私のセキュリティ情報収集法を整理してみた(2021年版)
新年あけましておめでとうございます。毎年年頭に更新している「私の情報収集法」を今年も公開します。何かの参考になれば幸いです。
インプットで参照している情報源(海外)
海外からの攻撃が主流となる中、海外情報をいち早く把握する事の重要性が増している気がしますので、今年は海外情報源から書きたいと思います。
昨年の記事では多くの海外サイトを紹介しましたが、試行錯誤の結果、まとめサイトでもある「morningstar SECURITY」や「DataBreaches.net」を押さえておけば、主要サイトが概ねカバーされると分かったので、今年は数を絞っています。
サイト | キタきつね寸評 |
---|---|
| 去年と変わりませんが、情報の更新頻度、そして関連ソースの網羅性という意味では、英語系のセキュリティニュースとしては最良の情報ソースの1つかと思います。私は「Daily Security News」と「Security Blogs」を主にチェックしていますが、人によって興味が違うかと思いますので、「Malware/APT」「Exploits」「Vulnerabilities」といったカテゴリー別の記事をチェックする使い方も出来るかと思います。 ※私はChrome+Google翻訳(プラグインがあります)でニュースタイトルをチェックする使い方をしていますが、短時間でタイトルを把握するのに非常に便利です |
| こちらも去年記事で掲載しているのですが、このサイトを2番目としました。基本署名記事で記事の質は高く、引用先ソースもきちんと書かれている事が多いので、興味があるニュースを深堀りする際に重宝します。 ここでの記事は日本ではあまり取り上げられていないニュースが多く、世界的なセキュリティ業界の動きを知るべき、セキュリティコンサル(本業)にも役立っている良質な情報ソースです。 ※日曜や長期休暇中には一切情報発信がされないホワイトな(?)サイトです。 |
| Security Affairs/Cybaze Spa創業者、ENISA CTIグループ、Cyber Defense Magazine誌の編集長等、数々の顔を持つPierluigiPaganini氏のサイト、あるいはTwitter(@securityaffairs)はウォッチしておいて良いソースかと思います。 security affairsブログは、「Read, think, share... Security is everyone's responsibility」(読んで、考えて、共有する・・・セキュリティは全ての人の責任)というコンセプトで良質なニュースを提供し続けていますので、毎日記事を読む事で”考える癖”が身に付いた気がします。 ※個人の感想です |
| 実は・・・上記3サイトの閲覧で手一杯になっていて、最近はこちらのサイトをそんなに巡回してませんが、以前はこちらのサイトからの情報を元にしていくつも当ブログ記事を書いてました。 上記3サイトが最新ニュースを元にしているのに対して、こちらのサイトのまとめ方はインシデント(データ漏えい発生)ベースなので、見落としていたインシデントを知る切っ掛けになる事もあるサイトです。 ハッキング、マルウェア、データリーク、ヘルスケアといったカテゴライズもされているので、興味ある分野の情報を拾うのにも適しているかと思います。 |
| 国の支援を受けたAPT攻撃等が増えている事もあり、最近巡回する様になったのが、FBIとCISAのサイトです。 ここにアラート(警戒)情報が掲載された場合、全世界的に攻撃を受ける(日本企業や組織も同じ脆弱性を突かれる)可能性があるケースも増えてきているので、アラートが出てないか確認する事もソース確認という意味では重要になってきました。 ※基本的に米国内向けの情報ですが、リリースのタイトルだけでもチェックしておくべきサイトかと思います。 |
※まとめサイトである「morningstar SECURITY」や「DataBreaches.net」をウォッチしない場合、良質な記事が多い「Security Boulevard」や「Bleeping Computer」、「ThreatPost」辺りも巡回先に入れると良いかと思います。
上記の情報サイト以外に、フォローしておくべきブロガー(インフルエンサー)として以下の方々も個人的には外せません。
サイト | キタきつね寸評 |
---|---|
| 去年も挙げましたが、11周年を迎えたKrebs on Securityは、定期的にウォッチしているサイトの筆頭です。Krebs氏は元ワシントンポストの記者で、2016年には当時世界最大級のDDoS攻撃(最大665Gbps)をこのブログが受けた(アカマイがギブアップした)事でも有名です。 こちらのサイトには多くのセキュリティ関係者が集まる事で知られており、Krebs氏の鋭い洞察記事もさる事ながら、大きな事件記事のコメント欄を読むと勉強になり、視野が広がるかと思います。 ※上記morning star SECURITYで更新対象となっていますので、このサイトを単独でウォッチする必要はありません ※当ブログ名の「Fox on security」はKrebs氏のこのサイトにあやかってつけています。 |
| 英国を代表するセキュリティブロガーで、2009年/2010年にComputerWeekly誌によってITブログアワード(ユーザーオブザイヤー)で表彰されています。英語系のサイトでは色々な所で署名記事を見かけますし、講演活動にも積極的で、Twitter等を含め発信力がありますのでウォッチしておくべき1人だと思います。 ※Twitterアカウント(@gcluley)をフォローして、Graham氏の発信情報をチェックするのも良いかと思います。 |
| マイクロソフトのオーストラリア地区ディレクターが本職ですが、本職以上に、自身のID(メールアドレス)やパスワードが漏えいしてないかチェックできる、「Have I Been Pwned」(HIBP)を運営している事で有名です。HIBPに登録されたIDは既に100億件を超えており、ここを見ると誰もがデータ漏えい事件の「被害者」である事がよく分かります。 無害化された漏えいパスワード辞書も公開してますので、会員サイト等の管理者の方は、侵害されたパスワード辞書(パスワード登録時の比較用)として利用/参考にされるのも良いかと思いおます。 Hunt氏のブログ(Twitter)で、HIBPに新しいDBが登録されたコメントが出た場合、どこかで侵害事件が発生した(往々にしてニュースになってない)事を表しますので、インシデントを追いかけられている方はウォッチしておくべき情報源の1つかと思います。 ※上の画面だと、右下(Recently added breaches)が直近追加のDB(=インシデント)となります。 |
| ブルーシュ・シュナイアーは暗号やセキュリティで著名な研究者です。著書も多数ありますが、特に、「セキュリティはなぜやぶられたのか」は古い本ですが、日本語にも訳されているので、セキュリティ関係の方に是非読んでもらいたい本の1つです。 ブログでの発信は、他のセキュリティ関係のソースと取り上げるニュースが被る事が多いので、必ずしもフォローが必要とは思いませんが、どうしてそのニュースを取り上げたのか、彼はどう考えているのか、そうした視点で記事を読むと新しい気づきがあるかも知れません。 ※上記morning star SECURITYで更新対象となっていますので、このサイトを単独でウォッチする必要はありません |
インプットで参照している情報源(国内)
サイト | キタきつね寸評 |
---|---|
| こちらも去年までと変わりません。セキュリティ関係者の方であればまずココを抑える方は多いのではないでしょうか。私も更新頻度や幅広いソース先からの情報網羅性を考え、ここを第1の国内情報源にしています。 更新頻度が高く、大きなインシデントが発生した際は「他の情報が押し流される」事も多々ありますので、時間が無い方や、情報収集に慣れてない方はタイトルを流し見する癖をつける事をお勧めします。 |
| 情報更新頻度もさる事ながら、そして小さなインシデントやセキュリティ関係の調査結果もよく掲載されているので、「新着記事」は定期的な巡回先となっています。 セキュリティ関係の全般的なニュースだけではなく、脆弱性や製品・サービス等のカテゴライズもされているので、自分の興味が強い所を巡回先にすると効率的な情報収集が実現できるかと思います。 ※”誤送信しました”や、”USBメモリ落としました”クラスの発表まで丹念に拾っているのはこのサイト位かと思います。 |
| Piyologも大きなインシデントが発生した際に、状況確認するのに重宝する情報ソースですが、piyokango氏の真骨頂はやはりTwitterでの情報発信かと思います。 多忙そうな時期は情報発信がやや低調に見える事もありますが、インシデント公式発表は他の方に比べて発信が速い事が多く、セキュリティ関係の方であれば、抑えておくべき情報ソースの1つと言えます。 各種セミナー以外にも、Podcastで辻さん、根岸さんらと配信している#セキュリティのアレや、日経XTECHで連載しているpiyokangoの週刊システムトラブル等も勉強になる事が多いです。 |
| 大きな国内インシデントが発生した際の解説記事が参考になる事が多いのがこちらです。2020年はPulse Secure VPNの脆弱性や、ドコモ口座など社会的に影響が大きな報道記事がいくつもあり、取材情報を元にした署名記事(事件分析)は読んでいて勉強になりました。 |
| 私はカード情報のセキュリティ(PCI DSS)が専門分野の1つであり、この分野のインシデントを長年追いかけているので、大手カード会社の中でもセゾン系のカード情報漏えいに関するリリースは情報発信が早く、網羅率も高いので極力毎日見る様にしています。 |
| 網羅性という意味ではこちらも外せないかも知れません。カード情報関係のインシデントも良く出ているので、チェック漏れが無いかをたまにチェックしています。また、事件のリリース魚拓も掲載されているので、過去のインシデントを調査する際などにも重宝しています。 |
インプットに使っているツール
サイト | キタきつね寸評 |
---|---|
(iOS) | Yahoo!ニュースのテーマ設定でRSS的にニュースを拾っています。多いなニュースで、コメント欄が解放されている時は、客観性をつけるために、なるべくオーサーや読者コメントを流し見する様にしています。 ※コロナ禍で生の情報(人との会話)が希薄になり、真偽の分からない情報に流されやすくなってきている気がしており、自分の意見(コア)を持った上で、多くの意見に触れる事の重要性が増している気がしています。 尚、現在フォロー中のテーマは以下の通りです。 |
| Twitterは情報が早い(鮮度が良い)ので、多くの方にとっての情報収集は、「良質な情報発信をする方」をフォロー出来ていれば十分かと思います。 ※ご参考になるかは分かりませんが(キタきつねのTwitterフォロワー) ※私の場合、Twitter=スマホなので、テレワーク(PC)メインになっている中では、あまり効果的に情報収集に使えていない気がしますが、特に海外インフルエンサーの投稿は(日本でまだ情報が来てない事も多いので)意図的に読む様にしています。 |
| 上記でTwitterをあまり活用できていないと書いているので、矛盾があるのですが、以前名和さんに教えて頂いたツールで、リアルタイムに情報を拾うのに、大画面+TweetDeck(キーワード登録)は非常に有効です。 ※例えばDDoSをキーワード登録し、頻繁にTabが更新される=何か大きな事件があった兆候を掴むといった使い方も(フォロワー次第ですが)出来る様です。 ※TweetDeck流し見専用にサブモニターが(もう1台)欲しくなります |
調査によく使っている便利ツール
サイト | キタきつね寸評 |
---|---|
| サイト情報を過去に遡るという事を(無料で)実現できます。 この巨大な魚拓サイトは、インシデント調査、あるいは事件リリース等を追いかける際に非常に重宝していて、このサイトが無いとカード情報漏えい系のインシデント分析は出来ないといっても過言ではありません。 |
| 諸々の脆弱性を検索するこうしたサービス、あるいは同等機能を持つサービスをハッカー側は常時探しており、そこで見つけた脆弱性を攻撃してくる傾向が強くなってきています。だからこそ、ホワイト(防衛)側も、こうしたツールを有効に使って自社/自組織の脆弱性を”定期的に”チェックする事が重要かと思います。 |
| 海外サイトからの情報収集を行う上で、Google翻訳は無償である事を含めて素晴らしいものがありますが、翻訳の精度(※以前に比べて格段に上がっています)という点では、アレ・・・と思う事も多々あります。 尚、DeepL有償版ではなく、多少制約はありますが無償版だけでも海外ニュースソースからの情報を翻訳するのは十分かと思います。 私は本業で海外と方とやり取りをする事がありますが、海外業務を担当する日本人の多くがDeepLを使っている印象があります。(他社の方と話すと、このツールを使っている方が結構多いです)Google翻訳の方がまだまだ便利な部分も多いのですが、ここぞという部分の翻訳にDeepLを使う事で、より読みやすい日本語文書になりますのでオススメです。 ※少し英語に自信が無い方は、海外出張(あるいは海外ゲストの簡単な通訳)程度でしたらPOCKETTALKも最近は精度が上がっていますので、こうしたツールでも十分かと思います。 |
| WaybackMachineが勝手に録画してくれる全録機だとすれば、ウェブ魚拓は手動録画(魚拓)として使えるサイトです。Piyokango氏がよく使っている(いた)ので私も真似をして使う様になりました。 インシデント、特にECサイトからのカード情報漏えい事件では公式発表(事件を受けてのリリース)がいつの間にか「消されている」事があります。 ※企業の情報開示姿勢としてはどうかと思いますが、ビジネスへの影響を考えると仕方が無い事かと思います。 こうしたサイトを後から調査する事もあるので、当ブログの記事では、インシデントの公式発表魚拓をなるべく取っておく様に(最近は)しています。 |
| 色々とインシデントを追いかける中、まだまだ出来てない部分が多いのですが、ATT&CKをもっと深く理解する事=基本に立ち返る事の重要性を改めて感じています。 |
| 日本ではこうしたツールを事前の合意なしにかける事がアレ内緒で調査する時もありま・・・ですが、海外ではホワイトハッカーもよくこうしたツールを使っている様です。 残念ながら、(このサイトで検出される通信に関する)セキュリティ対策が酷い所は、まだまだ日本の企業/組織でも多いので、Web脆弱性診断を定期的に行ってない所は、最低限こうしたツールを利用して自社の脆弱性を確認する事が重要かと思います。 ※違う見方をすればお金をかけなくてもある程度の事はこうしたツールを使えば確認できるという事でもあるのですが、なかなか日本では利用されてない(様に思える)のが残念な所です。 |
| 2020年はランサム(2重脅迫)の年といっても過言では無い程に、ランサム被害が多発しました。 カスペルスキーが4年前に発足させたNo more ransom projectでは一部ランサムにはなりますが、解除方法なども開示しており、ランサム関連の情報として、まず抑えておくべき情報がここにあります。 ※ランサム被害を受けた企業は、短時間に身代金(ランサム)を請求される事が多く、パニックになる訳ですが、こうしたサイトでまずは何をすべきなのかを一度落ち着いてみてから次の行動を起こす事が重要であり、押さえておくべきサイトの1つと言えます。 |