2021年3月18日
ipa.go.jp/security/fy202…
「企業における営業秘密管理に関する実態調査2020」報告書について(転載)
2021年3月18日
ipa.go.jp/security/fy202…
Facebookから5億3300万人分のユーザーデータが流出 / 533M Facebook users’ data leaked for free(転載)
あるリーク情報によると、5億人以上のFacebookユーザーの情報(電話番号などを含む)を事実上無料で提供しているという。このデータベースは昨年6月からオンラインで公開されている。
イスラエルのサイバー犯罪情報会社「Hudson Rock」の共同設立者であるAlon Gal氏は、このデータベースは、1月からハッカー界で出回っているFacebookに関連する電話番号のセットと同じものである可能性があると述べています(その存在は、技術系雑誌「Motherboard」が最初に報じました)。
"Facebookのアカウントを持っている人は、そのアカウントに使われている電話番号が流出している可能性が極めて高い "とGalはツイートしています。
533,000,000件のFacebookの全記録が無料でリークされています。
つまり、Facebookのアカウントを持っている人は、そのアカウントに使われている電話番号が流出している可能性が極めて高いということです。
このようなデータに対する絶対的な過失を、Facebookはまだ認めていません。 https://t.co/ysGCPZm5U3 pic.twitter.com/nM0Fu4GDY8
— Alon Gal (Under the Breach) (@UnderTheBreach) April 3, 2021
サイバーニュースの調査チームによると、このデータベースは昨年6月から同じフォーラムで販売されていました。数日前には、数ドルでデータベースを照会できるTelegramのボットが作成され、実質的に無料で利用できるようになりました。
このデータベースには106カ国のエントリーがあり、氏名、携帯電話番号、少数の電子メールアドレス、性別、職業、居住地、婚姻状況などが含まれています。
最も被害を受けた国は米国と英国で、それぞれ3,200万人と1,150万人のFacebookユーザーのデータが流出しました。
専門家の間では、今回の事件のずっと前から、このプライバシー問題は大きく報道されていないと主張し、赤旗を掲げていました。セキュリティ専門家は、流出したデータがマーケティング目的だけでなく、人になりすまして詐欺を働くことにも使われる可能性があると警告しています。
過去のセキュリティ侵害でお客様のオンラインアカウントが公開されていないかどうかを確認するには、150億件以上の侵害記録を収録した個人情報漏洩チェックツールをご利用ください。
ロイターがメッセージングサービスのTelegramを使ってこのリーク者に連絡を取ろうとしましたが、すぐには成功しませんでした。また、Facebookはコメントを求めるメッセージを返信していません。
今年初めのMotherboardの記事は、流出したデータは同社が2019年8月に修正したバグの成果のようだとするFacebookのコメントを引用している。
ガルはロイターに対し、Facebookユーザーは今後数ヶ月の間に、電話番号やその他の個人情報を入手した可能性のある人物による「ソーシャルエンジニアリング攻撃」に警戒すべきだと述べました。今回のリークのニュースは、Business Insiderが最初に報じました。
フェイスブックは、ケンブリッジ・アナリティカを筆頭に、第三者によるユーザーデータのスクレイピングや収集を認めていることで、長い間批判されてきました。
Torを使ったサイバー攻撃の戦術とその対策案(転載)
Torを使ったサイバー攻撃の戦術とその対策案:
US-CERTより、FBIとの共同寄稿として、Torを使ったサイバー攻撃の戦術およびその対策案についてのアラートが発行されました。
本記事では、US-CERTの記事を中心として、Torについて、また、最近何かと話題のATT&CKについてご紹介しつつ、解説していこうと思います。
通信を中継するノード間の通信は暗号化されているため、盗聴や改ざんも防止されています。
以下は、@ITが公開している記事の図です。参考の図として掲載しておきます。
US-CERTより、FBIとの共同寄稿として、Torを使ったサイバー攻撃の戦術およびその対策案についてのアラートが発行されました。
本記事では、US-CERTの記事を中心として、Torについて、また、最近何かと話題のATT&CKについてご紹介しつつ、解説していこうと思います。
まずTorについて
Torは、The Onion Routerの略で、ユーザが特定のサイトにアクセスする際に、いくつものノードを経由して接続することで、元の通信先を秘匿する暗号化通信技術を用いたソフトウェアです。通信を中継するノード間の通信は暗号化されているため、盗聴や改ざんも防止されています。
以下は、@ITが公開している記事の図です。参考の図として掲載しておきます。
そしてこのソフトウェアはTorプロジェクトによって管理されています。
www.torproject.org
元々はインターネットの民主性と匿名利用の促進のための使用を意図されていましたが、攻撃者にとっても好都合であるこの技術は徐々に悪用されるようになりました。
実はこのTor、名探偵コナンの映画でもNorと名前を変えて登場していました。
ちなみに、こんなロゴです。
玉ねぎが白菜になっていますが、NorだからOnionが抜けてないやん!みたいなテンションですが(笑)
まあ、アニメだし、そんなことを言い始めたらコナン君空飛んだりするし。。
Torのアクセスはたどれないの?
先ほど述べたTorの技術により、通信時の送信元や、通信経路におけるネットワーク監視、トラフィック分析を困難にしています。その結果、最終的に宛先のサーバへ通信を行うTorのExitノードからの通信情報のみしか、分析などで活用できないというのが勘所です。
ちなみに、中継点であるノードを一つ一つ、たどっていけば、理論的には送信元IPをたどることは可能なはずです。
ただし、それらノードの管轄は別々の国、別々の管理者の所有物であるボランティアサーバであり、それらをすべての通信をつなぎ合わせるためには中継点すべてのノードの管理者の協力が必要となります。
現実的には不可能だと思います。
さらに言うと、Torの中継ルートは一定時間で変更されることから難易度はさらに高いといえます。
Torを利用した攻撃の戦術
さて、ここからは、MITREが公開しているATT&CKフレームワークに基づいた攻撃戦術のお話をしていきます。ATT&CKとは
ATT&CKと書いてアタックと読みます。そうなんだ~って感じですよね。(怒られそう(笑))
このATT&CKは脆弱性の識別子CVEの発行組織として有名なMITRE社が開発した、攻撃の手法や戦術を体系化したフレームワークです。
attack.mitre.org
このフレームワークの利用によって、
攻撃グループやマルウェアがサイバー攻撃におけるどの段階のどんな戦術と関連があるのか
がわかります。
攻撃の段階として、よく用いられるサイバーキルチェーンで示すと、Exploit以降の段階をATT&CKでは示しています。
上図は、McAfeeのブログを参照(引用元はMITRE社)
最近公開されている、標的型攻撃の記事などでは、記事のAppendixとして、IoCに添えてATT&CKの指標が書かれることが多いので、注目してみるといいかもしれません。
Torを用いた悪意のある活動
Torを用いた攻撃の活動としては以下が挙げられています。- Pre-ATT&CK(侵入準備段階)
- 標的の選択
- 技術情報収集
- アクティブスキャンの実行
- パッシブスキャンの実行
- ドメインとIPアドレス空間の決定
- セキュリティ防御機能の特定
- 技術的な弱点の特定
- ATT&CK(侵入後)
- 初期侵入
- 公開されたアプリケーションへの侵入
- C&C(コマンド&コントロール)
- Well-Knownポートの利用
- プロキシの利用
- カスタムコマンドや制御プロトコルの利用
- カスタム暗号化プロトコルの利用
- 多段プロキシの利用
- 多段暗号化の利用
- 標準アプリケーション層プロトコルの利用
- 情報窃取
- データ破壊や改ざん
- データの暗号化(ランサムウェアなど)
- エンドポイントのDoS(サービス拒否)
- ネットワークのDoS(サービス拒否)
- 初期侵入
Torを利用した攻撃のへの対応策
US-CERTのアラートでは、Torを利用した攻撃を検出するための手法として、例を紹介しています。ExitノードのIPアドレスを用いた検知
Torプロジェクトより、TorのExitノード一覧が公開されています。blog.torproject.org
このリストをSIEMやログ分析プラットフォームに取り込むことで、不審な通信が発生した際の検知を可能にできます。
なお、このExitノード一覧は1時間ごとに更新されるので定期的な更新が推奨されます。
Torを用いた通信の特徴を踏まえた検知
- Torの通信で利用させるポート
- 9001
- 9030
- 9040
- 9050
- 9051
- 9150
- ドメイン名の末尾
- torproject[.]org
- Torの正規ドメイン
- 別のマルウェアに感染したのち、Torを取得する試みにて検知される可能性あり
- 事例
- Torの正規ドメイン
- [.]onion
- Torネットワーク内のドメイン
- Tor内のC2サーバへ接続を試みた場合に検知される可能性あり
- Torネットワーク内のドメイン
- torproject[.]org
具体的な防御策
- 定常運用において
- TorのEntryノードおよびExitノードのIPアドレスリストを常に最新に維持する
- SIEMの活用
- Torの使用状況をインバウンドおよびアウトバウンドの両面の通信から把握できる運用を行う
- ネットワークトラフィックの検査
- トラフィックの検査を行い、Tor利用状況における通常時のトラフィック量を把握することで、異常を早期に検知する
- インバウンド通信制御
- 既知のExitノードからの通信のブロックもしくは監視設定をセキュリティ機器およびソフトウェアに設定する
- Tor通信の特徴的なポート番号利用をブロックもしくは監視する
- アウトバウンド通信制御
- 組織からEntryノードへの通信のブロックもしくは監視設定をセキュリティ機器およびソフトウェアに設定する
- Tor通信の特徴的なポート番号利用をブロックもしくは監視する
まとめ
今回は、US-CERTのアラートを中心にTorを用いた攻撃やその対応策についてご紹介しました。とはいえ、あまりピンとこない方も多いと思いますし、「百聞は一見に如かず」ということで、一度Torを使ってみるのもよいかもしれません。
わかりやすい例がないかなーと思って事例を探してみたのですが、日本の記事だとLACが出している以下の記事くらいしか見当たりませんでした。
とはいえ、攻撃の流れ含めわかりやすいと思いますので、ぜひご参考にしてみてください。
www.lac.co.jp
マルウェア感染に備えてアンチウィルスソフト以外に入れておくべきもの 【Toolwiz Time Freeze】
アンチウイルスソフトは基本的にパターンマッチング方式なので、パターンにマッチしなければ駆除できない。
現在武漢ウイルスが世界中に蔓延しているが、ワクチンが無いため、対処療法でしのぐしかないのと同じ状況である。
感染時にワクチンが無いので根本的な治療ができないのは理解したが、そもそもウイルス感染前の状況に時間を戻すことができないのか?
人間であれば明らかに無茶な話であるが、ITの世界では無茶な話ではない。
それを実現するためのツールが今回紹介する、
Toolwiz Time Freeze
である。
このツールを使うと、再起動するだけで開始時点からの変更を元通りにできる。
「変更」というのは、マルウェア感染も含まれる。
ただ、常時起動させっぱなしだと、ファイルの変更や必要なアプリのインストールを行っても再起動するとリセットされてしまうため、注意が必要。
一方で、アプリをインストールするとOSの挙動が不安定になる時もあったりするので、
インストール行為そのものに不安がある場合や、不審なサイトに冒険に行くような場合に起動しておくのが良い。
人でいうと予防接種の様な位置づけだろうか。
【参考】
https://kaciy-discovery.hatenablog.com/entry/2017/12/16/120157
https://www.japan-secure.com/entry/blog-entry-299.html
https://all-freesoft.net/system8/virtualsystem/toolwiztimefreeze/toolwiztimefreeze.html
【製作者サイト】
http://www.toolwiz.com/
※投稿時点のバックアップ(ver2017)はこちら
ATT&CKを始めよう:アセスメントとエンジニアリング / Getting Started with ATT&CK: Assessments and Engineering(転載)
Getting Started with ATT&CK: Assessments and Engineering
ここ数週間、ATT&CKを使った脅威インテリジェンス、検知・分析、敵のエミュレーションなど、ATT&CKを使いこなすための記事を掲載してきました。ミニシリーズのパート4では,評価とエンジニアリングについて,ATT&CKを使ってどのように防御力を測定し,改善できるかをご紹介します。この記事は多くの点で過去の記事を基にしていますので、まだご覧になっていない方はぜひチェックしてみてください。
このプロセスをよりわかりやすくするために、また、他の記事と同様に、この記事を洗練度とリソースの有無に応じて3つのレベルに分けています。
- レベル1は、リソースをあまり持たない始めたばかりのチーム向け。
- レベル2は、成熟し始めた中レベルのチーム向け
- レベル3は、より高度なサイバーセキュリティ・チームとリソースを持つ企業向けです。
評価を始めることは、最初は恐ろしく聞こえるかもしれません-誰が評価されることを喜ぶでしょうか?- しかし、ATT&CKのアセスメントは、セキュリティエンジニアやアーキテクトが脅威に基づくセキュリティの改善を正当化するための有用なデータを提供するための、より大きなプロセスの一部です。
- ATT&CKに登場する技術や敵に対して、現在の防御力がどのようになっているかを評価。
- 現在のカバー範囲の中で最も優先度の高いギャップを特定。
- それらのギャップに対処するために、自社の防御力を修正したり、新たな防御力を獲得。
アセスメントとエンジニアリングのレベルは累積的であり、互いに積み重ねられていきます。自分たちが高度なサイバーセキュリティチームであると考えている場合でも、レベル1から始めて、より大規模なアセスメントに移行するためのプロセスを踏むことをお勧めします。
多くのリソースを利用できない小規模なチームで作業していて、完全な評価を行おうと考えているならば、やめた方がいい。すぐにATT&CKマトリックスの色分けされたヒートマップを作成してカバレッジを可視化するというアイデアは魅力的ですが、ATT&CKを使うことに興奮するよりも、ATT&CKに燃え尽きてしまう可能性の方が高いでしょう。その代わり、小さなことから始めましょう。焦点を当てるべき1つの技術を選び、その技術に対するカバレッジを決定し、それを検出するために適切なエンジニアリングの強化を行います。このように始めることで、より大規模な評価を行う方法を練習することができます。
ヒント:どの手法から始めるべきかわからない?ケイティのブログ記事では、ATT&CKやスレットインテリジェンスをどのように使ってスタート地点を選ぶかのヒントを紹介しています。
テクニックを選んだら、そのテクニックをどのようにカバーするかを考えてみましょう。独自のルーブリックを使用しても構いませんが、まずは以下のカテゴリーでカバーすることをお勧めします。
- 既存のアナリティクスでその手法を検出できる可能性が高いカテゴリ。
- アナリティクスでは検出できないが、検出するために適切なデータソースを使用しているカテゴリ。
- 現在、そのテクニックを検出するための適切なデータソースを利用していないカテゴリ。
ヒント:最初に始めるときには、スコアリングのカテゴリーをシンプルにしてください。
カバー率の測定を始めるための素晴らしい方法は、ある技術をすでにカバーしている可能性のあるアナリティクスを探すことです。SOC の多くは、本来は ATT&CK に対応するように設計されていなくても、ATT&CK に対応する可能性のあるルールやアナリティクスをすでに持っています。多くの場合、テクニックに関する他の情報が必要になりますが、それはテクニックのATT&CKページや外部ソースから得ることができます。
例として、Remote Desktop Protocol(T1076)を調べていて、以下のようなアラートがあったとします。
- ポート22を介したすべてのネットワークトラフィック。
- AcroRd32.exeによって生成されたすべてのプロセス。
- tscon.exeという名前のすべてのプロセス。
- ポート 3389 を介したすべての内部ネットワーク トラフィック。
ATT&CKのテクニックページのRemote Desktop Protocolのページを見ると、ルール#3が "detection "ヘッダで指定されている内容と一致しており、ウェブ検索をすると、ルール#4で指定されているポート3389もこのテクニックに対応していることがわかりました。
Remote Desktop Protocolの検出用テキスト。
もし、アナリティクスがすでにそのテクニックをピックアップしているなら、素晴らしいことです。そのテクニックをカバーしていることを記録し、新しいテクニックを選んで再度プロセスを開始してください。しかし、それをカバーしていない場合は、テクニックのATT&CKページに記載されているデータソースを見て、新しい分析を構築するのに適したデータをすでに取り込んでいるかどうかを判断します。もしそうであれば、あとは構築するだけです。
しかし、正しいデータソースを引き込めていない場合、どうすればいいのでしょうか?ここでエンジニアリングの出番です。技術のATT&CKページに掲載されているデータソースを参考にして、それぞれのデータソースを収集することの難しさと、そのデータソースを利用することの有効性を比較してみてください。
ヒント データソースとしてよく挙げられるのが、Windowsのイベントログで、多くのATT&CKテクニックを可視化することができます。イベントログを使い始めるのに適したリソースは、Malware ArchaeologyのWindows ATT&CK Logging Cheat Sheetで、Windowsイベントとそれを使って検出できるテクニックをマッピングしています。
プロセスのコマンドラインパラメータで検出可能な244種類のATT&CK
技術のうち97種類を、Windowsイベント4688を介して取り込みます。
技術のうち97種類を、Windowsイベント4688を介して取り込みます。
次のレベルへの卒業:このプロセスを何度か繰り返し、その都度、各戦術にまたがる新しいテクニック(または2つ)を選んでください。ATT&CK カバレッジのヒートマップを作成できる ATT&CK ナビゲーターを使って、結果を記録しましょう。プロセスに慣れてきたら、データソースの分析を行い、データソースからどのテクニックを検出できるかをヒートマップで表示します。Olaf Hartong氏のATT&CK Datamapプロジェクト、DeTT&CT、MITREのATT&CKスクリプトなどがありますので、参考にしてください。
Level 2
このプロセスに慣れ、より多くのリソースを利用できるようになれば、ATT&CK マトリックスの適度に大きなサブセットにまで分析を拡大することが理想的です。さらに、より高度なカバレッジスキームを使用して、検出の忠実性も考慮したいと思うでしょう。ここでは、SOC内のツールや分析ツールがその技術について警告を発する信頼性が低い、ある、高いのいずれかにカバレッジを分類することをお勧めします。
最終的にどのような評価をするかのサンプル。
ヒント カバレッジを評価する際には、ピンポイントの精度を気にする必要はありません。評価の目的は、技術を一般的に検出するためのエンジニアリング能力があるかどうかを理解することです。より正確な評価を行うためには、敵のエミュレーション演習を行うことをお勧めします。
このように範囲が広がったことで、アナリティクスの分析はやや複雑になっています。各アナリティクスは、以前のように1つのテクニックだけでなく、多くの異なるテクニックに対応する可能性があります。さらに、ある分析手法がカバーされている場合、その分析手法の忠実度も調べる必要があります。
ヒント 各アナリティクスについて、何をキーにしているかを調べ、それがATT&CKにどのように対応しているかを確認することをお勧めします。例えば、Windowsの特定のイベントに注目しているアナリティクスがあるとします。このアナリティクスのカバレッジを判断するには、Windows ATT&CK Logging Cheat SheetなどでイベントIDを調べることができます。また、ATT&CKのウェブサイトを利用して分析を行うこともできます。下図は、ポート22の検出を検索した例ですが、これは「Commonly Used Port ATT&CK technique」に表示されています。
ATT&CK site search for port 22
もう一つの重要な点は、テクニックと一緒に掲載されているグループやソフトウェアの例です。これらは、敵対者がテクニックを使用する際の手順や具体的な方法を示しています。多くの場合、これらの例は、既存の分析でカバーされているか否かにかかわらず、テクニックのバリエーションを示しており、テクニックをどれだけカバーしているかという信頼性評価に織り込む必要があります。
Examples section of Windows Admin Shares
分析結果を見るだけでなく、ツールの分析にも着手しましょう。そのためには、各ツールのヒートマップを作成し、次のような質問を繰り返し行うことをお勧めします。
- ツールはどこで実行されますか?ツールがどこで実行されているか(例えば、境界や各エンドポイント)によって、特定の戦術でうまくいったり、うまくいかなかったりします。
- ツールはどのように検出しますか?既知の悪い指標の静的なセットを使用していますか?それとも、何か行動的なことをしているのでしょうか?
- そのツールはどのようなデータソースを監視していますか?ツールが監視しているデータソースを知ることで、どのようなテクニックを検出するかを推測することができます。
これらの質問に答えるのは大変です。すべてのベンダーがこの種の情報を公開しているわけではありませんし、探してもマーケティング資料になってしまうことがよくあります。このような質問に答えるのは大変です。
カバレッジの最終的なヒートマップを作成するには、ツールと分析のヒートマップをすべて集約し、各手法で最も高いカバレッジを記録します。これができたら、次は改善に向けて動き出します。最初のステップとして、前述の分析開発プロセスのより高度なバージョンをお勧めします。
- 短期的に注力したい優先度の高い技術のリストを作成する。
- 重点的に取り組む技術の分析を始めるために、適切なデータを集めていることを確認する。
- アナリティクスの作成とカバレッジチャートの更新を開始する。
現在の補償内容から始めて、アナリティクスを追加し、それに応じて補償内容を更新していきます。
また、ツールのアップグレードも必要かもしれません。ドキュメントを分析する際には、カバー率を高めるために使用できる可能性のあるオプションのモジュールを追跡してください。そのようなモジュールが見つかった場合には、それをネットワーク上で有効にするために必要なものを調べ、そのモジュールが提供するカバー率とのバランスを取ってください。ツールの追加モジュールが見つからない場合は、代替のデータソースとして利用することもできます。例えば、各エンドポイントにSysmonをインストールすることはできないかもしれないが、既存のソフトウェアが、他の方法ではアクセスできないような関連するログを転送できるかもしれない。
次のレベルへの卒業:これらの変更を実施してカバレッジを向上させたら、次のステップとして、敵対者のエミュレーション、特にアトミックテストを導入します。新しい分析手法を試作するたびに、それに対応するアトミックテストを実行して、その結果を確認します。捕まえられれば上出来です。捕まえられなかった場合は、何を見逃したのかを確認し、それに応じて分析手法を改良します。このプロセスの詳細については、当社の論文「ATT&CKベースの分析でサイバー脅威を発見する」を参照してください。
Level 3
より高度なチームの場合、評価を強化するための素晴らしい方法として、ミティゲーションを含めることができます。これにより、ツールやアナリティクスの検出内容だけを見るのではなく、SOC全体を見て評価を行うことができます。
技術をどのように緩和しているかを確認する良い方法は、SOC の各ポリシー、予防ツール、セキュリティコントロールを確認し、それらが影響を与える可能性のある ATT&CK 技術にマッピングして、それらの技術をカバー範囲のヒートマップに追加することです。最近、ミティゲーションを再構築したことにより、各ミティゲーションを見て、それがマッピングされている技術を確認することができます。ミティゲーションが適用された技術の例としては、以下のようなものがあります。
ブルートフォース(左)とWindows Admin Shares(右)の緩和策。
アセスメントの範囲を広げるもう一つの方法は、SOCで働いている人にインタビューしたり、非公式に話を聞いたりすることです。これは、ツールがどのように使用されているかをよりよく理解するのに役立つだけでなく、他の方法では考えられないギャップや強みを明らかにすることができます。例えば、以下のような質問が考えられます。
- 最もよく使うツールは何ですか?その長所と短所は何ですか?
- 見ることができないデータソースで、見ることができたらいいなと思うものは何ですか?
- 検知の観点から見た、あなたの最大の強みと弱みはどこですか?
これらの質問への回答は、先に作成したヒートマップを補強するのに役立ちます。
例:以前、ATT&CK関連の機能を多く持つツールを見つけたが、人事はWindowsのレジストリを監視するためだけに使用している場合、そのツールのヒートマップを修正して、使用方法をよりよく反映させる必要があります。
同僚と話しながら、以前に作成したツールのヒートマップを見てみましょう。自分が使っているツールのカバレッジにまだ満足していないのであれば、新しいツールを評価する必要があるかもしれません。新しいツールを検討する際には、それぞれのツールのカバレッジのヒートマップを作成し、そのツールを追加することでどのようにカバレッジが向上するかを確認します。
ヒント:特にリソースに余裕がある場合は、代表的なテスト環境を立ち上げて、そのツールをライブでテストし、うまくいったところ、うまくいかなかったところ、そのツールを追加した場合に既存のカバレッジにどのような影響があるかなどを記録することができます。
最後に、より多くのミティゲーションを導入することで、ツールやアナリティクスへの依存度を下げることができるかもしれません。ATT&CKに掲載されているミティゲーションを見て、実際に導入できるかどうかを判断します。このプロセスの一環として、検出ヒートマップを参照してください。検出がうまくいっている技術を妨げる高コストの緩和策があれば、それは良いトレードオフではないかもしれません。一方で、分析結果を書くのに苦労している技術に対して、低コストの緩和策があれば、それを実施することでリソースを有効に活用できるかもしれません。
ヒント: ミティゲーションのために検出を取り除くことを検討する際には、可視性が失われる可能性を常に考慮してください。ミティゲーションやコントロールがバイパスされる可能性がある場合には、それらのイベントが見逃される可能性が低くなるように、ある程度の可視性を確保してください。検知とミティゲーションは、どちらも効果的なカバレッジのためのツールとして使用する必要があります。
クロージング: アセスメントとエンジニアリングの関係
アセスメントを行うことで、現在のカバレッジがどこにあるのかを理解し、それを脅威インテリジェンスで補強してギャップを優先し、アナリティクスを書くことで既存の防御を調整することができます。
長期的には、毎週、あるいは毎月、アセスメントを実施することは想定していません。その代わりに、前回のアセスメントの内容を記録し、新しい情報を得るたびに更新し、定期的に敵のエミュレーション演習を行って結果をスポットチェックする必要があります。時間の経過とともに、ネットワークや収集された情報に変化が生じ、以前にテストした防御の効果が低下することがあります。ATT&CK を活用して実際の脅威に対する防御力を示すことで、防御態勢の理解を深め、改善の優先順位を決めることができます。
ATT&CKのユースケースを可視化
スマホリプレース~さらばXPERIA~
現在使用しているのは「docomo」と落書きの入ったXPERIA X Compact(SO-02J)を使っている。
実はスマホが世の中に登場した時からずっとXPERIAを愛用している。
XPERIAは寿命が近づいてくると出てくる傾向みたいのがあって、
まずSDカードが突然認識できなくなる。
その後、しばらくするとOSの挙動がおかしくなる。
先日SDカードが突然認識できなくなり、いよいよ後継を検討しなければならなくなったというわけである。
回線はIIJ mioを使っているため、XPERIAは使いたいものの、「docomo」とか「au」とか「Softbank」とか落書きの入った機種は本当は使いたくない。
そのため、海外モデルも検討してみたのだが、海外モデルはおサイフケータイが使えない。
一時期Google Payとかで対応できるんじゃないかと思ったが、いろいろ調べるとそうではないことが分かった。
おサイフケータイの件は対応するNFCの規格と関連する。
NFCの規格にはTypeA、TypeB、TypeFの3種類ある。
一般的に搭載されているのはTypeA/Bであり、TypeFというのが所謂おサイフケータイ対応の規格となる。
そもそもTypeFのFはFelicaからきているようで、Suicaの様に通勤ラッシュでも問題なく使えるように処理が高速化された規格となっており、その分コストも高くつく結果となっている。
海外ではSuicaのような高速な処理を求められるシーンがないため、必然的にコストアップの要因になるTypeFは搭載されない。
結局ガラパゴス仕様で日本国内向けのXPERIAにしか搭載されないというわけである。
で、国内で販売されるXPERIAを検討するのだが、困ったことが起きた。
何なんだ、この縦横比が大きく崩れた無駄な縦長画面は・・・
ダサイ
ソニーは一般人が理解できない際どいエリアを攻めに行ってしまったのだろうか?
正直XPERIAに欲しい機種がなく、しばらく悩んでいたところ、なんとGoogleから希望する画面サイズ感で、しかも手ごろな値段でスマホ「Google Pixel 4a」が発売されていることが分かった。
更にしばらく悩んだ結果、Googleストアで決済する運びとなった。
XPERIA以外のスマホを使うのは何気に人生初の経験である。
とりあえず後継のスマホが決まったことに安堵するとともに、ソニーのモノ作りがおかしな方向に進んでいないか若干気になる今日この頃。
さらばXPERIA。ありがとうXPERIA。
ランサムウェアREvilの中の人とRecorded Futureとのインタビュー / ‘I scrounged through the trash heaps… now I’m a millionaire:’ An interview with REvil’s Unknown(転載)
‘I scrounged through the trash heaps… now I’m a millionaire:’ An interview with REvil’s Unknown therecord.media/i-scrounged-th…
インターネットに晒されている機器を調べるサイト【ZoomEye】
こちらはZoomeyeでの調査。実はヘッダにこうやってバージョンが載ってきてしまうようで、この情報を分析すればターゲットを絞れる可能性があります。もっとも、脆弱性自体は1年前…orz
JNSAの損害賠償額算出式は正しいのか?~実際の判例をもとに検証してみる~
企業が情報漏洩を起こした際、JNSAの損害賠償額算出式を用いた想定損害賠償額を算出しているが、これって妥当なのだろうか?
先日、とある判例の話を聞けたので、それを基に検証してみたい。
【インシデント概要】
・不正アクセスによる個人情報流出
-最大1万6798件の個人情報、うち7316件はクレジットカード情報
・流出した情報(赤字個所は特に損害賠償額に大きく響く項目)
-名前
-住所
-電話番後
-メールアドレス
-クレジットカード番号(番号、名義、有効期限、セキュリティコード含む)
-性別
-生年月日
-パスワード
・カード流出に関わる1件当たりの想定損害賠償額:78,000円
⇒7,316件なので、計570,648,000円(約5.7億円)
【流出企業における実際の損害額】
・SQLインジェクションを抱えたポンコツシステムの開発費:約2,100万円
・顧客への謝罪費用(クオカード):約1,900万円
・顧客からの苦情処理費用:約500万円
・調査費用(主にフォレンジック):約400万円
・営業損失:約6,000万円
・その他:約50万円
------------------------------
計約1.1億円
ん~。損害賠償額算出式の方がかなり上振れているな。。。
とはいえ、クレジットカードの有効期限とセキュリティコードまで流出しているので、この金額で済んだのは不幸中の幸いともいえるかもしれない。
裁判になるといろいろと細かいことが明らかになるので、興味深い。
シングルサインオン(SSO)とは~概要と実装方法を簡単に整理してみる~
先日、「こんなシングルサインオンの実装を検討しているのだが意見が欲しい」と言われ、資料を見ていたのだが、その内容はシングルサインオンとは遠くかけ離れた、ただの認証省略の仕組みだった。苦言を呈すことになったのは言うまでもないが、そんこともあり、簡単にシングルサインオンについて整理してきたい。
シングルサインオン(SSO)とは?
シングルサインオン(SSO)とは、1組のID・パスワードによる認証を1度行うだけで、複数のWebサービス・クラウドサービス・アプリケーションにログインできるようにする仕組み。
パソコンやスマートフォン、インターネットが普及し、1人でいくつものWebサービスやクラウドサービスを利用する方が増えています。以前は、これらを利用する際、サービス・アプリケーションごとに認証を行っていました。一方、これらのサービス・アプリケーションがシングルサインオンに対応していれば、認証が1回ですむようになります。
シングルサインオン(SSO)を実現する方法
代行(代理)認証方式
クライアントのパソコンにインストールした専用のエージェントが、ユーザーの代理でID・パスワードを打ち込む方式です。エージェントはパソコンに常駐し、各サービス・アプリケーションのログイン画面が起動するのを検知し、自動的にID・パスワードを入力します。
リバースプロキシ方式
リバースプロキシと呼ばれる中継サーバー上で認証を行う方式です。リバースプロキシ上で認証を追加した場合に、その後ろにあるサービスにログインができるようになります。
エージェント方式
Webサービスの専用のエージェントモジュールを組み込んで、シングルサインオンを実現する方式です。エージェントはシングルサインオン用の外部サーバーと連携し、認証やアクセス権限のチェックを行います。
SAML認証方式
SAML(Security Assertion Markup Language)認証では、IdP(Identity Provider)とSP(Service Provider)と呼ばれる2つの構成要素で、シングルサインオンを実現する方式です。
ユーザーが対象のWebサービス(SP)へアクセスすると、SPはIdPへ認証要求(SAML)を送信します。すると、IdPがユーザーのパソコンやスマートフォンに専用のログイン画面を表示させ、認証を促します。認証が成功すれば、IdPはSPに対して認証応答(SAML)を送信し、SPがそれを受け取ると自動ログインを実行するという流れです。これによって1度認証が成功すれば、SAMLに対応する別サービスへ自動でログインできるようになります。
メリット
メリット1.利便性が向上する
たくさんのWebサービス・アプリケーションを使っていると、認証の際に利用するID・パスワードの組み合わせもそれだけ増えることになり、管理に手間もかかります。また、各サービス・アプリケーションを利用する際に、いちいちログイン作業をしなくてはなりません。
一方、利用するWebサービス・アプリケーションがシングルサインオンに対応していれば、ID・パスワードの組み合わせは1つですむようになります。その上、それらWebサービス・アプリケーションの認証は1回だけ行えばよいので、より便利に利用できるようになるのです。
メリット2.パスワード漏洩のリスクが低くなる
利用すべきID・パスワードの組み合わせが増えると、その管理がおろそかになるものです。たとえば複数のサービス・アプリケーションで同じID・パスワードを使い回したり、付箋などに書いてパソコンに貼ったりする方も多いでしょう。覚えるのが面倒になり、推測されてしまいやすい簡単なパスワードを設定している方もいます。
一方、シングルサインオンを利用すれば、管理すべきID・パスワードの組み合わせは1つだけですむので、覚えるのも簡単になり管理の手間もかからなくなるわけです。そのため付箋に書いたメモを誰でも見られるようなところに置いたりすることはなくなり、適切に管理されやすくなります。ある程度複雑なパスワードを作成したとしても、1つだけなら覚えるのは苦ではないでしょう。
これらのことから、シングルサインオンを導入することによって、パスワード漏洩のリスクが減るわけです。
デメリット
デメリット1.パスワードが漏えいすると重大なセキュリティリスクにつながる
シングルサインオンで利用するID・パスワードが万が一漏洩してしまうと、そのID・パスワードを利用するサービス・アプリケーションが全て不正利用されるリスクにさらされることになります。
デメリット2.システムが停止すると関連するサービスにログインできなくなる
シングルサインオンは、特定のシステムによって認証情報が管理されています。そのため仮にその管理システムがダウンした場合、シングルサインオンでログインできるように設定している全てのサービス・アプリケーションが使用できなくなる可能性があります。
デメリット3.コスト
シングルサインオンを実現するためには、自社サーバーに専用のソフトウェアをインストールするオンプレミス型のタイプと、専用のクラウドサービスを利用するタイプがあります。オンプレミス型は特に初期導入時のコストが高額となる可能性がある一方、クラウド型は導入時のコストは少なくてすむものの、毎月の費用がかかるため利用期間が長くなれば、それだけコストがかさむことになります。
保険見直し~がん治療は通院がメインなので通院保障が重要!?~
昔、保険会社による保険金未払い事件が多発した影響からか、毎年契約しているすべての保険会社から、現在の保険内容の確認やら、見直しやら、住所が変わっていないかやらの手紙が送られてくる。
そんな中、医療保険を契約している会社から保険内容の見直しの案内があり、がん保険の通院保障オプションの案内を見て、2019年に参加したお金のEXPOのことを思い出した。
がん保険は、昔は長期入院の伴う長い闘病生活のイメージだったが、今は長期入院せず、通院による治療がメインとなっていることから、入院保障だけではなく、通院保障が重要だという話を元SKE48の矢方 美紀さんが自身の闘病経験を踏まえて話してくれていたのだった。
やばい。今2021年なので、2年も放置してしまっていた。
幸いまだガンにはなっていない模様なので、とっとと入っておこう。
さっそく保険会社に電話して、契約内容見直しの依頼をかけた。
人生40年近く生きてきて、何となく保険との付き合い方が分かってきた気がする。
保険は早く入っておいたほうがいいとか、生涯で払う保険金は同じなのでいつでもいいとか、そもそも入る必要がないとか、いろいろ意見があるが、個人的な今のスタンスは下記である。
ちなみに掛け捨ての医療保険の話ね。
保険は若いうちに(安い保険に)入るべきである。
保険は若いうちに入ったほうが良い。高齢になってから入っても生涯で払う保険金は同じだが、若いうちに入ったほうが保険料が安く、精神的な負担額は軽く済む。
保険は入る必要がないという人がいるが、そういう意見もアリだと思う。個人的にはお守り替わりで済む程度の金額にし、万一保険料が支払われない事態になっても「しゃーない」と思える金額(=月額2000円以下)で保険に入った。
また、当然ながら保険会社の選択に際してはネットライフ生命のようなオンライン保険会社にするべきである。
テレビで有名人を起用したCMを放送しているような保険会社は厳禁である。
理由は簡単で、CM代金や有名人のギャラが保険料の跳ね返って非常に割高だからである。
かしこい人はオンラインの保険会社を選択し、情弱者はCM等で知名度の高い(割高な)保険会社を選択するのである。
諸々の情勢変化で年1.5%の保険料増加は見込むべき
医療は進歩している。
それに伴い、保険は変わる。
自分が初めて保険に入った際には無かったが、その後出てきたキーワードとして、「先進医療」とか「通院保障」がある。
これらは保険加入時には無かったため、結果として追加の保険料を払って追加する形態となる。
最初の保険加入時は1,800円/月くらいだったが、先進医療特約を付けたり、がん通院保障をつけたり、必要なオプションを追加していった結果、約15年の時を経て2,500円/月となった。
オプションで保険料が上がっていくことを考慮し、最初の保険加入時は必要最小限の保険にしておいたほうが良い。
保険は保険料控除の枠で十分
自分は若い頃にバイクで事故った際、保険が期待した働きをしなかったことから、基本的には保険に対して懐疑的な立場である。
そのため、最初の保険に入る際、どの程度の掛け金にすべきを考えた際に、たどり着いた一つの結論が「保険料控除の枠で十分」である。
つまり、介護医療保険、生命保険、年金保険、共に、それぞれ80,000円/年で十分である。
これ以上は保険料控除の枠から外れるし、保険料を払いすぎていると考えてもよいのではと思っている。
DDoS攻撃(SYN/ACK Reflection攻撃)の仕組み(転載)
Masafumi Negishi retweeted:
「IIJのSOCアナリストが検知と分析のサイクルを回すわけ DDos攻撃検知にAIを選ばなかった理由」
logmi.jp/tech/articles/…
昨年9月開催のIIJ Technical NIGHT vol.9で登壇した #セキュリティ 本部 守田 瞬の講演がログミーの記事になりました。
全2回で、後半はDDos攻撃の観測方法について紹介。
logmi.jp/tech/articles/…
昨年9月開催のIIJ Technical NIGHT vol.9で登壇した #セキュリティ 本部 守田 瞬の講演がログミーの記事になりました。
全2回で、後半はDDos攻撃の観測方法について紹介。
SYN/ACK Reflection攻撃はTCPの3wayハンドシェイクを悪用したものになります。リフレクション型の攻撃なので登場人物は3人。攻撃者とリフレクターと、被害者にあたる攻撃対象です。
攻撃者は何をするかというと、3wayハンドシェイクをしようと試みます。SYNパケットの送信元はIPスプーリングになるんですが、これは攻撃するサーバーのIPアドレスとか、ルーターだったら、そのルーターだったりとかに偽装されています。
リフレクターは、送信元が偽装されたSYNパケットが悪性かどうかというのは基本的に判断できないので、3wayハンドシェイクのルールに則って、素直にそのSYN/ACKパケットを偽装されたIPアドレス宛に応答として返送します。
攻撃者がスプーフしたSYNパケットをリフレクターに送ることで、スプーフされたサーバーやルーターにSYN/ACKパケットが集中してしまうというのが、DDoS攻撃の原理になっています。量が多いとDDoS攻撃が成立しちゃうよね、というのが脅威のポイントです。
当時、攻撃者はボットネットなのか攻撃ツールなのかわからないところから、実際はリフレクターなので裏にサーバーがいるんですが、我々のお客さまのファイアウォールを通過するように、SYNパケットを投げつけてきました。先ほども言った通り、SYNパケットは攻撃対象側の宛先にスプーリングされているんですが、リフレクターはSYNパケットが悪性かどうかを判断することはできません。
なので、素直に被害者側にSYN/ACKパケットを応答していたという事象を我々は1年半前ぐらいに観測しました。ファイアウォールを通過しているので、ログは情報分析基盤のデータベースに集約されています。情報分析基盤から分析をすることで、この事象を発見したというのが、スタートになります。
2019年は、ひどいときには日に数件(通知が)上がっていたんですが、どんどん観測が増えてきて早く検知を自動化したいなということで、検知コードを情報分析基盤に仕込みました。こうすること自分が能動的に「今日はSYN/ACK Reflection攻撃あったかな?」と探さずに済むような仕組みが整ったわけです。
そうすることでこの図の通り、それ以降SYN/ACK Reflection攻撃されると自動的にログが情報分析基盤に集約されて、検知コードが反応すれば私に通知が来るようになりました。通知が来たら詳細な分析を行います。
もちろん、誤検知もたまにはあるので、しっかり調査していきながら、裏付けができたものに関してはみなさんのところに(情報が)届くようにwizSafe Security Signalで紹介しています。ブログを書いているだけではなくて、裏ではこういった検知ロジックも考えながら、調査もしながらやっていたというのが実はの話です。
中国の個人や企業の調査に役立つサイト / Useful websites for your investigation on Chinese individuals and companies(転載)
archive.vn/3mqrm
archive.vn/L0f4P
中国の法制度やオンライン情報プラットフォームに関する知識が不足しているため、多くの欧州企業は、中国の個人や企業に関する調査をどこから始めればよいのかわからない。ここでは、中国に関する調査に役立つウェブサイトをいくつか紹介したいと思います。これらのサイトは、ほとんどの人がアクセス可能であり、情報のほとんどは無料です。
1.National Enterprise Credit Information Publicity System (国家企业信用信息公示系统)
この政府のウェブサイトは、私のお気に入りのウェブサイトの一つに属しています。あなたが調査している会社が中国で合法的に登録されている場合は、ここで見つけることができるはずです。登録資本金、法定代表者、設立日などの基本的な情報はもちろん、罰則履歴や業務不正記録などの情報も掲載されているので、この会社の基本情報をいくつか見つけることができます。このサイトに掲載されている情報はかなり信頼性が高いです。素敵な資料が必要な場合は、報告書全体をダウンロードすることもできます。欠点は、特に海外からアクセスしようとした場合、ウェブサイトへの接続が時々不安定になることがあることで、これは多くの中国政府のウェブサイトで共通の問題のようです。
2.Court Enforcement Information Publicity (中国执行信息公开网)
裁判所から不正な営業活動を行っていると認定された中国の個人や企業をまとめて検索できるサイトです。労働者に借金をしている企業かもしれないし、債権を滞納している人かもしれない。すでに債務を履行している人や企業は、ここにはもう出てこないだろう。問い合わせで対象物のID番号を追加しておくと、より正確な結果が得られます。
3.China Judgements Online (中国裁判文书网)
ここでは、中国の異なる地域の裁判所によって発行された現在の判決についての詳細な情報を見つけることができます。特定の裁判所の種類、特定の地域、さらには弁護士の名前を指定して検索することができ、特定の弁護士が扱った事件に興味がある場合に便利です。少数民族自治区の判決の中には、中国語以外の言語(モンゴル語、チベット語、ウイグル語、韓国語、カザフ語)での判決もあります。
4.Cninfo (巨潮资讯网)
中国のすべての公開企業は、財務報告書と定期的な発表をこのウェブサイトで公開することを義務付けられています。そこで、あなたの対象が中国本土の2つの証券取引所(上海証券取引所と深圳証券取引所)に上場している中国企業であれば、その企業のここ数年の最も重要な数字を見つけることができるはずです(香港に上場している中国本土企業の報告書もここで見つけることができます)。また、役員名で検索することで、上場企業に採用されているかどうかを確認することもできます。
5.QCC (private, qichacha, 企查查)
企業情報を提供する民間プラットフォームです。基本的な登記情報の他に、株主構成、受益者、営業許可証、特許情報などを見つけることができます。これは中国最大の情報提供者の一つです。彼らは、異なる権威のあるウェブサイトからデータをクロールして情報を収集し、はるかに良い方法で情報を可視化します。無料で登録して、ほとんどの情報を見ることができ、時には会員登録をして、よりカスタマイズされたサービスを受けることもできます。
6.Qixin (private, 启信宝)
QCCのプラットフォームとかなり似ていますね。企業によっては、給与分布や健康保険の加入者数などが掲載されている場合があります。しかし、このような情報は企業によっては常に入手できるわけではないし、あまり信頼性が高いとは言えません。
7.Tianyancha (private, 天眼查)
こちらも同様に信用情報の非公開プラットフォームです。ただ、海外のIPは専用のVPNを設定していないとアクセスできないようになっています。
これらの個人のウェブサイトは、オープンソースから情報をクロールするために非常に似た方法を使用しています。彼らは彼らのウェブサイト上でさえ非常に似たようなカテゴリを持っています。あなたが感じることができる最大の違いは、そこに異なるアルゴリズムを使用しているため、キーワードで情報を検索するときに表示される結果の数かもしれません。彼らは間違ったデータをクロールしている可能性がありますので、世界のすべてのそのような民間情報プロバイダと同様に、あなたはそこに取得した結果について注意する必要があります。上記の3つは、この分野での主要なものであり、より少ないミスをするが、どれもないわけではありません。あなただけのいくつかの基本的な情報を探している場合は、あなたが使用する1つの違いはあまりありません。しかし、株主構成や会社の家族構成など、より複雑な情報については、政府機関のサイトと比較して情報を検証した方が良いでしょう。そしてもちろん、会員価格も考慮すべき要素です。
しかし、中国に関する調査の最大の課題は、情報の入手のしやすさよりも言語だと思います。この課題を克服するためには、合理的な文章を得るために高度な翻訳者を必要とするだけでなく、彼らの名前がどのように構築されているか、どのように企業があなたの国と比較してどのように異なる構造を持っているかなどを理解する必要があります。あなたが中国の信用調査のための異なる方法とソースを持っている場合は、私と共有することを歓迎します。
マーケティングプラットフォームApollo.ioが不正アクセスを受け、1,100万件の個人情報が盗取&販売される / 11 million records of French users stolen from marketing platform and put for sale online(転載)~日本で起きた場合、想定損害賠償額は110億円程度か~
今回の流出により、数百万人のApollo.ioユーザーとその雇用者が、フィッシングやソーシャルエンジニアリング攻撃、ブルートフォース攻撃などの危険にさらされる可能性があります。
人気のハッキング・フォーラムのユーザーが、米国のセールス・エンゲージメントおよびデジタル・マーケティング企業であるApollo社から盗まれた約1,100万件のユーザー記録を含むとされるデータベースを販売しています。
流出したアーカイブに含まれるファイルには、データが盗まれたとされるフランス在住の10,930,000人のユーザーに関する、フルネーム、電話番号、位置座標、職場情報、ソーシャルメディアのプロフィールなど、さまざまな情報が含まれています。
この投稿者は、データがどのようにしてApollo社から流出したのかについて、追加情報を提供していません。また、Apollo社の顧客データベースのうち、フランス国内の部分だけでなく、それ以外の部分も脅威となる人物が保有しているのか、あるいは、以前にApollo社が被った不正アクセスから盗まれたデータなのかは不明です。
Apollo社に、このリークが本物であることを確認できるかどうか、また、ユーザーや顧客に警告を発しているかどうかを尋ねましたが、このレポートを書いている時点では、同社からの回答は得られていません。
自分のオンラインアカウントが他のセキュリティ侵害で公開されていないかどうかを確認するには、150億件以上の侵害記録を収録した個人情報漏洩チェックツールをご利用ください。
何が漏洩した?
流出したアーカイブから見たサンプルによると、Apollo社がLinkedInのプロフィールから収集した可能性のある、ユーザーの様々な主に職業上の情報が含まれているようです。
- フルネーム
- 個人および仕事上のEメールアドレス
- 電話番号
- ユーザーとその雇用者の位置座標
- 現在および過去の雇用形態、詳細な雇用主情報などの職業データ
- LinkedInプロファイルへのリンク
流出したデータの一例:
漏洩した会社はどこですか?
Apollo社は、サンフランシスコを拠点とするソフトウェア企業で、企業がマーケティング目的でコンタクトを取るべき新しい見込み客を識別、分析、発見するためのデジタルプラットフォームを開発しています。
Apollo社自身によると、同社は四半期ごとにセキュリティ監査を実施し、定期的に侵入テストを行い、侵入検知システムをオンラインで運用しているとのことです。そうは言っても、Apollo社がデータを流出させたのは今回が初めてではありません。2018年には、2億人のユーザー記録を含むデータベースが脅威主体に侵入されたことで、同社は批判にさらされました。
漏洩の影響は?
Apollo社のデータベースで見つかったデータは、情報が流出したユーザーや雇用者に対して様々な形で使用される可能性があります。
- ターゲットを絞ったフィッシング攻撃の実施
- 1,100万件の電子メールおよび電話番号へのスパム送信
- 個人の電子メールアドレスやLinkedInのプロフィールのパスワードを強制的に変更する行為
- 勤務先の企業ネットワークに侵入するために、勤務先の電子メールアカウントに侵入しようとする行為
今回流出したアーカイブには、社会保障番号、文書スキャン、クレジットカード情報などの機密情報は含まれていないようですが、電子メールアドレスだけでも、脅威をもたらすには十分な情報となります。
特に決意の固い攻撃者は、流出した情報を他の侵害事件のデータと組み合わせて、潜在的な被害者のより詳細なプロファイルを作成し、被害者やその雇用者に対してフィッシングやソーシャルエンジニアリングの攻撃を仕掛けたり、あるいは個人情報の窃盗を行ったりすることができます。
Next steps
フランスにお住まいの方で、今回の漏洩事件でご自身のデータが流出した可能性があると思われる方は、以下の点にご注意ください。
- アポロの個人データ削除ページにアクセスし、プロのプロフィールを削除するよう依頼します。
- 個人用と仕事用のメールアカウント、およびLinkedInアカウントのパスワードを変更します。
- 強力なパスワードを作成し、それを安全に保管するために、パスワードマネージャーの使用を検討する。
- すべてのオンラインアカウントで2ファクタ認証(2FA)を有効にする。
フィッシングの可能性のあるメールやテキストメッセージに注意してください。怪しいものをクリックしたり、知らない人に返信したりしないでください。
ロシアのサイバー犯罪のトップ3フォーラムがハッキングされる / Three Top Russian Cybercrime Forums Hacked(転載)
krebsonsecurity.com/2021/03/three-…
過去数週間の間に、何千人もの経験豊富なサイバー犯罪者にサービスを提供しているロシア語のオンラインフォーラムのうち、最も長く運営され、最も称賛されている3つのフォーラムがハッキングされました。2つの侵入では、攻撃者は、電子メールやインターネットアドレス、ハッシュ化されたパスワードを含むフォーラムのユーザーデータベースを盗み出しました。3つのフォーラムのメンバーは、この事件が、複数の犯罪フォーラムにまたがる同じユーザーの実生活のアイデンティティを接続するための仮想的なロゼッタストーンになるのではないかと心配しています。
火曜日、何者かが何千ものユーザー名、メールアドレス、難読化されたパスワードをダークウェブ上に暴露しました。これは、10年以上にわたり、最も経験豊富で悪名高いロシアのサイバー窃盗団のホストを務めてきた排他的な犯罪フォーラム、Mazafaka (通称 "Maza", "MFclub")から盗んだものと思われます。
オンラインで流出した35ページのPDFのトップには、Mazaの管理者が使用したとされる秘密の暗号化キーがあります。データベースには、多くのユーザーのICQ番号も含まれています。ICQは、"I seek you "としても知られており、JabberやTelegramのようなプライベートネットワークが普及するまでは、このような古い犯罪フォーラムの初期の住人たちから信頼されていたインスタントメッセージのプラットフォームでした。
これは、特定のアカウントに紐付けられたICQ番号は、多くの場合、セキュリティ研究者が複数のアカウントを多くのフォーラムや異なるニックネームで同じユーザーに紐付けるために使用できる信頼性の高いデータポイントであることが多いため、注目すべき点です。
サイバーインテリジェンス企業のインテル471は、流出したMazaデータベースは合法的なものだと評価しています。
"ファイルは3,000行以上で構成され、ユーザー名、パスワードハッシュ、電子メールアドレス、その他の連絡先の詳細が含まれています。" インテル471は、Mazaフォーラムの訪問者が違反の発表ページにリダイレクトされていることを発見したと指摘しています。"流出したデータの初期分析では、流出したユーザー記録の少なくとも一部が当社の保有データと関連していたことから、その信憑性の高さが指摘されています。"
Mazaへの攻撃は、ロシアの犯罪フォーラムが略奪された数週間後に行われました。1月20日、ロシア語フォーラム「Verified」の長年の管理者が、コミュニティのドメイン登録機関がハッキングされ、サイトのドメインが攻撃者の管理するインターネットサーバーにリダイレクトされたことを明らかにしました。
"私たちの[ビットコイン]ウォレットがクラックされてしまいました。幸いなことに、多額の資金を保管していたわけではありませんが、いずれにしても不愉快な出来事です。状況が明らかになると、管理者は、理論的には、フォーラムのすべてのアカウントが侵害された可能性があると仮定しました(確率は低いですが、それはあります)。私たちのビジネスでは、それは安全に遂行する方が良いです。だから、私たちは全員のコードをリセットすることにしました。これは大したことではありません。単純にメモして、これから使うだけです。"
しばらくして、管理人はこう投稿を更新した。
"フォーラムのデータベースがハッキングされた時に 結局 除去されたというメッセージを得ています 全員のアカウントパスワードは 強制的にリセットされた あなたが知ってる人に この情報を渡して下さい フォーラムはドメインレジストラを通してハッキングされました。レジストラが最初にハッキングされた その後 ドメイン名サーバーが変更されて トラフィックを嗅ぎつけられた"
2月15日、管理者は、1月16日から20日の間にVerifiedのドメインレジストラをハッキングしたと主張する侵入者の代理として送信されたとみられるメッセージを投稿した。
"フォーラムの管理者がこの全体のセキュリティで許容できる仕事をしなかったことは、今までに明らかであるべきである "攻撃者は説明した。"ほとんどの場合、怠惰や無能のために、彼らはすべてを放棄しました。しかし、私たちにとっての主な驚きは、クッキー、リファラー、最初の登録のIPアドレス、ログイン分析、その他すべてのユーザーデータを保存していたことです。"
他の情報源によると、ビットコインの入出金に関する情報やJabberのプライベートな連絡先など、検証済みユーザー間の数万通のプライベートメッセージが盗まれたとのことです。
MazaとVerifiedの危殆化、そして3つ目の主要なフォーラムの可能性もあり、多くのコミュニティメンバーは実生活のアイデンティティが暴露されるのではないかと心配しています。Exploit - おそらくVerifiedに次ぐ規模と人気を誇るロシアのフォーラムも今週、明らかな漏洩が発生しました。
Intel 471によると、2021年3月1日、Exploitサイバー犯罪フォーラムの管理者は、同フォーラムが分散型サービス拒否(DDoS)攻撃から保護するために使用していたプロキシサーバーが未知の人物によって侵害された可能性があると主張しました。管理者は、2021年2月27日に監視システムがサーバへの不正なセキュアシェルアクセスとネットワークトラフィックのダンプを検出したと述べています。
一部のフォーラムの狂信者は、これらの最近の妥協は、いくつかの政府のスパイ機関の仕事のように感じると推測しています。
"諜報機関かサーバーの場所を知っている人だけが、このようなことができる "とExploitの大黒柱の一人はつぶやいています。"1ヶ月に3つのフォーラムというのは奇妙なことだ。通常のハッカーではないと思います。誰かが意図的にフォーラムを台無しにしているのです。"
他の人は、どのフォーラムが次に落ちるのか声を大にして疑問に思っており、ビジネスのために悪いかもしれないユーザー間の信頼の損失を嘆いています。
"おそらく、彼らは以下のロジックに従って動作します "とあるエクスプロイトユーザーは書いています。"フォーラムがなくなり、皆の間に信頼関係がなくなり、協力関係が希薄になり、パートナーを見つけるのが難しくなり、攻撃が減る。"
Update, March 4, 6:58 p.58 p.m. ET: Intel 471によると、最近攻撃を受けた第4の犯罪フォーラムがあったとのことです。これらの出来事について彼らが公開したばかりのブログ記事から。"2月には、別の人気のあるサイバー犯罪フォーラム、Crdclubの管理者は、フォーラムが攻撃を受け、その結果、管理者のアカウントが侵害されたと発表しました。そうすることによって、攻撃の背後にある行為者は、フォーラムの管理者によって保証されたとされる送金サービスを使用するために、フォーラムの顧客をおびき寄せることができました。それは嘘であり、フォーラムから流用される未知の金額をもたらしました。フォーラムの管理者は、だまされた人に返済することを約束しました。他の情報は攻撃で危険にさらされたように見えなかった"
公安調査庁、「サイバー空間における脅威の概況2021」を公表(転載)
SttyK (してぃーきっず) retweeted:
公安調査庁では,国内外で深刻さを増すサイバー空間における脅威の概況等について広く周知するため,サイバーパンフレット「サイバー空間における脅威の概況2021」を公表しました。是非ご覧ください。→moj.go.jp/psia/20130807.…
バックアップ
インテリジェンスをうまく活用してる犯罪グループの事例(転載)~このメモの画像は中々に勉強になる~
《2階○金》《妻50代パート基本的に家》新手プロ窃盗グループの綿密「予習メモ」公開
「家族構成」から「間取り図」も #窃盗団 #文春オンライン bunshun.jp/articles/-/437…
「一家を丸裸にするような内容で、被害者が見たら震え上がるだろう。今の窃盗グループは昔の泥棒とは根本的に違う。高級住宅を狙って綿密に下調べをし、確実に大金を得られるように動いている」
メモには部屋の配置だけでなく、テレビの位置や扉の形状まで
2月にメモを公開した愛知県警の関係者はそう語る。メモには別居する娘が実家に帰る頻度や勤務先、乗っている車の特徴、ナンバーまで書かれていた。間取り図も詳細で、部屋の配置だけでなくテレビの位置や扉の形状まで網羅している。狙っていたのは金庫だろうか。「2階 ○金」という書き込みまであった。
県警は防犯の呼びかけなどを目的に公開したというが、一般人にこうしたプロの手口を防ぐ手立てがあるとは容易に想像しがたい。犯行は、綿密で大胆だ。
公開された資料の中には、押収メモだけでなく犯行グループを映した防犯カメラの映像もある。午前4時、愛知県内の真っ暗な住宅街にヘッドライトを消した1台の白い車が止まる。出てきた2人の男は1軒の豪邸の塀にとりついて中をうかがうと、1分ほどで立ち去った。そこにもまた、犯罪者たちの周到な準備の様子が見て取れる。
「犯行の下見と思われます。人目に付かないように深夜から早朝にかけて行うことが多いようですが、これとは別に昼間の明るい時間にスマホで撮影する場面を映したものもありました」
狙われるのは医者や会社役員、風俗店経営者たち
愛知県は長年、住宅を狙った侵入盗の被害件数が全国ワーストだった。昨年、件数こそワーストを脱却したが、被害総額6億円は全国最多。1件当たりの被害が大きく、それだけ高所得者が被害に遭っている実態がある。
「犯行グループが狙うのは、医者や会社役員、風俗店経営者たちです。所得が高く、自宅に多額の現金や貴金属、高級腕時計などがある場合が多いからでしょう。こうしたリストなどを扱う『情報屋』は闇で出回っている名簿や被害者の関係者や内部からの情報を犯行グループに流し、成果の一部を対価として受け取っているわけです」
投資用マンションや別荘購入者など高所得層が並ぶ名簿は闇で流通し、しばしば振り込め詐欺グループが使うこともある。愛知県警が押収した犯行メンバーのスマートフォンには、情報屋から実行犯に向けたSNSのやり取りも残されていた。
「一軒家80代のばあさん一人暮らし」
「200万で50%ずつです」
「空き案件で東京ですが、誰か行く人いませんか」
窃盗グループはこうした情報をもとに狙いを定め、下見などの準備に入る。使う車には偽造ナンバープレートを取り付け、バールなどの侵入のための工具や目立ちにくい黒の服、連絡用のインカムを用意する。そして実行に移すわけだが、実行犯同士のやり取りもまた生々しい。
「現金の有無とか分かるわけではないから、基本は数をこなさないと(利益は)上がらない」
「北の内偵入っているから市内合流でいい?」
室内で犯行グループとばったり鉢合わせたら……
実際の犯行は、短時間で手際よく済ませることが重要だ。こうしたグループによる事件を分析すると、見張り役が車の中で待機し、侵入役が玄関をバールでこじ開けたり、窓ガラスを割ったりして中に入るケースが大半だという。あとは金庫を丸ごと運び出し、装飾品や腕時計など値の張る小物貴金属をまとめて袋に詰めて逃げるだけだ。
窃盗犯罪の手口に詳しい別の警察関係者は「奴らは綿密で細かい準備をするが、犯行は大胆でもある。警備会社が提供するセキュリティーシステムがあっても平気で侵入する。警報が作動しても短時間でやれば逃げられる。それが一番効果的だと知っているのだろう」とうなる。
こうした手練れのグループは、暴力団と通じているとの指摘もある。そして先のSNSのやり取りにもあったように、利益を得るために次々とターゲットを見つけては組織的に犯行を繰り返す。
定価制フルリフォームプラン『ワンルームリノベ』販売開始(転載)~フルリノベが定額でできるのはイイネ!~
「人生100年時代」を見据えながら、不動産の資産運用コンサルティングを行う総合不動産商社の株式会社ランドネット(本社:東京都豊島区/代表取締役社長:榮 章博)は、賃貸マンションの空室問題を抱えるオーナー様向けに安心の定価制によるリフォームプラン『ワンルームリノベ150』、『ワンルームリノベ180』を2021年3月2日より販売開始致します。
概要
当プランは、25㎡までのワンルームを対象に、表層や設備交換も含めたフルリフォームを定価制で施工するサービスです。
通常同規模の標準工事費用は250~300万円程度ですが、「ワンルームリノベ150」では定額150万円※1で追加費用も一切発生しないので、賃借人退去時に要する高額な費用負担を軽減することが出来ます。
また「ワンルームリノベ180」では、3点ユニットバスをバストイレ別の仕様にする等、間取りの変更も可能となり用途に合わせたプランを選ぶことが出来ます。
設計・工事・管理を一貫して社内で内製化することで、お客様にとって「安い・安心・丁寧」の信頼と定評を頂いております。今後も企業目標である「不動産流通業を革新する世界No.1企業」を目指し、不動産価値の向上を図るためサービスの拡充に努めて参ります。
【3点ユニットバスを間取り変更した写真イメージ】 ※実際の物とは異なる場合がございます。
『ワンルームリノベ150』 標準仕様
(標準仕様以外はオプションも可能)
玄関
土間: 既存シート剥がしクッションフロア貼
上り框: 塗装仕上げ or 清掃
ドア(内側): 塗装仕上げ or 清掃
玄関収納扉・内部: 塗装仕上げ or 清掃
壁・天井
塗装仕上げ or クロス貼り・デザインクロス(一部)
廻り縁
塗装仕上げ
巾木
新規ビニル巾木交換 or 塗装仕上げ
床
室内及び廊下部分: フロアタイル張り
建具
扉・枠: 塗装仕上げ 収納扉・枠: 塗装仕上げ
収納内部: 塗装仕上げ + クロス張り
キッチン
ミニキッチン新設(W=900)
UB
3点式UB(1014サイズ・浴槽・洗面台・便器・鏡)※浴室乾燥機無し
UB枠新設
電気工事
スイッチプレート、コンセントプレート交換、
既存配線切回し 火災報知器(電池式)、インターホン新設
廊下・室内:レール2本、スポット照明4台新設
設備工事
設備交換に伴う、既存給排水管切回し・給湯配管切回し
(既存配管に漏水が無いか確認し、切回し配管を行います。漏水時は別途)
その他
養生 ルームクリーニング 洗濯機パン交換
給湯器交換※給湯専用
ワンルームリノベ150_標準仕様イメージ
ワンルームリノベ150・180の標準仕様イメージ(共通)
『ワンルームリノベ180』 標準仕様
(標準仕様以外はオプションも可能)
玄関
土間: 既存シート剥がしクッションフロア貼
上り框: 塗装仕上げ or 清掃
ドア(内側): 塗装仕上げ or 清掃
玄関収納扉・内部: 塗装仕上げ or 清掃
壁・天井
塗装仕上げ or クロス貼り・デザインクロス(一部)
廻り縁
塗装仕上げ
巾木
新規ビニル巾木交換 or 塗装仕上げ
床
室内及び廊下部分: フロアタイル張り
建具
扉・枠: 塗装仕上げ 収納扉・枠: 塗装仕上げ
収納内部: 塗装仕上げ + クロス張り
キッチン
ミニキッチン新設(W=900)
UB
2点式UB(1014サイズ・浴槽・洗面台・便器・鏡)※浴室乾燥機無し
UB枠新設
電気工事
スイッチプレート、コンセントプレート交換、
既存配線切回し 火災報知器(電池式)、インターホン新設
廊下・室内:レール2本、スポット照明4台新設
設備工事
設備交換に伴う、既存給排水管切回し・給湯配管切回し
(既存配管に漏水が無いか確認し、切回し配管を行います。漏水時は別途)
その他
養生 ルームクリーニング 洗濯機パン交換
給湯器交換※給湯専用
以下180プランでの追加部分
トイレ
洗浄便座付便器、タオルリング、ペーパーホルダー、トイレ扉新設
収納
クロゼットドア、枕棚、ハンガーパイプ新設
洗濯機置場
洗濯機置場を室内に新設 洗濯機パン新設
間取り変更
ユニットバス解体とクロゼット増設に伴う間取り変更実施
※1 税別価格となっております。2021年4月1日より「総額表示義務」により、プラン名が変わる場合がございます。
ワンルームリノベ180の標準仕様イメージ
会社概要
名称: 株式会社ランドネット
代表者: 代表取締役社長 榮 章博
所在地:東京都豊島区南池袋1-16-15 ダイヤゲート池袋7階
設立:1999年
資本金:1億円
事業内容:不動産投資事業/投資用中古マンションの売買/売買仲介・賃貸・賃貸仲介・賃貸管理/不動産コンサルティング/不動産投資セミナーの開催/不動産賃貸事業/リノベーション事業・リフォーム事業/不動産クラウドファンディング事業
WEBサイト:https://landnet.co.jp
リフォーム・リノベーションサイト:https://landnet.co.jp/reform
タイ国際航空、500億バーツの資金調達と50%の人員削減を目指してリハビリ計画を実施 / Thai Airways Seeks To Raise 50 Billion Baht And Reduce Staff By 50% Through Rehabilitation Plan(転)
タイ国際航空は今週、債権者に事業再生計画を提出し、コスト削減策と、早期退職募集や運営コストの支払いのために金融機関から500億バーツを調達する意向を明らかにした。
タイは債権者に債務削減を提案しておらず、代わりに3年間の借金返済モラトリアムを提案しています。
今は債権者に債務減免を求める代わりに、タイ航空はさらに500億バーツ(約16.5億米ドル)もの借金を背負い、3年後には奇跡的に返済して黄金時代を迎えようと計画しています。
今週のバンコクポスト紙がこれらの計画について報じたとき、それはほとんどパロディのように聞こえました。
タイ航空インターナショナル(THAI)は、財政的に苦戦しているフラッグキャリアが火曜日に事業再生計画を提出したことから、今後2年間で約500億バーツの資金調達を計画しているという。
タイ航空の財務経理部のチャイ・エームシリ副社長代行は、運営費や退職した従業員への補償のために、今年6月までに300億バーツの初期資金を調達しなければならないと述べた。
この資金は、金融機関からの借入、投資先を探す、あるいは負債から株式への転換によって調達することができる、と同氏は述べています。
再生計画をめぐる債権者との交渉では、債権者が再生計画を承認しないことを恐れて、同社は債務削減を求めていない。その代わりに、タイ航空は3年間の債務のモラトリアムを求めており、その後は債務を返済していくとチャイ氏は述べた。
タイ航空のチャンシン・トレヌチャグロン社長代行は、同社の再生計画を法務執行部に提出したところ、負債額は約4100億バーツ、債権者は合計1万3000人に上ったという。
タイ航空の債権者は5月12日に再生計画の採決を行い、過半数の債権者が賛成すれば、中央破産裁判所に提出され、検討されるとチャンシン氏は述べている。
裁判所は6月から7月の間に承認するかどうかを決定する見込みであると、彼は計画が承認された場合、同社は計画に沿って事業を行うと付け加える前に言った。
同氏によると、タイ航空の会社自体もダウンサイジングを行っており、2019年には約29,000人の従業員が現在21,000人にまで減少しているという。
また、今年は6,000人から7,000人の従業員が相互分離計画に参加する予定で、これにより、同社の今後の事業計画に適した年内に約14,000人から15,000人の従業員を削減することになるとシャンサン氏は述べている。
これを踏まえ、再生プランナーは航空機リース会社である債権者とリアルタイムの利用状況に応じて柔軟にリース料を交渉してきた。これにより、タイ航空は効率的なコスト削減が可能になるとチャンシン氏は述べた。
従業員の数を50%削減することは、彼らのスタッフの数がいかに長年にわたって膨れ上がっていたかを示しています。これは主に地上スタッフに関係していますが、年配の客室乗務員や、勤務時間が大幅に短縮されたパイロットも含まれています。要するに、タイ航空は、特定のコネを持つ多くの人々の駐車場としてしばしば利用されてきた会社であり、雇用状況に関して言えば、まだ切り詰めるべき脂肪がたくさんあります。楽な仕事が必要ですか?タイ航空に影響力のある人を知っていればラッキーです。
管財手続き中のタイ航空が今の状況(4,100億バーツの借金)で、債権者に債務削減を求めないというのは、絶対にクレイジーなことです。それはむしろ、タイの特定の影響力のあるビジネスパーソンや機関が、タイ航空との債務を帳消しにすることを余儀なくされた場合、自分たちの帳簿上で大きな損失を被らないように保護するための意図のように聞こえる。
もし債権者が本当にカットを受けたくないのであれば、もう一度リストラをしてさらに借金を背負うのではなく、破産裁判所でチャンスを掴んで、会社全体を再スタートさせた方がいいと思います。
金融機関は、政府が保証しない限り、タイ航空にこれ以上お金を貸すことはないだろう。タイ航空は、一部の株式の所有権を移転した後、もはや国営企業ではありません。
まだ15,000人以上の従業員が、航空会社に依存していることを忘れないようにしましょう。
結論
タイ航空とその財政難の話は終わりのない武勇伝になりつつあり、航空会社の倒産やリストラには通常時間がかかりますが、昨年の春以来、ほとんど達成されていません。この「再生計画」は、名前の約束とは全く違います。タイ航空が今抱えている最も根本的な問題である負債を減らすことはできません。
世界中のあらゆるリストラを行っても、同社は蓄積された借金の山を返済することができないだろう。どちらにしてもビジネスにならない今のうちにこのことを認識し、債務を大幅にカットするか、会社を清算することで航空会社の財務をリセットすることが正しいことだろう。私は破産裁判所がこの計画を実行不可能なものとして却下することを期待している。
電子機器大手のAcer、ランサムウェア攻撃で情報を盗取され、5,000万米ドルの身代金を請求される / Electronics Giant Acer Hit by $50 MIllion Ransomware Attack(転載)
Electronics Giant Acer Hit by $50 MIllion Ransomware Attack:
REvilと呼ばれるランサムウェア・ギャングは、コンピュータ大手のAcerから機密ファイルを盗み出し、5,000万米ドルという前代未聞の身代金を要求しました。このグループは、台湾企業のネットワークに侵入したことを証明するために、盗んだとされる表計算ソフト、銀行残高、銀行のメールなどの画像をネット上に掲載しました。
セキュリティ研究者によると、ハッカーはMicrosoft Exchangeの脆弱性を悪用して同社のネットワークに侵入した可能性があるとのことです。カロー氏によると、Acer社の5,000万ドルの要求は、公になっている身代金要求としては過去最大のもので、REvilがニッキー・ミナージュ、マライア・キャリー、レブロン・ジェームズなどを顧客に持つ著名な法律事務所Grubman Shire Mieselas & Sacks社に要求した4,200万ドルよりも大きいという。
この状況について尋ねられた際、Acerはランサムウェアによる攻撃であることを認めず、Bleeping Computer社の声明の中で "最近観測された異常な状況を複数の国の関連する法執行機関およびデータ保護当局に報告した "とだけ答えました。さらなる詳細を求めたところ、エイサーは "現在進行中の調査があり、セキュリティのために詳細についてはコメントできない "と答えた。
Record誌の報道によると、Acerの名前は、ランサムウェアグループ「REvil」の恐喝料を支払わない企業のリストに掲載されていました。マルウェア・インテリジェンス・アナリストのMarcelo Rivero氏の協力を得て、Record社は同グループの別のダークウェブポータルを追跡することに成功しました。このポータルには、同グループがAcer社に要求している5,000万ドルの身代金と、同社の代表者とのコミュニケーションに使用しているオンラインチャットが明確に表示されていました。
攻撃の前に、アドバンスド・インテルのAndarielサイバーインテリジェンス・プラットフォームは、REvilギャングが最近、エイサーのドメインにあるMicrosoft Exchangeサーバーを標的にし、ProxyLogonの脆弱性を利用してランサムウェアをインストールしたことを検出しました。
マレーシア航空、フリークエントフライヤーのデータが9年間流出 / Malaysia Airlines Frequent Flyers Data Exposed in Nine-Year Breach(転載)
マレーシア航空のマイレージプログラム「エンリッチ」の会員が、2010年3月から2019年6月の間のどこかで個人情報が流出した可能性があると警告されている。同航空会社は、未知数のフライヤーの名前や生年月日、連絡先などが流出した可能性があると発表した。
2010年3月から2019年6月までの間のどこかでマレーシア航空のエンリッチプログラムの会員だった場合、個人を特定できる情報が漏洩した可能性があると航空会社は述べています。Channel Asiaによると、航空会社は現在、最大9年間続いた可能性のあるデータ侵害を公開しているという。
曝露データには、氏名、生年月日、ステータス、連絡先が含まれています。
報告書によると、フライヤーの身元の重要な詳細が期間中にハッカーに暴露された可能性があるという。そのデータには、以下のようなものが含まれています。
- 会員氏名
- 生年月日
- 性別
- 連絡先情報
- フリークエントフライヤー番号
- フリークエントフライヤーエリートのステータス
- ロイヤリティ層のレベル情報
しかし、航空会社によると、ハッカーに旅程情報が流出したことはなかったという。また、予約、発券情報、身分証明書、クレジットカード情報はすべて安全に保たれていた。
航空会社は、今回のデータ流出によって影響を受けた可能性のあるフライヤーの数については明言していない。メディアの声明では、航空会社は、盗まれたデータがフライヤーに悪用されたとは考えていないとしています。エンリッチの会員には、2021年3月1日(月)に送信された電子メールで初めて侵害の事実が知らされました。
"マレーシア航空は、個人情報が悪用されたという証拠はなく、今回の事件ではアカウントのパスワードも開示されていません。"と、航空会社の声明文は、チャンネル・アジアによると読み上げられています。"それにもかかわらず、エンリッチ会員には、予防措置としてアカウントパスワードの変更を奨励しています。今回の事件は、マレーシア航空自身のITインフラやシステムに影響を与えるものではなかった"
データ侵害が大手ロイヤリティプログラムを悩ませ続ける
ロイヤリティプログラムは、個人情報を盗むために使用できる多くのデータポイントが含まれているため、ハッカーの主要な標的となり続けています。とはいえ、データ侵害の犠牲者は航空会社だけではありません。2020年3月、マリオット リワードはデジタル攻撃を受け、500万人以上のフライヤーの情報が流出したと発表しました。
famm.us の情報流出案件、最終報が更新されました(転載)~情報流出事案に対してキッチリ向き合う姿勢はスバラシイ~
登録:
投稿 (Atom)