ロシア対外情報庁(SVR)が行なっているサイバーオペレーションとネットワーク管理者向けのベストプラクティス / Russian Foreign Intelligence Service (SVR) Cyber Operations: Trends and Best Practices for Network Defenders


ロシア対外情報庁(SVR)が行なっているサイバーオペレーションとネットワーク管理者向けのベストプラクティス "Russian Foreign Intelligence Service (SVR) Cyber Operations: Trends and Best Practices for Network Defenders" [PDF] us-cert.cisa.gov/sites/default/…: ロシア対外情報庁(SVR)が行なっているサイバーオペレーションとネットワーク管理者向けのベストプラクティス
"Russian Foreign Intelligence Service (SVR) Cyber Operations: Trends and Best Practices for Network Defenders"
[PDF] us-cert.cisa.gov/sites/default/…

SUMMARY

米連邦捜査局(FBI)と米国土安全保障省(DHS)は、ロシア対外情報庁(SVR)のサイバーアクター(Advanced Persistent Threat 29(APT29)、Dukes、CozyBear、Yttriumとも呼ばれる)が、今後もサイバー搾取を通じて米国および外国の企業から情報を得ようとしていると評価しています。

このサイバー搾取では、洗練度の異なるさまざまな初期搾取技術と、侵害されたネットワークへのステルス侵入技術が用いられます。

SVRは主に、政府機関のネットワーク、シンクタンクや政策分析機関、情報技術企業などを標的としています。

2021年4月15日、ホワイトハウスはSolarWindsの不正アクセスに関する声明を発表し、この活動がSVRによるものであることを明らかにしました。

FBIとDHSは、SVRのサイバーツール、ターゲット、テクニック、能力などの情報を提供し、組織が独自に調査を行い、ネットワークを保護するのに役立てています。

THREAT OVERVIEW


SVRのサイバー活動は、米国にとって長年の脅威となっています。

2018年以前には、複数の民間サイバーセキュリティ企業が、被害者のネットワークにアクセスして情報を盗むAPT 29の活動に関するレポートを発表しており、被害者のネットワーク内でステルス性を最大限に高めるためにカスタマイズされたツールを使用していることや、APT 29のアクターが検知されずに被害者の環境内を移動できることが強調されていました。

2018年以降、FBIは、SVRが被害者のネットワーク上でマルウェアを使用することから、クラウドのリソース、特に電子メールを標的にして情報を得ることにシフトしていることを確認しました。

改造したSolarWindsソフトウェアを使用してネットワークアクセスを得た後、Microsoft Office 365環境を悪用したことは、この継続的な傾向を反映しています。

クラウド・リソースを標的にすることで、被害者の組織が十分に防御、監視、理解していない環境において、漏洩したアカウントやシステムの誤設定を利用して、通常のトラフィックや監視されていないトラフィックに紛れ込ませることで、検知の可能性を下げていると考えられます。

SVR CYBER OPERATIONS TACTICS, TECHNIQUES, AND PROCEDURES


Password Spraying


2018年に行われたある大規模ネットワークの侵害では、SVRのサイバーアクターがパスワードスプレーを使用して、管理者アカウントに関連する弱いパスワードを特定しました。

このサイバー犯罪者は、検出を避けるためか、頻繁ではない間隔で少数のパスワードを試行し、「ロー&スロー」な方法でパスワードスプレー活動を行いました。

パスワードスプレーでは、住宅用、商業用、モバイル用、TOR(The Onion Router)用など、被害者と同じ国に存在する多数のIPアドレスが使用されました。

この組織では、侵害された管理者アカウントが多要素認証の要件から意図せずに除外されていました。

管理者アカウントにアクセスした行為者は、ネットワーク上の特定の電子メールアカウントの権限を変更し、認証されたネットワークユーザーであれば誰でもこれらのアカウントを読むことができるようにしました。

また、この設定ミスを利用して、管理者以外のアカウントを侵害していました。

この設定ミスにより、多要素認証に対応していない端末で、従来の単一要素認証によるログインが可能になりました。

これは、Apple社のメールクライアントやMicrosoft社のOutlookなどの旧バージョンのメールクライアントに見せかけるために、ユーザーエージェントの文字列を偽装することで実現したとFBIは考えています。

管理者以外のユーザーとしてログインした後、侵害された管理者ユーザーが適用した権限変更を利用して、被害組織内で関心のある特定のメールボックスにアクセスしました。

パスワードスプレーは様々なIPアドレスから行われていましたが、いったんアカウントにアクセスすると、そのアカウントは通常、リースした仮想プライベートサーバ(VPS)に対応する1つのIPアドレスからのみアクセスされます。

侵害されたアカウントに使用されたVPSの重複は少なく、後続の行為に使用されたリースサーバはいずれも被害組織と同じ国にありました。

アクセス期間中、行為者は常に管理用アカウントにログインしてアカウントの権限を変更しており、もはや関心がないと思われるアカウントへのアクセスを削除したり、追加のアカウントに権限を追加したりしていました。

Recommendations


この手法から身を守るために、FBIとDHSは、ネットワーク事業者に対して、クラウドコンピューティング環境へのアクセスを設定する際に、以下のようなベストプラクティスに従うことを推奨しています。

  • 構内および遠隔地のすべてのユーザーに対して、承認された多要素認証ソリューションの使用を義務付ける。

  • 組織が所有していないIPアドレスやシステムから管理機能やリソースへのリモートアクセスを禁止する。

  • メールボックスの設定、アカウントの権限、メール転送のルールを定期的に監査し、不正な変更の痕跡を確認する。

  • 可能であれば、強力なパスワードの使用を強制し、特に管理者アカウントでは、技術的手段により容易に推測されるパスワードやよく使われるパスワードの使用を防止する。

  • 組織のパスワード管理プログラムを定期的に見直す。

  • 組織のITサポートチームが、ユーザーアカウントロックアウトのパスワードリセットに関する標準作業手順を十分に文書化していることを確認する。

  • 全従業員を対象としたセキュリティ意識向上のためのトレーニングを定期的に実施する。

Leveraging Zero-Day Vulnerability


別の事件では、SVRのアクターが、仮想プライベートネットワーク(VPN)アプライアンスに対して、当時ゼロデイエクスプロイトであったCVE-2019-19781を使用してネットワークアクセスを取得しました。

ユーザー認証情報を公開する方法でデバイスを悪用した後、アクターは公開された認証情報を使ってネットワーク上のシステムを特定し、認証しました。

この行為者は、多要素認証を必要とするように設定されていない複数の異なるシステムに足場を築き、外国の諜報機関が関心を持つ情報に沿って、ネットワークの特定の領域にあるウェブベースのリソースにアクセスしようとしました。

最初の発見後、被害者は行為者を退去させようとしました。

しかし、被害者は最初のアクセスポイントを特定しておらず、行為者は同じVPNアプライアンスの脆弱性を利用してアクセスを再開しました。

最終的には、最初のアクセスポイントが特定され、ネットワークから削除され、アクターは退去しました。

前述のケースと同様、行為者は被害者と同じ国にある専用VPSを使用していましたが、これはおそらく、ネットワーク・トラフィックが通常の活動とは異なっているように見せるためでしょう。

Recommendations


この手法から守るために、FBIとDHSは、ネットワーク防御側が、エンドポイント監視ソリューションが、ネットワーク内での横方向の動きの証拠を特定できるように構成されていることを確認することを推奨しています。

  • ネットワークを監視し、エンコードされたPowerShellコマンドの証拠や、NMAPなどのネットワークスキャンツールの実行を確認する。
  • ホストベースのアンチウイルス/エンドポイントモニタリングソリューションが有効であり、モニタリングやレポートが無効になった場合、またはホストエージェントとの通信が合理的な時間を超えて失われた場合に警告を発するように設定されていること。
  • 内部システムへのアクセスに多要素認証の使用を求める。
  • テストや開発に使用するシステムを含め、ネットワークに新たに追加されたシステムは、組織のセキュリティベースラインに沿ってすぐに設定し、企業の監視ツールに組み込む。

WELLMESS Malware


2020年、英国、カナダ、米国の政府は、「WELLMESS」と呼ばれるマルウェアを使用した侵入行為をAPT29によるものだと発表しました。

WELLMESSは、プログラミング言語「Go」で記述されており、以前に確認された活動では、COVID-19ワクチンの開発を標的にしていたようです。

FBIの調査によると、最初にネットワークに侵入した後、通常はパッチが適用されていない一般に知られた脆弱性を利用して、犯人はWELLMESSを導入しました。

ネットワークに侵入すると、各組織のワクチン研究用リポジトリとActive Directoryサーバを標的にしました。

これらの侵入は、ほとんどが社内のネットワークリソースを標的としたものであり、これまでの手法とは異なるものでした。

今回の侵入に使用されたマルウェアの詳細については、これまでに公開されており、本文書の「リソース」の項で参照しています。

Tradecraft Similarities of SolarWinds-enabled Intrusions


2020年の春から夏にかけて、SVRのサイバーオペレーターは、改造したソーラーウインズのネットワーク監視ソフトウェアを最初の侵入経路として使用し、多数のネットワークへのアクセスを拡大し始めました。

SVRが信頼のおけるソーラーウインズ製品を改造して侵入経路として使用したことは、SVRのこれまでのトレードクラフトからの顕著な逸脱でもあります。

FBIの最初の調査結果によると、侵入に使われたインフラの購入・管理方法など、SVRが主催する他の侵入行為と感染後の手口が類似していることが判明しました。

SVRのサイバーアクターは、被害者のネットワークにアクセスした後、ネットワークを介して電子メールアカウントにアクセスしました。

複数の被害者組織で狙われたアカウントには、ITスタッフに関連するアカウントも含まれていました。

FBIは、サイバー犯罪者がITスタッフを監視することで、被害者のネットワークに関する有用な情報を収集し、被害者が侵入を検知したかどうかを判断し、退去措置を回避したのではないかと考えています。

Recommendations


信頼できるソフトウェアの侵害からネットワークを守ることは困難ですが、一部の企業では、最初の悪意のあるSolarWindsソフトウェアからの後続の悪用活動を検出し、防止することに成功しました。これは、以下のような様々な監視技術を用いて達成されました。

  • ログファイルを監査して、特権的な証明書へのアクセスの試みや偽の識別プロバイダの作成を特定する。

  • 暗号化されたPowerShellの実行を含む、システム上の不審な行動を特定するソフトウェアを導入する。

  • 侵害の行動指標を監視する機能を備えたエンドポイントプロテクションシステムを導入すること。
  • クラウド環境でのクレデンシャルの不正使用を特定するために、利用可能なパブリックリソースを使用する。
  • 新しいデバイスの登録など、システム上での特定のユーザー活動を確認するための認証メカニズムの設定。

被害組織の中には、最初のアクセス経路がソーラーウインズのソフトウェアであることを特定できたところはほとんどありませんでしたが、一部の組織では、さまざまな警告を関連付けて不正な活動を特定することができました。

FBIとDHSは、これらの指標と、ネットワークのセグメンテーションの強化(特に「ゼロトラスト」アーキテクチャやIDプロバイダー間の信頼関係の制限)とログの相関関係を組み合わせることで、ネットワーク防御者は追加調査が必要な疑わしい活動を特定できると考えています。

General Tradecraft Observations


SVRのサイバーオペレーターは有能な敵です。

上記の技術に加えて、FBIの調査では、侵入に使用されるインフラが、偽の身分証明書や暗号通貨を使って頻繁に入手されていることが明らかになっています。

VPSインフラは、VPS再販業者のネットワークから調達されることが多い。これらの偽装IDは、通常、一時的な電子メールアカウントや一時的なVoIP(Voice over Internet Protocol)電話番号など、評判の低いインフラによって支えられています。

SVRのサイバーアクターが独占的に使用しているわけではありませんが、SVRのサイバーペルソナの多くは、cock[.]liや関連ドメインでホストされた電子メールサービスを使用しています。

また、FBIは、SVRのサイバーオペレーターが、オープンソースの認証情報ダンプツール「Mimikatz」や、市販の悪用ツール「Cobalt Strike」など、オープンソースや市販のツールを継続的に使用していたと指摘しています。

Recommendations


FBIとDHSは、サービスプロバイダーに対し、サービスの悪用を防止するために、ユーザーの検証・確認システムを強化することを推奨しています。

コロニカル・パイプライン社が支払った500万ドルの身代金 / Ransomware victim Colonial Pipeline paid $5m to get oil pumping again, restored from backups anyway(転載)~早々に身代金を支払ったものの・・・~


コロニカル・パイプライン社が支払った500万ドルの身代金

Ransomware victim Colonial Pipeline paid $5m to get oil pumping again, restored from backups anyway – report

ランサムウェアの感染により、Colonial Pipeline社の経営者は、デジタルシステムの制御権を回復し、パイプラインから石油を供給するために500万ドルを支払ったと報じられています。

この支払いのニュースはBloombergが伝えたもので、Bloombergは匿名の情報源を引用しただけでなく、他の報道機関の匿名の情報源が今週初めにこのアメリカのパイプライン運営会社は身代金を支払うことはないだろうと言ったことを嘲笑しています。

"ワシントン・ポストやロイターなどのメディアが、同社が身代金を支払う意図は当面ないと報じました。ブルームバーグは、「これらの報道は匿名の情報源に基づいていた」とほくそ笑んでいますが、その一方で、「同社の取り組みに詳しい人物」という無名の人物を同じ言葉で表現することは避けています。

メディアの自画自賛はさておき、ジョージア州のColonial Pipeline Companyは、システムの制御権を取り戻すために身代金として500万ドルを支払ったと言われています。Bloombergは、おなじみの匿名の情報源を引用して、この支払い後に犯人が提供した復号化ユーティリティーは動作が遅いため、Colonial社は週末から引き続きバックアップからシステムを復元していると主張している。

ランサムウェアがファイルシステムに何かを隠していた場合に備えて、感染したコンピュータを消去して新たにやり直すべきだからです。

5月7日(金)にパイプラインが停止した原因については様々な憶測が飛び交っていますが、最も可能性が高いのは、パイプラインのポンプやバルブを制御する運用技術(OT)が危険にさらされたのではなく、石油の流れを監視し、その流れに基づいて請求記録を作成するバックオフィスシステムがランサムウェアによってKOされたということです。

石油を汲み上げることはできても、誰にどれだけの量を送っているのかがわからなければ、石油の受託サービス事業は大きな利益を逃し、エンジニアは安全性が重要なシステムがどれだけ消耗しているのかをすぐに見失ってしまいます。だからこそ、このようなシャットダウンが必要なのです。

Colonial Pipeline社によると、テキサス州ヒューストンとニューヨーク港の間で1日1億ガロンの精製燃料を輸送しており、これは米国東海岸で必要とされる全燃料の45%に相当する。パイプラインは、自動車やトラックの燃料、ジェット燃料、暖房用オイルなどを運んでおり、ガソリンが不足しているという報告もある。

ランサムウェア対策の専門企業であるEmsisoft社のBrett Callow氏は、今回報告された支払い額は比較的少額であると述べています。「公表されている最高額の要求は5,000万ドルであり、この事件が引き起こしている大規模な混乱とそのコストを考えると、500万ドルは驚くほど少額に思えます。しかし、もし本当に支払われているのであれば、重要なインフラがランサムウェアの標的になっていることは間違いないでしょう。ある分野が儲かるとわかれば、彼らは何度も何度もその分野を攻撃するでしょう」と述べています。

Colonialでは1ヶ月前に新しいサイバーセキュリティ・マネージャーを採用していました。その仕事に就いた者は、おそらく非常に興味深い数日間を過ごすことになるだろう。

このランサムウェア・ギャングはDarksideという名前で活動しており、欧米の情報セキュリティ企業は少なくとも12の異なる名前で追跡しています。昨年8月から活動を開始し、これまでに約80件の不正アクセスを行ったと言われています。先週、このパイプラインが止まり、FBIが関与することになったとき、このクルーの背後にいるロシア語を話す犯罪者たちは、自分たちはただビジネスをしているだけであり、他意はないと主張する声明をTorホストのブログを通じて発表した。

これを翻訳すると、アメリカ東海岸の液体炭化水素を供給する重要な技術を破壊して国際的な注目を集めた彼らを追跡して収容所に送らないよう、ロシア語圏の祖国の権力者たちに必死に訴えているようにも見える。

2021年にツイッターでフォローすべきサイバーセキュリティの専門家トップ21 / Top-21 Cybersecurity Experts You Must Follow on Twitter in 2021.


Cybersecurity Experts to Follow on Twitter:

サイバーセキュリティに関しては、専門家から学ぶことに勝るものはありません。業界のトップインフルエンサーから洞察を得ることは、アプリケーションセキュリティ戦略を最適化する上で非常に重要であることがわかります。そこで今回は、2021年にTwitterでフォローすべきサイバーセキュリティの専門家トップ21人をご紹介します。Magecart、Web-Skimming、Supply Chain Attacksなどの脅威を解明する時が来ました。

#1 Rafay Baloch

https://twitter.com/rafaybaloch
Rafay Balochは、倫理的ハッキングで広く知られる有名な情報セキュリティ専門家です。彼は、ゼロデイ脆弱性やWAFの欠陥など、大規模なセキュリティ上の脅威を特定することにかけては、最も信頼できるエキスパートです。また、自身のブログでは、モバイルやWebブラウザの脆弱性を明らかにし、セキュリティ関連のヒントを提供しています。


#2 Troy Hunt

トロイ・ハントは、著名な作家であり、Webセキュリティに関するPluralsightのコースに貢献しています。また、サイバーセキュリティをテーマにした技術会議で頻繁に講演を行っています。また、Haveibeenpwned? というウェブサイトで知られており、何百万人もの企業や個人のウェブユーザーが、自分の電子メールや携帯電話が改ざんされていないか、データが盗まれていないかを確認できるよう支援しています。

#3 Kevin Mitnick

ミトニックは、40の大規模組織をハッキングした罪で逮捕され、判決を受けた後、大企業や政府までも助けるホワイトハットハッカーとなりました。また、CNN、FOXニュース、BBCなどの放送局に頻繁に出演し、セキュリティ問題についての教育やコメントを行っています。また、KnowBe4社のオーナーとして、セキュリティ意識を高めるためのトレーニングプログラムを作成しています。

#4 Rachel Tobac

https://twitter.com/RachelTobac
ホワイトハット・ハッカーは、PayPal、Twitter、Uber、WhatsAppなどの顧客を持つサイバーセキュリティ企業、Social Proof SecurityのCEOです。彼女の会社では、参加者が自律的にウェブサイトをハッキングするソーシャルエンジニアリングのイベントを開催して、人々にセキュリティについての教育を行っています。攻撃を受ける側は、もちろん状況を十分に把握しています。

#5 Mikko Hyppönen

https://twitter.com/mikko
フィンランドのセキュリティ専門家であるミッコ・ヒッポネンは、いわゆる「ヒッポネンの法則」を考案したことで有名になりました。この法則は、あらゆる「スマートアプライアンス」には脆弱性があるというIoTルールです。彼は1991年からエフセキュアに勤務しており、彼の印象的な記事は「ニューヨーク・タイムズ」や「ワイアード」に掲載されています。Hyppönen氏は、スタンフォード大学、オックスフォード大学、ケンブリッジ大学でも講義を行っています。

#6 Katie Moussouris

https://twitter.com/k8em0
ムーサリスは、責任あるセキュリティ研究と脆弱性の公開を推進することで有名なセキュリティ専門家です。彼女は、米国国防総省のバグバウンティプログラムの創設に参加しました。バグバウンティプログラムは、個人がセキュリティを脅かすバグを報告することで、報酬や評価を得るというものです。ケイティ・ムソーリスは、Luta Securityの創設者でもあります。

#7 Bruce Schneier

ブルース・シュナイアーは、有名なセキュリティ技術者であり、ハーバード・ケネディ・スクールの講師でもあります。数多くのアプリケーション・セキュリティ関連の書籍を執筆・出版しているほか、自身のブログでもセキュリティ関連の動向を取り上げています。ブルース・シュナイアーは、EFF(電子フロンティア財団)のメンバーでもあり、いくつかの暗号アルゴリズムの開発に大きな役割を果たしています。

#8 Brian Krebs

正規のトレーニングを受けていないにもかかわらず、Krebsは最も世界的に認知されたサイバーセキュリティの専門家の一人となりました。クレブスは、ワシントンポスト紙の調査報道記者として、コンピュータセキュリティの話題やハッカーへのインタビューを行ってきました。現在、ブライアン・クレブスは、KrebsOnSecurityという自身のブログを運営し、企業のデータ漏洩を暴露しています。

#9 Jeremiah Grossman

ジェレマイア・グロスマンは、世界的に著名なサイバーセキュリティの専門家であり、WhiteHat Securityの創設者でもあります。ジェレマイア・グロスマンは、DefCon、ISACA、ISSAなどの技術系イベントで講演やワークショップを行っているほか、Washington Post、NBC Nightly News、USA Todayなどでサイバー犯罪に関する記事を頻繁に執筆しています。サイバーセキュリティに精通したプロフェッショナルである。

#10 Eugene Kaspersky

ユージン・カスペルスキーは、ロシアのサイバーセキュリティ専門家であり、彼の会社であるKaspersky Lab.で世界的な名声を得ています。彼の組織には約4,000人の従業員がおり、彼のアンチウイルス製品は4億人以上のユーザーを魅了しています。1997年にカスペルスキー・ラボを共同設立した彼は、現在も同社のCEOを務めており、12億ドルの純資産でフォーブスのリストに掲載されています。

#11 Dan Lohemann

ローヘマンは、有名なブロガーであり、講演者であり、メンターシッププログラムの貢献者であり、サイバーセキュリティについて専門家を教育するためのトレーニングコース、ワークショップ、セミナーを作成しています。また、ホワイトハウス、米国国土安全保障省、フォーチュン500社の代表者のセキュリティ基準の向上を支援するコンサルタントとしても活躍しています。

#12 Steve Morgan

モーガンは、定評のあるジャーナリストであり、サイバーセキュリティに関するテーマの研究者でもあります。毎年、サイバー犯罪の現状について、統計データを含めたレポートを作成している。彼のレポートは、さまざまな雑誌やジャーナル、その他のメディアで参照、引用されています。彼の使命は、彼が知っている情報を共有し、サイバーセキュリティの問題について彼の見解を述べることです。

#13 Tyler Cohen Wood

20年以上にわたりサイバーセキュリティに携わってきたウッドは、重要なインフルエンサーとなっています。彼女は、国防情報局、ホワイトハウス、連邦法執行機関に勤務し、政府のセキュリティプログラムをより効率的にするサイバーセキュリティポリシーを策定してきました。タイラーは、テレビ、ポッドキャスト、ラジオなどにも頻繁に出演しています。

#14 Graham Cluley

グレアム・クラウリーは、ソロモン博士のアンチウイルス・ツールキットの最初のバージョンを書いたことで有名なセキュリティ専門家です。現在では、自らの名前を冠したブログを開設し、サイバーセキュリティに関する最新のニュースやトレンドを発信しています。グラハム・クラウリーは、Microsoft Future Decoded、Web Summit、ISSAなどのサイバーセキュリティ関連のイベントで頻繁に基調講演を行っています。

#15 Theresa Payton

テレサ・ペイトンは、業界をリードするセキュリティ専門家であり、サイバー防衛、サイバー犯罪を扱い、教育を提供するFortalice SolutionsのCEOです。また、サイバーセキュリティ企業であるDark Cubed社の共同設立者でもあります。テレサは、スピーカーや講師として技術会議に参加したり、ソーシャルメディアや雑誌で知識を披露したりしています。

#16 Shira Rubinoff

Shira Rubinoffは、ITセキュリティの専門家であり、サイバーセキュリティ企業を2社設立しています。フォーチュン100社の企業に対して、セキュリティやビジネス開発に関するコンサルティングサービスを提供しています。また、このテーマに関する数多くの記事や講演の著者としても知られています。また、ニューヨークを拠点とするテクノロジーインキュベーターの社長も務めています。

#17 Eva Galperin

ガルペリンは、EFFのサイバーセキュリティ部門のディレクターを務めています。EFFのサイバーセキュリティ担当ディレクターであるガルペリンは、サイバーセキュリティ問題の透明性を提唱しており、アップル社やアンドロイド社の携帯電話メーカーに対して、端末上でストーカーウェアが検出された場合、ユーザーに警告を発するよう働きかけています。エヴァは、すべての人、特に弱い立場にある人たちにプライバシーとセキュリティを提供するための政策を策定することに尽力しています。

#18 Marcus J. Carey

マーカス・J・ケアリーは、サイバーセキュリティの専門家として広く知られています。ReliaQuest社のシニアエンタープライズ・アーキテクトとして、業界や国を問わず、サイバーセキュリティを強化するソリューションを開発しています。主に、効率性、アクセス性、パフォーマンスの向上を目的とした、クラウドをベースとしたサイバーセキュリティソリューションを担当しています。

#19 Jayson E Street

Jayson E Streetは、InfoSec社の情報セキュリティ担当副社長として、サイバーセキュリティに関するセミナーやワークショップの企画・制作を行っています。また、「Dissecting the Hack」という自身のウェブサイトでは、サイバーセキュリティについて人々に教え、この分野の最新情報を共有することに専念しています。彼のチャンネルには何千人もの情報セキュリティの専門家が集まってくる、真の教師です。

#20 Paul Asadoorian

ポール・アサドリアンは、サイバーセキュリティやハッキングの話題を扱うポッドキャスト「Security Weekly」の創始者として広く知られています。また、「Tenable」誌にも寄稿しており、セキュリティの脆弱性に関する資料を作成しています。また、RSA、Derbycon、SOURCE Conferenceなどの技術イベントにも頻繁に参加しています。

#21 Adam K. Levin

アダム・K・レビンは、セキュリティの提唱者であり、データ漏洩に備えて企業のアイデンティティ管理を行うCyberScout社の創設者でもあります。彼は数多くのカンファレンスでサイバーセキュリティ、個人の財務管理、信用の問題などについて語るスピーカーとして愛されています。アダムが関心を寄せているのは、IoTとサイバー詐欺が拡大する世界でのデータ保護です。

OSINTツールリスト~不定期更新中~


Search Engines

Dark Web Search Engines(ダークウェブ)

People Search

Phone Number Search(電話番号検索)







データ漏洩調査のためのOSINTリソース / 20+ OSINT resources for breach data research(転載)


20+ OSINT resources for breach data research:

ここ数週間、データの漏洩・流出が話題になっています。

何人かの読者から、侵害データの話題を調べるための良い情報源についての質問が寄せられました。

侵入や漏洩への直接的なリンクを掲載することには抵抗がありますが、侵入データのOSINTについて適切なレベルの洞察を得ることができるようなリソースのリストを作成することにしました。

これらは、私が過去に使用したもので、少なくともこの記事を書いている時点では動作することを確認しています。

  • https://breachalarm.com/ – 無料プランでは電子メールを確認し、漏洩データの記録と照合することができます。有料プランでは、新たに浮上したメールを題材にしたリーク情報をアラートで通知することができます。

  • https://breachchecker.com/ – 無料のツールでありながら、きちんとしたレベルの漏洩データの詳細を表示します。
  • https://dehashed.com/ – 基本検索は無料です。詳細情報は有料。

  • https://ghostproject.fr/ – 有料のリソースです。すべての機能を無料で使用することはできません。

  • https://www.globaleaks.org/ – 「安全な内部告発プラットフォーム」として宣伝されている、フリーでオープンソースのソフトウェア。ローカルでのインストールが必要です。

  • https://haveibeenpwned.com/ – 無料。最も認知度が高く、最も歴史のある侵害データレポジトリの一つ。多種多様なソースからのデータセットが含まれています。

  • https://haveibeenzucked.com/ – 無料で提供しています。具体的には、2019年のFacebookデータ流出に詳細が存在するかどうかを確認するためのものです。それ以外には使えません。

  • https://intelx.io/ – 検索エンジンとデータアーカイブを組み合わせたものです。無料プランと有料プランがある。

  • https://leakcheck.net/ – 無料プランでは限定的な検索が可能。詳細な検索には有料プランが必要です。

  • https://leakedsource.ru/ – 有料サービス。ロシアのトップレベルドメイン。いくつかの古い、失われた違反データソースのインデックスを再作成すると主張しています。暗号通貨による支払い。

  • https://leak-lookup.com/ – 無料で検索できますが、詳細な検索結果を得るためには、ビットコインやモネロで購入できるクレジットを使用する必要があります。

  • https://leakpeek.com/ –  無料で検索できますが、詳細な情報を得るには有料会員になる必要があります。

  • https://nuclearleaks.com/ – 無料だが、遅く、古く、定期的に更新されていない。ナビゲーションが難しく、良い結果を得るのが難しい。

  • https://psbdmp.cc/ – データダンプサイトは、APIキーを使用して検索できます。

  • https://psbdmp.ws/ – 上と同じ

  • https://scatteredsecrets.com/ – パスワード漏洩の通知と防止サービス。1メールは無料。複数のメールアドレスを監視するには、有料プランが必要です。

  • https://services.blackkitetech.com/data-breach – は、無料でメールの検索と検証ができるプレミアムサービスのサブドメインです。詳細な結果は有料となります。

  • https://snusbase.com/ – 有料のリソースです。電子メール、IPアドレス、ユーザー名、ハッシュなどの様々なデータを検索することができます。より多くの機能を開発中です。暗号通貨による支払い。

  • https://wikileaks.org/-Leaks-.html – 最も有名なリークサイトの一つ。現在はあまりメンテナンスが行われておらず、古いリークデータを見ることができます。

FIREに向けたセミナーを聞いてみる~区分で実現するには、まず1戸目の完済が重要~


先日、日本財託のオンラインセミナーに参加した。

投資の話に簡単に儲かる上手い話は無い。

個人的には「簡単に儲かる」=「ハイリスク」だと思っているので、仮にその方法で短時間に資産を100倍にしたとしても、同様に短時間で巨額な損失を被るものである。

現在、私が投資関連で信用しているのは、今回セミナーに参加した日本財託(区分投資)ウラケンさん(不動産投資全般)小次郎講師(株式投資全般)内藤忍さん(インデックス投資)といった方々である。

ちなみに日本財託は「コツコツ」や「まめまめしく」というワードが良く出てくるが、これが個人的には性に合っているようで好きである。

今回のセミナーでひとつ勉強になったことがある。

下の図は不動産投資会社と面談をする際に聞いておくべきことのサンプルであるが、「いま販売を停止しても、会社は成り立つかどうか」である。


以前、とある不動産投資会社と面談した際、「管理委託料は1,000円です」と言われ、漠然とした不安を感じたことがあった。安い分にはよいのだが、いざというときにちゃんと動けるのだろうか?

そうした不安を抱えつつも、1,000円が妥当なのかを確認する良い質問が出せず、納得せざるを経なかったことがある。

それに対する解が「いま販売を停止しても、会社は成り立つどうか」である?

つまり、販売を停止すると会社が傾くような会社は管理をオマケ的な位置づけでやっているので、長期のパートナーとして不適切ということである。

日本財託は管理手数料3,000円くらい取る気がしたが、管理委託業務の質を考えると個人的には妥当と考えている。

今回のセミナーでは、珍しく、FIREを実現した事例の紹介があった。


こういう事例は非常に参考になる。

業者が作ったイメージ図ではなくて、実績ですからね。

ちなみに、先日見たウラケン不動産の下記の動画を中古区分マンションで実現した構図になっており、個人的には大きなモチベーションアップになった。


前々から言われて分かっていることだが、まずは1戸目の完済が重要である。

バックアップ

マリオットのポイント購入30%割引セール(2021年5月13日~6月30日)と現状のマイル整理

マリオットのポイント購入セールが開始。

今回は増量セールではなく、割引セールとなっている。

これまでの実績は下記の通り。

開始時期セール内容
2019年4月25%割引
2019年9月30%割引
2019年11月30%割引
2020年2月50%ボーナス
2020年5月60%ボーナス
2020年9月50%ボーナス
2020年11月60%ボーナス
2020年11月延長50%ボーナス(会員によっては60%)
2021年2月40%ボーナス(会員によっては50%)
2021年5月30%割引

30%割引は割引率としては最も高い部類に入る。

今回1万ポイント買うとした際の費用感は下記となる。




手ごろな感じがするが、ちょっと引っ越しを控えていて、出費を抑えたいため、今回は見送る方向で。。。

ちなみに、個人的にはホテルマイルには興味ありません。

んじゃ、何故にマリオットのポイントセールを気にするのか。

実は数少ないJALマイルの購入手段でもあるからである。

基本はマリオット:JAL=3:1となる

駄菓子菓子(だがしかし!)

マリオット60,000ポイントを交換するとボーナスポイントが発生し、JAL25,000マイルに生まれ変わる。

一般的なバイマイルのレートとしてはあまりよくないのだが、JALマイル調達の観点で考えると数少ない購入の機会なのである。

現状武漢ウイルスの蔓延により海外旅行に行く計画は全く持って立っていないのだが、マリオットのポイントは有効期限があるため、定期的に購入しないとポイントが消滅するため、継続的な購入が必要である。

ちなみに購入先は下記

https://storefront.points.com/marriott/ja-JP/buy

ポイント数を選んで氏名、会員番号、メールアドレスを入力して決済すればOKです。

ところで現状のマイルはどうなっているのだろうとふと気になったので、ここで整理してみたいと思う。

【2021/5/16時点のJALマイル状況】

・JALマイレージバンク:104,039マイル
 ※有効期限:3年
 ※21年末に東南アジア方面の特典航空券発行のため、若干減少

・モッピー:45,903ポイント(≒22,900マイル)
 ※有効期限:最後にポイント獲得した日から180日

・永久不滅ポイント:8,850ポイント(≒22,125マイル)
 ※有効期限:無し
 ※200永久不滅ポイント⇒JAL500マイル

・JREポイント:15,000ポイント(≒10,000マイル)
 ※有効期限:ポイントの最終獲得日or最終利用日から2年後の月末
 ※JRE1500ポイント⇒JAL1000マイル

・Pontaポイント:33,500ポイント(≒16,750マイル)
 ※有効期限:最終のポイント加算日から12か月後の月末

・マリオットポイント:53,000ポイント(≒17,000マイル)
 ※有効期限:ポイントの最終獲得日から2年後
 ※マリオット3ポイント⇒JAL1マイル

・WILLsCoin:44,500(≒8,900マイル)
 ※有効期限:ポイントの最終獲得日or最終利用日から1年後
 ※WILLsCoin500ポイント⇒JAL100マイル

■計:201,714マイル

JALマイレージバンクだけは有効期限3年で順次消えていくが、その他のポイントは継続的に加算することで事実上無期限化ができる。有効期限に気を付けながら各ポイントサービスを有効活用してきたい。 


ネット常時接続機器のサイバーセキュリティを確保する「セキュリティ検証の手引き」 経済産業省が公開(転載)

cover_news111.jpg

ネット常時接続機器のサイバーセキュリティを確保する「セキュリティ検証の手引き」 経済産業省が公開

 経済産業省は2021年4月19日、ネットワークに常時接続する機器に対するセキュリティ検証の高度化を目的に、「機器のサイバーセキュリティ確保のためのセキュリティ検証の手引き」を公開した。効果的な検証手法や、検証サービス事業者と検証依頼者が実施すべき事項などをまとめている。

 出荷前の機器に対して行われるセキュリティ検証は、脆弱性の有無やセキュリティ対策の妥当性の確認手法として有効だが、検証人材の暗黙知に依存する部分が大きく、効果的な検証手法や実施すべき事項の統一的な整理がなされていなかった。

 また、セキュリティ検証サービスを利用する機器メーカーなどの検証依頼者にとっては、信頼できる検証サービス事業者を選定する基準や、適切な検証目的を設定する統一基準がないため、求める品質や結果が得にくいといった状況も生じている。

 同手引きは、こうした課題に対応し、セキュリティ検証サービスの高度化を目的にまとめられた。経済産業省では、同手引きを検証サービス事業者と検証依頼者の双方が活用することで、セキュリティ検証サービスの水準向上や適切な検証体制の構築が期待されるとしている。

検証方法を対象別にガイド 「手引き」の概要と使い方は


 検証対象は、IoT機器をはじめとするネットワークに常時接続する機器と、その関連サービス。同手引きは、これらの機器のサイバーセキュリティ確保に焦点を当てた記載が中心で、IoT機器などが接続するクラウドサーバや機器を組み合わせたシステム全体の検証は対象外となっている。

 同手引きは、本編と3点の別冊で構成されている。本編では、機器検証の目的や検証手順、検証結果の分析などの概要説明を通して、「検証サービス事業者が実施すべき事項」「検証依頼者が検証に向けて実施すべき事項や用意すべき情報、持つべき知識」「検証サービス事業者・検証依頼者間の適切なコミュニケーションのために共有すべき情報や留意すべき事項」などを記載している。

 別冊1では、検証サービス事業者が実施すべき脅威分析の手法や実施すべき検証項目、検証の流れを詳細に解説。機器全般に汎用的に活用できる内容となっており、ネットワークカメラを実例とした手法の適用事例も結果も示している。

 別冊2では、主な検証依頼者である機器メーカーが、検証を依頼するに当たって実施すべき事項や用意すべき情報などを詳細に提示。攻撃手法への対策例や、検証結果を踏まえたリスク評価などの対応方針も掲載している。

 別冊3では、高品質な検証サービスの提供に向け、検証サービス事業者で検証を担当する人材(検証人材)にフォーカスを当て、求められるスキルや知識、検証人材の育成、検証人材のキャリア設計で考慮すべきポイントなどをまとめている。

 各手引きは、経済産業省のニュースリリース「機器のサイバーセキュリティ確保のためのセキュリティ検証の手引きを取りまとめました」、から参照できる。

 同手引きの対象者は、機器検証を実施する検証サービス事業者、同事業者に対して機器検証を依頼するメーカーの開発者、検証担当者、品質保証担当者、セキュリティ担当者などの検証依頼者とされている。一部で機器のセキュリティ確保に向けて実施すべき事項についても記載しているので、メーカーの機器設計、構築の担当者、サプライチェーン管理に関わる担当者なども参照できるとしている。