ループイフダン利益・相場まとめ2022年3月

出典：ループイフダン利益・相場まとめ2022年3月【アイネット証券】:

セキュリティ担当者の価値 / How Do I Demonstrate the ROI of My Security Program?

セキュリティチームは、「ノー」と言うことから脱却し、セキュリティの取り組みをビジネス目標に整合させ、ビジネスリーダーが理解できる方法で指標を報告する必要があります。

セキュリティのROIを実証するには？

セキュリティプログラムのROIを実証する際、セキュリティチームが行うべきことは3つあります。

1つ目は、セキュリティの役割を "NOのオフィス "とする認識を改めることです。セキュリティ・プログラムの役割は、リスクを排除することではなく、ビジネスがリスクを取れるようにすることであることを受け入れる必要があります。例えば、ある企業がリスクの高い国、リスクの高いサイバー法、リスクの高いオペレーターのいる国で事業を立ち上げる必要がある場合、ほとんどのセキュリティ・チームは、すぐに「ノー」と言うでしょう。しかし、実際には、サイバーセキュリティの脅威を特定、検出、対応することができる健全なセキュリティ・プログラムを構築することによって、企業がリスクを負うことを可能にすることが、セキュリティ・チームの仕事なのです。企業のリーダーは、セキュリティ・チームが自分たちのビジネス目標の達成を支援しようとしていることを知れば、強力なサイバーセキュリティ・プログラムの価値をより理解することができるようになるのです。

同様に、サイバーセキュリティ・チームは、自社のビジネス目標を理解し、それに基づいてセキュリティ対策を行う必要があります。多くのセキュリティチームが、自分たちのセキュリティ対策をビジネスの優先事項として押し付けようとしていますが、実際には、その対策がビジネスにとってマイナスになる可能性もあります。例えば、使用済みオペレーティング・ソフトウェアが稼働しているラインの生産性を向上させることがビジネス目標だとします。セキュリティ専門家の中には、攻撃によるダウンタイムを防ぐために、セキュリティ管理を強化しようとする人もいます。しかし、このアプローチは生産性を向上させるものではなく、むしろ逆効果で製造効率を低下させる可能性があります。

むしろ、セキュリティ・チームは一歩下がって、製造ラインの生産性を向上させるためのセキュリティ戦略をどのように導入できるかを評価する必要があるのです。よりビジネスに重点を置いたアプローチとしては、ビジネスの回復力目標をサポートするために、より優れた識別と対応策を構築し、製造環境を隔離するデバイスへのアラートの忠実度を高め、サイバー攻撃に備えるためにインシデント対応や危機対応演習をより頻繁に行うことなどが挙げられます。CEO と CFO が最大のビジネス推進要因として認識しているものを理解し、サイバーセキュリティ戦略をそれらの推進要因に合わせることは、最終的にサイバーが収益性の高いビジネス目標に結びついているという認識と関連し、サイバー支出に対する ROI を増加させることに繋がります。

最後に、サイバーチームは、ビジネスリーダーが理解できるような方法で、自分たちの指標を報告する方法を考えなければなりません。例えば、セキュリティ・チームが、ビジネスを行っているリスクの高い国に起因するサイバー攻撃を何件受けたかについて報告することが挙げられます。ビジネスが利益を上げている場合、経営陣は、報告されている何千ものサイバー攻撃の可能性に直ちに影響を与えるとは考えないかもしれません。しかし、セキュリティ・チームが測定基準を少し進化させて、その特定の地域でフィッシングの対応にどれだけの時間がかかったか、USB マルウェアのために毎月どれだけのノートPCを初期化しなければならなかったか、または耐用年数の切れたOSのために生産ラインがどれだけのダウンタイムを経験したかを示すと、リスクの高い状況でこれらのサイバーセキュリティ問題を直接収益の喪失に結びつけることができるようになるのです。そして、この知識こそが、ビジネス・リーダーがセキュリティ・リスクとそれがビジネスに与える潜在的な影響、そして組織の安全を守るセキュリティの役割をよりよく理解するために必要なものなのです。

出典：How Do I Demonstrate the ROI of My Security Program?:

短縮URLの調査 / Investigate shortened URLs

OSINT調査において、短縮URLに遭遇することがある。例えば、そのような短縮URLは次のようなものです：https://bit.ly/3KNfO4K。問題は、このURLがどこにつながっているかということです。そして、これに加えて、そのURLがいつ作成されたかを知りたい場合もあるでしょう。このブログでは、短縮URLを安全に調査する方法について説明します。なぜなら、ただリンクをクリックするだけではいけないからです!

短縮URLとは？

URLとは、"Uniform Resource Locator "の略です。URLは、インターネット上の特定の場所を指します。例えば、URL "www.aware-online.com "は、インターネット上の場所であるウェブサイトを指しています。短縮URLでは、上記よりも短いURLですが、完全に転写されたURLと同じ場所を指しています。例えば、短縮URL「https://bit.ly/3KNfO4K」は、実際には「www.aware-online.com」と同じですが、短く書かれています。

URLを短縮する方法は？

URL短縮をサービスとして提供しているウェブサイトはいくつかあります。例えば、https://bitly.com、https://tinyurl.com、https://tiny.cc、https://cutt.ly、https://www.shorturl.at。

Bitly.comの例

短縮URLを安全に開くには？

リンクをクリックするだけでは危険だということを、皆さんは以前から知っています。確かに、Webサイトの中には、そのWebサイトにアクセスすることで実行/インストールされる悪意のあるソフトウェア（マルウェア）が含まれている場合があります。短縮URLの場合、このリスクはさらに大きくなります。結局のところ、どのウェブサイトに行き着くかはわからないのです。私たちのアドバイスは、まず、短縮URLがどこを指しているのかを確認してから、そのURLにアクセスすることです。その方法については、以下をご覧ください。

短縮URLがいつ作成されたかを知るにはどうしたらいいですか？

短縮URLの完全なURLを調べる方法は、短縮URLを作成するために使用されたウェブサイトによって異なります。例えば、「https://bit.ly/3KNfO4K」というURLに出会ったとします。URLの後に「+」を付けると、そのURLが何を指しているのかが分かります。つまり、得られるリンクは「https://bit.ly/3KNfO4K+」です。このリンク先には、以下のような情報が表示されます。これで、このURLは「https://www.aware-online.com」につながっていることがわかりましたね。

上記のように、短縮URLをどのように展開するかによって、プラットフォームが異なります。以下の表では、ウェブサイトごとに、短縮URLをどのように調査できるかを見ることができます。

Platform	Shortened URL	Addition	Result URL
Bitly.com	https://bit.ly/3KNfO4K	“+” achter URL	https://bit.ly/3KNfO4K+
Tinyurl.com	https://tinyurl.com/3cpzwmtt	“preview” before domain	https://preview.tinyurl.com/3cpzwmtt
Tiny.cc	https://tiny.cc/ugkpuz	“=” after URL	https://tiny.cc/ugkpuz=
Cutt.ly	https://cutt.ly/GALu1o0	“@” after URL	https://cutt.ly/GALu1o0@

しかし、プラットフォーム自体がURLを拡張する可能性を提供しない場合はどうでしょうか？その場合は、リンクを拡張してくれる他のウェブサイトを試してみることができます。例えば、これを行うウェブサイトは、Unshorten.It! (https://unshorten.it/)、URL Expander (https://urlex.org/)、CheckShortURL (https://checkshorturl.com/)があります。

最後に、URLを訪問する前に、https://www.virustotal.com のようなサービスを利用するのも有効です。このウェブサイトは、既知のマルウェアについてウェブサイトを分析し、安全にウェブサイトを訪問できるようにします。

出典：Investigate shortened URLs

2022年3月16日～31日サイバー攻撃タイムライン / 16-31 March 2022 Cyber Attacks Timeline

ロシアのウクライナ侵攻の影響で、サイバー空間にも明らかに影響が及んでいます。ハクティビストは非常に忙しく（138件中15件、約11%がハクティビズムに関連している）、同様に138件中11件（8%）がサイバー戦争作戦に何らかの形で関連している。

しかし、その影響はこれだけにとどまりません。戦争は間違いなくサイバースパイ戦線を特徴づけており、21件（サンプルの約15％）が直接または間接的にウクライナと関連しています。UAC-0026 (AKA Scarab)、Ghostwriter、Armageddon、Curious Gorge、COLDRIVERは、ウクライナの企業を標的とした脅威者の一部に過ぎません。合計すると、約19.7%（138件中27件）のイベントがウクライナに関連しており、これは3月後半に観測された件数の多さを端的に物語っています。

一般に、ランサムウェアの攻撃は、イベントの約16％（138件中23件）を占め、月前半の2倍の割合となりました。しかし、このサイバー犯罪の特徴は、Lapsus$がより多くの有名な被害者をリストに追加したことです。

脆弱性の悪用は、この第1四半期の重要なトレンドであり続け、このタイムラインでも、12.3％（138件中17件）が脆弱性が悪用されたために発生しています（「Spring4Shell」（CVE-2022-22963およびCVE-2022-22965）の脆弱性のおかげで世界中のシステム管理者は眠りを妨げられており、同様にフィンテック企業への攻撃も執拗に続き、これまでに観測された最高額は Ronin Network からの624万ドル（約8億円）となっています）。

出典：16-31 March 2022 Cyber Attacks Timeline

準委任契約に基づく報酬請求と善管注意義務違反～準委任で約束した工数を使ったからと言っても仕事内容がクソだと善管注意義務違反になります。～

開発は途中で終わった場合でも、準委任契約に基づく報酬請求はできるが、適切な計画立案・実行ができていなかったとして善管注意義務違反が認められた事例。

事案の概要

イベント企画会社Ｙは、自社の企画するイベントを管理するためのシステム（本件システム）の開発をＸに依頼することとした。

平成28年3月にＸは開発に着手したが、その時点では契約書が取り交わされておらず、4月になって、Ｘ・Ｙ間で以下の内容（抜粋）の契約書が取り交わされた（本件契約）。

1条2項
本件契約は，Ｘが（中略）業務に従事する技術者の労働をＹに対し提供することを主な目的とし，民法上の準委任契約として締結されるものとする。したがってＸは，善良なる管理者の注意義務をもって（中略）業務を実施する義務を負うものとし，原則として成果物の完成についての義務を負うものではないものとする。
3条3項
前各項にかかわらず，Ｙは，Ｘの本件サービスの業務遂行義務が果たされていないと判断した場合はその時点でＸに改善通達を行い，尚も改善されない場合はその通達以降のサービス料の支払義務を負わない。

Ｘ・Ｙ間では、3月の開発業務として約367万円、4月の開発業務として約466万円、5月の開発業務として約933万円の発注書が取り交わされた（代金は支払われていない）。

Ｙは、5月25日に、開発の遅延等を理由に、本件システムの開発中止を通知した。

Ｘは、本件契約に基づく報酬請求として、合計で約1766万円を請求し、Ｙは、反訴として、債務不履行に基づく損害賠償約7000万円（その大部分は逸失利益である。）を請求した。

ここで取り上げる争点

（１）本件契約の性質

（２）債務不履行の有無

裁判所の判断

争点（１）本件契約の性質

Ｙは、本件契約は請負契約であって、Ｘは本件システムを完成させる責任を果たしていないから債務は履行されていないと主張していた。

この点について、裁判所は、契約書の文言を中心に次のように準委任契約であるとした。

本件契約は，本件システムの開発を目的としたものであるが，本件契約書１条には，本件契約が民法上の準委任契約として締結されるものであり，Ｘは，原則として成果物の完成についての義務を負うものではない旨の定めがあり，本件契約書２条には，システムの構築及びプログラム業務並びにこれに付随する業務をＸに委託するとの定めがある。そして，Ｘが開発に着手した時点で本件システムの仕様が明確でなかったことから，Ｘは，Ｙに対し，請負契約ではなく準委任契約の形式で契約を締結することを再三要求し，その結果，契約書に準委任契約とする旨が明記され，これに当事者双方が署名押印するに至っている。これらの事情によれば，Ｙにおいても，準委任契約の形式で本件契約を締結するというＸの要求を最終的に承諾したとみるのが自然である。
そうすると，本件契約は，Ｘが本件システムの完成義務を負わず，準委任契約としての性質を有するものとして締結されたものと認められ，これに反するＹの主張は採用することができない。

そして、Ｘは、契約期間に約束された人員を確保して開発に従事させたことから、本件契約上の事務を履行したと認定し、本訴請求をすべて認容した。

争点（２）債務不履行の有無

まず、Ｘの義務を次のように認定した。

Ｘは，コンピューターシステムのプログラミング等を事業とする株式会社であり，開発業務を担当することが可能な企業として本件システムの開発に参画しているところ，開発の着手から間もない時期に開発に必要となる作業項目及び作業期間を示したスケジュール表を作成し，その中で内部設計に分類される「データベース設計」等の３項目を自ら担当することを明らかにしている。Ｘは，その後も，本件システムの開発に必要となる作業項目や作業期間を明らかにしたタスク一覧やスケジュール表といった文書を作成し，これをＹに示している。これらの事情によれば，Ｘは，本件契約上，本件システムの開発に向けて必要となる作業項目及び作業期間を明らかにした工程表を策定すべき立場にあり，また，④詳細設計においても，相当程度関与することが予定されていたものと認められる。
このようなＸの立場や役割に照らせば，Ｘは，Ｙ又はＺから指示を受けた業務を実施する義務にとどまらず，本件契約上の善管注意義務として，本件システムの開発において必要となる作業の内容並びにその作業に必要となる期間及び人員を把握し，適切な工程を示す義務を負っており，相手方から示された仕様の内容が十分でなく，適切な工程を示すことが困難である場合には，仕様を確定する期限を定めるなどの具体的方策を講ずる義務を負っていたと解すべきである。

これらのＸの義務履行状況について、おおよそ次のように認定した。

Ｘは3月時点で稼働までのスケジュール表を提示したが、仕様確定期限などが示されておらず、仕様が確定していないにもかかわらず、実装と検証を同時に行う内容になっていた
3月31日までに行うとされていた103項目のうち、期限までに終えたのは35項目だった
4月に再計画されたスケジュールも、検証に充てる期間は十分でなく、再計画後のスケジュールも守られていなかった
5月に大量に人員が増強されたが、稼働には至らなかった

としたうえで、

以上によれば，Ｘが，本件システムの開発において必要となる作業の内容並びにその作業に必要となる期間及び人員を把握し，適切な工程を示したとは認められないから，本件契約における善管注意義務に違反したというべきである。

と義務違反を認定した。ついでに、再委託禁止条項に反して無断で再委託をしていたことについても債務不履行が認定されている。

善管注意義務違反によってＹに生じた損害として、Ｚに対して追加の開発費として支払った費用等の約392万円のうち、仕様確定が遅れたことも遅延の原因であるとして、6割の約235万円を相当因果関係ある損害と認めた（「過失相殺」という用語は判決文で使われていない。）。逸失利益については認めていない。

以上より、本訴請求の全額を認容する一方、反訴請求の一部を認めた。

出典：準委任契約に基づく報酬請求と善管注意義務違反　東京地判令2.9.24（平28ワ28934）

Shadowserverに自分のASNかCIDRとメアドを登録すると、毎日「無料で」レポートが届きます。

hiro_ retweeted: @Shadowserver という団体が、セキュリティ上の問題を探して、インターネット全体を1日に42回スキャンしてます。意外と知られていない、お得情報ですが、ネットワーク管理者は自分のASNかCIDRとメアドを以下のサイトに登録すると、毎日「無料で」レポートが届きます。 shadowserver.org/what-we-do/net…:

hiro_ retweeted:

@Shadowserver という団体が、セキュリティ上の問題を探して、インターネット全体を1日に42回スキャンしてます。
意外と知られていない、お得情報ですが、ネットワーク管理者は自分のASNかCIDRとメアドを以下のサイトに登録すると、毎日「無料で」レポートが届きます。

shadowserver.org/what-we-do/net…

2022年のトップダークネットマーケットリスト / Top Darknet Markets 2022: The Outstanding Performances To Consider Now

ダークネットマーケットは可用性に左右され、これらのダークウェブマーケットの動作に貢献する多くの要因の1つは、その性能です。トップダークネット市場2022は、Torネットワーク内の各市場がそのパフォーマンスを何度も実証しています。そこで、この記事では、2022年のトップダークネットマーケットリストをお届けし、それらが現時点でどのように機能しているかをお知らせします。ただし、始める前に、マーケットプレイスに入るためのルールをすべて守っていることを確認してください。

ダークネットのトップ市場2022年：ベストパフォーマーのリスト

今年のディープウェブマーケット空間におけるベストパフォーマーをすべてリストアップしてみました。これは、今年の最も重要なダークネット市場を見逃さないようにするためであり、また、どこから始めればいいのか判断に迷うことがないようにするためでもあります。

World Market

Dark0de RebornとCartel Marketの撤退騒動に伴い、World Marketは最大のダークネットマーケットとして1位の座に君臨しています。Empire MarketやAlphaBay Marketに慣れ親しんでいる人たちは、このマーケットになじみがあることでしょう。これは、World Marketが、すでに述べた市場と同じ機能とデザインを持っているためです。

最も重要な機能がほぼ全て揃っている機能豊富なマーケットです。マーケットのメインページでは、マーケットのアップデートや頻繁に更新されるニュースを見つけることができます。さらに、あなたはあなたのアカウント、あなたのアカウントのセキュリティ、入札で必要とされるアクションを見つけることができます。

児童ポルノ、売春、武器の販売、ヒットマンのサービスなどは厳しく制限されているようです。

Kingdom Market

Kingdom Marketはとてもモダンで、デザイン要素に一貫性がありながらとても使いやすくなっています。インターフェイスは、必要なナビゲーションオプションをすべて備えたトップバーを備えています。その下には、重要なセキュリティ情報、トップリスト、最新のマーケットニュースなどが表示されます。左側には、すべての市場カテゴリが表示されたナビゲーションバーがあります。その下には、高度な検索クエリが表示されます。フロントページの下部には、受け入れられている暗号通貨の現在の価格のすべてが記載されているリストが表示されます。

Kingdom Marketは、安全に買い物をするために必要な機能をすべて備えた、典型的なダークネットマーケットとされています。BTC、XMR、LTC、ZCashなど、ほとんどの暗号通貨がマーケットで受け入れられています。ウォレットアカウントにそれらすべてを入金することができます。2022年のディープウェブマーケットプレイスは、メッセージの自動暗号化のための従来のPGPサポートを備えています。2FAのログインには、PGPキーを使用することができます。FEは、信頼できる出品者のために利用することもできます。

The Versus Project

The Versus Projectは、コミュニティによって、コミュニティのために構築されてきました。現在、市場のさらなる発展のため、可能な限りバイヤーの方々を取り込んでいます。Versus市場ダークウェブマーケットへの登録は非常にシンプルで簡単です。あなたが必要とするのは、4〜24文字の長さのユーザー名、少なくとも8文字の長さだけでなく、ログインフレーズであるパスワードです。登録が完了するとすぐに、ユーザ名とパスワードの入力を求められ、メインページにリダイレクトされます。

ASAP Market

ASAP Marketは、最も重要な2つの点である詐欺的な業者と偽のレビューを識別するシステムを開発したと主張しています。また、ベンダーがマーケットに付加しうる価値を考慮し、ベンダーボンドにもさらに柔軟に対応するとしている。

ASAPの管理者は、Dreadフォーラムで積極的にユーザーと関わり、問題を解決する手助けをする用意があります。時折、動作が少し遅くなることがありますが、平均的なダークネットマーケットより少し多い程度です。

ドラッグに比べ、デジタルグッズの品揃えが豊富な数少ないマーケットです。特に、Fraudのセクションに入ると、その品揃えはかなり豊富です。ASAPダークウェブマーケットを評価する必要があるクールな機能は、そこにアカウントを作成し、ログインすることなく、市場を表示することができるという点です。これは、ウェブサイトにアカウント登録をする価値があるかどうかを事前に判断する機会を提供します。

マーケットプレイスに参加している業者は、他のマーケットプレイスに比べて経験が浅いかもしれませんが、中にはそのマーケット内だけでかなりの売上をあげている業者もます。

合計で約17,000件の出品があり、巨大なマーケットとなっています。出品は、覚せい剤、RC、大麻、ハッシュ、麻薬、ステロイド、バルビツール酸塩、詐欺、ダイエット、エクスタシー、処方、オピオイド、偽造品、解離剤、デジタルグッズ、ベンゾ、精神薬などの多くのカテゴリに分かれています。これらのカテゴリのうち、デジタルグッズが最も多く、次いで詐欺、大麻・ハッシュ、覚せい剤の順となっています。

マーケットプレイスの最も顕著な欠点は、製品を検索するためのフィルターがあまり機能していないように見えることです。しかし、検索ボックスはよりよく機能している傾向があります。

Heineken Express Market

Heineken Express Marketは、ベンゾ、ケタミン、カンナビス、MDMA/XTC、覚せい剤、サイケデリックを扱うドラッグ専門ベンダーです。

また、検索オプションを使って希望の商品を探すことも可能です。また、他のバイヤーが商品をより良く判断できるように、購入した商品に対してフィードバックを残すことができます。

アメリカ、オーストラリア、ニュージーランド、スウェーデン、ノルウェー、クロアチア、トルコ、モロッコ、イラン、カナダでは発送が制限されています。これ以外では、配送に関する制限はありません。

CannaHome Market

CannaHome Marketは、USA同士の市場に特化したダークネットマーケットで、それ以外の国への出荷は禁止されています。2018年に運営を停止していたCGMCマーケットの後継とされ、このマーケットも同じソースコードとデザインを使用しています。大麻とキノコ製品の販売のみを許可しています。

この市場では、管理されたウォレットはなく、コインは2種類（LTCとBTC）が用意されています。

Hydra Market

マーケットの理念のひとつに、「分散型リーダーシップ構造」があります。これにより、もし管理者やベンダー、モデレータの誰かが倒れたとしても、Hydra Marketは複数のリーダーを擁しているため、運営を続けることができるのです。

市場全体はロシア語で書かれています。Hydraのサービス対象国は、ロシア、ウクライナ、ベラルーシ、カザフスタン、アゼルバイジャン、アルメニア、キルギスタン、ウズベキスタン、タジキスタン、モルドバです。それぞれの国は、オブラートと呼ばれる大都市圏の数に細分化されており、ローカル・デッドドロップのような配達を容易にすることができます。あなたはこれらの国の一つからではない場合、あなたはあなたの場所に出荷して喜んでいるベンダーを根気強く探す必要があるかもしれません。

マリファナ、覚せい剤、催眠剤、幻覚剤、エクスタシー、解離剤、アヘン、化学試薬、医薬品、BTCキャッシュアウトサービス、SSH/VPNサービスなど、ほぼすべてのカテゴリにおいて数千ものリスティングを所有しており、2022年のトップダークネットマーケットの1つとなっています。

出品も通常通りカテゴリー別に分かれていますが、特定業者のショップの宣伝に重きを置いています。物理的な商品を受け取りたい場合は、上記のいずれかに所属していることが条件となります。ただし、デジタルアイテムはどこからでも購入することができます。

Cypher Market

このディープウェブマーケットは、それなりの歴史があるようです。この市場は人気が出始めており、スムーズでシンプルな体験を提供し、目立つことを目的としています。この市場では、盗まれたクレジットカードなどのデジタル商品から違法薬物に至るまで、あらゆる種類の商品を見つけることができます。他のダークネットマーケットと同様に、このマーケットプレイスでも、危険物や物質などの販売を制限するいくつかのルールがあります。

出典：Top Darknet Markets 2022: The Outstanding Performances To Consider Now

Kali Linuxによるセキュリティテストの複雑さ / The intricacies of security testing with Kali Linux

[Hakin9 Magazine(H9)]：ダニエルさん、こんにちは。インタビューに応じていただき、ありがとうございます。最近どうですか？読者の皆さんに、ダニエルさんについて教えていただけますか？

こんにちは！お招きいただきありがとうございます。私は人生の大半をIT分野で過ごしてきました。ここ10年ほどは、ほとんどセキュリティの仕事一筋です。執筆、教育、そしてセキュリティの新入生を助けることに忙しく、本当に楽しんでいますよ。

[H9] 先日、最新刊「Advanced Security Testing with Kali Linux」を出版されましたね。この本についてもう少し詳しく教えてください。

もちろんです、ご質問ありがとうございます。"Advanced Security Testing with Kali Linux" (Amazonで購入可能)は、Kali Linuxに焦点を当てた私の7冊目(合計)の本です。要するに、私のKali Linuxシリーズの最後となる本なのです。この本は、私の「Basic Kali」の本が終わったところから始まり、読者をより高度なトピックに深く導いてくれます。

MITRE ATT@CK Frameworkの使用、ウェブアプリケーション・ペンテスト、高度なパスワードクラッキング、コマンド＆コントロール（C2）フレームワークの使用、攻撃型フォレンジック、そしてIoTデバイスを使ったペンテストについて少し触れています。もう一つの良い点は、この本が700ページ以上あるので、読み終わったら、モニタースタンドとして使ったり、ドアを開けたままにしておくことができることです（笑）。

[H9] なぜ、この本を書こうと思ったのですか？

この本は、実は以前から計画されていたものです。Kaliの基礎編と中級編を書いたとき、すぐに上級編でフォローする計画だったのです。しかし、結局、NetHunterとRaspberry Piのセキュリティの本という2種類の本を書き、Kaliの基礎編を更新してから上級編を書きました。そうなんですよね、ほんの少しの時間のズレなんですよね(笑)。でも、この本を最後に書いたのは、実は良かったんです。この本では、読者から長年にわたって寄せられた多くのトピックを取り上げています。

[H9] この本を書くにあたって、一番苦労したことはなんですか？

一番苦労したのは、私たちの分野は変化が激しいということです。この本は昨年ほぼ完成したのですが、その後、複数のツールに大きな変更があり、いくつかの章を書き直すことになりました。結果的には良かったのですが、当初予定していなかった新しい資料をたくさん追加することになりました。だから、全体としては、時間をかけた甲斐があったというものです。

[H9] この本のためのリサーチはどのようなものだったのでしょうか？

この本は、この分野の初心者や、OSCP（Offensive Security Certified Professional）のような業界のセキュリティ試験を受ける人のために、本当に役立つものにしたかったのです。そこで、先輩ペンテスターやレッドチームのメンバーと、彼らが現場で実際に使っているツールやテクニックについて、多くの時間をかけて話し合いました。試験で扱われる内容もよく調べました。また、合格者がどのようなツールやテクニックを使っているかも調査しました。最後に、私自身の経験から得たことをたくさん盛り込みました。

[H9] この本が他のKaliガイドと違う点は何ですか？

Kali Linuxの本の多くは、同じ内容を何度も取り上げています。私のAdvancedの本では、他の本では扱っていないような、活発に使われているツールやテクニックをたくさん盛り込もうとしました。例えば、MITRE ATT@CKフレームワークの使用に関するセクションがあります。フレームワークそのものだけでなく、Atomic Red Teamsや「Invoke-Atomic」のような、フレームワークのアウトラインを使ってセキュリティをテストするための攻撃的なツールもカバーしています。また、この本はリファレンスガイドとして使ってもらいたかったので、セキュリティの専門家が常に複数のソースから調べているような情報をたくさん盛り込みました。そのため、サイズが大きくなってしまいました(笑)。

[H9] 作家として、文章を書くことはサイバーセキュリティにおいて見落とされているスキルだと思いますか？

ああ、とてもそう思います。最近、非常に優秀な友人と話したのですが、雇用主が面接の一環として使用した模擬ペンテストで、十分な情報が記述できていなかったそうです。技術的なスキルも必要ですが、クライアントとのコミュニケーションやインターフェイスの能力も必要なのです。包括的な「アフター・エンゲージメント」レポートを書けることも、この職業の一部なのです。

[H9] Kali Linuxでペンテストを行う場合、普段は見落とされているようなツールはありますか？

すぐに思い浮かぶのは、コマンド＆コントロール（C2）フレームワークです。Kaliは基本的に昔からC2のスタンバイとして「Metasploit」に頼ってきました。Metasploitは素晴らしいプラットフォームですが、現在では多くの異なるC2オプションが利用できます。”The C2 Matrix "というウェブサイトでは、スプレッドシートタイプのインターフェースで、それらの機能を含む多くのC2がリストアップされています。

Metasploitは非常に堅牢で機能豊富なプラットフォームですが、Kaliの開発者は、C2の追加を求める声に耳を傾けてきました。昨年、「Empire」とそのグラフィカル・インターフェースである「StarKiller」が追加され、すでに2つが含まれています。今年のKaliの最新版には、"PoshC2 "が含まれています。

新しいPoshC2を使ってWindows 10システムからクレジットを引き出す例

予定通りであれば、今後のリリースで、Kaliの基本インストールにさらにいくつかの機能が追加される予定です。新しい本では、Empire、SharpSploit、SilentTrinity、そしてCobalt Strikeのプロフェッショナル版の概要など、複数のC2の使用について取り上げています。

[H9] セキュリティテストで最も難しいことは何ですか？

一番難しいのは、この分野の進化のスピードが速いことですね。平均して、今「最先端」であるツールやテクニックが、数年後には時代遅れになっていることが多々あります。攻撃者は常に学習し、適応し、攻撃戦略やツールを変化させています。防御者は常にその変化に対応しなければなりません。

機密や知的財産を盗むため、選挙に影響を与えるため、あるいは産業統制を妨害するために国家が国家を攻撃するというサイバーエスピオネージは、大きな問題です。また、最近の出来事を見てみると、サイバー攻撃と通常攻撃を併用する「ハイブリッド戦争」が増えていることが分かります。このような事態はますます増加し、強固なサイバー防衛能力を持たない多くの国々は、国防組織を迅速に構築することに苦慮しています。

[H9] これまでの経験から、上級と中級を分けるものは何だと思いますか？また、上級者であると判断するためのスキルは何ですか？

通常、セキュリティの中級者というと、標準的なツールや戦術を知っていて、実際にクライアントとのセキュリティテストで使えるような人を想像します。上級のセキュリティプロフェッショナルは、次のステップに進み、仕事に必要なツールを実際に作成する人たちだと思います。これは、トップクラスのレッドチームによく見られることです。彼らのツールの多くは、改造またはカスタムメイドされています。また、企業のブルーチームと密接に連携し、彼らがどのように脆弱性を悪用したのか、その問題に対処し修正する方法を教えることができるのです。

[H9] 今後、ペンテストにおいてどのような変化があるとお考えでしょうか？

ひとつは、セキュリティにおける機械学習や人工知能の活用が進んでいることです。私は、政府のセキュリティ特別会議に出席し、現代の攻撃戦略について話を聞くことができました。人工知能とディープフェイクで今開発され、利用可能な作品は、多くの人が考えているよりもずっと進んでいます。将来のある時点で、AIシステムは、AIシステムによって保護されているシステムを攻撃するようになるでしょう。その攻撃は非常に高速で、人間の介入はほとんど不可能になるでしょう。これはエキサイティングなことであると同時に、懸念すべきことでもあります。本当に非常に興味深い時代です

[H9] セキュリティテストの際によくある間違いは何でしょうか？

私が目にする最も一般的な間違いは、無関心であることです。私は、何度も何度も、企業がセキュリティテストチームを使ってセキュリティ評価を行っているのを目にしてきました。そのチームは、システムを悪用して、問題を修正するように報告書を提出しますが、その後、何も行われません。何も変更されないか、ほとんど変更されないのです。特に、社内のテストチームである場合は、その傾向が顕著です。時には、対象となる部門は、他の部門が自分たちを悪者にしたのだと考えることもある。そして、次に予定されているテストでは、同じエクスプロイトが使用され、一部は成功しますが、これはターゲットが真剣に対処せず、問題を修正しなかったためです。

私が考える最大の問題は、十分な訓練を受けたサイバーセキュリティの専門家が非常に必要であることです。拙著「Advanced Security Testing with Kali Linux」で、多くの読者や学生が「次のステップ」を踏み出し、この分野の次のセキュリティ専門家やリーダーになることを後押しできればと願っています。

出典：The intricacies of security testing with Kali Linux – interview with Daniel W. Dieterle

登録: 投稿 (Atom)