Torは10月にv2オニオンサービスのサポートを終了します。 / Tor is Killing off Support for v2 Onion Services in October(転載)


Tor is Killing off Support for v2 Onion Services in October 

2020年7月、Tor Projectは、バージョン2のオニオンサービス(v2)を終了し、より安全性の高いバージョン3のオニオンサービス(v3)に移行するスケジュールを発表しました。2021年10月16日までに、短いオニオンサービスは機能的に存在しなくなる。

David Goulet氏からのtor talkメッセージによると、Tor Projectは安全性を唯一の目的として、v2オニオンサービスからオニオンサービスへの移行を強行しているという。

Onion service v2は、RSA1024と80ビットSHA1(切り捨て)のアドレスを使用しています。また、TAPハンドシェイクを使用していますが、これはv2のサービスを除き、何年も前からTorから完全に削除されています。その単純なディレクトリシステムは、様々な列挙攻撃や位置予測攻撃を引き起こし、HSDirリレーにv2サービスを列挙したりブロックしたりするための大きな力を与えています。最後に、v2サービスはもう開発もメンテナンスもされていません。最も深刻なセキュリティ問題にのみ対処しています。

Tor Projectのブログ記事にあるように、オニオンサービスの運営者は、ユーザーやインフラをv3のオニオンサービスに移行するのに何年もかかっています。しかし、Tor Projectは困難を予想しています。

今回のv3sへの移行は、Tor Projectが提唱するセキュリティの観点からも理にかなっていると言えます。しかし,多くのユーザーはこれに反対し,発表のコメント欄でこの変更の是非について議論しました。あるユーザーは、Tor Projectが、Torユーザーが古くて安全でないソフトウェアを使うのを防ぐことで、オープンソースソフトウェアの性質を「誤解」していると書きました。別のユーザーは、上述のコメント欄に反応して、そのようなとんでもない考え方を持つユーザーが技術的にはまだv2を使用できることを説明しました。

Torのソースコードをダウンロードして、v2の機能を再び追加することは歓迎されています。誰もあなたを止めることはできません。もしあなたのお気に入りのサイトがv2(パッチを当てたTor)をホストしていないなら、そうするように彼らを説得しなければなりません。もし彼らを説得できないのであれば、まあ、結局のところv2はそれほど重要ではないのかもしれません。

また、客観的に見ても、V2オニオンの方が美しいというのが一般的です。V3は見た目が汚いから抵抗があるのかもしれません。

とはいえ、10月のキルデートまであと数ヶ月。



脆弱性診断士とは


経済産業省が出しているサイバーセキュリティ経営ガイドラインにも記載があることから、脆弱性診断というのは個人的には一般化してきているものと考えている。

一方で、脆弱性診断を取り扱う会社も多く、せっかく社内で脆弱性診断のルールの統一を図ったのに「他社が安いので他社でもよいか」みたいな話が出てきて閉口することがよくある。

それでも最近は同じく経産省が情報セキュリティサービス基準なるものを用意してくれ、IPAが一定の基準を満たした事業者を公開してくれているので、結構助かっている。

ところで、外部に脆弱性診断を依頼すると金額が高額であったり、リソース調整に難儀して診断着手までに時間がかかるようなことはないだろうか?

診断業務の一般化が進む一方、診断業務に必要な人材は不足していると想定され、この辺のスキルを身に着けると、自身の市場価値が上がるのではなかろうか?

そんなわけで、脆弱性診断を生業とする「脆弱性診断士」について調べてみた。

実は「脆弱性診断士」という資格自体は2020年に初めてベンダー資格として登場したもので意外にも新しい資格である。

一方で、このベンダー資格として誕生させるまでの様々な成果物はオープンソースで公開されているため、これらの情報を参考に必要な技術を習得できると、「脆弱性診断士」と同格になると考えることもできる。

 昨今診断ツールが充実しているので良いのではとの考え方もあるが、やはりツールだけでは簡易的な検査となってしまい、機密情報を扱う外部公開システムに対しては十分とは言い切れない。

そこでツールだけでは補いきれない部分をカバーするのが「脆弱性診断士」ということになる。

ちなみに個人的にはツール診断を使いこなすレベルの人材でも結構需要があると考えている。

最近、この辺は医者の種類のような感じなのではないかと思っている。

1.ツール診断のみでの簡易診断:所謂町医者や診療所。安価で多くの人が受診可

2.ツール診断+マニュアル診断:総合病院。それなりの設備と専門の勤務医がおり、金額もそれなりにかかる。

3.フルマニュアル診断:専門病院。業界的にも名の通ったスペシャリストが直々に診察するが、超高額。

セキュリティベンダー等で今後診断をメインで実施していくような方は、是非上記の3.を目指してほしいが、個人的には1.の町医者レベルをまずは目指したいと考えている。

自身はセキュリティエンジニアではなく、セキュリティマネージャーなので、特定の狭い領域を深掘るのではなく、幅広い領域を均等に抑えておく必要があると考えている。

いろいろ資料を探していたら、参考資料がたくさん見つかったので、残しておきます。

脆弱性診断士スキルマッププロジェクト
 -脆弱性診断士(Webアプリケーション)スキルマップ&シラバス(バックアップ)
 -脆弱性診断士(Webアプリケーション)スキルマップ&シラバスについて(バックアップ)
 -脆弱性診断士(プラットフォーム)スキルマップ&シラバス(バックアップ)
 -脆弱性診断士(プラットフォーム)スキルマップ&シラバスについて(バックアップ)

安全なウェブサイトの作り方

Webサイト開発者や運営者が適切なセキュリティを考慮したWebサイトを作成できることを目的としてIPAより公開されている資料。メジャーなWebアプリケーションの脆弱性に関する脆弱性の概要、発生しうる脅威、一般的な対策方法などが記載されています。また、ウェブサイト全体の安全性を向上させるための方策や具体的な実装例などを伴ったウェブアプリケーションに脆弱性を作りこんでしまった「失敗例」についても解説されています。

なぜ自社で脆弱性診断を行うべきなのかバックアップ

Webアプリケーションの脆弱性診断における自動診断と手動診断のそれぞれの特徴や、診断業務のやり方について記載されています。また、脆弱性診断を自社で行うことによるメリットについて、コストや品質の面から解説がされています。

星野君のWebアプリほのぼの改造計画 

会社の「Web担当」に配属された星野君が、Webアプリケーション開発業務の中で様々なセキュリティの問題に直面し、解決をしていく日常が対話形式で描かれています。Webアプリケーションの開発において、作りこまれやすい問題の原因や対策について学ぶことができます。

・Burp Suite関連
 -Burp Suite ハンズオントレーニング資料:1.HTTP基礎入門バックアップ) 
 -Burp Suite ハンズオントレーニング資料_2.Burp Suite導入・操作バックアップ
 -Burp Suite ハンズオントレーニング資料_3.Burp Suite実践編バックアップ
 -Burp Suite ハンズオントレーニング資料_4.Burp Suite回答編バックアップ

Burp Suite Japan User Groupより公開されているBurp Suiteを用いて脆弱性診断を学ぶことを目的として開催されたハンズオントレーニングの資料です。 HTTPに関する基礎知識やBurp Suiteの基本的な操作方法についても解説されており、Burp Suiteを用いてXSSやSQLインジェクションの脆弱性を検出する方法を学ぶことができるでしょう。

 -Burp Suite Startup マニュアルバックアップ

Burp Suite Japan User Groupにより公開されている資料です。Webアプリケーションのセキュリティ診断で活用されるプロキシツール「Burp Suite」における、インストール方法から診断をする上で必要な設定や各種機能の利用方法について、図や実際の画面キャプチャを用いて説明されています。初めて「Burp Suite」を使用される方におすすめの資料です。

・OWASP ZAP
 -OWASP ZAP マニュアル Ver.2.1.0版バックアップ
 -OWASP ZAP マニュアル Ver.2.10.0版
 -ZAP Handbook in Japanese

ZAP Evangelistとして活動されているYuhoKamedaさんが、OWASP ZAP関連の日本語資料について解説しているサイトです。ZAPを使って診断を行うための解説や、OWASP Top10の脆弱性をZAPを使って見つける診断方法を日本語で公開しています。

 -OWASP Testing Guideバックアップ

OWASPが提供するセキュリティテストに関するガイドラインです。セキュリティテストが備えるべき診断項目や手順などが紹介されています。

HTML5を利用したWebアプリケーションのセキュリティ問題に関する調査報告書バックアップ

JPCERT/CC発行のHTML5セキュリティに関する調査報告書です。HTML5特有のテスト観点の整理や、開発時に気をつけるべき事項が紹介されています。(一部古くなっている記述もあります。)

液体窒素ダイエット(クライオセラピー / cryotherapy)とは


 液体窒素ダイエットってご存じだろうか?

以前見聞きして気になっていたのだが、記憶から消え去る前にこちらに残しておきたい。

液体窒素って冷たいイメージしかないが、その液体窒素を使って全身を冷却することで血管を収縮し、その後、血管が元に戻ろうと膨張することで、血流を促進、カラダの中の老廃物や疲労物質を流す、というもの。

液体窒素を利用して、-120℃~-196℃程度の超低温状態になったキャビン内に入って身体全体を急速に冷すのが概要で、1回につき、2~3分間程度入る。

これが、アンチエイジングや疲労回復、ダイエットの観点から注目されているらしい。

ダイエットの観点でいうとポイントは2つあるようで、

  1. アポトーシスによる脂肪細胞消滅
    全身ケアがわずか2分から3分で効率的にできるクライオセラピーでは、冷やされた脂肪細胞が、自ら消滅するというアポトーシスという状態に陥らせることができます。 アポトーシスは体が自らの体のために細胞を消滅させるという働きです。 これにより、脂肪細胞が体外へ排出されるため、脂肪細胞が元に戻らずリバウンドのリスクも減少できます。

  2. 脂肪細胞の燃焼
    自然環境では到底考えられない-196℃までの超低温環境に一気に引き込むことで、体は驚いて体の機能を保つために体温を保たせようとします。 そのために熱を一気に高め、エネルギーの量産を図ります。 この際、蓄積された脂肪細胞が熱エネルギーの量産のために使われ、わずか短時間のクライオセラピーで効果的に痩せることができる。

んー。ポジティブにとらえると、使わない脂肪細胞は死滅して減るし、生き残った細胞は燃焼して激やせって感じがするが、

一方で、脂肪細胞は「死ぬ」のか「燃やされる」のか、どっちやねんって感じ。

1回の施術が2~3分で完了するというのはあ非常に魅力的だが、このダイエット方法、分野的に日本より何歩も先行くアメリカでも認証や規制等はまだされていないようで、何をどう誤ったのか、キャビンで凍死した事件も起きている模様。

日本でも液体窒素ダイエットを提供している事業者はいるようだが、まぁ自己責任ということで。

【参考】
日本クライオ療法推進協会

香水通販サイトに不正アクセス(転載)~想定損害賠償額は1.1億円程度か~

香水通販サイトに不正アクセス - クレカ情報が流出

香水学園もEC-CUBE

香水を扱う通信販売サイト「香水学園」を運営するプラネットは、同サイトが不正アクセスを受け、顧客のクレジットカード情報が流出し、不正に利用された可能性があることを明らかにした。

同社によれば、システムの脆弱性を突く不正アクセスを受け、2020年2月24日から2021年1月8日にかけて、同サイトで新規に登録したり、変更した上で決済に利用された顧客2821人分のクレジットカード情報が外部に流出し、不正に利用された可能性があることが判明したもの。

同サイトの決済アプリケーションが改ざんされ、クレジットカードの名義や番号、有効期限、セキュリティコードなど、顧客のクレジットカード情報が窃取された。またクレジットカード以外の個人情報を格納するサーバについても、ログファイルなどの調査から不正アクセスを受けたことがわかっているという。

1月8日にクレジットカード会社から情報流出の可能性について連絡を受け、問題が判明。外部事業者による調査は2月28日に完了した。4月28日に個人情報保護委員会へ報告、警察に被害を申告した。

また対象となる顧客に対しては5月19日より順次メールや書面を通じて個別に連絡を取り、身に覚えのない請求などが行われていないか確認するよう注意喚起を行っている。

SmilesでANAの特典航空券が!


 Smilesというブラジルのロイヤリティプログラムがある。

ここで獲得できるマイルは事実上GOL航空のマイルとなる。

どこのアライアンスにも加盟していないブラジルの航空会社のマイルをためてどうするんじゃいという突っ込みがあるが、このGOL航空、提携会社が非常に多い。

マイルをため始めた当初は、アジア圏の提携航空会社は大韓航空しかなかったが、韓国経由で世界に旅立てるので、それなりに使い道があるだろうと思って貯めていた。


先日、武漢ウイルスの蔓延が長期化しそうなので、マイルの定期購入を停止しようとサイトを見ていたら、提携航空会社にANAが追加されているのを確認した。

試しにHND-ITM間検索したら、ちゃんと出てきた。

が、異様に高い。

約40,000マイルだが、この分をマイルを購入すると2,800BRL≒60,000円となる。

仮にマイルをすでに持っていて、マイル+キャッシュで進めようとしても700BRL≒15,000円となり、まったくメリットがない。

しかし、Smilesの提携航空会社にはANAの表記があるものの、ANAのサイトにはGOL航空やsmilesの情報がないのは何故だろう?

ちなみにsmilesはいろいろクセが強く、個人的にはリスクテイクができるマイラー最上級者向けだと思う。

ロシア対外情報庁(SVR)が行なっているサイバーオペレーションとネットワーク管理者向けのベストプラクティス / Russian Foreign Intelligence Service (SVR) Cyber Operations: Trends and Best Practices for Network Defenders


ロシア対外情報庁(SVR)が行なっているサイバーオペレーションとネットワーク管理者向けのベストプラクティス "Russian Foreign Intelligence Service (SVR) Cyber Operations: Trends and Best Practices for Network Defenders" [PDF] us-cert.cisa.gov/sites/default/…: ロシア対外情報庁(SVR)が行なっているサイバーオペレーションとネットワーク管理者向けのベストプラクティス
"Russian Foreign Intelligence Service (SVR) Cyber Operations: Trends and Best Practices for Network Defenders"
[PDF] us-cert.cisa.gov/sites/default/…

SUMMARY

米連邦捜査局(FBI)と米国土安全保障省(DHS)は、ロシア対外情報庁(SVR)のサイバーアクター(Advanced Persistent Threat 29(APT29)、Dukes、CozyBear、Yttriumとも呼ばれる)が、今後もサイバー搾取を通じて米国および外国の企業から情報を得ようとしていると評価しています。

このサイバー搾取では、洗練度の異なるさまざまな初期搾取技術と、侵害されたネットワークへのステルス侵入技術が用いられます。

SVRは主に、政府機関のネットワーク、シンクタンクや政策分析機関、情報技術企業などを標的としています。

2021年4月15日、ホワイトハウスはSolarWindsの不正アクセスに関する声明を発表し、この活動がSVRによるものであることを明らかにしました。

FBIとDHSは、SVRのサイバーツール、ターゲット、テクニック、能力などの情報を提供し、組織が独自に調査を行い、ネットワークを保護するのに役立てています。

THREAT OVERVIEW


SVRのサイバー活動は、米国にとって長年の脅威となっています。

2018年以前には、複数の民間サイバーセキュリティ企業が、被害者のネットワークにアクセスして情報を盗むAPT 29の活動に関するレポートを発表しており、被害者のネットワーク内でステルス性を最大限に高めるためにカスタマイズされたツールを使用していることや、APT 29のアクターが検知されずに被害者の環境内を移動できることが強調されていました。

2018年以降、FBIは、SVRが被害者のネットワーク上でマルウェアを使用することから、クラウドのリソース、特に電子メールを標的にして情報を得ることにシフトしていることを確認しました。

改造したSolarWindsソフトウェアを使用してネットワークアクセスを得た後、Microsoft Office 365環境を悪用したことは、この継続的な傾向を反映しています。

クラウド・リソースを標的にすることで、被害者の組織が十分に防御、監視、理解していない環境において、漏洩したアカウントやシステムの誤設定を利用して、通常のトラフィックや監視されていないトラフィックに紛れ込ませることで、検知の可能性を下げていると考えられます。

SVR CYBER OPERATIONS TACTICS, TECHNIQUES, AND PROCEDURES


Password Spraying


2018年に行われたある大規模ネットワークの侵害では、SVRのサイバーアクターがパスワードスプレーを使用して、管理者アカウントに関連する弱いパスワードを特定しました。

このサイバー犯罪者は、検出を避けるためか、頻繁ではない間隔で少数のパスワードを試行し、「ロー&スロー」な方法でパスワードスプレー活動を行いました。

パスワードスプレーでは、住宅用、商業用、モバイル用、TOR(The Onion Router)用など、被害者と同じ国に存在する多数のIPアドレスが使用されました。

この組織では、侵害された管理者アカウントが多要素認証の要件から意図せずに除外されていました。

管理者アカウントにアクセスした行為者は、ネットワーク上の特定の電子メールアカウントの権限を変更し、認証されたネットワークユーザーであれば誰でもこれらのアカウントを読むことができるようにしました。

また、この設定ミスを利用して、管理者以外のアカウントを侵害していました。

この設定ミスにより、多要素認証に対応していない端末で、従来の単一要素認証によるログインが可能になりました。

これは、Apple社のメールクライアントやMicrosoft社のOutlookなどの旧バージョンのメールクライアントに見せかけるために、ユーザーエージェントの文字列を偽装することで実現したとFBIは考えています。

管理者以外のユーザーとしてログインした後、侵害された管理者ユーザーが適用した権限変更を利用して、被害組織内で関心のある特定のメールボックスにアクセスしました。

パスワードスプレーは様々なIPアドレスから行われていましたが、いったんアカウントにアクセスすると、そのアカウントは通常、リースした仮想プライベートサーバ(VPS)に対応する1つのIPアドレスからのみアクセスされます。

侵害されたアカウントに使用されたVPSの重複は少なく、後続の行為に使用されたリースサーバはいずれも被害組織と同じ国にありました。

アクセス期間中、行為者は常に管理用アカウントにログインしてアカウントの権限を変更しており、もはや関心がないと思われるアカウントへのアクセスを削除したり、追加のアカウントに権限を追加したりしていました。

Recommendations


この手法から身を守るために、FBIとDHSは、ネットワーク事業者に対して、クラウドコンピューティング環境へのアクセスを設定する際に、以下のようなベストプラクティスに従うことを推奨しています。

  • 構内および遠隔地のすべてのユーザーに対して、承認された多要素認証ソリューションの使用を義務付ける。

  • 組織が所有していないIPアドレスやシステムから管理機能やリソースへのリモートアクセスを禁止する。

  • メールボックスの設定、アカウントの権限、メール転送のルールを定期的に監査し、不正な変更の痕跡を確認する。

  • 可能であれば、強力なパスワードの使用を強制し、特に管理者アカウントでは、技術的手段により容易に推測されるパスワードやよく使われるパスワードの使用を防止する。

  • 組織のパスワード管理プログラムを定期的に見直す。

  • 組織のITサポートチームが、ユーザーアカウントロックアウトのパスワードリセットに関する標準作業手順を十分に文書化していることを確認する。

  • 全従業員を対象としたセキュリティ意識向上のためのトレーニングを定期的に実施する。

Leveraging Zero-Day Vulnerability


別の事件では、SVRのアクターが、仮想プライベートネットワーク(VPN)アプライアンスに対して、当時ゼロデイエクスプロイトであったCVE-2019-19781を使用してネットワークアクセスを取得しました。

ユーザー認証情報を公開する方法でデバイスを悪用した後、アクターは公開された認証情報を使ってネットワーク上のシステムを特定し、認証しました。

この行為者は、多要素認証を必要とするように設定されていない複数の異なるシステムに足場を築き、外国の諜報機関が関心を持つ情報に沿って、ネットワークの特定の領域にあるウェブベースのリソースにアクセスしようとしました。

最初の発見後、被害者は行為者を退去させようとしました。

しかし、被害者は最初のアクセスポイントを特定しておらず、行為者は同じVPNアプライアンスの脆弱性を利用してアクセスを再開しました。

最終的には、最初のアクセスポイントが特定され、ネットワークから削除され、アクターは退去しました。

前述のケースと同様、行為者は被害者と同じ国にある専用VPSを使用していましたが、これはおそらく、ネットワーク・トラフィックが通常の活動とは異なっているように見せるためでしょう。

Recommendations


この手法から守るために、FBIとDHSは、ネットワーク防御側が、エンドポイント監視ソリューションが、ネットワーク内での横方向の動きの証拠を特定できるように構成されていることを確認することを推奨しています。

  • ネットワークを監視し、エンコードされたPowerShellコマンドの証拠や、NMAPなどのネットワークスキャンツールの実行を確認する。
  • ホストベースのアンチウイルス/エンドポイントモニタリングソリューションが有効であり、モニタリングやレポートが無効になった場合、またはホストエージェントとの通信が合理的な時間を超えて失われた場合に警告を発するように設定されていること。
  • 内部システムへのアクセスに多要素認証の使用を求める。
  • テストや開発に使用するシステムを含め、ネットワークに新たに追加されたシステムは、組織のセキュリティベースラインに沿ってすぐに設定し、企業の監視ツールに組み込む。

WELLMESS Malware


2020年、英国、カナダ、米国の政府は、「WELLMESS」と呼ばれるマルウェアを使用した侵入行為をAPT29によるものだと発表しました。

WELLMESSは、プログラミング言語「Go」で記述されており、以前に確認された活動では、COVID-19ワクチンの開発を標的にしていたようです。

FBIの調査によると、最初にネットワークに侵入した後、通常はパッチが適用されていない一般に知られた脆弱性を利用して、犯人はWELLMESSを導入しました。

ネットワークに侵入すると、各組織のワクチン研究用リポジトリとActive Directoryサーバを標的にしました。

これらの侵入は、ほとんどが社内のネットワークリソースを標的としたものであり、これまでの手法とは異なるものでした。

今回の侵入に使用されたマルウェアの詳細については、これまでに公開されており、本文書の「リソース」の項で参照しています。

Tradecraft Similarities of SolarWinds-enabled Intrusions


2020年の春から夏にかけて、SVRのサイバーオペレーターは、改造したソーラーウインズのネットワーク監視ソフトウェアを最初の侵入経路として使用し、多数のネットワークへのアクセスを拡大し始めました。

SVRが信頼のおけるソーラーウインズ製品を改造して侵入経路として使用したことは、SVRのこれまでのトレードクラフトからの顕著な逸脱でもあります。

FBIの最初の調査結果によると、侵入に使われたインフラの購入・管理方法など、SVRが主催する他の侵入行為と感染後の手口が類似していることが判明しました。

SVRのサイバーアクターは、被害者のネットワークにアクセスした後、ネットワークを介して電子メールアカウントにアクセスしました。

複数の被害者組織で狙われたアカウントには、ITスタッフに関連するアカウントも含まれていました。

FBIは、サイバー犯罪者がITスタッフを監視することで、被害者のネットワークに関する有用な情報を収集し、被害者が侵入を検知したかどうかを判断し、退去措置を回避したのではないかと考えています。

Recommendations


信頼できるソフトウェアの侵害からネットワークを守ることは困難ですが、一部の企業では、最初の悪意のあるSolarWindsソフトウェアからの後続の悪用活動を検出し、防止することに成功しました。これは、以下のような様々な監視技術を用いて達成されました。

  • ログファイルを監査して、特権的な証明書へのアクセスの試みや偽の識別プロバイダの作成を特定する。

  • 暗号化されたPowerShellの実行を含む、システム上の不審な行動を特定するソフトウェアを導入する。

  • 侵害の行動指標を監視する機能を備えたエンドポイントプロテクションシステムを導入すること。
  • クラウド環境でのクレデンシャルの不正使用を特定するために、利用可能なパブリックリソースを使用する。
  • 新しいデバイスの登録など、システム上での特定のユーザー活動を確認するための認証メカニズムの設定。

被害組織の中には、最初のアクセス経路がソーラーウインズのソフトウェアであることを特定できたところはほとんどありませんでしたが、一部の組織では、さまざまな警告を関連付けて不正な活動を特定することができました。

FBIとDHSは、これらの指標と、ネットワークのセグメンテーションの強化(特に「ゼロトラスト」アーキテクチャやIDプロバイダー間の信頼関係の制限)とログの相関関係を組み合わせることで、ネットワーク防御者は追加調査が必要な疑わしい活動を特定できると考えています。

General Tradecraft Observations


SVRのサイバーオペレーターは有能な敵です。

上記の技術に加えて、FBIの調査では、侵入に使用されるインフラが、偽の身分証明書や暗号通貨を使って頻繁に入手されていることが明らかになっています。

VPSインフラは、VPS再販業者のネットワークから調達されることが多い。これらの偽装IDは、通常、一時的な電子メールアカウントや一時的なVoIP(Voice over Internet Protocol)電話番号など、評判の低いインフラによって支えられています。

SVRのサイバーアクターが独占的に使用しているわけではありませんが、SVRのサイバーペルソナの多くは、cock[.]liや関連ドメインでホストされた電子メールサービスを使用しています。

また、FBIは、SVRのサイバーオペレーターが、オープンソースの認証情報ダンプツール「Mimikatz」や、市販の悪用ツール「Cobalt Strike」など、オープンソースや市販のツールを継続的に使用していたと指摘しています。

Recommendations


FBIとDHSは、サービスプロバイダーに対し、サービスの悪用を防止するために、ユーザーの検証・確認システムを強化することを推奨しています。

コロニカル・パイプライン社が支払った500万ドルの身代金 / Ransomware victim Colonial Pipeline paid $5m to get oil pumping again, restored from backups anyway(転載)~早々に身代金を支払ったものの・・・~


コロニカル・パイプライン社が支払った500万ドルの身代金

Ransomware victim Colonial Pipeline paid $5m to get oil pumping again, restored from backups anyway – report

ランサムウェアの感染により、Colonial Pipeline社の経営者は、デジタルシステムの制御権を回復し、パイプラインから石油を供給するために500万ドルを支払ったと報じられています。

この支払いのニュースはBloombergが伝えたもので、Bloombergは匿名の情報源を引用しただけでなく、他の報道機関の匿名の情報源が今週初めにこのアメリカのパイプライン運営会社は身代金を支払うことはないだろうと言ったことを嘲笑しています。

"ワシントン・ポストやロイターなどのメディアが、同社が身代金を支払う意図は当面ないと報じました。ブルームバーグは、「これらの報道は匿名の情報源に基づいていた」とほくそ笑んでいますが、その一方で、「同社の取り組みに詳しい人物」という無名の人物を同じ言葉で表現することは避けています。

メディアの自画自賛はさておき、ジョージア州のColonial Pipeline Companyは、システムの制御権を取り戻すために身代金として500万ドルを支払ったと言われています。Bloombergは、おなじみの匿名の情報源を引用して、この支払い後に犯人が提供した復号化ユーティリティーは動作が遅いため、Colonial社は週末から引き続きバックアップからシステムを復元していると主張している。

ランサムウェアがファイルシステムに何かを隠していた場合に備えて、感染したコンピュータを消去して新たにやり直すべきだからです。

5月7日(金)にパイプラインが停止した原因については様々な憶測が飛び交っていますが、最も可能性が高いのは、パイプラインのポンプやバルブを制御する運用技術(OT)が危険にさらされたのではなく、石油の流れを監視し、その流れに基づいて請求記録を作成するバックオフィスシステムがランサムウェアによってKOされたということです。

石油を汲み上げることはできても、誰にどれだけの量を送っているのかがわからなければ、石油の受託サービス事業は大きな利益を逃し、エンジニアは安全性が重要なシステムがどれだけ消耗しているのかをすぐに見失ってしまいます。だからこそ、このようなシャットダウンが必要なのです。

Colonial Pipeline社によると、テキサス州ヒューストンとニューヨーク港の間で1日1億ガロンの精製燃料を輸送しており、これは米国東海岸で必要とされる全燃料の45%に相当する。パイプラインは、自動車やトラックの燃料、ジェット燃料、暖房用オイルなどを運んでおり、ガソリンが不足しているという報告もある。

ランサムウェア対策の専門企業であるEmsisoft社のBrett Callow氏は、今回報告された支払い額は比較的少額であると述べています。「公表されている最高額の要求は5,000万ドルであり、この事件が引き起こしている大規模な混乱とそのコストを考えると、500万ドルは驚くほど少額に思えます。しかし、もし本当に支払われているのであれば、重要なインフラがランサムウェアの標的になっていることは間違いないでしょう。ある分野が儲かるとわかれば、彼らは何度も何度もその分野を攻撃するでしょう」と述べています。

Colonialでは1ヶ月前に新しいサイバーセキュリティ・マネージャーを採用していました。その仕事に就いた者は、おそらく非常に興味深い数日間を過ごすことになるだろう。

このランサムウェア・ギャングはDarksideという名前で活動しており、欧米の情報セキュリティ企業は少なくとも12の異なる名前で追跡しています。昨年8月から活動を開始し、これまでに約80件の不正アクセスを行ったと言われています。先週、このパイプラインが止まり、FBIが関与することになったとき、このクルーの背後にいるロシア語を話す犯罪者たちは、自分たちはただビジネスをしているだけであり、他意はないと主張する声明をTorホストのブログを通じて発表した。

これを翻訳すると、アメリカ東海岸の液体炭化水素を供給する重要な技術を破壊して国際的な注目を集めた彼らを追跡して収容所に送らないよう、ロシア語圏の祖国の権力者たちに必死に訴えているようにも見える。

2021年にツイッターでフォローすべきサイバーセキュリティの専門家トップ21 / Top-21 Cybersecurity Experts You Must Follow on Twitter in 2021.


Cybersecurity Experts to Follow on Twitter:

サイバーセキュリティに関しては、専門家から学ぶことに勝るものはありません。業界のトップインフルエンサーから洞察を得ることは、アプリケーションセキュリティ戦略を最適化する上で非常に重要であることがわかります。そこで今回は、2021年にTwitterでフォローすべきサイバーセキュリティの専門家トップ21人をご紹介します。Magecart、Web-Skimming、Supply Chain Attacksなどの脅威を解明する時が来ました。

#1 Rafay Baloch

https://twitter.com/rafaybaloch
Rafay Balochは、倫理的ハッキングで広く知られる有名な情報セキュリティ専門家です。彼は、ゼロデイ脆弱性やWAFの欠陥など、大規模なセキュリティ上の脅威を特定することにかけては、最も信頼できるエキスパートです。また、自身のブログでは、モバイルやWebブラウザの脆弱性を明らかにし、セキュリティ関連のヒントを提供しています。


#2 Troy Hunt

トロイ・ハントは、著名な作家であり、Webセキュリティに関するPluralsightのコースに貢献しています。また、サイバーセキュリティをテーマにした技術会議で頻繁に講演を行っています。また、Haveibeenpwned? というウェブサイトで知られており、何百万人もの企業や個人のウェブユーザーが、自分の電子メールや携帯電話が改ざんされていないか、データが盗まれていないかを確認できるよう支援しています。

#3 Kevin Mitnick

ミトニックは、40の大規模組織をハッキングした罪で逮捕され、判決を受けた後、大企業や政府までも助けるホワイトハットハッカーとなりました。また、CNN、FOXニュース、BBCなどの放送局に頻繁に出演し、セキュリティ問題についての教育やコメントを行っています。また、KnowBe4社のオーナーとして、セキュリティ意識を高めるためのトレーニングプログラムを作成しています。

#4 Rachel Tobac

https://twitter.com/RachelTobac
ホワイトハット・ハッカーは、PayPal、Twitter、Uber、WhatsAppなどの顧客を持つサイバーセキュリティ企業、Social Proof SecurityのCEOです。彼女の会社では、参加者が自律的にウェブサイトをハッキングするソーシャルエンジニアリングのイベントを開催して、人々にセキュリティについての教育を行っています。攻撃を受ける側は、もちろん状況を十分に把握しています。

#5 Mikko Hyppönen

https://twitter.com/mikko
フィンランドのセキュリティ専門家であるミッコ・ヒッポネンは、いわゆる「ヒッポネンの法則」を考案したことで有名になりました。この法則は、あらゆる「スマートアプライアンス」には脆弱性があるというIoTルールです。彼は1991年からエフセキュアに勤務しており、彼の印象的な記事は「ニューヨーク・タイムズ」や「ワイアード」に掲載されています。Hyppönen氏は、スタンフォード大学、オックスフォード大学、ケンブリッジ大学でも講義を行っています。

#6 Katie Moussouris

https://twitter.com/k8em0
ムーサリスは、責任あるセキュリティ研究と脆弱性の公開を推進することで有名なセキュリティ専門家です。彼女は、米国国防総省のバグバウンティプログラムの創設に参加しました。バグバウンティプログラムは、個人がセキュリティを脅かすバグを報告することで、報酬や評価を得るというものです。ケイティ・ムソーリスは、Luta Securityの創設者でもあります。

#7 Bruce Schneier

ブルース・シュナイアーは、有名なセキュリティ技術者であり、ハーバード・ケネディ・スクールの講師でもあります。数多くのアプリケーション・セキュリティ関連の書籍を執筆・出版しているほか、自身のブログでもセキュリティ関連の動向を取り上げています。ブルース・シュナイアーは、EFF(電子フロンティア財団)のメンバーでもあり、いくつかの暗号アルゴリズムの開発に大きな役割を果たしています。

#8 Brian Krebs

正規のトレーニングを受けていないにもかかわらず、Krebsは最も世界的に認知されたサイバーセキュリティの専門家の一人となりました。クレブスは、ワシントンポスト紙の調査報道記者として、コンピュータセキュリティの話題やハッカーへのインタビューを行ってきました。現在、ブライアン・クレブスは、KrebsOnSecurityという自身のブログを運営し、企業のデータ漏洩を暴露しています。

#9 Jeremiah Grossman

ジェレマイア・グロスマンは、世界的に著名なサイバーセキュリティの専門家であり、WhiteHat Securityの創設者でもあります。ジェレマイア・グロスマンは、DefCon、ISACA、ISSAなどの技術系イベントで講演やワークショップを行っているほか、Washington Post、NBC Nightly News、USA Todayなどでサイバー犯罪に関する記事を頻繁に執筆しています。サイバーセキュリティに精通したプロフェッショナルである。

#10 Eugene Kaspersky

ユージン・カスペルスキーは、ロシアのサイバーセキュリティ専門家であり、彼の会社であるKaspersky Lab.で世界的な名声を得ています。彼の組織には約4,000人の従業員がおり、彼のアンチウイルス製品は4億人以上のユーザーを魅了しています。1997年にカスペルスキー・ラボを共同設立した彼は、現在も同社のCEOを務めており、12億ドルの純資産でフォーブスのリストに掲載されています。

#11 Dan Lohemann

ローヘマンは、有名なブロガーであり、講演者であり、メンターシッププログラムの貢献者であり、サイバーセキュリティについて専門家を教育するためのトレーニングコース、ワークショップ、セミナーを作成しています。また、ホワイトハウス、米国国土安全保障省、フォーチュン500社の代表者のセキュリティ基準の向上を支援するコンサルタントとしても活躍しています。

#12 Steve Morgan

モーガンは、定評のあるジャーナリストであり、サイバーセキュリティに関するテーマの研究者でもあります。毎年、サイバー犯罪の現状について、統計データを含めたレポートを作成している。彼のレポートは、さまざまな雑誌やジャーナル、その他のメディアで参照、引用されています。彼の使命は、彼が知っている情報を共有し、サイバーセキュリティの問題について彼の見解を述べることです。

#13 Tyler Cohen Wood

20年以上にわたりサイバーセキュリティに携わってきたウッドは、重要なインフルエンサーとなっています。彼女は、国防情報局、ホワイトハウス、連邦法執行機関に勤務し、政府のセキュリティプログラムをより効率的にするサイバーセキュリティポリシーを策定してきました。タイラーは、テレビ、ポッドキャスト、ラジオなどにも頻繁に出演しています。

#14 Graham Cluley

グレアム・クラウリーは、ソロモン博士のアンチウイルス・ツールキットの最初のバージョンを書いたことで有名なセキュリティ専門家です。現在では、自らの名前を冠したブログを開設し、サイバーセキュリティに関する最新のニュースやトレンドを発信しています。グラハム・クラウリーは、Microsoft Future Decoded、Web Summit、ISSAなどのサイバーセキュリティ関連のイベントで頻繁に基調講演を行っています。

#15 Theresa Payton

テレサ・ペイトンは、業界をリードするセキュリティ専門家であり、サイバー防衛、サイバー犯罪を扱い、教育を提供するFortalice SolutionsのCEOです。また、サイバーセキュリティ企業であるDark Cubed社の共同設立者でもあります。テレサは、スピーカーや講師として技術会議に参加したり、ソーシャルメディアや雑誌で知識を披露したりしています。

#16 Shira Rubinoff

Shira Rubinoffは、ITセキュリティの専門家であり、サイバーセキュリティ企業を2社設立しています。フォーチュン100社の企業に対して、セキュリティやビジネス開発に関するコンサルティングサービスを提供しています。また、このテーマに関する数多くの記事や講演の著者としても知られています。また、ニューヨークを拠点とするテクノロジーインキュベーターの社長も務めています。

#17 Eva Galperin

ガルペリンは、EFFのサイバーセキュリティ部門のディレクターを務めています。EFFのサイバーセキュリティ担当ディレクターであるガルペリンは、サイバーセキュリティ問題の透明性を提唱しており、アップル社やアンドロイド社の携帯電話メーカーに対して、端末上でストーカーウェアが検出された場合、ユーザーに警告を発するよう働きかけています。エヴァは、すべての人、特に弱い立場にある人たちにプライバシーとセキュリティを提供するための政策を策定することに尽力しています。

#18 Marcus J. Carey

マーカス・J・ケアリーは、サイバーセキュリティの専門家として広く知られています。ReliaQuest社のシニアエンタープライズ・アーキテクトとして、業界や国を問わず、サイバーセキュリティを強化するソリューションを開発しています。主に、効率性、アクセス性、パフォーマンスの向上を目的とした、クラウドをベースとしたサイバーセキュリティソリューションを担当しています。

#19 Jayson E Street

Jayson E Streetは、InfoSec社の情報セキュリティ担当副社長として、サイバーセキュリティに関するセミナーやワークショップの企画・制作を行っています。また、「Dissecting the Hack」という自身のウェブサイトでは、サイバーセキュリティについて人々に教え、この分野の最新情報を共有することに専念しています。彼のチャンネルには何千人もの情報セキュリティの専門家が集まってくる、真の教師です。

#20 Paul Asadoorian

ポール・アサドリアンは、サイバーセキュリティやハッキングの話題を扱うポッドキャスト「Security Weekly」の創始者として広く知られています。また、「Tenable」誌にも寄稿しており、セキュリティの脆弱性に関する資料を作成しています。また、RSA、Derbycon、SOURCE Conferenceなどの技術イベントにも頻繁に参加しています。

#21 Adam K. Levin

アダム・K・レビンは、セキュリティの提唱者であり、データ漏洩に備えて企業のアイデンティティ管理を行うCyberScout社の創設者でもあります。彼は数多くのカンファレンスでサイバーセキュリティ、個人の財務管理、信用の問題などについて語るスピーカーとして愛されています。アダムが関心を寄せているのは、IoTとサイバー詐欺が拡大する世界でのデータ保護です。