2020/07/10

【転載】サイバーパンフレット サイバー攻撃の現状 2020(公安調査庁)

サイバーパンフレット サイバー攻撃の現状 2020(公安調査庁):

公安調査庁は6月29日、国内外で深刻さを増すサイバー攻撃の現状等について広く周知するため「サイバーパンフレット サイバー攻撃の現状2020」を作成し公開した。



「近年の主なサイバー攻撃事案」でWannaCryやNotPetyaなどについて言及しつつ、攻撃主体として国家または非国家の主体を挙げ、国家主体として指摘された例として米国による指摘として、北朝鮮、ロシア軍参謀本部情報総局、中国国家安全部、イランなどの名称を記載している。



攻撃の目的として「情報窃取・スパイ活動」「情報システムの破壊・機能妨害」「不正な金銭獲得」「心理戦・影響力工作」の4つが挙げられ「情報窃取・スパイ活動」のページには2015年に発生した日本年金機構における個人情報125万件流出事案が記載されている。

《高橋 潤哉( Junya Takahashi )》






バックアップ

2020/07/09

EPPとEDR、UBAとUEBA、DX(セキュリティ用語整理)


@IT主催のIT Security Live Week視聴していて、知らない単語に出会ったり、知ってはいるんだけどごちゃごちゃになったりで、いろいろと整理を進める。

■EPPとEDR

個人的な感想なのだが、EDRはもともと用語としてあったが、EPPって用語はEDRと対比させるために後から作ったのではなかろうか・・・?

・EPP:Endpoint Protection Platformの略
 ⇒従来型のアンチウイルスソフトとほぼ同義。
  シグネチャ方式による保護がポイント

・EDR:Endpoint Detection and Responseの略
 ⇒EPPはシグネチャ方式による保護となり、所謂入り口対策となる。
  当然シグネチャが対応していなければ検知できない。
  そこで、ソフトウェアの挙動をチェックし、不審な兆候を検知して
  ブロックするのがEDRとなる。

EPPとEDRの関係を整理すると↓な感じになる。



EPPで検知したものはほぼマルウェアと断定できるが、EDRで検知したものは誤検知の可能性も残るため、精査が必要。

そのため、EDRは単にツールを入れればよいという単純なものではなく、導入後のオペレーションにもしっかり投資を行っていく必要がある。

標的型攻撃に対してはEPPは無力だが、EDRを導入し、プロアクティブにハンティングを行っているような組織であれば標的型攻撃への態勢が高いと考えられる。

※EPPは模倣型の標的型攻撃には対応できるが、ガチの標的型攻撃にはシグネチャが無いため、対応できない。


■UBAとUEBA

内部不正のリスクや可視化の対策ソリューションでよく出てくる。

・UBA:User Behavior Analytics(ユーザ行動分析)の略

・UEBA:User and Entity Behavior Analytics(ユーザとエンティティの行動分析)の略

違いは”Entity”の有無だけである。

【Entityの意味】

「通常」どのように行動するかを定義する行動の基準(ベースライン)を作成し、その基準から逸脱した異常を識別。

上記を踏まえ、改めて整理すると下記になる。

・UBA:ユーザ行動分析(ベースライン無し)

・UEBA:ユーザ行動分析(ベースラインあり)

UBAは、2014年にガートナーが造語した言葉。

この時は個人ユーザやユーザのグループの行動のみに対する分析が定義となっていた。


翌2015年に、ガートナーは「E」を追加し、UEBAに変更。

ここでは、ルータ、サーバ、エンドポイント、アプリケーションなどネットワーク上のユーザ以外のエンティティについても、基準となる行動を分析し、異常を検知する機能を備えることが定義となった。

結論:UBAは死語

■DX

Digital Transformationの略。

略称がDXとなるのは、英語圏では接頭辞「Trans」を省略する際にXと表記することが多いためとのこと。

ロサンゼルス国際空港(Los Angeles International Airport)のコードをLAXにしたり、関西国際空港(Kansai International Airport)のコードをKIXにするのと同じようなノリなのだろうか?

DXの発祥は2004年。

スウェーデン・ウメオ大学のエリック・ストルターマン教授がその概念を提唱。

曰く、「ITの浸透が、人々の生活をあらゆる面でより良い方向に変化させる」。

その後、14年の時を経て、2018年に経済産業省が企業向けに定義。


「企業がビジネス環境の激しい変化に対応し、データとデジタル技術を活用して、顧客や社会のニーズを基に、製品やサービス、ビジネスモデルを変革するとともに、業務そのものや、組織、プロセス、企業文化・風土を変革し、競争上の優位性を確立すること」

分かったような分からないような感じだが、DX前の世界と、DXの世界を比較すると、個人的には何となく分かってくる感じがする。

【DX前の世界:唯一の正解がある世界
・効率化
・データベース
・トランザクション
・従来型
・ウォーターフォール、etc

【DXの世界:唯一の正解が無い世界(⇒知恵を振り絞って正解っぽい方向に向かう)】
・サービス
・SNS
・モバイル
・データアナリティクス
・クラウド
・セキュリティ
・アジャイル、etc

とあるセミナーを聞いてものすごく納得感が高かったのが、「DXは唯一の正解が無い世界」であるということ。

DX、DXって騒いでいるけど、なんだかんだ言いながら既にDXの世界にどっぷり浸かっているということが確認できた。

【転載】カリフォルニア大学サンフランシスコ校(UCSF)はランサムウェア復号化のために114万ドルを支払う

UCサンフランシスコはランサムウェア復号化のための114万ドルを支払います:

UC San Francisco pays $1.14 million for ransomware decryptor



カリフォルニア大学サンフランシスコ校(UCSF)は、UCSF医学部のITネットワークに違反し、データを盗み、システムを暗号化することに成功したネットウォーカーのランサムウェア事業者に114万ドルを支払ったと述べています。

UCSFは、健康科学に焦点を当てた研究大学で、COVID-19研究に携わり、米国のニュース&ワールドレポートの大学ランキングに基づいて、プライマリケア の最高の医学部で研究と#6のための医学部で#2としてランク付けされています。

6月3日、 Netwalkerはデータleak siteに掲載された投稿で、UCSFのネットワークにハッキングし、社会保障番号を持つ学生申請や従業員情報、医学研究、財務を含んでいるように見えるフォルダリスト を含む、侵害中に盗まれたファイルの一部を公開したと述べた。

UCSF entry on Netwalker's data leak site



ネットウォーカーのデータ漏洩サイトのUCSFエントリー

攻撃は、そのトラックで停止し、いくつかのシステムはまだ暗号化されました

UCSFは現在、脅威 アクターが一部の医学部システムのデータを暗号化することができたため、ネットウォーカーのランサムウェア 攻撃が少なくとも部分的に成功したことを確認しました。

「6月3日に明らかにしたように、UCSF ITスタッフは6月1日にUCSF医学部のIT環境の限られた部分で発生したセキュリティインシデントを検出しました」と発表しています。

「安全対策として医学部内の複数のITシステムを隔離し、UCSFコアネットワークからインシデントを隔離しました。重要なことに、この事件は、患者ケアの配信業務、キャンパスネットワーク全体、またはCOVID-19の仕事に影響を与えませんでした。

大学は、進行中の調査は、事件の間に暴露された患者の医療記録を指し示すヒントを発見していないと言います。

重要なことに、この事件は、私たちの患者ケアの配達業務、キャンパスネットワーク全体、またはCOVID-19の仕事に影響を与えませんでした。- UCSF

それにもかかわらず、UCSFは、Netwalkerのオペレーターに約114万ドルを支払うことに決め、適切なツールが攻撃中に暗号化された学術的な作業を解読し、盗まれたデータを返すことを確実にすることに決めたと述べています。

「暗号化されたデータは、公共財に奉仕する大学として追求する学術的な仕事の一部にとって重要です」とUCSFは付け加えました。

そのため、我々は、暗号化されたデータのロックを解除し、彼らが得たデータのリターンを解除するためのツールと引き換えに、マルウェア攻撃の背後にある個人に身代金の一部、約114万ドルを支払う困難な決定をしました。

大学や企業 火災の下で

USCFは、ネットウォーカー事業者によると、5月28日に ミシガン州立大学(MSU)のネットワークが侵害され、暗号化され、ここ数ヶ月でランサムウェア攻撃の犠牲となった一連の大学の1つです。

それ以来、MSU攻撃で盗まれたすべてのデータは、大学が身代金を支払うことを拒否したので、漏洩しました。

ナットウォーカーはまた、 シカゴのコロンビア大学のシステムを暗号化したと主張し、身代金が支払われなければデータ漏洩サイトにデータを公開すると再び脅しています。




Netwalker  Mailtoランサムウェアとして開始されました 2019年10月に、それは現在、脆弱な リモートデスクトップサービスを標的とした攻撃で関連会社によって使用されるランサムウェアとしてのサービス(RaaS)操作です。

このRaaSオペレーションは、より大きな身代金を要求できるようにエンタープライズネットワークを侵害することに焦点を当て、企業データを盗まれたレバレッジにも焦点を当てています。

ネットウォーカーは、オーストラリアの運送会社 トールグループ、 アジア太平洋地域のロジスティクスサービスのリーディングプロバイダー、 with 50カ国以上の1,200カ所で44,000人の従業員に対する攻撃を含む、成功した攻撃の絶え間ない流れを発表しました。



--原文--



The University of California San Francisco (UCSF) says that it paid $1.14 million to the Netwalker ransomware operators who successfully breached the UCSF School of Medicine’s IT network, stealing data and encrypting systems.
UCSF is a research university focused on health sciences and involved in COVID-19 research, ranked as #2 in medical schools for research and #6 in best medical schools for primary care based on U.S. News & World Report's college rankings.
On June 3, Netwalker said in a post published on its data leak site that it hacked into UCSF's network, publishing some of the stolen files during the breach, including student applications with social security numbers, and folder listings appearing to contain employee information, medical studies, and financials.
UCSF entry on Netwalker's data leak site

UCSF entry on Netwalker's data leak site

Attack stopped in its tracks, some systems still got encrypted

UCSF now has confirmed that Netwalker's ransomware attack was at least partially successful since the threat actors were able to encrypt data on some School of Medicine systems.
"As we disclosed on June 3, UCSF IT staff detected a security incident that occurred in a limited part of the UCSF School of Medicine’s IT environment on June 1," the announcement says.
"We quarantined several IT systems within the School of Medicine as a safety measure, and we successfully isolated the incident from the core UCSF network. Importantly, this incident did not affect our patient care delivery operations, overall campus network, or COVID-19 work."
The university says that the ongoing investigation hasn't discovered any hints pointing at patient medical records having been exposed during the incident.
Importantly, this incident did not affect our patient care delivery operations, overall campus network, or COVID-19 work. - UCSF
Despite this, UCSF says that it has decided to pay the Netwalker operators roughly $1.14 million to make sure that they have the proper tools do decrypt the academic work encrypted during the attack and to have the stolen data returned.
"The data that was encrypted is important to some of the academic work we pursue as a university serving the public good," UCSF added.
"We, therefore, made the difficult decision to pay some portion of the ransom, approximately $1.14 million, to the individuals behind the malware attack in exchange for a tool to unlock the encrypted data and the return of the data they obtained."

Universities and enterprises under fire

USCF is one in a series of universities that fell victim to ransomware attacks in the last few months, with Michigan State University's (MSU) network having been breached and encrypted on May 28th according to the Netwalker operators.
Since then, all the data stolen in the MSU attack got leaked since the university refused to pay the ransom.
Natwalker also claims to have encrypted the systems of Columbia College of Chicago, again threatening to publish the data on its data leak site if the ransom is not paid.


Netwalker started as Mailto ransomware in October 2019 and it's now a ransomware-as-a-service (RaaS) operation used by affiliates in attacks targeting vulnerable Remote Desktop Services.
This RaaS operation is also focused on compromising enterprise networks to be able to ask for larger ransoms and for the leverage provided by stolen corporate data.
Netwalker has slowly and steadily made a name for itself after announcing a constant stream of successful attacks, including one against Australian transportation company Toll Group, Asia Pacific's leading provider of logistics services, with 44,000 employees in 1,200 locations in over 50 countries.

2020/07/07

尊敬するCIOの条件


ガートナーの長谷島さんの本「変革せよ!IT部門」を読んでいるのだが、保守・運用領域が出発点の自分にとって非常に勇気づけられる。

ITの領域には、期間を決めて金と人をぶち込むプロジェクトと、その後長期にわたるシステムマネジメント(保守・運用、略してシスマネ)がある。

プロジェクトは期間を定めてリソースを投入し、アウトプットが明確なため、非常に評価しやすい。

一方、シスマネはユーザー要望を受けた改善・改修や、パッチ適用を中心としたメンテナンスが中心となり、障害を防いだ安定稼働が求められる。

しかし、悲しいことにシスマネは安定稼働を実現すると目立たなくなり、コスト削減の脅威にさらされる。

一方で障害を起こすとクローズアップはされるものの、叱咤の嵐となる。

個人的にはこのような裏方に近いシスマネ部隊をしっかり評価できるか否かがCIOのスキルの一つと考えている。

1年間システムが安定稼働していたとする。

ただ、その要因が、

『しかるべき対応を実施して安定稼働を実現』

したのと、

『特に何もしていなかったけど、幸運にも障害が起きなかった(=安定稼働)』

というのでは、意味合いが全く異なるのである。

長谷島さんはこれを神輿に例えていたのが興味深かった。

「祭りの神輿で言えば、先棒の担ぎ手は派手で目立つので、周囲から評価されやすい。ところが担ぎ棒の真ん中にいて、そう簡単には交代できない地味な位置の担ぎ手はなかなか評価されない。でも彼らは体を張って、神輿を支えているのだ。」

長谷島さんのような、ITにおける保守・運用を評価できるマネジメントは個人的には非常に貴重だと思っている。

恐らく現場経験が無いとこの知見は身につかず、コンサル上がりの社長なんかは一生理解できないんじゃないかと思う。

現場に理解のあるCIOが増えることを願う。

2020/07/06

【転載】全国各地の郵便局で、ハガキや切手のクレジットカード払いが可能に!一部ではすでに利用可能でしたが、全国規模での導入は7月7日からです。

全国各地の郵便局で、ハガキや切手のクレジットカード払いが可能に!一部ではすでに利用可能でしたが、全国規模での導入は7月7日からです。:

f:id:cardmics:20180715142843j:plain

新型コロナウィルスの影響によってキャッシュレス決済導入を延期していた郵便局が、ついに7月7日より順次、全国規模での導入を実施するようです。

日本郵便が公式リリースにて発表しました。

キャッシュレス決済導入局の拡大

新型コロナウイルス感染症拡大の影響により、キャッシュレス決済の本格的な導入を延期しておりましたが、2020年7月7日(火)から全国約8,500の郵便局に順次拡大します。
※もともと日本郵政ではごく一部の主要郵便局やネット通販ではキャッシュレス決済が使える状態でしたが、それが全国規模に拡大されることになったというニュース。

郵便局へのキャッシュレス決済導入について:

ハガキや切手がカード払い可能に:

これによって切手、ハガキ、年賀状などの証紙&郵便物をカード払いできるようになるだけでなく、レターパックや定形外郵便物の支払いにもキャッシュレス決済を利用可能に。

  • 郵便料金または荷物(ゆうパック、ゆうメールなど)運賃
  • 切手、はがき、レターパックなどの販売品
  • カタログ、店頭商品などの物販商品
特にヤフオクやメルカリ等の個人売買を行っている方には朗報以外のなにものでもないことでしょう。

今後は郵便局に荷物を持ち込み、窓口にてクレジットカードや電子マネーを利用することが可能となります。

利用可能なキャッシュレス決済について:

では、どのキャッシュレス決済が郵便局で使えるようになるのでしょうか?公式サイトより画像を転載させていただくと下記の通りとなります(引用&転載元)。

利用可能なクレジットカード一覧:
まずは対応クレジットカード一覧から。

郵便局が対応するクレジットカード一覧

郵便局が対応するクレジットカード一覧



ご覧のように日本国内で使われている99%以上のクレジットカードが利用可能になるので、楽天カード、ライフカード、エポスカード、イオンカードなどなど、カード名を問わずに使えると思って間違いありません。

同様にVisaやMastercardのマークが印字されているデビットカードやプリペイドカードも利用可能。

とにかくこれらのマークが入ったカードが手元にあれば、使えると思って間違いないでしょう。

利用可能な電子マネー一覧:
電子マネーについても交通系と呼ばれるSuicaやPASMO等に完全対応(関西で普及しているPiTaPaを除く)。

郵便局で使える電子マネー一覧

郵便局で使える電子マネー一覧



また、iDやQUICPayにも郵便局は対応するので、Apple PayやGoogle Pay等でクレジットカード払いを使いたい方も安心して店頭での支払いに使うことができそうです。

反面、楽天Edyやnanacoといった主要な電子マネーは除外されている点はやや注意。

まぁそれらの電子マネーをお持ちの方はクレジットカードも保有していると思われるので、そこまでの不便にならないと思われます。

利用可能なスマホ決済:
さらに郵便局ではPayPayや楽天ペイなどのスマホ決済にも対応。

郵便局で使えるスマホ決済

郵便局で使えるスマホ決済



ちなみに従来、郵便局では同じ日本郵政グループのスマホ決済である「ゆうちょPay」すら使えない状況がありましたが、今回のキャッシュレス決済対応によってゆうちょPayもしっかり対応されることになりました(笑)

他、中国系のスマホ決済であるアリペイやWeChatPayに対応しているあたりも興味深い点です。

収入印紙等はカード払いできない:

いくら切手やハガキがクレジットカード払いで購入できるようになるといっても、収入印紙などの印紙は現金払いでしか購入できないとのこと。

他にもコレクトゆうパックの引換金の支払いや宝くじの購入、プレミアム商品券の購入などは従来どおり現金のみとなるのでご注意ください(下記はキャッシュレス決済が使えないものの例)。

  • 印紙
  • 宝くじ
  • 代金引換郵便物等の引換金
  • 税付郵便物の関税
  • 地方公共団体事務
要は全部が全部、キャッシュレス決済対応になるわけではないということですね。ご注意ください。

あくまで順次導入な点には注意:

f:id:cardmics:20180715133621j:plain

最後に。

今回のニュースはあくまで「順次、全国の郵便局にキャッシュレス決済を拡大させていきますよ」というだけのもの。

実際、郵便局はこちらの記事によると全国に2万ほど存在するようなんですが、8月末までにキャッシュレス対応するのはそのうちの9,000弱のみとなっているので、約半数の郵便局では引き続き、現金払いしか使えない状況が続くものと思われます(簡易郵便局などへの導入時期は未定っぽい感じ)。

2020年2月3日の先行実施郵便局の次は、2020年7月7月~8月25日に第二期の導入局で利用開始がされ、その後は窓口事務機の更改時期の2023年頃(予定)に追加されます。

  • 2020年2月3日-65局(全国主要都市の特に利用客の多い郵便局)
  • 2020年7月8月-8441局(利用客数が多いと見込まれる郵便局)
  • 2023年頃-約20000局(簡易郵便局を除く、窓口事務機の交換により順次利用可能へ)
そのため、どうしてもクレジットカードや電子マネーで郵送料金を払いたいのであれば、近場にある対応郵便局を探す他なし。

下記リンク先にその一覧が存在するので、自宅や職場近くの郵便局が対応しているかどうかを確認の上、活用してもらえればと思います。

以上、全国各地の郵便局で、ハガキや切手のクレジットカード払いが可能に!一部ではすでに利用可能でしたが、全国規模での導入は7月7日からです…という話題でした。

参考リンク:
郵便局でハガキや切手を購入するなら、下記のポイントが溜まりやすい高還元率クレジットカードを使うのがおすすめ。

1回1回あたりの支払いでの差はごくわずかですが、頻繁に利用する方なら大きな節約の差となりますよ。

news.cardmics.com

特別定額給付金ついに振り込まれる。


ついに特別定額給付金が吾輩のもとにも振り込まれた。

とはいえ、時間かかりすぎ。

自分の場合の支給までの流れは下記の通り。

ちなみにマイナンバーカードは持っていないので、郵送での申請となる。

■2020年4月20日:10万円支給閣議決定。

■2020年5月27日頃:申請書到着

■2020年5月28日頃:申請書発送

■2020年7月6日:特別定額給付金着金確認



申請書発送から着金まで丸40日。。。

50日以上かかっている人もいるようなので、相対的には早いような・・・

日本は外国に比べて生産性が低いといわれているが、武漢ウイルスの蔓延により、それがよく分かった気がする。

特に行政周りの生産性は目を覆いたくなるほど低い。

東京都の武漢ウイルスの集計では、各保健所からFAXで情報が来るというし、特別給付金もオンライン申請は申請までがオンラインで、申請後、役所では印刷して確認するという超アナログ処理になっているし。

オンライン申請するのにマイナンバーカードのパスワードが必要になるけど、普段使わないものだから、パスワード失念した人が市役所に押し寄せて三密状態作ってるし。

その結果マイナンバーカードのシステムダウンしちゃうし。

挙句の果てにオンライン申請中止になっちゃうし。

行政周りのIT化がここまで遅れているとは正直思っていなかった。

少なくともシステムダウンはあかんだろーって思った。

2020/07/05

ファイヤー戦略


FIREと聞いて何を連想するだろうか?

日本語的には「火」である。

キリンの缶コーヒー「ファイアー」もある。

英語を多少勉強した人であれば「解雇」も連想できるであろう。

ちなみに今日のFIREはFinancial Independence Retire Earlyの略で、アーリーリタイアメントの略である。

人生100年時代とはいえ、70歳や80歳になっても務め人をするのは嫌である。

そのためには早めに資金計画を立てる必要がある。

ちなみに年金はアテにしてはいけない。そのうち消えてなくなると思ったほうが良い。

また、貯蓄ベースもNGである。以前、72の法則の話をしたが、銀行預金で資産形成は10000%不可能である。

むしろ銀行に預けて資金を膨らませたところで、どこかのタイミングで高コストの投資信託を進められて逆に資産を減らしていくのがオチである。

目指すべき姿は資産〇億円ではなく、月収(不労所得)〇〇万円といった、チャリンチャリン収入の形である。

先日、ウラケンさんが↓な動画を出していたので、是非参考にしたい。


ちなみに40歳セミリタイアは既に不可能なので、自分は55歳をセミリタイア目標にしようと考えている。

実現のためのパーツは「区分マンション投資」「ペーパーアセット」「為替(FX)」で考えている。

■区分マンション投資(現在3つ所有で3つローン中)
・2023年目途に区分マンションCのローンを完済し、収益物件化。
・2024年目途で700~800万の区分マンションDをローンで購入
・2030年目途で区分マンションDのローン完済
・2031年目途で700~800万の区分マンションE、区分マンションFを購入
・2036年目途でマンションE、マンションFのローン完済

■ペーパーアセット
・S&P500:ドルコスト平均法にて毎月積み立て実施(10%をベア型商品に投資し、急落時はベア型商品を売却してナンピン買い)
・日経225:移動平均線大循環分析による資産増大を目指す。
・ペーパーアセット全体の10%以内をめどに金、原油、仮想通貨に投資

■FX
・ループイフダン:USDJPY、EURUSDの2通貨ペアに絞って実施。年利15%を目指し、2030年目途でループイフダン単体の総資産1600万円を目指す。

と、ざっくりと計画を立ててみたものの、区分マンションAと区分マンションBの返済計画が漏れてた。

気が向いたら設計しなおそう・・・。

そういえば、ウラケンさんがオンラインサロンの募集している。

個人的には価値>価格と感じたので、入会してみようと思ってる。


【転載】『脅威インテリジェンスの教科書』を公開しました!

『脅威インテリジェンスの教科書』を公開しました!:


2015年頃に脅威インテリジェンスという概念に出会ってから、色々調べて、講演・ブログで調査結果や自分の考えを公開してきましたが、一度その内容を体系的な資料として整理したいと考え、『脅威インテリジェンスの教科書』という形で執筆・整理したので、公開します。

www.slideshare.net

先日公開した金融ISACの講演では、時間制約上、概要しかお話しできませんでした。それぞれの内容について、より詳細が知りたいという方は上記資料をご覧ください。

www.scientia-security.org

資料はいったんダウンロード不可としていますが、コメントを残す(承認機能付きなので公開されません)or メールアドレスに連絡いただければ、お渡しします。

なにかのご参考になれば幸いです。

2020/07/04

【転載】マイクロソフトがこっそりWindows 10ファイル回復ツールを作成。その使用方法は?

マイクロソフトは静かにWindows 10ファイル回復ツールを作成しました, 使用方法:

Windows 10 File Recovery



マイクロソフトは、削除されたファイルを回復し、誰にも伝えることを忘れたWindows 10ファイル回復ツールを作成しました。

誰もが誤ってファイルを削除し、その後、彼らはバックアップを持っていなかったことに気づいた。このファイルが重要だった場合は、サードパーティのファイルの回復、または削除されたデータを回復するプログラムを削除解除を使用して幸運を得ることができます。

Windowsスルースウォーキングキャットは最近、マイクロソフトが作成したプログラムを「Windows回復ツール」と呼び出しました。

このツールは、ハードドライブ、USBドライブ、さらにはSDカード上のファイルを削除解除することを可能にするファイル回復プログラムであることを述べています。

"誤って重要なファイルを削除しましたか?あなたのハードドライブをきれいに拭いた?破損したデータをどうするかわからない場合Windows ファイルの回復は、あなたの個人データを回復するのに役立ちます。

マイクロソフトの Windows ファイル回復ツールは、"既定""""""""セグメント"、"署名" の 3 つの動作モードをサポートしています。

これらの各モードは、以下で説明するように、ストレージデバイスから削除されたファイルを別の方法でリカバリしようとします。

  • 既定モード: このモードでは、マスター ファイル テーブル (MFT) を使用して、失われたファイルを検索します。デフォルト・モードは、MFT およびファイル・セグメント (ファイル・レコード・セグメント (FRS) とも呼ばれる) が存在する場合に適しています。
  • セグメント モード:  このモードは MFT を必要としませんが、セグメントは必要です。セグメントは、名前、日付、サイズ、種類、クラスター/アロケーション ユニット インデックスなど、NTFS が MFT に格納するファイル情報の概要です。
  • 署名モード:  このモードでは、データが存在し、特定のファイルタイプを検索する必要があります。小さなファイルには動作しません。USB ドライブなどの外部ストレージ デバイス上のファイルを回復するには、署名モードのみを使用できます。
インストールすると、プログラムは winfr.exe と呼ばれるコマンド ライン ツールとしてインストールされます。

以下では、Windows 10 で winfr ツールを使用する方法のいくつかの例を示しています。

マイクロソフトの Windows ファイル回復ツールの使用方法

Windows 10 ファイル回復ツールを使用するには、まず Microsoft ストアからアプリをインストールする必要があります。

このプログラムには管理者特権が必要なので、インストール後に Windows 10 管理者特権コマンド プロンプト   を起動して使用する必要があります。

コマンド プロンプトで、  を入力できます。 ウィンフ を押し、Enter キーを押して、使用可能なコマンドのリストを表示します。

Windows 10 File Recovery Tool



ウィンドウズ 10 ファイルの回復ツール
 Windows ファイル回復著作権 (c) マイクロソフト株式会社すべての権利予約バージョン: 0.0.11761.0 ---------------------------------------------------------- usage: winfr ソース ドライブ: 宛先フォルダー [/スイッチ] /r - セグメント モード (NTFS のみ、 ファイル レコード セグメントを使用した回復) /n [filter] - フィルター検索 (既定またはセグメント モード、ワイルドカード、フォルダーの末尾 \) /x - 署名モード (ファイル ヘッダーを使用した回復) /y:[type(ファイル ヘッダーを使用した回復)] /#特定の拡張グループを回復する (署名モードのみ、コンマ区切り) /# - 署名モードの拡張グループとファイルの種類を表示します/ ?- ヘルプテキスト /!- 高度な機能の表示 例 - winfr C: D:\回復目的地 /n ユーザー\[ユーザー名]\ダウンロード\ウィンフC: D:\回復先 /x /y:PDF,JPEG ウィンフ C: D:\回復先 /r /n *.pdf /n *.jpg ユーザーガイドのhttps://aka.ms/winfrhelpを訪問サポート, 電子メールwinfr@microsoft.com  
Winfr には、入力して表示できる高度なオプションも含まれています ウィンフル /! .

以下に示す高度なオプションでは、スキャンするセクタ、リカバリの実行方法、特定のファイル拡張子の無効化を指定して、リカバリプロセスを微調整できます。

 Windows ファイル回復著作権 (c) マイクロソフト株式会社すべての権利予約バージョン: 0.0.11761.0 ---------------------------------------------------------- usage: winfr ソースドライブ: デスティネーション フォルダ [/スイッチ] /p:[フォルダ] - 回復ログのデスティネーションを指定する (既定: デスティネーション フォルダ) /a - すべてのユーザー プロンプトを受け入れる /u - 削除されていないファイルを回復する (デフォルト/セグメント モードのみ) /k - システム ファイルを回復する (デフォルト/セグメント モードのみ) /o:a (n)everまたはkeep (b)oth常に (デフォルト/セグメントモードのみ) /g - プライマリデータストリームなしでファイルを回復する(デフォルト: false、 デフォルト/セグメントモードのみ) /e - 拡張除外リストを無効にする (デフォルト/セグメントモードのみ) /e:[拡張] - 特定の拡張子を無効にする(デフォルトの拡張リストは適用されなくなりました)(デフォルト/セグメントモードのみ)/s:[セクタ] - ボリューム内のセクター数(セグメント/シグニチャーモードのみ) /b:bytes - クラスター内のバイト数 (セグメント/シグニチャーのみ) /f:セクター  
Windows 10 ファイル回復ツールを使用する場合、ソース ドライブ、ドライブ ファイルの回復、回復するファイルとファイル回復モードを微調整するフィルターを指定する必要があります。

たとえば、'default' モードを使用して、削除されたすべてのを回復する場合などです。D: ドライブ上の JPG ファイルを E: ドライブに復元するには、次のコマンドを使用します。

 ウィンフ D: F: /n.Jpg  
'default' モードを使用して、削除されたすべてのファイルを E:\temp フォルダから回復するには、次のコマンドを使用します。

 winfr E: F: /n 'temp'。Png  
winfr.exe example



winfr.exe の例
'segment' モードを使用して、ファイル名に文字列 'statement' が含まれている削除済みファイルを C: ドライブで検索し、E: ドライブにリカバリするには、次のコマンドを使用します。

 ウィンフ C: E: /r /n *ステートメント*  
最後に、'署名' モードを使用して C: ドライブから Word 文書 (.docx) を回復するには、次のコマンドを使用します。

 ウィンフ C: D: 回復先 /x /y:DOCX  
フォルダ名と一致するフィルタを使用する場合は、ドライブ文字を使用しないでください。

たとえば、ソース ドライブを C: に設定し、C:\テストを行う場合は、フィルタを使用します。 /n \テスト\

残念ながら、私たちのテストでは、回復されたファイルの多くは実際には使用できませんでした。E: から .txt ファイルをリカバリしようとすると、以下に示すように、回復されたファイルが破損していました。

Recovered file is corrupted



破損した回復ファイル
私たちは、それがどれだけうまく機能するかを確認するために、実際の回復テストでツールを使用し続けます。

ただし、現時点では、Photorec  または Recuva   などのツールを使用して、削除されたファイルを回復する方が成功している可能性があります。



--以下原文--



Windows 10 File Recovery


Microsoft has created a Windows 10 File Recovery Tool that recovers deleted files and forgot to tell anyone.
Everyone has deleted a file by accident and then realized that they had no backup. If this file was critical, then you may get lucky using a third-party file recovery, or undelete, program to recover the deleted data.
Windows sleuth WalkingCat recently discovered a program created by Microsoft called the 'Windows Recovery Tool.'
This tool states it is a file recovery program that allows you to undelete files on a hard drive, USB drive, and even an SD card.
"Accidentally deleted an important file? Wiped clean your hard drive? Unsure of what to do with corrupted data? Windows File Recovery can help recover your personal data."
Microsoft's Windows File Recovery Tool supports three modes of operation: 'Default,' 'Segment,' and 'Signature.'
Each of these modes attempts to recover deleted files from a storage device in a different way, as described below.
  • Default mode: This mode uses the Master File Table (MFT) to locate lost files. Default mode works well when the MFT and file segments, also called File Record Segments (FRS), are present.
  • Segment mode: This mode does not require the MFT but does require segments. Segments are summaries of file information that NTFS stores in the MFT such as name, date, size, type and the cluster/allocation unit index.
  • Signature mode: This mode only requires that the data is present and searches for specific file types. It doesn't work for small files. To recover a file on an external storage device, such as a USB drive, you can only use Signature mode.
When installed, the program will be installed as a command-line tool called winfr.exe.
Below we have provided some examples of how to use the winfr tool in Windows 10.

How to use Microsoft's Windows File Recovery tool

To use the Windows 10 File Recovery Tool, you need to install the app first from the Microsoft Store.
As this program requires administrative privileges, once installed, you need to launch a Windows 10 elevated command prompt to use it.
In the command prompt, you can type winfr and press enter to see a list of the available commands.
Windows 10 File Recovery Tool

Windows 10 File Recovery Tool
Windows File Recovery
Copyright (c) Microsoft Corporation. All rights reserved
Version:            0.0.11761.0
----------------------------------------------------------

USAGE: winfr source-drive: destination-folder [/switches]

/r           - Segment mode (NTFS only, recovery using file record segments)
/n [filter]  - Filter search (default or segment mode, wildcards allowed, trailing \ for folder)

/x           - Signature mode (recovery using file headers)
/y:[type(s)] - Recover specific extension groups (signature mode only, comma separated)
/#           - Displays signature mode extension groups and file types

/?           - Help text
/!           - Display advanced features

Example usage - winfr C: D:\RecoveryDestination /n Users\[username]\Downloads\
                winfr C: D:\RecoveryDestination /x /y:PDF,JPEG
                winfr C: D:\RecoveryDestination /r /n *.pdf /n *.jpg

Visit https://aka.ms/winfrhelp for user guide
For support, please email winfr@microsoft.com
Winfr also includes advanced options, which can be viewed by typing winfr /!.
These advanced options, shown below, allow you to fine-tune the recovery process by specifying what sectors to scan, how the recovery should perform, and disabling specific file extensions.
Windows File Recovery
Copyright (c) Microsoft Corporation. All rights reserved
Version:            0.0.11761.0
----------------------------------------------------------

USAGE: winfr source-drive: destination-folder [/switches]
/p:[folder]    - Specify recovery log destination (default: destination folder)
/a             - Accepts all user prompts

/u             - Recover non-deleted files (default/segment mode only)
/k             - Recover system files (default/segment mode only)
/o:[a|n|b]     - Overwrite (a)lways, (n)ever or keep (b)oth always (default/segment mode only)
/g             - Recover files without primary data stream (default: false, default/segment mode only)
/e             - Disable extension exclusion list (default/segment mode only)
/e:[extension] - Disable specific extension(s) (default extension list no longer applies) (default/segment mode only)

/s:[sectors]   - Number of sectors in volume (segment/signature mode only)
/b:[bytes]     - Number of bytes in cluster (segment/signature mode only)
/f:[sector]    - First sector to scan (segment/signature mode only)
When using the Windows 10 File Recovery Tool, you need to specify the source drive, the drive files will be recovered, and any filters that fine-tune what files are recovered and the file recovery mode.
For example, to use the 'default' mode to recover all deleted .JPG files on the D: drive and restore them to the E: drive, you would use the following command:
winfr D: F: /n *.JPG
To use the 'default' mode to recover all deleted files from the E:\temp folder, you would use the command:
winfr E: F: /n \temp\*.PNG
winfr.exe example

winfr.exe example
To use the 'segment' mode to search the C: drive for deleted files whose filename contained the string 'statement' and recover them to the E: drive, you would use the following command.
winfr C: E: /r /n *statement*
Finally, to use the 'signature' mode to recover Word documents (.docx) from the C: drive, you would use the following command:
winfr C: D:\RecoveryDestination /x /y:DOCX
It should be noted that when using filters that match a folder name, you should leave off the drive letter.
For example, if you set your source drive to C: and want to recover files from C:\ test, you would use a filter of /n \test\
Unfortunately, in our tests, many of the recovered files were not actually usable. When attempting to recover .txt files from our E:, the recovered files were corrupt, as shown below.
Recovered file is corrupted

Corrupted recovered file
We will continue to use the tool in real-life recovery tests to see how well it performs.
For now, though, you may have better success using tools like Photorec or Recuva to recover any deleted files.

2020/07/03

セキュリティ(安心を提供するため)に必要な要素とは?


@IT主催のIT Security Live Week視聴したのだが、川口設計の川口 洋氏の話でもう一つ思い出したことがある。

セキュリティはコワイと思われている。

何故か?

・セキュリティは難しく、通常のシステム担当からみると思考のロジックが分からず、とっつきにくい。

・インシデントレスポンスの際、CSIRTには最悪システム停止やネットワーク停止といった、権限を持っている。

1点目は自分がシステムマネジメントを実施していた際のセキュリティ担当に対するイメージである。

一方、セキュリティが仕事のメインとなってから感じるのは、インシデント検知はシステム監視と同じレベルで、システム担当者やユーザーからのタレコミが重要であるという点。

つまり、不安を感じた際に気軽に相談してもらえるような環境にしておかないといけないのである。

んで、そうするためにはどうすればよいか?

ゴキゲンな人

になるのである。

重要性はすごく理解できる。

出来るかな、自分・・・・・。

【悲報】テレワークリスク(テレハラ、テレ鬱)が顕在化


以前、テレワークのリスクについて考察してみたが、それから2か月が経過し、想定通りリスクが顕在化しているように感じている。

特に顕在化しているのがテレ鬱。

政府の緊急事態宣言と強制在宅勤務がセットになったようで、テレハラは見受けられない。

当時はネット上でほとんど記事が無かったが、今は関連記事が容易に、しかも大量に見つかる。

ワンルームで在宅勤務する単身者の苦悩 「まるで独居房」の声も

コロナ禍がもたらすメンタル不全にどう向き合うか

在宅勤務のメンタル危機

在宅勤務でメンタルが危険水域に…会社員27歳を救った意外な“仕事”とは

テレワークで、体やメンタル不調の人が増加中。きちんと自分をケアする方法は?

“テレワークうつ”が急増中?その原因と心をリフレッシュする方法

テレワーク拡大も6割が「従業員のストレス増加」企業はメンタルケアが課題

リモートワークによるメンタルヘルスリスク

在宅勤務になった時点でビジネスとプライベートの境界線が溶解するため、ビジネスで受けたストレスがダイレクトにプライベートに影響してくる。

これをうまくコントロールできないとあっという間にメンタルがやられるが、正直上手くコントロールできる人は少数と考えられる。

一方で強制テレワークの導入により、自殺者が減ったとの情報もある。

ただ個人的にはテレワークで助かる人がいる一方で、同じ割合でテレワークによりメンタルをやられる人が出てくると考えている。

つまり、ヤられる人の割合は結局変わらないものとみている。

そう意味では、レジリエンスの強さが必要なのかなと思う今日この頃。

2020/07/02

バリューブックスオンライン見学ツアー


チャリボンってご存じだろうか。

ちなみにチャリンコとは一切関係ない。

自宅にある不要になった本を売却して、その売却益を寄付するというものである。

今日本は世界3位の経済大国と言いつつも、衰退しつつあり、海外支援よりも国内の方に目を向ける必要に迫られつつあるが、自分は以前は国際貢献に興味があり、その関連で本でも寄付ができることを知った。

んで、過去に1度チャリボンで寄付を行ったことがあったのだが、そのチャリボンを運営しているバリューブックスさんより、オンライン見学ツアーの案内が届き、先日参加してきた。

武漢ウイルスの蔓延により、”テレワーク”とかいうダサい言葉が流行ったり(自分は”リモートワーク”を推奨)、在宅勤務とか悪い生活様式が広まりつつあるが、セミナー関係がオンライン化されたことは歓迎すべきことだと思う。

バリューブックスは、私にとっても縁もゆかりもある長野県上田市の企業である。

本来見学ツアーはオンサイトで計画されていたとの事であったが、武漢ウイルスの蔓延によりオンライン開催に切り替わり、その結果関東に住んでいても見学ツアーに参加することができた。

興味深かったのは買取査定で届く本のうち、半分は値がつかず、売れる見込みのない本は古紙回収業者に回るということだった。

自分もAmazonで中古本を買うことがあるが、1円で販売されていることもあるので、古本業者から古紙回収業者に行く流れは想定外だった。

ちなみに、買取価格の査定にAmazonが関係しているのは、驚きと言えば驚きだが、冷静に考えればその通りと感じた。

プラットフォーマー(=Amazon)の力はすごいと改めて認識させられた。

古紙回収の話に戻るが、その動画もバリューブックスが公開している。何か文明が否定されているような感じがしてちょっと悲しくなった。


バリューブックスもこの事実に問題意識を感じているようで、実店舗を出して1冊50円で販売したり、書店併設カフェを出してドリンク1杯頼むと1冊本が無料になる等、本が紙くずになるのを防ぐ試行が続けられている。

こういう類の見学ツアーはいろいろな気づきを得られて面白い。

実施する側も企業が抱える問題点や取り組みをエンドユーザーと共有し、巻き込むことで中長期的に自社のファンを増やすことに繋がるのではなかろうか?

少なくとも自分はバリューブックスのファンになったし、Amazonで同じ本をA社が1円、バリューブックスが100円で出されていても、積極的にバリューブックスから購入していきたいと思うようになった。

2020/07/01

MITRE ATT&CK No1


アタックNo1ってご存じだろうか?

「だけど涙が出ちゃう。女の子だもン」のフレーズが有名だが、個人的にアニメ自体は見た事が無い。

ま、そもそも1960年代~1970年代のアニメだし、少女ものなので、縁も無い。

話がそれたが、今日はアタックはアタックでもサイバーセキュリティ関連のアタックの話である。

MITRE ATT&CKってご存じだろうか?

これで「マイターアタック」と読む。

MITRE ATT&CKとは、MITRE社が開発している攻撃者の攻撃手法、戦術を分析して作成されたセキュリティのフレームワーク・ナレッジベースである。

尚、MITRE社はアメリカの非営利団体で、CVE(脆弱性識別番号)の管理も行っている。

ATT&CK には、攻撃者の視点で、どんな戦術でどんなテクニックを利用しているのかをマトリックス図として見ることができる。

先日、サイバーキルチェーンの話をしたが、このサイバーキルチェーンとMITRE ATT&CKの”戦術”が関連している。(下図の矢印内のワードがMITRE ATT&CKにおける”戦術”となる)



ちなみにMITRE ATT&CKの全体像が下図。


かなり細かい図になってしまっているが、これは最近のサイバー攻撃における手法の分解結果ともいえる。

サイバーキルチェーンに沿って手法が分類されているとはいえ、数が多すぎてわからないので、MITRE ATT&CKではプラットフォームごとやソフトウェア(マルウェア)ごとに関連する手法が整理されている。

下図がLinuxプラットフォームに関する一覧。


各テクニックの文字列はリンクになっており、クリックすることで下記のような情報を得ることができる。

・攻撃手法についての説明

・この攻撃手法を利用した攻撃グループやツールについての情報

・攻撃の緩和策についての情報

・実際に過去に起こった事例集(Reference)

なので、各プラットフォームの管理者はMITRE ATT&CKを使って該当するプラットフォームの対策強化を行うことができる。

また、MITRE ATT&CKはソフトウェア(マルウェア)ベースでも同様な確認が可能である。

この場合は対象のマルウェアがどのようなテクニックを使ってサイバーキルチェーンの各戦術をクリアしていくのかを調べることができる。

【参考】
https://www.cybereason.co.jp/blog/edr/3113/
https://blogs.mcafee.jp/mitre-attck
https://www.anomali.com/jp/what-mitre-attck-is-and-how-it-is-useful
http://www.intellilink.co.jp/article/column/attack-mitre-sec01.html
https://qiita.com/hikao/items/6b2a3c9247e63f09b010
https://qiita.com/IK_PE/items/201e6b900e0de1d9fc89

2020/06/30

サイバーキルチェーンとは


サイバーキルチェーンってご存じだろうか?

ちなみにマイクロソフト(略してマイクソ)のIMEで変換すると、「サイバー着るチェーン」となり、少しイラッとする。

以前はこのイライラに耐えかねてATOKを使っていたのだが、ATOKが暴走して日本語入力が不能になる事件が発生。

イライラを抑えるために有償のソフト使っているのに逆にイライラさせられ、結局イライラするけど無償のマイクソIMEに戻った。

サイバーキルチェーンの話に戻るが、これは、サイバー攻撃を構造化(分解)したもの。

2000年代くらいのサイバー攻撃はいたずら中心だったので、比較的シンプルだったが、
最近のサイバー攻撃はビジネス化されており、目立たず人知れずに機密情報を奪い去っていく。

そのためのプロセスがサイバーキルチェーンだといっても過言ではない。

サイバーキルチェーンの攻撃構造を理解し、各段階の攻撃に対して有効なソリューションを適切に導入することが重要となり、多層防御の考え方にも繋がっている。

■■■■
1. 偵察(例:事前調査)

攻撃対象となる企業へ侵入するために事前調査を行う段階。
(標的型攻撃メールを送るために、標的となる人間の情報を集める段階。)

攻撃者はSNSを使って情報を収集。

役員や従業員はFacebookやTwitter、Instagramなど、さまざまなSNSを利用している場合が多い。

場合によっては、企業のページもSNS上で展開していることもある。

それらの情報を集め、組み合わせることで、標的となる人間を決める。

SNSの情報から人間関係や趣味、普段の行動なども把握できる。

※対策:従業員教育(会社のメアドやSNSを使用しない、プライベートのSNSで所属情報を晒さない)

■■■■
2. 武器化(例:標的型攻撃メールの送付)

標的が決まったら、標的の友人や知人、同僚、上司になりすまして標的型攻撃メールを送付。

添付ファイルを開かせたり、特定のURLをクリックさせたりすることで、マルウェアをダウンロードさせようとする。

偵察段階で得た情報を元に作成されたメールは、標的にとって思わず開いてしまうメールとなっている。

マルウェアは常に実行ファイルであるとは限らず、PDFやWord、Excelといったファイルに扮していることもあり、巧妙に細工されている場合が多い。

※対策:従業員教育(メール訓練の実施)、企業のメール環境に対するアンチウイルス対策の実装

■■■■
3. デリバリ(例:C&C通信の確立)

標的の端末のマルウェアに感染に成功すると、次に攻撃者が侵入するためのバックドアの作成が行われる。

不正なコマンドをリモートで行うためのコマンド&コントロールサーバ(C&Cサーバ)と呼ばれる、攻撃者のサーバーへの通信を確立する。

C&Cサーバーへの接続が確立されると、攻撃者は自由に企業内のネットワークで行動できるようになる。

※対策:境界防御の強化(次世代FWの導入、認証型プロキシの導入)

■■■■
4. エクスプロイト(例:内部行動)

最初に侵入した端末を足がかりとし、企業の内部ネットワーク構造を把握したり、機密情報を保存している場所を探したりする。

攻撃者は見つからないように慎重に行動する。

この段階は、長いときには数年にも及ぶ場合もある。

企業内のセキュリティソリューションの情報を収集したり、パソコンを含む機器のぜい弱性情報の収集を通じて、さらに侵入範囲を拡大していく。

※対策:端末のパッチ適用徹底、ネットワークのマイクロセグメンテーション化

■■■■
5. インストール(例:高い権限を持つPCへの侵入)

企業の機密情報を保存しているファイルサーバーやデータベースには、アクセスできる端末が限られている場合が多い。

ここでは、より高い権限を持つ端末(本丸)への侵入や、アクセス権限の盗取を行う。

※対策:PCの権限分離(エンドユーザはuser権限とし、Administrator権限はIT部門等での集中管理とする。データベースアクセスを行う端末は業務端末とは物理的にもネットワーク的にも異なる端末とする。とか)

■■■■
6. 遠隔操作(例:情報の盗み出し)

機密情報の盗み出しや改ざん、破壊などを実施。

機密情報を盗み出す場合は、デリバリーの段階で確立したC&Cサーバーへのバックドアを用い、企業内で一般的に利用されるソフトウェアのプロトコルに偽装するなどして、見つからないように送信する。

※対策:無い?(UEBAとかがあると検知できるのかな?)

■■■■
7. 目的の実行(例:痕跡の消去)

最後に、攻撃者は自身の行動した痕跡(マルウェアの行動履歴や、侵入した端末のログファイルなど)を消去する。

仮に企業側が攻撃されていることに気づいても、ログファイルなどの痕跡が残っていないと攻撃者を追跡することが難しくなる。

攻撃者が痕跡を消去することは、自らの行為を知らないようにすることと、仮に知られても追跡できないようにすることを目的としている。

※対策:SIEM導入


昔はセキュリティ対策と言えばアンチウイルスソフトやファイアウォールに代表されるような、侵入を防ぐことに主眼が置かれていた。

ところが、最近ではサイバーキルチェーンを見れば分かるように、侵入防止を重視しつつも侵入後の早期発見にも主眼が置かれている。