【セキュリティ事件簿#2023-097】宮崎市の職員が職権乱用して知人の住所や納税情報に勝手にアクセスして処分される

 

宮崎市の職員が業務に関係がないのに職場のシステムを使い、知り合い4人の住所や納税などに関する個人情報を無断で盗み見ていたとして、2023年3月22日、戒告の懲戒処分を受けました。

処分を受けたのは、宮崎市佐土原総合支所に勤務する20代の男性職員です。

市によりますと、この職員は業務上の必要性がないにもかかわらず、去年の3月から12月にかけて職場の業務管理システムを使って知り合い4人の個人情報を、のべ17回、無断で盗み見ていました。

閲覧した情報には住所や所得額が分かる納税に関するものなどが含まれていたということです。

これまでのところ、外部への情報漏えいや悪用による被害は確認されていないということです。

宮崎市は、業務以外で市の管理する情報へのアクセスを禁じた「情報セキュリティポリシー」に違反し、信用を失墜させたとして、この職員を22日付けで戒告の懲戒処分にしました。

職員は市の聞き取り調査に対し、「個人的に知りたかった」と話しているということです。

また、市は上司2人についても監督不行き届きを理由に厳重注意の処分を行いました。

参考:宮崎市 職場のシステム使い個人情報を無断で閲覧した職員処分

【セキュリティ事件簿#2023-096】古河電池株式会社 弊社パソコンのマルウェア感染に関するお詫びとお知らせ 2023年3月16日


この度、今市事業所(栃木県日光市)社員のパソコンがコンピュータウイルス「Emotet(エモテット)」に感染し、個人情報等のデータ流出が発生した可能性があることを確認いたしました。

現在、「Emotet」が原因と思われる、不審なメール(なりすまし)の送信などは確認されておりませんが、弊社と電子メールでの連絡を行われていた皆さまには、今後、当社を名乗る不審なメールを受信される可能性もあり、関係する皆さまには、多大なご迷惑とご心配をおかけすることとなり、心よりお詫び申し上げます。

対応としましては、感染が判明した当該パソコンをすべてネットワークから遮断する対策を講じるとともに、弊社今市事業所で使用しているすべてのパソコンの検査を進めております。また、外部の専門機関の助言を得ながら、データ流出の有無を確認して参ります。詳細が判明しましたら改めてお知らせいたします。

弊社は、下記ドメインのメールアドレスを使用しております。弊社からメールを受信された際には、お手数ですが送信元のメールアドレスに誤りがないか、ご確認をいただきますようお願い申し上げます。

不審なメールを受信された場合は、添付されたファイルやメール本文に記載のURLは開封せず、メールごと削除いただきますようお願い申し上げます。

<弊社の正しいドメイン>
「****@furukawadenchi.co.jp」
「****@furukawabattery.co.jp」
「****@abri.co.jp」

弊社では、これまでも個人情報を含むデータの適正な管理に努めてきたにもかかわらず、今回の事態が発生したことを重く受け止め、再発防止に万全を期してまいります。

【セキュリティ事件簿#2023-095】工場出荷時のままインターネットに接続された国土交通省の河川監視カメラ、当然のごとく不正アクセスを受ける

 

国土交通省近畿地方整備局が、洪水被害などを防ぐために関西を中心とする2府6県に設けた河川監視カメラ261台に、何者かが不正アクセスした疑いがあることが2023年3月2日、同整備局への取材で分かった。1月から運用を休止しており、再開時期は未定。一部は通常時と比べ、通信量が100倍ほどになっていた。

同整備局によると、カメラは大雨による増水や氾濫などから住民らの早期避難を促すために設置。インターネットに接続されており、河川の様子を一定の時間間隔で捉えた静止画を配信し、国交省の「川の防災情報」などで誰でも閲覧できる。

インターネット回線の業者から1月中旬に、261台のうち「199台の数日間の通信量が異常な数値になっている」と指摘があった。他の62台に変化はなかったが、全てに不正アクセスがあったとみて、運用を止めた。海外サーバーを経由してアクセスされた可能性がある。

参考:
河川の監視カメラ、不正アクセスか 関西中心に261台休止 再開時期未定
河川カメラ338台が稼働停止、初期パスワード変更せずサイバー被害

【セキュリティ事件簿#2023-094】株式会社放送映画製作所 ランサムウェアによる被害及び情報流出の可能性についてお知らせとお詫び 2023年3月15日

当社が運用するサーバのランサムウェアによる感染被害および現状についてお知らせします。また、情報が外部流出した可能性を否定できないため、お取引先さま、関係先の皆さまにご迷惑をおかけしますことを深くお詫び申し上げます。

【発生】
3 月 5 日(日)正午頃、サーバに障害が発生し原因を調べたところ、第三者による不正アクセスの痕跡を発見いたしました。さらなる拡大を防ぐため直ちに外部との接続を遮断し、(株)MBS メディアホールディングスの協力のもとで不正アクセスを受けたサーバの状況・原因等の調査・復旧の検討を開始いたしました。

【調査経緯】
初期調査段階で、当社のサーバへの不正な侵入と内部データがロックされていることを確認いたしました。データフォルダ内には、当社の業務(番組制作、配信業務、イベント・VP 制作等)に関わる情報が含まれていることがわかりました。情報が外部流出した可能性を完全に否定することは難しく、2 次被害を防ぐ為に今回お知らせすることといたしました。
なお、ウィルスは検出され解析したところランサムウェアと判明し、感染経路・原因については、現在調査中です。

【現在】
引続き、専門機関と連携して調査をする予定です。なお、現時点で情報漏洩の被害は確認されておりません。
個人情報保護委員会への報告は完了しております。警察には被害の相談をしております。


【セキュリティ事件簿#2023-093】沼尻産業株式会社 当社ファイルサーバーのランサムウエア感染による情報流出の可能性についてお知らせとお詫び 2023年3月12日


沼尻産業株式会社(所在地:茨城県つくば市、代表取締役社長:沼尻年正)は、当社が管理運用するファイルサーバーのランサムウエア感染により、お客さま、お取引先さま、当社関係者の皆さまの情報が外部流出した可能性を完全に否定できないことがわかりましたので、お知らせします。現在、外部の専門機関と連携して調査を進めておりますが、現時点で不正利用等は確認されていません。

本件の対象となる皆さまに対しては順次個別のご連絡を差し上げるとともに、お問い合わせ窓口を設置します。お客さま、お取引先さま、関係者の皆さまに多大なご心配とご迷惑をおかけしますことを、深くお詫び申し上げます。

現在も調査を継続しており、今後新たな情報が判明する可能性がありますが、現時点で確認できている状況および当社対応は以下のとおりです。

1.外部流出した可能性のある情報

(1)個人・法人名刺情報(パスワード付)

・氏名・社名、住所、電話番号、メールアドレス

(2)取引先情報(パスワード付)

・代表者名・社名、住所、電話番号、メールアドレス、契約内容

(3)業務受託先の法人顧客情報(パスワード付)

・代表者名・社名、住所、電話番号、メールアドレス、契約内容

(4)退職者含む従業員情報(パスワード付)

・氏名、住所、電話番号、生年月日 等(退職者含む)

※クレジットカード情報の保有はございません。

2.本件に関するお問い合わせ窓口

3.経緯

・3月11日03時、当社ファイルサーバーがランサムウエア感染したことを当社従業員が確認。確認した時点でさらなる被害の拡大を防ぐため、ファイルサーバーの停止および外部とのネットワークを遮断しました。

・3月11日に対策本部を立ち上げ、外部専門機関と連携しながらランサムウエア感染による流出情報の有無、要因、経路などの調査を開始しました。3月11日17時頃、顧客情報を含む情報が外部流出した可能性を完全に否定できないことを確認しました。 

4.現時点および今後の当社対応

・このたびのランサムウエア感染の原因や経路などにつきましては、外部専門機関の協力を得ながら引き続き調査を進め、詳細が分かり次第、すみやかにご報告します。

・また、当社はこのたびの事態を厳粛に受け止め、セキュリティー体制の厳格化や監視体制の強化を図り、再発防止に取り組んでいきます。

 

このたびはお客さま、お取引先さま、関係者の皆さまに多大なご心配とご迷惑をおかけしますことを、重ねて深くお詫び申し上げます。

【搭乗記】日本航空307便(羽田空港⇒福岡空港)

 

2022年に人生初の海外(バンコク)発券を敢行。

その時、バンコク(BKK)-東京(TYO)の往復航空券と、バンコク-東京-福岡(FUK)の往復航空券が同じ金額だったので、福岡往復のチケットを購入した。

丁度九州に用事があったので、朝8時のフライトにし、朝7時に羽田空港に到着したのだが、この時点で手荷物検査場が激混み。。。


写真に撮り忘れたが、JGC用カウンターも30人くらいの行列ができていた。

ただ、思ったよりもスムーズに流れ、無事手荷物検査完了。

以前はカバンからPCを出す必要があったが、最近はそれが不要になったので助かる。

手荷物検査を終えたらラウンジ直行。


大人しく水でも飲んでいようと思ったら、変なものが浮いていたので、アップルジュールに変更


JALのA350は今更ながら初搭乗。


正直、国内線で各座席にディスプレイがいるのかという疑問があるが、


外部カメラがあるのは斬新でいい感じ。


フライト時間は2時間だったが、ほとんど寝ていたため、あっという間に福岡空港着陸。


国際線ターミナル発のバスに乗る必要があったため、バスで国際線ターミナルに移動


20年位前に東京発福岡乗り継ぎで中国に行ったことがある。当時、預け入れ荷物は国際線ターミナルで受け取れるものと勘違いし、危うく福岡発の国際線に乗れなくなるリスクが発生したが、当時のANAのスタッフさんが全力でサポートしてくれ、何とか間に合った記憶が蘇ってきた。

少し時間があったので、なんか食べようと国際線ターミナルを散策してみる。


国際線ターミナル4Fに行ってみると、うどん屋さんがあったものの、激混みで断念。

他をあたってみるも、国際線ターミナル4Fで営業しているお店はうどん屋さんのみで、あとは閉鎖のシャッター街と化している。


シャッター街と化している割に、近距離国際線はそれなりにある。

LCCとスターアライアンス(エバー航空、シンガポール航空、タイ航空が就航)、スカイチーム(大韓航空、ベトナム航空が就航)が強い感じで、ワンワールドの存在感は皆無。ワンワールドにはかなり頑張ってほしい


ザンネンな国際線ターミナルからバスで目的地に出発。


【セキュリティ事件簿#2023-092】石巻地区広域行政事務組合 石巻地区広域行政事務組合庁内ネットワークサーバーのコンピューターウイルス感染について 2023年3月9日


石巻地区広域行政事務組合庁内ネットワークサーバーのコンピューターウイルス感染について、コメントを申し上げます。

本組合におきましては、これまでもサイバーセキュリティ対策を講じてきておりましたが、この度の事案の発生により、圏域住民の皆様及び関係機関・関係団体の皆様に、多大の御心配やお手数をお掛けいたしておりますことを、深くお詫び申し上げます。

現在、ウイルスによる個人情報をはじめデータの流出は確認されておらず、皆様への支障を最小限にするため、工夫して業務を継続いたしております。

今後、引き続き調査を行い、再発防止策について検討するとともに、早期に通常業務へ戻れるよう努めてまいりますので、御理解、御協力を賜りますよう、お願い申し上げます。

1 概要
事務局内の庁内ネットワークサーバーが不正アクセスによりコンピューターウイルスに感染したため、サーバー内のデータが暗号化され使用不能となったもの。

2 発生の経緯及び原因
(1) 令和5年2月24日(金)~25日(土)
 深夜にサーバー内のデータが暗号化される。
(2) 令和5年2月27日(月)
 朝出勤した職員がデータに異常があることを発見した。
 庁内ネットワーク保守点検業務委託業者に連絡し、サーバーを確認したところ、コンピューターウイルス(ランサムウエア)への感染が判明した。

3 情報流出の有無
当該サーバーには過去から現在までの、各審査会委員及び事業参加者等のデータ(氏名・生年月日・住所・電話番号等)が含まれておりましたが、現時点において、サーバー内のデータが抜き取られた痕跡は認められず、情報の流出は確認されていないものの、引き続き調査を継続する。

4 業務への影響
総務企画課、施設管理課、介護認定審査課及び石巻広域クリーンセンターの業務の一部に支障が生じているものの、バックアップデータ等を活用し、業務は継続して行っている。

5 対応状況
(1) 令和5年2月27日(月)
 保守点検業者において、感染経路及びデータの復旧等について、調査を開始した。
(2) 令和5年2月28日(火)
 石巻警察署へランサムウエアによる被害があったことを通報の上、対応等について相談し、捜査に協力している。
庁内ネットワークへ接続している全てのパソコンのウイルススキャンを実施し、異常がないことを確認した。
(3) 令和5年3月2日(木)
 保守点検業者により、バックアップデータによるサーバーの仮復旧が完了した。
※ 感染経路等については、サーバーのログ等を確認したが特定には至っていない。

6 今後の再発防止策
セキュリティ対策の強化、データのバックアップの方法等、必要な対応について、調査・検討する。

【セキュリティ事件簿#2023-091】東京海上日動あんしん生命保険株式会社 弊社からの送信メールデータの流出の可能性について 2023年3月8日


東京海上日動火災保険株式会社(取締役社長 広瀬 伸一、以下「東京海上日動」)および東京海上日動あんしん生命保険株式会社(取締役社長 川本 哲文、以下「あんしん生命」)において、「メール誤送信対策サービス」を委託する富士通株式会社(以下「富士通社」のシステム(※1)が特定の期間に不正アクセスを受けたこと(※2)により、東京海上日動およびあんしん生命から送信したメールデータの一部が外部に流出した可能性があることが、富士通社からの報告により判明いたしました。

お客様をはじめとする関係者の皆様に、ご迷惑とご心配をおかけすることとなり、心よりお詫び申し上げます。

(※1)富士通社の FENICS インターネットサービス
(※2)富士通社ニュースリリース
(2023 年 2 月 20 日)
(2022 年 12 月 23 日)

 現時点で富士通社からは以下の報告を受けております。

  • 2022 年 12 月 9 日に FENICS インターネットサービスを構成する一部のネットワーク機器から外部への不正な通信が行われていた事象を確認した。

  • その後の調査の結果、FENICS インターネットサービスを構成する一部ネットワーク機器において、不正なプログラムが動作していたことが判明した。

  • 不正な通信が行われた時間帯に、当該ネットワーク機器を通過していた東京海上日動およびあんしん生命から発信された電子メールが技術的に外部から窃取可能な状態になっていたことが判明した。

  • 2022 年 3 月 28 日から不正な通信が行われていた可能性があるが、2022 年 3 月 28 日~5月 15 日の期間については富士通社にて外部通信のログを保存していない。

  • すでに富士通社により同様の事象が生じないよう必要な対処を実施済みである。

弊社では、2022 年 5 月 16 日から 12 月 9 日までの期間にて上記 FENICS インターネットサービスを通じて外部に流出した可能性のある約 1,300 通のメールを特定済みであり、本日以降速やかに同メール送信先の皆様に通知をしてまいります。また、2022 年 3 月 28 日から5 月 15 日の富士通社にてログを保持していない期間につきましては、富士通社とともに調査方法を検討し、適切に通知をしてまいります。

今後も情報管理の徹底に努め、より一層の情報セキュリティ対策の強化に取り組んでまいります。なお、本件につきましては、監督当局に対して報告を実施しております。

【セキュリティ事件簿#2023-090】浜松開誠館中高、サーバーがウイルス感染して成績や出欠の閲覧不可。緘口令をひいたものの隠ぺいの意図は拒否


浜松市中区の浜松開誠館中学・高校(生徒数計約1200人)で校内のサーバーがコンピューターウイルスに感染し、数年間分の生徒のテストの成績や連絡先が閲覧できなくなっていることが学校への取材で判明した。個人情報の流出や悪用は2023年3月7日時点で確認されていないという。

学校などによると、2月下旬にサーバーが何らかの理由でウイルスに感染。過去5~10年間分の生徒の成績や出欠状況、連絡先などのデータが全て暗号化され、閲覧できなくなった。復旧のめどは立っていない。このため、データを紙で保存していない教員は、生徒の成績評定を記憶などに基づいて行う必要があったという。

関係者によると、学校側は当初、教員たちに問題を外部に口外しないよう求めていた。6日に毎日新聞の取材を受けた後、保護者らに経緯を伝えた。

同校の広報室長は「生徒を動揺させたくないとの思いがあった。隠蔽(いんぺい)しようとしたわけではなく、県教育委員会に報告し、県警にも相談している。原因の把握とデータの復元に努めたい」と述べた。

【セキュリティ事件簿#2023-089】株式会社オーディオテクニカ 不正アクセスによる情報漏えいの可能性に関するお知らせとお詫び 2023年3月7日


2月25日(土)未明より発生しておりますシステム障害において、現在、復旧に向けて対応をしておりますが、原因調査の過程でランサムウェアによる不正アクセスを受け、社内の一部機密情報が不正に閲覧された可能性があることが判明しました。

今回の不正アクセスによる被害の状況、情報漏えいの範囲などは現在、調査中となっておりますため、全容の確認や対処、復旧にはまだ数週間の時間を要する⾒込みです。

なお、当社の公式ECストア販売における決済は外部委託しておりますため、クレジットカード情報を保有しておらず、クレジットカード情報の流出がないことを確認しております。

今後、お知らせすべき新たな事実が判明しましたら、改めてお知らせいたします。 

【セキュリティ事件簿#2023-088】日本原燃株式会社 お客さまの個人情報漏えいの可能性のお知らせとお詫びについて 2023年3月3日


当社グループ会社の六ケ所げんねん企画株式会社※(以下「げんねん企画」という)のパソコンが不正アクセスを受け、お客さまの個人情報が漏えいした可能性があることを確認しました。

個人情報が漏えいした可能性のあるお客さまに、ご迷惑とご心配をおかけしますことを深くお詫び申し上げます。

※日本原燃の視察者受け入れ業務を受託

1. 事象概要

2023年2月19日、げんねん企画が所有する視察者の個人情報を保管しているパソコン1台に不明ファイルが作成されていることを確認し、調査の結果、2月27日に2022年6月3日から2023年2月19日までの期間にご視察を申し込まれたお客さまの氏名や住所などの個人情報が漏えいした可能性があると判断しました。

現在、ネットワークは遮断しており、被害拡大の防止を講じています。原因については現在調査中です。

なお、警察への通報および個人情報保護委員会への報告は完了しております。

2. 漏えいした可能性のある個人情報および対象人数

  • 個人情報
    氏名、住所、電話番号、生年月日、身分証のコピー 等
  • 対象人数
    2022年6月3日から2023年2月19日までの期間にご視察を申し込まれたお客さま 4,982人
3. お客さまへのお願い

身に覚えのない電話や郵便物が届いた場合は最寄りの警察署にご相談ください。

4. 今後の対応

対象となるお客さまには、本日より順次、申し込まれた団体様を通じて電話等でご連絡してまいります。

現在、外部の専門機関とともに原因調査を進めており、必要な対策を実施し、再発防止に万全を期してまいります。

【TryHackMeウォークスルー】Nmap Basic Port Scans

 

Task 1  Introduction

ここは、Nmapシリーズ(ネットワークセキュリティ入門モジュールの一部)の2つ目です。

  1. Nmap Live Host Discovery
  2. Nmap Basic Port Scans
  3. Nmap Advanced Port Scans
  4. Nmap Post Port Scans

前回では、オンラインシステムの発見に焦点を当て、Nmapスキャンの3つのステップを説明しました。

  1. ターゲットの列挙
  2. ライブホストの発見
  3. 逆DNSルックアップ


次のステップは、どのポートが開いていてリッスンしているか、どのポートが閉じているかをチェックすることでしょう。そこで、今回と次回では、ポートスキャンと、nmapが使用するさまざまなタイプのポートスキャンに焦点を当てます。ここでは、以下のことを説明します。

  1. TCP connect port scan
  2. TCP SYN port scan
  3. UDP port scan

さらに、ポート、スキャンレート、並列プローブの数を指定するためのさまざまなオプションについても説明します。

■Question ※無し


Task 2  TCP and UDP Ports

IPアドレスがネットワーク上の多数のホストを特定するのと同じ意味で、TCPポートまたはUDPポートは、そのホスト上で実行されているネットワークサービスを特定するために使用されます。サーバーは、ネットワークサービスを提供し、特定のネットワークプロトコルに準拠しています。例としては、時刻の提供、DNSクエリへの応答、Webページの提供などがあります。ポートは通常、その特定のポート番号を使用するサービスにリンクされています。例えば、HTTPサーバーはデフォルトでTCPポート80に接続し、さらにHTTPサーバーがSSL/TLSをサポートしている場合は、TCPポート443で待ち受けることになります(TCPポート80と443は、SSL/TLSをサポートしている場合は、TCPポート443で待ち受けることになります)。(TCPポート80と443はHTTPとHTTPSのデフォルトポートですが、Webサーバーの管理者は必要に応じて他のポート番号を選択することができます)。さらに、1つのTCPまたはUDPポートで複数のサービスが(同じIPアドレスで)リッスンすることはできません。

単純化しすぎかもしれませんが、ポートを2つの状態に分類することができます。

  1. オープンポートは、そのポートでリッスンしているサービスがあることを示します。
  2. クローズド・ポートとは、そのポートでリッスンしているサービスがないことを示します。

しかし、現実的な場面では、ファイアウォールの影響を考慮する必要があります。たとえば、ポートが開いていても、ファイアウォールがパケットをブロックしている場合があります。そこで、Nmapは次の6つの状態を考慮します。

  1. Open:指定されたポートでサービスがリッスン中であることを示します。

  2. Closed:指定されたポートにアクセス可能ですが、どのサービスもリッスンしていないことを示します。アクセス可能とは、到達可能であり、ファイアウォールや他のセキュリティ機器/プログラムによってブロックされていないことを意味します。

  3. Filtered: ポートがアクセス可能でないため、Nmapがそのポートを開いているか閉じているか判断できないことを意味します。この状態は、通常、ファイアウォールがNmapのそのポートへの到達を妨げていることが原因です。Nmapのパケットがポートに到達するのをブロックしている可能性があり、代わりに、応答がNmapのホストに到達するのをブロックしている可能性もあります。

  4. Unfiltered: ポートはアクセス可能ですが、Nmapがそのポートが開いているか閉じているか判断できないことを意味します。この状態は、ACKスキャン-sAを使用したときに遭遇します。

  5. Open|Filtered: ポートが開いているかどうかをNmapが判断できないことを意味します。これは、Nmapが、そのポートが開いているかフィルタリングされているかを判断できないことを意味します。

  6. Closed|Filtered:これは、Nmapが、ポートが開いているかフィルタリングされているかを判断できないことを意味します。これは、Nmapが、ポートが閉じているかフィルタリングされているかを判断できないことを意味します。

■Question

Which service uses UDP port 53 by default?
DNS

Which service uses TCP port 22 by default?
SSH

How many port states does Nmap consider?
6

Which port state is the most interesting to discover as a pentester?
open


Task 3  TCP Flags

Nmapは、さまざまな種類のTCPポートスキャンをサポートしています。これらのポートスキャンの違いを理解するために、TCPヘッダを確認する必要があります。TCPヘッダとは、TCPセグメントの最初の24バイトのことです。次の図は、RFC 793で定義されているTCPヘッダーを示しています。この図は一見高度に見えますが、理解するのはとても簡単です。最初の行には、送信元のTCPポート番号と送信先のポート番号が記載されています。ポート番号は16ビット(2バイト)割り当てられていることがわかります。2行目と3行目には、シーケンス番号と確認応答番号があります。各行には32ビット(4バイト)が割り当てられており、合計6行で24バイトを構成しています。


特に、Nmapが設定したり解除したりできるフラグに注目する必要があります。ここでは、TCPフラグを赤色で強調表示しました。フラグビットの設定とは、その値を1にすることです。左から右へ、TCPヘッダのフラグは次のとおりです。

  1. URG: 緊急フラグは、ファイルされた緊急ポインタが重要であることを示します。緊急ポインタは、受信データが緊急であることを示し、URGフラグが設定されたTCPセグメントは、以前に送信されたTCPセグメントを待つことを考慮せずに、直ちに処理されることを示します。

  2. ACK: 確認応答フラグは、確認応答番号が有意であることを示します。TCPセグメントを受信したことを確認するために使用されます。

  3. PSH: Pushフラグ TCPにデータを速やかにアプリケーションに渡すように要求するフラグです。

  4. RST: リセットフラグは、接続をリセットするために使用されます。ファイアウォールなどの他のデバイスがTCP接続を切断するために送信することがあります。このフラグは、データがホストに送信され、受信側に応答するサービスがない場合にも使用されます。

  5. SYN: 同期フラグは、TCP 3ウェイハンドシェイクを開始し、相手ホストとシーケンス番号を同期させるために使用されます。シーケンス番号はTCPコネクション確立時にランダムに設定する必要があります。

  6. FIN:送信側にはもう送信するデータがありません。

■Question

What 3 letters represent the Reset flag?
RST

Which flag needs to be set when you initiate a TCP connection (first packet of TCP 3-way handshake)?
SYN


Task 4  TCP Connect Scan

TCPコネクトスキャンは、TCPの3ウェイハンドシェイクを完了させることで動作します。標準的なTCP接続の確立では、クライアントはSYNフラグを設定したTCPパケットを送信し、サーバーはポートが開いていればSYN/ACKで応答し、最後にクライアントはACKを送信して3方向のハンドシェイクを完了させます。


我々はTCPポートが開いているかどうかを知ることに興味があるのであって、TCPコネクションを確立することに興味があるのではありません。したがって、RST/ACKを送信することによってその状態が確認されると同時に、接続は破棄されます。TCPコネクトスキャンを実行するかどうかは、-sTを使用して選択することができます。


特権ユーザ(rootまたはsudoer)でない場合、TCPコネクトスキャンがオープンTCPポートを発見する唯一の可能なオプションであることに注意することが重要です。

次のWiresharkのパケットキャプチャウィンドウでは、NmapがSYNフラグを設定したTCPパケットを、256、443、143など、さまざまなポートに送信しているのがわかります。デフォルトでは、Nmapは最も一般的な1000個のポートに接続しようとします。閉じたTCPポートは、SYNパケットに対してRST/ACKで応答し、それが開いていないことを示します。このパターンは、閉じたポートとのTCP 3ウェイハンドシェイクを開始しようとすると、すべての閉じたポートに対して繰り返されます。


ポート143が開いていることが分かるので、SYN/ACKで応答し、NmapはACKを送信して3ウェイハンドシェイクを完了しました。下図は、Nmapホストとターゲットシステムのポート143の間で交換されたすべてのパケットを示しています。最初の3つのパケットは、TCPの3ウェイハンドシェイクが完了したものです。そして、4番目のパケットがRST/ACKパケットでそれを破っています。


-sT (TCP接続スキャン) を説明するために、次のコマンド例では、開いているポートの詳細なリストが返されました。

Pentester Terminal
pentester@TryHackMe$ nmap -sT 10.10.199.134

Starting Nmap 7.60 ( https://nmap.org ) at 2021-08-30 09:53 BST
Nmap scan report for 10.10.199.134
Host is up (0.0024s latency).
Not shown: 995 closed ports
PORT    STATE SERVICE
22/tcp  open  ssh
25/tcp  open  smtp
80/tcp  open  http
111/tcp open  rpcbind
143/tcp open  imap
MAC Address: 02:45:BF:8A:2D:6B (Unknown)

Nmap done: 1 IP address (1 host up) scanned in 0.40 seconds

なお、-Fをつけると高速モードが有効になり、スキャンされるポートの数が1000から最も一般的な100ポートに減少します。

ランダムな順序ではなく、連続した順序でポートをスキャンするために、-rオプションを追加できることも特筆すべき点です。このオプションは、例えばターゲットが起動したときにポートが一貫した方法で開いているかどうかをテストするときに便利です。

■Question

Launch the VM. Open the AttackBox and execute nmap -sT 10.10.199.134 via the terminal. A new service has been installed on this VM since our last scan. Which port number was closed in the scan above but is now open on this target VM?(THM上でVMを起動します。AttackBox を開き、ターミナルから nmap -sT 10.10.199.134 を実行します。前回のスキャン(上述のコマンド例)以降、このVMに新しいサービスがインストールされています。このターゲットVM上で現在開いているポート番号はどれでしょうか)
110

What is Nmap’s guess about the newly installed service?
pop3


Task 5  TCP SYN Scan

非特権ユーザーはコネクトスキャンに限定されます。しかし、デフォルトのスキャンモードはSYNスキャンであり、これを実行するには特権(rootまたはsudoer)ユーザが必要です。SYNスキャンでは、TCPの3ウェイハンドシェイクを完了する必要はなく、サーバーからの応答を受け取ると、接続を切断します。TCP接続を確立しなかったため、スキャンがログに記録される可能性が低くなります。このスキャンタイプは、-sSオプションを使用することで選択できます。下図は、TCP 3ウェイハンドシェイクを完了しないTCP SYNスキャンがどのように動作するかを示しています。


Wiresharkの次のスクリーンショットは、TCP SYNスキャンを示しています。閉じたTCPポートの場合の動作は、TCPコネクトスキャンと同様です。


この2つのスキャンの違いをよりよく理解するために、次のスクリーンショットを考えてみよう。次の図の上半分では、TCPコネクトスキャン -sTトラフィックを見ることができます。開いているTCPポートは、接続を閉じる前に、NmapがTCPの3ウェイハンドシェイクを完了させる必要があります。次の図の下半分では、SYNスキャン-sSがTCP 3ウェイハンドシェイクを完了する必要がないことがわかります。 代わりに、NmapはSYN/ACKパケットを受信すると、RSTパケットを送信します。


TCP SYNスキャンは、Nmapを特権ユーザーとして実行する場合、rootとして実行するかsudoを使用する場合のデフォルトのスキャンモードで、非常に信頼性の高い選択肢です。これは、先にTCPコネクトスキャンで見つけたオープンポートを正常に検出したものの、ターゲットとの間にTCP接続が完全に確立されていないことを示しています。

Pentester Terminal
pentester@TryHackMe$ sudo nmap -sS 10.10.89.73

Starting Nmap 7.60 ( https://nmap.org ) at 2021-08-30 09:53 BST
Nmap scan report for 10.10.89.73
Host is up (0.0073s latency).
Not shown: 994 closed ports
PORT    STATE SERVICE
22/tcp  open  ssh
25/tcp  open  smtp
80/tcp  open  http
110/tcp open  pop3
111/tcp open  rpcbind
143/tcp open  imap
MAC Address: 02:45:BF:8A:2D:6B (Unknown)

Nmap done: 1 IP address (1 host up) scanned in 1.60 seconds

■Question

Launch the VM. Some new server software has been installed since the last time we scanned it. On the AttackBox, use the terminal to execute nmap -sS 10.10.89.73. What is the new open port?(VMを起動し、前述のスキャン以降、新しいサーバソフトウェアがいくつかインストールされています。AttackBox上で、ターミナルを使用して、nmap -sS 10.10.89.73を実行します。新しいオープンポートは何でしょう?)
6667

What is Nmap’s guess of the service name?
irc


Task 6  UDP Scan

UDPはコネクションレス型のプロトコルであるため、接続確立のためのハンドシェイクを必要としません。UDPのポートでリッスンしているサービスが,こちらのパケットに応答することは保証できません。ただし、閉じたポートにUDPパケットを送信すると、ICMP port unreachableエラー(タイプ3、コード3)が返されます。UDPスキャンは-sUオプションで選択できます。さらに、別のTCPスキャンと組み合わせることもできます。

次の図は、開いているUDPポートにUDPパケットを送っても、その返信は期待できないことを示しています。したがって、開いているポートにUDPパケットを送っても、何もわかりません。


しかし、下図のように、タイプ3、宛先到達不能、コード3、ポート到達不能のICMPパケットを取得することが予想されます。つまり、何の応答も発生しないUDPポートが、Nmapがオープン状態であることを示すのです。


下記のWiresharkのキャプチャでは、閉じたポートごとにICMPパケットの宛先到達不能(port unreachable)が生成されていることがわかります。


このLinuxサーバーに対してUDPスキャンを開始したところ、確かにポート111が開かれていることが分かりました。一方、Nmapは、UDPポート68が開いているかフィルタリングされているかを判断することができません。

Pentester Terminal
pentester@TryHackMe$ sudo nmap -sU 10.10.73.231

Starting Nmap 7.60 ( https://nmap.org ) at 2021-08-30 09:54 BST
Nmap scan report for 10.10.73.231
Host is up (0.00061s latency).
Not shown: 998 closed ports
PORT    STATE         SERVICE
68/udp  open|filtered dhcpc
111/udp open          rpcbind
MAC Address: 02:45:BF:8A:2D:6B (Unknown)

Nmap done: 1 IP address (1 host up) scanned in 1085.05 seconds

■Question

Launch the VM. On the AttackBox, use the terminal to execute nmap -sU -F -v 10.10.73.231. A new service has been installed since the last scan. What is the UDP port that is now open?
53

What is the service name according to Nmap?
domain


Task 7  Fine-Tuning Scope and Performance

デフォルトの1000ポートではなく、スキャンしたいポートを指定することができます。ポートの指定は、直感的に理解できるようになります。いくつか例を見てみましょう。

  • ポートリスト:-p22,80,443 は、ポート 22、80、443 をスキャンします。
  • ポート範囲:-p1-1023は、1~1023のすべてのポートをスキャンし、-p20-25は、20~25番のポートをスキャンします。

-p-で全ポートのスキャンを要求すると、65535ポートすべてをスキャンします。最も一般的な100個のポートをスキャンしたい場合は、-Fを追加します。top-ports 10を使用すると、最も一般的な10個のポートをチェックします。

-T<0-5>でスキャンのタイミングを制御することができます。-T0が最も遅く(偏執的)、-T5が最も速いです。Nmapのマニュアルページによると、6つのテンプレートがあります。

  • paranoid (0)
  • sneaky (1)
  • polite (2)
  • normal (3)
  • aggressive (4)
  • insane (5)

IDSを回避するには、-T0または-T1を検討するのがよいでしょう。たとえば、-T0は一度に1つのポートをスキャンし、各プローブを送信する間に5分待つので、1つのターゲットのスキャンが終了するまでの時間を推測することができます。タイミングを指定しない場合、Nmapは通常の-T3を使用します。T5は、速度の点で最も優れているものの、パケットロスの可能性が高くなるため、スキャン結果の精度に影響を与える可能性があることに注意する必要があります。T4はCTFや練習用ターゲットでスキャンを学ぶときによく使われ、-T1はステルス性がより重要な実際の活動でよく使われます。

また、--min-rate <number> と --max-rate <number> を使用して、パケットレートを制御することもできます。例えば、--max-rate 10または--max-rate=10は、スキャナが1秒間に10個以上のパケットを送信しないようにします。

さらに、--min-parallelism <numprobes>と--max-parallelism <numprobes>でプロービングの並列化を制御することができます。Nmapはターゲットをプローブして、どのホストが生きているか、どのポートが開いているかを発見します。プローブ並列化では、こうしたプローブを何回並列に実行できるかを指定します。たとえば、--min-parallelism=512は、Nmapが少なくとも512個のプローブを並列に維持するよう促します。この512個のプローブは、ホスト検出とオープンポートに関連します。

■Question

What is the option to scan all the TCP ports between 5000 and 5500?
-p5000-5500

How can you ensure that Nmap will run at least 64 probes in parallel?
--min-parallelism=64

What option would you add to make Nmap very slow and paranoid?
-T0


Task 8  Summary

ここでは、3種類のスキャンを取り上げました。

Port Scan TypeExample Command
TCP Connect Scannmap -sT MACHINE_IP
TCP SYN Scansudo nmap -sS MACHINE_IP
UDP Scansudo nmap -sU MACHINE_IP

これらのスキャンタイプは、ターゲットホスト上で実行されているTCPおよびUDPサービスの検出を開始するのに役立つはずです。

OptionPurpose
-p-all ports
-p1-1023scan ports 1 to 1023
-F100 most common ports
-rscan ports in consecutive order
-T<0-5>-T0 being the slowest and T5 the fastest
--max-rate 50rate <= 50 packets/sec
--min-rate 15rate >= 15 packets/sec
--min-parallelism 100at least 100 probes in parallel

出典:Nmap Basic Port Scans

【セキュリティ事件簿#2023-087】株式会社プラチナスタイル 弊社が運営する「PARTY DRESS STYLE」への不正アクセスによる個人情報漏洩に関するお詫びとお知らせ 2023年3月2日


このたび、弊社が運営する「PARTY DRESS STYLE」におきまして、第三者による不正アクセスを受け、お客様のクレジットカード情報(8,604件)が漏洩した可能性があることが判明いたしました。

お客様をはじめ、関係者の皆様に多大なるご迷惑およびご心配をおかけする事態となりましたこと、深くお詫び申しあげます。
 
なお、クレジットカード情報が漏洩した可能性のあるお客様には、本日より、電子メールにてお詫びとお知らせを個別にご連絡申し上げております。
 
弊社では、今回の事態を厳粛に受け止め、再発防止のための対策を講じてまいります。

お客様をはじめ関係者の皆様にはお詫びを申し上げますとともに、本件に関する概要につきまして、下記の通りご報告いたします。

1. 経緯

2022年6月20日、一部のクレジットカード会社から、弊社サイトを利用したお客様のクレジットカード情報の漏洩懸念について連絡を受け、2022年6月20日弊社が運営する「PARTY DRESS STYLE」でのカード決済を停止し、同時に第三者機関による調査を開始いたしました。

2022年8月13日、調査機関による調査が完了し、2021年10月21日〜2022年6月20日の期間に「PARTY DRESS STYLE」でご注文されたお客様クレジットカード情報が漏洩し、一部のお客様のクレジットカード情報が不正利用された可能性があることを確認いたしました。

以上の事実が確認できたため、本日の発表に至りました。

2. 個人情報漏洩状況

(1) 原因
弊社が運営する「PARTY DRESS STYLE」のシステムの一部の脆弱性をついたことによる第三者の不正アクセスにより、ペイメントアプリケーションの改ざんが行われたため。

(2) クレジットカード情報漏洩の可能性があるお客様
2021年10月21日〜2022年6月20日の期間中に「PARTY DRESS STYLE」においてクレジットカード決済をされたお客様8,604名で、漏洩した可能性のある情報は以下のとおりです。
(Amazon payにて決済されたお客様は対象外です)

・クレジットカード名義人名
・クレジットカード番号
・有効期限
・セキュリティコード
・IPアドレス
・e-mailアドレス

上記に該当する8,604名のお客様については、別途、電子メールにて個別にご連絡申し上げます。

3. お客様へのお願い

既に弊社では、クレジットカード会社と連携し、漏洩した可能性のあるクレジットカードによる取引のモニタリングを継続して実施し、不正利用の防止に努めております。

お客様におかれましても、誠に恐縮ではございますがクレジットカードのご利用明細書に身に覚えのない請求項目がないか、今一度ご確認をお願い致します。万が一、身に覚えのない請求項目があった場合は、大変お手数ですが同クレジットカードの裏面に記載のカード会社にお問い合わせいただきますよう、併せてお願い申し上げます。

なお、お客様がクレジットカードの差し替えをご希望される場合、カード再発行の手数料につきましてはお客様にご負担をお掛けしないよう、弊社よりクレジット会社に依頼しております。

4. 公表が遅れた経緯について

2022年6月20日の漏洩懸念から今回の案内に至るまで、時間を要しましたことを深くお詫び申し上げます。

本来であれば疑いある時点でお客様にご連絡し、注意を喚起するとともにお詫び申し上げるところではございましたが、不確定な情報の公開はいたずらに混乱を招きかねないことより、お客様へのご迷惑を最小限に食い止める対応準備を整えてからの告知が不可欠であると判断し、発表は調査会社の調査結果、およびカード会社との連携を待ってから行うことに致しました。

今回の発表までのお時間いただきましたこと、重ねてお詫び申し上げます。

5. 再発防止策ならびにクレジットカード決済の再開について

弊社はこのたびの事態を厳粛に受け止め、調査結果を踏まえてシステムのセキュリティ対策および監視体制の強化を行い、再発防止を図ってまいります。

改修後の「PARTY DRESS STYLE」のクレジットカード決済再開日につきましては、決定次第、改めてWebサイト上にてお知らせいたします。

また、弊社は今回の不正アクセスにつきまして、監督官庁である個人情報保護委員会には2022年6月23日に報告済みであり、また、所轄警察署にも2022年7月4日被害報告を行なっており、今後必要な捜査に全面的に協力してまいります。


週刊OSINT #2023-04号

 

今号ではTelegramに関する別のTips、ダークウェブへの潜入、その他をお送りします。

  • Tips on Dark Web
  • ADS-B Exchange
  • Telegram Tip
  • Privacy Guides
  • Chronophoto

記事: Tips on Dark Web

Authentic8 は最近、マイケル・ジェームズがダークウェブでの調査に関する知識を共有する記事を書きました。この記事に加えて、マイケルは昨年ポッドキャストにも出演し、サイトとYouTubeで公開されました。ポッドキャストでは、ダークウェブに関する基礎知識、過去の調査例、そして調査中の安全確保に関する非常に有用なヒントを紹介しています。


小技: ADS-B Exchange

ADS-B ExchangeがJetnetに売却された話は、すでに多くの人が読んでいると思います。すべての情報が研究者のために利用可能なままである可能性もありますが、状況が変わることを想定して、ここにいくつかの代替案を示します。ほとんどは、数日から数週間前にさかのぼり、いくつかの無料情報を提供しています。

Freedarは、完全に無料のライブ追跡サイトです。世界各地をカバーしていますが、過去の情報を無料で提供しているわけではありません。レシーバーを「ワールドフィード」に変更すると、グローバルな情報を得ることができます。

FlightAwareは、2週間前からの履歴を含む、いくつかの無料情報を持っています。これは、ほとんどの人にとって十分な情報でしょう。

OpenSky Networkは、過去のフライトの非常に大きなデータセットを持っており、オープンAPIは、より技術に精通した人々にとって興味深いものです。アカウントが必要ですが、提供する情報量を制限しているようです。

RadarBoxも、1週間ほど遡って、指定した航空機のフライトなど、無料の情報があります。

ADS-B.nlにも無料の履歴情報がありますが、軍用機や警察のヘリコプターのような政府所有の機体に関するものだけです。

交通データに関する他の興味深いリンクは、'atmdata' の GitHub ページで見ることができます: https://atmdata.github.io/sources

上記のリンクの他に、ADS-Bデータを取得する人々は、作成中の新しいプラットフォームにデータを送信することも選択できます。これらの新しい選択肢の1つがglobe.adsb.fiです。しかし、間違いなく、より多くのサイトが今後数週間または数ヶ月で続くでしょう。


小技: Telegram Tip

先日、Telegramのエクスポートからユーザー名を抽出する方法をご紹介しました。早速、Roman Höfnerから、TelegramのDesktopバージョンで作成されたJSONベースのエクスポートでそのようなことが可能かどうかという質問を受けました。そこで私は、標準的なツールをいくつか使って、jqという気の利いたツールをインストールするだけで、別のワンライナーを作成しました。もちろん、Pythonのコードや他のプログラム言語を数行使用することで解決することができます。その結果、こうなりました。

jq -r '.messages[] | "\"\(.from)\",\"\(.from_id[4:])\""' result.json | sort -u > output.csv

  • jq は JSON データを処理するツールです。
  • -r は、jq に生の出力を使用するように指示します。
  • .messagesは、jqに'messages'のJSON配列の中を探すように指示します。
  • .fromは表示名を与えます
  • .from_id[4:] はユーザーIDで、最初の4文字('user')を取り除きます。
  • result.jsonは入力ファイルです。
  • sort -u は出力をソートし、ユニークな値のペアのみを表示します。

エクスポートされたTelegramグループチャットのソート結果

この出力はoutput.csvというファイルに書き出され、出力にダブルクォートをつけたので、インポートができるようになります。actorsactor_idがあるようなexportがあります。このエピソードを公開する直前に判明したことなので、宿題と思っておいてください。 


サイト: Privacy Guides

以下のリンクは、Apex29989831さんがTwitterでシェアしてくれたものです。Privacy Guidesというウェブサイトには、オンラインプライバシーに関するツール、設定、一般的な情報などのマニュアル、ヒント、概要がたくさん掲載されています。このウェブサイトは情報の宝庫であり、このトピックに初めて触れる人はぜひ一度見てみることをお勧めします。


サイト: Chronophoto

Twitterユーザーのwaxyさんが、特定の写真が作られた年を推測・推定する素敵なオンラインゲームを紹介してくれました。位置情報だけでなく、写真がいつ作られたかを知ることは、とても便利なことです。このゲームでは、Google Lensですべての画像をチェックしない限り、自分のスキルをテストしたり、トレーニングしたりすることができます。

写真の作成年を推測します

出典:Week in OSINT #2023-04

VPN見直し

2021年にVPNを導入したが、契約期間の満了が近づいてきた。

現在はprivateVPNを使っているのだが、VPNだとブロックされるサイト(JALマイレージパークとか)がちらほら出てきているため、見直しをしてみることにした。

候補は12のVPNサービス。

1. NordVPN - 最高・最速のVPNサービス($3.49/月)


2. Surfshark VPN - デバイス制限のないプライバシー重視のVPN($2.30/月)


3. PrivateVPN - 低価格のストリーミングに最適なVPN($2.00/月)


4. Atlas VPN - デバイス数無制限、無料版もあるVPN($2.05/月)


5. Proton VPN - 400%高速化する最高のVPN($4.99/月)


6. PureVPN - P2Pに適したVPNで、多くのプラットフォームをサポート($2.08/月)


7. IPVanish - 無料アンチウイルスでトップランクのVPN($3.99/月)

8. Ivacy VPN - 巨大な割引と輝かしいセキュリティのあるVPN($1.00/月)


9. ExpressVPN - パフォーマンスを重視した素晴らしいVPN($8.32/月)


10. Private Internet Access - おそらく最大のサーバーリストを持つVPN($2.03/月)


11. VyprVPN - セキュリティ、プライバシー、ストリーミングに特化したVPN($5.00/月)


12. CyberGhost - 効果的で無駄のないVPN($2.03/月)


今回は1USD/月で使える、Ivacy VPNを採用してみることにした。評価は以下の通り。

セキュリティ&プライバシー:Ivacyはシンガポールに拠点を置いており、ノーログポリシーによって保護されています。さらに、AES 256ビット暗号化、IP&DNSリーク、DDoS攻撃からの保護があり、オンラインを安全にします。

パフォーマンス:69カ国以上に5700台以上のサーバーからなる巨大なネットワークにより、最適な速度と安定した接続性を誇ります。

特徴:マルウェアブロッカーが不審なファイルを処理するため、ユーザーは安全なファイルダウンロードの恩恵を受けることができます。また、Ivacy VPNには、スプリットトンネリングやポートフォワーディングなどの機能もあります。もう一つの優れた機能は、スマートパーパスセレクションです。これは、安全なダウンロード、ストリーミング、またはブロックの解除といった目的に応じて、適切なサーバーに接続することを支援します。

ストリーミングとP2P:ストリーミングファンは、HDまたは4Kビデオ品質を期待することができます。Ivacy VPNは、Netflix、BBC iPlayer、Amazon Prime Videoなどのブロックを解除するための専用サーバーも提供しています。

互換性:プロバイダーは、人気のあるプラットフォーム、Android TVとAmazon Fire TV Stick用のアプリを用意しています。さらに、ブラウザの拡張機能があり、ルーター、Roku、Raspberry Piをサポートしています。

月額1.00ドル:Ivacy VPNは、時々特別な割引を提供します。1ライセンスで10同時接続が可能です。7日間のトライアルは$0.99で可能です。無料版もあり、帯域幅無制限で4つのサーバーロケーションがあります。また、P2Pは可能ですが、ストリーミングは不可です。30日間の返金保証が、すべてのプランで提供されています。

30日間返金保証があるので、購入してみようと思ったら、90%オフキャンペーンをやっていた。

5年利用で60USD。


TopCashbackを経由すると更に40%オフになる。


出典:Best VPN Service of 2023