【PPAP撲滅運動大喜利】ハーンは鎌倉幕府に「＊＊＊＊」と手紙を送ったが何度も無視され日本に攻め込んだ（転載）

大喜利『パスワード付ZIPファイルは無意味だから止めて』と何度も手紙を送ったが無視されたので攻め込んだ「神風(日本企業特有の空気)」:

セキュリティ的に意味なし　“旧ノーマル”な職場にはびこる習慣、その名も「PPAP」を知っていますか

新型コロナウイルス感染症（COVID-19/武漢ウイルス）は私たちの生活を大きく変えました。いや、現在進行形で変えている最中かもしれません。これを面倒なことだと思うか、それとも降ってわいた有史以来のチャンス（？）と思うかはその人次第。ならば、これを機に一気に生活を変えるとまではいかなくても「変えることを考えるきっかけの検討」程度でも始められれば、それは非常に大きな一歩なのではないでしょうか。

とはいえ「何を変えるのか」を考える段になると、一体何をどう変えればいいのか戸惑う人もいるでしょう。この際、今まで当たり前だったプロセスをどう効率化できるかを考えてみましょう。つまり、そこから「何を捨てるか」「実はムダだったものは何か」を考えるのです。今回はセキュリティ記者として個人的に「この際捨てるべし！」と考えるものを紹介します。

みんな知ってる「PPAP」を何とかしよう

ここでいうPPAPとは、ピコ太郎さんがミームとして全世界に広げた“ペンパイナッポーアッポーペン”ではありません。PPAPとは、日本情報経済社会推進協会（JIPDEC）の大泰司章氏が取り上げたプロトコルで、皆さんが職場で身近に感じていて、「アレ、本当に効果あるの？」と思っているITしぐさです。

職場から今すぐなくしたい「PPAP」とはすなわち、

• P：パスワード付きZIP暗号化ファイルを送ります
• P：パスワードを送ります
• A：暗号化
• P：プロトコル

というもの。さて皆さん、心当たりはありましたか。普段職場でメールをやりとりしていると、「PPAP」方式で添付ファイルが送られてくるケースがいまだにあると思います。

一見、このやり方は非常に手軽に実現できる“セキュリティしぐさ”のようでしょう。しかし、実はセキュリティ面でリスクをはらむだけでなく、非効率な部分もあるのです。

例えば、添付ファイルにパスワードがかかっていると、職場で運用されているマルウェアフィルターをすり抜けてしまいます。また、攻撃者がターゲットにした企業のメールを盗聴していた場合、添付ファイルの付いた1通目、パスワードを記した2通目の両方が見られている可能性が高く、そもそも秘匿効果は薄いとされています。

ではなぜ、「PPAP」はなくならないのでしょうか。恐らく、多くの組織では運用ポリシーで推奨されているからではないでしょうか。また、企業のセキュリティを評価する指標に採用されている場合もあるようです。誰が始めたかは分かりませんが「それをやれと言われたから、皆が疑問を差し挟まずに従ってしまう」――PPAPがはびこるのは理由はその程度のはずです。中には、添付ファイルをメールに付けて送信すると自動で暗号化し、パスワードを別送する“PPAP自動化”の仕組みを採用している企業もあるはずです。

PPAPだけではありません。職場にいつの間にか浸透し、誰も疑問に思わないけれど、実は無意味に近い施策――。これこそ、今のタイミングでしか捨てられないものなのではないでしょうか。

では、PPAPを本気でなくしたい場合はどうすべきでしょうか。今のタイミングでメールやファイル保護のシステムを新たに内製する方法は、さすがに現実的ではありません。最も効率的なやり方は、クラウドサービスを使う方法でしょう。電子決裁システムとしてグループウェアを利用できるでしょうし、PPAPに関してはオンラインストレージをフル活用することが解決策になり得るはずです。

そもそも、職場にPPAPが導入された理由の一つは、メールの誤送信対策のはずです。つまり、パスワード付きのファイルを本来送ってはいけない相手に誤って送ってしまっても、2通目のパスワードを誤送信しなければ情報漏えいとはならない……はずです（弱いパスワードであればそうはならないでしょうが）。

クラウドストレージを使った誤送信対策は簡単です。まず、これまでメールに添付していたファイルをクラウドストレージにアップロードします。その上で共有権限を設定し、リンクをメールで適切な相手に送信するのです。万が一間違った送信先にメールを送ったとしても、共有権限をオフにすることで閲覧できなくなります。もっと手軽に送信したい、クラウドストレージ契約するにも時間がかかるというならば、以前の連載記事で紹介した「Firefox Send」を活用するのもいいでしょう。少なくとも、PPAPよりは細かいコントロールが可能になると思います。

【転載】「システムを隠す」ことでセキュリティを高めるのは本当に悪なのか？～”リスク＝機会×影響度”で、”機会”に視点を当てた対策を考える～

この記事面白い 「システムを隠す」ことでセキュリティを高めるのは本当に悪なのか？ - GIGAZINE gigazine.net/news/20200915-…: この記事面白い

「システムを隠す」ことでセキュリティを高めるのは本当に悪なのか？ - GIGAZINE

gigazine.net/news/20200915-…

----

「システムを隠す」ことでセキュリティを高めるのは本当に悪なのか？

システムやアルゴリズムの構造を秘匿することでセキュリティを高める「隠ぺいによるセキュリティ(Security by Obscurity)」は、現代では本質的な安全性を確保できていないとされています。しかし、セキュリティの専門家であるUtku Şen氏は「隠ぺいによるセキュリティは過小評価されている」と指摘しています。

Security by Obscurity is Underrated – Utku Sen - Blog – computer security, programming
https://utkusen.com/blog/security-by-obscurity-is-underrated.html

脆弱性のあるシステムを攻撃者から隠すことでセキュリティを高めようとする「隠ぺいによるセキュリティ」は、ひとたびシステムの構造が外部に漏れると攻撃を防ぐ手だてがないことから、現代では効果のないセキュリティ対策とされています。数多く存在するオープンソースのソフトウェアがセキュリティを担保できているのは、隠ぺいによるセキュリティに頼っていないからと考えられているわけです。

しかし、Şen氏は「隠ぺいによるセキュリティ」は必ずしも悪というわけではないと指摘しています。セキュリティに関するコミュニティ「OWASP」によると、サイバー攻撃のリスクは「リスク＝機会×影響度」の式で計算できるとのこと。攻撃がもたらす被害の大きさである「影響度」と、攻撃を受ける可能性を指す「機会」のうち、どちらか一方でも減らすことができればリスクを軽減することができます。式にある2つの要素のうち、機会を減らすためには、セキュリティ機構を層状に構築し、攻撃者が最初のセキュリティを通過しても、他のセキュリティに引っかかるようにする必要があります。

Şen氏は層状のセキュリティ機構のひとつとして、隠ぺいによるセキュリティは有用であると主張。例えば、サーバーへのSSH接続に「デフォルトの22番ポート経由で、『123456』のパスワードを設定しているrootユーザー」を利用している場合、サーバーが総当たり攻撃を受ける可能性は非常に高いですが、使用するポートを22番から64323番に変えて「隠ぺい」することで、攻撃を受ける機会を減らすことが可能であるとのこと。

実際にŞen氏がTwitterで「攻撃対象サーバーのポートが開いているかどうかポートスキャンで調べる際、すべてのポートをスキャンしますか」とアンケートを実施したところ、およそ半数の回答者は「デフォルトのポートしかスキャンしない」と回答しており、ポートを変更するだけで攻撃を受ける機会をおよそ半分に減らせることがわかります。

SSHの例の他にも、コードを難読化したり、ランダムな変数を利用したりしてソフトウェア構造を隠ぺいすることは攻撃に対して有効であるとのこと。また、大統領の移動にはダミーの車が何十台も用意される例のように、サイバーセキュリティのみならず現実の世界においても隠ぺいによるセキュリティは利用されているとŞen氏は指摘しています。

Şen氏は「隠ぺいによるセキュリティは、それだけでは不十分ですが、コスト無しでリスクを減らすことができるセキュリティ層として機能します」と語っています。

【転載】IIJ Technical NIGHT vol.9 | セキュリティアナリストのお仕事──分析、AI、ツール開発

【資料公開】IIJ Technical NIGHT vol.9 | IIJ Engineers Blog: 

この記事では、講演で使用する資料を公開します。

テーマは「セキュリティアナリストのお仕事──分析、AI、ツール開発」

IIJのSOC(Security Operation Center)での取り組みを紹介します。
サイバー攻撃に対応するため24時間ネットワークを監視するSOC。しかし、武器がなくては日々のセキュリティ・インシデントに立ち向かう事はできません。IIJでは、SOCのアナリストを支援する武器として、一般的に流通している情報やツールのほかに、社内のエンジニアが独自の方法で分析したり、ツールの開発を行っています。

今回はその中から、「インシデントを発見するためのインテリジェンス構築」と「インシデント分析のためのツール開発」における3つの取り組みを、実際にSOCで働いている中の人が紹介します。

講演資料

Session1：あ！ やせいのEmotetがあらわれた！ ～ IIJ C-SOCサービスの分析ルールについて～

講演者：セキュリティ本部 セキュリティビジネス推進部 セキュリティオペレーションセンター 古川 智也

あ！ やせいのEmotetがあらわれた！ ～ IIJ C-SOCサービスの分析ルールについて～ from IIJ

Session2：セキュリティとAIと私

講演者：セキュリティ本部 セキュリティビジネス推進部 セキュリティオペレーションセンター 守田 瞬

こちらからダウンロードしてください

講演者：セキュリティ本部 セキュリティビジネス推進部 セキュリティオペレーションセンター 熊坂 駿吾

インシデント調査システムが内製すぎる件～CHAGEのご紹介～ from IIJ

バックアップ

【転載】Docker版OWASP ZAPを使用してWebアプリの簡易的な脆弱性診断をしてみた

Docker版OWASP ZAPを使用してWebアプリの簡易的な脆弱性診断をしてみた | Developers.IO:

こんにちは、CX事業本部の若槻です。

最近Webアプリケーション向けのセキュリティ診断ツールについて調べてみたところ、OWASP ZAPというオープンソースツールが定番としてよく使われているそうです。

• 
  https://owasp.org/www-project-zap 

今回は、Docker版OWASP ZAPを使用してWebアプリのログインページの簡易的な脆弱性診断を行ってみました。

なぜDocker版を使ったのか

OWASP ZAPにはWindows、Mac、Linuxで使えるインストーラー版およびパッケージ版と、Docker版があります。

当初はMac向けインストーラー版を使おうとしましたが、Macのセキュリティによりインストールできなかったため断念しました。


よってインストールを要しないDocker版を使うこととしました。

やってみた

今回は次のようなAmplify（CloudFront） + Reactにより実装したログインページを診断対象としました。


コマンドでDockerイメージowasp/zap2docker-stableをプルします。

% docker pull owasp/zap2docker-stable
Using default tag: latest
latest: Pulling from owasp/zap2docker-stable
423ae2b273f4: Pull complete 
de83a2304fa1: Pull complete 
f9a83bce3af0: Pull complete 
b6b53be908de: Pull complete 
dfa4c0ed9f01: Pull complete 
0d0271dc7f26: Pull complete 
ba10134fb40f: Pull complete 
a5566afd045d: Pull complete 
7b60e2849bd0: Pull complete 
daf051f52216: Pull complete 
3600cd933995: Pull complete 
a1d63c5e9c9f: Pull complete 
86279da9d5e1: Pull complete 
61d20517a689: Pull complete 
b645cc4494b6: Pull complete 
87a41273fa00: Pull complete 
dcd8983ba399: Pull complete 
424fa8727c16: Pull complete 
Digest: sha256:3563ecc53448ad224262ccea185cff8360c999c52d9c4b78630d9344dc1c3fd6
Status: Downloaded newer image for owasp/zap2docker-stable:latest
docker.io/owasp/zap2docker-stable:latest

Docker版ZAPのスキャンタイプにはいくつかの種類がありますが、今回は攻撃および負荷のあるアクセスを伴わない1分間の静的スキャンを実施するBaseline Scanを行いました。次のコマンドで実行が可能です。

docker run -t owasp/zap2docker-stable zap-baseline.py -t <対象ページのURL>

ログインページhttps://example.com/loginに対してBaseline Scanを実行してみます。

% docker run -t owasp/zap2docker-stable zap-baseline.py -t https://example.com/login
2020-09-10 09:03:38,813 Params: ['zap-x.sh', '-daemon', '-port', '38996', '-host', '0.0.0.0', '-config', 'api.disablekey=true', '-config', 'api.addrs.addr.name=.*', '-config', 'api.addrs.addr.regex=true', '-config', 'spider.maxDuration=1', '-addonupdate', '-addoninstall', 'pscanrulesBeta']
_XSERVTransmkdir: ERROR: euid != 0,directory /tmp/.X11-unix will not be created.
Sep 10, 2020 9:03:40 AM java.util.prefs.FileSystemPreferences$1 run
INFO: Created user preferences directory.
Total of 13 URLs
PASS: Cookie No HttpOnly Flag [10010]
PASS: Cookie Without Secure Flag [10011]
PASS: Cross-Domain JavaScript Source File Inclusion [10017]
PASS: Content-Type Header Missing [10019]
PASS: X-Frame-Options Header Scanner [10020]
PASS: X-Content-Type-Options Header Missing [10021]
PASS: Information Disclosure - Debug Error Messages [10023]
PASS: Information Disclosure - Sensitive Information in URL [10024]
PASS: Information Disclosure - Sensitive Information in HTTP Referrer Header [10025]
PASS: HTTP Parameter Override [10026]
PASS: Information Disclosure - Suspicious Comments [10027]
PASS: Open Redirect [10028]
PASS: Cookie Poisoning [10029]
PASS: User Controllable Charset [10030]
PASS: User Controllable HTML Element Attribute (Potential XSS) [10031]
PASS: Viewstate Scanner [10032]
PASS: Directory Browsing [10033]
PASS: Heartbleed OpenSSL Vulnerability (Indicative) [10034]
PASS: Strict-Transport-Security Header Scanner [10035]
PASS: HTTP Server Response Header Scanner [10036]
PASS: Server Leaks Information via "X-Powered-By" HTTP Response Header Field(s) [10037]
PASS: X-Backend-Server Header Information Leak [10039]
PASS: Secure Pages Include Mixed Content [10040]
PASS: HTTP to HTTPS Insecure Transition in Form Post [10041]
PASS: HTTPS to HTTP Insecure Transition in Form Post [10042]
PASS: User Controllable JavaScript Event (XSS) [10043]
PASS: Big Redirect Detected (Potential Sensitive Information Leak) [10044]
PASS: Retrieved from Cache [10050]
PASS: X-ChromeLogger-Data (XCOLD) Header Information Leak [10052]
PASS: Cookie Without SameSite Attribute [10054]
PASS: CSP Scanner [10055]
PASS: X-Debug-Token Information Leak [10056]
PASS: Username Hash Found [10057]
PASS: X-AspNet-Version Response Header Scanner [10061]
PASS: PII Disclosure [10062]
PASS: Timestamp Disclosure [10096]
PASS: Hash Disclosure [10097]
PASS: Cross-Domain Misconfiguration [10098]
PASS: Weak Authentication Method [10105]
PASS: Reverse Tabnabbing [10108]
PASS: Modern Web Application [10109]
PASS: Absence of Anti-CSRF Tokens [10202]
PASS: Private IP Disclosure [2]
PASS: Session ID in URL Rewrite [3]
PASS: Script Passive Scan Rules [50001]
PASS: Insecure JSF ViewState [90001]
PASS: Charset Mismatch [90011]
PASS: Application Error Disclosure [90022]
PASS: Loosely Scoped Cookie [90033]
WARN-NEW: Incomplete or No Cache-control and Pragma HTTP Header Set [10015] x 6 
 https://example.com/login/ (200 OK)
 https://example.com/login/robots.txt (200 OK)
 https://example.com/login/sitemap.xml (200 OK)
 https://example.com/login/manifest.json (200 OK)
 https://example.com/login/static/css/2.73fa334c.chunk.css (200 OK)
WARN-NEW: Content Security Policy (CSP) Header Not Set [10038] x 2 
 https://example.com/login/ (200 OK)
 https://example.com/login/sitemap.xml (200 OK)
FAIL-NEW: 0 FAIL-INPROG: 0 WARN-NEW: 2 WARN-INPROG: 0 INFO: 0 IGNORE: 0 PASS: 49

診断結果として2つのwarningが検出されました。アラートについての詳細な説明は次のページに記載されています。

今回はレスポンスにCache-ControlやContent-Security-Policyなどのセキュリティヘッダーを含めていなかったため、脆弱性のリスクがあると判定されたようです。

今回のような構成でセキュリティヘッダーを追加する場合は次の記事を参考にLambda@Edgeを実装すると良いとのことなので試してみたいと思います。

• [CloudFront] Lambda@EdgeでHTTPセキュリティヘッダーを追加する方法 | Developers.IO

おわりに

Docker版OWASP ZAPを使用してWebアプリのログインページの簡易的な脆弱性診断を行ってみました。

脆弱性診断というとセキュリティ企業に依頼して有料で行うイメージがありましたが、今回のようなオープンソースツールで簡単に実施できて、しかもちゃんと脆弱性を発見できることを知れたのは良かったです。

なお、AWSに対する脆弱性診断はポリシーに適合している場合を除いて許可されていないため、実施する場合は次のページを要確認の上ご自身の責任で行ってください。

【転載】サイバー攻撃で使われるツール：1位：Powershell、2位：PsExec、3位：SoftPerfect Network Scanner、4位：ProcDump、5位：ProcessHacker、、、

約30%のサイバーインシデントで正規ツールの悪用が判明　～サイバー攻撃のインシデント対応結果から ～:



出典: https://news.allabout.co.jp/articles/p/000000207.000011471/



【ニュース】

◆約30%のサイバーインシデントで正規ツールの悪用が判明　～サイバー攻撃のインシデント対応結果から ～ (All About News, 2020/09/11)

https://news.allabout.co.jp/articles/p/000000207.000011471/

【転載】BitTorrentでダウンロードされたものはI know what you downloadでチェックできる！？

某所でネットに接続した時に自分のIP見てみたらTorrentでエロ同人誌ダウンロードしまくりだったので悲しい気持ちになった: 某所でネットに接続した時に自分のIP見てみたらTorrentでエロ同人誌ダウンロードしまくりだったので悲しい気持ちになった

I know what you downloadでチェックできる
iknowwhatyoudownload.com

【転載】アメリカ政府は「Emotet」対策でパスワード付きzip添付ファイルのブロックを推奨

「Emotet」対策でパスワード付きzip添付ファイルのブロックを推奨 - 米政府:

2月より一時活動の収束が見られたものの、7月より活動を再開したマルウェア「Emotet」。国内外で被害が拡大しており、米政府機関や米MS-ISACが注意を呼びかけている。

「Emotet」の通信で用いられたユーザーエージェント

「Emotet」は、感染端末より受信メールなどの情報を窃取。返信に見せかけた偽メールによって受信者を信頼させ、添付ファイルを開かせることで感染を広げている。国内セキュリティ機関も繰り返し注意喚起を行ってきた。

こうした「Emotet」の活動は、国内にとどまるものではなく、海外でも7月から同様の被害が広がっており、米国をはじめ、カナダ、フランス、イタリア、オランダ、ニュージーランドなどで被害が確認されている。

米国土安全保障省のサイバーセキュリティインフラストラクチャセキュリティ庁（CISA）によれば、7月以降、米連邦政府、行政機関などを保護する同庁の侵入検知システムにおいて、「Emotet」に関する感染活動として約1万6000件のアラートを検出したという。

同庁はこれら攻撃における傾向を分析。感染活動には、Wordドキュメントである「.doc」ファイルを添付したメールを利用するほか、コマンド＆コントロールサーバと「80番ポート」「8080番ポート」「443番ポート」で通信。特徴的なユーザーエージェントや、意味を持たないランダムな長さのアルファベットによるディレクトリで構成されたURIが含まれていた。

【リンク】

https://us-cert.cisa.gov/ncas/alerts/aa20-280a

【転載】AWS、新政府共通プラットフォームの運用開始を発表～日本の政府機関のクラウド化が推進か？～

AWS、新政府共通プラットフォームの運用開始を発表: 

　アマゾン ウェブ サービス ジャパン（AWS）は10月8日、総務省による第二期政府共通プラットフォームの運用が開始されたと発表した。

　今回の政府共通プラットフォームは、政府が掲げる「クラウド・バイ・デフォルト」の原則に基づき、一部を除く府省庁の共通システムと、個別運用する中小規模システムを稼働させるITインフラをクラウド（IaaS）で共通化するもの。前総務大臣の高市早苗氏が2月に、AWSを前提に整備を進めていることを明らかにしていた。

　日本政府の採用について米AWS ワールドワイド公共部門および規制産業 バイスプレジデントのTeresa Carlson氏は、「日本の各府省が最新のクラウド技術を活用して高い安全性を確保しつつ、国民中心のサービス提供を加速していくことをご支援できると確信している」とコメントしている。

　同社は、「AWSの顧客は日本にある複数のリージョンを活用した情報システム設計を通じて高い可用性を確保し、耐障害性と事業継続性をさらに高めるとともに、日本全国のエンドユーザーにこれまで以上に低遅延で行政サービスを提供することが可能」と説明する。

　また、執行役員 パブリックセクター 統括本部長の宇佐見潮氏は、「第二期政府共通プラットフォームの支援を通じて、画期的な行政サービスの提供に向けた政府情報システムの刷新に貢献できることを光栄に思う。デジタルガバメント実現に向けた政府各府省のイニシアチブを支援していく」と表明した。

第二期政府共通プラットフォームまでの流れ（総務省資料より）