2021年版 私のセキュリティ情報収集法を整理してみた(転載)


 私のセキュリティ情報収集法を整理してみた(2021年版)

新年あけましておめでとうございます。毎年年頭に更新している「私の情報収集法」を今年も公開します。何かの参考になれば幸いです。

インプットで参照している情報源(海外)

海外からの攻撃が主流となる中、海外情報をいち早く把握する事の重要性が増している気がしますので、今年は海外情報源から書きたいと思います。

昨年の記事では多くの海外サイトを紹介しましたが、試行錯誤の結果、まとめサイトでもある「morningstar SECURITY」や「DataBreaches.net」を押さえておけば、主要サイトが概ねカバーされると分かったので、今年は数を絞っています。

サイトキタきつね寸評

 

f:id:foxcafelate:20201231110613p:plain

morningstar SECURITY

去年と変わりませんが、情報の更新頻度、そして関連ソースの網羅性という意味では、英語系のセキュリティニュースとしては最良の情報ソースの1つかと思います。私は「Daily Security News」と「Security Blogs」を主にチェックしていますが、人によって興味が違うかと思いますので、「Malware/APT」「Exploits」「Vulnerabilities」といったカテゴリー別の記事をチェックする使い方も出来るかと思います。

※私はChromeGoogle翻訳(プラグインがあります)でニュースタイトルをチェックする使い方をしていますが、短時間でタイトルを把握するのに非常に便利です

 

f:id:foxcafelate:20201231111528p:plain

Infosecurity Magazine

こちらも去年記事で掲載しているのですが、このサイトを2番目としました。基本署名記事で記事の質は高く引用先ソースもきちんと書かれている事が多いので、興味があるニュースを深堀りする際に重宝します。

ここでの記事は日本ではあまり取り上げられていないニュースが多く、世界的なセキュリティ業界の動きを知るべき、セキュリティコンサル(本業)にも役立っている良質な情報ソースです。

※日曜や長期休暇中には一切情報発信がされないホワイトな(?)サイトです。

 

f:id:foxcafelate:20201231112251p:plain

security affairs

Security Affairs/Cybaze Spa創業者、ENISA CTIグループ、Cyber Defense Magazine誌の編集長等、数々の顔を持つPierluigiPaganini氏のサイト、あるいはTwitter@securityaffairs)はウォッチしておいて良いソースかと思います。

security affairsブログは、「Read, think, share... Security is everyone's responsibility」(読んで、考えて、共有する・・・セキュリティは全ての人の責任)というコンセプトで良質なニュースを提供し続けていますので、毎日記事を読む事で”考える癖”が身に付いた気がします。

※個人の感想です

 

f:id:foxcafelate:20201231113927p:plain

DataBreaches.net

実は・・・上記3サイトの閲覧で手一杯になっていて、最近はこちらのサイトをそんなに巡回してませんが、以前はこちらのサイトからの情報を元にしていくつも当ブログ記事を書いてました。

上記3サイトが最新ニュースを元にしているのに対して、こちらのサイトのまとめ方はインシデント(データ漏えい発生)ベースなので、見落としていたインシデントを知る切っ掛けになる事もあるサイトです。

ハッキング、マルウェア、データリーク、ヘルスケアといったカテゴライズもされているので、興味ある分野の情報を拾うのにも適しているかと思います。

 

f:id:foxcafelate:20201231115020p:plain

FBI(Cyber Crime)

f:id:foxcafelate:20201231115523p:plain

CISA(Alearts and TIPS)

国の支援を受けたAPT攻撃等が増えている事もあり、最近巡回する様になったのが、FBIとCISAのサイトです。

ここにアラート(警戒)情報が掲載された場合、全世界的に攻撃を受ける(日本企業や組織も同じ脆弱性を突かれる)可能性があるケースも増えてきているので、アラートが出てないか確認する事もソース確認という意味では重要になってきました。

※基本的に米国内向けの情報ですが、リリースのタイトルだけでもチェックしておくべきサイトかと思います。

※まとめサイトである「morningstar SECURITY」や「DataBreaches.net」をウォッチしない場合、良質な記事が多い「Security Boulevard」や「Bleeping Computer」、「ThreatPost」辺りも巡回先に入れると良いかと思います。

上記の情報サイト以外に、フォローしておくべきブロガー(インフルエンサー)として以下の方々も個人的には外せません。

サイトキタきつね寸評

 

f:id:foxcafelate:20201231145359p:plain

Krebs on Security

去年も挙げましたが、11周年を迎えたKrebs on Securityは、定期的にウォッチしているサイトの筆頭です。Krebs氏は元ワシントンポストの記者で、2016年には当時世界最大級のDDoS攻撃(最大665Gbps)をこのブログが受けた(アカマイがギブアップした)事でも有名です。

こちらのサイトには多くのセキュリティ関係者が集まる事で知られており、Krebs氏の鋭い洞察記事もさる事ながら、大きな事件記事のコメント欄を読むと勉強になり、視野が広がるかと思います。

※上記morning star SECURITYで更新対象となっていますので、このサイトを単独でウォッチする必要はありません

※当ブログ名の「Fox on security」はKrebs氏のこのサイトにあやかってつけています。

Spam Nation: The Inside Story of Organized Cybercrime-from Global Epidemic to Your Front Door

 

f:id:foxcafelate:20210101062439p:plain

Graham Cluley

英国を代表するセキュリティブロガーで、2009年/2010年にComputerWeekly誌によってITブログアワード(ユーザーオブザイヤー)で表彰されています。英語系のサイトでは色々な所で署名記事を見かけますし、講演活動にも積極的で、Twitter等を含め発信力がありますのでウォッチしておくべき1人だと思います。

Twitterアカウント(@gcluley)をフォローして、Graham氏の発信情報をチェックするのも良いかと思います。

twitter.com

 

f:id:foxcafelate:20210101063639p:plain

Troy Hunt

マイクロソフトのオーストラリア地区ディレクターが本職ですが、本職以上に、自身のID(メールアドレス)やパスワードが漏えいしてないかチェックできる、Have I Been Pwned」(HIBP)を運営している事で有名です。HIBPに登録されたIDは既に100億件を超えており、ここを見ると誰もがデータ漏えい事件の「被害者」である事がよく分かります。

無害化された漏えいパスワード辞書も公開してますので、会員サイト等の管理者の方は、侵害されたパスワード辞書(パスワード登録時の比較用)として利用/参考にされるのも良いかと思いおます。

Hunt氏のブログ(Twitter)で、HIBPに新しいDBが登録されたコメントが出た場合、どこかで侵害事件が発生した(往々にしてニュースになってない)事を表しますので、インシデントを追いかけられている方はウォッチしておくべき情報源の1つかと思います。

f:id:foxcafelate:20210103054106p:plain

※上の画面だと、右下(Recently added breaches)が直近追加のDB(=インシデント)となります。

 

f:id:foxcafelate:20210101065047p:plain
Schneier on Security

ブルーシュ・シュナイアーは暗号やセキュリティで著名な研究者です。著書も多数ありますが、特に、「セキュリティはなぜやぶられたのか」は古い本ですが、日本語にも訳されているので、セキュリティ関係の方に是非読んでもらいたい本の1つです。

ブログでの発信は、他のセキュリティ関係のソースと取り上げるニュースが被る事が多いので、必ずしもフォローが必要とは思いませんが、どうしてそのニュースを取り上げたのか、彼はどう考えているのか、そうした視点で記事を読むと新しい気づきがあるかも知れません。

※上記morning star SECURITYで更新対象となっていますので、このサイトを単独でウォッチする必要はありません

セキュリティはなぜやぶられたのか

セキュリティはなぜやぶられたのか

 
※海外情報源として英語(日本語)ソースだけで良いのか・・・と言うと、私はできていませんが、今後はダメになってくると思います。国家の支援するAPT攻撃(例えばSlarWinds事件)を考えると、攻撃をかけてくる国(母国語)の情報ソースを把握する、あるいは英語ソースと比較して差分を見ないと、その背景が見えてこなくなる気がします。

インプットで参照している情報源(国内)

国内のセキュリティ関係の情報は、コロナ禍前までは通勤途中の効率性を考えてRSS+スマホで収集していたのですが、テレワークが主となり、PCでのチェック(主に朝)が多くなり、スマホをあまり使わなくなりました。

PCでも巡回するサイトは去年と大きくは変わらないのですが、網羅性(大きな記事の見落とし)を重視してサイトを巡回しています。

サイトキタきつね寸評

 

f:id:foxcafelate:20201231104651p:plain

Izumino.jp セキュリティ・トレンド

こちらも去年までと変わりません。セキュリティ関係者の方であればまずココを抑える方は多いのではないでしょうか。私も更新頻度や幅広いソース先からの情報網羅性を考え、ここを第1の国内情報源にしています。

更新頻度が高く、大きなインシデントが発生した際は「他の情報が押し流される」事も多々ありますので、時間が無い方や、情報収集に慣れてない方はタイトルを流し見する癖をつける事をお勧めします。

 

f:id:foxcafelate:20201231104732p:plain

Security Next

情報更新頻度もさる事ながら、そして小さなインシデントやセキュリティ関係の調査結果もよく掲載されているので、「新着記事」は定期的な巡回先となっています。

セキュリティ関係の全般的なニュースだけではなく、脆弱性製品・サービス等のカテゴライズもされているので、自分の興味が強い所を巡回先にすると効率的な情報収集が実現できるかと思います。

※”誤送信しました”や、”USBメモリ落としました”クラスの発表まで丹念に拾っているのはこのサイト位かと思います。

 

f:id:foxcafelate:20201231105306p:plain

piyokango氏のTwitter

Piyologも大きなインシデントが発生した際に、状況確認するのに重宝する情報ソースですが、piyokango氏の真骨頂はやはりTwitterでの情報発信かと思います。

多忙そうな時期は情報発信がやや低調に見える事もありますが、インシデント公式発表は他の方に比べて発信が速い事が多く、セキュリティ関係の方であれば、抑えておくべき情報ソースの1つと言えます。

各種セミナー以外にも、Podcastで辻さん、根岸さんらと配信している#セキュリティのアレや、日経XTECHで連載しているpiyokangoの週刊システムトラブル等も勉強になる事が多いです。

 

f:id:foxcafelate:20201231105421p:plain

日経クロステック(xTECH)

大きな国内インシデントが発生した際の解説記事が参考になる事が多いのがこちらです。2020年はPulse Secure VPN脆弱性や、ドコモ口座など社会的に影響が大きな報道記事がいくつもあり、取材情報を元にした署名記事(事件分析)は読んでいて勉強になりました。

 

f:id:foxcafelate:20201231105506p:plain

UCカード(重要なお知らせ)

私はカード情報のセキュリティ(PCI DSS)が専門分野の1つであり、この分野のインシデントを長年追いかけているので、大手カード会社の中でもセゾン系のカード情報漏えいに関するリリースは情報発信が早く、網羅率も高いので極力毎日見る様にしています。

 

f:id:foxcafelate:20201231105948p:plain

 ScanNetSecurity

網羅性という意味ではこちらも外せないかも知れません。カード情報関係のインシデントも良く出ているので、チェック漏れが無いかをたまにチェックしています。また、事件のリリース魚拓も掲載されているので、過去のインシデントを調査する際などにも重宝しています。

※上記の情報ソースで国内セキュリティ関係(全般)の主要記事は網羅されると思いますが、新聞各社の最新記事の情報を見落とす事もあるので、最近は意識して日経新聞、朝日新聞、毎日新聞のWebサイトを流し見(※スクープ記事が無いか)する様にしています。

インプットに使っているツール

2020年はRSS ReaderやGoogleアラート等をご紹介していましたが、テレワークが主となり、PCの前で作業する事が多くなったので、スマホでの情報収集が、休憩時間や偶にある外出時間程度と、その比率が以前より大幅に下がりました。その中で現在使っているツールは以下の通りです。

サイトキタきつね寸評

 

f:id:foxcafelate:20181231104540j:plain

Yahoo!ニュース

 (iOS)

Yahoo!ニュースのテーマ設定でRSS的にニュースを拾っています。多いなニュースで、コメント欄が解放されている時は、客観性をつけるために、なるべくオーサーや読者コメントを流し見する様にしています。

※コロナ禍で生の情報(人との会話)が希薄になり、真偽の分からない情報に流されやすくなってきている気がしており、自分の意見(コア)を持った上で、多くの意見に触れる事の重要性が増している気がしています。

尚、現在フォロー中のテーマは以下の通りです。

f:id:foxcafelate:20210103052057p:plain

 

f:id:foxcafelate:20181231104955j:plain

Twitter

Twitterは情報が早い(鮮度が良い)ので、多くの方にとっての情報収集は、「良質な情報発信をする方」をフォロー出来ていれば十分かと思います。

※ご参考になるかは分かりませんが(キタきつねのTwitterフォロワー

※私の場合、Twitterスマホなので、テレワーク(PC)メインになっている中では、あまり効果的に情報収集に使えていない気がしますが、特に海外インフルエンサーの投稿は(日本でまだ情報が来てない事も多いので)意図的に読む様にしています。

 

 f:id:foxcafelate:20181231104813j:plain

TweetDeck 

上記でTwitterをあまり活用できていないと書いているので、矛盾があるのですが、以前名和さんに教えて頂いたツールで、リアルタイムに情報を拾うのに、大画面+TweetDeck(キーワード登録は非常に有効です。

※例えばDDoSをキーワード登録し、頻繁にTabが更新される=何か大きな事件があった兆候を掴むといった使い方も(フォロワー次第ですが)出来る様です。

※TweetDeck流し見専用にサブモニターが(もう1台)欲しくなります

f:id:foxcafelate:20210103052912p:plain


調査によく使っている便利ツール

最後は、私が昨年よくお世話になった便利なツール類です。

サイトキタきつね寸評

  

f:id:foxcafelate:20210101082635p:plain
Wayback Machine

サイト情報を過去に遡るという事を(無料で)実現できます。

この巨大な魚拓サイトは、インシデント調査、あるいは事件リリース等を追いかける際に非常に重宝していて、このサイトが無いとカード情報漏えい系のインシデント分析は出来ないといっても過言ではありません。

 f:id:foxcafelate:20210101082603p:plain
SHODAN

 

諸々の脆弱性を検索するこうしたサービス、あるいは同等機能を持つサービスをハッカー側は常時探しており、そこで見つけた脆弱性を攻撃してくる傾向が強くなってきています。だからこそ、ホワイト(防衛)側も、こうしたツールを有効に使って自社/自組織の脆弱性を”定期的に”チェックする事が重要かと思います。

 

f:id:foxcafelate:20210101082530p:plain

DeepL

海外サイトからの情報収集を行う上で、Google翻訳は無償である事を含めて素晴らしいものがありますが、翻訳の精度(※以前に比べて格段に上がっています)という点では、アレ・・・と思う事も多々あります。

尚、DeepL有償版ではなく、多少制約はありますが無償版だけでも海外ニュースソースからの情報を翻訳するのは十分かと思います。

私は本業で海外と方とやり取りをする事がありますが、海外業務を担当する日本人の多くがDeepLを使っている印象があります。(他社の方と話すと、このツールを使っている方が結構多いです)Google翻訳の方がまだまだ便利な部分も多いのですが、ここぞという部分の翻訳にDeepLを使う事で、より読みやすい日本語文書になりますのでオススメです。

※少し英語に自信が無い方は、海外出張(あるいは海外ゲストの簡単な通訳)程度でしたらPOCKETTALKも最近は精度が上がっていますので、こうしたツールでも十分かと思います。

【公式ストア限定】 POCKETALK ( ポケトーク ) S Plus グローバル通信(2年)付き ホワイト PTSPGW [ 翻訳機 ]+ 端末保証 

 

f:id:foxcafelate:20210101082759p:plain
ウェブ魚拓

WaybackMachineが勝手に録画してくれる全録機だとすれば、ウェブ魚拓は手動録画(魚拓)として使えるサイトです。Piyokango氏がよく使っている(いた)ので私も真似をして使う様になりました。

インシデント、特にECサイトからのカード情報漏えい事件では公式発表(事件を受けてのリリース)がいつの間にか「消されている」事があります。

※企業の情報開示姿勢としてはどうかと思いますが、ビジネスへの影響を考えると仕方が無い事かと思います。

こうしたサイトを後から調査する事もあるので、当ブログの記事では、インシデントの公式発表魚拓をなるべく取っておく様に(最近は)しています。

 

f:id:foxcafelate:20210101083604p:plain
ATT&CK

色々とインシデントを追いかける中、まだまだ出来てない部分が多いのですが、ATT&CKをもっと深く理解する事=基本に立ち返る事の重要性を改めて感じています。

 

f:id:foxcafelate:20210101084305p:plain
Qualys SSL Server Test

日本ではこうしたツールを事前の合意なしにかける事がアレ内緒で調査する時もありま・・・ですが、海外ではホワイトハッカーもよくこうしたツールを使っている様です。

残念ながら、(このサイトで検出される通信に関する)セキュリティ対策が酷い所は、まだまだ日本の企業/組織でも多いので、Web脆弱性診断を定期的に行ってない所は、最低限こうしたツールを利用して自社の脆弱性を確認する事が重要かと思います。

※違う見方をすればお金をかけなくてもある程度の事はこうしたツールを使えば確認できるという事でもあるのですが、なかなか日本では利用されてない(様に思える)のが残念な所です。

 

f:id:foxcafelate:20210101082910p:plain
No more ransom Project(日本語)

 

2020年はランサム(2重脅迫)の年といっても過言では無い程に、ランサム被害が多発しました。

カスペルスキーが4年前に発足させたNo more ransom projectでは一部ランサムにはなりますが、解除方法なども開示しており、ランサム関連の情報として、まず抑えておくべき情報がここにあります。

※ランサム被害を受けた企業は、短時間に身代金(ランサム)を請求される事が多く、パニックになる訳ですが、こうしたサイトでまずは何をすべきなのかを一度落ち着いてみてから次の行動を起こす事が重要であり、押さえておくべきサイトの1つと言えます。

偉大な先人達へ敬意を表して・・・

当ブログでは、この記事を書くのも今年で4回目になります。「情報収集法」という考え方は、私のオリジナル記事という訳ではなく、日本のセキュリティ業界をリードしていると言っても過言では無い、根岸さんとPiyokangoさんが以前に書いている記事に触発されて書き始めたものです。

セキュリティ業界という訳ではありませんが、喜多さんの下記の本は、私のバイブル的な存在です。万人にお勧めできる情報収集法/情報整理法ではありませんが、(セキュリティの世界で)プロの方やプロを目指される方には、その価値が分かるのではないかと思います。



サイバー攻撃に対抗するには多様な視点やコラボレーションが重要--英サイバー防衛担当幹部 / What's the key to tackling cyberattacks? Building a diverse team to think smarter(転載)

サイバー攻撃に対抗するには多様な視点やコラボレーションが重要--英サイバー防衛担当幹部:

 サイバーセキュリティチームが企業や政府、その他の組織や人々をサイバー攻撃から守るためには多様な考え方が必要だ。そして、サイバー犯罪との戦いで、異なる視点を持つ人々が協力できるようにするには、コラボレーションが重要になる。

 英内閣府のサイバー防衛担当副ディレクターPete Cooper氏は、困難に立ち向かい、社会のサイバーリスクを減らすためには、この種の協力を重んじる姿勢が必要になると語った。

 英空軍のジェット機パイロットからサイバー作戦アドバイザーに転身したCooper氏は、英国で初めて分野横断的なサイバー戦略コンテストを創設した人物でもある。同氏は、国際的なサイバーセキュリティの問題に取り組むためには優れたコラボレーションと多様性が重要だと考えている。

 Cooper氏は、「Black Hat Europe 2020」の基調講演で、「私たちは、自分たち課題について多様な視点を持っており、それぞれが違った視野を持っている。コラボレーションの本当の価値は、世界を多様な視点から見ることにある」と述べた。

 「それによって共通の視点を生み出すことができ、共同で視野を広げることでさらに遠くまで見渡せるようになると同時に、あらゆることに対して共通の理解を深めていくことができる」

 同氏は、異なる視点を混在させることで、リソースの使い方や取れるアクションが大きく変わる可能性があると説明した。さらに既知のシナリオや、これまでは知られていなかったシナリオへの新しい対処法さえ見つかるかもしれないという。

 「そのことがほかにはないコラボレーションを生み出し、これまでは見えなかった障害や、チャンスや、アイデアを見つけることができるだろう。それがコラボレーションを行う本当の意味だ」とCooper氏は語った。

 「多様なチーム間でのコラボレーションで最善のソリューションはこれらの共同でのソリューションであり、それを実行するにはそのようなコラボレーションが必要になる」

 サイバー攻撃やデータ侵害の防止やそれらのインシデントへの対応はサイバーセキュリティの重要な要素だが、それは仕事のごく一部にすぎない。業界の文化や、組織内の情報セキュリティチームの文化にもそのことを反映させる必要がある。

 「インシデントは全体の一部が見えているにすぎない。水面下の状況を見て何が問題かを理解したり、発生した事象が何を意味しており、それらを把握するためにはどんなアイデアがあり得るかを理解するには、積極的で優れた文化が必要だ」とCooper氏は説明した。

 また同氏は、異なる視点を持ち寄るには時間と手間がかかるが、サイバーセキュリティが達成しようとしているあらゆることに対して、コラボレーションと多様性は役に立つと指摘した。

 「それができれば、私たちは共通の視点を共有し、視野を広げるようになる」

 「協力し合って共通の視野から多くのことを学ぶほど、今後重要なリスクに取り組もうとする際に、誰にとってもよりよい結果になる」と同氏は付け加えた。

2020年のクラウドネイティブの脅威 / Cloud-Native Threats in 2020(転載)~クラウドサービス(オンラインストレージ)を悪用した脅威が増加か!?~

CNT2020.png?fit=1200%2C675&ssl=1


2020年に私が行った様々なことの中で、キルチェーンの中でクラウドサービスを悪用した主なサイバー攻撃を集めたものがあります。私は公開されている情報を使って、個人的な(明らかに不完全な)リストを構築しました。完全な年表は記事の最後に掲載していますが、いくつかの統計は以下のチャートにまとめています...

クラウドサービスは、信頼性が高く回復力のあるホスティングインフラストラクチャを提供し、従来のセキュリティ管理を迂回することができ、最後に、ユーザーから暗黙のうちに信頼されているため、脅威行為者に悪用されるケースが増えています。これは、GuLoaderやBazaarLoader(最近の壊滅的な攻撃の波でRyukランサムウェアを配信するために配備された)のようなドロッパーの採用が増えていることを説明しています。

前述したように、これはクラウドネイティブの脅威の状況を部分的に示しているに過ぎませんが、いずれにしても、悪意のある目的でクラウドサービスを悪用することがどれだけ頻繁になっているかを示す有用な指標になることを期待しています。








国土交通省北海道開発局の癒し系ツイート(転載)


 「国道40号ばばばばばえおうぃおい~」 国交省北海道の謎ツイート、原因は「サーバ更新時のエラー」


 「国道40号ばばばばばえおうぃおい~べべべべべべべべべえべえええべえべべべえ(9.9km)で通行止を実施しています」――道路情報を伝える国土交通省北海道開発局のTwitterアカウントが1月19日、このような謎のツイートを投稿し、Twitter上で話題を呼んでいる。同局によれば、サーバ更新作業中のエラーが原因だという。

 同アカウントは、通行止め情報をまとめているWebサイト「北海道地区道路情報」の更新に合わせて自動で情報を発信している。話題のツイートは19日午後3時ごろに自動投稿された。実際にはツイートに記載されていた国道40号の通行止めは行われておらず、同アカウントは後にツイートを削除。午後5時ごろには誤作動があったとしてアカウントを一時停止した。

 投稿直後から、Twitterでは「面白い」「癒やされた」と話題になり、ツイートを読み上げた動画やオリジナル曲が作られるなどネット特有の盛り上がりを見せた。一方「文章を変換すると『こちらにこい』になる」など、内容について考察するユーザーもいる。

 謎のツイートが投稿された理由について、国土交通省北海道開発局は「北海道地区道路情報のWebサイトを管理しているサーバの更新作業中にエラーが発生し、通常なら表に出ないテスト用のデータがツイートされた。内容に意味はない」と説明した。外部から不正アクセスや攻撃を受けた痕跡はないとしている。

 同局はサーバを点検し、午後7時ごろにツイートを再開。「ご迷惑をおかけして申し訳ありませんでした」と謝罪した。

SolarWinds事件(SunBurst)のフォレンジック調査(転載)~自社だけでセキュリティ対策を頑張っても、オンラインでくるアップデートモジュールが汚染されてしまうと手も足も出ない。。。~


SolarWinds事件(SunBurst)のフォレンジック調査
 

エグゼクティブサマリー

  • Orion ソフトウェアのビルドとコード署名のインフラストラクチャが侵害されたことの決定的な詳細を示しています。
  • Orion のソースコードが悪意のあるバックドアを含むように直接変更されたことを確認するコンパイル結果を開示しています。
  • バックドアされたOrionのソフトウェアパッチが、既存のソフトウェアリリース管理システムを介して配信されたことを確認する、ソフトウェア配信の成果物を開示しています。
  • 将来のソフトウェアサプライチェーン攻撃を検出して防止するための新しいアプローチを提案しています。

概要

IT監視・管理ソリューションを製造するSolarWinds社が、巧妙なサプライチェーン攻撃の最新の標的となっています。2020年3月から6月にかけてリリースされた複数のSolarWinds Orionソフトウェアアップデートには、攻撃者が影響を受けたシステムに対して監視や任意のコマンドの実行を可能にするバックドアコードが含まれていることが判明しています。

ReversingLabsのこのサプライチェーン攻撃の解剖調査により、Orionソフトウェアのビルドおよびコード署名インフラストラクチャが侵害されていることを示す決定的な詳細が明らかになりました。影響を受けたライブラリのソースコードは、悪意のあるバックドアコードを含むように直接変更され、既存のソフトウェアパッチリリース管理システムを通じてコンパイル、署名、配信されました。

ソフトウェアのサプライチェーンに対するこの種の攻撃は決して目新しいものではありませんが、今回と異なるのは、可能な限り長く検出されないようにするために攻撃者が使用したステルスのレベルです。攻撃者は、影響を受けたコードベースに溶け込み、ソフトウェア開発者のコーディングスタイルや命名基準を模倣しました。これは、Orion ソフトウェアを使用するあらゆる組織のバックドアにするために追加されたかなりの数の機能によって一貫して実証されました。

ソフトウェア開発者からの隠蔽

事件の外部からストーリーをまとめることは困難です。しかし、残されたパンくずの痕跡から、攻撃者が Orion ソフトウェアのリリースプロセスを侵害するために使用した方法について、ある程度の洞察を得るには十分です。

このような調査は通常、既知のものから始めます。この場合、バックドアードされたソフトウェアライブラリのリストです。OrionプラットフォームソフトウェアパッケージのアップデートSolarWinds-Core-v2019.4.5220-Hotfix5.msp内のSolarWinds.Orion.Core.BusinessLayer.dllというファイルが、悪意のあるバックドアコードを含むことが知られている最初のバージョンです。このライブラリは、FireEyeの技術ブログで徹底的に分析されており、バックドアの動作について非常によく説明されています。

しかし、メタデータの分析から、攻撃者の忍耐力、巧妙さ、Orion ソフトウェアビルドシステムの状態について、さらなる結論を導き出すことができます。

FireEyeブログで概説されているように、悪意のあるバックドアコードを含む最初のバージョンは2019.4.5200.9083でしたが、攻撃者によって改ざんされた以前のバージョンがありました:2019年10月のバージョン2019.4.5200.8890で、このバージョンはわずかに修正されただけでした。悪意のあるバックドアコードは含まれていませんが、将来的にそれをホストする.NETクラスが含まれています。

この最初のコード修正は、明らかにコンセプトの証明に過ぎませんでした。彼らの三段階の行動計画 ビルドシステムを破壊し、独自のコードを注入し、署名されたパッケージが期待通りにクライアント側に表示されることを確認する。これらの目的が達成され、サプライチェーンが侵害される可能性があることが攻撃者自身に証明されると、攻撃者は実際の攻撃ペイロードの計画を開始しました。

クラスの名前である OrionImprovementBusinessLayer は、意図的に選ばれたものです。残りのコードに紛れ込むためだけでなく、ソフトウェア開発者やバイナリを監査する人を騙すためです。このクラスと、それが使用するメソッドの多くは、他のOrionソフトウェアライブラリにも含まれており、それらのライブラリ内のコードとテーマ的に一致していることさえあります。これは、ステルス性を保つ意図だけでなく、攻撃者がコードベースに精通していたことを暗示しています。

例えば、UserID を計算する関数を比較してみてください。Orion Client のコードでは、この関数はレジストリから以前に計算された値を読み込もうとしたり、ユーザの新しい GUID を作成したりします。

これを模倣して、攻撃者はこれらの関数の独自の実装を作成してUserIDも計算し、同じように名前を付けました。彼らの関数は、後に ID 型に同じ GUID 形式を使用していることさえあります。

正確ではありませんが、このコードはオリジナルと同じような機能を果たしています。クラス、メンバー、変数を適切に命名するパターンは、バックドアされたコードの至る所に見られます。

実際に、Orionクライアントライブラリのコードで使用されるCollectSystemDescriptionとUploadSystemDescriptionというメソッドがあります。IOrionImprovementBusinessLayer インターフェースがあったように、攻撃者はバックドアコードを配置したクラスの名前を模倣しました。

しかし、ライブラリに追加されたコードは、魔法のようにそれ自体が実行されるわけではありません。攻撃者は何らかの方法でそれを呼び出す必要があります。そして、それが行われた方法は、ビルドシステム自体が危険にさらされたことを物語っています。


赤くハイライトされたコードは、攻撃者が入れた追加機能です。この小さなコードブロックは、Orion ソフトウェアがバックグラウンドのインベントリチェックを実行している間に、バックドアを実行する新しいスレッドを作成します。このような場所は、この種のコードを追加するのに最適な場所です。つまり、攻撃者が注入した残りのコードと同様に、このコードも溶け込んでしまうのです。

.NET コードを逆コンパイルして新しいものを注入し、その後にコードを再コンパイルする方法もありますが、今回はそうではありませんでした。InventoryManagerクラスはソースコードレベルで修正され、最終的には通常のOrionソフトウェアのビルドシステムでビルドされました。

これは、バックドアされたバイナリのタイムスタンプ、同じパッケージ内の他のライブラリ、およびそれらを配信するパッチファイルを見ることで確認できます。

PE ファイルヘッダと CodeViews のタイムスタンプは完全に一致しています。これは、リビジョン番号が 1 に設定されているということは、 そのファイルが一度だけコンパイルされたか、あるいはクリーンビルドされたかを意味します。ファイルは署名され、タイムスタンプのために交差署名されているので、ヘッダ内のタイムスタンプを確実に検証することができます。クロスサインのタイムスタンプは、ビルド環境の外にあるリモートサーバによって制御され、改ざんされることはありません。

署名はライブラリのコンパイルから1分以内に発生しています。これでは、攻撃者がビルドシステムを監視し、バイナリを置き換え、これに完全に一致するようにメタデータを変更することができる時間がありません。これらのタイムスタンプを完全に一致させる最も簡単な方法は、攻撃者のコードをソースに直接注入し、既存のビルドシステムと署名システムに、Orionソフトウェア開発者によって定義されたコンパイルとリリースのプロセスを実行させることです。

最後に、MSP のパッチファイルには CAB アーカイブが含まれており、ライブラリのローカルの最終更新時刻を保持しています。これは、ビルドシステムがGMT+1タイムゾーンで動作していると仮定して、署名中にファイルが最終更新されたことを確認するものです。

同じ名前空間に属するバックドアされたライブラリの周囲のファイルも同時にコンパイルされています。これらのファイルは互いに依存していないので、ビルドシステムが完全なビルドを実行していない限り、同時にビルドされることはありません。

MSP のパッチファイルは署名されており、その署名時間はパッケージの内容と一致しているので、パッチファイルが残りのビルドと同じマシン上で作成されたことを確認できます。

大きな疑問は、ソースコントロールが侵害されたのか、攻撃者のコードがビルドマシンに置かれただけなのかということです。

残念ながら、それはメタデータでは明らかにできません。ソフトウェアのコンパイル中に保存されるような成果物はありません。しかし、攻撃者はコードがコードベースの中にあるように見えるようにするために、多くのトラブルを経験しました。これは確かに、ソフトウェア開発者による監査からコードを隠すために行われました。

確実なのは、ビルドインフラが侵害されたということです。さらに、デジタル署名システムは、信頼できないコードに署名することを余儀なくされた。現時点では、SolarWindsの証明書が他の悪意のあるコードの署名に使用されたという証拠はありませんが、その可能性は排除されるべきではありません。そして、予防措置として、そのビルドシステムで使用されたすべての証明書と鍵を失効させる必要があります。

セキュリティアナリストに隠れて

このような環境でオリオンのソフトウェアを実行している顧客のタイプを考えてみましょう。このようなソフトウェアのサプライチェーン攻撃を成功させるためには、攻撃者はレーダーを潜り抜け、何百万ドルものセキュリティ投資を回避する必要があります。攻撃者は、高度に専門化された検出ソフトウェアと、脅威を検出するためにそれを実行している人々を騙して、数ヶ月間、このソフトウェアを使用して積極的に異常を探し出す必要があります。このトリックを成功させるためには、攻撃者は隠れたままでいることと目的を達成することの間で適切なバランスを取る必要があります。

大規模なセキュリティ予算には、かなり多くの特典が付いています。内部脅威の調査ができることは、確かにその1つです。そして、脅威ハンターがデータの異常ほど探したがるものはありません。YARAルールは、ただ横たわっている奇妙なものを見つけるための一つの方法に過ぎない。

文字列 "Select * From Win32_SystemDriver "は、おそらくかなりの数の中に見られる。そのため、攻撃者は圧縮とBase64エンコーディングを組み合わせて、このようなノイズの多い文字列をすべて隠すことにしたのです。前述の文字列のBase64変種を探すハンティングルールがかなりの数存在するため、このような2段階のアプローチが必要でした。

これらのステップを逆にすることで、上で見つかったC07NSU0uUdBScCvKz1UIz8wzNooPriwuSc11KcosSy0CAA==は "Select * From Win32_SystemDriver "になります。そして、すべての脅威狩りのルールは、賢くないままです。

このような文字列難読化はコード全体で繰り返されます。これが、ソフトウェア開発者のレビューで目立つことと、セキュリティシステムを騙すことの間のバランスであり、攻撃者にとっては、この賭けが実を結んだことになります。

サプライチェーン攻撃の防止
ソフトウェアのサプライチェーンの安全性確保に重点を置いているセキュリティ企業はほとんどありません。ほとんどのセキュリティ企業にとって、この種の攻撃がもたらすリスクを減らすことについて話すことは、遠い未来の話です。多くの点で、私たちはまだ問題意識の段階にあります。このような事件は、ソフトウェアを出荷する側と消費する側にも同様に影響を与える多面的な問題であることに注意を喚起するのに役立ちます。

ReversingLabs の研究開発チームは、このような大きな問題が広く懸念される前に考えることに誇りを持っています。そのために、私たちはこのような問題に対処するための製品やソリューションのプロトタイプを数多く作ってきました。

ソフトウェアのサプライチェーンの保護は、解決が待たれている大きな問題です。そして社内では、開発者とユーザーの双方を保護するための製品戦略を定義しました。

私たちは、「ゴールド」ソフトウェアのリリースイメージをリリースや消費の前にスキャンできるシステムを想定しています。このシステムは、ソフトウェアの改ざん、デジタル署名、およびビルド品質の問題を探すために意図的に構築されています。このシステムは、継続的なソフトウェア開発とリリースサイクルに組み込まれており、これらの問題を表面化させ、それらを排除するためのガイダンスを提供することを目的としています。

このようなシステムの重要な側面の1つは、コンパイルされたソフトウェアのバージョン間の動作の違いをピンポイントで特定する能力です。静的挙動指標と呼ばれるこの記述は、基本となるコードの動作を、それを実行するマシンに与える可能性のある影響に変換します。

追加された(緑)コードと削除された(赤)コードの違いとしてレイアウトすると、ソフトウェアの動作の変化の影響が明らかになります。バックドアされたSolarWindsバイナリでは、これにより、このサプライチェーン攻撃をより早くキャッチすることが可能になったであろう多くのセキュリティアラームが発生します。

以下のリストでは、最初に改ざんされたバージョンと、悪意のあるバックドアコードを含むバージョンとの間の重要な静的コードの動作の変化を強調しています。

1. 1つ以上の実行中のプロセスに関する情報を読み取る
アプリケーションが突然、環境で実行中の他のプロセスを認識するようになることは、非常に珍しいことです。成熟したコードベースでは、この機能は通常メジャーリリースで追加されます。通常、この種のコードの背後には大きな機能が計画されています。そして、通常、追加するにはそれなりの理由があります: ある種のプロセス間通信や、実行中のプロセスを制御したいという願望です。他のシナリオでは、このような無計画な追加は懸念の原因となります。

2. MD5/SHA1 アルゴリズムの .NET Framework クラスへの参照が含まれています。
珍しいものではありませんが、MD5 や SHA1 のようなハッシュ化アルゴリズムは、特定の問題を解決するために実装されるのが一般的です。それは、ある種のコンテンツの検証、認証、または一意性のチェックのいずれかです。これらのそれぞれは通常、高レベルの要件にマッピングされ、機能変更のリクエストや同様の開発タスクまで追跡することができます。

3. kernel32.dll / advapi32.dllネイティブWindows APIへの参照が含まれています。
.NET ライブラリから突然 Windows ネイティブ API を参照するというのは非常に珍しいことです。システムと相互作用する基礎となるコードは、管理されたアプリケーションであっても必要ですが、より良い方法があります。例えば、提供されている言語ランタイムは、ほとんどの開発者がネイティブ関数に求めるものと同じ効果を、型の不確実性に対処することなく、一般的に達成することができます。サプライチェーン攻撃のコンテキストに関係なく、これ自体が開発者がコードの匂いと呼んでいるものです。

4. WMIを使用してシステム情報を列挙する
Windows Management Instrumentation (WMI) は、アプリケーションがローカルおよびリモートコンピュータシステムの状態に関する情報を取得することを可能にするシステム機能のセットです。IT管理者は、これらの機能を使用してコンピュータシステムをリモートで管理しています。なぜこのような機能が突然追加されるのかを理解することは非常に重要です。アプリケーションの範囲が劇的に変化して、リモート・コンピュータ・システム間の相互作用がその重要なタスクの一部になったということは考えられません。そして、ローカルシステムから何かを取得することが目的であれば、すでにその情報を持つコードがあるかもしれません。

5. ユーザー/アカウントの権限を列挙しています。
ユーザーやアカウントの権限を調べることは、通常、権限を昇格させるための最初のステップです。上昇した権限でコードを実行するのは、制限されたフォルダにファイルをコピーしたり、実行中のプロセスを操作したり、システムの設定を変更したりなど、限定されたアクションを実行するために行われます。これらのアクションはすべて、その背後にしっかりとした理由がなければならないものであり、成熟したコードベースに追加することは、少なくとも疑問の余地があります。開発者は、この種のことを認識し、サインオフしなければなりません。

6. システムのシャットダウンを妨害する
アプリケーションの不必要な特権というテーマに固執して、最後に大きな赤旗を掲げています。コンピュータをシャットダウンしたり再起動したりすることは、予期せずコードに追加されたものではありません。これは、複数のコードコンポーネント間の調整を必要とする機能であり、通常はアプリケーション内の単一の場所で実装されます。それが他の場所に現れることは、間違いなく懸念の原因となります。

ソフトウェアの展開プロセスのどの側にいるかに関わらず、ソフトウェアコードの変更の影響に関するレポートは、非常に貴重な情報です。ソフトウェア開発者にとっては、基礎となるコードの動作についての情報に基づいた意思決定を行うことができます。また、ソフトウェアの消費者にとっては、異常なコードの追加を確実に検出することができます。いずれにしても、このようなシステムの影響は、ソフトウェアのデプロイメントプロセスに大きな変化をもたらします。このようなソフトウェアサプライチェーン攻撃が再発しにくくなる検証バリアとしての役割を果たします。

新しい制御機構の必要性

SUNBURSTは、アクセス、洗練された技術、忍耐力を武器とした次世代の危殆化対策を紹介しています。貴重なビジネスを運営している企業や、顧客にとって重要なソフトウェアを製造している企業にとって、ソフトウェアを検査し、改ざんの兆候がないか、悪意のあるものや不要なものが追加されていないか、アップデートを監視することは、リスク管理プロセスの一部でなければなりません。この種の改ざんは、従来のセキュリティソフトウェアスタックで信頼されているソフトウェアディストリビューションを悪用するもので、既知の悪意のあるインプラントと比較しても特異なものです。ディストリビューションは、たとえ境界制御によっても、容易に検査することはできませんでした。世界的に知られたソフトウェアブランドや、信頼されたビジネスクリティカルなプロセスの背後に隠れていることで、フィッシング・キャンペーンでは夢のようなアクセスが可能になります。

NIST CSFなどのサイバーセキュリティフレームワークの多くは、継続的なリスク管理とデータとソフトウェアの検査の必要性を文書化しています。これには、社内外を問わず、すべてのサードパーティ製およびオープンソースのソフトウェアを継続的に検査し、改ざん、悪意のあるコンテンツ、または組織の許容ポリシーに抵触する望ましくない特性がないかどうかを確認する必要性も含まれています。

英AnyVan、410万人分のユーザー情報が漏洩し、ダークウェブに晒される。 / AnyVan 4.1 Million Users Comprised with Data-Breach(転載)


AnyVanは、ロンドンのハマースミス(英国)に本社を置く、輸送パートナーのチェーンネットワークから委託、輸送、撤去サービスにアクセスするためのヨーロッパのオンラインプラットフォームです。それはヨーロッパの移動のみに焦点を当てています。また、パトロンの配送経路と輸送サービスプロバイダーの配送経路を簡単に比較し、それらを関連付けることで、保管スペースや運搬量を最適化することでコストを削減し、CO2排出量を削減することができるため、引越しサービスの面ではヨーロッパのフロントランナーの一つとなっています。しかし、最近AnyVanは、不正なデータ侵入とハッカーによるパトロンの個人情報の横領について、そのユーザーを肯定した。

同社は、同社が被害者となったデータ漏洩に関する通知をパトロンに送付することで、パトロンに通知したという。AnyVanはその後、2020年12月31日にこの事件を発見したことを明らかにしており、その理由についても "なぜこんなに遅くに通知されているのか?"と言及しています。

AnyVanは、上記の事件について、「このデータ漏洩が当社の注意を引いたのは12月31日でしたが、事件自体は9月末に発生したと理解しています。事件が発生してからすぐに、当社の専門ITチームが調査し、以下の改善措置を講じました。

同社が発表した通知と声明によると、パトロンの名前、電子メール、パスワードの暗号ハッシュがアクセスされ、おそらく役者によってダークウェブ上に表示されたという。どうやら、他の機密情報は侵害されていないようだ。さらに、彼らは事件の調査が続いていることを追加しました。しかし、これはすべて、アクターがユーザーのデータや情報を悪用するのに十分な時間を持っていた後にのみ来た。推定では約410万人のユーザーがこのデータ侵害の影響を受けているという。AnyVanはICO (Information Commissioner's Office)に連絡しなかったが、これはユーザーの機密データが漏洩したことを示す重要な一歩であった。

予防策として、同社は利用者に対し、AnyVanで使用するアカウントのパスワードやその他の個人情報を更新するよう助言した。また、同社は、利用者が知らず知らずのうちに他の情報や個人情報を誰かと共有しないように注意を促した。また、同社は、ユーザーが被った個人情報のこのデータ侵害について謝罪し、彼らは非常に迷惑をかけて申し訳ありませんと述べた。

クラウドを利用する際の設定ミスにより第三者に迷惑をかける場合(転載)~PayPay、楽天、Salesforce、etc~


クラウドを利用する際の設定ミスにより第三者に迷惑をかける場合:

クラウドサービス等を利用する際にも当然に、誰が、何に対してどういうアクションができるのか?という設定が必要となってきます。アクセス方針について適切に決めていたとしても、設定を誤ると期待した効果が生じません。なので、適切に設定されていることは、クラウドサービスを利用する際にユーザが当然に確認すべき事項となります。この設定ミスにより第三者に迷惑をかけた場合は、ユーザの責任となるでしょうね。。。

ただ、設定が非常に複雑であったり、システムの理解が浅い利用者を想定している場合は、それ相応の対応(つまり、想定利用者の能力に応じて簡単に安全な設定ができるようにする機能や、説明ページ、場合によっては担当営業やカスタマーセンターによる対応)等を準備することはサービス提供者には必要となるでしょうね。。。この辺りの法律的な話は弁護士等の法律家の方がうまく説明してくれると助かりますね。。。

と、色々と最近の事件をみて思いました・・・

● PayPay


● 楽天


● Salesforce



【バックアップ】

PCでディスプレイの揺らぎが気になる際の対処法~Chromeのハードウェアアクセラレーションが原因か?~


12月に新たにパソコンを購入したのだが、 どうも調子がおかしい。

事象的にパターン化できないのが心苦しいところなのだが、分かっている範囲で整理すると、

・ディスプレイでリサイズしている感じの歪みが発生

・たまーにディスプレイが真っ暗になり、30秒くらいすると復帰

・上記の事象はバッテリーモードで使用中に発生

・Chromeを使用中に発生

上記のような感じである。

新しいPCだし、放っておけば直るかとも思ったのだが、たまーに発生するディスプレイが30秒真っ暗になる事象は、たまーにでも不安を掻き立てられ、メーカーサポートに問い合わせてみた。

その際の対処法が下記。

----------------------

【1】Windows を完全にシャットダウンし、放電を行います。

【2】BIOS 設定値の初期化を行います。

【3】Windows Update にて最新の状態にする。

【4】グラフィックスドライバーを更新する。

【5】Google Chrome の設定を変更する。
   →ハードウェアアクセラレーションの無効化

--------------------------------------------------

5番目に気になる方法があり、まずは5番からやってみることにした。

というか、PC自体は購入後1か月も経っていないのと、事象から察するにChromeのアクセラレーションが一番の原因の気がする。。。

とりあえずChromeのアクセラレーションを無効化して様子を見てみよう。

むかしDELLのパソコンを使っていたが、サポートに電話すると二言目には「OS再インストールしてください」と言われ、閉口したことがある。

VAIOのサポートはとても親身な気がする。