【転載】NSAがセキュアな多要素認証を利用するためのガイドラインを公開

NSAがセキュアな多要素認証を利用するためのガイドラインを公開 Selecting Secure Multi-factor Authentication Solutions [PDF] media.defense.gov/2020/Sep/22/20…: NSAがセキュアな多要素認証を利用するためのガイドラインを公開

Selecting Secure Multi-factor Authentication Solutions

[PDF] media.defense.gov/2020/Sep/22/20…

バックアップ

【転載】東証の障害、富士通はケシカラン!～一国の証券取引所のシステムとしてはやはり運用管理のずさん感はぬぐえない～

東証の障害、富士通はケシカラン!

品質どうなってんだ。

全然関係ないですが、cf.takeover.on_panicというパラメータについてNetApp社のサイトを調べました。

すると、リリース日が違うけどタイトルが同じな2つのマニュアルを見つけました。

富士通や東証の人が信じていた挙動

https://megalodon.jp/2020-1021-2016-08/https://library.netapp.com:443/ecm/ecm_download_file/ECMP1210206

Data ONTAP(R) 8.2 High Availability and MetroCluster Configuration Guide For 7-Mode

Part number: 215-07985_A0

May 2013

Enable or disable automatic takeover on panic by entering the following command:
options cf.takeover.on_panic {on|off} on enables immediate takeover of a panicked node. This is the default value. off disables immediate takeover of a panicked node. If you disable this option, normal takeover
procedures apply: if a node panics and stays down without sending messages to its partner for 15
seconds, the partner then automatically takes over the failed node.

→ オフでも15秒後には切り替わるよ!

実際の挙動

https://megalodon.jp/2020-1021-2017-57/https://library.netapp.com:443/ecm/ecm_download_file/ECMP1368831

Data ONTAP(R) 8.2 High Availability and MetroCluster Configuration Guide For 7-Mode

October 2020 | 215-08524_B0

Enable or disable automatic takeover on panic by entering the following command:
options cf.takeover.on_panic {on|off} If the cf.takeover.on_panic option is set to on, a node panic will cause an automatic takeover. If the cf.takeover.on_panic option is set to off, a node panic will not cause an automatic takeover.
You should not turn this option off unless you are instructed by technical support to do so.

→ オフだと切り替わらないぞ! オフにするな!

【転載】資格を保有しているからと言ってプロフェッショナルな行動ができるとは限らない。CISSPしかり、情報処理安全確保支援士しかり。。。

CISSP持っているからといってプロフェッショナルな行動ができるかと言われるとそうでもないということがわかってきた: CISSP持っているからといってプロフェッショナルな行動ができるかと言われるとそうでもないということがわかってきた

【転載】意外と簡単？ フィッシングサイトの発見から通報まで

【やってみた】意外と簡単？　フィッシングサイトの発見から通報まで - 午前７時のしなもんぶろぐ:

今年に入ってからフィッシングサイトの件数・報告数がすごい勢いで増加傾向にあることは当ブログにおいて何度か触れてきましたが、最近私も自力でフィッシングサイトを発見し、関連機関に通報することを始めましたので、やり方をご紹介します。



フィッシング対策協議会　2020/08 フィッシング報告状況より

動機

• 何かセキュリティの分野で世の中の役に立つことしたいなーという漠然とした思い
• 後述のバイブルが公開され、読むうちに「これ自分でもできるんじゃない？」という気分に
• 職業柄フィッシングサイト (メール) の始末には苦労させられており、その恨み (八つ当たり？)

フィッシングサイトの見つけ方

フィッシングサイトの発見にはいろいろな方法があるようですが、特別な知識がなくとも可能な方法に次の２つがあります。

• 
  実際に届いたフィッシングメール (SMS などを含みます。以下同じ。) を調べる
• 
  新規に登録されたドメインを監視し、怪しいものを調べる

前者は簡単ですね。

攻撃者が実際に騙すことを狙って送り付けてきたものなので、それがフィッシングメールであることにさえ気づければ、記載されたリンク先はほぼ間違いなくフィッシングサイトです。

その一方で、メールが来なければ何も始まりません。

私は個人でフィッシングメールを効率よく集める環境を持っていませんので*1、今回はこちらの方式は使っていません。

後者の「新規登録ドメイン」を監視する方法は少し説明が必要かと思います。

なお、「ドメイン」についてはこちらの記事をご参照ください。

am7cinnamon.hatenablog.com

フィッシングサイトに使われるドメインには、次のような特徴があることが多いです。

• 次々に現れ、見つかり次第潰されているものなので、営業中のサイトには登録されてから数日以内の新しいドメインが多い。
• 
  偽装先サービスと同じか、似た文字列が含まれていることが多い。例えば、amazon、annazonn、amazone、amzn、cojpなど。
• 誘導先はたいてい偽ログイン画面なので、account、security、support、login、signin、verify などの文字列が含まれていることも多い。

つまり、数日以内に新しく登録されたドメインの中から、怪しい文字列を含むものを探し出して調べれば、効率よくフィッシングサイトを見つけることができます。

もちろんフィッシングサイトのドメインがわかりやすい文字列を含むとは限らないので、どんなフィッシングサイトでもこの手法で見つけることができるわけではありません。

また、この手法を採るとフィッシングサイトの存在はわかっても「どのように誘導するのか」はわかりません。

一方で、タイミングが合えば実際にメールなどが配信される前に関連機関などへの通報ができることもあり得るでしょう。一長一短ということです。

今回はこちらの「新規登録ドメインを手がかりにする」方法でフィッシングサイトを探します。

DN Pedia

新規登録ドメインを調べるには、DN Pedia というサービスを利用します。

dnpedia.com

英語のサービスですが、使い方はそんなに難しくありません。

Mode：フィッシングサイト探索目的なら ”Contains” (～を含む) でよいでしょう。

Search Word：検索したい文字列を入力します。

Where："Recently Added" (最近登録された)

Duration："Last 2 Days" (直近 2日間。これより古いドメインは撤収していたり有志によって発見済のことが多いです)

さあ、実際に探してみましょう。"Search Word" が肝で、センスの見せ所です。

最初は「amazon」「rakuten」「smbc」など有名でよく詐称されるサービスの名前をそのまま打ち込んでみるといいでしょう。これだけでも怪しいドメインがたくさん出てくるはずです。

微妙に変えてある場合も多いので、より短い部分で検索するのも手です。例えば「rakutcn.～」というドメインは一見して楽天詐称っぽいですが、「rakuten」で検索すると引っかかりません。「raku」で検索すると引っかかります。

さて、今回は「co-jp」で検索してみました。



「co-jp」で検索した様子



…………。

怪しいのがいっぱい出てきましたね……。

日本国内の企業を表すトップレベル／セカンドレベルドメイン「co.jp」と似ていて見間違えそうなドメインをわざわざ登録しているわけですから、どのドメインも真っ当ではなさそうです。

そのようなわけでいろいろ見てみたのですが、すでに有志によって発見・通報済だったり、サイトが存在しなかったり *2 するので、新しいフィッシングサイトとして確認できるもの自体はそれほど多くなかったりします。

今回は、下から 3番目のドメイン「account-co-jp-user[.]xyz」が生きていることを確認できました。

サイトを確認

さて、実際にアクセスしてみましょう。

大前提として、フィッシングサイトらしきサイトが現れても、絶対に本物の情報を入力しないでください。

本物の情報を渡したら、フィッシングに引っかかったのと何も変わりません。

 また、素性の良くないサイトなのは間違いないので、マルウェアなどが仕掛けられていることもないとはいえません。

専用の仮想マシン (マルウェアに感染しても復元が比較的容易) 内のブラウザからアクセスしたり、aguse Gateway のような代理アクセスサービスを用いた方が安全です。

gw.aguse.jp

 aguse のようなサイト調査に便利な Web サービスについては、後日まとめて記事にする予定です。

 以上の前提を踏まえて行ってみましょう。

実際に調査した 9/21 深夜時点では、特に警告など出ませんでした*3。未知のフィッシングサイトの可能性大です。



偽ログイン画面



はい。これがフィッシングサイトです。

ドメイン名だけでは何を詐称するサイトか判然としませんでしたが、Amazon.co.jp であることがわかりました。

ちなみに本物の Amazon.co.jp のログイン画面はこちらです。



本物ログイン画面



サイトの外観自体は極めてそっくり、というかフィッシング側が本物を丸パクリしているので似ていて当たり前なんですけどね。

見た目に騙されてはいけません。

•  ドメインが正規の「amazon.co.jp」ではない
  
• アドレスバーの鍵マークに赤線が入っていることからわかるように、HTTPS での接続ではない*4
  

ことから、完全に偽サイトであると断定してよいでしょう。

 これで無事「フィッシングサイトを発見した」ことになり、通報するにはこれで十分なのですが、せっかくですのでもうちょっと遊んでみましょう。

適当にイジる

※安全を考えるとこれ以降は実際にはやらない方が無難です

挙動を確かめるという名目のもとに、日ごろの恨みを込めてフィッシング犯のデータベースを汚染してやります。



メールアドレス、パスワード入力



たった 1桁のパスワードでログイン (？) できるまともな通販サイトがあるわけないので、これも偽サイトであることの証拠になりますね*5。



ログイン後の画面①



「更新するまでアカウントにアクセスできません」と脅して全部入力させようという魂胆のようです。

この辺で「こんなにいろいろ入力させるなんておかしくないか？」と気づけたら、直ちに Amazon のパスワード変更すれば助かるかもしれません。



ログイン後の画面②



ちょっと気の利いたフィッシングサイトでは、有効期限やカード番号の実在性を確認して異常値の場合は差し戻すこともあるのですが、今回のは特にそうした工夫はありませんでした。



ログイン後の画面③



なんとメールアカウントのパスワードまで聞いてきました。通販サイトがメールアカウントのパスワードを要求する理由がどこにあるというのでしょうか。

メールアカウントが乗っ取られるとアドレス帳を盗まれたりそこからスパムメール (フィッシングやマルウェア付きも含む) を送られたりして関係ない人にも大迷惑をかけかねません。

絶対に回避しなければなりません。

とりあえずパスワードは「1」で。



おめでとう



おめでとうだそうです。殴りたくなりますね。

この後間もなく本物の Amazon へリダイレクトされました。

メールアカウントのパスワードまで盗もうとする点はちょっと珍しいかなと思いますが、総合的にはよくあるフィッシングサイトであるといって差し支えないでしょう。

通報する

フィッシングサイトであるとの確信が持てましたので各所に通報しましょう。

通報先は各種あります。

 一番強力なのはプロバイダへのテイクダウン依頼で、成功すればサイトそのものを潰すことができるのですが、海外のことが多いですし難しそうなのでしなもんはやったことがありません。

上記のうち、Google と Microsoft は通報が非常に簡単なのでおすすめです。

Google に通報

Google Safe Browsing への報告はとりわけ簡単で、しかも悪性判定されるとChrome、Firefox、Safari といったメジャーブラウザでアクセスしようとした際に警告画面を出してくれるようになるので、被害防止のための実質的な効果も大きいです。

safebrowsing.google.com



Google Safe Browsing への通報



手順

1. 通報フォームへアクセス

2. フィッシングサイトの URL を入力

3. reCAPTCHA (信号機をクリック！みたいなやつです) を実施

4. もし何かあれば詳細情報を記入

5. 「報告を送信」

これだけです。行っけーー！



通報しますた


「ウェブ環境の安全性向上に貢献したご自分の功績を、しばしの間称えてあげましょう。」

 言い方は大仰ですが、確かに何かイイコトした感はありますね。

通報後、Google によって詐欺サイトであると判定されると、主要ブラウザで閲覧時に下のような警告画面が出るようになります (画像は Firefox での例)。

これだけでも相当防止効果はありそうです。



この先は詐欺サイトです

Microsoft に通報

Microsoft への通報もかなり簡単です。

Microsoft によって悪性判定されると、Windows Defender が警告を出してくれるようになるそうです。

Windows Defender のユーザの多さを考えるとかなり魅力的です。

www.microsoft.com



Microsoft への通報



手順

1. 通報フォームへアクセス

2. フィッシングサイトの URLを入力

3. "Phishing" を選択

4. フィッシングサイトで使われている言語 (今回は "Japanese") を選択

5. 画像に表示されている文字列を入力

6. "Submit"

これだけです。おりゃーー！



通報しますた

フィッシング対策協議会へ報告

フィッシング対策協議会はすでにしなもんぶろぐで何度も取り上げているように、フィッシングに関する情報収集や注意喚起を行っている団体です。

www.antiphishing.jp

フィッシング対策協議会に報告すると、(しなもんぶろぐでもたびたび引用している) 報告実績として計上されるほか、協議会が確認した時点でサイトが稼働中であれば、閉鎖のための調査を JPCERT/CC に依頼してくれたりするようです*6。

フィッシング対策協議会にはメールで報告します。



今回送付した報告メール


今回は新規登録ドメインから直接フィッシングサイトを見つけたわけですが、もしメールが手元にあればそれを転送するといいそうです。

一つ一つ確認されているようなので即座にとはいきませんが、数日以内に報告を受理した旨の連絡が来ます。

Phishtank に登録

Phishtank はコミュニティ型のフィッシングサイト情報集積サービスです。

参加者一人一人がフィッシングサイトを登録、または検証できます。

今回のサイトも報告しました。



登録しますた


記事執筆時点ではまだ誰も verify (フィッシングサイトであるかどうかの検証) していないようですね……

まあそういうこともあります。

SNS で注意喚起する

フィッシングメールを真に受けた方が被害を受けないように、また同じくフィッシング情報を追いかけているリサーチャの方々へ知らせるために注意喚起を実施します。

私の場合は Twitter で行っています。

#Phishing #Amazonフィッシングサイト営業中です。ご注意ください。

Google・MSには通報済、これからフィッシング対策協議会に報告します。

hxxp://account-co-jp-user[.]xyz-> 107.172.122[.]49

urlscanhttps://t.co/dm2WTAZsoH



Phishtankhttps://t.co/5MRdEGg21j pic.twitter.com/9Y4n7nq2M2
— しなもん (@am7cinnamon) 2020年9月21日

記載する内容はリサーチャによって差があり、特に私の書き方がベストというわけではありません。

後述のバイブルを参照していただくか、日常的に発信しているベテランフィッシングハンターの方々 (#Phishing などで調べると見つけやすいです) をお手本にするとよいのではと思います。

 注意点として、見た方が意図せずフィッシングサイトにアクセスしてしまうことがないように、URL や IP アドレスを無害化しておく (Defang (牙を抜く) といいます) 必要があります。

例えば、

• http -> hxxp
• ～.com -> ～[.]com
•  phish@example～ -> phish[at]example～

コンピュータが URL やアドレスだと解釈できない形であればよいので、厳密に上記のやり方でなくてもいいとは思います。

なお、元々何万人ものフォロワーがいるかよほど人目を惹く話題でもない限り、こうした個別の注意喚起に大量の RT やいいねがつくことはまれ*7なので、そういう期待はしない方が賢明だと思います。

バイブルの紹介

さて、これまでご紹介してきた探索・通報法には手引きがあります。

というか本記事よりずっと正確で充実しています。新しく始める方は本記事よりこちらを熟読された方がいいです。

実際これらの手引きがなければ、「フィッシングサイトは自分にも見つけられるものだ」という発想にならなかったでしょうし、実際にやってみようとも思わなかったでしょう。

敬意と感謝を込めて、バイブルとしてご紹介させていただきます。

qiita.com

ninoseki.github.io

実際にやってみて

ここまでご覧いただいた方ならお察しの通り、フィッシングサイトを 1つ 2つ見つけて通報するのは、大して難しいことではありません。

立場によらず誰でもできますし、特別な知識や技術もほとんど必要ありません。

しかし、とはいえそれなりに手間はかかりますし、やったからといってお金や名声が得られたり直ちに人から感謝されるようなことではありません。

そして、1件 2件見つけたからといって、特別な知識が得られるというわけでもありません (新しいことを体験したという意味での学びはありますが)。

一歩進んだ洞察を得るには時間をかけて継続的に watch していく必要があります。

それだけに継続的に調査・発信を行い、その過程で独自の知見を積み重ねてこられたフィッシングハンターの方々の凄さを実感しています。

一方で、目に見える対価は小さいかもしれませんが、もしかしたらネットの向こうの知らない誰かを救えるかもしれない活動です。

細々とですが続けていこうと思います。皆様もいかがですか？

英国の国家サイバーセキュリティセンター、東京五輪を混乱させるロシアの計画を明らかに / UK National Cyber Security Centre Reveals Russia’s Plan to Disrupt Tokyo Olympics【転載】

UK National Cyber Security Centre Reveals Russia’s Plan to Disrupt Tokyo Olympics

英国国立サイバーセキュリティセンターは先日、「世界最高峰のスポーツイベント」を完全に崩壊させるために、ロシア軍の諜報機関が、日本が主催する東京オリンピック・パラリンピックへのサイバー攻撃を考えていたことを明らかにしました。

ロシアのサイバー偵察作業は、大会主催者、物流サービス、スポンサーなどを対象としており、オリンピックが武漢ウイルス(Covid-19)の影響で延期される前に進行していた。

この証拠は、ロシアがこの夏の大会を妨害することまで計画していたことを示す初めてのものです。

共同通信社によると、日本政府高官が、サイバー攻撃がロシアによって行われたと断定された場合、東京はモスクワに抗議することを考えると明言したという。

日本政府の加藤勝信報道官は、延期された大会がいかなるサイバー攻撃からも解放されることを保証するために、日本は考えられるすべてのことを行うと述べた。

"民主主義の根幹を揺るがすような悪意のあるサイバー攻撃を看過することはできません」と述べ、日本政府はデータを収集しており、今後も各国に提供していくと述べました。

英国政府は、冬季と夏季の両オリンピックの混乱がGRUのユニット74455によって遠回しに行われたと、95％の確実性をもって報告したことを発表しました。

平昌でも、英国が示したように、GRUのサイバー部隊は、北朝鮮や中国のハッカーを装って、2018年冬季大会の開会式を中心に、観客がチケットを印刷できないようにサイトを破壊したり、競技場のWiFiをクラッシュさせたりした。

主要な標的にはさらに、放送局、スキー場、オリンピック関係者、サービス提供者、2018年に開催されるゲームのスポンサーなどが含まれており、攻撃の対象は単に韓国だけではなかったことになります。

ドミニク・ラーブ外務大臣は次のように述べています。"オリンピック・パラリンピックに対するGRUの行動は、冷笑的で無謀なものです。我々は最も強い言葉でそれらを非難する」と述べました。

その後、"英国は同盟国と協力して、将来の悪意あるサイバー攻撃を呼びかけ、対抗していく "と述べました。

英国のこれらの主張は、ロシアのサイバーセキュリティ上の脅威を最大限に露呈させることで混乱させ、来年の夏季大会の再延期を阻止しようとする試みの一環であると考えられます。

【転載】政府サイバー対策「侵入防止型」から「監視型」へ

 

piyokango @piyokango

3w

Via tike (Twitter)

記事を翻訳

tike retweeted:

政府サイバー対策「侵入防止型」から「監視型」へ sankei.com/economy/news/2… via @Sankei_news

　菅義偉（すがよしひで）内閣が掲げる行政のデジタル化に備え、サイバーセキュリティー対策を強化するため、政府が「ゼロトラスト」と呼ばれる新しいセキュリティー対策の導入を検討していることが２５日、分かった。「不正侵入はあり得る」との前提で対策を講じる新たな考え方で、侵入を防御する従来の対策からの転換となる。

　ゼロトラストは「信用しない」という言葉の通り、外部も内部もすべて疑ってかかるという「性悪説」に基づいた考え方。具体的には全ての利用者や使われている機器を正確に把握し、常に監視・確認する仕組みだ。米グーグルが今春にサービス提供を開始し、広く知られるようになった。

　現状の政府のセキュリティー対策は「境界型」と呼ばれ、城の守りのようなイメージで、ネットワーク上に強固な壁を作り、ウイルスや不正なユーザーが入り込むことを徹底的に防御している。

　ただ、境界型は壁を一度突破されるとリスクは甚大で、内部犯行にも十分に対応できないといった弱点がある。また在宅勤務などのテレワークの導入や他の企業との連携など、社内ネットワークを外部と接続することで壁に穴が生じるリスクもある。

　行政のデジタル化を進める政府としてもゼロトラストの導入を進めなければ、安全・安心なサイバー環境は維持できないと判断。来年早々にも、内閣官房の情報通信技術（ＩＴ）総合戦略室の事務局のシステムに一部導入して実証実験を開始。一連の取り組みは、来年創設を目指すデジタル庁に引き継がれる見通しだ。

　平井卓也デジタル改革担当相は２５日の閣議後記者会見で、来年の創設を目指すデジタル庁について「システム構築に責任を持つので、セキュリティーが最重要課題であることは間違いない」と述べ、安全対策へ意欲を示した。

【転載】ハッカーに優しい銀行とは

Twitterでハッカーに優しい銀行が話題に:

Twitterで一部の銀行がハッカーに優しい仕様だとして話題になっていたようだ。イオン銀行やローソン銀行では、ユーザーの誕生月別に支店名が振り分けられる仕様であることから、支店名から名義人の誕生月が特定可能となる（発端となったriron博士のツイート、INTERNET Watch、イオン銀行、ローソン）。

先日のリバースブルートフォース攻撃で狙われやすい暗証番号の話でもあったように、生年月日を暗証番号を例にしているユーザーはとても多く1～31日の日付、いや月によってはもっと少ない数字だけの調査で「当たり」暗証番号を引く可能性はとても高い。つまり攻撃者にとって、攻めやすいとても親切な銀行というなる。

なお誕生月別よりは安全だと思われるが、セブン銀行も支店名から口座開設月の特定が可能となっているとのこと（セブン銀行）。

【転載】東京電力エナジーパートナー株式会社が新しい支払い方法として「SMS選択払い」を導入～東電は流行りのSMS詐欺に加担するつもりなのか！？～

 Oh My God!!

https://t.co/FsnHmkdJrE

Quoted tweet from @autumn_good_35:

😨😨😨😨😨
『「SMS選択払い」は、利用者のスマートフォンのSMSに請求情報と利用者専用の決済画面のURLを通知し、そこからスマートフォン上での支払い手続き』

2020年10月19日
東京電力エナジーパートナー株式会社が推進する電気料金支払い等のデジタル化を支援 | GMOペイメントゲートウェイ株式会社