2021/04/20

HIS、「タイランドエリートプログラム」の販売開始 外国人長期滞在プログラム、最長20年滞在可(転載)

main.jpg


HIS、「タイランドエリートプログラム」の販売開始 外国人長期滞在プログラム、最長20年滞在可:

エイチ・アイ・エス(HIS)は、タイ国政府観光庁傘下の国営企業であるタイランド・プリビレッジ・カードと、「タイランドエリートプログラム」の正規販売代理店契約を締結し、販売を開始した。

タイランドエリートプログラムは、2003年にタイの法律に基づき開始した外国人長期滞在プログラムで、一定の審査を経て会員になることで、会員期間に応じてマルチプルビザを最短5年から最長20年まで受給でき、期間中は何度でも自由に入出国ができる。長期滞在だけでなく、専用カウンターでのスムーズなVIP入国審査、銀行口座開設や運転免許の取得のサポート、空港リムジン送迎、スパやゴルフ施設の利用などができる。

7種類のプログラムを用意しており、最も費用が安い、5年間有効の「エリート イージー アクセス(EEA)」は、入会金600,000バーツ、年会費なし。最も1年あたりの費用を抑えられる、20年有効の「エリート スペリオリティ エクステンション(ESE)」は、入会金1,000,000バーツ、年会費なし。収入要件なはく、原則的に2ヶ月〜3ヶ月程度で承認される。

旅行会社で、正規販売代理店契約を締結したのは初めて。タイ国内のほか、世界64ヶ国のネットワークを通じて販売する。

2021/04/19

アラスカ航空(AS)の新しい機内安全ビデオ。JAL(JL)の社長も登場 / AMAZING: Airlines Safety Dance Gets A Oneworld Twist(転載)



AMAZING: Alaska Airlines Safety Dance Gets A Oneworld Twist:

この嬉しさは言葉では言い表せないほどです...。

そもそもアラスカ航空のセーフティダンスが好きだったので...。

2020年12月、私たちはアラスカ航空のセーフティダンスを初めて見ることができました。


とても愛らしくて、キャッチーで、素晴らしくて、楽しいですね。さらに気に入ったのは、このビデオには本物のアラスカ航空の社員が出演しており、3日間かけて格納庫で撮影されました。自宅で練習した後、8時間のドレスリハーサルを経て、2日間の撮影が行われました。


...何と、ワンワールドバージョンもある!

アラスカ航空がワンワールドに加盟したことで、ワンワールド加盟航空会社の幹部と現場の社員が参加する「グローバル」なセーフティダンスが新設されました。


このビデオにはたくさんの魅力があり、最高の笑顔を見せてくれると同時に、海外旅行が果てしなく恋しくなるような気持ちにさせてくれます。ワンワールドCEOのロブ・ガーニー氏、アメリカン航空社長のロバート・アイソム氏、ブリティッシュ・エアウェイズ、キャセイパシフィック航空、フィジー航空、日本航空、マレーシア航空、カタール航空、S7航空、スリランカ航空の社員の皆さん、私はこのビデオを見ずにはいられませんでした。とてもいいですね。このビデオをより良いものにするためには、カタール航空のCEOであるアクバル・アル・ベイカー氏が参加してくれれば、素晴らしいダンスを披露してくれると思います。

アラスカ航空がワンワールド・アライアンスに加盟したことで、新たに「グローバル」な安全ダンスが登場しました。参加してくださった皆さん、この必要なエンターテイメントを、すべて素晴らしいメッセージとともに提供してくださり、ありがとうございました。

2021/04/17

BazarCallマルウェアは悪質なコールセンターを利用して被害者を感染させる / BazarCall malware uses malicious call centers to infect victims(転載)


BazarCall malware uses malicious call centers to infect victims:

この2ヶ月間、セキュリティ研究者たちは、コールセンターを利用して最も被害の大きいWindows用マルウェアを配布する新しい「BazarCall」マルウェアとのオンラインバトルを繰り広げてきました。

この新しいマルウェアは、1月下旬にコールセンターで配布されていることが発見され、脅威の行為者が当初BazarLoaderマルウェアのインストールに使用していたことから、BazarCall(バザーコール)と名付けられました。

現在は他のマルウェアも配布されていますが、研究者は引き続き配布キャンペーンをBazarCallとしています。

多くのマルウェアキャンペーンと同様に、BazarCallは、フィッシングメールから始まりますが、そこから、マルウェアをインストールする悪意のあるExcelドキュメントを配布するために、電話によるコールセンターを利用するという、斬新な配布方法に逸脱しています。

BazarCallのメールは、添付ファイルをメールに添付するのではなく、ユーザーに電話番号に連絡して、自動的に課金される前に購読をキャンセルするよう促します。そして、これらのコールセンターは、特別に作成されたウェブサイトにユーザーを誘導し、BazarCallのマルウェアをインストールする「解約フォーム」をダウンロードさせます。

フィッシングメールからコールセンターまで

BazarCallの攻撃は、企業ユーザーを対象とした、受信者の無料トライアルがもうすぐ終了するという内容のフィッシングメールから始まります。しかし、これらのメールには、疑わしい購読に関する詳細は一切記載されていません。

そして、以下のBazarCallフィッシングメールの例のように、更新のために69.99ドルから89.99ドルを請求される前に、記載されている電話番号に連絡して購読をキャンセルするようユーザーに促します。


BleepingComputerが確認したメールの大部分は、「Medical reminder service, Inc.」という名前の架空の会社からのものですが、「iMed Service, Inc.」、「Blue Cart Service, Inc.」、「iMers, Inc.」など、他の偽の会社名を使ったメールもあります。 

これらのメールは、いずれも "Thank you for using your free trial "や "Your free trial period is almost over!"などの類似した件名を使用しています。セキュリティ研究者のExecuteMalwareは、この攻撃で使用される電子メールの件名のより広範なリストをまとめています。

受信者が記載された電話番号に電話をかけると、短い保留状態になり、その後、生身の人間が出てきます。さらに詳しい情報や解約方法を尋ねられると、コールセンターの担当者は、メールに同封されていた固有の顧客IDを被害者に尋ねます。

Binary Defense社のThreat Hunting & Counterintelligence部門の副社長であるRandy Pargman氏は、BleepingComputerに対し、この固有の顧客IDは攻撃の中核をなすものであり、コールセンターが電話をかけてきた人が標的となる被害者であるかどうかを判断するために使用されると述べています。

"彼らは、電話で有効な顧客番号を伝えると、そのメールを受け取った会社を特定することができます。しかし、間違った番号を伝えた場合、彼らはあなたの注文をキャンセルしたと言うだけで、ウェブサイトに送ることなく、すべてがうまくいくでしょう」と、Pargman氏はBazarCallに関する会話の中でBleepingComputerに語った。

正しい顧客IDが伝えられれば、コールセンターのエージェントは、関連する医療サービス会社のふりをした偽のウェブサイトにユーザーを誘導する。電話担当者は被害者との電話に留まり、以下のように顧客IDを入力するよう促される解約ページに誘導する。


ユーザーがお客様ID番号を入力すると、ウェブサイトは自動的にExcelドキュメント(xlsまたはxlsb)をダウンロードするようブラウザに促します。その後、コールセンターのエージェントは、被害者がファイルを開き、「コンテンツを有効にする」ボタンをクリックして悪意のあるマクロを有効にするよう支援します。

Pargmanが実施したいくつかの通話では、悪意のある文書が検出されないようにウイルス対策を無効にするよう、脅威のある人物から指示されました。


Excelのマクロを有効にすると、BazarCallマルウェアがダウンロードされ、被害者のコンピュータ上で実行されます。

BazarCallキャンペーンが始まった当初は、BazarLoaderマルウェアの配布に使用されていましたが、TrickBot、IcedID、Gozi IFSBなどのマルウェアの配布も始まっています。

これらのWindowsに感染したマルウェアは、感染した企業ネットワークへのリモートアクセスを可能にするため、特に危険です。このようなマルウェアに感染した脅威者は、ネットワーク内を横方向に拡散し、データの窃取やランサムウェアの展開を行います。

脅威者は、BazarLoaderやTrickbotを使用して、RyukやContiといったランサムウェアを展開します。また、IcedIDは過去に、今は亡きMazeやEgregorといったランサムウェアの展開に使用されていました。

セキュリティ研究者のブラッド・ダンカンは、脅威企業のコールセンターに電話をかけ、無防備な被害者に悪意のある文書を配布する様子を説明した動画を公開しています。


Distribution-as-a-Serviceによる展開

BazarLoaderとTrickBot感染症は、同じ「TrickBot」というハッキンググループが作成したものと考えられますが、その他の配布されている感染症は、これらの脅威アクターとは関係ありません。

このことから、パーグマンはBleepingComputerに対し、別の脅威アクターグループがコールセンターを運営し、Distribution-as-a-Serviceとして配布を貸し出していると考えていると述べています。

"私の考えでは、これはサービスとしてのディストロであり、UNC1878はおそらく彼らの顧客であると思います」とPergman氏は説明しています。

この考えは、Cryptolaemus社のセキュリティ研究者であるJoseph Roosen氏も同様で、彼はBleepingComputerに対し、この配信サービスは一般企業と同じように運営されており、月曜日から金曜日までの厳格な営業時間を守っていると述べています。

BleepingComputerでは、過去4日間に渡ってコールセンターに連絡を取ろうと試みましたが、脅威の担い手が使用するインフラが常に変化しているため、成功しませんでした。

Pargman、Roosen、Duncan、CyjaxのWilliam Thomas、TheAnalyst、ExecuteMalwareなどの研究者やその他多くの研究者の努力により、配信サービスは、研究者に取り込まれるたびに、電話番号やホスティングサイトを常に変更することを余儀なくされています。

残念ながら、サイバーセキュリティコミュニティが総力を挙げて取り組んだとしても、この配布方法は非常に成功しています。

このような配布方法のため、マルウェアサンプルは、一般に配布されておらず、アンチウイルスベンダーによって検出されていないため、VirusTotalでの検出率が非常に低くなっています。

さらに、BleepingComputerが確認したメールによると、解約が必要な正規の契約であると信じて、この詐欺に引っかかっている人がいるようです。

2021/04/15

大分『韓国苑』でバイトテロ!ソフトクリームを直接口に入れ炎上!(転載)


大分県内の焼き肉チェーン店『韓国苑』の従業員が不適切な動画をアップし話題になっています。

過去にも『バイトテロ』は世間を騒がしましたよね。

韓国苑では、厨房のソフトクリーム機から直接口にアイスを入れて遊ぶ従業員が炎上!

コロナで衛生管理が問われる時に、信じられない映像が出回ったようです。


大分県内の焼き肉チェーン店として知られる『韓国苑』の別府店が問題の店舗のようです。

そこで働く従業員とみられる若者が、ソフトクリームを機械から直接口に入れて遊ぶ様子を映した動画をTIKTOKにアップ。

これが、SNSを通して瞬く間に広がり、不適切だと大炎上を起こしました。

『スイパラ(スイーツパラダイス)』だと比喩し、厨房のアイスや生クリームを直接口に入れて遊んでいたようです。

コロナ禍で感染対策が騒がれている飲食店において、このような動画は不快にもなるし同じチェーンの他のお店にも行きたくなくなりますよね。

この炎上を受けて、『韓国苑』を運営する大心産業は謝罪文をホームページに掲載。


従業員の4人は全員20代の若者で、懲戒解雇したうえで厳粛な対応を進めると述べました。

OSINT道場の紹介 / Becoming an OSINT Shogun – introducing Sinwindie and the OSINT Dojo(転載)

Becoming an OSINT Shogun – introducing Sinwindie and the OSINT Dojo

今回は、オンラインOSINTコミュニティで最も多くの貢献をしているエキスパートであり、公認サイバー犯罪捜査官であり、元インターポールのアナリストであり、OSINT道場の運営者でもある、唯一無二の存在、Sinwindie氏を紹介したいと思います。

OSINTのゲーミフィケーションが、新人アナリストの参加と協力を促し、皆さんのOSINTの旅の成長を楽しみにしています。

ではまず最初に、あなたの経歴と、なぜOSINTコミュニティに関わっているのかを教えてください。

皆さん、こんにちは。

ご質問にお答えしますと、私の学部の学位は、貴重なスキルを教えてくれましたが、私がキャリアとしてやりたいことではありませんでした。

私は、学校に戻って情報分析を中心とした修士課程に進むことにしました。最初の仕事は「オールソース」、つまりOSINTや他の-INTから情報を得て、それらを合成して情報製品を作るというものでした。

その後、法執行機関での諜報活動に従事するようになり、帰属情報を得るためのOSINTを専門に扱うようになりました。OSINT、そして一般的なインテリジェンスは、私にとって常に「追跡」を目的としています。自分の仕事が、他人に危害を加えている人物の特定や居場所の発見に貢献したという実感を味わうことができます。

また、OSINTは公共部門以外の多くのキャリアに応用できるスキルなので、他の人が学ぶのを助け、共有するという側面も楽しんでいます。OSINTは、公共部門以外でも多くのキャリアに応用できるスキルですからね。

OSINT Dojoについて教えてください。それが何であるかだけでなく、このアイデアの背後にある動機についても教えてください。どのように機能するのか、なぜ人々は参加すべきなのか?

この道場のアイデアは、"OSINTを始めるにはどうしたらいいですか?""OSINTの仕事に就くには何が必要ですか?"など、同じ質問のバリエーションを定期的に受けていた数ヶ月後に思いついたものです。

私は、新しいアナリストが仕事を始められるように、非常に緩やかなロードマップを作成することにしました。このロードマップのステップをゲーム化することで、ユーザーに次のレベルへの挑戦を促し、その過程で自分の仕事を共有してもらいたいと考えました。

ここでの考え方は、OSINT道場のいくつかのステージを完了するまでに、記事やビデオの小さなポートフォリオと、OSINTアナリストとしてのスキルを示すいくつかの実践的なOSINTの経験を持つべきだということです。

さらに、デジタルバッジを自慢したくない人はいないでしょう。 最後に、新しく始める人にお勧めのリソースや、一般的な学習曲線などを紹介します。常に基本的なことから始めましょう。ツールが使えなくなっても、方法論があれば、たとえ手作業であっても正しい方向に進むことができます。

情報サイクルは、新しいユーザーが最初に熟知すべきことの一つであり、基本的な文書作成と時間管理のスキルはその次です。OSINTは、単にすべての情報を収集するだけではなく、情報を統合して簡潔に伝える能力も必要です。

私はいつも、公開されている過去のインテリジェンスレポートを見て、最終的な製品のイメージをつかむことをお勧めしています。

OSINT Dojoは設立何年目ですか?

OSINT道場が正式にオープンしたのは2020年11月20日ですから、今はちょうど4ヶ月くらいですね。

OSINT Dojoのコミュニティには何人のアクティブな参加者がいますか?DiscordやTwitterなど、どこで見つけるのがベストでしょうか?

これは良い質問ですが、私自身もよく分かっていません。当サイトではトラッキングクッキーなどを利用していませんので、どれくらいの訪問者があるのかはわかりません。

現時点では、少なくとも1つのバッジを獲得したユーザーが9人おり、2つ以上のバッジを獲得したユーザーも数人います。とはいえ、ウィークリーチャレンジなどに参加しているユーザーの中には、最初のバッジ獲得に向けて積極的に取り組んでいる人や、バッジ自体には興味がなくても参加している人もたくさんいます。

どこで彼らを見つけるかについては、本当に様々です。OSINT道場はプラットフォームに依存しないため、Discord、Slack、Twitter、Youtubeなど、あらゆるプラットフォームの他のコミュニティでユーザーを見つけることができます。私たちの使命は、OSINTアナリストのための中央プラットフォームを提供することではなく、代わりに、彼らがすでに属しているコミュニティでの共有とコラボレーションを奨励するための報酬システムを提供することです。

OSINT道場がどのように人々を助け、可能にし、力を与えたのか、これまでの成功例はありますか?

私に声をかけてくれた人たちの逸話をいくつか紹介します。

私のところには、ユーザーからの一般的なメッセージがたくさん届いています。これらの情報やリソースは、新しいスキルやテクニックを学ぶのに役立ち、感謝の意を表しています。

また、チャレンジをしたり、資料集を見たりして学んだスキルを現在の仕事に活かし、上司や同僚から褒められたり、注目されたりしたというメッセージをいただいたこともあります。

私が本当に喜ぶのは、Dojoで制作した作品をポートフォリオとして応募して就職できた学生からのメッセージを受け取ることです。

OSINT道場は、ランクとバッジが命です。ランクアップすると、デジタルバッジや証明書、あるいはその両方がもらえるのでしょうか?

ランクアップしたユーザーや、OSINT道場のTryHackMeルームなどの特別なチャレンジを達成したユーザーには、達成したことを示すデジタルバッジが贈られます。

現時点では、証明書を発行する予定はありませんが、将来的にはそのような選択肢を検討しないわけではありません。

ランク構成と各ランクの条件はこちらでご確認ください。

OSINT道場のトップランクになった人はいますか?

まだです。現在、最高ランクのユーザーはRoninレベルにいます。駆け足にならないように、それぞれのレベルに最低限度の時間を設けています。

学生から将軍になるまでには、最低でも13ヶ月の期間が必要です。私たちが大切にしているのは、「目的地」ではなく「旅」です。

OSINT Dojo構想の今後の予定を教えてください。

今、私たちは、OSINTの基本的なテクニックやツール、方法論をカバーする短いビデオをYouTubeにアップしようとしています。

私は視覚的に学ぶタイプなので、昔から学習用のビデオが好きなんです。また、まもなく公開される最初のTryHackMeルームには、完了した人にはデジタルバッジも付いてきます。

興味に応じて、今後も難易度の異なるOSINTルームを増やしていくかもしれません。


あなたがここにいる間に、どのようなOSINTリソースやツールをお勧めしますか?また、初心者だけでなく、すでにOSINTに携わっている人にもお勧めですか?

効果的な仕事をするためには、私たちは常に学び続ける必要があります。私がキャリア初期に多用したツールやテクニックの中には、もう何年も前に枯れてしまったものもあります。

OSINTやSOCMINTの世界は動きが速いので、ツールやプラットフォームに関わらず、すべての卵を一つのカゴに入れないようにしてください。もし気に入ったツールがあったとしても、それを深く理解し、どのように機能するのか、あるいは再現できるかどうかを確認してください。

ツールがどのように機能するのかを知っておくことは、元のツールが撤去されたり、故障したりして複製が必要になった場合に非常に重要です。

PS. Sinwindieは、OSINTツールや学習教材について語るとき、控えめになりすぎていました。彼のOSINT道場には、それらの素晴らしいリストがあります。

2021/04/13

[OSINT]ゴーン元会長逃亡事件 “極秘”捜査資料がネットに?(転載)~閉鎖的な日本の司法に対して、米国はPACERでオープンに!!~


hiro_ retweeted: #OSINT 『このサイトは、20年前から運用が始まり、連邦裁判所で開かれる裁判に提出された書類や証拠の多くが、電子記録として保管され、アカウントを登録すれば、誰でも閲覧しコピーもできるという。』 www3.nhk.or.jp/news/html/2021…:
hiro_ retweeted:
#OSINT
『このサイトは、20年前から運用が始まり、連邦裁判所で開かれる裁判に提出された書類や証拠の多くが、電子記録として保管され、アカウントを登録すれば、誰でも閲覧しコピーもできるという。』
www3.nhk.or.jp/news/html/2021…

世界を驚かせた日産自動車元会長カルロス・ゴーン容疑者の中東レバノンへの逃亡劇。
その一部始終が撮影された防犯カメラの画像やゴーン元会長の銀行口座の送金記録など東京地検特捜部の“極秘”捜査資料がネット上で閲覧できる状態になっていることがわかった。しかし、サイバーテロやウイルス感染で不正流出したわけではない。
キーワードは「知る権利」。

アメリカでは去年5月、ゴーン元会長の逃亡を手助けした疑いで特捜部が逮捕状を取っていたアメリカ軍特殊部隊元隊員マイケル・テイラー容疑者と息子のピーター・テイラー容疑者が拘束され、2人がいつ日本に移送されるかが当時、取材の焦点だった。

記者にとって特捜部の捜査資料はのどから手が出るほど欲しいものだ。

しかし、検察の保秘の壁は厚く、「夜討ち朝駆け」の取材をどれだけ繰り返しても、生の捜査資料を、しかも、捜査の進行中に見ることなど不可能だ。

ところが、アメリカでは、裁判所が運営する「PACER」(ペイサー)というウェブサイトからダウンロードができてしまう。


このサイトは、20年前から運用が始まり、連邦裁判所で開かれる裁判に提出された書類や証拠の多くが、電子記録として保管され、アカウントを登録すれば、誰でも閲覧しコピーもできるという。

当時、東部マサチューセッツ州の連邦地方裁判所では2人の日本への移送を認めるかどうかを争う裁判が開かれていた。

この裁判に特捜部の捜査資料が提出されていたため、サイトを通じて裁判記録としてダウンロードできたのだ。
10枚閲覧するのに1ドルの手数料はかかるが閲覧可能な文書は10億件以上、利用者は360万人を超える。

検索機能もあり、関心のある裁判を登録すれば、記録が新たに提出されるたびに、メールで通知されるサービスまであるという。

このサイトを利用することで、ゴーン元会長と合流したテイラー容疑者親子の国内での動向の一部始終が記録された大量の防犯カメラ画像や、ゴーン元会長の銀行口座の取引記録なども簡単に入手することができた。

防犯カメラの画像

銀行口座の取引記録

黒塗りの部分もあるが、取引記録からは、逃亡前のおととし10月、ゴーン元会長の銀行口座から2回にわたって、9100万円余りが、容疑者側の会社に送金されていたことなど、国内での取材ではうかがい知れなかった新事実も判明した。

そもそも日本では「裁判記録の公開」がどこまで認められているのか。

日本もアメリカも「裁判の公開」は憲法などで保障されているが、日本では第三者による裁判記録の閲覧はかなり制限されている。

民事裁判の記録は裁判所に足を運べば第三者でも閲覧できるが、コピーは禁止され、ネットでの閲覧はできない。

プライバシーや企業の営業秘密などが含まれている場合は当事者が申し立てれば、閲覧が制限されることも多い。

刑事裁判の記録の閲覧は、さらにハードルが高く、判決が確定するまで、第三者は閲覧できない。

判決が確定すると、記録は、検察庁で保管され、原則として、誰でも閲覧できる。

しかし、検察は「関係者の名誉や生活の平穏を著しく害するおそれがある場合」などは、法律の例外規定によって、閲覧の請求を拒否することができる。

実際には、第三者が閲覧を請求しても、却下されるか、判決文などを除いて記録の大部分が黒塗りになることが多い。

大手化粧品メーカーPierre Fabre社が2500万ドルのランサムウェア攻撃を受ける / Leading cosmetics group Pierre Fabre hit with $25 million ransomware attack(転載)


 Leading cosmetics group Pierre Fabre hit with $25 million ransomware attack

フランスの大手製薬会社Pierre FabreがREvilランサムウェアの攻撃を受け、当初は2500万ドルの身代金を要求されていたことがBleepingComputerの調べでわかりました。

ピエール・ファーブルは、フランスで2番目に大きい製薬グループであり、世界で2番目に大きい皮膚化粧品研究所でもあります。全世界に10,000人以上の従業員を擁するPierre Fabre社は、化学療法薬からスキンケア製品まで、さまざまな製品を開発しています。

先日、Pierre Fabre社は、3月31日にサイバー攻撃を受けたが、24時間以内に制御したと発表した。

しかし、Pierre Fabre社によると、感染拡大を食い止めるためには、ほとんどの生産活動を段階的かつ一時的に停止しなければならなかったそうです。

"念のため、リスク管理計画に沿って、グループの情報システムを直ちに待機モードにして、ウイルスの拡散を抑制しました。"

"これにより、ほとんどの生産活動が段階的かつ一時的に停止しました(医薬品や化粧品の有効成分を製造しているガイアック(フランス・タルン県)の生産施設を除く)」とPierre Fabre社は開示しています。

当時、Pierre Fabre社は、どのような種類のサイバー攻撃を受けたのかを明らかにしていませんでした。

ピエール・ファーブル、ランサムウェア「REvil」の攻撃を受ける

その後、BleepingComputer社は、Pierre FabreがREvil/Sodinokibiと呼ばれるハッキンググループによるランサムウェア攻撃を受けたことを確認しました。

REvilは、ランサムウェア・アズ・ア・サービス(Ransomware-as-a-Service)と呼ばれるもので、コアとなるマルウェアの開発者がアフィリエイトを募り、企業のネットワークを侵害して暗号化されていないデータを盗み出し、デバイスを暗号化します。身代金が支払われた場合、コアとなる開発者とアフィリエイトは、合意された比率で支払いを分割しますが、通常はアフィリエイトがより多くのシェアを獲得します。

この攻撃に関する詳細はまだわかっていませんが、BleepingComputerは最近、Pierre Fabreランサムウェアの攻撃で使用されたとされるREvil Torの支払いページのリンクを受け取りました。

このTorの支払いページでは、ランサムウェア・ギャングが2,500万ドルの身代金を要求しています。犠牲者からの連絡がなく、制限時間が過ぎたため、REvilの身代金は2倍の5,000万ドルになりました。


この支払いページには、被害者が誰であるかは示されていませんが、サイトのチャット画面には、Pierre Fabreのデータを今から奪うという脅威の行為者からのメッセージが表示されています。このメッセージは、企業を脅して身代金を支払わせるためのものです。


このリンクは、現在隠されているPierre FabreのREvilデータリークページにつながっており、そこには盗まれたとされるパスポート、会社の連絡先リスト、政府の身分証明書、移民書類の画像が含まれている。


REvilはこの1ヶ月間、大企業へのサイバー攻撃を繰り返し、とんでもない高額な身代金を要求してきました。これらの攻撃には、5,000万ドルを要求したAcerや、2,400万ドルを要求したAsteelflashなどが含まれます。

2021/04/12

ハピタスからJALマイルへの交換開始


ハピタスというポイントサイトをご存じだろうか。

昔、ANAマイルへの交換レートが非常によく、重宝していた。

2014年頃からJALマイルメインとなったため、ほとんど使っていなかったのだが、JALマイルへの直接変換を開始したらしい。

JALマイルへの選択肢が増えることはいいことである。

個人的にはポイントサイトは広く使うよりも絞り込んで使い倒したい派なのだが、ハピタスは安心保証や友達紹介によるレートアップの制度があり、ポイントサイトの中ではかなり利用者にやさしい部類に入ると思う。

2021/04/11

うんこお金ドリル(転載)~友達から「お金を貸して」と言われたらどうするのが正解?~


うんこお金ドリル:

 なんとうんこドリルとあの金融庁がコラボして、「うんこお金ドリル」を公表したとのこと。で、早速やってみました。で、4つの問題のうち1問を思いっ切り間違えました。というか間違いとされたのですが、私は納得がいきません。問題は、「友達から「お金を貸して」と言われた。どうすればいい?」です。

 「代わりにうんこをあげる」を押して間違えたのではありません。「すぐに貸してあげる」も選びませんでした。「事情をきいて、なっとくしたら貸してあげる」を自信を持って押したら、間違いとされました。正解は「絶対に貸さない」とのこと。マジかよ!そんなの悲しいじゃん。助け合わなくていいの?

 片やアメリカでは、子供の頃からモノポリー(ボードゲーム)で遊び、あのゲームはとにかくお金を借りて家を建てた者が勝つように出来ています。そうしてアメリカ人は借りて消費や投資をして経済を大きくし、我々は現金経済で中々成長しないのではないでしょうか?日本企業の内部留保も巨額だし。 

 ま、しかし、そんな経済の話の前に、「理由がなんであれ、友達どうしでのお金の貸し借りは絶対にいかんぞい」という解説は、まぁその気持ちも分からないでもなく、私も親からは「友達に貸す時は返ってこないと思って、それでもいい時だけ金を渡せ」と小さい頃に聞かされた記憶があるのですが、政府が、金融庁が公言することかとなると、私にはそうは思えません。うんこプリプリ!

2021/04/10

BAファーストクラスのミールキットをご自宅にお届け!実際に試してみる / Get a BA First Class meal kit delivered to your door – we try it out(転載)



Get a BA First Class meal kit delivered to your door – we try it out

ブリティッシュ・エアウェイズは、プレミアム・ミールキットのトレンドに乗り、ファーストクラスの食事を注文して自宅で組み立てる機会を提供しています。各ミールキットは2人分の4コースで構成されており、価格は80ポンドから100ポンドです。

British Airways Feast Box First Class meal kit

What’s on the menu?

食事はブリティッシュ・エアウェイズとDO&COが開発したもので、ベジタリアン、ペッシー、肉食の3種類から選ぶことができます。どんな食事が出てくるかというと、こんな感じです。

ロッホ・ファイン社製スモークサーモンのティンバーレ、ハニーマスタードドレッシング添え

じっくり煮込んだ英国産牛の頬肉、ハラペーニョ風味のポテトグラタン、ブロッコリー、チミチュリー添え

Caws Golden cenarth、Snowdonia Black Bomber Cheddar、Harrogate blue、Kidderton ash goats cheeseのチーズセレクション、チャツネ添え

ダークチョコレートとオレンジリキュールを使ったパンとバターのプディング、バニラソース添え

ミールキットは、ヒースロー空港にあるDO&COの巨大な新キッチンで組み立てられますが、ここ1年はかなり閑散としていたようです。DO&COは、注文を受けてから毎日新鮮な状態でボックスを準備します。

British Airways Feast Box First Class meal kit 2

Taste test

ファーストクラスのミールボックスはFeast Box社と共同で開発されたため、BA社はFeast Box社の確立されたプロセスの恩恵を受けることができました。たとえば、配送に関するタイムリーなテキストアップデートや効率的な梱包などです。

箱の中には、ブリティッシュ・エアウェイズの機内で使用されているものと同じようなパッケージやカートンが入っており、より親しみを感じました。

箱の中に入っているすべての食材をリストアップしたメニューカードが用意されていて、4つのコースを組み立てるためのガイドになっています。4つのコース料理というだけあって、食材の数は意外と多い。オリーブオイルや塩・コショウまで用意されているので、家にあるものだけで完璧な料理を作ることができます。

私が感心したのは、すべてのパッケージがリサイクル可能であるということでした。メインボックスのデザインは斬新で、ビニールテープが必要ありません。カートンや内箱には、リサイクル可能なカードが使われています。

The menu

私はベジタリアンミールを選びました。

アスパラガス、グリルした茄子、火を通したピーマン、フムス、クレームフレーシュを添えたサラダ。

手作りアンニョロッティ、モレル、アスパラガスのフライ、パンナソース、続いて....

ゴールデンセナース、ブラックボンバー、ハロゲートブルー、キダトンアッシュの各チーズに続いて、....。

ダークチョコレートとオレンジリキュールを使ったパンとバターのプディング、バニラソース添え

Making a meal of it

レシピはそれほど専門的なものではありませんでしたが、このレシピは、ただ単にすべてのものを30分間オーブンに入れるだけのレシピボックスではありません。

デザートのように温めるだけのものもありますが、全粒粉のサラダのキヌアを炊いたり、茄子を焼いたり、ピーマンを焼いたりと、かなりの準備が必要でした。

提供されたレシピには、ファーストクラスのキャビンと同じ基準で料理を提供するための詳細が記載されており、非常に明確な指示がありました。デザートに添えられたミントの葉や、チーズと一緒に食べるブドウのミニ房など、ファーストクラスの体験を再現するためのすべてが用意されていました。

レシピはわかりやすいものでしたが、一つだけ批判したいのは、タイミングを計るのが難しいということです。ガイドでは、前菜とメインの両方を用意してからサーブすることになっていますが、そうするとパスタがかなり冷たくなってしまいます。そこで、前菜を食べた後にパスタを茹でることにしました。

In conclusion

タイミングの問題はさておき、本当に美味しい料理でした。素材の質が高く、レシピのおかげで非常に贅沢な4品のコースを楽しむことができました。

毎日調理されているので、メニューには季節感があり、野菜もとても新鮮でした。すべてのコースをとても楽しみましたが、メインはちょっとした見せ場でした。アスパラガスとモレルを添えた風味豊かなパスタの上に、リッチなクリーミーソースがかかっていました。

先着500箱まで無料で提供されるHattingley Valleyのイングリッシュ・スパークリングワインも素晴らしく、特に前菜のサラダとの相性は抜群でした。

80~100ポンドと決して安くはありませんが、量がとても多く(残った全粒粉のサラダを何回か昼食に食べています)、レストランが閉店してから最も贅沢な食事をした気分になりました。

もし、私たちがまだ拘束されている間に、特別な日を迎えるのであれば、ファーストクラスのスタイルでお祝いする方法として、BA First Class Feast Boxを検討する価値があると思います。

2021/04/09

CIS Controls Version 8が2021年春に登場 / CIS Controls Version 8 is Coming Spring 2021(転載)


Blog | CIS Controls Version 8 is Coming Spring 2021:

当社は、お客様からのフィードバック、進化する技術、変化し続ける脅威の状況に基づいてCIS Controlsを更新することで、常に適切な状態を保つよう努めています。より多くの組織がクラウドサービスやリモートワークに移行しているのを見て、私たちは、CIS Controlsとそれをサポートするセーフガード(旧バージョンではサブコントロールと呼ばれていた)を再検討し、私たちの推奨事項が効果的なサイバー防御を提供していることを確認する時期だと感じました。その結果、CIS Controls Version 8が誕生しました。CIS Controls Version 8では、以下の推奨事項が更新されています。

  • Cloud-based computing(クラウドコンピューティング)
  • Mobile environments(モバイル環境)
  • Changing attacker tactics(攻撃者の戦術の変化)

CIS Controls Version 8では、デバイスを管理する人ではなく、活動によってコントロールを組み合わせ、統合しています。物理的なデバイス、固定された境界、セキュリティ実装の孤立した対策は重要ではなくなり、v8では用語やセーフガードのグループ化によってこれが反映されています。その結果、コントロールとセーフガードの数は減少し、コントロールは18(従来は20)、セーフガードは153(従来は171)となっています。

各セーフガードは、可能な限り「一つのこと」を、明確で解釈を必要としない方法で求めています。さらに、各セーフガードは、測定可能なアクションに焦点を当て、プロセスの一部として測定を定義しています。企業にとって、CISコントロールの実施状況を把握することは重要なことです。この目的のために、CISコントロール自己評価ツール(CSAT)をv8に対応させる予定です。また、多くのお客様がv7.1を使用されていると思いますので、v8に移行する時間を確保するために、両バージョンをサポートします。

CIS Controls v8は2021年5月中旬にリリースされる予定です。今後、CIS Controls v8やサポートツールに関するウェビナー、ポッドキャスト、ブログなどの最新情報をお届けしますので、引き続きご利用ください。

2021/04/08

JPCERT/CC Eyes「日本の組織を狙った攻撃グループLazarusによる攻撃オペレーション」を公開。国内で確認したLazarusの攻撃オペレーションで使用されたマルウェア(VSingle、ValeforBeta)をご紹介しています(転載)



watoly retweeted: JPCERT/CC Eyes「日本の組織を狙った攻撃グループLazarusによる攻撃オペレーション」を公開。国内で確認したLazarusの攻撃オペレーションで使用されたマルウェア(VSingle、ValeforBeta)、および侵入したネットワーク内部で使用したツールをご紹介しています。^MM blogs.jpcert.or.jp/ja/2021/03/Laz…:
watoly retweeted:
JPCERT/CC Eyes「日本の組織を狙った攻撃グループLazarusによる攻撃オペレーション」を公開。国内で確認したLazarusの攻撃オペレーションで使用されたマルウェア(VSingle、ValeforBeta)、および侵入したネットワーク内部で使用したツールをご紹介しています。^MM blogs.jpcert.or.jp/ja/2021/03/Laz…

複数の釣り具通販サイトに不正アクセス - クレカ情報流出か(転載)~想定損害賠償額は1.2億円程度か~

複数の釣り具通販サイトに不正アクセス - クレカ情報流出か
「イシグロオンラインショップ」への不正アクセス

イシグロが運営する釣り具の通信販売サイトが不正アクセスを受け、利用者のクレジットカード情報が流出し、悪用された可能性があることがわかった。

同社によれば、2020年5月27日から10月22日にかけて「イシグロメイキングパーツ専門オンライン」「イシグロ中古つり具専門」を利用した顧客3171人分のクレジットカード情報4026件が流出し、不正に利用された可能性があることが判明したもの。

外部からシステムの脆弱性を突く不正アクセスがあり、クレジットカードの名義、番号、有効期限、セキュリティコードなどを窃取するよう決済アプリケーションが改ざんされていた。

2020年11月6日にクレジットカード会社から流出の可能性について指摘を受け、問題が判明。1月21日に調査が完了し、同社では3月11日に警察への被害相談を行い、個人情報保護委員会へ報告を行った。

対象となる顧客には、4月5日より書面で報告や謝罪を行っており、心当たりのない請求が行われていないか確認するよう求めている。 

プレスリリース(バックアップ)

「せんたく便」「マイスターせんたく便」からのカード情報流出(転載)~想定損害賠償額は23億円程度か~


 宅配クリーニングに不正アクセス - 意図しない外部公開も
「せんたく便」「マイスターせんたく便」からのカード情報流出

宅配クリーニングサービスを提供するウェブサイト「せんたく便」が不正アクセスを受け、顧客のクレジットカード情報が外部に流出した可能性があることがわかった。また一部顧客情報が、外部よりアクセスできる状態で保存されていたことも判明したという。

同サイトを運営するヨシハラシステムズによれば、2020年4月より稼働するシステムが不正アクセスを受けたほか、システム移行時における旧システムのデータが、外部よりアクセス可能な状態となっていたもの。最大5万8813人分のクレジットカード情報が流出し、悪用された可能性がある。

具体的には、2020年4月27日以降に稼働している新システムが、SQLインジェクションの脆弱性を突く不正アクセスを受けた。

同システムでは、クレジットカード情報をトークンとして保管するシステムを採用していたが、調査を行ったところ、新規に登録したり、変更が行われた会員のクレジットカード情報4万4891件が外部に流出した可能性が判明した。

これとは別に、同社では新システムへの移行にあたり、開発目的で旧システムの一部顧客のデータ1万3922件をサーバ上で保管していたが、公開領域だったため、2020年4月27日以降、外部からアクセス可能な状態となっていた。

プレスリリース(バックアップ)

2021/04/07

[OSINT]Googleドキュメントの所有者を調査する / Investigating Google Doc Owners(転載)


Investigating Google Doc Owners:

Doxxingの容疑者がGoogle Docsを使って被害者と共同作業をしているのをよく見かけます。オンラインアカウント、電子メールアドレス、電話番号、自宅の住所などの詳細を見つけ次第、追加していきます。これらの文書は、舞台裏の貴重な情報を表示することができます。例を挙げてみましょう。

私は、以下のリンクで私のOSINT本のPDF版を無料で提供すると主張するGoogleドキュメントを見つけました(スパイウェアの可能性があります!)。

https://docs.google.com/spreadsheets/d/1KXksB1vj7fXPNS4OYL0idQne3HXVnamtUP1h0ut3xwk

ページのソースコードにはオーナーの詳細は含まれていませんが、Google APIには含まれています。この情報を照会する最も簡単な方法は、xeuledocというPythonアプリケーションです。

https://github.com/Malfrats/xeuledoc

拙著『Open Source Intelligence Techniques, 8th Edition』のチュートリアルで作成したOSINT VMへのインストールは非常に簡単です。Terminalで以下のように入力します。

sudo -H python3 -m pip install xeuledoc

xeuledoc "と入力してプログラムを実行し、続いて目的のGoogle Docを入力します。私の例では以下のようになりました。

xeuledoc https://docs.google.com/spreadsheets/d/1KXksB1vj7fXPNS4OYL0idQne3HXVnamtUP1h0ut3xwk

その結果、作成日、修正日、所有者名、所有者の電子メールアドレス、所有者のGoogle IDが特定されました。以下に再編集したコピーを掲載します。

誰がドキュメントを作成してアップロードしたかがわかりました。次のコマンドでいつでもxeuledocを更新することができますが、あなたのカスタムアップデートスクリプトに追加することもできます。

sudo -H python3 -m pip install xeuledoc -U

このプログラムを含むように、私のウェブサイトのLinuxステップとLinux自動インストールスクリプトを更新しました。この情報は、本に同梱されているURL/ユーザー/パスワードからアクセスできます。これは、出版後に登場した新しいOSINTツールの中で、おそらく私のお気に入りです。

2021/04/06

通販サイト「ゆとりの空間」、パスワード含む個人情報が流出か(転載)~想定損害賠償額は3,000万円程度か~


通販サイト「ゆとりの空間」、パスワード含む個人情報が流出か
「ゆとりの空間オンラインショップ」への不正アクセス

キッチン用品や食器など扱う通信販売サイト「ゆとりの空間オンラインショップ」が不正アクセスを受け、会員登録時に入力した個人情報が外部に流出した可能性があることがわかった。パスワードなども含まれる。

「ゆとりの空間」は、料理家の栗原はるみさんや栗原心平さんの公式サイト。キッチン用品や食器など扱うオンラインショップを展開している。同サイトを運営するモブキャストホールディングス子会社のゆとりの空間によれば、システムの脆弱性を突く不正アクセスにより、新規会員の登録ページが改ざんされたという。

2020年12月8日から2021年3月9日にかけて、同サイトであらたに登録された会員情報5,009件が流出した可能性がある。氏名や住所、電話番号、メールアドレス、性別、生年月日のほか、パスワード、パスワードを忘れた際のヒントなども含まれる。

1月27日に同サイトの利用者からページ遷移に関する問い合わせがあり、改ざんされた可能性を把握。同日よりクレジットカード決済を停止し、社内および外部事業者による調査を行っていた。

3月9日に外部事業者からの経過報告で、新規会員登録ページが改ざんされていると指摘があり、同ページを修正。同月15日に情報流出の可能性について報告を受けたという。

同社では3月29日に警察と個人情報保護委員会へ報告。対象となる顧客に対しては、3月31日よりメールで謝罪しており、パスワードの変更を案内するとともに、他サイトでパスワードを使い回している場合は、変更するよう求めている。

総務省|第29回サイバーセキュリティタスクフォース(転載)~サイバー攻撃被害情報 の共有と公表のあり方 について~


sugimu retweeted: 総務省|サイバーセキュリティタスクフォース|サイバーセキュリティタスクフォース(第29回) soumu.go.jp/main_sosiki/ke…:
sugimu retweeted:
総務省|サイバーセキュリティタスクフォース|サイバーセキュリティタスクフォース(第29回)
soumu.go.jp/main_sosiki/ke…

【日時】

令和3年3月9日(月) 10:00 ~ 12:00

【場所】

オンライン形式での開催

【議事次第】

1. 開会

2. 説明

(1)スマートシティセキュリティガイドライン改定の方向性について

(2)電気通信事業者のネットワークの安全・信頼性の確保に向けた取組について

(3)サイバー攻撃被害情報の共有と公表のあり方について

3. 質疑応答及び自由討議

4. 説明

(4)サイバーセキュリティ分野における国際連携について(非公開)

5. 質疑応答及び自由討議(非公開)

6. 閉会

【資料】

バックアップ

健康食品通販サイトでクレカ情報流出か - 個人情報格納サーバにも不正アクセスの痕跡(転載)~想定侵害賠償額は4,300万円程度か~

健康食品通販サイトでクレカ情報流出か - 個人情報格納サーバにも不正アクセスの痕跡
「健康いきいき倶楽部 公式通販サイト」もEC-CUBE

健康食品など取り扱う健康いきいき倶楽部の通信販売サイトが不正アクセスを受け、顧客情報が外部に流出したことがわかった。

同社によれば、「健康いきいき倶楽部公式通販サイト」が、脆弱性を突く不正アクセスを受けたもの。ウェブサイトのプログラムが改ざんされ、本来システム上で保存されないクレジットカード情報が記録されており、攻撃者によって不正に取得された可能性がある。2020年12月4日にクレジットカード会社から指摘があり、問題が発覚した。

2019年12月14日から2020年12月4日までに、同サイトで新規にクレジットカード情報を登録したり、登録済みのクレジットカード情報を変更した顧客が対象で、クレジットカードに関する名義や番号、有効期限、セキュリティコードなど3308件が流出し、不正に利用された可能性がある。

さらにクレジットカード情報以外の個人情報に関しても、ログによりデータを格納するサーバが不正アクセスを受けていたことが判明した。流出の対象となる件数や範囲はわかっていない。

同社に取材を求め、サーバに保管されていた個人情報の件数や含まれる具体的な内容について尋ねたが、ウェブサイト上で公表している以上の情報は開示できないとして、回答は得られなかった。

同社は、外部事業者による調査を2021年1月31日に終え、3月15日に個人情報保護委員会へ報告。同日警察に被害を申告した。クレジットカード情報が流出した可能性がある顧客に対しては、メールで個別に連絡を取り、心当たりのない請求などが行われていないか注意を呼びかけるという。

【バックアップ】
インシデントレポート

2021/04/05

「企業における営業秘密管理に関する実態調査2020」報告書について(転載)


「企業における営業秘密管理に関する実態調査2020」報告書について:IPA 独立行政法人 情報処理推進機構 2021年3月18日 ipa.go.jp/security/fy202…: 「企業における営業秘密管理に関する実態調査2020」報告書について:IPA 独立行政法人 情報処理推進機構
2021年3月18日
ipa.go.jp/security/fy202…

Facebookから5億3300万人分のユーザーデータが流出 / 533M Facebook users’ data leaked for free(転載)


533M Facebook users’ data leaked for free:

あるリーク情報によると、5億人以上のFacebookユーザーの情報(電話番号などを含む)を事実上無料で提供しているという。このデータベースは昨年6月からオンラインで公開されている。

イスラエルのサイバー犯罪情報会社「Hudson Rock」の共同設立者であるAlon Gal氏は、このデータベースは、1月からハッカー界で出回っているFacebookに関連する電話番号のセットと同じものである可能性があると述べています(その存在は、技術系雑誌「Motherboard」が最初に報じました)。

"Facebookのアカウントを持っている人は、そのアカウントに使われている電話番号が流出している可能性が極めて高い "とGalはツイートしています。

533,000,000件のFacebookの全記録が無料でリークされています。

つまり、Facebookのアカウントを持っている人は、そのアカウントに使われている電話番号が流出している可能性が極めて高いということです。

このようなデータに対する絶対的な過失を、Facebookはまだ認めていません。 https://t.co/ysGCPZm5U3 pic.twitter.com/nM0Fu4GDY8

— Alon Gal (Under the Breach) (@UnderTheBreach) April 3, 2021

サイバーニュースの調査チームによると、このデータベースは昨年6月から同じフォーラムで販売されていました。数日前には、数ドルでデータベースを照会できるTelegramのボットが作成され、実質的に無料で利用できるようになりました。

このデータベースには106カ国のエントリーがあり、氏名、携帯電話番号、少数の電子メールアドレス、性別、職業、居住地、婚姻状況などが含まれています。

最も被害を受けた国は米国と英国で、それぞれ3,200万人と1,150万人のFacebookユーザーのデータが流出しました。

専門家の間では、今回の事件のずっと前から、このプライバシー問題は大きく報道されていないと主張し、赤旗を掲げていました。セキュリティ専門家は、流出したデータがマーケティング目的だけでなく、人になりすまして詐欺を働くことにも使われる可能性があると警告しています。

過去のセキュリティ侵害でお客様のオンラインアカウントが公開されていないかどうかを確認するには、150億件以上の侵害記録を収録した個人情報漏洩チェックツールをご利用ください。

ロイターがメッセージングサービスのTelegramを使ってこのリーク者に連絡を取ろうとしましたが、すぐには成功しませんでした。また、Facebookはコメントを求めるメッセージを返信していません。

今年初めのMotherboardの記事は、流出したデータは同社が2019年8月に修正したバグの成果のようだとするFacebookのコメントを引用している。

ガルはロイターに対し、Facebookユーザーは今後数ヶ月の間に、電話番号やその他の個人情報を入手した可能性のある人物による「ソーシャルエンジニアリング攻撃」に警戒すべきだと述べました。今回のリークのニュースは、Business Insiderが最初に報じました。

フェイスブックは、ケンブリッジ・アナリティカを筆頭に、第三者によるユーザーデータのスクレイピングや収集を認めていることで、長い間批判されてきました。

2021/04/04

WSL2のセットアップとKali Linux GUI化のメモ

Windows Subsystem for Linux (WSL) を Windows 10 にインストールする ...


最新のWindows10では、気軽にLinux環境を楽しめることをご存じだろうか。

以前はVM ware playerとか、Hyper-vとかを使って、isoイメージからインストールしてセットアップを頑張っていたが、最近はそんなLinux環境をMicrosoft Storeから調達できてしまう。

Linuxを使うために専用PCを用意したり、1台のPCをデュアルブート構成にしたりといった時代からは格段の進歩である。

早速使ってみたが、何とも便利で感動した。

ただ、若干の癖があり、特にGUI化に関しては結果シンプルにできるのに、手間のかかる手順しか日本語では公開されていないため、メモがてらここに残しておく。

結論から言うと、GUI化に際して、Linuxの設定が済めばリモートデスクトップでアクセス可能である。

0.WSLとWSL2について

WSL(Windows Service for Linux)とは、Windows 10 Fall Creators Updateから標準搭載されている、Windows 10からLinuxを利用するための仕組み。

WSLは、Windows APIをLinux APIでラップしています。WSLの下はWindowsのAPIなので「仮想」ではなく、いわば「Windowsのアプリケーション」です。

一方、WSL2は完全な仮想環境です。仮想マシンをつくる、ハイパーバイザーの上でWindowsに全く依存しない形でLinuxカーネルごと起動します。

自分の理解しやすいように整理すると、

WSLはLinux環境のファイルがWSLのホームディレクトリ配下(C:\Users\[ユーザー名]\AppData\Local\Packages\[パッケージ名称を含む文字列]\LocalState\rootfs\home\)に直接配置されていた。
⇒ファイルシステムがWindowsと共用なので、WSL上のLinuxでマルウェアを取り扱うとホストOS上のWindows Defenderが反応する。

WSL2はホームディレクトリ配下に該当Linux環境の仮想ディスクが作られる。
⇒WSL2上のLinuxでマルウェアを取り扱ってもホストOS上のWindows Defenderは反応しない。

こうなると、WSL2があればHyper-vいらないじゃんという話だが、Hyper-vは複数の仮想ディスクを管理することができるが、WSL2はMicrosoft Storeから提供されるOSと1:1になる。

つまりKali Linuxの場合、WSL2では1OSまでしか作れない。

1.WLS2の環境構築手順

下記参照


また、WSL2がホストOSのメモリを大量に使用してしまう問題があるため、WSL2が使用するメモリの指定を事前に行っておく。こちらは下記参照

https://dev.classmethod.jp/articles/how-to-setup-wsl2/

https://docs.microsoft.com/ja-jp/windows/wsl/wsl-config#configure-global-options-with-wslconfig

2.Linux(Kali linux)環境のインストール~GUIセットアップ

日本語の解説記事が見当たらなかったため、下記参照

基本的な流れは下記の通り

1.Microsoft Storeから Kali linuxを入手

-インストールされたkali linuxのバージョン確認コマンド-
 cat /etc/os-release

2.セットアップ(アカウント/パスワード設定、パッチ適用、日本語化、SSH接続有効化)

 sudo apt update

 sudo apt upgrade

 sudo apt install -y task-japanese

 sudo apt install -y task-japanese-desktop

 ※日本語化は下記参照
  https://doruby.jp/users/r357_on_rails/entries/Kali-Linux-2020

 sudo apt install ssh

 sudo /etc/init.d/ssh start

 sudo systemctl enable ssh

 ※ssh有効化は下記参照
  https://qiita.com/delphinz/items/72f5a4a9b52ac454fc74

 -サービスの起動確認コマンド-
  service ssh status

3.GUIに必要なパッケージのインストール、デーモン起動

 sudo apt install xfce4

 sudo apt install xrdp

 sudo apt install dbus-x11

 sudo /etc/init.d/xrdp start

3.5.xrdpの自動起動設定

 sudo systemctl enable xrdp

 -自動起動しない場合- 
  update-rc.d xrdp enable
  参考:https://ariastark.hatenablog.com/entry/2020/06/27/215016

4.KaliのIPアドレス確認

 ifconfig

5.リモートデスクトップで接続

 ※参考動画


ちなみにWSL2のLinux環境はshutdownコマンドでは落とせない。

ちゃんと落とすにはホストOSのPower Shellを起動してコマンドをたたく必要がある

wsl --shutdown

又は

wsl -t "ディストリビューション名"

【参考】

Torを使ったサイバー攻撃の戦術とその対策案(転載)



Torを使ったサイバー攻撃の戦術とその対策案:

US-CERTより、FBIとの共同寄稿として、Torを使ったサイバー攻撃の戦術およびその対策案についてのアラートが発行されました。

本記事では、US-CERTの記事を中心として、Torについて、また、最近何かと話題のATT&CKについてご紹介しつつ、解説していこうと思います。

まずTorについて

Torは、The Onion Routerの略で、ユーザが特定のサイトにアクセスする際に、いくつものノードを経由して接続することで、元の通信先を秘匿する暗号化通信技術を用いたソフトウェアです。

通信を中継するノード間の通信は暗号化されているため、盗聴や改ざんも防止されています。

以下は、@ITが公開している記事の図です。参考の図として掲載しておきます。


そしてこのソフトウェアはTorプロジェクトによって管理されています。

www.torproject.org

元々はインターネットの民主性と匿名利用の促進のための使用を意図されていましたが、攻撃者にとっても好都合であるこの技術は徐々に悪用されるようになりました。

実はこのTor、名探偵コナンの映画でもNorと名前を変えて登場していました。

ちなみに、こんなロゴです。

f:id:micro_keyword:20200703161302j:plain:w400

玉ねぎが白菜になっていますが、NorだからOnionが抜けてないやん!みたいなテンションですが(笑)

まあ、アニメだし、そんなことを言い始めたらコナン君空飛んだりするし。。


Torのアクセスはたどれないの?

先ほど述べたTorの技術により、通信時の送信元や、通信経路におけるネットワーク監視、トラフィック分析を困難にしています。

その結果、最終的に宛先のサーバへ通信を行うTorのExitノードからの通信情報のみしか、分析などで活用できないというのが勘所です。

ちなみに、中継点であるノードを一つ一つ、たどっていけば、理論的には送信元IPをたどることは可能なはずです。

ただし、それらノードの管轄は別々の国、別々の管理者の所有物であるボランティアサーバであり、それらをすべての通信をつなぎ合わせるためには中継点すべてのノードの管理者の協力が必要となります。

現実的には不可能だと思います。

さらに言うと、Torの中継ルートは一定時間で変更されることから難易度はさらに高いといえます。


Torを利用した攻撃の戦術

さて、ここからは、MITREが公開しているATT&CKフレームワークに基づいた攻撃戦術のお話をしていきます。

ATT&CKとは

ATT&CKと書いてアタックと読みます。

そうなんだ~って感じですよね。(怒られそう(笑))

このATT&CKは脆弱性の識別子CVEの発行組織として有名なMITRE社が開発した、攻撃の手法や戦術を体系化したフレームワークです。

attack.mitre.org

このフレームワークの利用によって、

攻撃グループやマルウェアがサイバー攻撃におけるどの段階のどんな戦術と関連があるのか

がわかります。

攻撃の段階として、よく用いられるサイバーキルチェーンで示すと、Exploit以降の段階をATT&CKでは示しています。


上図は、McAfeeのブログを参照(引用元はMITRE社)

最近公開されている、標的型攻撃の記事などでは、記事のAppendixとして、IoCに添えてATT&CKの指標が書かれることが多いので、注目してみるといいかもしれません。

Torを用いた悪意のある活動

Torを用いた攻撃の活動としては以下が挙げられています。

  • Pre-ATT&CK(侵入準備段階)
    • 標的の選択
    • 技術情報収集
      • アクティブスキャンの実行
      • パッシブスキャンの実行
      • ドメインとIPアドレス空間の決定
      • セキュリティ防御機能の特定
    • 技術的な弱点の特定

  • ATT&CK(侵入後)
    • 初期侵入
      • 公開されたアプリケーションへの侵入
    • C&C(コマンド&コントロール)
      • Well-Knownポートの利用
      • プロキシの利用
      • カスタムコマンドや制御プロトコルの利用
      • カスタム暗号化プロトコルの利用
      • 多段プロキシの利用
      • 多段暗号化の利用
      • 標準アプリケーション層プロトコルの利用
    • 情報窃取
    • データ破壊や改ざん
      • データの暗号化(ランサムウェアなど)
      • エンドポイントのDoS(サービス拒否)
      • ネットワークのDoS(サービス拒否)

Torを利用した攻撃のへの対応策

US-CERTのアラートでは、Torを利用した攻撃を検出するための手法として、例を紹介しています。

ExitノードのIPアドレスを用いた検知

Torプロジェクトより、TorのExitノード一覧が公開されています。

blog.torproject.org

このリストをSIEMやログ分析プラットフォームに取り込むことで、不審な通信が発生した際の検知を可能にできます。

なお、このExitノード一覧は1時間ごとに更新されるので定期的な更新が推奨されます。

Torを用いた通信の特徴を踏まえた検知

  • Torの通信で利用させるポート
    • 9001
    • 9030
    • 9040
    • 9050
    • 9051
    • 9150
  • ドメイン名の末尾
    • torproject[.]org
    • [.]onion
      • Torネットワーク内のドメイン
      • Tor内のC2サーバへ接続を試みた場合に検知される可能性あり
これら、Torを用いた際の通信の特徴をセキュリティ機能の検知ルールに加えることで、検知が可能になります。

具体的な防御策

  • 定常運用において
    • TorのEntryノードおよびExitノードのIPアドレスリストを常に最新に維持する
  • SIEMの活用
    • Torの使用状況をインバウンドおよびアウトバウンドの両面の通信から把握できる運用を行う
  • ネットワークトラフィックの検査
    • トラフィックの検査を行い、Tor利用状況における通常時のトラフィック量を把握することで、異常を早期に検知する
  • インバウンド通信制御
    • 既知のExitノードからの通信のブロックもしくは監視設定をセキュリティ機器およびソフトウェアに設定する
    • Tor通信の特徴的なポート番号利用をブロックもしくは監視する
  • アウトバウンド通信制御
    • 組織からEntryノードへの通信のブロックもしくは監視設定をセキュリティ機器およびソフトウェアに設定する
    • Tor通信の特徴的なポート番号利用をブロックもしくは監視する

まとめ

今回は、US-CERTのアラートを中心にTorを用いた攻撃やその対応策についてご紹介しました。

とはいえ、あまりピンとこない方も多いと思いますし、「百聞は一見に如かず」ということで、一度Torを使ってみるのもよいかもしれません。

わかりやすい例がないかなーと思って事例を探してみたのですが、日本の記事だとLACが出している以下の記事くらいしか見当たりませんでした。

とはいえ、攻撃の流れ含めわかりやすいと思いますので、ぜひご参考にしてみてください。

www.lac.co.jp

マルウェア感染に備えてアンチウィルスソフト以外に入れておくべきもの 【Toolwiz Time Freeze】


アンチウイルスソフトは基本的にパターンマッチング方式なので、パターンにマッチしなければ駆除できない。

現在武漢ウイルスが世界中に蔓延しているが、ワクチンが無いため、対処療法でしのぐしかないのと同じ状況である。

感染時にワクチンが無いので根本的な治療ができないのは理解したが、そもそもウイルス感染前の状況に時間を戻すことができないのか?

人間であれば明らかに無茶な話であるが、ITの世界では無茶な話ではない。

それを実現するためのツールが今回紹介する、

Toolwiz Time Freeze

である。

このツールを使うと、再起動するだけで開始時点からの変更を元通りにできる。

「変更」というのは、マルウェア感染も含まれる。

ただ、常時起動させっぱなしだと、ファイルの変更や必要なアプリのインストールを行っても再起動するとリセットされてしまうため、注意が必要。

一方で、アプリをインストールするとOSの挙動が不安定になる時もあったりするので、
インストール行為そのものに不安がある場合や、不審なサイトに冒険に行くような場合に起動しておくのが良い。

人でいうと予防接種の様な位置づけだろうか。

【参考】
https://kaciy-discovery.hatenablog.com/entry/2017/12/16/120157
https://www.japan-secure.com/entry/blog-entry-299.html
https://all-freesoft.net/system8/virtualsystem/toolwiztimefreeze/toolwiztimefreeze.html

【製作者サイト】
http://www.toolwiz.com/

※投稿時点のバックアップ(ver2017)はこちら

ATT&CKを始めよう:アセスメントとエンジニアリング / Getting Started with ATT&CK: Assessments and Engineering(転載)


Getting Started with ATT&CK: Assessments and Engineering

ここ数週間、ATT&CKを使った脅威インテリジェンス、検知・分析、敵のエミュレーションなど、ATT&CKを使いこなすための記事を掲載してきました。ミニシリーズのパート4では,評価とエンジニアリングについて,ATT&CKを使ってどのように防御力を測定し,改善できるかをご紹介します。この記事は多くの点で過去の記事を基にしていますので、まだご覧になっていない方はぜひチェックしてみてください。 

このプロセスをよりわかりやすくするために、また、他の記事と同様に、この記事を洗練度とリソースの有無に応じて3つのレベルに分けています。

  • レベル1は、リソースをあまり持たない始めたばかりのチーム向け。
  • レベル2は、成熟し始めた中レベルのチーム向け
  • レベル3は、より高度なサイバーセキュリティ・チームとリソースを持つ企業向けです。

評価を始めることは、最初は恐ろしく聞こえるかもしれません-誰が評価されることを喜ぶでしょうか?- しかし、ATT&CKのアセスメントは、セキュリティエンジニアやアーキテクトが脅威に基づくセキュリティの改善を正当化するための有用なデータを提供するための、より大きなプロセスの一部です。

  1. ATT&CKに登場する技術や敵に対して、現在の防御力がどのようになっているかを評価。
  2. 現在のカバー範囲の中で最も優先度の高いギャップを特定。
  3. それらのギャップに対処するために、自社の防御力を修正したり、新たな防御力を獲得。

アセスメントとエンジニアリングのレベルは累積的であり、互いに積み重ねられていきます。自分たちが高度なサイバーセキュリティチームであると考えている場合でも、レベル1から始めて、より大規模なアセスメントに移行するためのプロセスを踏むことをお勧めします。

多くのリソースを利用できない小規模なチームで作業していて、完全な評価を行おうと考えているならば、やめた方がいい。すぐにATT&CKマトリックスの色分けされたヒートマップを作成してカバレッジを可視化するというアイデアは魅力的ですが、ATT&CKを使うことに興奮するよりも、ATT&CKに燃え尽きてしまう可能性の方が高いでしょう。その代わり、小さなことから始めましょう。焦点を当てるべき1つの技術を選び、その技術に対するカバレッジを決定し、それを検出するために適切なエンジニアリングの強化を行います。このように始めることで、より大規模な評価を行う方法を練習することができます。

ヒント:どの手法から始めるべきかわからない?ケイティのブログ記事では、ATT&CKやスレットインテリジェンスをどのように使ってスタート地点を選ぶかのヒントを紹介しています。

テクニックを選んだら、そのテクニックをどのようにカバーするかを考えてみましょう。独自のルーブリックを使用しても構いませんが、まずは以下のカテゴリーでカバーすることをお勧めします。

  • 既存のアナリティクスでその手法を検出できる可能性が高いカテゴリ。
  • アナリティクスでは検出できないが、検出するために適切なデータソースを使用しているカテゴリ。
  • 現在、そのテクニックを検出するための適切なデータソースを利用していないカテゴリ。

ヒント:最初に始めるときには、スコアリングのカテゴリーをシンプルにしてください。

カバー率の測定を始めるための素晴らしい方法は、ある技術をすでにカバーしている可能性のあるアナリティクスを探すことです。SOC の多くは、本来は ATT&CK に対応するように設計されていなくても、ATT&CK に対応する可能性のあるルールやアナリティクスをすでに持っています。多くの場合、テクニックに関する他の情報が必要になりますが、それはテクニックのATT&CKページや外部ソースから得ることができます。

例として、Remote Desktop Protocol(T1076)を調べていて、以下のようなアラートがあったとします。

  1. ポート22を介したすべてのネットワークトラフィック。
  2. AcroRd32.exeによって生成されたすべてのプロセス。
  3. tscon.exeという名前のすべてのプロセス。
  4. ポート 3389 を介したすべての内部ネットワーク トラフィック。

ATT&CKのテクニックページのRemote Desktop Protocolのページを見ると、ルール#3が "detection "ヘッダで指定されている内容と一致しており、ウェブ検索をすると、ルール#4で指定されているポート3389もこのテクニックに対応していることがわかりました。

Remote Desktop Protocolの検出用テキスト。

もし、アナリティクスがすでにそのテクニックをピックアップしているなら、素晴らしいことです。そのテクニックをカバーしていることを記録し、新しいテクニックを選んで再度プロセスを開始してください。しかし、それをカバーしていない場合は、テクニックのATT&CKページに記載されているデータソースを見て、新しい分析を構築するのに適したデータをすでに取り込んでいるかどうかを判断します。もしそうであれば、あとは構築するだけです。

しかし、正しいデータソースを引き込めていない場合、どうすればいいのでしょうか?ここでエンジニアリングの出番です。技術のATT&CKページに掲載されているデータソースを参考にして、それぞれのデータソースを収集することの難しさと、そのデータソースを利用することの有効性を比較してみてください。

ヒント データソースとしてよく挙げられるのが、Windowsのイベントログで、多くのATT&CKテクニックを可視化することができます。イベントログを使い始めるのに適したリソースは、Malware ArchaeologyのWindows ATT&CK Logging Cheat Sheetで、Windowsイベントとそれを使って検出できるテクニックをマッピングしています。

プロセスのコマンドラインパラメータで検出可能な244種類のATT&CK
技術のうち97種類を、Windowsイベント4688を介して取り込みます。

次のレベルへの卒業:このプロセスを何度か繰り返し、その都度、各戦術にまたがる新しいテクニック(または2つ)を選んでください。ATT&CK カバレッジのヒートマップを作成できる ATT&CK ナビゲーターを使って、結果を記録しましょう。プロセスに慣れてきたら、データソースの分析を行い、データソースからどのテクニックを検出できるかをヒートマップで表示します。Olaf Hartong氏のATT&CK DatamapプロジェクトDeTT&CT、MITREのATT&CKスクリプトなどがありますので、参考にしてください。

Level 2

このプロセスに慣れ、より多くのリソースを利用できるようになれば、ATT&CK マトリックスの適度に大きなサブセットにまで分析を拡大することが理想的です。さらに、より高度なカバレッジスキームを使用して、検出の忠実性も考慮したいと思うでしょう。ここでは、SOC内のツールや分析ツールがその技術について警告を発する信頼性が低い、ある、高いのいずれかにカバレッジを分類することをお勧めします。

最終的にどのような評価をするかのサンプル。

ヒント カバレッジを評価する際には、ピンポイントの精度を気にする必要はありません。評価の目的は、技術を一般的に検出するためのエンジニアリング能力があるかどうかを理解することです。より正確な評価を行うためには、敵のエミュレーション演習を行うことをお勧めします。

このように範囲が広がったことで、アナリティクスの分析はやや複雑になっています。各アナリティクスは、以前のように1つのテクニックだけでなく、多くの異なるテクニックに対応する可能性があります。さらに、ある分析手法がカバーされている場合、その分析手法の忠実度も調べる必要があります。

ヒント 各アナリティクスについて、何をキーにしているかを調べ、それがATT&CKにどのように対応しているかを確認することをお勧めします。例えば、Windowsの特定のイベントに注目しているアナリティクスがあるとします。このアナリティクスのカバレッジを判断するには、Windows ATT&CK Logging Cheat SheetなどでイベントIDを調べることができます。また、ATT&CKのウェブサイトを利用して分析を行うこともできます。下図は、ポート22の検出を検索した例ですが、これは「Commonly Used Port ATT&CK technique」に表示されています。

ATT&CK site search for port 22

もう一つの重要な点は、テクニックと一緒に掲載されているグループやソフトウェアの例です。これらは、敵対者がテクニックを使用する際の手順や具体的な方法を示しています。多くの場合、これらの例は、既存の分析でカバーされているか否かにかかわらず、テクニックのバリエーションを示しており、テクニックをどれだけカバーしているかという信頼性評価に織り込む必要があります。

Examples section of Windows Admin Shares

分析結果を見るだけでなく、ツールの分析にも着手しましょう。そのためには、各ツールのヒートマップを作成し、次のような質問を繰り返し行うことをお勧めします。
  • ツールはどこで実行されますか?ツールがどこで実行されているか(例えば、境界や各エンドポイント)によって、特定の戦術でうまくいったり、うまくいかなかったりします。
  • ツールはどのように検出しますか?既知の悪い指標の静的なセットを使用していますか?それとも、何か行動的なことをしているのでしょうか?
  • そのツールはどのようなデータソースを監視していますか?ツールが監視しているデータソースを知ることで、どのようなテクニックを検出するかを推測することができます。

これらの質問に答えるのは大変です。すべてのベンダーがこの種の情報を公開しているわけではありませんし、探してもマーケティング資料になってしまうことがよくあります。このような質問に答えるのは大変です。

カバレッジの最終的なヒートマップを作成するには、ツールと分析のヒートマップをすべて集約し、各手法で最も高いカバレッジを記録します。これができたら、次は改善に向けて動き出します。最初のステップとして、前述の分析開発プロセスのより高度なバージョンをお勧めします。

  1. 短期的に注力したい優先度の高い技術のリストを作成する。
  2. 重点的に取り組む技術の分析を始めるために、適切なデータを集めていることを確認する。
  3. アナリティクスの作成とカバレッジチャートの更新を開始する。

現在の補償内容から始めて、アナリティクスを追加し、それに応じて補償内容を更新していきます。

また、ツールのアップグレードも必要かもしれません。ドキュメントを分析する際には、カバー率を高めるために使用できる可能性のあるオプションのモジュールを追跡してください。そのようなモジュールが見つかった場合には、それをネットワーク上で有効にするために必要なものを調べ、そのモジュールが提供するカバー率とのバランスを取ってください。ツールの追加モジュールが見つからない場合は、代替のデータソースとして利用することもできます。例えば、各エンドポイントにSysmonをインストールすることはできないかもしれないが、既存のソフトウェアが、他の方法ではアクセスできないような関連するログを転送できるかもしれない。

次のレベルへの卒業:これらの変更を実施してカバレッジを向上させたら、次のステップとして、敵対者のエミュレーション、特にアトミックテストを導入します。新しい分析手法を試作するたびに、それに対応するアトミックテストを実行して、その結果を確認します。捕まえられれば上出来です。捕まえられなかった場合は、何を見逃したのかを確認し、それに応じて分析手法を改良します。このプロセスの詳細については、当社の論文「ATT&CKベースの分析でサイバー脅威を発見する」を参照してください。

Level 3

より高度なチームの場合、評価を強化するための素晴らしい方法として、ミティゲーションを含めることができます。これにより、ツールやアナリティクスの検出内容だけを見るのではなく、SOC全体を見て評価を行うことができます。

技術をどのように緩和しているかを確認する良い方法は、SOC の各ポリシー、予防ツール、セキュリティコントロールを確認し、それらが影響を与える可能性のある ATT&CK 技術にマッピングして、それらの技術をカバー範囲のヒートマップに追加することです。最近、ミティゲーションを再構築したことにより、各ミティゲーションを見て、それがマッピングされている技術を確認することができます。ミティゲーションが適用された技術の例としては、以下のようなものがあります。

ブルートフォース(左)とWindows Admin Shares(右)の緩和策。

アセスメントの範囲を広げるもう一つの方法は、SOCで働いている人にインタビューしたり、非公式に話を聞いたりすることです。これは、ツールがどのように使用されているかをよりよく理解するのに役立つだけでなく、他の方法では考えられないギャップや強みを明らかにすることができます。例えば、以下のような質問が考えられます。

  • 最もよく使うツールは何ですか?その長所と短所は何ですか?
  • 見ることができないデータソースで、見ることができたらいいなと思うものは何ですか?
  • 検知の観点から見た、あなたの最大の強みと弱みはどこですか?

これらの質問への回答は、先に作成したヒートマップを補強するのに役立ちます。

例:以前、ATT&CK関連の機能を多く持つツールを見つけたが、人事はWindowsのレジストリを監視するためだけに使用している場合、そのツールのヒートマップを修正して、使用方法をよりよく反映させる必要があります。

同僚と話しながら、以前に作成したツールのヒートマップを見てみましょう。自分が使っているツールのカバレッジにまだ満足していないのであれば、新しいツールを評価する必要があるかもしれません。新しいツールを検討する際には、それぞれのツールのカバレッジのヒートマップを作成し、そのツールを追加することでどのようにカバレッジが向上するかを確認します。

ヒント:特にリソースに余裕がある場合は、代表的なテスト環境を立ち上げて、そのツールをライブでテストし、うまくいったところ、うまくいかなかったところ、そのツールを追加した場合に既存のカバレッジにどのような影響があるかなどを記録することができます。

最後に、より多くのミティゲーションを導入することで、ツールやアナリティクスへの依存度を下げることができるかもしれません。ATT&CKに掲載されているミティゲーションを見て、実際に導入できるかどうかを判断します。このプロセスの一環として、検出ヒートマップを参照してください。検出がうまくいっている技術を妨げる高コストの緩和策があれば、それは良いトレードオフではないかもしれません。一方で、分析結果を書くのに苦労している技術に対して、低コストの緩和策があれば、それを実施することでリソースを有効に活用できるかもしれません。

ヒント: ミティゲーションのために検出を取り除くことを検討する際には、可視性が失われる可能性を常に考慮してください。ミティゲーションやコントロールがバイパスされる可能性がある場合には、それらのイベントが見逃される可能性が低くなるように、ある程度の可視性を確保してください。検知とミティゲーションは、どちらも効果的なカバレッジのためのツールとして使用する必要があります。

クロージング: アセスメントとエンジニアリングの関係

アセスメントを行うことで、現在のカバレッジがどこにあるのかを理解し、それを脅威インテリジェンスで補強してギャップを優先し、アナリティクスを書くことで既存の防御を調整することができます。

長期的には、毎週、あるいは毎月、アセスメントを実施することは想定していません。その代わりに、前回のアセスメントの内容を記録し、新しい情報を得るたびに更新し、定期的に敵のエミュレーション演習を行って結果をスポットチェックする必要があります。時間の経過とともに、ネットワークや収集された情報に変化が生じ、以前にテストした防御の効果が低下することがあります。ATT&CK を活用して実際の脅威に対する防御力を示すことで、防御態勢の理解を深め、改善の優先順位を決めることができます。

ATT&CKのユースケースを可視化