アジア各地の大東亜戦争戦跡

2019年8/15はタイのバンコクにいたため、数日遅れましたが、本日8/18に靖国神社に参拝に行ってきました。

大東亜戦争で亡くなった方々のことを思うと、今の平和な生活にあらためて感謝せねばと強く感じます。

感謝するだけでは足りないと感じ、タイミングが合えばアジア各地にある大東亜戦争の戦跡にも少しずつ訪問しています。

まだいけていない部分も多いのですが、少し整理してみたいと思います。

■■行ったところ■■

・2000年：関東軍七三一部隊関連（中国・ハルピン）

・2001年：毒ガス関連（広島県大久野島）

・2005年：泰緬鉄道関連（タイ・カンチャナブリ）

・2005年：日本軍慰霊塔（タイ・カンチャナブリ）

・2013年：マッキンレー丘舎跡（さくら兵営）（フィリピン・マニラ）

・2018年：ヤンゴン日本人墓地（ミャンマー・ヤンゴン）

・2021年：人吉海軍航空基地（熊本県）

■■今後行ってみたいところ■■

・泰緬鉄道のミャンマー側（ミャンマー・モン州）

・ガダルカナル島（ソロモン諸島）

・ブーゲンビル島ブイン（パプアニューギニア）
　⇒映画「連合艦隊」で登場

・ラバウル（パプアニューギニア）
　⇒映画「あゝ決戦航空隊」で登場

・ウエワク（パプアニューギニア）
　⇒ゲーム「提督の決断」に登場

・トラック諸島（ミクロネシア連邦）
　⇒ゲーム「提督の決断」に登場

・コタバル（マレーシア）

・抑留日本兵建築物（キルギス・タムガ）

・インパール作戦関連（インド・ロトパチン村）

・移民資料館（ブラジル・サンパウロ）

・マバラカット（フィリピン）
　⇒映画「あゝ決戦航空隊」で登場

・海軍博物館（米国：ワシントンDC）

・産業博物館（英国：マンチェスター）

・山本五十六記念館（新潟県長岡市）

・修武台記念館（航空自衛隊入間基地内）

・知覧特攻基地（鹿児島県南九州市）

■■その他戦跡巡りに役立ちそうなサイト■■

帝國陸海軍現存兵器保有國一覧

Go! Go! キョロちゃん !!!

太平洋の戦跡を訪ねて

戦跡の歩き方

【逆ギレ！？】ウェブページの不具合を指摘したら逆に訴えられた件（転載）

「ウェブページのソース閲覧はハッキング」、情報漏洩を指摘した人物をミズーリ州知事が起訴する意向:

ミズーリ州のマイク・パーソン知事が、州が管理するウェブサイトで教職員の個人情報が暗号化もされずに閲覧可能な状態になっているのを発見・報告したジャーナリスト、ジョシュ・ルノー氏を起訴する意向を示しています。

2021年秋、St. Louis Post-Dispatch紙の記者として活動しているルノー氏は州教育委員会(Department of Elementary and Secondary Education：DESE)のサイトを閲覧中に、ウェブページのソースコード上に10万人以上の学校教師、学校管理者、カウンセラーの社会保障番号が平文で記述されているのを発見、公表はせず、国にこの問題を報告しました。

その後、問題がすべて解決されたのを待って、ルノー氏はこれを記事化しました。おかげで、州当局には直接な被害は発生することもありませんでした。

しかしこの、本来なら州から感謝状の1枚も贈られてよいはずの行動に対して、パーソン知事は何を思ったのかルノー氏を「ウェブサイトをハッキングした」として犯罪者扱いし、起訴する意向を示しています。さらに州教育委員会のマギー・ヴァンデヴェン氏も、教育関係者への配布文書のなかで「ある人物がウェブページにおけるソースコードの暗号化を解除し、少なくとも3人の教育関係者の記録を持ち出し、その社会保障番号を閲覧した」と述べました。

一般的にウェブページのソースコードは平文で記述され、誰でもブラウザーのメニューからソースコードを表示閲覧できます。しかし、知事と教育委員会の理屈では、自分が所有していないウェブサイトで、その(誰でも見ることができる)HTMLソースを見ると、その人は悪意あるハッカーとみなされてしまうことになります。

St. Louis Post-Dispatch紙はこの問題に対し、FBIが州当局に対し問題はウェブサイトの不適切な設定で情報が閲覧可能になっていたことであり、ルノー氏の行為は「ネットワーク侵害にはあたらない」と助言したと報じています。また紙が入手した公文書からは、教育委員会のヴァンデヴェン氏が、当初はルノー氏に脆弱性の発見と未然の解決に至ったことを感謝するつもりだったことがわかっています。ヴァンデヴェン氏は知事に面会したときに考えを翻したようです。

知事がこのようなおかしな判断に固執するのは、どうやら知事が任命する法的監督機関であるハイウェイパトロールが、St. Louis Post-Dispatch紙の記事に関する調査を実施し検察に引き渡した報告を根拠としているようです。知事は検察への報告があった翌々日から、検察に対してルノー氏と新聞社をコンピューター改ざんに関連する州法を適用して起訴すべきだと主張しているとのことです。

パーソン知事は会見で、ルノー氏の行動を「他人の家のドアロックをピッキングで開けて勝手に入り込むような行為」とたとえて非難しました。しかし、実際にはピッキング(暗号を解除する)行為などはおこなわれておらず、適切なたとえとは言えないでしょう。むしろ最初から「全開のドアの前を通りがかったら、人に見られたら困るであろうものが目の前にデデンと置かれていた」というほうが適切です。

ルノー氏にしてみれば、チャック全開で歩いてきた人に「開いてますよ」とこっそり教えたら逆ギレされたような展開はまったくつまらないはず。知事と教育委員会は周囲の(まともな)意見にもっと耳を傾けるべきかも知れません。

東証1部上場応用地質のグループ会社KCSのサイトが不正アクセスによりフィッシングサイトとなる

東証1部上場応用地質のグループ会社が不正アクセスによる改ざん被害、フィッシングサイトとなった形跡:

東証1部上場企業の応用地質株式会社は2022年1月28日、同社グループ会社の株式会社ケー・シー・エス（KCS）のWebサイトへの不正アクセスによる改ざんについて発表した。

応用地質によると、KCSのWebサイトが改ざんされフィッシングサイトとなった形跡が確認されたため、当該サイトを停止し、ネットワークを切断してサーバ内の状態を調査を開始し、今後も接続ログなどの確認を行う。また現在は、専門会社の協力を得て、当該サイトの復旧作業を実施しており、一部公開の状態となっている。

応用地質によると、外部回線の切断が早期に行われたため閲覧者へのフィッシング被害はないと考えているとのこと。

プレスリリース（アーカイブ）

積水ハウスグループで「再び」Emotet感染

積水ハウスグループで再び「Emotet」感染を確認:

積水ハウス株式会社は2022年1月28日、同社グループ従業員を装った不審メールについて発表した。

同社によると、同社グループの一部のパソコンが「Emotet」に感染し、同社グループ従業員を装った不審メールが、同社グループ従業員とメール連絡を行った複数人に送信されたことが確認されたという。

同社では不審メールは同社グループ（*****sekisuihouse.co.jp等）と異なるメールアドレスから送信されていることを確認しており、不審メールを受信した場合は、添付ファイルの開封や本文中のURLをクリックしないよう呼びかけている。

同社では2020年9月28日にも、同社グループの一部のパソコンが「Emotet」に感染した旨を公表（アーカイブ）していた。

同社グループではこれまで、ウイルス対策として不審メールのブロックなどを進めてきたが、今後はより一層の情報セキュリティ対策の強化を推進するとのこと。

プレスリリース（アーカイブ）

プライバシーが守られない2022北京オリンピックアプリ / Beijing 2022 Winter Olympics app bursting with privacy risks

Beijing 2022 Winter Olympics app bursting with privacy risks:

2022年北京冬季オリンピックの公式アプリ「My 2022」が、ユーザーの機密データ保護に関して安全でないことが判明しました。

最も重要なのは、このアプリの暗号化システムに重大な欠陥があり、中間搾取者が平文で文書、音声、ファイルにアクセスできるようになっていることです。

「My 2022」はまた、キーワードのリストに基づく検閲の対象であり、ユーザーがアップロードしなければならないすべての機密データを誰が正確に受け取り、処理するのかを決定していない不明瞭なプライバシーポリシーを持っています。

そのため、GoogleのソフトウェアポリシーとAppleのApp Storeのガイドラインに違反しているにもかかわらず、両方のストアで入手可能です。最後に、このアプリは、プライバシー保護に関する中国自身の法律に違反しています。

すべてを要求する

Citizen Labによる詳細なレポートでは、研究者が「My 2022」アプリの潜在的なプライバシーとセキュリティの問題を分析し、アプリが以下の機密情報を収集していることが判明しています。

デバイスの識別子とモデル
携帯電話サービスプロバイダー情報
端末にインストールされているアプリ
無線LANの状態
リアルタイムの位置情報
オーディオ情報
端末ストレージへのアクセス
位置情報アクセス

このデータ収集はプライバシーポリシーで開示されており、武漢ウイルスの保護制御、翻訳サービス、Weiboの統合、観光の推奨とナビゲーションに必要なものである。

ただし、「My 2022」の利用は任意ではありません。選手、報道関係者、観客は全員、アプリをインストールし、個人情報を追加しなければならない。

中国国内のユーザーの場合、「My 2022」は名前、国民ID番号、電話番号、メールアドレス、プロフィール写真、雇用情報を収集し、2022年北京オリンピック組織委員会と共有します。

中国国民以外場合、「My 2022」は完全なパスポート情報、日々の健康状態、武漢ウイルスのワクチン接種状況、人口統計データ、どの組織で働くかなどを収集する。

安全性の低い通信

さらに懸念されるのは、アプリのSSLベースの暗号化に欠陥があり、認証検証の問題から不正な接続を許してしまうことです。

Citizen Labの調査結果によると、攻撃者は少なくとも5つのサーバになりすまし、アプリから送信されるデータを傍受し、悪意のあるホストを信頼できると見なすよう仕向けることができます。

そのため、前項で説明したすべての機密データは、中国政府の管理下にない第三者によって収集される可能性があります。

サーバ詐称の問題に加え、アナリストは、送信データが常に暗号化されているとは限らないため、単純なネットワークパケットの盗聴によって、機密メタデータを含む一部の送信を傍受し、平文で読み取ることが可能であることを発見しました。

外部からの不正アクセスで嵐電オフィシャルサイトが閲覧不能に

外部からの不正アクセスで嵐電オフィシャルサイトが閲覧不能に:

京福電気鉄道株式会社は2022年2月1日、同社が運営する嵐電オフィシャルサイトに外部から不正アクセスがあり、閲覧不能な状態になったと発表した。

同社によると、当該サイトにアクセスした顧客への影響はなく、顧客の個人情報の取扱いは行っていないため情報漏えい等の懸念はない。

同社では当面、嵐電オフィシャルサイトは仮設サイトでの運営となるが、必要なコンテンツは順次補強するなどの対応を行う。

プレスリリース（アーカイブ）

2022年1月1日～15日のサイバー攻撃タイムライン / 1-15 January 2022 Cyber Attacks Timeline

1-15 January 2022 Cyber Attacks Timeline:

2022年は、収集した事象の数が顕著に減少することから始まります。この数（84件）は、前の月よりも少ないものの、2021年1月前半の値（88件）とほぼ一致しています。脅威者はクリスマス休暇を利用して休息をとっているようです。

しかし、休みにもかかわらず、ランサムウェアは84件中26件（30.9%に相当）と、引き続き脅威の状況を特徴づけており、12月の第2タイムラインの23.6%と比較して重要な伸びを示しています。一方、脆弱性を悪用した攻撃は、前回の16.5%から7.1%（84件中6件）に減少しています。

2022年初頭には、医療やエンターテインメントなど複数の組織から100万件の記録が吸い上げられるなど、メガブリーチが懸念される傾向にあるようです。これが短期間で終わる現象なのか、それとも本当に今年全体を特徴づけるものになるのか、興味が尽きない。

さらに、NFTの分野で事業を展開するフィンテック企業が、攻撃者によって大量の資金を奪われたハッキングされた新興企業のリストに加わりました。

世界中の組織を狙う複数の脅威が存在し、サイバー諜報戦線に新しい動きはない。このリストには、APT32 (AKA OceanLotus), APT35 (AKA Charming Kittens), APT37, Patchworkなどの有名な脅威主体や、米国の地方自治体を標的とする複数のロシアの脅威主体が含まれています。

最後になりましたが、ウクライナは、現実の世界だけでなく、戦争のホットフロントであり続けています。この2週間で、ウクライナでは少なくとも2つの被害がありました。さまざまな公共機関に属する複数のサイトが大規模に改ざんされ（ロシアを後ろ盾とするGhostWriterが実行したとされる同様の作戦はポーランドでも発生）、さらに悪いことに、WhisperGateと呼ばれる破壊的なデータ消去マルウェアが発生したのです。

TryHackMe契約とVPN接続メモ

2021年末、log4jの脆弱性が公表され、いろいろ調べているうちに、TryHackMeというサイトに出会った。

このサイトでは、実際にサイト運営側で用意したやられサイトを用いて、脆弱性の概要から実際のハッキングまで学ぶことができる

https://tryhackme.com/room/solar

こういうのはまさに仮想化の恩恵である。

サイト上でボタンをクリックするだけで、制限時間付きのやられサイトが立ち上げってきて、有料会員であれば自環境からVPN接続してアタックすることができるし、運営側で用意してくれる仮想環境を使ってアタックすることもできる。

ちなみにこのようなペネトレーショントレーニングのサービスプロバイダは日本には存在しないが、海外にはいくつか存在しているらしい。

その一つが、今回自分が契約した、TryHackMe。

もう一つがHack The Box。

Hack The Boxは期限がない、もしくはすごく長いCTFみたいな感じ。上級者向けで、NTTセキュリティでも採用されている模様。

TryHackMeはチュートリアル付きで、初級・中級者向けと言われている。

課金は月額10USDか、年間契約で7.5USD/月（確か）があり、いきなり年間契約はちょっと怖いので、月額で課金してみることにした。

課金すると自環境からVPN接続できるようになるため、手元のkali linuxから接続できるようにVPN接続のメモを残しておく。

まず、OpenVPNの構成ファイルをダウンロードするページに移動します。

https://tryhackme.com/access

緑色の「Download My Configuration File」をクリック

<自分のユーザー名>.ovpnという接続設定のファイルがダウンロードできるので、接続するLinux環境にダウンロードします。

その後、Linux環境にてOpenVPNのインストールを行い、VPN接続を行います。

# OpenVPNをインストール（入ってないとき）
sudo apt install openvpn 

# 接続用のファイル置き場をつくる
mkdir tryhackme  

# ダウンロードしてきたovpnファイルを移動させる
mv ~/Downloads/<username>.ovpn tryhackme/

# OpenVPNコマンド実行して接続　
sudo openvpn tryhackme/<username>.ovpn

<username>のところは自分のユーザ名に読み替えてください。