ハワイで開催される製品セキュリティのプレミアカンファレンス
ハワイ オワフ島の美しいワイキキで開催されるLoco Moco Product Security Conferenceに参加しませんか?
6月27日~28日:トレーニングワークショップ
6月28日:ウェルカムレセプション
6月29日~30日:カンファレンス
今後、さらなる調査を行い、調査結果が判明次第、速やかに公表する予定です。現時点で判明している内容及び予定は下記の通りです。
患者様及び関係者の皆様に多大なるご心配とご迷惑をおかけいたしますこと、深くお詫び申し上げます。
1 現在の調査結果と対応状況について
外部からの指摘により、当院が患者様情報を管理するシステムに対して第三者からのアクセスができる状態であった可能性があることが確認されましたが、現時点において患者様情報の漏洩は確認しておりません。なお、今回確認されたアクセス可能な経路についてはすでに遮断する措置を行いました。
2 今後の予定
引き続き情報漏洩の実態調査に努めるとともに、再発防止策についても検討と対策を進めてまいります。
3 患者様へのお願い
現時点では二次被害は確認されておりませんが、患者様ご自身の情報が悪用されたと考えられる場合や、本件についてのご不明点・ご質問等は、下記の専用フリーダイヤルにて承ります。
患者様情報に関する専用窓口 0120-923-484(月〜金9:00-17:00 土日祝を除く)
なお、現時点で、不正アクセスを受けたサーバー等に保管されていた情報の流出や当社グループにおける同様の被害は、いずれも確認されておりません。
お客様やお取引先様をはじめ関係者の皆様には、多大なるご迷惑およびご心配をおかけしますことを、深くお詫び申し上げます。今後、当社グループは、より一層の情報セキュリティ体制を強化し、再発防止に努めてまいります。
<利優比圧鋳(大連)有限公司の概要>
所在地:中国 遼寧省大連市
事業内容:ダイカスト製品、ダイカスト用金型の製造販売
設立年:2005年
この度、弊社サービス「TRiCERA ART」にユーザー登録いただいているお客様のうち、特定の条件を満たすお客様について、ログイン時にご登録いただいた際のアカウントとは別のアカウントに接続され、別のアカウントの個人情報の一部を見ることができていたことが判明いたしました。
お客様には大変なご迷惑とご心配をお掛けしましたことを深くお詫び申し上げます。
該当するお客様には、個別に弊社より影響の詳細及び、再発防止策をご連絡させていただきます。
このような事態を招いたことを重く受け止め、個人情報の取り扱いに対して厳重に注意すると共に、運用及び管理体制について再度見直し、再発防止に努めてまいります。
1. 本事案の概要
2022年5月10日にお客様よりご指摘をいただき、上記の事象を確認いたしました。
影響の範囲につきましては、下記の通りでございます。
2. 該当するお客様
Facebookアカウント連携を利用されており、Facebookにメールアドレスを登録されていない方(7名)
3. 影響
・流出した個人情報の内容
名前、電話番号、住所
・影響を受けたお客様とその影響範囲
個人情報が流出した恐れのあるお客様 7名
(詳細)
1名の情報を最大38名が見ることができた
1名の情報を最大6名が見ることができた
2名の情報を最大11名が見ることができた
3名の情報を最大141名が見ることができた
4. 今後の対応
上記の影響を受けたお客様には、個別に弊社より謝罪と影響の詳細及び、再発防止策をご連絡させていただきます。
暗号通貨の大富豪がソーシャルメディアのフィードに溢れ、暗号通貨が世界的に普及するにつれ、新しい形の詐欺が蔓延しています。偽の暗号通貨取引所は、餌食になる新しい投資家を誘惑しています。
以下は、投資家が詐欺師に資金を奪われる最も一般的な方法の例です。
この4つの詐欺スキルを組み合わせることで、どのような効果が得られるのでしょうか。
Stage 1
まずは、ロマンス詐欺から始まる。ソーシャルメディアを通じてターゲットに接触し、他の誰かを探しているように装って、会話を成立させ、その結果、オンラインで交際に発展することが多い。詐欺師は時間をかけてターゲットと信頼関係を築きます。その過程で、詐欺師は豪華な生活を見せびらかし、それがすべて "暗号投資 "のおかげであると言及します。
信頼関係が構築されると、詐欺師は被害者に「偽の暗号取引所」を紹介し、口座開設や投資のための送金方法を案内する。このように、詐欺師は、偽の信頼感と支配力を作り出すために、このようなことをするのです。
Stage 2
しかし、中にはネットで検索してサイトを見つけ、サインアップして自分の口座に送金する人もいるので、こうした「偽の取引所」の被害者がすべて第1段階を経るわけではありません。
これらの偽の取引所には通常ダッシュボードがあり、被害者は投資に対する「偽の」利益が徐々に増えていくのを見せられ、さらに被害者は自分のポートフォリオにどんどん資金を追加していくように促されるのです。
Stage 3
この段階で、偽サイトは跡形もなく閉鎖され、被害者はなす術がなくなります。多くの場合、最終的に、今、混乱している投資家からさらに金銭をゆすり取ろうとすることがあります。詐欺師は、「支払うべき税金」等と称して追加の入金をすると、被害者の資金を支払うと約束します。
残念ながら、被害者はこれに応じるものの、偽サイトは閉鎖され、被害者のお金をすべて持って姿を消すことが多いのです。
偽の暗号通貨投資プラットフォームの背後にあるドメインの捜索
クラウドソーシングツールとしてRedditを使用し、正当な暗号取引所を装った詐欺サイトを見つけることから調査を開始します。この調査では、誰でも追跡できるように、無料のプラットフォームに焦点を当てます。
r/Scamsとして知られるsubredditを活用します。これは、人々がさまざまな詐欺について議論し、助けを得るために使用する掲示板です。
このsubredditがどのようなものかを見てみましょう。
ここで、検索ボックスにいくつかのキーワードを追加して、検索結果を絞り込んでみましょう。
この結果は、偽暗号サイトの言及に関連していることがわかりますが、正規のものと悪いものを分けるために、すべてのドメインを抽出し、分析する必要があることに変わりはありません。
では、最初から始めましょう。Redditからさまざまな投稿をすべて抽出し、Maltegoにインポートして分析しましょう。
まずは「Search Engine Dorking」と呼ばれる手法で、ウェブブラウザに特定の情報を問い合わせる方法から始めてみようと思います。
Reddit内の検索を再現するために、r/Scams Subredditの結果のみを返すようにブラウザに設定します。
site:reddit.com/r/scams
次に、「scam」「exchange」というキーワードを追加して、その単語を含む検索結果のみを取得することにしましょう。
さて、ブラウザ上で直接欲しい記事を取得する方法を理解したところで、MaltegoのBing Search Transformsを使って解析に移ります。
グラフに新しいフレーズエンティティを追加し、site:reddit.com/r/scams “scam” “exchange” と入力して、To Website [using Search Engine] Transformを実行します。Dorkingについては、別のブログMaltego Dorking with Search Engine Transforms Using Bingで詳しくご紹介しています。
このTransformを実行すると、1つのWebサイトエンティティしか作成されないことがわかりますが、Maltegoが検索に関連するすべての異なるページを見つけられないということではありません。MaltegoのDetail Viewウィンドウを見ると、検索された他のすべての投稿とそのURLが表示されます。
次のステップでは、To URLs [show Search Engine results] Transformを実行して、WebサイトEntityからURLを抽出してみたいと思います。Maltegoは135個のURL Entityを返しましたので、そのうちのいくつかを簡単に見てみましょう。
素晴らしい、あと少しです。さて、投稿に記載されているドメインを抽出して、レビューできるようにする必要があります。To Regex Matches [Found on web page] Transformは、正規表現に基づいたURLから情報を抽出するのに役立ちます。
正規表現は、検索パターンを記述するために使用される特殊な文字列の種類です。Regexについてもっと知りたい場合は、この記事を読んでください。
ここでは、次のような文字列を使ってドメインを検索してみます。
([a-zA-Z0-9-_]+.)*[a-zA-Z0-9]+.[a-zA-Z]{2,10}
この変換では、定義した正規表現に基づいて242個の新しいエンティティ(紫の丸)が作成されました。結果の一部を拡大して、新しいエンティティがどのように見えるか見てみましょう。
怪しいドメインに混じって正規のドメインがあったり、複数の投稿で言及されているドメインが見受けられます。
ビューとレイアウトを使用して、どの結果が最も多く言及されているかを理解することができます。ビューをBall Size by Links (Incoming)に、レイアウトをOrganicに変更してみましょう。
真ん中あたりで、4つのEntityが他よりも圧倒的に目立っているのがわかります。
これらはすべて正規のドメインです。EtherscanとBlockchainは、それぞれイーサリアムとビットコインのトランザクションを追跡するために使用されています。Bitcoinabuseは異なる理由で報告されたBitcoinアドレスを追跡し、Redditは私たちのソースなのですべての投稿に接続されています。
前述したように、異なるレポートには正規のドメインが混ざっているので、Scamadviserを使って正規のサイトと詐欺サイトを区別することにします。
しかし、その前に、Phrase EntitiesをDomainに変換する必要があります。すべての Phrase Entities を選択し、To Domains [within Properties] Transform を実行しましょう。これにより、Scamadviser を使用して、ドメインに関連するリスク スコアの情報を取得できるようになります。
これでグラフ内のすべてのドメインエンティティが揃ったので、Annotate Domain (Live Scan) [Scamadviser] Transform を実行して、ウェブサイトのタイトル、説明、SSL 証明書情報、各ドメインに割り当てられたリスクスコアなどの Scamadviser からの最新の詳細を取得することができるようになりました。
また、Scamadviserは、スコアに応じた色でドメインに小さなオーバーレイを追加します(赤=低/悪、黄=中/疑惑、緑=高/良)。
とりあえずスコアが低いものに注目しましょう。赤いオーバーレイがあるものを選択し、次のステップのために新しいグラフに移動させることができます。
冒頭で述べたように、この手の詐欺に使われるウェブサイトは寿命が短い傾向にある。これらのうちかなりの部分がすでに別のドメインやウェブサイトに移動していても不思議ではない。これらのドメインがまだ何らかのコンテンツを提供しているかどうかを確認する簡単な方法は、それらに関連するウェブサイトを探すことです。すべてのドメインを選択し、To Website [Quick lookup] Transformを実行してみましょう。
この場合、ほとんどのドメインが、それらに関連するウェブサイトを返していることがわかります。これらのサイトがどこにあるのか、また、これらの詐欺師がウェブサイトをホストするために最も一般的に使用しているサービスプロバイダーはどこなのかを知りたいと思います。
ウェブサイトのエンティティをすべて選択して、To IP Address [DNS] Transformを実行して、ウェブサイトに接続されているIPを取得し、これらのIPからISPと場所の情報を取得するためにいくつかのTransformを実行しましょう。
そして、今度はIP Addressesを選択して、To ISP [AbuseIPDB]とTo Country [AbuseIPDB] Transformsを実行しましょう。
ほとんどのサイトはCloudflareによって保護されており、米国に拠点を置いています。一部のウェブサイトは、OVHやDigital Oceanなど、よりユニークなISPから提供されています。
それでは、現在接続されている他のウェブサイトを見つけることができるかどうか見てみましょう。先に述べたように、これらのサイトのいくつかは最終的に詐欺師によって閉鎖されますが、彼らは通常、次の犠牲者のために新しいドメイン/ウェブサイトを準備しています。
Web サイトを新しいグラフに取り込み、To Relationships [BuiltWith] Transform を実行しましょう。これは、これらのサイトで使用されている IP Addresses や Tracking Codes などの情報を BuiltWith に問い合わせるものです。
これらのウェブサイトから多くの結果を見ることができますが、現段階ではトラッキングコードに興味があります。ウェブ管理者は、これらのコードを使用して、サイトの訪問者を追跡し、異なるページでの活動を追跡します。多くの場合、これらの管理者はこれらのコードを他のウェブサイトで再利用し、トラッキング・コードのおかげでそれらのウェブサイトにリンクすることができるのです。
「ip」の結果を削除して、次のTransformsをトラッキングコードのみで実行できるようにしましょう。
トラッキングコードだけが揃ったので、BuiltWithエンティティを選択し、これに対してTo Websites [BuiltWith] Transformを実行しましょう。
Transformは多くの結果を返します。よく見ると、これらのサイトの中には、元のウェブサイトからの名前のバリエーションであるもの、名前は全く違うがロゴ(ファビコン)によりこれらが元のものと同じ目的で使われていると思われるもの、また、詐欺師が詐欺の方法を多様化していたためか元のウェブサイトと全く似ていないものもあることがわかる。
調査の結果、判明したこと
Maltegoは、Redditからのデータの検索、抽出、解析、分析において基本的な役割を果たし、偽陽性(正当なドメイン)が示すノイズを減らすと同時に、リスクの高いドメインとその関連インフラ(ウェブサイト、IPアドレス、インターネットサービスプロバイダ)の間の関連性を導き出すのに役立ちました。
「うちの工場はインターネットや事務所のネットワークから切り離されているから大丈夫」と思われる事業者も多いようですが、利用者が意識なく、工場外部とのネットワークの接続(例えば、IoTの活用、DXの推進や製造装置の保守用ネットワーク)により、外部からのマルウェアの侵入被害に遭う場合があります。
製造業では既に、経営や工場操業に大きなインパクトを与える、安全リスクや品質リスクに対応する、安全管理や品質管理が行われています。それらに加え、一旦、マルウェアに感染すると、事業者のみならず、サプライチェーン全体に影響を及ぼす脅威となる可能性がある情報セキュリティリスクに関しても、安全管理や品質管理と同様にリスク管理を実施して行く必要があります。
「うちの工場は大丈夫!」なのか、来場された皆様と情報セキュリティについて一緒に考えていきたいと思っております。ぜひ多くの方のご参加をお待ちしております。
https://www.jnsa.org/seminar/nsf/2022kansai/index.html