2023年2月17日、弊社サイトを利用したお客様からBeads&Parts通販サイトが開けないと連絡が入りました。お客様の個人情報漏えいを懸念し、緊急対策として本サイトの閉鎖およびクレジットカード決済の停止をいたしました。また2023年2月20日一部のクレジットカード会社から弊社サイトを利用したお客様のクレジットカード情報の漏えい懸念について連絡を受け、第三者調査機関による調査も開始いたしました。2023年3月25日、調査機関による調査が完了し、2023年1月12日~2023年2月17日の期間に 本サイトで購入されたお客様クレジットカード情報が漏えいし、一部のお客様のクレジットカード情報が不正利用された可能性があることを確認いたしました。以上の事実が確認できたため、本日の発表に至りました。
(1)原因本サイトのシステムの一部の脆弱性をついたことによる第三者の不正アクセスにより、ペイメントアプリケーションの改ざんが行われたため。(2)クレジットカード情報漏えいの可能性があるお客様2023年1月12日~2023年2月17日の期間中に本サイトにおいてクレジットカード決済をされたお客様1,771名で、漏えいした可能性のある情報は以下のとおりです。・カード名義人名・クレジットカード番号・有効期限・セキュリティコード(3)個人情報漏えいの可能性があるお客様2023年1月12日~2023年2月17日の期間中に本サイトにおいて購入されたお客様2,821名で、漏えいした可能性のある情報は以下のとおりです。・氏名・メールアドレス・郵便番号・住所・電話番号上記(2)、(3)に該当するお客様については、別途、電子メールにて個別にご連絡申し上げます。
既に弊社では、クレジットカード会社と連携し、漏えいした可能性のあるクレジットカードによる取引のモニタリングを継続して実施し、不正利用の防止に努めております。お客様におかれましても、誠に恐縮ではございますがクレジットカードのご利用明細書に身に覚えのない請求項目がないか、今一度ご確認をお願いいたします。万が一、身に覚えのない請求項目の記載があった場合は、たいへんお手数ですが同クレジットカードの裏面に記載のカード会社にお問い合わせいただきますよう、併せてお願い申し上げます。なお、お客様がクレジットカードの差し替えをご希望される場合、カード再発行の手数料につきましてはお客様にご負担をお掛けしないよう、弊社よりクレジットカード会社に依頼しております。
2023年2月17日の漏えい懸念から今回の案内に至るまで、時間を要しましたことを深くお詫び申し上げます。本来であれば疑いがある時点でお客様にご連絡し、注意を喚起するとともにお詫び申し上げるところではございましたが、不確定な情報の公開はいたずらに混乱を招き、お客様へのご迷惑を最小限に食い止める対応準備を整えてからの告知が不可欠であると判断し、発表は調査会社の調査結果、およびカード会社との連携を待ってから行うことに致しました。今回の発表までお時間をいただきましたこと、重ねてお詫び申し上げます。
弊社はこのたびの事態を厳粛に受け止め、調査結果を踏まえてシステムのセキュリティ対策および監視体制の強化を行い、再発防止を図ってまいります。改修後の本サイトのクレジットカード決済再開日につきましては、決定次第、改めてWebサイト上にてお知らせいたします。また、弊社は今回の不正アクセスにつきまして、監督官庁である個人情報保護委員会には2023年2月21日に報告済みであり、また、所轄警察署にも2023年4月13日被害申告しており、今後捜査にも全面的に協力してまいります。
ツール: Sengi
Tweetdeckは、多くの人々にとって複数のTwitter検索を整理するためのお気に入りの方法の一つです。そして数週間前に、MastodonやPleromaのために同様のことができるツールに偶然出会いました。そしてそれは単一のアカウントだけでなく、複数のアカウントを簡単に追加し、フィルター処理や整理、メッセージの送信を容易に行うことができます。今まではMastodonであまり活動的ではありませんでしたが、このツールを使えばより頻繁にチェックすることになると思います!
ツール: Outscraper
Roman Höfnerから『Outscraper』についてのヒントを受け取りました。Romanが2023-05号で話したBNDのスパイを追跡するために使用したという事実を考慮に入れると、この素晴らしツールに見えます。
GitHubの小技
先日、Ivano Somainiが共有した便利な小技に気付きました。GitHubのユーザーから電子メールアドレスを取得するためのさまざまなテクニックは多くの人が知っていますが、これは逆の方法です。電子メールアドレスで検索することで、そのアドレスを含むコミットを見つけることができます。
使用できる2つの検索オプションは次の通りです:
committer-email:user@email.com
author-email:user@email.com
小技: Detect Changes
Eva ProkofievがVisualpingについての小さなTwitterスレッドを投稿しました。このツールは、無料の利用枠も提供しており、ウェブサイトの変更を追跡することができます。EvaのTwitterプロフィールの例では、バイオグラフィーのわずかな変更が見つかり、強調されています。無料の利用枠が十分でない場合は、2020-48号にさかのぼって、Distill.ioに関するレビューもチェックすることをおすすめします。
小技: Arkenfox
DiscordのユーザーSwagaliciousが、Firefoxの興味深い設定セットへのリンクを共有しました。特定のファイルをFirefoxプロファイルのルートフォルダにコピーするだけで、Firefoxブラウザを強化することができます。使用を開始する前に、Wikiを読んでその動作原理を理解するようにしてください。単純なインストールやクリック&ランではないためです。技術的に詳しい方はぜひ試してみてください!
| 外部より閲覧された可能性があるお客様情報 | 車載端末ID*1、車台番号*2、車両の位置情報、時刻 |
|---|---|
| 対象となるお客様 | 2012年1月2日〜2023年4月17日の期間内にT-Connect/G-Link/G-Link Lite/G-BOOKを契約されていた方(約215万人) |
| 外部からアクセスできる状態にあった期間 | 2013年11月6日~2023年4月17日 |
*1車載機(ナビ端末)ごとの識別番号
*2車両一台ずつに割り当てられた識別番号
| 外部より閲覧された可能性がある情報 | 弊社が提供する法人向けサービスから収集されたドライブレコーダーで車外を撮影した映像 |
|---|---|
| 外部からアクセスできる状態にあった期間 | 2016年11月14日~2023年4月4日 |
gobusterは、高速かつ柔軟なWebディレクトリ探索ツールです。複数のスレッドを使用して並列にリクエストを送信し、効率的な攻撃を実行します。ワードリストベースの攻撃や拡張子の指定など、多くのカスタマイズオプションが提供されています。さらに、カスタムのHTTPヘッダを使用してリクエストを送信することも可能です。レポートの生成機能も備えているため、結果を整理しやすくなっています。
以下は、gobusterの実行例です:
bashgobuster dir -u http://example.com -w wordlist.txt -t 10 -x php,html -o results.txt上記の例では、-uオプションで探索対象のURLを指定し、-wオプションでワードリストファイルを指定しています。-tオプションでは10のスレッド数を指定し、-xオプションで拡張子を指定しています。最後に、-oオプションで結果を保存するファイル名を指定しています。
ffufは、高速かつパワフルなWebディレクトリ探索ツールです。並列リクエストを使用して大量のリクエストを効率的に処理します。ワードリストベースの攻撃やリクエストのマルチポジション、ワイルドカードサポートなど、柔軟なカスタマイズオプションがあります。さらに、リクエストのフィルタリング機能により、絞り込まれた結果を得ることができます。コマンドラインベースのツールとして提供されており、直感的で使いやすいインターフェースを持っています。
以下は、ffufの実行例です:
arduinoffuf -w wordlist.txt -u http://example.com/FUZZ -t 20 -mc all -o results.txt上記の例では、-wオプションでワードリストファイルを指定(URLの”FUZZ”の部分に当てはめ)し、-uオプションで探索対象のURLを指定しています。-tオプションでは20のスレッド数を指定し、-mcオプションで全ての応答を表示するよう設定しています。最後に、-oオプションで結果を保存するファイル名を指定しています。
dirbは、Webディレクトリやファイルの探索に使用される定番のツールです。ワードリストベースの攻撃やカスタムエクステンションのサポート、マルチスレッドサポートなどの特徴があります。また、レポートの生成機能も備えており、探索結果を整理しやすくなっています。コマンドラインツールとして提供されているため、柔軟性があり、多くのオプションを使ってカスタマイズすることができます。
以下は、dirbの実行例です:
arduinodirb http://example.com -o results.txt -r -X .txt,.php上記の例では、探索対象のURLを指定しています。-oオプションで結果を保存するファイル名を指定し、-rオプションでリクエストを再帰的に処理するよう設定しています。また、-Xオプションで拡張子を指定しています。
gobuster、ffuf、dirbは、それぞれ優れたWebディレクトリ探索ツールです。攻撃対象のWebアプリケーションの特性や要件に応じて、適切なツールを選択して利用することが重要です。また、効果的な探索を行うために、優れたワードリストの使用も重要です。その中でも、"SecLists"というワードリストがオススメです。SecListsは、セキュリティ関連の様々なワードリストを収集したもので、様々な攻撃シナリオに対応しています。以下のリンクからSecListsを入手することができます:
これらのツールとSecListsを組み合わせることで、より効果的かつ包括的なWebディレクトリ探索が可能となります。当然ですが、必要な許可を得た上で、セキュリティ評価やペネトレーションテストを実施するようにしてくださいね。
メディア: Intelligence Cycle
情報の収集と文書化の部分が終わったら、データを処理し、分析し、広める時がきます。これがいわゆる「情報収集サイクル」であり、最近ロンドンを拠点とする企業arcXがその重要性についてビデオを公開したということです。これは重要です。なぜなら、単にインターネットからデータや情報を収集するだけではOSINTとは言えず、先月オランダのOSINT Guyが述べたように、データ、情報、インテリジェンスは異なるものだからです。それぞれの意味を理解することが重要です。
チュートリアル: Documentation
OS Tradecraftでは、情報の文書化や収集のプロセスが詳しく説明されています。文書化の重要性だけでなく、正しい方法で行うための方法も説明されています。それは情報の整理について話しているだけでなく、コンプライアンスの部分や監査についても触れています。さらに、ウェブサイト全体をダウンロードするためのツールや、スクリーンショットを撮ったり画面を録画するための便利なアプリケーションのリストなど、いくつかの利用可能なツールについても言及しています。
記事: Verification
OSINT Combineのウェブサイトには先週、オンラインメディアの検証についての新しい記事が投稿されました。それは検証の重要性だけでなく、プロセス自体についても語っています。関連性や信頼性、信憑性、情報が裏付けられるかどうかについても言及しています。この記事は思考プロセスやディスインフォメーションの撲滅、ホークスの検証、オンラインでの調査、ファクトチェックの基礎などを示しています。これは主にオンラインで投稿された情報の検証に関連していますが、これは研究の結果にも適用することができます。なぜなら、誤った仮定が無実の被害者を何度も作ってしまったからです。
データの収集、処理、分析が終わった後は、調査結果を報告する時期かもしれません。Redditで「テンプレート」を求める人々が多く見かけますが、これはほとんど不可能なことです。なぜなら、様々な種類のオープンソースインテリジェンスレポートが存在するからです。例えば:
このような標準的なテンプレートには、出生地や電話番号などの個人情報を記載する欄があれば、武力紛争の調査時には役に立たなくなります。また、関心のある人物のプロフィールを作成する際には、タイムラインに関するセクションを常に埋めることができるわけではありません。
しかし、インテリジェンスレポートには何が必要なのでしょうか?それについては、2022年12月に公開されたOHCHRバークレー・プロトコルを参照します。
報告書は、収集した情報を分析し、論理的な結論、推定、予測を導くために使用されます。報告書は、堅実な方法論を反映し、その方法論を対象の読者に説明できるようにする必要があります。報告書における基本情報の真実性と誠実性は重要です。
また、該当する場合には報告書に含まれるべきパートも述べられています。実際のバークレー・プロトコルにはなかったものですが、追加した最初のトピックは次の通りです:
導入
個人的な意見ですが、報告書はまず導入から始めるべきです。短い紹介を含めるべきです。イベント自体や情報が共有された場所に触れますが、事実に基づく内容を保つために、あらかじめ推測を含めないように注意してください。
目的
このセクションでは、調査の目的と研究の質問を説明します。目的がある場合、調査自体に明確な目標があります。これはまた、報告書の読者の焦点を絞るのに役立ちます。特定の発見の方向性や目的を確立することができます。
方法論
調査中に説明が必要な研究方法は、この部分に文書化されるか、外部の専門知識が必要とされます。調査中に特定の技術が一部で使用される場合、結果を提示する前に追加の説明が十分かもしれません。
活動
調査中に行われたすべてのステップを説明し、独立した検証を支援します。どのような手順が実行されたか、またいつ、何時に行われたかを文書化します。これにより、独立した調査者が結果を検証できるようになります。
情報源
調査中に使用されたデータの情報源とその品質については、このセクションで言及されます。どんな情報やインテリジェンスも、その信頼性に基づいて有効なものとなります。
不確実性
結論が一定ではない場合や調査において欠落がある場合は、それらを記載する必要があります。これにより、調査が偏見のないものとなることも保証されます。事実に基づいて記述しますが、明確なシナリオを書き留める必要がある場合や何かが不明確な場合には、それを言及することをためらわないでください。
結果
調査の結果はここで事実に基づいて記述されます。新たに発見された質問や調査の可能性のある新たな展開について触れることもありますが、何よりも見つかった内容の要約が含まれます。
そして、これを強調するには言い足りませんが、報告書を作成する際には、事実に固執し、特定の理論を偏好せず、確証バイアスに陥ることがありません。特定の答えを見つけるために推測を使用する場合や新たな調査を開始する場合でも、それが調査の残りに影響を与える作業理論にならないように注意してください。研究者として、プロセス全体で完全に偏見のない態度を持つべきです。
トレーニング: OSINT Exercises
研究の理論的な部分がすべて終わったら、スキルを実践する時です!ソフィア・サントスは、今年の1月に自身のウェブサイトでいくつかのOSINTのチャレンジを投稿しました。現在の執筆時点では、彼女のウェブサイトには5つのチャレンジがありますので、ぜひ挑戦してみてください。素晴らしいことは、行き詰まった時には、彼女がチャレンジの下に可能な解決策を説明したビデオを既に投稿していることです。これらのチャレンジ以外にも、ソフィアのウェブサイトは優れた記事の宝庫となっており、ぜひ彼女のサイトもチェックしてみてください!
