不動産区分投資における「DCR」と「K%」とは


 頂き物の本を読んでいたら、面白いものを見つけた。

日本でサラリーマンをしていると年収に応じた与信が付く。その与信を圧倒的大多数の人は自身の住宅ローンで浪費してしまうのだが、この与信は投資に振り向けることができる。

この与信枠を使った不動産投資ローンは、恐らく数少ない日本のサラリーマンの特権なのではなかろうか?

その与信を駆使して、複数の投資マンションローンを組むのだが、FIREするためには当然繰り上げ返済をしていく必要がある。

その際、どの物件から繰り上げ返済をしていくかを考える際に使える指標が「DCR」と「K%」ということになる。

■DCR:Debt Coverage Ratio / 債務改修比率

物件から得られる純収益を基に、投資用ローンの返済の安全性を測る指標

【計算式】

DCR = 年間純利益 ÷ 年間のローン返済額

DCRが1だと、賃料収入とローン返済が同額であることを意味する

一般的に1.2あるいは1.3以上が安全圏とされ、DCRの低い物件から優先して繰り上げ返済を進めることが望ましい。

【計算例】

・物件V:1,020,000円 ÷ 861,228円 =  1.18

・物件G:960,000円 ÷ 232,020円 = 4.13

・物件S:1,008,000円 ÷ 711,396円 =  1.41


■K%:ローン定数

ローン残高に対する年間返済額の割合を示す指標

【計算式】

K% = ローン年間返済額 ÷ ローン残高 x 100

K%の高い借り入れを優先して返済してくことが望ましい

【計算例】

・物件V: 861,228円 ÷ 17,779,303円 x 100 = 4.84

・物件G: 232,020円 ÷ 2,358,106円 x 100 = 9.83

・物件S: 711,396円 ÷ 15,290,530円 x 100 = 4.65


ナルホド。参考にさせていただこう。

CMS脆弱性スキャナ / CMS Vulnerability Scanners


CMS Vulnerability Scanners:

CMS(Content Management System)は、非常に人気があり、インストールも簡単で、ほとんどの管理者が一度設定すれば忘れてしまうものです。

一般的に、どんなソフトウェアでもそうであるように、人気のあるCMSにはかなり深刻な脆弱性が存在します。バグはかなり早くパッチが適用されます。責任ある企業や管理者は、早急にパッチをインストールします。知識のない人でも、人気のあるCMSをベースにウェブサイトを構築することができるため、ウェブ上には何百万ものCMSが存在しています。残念ながら、そのほとんどが更新されていない。また、各CMSにはテーマやアドオンをインストールする機能があり、これらもまた脆弱なものです。多くの場合、テーマやアドオンは、専門家によって開発されていない場合、数年後に放棄されます。

このおかげで、多くのサーバーと大量のデータにアクセスすることができます。個人のブログ、教育システム、大小のコミュニティ、中小企業だけでなく、残念ながら政府機関もです。政治団体や国家機関、医療機関がWordPressやJoomla、Drupalでウェブサイトを立ち上げ、サービスやサポートには目もくれず、スクリプトキディーのためにデータを流出させたことが何度あったことだろうか。

さて、WordPreses、Joomlas、Drupals、Moodles、その他CMS的なものはすべて古くて漏れがあることが分かっているので、それらを台無しにすることができます。それも、既成のスクリプトを使えば、大した知識もなく。

BurpOWASP ZAPを使うと必ず何か見つかることは知られていますが、弱点を見つけるのに役立つソリューションがすでにあります。それらをチェックしてみましょう。

■マルチスキャナー

オールインワンソリューション。人気のあるCMSは、まずここから始めるとよいでしょう。

Droopescan

主にDrupalやSilverstripeなどのCMSの問題を特定するために、セキュリティ研究者を支援するプラグインベースのスキャナです。

https://github.com/SamJoan/droopescan

指定されたCMSスキャン:

1
droopescan scan drupal -u example.org


自動検出:

1
droopescan scan -u example.org


リストによるスキャン:

1
droopescan scan -U list_of_urls.txt


CMSeeK

CMS検出およびエクスプロイトスイート - WordPress、Joomla、Drupal、その他180以上のCMSをスキャンします。

https://github.com/Tuhinshubhra/CMSeeK

使い方:

1
2
python3 cmseek.py (for guided scanning) OR
python3 cmseek.py [OPTIONS] <Target Specification>


CMSScan

CMSスキャナ。Wordpress、Drupal、Joomla、vBulletinのWebサイトをスキャンして、セキュリティ問題を解決します。これは、CMSセキュリティスキャンのための集中型セキュリティダッシュボードを使用しています。それはwpscan、droopescan、vbscanとjoomscanによって供給されています。

https://github.com/ajinabraham/CMSScan

Webインタフェースを実行:

1
./run.sh


■Wordpress

WordPressの脆弱性スキャナーの紹介

WPScan

WordPressセキュリティスキャナ。セキュリティ専門家やブログ管理者がWordPressウェブサイトのセキュリティをテストするために書かれたものです。

https://github.com/wpscanteam/wpscan

デフォルトスキャン:

1
wpscan --url example.com


WPScanの列挙機能を使用するには、-eオプションを指定します。

以下のようなオプションが存在します。

  • vp :脆弱なプラグイン
  • ap :すべてのプラグイン
  • p :人気のあるプラグイン
  • vt :脆弱なテーマ
  • at :すべてのテーマ
  • t :人気テーマ
  • tt :Timthumbs
  • cb :設定のバックアップ
  • dbe :Dbエクスポート
  • u :ユーザーIDの範囲。例:u1-5
  • m :メディアIDの範囲。例:m1-15

e フラグに何もオプションを指定しない場合、デフォルトは次のようになります: vp,vt,tt,cb,dbe,u,m

ブルートフォースアタック:

1
wpscan --url example.com -e u --passwords /path/to/password_file.txt


WPForce

WPForce は、Wordpress 攻撃ツールのスイートです。

https://github.com/n00py/WPForce

1
python wpforce.py -i usr.txt -w pass.txt -u "http://www.example.com"


Online Scanners

他に、下記のような無料のオンラインWordPressスキャナーもあります。


■Joomla

Joomlaの脆弱性スキャナー。

JoomScan

OWASP Joomla 脆弱性スキャナプロジェクト。

https://github.com/OWASP/joomscan

デフォルトのチェック:

1
perl joomscan.pl --url www.example.com


インストールされているコンポーネントの列挙

1
perl joomscan.pl --url www.example.com --enumerate-components


■Drupal

Drupalの脆弱性スキャナー。

Drupwn

Drupalの調査と盗取のツール。

https://github.com/immunIT/drupwn

調査:

1
python3 ./drupwn --mode enum --target http://example.com/drupal

盗取:

1
python3 ./drupwn --mode exploit --target http://example.com/drupal


カタール航空(QR)が自社のマイレージプログラムにAviosを採用 / Qatar Airways Privilege Club Akan Mulai Menggunakan Avios


Qatar Airways Privilege Club Akan Mulai Menggunakan Avios

2022年3月、カタール航空のマイレージサービスは、「最も貯めやすい」マイルとしてAviosを獲得することができます。

Aviosとは?

Aviosは、国際航空グループ(IAG)のマイレージプログラムで使用されているマイルで、以下のようなものがあります。
  • ブリティッシュ・エアウェイズ(Executive Club、ワンワールド・アライアンス加盟航空会社)
  • Iberia (Iberia Plus; Oneworld)
  • エアリンガス(AerClub)
  • ブエリング(Vueling Club)
マイルを獲得するための方法は、このようなプログラムでは使用されています。


カタール航空はIAGに加盟しているのでしょうか?

カタール航空は、IAGの25.1%という最大の航空会社となり、また、ワンワールドの航空会社の中で最も競争力のある航空会社となっています。

QmilesからAviosへ

2022年3月末までに(実際の日付はまだ発表されていません)、会員のアカウントにあるすべてのQmilesは、1対1でAviosに変換される予定です。
 
つまり、今QRの30,000マイルを持っていた人は、そのまま30,000Aviosを保有することになります。
 
QRは、特典航空券の予約やキャッシュ+AviosQR便に使用する際に必要なAviosの数は変更しないと会員に保証しています。
(今のところは、ですが)
 
また、Aviosへの移行に伴う有効期限の変更もありません。
 
新しいAviosは、以前に保有していたQmilesと同じ有効期限が反映されます。

QR、BA、IBのどれが良いか

  • アメリカン航空の旅行代理店で予約した場合(ブッキングクラスI)
    • QR:100%加算
    • BA/IB:150%加算(最低750マイル)

  • ジェットブルーの場合(ブッキングクラスJ/C/D/I)
    • QR:125%加算
    • BA/IB:0%

  • マレーシア航空でクアラルンプールからバンコクへフライトした場合
    • QR:15,000/30,000マイル
    • BA/IB:9,000/16,500マイル(JLは13,500マイル以上)

  • JALで東京(NRT)からロサンゼルスにフライトした場合
    • QR:60,000/120,000マイル
    • BA/IB:25,750/77,250マイル
また、Where to Creditのサイトでは、フリークエントフライヤー・プログラムで獲得できるマイル数を確認することができます。

  • ドーハからフランクフルトへの特典航空券の例(下図参照)
    • QR:43,000マイル+諸税
    • BA/IB:38,750マイル+諸税

週刊OSINT 2022-09号 / Week in OSINT #2022-09

毎週恒例のOSINTニュースです。Twitter、安全な通信、メディア、スパイに関するツールを集めました。

この数週間はOSINTに携わる人々にとって、魅力的であると同時にぞっとするような日々だった。ロシアのウクライナ侵略と偽情報に関する全てのニュースで、大量の仕事に追われました。今週は非常に興味深いトピックをいくつか選んでみた。Twitterを見ながら、ライブのニュースも追いかけ、最後に小さなチュートリアルのようなアイテムを紹介するつもりです。

  • Tweepdiff
  • Digital Communication Protocols
  • VidGrid
  • Investigating Disinformation
  • The Spy Collection
  • Regular Expressions

ツール: Tweepdiff

TweepdiffというBrian Deterlingの新しいオンラインツールについて、@IntelLanaから情報を得た。このツールでは、2つ以上のTwitterアカウントにフォローされているフォロワーやアカウントを探すことができます。便利なのは、ログインの必要がなく、アカウント名を入力するだけで利用できる点だ。

 


小技: Digital Communication Protocols

Twitterユーザーの@officer_ciaさんが、さまざまな通信プロトコルとそのアプリに関する技術情報をまとめたGoogleシートを公開しています。暗号化技術、プライバシーの状況、互換性、機能などが記載されています。また、特定の主張を裏付ける技術情報へのリンクも掲載されています。これは、特に安全な通信の必要性を感じている人にとって、興味深いリストです。ついでに、@officer_ciaのOpSecに関するGitHubのレポもチェックしてみてください!こちらも一見の価値ありです。


サイト: VidGrid

Loránd Bodóは、Matt TaylorによるVidGridという非常に興味深いオンラインツールを共有しました。これは、ブラウザ上で複数のニュースストリームを見ることができるものです。また、動画をクリックすると、その動画に対応した音声が流れます。シンプルだが、最新のニュースを追うには非常に便利なツールだ。


小技: Investigating Disinformation

Marc Owen Jonesは、ここ数週間の間にいくつかの奇妙なツイートやハッシュタグに気づき、Twitterボットの世界に飛び込むことを決意しました。彼は、NodeXLを使って何千ものメッセージを集め、Twitter上の人々がこれらのメッセージとどのように関わっているかを調べました。彼は、エンゲージメントのテクニックや使用されるアカウントの作成日など、さまざまなトピックを取り上げています。とても有益なスレッドで、これを世界にシェアしてくれてありがとうございます


小技: The Spy Collection

Twitterのアカウント@SpyCollection1が、なぜか私のタイムラインに流れてきました。この方はかなり以前からYouTubeのチャンネルを持っていて、スパイ関連のガジェットやネタについて話しています。しかし、現在はMediumブログもあり、スパイ、暗号、インテリジェンスの世界のニュースを網羅した週刊ニュースレターを配信しています。これは素晴らしいキュレーションストーリーのソースです。


小技: Regular Expressions

以前、第2021-11号で正規表現のブラウザプラグインを紹介しましたが、先週のちょっとしたヒントを見たとき、これを入れたいと思いました。しかし今回は、正規表現についてもう少し時間をかけて説明し、どのように使うことができるかを説明します。

このヒントは複数の人によってオンラインで共有されましたが、すべては@spiderfootがコンソールやコマンドラインに直接電子メールアドレスをダンプするための正規表現RegExを共有したことから始まりました。

curl -s [URL] | grep -E -o "\b[A-Za-z0-9._%+-]+@[A-Za-z0-9.-]+\.[A-Za-z]{2,6}\b"

これはほとんどのメールアドレスに対して有効ですが、少なくともいくつかの調整を行う必要があります。正規表現の仕組みを説明するまでもなく、このクエリには6文字以上のトップレベルドメイン、ドメイン名にダッシュを含むもの(エンコードされてxn--で始まる外国のTLDなど)、メールアドレスの名前部分に公式に認められているその他の文字が含まれていません。そこで、最も一般的な電子メールアドレスを捕捉するために、以下のようなルールにたどり着いた。今のところ、読みやすくするために、許可されている特殊文字のリストはすべて省略することにする。

curl -s [URL] | grep -E -o "\b[a-zA-Z0-9._%$#=+-]+@[a-zA-Z0-9-]+\.[a-zA-Z0-9-]+\b"

読者の中にはRegExが全く初めての方もいらっしゃると思いますので、このWeek in OSINTの続きとして、基本的な正規表現の基本を紹介します。このクエリ言語は非常に強力で、データを扱うときに本当に役に立つ。ドキュメントから電子メールアドレスを抽出したり、ウェブページ内の暗号通貨アドレスを見つけたり、フォルダ内の全URLを取得したりする必要がある場合、すべて可能だ。

基礎編

正規表現を書くときに重要なのは、あなたがこの文章を読んでいるのと同じように、テキストやデータを左から右へ、上から下へと見ていくことです。そして、データの流れをスキャンしながら、文字が一連のルールに一致するかどうかを常にチェックするのです。式は、いくつかのパターンを並べて作ることができ、特定の文字列の異なる部分に、ルールを作ったのと同じ順序でマッチさせることができる。特に指定しない限り、すべて大文字と小文字が区別されることを覚えておいてください。

構文と操作

さまざまな演算子やパターンを挙げればきりがないし、ここで書くよりも簡単なものもあるが、いくつかの基本を説明するために、ごく基本的な正規表現の働きを紹介しよう。まず、2つの単語のうちの1つ、あるいは単語の一部のマッチングから始めましょう。red、blue、yellowのどれかを探したい場合は、単純にそれらをリストアップして、選択肢を縦棒、いわゆる「パイプ」で区切ります。

red|blue|yellow

数字だけで構成されるデータのビットを探したいときは、0から9までの文字の集まりを作ればいいのです。この場合、角括弧を使用して、可能な文字のリストであることを示す。後ろの「+」記号は、その意味だ。コレクションからマッチする文字が少なくとも1回出現する必要がありますが、無限に繰り返すことができます。

[0-9]+

アルファベットも同様です。このように、大文字と小文字しかない(つまり、スペースやカンマなどを除いた)テキストのすべての部分を検索することが可能です。

[a-zA-Z]+

また、アルファベットの範囲を変更することができるので、通常の数字の他に16進数のようにAからFまでの範囲を作ることも可能です。

[a-fA-F0-9]+

特定の長さを持つ16進数のみ探したい場合は、いくつかの中括弧で特定のルールに従うことができます。1つの数字を含めば、その長さは正確でなければならない。2つの数字を含む場合は、その長さの最小値と最大値を指定することができる。例えば、これは長さが2文字から6文字の間のすべての小文字の16進数を返します。

[a-f0-9]{2,6}

RegExを学ぶ

これは可能なことのほんの一部で、正規表現(RegEx)の基本は比較的簡単に把握できることを示すためのものです。非常に長いクエリを作成する場合、その正確な動作を理解するのは難しいかもしれませんが、これを手助けするツールがあります。クエリを作成し、テストするのに役立つオンラインツールは RegEx101.com です。クエリを書いている間、あるいはクエリを見つけてエディタで解析している間、プロセスのすべてのステップを表示し、すべてが何であるかを説明します。もう一つの似たようなツールは RegExr.com で、これは似たような機能を提供し、チートシートを提供し、さらに自分のクエリをオンラインで保存する機能を備えています。

しかし、もしあなたが全く初めてなら、これらのツールは多分あなたを混乱させるだけでしょう。そこで、RegExOne.comで簡単なエクササイズを行いながら、インタラクティブなオンラインクラスから始めてみてはいかがでしょうか。お楽しみください。


マリオットポイントをJALマイルに移行してみる ~ポイ活も習慣化が重要~

 

JALマイルの数少ない間接購入の方法の一つがマリオットポイントの購入である。

マリオットポイントは1ポイント0.3円程度の価値で、3ポイントでJAL1マイルに移行できる。

ただ、マリオットポイントからのマイレージ移行にはボーナスルールが存在しており、6万マリオットポイントを一度に移行すると5000マイル分がボーナスされる。

つまり、

  • 3万マリオットポイントをJALマイルに移行した場合:1万JALマイル
  • 6万マリオットポイントをJALマイルに移行した場合:2.5万JALマイル

ということになる。

マリオットのポイント購入セールは年に何度か開催されており、自身もちょくちょく購入していたのだが、先日ついに6万マリオットポイントを超えることができた。

最初は用途が決まったら移行しようと思っていたのだが、そもそも一度も移行したことがなく、移行できるのか不安だったのと、こういうのは債権の一種なので、早めに回収しなければならないと思い、早速交換してみることに。

オンラインで移行完了できるものと思い込んでいたのだが、意外にもトラブル発生。

コールセンターに電話せよと。。。。

こうなっては電話するしかないので電話してみるのだが、なんと話中で切れてしまった。

企業のコールセンターで待ち呼にも入れないとは、、、、

数分待って再度アタックするも話中断。

更に数分待ってアタックするも話中断。

そんなことを何回か繰り返すうちに無事IVRに接続し、待ち呼に入ることができた。

待つこと約30分。無事エージェントに接続。

てっきり本人確認とメールアドレスの確認だけかと思っていたのだが、その場でマイル移行まで進めてくれた。

この点はありがたかった。

ちなみにコールセンターに電話したのはとある月曜日だったので、土日とかはもっと悲惨なのかもしれない。

もっとコールセンター(IVR)に接続できる回線数増やしてくれよと思ったが、恐らく今回の電話番号はマリオット共通のものではなく、マリオット平民用の番号で、上級会員はそれ様に違う番号と回線が用意されているんだろうなと思った。

ちなみにマリオットからJALマイルへの移行は1週間~10日ほどかかるらしい。

初めてやる行為は大小関わらずトラブルが発生するリスクがあるので、余裕があるうちに実施しておきたい。また、たま~にやるのもそれなりにリスクがあるので、習慣化が重要と感じた。

2021年版World Giving Index(世界人助け指数)で、日本は最下位に。~GIVEの精神が日本は低い~


 CAF(Charities Aid Foundation)という団体が、2021年度版「World Giving Index(世界寄付指数)」を作成した。

このレポートでは、世界の寄付の範囲と性質について考察しており、下記3つの側面から見ています。

  1. 見知らぬ人、あるいは助けを必要としている人を助けたことがあるか?
  2. 慈善団体にお金を寄付したか?
  3. ボランティアに参加したか?

調査は114ヵ国(世界の人口の90%をカバー)で実施し、各国で1,000人分のアンケートを実施したという。

この調査で日本が最下位にランキングされた。

レポートにおける日本のコメントは下記の通り。

--

日本の指数は12で、2018年の22から低下し、すべての国の中で最も低いスコアとなりました。日本は歴史的に先進工業国としては珍しく市民社会が限定されており、慈善寄付に関するルールは複雑で、国の提供に対する期待も高く、組織的なNPOは比較的新しい現象である。

--

自分も正直1.2.3.いずれもできていない。

いろいろ改めないといかんなーと思う今日この頃。

World Giving Indexアーカイブ

上場企業が情報をお漏らしした際の株価への影響


情報漏えいした上場企業の株価、最大下落率は21.6%に:

株式会社サイバーセキュリティクラウドは、2021年公表のサイバー攻撃に関する個人情報漏えい事案に基づいた「個人情報漏洩被害公表と株価の変化に関する調査レポート」を発表した。

同調査は2021年1月1日から12月31日に公表された法人・団体における不正アクセスに関する被害規模1,000件以上の主な個人情報流出事案110件について、個人情報漏えい被害がもたらす企業の株価への影響を調査したもの。

同調査によると、対象となった110件の個人情報漏えい事案のうち約2割となる24件が上場企業で発生し、そのうち18件がサイバー攻撃による個人情報漏えい事案であることが判明した。

被害にあった上場企業で、情報漏えいに関する適時開示の前日と翌日の株価終値を比較したところ、約8割となる14社の株価が下落し、最大下落率は21.6%、平均下落率は2.8%となった。14社の情報漏えいに関する適時開示前日と適時開示を行った30日後、60日後を比較したところ、平均下落率がそれぞれ5.2%、5.0%となり、30日後まで下落幅が拡大し続けることが明らかになった。

ATT&CK 2022ロードマップ / ATT&CK 2022 Roadmap


 ATT&CK 2022 Roadmap

2021年、私たちは武漢ウイルスのパンデミックを乗り越え、新たな日常へと移行する中、(約束通り)大きな構造改革を行うことなく、ATT&CKを進化させ続けています。データの観点から敵の行動をより効果的に表現するためのATT&CKのデータソース手法など、多くの分野で前進を遂げることが出来ました。macOSとLinuxのコンテンツを改良し、ATT&CK for Containersをリリースしました。クラウド分野では、従来のAWS、Azure、GCPのプラットフォームを単一のIaaS(Infrastructure as a Service)プラットフォームとして統合したことが功を奏しました。ICSをクロスドメインマッピングで更新し、インフラチームは新しいATT&CK Navigator要素を導入して、レイヤーの比較と可視化の体験を向上させました。最後に、8つの新しいテクニック、27のサブテクニック、24の新しいグループ、そして100以上の新しいソフトウェアエントリーが追加されました。

2022 Roadmap

2022年に向けて、フレームワークのエキサイティングな調整がいくつか予定されています。今年は構造的な変更(モバイルサブテクニックとキャンペーンの導入)がありますが、2020年のエンタープライズサブテクニックの追加ほどにはならない予定です。CampaignsとMobileサブテクに加え、今年の主な調整内容は、検出のオブジェクトへの変換、オーバーレイやコンビネーションの使い方の革新、ICSアセットの拡張などです。4月と10月の年2回のリリーススケジュールを維持し、Mobileサブテクニックのポイントリリース(v11.1)を予定しています。

ATT&CKcon 3.0 | March 2022

ATT&CKConを開催できることを大変うれしく思っています。ATT&CKチームやコミュニティーの皆さんと一緒に、組織や個人がATT&CKを活用しているすべての最新情報、洞察、創造的な方法について聞くことができることを楽しみにしています。また、ATT&CKcon 3.0のページでは、カンファレンスの全容を無料でライブストリーミングしています。


Detection Objects | April & October 2022

ここ数年、ATT&CKの様々な実用的なフィールドを管理オブジェクトに変換することが繰り返されてきました。ATT&CKのv5では、緩和策をオブジェクトに変換し、その価値と使いやすさを向上させました。この変換により、緩和策を特定し、それが防止できる様々な技術にピボットすることができるようになりました。この変換により、ミティゲーションを特定し、そのミティゲーションが防ぐ可能性のある様々な技術にピボットすることができます。これは、多くの皆様がATT&CKを異なるコントロール/リスクのフレームワークにマッピングするために活用されている機能です。また、v10では、データソースをオブジェクトに変換し、同様のピボットと分析ができるようになりました。

次に、検出については、現在テクニックで紹介されているフリーテキストを、データソースと結びついた記述に洗練・統合するアプローチを並行して実施する予定です。これにより、各技術について、その検出のために何を収集する必要があるか(データソース)、また、そのデータをどのように分析すれば、ある技術を特定できるか(検出)を記述することができるようになるのです。


Campaigns | October 2022

今年の大きな変更点としては、キャンペーンが導入されたことが挙げられます。キャンペーンとは、共通のターゲットと目的を持ち、特定の期間に実施された侵入活動のグループと定義されます。この活動は、特定の脅威者にリンクしている場合もありますが、そうでない場合もあります。例えば、Solar Windsのサイバー侵入は、ATT&CKのG0016脅威グループに起因するキャンペーンとなります。ATT&CK の既存の構造では、ある脅威行為者のすべての活動が 1 つのグループエントリの下にまとめられ ているため、傾向を正確に把握し、脅威行為者が時間とともにどのように進化したかを理解し(あるいはしていない)、 異なる事象間の差異を識別し、逆に、ある行為者が依拠する可能性のある特定の手法を識別することが困難になっています。

ATT&CKでは、他の人が名前を付けていない活動をグループとして追加したことはありません。例えば、あるレポートがグループやキャンペーンの行動を記述していても、その侵入活動にFUZZYSNUGGLYDUCK/APT1337のような固有の名前を付けていない場合(または名前を付けた他の人のレポートにリンクしている場合)、そのレポートをATT&CKに取り入れることはありません。キャンペーンの導入により、アクティビティに名前を付けず、独自の識別子を使用するレポートが含まれるようになります(キャンペーンC0001にご注意ください)。一方、この新しい構造によって、同じ名前が付けられたアクティビティ(例:Lazarus)をよりよく管理できるようになり、一緒にグループ化されてはいけないアクティビティを分離する方法が提供されます。また、Ransomware-as-a-Serviceのように、複数の脅威者が関与している可能性のある侵入活動にも対応できるようになります。

ATT&CKにおけるキャンペーンと関連するIDの表示方法については、現在検討中であり、今後数ヶ月のうちに詳細をお知らせする予定です。グループとソフトウェアのページはほとんど変更されません。彼らは引き続き、テクニックとサブテクニックの集合リストを特徴とし、ネットワーク防御者が全体的に関連するNavigatorレイヤーを作成し、同様の分析を行うことができます。しかし、関連するグループ/ソフトウェアページへのキャンペーンリンクは追加される予定です。10月のリリースでキャンペーンを統合する準備をしているため、詳細は年内にお知らせします。

Mobile | April 2022

Mobileのサブテクニックについては、以前から話していましたが、もうすぐ登場するということで、わくわくしています。Mobileチームは2021年、ATT&CK for MobileをATT&CK for Enterpriseと機能的に同等にするために、サブテクニックがMobileマトリックスに収まる場所を特定するなど、懸命に作業していました。2021年10月のv10リリース記事で取り上げたように、MobileサブテクニックはEnterpriseサブテクニックの構造を反映することになります。4月のATT&CK v11リリースの一部として、エンタープライズで行ったのと同様に、コミュニティのフィードバック用にサブテクニックのベータ版を含める予定です。最終的に完成したサブテクニックはポイントリリース(例:v11.1)で公開する予定です。サブテクニックのプロセスやスケジュールの詳細については、4月のリリース記事に記載する予定です。サブテクニックに加え、モバイル データ ソース オブジェクトのコンセプトにも取り組み、昨年開始したモバイル デバイスに対する重大な脅威に焦点を当てたミニシリーズを再開する予定です。新しいテクニックの作成にご協力いただける方、または観察した挙動を共有したい方は、ぜひご連絡ください。

最後に、まもなく到着する「ATT&CK for Mobile 2022 ロードマップ」にご期待ください。通常、技術領域別にロードマップを発行することはありませんが、今年はモバイルのアップデートとコンテンツの変更予定をカバーするために、若干のスペースが必要です。

MacOS and Linux | April & October 2022

昨年はmacOSとLinuxのプラットフォームの調整、追加、コンテンツの更新を多く行いました。2022年は、Linuxのアップデートに重点を移行していきたいと考えています。4月のリリースは、昨年からのいくつかのmacOSへの貢献を解決することが中心となります。これらのアップデートには、親テクニックの範囲を広げて他のプラットフォームを含めること、サブテクニックの追加、具体的な使用例による手順の更新、データソースと検出努力のサポートが含まれます。私たちは、年間を通じてmacOSのアップデートを続け、このプラットフォームをより良く表現できるようになったコミュニティの関与と貢献者の皆様に大変感謝しています。

また、4月のリリースでは、Linuxの言語とプラットフォームのマッピングを改訂する予定です。10月のリリースまでには、すべての技術について、ATT&CKにおけるLinuxの表現が改善されることを目指しています。Linuxは敵対勢力によって頻繁に利用されていますが、公開されているレポートでは詳細が不明なことが多く、ATT&CKにとって難しいプラットフォームとなっています。私たちがこの分野を表現する能力は、Linux セキュリティ・コミュニティの皆さんと密接に関係しており、今後数ヶ月の間に皆さんとより多くの関係を築きたいと考えています。もし、あなたが観察した活動や技術的な提案を共有することに興味があれば、ぜひ私たちに知らせてください。

ICS | October 2022

2021年にICSコンテンツとデータソースを更新し、今後数ヶ月の間にICS Assetsの拡張と検出の追加を行う予定です。資産名は特定のICSバーティカル(電力、水処理、製造など)に関連付けられ、関連する技術マッピングにより、ユーザーは技術が自分の環境に適用されるかどうか、どのように適用されるかを理解することができます。さらに、より詳細な資産定義により、技術や業種による機能の類似点や相違点を強調することができます。各技術に追加される検出機能では、最近更新されたデータソースを使用して敵の行動を特定する方法についてのガイダンスが提供される予定です。最後に、今年後半には、ICSをエンタープライズと同じプラットフォーム上に統合し、ATT&CKウェブサイト(attack.mitre.org)の他のドメインに参加させる準備を進めています。

隠語生成器 / Leet Converter

"Leet"という言葉をご存じだろうか。leet(リート、1337、l33t)は、主に英語圏においてインターネット上で使われるアルファベットの表記法である。leetspeak(リートスピーク)とも呼ばれる。

leet は、英語の elite(エリート)が eleet に変化し、さらに語頭の e がとれてできた俗語である。日本ではハッカー語と呼ばれることもある。

たとえば、「Warez」という語を leet で表記すると、「W@rez」や「W4r3z」などとなるように、一部のアルファベットを形の似たアラビア数字や記号などに変化させる。

表記法は、「for」や「to」をそれぞれ似た発音の「4」や「2」で代用したり、同様に「you」を「u」と置き換えたり、複数形の「s」を「z」に変えたり、「cks」または「ks」で終わる単語を「x」に差し替えたり、故意に綴りを誤って表記したり、大文字と小文字を混在させたりするなど、多様である。

leet は遊び心で行われる他に、警察や著作権関連機関または初心者(ニュービー)などの検索を回避する目的で使われることもある(むしろそちらのほうが由来、とするほうがあたっているかもしれない)。

日本では、一部でメールアドレスやオンラインゲームのキャラクター名などに leet が用いられる場合がある程度であり、広く認知されているとはいえない。これは、一般的に英語で文書を記す機会が少ないからである。

ネットコミュニティ上だけでなく、「P2P」(Peer to Peer) や「B2B」(BtoB、企業間取引)のように、実社会で広く使われる語もある。ただし、これらは音声的類似による表記であり、文字的類似による表記である leet とは異なるとすることもある[1]。これらに限らず、略称で前置詞「to」や「for」を「2」や「4」に置き換えている例は多い。

出典:Wikipedia

という訳で、日本ではあまりなじみのないleetだが、とあるセミナーでleetコンバーターを知ったので、紹介したい。

Universal Leet (L337, L33T, 1337) Converter 

ちなみに最近システム障害が伝統芸にりつつある某みすぼらしい銀行はleetで表現すると下記となる。

m1zuh0 b4nk, l7d.

Kali Linux 2022.1リリース / Kali Linux 2022.1 Release (Visual Updates, Kali Everything ISOs, Legacy SSH)


Kali Linux 2022.1 Release (Visual Updates, Kali Everything ISOs, Legacy SSH) 

新年最初である Kali Linux 2022.1 を、リリースします。このリリースでは、様々なビジュアルアップデートと既存機能の微調整が行われており、既存のKali Linuxインストールをお持ちの方は、すぐにダウンロードまたはアップグレードすることができます。

2021年12月の2021.4リリースからの変更点の概要は以下の通りです。

  • Visual Refresh:壁紙とGRUBテーマを更新しました。

  • Shell Prompt Changes:コードをコピーする際の可読性を向上させるためのビジュアル改善

  • Refreshed Browser Landing Page:Firefox と Chromium のホームページを刷新し、Kali に必要なすべてのものにアクセスしやすくなりました。

  • Kali Everything Image:オールパッケージ・イン・ワンのソリューションがダウンロード可能に

  • Kali-Tweaks Meets SSH:従来のSSHプロトコルと暗号を使用して古いSSHサーバーに接続します。

  • VMware i3 Improvements:i3 でホスト-ゲスト機能が適切に動作するようになりました。

  • Accessibility Features:Kali のインストーラに音声合成が復活

  • New Tools:様々な新ツールが追加され、その多くがProjectDiscoveryからのものです

それ以外にも、まだ準備が整っていないだけで、新しい機能にも取り組んでいます(ドキュメントがまだ完成していないため!)。これは大きなものなので、私たちにとって重要であることを示すために、準備ができ次第、専用のブログ記事を用意する予定です。これはベアメタルインストーラのためのものです!

Visual Refresh:テーマ更新

Kali 2021.2 で約束したように、このリリース (2022.1) 以降、毎年リリースされる 20xx.1バージョンは、主要なビジュアルアップデートを行う唯一のリリースとなります。1年ごとのライフサイクルを使用することで、Kali Linux の異なるバージョンを時間の経過とともに認識することが容易になります。このアップデートには、デスクトップ、ログイン、ブートディスプレイの新しい壁紙と、最近アップデートされた方はご存知かもしれませんが、リフレッシュされたインストーラテーマが含まれています。


また、ISOイメージに含まれるブートメニューの機能、テーマ、レイアウトも改善されました。これらの変更により、全体的に一貫性を持たせることができます。以前は、UEFI と BIOS のブートメニューは異なるオプション、デザインを持っており、また書き方も異なっていたため、混乱させていました。さらに、「インストーラー」、「ライブ」、「ネットインストール」、「ミニ」オプションの間にも複数の違いがあったことも混ざっています。これらの問題はすべて解決され、現在ではすべてにおいて普遍的な感覚を持つようになりました。


シェルプロンプトの変更

皆様からのご意見に、私たちは耳を傾けました。私たちは、2020.4の最後のプロンプトの更新以来、あなたの人生をより快適にすることを願って、いくつかの微調整を行いました。この問題の例としては、専門的なペンテストレポートを書くときや、コードのデバッグを共同で行い、ターミナルを共有するとき、右側のプロンプト(終了コードとバックグラウンドプロセスの数が表示されていた)が邪魔になる場合があります。そこで、私たちのデフォルトシェルであるZSHからは、このプロンプトが削除されました。これに伴い、ルートプロンプトのドクロはシンプルな  に置き換えられました。ルートの頭蓋骨 (💀) が恋しい人は、簡単に ~/.zshrc を編集することができます。

┌──(root㉿kali)-[~]
└─# sed -i 's/prompt_symbol=㉿/prompt_symbol=💀/' ~/.zshrc

┌──(root㉿kali)-[~]
└─# source ~/.zshrc

┌──(root💀kali)-[~]
└─#

Kali 2022.1 を新規にインストールすると、これらの変更が適用されます。アップグレードする場合は、以下のように手動でこれらの編集を適用する必要があります。

┌──(kali㉿kali)-[~]
└─$ cp -i /etc/skel/.{bash,zsh}rc ~/


ブラウザのランディングページを刷新

このリリースでは、Kali に同梱されているデフォルトのランディングページの外観が新しくなりました。刷新されたドキュメントサイト (Kali-DocsKali-Tools) を活用し、検索機能は Kali Linux を使って必要なものをほとんど見つけるのに役立ちます!


「kali-linux-everything」イメージ: 全てが一つの場所に

今回のリリースでは、新しいフレーバーとして「kali-linux-everything」イメージが追加されました。これにより、Kali のすべてのツールがプリインストールされた完全なオフラインのスタンドアロン イメージ (ISO) を使用できるようになります。これまでと異なり、ユーザーはネットワークミラー経由で Kali のセットアップ中に "kali-linux-everything" パッケージをダウンロードする必要がありません。サイズが大きくなるため (~2.8GB から ~9.4GB) 、これらのイメージは、トラフィックを処理するために設計された技術である BitTorrent を使用してのみ、最初に提供される予定です。さらに、パッケージの数が増えるため、Kali のインストールにも時間がかかるようになります。

もし、あなたが自分のやっていることを理解し、これが好きだと思えるなら、Torrent を入手して試してみてください。

Kali のパッケージのグループ化について詳しく知りたい方は、メタパッケージについてのドキュメントをご覧ください。

現時点では、既知の制限のため、Kaboxerアプリケーションは含まれません。


Kali-Tweaks: Legacy SSH Made Easy

kali-tweaks Hardening セクションに新しい設定があります! Kali の SSH クライアントを Wide Compatibility (古いアルゴリズムと暗号を有効にする) に設定できるようになりました。そのおかげで、それらを使用する古いサーバへの接続が簡単になり、コマンドラインで明示的に追加のオプションを渡す必要がなくなりました。

この設定の目的は、脆弱なSSHサーバを発見しやすくすることで、先に説明したように、より多くの潜在的な攻撃面を開くことができます(これは、最近のペンテストにより、無停電電源装置がネットワークを完全に破壊する足がかりを与えてくれたことがきっかけでした)。

OpenSSLSamba とは異なり、この弱体化した動作はデフォルトでは有効になっていないことに注意してください。したがって、この設定に興味がある場合は、kali-tweaks を実行し、Hardening セクションに入り、そこで有効にする必要があります。

現在のHardening画面はこんな感じです。


VMware i3 の改善点

i3 デスクトップ環境 (kali-desktop-i3) のゲスト VM で Kali を使用しているユーザは、VMware のホスト-ゲスト機能 (ドラッグ&ドロップ、コピー&ペーストなど) がデフォルトでは有効になっておらず、手動で行う必要がありました。これは現在修正されており、何もする必要はなく、箱から出してすぐに使えるはずです。これは i3-wm 4.20.1-1 パッケージで有効になりました。


Accessibility: Talk To Me

私たちは常に、できるだけ多くのKaliユーザーをサポートするよう心がけてきました。これは、初期のリリースから今日に至るまで同じです。

目の不自由なユーザーを支援するために、Kaliのセットアップに音声合成が戻ってきたことを喜んでいます。Kali 2021.4 をリリースしたとき、インストーラのサウンドが壊れました。これは、サウンドドライバのパッケージングバグによるもので、残念ながらこの問題はしばらく気づかれませんでした。これは現在修正されています。この問題を報告してくれた isfr8585 に大感謝です!


Kaliの新しいツール

数々のパッケージのアップデートの間に、様々な新しいツールが追加されています! ネットワークレポジトリに追加されたものを簡単に紹介します。

  • dnsx - 高速で多目的な DNS ツールキット。複数の DNS クエリを実行可能

  • email2phonenumber - ターゲットのメールアドレスを知っているだけで電話番号を取得する OSINT ツール

  • naabu - 信頼性とシンプルさにフォーカスした高速なポートスキャナ

  • nuclei - テンプレートに基づくターゲットスキャン

  • PoshC2 - プロキシを意識したC2フレームワークで、ポストエクスプロイトとラテラルムーブメントを実現。

  • proxify - HTTP/HTTPSトラフィックのキャプチャ、操作、およびリプレイを外出先で行うためのスイスアーミーナイフ型プロキシツール。

ProjectDiscoveryの仕事とツールにエールを送ります。


Kali Linux 2022.1 のダウンロード

何を待っているのでしょうか?もうダウンロードを始めてください。

Kali Linux のベテランユーザはすでにご存じでしょうが、そうでない方のために、私たちは同様に利用できるウィークリービルドを作成しています。もし、次のリリースを待てず、イメージをダウンロードする際に最新のパッケージ(またはバグフィックス)が欲しい場合は、代わりにウィークリーイメージを使用することができます。この方法では、行うべきアップデートが少なくなります。ただ、これらは自動ビルドであり、私たちの標準リリースイメージのような QA を行っていないことをご承知おきください。しかし、これらのイメージに関するバグレポートは喜んでお受けします!なぜなら、次回のリリースまでに問題が修正されることを望んでいるからです。

既に Kali Linux をインストールしている場合、いつでもクイックアップデートができることを忘れないでください。

┌──(kali㉿kali)-[~]
└─$ echo "deb http://http.kali.org/kali kali-rolling main non-free contrib" | sudo tee /etc/apt/sources.list

┌──(kali㉿kali)-[~]
└─$ sudo apt update && sudo apt -y full-upgrade

┌──(kali㉿kali)-[~]
└─$ cp -rbi /etc/skel/. ~

┌──(kali㉿kali)-[~]
└─$ [ -f /var/run/reboot-required ] && sudo reboot -f

これでKali Linux 2022.1が起動したはずです。そして簡単なチェックをすることができます。

┌──(kali㉿kali)-[~]
└─$ grep VERSION /etc/os-release
VERSION="2022.1"
VERSION_ID="2022.1"
VERSION_CODENAME="kali-rolling"

┌──(kali㉿kali)-[~]
└─$ uname -v
#1 SMP Debian 5.15.15-2kali1 (2022-01-31)

┌──(kali㉿kali)-[~]
└─$ uname -r
5.15.0-kali3-amd64

注:uname -r の出力は、システムのアーキテクチャによって異なる場合があります。

いつものように、Kali のバグに遭遇した場合は、バグトラッカーにレポートを提出してください。私たちは、壊れていることを知らないものを修正することはできません! また、Twitterはバグトラッカーではありません

もっと簡単に最新情報を知りたいですか?私たちのブログRSSフィードニュースレターがあります!