ラベル セキュリティ の投稿を表示しています。 すべての投稿を表示
ラベル セキュリティ の投稿を表示しています。 すべての投稿を表示

[Kali Linux] Nmap (Network Mapper) ~解放ポートの調査~


Nmap(Network Mapper)は、ネットワークディスカバリーとセキュリティ監査のためのフリーでオープンソース(ライセンス)のユーティリティです。また、多くのシステム管理者やネットワーク管理者は、ネットワークのインベントリ、サービスのアップグレードスケジュールの管理、ホストやサービスの稼働時間の監視などの作業にもNmapを活用しています。Nmapは、生のIPパケットを斬新な方法で使用して、ネットワーク上で利用可能なホスト、ホストが提供しているサービス(アプリケーション名とバージョン)、ホストが実行しているオペレーティングシステム(およびOSバージョン)、使用されているパケットフィルタ/ファイアウォールの種類、その他数多くの特徴を把握する。Nmapは、大規模なネットワークを迅速にスキャンするために設計されていますが、単一のホストに対しても問題なく動作します。Nmapスイートには、従来のコマンドラインのNmap実行ファイルに加えて、高度なGUIと結果ビューア(Zenmap)、柔軟なデータ転送、リダイレクト、デバッグツール(Ncat)、スキャン結果を比較するユーティリティ(Ndiff)、パケット生成・応答解析ツール(Nping)が含まれている。
 

Nmapは、Linux Journal、Info World、LinuxQuestions.Org、Codetalker Digestの各誌で「Security Product of the Year」に選ばれた。また、「The Matrix Reloaded」、「Die Hard 4」、「Girl With the Dragon Tattoo」、「The Bourne Ultimatum」など、12本の映画にも登場している。

Nmapの特徴

  • フレキシブル:IPフィルタ、ファイアウォール、ルータなどの障害物で満たされたネットワークをマッピングするための何十もの高度な技術をサポートします。これには、多くのポートスキャンメカニズム(TCPとUDPの両方)、OS検出、バージョン検出、Pingスイープなどが含まれます。ドキュメントのページをご覧ください。

  • パワフル:Nmapは、文字通り何十万台ものマシンからなる巨大なネットワークのスキャンに使われてきた。

  • ポータブル:Linux、Microsoft Windows、FreeBSD、OpenBSD、Solaris、IRIX、Mac OS X、HP-UX、NetBSD、Sun OS、Amigaなど、ほとんどのOSに対応している。

  • 簡単:Nmapはパワーユーザ向けの高度な機能を豊富に備えているが、最初は「nmap -v -A targethost」程度の簡単な操作で始められる。従来のコマンドライン版とグラフィカル(GUI)版の両方が用意されているので、好みに応じて使い分けることができる。Nmapをソースからコンパイルしたくない人のために、バイナリも用意されている。

  • フリー:Nmapプロジェクトの主な目標は、インターネットの安全性を少しでも高めること、および管理者/監査人/ハッカーにネットワークを調査するための高度なツールを提供することである。Nmapは無料でダウンロードでき、完全なソースコードも付属しているので、ライセンスの条件に従って変更したり再配布したりすることができる。

  • ドキュメントが充実:包括的で最新のマニュアルページ、ホワイトペーパー、チュートリアル、さらには書籍に至るまで、多大な努力が払われている。複数の言語で提供されていますので、ぜひご覧ください。

  • サポート:Nmapには保証がついていないが、開発者とユーザの活気あるコミュニティによって十分にサポートされている。サポートのほとんどは、Nmapのメーリングリストで行われている。ほとんどのバグレポートや質問は、nmap-devメーリングリストに送るべきですが、ガイドラインを読んだ後にしてください。すべてのユーザーには、トラフィックの少ないnmap-hackersアナウンスメントリストを購読することをお勧めします。また、NmapはFacebookやTwitterでもご覧いただけます。リアルタイムのチャットは、FreenodeまたはEFNetの#nmapチャンネルに参加してください。

  • 賞を受賞:Nmapは、Linux Journal、Info World、Codetalker Digestの「Information Security Product of the Year」など、数多くの賞を受賞している。また、何百もの雑誌記事、いくつかの映画、何十冊もの書籍、1つのコミックシリーズでも紹介されている。詳細はプレスページをご覧ください。

  • 人気がある:毎日、何千人もの人々がNmapをダウンロードしており、多くのオペレーティングシステム(Redhat Linux、Debian Linux、Gentoo、FreeBSD、OpenBSDなど)に搭載されている。また、Freshmeat.Netのリポジトリでは、(30,000個のうちの)上位10個のプログラムに入っている。このことは、Nmapの開発およびユーザサポートコミュニティが活発であることを意味している。


 ターゲットIP(59.152.32.35)の解放ポート検索例

# nmap 59.152.32.35
Starting Nmap 7.91 ( https://nmap.org ) at 2021-04-07 20:02 JST
Nmap scan report for 59.152.32.35
Host is up (0.052s latency).
Not shown: 993 closed ports
PORT    STATE    SERVICE
22/tcp  open     ssh
80/tcp  open     http
135/tcp filtered msrpc
139/tcp filtered netbios-ssn
179/tcp open     bgp
443/tcp open     https
445/tcp filtered microsoft-ds

Nmap done: 1 IP address (1 host up) scanned in 2.71 seconds


ターゲットIP(59.152.32.35)の検索例 ※バージョン情報も取得するパターン

# nmap -sV 59.152.32.35
Starting Nmap 7.91 ( https://nmap.org ) at 2021-04-07 20:03 JST
Nmap scan report for 59.152.32.35
Host is up (0.050s latency).
Not shown: 993 closed ports
PORT    STATE    SERVICE      VERSION
22/tcp  open     ssh          OpenSSH 7.9p1 Debian 10+deb10u2 (protocol 2.0)
80/tcp  open     http         nginx
135/tcp filtered msrpc
139/tcp filtered netbios-ssn
179/tcp open     tcpwrapped
443/tcp open     ssl/http     nginx
445/tcp filtered microsoft-ds
Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel

Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 15.81 seconds


ー2021/12/29追記ー

A little bit about Nmap

Nmapコマンドを簡単にまとめます。

Scan typeCommand
Discovery - ARP Scansudo nmap -PR -sn Target_IP/24
Discovery - ICMP Echo Scansudo nmap -PE -sn Target_IP/24
Discovery - ICMP Timestamp Scansudo nmap -PP -sn Target_IP/24
Discovery - ICMP Address Mask Scansudo nmap -PM -sn Target_IP/24
Discovery -TCP SYN Ping Scansudo nmap -PS22,80,443 -sn Target_IP/30
Discovery - TCP ACK Ping Scansudo nmap -PA22,80,443 -sn Target_IP/30
Discovery - UDP Ping Scansudo nmap -PU53,161,162 -sn Target_IP/30
Port Scan - TCP Connect Scannmap -sT Target_IP
Port Scan - TCP SYN Scansudo nmap -sS Target_IP
Port Scan - UDP Scansudo nmap -sU Target_IP
Port Scan - TCP Null Scansudo nmap -sN Target_IP
Port Scan - TCP FIN Scansudo nmap -sF Target_IP
Port Scan - TCP Xmas Scansudo nmap -sX Target_IP
Port Scan - TCP Maimon Scansudo nmap -sM Target_IP
Port Scan - TCP ACK Scansudo nmap -sA Target_IP
Port Scan - TCP Window Scansudo nmap -sW Target_IP
Port Scan - Custom TCP Scansudo nmap --scanflags URGACKPSHRSTSYNFIN Target_IP
Port Scan - Spoofed Source IPsudo nmap -S SPOOFED_IP Target_IP
Port Scan - Spoofed MAC Addresssudo nmap -sT --spoof-mac SPOOFED_MAC Target_IP
Port Scan - Decoy Scansudo nmap -D DECOY_IP,Target_IP
Port Scan - Idle (Zombie) Scansudo nmap -sI ZOMBIE_IP Target_IP
Port Scan - Fragment IP data into 8 bytes-f
Port Scan - Fragment IP data into 16 bytes-ff
Port Scan - Service Detectionsudo nmap -sV --version-light Target_IP
Port Scan - OS Detectionsudo nmap -sS -O Target_IP
Port Scan - Traceroutesudo nmap -sS --traceroute Target_IP
Port Scan - Default scriptssudo nmap -sS -sC Target_IP
Port Scan - FTP Brute force scriptssudo nmap -sS -n --script "ftp-brute" Target_IP

すべての有用なパラメータの概要、パラメータを含む表。

OptionMeaning
-snhost discovery only
-nno DNS lookup
-RDNS lookup for all hosts
-p-scan all ports
-p1-1023port range, from 1 to 1023
-Ftop 100 most common ports
-rscan ports in consecutive order
-T<0-5>scan timing, T0 - slowest, T5 fastest
--max-rate 20rate <= 20 packets/sec
--min-rate 10rate >= 15 packets/sec
-vverbose mode
-vvvery verbose mode
-ddebugging
-dddetailed debugging
--reasonadd more info from Nmap about decision it takes
-sVversion of service detected on open port
-sV --version-lightamount of version probes (2)
-sV --version-allall available probes (9)
-Odetect OS
--tracerouterun traceroute to target
--script=SCRIPTSNmap scripts to run
-sC or --script=defaultrun default scripts
-Aequivalent to -sV -O -sC --traceroute
-oNsave output in normal format
-oGsave output in grepable format
-oXsave output in XML format
-oAsave output in normal, XML and Grepable formats

使用例

# sudo nmap -O -sV --version-intensity 5 --traceroute -oA /tmp/scan_output 192.168.1.1

ー2024/3/18追記ー

Nmapチートシート



SEC道後2024振り返り ~セキュリティの基本は、「開けたら閉める」、「使ったら片付ける」、「動かすなら管理する」、の3つだけ~

SEC道後2024
 

チケットの入手に成功したので、サイバーセキュリティシンポジウム道後2024に行ってきた。

なんだかんだで11回も参加している。武漢ウイルス(コロナ)の影響を色々受けたが、今回遂に開催時期が3月に戻ってきた。

この時期は花粉がつらい。しかも風邪もひいてしまって、くしゃみをすると花粉が原因だか風邪が原因だか訳の分からない状況。

でもこの時期は温泉が楽しめるので、それだけでも幸せ。

アジェンダ

■Day1

・基調講演:我が国のサイバーセキュリティ政策

山内智生 氏(総務省 サイバーセキュリティ統括官室 サイバーセキュリティ統括官)

・講演(1):デジタル社会におけるサイバー空間の脅威への対応

佐々木彩乃 氏(警察庁 サイバー警察局サイバー企画課 課長補佐)

・パネルディスカッション:あらためて考える インシデントに備えて我々は何をしないといけないのか?

佐藤公信 氏(国立研究開発法人 情報通信研究機構)

今佑輔 氏(一般社団法人ソフトウェア協会(研究員))

萩原健太 氏(一般社団法人日本シーサート協議会)

竹原一駿 氏(香川大学 情報化推進統合拠点 (助教))

・日本シノプシス合同会社 presents 特別講演:日本のサイバーセキュリティ政策と自動車、医療機器などの国際的なサイバーセキュリティ規制の社会への影響を考える

松岡正人氏(日本シノプシス合同会社 ソフトウェア・インテグリティ・グループ シニア・テクニカル・マーケティング・マネージャ)

■Day2

・講演(2):わかる!CYNEX 〜 つながる日本のサイバーセキュリティ 〜

井上大介 氏(国立研究開発法人情報通信研究機構(NICT))

・講演(3):JR東日本におけるDXの取組みとサイバーセキュリティ

西村佳久 氏(東日本旅客鉄道株式会社 執行役員 イノベーション戦略本部統括)

西本逸郎 氏(株式会社ラック 代表取締役社長)

・講演(4):「いま何が起きているのか公開事例から読み解く ~セキュリティ対策ありきではないセキュリティ対策を~」

佳山こうせつ 氏(東京電機大学 サイバーセキュリティ研究所)

気づきがあったセッションとメモ。


我が国のサイバーセキュリティ政策

我が国のサイバーセキュリティ政策
出典:https://www.facebook.com/photo/?fbid=817006360470084&set=pcb.817006383803415

名古屋港の件で重要インフラ分野に新たに「港湾」を加わえる方向で検討しているらしい。この話を聞いて、以前「海運」が重要インフラ分野に入っていないことに対する話を聞いた事を思い出した。

港湾を重要インフラに入れるのは良いのだが、是非海運も入れてやって欲しいと思った。

また、セキュリティというと技術的対策に視点が行きがちだが、寿司屋の一件のような人的リスクを踏まえると「ガバナンス」と考えるべきで、技術一辺倒だけでなく、バランスが重要と感じた。

最近はTB級のDDoS攻撃も見かけるようになっているため、この点は引き続き脅威らしい。国内で攻撃が発生しないように監視の強化が必要(=ザルなIoT機器の対策強化)

AIをどう考えるか?労働集約型の部分はAIに置き換えていくべきだが、判断の部分は人間がすべき。AIはアカデミック的には「素性の知らない物知り屋」で、「口が軽い(=インプットされたデータを気軽の他人のアウトプットに活用してしまう)」

総務省で「サイバー攻撃被害に係る情報の共有・公表ガイダンス」を作成したが、いざ公表しようとすると会社の広報部門につぶされる事象が発生。これに対応すべく、アドバンス版を作っているらしい。

人材育成(判断できるように人を育てる)は重要。


パネルディスカッション:あらためて考える インシデントに備えて我々は何をしないといけないのか?

あらためて考える インシデントに備えて我々は何をしないといけないのか?
出典:https://www.facebook.com/photo/?fbid=817075950463125&set=pcb.817075973796456

年間600件くらいのインシデントに携わってきた猛者が言うには、インシデントを起こす残念な組織にある質問をすると必ず同じ答えが返ってくるらしい。

その質問は「構成図ありますか?」

そしてその答えは「・・・・・」

ま、構成図を管理できないようなずさんな組織なので、不正アクセスを受けるわけでして‥‥。

世の中って複雑な様で、真理はシンプル。

セキュリティで重要な事は、世の中の他の「当たり前」と実は大して変わらない。

  • 開けたら閉める(ポート)
  • 使ったら片づける(アカウント)
  • 動かすなら管理する(サービス)


わかる!CYNEX 〜 つながる日本のサイバーセキュリティ 〜

わかる!CYNEX 〜 つながる日本のサイバーセキュリティ 〜
出典:https://www.facebook.com/photo?fbid=817559547081432&set=pcb.817559573748096

「俵飯」とか、「アレ勢」とか、なんか聞いた事があるキーワードが出てくると思っていたら、なんとネク長直々の講演だった。

日本のセキュリティ製品の自給率は低く(感覚的に10%未満)、多くの海外製品に依存しており、シェアも、キャッシュ(お金)も、セキュリティに関連したデータも海外に持っていかれてしまっている。

このような背景のもとで、サイバー攻撃に関連するデータとセキュリティ人材育成のためのセキュリティ基盤組織の構築を目指して「CYNEX」が作られた。

「CYNEX」の紹介や取り組みを聞いたものの、「俵飯」の話が強烈すぎて、それしか記憶に残っていない。。。

ちなみに下の動画の常連さんがネク長ということらしい。


ちなみに俵飯の詳細は#セキュリティのアレでも聞くことができる。


JR東日本におけるDXの取組みとサイバーセキュリティ

JR東日本におけるDXの取組みとサイバーセキュリティ
出典:https://www.facebook.com/photo/?fbid=817589990411721&set=pcb.817590033745050

LACの西本さんが毎年ゲストを引っ張ってくる感じのするスペシャルコンテンツ。

今回はJR東日本の執行役員が登場。

SEC道後2024で一番価値があったセッションは何だったかと言われたら、恐らくこのセッションだったのではないかと思う。

こういう貴重なセッションは参加社特典なので詳細は話さないが、感じたのは2点

  • グループ組織の場合HQから「やれ」だけでなく、現場を回って説明することが重要

  • グループ統一施策に対して反抗的な子会社には可視化して、グループ各社長が集う会議で示すのが効果的(分かる人にはわかると思うのでこれ以上は言わない)

その他

SEC道後は13回目(って言っていた気がする)となり、四国では間違いなく最も大きいセキュリティカンファレンス。

前回くらいから地元メディアでニュースになるくらいのインパクトになっている。


こういうのは地域経済への貢献にもなるので、来年もチケットが取れれば是非参加したい。

ランサムウェアギャングが発表した被害組織リスト(2024年1月~2月)BY StealthMole

ランサムウエアギャング
 

StealthMole(旧Dark Tracer)による、2024年1月~2月のランサムウェア被害を受けた日系企業のリスト。

shinwajpn.co.jp

  • 組織名:進和外語アカデミー
  • ランサムウエアギャング:LockBit

agc.com

soken-ce.co.jp

PDFidをつかってpdfファイルを解析する

PDFファイル調査
 

潜む悪意を見逃すな!PDFファイルを素早く安全にスキャンするツール

PDFファイルは便利ですが、悪意のあるコードが埋め込まれている可能性もあり、セキュリティ上のリスクとなります。そこで今回は、PDFiDというツールをご紹介します。

PDFiDは、PDFファイル内の特定のキーワードをスキャンし、潜在的な脅威を素早く検出するツールです。 JavaScriptを含むPDFや、開いたときにアクションを実行するPDFなど、危険なファイルを見つけ出すことができます。

PDFiDの特長

  • 軽量でシンプルな設計
  • 高速なスキャン
  • 難読化されたファイル名にも対応
  • 疑わしいファイルのみを詳細な解析に送ることで、時間を節約

使い方

  • aptコマンドでインストールします。

    sudo apt install pdfid

  • 使い方
root@kali:~# pdfid -h
Usage: pdfid [options] [pdf-file|zip-file|url|@file] ...
Tool to test a PDF file

Arguments:
pdf-file and zip-file can be a single file, several files, and/or @file
@file: run PDFiD on each file listed in the text file specified
wildcards are supported

Source code put in the public domain by Didier Stevens, no Copyright
Use at your own risk
https://DidierStevens.com

Options:
  --version             show program's version number and exit
  -h, --help            show this help message and exit
  -s, --scan            scan the given directory
  -a, --all             display all the names
  -e, --extra           display extra data, like dates
  -f, --force           force the scan of the file, even without proper %PDF
                        header
  -d, --disarm          disable JavaScript and auto launch
  -p PLUGINS, --plugins=PLUGINS
                        plugins to load (separate plugins with a comma , ;
                        @file supported)
  -c, --csv             output csv data when using plugins
  -m MINIMUMSCORE, --minimumscore=MINIMUMSCORE
                        minimum score for plugin results output
  -v, --verbose         verbose (will also raise catched exceptions)
  -S SELECT, --select=SELECT
                        selection expression
  -n, --nozero          supress output for counts equal to zero
  -o OUTPUT, --output=OUTPUT
                        output to log file
  --pluginoptions=PLUGINOPTIONS
                        options for the plugin
  -l, --literalfilenames
                        take filenames literally, no wildcard matching
  --recursedir          Recurse directories (wildcards and here files (@...)
                        allowed)
  • 実行例
root@kali:~# pdfid /usr/share/doc/texmf/fonts/lm/lm-info.pdf
PDFiD 0.0.12 /usr/share/doc/texmf/fonts/lm/lm-info.pdf
 PDF Header: %PDF-1.4
 obj                  526
 endobj               526
 stream               151
 endstream            151
 xref                   1
 trailer                1
 startxref              1
 /Page                 26
 /Encrypt               0
 /ObjStm                0
 /JS                    0
 /JavaScript            0
 /AA                    0
 /OpenAction            0
 /AcroForm              0
 /JBIG2Decode           0
 /RichMedia             0
 /Launch                0
 /EmbeddedFile          0
 /Colors > 2^24         0

PDFiDとpdf-parser.pyの使い分け

PDFiDは、PDFファイルの迅速なトリアージに最適です。疑わしいファイルが見つかった場合は、pdf-parser.pyなどの詳細な解析ツールを使ってさらに詳しく調べることをおすすめします。

PDFiDは、セキュリティ意識の高いすべてのユーザーにおすすめのツールです。 ぜひダウンロードして、あなたの大切なデータを悪意のある攻撃から守ってください。

参考①:MalDoc in PDF - 検知回避を狙って悪性なWordファイルをPDFファイルへ埋め込む手法 -

参考②:pdfid | Kali Linux Tools

無料で使えるサイバー脅威インテリジェンスソースとツール10選


サイバーセキュリティの動向を常に把握することは、絶え間なく進化する状況を考慮すると、難易度が上がってきています。これは、新たに発見される脆弱性や新しい攻撃手法、サイバー攻撃者が使用する戦術、技術、手順(TTP)などを含みます。このような時間を要する作業を支援し、実用的な情報を得るためのツールの存在はますます重要になっています。

そこでセキュリティ業務のCTI(サイバー脅威インテリジェンス)に役立つと思われるツールおよびソースのリストを作成しました。これらのオプションは、少なくとも一部の機能を無料で提供しています。

1- AlienVault Open Threat Exchange

AlienVault Open Threat Exchange (OTX)は、脅威研究者とセキュリティ専門家のグローバルコミュニティにオープンアクセスを提供します。このプラットフォームは、コミュニティが生成した脅威データを提供し、共同研究を促進し、あらゆるソースからの脅威データでセキュリティインフラストラクチャを更新するプロセスを自動化します。

OTXはクラウドソーシングによる脅威インテリジェンス・コーパスのパイオニアであり、現在でも最高のものの1つとして機能しています。毎日1,900万件以上の新しいIoC(Indicators of Compromise)レコードを処理し、無料で利用できます。OTXはSTIX、OpenIoC、MAEC、JSON、CSV形式など、さまざまな形式で脅威インテリジェンスを提供し、各フィードサンプルは「パルス」と呼ばれます。

さらに、エンドポイントなどデバイスの種類に合わせたフィードを受信するオプションも提供されています。関連するデータがフィードのパラメータから外れる場合、この追加データは配信されたレコード内にリンクされます。


2- CTI4SOC

SOCRadarの新しい独立型CTIソリューションであるCTI4SOCは、SOCアナリストの作業を支援するために設計された次世代の脅威インテリジェンスプラットフォームです。12の機能モジュールを備えたユニークなSOCチームのアシスタントとして機能します。

従来の脅威インテリジェンスプラットフォームとは異なり、CTI4SOCはビッグデータによって駆動され、アナリストがさまざまなツールを使用して取得できるすべてのデータを整理された文脈に表示します。

CTI4SOCを使用すると、SOCチームは真の有用な情報を探すためにさまざまな情報源を航海する必要はありません。プラットフォームはアナリストの視点で情報を選択し、フィルタリングし、研究を開始するための適切な仮説を提供します。

このプラットフォームは、有用な情報を編纂するだけでなく、実行可能なコンテキストで提示します。 SOCRadarセキュリティアナリストや他の信頼できるソースが公開した脅威レポートへのワンクリックアクセスを提供します。

今日の絶え間なく進化する脅威の中では、一部の脅威行為者は特定のセクターを標的にし、独自の特徴を持っています。 SOCアナリストがこれらの敵対者の戦術、技術、手順(TTP)、動機、および行動パターンを理解することは、研究プロセスに直接貢献します。 CTI4SOCを使用すると、アクティブな脅威行為者をウォッチリストに追加して、彼らの活動を追跡することができます。

SOCRadarの脅威ハンティングモジュールは、調査フェーズ後のSOCアナリストにとって最も貴重なツールです。そこから、セキュリティ担当者は、コマンド&コントロール(C2)センター、マルウェア、IPアドレス、およびドメインなどの重要な情報を検索して、作業を拡張することができます。 CTI4SOCは、APIに対応したソリューションであり、このような実行可能なデータを可能な攻撃が発生した場合にすぐに利用できるようにします。


3- DOCGuard

DOCGuardは、Secure Email Gateways(SEG)およびSOARソリューションと統合されるマルウェア分析サービスです。

このサービスは、構造解析として知られる新しいタイプの静的解析を利用しています。マルウェアを部品に分解し、ファイル構造のコンポーネントに基づいてそれらをコアエンジンに転送します。このアプローチを用いることで、DOCGuardはマルウェアを一意に検出し、F/Pフリー(誤検知フリー)のCompromise(IoC)指標を抽出し、シーケンスエンコーディングや文書暗号化などの難読化と暗号化を識別できます。

現在、サポートされているファイルタイプには、Microsoft Officeファイル、PDF、HTML、HTM、LNK、JScript、ISO、IMG、VHD、VCF、およびアーカイブ(.zip、.rar、.7zなど)が含まれます。構造解析の詳細な調査結果は、GUIで集約されたビューで提示され、JSONレポートとしてダウンロードすることができます。これらの調査結果はAPIを介しても収集できます。

DOCGuardの画期的なアナライザーエンジンにより、ファイルを数秒で分析し、どのような既知の攻撃方法も見逃さずに検出することができます。さらに、この分析は驚くほど低いシステムリソースで実行します。DOCGuardは、SIEMやSOARソリューション、PhishMe、Cofenseなど、さまざまなソースからの検証の自動化を容易にします。このサービスは、APIインターフェースを使用して、数分でサイバーセキュリティエコシステムにシームレスに統合し、迅速なサンプル分析を提供します。Dockerコンテナを展開してDOCGuardを簡単にインストールし、サイバーセキュリティインフラストラクチャに統合することができます。


VirusTotalは、DOCGuardと統合された文書分析協力により、コミュニティがスキャン文書を別の視点から見ることができるようになると発表しました。


4- GreyNoise

GreyNoiseは、サイバー脅威インテリジェンス(CTI)アナリストや脅威ハンター向けの可視化と深いコンテキストを提供します。インターネット全体でのブラウジング活動に関するデータを収集し、脅威インテリジェンス情報を分析する際の誤検知を減らすのに役立ちます。GreyNoiseは、Shodanのような良性のスキャナーだけでなく、SSHやTelnetのワームなどの悪意のある行為者に関する情報も収集します。さらに、SOCアナリストが見落としがちなノイズデータも特定します。

GreyNoiseは、セキュリティイベントにおけるインターネットブラウザーと一般的なビジネス活動を識別し、より迅速かつ安全な意思決定を可能にします。GreyNoiseのViewer、API、またはGreyNoiseデータをセキュリティツールに統合して使用する場合、セキュリティログで重要な情報を見つけ出し、作業に戻ることができます。

GreyNoiseの統合は、脅威インテリジェンスプラットフォーム(TIP)でのデータエンリッチメントを容易にし、CTIチームが異なる情報源を取り込む際に遭遇するノイズや誤検知を排除するのに役立ちます。脅威ハンターは、GreyNoiseを有効にして、戦術、技術、手順(TTP)の異常なパターンを発見し、敵のキャンペーンやインフラストラクチャを明らかにすることができます。また、GreyNoise Analysisツールを使用して、Indicators of Compromise(IoC)に詳細にアクセスし、調査のタイムラインを加速させることができます。


5- Intezer 

Intezerは、経験豊富なセキュリティアナリストやリバースエンジニアのようにアラートを分析し、調査するために設計されたプラットフォームです。

長年にわたり、Intezerは独自のコード分析エンジンの機能を微調整し、拡張してきました。これにより、SOCチームの負担の大きいまたは繰り返しのタスクを自動化することができます。自動化されたプレイブック、サンドボックス、アラートのエンリッチメント以上の機能を備え、アクションを起こし、スマートな判断を下し、インシデント対応に関するチームへの推奨事項を提供します。

Intezerの自己指導型SOCプラットフォームは、24時間365日、チームのためにアラートの優先順位付けを行い、脅威を調査します。自動化された分析、インテリジェントな推奨事項、自動化されたリメディエーションを利用することで、Intezerは、偽陽性、繰り返しの分析タスク、高レベルで時間のかかるアラートの取り扱いにチームの時間を浪費することを防ぎます。

Intezer Analyzeは、任意の種類のファイルに対して静的、動的、遺伝子解析を実行できるオールインワンのマルウェア分析プラットフォームです。これにより、インシデント対応およびSOCチームは、マルウェア関連のインシデントの調査を効率化できます。ユーザーはマルウェアファミリを追跡したり、IoC/MITRE TTPsを抽出したり、YARAシグネチャをダウンロードしたりできます。また、無料で始めるためのコミュニティ版も利用できます。

Intezer Transformationsを使用すると、マルウェアアナリストや脅威リサーチャーは、怪しいファイルやエンドポイントに関する迅速な回答を得ることができ、数秒で怪しいファイルやマシンを分類し、対応時間を短縮し、複数のマルウェア分析ツールを統合することができます。

Intezerは、タイムリーかつ詳細なレポートを提供し、潜在的に機密性の高いデータをアップロードし、すべてのアラートを自動的に優先順位付けし、調査するための専用インスタンスを持つことが「必須」とされています。このプラットフォームは、確認された重大な脅威のみを提供します。アラートシステムを簡単に接続し、日常の運用を変更せずに即座に価値を出すことができます。


6- MISP Threat Sharing

MISP(以前はMalware Information Sharing Platformと呼ばれていました)は、脅威情報を共有するためのオープンスタンダードを備えた無料の脅威インテリジェンスプラットフォームです。CIRCLによって作成され、サイバーセキュリティインシデントやマルウェア解析に関連するサイバーセキュリティ脅威を収集、保存、配布、共有する機能を提供しています。

MISPは、データベース内の脅威インテリジェンスからマルウェア、攻撃、またはキャンペーンに関連する属性や指標と相関関係を持たせることができます。SOCアナリスト、セキュリティおよびICTプロフェッショナル、マルウェアリバースエンジニアのために設計され、彼らの日常業務をサポートし、構造化された情報を効率的に共有することができます。

MISPプロジェクトが拡大するにつれて、マルウェア指標だけでなく、詐欺や脆弱性情報もカバーするようになりました。今では、コアMISPソフトウェアとMISPをサポートする多くのツール(PyMISP)や形式(コア形式、MISPタクソノミ、警告リスト)を含むMISPという名前になっています。MISPは今やボランティアチームによってリードされるコミュニティプロジェクトです。

MISP、Malware Information Sharing Platform、およびThreat Sharingの主な機能には以下が含まれます:
  • マルウェアサンプル、インシデント、攻撃者、およびインテリジェンスに関する効率的なIoCおよび指標データベース。
  • マルウェア、攻撃キャンペーン、または分析からの属性や指標間の関係を見つけるための自動相関。
  • 複雑なオブジェクトを表現し、関連付けて脅威インテリジェンス、イベント、またはリンクされたアイテムを表現する柔軟なデータモデル。
  • さまざまな配布モデルを使用してデータを共有するための組み込みの共有機能。
  • エンドユーザーがイベントや属性/指標を作成、更新、および共同作業するための直感的なユーザーインターフェース。
  • MISPを独自のソリューションに統合するための柔軟なAPI。 MISPには、イベントの取得、イベント/属性の追加または更新、マルウェアサンプルの追加または更新、または属性の検索などを行うREST APIを介してMISPプラットフォームにアクセスする柔軟なPythonライブラリであるPyMISPが付属しています。
  • イベントを分類し、タグ付けするための調整機能。
  • MISPギャラクシーと呼ばれるインテリジェンス辞書。これには既存の脅威アクター、マルウェア、RAT、ランサムウェア、またはMITRE ATT&CKなどが含まれ、これらは簡単にMISP内のイベントや属性と関連付けることができます。

7- OpenCTI – Open Cyber Threat Intelligence Platform 

OpenCTIプロジェクトは、サイバー脅威インテリジェンス全体のための統合プラットフォームであり、情報の処理と共有を容易にするために設計されたツールです。これは、Computer Emergency Response Team (CERT-EU) とフランス国立サイバーセキュリティ機関 (ANSSI) の協力の賜物です。

OpenCTIは、組織がサイバー脅威インテリジェンス情報(CTI)と観測可能な情報を管理できるようにするプラットフォームです。サイバー脅威に関する技術的および非技術的な情報を記憶し、整理し、可視化するために作成されました。

データの構造化は、STIX2標準に基づく情報スキーマを使用して行われます。これは、GraphQL APIとユーザーエクスペリエンス(UX)に焦点を当てたフロントエンドを備えた現代のウェブアプリケーションとして設計されています。また、他のツールやアプリケーション(MISP、TheHive、MITRE ATT&CKなど)とも統合できます。

この脅威インテリジェンスプラットフォームに含まれる主な要素は次のとおりです:
  • OpenCTIは、STIX2標準に基づく一貫したデータモデルを通じて、リンクされた運用および戦略的なインテリジェンス情報を提供します。
  • 自動化されたワークフロー:エンジンは論理的な結論を自動的に導き出して洞察力とリアルタイムの接続を提供します。
  • 情報技術エコシステムとの統合:そのオープンソース設計により、ネイティブまたはサードパーティーのシステムとのシンプルな統合が可能です。
  • 賢明なデータ可視化は、アナリストがエンティティとそれらの接続、さらにはさまざまな表示オプションを使用してネストされた関係を視覚的に表現できるようにします。
  • 分析ツール:各情報とインディケーターは、分析、スコアリング、および修正を容易にするためにそれが来た主要なソースにリンクされます。
  • OpenCTIは、PythonまたはGo APIインターフェースとパワフルなWebインターフェースを備えたフレームワークです。

8- PhishTank

PhishTankは、無料のコミュニティサイトであり、共同作業プラットフォームであり、誰でもフィッシングデータを提出し、検証し、追跡し、共有することができます。これは、検証されたフィッシングURLの包括的なストリームを提供し、組織をフィッシング攻撃から保護するために活用できます。PhishTankはフィッシング検証システムとして機能し、ユーザーが疑わしいサイトを提出または評価し、オープンなAPIを提供します。

このプラットフォームは、人間の報告から得られた疑わしいフィッシングURLのリストを提供し、利用可能な場合は外部のフィードも組み込みます。PhishTankは無料のサービスですが、APIキーにサインアップすることが必要な場合があります。


9- Pulsedive

Pulsediveは、オープンソースのフィードを利用し、インディケーター・オブ・コンプロマイス(IoC)を補強し、リスクスコアリングアルゴリズムを実行してデータの品質を向上させる無料のコミュニティ脅威インテリジェンスプラットフォームです。ユーザーは、IP、URL、およびドメインを入力し、検索、スキャン、および補強することができます。さらに、脅威インテリジェンスフィードから派生したIoCを相関させ、更新し、特定のIoCがなぜ高リスクと見なされるかを説明するリスク要因をリストすることができます。このプラットフォームは、脅威と脅威活動の高レベルな概要を提供します。

ユーザーは、任意の組み合わせに基づいてインジケーターを検索できます: 値、タイプ、リスク、最後に見られたタイムスタンプ、脅威フィード、属性、およびプロパティ。さらに、次の基準の任意の組み合わせに基づいて脅威を検索できる機能もあります: 脅威名、エイリアス、カテゴリ、リスク、最後に見られたタイムスタンプ、フィード、および脅威属性。


10- VirusTotal

VirusTotalは、70以上のウイルス対策スキャナーやURL/ドメインブロッキングサービスと共にアイテムをチェックします。ユーザーはブラウザを使用して、コンピューターからファイルを選択し、VirusTotalにアップロードすることもできます。プラットフォームは、主要な公開Webインターフェース、デスクトップインストーラー、ブラウザ拡張機能、およびプログラムAPIを含む複数のファイルアップロードを提供しています。アップロード方法の中でもWebインターフェースが最も優先されます。アップロードは、HTTPベースの公開APIを使用して、どのプログラミング言語でも行うことができます。同様に、URLはVirusTotalのウェブページ、ブラウザ拡張機能、およびAPIを含むさまざまな方法で提出できます。

ファイルやURLがアップロードされると、その基礎となる結果が送信者と、結果を使用して自身のセキュリティを向上させるレビューパートナーと共有されます。したがって、ファイル、URL、ドメインをVirusTotalにアップロードすることで、グローバルなセキュリティレベルの向上に貢献します。

この基本的な分析は、ファイルやURLに関するコメントをユーザー同士で共有し合うことができるネットワークを含む、多くの他の機能の基盤としても機能します。VirusTotalは、悪意のあるコンテンツの検出や誤検知の特定に役立ちます。さらに、VirusTotalは、アップロードされたファイルを悪意のあるものとして識別した場合にユーザーに通知し、検出ラベルを表示します。また、ほとんどのURLスキャナーは、マルウェア、フィッシング、および不審なウェブサイトなど、さまざまな種類のウェブサイトを区別します。


電子メール追跡のためのOSINTツール「Zehef」

GitHubユーザーのN0rz3が、電子メールを効果的に追跡するために開発したオープンソースのインテリジェンス(OSINT)ツール「Zehef」を開発しました。

Zehefは、漏えいした個人または企業の電子メールとその登録場所を、ターゲットに警告することなく能動的に検出することで、セキュリティを強化します

Zehefの能力

  • ウェブサイトのスクレイピング: Zehefは「holehe」モジュールを使用してウェブサイトをスクレイピングし、電子メール登録をチェックします。

  • 漏洩チェック: 侵害や漏えいをチェックし、漏えいした電子メールについて警告を発します。

  • 評判のチェック:Zehefはemailrep.io APIを使用し、ターゲットメールのレピュテーションを評価します。

  • アカウントチェック: SnapchatとTikTokのアカウントを様々なフォーマットで検証します。

  • Pastebinチェック: Pastebin上の関連リンクを検索します。

Zehefのビルドとインストール

ZehefはPythonを使用して構築しました。このツールはさまざまなライブラリーとAPIを統合しており、コミュニティ・コラボレーション用にGitHubで公開されています。

インストール手順の概要

  1. まず、Python 3がインストールされていることを確認してください。
  2. ターミナルまたはコマンドプロンプトを開きます。
  3. Zehef リポジトリをクローンします。: git clone
    https://github.com/N0rz3/Zehef.git
  4. Zehef ディレクトリに移動します。: cd Zehef
  5. 必要なライブラリをインストールします。: pip install -r requirements.txt

Zehef を実行

  1. Zehefディレクトリで次のように実行します。: python zehef.py
  2. 調査したいメールアドレスを入力してください。
Zehefは、電子メールのセキュリティを心配する人々にとって強力な味方です。サイバーセキュリティの専門家だけでなく、個人にも最適です。

Zehefは重要な洞察を提供してくれますが、教育目的でのみ倫理的に使用することを忘れないでください。

メールのセキュリティ状況を理解することで、保護対策を講じることができます 。

サイバーセキュリティ・キャリア・フレームワークを使うべきか?


サイバーセキュリティ分野における最大の問題の1つは、技術革新に対応して役割と関連スキルセットが時とともに有機的に進化してきたことです。このため、雇用主によって同じ職務に割り当てられるスキルセットが異なることがよくあり、現在のスキル不足によって状況はさらに悪化しています。

このような食い違いは、企業にとっては人員計画を立てることを、求職者にとってはどのようにキャリアを築くべきかを判断することを、ともに非常に困難にしています。これを解決するために、必要とされていた透明性をもたらすキャリア・フレームワークが開発されました。これらのフレームワークは、候補者と職務をより正確にマッチングさせることで、雇用慣行と定着率の向上に役立つはずです。

米国のNICE

現在、多くのフレームワークが開発されており、それぞれ成熟度が異なっています。米国は、米国国立標準技術研究所(NIST)の「サイバーセキュリティ教育のための国家イニシアチブ(NICE)」でリードしており、当初は連邦省庁向けに開発されましたが、2020年に改訂されて以来、広く商業的に採用され始めています。NICE は、何が必要かを記述したタスク、知識、スキル(TKS)ステートメントで構成され、受験者はこれらに関連するコンピテンシーを達成することができます。雇用主はこれらのコンピテンシーを参照し、職務記述書に記載することになります。33の専門分野と52の職務をカバーする7つのカテゴリーがあるが、紛らわしいことに、1つの職務に複数の職務が含まれることもあります。

NICEには多くの側面があり、そのために理解するのが難しいかもしれません。そこで、National Initiative for Cybersecurity Careers and Studies(NICCS)は、ユーザーがフレームワークを理解するのを支援するために、Cyber Career Pathways Toolを開発しました。このツールは、どのスキルがどの職務に関連しているかを示し、また、転職を検討している候補者が関連職種を見極めるのに役立ちます。

英国のCCF

英国では、サイバーセキュリティ協議会(Cyber Security Council)がサイバー・キャリア・フレームワーク(Cyber Career Framework)を開発しています。このフレームワークは、16の専門分野を網羅し、労働生活、責任、給与、知識、スキル、転職(出世または横への移動)、資格に関する詳細情報を提供しています。

さらに、同協議会は今年初めに、インタラクティブなキャリアマッピングツールを展開しました。このツールは、サイバーセキュリティ分野でのキャリアを模索するために、他の分野から転職を希望する人々をサポートする目的で作成されました。

このフレームワークはまだ完成しておらず、Cyber Security Profession Chartered Standards (CSPCS) と並行して展開されています。CSPCSは、16の専門分野ごとに3つの認定基準(Associate、Principal、そして憧れのCharteredステータス)を提供することを目指しており、2025年までに大規模な改革を完了させる予定です。

EUのECSF

EUにおける欧州サイバーセキュリティ・スキルフレームワーク(ECSF)は、Enisa(欧州ネットワーク情報セキュリティ機関)が昨年9月に発表した最新のフレームワークです。このフレームワークは、12種類のサイバー職種のプロフィールを詳細にまとめており、代替可能な職名、職務概要、ミッション、成果物、主なタスク、主要なスキル、知識、コンピテンシーを「役割」として提示しています。さらに、雇用主、教育プロバイダー、候補者向けにガイダンスを提供するマニュアルも用意されており、それぞれの要件に適した情報を提供しています。また、ISACA、(ISC)2、ECSO(European Cyber Security Organisation)から提供された3つのユースケースも含まれています。

これらのフレームワークが各地域で広く採用されることで、雇用者にとってはサイバーセキュリティ分野の混乱が減少し、潜在的な採用者にとっては敷居が低くなることが期待されています。


日本のSecBok

情報セキュリティ知識分野(SecBoK)人材スキルマップは、セキュリティ関連の業務に従事する人材が必要とする知識とスキルを体系的に整理したものです。このスキルマップは、セキュリティの専門家から大学生まで、幅広い人々にとって参考資料として活用されています。

SecBoKは、16の役割(ロール)ごとに必要な前提スキルと必須スキルを詳細にまとめています。例えば、CISO(Chief Information Security Officer)、脆弱性診断士、インシデントハンドラーなど、さまざまなセキュリティ職種についての情報が含まれています。

特徴的な点として、以下の3つが挙げられます:
  • 知識分野カテゴリーの改定: 今注目されている「プラス・セキュリティ人材」について、業務の種類や立場に応じた基礎スキルを集約して追加い勝手を向上。
  • Job description(ジョブディスクリプション)の考え方: ジョブディスクリプションに基づくセキュリティ関連職種の募集例を提示。
  • プラス・セキュリティ人材育成や高等教育機関におけるシラバス作成の参考資料: SecBoK各ロールとの適合度の例や教育コースとのマッピング例を提供。
このスキルマップは、セキュリティ分野の混乱を減少させ、潜在的な採用者にとって敷居を低くすることを目指しています。

何を選択するか?

雇用者の視点から見ると、これらのフレームワークは、どのスキルセットがどの職務に適しているかを特定し、各職務内容に関連するものをリストアップするのに役立ちます。また、人員計画や、すでにいるスタッフのスキル開発にも役立ちます。ガイドは、明確で直線的な昇進の道筋を示し、キャリアプランの形成に役立ち、それによって定着率を向上させることが期待されています。

求職者側から見れば、フレームワークによって、さまざまな職務がどのように関連し、どの程度の給与が期待できるかを初めて知ることができ、自らのキャリア開発を計画することができます。また、転職可能なスキルを持っている人は、それを活かせる場所を探したり、具体的な職務について詳しく知ることができるでしょう。

しかし、このフレームワークは人材紹介部門にも関係があります。採用担当者は、無関係なスキルをまとめたり、非現実的な要求をしたりする職務記述書の書き直しに時間を費やす必要がなくなります。これらのマトリックスを参照することで、より職務に適した候補者を探し出し、面接プロセスの一部として情報を活用することができるようになるでしょう。このような小さな変化が採用の可能性を高め、サイバーセキュリティ格差の縮小に貢献することでしょう。

さらに網を広げれば、このフレームワークは、将来のサイバーセキュリティの専門家を教える教育プロバイダーの指針となり、大学のコースで何を学ぶべきかについての洞察を与えることになるでしょう。そしてベンダーも、自社のソリューションを運用するために必要なレベルやスキルセットを示すために、コンピテンシーを利用できるようになることでしょう。

数年後には、このコンピテンシーがなかったら、この分野はいったいどのように機能していたのだろうかと不思議に思うようになることでしょう。


パープルチーム向け無料セキュリティ・ツール


セキュリティの世界にはレッドチーム、ブルーチーム、パープルチームという概念が存在する。

レッドチーム:

レッドチームは、攻撃者の役割を担うチームです。彼らは、システムやネットワークに対する潜在的な攻撃手法を模倣し、セキュリティの脆弱性や欠陥を発見するために活動します。レッドチームは、ペネトレーションテストや攻撃シミュレーションなどの手法を使用して、実際の攻撃者が使用するであろう手法を模倣します。

ブルーチーム:

ブルーチームは、防御側の役割を担うチームです。彼らは、システムやネットワークを保護し、攻撃から守るためのセキュリティ対策を実装および維持します。ブルーチームは、脆弱性の管理、侵入検知システムの運用、セキュリティポリシーの策定など、防御的なセキュリティ対策に焦点を当てます。

パープルチーム:

パープルチームは、レッドチームとブルーチームの活動を統合し、相互作用を促進するチームです。彼らは、攻撃側の視点と防御側の視点の両方を理解し、セキュリティ対策の改善や脅威への対応を行います。パープルチームは、レッドチームとブルーチームの間で情報共有や訓練を行い、より効果的なセキュリティ対策を実現します。

今回はパープルチーム向けのセキュリティツールを紹介する。

Defender-Pretender

Windows Defender のエンドポイント検出と対応 (EDR) アーキテクチャを乗っ取るために開発されたオープンソースツール「Defender-Pretender」は、特権を持たないユーザーに Defender の管理データを削除する権限を与えます。

SafeBreachの研究者たちは、Black Hat USAでDefender-Pretenderをデモンストレーションし、このツールを使ってOSやドライバファイルを削除したり、検出と軽減ロジックを改ざんすることでWindows Defenderの動作を変更する方法を示しました。

PyRDP

PyRDP自体は目新しいツールではありませんが、このオープンソースの Remote Desktop Protocol (RDP)傍受ツールの開発者が、過去3年間にわたって取得した膨大なハニーポット研究成果をBlack Hat USAで発表しました。

GoSecureチームは、PyRDPを「Python用のモンスター・イン・ザ・ミドル」ツールおよびライブラリと呼び、RDP接続をリアルタイムまたは事後に監視することができます。このツールはハニーポット研究だけでなく、悪名高いリビング・オフ・ザ・ランド攻撃を仕掛けるためのRDP接続を使った攻撃セキュリティ作業にも幅広い可能性を提供します。

BTD

今後、セキュリティ研究者たちが敵対的なAI攻撃の可能性を探るにつれて、モデル抽出がますます注目されるようになるでしょう。これらの攻撃は、モデルに対する体系的なブラックボックスクエリを行う方法や、モデルについて多少の知識がある場合やそれに関連するアーティファクトにアクセスできるホワイトボックス攻撃などを通して、AI/MLモデルの詳細を盗むことを可能にします。

Black Hat で注目されたユニークなツールの一つが、BTD です。これは、最初の深層ニューラルネットワーク (DNN) 実行ファイルデコンパイラです。このツールは、x86 CPU 上で動作する DNN 実行ファイルを入力とし、完全なモデル仕様を出力することができます。

HARry Parser

HARry Parserは、オープンソースの Python 製 .har ファイル解析ツールです。Web ページ上にどのようなトラッカーが存在するかを詳細に把握することを目的として、Agelius Labs によって開発されました。Black Hat USA では、このツールを使って現在のオンライントラッキングの深淵を解き明かすデモンストレーションが行われました。サーバーサイドトラッキング、コンテンツデリバリーネットワーク (CDN)、デバイスフィンガープリンティングなどの追跡方法に加え、電子メールピクセル、支払い取引データ、アクティビティトラッカーがどのように個人情報漏洩を引き起こす可能性があるかも解説されました。

また、HARry Parserは、ユーザーが望まない情報をオンライン閲覧中に共有することを防ぐための具体的な手段を学ぶのにも役立ちます。

PowerGuest

PowerGuest は攻撃セキュリティ評価ツールであり、Azure AD で限定されたゲストアクセスから、権限のないアクセス、さらに企業の SQL サーバー、SharePoint サイト、KeyVault アクセスなど機密性の高いビジネスデータやシステムへのアクセスに至るまで、アクセス権限をエスカレートすることができます。このツールは、Microsoft のローコード/ノーコードプラットフォームである PowerPlatform を介して共有された資格情報を利用してこれを実現します。

このツールの手法と設計上の弱点は、マイケル・バーギュリー氏によるブリーフィングセッションで詳しく説明されました。また、PowerGuest 自体も別の Black Hat Arsenal セッションで注目され、デモンストレーションが行われました。

ランサムウェアギャングが発表した被害組織リスト(2023年8月~12月)BY StealthMole

 

 StealthMole(旧Dark Tracer)による、2023年8月~12月のランサムウェア被害を受けた日系企業。

株式会社 鼓月(www.kogetsu.com)

ランサムウェアギャング:Mallox

株式会社エフトリア(www.ftria.co.jp)

ランサムウェアギャング:NoEscape

関連事件簿:【セキュリティ事件簿#2023-335】株式会社エフトリア セキュリティに関する重要なご報告  

株式会社 小森コーポレーション(komori.com)

ランサムウェアギャング:CL0P


住商グローバル・ロジスティクス株式会社(sgl.co.th)

ランサムウェアギャング:LockBit


セイコーグループ株式会社(www.seiko.co.jp)

ランサムウェアギャング:BlackCat (ALPHV)

関連事件簿:【セキュリティ事件簿#2023-306】セイコーグループ株式会社 当社サーバに対する不正アクセスに関するお知らせ

株式会社井上製作所(inouemfg.com)

ランサムウェアギャング:LockBit


アイホン株式会社(www.aiphone.com)

ランサムウェアギャング:Money Message

関連事件簿:【セキュリティ事件簿#2023-353】アイホン 当社米国法人への不正アクセス発生について

アルプスアルパイン株式会社(www.alpsalpine.com)

ランサムウェアギャング:BlackByte

関連事件簿:【セキュリティ事件簿#2023-360】アルプスアルパイン株式会社 当社グループが管理するサーバへの不正アクセスについて

株式会社フジシールインターナショナル(www.fujiseal.com)

ランサムウェアギャング:Akira

関連事件簿:【セキュリティ事件簿#2023-504】株式会社フジシールインターナショナル 当社米国グループ会社におけるランサムウェア被害および復旧状況について

シチズン時計株式会社(citizen.co.uk)

ランサムウェアギャング:Ragnar_Locker

郵船ロジスティクス株式会社(www.yusen-logistics.com)

ランサムウェアギャング:BlackCat (ALPHV)

フォルシアクラリオン・エレクトロニクス株式会社(www.clarion.com)

ランサムウェアギャング:BlackCat (ALPHV)

ソニーグループ株式会社(sony.com)

ランサムウェアギャング:RansomedVC

セイコーエプソン株式会社(epson.es)

ランサムウェアギャング:STORMOUS

株式会社NTTドコモ(www.docomo.ne.jp)

ランサムウェアギャング:RansomedVC

シークス株式会社(siix.co.jp)

ランサムウェアギャング:BlackCat (ALPHV)

関連事件簿:【セキュリティ事件簿#2023-169】シークス株式会社 ランサムウェアによる不正アクセスについて

株式会社シマノ(shimano.com)

ランサムウェアギャング:LockBit


日本航空電子工業株式会社(www.jae.com)

ランサムウェアギャング:BlackCat (ALPHV)

関連事件簿:【セキュリティ事件簿#2023-505】日本航空電子工業株式会社 当社サーバへの不正アクセス発生について

THK株式会社(www.thk.com)

ランサムウェアギャング:Hunters International

株式会社レスターホールディングス(restargp.com)

ランサムウェアギャング:LockBit

関連事件簿:【セキュリティ事件簿#2023-472】株式会社レスターホールディングス 当社及びグループ会社サーバーへの不正アクセス発生のお知らせ

社会福祉法人北広島町社会福祉協議会(kitahirosima.jp)

ランサムウェアギャング:LockBit

関連事件簿:【セキュリティ事件簿#2023-506】北広島町社会福祉協議会におけるシステム不調発生のご報告とお詫びについて

日産自動車株式会社(www.nissan.com.au)

ランサムウェアギャング:Akira

AWSとAzureのクラウドデータをハッカーから守る、無料のクラウドセキュリティツール5選


サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)は、企業がクラウドベースの環境を保護するために役立つ無料のツールのリストを公開しました。これらのツールは、クラウドベースまたはハイブリッド環境で発生する脅威、既知の脆弱性、および異常を緩和、特定、検出するために、インシデント対応アナリストおよびネットワーク防御者を支援します。

しかし、クラウド環境では膨大な数の攻撃ベクトルが利用可能であるため、クラウドへの移行が急速に拡大していることに引き込まれ、クラウドシステムを標的とする脅威行為者もいます。

クラウドベースの攻撃に対する防御に必要な能力を備えていない組織は、CISAが提供するツールを利用することで大きなメリットを得られます。これらのツールは、データ窃盗、情報漏洩、そして情報窃取からクラウドリソースを保護するのに役立ちます。CISAが提供するツールのリストは以下の通りです。
  1. Cybersecurity Evaluation Tool (CSET).
  2. The SCuBAGear tool.
  3. The Untitled Goose Tool
  4. Decider Tool
  5. Memory Forensic on Cloud.

        Cybersecurity Evaluation Tool (CSET)

        CISAは、企業のサイバーセキュリティ態勢を評価するためのツールを開発しました。このツールは、業界で広く受け入れられている標準、ガイドライン、推奨事項に基づいており、運用ルールや手順、システムの設計に関する質問に回答することで、企業の長所と短所を把握します。その結果を踏まえて、改善のための提案とともに報告書を作成します。

        CSETバージョン11.5では、米国国立標準技術研究所(NIST)がコンピュータセキュリティ産業協会(CISA)と共同で策定したクロスセクター・サイバー・パフォーマンス・ゴール(CPG)が含まれています。CPGは、企業のサイバーセキュリティ態勢を評価するための共通基準を提供します。


        The SCuBAGear tool

        SCuBAGearは、SolarWinds Orion Softwareのサプライチェーン攻撃への対応として開発された、連邦民間行政機関(FECB)とCISAのMicrosoft 365(M365)セキュアコンフィギュレーションを比較する自動化ソフトウェアです。

        CISAは、SCuBAGearと連携して、クラウドセキュリティのガイドとなるような、あらゆるタイプの企業に役立つ数多くの資料を作成しました。このツールの結果、3種類の文書が作成されました。

        • SCuBAGearガイド:SCuBAGearの使用方法と、その結果を解釈する方法について説明します。
        • SCuBAレポートテンプレート:SCuBAGearを使用して作成したレポートのフォーマットを定義します。
        • SCuBAベストプラクティス:クラウドセキュリティのベストプラクティスをまとめたドキュメントです。


        SCuBA Technical Reference Architecture (TRA)


        クラウドストレージ環境の安全性を強化するための基本的なフレームワークを提供します。クラウドベースのビジネスアプリ(SaaSモデルの場合)と、その保護と監視に使用されるセキュリティサービスは、いずれもTRAの範囲に含まれます。

        ハイブリッドアイデンティティソリューションアーキテクチャ


        クラウド上でホストされる環境でアイデンティティ管理に取り組むための最善の方法を提供します。このアーキテクチャは、オンプレミスとクラウドの両方の環境を統合し、一元的に管理することを目的としています。

        M365セキュリティコンフィギュレーションベースライン(SCB)


        Microsoft 365(M365)環境のセキュリティを強化するために、M365のすべてのサービスに対する基本的なセキュリティ設定を提供します。SCBガイドラインに準拠していないポリシーを識別し、そのポリシーの逸脱を示すHTMLレポートを生成します。

        The Untitled Goose Tool

        Untitled Goose Toolは、Sandia National Laboratoriesと共同で開発された、Microsoft Azure、Active Directory、Microsoft 365環境での異常の検出と調査を支援するツールです。監査ログのクエリ、エクスポート、調査も可能です。

        SIEMプラットフォームにログをインポートしていない組織にとって、このツールは非常に役立ちます。PowerShellツールにAzure、AAD、M365のデータ収集機能がなかったため、このツールは当時利用可能だったPowerShellツールの代替として設計されました。


        Untitled Goose Toolは、Active Directory、Microsoft Azure、Microsoft 365からクラウド成果物を抽出するツールです。

        Unified Audit Logs (UAL)にタイムバウンディングを行うことで、特定の期間のログのみを収集できます。また、MDE(Microsoft Defender Endpoint)データデサイダーツールのタイムバウンディング機能を利用して、特定の期間のデータを収集することもできます。

        インシデント対応アナリストは、このツールをMITRE ATT&CK 手法と組み合わせることで、悪意のあるアクションをマッピングするのに役立ちます。このツールは、アナリストの手法をより利用しやすく、適切な方法で行動をレイアウトするための方向性を提供します。

        Decider Tool

        このツールは、CSETと同様に、ユーザーの環境やニーズを理解するために、多くの質問を行います。これらの質問に答えることで、ユーザーは以下のことができるようになります。


        • ATT&CK Navigatorからヒートマップをエクスポート。
        • 収集した脅威インテリジェンスに関するレポートの公開。
        • 適切な予防策の実施。
        • 搾取の防止

        さらに、CISAはDeciderツールの使い方を説明したリンクを提供しています。

        Memory Forensic on Cloud.

        このツールは、AWS上のWindowsメモリイメージを構築および分析するために、Volatility 3を使用しています。また、最近流行しているファイルレスマルウェアの検出にも役立ちます。

        メモリイメージ解析は、インシデントレスポンス対応において重要な役割を果たす可能性があります。インシデント発生時に、メモリイメージを分析することで、攻撃者の痕跡を特定し、対応策を検討することができます。