雑記系ブログ。セキュリティとか、マイルとか、投資とか、、、 / Miscellaneous Blogs. Security, miles, investments, etc
【転載】MITREのATT&CK形式で書かれているUS-CSERTのレポート
この北朝鮮関連のCISAのレポなんだけど、MITREのATT&CK形式で書かれていて活用のお手本になると思いますのでぜひ! Alert (AA20-239A) FASTCash 2.0: North Korea's BeagleBoyz Robbing Banks us-cert.cisa.gov/ncas/alerts/aa…: この北朝鮮関連のCISAのレポなんだけど、MITREのATT&CK形式で書かれていて活用のお手本になると思いますのでぜひ!
Alert (AA20-239A)
FASTCash 2.0: North Korea's BeagleBoyz Robbing Banks
us-cert.cisa.gov/ncas/alerts/aa…
バックアップ
将来のチャリンチャリン収入の具体的な目標を検討してみる
日本財託のオンラインセミナーを聞いていた。
自分もワンルームマンション投資をしていて、重吉社長提唱の「レバレッジの黄金率」を目指して日々がんばることを目標にしているのだが、いかんせん長期の活動になり、たまにさぼり癖が出てしまう。
それを回避すべく、定期的にセミナーを聞いて自身のモチベーションの維持に心がけている。
不動産投資会社を選ぶ時の注意点として、売りに来る営業マンが実際に自身で不動産投資をしているかというのは大切なチェックポイントの一つとなる。
今回のオンラインセミナーの講師は自身ですでに1億円の資産を築いており、説得力がハンパなかった。。。
今回のセミナーでは、「レバレッジの黄金率」実現のためのモチベーション維持に加えて、将来のチャリンチャリン収入の具体的な目標設定に向けたヒントを得られたのが、とても有意義だった。
例えば、65歳で年収1000万を目指すための目標設定として、下記のようなモデルケースが出た。
・不動産:600万円
・金融資産(所謂ペーパーアセット。年金保険はこちらに入る):200万円
・年金:240万円
例えば、自分も同じ目標とした場合、現在自分はどのような状況にいるのかを整理してみる。
【現在の自分のステータス】
・不動産:300万円/年
・金融資産(所謂ペーパーアセット):44万円/年
・年金:170万円/年
あれ、全然足りてない。。。
が、単純計算で、不動産はあと倍保有すれば良いこと、金融資産は今の5倍にすればよいことが何となく分かってきた。
年金については更なる制度改悪が無いことが前提となるが、仮に年金制度が崩壊や消滅しても不動産所得と金融資産の収入が年800万になれば、問題ない気がする。
資産運用ガンバロウ
【転載】付箋紙でPCに張り付けたパスワードが全国放送される
パスワードが全国放送される時代:
オーストラリアで最も高い評価を受けるテレビ局、7News Australiaはどうやら意図せず自身のパスワードを放送してしまった様です。
grahamcluley.com
ズームビデオチャットを介して行われた放送インタビュー中に、カメラマンは間違いなく、彼または彼女が記者の肩越しに驚くべき角度を向けていることを想像しました。
ただし、残念なことに、このビューではインタビュー対象者が画面に表示されただけでなく、ログイン認証情報が詰まったモニターも表示されていました。
画像を拡大すると、CanberraニュースチームのGmailアカウントとZoomアカウントのように見えるものの詳細を含め、多くのユーザーIDとパスワードのように見えるものがわかります。
繰り返しますが、パスワードをコンピュータの画面に貼り付けるのは良い考えではありません。次に、それらのパスワードをテレビのニュースレポートで放送することはさらに悪いことです。
(Graham Cluley記事より引用)※機械翻訳
キタきつねの所感
Zoomでのインタビューでインタビュワー(7News側)の画面を映したカットには、どうやら見えてはいけないものが映っていた様です。@7NewsAustralia I’d be changing passwords????? Isn’t this a security issue. @3AW693 @heidimur. Zoom in to the top corner then top right pic.twitter.com/HknnoGWd7Z— Lee Meadows (@lee_mead) August 9, 2020
「パスワードを付箋紙で貼るな」は、パスワード管理の初歩中の初歩だと思いますが、テレビ局のインタビューワー、カメラマン、ディレクターは、「当たり前の風景」すぎて何も違和感がなかったのだと思います。
一部マスキングした上で写真を拡大してみますが、、、IDとパスワードがほぼ解読できます。
画面の上にはIDとパスワードらしきものが2つ貼られています。左側は内部ネットワーク用と思われる(端末ログイン用かと推測)IDとパスですが、IDとパスがまったく同じです。ID(Username)から推測すると、部署の共通アカウントの様にも見えます。
画面右側はGmailアカウントです。アカウントは一部カメラで切れていますが、パスワードは容易に推測できる安易なものが設定されている様です。
既にこのIDとパスワードの組み合わせは、Twitter上では検証がされていました。しかし、2要素認証が設定されていた様で、Googleがブロックした画像が貼られていました。
画面の下側にも、 IDとパスワードらしきものが貼られています。グラハム氏の記事ではGmailとZoomアカウントらしきものが見えると書かれていましたので、恐らくこちらがZoom用だと思われます。
念のため一部マスキングしますが、こちらも単純なパスワードの様に見受けられました。このZoomアカウントは取材等でも使われるものかと思いますので、この程度のパスワード複雑性である事に怖さを感じます。
もう1つ見つけました。モニターの右側も有効に使っていた様です。こちらは内部ネットワーク向けIDだと思われます。
テレビ局の内部システムに侵入しようと考えているハッカー(APT)であれば、こうした断片的な情報も内部侵害のヒントの1つになるかと思います。
また、そもそもこうしたパスワードの単純さから考えると、システム管理者ですらAdmin/Adminレベルのパスワードである事が推測できますので、7News Australiaは、今回の意図しない認証情報漏えいを機に、認証管理を徹底的に見直すと共に、従業員教育も再実施すべきだと思います。
余談です。セキュリティコンサルをやっていると、視察でパスワードが貼られている事を見つけてしまう事も結構あります。
こうして「大胆に」パスワードをモニター画面に貼るケースだけでなく、キーボードやマウスパッドの裏に見かけるケースもあります。その他、付箋紙ソフトでWindowsを立ち上げたら出てくるケースや、パスワードが掛かってないpasswordファイルがデスクトップに分かりやすく置かれているケースもあります。セキュリティ内部監査などをやられている方は、チェックポイントに入れておくと良いかと思います。
こうしたパスワードを張り付ける事は(担当としては)楽ですが、セキュリティ観点では危険としか言えず、いつか事故が発生する可能性は高いと思います。パスワードは、パスワード管理ソフトを利用や、(肌身離さず持っている)手帳を使って管理する方が良いかと思います。
しかし最も重要なのは、容易に推測できるパスワードを使わない事です。(今回の7News Australiaのケースでは、パスワード強度が相当低いものと見受けました)
参考:■日本人のためのパスワード2.0 ※JPAC様 ホームページ
【2020年9月度】株主優待戦略を考える
あとは証券会社で現物の新規買いと、信用新規売りを立てるだけ。
【転載】日本企業の約40%は重要パッチを当てない
日経8/24記事(国内38社に不正接続)の答え合わせ:
日経の発表というのは非常に大きいと、改めて感じました。約3週間前の記事がヒットした様です。
www.nikkei.com
日立化成や住友林業など国内の38社が不正アクセスを受け、テレワークに欠かせない社外接続の暗証番号が流出した恐れがあることが分かった。第三者が機密情報を抜き取ったり、ウイルスをばらまいたりする2次被害が予想される。事態を重く見た内閣サイバーセキュリティセンター(NISC)も調査に乗り出しており、企業は対策が急務となっている。
(日経記事より引用)
キタきつねの所感
昨日は久々の会社出勤日だったので、記事が出ていたのには朝に気づいていたのですが、諸々忙しく、ブログの管理画面をあまり見ていませんでした。結果、平日の約3倍までアクセス数が跳ね上がっていました。アクセス先ページを見ると・・・日経記事の影響でした。
本人は記事を書いた事もすっかり忘れていましたが・・・
日経記者さんが入手したであろう、約900社のPulse Secure製品の脆弱性を持つ国内外の組織リストについてのZDNetのスクープ記事を元に、脊髄反射で書いたものです。
foxsecurity.hatenablog.com
関連する別な海外記事もチェックしていて、非常に気になったのが、
(SecurityAffairs記事より引用)
世界地図(影響を受けた国々)という所で、日本の色が濃かった所です。
今回日経記事で言われている、国内38社は、まずPulse Security VPN製品を使っている事、そしてPulse Security VPN製品の脆弱性であるCVE-2019-11510に対して、パッチをハッカー側が900社リストを作成した「2020/6/24~2020/7/8」までに当ててなかった事が推定されます。
VPN機器は、企業ネットワークの根幹にかかわる重要な機器で、様々な通信に使われている事が多く、なかなか止めづらい(メンテナンスしづらい)部分もあるかと思います。
しかし、この脆弱性がJPCERT等から注意喚起されたのは、2019年9月初旬です。
www.jpcert.or.jp
既に、Pulse Connect Secure の脆弱性 (CVE-2019-11510) について、Bad Packets 社より 2019年8月24日 (現地時間) に、脆弱性の悪用を狙ったとみられるスキャンを確認したとの情報が公開されました。
(JPCERT注意喚起より引用)
そしてこの注意喚起が出た時点(昨年9月)の段階で、今回のリストが作成された様な攻撃、脆弱性を持つ企業サイトのスキャンが始まっていた事も併せて書かれています。
企業によっては、色々な事情があるのかと思いますが、今回名前が挙がった企業は約9か月(2019年9月~2020年6月)の間にパッチ当てをしてなかったために、リストに載ってしまったのかと思います。
VPN製品だけでなく、FWや多機能等の重要なセキュリティ機器は、そこが破られると大きな被害を受ける可能性があり、本来パッチ情報にいち早く対応する必要があります。
最近、米国企業を中心にVPN経由でランサム被害を受けるインシデントが多数発表されているのは、根本部分で、こうした企業側の対応の遅れを突かれている気がしてなりません。
因みに・・・前回記事では書きませんでしたが、VPN製品は何も「Pulse Security」だけではありません。実は昨年9月のJPCERTが出した注意喚起には、Criticalの脆弱性として、Palo Alto Networks (CVE-2019-1579)、Fortinet (CVE-2018-13379)が併せて公開されています。
つまり、同じ手法でPala AltoとFortinetの脆弱性も攻撃側には調査されていると考えるべきなのです。
CVE-2019-1579と CVE-2018-13379は、「認証情報などの機微な情報を取得される脆弱性」ですので、今回問題となっているPulse SecurityのCVE-2019-11510の、「攻撃者がリモートから任意のコードを実行できる脆弱性」と比べると影響度が少し違いそうですが、企業ネットワークへの不正侵入に利用される可能性は十分にあります。
攻撃を受ける前に(個社の事情の中で可及的速やかに)パッチを当てる
この基本的な事について、今一度、企業は考えるべきかと思います。
余談(答え合わせ)です。 前回記事(8/6)では、
昨年8月に全世界で検出された、脆弱性のあるPulse Secure VPNエンドポイントの比率で考えると、単純試算では900を超える今回のリストの内の10%相当(90サーバー)が日本のものである可能性があります。
単純試算(昨年9月時点での脆弱性を持つ日本企業数から推測)で90サイトが影響を受ける可能性がある・・・と書いたのですが、日経新聞のリスト精査では「38社」となっていますので、9か月の間に約50社がパッチを当てたと推測されます。
この比率からすると、
日本企業の約40%は重要パッチを当てない
そんな日本企業の実情が浮かび上がってきます。
この事だけで言うのは間違っているのかも知れませんが、私は日本企業が攻撃者に襲われてインシデント発表をしなければならないリスクは依然高い状態にあると思います。
更に余談です。8/6に日本でほぼ元記事が注目されてない中(ZDnet Japanもこの記事は翻訳をしてなかったと思います)で「日本も危ないな」と思ったので記事を書きましたが、記事を書いた8/6は別段普段と変わらないアクセス数でした。
しかし、ググってみると・・・piyokango氏より2日早く記事を出していた様です。こんな事も(稀に)ありますので、当ブログも情報収集の巡回ルートに入れて頂ければ幸いです。
※piyologさんで、日経記事が出た後の各社(国内38社)動向についてもまとめてらっしゃいましたので、更に情報が必要な方はご覧になると良いかと思います。
【転載】中国製の超低価格スマホは出荷時点でマルウエアが組み込まれている
by Blogtrepreneur
世界的なスマートフォンメーカーといえばAppleやSamsung、Huaweiなどが有名ですが、最低価格が数千円台という低価格帯スマートフォンで高いシェアを誇るメーカーに、中国の「Tecno」があります。
WELL-KNOWN MALWARE COMMITTING CLICK AD FRAUD ON LOW-END DEVICES IN EMERGING MARKETS UNCOVERED BY SECURE-D - Upstream
https://www.upstreamsystems.com/well-known-malware-committing-click-ad-fraud-low-end-devices-emerging-markets-uncovered-secure-d/
Chinese-Made Smartphones Are Secretly Stealing Money From People Around The World
https://www.buzzfeednews.com/article/craigsilverman/cheap-chinese-smartphones-malware
Tecnoは中国の深センに拠点を置く伝音科技(Transsion)というメーカーの子会社であり、アフリカ市場を中心にTecnoブランドの超低価格スマートフォンを展開しています。
2020年、南アフリカに住むMxolosiさんという男性は、「Tecno W2」というスマートフォンを30ドル(約3200円)で購入しました。
しかし、MxolosiさんがTecno W2を使っていたところ、通話やチャットをしている最中に不自然なポップアップ広告が表示されたり、インストールした覚えがないアプリの有料サブスクリプション購入を勧めるメッセージが届いたりしたとのこと。
さらに、プリペイドのデータ容量が不自然に使い果たされる事態も発生したため、MxolosiさんはTecno W2で通信データを購入しなくなったとBuzzFeed Newsに述べています。
モバイルセキュリティ企業のSecure-DとBuzzFeed NewsがMxolosiさんのTecno W2を調査したところ、Android向けマルウェアの「Triada」と「xHelper」に感染していることが判明。
これらのマルウェアは悪意のある広告を表示したり、不正なアプリのインストールを行ったりすることが知られています。
Secure-Dの保護システムは、モバイルキャリアがネットワークと顧客を不正な通信から保護するために使用されています。
2019年3月~12月にかけてSecure-Dの保護システムは、Transsion製スマートフォンにプリインストールされたマルウェアによる不正な通信を、合計で84万4000回もブロックしたとのこと。
マルウェアに感染したTecno W2は南アフリカやエチオピア、カメルーン、エジプト、ガーナといったアフリカ諸国に加え、インドネシアやミャンマーにも輸出されていたそうです。
BuzzFeed Newsは、「これは中国の安いスマートフォンが、世界で最も貧しい人々を利用する最新の例です」「見過ごされがちな現在進行形の脅威は、中国メーカーの低価格スマートフォンにマルウェアが常に存在しており、低所得の人々に『デジタル税』を課しているということです」と指摘しました。
Tecnoの親会社であるTranssionはBuzzFeed Newsの取材に対し、一部のTecno W2に感染したTriadaやxHelperは「サプライチェーンプロセスのベンダー」が原因だと非難しています。
「私たちは常に消費者のデータセキュリティと製品の安全性を重視してきました」と広報担当者は述べ、Transsionはマルウェアから利益を得ていないと主張しました。
スマートフォンにマルウェアがプリインストールされていることが発覚したケースは、以前から指摘されてきました。
2018年にはHuawei、Xiaomi、Oppo、Samsungなどの合計500万台に上るスマートフォンが、マルウェアがプリインストールされた状態で出荷されたと報じられています。
【転載】Google検索のクオリティ低下により、「ggrks」が死語に・・・。
ggrksとは「ググレカス」の略称、つまり「(人に質問する前に)それくらいGoogleで検索しろカス野郎」という意味のネットスラングだが、最近は元の言葉自体、若い人に通用しなくなっているとの指摘がTwitterであり、衝撃を受ける人が相次いでいる。統計的な調査に基づく結果ではないため、若年層全体でそうした傾向があるのかは不明だが、そもそもネットで何かを調べるときにウェブ全般ではなくTwitterのタイムラインから調べる人が増えていること、また、ネットで何かを検索しても上位に表示されるのはトレンドページばかりだったりと、ググレカスという言葉の成立条件だったGoogleへの圧倒的信頼感が揺らいでいるのではとの考察も。同様に「半年ROMってろ」という言葉も存在感がなくなりつつあると指摘されており、これらスラングを世代を超えて使うときは、心してかかる必要がありそうだ。
【転載】インシデントを起こして(信頼を失って)高い勉強代払ってセキュリティ強化するか、インシデント防止に向けて事前にセキュリティにしっかり投資をするかは経営者のセンスの一つでもある
勉強料が580億円だった会社もあるらしい https://t.co/VjwjLLusQH Quoted tweet from @argos_M1111: なんかこういう言い方すると燃えるかもしれんけど、たかだか数千万円の被害で銀行のセキュリティがこれからまともになるなら安い勉強料では?とも思う。(なおお金とともに信頼も失ってるが): 勉強料が580億円だった会社もあるらしい
https://t.co/VjwjLLusQH