情報セキュリティに関係する基準、ガイドラインなど（転載）

情報セキュリティに関係する基準、ガイドラインなど: 

 rokujyouhitoma.hatenablog.com/entry/2021/09/…

いつも見直すときに探し直す羽目になってしまうので情報セキュリティに関係する法規、基準、ガイドラインなどをまとめておく。

こうやってリストアップし俯瞰すると、多くは経済産業省、IPA。

基準、ガイドライン

• 営業管理秘密指針https://www.meti.go.jp/policy/economy/chizai/chiteki/guideline/h31ts.pdf
  
  
• サイバーセキュリティ経営ガイドライン
  https://www.meti.go.jp/policy/netsecurity/mng_guide.html
  
  
• クラウドサービス提供における情報セキュリティ対策ガイドライン（第２版）
  https://www.soumu.go.jp/main_content/000566969.pdf
  
  
• 総務省｜報道資料｜「クラウドサービス提供における情報セキュリティ対策ガイドライン（第2版）」の公表
  https://www.soumu.go.jp/menu_news/s-news/01cyber01_02000001_00001.html
  
  
• テレワークセキュリティガイドライン第５版（令和３年５月）
  https://www.soumu.go.jp/main_content/000752925.pdf
  
  
• 総務省｜テレワークにおけるセキュリティ確保
  https://www.soumu.go.jp/main_sosiki/cybersecurity/telework/
  
  
• 中小企業等担当者向け テレワークセキュリティの手引き（チェックリスト）第２版（令和３年５月）
  https://www.soumu.go.jp/main_content/000753141.pdf
  
  
• 中小企業の情報セキュリティ対策ガイドライン
  https://www.ipa.go.jp/files/000055520.pdf
  
  
• 情報セキュリティ監査制度
  https://www.meti.go.jp/policy/netsecurity/is-kansa/
  
  
• 情報セキュリティ管理基準（平成28年経済産業省告示第37号）
  https://www.meti.go.jp/policy/netsecurity/downloadfiles/IS_Management_Standard_H28.pdf
  
  
• 情報セキュリティ監査基準（平成15年経済産業省告示第114号）
  https://www.meti.go.jp/policy/netsecurity/downloadfiles/IS_Audit_Annex04.pdf
  
  
• 情報セキュリティ監査基準 実施基準ガイドライン Ver1.0
  https://www.meti.go.jp/policy/netsecurity/downloadfiles/IS_Audit_Annex05.pdf
  
  
• オープンソースソフトウェアの利活用及びそのセキュリティ確保に向けた管理手法に関する事例集
  https://www.meti.go.jp/press/2021/04/20210421001/20210421001.html
  
  
• 情報システム安全対策基準
  https://www.meti.go.jp/policy/netsecurity/downloadfiles/esecu03j.pdf
  
  
• 個人情報の保護に関する法律についてのガイドライン （外国にある第三者への提供編）
  https://www.ppc.go.jp/personalinfo/legal/guidelines_offshore/
  
  
• OECDガイドライン
  https://www.mofa.go.jp/mofaj/gaiko/oecd/security_gl_a.html
  
  
• 政府機関等の情報セキュリティ対策のための統一基準群（平成30年度版）
  https://www.nisc.go.jp/active/general/kijun30.html
  
  

規格、認証、フレームワーク

• ISO/IEC 27001
  https://www.iso.org/isoiec-27001-information-security.html
  
  
• ISO/IEC 27017:2015
  https://www.iso.org/standard/43757.html
  
  
• ISO/IEC 17799:2005
  https://www.iso.org/standard/39612.html
  
  
• JIS X 5080:2002
  https://www.jipdec.or.jp/archives/publications/J0004141
  
  
• ISO/IEC 20000:2018
  https://www.iso.org/standard/70636.html
  
  
• ISO 22301:2012
  https://www.iso.org/standard/50038.html
  
  
• IEC 62443シリーズ
  https://www.iec.ch/blog/understanding-iec-62443
  
  
• JIS Q 15001:2017
  https://www.kikakurui.com/q/Q15001-2017-01.html
  
  
• セキュリティ関連NIST文書
  https://www.ipa.go.jp/security/publications/nist/index.html
  
  
• NIST CSF
  https://www.ipa.go.jp/files/000071204.pdf
  
  
• プライバシーマーク制度
  https://privacymark.jp/system/about/index.html
  
  
• PCI DSS
  https://www.pcisecuritystandards.org/documents/PCI_DSS_v3_2_1_JA-JP.pdf?agreement=true&time=1632922346978
  
  
• ITIL
  https://www.axelos.com/best-practice-solutions/itil
  
  
• EDSA認証
  https://www.isasecure.org/en-US/Certification/IEC-62443-EDSA-Certification-(In-Japanese)
  https://www.ipa.go.jp/security/fy25/reports/edsa/index.html
  
  

法

• 不正競争防止法
  https://elaws.e-gov.go.jp/document?lawid=405AC0000000047
  https://www.meti.go.jp/policy/economy/chizai/chiteki/index.html
  
  
• 不正アクセス禁止法
  https://elaws.e-gov.go.jp/document?lawid=411AC0000000128
  
  
• サイバーセキュリティ基本法
  https://elaws.e-gov.go.jp/document?lawid=426AC1000000104
  
  
• 個人情報保護法
  https://elaws.e-gov.go.jp/document?lawid=415AC0000000057
  https://www.ppc.go.jp/personalinfo/

クラウドOSINT / Cloud OSINT + free cloud training courses & certifications（転載）

Cloud OSINT + free cloud training courses & certifications

コンピュータ技術は、小型化、シンクライアント化、プッシュプルモデルによる更新情報を提供する中央管理型のインフラへと移行し続けていますが、ひとつ確かなことは、クラウドが未来であるということです。

クラウド環境でのインシデントレスポンス、OSINTに基づく調査、クラウドベースのデジタルフォレンジックなど、この継続的な適応には、デジタル調査も適応しなければなりません。

脅威を調査したり対応したりするためには、まず環境を理解する必要があります。

サービスプロバイダーが誰であるかに関わらず、クラウドは世界中に散在する物理的および仮想的なコンピューティングリソースの組み合わせであり、デジタル「テナント」によって短期または長期的にレンタルされています。

クラウドについて学ぶことは、デジタル調査員にとって有益です。実際、クラウド・コンピューティングに関して、これほど多くの無料教育コンテンツが提供されていることはありません。

 Cloud OSINT

一般的なクラウドOSINT調査では、一般に公開されている（多くの場合、意図せずに公開されている）オンラインコンテンツに焦点が当てられ、一般にバケット（AWS、Google Cloud）やブロブ（Azure）と呼ばれるクラウドストレージリソースに展開されます。

公開されているバケットやブロブには、ビデオやMP3ファイルの再生、画像やPDFの表示など、Webサイトと同じようにオブジェクトを格納して表示することができます。

「漏れたバケツ」を検索することは、単なる調査の切り口ではなく、サイバーセキュリティの専門家や監査人がデータポリシーのギャップを見つけ、コンプライアンス違反を排除するためにも行われます。

ここでは、クラウド上で公開されているコンテンツを検索するための便利なツールをご紹介します。

• Grey Hat Warfare - ファイル、バケット、ブロブの検索可能なデータベースです。様々なクラウドリソースをキーワードで検索できます。完全な検索結果、リスト、ファイル拡張子、その他のオプションは、有料のサブスクリプションのみで利用可能です。
  
  
• Osint.sh Public Buckets - Amazon S3バケットとAzure blobの両方を検索します。キーワードやファイルの拡張子で検索を絞り込むことができます。
  
  
• Digi Ninja’s Bucket Finder - オフラインツール、ダウンロードが必要です。バケット名をチェックして、その公開/非公開の設定やパーミッションをチェックします。

ウェブやオフラインのツールは便利で簡単に利用できますが、本当の意味でのチャンスや選択肢の豊富さは、Githubや、公開すべきでないクラウドリソースを列挙して特定するために作成された数多くのリポジトリにあります。

• https://github.com/initstring/cloud_enum
  
  
• https://github.com/nyxgeek/AzureAD_Autologon_Brute
  
  
• https://github.com/Parasimpaticki/sandcastle
  
  
• https://github.com/sa7mon/S3Scanner
  
  
• https://github.com/clario-tech/s3-inspector
  
  
• https://github.com/eth0izzle/bucket-stream
  
  
• https://github.com/cr0hn/festin
  
  
• https://github.com/awslabs/aws-config-rules
  
  
• https://github.com/awslabs/git-secrets
  
  
• https://github.com/jordanpotti/AWSBucketDump

上記の資料の範囲は非常に広く、それらの資料を利用するには、ある程度深い理解と勉強が必要になるでしょう。

幸いなことに、そのような目的のための資料には事欠きません。

週刊OSINT 2021-37号 / Week in OSINT #2021-37（転載）

Week in OSINT #2021-37
 

今号は、次のような話題をお届けします。

• Why Look at the Page Source?
• WeVerify Plugin
• Start.me on Canada
• IOCs on Twitter
• Whatsmyname
• Finding Hidden Content on LinkedIn
• Google Alerts

---

Tip: なぜページソースを見るのか？

OSINT分野のハードヒッターが、Twitterで質問をしたらどうなるでしょうか？その質問が「Webページのソースコードを見るべき理由を教えてください」だったらどうでしょう。その結果、興味深いツイッターのスレッドができ、なぜそれが実りあるものになるのか、たくさんの例が出てきます。解析コード、隠れたメタデータ、タイムスタンプ、解析されたJSONデータなど、多くの発見がありました。Kirbyさん、ご質問ありがとうございました。

The #OSINT question for this week: give one reason you might look at the source code or inspect panel for a website during an investigation.

— kirbstr (@kirbstr) September 7, 2021

Link: Twitter thread

---

ツール: WeVerify Plugin

フェイクニュースに対抗するための最良のツールの一つが、WeVerifyプロジェクトのツールボックスです。このツールボックスはブラウザに組み込まれており、ワンクリックで画像の逆引き検索や、便利なツールを集めたメニューを表示することができます。さらに、便利な新機能が追加されたことで、さらに進化しています。

• TwitterやFacebookからのメタデータ
• OCRツール
• イメージフォレンジックの強化
• ファクトチェックサイトのGoogle検索
• ソーシャルメディアのGoogle検索

何よりも素晴らしいのは、ツールの中に学習教材やゲームが用意されていることです。コンテンツのファクトチェックに慣れていない人は、「クラスルーム」や「デモ」を見て、スピードを上げていきましょう。ジャーナリストや研究者のみが利用できるツールもありますので、より高度な機能を利用したい方はアカウントを登録してください。Firefoxのアドオンもいつかアップデートされることを期待しましょう。

「フェイクニュースゲーム」で自分のスキルを試す

---

リンク: Start.me on Canada

Ritu Gillは、カナダに関する有用な情報を集めた「Start.me」のページを作成しました。国レベルのリンクだけでなく、州や地域別のリンクにも分けられています。膨大な量のリンクが掲載されており、カテゴリー別に分けられていないため少し検索する必要がありますが、必要に応じて有用なリンクの世界が広がっています。すべてのハードワークと、それをコミュニティと共有することに感謝します

カナダの情報が必要ですか？そんな時はこのサイトをご利用ください。

---

Tip: IOCs on Twitter

Daniel Lópezはセキュリティアナリストで、phishhunt.ioの開発者です。phishhunt.ioは、ダニエル・ロペス氏のウェブサイト、Twitter、またはGitHubのリポジトリから、Twitterで共有されているIOCを見つけることができます。

ツイッターでのIOCコレクション

彼のレポでもうひとつ興味深いのは、フィッシングキットのコレクションです。Phishhunt.ioは、アクティブなフィッシングサイトをダウンロードし、GitHubのレポに保存しています。ここにあるコレクションは本当に役に立ちます。

Link: TweetFeed

Link: Phishing kits

---

ツール: Whatsmyname

2015年10月にMicah Hoffmanは、ユーザー名を列挙するツールWhatsmynameを作成しました。このスクリプトは他のツールとは異なり、ウェブサイトに問い合わせをして、エラーがなければヒットするというものではありません。WebサイトやAPIにクエリを送信した後、実際にコンテンツを確認します。誤検出が減り、手作業に費やす時間も減りました。また、コミュニティのおかげで、さらに多くのサイトが追加されました。現在、300以上のウェブサイトが含まれていますが、あなたの助けが必要です。お気軽にフォームにご記入いただくか、プルリクエストを作成してサイトを追加してください。

Link: GitHub repo

Link: WhatsMyName web app

---

Tip: LinkedInの隠れたコンテンツを見つける

LinkedInユーザーにとっては、すべてが見えるわけではありません。なぜなら、プロフィールを見てもはっきりとは見えない情報もあるからです。しかし、古き良き時代のGoogleは、これらの隠れた情報を認識しており、Henk van EssがTwitterのスレッドで示したように、人々が働く場所を検索することもできます。

LinkedInで間接的に人を検索する

また、自分のプロフィールがGoogleにインデックスされないようにしても、追加した会社の従業員として表示されてしまいます。Irina Shamaevaのサイトでは、LinkedInの便利なクエリを紹介しています。

Link: Booleanstrings

---

Tutorial: Google Alerts

Tracy MaleeffがGoogleアラートの作成方法について短いチュートリアルを書きました。Googleアラートは、特定のトピックに関する情報を、メールボックスやRSSフィードで簡単に収集することができるサービスです。Googleのこのサービスは2003年に開始されたもので、Googleのデータベースに新しくインデックスされたURLが「アラート」にマッチすると、アラートの作成者に通知されるというサービスを提供しています。非常に便利で、設定も簡単です。この小さなチュートリアルに感謝します。

アラートの設定 - Image by InfoSecSherpa

Link: https://link.medium.com/zboIT78fHjb

ライトオンに不正アクセス、会員の個人情報が流出（転載）

弊社公式オンラインショップへの不正アクセスによる個人情報流出に関するお詫びとご報告 株式会社ライトオン 2021年11月4日
biz.right-on.co.jp/news/topics/11…

ライトオンに不正アクセス、会員の個人情報が流出

衣料小売のライトオンは、公式オンラインショップが不正アクセスを受け、登録会員に関する個人情報が外部に流出したことを明らかにした。

同社によると、会員登録フォームより登録された「ライトオンメンバーズ」の個人情報24万7600件が外部に流出したことが、10月30日に判明したもの。氏名や生年月日、性別、住所、電話番号、メールアドレスなどが含まれる。

10月27日に異常なアクセス件数を検知し、同月23日ごろより断続的に攻撃を受けていたことが発覚。対策を講じたが29日にも不正アクセスを確認し、アクセス元との通信を遮断した。また調査を行ったところ、流出したデータに個人情報が含まれていたことが10月30日に判明したという。

同社は11月3日に警察へ被害を申告するとともに、個人情報保護委員会へ報告。翌4日より対象となる顧客に対して個別に連絡を取っている。

同社では、不正アクセス対策や監視体制を強化するほか、外部事業者によるセキュリティ体制の監査を実施し、再発の防止を図りたいとしている。

プレスリリース（バックアップ）

衣料品通販サイト「LINK IT MALL」に不正アクセス - クレカやアカウント情報が流出か（転載）

弊社が運営する「LINK IT MALL」への不正アクセスによる個人情報漏えいに関するお詫びとお知らせ 株式会社リンクイット
boujeloud.com/c/information/…

衣料品通販サイト「LINK IT MALL」に不正アクセス - クレカやアカウント情報が流出か

ブランド「Bou Jeloud」などの衣料品を扱う通信販売サイト「LINK IT MALL」が不正アクセスを受け、会員のアカウント情報やクレジットカード情報が外部に流出した可能性があることがわかった。

同サイトを運営するリンクイットによれば、ウェブサイトの決済アプリケーションを改ざんされ、2020年4月27日から2021年3月24日にかけて同サイトで商品を購入した顧客6197人が利用したクレジットカード情報が外部に流出し、不正に利用された可能性があることが判明したもの。

対象となるクレジットカード情報は6485件で、クレジットカードの名義、番号、有効期限、セキュリティコードが含まれる。また同サイトに登録する顧客のメールアドレスやログインパスワードについても流出した可能性があり、パスワードの初期化を実施したという。

4月20日に決済代行会社から情報流出の可能性について指摘があり問題が発覚。4月30日に警察へ被害を申告し、個人情報保護委員会に対しても7月21日に報告した。

外部事業者による調査は9月29日に終えており、対象となる顧客に対しては、11月4日よりメールで連絡を取って謝罪し、身に覚えのない請求が行われていないか確認するよう求めている。

プレスリリース（バックアップ）

手芸用品通販サイトに不正アクセス - 社内ネットワーク経由でサイト改ざん（転載）～想定損害賠償額は5,000万円程度か～

[PDF] 弊社が運営する「パーツクラブ オンライン」への不正アクセスによる個人情報漏えいに関するお詫びとお知らせ 
endless-inc.jp/img/news/21110…
パーツクラブ・オンラインからのカード情報漏えい
手芸用品通販サイトに不正アクセス - 社内ネットワーク経由でサイト改ざん

アクセサリーの部品やビーズなどの手芸製品を扱う通信販売サイト「パーツクラブオンライン」に不正アクセスがあり、クレジットカード情報が外部に流出し、不正に利用された可能性があることがわかった。

同サイトを運営するエンドレスによれば、同社の社内ネットワーク経由で同サイトに不正アクセスが行われ、ウェブサイトの決済アプリケーションを改ざんされたもの。6月30日に顧客から情報流出の可能性について指摘があり、問題が判明した。

5月27日からクレジットカードによる決済を停止した7月1日にかけて、クレジットカードの番号、有効期限、セキュリティコードなど、顧客2070人が購入時に利用したクレジットカードに関する情報を窃取され、不正に利用された可能性がある。

7月2日に警察へ被害を申告し、情報処理推進機構（IPA）にも不正アクセスを届けたほか、7月15日には個人情報保護委員会へ報告した。

外部事業者による調査は9月27日に完了しており、対象となる顧客に対しては、11月1日よりメールや書面を通じて顧客に連絡を取り謝罪し、身に覚えのない請求がないか確認するよう注意喚起を行っている。

プレスリリース（バックアップ）

家具やインテリアの通販ショップに不正アクセス（転載）

[PDF] 弊社が運営する「オンラインショップ」への不正アクセスによる個人情報漏洩に関するお詫びとお知らせ 株式会社かねたや家具店 
kanetaya.com/infomation2021…

家具やインテリアの通販ショップに不正アクセス

家具やインテリアを扱う通信販売サイト「ROOMDECOオンラインショップ」が不正アクセスを受け、アカウント情報やクレジットカード情報が窃取された可能性があることがわかった。

同サイトを運営するかねたや家具店によれば、3月5日から6月6日にかけて同サイトでクレジットカード決済を利用した顧客129人のクレジットカード情報140件が外部へ流出した可能性があることが判明したもの。

脆弱性を突かれて決済アプリケーションを改ざんされ、クレジットカードの番号、有効期限、セキュリティコードのほか、会員のID、ログインパスワードなどを窃取された可能性がある。6月7日に同サイトの保守を行う会社からクレジットカード情報が流出した可能性があるとの連絡があり、問題が判明した。

ログの調査では、会員情報や受注情報のデータベースに対してアクセスが行われた形跡も確認されたが、データベースがら情報を窃取された明確な痕跡は確認されていないと説明している。

外部事業者による調査は8月31日に終えており、9月7日に個人情報保護委員会へ報告。同日警察にも被害を申告したという。

クレジットカード情報が流出した可能性がある顧客に対しては、10月28日よりメールにて事情を説明するとともに謝罪し、身に覚えのない請求がないか注意を呼びかけている。

プレスリリース（バックアップ）

バイク関連製品通販サイトで個人情報流出のおそれ - 3Dセキュアも（転載）

弊社が運営する「TANAXオンラインショップ」への不正アクセスによる 個人情報漏えいに関するお詫びとお知らせ タナックス株式会社 2021年10月27日
tanax.co.jp/motorcycle/top…

バイク関連製品通販サイトで個人情報流出のおそれ - 3Dセキュアも

オートバイや自転車向け製品を扱う通信販売サイト「TANAXオンラインショップ」が不正アクセスを受け、クレジットカード情報をはじめとする個人情報を窃取され、不正に利用された可能性があることが判明した。

同サイトを運営するタナックスによれば、2020年12月7日から2021年1月7日にかけて、同サイトで決済に利用された顧客のクレジットカード情報26件が外部に流出し、不正に利用された可能性があることが明らかとなったもの。

脆弱性を突く不正アクセスを受け、決済アプリケーションが改ざんされたもので、氏名や住所、電話番号、メールアドレスのほか、クレジットカードの名義、番号、有効期限、セキュリティコード、3Dセキュアのパスワードなどを窃取されたおそれがある。

1月7日に購入者より情報流出の可能性について指摘があり、1月15日にクレジットカードによる決済を停止。同日警察へ被害を申告するとともに、外部事業者による調査を進めていた。外部事業者による調査は8月13日に完了しており、9月14日に個人情報保護委員会へ報告している。

同社では対象となる顧客に対し、10月27日よりメールや電話で経緯を説明して謝罪するとともに、心当たりのない請求が行われていないか確認するよう求めている。

プレスリリース