裏アカウント特定サービスからの特定を防ぐためのガイドライン(転載)




はじめに

先日公開された記事によると、就職活動中の学生によるSNSへの投稿を、企業が採用時に活用しようと調査する動きが広がっているようです。

採用前に企業が就活生の「裏アカ」調査、たった数十分で特定も。過激投稿の“無法地帯”を見て人格把握
https://nordot.app/901741994541629440

裏アカウントの定義は不明ですし、数十分で特定できるほど甘いものとも思えず(調査が間違っているか、脇が甘すぎる就活生のいずれか)、いろいろな意味で眉唾ものです。

これは就活生のプライバシーに関わる大きな問題であると思います。そこで就活生に向けてプライバシーを保護するためのガイドを作成しようということになりました。裏アカウント特定サービスを利用している企業を特定する方法があればそれを書いていたと思いますが、それよりも就活生がプライバシーに気を使う方がより効果的で大きな意味を持つだろうと思います。

本ガイドは裏アカウント特定サービスに怯える就活生だけでなく、自分を守ることが必須であるVtuberや活動家、日夜ストーカーから悩まされているあなたにも役立つ大衆向けのガイドとなっています。まずは技術的なことよりも意識することが大切です。本ガイドでは公開アカウントから順を追ってわかりやすくまとめています。

まずはサービス自体にどのような問題があるのか、その点を詳しく見ていきたいと思います。

裏アカウント特定サービスにはどのような問題があるのか?

1. バックグラウンド調査自体について

今回の事案は「裏アカウント特定サービス」として話題になりましたが、当該サービスが名乗っている「バックグラウンド調査」という事業自体については、金融系企業や外資系企業などの採用活動において広く利用されているものです。大抵の場合、就活生は企業側から同意書が提供され、それに署名することにより、このようなバックグラウンド調査に同意することとなります。

  • 学歴・職歴・資格などの情報が正しいか否か
  • 犯罪歴の有無・反社会的勢力との関係があるか否か
  • 前職での働きぶり・パフォーマンス

といった項目についての調査・確認が行われていますが、近年、SNSなどウェブ上の公開情報を利用して、就活生についての調査を行うサービスが増えているようです。

上記記事以外で同様のサービスを提供している例:

各種データベースの照会、新聞記事等各種メディア検索等の公表情報の確認・収集、各種図書館を利用した情報調査、各種SNSの特定や全般的なインターネット検索などを行い、調査対象に関する情報を収集いたします。

テイタン「ナレッジ - 調査方法 - データ調査」参照日:2020/09/05
https://www.teitan.co.jp/knowledge/research/data/

2. 本事例「裏アカウント特定サービス」の問題点

就活生のSNSのアカウントを特定するサービスには、以下のような問題点が考えられます。

  • 本人から申告されたものでない以上、特定されたアカウントが本人のものであるという確証がない

他人のアカウントと間違えてしまう場合や、当該の学生になりすましたアカウントとの見分けがつかない場合があるかもしれません。

  • 誤ったアカウントと自分を紐づけられたとしても、通常それを知ることができない

何か不都合な点があっても、不採用との通知を受け取るだけでしょう。

先に書いた通り、この様な就活生に対するバックグラウンド調査は、就活生の同意を得て行われる場合がほとんどです。採用時の調査は、以下のような法・指針によって規制されています。

職業安定法 第五条の四

(一部省略)
公共職業安定所、特定地方公共団体、職業紹介事業者及び求人者、労働者の募集を行う者及び募集受託者並びに労働者供給事業者及び労働者供給を受けようとする者は、それぞれ、その業務に関し、求職者、募集に応じて労働者になろうとする者又は供給される労働者の個人情報(以下この条において「求職者等の個人情報」という。)を収集し、保管し、又は使用するに当たつては、その業務の目的の達成に必要な範囲内で求職者等の個人情報を収集し、並びに当該収集の目的の範囲内でこれを保管し、及び使用しなければならない。ただし、本人の同意がある場合その他正当な事由がある場合は、この限りでない。

https://elaws.e-gov.go.jp/search/elawsSearch/elaws_search/lsg0500/detail?lawId=322AC0000000141#44

労働大臣指針 平成11年労働省告示第141号
第四 法第5条の4に関する事項(求職者等の個人情報の取扱い)

1 個人情報の収集、保管及び使用

(1)  職業紹介事業者等は、その業務の目的の範囲内で求職者等の個人情報(以下単に「個人情報」という。)を収集することとし、次に掲げる個人情報を収集してはならないこと。ただし、特別な職業上の必要性が存在することその他業務の目的の達成に必要不可欠であって、収集目的を示して本人から収集する場合はこの限りでないこと。

イ  人種、民族、社会的身分、門地、本籍、出生地その他社会的差別の原因となるおそれのある事項

ロ  思想及び信条

ハ  労働組合への加入状況

(2)  職業紹介事業者等は、個人情報を収集する際には、本人から直接収集し、又は本人の同意の下で本人以外の者から収集する等適法かつ公正な手段によらなければならないこと。

https://www.mhlw.go.jp/bunya/koyou/dl/h241218-03.pdf

厚生労働省「公正な採用選考の基本」
(一部省略)
(3)採用選考時に配慮すべき事項
次のaやbのような適性と能力に関係がない事項を応募用紙等に記載させたり面接で尋ねて把握することや、cを実施することは、就職差別につながるおそれがあります。

<b.本来自由であるべき事項(思想信条にかかわること)の把握>
・宗教に関すること
・支持政党に関すること
・人生観、生活信条に関すること
・尊敬する人物に関すること
・思想に関すること
・労働組合に関する情報(加入状況や活動歴など)、学生運動など社会運動に関すること
・購読新聞・雑誌・愛読書などに関すること

https://www.mhlw.go.jp/www2/topics/topics/saiyo/saiyo1.htm

実際に、当該サービスも

調査内容によっては対象者のプライベートにまで範囲が及ぶこともあるので、その場合に同意書を取らせていただくことがあります。

企業調査センター「バックグラウンド調査」参照日:2020/09/04
https://kigyou-cyousa-center.co.jp/bg/
(以下、同サイトからの引用はURLのみ)

と、就活生から同意を得る場合があると説明しています。

同意さえあれば無制限にこのような調査を行ってもよいものか、誤った紐づけ・判断がされる可能性が高く、それに対しての反論も難しいこういった手法を「公正な手段」と呼べるのか否かは疑問です。

ガイドを利用するにあたっての免責事項

本ガイドを利用することで完全にあなたのプライバシーを保護できるわけではありません。機能変更などに応じて常にもっともよい状態に更新していく必要があります。また、本ガイドは犯罪を助長するものではありません。

ガイドを利用する前に抑えておきたいこと

  • 匿名性をもって自分を守る

    自分を守るために匿名性というカバーを作成します。こうすることによってあなたを特定するための判断材料を少なくすることができます。また、匿名性は思っているほど頑丈なものではなく、容易に突き崩すことが可能であるということを忘れてはいけません。

  • 敵のことをよく知る

    裏アカウント特定サービスがどのように裏アカウントをあなたを紐つけようとしているのか、どういう点を詳しく見ているのかを知ることで特定するための判断材料が何であるかを深く知りましょう。

  • 悪いことはそもそもしない

    悪いことをするとあなたが調査対象者となる場合があります。それを防ぐためにまずそもそも悪いことをしないことが大切です。悪目立ちすることはすなわち自分に調査員が割り当てられる人数が増えていく可能性が高いことを意味します。

  • SNSにおけるフォロワーの多さとあなたがその人を信頼できるかどうかはまったく別物と考える

    数字の大きさは信頼の証ではないので、何を信頼して何を信頼しないかをある程度調査した上でしっかりと冷静に見定めることをオススメします。

敵対者の想定

ガイドを作成するにあたって相手のことをよく知る必要があります。そこで今回は以下のような場合を想定してガイドを作成しました。

  • 敵対者はまとまった組織であり、他社の人事部や担当者の依頼に応じて調査を行っている
  • 敵対者は広範囲に公開された情報にアクセスできる。TwitterなどのSNS全般だけでなく、インターネット上にある公開情報、Google検索でインデックスされている情報全般など
  • 敵対者は前提として分析にツイート/フォロー/フォロワー/リスト/ファボを見ている
  • どんな人にどれくらい、どんなリプライを送っているのか。またどこに行ってどの時間帯にアクティブなのかも分析の対象としている
  • Twitterに関連したデータセットを他社から購入または自社で把握して持っていて、それを利用して調査を行っている可能性が高い
  • 自社の調査員に対して他社からの信頼は大きい
  • 調査員は経験豊富で様々なスキルを持った人間が複数名以上集まっているため、多角的に物事を見られる可能性が高い
  • SNSの公開情報からだけではなく、敵対者自身もSNSアカウントを作成して潜入している可能性がある
  • SNSアカウントを作成して、フォロワーや取り巻きを増やしてSNS上の界隈においてある一定の信頼を得ている可能性がある

Twitter

  • パスワードリセットの保護を有効化する

    Twitterのパスワードリセットからあなたのメールアドレスを推測できる可能性がある。スマートフォンやウェブクライアントのどちらでも設定→アカウント→セキュリティから設定できる。
    登録メールアドレス/電話番号等の登録情報は、なるべく表向きのものと分ける。また、電話番号の電話用途以外の使い道は非推奨なので、不要な電話番号の登録は積極的に避けること。

  • 不正アクセス防止

    パスワードは複雑にし二要素認証も有効化する。パスワード管理ソフトで管理することをオススメします。

  • アカウント連携しない

    連携先にセキュリティの問題があったり、趣味嗜好の分析の危険性が潜んでいるため、アカウント連携はしないようにします。

  • 誕生日やプロフィールはなるべく書かない

    調査員は履歴書などからあなたの誕生日について知っている可能性があります。ここで詳しいプロフィールを書くことでバレる可能性があります。もし書くとしても嘘の誕生日を入れるなどしましょう。

  • アカウントの切り替えには細心の注意を払う

    アカウントの切り替えをミスって誤爆することがよくあるので細心の注意を払ってひとつひとつ確認することをオススメします。また、別でブラウザをインストールしてそこだけでログインするか、別でスマートフォンやPCを用意してそちらで運用するのも一つの手段です。

  • ショルダーハッキングに気を付ける

    調査員があなたをストーカーしてスマートフォンやPCをカフェなどで覗き見ている可能性があります。覗き見防止フィルムを貼ったり、人気のないところで、後部を確認しつつアカウントをチェック/ツイートすることをオススメします。

  • 写真の投稿には気を付ける

    写真の映り込みには最大限の注意を払うこと。過去にストーカーが瞳の中に映り込んだ景色から女性の自宅を特定した事件がありました。
    ストーカー、「瞳に映った景色」で女性の自宅を特定
    https://www.bbc.com/japanese/50010809

  • エントリーシートやアンケートなどでSNSアカウントを書く欄がある場合、できるだけ避けるかもしくはダミーのアカウントを用意してそのアカウントのIDを書く

    ダミーのアカウントを用意することで、調査員の目をかく乱することができます。自分に紐つかないどうでもいいような情報を垂れ流すことでより真実味を増させることもできます。

  • アカウントのIDを他のSNSなどで使いまわさない

    IDを他にはない独自のものにしたのに他所で使い回すと芋づる式で様々な情報が露見してしまう可能性があります。

公開アカウントの場合

ツイート内容だけではなく、フォロー/フォロワー/リスト/ファボまで相手(敵対者)は見て、日夜分析を行っています。

  • 自分と紐づく情報の発信をしない

    ユーザーネームは自分とは紐つかない適当なものを選択し、自分の思い入れのあるキーワードや名前を呟かないようにします。

  • 表のアカウントと同じツイートをしない

    一番アカウントがバレる可能性が高いのは同じツイートを表でも裏でもしてしまうことです。これが起点となってアカウントが特定されたケースはいくつもあります。

  • ツイート前に本当に大丈夫かどうかを考える

    公開アカウントでツイートする場合、それはどんな人にでもみられるということを意味します。本当に大丈夫かどうかを考えましょう。

  • ツイートの時間帯をタイマー機能を利用してずらす

    whotwiなどで分析された場合生活パターンを捕捉されにくくします。

  • 偽情報を拡散する

    ツイートに偽情報を混ぜておくことで調査員を撹乱させます。調査員を騙すために一番効果的なのは現実味のある嘘で、写真付きで投稿するとより現実味を増します。たとえば「近所の食堂でラーメン食べた(全く自分と関係のない別の場所で、別の日に撮影したラーメンの写真付き)」などがあります。インターネットで拾った写真ではなく自分で撮影したものを利用しましょう。Googleの画像検索で写真の使い回しが発覚する可能性があります。その場合調査員に怪しまれます。

  • 自分が主に興味関心のあるor自分の趣味に関連したアカウントを一切フォローしない

    非公開リストを作成して自分の興味関心ごとをそれで管理するとなお良いです。
    こちらも自分に紐づく可能性があるため、無難なニュース関連のアカウントや特務機関NERVやNHKニュースなどのフォローを推奨します。

  • 定期的にツイートとファボを削除する

    自分が思わぬところで分析されるのを防ぐために定期的に削除しましょう。また、後になって不要と思ったツイートやファボを削除することもまた有効です。

  • 社内ネットワークから絶対にTwitterにアクセスしない

    社内ネットワークを管理している人にあなたのアカウントの存在を把握される可能性があります。

鍵アカウントの場合

公開アカウントの場合を参考にしつつ、鍵アカウントでは以下の点に気を付けましょう。

  • なるべく信頼できる人間だけフォローを通す
  • フォロワーを完全に信頼しない
  • 知り合いしかフォローしない
  • なるべく鍵アカウントのみをフォローする

    Twitterの仕様上、リプライを送る側が鍵アカウントではない場合その内容は誰でも閲覧可能なため、会話を想像することも可能です。鍵アカウント同士でツイートのやりとりができるとなお良いです。

公開アカウントを鍵アカウントにする場合

毎年、就職活動に入る前に「就職が終わるまで」と、今まで使っていたTwitterアカウントを一時的に鍵アカウントにする人を見かけます。不注意ならば、これも、その意味が薄れてしまうかもしれません。

  • 公開アカウント時代のフォロワーを確認し、自分が把握していないアカウント・信頼できないアカウントはブロック(&ブロック解除)しておきましょう。

怪しいbotや、適当な名前のアカウントにフォローされていたりしませんか? とくに、鍵アカウントがあなたをフォローしたとしても(公式アプリ等では)フォロー通知が届きませんから、知らぬ間に、自分の把握していないフォロワーが増えているかもしれません。こういったものを放置すると、鍵アカウントになった後もツイートを見られてしまうかもしれません。

春から○大

毎年、合格発表が出る季節になると「#春から〇大」といったタグを用いて、「よろしくお願いします!」と自己紹介するアカウントをよく見かけます。

こういったアカウントを無条件に信用していませんか? そのアカウントはもしかしたら、本物の新入生ではないかもしれません。少し待って、様子を見てみるとよいかもしれませんね。

ダイレクトメッセージ

  • 常に相手を疑うこと。また、こちらから相手がどんな人物かを調査してみる
  • ダイレクトメッセージでやり取りする場合も相手を完全に信用しないこと

    あなたを特定しようとしている企業の担当者の場合もあります。

  • 話していいことと、ダメなことの線引きをしっかり行うこと
  • そもそも法的にマズいことはしないこと

参考文献

Twitter Activist Security
https://medium.com/@thegrugq/twitter-activist-security-7c806bae9cb0


出典: 裏アカウント特定サービスからの特定を防ぐためのガイドライン

週刊OSINT 2022-18号 / Week in OSINT #2022-18

 

今号のエピソードでは、ヒントや情報を共有するだけでなく、今週末にオンライン化されたプロジェクトについてお話します。

  • Cheat Sheets
  • Unredacted Magazine
  • Geotagged YouTube Videos
  • Boolean Strings Bank
  • OSINT Beginners Quiz


小技: Cheat Sheets

TwitterユーザーのGinger Tさんが、新しいチートシートについてのツイートを発信しました。インターネットに接続されたデバイスとそのコンテンツを検索するために使用できるフィルターのリストが掲載されています。同じユーザーが、Cheatographyというサイトで、SherlockInfogaPhoneInfogaのチートシートも作っています。他のツールに興味があるなら、これらは手元に置いておくと便利かもしれません。





Michael Bazzellは、プライバシー、セキュリティ、OSINTに関するデジタルマガジンを始めました。創刊号は、誰もが楽しめるような豊富なテーマで様々な記事を掲載しています。電子メールやウェブアプリケーションのセキュリティから、過剰な共有とオンライン家族の中での運用セキュリティの難しさまで。




Sofia Santosが、Matthew WrightによるウェブベースのツールGeoFindについての記事を書きました。彼女は、このようなツールの重要性だけでなく、その使用方法についても説明しています。特に紛争地域で撮影される可能性のある映像に焦点を当てる場合には、素晴らしいツールです。このツールをすでにご存知の方は、彼女のブログでもっと面白い記事を読むことができますよ。




検索エンジンでは、いわゆる「シンボリック・ロジック」を使って検索を広げたり、絞り込むことができるテクニックです。ソーシングの世界では、ブール検索は広く知られており、このサイトでは、Google検索の特定のデータセットを持っています。特定の専門分野の人を探す必要があるけれども、検索の例を知りたいという方は、このウェブサイトをご覧ください。Nothic Eyeさん、The OSINT Curious Discordで共有していただき、ありがとうございました。



2020年末にOSINTに興味を持つ人々を対象としたGmailベースのクイズを立ち上げた。数日間のコーディングとテストの後、準備が整いましたが、満足のいくまで1週間以上すべての問題を見直すのに時間がかかりました。これは現在ウェブベースの1つ目のもので、他の2つはそれに続くものです。すべての質問に目を通し、貴重なフィードバックをくれたOSINT_Researchに大感謝です!


ホームページ改ざんに関するお知らせとお詫び 2022年6月2日 株式会社 共立


弊社の管理するホールの一部Webサイトにおいて、第三者の不正アクセスにより一部ページが改ざんされていたことが判明し、当該サイトにアクセスすると不正サイトへ誘導される事象が確認されました。

下記対象サイトにアクセスされた皆さまに、ご迷惑とご心配をおかけしたことを深くお詫びいたします。

本件発覚後、サーバを停止し原因等の調査を行い、現在復旧に向け作業を進めております。

なお、当該サイトでは個人情報を取り扱っていませんので、個人情報流出などの恐れはありません。

また現時点において、本件による被害等は確認されておりません。

復旧の目途が立ち次第、当サイトにてお知らせいたします。

ご不便をおかけしますが、復旧まで今しばらくお時間をいただきますようお願いいたします。

ー 対象サイト ー

・立川市市民会館

・八王子市民会館

・新宿区四谷区民ホール

・新宿区牛込箪笥区民ホール

・新宿区角筈区民ホール

・上用賀アートホール

・刈谷市総合文化センター

・名古屋市公会堂

・名古屋市民会館

・平塚文化芸術ホール

・横浜市瀬谷公会堂

・瀬谷区民文化センター

・戸塚区民文化センター

・明石市民会館等

・東大阪市文化創造館

個人情報流出の可能性についてのお詫びとお知らせ 2022年6月3日 第一生命保険株式会社


第一生命保険株式会社(代表取締役社長:稲垣 精二、以下「当社」)が提供するサービスの1つである「年金通信メール通知サービス」1(以下「本サービス」)について、特定の条件下において、第三者が本サービスの登録者情報(ご登録者の氏名、勤務先名、勤務先部署名、電話番号、メールアドレス)を閲覧できる可能性があることが判明しました。

本サービスにおいて登録者情報を閲覧できる可能性がある機能は現在停止をしており、また現時点で本件に関わる個人情報の流出は確認されておりません。

ご利用の皆さまをはじめ、お客さま、お取引先さま、関係者の皆さまには、多大なご迷惑とご心配をおかけしますことを深くお詫び申し上げます。

1.事案の概要・経緯

5月 30 日、セキュリティ関連の第三者より、本サービスの登録者情報を閲覧する機能を悪用できる可能性がある旨、注意喚起がありました。即時に社内調査を行ったところ、指摘のとおり、特殊な手順によりアクセスした場合、一時的に、ご登録者の「氏名」「勤務先名」「勤務先部署名」「電話番号」「メールアドレス」の項目が閲覧できる可能性があることが判明しました。

当社では、外部専門機関の協力のもと、同日 18 時、本サービスの登録者情報を閲覧する機能を停止しました。加えて、過去に遡って個人情報流出の可能性について確認するため、脆弱性が存在した期間、脆弱性が利用された形跡について調査を実施いたしました。

2.調査内容・結果 

2013 年6月にサービス提供を開始して以降、個人情報流出の可能性のあるご登録内容について確認を実施しましたが、現時点で個人情報の流出は確認されておりません。

なお、第三者が登録情報を閲覧するには、特殊な手順によりアクセスすることが必要となります。アクセスログを確認したところ、この脆弱性が悪用された形跡は検出されておりませんが、一部アクセスログが保有期間を過ぎており、サービス提供期間における全アクセスログの追跡が困難であることから、個人情報の流出の有無を完全に確認することはできませんでした。

3.対応状況

現在停止している機能については、今後再開に向けて準備を進めております。再開にあたってはその旨を本サービスのサイト内でお知らせする予定です。










[イベント] Code Blue (2022/10/27-28)


CODE BLUEとは、世界トップクラスの情報セキュリティ専門家による最先端の講演と、国や言語の垣根を越えた情報交換・交流の機会を提供する国際会議です。

欧米の著名な研究者を招へいし、最新の成果を共有するとともに、日本をはじめとするアジア各国の優れた研究者を発掘し、その研究成果を世界へと発信していきます。

医療の世界で使われるCODE BLUEという言葉は、「緊急事態発生」や「関係者招集」を意味します。

インターネットの世界においても、IoT(Internet of Things)の時代を迎えるなど、セキュリティ対策の重要性が高まっており、世界各国の研究者を招集し、事態への対処や解決策を共に考える場が必要とされています。

CODE BLUEは国際的なコミュティ形成の場となることを目的にするとともに、CODE(技術)によってBLUE(海)を超えて人と人をつなぎ、よりよいインターネットの世界作りに貢献していきます。

テスラのモデル3とモデルYは、Bluetoothアタックにより盗難のリスクがあります。/ Hackers can steal your Tesla Model 3, Y using new Bluetooth attack


NCCグループのセキュリティ研究者は、ターゲットデバイスで認証するために、既存のすべての保護をバイパスするBluetooth Low Energy(BLE)リレー攻撃を実行するためのツールを開発しました。

BLE技術は、ノートパソコン、携帯電話、スマートロック、ビルの入退室管理システムなどの電子機器から、Tesla Model 3やModel Yなどの自動車まで、幅広い製品で使用されています。

このセキュリティ問題に対する修正プログラムの提供は複雑であり、たとえ即時かつ協調的に対応したとしても、影響を受ける製品にアップデートが行き渡るまでには長い時間がかかると思われます。

攻撃の仕組み

この種の中継(リレー)攻撃では、車の解錠・操作を行うキーフォブと車本体の2者間の通信を敵対者が傍受し、操作することができます。

この場合、攻撃者は通信の両端の中間に位置し、あたかも車のすぐそばにいるように信号を中継することができます。

BLEを利用して近接認証を行う製品では、正確な遅延量に基づくチェックやリンク層の暗号化も導入することで、既知のリレー攻撃手法から保護されています。

NCCグループでは、リンク層で動作し、GATT(Generic ATTribute Profile)レスポンスの許容範囲である30msに収まる8msのレイテンシで動作するツールを開発しました。

NCCグループのシニアセキュリティコンサルタントであるSultan Qasim Khan氏によると、この攻撃を実行するには10秒程度かかり、無限に繰り返すことが可能だという。

テスラのモデル3とモデルYは、いずれもBLEベースのエントリーシステムを採用しているため、NCCの攻撃は、車のロック解除や始動に利用できる可能性があります。

この新しいBLEリレー攻撃の背後にある技術的な詳細は公表されていませんが、研究者によると、Teslaアプリのバージョン4.6.1-891を実行するiPhone 13 miniを使って、2020年のTesla Model 3でこの方法をテストしたとのことです。

実験では、iPhoneから7メートル離れた場所と、3メートル離れた場所に設置した2つの中継装置を経由して、iPhoneからの通信をクルマに届けることができた。iPhoneとクルマの距離は25メートル。

この実験は、同様の技術を使用しているため、2021年発売のテスラモデルYでも再現に成功しました。以下は、攻撃のデモンストレーションです。


これらの調査結果は、4月21日にテスラに報告されました。その1週間後、同社は "リレー攻撃はパッシブエントリーシステムの既知の制限である "と回答しています。

研究者は、Kwikset社(スマートロックのKevoシリーズのメーカー)の親会社であるSpectrum Brands社にも通知した。

利用者ができること

この新しい近接攻撃に関するNCC Groupの研究は、BLE全般、Tesla車、Kwikset/Weiserスマートロックの3つのアドバイザリで公開されており、それぞれテストしたデバイスの問題と、他のベンダーの製品により大きな影響を与えることが説明されています。

Bluetoothのコア仕様は、デバイスメーカーにリレー攻撃について警告し、近接型認証は貴重な資産に使用すべきではないことを指摘しています。

このため、ユーザーにはいくつかの可能性が残されています。ひとつは、可能であればこの認証を無効にし、ユーザーとの対話を必要とする別の認証方式に切り替えることです。

また、メーカーがBluetoothの代わりにUWB(超広帯域)無線技術などの距離拘束型ソリューションを採用することも考えられるでしょう。

テスラのオーナーは「PIN to Drive」機能を使うことが推奨されているので、たとえ車のロックが解除されていても、少なくとも攻撃者が車で逃げ出すことはないでしょう。

さらに、静止しているときにモバイルアプリでパッシブエントリー機能を無効にすれば、リレー攻撃は不可能になります。

あなたのデバイスで上記のいずれもが不可能な場合、リレー攻撃の可能性を念頭に置き、それに応じて追加の保護対策を実施するようにしてください。

出典:Hackers can steal your Tesla Model 3, Y using new Bluetooth attack:

Kali Linux 2022.2リリース / Kali Linux 2022.2 released with 10 new tools, WSL improvements, and more


Offensive Securityは、デスクトップの強化、楽しいエイプリルフールのスクリーンセーバー、WSL GUIの改善、ターミナルの調整、そして何よりも新しいツールで遊べる2022年の第2バージョンであるKali Linux 2022.2をリリースしました!

Kali Linuxは、サイバーセキュリティの専門家や倫理的ハッカーが、内部ネットワークやリモートネットワークに対する侵入テスト、セキュリティ監査、調査などを行うためのLinuxディストリビューションです。

このリリースで、Kali Linux チームは、以下のようなさまざまな新機能を導入します。

  • GNOME 42 - 人気のデスクトップ環境のメジャー・リリース・アップデート
  • KDE Plasma 5.24 - バージョンアップにより、より洗練されたエクスペリエンスを提供します。
  • 複数のデスクトップの強化 - Xfce でのマザーボード音の無効化、ARM 用の代替パネルレイアウト、VirtualBox 共有フォルダのサポート強化、その他多数。
  • ターミナルの調整 - Zsh のシンタックスハイライトの強化、Python3-pip と Python3-virtualenv のデフォルトでの組み込み。
  • エイプリルフール - ハリウッドモード - 驚きのスクリーンセーバー
  • Kali Unkaputtbar - Kali の BTRFS スナップショットサポート
  • Win-KeX 3.1 - GUI アプリの sudo サポート
  • 新しいツール - 様々な新しいツールが追加されました。
  • Kali NetHunterでWPS攻撃 - NetHunterアプリにWPS攻撃タブが追加されました。
デスクトップの強化

Kali Linux 2022.2 には、Gnome 42 へのアップグレードが含まれており、よりすっきりとした雰囲気になり、内蔵のスクリーンショットと画面録画ツールが追加されています。

"シェルテーマ "は、ポップアップメニューから矢印を削除し、より丸みを帯びたエッジを使用することで、よりモダンな外観を含むようになりました。さらに、dash-to-dock 拡張をアップグレードして調整し、新しい外観とよりよく統合できるようにし、いくつかのバグを修正しました」と Kali Team は新しいブログ投稿で説明しています。

このバージョンアップの一部として、Kali は彼らの Kali-Dark と Kali-Light テーマもアップグレードしており、ダークテーマは以下のように表示されます。


このバージョンには、KDE Plasma 5.24 へのアップグレードも含まれており、デザインの改善とインターフェイスの微調整が行われています。

もう一つの注目すべき変更点は、アプリケーションに付属する古い、そしておそらくよりピクセル化されたアイコンを表示する代わりに、Kali チームによって追加されたカスタムアイコンを尊重するようになったことです。

映画をモチーフにした新しいスクリーンセーバー

Kali Teamは、エイプリルフールの "Kali 4 Kids "ジョークの一環として作成された、多くの人がすぐにわかるような、ハリウッドにインスパイアされたスクリーンセーバーを追加しました。

スクリーンセーバーのアプリからではなく、以下のコマンドですぐに起動し、起動させることができます。

sudo apt -y install hollywood-activate
hollywood-activate

新しいスクリーンセーバーを紹介する動画は以下からご覧いただけます。




WSL GUI アプリケーションが root 権限で実行できるようになりました。

Windows Subsystem for LinuxでKali Linuxを動作させる場合、KaliチームはWSL-Gを使用してGUIアプリケーションを起動できるようにするWin-KeXをリリースしました。

しかし、ユーザーはこのツールを使用して「ルート」としてGUIアプリケーションを起動することはできませんでした。

Kali Linux 2022.2のリリースでは、Win-KeXがバージョン3.1にアップグレードされ、GUIアプリを「sudo」して期待通りに起動できるようになりました。

Kali Linux 2022.2で追加された10の新ツール

Kali の新バージョンでは、新しいツールが追加されましたが、Kali Linux 2022.2 はその期待を裏切りません。

このリリースには、ネットワークフォレンジックからPHPポストエクスプロイトフレームワークであるPhpsploitまで、10個の新しいツールが含まれています。

以下は、Kali 2022.2で追加された10個の新ツールです。

  • BruteShark - ネットワークフォレンジック分析ツール (NFAT)
  • Evil-WinRM - 究極の WinRM シェル
  • Hakrawler - エンドポイントやアセットを簡単かつ迅速に発見するために設計されたウェブクローラー
  • Httpx - 高速で多目的に使える HTTP ツールキット
  • LAPSDumper - LAPS パスワードをダンプする。
  • PhpSploit - ステルスなポストエクスプロイトフレームワーク。
  • PEDump - Win32 実行可能ファイルをダンプする
  • SentryPeer - VoIP 用の SIP ピアツーピアハニーポット
  • Sparrow-wifi - Linux 用のグラフィカルな Wi-Fi アナライザー
  • wifipumpkin3 - 不正アクセスポイント用の強力なフレームワーク
ARM サポートの強化

ARMユーザー向けに、Kaliは主にRaspberry Piへのインストールに焦点を当てた新しい機能拡張を多数提供します。

  • カーネルを5.10.103にバンプ
  • Bluetoothの改善(今度こそ)
  • Wi-Fiファームウェアは7.45.154ではなく、デフォルトで7.45.206を使うようになり、nexmonパッチが適用されるようになりました。
  • Raspberry Pi Zero 2 W が nexmon でサポートされるようになりました。
  • wpa_supplicant.confの扱いが改善されました。
  • カーネルがモジュールではなくNVMEサポートを内蔵しているため、ルートデバイスにNVMeを使用するRaspberry Pi Compute Moduleがそのまま動作するようになりました。
  • Raspberry Pi のユーザーランドは、イメージ作成時に手動でビルドするのではなく、ARM64 用にパッケージ化されるようになりました。
Raspberry Piのほか、Pinebrook pro、USB Armory MKII、Radxa Zeroにも改良がもたらされました。

Kali Linux 2022.2の入手方法

Kali Linux 2022.2 を使い始めるには、既存のインストールをアップグレードするか、新規インストールとライブディストリビューション用の ISO イメージをダウンロードします。

Windows Subsystem for Linux (WSL) へのインストールを含め、以前のバージョンから更新する場合、以下のコマンドを使用して最新バージョンにアップグレードできます。

echo "deb http://http.kali.org/kali kali-rolling main non-free contrib" | sudo tee /etc/apt/sources.list

sudo apt update && sudo apt -y full-upgrade

[ -f /var/run/reboot-required ] && sudo reboot -f

WSL上でKaliを使用している場合は、GUIアプリのサポートを含むより良い経験のためにWSL2で使用する必要があることに注意してください。Windows のコマンドプロンプトで 'wsl -l -v' コマンドを使用すると、Kali がどの WSL バージョンとしてインストールされているかを確認することができます。

アップグレードが完了したら、以下のコマンドでアップグレードが成功したかどうかを確認することができます。

grep VERSION /etc/os-release

Kali 2022.2では、ハイライトされた改善点のみを紹介しましたが、全ての変更点については、KaliのWebサイトでご覧いただけます。

出典:Kali Linux 2022.2 released with 10 new tools, WSL improvements, and more

当社サーバへの不正アクセス発生の件 2022年6月2日 株式会社ナフコ


1.経緯
5月30日(月)午前2時頃、当社サーバに第三者による不正アクセスをうけている事を確認いたしました。
確認後、直ちに外部との通信の遮断を行っております。

2.影響の範囲
現在、当社ポイントカードでのお支払いができない、ポイント残高が表示されないなどの不具合が発生しております。
尚、当社はシステム上、お客様のクレジットカード情報は保持していませんので、同情報の流出の可能性はございません。
また、会計システムは社外のクラウドサービスを利用しており、不正アクセスはございません。

3.関係機関への報告
6月1日に、福岡県警察及び個人情報保護委員会への報告及び相談を行い、助言をいただき対応しております。

現在発生している障害については、皆様に多大なるご心配とご迷惑をお掛けしており申し訳ございませんが、復旧に向けて鋭意取り組んでおり、お客様のご不便を少しでも早く解消できるように努めております。