パスワードクラッキングツールからパスワードの最適解を考えてみる 【Medusa】


「Medusa(メデューサ)」と聞いて皆さんは何を思い浮かべるだろうか?

メデューサとは、ギリシア神話に登場する怪物で、宝石のように輝く目を持ち、見たものを石に変える能力を持つ。

そういえば、聖闘士星矢にも「メデューサの盾」なるものがあったな。

ただ、今日のMedusaは聖闘士星矢ではなく、パスワードクラッキングツールの話。

ツールを使ってパスワードクラッキングを行う場合、総当たり(ブルートフォース)攻撃の場合、果てしなく時間がかかるため、辞書攻撃の方が効率が良いと考えられる。

では辞書攻撃に使うリストは一体どこにあるかと言うと、インターネット上に広く出回っている。

Openwallプロジェクトでは、パスワード紛失時の復旧手段の提供の位置づけで、3,000円くらいでワードリストを提供している。

このワードリストは、20ヶ国以上の単語リストや、単語リストの結合、大文字⇔小文字変換、数字⇔単語を変換したもの等、5000万弱のパターンが収録されているらしい。

さすがに有償なので、実際の中身は見ることができないが、コストをかけずとも、NGなパスワードリスト トップ100万くらいまでであれば、無償で入手できる。

このご時世、丁寧に調べ方をYouTubeにアップされている方もいるので、詳細は割愛したい。


で、この100万件のパスワードリストをみて感じたのは、

・NISC(内閣サイバーセキュリティセンター)が推奨する、英大文字小文字+数字+記号の組み合わせで10桁以上は有効(特に記号を加える点がポイント)

・万一どこかのサイトでパスワードが漏れたら、それが攻撃の際に使用されるパスワードリストに加えられることを認識する(一度流出したらいかにパスワードレベルが強固でも変更が必要)

・サイトごとに異なるパスワードを設定したほうが、漏洩時のダメージは少なくて済む

と言った感じ。

自分はパスワードに記号を加える運用は一部でしか実施していないのだが、記号の追加を真剣に考えようと思った。

【参考】
https://www.slideshare.net/ozuma5119/dictionary-attack
https://geeks-world.github.io/articles/J434216/index.html
http://sec-v6.blogspot.com/2012/12/medusa.html

YouTubeでテレビが見れる!?


自分は家にテレビが無い。

理由は幾つかあるが、大きくは人生において無駄な時間を浪費するアイテムになりつつあるのと、テレビが無いことにより、NHKに無駄金を払わずに済むからである。

そんなわけでYouTubeばかりを見ているのだが、一部のYouTubeチャンネルでリアルタイムでテレビと同内容の動画を流すチャンネルがあることが分かった。

こういうサイトはいざと言うときに有難い。

んで、どう見つけるかだが、世の中にはYouTubeライブのリアルタイムランキングを提供するサイトがあり、そこから見つけることができる。

見たいテレビ番組があった場合、放送時間になったら上記サイトにアクセスしてみる。

もしあればラッキーである。

ま、保証された手段ではないため、どうしてもテレビが見たければテレビを買ったほうが早いのだが・・・。

悲報! サイバー攻撃で1万2000件の情報流出(日本経済新聞社)


日本経済新聞社にて不審メールの開封によるマルウエア感染により、社員ら12,000人分の個人情報が詐取された。

想定損害賠償額シミュレータによる今回の損害試算】
約3,600万円

今回の件、詳細はまだ明らかになっていないが、2020年5月8日に情報流出を検知し、5月12日にプレスリリースを行っている点から、対策はかなりしっかりできている印象。

サイバー攻撃の足掛かりは、今回のような不審メールだったり、システムのアップデートサーバが攻められたりするのが主流で、今回は前者であった。

不審メールを足掛かりとしたサイバー攻撃は、マルウェアが既知のものであればアンチウイルスソフトやIPS/IDSによる防御が可能だが、新種のウイルスの場合は防御はほぼ不可能なので、SIEMを活用した早期発見がポイントとなる。

個人的には情報流出をどのようにしてキャッチしたのかが気になる(というか、知りたい)

【参考】
https://cybersecurity-jp.com/news/36422

国別経済指標の情報に簡単にアクセスする方法 【OANDA 国別経済指標】


2020年5月8日の米雇用統計で、非農業部門雇用者数が史上初の-2050万人を記録した。

日本の人口が約1.3億人だから、総人口の6人に1人が失業した計算になる。

ちなみにアメリカの労働人口の8人に1人が現在失業状態にあるという。

ただ、アメリカの雇用は流動的だから、景気が回復するとあっという間に吸収されてしまう。

ところで、このような各国の経済指標に簡単にアクセスできる情報源は無いのだろうか?

色々なニュースサイトがあるが、一番使い勝手が良さそうなのが、FX事業者であるOANDAが提供している国別経済指標である。

グラフになっており、クリックすることで拡大表示ができる点がとても利便性がいい。

こういうサイトを活用して効率よく分析を進めていきたい。

zoom爆弾とは?


武漢ウイルスのパンデミックを受け、教育機関や企業などでリモート会議(イベント)を導入する動きが強まり、Web会議サービスを提供するZoomの会議参会者は2019年12月末の1000万人から2020年3月には2億人を超える人数が利用し、リモート会議のデファクトスタンダードと化している。

私が参加するセミナー類もことごとくオンライン化され、そのすべてにおいてZoomが採用されている。

最近ではZoom飲み会やZoomコンパなるものも出てきているが、その延長線上で「Zoom爆弾」なるものもあり、今回はこれを考察したいと思う。

Zoom爆弾についてはコチラにまとめられている。

当初は主催者側のセキュリティ設定の問題と思い込んでいたのだが、どうもZoomの仕様の問題でもある様だ。

ウォーダイヤリングという言葉を聞いたことがあるだろうか?

語源自体はだいぶ昔にさかのぼるが、社内ユーザー向けのダイヤルアップ用のモデムなどを求めて、無差別にダイヤルアップを繰り返すハッキング(クラッキング)行為のことで、モデムが応答すれば、適当なIDやパスワードを使ってログインを試み、ネットワークに侵入するというものである。

時代の流れでモデム等は無くなったが、最近では、無線LANのアクセス・ポイントを求めて、ノートPCと無線LANカードを使って街中を検索する、ウォー・ドライビングというハッキング方法が存在している。

で、話がそれたが、Zoomの会議単位で発行される識別情報(ミーティングID)はランダムな数字9~11桁で構成されており、ウォーダイヤリングを試みると4%の確率で有効な会議が特定できるらしい。

仮に単純計算で世界で毎日1万件のZoomミーティングが行われているとしたら、400件くらいがハッキングされるということになる。

ちなみにZoom爆弾をくらうとどうなるのか?

YouTubeに参考になりそうな動画があった。


完璧な防御策は無いようだが、会議の性質に応じて対策を実施することは可能な模様。

・参加者同士の個人間チャットが必要なければ「プライベートチャット」を無効化しておく。無効となっている場合、ホストのみ、あるいは全員でチャットが可能。

・ファイル送信の必要がなければファイル送信を無効化しておく。マルウェアがまかれる可能性もある。

・参加者側の画面共有設定が必要なければ共有対象者を「ホストだけ」としておく。

・画面共有は会議開始後も変更できるが、事前にZoomの設定(ミーティングにて(基本))より画面共有の箇所を変更しておくのが良い。

・ホワイトボードなどを使い注釈を行うシーンがあるが、参加者に書いてもらう必要がなければ無効化しておく。

・誤って遠隔操作される可能性を防ぐため、必要がなければ遠隔操作も無効化しておく。

・パスワード有効時も既定で参加リンクがワンクリック参加可能で生成されるため、無効化しておく。

必要な設定を施して有意義なZoomミーティングにしていただきたい。

安全に悪いことをする方法を考える-その2(やられサイトの構築)【XAMPP】

以前、安全に悪いことをする方法として、やられサイトの活用を検討したが、自分で作る場合、どれくらい手間なのだろうか?

最近はAmazon Web Services(AWS)や、Google Cloud Platform(GCP)等のIaaSサービスが充実しており、サーバは簡単に立てられる。

で、上物のアプリケーションだが、最近、XAMPPという便利なものの存在を知った。

XAMPPとは、ウェブアプリケーションの実行に必要なフリーソフトウェアをパッケージとしてまとめたもので、apachefriends.orgから提供されている。

主として開発用あるいは学習用であり、名前の由来は下記から構成されている。

 ・X - Windows、Linux、macOS、Solarisのクロスプラットフォーム
 ・A - ApacheのA
 ・M - MariaDB(旧バージョンはMySQL)のM
 ・P - PHPのP
 ・P - PerlのP

ただ、上記以外にFTPサーバであるFilezillaや、メールサーバであるなども同梱されており、個別にダウンロードをすることなく、XAMPPの管理コンソールでインストールから設定までまとめて行うことができる。

更にXAMPPにはアドオン機能があり、WordPressJoomlaDrupal等、悪名高いCMSも簡単に導入することができる。

まったくもって便利な世の中になったものである。

暗号化ZIPファイルのパスワードが分からなくなった際の対処法 【fcrackzip】


ZIPファイルのパスワードをかけたものの、そのパスワードを忘れてしまい、困ってしまうことは無いだろうか?

そんな時はあきらめるか、正攻法でパスワードクラッキングをするしかない。

パスワードクラッキングの難点は、パスワードが複雑であるほど解読に時間がかかる点である。

パスワードについてはNISC(内閣サイバーセキュリティセンター)が推奨する、英大文字小文字+数字+記号の組み合わせで10桁以上のものを採用した場合、クラッキングツールを用いても約2,785,976,009,000,000,000通りのパターンを試さなければならないため、スパコンでも使わない限りは現実的に厳しいため、潔く諦めたほうが良い。

パスワードが小文字と数字だけで6桁程度であれば、ツールを使うことで解読ができるかもしれない。

ツールは下記を使う

fcrackzip

自分も1回だけパスワードを忘れてしまい、ツールによる解読を試みたが、とてつもなく時間がかかった記憶がある。

本気で解析するのであれば、相応の時間を覚悟したほうが良い。

【参考】
https://otome-pw.hatenadiary.org/entry/20120423/1335146459



優良FX事業者を見分ける方法


爆損系FX YouTuberのJIN氏が2019年1月のフラッシュクラッシュで2500万吹き飛ばした話を聞いて、以前とある筋から優良FX事業者を見分ける方法を教えてもらったのを思い出した。

その方法とは、スワップポイントを見る方法である。

これはスワップポイントが高い=優良事業者という意味ではない。

通常、スワップポイントの絶対値は同じになるはずである。

ところが、FX事業者は利用者に購入してほしいペアに対してスワップポイントを高くつける傾向にあるため、ダメ事業者になればなるほど、買いと売りのスワップポイントが乖離していくというわけである。

早速ある日のスワップポイントの一覧を見てみる。


こう見ると、JIN氏が2500万円吹き飛ばしたヒ〇セ通商はかなりダメな部類の事業者ということになり、JIN氏が1年経っても根に持つのも分かる気がする。

また、この一覧から行くと、「みんなのFX」や「LIGHT FX」が優良事業者と言うことになる。

自分はFX自動売買を行っており、一覧にはない事業者を使っているのだが、裁量トレードを行う際は優良事業者を使いたいと思う。