こちらはZoomeyeでの調査。実はヘッダにこうやってバージョンが載ってきてしまうようで、この情報を分析すればターゲットを絞れる可能性があります。もっとも、脆弱性自体は1年前…orz
インターネットに晒されている機器を調べるサイト【ZoomEye】
JNSAの損害賠償額算出式は正しいのか?~実際の判例をもとに検証してみる~
企業が情報漏洩を起こした際、JNSAの損害賠償額算出式を用いた想定損害賠償額を算出しているが、これって妥当なのだろうか?
先日、とある判例の話を聞けたので、それを基に検証してみたい。
【インシデント概要】
・不正アクセスによる個人情報流出
-最大1万6798件の個人情報、うち7316件はクレジットカード情報
・流出した情報(赤字個所は特に損害賠償額に大きく響く項目)
-名前
-住所
-電話番後
-メールアドレス
-クレジットカード番号(番号、名義、有効期限、セキュリティコード含む)
-性別
-生年月日
-パスワード
・カード流出に関わる1件当たりの想定損害賠償額:78,000円
⇒7,316件なので、計570,648,000円(約5.7億円)
【流出企業における実際の損害額】
・SQLインジェクションを抱えたポンコツシステムの開発費:約2,100万円
・顧客への謝罪費用(クオカード):約1,900万円
・顧客からの苦情処理費用:約500万円
・調査費用(主にフォレンジック):約400万円
・営業損失:約6,000万円
・その他:約50万円
------------------------------
計約1.1億円
ん~。損害賠償額算出式の方がかなり上振れているな。。。
とはいえ、クレジットカードの有効期限とセキュリティコードまで流出しているので、この金額で済んだのは不幸中の幸いともいえるかもしれない。
裁判になるといろいろと細かいことが明らかになるので、興味深い。
シングルサインオン(SSO)とは~概要と実装方法を簡単に整理してみる~
先日、「こんなシングルサインオンの実装を検討しているのだが意見が欲しい」と言われ、資料を見ていたのだが、その内容はシングルサインオンとは遠くかけ離れた、ただの認証省略の仕組みだった。苦言を呈すことになったのは言うまでもないが、そんこともあり、簡単にシングルサインオンについて整理してきたい。
シングルサインオン(SSO)とは?
シングルサインオン(SSO)とは、1組のID・パスワードによる認証を1度行うだけで、複数のWebサービス・クラウドサービス・アプリケーションにログインできるようにする仕組み。
パソコンやスマートフォン、インターネットが普及し、1人でいくつものWebサービスやクラウドサービスを利用する方が増えています。以前は、これらを利用する際、サービス・アプリケーションごとに認証を行っていました。一方、これらのサービス・アプリケーションがシングルサインオンに対応していれば、認証が1回ですむようになります。
シングルサインオン(SSO)を実現する方法
代行(代理)認証方式
クライアントのパソコンにインストールした専用のエージェントが、ユーザーの代理でID・パスワードを打ち込む方式です。エージェントはパソコンに常駐し、各サービス・アプリケーションのログイン画面が起動するのを検知し、自動的にID・パスワードを入力します。
リバースプロキシ方式
リバースプロキシと呼ばれる中継サーバー上で認証を行う方式です。リバースプロキシ上で認証を追加した場合に、その後ろにあるサービスにログインができるようになります。
エージェント方式
Webサービスの専用のエージェントモジュールを組み込んで、シングルサインオンを実現する方式です。エージェントはシングルサインオン用の外部サーバーと連携し、認証やアクセス権限のチェックを行います。
SAML認証方式
SAML(Security Assertion Markup Language)認証では、IdP(Identity Provider)とSP(Service Provider)と呼ばれる2つの構成要素で、シングルサインオンを実現する方式です。
ユーザーが対象のWebサービス(SP)へアクセスすると、SPはIdPへ認証要求(SAML)を送信します。すると、IdPがユーザーのパソコンやスマートフォンに専用のログイン画面を表示させ、認証を促します。認証が成功すれば、IdPはSPに対して認証応答(SAML)を送信し、SPがそれを受け取ると自動ログインを実行するという流れです。これによって1度認証が成功すれば、SAMLに対応する別サービスへ自動でログインできるようになります。
メリット
メリット1.利便性が向上する
たくさんのWebサービス・アプリケーションを使っていると、認証の際に利用するID・パスワードの組み合わせもそれだけ増えることになり、管理に手間もかかります。また、各サービス・アプリケーションを利用する際に、いちいちログイン作業をしなくてはなりません。
一方、利用するWebサービス・アプリケーションがシングルサインオンに対応していれば、ID・パスワードの組み合わせは1つですむようになります。その上、それらWebサービス・アプリケーションの認証は1回だけ行えばよいので、より便利に利用できるようになるのです。
メリット2.パスワード漏洩のリスクが低くなる
利用すべきID・パスワードの組み合わせが増えると、その管理がおろそかになるものです。たとえば複数のサービス・アプリケーションで同じID・パスワードを使い回したり、付箋などに書いてパソコンに貼ったりする方も多いでしょう。覚えるのが面倒になり、推測されてしまいやすい簡単なパスワードを設定している方もいます。
一方、シングルサインオンを利用すれば、管理すべきID・パスワードの組み合わせは1つだけですむので、覚えるのも簡単になり管理の手間もかからなくなるわけです。そのため付箋に書いたメモを誰でも見られるようなところに置いたりすることはなくなり、適切に管理されやすくなります。ある程度複雑なパスワードを作成したとしても、1つだけなら覚えるのは苦ではないでしょう。
これらのことから、シングルサインオンを導入することによって、パスワード漏洩のリスクが減るわけです。
デメリット
デメリット1.パスワードが漏えいすると重大なセキュリティリスクにつながる
シングルサインオンで利用するID・パスワードが万が一漏洩してしまうと、そのID・パスワードを利用するサービス・アプリケーションが全て不正利用されるリスクにさらされることになります。
デメリット2.システムが停止すると関連するサービスにログインできなくなる
シングルサインオンは、特定のシステムによって認証情報が管理されています。そのため仮にその管理システムがダウンした場合、シングルサインオンでログインできるように設定している全てのサービス・アプリケーションが使用できなくなる可能性があります。
デメリット3.コスト
シングルサインオンを実現するためには、自社サーバーに専用のソフトウェアをインストールするオンプレミス型のタイプと、専用のクラウドサービスを利用するタイプがあります。オンプレミス型は特に初期導入時のコストが高額となる可能性がある一方、クラウド型は導入時のコストは少なくてすむものの、毎月の費用がかかるため利用期間が長くなれば、それだけコストがかさむことになります。
保険見直し~がん治療は通院がメインなので通院保障が重要!?~
昔、保険会社による保険金未払い事件が多発した影響からか、毎年契約しているすべての保険会社から、現在の保険内容の確認やら、見直しやら、住所が変わっていないかやらの手紙が送られてくる。
そんな中、医療保険を契約している会社から保険内容の見直しの案内があり、がん保険の通院保障オプションの案内を見て、2019年に参加したお金のEXPOのことを思い出した。
がん保険は、昔は長期入院の伴う長い闘病生活のイメージだったが、今は長期入院せず、通院による治療がメインとなっていることから、入院保障だけではなく、通院保障が重要だという話を元SKE48の矢方 美紀さんが自身の闘病経験を踏まえて話してくれていたのだった。
やばい。今2021年なので、2年も放置してしまっていた。
幸いまだガンにはなっていない模様なので、とっとと入っておこう。
さっそく保険会社に電話して、契約内容見直しの依頼をかけた。
人生40年近く生きてきて、何となく保険との付き合い方が分かってきた気がする。
保険は早く入っておいたほうがいいとか、生涯で払う保険金は同じなのでいつでもいいとか、そもそも入る必要がないとか、いろいろ意見があるが、個人的な今のスタンスは下記である。
ちなみに掛け捨ての医療保険の話ね。
保険は若いうちに(安い保険に)入るべきである。
保険は若いうちに入ったほうが良い。高齢になってから入っても生涯で払う保険金は同じだが、若いうちに入ったほうが保険料が安く、精神的な負担額は軽く済む。
保険は入る必要がないという人がいるが、そういう意見もアリだと思う。個人的にはお守り替わりで済む程度の金額にし、万一保険料が支払われない事態になっても「しゃーない」と思える金額(=月額2000円以下)で保険に入った。
また、当然ながら保険会社の選択に際してはネットライフ生命のようなオンライン保険会社にするべきである。
テレビで有名人を起用したCMを放送しているような保険会社は厳禁である。
理由は簡単で、CM代金や有名人のギャラが保険料の跳ね返って非常に割高だからである。
かしこい人はオンラインの保険会社を選択し、情弱者はCM等で知名度の高い(割高な)保険会社を選択するのである。
諸々の情勢変化で年1.5%の保険料増加は見込むべき
医療は進歩している。
それに伴い、保険は変わる。
自分が初めて保険に入った際には無かったが、その後出てきたキーワードとして、「先進医療」とか「通院保障」がある。
これらは保険加入時には無かったため、結果として追加の保険料を払って追加する形態となる。
最初の保険加入時は1,800円/月くらいだったが、先進医療特約を付けたり、がん通院保障をつけたり、必要なオプションを追加していった結果、約15年の時を経て2,500円/月となった。
オプションで保険料が上がっていくことを考慮し、最初の保険加入時は必要最小限の保険にしておいたほうが良い。
保険は保険料控除の枠で十分
自分は若い頃にバイクで事故った際、保険が期待した働きをしなかったことから、基本的には保険に対して懐疑的な立場である。
そのため、最初の保険に入る際、どの程度の掛け金にすべきを考えた際に、たどり着いた一つの結論が「保険料控除の枠で十分」である。
つまり、介護医療保険、生命保険、年金保険、共に、それぞれ80,000円/年で十分である。
これ以上は保険料控除の枠から外れるし、保険料を払いすぎていると考えてもよいのではと思っている。
DDoS攻撃(SYN/ACK Reflection攻撃)の仕組み(転載)
Masafumi Negishi retweeted:
「IIJのSOCアナリストが検知と分析のサイクルを回すわけ DDos攻撃検知にAIを選ばなかった理由」
logmi.jp/tech/articles/…
昨年9月開催のIIJ Technical NIGHT vol.9で登壇した #セキュリティ 本部 守田 瞬の講演がログミーの記事になりました。
全2回で、後半はDDos攻撃の観測方法について紹介。
logmi.jp/tech/articles/…
昨年9月開催のIIJ Technical NIGHT vol.9で登壇した #セキュリティ 本部 守田 瞬の講演がログミーの記事になりました。
全2回で、後半はDDos攻撃の観測方法について紹介。
SYN/ACK Reflection攻撃はTCPの3wayハンドシェイクを悪用したものになります。リフレクション型の攻撃なので登場人物は3人。攻撃者とリフレクターと、被害者にあたる攻撃対象です。
攻撃者は何をするかというと、3wayハンドシェイクをしようと試みます。SYNパケットの送信元はIPスプーリングになるんですが、これは攻撃するサーバーのIPアドレスとか、ルーターだったら、そのルーターだったりとかに偽装されています。
リフレクターは、送信元が偽装されたSYNパケットが悪性かどうかというのは基本的に判断できないので、3wayハンドシェイクのルールに則って、素直にそのSYN/ACKパケットを偽装されたIPアドレス宛に応答として返送します。
攻撃者がスプーフしたSYNパケットをリフレクターに送ることで、スプーフされたサーバーやルーターにSYN/ACKパケットが集中してしまうというのが、DDoS攻撃の原理になっています。量が多いとDDoS攻撃が成立しちゃうよね、というのが脅威のポイントです。
当時、攻撃者はボットネットなのか攻撃ツールなのかわからないところから、実際はリフレクターなので裏にサーバーがいるんですが、我々のお客さまのファイアウォールを通過するように、SYNパケットを投げつけてきました。先ほども言った通り、SYNパケットは攻撃対象側の宛先にスプーリングされているんですが、リフレクターはSYNパケットが悪性かどうかを判断することはできません。
なので、素直に被害者側にSYN/ACKパケットを応答していたという事象を我々は1年半前ぐらいに観測しました。ファイアウォールを通過しているので、ログは情報分析基盤のデータベースに集約されています。情報分析基盤から分析をすることで、この事象を発見したというのが、スタートになります。
2019年は、ひどいときには日に数件(通知が)上がっていたんですが、どんどん観測が増えてきて早く検知を自動化したいなということで、検知コードを情報分析基盤に仕込みました。こうすること自分が能動的に「今日はSYN/ACK Reflection攻撃あったかな?」と探さずに済むような仕組みが整ったわけです。
そうすることでこの図の通り、それ以降SYN/ACK Reflection攻撃されると自動的にログが情報分析基盤に集約されて、検知コードが反応すれば私に通知が来るようになりました。通知が来たら詳細な分析を行います。
もちろん、誤検知もたまにはあるので、しっかり調査していきながら、裏付けができたものに関してはみなさんのところに(情報が)届くようにwizSafe Security Signalで紹介しています。ブログを書いているだけではなくて、裏ではこういった検知ロジックも考えながら、調査もしながらやっていたというのが実はの話です。
中国の個人や企業の調査に役立つサイト / Useful websites for your investigation on Chinese individuals and companies(転載)
archive.vn/3mqrm
archive.vn/L0f4P
中国の法制度やオンライン情報プラットフォームに関する知識が不足しているため、多くの欧州企業は、中国の個人や企業に関する調査をどこから始めればよいのかわからない。ここでは、中国に関する調査に役立つウェブサイトをいくつか紹介したいと思います。これらのサイトは、ほとんどの人がアクセス可能であり、情報のほとんどは無料です。
1.National Enterprise Credit Information Publicity System (国家企业信用信息公示系统)
この政府のウェブサイトは、私のお気に入りのウェブサイトの一つに属しています。あなたが調査している会社が中国で合法的に登録されている場合は、ここで見つけることができるはずです。登録資本金、法定代表者、設立日などの基本的な情報はもちろん、罰則履歴や業務不正記録などの情報も掲載されているので、この会社の基本情報をいくつか見つけることができます。このサイトに掲載されている情報はかなり信頼性が高いです。素敵な資料が必要な場合は、報告書全体をダウンロードすることもできます。欠点は、特に海外からアクセスしようとした場合、ウェブサイトへの接続が時々不安定になることがあることで、これは多くの中国政府のウェブサイトで共通の問題のようです。
2.Court Enforcement Information Publicity (中国执行信息公开网)
裁判所から不正な営業活動を行っていると認定された中国の個人や企業をまとめて検索できるサイトです。労働者に借金をしている企業かもしれないし、債権を滞納している人かもしれない。すでに債務を履行している人や企業は、ここにはもう出てこないだろう。問い合わせで対象物のID番号を追加しておくと、より正確な結果が得られます。
3.China Judgements Online (中国裁判文书网)
ここでは、中国の異なる地域の裁判所によって発行された現在の判決についての詳細な情報を見つけることができます。特定の裁判所の種類、特定の地域、さらには弁護士の名前を指定して検索することができ、特定の弁護士が扱った事件に興味がある場合に便利です。少数民族自治区の判決の中には、中国語以外の言語(モンゴル語、チベット語、ウイグル語、韓国語、カザフ語)での判決もあります。
4.Cninfo (巨潮资讯网)
中国のすべての公開企業は、財務報告書と定期的な発表をこのウェブサイトで公開することを義務付けられています。そこで、あなたの対象が中国本土の2つの証券取引所(上海証券取引所と深圳証券取引所)に上場している中国企業であれば、その企業のここ数年の最も重要な数字を見つけることができるはずです(香港に上場している中国本土企業の報告書もここで見つけることができます)。また、役員名で検索することで、上場企業に採用されているかどうかを確認することもできます。
5.QCC (private, qichacha, 企查查)
企業情報を提供する民間プラットフォームです。基本的な登記情報の他に、株主構成、受益者、営業許可証、特許情報などを見つけることができます。これは中国最大の情報提供者の一つです。彼らは、異なる権威のあるウェブサイトからデータをクロールして情報を収集し、はるかに良い方法で情報を可視化します。無料で登録して、ほとんどの情報を見ることができ、時には会員登録をして、よりカスタマイズされたサービスを受けることもできます。
6.Qixin (private, 启信宝)
QCCのプラットフォームとかなり似ていますね。企業によっては、給与分布や健康保険の加入者数などが掲載されている場合があります。しかし、このような情報は企業によっては常に入手できるわけではないし、あまり信頼性が高いとは言えません。
7.Tianyancha (private, 天眼查)
こちらも同様に信用情報の非公開プラットフォームです。ただ、海外のIPは専用のVPNを設定していないとアクセスできないようになっています。
これらの個人のウェブサイトは、オープンソースから情報をクロールするために非常に似た方法を使用しています。彼らは彼らのウェブサイト上でさえ非常に似たようなカテゴリを持っています。あなたが感じることができる最大の違いは、そこに異なるアルゴリズムを使用しているため、キーワードで情報を検索するときに表示される結果の数かもしれません。彼らは間違ったデータをクロールしている可能性がありますので、世界のすべてのそのような民間情報プロバイダと同様に、あなたはそこに取得した結果について注意する必要があります。上記の3つは、この分野での主要なものであり、より少ないミスをするが、どれもないわけではありません。あなただけのいくつかの基本的な情報を探している場合は、あなたが使用する1つの違いはあまりありません。しかし、株主構成や会社の家族構成など、より複雑な情報については、政府機関のサイトと比較して情報を検証した方が良いでしょう。そしてもちろん、会員価格も考慮すべき要素です。
しかし、中国に関する調査の最大の課題は、情報の入手のしやすさよりも言語だと思います。この課題を克服するためには、合理的な文章を得るために高度な翻訳者を必要とするだけでなく、彼らの名前がどのように構築されているか、どのように企業があなたの国と比較してどのように異なる構造を持っているかなどを理解する必要があります。あなたが中国の信用調査のための異なる方法とソースを持っている場合は、私と共有することを歓迎します。
マーケティングプラットフォームApollo.ioが不正アクセスを受け、1,100万件の個人情報が盗取&販売される / 11 million records of French users stolen from marketing platform and put for sale online(転載)~日本で起きた場合、想定損害賠償額は110億円程度か~
今回の流出により、数百万人のApollo.ioユーザーとその雇用者が、フィッシングやソーシャルエンジニアリング攻撃、ブルートフォース攻撃などの危険にさらされる可能性があります。
人気のハッキング・フォーラムのユーザーが、米国のセールス・エンゲージメントおよびデジタル・マーケティング企業であるApollo社から盗まれた約1,100万件のユーザー記録を含むとされるデータベースを販売しています。
流出したアーカイブに含まれるファイルには、データが盗まれたとされるフランス在住の10,930,000人のユーザーに関する、フルネーム、電話番号、位置座標、職場情報、ソーシャルメディアのプロフィールなど、さまざまな情報が含まれています。
この投稿者は、データがどのようにしてApollo社から流出したのかについて、追加情報を提供していません。また、Apollo社の顧客データベースのうち、フランス国内の部分だけでなく、それ以外の部分も脅威となる人物が保有しているのか、あるいは、以前にApollo社が被った不正アクセスから盗まれたデータなのかは不明です。
Apollo社に、このリークが本物であることを確認できるかどうか、また、ユーザーや顧客に警告を発しているかどうかを尋ねましたが、このレポートを書いている時点では、同社からの回答は得られていません。
自分のオンラインアカウントが他のセキュリティ侵害で公開されていないかどうかを確認するには、150億件以上の侵害記録を収録した個人情報漏洩チェックツールをご利用ください。
何が漏洩した?
流出したアーカイブから見たサンプルによると、Apollo社がLinkedInのプロフィールから収集した可能性のある、ユーザーの様々な主に職業上の情報が含まれているようです。
- フルネーム
- 個人および仕事上のEメールアドレス
- 電話番号
- ユーザーとその雇用者の位置座標
- 現在および過去の雇用形態、詳細な雇用主情報などの職業データ
- LinkedInプロファイルへのリンク
流出したデータの一例:
漏洩した会社はどこですか?
Apollo社は、サンフランシスコを拠点とするソフトウェア企業で、企業がマーケティング目的でコンタクトを取るべき新しい見込み客を識別、分析、発見するためのデジタルプラットフォームを開発しています。
Apollo社自身によると、同社は四半期ごとにセキュリティ監査を実施し、定期的に侵入テストを行い、侵入検知システムをオンラインで運用しているとのことです。そうは言っても、Apollo社がデータを流出させたのは今回が初めてではありません。2018年には、2億人のユーザー記録を含むデータベースが脅威主体に侵入されたことで、同社は批判にさらされました。
漏洩の影響は?
Apollo社のデータベースで見つかったデータは、情報が流出したユーザーや雇用者に対して様々な形で使用される可能性があります。
- ターゲットを絞ったフィッシング攻撃の実施
- 1,100万件の電子メールおよび電話番号へのスパム送信
- 個人の電子メールアドレスやLinkedInのプロフィールのパスワードを強制的に変更する行為
- 勤務先の企業ネットワークに侵入するために、勤務先の電子メールアカウントに侵入しようとする行為
今回流出したアーカイブには、社会保障番号、文書スキャン、クレジットカード情報などの機密情報は含まれていないようですが、電子メールアドレスだけでも、脅威をもたらすには十分な情報となります。
特に決意の固い攻撃者は、流出した情報を他の侵害事件のデータと組み合わせて、潜在的な被害者のより詳細なプロファイルを作成し、被害者やその雇用者に対してフィッシングやソーシャルエンジニアリングの攻撃を仕掛けたり、あるいは個人情報の窃盗を行ったりすることができます。
Next steps
フランスにお住まいの方で、今回の漏洩事件でご自身のデータが流出した可能性があると思われる方は、以下の点にご注意ください。
- アポロの個人データ削除ページにアクセスし、プロのプロフィールを削除するよう依頼します。
- 個人用と仕事用のメールアカウント、およびLinkedInアカウントのパスワードを変更します。
- 強力なパスワードを作成し、それを安全に保管するために、パスワードマネージャーの使用を検討する。
- すべてのオンラインアカウントで2ファクタ認証(2FA)を有効にする。
フィッシングの可能性のあるメールやテキストメッセージに注意してください。怪しいものをクリックしたり、知らない人に返信したりしないでください。
登録:
投稿 (Atom)