シングルサインオン(SSO)とは~概要と実装方法を簡単に整理してみる~


 先日、「こんなシングルサインオンの実装を検討しているのだが意見が欲しい」と言われ、資料を見ていたのだが、その内容はシングルサインオンとは遠くかけ離れた、ただの認証省略の仕組みだった。苦言を呈すことになったのは言うまでもないが、そんこともあり、簡単にシングルサインオンについて整理してきたい。

シングルサインオン(SSO)とは?

シングルサインオン(SSO)とは、1組のID・パスワードによる認証を1度行うだけで、複数のWebサービス・クラウドサービス・アプリケーションにログインできるようにする仕組み。

パソコンやスマートフォン、インターネットが普及し、1人でいくつものWebサービスやクラウドサービスを利用する方が増えています。以前は、これらを利用する際、サービス・アプリケーションごとに認証を行っていました。一方、これらのサービス・アプリケーションがシングルサインオンに対応していれば、認証が1回ですむようになります。

シングルサインオン(SSO)を実現する方法

代行(代理)認証方式

クライアントのパソコンにインストールした専用のエージェントが、ユーザーの代理でID・パスワードを打ち込む方式です。エージェントはパソコンに常駐し、各サービス・アプリケーションのログイン画面が起動するのを検知し、自動的にID・パスワードを入力します。

リバースプロキシ方式

リバースプロキシと呼ばれる中継サーバー上で認証を行う方式です。リバースプロキシ上で認証を追加した場合に、その後ろにあるサービスにログインができるようになります。


エージェント方式

Webサービスの専用のエージェントモジュールを組み込んで、シングルサインオンを実現する方式です。エージェントはシングルサインオン用の外部サーバーと連携し、認証やアクセス権限のチェックを行います。

SAML認証方式

SAML(Security Assertion Markup Language)認証では、IdP(Identity Provider)とSP(Service Provider)と呼ばれる2つの構成要素で、シングルサインオンを実現する方式です。

ユーザーが対象のWebサービス(SP)へアクセスすると、SPはIdPへ認証要求(SAML)を送信します。すると、IdPがユーザーのパソコンやスマートフォンに専用のログイン画面を表示させ、認証を促します。認証が成功すれば、IdPはSPに対して認証応答(SAML)を送信し、SPがそれを受け取ると自動ログインを実行するという流れです。これによって1度認証が成功すれば、SAMLに対応する別サービスへ自動でログインできるようになります。


メリット

メリット1.利便性が向上する

たくさんのWebサービス・アプリケーションを使っていると、認証の際に利用するID・パスワードの組み合わせもそれだけ増えることになり、管理に手間もかかります。また、各サービス・アプリケーションを利用する際に、いちいちログイン作業をしなくてはなりません。

一方、利用するWebサービス・アプリケーションがシングルサインオンに対応していれば、ID・パスワードの組み合わせは1つですむようになります。その上、それらWebサービス・アプリケーションの認証は1回だけ行えばよいので、より便利に利用できるようになるのです。

メリット2.パスワード漏洩のリスクが低くなる

利用すべきID・パスワードの組み合わせが増えると、その管理がおろそかになるものです。たとえば複数のサービス・アプリケーションで同じID・パスワードを使い回したり、付箋などに書いてパソコンに貼ったりする方も多いでしょう。覚えるのが面倒になり、推測されてしまいやすい簡単なパスワードを設定している方もいます。

一方、シングルサインオンを利用すれば、管理すべきID・パスワードの組み合わせは1つだけですむので、覚えるのも簡単になり管理の手間もかからなくなるわけです。そのため付箋に書いたメモを誰でも見られるようなところに置いたりすることはなくなり、適切に管理されやすくなります。ある程度複雑なパスワードを作成したとしても、1つだけなら覚えるのは苦ではないでしょう。

これらのことから、シングルサインオンを導入することによって、パスワード漏洩のリスクが減るわけです。

デメリット

デメリット1.パスワードが漏えいすると重大なセキュリティリスクにつながる

シングルサインオンで利用するID・パスワードが万が一漏洩してしまうと、そのID・パスワードを利用するサービス・アプリケーションが全て不正利用されるリスクにさらされることになります。

デメリット2.システムが停止すると関連するサービスにログインできなくなる

シングルサインオンは、特定のシステムによって認証情報が管理されています。そのため仮にその管理システムがダウンした場合、シングルサインオンでログインできるように設定している全てのサービス・アプリケーションが使用できなくなる可能性があります。

デメリット3.コスト

シングルサインオンを実現するためには、自社サーバーに専用のソフトウェアをインストールするオンプレミス型のタイプと、専用のクラウドサービスを利用するタイプがあります。オンプレミス型は特に初期導入時のコストが高額となる可能性がある一方、クラウド型は導入時のコストは少なくてすむものの、毎月の費用がかかるため利用期間が長くなれば、それだけコストがかさむことになります。

保険見直し~がん治療は通院がメインなので通院保障が重要!?~


 昔、保険会社による保険金未払い事件が多発した影響からか、毎年契約しているすべての保険会社から、現在の保険内容の確認やら、見直しやら、住所が変わっていないかやらの手紙が送られてくる。

そんな中、医療保険を契約している会社から保険内容の見直しの案内があり、がん保険の通院保障オプションの案内を見て、2019年に参加したお金のEXPOのことを思い出した。

がん保険は、昔は長期入院の伴う長い闘病生活のイメージだったが、今は長期入院せず、通院による治療がメインとなっていることから、入院保障だけではなく、通院保障が重要だという話を元SKE48の矢方 美紀さんが自身の闘病経験を踏まえて話してくれていたのだった。

やばい。今2021年なので、2年も放置してしまっていた。

幸いまだガンにはなっていない模様なので、とっとと入っておこう。

さっそく保険会社に電話して、契約内容見直しの依頼をかけた。

人生40年近く生きてきて、何となく保険との付き合い方が分かってきた気がする。

保険は早く入っておいたほうがいいとか、生涯で払う保険金は同じなのでいつでもいいとか、そもそも入る必要がないとか、いろいろ意見があるが、個人的な今のスタンスは下記である。

ちなみに掛け捨ての医療保険の話ね。

保険は若いうちに(安い保険に)入るべきである。

保険は若いうちに入ったほうが良い。高齢になってから入っても生涯で払う保険金は同じだが、若いうちに入ったほうが保険料が安く、精神的な負担額は軽く済む。

保険は入る必要がないという人がいるが、そういう意見もアリだと思う。個人的にはお守り替わりで済む程度の金額にし、万一保険料が支払われない事態になっても「しゃーない」と思える金額(=月額2000円以下)で保険に入った。

また、当然ながら保険会社の選択に際してはネットライフ生命のようなオンライン保険会社にするべきである。

テレビで有名人を起用したCMを放送しているような保険会社は厳禁である。

理由は簡単で、CM代金や有名人のギャラが保険料の跳ね返って非常に割高だからである。

かしこい人はオンラインの保険会社を選択し、情弱者はCM等で知名度の高い(割高な)保険会社を選択するのである。

諸々の情勢変化で年1.5%の保険料増加は見込むべき

医療は進歩している。

それに伴い、保険は変わる。

自分が初めて保険に入った際には無かったが、その後出てきたキーワードとして、「先進医療」とか「通院保障」がある。

これらは保険加入時には無かったため、結果として追加の保険料を払って追加する形態となる。

最初の保険加入時は1,800円/月くらいだったが、先進医療特約を付けたり、がん通院保障をつけたり、必要なオプションを追加していった結果、約15年の時を経て2,500円/月となった。

オプションで保険料が上がっていくことを考慮し、最初の保険加入時は必要最小限の保険にしておいたほうが良い。

保険は保険料控除の枠で十分

自分は若い頃にバイクで事故った際、保険が期待した働きをしなかったことから、基本的には保険に対して懐疑的な立場である。

そのため、最初の保険に入る際、どの程度の掛け金にすべきを考えた際に、たどり着いた一つの結論が「保険料控除の枠で十分」である。

つまり、介護医療保険、生命保険、年金保険、共に、それぞれ80,000円/年で十分である。

これ以上は保険料控除の枠から外れるし、保険料を払いすぎていると考えてもよいのではと思っている。

DDoS攻撃(SYN/ACK Reflection攻撃)の仕組み(転載)


Masafumi Negishi retweeted: 「IIJのSOCアナリストが検知と分析のサイクルを回すわけ DDos攻撃検知にAIを選ばなかった理由」 logmi.jp/tech/articles/… 昨年9月開催のIIJ Technical NIGHT vol.9で登壇した #セキュリティ 本部 守田 瞬の講演がログミーの記事になりました。 全2回で、後半はDDos攻撃の観測方法について紹介。:
Masafumi Negishi retweeted:
「IIJのSOCアナリストが検知と分析のサイクルを回すわけ DDos攻撃検知にAIを選ばなかった理由」
logmi.jp/tech/articles/…
昨年9月開催のIIJ Technical NIGHT vol.9で登壇した #セキュリティ 本部 守田 瞬の講演がログミーの記事になりました。
全2回で、後半はDDos攻撃の観測方法について紹介。

SYN/ACK Reflection攻撃はTCPの3wayハンドシェイクを悪用したものになります。リフレクション型の攻撃なので登場人物は3人。攻撃者とリフレクターと、被害者にあたる攻撃対象です。

攻撃者は何をするかというと、3wayハンドシェイクをしようと試みます。SYNパケットの送信元はIPスプーリングになるんですが、これは攻撃するサーバーのIPアドレスとか、ルーターだったら、そのルーターだったりとかに偽装されています。

リフレクターは、送信元が偽装されたSYNパケットが悪性かどうかというのは基本的に判断できないので、3wayハンドシェイクのルールに則って、素直にそのSYN/ACKパケットを偽装されたIPアドレス宛に応答として返送します。

攻撃者がスプーフしたSYNパケットをリフレクターに送ることで、スプーフされたサーバーやルーターにSYN/ACKパケットが集中してしまうというのが、DDoS攻撃の原理になっています。量が多いとDDoS攻撃が成立しちゃうよね、というのが脅威のポイントです。

当時、攻撃者はボットネットなのか攻撃ツールなのかわからないところから、実際はリフレクターなので裏にサーバーがいるんですが、我々のお客さまのファイアウォールを通過するように、SYNパケットを投げつけてきました。先ほども言った通り、SYNパケットは攻撃対象側の宛先にスプーリングされているんですが、リフレクターはSYNパケットが悪性かどうかを判断することはできません。

なので、素直に被害者側にSYN/ACKパケットを応答していたという事象を我々は1年半前ぐらいに観測しました。ファイアウォールを通過しているので、ログは情報分析基盤のデータベースに集約されています。情報分析基盤から分析をすることで、この事象を発見したというのが、スタートになります。


2019年は、ひどいときには日に数件(通知が)上がっていたんですが、どんどん観測が増えてきて早く検知を自動化したいなということで、検知コードを情報分析基盤に仕込みました。こうすること自分が能動的に「今日はSYN/ACK Reflection攻撃あったかな?」と探さずに済むような仕組みが整ったわけです。

そうすることでこの図の通り、それ以降SYN/ACK Reflection攻撃されると自動的にログが情報分析基盤に集約されて、検知コードが反応すれば私に通知が来るようになりました。通知が来たら詳細な分析を行います。

もちろん、誤検知もたまにはあるので、しっかり調査していきながら、裏付けができたものに関してはみなさんのところに(情報が)届くようにwizSafe Security Signalで紹介しています。ブログを書いているだけではなくて、裏ではこういった検知ロジックも考えながら、調査もしながらやっていたというのが実はの話です。

中国の個人や企業の調査に役立つサイト / Useful websites for your investigation on Chinese individuals and companies(転載)


中国語のウェブサイトを調査するときの資料メモ archive.vn/3mqrm archive.vn/L0f4P: 中国語のウェブサイトを調査するときの資料メモ
archive.vn/3mqrm
archive.vn/L0f4P

中国の法制度やオンライン情報プラットフォームに関する知識が不足しているため、多くの欧州企業は、中国の個人や企業に関する調査をどこから始めればよいのかわからない。ここでは、中国に関する調査に役立つウェブサイトをいくつか紹介したいと思います。これらのサイトは、ほとんどの人がアクセス可能であり、情報のほとんどは無料です。

1.National Enterprise Credit Information Publicity System (国家企业信用信息公示系统)


この政府のウェブサイトは、私のお気に入りのウェブサイトの一つに属しています。あなたが調査している会社が中国で合法的に登録されている場合は、ここで見つけることができるはずです。登録資本金、法定代表者、設立日などの基本的な情報はもちろん、罰則履歴や業務不正記録などの情報も掲載されているので、この会社の基本情報をいくつか見つけることができます。このサイトに掲載されている情報はかなり信頼性が高いです。素敵な資料が必要な場合は、報告書全体をダウンロードすることもできます。欠点は、特に海外からアクセスしようとした場合、ウェブサイトへの接続が時々不安定になることがあることで、これは多くの中国政府のウェブサイトで共通の問題のようです。

2.Court Enforcement Information Publicity (中国执行信息公开网)


裁判所から不正な営業活動を行っていると認定された中国の個人や企業をまとめて検索できるサイトです。労働者に借金をしている企業かもしれないし、債権を滞納している人かもしれない。すでに債務を履行している人や企業は、ここにはもう出てこないだろう。問い合わせで対象物のID番号を追加しておくと、より正確な結果が得られます。

3.China Judgements Online (中国裁判文书网)


ここでは、中国の異なる地域の裁判所によって発行された現在の判決についての詳細な情報を見つけることができます。特定の裁判所の種類、特定の地域、さらには弁護士の名前を指定して検索することができ、特定の弁護士が扱った事件に興味がある場合に便利です。少数民族自治区の判決の中には、中国語以外の言語(モンゴル語、チベット語、ウイグル語、韓国語、カザフ語)での判決もあります。

4.Cninfo (巨潮资讯网)


中国のすべての公開企業は、財務報告書と定期的な発表をこのウェブサイトで公開することを義務付けられています。そこで、あなたの対象が中国本土の2つの証券取引所(上海証券取引所と深圳証券取引所)に上場している中国企業であれば、その企業のここ数年の最も重要な数字を見つけることができるはずです(香港に上場している中国本土企業の報告書もここで見つけることができます)。また、役員名で検索することで、上場企業に採用されているかどうかを確認することもできます。

5.QCC (private, qichacha, 企查查)


企業情報を提供する民間プラットフォームです。基本的な登記情報の他に、株主構成、受益者、営業許可証、特許情報などを見つけることができます。これは中国最大の情報提供者の一つです。彼らは、異なる権威のあるウェブサイトからデータをクロールして情報を収集し、はるかに良い方法で情報を可視化します。無料で登録して、ほとんどの情報を見ることができ、時には会員登録をして、よりカスタマイズされたサービスを受けることもできます。

6.Qixin (private, 启信宝)


QCCのプラットフォームとかなり似ていますね。企業によっては、給与分布や健康保険の加入者数などが掲載されている場合があります。しかし、このような情報は企業によっては常に入手できるわけではないし、あまり信頼性が高いとは言えません。

7.Tianyancha (private, 天眼查)


こちらも同様に信用情報の非公開プラットフォームです。ただ、海外のIPは専用のVPNを設定していないとアクセスできないようになっています。

これらの個人のウェブサイトは、オープンソースから情報をクロールするために非常に似た方法を使用しています。彼らは彼らのウェブサイト上でさえ非常に似たようなカテゴリを持っています。あなたが感じることができる最大の違いは、そこに異なるアルゴリズムを使用しているため、キーワードで情報を検索するときに表示される結果の数かもしれません。彼らは間違ったデータをクロールしている可能性がありますので、世界のすべてのそのような民間情報プロバイダと同様に、あなたはそこに取得した結果について注意する必要があります。上記の3つは、この分野での主要なものであり、より少ないミスをするが、どれもないわけではありません。あなただけのいくつかの基本的な情報を探している場合は、あなたが使用する1つの違いはあまりありません。しかし、株主構成や会社の家族構成など、より複雑な情報については、政府機関のサイトと比較して情報を検証した方が良いでしょう。そしてもちろん、会員価格も考慮すべき要素です。

しかし、中国に関する調査の最大の課題は、情報の入手のしやすさよりも言語だと思います。この課題を克服するためには、合理的な文章を得るために高度な翻訳者を必要とするだけでなく、彼らの名前がどのように構築されているか、どのように企業があなたの国と比較してどのように異なる構造を持っているかなどを理解する必要があります。あなたが中国の信用調査のための異なる方法とソースを持っている場合は、私と共有することを歓迎します。

マーケティングプラットフォームApollo.ioが不正アクセスを受け、1,100万件の個人情報が盗取&販売される / 11 million records of French users stolen from marketing platform and put for sale online(転載)~日本で起きた場合、想定損害賠償額は110億円程度か~


11 million records of French users stolen from marketing platform and put for sale online:

今回の流出により、数百万人のApollo.ioユーザーとその雇用者が、フィッシングやソーシャルエンジニアリング攻撃、ブルートフォース攻撃などの危険にさらされる可能性があります。

人気のハッキング・フォーラムのユーザーが、米国のセールス・エンゲージメントおよびデジタル・マーケティング企業であるApollo社から盗まれた約1,100万件のユーザー記録を含むとされるデータベースを販売しています。

流出したアーカイブに含まれるファイルには、データが盗まれたとされるフランス在住の10,930,000人のユーザーに関する、フルネーム、電話番号、位置座標、職場情報、ソーシャルメディアのプロフィールなど、さまざまな情報が含まれています。

この投稿者は、データがどのようにしてApollo社から流出したのかについて、追加情報を提供していません。また、Apollo社の顧客データベースのうち、フランス国内の部分だけでなく、それ以外の部分も脅威となる人物が保有しているのか、あるいは、以前にApollo社が被った不正アクセスから盗まれたデータなのかは不明です。

Apollo社に、このリークが本物であることを確認できるかどうか、また、ユーザーや顧客に警告を発しているかどうかを尋ねましたが、このレポートを書いている時点では、同社からの回答は得られていません。

自分のオンラインアカウントが他のセキュリティ侵害で公開されていないかどうかを確認するには、150億件以上の侵害記録を収録した個人情報漏洩チェックツールをご利用ください。

何が漏洩した?

流出したアーカイブから見たサンプルによると、Apollo社がLinkedInのプロフィールから収集した可能性のある、ユーザーの様々な主に職業上の情報が含まれているようです。

  • フルネーム
  • 個人および仕事上のEメールアドレス
  • 電話番号
  • ユーザーとその雇用者の位置座標
  • 現在および過去の雇用形態、詳細な雇用主情報などの職業データ
  • LinkedInプロファイルへのリンク

流出したデータの一例:

漏洩した会社はどこですか?

Apollo社は、サンフランシスコを拠点とするソフトウェア企業で、企業がマーケティング目的でコンタクトを取るべき新しい見込み客を識別、分析、発見するためのデジタルプラットフォームを開発しています。

Apollo社自身によると、同社は四半期ごとにセキュリティ監査を実施し、定期的に侵入テストを行い、侵入検知システムをオンラインで運用しているとのことです。そうは言っても、Apollo社がデータを流出させたのは今回が初めてではありません。2018年には、2億人のユーザー記録を含むデータベースが脅威主体に侵入されたことで、同社は批判にさらされました。

漏洩の影響は?

Apollo社のデータベースで見つかったデータは、情報が流出したユーザーや雇用者に対して様々な形で使用される可能性があります。

  • ターゲットを絞ったフィッシング攻撃の実施
  • 1,100万件の電子メールおよび電話番号へのスパム送信
  • 個人の電子メールアドレスやLinkedInのプロフィールのパスワードを強制的に変更する行為
  • 勤務先の企業ネットワークに侵入するために、勤務先の電子メールアカウントに侵入しようとする行為

今回流出したアーカイブには、社会保障番号、文書スキャン、クレジットカード情報などの機密情報は含まれていないようですが、電子メールアドレスだけでも、脅威をもたらすには十分な情報となります。

特に決意の固い攻撃者は、流出した情報を他の侵害事件のデータと組み合わせて、潜在的な被害者のより詳細なプロファイルを作成し、被害者やその雇用者に対してフィッシングやソーシャルエンジニアリングの攻撃を仕掛けたり、あるいは個人情報の窃盗を行ったりすることができます。

Next steps

フランスにお住まいの方で、今回の漏洩事件でご自身のデータが流出した可能性があると思われる方は、以下の点にご注意ください。

  • アポロの個人データ削除ページにアクセスし、プロのプロフィールを削除するよう依頼します。
  • 個人用と仕事用のメールアカウント、およびLinkedInアカウントのパスワードを変更します。
  • 強力なパスワードを作成し、それを安全に保管するために、パスワードマネージャーの使用を検討する。
  • すべてのオンラインアカウントで2ファクタ認証(2FA)を有効にする。

フィッシングの可能性のあるメールやテキストメッセージに注意してください。怪しいものをクリックしたり、知らない人に返信したりしないでください。

ロシアのサイバー犯罪のトップ3フォーラムがハッキングされる / Three Top Russian Cybercrime Forums Hacked(転載)


Three Top Russian Cybercrime Forums Hacked krebsonsecurity.com/2021/03/three-…: Three Top Russian Cybercrime Forums Hacked
krebsonsecurity.com/2021/03/three-…

過去数週間の間に、何千人もの経験豊富なサイバー犯罪者にサービスを提供しているロシア語のオンラインフォーラムのうち、最も長く運営され、最も称賛されている3つのフォーラムがハッキングされました。2つの侵入では、攻撃者は、電子メールやインターネットアドレス、ハッシュ化されたパスワードを含むフォーラムのユーザーデータベースを盗み出しました。3つのフォーラムのメンバーは、この事件が、複数の犯罪フォーラムにまたがる同じユーザーの実生活のアイデンティティを接続するための仮想的なロゼッタストーンになるのではないかと心配しています。

火曜日、何者かが何千ものユーザー名、メールアドレス、難読化されたパスワードをダークウェブ上に暴露しました。これは、10年以上にわたり、最も経験豊富で悪名高いロシアのサイバー窃盗団のホストを務めてきた排他的な犯罪フォーラム、Mazafaka (通称 "Maza", "MFclub")から盗んだものと思われます。

オンラインで流出した35ページのPDFのトップには、Mazaの管理者が使用したとされる秘密の暗号化キーがあります。データベースには、多くのユーザーのICQ番号も含まれています。ICQは、"I seek you "としても知られており、JabberやTelegramのようなプライベートネットワークが普及するまでは、このような古い犯罪フォーラムの初期の住人たちから信頼されていたインスタントメッセージのプラットフォームでした。

これは、特定のアカウントに紐付けられたICQ番号は、多くの場合、セキュリティ研究者が複数のアカウントを多くのフォーラムや異なるニックネームで同じユーザーに紐付けるために使用できる信頼性の高いデータポイントであることが多いため、注目すべき点です。

サイバーインテリジェンス企業のインテル471は、流出したMazaデータベースは合法的なものだと評価しています。

"ファイルは3,000行以上で構成され、ユーザー名、パスワードハッシュ、電子メールアドレス、その他の連絡先の詳細が含まれています。" インテル471は、Mazaフォーラムの訪問者が違反の発表ページにリダイレクトされていることを発見したと指摘しています。"流出したデータの初期分析では、流出したユーザー記録の少なくとも一部が当社の保有データと関連していたことから、その信憑性の高さが指摘されています。"

Mazaへの攻撃は、ロシアの犯罪フォーラムが略奪された数週間後に行われました。1月20日、ロシア語フォーラム「Verified」の長年の管理者が、コミュニティのドメイン登録機関がハッキングされ、サイトのドメインが攻撃者の管理するインターネットサーバーにリダイレクトされたことを明らかにしました。

"私たちの[ビットコイン]ウォレットがクラックされてしまいました。幸いなことに、多額の資金を保管していたわけではありませんが、いずれにしても不愉快な出来事です。状況が明らかになると、管理者は、理論的には、フォーラムのすべてのアカウントが侵害された可能性があると仮定しました(確率は低いですが、それはあります)。私たちのビジネスでは、それは安全に遂行する方が良いです。だから、私たちは全員のコードをリセットすることにしました。これは大したことではありません。単純にメモして、これから使うだけです。"

しばらくして、管理人はこう投稿を更新した。

"フォーラムのデータベースがハッキングされた時に 結局 除去されたというメッセージを得ています 全員のアカウントパスワードは 強制的にリセットされた あなたが知ってる人に この情報を渡して下さい フォーラムはドメインレジストラを通してハッキングされました。レジストラが最初にハッキングされた その後 ドメイン名サーバーが変更されて トラフィックを嗅ぎつけられた"

2月15日、管理者は、1月16日から20日の間にVerifiedのドメインレジストラをハッキングしたと主張する侵入者の代理として送信されたとみられるメッセージを投稿した。

"フォーラムの管理者がこの全体のセキュリティで許容できる仕事をしなかったことは、今までに明らかであるべきである "攻撃者は説明した。"ほとんどの場合、怠惰や無能のために、彼らはすべてを放棄しました。しかし、私たちにとっての主な驚きは、クッキー、リファラー、最初の登録のIPアドレス、ログイン分析、その他すべてのユーザーデータを保存していたことです。"

他の情報源によると、ビットコインの入出金に関する情報やJabberのプライベートな連絡先など、検証済みユーザー間の数万通のプライベートメッセージが盗まれたとのことです。

MazaとVerifiedの危殆化、そして3つ目の主要なフォーラムの可能性もあり、多くのコミュニティメンバーは実生活のアイデンティティが暴露されるのではないかと心配しています。Exploit - おそらくVerifiedに次ぐ規模と人気を誇るロシアのフォーラムも今週、明らかな漏洩が発生しました。

Intel 471によると、2021年3月1日、Exploitサイバー犯罪フォーラムの管理者は、同フォーラムが分散型サービス拒否(DDoS)攻撃から保護するために使用していたプロキシサーバーが未知の人物によって侵害された可能性があると主張しました。管理者は、2021年2月27日に監視システムがサーバへの不正なセキュアシェルアクセスとネットワークトラフィックのダンプを検出したと述べています。

一部のフォーラムの狂信者は、これらの最近の妥協は、いくつかの政府のスパイ機関の仕事のように感じると推測しています。

"諜報機関かサーバーの場所を知っている人だけが、このようなことができる "とExploitの大黒柱の一人はつぶやいています。"1ヶ月に3つのフォーラムというのは奇妙なことだ。通常のハッカーではないと思います。誰かが意図的にフォーラムを台無しにしているのです。"

他の人は、どのフォーラムが次に落ちるのか声を大にして疑問に思っており、ビジネスのために悪いかもしれないユーザー間の信頼の損失を嘆いています。

"おそらく、彼らは以下のロジックに従って動作します "とあるエクスプロイトユーザーは書いています。"フォーラムがなくなり、皆の間に信頼関係がなくなり、協力関係が希薄になり、パートナーを見つけるのが難しくなり、攻撃が減る。"

Update, March 4, 6:58 p.58 p.m. ET: Intel 471によると、最近攻撃を受けた第4の犯罪フォーラムがあったとのことです。これらの出来事について彼らが公開したばかりのブログ記事から。"2月には、別の人気のあるサイバー犯罪フォーラム、Crdclubの管理者は、フォーラムが攻撃を受け、その結果、管理者のアカウントが侵害されたと発表しました。そうすることによって、攻撃の背後にある行為者は、フォーラムの管理者によって保証されたとされる送金サービスを使用するために、フォーラムの顧客をおびき寄せることができました。それは嘘であり、フォーラムから流用される未知の金額をもたらしました。フォーラムの管理者は、だまされた人に返済することを約束しました。他の情報は攻撃で危険にさらされたように見えなかった"

インテリジェンスをうまく活用してる犯罪グループの事例(転載)~このメモの画像は中々に勉強になる~



インテリジェンスをうまく活用してる犯罪グループは対処するのがすごく大変そう。そしてこのメモの画像は中々に勉強になる。 《2階○金》《妻50代パート基本的に家》新手プロ窃盗グループの綿密「予習メモ」公開 「家族構成」から「間取り図」も #窃盗団 #文春オンライン bunshun.jp/articles/-/437…: インテリジェンスをうまく活用してる犯罪グループは対処するのがすごく大変そう。そしてこのメモの画像は中々に勉強になる。
《2階○金》《妻50代パート基本的に家》新手プロ窃盗グループの綿密「予習メモ」公開
「家族構成」から「間取り図」も #窃盗団 #文春オンライン bunshun.jp/articles/-/437…

「一家を丸裸にするような内容で、被害者が見たら震え上がるだろう。今の窃盗グループは昔の泥棒とは根本的に違う。高級住宅を狙って綿密に下調べをし、確実に大金を得られるように動いている」

メモには部屋の配置だけでなく、テレビの位置や扉の形状まで


2月にメモを公開した愛知県警の関係者はそう語る。メモには別居する娘が実家に帰る頻度や勤務先、乗っている車の特徴、ナンバーまで書かれていた。間取り図も詳細で、部屋の配置だけでなくテレビの位置や扉の形状まで網羅している。狙っていたのは金庫だろうか。「2階 ○金」という書き込みまであった。



県警は防犯の呼びかけなどを目的に公開したというが、一般人にこうしたプロの手口を防ぐ手立てがあるとは容易に想像しがたい。犯行は、綿密で大胆だ。

公開された資料の中には、押収メモだけでなく犯行グループを映した防犯カメラの映像もある。午前4時、愛知県内の真っ暗な住宅街にヘッドライトを消した1台の白い車が止まる。出てきた2人の男は1軒の豪邸の塀にとりついて中をうかがうと、1分ほどで立ち去った。そこにもまた、犯罪者たちの周到な準備の様子が見て取れる。

「犯行の下見と思われます。人目に付かないように深夜から早朝にかけて行うことが多いようですが、これとは別に昼間の明るい時間にスマホで撮影する場面を映したものもありました」

狙われるのは医者や会社役員、風俗店経営者たち


愛知県は長年、住宅を狙った侵入盗の被害件数が全国ワーストだった。昨年、件数こそワーストを脱却したが、被害総額6億円は全国最多。1件当たりの被害が大きく、それだけ高所得者が被害に遭っている実態がある。

「犯行グループが狙うのは、医者や会社役員、風俗店経営者たちです。所得が高く、自宅に多額の現金や貴金属、高級腕時計などがある場合が多いからでしょう。こうしたリストなどを扱う『情報屋』は闇で出回っている名簿や被害者の関係者や内部からの情報を犯行グループに流し、成果の一部を対価として受け取っているわけです」

投資用マンションや別荘購入者など高所得層が並ぶ名簿は闇で流通し、しばしば振り込め詐欺グループが使うこともある。愛知県警が押収した犯行メンバーのスマートフォンには、情報屋から実行犯に向けたSNSのやり取りも残されていた。

「一軒家80代のばあさん一人暮らし」

「200万で50%ずつです」

「空き案件で東京ですが、誰か行く人いませんか」

窃盗グループはこうした情報をもとに狙いを定め、下見などの準備に入る。使う車には偽造ナンバープレートを取り付け、バールなどの侵入のための工具や目立ちにくい黒の服、連絡用のインカムを用意する。そして実行に移すわけだが、実行犯同士のやり取りもまた生々しい。

「現金の有無とか分かるわけではないから、基本は数をこなさないと(利益は)上がらない」

「北の内偵入っているから市内合流でいい?」

室内で犯行グループとばったり鉢合わせたら……


実際の犯行は、短時間で手際よく済ませることが重要だ。こうしたグループによる事件を分析すると、見張り役が車の中で待機し、侵入役が玄関をバールでこじ開けたり、窓ガラスを割ったりして中に入るケースが大半だという。あとは金庫を丸ごと運び出し、装飾品や腕時計など値の張る小物貴金属をまとめて袋に詰めて逃げるだけだ。

窃盗犯罪の手口に詳しい別の警察関係者は「奴らは綿密で細かい準備をするが、犯行は大胆でもある。警備会社が提供するセキュリティーシステムがあっても平気で侵入する。警報が作動しても短時間でやれば逃げられる。それが一番効果的だと知っているのだろう」とうなる。

こうした手練れのグループは、暴力団と通じているとの指摘もある。そして先のSNSのやり取りにもあったように、利益を得るために次々とターゲットを見つけては組織的に犯行を繰り返す。