2021年末のマイル棚卸と振り返り

2021年も今日で終わり。

ということで、マイルの整理をしてみる。

【2021/12/31時点のJALマイル状況】

JALマイレージバンク:101,493マイル

 ※有効期限:3年

 ※22年のGWに向けて特典航空券を発行したため、若干減少

モッピー:47,191ポイント(≒23,500マイル)

 ※2ポイント⇒1マイル換算

 ※有効期限:最後にポイント獲得した日から180日

永久不滅ポイント:10,827ポイント(≒27,067マイル)

 ※有効期限:無し

 ※200永久不滅ポイント⇒JAL500マイル

JREポイント:16,777ポイント(≒11,000マイル)

 ※有効期限:ポイントの最終獲得日or最終利用日から2年後の月末

 ※JRE1500ポイント⇒JAL1000マイル

Pontaポイント:35,757ポイント(≒17,878マイル)

 ※有効期限:最終のポイント加算日から12か月後の月末

マリオットポイント:59,300ポイント(≒19,700マイル)

 ※有効期限:ポイントの最終獲得日から2年後

 ※マリオット3ポイント⇒JAL1マイル

WILLsCoin:129,450(≒25,890マイル)

 ※有効期限:ポイントの最終獲得日or最終利用日から1年後

 ※WILLsCoin500ポイント⇒JAL100マイル

スマプロポイント:1905ポイント(≒762マイル)

 ※有効期限:ポイント付与月の翌々年度3月末

 ※100スマプロポイント=JAL40マイル

りそなポイント:568ポイント(≒284マイル)

 ※有効期限:ポイント加算期間の2年後のお誕生月の月末

 ※100りそなポイント=JAL50マイル


■計:227,574マイル


約1年前のマイル総数が208,642マイルなので、ほとんど増えていないように見えるが、特典航空券の発券で80,000マイルほど使っているため、10万マイルくらい増えている計算になる。

武漢ウイルスの影響で2年くらい海外に行けていないが、今年は幸か不幸か、来年のGWに向けて発券したエジプト行きの特典航空券(120,000マイル相当)が欠航によるイレギュラーでキャンセル扱いとなり、マイルが有効期限が延長されて戻ってきた。今年の10月から順次有効期限が切れるマイルだったため、これは助かった。

↓幻となった旅程


そこでエジプトをあきらめ、スリランカに目標を定めて改めて特典航空券を発券(80,000マイル相当)。こちらはまだ結構の連絡はないため、武漢ウイルスが落ち着いて帰国後隔離がなくなれば行ける見込み。

去年は本厄で武漢ウイルスの流行やら休職やら、厄年の名に恥じないすごい年だったが、無事生き抜くことができた。

今年は後厄で、某省庁での検診で尿糖が見つかりって精密検査を受けたり(食生活を見直して自炊を取り入れることにより体重を減量して尿糖は沈静化)、脳ドッグを受けたら頭蓋内動脈狭窄症の疑いがでて総合病院で精密検査したり(狭窄自体はもとからで脳内血流に問題はなく経過観察)、婚活で同棲の一歩手前まで進んだものの、性格に難あり(思ったことを言わないと気が済まない、マウンティング傾向)で両親からファインセーブががかかったり、それなりの厄に見舞われながらも、今のところ大事には至らずにこれている。

後半からは上述のマイルの有効期限延長に成功したり、第九のコンサートチケットが当選したり、FIREの考え方に出会えたり、好転の兆しもなくはない。

人生生きていればきっといいことがある。来年も全力で生き延びよう!

有終の美


HONDA:

HONDAがF1最終戦で、ポールポジションからフェルスタッペンが出走、スタートでハミルトンに抜かれるも、最終周で抜き返して優勝。今期ドライバー部門での総合優勝、実に1991年のセナの優勝以来、30年ぶりの王座奪還となりました。しかしこれでHONDAはF1から撤退します。

HONDAカッコいいな。セナが総合優勝した時、本田宗一郎さんとタキシードで泣きながら抱き合った映像を良く覚えています。

ヨーロッパが本場のF1で、日本のメーカーとブラジル人のドライバーで勝った。本当に嬉しかったのでしょう。あの時と今では時代があまりにも違いますが、やはりHONDAの姿には憧れます。

新聞広告もカッコ良かったな。

私はビジネス書は一切読みませんが、本田宗一郎さんの話だけは好きです。特に井深大さんとのやりとりが中心の「わが友 本田宗一郎」に出てくる本田さんの話はどれも傑作で、いくつも私の基本的な考え方の礎となっています。有終の美を飾るとはまさにこの通り。これからも様々な形での活躍を期待したいと思います。

ラクダ(転載)~多様性の理解のためにも旅に出たい~


ラクダ:

サウジアラビアには、アブドルアジズ国王キャメル・フェスティバルなる美ラクダコンテストがあるそうで、今年で6年目。総額75億円程度(!)の賞金を掛けて多くのブリーダーが美ラクダを持ち込んで競ったのだそうです。しかしボトックス注射やシリコン注入などの美容整形が横行し、失格者が多く出たとのこと。これらの不正を見付けるためには、X線や音波探知機を使ったラクダ身体検査をするのだそうです。

うーーーむ!所変われば品変わる。文化の違いというか、何に情熱、エネルギー、お金を掛けるかは、本当に国によって違うことを思い知らされます。でもこういうのって面白いですよね。価値観の違いは、実際に目の当たりに見たり触れてみないと知ることが出来ないし、理解することは到底無理でしょう。行ってみたいな、そのコンテスト。そういう異体験をすることで、多様性というものを理解していけるのだと思います。

国際的な人流の減少は、異なる価値観の相互理解を阻害し、延いては不要な国際緊張のもとになる気もします。早く旅行が再開するといいですね!

第九 2021

 

とある抽選で第九のコンサートチケットが当選し、サントリーホールまで行ってきた。

年末になると第九が良く流れるイメージがあるが、これは日本独自の文化って聞いたことがある。

日本独自の文化というとハンコやPPAPを連想してしまう・・・。

抽選で当たるようなチケットなので大したことないと思っていたのだが、えらく高額なチケットが届いたので、少々びっくり。

武漢ウイルスの影響で応募者自体が少なかったのだろうか?

有難いことです。


会場はサントリーホール。写真を撮った後「撮影禁止」の放送が流れるので、写真は開始前のこの1枚のみ。


開演前に周りを見渡す限り、ほとんど満席な感じでした。

生でほぼ1時間たっぷり第九を楽しませていただき、感謝です。

ちょうどこの日、12月の株主優待でけっこうな損害が出たので、それを帳消しにしてくれるくらい良い思い出になりました。

そういえば、大阪では1万人の第九とかやっているんだよな。

今日のコンサートでは60人くらいの合唱だったけど、1万人だとすごいんだろうな。

幸福度を上げるために行なうべき、たった1つの習慣(転載)

幸福度を上げるために行なうべき、たった1つの習慣

あらゆる習慣のなかで一番健康的で、人生を肯定し、明るい気分にしてくれるものについて考えてみましょう。

それは、自分の恵まれている点を意識し、感謝するという習慣です。

「感謝する習慣」の効用

感謝する習慣を身につけた人は健康で幸せな傾向にあることが、研究により判明しています。

こうした人はストレスレベルが低く、うつの症状も軽減されるほか、逆境にもうまく対応し、良い睡眠が取れているといいます。

つまり、幸せで人生への満足度が高い人が多いのです。さらに、こうした人のパートナーも、2人の関係に満足していると回答する人が多いようです。

おそらくこれは、私たちが人生で喜びを覚える良い事柄に目を向けることで、生きがいも増え、自分自身や大切な相手を思いやれるようになる、ということなのでしょう。

ある研究では、被験者を2つのグループに分け、過去1週間について、片方のグループには「いらだちを覚えたこと」、もう片方のグループには「ありがたく思ったこと」を記入するよう依頼しました。

すると、良かったことを記入するよう指示された人のほうがより楽観的で、自分の人生に満足しており、医師の診察を受ける回数も少ない、という結果が出ました。

感謝の言葉をかけられた人が、幸せな気分になるのは意外ではありません。

しかし、実はそれだけではなく、感謝をする側の人にもプラスの効果があることがわかっています。

被験者に依頼して、感謝の気持ちを表すメモを書き、相手に届けてもらうという実験では、被験者が自己申告した幸福度が大幅に上昇するという結果が出ました。

しかもこの効果は、丸々1カ月続いたとのことです。

哲学にみる、感謝が重要な理由

西洋史に残る偉大な思想家の1人、古代ギリシャの哲学者アリストテレスは「人間は習慣的な行動によって形づくられる」と説きました。であれば、習慣を変えることで、感謝の念が強い人間へと生まれ変わることもできるはずです。

うまくいかなかったことや、未来の暗い見通しについてしつこく考えることに日々を費やしていては、惨めで憤りに満ちた人間になってしまいます。

逆に、考え方次第では、ありがたく思うべきことを探し、認め、祝福するような人に自分を変えていくことも可能なわけです。

しかしこれは、誰もがポリアンナ(常に楽観的な、児童小説シリーズの主人公)のようになるべきだ、ということではありません。

ヴォルテールの小説『カンディード』に出てくる格言「可能ななかで最善なこの世界においては、あらゆる物事は最善だ」と唱えてばかりいるわけにはいきません。

この世界には、正すべき不正義や、癒すべき傷が存在します。これらを無視することは、道徳的な責任に欠ける姿勢と言えるでしょう。

しかし、この世界にまだ改善の余地があるからと言って、すでに存在する多くの良いことに目をつぶる理由にはなりません。

不完全な部分にばかり注目していたら、思いやりの心や寛大な気持ちを持つこともできないでしょう?

古代ローマの偉大な政治家キケロが、感謝とは、人の最大の美徳であるだけでなく、すべての美徳の「生みの親だ」と述べたのも、人の心のこうした動きがあるからだと考えられます。

各宗教に見る「感謝」の重要性

感謝の念は、多くの宗教の伝統に深く組み込まれています。

ユダヤ教で唱えられる朝の祈りは、「私はあなたに感謝します」という意味のフレーズで始まります。

さらに「豊かな者とは誰か?」という問いかけへの答えは、「自らが持つものを喜ぶ者」だとされています。キリスト教徒の視点から見ても、感謝の念や、感謝を捧げる祈りはきわめて大切な要素です。

イエス・キリストは、使徒たちと最後の晩餐を共にする前に、感謝の祈りを捧げています。イギリスの作家で評論家のG・K・チェスタトンが、感謝の念を「思考の最高形態」呼んだのも、キリスト教徒にとって感謝がとても重要なものであることの現れでしょう。

イスラム教でも、感謝の念は極めて重要な役割を帯びています。

コーランの第55章には、人間が感謝しなければならない物事が列挙されています。太陽、月、雲、雨、空気、草、動物、植物、川、海を挙げたのち、コーランはこう問いかけます。「賢明な者であれば、神に感謝以外の念を抱くことがあろうか?」と。

他の伝統的宗教も、感謝の大切さを強調しています。ヒンズー教の祭りは、自らの幸運を祝い、神に感謝を捧げる意味を持ちます。

仏教でも、感謝は忍耐の心を育て、人をむしばむ「いくら手にしても満足できない」という感情、すなわち強欲への解毒剤として働くと説かれています。

苦難のなかでも人を支える感謝の念

作家で、デューク大学の英文学部教授でもあったレイノルズ・プライス氏は、1994年に発表した著書『A Whole New Life』のなかで、自身を半身不随に追い込んだ脊髄腫瘍との闘いを描きながら、闘病生活のなかで、生きることの真の意味を大いに学んだと綴っています。

プライス氏は、手術のあとに覚えた「驚くほどの無上の喜び」について記しています。

時間の経過とともに、腫瘍とその治療によって、生活が多くの意味で味気ないものになっていくなかでも、プライス氏は、自分を取り巻く世界と、そこにいる人々に、さらに目を向けるようになっていきました。

プライス氏は、自らの文体の変化についても考察し、自身の著書が、若いころに書いた本とはさまざまな意味で違ってきたことに触れました。

手書きの文字でさえ、「(腫瘍の)診断を受けた当時のものは、とても小さく見える。ちょうど、自身の人としての度量と同様に」と、同氏は書いています。

人は、死と隣り合わせの体験を経て、これまで気づかなかったことに目を開かされることがあります。

死の淵から生還した人は、1日1日の貴重さに改めて感謝の思いを深めたり、人生で本当に大事なことがはっきりとわかるようになったり、人生を楽しむことの大切さを改めて知ったりするものです。

簡単に言えば、今まで以上に物事に感謝し、生を実感するようになるわけです。

感謝を習慣化するには

感謝を習慣化する際に、避けたい罠の1つが、幸せの基準を他者との比較に置く考え方です。

つまり、「自分はあの人より裕福だ」とか、「あの人よりマシだ」と考えたりすることです。

こうした思考法は、妬みや嫉妬心のもとになると私は考えています。

私たち誰もが平等に与えられている、素晴らしい要素はいくつもあります。

私たちみんなを照らすのは同じ太陽ですし、誰でも、1日の始まりに与えられる時間は24時間と決まっています。

そして、私たち1人1人が、この世で最高に複雑で強力なリソースの1つである人間の脳を自由に使うことができます。

私たちの文化の大部分は、「足りないもの」に目を向ける態度を育むようにできている。私には、そう思えてなりません。

たとえば、大半の広告は、何かモノを買わないと幸せになれないという考えを私たちに植え付けようとしています。でも、自然の美しさや、人と交わす会話、愛など、人生で最高のものの大半は、お金では手に入らないものです。

感謝に満ちた人になるには、多くの方法があります。その1つが、定期的に感謝を口にする習慣を身につけることです。1日の始まり、食事の時や、1日の終わりなどが良いタイミングでしょう。

同様に、休暇の期間や、週、季節、1年の節目に感謝の念を示すのも良い方法です。感謝を示す祈りや瞑想、感謝を示す手紙を書く、「感謝日記」をつける、その時の状況に応じて意識的に良かったことを探す、といったやり方もあります。

私たちは、感謝の念を生き方のなかに取り込んでいくことができます。 自分が恵まれている点を数えてみる、というシンプルな習慣を身につけるだけでも、幸せを実感する度合いを高めることができるのです。

【バイトテロ】居酒屋バイトが泡を舐めたビールピッチャーを提供

 



InoreaderでTelegramチャンネルの取り込みが可能に! / Turn every public Telegram Channel into a Feed(転載)


Turn every public Telegram Channel into a Feed

Telegramを知っていますか?ご存知でない方のために説明しますと、Telegramは安全なメッセージングでますます多くのユーザーを魅了しているインスタントメッセージングシステムです。2021年12月現在、全世界で5億5,000万人以上のユーザーが利用しており、メッセージングや放送機能の強化に取り組んでいます。読者へのサービスとしてTelegramを追加するパブリッシャーも増えており、ニュースやトレンドの主要な場として着実に定着しています。   

Inoreaderの機能にTelegramチャンネルが追加されますので、ご安心ください。Inoreaderでは、チャンネルを発見してフォローし、フィードにすることができます。新しい投稿をフォルダやタグで整理したり、注釈をつけたり、共有したり、必要なことは何でもできるのです。

InoreaderでTelegramチャンネルをフォローすることは、Inoreader PROをご利用の方であれば可能です。無料トライアルを開始すれば、すぐに試すことができます(クレジットカードは必要ありません)。

Telegramチャンネルとは?

テレグラムのチャンネルは放送ツールであり、ブランドやメディア、人々が大勢の聴衆に向けて公開メッセージを送ることができます。テレグラムはメッセージング・プラットフォームなので、メッセージはターゲットとなる視聴者に直接届き、投稿ごとに通知が送られます。

Telegramチャンネルは、メディア機関や公人、インフルエンサー、クリエイター、トレーダーなどが、読者や有権者、ファンと連絡を取り合うという一つの目的のために利用しています。

ご注意ください。テレグラムチャンネルは、テレグラムグループとは異なります。見た目はよく似ていますが、いくつかの大きな違いがあります。チャンネル内のすべての投稿には、チャンネルの名前と写真が表示され、投稿した人の資格情報は表示されません。チャンネルは放送のためのツールであり、グループは議論、交流、コラボレーションのためのツールです。

なぜTelegram Channelsをフォローする必要があるのですか?

ある話題やテーマを注意深くモニターしたい場合、それを成功させるための適切なソースを見つける必要があります。Telegramはトレンドのメッセージングプラットフォームであり、そのチャンネル機能は一部のアーリーアダプターのグループ内で急速に成長しています-暗号やNFTのコミュニティを例にとることができます。 

重要なトレンドやイベントを見逃さないためには、適切なチャンネルを見つける必要があります。 

私たちは、2021年にRedditで何が起こったかを知っています。これは、Meme Stockマニアが始まったプラットフォームであり、主流メディアに情報が登場する前に、何が巨大な株価変動を誘発しているのか、ほとんどの人が気づいていませんでした。ここでMeme Stock Revoltの話に戻ることができます。(Inoreader PROでは、Redditのフォーラムをフォローすることができます)。

Inoreaderを使えば、すべてのTelegramチャンネルを簡単にフィードにして、自分のモニタリングに取り入れることができます。

TelegramチャンネルをInoreaderのフィードにするには?

Inoreaderは、Telegramチャンネルをフィードに変換し、フォルダ、タグ、ルールに追加することができます。操作はとても簡単です。

  • サイドバーの「新規作成」メニューから
  • 検索ボックスから

新しいメニューの追加:

  • サイドバーにある「フィードの追加」をクリックし、「Telegram Channel」を選択します。
  • 検索バーに、検索したい内容を入力してEnterキーを押します。
  • 検索結果を見て、選択したチャンネルの「Follow」ボタンをクリックします。

あるいは、Telegram Channelの正確なURLを検索バーに入れてEnterキーを押すこともできます。

検索ボックス:

チャンネルのURLをお持ちの方は、画面左上の「検索ボックス」に直接貼り付けることができます。URLを貼り付けてEnterキーを押すと、そのチャンネルがフィードに追加されます。

Inoreaderは、公開されているTelegramチャンネルのみをフィードに変換することができますので、ご注意ください。プライベートチャンネルやすべてのTelegramグループは、メッセージングプラットフォームの外でフォローすることはできません。

テレグラムをフィードにする準備はできていますか?Inoreader PROアカウントにログインして、新機能を試してみましょう。 

三菱電機は二段階認証を破られた(転載)~自社のセキュリティ対策を見せびらかすとこうなる!?~


三菱電機は二段階認証を破られた

三菱電機が2020年に入って2度目の不正アクセス被害の発表をしました。前回の発表は朝日新聞のスクープ記事から発覚しましたが、今回も朝日新聞のスクープ記事が出ていました。

 複数の関係者によれば16日夕方、同社が利用する外部クラウドサービスの監視システムが、通常とは異なる不審なアクセスを検知し、警告を発した。本社内でしかアクセスしないはずの管理者アカウントで、中国国内に割り当てられたIPアドレス(ネット上の住所)から接続があったためだ。

 同社は不正アクセスの発生と判断し、接続を遮断した。調査の結果、社内ネットワークの管理や保守を担当する従業員の管理台帳ファイルを盗み取ろうとしていた形跡が見つかった。

 接続元のIPアドレスを手掛かりに調べたところ、新たに2人の社員アカウントからの接続も見つかった。いずれもクラウドサービスの管理を任されている社員のものだった。ハッカーに社内情報が握られているのは確実だった。

(朝日新聞記事より引用)

プレスリリースアーカイブ

敬意を込めて最初に書いておくべきかと思います。朝日新聞のスクープです。

このスクープ記事の内容は、今回このインシデントを考える上で大変参考になったのですが、違う見方をすれば、この情報が出る事自体が三菱電機側の情報管理に対する脇の甘さを物語っています。

2020年11月19日19時40分には朝日新聞の記事が出ている事を考えると、三菱電機のCSIRTかITシステム関係者、又は事件詳細を11/19に報告を受けた警察庁かNISCに「関係者」なる情報リーク者がいる事になります。

三菱電機側がこの記事内容を外部にリークして良いのであれば、公式発表にもう少し情報を入れても良かったはずです。

※調査中という事もあるのかと思いますが、公式発表には大した事は書いてません

記事を読むと、三菱電機の今回の攻撃に対する防御は及第点以上だったと思います。

結果として8,635件の顧客情報が漏えいした事は問題ではありますが、多層防御を潜り抜けてくるAPT攻撃だった(と推測される)事を考えると、その程度の被害で(今回は)抑えられた事、つまり三菱電機の多層防御をむしろ賞賛すべきかと思います

昨日の各メディアの記事を読んでいると、その時点での開示情報が少なかった事も影響していそうですが、「マイクロソフト365」が不正アクセスを受けた部分について、IDとパスワードだけで管理していたのが問題という論調の記事がいくつかありました。

三菱電機、不正アクセスで取引先の口座情報8000件流出 :日本経済新聞 

しかし三菱電機側は実際は2段階認証を行っていた様です。

 三菱電機ではさらに厳重なセキュリティー対策を講じていた。マイクロソフト365の利用に必要なIDとパスワード認証に加え、社内ネットワーク内での本人認証システムをパスしなければ利用できない「2段階認証」を採り入れていた。

 ところがハッカーは、認証システムが発行する「電子チケット」を手に入れ、中国国内に割り当てられたIPアドレスから、やすやすと侵入してきた。入手経路は全く分かっていない

 (朝日新聞記事より引用)

2段階認証の”中身”実装方式にミスなどが気になりますが、三菱電機は内部からの特権IDのアクセスに関して一般的な対策はしていたのかと思います。

尚、2段階認証の”中身”は、記事には書かれてませんし、三菱電機の公表している資料には見つけられませんでした。

朝日新聞記事には「認証システムが発行する電子チケット」が窃取されたと書かれています。これが具体的に何を指すのかはよく分からないのですが、例えば認証済で一定期間有効なトークン(認証情報)が窃取されたと(も)読み取れます。

仮にこの解釈が正しいのだとすれば、管理者アカウント(特権ID)がマルウェア等で侵害を受けていた、あるいは電子チケット(認証情報)が安全に保管されてなかった、といった点を突かれた可能性を感じます。※根拠はありません。 

更に言えば、2段階認証ですので、管理者アカウント(特権ID)のIDとパスワードが漏えいしていた事になるのかと思いますが、機密性が高い管理者アカウント情報がどうやって漏えいしたのか、ここも分からない所です。

前回の2019年6月の中国ハッカー集団「BlackTech」の侵害があった際に、公式発表(アーカイブ)は漏えいした情報の中に記載が無かった様に思えますが、管理者アカウントの情報も同時に漏えいしていた事も考えられます。

※朝日新聞記事ではその可能性についても触れています。もう一度公式発表を読み直してみましたが、「等」位しか当該箇所に当たる部分を見出せませんでした。

2. 流出した可能性のある機密情報

企業機密 :技術資料・営業資料 

(前回の公式発表2020年1月20日より引用)

他に考えられる可能性は、パスワードの使い回しですが、1度侵害事件が発生して、内部でもセキュリティ意識が高まっている中で、特権ユーザーアカウントを持つ3人がそうしたミスを犯していたのかと考えれば・・・2段階認証を過信していた場合は別にして、可能性は低い気がします。

※この辺りは続報が出ないと分からない部分ではあります(※セキュリティを考慮して情報が出てこないかも知れませんが)が、APT攻撃だったのか単純なミスだったのかは気になる所です。 

今回の攻撃について、記事では防ぎづらい攻撃だったと分析しています。(記事を読む限り)認証情報を窃取した後の攻撃については、私も同感です。しかし認証情報の窃取(特に2段階認証部分や、社内IP接続情報)を考えると、現時点で痕跡が残ってないとしても、それは現時点で見つけられてないだけで、攻撃の発端部分についてはAPT攻撃だった気がします。

 同社は今回も、中国系ハッカーが関与したとの見方を強めている。ただ前回と異なるのは、ウイルスなど不正プログラムを使った痕跡がなく正規の利用者と同じ手順を踏んで接続していることだ。

 そこから異変をつかむことは容易ではない。ハッキングの痕跡が見つからない今回のサイバー攻撃について、NTTデータのセキュリティー専門家、新井悠さんは「利用者本人と見分けがつかず、攻撃者の特定も難しい。セキュリティー業界が最も危険視する、恐ろしい攻撃だ」と指摘する。

(朝日新聞記事より引用)

余談です。三菱電機はセキュリティ対策に自信があり、また他社にセキュリティ製品やサービスを販売している(宣伝)面もあるのかと思いますが、外部に情報を開示し過ぎだと思います。

※下記の情報が今回のインシデントに繋がったという根拠はありません

 例えば2017年のIT基盤導入の記事アーカイブでは、構成イメージから今回の侵入経路が(大まかに)予想できますし、

f:id:foxcafelate:20201121083135p:plain

 2018年の論文では、もう少し細かくその中身について書いています。

f:id:foxcafelate:20201121083428p:plainf:id:foxcafelate:20201121083453p:plain

f:id:foxcafelate:20201121083528p:plainf:id:foxcafelate:20201121083554p:plain

 いずれも公開情報です(ネット検索で普通に見つかります)。こうした優れたセキュリティ設計は、多くの顧客にとって参考になる部分が多いかと思います。

しかし、ハッカー(攻撃)側にとってもそれは同様です。

勿論、こうした公開資料に書いても良い程度の情報しか書かれてないのかと思いますし、多層防御の肝となる部分は隠しているのかとは思いますが、ATP攻撃を行う優れたハッカーであれば、こうした情報を元に、次の情報窃取を狙う(ラテラルムーブメントのヒントとする)事は十分可能かと思います。

情報を隠すのもセキュリティだと私は思います。

ー2021/12/28追記ー

三菱電機の流出可能性ファイル59件に安全保障関連情報 - 防衛省調査

2020年1月に明らかとなった三菱電機に対するサイバー攻撃で、防衛省は同社より流出した可能性がある一部データに安全保障へ影響を及ぼす可能性がある情報が含まれていたとの調査結果を取りまとめた。

事件の発覚を受けて、防衛関連の情報を含むファイル約2万件について調査を実施し、安全保障へ影響を及ぼすおそれがあるデータが59件あったことが判明したもの。

同省では今回の調査結果を受けて、適切な措置を講じたと説明。同社に対して情報の適切な取扱いを徹底するよう指示した。

同省では防衛産業におけるサイバーセキュリティ体制の強化に向けて、2021年度中に現行より厳格な「NIST SP800-171」と同程度の管理策を盛り込んだ基準の規則化を推進する。

また今回の調査結果を受けて、三菱電機では同省より貸与された注意情報3件が適切に管理できなかったとして注意を受けたことを明らかにした。同省の規則に従い、管理を徹底するとともに、引き続きセキュリティの強化に努めるとしている。

週刊OSINT 2021-46号 / WEEK IN OSINT #2021-46(転載)


WEEK IN OSINT #2021-46

今号も、いくつかの素晴らしいヒントとツールをご紹介します。

  • Quiztime Solution
  • Overload Search
  • Instagram Video Verification
  • Which Face Is Real?
  • Facebook Marketplace

記事: Quiztime Solution

Steven "Nixintel" Harrisさんが、またしてもクイズタイムの課題を見事に書き上げました。特定の飛行機の識別から、お別れツアーの情報を見つけ、最終的には写真が撮られた正確な場所を見つけました。スティーブンさんは、もう一つの素晴らしいテクニックを紹介してくれました。Google Earthのバーチャルツアーを使って、何十もの場所を素早く訪れ、一致する場所を見つけるのです。素晴らしい記事をありがとうございました。


ツール: Overload Search

Twitterアカウントのcyb_detectiveは、OSINTに関するツールやヒントを次々と投稿しています。先週、彼女はPartial Overloadの「Overload Search」という非常にクールな拡張機能についてツイートしていましたが、これはGoogleの検索クエリを構築するための小粋なツールです。必要なフィールドをすべて入力すると、あなた独自のカスタム検索がGoogleで実行されます。手作業でたくさんの検索をしている人にはあまり役に立たないかもしれませんが、調査の分野を始めたばかりの人には、とてもありがたいツールです。そのため、国コードは国際的なISOフォーマットを使用し、国の正式な英語名を試してみてください。


小技: Instagram Video Verification

Twitterユーザーのohshint_さんからの素晴らしいヒントです。インスタグラムで顔の動画を要求されて困っている人は、ちょっとした動画を作ることで簡単にシステムを騙すことができます。Sketchfabを開いて、携帯電話のカメラを起動して、撮影してみてください。


サイト: Which Face Is Real?

コンピューターで作られた顔を認識するスキルを練習するための、@digint31によるクールなヒントです。何を見るべきかを知っていればそれほど難しくはありませんが、少しでも苦労しているのであれば、ここでプレイすることをお勧めします。このゲームにまだ慣れていない方には、Nixintelのブログ記事をお勧めします。この記事では、このような写真の兆候をすべて説明しています。


小技: Facebook Marketplace

クレイグ・シルバーマンがFacebook Marketplacesを調査したところ、マーケットプレイスのアカウントに登録されているすべてのリスティングを見つけ出し、同時にFacebookアカウントが何年に作られたかを知ることができる素晴らしい方法を発見しました。オランダのFacebookアカウントでテストしてみたところ、確かに表示されました。ソースコードとブラウザに送られるトラフィックをざっと見ましたが、これはサーバーから送られるテキストのようで、完全な日付やタイムスタンプはどこにも見当たりませんでした。だから、これがすべてのようですが、これは非常に役立つヒントになりますよ。クレイグさん、教えてくれてありがとうございました このようなヒントをもっと知りたい方は、こちらの彼のニュースレターをご覧ください。

チチカカオンラインショップからのカード情報漏えい(転載)


【限定】チチカカオンラインショップからのカード情報漏えい:

衣料通販サイトに不正アクセス、クレカ情報流出の可能性 - ネクスG子会社

衣料や雑貨を扱う通信販売サイト「チチカカオンラインショップ」が不正アクセスを受け、顧客のクレジットカード情報が流出し、一部が不正に利用された可能性があることがわかった。

ネクスグループの子会社で同サイトを運営するチチカカによれば、脆弱性を突く不正アクセスにより、不正なファイルを設置されたり、決済アプリケーションが改ざんされたという。クレジットカード情報861件が外部に流出し、不正に利用された可能性がある。

対象となるのは、2021年9月29日から2021年10月29日までに同サイトで顧客861人が決済に利用したクレジットカード情報で、名義、番号、有効期限、セキュリティコードが含まれる。

2021年10月21日に顧客より身に覚えのない購入があったと連絡があり、同サイトでは2021年10月25日にクレジットカードによる決済を中止。同月28日に警察、個人情報保護委員会へ報告するとともに、同サイトのサービス提供を翌29日に一時停止した。

クレジットカード決済を停止した2021年10月25日以降、同社ではクレジットカード情報が流出した可能性はないと見ているが、クレジットカード会社などとの相談の上、対象期間をサイトを停止した2021年10月29日までとしたという。

外部事業者による調査は2021年11月26日に完了。対象となる顧客には、2021年12月23日よりメールで報告と謝罪を行っている。同サイトについては、脆弱性診断で指摘された内容を修正の上、クレジットカード以外での決済にて再開したという。

 プレスリリースアーカイブ

SuiSavon-首里石鹸-オンラインショップからのカード情報漏えい(転載)


【限定】SuiSavon-首里石鹸-オンラインショップからのカード情報漏えい:
美容グッズ通販サイトで顧客情報流出のおそれ - 店舗利用者にも影響

石けんや美容グッズを取り扱う通信販売サイト「SuiSavon―首里石鹸―オンラインショップ」が不正アクセスを受け、顧客情報が外部に流出した可能性があることがわかった。

同サイトを運営するコーカスによれば、第三者による不正アクセスがあり、決算アプリケーションを改ざんされたもの。

2020年12月24日から2021年3月11日までの間、同サイトで入力された最大1217人分のクレジットカード情報が外部に流出した可能性がある。クレジットカードの名義、番号、セキュリティコード、有効期限が含まれる。

また、対象期間中にスマートフォンより同サイトへログインした最大1万3037人分のログイン用メールアドレス、パスワード、生年月日についても流出した可能性があることが判明した。

会員システムは、オンラインショップと店舗で同様のものを利用しているため、対象期間中に店舗から新規会員登録を行った場合もメールアドレス、パスワード、生年月日を入力することとなり、外部に流出した可能性があるとしている。

プレスリリースアーカイブ

APEX、「WORLD CLASS」にJALら7社を認定 / THE WORLD CLASS 2022 AIRLINE AWARDS(転載)


APEX、「WORLD CLASS」にJALら7社を認定:

THE WORLD CLASS 2022 AIRLINE AWARDS

WORLD CLASSは、安全性、快適性、持続可能性、サービス、包括性の国際基準を満たしていることを意味します。

WORLD CLASSの受賞は、監査とお客様による評価によって決定されます。

業界の専門家による大規模な監査では、すべてのクラスで何度もフライトを行い、お客様の体験のあらゆる側面を評価します。

また、機内での体験に関する1年間のお客様の評価を分析し、監査データと組み合わせて、お客様の体験を完全に評価します。

WORLD CLASSは、3つの構成要素に分類された、お客様に関連する広範な次元で検討されます。

2022年ワールドクラス・アワード

※アルファベット順に表示

👑Emirates / エミレーツ航空


👑Japan Airlines / 日本航空 ※OneWorld


👑Royal Dutch Airlines / KLMオランダ航空 ※Skyteam


👑Qatar / カタール航空 ※OneWorld


👑SAUDIA / サウディア ※Skyteam


👑Singapore Airlines / シンガポール航空 ※Star Alliance


👑Turkish Airlines / ターキッシュ エアラインズ ※Star Alliance

OSINTコンテンツの最新情報を得る / Staying Up to Date with OSINT Content(転載)


Staying Up to Date with OSINT Content

オープンソースインテリジェンスは常に進化している分野なので、利用可能な新しい技術やツールについて常に最新の情報を得ることが重要です。OSINTが初めての方でも、この分野に長く携わっている方でも、オンラインで共有されているOSINTリソースの多さに圧倒されるのは当然のことです。

ここで重要なのは、OSINTはツールやリソースを集めて、いつか使うことを期待するものではないということです。OSINTの目的は、OSINTツールを効果的に使用し、批判的思考と分析スキルを用いて収集したデータに意味を持たせることにあります。オランダのOSINTガイによるブログ記事「OSINT as a mindset」では、サーチプランを持ち、方法論を重視することがなぜ重要なのかが説明されています。 https://medium.com/secjuice/osint-as-a-mindset-7d42ad72113d

では、この記事の本題に入りましょう。OSINTコンテンツの最新情報を得るには、いくつかの方法があります。ここではいくつかのアイデアをご紹介します。

  1. Twitterの検索バーを使います。OSINT(オープンソース・インテリジェンス)やSOCMINT(ソーシャルメディア・インテリジェンス)などのキーワードで検索します。また、プライバシーに関するコンテンツを探している場合は、OPSEC(オペレーショナル・セキュリティ)や、プライバシーやセキュリティという言葉を検索してみてください。これらのキーワードはすべて、OSINT関連のコンテンツの投稿に使われています。OSINTのようなキーワードで検索すると、OSINTの話題を定期的に投稿しているTwitterユーザーを見つけることができるので、次のヒントが役に立ちます。

  2. Tweetdeckを使ってダッシュボードを設定し、OSINTやSOCMINTなどのキーワードやハッシュタグをフォローしましょう。まだまだあります。フォローしたいアカウント(OSINTのコンテンツを定期的に投稿している人)を特定したら、そのアカウントをユーザーとして追加して、その人が発信するツイートをモニターできるようにします。Tweetdeckは、ユーザーやキーワードを監視・追跡するための簡単で無料のオプションです。

  3. 毎週月曜日の朝08:00 CESTに発行されるSector035Week in OSINTをお読みください。TwitterでSector035をフォローして最新情報を入手してください。似ているようで違うのが、Lorand Bodoが毎週OSINT、テロリズム、過激派に関するツイートを厳選して紹介しています。最新情報は、Lorandをフォローしてください。ツールが投稿されているのを見たら、そのツールがどのように機能するかを理解する最善の方法は、自分でテストしてツールやリソースを探索することだということを覚えておいてください。そのツールがあなたのOSINTの仕事に役立つかどうかを評価し、もしあなたが現在現場で働いていないのであれば、OSINT担当者がどのようにそれを応用できるかを考えてみてください。

  4. Start Meページは、OSINTツールのブックマークによく使われます。ツイッターでHatless1derとして活動しているGriffinは、OSINTに特化したStart Meページを開設している。https://start.me/p/DPYPMz/the-ultimate-osint-collection

    他のOSINT Start Meページを発見したい場合は、Google Dorkの「site:」を使用してください。

    Site:start.me “osint” 

    Site:start.me “socmint” 

    Site:start.me “opsec”

    Alternatively you can use the Google Dork “inurl:”

    inurl:start.me “osint”

    inurl:start.me “socmint”

    inurl:start.me “opsec”

    これにより、一般には知られていないOSINT、SOCMINT、OPSECのStart Meページを提供できることが多い。

  5. YouTubeは、OSINTのリソースやテクニックを無料で学べる良いリソースです。もしあなたが視覚的な学習者であれば、Benjamin StrickOSINT Dojoのチャンネルで、ステップバイステップで説明されている優れたOSINT技術があります。

  6. OSINT関連の最新のカンファレンスを探して、無料の講演がオンラインで公開されているかどうかを確認してください。例えば、最近のLayer 8カンファレンスの講演をチェックしてみましょう。https://www.youtube.com/c/Layer8Conference

  7. https://www.reddit.com/r/OSINT のようなフォーラムで他の人から学びましょう。OSINTについてもっと知りたい人や質問がある人は、定期的にこのサブレディットに投稿します。

  8. OSINT Curious Discordチャンネルに参加して、私たちに関わってください! https://discord.com/invite/FHagzwXqbT
この短いブログ記事が、最新のOSINTコンテンツをどこで見つけられるか、いくつかのアイデアを提供してくれることを願っています。オンラインでの情報の探し方は人それぞれですが、上述したように、ブログ記事を読んだり、YouTubeのビデオを見たり、自分で検索してコンテンツを探したりと、誰もが楽しめるものがあります。

情報セキュリティ体制の“格付け”、IT連が開始 初年度は42社が星獲得(転載)


情報セキュリティ体制の“格付け”、IT連が開始 初年度は42社が星獲得
 

日本のIT関連団体を束ねる日本IT団体連盟(以下、IT連)は、日経500種平均構成銘柄の企業を対象に、情報セキュリティへの取り組みや情報開示の体制について“格付け”する取り組みを始めた。初年度は500社中42社が「特に優良で他の模範となる」として星を獲得した。

調査期間は2021年7月~9月上旬。各社の有価証券報告書やコーポレートガバナンス報告書、企業Webサイト、ISMS認証、Pマークといった公開情報を参照した他、各社が公開していない情報セキュリティの取り組みを確認するアンケート調査も実施。これらを総合的に評価した。

業種別の傾向では、保険業6社中6社が「おおむね積極的な情報開示を行っていた」として1位に。次点は情報・通信業で「情報開示度合いにばらつきが大きい。通信は積極的である一方、情報(IT)には消極的な企業が複数社あった」としている。その他製品、電気・ガス業、卸売業もばらつきはあるものの「おおむね積極的な情報開示を行っている」という。

星を1つ得た企業は以下の42社。22年度以降は取り組みなどに応じ、星の数を複数に拡大していく計画という。

  • ANAホールディングス
  • JFEホールディングス
  • KDDI
  • SCSK
  • SOMPOホールディングス
  • T&Dホールディングス
  • TIS
  • Zホールディングス
  • アルプスアルパイン
  • エクシオグループ
  • エヌ・ティ・ティ・データ
  • オムロン
  • オリックス
  • キヤノンマーケティングジャパン
  • スカパーJSATホールディングス
  • セブン&アイホールディングス
  • セブン銀行
  • ソニーグループ
  • ソフトバンク
  • ソフトバンクグループ
  • トレンドマイクロ
  • ネットワンシステムズ
  • ベネッセホールディングス
  • リコー
  • 伊藤忠テクノソリューションズ
  • 関西電力
  • 九州電力
  • 三井住友フィナンシャルグループ
  • 三井物産
  • 三菱UFJフィナンシャル・グループ
  • 三菱電機
  • 双日
  • 大阪ガス
  • 大日本印刷
  • 凸版印刷
  • 日本ユニシス
  • 日本製鉄
  • 日本電気
  • 日本電信電話
  • 日立製作所
  • 富士フイルムホールディングス
  • 野村総合研究所

⽇本IT団体連盟サイバーインデックス企業調査2021アーカイブ

LOLBAS(Living Off The Land Binaries and Scripts)/環境寄生型攻撃とは?

Living-Off-the-Land Attacks
 

サイバーのトレンドは移り変わりやすいものですが、現在よく見られる手法の一つに「living-off-the-land」というバイナリの使用があります。living off the land」(LotL)という概念は、Derbycon 3.0(2013年)でChristopher CampbellとMatt Graeberが初めて紹介したもので、OSやユーザーから提供された、通常は正当な目的で使用されているが悪意のあるアクターにも悪用される可能性のあるバイナリを使用する際の攻撃者の行動を指します。これにより、攻撃者は、通常のネットワーク活動や通常の管理作業に紛れ込み、隠れた状態を維持することができ、その結果、赤旗を上げる可能性が低くなります。

LotLBinは、ファイルレス・マルウェアや正規のクラウド・サービスと組み合わせて、組織内で検知されない可能性を高めるために、通常は搾取後の攻撃フェーズで、さまざまな脅威アクターによって使用されていることに留意する必要があります。LotLは、DLLハイジャック、ペイロードの隠蔽、プロセスダンプ、ファイルのダウンロード、UACキーロギングの回避、コードのコンパイル、ログの回避、コードの実行、横方向への移動、持続などの機能を備えています。LotLBinsの概念は新しいものではない。初期のDOSバージョンやUnixシステムをはじめとするほとんどすべての従来型のオペレーティングシステムには、攻撃者が悪用できる実行ファイルが含まれていました。しかし、Windowsの場合、サイバー攻撃者が利用できるWindowsシステムツールが100種類以上存在します。

このブログシリーズでは、脅威となる人物がなぜLotLを使うのか、LotLの仕組みを確認し、実際のLotL攻撃の例を紹介します。また、一般的に使用されているいくつかの手法を検出し、防止するためのガイダンスを紹介します。

Why Attackers Live Off the Land

「living-off-the-land」という手法は、攻撃者にレーダーを掻い潜る機会を与えます。正当なツールであれば疑われることも少なく、ハッシュ値やIOC、シグネチャなど多くの検知方法を回避することができます。

LotL攻撃は非常に効果的です。Ponemon Instituteの「State of Endpoint Security Risk Report」によると、ファイルレス攻撃は、ファイルベース攻撃の約10倍の確率で成功するとのことです。

これらのツールは、通常、セキュリティオペレーションセンター(SOC)のルールからホワイトリストに登録されているため、これらのツールからの活動は無視されることが多いのです。Living off the land(LotL)とは、ランサムウェアのように、攻撃者がマルウェアの使用を攻撃の連鎖のかなり後の段階まで抑制し、被害者に対応する時間をほとんど、あるいは全く与えないという戦術です。

また、悪意のある活動を発見しても、その背後にいるのが誰なのかを調査員が判断しなければならないため、帰属の確認にはさらに時間がかかります。一般的に、サイバー攻撃グループは、使用するマルウェアによって識別されます。高度なサイバー犯罪グループや国家の支援を受けたハッカーは、カスタムメイドのマルウェアを使用することが多いため、特定の活動の背後にいるかどうかを簡単に識別することができます。しかし、LotLツールやカスタムされていないマルウェアを使用して攻撃が行われた場合、そのような活動の背後にいる可能性のある人物を特定することははるかに困難です。

これらの理由を総合すると、攻撃者にとって明らかにメリットがあるため、攻撃者はLotLツールを利用して活動を行うことが多くなっています。

Why is Popularity Continuing?

その証拠に、LotLのTTP(戦術、技術、手順)は、時間が経てば経つほど普及していきます。Crowdstrike社の「2019 Global Threat Report」では、攻撃の40%以上が、すでにインストールされているツールや機能を使って実行されていると指摘しています。

LotLのTTPは、MetaSploit、PowerSploit、Exploit Packなど、オープンソースで人気のあるハッキングフレームワークやツールの中で、ますますアクセスしやすくなっています。言うまでもなく、安価にレンタル・購入できるコモディティ・マルウェアには、販売時にすでにLotL機能が搭載されています。

最近まで、LOLの技術は、コンプロマイズ後の活動で使用されることがほとんどで、攻撃者はPowerShell、Windows Management Instrumentation(WMI)、CMD、Psxec.exeなどの正規の管理ツールを活用して、偵察や横移動を行っていました。しかし、ここ数年、LotLBinは、最初の侵害行為のペイロードの一部として、マルウェア作者の間で人気を博しています。

サイバー攻撃でLotLが使用されていることを検知・分析することは、もはや高度な脅威アクターグループや強固なマルウェアを示唆するものではありません。しかし、ほとんどの組織やセキュリティチームにとって、検知と緩和は依然として困難な状況にあります。

How Do LotL Attacks Work?

先に述べたように、LotLBinsの概念は新しいものではなく、Windowsに特有のものでもありません。ほとんどすべての従来のオペレーティングシステム(OS)には、攻撃者が悪用できる実行ファイルが含まれていますが、ここでは例示のためにWindows OSに焦点を当てて説明します。

LotLアタッカーは、たいてい4つのアプローチのうちの1つを使います。

  • Dual-use tools:ネットワークやシステムの管理に使用されるツールをハイジャックすることで、攻撃者はネットワークのトラバース、コマンドの実行、データの盗用、さらには追加プログラムやマルウェアのダウンロードが可能になります。例えば、ファイル転送プロトコル(FTP)クライアントや、他のシステム上でプロセスを実行するために使用されるMicrosoft SysinternalsのツールであるPsExecなどのシステム機能が挙げられます。

  • Fileless persistence:再起動後、ハードディスクに読み込まれていないにもかかわらず、悪意のある感染がシステムに残ってしまう攻撃のこと。これは通常、悪意のあるスクリプトをWindowsレジストリに保存することで行われます(VBS(Visual Basic Scripting)に関連する変更など)。

  • Memory-only threats:有害なペイロードがメモリ内で直接実行される。これは確立された攻撃形態である。2001年には、マイクロソフト社のウェブサーバー「IIS」の脆弱性を突いた「CODE-RED」というメモリ専用ワームが大量に感染しました。メモリのみを使用する方法では、デバイスのメモリに直接侵入することができ、再起動で除去することができますが、パッチが適用されていないコンピュータは常に再感染の危険にさらされています。

  • Non-Portable Executable (PE) file attacks:この方法では、悪意のある感染は、バイナリ実行ファイル(EXE)やダイナミックリンクライブラリ(DLL)を使用せずに、JavaScriptやPowerShellなどの領域に影響を与えます。移植可能な実行ファイルを使用しない攻撃は、JavaScript、PowerShell、マクロやスクリプトを含むMicrosoft Office文書などの領域に影響を与えます。悪意のある感染は、正規のツールの内部に留まります。

攻撃には、これらのカテゴリーのうち1つ以上の活動が含まれることがあり、これまでにいくつかの複合的な脅威が確認されています。

How to Protect Against Living-off-the-Land Attacks

Primary Defense Tactics

LotL攻撃に対する最初の防御策は、ネットワークへの不正なアクセスの可能性を制限することです。すべての VPN やリモートアクセスシステムにおいて、二要素認証と効果的なクレデンシャル管理を行うことが重要です。ユーザとマシンのアイデンティティを管理するための洗練されたアプローチは、悪意のあるアクターの攻撃経路を狭め、ネットワークにアクセスして横方向に移動することを困難にします。鍵や証明書を紛失したり侵害されたりした企業は、特にリスクが高いと言えます。盗まれた鍵やログイン証明書によって、攻撃者は通常は非公開で暗号化されている領域に最初にアクセスできるようになります。また、ID の作成と使用を分析・監視できるようになると、侵入者の行動が最初に発見される可能性が高くなります。(土地を離れて生活している攻撃者は、通常、攻撃を特定しにくい方法で行動することを忘れないでください)。

また、ツール間のデータ交換やネットワーク内のシステム機能が効果的に暗号化されていれば、万が一、攻撃者に気づかれずに侵入されたとしても、その被害を抑えることができます。攻撃者は、証明書の管理に役立つシステム機能も悪用しています。例えば、WindowsプログラムのCertUtil(証明書のダウンロードと更新に使用)は、攻撃者によって悪用されており、ユーザーに危険なファイルを開かせた後、悪意のあるペイロードを追加でダウンロードするために使用されています。

Additional Tips

  • ネットワーク内でのDual-use toolsの使用状況を監視する。
  • 必要に応じてアプリケーションホワイトリストを使用する。
  • 迷惑メール、予期せぬメール、不審なメールの受信に注意する。
  • Microsoft Officeの添付ファイルで、ユーザーにマクロを有効にするよう促すものに注意する。
  • セキュリティソフトウェアとオペレーティングシステムを常に最新の状態に保つ。
  • 2FAやログイン通知などの高度なアカウントセキュリティ機能がある場合は、それを有効にする。
  • すべてのアカウントに強力なパスワードを使用する。
  • 終了時には必ずセッションからログアウトする。

Taking a Parent-Child Perspective

親プロセスから生成された子プロセスに異常がある場合、悪意のある活動を示している可能性があるため、親子関係の観点から見ると、少し興味深いことになります。例えば、word.exeからpowershell.exeが生成された場合、スピアフィッシングの添付ファイルである可能性があります。親子関係を利用してLotL攻撃を検知する現在のソリューションには、ルールの記述やヒューリスティックな手法があります。これらの解決策はうまく機能しますが、時に厳格すぎたり緩すぎたりして、うまく一般化できません。また、ルールの作成には多大な労力が必要となります。

Search-and-Filter Approach

おそらく、より役立つ戦術は、SIEMを使用して、これらすべてのバイナリ、ライブラリ、スクリプト、コマンド、および操作を検索することです(あなたが持っているログによります)。検索を実行したら、以下に追加の手順を示します。

  • まず始めに、これらの検索では、管理者アカウントの動作が多く表示されます。これらのツールは、ネットワーク管理者やシステム管理者が日常的に使用しているものです。これらのユーザーのリストを作成し、検索対象から除外してください。

  • 次に、これらのイベントをユーザー名と数でグループ化して見てみましょう。これらのツールや機能が大量に定期的に使用されているアカウントは、調査する必要があります。この方法で、ほとんどの合法的な行動が判明したと満足できるまで作業を続けます。(期間は、お客様の環境の規模や複雑さによって異なります)。

  • そして、チューニングされたデータを2つの目的で使用することができます。まず、ログを定期的に調査して、知らないうちにこれらのイベントが急増しているアカウントがないかどうかを確認することができます。また、SIEMのルールを設定して、管理者以外のアカウントによるこれらのツールや機能の使用の急増を検出することもできます。

  • その後、すべてのバイナリ、ライブラリ、スクリプト、コマンド、および操作を含むルックアップテーブルまたはリファレンスセットを作成します。そして、あるアカウントが一定期間(推奨は24時間)にこれらを大量に使用し、かつ管理者アカウントではない場合、さらなる調査のために警告を発します。

Additional Resources

これらの攻撃者がどのようなツールや機能を使用しているかを知ることで、これらの攻撃からよりよく保護することができます。世の中には素晴らしいリソースがたくさんあります。その中でも特に役に立つものをいくつか紹介しましょう。

  • The LOLBAS Project
    このプロジェクトでは、Windows上でLotLテクニックに使用できるすべてのバイナリ、スクリプト、ライブラリをドキュメント化しています。詳細はこちらの Read Me をご覧ください。私たちにとってより重要なのは、次のステップで私たちが探す115のバイナリ、スクリプト、ライブラリをすべてリストアップしたLOLBASを見ることです。

  • GTFOBins
    LOLBASに触発されて、GTFOBinsはLOTL攻撃の一部として悪用される可能性のある188のUnixバイナリを文書化しています。サイトはこちら - GTFOBins.

  • JPCERT/CC
    JPCERT/CCは、多くの素晴らしいサイバーセキュリティのコンテンツをリリースしています。2016年に、彼らは攻撃者に悪用されるWindowsコマンドの投稿を公開しましたが、これは今でも当てはまります。これらを「初期調査」「偵察」「感染拡大」の3つのカテゴリーに分けています。ポストの全文はこちらでご覧ください。

  • Azure Sentinel Rare Operations
    Azure Sentinelの検出機能の1つは、少数のアカウント以外では発生しないはずだが、攻撃者にとっては便利な稀な操作を探すものです。探すべき操作と無視すべきアカウントについては、こちらの記事をご覧ください。

これらのバイナリ、ライブラリ、スクリプト、コマンド、操作は、LotL攻撃を検知してブロックするのに役立つ素晴らしいリソースとなります。

最終的には、ネットワークに侵入した攻撃者が利用できるツールやシステムなどのリソースには限りがあります。攻撃者がアクセスできる潜在的に有害な機能と、その機能を使ってできることを制限することで、LotL攻撃はより早く発見され、阻止されることが期待できます。この記事に興味を持っていただき、上記の防御策のいくつかを実践していただければ幸いです。