Merseyrail(英)のランサム被害 / UK rail network Merseyrail likely hit by Lockbit ransomware(転載)~組織のメールアカウントを乗っ取って盗取した情報が暴露される!?~

Merseyrailのランサム被害

UK rail network Merseyrail likely hit by Lockbit ransomware

英国の鉄道ネットワークであるMerseyrail(マージーレイル)社は、ランサムウェアの一団が同社の電子メールシステムを利用して従業員やジャーナリストに攻撃に関するメールを送ったことから、サイバー攻撃を確認しました。

マージーレイルは、イギリスの鉄道ネットワークで、イングランドのリバプール市地域にある68の駅で列車サービスを提供しています。

"先日、マージーレイルがサイバー攻撃を受けたことを確認しました。全面的な調査が開始され、現在も継続中です。今月初めにマージーレイルのディレクターであるアンディ・ヒースのアカウントから謎のメールを受け取った後、マージーレイルはその間に、我々は関係当局に通知したと語った。


ランサムウェアの一味がMerseyrailの電子メールシステムを悪用

サイバー攻撃の内容は公表されていませんが、4月18日にHeith氏のメールアカウントから、"Lockbit Ransomware Attack and Data Theft "というメール件名の奇妙なメールを受け取ったことで、この攻撃を知りました。

このメールは、英国の様々な新聞、Merseyrailのスタッフに送信されており、Lockbit Ransomwareの一味による局長の@merseyrail.org Office 365メールアカウントの乗っ取りと思われます。

このメールでは、Merseyrail社の取締役を装い、前週末に発生した障害が軽視されていたことや、ハッカーが従業員や顧客のデータを盗むランサムウェア攻撃を受けたことを従業員に伝えていました。

このメールには、Lockbitが攻撃の際に盗んだとされる従業員の個人情報を示す画像へのリンクが含まれています。

"調査中であるため、これ以上のコメントは適切ではありません」と、マージーレール社は取締役の電子メールがどのようにして漏洩したかについて回答をしました。

また、英国情報委員会(Information Commissioner's Office: ICO)も、Merseyrail社がこの "事件 "を認識していることを確認しています。

"ICOはBleepingComputerに対し、メールで「Merseyrailは事件を認識しており、提供された情報を評価している」と述べています。


ランサムウェアのギャングが積極的に被害者を恐喝

過去1年間で、ランサムウェアのギャングたちは、その恐喝戦術においてますます攻撃的になっています。

これまでのランサムウェアの攻撃は、脅威となる人物が被害者のデータを盗み、ファイルを暗号化して身代金の支払いを迫るというものでした。

その後、被害者のネットワークやWebサイトへのDDoS攻撃、顧客やジャーナリストへのメール送信、証券取引所への脅迫など、その手口はエスカレートしていきました。

悲しいことに、これらの攻撃が続いている間、自分たちのデータや組織に何が起こっているのかを知ることができるのは、たいてい従業員や顧客だけです。

被害者の電子メールシステムを利用して、従業員、ジャーナリスト、顧客の両方に攻撃を宣伝することは、そのような状況を覆す可能性があります。 

国産の「一太郎」を押したい気持ちはあるが、世の中は「ワード」がスタンダードです(転載)

EyLKfLZVgAEi14s.jpg:large

激同って、普通に使われる使い方なのね…ちょっと驚いた:

激同って、普通に使われる使い方なのね…ちょっと驚いた

Passwordstateの更新配信サーバが不正アクセスを受け、不正なDLLを混入される。 / Passwordstate hackers phish for more victims with updated malware(転載)~サプライチェーンリスクの顕在化事例~


Passwordstate hackers phish for more victims with updated malware:

企業向けパスワードマネージャー「Passwordstate」を提供しているクリックスタジオ社は、「Moserpass」という最新のマルウェアを使ったフィッシング攻撃が続いているとして、顧客に警告を発しています。

先週、クリックスタジオ社は、4月20日から4月22日の間に、攻撃者がパスワードマネージャーの更新メカニズムを悪用して、情報を盗むマルウェア「Moserpass」を、まだ公表されていない数の顧客に配信することに成功したと、ユーザーに通知しました。

クリックスタジオ社は日曜日に2回目の勧告を発表し、"上記の時間帯に所定のアップグレードを行った顧客のみが影響を受けていると考えられ、Passwordstateのパスワード記録が盗まれている可能性がある "と述べた。

フィッシングメッセージのコピー ソーシャルメディアで共有されるClick Studiosメール

それ以来、クリックスタジオ社は、影響を受けた可能性のあるお客様に電子メールで支援を行い、お客様のシステムからマルウェアを取り除くためのホットフィックスを提供してきました。

しかし、今回の勧告で明らかになったように、クリックスタジオ社から受け取ったメールがソーシャルメディア上で顧客に共有されたことで、未知の脅威行為者が同社の対応に似せたフィッシングメールを作成し、新たなMoserpassの亜種を押し付けていました。

Passwordstateのお客様を対象とした、Moserpassデータ盗難マルウェアに感染させようとする継続的なフィッシング攻撃は、少数のお客様を対象としていると報告されています。

同社は現在、不審な電子メールを受け取った方に、「警戒を怠らず、あらゆる電子メールの有効性を確認してください」と呼びかけています。

" メールが当社からのものかどうかわからない場合は、テクニカルサポートにメールを添付して送信し、確認してください」とクリックスタジオは付け加えています。

初期分析によると、このファイルには、不正なMoserware.SecretSplitter.dllの新しい修正バージョンが含まれており、読み込み時に別のサイトを使用してペイロードファイルを取得しようとします。このペイロードファイルは現在も分析中です。- クリックスタジオ社

お客様には、保存されているすべてのパスワードをリセットするようお願いします。

Moserpassマルウェアは、システム情報とPasswordstateのデータベースから抽出した以下のようなパスワードデータの両方を収集し、流出させるように設計されています。

  • コンピュータ名、ユーザ名、ドメイン名、現在のプロセス名、現在のプロセスID、実行中のすべてのプロセス名とID、実行中のすべてのサービス名、表示名、ステータス、Passwordstateインスタンスのプロキシサーバアドレス、ユーザ名とパスワード

  • タイトル、ユーザー名、説明、GenericField1、GenericField2、GenericField3、メモ、URL、パスワード

クリックスタジオ社は、今回の侵害でクライアントをアップグレードしたPasswordstateのお客様に、データベースに保存されているすべてのパスワードをリセットするようアドバイスしました。

Passwordstateは、開発元が主張しているように、世界中の29,000社で働く37万人以上のIT専門家が使用しているオンプレミス型のパスワード管理ソフトです。

クリックスタジオ社のソフトウェアは、政府、防衛、航空宇宙、金融、ヘルスケア、自動車、法律、メディアなど、幅広い業種の企業(フォーチュン500ランキングに入っている企業も多数)に採用されています。

twitterアカウント@yanmaが乗っ取られた(転載)~基本海外が絡むと警察は期待できない。SNS認証は使うべからず。twitterサポートは役に立たない。~



twitterアカウント@yanmaが乗っ取られた(解決編) scrapbox.io/yanma/twitter%…: twitterアカウント@yanmaが乗っ取られた(解決編)
scrapbox.io/yanma/twitter%…

OSINTツールトップ25 / Top 25 OSINT Tools for Penetration Testing(転載)

Top 25 OSINT Tools for Penetration Testing

 ITセキュリティの調査を開始する際、最初に直面するのは、ターゲットに関するデータの偵察と情報収集の段階です。調査対象に関する情報収集が完了すると、IPアドレス、ドメイン名、サーバ、技術など、必要な情報がすべて揃い、最終的にセキュリティテストを実施することができます。

この貴重な情報を得るための最良のOSINTツールは何ですか?人や会社のデータ、ドメイン、IP、サーバー、実行中のソフトウェアなどを追跡したいとお考えですか?

私たちは、そのような疑問に対する正しい答えを持っています。この記事では、ITセキュリティ研究者のためのベストなReconとIntelの情報収集ツールのトップをご紹介します。

OSINTツールをサイバーセキュリティに活用するには?

OSINTとは、オープンソースインテリジェンスの略です。そして、軍事情報チームが敵に対して優位に立つために重要な役割を果たしているのと同様に、OSINTはサイバーセキュリティの分野においても重要な役割を果たしています。

オープンソースインテリジェンスは、サイバーセキュリティチームを刺激し、ブルー、パープル、レッドの各チームは、ネットワーク技術、ウェブホスティングサーバー、DNSレコード、ソフトウェア技術、クラウド資産、IoTデバイス、アプリ、データベース、ソーシャルメディアアカウントなど、さまざまな情報にアクセスすることができます。

OSINTは、さまざまな種類の組織、企業、公共機関、民間機関で広く使用されています。米国政府も2005年に、オープンソース情報を効果的に利用することの重要性を述べています。

重要な情報が犯罪者の手に渡ってしまうことを想像してみてください。これが、お客様のオンライン資産に対する攻撃の始まりとなる可能性があります。

適切なOSINTツールを採用することで、企業のサイバーセキュリティの防御力を高めることができ、また、レッドチームに所属している場合は、得られる貴重な情報量を増やすことができます。

オープンソース・インテリジェンス・ツールは、幅広い目標に向けて頻繁に使用されていますが、特定の分野に焦点を当てていることも少なくありません。

未公開資産の発見

公開されている資産はいたるところにありますが、最も危険な資産は、目に見えないもの、つまり未知のインフラ資産です。だからこそ、お客様が利用している他の種類のサービスと同様に、オンラインインフラ全体のフルマップを作成することは、善人も悪人も情報収集の過程で最初に行うことなのです。

これにより、防御力を高めることも、組織に対して行われる様々な種類のサイバー攻撃の犠牲になることもできます。

企業の重要なデータを外部から検出

データが自社の公開場所にない場合もあります。このようなことは、多くの第3者や第4者関連のSaaSサービスと連携している場合によく起こります。また、よくある問題として、合併や買収がありますが、これを見落とすと、外部からの攻撃のベクターを親会社に招き入れることになります。そして、OSINTは、合併や買収に対するサイバーセキュリティ監査の際に非常に有用であることがわかります。

重要なデータの整理

適切なOSINTツールを使用してあらゆる面から最も有用なデータを見つけたら、そのデータをすべて照合してグループ化し、機能的なプランに変換する必要があります。このオープンポートをどうするのか?誰がこの古いソフトウェアの更新を担当するのか?古くなったDNSレコードはいつまでに削除するのか?これらの質問は、すべての機密データをグループ化した後に、最も適切で実行可能な計画を作成するための情報となります。

OSINTとは何か、そしてそれがサイバーセキュリティにどのように使われるのかがわかったところで、お楽しみの部分に飛び込んでみましょう:おすすめのOSINTツールをすべて簡単にレビューします。

情報セキュリティの専門家が使用するOSINTツールベスト25

始める前の重要な注意:これらのツールを事前の許可なく外部のネットワークやシステムで使用してはならないことを覚えておいてください。これらのOSINTツールは、ITセキュリティ研究者や民間/公共の情報セキュリティ調査員が、サイバーセキュリティ調査の最も重要な部分の1つである情報収集の第1段階で役立つように、ここで紹介されています。

The most popular OSINT tools

1. OSINT Framework

OSINTフレームワークは、あなたのサーバー上で実行されるツールではありませんが、インターネット上で公開されている無料の検索エンジン、リソース、およびツールを照会することによって、貴重な情報を得るための非常に便利な方法です。彼らは、OSINTデータの貴重なソースへの最良のリンクをもたらすことに焦点を当てています。

このウェブアプリケーションは、当初はITセキュリティに焦点を当てて作成されましたが、時代とともに進化し、現在では他の業界の情報も取得できるようになっています。情報の検索に使用するウェブサイトのほとんどは無料ですが、中には低額の料金を支払う必要があるものもあります。

OSINT Framework

2. CheckUserNames

CheckUserNamesは、170以上のソーシャルネットワークのユーザーネームを見つけることができるオンラインOSINTツールです。これは、同じユーザー名が異なるソーシャルネットワークで使用されているかどうかを調査する場合に特に有効です。

また、個人だけでなく、ブランド・会社名を調べることもできます。

3. HaveIbeenPwned

HaveIbeenPwnedは、お客様のアカウントが過去に侵害されたかどうかを確認するのに役立ちます。このサイトは、市場で最も尊敬されているITセキュリティの専門家の一人であるTroy Hunt氏によって開発され、何年も前から正確なレポートを提供しています。

自分のアカウントが侵害された疑いがある場合や、外部アカウントでのサードパーティによる侵害を検証したい場合に最適なツールです。Gmail、Hotmail、Yahooアカウントをはじめ、LastFM、Kickstarter、Wordpress.com、Linkedin、その他多くの一般的なウェブサイトなど、さまざまなソースからウェブ上の不正アクセスを追跡することができます。

メールアドレスを導入すると、結果が表示され、次のように表示されます。

HaveIbeenPwned

4. BeenVerified

BeenVerifiedも同様のツールで、インターネット上の公開記録から人物を検索する際に使用します。ITセキュリティの調査を行っていて、ターゲットが未知の人物である場合に、世界中のどんな人物についても、より価値のある情報を得るためにかなり役立ちます。

完了すると、結果ページには、その人の名前に一致するすべての人が、その人の詳細、地理的位置、電話番号などとともに表示されます。見つかった後は、独自のレポートを作成することができます。

BeenVerifiedのすごいところは、犯罪歴や政府の公式情報なども含まれていることです。

BeenVerifiedのバックグラウンドレポートには、複数のデータベースからの情報、破産記録、キャリア履歴、ソーシャルメディアのプロフィール、さらにはオンラインの写真が含まれることがあります。

5. Censys

Censysは、サーバーやドメイン名など、インターネットに接続されているあらゆるデバイスに関する最新かつ最も正確な情報を得るために使用される素晴らしい検索エンジンです。

任意のサーバーで稼働している80ポートと443ポート、対象ウェブサイトのHTTP/SボディコンテンツとGETレスポンス、Chrome TLSハンドシェイク、完全なSSL証明書チェーン情報、WHOIS情報など、地理的・技術的な詳細情報をすべて確認することができます。

6. BuiltWith

BuiltWithは、インターネット上のあらゆるウェブサイトで使用されている技術を検出するクールな方法です。

Wordpress、Joomla、DrupalなどのCMSや、jquery、bootstrap/foundationなどのJavascriptやCSSライブラリ、外部フォント、Webサーバの種類(Nginx、Apache、IISなど)、SSLプロバイダ、使用しているWebホスティングプロバイダなど、詳細な情報が含まれています。

また、BuiltWithでは、今最も注目されている技術や、トレンドになりつつある技術を知ることができます。

間違いなく、あらゆるウェブサイトの可能な限りの技術的詳細を収集するための、非常に優れたオープンソースのインテリジェンスツールです。

7. Google Dorks

多くのITセキュリティの初心者は、人や企業を調査する際に、従来の検索エンジンを使って偵察や情報収集を行うことの重要性を忘れています。

そんなときには、Google Dorksが頼りになります。彼らは2002年から存在しており、あなたの情報の偵察に大いに役立ちます。

Google Dorksは、セキュリティ調査に役立つ情報をGoogleに照会するための簡単な方法です。

検索エンジンには、個人や企業、そのデータなど、インターネット上のほとんどすべての情報が登録されています。

Google Dorkingを実行するために使用されるいくつかの人気のあるオペレータ。

  • Filetype: あらゆる種類のファイルタイプを見つけることができます。
  • Ext: 特定の拡張子を持つファイルを探すのに役立ちます。 (eg. .txt, .log, etc).
  • Intext: クエリを実行することで、ページ内の特定のテキストを検索することができます。
  • Intitle: ページタイトル内の特定の単語を検索します。
  • Inurl: ウェブサイトのURL内に記載されている単語を調べます。

ログファイルは本来、検索エンジンにインデックスされるものではありませんが、実際にはインデックスされており、以下に示すように、これらのGoogle Dorksから貴重な情報を得ることができます。

Google Dorks

ここでは、最も尊敬されている情報セキュリティの専門家が使用している、より実用的なツールに焦点を当ててみましょう。

8. Maltego

このソフトウェアは、Paterva社によって開発され、Kali Linuxディストリビューションに含まれています。このソフトウェアはPaterva社が開発したもので、Kali Linuxディストリビューションに含まれています。

Maltegoを使えば、特定のターゲットに対して偵察テストを行うことができます。

このソフトには、「トランスフォーム」と呼ばれる優れた機能が搭載されています。トランスフォームは、無料で利用できる場合もあれば、製品版のみの場合もあります。トランスフォームは、さまざまな種類のテストや外部アプリケーションとのデータ統合の実行に役立ちます。

Maltegoを使用するには、Maltegoのウェブサイトで無料のアカウントを開設する必要があります。その後、新しいマシンを起動したり、既存のマシンからターゲットにトランスフォームを実行することができます。トランスフォームを選択すると、Maltegoアプリケーションは、Maltegoのサーバからすべてのトランスフォームを実行します。

最後に、Maltegoは、IP、ドメイン、AS番号など、指定したターゲットの結果を表示します。

9. Recon-Ng

Recon-ngは、Kali Linuxディストリビューションにすでに組み込まれており、遠隔地のターゲットに対して迅速かつ徹底的な偵察を行うために使用されるもう一つの素晴らしいツールです。

このウェブ偵察フレームワークはPythonで書かれており、多くのモジュール、便利な関数、適切な使い方をガイドするインタラクティブなヘルプが含まれています。

シンプルなコマンドベースのインターフェイスにより、データベースとのやりとり、ウェブリクエストの実行、APIキーの管理、出力コンテンツの標準化など、一般的な操作を行うことができます。

ターゲットに関する情報の取得は非常に簡単で、インストール後数秒で実行できます。また、google_site_webやbing_domain_webなどの興味深いモジュールが含まれており、ターゲットとなるドメインに関する貴重な情報を見つけるために使用することができます。

偵察モジュールの中には、ターゲットのネットワークを攻撃することのない受動的なものもありますが、リモートホストに対して面白いものを発射できるものもあります。

Recon-Ng

10. theHarvester

theHarvesterは、企業やウェブサイトのサブドメイン名、バーチャルホスト、オープンポート、電子メールアドレスに関する貴重な情報を取得するためのもう一つの優れた選択肢です。

これは、自分自身のローカルネットワークやサードパーティの許可されたネットワークに対するペネトレーションテストの最初のステップである場合に特に便利です。これまでのツールと同様に、HarvesterはKali Linuxディストロに含まれています。

the Harvesterは、PGPキーサーバー、Bing、Baidu、Yahoo、Googleの検索エンジン、Linkedin、Twitter、Google Plusなどのソーシャルネットワークなど、多くのリソースを使用してデータを取得します。

また、辞書攻撃に基づくDNSブルートフォース、rDNSルックアップ、辞書ブルートフォース列挙によるDNS TLD拡張など、アクティブなペネトレーションテストの実施にも使用できます。

11. Shodan

Shodanは、ディープウェブやモノのインターネットに特化したネットワークセキュリティの監視・検索エンジンです。2009年にJohn Matherlyによって作成され、ネットワーク内の一般にアクセス可能なコンピューターを追跡することができます。

サーバーやルーター、ウェブカメラなど、ネットワークに接続されたさまざまな機器を検索して調べることができるため、「ハッカーのための検索エンジン」とも呼ばれています。

Shodanは、Googleによく似ていますが、派手な画像やリッチコンテンツ、情報満載のウェブサイトを表示するのではなく、SSH、FTP、SNMP、Telnet、RTSP、IMAP、HTTPサーバーのバナーや公開情報など、ITセキュリティ研究者の関心に関連するものを表示します。結果は、国、OS、ネットワーク、ポートの順に表示されます。

Shodanのユーザーは、サーバーやWebカメラ、ルーターにアクセスできるだけではありません。交通信号システム、家庭用暖房システム、水道公園の制御パネル、水源地、原子力発電所など、インターネットに接続されているほとんどのものをスキャンすることができます。

12. Jigsaw

Jigsawは、あらゆる企業の従業員に関する情報を収集するためのツールです。このツールは、Google、Linkedin、Microsoftのような企業に最適で、google.comのようなドメイン名をピックアップして、その企業の様々な部門の従業員のメールを収集します。

唯一の難点は、これらのクエリがjigsaw.comにあるJigsawのデータベースに対して起動されるため、Jigsawがデータベース内でどのような情報を探索することを許可してくれるかに完全に依存していることです。大企業の情報を見つけることはできますが、あまり有名ではないスタートアップの情報を探しているのであれば、運が悪いかもしれません。

13. SpiderFoot

SpiderFootは、OSINTを自動化し、偵察、脅威情報、境界監視などで迅速に結果を出したい場合には、最高の偵察ツールの一つです。

このアプリは、Steve Micallefによって書かれたもので、彼はこのアプリを作り、Splunk用のSecurityTrails Addonを書くという素晴らしい仕事をしました。

このツールは、100以上の公開データソースにクエリを発行し、一般名、ドメイン名、電子メールアドレス、IPアドレスなどの情報を収集するのに役立ちます。

ターゲットを指定し、実行したいモジュールを選択するだけで、Spiderfootがモジュールからすべてのインテルデータを収集するという大変な仕事をしてくれます。

14. Creepy

Creepyは、情報セキュリティの専門家向けのジオロケーションOSINTツールです。Creepyは、Twitter、Flickr、Facebookなどのソーシャル・ネットワーキング・プラットフォームを照会することで、あらゆる個人の完全なジオロケーション・データを取得する機能を提供します。

もし誰かがジオロケーション機能を有効にしてこれらのソーシャルネットワークに画像をアップロードすると、その人がどこにいたのか、完全にアクティブなマルを見ることができます。

また、正確な場所や日付でフィルタリングすることもできます。その後、結果をCSVまたはKML形式でエクスポートすることができます。

Creepy

15. Nmap

Nmapは、最も人気があり広く使用されているセキュリティ監査ツールの一つで、その名前は「Network Mapper」を意味します。Nmapは、セキュリティ監査やローカルおよびリモートホスト間のネットワーク探索に利用される、フリーのオープンソースユーティリティです。

主な機能の一部をご紹介します。

  • ホストの検出:Nmapは、あらゆるネットワーク内で、特定のポートを開いているホストや、ICMPやTCPパケットに応答を送信できるホストを特定する機能を持っている。
  • IPおよびDNS情報の検出:デバイスタイプ、Macアドレス、さらにはリバースDNS名を含む。
  • ポートの検出:Nmapは、ターゲットネットワーク上で開かれているあらゆるポートを検出し、その上で実行可能なサービスを知らせることができる。
  • OS検出:接続されているホストのOSバージョンとハードウェア仕様を完全に検出する。
  • バージョン検出:Nmapは、アプリケーション名とバージョン番号を取得することもできる。

16. WebShag

WebShag は、HTTP および HTTPS プロトコルのスキャンに使用される優れたサーバー監査ツールです。他のツールと同様に、Kali Linuxの一部であり、ITセキュリティの調査や侵入テストに大いに役立ちます。

単純なスキャンだけでなく、プロキシ経由やHTTP認証などの高度な方法でスキャンを行うことができます。

Pythonで書かれており、システムを監査する際の最良の味方となります。

主な機能は以下の通りです。

  • ポートスキャン
  • URLスキャン
  • ファイルファジング
  • ウェブサイト・クローリング

リモートサーバーのセキュリティシステムにブロックされないように、HTTPプロキシサーバーごとにランダムなリクエストを起動することで、インテリジェントなIDS回避システムを採用していますので、禁止されることなくサーバーの監査を続けることができます。

17. OpenVAS

OpenVAS(Open Vulnerability Assessment System)は、情報セキュリティの専門家向けの特定のサービスやツールを含むセキュリティフレームワークです。

これは、有名なNessusがオープンソースからプライベートソースに切り替わった後に作られた、オープンソースの脆弱性スキャナ&セキュリティマネージャです。そして、Nessusの脆弱性スキャナーのオリジナルの開発者は、オリジナルのプロジェクトをフォークしてOpenVASを作ることを決めました。

以前のNessusに比べて設定が少し難しいですが、リモートホストのセキュリティを分析するために作業している間はかなり効果的です。

OpenVASに含まれる主なツールはOpenVAS Scannerで、ターゲットマシン上ですべてのネットワーク脆弱性テストを実行する、非常に効率的なエージェントです。

一方、もう一つのメインコンポーネントはOpenVAS Managerと呼ばれるもので、基本的には脆弱性管理ソリューションで、スキャンしたデータをSQLiteデータベースに保存することができ、スキャン結果を簡単に検索、フィルタリング、並べ替えることができます。

18. Fierce

Fierceは、PERLで書かれたIPとDNSの照合ツールで、ITセキュリティの専門家がドメイン名に関連するターゲットIPを見つけるのに役立つことで有名です。

これは元々、RSnakeが古いhttp://ha.ckers.org/ の他のメンバーと一緒に書いたものです。主にローカルおよびリモートの企業ネットワークを対象に使用されています。

対象となるネットワークを定義すると、選択されたドメインに対して複数のスキャンを実行し、設定ミスのあるネットワークや、個人情報や貴重なデータを流出させる可能性のある脆弱なポイントを見つけ出そうとします。

結果は、Nessus、Nikto、Unicornscanなどの同様のツールでスキャンを実行した場合よりも少し多めの数分以内に用意されます。

Fierce

19. Unicornscan

Unicornscanは、セキュリティ研究のためのトップレベルの情報収集ツールの一つです。また、効率性、柔軟性、拡張性を同時に実現することを目指した相関エンジンを内蔵しています。

主な機能は以下の通りです。

  • TCP/IPデバイス/ネットワークのフルスキャン
  • 非同期のステートレスTCPスキャン(すべてのTCPフラグのバリエーションを含む)。
  • 非同期のTCPバナー検出
  • UDPプロトコルスキャン
  • A/P OSの識別
  • アプリケーションおよびコンポーネントの検出
  • SQLリレーショナル出力のサポート

20. Foca

FOCA(Fingerprinting Organizations with Collected Archives)は、ElevenPaths社が開発したツールで、遠隔地にあるウェブサーバーやその隠れた情報をスキャン、分析、抽出、分類することができます。

Focaは、MS Officeスイート、OpenOffice、PDF、Adobe InDesign、SVG、GIFなどのファイルを分析し、貴重なデータを収集する機能を持っています。また、このセキュリティツールは、Google、Bing、DuckDuckGoなどの検索エンジンとも積極的に連携し、これらのファイルから追加のデータを収集します。すべてのファイルリストを入手すると、ファイルからより価値のあるデータを特定するために情報の抽出を開始します。

21. ZoomEye

サイバーセキュリティの世界では、私たち研究者は、ShodanやCensysといった人気のIoT検索エンジンに慣れています。しかし、しばらく前から、新しい強力なIoT検索エンジンが急速に支持を集めています。ZoomEyeのことです。

ZoomEyeは、中国のIoT OSINT検索エンジンで、ユーザーは公開されているデバイスやウェブサービスから公開データを取得することができます。データベースを構築するためにWmapとXmapを使用し、発見されたすべての情報に対して広範なフィンガープリントを実行し、最終的にフィルターをかけてキュレーションし、簡単に視覚化できるようにしてユーザーに提供します。

ZoomEyeではどのような情報が得られるのでしょうか?

  • ネットワークやホストと相互作用するIP
  • リモートサーバのオープンポート
  • ホストされているウェブサイトの総数
  • 発見されたデバイスの総数
  • 異なるデバイスにアクセスしているユーザーのインタラクティブマップ
  • 脆弱性レポート

他にもいろいろあります。公開版では多くのデータにアクセスすることができますが、実際にどのようなことができるのかを確認したい場合は、無料のアカウントにサインアップすることをお勧めします。そうすれば、このOSINTツールの真の力を試すことができるでしょう。

22. Spyse

Spyseは、誰もが世界中のあらゆるウェブサイトに関する重要な情報をつかむことができる、もう一つのOSINT検索エンジンです。端的に言えば、Spyseは、レッドチームやブルーチームが偵察の過程で有用な情報を得るためのインフォセックのクローラーです。

そのデータベースは最大級のものです。Spyseのユーザーは、以下のような多様なデータにアクセスできます。

  • IPアドレス(3.6B IPv4ホスト
  • DNSレコード (2.2B)
  • ドメイン名 (1.2B)
  • ASN (68K)
  • 脆弱性 (141K)
  • 関連するドメイン
  • SSL/TLSデータ (29M)

あらゆるターゲットに関する最も重要なOSINTを入手できる集中型のウェブサイトを探しているのであれば、多くの現代のインフォセックチームによれば、Spyseはトップの選択肢の一つであるようだ。

23. IVRE

この情報セキュリティツールは見落とされがちですが、情報セキュリティの発見と分析のプロセスを向上させる大きな可能性を秘めています。IVREは、Nmap、Masscan、ZDNS、ZGrab2などの人気プロジェクトをベースに開発されたオープンソースのツールです。

このフレームワークでは、これらの一般的なツールを使用して、あらゆるホストのネットワーク・インテリジェンスを収集し、MongoDBデータベースを使用してデータを保存します。

Webベースのインターフェースを採用しているため、インフォセックの初心者から上級者まで、以下の操作を簡単に行うことができます。

  • フロー解析によるパッシブな偵察(Zeek、Argus、nfdumpから
  • ZmapやNmapを使った能動的な偵察
  • フィンガープリント分析
  • Masscan/Nmapなど、他のサードパーティ製インフォセックアプリからのデータ取り込み

IVREは、公式のGithubリポジトリや、Kali Linuxリポジトリなどのサードパーティのリポジトリからソースを取得してインストールすることができます。

24. Metagoofil

Metagoofilは、情報セキュリティの研究者、IT管理者、レッドチームが、以下のような様々なタイプのファイルからメタデータを抽出するのを助けることを目的とした、もう一つの素晴らしいインテル・リコネッサンス・ツールです。

  • doc
  • docx
  • pdf
  • xls
  • xlsx
  • ppt
  • pptx

どのように機能しますか?このアプリは、Googleなどの検索エンジンで、この種のファイルに焦点を当てたディープサーチを行います。そのようなファイルを検出すると、ローカルストレージにダウンロードして、貴重なデータをすべて抽出します。

抽出が完了すると、ユーザー名、ソフトウェアのバナー、アプリのバージョン、ホスト名などが記載された完全なレポートが表示され、偵察段階での貴重な資料となります。

また、Metagoofilには、検索するファイルの種類の絞り込み、検索結果の絞り込み、出力の微調整など、便利な機能が多数用意されています。

25. Exiftool

OSINTツールの多くは、PDF、.DOC、HTML、.SQLなどの公開ファイルにあるデータに焦点を当てていますが、画像、ビデオ、オーディオファイルから重要なオープンソースインテリジェンスデータを抽出するために特別に設計されたツールもあります。

Exiftoolは、以下の種類のファイルからメタデータの読み取り、書き込み、抽出を行います。

また、以下のような様々なカメラのネイティブファイルにも対応しています。Canon、Casio、FujiFilm、Kodak、Sonyなど、さまざまなカメラのネイティブファイルにも対応しています。また、Linux、Windows、MacOSなど、複数のプラットフォームで利用できるのも便利です。

世の中にはたくさんの偵察・情報収集ツールがあります。この記事では、最も人気のあるOSINTツールを20個だけ紹介しましたが、他にもまだまだ発見があります。他の有用な情報セキュリティツールを調べてみましょう。

[Kali Linux] Fierce ~ドメイン名に関連付けられたIPの探索~


Fierceは、PERLで記述されたIPおよびDNS偵察ツールであり、IT部門の専門家がドメイン名に関連付けられたターゲットIPを見つけるのを支援することで有名です。

これは元々、古いhttp://ha.ckers.org/の他のメンバーと一緒にRSnakeによって書かれました。これは主に、ローカルおよびリモートの企業ネットワークを対象として使用されます。

ターゲットネットワークを定義すると、選択したドメインに対して複数のスキャンが開始され、誤って構成されたネットワークと、後でプライベートで貴重なデータが漏洩する可能性のある脆弱なポイントを見つけようとします。

結果は数分以内に準備が整います。これは、Nessus、Nikto、Unicornscanなどの同様のツールを使用して他のスキャンを実行する場合よりも少し長くなります。


 2cx.netの検索例

# fierce --domain 2cx.net
NS: ns1.digitalocean.com. ns2.digitalocean.com. ns3.digitalocean.com.
SOA: ns1.digitalocean.com. (173.245.58.51)
Zone: failure
Wildcard: failure
Found: dns.2cx.net. (193.148.70.119)




内閣府職員等が利用する「ファイル共有ストレージ」に対する不正アクセスについて(転載)


内閣府職員等が利用する「ファイル共有ストレージ」に対する不正アクセスについて - 内閣府 cao.go.jp/others/csi/sec…: 内閣府職員等が利用する「ファイル共有ストレージ」に対する不正アクセスについて - 内閣府
cao.go.jp/others/csi/sec…


【参考】

Ubiquiti社、「壊滅的な」データ侵害を軽視したとの報道で株価下落 / Ubiquiti Shares Fall After Reportedly Downplaying 'Catastrophic' Data Breach(転載)~正確性を欠いたインシデント公表を行った際の株価への影響は20%程度か!?~


Ubiquiti Shares Fall After Reportedly Downplaying 'Catastrophic' Data Breach:

ニューヨークを拠点とするIoTデバイスメーカーのUbiquitiは、軽視されていたデータ侵害を公表しました。大惨事となったデータ侵害のニュースを受けて、同社の株価は大幅に下落しました。

今年1月、Ubiquiti社は顧客に対し、正体不明のサードパーティのクラウドプロバイダーがホストする特定のITシステムへの不正アクセスが発見されたことを通知しました。同社は当時、ユーザーデータが漏洩したという証拠は見つかっていないとしながらも、その可能性を否定できないとして、顧客にパスワードの変更を勧めていました。

Ubiquiti がセキュリティ侵害を公表したとき、同社の株式への影響はわずかで、その後、同社の株式の価値は驚異的に上昇し、1 月 12 日の 1 株あたりおよそ 250 ドルから 3 月 30 日の 1 株あたり 350 ドルまで上昇しました。しかし、セキュリティ侵害が顧客や投資家に信じさせていたよりも大きかったかもしれないというニュースを受けて、ユビキティの株価は本稿執筆時点で290ドルまで下がっています。

3月30日(火)、サイバーセキュリティ・ブロガーのブライアン・クレブス氏は、Ubiquiti社が同社の株式市場価値への影響を軽減するために、実際には「壊滅的」であった事件を「大々的に軽視」していたことを、侵害への対応に関わった人物から聞いたと報告しました。

クレブス氏の情報源によると、侵入者はUbiquiti社のAWSサーバーへのアクセス権を取得した後、ハッキングについて口止めするために同社から50ビットコイン(約300万円相当)を脅し取ろうとしました。情報源によると、「侵入者は、Ubiquitiの従業員のLastPassアカウントから特権的な認証情報を取得し、すべてのS3データバケット、すべてのアプリケーションログ、すべてのデータベース、すべてのユーザーデータベースの認証情報、シングルサインオン(SSO)クッキーの偽造に必要な秘密を含む、UbiquitiのすべてのAWSアカウントへのルート管理者アクセスを得た」とのことです。このハッカーは、リモート認証によってUbiquitiのクラウドベースのデバイスにアクセスしていたとされています。

Ubiquiti社は、クレブス氏の報告を受けて水曜日に声明を発表し、法執行機関による調査が進行中であるため、これ以上のコメントはできないと述べました。"この事件を受けて、当社は外部の事件対応専門家を活用し、攻撃者が当社のシステムから締め出されたことを確認するために徹底的な調査を行いました。"これらの専門家は、顧客情報がアクセスされたという証拠はなく、標的にされたという証拠もないことを確認しました。この攻撃者は、盗んだソースコードと特定のIT認証情報を公開すると脅迫し、当社を恐喝しようとして失敗しましたが、顧客情報にアクセスしたとは言っていません。このことと他の証拠から、今回の事件に関連して顧客情報が標的になったり、アクセスされたりしたことはないと考えています」と述べています。 

少なくとも2つの法律事務所が、ユビキティ社が連邦証券法に違反したかどうかを調査しており、同社の投資家に連絡を取るよう呼びかけている。

モルソン・クアーズ社、「サイバー攻撃事件」で1億4千万ドルの損害を被る可能性 / Molson Coors "Cyberattack Incident" Could Cost Company $140 Million(転載)~ランサム被害154億円!?~


Molson Coors "Cyberattack Incident" Could Cost Company $140 Million:

モルソン・カナディアン、クアーズライト、ミラーライト、カーリング、ブルームーン、クアーズバンケットなど、米国で人気のあるビールブランドの製造会社は、サイバー攻撃が醸造所の運営、生産、出荷などのビジネスに深刻な影響を与えることを公表しています。

酒造大手のモルソン・クアーズ社は、この破壊的なサイバー攻撃により、同社の醸造所の機能に大きな障害が発生し、約1億4,000万ドルの損害が発生すると述べています。さらに、同社は正常化に向けて努力しており、生産と出荷はまだ通常の操業レベルに達していないと付け加えました。

"3月26日に発表された声明では、「モルソン・クアーズ社のチームの多大な努力と、主要なフォレンジック情報技術企業およびその他のアドバイザーの支援により、このような進展があったにもかかわらず、当社は、英国、カナダ、米国における醸造所の操業、生産、出荷を含む事業において、いくつかの遅延や混乱を経験し、現在も継続しています。

同社は、「サイバーセキュリティインシデント」と呼ばれる事態の原因については報道しませんでしたが、マルウェアやランサムウェアによる攻撃が相次ぎ、世界中の企業に大きな影響を与えている中での発生です。最近のサイバー攻撃は、医療機関、コンピュータ生産者-エイサー、IoTプロバイダーのシエラ・ワイヤレス、その他様々な大手企業に影響を与えました。

同社は、今回のサイバー攻撃が第1四半期の事業に影響を与え、結果として2021年の収益にも影響を与えるとしていますが、予想される費用については具体的な数字を公表していません。しかし、通常の収益を得るためには、懸命に努力し、待つ必要があると考えています。

同社によると、"サイバーセキュリティ事件とテキサス州で発生した2月の冬の嵐により、2021年第1四半期から2021年度末までの間に、生産量および出荷量が180万~200万ヘクトリットルシフトし、また、2021年第1四半期から2021年度末までの間に、基礎的なEBITDAが1億2,000万~1億4,000万ドルシフトする "としています。

また、同社はサイバー攻撃事件に関する技術データをまだ公開していませんが、様々な専門家がランサムウェア関連のサイバー犯罪ではないかと推測しています。

"当社は法執行機関に通報し、その調査に協力しています。また、関連するすべての保険会社にも通知し、協力しています」との声明を発表した。

[Kali Linux] dnsmap - DNS Network Mapper ~特定ドメインのサブドメインを探るツール~


 dnsmapは、2006年にリリースされた書籍「Stealing the Network - How to 0wn the Box」に掲載されているPaul Craig氏の小説「The Thief No One Saw」にヒントを得て開発されました。

dnsmapは、主にペンテスターが、インフラのセキュリティ評価の情報収集/列挙の段階で使用することを目的としている。列挙の段階では、セキュリティ・コンサルタントは通常、ターゲット企業のIPネットブロック、ドメイン名、電話番号などを発見します。

サブドメインのブルートフォースは、ゾーン転送などの他のドメイン列挙のテクニックがうまくいかないときに特に有効なので、列挙の段階で使うべきテクニックのひとつです(ちなみに、最近はゾーン転送が公に認められているのをほとんど見たことがありません)。


2cx.netのサブドメイン検索例
# dnsmap 2cx.net
dnsmap 0.35 - DNS Network Mapper

[+] searching (sub)domains for nidec.com using built-in wordlist
[+] using maximum random delay of 10 millisecond(s) between requests

www.2cx.net
IP address #1: 59.152.32.200
IP address #2: 59.152.32.100

[+] 1 (sub)domains and 2 IP address(es) found
[+] completion time: 220 second(s)

クラウド製品・サービスのセキュリティ確保に役立つCISの新しいAWSベンチマーク / New CIS AWS Benchmarks Help Secure Cloud Products and Services(転載)

New CIS AWS Benchmarks Help Secure Cloud Products and Services

アマゾン ウェブ サービス(AWS)は、新しいクラウド製品やサービスの拡大を続けています。Center for Internet Security(CIS)は、これらの機能をAWSクラウドで安全に利用するためのリソースを提供しています。The Beginner's Guide to Secure Cloud Configurations in AWSでは、ユーザーがAWSクラウドのアカウント、製品、サービスなどを保護する方法を説明しています。

CIS AWS Benchmarksコミュニティからの新しいガイダンス

CISは、AWSクラウドのガイダンスを拡大するために、ボランティアのネットワークに呼びかけました。この取り組みにより、AWSクラウド製品およびサービスに特化したCISベンチマークが生まれました。

CISは、そのリソースを磨き、すべてのユニークなサービスに対してCISベンチマークを作成しませんでした。その代わりに、CISはAWSに倣って、サービスをクラウド製品ごとに分類しました。AWSは数十種類の製品を提供しており、提供する機能に基づいてクラウドサービスを分類しています。

AWS共有クラウドのセキュリティ責任を理解する

セキュリティとコンプライアンスは、AWSとお客様の間で共有される責任です。この共有モデルである「AWS Shared Responsibility Model」は、お客様の運用負担を軽減することができます。AWSは、ホストOSや仮想化レイヤーから、サービスが稼働する施設の物理的なセキュリティに至るまで、コンポーネントの運用、管理、制御を行います。AWSは、AWSクラウドで提供されるすべてのサービスを稼働させるインフラの保護に責任を負っています。このインフラストラクチャは、AWSクラウドサービスを実行するハードウェア、ソフトウェア、ネットワーク、および設備で構成されます。お客様は、ゲストのオペレーティングシステム(アップデートやセキュリティパッチを含む)、その他の関連するアプリケーションソフトウェア、およびAWSが提供するセキュリティグループのファイアウォールの設定について責任と管理を負います。

CIS AWS Cloud Benchmarksの3つのレベル

このガイドでは、クラウドに適用されるCIS AWS Benchmarkの3つのカテゴリーを紹介しています。

  1. CIS AWS Foundations Benchmark
  2. CIS End User Compute Services Benchmark
  3. CIS Amazon Elastic Kubernetes Service (EKS) Benchmarks

各ベンチマークのレベルは、CIS AWS Foundations Benchmarkから始まり、CIS Hardened Imagesによる仮想マシンのセキュリティ確保に至るまで、追加のセキュリティレイヤーを提供します。


  1. CIS AWS Foundations Benchmarkは、AWSクラウドを安全に構成するためのアカウントレベルのスタートポイントを提供します。これらのリソースは、アイデンティティとアクセス管理、ログと監視、ネットワークなどをカバーしています。AWSの基礎ガイダンスを無料でダウンロードできます。

  2. Cloud Product-Level CIS Benchmarksは、製品とサービスの構成に関するガイダンスを提供し、コンピュート、データベース、ストレージ、コンテナなどの分野を含みます。これらのCISベンチマークにより、ユーザは適用可能なクラウドサービスを選択し、環境に応じて構成することができます。製品レベルのCISベンチマークは、クラウド・アカウント内で使用されるクラウド・サービスに組み込まれた追加のセキュリティ・レイヤーを提供することで、「CIS基盤ベンチマーク」を補完します。最初のリリースは、「CIS AWS End User Compute Services Benchmark」です。

  3. Standalone Cloud Service CIS Benchmarksは、より広範な設定ガイダンスを必要とするAWSサービスに特有のものです。このような場合、製品レベルのCISベンチマークには、サービスに関するセクションがあり、そのサービスのスタンドアロンCISベンチマークを指し示します。

CIS AWS End User Compute and Kubernetes Benchmarks

クラウド製品レベルのCISベンチマークの最初のリリースは、「CIS AWS End User Compute Services Benchmark」です。これには、Amazon WorkSpaces、Amazon WorkDocs、Amazon AppStream 2.0、およびAmazon WorkLinkの構成推奨事項が含まれています。ユーザーは、該当するサービスを選択し、自分の環境で稼働しているものに合わせて構成することができます。


場合によっては、サービスに必要な設定により、1つのクラウドサービスに特化したCISベンチマークが必要となることがあります。このシナリオでは、製品レベルのCISベンチマークにはクラウドサービスのセクションが含まれますが、サービスについては別のCISベンチマークを指します。独立したクラウドサービスのCISベンチマークの例として、CIS Amazon Elastic Kubernetes Service (EKS) Benchmarksがあります。


CIS Hardened Imagesによるセキュアなコンフィギュレーション

仮想イメージとは、物理的なコンピューターと同じ機能を提供する仮想マシン(VM)のスナップショットです。仮想イメージはクラウド上に存在し、ユーザーはローカルのハードウェアおよびソフトウェアに投資することなく、日常的なコンピューティング操作をコスト効率よく行うことができます。

ハードニングとは、システムをサイバー攻撃に対して脆弱にする潜在的な弱点を制限するプロセスです。標準的なイメージよりも安全性が高いハードニングされた仮想イメージは、システムの脆弱性を低減し、マルウェア、不十分な認証、遠隔地からの侵入などから保護します。


セキュアに事前設定されたCIS Hardened Imagesは、組織がクラウド上のオペレーティングシステムを保護するのに役立ちます。CIS Hardened Imagesは、CIS Benchmarksの要件を満たしており、AWS Marketplaceで入手できます。

クラウドセキュリティの追加レイヤー

CISは、AWSと直接連携して、使用頻度の高いクラウド製品やサービスを特定しています。そして、その情報を将来のCIS AWSベンチマークの開発計画に反映させています。

全てのCIS AWSベンチマークの推奨事項は、他のガイドラインや追加リソースを参照しています。これらのクラウドガイドにより、CISは、CISベンチマークとAWSのドキュメントの関係を示しています。その意図は、セキュリティおよびその他の面でAWSから利用可能なガイダンスをユーザに知らせることである。この文書は、ユーザが、サービスを実行する際にAWSが持つ責任、およびAWSが支援する責任を認識するのに役立ちます。

クラウドの急速な拡大に伴い、今後も多くの製品やサービスが登場することが予想されます。CISは、AWSと緊密に連携し、開発の先陣を切っています。そうすることで、タイムリーで効果的なガイダンスを世界中のユーザーコミュニティに無償で提供していきたいと考えています。

HIS、「タイランドエリートプログラム」の販売開始 外国人長期滞在プログラム、最長20年滞在可(転載)

main.jpg


HIS、「タイランドエリートプログラム」の販売開始 外国人長期滞在プログラム、最長20年滞在可:

エイチ・アイ・エス(HIS)は、タイ国政府観光庁傘下の国営企業であるタイランド・プリビレッジ・カードと、「タイランドエリートプログラム」の正規販売代理店契約を締結し、販売を開始した。

タイランドエリートプログラムは、2003年にタイの法律に基づき開始した外国人長期滞在プログラムで、一定の審査を経て会員になることで、会員期間に応じてマルチプルビザを最短5年から最長20年まで受給でき、期間中は何度でも自由に入出国ができる。長期滞在だけでなく、専用カウンターでのスムーズなVIP入国審査、銀行口座開設や運転免許の取得のサポート、空港リムジン送迎、スパやゴルフ施設の利用などができる。

7種類のプログラムを用意しており、最も費用が安い、5年間有効の「エリート イージー アクセス(EEA)」は、入会金600,000バーツ、年会費なし。最も1年あたりの費用を抑えられる、20年有効の「エリート スペリオリティ エクステンション(ESE)」は、入会金1,000,000バーツ、年会費なし。収入要件なはく、原則的に2ヶ月〜3ヶ月程度で承認される。

旅行会社で、正規販売代理店契約を締結したのは初めて。タイ国内のほか、世界64ヶ国のネットワークを通じて販売する。

アラスカ航空(AS)の新しい機内安全ビデオ。JAL(JL)の社長も登場 / AMAZING: Airlines Safety Dance Gets A Oneworld Twist(転載)



AMAZING: Alaska Airlines Safety Dance Gets A Oneworld Twist:

この嬉しさは言葉では言い表せないほどです...。

そもそもアラスカ航空のセーフティダンスが好きだったので...。

2020年12月、私たちはアラスカ航空のセーフティダンスを初めて見ることができました。


とても愛らしくて、キャッチーで、素晴らしくて、楽しいですね。さらに気に入ったのは、このビデオには本物のアラスカ航空の社員が出演しており、3日間かけて格納庫で撮影されました。自宅で練習した後、8時間のドレスリハーサルを経て、2日間の撮影が行われました。


...何と、ワンワールドバージョンもある!

アラスカ航空がワンワールドに加盟したことで、ワンワールド加盟航空会社の幹部と現場の社員が参加する「グローバル」なセーフティダンスが新設されました。


このビデオにはたくさんの魅力があり、最高の笑顔を見せてくれると同時に、海外旅行が果てしなく恋しくなるような気持ちにさせてくれます。ワンワールドCEOのロブ・ガーニー氏、アメリカン航空社長のロバート・アイソム氏、ブリティッシュ・エアウェイズ、キャセイパシフィック航空、フィジー航空、日本航空、マレーシア航空、カタール航空、S7航空、スリランカ航空の社員の皆さん、私はこのビデオを見ずにはいられませんでした。とてもいいですね。このビデオをより良いものにするためには、カタール航空のCEOであるアクバル・アル・ベイカー氏が参加してくれれば、素晴らしいダンスを披露してくれると思います。

アラスカ航空がワンワールド・アライアンスに加盟したことで、新たに「グローバル」な安全ダンスが登場しました。参加してくださった皆さん、この必要なエンターテイメントを、すべて素晴らしいメッセージとともに提供してくださり、ありがとうございました。

BazarCallマルウェアは悪質なコールセンターを利用して被害者を感染させる / BazarCall malware uses malicious call centers to infect victims(転載)


BazarCall malware uses malicious call centers to infect victims:

この2ヶ月間、セキュリティ研究者たちは、コールセンターを利用して最も被害の大きいWindows用マルウェアを配布する新しい「BazarCall」マルウェアとのオンラインバトルを繰り広げてきました。

この新しいマルウェアは、1月下旬にコールセンターで配布されていることが発見され、脅威の行為者が当初BazarLoaderマルウェアのインストールに使用していたことから、BazarCall(バザーコール)と名付けられました。

現在は他のマルウェアも配布されていますが、研究者は引き続き配布キャンペーンをBazarCallとしています。

多くのマルウェアキャンペーンと同様に、BazarCallは、フィッシングメールから始まりますが、そこから、マルウェアをインストールする悪意のあるExcelドキュメントを配布するために、電話によるコールセンターを利用するという、斬新な配布方法に逸脱しています。

BazarCallのメールは、添付ファイルをメールに添付するのではなく、ユーザーに電話番号に連絡して、自動的に課金される前に購読をキャンセルするよう促します。そして、これらのコールセンターは、特別に作成されたウェブサイトにユーザーを誘導し、BazarCallのマルウェアをインストールする「解約フォーム」をダウンロードさせます。

フィッシングメールからコールセンターまで

BazarCallの攻撃は、企業ユーザーを対象とした、受信者の無料トライアルがもうすぐ終了するという内容のフィッシングメールから始まります。しかし、これらのメールには、疑わしい購読に関する詳細は一切記載されていません。

そして、以下のBazarCallフィッシングメールの例のように、更新のために69.99ドルから89.99ドルを請求される前に、記載されている電話番号に連絡して購読をキャンセルするようユーザーに促します。


BleepingComputerが確認したメールの大部分は、「Medical reminder service, Inc.」という名前の架空の会社からのものですが、「iMed Service, Inc.」、「Blue Cart Service, Inc.」、「iMers, Inc.」など、他の偽の会社名を使ったメールもあります。 

これらのメールは、いずれも "Thank you for using your free trial "や "Your free trial period is almost over!"などの類似した件名を使用しています。セキュリティ研究者のExecuteMalwareは、この攻撃で使用される電子メールの件名のより広範なリストをまとめています。

受信者が記載された電話番号に電話をかけると、短い保留状態になり、その後、生身の人間が出てきます。さらに詳しい情報や解約方法を尋ねられると、コールセンターの担当者は、メールに同封されていた固有の顧客IDを被害者に尋ねます。

Binary Defense社のThreat Hunting & Counterintelligence部門の副社長であるRandy Pargman氏は、BleepingComputerに対し、この固有の顧客IDは攻撃の中核をなすものであり、コールセンターが電話をかけてきた人が標的となる被害者であるかどうかを判断するために使用されると述べています。

"彼らは、電話で有効な顧客番号を伝えると、そのメールを受け取った会社を特定することができます。しかし、間違った番号を伝えた場合、彼らはあなたの注文をキャンセルしたと言うだけで、ウェブサイトに送ることなく、すべてがうまくいくでしょう」と、Pargman氏はBazarCallに関する会話の中でBleepingComputerに語った。

正しい顧客IDが伝えられれば、コールセンターのエージェントは、関連する医療サービス会社のふりをした偽のウェブサイトにユーザーを誘導する。電話担当者は被害者との電話に留まり、以下のように顧客IDを入力するよう促される解約ページに誘導する。


ユーザーがお客様ID番号を入力すると、ウェブサイトは自動的にExcelドキュメント(xlsまたはxlsb)をダウンロードするようブラウザに促します。その後、コールセンターのエージェントは、被害者がファイルを開き、「コンテンツを有効にする」ボタンをクリックして悪意のあるマクロを有効にするよう支援します。

Pargmanが実施したいくつかの通話では、悪意のある文書が検出されないようにウイルス対策を無効にするよう、脅威のある人物から指示されました。


Excelのマクロを有効にすると、BazarCallマルウェアがダウンロードされ、被害者のコンピュータ上で実行されます。

BazarCallキャンペーンが始まった当初は、BazarLoaderマルウェアの配布に使用されていましたが、TrickBot、IcedID、Gozi IFSBなどのマルウェアの配布も始まっています。

これらのWindowsに感染したマルウェアは、感染した企業ネットワークへのリモートアクセスを可能にするため、特に危険です。このようなマルウェアに感染した脅威者は、ネットワーク内を横方向に拡散し、データの窃取やランサムウェアの展開を行います。

脅威者は、BazarLoaderやTrickbotを使用して、RyukやContiといったランサムウェアを展開します。また、IcedIDは過去に、今は亡きMazeやEgregorといったランサムウェアの展開に使用されていました。

セキュリティ研究者のブラッド・ダンカンは、脅威企業のコールセンターに電話をかけ、無防備な被害者に悪意のある文書を配布する様子を説明した動画を公開しています。


Distribution-as-a-Serviceによる展開

BazarLoaderとTrickBot感染症は、同じ「TrickBot」というハッキンググループが作成したものと考えられますが、その他の配布されている感染症は、これらの脅威アクターとは関係ありません。

このことから、パーグマンはBleepingComputerに対し、別の脅威アクターグループがコールセンターを運営し、Distribution-as-a-Serviceとして配布を貸し出していると考えていると述べています。

"私の考えでは、これはサービスとしてのディストロであり、UNC1878はおそらく彼らの顧客であると思います」とPergman氏は説明しています。

この考えは、Cryptolaemus社のセキュリティ研究者であるJoseph Roosen氏も同様で、彼はBleepingComputerに対し、この配信サービスは一般企業と同じように運営されており、月曜日から金曜日までの厳格な営業時間を守っていると述べています。

BleepingComputerでは、過去4日間に渡ってコールセンターに連絡を取ろうと試みましたが、脅威の担い手が使用するインフラが常に変化しているため、成功しませんでした。

Pargman、Roosen、Duncan、CyjaxのWilliam Thomas、TheAnalyst、ExecuteMalwareなどの研究者やその他多くの研究者の努力により、配信サービスは、研究者に取り込まれるたびに、電話番号やホスティングサイトを常に変更することを余儀なくされています。

残念ながら、サイバーセキュリティコミュニティが総力を挙げて取り組んだとしても、この配布方法は非常に成功しています。

このような配布方法のため、マルウェアサンプルは、一般に配布されておらず、アンチウイルスベンダーによって検出されていないため、VirusTotalでの検出率が非常に低くなっています。

さらに、BleepingComputerが確認したメールによると、解約が必要な正規の契約であると信じて、この詐欺に引っかかっている人がいるようです。

大分『韓国苑』でバイトテロ!ソフトクリームを直接口に入れ炎上!(転載)


大分県内の焼き肉チェーン店『韓国苑』の従業員が不適切な動画をアップし話題になっています。

過去にも『バイトテロ』は世間を騒がしましたよね。

韓国苑では、厨房のソフトクリーム機から直接口にアイスを入れて遊ぶ従業員が炎上!

コロナで衛生管理が問われる時に、信じられない映像が出回ったようです。


大分県内の焼き肉チェーン店として知られる『韓国苑』の別府店が問題の店舗のようです。

そこで働く従業員とみられる若者が、ソフトクリームを機械から直接口に入れて遊ぶ様子を映した動画をTIKTOKにアップ。

これが、SNSを通して瞬く間に広がり、不適切だと大炎上を起こしました。

『スイパラ(スイーツパラダイス)』だと比喩し、厨房のアイスや生クリームを直接口に入れて遊んでいたようです。

コロナ禍で感染対策が騒がれている飲食店において、このような動画は不快にもなるし同じチェーンの他のお店にも行きたくなくなりますよね。

この炎上を受けて、『韓国苑』を運営する大心産業は謝罪文をホームページに掲載。


従業員の4人は全員20代の若者で、懲戒解雇したうえで厳粛な対応を進めると述べました。

OSINT道場の紹介 / Becoming an OSINT Shogun – introducing Sinwindie and the OSINT Dojo(転載)

Becoming an OSINT Shogun – introducing Sinwindie and the OSINT Dojo

今回は、オンラインOSINTコミュニティで最も多くの貢献をしているエキスパートであり、公認サイバー犯罪捜査官であり、元インターポールのアナリストであり、OSINT道場の運営者でもある、唯一無二の存在、Sinwindie氏を紹介したいと思います。

OSINTのゲーミフィケーションが、新人アナリストの参加と協力を促し、皆さんのOSINTの旅の成長を楽しみにしています。

ではまず最初に、あなたの経歴と、なぜOSINTコミュニティに関わっているのかを教えてください。

皆さん、こんにちは。

ご質問にお答えしますと、私の学部の学位は、貴重なスキルを教えてくれましたが、私がキャリアとしてやりたいことではありませんでした。

私は、学校に戻って情報分析を中心とした修士課程に進むことにしました。最初の仕事は「オールソース」、つまりOSINTや他の-INTから情報を得て、それらを合成して情報製品を作るというものでした。

その後、法執行機関での諜報活動に従事するようになり、帰属情報を得るためのOSINTを専門に扱うようになりました。OSINT、そして一般的なインテリジェンスは、私にとって常に「追跡」を目的としています。自分の仕事が、他人に危害を加えている人物の特定や居場所の発見に貢献したという実感を味わうことができます。

また、OSINTは公共部門以外の多くのキャリアに応用できるスキルなので、他の人が学ぶのを助け、共有するという側面も楽しんでいます。OSINTは、公共部門以外でも多くのキャリアに応用できるスキルですからね。

OSINT Dojoについて教えてください。それが何であるかだけでなく、このアイデアの背後にある動機についても教えてください。どのように機能するのか、なぜ人々は参加すべきなのか?

この道場のアイデアは、"OSINTを始めるにはどうしたらいいですか?""OSINTの仕事に就くには何が必要ですか?"など、同じ質問のバリエーションを定期的に受けていた数ヶ月後に思いついたものです。

私は、新しいアナリストが仕事を始められるように、非常に緩やかなロードマップを作成することにしました。このロードマップのステップをゲーム化することで、ユーザーに次のレベルへの挑戦を促し、その過程で自分の仕事を共有してもらいたいと考えました。

ここでの考え方は、OSINT道場のいくつかのステージを完了するまでに、記事やビデオの小さなポートフォリオと、OSINTアナリストとしてのスキルを示すいくつかの実践的なOSINTの経験を持つべきだということです。

さらに、デジタルバッジを自慢したくない人はいないでしょう。 最後に、新しく始める人にお勧めのリソースや、一般的な学習曲線などを紹介します。常に基本的なことから始めましょう。ツールが使えなくなっても、方法論があれば、たとえ手作業であっても正しい方向に進むことができます。

情報サイクルは、新しいユーザーが最初に熟知すべきことの一つであり、基本的な文書作成と時間管理のスキルはその次です。OSINTは、単にすべての情報を収集するだけではなく、情報を統合して簡潔に伝える能力も必要です。

私はいつも、公開されている過去のインテリジェンスレポートを見て、最終的な製品のイメージをつかむことをお勧めしています。

OSINT Dojoは設立何年目ですか?

OSINT道場が正式にオープンしたのは2020年11月20日ですから、今はちょうど4ヶ月くらいですね。

OSINT Dojoのコミュニティには何人のアクティブな参加者がいますか?DiscordやTwitterなど、どこで見つけるのがベストでしょうか?

これは良い質問ですが、私自身もよく分かっていません。当サイトではトラッキングクッキーなどを利用していませんので、どれくらいの訪問者があるのかはわかりません。

現時点では、少なくとも1つのバッジを獲得したユーザーが9人おり、2つ以上のバッジを獲得したユーザーも数人います。とはいえ、ウィークリーチャレンジなどに参加しているユーザーの中には、最初のバッジ獲得に向けて積極的に取り組んでいる人や、バッジ自体には興味がなくても参加している人もたくさんいます。

どこで彼らを見つけるかについては、本当に様々です。OSINT道場はプラットフォームに依存しないため、Discord、Slack、Twitter、Youtubeなど、あらゆるプラットフォームの他のコミュニティでユーザーを見つけることができます。私たちの使命は、OSINTアナリストのための中央プラットフォームを提供することではなく、代わりに、彼らがすでに属しているコミュニティでの共有とコラボレーションを奨励するための報酬システムを提供することです。

OSINT道場がどのように人々を助け、可能にし、力を与えたのか、これまでの成功例はありますか?

私に声をかけてくれた人たちの逸話をいくつか紹介します。

私のところには、ユーザーからの一般的なメッセージがたくさん届いています。これらの情報やリソースは、新しいスキルやテクニックを学ぶのに役立ち、感謝の意を表しています。

また、チャレンジをしたり、資料集を見たりして学んだスキルを現在の仕事に活かし、上司や同僚から褒められたり、注目されたりしたというメッセージをいただいたこともあります。

私が本当に喜ぶのは、Dojoで制作した作品をポートフォリオとして応募して就職できた学生からのメッセージを受け取ることです。

OSINT道場は、ランクとバッジが命です。ランクアップすると、デジタルバッジや証明書、あるいはその両方がもらえるのでしょうか?

ランクアップしたユーザーや、OSINT道場のTryHackMeルームなどの特別なチャレンジを達成したユーザーには、達成したことを示すデジタルバッジが贈られます。

現時点では、証明書を発行する予定はありませんが、将来的にはそのような選択肢を検討しないわけではありません。

ランク構成と各ランクの条件はこちらでご確認ください。

OSINT道場のトップランクになった人はいますか?

まだです。現在、最高ランクのユーザーはRoninレベルにいます。駆け足にならないように、それぞれのレベルに最低限度の時間を設けています。

学生から将軍になるまでには、最低でも13ヶ月の期間が必要です。私たちが大切にしているのは、「目的地」ではなく「旅」です。

OSINT Dojo構想の今後の予定を教えてください。

今、私たちは、OSINTの基本的なテクニックやツール、方法論をカバーする短いビデオをYouTubeにアップしようとしています。

私は視覚的に学ぶタイプなので、昔から学習用のビデオが好きなんです。また、まもなく公開される最初のTryHackMeルームには、完了した人にはデジタルバッジも付いてきます。

興味に応じて、今後も難易度の異なるOSINTルームを増やしていくかもしれません。


あなたがここにいる間に、どのようなOSINTリソースやツールをお勧めしますか?また、初心者だけでなく、すでにOSINTに携わっている人にもお勧めですか?

効果的な仕事をするためには、私たちは常に学び続ける必要があります。私がキャリア初期に多用したツールやテクニックの中には、もう何年も前に枯れてしまったものもあります。

OSINTやSOCMINTの世界は動きが速いので、ツールやプラットフォームに関わらず、すべての卵を一つのカゴに入れないようにしてください。もし気に入ったツールがあったとしても、それを深く理解し、どのように機能するのか、あるいは再現できるかどうかを確認してください。

ツールがどのように機能するのかを知っておくことは、元のツールが撤去されたり、故障したりして複製が必要になった場合に非常に重要です。

PS. Sinwindieは、OSINTツールや学習教材について語るとき、控えめになりすぎていました。彼のOSINT道場には、それらの素晴らしいリストがあります。

ダークウェブ検索エンジンのリスト:まずTORブラウザをダウンロードする必要があります。 / Dark Web Search Engines You should download the TOR Browser first before you can access sites hosted on the TOR network.(転載)~ダークウェブへのアクセスは自己責任で!~


Dark Web Search Engines You should download the TOR Browser first before you can access sites hosted on the TOR network. https://osint.link/#dark #darkweb #OSINT #searching(バックアップ)

Dark Web Search Engines
You should download the TOR Browser first before you can access sites hosted on the TOR network.
https://osint.link/#dark
#darkweb #OSINT #searching