(ISC)² Certified in Cybersecurity (CC) 受験体験記

 

サイバーセキュリティ人材が世界的に不足しているということで、(ISC)² は人材不足解消の取り組みの一環として、100万人を対象にCertified in Cybersecurity (CC)のオンライン自己学習コースと試験を無料で提供している。

そんな訳で、(ISC)² のエントリーレベル認定資格 Certified in Cybersecurity (CC) を受験してきた。

受験準備としては、まず最初に、(ISC)² Candidateに登録。すると、CC試験向けのオンラインセルフペーストレーニングと、試験のバウチャー（199USD相当）がもらえる。

このトレーニングでは(ISC)² におけるセキュリティの考え方を学べる。学習領域は5つのドメインから構成されていて、セキュリティ原則、事業継続、アクセス制御、ネットワークセキュリティ、およびセキュリティの運用に焦点を当てて学ぶ。

試験の予約はオンラインで可能。試験の言語も日本語で選択可能。テストセンターは日本だと東京と大阪、その他世界各地にある。

せっかく無料なので、何かチャレンジ（！？）でもしようと思い、タイ・バンコクの試験会場に予約を入れてみたのだが、日程の調整がつかなくなり、東京にある高田馬場の会場に変更した。

通常(ISC)² の試験予約変更は有料らしいのだが、CC試験は無料で変更できた。ただ、実際は変更ではなく、一旦予約をキャンセルした上で改めて予約する形態となった。

受験には2種類の身分証明書が必要。今回は運転免許証とマイナンバーカードを利用（海外で受験する場合はパスポートともう一つが必要になるので、やはり日本人は日本での受験がおススメ）

試験はコンピュータベース（CBT方式）で、多肢選択式の100問を解く形式。なお、一度回答すると後には戻れない一球入魂（！？）方式となっていた。

試験終了後、すぐに1枚の紙をくれ、その紙に合否結果が記載される。今回は無事合格（仮合格）だった。

合格の確定には承認申請の手続きを終える必要がある。

大きく2つのステップがあり、まずはオンライン申請（申請書の記入）。(ISC)² 認定を受けるには、エンドースメント（承認）のステップを受けなければならず、(ISC)² の倫理規約 (Code of Ethics) に合意する申請書記入の手続きを実施。

次に最初の年間維持費の支払い（50USD）。クレジットカードOK。

この手続きを終えることで Active Member になり、CC の認定デジタルバッジが取得できます。

資格の維持には年間維持費の支払い（50USD）と、3年間で 45 CPE クレジット（平均すると年間 15 CPE クレジット）が必要となります。

要は3年間で45時間分セミナーに参加したりして自己研鑽に努める必要が出てきます。

情報処理安全確保支援士は年間維持費は無料ですが、3年サイクルで約12万円分の講習受講義務が生じるため、支援士に比べればCCの維持費はリーズナブルです。

情報処理安全確保支援士は日本国内でしか通じないドメスティックな資格ですが、CCはエントリーレベルながら、グローバル資格となります。

個人的にはこれが(ISC)² 入会のいいきっかけになったと思っている（SSCPやCISSPには興味があったものの受験費用が高額過ぎてちょっと二の足を踏んでいた）。

(ISC)² の今回の取り組みに感謝。

ランサムウェアギャングが発表した被害組織リスト（2023年6月～7月）BY StealthMole

 

 StealthMole（旧Dark Tracer）による、2023年6月～7月のランサムウェア被害を受けた日系企業。

YKK株式会社（ykk.com）

ランサムウェアギャング：LockBit

 

ヤマハ株式会社（yamaha.com）

ランサムウェアギャング：BlackByte

関連事件簿：【セキュリティ事件簿#2023-230】ヤマハ株式会社　米国子会社への不正アクセスについて　2023年6月16日

株式会社プロット（www.plott.co.jp）

ランサムウェアギャング：BlackCat (ALPHV)

関連事件簿：【セキュリティ事件簿#2023-257】株式会社プロット　現在発生している障害について（第1報）　2023年6月13日

大和ハウス工業株式会社（daiwahouse.com）

ランサムウェアギャング：Qilin

ソニーグループ株式会社（sony.com）

ランサムウェアギャング：CL0P

 

ＪＢＣＣ株式会社（www.jbcc.co.jp）

ランサムウェアギャング：Mallox

パイオニア株式会社（pioneerelectronics.com）

ランサムウェアギャング：CL0P

ファナック株式会社（fanucamerica.com）

ランサムウェアギャング：CL0P

アンドロイド用プライバシー保護ブラウザ３選

ほとんどのアンドロイド端末は、工場出荷時にGoogle Chromeがインストールされています。ご存知の通り、Google Chromeはあなたのオンライン・プライバシーにとって非常に有害です。そうでないAndroid端末の場合、プライバシーに配慮していない、あるいはセキュリティに疑問のある他のメーカーのブラウザが搭載されている可能性があります。

このため、Androidユーザーは代替ブラウザを探すことになります。理想を言えば、ユーザーのプライバシーを尊重してくれるブラウザです。Google Chromeをアンインストールして、ここでお勧めするようなプライバシーを尊重した代替ブラウザに置き換えることができます。

ここに掲載されているすべてのブラウザがGoogle Playストアにあるわけではありません。ここに掲載されているブラウザのほとんどは無料ですが、Android用の本当にプライバシーを尊重するブラウザの多くはGoogle Playストアで見つけることができず、代わりにF-droidで見つけることができます。

ここにリストアップされたブラウザは順不同です。各ブラウザにはそれぞれ長所、短所、特別な使用例があります。ユーザーはブラウザを選択する前に、ブラウザに対する特定のニーズと欲求を評価したいと思うでしょう - しかし、ここにリストされているすべてのブラウザをダウンロードして試してみない理由はありません！

Brave

注目ポイント

• ネイティブのアドブロッカー
• 強力なサイト分離
• プロキシされたGoogleサービス（Braveサービス）
• 優れたプライバシー機能

BraveブラウザはChromiumの派生版であり、オープンソースで開発されています。このブラウザはBrave社によって維持されており、Brave社自身もプライバシー関連のスキャンダルに関わっています。Braveは、ほとんどのユーザーのプライバシーを向上させるための設定を必要とせず、すぐに優れたプライバシーを提供します。

Brave ブラウザは、デフォルトで広告ブロック（シールド）が有効になっています。Googleのサービスを "使用 "する一方で、BraveはデフォルトでGoogleへのすべてのリクエストを保護します。

Braveは、フィンガープリント・ランダマイザーなどのプライバシー機能を導入し、さらなるフィンガープリント耐性を提供しています。2023年5月、このブラウザーは「Forgetful Browsing」も導入し、サイトの特定を拒否しています。

Braveは通信の追跡を行いますが、無効にすることも可能です。

Ice Raven

注目ポイント

• 高度にカスタマイズ可能
• 通信制限が可能

Ice Ravenは、さまざまな開発者の幅広いコミュニティによって維持されているオープンソースのFirefoxの派生版です。中心的な開発者は Ice Raven Project です。

Ice Raven の主な使命は、拡張されたカスタマイズオプションと、Web ブラウザが訪問したページとどのように相互作用するかについての情報をユーザに提供することです。

Ice Ravenはabout:configオプションをサポートしています。about:configでカスタマイズ可能なオプションにより、Firefox、Waterfox、Librewolfといったデスクトップ版のGecko搭載ウェブブラウザとカスタマイズの可能性をより近づけています。

さらに、Ice Ravenは、他のFenixベースのブラウザでは必ずしもサポートされていない拡張機能を幅広くサポートしています。アドオンの中には、Mozilla関連の依存関係が欠落しているために動作しないものもあるので注意が必要です。さらに、fenixベースのブラウザでは、Androidデバイスでのサイトの分離はそれほど強力ではありません。

Ice Ravenはまた、ソースコードからテレメトリやプロプライエタリなコードをできるだけ取り除くことを目指しています。

Ice RavenはGoogleのPlayストアでは見つけることができません。リリースは.apkファイルとしてIce Raven Githubリポジトリに公開されます。

ダウンロード（APK）

Mull Browser

注目ポイント

• 多くの独自blobを排除
• 拡張機能のサポート
• arkenfox、Tor upliftプロジェクトの機能を取り入れる

Mull Browserは、Android上のFirefox（より具体的にはGeckoView）であるFenixから派生したものです。オープンソースですが、主にDivestOSによって開発されています。DivestOSは、プライバシーに配慮した他のアプリケーションや、同じ名前のLineageOSの非公式な分派も開発しています。

Mullブラウザの最も素晴らしい点は、最初からかなりプライバシーが保護されていることです。Mullブラウザは、Tor upliftプロジェクトの多くの機能を有効にし、arkenfox user.jsプロジェクトの環境設定を使用しています。

そのすぐに使えるプライバシー保護機能にもかかわらず、DivestOSは（そしてavoidthehackも）uBlock Origin拡張機能のインストールを強く推奨しています。ご存じかもしれませんが、uBlock Originはプライバシーコミュニティーの定番です。それは、プライバシーを損なうことなく、ウェブページ上の広範なトラッカー、広告、追加のトラッキング手法をブロックします。

最も特徴的なのは、Mullブラウザが自身のソースコードから多くのプロプライエタリなブロブ（クローズドソースのソースコード）を排除していることです。これは、Relanによって開発されたスクリプトを使用することによって達成さています。

Mull BrowserはF-droidで入手可能であり、GoogleのPlay Storeでは見つけることができません。

ダウンロード (debug APK) 　ダウンロード (F-Droid)

プライバシー重視のブラウザを推奨するための基準

1. オープンソースであること: 透明性を促進し、カスタマイズを可能にするため、ブラウザはオープンソースであるべきです。特に、FirefoxのGeckoエンジンから派生したブラウザが、Chromiumから派生したブラウザよりも好まれます。
   
   
2. 定期的な更新: ブラウザはしばしば悪用されるため、最新の脆弱性を修正するタイムリーな更新が必要です。これは、派生ブラウザにとって特に重要であり、セキュリティパッチを最新の状態に保つために定期的なアップデートが必要です。
   
   
3. 開発段階のものは使わない: アルファやベータ段階のブラウザはバグが多かったり、適切に動作するために追加の注意が必要だったりします。適切なリリースバージョンに到達するブラウザが必要です。
   
   
4. カスタマイズ提供: 最適なプライバシー重視のブラウザは、拡張機能やアドオンなしでブラウザ内で多くのカスタマイズオプションを提供するべきで、これによりユーザーはプライバシー関連の設定を変更できます。
   
   
5. 限定的なデータ収集: テレメトリーについては、完全にオプトアウトできるようにし、収集された情報をすべて匿名化する必要があります。

最後に、Androidでは多くのプライバシー重視のブラウザオプションがあり、リストにない一部のブラウザはプライバシーの向上にほとんど貢献しない可能性があります。信頼できないブラウザはデベロッパーに対して静かにセンシティブな情報を送信し、プライバシーを侵害する可能性があります。

出典：Avoid The Hack: 3 Best Privacy Browser Picks for Android

クソコンサルや、コンサルのクソアドバイスを見抜く方法

最近のIT業界では、どこに行ってもITのアドバイスをする自称コンサルタントに出くわす。問題は、多くのコンサルが、たとえ大企業に所属していても、時に間違っていることだ。あるいは、より一般的には、あることに関しては正しく、あることに関しては間違っていることもある。コンサルタントだからと言って、その指摘を鵜呑みにすると後で後悔することがあります。 コンサルタントのアドバイスを評価する方法を学ぶことは、すべてのITリーダーが習得すべきスキルです。コンサルタントの指導を額面通りに受け取ることはリスクが高く、企業にとっては損失を招く可能性がある。ITやビジネスの問題に関して外部のアドバイスを受け入れる前に、コンサルタントが本当に正しいかどうかを判断するための以下の8つの方法をチェックしてください。 1. 定型的なアドバイスに注意 画一的な情報しかないようなコンサルは、あなたの具体的な課題や目標を理解しようとしていない証拠です。コンサルのソリューションが実行可能なものであるためには、各顧客の固有のニーズに対応する必要があります。オーダーメイドのスーツと同じで、顧客固有のニーズに合わせて縫い合わされたものが望ましい。 定型的なアドバイスは役に立たないだけでなく、一般的に、その推奨をサポートするために必要なデータ、洞察力、集中力が欠けています。優れたコンサルタントは、常に長期的な影響を考慮するものです。ITリーダーに対して、協調的なブレーンストーミングよりも強引な説得を優先するコンサルは特に注意が必要です。 2. 推奨ではなく、解決策を期待する 推奨は、それが自動的にソリューションに変わるわけではありません。コンサルの対話の大半は、解決しようとしている問題をあなたに繰り返すものであるべきで、その結果得られる解決策は、あなたの言葉で定義された問題に直接関連したものであるべきで、あなたの組織が進んで取るべきステップと段階に沿ったものであるべきです。 コンサルタントが一般的な課題をつかみ、それをどのように解決するかを手短に説明する場合、そのソリューションは組織が直面している可能性のある非常に具体的な問題に完全には対処できない可能性が高い。 誤ったアドバイスに基づく誤った決断は、必然的に時間のロスにつながることも覚えておいてほしい。問題を解決できなかったことによるコストや、エネルギーの損失は、関係するチームに直接的な影響を与える。 3. アドバイスに意味がない アドバイスに論理的な根拠がなかったり、データと矛盾していたり、長期的な結果を考慮していなかったりする場合、それはクソアドバイスの可能性が高い。 批判的思考と厳格な評価が、良いものと悪いものを見分けるのに役立つ。 不適切なアドバイスに従うと、時間の浪費、リソースの損失、機会の逸失など、有害な結果を招く可能性がある。また、金銭的な損失や、予期していた目標への進展の妨げにもなりかねない。一方、不適切なアドバイスは、意思決定、ビジネス関係、長期的な成功に悪影響を及ぼす可能性がある。このような残念な結果を防ぐためには、アドバイスを検討する際に慎重さと識別力を発揮することが極めて重要である。 4. 範囲を広げ、社内の専門家を巻き込む 社内に専門分野のエキスパートがおり、相談できる環境があることは非常に重要。 コンサルのアドバイスがクソである可能性があり、複数の部門からそのような回答を得た場合は、本当にクソである可能性が高い。 5. 客観性を求める ITリーダーは、コンサルが100％客観的であることを期待すべき。偏りのないアドバイスを提供しているかどうかを確認するためには、コンサルに率直であることの重要性を強調する。 直接的な質問をし、コンサルが組織のニュアンスを理解していることを確認する。 6. 的を絞ったアドバイスを求める 技術分野への関心を喚起することを目的としたレポートと、理解を深めることを目的としたレポートとは、明確に区別される。 ITリーダーは、検討されている技術や手法が、対象となるユースケースのニーズを満たすのに十分成熟しているという信頼できる証拠をコンサルに求めるべきである。 提案されたテクノロジーやプロセスは、常に明確な経済的メリットを提示する必要がある。 提供されるアドバイスが、その組織独自のニーズに特化したものであることを確認することが重要である。コピー・アンド・ペーストのような、画一的なクソアプローチでは、高いROIが得られることはほとんどありません。 7. 複数の情報源を探す 質の高いコンサルを提供してくれる信頼できる情報源を見つけるには、多角的なアプローチが必要。カンファレンス、ウェビナー、業界誌などでアドバイザー候補を探すのが良い。また、専門家ネットワークに参加することも良い。 これらの手段は、知識を広げ、見識を深め、志を同じくする仲間とつながる機会を提供してくれます。必要になるかもしれない時のために、早めに足を踏み入れ、関係を築いておくことは良いことです。 8. クソアドバイスは丁重に断る コンサルも所詮は人間であり、間違いを犯したり、誤った情報に惑わされたりする可能性があります。クソコンサルのアドバイスを断ることを恐れてはいけません。 しかし、クソアドバイスを断るには、ある程度の繊細さとプロフェッショナリズムが必要です。助言に対する感謝の気持ちを伝える一方で、その助言が組織の現在の戦略や将来の目標にどのように合致するかについて、懸念事項を明確に伝え、懸念を共有することがおススメです。 オープンなコミュニケーションと誠実さを保つことが重要です。建設的な意見交換ができるよう、適切な場合は代替案を提示し、一緒に解決策を探したり、セカンドオピニオンを求めたりしましょう。 出典：8 ways to detect (and reject) terrible IT consulting advice

大規模言語モデルアプリケーションのためのOWASP TOP 10リリース

OWASP (Open Web Applications Security Project)は、アプリケーション・セキュリティのリスク、脆弱性、影響、緩和策につい て、長年にわたって取り組んできたコミュニティ・プロジェクトです。もともとはウェブ・アプリケーションでしたが、あらゆる技術やプラットフォームが統合されるにつれて、APIの世界、モバイル・アプリの世界、あるいは、今日のトピックのように、ChatGPTの登場によって今日流行しているLLM（大規模言語モデル）をベースとしたアプリケーションへとその活動を広げてきました。 OWASP TOP 10 for Large Language Model Applications v_0.1 LLMのような人工知能モデルに基づくアプリケーションで最も悪用される10の脆弱性です。これは一見の価値があります。 OWASP Top 10 List for LLMs version 0.1 LLM01:2023 - Prompt Injections その1は、もちろん、プロンプト・インジェクションのテクニックで、モデル・ビルダーが望まない反応をさせるために、モデルに課された制限を迂回し、望まないアクションを生成させたり、プライベートなデータを漏えいさせたりすることに重点を置いています。その例として、私がChatGPTにアメリカ合衆国大統領を殺すアイデアを求めていたとき、彼はそれを私に与えようとはしませんでした...最初は。 Si le presionas un poco... te da todas sus ideas para matar a POTUS 結局のところ、LLMにはリレーショナルデータベースに例えられる知識データベースが含まれています。このデータにはアクセス制限がありますが、プロンプト・インジェクションのテクニックはこれらの制限をバイパスし、LLMの知識データベースのアクセスすべきでない部分にアクセスします。プロンプト・インジェクションは、私たちが愛するSQLインジェクションのテクニックに相当しますが、LLMの世界でのテクニックです。 LLM02:2023 - Data Leakage 意図しないデータ漏洩。LLMは訓練され、知らず知らずのうちに機密情報、専有データ、あるいは漏らしてはいけない情報を漏らしています。これは、元のデータセットで使用された機密性の高いデータを推論して再構築することで、LLMがどの程度漏れるかを測定した学術論文の記事を書いた際に話したことだ。 Proceso de reconstrucción e inferencia de PII en LLMs LLM03:2023 - Inadequate Sandboxing LLM は外部リソース、サードパーティのデータソース、インターネット、あるいは保護された API への呼び出しに接続されるかもしれません。外部リソースへの接続へのアクセスがうまく区分けされていない場合、誰かが LLM に、あるいは LLM を通して望まないアクションを実行させることが可能です。例えば、攻撃者はどのプロンプトがリソースへの訪問やAPIやサービスコールの消費を操作するインターネット検索を生成するかを知ることができ、それを利用して自分に有利になるようにすることができます。 OWASP Top 10 List for LLMs version 0.1 LLM04:2023 - Unauthorized Code Execution 前のケースと似ていますが、この場合LLMはAPIやシェルコマンドコールなど、コマンドを実行できるシステムに接続されています。例えば、システムコールを使ってリソースを検索する LLM があり、攻撃者はプロンプトを使ってその LLM をだまし、システム上で悪意のあるアクションを実行する不要なコマンドを実行させることができます。ファイル->fake.doc "を探すようにLLMに指示することもできます。 LLM05:2023 - SSRF Vulnerabilities もちろん、APIコールを実行できるのであれば、LLMバックエンドからDMZバックエンドへのSQLインジェクションは可能です。あるいはポートやサービスのスキャン、あるいは LLM を使って接続文字列パラメータのポリューションを実行することもできます。もしLLMが最終的にネットワーク上のAPI経由でHTTP呼び出しに接続されるなら、プロンプトを操作してこのような攻撃を行うことができます。 LLM06:2023 - Overreliance on LLM-generated Content この欠陥は、部分的な、不正確な、あるいは不正確なデータで訓練されたLLMが持つ意味、そしてこの脆弱性を持つLLMをベースとしたビジネスアプリケーションに依存している組織に与える影響を物語っています。その影響は、修正するはずだったパラメータに大きな影響を与える可能性があります。 LLM07:2023 - Inadequate AI Alignment この場合、私たちはLLMモデルが、解決しようとしている問題とまったく一致していないデータでトレーニングされたものを扱っています。言い換えれば、LLMに期待されている作業範囲を解決することができないデータで学習されたモデルです。 OWASP Top 10 List for LLMs version 0.1 LLM08:2023 - Insufficient Access Controls LLMが知識データベースであることを理解するならば、これらのLLMへのアクセス制御の管理は強化されなければならないことを理解しなければなりません。システム内のどのユーザーがどのLLMにアクセスできるかを知ることは、アプリケーション全体のセキュリティの重要な一部となります。強固なアクセス制御を保証するために、セキュリティ・メカニズムを適切に管理することが鍵となります。 LLM09:2023 - Improper Error Handling ウェブ・テクノロジーのハッキングの世界から来た人なら、これは心得ていることでしょう。私は長年、エラーメッセージに現れる情報について書いてきましたが、それはシステムからデータを抽出するために使うことができます。探していたファイルやサーバーの名前を教えてくれたウェブページから、探していたデータを教えてくれたODBCデータベースのエラーまで。同じように、LLMが管理するシステムからのエラーもあります。 外部リソースにアクセスし、プロンプトを操作してエラーを含むコマンドを生成し、そのエラーメッセージがLLMのレスポンスに届くことを想像してください。 LLM10:2023 - Training Data Poisoning そして最後のものは、AIの世界からのものです。それは、LLMがどのようなデータで訓練されているかを知り、偽の、誤った、あるいは意図的な情報でそれを操作することです。LLMが再訓練されると、それに依存するシステムは、訓練データの汚染された操作に基づいて攻撃者によって操作された結果を得ることになります。 さらに多くのことが起こるでしょう LLMハッキングは、ペンテストや監査、レッドチームチームの世界では大変な作業になる分野だからです。しかし、その反対もあります。フォレンジック分析、デバッグ、ブルーチームにおける要塞化、構築プロセスの監査。エキサイティングなことが目白押しです。

出典：OWASP TOP 10 for Large Language Model Applications v_0.1

無料のソーシャルメディア用OSINTツール4選

ソーシャルメディアサイトは、セキュリティやインテリジェンスの研究、マーケティングキャンペーンのための情報源として利用されています。Open Source Intelligence (OSINT) という技術は、インターネットユーザーに関する公開データの収集と分析を自動化するツールが増えてきており、特にソーシャルメディアインテリジェンス（SOCMINT）のために適用されています。この記事では、ソーシャルメディアインテリジェンスの努力を支援するいくつかのツールを紹介しています。これらのツールは、私たちがオンラインで共有する情報の種類に警戒することの重要性を示しています。

ツールの紹介

1. Namechk

最も簡単なものから始めましょう。Namechkは、様々なオンラインプラットフォームでのユーザー名の利用可能性をチェックするだけでなく、その人のオンライン上の個人情報を簡単に検索することができます。これを行うには、ユーザー名を入力するだけで、Namechkは提供された情報に一致するユーザープロフィールを見つけるために複数のオンラインプラットフォームを調べます。これは、ある人物のオンライン情報を収集したい研究者、ジャーナリスト、企業、政府機関や、長い間行方不明になっていた友人や知人に再会したい人に便利です。

2. Sherlock

Sherlockは、Pythonで開発されたオープンソースのコマンドラインツールで、Namechkのように、最も人気のあるソーシャルネットワークで特定のユーザー名を検索してから、プロフィールへのリンクを吐き出します。インターフェースはなく、Windows、Linux、MacOSのコマンドターミナルからアクセスします。より詳しい情報とインストール方法については、Sherlock ProjectのGitHubリポジトリをチェックしてみてください。

3. accountanalysis

accountanalysisは、Twitterを中心としたOSINT調査のために使用されます。フォロワーやフォローされているアカウント、ツイートの頻度、インタラクションの数、最も活発な時間帯、最も使われているハッシュタグなど、アカウントの公開情報を俯瞰したレポートを作成します。

4. Maltego

OSINTの世界で最も知られている、最も強力なツールの一つです。

出典：5 free OSINT tools for social media

XSSポリグロットとは ～入れ歯のポリグリップじゃないぞ～

 

Cross-site scripting (XSS)は、ウェブアプリケーションのセキュリティ脆弱性の一つであり、攻撃者が悪意のあるスクリプトを正当なウェブページに挿入することができます。この脆弱性をテストする際、さまざまなインジェクションの文脈に直面することがよくあります。それぞれの文脈に合わせてペイロードを変更するのは時間がかかる場合がありますが、XSSポリグロットはこの問題を解決するのに役立ちます。

XSSポリグロットとは何か？

XSSポリグロットは、その生の形式でさまざまなインジェクション文脈内で実行可能なXSSベクトルとして定義できます。

GitHubのHackVaultに掲載されているポリグロットは以下の通りです：

jaVasCript:/*-/*`/*\`/*'/*"/**/(/* */oNcliCk=alert() )//%0D%0A%0d%0a//<stYle/<titLe/<teXtarEa/<scRipt/--!><sVg/<sVg/oNloAd=alert()//>

このポリグロットは、さまざまな文脈でのXSS攻撃をカバーしており、その解剖学的な構造は非常に興味深いものとなっています。

まとめ

XSSポリグロットは、複数のインジェクション文脈で動作するXSSペイロードを作成する技術です。これにより、セキュリティ研究者やペネトレーションテスターは、特定の文脈に合わせてペイロードを変更する手間を省くことができます。HackVaultの記事は、この技術の深い洞察と実用的な例を提供しており、XSSの研究をしている人にとって非常に価値のあるリソースとなっています。

興味を持たれた方は、こちらのリンクから詳細を確認することができます。

出典：THM | Cross-site Scripting

ブラインドXSSの検出を簡単に: 「XSS Hunter Express」の力

 

近年、ウェブセキュリティは日々の生活の中でますます重要な役割を果たしています。特に、クロスサイトスクリプティング（XSS）のような脆弱性は、デジタルエコシステム全体の安全性を脅かす可能性があります。そこで、今日は「XSS Hunter Express」という驚くべきツールを紹介したいと思います。

「XSS Hunter Express」は、XSS Hunterの簡単にセットアップできるバージョンで、わずか5分でセットアップが完了します。このツールは、ブラインドクロスサイトスクリプティングの脆弱性をテストし、検出するための最速の方法を提供します。主な特徴として、管理されたXSSペイロード、強力なXSSプローブ、完全にDocker化された環境、自動TLS/SSLセットアップ、ページのスクリーンショットなどがあります。

ウェブアプリケーションのセキュリティテストに関心がある方や、最新のセキュリティツールを探している方には、この「XSS Hunter Express」は絶対に見逃せないツールです。詳細やセットアップ方法については、公式のGitHubページを参照してください。

ウェブセキュリティを強化し、デジタル空間をより安全な場所にするための一歩として、このツールを活用してみてください。

出典：Cross-site Scripting

エンタープライズにおけるモバイルデバイスセキュリティ管理ガイドライン

（ダイジェスト版）

1. 背景と導入:  

モバイルデバイスは、個人の通信デバイスから企業の主要なツールへと進化してきました。これらのデバイスは、機密データの処理やネットワークへのアクセスに使用されています。そのため、セキュリティの確保が不可欠となっています。このガイドラインは、企業がモバイルデバイスのセキュリティリスクを理解し、適切な対策を講じるためのものです。

2. モバイルデバイスの特性:

現代のモバイルデバイスは、通信や情報へのアクセスを提供するだけでなく、企業のネットワークやシステムにアクセスするためのプラットフォームとしても機能します。これには、スマートフォンやタブレットなどのデバイスが含まれます。これらのデバイスは、高度な計算能力とストレージ容量を持ち、クラウドサービスやエンタープライズリソースにアクセスする能力を持っています。そのため、これらのデバイスのセキュリティは、企業のITセキュリティ全体の一部として考慮されるべきです。

3. セキュリティ上の懸念:

モバイルデバイスの普及に伴い、モバイルマルウェアや脆弱性が増加しています。これらの脅威は、デバイス、モバイルアプリ、ネットワーク、管理インフラストラクチャに影響を及ぼす可能性があります。特に、公共のWi-Fiネットワークを使用する際のリスクや、不正なアプリケーションのインストールによるリスクが高まっています。さらに、デバイスの物理的な紛失や盗難も、データ漏洩のリスクを増加させる要因となります。

4. セキュリティ技術: 

モバイルデバイスのセキュリティを強化するための技術として、エンタープライズモビリティ管理 (EMM)、モバイル脅威防御 (MTD)、モバイルアプリケーション審査 (MAV) などがあります。これらの技術は、デバイスの管理、アプリケーションのセキュリティ、データの保護、ネットワークのセキュリティを強化するために使用されます。EMMは、デバイスの設定、アプリケーションの配布、データの保護を一元的に管理するためのソリューションを提供します。MTDは、モバイルデバイス上の脅威を検出し、対応するための技術です。MAVは、モバイルアプリケーションのセキュリティを評価するためのプロセスやツールを提供します。

5. 対策とカウンターメジャー:

モバイルデバイスのセキュリティリスクを軽減するための推奨対策として、EMM技術の導入、ソフトウェアの迅速な更新、OSとアプリの隔離、モバイルアプリケーションの審査、モバイル脅威防御、ユーザー教育などが挙げられます。特に、ユーザー教育は、セキュリティインシデントの発生を防ぐ上で非常に重要です。ユーザーは、セキュリティのベストプラクティスやポリシーを理解し、適切に遵守する必要があります。

6. モバイルデバイスのライフサイクル:

モバイルデバイスのセキュリティを維持するためには、デバイスのライフサイクル全体を通じて一貫したアプローチが必要です。これには、要件の特定、リスク評価、モビリティ戦略の実装、運用と保守、デバイスの廃棄や再利用が含まれます。デバイスの適切な廃棄は、機密データの漏洩を防ぐために特に重要です。デバイスの再利用やリサイクルの際にも、データの完全な消去やデバイスのリセットが必要です。

7. 結論:

モバイルデバイスは企業のIT環境において不可欠な存在となっています。そのため、これらのデバイスを安全に管理・利用するための適切なガイドラインと戦略の導入が求められています。NISTのこのガイドラインは、モバイルデバイスのセキュリティを向上させるための実用的なアドバイスを提供しています。企業は、このガイドラインを参考にして、モバイルデバイスのセキュリティポリシーとプロセスを策定・実施することが推奨されます。このガイドラインを適切に適用することで、企業はモバイルデバイスを安全に使用し、ビジネスの効率と生産性を向上させることができます。

参考：NIST SP 800-124 Rev.2 エンタープライズにおけるモバイルデバイスセキュリティ管理ガイドライン (2023.05.17)

出典：Guidelines for Managing the Security of Mobile Devices in the Enterprise

LockBitの全貌: ランサムウェア脅威アクターの実態と対策

LockBit RaaSとそのアフィリエイトは、世界中の大きな組織や小さな組織に悪影響を及ぼしています。2022年には、LockBitは最も活動的なグローバルランサムウェアグループおよびRaaSプロバイダーでした。LockBitは、その管理パネルとRaaSのサポート機能の革新と継続的な開発を通じて成功を収めています。LockBitのリークサイトでは、攻撃者が被害者の名前やキャプチャされたデータを公開しています。この公開されたデータは、被害者の企業や組織に対する追加の圧力手段として使用されることが多いです。

LockBitのアフィリエイトは、合法的な使用を目的としたさまざまなフリーウェアやオープンソースのツールを使用しています。これらのツールは、システムの発見、偵察、パスワード/資格情報のハンティング、特権のエスカレーションなどのさまざまな悪意のあるサイバー活動のために再利用されています。PowerShellやバッチスクリプトの使用は、ほとんどの侵入で観察されており、システムの発見、偵察、パスワード/資格情報のハンティング、特権エスカレーションに焦点を当てています。MetasploitやCobalt Strikeなどのプロのペネトレーションテストツールの痕跡も観察されています。

具体的に、LockBitアフィリエイトが再利用するために使用する一部のフリーウェアやオープンソースツールのリストが文書に記載されています。これらのツールはすべて公に利用可能で合法的です。しかし、これらのツールが脅威のアクターによって使用される場合、それはそのツール自体が悪意を持っているわけではありません。むしろ、これらのツールはその機能や機能性のために悪用されることが多いです。

LockBitアフィリエイトが使用するフリーウェアおよびオープンソースツールには、以下のようなものがあります。

• FreeFileSync:
  クラウドベースのファイル同期を容易にし、データのエクスフィルトレーション（不正なデータ外部への転送）のために使用されます。

• GMER:
  ルートキットを削除するためのツール。EDR（Endpoint Detection and Response）ソフトウェアを終了し、削除するためにも使用されます。

• Impacket:
  ネットワークプロトコルを操作するためのPythonクラスのコレクション。被害者のネットワークへのアクセスやエクスプロイトのための資格情報を収集するために使用されます。

• LaZagne:
  複数のプラットフォームでのシステムパスワードの回復を目的としたツール。

• Ligolo:
  ペネトレーションテストのための逆接続からSOCKS5またはTCPトンネルを確立します。被害者のネットワーク内のシステムへの接続を逆トンネリングを介して可能にします。

• LostMyPassword:
  Windowsシステムからのパスワードの回復を目的としたツール。

• MEGA Ltd MegaSync:
  クラウドベースのファイル同期を容易にし、データのエクスフィルトレーションのために使用されます。

出典：UNDERSTANDING RANSOMWARE THREAT ACTORS: LockBit

ChatGPTをサイバー脅威情報の収集、分析に活用する

1950年、現代コンピューティングの父であるアラン・チューリングは、「機械は考えることができるか？」と問いました。その質問は、人間のようなテキストを理解し生成できる機械を発明する探求へと進化し、その結果自然言語処理（NLP）やAIサポートのチャットボット、ChatGPTなどが登場しています。

UBSによれば、ChatGPTは容易にアクセスできる最初の大規模言語モデル（LLM）で、多岐にわたる分野で助っ人として使用できます。OpenAIによって開発された自然言語処理（NLP）モデルであるGPTを基盤としており、言語翻訳やテキスト生成などのNLPタスクで一般的に使用されています。ChatGPTは、文脈を理解し、テキストを生成し、正確に質問に答えるように設計されています。

ChatGPTの力は、大量のデータを迅速かつ効率的に分析・処理する能力にあります。サイバー脅威情報（CTI）の専門家は、ChatGPTを使用して、脅威フィード、ダークウェブフォーラム、セキュリティブログなどの幅広い情報源から洞察を収集、分析、生成することができます。さらに、ChatGPTは定型的なタスクを自動化するために使用でき、CTI専門家がより高度な分析と戦略的な意思決定に集中できるようにします。人間のようなテキストを生成する能力は、整理された報告書を作成し、CTIチーム間の協力を促進するための優れたツールとなります。

この記事では、ChatGPTのCTI分野でのさまざまな応用について詳しく説明し、CTI専門家やサイバーセキュリティコミュニティ全体にもたらす潜在的な利点を認識する重要性について説明します。ChatGPTの能力を理解し、効果的に活用することで、CTI専門家はサイバー敵から一歩先を行き、組織をサイバー脅威からよりよく保護することができます。

ChatGPTのCTIでの応用

脅威情報収集

CTI専門家は、OSINT、TECHINT、HUMINTなどの多岐にわたる情報源から脅威情報を収集する必要があります。ChatGPTは、ソーシャルメディアプラットフォーム、ブログ、フォーラムなどのさまざまな情報源から情報を自動的にスクレイピングし統合することで非常に貴重です。迅速かつ効率的にデータを処理することで、ChatGPTはCTI専門家が進化する脅威風景を最新の状態に保ち、実用的な洞察を生成するために集中することを可能にします。

ChatGPTは、転送された任意の記事から必要な情報を抽出することができます。以下の例では、SOCRadarのSandwormという脅威グループに関する記事からCTI専門家がどのように利益を得るかを尋ねると、それは出力として重要な情報をリストします。

分析と特定

CTI専門家にとって、収集したデータの中で関連するパターン、相関、異常を特定することが重要です。ChatGPTは、大規模なデータセットを分析し、トレンドとパターンを特定するために、先進的な分析と機械学習の技術を適用することでこのプロセスを支援することができます。分析プロセスを自動化することで、ChatGPTはCTI専門家が結果を解釈し、情報に基づいた意思決定を行うために集中することを可能にします。

loghubリポジトリからサンプルとして取得したLinuxログの一部についてChatGPTに尋ねると、ログ内のIPアドレスとログの内容、攻撃内容、ログ内の問題点について、理解しやすい方法で教えてくれます。

定型タスクの自動化

CTI専門家は、報告書の生成、脅威フィードの監視、ログデータの分析など、時間のかかる定型的なタスクにしばしば負担されます。ChatGPTはこれらのタスクを自動化することができ、CTI専門家がより戦略的な活動に集中することを可能にします。定型タスクを自動化することで、ChatGPTはCTI専門家がより高度な分析、脅威ハンティング、戦略的な計画に多くの時間を費やすことができるようにします。

協力と知識共有の改善

CTI専門家がチームで働く中で、効果的な協力と情報共有は成功にとって不可欠です。ChatGPTは貴重な知識リポジトリとなり、チームメンバー間での情報共有を促進することができます。特定の脅威やインシデントに関する要約の生成、説明の提供、質問への回答の能力は、CTI専門家間での効果的な協力と情報に基づいた意思決定を促進します。

SOCRadarプラットフォームのCTIモジュールでLockBitから入手したサンプルIOCを使用して、サイバー脅威情報を共有するための標準化された言語であるStructured Threat Information Expression（STIX）をChatGPTに生成させるように頼んだところ、ChatGPTから以下の出力を得ました。

マルウェア分析

ChatGPTは、マルウェア分析に活用できます。自然言語処理の能力を活用して、ChatGPTはマルウェアコードを分析し、パターンと異常を特定し、詳細な報告書を生成することができます。複雑なコード構造を理解し、人間が読めるテキストを生成する能力は、マルウェアアナリストにとって貴重なツールとなります。

W4SP Stealerの "inject.py "スクリプトがChatGPTに送信されると、このような情報を出力します。

また、ChatGPTにソースコードが公開されているGitHubリポジトリを尋ねると、有益な説明をしてくれます：

さらにChatGPTは、マルウェアの機能や動作をより深く理解するためのリバースエンジニアリングにおいて、CTIの専門家を支援することができます。マルウェアのコードを解析することで、ChatGPTは暗号化アルゴリズム、通信プロトコル、永続化メカニズムなどの重要なコンポーネントを特定し、ミティゲーションや防御のための貴重な情報を提供することができます。

PicoCTFのリバースエンジニアリング演習の一つであるvault-door-1演習をChatGPTに与えたところ、この課題を見事にクリアしました：

YARAルール作成

YARAは、特定のパターンに基づいてマルウェアサンプルを識別し分類するために使用される強力なツールです。ChatGPTは、マルウェアサンプルを分析し、パターンと署名を特定することでYARAルールの作成を支援することができます。ルール作成プロセスを自動化することで、ChatGPTはマルウェアアナリストがより複雑なタスクに集中することを可能にし、効率と効果を高めます。

RedLine Stealerをサンプルとして、ChatGPTに文字列関数の出力を共有し、GPTに重要な文字列の取得とYARAルールの作成を依頼しました。

ChatGPTはプロンプトから重要な点をリストアップし、このシナリオに対応するYARAルールの例を書きました。

脅威ハンティング

脅威ハンティングは、潜在的な脅威を特定し、重大な損害を引き起こす前に対処する積極的なアプローチです。ChatGPTは、大量のデータを分析し、潜在的な脅威と異常を特定することで脅威ハンティングを支援することができます。機械学習の能力を活用することで、ChatGPTは迅速に脅威を特定し、CTI専門家がタイムリーな行動を取ることができるようにします。

セキュリティインテリジェンスの統合

ChatGPTは、様々な情報源からのセキュリティインテリジェンスを統合する上で重要な役割を果たすことができます。様々な脅威フィード、ソーシャルメディアプラットフォーム、その他のソースからの情報を統合することで、ChatGPTは脅威ランドスケープの包括的なビューを提供することができます。異なるソースからの情報を分析・統合する能力により、CTIの専門家は情報に基づいた意思決定を行い、適切な行動を取ることができます。

結論

サイバー脅威の風景が進化する中、CTI専門家は先を行くための先進的なツールが必要です。ChatGPTは、CTIプロセスのさまざまなコンポーネントを改善するために使用できる強力なソリューションを提供します。データの収集、文脈分析の改善、定型タスクの簡素化、協力の促進など、CTI専門家が実用的な洞察を生成し、組織やクライアントをサイバー脅威から保護するために集中することを可能にします。AI技術の進展に伴い、ChatGPTなどのAIツールはCTI専門家にますます貴重な利点を提供し、分野内での潜在的な応用を拡大しています。

出典：ChatGPT for CTI Professionals

Sec道後2023振り返り ～今後の必要な能力は、「日本語力」、「英語力」、「ググリ力」、「ChatGPT力」～

 

サイバーセキュリティシンポジウム道後2023に行ってきた。

コロナが終わり、開催形態をコロナ前に戻そうとする試行錯誤が色々感じられる開催だった。その結果の一つとして、例年は2月～3月開催だったのが6月開催となったこと。

梅雨の時期は温泉もミカンも魅力半減なので、開催時期も元に戻していただく方向で事務局の頑張りに期待したい。

そんなわけで、講演メモ。

■我が国のサイバーセキュリティ政策

サイバー空間の環境変化とリスクの変化について述べられたこの公演では、フィッシング詐欺から不在通知の偽SMS、ランサムウェア、リモートデスクトップを狙った攻撃など、サイバー攻撃の動向が紹介された。一部のハッカーだけができたサイバー攻撃はツールによりコモディティ化しており、サイバー攻撃自体が売買できるような感じになっている。

政府全体のサイバーセキュリティ推進体制として、「誰も取り残さない」というテーマのもと、自由、公正かつ安全なサイバー空間の確保につながる国としての取り組みが説明された。総務省の取り組みとしては、セキュリティ面に関してだらしない IoT 機器などの調査や、電気通信事業者による積極的なセキュリティ対策、サイバーセキュリティ統合知的・人材育成基盤（CYNEX）の構築などが紹介されました。

サイバーセキュリティ戦略は3年ごとに改定され、次回の改定は2024年を予定しているらしい。また、NISCポスターの周知啓発の見直しについても触れられ、従来は青少年がターゲットだったことから、アニメとのタイアップが多かったが、今後は高齢者も加えた全世代をターゲットにするため、実在する人のポスターに変更をしたとのことだった。

ISMAPについては多くの不満が寄せられているらしく、高いコストと時間がかかるというのが大きな問題になっている模様。これに対して、ISMAP-LIUというリスクの小さな業務・情報の処理に用いるSaaSサービスを対象とした制度が紹介された。

■サイバー空間の脅威の情勢とその対策について

この公演では、社会構造の変化に伴うサイバー空間の変貌、ランサムウェア、フィッシング、警察組織の取り組みについて紹介された。サイバー空間が重要かつ公共性の高い場へと変貌を遂げている現状に触れ、顕在化している脅威に加え、闇バイト募集やサイバー戦などの新たな脅威が生じていると述べた。

ランサムウェア被害については、増加傾向にあることが指摘され、日本独特の傾向として不審メールや添付ファイルからの侵入が少なく、VPN機器やリモートデスクトップの脆弱性を突いた侵入被害が多い傾向にあると述べた。また、あらかじめバックアップやログを確保していても、被害後に復元ができない場合も多いとの説明があった。これに対する基本対策として、脆弱性管理とオフラインバックアップの徹底が必要との指摘があった。

フィッシングについては、クレジットカード事業者、ECサイト事業者を装ったフィッシング詐欺の発生件数が急増していること、また一時期減少傾向にあったインターネットバンキングの被害が再増加していることに触れ、対策方法について説明があった。そのような状況の中でフィッシングメールの被害を防ぐため、メールの分類・隔離を行うDMARCの概要について説明の後、成功を収めた導入事例の紹介が行われた。

最後に組織の説明があったが、警察庁は捜査権限が無く、警視庁や県警などは捜査権限があることを理解した。

警察関係は旧態依然とした役割分担のせいでサイバー関係はかなり出遅れている印象を持っている。個人的には一般市民からは理解が難しい警察庁と警視庁の違いを整理したり、各都道府県県警がバラバラにセキュリティ関係の注意喚起を発する行為をやめてもらいたい。県警の注意喚起は周回遅れの上、注意喚起を行う基準が曖昧なので、IPAとJPCERT/CC注意喚起系は集約してもらいたい。

注意喚起を都道府県警レベルで実施するのが謎過ぎる。。。

■パネルディスカッション 「サイバーセキュリティと四国：教育と地域活動への橋渡し」

この公演では、ITに詳しい人とそうでない人の交流の活性化が課題として挙げられ、その解決策として大学レベルでのサイバーセキュリティに関する様々な活動が紹介された。大学内の放送でサイバーセキュリティに関する情報を正しく伝える活動、学内でサイバーセキュリティ団体を立ち上げて啓蒙や摘発、教育を行う活動、サイバーセキュリティ相談窓口を設置する活動など、多岐にわたる取り組みが行われていることが明らかにされた。

また、IPAからは地域SECUNITYに関する説明や取り組みについて説明があった。その後のディスカッションでは、各地域活動に関する議論が行われ、多様な視点がコンテンツの充実につながる可能性や、各大学間の協力による相乗効果の可能性についての意見が出された。

個人的な感想としては、大学レベルでサイバーボランティアがこんなに根付いていることに驚いた。これは、サイバーセキュリティの重要性が広く認識され、それぞれが自分たちにできることを見つけ、行動に移していることを示している。これらの活動がさらに広がり、多くの人々がサイバーセキュリティの重要性を理解し、自分たちの生活を守るための知識とスキルを身につけるきっかけになることを期待したい。

■楽天グループのサイバーセキュリティの取り組み

楽天グループにおけるセキュリティインシデント対応事例の紹介は、非常に興味深いものだった。日々多様なサイバー攻撃を受ける楽天グループの現状を示し、実際の事例としてリスト型アカウントハッキングやフィッシングサイトの攻撃シナリオの説明があった。特に、フィッシングサイト対策としてDMARCの導入実績の紹介は、具体的な効果を示す良い例だった。DMARC導入後、楽天カスタマーセンターに対する偽楽天メールに関する問い合わせが約9割減少したという結果は、その効果の大きさを物語っている。一方でDMARCの導入は大変らしく、楽天グループではIPが可変のためSPFは使えないため、DKIMを採用。導入完了までに3年かかったらしい。

また、楽天グループが人材育成にも取り組んでいることを知り、東京工業大学で特別専門学修プログラムを実施しているという情報は、企業が教育機関と連携してサイバーセキュリティの人材育成に取り組む重要性を改めて認識させられた。インターンで10人来てもらい、内8人が楽天に入社して未だにやめていないというエピソードは結構興味深かった。

私自身、自社のインシデント対応で警察に頼るというのはあまりいいイメージを持っていない。根掘り葉掘り聞かれて時間だけ浪費し、何の役にも立たない印象が強いからである。楽天も同じ印象を持っていた様で、警察に相談したら数十ギガのログファイルを印刷しろとかアホな事を言われたらしい。ただ、警察は捜査権を持っているので味方に付けられると強い。アナログ頭の警察とデジタル頭の楽天との間をJPCERTが上手くコーディネートしてくれて、今では素晴らしい協力関係が築けているらしい。

不正プロキシ対策としては認証の強化が必要で、UAFベース/FIDOベースの認証を進められるとかなり解決に向けて前進できるようなのだが、強行すると楽天全体の3%のユーザーを切り捨てることになるらしい。3%って小さく見えるが、売上高の3%と考えると機会損失の観点からは無視できない数字になるらしく、未対応の古いデバイスが減っていくのをもうしばらく待つ必要があるとのことだった。

フィッシング対策は国内であればJPCERT/CC、海外であれば各国のCERTと連携して対応するが、埒が明かないときはドメインレジストラとも協力してドメインのテイクダウンを実施する（この対応は1週間程度かかるらしい）

■NICTERで捉えたサイバー攻撃の現状と対策 〜常態化する攻撃者による探索と感染する機器の実態〜 

NICTERの広域的なサイバー攻撃観測、通称ダークネット観測とその観測結果から読み取れる近年の攻撃傾向についての紹介は、現代のサイバーセキュリティ環境についての深い洞察を提供してくれた。ダークネット観測を用いることで、次の感染先を探すマルウェアによるスキャン、DDoS攻撃の踏み台の活動を示すリフレクタ、脆弱なIoT機器を探す第三者による偵察活動などを観測できるという事実は、その有用性を示している。

IoT機器を狙った攻撃は全体の約4割を占めており、過去5年間で最も狙われているインターネット上のサービスではIoT機器関連サービスが上位を占めている。これは、IoT機器の脆弱性が攻撃者にとって大きな魅力であることを示している。

原因は幾つかある。そもそもの設計思想が間違っている（telnetを実装する）とか、ベンダーの知識不足（デフォルトでどのポートが有効になっているのか認識していない。パスワードをデフォルトから帰るという発想が無い）とか。

対策としては、IoT機器セキュリティ適合基準ガイドラインに準拠させたり、デプロイ時にグローバルIPが割り当てられていないか、想定していないポートが開いていないかをつなぐ前に確認したり、UPnPを無効にするなどなど。

これらの情報は、サイバーセキュリティの現場で直面する可能性のある課題とその対策についての理解を深めるのに役立った。

「ネットワーク障害」というプレスリリースでも、実態は障害ではなくて不正アクセスみたいなケースもあることを知れたのがとても興味深かった。

■対談「カシオのDX戦略とサイバーセキュリティ」

カシオのDX戦略は、「活動領域のDX」と「基盤領域のDX」の二つの視点から推進されている。前者は直接的な価値創出を追求し、後者は活動を支える仕組みを通じて間接的に貢献する。特に、新型コロナウイルスのパンデミック以降、カシオはオープンかつ安全なゼロトラスト型ネットワークへの転換を模索している。

このようなDXについて、経営層の理解を得るには、やはりわかりやすく丁寧な説明に尽きる。お金を出し続けてもらうために具体的に何が良くなるのかをしっかり示していき、価値とコストとリスクを分かりやすく伝えることが重要。

対談の中では、ChatGPTの人気に触れ、カシオは新技術を積極的に導入する姿勢を示した。特に、画像生成AIなどの最新技術を活用することに意欲を見せ、これらの技術を適切に使うことで事業に有効に活用する方針を掲げている（禁止するだけではなく、上手く使わせていくための経験を蓄積していくことも重要）。

JUAS調査（企業IT動向調査報告書 2022）でゼロトラストが1位にランクインする等もあり、この領域は注力らしく、カシオではすでにロードマップに組み込まれている。今後必要なセキュリティ人材としては、「戦略/統制力+技術力」を持つ人材。技術は必要だけど、戦略立案とそれに沿ってITを統制する力が必要という点は激しく同意する。

カシオは脱PPAPを実現した会社組織の一つだが、脱PPAPの実現にあたっては現場や取引先からの抵抗が結構あったらしい。取引先は理解できるが、現場の抵抗にはどのようなものがあったのかが非常に興味を持った。

■SNSでのトラブルから身を守るために

SNSを通じた闇バイトの募集が問題となっている。特にTwitterでは、「裏バイト」「裏仕事」「受け出し」「補償金なし」「借金返済」「金欠」などのキーワードを使った求人が存在する。また、リゾートバイトと称した募集も、掛け子になる可能性が高いため、警戒が必要となる。

特殊詐欺の収益分配においては、主犯格が87%、下っ端が5%程度の収益とのデータがある。特殊詐欺グループは国内での活動が難しいため、犯罪インフラが整っている東南アジアへと活動の場を移している傾向が見受けられる。東南アジアは時差が少なく、リゾート地ではビザの問題も少ない。さらに、汚職により当局の取り締まりも甘い。

また、「お金配り」にエントリーするとカモリストに登録され、高額商材を売りつけられるリスクが出てくる。また、「強盗のふりするバイト」という名目で実際に強盗を強要されるケースもあった。

日本に居住する外国人も闇バイトの対象となり、SIMカードの不正取得などが行われている。また、外国人がバイト感覚で犯罪を犯すケースも増えている。

闇バイトの募集は巧妙化しており、Indeedやジモティーでも行われている。犯罪グループが求める条件として、「テレグラムの利用（証拠隠滅）」「平日日中の労働（高齢者が1人でいる時間）」「身分証とセルフィの提出（個人情報の暴露）」の3つが特徴とされる。

闇バイトに巻き込まれた場合は、相手との連絡を断ち、警察に相談することが重要だ。また、特殊詐欺は初めてでも執行猶予はつかないため、絶対に犯罪に手を染めないことが肝心である。

主犯格からは個人情報を晒す等の脅しを受けるが追跡される可能性は少ない（ほかの犯罪行為で忙しい）

SNSを利用した犯罪に巻き込まれる被害者を減らすために、社会的に立場の弱い人や日本に居住する外国人などに情報を届けることが重要となる。

ちなみに最近はバイトで免許証等の身分証明を取ることは当たり前らしく、そんな事実自体がちょっと衝撃だった。

闇バイトの可能性が高い募集広告

■その他

学生の研究発表があり、興味深い話を2点聞いた。

1点目は教育には「知識型」と「演習型」があるということ。TPRGと呼ばれるテーブルゲームのジャンルの一つがあり、それを活用して教育に生かそうとする取り組みがあった。

もう一つは2038年問題と称されるUNIX時間のオーバーフロー問題。全然認識していなかった。。。。

今回も二日間の開催だったが、1日目の様子が地元メディアによって取材を受け、ローカル局の夕方のニュースになっていたようだ。

Sec道後は10年近く開催しているが、間違いなく四国で一番大きな地域セキュリティコミュニティとなっている。

Discord: サイバー犯罪者の新しい遊び場

Discordは、オンラインコミュニティ、ゲーマー、ビジネスの仮想的な集まりの場として、近年急速に人気を集めています。2023年には、約2億のアクティブユーザーと約5億の登録アカウントが存在します。しかし、このオープンなプラットフォームは、サイバー犯罪者の注目を集めており、彼らにとって悪意のある活動を行う理想的な環境と見なされています。Discordには、フィッシング、マルウェアの配布、ソーシャルエンジニアリングなど、さまざまなサイバー攻撃を実行するために犯罪者が悪用できる多くの機能が提供されています。Discord上の匿名性と規制の欠如も、犯罪者が他の同じ考えを持つ個人とコミュニケーションを取り、活動するための完璧な空間を作り出しています。

**攻撃サーフェス**

Discordの機能は、サイバー犯罪者がさまざまな攻撃を実行するための理想的な環境を作り出しています。プラットフォームのファイル共有機能、音声およびビデオチャットオプション、および他のアプリとの統合は、脅威のアクターが悪用できる攻撃サーフェスを作成します。

**フィッシングとソーシャルエンジニアリング**

Discordで実行される攻撃の最も一般的なタイプの1つは、フィッシングです。サイバー犯罪者は、信頼されている個人を偽装したり、偽のアカウントを作成したりして、ユーザーに機密情報（ログイン資格情報など）を提供するように騙すためにフィッシング攻撃を使用します。Discordのチャットとダイレクトメッセージの機能は、ソーシャルエンジニアリングの戦術やAI生成の音声を使用して誰かを偽装し、ユーザーに機密情報を提供するように誘導するメッセージを送信するための攻撃者にとって簡単です。ハックされたソーシャルメディアアカウントのように、ユーザーのアカウントがハックされた人を偽装してフィッシングに使用されることも、Discordでは非常に一般的です。偽のDiscordシステムメッセージや、正当に見える自動ボットメッセージも、フィッシングに広く使用されています。さらに、必要な調整が行われない場合、公開サーバーを介してメールやメールリストが不要な状態で大量のフィッシング試行が行われる可能性があります。

**マルウェアの配布とC2**

Discordを介して起動できる別のタイプの攻撃は、マルウェアの配布です。攻撃者は、プラットフォームのファイル共有機能を使用して、ユーザーに悪意のあるファイルを送信し、ダウンロード時にシステムを感染させることができます。サイバー犯罪者はまた、メッセージやダイレクトメッセージの悪意のあるウェブサイトへのリンクを介してマルウェアを配布することもできます。

セキュリティ研究者はまた、DiscordがC2（Command & Control）として使用されるRATおよびマルウェアツールキットを観察しています。DiscordのAPIは、ユーザーが外部プログラムとメッセージやファイルを交換してコミュニケーションを取るための直接のチャネルを提供します。残念ながら、この機能はC2通信のための簡単な手段も作成し、これを検出して防ぐのは難しい。困難は、C2通信が正当なサービスとして変装できる単一のエンドポイントを使用することから生じます。さらに、HTTPSを使用して通信を保護することで、良性と悪意のあるAPI呼び出しの間での区別が複雑なタスクとなります。

さらに、Discordは、添付ファイルをクラウドストレージに保存し、共有リンクのWeb URLを介してどこからでもアクセスできるようにするた

め、マルウェアをホスティングするのにも適しています。

アクセスリンクの例：https://cdn.discordapp.com/attachments/../../..

**WebhooksとBots**

しかし、Discordの他のアプリとの統合は、サイバー犯罪者が多くの異なる方法で悪用できる潜在的な攻撃サーフェスを作成する可能性があります。攻撃者は、これらの統合を使用して、Discordに接続されたサードパーティアプリを介してマルウェアを配布したり、フィッシング攻撃を起動したりすることができます。これは主に、webhooksとbotsの形で行われます。

Discordは2020年にwebhooksという比較的新しい機能を導入しましたが、残念ながら悪意のあるアクターがこれを悪用しています。この機能を使用すると、サーバーの所有者は、所有している任意のチャンネルのwebhookを簡単に作成し、そのチャンネルにシンプルなHTTPSリクエストを介してメッセージを送信することができます。新しいgitプルリクエストなどの特定のアクションをユーザーに通知するために最初に意図されていたものですが、攻撃者はこの機能を使用して、被害者からデータを外部に送信する方法を発見しました。

webhooksは安全で迅速な通知に役立つことができますが、誤用からの保護は困難である可能性があります。これは、すべてのリクエストが同じドメインに送信され、コンテンツがHTTPSによって保護されているためです。これにより、監視およびブロッキングが複雑なタスクとなります。

webhook URLの例：https://discord.com/api/webhooks/../<TOKEN>

**ダークウェブマーケット**

攻撃サーフェスを作成するわけではありませんが、TelegramやDark Web Forums/Marketsのように、多くの違法な製品やサービスの販売、または詐欺や詐欺のプラットフォームとしての他の犯罪的な使用が観察されています。さらに、サーフェスウェブからアクセスできる多くのクラッキング/海賊版コミュニティもDiscordを利用しています。

ダークウェブのベンダーがDiscordサーバー上でビジネスを宣伝しています。（出典：Spycloud）

**安全に過ごす方法は？**

個人のアカウントの安全のためのいくつかの短いステップがあります。ユーザーとして考慮すべき最も重要な要因は、フィッシング攻撃に警戒することです。Discordの詐欺に対するブログ投稿にアクセスできます。

人気のある方法は、システムメッセージを模倣し、被害者を悪意のあるウェブサイトにリダイレクトすることです。

再び、予防措置として、すべてのメッセージに対してスパムフィルターをオンにし、デフォルトで非友人にのみ開かれているものをオンにすることで、セキュリティが向上します。

デフォルトのスパムフィルター

Discordでの2FA（二要素認証）機能を使用することも、Discordの設定でアカウントに接続されているシステムやサーバー上のボットを確認することも、重要なセキュリティ対策です。

デフォルトでは二要素認証が有効になっていません

ビジネスの設定では、考慮すべき他のことがあります：

• Discordをブロックする：高度な悪用可能性を考慮すると、組織の環境でDiscordをコミュニケーションプラットフォームとして使用するのは避けるのが最善です。Discordをブロックすることで、組織のネットワークや機密データへの不正アクセスを防ぐことができます。
• ユーザートレーニング/認識：Discordをコラボレーションツールとして使用する場合、Discordに関連する潜在的なサイバー攻撃についての認識を高めることが重要です。ユーザーは、プラットフォームを安全に使用する方法と、システムの妥協を避けるための可能な攻撃タイプを認識する方法を知っている必要があります。ユーザーに定期的なトレーニングと認識プログラムを提供することで、Discordの悪意のある活動の犠牲になるリスクを大幅に削減することができます。
• 信頼性のあるソースからのみファイルをダウンロードする：マルウェアのインストールを防ぐために、ユーザーは信頼性のあるソースからのみファイルをダウンロードする必要があります。メールの添付ファイル、DiscordにリンクされたURL、またはDiscordチャンネルでアップロードされたファイルを開く前に、ソースの正当性を確認することが重要です。
• アンチウイルスソフトウェアを使用する：最新のアンチウイルスソフトウェアを使用することで、Discordや他のオンラインプラットフォームでの悪意のある活動の犠牲になるリスクを大幅に削減することができます。これは、怪しいダウンロードを積極的にブロックし、コンピュータ上の悪意のあるファイルを検出して削除することで、マルウェアのインストールを防ぐのに役立ちます。

**まとめ**

結論として、Discordは人気のあるコミュニケーションプラットフォームとなり、サイバー犯罪者がさまざまな悪意のある活動を行うための温床となっています。ファイル共有機能、音声およびビデオチャットオプション、および他のアプリとの統合など、Discordのさまざまな機能は、サイバー犯罪者に攻撃サーフェスを提供しています。彼らは、ユーザーに機密情報を提供するように騙すフィッシング攻撃を使用し、リンクやファイルを介してマルウェアを配布し、外部化と詐欺のためのwebhooksとbotsを使用します。Discordの匿名性と規制の欠如は、これらの活動を検出するのが難しく、犯罪者が運営するのに理想的な環境を作り出しています。ユーザーとして、このような脅威に警戒し、オンラインで安全に過ごすための必要な予防策を講じることが重要です。個人のアカウントの安全を確保するために取ることができるいくつかの対策がありますが、ビジネスは、コミュニケーションプラットフォームとしてDiscordを使用する際に厳格なポリシーを持つ必要があります。

出典：Discord: The New Playground for Cybercriminals