簡単にモザイク処理を無効化できる「Depix」でモザイクをかけた文字列を突き止めてみた(転載)


シリアルナンバーやパスワードが写った画像の公開時によく利用される「モザイク処理」は、文字を判読不能にするため安全に思えます。しかし、実はモザイク処理には元画像の文字列を突き止めることができる「落とし穴」が存在します。画像の文字列に施されたモザイクを簡単に外せるツール「Depix」は、その落とし穴からモザイク処理によるセキュリティを突破しています。

GitHub - beurtschipper/Depix: Recovers passwords from pixelized screenshots
https://github.com/beurtschipper/Depix

Recovering passwords from pixelized screenshots
https://www.linkedin.com/pulse/recovering-passwords-from-pixelized-screenshots-sipke-mellema

本当にモザイク処理を外すことができるのか、実際にDepixを使って確かめてみます。Depixの動作にはPythonが必要なので、まずはPythonをインストールします。Pythonのダウンロードページにアクセスして「Download Python 3.9.0」をクリック。


「ファイルを保存」をクリックし、インストーラーをダウンロードします。


ダウンロードしたインストーラーをダブルクリックして実行。


「Add python 3.9 to PATH」にチェックを入れて「Install Now」をクリックします。


インストールが完了したら「Close」でウィンドウを閉じます。これでPythonのインストールは完了しました。


続いてGitHubからDepixをダウンロードします。このページ上の「Code」をクリックして「Download ZIP」をクリック。


ダウンロードした圧縮ファイルを解凍ソフトで解凍。これでDepixを使える状態になりました。


今回Depixでモザイクを外す画像は以下。この画像からはどのような文字が書かれているのかまったくわかりません。


コマンドプロンプトを起動し、以下のようにコマンドを実行します。

python Depixを解凍したフォルダのパス\depix.py -p モザイクを外したい画像.png -s Depixを解凍したフォルダのパス\images\searchimages\debruinseq_notepad_Windows10_closeAndSpaced.png -o out.png


実行して3分ほど待つと、以下のような画像が出力されました。「Hello from the other side」と書かれていることがわかります。


Depixを開発したSipke Mellema氏は、モザイクを外す仕組みについて以下のように解説しています。ブロックによる画像のモザイク処理は、まず画像をブロックごとに区切り、そのブロック内の色の平均値でブロックを塗りつぶすことで行われています。元の情報が失われているので、モザイク処理後の画像から元画像を直接復元することはできません。


Depixは以下のような「テキストのスクリーンショット」からモザイク後の画像を生成して、生成した画像をモザイク後の画像と照合しているとのこと。モザイク処理後の画像から元画像を復元しているわけではなく、生成した画像とモザイク後の画像が一致すれば、元画像の文字を突き止めることができるという仕組みです。この発想はモザイク画像から高品質の画像を生み出す技術にも応用されています。


Depixで利用されている考え方はパスワード解析などに使われる「レインボーテーブル」にも使われています。「実装者が破る方法を知らないセキュリティ構造は突破されないという思い込みは、セキュリティによくある落とし穴です」とMellema氏はコメントしています。

ちなみに、Depixでモザイクを外せる画像は非常に限られているようで、試しに以下のような画像にモザイクをかけて入力したところ、まったくモザイクを外すことができませんでした。

バックアップ

Labels: ,

start.meで最高のOSINTリソースの管理【専門家の意見】/ Are you looking for an expert opinion about OSINT research, and one of the best tools to help you out? This article will help. Plus, we'd love to hear your opinion! How to Manage your OSINT resources best with start.me [Expert opinion] - start.meblog.start.meIf you want manage the ever expanding collection of online OSINT resources, you need a reliable and powerful tool. These experts know just what you need.(転載)


Are you looking for an expert opinion about OSINT research, and one of the best tools to help you out? This article will help. Plus, we'd love to hear your opinion! How to Manage your OSINT resources best with start.me [Expert opinion] - start.meblog.start.meIf you want manage the ever expanding collection of online OSINT resources, you need a reliable and powerful tool. These experts know just what you need.:

OSINTのリソースは多種多様であり、常に流動的な状態にある。一日おきに新しいツールが登場する一方で、古いものは静かに引退していきます。だからこそ、多くの市民ジャーナリストや研究者、調査員が毎日start.meを使っているのです。これは、OSINTの仕事をより簡単にしてくれます。

OSINTコミュニティでよく知られているTechnisetteとLoránd Bodóに説明を求めた。

start.meはどのようにして発見したのですか?

Lorándです。Twitterで知りました。最初にstart.meのページを持っていたのが誰だったかは覚えていませんが、technisette.comのTechnisetteさんだったと思います。彼女のページを見たとき、私は「すごい!」と思いました。これはすごい!」と思いました。その時、start.meページはまさに私が探していたもので、OSINTのブックマークを簡単に管理できるソリューションでした。

OSINTのブックマークとリンクを簡単に管理できます。これはOSINTにとって非常に重要なことです。

ツールやテクニック、その他のリソースを素早く見つけることができるように、自分のページを作成し、自分の好きなようにデザインすることにしました。

テクニセット 私の同僚があなたを紹介してくれました。彼はその仕組みを教えてくれて、とても使いやすかったので、すぐにコレクションを作ってしまいました。

start.meは、OSINTリソースの管理にどのように役立ちますか?

2つのページがある 1つはOSINTツールのためのページで、もう1つは過激化とテロリズム関連の問題に特化したページです。

これらのリンク集の問題点の一つは、私にとって有用な方法で構成されていないことでした。そこで私は、各情報分野ごとに見出しを作成し、その下に関連するすべてのリソースをサブカテゴリと一緒に配置することにしました。例えば、私のOSINTダッシュボードでは、一番上に主要なインテリジェンス分野が表示されていますが、私が作成したFOSINT(金融オープンソース・インテリジェンス)などもあります。ここには、デューデリジェンス関連のリンクやその他の金融関連のものをリストアップしています。

調査官としては、例えばFacebookのために何かを探している時は、ソフトウェアの欄に行きます。そして、古き良きCtrl-Fを使って、それをチェックします。これは本当に便利です。

これほど簡単に様々なソースをまとめて整理できるものは他にはありませんでした。だからstart.meを使っています。

また、正直なところ、自分のサイト(lorandbodo.com)で公開することも考えていたので、サードパーティのプロバイダを使う必要はありません。でも、単純にコーディングをする時間がないんですよね。

テクニセット。お気に入りのソースが1つのページにまとめられているのは、とても便利です。コンピュータを乗り換えたときに、ブックマークをドラッグする必要がないので、start.me-ページを開くだけで済みます。

お気に入りのウィジェットや機能は?

特に何かを持っていないこと。主に、すべてのものを分類するための別のボックスを持つオプションがあること。

Loránd。私はリンク切れチェッカーが欲しかったので、PROアカウントを持っています。これを使えば、どのリンクが壊れていて削除すべきかを自動的に確認することができます。ソースは頻繁に来ては消えていくので、自動的にすべてのリンクをスキャンしてくれる機能が欲しかったのです。どのリンクも機能しないブックマークページは嫌です。それがPROアカウントを取得することを決めた主な理由の一つです。

また、私はRSSフィードを作成したいと思っていましたが、これは私が特定のトピックやニュースを監視するために驚くほど便利で超便利だと思います。あなたはstart.meで簡単にそれを行うことができます

他にstart.meで開発されたものを見てみたいと思いますか?

私がページの更新をやめた理由は、各ブックマークに添付されているコメントで検索できなかったからです。それがうまくいくと助かります。

Quick start.meの反応。ブックマークの説明文でも検索できるようになりました。このサポート記事を読んでみてください。

大きく気になることの一つにプライバシーがあります。これについては2つの角度から考えています。ダッシュボードを作成するユーザーの視点から:start.meを使用する際に、どのような情報を提供したり、漏洩したりするのか?そして、エンドユーザーの視点からは、私がそのようなダッシュボードにアクセスするときに、start.meはどのような情報を収集するのか?このようなサービスには明確さが必要であり、非常に重要です。

start.meの迅速な対応。私たちは、物事を明確にするために、プライバシーポリシーに平易な英語での紹介を追加しました。

テロと過激化 start.meページに目次を作成しました。 もしこのようなカテゴリをもっと簡単に作成できる機能があれば、それを望む人もいると思います。つまり、ページを作成するだけでなく、ワンクリックでサブカテゴリを作成して、ユーザーが相互にリンクした素晴らしいダッシュボードをコンパイルできるようにすることができます。あなたはアイデアを得る。異なるページに自動的にリンクする方法。

さらにアイデアは?

Technisetteとのメールによるインタビューは、2020年10月9日に行われました。Loránd Bodóとのスカイプインタビューは、2020年10月19日に行われました。その会話の中で、彼はstart.meを改善するためにさらに多くのアイデアに言及した。

  • start.meとそれがOSINT研究にどのように活用できるかを紹介する一連のウェビナー。
  • リストを監視できるように改良されたTwitterウィジェット。現在は、単一のユーザーのみをフォローすることができます。
  • 学者向けに、その分野の最新記事をモニターするための新しいウィジェットを追加しました。
  • ある国で利用されているトップサイトに関するより多くの統計。(Quick start.me note: この情報はDiscoverセクションですでに利用可能ですが、より便利になるように拡張することができます)

Labels: ,

福岡県で武漢ウイルス陽性者リストが流出、アクセス権設定でミス(転載)~想定損害賠償額は6.2億円程度か~


新型コロナ陽性者リストが流出、アクセス権設定でミス - 福岡県

福岡県は、同県で確認された新型コロナウイルス感染症の陽性者に関する個人情報が外部に流出したことを明らかにした。

同県の新型コロナウイルス感染症対策本部が扱う新型コロナウイルス感染症陽性者の一覧表が流出したもの。氏名、居住地、年齢、性別、症状など約9500人分の情報が含まれる。一部報道機関の取材を受け、流出が発覚した。

同県対策本部では、医療関係者間において同データをクラウドサービスで共有。ファイルに対して同県対策本部からアクセス権を付与された場合か、特定のURLよりアクセスができる運用を行っていたという。

同県対策本部では、11月30日に医療関係者1人へ患者情報を含むファイルが入ったフォルダのアクセス権を付与したメールを送信したところ、類似したメールアドレスを持つ別人へ誤って送信。

受信者の指摘で問題が発覚し、誤送信先となった受信者についてフォルダへのアクセスを制限したが、フォルダ内のファイルは、アクセス制限が行われておらず、URLより直接アクセスできる状態だった。

問題の判明を受けて、同県ではクラウド上にアップロードしているファイルを削除。各ファイルに対するアクセス状況を調べている。また対象者に対して事情の説明を行い、謝罪するという。
Labels: ,

NIST SP 1800-25:マルウェア等の破壊的な事象に対する資産の特定と保護に関するガイダンス / SP 1800-25Data Integrity: Identifying and Protecting Assets Against Ransomware and Other Destructive Events(転載)


SP 1800-25Data Integrity: Identifying and Protecting Assets Against Ransomware and Other Destructive Events:

NISTがSP 1800-25を公開していますね。

マルウェア等の破壊的な事象に対する資産の特定と保護に関するガイダンスですね。

● NIST - ITL

・2020.12.08 SP 1800-25 Data Integrity: Identifying and Protecting Assets Against Ransomware and Other Destructive Events

[PDF] SP 1800-25

・Related NIST Publications:

  • SP 1800-11 Data Integrity: Recovering from Ransomware and Other Destructive Events 
  • SP 1800-26 Data Integrity: Detecting and Responding to Ransomware and Other Destructive Events

Abstract

Ransomware, destructive malware, insider threats, and even honest user mistakes present ongoing threats to organizations. Organizations’ data, such as database records, system files, configurations, user files, applications, and customer data, are all potential targets of data corruption, modification, and destruction. Formulating a defense against these threats requires two things: a thorough knowledge of the assets within the enterprise, and the protection of these assets against the threat of data corruption and destruction. The NCCoE, in collaboration with members of the business community and vendors of cybersecurity solutions, has built an example solution to address these data integrity challenges.

Multiple systems need to work together to identify and protect an organization’s assets against the threat of corruption, modification, and destruction. This project explores methods to effectively identify assets (devices, data, and applications) that may become targets of data integrity attacks, as well as the vulnerabilities in the organization’s system that facilitate these attacks. It also explores methods to protect these assets against data integrity attacks using backups, secure storage, integrity checking mechanisms, audit logs, vulnerability management, maintenance, and other potential solutions.

全文表示 / Read more »
Labels: , ,

NIST SP 1800-26:マルウェア等の破壊的な事象に対する検知と対応に関するガイダンス / SP 1800-26Data Integrity: Detecting and Responding to Ransomware and Other Destructive Events(転載)



SP 1800-26Data Integrity: Detecting and Responding to Ransomware and Other Destructive Events:

NISTがSP 1800-26を公開していますね。

マルウェア等の破壊的な事象に対する検知と対応に関するガイダンスですね。

● NIST - ITL

[PDF] SP 1800-26

Related NIST Publications:
SP 1800-11 Data Integrity: Recovering from Ransomware and Other Destructive Events 
SP 1800-25 Data Integrity: Identifying and Protecting Assets Against Ransomware and Other Destructive Events

Abstract

Ransomware, destructive malware, insider threats, and even honest mistakes present an ongoing threat to organizations that manage data in various forms. Database records and structure, system files, configurations, user files, application code, and customer data are all potential targets of data corruption and destruction.

A timely, accurate, and thorough detection and response to a loss of data integrity can save an organization time, money, and headaches. While human knowledge and expertise is an essential component of these tasks, the right tools and preparation are essential to minimizing downtime and losses due to data integrity events. The NCCoE, in collaboration with members of the business community and vendors of cybersecurity solutions, has built an example solution to address these data integrity challenges. This project details methods and potential tool sets that can detect, mitigate, and contain data integrity events in the components of an enterprise network. It also identifies tools and strategies to aid in a security team’s response to such an event.

全文表示 / Read more »
Labels: , ,

IBMの「TERMINAL」でサイバー攻撃を疑似体験してみよう(転載)



リモートワークの息抜きに。IBMの「TERMINAL」でサイバー攻撃を疑似体験してみよう | ギズモード・ジャパン:


舞台はとある国際空港。些細なWi-Fiルーターのトラブルから始まった障害は次第に重大なシステムエラーを引き起こし、ついには人命にも関わる事態へ…。

日本IBMは先日、サイバー攻撃疑似体験ゲームTERMINAL(日本語字幕版)」を公開しました。同社のWebメディアMugendai(無限大)にて、その詳細が紹介されています。

簡単操作で誰でもプレイ可。もはやヒトゴトではない、サイバー攻撃を体験

ITアナリスト、チームマネージャー、そして空港責任者の全3部からなるTERMINAL。選択肢をクリックしていくだけで難しい操作などはなく、所要時間も20~30分程度と誰でも気軽にプレイできます。

リモートワークの息抜きに。IBMの「TERMINAL」でサイバー攻撃を疑似体験してみよう

チームを編成してトラブルに対応、犯人からの理不尽な要求と究極の選択…。

リアルなサイバー攻撃を学べてゲームとしても楽しめる上、ゲーム内のチャットボットに同社が誇るAIのWatsonが採用されるなど、随所にさすが感が光る秀作となっています。

特別なハードも不要で、PCから気軽に遊べるTERMINAL。リモートワークの息抜きがてら挑戦できそうな詳細は、Mugendai(無限大)よりご覧ください。

Labels: , ,

代理でサイトにアクセスしてくれるサイト【urlscan.io】


「このサイトにアクセスして大丈夫だろうか」って思うことありませんか?

そんな時、代理でアクセスしてスクリーンショットをとってきてくれるサイトがあります。

それが、

urlscan.io

ドイツの会社が運営している web スキャナである。

ちなみに、昔はurlqueryというサイトを活用していたのだが、いつの間にか閉鎖されてしまった。

urlscan.ioの優れた点は下記の通り。
  • 検索窓への入力とリンクのクリックだけで操作でき、複雑なコマンドなどがいらない
  • URL を指定して特定の web サイトをスキャンするほか、ドメイン、IP アドレスなどについても調べられる
  • とにかく豊富な情報量
  • リンクをクリックしていけば、簡単に詳しい調査ができる
  • 無料で使える、登録も不要で使える
  • 商用でも基本的に無料で使える
セキュリティ業界で仕事をしているプロのアナリストから、たまたま受信してしまった怪しいメールのリンク先を調べたい一般の方まで、様々な立場の人にとってその人なりの使い道がある。

【参考資料】
Labels:
Location: ドイツ 〒91710 グンツェンハウゼン

【本】いつも機嫌がいい人の小さな習慣(転載)~タイトルに数字の入っている本は基本読まないのだが、、、、~


いつも機嫌がいい人の小さな習慣:

こんにちは。最近、ご機嫌が上向かないはなくとです

今回は、ハーバード・ジュリアードを首席卒業した私の「いつも機嫌がいい人の小さな習慣」という書籍を紹介したいと思います。人生って自分がどのような感情をどれくらいの割合で過ごしてきたかで決まるんじゃないかと思ってます。死ぬ前に「よい人生であった。。」と笑顔で死にたいものです。

概要(気になったところだけ)

・幸せだから笑顔ではなく、笑顔だから幸せがやってくる

・挨拶は体ごと相手に向ける

身近な人ほどありがとうと言う

・いつもと違うことをしてみる

・ときどき空を見上げる

意識してゆっくり、丁寧に動く

・姿勢を正して深呼吸する

・朝起きたときにベッドを整える1日の最初に行う仕事。できたら気分いい

・譲れるときは譲る

・体を動かす

誰も見ていないところでいいことをする

・自分を褒める

・安いものより欲しいものを買う

・物より経験にお金を使う

・入ってくるお金/出ていくお金にありがとうとつぶやく

他人のためにお金を使う

・苦手な人にも自分から挨拶する

・相手からいいとこどりをする

・相手のいいところはすぐ口に出す

・相手が断りやすい状況にして頼みごとをする

・身近な人の欠点に慣れる

小さな親切をちょこちょこする

・正しいことを言うときほど控えめ

・「言葉の力」を味方につける

・どうにもならないことは「これでいいのだ!

・布団の中ではいいことだけを考える

・計画を立てすぎず「なりゆき」を楽しむ

根回しに手を抜かない

・人に頼ることを恐れない

・大事なことよりしたいことの予定を優先

・迷ったら「原点」に戻る

「やらなければいけないこと」を「やりたいこと」に変える

・「時間がない」と言わない

・損得より「気分がいいこと」を基準にする

・やりたいことはすぐにやる

誰かのために時間を使う

おしまい。

Labels: ,

マイクロソフトはWindows 10のAndroidサブシステムに取り組んでいる / Microsoft is working on an Android subsystem for Windows 10(転載)


Microsoft is working on an Android subsystem for Windows 10:

マイクロソフトは、AndroidアプリケーションをWindows 10上で実行できるようにする、Linux用のWindowsサブシステムに似たサブシステムを作成していると報じられています。

約70%のモバイル市場シェアを持ち、iOSとは異なり、オープンアプリのエコシステムであることから、Androidのサポートを直接Windows 10に持ち込まないのは間違いだろう。

Microsoftはこのことに気付いており、すでにYour PhoneアプリとサポートされているAndroidデバイスを使って、Windows 10でAndroidアプリを起動するための限定的なサポートを開始しています。しかし、Your Phone経由でのAndroidアプリの起動は、Windows 10でアプリを実行するのではなく、携帯電話からのストリーミングによって行われます。


Windows CentralのZac Bowden氏によると、MicrosoftはWindows 10用の新しいサブシステムに取り組んでおり、AndroidアプリをMicrosoftストア経由で配布し、仮想化された環境で実行できるようになるという。

"Microsoftは、アプリ開発者がAndroidアプリをMSIXとしてパッケージ化し、開発者がMicrosoftストアに提出できるようにすることで、コードをほとんど変更せずにWindows 10に持ち込めるようにするソフトウェアソリューションに取り組んでいます。"とWindows Centralが報じています。

この新しい取り組みは「Project Latte」と呼ばれ、Windows Subsystem for Linux(WSL)と同様に、Windows 10内で直接実行される仮想化されたAndroid環境を構築するという。

最大の障害となるのは、Androidアプリに求められるグラフィカル・ユーザー・インターフェースだが、『WSL 2』のリリースに伴い、マイクロソフト社は『WSL-G』、つまり『WSL - Graphics Architecture』と呼ばれるプロジェクトに取り組み始めている。このプロジェクトでは、内蔵のWaylandディスプレイサーバーを利用して、LinuxのGUIアプリをWindows 10のユーザーインターフェイスで直接実行できるようにしている。

MicrosoftのSteve Pronovost氏によるXDC 2020の講演では、Microsoftが作成している新機能「WSL-G」についてさらに詳しく説明している。

WSL-Gコンポーネントか何かを含むWSLをAndroid OSを動かすために移植すれば、Windows 10で仮想化されたAndroidアプリを動かすことができるようになる。

Bowden氏は、この新しいサブシステムがGoogle Playをサポートする可能性は低いと述べているが、それはGoogleがこのサービスを非ネイティブのAndroidやChromeOSデバイスにインストールすることを許可していないからだ。

しかし、Androidアプリのオープンアーキテクチャにより、開発者はAndroidアプリをパッケージ化し、Microsoft Storeを通じて配布することができるようになる。残念ながら、これは、悪意のあるAndroidアプリがGoogleにとって悪夢となっているため、Microsoftは提出されたパッケージのマルウェアのレビューにもチームを割かなければならないことを意味している。

Labels: ,

OPSECは大事!?(転載)


pw●社にドライブ経由で怪しいファイルを共有した後、すぐにロックかけたらp者の社内の知らない人からアクセスリクエスト来た。ほら、言わないこっちゃ。 #opsec 大事よ。バレバレだからね

 企業や組織に関して何らかのデータが公になった時に、敵がそれを他のデータと的確に組み合わせて巧妙に分析すると、秘匿しておくべき全体像が明らかになる場合がある。そうした事態を防ぐように自組織のデータを保護するプロセスがOPSEC(Operations Security:作戦保全)だ。


 OPSECという言葉を最初に編み出したのは、ベトナム戦争時の米軍だ。当時、米軍の戦略や戦術が敵に読まれていると見られたことから、Purple Dragonという作戦チームが調査した。北ベトナムやベトコンは米国の通信を解読できておらず、また内部でデータを収集できるスパイもいないと見られたことから、米軍自身の不注意で重要な情報が敵にばれているとの結論が導かれた。軍事分野でのOPSECの定義としてPurple Dragonが最初に定めたのは、「我々の優位性や弱点を敵軍に知られずにおく能力」だった。 もともと軍事分野が発祥の概念だが、コンピューター時代には、政府機関や民間企業にとっても極めて重要な考え方となった。OPSECを強化するための策を考えておくことは、あらゆる組織の最高セキュリティ責任者(CSO)にとって欠かせない。

 その後、OPSECの概念は、米軍から米政府機関へ、さらには民間部門へと徐々に広がり、細かな肉付けが施されていった。米国の核兵器を管轄する米エネルギー省では、OPSECについて、「非機密情報や、支配下にある重要情報が、短期的または長期的に秘匿が必要な機密情報を知る手がかりとなり得る場合に、そのような情報を特定するプロセス」を扱うものだと説明し、「OPSECの目的は、任務・作戦・活動についてのセンシティブな非機密情報を識別・統制・秘匿すること、および、その任務・作戦・活動を敵が侵害する能力を無効化または緩和することである」としている。

OPSECの失敗例

 ここまでの定義や説明は、どれも非常に抽象的だ。OPSECには具体的に何が含まれるのだろうか。それを理解するには、OPSECの顕著な失敗例をいくつか見てみるのが一番かもしれない。公になった情報をつなぎ合わせ、当事者が隠しておきたかったであろう全体像をあぶり出すことに成功した事例である。

 まずは、立場上もっと慎重であるべきだった人に関する顕著な事例を見てみよう。2017年3月、Gizmodoのライター、Ashley Feinberg氏は誰でも入手できるいくつかのデータだけを基に、当時の米連邦捜査局(FBI)長官のJames Comey氏がひそかに開設していたInstagramアカウントとTwitterアカウントを突き止めることに成功した。ソーシャルメディア上の証拠をたどって答えを導いた見事なお手本だ。

 Feinberg氏は、Comey氏の息子のBrienさんが米ケニオン大学のバスケットボール選手であることを知り、同大学の運動部のInstagramアカウントでBrienさんに関する動画を見つけた。その投稿に付いたコメントの1つは、Brienさん個人のInstagramアカウントにタグ付けされていた。そこでFeinberg氏は、匿名の使い捨てアカウントを使って、Brienさんのアカウントにフォローリクエストを送った。こうすると、その人に関連するアカウントをフォロー先の候補としてInstagramが提示してくれるからだ。

 この時提示されたアカウントの中に、「reinholdniebuhr」という鍵付きアカウントがあった。このアカウント名の基になっているReinhold Niebuhrというのは、James Comey氏が卒論のテーマにした神学者の名前だった。これがComey氏のアカウントだとFeinberg氏は確信した。

 また、Twitterアカウントに関しては、「niebuhr」に関連する名前を使っているアカウントは数えるほどしかなかった。そのうちの1つが、「@projectexile7」というアカウントだった。このアカウント名は、Comey氏が1990年代に立ち上げに携わった銃犯罪対策プログラムに由来するものと見られた。また、このアカウントをフォローしていたのは、Comey氏の友人で、安全保障関連ブログの開設者であるBenjamin Wittes氏1人だけだった。こうしてFeinberg氏はアカウントを突き止めた。その後、2017年10月になって、同氏の読みが正しかったことが確認された。

 この事例が見事に示しているとおり、セキュリティ意識が高いはずの人でも、本人が気づかないうちに、ソーシャルメディアにさまざまな手がかりを残していることがある。また、軍事的な意味でこれ以上に深刻な痕跡がFacebookなどのソーシャルメディアに残っている場合もある。

 例えばロシア政府は、ウクライナ東部の紛争に関して、親ロシア派の武装勢力はウクライナ国内の勢力であり、ロシア軍が関与しているわけではないと公式には説明している。だが、ロシア軍の兵士がソーシャルメディアにたびたび上げた投稿の中には、Instagramの写真にうっかり付いていた位置情報から、ウクライナ領内にいたことを明白に示しているものがあった。

 似た例としては、広く利用されているフィットネスアプリ「Strava」がある。フィットネストラッカーのデータを基に、世界各地でユーザーがジョギングなどのアクティビティを行った場所が細かく分かる機能をStravaがリリースしたところ、秘密の米軍基地の場所が明らかになってしまった。このアプリは米軍兵士にも愛用者が大勢いるからだ。

 企業レベルでOPSECに不備があった場合、国家安全保障上のリスクにはならないかもしれないが、当事者にとってはやはり大惨事となりかねない。OPSECに関して見られる過ちとして、米Digital Guardianのブログ記事の中で起業家のShy Bredewold氏が挙げているのは、慣れや不注意から企業の内部情報が漏れる事例だ。「熱心すぎる社員が投稿に加えたタグによって、公にしていないトレーニング施設の存在が明らかになる。あるいは、奥さんにした話が、うちの夫は来月の新機軸のプロダクトのリリースに向けて重圧を感じている、といった話として投稿される」

 また、ずさんな扱いのパスワードが攻撃で狙われる恐れもある。Webサイトのパスワードはたびたび流出事件が発生し、多数のユーザー名とパスワードの組み合わせが公となっている。ハッカーにとっては、こうしたIDの持ち主の勤務先を調べて、再利用しているパスワードを攻撃に使えないか探るのにうってつけだ。

OPSECのプロセス

 OPSECの手順については、米軍が定めた5段階のプロセスがあり、企業や組織がデータやインフラを精査して防御計画を定めるうえでも参考になる。米SecurityTrailsのブログに平易な解説があるが、ここでも簡単にまとめておこう。

1. クリティカルな情報の特定:敵の手に渡ったら組織に損害が及ぶことになるデータを特定する。顧客情報、財務情報、知的財産など、さまざまなデータが考えられる。

2. 脅威の特定:どのような敵に狙われるかを考える。サイバー犯罪集団からライバル企業まで、さまざまな可能性が考えられる。敵の種類によって標的のデータが異なる場合があることに留意する。

3. 脆弱性の分析:企業や組織のセキュリティ対策で核となるステップの1つだ。綿密なセキュリティ監査を実施して、インフラの弱点を明らかにする。

4. リスクの評価:脅威のレベルを特定する。すなわち、ステップ3で明らかになった脆弱性により、ステップ1で特定した重要なデータが、ステップ2で特定した敵にどのように漏れるのかを明確にする。公になった脆弱性を利用されたらどの程度の損害が生じ得るのかや、そうした攻撃を実際に受ける可能性がどの程度あるのかを割り出す必要がある。

5. 対応計画の策定:ここまでで探った情報に基づき、脆弱性を解消してデータを万全に防御するための計画を策定する。

OPSECの対策


変更管理プロセスを導入する OPSEC計画の中で講じられるセキュリティ対策にも、やや抽象的な面はあるが、HackerCombatの記事では、次のようなベストプラクティスを挙げている。

  • ネットワークデバイスへのアクセスを必要最小限のみに限定する
  • 社員に与えるアクセス権は極力減らし、最小権限の原則を徹底する
  • タスクを自動化して人間の弱点を排除する
  • インシデント対応と復旧の計画を定めておく

 SecurityTrailsの記事では、OPSECの計画で注目すべき部分について細かく挙げている。氏名、IPアドレス、言語、メールアドレスなど、個人を特定するセンシティブなデータに細心の注意が必要なのは当然だが、人的側面への対応も欠かせない。特に、社内の人間にOPSECの意識を習慣づける必要がある。データやデバイスの暗号化、データの転送に対するモニタリング、特定のデータへのアクセスの制限など、いくつかの習慣についてトレーニングが必要だ。

 また、本記事の前半で取り上げたような失敗の数々も意識しておく必要がある。ソーシャルメディアに関しては特にそうだ。第2次世界大戦時の米国では、「口は災いのもと」という意味合いのスローガンがOPSECの推進に使われた。現在の企業や組織にも同じことが言えるし、Facebookへの投稿にも同様の考え方が当てはまる。

OPSECプログラムの責任者

 社内でOPSECの責任者を誰が務めればよいかという疑問を持つ人もいるかもしれない。実のところ、その答えはまだ特に定まってはいない。多くの場合、社内で関心と技能が最も高い人物が、最も適任の候補者である。組織図のどこに位置しているかは関係ない。

 OPSECに携わる人を支援する非営利組織Operations Security Professional's Association(OSPA)のサイトでは、OPSECに関与している人々の事例が分かり、多くの人がたどるキャリアパスや職務の内容を知るうえで参考になる。OPSECに全精力を投じている人もいれば、さまざまな職務の1つとしてOPSECを担っている人もいる。自社でOPSECの考え方を取り入れるにはどのような形をとるのが最善か、各自で考える必要がある。

Labels: ,
登録: 投稿 (Atom)