雑記系ブログ。セキュリティとか、マイルとか、投資とか、、、 / Miscellaneous Blogs. Security, miles, investments, etc
ウェブサイトのセキュリティを向上させるために重要な12の施策
パスワード管理ツールのリスクは? / What About Password Manager Risks?
- パスワード管理ツールを入手し、インストールする必要がある
- パスワード管理ツールの使用方法を習得する必要がある
- パスワード管理ツールを使用すると、パスワードの作成または入力に時間がかかる場合がある(ただし、必ずしもそうとは限りません)。
- 攻撃される可能性がある
- パスワード管理ツールは、すべてのプログラムまたはデバイスで動作するわけではない
- パスワード管理ツールにアクセスできない場合(破損、ログイン権限の喪失など)、ユーザはそこに含まれるすべてのログイン情報へのアクセスを一度に失うことになる
- 攻撃者がパスワード管理ツールを侵害した場合、攻撃者はユーザーのすべてのパスワード(および所属するサイト)に一度にアクセスし、取得できる可能性がある
- 完全にランダムなパスワードを作成し、使用することができます。
- サイトやサービスごとに異なるパスワードを簡単に作成し、使用することができます。
- パスワードフィッシングの防止に使用できる
- MFAソリューションのシミュレーションに使用できるため、ユーザーは個別のMFAプログラムやトークンを必要としない
- デバイス間でパスワードを共有できるため、ユーザが必要な場所にパスワードを置くことができます。
- パスワードのバックアップをより簡単に、より安全に行うことができます。
- すべてのパスワードは、パスワードマネージャへのMFAログイン要件によって保護される場合があります。
- ユーザが気づかなかったパスワードの漏洩を警告することができる
- 異なるサイトやサービス間で使用されている同一のパスワードについて警告することができます。
- 元のユーザーが一時的または恒久的に能力を失った場合、または使用できない場合、必要なときに信頼できる人と共有することができます。
ブラウザ拡張機能5選 / 5 free Chrome browser extensions we can’t live without
ブラウザの拡張機能は、インターネットを探索する体験を向上させます。ほんのひと握りで、時間、お金、正気を節約し、セキュリティとプライバシーを守ることができます。
誰もがお気に入りのアドオンを持っています。そして、PCWorldのスタッフのお気に入りは、重なり合う傾向があります。たとえば、同僚のMark HachmanによるEdge拡張機能のトップ5リストは、私自身のラインナップをこっそり紹介するようなものです。
しかし、同じようなテーマが出てきても、実際に私が選ぶものは違います。この世界にはたくさんの選択肢があり、自分のニーズや関心に合わせて経験をカスタマイズすることができます。私の場合は、ネット上での安全確保、お得な情報収集、ソーシャルメディアに振り回されないことなどが中心となっています。
広告は、ウイルス、マルウェア、エクスプロイトなど、インターネット上の病気の媒介となる厄介な存在です。広告ブロッカーをインストールすることで、悪意のある活動の経路を遮断し、より安全にインターネットを利用することができます。広告ブロッカーを導入することで、悪意のある活動の経路を遮断することができます。また、購読や定期的な寄付など、お気に入りのサイトを直接サポートすることで、最終的に誰もがより良い結果を得ることができます。
また、広告ブロッカーを使用すると、ブラウジングがより快適になります。Webサイトの余分な広告やスクリプトを完全に読み込むのに時間がかかるため、コンピュータの動きが鈍くなったり、遅く感じたりすることがあります。広告がなければ、サイトは高速で表示され、また、洗練された外観になります。
フィルタリングされる内容については、まだ多くの柔軟性を保持しています。あるサイトに現金を寄付する余裕がない場合、そのサイトを許可リストに追加すれば、そのサイトの広告を表示することができます。そのサイトの広告が表示されるように、許可リストに追加することができます。また、ニュースレターのリンクや検索エンジンのショッピングサジェストに必要なトラッキングサイトの読み込みを許可するよう、設定を細かく調整することもできます。
uBlock Originの強みは、Adblock Plusのようなライバルと比較して、実際にすべての広告をブロックすることです。(ABPは、いくつかの "非侵入型 "広告を通過させることができます)また、あなたのシステムリソースへの影響が少なくなっています。
Facebookは、特に特定の人や約束のためにしか利用していない場合、人をイライラさせることがあります。Social Fixerは、そのような体験を軽減します。もうアルゴリズムが送り出すものをかき分ける必要はありません。この拡張機能を使えば、フィードに表示されるコンテンツをコントロールできます。
キーワードに基づいた投稿を非表示にしたいですか?簡単にできます。「知っているかもしれない人」や「おすすめの投稿」を見るのにうんざりしていませんか?すぐに解消できます。投稿の内容や投稿者、その他の条件に基づいて投稿をフィルタリングしたいですか?もちろん可能です。
また、インターフェイスのカスタマイズも可能で、投稿を新しい順に並べたり、タイムスタンプを正確な日付で表示したり、インタラクティブなフィールドをすべて削除して、誤って投稿にコメントや「いいね!」をせずにブラウジングできるようにするなど、さまざまなことができます。その結果、政治ネタ、テレビ番組や映画のネタバレ、大切な人へのべた褒め、その他あなたを追い詰めるような投稿のない、適切にキュレートされたフィードが出来上がります。また、自分の最悪の傾向から身を守り、ケンカが始まるとわかっていることにはコメントしないようにすることもできます。
一番の魅力は?開発者のMatt Kruseは、常にFacebookの変更に対応し、さらに機能を追加するために努力しています。そして、これらの努力はすべて無料で行われています。最初にインストールするときに、寄付のための小さなリクエストが表示されるだけです。
Bitwardenパスワード管理ツールで、その無料サービスは素晴らしく、プレミアム機能も年間10ドルしかかかりません。
ブラウザのアドオンは、パスワードマネージャーをいかにシームレスにあなたの生活にフィットさせるかに大きな役割を果たします。アドオンをインストールすれば、サービスのウェブサイトにログインして必要な項目を探したり、携帯電話のアプリを見ながら手動で情報を入力したりする必要がなくなります。代わりに、拡張機能があなたが今いるサイトを認識し、認証情報を自動入力することができます。また、新しいパスワードをその場で簡単に作成したり、既存のパスワードを変更することもできます。
パスワード保管庫を保護するのも簡単です。一定時間が経過すると自動ロックされるように拡張機能を設定するだけで、アクセスを回復するにはパスコードか完全なパスワードが必要です。これにより、あなたのPCを借りた人(あるいは、あなたが知らないうちにリモートアクセスした人)が、あなたのデジタルライフを破壊する可能性を減らすことができます。
Telepartyは、Netflix、Disney+、Hulu、HBO Max、Amazon Primeと連携しています。また、1つのパーティーで最大1,000人のユーザーまで対応し、すぐに視聴できるシンプルなインターフェースも備えています。参加者は、他の参加者と同じように、自分のストリーミングサービスにログインします。そして、パーティーを始めるには、アドレスバーの横にある拡張機能の赤いTPボタンをクリックし、生成されたリンクを共有します。(Telepartyのアイコンが見えない場合は、Chromeのツールバーにピン留めする必要があるかもしれません)。
この拡張機能には制限があります。再生コントロールができる人の設定は、パーティーを作る前に設定する必要があります - 部屋が作られた後に設定を変更することはできません。ページをリフレッシュすると、ルームから抜け出し、戻るには直接リンクが必要です。しかし、非常にスムーズに動作するので、無料サービスとしては十分です。
この拡張機能は、PCWorldのトップであるJon Phillipsからの情報で、ラインナップに新しく追加されたものです。Distill.ioは、ウェブサイト上のあらゆる変更を追跡するために使用することができ、追跡が困難なアイテムの価格変更を常に把握するために非常に便利です。
以前は、Slickdeals や /r/buildapcsales などのクラウドソーシングサイトを調べ、Twitter アカウントをフォローして Discord サーバーに参加し、携帯電話にアラートが届くのを待ちました。Distill.ioは、そのような作業を軽減し、時間を短縮してくれます。頻繁に使用する必要はありませんが、私の武器が一つ増えました。インフレが物価に大打撃を与えている現在、あらゆる手を使ってお金を節約する人は私だけではないでしょう。
採用活動における個人情報漏えいの可能性に関するご報告とお詫び 2022年5月16日 株式会社エイチーム
この度、当社グループの採用活動に関する個人情報が外部から閲覧可能な状態であったことを確認いたしました。多大なるご迷惑とご心配をおかけいたしますこと、心より深くお詫び申し上げます。
情報の対象となった皆様には大変ご迷惑をおかけしますが、不審な問い合わせについては十分ご注意いただきますようお願い申し上げます。弊社では、被害の拡大防止に取り組んでまいりますが、万が一、第三者の悪用を確認した場合は、更なる被害を防ぐために末尾の問合せ窓口へ連絡をお願いします。
概要
当社グループの採用に関する情報がインターネット上で閲覧可能になっているとの指摘を受けて事実関係を調査したところ、一部の個人情報がインターネット上で閲覧可能な状態にあったことが社内監査により判明いたしました。クラウドサービス上で作成したファイルで採用に関わる個人情報を管理しておりましたが、閲覧範囲を「このリンクを知っているインターネット上の全員が閲覧できます」と設定したことから、リンクを知っていれば誰でも閲覧できる状態であり、一部の方の「氏名」「学校名」「メールアドレス」「電話番号」「口座番号」などの個人情報がインターネット上において閲覧できる状態でありました。
なお、現在、個人情報を閲覧できる状態は解消し、5月13日(金)より対象の皆様へ個別にご連絡を差し上げております。本件に関し、ご報告の現時点においては不正使用などの被害が発生した事実は確認されておりません。
1.個人情報漏えいの可能性がある対象者
(1)2018年卒~2021年卒を対象にした新卒採用イベントやインターンシップに参加した学生及び当社グループ従業員
(2)2016年~2017年に実施した中途採用イベントに参加した方
(3)2017年8月~2021年10月に当社オフィスに来社し、面接等の交通費を支給した方
2.漏えいした可能性のある情報と件数
(1)新卒採用イベントやインターンシップに参加した学生及び当社グループ従業員:学生4,588名、従業員161名、合計4,749名分の個人情報
<2018年卒~2021年卒を対象にした新卒採用イベントやインターンシップに参加した学生:4,588名>
・氏名、学校名
※また、一部の学生においては下記の個人情報が該当
・メールアドレス、電話番号、インターンシップ参加時に作成された自己紹介シート、インターンシップ参加学生の評価、顔写真、出身地
<新卒採用活動に参加した当社グループ従業員:161名>
・氏名
※また、一部の従業員自身の自己紹介シートに記載された下記情報
・所属部署、顔写真、出身地、出身校
(2)2016年~2017年に実施した中途採用イベントに参加した方:30名
・氏名、メールアドレス、職業
※また、一部の方において記載あり
・電話番号、年齢
(3)2017年8月~2021年10月に当社オフィスに来社し、面接等の交通費を支給した方:1,078名
・氏名、振込先口座番号
3.インターネット上で閲覧が可能となっていた期間
(1)新卒採用イベントやインターンシップに参加した学生
2017年4月~2022年4月21日(木)
(2)中途採用イベントに参加した方
2016年4月~2022年5月11日(水)
(3)当社オフィスに来社し、面接等の交通費を支給した方
2016年4月~2022年5月10日(火)
4.経緯
2022年4月7日(木)10時頃に、クラウドサービス上に作成されたファイル内に個人情報を含むファイルがあること、また個人情報が漏えいしているリスクがあることを、エイチーム監査役より社長室長、管理部長、ITシステム部門マネージャーに報告が入りました。
調査の結果、クラウドサービス上で管理していたファイルに個人情報が含まれておりました。当該ファイルは、インターネット上でリンクを知る全ての人が外部から閲覧ができる状態となっており、個人情報が漏えいしている可能性があることが判明いたしました。
5.原因
特定のクラウドサービスを利用して作成した個人情報を含むファイルに対して、閲覧範囲の公開設定を「このリンクを知っているインターネット上の全員が閲覧できます」としており、閲覧範囲の設定が適切に行えていなかったことによるものです。
6.対応状況
個人情報を含むすべてのファイルに閲覧制限を実施し、社外からのアクセスができない状態に変更しました。
7.当事者の皆さまへの連絡について
情報が漏えいした可能性のある方で、ご連絡先が把握できた皆様には、順次、個別に電子メールによりお詫びと現在の状況及び今後の対応についてご連絡させていただいております。
8.二次被害の有無とその可能性について
本件に関し、ご報告の現時点においては不正使用などの被害が発生した事実は確認されておりません。
9.再発防止策
クラウドサービスを利用したファイルの管理・共有におけるアクセス範囲設定を見直し、個人情報を含むすべてのデータへのアクセスの制限を実施します。
また、今後、一般的に利用できる本クラウドサービスで作成したファイルの業務利用禁止を社内で周知し、会社で管理されている本クラウドサービスで作成したファイルの利用を徹底・遵守します。この措置により、アカウントのIDやパスワードを適切に管理し、情報システム部門による厳格な管理によって情報漏えいのリスクを抑えます。加えて、社内でのチェック体制を強化するとともに、個人情報に関する管理体制の強化、情報管理に関する規程やルール等の見直し及び社内への周知徹底し、再発防止に努めてまいります。
また、本件に関して個人情報保護委員会に報告いたしました。
今回の事態を重く受け止め、今後このような事態が発生しないよう、再発防止に向けて個人情報の管理強化・徹底に努め、信頼回復に全力を尽くしてまいります。この度は、多大なるご迷惑とご心配をおかけいたしますこと、心より深くお詫び申し上げます。
パスワードマネージャーとは、すべてのパスワードを生成し、安全な場所に保存することができるプログラムのことです / A password manager is a program that allows you to generate and store all your passwords in a safe location.(転載)~トレンドマイクロのパスワードマネージャーは使ってはいけない~
多くの人は、アカウントを登録することも、パスワードを作ることも嫌います。そのため、アカウント作成時に何度もパスワードを使いまわしてしまうのかもしれません。登録という問題は解決されますが、セキュリティ上のギャップが残り、それがある日突然爆発する可能性があります。
その解決策のひとつがパスワードマネージャーです。これを使えば、複雑なパスワードを作成して保存することができます。ここでは、パスワードマネージャーがどのように機能するのか、また、ウェブ上での安全性を高めるためにどのように利用できるのかをご紹介します。
尚、パスワードマネージャーの不具合でパスワードを消失するリスクもあります。
ツールの活用は重要ですが、ツールだけに頼るのは注意しましょう。
パスワードマネージャーとは何ですか?
パスワードマネージャーとは、すべてのパスワードを生成し、安全な場所に保存することができるプログラムです。ほとんどのパスワードマネージャーでは、クレジットカード情報や安全なメモなども保存することができます。さらに安全性と利便性を高めるために、パスワードマネージャーはマスターパスワードの代わりにバイオメトリックデータ(指紋や顔)の使用をサポートしています。また、選択した情報をメールやインスタントメッセージにコピーペーストすることなく、家族や友人と共有することもできます。
そのため、各サイトで使用するすべてのログイン情報を記憶するのではなく、パスワードマネージャーを使用する場合は、1つのマスターパスワードを記憶するだけで済みます。また、自動保存や自動入力機能のおかげで、すべてのアカウントに簡単に接続できるようになります。
パスワードマネージャーはどのようにしてパスワードを保護するのですか?
パスワードマネージャーを分類する方法は複数あります。しかし、今回は3つの技術を紹介し、それらがどのように機能するかを説明したいと思います。また、プロバイダによっては、データを保存するために複数の方法を提供していることも指摘しておかなければならない。ほとんどのプロバイダは、あなたの金庫を保護するマスターパスワードを使用する必要があります。
ここでは、3種類のパスワードマネージャーを紹介します。
- ローカルにインストールされた、またはオフラインのパスワードマネージャー
- ウェブベース(オンライン)のパスワード管理サービス
- ステートレスまたはトークンベースのパスワードマネージャ
それでは、それぞれについて詳しく見ていきましょう。
ローカルにインストールされた、またはオフラインのパスワードマネージャー
その名の通り、ローカルにインストールされたパスワードマネージャーは、オフラインパスワードマネージャーとも呼ばれ、あなたのデータをあなたのデバイスに保存します。パソコンでもスマートフォンでも、お好みに応じてご利用いただけます。パスワードは、パスワードマネージャー本体とは別に、暗号化されたファイルに保存されています。パスワードマネージャーの中には、それぞれのパスワードを別々のファイルに保存できるものもあり、全体のセキュリティを大幅に向上させることができます。
いつものように、オフラインの金庫にアクセスするには、マスターパスワードが必要です。強力なパスワードであれば、政府やハッカーがあなたのローカルデータベースに侵入する可能性は最小限に抑えられます。というのも、軍用の暗号を解読するには膨大な時間がかかるからです。さらに、すべてのパスワードが入ったデバイスをオフラインにしておけば、押収しない限りアクセスすることはできません。
オフラインのパスワードマネージャには、当然ながらいくつかの欠点があります。まず、複数のデバイスで使用するのは難しいでしょう。保管場所は1つしかなく、他のデバイスは保管場所のあるデバイスと何らかの方法で同期する必要があります。これは通常、ローカルにインストールされたパスワードマネージャーのあるデバイスをオンラインにすることを意味し、第三者がアクセスできるようになります。最後に、オフラインのパスワードマネージャーがインストールされたデバイスが故障し、バックアップがない場合、面倒な手作業を覚悟しなければなりません。
オフラインまたはローカルにインストールされたパスワードマネージャーがあれば、パスワードはローカルに保存されていることになります。正確に言うと、それはあなたが金庫として選んだデバイスです。ただし、複数のデバイス間でパスワードを同期させることができるので、すべてのデバイスがオンラインになっている必要があります。さらにセキュリティを強化したい場合は、パスワードを異なるファイルに保存し、それぞれに固有のキーを必要とすることができます。
【メリット】
- 誰かにパスワードの保管場所を破られるリスクを排除できる
- 通常、無料のサービスです
【デメリット】
- 1台のデバイスでしかVault(金庫≒マスターデータ)にアクセスできない
- デバイスを紛失した場合、Vaultも紛失。
ウェブベースまたはオンラインのパスワード管理サービス
最後に、ウェブベースのパスワードマネージャーにはお金がかかると思ってください。素晴らしい無料版もありますが、デバイスの制限やダークウェブのスキャンなど一部の機能は常に有料です。とはいえ、ほとんどの有料オンライン・パスワード・マネージャーは、特に長期的に利用するのであれば、銀行を破綻させることはないでしょう。
あなたはオンライン(またはウェブベース)のパスワードマネージャーを使っているかもしれません。この場合、あなたのパスワードはオンラインで保存されます。マスターパスワードさえあれば、24時間いつでもどこからでも利用できます。パスワードマネージャークライアントをインストールする必要はありません。ほとんどの場合、ブラウザの拡張機能で十分です。ほとんどの場合、ブラウザの拡張機能で十分です。時々、プロバイダのウェブサイトで利用可能なウェブアプリケーションを介してボールトにアクセスできます。
【メリット】
- すべてのデバイスでVaultを同期できる
- 通常は有料のサービスとなります
【デメリット】
- 認証にはインターネットへの接続が必要です。
- 認証情報が未知の場所に保存されている
ステートレスまたはトークンベースのパスワードマネージャー
最後にご紹介するのは、トークンベースまたはステートレスのパスワードマネージャーです。このシナリオでは、フラッシュUSBデバイスなどのローカルハードウェアに、特定のアカウントのロックを解除するためのキーが格納されている。ログインするたびにパスワードが生成されるため、パスワードの保管場所もありません。安全性を高めるために、トークンだけでなく、マスターパスワードも使用することをお勧めします。こうすることで、二要素認証を実現することができます。
ステートレス型のパスワードマネージャーは、そもそもデータベースが存在しないため、デバイス間の同期が不要です。ある意味では、ハッカーがすべてのパスワードを見つけられる場所がないので、そのほうが安全です。ただし、トークンベースのパスワードは、マスターパスワードと1つのアカウントを知っていれば、ハッキングすることができます。
オンラインのパスワードマネージャーとは異なり、これらは通常、無料でオープンソースである。そのため、フォーラムやナレッジベースでのサポートしか受けられないため、アマチュアユーザーには特にお勧めできない。その上、トークンを生成するためには、スマートカードリーダーやUSBスティックが必要になります。
トークンベースのパスワードマネージャー(ステートレス・パスワードマネージャーとも呼ばれる)を使っている人は、パスワードがどこにも保存されていないことになります。どうしてそうなるのでしょうか?その名のとおり、パスワードの保管場所はなく、特定のアカウントにアクセスするたびにトークンが生成されるだけだからだ。トークンは、USBメモリなどの外部デバイスで生成することができます。
【メリット】
- 認証情報は別のデバイスに保存されます
- デバイスを紛失すると、アクセス権も失われる
- この方法では、通常、専用のハードウェアとソフトウェアが必要
- パスワード生成。パスワードを考えるために、自分の好きなものについて15分も考え込む必要はありません。いくつかのパスワードマネージャでは、複雑さを変えた安全なパスワードを生成することができます。時間の節約になるだけでなく、よりよいパスワードを考え出すことができます。
- プロセスの簡略化。パスワードマネージャは、パスワードを保存する最も安全な方法のひとつであるだけではありません。信頼できるパスワードマネージャーツールを使えば、1つのアプリケーションですべてのログインを管理することができます。多数のウェブサイトやプラットフォームを利用している人の救世主となる。
- イチイチ入力不要。ほとんどのパスワードマネージャーには、パスワードやその他の定期的な情報を自動入力する機能が組み込まれています。それは、支払い情報や住所などにも及びます。パスワードをいちいち覚えておく手間が省けます。
- 安全なパスワードの共有。多くの人が友人や家族とアカウントを共有しています。Netflixでは、すべてのユーザーが同じパスワードでログインできるようになっています。しかし、パスワードを共有するための最良の方法は、それをチャットに貼り付けることではありません。これではトラブルの元になってしまいます。そこでパスワードマネージャーは、ユーザーが他のユーザーと安全にパスワードを共有できるようにしました。
- 複数プラットフォームに対応。アプリケーションとして、パスワードマネージャーは全く複雑ではなく、多くのリソースを必要としません。つまり、Webブラウザやスマートフォンのアプリなど、さまざまなプラットフォーム向けに開発することがはるかに容易なのです。エンドユーザーにとっては、どのような接続方法であっても、同じパスワード保管庫を利用することができるということです。
- 多要素認証。ハッカーがキーロガーをインストールしてマスターパスワードを入手したとしても、二要素認証を有効にしていれば、世界の終わりを意味するものではありません。二要素認証がなければパスワードは使えませんから、あなたは安全ですし、金庫もロックされたままになります。
- パスワードマネージャーをどのデバイスで使うかを決めます。スマートフォンにしますか?その場合、他の誰かがあなたのアクセスコードを知っていますか?タブレットやスマートテレビなど、家庭内の共有デバイスはどうしますか?職場のコンピューターでもパスワードマネージャーを使用しますか?これらは、金庫をセットアップする前に、自分自身に問いかけるべき最も重要な質問です。
- 選んだパスワードマネージャーをインストールする。無料のものも有料のものもたくさんありますが、最高のパスワードマネージャーだけを使うことをお勧めします。無料版にどんな機能があるか(ある場合)、追加された特典が価格に見合うものかどうかを確認する必要があります。その上で、お使いのOSやブラウザに対応しているかどうかを確認してください。また、現在使っている金庫をインポートしようと思っているなら、まずそれが可能かどうかを確認しましょう。最後に、24時間365日のカスタマーサポートを受けるために多少の費用を払うことは、しばしば利益につながります。
- 安全なマスターパスワードを作成する。選択したパスワードマネージャーがマスターパスワードの復元を可能にしている場合でも、覚えやすく、かつ推測しにくいパスワードを選択する必要があります。最後の条件を満たすためには、ランダムに選ばれた4〜5個の単語を含むパスフレーズを使用するのがよいでしょう。最後に、奇妙に聞こえるかもしれませんが、あなたが最も信頼している人とマスターパスワードを共有し、あなたに何かあったときに、その人があなたの金庫にアクセスできるようにしましょう。
- 2要素認証(2FA)を有効にする。2FAを追加すると、パスワードのセキュリティが大幅に向上します。2つ目の要素は、「あなたが持っているもの」(おそらくスマートフォン)でもよいのですが、「あなた自身が持っているもの」を選び、生体認証を利用することをお勧めします。デバイスによっては、指紋だけでなく、顔認証も利用できます。さらに、マスターパスワードの代わりに2FAを使えば、タッチスクリーン端末での使い勝手が格段に向上します。
- パスワードの入力を開始する。新しいパスワードマネージャーに慣れる前に、また、マスターパスワードがまだうまく覚えられないうちに、まずは重要度の低いパスワードを入力してみてはいかがでしょうか。マスターパスワードの復旧に使用するメールには、強力なパスワードを設定しておくとよいでしょう。そうしないと、ハッカーはメールボックスに侵入した後、簡単にあなたのデータベースを手に入れることができます。
- 他のデータの追加も検討しましょう。パスワードマネージャの大半は、ログイン情報だけでなく、クレジットカードの詳細や安全なメモなども保存できるようになっています。オンラインショッピングが多い人は、支払い情報を自動入力できるようにしておくと、かなりの時間を節約できます。また、最も信頼できる友人にしか教えたくないような秘密を保管するのに、これほど適した場所はないでしょう。
- ログイン情報を共有する。遅かれ早かれ、誰かがあなたのNetflixアカウントを尋ねるでしょう。ユーザー名とパスワードをコピーして貼り付けるのは最善の方法ではありません。そのため、パスワードマネージャーでは、他の人とログイン情報を共有することができます(少なくとも一部のサービスでは可能です)。一部のサービスでは、機密性が低く、共有されることの多いパスワードを保存するフォルダを作成することもできます。
ダークウェブスキャナ - 電子メールとパスワードがハッキングされていないか確認する / Dark Web Scanner – Find Out If Your Email And Passwords Have Been Hacked(転載)
パンダセキュリティは、ウォッチガード社の協力を得て、ダークウェブをスキャンして、お客様のアカウントに関連する情報が協力されているかどうかをチェックするツールを作成しました。
パンダセキュリティでは、サイバー犯罪者から自由に使えるツールがないことが多いユーザーのオンラインセキュリティを守るために、「ダークウェブスキャナー」を無料で提供しています。
実際、サイバー攻撃は、暗い画面にバイナリコードが並んでいるという、一般的に想像されているイメージとは大きく異なります。一度に何十万人ものユーザーに影響を与えるデータ侵害は、多くの場合、単純な方法で行われ、サイバー犯罪者は、気づかれないことが多いツールの見かけ上の無害さを利用して大成功を収めています。
必要な予防措置を講じているにもかかわらず、故意にデバイスを使用している間に、パスワードや個人情報が流出したり、ディープウェブ上で販売されたりする可能性があります。お客様のデータが盗まれた場合、ハッカーはそのデータを使って、お客様の現在の口座にアクセスしたり、お客様の資産にアクセスしたり、お客様のアイデンティティを盗むことができます。
パンダセキュリティのコンシューマープロダクトマネージャーであるAlberto Añón氏は、「データ、特にログイン認証情報の盗難が、サイバー犯罪者にとって非常に重要な資金源になっている時代です。」と語っている。
お客様の個人情報が盗まれたかどうかを確認する方法
パンダセキュリティは、シンプルで無料のソリューションを提供しています。WatchGuardのサポートにより、ダークウェブをスキャンし、お客様のアカウントに関連する情報が侵害されていないかどうかをチェックするツールが開発されました。その名も、「Dark Web Scanner」です。
「このPanda Domeの新機能は、お客様からのご要望と、ますます複雑化するデジタルの世界に適応するための絶え間ない必要性から生まれたものです。パンダセキュリティは、ユーザーの皆様のサービスとセキュリティを継続的に向上させることをお約束します」とパンダセキュリティのコンシューマープロダクトマネージャー、Alberto Añón氏は付け加えます。
ダークウェブスキャナーは、マイパンダアカウントからアクセスできます。
しかし、My Pandaアカウントをお持ちでない方は、パンダセキュリティのお客様でなくてもDark Web Scannerをご利用いただけます。
Cl0Pランサムの追跡記事 / Meet the Ransomware Gang Behind One of the Biggest Supply Chain Hacks Ever(転載)
Meet the Ransomware Gang Behind One of the Biggest Supply Chain Hacks Ever
キャット・ガルシアは、Emsisoft社のサイバーセキュリティ・リサーチャーで、仕事の一環として、Cl0pと呼ばれるランサムウェア・ギャングを追跡しています。
しかし、先月末にハッカーからメールが届いて彼女は驚いた。そのメールの中で、Cl0pのハッカーたちは、妊婦向けの衣料品店のサーバーに侵入し、彼女の電話番号、メールアドレス、自宅住所、クレジットカード情報、社会保障番号を知っていると言っていました。
"この会社から連絡がない場合、あなたとあなたの購入した商品に関する情報、およびあなたの支払い情報がダークネット上に公開されることをお知らせします。" とハッカーたちは書いています。"このお店に電話か手紙で、プライバシー保護をお願いします。"
ガルシアは、今回の事件について、"脅威となる人物が犯罪を収益化するためにどれだけのことをするかを示している "と述べています。
C10pのサイバー犯罪者たちは現在、侵入された企業の顧客を募り、自分たちがハッキングした企業への督促に協力してもらおうとしています。これは、被害者から金銭を搾取しようとするハッキンググループの最新の動きであり、2021年初頭にCl0pが最も興味深く、恐ろしいハッキンググループの一つとなった理由の一つでもあります。
"ランサムウェアの追跡を専門とするEmsisoft社のセキュリティ・リサーチャーであるBrett Callow氏は、電話で次のように述べています。「ランサムウェアのグループが、顧客の連絡先情報を使って電子メールで一斉に連絡を取るというのは、私の記憶では初めてのことです。
"In our team there is no me, there is only us, as a rule, most people are interchangeable."
Cl0pを追跡したセキュリティ研究者は、ブログやMotherboardへの寄稿で、このグループを「冷酷」「洗練された革新的」「よく組織された構造」「非常に活発で、ほとんど疲れを知らない」という「犯罪企業」と表現しています。
このグループの最近の被害者には、石油大手のシェル、セキュリティ企業のクオリス、米国の銀行フラッグスター、話題のグローバル法律事務所ジョーンズ・デイ、スタンフォード大学、カリフォルニア大学などが含まれており、ファイル転送アプリケーションを提供しているアクセリオンに対するサプライチェーンハッキングの被害者となっています。
このグループを追跡している複数のセキュリティ企業によると、「TA505」や「FIN11」と呼ばれる「Cl0p」は、少なくとも3年前から存在していました。しかし、このハッカーたちは最近になって、何十社もの企業の機密データの宝庫にアクセスできるようになったことで、大きな話題となり、注目を集めています。
Accellion社によると、このハッカーたちは、世界中の約300社で利用されているファイル共有サービス「Accellion File Transfer Appliance(FTA)」に対するサプライチェーン攻撃の恩人であり、また犯人であるという見方もあります。セキュリティ研究者たちは、Cl0pがAccellion社を危険にさらしたハッキンググループなのか、それとも元々のハッキンググループがアクセス権を与えた後に、盗まれたデータを収益化しているグループなのか、まだはっきりとは分かっていません。
マザーボードはメールでの会話の中で、Accellion社のサプライチェーンハッキングの背後にいるのは自分たちなのか、そしてどのようにそれを行ったのかをハッカーたちに尋ねました。
"Yes, Somehow" とハッカーたちは答えました。
Cl0pは、ウェブサイト「CL0P^_- LEAKS」で、企業名と盗まれたデータのサンプルを公開していました。韓国のサイバーセキュリティ企業S2WLABの一部門であるTalonの研究者が電子メールで述べているように、「ダークウェブ上のデータ流出ページで削除されている企業も見受けられる」とのことで、おそらく身代金を支払ったためだと思われる。
先週の時点でCL0P^_- LEAKSには52社が登録されている。これらは、ハッカーが要求した身代金を支払っていない企業と推測される。このグループを研究しているFox-IT社の研究者、Antonis Terefos氏は、このグループが150社以上の企業をハッキングしていると推定している。
Cl0pは、被害者の名前、社会保障番号、自宅住所、金融機関の書類、パスポート情報などの機密データをウェブサイトに掲載し、自分たちが手にしているデータや、被害者がお金を払わなければ何ができるのかを示そうと、ハッキングを公表しています。
Accellion社の広報担当者は、今回のハッキングの規模を軽視し、「FTAの全顧客約300社のうち、攻撃を受けたのは100社未満である。このうち、重要なデータが盗まれたと思われるのは25社以下である」と述べています。
Cl0pは通常、侵害された企業に直接メールで連絡を取り、盗んだデータが自社のチャットポータルに流出するのを避けるために、支払いの交渉を持ちかけます。企業が同意してすぐに支払えば、ハッカーはデータを漏らさず、企業名もウェブサイトに掲載しません。時には、支払い後に機密データを削除したことを証明するビデオを見せることもあります。Cl0pを追跡している複数のセキュリティ研究者によると、企業が関与を拒否した場合、ハッカーはデータの漏洩を開始します。
"私たちが見た被害者とのコミュニケーションでは、彼らは比較的プロフェッショナルで敬意を払っています。だから、彼らは割引を提供しているのです」と、FireEye社の金融犯罪分析チームのマネージャーであるキンバリー・グッディは、Motherboard社に電話で語った。
Cl0pは、いくつかの大きな被害者を出しさえすれば、いいお金を稼げることを知っているようです。
2020年末にFireEyeが観測したあるケースでは、Cl0pのハッカーは被害者に2000万ドルを要求しました。交渉の結果、被害企業は600万ドルまで値下げすることができたという。韓国のセキュリティ企業S2WLABは、1月に220ビットコインを支払う被害者を目撃したと述べており、これはFireEyeが観測したのと同じケースと思われる。
別のケースでは、ハッカーが別の被害者に、合意に達するまでの期間に応じた割引を提示していました。グッディによると、3〜4日以内なら30%、10日以内なら20%、20日以内なら10%の割引とのこと。
しかし、ハッカーたちはいくつかのミスを犯しています。Cl0pは、被害者とのコミュニケーションに、パスワードで保護されていない独自のチャットポータルを使うことがあります。グッディによると、そのために研究者や、URLを推測できる人なら誰でも交渉の様子を見ることができるとのことです。
Cl0pは、Netwalker、REvil、CONTIなどの他のランサムウェアグループとは異なり、アフィリエイトプログラムを運営していません。つまり、彼らは自分たちのマルウェアを他のサイバー犯罪者と共有して、その収益の一部を得ることはありません。Cl0pは、ハッキング活動の最初から最後までを運営しているようで、そのため収益の規模が小さくなっているとGoody氏は指摘しています。
"彼らは、ゆっくりとした着実なペースに満足しています。つまり、成功すれば何百万ドルも要求される彼らが、こうした妥協から大金を稼げない可能性がないわけではないのです」とグッディは言います。"彼らは、他の俳優たちのように、必ずしも貪欲ではないのです。
"見知らぬ人にいくら稼いでいるかを尋ねるのは下品だ」とハッカーは言っています。
また、ハッカーたちは自分たちのことをあまり語らなかった。
"私たちのチームには、私は存在せず、私たちだけが存在します。原則として、ほとんどの人が入れ替わります。" 彼らは、メールインタビューでこう書いています。"チームには何人かの人がいて、数年前から存在しています。"
ハッカーの身元は不明ですが、セキュリティ研究者の間では、ロシアと旧ソ連諸国で形成されている独立国家共同体(CIS)の一部の国を拠点としている可能性が高いと考えられています。
"It's only a matter of time before they make a mistake which will help [law enforcement to identify its members."
Goody氏によると、Cl0pのランサムウェアにはロシア語のメタデータが含まれており、ハッカーたちはロシアの祝日に活動を停止するようです。さらに、Cl0pのランサムウェアは、感染したコンピュータがロシア語の文字セットやCIS諸国のキーボードレイアウトを使用しているかどうかをチェックするようにプログラムされているといいます。そのような場合、ランサムウェアは自分自身を削除します。
これは、自国民に影響を与えない限りサイバー犯罪を容認すると考えられているロシアや他の東欧諸国の当局の目に留まらないようにするための、真の意味での戦略なのです。このような対策にもかかわらず、Cl0pは少し人気が出すぎているのではないかという意見もあります。
"「彼らは注目されすぎていて、良いことではありません。去年は誰も興味を示さなかった。去年は誰も興味を持っていなかったが、今では多くの報道がなされ、(法執行機関による)訴訟も続いている」と、報道機関への取材許可を得ていないため匿名を希望したあるセキュリティ研究者はMotherboardにメールで語っています。"他のランサムウェアギャングのように、注目されないようにブランドを変更するかもしれません。また、独立国家共同体(Commonwealth of Independent States)のような安全な場所に住んでいるため、活動を続けているのかもしれません。願わくば、ある朝、彼らのドアが蹴破られることを...」。
Terefos氏も同じ意見です。
「法執行機関がメンバーを特定するのに役立つようなミスを犯すのは時間の問題だ」と彼は言う。
Passwordstateの更新配信サーバが不正アクセスを受け、不正なDLLを混入される。 / Passwordstate hackers phish for more victims with updated malware(転載)~サプライチェーンリスクの顕在化事例~
企業向けパスワードマネージャー「Passwordstate」を提供しているクリックスタジオ社は、「Moserpass」という最新のマルウェアを使ったフィッシング攻撃が続いているとして、顧客に警告を発しています。
先週、クリックスタジオ社は、4月20日から4月22日の間に、攻撃者がパスワードマネージャーの更新メカニズムを悪用して、情報を盗むマルウェア「Moserpass」を、まだ公表されていない数の顧客に配信することに成功したと、ユーザーに通知しました。
クリックスタジオ社は日曜日に2回目の勧告を発表し、"上記の時間帯に所定のアップグレードを行った顧客のみが影響を受けていると考えられ、Passwordstateのパスワード記録が盗まれている可能性がある "と述べた。
フィッシングメッセージのコピー ソーシャルメディアで共有されるClick Studiosメール
それ以来、クリックスタジオ社は、影響を受けた可能性のあるお客様に電子メールで支援を行い、お客様のシステムからマルウェアを取り除くためのホットフィックスを提供してきました。
しかし、今回の勧告で明らかになったように、クリックスタジオ社から受け取ったメールがソーシャルメディア上で顧客に共有されたことで、未知の脅威行為者が同社の対応に似せたフィッシングメールを作成し、新たなMoserpassの亜種を押し付けていました。
Passwordstateのお客様を対象とした、Moserpassデータ盗難マルウェアに感染させようとする継続的なフィッシング攻撃は、少数のお客様を対象としていると報告されています。
同社は現在、不審な電子メールを受け取った方に、「警戒を怠らず、あらゆる電子メールの有効性を確認してください」と呼びかけています。
" メールが当社からのものかどうかわからない場合は、テクニカルサポートにメールを添付して送信し、確認してください」とクリックスタジオは付け加えています。
初期分析によると、このファイルには、不正なMoserware.SecretSplitter.dllの新しい修正バージョンが含まれており、読み込み時に別のサイトを使用してペイロードファイルを取得しようとします。このペイロードファイルは現在も分析中です。- クリックスタジオ社
お客様には、保存されているすべてのパスワードをリセットするようお願いします。
Moserpassマルウェアは、システム情報とPasswordstateのデータベースから抽出した以下のようなパスワードデータの両方を収集し、流出させるように設計されています。
- コンピュータ名、ユーザ名、ドメイン名、現在のプロセス名、現在のプロセスID、実行中のすべてのプロセス名とID、実行中のすべてのサービス名、表示名、ステータス、Passwordstateインスタンスのプロキシサーバアドレス、ユーザ名とパスワード
- タイトル、ユーザー名、説明、GenericField1、GenericField2、GenericField3、メモ、URL、パスワード
クリックスタジオ社は、今回の侵害でクライアントをアップグレードしたPasswordstateのお客様に、データベースに保存されているすべてのパスワードをリセットするようアドバイスしました。
Passwordstateは、開発元が主張しているように、世界中の29,000社で働く37万人以上のIT専門家が使用しているオンプレミス型のパスワード管理ソフトです。
クリックスタジオ社のソフトウェアは、政府、防衛、航空宇宙、金融、ヘルスケア、自動車、法律、メディアなど、幅広い業種の企業(フォーチュン500ランキングに入っている企業も多数)に採用されています。
マーケティングプラットフォームApollo.ioが不正アクセスを受け、1,100万件の個人情報が盗取&販売される / 11 million records of French users stolen from marketing platform and put for sale online(転載)~日本で起きた場合、想定損害賠償額は110億円程度か~
今回の流出により、数百万人のApollo.ioユーザーとその雇用者が、フィッシングやソーシャルエンジニアリング攻撃、ブルートフォース攻撃などの危険にさらされる可能性があります。
人気のハッキング・フォーラムのユーザーが、米国のセールス・エンゲージメントおよびデジタル・マーケティング企業であるApollo社から盗まれた約1,100万件のユーザー記録を含むとされるデータベースを販売しています。
流出したアーカイブに含まれるファイルには、データが盗まれたとされるフランス在住の10,930,000人のユーザーに関する、フルネーム、電話番号、位置座標、職場情報、ソーシャルメディアのプロフィールなど、さまざまな情報が含まれています。
この投稿者は、データがどのようにしてApollo社から流出したのかについて、追加情報を提供していません。また、Apollo社の顧客データベースのうち、フランス国内の部分だけでなく、それ以外の部分も脅威となる人物が保有しているのか、あるいは、以前にApollo社が被った不正アクセスから盗まれたデータなのかは不明です。
Apollo社に、このリークが本物であることを確認できるかどうか、また、ユーザーや顧客に警告を発しているかどうかを尋ねましたが、このレポートを書いている時点では、同社からの回答は得られていません。
自分のオンラインアカウントが他のセキュリティ侵害で公開されていないかどうかを確認するには、150億件以上の侵害記録を収録した個人情報漏洩チェックツールをご利用ください。
何が漏洩した?
流出したアーカイブから見たサンプルによると、Apollo社がLinkedInのプロフィールから収集した可能性のある、ユーザーの様々な主に職業上の情報が含まれているようです。
- フルネーム
- 個人および仕事上のEメールアドレス
- 電話番号
- ユーザーとその雇用者の位置座標
- 現在および過去の雇用形態、詳細な雇用主情報などの職業データ
- LinkedInプロファイルへのリンク
流出したデータの一例:
漏洩した会社はどこですか?
Apollo社は、サンフランシスコを拠点とするソフトウェア企業で、企業がマーケティング目的でコンタクトを取るべき新しい見込み客を識別、分析、発見するためのデジタルプラットフォームを開発しています。
Apollo社自身によると、同社は四半期ごとにセキュリティ監査を実施し、定期的に侵入テストを行い、侵入検知システムをオンラインで運用しているとのことです。そうは言っても、Apollo社がデータを流出させたのは今回が初めてではありません。2018年には、2億人のユーザー記録を含むデータベースが脅威主体に侵入されたことで、同社は批判にさらされました。
漏洩の影響は?
Apollo社のデータベースで見つかったデータは、情報が流出したユーザーや雇用者に対して様々な形で使用される可能性があります。
- ターゲットを絞ったフィッシング攻撃の実施
- 1,100万件の電子メールおよび電話番号へのスパム送信
- 個人の電子メールアドレスやLinkedInのプロフィールのパスワードを強制的に変更する行為
- 勤務先の企業ネットワークに侵入するために、勤務先の電子メールアカウントに侵入しようとする行為
今回流出したアーカイブには、社会保障番号、文書スキャン、クレジットカード情報などの機密情報は含まれていないようですが、電子メールアドレスだけでも、脅威をもたらすには十分な情報となります。
特に決意の固い攻撃者は、流出した情報を他の侵害事件のデータと組み合わせて、潜在的な被害者のより詳細なプロファイルを作成し、被害者やその雇用者に対してフィッシングやソーシャルエンジニアリングの攻撃を仕掛けたり、あるいは個人情報の窃盗を行ったりすることができます。
Next steps
フランスにお住まいの方で、今回の漏洩事件でご自身のデータが流出した可能性があると思われる方は、以下の点にご注意ください。
- アポロの個人データ削除ページにアクセスし、プロのプロフィールを削除するよう依頼します。
- 個人用と仕事用のメールアカウント、およびLinkedInアカウントのパスワードを変更します。
- 強力なパスワードを作成し、それを安全に保管するために、パスワードマネージャーの使用を検討する。
- すべてのオンラインアカウントで2ファクタ認証(2FA)を有効にする。
フィッシングの可能性のあるメールやテキストメッセージに注意してください。怪しいものをクリックしたり、知らない人に返信したりしないでください。
米CISA/MS-ISAC発行「ランサムウェアガイド 2020年9月」ランサムウェア対応チェックリスト試訳(転載)
はじめに
Part 2: ランサムウェア対応チェックリスト
検知と分析
1. 影響を受けたシステムの特定と即時の隔離
- 複数のシステムまたはサブネットが影響を受けたと思われる場合、ネットワークをスイッチレベルでオフラインにする。インシデント発生中にシステムを個別に切断できない場合があるため。
- ただちにネットワークを一時的にオフラインにすることができない場合は、ネットワークケーブル(例. イーサネット)の場所を特定し、感染を封じ込めるために、影響を受けたデバイスのプラグを抜くかWi-Fiから切断する。
- 最初に侵入した後、攻撃者はあなたの組織の活動や通信を監視して、自分たちの攻撃が検知されていないかを知ろうとする。したがって、組織で協力して、攻撃を検知したことや対策を取ろうとしていることを攻撃者に知られないように、電話などネットワーク以外の通信手段でシステムを隔離すること。さもないと攻撃者は横展開して攻撃を続けようとしたり(これはすでにありふれた戦術になっている)、ネットワークをオフラインにされる前にランサムウェア感染を拡大しようとする。
2. デバイスの電源を落とす例外的なケース
3. リストアとリカバリの優先順位付け
- リストアすべき重要システムの特定と優先順位付けをおこない、影響を受けたシステム内のデータの性質を確認する。
- リストアやリカバリの優先順位付けは、あらかじめ定義しておいた重要情報資産リストに基づいて行う。そのリストには安全衛生、収益源となるシステム、他の重要な情報システムや、それらシステムが依存するシステムも記載しておくこと。
- 影響を受けていないと思われるためリストアやリカバリの優先順位を下げたシステムやデバイスも記録しておくこと。そうすればあなたの組織はより効率的に業務を再開できるようになる。
4. 初期分析の文書化
5. 利害関係者と今後の対応についての合意形成
- あなたが入手できる情報を共有して、インシデントに関係する支援をいちばんタイムリーに受けられるようにすること。状況の変化に応じて、マネジメントや管理職に定期的に情報提供すること。関係者の中には、IT部門、マネージド・セキュリティサービスプロバイダー、サイバー保険会社、各部署の選任されたリーダーを含めること。
- 関係する政府機関や、ISAC、地方や国家の司法機関などの支援をうけることも考慮すること。下記連絡先リストを参照。
- 必要に応じて、広報部門と連携して社内および社外に正確な情報が伝わるようにすること。
- 'Public Power Cyber Incident Response Playbook' には組織としてのコミュニケーション手順の指針や、対外的なセキュリティインシデント発表のひな型があるので、あなたのチームと協力してできるだけ早く同様の手順や公式発表の草稿を作っておくこと。インシデント発生中に公式発表文を作成するのは最善策ではない。社内外とどの程度詳細に情報共有するのが適切か、情報をどのように流すのかは、このPlaybookを参照すれば事前に決めておくことができる。
封じ込めと除去
6. システムイメージとメモリキャプチャの採取
- 非常に消失しやすい性質のエビデンスや、一部しか確保できないエビデンスについては、損失や改ざんを防ぐために十分注意して保存すること(例. システムメモリ、Windowsセキュリティログ、ファイアウォールのログバッファ内のデータ)
7. 法執行機関への相談
8. 影響を受けたシステムの特定と封じ込め
- 既知のランサムウェアのバイナリの実行を停止、または無効化し、システムに対する被害や影響を最小化する。その他、関連する既知のレジストリ値やファイルを削除する。
9. 最初に不正侵入を受けたシステムとアカウントの特定
10. 関連システムの封じ込め
- VPN、リモートアクセスサーバー、シングルサインオン、クラウド、その他の外部公開されている情報資産の無効化。
11. 推奨する追加対策:サーバ側データ暗号化の迅速な特定
- 感染したワークステーションによってサーバ側のデータまで暗号化されてしまった場合、それを素早く特定する手順は以下のとおり。
- 関連するサーバーで「コンピュータの管理」>「セッション」および「開いているファイル」をチェックし、それらのファイルにアクセスしているユーザーやシステムを特定する。
- 暗号化されたファイルやランサムノートのファイルプロパティーをチェックし、それらのファイルの所有者となっているユーザーを特定する。
- ターミナルサービスのリモート接続マネージャーのイベントログをチェックし、成功しているRDP接続がないか確認する。
- Windowsセキュリティログ、SMBイベントログ、関連するすべてのログをチェックし、重要な認証イベントやアクセスイベントがないか確認する。
- 影響を受けたサーバーでWiresharkを実行し、ファイルの書き込みや名前の変更に関係するIPアドレスをフィルタで特定する(例 “smb2.filename contains cryptxxx”)。
12. 侵入検知・防止システムのログ精査
- 先行して侵入している「ドロッパー」マルウェアのエビデンスを探す。ランサムウェア感染はそれ以前に起こっていた未解決のネットワーク不正侵入の証拠かもしれない。ランサムウェア感染は、TrickBot、Dridex、Emotetといったランサムウエアがすでに存在していた結果であることが多い。
- これら最新のマルウェアのオペレーターはネットワークへのアクセス方法を販売していることが多い。場合によっては、攻撃者はそうしたアクセス方法を悪用してデータを窃取してから、データを公開するぞと脅迫した後で、さらに被害者を脅迫して支払いを迫ろうとネットワークをランサムウェアに感染させる。
- 攻撃者はネットワークに手動でランサムウェアをドロップし、不正侵入後の活動を分かりにくくする場合がある。継続的な侵入を防ぐには、バックアップから復旧させる前にそのようなドロッパーを注意して特定しておく必要がある。
13. 継続的攻撃の分析
- 外部から内部(outside-in)の継続的攻撃には、不正アカウントによる外部システムへの認証済みアクセスや、境界システムのバックドア、外部システムの脆弱性の不正利用などが含まれることがある。
- 内部から外部(inside-out)の継続的攻撃には、内部ネットワークに埋め込まれたマルウェア、または環境寄生(自給自足)型のシステム変更(例. Cobalt Strikeのような市販の侵入テストツールの悪用、PsExecを含むPsToolsの悪用、マルウェアを遠隔インストールし制御することによるWindowsシステムの情報収集や遠隔管理操作、PowerShellスクリプトの悪用)が含まれることがある。
- これらを特定する方法として、エンドポイント検知・対応(EDR)ソリューションの導入や、ローカルとドメインのアカウント監査、集中ログ収集システムで見つかったデータの精査、環境内での動きが一度でも特定された場合は、その該当するシステムのより深いフォレンジック分析が含まれることがある。
14. 優先順位に基づくシステム復旧
15. パスワードリセットと未対応部分への対処
環境が完全にクリーンにされ復旧した後(影響を受けたすべてのアカウントや継続的な不正メカニズムの除去を含む)、影響を受けたすべてのシステムのパスワードリセットを行い、セキュリティ面や可視化されていなかった部分の脆弱性や未対応部分に対処すること。
16. インシデント終了宣言
復旧とインシデント終了後の活動
17. システムの再接続とデータのリストア
18. 学びや対応結果の文書化
19. 当局や業界団体などとの情報共有
CISベンチマーク 2021年1月アップデート / CIS Benchmarks January 2021 Update(転載)
CISは、以下のCISベンチマークのリリースを発表します。これらのCIS Benchmarkのリリースは、チケット、コメント、コミュニティコールへの参加など、コミュニティへの貢献者の皆様の時間とサポートなしでは実現できませんでした。皆様の貢献は、私たちのコンセンサスプロセスにとって非常に貴重なものであり、ボランティア活動に感謝しています。
CIS Cisco NX-OS Benchmark v1.0.0
Cisco NX-OS を実行している Cisco デバイスの安全な設定を確立するための規定的なガイダンス。
この初期リリースに貢献してくれた Rob Vandenbrink に感謝します。
Download the CIS Cisco NX-OS Benchmark PDF
CIS SecureSuiteメンバーは、CIS WorkBenchにアクセスして、他のフォーマットや関連リソースをダウンロードすることができます。
CIS Apache Tomcat 9 Benchmark v1.0.0
Linux 上で動作する Apache Tomcat バージョン 9.0 のために安全な設定を確立するための指針です。このガイドは、Apache が提供する tar パッケージによってインストールされた Apache Tomcat 9.0 に対してテストされました。このリリースでの主な変更点:
- 勧告「厳格なサーブレットのコンプライアンスを有効にする」は、その影響の可能性があるため、レベル 2 に移動されました。
- TLS の使用に関するガイダンスが更新され、TLS バージョン 1.2 および/または 1.3 を推奨するようになりました。
- マネージャーアプリケーションパスワードを暗号化するための新しい推奨事項が追加されました。
- アーティファクトは、CIS-CATの将来のリリースに含まれる新しい自動化された評価コンテンツをサポートするために、多数の推奨事項に追加されました。
このリリースに貢献してくれたJoern Krueger氏、James Scott氏、Ardnor Zeqiri氏に特別な感謝の意を表します。
Download the CIS Apache Tomcat 9 Benchmark PDF
CIS SecureSuiteメンバーは、CIS WorkBenchにアクセスして、他のフォーマットや関連リソースをダウンロードすることができます。
CIS Apple macOS 10.12 Benchmark v1.2.0
Apple macOS 10.12のセキュアな構成姿勢を確立するための処方的なガイダンスです。このガイドはApple macOS 10.12に対してテストされています。このリリースでの主な変更点:
- パスワードポリシーセクションの監査と是正処置を更新しました。
- CIS コントロール v7.1 を追加しました。
このリリースに携わってくれたロン・コルビンとウィリアム・ハリソンに特別な感謝の意を表します。
Download the CIS Apple macOS 10.12 v1.2.0 Benchmark PDF
CIS Alibaba Cloud Foundation Benchmark v1.0.0
これは、Alibaba Cloud のための新しい CIS ベンチマークである。このベンチマークには、基礎的な設定、テスト可能な設定、アーキテクチャに依存しない設定に重点を置いた、Alibaba Cloud サービスのサブセットのセキュリティオプションを設定するための指針が記載されている。ここでは、その内容を簡単に紹介する。
- アイデンティティとアクセス管理(IAM)の設定
- ロギングとモニタリング構成
- ネットワーク設定
- 仮想マシンの設定
- ストレージ構成
- リレーショナルデータベースサービス(RDS)の設定
- Kubernetesエンジンの設定
- アリババクラウドセキュリティセンターの設定
コミュニティ、編集者、Alibaba Cloudチームに感謝します。
Download the CIS Alibaba Cloud Foundation Benchmark PDF
ZOZO、全社にパスワード管理ツール「1Password」導入(転載)~1Passwordの企業への導入事例は珍しいかも~
パスワード管理ツールの必要性
パスワード管理の基本は、強固なパスワードを作成し使いまわしせず、なるべく漏洩しないようにすることが挙げられると思います。ありがちなものとしては、以下のような方法があります。
- 付箋や紙に書いて管理
- PCのメモ帳で管理
- Excelで管理
- ブラウザに保存
ですがセキュリティや管理・運用のしやすさを考えると、上記の方法よりも専門ツールであるパスワード管理ツールを利用する方が優れています。
「パスワードなんてブラウザに保存できるからそれで事足りる」と思う方もいらっしゃると思います。しかし会社としてパスワード管理の基盤がないと、チームごとに管理方法が違ったりパスワードの共有に平文が用いられてしまったり様々なリスクが生じます。
パスワード管理ツールは、便利なだけではなくそういった問題を解決できるので、利用者側、管理者側ともに非常に有益なものと言えます。
パスワード管理ツールの選定
パスワード管理ツールは色々あります。
- 1Password
- LastPass
- パスワードマネージャー
- Keeper
- True Key
- Dashlane
- Bitwarden
ざっと調査しただけで、上記が挙げられます。
上記の全てを比較したわけではありませんが、どれも基本的な機能としては大差ありません。例えば下記のような機能があります。
- 複雑なパスワードの自動生成
- ID・パスワードの自動入力
- パスワードの強度や使い回しのチェック
- 多要素認証
- ID・パスワードの共有
強度の高いパスワードを生成でき、利用者は自身のマスタパスワードだけを覚えれば他のパスワードを覚える必要がなく、保存された情報は暗号化され安全に共有できます。もちろんパスワード以外のセンシティブな情報も保存できます。パスワード管理ツールはそのような機能を備えたツールです。
1Passwordの優位性
弊社では主に以下の点で、1Passwordを採用するに至りました。
Secret Keyの仕組みがある
1Passwordにはマスタパスワードに加えてSecret Keyがあり、たとえマスタパスワードが漏洩したとしても、Secret Keyを知らなければアクセスできません。マスタパスワードはデバイス上のデータを保護し、Secret Keyはデバイスからデータを保護してくれるとのことで、この二段構えの構成は安心できます。
グループ単位で管理できる
ビジネスプラン以上ではユーザグループを作成できます。グループにユーザを追加し、グループを保管庫(Vault)に紐付けることで権限付与が可能です。
CLI(コマンドライン)ツールがある
1Passwordにはコマンドラインツールがあります。コマンドラインツールに対応していることは、運用の自動化を考慮する上で重要な要素と捉えています。
例えば以下のようなことができます。
# ユーザ招待 op create user <メールアドレス> <氏名> # ユーザの停止と再開 op (suspend | reactivate) <user> # ユーザ削除 op delete user <user> # 一覧取得 op list (users | groups | vaults | items | documents | templates) [--vault <vault> | --group <group>]
レポーティング(パスワード漏洩チェック)機能がある
1Passwordにはドメイン侵害レポートがあります。自社が管理するドメインを登録しておくと、漏洩に巻き込まれたアドレスを見つけることができます。このレポートを元にしてパスワードの変更をユーザへ促すことができます。
導入にあたっての課題
課題は大きく3つありました。
- プランの検討
- SSO(シングルサインオン)が可能か
- プロビジョニングが可能か
プランの検討
- Teams
- Business
- Enteprise
SSO(シングルサインオン)が可能か
プロビジョニングが可能か
- Google Cloud Platform Marketplace
- Docker, Kubernetes or Terraformで構築
実際の運用
導入効果
共有アカウントのパスワードを安全に共有できる
多要素認証のワンタイムパスワードの代替
- まずは設定したいシステムの設定画面で、多要素認証の追加(もしくは変更)を実行し、その手順の中で秘密鍵を取得
Authenticator系のアプリで読み取るためのQRコードが発行される画面などで、秘密鍵を表示できる箇所があると思いますので調べてみてください。※各システムによって異なります - 秘密鍵を入手したら1Passwordのアイテム編集に移動
- 1Passwordのアイテム編集画面でラベルの欄にある…(三点リーダー)アイコンを選択
- ワンタイムパスワードを選択
- ワンタイムパスワードの欄に、先程入手した秘密鍵を貼り付けて保存