システム会社から「故障は４千年に１度」と説明されて鵜呑みにするのは、みすぼらしい銀行がすることです。。。（転載）～ITベンダーの言うことを鵜呑みにしないのは基本中の基本～

システム会社から「故障は４千年に１度」と説明…みずほ銀、他の大手行とは異なり４社に委託 : 経済 : ニュース : 読売新聞オンライン yomiuri.co.jp/economy/202110…:

yomiuri.co.jp/economy/202110…

みずほ銀行と、持ち株会社のみずほフィナンシャルグループは８日、８～９月にあったシステム障害の調査結果を金融庁に報告した。店頭窓口の取引が停止した障害は、機器故障の予兆を見落としていたことが判明した。機器の保守点検や障害時の復旧体制を見直す。

みずほ銀の石井哲・副頭取が報告後に記者会見し、８～９月に起きた店舗窓口の取引停止や、ＡＴＭ（現金自動預け払い機）のトラブルといった４件について、原因を説明した。

全国の店舗で窓口取引が停止した８月２０日の障害は、機器が故障した後に予備機の故障も重なったのが原因だった。機器は約６年前に導入し、みずほは故障を想定していなかった。みずほは「システム会社から、（二重の）故障が起きる確率は４０００年に１度と説明された」と強調した。ただ、同じ型番の機器で故障率は今年度２倍に増えているデータがあったが、みずほは故障の予兆としてとらえていなかった。

みずほによると、今年発生した８回の障害のうち、８月の障害のほか、外貨建て送金やＡＴＭのトラブルの計５件は、機器故障に起因するものだった。復旧に１５時間を要した障害もあり、みずほは再発防止策として、機器故障の予兆把握や、障害時の早期復旧のため、システム会社からの出向者を増やすなど体制を整備する。

みずほは２０１９年に中枢システム「ＭＩＮＯＲＩ（みのり）」を稼働した。他の大手行はいずれもシステム会社１社と組んでいるが、みのりは４社に委託しており、体制の問題が指摘されている。石井氏は「みのりの安定稼働を維持・継続するための体制ができていなかった。システム会社にも入ってもらい、我々の能力を高める必要がある」と述べた。

金融庁は９月、みずほに対し、年内に計画するシステム更新を事前に報告させる業務改善命令を出したが、一連の障害原因を踏まえ、みずほにガバナンス（企業統治）上の課題がないかどうか判断する。

VPNの選択に関するガイドライン / NSA, CISA Issue Guidelines for Selecting and Securing VPNs（転載）

NSA, CISA Issue Guidelines for Selecting and Securing VPNs:

Selecting and Hardening Remote Access VPN Solutions

仮想プライベートネットワーク（VPN）は、ユーザーが安全なトンネルを介して企業ネットワークにリモートで接続することを可能にします。このトンネルを介して、ユーザーは、電子メール/コラボレーション・ツール、機密文書リポジトリ、境界線のファイアウォールやゲートウェイなど、通常はオンサイト・ユーザーに提供される内部サービスや保護機能を利用することができます。リモートアクセスVPNサーバは、保護されたネットワークへのエントリーポイントであるため、敵対者の標的となります。このNSA-CISA合同情報シートでは、以下のガイダンスを提供しています。

既知の脆弱性を迅速に修正し、強力な認証情報を使用するためのベストプラクティスに従った実績のある、信頼できるベンダーの標準ベースのVPNを選択すること。

VPNサーバーの攻撃対象を以下の方法で削減することにより、VPNの危険性を低減します。

強力な暗号化と認証の設定

厳密に必要な機能のみを実行する

VPNを利用したアクセスの保護と監視

アクティブ・エクスプロージョン

複数の国家のAdvanced Persistent Threat（APT）アクターが、公開されているCVE（Common Vulnerabilities and Exposures）を悪用して、脆弱なVPN機器を危険にさらしています。場合によっては、悪用コードがオンラインで自由に入手できることもあります。これらの公開されたCVEを悪用することで、悪意のある行為者は以下のことが可能になります。

クレデンシャルハーベスティング
VPNデバイス上での任意のコードのリモートコード実行
暗号化されたトラフィック・セッションの暗号的弱体化
暗号化されたトラフィックセッションの乗っ取り
デバイスからの機密データ（設定、認証情報、鍵など）の恣意的な読み取り

これらの影響は、通常、VPNを介したさらなる悪意のあるアクセスにつながり、企業のネットワークやIDインフラ、場合によっては別のサービスまでもが大規模に侵害されることになります。

リモートアクセスVPNを選択する際の注意点

リモートアクセスVPNを選択する際には、以下の推奨事項を考慮してください。

SSL/TLS(Secure Sockets Layer/Transport Layer Security)VPNと呼ばれる製品を含む、標準外のVPNソリューションを選択することは避けてください。これらの製品には、TLS を介してトラフィックをトンネリングするためのカスタムおよび非標準の機能が含まれています。カスタムまたは非標準の機能を使用すると、製品が使用するTLSパラメータが安全であっても、追加のリスクが発生します。NSAとCISAは、標準化されたVPNのセキュリティ要件に対して検証された、標準化されたインターネット鍵交換/インターネット・プロトコル・セキュリティ（IKE/IPsec）VPNを推奨しています。

有効なVPN（Conformance Claim: EP_VPN_GWまたはMOD_VPNGW）については、米国情報保証パートナーシップ（NIAP）の製品準拠リスト（PCL）を参照してください。NIAP認定機器は、明確に定義されたセキュリティ機能と要件に対して、サードパーティの研究所で厳密にテストされています。プロプライエタリなプロトコルは、セキュリティ要件が定義されている場合とされていない場合があり、標準ベースのプロトコルほどの分析とテストが行われていない場合があります。

製品がIKE/IPsec VPNをサポートしているかどうか、ベンダーのドキュメントをよく読んでください。製品によっては、VPNトンネルを構築する際にサポートしているプロトコルについての包括的な情報がドキュメントに記載されていない場合があります。準拠している規格が明示されていない製品や、独自の方法でVPNを構築していると主張する製品は避けてください。
IKE/IPsec VPNを確立できない場合に、製品がSSL/TLSを独自のVPNプロトコルまたは非標準ベースのVPNプロトコルで使用しているかどうかを確認する。IKE/IPsecの交渉が失敗する状況を理解すること。可能であれば、SSL/TLSのプロプライエタリまたは非標準ベースのVPNフォールバックを無効にする。
潜在的な製品がFIPSで検証された暗号モジュールを使用し、承認された暗号アルゴリズムのみを使用するように構成できることを確認する。

製品が強力な認証資格とプロトコルをサポートし、弱い認証資格とプロトコルがデフォルトで無効になっていることを確認する。多要素認証の使用を計画し、使用される認証情報をサポートする製品を選択する。

定期的なソフトウェア・アップデートによる製品のサポートや、既知の脆弱性を迅速に修正してきた実績のあるベンダーを調査し、選択すること。製品の予想使用期間全体をカバーするサポート期間を確保し、製品が寿命になる前に交換する。

製品のソフトウェア部品表（Software Bill of Materials: SBOM）を要求し、検証することで、基盤となるソフトウェアコンポーネントのリスクを判断することができる。多くのベンダーは、既知の脆弱性を含む古いバージョンのオープンソースソフトウェアを製品に使用しているため、このリスクを管理することは非常に重要です。

製品が自身のコードの完全性を検証する強固な方法を持ち、定期的にコード検証を行っていることを確認してください。ネットワークの境界にあるセキュリティ・デバイスとして、VPN ゲートウェイは敵対者にとって人気のあるターゲットです。デバイスの完全性を検証する機能がなければ、侵入を検知することは不可能な場合が多いのです。

製品に以下のような侵入に対する保護機能が含まれていることを確認する。

署名入りバイナリやファームウェアイメージの使用
実行前にブートコードを検証するセキュアブートプロセス
ランタイムプロセスおよびファイルの整合性検証

自分で製品を検査できないリスクを理解すること。VPNベンダーの中には、タイムリーなインシデント対応を妨げるような方法でデバイスを暗号化しているところがあります。製品の所有者がデバイスを完全に検査することができない製品は、追加のリスクをもたらし、結果的にメーカーが製品サポートのチョークポイントとなる可能性があります。インシデント対応が遅れると、洗練されたアクターが自分の痕跡を隠すために必要な時間を確保することができます。

組織のリスク許容度に照らし合わせて、候補となるデバイスの追加機能を検討する。リモートでアクセスできる管理ページやウェブベースの内部サービスへのアクセスなど、多くの追加機能は便利ですが、こうした機能は製品の攻撃対象を増やし、敵対者に狙われて悪用されることが多いため、リスクを伴います。VPN のコア機能の保護に重点を置き、多くの追加機能を持たない製品を選択するか、最低でも追加機能が無効化できること、できればデフォルトで無効化されていることを確認してください。

アクティブハードニング

選択したVPNソリューションを導入した後、以下のアクションを実行することで、VPNを危険に対してさらに強固にすることができます。

承認された強力な暗号プロトコル、アルゴリズム、および認証情報のみを要求する。

国家安全保障システム(NSS)は、NSAが承認した商用国家安全保障アルゴリズム(CNSA)スイートのアルゴリズムを使用することが求められます(CNSSP(Committee on National Security Systems Policy)15の付属書B参照)。NSS以外の米国政府のシステムは、NSSを保護するために承認されたアルゴリズムを含む、NISTが指定するアルゴリズムを使用する必要があります。NSAとCISAは、他のシステムでもCNSAスイートに含まれる暗号アルゴリズムを使用することを推奨しています。

IKE/IPsecを使用するようにVPNを構成し、可能であればSSL/TLS VPN機能とフォールバック・オプションを無効にする。

IKE/IPsec VPNでは、IKEにはCNSSP 15に準拠した暗号アルゴリズムが、NSSにはISAKMP（Internet Security Association and Key Management Protocol）が必要です。CNSSP 15の要件は、IETF文書のドラフト「Commercial National Security Algorithm (CNSA) Suite Cryptography for Internet Protocol Security (IPsec)」で説明されており、その他の米国政府システムに対するNISTの要件はSP 800-77rev1に記載されています。
SSL/TLS VPNを使用しなければならない場合は、リモートアクセスVPNが強力なTLS（すなわち、TLS 1.2以降）のみを使用することを要求し、それ以前のバージョンのSSLおよびTLSをすべて拒否します。NSSに関するその他のCNSSP 15の要件は、IETF文書のドラフト「Commercial National Security Algorithm (CNSA) Suite Profile for TLS and DTLS 1.2 and 1.3」で説明されており、その他の米国政府のシステムに関するNISTの要件はSP 800-52rev2に記載されています。

サーバーの認証には、信頼できるサーバー証明書を使用し、定期的に（例えば1年ごとに）更新すること。自己署名証明書やワイルドカード証明書は、それぞれ信頼すべきではない、または過度に広い範囲で信頼されているため、使用を控えてください。

利用可能な場合は、クライアント証明書認証を使用します。VPNソリューションの中には、スマートカードなどを使用してVPNにアクセスしようとするリモートクライアントのために、パスワードを使用するよりも強力な認証形式であるクライアント証明書認証をサポートしているものがあります。サポートされている場合は、クライアント証明書認証を使用して、有効で信頼できる証明書を提示していないクライアントからの接続を VPN が禁止するようにします。

クライアント証明書認証が利用できない場合は、サポートされている他の形態の多要素認証を使用して、悪意のある行為者が漏洩したパスワードで認証するのを防ぎます。

リモートアクセスVPNの攻撃対象を減らす。

急速に悪用されることの多い（時には24時間以内に）既知の脆弱性を緩和するために、パッチやアップデートを直ちに適用する。

すべてのベンダーのパッチガイダンスに明示的に従う。例えば、ベンダーが定期的なパッチガイダンスの一環として、デバイスに関連するすべてのパスワードを変更することを推奨している場合、組織は例外なく、インフラ内のすべてのパスワードを変更する準備をしなければなりません。

メジャーアップデートを行う場合や、悪用されていることがわかっている脆弱性のあるバージョンからアップデートする場合は、以下の点を考慮してください。

VPNユーザー、管理者、サービスアカウントの認証情報の更新。

VPNサーバーの鍵や証明書を失効させたり、新たに生成したりすることで、VPN接続情報をユーザーに再配布する必要がある場合があります。

アカウントを見直し、すべてのアカウントがリモートアクセスに期待され、必要とされていることを確認する。異常なアカウントは侵害の可能性を示します。

VPN装置への外部からのアクセスをポートやプロトコルで制限する。

IKE/IPsec VPNでは、UDPポート500および4500、Encapsulating Security Payloadのみを許可します。
SSL/TLS VPNの場合は、TCPポート443などの必要なポートやプロトコルのみを許可する。

可能であれば、既知のVPNピアのIPアドレスを許可リストに入れ、それ以外をブロックします。注意：未知のピアIPアドレスがVPNにアクセスすることが予想される場合、これは難しいかもしれまん。

バックアップ

2021年8月16日～31日サイバー攻撃のタイムライン / 16-31 August 2021 Cyber Attacks Timeline（転載）

16-31 August 2021 Cyber Attacks Timeline:

お待たせしました。2021年8月の2回目のタイムラインが発表されました。夏の終わりに発生した攻撃は78件で、過去12ヶ月間の最小値に相当し、減少したようです。ランサムウェアは引き続き脅威の中心となっていますが、その割合は24.4%（78件中19件）で、前週の39.6%とは対照的でした。この期間、より多くのランサムウェアの運用が停止したこと（Ragnarokなど）、多くの地域で学校が休校になったこと（公的な活動が鈍化したこと）、そして、もしかしたら悪党たちが夏の間は休むことにしたのかもしれません。

Fetch.ai（260万ドル相当が消失）、Liquid（9,000万ドル相当）、Cream Finance（2,900万ドル相当）を狙った数百万規模の攻撃が新たに記録されました。

脆弱性は世界中の組織を悩ませ続け、サイバー犯罪者はそれを悪用し続けています。ProxyShell（CVE-2021-34473、CVE-2021-34523、CVE-2021-3120）は依然としてトップターゲットのひとつですが、ProxyToken（CVE-2021-33766）などの新しい脆弱性も加わり、Confluenceサーバを標的とした新しい脆弱性（CVE-2021-26084）はその一例です。

サイバースパイの分野でも、記録されたイベントの数がこれまでの数ヶ月間に比べてかなり少なく、異常に落ち着いています。APT37はかなり活発に活動しているようだ。このタイムラインには、Confucius、Siamesekitten、SparklingGoblinが行ったキャンペーンも含まれています。

イランでは「Adalat Ali（Ali's Justice）」と呼ばれるハクティビストグループがエビン刑務所の内部CCTVシステムに侵入し、ベラルーシでは「Cyber Partisans」が政府の暴露文書をリークし始めました。

日本のハイテク大手、富士通のものとされる4GBのデータが、”Marketo”というグループによってダークウェブで販売されている。同社は、これらの情報は「顧客に関するものと思われる」としており、自社のシステムではないとしている。

ランサムウェアCONTIについてのアラート / Alert (AA21-265A)：Conti Ransomware（転載）

Alert (AA21-265A)

要約

注：このアラートは、MITRE Adversarial Tactics, Techniques, and Common Knowledge (ATT&CK®) framework, version 9 を使用しています。参照されているすべての脅威行為者の戦術と技術については、ATT&CK for Enterpriseを参照してください。

Cybersecurity and Infrastructure Security Agency（CISA）とFederal Bureau of Investigation（FBI）は、米国および国際的な組織を対象とした400件以上の攻撃において、ランサムウェア「Conti」の使用が増加していることを確認しました。(FBI Flash: Conti Ransomware Attacks Impact Healthcare and First Responder Networksを参照)。典型的なContiランサムウェアの攻撃では、悪意のあるサイバーアクターがファイルを盗み、サーバーやワークステーションを暗号化して、身代金の支払いを要求します。

Contiランサムウェアからシステムを保護するために、CISA、FBI、NSAは、本アドバイザリに記載されている緩和策を実施することを推奨します。この緩和策には、多要素認証（MFA）の義務付け、ネットワークセグメンテーションの実施、オペレーティングシステムとソフトウェアの最新化などが含まれます。

技術詳細

Contiは、RaaS（ransomware-as-a-service）モデルのランサムウェアの亜種と考えられていますが、その構造には、一般的なアフィリエイトモデルとは異なるバリエーションがあります。Contiの開発者は、アフィリエイトのサイバーアクターが使用する収益の一定割合ではなく、ランサムウェアのデプロイ担当者に賃金を支払い、攻撃が成功した場合には収益の一部を受け取っていると考えられます。

コンティのアクターは、多くの場合、ネットワークへの最初のアクセス[TA0001]を通じて得ることができます。

悪意のある添付ファイル[T1566.001]や悪意のあるリンク[T1566.002]を含むカスタマイズされた電子メールを使用したスピアフィッシングキャンペーン。

悪意のあるWordの添付ファイルには、TrickBotやIcedID、Cobalt Strikeなどの他のマルウェアをダウンロードしたり、ドロップしたりするためのスクリプトが埋め込まれていることが多く、最終的にはランサムウェア「Conti」を展開することを目的とした、横方向への移動や攻撃ライフサイクルの後半の段階で使用されます。

リモートデスクトッププロトコル（RDP）の認証情報の盗難または脆弱性[T1078]
電話（ソーシャルエンジニアリング）
検索エンジン最適化で宣伝された偽物のソフトウェア。
その他のマルウェア配布ネットワーク（ZLoaderなど）、等
外部資産に共通する脆弱性

実行段階[TA0002]では、ウイルス対策エンジンが作動するリスクを減らすために、より攻撃的なペイロードを使用する前にgetuidペイロードを実行します。CISAとFBIは、Contiのアクターが侵入テストツールであるRouter Scanを使用して、ウェブ・インターフェースを備えたルータ、カメラ、ネットワーク接続ストレージ・デバイスを悪意を持ってスキャンし、ブルートフォース攻撃[T1110]を行っているのを確認しています。さらに、アクターはKerberos攻撃[T1558.003]を使用してAdminハッシュを取得し、ブルートフォース攻撃を行おうとしています。

Contiのアクターは、被害者のネットワーク上で永続性を維持するために、正規のリモート・モニタリング・管理ソフトウェアやリモート・デスクトップ・ソフトウェアをバックドアとして悪用することが知られています[TA0003]。アクターは、被害者のネットワーク上ですでに利用可能なツールを使用し、必要に応じてWindows SysinternalsやMimikatzなどのツールを追加して、ユーザーのハッシュや平文の認証情報を取得します。これにより、アクターはドメイン内で特権を拡大したり[TA0004]、その他のポストエクスプロイトやラテラル・ムーブメント[TA0008]のタスクを実行することができます。いくつかのケースでは、行為者は侵入後のタスクを実行するためにTrickBotマルウェアを使用します。

最近流出した脅威アクターの「プレイブック」によると、Conti社のアクターは、以下のようなパッチが適用されていない資産の脆弱性を利用して、特権を拡大し[TA0004]、被害者のネットワークを横に移動する[TA0008]こともあります。

2017年 Microsoft Windows Server Message Block 1.0サーバの脆弱性。
Windows Print spooler サービスにおける「PrintNightmare」の脆弱性（CVE-2021-34527）
Microsoft Active Directory Domain Controller システムにおける「Zerologon」の脆弱性（CVE-2020-1472）。

このプレイブックと一緒に流出した資料には、コンティ社のアクターがコマンド＆コントロール（C2）サーバーとの通信に使用していた4つのCobalt Strikeサーバーのインターネットプロトコル（IP）アドレスが記載されています。

162.244.80[.]235
85.93.88[.]165
185.141.63[.]120
82.118.21[.]1

CISAとFBIは、Contiのアクターが被害者ごとに異なるCobalt StrikeサーバのIPアドレスを使用しているのを確認しています。

Contiは、オープンソースのコマンドライン・プログラム「Rclone」を使用してデータを流出させます[TA0010]。また、被害者の機密データを盗み出して暗号化した後、暗号化されたデータを公開するために身代金の支払いを要求し[T1486]、身代金が支払われない場合はデータを公開すると被害者を脅すという二重の恐喝手法を採用しています。

MITRE ATT&CKテクニック

Contiランサムウェアは、表1に示したATT&CK技術を使用しています。

Table 1: Conti ATT&CK techniques for enterprise

Initial Access

Technique Title	ID	Use
Valid Accounts	T1078	Conti actors have been observed gaining unauthorized access to victim networks through stolen Remote Desktop Protocol (RDP) credentials.
Phishing: Spearphishing Attachment	T1566.001	Conti ransomware can be delivered using TrickBot malware, which is known to use an email with an Excel sheet containing a malicious macro to deploy the malware.
Phishing: Spearphishing Link	T1566.002	Conti ransomware can be delivered using TrickBot, which has been delivered via malicious links in phishing emails.

Execution

Technique Title	ID	Use
Command and Scripting Interpreter: Windows Command Shell	T1059.003	Conti ransomware can utilize command line options to allow an attacker control over how it scans and encrypts files.
Native Application Programming Interface (API)	T1106	Conti ransomware has used API calls during execution.

Persistence

Technique Title	ID	Use
Valid Accounts	T1078	Conti actors have been observed gaining unauthorized access to victim networks through stolen RDP credentials.
External Remote Services	T1133	Adversaries may leverage external-facing remote services to initially access and/or persist within a network. Remote services such as virtual private networks (VPNs), Citrix, and other access mechanisms allow users to connect to internal enterprise network resources from external locations. There are often remote service gateways that manage connections and credential authentication for these services. Services such as Windows Remote Management can also be used externally.

Privilege Escalation

Technique Title	ID	Use
Process Injection: Dynamic-link Library Injection	T1055.001	Conti ransomware has loaded an encrypted dynamic-link library (DLL) into memory and then executes it.

Defense Evasion

Technique Title	ID	Use
Obfuscated Files or Information	T1027	Conti ransomware has encrypted DLLs and used obfuscation to hide Windows API calls.
Process Injection: Dynamic-link Library Injection	T1055.001	Conti ransomware has loaded an encrypted DLL into memory and then executes it.
Deobfuscate/Decode Files or Information	T1140	Conti ransomware has decrypted its payload using a hardcoded AES-256 key.

Credential Access

Technique Title	ID	Use
Brute Force	T1110	Conti actors use legitimate tools to maliciously scan for and brute force routers, cameras, and network-attached storage devices with web interfaces.
Steal or Forge Kerberos Tickets: Kerberoasting	T1558.003	Conti actors use Kerberos attacks to attempt to get the Admin hash.
System Network Configuration Discovery	T1016	Conti ransomware can retrieve the ARP cache from the local system by using the `GetIpNetTable()` API call and check to ensure IP addresses it connects to are for local, non-internet systems.
System Network Connections Discovery	T1049	Conti ransomware can enumerate routine network connections from a compromised host.
Process Discovery	T1057	Conti ransomware can enumerate through all open processes to search for any that have the string `sql` in their process name.
File and Directory Discovery	T1083	Conti ransomware can discover files on a local system.
Network Share Discovery	T1135	Conti ransomware can enumerate remote open server message block (SMB) network shares using `NetShareEnum()`.

Lateral Movement

Technique Title	ID	Use
Remote Services: SMB/Windows Admin Shares	T1021.002	Conti ransomware can spread via SMB and encrypts files on different hosts, potentially compromising an entire network.
Taint Shared Content	T1080	Conti ransomware can spread itself by infecting other remote machines via network shared drives.

Impact

Technique Title	ID	Use
Data Encrypted for Impact	T1486	Conti ransomware can use `CreateIoCompletionPort()`, `PostQueuedCompletionStatus()`, and `GetQueuedCompletionPort()` to rapidly encrypt files, excluding those with the extensions of `.exe`, `.dll`, and `.lnk`. It has used a different AES-256 encryption key per file with a bundled RAS-4096 public encryption key that is unique for each victim. Conti ransomware can use "Windows Restart Manager" to ensure files are unlocked and open for encryption.
Service Stop	T1489	Conti ransomware can stop up to 146 Windows services related to security, backup, database, and email solutions through the use of net stop.
Inhibit System Recovery	T1490	Conti ransomware can delete Windows Volume Shadow Copies using `vssadmin`.

対策

CISA、FBI、NSAは、ランサムウェア「Conti」による攻撃の危険性を低減するために、ネットワーク防御者が以下の緩和策を適用することを推奨しています。

多要素認証を使用する

外部からのネットワークへのリモートアクセスに多要素認証を要求する。

ネットワークセグメンテーションの導入とトラフィックのフィルタリング

ランサムウェアの拡散を抑えるために、ネットワークと機能の間に強固なネットワークセグメンテーションを導入・確保する。ネットワーク間の無秩序な通信を排除する非武装地帯を定義する。
ネットワークトラフィックをフィルタリングして、既知の悪意のあるIPアドレスとの出入りを禁止する。
フィッシングメールがエンドユーザに届かないよう、強力なスパムフィルタを導入する。ユーザーが悪意のあるウェブサイトにアクセスしたり、悪意のある添付ファイルを開いたりしないようにするためのユーザートレーニングプログラムを導入する。実行可能ファイルを含む電子メールをフィルタリングし、エンドユーザに届かないようにする。
ユーザーが悪意のあるWebサイトにアクセスするのを防ぐために、URLブロックリストや許可リストを導入する。

脆弱性をスキャンし、ソフトウェアを更新する。

アンチウイルス／アンチマルウェアプログラムを設定し、最新のシグネチャを使用してネットワーク資産の定期的なスキャンを行う。
ネットワーク資産のソフトウェア、オペレーティング・システム、アプリケーション、ファームウェアを適時にアップグレードする。一元化されたパッチ管理システムの使用を検討する。

不要なアプリケーションを削除し、コントロールを適用する。

日常業務に必要ないと思われるアプリケーションを削除する。コンティの脅威アクターは、リモート監視・管理ソフトウェアやリモートデスクトップソフトウェアアプリケーションなどの正規のアプリケーションを利用して、組織の企業を悪意を持って搾取します。
不正なソフトウェア、特にリモートデスクトップやリモート監視・管理ソフトウェアを調査すること。
アプリケーションの許可制を導入し、組織のセキュリティポリシーで認められたプログラムの実行のみをシステムに許可する。ソフトウェア制限ポリシー（SRP）やその他のコントロールを導入し、一般的なインターネットブラウザの一時フォルダや圧縮/解凍プログラムなど、ランサムウェアがよく使用する場所からプログラムが実行されないようにする。
電子メールで送信されるMicrosoft Officeファイルのマクロスクリプトを無効にして実行を防止する。電子メールで送信されたMicrosoft Officeファイルを開く際には、Microsoft Officeスイートのフルアプリケーションではなく、Office Viewerソフトウェアの使用を検討してください。
CISAとオーストラリア、カナダ、ニュージーランド、イギリスのサイバーセキュリティ当局が共同で作成したアラート「Publicly Available Tools Seen in Cyber Incidents Worldwide」では、一般に公開されているツールが悪意を持って使用されていないかどうかを確認するためのガイダンスを掲載しています。

エンドポイントおよび検出対応ツールの導入

エンドポイントおよび検知対応ツールは、エンドポイントのセキュリティ状態を高度に可視化し、悪意あるサイバーアクターから効果的に保護することができます。

.onionアドレスを調査すると実IPアドレスをお漏らししていることがあります（転載）

.onionアドレスを調査すると実IPアドレスをお漏らししていることがあります。Apacheの設定ミスで/server-statusにアクセスするとIPアドレスが見えるだとか、

続き→marshmallow-qa.com/messages/aaa64…

ダークウェブ界の大物、痛恨のミス　見えてきた“正体”

.onionアドレスからIPが露呈するケース。

1.onionサイト内のJavaScriptにうっかり記載して漏洩する可能性

2.フォーラムのヘッダから漏えいする可能性

3.サイトのソースコードから漏えいの可能性

4.その他サーバの設定ミスに起因して漏洩する可能性

Apacheの設定ミスで/server-statusにアクセスするとIPアドレスが見えるだとか、ポート開けっぱにしていてshodanやcensysにスキャンされてひっかかるなど、、、

2019年～2021年のランサムウェアの被害統計。累計105ヵ国3,338組織が被害を受け、国別ランキングで日本は10位にランクイン / [Statistics on countries affected by darkweb ransomware, 2019.05.01~2021.10.06] There are 3,338 affected organizations in 105 countries.（転載）

[Statistics on countries affected by darkweb ransomware, 2019.05.01~2021.10.06] There are 3,338 affected organizations in 105 countries. [TOP 10] 1. USA 2. Canada 3. France 4. UK 5. Germany 6. Italy 7. Australia 8. Spain 9. Brazil 10. Japan:

[TOP 10]
1. USA
2. Canada
3. France
4. UK
5. Germany
6. Italy
7. Australia
8. Spain
9. Brazil
10. Japan

信ぴょう性が疑わしい都道府県魅力度ランキング2021年版発表。茨城県が最下に返り咲く～お仕着せがましいランキングにややうんざり～

いろいろと信ぴょう性が疑わしい「都道府県魅力度ランキング」

その最新版である「都道府県魅力度ランキング2021」が10月9日、発表された。前年まで12年連続1位と圧倒的な強さを誇る北海道は、トップを守りきれるのだろうか。また、前年は7年連続最下位から脱出した茨城県。果たして今年の順位は……。

信ぴょう性が疑わしい本調査を行ったのは、ブランド総合研究所。このランキングは、47都道府県と国内1000の市区町村を対象に、全国の消費者3万5489人から有効回答を得て集計したものである。2006年から毎年実施しており、今年が16回目となる（都道府県の調査は2009年から13回目）。

2021年の都道府県魅力度ランキング1位になったのは北海道（73.4点）。2位が京都府（56.4点）、3位に沖縄県（54.4点）、4位は東京都（47.5点）とここまでは前年と順位は変わっていない。

2009年以来、13年連続の1位となった北海道。魅力度の点数は73.4点で、前年の60.8点から12.6点も伸び、2位以下との差をさらに広げている。北海道を「とても魅力的」と答えた人は57.6％で、前年の40.9％より大幅に増えた。

2位の京都府は、13年連続で2位を獲得。点数は前年の49.9点から56.4点へ上昇した。「とても魅力的」との回答が36.1％と前年の29.4％より増加している。また、大阪府は前年より10点以上上昇しての42.0点で5位に。点数、順位ともに過去最高となった。

点数の伸びでは、北海道の次に大きかったのが、4位の東京都だ。ブランド総合研究所の社長は「本調査直後に開始となった東京オリンピック・パラリンピックの影響の可能性が大きい」と話す。

次に点数の伸びが大かったのは千葉県で、順位も前年の21位から12位へと急上昇した。「とても魅力的」の回答が11.0％で前年の3.9％のおよそ3倍増となっている。特に20代では24.6％と多く、前年の6.3％のおよそ4倍に増えたのが特徴的だ。

長崎県も前年の11位から8位へと上昇し、すべての年代で評価が高まっている。また、同じ九州地方の宮崎県は前年の22位から17位へとランクアップ。「とても魅力的」が9.4％で前年の4.4％から2倍以上に増えている。特に九州や中四国地方の居住者からの評価が目立っている。

一方、下位に目を移すと、前年最下位の栃木県は41位（16.2点）となり、最下位から抜け出した。そしてワースト3位は、45位埼玉県（14.4点）、46位佐賀県（12.8点）、47位茨城県（11.6点）となり、茨城県は1年で最下位へと立ち戻る結果となった。

1年で最下位に戻すあたり、ネタにしか思えないが、茨城県知事はご立腹の模様。

更に44位の群馬県知事はずさんな評価手法と指摘。

前年の42位から再び最下位に転落してしまった茨城県については、「前年の調査では、前前年に行われた茨城国体で史上初めてとなるeスポーツを取り入れた。また、茨城県公式バーチャルYouTuberの茨ひよりが活躍するなど、『デジタル県』としてのイメージが高まったことで、20代など若い世代からの評価が急上昇し、大幅な順位上昇につながったといえる。ところが、今年は、コロナ禍の影響でオンライン化が全国に広がったことにより、こうした茨城県の強さが薄まってしまったのではないだろうか」と分析。

理想を実現するためのヤル気を高める「モチベーション　ハッピーセット」

本日、とあるオンラインセミナーを聴講してきた。

ジャンル的には、働き方、キャリアデザイン、ワークライフマネジメントといったところだろうか？

急に話が飛ぶが、最近拙者は仕事のモチベーションが上がらない。

何故なのかが何となくわかるものの、うまく言葉や文字に表現できていなかった。

それが、今回のセミナーでだいぶ具体化することができた。

セミナー自体はクローズドなものであるため、資料は出せないのだが、類似の情報を調べてみると、初めて知ったつもりのモチベーションの考え方は結構前から存在していた。

それが下の絵。

ようは、「①やるべきこと」「②やりたいこと」「客観的に見て望ましいと思われること≒③できること」の3つの理想が重なり合う部分が『モチベーション　ハッピーセット』となり、理想を実現するためのやる気がアップする（＝モチベーションがアップする）

逆にここが絡み合っていないとモチベーションは上がらない状態ということになる。

ちなみに「モチベーション」とは何か？

「大辞林第二版」（三省堂）によれば、心理学用語で「Motivation＝動機付け＝生活体を行動へ駆り立て、目標へ向かわせるような内的過程。行動の原因となる生活体内部の動因と、その目標となる外部の誘因がもととなる」とある。

生活体内部の動因とは、ベースとなる気力・体力の充実度合いや、行動そのものが楽しいかどうか、その行動を起こすことによるメリットをどれほど強く感じているか、などが考えられる。

一方、外部の誘因とは、人事評価制度や社会通念、周囲からのプレッシャーなどに由来する、目標そのものの魅力や、逆に目標が達成できなかったときのデメリットなどが考えられる。

モチベーションにはさまざまな要素が絡み、基本的には、心から楽しいと思える「やりたいこと」に関しては誰でも積極的に取り組める。ゲームに熱中したり、面白い映画を見たり、好きな子とデートしたり、スポーツに興じたりといったときには、食事も忘れるほど没頭することもある。

また、お金が儲かる、社会的にステータスが高い、周囲の期待が高いなど「望ましいこと≒できること」も、モチベーションアップにつながる重要な要素。奥さんと子供が応援してくれるから頑張れる、周りの人がチヤホヤしてくれて気持ちが良い、といった類のもの。

このように、「やりたいこと」や「望ましいこと≒できること」をやるときに発揮できる高い集中力と持続力、そしてそれを支える強いモチベーションを、仕事や勉強など「やるべきこと」に対して発揮できれば、モチベーションも上がり、パフォーマンスも上がるということになる。

で、冒頭の話に戻るが、拙者場合、「やるべきこと」「やりたいこと」「できること」が重なり合わずにバラバラに離れてしまっているのがモチベーションが上がらない原因となる。

3つ重ならずとも、2つは重ね合わせないとまずいな、と思う今日この頃。

日産の機密情報がアンダーグラウンドで販売されているとのこと😱😱😱 / An access broker on Exploit forum is selling access to Nissan

日産への初期アクセスとデータベースがアンダーグラウンドで売られているとのこと😱😱😱 https://t.co/f08xshW0JN Quoted tweet from @vxunderground: An access broker on Exploit forum is selling access to Nissan *Moderator issued warning for not including price of access *Image censored to avoid giving access broker attention https://t.co/T4cYcWbioY:

Quoted tweet from @vxunderground:

An access broker on Exploit forum is selling access to Nissan

*Moderator issued warning for not including price of access
*Image censored to avoid giving access broker attention https://t.co/T4cYcWbioY

サイバークライムの被害額は約660兆円を超え、日本のGDPを超えているらしい（転載）

サイバークライム:

サイバーセキュリティ人材底上げには、キャリアパスや給与水準の具体的情報が効果的

サイバークライム。インターネット等のサイバー空間での詐欺、脅迫、ハッキング等の犯罪は、近年増え続けてきており、コロナ禍の中で更に飛躍的に増えて、その額は年間で6兆ドル、日本円で約660兆円になった模様です。その額たるやGDPで比較すると、アメリカ、中国に次ぐ規模で、日本のGDPよりも大きい状況です。いやはやなんとも。驚きです。数字というのは分かりやすい概念で、どんなにサイバークライムが増えたと云われても、日本のGDPよりも大きく、中国に次ぐ経済圏だと説明されると、その実感が違います。もちろんこの数字は推計で、本当のところは分からず、恐らくインフレ（水増し）されているのですが、それでも驚きです。

日本はデジタル庁とかやっと始まったばかりですが、サイバー領域は軍事領域としても、恐らく陸海空に次いで宇宙と並ぶ、或いはそれ以上に重要な領域なので、日本はもっともっとこの領域に注意を払うべきだと思います。日本の海洋資産は膨大で、これは宝の持ち腐れ。サイバー領域は、元来得意そうなのですが、ここも投資というか注意が少なすぎ。情けないですね～。

ウクライナ国家国境庁がペン型の隠しカメラなどのスパイ装備を持った日本人を発見 / Прикордонники виявили громадянина Японії зі шпигунським обладнанням（転載）

ウクライナ国家国境庁がペン型の隠しカメラなどのスパイ装備を持った日本人を発見 Прикордонники виявили громадянина Японії зі шпигунським обладнанням:

dpsu.gov.ua/ua/news/Prikor…

ベルゴロド・ドニエスター分遣隊の軍人は、日本人がモルドバに密かに情報を持ち込もうとしていたことを発見しました。

バスの乗客である日本国籍の男性は、「パランカ」という検問所を通過していました。

税関職員との合同検査で、所持品からスパイ機器が発見されました。隠しカメラとマイクロUSBコネクタが付いたメガネ2個、ペン2本、腕時計です。

この事実は所轄官庁に報告されています。この「スパイ」は国境を越えることができず、技術装置は定められた手順に従って没収されました。

セキュリティ用語の整理（2021年秋）

先日、情報処理安全確保支援士試験のセミナーを受けた。

意外に知らないセキュリティ用語が増えていたので、ちょっと整理を試みる。

1.NFT（Non-Fungible Token）

ブロックチェーン（分散型台帳）技術を使い「唯一無二の本物」と証明可能にしたデジタル資産のこと。非代替性トークンとも呼ばれる。デジタルで作成した音楽や絵画などのデータは一般にコピー可能だが、NFTにひも付けることで所有者の情報を明示できる。イーサリアム、ビットコインキャッシュ、Flowなどの一般的なブロックチェーンは、それぞれ独自のトークン規格を持ち、NFTの仕様を定義している。

2.Portmap

Unix系システムで動作するデーモン。2020年第4四半期のDDoS攻撃においてもっとも用いられたプロトコル

3.SSDP（Simple Service Discovery Protocol）

ネットワーク上の機器を自動的に発見し接続するUPnP（Universal Plug and Play）に用いられる、UDP サービスの一種である。DDoS攻撃にも用いられる。

参考：2020年第2四半期のA10 DDoS脅威インテリジェンスレポート

4.IAM（Identity & Access Management）

アカウント管理・認証の統合基盤で利用者の本人認証を行う、ゼロトラストの構成要素の一つ。あらゆるシステムの認証機能を統合的に行うことで、不正アクセスに対する対処が行いやすくなります。例えば、同じ時間帯に遠く離れた場所から同一ユーザーでログインが行われた場合には警告もしくはアカウントを凍結するなど、リスクベース認証が可能になります。

※マイクソ(Microsoft)のプロダクトでいうと、Azure Active Directory

5.IAP（Identity Aware Proxy）

ユーザーとアプリケーションの間に入って通信を仲介するプロキシ。オンプレミスに「コネクター」と呼ぶサーバーを設置すると、コネクターとIAPが連携して、オンプレミスにあるアプリケーションがインターネット経由で利用可能になる。通信はIAPが暗号化するため、インターネット経由でも安全にアプリケーションを利用できる。セキュリティー強化と同時に、脱VPN（仮想私設網）も図れる技術。

「アイデンティティー認識型」と呼ばれるのは、ユーザーがアプリケーションにアクセスするたびに、アイデンティティー＆アクセス管理（IAM）と連携して認可をやり直すためだ。不正アクセスが疑われる場合は多要素認証などもやり直す。

※マイクソのプロダクトでいうと、Azure AD Application Proxy

6.SASE（Secure Access Service Edge）

IT環境におけるセキュリティ機能とネットワーク機能を1つのクラウドサービスに統合させるという、新たなセキュリティフレームワークの考え方。

7.QUIC（Quick UDP Internet Connections）

トランスポート層では従来、高速だが信頼性の低いUDP（User Datagram Protocol）、信頼性が高いが接続確立時の遅延などが大きいTCP（Transmission Control Protocol）のいずれかが用いられ、Webなどの用途ではTCPに重ねて暗号化のためにTLS/SSLが利用されてきた。

QUICではUDPをベースに高速伝送を実現する一方、TCPの輻輳制御や再送制御の要素を取り込んで信頼性を高め、TLS相当の暗号化メカニズムを組み込み安全性も担保している。主にWeb通信の高速化を主眼に開発され、現在Web上で主流となっているTCP+TLSの組み合わせを置き換え、HTTP/2と合わせて高速で安全な通信を実現することを目指している。

8.SAMLと比べたLDAPの欠点

・ActiveDirectoryと通信できるようにする必要がある
・二要素認証が利用できない

9.LOTL（Living on the Land）攻撃（環境寄生型攻撃/自給自足型攻撃）

標的型攻撃において、侵入後の痕跡が見つかりにくくなるよう、一旦侵入した後に標的ユーザーのコンピュータにあるツール（WMI、Powershell, VBScript）を利用する手法

Windows10 WSL2環境のKali LinuxをWindowsデスクトップから使う方法【Win-KeX SL】

Win-KeX SL

概要

シームレスモードのWin-KeXは、Windowsデスクトップの画面上部にKali Linuxパネルを起動します。

このパネルから起動したアプリケーションは、Microsoft Windowsアプリケーションとデスクトップを共有します。

シームレスモードでは、LinuxアプリケーションとWindowsアプリケーションの間の視覚的な分離がなくなり、Kali Linuxでペネトレーションテストを実行し、その結果をそのままWindowsアプリケーションにコピーして最終報告を行うための素晴らしいプラットフォームを提供します。

Win-KeXは、VcXsrv Windows X Serverを利用して、シームレスなデスクトップ統合を実現しています。

前提条件

VcXsrvには、Visual C++ Redistributable for Visual Studio 2015（vcredist140）が必要です。Windowsの標準的なインストールには含まれているはずですが、足りないことを訴えるエラーが出た場合は、そのままダウンロードしてインストールしてください。

使用方法

スタート

シームレスモードのWin-KeXを一般ユーザーで起動するには、kex --slを実行します。

Win-KeX SLを初めて起動する際には、Windows Defenderのファイアウォールを経由したトラフィックを許可するための認証を求められます。必ず「パブリックネットワーク」を選択してください。

これにより、Win-KeXがシームレスモードで起動します。

画面の上部にKaliパネル、下部にWindowsのスタートメニューが配置されています。

ヒント: Kali パネルは、最大化されたウィンドウのタイトルバーを覆ってしまうことがあります。邪魔にならないようにするには、パネルの環境設定で「自動的に隠す」に設定するとよいでしょう。

サウンド対応

Win-KeXはパルスオーディオをサポートしています
サウンドをサポートした状態でWin-KeXを起動するには、--soundまたは-sを追加してください（例： kex --win -s
サウンドをサポートしたWin-KeXを初めて起動する際には、以下を必ず選択してください。

Windows Defenderのファイアウォールを通したトラフィックを許可するための認証を求められたら"パブリックネットワーク"を選択します。

マルチスクリーン対応

Win-KeXは、マルチスクリーンに対応しています。

「パネルの環境設定」を開き、パネルの長さを短くし、「パネルのロック」のチェックを外し、パネルを任意の画面に移動させます。

停止

Win-KeX SLを終了するには、パネルの「Logout」ボタンでセッションからログアウトしてください。
オプションでWin-KeX SLサーバーをシャットダウンするには、kex --sl --stop と入力します。

好奇心（転載）～きゅりおぉーしてぃ（curiosity＝好奇心）は人を前進させ、大きくさせるのに、とっても大切なこと～

好奇心:

ノーベル物理学賞を受賞される米国プリンストン大上級研究員の真鍋淑郎さん。なんと御年90歳ですが、とても快活にスピーチされている姿を見て感動しました。受賞の知らせを受けた英語でのスピーチで、キュリオシティ（curiosity＝好奇心）が大切だと説かれていました。好奇心。これは私(=マネックスの松本大さん)が社会人になり、外資系証券に勤めてから知った、とても大切な概念です。

ジョン・メリウェザー氏は私が最初に就職した会社、ソロモン・ブラザーズの黄金期を築いた人で、今では仲良く友人のように付き合わせてもらっていますが、元来はキャピタル・マーケットの殿上人、超スーパー・スターで、畏れ多い人でありました。このジョン・メリウェザー氏、仲間内ではJMと呼ぶことが多いのですが、JMはとにかく色んなことを知っていて、極東のオフィスで起きた小さな出来事まで知っていて、そして森羅万象全てに情報網を張っているようで、本当にその中身がスーパー・マンだと思いました。

そんなJMのことを、私の先輩は、「JMが他人と違うのは、そのキュリオシティの高さと量なんだよ」と云いました。そうか！好奇心って人を前進させる、大きくさせるのに、とっても大切なことなんだ。と、その時感じたことを今でも強く覚えています。真鍋先生もそう仰った。私は元々好奇心旺盛な人間でしたが、その時から好奇心を伸ばすことには一切制限を付けずに、せっせせっせと好奇心を更に拡げて、そして強く持つように努めてきたのでした。真鍋先生は強調されて、「きゅりおぉーしてぃ」みたいな感じに仰ってましたが、これからもキュリオシティを大切にしていきたいと思います！