協議したとみられる。

23日には、ロシアへの制裁措置として、同国が独立を承認した地域の関係者のビザの発給停止と資産凍結、輸出入の禁止、そしてロシアの国債などの日本での発行・流通を禁止することを発表。米国や欧州にならって、ロシアへの姿勢を強めている。

各国がロシアへの姿勢を強める中、再び取り上げられているのが、わが国の政治家たちのプーチン大統領への発言だ。

「とりわけ、首相在任当時から“盟友アピール”をしてきた安倍晋三氏には、“いまこそ出番なのでは？”という声が多く寄せられています。

2016年、安倍氏は日露首脳会談の際、プーチン大統領を地元・山口県の高級旅館『大谷山荘』に招いてもてなした。

さらには2019年、極東ウラジオストクで開催されたロシア主催の『東方経済フォーラム』では、日露平和条約締結を呼びかけるため、『ウラジーミル、君と僕は同じ未来を見ている。ゴールまで2人の力で駆け抜けよう』と、彼の名前まで呼んで語りかけていました。

それほどまでの関係であれば、“仲裁役”を買ってでては？　という意見が出るのも不自然ではありません」（政治記者）

もう一人、プーチン大統領について語っていた人物がいる。長年にわたり北方領土問題に携わってきた鈴木宗男参議院議員だ。

「プーチン大統領と何度も対面した経験のある鈴木氏は、1月8日にトークショーで『プーチンさんは日本を理解している人情家』と発言しています。さらに。岸田氏に対して、対面での日露首脳会談を行なうべきだと説いていました。

しかし、今回の問題において、岸田氏も『ウクライナの主権と領土の一体性を侵害するもの』とプーチン大統領を糾弾しており、同氏は“人情家”の側面など少しとして見せていないわけです。

現在の状況を鑑みれば、安倍氏が行ってきたお友達アピールも鈴木氏の『人情家』発言も、その場その場の機嫌をとるための発言だったとしか言いようがありません」（前出・政治記者）

戦後最悪ともいわれるロシアをめぐる国際情勢。安倍氏や鈴木氏に、プーチン大統領を“説く”隙がないことは言うまでもない。

欧州 株価大幅な下落 ロシアは通貨も急落 金融市場混乱深まる（NHKニュース）

ロシアによるウクライナへの軍事侵攻を受けてヨーロッパの主な株式市場では株価が軒並み大幅な下落になりました。

一方、ロシアでは、株価や通貨ルーブルが急落し、金融市場の混乱が深まりました。

24日のヨーロッパの株式市場では、取り引き開始直後にドイツのフランクフルト市場で一時、4％下落するなど、全面安の展開になりました。

主要な株価指数の終値は、前日と比べて▽フランクフルト市場で3.9％下落したほか、▽ロンド���市場とパリ市場でいずれも3.8％と、大幅な下落になりました。

市場関係者は「エネルギーをロシアに依存する割合が高いヨーロッパでは、ウクライナへの侵攻や、それによって今後想定される欧米からの制裁の強化によって経済面の影響が広がりやすいと受け止められており、市場の警戒感が強まった」と話しています。

一方、ロシアの株式市場では、代表的な株価指数が一時、およそ50％もの急落となり、終値でも40％近い値下がりでした。

また、ロシアの通貨ルーブルも売られ、ドルに対して一時、1ドル＝89ルーブル台まで値下がりしてこれまでの最安値を更新するなど、金融市場の混乱が深まりました。

NY原油市場 WTI先物価格 一時1バレル＝100ドル超 7年7か月ぶり（NHKニュース）

24日のニューヨーク原油市場ではロシアによるウクライナ侵攻を受けて産油国ロシアからの供給が滞る懸念が強まり、国際的な原油の先物価格が一時、7年7か月ぶりに1バレル＝100ドルを超えました。

24日のニューヨーク原油市場ではロシアによるウクライナ侵攻を受けて産油国ロシアからの供給が滞ることへの懸念が一段と強まりました。

このため、原油価格の国際的な指標となるWTIの先物価格は、92ドル台を中心に推移していた前日から大幅に上昇し、一時、1バレル＝100ドル台をつけました。

1バレル＝100ドル台をつけるのは2014年7月以来、7年7か月ぶりです。

WTIの先物価格は、新型コロナウイルスのオミクロン株の感染拡大への懸念から去年12月のはじめには一時、62ドル台まで下落していましたが、その後、上昇傾向になっています。

市場関係者は「現実味は低いとみていた投資家もいたため、軍事侵攻をきっかけに買い注文が膨らむことになった。今後の事態の推移が見通せず、原油価格の上昇傾向に歯止めがかかるかどうかはますます不透明になっている」と話しています。

原油価格の高騰はガソリン価格などの上昇を通じてインフレ圧力を高めることになりすでに記録的なインフレが課題になっている欧米各国をはじめ、世界経済の重荷になることが懸念されます。

小麦の先物価格上昇 9年5か月ぶりの高値水準に

24日のシカゴ商品取引所では、小麦の先物価格が1ブッシェル当たり一時、9ドルを超え、2012年9月以来、9年5か月ぶりの高値水準に上昇しました。

ロシアによるウクライナ侵攻によって小麦の輸出国であるロシアとウクライナからの供給が今後、滞ることへの警戒感が出ていることが背景です。

先物価格の上昇が続けば、小麦の多くを輸入に頼る日本にとって、食品の価格に影響する可能性があります。

去年の広告費 前年比10.4％増 ネット広告は好調で20％以上増に（NHKニュース）

去年1年間の国内の広告費は新型コロナの影響が和らぐ中で広告需要が回復し、前の年より10％余り増えました。特にインターネット広告が好調で、テレビ、新聞、雑誌、ラジオの4つの媒体の合計を初めて上回りました。

大手広告会社、電通の調査によりますと、去年1年間の国内の広告費は推計で6兆7998億円となり、前の年より10.4％増え2年ぶりに増加しました。

これは、去年の後半にかけて新型コロナの影響が和らぎ、イベントなどの入場制限が徐々に解除される中で広告需要が回復したことや、東京オリンピック・パラリンピック関連の広告が多く出たことなどによるものです。

広告費の内訳を媒体別で見ますと、テレビ、新聞、雑誌、ラジオの4つの媒体の合計は2兆4538億円で、前の年にコロナ禍で大きく落ち込んだ反動もあって8％余り増えました。

一方、インターネットは2兆7052億円で、急速に進むデジタル化を背景に動画広告の需要が高まって前の年より20％以上増え、テレビや新聞など4つの媒体の合計を初めて上回りました。

電通メディアイノベーションラボの北原利行研究主幹は「スマートフォンなどの端末が身近になればなるほど、ネット広告に流れていく形となっている。一方で、話題の共有の広さや信頼性などネット広告だけでは十分でない部分もあり、企業にとってはメディアの使い分けが重要になってきている」と話しています。

去年の出生数 過去最少の84万人余 死亡数は戦後最多に（NHKニュース）

去年、生まれた子どもは84万人余りで過去最少を更新したことが厚生労働省のまとめで分かりました。

厚生労働省によりますと、去年1年間に生まれた子どもの人数「出生数」は速報値で84万2897人でした。

おととしより2万9786人、率にして3.4％減少し、明治32年に統計を取り始めて以降、最も少なくなっています。出生数が減少するのは6年連続です。

一方、去年1年間に死亡した人は145万2289人で、おととしより6万7745人増えて戦後最多となりました。

この結果、出生数から死亡数を引いた人口の減少数「自然減」は、おととしを9万7531人上回り、60万9392人となっています。

また、結婚の件数は51万4242組で、おととしより2万3341組減って戦後最少となりました。離婚の件数は18万7854組で8787組減少しています。

厚生労働省は「おととし新型コロナウイルスの感染が広がり始めた時期に先行きへの不安から妊娠を控えた人がいた可能性がある。また、死亡数については新型コロナの感染拡大の影響があると見られる」としています。

【本日 (2/25)の広島県内の感染状況】（広島県）

広島県 新型コロナ 3人死亡 新たに640人感染確認（NHKニュース）

広島県では25日、新たに640人が新型コロナウイルスに感染していることが確認されたと発表されました。

一方、広島市は今月22日に感染確認を公表した患者1人について、ほかの自治体から発表された感染確認と重複していたとして取り下げました。これで県内での感染確認は延べ7万2253人となりました。

また広島県と福山市、それに呉市は新型コロナウイルスに感染して療養していた3人が死亡したと発表しました。県内で新型コロナウイルスに感染し、その後、死亡した人は378人となりました。

「時短営業」要請に応じなかった４２店舗の「ゴールド認証」取り消し　広島県（FNNプライムオンライン）

広島県は、今年１月９日から今月２０日の間で、「まん延防止等重点措置」の「要請事項に従わず」「改善の求めに応じなかった」として、広島市の３２店舗、福山市の７店舗など、県内あわせて４２店舗の「広島積極ガード店ゴールド認証」を取り消したと発表しました。

県が「ゴールド認証店」の認証を取り消すのはこれが初めてのケースです。

田辺三菱製薬 子会社が開発の新型コロナワクチン カナダで承認（NHKニュース）

大阪に本社がある「田辺三菱製薬」は、カナダにある子会社が植物を使って開発した新型コロナウイルスのワクチンが現地で承認されたことを明らかにしました。

会社は日本国内でも臨床試験を進めていて、早ければことし夏にも承認を求める申請を行いたいとしています。

発表によりますと、田辺三菱製薬のカナダにある子会社「メディカゴ」がイギリスの製薬会社と共同で開発を進めてきた新型コロナのワクチンが24日、カナダ政府から承認されました。

このワクチンは、成長が早いタバコ属の植物にウイルスの遺伝子を組み込み、葉の細胞からウイルスに似た形の粒子を抽出する手法で作られていて、2度から8度の温度で保存できるため、接種を行う医療機関などに運びやすいメリットがあるとしています。

田辺三菱製薬は、日本国内でもこのワクチンの初期段階の臨床試験を進めていて、安全性などが確認できれば、海外で行われた最終段階の臨床試験の結果を加えて、早ければことし夏にも国内で承認を求める申請を行いたいとしています。

新型コロナのワクチンを巡っては同じく大阪に本社がある塩野義製薬なども、実用化を目指して臨床試験を進めています。

オンライン授業が不登校対策に 中学校登校の生徒が倍増 青森（NHKニュース）

青森市で昨年度、すべての市立中学校でオンライン授業を導入したところ、不登校から登校できるようになった生徒の割合が前の年度から倍増し、全国平均を大きく上回ったことが分かりました。

専門家は「気楽に自宅で受けられるオンライン授業をきっかけに学校に行けるようになったのではないか」と分析しています。

青森市は新型コロナ対策などとして昨年度から市立の中学校すべてでテレビ会議システムを使ったオンライン授業を導入し、自宅でも授業を受けられるようにしています。

こうしたところ各学校から「不登校の生徒が登校できるようになった」という報告があり、市の教育委員会は不登校対策としてもオンライン授業の活用を始めました。

その結果、毎年国に報告している調査で、不登校になった生徒のうち登校できるようになった生徒の割合が、2019年度は26.1％だったところ、オンライン授業を本格導入した昨年度・2020年度は49.3％とほぼ倍増しました。

全国平均の28.1％と比べても大きく上回りました。

中学校のスクールカウンセラーからは「不登校の生徒たちは勉強が嫌いなわけではなく、周りの目が気になって学校に行けなかった。オンライン授業だと気にしなくてよいので授業に参加できているのではないか」といった声が寄せられているということです。

オンライン教育に詳しい東北大学大学院の堀田龍也教授は「オンライン授業には気楽さ��あり、自宅から参加したり、少しだけ授業を受けたりと自分で調整することができる。こうした気楽さをきっかけに学校に行けるようになった生徒が増えたのではないか」と分析しています。

【国内感染】新型コロナ 278人死亡 6万5663人感染確認(18:15) （NHKニュース）

北海道 新型コロナ 12人死亡 新たに1930人感染確認（NHKニュース）

神奈川県 新型コロナ 29人死亡 6724人感染確認（NHKニュース）

【速報 JUST IN 】東京都 新型コロナ 1万1125人感染確認 前週金曜比 約5000人減

愛知県 新型コロナ 28人死亡 新たに4187人感染確認（NHKニュース）

大阪府 新型コロナ 47人死亡 新たに8534人感染確認（NHKニュース）

兵庫県 新型コロナ 14人死亡 新たに3435人感染確認（NHKニュース）

福岡県 新型コロナ 20人死亡 3340人感染確認（NHKニュース）

沖縄県 新型コロナ 新たに753人感染確認（NHKニュース）

ロアッソ熊本ユース・道脇 豊選手、トップチーム登録のお知らせ（ロアッソ熊本）

TM NETWORK 特別編集版ヒストリービデオ緊急公開

TM NETWORK、約106分の特別編集版ヒストリービデオ緊急公開（Billboard Japan）

TM NETWORKの歴史を象徴的ライブ映像で辿る特別編集版ヒストリービデオが、期間限定��緊急公開された。

今回の映像は、デビュー（1984年）から最新ライブ（2021年）まで、全17曲で構成した約106分。2022年2月23日に2タイトル同時リリースとなったライブベストCD『LIVE HISTORIA ～TM NETWORK LIVE SOUND COLLECTION 1984-2015～』、4月21日にリリースされるBlu-ray『How Do You Crash It?』により、ファンの間に広がるライブへの期待感・高揚感に応えるべく緊急公開となった。

◎映像

「TM NETWORK特別編集版ヒストリービデオ」 2022年2月25日（金）19:00～3月6日（日）23：59まで期間限定公開

◎リリース情報

ソニーミュージック盤『LIVE HISTORIA T ～TM NETWORK Live Sound Collection 1984-2015～』 2022/02/23 RELEASE ＜2CD＞MHCL-30708～9 / 3,000円（tax out）

avex盤『LIVE HISTORIA M ～TM NETWORK Live Sound Collection 1984-2015～』 2022/02/23 RELEASE＜CD＞AQCD-77532～3 / 3,000円（tax out）

Blu-ray『How Do You Crash It?』 2022/04/21 RELEASE

第百二十七回に紹介するのは、２０１９年製作のベラルーシ映画【インモータル　不死身の男】 映画【ゴジラvsコング】や映画【ソウルメイト／七月と安生（チーユエとアンシェン）】についてや、Twitterで質問をいただきましたといった話しもしています 監督：アレクサンドロ・フランスクビッチ 製作：グレブ・シュプリゴフ 脚本：ニコライ・チェルギネツ、グレブ・シュプリゴフ 撮影：バルデマー・シュミット、マクシム・クロフスキー 編集：リュボフィ・ノビコバ 音楽：ルスラン・ムラトフ キャスト：ウラジミール・エピファントセフ、カリーナ・ラズモフスカヤ、イゴール・シコブ、パベル・ハーランチュク、ビクトリア・マスロバ 原題：Black Dog 製作年：2019年 製作国：ベラルーシ 上映時間：104分

「トミヤスがいれば…」ボローニャ指揮官が大敗で冨安健洋の不在を嘆く

ボローニャの指揮官シニシャ・ミハイロヴィッチが25日のアタランタ戦終了後、イタリアメディア『スカイスポーツ』のインタビューに応じ、0-5での大敗を嘆いた。 日本代表DF冨安健洋を欠くボローニャは25日、セリエA第33節においてリーグ随一の攻撃力を誇るアタランタと対戦すると、22分にMFルスラン・マリノフスキーの先制点を許し、前半終了間際にはPKを献上。2点のリードを奪われた。続いて49分にMFイェルディ・スハウテンが一発退場となると、後半だけで3点を奪われて敵地で0-5と大敗。指揮官のミハイロヴィッチは試合終了後、主審の判定が試合に大きな影響を与えたとして不満の声を上げた。 https://news.yahoo.co.jp/articles/90a910a8a733f5735cd8f4e4c5e01f5d6c1b998f 続きを読む

View On WordPress

私の街 ハルキウ 空港 “KHARKOV” 今日のハリコフ空港 2008年以来、空港の複合施設全体（戦略的状態オブジェクトである滑走路を除く）は、会社「New Systems AM」からリースされています。オーストリアとドイツの専門家の助けを借りて、エアーハーバーの大規模な再建のためのプロジェクトが開発され、すぐに開始されました。その結果、2010年8月には、新しい旅客ターミナルが650人収容可能となりました。古い空港ビルも再建され、VIP乗客にサービスするターミナルに変身しました。 2011年には、操作を導入し、新滑走路の長さは、2年半千メートルでした。彼女のおかげで、空港は「ハリコフは」中距離の直行便を対象とし、大きな旅客機をホストする機会を持っていました。 2013年8月にはエアハーバーは、これまでハリコフに上陸したすべての航空機の最大離陸重量があり、その飛行場AN-124「ルスラン」、に置くことによって、ある種の記録を設定します。 #ハルキウ #空港 “KHARKOV” http://bit.ly/2WErUa7

“

1: 野良ハムスター ★ 2016/02/24(水) 11:19:40.44 ID:CAP_USER*.net コンピューターゲームに夢中になっていたモスクワの高校生、ルスラン・シェドリン君（１６）がとんでもない賞を受賞してしまった。ライフニュースが報じた。 プレゼントの内容は市内のとあるホテルでポルノ女優と１月を過ごすというもの。 スルラン君、両親の激怒にかかわらず、この賞を辞退する気はないという。

ゲーマーのルスラン君がこの賞を受賞してしまったのはまったくの偶然だった。 ルスラン君はあるサイトでコンピューターケーム用の「武器」を購入した際に１０万人目のお客さんになってしまった。リソースの代表はルスラン君に電話し、受賞のお祝いを伝えると、賞の詳細を話したという。

「最初は嘘だ～と思ったんだけど、本当だってわかったらサイトに感謝したね。 嬉しくて嬉しくて有頂天だよ。友達もよかったねーっていってくれたよ。 うらやましくってたまらないってやつもいる」とは、ＴＶ取材へのルスラン君談。

ルスラン君いわく、ポルノはもう見たことがあるし、「全部気に入った」という。

しかし…、ルスラン君のお母様は息子さんの計画に（当然ながら）大感激というわけではない。 「絶対にだめです。今試験中なんですし、なにがポルノ女優との１月ですか！ １０万ルーブルでも支払ってくれれば、よっぽどいいのに。」

だがルスラン君の決意は固い。 ルスラン君は新しい「お友達」と一緒にミュージーアムや映画館に行くのだそうだ。

http://jp.sputniknews.com/russia/20160224/1667088.html

” - 暇人＼(^o^)／速報 - 「ポルノ女優とホテルで１月間の共同生活」が男子高校生（１６）にプレゼントされることに　ロシア (via ibi-s)

【10-31@Severodonetsk in Ukraine】 I played with Ukrainian Orchestra "Ніч яка місячна", so excited moment! Then moved to Bakhmut. Thank you Ruslan & Sveta from IOM. オーケストラとウクライナの名曲「月の歌」を演奏、前日に曲を貰って殆ど即興で演奏。 コンサートのフィナーレには聴衆からのスタンディングオベーション！ウクライナの人達はとても熱く情熱的。 今回IOMという国連関係の団体の元企画されました、ルスランとスヴェータ、本当に素敵な人達です♬ 終演後はバーフムトという街に移動。 今日11/4のニュースで知ったのですが同じ舞台に立ったセベロドネツクの市長が殺害されたそうです…。 戦争があった東ウクライナはまだ安全とは言えません。 ---------- 【↓ Concert Tickets】 http://tempei.com/?p=2015 【Europe Tour】 11/1/10:00/ Ukraine, Bakhmut College of Art 11/2/11:00/ Ukraine, Bakhmut, Community Center 11/3/18:00/ Ukraine, Dnipro, Glinka Academy of Music 11/5/18:30/ Ukraine, Vinnytsia philharmonic hall 11/7/20:30/ France, Paris, Tenri 11/9/18:30/ Belarus, Minsk, Choreographic Gymnasium-College 11/10/ Belarus, Molodechno State Music College 11/12/15:00/ France, Paris, Private Concert 11/18/19:00/ Germany, Koln, Tenri 11/23/18:30/ Brussels, JICC 11/26/15:00/ Amsterdam, Concertgebouw 12/1/ Ukraine, Kiev 【Japan Tour】 12/6/19:00/ 渋谷クアトロ【天平&真央樹】 12/12~14/【ライジングサン復興支援in熊本】 12/16/17:00/ 大阪, ラカンパネラ 12/18/19:00/ 梅田クアトロ【天平&真央樹】 12/20/19:00/ 名古屋クアトロ【天平&真央樹】 12/22/19:00/ 東京, 松尾楽器 12/24/15:00/【シークレット・クリスマスライブ】 【2018年】 2/2/19:00/ 京都, Jazz Live Sahouril 2/4/ 大阪府柏原市, リビエールホール 2/8/ 長野市, 長野灯明まつり 2/9/ 香川県高松市, 珈笛画廊ほのほ 2/10/19:00/ 香川県丸亀市, ピアノカフェルフラン 2/11/17:00/ 福岡, もも庵 2/14/ 福岡 2/16/19:00/ 千葉県大網白里市, カフェリズム 2/18/16:00/ 愛知県岡崎市, 岡崎市図書館交流プラザりぶら 2/24/17:00/ 横浜, サーラマサカ 3/4/ 栃木県宇都宮市 #piano #concert #Composer #NY #NYC #NewYork #Classical #Jazz #Rock #ProgRock #Pianist #中村天平 #ピアノ #ピアニスト #コンサート #コンポーザー #作曲家 #ニューヨーク #クラシック #ジャズ #ロック #プログレッシブロック #EuropeTour #Europe #Kiev #Ukraine #ヨーロッパツアー #ヨーロッパ #キエフ #ウクライナ

社交界の影

ヴェリーくんといっしょ

クエストを開始します。

貴方たちは、今日も仕事にありつけずに、宿で昼下がりを満���していた。 ごめんなさいね。最近新しく入った冒険者さんが多くて。 小さな依頼は全部持っていってしまうのよ…。 ジャック : ……暇だな ヴェリー : だねえ。新人さんも多いし、人の往来がすごい盛ん。 （…アルマも心なしか暇を持て余している様子だ。） ヴェリーが[気にしなくてもいい]を選択しました そう、既に貴方達は幾つもの修羅場を乗り越えた。 いわば、冒険者のベテランなのだ。 ゴブリン退治くらいの簡単な仕事なら、寧ろ駆け出しの冒険者に 与えてやるのがいい。 貴方達ほど名前が売れれば、そろそろ依頼の方からやってきてもおかしくはない。 ただ静かに、依頼が来るのを待っていればよいのだ…。

ヴェリー : ま、その内良い感じのがくるでしょお～ ジャック : そうなら良いんだけどな～ そう自分に言い聞かせながらダラダラすること二時間…。

――ついに、来客によって宿のドアが開かれた！ ヴェリー : お。 ？？？：急な訪問ですまない。失礼する。 そこには、美しい顔立ちの、礼服の男がいた。 どうやら急いで来たようだが、微塵もそれを感じさせない佇まいだ。 ジャック : 何だ？ その男の礼服には、何か紋章のようなものが縫い付けられている。 この紋章について 目標値：12 <= 3d+知力補正+ナレッジ ジャック:失敗・・(8)([4,2,2]) ヴェリー:失敗・・(9)([3,1,6]-1) ジャック : ……無理かな～ ヴェリー : あーあ！ ルスラン：申し遅れた。私はルスラン⁼エーテルハルトという。 ルスラン：ここには腕利きの冒険者が揃ってると聞いてきた。 ご婦人、早速だが冒険者を斡旋して頂けないだろうか。 …なるほど、どうやら今回の依頼主は貴族様のようだ。 これは…色々と期待が出来そうだ。 色目を使うアルマの相手はそこそこに、ルスランは貴方達の方へと 話し始める。 ジャック : 見る目あるじゃん～？ ヴェリー : ジャック！いい感じの相手だよ、いこ！ ルスラン：手短に言うが、貴方達には、私とともに社交パーティーに潜入してもらいたい。 ルスラン：実は父上が、近辺の邪教団について探っていてな。 私も適当に挨拶だのと理由をつけて、関与の疑いのあるライプツィヒ家の屋敷に潜入したのだ。 …すごいことするなあ。 かなり行動派なのか、それとも直情的なのか…。 ルスラン：そこで偶然聞いてしまったのだ。 今日のパーティで私の父を亡き者にする��めの対談をな。 ジャック : 暗殺計画なあ…… ヴェリー : 穏やかじゃないね。 父にそのことを話したらどうなのか？ と、聞いてみた。 ルスラン：私の父上とライプツィヒ卿は…親友、だと思っているようだ。 今回もライプツィヒ卿は、表向きでは捜査協力をしている。 なるほど…。 もしかしたら息子の方が嗅覚は鋭いのかも知れないな。 ジャック : ふーん…… ヴェリー : ……これ、意外と面倒なやつじゃない？(こそこそ) ジャック : ……乗りかかった船だろ。これ以外仕事ねえし。 ヴェリー : それもそうかあ…… ルスラン：話していたのは三人。そのうち一人はライプツィヒ卿で間違いない。 もう二人も、部屋を去る時に、後ろから背格好だけは確認させてもらった。 ルスラン：一人は、体は大きくはないが、筋肉はついている。 おそらく暗殺者タイプの人間だろう。

――確か、手首に入れ墨を入れていたな。 ヴェリー : 手首に入れ墨、と…… ジャック : 覚えとこっか ルスラン：そしてもう一人はローブを着こんでいた。 おそらく呪術師か何かだろう。 ルスラン：恐らく、その二人もなんらかの変装をして、パーティーに潜入するだろう。 ルスラン：パーティーでは一定の人数が集まると音楽が始まる。 相手が仕掛けるとしたら、おそらく騒がしくなったこのタイミングだ。 ルスラン：それまでに暗殺者どもを特定し、いざとなった時にすぐ動けるようにしてほしい。 ルスラン：間違っても、こちらが最初に手を出してはいけない。 ことが起こってから動かなければ、こちらが捕えられてしまうからな。 なるほど、つまりは暗殺を失敗させてから捉えろということか。 誰が暗殺者かさえ分かっていれば、余裕だろう。 ヴェリー : うーん。観察眼が必要ってわけ。 ジャック : 難しそうだよな…… ヴェリー : 気、はるしかないね…… ルスラン：余裕があるなら喋っていても、怪しまれないように料理を食べていてもいい。 仕事さえ全うしてくれたらな。 …さて、どうやら大変な依頼を受けてしまったようだ。 ジャック : ……冷静に考えると俺らって貴族っぽく見えなくね？(小声) ヴェリー : ……あっ…… ヴェリー : ……化粧、する？(小声) ジャック : ……それで誤魔化し効けばいいけどな ヴェリー : 祈ろう…… 貴方達は、彼が持って来た正装に身を包み、馬車へと乗り込んだ。 「まずは警備員に言って掛け合ってみよう。 父上が来ていると知っていれば間違いないだろう。」 ヴェリー : ……ま、いこっか。どうにでもなるんじゃないかな。 ジャック : そーだな。なるようにしかなんねぇ 「本日、招待頂いたシュテイン⁼エーテルハルトの息子の 　ルスランだ。中へ入れて欲しい。」 「ルスラン様でしたか。どうぞ、お通りくださいませ。」 この男、やはり多少名は知れているのか。 ひととおり関心してから、貴方達も通り過ぎようとすると…。 「…お待ちください。」

警備員が貴方達を静止する。 サウンドファイルの読み込みに失敗しました。 ジャック : っと、 ヴェリー : ヤバ…… ヴェリー : さすがに化粧足りなかった……？ 「貴方がたは？」 ジャック : えーと、えーと ヴェリー : ��ーあーあー 「私の付き人です。通してください。」

ルスランが若干のイライラを含んだ言い方で、丁寧に答える。 ヴェリー : (ナイス……) ジャック : (助かった……！！) 「いえ、なんと言えばよいか…こう…。 　荒事に覚えがある、という印象が…。」 ジャック : (ギクッ) ヴェリー : (顔かなあ……) この警備員、中々鋭い。 武器は隠しているとはいえ、雰囲気でまともな人間ではないと 察知したのか。 「それは、彼らの出身は兵士でな…。 　　…とにかく、私が通せと言っている。」 ルスランの苛立ちが募ってきたようだ。 なんとか、こちらの態度で納得させられないだろうか。 貴族の付き人のような振る舞い 目標値：12 <= 3d+知力補正+ソシャリティー ジャック:失敗・・(10)([1,6,3]) ヴェリー:失敗・・(10)([4,2,5]-1) ジャック : ……無理かな～ ヴェリー : あーあ！ 「申し訳ありませんが、手荷物を検査させていただきます。 安全のためですゆえ、ご了承ください。」 「貴様、私がエーテルハルトだと知っての言葉か…!!」

ルスランの怒りがそろそろ限界に達しそうだ。 ジャック : (すまん……ルスラン……！！) 「ご心配なく、ここで引き取ったものはあとでお返しいたします。 　さ、手荷物を…。」 武器を渡してしまおうか…？ （武器を渡すと、シナリオ終了までATKとMATKが2下がります） ヴェリー : ど、どうする？！(こそこそ) ジャック : 渡そう……仕方ないだろ(こそこそ) ヴェリー : しょうがないかあ…… ヴェリーが[大人しく渡す]を選択しました ヴェリーは[武器剥奪]になった 貴方達は、武器がなくともなんとかすると、ルスランに耳打ちした。 「…分かった。大人しく従おう。」

ルスランは舌打ちをしながら、貴方達の荷物を警備員に渡した。 「お引止めして申し訳ありませんでした。 　ささ、こちらへどうぞ。」 警備員に中へと案内され、一行はパーティー場に案内された。 ヴェリー : ……どうなることかと思った。 ジャック : (隠しといて良かった) 「私は,ライプツィヒ卿が逃げるのを食い止めるため 　　入口で待機させてもらうぞ。」 「時間は限られている。余り無駄なお喋りはしないようにな。」 ジャック : おう、頼んだぜ ヴェリー : はーい。 赤いアイコンと青いアイコン以外のNPCに話しかけると、時間が経過します。 また、詳しく話を聞くとヒントが手に入るかもしれません。 （マルチの場合、時間経過は共有します） ジャック : いや、頼みました？……貴族らしいってなんだ ヴェリー : ……とりあえず、こう…… ヴェリー : それっぽい言葉をしゃべっておけばいいんじゃないかね？ ジャック : それっぽい、ぽい…… ジャック : …………今日から俺は無口な貴族！ 猫を肩に乗せている貴族だ。 この人に話しかけますか？ ヴェリー : (逃げたな……) ヴェリー : ワインを片手にしておけば大丈夫だよ、多分 「是非楽しんで行って下され。」 その立ち振る舞いには微塵も悪意を感じられない。 恐ろしい男だ。と貴方達は思った。 「誰のお付きかは知らんが、どうせなら楽しんでいってくれ。 　　まあ主催は私ではないがな。」 酷くめかし込んでいる貴婦人だ。 この人に話かけますか？ 小奇麗な恰好をした女性清掃員だ。 この人に話しかけますか？ パーティー中でもゴミが出る～♪ お掃除お掃除～♪ パーティー中でもゴミが出る～♪ お掃除お掃除～♪ あれ、清掃ってとっくに済ませているモノなのでは…。 ヴェリー : ……！ ヴェリー : この料理美味しいよ！ ジャック : ……マジで！……え、え～～あ～あ～～(貴族っぽい言い回しが浮かばず言葉に詰まった) ジャック : …………(笑って誤魔化した) 美味しそうな料理が並んでいる…。 食べますか？ 何を食べますか？ ヴェリー : (逃げたな……) これは…。濃厚なチーズとニョッキのハーモニーが堪らない！！ 魔法攻撃力が１上がった！ …もう腹いっぱいだ。 猫を肩に乗せている貴族だ。 この人に話しかけますか？ …どうやら時間のようだ。 予め呼んでおいたであろう音楽隊が、次々と入場してくる。 貴方達は、この短期間で目星を付けた人物の動向を注意深く観察する。 …今だ！！ 第一の刺客が迫る…!! …防御成功！！ ヴェリー : ヨーーシ！ ジャック : ！ そして第二波がシュテインさんを襲う！ シュテインに8のダメージ　　    シュテインは[重傷]になった    シュテインは[気絶]になった 貴方は第二の襲撃者を確認できなかった…!! …しかし、この程度ならシュテインさんの命は助かりそうだ。 ヴェリー : あっ ジャック : 2人居るとはな…… ヴェリー : ま、息はあるみたいだし。大丈夫でしょ。 …貴方達は襲撃者の姿を確認した。 ヴェリー : ……と、と。まあ！急いでこいつらのさないとね！ ジャック : だな！やるぞ！ パーティー場の大混乱の中。 突然現れた邪魔物を排除しようと、にじり寄る暗殺者達。 「皆さん！！安全のため一亥も早く非難を！！」 主催者の責任のつもりか、周りの貴族達に避難を呼びかける ライプツィヒ卿。 その眼下に、ルスランが立ちはだかった。 「貴様だけは逃がさん！！ 　私は貴様の密約の時に交わした契約書を持っているぞ！」 「小僧、いつの間に…。」

ライプツィヒに、初めて動揺の色が見える。 「まさに今日、そちらにご挨拶に伺ったよ。 　少しだけと思って部屋にコレを置いて出てきたのが運の尽きだ！」 「は、離せ！！衛兵を呼ぶぞ！！」 「呼ぶのならどうぞ。そちらの方が好都合だ！ 　貴様の悪行を白日の下に晒すのにはな！」 ルスランの言う通りだ。 このまま暗殺者を倒して、真実を暴いてやろう。 ヴェリー : 向こうはちゃんとやってるみたいだね。 ジャック : よし！そんじゃこっちもしっかりやるぞ！ ヴェリー : オーーーライ！ シュテインさんに、テーブルに隠れているように指示をだした。 これで戦いやすくなっただろう。 Round 1 ヴェリー : イリュージョン！ ヴェリーがゆらりと移動した。 ダークプリースト : 暗黒化！    味方への補助が呪いに変わる！        ヴェリーに9のダメージ　　([6]+3)    ヴェリーは[7,4]へ移動した。 暗殺者は移動した。    暗殺者は[4,6]へ移動した。 ジャックは移動した。    ジャックは[6,8]へ移動した。 ダークプリースト : ダークスフィア！ ヴェリーに暗黒が襲い掛かる！  達成値:13 ([2,4,4]+3)    ヴェリーは抵抗しようとした。        ヴェリーは抵抗した。  達成値:20 ([4,6,4]+6)    ヴェリーに1のダメージ　　([2,1]+5) ヴェリー : ジャグリング！ ヴェリーは曲芸を披露する！  達成値:22 ([3,3,5]+11)    ダークプリーストは回避しようとした。        ダークプリーストは回避に失敗した。  達成値:12 ([4,4,2]+2)    ダークプリーストに25のダメージ　　([2,5,4,6]+9)        ダークプリーストは[重傷]になった 暗殺者の攻撃は距離が合わず失敗した。 ジャックは移動した。    ジャックは[4,6]へ移動した。 ヴェリー : ジャグリング！ ヴェリーは曲芸を披露する！  達成値:15 ([2,1,1]+11)    ダークプリーストは回避しようとした。        ダークプリーストは回避した。  達成値:15 ([5,2,6]+2)    ヴェリーは[5,5]へ移動した。 Round 2 ジャック : アンルーリー！ ジャックはものまねをした！  達成値:18 ([3,2,3,2]+8) 暗殺者 : 急襲！    暗殺者は捨身で反撃！！        ジャックに6のダメージ　　([3,3]+8)    暗殺者に24のダメージ　　([2,4,5]+13) 暗殺者は攻撃した。  達成値:12 ([1,2,4]+5)    ヴェリーは防御した。        ダメージを3軽減！　　([]+6)    ヴェリーに8のダメージ　　([3,6]+8) ヴェリー : イリュージョン！ ヴェリーがゆらりと移動した。([4,4,4]+11) ヴェリーのクリティカル！ ヴェリーは[劇的カウンター]を1つ獲得した。 ジャックは[劇的カウンター]を1つ獲得した。    ヴェリーは[6,4]へ移動した。 ダークプリースト : ダークスフィア！ ヴェリーに暗黒が襲い掛かる！  達成値:16 ([3,5,5]+3)    ヴェリーは抵抗しようとした。        ヴェリーは抵抗に失敗した。  達成値:14 ([2,3,3]+6)    ヴェリーに6のダメージ　　([5,2]+5)        ヴェリーは[重傷]になった ヴェリー : いってー……！まっだまだー！ ヴェリー : チャージ！ ヴェリーは力をためた！    ヴェリーは[チャージ]になった ヴェリーのジャグリングはAPが足りず失敗した。 ジャック : アンルーリー！ ジャックはものまねをした！  達成値:21 ([4,5,3,1]+8) 暗殺者 : 急襲！    暗殺者は捨身で反撃！！        ジャックに4のダメージ　　([1,3]+8)    暗殺者に25のダメージ　　([6,3,6]+10)        暗殺者は[重傷]になった        暗殺者は[気絶]になった    ヴェリーは[5,5]へ移動した。    ヴェリーは[チャージ]でなくなった Round 3 ジャックは移動した。    ジャックは[5,5]へ移動した。 ダークプリースト : ダークスフィア！ ヴェリーに暗黒が襲い掛かる！  達成値:12 ([4,3,2]+3)    ヴェリーは防御した。        ダメージを3軽減！　　([]+6)    ヴェリーに5のダメージ　　([6,3]+5) ヴェリー : イリュージョン！ ヴェリーがゆらりと移動した。    ヴェリーは[7,4]へ移動した。 ヴェリー : ジャグリング！ ヴェリーは曲芸を披露する！  達成値:26 ([6,5,4]+11) ヴェリーはWillを使用した！    ダークプリーストに41のダメージ　　([3,6,1,5,6,6,6]+9)        ダークプリーストは[気絶]になった        ダークプリーストは[昏睡]になった ジャックは移動した。    ジャックは[7,4]へ移動した。 ジャックは移動した。    ジャックは[9,2]へ移動した。    ヴェリーは[5,5]へ移動した。 Round 4 ジャックは移動した。    ジャックは[9,5]へ移動した。 ヴェリーは移動した。    ヴェリーは[5,7]へ移動した。 ジャックは移動した。    ジャックは[9,7]へ移動した。 ヴェリー : イリュージョン！ ヴェリーがゆらりと移動した。    ヴェリーは[7,8]へ移動した。 ヴェリーは攻撃した。  達成値:24 ([2,6,5]+11)    ライプツィヒ卿に14のダメージ　　([1,4]+9)        ライプツィヒ卿は[重傷]になった ジャックは移動した。    ジャックは[9,8]へ移動した。    ヴェリーは[5,7]へ移動した。 Round 5 ヴェリー : ……もういいか。ちょっとサボっちゃお…… ジャックは攻撃した。  達成値:18 ([5,1,4]+8)    ライプツィヒ卿に18のダメージ　　([3,5]+10)        ライプツィヒ卿は[気絶]になった …貴方達は、ルスランの父の危機を見事退けて見せた。 後日…。 ジャック : よし！ ヴェリー : 急に大きな声だして何……びっくりしたよ……？ ルスランは駆け付けた警備員と、周りの有識者に全てを説明した。 もし、警備隊が駆け付けるまでに暗殺者を倒せなかったとしたら 結末は逆になっていたかもしれない。 ジャック : いや～この前の依頼の勘定！大分良かったからさ～ ヴェリー : あ～～～……さすが貴族様は違うってねえ…… そして今日、全てを終えたルスランが、この宿に正式に礼をしたいと もう一度、訪れることになっている。 「済まない、待たせた。 　　依頼の件は、本当に感謝しているよ。」 ヴェリー : 来た来た。 ジャック : おっいらっしゃい！ …それから貴方達は、ルスランの取り留めもない話を聞くこととなった。 「…私は、自分の行動を少し見つめなおそうと思っている。」 「前回、私が依頼を持ちかけたとき。 　私は結局、自分ではほとんど何も出来ていなかった。」 ヴェリー : (そうか……？) ジャック : (大分助けてもらったよなあ……) ヴェリー : (ねえ……？) 「いや、潜入して証拠を見つけたのは私だったか。 　…そんなことはどうでもいい。」 「私は、どうやら自分の力を過信しすぎている嫌いがあるようだ。 　　今回も、君たちに何度助けられ、宥められたかわからない。」 ――それから3時間後。 「…本当はもっと話したいこともあるのだが…。 　　生憎、私も暇ではなくてな、もう行かなくてはならん。」

ヴェリーが[(…嘘つけ)]を選択しました 「これからも困った時はここを頼らせてもらうよ。 　　もちろん、君たちもいつでも私を頼ってくれていい。」 ジャック : おー！そん時も報酬弾んでくれよな ヴェリー : またよろしくねえ！ 「では、機会があればまた会おう。」 ヴェリー : じゃあね～！ ジャック : またな～！ …こうして、嵐のような依頼人は去って行ったのであった。 …辺りが静寂に戻ると、貴方達はまた、机に突っ伏して依頼を待つのであった。 「ごめんなさいね、今日も新しい子が全部依頼を取っていっちゃって…。」 …今回の依頼は、酷く面倒臭くて、騒がしくて、災難だったかもしれない。 だが、それを分かっていて騒乱を好み、火中に身を躍らせる。 …冒険者とは、そういうものなのかも知れない。 クエストをクリアしました。 50ルド 手に入れた。 44経験点 を手に入れた。 ジャック がレベルアップしました！ 初見ボーナス 1名誉点 手に入れた。 ジャック : 簡単な依頼だったな！ ヴェリー : ま、終わり良ければ……ってね！

国際ウエイトリフティング連盟（IWF）は8日、ドーピング違反によりロシアの6選手に最大8年の出場停止処分を科したと発表した。 　2008年の北京五輪で銅メダル、2009年の世界選手権（IWF World Championships）で銀メダル、2011年の欧州選手権（EWF European Championships）で金メダルを獲得（いずれもその後剥奪）した38歳のドミトリー・ラピコフ（Dmitry Lapikov）に8年間の最も重い処分が下った。 　また、2012年と2013年の欧州選手権で銀メダルを獲得したマクシム・シェイコ（Maksim Sheiko）には6年、2012年のロンドン五輪で銅メダルを獲得し、世界選手権を2度制しているルスラン・アルベゴフ（Ruslan Albegov）ら4選手には4年の出場停止が言い渡された。 　同国における薬物スキャンダルの中心的な舞台となったモスクワの検査所から回収された検体を世界反ドーピング機関（WADA）が調査し、不正の証拠が得られたことで今回の処分が下った。 　IWFによれば、他に8件が「現在審議中」であり、ドーピング違反によって他3選手にも暫定処分が科された。

ロシアの重量挙げ6選手、ドーピングで最大8年の出場停止処分　写真1枚　国際ニュース：AFPBB News

鬼小十郎まつりおすそわけ２

昼について、まずは“すし処 鮨敏”さんで会食ですっ。友好都市のみなさんや大学の教授、オリンピック合宿でホストタウンにしているベラルーシ共和国のみなさん。2年ぶりに再会の、お友達(^^♪ベストフレンドと言ってくれる、ベラルーシ共和国の特命全権大使ルスランさんとも再会、楽しいひと時を過ごしました。来年は東京オリンピックです。全力でベラルーシの新体操を応援しますね♪ このあと続きをみる

『著作権保護のため、記事の一部のみ表示されております。』

Source: 森川智之オフィシャルブログ

View On WordPress

イエラエセキュリティの顧問を務める川口洋が、イエラエセキュリティを支える多彩なメンバーと共にゲストを他社からお迎えし、サイバーセキュリティやサイバーリスクの今を語り合う座談会シリーズ、第3回をお送りします。 　川口洋氏は、株式会社川口設計 代表取締役として、情報セキュリティEXPO、Interop、各都道府県警のサイバーテロ対策協議会などで講演、安全なITネットワークの実現を目指してセキュリティ演習なども提供しています。2018年からはサイバー攻撃をゲーム感覚で楽しむプロジェクト「Micro Hardening」で全国ツアーを開催するなど、サイバーセキュリティに関するコミュニティ活動にも長年貢献してきた人物です。 　今回の座談会に登場するイエラエセキュリティのメンバーは、高度解析部 ペネトレーションテスト課 課長のルスラン・サイフィエフ。 そしてゲストには、三井物産セキュアディレクション株式会社より、テクニカルサービス事業本部 プロフェッショナルサービス事業部 先端技術セキュリティセンター所属の、セキュリティアナリストである小河哲之氏をお招きしました。 日本セキュリティ界の猛者と呼ばれる2人から、顧問・川口洋が衝撃のエピソードを引き出していきます。どうぞお楽しみください！。 イエラエセキュリティ顧問/株式会社川口設計　代表取締役 川口　洋 2002年 大手セキュリティ会社に就職。社内のインフラシステムの維持運用業務ののち、セキュリティ監視センターに配属2013年～2016年 内閣サイバーセキュリティセンター(NISC)に出向。行政機関のセキュリティインシデントの対応、一般国民向け普及啓発活動などに従事2018年 株式会社川口設計 設立。Hardening Projectの運営や講演活動など、安全なサイバー空間のため日夜奮闘中。 株式会社イエラエセキュリティ　高度解析部 ペネトレーションテスト課 課長 ルスラン・サイフィエフ ロシアにてシステム管理者／セキュリティエンジニアとして勤務した後、2013年より日本にてWebアプリケーション、ネットワーク、API、自動車などの脆弱性診断業務に従事。2018年2月にイエラエセキュリティに入社し、高度解析部にてペネトレーションテストやレッドチーム演習、脆弱性診断ツールの開発・検証などを担当。Offensive Security Certified Expert (OSCE)、Offensive Security CertifiedProfessional (OSCP)、GIAC Exploit Researcher and Advanced Penetration Tester(GXPN)な ど の 資 格 を 持 ち 、SANS NetWars Tournament 2017、FUKUSHIMAHackathon 2017、Medical × Security Hackathon 2015などのCTFにて受賞多数。 三井物産セキュアディレクション株式会社　テクニカルサービス事業本部　プロフェッショナルサービス事業部　先端技術セキュリティセンター　セキュリティアナリスト 小河　哲之 SIerでシステム構築やWebアプリケーション開発を経験後、大手セキュリティ会社にて年間約200サイトのWeb診断などを担当し、 三井物産セキュアディレクションに入社。脅威ベースペネトレーションテスト(TLPT)や標的型攻撃耐性診断などを担当。OWASP要件定義書WGやISOGなどの外部活動に参画。July Tech Festa、Code Blue登壇。Burp Suite Japanユーザグループ代表。MBSDブログ “「レッドチーム」は「ブルーチーム」がいるからこそ存在意義がある” 川口洋（以下、川口）：小河さん、ルスランさん、まずは自己紹介をお願いします。 小河哲之（以下、小河）：三井物産セキュアディレクション（MBSD）の小河と申します。ペネトレーションテストをメインでやっています。最近は脅威ベースのペネトレ―ションテスト（TLPT）に注力しています。TLPT（Threat-Led Penetration Test）というのは金融庁が推奨しているテスト手法で、脅威ベースで行うペネトレ―ションテストです。金融庁が推奨したこともあって、最近は金融系の会社は実施したり検討していることが多いです。 TLPTでは、実際に起こる脅威として、攻撃者が誰で、どこに対して、どのような攻撃がされる可能性があるのか、といった内容を脅威分析して、その中で攻撃シナリオを作り、どれだけリスクがあるのかや、インシデントに対していかに早く気づき対応できるかなどを試す内容になっています。 （参考：「脅威ベースのペネトレーションテスト」及び「サードパーティのサイバーリスクマネジメント」に関するG7の基礎的要素の公表について） 川口：具体的には、どのようなテストをするんでしょうか？ 小河：例えば「インターネットから特定の個人情報を抜き取る脅威がある」場合に、攻撃者がどういった経路で情報を抜き取っているのか、まずシナリオを考えます。ペネトレーションテストにも条件がいろいろお客さんによって違います。完全にブラックボックスな状態で、「IPだけ渡すから、テストお願いします」という場合もあります。 例えば「インターネットからWebサーバーに侵入し、さらにターゲットとする個人情報があるサーバーまで、多数のサーバーを踏み台したり、情報収集したりしながら、対象サーバーに侵入し、情報を抜き取る」というシナリオを作った場合は、実際にその攻撃シナリオが実行できるのかをテストする、という流れですね。 サイフィエフ・ルスラン（以下、ルスラン）：イエラエセキュリティ、高度解析部 ペネトレーションテスト課のルスランです。私も同じくペネトレーションテストをメインで担当しています。 具体的に言うとTLPTに近い形のシナリオベースのペネトレーションテストを行っています。また、Webアプリケーション経由で侵入する案件も多くあります。その場合、網羅的にチェックするというよりは、インジェクション系の脆弱性を見つけて侵入し、さらに内部ネットワークを調査することになります。 川口：今さらりと「侵入する」という言葉が出てきましたね（笑）。 ルスラン：（笑） 川口：お二人はもう知り合って長いということですが、何がきっかけだったのでしょうか。 小河：ペネトレーションテストや“レッド系”の情報を共有する10名ほどの勉強会を設立するタイミングで知り合って、それ以来情報交換をさせていただいています。あまり表に出ない情報なので、こういう繋がりは貴重なんです。 川口：今『レッド系』ってさらりとおっしゃいましたけど、具体的にはどういうものなんでしょう。 小河：「攻撃」側を指します。「レッドチーム」ともいいますね。 ルスラン：“レッド”側は、現実に存在する攻撃者と同じ攻撃方法などを考えた上で、実際に攻撃を行い、会社に実装されているインシデント対応プロセスの確認や対策システムの有効性などをチェックするのが役割です。一方の“ブルー”側は、“レッド”による攻撃結果によって、実装されているプロセスなどにミスがないかどうか、また強化しないといけない部分などを把握することができるんです。 「レッドチーム」に対する存在として、「ブルーチーム」という言葉があります。“ブルー”がいないと、そもそも“レッド”は存在しませんし、逆もそうです。残念ながら、日本にはインシデント対応プロセスなどのある会社や「ブルーチーム」がちゃんといる会社は多くないイメージですね。 川口：どんな組織があったら「ブルーチーム」と呼べるんですか？ SOC（Security Operation Center）やCSIRT（Computer Security Incident Response Team）があったら良いんでしょうか。 ルスラン：社内のセキュリティチーム、と言えば分かりやすいでしょうか。レッドチームによるテストや、リアルな攻撃者の攻撃に抵抗できるチームのことですね。SOCとCSIRTももちろん欠かせない部分だと思います。SOCは外部のサービスを使っているケースを見たことは数回あります。でも、その場合、外部のSOCからフィードバックされた内容や指示を、セキュリティ担当者が自分で導入できるかどうかが大事ですね。 自社でできないとなると、アウトソースしているSOCから作業する会社に結果を渡してもらって、そこから「どうしますか」と提案をしてもらうというような流れになると思いますが、なかなか難しいですね。 小河：TLPTの中では「ブルーチーム」も定義がされているんです。レッドチームの攻撃に対して、間にホワイトチームという調整役が入るものの、ブルーチームがちゃんと攻撃を検知できているかも合わせてチェックしていくことになります。 川口：「何でもいいからテストしてください」という依頼では効果が無くて、「あなたは何を恐れているんですか」と聞いていかなければいけないですね。 ルスラン：TLPTは、いわゆるレッドチームの案件を、ライトな形にしたような内容だと思います。フルスコープでやっているものを細かくして、シナリオを作ってテストするようなイメージですね。 小河：最初に対象の組織を決め、どこまでをスコープにするかを決めて、そこに対してどのような脅威があるかを分析することになっています。 “ペネトレーションテストと脆弱性診断、問題洗い出し後の役割” 川口：「脆弱性診断」と「ペネトレーションテスト」の違いを説明いただいてよろしいですか。そこの違いが、なかなか一般には理解されていない部分だと思いますので。脆弱性診断とペネトレーションテストの言葉をごっちゃにして使っていたり、予算取りのキーワードになってしまっていたりする印象があります。 小河：そうですね、「ペネトレーションテスト」自体、日本ではまだ言葉の定義がしっかりしてない状態ですよね。 「��弱性診断」は、主にシステムの問題点を探すものだと認識しています。網羅的にシステムの問題点をチェックしていく。Webアプリケーション診断やネットワーク診断、プラットフォーム診断が多いですね。 それに対して「ペネトレーションテスト」や「レッドチーム」は、運用の問題点を洗い出すのが主な役割です。もちろんペネトレーションテストもシステムをチェックしますが、見る観点が違っていて、運用の問題点を洗うのがペネトレ―ションテストのメインの役割だと感じています。 プラットフォームやネットワークの脆弱性診断だと、バージョンが古いとか設定を間違えていることによる脆弱性だ、と明確に分かるので、それに対応していけばいいという場合も多いですが、ペネトレーションテストはもう一歩踏み込んでいかなければならないものだと思います。 川口：ルスランさんはどう考えていますか。 ルスラン：だいたい同じではありますが、私は診断で見つかった脆弱性を使って、実際に侵入出来るかどうかを試すことがペネトレーションテストだと考えています。つまり、ペネトレーションテストの目的は「インパクトを見せる」こと。ビジネスリスクがあるかどうか、会員情報が乗っ取れないか、といった情報をお客様にしっかり提示することを重要視しています。 多くのお客様は「高リスク」や「緊急リスク」と診断を受けていても、「攻撃なんてされないだろう」って思ってしまうんですよね。それを「現実に、できますよ」と見せてあげるのがペネトレ―ションテストだと思います。他にも、低リスクの脆弱性が3つ組み合わさることで、どんなビジネスリスクが発生するか、ということをチェックするのも、ペネトレーションテストが示すべき問題だと考えています。 小河：私も同じように考えています。特に、こうした“組み合わせ”による脆弱性については、運用面が大きな問題になることが多いと感じています。また一言で“運用”といっても各社ビジネスが違いますし、事業内容や働き方がバラバラなので、全てのケースに当てはまるベストな解は出しにくいですね。お客様それぞれの運用を聞きながら、毎回対策を提案していかなければいけないと感じます。 川口：脆弱性を見つけて終わるのではなくて、どう直すか、どう運用を改善するかも含めて、解決方法を提示するためには、お客様の運用について詳しくないとできない、ということですね。 小河：そうですね。テストをして「これだけ問題がありました」と報告しても、対策方法がなければ、お客様もどうしたらいいか困ってしまうので、そうならない為に私たちはどうすべきなのか、日々考えています。 もちろんこちらもお客様の業務を全てを把握しているわけではないので、報告書で対策を提案しても「運用上その対策は無理です」といわれてしまうことは多々あります。そういった時に「代替案としてこういう方法もあります、運用をこう変えることでリスクが軽減できます」といった提案をするように心がけています。 川口：そこで重要なのが「ブルーチーム」いうことですね。お二人が今、言っているようなことを意識して、報告を受ける側は「ブルーチーム」であって、報告を元に改善していかなければ、なんて意識は、なかなか無いんじゃないかな。「何のためにやってるんだろう？」っていうケースもありそうですね。 運用しているベンダーさんに「テスト結果これなので、宜しくお願いします」と丸投げしてしまうような組織だと、結果を元に継続的に改善していくような話になりにくいですね。自分の組織にITエンジニアやセキュリティエンジニア、ネットワークエンジニアを据えて、そのレベルを上げていきましょうという話にしていかないといけないですね。 「スコープを決める」ことの重要性 川口：ここまで話を聞いていて思いましたが、「スコープ」というのはお二人に染み込んでいる重要なキーワードなんですね。どこにスコープを当ててテストするか定義しないと、テスト結果をうまく活用できない。 小河：非常に重要ですね。実際の攻撃者は「Webサーバーへの攻撃」が目的なのではなく、「何か情報を盗み取りたい」とか「システムを止めたい」という目的があって、攻撃しているわけです。「システムを止めたい」場合、攻撃対象はWebサーバーだけかもしれません。でも、「何か情報を盗み取りたい」というモチベーションの時には、いろんな場所がターゲットになります。そうしたときに重要になるのが「スコープ」です。 日本の場合、システムへの影響を考えて「ここだけお願いします」という依頼も多いんです。例えば、Webサーバーをスコープにしたときに、Webのポートしかターゲットにしないというような感じです。このようにテスト対象を限定してしまうと、低リスクの問題をいくつか組み合わせることで侵入できてしまうかもしれない場合、スコープが狭すぎるせいで実際のリスクが可視化できないことがあるんです。 ルスラン：Webの診断依頼があったときに、診断対象として依頼されるのは「あるドメイン」ひとつだったとしても、探してみるとサブドメインが20個くらいあったりするんですね。そういう場合はそこまで見ないと意味がなくなってしまうので、お客様に状況を説明しに行ったりします。 川口：サブドメインから攻略すれば親ドメインまで行けるじゃないか、というケース、ありそう。 ルスラン：内部的に行ける場合もありますし、他のドメインで使われている認証情報を使って侵入できたりもします。 川口：パスワードを使いまわしてたりするケースですね。 ルスラン：最近だとAWSもよく使われているので、AWSの認証鍵を取得することができれば、AWS環境も乗っ取れる可能性があります。 川口：ちなみにルスランさんはお客さんのテスト中にAWSの鍵を盗めたことがあったりしますか。 ルスラン：……何回も（笑）。 川口：何回も！（笑） 一般人の感覚だと、「そんなに簡単に出てくるんですか？！」という感じだと思います。でもお二人からすると、探せば見つかる、という感じなんですね。 ルスラン：探せば、出てきますね（笑）。特に社内だと、開発者だけでなく、みんなあちこちに鍵を置いてたりするので、AWSの設定不備を使って特権昇格できることもあります。あとは条件次第なんですが、逆に言えば、条件を満たせば見つかることは多いですね。 川口：一般的な感覚で「ここだけテストお願いします」と依頼しても、全然スコープがあっていなくて、テスト側からすると「こっちのスコープから見れば侵入できちゃうよ」ということは沢山ありそうですね。 「低レベルと評価されている脆弱性が組み合わせることで、大きなリスクになってしまう」という相談を受けることが多いのですが、共有できる具体的な事例はありますか。 ルスラン：AWSでいえば、例えばSSRF（Server Side Request Forgery）という脆弱性があります。サーバーから他のサーバーに内部ネットワーク経由で通信できる中リスクくらいの脆弱性ではあるんですが、AWSの場合はその脆弱性が存在すると鍵が一発で取れるので、そこからパパっとAWSの環境に侵入していくことができます。脆弱性診断の結果だけ見て、「SSRFだから中リスク」と判断してしまうと、危険ですね。 外部に対してtelnetが開いていて、そこから侵入できる場合もあります。認証サービスが入っていても、空いてるポートIPを調べて、IPの持ち主はwhoisで調べて、ウェブサイトを見て会社名を利用するなどして、ちょっとだけカスタマイズすれば、管理者として入ることができてしまうことがあります。 小河：私も、WordPressの侵入を試みた時に、別のサーバーが同じアカウント名を使っていたので、同じ名前を使ってみたところ、侵入できてしまったことはありましたね。基本的に、皆さん、認証情報を使い回すことが多いので、いまは使われていない認証情報、古いアカウント情報がわかれば入れてしまったりします。 川口：命名規則が分かってしまうというようなことですか？ 小河：古いパスワードが残っていたり、会社名と文字列を見たときに「こういうルールで運用しているだろうな」とパターンが分かってしまうんですね。システムアップデートを見ると、会社名+年月があって、その間に#が入っている、というような場合は、日時の数字を変えるというルールになっていると簡単に想像できます。 さきほどスコープの話をした時、サブドメインの話がありましたが、同じような状況で、本番環境は問題なくても開発環境を外部公開していて、そこを管理してないケースもありますね。管理者「admin」のパスワードが「admin」というような簡単なものが設定されているケースもあります。 本番環境の管理されているドメインは社内でExcelの台帳でユーザー名などしっかり管理されていても、開発環境は一切管理がされておらず担当者がユーザー名・パスワードを勝手に決めていたりしますね。本番環境そのものに入れなくても、開発環境に入れれば、そこを経由して本番環境も攻撃できます。 ルスラン：本番環境はWAF（Web Application Firewall）で守られているけれど、ちょっと探したらステージング環境が見つかって、そちらにはWAFがなくて、そこから侵入できたりもしますね。 川口：話を聞いてしまえば、「ああ、ありそうだね」と思いますが、使っている本人はそんなところから問題が起きるとは思っていないわけですね。 ペンテスターも焦る！脆弱性が漏らす 「衝撃的な内容」 川口：お二人ともこれまで数多の経験の中で、同じようなケースを見てきたわけですね。ちなみに、今まで侵入して見つけた中で衝撃的なものはありましたか？ 小河：詳しくはお話できないですが、あまりにもセンシティブな情報が置いてあったのを見つけてしまったことがあって「これは今すぐ消してください」と急いでお願いしたことはありますね。「認証があるから守られている」と担当者の方は思いがちなんですが、裏口までチェックできていないケースが多くて、侵入できてしまうケースは多いんです。 川口：まるで「3匹の子豚」みたいですね。木の家、藁の家を建てて大丈夫だと思ってたけど、狼が現れたら家壊されちゃいますよ、ちゃんとレンガで作りましょうよ、ということですね。 小河：1年経ったら裏のレンガが崩れかかっていて、そこからちょっとずつ崩していたら入れちゃった、ということもあります。定期的にチェックした方が良いと感じますね。 ルスラン：衝撃的なことは、いろいろ、あり過ぎるほどありましたね（笑）。私はプライベートでBug Bounty（バグ報奨金プログラム）をやっているんですが、ある会社全員の個人情報がパーッと出てきてしまったことがあります。 まずサブドメインを探して、認証情報を見つけます。認証情報を特定のIPで探したところ、突破できました。更に認証画面が出てきて、ここに何を入れればいいか探していたところ、その会社が提供してるAPIがGitHubに公開してあったんですね。「ログインするならこのパスワードを使え」とあったので、そこに書いてあったパスワードを使ったら侵入できてしまいました。 特定のIPアドレスからしか入れないことになっていることで、「守られている」という考えだったんだと思います。けれど、いくつかの脆弱性を組み合わせれば入れてしまいます。制限方法によっては、そもそも脆弱性があるままだったりしますしね。 川口：倫理観を持ったお二人がやっているから大丈夫ですが、悪意のある人に見られたら大変ですね。そんな簡単に個人情報が見られてしまうというのは、一般の方にとっては衝撃だと思います。 求められる「事前手順化」と「実践的なテスト」の間に横たわる相互理解のハードル 川口：未公開の脆弱性を見つけたことはありますか？ ルスラン：日本製の端末管理ソフトのようなシステムで、見つけたことがあります。悪用すると特権昇格ができてしまう脆弱性でした。 川口：それは厄介ですね。でも、導入している製品に未発表・未発見の脆弱性があったら、導入している会社さんやユーザーさんはどうしようもないですよね。ソフトウェアの開発元に「直してください」とお願いする��かない。 ルスラン：その問題の場合は、グループポリシーで対応することができました。でもソフトに依存する場合はソフトの開発元が対応してくれないとどうにもならないですね。 川口：小河さんはWindowsDefenderをかいくぐるのに一生懸命と聞いてますが。 小河：どの企業もセキュリティ製品を入れて対策するのが当然なんですが、テストする時にそこがネックになると困るので、そういったセキュリティ製品をバイパスできるように日々研究しています（笑）。日々変わっていくものですしね。 ルスラン：シナリオにも依るので、セキュリティ対策ソフトが無い条件でやる場合もあります。でも最終的には、テストをする個人の経験や知識に依存する場合が多いですね。 小河：そこに依存しちゃいますよね。 川口：汎用的な知識を持った、学校を出たばかりの人ではなくて、数多の経験を積んできた猛者がペネトレーションテストやらないと、全然意味が無いわけですね。そういう「出来る」人間が、日々あの手この手で研究しているということが重要ですね。そんなスペシャリスト、日本に100人もいなそうな気がします。 小河：いて欲しいですけどね（笑）。ペネトレーションテストは決められた手順で行うものではないので、おっしゃるとおり、経験を積みながら、日々勉強しながらやっていかないと難しいですね。 ルスラン：ペネトレーションテストをやっている人は、「これまでに見たことがない状況」になった時にどうするかが大事です。日々勉強していて「こんな脆弱性もありうる」と試してみるか、「何もなさそうから、何もないだろう」とそこで終わっちゃうかで結果が違ってきてしまいます。 川口：お二人は「絶対、脆弱性がある」と思ってシステムの脆弱性を探っていることですよね。そういうマインド的なものもあるんですね。手順書があって、「この手順通りにやってください」で済む話では無いんですね。 「手順書が無い」中で脆弱性を見つけていくのがペネトレーションテストの本質である一方で、ハードウェアを作るような製造業のお客さんだと、「テストを手順化してください」というケースも多いと思います。 製造業だと手順を標準化して品質を向上させる、製造ラインのプロセスにするのが仕事だったりしますよね。全ての機器がコネクテッドな形でインターネットに繋がるようになってきている今、そういう人たちとビジネスすることも多いでしょう。セキュリティ業界トップクラスの人が経験を駆使してテストするのに、「事前に手順書作ってくれ」と言われて、困ることもあるんじゃないでしょうか。 小河：そこは日々説明して、理解頂くよう努力するしかないですね。 ある組織の診断を依頼された時「診断手順を全て明確にして、その手順をベンダーに説明して問題ないことを確認してからテストしてください」と言われたことがあります。見たことがないシステムで、何が動いているかも分からない状態だったので、事前に全て手順化することはできないということを説明しました。 最近はそういうものだと段々理解いただいて、「こういう観点で行います。例えば、Webサーバーのポートスキャンして、ウェブサービスを見て、ウェブ上の問題点がないか確認して…」といった手順はお伝えしていますね。「具体的に何のデータを送信する」とか「どういう認証パターンをテストする」ということを言わなくても良いようには、なってきていると思います。 川口：日本に100人位しかいないトップクラスの人達がペネトレーションテストしているとは思ってなくて、何かマニュアルに従って品質管理のプロセスの一部として手順通りにやっているんでしょう、と思われているのかもしれませんね。それだったら、「手順を開示してください」という気持ちは分かります。 もしかしたら通り一辺倒のテストをして、「ペネトレーションテスト」とはとても呼べないものをペネトレーションテストとして実行しているケースもあるかもしれませんよね。スキャンツールを回してるだけとか。トップレベルの人がテストしないと発見できない問題や改善点もある、という認識が無いのかもしれません。 小河：それは本当にもったいないですね。お金を払う側ももったいないですし、我々としても、本来のペネトレーションテストのあるべき姿とずれるのは良くないと思っています。 テストを依頼された時は、目的を確認することが多いです。何を目的としているのか。Webアプリケーションの問題点を見つけたいのか、それとも侵入されたら困るのかなどです。テストの依頼に至った経緯まで遡ってヒアリングしていくことで「こういうテストシナリオや、こういうサービスのほうがいいんじゃないか」という適切な提案ができるんですね。 ルスラン：テストの目的を合意することは大事ですね。そうでないと、最終的に報告書を出したときに「これは期待していない結果だった」となってしまう危険性があります。 川口：ペネトレーションテストをどういう期待値で行うか、受けた後にどう改善していくのかを考えていないと駄目ですよね。「脆弱性が無い、100点満点がほしい」というお客さまにはペネトレーションテストは難しいですね。何か問題は発見されるのだから、「改善するプロセス」として頼んでもらうのが良さそうですね。 ルスラン：それが一番いいですね。 外部からの侵入対策は分厚いが、内側は“楽園”の日本企業 川口：こういうシステム、こういう運用は侵入しやすい、危ない、というのを教えていただけますか。この座談会記事を読んでいる皆さんに気をつけて頂きたいことは、何でしょう。 ルスラン：最近はクラウド経由の侵入が多いですね。昔はWebサイトに脆弱性があったとしても、場合によってそのサーバーの情報だけで被害が済んだんですが、最近だとAWS、Azureで認証鍵が取れるので、それを使ってクラウドにある他の端末にも行けて、それで大変なことになってしまいます。クラウドは便利だけど、リスクもあるので、鍵の制限をちゃんとしてほしいです。 あとは、日本の場合、私の見てきた経験だと、外部はファイアウォールなどで結構守られてる印象があります。でも、いったん中に入ると攻撃者にとっては楽園というか…… 川口：楽園（笑）。 小河：それは非常に感じますね。 川口：「中に入る」というのは、標的型メールを開いてしまった後、というような状況でしょうか。 ルスラン：それもありますが、物理的に攻撃者が組織内部に入ってLANケーブルを刺しちゃうとか、そもそも内部の人が攻撃者の場合もありえます。このような場合は社内のネットワークに繋がっている状態なので、いろいろ簡単に出来ちゃうんですね。取引先の営業マンが攻撃者だったり、PCを盗まれた場合など、いろいろなケースが考えられます。 川口：インターネット経由はそれなりに守られていても、一度中に入ってしまうと驚くほど守りが弱いわけですね。小河さんも強く頷いてますね（笑）。 小河：仰るとおりなんです。ファイアウォールなど外からの入口は、長年言われていることもありちゃんと対策されているんですが、内部はやりたい放題のケースが多いです。 ネットワーク担当の方が「ここはセグメントが分かれてるから大丈夫」と思っていたら、実際には分かれておらず、制限されていなかったりすることもあります。物理的な侵入や内部犯行を想定すると、簡単に権限昇格できたりするケースは非常に多いですね。 ルスラン：内部の話になると、運用の問題が多く出てきますね。一般のユーザなのに管理者権限を使っていたり、端末ごとに同じパスワードが使われていたりといったケースが目立ちます。 小河：大企業になると、各クライアントPCはコピーして渡していくので、同じキッティングルールに則った設定になっていることが多いんです。作成時のアカウントがそのまま残っていると、全部パスワードも同じなので、1台侵入されると全部ダメになってしまう。 ペネトレーションテストのシナリオにもよるんですが、「会社のPCが1台手に入ったら」という想定で、企業から1台提供してもらい、そこからどこまで入れるかテストすることがあります。それで、提供されたPCに入ってみるとデスクトップの特定のファイル内にサーバーのパスワードが残存しており、そこから入って権限昇格ができてしまうといったようなことがありますね。 川口：よくあるケースですね。事故が起こった組織の事故調査報告書にも、システム運用事業者のデスクトップに「パスワード管理台帳」が置いてあった、と書いてありました。 ルスラン：マニュアルにパスワードが書いてあったり、プロセスを自動化するためスクリプトファイルに認証情報が書いてあったりもしますよね。また、認証情報のあるスクリプトファイルを配布する時に、ドメインコントローラーの特定のフォルダに入るだけで見れたりとか。 あとは例えば、ハードコーディングされたパスワードをセキュアだと考えている組織もあると思います。私が見たケースだと、自作で作ったツールに埋め込んでいて、サポートの人や担当者の人にPCを渡すときに、パスワードを渡す必要がなくなるので安全だと考えている場合がありました。でもそれって、解析できる人が手に入れたら、パスワードは見えちゃいますよね。 川口：一分くらいで？ ルスラン：一分は厳しいですけど…（笑） 川口：コーヒー飲んでるくらいの時間で取れちゃうわけですね。 小河：認証情報をどう管理するかは、非常に難しい問題です。会社の運用上、それを是正するのが厳しかったり、システム上難しかったりするときに、そのリスクをどう軽減させるか。都度考えるのが大変ですね。私自身もベストな提案が常に出来ているかは分からないですが、運用している人とディスカッションしながら、毎回勉強しながら知識をアップデートしていかないと難しいですね。 「特定の認証製品を導入しているので、ここのリスクは軽減できているが、他のリスクはどうなんだろう」といった感じで、製品の知識もアップデートしていく必要があります。セキュアな状態で「運用し続ける」ことが一番重要だと思います。一瞬ではなく常にセキュアであり続ける、常にチェックする体制を整えることが大事ですね。組織が変わるだけで運用が変わって、そこで問題が出たりもしますから。 川口：退職者アカウントでログインできたりするケースもあるんじゃないですか。 小河：古い設定が残ってるケースは、問題になることも多いですね。最近のアカウントはパスワードポリシーを変えてセキュアな設定になっていても、古いアカウントが以前の緩いポリシーで、例えば数字6桁でログインできたりというケースもあり    ます。「無効化してるので大丈夫だろう」と思っていても、何か間違って有効にしてしまったら終わりです。なので、可能であれば使っていない古いアカウントは全て削除してくださいとお願いしています。 「お二人とも、セキュリティ企業で働いていて下さいね（笑）」 川口：最近お2人が気になっている技術や製品はありますか。 ルスラン：日本のいろんな製品の脆弱性を試してみたいと思っています。海外の製品は海外の人たちが大体見てるんですが、日本の製品はまだそこまで見られていないので。 小河：私は最近、Windows Defenderのようなセキュリティ製品をいかにバイパスするかを考えていて、Mimikatz（ミミカッツ）のような攻撃ツールを自作したりしています。（参考：攻撃的セキュリティツール、Mimikatzとは（前）） 川口：一般的な攻撃ツールでは対策されてしまうから、小河オリジナルツールを作っているということですね（笑）。 小河：はい、Mimikatzでは特徴点があるのでDefender等に拾われてしまう攻撃でも、自分でゼロから作れば、公開しなければ特徴点はバレませんので、そうすれば大体バイパスが出来ます。 川口：普通の人からすると、「そんなツール、ゼロから作れるんですか！？」って感じですが……。 小河：頑張ってやってます。Mimikatzのように、既に実現してる例があるので、何とかなるだろうと。 ルスラン：簡単なものだと変数の名前変えたりからですね。ある機能が不要なので消してみる。そうするとコンパイルしたハッシュが変わることで実行できるパターンも出てきたり。他の言語に書き換えたり。 小河：変数名を変えるのは非常に単純なんですが、Defenderだと最近は大体ブロックしますね。 ルスラン：Defenderも結局人が作るモノなので、同じ方法でバイパスも出来てしまうんですよね。 川口：世界で何兆円も使って開発しているソフトのセキュリティに一人で立ち向かっているわけですね。絶対こいつら倒してやる、と……。二人とも、悪い人たちに連れ去られないことを祈っています！　セキュリティ企業で働き続けてくださいね！（笑） そんなお二人に、お互い「実は、これを聞いてみたかった」ということがあったら、この機会に質問をしてみてもらえますか？ 小河：聞きたいこととなると、具体的な攻撃手法になってしまうんですよね（笑）。ルスランさんは、リバースとかプロセスのダンプや解析まで、その場でやったりしますか。権限が取れてしまったときとか。 ルスラン：必要に応じてやっていますね。 小河：それは自分の感覚で？ ルスラン：怪しいプロセスが実行されていれば、これは自作のプログラムだろう、じゃあ、exeを取ってきて解析してみようか、とか。必要によってですね。 小河：exeの場合だとバイナリーとかアセンブラとかそこまで見ます？ ペネトレーションテストの期間や内容にもよると思いますが。 ルスラン：自分の能力の範囲でやってみる感じですね（笑）。 小河：例えば、認証情報をハードコードしたプログラムをexeにした場合に、文字列として残ってるものがあったりするじゃないですか。そのexe自体を侵入に悪用されるケースがあったりしますが、解析をしない限り、パスワードが分かって初めて分かる脆弱性ですよね。いきなりアセンブラのチェックまでするかは、難しいですよね。 ルスラン：具体的にあった事例でいうと、exeは見つけられたんですが、Go言語で書かれていて解析が難しかったんです。その時は何をやってるか見て、トレースできるものに入れて、最終的にハードコーディングされている箇所のファンクションで、PowerShellに2つのパラメータを渡しているのがわかりました。1つめはアカウント、2つめはパスワードだった、みたいな感じですね。ものによってやり方は変わってくるところです。 川口：すごい（笑）。実務でやってる方ならではの話ですね。ルスランさんは小河さんに聞いてみたいことはありますか。 ルスラン：標的型メール攻撃の経験はありま��か？ 小河：弊社でもやっていますが、あまりメインではやらないですね。標的型メールは日本では開く方が「悪」。開いてしまった人が血祭りにあげられるような状態ですよね。 「最近こういうメールが来るよ」という啓蒙としてはやるべきだと思いますが、何人開いた、誰が開いたというところは重要じゃないと思います。誰か必ず開いてしまうものなので、開いてしまっても検知が出来るとか、攻撃を局所化できる組織にするとか、そういうセキュリティ対策ができていることの方が重要だと思います。 ルスラン：私も、誰がいつ開いたという話よりも、開いてしまって、実行して、シェルを取られたとか、そういう情報を知りたいですね。最近だと入口がしっかりしていて、フィッシングメールで対応できない場合に製品を突破できないか、という案件もたまにあったりします。 小河：製品をいかにバイパスするかの話になってきますね。攻撃コードを1byte変えてとか、製品を素通りさせるかみたいな話になると、特定の製品の評価になってしまう気もしています。 ルスラン：何も分からないブラックボックスでのテストは結構楽しいですけどね（笑）。 ペネトレーションテスターになりたい貴方に、まず経験して欲しいこと 川口：ペネトレーションテスターになりたい人とたまに会うんですが、何かおススメの勉強や経験などあったりしますか。 ルスラン：システムの開発経験を得てきてほしいですね。自分はそこが足りてないと思っていて、プログラミングができればもっといろいろ出来ると思います。開発系の企業に1度入ってもいいし、自分で勉強してもいいと思います。 小河：その他にあるとしたら、好きな技術を突き詰めることですね。強みを作って、次の分野に行って、を繰り返していくと、すごいペンテスターになっていると思います。自分も全ての技術に精通しているわけじゃなくて、そういう人が集まってテストをしていくので。 ルスラン：レッドチームのペンテスターの中でも、それぞれ役割があります。ある人はリバースエンジニアリングが出来る、ある人はネットワークが強い、といったように。自分の強みを探すのが重要だと思いますね。 川口：だからレッド“チーム”なんですね。 ルスラン：1人でやるには時間と知識が足りないですね。 小河：脆弱性も、コードが公開されているからそのまま攻撃すればいい、というわけではないんです。例えば攻撃した結果サーバが落ちてしまったら、意味がないわけですよ。いかに落ちないように検証するか。経験や知識を皆で共有してやっていかないと良いサービスにならないと思います。 川口：そういう人がいるって大事ですよね。イエラエにしてもMBSDにしても、そういうことが出来る人間が何人かいるから面白いし、お互い高めあうことができるんですよね。そこは大きなポイントな気もしますね。 最後に、お二人に今後の野望を一言ずつでいいのでお聞きしたいです。今後していきたいことや、目標をお願いします。 ルスラン：私はレッドチームやTLPTをやってみたいなと思っています。ペンテストをやっていくと常に進化していかないといけないので、次はレッドチームのような方向かなと思っています。 小河：自分もそうですね。あとは、組織のセキュリティレベルをいかに上げていけるかに注力していきたいですね。 川口：本日はありがとうございました。

【アジアカップ2019】日本の初戦・トルクメニスタン代表の中心選手「ルスラン・ミンガゾフ」がかなり上手い！ 自由にさせたら厄介だぞ…ってことが分かる動画

2019年1月5日よりAFCアジアカップが開幕した。日本代表の初戦は9日のトルクメニスタン代表戦（日本時間20時キックオフ）。2022年のカタールW杯でベスト8の壁を突破するには、ここで負けることは許されない。

ただ、トルクメニスタンという国は何かと謎に包まれているから不穏だ。サッカー代表は強いの？　誰か有名な選手はいるの？　──そう思う人も少なくないだろうが、どんな相手であれアジアカップには魔物が潜んでいるため油断大敵。グループBの初戦で優勝候補のオーストラリアがヨルダンに敗北と、大波乱が起きているので日本も決して他人事ではない。

・トルクメニスタンの中心選手

トルクメニスタンのFIFAランキングは127位（日本は50位）。大きく差があるように見えるが、ロシアW杯の予選でイランと引き分けるなど、着々と実力をつけている国であることは間違いない。で、チームの中心はチェコのクラブでプレーする

View On WordPress