『このサイトは、20年前から運用が始まり、連邦裁判所で開かれる裁判に提出された書類や証拠の多くが、電子記録として保管され、アカウントを登録すれば、誰でも閲覧しコピーもできるという。』
www3.nhk.or.jp/news/html/2021…
雑記系ブログ。セキュリティとか、マイルとか、投資とか、、、 / Miscellaneous Blogs. Security, miles, investments, etc
フランスの大手製薬会社Pierre FabreがREvilランサムウェアの攻撃を受け、当初は2500万ドルの身代金を要求されていたことがBleepingComputerの調べでわかりました。
ピエール・ファーブルは、フランスで2番目に大きい製薬グループであり、世界で2番目に大きい皮膚化粧品研究所でもあります。全世界に10,000人以上の従業員を擁するPierre Fabre社は、化学療法薬からスキンケア製品まで、さまざまな製品を開発しています。
先日、Pierre Fabre社は、3月31日にサイバー攻撃を受けたが、24時間以内に制御したと発表した。
しかし、Pierre Fabre社によると、感染拡大を食い止めるためには、ほとんどの生産活動を段階的かつ一時的に停止しなければならなかったそうです。
"念のため、リスク管理計画に沿って、グループの情報システムを直ちに待機モードにして、ウイルスの拡散を抑制しました。"
"これにより、ほとんどの生産活動が段階的かつ一時的に停止しました(医薬品や化粧品の有効成分を製造しているガイアック(フランス・タルン県)の生産施設を除く)」とPierre Fabre社は開示しています。
当時、Pierre Fabre社は、どのような種類のサイバー攻撃を受けたのかを明らかにしていませんでした。
ピエール・ファーブル、ランサムウェア「REvil」の攻撃を受ける
その後、BleepingComputer社は、Pierre FabreがREvil/Sodinokibiと呼ばれるハッキンググループによるランサムウェア攻撃を受けたことを確認しました。
REvilは、ランサムウェア・アズ・ア・サービス(Ransomware-as-a-Service)と呼ばれるもので、コアとなるマルウェアの開発者がアフィリエイトを募り、企業のネットワークを侵害して暗号化されていないデータを盗み出し、デバイスを暗号化します。身代金が支払われた場合、コアとなる開発者とアフィリエイトは、合意された比率で支払いを分割しますが、通常はアフィリエイトがより多くのシェアを獲得します。
この攻撃に関する詳細はまだわかっていませんが、BleepingComputerは最近、Pierre Fabreランサムウェアの攻撃で使用されたとされるREvil Torの支払いページのリンクを受け取りました。
このTorの支払いページでは、ランサムウェア・ギャングが2,500万ドルの身代金を要求しています。犠牲者からの連絡がなく、制限時間が過ぎたため、REvilの身代金は2倍の5,000万ドルになりました。
昔、ANAマイルへの交換レートが非常によく、重宝していた。
2014年頃からJALマイルメインとなったため、ほとんど使っていなかったのだが、JALマイルへの直接変換を開始したらしい。
JALマイルへの選択肢が増えることはいいことである。
個人的にはポイントサイトは広く使うよりも絞り込んで使い倒したい派なのだが、ハピタスは安心保証や友達紹介によるレートアップの制度があり、ポイントサイトの中ではかなり利用者にやさしい部類に入ると思う。
Get a BA First Class meal kit delivered to your door – we try it out
ブリティッシュ・エアウェイズは、プレミアム・ミールキットのトレンドに乗り、ファーストクラスの食事を注文して自宅で組み立てる機会を提供しています。各ミールキットは2人分の4コースで構成されており、価格は80ポンドから100ポンドです。
食事はブリティッシュ・エアウェイズとDO&COが開発したもので、ベジタリアン、ペッシー、肉食の3種類から選ぶことができます。どんな食事が出てくるかというと、こんな感じです。
ロッホ・ファイン社製スモークサーモンのティンバーレ、ハニーマスタードドレッシング添え
じっくり煮込んだ英国産牛の頬肉、ハラペーニョ風味のポテトグラタン、ブロッコリー、チミチュリー添え
Caws Golden cenarth、Snowdonia Black Bomber Cheddar、Harrogate blue、Kidderton ash goats cheeseのチーズセレクション、チャツネ添え
ダークチョコレートとオレンジリキュールを使ったパンとバターのプディング、バニラソース添え
ミールキットは、ヒースロー空港にあるDO&COの巨大な新キッチンで組み立てられますが、ここ1年はかなり閑散としていたようです。DO&COは、注文を受けてから毎日新鮮な状態でボックスを準備します。
ファーストクラスのミールボックスはFeast Box社と共同で開発されたため、BA社はFeast Box社の確立されたプロセスの恩恵を受けることができました。たとえば、配送に関するタイムリーなテキストアップデートや効率的な梱包などです。
箱の中には、ブリティッシュ・エアウェイズの機内で使用されているものと同じようなパッケージやカートンが入っており、より親しみを感じました。
箱の中に入っているすべての食材をリストアップしたメニューカードが用意されていて、4つのコースを組み立てるためのガイドになっています。4つのコース料理というだけあって、食材の数は意外と多い。オリーブオイルや塩・コショウまで用意されているので、家にあるものだけで完璧な料理を作ることができます。
私が感心したのは、すべてのパッケージがリサイクル可能であるということでした。メインボックスのデザインは斬新で、ビニールテープが必要ありません。カートンや内箱には、リサイクル可能なカードが使われています。
私はベジタリアンミールを選びました。
アスパラガス、グリルした茄子、火を通したピーマン、フムス、クレームフレーシュを添えたサラダ。
手作りアンニョロッティ、モレル、アスパラガスのフライ、パンナソース、続いて....
ゴールデンセナース、ブラックボンバー、ハロゲートブルー、キダトンアッシュの各チーズに続いて、....。
ダークチョコレートとオレンジリキュールを使ったパンとバターのプディング、バニラソース添え
レシピはそれほど専門的なものではありませんでしたが、このレシピは、ただ単にすべてのものを30分間オーブンに入れるだけのレシピボックスではありません。
デザートのように温めるだけのものもありますが、全粒粉のサラダのキヌアを炊いたり、茄子を焼いたり、ピーマンを焼いたりと、かなりの準備が必要でした。
提供されたレシピには、ファーストクラスのキャビンと同じ基準で料理を提供するための詳細が記載されており、非常に明確な指示がありました。デザートに添えられたミントの葉や、チーズと一緒に食べるブドウのミニ房など、ファーストクラスの体験を再現するためのすべてが用意されていました。
レシピはわかりやすいものでしたが、一つだけ批判したいのは、タイミングを計るのが難しいということです。ガイドでは、前菜とメインの両方を用意してからサーブすることになっていますが、そうするとパスタがかなり冷たくなってしまいます。そこで、前菜を食べた後にパスタを茹でることにしました。
タイミングの問題はさておき、本当に美味しい料理でした。素材の質が高く、レシピのおかげで非常に贅沢な4品のコースを楽しむことができました。
毎日調理されているので、メニューには季節感があり、野菜もとても新鮮でした。すべてのコースをとても楽しみましたが、メインはちょっとした見せ場でした。アスパラガスとモレルを添えた風味豊かなパスタの上に、リッチなクリーミーソースがかかっていました。
先着500箱まで無料で提供されるHattingley Valleyのイングリッシュ・スパークリングワインも素晴らしく、特に前菜のサラダとの相性は抜群でした。
80~100ポンドと決して安くはありませんが、量がとても多く(残った全粒粉のサラダを何回か昼食に食べています)、レストランが閉店してから最も贅沢な食事をした気分になりました。
もし、私たちがまだ拘束されている間に、特別な日を迎えるのであれば、ファーストクラスのスタイルでお祝いする方法として、BA First Class Feast Boxを検討する価値があると思います。
当社は、お客様からのフィードバック、進化する技術、変化し続ける脅威の状況に基づいてCIS Controlsを更新することで、常に適切な状態を保つよう努めています。より多くの組織がクラウドサービスやリモートワークに移行しているのを見て、私たちは、CIS Controlsとそれをサポートするセーフガード(旧バージョンではサブコントロールと呼ばれていた)を再検討し、私たちの推奨事項が効果的なサイバー防御を提供していることを確認する時期だと感じました。その結果、CIS Controls Version 8が誕生しました。CIS Controls Version 8では、以下の推奨事項が更新されています。
CIS Controls Version 8では、デバイスを管理する人ではなく、活動によってコントロールを組み合わせ、統合しています。物理的なデバイス、固定された境界、セキュリティ実装の孤立した対策は重要ではなくなり、v8では用語やセーフガードのグループ化によってこれが反映されています。その結果、コントロールとセーフガードの数は減少し、コントロールは18(従来は20)、セーフガードは153(従来は171)となっています。
各セーフガードは、可能な限り「一つのこと」を、明確で解釈を必要としない方法で求めています。さらに、各セーフガードは、測定可能なアクションに焦点を当て、プロセスの一部として測定を定義しています。企業にとって、CISコントロールの実施状況を把握することは重要なことです。この目的のために、CISコントロール自己評価ツール(CSAT)をv8に対応させる予定です。また、多くのお客様がv7.1を使用されていると思いますので、v8に移行する時間を確保するために、両バージョンをサポートします。
CIS Controls v8は2021年5月中旬にリリースされる予定です。今後、CIS Controls v8やサポートツールに関するウェビナー、ポッドキャスト、ブログなどの最新情報をお届けしますので、引き続きご利用ください。
イシグロが運営する釣り具の通信販売サイトが不正アクセスを受け、利用者のクレジットカード情報が流出し、悪用された可能性があることがわかった。
同社によれば、2020年5月27日から10月22日にかけて「イシグロメイキングパーツ専門オンライン」「イシグロ中古つり具専門」を利用した顧客3171人分のクレジットカード情報4026件が流出し、不正に利用された可能性があることが判明したもの。
外部からシステムの脆弱性を突く不正アクセスがあり、クレジットカードの名義、番号、有効期限、セキュリティコードなどを窃取するよう決済アプリケーションが改ざんされていた。
2020年11月6日にクレジットカード会社から流出の可能性について指摘を受け、問題が判明。1月21日に調査が完了し、同社では3月11日に警察への被害相談を行い、個人情報保護委員会へ報告を行った。
対象となる顧客には、4月5日より書面で報告や謝罪を行っており、心当たりのない請求が行われていないか確認するよう求めている。
宅配クリーニングサービスを提供するウェブサイト「せんたく便」が不正アクセスを受け、顧客のクレジットカード情報が外部に流出した可能性があることがわかった。また一部顧客情報が、外部よりアクセスできる状態で保存されていたことも判明したという。
同サイトを運営するヨシハラシステムズによれば、2020年4月より稼働するシステムが不正アクセスを受けたほか、システム移行時における旧システムのデータが、外部よりアクセス可能な状態となっていたもの。最大5万8813人分のクレジットカード情報が流出し、悪用された可能性がある。
具体的には、2020年4月27日以降に稼働している新システムが、SQLインジェクションの脆弱性を突く不正アクセスを受けた。
同システムでは、クレジットカード情報をトークンとして保管するシステムを採用していたが、調査を行ったところ、新規に登録したり、変更が行われた会員のクレジットカード情報4万4891件が外部に流出した可能性が判明した。
これとは別に、同社では新システムへの移行にあたり、開発目的で旧システムの一部顧客のデータ1万3922件をサーバ上で保管していたが、公開領域だったため、2020年4月27日以降、外部からアクセス可能な状態となっていた。
Doxxingの容疑者がGoogle Docsを使って被害者と共同作業をしているのをよく見かけます。オンラインアカウント、電子メールアドレス、電話番号、自宅の住所などの詳細を見つけ次第、追加していきます。これらの文書は、舞台裏の貴重な情報を表示することができます。例を挙げてみましょう。
私は、以下のリンクで私のOSINT本のPDF版を無料で提供すると主張するGoogleドキュメントを見つけました(スパイウェアの可能性があります!)。
https://docs.google.com/spreadsheets/d/1KXksB1vj7fXPNS4OYL0idQne3HXVnamtUP1h0ut3xwk
ページのソースコードにはオーナーの詳細は含まれていませんが、Google APIには含まれています。この情報を照会する最も簡単な方法は、xeuledocというPythonアプリケーションです。
https://github.com/Malfrats/xeuledoc
拙著『Open Source Intelligence Techniques, 8th Edition』のチュートリアルで作成したOSINT VMへのインストールは非常に簡単です。Terminalで以下のように入力します。
sudo -H python3 -m pip install xeuledoc
xeuledoc "と入力してプログラムを実行し、続いて目的のGoogle Docを入力します。私の例では以下のようになりました。
xeuledoc https://docs.google.com/spreadsheets/d/1KXksB1vj7fXPNS4OYL0idQne3HXVnamtUP1h0ut3xwk
その結果、作成日、修正日、所有者名、所有者の電子メールアドレス、所有者のGoogle IDが特定されました。以下に再編集したコピーを掲載します。
誰がドキュメントを作成してアップロードしたかがわかりました。次のコマンドでいつでもxeuledocを更新することができますが、あなたのカスタムアップデートスクリプトに追加することもできます。
sudo -H python3 -m pip install xeuledoc -U
このプログラムを含むように、私のウェブサイトのLinuxステップとLinux自動インストールスクリプトを更新しました。この情報は、本に同梱されているURL/ユーザー/パスワードからアクセスできます。これは、出版後に登場した新しいOSINTツールの中で、おそらく私のお気に入りです。
キッチン用品や食器など扱う通信販売サイト「ゆとりの空間オンラインショップ」が不正アクセスを受け、会員登録時に入力した個人情報が外部に流出した可能性があることがわかった。パスワードなども含まれる。
「ゆとりの空間」は、料理家の栗原はるみさんや栗原心平さんの公式サイト。キッチン用品や食器など扱うオンラインショップを展開している。同サイトを運営するモブキャストホールディングス子会社のゆとりの空間によれば、システムの脆弱性を突く不正アクセスにより、新規会員の登録ページが改ざんされたという。
2020年12月8日から2021年3月9日にかけて、同サイトであらたに登録された会員情報5,009件が流出した可能性がある。氏名や住所、電話番号、メールアドレス、性別、生年月日のほか、パスワード、パスワードを忘れた際のヒントなども含まれる。
1月27日に同サイトの利用者からページ遷移に関する問い合わせがあり、改ざんされた可能性を把握。同日よりクレジットカード決済を停止し、社内および外部事業者による調査を行っていた。
3月9日に外部事業者からの経過報告で、新規会員登録ページが改ざんされていると指摘があり、同ページを修正。同月15日に情報流出の可能性について報告を受けたという。
同社では3月29日に警察と個人情報保護委員会へ報告。対象となる顧客に対しては、3月31日よりメールで謝罪しており、パスワードの変更を案内するとともに、他サイトでパスワードを使い回している場合は、変更するよう求めている。
【日時】
令和3年3月9日(月) 10:00 ~ 12:00
【場所】
オンライン形式での開催
【議事次第】
1. 開会
2. 説明
(1)スマートシティセキュリティガイドライン改定の方向性について
(2)電気通信事業者のネットワークの安全・信頼性の確保に向けた取組について
(3)サイバー攻撃被害情報の共有と公表のあり方について
3. 質疑応答及び自由討議
4. 説明
(4)サイバーセキュリティ分野における国際連携について(非公開)
5. 質疑応答及び自由討議(非公開)
6. 閉会
【資料】
健康食品通販サイトでクレカ情報流出か - 個人情報格納サーバにも不正アクセスの痕跡
「健康いきいき倶楽部 公式通販サイト」もEC-CUBE
健康食品など取り扱う健康いきいき倶楽部の通信販売サイトが不正アクセスを受け、顧客情報が外部に流出したことがわかった。
同社によれば、「健康いきいき倶楽部公式通販サイト」が、脆弱性を突く不正アクセスを受けたもの。ウェブサイトのプログラムが改ざんされ、本来システム上で保存されないクレジットカード情報が記録されており、攻撃者によって不正に取得された可能性がある。2020年12月4日にクレジットカード会社から指摘があり、問題が発覚した。
2019年12月14日から2020年12月4日までに、同サイトで新規にクレジットカード情報を登録したり、登録済みのクレジットカード情報を変更した顧客が対象で、クレジットカードに関する名義や番号、有効期限、セキュリティコードなど3308件が流出し、不正に利用された可能性がある。
さらにクレジットカード情報以外の個人情報に関しても、ログによりデータを格納するサーバが不正アクセスを受けていたことが判明した。流出の対象となる件数や範囲はわかっていない。
同社に取材を求め、サーバに保管されていた個人情報の件数や含まれる具体的な内容について尋ねたが、ウェブサイト上で公表している以上の情報は開示できないとして、回答は得られなかった。
同社は、外部事業者による調査を2021年1月31日に終え、3月15日に個人情報保護委員会へ報告。同日警察に被害を申告した。クレジットカード情報が流出した可能性がある顧客に対しては、メールで個別に連絡を取り、心当たりのない請求などが行われていないか注意を呼びかけるという。
【バックアップ】
インシデントレポート
あるリーク情報によると、5億人以上のFacebookユーザーの情報(電話番号などを含む)を事実上無料で提供しているという。このデータベースは昨年6月からオンラインで公開されている。
イスラエルのサイバー犯罪情報会社「Hudson Rock」の共同設立者であるAlon Gal氏は、このデータベースは、1月からハッカー界で出回っているFacebookに関連する電話番号のセットと同じものである可能性があると述べています(その存在は、技術系雑誌「Motherboard」が最初に報じました)。
"Facebookのアカウントを持っている人は、そのアカウントに使われている電話番号が流出している可能性が極めて高い "とGalはツイートしています。
533,000,000件のFacebookの全記録が無料でリークされています。
つまり、Facebookのアカウントを持っている人は、そのアカウントに使われている電話番号が流出している可能性が極めて高いということです。
このようなデータに対する絶対的な過失を、Facebookはまだ認めていません。 https://t.co/ysGCPZm5U3 pic.twitter.com/nM0Fu4GDY8
— Alon Gal (Under the Breach) (@UnderTheBreach) April 3, 2021
サイバーニュースの調査チームによると、このデータベースは昨年6月から同じフォーラムで販売されていました。数日前には、数ドルでデータベースを照会できるTelegramのボットが作成され、実質的に無料で利用できるようになりました。
このデータベースには106カ国のエントリーがあり、氏名、携帯電話番号、少数の電子メールアドレス、性別、職業、居住地、婚姻状況などが含まれています。
最も被害を受けた国は米国と英国で、それぞれ3,200万人と1,150万人のFacebookユーザーのデータが流出しました。
専門家の間では、今回の事件のずっと前から、このプライバシー問題は大きく報道されていないと主張し、赤旗を掲げていました。セキュリティ専門家は、流出したデータがマーケティング目的だけでなく、人になりすまして詐欺を働くことにも使われる可能性があると警告しています。
ロイターがメッセージングサービスのTelegramを使ってこのリーク者に連絡を取ろうとしましたが、すぐには成功しませんでした。また、Facebookはコメントを求めるメッセージを返信していません。
今年初めのMotherboardの記事は、流出したデータは同社が2019年8月に修正したバグの成果のようだとするFacebookのコメントを引用している。
ガルはロイターに対し、Facebookユーザーは今後数ヶ月の間に、電話番号やその他の個人情報を入手した可能性のある人物による「ソーシャルエンジニアリング攻撃」に警戒すべきだと述べました。今回のリークのニュースは、Business Insiderが最初に報じました。
フェイスブックは、ケンブリッジ・アナリティカを筆頭に、第三者によるユーザーデータのスクレイピングや収集を認めていることで、長い間批判されてきました。
ここ数週間、ATT&CKを使った脅威インテリジェンス、検知・分析、敵のエミュレーションなど、ATT&CKを使いこなすための記事を掲載してきました。ミニシリーズのパート4では,評価とエンジニアリングについて,ATT&CKを使ってどのように防御力を測定し,改善できるかをご紹介します。この記事は多くの点で過去の記事を基にしていますので、まだご覧になっていない方はぜひチェックしてみてください。
このプロセスをよりわかりやすくするために、また、他の記事と同様に、この記事を洗練度とリソースの有無に応じて3つのレベルに分けています。
評価を始めることは、最初は恐ろしく聞こえるかもしれません-誰が評価されることを喜ぶでしょうか?- しかし、ATT&CKのアセスメントは、セキュリティエンジニアやアーキテクトが脅威に基づくセキュリティの改善を正当化するための有用なデータを提供するための、より大きなプロセスの一部です。
アセスメントとエンジニアリングのレベルは累積的であり、互いに積み重ねられていきます。自分たちが高度なサイバーセキュリティチームであると考えている場合でも、レベル1から始めて、より大規模なアセスメントに移行するためのプロセスを踏むことをお勧めします。
多くのリソースを利用できない小規模なチームで作業していて、完全な評価を行おうと考えているならば、やめた方がいい。すぐにATT&CKマトリックスの色分けされたヒートマップを作成してカバレッジを可視化するというアイデアは魅力的ですが、ATT&CKを使うことに興奮するよりも、ATT&CKに燃え尽きてしまう可能性の方が高いでしょう。その代わり、小さなことから始めましょう。焦点を当てるべき1つの技術を選び、その技術に対するカバレッジを決定し、それを検出するために適切なエンジニアリングの強化を行います。このように始めることで、より大規模な評価を行う方法を練習することができます。
ヒント:どの手法から始めるべきかわからない?ケイティのブログ記事では、ATT&CKやスレットインテリジェンスをどのように使ってスタート地点を選ぶかのヒントを紹介しています。
テクニックを選んだら、そのテクニックをどのようにカバーするかを考えてみましょう。独自のルーブリックを使用しても構いませんが、まずは以下のカテゴリーでカバーすることをお勧めします。
ヒント:最初に始めるときには、スコアリングのカテゴリーをシンプルにしてください。
カバー率の測定を始めるための素晴らしい方法は、ある技術をすでにカバーしている可能性のあるアナリティクスを探すことです。SOC の多くは、本来は ATT&CK に対応するように設計されていなくても、ATT&CK に対応する可能性のあるルールやアナリティクスをすでに持っています。多くの場合、テクニックに関する他の情報が必要になりますが、それはテクニックのATT&CKページや外部ソースから得ることができます。
例として、Remote Desktop Protocol(T1076)を調べていて、以下のようなアラートがあったとします。
ATT&CKのテクニックページのRemote Desktop Protocolのページを見ると、ルール#3が "detection "ヘッダで指定されている内容と一致しており、ウェブ検索をすると、ルール#4で指定されているポート3389もこのテクニックに対応していることがわかりました。
しかし、正しいデータソースを引き込めていない場合、どうすればいいのでしょうか?ここでエンジニアリングの出番です。技術のATT&CKページに掲載されているデータソースを参考にして、それぞれのデータソースを収集することの難しさと、そのデータソースを利用することの有効性を比較してみてください。
ヒント データソースとしてよく挙げられるのが、Windowsのイベントログで、多くのATT&CKテクニックを可視化することができます。イベントログを使い始めるのに適したリソースは、Malware ArchaeologyのWindows ATT&CK Logging Cheat Sheetで、Windowsイベントとそれを使って検出できるテクニックをマッピングしています。
Level 2
このプロセスに慣れ、より多くのリソースを利用できるようになれば、ATT&CK マトリックスの適度に大きなサブセットにまで分析を拡大することが理想的です。さらに、より高度なカバレッジスキームを使用して、検出の忠実性も考慮したいと思うでしょう。ここでは、SOC内のツールや分析ツールがその技術について警告を発する信頼性が低い、ある、高いのいずれかにカバレッジを分類することをお勧めします。
ヒント カバレッジを評価する際には、ピンポイントの精度を気にする必要はありません。評価の目的は、技術を一般的に検出するためのエンジニアリング能力があるかどうかを理解することです。より正確な評価を行うためには、敵のエミュレーション演習を行うことをお勧めします。
このように範囲が広がったことで、アナリティクスの分析はやや複雑になっています。各アナリティクスは、以前のように1つのテクニックだけでなく、多くの異なるテクニックに対応する可能性があります。さらに、ある分析手法がカバーされている場合、その分析手法の忠実度も調べる必要があります。
ヒント 各アナリティクスについて、何をキーにしているかを調べ、それがATT&CKにどのように対応しているかを確認することをお勧めします。例えば、Windowsの特定のイベントに注目しているアナリティクスがあるとします。このアナリティクスのカバレッジを判断するには、Windows ATT&CK Logging Cheat SheetなどでイベントIDを調べることができます。また、ATT&CKのウェブサイトを利用して分析を行うこともできます。下図は、ポート22の検出を検索した例ですが、これは「Commonly Used Port ATT&CK technique」に表示されています。
これらの質問に答えるのは大変です。すべてのベンダーがこの種の情報を公開しているわけではありませんし、探してもマーケティング資料になってしまうことがよくあります。このような質問に答えるのは大変です。
カバレッジの最終的なヒートマップを作成するには、ツールと分析のヒートマップをすべて集約し、各手法で最も高いカバレッジを記録します。これができたら、次は改善に向けて動き出します。最初のステップとして、前述の分析開発プロセスのより高度なバージョンをお勧めします。
次のレベルへの卒業:これらの変更を実施してカバレッジを向上させたら、次のステップとして、敵対者のエミュレーション、特にアトミックテストを導入します。新しい分析手法を試作するたびに、それに対応するアトミックテストを実行して、その結果を確認します。捕まえられれば上出来です。捕まえられなかった場合は、何を見逃したのかを確認し、それに応じて分析手法を改良します。このプロセスの詳細については、当社の論文「ATT&CKベースの分析でサイバー脅威を発見する」を参照してください。
Level 3
より高度なチームの場合、評価を強化するための素晴らしい方法として、ミティゲーションを含めることができます。これにより、ツールやアナリティクスの検出内容だけを見るのではなく、SOC全体を見て評価を行うことができます。
技術をどのように緩和しているかを確認する良い方法は、SOC の各ポリシー、予防ツール、セキュリティコントロールを確認し、それらが影響を与える可能性のある ATT&CK 技術にマッピングして、それらの技術をカバー範囲のヒートマップに追加することです。最近、ミティゲーションを再構築したことにより、各ミティゲーションを見て、それがマッピングされている技術を確認することができます。ミティゲーションが適用された技術の例としては、以下のようなものがあります。
これらの質問への回答は、先に作成したヒートマップを補強するのに役立ちます。
例:以前、ATT&CK関連の機能を多く持つツールを見つけたが、人事はWindowsのレジストリを監視するためだけに使用している場合、そのツールのヒートマップを修正して、使用方法をよりよく反映させる必要があります。
同僚と話しながら、以前に作成したツールのヒートマップを見てみましょう。自分が使っているツールのカバレッジにまだ満足していないのであれば、新しいツールを評価する必要があるかもしれません。新しいツールを検討する際には、それぞれのツールのカバレッジのヒートマップを作成し、そのツールを追加することでどのようにカバレッジが向上するかを確認します。
ヒント:特にリソースに余裕がある場合は、代表的なテスト環境を立ち上げて、そのツールをライブでテストし、うまくいったところ、うまくいかなかったところ、そのツールを追加した場合に既存のカバレッジにどのような影響があるかなどを記録することができます。
最後に、より多くのミティゲーションを導入することで、ツールやアナリティクスへの依存度を下げることができるかもしれません。ATT&CKに掲載されているミティゲーションを見て、実際に導入できるかどうかを判断します。このプロセスの一環として、検出ヒートマップを参照してください。検出がうまくいっている技術を妨げる高コストの緩和策があれば、それは良いトレードオフではないかもしれません。一方で、分析結果を書くのに苦労している技術に対して、低コストの緩和策があれば、それを実施することでリソースを有効に活用できるかもしれません。
ヒント: ミティゲーションのために検出を取り除くことを検討する際には、可視性が失われる可能性を常に考慮してください。ミティゲーションやコントロールがバイパスされる可能性がある場合には、それらのイベントが見逃される可能性が低くなるように、ある程度の可視性を確保してください。検知とミティゲーションは、どちらも効果的なカバレッジのためのツールとして使用する必要があります。
クロージング: アセスメントとエンジニアリングの関係
アセスメントを行うことで、現在のカバレッジがどこにあるのかを理解し、それを脅威インテリジェンスで補強してギャップを優先し、アナリティクスを書くことで既存の防御を調整することができます。
長期的には、毎週、あるいは毎月、アセスメントを実施することは想定していません。その代わりに、前回のアセスメントの内容を記録し、新しい情報を得るたびに更新し、定期的に敵のエミュレーション演習を行って結果をスポットチェックする必要があります。時間の経過とともに、ネットワークや収集された情報に変化が生じ、以前にテストした防御の効果が低下することがあります。ATT&CK を活用して実際の脅威に対する防御力を示すことで、防御態勢の理解を深め、改善の優先順位を決めることができます。
現在使用しているのは「docomo」と落書きの入ったXPERIA X Compact(SO-02J)を使っている。
実はスマホが世の中に登場した時からずっとXPERIAを愛用している。
XPERIAは寿命が近づいてくると出てくる傾向みたいのがあって、
まずSDカードが突然認識できなくなる。
その後、しばらくするとOSの挙動がおかしくなる。
先日SDカードが突然認識できなくなり、いよいよ後継を検討しなければならなくなったというわけである。
回線はIIJ mioを使っているため、XPERIAは使いたいものの、「docomo」とか「au」とか「Softbank」とか落書きの入った機種は本当は使いたくない。
そのため、海外モデルも検討してみたのだが、海外モデルはおサイフケータイが使えない。
一時期Google Payとかで対応できるんじゃないかと思ったが、いろいろ調べるとそうではないことが分かった。
おサイフケータイの件は対応するNFCの規格と関連する。
NFCの規格にはTypeA、TypeB、TypeFの3種類ある。
一般的に搭載されているのはTypeA/Bであり、TypeFというのが所謂おサイフケータイ対応の規格となる。
そもそもTypeFのFはFelicaからきているようで、Suicaの様に通勤ラッシュでも問題なく使えるように処理が高速化された規格となっており、その分コストも高くつく結果となっている。
海外ではSuicaのような高速な処理を求められるシーンがないため、必然的にコストアップの要因になるTypeFは搭載されない。
結局ガラパゴス仕様で日本国内向けのXPERIAにしか搭載されないというわけである。
で、国内で販売されるXPERIAを検討するのだが、困ったことが起きた。
何なんだ、この縦横比が大きく崩れた無駄な縦長画面は・・・
ダサイ
ソニーは一般人が理解できない際どいエリアを攻めに行ってしまったのだろうか?
正直XPERIAに欲しい機種がなく、しばらく悩んでいたところ、なんとGoogleから希望する画面サイズ感で、しかも手ごろな値段でスマホ「Google Pixel 4a」が発売されていることが分かった。
更にしばらく悩んだ結果、Googleストアで決済する運びとなった。
XPERIA以外のスマホを使うのは何気に人生初の経験である。
とりあえず後継のスマホが決まったことに安堵するとともに、ソニーのモノ作りがおかしな方向に進んでいないか若干気になる今日この頃。
さらばXPERIA。ありがとうXPERIA。
こちらはZoomeyeでの調査。実はヘッダにこうやってバージョンが載ってきてしまうようで、この情報を分析すればターゲットを絞れる可能性があります。もっとも、脆弱性自体は1年前…orz