【セキュリティ事件簿#2023-092】石巻地区広域行政事務組合 石巻地区広域行政事務組合庁内ネットワークサーバーのコンピューターウイルス感染について 2023年3月9日


石巻地区広域行政事務組合庁内ネットワークサーバーのコンピューターウイルス感染について、コメントを申し上げます。

本組合におきましては、これまでもサイバーセキュリティ対策を講じてきておりましたが、この度の事案の発生により、圏域住民の皆様及び関係機関・関係団体の皆様に、多大の御心配やお手数をお掛けいたしておりますことを、深くお詫び申し上げます。

現在、ウイルスによる個人情報をはじめデータの流出は確認されておらず、皆様への支障を最小限にするため、工夫して業務を継続いたしております。

今後、引き続き調査を行い、再発防止策について検討するとともに、早期に通常業務へ戻れるよう努めてまいりますので、御理解、御協力を賜りますよう、お願い申し上げます。

1 概要
事務局内の庁内ネットワークサーバーが不正アクセスによりコンピューターウイルスに感染したため、サーバー内のデータが暗号化され使用不能となったもの。

2 発生の経緯及び原因
(1) 令和5年2月24日(金)~25日(土)
 深夜にサーバー内のデータが暗号化される。
(2) 令和5年2月27日(月)
 朝出勤した職員がデータに異常があることを発見した。
 庁内ネットワーク保守点検業務委託業者に連絡し、サーバーを確認したところ、コンピューターウイルス(ランサムウエア)への感染が判明した。

3 情報流出の有無
当該サーバーには過去から現在までの、各審査会委員及び事業参加者等のデータ(氏名・生年月日・住所・電話番号等)が含まれておりましたが、現時点において、サーバー内のデータが抜き取られた痕跡は認められず、情報の流出は確認されていないものの、引き続き調査を継続する。

4 業務への影響
総務企画課、施設管理課、介護認定審査課及び石巻広域クリーンセンターの業務の一部に支障が生じているものの、バックアップデータ等を活用し、業務は継続して行っている。

5 対応状況
(1) 令和5年2月27日(月)
 保守点検業者において、感染経路及びデータの復旧等について、調査を開始した。
(2) 令和5年2月28日(火)
 石巻警察署へランサムウエアによる被害があったことを通報の上、対応等について相談し、捜査に協力している。
庁内ネットワークへ接続している全てのパソコンのウイルススキャンを実施し、異常がないことを確認した。
(3) 令和5年3月2日(木)
 保守点検業者により、バックアップデータによるサーバーの仮復旧が完了した。
※ 感染経路等については、サーバーのログ等を確認したが特定には至っていない。

6 今後の再発防止策
セキュリティ対策の強化、データのバックアップの方法等、必要な対応について、調査・検討する。

【セキュリティ事件簿#2023-091】東京海上日動あんしん生命保険株式会社 弊社からの送信メールデータの流出の可能性について 2023年3月8日


東京海上日動火災保険株式会社(取締役社長 広瀬 伸一、以下「東京海上日動」)および東京海上日動あんしん生命保険株式会社(取締役社長 川本 哲文、以下「あんしん生命」)において、「メール誤送信対策サービス」を委託する富士通株式会社(以下「富士通社」のシステム(※1)が特定の期間に不正アクセスを受けたこと(※2)により、東京海上日動およびあんしん生命から送信したメールデータの一部が外部に流出した可能性があることが、富士通社からの報告により判明いたしました。

お客様をはじめとする関係者の皆様に、ご迷惑とご心配をおかけすることとなり、心よりお詫び申し上げます。

(※1)富士通社の FENICS インターネットサービス
(※2)富士通社ニュースリリース
(2023 年 2 月 20 日)
(2022 年 12 月 23 日)

 現時点で富士通社からは以下の報告を受けております。

  • 2022 年 12 月 9 日に FENICS インターネットサービスを構成する一部のネットワーク機器から外部への不正な通信が行われていた事象を確認した。

  • その後の調査の結果、FENICS インターネットサービスを構成する一部ネットワーク機器において、不正なプログラムが動作していたことが判明した。

  • 不正な通信が行われた時間帯に、当該ネットワーク機器を通過していた東京海上日動およびあんしん生命から発信された電子メールが技術的に外部から窃取可能な状態になっていたことが判明した。

  • 2022 年 3 月 28 日から不正な通信が行われていた可能性があるが、2022 年 3 月 28 日~5月 15 日の期間については富士通社にて外部通信のログを保存していない。

  • すでに富士通社により同様の事象が生じないよう必要な対処を実施済みである。

弊社では、2022 年 5 月 16 日から 12 月 9 日までの期間にて上記 FENICS インターネットサービスを通じて外部に流出した可能性のある約 1,300 通のメールを特定済みであり、本日以降速やかに同メール送信先の皆様に通知をしてまいります。また、2022 年 3 月 28 日から5 月 15 日の富士通社にてログを保持していない期間につきましては、富士通社とともに調査方法を検討し、適切に通知をしてまいります。

今後も情報管理の徹底に努め、より一層の情報セキュリティ対策の強化に取り組んでまいります。なお、本件につきましては、監督当局に対して報告を実施しております。

【セキュリティ事件簿#2023-090】浜松開誠館中高、サーバーがウイルス感染して成績や出欠の閲覧不可。緘口令をひいたものの隠ぺいの意図は拒否


浜松市中区の浜松開誠館中学・高校(生徒数計約1200人)で校内のサーバーがコンピューターウイルスに感染し、数年間分の生徒のテストの成績や連絡先が閲覧できなくなっていることが学校への取材で判明した。個人情報の流出や悪用は2023年3月7日時点で確認されていないという。

学校などによると、2月下旬にサーバーが何らかの理由でウイルスに感染。過去5~10年間分の生徒の成績や出欠状況、連絡先などのデータが全て暗号化され、閲覧できなくなった。復旧のめどは立っていない。このため、データを紙で保存していない教員は、生徒の成績評定を記憶などに基づいて行う必要があったという。

関係者によると、学校側は当初、教員たちに問題を外部に口外しないよう求めていた。6日に毎日新聞の取材を受けた後、保護者らに経緯を伝えた。

同校の広報室長は「生徒を動揺させたくないとの思いがあった。隠蔽(いんぺい)しようとしたわけではなく、県教育委員会に報告し、県警にも相談している。原因の把握とデータの復元に努めたい」と述べた。

【セキュリティ事件簿#2023-089】株式会社オーディオテクニカ 不正アクセスによる情報漏えいの可能性に関するお知らせとお詫び 2023年3月7日


2月25日(土)未明より発生しておりますシステム障害において、現在、復旧に向けて対応をしておりますが、原因調査の過程でランサムウェアによる不正アクセスを受け、社内の一部機密情報が不正に閲覧された可能性があることが判明しました。

今回の不正アクセスによる被害の状況、情報漏えいの範囲などは現在、調査中となっておりますため、全容の確認や対処、復旧にはまだ数週間の時間を要する⾒込みです。

なお、当社の公式ECストア販売における決済は外部委託しておりますため、クレジットカード情報を保有しておらず、クレジットカード情報の流出がないことを確認しております。

今後、お知らせすべき新たな事実が判明しましたら、改めてお知らせいたします。 

【セキュリティ事件簿#2023-088】日本原燃株式会社 お客さまの個人情報漏えいの可能性のお知らせとお詫びについて 2023年3月3日


当社グループ会社の六ケ所げんねん企画株式会社※(以下「げんねん企画」という)のパソコンが不正アクセスを受け、お客さまの個人情報が漏えいした可能性があることを確認しました。

個人情報が漏えいした可能性のあるお客さまに、ご迷惑とご心配をおかけしますことを深くお詫び申し上げます。

※日本原燃の視察者受け入れ業務を受託

1. 事象概要

2023年2月19日、げんねん企画が所有する視察者の個人情報を保管しているパソコン1台に不明ファイルが作成されていることを確認し、調査の結果、2月27日に2022年6月3日から2023年2月19日までの期間にご視察を申し込まれたお客さまの氏名や住所などの個人情報が漏えいした可能性があると判断しました。

現在、ネットワークは遮断しており、被害拡大の防止を講じています。原因については現在調査中です。

なお、警察への通報および個人情報保護委員会への報告は完了しております。

2. 漏えいした可能性のある個人情報および対象人数

  • 個人情報
    氏名、住所、電話番号、生年月日、身分証のコピー 等
  • 対象人数
    2022年6月3日から2023年2月19日までの期間にご視察を申し込まれたお客さま 4,982人
3. お客さまへのお願い

身に覚えのない電話や郵便物が届いた場合は最寄りの警察署にご相談ください。

4. 今後の対応

対象となるお客さまには、本日より順次、申し込まれた団体様を通じて電話等でご連絡してまいります。

現在、外部の専門機関とともに原因調査を進めており、必要な対策を実施し、再発防止に万全を期してまいります。

【TryHackMeウォークスルー】Nmap Basic Port Scans

 

Task 1  Introduction

ここは、Nmapシリーズ(ネットワークセキュリティ入門モジュールの一部)の2つ目です。

  1. Nmap Live Host Discovery
  2. Nmap Basic Port Scans
  3. Nmap Advanced Port Scans
  4. Nmap Post Port Scans

前回では、オンラインシステムの発見に焦点を当て、Nmapスキャンの3つのステップを説明しました。

  1. ターゲットの列挙
  2. ライブホストの発見
  3. 逆DNSルックアップ


次のステップは、どのポートが開いていてリッスンしているか、どのポートが閉じているかをチェックすることでしょう。そこで、今回と次回では、ポートスキャンと、nmapが使用するさまざまなタイプのポートスキャンに焦点を当てます。ここでは、以下のことを説明します。

  1. TCP connect port scan
  2. TCP SYN port scan
  3. UDP port scan

さらに、ポート、スキャンレート、並列プローブの数を指定するためのさまざまなオプションについても説明します。

■Question ※無し


Task 2  TCP and UDP Ports

IPアドレスがネットワーク上の多数のホストを特定するのと同じ意味で、TCPポートまたはUDPポートは、そのホスト上で実行されているネットワークサービスを特定するために使用されます。サーバーは、ネットワークサービスを提供し、特定のネットワークプロトコルに準拠しています。例としては、時刻の提供、DNSクエリへの応答、Webページの提供などがあります。ポートは通常、その特定のポート番号を使用するサービスにリンクされています。例えば、HTTPサーバーはデフォルトでTCPポート80に接続し、さらにHTTPサーバーがSSL/TLSをサポートしている場合は、TCPポート443で待ち受けることになります(TCPポート80と443は、SSL/TLSをサポートしている場合は、TCPポート443で待ち受けることになります)。(TCPポート80と443はHTTPとHTTPSのデフォルトポートですが、Webサーバーの管理者は必要に応じて他のポート番号を選択することができます)。さらに、1つのTCPまたはUDPポートで複数のサービスが(同じIPアドレスで)リッスンすることはできません。

単純化しすぎかもしれませんが、ポートを2つの状態に分類することができます。

  1. オープンポートは、そのポートでリッスンしているサービスがあることを示します。
  2. クローズド・ポートとは、そのポートでリッスンしているサービスがないことを示します。

しかし、現実的な場面では、ファイアウォールの影響を考慮する必要があります。たとえば、ポートが開いていても、ファイアウォールがパケットをブロックしている場合があります。そこで、Nmapは次の6つの状態を考慮します。

  1. Open:指定されたポートでサービスがリッスン中であることを示します。

  2. Closed:指定されたポートにアクセス可能ですが、どのサービスもリッスンしていないことを示します。アクセス可能とは、到達可能であり、ファイアウォールや他のセキュリティ機器/プログラムによってブロックされていないことを意味します。

  3. Filtered: ポートがアクセス可能でないため、Nmapがそのポートを開いているか閉じているか判断できないことを意味します。この状態は、通常、ファイアウォールがNmapのそのポートへの到達を妨げていることが原因です。Nmapのパケットがポートに到達するのをブロックしている可能性があり、代わりに、応答がNmapのホストに到達するのをブロックしている可能性もあります。

  4. Unfiltered: ポートはアクセス可能ですが、Nmapがそのポートが開いているか閉じているか判断できないことを意味します。この状態は、ACKスキャン-sAを使用したときに遭遇します。

  5. Open|Filtered: ポートが開いているかどうかをNmapが判断できないことを意味します。これは、Nmapが、そのポートが開いているかフィルタリングされているかを判断できないことを意味します。

  6. Closed|Filtered:これは、Nmapが、ポートが開いているかフィルタリングされているかを判断できないことを意味します。これは、Nmapが、ポートが閉じているかフィルタリングされているかを判断できないことを意味します。

■Question

Which service uses UDP port 53 by default?
DNS

Which service uses TCP port 22 by default?
SSH

How many port states does Nmap consider?
6

Which port state is the most interesting to discover as a pentester?
open


Task 3  TCP Flags

Nmapは、さまざまな種類のTCPポートスキャンをサポートしています。これらのポートスキャンの違いを理解するために、TCPヘッダを確認する必要があります。TCPヘッダとは、TCPセグメントの最初の24バイトのことです。次の図は、RFC 793で定義されているTCPヘッダーを示しています。この図は一見高度に見えますが、理解するのはとても簡単です。最初の行には、送信元のTCPポート番号と送信先のポート番号が記載されています。ポート番号は16ビット(2バイト)割り当てられていることがわかります。2行目と3行目には、シーケンス番号と確認応答番号があります。各行には32ビット(4バイト)が割り当てられており、合計6行で24バイトを構成しています。


特に、Nmapが設定したり解除したりできるフラグに注目する必要があります。ここでは、TCPフラグを赤色で強調表示しました。フラグビットの設定とは、その値を1にすることです。左から右へ、TCPヘッダのフラグは次のとおりです。

  1. URG: 緊急フラグは、ファイルされた緊急ポインタが重要であることを示します。緊急ポインタは、受信データが緊急であることを示し、URGフラグが設定されたTCPセグメントは、以前に送信されたTCPセグメントを待つことを考慮せずに、直ちに処理されることを示します。

  2. ACK: 確認応答フラグは、確認応答番号が有意であることを示します。TCPセグメントを受信したことを確認するために使用されます。

  3. PSH: Pushフラグ TCPにデータを速やかにアプリケーションに渡すように要求するフラグです。

  4. RST: リセットフラグは、接続をリセットするために使用されます。ファイアウォールなどの他のデバイスがTCP接続を切断するために送信することがあります。このフラグは、データがホストに送信され、受信側に応答するサービスがない場合にも使用されます。

  5. SYN: 同期フラグは、TCP 3ウェイハンドシェイクを開始し、相手ホストとシーケンス番号を同期させるために使用されます。シーケンス番号はTCPコネクション確立時にランダムに設定する必要があります。

  6. FIN:送信側にはもう送信するデータがありません。

■Question

What 3 letters represent the Reset flag?
RST

Which flag needs to be set when you initiate a TCP connection (first packet of TCP 3-way handshake)?
SYN


Task 4  TCP Connect Scan

TCPコネクトスキャンは、TCPの3ウェイハンドシェイクを完了させることで動作します。標準的なTCP接続の確立では、クライアントはSYNフラグを設定したTCPパケットを送信し、サーバーはポートが開いていればSYN/ACKで応答し、最後にクライアントはACKを送信して3方向のハンドシェイクを完了させます。


我々はTCPポートが開いているかどうかを知ることに興味があるのであって、TCPコネクションを確立することに興味があるのではありません。したがって、RST/ACKを送信することによってその状態が確認されると同時に、接続は破棄されます。TCPコネクトスキャンを実行するかどうかは、-sTを使用して選択することができます。


特権ユーザ(rootまたはsudoer)でない場合、TCPコネクトスキャンがオープンTCPポートを発見する唯一の可能なオプションであることに注意することが重要です。

次のWiresharkのパケットキャプチャウィンドウでは、NmapがSYNフラグを設定したTCPパケットを、256、443、143など、さまざまなポートに送信しているのがわかります。デフォルトでは、Nmapは最も一般的な1000個のポートに接続しようとします。閉じたTCPポートは、SYNパケットに対してRST/ACKで応答し、それが開いていないことを示します。このパターンは、閉じたポートとのTCP 3ウェイハンドシェイクを開始しようとすると、すべての閉じたポートに対して繰り返されます。


ポート143が開いていることが分かるので、SYN/ACKで応答し、NmapはACKを送信して3ウェイハンドシェイクを完了しました。下図は、Nmapホストとターゲットシステムのポート143の間で交換されたすべてのパケットを示しています。最初の3つのパケットは、TCPの3ウェイハンドシェイクが完了したものです。そして、4番目のパケットがRST/ACKパケットでそれを破っています。


-sT (TCP接続スキャン) を説明するために、次のコマンド例では、開いているポートの詳細なリストが返されました。

Pentester Terminal
pentester@TryHackMe$ nmap -sT 10.10.199.134

Starting Nmap 7.60 ( https://nmap.org ) at 2021-08-30 09:53 BST
Nmap scan report for 10.10.199.134
Host is up (0.0024s latency).
Not shown: 995 closed ports
PORT    STATE SERVICE
22/tcp  open  ssh
25/tcp  open  smtp
80/tcp  open  http
111/tcp open  rpcbind
143/tcp open  imap
MAC Address: 02:45:BF:8A:2D:6B (Unknown)

Nmap done: 1 IP address (1 host up) scanned in 0.40 seconds

なお、-Fをつけると高速モードが有効になり、スキャンされるポートの数が1000から最も一般的な100ポートに減少します。

ランダムな順序ではなく、連続した順序でポートをスキャンするために、-rオプションを追加できることも特筆すべき点です。このオプションは、例えばターゲットが起動したときにポートが一貫した方法で開いているかどうかをテストするときに便利です。

■Question

Launch the VM. Open the AttackBox and execute nmap -sT 10.10.199.134 via the terminal. A new service has been installed on this VM since our last scan. Which port number was closed in the scan above but is now open on this target VM?(THM上でVMを起動します。AttackBox を開き、ターミナルから nmap -sT 10.10.199.134 を実行します。前回のスキャン(上述のコマンド例)以降、このVMに新しいサービスがインストールされています。このターゲットVM上で現在開いているポート番号はどれでしょうか)
110

What is Nmap’s guess about the newly installed service?
pop3


Task 5  TCP SYN Scan

非特権ユーザーはコネクトスキャンに限定されます。しかし、デフォルトのスキャンモードはSYNスキャンであり、これを実行するには特権(rootまたはsudoer)ユーザが必要です。SYNスキャンでは、TCPの3ウェイハンドシェイクを完了する必要はなく、サーバーからの応答を受け取ると、接続を切断します。TCP接続を確立しなかったため、スキャンがログに記録される可能性が低くなります。このスキャンタイプは、-sSオプションを使用することで選択できます。下図は、TCP 3ウェイハンドシェイクを完了しないTCP SYNスキャンがどのように動作するかを示しています。


Wiresharkの次のスクリーンショットは、TCP SYNスキャンを示しています。閉じたTCPポートの場合の動作は、TCPコネクトスキャンと同様です。


この2つのスキャンの違いをよりよく理解するために、次のスクリーンショットを考えてみよう。次の図の上半分では、TCPコネクトスキャン -sTトラフィックを見ることができます。開いているTCPポートは、接続を閉じる前に、NmapがTCPの3ウェイハンドシェイクを完了させる必要があります。次の図の下半分では、SYNスキャン-sSがTCP 3ウェイハンドシェイクを完了する必要がないことがわかります。 代わりに、NmapはSYN/ACKパケットを受信すると、RSTパケットを送信します。


TCP SYNスキャンは、Nmapを特権ユーザーとして実行する場合、rootとして実行するかsudoを使用する場合のデフォルトのスキャンモードで、非常に信頼性の高い選択肢です。これは、先にTCPコネクトスキャンで見つけたオープンポートを正常に検出したものの、ターゲットとの間にTCP接続が完全に確立されていないことを示しています。

Pentester Terminal
pentester@TryHackMe$ sudo nmap -sS 10.10.89.73

Starting Nmap 7.60 ( https://nmap.org ) at 2021-08-30 09:53 BST
Nmap scan report for 10.10.89.73
Host is up (0.0073s latency).
Not shown: 994 closed ports
PORT    STATE SERVICE
22/tcp  open  ssh
25/tcp  open  smtp
80/tcp  open  http
110/tcp open  pop3
111/tcp open  rpcbind
143/tcp open  imap
MAC Address: 02:45:BF:8A:2D:6B (Unknown)

Nmap done: 1 IP address (1 host up) scanned in 1.60 seconds

■Question

Launch the VM. Some new server software has been installed since the last time we scanned it. On the AttackBox, use the terminal to execute nmap -sS 10.10.89.73. What is the new open port?(VMを起動し、前述のスキャン以降、新しいサーバソフトウェアがいくつかインストールされています。AttackBox上で、ターミナルを使用して、nmap -sS 10.10.89.73を実行します。新しいオープンポートは何でしょう?)
6667

What is Nmap’s guess of the service name?
irc


Task 6  UDP Scan

UDPはコネクションレス型のプロトコルであるため、接続確立のためのハンドシェイクを必要としません。UDPのポートでリッスンしているサービスが,こちらのパケットに応答することは保証できません。ただし、閉じたポートにUDPパケットを送信すると、ICMP port unreachableエラー(タイプ3、コード3)が返されます。UDPスキャンは-sUオプションで選択できます。さらに、別のTCPスキャンと組み合わせることもできます。

次の図は、開いているUDPポートにUDPパケットを送っても、その返信は期待できないことを示しています。したがって、開いているポートにUDPパケットを送っても、何もわかりません。


しかし、下図のように、タイプ3、宛先到達不能、コード3、ポート到達不能のICMPパケットを取得することが予想されます。つまり、何の応答も発生しないUDPポートが、Nmapがオープン状態であることを示すのです。


下記のWiresharkのキャプチャでは、閉じたポートごとにICMPパケットの宛先到達不能(port unreachable)が生成されていることがわかります。


このLinuxサーバーに対してUDPスキャンを開始したところ、確かにポート111が開かれていることが分かりました。一方、Nmapは、UDPポート68が開いているかフィルタリングされているかを判断することができません。

Pentester Terminal
pentester@TryHackMe$ sudo nmap -sU 10.10.73.231

Starting Nmap 7.60 ( https://nmap.org ) at 2021-08-30 09:54 BST
Nmap scan report for 10.10.73.231
Host is up (0.00061s latency).
Not shown: 998 closed ports
PORT    STATE         SERVICE
68/udp  open|filtered dhcpc
111/udp open          rpcbind
MAC Address: 02:45:BF:8A:2D:6B (Unknown)

Nmap done: 1 IP address (1 host up) scanned in 1085.05 seconds

■Question

Launch the VM. On the AttackBox, use the terminal to execute nmap -sU -F -v 10.10.73.231. A new service has been installed since the last scan. What is the UDP port that is now open?
53

What is the service name according to Nmap?
domain


Task 7  Fine-Tuning Scope and Performance

デフォルトの1000ポートではなく、スキャンしたいポートを指定することができます。ポートの指定は、直感的に理解できるようになります。いくつか例を見てみましょう。

  • ポートリスト:-p22,80,443 は、ポート 22、80、443 をスキャンします。
  • ポート範囲:-p1-1023は、1~1023のすべてのポートをスキャンし、-p20-25は、20~25番のポートをスキャンします。

-p-で全ポートのスキャンを要求すると、65535ポートすべてをスキャンします。最も一般的な100個のポートをスキャンしたい場合は、-Fを追加します。top-ports 10を使用すると、最も一般的な10個のポートをチェックします。

-T<0-5>でスキャンのタイミングを制御することができます。-T0が最も遅く(偏執的)、-T5が最も速いです。Nmapのマニュアルページによると、6つのテンプレートがあります。

  • paranoid (0)
  • sneaky (1)
  • polite (2)
  • normal (3)
  • aggressive (4)
  • insane (5)

IDSを回避するには、-T0または-T1を検討するのがよいでしょう。たとえば、-T0は一度に1つのポートをスキャンし、各プローブを送信する間に5分待つので、1つのターゲットのスキャンが終了するまでの時間を推測することができます。タイミングを指定しない場合、Nmapは通常の-T3を使用します。T5は、速度の点で最も優れているものの、パケットロスの可能性が高くなるため、スキャン結果の精度に影響を与える可能性があることに注意する必要があります。T4はCTFや練習用ターゲットでスキャンを学ぶときによく使われ、-T1はステルス性がより重要な実際の活動でよく使われます。

また、--min-rate <number> と --max-rate <number> を使用して、パケットレートを制御することもできます。例えば、--max-rate 10または--max-rate=10は、スキャナが1秒間に10個以上のパケットを送信しないようにします。

さらに、--min-parallelism <numprobes>と--max-parallelism <numprobes>でプロービングの並列化を制御することができます。Nmapはターゲットをプローブして、どのホストが生きているか、どのポートが開いているかを発見します。プローブ並列化では、こうしたプローブを何回並列に実行できるかを指定します。たとえば、--min-parallelism=512は、Nmapが少なくとも512個のプローブを並列に維持するよう促します。この512個のプローブは、ホスト検出とオープンポートに関連します。

■Question

What is the option to scan all the TCP ports between 5000 and 5500?
-p5000-5500

How can you ensure that Nmap will run at least 64 probes in parallel?
--min-parallelism=64

What option would you add to make Nmap very slow and paranoid?
-T0


Task 8  Summary

ここでは、3種類のスキャンを取り上げました。

Port Scan TypeExample Command
TCP Connect Scannmap -sT MACHINE_IP
TCP SYN Scansudo nmap -sS MACHINE_IP
UDP Scansudo nmap -sU MACHINE_IP

これらのスキャンタイプは、ターゲットホスト上で実行されているTCPおよびUDPサービスの検出を開始するのに役立つはずです。

OptionPurpose
-p-all ports
-p1-1023scan ports 1 to 1023
-F100 most common ports
-rscan ports in consecutive order
-T<0-5>-T0 being the slowest and T5 the fastest
--max-rate 50rate <= 50 packets/sec
--min-rate 15rate >= 15 packets/sec
--min-parallelism 100at least 100 probes in parallel

出典:Nmap Basic Port Scans

【セキュリティ事件簿#2023-087】株式会社プラチナスタイル 弊社が運営する「PARTY DRESS STYLE」への不正アクセスによる個人情報漏洩に関するお詫びとお知らせ 2023年3月2日


このたび、弊社が運営する「PARTY DRESS STYLE」におきまして、第三者による不正アクセスを受け、お客様のクレジットカード情報(8,604件)が漏洩した可能性があることが判明いたしました。

お客様をはじめ、関係者の皆様に多大なるご迷惑およびご心配をおかけする事態となりましたこと、深くお詫び申しあげます。
 
なお、クレジットカード情報が漏洩した可能性のあるお客様には、本日より、電子メールにてお詫びとお知らせを個別にご連絡申し上げております。
 
弊社では、今回の事態を厳粛に受け止め、再発防止のための対策を講じてまいります。

お客様をはじめ関係者の皆様にはお詫びを申し上げますとともに、本件に関する概要につきまして、下記の通りご報告いたします。

1. 経緯

2022年6月20日、一部のクレジットカード会社から、弊社サイトを利用したお客様のクレジットカード情報の漏洩懸念について連絡を受け、2022年6月20日弊社が運営する「PARTY DRESS STYLE」でのカード決済を停止し、同時に第三者機関による調査を開始いたしました。

2022年8月13日、調査機関による調査が完了し、2021年10月21日〜2022年6月20日の期間に「PARTY DRESS STYLE」でご注文されたお客様クレジットカード情報が漏洩し、一部のお客様のクレジットカード情報が不正利用された可能性があることを確認いたしました。

以上の事実が確認できたため、本日の発表に至りました。

2. 個人情報漏洩状況

(1) 原因
弊社が運営する「PARTY DRESS STYLE」のシステムの一部の脆弱性をついたことによる第三者の不正アクセスにより、ペイメントアプリケーションの改ざんが行われたため。

(2) クレジットカード情報漏洩の可能性があるお客様
2021年10月21日〜2022年6月20日の期間中に「PARTY DRESS STYLE」においてクレジットカード決済をされたお客様8,604名で、漏洩した可能性のある情報は以下のとおりです。
(Amazon payにて決済されたお客様は対象外です)

・クレジットカード名義人名
・クレジットカード番号
・有効期限
・セキュリティコード
・IPアドレス
・e-mailアドレス

上記に該当する8,604名のお客様については、別途、電子メールにて個別にご連絡申し上げます。

3. お客様へのお願い

既に弊社では、クレジットカード会社と連携し、漏洩した可能性のあるクレジットカードによる取引のモニタリングを継続して実施し、不正利用の防止に努めております。

お客様におかれましても、誠に恐縮ではございますがクレジットカードのご利用明細書に身に覚えのない請求項目がないか、今一度ご確認をお願い致します。万が一、身に覚えのない請求項目があった場合は、大変お手数ですが同クレジットカードの裏面に記載のカード会社にお問い合わせいただきますよう、併せてお願い申し上げます。

なお、お客様がクレジットカードの差し替えをご希望される場合、カード再発行の手数料につきましてはお客様にご負担をお掛けしないよう、弊社よりクレジット会社に依頼しております。

4. 公表が遅れた経緯について

2022年6月20日の漏洩懸念から今回の案内に至るまで、時間を要しましたことを深くお詫び申し上げます。

本来であれば疑いある時点でお客様にご連絡し、注意を喚起するとともにお詫び申し上げるところではございましたが、不確定な情報の公開はいたずらに混乱を招きかねないことより、お客様へのご迷惑を最小限に食い止める対応準備を整えてからの告知が不可欠であると判断し、発表は調査会社の調査結果、およびカード会社との連携を待ってから行うことに致しました。

今回の発表までのお時間いただきましたこと、重ねてお詫び申し上げます。

5. 再発防止策ならびにクレジットカード決済の再開について

弊社はこのたびの事態を厳粛に受け止め、調査結果を踏まえてシステムのセキュリティ対策および監視体制の強化を行い、再発防止を図ってまいります。

改修後の「PARTY DRESS STYLE」のクレジットカード決済再開日につきましては、決定次第、改めてWebサイト上にてお知らせいたします。

また、弊社は今回の不正アクセスにつきまして、監督官庁である個人情報保護委員会には2022年6月23日に報告済みであり、また、所轄警察署にも2022年7月4日被害報告を行なっており、今後必要な捜査に全面的に協力してまいります。


週刊OSINT #2023-04号

 

今号ではTelegramに関する別のTips、ダークウェブへの潜入、その他をお送りします。

  • Tips on Dark Web
  • ADS-B Exchange
  • Telegram Tip
  • Privacy Guides
  • Chronophoto

記事: Tips on Dark Web

Authentic8 は最近、マイケル・ジェームズがダークウェブでの調査に関する知識を共有する記事を書きました。この記事に加えて、マイケルは昨年ポッドキャストにも出演し、サイトとYouTubeで公開されました。ポッドキャストでは、ダークウェブに関する基礎知識、過去の調査例、そして調査中の安全確保に関する非常に有用なヒントを紹介しています。


小技: ADS-B Exchange

ADS-B ExchangeがJetnetに売却された話は、すでに多くの人が読んでいると思います。すべての情報が研究者のために利用可能なままである可能性もありますが、状況が変わることを想定して、ここにいくつかの代替案を示します。ほとんどは、数日から数週間前にさかのぼり、いくつかの無料情報を提供しています。

Freedarは、完全に無料のライブ追跡サイトです。世界各地をカバーしていますが、過去の情報を無料で提供しているわけではありません。レシーバーを「ワールドフィード」に変更すると、グローバルな情報を得ることができます。

FlightAwareは、2週間前からの履歴を含む、いくつかの無料情報を持っています。これは、ほとんどの人にとって十分な情報でしょう。

OpenSky Networkは、過去のフライトの非常に大きなデータセットを持っており、オープンAPIは、より技術に精通した人々にとって興味深いものです。アカウントが必要ですが、提供する情報量を制限しているようです。

RadarBoxも、1週間ほど遡って、指定した航空機のフライトなど、無料の情報があります。

ADS-B.nlにも無料の履歴情報がありますが、軍用機や警察のヘリコプターのような政府所有の機体に関するものだけです。

交通データに関する他の興味深いリンクは、'atmdata' の GitHub ページで見ることができます: https://atmdata.github.io/sources

上記のリンクの他に、ADS-Bデータを取得する人々は、作成中の新しいプラットフォームにデータを送信することも選択できます。これらの新しい選択肢の1つがglobe.adsb.fiです。しかし、間違いなく、より多くのサイトが今後数週間または数ヶ月で続くでしょう。


小技: Telegram Tip

先日、Telegramのエクスポートからユーザー名を抽出する方法をご紹介しました。早速、Roman Höfnerから、TelegramのDesktopバージョンで作成されたJSONベースのエクスポートでそのようなことが可能かどうかという質問を受けました。そこで私は、標準的なツールをいくつか使って、jqという気の利いたツールをインストールするだけで、別のワンライナーを作成しました。もちろん、Pythonのコードや他のプログラム言語を数行使用することで解決することができます。その結果、こうなりました。

jq -r '.messages[] | "\"\(.from)\",\"\(.from_id[4:])\""' result.json | sort -u > output.csv

  • jq は JSON データを処理するツールです。
  • -r は、jq に生の出力を使用するように指示します。
  • .messagesは、jqに'messages'のJSON配列の中を探すように指示します。
  • .fromは表示名を与えます
  • .from_id[4:] はユーザーIDで、最初の4文字('user')を取り除きます。
  • result.jsonは入力ファイルです。
  • sort -u は出力をソートし、ユニークな値のペアのみを表示します。

エクスポートされたTelegramグループチャットのソート結果

この出力はoutput.csvというファイルに書き出され、出力にダブルクォートをつけたので、インポートができるようになります。actorsactor_idがあるようなexportがあります。このエピソードを公開する直前に判明したことなので、宿題と思っておいてください。 


サイト: Privacy Guides

以下のリンクは、Apex29989831さんがTwitterでシェアしてくれたものです。Privacy Guidesというウェブサイトには、オンラインプライバシーに関するツール、設定、一般的な情報などのマニュアル、ヒント、概要がたくさん掲載されています。このウェブサイトは情報の宝庫であり、このトピックに初めて触れる人はぜひ一度見てみることをお勧めします。


サイト: Chronophoto

Twitterユーザーのwaxyさんが、特定の写真が作られた年を推測・推定する素敵なオンラインゲームを紹介してくれました。位置情報だけでなく、写真がいつ作られたかを知ることは、とても便利なことです。このゲームでは、Google Lensですべての画像をチェックしない限り、自分のスキルをテストしたり、トレーニングしたりすることができます。

写真の作成年を推測します

出典:Week in OSINT #2023-04