「攻撃グループLazarusが侵入したネットワーク内で使用するツール」(転載)

07-800wi.jpg


お知らせ:JPCERT/CC Eyes「攻撃グループLazarusが侵入したネットワーク内で使用するツール」:

攻撃者がネットワーク内に侵入した後、ネットワーク内の調査や感染拡大などにWindowsコマンドや正規のツールを使用することはよく知られています。攻撃グループLazarus(Hidden Cobraとも言われる)も同じく、ネットワークに侵入後、正規のツールを使用して、情報収集や感染拡大を試みます。
今回は、攻撃グループLazarusが使用するツールについて紹介します。

ネットワーク内部での横展開

まずは、ネットワーク内部での横展開(Lateral Movement)に使用されるツールです。AdFindはActive DirectoryからWindowsネットワーク内のクライアントやユーザーの情報を収集することが可能なツールで攻撃グループLazarusに限らず他の攻撃者でも使用されていることが確認されています[1]。SMBMapについては、以前のブログで紹介したとおり、マルウェアを別のホストに感染させるために使用しています。さらに、Responder-Windowsを使ってネットワーク内部の情報を収集していたことも確認されています。

ツール名内容参考
AdFindActive Directoryから情報を収集するコマンドラインツールhttp://www.joeware.net/freetools/tools/adfind/
SMBMapネットワーク内のアクセス可能なSMB共有を一覧したり、アクセスしたりするツールhttps://github.com/ShawnDEvans/smbmap
Responder-WindowsLLMNR、NBT-NS、WPADになりすまして、クライアントを誘導するツールhttps://github.com/lgandx/Responder-Windows

情報窃取

情報窃取に使用されるツールは以下の3つです。マルウェアに多くの情報窃取機能が搭載されているため、ツールが使用される場面は限られています。その中でもブラウザーやメーラーのアカウント情報を収集するためのツールが使用されています。また、情報を持ち出す際にファイルなどをRAR形式に圧縮するのが、よく見られる攻撃者のパターンですが、攻撃グループLazarusでも同じくWinRARを使用してファイルの圧縮を行っています。なお、以前のブログで記載したとおりマルウェア自体にzlib形式でファイル圧縮して送信する機能も持っているため、RAR形式以外で情報が送信されることもあります。

ツール名内容参考
XenArmor Email Password Recovery Proメールクライアントやサービスのパスワード情報を抽出するツールhttps://xenarmor.com/email-password-recovery-pro-software/
XenArmor Browser Password Recovery Proブラウザーに保存されたパスワード情報を抽出するツールhttps://xenarmor.com/browser-password-recovery-pro-software/
WinRARRAR圧縮ツールhttps://www.rarlab.com/

その他

最後にその他のツールです。攻撃者はRDPやTeamViewer、VNCなどを使用して感染したネットワーク内にバックドアを仕掛けることがよくあります。攻撃グループLazarusもVNCを使用する場合があることを確認しています。さらに、マイクロソフト純正ツールであるProcDumpを使用していたことも確認しています。ProcDump は、攻撃者がLSASSプロセスのダンプから、ユーザーの認証情報を抽出するために使用されることがあります。
その他に、tcpdumpやwgetなどLinuxではお馴染みのコマンドのWindows版ツールも使用されています。

ツール名内容参考
TightVNC ViewerVNCクライアントhttps://www.tightvnc.com/download.php
ProcDumpプロセスのメモリダンプを取得するマイクロソフト純正ツールhttps://docs.microsoft.com/en-us/sysinternals/downloads/procdump
tcpdumpパケットキャプチャツールhttps://www.tcpdump.org/
wgetダウンロードツール

おわりに

今回は、攻撃グループLazarusが使用するマルウェアではなくツールについて紹介しました。攻撃グループLazarusが使用するマルウェアは、これまで説明したとおり多機能ではありますが、足りないものは正規のツールを悪用していることが確認されています。このような正規のツールはウイルス対策ソフトで検知できないこともあるため、注意が必要です。
なお、今回解説したツールのハッシュ値に関しては、Appendix Aに記載していますので、ご覧ください。

参考情報

[1]Cybereason: Dropping Anchor: From a TrickBot Infection to the Discovery of the Anchor Malware
https://www.cybereason.com/blog/dropping-anchor-from-a-trickbot-infection-to-the-discovery-of-the-anchor-malware

Appendix A: ハッシュ値

注意: ここで記載するハッシュ値は正規のツールが多数含まれているため、インディケータとして使用する際は注意してください。

AdFind
  • CFD201EDE3EBC0DEB0031983B2BDA9FC54E24D244063ED323B0E421A535CFF92
  • B1102ED4BCA6DAE6F2F498ADE2F73F76AF527FA803F0E0B46E100D4CF5150682
  • CFD201EDE3EBC0DEB0031983B2BDA9FC54E24D244063ED323B0E421A535CFF92
SMBMap
  • 65DDF061178AD68E85A2426CAF9CB85DC9ACC2E00564B8BCB645C8B515200B67
  • da4ad44e8185e561354d29c153c0804c11798f26915274f678db0a51c42fe656
Responder-Windows
  • 7DCCC776C464A593036C597706016B2C8355D09F9539B28E13A3C4FFCDA13DE3
  • 47D121087C05568FE90A25EF921F9E35D40BC6BEC969E33E75337FC9B580F0E8
XenArmor Email Password Recovery Pro
  • 85703EFD4BA5B691D6B052402C2E5DEC95F4CEC5E8EA31351AF8523864FFC096
XenArmor Browser Password Recovery Pro
  • 4B7DE800CCAEDEE8A0EDD63D4273A20844B20A35969C32AD1AC645E7B0398220
Winrar
  • CF0121CD61990FD3F436BDA2B2AFF035A2621797D12FD02190EE0F9B2B52A75D
  • EA139458B4E88736A3D48E81569178FD5C11156990B6A90E2D35F41B1AD9BAC1
TightVNC Viewer
  • A7AD23EE318852F76884B1B1F332AD5A8B592D0F55310C8F2CE1A97AD7C9DB15
  • 30B234E74F9ABE72EEFDE585C39300C3FC745B7E6D0410B0B068C270C16C5C39
  • A7AD23EE318852F76884B1B1F332AD5A8B592D0F55310C8F2CE1A97AD7C9DB15
  • 30B234E74F9ABE72EEFDE585C39300C3FC745B7E6D0410B0B068C270C16C5C39
Tcpdump
  • 2CD844C7A4F3C51CB7216E9AD31D82569212F7EB3E077C9A448C1A0C28BE971B
  • 1E0480E0E81D5AF360518DFF65923B31EA21621F5DA0ED82A7D80F50798B6059
Procdump
  • 5D1660A53AAF824739D82F703ED580004980D377BDC2834F1041D512E4305D07
  • F4C8369E4DE1F12CC5A71EB5586B38FC78A9D8DB2B189B8C25EF17A572D4D6B7
Wget
  • C0E27B7F6698327FF63B03FCCC0E45EFF1DC69A571C1C3F6C934EF7273B1562F
  • CF02B7614FEA863672CCBED7701E5B5A8FAD8ED1D0FAA2F9EA03B9CC9BA2A3B




あバックアップ

セキュリティ予算獲得のためにすべき事 / How to Boost Executive Buy-In for Security Investments(転載)


 セキュリティ予算獲得のためにすべき事

How to Boost Executive Buy-In for Security Investments

セキュリティ予算と侵害対策の成果を結びつけることで、経営陣はリスクに対する支出のバランスを取り、CISOがより高い評価を受けるようになります。

ほとんどの最高情報セキュリティ責任者(CISO)とその経営陣や取締役会との間には微妙な関係があることは周知の事実です。CISOは、岩場(原因)と困難な場所(効果)の間に挟まれています。

CISO が主導する企業のセキュリティプログラムは、セキュリティ侵害から保護することを目的としている。経営者には、ビジネスを許容できない影響から守る義務がありますが、具体的なセキュリティ侵害の結果とそれに伴う影響の管理を具体的な予算に結びつけた、定量化可能でデータに基づいたセキュリティ戦略と行動計画が提示されることは、ほとんどありません(あったとしても)。

これにより、経営者は、投資家、保険会社、反対する法律顧問、規制当局、顧客など、企業のサイバーリスクにさらされている外部からの挑戦者にさらされることになります。しかし、外部からの挑戦者はこれらだけではない。内部的には、CISO は限られた資金で他の事業部門と機会とコストの戦いを繰り広げており、投資対効果がより明確な機能との戦いになっている。

サイバーリスクに対する期待値の設定


これらの課題をより適切に処理するために、セキュリティ計画では、与えられた予算あたりのサイバーリスクの結果のレベルを想定しておく必要があります。これにより、特定の予算に対する期待値を設定するだけでなく、ビジネスが予算を削減したり増やしたりした場合に、CISOはその結果として生じるサイバーリスクの暴露の変化を実証することができます。

セキュリティプログラムの目的は、セキュリティ侵害からの保護にある程度の信頼性を持つことである。経営者は、(国家のような)高度な脅威による侵害からビジネスを保護すべきだと考えているというよりも、むしろ、(膨大な数の)洗練されていない脅威が侵害して許容できない影響を与える可能性があるかどうかを知るための信頼できる情報を持っていないのである。セキュリティプログラムは、サイバーリスクにさらされるレベルを保証できるものでなければなりません。

リスク低減の経済学を正当化する


一般的に、オペレーションリーダー(マーケティング、セールス、ITなどのトップなど)は、企業全体の能力を開発する機会を正当化することが求められています。彼らは、リターンを示すことができれば良いのですが、強いリターンを示すことができれば素晴らしいのです。これらは、どんなビジネスリーダーも逃れることができない、あるいは逃れるべきではない基本的なビジネス経済学である。

CISO は、経営者のドクトリンとうまく調和しない戦略原則という点で、事実上、ビジネスから自己分離している。歴史的に見ても、セキュリティ戦略は、主に脆弱性チェイサー、脅威検出器、フレームワークフォロワー、さらに最近ではリスク計算機を介して推進されてきました。これらは、大部分が近視眼的であったり、抽象的すぎて経営者には結びつかないものでした。

安全保障経済学的アプローチ


CISOは(良い言葉ではないが)セキュリティ経済の時代に移行できるのか?ビジネスのすべてはスライダーに乗っている。コスト対報酬のスライダーである。通常、投資に対してより良いリターンを示せば、経営者の満足度は上昇する。肯定的な結果は、多くの場合、最初から期待値がどれだけ適切に設定されているかによって決まる。CISOが結果に対する期待値を設定していない場合、どのようにしてエグゼクティブに満足してもらうことができるのでしょうか?ほとんどのCISOは、予算の量でコントロールできる違反の影響結果よりも、自分たちが何をするか(または何をしたいか)に固執しすぎているのが現状です。

CISO が経営陣に期待を寄せているのであれば、これらの疑問に答えるセキュリティ経済的なアプローチをとる必要があります。

  1. 何に重点を置いて保護を行うのか - そして、これは正当化されているのか?
  2. どのようなレベルと種類の保護を、どのようなコストで提供できるのか?
  3. 保護レベルを開発するための現実的な計画があるか。
  4. 費用対効果を確保するために、開発と運営を管理し、追跡することができるか。
  5. 私たちの結果は、独立して検証することができるか?
このようにセキュリティをフレーム化することで、リスク選好度は、潜在的なリスクの結果に対して支出のバランスを取ろうとする意思に基づいて、最も有意義な方法で明確になる。このフレームワークでは、支出やセキュリティ態勢に関連する選択肢と同様に、リスクが前面に出てくる。セキュリティ支出に関する曖昧さはなくなり、ビジネスの専門家とリスク選好度に関する最終的な決定は、エグゼクティブスイートであるべきところで行われるようになります。

生活の中で多くのものを購入するときには、サイズと品質のオプションに直面しています。セキュリティプログラムも同様です。規模とは、管理下にある資産の数(保護)であり、品質とは、その保護のレベル(どのレベルの脅威の巧妙さが許容できない影響を引き起こす可能性があるか、どのレベルの脅威が許容できるか)です。

経営者のプランにサイズや品質の異なるスライダーを提供することで、選択肢を提供することができます。これらの選択肢は、様々なレベルの保護を受けるために、あるいは逆にサイバーリスクにさらされている場合に、どの程度の予算を割り当てるべきかを示すものである。彼らが資金を提供しないオプションは、CISOは責任を負いません。

このような計画を立て、それを実現するCISOは、他のビジネスリーダーと一線を画しており、そのレベルのリーダーと見なすことができます。CISOが十分な尊敬を得られていない、あるいは聞き入れてもらえていないと考えるならば、それはリスク/報酬に基づいた分析をCスイートの仲間たちに合わせて提示していないからかもしれません。

今こそ、CISO は、岩と岩の間から、現代のセキュリティ経済的な CISO になるために、自分自身を再配置する時である。これにより、CISOは役員会や取締役会のテーブルに座ることができるようになります。




(たぶん)日本初、Clubhouseで決算説明会 東証1部・GMOペパボが開催 「社長がきのう突然……」(転載)~個人的にこういう会社は嫌だ~


(たぶん)日本初、Clubhouseで決算説明会 東証1部・GMOペパボが開催 「社長がきのう突然……」

 音声SNS「Clubhouse」で2月3日夕、東証1部上場企業・GMOペパボの決算説明会が開かれる。Clubhouseで日本の上場企業が決算説明会を行うのは、おそらく日本初。佐藤健太郎社長が、リスナーからのさまざまな質問に答える。

 「社長がきのう突然、Clubhouseでやろうと言い出して……」と担当者は困惑しつつも、1日で準備を整えたという。

  GMOペパボは、2020年12月期(通期)の決算を3日午後3時半に発表。午後4時半からアナリスト・機関投資家向けの決算説明会(事前登録制で原則非公開)をWebで行い、音声のみClubhouseで配信する。

 午後5時半からは、Clubhouseに佐藤健太郎社長などが現れ、「決算振り返り会」という形でリスナーと交流する。番組のタイトルは「Clubhouse決算説明会を終えた渋谷の一部上場lT社長がだいたいなんでも答える部屋」だ。

 佐藤社長は2日朝突然「明日の決算説明会をClubhouseでもやろう」と言いだし、担当者は対応に追われたという。“Clubhouse決算説明会”の運営を検討する会議もClubhouseで行い、社外リスナーからの意見も採り入れながら内容を固めていった。

 Clubhouseは、米国発の音声SNS。現在はiOS専用で、ユーザーから招待されれば利用できる。1月末ごろから日本で急速に流行し、IT系の企業経営者や芸能人などの参加も増えている。


CISベンチマーク 2021年1月アップデート / CIS Benchmarks January 2021 Update(転載)

CIS_Benchmarks_Community


Blog | CIS Benchmarks January 2021 Update:

CISは、以下のCISベンチマークのリリースを発表します。これらのCIS Benchmarkのリリースは、チケット、コメント、コミュニティコールへの参加など、コミュニティへの貢献者の皆様の時間とサポートなしでは実現できませんでした。皆様の貢献は、私たちのコンセンサスプロセスにとって非常に貴重なものであり、ボランティア活動に感謝しています。

CIS Cisco NX-OS Benchmark v1.0.0

Cisco NX-OS を実行している Cisco デバイスの安全な設定を確立するための規定的なガイダンス。

この初期リリースに貢献してくれた Rob Vandenbrink に感謝します。

Download the CIS Cisco NX-OS Benchmark PDF

CIS SecureSuiteメンバーは、CIS WorkBenchにアクセスして、他のフォーマットや関連リソースをダウンロードすることができます。

CIS Apache Tomcat 9 Benchmark v1.0.0

Linux 上で動作する Apache Tomcat バージョン 9.0 のために安全な設定を確立するための指針です。このガイドは、Apache が提供する tar パッケージによってインストールされた Apache Tomcat 9.0 に対してテストされました。このリリースでの主な変更点:

  • 勧告「厳格なサーブレットのコンプライアンスを有効にする」は、その影響の可能性があるため、レベル 2 に移動されました。
  • TLS の使用に関するガイダンスが更新され、TLS バージョン 1.2 および/または 1.3 を推奨するようになりました。
  • マネージャーアプリケーションパスワードを暗号化するための新しい推奨事項が追加されました。
  • アーティファクトは、CIS-CATの将来のリリースに含まれる新しい自動化された評価コンテンツをサポートするために、多数の推奨事項に追加されました。

このリリースに貢献してくれたJoern Krueger氏、James Scott氏、Ardnor Zeqiri氏に特別な感謝の意を表します。

Download the CIS Apache Tomcat 9 Benchmark PDF

CIS SecureSuiteメンバーは、CIS WorkBenchにアクセスして、他のフォーマットや関連リソースをダウンロードすることができます。

CIS Apple macOS 10.12 Benchmark v1.2.0

Apple macOS 10.12のセキュアな構成姿勢を確立するための処方的なガイダンスです。このガイドはApple macOS 10.12に対してテストされています。このリリースでの主な変更点:

  • パスワードポリシーセクションの監査と是正処置を更新しました。
  • CIS コントロール v7.1 を追加しました。

このリリースに携わってくれたロン・コルビンとウィリアム・ハリソンに特別な感謝の意を表します。

Download the CIS Apple macOS 10.12 v1.2.0 Benchmark PDF

CIS Alibaba Cloud Foundation Benchmark v1.0.0

これは、Alibaba Cloud のための新しい CIS ベンチマークである。このベンチマークには、基礎的な設定、テスト可能な設定、アーキテクチャに依存しない設定に重点を置いた、Alibaba Cloud サービスのサブセットのセキュリティオプションを設定するための指針が記載されている。ここでは、その内容を簡単に紹介する。

  • アイデンティティとアクセス管理(IAM)の設定
  • ロギングとモニタリング構成
  • ネットワーク設定
  • 仮想マシンの設定
  • ストレージ構成
  • リレーショナルデータベースサービス(RDS)の設定
  • Kubernetesエンジンの設定
  • アリババクラウドセキュリティセンターの設定

コミュニティ、編集者、Alibaba Cloudチームに感謝します。

Download the CIS Alibaba Cloud Foundation Benchmark PDF

超高性能な機械翻訳システム”DeepL”の無料版で翻訳すると情報はアップロードされるか⇒YES(転載)


SttyK (してぃーきっず) retweeted: DeepLの無料版で入力された文は、アイスランドにあるDeepLのサーバー内に保存されるそうです。有料のPro版は保存されないとのことなので、機密情報の翻訳にはPro版を利用するべきだそうです。 Wikipediaにもそれらしき情報が書かれてるみたいだけど、DeepLの人がそう言ってたから確実な情報:
DeepLの無料版で入力された文は、アイスランドにあるDeepLのサーバー内に保存されるそうです。有料のPro版は保存されないとのことなので、機密情報の翻訳にはPro版を利用するべきだそうです。
Wikipediaにもそれらしき情報が書かれてるみたいだけど、DeepLの人がそう言ってたから確実な情報

ツイートをRSSで取得する方法(転載)【nitter】


 【2020年】Twitterアカウント不要!ツイートをRSSで取得する方法

Twitterのタイムラインって情報がどんどん流れていってしまいますよね。

隙間時間にチェックしても追いきれません。

でも見逃したくない情報もあります。

そこで、ツイートをRSSで取得できるサービスを利用してRSSリーダーであとから読めるようにする方法をご紹介します。

Nitter

オープンソースのNitter。

NitterはRSS化がメインではなく、高機能な検索機能で細かくツイートを絞り込めるのが特徴です。

細かく絞り込んだ条件でRSS化できるので必要な情報だけを効率よく取得することが可能です。

ユーザーを指定してツイートを取得

1Nitterのサイトを開きます。

Nitter
https://nitter.net/

ユーザー名で検索する

2[ Enter username… ] と表示された検索窓にTwitterのユーザー名を入力して [  ] をタップ。

3検索結果にユーザが出てくるのでユーザー名をタップ。

指定したユーザーのタイムラインが表示される

4本家Twitterと同じようなタイムラインが表示されます。

5RSS化したい状態に設定します。

表示されているタイムラインがRSS化されるので、必要に応じて設定しましょう。

メニュー内容
Tweets & Repliesツイートとリプライを表示
Media画像と動画の含まれたツイートのみ表示
Search絞り込みなど詳細な検索ができる

 Search

一番右の [ Search ] をタップすると検索窓が表示されます。

その右にある [  ] をタップすると詳細な検索メニューが出てきます。

Searchのメニュー内容
FilterFilterの中からチェックを入れたものだけを表示。
[ Retweet ] にチェックを入れると、指定したユーザーのリツイートのみが表示される。
ExcludeExcludeの中からチェックを入れたものは除外して表示。
[ Retweet ] にチェックを入れると、指定したユーザーのリツイートは表示されない。
Time range日付を指定して表示。
この条件を指定するとRSS化したときに新しいツイートが取得できないのでご注意を。
Near指定した場所から投稿されたツイートだけ表示。

条件を指定したあと [  ] をタップすると検索結果が表示されます。

RSSのURLをコピー

6RSS化したい内容がタイムラインに表示されていることを確認して、上部のRSSアイコンをタップ。

7ブラウザのアドレス欄にRSSフィードが表示されるのでコピーする。

8コピーしたRSSフィードをRSSリーダーに登録する。

指定したキーワードの含まれるツイートを取得

1Nitterのサイトを開きます。

Nitter
https://nitter.net/

キーワードで検索する

2[ Enter username… ] と表示された検索窓にキーワードを入力して [  ] をタップ。

検索コマンドも使えますので工夫してノイズが入らないようにすると情報収集が捗りますね。

コマンド内容
lang:ja日本語のツイートのみ
-〇〇○○が含まれないツイート

などなど、色々試してみてください。

3検索結果にキーワードが含まれるユーザが出てくるので [ Tweets ] をタップ。

キーワードが含まれるツイートが表示される

4キーワードが含まれるツイートが表示されます。

5RSS化したい状態に設定します。

表示されているツイートがRSS化されるので、必要に応じて設定しましょう。

 Search

一番右の [ Search ] をタップすると検索窓が表示されます。

その右にある [  ] をタップすると詳細な検索メニューが出てきます。

Searchのメニュー内容
FilterFilterの中からチェックを入れたものだけを表示。
[ Retweet ] にチェックを入れると、指定したキーワードのリツイートのみが表示される。
ExcludeExcludeの中からチェックを入れたものは除外して表示。
[ Retweet ] にチェックを入れると、指定したキーワードのリツイートは表示されない。
Time range日付を指定して表示。
この条件を指定するとRSS化したときに新しいツイートが取得できないのでご注意を。
Near指定した場所から投稿されたツイートだけ表示。

条件を指定したあと [  ] をタップすると検索結果が表示されます。

RSSのURLをコピー

6RSS化したい内容がタイムラインに表示されていることを確認して、上部のRSSアイコンをタップ。

7ブラウザのアドレス欄にRSSフィードが表示されるのでコピーする。

8コピーしたRSSフィードをRSSリーダーに登録する。


セキュリティ情報の集め方(転載)~RSS を配信していないサイトの対策(Feed43)~


セキュリティ情報の集め方 ~しなもんの場合~

ぜひウォッチしたいと思う有用な web サイトのすべてがRSSを配信しているわけではありません。

ブックマークしておいて定期的に見るというのも手ですが、できれば他のサイトと同様にRSSリーダーで管理したいものです。

そんな方には "Feed43" をお試しになることをお勧めします。必ずうまくいくわけではありませんが、これで綺麗にRSSを生成できる場合も多いです。

feed43.com

ちょっと長くなりますが便利な方法なのでこの場でご紹介します。

ここでは有用でありながらRSSを設定していないサイトの例としてセキュリティニュースサイト "Security Next" を例に説明します。

私が知る限りTwitterアカウントも持っておらず、追いかけるのに工夫が必要なニュースサイトです。

1. どのページのフィードを取るか決めます。記事一覧、新着情報一覧などが掲載されているページが適しています。

 今回は「ニュース関連記事の一覧」で生成することにします。

 新着記事のタイトルとその URL の取得を目指します。 

2. Feed43 にアクセスし、"Create your first RSS feed" ボタンをクリックします。 

f:id:am7cinnamon:20210115114150p:plain

"Create your first RSS feed" ボタンをクリック

3. "Address" に Security Next の URL、”Encoding” に "utf-8" (大文字でも可) と入力し、"Reload" ボタンを押します。

f:id:am7cinnamon:20210115120228p:plain

 なお Encoding は他のサイトでは異なるものが使われている可能性があります。そのページのソースを見て、meta 要素を確認するのが確実です。 

f:id:am7cinnamon:20210115120251p:plain

こんな感じで設定されています。細部はサイトにより異なります。 

4. 正しく指定できていれば "Page Source:" にそのページのソースコードが現れます。

 文字化けしている場合は Encoding を正しく設定できていません。

 

f:id:am7cinnamon:20210115120443p:plain

5. 取得したいのは新着記事のタイトルと URL です。

 これらを含む部分をソースコードから見つけ出します。

 "Page Source:" を見てもよいのですが、画面が小さくて探しにくいので、ブラウザの機能で元のページのソースを表示して探すといいです。

 最新記事のタイトルなどで検索すると簡単です。 

f:id:am7cinnamon:20210115120942p:plain

Security Next のニュース関連記事の一覧の場合、上の画像に示すのがその部分になります。

フォーマットは一緒で、「日付」「URL」「タイトル」だけが異なる繰り返しであることがわかります。 

6. ここが一番難しい部分です。

 5. で特定した繰り返し部分を 1つ取り出して、

 ・フォーマット以外の可変部分 (タイトルなど) を"{%}" で置き換える

 ・ソース中に改行がある場合は、その箇所に "{*}" を追加する

 の 2つのルールに従い編集して "Item (repeatable) Search Pattern:" に入力します。

 場合によっては当該部分がかなり長いこともあるので、別にテキストエディタなどを用意して編集はそちらで行うと楽です。 

f:id:am7cinnamon:20210115121854p:plain

今回は改行がなかったので、「日付」「URL」「タイトル」を {%} に置き換えただけで済みました。 

この状態で "Extract" ボタンを押します。 

7. 6. での設定がうまくいっていると "Clipped Data:" に "{%1} = ** {%2} = **...” という繰り返しが表示されます。

 6. で置き換えた {%} が順番に {%1}、{%2}、……になります。

 うまく抽出できていない場合は 6. に戻って試行錯誤することになります。ページの構造上どうやってもうまくいかないこともありますが…… 

f:id:am7cinnamon:20210115122137p:plain

うまく抽出できた

8. Feed Title などを適宜編集します。

 特にこだわりがなければそのままでもいいでしょう。 

f:id:am7cinnamon:20210115122825p:plain

9. 取得するフィードの 1件 1件ごとのタイトルと URL を設定します。

 今回は、"Item Title Template:" は個別記事のタイトルにあたる "{%3}"、"Item Link Template:" は個別記事の URL にあたる "{%2}" にそれぞれ設定しました。

 Item Title に日付と記事タイトルを組み合わせて "{%1}{%3}" と設定する、といったこともできます。 

f:id:am7cinnamon:20210115123442p:plain

10. "Preview" ボタンを押します。

 うまく各記事のタイトルと URL が取得できて一覧になっていれば成功です。

 

f:id:am7cinnamon:20210115123725p:plain

11. "Feed URL" が完成したRSSフィードの URLです。 

f:id:am7cinnamon:20210115124023p:plain

完成!

これをコピーして自分が使っているRSSリーダーに設定します。 

f:id:am7cinnamon:20210115124428p:plain

無事購読できました。

【バックアップ】

セキュリティ情報の収集方法について

「イチモツを返して欲しければ…」スマート貞操帯アプリをハッキングし身代金を要求する事件が発生!(転載) ~IoT機器の恐ろしさを実感!?~



「イチモツを返して欲しければ…」スマート貞操帯アプリをハッキングし身代金を要求する事件が発生! (2021年1月16日) - エキサイトニュース:

昨年10月、アメリカのセキュリティ会社「Pen test partners」が、IoT機器の貞操帯「Cellmate」の脆弱性を指摘したことで話題になった。

この貞操帯は、スマートフォンアプリとBluetoothで接続し、遠隔でロックできるという仕組みとなっている。しかし、アプリのAPIに欠陥があるために、悪意あるハッカーによって強制的にロックされ、自力で取れなくなってしまうというリスクがあるという。

だが、開発会社である「Qiui」はこの問い合わせに対し応答せず、沈黙を貫いていたという。

そんな中、ついにこのスマート貞操帯の被害者がでてきてしまった。

today in Internet of Things: a Smart Chastity cage was hacked and its users were held for ransom. We have the messages:

"Your Cock Is Mine Now"https://t.co/riMzXo87kT

 

— Jason Koebler (@jason_koebler) January 11, 2021

被害を受けたのは、アメリカ在住の匿名の男性。米メディア「Vice.com」の記事においては、ロバートさんという仮名で呼ばれ、オンラインでインタビューを受けていた。

ロバートさんはその日、自身のスマートフォンに「デバイスのロックを解除して欲しければ0.02ビットコイン(約77万円)を支払え」と要求するメッセージを受け取ったという。

幸いにもその時には装着しておらず難を逃れたが、貞操帯は確かにロックされており、Bluetoothで再接続して取り外すこともできなくなってしまっていたという。

また別の被害者も、「所有しているユーザーが変えられており、自由に貞操帯を制御することが全くできなくなった」とのこと。この方もまた当時つけていなかったというが、ハッカーから「お前のイチモツは俺のモノだ」という同様のメッセージを受け取っていた。

この被害が明るみになると、開発会社「Qiui」は「Pen test partners」に対し、アプリの最新バージョンでは修正されていることを述べているという。

アプリの監査を行ったセキュリティ研究者、アレックス・ローマス氏は、「ほとんどの企業と製品は、存続している間なんらかの脆弱性を抱えることとなる。この機器ほど酷いものではないものの、何かしらはある。」とコメントしている。

IoT機器は非常に便利だが、使用する人は、何らかの脆弱性の存在を心の隅にとどめておいてほしいものだ。

血圧計を買ってみる


先日、別件で尿検査をしたら、尿糖(2+)が検出されてしまった。

昨年の人間ドッグでは何もなかった(厳密にはぎりぎりセーフ)のに、急に心配になって色々調べてみたところ、血糖値には空腹時血糖値と食後血糖値があるらしい。

人間ドッグでの結果は空腹時血糖値の結果で、問題の尿検査は食後血糖値である。

空腹時血糖値では異常がなくても食後血糖値に異常がある人を隠れ糖尿病とかいうらしい。

病は気からというが、ショックのあまり、体調が急激に悪化していく気がしたので、さっそく病院に行くことにした。

 食後血糖値が怪しいことはわかっていたので、病院でも食後2時間のタイミングでの採決と採尿を行った。

結果、血糖値自体はそこまで悪いわけではないが、糖尿病の基準値として使っているHbA1cという値が要注意のレベルに達しているとのことだった。

また、昨年の人間ドッグの結果も併せて提出して相談した結果、どうも数年前から発生している高脂血症(悪玉コレステロールの高さ)が原因のようで、高血圧、尿酸値、糖尿の値が悪化しているとのことだった。

この日時点では糖尿病と判定されることはなかったが、要経過観察となり、3か月後に改めて採決と採尿を取ることにした。

また、先生から毎日血圧を測るように言われ、血圧計を買ってみることにした。

「高血圧管理手帳」なるものをもらったが、紙ベースのものはどうもやる気がしない。

そこで、スマホと連携して計測したら自動で記録を取ってくれる血圧計を買ってみることにした。

3か月後の検診に向けて食事のコントロールを強化せねば・・・。

【1月の検査結果と是正が必要な項目】

・MCH(赤血球1個当たりの、平均ヘモグロビン量):32.3pg(基準28~32)

・MCHC(赤血球1個当たりの、平均ヘモグロビン濃度):36.0g/dL(基準31~35)

・ALT(肝臓に問題があると、血液中に流れる量が増える):57U/I(基準4~44)

・尿酸:7.7mg/dl(基準4~7)

・総コレステロール:242mg/dl(基準150~219)

・中性脂肪:228mg/dl(基準50~149)

・LDLコレステロール:142mg/dl(基準70~139)

・グルコース(血糖値):111mg/dl(基準70~110)

・尿ブドウ糖訂正:+(基準-~+-)

2月2日は「情報セキュリティ」の日。その理由は、、、


作者も知らぬ間に凶暴化…35年前のコンピュータウイルス「Brain」とは?(ブルーバックス編集部):

今日2月2日は、内閣サイバーセキュリティセンターによって「情報セキュリティの日」に指定されています。平成18年2月2日に「第1次情報セキュリティ基本計画」が決定されたことにちなんで制定されたもので、国民の情報セキュリティ意識を高めることを目的しています。

サイバー攻撃の歴史は古く、インターネットが普及していない1986年には、すでに最初期のコンピュータウイルスが開発されていました。パキスタンでコンピュータ販売会社を営んでいたアルヴィ兄弟が、横行するソフトウェアの違法コピーに業を煮やし、「Brain」と呼ばれるコンピュータウイルスを創り出したのです。

この「Brain」はフロッピーディスク(懐かしい響きですね)の内部に仕込まれ、ソフトウェアが違法コピーされると初めて起動します。当初は「このウイルスに用心、ワクチン接種のためにご連絡を…」というメッセージとアルヴィ兄弟の経営する会社「Brain Computer Services」の連絡先を画面に表示するだけだったのが、“いつのまにか”ディスクを読み取り不能にする能力が備わっていた(誰かにの手によってプログラムが書き換えられていた)と言います。

Brainの出現から30年以上がたった現在、IT産業は信じられないようなスピードで進化を遂げ、もはやインターネットや各種のサービス・データベースなしには、現代社会は成り立ちません。

その一方で、サイバー攻撃はより大規模に、より巧妙な手口で行われるようになってきました。たとえば、政府は来年9月に、行政のIT化を推進する「デジタル庁」を設立しますが、この行政機関は日本国民に割り当てられるマイナンバーを一元管理する予定となっています。もしもデジタル庁がサイバー攻撃の被害にあうことがあれば、その損害は甚大なものになるはずです。

デジタルの利便性を享受するためには、サイバーセキュリティの研究・開発は欠かすことのできないものなのです。

北陸先端科学技術大学院大学、VirusTotalの使い方を誤って個人情報ファイル流出(転載)


マルウェア検査サイトを通じた個人情報ファイルの外部流出、そのまさかの原因が話題に【やじうまWatch】:

  マルウェア検査サイト「VirusTotal」を通じたファイル流出が、一部で話題になっている。

 「VirusTotal」はGoogleが運営するマルウェア検査サイトで、ウェブサイトやファイルを指定するとマルウェアが含まれないか検査して教えてくれるのだが、今回話題になっているのは同サイトが提供している別の機能。それはユーザーから提供されたデータを会員企業や研究者の間で検体として共有する機能で、これらを知らずに手持ちのファイルを検査目的でアップすると、意図せず外部に漏れてしまう危険があるのだ。誤ったファイルをアップロードした時のための削除申請フォームが用意されていることから分かるように、あくまでも仕様であって不具合ではないのだが、ブラウザ拡張機能を使うとネットからダウンロードしたファイルを自動的にVirusTotalに送信する設定も可能とのことで、先月末に北陸先端科学技術大学院大学で発生した個人情報の流出は、同サイトまたはそれに類する検査サイトがきっかけだったと見られている。無料で使える検査サイトとして広く知られるVirusTotalだが、こうした機能があることは知っておいたほうがよさそうだ。

ハッキングフォーラムを運営するとはどういうことか。RaidForumsオーナーOmnipotentとの会話 / What It’s Like to Run a Hacking Forum: A Conversation With RaidForums Owner Omnipotent(転載)



What It’s Like to Run a Hacking Forum: A Conversation With RaidForums Owner Omnipotent

編集部注:過去5年間、RaidForumsは、常に注目を集めるデータベースの流出源であることで名を馳せてきました。

ハッキング愛好家のコミュニティ(このサイトには公式に50万人以上のメンバーがおり、1日に約2万人のアクティブユーザーがいる)では、サイバー攻撃に使えるツールを宣伝したり、漏洩した組織へのアクセスを売ったり、漏洩したデータベースをサイトに流したり、政治やスポーツの試合を含む一般的なニュースについてチャットをしたりしています。

RaidForumsは2015年にOmnipotentというユーザーによって開始され、現在もサイトを運営しています。彼のTwitterアカウントとフォーラムへの何千もの投稿にもかかわらず、Omnipotentは控えめな姿勢を保っています。RaidForums上では、彼はイギリスのロンドンに住んでいることを明かし、興味のあることを "ゲーム、学習 "と記載していますが、私生活についてはあまり語らないようにしています。

Omnipotentは、Recorded Futureの専門家である脅威インテリジェンスアナリストのDmitry Smilyanets氏と、RaidForumsを始めた理由と、それを運営することがどのようなものなのかについて話しました。以下のインタビューは、長さとわかりやすさのために軽く編集されています。

Dmitry Smilyanets:どのようにしてフォーラムを作成しようと決めたのですか?最初の目標はお金を稼ぐことでしたか?

Omnipotent:ウェブサイトを作った当初の目的は、"Twitch raiders "のための安定したプラットフォームを提供することでした。2015年には他にも多くのフォーラムやウェブサイトがありましたが、DDoS攻撃で常にダウンしていたため、所有者はウェブサイトを維持するための経験が不足していました[編集部注:DDoS(分散型サービス拒否)攻撃は、ウェブサイトにジャンクなトラフィックを氾濫させ、アクセス不能にします]。そこで私は、この特定のコミュニティのために安定したウェブサイトを作るために、私の親愛なる友人が "Celaeon "という名前でYouTubeの大規模なフォロワーを持つ "Twitchレイド "の大物だったので、私はわざわざこの特定のコミュニティのためにウェブサイトを作りました。このアイデアは、最初は私たちにお金を払うという選択肢がなかったので、お金を稼ぐことはありませんでした。最終的には、サーバー費用などの維持費を支援するための寄付の受け入れを開始し、ウェブサイトが今日のようなものに進化したように、私たちは他の多くのウェブサイトのようなランクを提供していますが、それでも私たちははるかに安く、サブスクリプションを必要としたことはありませんでした-すべてのものは生涯です。

DS:デフォルトのアニメの女の子アバターとGODのユーザーステータスを思いついたのは誰ですか?


Omni:コミュニティのメンバーからは、特別な名前や特典をつけてお互いに「見せびらかす」ために、より高いランクを要求されていましたが、これらが実際に追加された主な理由は、新しいユーザーにフォーラムへのアクセスを得るための別の方法を提供するためでした。現在、新しいアカウントでは、スタッフメンバーでない限り、システムを介してユーザーにメッセージを送ることさえできません。これは、ボットアカウントが広告などでユーザーの受信トレイに殺到するように設定されていたため、大量のスパムが発生していたためです。メッセージを送信したり、より多くの投稿ができるように、手動で無料でアカウントを作成することもできますし、比較的少額の寄付をすることで、アカウントのロックを解除することもできます。

マスコットの質問に関連して、これはユーザーの投稿に過ぎません。コミュニティは大きく、多くの人がロゴやアイデアを投稿してくれます。

DS: あなたのロールモデルは誰ですか?エロン・ムスクについてどう思いますか?


Omni:私にはお手本がないのかな?誰かの足跡を辿ろうとしているわけではありません。私はTwitterでこの人をフォローしているので、あなたがエロン・ムスクについて私にこの質問をしたと仮定しています。私は彼の会社の株を持っていて、彼の会社のアイテムを所有しているので、それは私ができることは何でも知っていることが私の個人的な利益になっているからです。

DS: RaidForumsは現在、多種多様なオンライン活動を行う最大級のコミュニティとして位置づけられています。法的な部分やルールも非常にしっかりしています。しかし、盗まれた個人情報をメンバーが取引できる「リークマーケット」も見逃せませんね。このようなコンテンツをホストすることは、法的な範囲内であると考えていいのでしょうか。


Omni:あなたは "Leaks Market "サブフォーラムについて言及していますが、そこは明らかに個人情報を取引するために使用されているようですが、それを取り締まるのは私の立場ではありません。私たちの規約と私の個人的な意見に従って、私はこのセクションで人々が販売したり、販売しなかったりするものに対して個人的に責任を負うべきではありません。また、彼らが合法的または違法にデータを取得しているかどうかも個人的に知ることはできません。

結局のところ、PIIの販売はFacebookのようなビジネスでは当たり前のことであり、これらのユーザーがやっていることは、この特定の面では[Facebook]のような大企業がやっていることと何ら変わりはないと私は考えています。私はこのサブフォーラムをあまりフォローしていませんが、先ほども言ったように、個人的には全く監視していません。私の考えでは、これらの記事は根拠のない記事であり、人々は何でも好きなように宣伝することができ、その多くは、私たちの詐欺レポートを見ればわかるように、完全に虚偽であり、人々を騙そうとしているだけです。したがって、私が "ランダム "な記事の束をホストしていることは、少しも違法ではないはずです。しかし、もし我々が当局から報告を受けた場合、例えば、我々がホストしているサンプルを含む記事に関しては、それらのサンプルは、それらの特定の法律を遵守するために、我々のウェブサイトから移動されます。しかし、記事自体は言論の自由や報道の自由によって保護されているので、それを何と呼ぼうと、記事自体は残ります。

DS: あなたはRaidForumsでLedgerのデータベースが流出したことを喜んでいると言っていましたが、あなたの立場を説明できますか?


Omni:これまで、Ledger事件という不幸な出来事について、私の立場を説明してきました。しかし、現実の世界では、これらの事件は毎日のように起こっており、人々はダークウェブや私のウェブサイトのような他の手段を使って、このデータをお互いの間で取引しようとしていますが、これは違法です。私は個人的には、これらの「ハッカー」が行うような数十万ドルでデータを売ろうとすることは信じていません。私は個人的には、このデータを公開し、本質的には誰でも自分がどのように影響を受けたかを見ることができるようにし、メールを変更したり、パスワードを変更したり、将来の予防策を講じることで自分自身を守ることができると信じています。データベース」セクションはそのために作られたもので、コミュニティに、そしてひいては一般の人々に、あなたが持っているすべてのデータを無料で共有します。このコミュニティが数ヶ月間「ハッカー」の間でバックグラウンドで起こっていたことをLedgerとそのユーザーに警告することができたのを見て、私は嬉しくなりました。

DS: この1年で、RaidForumsはネットワークへの初期アクセスを売り始めた巧妙なハッカーを集めました。そのアクセスがランサムウェアの関連会社によって購入され、フォーラムに不要な注目を集めることを恐れていませんか?


Omni:現在の私のウェブサイトの個人的な目標は、データを自由にすること、つまり、このデータを違法に売買している人々からお金を奪うことです。そのため、私たちが自分たちに注目を集めることは、この目標をさらに高めることになります。私たちのことを知っている人が多ければ多いほど、より多くのデータが公開され、一般の人が自分たちを守ることができるようになるからです。前に述べたように、私自身がこれらの主張を確認することができず、販売されているデータが合法的に入手されたものなのか違法に入手されたものなのか、あるいはそれが全く実在するものなのかどうかもわからないので、ユーザーの販売を取り締まるつもりはありません。結論から言うと、私はこの注目を恐れていません。

DS:私はRaidForumsでいくつかのドッキング事件を観察しました。ロシア語圏のサイバー犯罪者のアンダーグラウンドでは、これは通常ルール違反です。フォーラムのメンバーがお互いに罵り合うとき、あなたはどう思いますか?


Omni:私は正直にあまり考えていません、すべての意図と目的のために、私たちはウェブサイト自体でdoxingを許可していません。しかし、私たちは、人々がdoxingから人々を停止することはできません-したがって、私たちは、あなたが被害者の情報をオフサイトPastebinのようなサービスへのハイパーリンクを投稿することが許可されているサブフォーラムを持っています。正直に言うと、私は、公安のためだけでなく、これらの犯罪者の逮捕に連邦協会を支援するために、小児性愛者や悪意のある "ハッカー "のようないくつかの人々は、公安のためだけでなく、彼らの情報がリークされるに値するのです。一方で、恐喝などの目的でDoxをする悪意のある人もいますが、これは素晴らしいことではありませんが、私たちが何をしようと必ず起こることです。しかし、私はできることをしています。例えば、ユーザーをDoxされないようにするために様々なルールがありますが、実際には犯罪者を追放するのが精一杯で、それは何かと言えば火を噴くだけです。

DS: レイドフォーラムの将来をどのように考えていますか?2021年に向けて何か特別なイベントを計画していますか?


Omni:個人的には、物事が実際に計画通りに進むことはないので、物事を計画するのは好きではありません。明日、ウェブサイトに何が起こるかは誰にもわからない。何があっても、私やこのウェブサイトに関係なく、コミュニティは生き続けることを知っています。2021年には、セキュリティと機能のアップデートをリリースできることを期待していますが、特別なことは何もありません。

DS: 法執行機関がフォーラムを監視していることは、あなたにとってどのくらい大きな問題なのでしょうか? 法執行機関が監視しているアカウントの割合はどのくらいだと思いますか?


Omni:まあ、私はフォーラムが監視されていると仮定していますが、その後、この日と時代に再び誰もが監視されています。それは、このサイズの任意のウェブサイトは、複数の連邦政府と非連邦政府のエンティティによって監視される可能性が非常に高いです。結論から言うと、私は法を守る市民であるために最善を尽くしているので、私はそれに悩まされていません。

DS: レイドフォーラム運営の収入に対して税金を払っているとおっしゃっていましたが、これは本当でしょうか?これは本当ですか?2020年にはどれくらいの収入があったのでしょうか?


Omni:私はこれを読んでいる人はこの返信を期待していると思いますが、私は私の個人的な財政についての情報を共有するのは気が引けます。このウェブサイトは登録されたビジネスではなく、どのような支払いも寄付とみなされますが、以前のコメントを参照して、私は常に法を守る市民であろうとしているので、法的に支払わなければならない税金はすべて支払っています。しかし、例えば、私の住んでいる国では、暗号通貨は何の税金も払っていないので、私もこのような形で作られた収益には税金を払っていません。

DS: 秘密を教えてください。あなたの日々はどのようなもので、週に何時間くらいRaidForumsの運営に費やしていますか?


Omni:最近は誰もが何かしらのロックダウンを受けているので、私の生活が人口の90%に似ていても不思議ではありません。私は自分の住んでいる場所から出ることはほとんどないので、家に閉じこもって、オンラインで友達と話したり、コミュニティにサポートを提供したりすることが私の一日の基本です。これは非常に単純なことですが、パンデミックの今日、一般の人々の安全を守るために、私たちにできることはすべてです。ですから、私のウェブサイトにどれくらいの時間を費やしているかと言われれば、起きてから寝るまでの時間になります。