- ネットワークセキュリティ監視ツール: Zeek
- オープンソースのアンチウイルスソフトウェア: ClamAV
- 脆弱性スキャン: OpenVAS
- インシデント対応プラットフォーム: TheHive
- オープンソースのセキュリティアプライアンス: PFSense
- 分析プラットフォーム: Elastic
- エンドポイント可視化ツール: Osquery
- パケットキャプチャ・検索ツール: Arkime
- XDR(拡張検知・応答)およびSIEM(セキュリティ情報・イベント管理)プラットフォーム: Wazuh
- SIEM(セキュリティ情報およびイベント管理)プラットフォーム:Alien Vault Ossim
- フォレンジックおよびインシデント対応ツール: Velociraptor
- 脅威インテリジェンス情報共有・連携プラットフォーム: MISP project
- セキュリティオペレーティングシステム: Kali Linux
- セキュリティオペレーティングシステム: Parrot
- アイデンティティおよびアクセス管理(IAM)プラットフォーム: OpenIAM
- マルウェア分析: Yara
- 仮想プライベートネットワーク(VPN)ツール: Wireguard
- ホスト型侵入検知システム (HIDS): OSSEC
- 侵入検知/防止システム(IDS/IPS): Suricata
- セキュリティオーケストレーション(SOAR)プラットフォーム: Shuffler
- フィッシング対策:Phish Report
- ログ管理プラットフォーム: Graylog
- DevOps/Infrastructure as Code (IaC) スキャンツール: Trivy
- エンドポイント検出および応答 (EDR) プラットフォーム: OpenEDR
- 侵入テストツール: Metasploit
- ネットワークマッピングおよびセキュリティスキャンツール: NMAP
雑記系ブログ。セキュリティとか、マイルとか、投資とか、、、 / Miscellaneous Blogs. Security, miles, investments, etc
オープンソースのサイバーセキュリティツール26選
使えるGoogle Dorks5選
1.Site
- site:tacticaltech.org filetype:pdf
「https://tacticaltech.org」を対象に、このドメインでホストされているすべてのインデックス済みPDFファイルを検索します。 - site:tacticaltech.org intitle:invisible
ドメイン「tacticaltech.org」内にあって、タイトルに「invisible」という単語が含まれるすべてのWebサイトが検索結果として返されます。 - site:tacticaltech.org intext:exposing intitle:“the invisible”
複数の単語で構成された検索語句を使う必要がある場合の例 - exposing site:tacticaltech.org filetype:pdf
「exposing」が通常の検索語句で、「site:」と「filetype:」で検索結果を絞り込んでいる例
2.Extension
3.Inurl
4.Pastebin Leaks
5.Index of
SEC道後2025振り返り ~くたばれPPAP~
チケットの入手に成功したので、サイバーセキュリティシンポジウム道後2025に行ってきた。
なんだかんだで10回以上も参加している。武漢ウイルス(コロナ)の影響を受けて一時期開催時期が流動的になっていたが、前回から開催時期が3月に戻っている。
この時期は温泉が楽しめるし、みきゃんの食べ比べもできるので幸せ。
アジェンダ&メモ
■Day1
- 基調講演:サイバーセキュリティ政策の現状と動向について(山内智生氏@総務省)
基調講演にもかかわらずスライドが表示されないというアクシデントが発生
R5年の通信利用動向調査によるとテレワークを利用したことがない人が7割超いることになっているが、会場参加者とは真逆の状況。これはいったい誰に聞いた調査なんだろう???
NICTERによると13秒に1回攻撃関連の通信(調査スキャン等)が発生
代表的なトラストサービス(「電子署名」、「タイムスタンプ」、「eシール」)に関して、タイムスタンプについては確定申告で相当使われているらしい。
自組織内で脆弱性管理(パッチ管理)をバカにしている人が多く困っているのだが、どうも自組織に限った話ではないことが分かった。
生成AIはお役人も惚れ惚れするレベルの文書が作れるらしい。ただし、平気でウソこくのでファクトチェックはかなり重要
- 講演① -1 :サイバー空間をめぐる脅威の情勢と取るべき対応(中川陽介氏@警察庁)
(特になし)
- 講演① -2:サイバー空間の脅威の情勢とJC3の主な活動~産官学の連携の現場から~(櫻澤健一氏@日本サイバー犯罪対策センター)
JC3はNCFTA(National Cyber-Forensics & Training Alliance)と呼ばれる米国の非営利法人(サイバー空間における脅威への対処を目的としたとしている)をモデルに設立されたことを知った。日本はアメリカに比べていろいろなものが10年くらい遅れているが、是非継続して取り組みを続けてほしいと思った。
- 特別講演:サイバーインテリジェンスが事業継続にもたらすもの(軍司祐介氏@株式会社マキナレコード)
特別協賛(最上位スポンサー?)のマキナレコード社からのサイバーインテリジェンスに関するセッション
「マキナレコード」って最初聞いた時、音楽関係の会社が事業の多角化でサイバーセキュリティに手を出したのかと思っていた。どうも2016年に創業したサイバーインテリジェンスがメインの会社らしい。
- パネルディスカッション:インシデント対応の現実と理想~ベストプラクティスを求めて~(佐藤公信氏@NICT、間下義暁氏@JAXA、小川久仁子氏@CPP、マキロイ七重氏@JPEC)
JAXAといえば、昨年不正アクセスを受けた被害組織であり、インシデント対応をする側の組織と、報告を受ける側の個人情報保護委員会の小川氏、捜査機関の立場になるマキロイ氏のディスカッション。
話を聞いていて思ったのはインシデント発生時の報告・相談先が多すぎる。セキュリティベンダー、監督官庁、NISC、ケーサツ、IPA、JPCERT/CC、 個人情報保護委員会、、、、、インシデント対応しながら複数の関係各所に共有・報告は結構面倒なので、1か所に報告を上げてそこに関係各所がアクセスさせるようにする枠組みが必要と思った。
聞く側は無邪気にあれこれ聞いてくるが、分からないものは割り切って「分かりません」という必要がある。
インシデント発生時にケーサツにうっかり相談すると証拠物件を押収されてしまうという噂があるようだが、被害組織に対して意向を無視して証拠物件の押収を行うことはしないとのこと(個人的に警察への相談はどこまで効果があるのか懐疑的ではあるのだが・・・)。
個人情報保護委員会への報告については、報告の仕方含めて相談すれば優しく対応してくれるらしい。
■Day2
冒頭、JNSAの下村氏から挨拶があった。
先日のNSF2025を受けて、「セキュリティは投資ではなくてコスト」の旨を発言。
自分もNSF2025に参加していたので、もう少し補足すると「セキュリティは投資だ」って言うと投資家からはROIを求められる。しかしセキュリティ投資でROIなんて出せるわけないので、だったらセキュリティは事業継続のための必要経費でいいんじゃねってことで、「セキュリティは投資」ということはやめようということになっている。
この結論自体は自身も賛成。
んで、この日例えとして出てきたのが住宅用火災報知器。
任意だと3割くらいの普及率で推移していたが、義務化されて一気に普及率は8割へ。ところが罰則規定がないので100%にならない。
結局セキュリティも将来的には義務化の道を進むのだろうか?
という感じでDay2スタート。
- 講演② :持続可能な成長に向けた暗号技術の研究開発(大久保美也子氏@NICT)
共通鍵暗号、公開鍵暗号、ハイブリッド暗号あたりまではついていけていたが、途中から完全に脱落。SEC道後2025で最も難解なセッションだった・・・
- 講演③ :パソナグループにおけるDXの取組みとセキュリティ対策(西本逸郎氏@LAC、河野一氏@パソナ)
西本さんのセッションは個人的にSEC道後で一番楽しみなセッション。詳細は割愛するが、リスキリングでよく活用されるe-learningの実態を知ることができてとても参考になった。
ちなみにインシデント発生時に”①不確実でも早く上げる”のと、”②時間がかかっても正確な情報を上げる”のどちらを選択するのかは結構悩ましいところだが、これは①が正解。②をやると隠蔽の疑いがかけられる。
- ランチセッション:多層防御で実現するメールセキュリティの新時代(加瀬正樹氏@TwoFive)
SEC道後では初!?となるランチセッション
DMARCについて空港の入国審査(入国許可、入国拒否、別室送り)に例える例がすごく参考になった。
ちなみに日本のDMARC普及率(恐らくRejectポリシー普及率)は発展途上国レベルとのこと。ASEANよりも低いのは認識していたが、こういう領域は日本は後進国であることを認識せねばと感じた。
- 講演④:複雑で難しいサイバーセキュリティを単純明快にする~断片的な情報を図解することでつながる理解~(佳山こうせつ氏@TDU/Ridgelinez)
講演中にオンラインで質問を受け付けていたら鋭い質問が来てなかなか面白かった。(「キュン死」自体知らなかったのである意味勉強になった。)
結局セキュリティの構成要素は「人」「プロセス」「技術」に収斂することを学んだ。
その他
PPAP総研さんから「くたばれPPAP」ステッカーをもらった。
PPAPのデファクトスタンダードについて、やはり多いのはクラウドストレージになるのだが、画一的な方法に統一する方法はなく、今あるものを使って柔軟にやればよいらしい。そもそもまともにIT投資をしている会社間であればメールサーバ間の通信は暗号化されているのでPPAP不要でそのまま添付ファイルを送ればよいし、PPAPのために追加の投資をする必要もない。
一方でIT投資をしていない(というかメールセキュリティがクソな)会社に対してのみPPAPで送り付ければよいのではという感じの会話をしたのだが、なるほどと思いつつ、後で考えるとそれはそれで大変だとも思った。
ちなみにAWSの新しい正式名称を学んだ。それは、
Adventure World Shirahama
こういう地方開催のシンポジウムは地域経済への貢献にもなるので、来年もチケットが取れればまた松山に来たい。
SHODAN活用ガイド
SHODANの検索エンジンをプロのように使いこなすための、SHODANの検索フィルターやSHODANのドークを含む、個人的なSHODANチートシートを共有しています。これを使えば、簡単に目的の検索結果を得ることができます。
GoogleやBing、Yahooなどのコンテンツ検索エンジンとは大きく異なります。GoogleやBing、Yahooのようなコンテンツ検索エンジンは、ウェブページのデータをクロールして検索用のインデックスを作成するのに対し、Shodanはポートを照会して結果のバナーを取得し、検索用のインデックスを作成します。
あなたがサイバーセキュリティの分野にいるならば、Shodan検索エンジンについてよく知られているはずです。Shodanは、インターネット上の特定の種類のコンピューター(ルーター、ウェブカメラ、サーバーなど)を、さまざまなフィルターを使って見つけることができるIoT検索エンジンです。Shodanは、ターゲットの受動的な偵察や、測定ツールとして最適なリソースです。
https://shodan.io/ を開いて、このSHODANチートシートのコマンドを打ち込むだけです。
SHODAN活用ガイド
Server:
特定のサーバーヘッダーフラグを持つデバイスやサーバーを探すことができます。脆弱なサーバーを調査することができます。
server: "apache 2.2.3"
または、直接フラグを入れても検索できます。
apache 2.2.3
hostname:
世界中の特定のホスト名を持つデバイスを検索します。ホスト名とは、ネットワークに接続されている機器に付けられたラベルのことで、WWWなどの各種通信で機器を見分けるために使用されます。SHODANチートシートに含まれる複数のフィルターを使用して、検索結果を絞り込むことができます。
server: "apache" hostname:"google"
net:
IPアドレスまたは/x CIDRに基づいて、デバイスやマシンを検索します。このフィルターは、IPレンジや特定のIPアドレスとサブネットマスクの検索にも使用できます。
net:34.98.0.0/16
os:
オペレーティングシステムに基づいてデバイスを検索します。特定のOSを搭載しているデバイスをすべて見つけることができます。これは、侵入テスト担当者が、特定のオペレーティングシステムのフィルタを持つ脆弱なマシンを見つけるのに役立ちます。
os:"windows xp"
port:
開いているポートに基づいてデバイスを検索します。"port "フィルターは、特定のオープンポートを持つマシンを検索対象にすることができます。
proftpd port:21
city:
特定の都市のデバイスを検索します。例えば、ムンバイの都市のみに絞って検索したい場合は、以下のようになります。
city:"Mumbai"
country:
特定の国のデバイスを検索します。例えば、インドだけに絞って検索したい場合
country:"IN"
geo:
一定の半径内にある特定の経度と緯度による地理的座標を与えてデバイスを見つける。
geo:"48.1667,-100.1667"
before/after:
「after」と「before」のフィルターを使うと、特定の日付の後や前にデバイスを表示することができます。
使用できるフォーマットはdd/mm/yyyyです。
nginx before:13/04/2020 after:13/04/2018
has_screenshot:
このフィルターは、スクリーンショットが利用可能な結果のみを返します。
has_screenshot:true city:"George Town"
Wifi Passwords:
Shodanでは、無線LANの平文のパスワードを見つけることができます。
html:"def_wirelesspassword"
Surveillance Cams:
ユーザー名:admin、パスワード:passwordで監視カメラのデータを取得する
NETSurveillance uc-httpd
また、以下のコマンドを使用することもできます。
Android Webcam Server
Citrix:
Citrix Gatewayの検索を行います。
title:"citrix gateway"
Windows RDP Password:
ただし、セカンダリウィンドウズ認証を含む場合があります。
"\x03\x00\x00\x0b\x06\xd0\x00\x00\x124\x00"
Misconfigured WordPress Sites:
wp-config.phpにアクセスすると、データベースの認証情報が表示されます。
http.html:"* The wp-config.php creation script uses this file"
ワードプレスのメイン設定ファイルにアクセスし、設定ミスのサイトの認証情報やAUTH_KEYなどの機密情報を取得することができます。
Mongo DB servers:
mongo DBサーバの情報を提供するフィルタです。
"MongoDB Server Information" port:27017 -authentication
FTP servers allowing anonymous access:
完全なアノニマス・アクセスのためのデータを取得します。
"220" "230 Login successful." port:21
Jenkins:
すべてのJenkinsのための検索 制限のないダッシュボード
x-jenkins 200
Telnet Access:
telnetアクセスにパスワードが必要な機器を検索します。
port:23 console gateway
Etherium Miners:
ETHを実行しているマイナーを表示しています。
"ETH - Total speed"
screenshot.label:
セキュリティ設定がザルなWebカメラのスクリーンショットを表示
screenshot.label:ics country:"JP"
ssl:
サーバの証明書情報に指定したドメインが含まれているサーバを列挙
ssl:expedia.com
自組織のドメイン名が世界的にも珍しく、他企業との重複がない場合は TLD部分を省略すると、海外ドメインなども一気に検索が可能です。
例えば私が根に持っているOTAのexpedia.comは、ssl:expedia とすることで一気に検索を行うこともできます。
また、複数ドメインやホスト名を一気に検索したい場合は、以下のようにカンマで繋いで検索をすることもできます。
org:
IPアドレスの所有者情報に含まれる組織名をもとにサーバを列挙。
org:expedia
【セキュリティ事件簿#2024-349】攻撃代行の海外サイトを使って出版社にDDoS攻撃した25歳男が逮捕される
東京都内の出版社にサイバー攻撃の一種である「DDoS(ディードス)攻撃」を仕掛けたとして、警察庁サイバー特別捜査部は6日、大分市三佐3、配管工、赤坂篤洋容疑者(25)を電子計算機損壊等業務妨害容疑で逮捕した。
DDoS攻撃は、大量のデータを送ってシステム障害を起こさせる手法。赤坂容疑者はプログラム作成などの専門知識はなかったが、攻撃を代行する海外の有料サイトをネットで見つけ、千数百円程度で利用していたとみられる。
逮捕容疑は2022年3月17日、ウェブサイト「Bootyou(ブートユー)」を使い、都内の出版社のサーバーに2回にわたってDDoS攻撃をし、出版社のサイトを計約1時間半閲覧できない状態にして業務を妨害したとしている。
赤坂容疑者は容疑を認め、「ブートユーを使って他にもDDoS攻撃をした」と供述しているという。
警察庁によると、ブートユーは、欧州刑事警察機構(ユーロポール)などの国際共同捜査によって22年に閉鎖された。日本も23年9月に、この国際共同捜査に参画。外国の捜査機関から提供されたデータを警察庁が解析したところ、出版社の被害や赤坂容疑者の関与が浮上した。
警察庁直轄のサイバー特捜部の前身組織が22年4月に設置されて以降、国内で逮捕した容疑者は2人目。国際共同捜査をきっかけに国内の容疑者を摘発したのは初めてという。
ランサムウェアギャングが発表した被害組織リスト(2024年7月)
2024年7月のランサムウェア被害を受けた日系企業のリスト。
HOYA Corporation
組織名
HOYA株式会社
ランサムウエアギャング
hunters
関連事件簿
www.kumagaigumi.co.jp
組織名
株式会社熊谷組
ランサムウエアギャング
ransomhub
その他
フィッシングサイトや偽サイトの注意喚起で載せるドメインについて

◆例示用(掲載用)ドメイン
- example.com
- example.net
- example.org
- example.jp
- example.co.jp
- example.ne.jp
例示用(掲載用)IPアドレス
IPv4
- 192.0.2.0/24(Test-Net-1)
- 198.51.100.0/24(Test-Net-2)
- 203.0.113.0/24(Test-Net-3)
IPv6
- 2001:DB8 ::/32
無料のデジタル・フォレンジック・ツール5選
Autopsy
bulk_extractor
NetworkMiner
Velociraptor
WinHex
C国が対外工作で作成しているウェブサイト
背景
広がるC国工作サイトのネットワーク
- italiafinanziarie[.]com
- napolimoney[.]com
- romajournal[.]org
- torinohuman[.]com
- milanomodaweekly[.]com
- veneziapost[.]com
IP | OWNED BY | FIRST SEEN | LAST SEEN |
---|---|---|---|
3.12.149[.]243 | Amazon Web Services (AWS) | 2021-08-14 | 2023-07-06 |
162.62.225[.]65 | Tencent Computer Systems Company Limited, Shenzhen | 2023-07-07 | 2023-07-08 |
43.157.63[.]199 | Tencent Computer Systems Company Limited, Shenzhen | 2023-07-09 | 2023-10-28 (date of the last check) |
工作サイトの内容
日本で展開する工作サイトのドメイン
- dy-press[.]com (DYP東海通信社)
- fujiyamatimes[.]com (富士山時刻)
- fukuitoday[.]com (今日の福井)
- fukuoka-ken[.]com (福岡エクスプレス)
- ginzadaily[.]com(銀座デイリー, 銀座新聞)
- kanagawa-ken[.]co (神奈川新聞)
- hokkaidotr[.]com (北海道トラベルネット)
- meiji-mura[.]com (明治発展日報)
- nihondaily[.]com (霓虹にほん)
- nikkonews[.]com (日光新聞)
- saitama-ken[.]com (埼玉ネット)
- sendaishimbun[.]com (仙台ニュース)
- tokushima-ken[.]com (徳島オンライン)
- tokyobuilder[.]com (东京ビルダーズ)
- yamatocore[.]com (邪马台内陆部)