弊社にて利用しているサービス機関(セキュリティ上の観点から詳細は伏せます)より連絡があり、弊社のアカウントIDとパスワードが流出したとの事でした。
既に関連する対応は済ませておりますが、弊社のシステムログを確認し、WAFによる不正アクセス検知は確認されておらず、アクセスログ上の正常ではないアクセス(400番台・500番台・OpenVAS等のスキャンツール)はIPアドレスをリスト化しました。
今後、リスト化したIPアドレスからアクセスが続く様ならアクセス拒否を行うなどの対応を致します。
[イベント] International Cyber Expo 2022(2022/9/27-28)
International Cyber Expoは、サイバーセキュリティの優れた頭脳が集まり、相互に接続された明日の世界の問題を探求する場所です。
2022年9月27日~28日にロンドンのオリンピアで開催されるInternational Cyber Expoは、業界コラボレーションのための出会いの場となるよう努めています。ここでは、吟味された上級サイバーセキュリティバイヤー、政府関係者、起業家からソフトウェア開発者、ベンチャーキャピタルまで、誰もが自分の経験、知識、リソースを仲間と共有できるよう歓迎されています。また、サイバーセキュリティ・ベンダーと、中堅企業、政府機関、重要な国家インフラ、公共機関のCISO、CIO、情報セキュリティ責任者などの意思決定者をつなぐことにも重点を置いています。
毎年開催されるサイバーセキュリティの展示会として、このイベントはコミュニティのために、コミュニティによって作られ、世界クラスのグローバルサイバーサミット、展示スペース、没入型ライブデモ、Beer Farmersとの提携による非公式のネットワーキングを開催しています。
このイベントの議題は、Ciaran Martin CB教授(NCSCの前CEO)を議長とし、政府、産業界、学界の信頼できる関係者で構成される多様で尊敬すべき諮問委員会によって形成されています。
弊社Webサイト一時閉鎖のお知らせ 2022年6月24日 株式会社矢野経済研究所
平素より弊社Webサイトをご利用いただき誠にありがとうございます。
この度、外部からの不正アクセスが確認されたため、一時的に当Webサイトを閉鎖させていただくことになりました。
閉鎖期間中の対応は以下の通りです。なお、再開時期については改めてご案内させていただきます。
ご不便をおかけいたしますが、何卒ご理解いただきますようお願い申し上げます。
「VIEW’s NET」への不正ログインに関するお詫びとお知らせ 2022年6月24日 株式会社ビューカード
ビューカード会員さま限定のインターネットサービス「VIEW’s NET」への不正ログイン
が発生したことが判明しましたので、以下の通りお知らせいたします。お客さまに多大なる
ご心配、ご迷惑をおかけしておりますことを心よりお詫び申し上げます。
1 概要
2022 年 6 月 22 日(水)11 時 42 分より、「VIEW’s NET」に対して不正なログインを
試みる行為がありました。これを受けて同日 19 時 11 分より 6 月 24 日(金)10 時まで、
以下の4サービスを停止させていただいておりました。
・VIEW’s NET
・ビューカードアプリ
・VIEW ショッピングステーション
・インターネットからのビューカードのお申込み
調査の結果、560 名のビューカード会員さまのアカウントへ不正と思われるログインが
あり、当該 560 名のお客さま情報(氏名、メールアドレス等)、クレジットカード情報
(カード番号の下 4 桁のみ)について閲覧された可能性があることが判明しました。
2 対応
セキュリティ対策を強化いたしました。
不正と思われるログインがあった 560 名のアカウントに対しては、6 月 23 日(木)19
時 30 分にご利用停止の措置を完了したうえで、当該のお客さまへのご連絡を開始して
おります。
不正アクセスによる メールアドレス漏洩事案の調査結果と今後の対応のお知らせ 2022年6月23日 株式会社エフシージー総合研究所
弊社は悪意ある第三者による不正アクセス攻撃を受け、弊社サーバー上に保有する約3万5千件のお客様のメールアドレスが漏洩した可能性(以下:本インシデント)があると、2022年5月24日に公表しました。
この度、第三者機関の協力を得て行った本インシデントに関する調査が完了いたしました。当該調査結果および再発防止の取り組みにつきまして、ご報告申しあげます。
なお、弊社サーバー等のシステムは復旧しております。技術的な対応につきましては、第三者機関を通じ、弊社保有のサーバーのクリーニングを実施し、安全性を確認しております。
サイバーセキュリティ強化のため、社内横断的に担当者を配置し、セキュリティと個人情報保護の強化を図り、弊社サービスを安心してご利用いただけるよう再発防止に努めてまいります。
お客様はじめ多くの関係先に多大なご心配、ご迷惑をおかけいたしました。あらためて深くお詫び申しあげます。
【本インシデントの概要】
第三者機関の検証の結果、弊社が運用するシステムに対する数次にわたるサイバー攻撃により、弊社サーバー上に保有していた35,206件のお客様メールアドレスの漏洩が確認されました。
具体的には、弊社の業務用食品原材料配合の検査ツール「そうけんくん規格書チェックツール」を利用された事業者のご担当者様35,201件、その他の申し込みをされた企業のご担当者様5件でした。
合計35,206件の漏洩したメールアドレスのうち、個人情報に該当するメールアドレスは6,269件でした。
なお、現時点におきましては、お客様に対する悪意あるサーバー攻撃等があった事実は把握しておりません。
【お客様へのご説明】
漏洩したメールアドレスのお客様には、あらためて本インシデントのご説明、弊社セキュリティの対策方針及びお客様におかれましても悪意あるサイバー攻撃等に十分ご注意いただきたい旨を直接お知らせするとともに、問い合わせ窓口を設けて個々のお客様にご説明させていただいております。
【再発防止の組織的対策】
外部機関に弊社システムの定期的な脆弱性診断やウイルスチェックなどセキュリティ強化策の助言を求め、社内横断のサイバーセキュリティ強化要員を置き、実効性のある組織的対策を行ってまいります。
Web3の世界におけるセキュリティリスク軽減の方法 / 7 best practices for Web3 security risk mitigation
Web3は急成長している技術ですが、その一方で熱い議論が交わされています。Web3の支持者は、ビッグテックの中央集権的なコントロールを広く否定し、分散化のためのビジョン、具体的には、ブロックチェーン・ベースのアーキテクチャを使用してパワーを分散し、エンドユーザーに大きなコントロール、利害、経済的利益を与えるインターネットを中心にまとまりを見せています。
技術開発者と企業は、Web3 の可能性を評価する際に、セキュリティに対する積極的なアプローチを取る必要があります。ブロックチェーンと暗号通貨は、ソーシャルエンジニアリング、インサイダー攻撃、欠陥のある実装といった従来の問題から、分散型アプリケーション、取引所、ウォレットにおけるWeb3ネイティブの悪用といった新しいクラスまで、セキュリティに関する懸念が高まっています。
ブロックチェーン領域における攻撃は、しばしば従来のアプリケーションよりも被害が大きくなります。これらの事象は不可逆的であり、スマートコントラクトを条件とするため、悪用された場合、単一のノードではなくネットワーク全体に連鎖します。
セキュリティリーダーは、Web3セキュリティのベストプラクティスを参考に、リスクを軽減することができます。
伝統的なセキュリティ設計の原則は、Web3システムにも他のシステムと同様に不可欠です。開発者は、セキュリティを意識した基準を設計し、製品、およびインフラストラクチャに組み込む必要があります。例えば、攻撃対象領域を最小化し、ゼロトラストフレームワークを考慮し、権限を分離して最小化するよう努力する必要があります。
セキュリティ・バイ・デザインの原則が第一ですが、組織はどのような種類のブロックチェーンを使用する予定なのかも検討する必要があります。
イーサリアムやソラナなどのパブリックブロックチェーンネットワークはオープンであり、誰でも参加することができます。また、ユーザーは用途に応じてさまざまな匿名性を享受することができます。これに対し、プライベート(許可制)のブロックチェーン・ネットワークは、ユーザーが自分の身元だけでなく、メンバーシップやアクセス権限も確認する必要があります。
パブリック、プライベートに関わらず、ブロックチェーンの種類によって複雑さが異なるため、1つのブロックチェーンを理解しても、すべてのブロックチェーンを理解したことにはなりません。サイドチェーン、マルチチェーン、クロスチェーン、フェデレーション、オラクル、その他の分散型台帳コンポーネントなど、さまざまなハイブリッドインフラは、スピード、効率、回復力など、セキュリティチームと接点を持つ他の基準にも影響を及ぼします。
Web3 の「西部開拓時代」には、テクノロジーだけでなく、デザイナーが考慮しなければならない法律的、文化的、経済的な力学が含まれています。たとえば、アイデンティティに関しては、特定の設定や統合が、Know Your Customer や GDPR などの既存のコンプライアンス体制に抵触する可能性があります。
ID 以外にも、暗号技術に関する規制は管轄地域によって異なります。さらに、多くのWeb3エンティティは、プロジェクトや分散型自律組織です。
また、ソーシャルエンジニアリングのセキュリティへの影響も考慮してください。Discordのコミュニティは、デジタル資産の利点をどのように誤解し、誇張するでしょうか。暗号プラットフォームの暗号化された金融化は、悪質な行為者にどのようなインセンティブを与えるのでしょうか。
サイバーリスク管理プログラムは、新たな脅威に対する理解を深め、緩和するために、業界の同業者と協力することで利益を得ることができます。Web3 の文脈では、GitHub や OODA Loop が最近リリースした Cryptocurrency Incident Database のようなオープンソースプラットフォームなど、従来のリソースに類似したチャネルがあります。OODA Loop は、Web3 プロジェクトの間でサイバーセキュリティ事件が多発していることに着目し、セキュリティ研究者やエンジニアが共通のサイバー攻撃カテゴリや根本原因を確認できるように、このデータベースを構築しました。また、ビルダーは、自社のプラットフォームで開発者向けのセキュリティガイダンスを公開する必要があります。Web3 の開発は比較的公開されているため、Reddit、Discord、Twitter などで調査を行うことも可能です。
組織は、開発プロセスの前と全体を通して、リスクをモデル化し、分析し、軽減する必要があります。ブロックチェーン開発者とセキュリティ専門家は、事前に以下のような質問をする必要があります。
- コードの中で最も影響が大きいのはどの部分か?
- インシデント対応プロトコルはどのように影響されますか?
- 脆弱性はどのように報告されるのか?
- リスクを高めるために、ユーザはどのようにサポートされるのか?
- ユーザーの権限はどのように管理され、ウォレットやチェーンなどの相互運用性はどのように説明されるべきか?
- 組織はコミュニティ参加型のガバナンスに対応していますか?
- 違反が発生した場合、大規模な変更やチェーンの分岐はどのように処理されますか?
このような質問は、インシデントが発生したときよりも、むしろ先手を打って対処したほうがよいでしょう。その答えは、組織のサイバーセキュリティガバナンスプログラムに沿ったものであるべきです。
情報の品質やデータ操作のリスクを評価することは、オンチェーンかオフチェーンか、また、取引や所有権を確認するために必要な情報は何か、といった判断と関連付ける必要があります。
フィッシングなどの一般的な脅威には、テクノロジーのアーキテクチャと UX ワークフローの両方で対応する。例えば、セキュリティチームは、悪意のあるリンク検出ソフトウェアをブラウザにインストールするようユーザーに促し、多要素認証を要求し、オープンなWi-Fiネットワークを回避し、システムの更新を行うよう定期的にリマインダーを送信する必要があります。
また、プルーフ・オブ・ワーク型合意形成アルゴリズムの回避、マイニングプールの監視、他のノードの不審な行動の分析により、51%攻撃やシビル攻撃といったブロックチェーンアーキテクチャに特有のリスクを回避する必要があります。ブロックチェーンのキーとウォレットに関連する新しいユーザーの責任を考えると、セキュリティはユーザーのオンボーディング、コミュニケーション、およびエクスペリエンス・デザインに含まれる必要があります。
Web3 の開発ペースは速いですが、構築者は新しいコードやコミットを開始する前と後に、プロジェクトを評価し、テストする必要があります。これを怠ると、一般的なエクスプロイト、インサイダー攻撃のベクトル、ユーザーのプライバシー保護、その他のミスを見落としてしまい、違反や巨額の損失につながる可能性があります。
特に新興の開発企業は、従来の企業のようなセキュリティガバナンスがない可能性があるため、組織は定期的な監査も実施する必要があります。
その中には、開発の各段階で監査レベルのチェックを行う技術を開発したDeepReasonも含まれています。
セキュリティ・リーダーは、この新しいクラスのテクノロジーを取り入れるべきです。従来のセキュリティ手法も多く適用されますが、分散型台帳、暗号資産、ウォレット、およびデジタル通信の広範な金融化によって、セキュリティにはいくつかの明確な意味が生まれます。Web3 は企業とは無関係に思えるかもしれませんが、その根底にある技術は、企業とその顧客にとって大きな破壊的可能性を持っています。
出典:7 best practices for Web3 security risk mitigation
週刊OSINT 2022-21号 / Week in OSINT #2022-21
今週は、興味深いコース、記事、ツールのヒント、そして膨大なリンク集をご紹介します!
オープンソースの情報、収集、分析に関する情報量が膨大になったことに驚かされます。特にここ数年のロックダウンの影響で、自由に利用できる情報や講座が間違いなく増えていて、これらがコミュニティと共有されるのは嬉しいことです。また、TwitterやDiscordなどで共有されているTipsの量もすごいですね。このような情報を定期的に再共有するコレクター集団の一員であることは、素晴らしいことです。
- Geospatial Intelligence
- SOCMINT Scraping and Analysis
- Meta OSINT
- Exif Viewers
- Basic OSINT Investigations
トレーニング: Geospatial Intelligence
Dr DudeがTOCP Discordで地理空間情報についての無料講座をいくつか紹介してくれました。どれも基本的なこと、歴史、方法論、様々な分野でどのように使われるかをカバーしているが、USGIFによる完全無料のコースもある。GISの仕組み、衛星画像のさまざまなセンサー、人工知能やデータ解析といったことを教えてくれます。このコースでGEOINTのウィザードになれるとは思わないでほしいが、この専門分野の歴史と基本をすべて学ぶことができ、さらなる探求のための確かな基礎となるはずだ。
記事: SOCMINT Scraping and Analysis
Lauraは、ソーシャルメディアプラットフォームの基本的なデータ収集と分析に関するOS2INTのブログを共有しました。Instant Data Scraper、InVID/Weverifyプラグイン、Telegramメッセージをオープングループとチャンネルからスクレイピングするために作られたPythonツールについて書かれています。データの収集と分析の方法について、いくつかの良いリソースと説明がある、素晴らしいブログです。
リンク: Meta OSINT
Scottは、オープンソース・インテリジェンスに関する4000以上のリソース、ツール、記事、ブログの概要を作成した。素晴らしいインタラクティブなチャートでナビゲートすることもできるし、カテゴリごとにグループ化されたソースの完全なリストに飛び込むこともできる。膨大な数のリソースと、それを収集した素晴らしい仕事です。Scottさん、ありがとうございます。
ツール: Exif Viewers
JeffreyのExif Viewerがしばらくの間オフラインになっているため、他の解決策を探す必要がある人がいます。特に、Phil Harvey氏のExifToolのようなローカルソフトをインストールできない場合の解決策を探しているようです。これはおそらく最高のローカルツールですが、他にもいくつかの可能性があります。
拡張機能・アドオン
- InVID/WeVerify:Chrome拡張機能
- EXIF Viewer Pro: Chrome拡張機能
- Exif Viewer:Firefoxアドオン
オンラインソリューション
- Exifdata.com
- CyberChef レシピ (少しバグがあり、常に動作するわけではありません)
- Forensically (「メタデータ」オプションを使用)
もちろん、複数の拡張機能、アドオン、またはウェブサイトがありますが、ここですべてを追加することはできません。ブラウザの拡張機能の中には、表示したいフィールドを正確に指定しない限り、基本的な情報しか表示しないものがあります(Exif Viewer Classicなど)ので、ご注意ください。
記事: Basic OSINT Investigations
今月初め、Sofia SantosはOSINT調査の基本的なステップについて、軍事輸送を例にとって記事を書いた。彼女は、多くの新参者がOSINTとして見ているデータの収集にはあまり重点を置いていません。しかし、この記事では、すでに収集されたデータを使って、5つのWと1つのHの一部に答えています(リンク)。これから始めようとしている人、データの収集で止まっている人への良い入門書です。
オマーン航空がワンワールド・アライアンスに加盟 / Oman Air to join the oneworld alliance with Avios ‘earn and burn’ on the way
オマーン航空は、2022年6月20日、ブリティッシュ・エアウェイズと並んで、航空連合「ワンワールド」に加盟すると発表した。
これにより、2024年までにイギリスとマスカット間およびそれ以降の接続都市を結ぶオマーン航空のフライトでAviosを獲得・交換することができるようになります。
すでにオマーン航空と密接に連携しているカタール航空は、スポンサーとして、統合のためのサポートを提供することに同意しています。
オマーン航空が加わることで、ワンワールド・アライアンスはカタール航空やロイヤル・ヨルダン航空と並んで、中東でさらに強力な地位を築くことになります。
スターアライアンスにはエジプト航空、スカイチームにはミドルイースト航空とサウディア航空がありますが、スターアライアンスとスカイチームはやや無防備な状態になります。エミレーツ航空が主要アライアンスに加盟することはないでしょうが、エティハド航空に対しては、他の 2 つのグループのいずれかと提携するよう圧力がかかることになるかもしれません。
オマーン航空は、ワンワールド・アライアンスのルートマップに、オマーンのドゥクムとハサブ、バングラデシュのチッタゴンの 3 都市を新たに追加しました。 同航空はマスカット、サララ、バンコクにラウンジを有しています。
オマーン航空は現在、ボーイング737、ボーイング787、エアバスA330を使用し、20地域、41都市に就航しています。
オマーン航空は上品なオペレーションで、アライアンスに加わるにふさわしい存在です。唯一の欠点は、ブリティッシュ・エアウェイズがヘルシンキ(フィンエアーの本拠地)やクアラルンプール(マレーシア航空の本拠地)に運航しなくなったように、オマーン航空がワンワールドに加盟すると、オマーンへの自社便を再開する可能性が低くなることです。
参考までに、現在のワンワールド・アライアンス加盟航空会社は、アラスカ航空、アメリカン航空、British Airways、キャセイパシフィック航空、Finnair、Iberia、日本航空、マレーシア航空、カンタス航空、Qatar Airways、ロイヤル エア モロッコ、ロイヤル ヨルダン航空およびスリランカ航空となっています。Fiji Airlines は、「ワンワールド・コネクト」パートナー会員です。ロシアの航空会社である S7 は、現在メンバーシップを停止しています。
出典:Oman Air to join the oneworld alliance with Avios ‘earn and burn’ on the way
登録:
投稿 (Atom)