株式会社サイバーセキュリティクラウドは、2021年公表のサイバー攻撃に関する個人情報漏えい事案に基づいた「個人情報漏洩被害公表と株価の変化に関する調査レポート」を発表した。
同調査は2021年1月1日から12月31日に公表された法人・団体における不正アクセスに関する被害規模1,000件以上の主な個人情報流出事案110件について、個人情報漏えい被害がもたらす企業の株価への影響を調査したもの。
同調査によると、対象となった110件の個人情報漏えい事案のうち約2割となる24件が上場企業で発生し、そのうち18件がサイバー攻撃による個人情報漏えい事案であることが判明した。
被害にあった上場企業で、情報漏えいに関する適時開示の前日と翌日の株価終値を比較したところ、約8割となる14社の株価が下落し、最大下落率は21.6%、平均下落率は2.8%となった。14社の情報漏えいに関する適時開示前日と適時開示を行った30日後、60日後を比較したところ、平均下落率がそれぞれ5.2%、5.0%となり、30日後まで下落幅が拡大し続けることが明らかになった。
2021年、私たちは武漢ウイルスのパンデミックを乗り越え、新たな日常へと移行する中、(約束通り)大きな構造改革を行うことなく、ATT&CKを進化させ続けています。データの観点から敵の行動をより効果的に表現するためのATT&CKのデータソース手法など、多くの分野で前進を遂げることが出来ました。macOSとLinuxのコンテンツを改良し、ATT&CK for Containersをリリースしました。クラウド分野では、従来のAWS、Azure、GCPのプラットフォームを単一のIaaS(Infrastructure as a Service)プラットフォームとして統合したことが功を奏しました。ICSをクロスドメインマッピングで更新し、インフラチームは新しいATT&CK Navigator要素を導入して、レイヤーの比較と可視化の体験を向上させました。最後に、8つの新しいテクニック、27のサブテクニック、24の新しいグループ、そして100以上の新しいソフトウェアエントリーが追加されました。
2022 Roadmap
2022年に向けて、フレームワークのエキサイティングな調整がいくつか予定されています。今年は構造的な変更(モバイルサブテクニックとキャンペーンの導入)がありますが、2020年のエンタープライズサブテクニックの追加ほどにはならない予定です。CampaignsとMobileサブテクに加え、今年の主な調整内容は、検出のオブジェクトへの変換、オーバーレイやコンビネーションの使い方の革新、ICSアセットの拡張などです。4月と10月の年2回のリリーススケジュールを維持し、Mobileサブテクニックのポイントリリース(v11.1)を予定しています。
ATT&CKcon 3.0 | March 2022
ATT&CKConを開催できることを大変うれしく思っています。ATT&CKチームやコミュニティーの皆さんと一緒に、組織や個人がATT&CKを活用しているすべての最新情報、洞察、創造的な方法について聞くことができることを楽しみにしています。また、ATT&CKcon 3.0のページでは、カンファレンスの全容を無料でライブストリーミングしています。
Detection Objects | April & October 2022
ここ数年、ATT&CKの様々な実用的なフィールドを管理オブジェクトに変換することが繰り返されてきました。ATT&CKのv5では、緩和策をオブジェクトに変換し、その価値と使いやすさを向上させました。この変換により、緩和策を特定し、それが防止できる様々な技術にピボットすることができるようになりました。この変換により、ミティゲーションを特定し、そのミティゲーションが防ぐ可能性のある様々な技術にピボットすることができます。これは、多くの皆様がATT&CKを異なるコントロール/リスクのフレームワークにマッピングするために活用されている機能です。また、v10では、データソースをオブジェクトに変換し、同様のピボットと分析ができるようになりました。
次に、検出については、現在テクニックで紹介されているフリーテキストを、データソースと結びついた記述に洗練・統合するアプローチを並行して実施する予定です。これにより、各技術について、その検出のために何を収集する必要があるか(データソース)、また、そのデータをどのように分析すれば、ある技術を特定できるか(検出)を記述することができるようになるのです。
Campaigns | October 2022
今年の大きな変更点としては、キャンペーンが導入されたことが挙げられます。キャンペーンとは、共通のターゲットと目的を持ち、特定の期間に実施された侵入活動のグループと定義されます。この活動は、特定の脅威者にリンクしている場合もありますが、そうでない場合もあります。例えば、Solar Windsのサイバー侵入は、ATT&CKのG0016脅威グループに起因するキャンペーンとなります。ATT&CK の既存の構造では、ある脅威行為者のすべての活動が 1 つのグループエントリの下にまとめられ ているため、傾向を正確に把握し、脅威行為者が時間とともにどのように進化したかを理解し(あるいはしていない)、 異なる事象間の差異を識別し、逆に、ある行為者が依拠する可能性のある特定の手法を識別することが困難になっています。
ATT&CKでは、他の人が名前を付けていない活動をグループとして追加したことはありません。例えば、あるレポートがグループやキャンペーンの行動を記述していても、その侵入活動にFUZZYSNUGGLYDUCK/APT1337のような固有の名前を付けていない場合(または名前を付けた他の人のレポートにリンクしている場合)、そのレポートをATT&CKに取り入れることはありません。キャンペーンの導入により、アクティビティに名前を付けず、独自の識別子を使用するレポートが含まれるようになります(キャンペーンC0001にご注意ください)。一方、この新しい構造によって、同じ名前が付けられたアクティビティ(例:Lazarus)をよりよく管理できるようになり、一緒にグループ化されてはいけないアクティビティを分離する方法が提供されます。また、Ransomware-as-a-Serviceのように、複数の脅威者が関与している可能性のある侵入活動にも対応できるようになります。
ATT&CKにおけるキャンペーンと関連するIDの表示方法については、現在検討中であり、今後数ヶ月のうちに詳細をお知らせする予定です。グループとソフトウェアのページはほとんど変更されません。彼らは引き続き、テクニックとサブテクニックの集合リストを特徴とし、ネットワーク防御者が全体的に関連するNavigatorレイヤーを作成し、同様の分析を行うことができます。しかし、関連するグループ/ソフトウェアページへのキャンペーンリンクは追加される予定です。10月のリリースでキャンペーンを統合する準備をしているため、詳細は年内にお知らせします。
Mobile | April 2022
Mobileのサブテクニックについては、以前から話していましたが、もうすぐ登場するということで、わくわくしています。Mobileチームは2021年、ATT&CK for MobileをATT&CK for Enterpriseと機能的に同等にするために、サブテクニックがMobileマトリックスに収まる場所を特定するなど、懸命に作業していました。2021年10月のv10リリース記事で取り上げたように、MobileサブテクニックはEnterpriseサブテクニックの構造を反映することになります。4月のATT&CK v11リリースの一部として、エンタープライズで行ったのと同様に、コミュニティのフィードバック用にサブテクニックのベータ版を含める予定です。最終的に完成したサブテクニックはポイントリリース(例:v11.1)で公開する予定です。サブテクニックのプロセスやスケジュールの詳細については、4月のリリース記事に記載する予定です。サブテクニックに加え、モバイル データ ソース オブジェクトのコンセプトにも取り組み、昨年開始したモバイル デバイスに対する重大な脅威に焦点を当てたミニシリーズを再開する予定です。新しいテクニックの作成にご協力いただける方、または観察した挙動を共有したい方は、ぜひご連絡ください。
最後に、まもなく到着する「ATT&CK for Mobile 2022 ロードマップ」にご期待ください。通常、技術領域別にロードマップを発行することはありませんが、今年はモバイルのアップデートとコンテンツの変更予定をカバーするために、若干のスペースが必要です。
MacOS and Linux | April & October 2022
昨年はmacOSとLinuxのプラットフォームの調整、追加、コンテンツの更新を多く行いました。2022年は、Linuxのアップデートに重点を移行していきたいと考えています。4月のリリースは、昨年からのいくつかのmacOSへの貢献を解決することが中心となります。これらのアップデートには、親テクニックの範囲を広げて他のプラットフォームを含めること、サブテクニックの追加、具体的な使用例による手順の更新、データソースと検出努力のサポートが含まれます。私たちは、年間を通じてmacOSのアップデートを続け、このプラットフォームをより良く表現できるようになったコミュニティの関与と貢献者の皆様に大変感謝しています。
また、4月のリリースでは、Linuxの言語とプラットフォームのマッピングを改訂する予定です。10月のリリースまでには、すべての技術について、ATT&CKにおけるLinuxの表現が改善されることを目指しています。Linuxは敵対勢力によって頻繁に利用されていますが、公開されているレポートでは詳細が不明なことが多く、ATT&CKにとって難しいプラットフォームとなっています。私たちがこの分野を表現する能力は、Linux セキュリティ・コミュニティの皆さんと密接に関係しており、今後数ヶ月の間に皆さんとより多くの関係を築きたいと考えています。もし、あなたが観察した活動や技術的な提案を共有することに興味があれば、ぜひ私たちに知らせてください。
ICS | October 2022
2021年にICSコンテンツとデータソースを更新し、今後数ヶ月の間にICS Assetsの拡張と検出の追加を行う予定です。資産名は特定のICSバーティカル(電力、水処理、製造など)に関連付けられ、関連する技術マッピングにより、ユーザーは技術が自分の環境に適用されるかどうか、どのように適用されるかを理解することができます。さらに、より詳細な資産定義により、技術や業種による機能の類似点や相違点を強調することができます。各技術に追加される検出機能では、最近更新されたデータソースを使用して敵の行動を特定する方法についてのガイダンスが提供される予定です。最後に、今年後半には、ICSをエンタープライズと同じプラットフォーム上に統合し、ATT&CKウェブサイト(attack.mitre.org)の他のドメインに参加させる準備を進めています。
"Leet"という言葉をご存じだろうか。leet(リート、1337、l33t)は、主に英語圏においてインターネット上で使われるアルファベットの表記法である。leetspeak(リートスピーク)とも呼ばれる。
leet は、英語の elite(エリート)が eleet に変化し、さらに語頭の e がとれてできた俗語である。日本ではハッカー語と呼ばれることもある。
たとえば、「Warez」という語を leet で表記すると、「W@rez」や「W4r3z」などとなるように、一部のアルファベットを形の似たアラビア数字や記号などに変化させる。
表記法は、「for」や「to」をそれぞれ似た発音の「4」や「2」で代用したり、同様に「you」を「u」と置き換えたり、複数形の「s」を「z」に変えたり、「cks」または「ks」で終わる単語を「x」に差し替えたり、故意に綴りを誤って表記したり、大文字と小文字を混在させたりするなど、多様である。
leet は遊び心で行われる他に、警察や著作権関連機関または初心者(ニュービー)などの検索を回避する目的で使われることもある(むしろそちらのほうが由来、とするほうがあたっているかもしれない)。
日本では、一部でメールアドレスやオンラインゲームのキャラクター名などに leet が用いられる場合がある程度であり、広く認知されているとはいえない。これは、一般的に英語で文書を記す機会が少ないからである。
ネットコミュニティ上だけでなく、「P2P」(Peer to Peer) や「B2B」(BtoB、企業間取引)のように、実社会で広く使われる語もある。ただし、これらは音声的類似による表記であり、文字的類似による表記である leet とは異なるとすることもある[1]。これらに限らず、略称で前置詞「to」や「for」を「2」や「4」に置き換えている例は多い。
出典:Wikipedia
という訳で、日本ではあまりなじみのないleetだが、とあるセミナーでleetコンバーターを知ったので、紹介したい。
Universal Leet (L337, L33T, 1337) Converter
ちなみに最近システム障害が伝統芸にりつつある某みすぼらしい銀行はleetで表現すると下記となる。
m1zuh0 b4nk, l7d.
新年最初である Kali Linux 2022.1 を、リリースします。このリリースでは、様々なビジュアルアップデートと既存機能の微調整が行われており、既存のKali Linuxインストールをお持ちの方は、すぐにダウンロードまたはアップグレードすることができます。
2021年12月の2021.4リリースからの変更点の概要は以下の通りです。
それ以外にも、まだ準備が整っていないだけで、新しい機能にも取り組んでいます(ドキュメントがまだ完成していないため!)。これは大きなものなので、私たちにとって重要であることを示すために、準備ができ次第、専用のブログ記事を用意する予定です。これはベアメタルインストーラのためのものです!
Visual Refresh:テーマ更新
Kali 2021.2 で約束したように、このリリース (2022.1) 以降、毎年リリースされる 20xx.1バージョンは、主要なビジュアルアップデートを行う唯一のリリースとなります。1年ごとのライフサイクルを使用することで、Kali Linux の異なるバージョンを時間の経過とともに認識することが容易になります。このアップデートには、デスクトップ、ログイン、ブートディスプレイの新しい壁紙と、最近アップデートされた方はご存知かもしれませんが、リフレッシュされたインストーラテーマが含まれています。
また、ISOイメージに含まれるブートメニューの機能、テーマ、レイアウトも改善されました。これらの変更により、全体的に一貫性を持たせることができます。以前は、UEFI と BIOS のブートメニューは異なるオプション、デザインを持っており、また書き方も異なっていたため、混乱させていました。さらに、「インストーラー」、「ライブ」、「ネットインストール」、「ミニ」オプションの間にも複数の違いがあったことも混ざっています。これらの問題はすべて解決され、現在ではすべてにおいて普遍的な感覚を持つようになりました。
シェルプロンプトの変更
皆様からのご意見に、私たちは耳を傾けました。私たちは、2020.4の最後のプロンプトの更新以来、あなたの人生をより快適にすることを願って、いくつかの微調整を行いました。この問題の例としては、専門的なペンテストレポートを書くときや、コードのデバッグを共同で行い、ターミナルを共有するとき、右側のプロンプト(終了コードとバックグラウンドプロセスの数が表示されていた)が邪魔になる場合があります。そこで、私たちのデフォルトシェルであるZSHからは、このプロンプトが削除されました。これに伴い、ルートプロンプトのドクロはシンプルな ㉿ に置き換えられました。ルートの頭蓋骨 (💀) が恋しい人は、簡単に ~/.zshrc を編集することができます。
┌──(root㉿kali)-[~]
└─# sed -i 's/prompt_symbol=㉿/prompt_symbol=💀/' ~/.zshrc
┌──(root㉿kali)-[~]
└─# source ~/.zshrc
┌──(root💀kali)-[~]
└─#Kali 2022.1 を新規にインストールすると、これらの変更が適用されます。アップグレードする場合は、以下のように手動でこれらの編集を適用する必要があります。
┌──(kali㉿kali)-[~]
└─$ cp -i /etc/skel/.{bash,zsh}rc ~/ブラウザのランディングページを刷新
このリリースでは、Kali に同梱されているデフォルトのランディングページの外観が新しくなりました。刷新されたドキュメントサイト (Kali-Docs と Kali-Tools) を活用し、検索機能は Kali Linux を使って必要なものをほとんど見つけるのに役立ちます!
「kali-linux-everything」イメージ: 全てが一つの場所に
今回のリリースでは、新しいフレーバーとして「kali-linux-everything」イメージが追加されました。これにより、Kali のすべてのツールがプリインストールされた完全なオフラインのスタンドアロン イメージ (ISO) を使用できるようになります。これまでと異なり、ユーザーはネットワークミラー経由で Kali のセットアップ中に "kali-linux-everything" パッケージをダウンロードする必要がありません。サイズが大きくなるため (~2.8GB から ~9.4GB) 、これらのイメージは、トラフィックを処理するために設計された技術である BitTorrent を使用してのみ、最初に提供される予定です。さらに、パッケージの数が増えるため、Kali のインストールにも時間がかかるようになります。
もし、あなたが自分のやっていることを理解し、これが好きだと思えるなら、Torrent を入手して試してみてください。
Kali のパッケージのグループ化について詳しく知りたい方は、メタパッケージについてのドキュメントをご覧ください。
現時点では、既知の制限のため、Kaboxerアプリケーションは含まれません。
Kali-Tweaks: Legacy SSH Made Easy
kali-tweaks Hardening セクションに新しい設定があります! Kali の SSH クライアントを Wide Compatibility (古いアルゴリズムと暗号を有効にする) に設定できるようになりました。そのおかげで、それらを使用する古いサーバへの接続が簡単になり、コマンドラインで明示的に追加のオプションを渡す必要がなくなりました。
この設定の目的は、脆弱なSSHサーバを発見しやすくすることで、先に説明したように、より多くの潜在的な攻撃面を開くことができます(これは、最近のペンテストにより、無停電電源装置がネットワークを完全に破壊する足がかりを与えてくれたことがきっかけでした)。
OpenSSL や Samba とは異なり、この弱体化した動作はデフォルトでは有効になっていないことに注意してください。したがって、この設定に興味がある場合は、kali-tweaks を実行し、Hardening セクションに入り、そこで有効にする必要があります。
現在のHardening画面はこんな感じです。
VMware i3 の改善点
i3 デスクトップ環境 (kali-desktop-i3) のゲスト VM で Kali を使用しているユーザは、VMware のホスト-ゲスト機能 (ドラッグ&ドロップ、コピー&ペーストなど) がデフォルトでは有効になっておらず、手動で行う必要がありました。これは現在修正されており、何もする必要はなく、箱から出してすぐに使えるはずです。これは i3-wm 4.20.1-1 パッケージで有効になりました。
Accessibility: Talk To Me
私たちは常に、できるだけ多くのKaliユーザーをサポートするよう心がけてきました。これは、初期のリリースから今日に至るまで同じです。
目の不自由なユーザーを支援するために、Kaliのセットアップに音声合成が戻ってきたことを喜んでいます。Kali 2021.4 をリリースしたとき、インストーラのサウンドが壊れました。これは、サウンドドライバのパッケージングバグによるもので、残念ながらこの問題はしばらく気づかれませんでした。これは現在修正されています。この問題を報告してくれた isfr8585 に大感謝です!
Kaliの新しいツール
数々のパッケージのアップデートの間に、様々な新しいツールが追加されています! ネットワークレポジトリに追加されたものを簡単に紹介します。
ProjectDiscoveryの仕事とツールにエールを送ります。
Kali Linux 2022.1 のダウンロード
何を待っているのでしょうか?もうダウンロードを始めてください。
Kali Linux のベテランユーザはすでにご存じでしょうが、そうでない方のために、私たちは同様に利用できるウィークリービルドを作成しています。もし、次のリリースを待てず、イメージをダウンロードする際に最新のパッケージ(またはバグフィックス)が欲しい場合は、代わりにウィークリーイメージを使用することができます。この方法では、行うべきアップデートが少なくなります。ただ、これらは自動ビルドであり、私たちの標準リリースイメージのような QA を行っていないことをご承知おきください。しかし、これらのイメージに関するバグレポートは喜んでお受けします!なぜなら、次回のリリースまでに問題が修正されることを望んでいるからです。
既に Kali Linux をインストールしている場合、いつでもクイックアップデートができることを忘れないでください。
┌──(kali㉿kali)-[~]
└─$ echo "deb http://http.kali.org/kali kali-rolling main non-free contrib" | sudo tee /etc/apt/sources.list
┌──(kali㉿kali)-[~]
└─$ sudo apt update && sudo apt -y full-upgrade
┌──(kali㉿kali)-[~]
└─$ cp -rbi /etc/skel/. ~
┌──(kali㉿kali)-[~]
└─$ [ -f /var/run/reboot-required ] && sudo reboot -fこれでKali Linux 2022.1が起動したはずです。そして簡単なチェックをすることができます。
┌──(kali㉿kali)-[~]
└─$ grep VERSION /etc/os-release
VERSION="2022.1"
VERSION_ID="2022.1"
VERSION_CODENAME="kali-rolling"
┌──(kali㉿kali)-[~]
└─$ uname -v
#1 SMP Debian 5.15.15-2kali1 (2022-01-31)
┌──(kali㉿kali)-[~]
└─$ uname -r
5.15.0-kali3-amd64注:uname -r の出力は、システムのアーキテクチャによって異なる場合があります。
いつものように、Kali のバグに遭遇した場合は、バグトラッカーにレポートを提出してください。私たちは、壊れていることを知らないものを修正することはできません! また、Twitterはバグトラッカーではありません
今週もOSINTの世界におけるいくつかのヒント、トリック、ツールを紹介します。ほとんどはすでにたくさんシェアされているので、もっとニッチなリンクを探してみようかな...。
私は時々、ヒントやツール、記事を送ってもらいますが、私のニュースレターに掲載されないこともあります。個人的なことではなく、テストする時間がなかったり、問題が発生して確認する必要があったりして、しばらくそのままになっていることが多いのですが、気にしないでください。この数週間、このようなことが何度かありましたので、このことをはっきりさせておいた方がいいと思いました。今週は、以下の項目をお届けします。
メディア: Mountains and Geolocating
Benjamin Strickは、ジオロケーションの目的で山を利用する方法について話しています。Google Earth 3Dについて、その使用方法と、以前の調査で使用した例をいくつか挙げています。その後、PeakVisorのウェブサイトを紹介し、2つのツールの主な違いについて話します。
小技: Company Search
TwitterユーザーのOSINTcanadaは先週、Google検索で企業の情報を見つける方法について、素敵な小技を披露してくれました。
そこで何が起こっているのか、とても素敵な人々の情報カードが現れました。でも、その間にニュース記事もたくさんあったんです。そこで、Google検索を少しいじり、他の2つのサイトを追加してみました。すると、さらに多くのサイトがヒットし、主に人が表示されるようになりました。
site:(linkedin.com/in | zoominfo.com/p | rocketreach.co | xing.com/people | contactout.com) "company"
記事: Hacking Snakes
BRとWDRのジャーナリストは、長年にわたってハッカーが残した手がかりをたどるために、数カ月にわたって協力してきました。アーカイブされたページなどのオープンソースを利用することで、FSBとつながりのあるハッカー集団の一員と疑われる人物を特定することができたのです。Hakan Tanriverdi、Florian Flade、Lea Freyによる視覚的に素晴らしいストーリーで、サイバー関連の問題の世界でも調査報道が有効であることを示しています。
Link: OSINT Start.me Page
Twitterアカウント@start.meが先週、OSINTをテーマにしたリンクページをシェアしました。このリンク集はFaros Foundationによるもので、たくさんのリンクが含まれています。その多くはすでに知られていると思いますが、通常通り、ニッチであまり知られていないウェブサイトもあります。Start.meのページはすでにたくさんあり、ソースへのリンクもたくさんありますが、常に新しい発見があります。
クレイグ・シルバーマンは自身のニュースレターを発行しており、最終号ではデジタル広告を追跡する際に利用できるさまざまなソースについて述べています。TheMarkupのBlacklightのようなすでに取り上げたツールはもちろん、PageXrayやWell-Known.devのような新しいソースも紹介しています。素晴らしいリンク集です。
小技: Google Maps Tip
The SEINTによるGoogleマップとGoogleストリートビューでの粋な計らい。特定の交差点を探すとき、それらの通りをアンパサンドで検索するだけです。私はそれをテストし、GoogleのAIはあなたがそれに投げるものは何でも理解しています。スペース、カンマ、アンパサンド、単語「と」のあるボットストリート、すべてが機能するようです。それにしても、今まで知らなかった素敵なトリックです。シェアしてくれてありがとうございます
サイト: Instahunt
Instagramの中の面白い場所を見つけるのに役立つクールな小さなサイトです。場所を検索し、ボタンをクリックするだけで、InstagramからすべてのJSONアウトを取得し、ツールはあなたのためにすべてをマップアウトします。検索で返されたすべてのサイトへのInstagramとFacebookのリンクが返され、表示されます。Louis Tomos Evansによる素晴らしいツールです。
1. USA
2. Canada
3. UK
4. France
5. Germany
6. Italy
7. Australia
8. Spain
9. Brazil
10. India
11. Japan
12. Switzerland
13. Mexico
14. Netherlands
15. Austria
16. United Arab Emirates
17. Israel