[Kali Linux] Fierce ～ドメイン名に関連付けられたIPの探索～

Fierceは、PERLで記述されたIPおよびDNS偵察ツールであり、IT部門の専門家がドメイン名に関連付けられたターゲットIPを見つけるのを支援することで有名です。

これは元々、古いhttp://ha.ckers.org/の他のメンバーと一緒にRSnakeによって書かれました。これは主に、ローカルおよびリモートの企業ネットワークを対象として使用されます。

ターゲットネットワークを定義すると、選択したドメインに対して複数のスキャンが開始され、誤って構成されたネットワークと、後でプライベートで貴重なデータが漏洩する可能性のある脆弱なポイントを見つけようとします。

結果は数分以内に準備が整います。これは、Nessus、Nikto、Unicornscanなどの同様のツールを使用して他のスキャンを実行する場合よりも少し長くなります。

 2cx.netの検索例

# fierce --domain 2cx.net
NS: ns1.digitalocean.com. ns2.digitalocean.com. ns3.digitalocean.com.
SOA: ns1.digitalocean.com. (173.245.58.51)
Zone: failure
Wildcard: failure
Found: dns.2cx.net. (193.148.70.119)

内閣府職員等が利用する「ファイル共有ストレージ」に対する不正アクセスについて（転載）

内閣府職員等が利用する「ファイル共有ストレージ」に対する不正アクセスについて - 内閣府 cao.go.jp/others/csi/sec…: 内閣府職員等が利用する「ファイル共有ストレージ」に対する不正アクセスについて - 内閣府
cao.go.jp/others/csi/sec…

バックアップ

【参考】

内閣府のFileZenへの不正アクセスについてまとめてみた

官公庁系のシステム可用性は計画停止も含められるの？それってどうなの？

またしても富士通だが、富士通が悪いという訳では・・・・・

Ubiquiti社、「壊滅的な」データ侵害を軽視したとの報道で株価下落 / Ubiquiti Shares Fall After Reportedly Downplaying 'Catastrophic' Data Breach（転載）～正確性を欠いたインシデント公表を行った際の株価への影響は20%程度か！？～

Ubiquiti Shares Fall After Reportedly Downplaying 'Catastrophic' Data Breach:

ニューヨークを拠点とするIoTデバイスメーカーのUbiquitiは、軽視されていたデータ侵害を公表しました。大惨事となったデータ侵害のニュースを受けて、同社の株価は大幅に下落しました。

今年1月、Ubiquiti社は顧客に対し、正体不明のサードパーティのクラウドプロバイダーがホストする特定のITシステムへの不正アクセスが発見されたことを通知しました。同社は当時、ユーザーデータが漏洩したという証拠は見つかっていないとしながらも、その可能性を否定できないとして、顧客にパスワードの変更を勧めていました。

Ubiquiti がセキュリティ侵害を公表したとき、同社の株式への影響はわずかで、その後、同社の株式の価値は驚異的に上昇し、1 月 12 日の 1 株あたりおよそ 250 ドルから 3 月 30 日の 1 株あたり 350 ドルまで上昇しました。しかし、セキュリティ侵害が顧客や投資家に信じさせていたよりも大きかったかもしれないというニュースを受けて、ユビキティの株価は本稿執筆時点で290ドルまで下がっています。

3月30日（火）、サイバーセキュリティ・ブロガーのブライアン・クレブス氏は、Ubiquiti社が同社の株式市場価値への影響を軽減するために、実際には「壊滅的」であった事件を「大々的に軽視」していたことを、侵害への対応に関わった人物から聞いたと報告しました。

クレブス氏の情報源によると、侵入者はUbiquiti社のAWSサーバーへのアクセス権を取得した後、ハッキングについて口止めするために同社から50ビットコイン（約300万円相当）を脅し取ろうとしました。情報源によると、「侵入者は、Ubiquitiの従業員のLastPassアカウントから特権的な認証情報を取得し、すべてのS3データバケット、すべてのアプリケーションログ、すべてのデータベース、すべてのユーザーデータベースの認証情報、シングルサインオン（SSO）クッキーの偽造に必要な秘密を含む、UbiquitiのすべてのAWSアカウントへのルート管理者アクセスを得た」とのことです。このハッカーは、リモート認証によってUbiquitiのクラウドベースのデバイスにアクセスしていたとされています。

Ubiquiti社は、クレブス氏の報告を受けて水曜日に声明を発表し、法執行機関による調査が進行中であるため、これ以上のコメントはできないと述べました。"この事件を受けて、当社は外部の事件対応専門家を活用し、攻撃者が当社のシステムから締め出されたことを確認するために徹底的な調査を行いました。"これらの専門家は、顧客情報がアクセスされたという証拠はなく、標的にされたという証拠もないことを確認しました。この攻撃者は、盗んだソースコードと特定のIT認証情報を公開すると脅迫し、当社を恐喝しようとして失敗しましたが、顧客情報にアクセスしたとは言っていません。このことと他の証拠から、今回の事件に関連して顧客情報が標的になったり、アクセスされたりしたことはないと考えています」と述べています。 

少なくとも2つの法律事務所が、ユビキティ社が連邦証券法に違反したかどうかを調査しており、同社の投資家に連絡を取るよう呼びかけている。

モルソン・クアーズ社、「サイバー攻撃事件」で1億4千万ドルの損害を被る可能性 / Molson Coors "Cyberattack Incident" Could Cost Company $140 Million（転載）～ランサム被害154億円！？～

Molson Coors "Cyberattack Incident" Could Cost Company $140 Million:

モルソン・カナディアン、クアーズライト、ミラーライト、カーリング、ブルームーン、クアーズバンケットなど、米国で人気のあるビールブランドの製造会社は、サイバー攻撃が醸造所の運営、生産、出荷などのビジネスに深刻な影響を与えることを公表しています。

酒造大手のモルソン・クアーズ社は、この破壊的なサイバー攻撃により、同社の醸造所の機能に大きな障害が発生し、約1億4,000万ドルの損害が発生すると述べています。さらに、同社は正常化に向けて努力しており、生産と出荷はまだ通常の操業レベルに達していないと付け加えました。

"3月26日に発表された声明では、「モルソン・クアーズ社のチームの多大な努力と、主要なフォレンジック情報技術企業およびその他のアドバイザーの支援により、このような進展があったにもかかわらず、当社は、英国、カナダ、米国における醸造所の操業、生産、出荷を含む事業において、いくつかの遅延や混乱を経験し、現在も継続しています。

同社は、「サイバーセキュリティインシデント」と呼ばれる事態の原因については報道しませんでしたが、マルウェアやランサムウェアによる攻撃が相次ぎ、世界中の企業に大きな影響を与えている中での発生です。最近のサイバー攻撃は、医療機関、コンピュータ生産者-エイサー、IoTプロバイダーのシエラ・ワイヤレス、その他様々な大手企業に影響を与えました。

同社は、今回のサイバー攻撃が第1四半期の事業に影響を与え、結果として2021年の収益にも影響を与えるとしていますが、予想される費用については具体的な数字を公表していません。しかし、通常の収益を得るためには、懸命に努力し、待つ必要があると考えています。

同社によると、"サイバーセキュリティ事件とテキサス州で発生した2月の冬の嵐により、2021年第1四半期から2021年度末までの間に、生産量および出荷量が180万～200万ヘクトリットルシフトし、また、2021年第1四半期から2021年度末までの間に、基礎的なEBITDAが1億2,000万～1億4,000万ドルシフトする "としています。

また、同社はサイバー攻撃事件に関する技術データをまだ公開していませんが、様々な専門家がランサムウェア関連のサイバー犯罪ではないかと推測しています。

"当社は法執行機関に通報し、その調査に協力しています。また、関連するすべての保険会社にも通知し、協力しています」との声明を発表した。

[Kali Linux] dnsmap - DNS Network Mapper ～特定ドメインのサブドメインを探るツール～

 dnsmapは、2006年にリリースされた書籍「Stealing the Network - How to 0wn the Box」に掲載されているPaul Craig氏の小説「The Thief No One Saw」にヒントを得て開発されました。

dnsmapは、主にペンテスターが、インフラのセキュリティ評価の情報収集／列挙の段階で使用することを目的としている。列挙の段階では、セキュリティ・コンサルタントは通常、ターゲット企業のIPネットブロック、ドメイン名、電話番号などを発見します。

サブドメインのブルートフォースは、ゾーン転送などの他のドメイン列挙のテクニックがうまくいかないときに特に有効なので、列挙の段階で使うべきテクニックのひとつです（ちなみに、最近はゾーン転送が公に認められているのをほとんど見たことがありません）。

2cx.netのサブドメイン検索例

# dnsmap 2cx.net
dnsmap 0.35 - DNS Network Mapper

[+] searching (sub)domains for nidec.com using built-in wordlist
[+] using maximum random delay of 10 millisecond(s) between requests

www.2cx.net
IP address #1: 59.152.32.200
IP address #2: 59.152.32.100

[+] 1 (sub)domains and 2 IP address(es) found
[+] completion time: 220 second(s)

クラウド製品・サービスのセキュリティ確保に役立つCISの新しいAWSベンチマーク / New CIS AWS Benchmarks Help Secure Cloud Products and Services（転載）

New CIS AWS Benchmarks Help Secure Cloud Products and Services

アマゾン ウェブ サービス（AWS）は、新しいクラウド製品やサービスの拡大を続けています。Center for Internet Security（CIS）は、これらの機能をAWSクラウドで安全に利用するためのリソースを提供しています。The Beginner's Guide to Secure Cloud Configurations in AWSでは、ユーザーがAWSクラウドのアカウント、製品、サービスなどを保護する方法を説明しています。

CIS AWS Benchmarksコミュニティからの新しいガイダンス

CISは、AWSクラウドのガイダンスを拡大するために、ボランティアのネットワークに呼びかけました。この取り組みにより、AWSクラウド製品およびサービスに特化したCISベンチマークが生まれました。

CISは、そのリソースを磨き、すべてのユニークなサービスに対してCISベンチマークを作成しませんでした。その代わりに、CISはAWSに倣って、サービスをクラウド製品ごとに分類しました。AWSは数十種類の製品を提供しており、提供する機能に基づいてクラウドサービスを分類しています。

AWS共有クラウドのセキュリティ責任を理解する

セキュリティとコンプライアンスは、AWSとお客様の間で共有される責任です。この共有モデルである「AWS Shared Responsibility Model」は、お客様の運用負担を軽減することができます。AWSは、ホストOSや仮想化レイヤーから、サービスが稼働する施設の物理的なセキュリティに至るまで、コンポーネントの運用、管理、制御を行います。AWSは、AWSクラウドで提供されるすべてのサービスを稼働させるインフラの保護に責任を負っています。このインフラストラクチャは、AWSクラウドサービスを実行するハードウェア、ソフトウェア、ネットワーク、および設備で構成されます。お客様は、ゲストのオペレーティングシステム（アップデートやセキュリティパッチを含む）、その他の関連するアプリケーションソフトウェア、およびAWSが提供するセキュリティグループのファイアウォールの設定について責任と管理を負います。

CIS AWS Cloud Benchmarksの3つのレベル

このガイドでは、クラウドに適用されるCIS AWS Benchmarkの3つのカテゴリーを紹介しています。

1. CIS AWS Foundations Benchmark
2. CIS End User Compute Services Benchmark
3. CIS Amazon Elastic Kubernetes Service (EKS) Benchmarks

各ベンチマークのレベルは、CIS AWS Foundations Benchmarkから始まり、CIS Hardened Imagesによる仮想マシンのセキュリティ確保に至るまで、追加のセキュリティレイヤーを提供します。

1. CIS AWS Foundations Benchmarkは、AWSクラウドを安全に構成するためのアカウントレベルのスタートポイントを提供します。これらのリソースは、アイデンティティとアクセス管理、ログと監視、ネットワークなどをカバーしています。AWSの基礎ガイダンスを無料でダウンロードできます。
   
   
2. Cloud Product-Level CIS Benchmarksは、製品とサービスの構成に関するガイダンスを提供し、コンピュート、データベース、ストレージ、コンテナなどの分野を含みます。これらのCISベンチマークにより、ユーザは適用可能なクラウドサービスを選択し、環境に応じて構成することができます。製品レベルのCISベンチマークは、クラウド・アカウント内で使用されるクラウド・サービスに組み込まれた追加のセキュリティ・レイヤーを提供することで、「CIS基盤ベンチマーク」を補完します。最初のリリースは、「CIS AWS End User Compute Services Benchmark」です。
   
   
3. Standalone Cloud Service CIS Benchmarksは、より広範な設定ガイダンスを必要とするAWSサービスに特有のものです。このような場合、製品レベルのCISベンチマークには、サービスに関するセクションがあり、そのサービスのスタンドアロンCISベンチマークを指し示します。

CIS AWS End User Compute and Kubernetes Benchmarks

クラウド製品レベルのCISベンチマークの最初のリリースは、「CIS AWS End User Compute Services Benchmark」です。これには、Amazon WorkSpaces、Amazon WorkDocs、Amazon AppStream 2.0、およびAmazon WorkLinkの構成推奨事項が含まれています。ユーザーは、該当するサービスを選択し、自分の環境で稼働しているものに合わせて構成することができます。

場合によっては、サービスに必要な設定により、1つのクラウドサービスに特化したCISベンチマークが必要となることがあります。このシナリオでは、製品レベルのCISベンチマークにはクラウドサービスのセクションが含まれますが、サービスについては別のCISベンチマークを指します。独立したクラウドサービスのCISベンチマークの例として、CIS Amazon Elastic Kubernetes Service (EKS) Benchmarksがあります。

CIS Hardened Imagesによるセキュアなコンフィギュレーション

仮想イメージとは、物理的なコンピューターと同じ機能を提供する仮想マシン（VM）のスナップショットです。仮想イメージはクラウド上に存在し、ユーザーはローカルのハードウェアおよびソフトウェアに投資することなく、日常的なコンピューティング操作をコスト効率よく行うことができます。

ハードニングとは、システムをサイバー攻撃に対して脆弱にする潜在的な弱点を制限するプロセスです。標準的なイメージよりも安全性が高いハードニングされた仮想イメージは、システムの脆弱性を低減し、マルウェア、不十分な認証、遠隔地からの侵入などから保護します。

セキュアに事前設定されたCIS Hardened Imagesは、組織がクラウド上のオペレーティングシステムを保護するのに役立ちます。CIS Hardened Imagesは、CIS Benchmarksの要件を満たしており、AWS Marketplaceで入手できます。

クラウドセキュリティの追加レイヤー

CISは、AWSと直接連携して、使用頻度の高いクラウド製品やサービスを特定しています。そして、その情報を将来のCIS AWSベンチマークの開発計画に反映させています。

全てのCIS AWSベンチマークの推奨事項は、他のガイドラインや追加リソースを参照しています。これらのクラウドガイドにより、CISは、CISベンチマークとAWSのドキュメントの関係を示しています。その意図は、セキュリティおよびその他の面でAWSから利用可能なガイダンスをユーザに知らせることである。この文書は、ユーザが、サービスを実行する際にAWSが持つ責任、およびAWSが支援する責任を認識するのに役立ちます。

クラウドの急速な拡大に伴い、今後も多くの製品やサービスが登場することが予想されます。CISは、AWSと緊密に連携し、開発の先陣を切っています。そうすることで、タイムリーで効果的なガイダンスを世界中のユーザーコミュニティに無償で提供していきたいと考えています。

防弾ホスティングとは！？（転載）

そういう法律だとか地政学だとかを巧みに利用したのが防弾ホスティングという面白さ、すごいよね。

 

HIS、「タイランドエリートプログラム」の販売開始 外国人長期滞在プログラム、最長20年滞在可（転載）

HIS、「タイランドエリートプログラム」の販売開始　外国人長期滞在プログラム、最長20年滞在可:

エイチ・アイ・エス（HIS）は、タイ国政府観光庁傘下の国営企業であるタイランド・プリビレッジ・カードと、「タイランドエリートプログラム」の正規販売代理店契約を締結し、販売を開始した。

タイランドエリートプログラムは、2003年にタイの法律に基づき開始した外国人長期滞在プログラムで、一定の審査を経て会員になることで、会員期間に応じてマルチプルビザを最短5年から最長20年まで受給でき、期間中は何度でも自由に入出国ができる。長期滞在だけでなく、専用カウンターでのスムーズなVIP入国審査、銀行口座開設や運転免許の取得のサポート、空港リムジン送迎、スパやゴルフ施設の利用などができる。

7種類のプログラムを用意しており、最も費用が安い、5年間有効の「エリート イージー アクセス（EEA）」は、入会金600,000バーツ、年会費なし。最も1年あたりの費用を抑えられる、20年有効の「エリート スペリオリティ エクステンション（ESE）」は、入会金1,000,000バーツ、年会費なし。収入要件なはく、原則的に2ヶ月〜3ヶ月程度で承認される。

旅行会社で、正規販売代理店契約を締結したのは初めて。タイ国内のほか、世界64ヶ国のネットワークを通じて販売する。

アラスカ航空(AS)の新しい機内安全ビデオ。JAL(JL)の社長も登場 / AMAZING: Airlines Safety Dance Gets A Oneworld Twist（転載）

AMAZING: Alaska Airlines Safety Dance Gets A Oneworld Twist:

この嬉しさは言葉では言い表せないほどです...。

そもそもアラスカ航空のセーフティダンスが好きだったので...。

2020年12月、私たちはアラスカ航空のセーフティダンスを初めて見ることができました。

とても愛らしくて、キャッチーで、素晴らしくて、楽しいですね。さらに気に入ったのは、このビデオには本物のアラスカ航空の社員が出演しており、3日間かけて格納庫で撮影されました。自宅で練習した後、8時間のドレスリハーサルを経て、2日間の撮影が行われました。

...何と、ワンワールドバージョンもある!

アラスカ航空がワンワールドに加盟したことで、ワンワールド加盟航空会社の幹部と現場の社員が参加する「グローバル」なセーフティダンスが新設されました。

このビデオにはたくさんの魅力があり、最高の笑顔を見せてくれると同時に、海外旅行が果てしなく恋しくなるような気持ちにさせてくれます。ワンワールドCEOのロブ・ガーニー氏、アメリカン航空社長のロバート・アイソム氏、ブリティッシュ・エアウェイズ、キャセイパシフィック航空、フィジー航空、日本航空、マレーシア航空、カタール航空、S7航空、スリランカ航空の社員の皆さん、私はこのビデオを見ずにはいられませんでした。とてもいいですね。このビデオをより良いものにするためには、カタール航空のCEOであるアクバル・アル・ベイカー氏が参加してくれれば、素晴らしいダンスを披露してくれると思います。

アラスカ航空がワンワールド・アライアンスに加盟したことで、新たに「グローバル」な安全ダンスが登場しました。参加してくださった皆さん、この必要なエンターテイメントを、すべて素晴らしいメッセージとともに提供してくださり、ありがとうございました。

Threat Huntingではかなり有名なRed Canary社から2021 Threat Detection Reportというドキュメントがリリースされています。これ、不審な動きをみつける技術的な手法について、詳しく書いているので気になる方はぜひダウンロードして読んでみてください / Welcome to the 2021 Threat Detection Report（転載）

Threat Huntingではかなり有名なRed Canary社から2021 Threat Detection Reportというドキュメントがリリースされています。これ、不審な動きをみつける技術的な手法について、詳しく書いているので気になる方はぜひダウンロードして読んでみてください（要登録）。 redcanary.com/threat-detecti…: Threat Huntingではかなり有名なRed Canary社から2021 Threat Detection Reportというドキュメントがリリースされています。これ、不審な動きをみつける技術的な手法について、詳しく書いているので気になる方はぜひダウンロードして読んでみてください（要登録）。
redcanary.com/threat-detecti…

BazarCallマルウェアは悪質なコールセンターを利用して被害者を感染させる / BazarCall malware uses malicious call centers to infect victims（転載）

BazarCall malware uses malicious call centers to infect victims:

この2ヶ月間、セキュリティ研究者たちは、コールセンターを利用して最も被害の大きいWindows用マルウェアを配布する新しい「BazarCall」マルウェアとのオンラインバトルを繰り広げてきました。

この新しいマルウェアは、1月下旬にコールセンターで配布されていることが発見され、脅威の行為者が当初BazarLoaderマルウェアのインストールに使用していたことから、BazarCall（バザーコール）と名付けられました。

現在は他のマルウェアも配布されていますが、研究者は引き続き配布キャンペーンをBazarCallとしています。

多くのマルウェアキャンペーンと同様に、BazarCallは、フィッシングメールから始まりますが、そこから、マルウェアをインストールする悪意のあるExcelドキュメントを配布するために、電話によるコールセンターを利用するという、斬新な配布方法に逸脱しています。

BazarCallのメールは、添付ファイルをメールに添付するのではなく、ユーザーに電話番号に連絡して、自動的に課金される前に購読をキャンセルするよう促します。そして、これらのコールセンターは、特別に作成されたウェブサイトにユーザーを誘導し、BazarCallのマルウェアをインストールする「解約フォーム」をダウンロードさせます。

フィッシングメールからコールセンターまで

BazarCallの攻撃は、企業ユーザーを対象とした、受信者の無料トライアルがもうすぐ終了するという内容のフィッシングメールから始まります。しかし、これらのメールには、疑わしい購読に関する詳細は一切記載されていません。

そして、以下のBazarCallフィッシングメールの例のように、更新のために69.99ドルから89.99ドルを請求される前に、記載されている電話番号に連絡して購読をキャンセルするようユーザーに促します。

BleepingComputerが確認したメールの大部分は、「Medical reminder service, Inc.」という名前の架空の会社からのものですが、「iMed Service, Inc.」、「Blue Cart Service, Inc.」、「iMers, Inc.」など、他の偽の会社名を使ったメールもあります。 

これらのメールは、いずれも "Thank you for using your free trial "や "Your free trial period is almost over!"などの類似した件名を使用しています。セキュリティ研究者のExecuteMalwareは、この攻撃で使用される電子メールの件名のより広範なリストをまとめています。

受信者が記載された電話番号に電話をかけると、短い保留状態になり、その後、生身の人間が出てきます。さらに詳しい情報や解約方法を尋ねられると、コールセンターの担当者は、メールに同封されていた固有の顧客IDを被害者に尋ねます。

Binary Defense社のThreat Hunting & Counterintelligence部門の副社長であるRandy Pargman氏は、BleepingComputerに対し、この固有の顧客IDは攻撃の中核をなすものであり、コールセンターが電話をかけてきた人が標的となる被害者であるかどうかを判断するために使用されると述べています。

"彼らは、電話で有効な顧客番号を伝えると、そのメールを受け取った会社を特定することができます。しかし、間違った番号を伝えた場合、彼らはあなたの注文をキャンセルしたと言うだけで、ウェブサイトに送ることなく、すべてがうまくいくでしょう」と、Pargman氏はBazarCallに関する会話の中でBleepingComputerに語った。

正しい顧客IDが伝えられれば、コールセンターのエージェントは、関連する医療サービス会社のふりをした偽のウェブサイトにユーザーを誘導する。電話担当者は被害者との電話に留まり、以下のように顧客IDを入力するよう促される解約ページに誘導する。

ユーザーがお客様ID番号を入力すると、ウェブサイトは自動的にExcelドキュメント（xlsまたはxlsb）をダウンロードするようブラウザに促します。その後、コールセンターのエージェントは、被害者がファイルを開き、「コンテンツを有効にする」ボタンをクリックして悪意のあるマクロを有効にするよう支援します。

Pargmanが実施したいくつかの通話では、悪意のある文書が検出されないようにウイルス対策を無効にするよう、脅威のある人物から指示されました。

Excelのマクロを有効にすると、BazarCallマルウェアがダウンロードされ、被害者のコンピュータ上で実行されます。

BazarCallキャンペーンが始まった当初は、BazarLoaderマルウェアの配布に使用されていましたが、TrickBot、IcedID、Gozi IFSBなどのマルウェアの配布も始まっています。

これらのWindowsに感染したマルウェアは、感染した企業ネットワークへのリモートアクセスを可能にするため、特に危険です。このようなマルウェアに感染した脅威者は、ネットワーク内を横方向に拡散し、データの窃取やランサムウェアの展開を行います。

脅威者は、BazarLoaderやTrickbotを使用して、RyukやContiといったランサムウェアを展開します。また、IcedIDは過去に、今は亡きMazeやEgregorといったランサムウェアの展開に使用されていました。

セキュリティ研究者のブラッド・ダンカンは、脅威企業のコールセンターに電話をかけ、無防備な被害者に悪意のある文書を配布する様子を説明した動画を公開しています。

Distribution-as-a-Serviceによる展開

BazarLoaderとTrickBot感染症は、同じ「TrickBot」というハッキンググループが作成したものと考えられますが、その他の配布されている感染症は、これらの脅威アクターとは関係ありません。

このことから、パーグマンはBleepingComputerに対し、別の脅威アクターグループがコールセンターを運営し、Distribution-as-a-Serviceとして配布を貸し出していると考えていると述べています。

"私の考えでは、これはサービスとしてのディストロであり、UNC1878はおそらく彼らの顧客であると思います」とPergman氏は説明しています。

この考えは、Cryptolaemus社のセキュリティ研究者であるJoseph Roosen氏も同様で、彼はBleepingComputerに対し、この配信サービスは一般企業と同じように運営されており、月曜日から金曜日までの厳格な営業時間を守っていると述べています。

BleepingComputerでは、過去4日間に渡ってコールセンターに連絡を取ろうと試みましたが、脅威の担い手が使用するインフラが常に変化しているため、成功しませんでした。

Pargman、Roosen、Duncan、CyjaxのWilliam Thomas、TheAnalyst、ExecuteMalwareなどの研究者やその他多くの研究者の努力により、配信サービスは、研究者に取り込まれるたびに、電話番号やホスティングサイトを常に変更することを余儀なくされています。

残念ながら、サイバーセキュリティコミュニティが総力を挙げて取り組んだとしても、この配布方法は非常に成功しています。

このような配布方法のため、マルウェアサンプルは、一般に配布されておらず、アンチウイルスベンダーによって検出されていないため、VirusTotalでの検出率が非常に低くなっています。

さらに、BleepingComputerが確認したメールによると、解約が必要な正規の契約であると信じて、この詐欺に引っかかっている人がいるようです。

クラウドサービス利用で複雑化する事故対応 - 第6回「情報セキュリティ事故対応アワード」開催レポート（転載）

クラウドサービス利用で複雑化する事故対応 - 第6回「情報セキュリティ事故対応アワード」開催レポート｜セキュリティ｜IT製品の事例・解説記事 news.mynavi.jp/itsearch/artic…: クラウドサービス利用で複雑化する事故対応 - 第6回「情報セキュリティ事故対応アワード」開催レポート｜セキュリティ｜IT製品の事例・解説記事
news.mynavi.jp/itsearch/artic…

大分『韓国苑』でバイトテロ！ソフトクリームを直接口に入れ炎上！（転載）

大分県内の焼き肉チェーン店『韓国苑』の従業員が不適切な動画をアップし話題になっています。

過去にも『バイトテロ』は世間を騒がしましたよね。

韓国苑では、厨房のソフトクリーム機から直接口にアイスを入れて遊ぶ従業員が炎上！

コロナで衛生管理が問われる時に、信じられない映像が出回ったようです。

大分県内の焼き肉チェーン店として知られる『韓国苑』の別府店が問題の店舗のようです。

そこで働く従業員とみられる若者が、ソフトクリームを機械から直接口に入れて遊ぶ様子を映した動画をTIKTOKにアップ。

これが、SNSを通して瞬く間に広がり、不適切だと大炎上を起こしました。

『スイパラ(スイーツパラダイス)』だと比喩し、厨房のアイスや生クリームを直接口に入れて遊んでいたようです。

コロナ禍で感染対策が騒がれている飲食店において、このような動画は不快にもなるし同じチェーンの他のお店にも行きたくなくなりますよね。

この炎上を受けて、『韓国苑』を運営する大心産業は謝罪文をホームページに掲載。

従業員の4人は全員20代の若者で、懲戒解雇したうえで厳粛な対応を進めると述べました。

OSINT道場の紹介 / Becoming an OSINT Shogun – introducing Sinwindie and the OSINT Dojo（転載）

Becoming an OSINT Shogun – introducing Sinwindie and the OSINT Dojo

今回は、オンラインOSINTコミュニティで最も多くの貢献をしているエキスパートであり、公認サイバー犯罪捜査官であり、元インターポールのアナリストであり、OSINT道場の運営者でもある、唯一無二の存在、Sinwindie氏を紹介したいと思います。

OSINTのゲーミフィケーションが、新人アナリストの参加と協力を促し、皆さんのOSINTの旅の成長を楽しみにしています。

ではまず最初に、あなたの経歴と、なぜOSINTコミュニティに関わっているのかを教えてください。

皆さん、こんにちは。

ご質問にお答えしますと、私の学部の学位は、貴重なスキルを教えてくれましたが、私がキャリアとしてやりたいことではありませんでした。

私は、学校に戻って情報分析を中心とした修士課程に進むことにしました。最初の仕事は「オールソース」、つまりOSINTや他の-INTから情報を得て、それらを合成して情報製品を作るというものでした。

その後、法執行機関での諜報活動に従事するようになり、帰属情報を得るためのOSINTを専門に扱うようになりました。OSINT、そして一般的なインテリジェンスは、私にとって常に「追跡」を目的としています。自分の仕事が、他人に危害を加えている人物の特定や居場所の発見に貢献したという実感を味わうことができます。

また、OSINTは公共部門以外の多くのキャリアに応用できるスキルなので、他の人が学ぶのを助け、共有するという側面も楽しんでいます。OSINTは、公共部門以外でも多くのキャリアに応用できるスキルですからね。

OSINT Dojoについて教えてください。それが何であるかだけでなく、このアイデアの背後にある動機についても教えてください。どのように機能するのか、なぜ人々は参加すべきなのか？

この道場のアイデアは、"OSINTを始めるにはどうしたらいいですか？""OSINTの仕事に就くには何が必要ですか？"など、同じ質問のバリエーションを定期的に受けていた数ヶ月後に思いついたものです。

私は、新しいアナリストが仕事を始められるように、非常に緩やかなロードマップを作成することにしました。このロードマップのステップをゲーム化することで、ユーザーに次のレベルへの挑戦を促し、その過程で自分の仕事を共有してもらいたいと考えました。

ここでの考え方は、OSINT道場のいくつかのステージを完了するまでに、記事やビデオの小さなポートフォリオと、OSINTアナリストとしてのスキルを示すいくつかの実践的なOSINTの経験を持つべきだということです。

さらに、デジタルバッジを自慢したくない人はいないでしょう。 最後に、新しく始める人にお勧めのリソースや、一般的な学習曲線などを紹介します。常に基本的なことから始めましょう。ツールが使えなくなっても、方法論があれば、たとえ手作業であっても正しい方向に進むことができます。

情報サイクルは、新しいユーザーが最初に熟知すべきことの一つであり、基本的な文書作成と時間管理のスキルはその次です。OSINTは、単にすべての情報を収集するだけではなく、情報を統合して簡潔に伝える能力も必要です。

私はいつも、公開されている過去のインテリジェンスレポートを見て、最終的な製品のイメージをつかむことをお勧めしています。

OSINT Dojoは設立何年目ですか？

OSINT道場が正式にオープンしたのは2020年11月20日ですから、今はちょうど4ヶ月くらいですね。

OSINT Dojoのコミュニティには何人のアクティブな参加者がいますか？DiscordやTwitterなど、どこで見つけるのがベストでしょうか？

これは良い質問ですが、私自身もよく分かっていません。当サイトではトラッキングクッキーなどを利用していませんので、どれくらいの訪問者があるのかはわかりません。

現時点では、少なくとも1つのバッジを獲得したユーザーが9人おり、2つ以上のバッジを獲得したユーザーも数人います。とはいえ、ウィークリーチャレンジなどに参加しているユーザーの中には、最初のバッジ獲得に向けて積極的に取り組んでいる人や、バッジ自体には興味がなくても参加している人もたくさんいます。

どこで彼らを見つけるかについては、本当に様々です。OSINT道場はプラットフォームに依存しないため、Discord、Slack、Twitter、Youtubeなど、あらゆるプラットフォームの他のコミュニティでユーザーを見つけることができます。私たちの使命は、OSINTアナリストのための中央プラットフォームを提供することではなく、代わりに、彼らがすでに属しているコミュニティでの共有とコラボレーションを奨励するための報酬システムを提供することです。

OSINT道場がどのように人々を助け、可能にし、力を与えたのか、これまでの成功例はありますか？

私に声をかけてくれた人たちの逸話をいくつか紹介します。

私のところには、ユーザーからの一般的なメッセージがたくさん届いています。これらの情報やリソースは、新しいスキルやテクニックを学ぶのに役立ち、感謝の意を表しています。

また、チャレンジをしたり、資料集を見たりして学んだスキルを現在の仕事に活かし、上司や同僚から褒められたり、注目されたりしたというメッセージをいただいたこともあります。

私が本当に喜ぶのは、Dojoで制作した作品をポートフォリオとして応募して就職できた学生からのメッセージを受け取ることです。

OSINT道場は、ランクとバッジが命です。ランクアップすると、デジタルバッジや証明書、あるいはその両方がもらえるのでしょうか？

ランクアップしたユーザーや、OSINT道場のTryHackMeルームなどの特別なチャレンジを達成したユーザーには、達成したことを示すデジタルバッジが贈られます。

現時点では、証明書を発行する予定はありませんが、将来的にはそのような選択肢を検討しないわけではありません。

ランク構成と各ランクの条件はこちらでご確認ください。

OSINT道場のトップランクになった人はいますか？

まだです。現在、最高ランクのユーザーはRoninレベルにいます。駆け足にならないように、それぞれのレベルに最低限度の時間を設けています。

学生から将軍になるまでには、最低でも13ヶ月の期間が必要です。私たちが大切にしているのは、「目的地」ではなく「旅」です。

OSINT Dojo構想の今後の予定を教えてください。

今、私たちは、OSINTの基本的なテクニックやツール、方法論をカバーする短いビデオをYouTubeにアップしようとしています。

私は視覚的に学ぶタイプなので、昔から学習用のビデオが好きなんです。また、まもなく公開される最初のTryHackMeルームには、完了した人にはデジタルバッジも付いてきます。

興味に応じて、今後も難易度の異なるOSINTルームを増やしていくかもしれません。

あなたがここにいる間に、どのようなOSINTリソースやツールをお勧めしますか？また、初心者だけでなく、すでにOSINTに携わっている人にもお勧めですか？

効果的な仕事をするためには、私たちは常に学び続ける必要があります。私がキャリア初期に多用したツールやテクニックの中には、もう何年も前に枯れてしまったものもあります。

OSINTやSOCMINTの世界は動きが速いので、ツールやプラットフォームに関わらず、すべての卵を一つのカゴに入れないようにしてください。もし気に入ったツールがあったとしても、それを深く理解し、どのように機能するのか、あるいは再現できるかどうかを確認してください。

ツールがどのように機能するのかを知っておくことは、元のツールが撤去されたり、故障したりして複製が必要になった場合に非常に重要です。

PS. Sinwindieは、OSINTツールや学習教材について語るとき、控えめになりすぎていました。彼のOSINT道場には、それらの素晴らしいリストがあります。

ダークウェブ検索エンジンのリスト：まずTORブラウザをダウンロードする必要があります。 / Dark Web Search Engines You should download the TOR Browser first before you can access sites hosted on the TOR network.（転載）～ダークウェブへのアクセスは自己責任で！～

Dark Web Search Engines You should download the TOR Browser first before you can access sites hosted on the TOR network. https://osint.link/#dark #darkweb #OSINT #searching(バックアップ)

Dark Web Search Engines
You should download the TOR Browser first before you can access sites hosted on the TOR network.
https://osint.link/#dark
#darkweb #OSINT #searching

[OSINT]ゴーン元会長逃亡事件 “極秘”捜査資料がネットに?（転載）～閉鎖的な日本の司法に対して、米国はPACERでオープンに！！～

hiro_ retweeted: #OSINT 『このサイトは、20年前から運用が始まり、連邦裁判所で開かれる裁判に提出された書類や証拠の多くが、電子記録として保管され、アカウントを登録すれば、誰でも閲覧しコピーもできるという。』 www3.nhk.or.jp/news/html/2021…:

hiro_ retweeted:

#OSINT
『このサイトは、20年前から運用が始まり、連邦裁判所で開かれる裁判に提出された書類や証拠の多くが、電子記録として保管され、アカウントを登録すれば、誰でも閲覧しコピーもできるという。』
www3.nhk.or.jp/news/html/2021…

世界を驚かせた日産自動車元会長カルロス・ゴーン容疑者の中東レバノンへの逃亡劇。

その一部始終が撮影された防犯カメラの画像やゴーン元会長の銀行口座の送金記録など東京地検特捜部の“極秘”捜査資料がネット上で閲覧できる状態になっていることがわかった。しかし、サイバーテロやウイルス感染で不正流出したわけではない。

キーワードは「知る権利」。

アメリカでは去年5月、ゴーン元会長の逃亡を手助けした疑いで特捜部が逮捕状を取っていたアメリカ軍特殊部隊元隊員マイケル・テイラー容疑者と息子のピーター・テイラー容疑者が拘束され、2人がいつ日本に移送されるかが当時、取材の焦点だった。

記者にとって特捜部の捜査資料はのどから手が出るほど欲しいものだ。

しかし、検察の保秘の壁は厚く、「夜討ち朝駆け」の取材をどれだけ繰り返しても、生の捜査資料を、しかも、捜査の進行中に見ることなど不可能だ。

ところが、アメリカでは、裁判所が運営する「PACER」（ペイサー）というウェブサイトからダウンロードができてしまう。

このサイトは、20年前から運用が始まり、連邦裁判所で開かれる裁判に提出された書類や証拠の多くが、電子記録として保管され、アカウントを登録すれば、誰でも閲覧しコピーもできるという。

当時、東部マサチューセッツ州の連邦地方裁判所では2人の日本への移送を認めるかどうかを争う裁判が開かれていた。

この裁判に特捜部の捜査資料が提出されていたため、サイトを通じて裁判記録としてダウンロードできたのだ。

10枚閲覧するのに1ドルの手数料はかかるが閲覧可能な文書は10億件以上、利用者は360万人を超える。

検索機能もあり、関心のある裁判を登録すれば、記録が新たに提出されるたびに、メールで通知されるサービスまであるという。

このサイトを利用することで、ゴーン元会長と合流したテイラー容疑者親子の国内での動向の一部始終が記録された大量の防犯カメラ画像や、ゴーン元会長の銀行口座の取引記録なども簡単に入手することができた。

防犯カメラの画像

銀行口座の取引記録

黒塗りの部分もあるが、取引記録からは、逃亡前のおととし10月、ゴーン元会長の銀行口座から2回にわたって、9100万円余りが、容疑者側の会社に送金されていたことなど、国内での取材ではうかがい知れなかった新事実も判明した。

そもそも日本では「裁判記録の公開」がどこまで認められているのか。

日本もアメリカも「裁判の公開」は憲法などで保障されているが、日本では第三者による裁判記録の閲覧はかなり制限されている。

民事裁判の記録は裁判所に足を運べば第三者でも閲覧できるが、コピーは禁止され、ネットでの閲覧はできない。

プライバシーや企業の営業秘密などが含まれている場合は当事者が申し立てれば、閲覧が制限されることも多い。

刑事裁判の記録の閲覧は、さらにハードルが高く、判決が確定するまで、第三者は閲覧できない。

判決が確定すると、記録は、検察庁で保管され、原則として、誰でも閲覧できる。

しかし、検察は「関係者の名誉や生活の平穏を著しく害するおそれがある場合」などは、法律の例外規定によって、閲覧の請求を拒否することができる。

実際には、第三者が閲覧を請求しても、却下されるか、判決文などを除いて記録の大部分が黒塗りになることが多い。

大手化粧品メーカーPierre Fabre社が2500万ドルのランサムウェア攻撃を受ける / Leading cosmetics group Pierre Fabre hit with $25 million ransomware attack（転載）

 Leading cosmetics group Pierre Fabre hit with $25 million ransomware attack

フランスの大手製薬会社Pierre FabreがREvilランサムウェアの攻撃を受け、当初は2500万ドルの身代金を要求されていたことがBleepingComputerの調べでわかりました。

ピエール・ファーブルは、フランスで2番目に大きい製薬グループであり、世界で2番目に大きい皮膚化粧品研究所でもあります。全世界に10,000人以上の従業員を擁するPierre Fabre社は、化学療法薬からスキンケア製品まで、さまざまな製品を開発しています。

先日、Pierre Fabre社は、3月31日にサイバー攻撃を受けたが、24時間以内に制御したと発表した。

しかし、Pierre Fabre社によると、感染拡大を食い止めるためには、ほとんどの生産活動を段階的かつ一時的に停止しなければならなかったそうです。

"念のため、リスク管理計画に沿って、グループの情報システムを直ちに待機モードにして、ウイルスの拡散を抑制しました。"

"これにより、ほとんどの生産活動が段階的かつ一時的に停止しました（医薬品や化粧品の有効成分を製造しているガイアック（フランス・タルン県）の生産施設を除く）」とPierre Fabre社は開示しています。

当時、Pierre Fabre社は、どのような種類のサイバー攻撃を受けたのかを明らかにしていませんでした。

ピエール・ファーブル、ランサムウェア「REvil」の攻撃を受ける

その後、BleepingComputer社は、Pierre FabreがREvil/Sodinokibiと呼ばれるハッキンググループによるランサムウェア攻撃を受けたことを確認しました。

REvilは、ランサムウェア・アズ・ア・サービス（Ransomware-as-a-Service）と呼ばれるもので、コアとなるマルウェアの開発者がアフィリエイトを募り、企業のネットワークを侵害して暗号化されていないデータを盗み出し、デバイスを暗号化します。身代金が支払われた場合、コアとなる開発者とアフィリエイトは、合意された比率で支払いを分割しますが、通常はアフィリエイトがより多くのシェアを獲得します。

この攻撃に関する詳細はまだわかっていませんが、BleepingComputerは最近、Pierre Fabreランサムウェアの攻撃で使用されたとされるREvil Torの支払いページのリンクを受け取りました。

このTorの支払いページでは、ランサムウェア・ギャングが2,500万ドルの身代金を要求しています。犠牲者からの連絡がなく、制限時間が過ぎたため、REvilの身代金は2倍の5,000万ドルになりました。

この支払いページには、被害者が誰であるかは示されていませんが、サイトのチャット画面には、Pierre Fabreのデータを今から奪うという脅威の行為者からのメッセージが表示されています。このメッセージは、企業を脅して身代金を支払わせるためのものです。

このリンクは、現在隠されているPierre FabreのREvilデータリークページにつながっており、そこには盗まれたとされるパスポート、会社の連絡先リスト、政府の身分証明書、移民書類の画像が含まれている。

REvilはこの1ヶ月間、大企業へのサイバー攻撃を繰り返し、とんでもない高額な身代金を要求してきました。これらの攻撃には、5,000万ドルを要求したAcerや、2,400万ドルを要求したAsteelflashなどが含まれます。

ハピタスからJALマイルへの交換開始

ハピタスというポイントサイトをご存じだろうか。

昔、ANAマイルへの交換レートが非常によく、重宝していた。

2014年頃からJALマイルメインとなったため、ほとんど使っていなかったのだが、JALマイルへの直接変換を開始したらしい。

JALマイルへの選択肢が増えることはいいことである。

個人的にはポイントサイトは広く使うよりも絞り込んで使い倒したい派なのだが、ハピタスは安心保証や友達紹介によるレートアップの制度があり、ポイントサイトの中ではかなり利用者にやさしい部類に入ると思う。

うんこお金ドリル（転載）～友達から「お金を貸して」と言われたらどうするのが正解？～

うんこお金ドリル:

　なんとうんこドリルとあの金融庁がコラボして、「うんこお金ドリル」を公表したとのこと。で、早速やってみました。で、4つの問題のうち1問を思いっ切り間違えました。というか間違いとされたのですが、私は納得がいきません。問題は、「友達から「お金を貸して」と言われた。どうすればいい？」です。

　「代わりにうんこをあげる」を押して間違えたのではありません。「すぐに貸してあげる」も選びませんでした。「事情をきいて、なっとくしたら貸してあげる」を自信を持って押したら、間違いとされました。正解は「絶対に貸さない」とのこと。マジかよ！そんなの悲しいじゃん。助け合わなくていいの？

　片やアメリカでは、子供の頃からモノポリー（ボードゲーム）で遊び、あのゲームはとにかくお金を借りて家を建てた者が勝つように出来ています。そうしてアメリカ人は借りて消費や投資をして経済を大きくし、我々は現金経済で中々成長しないのではないでしょうか？日本企業の内部留保も巨額だし。 

　ま、しかし、そんな経済の話の前に、「理由がなんであれ、友達どうしでのお金の貸し借りは絶対にいかんぞい」という解説は、まぁその気持ちも分からないでもなく、私も親からは「友達に貸す時は返ってこないと思って、それでもいい時だけ金を渡せ」と小さい頃に聞かされた記憶があるのですが、政府が、金融庁が公言することかとなると、私にはそうは思えません。うんこプリプリ！

BAファーストクラスのミールキットをご自宅にお届け！実際に試してみる / Get a BA First Class meal kit delivered to your door – we try it out（転載）

Get a BA First Class meal kit delivered to your door – we try it out

ブリティッシュ・エアウェイズは、プレミアム・ミールキットのトレンドに乗り、ファーストクラスの食事を注文して自宅で組み立てる機会を提供しています。各ミールキットは2人分の4コースで構成されており、価格は80ポンドから100ポンドです。

What’s on the menu?

食事はブリティッシュ・エアウェイズとDO&COが開発したもので、ベジタリアン、ペッシー、肉食の3種類から選ぶことができます。どんな食事が出てくるかというと、こんな感じです。

ロッホ・ファイン社製スモークサーモンのティンバーレ、ハニーマスタードドレッシング添え

じっくり煮込んだ英国産牛の頬肉、ハラペーニョ風味のポテトグラタン、ブロッコリー、チミチュリー添え

Caws Golden cenarth、Snowdonia Black Bomber Cheddar、Harrogate blue、Kidderton ash goats cheeseのチーズセレクション、チャツネ添え

ダークチョコレートとオレンジリキュールを使ったパンとバターのプディング、バニラソース添え

ミールキットは、ヒースロー空港にあるDO&COの巨大な新キッチンで組み立てられますが、ここ1年はかなり閑散としていたようです。DO&COは、注文を受けてから毎日新鮮な状態でボックスを準備します。

Taste test

ファーストクラスのミールボックスはFeast Box社と共同で開発されたため、BA社はFeast Box社の確立されたプロセスの恩恵を受けることができました。たとえば、配送に関するタイムリーなテキストアップデートや効率的な梱包などです。

箱の中には、ブリティッシュ・エアウェイズの機内で使用されているものと同じようなパッケージやカートンが入っており、より親しみを感じました。

箱の中に入っているすべての食材をリストアップしたメニューカードが用意されていて、4つのコースを組み立てるためのガイドになっています。4つのコース料理というだけあって、食材の数は意外と多い。オリーブオイルや塩・コショウまで用意されているので、家にあるものだけで完璧な料理を作ることができます。

私が感心したのは、すべてのパッケージがリサイクル可能であるということでした。メインボックスのデザインは斬新で、ビニールテープが必要ありません。カートンや内箱には、リサイクル可能なカードが使われています。

The menu

私はベジタリアンミールを選びました。

アスパラガス、グリルした茄子、火を通したピーマン、フムス、クレームフレーシュを添えたサラダ。

手作りアンニョロッティ、モレル、アスパラガスのフライ、パンナソース、続いて....

ゴールデンセナース、ブラックボンバー、ハロゲートブルー、キダトンアッシュの各チーズに続いて、....。

ダークチョコレートとオレンジリキュールを使ったパンとバターのプディング、バニラソース添え

Making a meal of it

レシピはそれほど専門的なものではありませんでしたが、このレシピは、ただ単にすべてのものを30分間オーブンに入れるだけのレシピボックスではありません。

デザートのように温めるだけのものもありますが、全粒粉のサラダのキヌアを炊いたり、茄子を焼いたり、ピーマンを焼いたりと、かなりの準備が必要でした。

提供されたレシピには、ファーストクラスのキャビンと同じ基準で料理を提供するための詳細が記載されており、非常に明確な指示がありました。デザートに添えられたミントの葉や、チーズと一緒に食べるブドウのミニ房など、ファーストクラスの体験を再現するためのすべてが用意されていました。

レシピはわかりやすいものでしたが、一つだけ批判したいのは、タイミングを計るのが難しいということです。ガイドでは、前菜とメインの両方を用意してからサーブすることになっていますが、そうするとパスタがかなり冷たくなってしまいます。そこで、前菜を食べた後にパスタを茹でることにしました。

In conclusion

タイミングの問題はさておき、本当に美味しい料理でした。素材の質が高く、レシピのおかげで非常に贅沢な4品のコースを楽しむことができました。

毎日調理されているので、メニューには季節感があり、野菜もとても新鮮でした。すべてのコースをとても楽しみましたが、メインはちょっとした見せ場でした。アスパラガスとモレルを添えた風味豊かなパスタの上に、リッチなクリーミーソースがかかっていました。

先着500箱まで無料で提供されるHattingley Valleyのイングリッシュ・スパークリングワインも素晴らしく、特に前菜のサラダとの相性は抜群でした。

80～100ポンドと決して安くはありませんが、量がとても多く（残った全粒粉のサラダを何回か昼食に食べています）、レストランが閉店してから最も贅沢な食事をした気分になりました。

もし、私たちがまだ拘束されている間に、特別な日を迎えるのであれば、ファーストクラスのスタイルでお祝いする方法として、BA First Class Feast Boxを検討する価値があると思います。

CIS Controls Version 8が2021年春に登場 / CIS Controls Version 8 is Coming Spring 2021（転載）

Blog | CIS Controls Version 8 is Coming Spring 2021:

当社は、お客様からのフィードバック、進化する技術、変化し続ける脅威の状況に基づいてCIS Controlsを更新することで、常に適切な状態を保つよう努めています。より多くの組織がクラウドサービスやリモートワークに移行しているのを見て、私たちは、CIS Controlsとそれをサポートするセーフガード（旧バージョンではサブコントロールと呼ばれていた）を再検討し、私たちの推奨事項が効果的なサイバー防御を提供していることを確認する時期だと感じました。その結果、CIS Controls Version 8が誕生しました。CIS Controls Version 8では、以下の推奨事項が更新されています。

• Cloud-based computing（クラウドコンピューティング）
• Mobile environments（モバイル環境）
• Changing attacker tactics（攻撃者の戦術の変化）

CIS Controls Version 8では、デバイスを管理する人ではなく、活動によってコントロールを組み合わせ、統合しています。物理的なデバイス、固定された境界、セキュリティ実装の孤立した対策は重要ではなくなり、v8では用語やセーフガードのグループ化によってこれが反映されています。その結果、コントロールとセーフガードの数は減少し、コントロールは18（従来は20）、セーフガードは153（従来は171）となっています。

各セーフガードは、可能な限り「一つのこと」を、明確で解釈を必要としない方法で求めています。さらに、各セーフガードは、測定可能なアクションに焦点を当て、プロセスの一部として測定を定義しています。企業にとって、CISコントロールの実施状況を把握することは重要なことです。この目的のために、CISコントロール自己評価ツール（CSAT）をv8に対応させる予定です。また、多くのお客様がv7.1を使用されていると思いますので、v8に移行する時間を確保するために、両バージョンをサポートします。

CIS Controls v8は2021年5月中旬にリリースされる予定です。今後、CIS Controls v8やサポートツールに関するウェビナー、ポッドキャスト、ブログなどの最新情報をお届けしますので、引き続きご利用ください。

JPCERT/CC Eyes「日本の組織を狙った攻撃グループLazarusによる攻撃オペレーション」を公開。国内で確認したLazarusの攻撃オペレーションで使用されたマルウェア（VSingle、ValeforBeta）をご紹介しています（転載）

watoly retweeted: JPCERT/CC Eyes「日本の組織を狙った攻撃グループLazarusによる攻撃オペレーション」を公開。国内で確認したLazarusの攻撃オペレーションで使用されたマルウェア（VSingle、ValeforBeta）、および侵入したネットワーク内部で使用したツールをご紹介しています。^MM blogs.jpcert.or.jp/ja/2021/03/Laz…:

watoly retweeted:

JPCERT/CC Eyes「日本の組織を狙った攻撃グループLazarusによる攻撃オペレーション」を公開。国内で確認したLazarusの攻撃オペレーションで使用されたマルウェア（VSingle、ValeforBeta）、および侵入したネットワーク内部で使用したツールをご紹介しています。^MM blogs.jpcert.or.jp/ja/2021/03/Laz…

複数の釣り具通販サイトに不正アクセス - クレカ情報流出か（転載）～想定損害賠償額は1.2億円程度か～

複数の釣り具通販サイトに不正アクセス - クレカ情報流出か
「イシグロオンラインショップ」への不正アクセス

イシグロが運営する釣り具の通信販売サイトが不正アクセスを受け、利用者のクレジットカード情報が流出し、悪用された可能性があることがわかった。

同社によれば、2020年5月27日から10月22日にかけて「イシグロメイキングパーツ専門オンライン」「イシグロ中古つり具専門」を利用した顧客3171人分のクレジットカード情報4026件が流出し、不正に利用された可能性があることが判明したもの。

外部からシステムの脆弱性を突く不正アクセスがあり、クレジットカードの名義、番号、有効期限、セキュリティコードなどを窃取するよう決済アプリケーションが改ざんされていた。

2020年11月6日にクレジットカード会社から流出の可能性について指摘を受け、問題が判明。1月21日に調査が完了し、同社では3月11日に警察への被害相談を行い、個人情報保護委員会へ報告を行った。

対象となる顧客には、4月5日より書面で報告や謝罪を行っており、心当たりのない請求が行われていないか確認するよう求めている。 

プレスリリース（バックアップ）

「せんたく便」「マイスターせんたく便」からのカード情報流出（転載）～想定損害賠償額は23億円程度か～

 宅配クリーニングに不正アクセス - 意図しない外部公開も
「せんたく便」「マイスターせんたく便」からのカード情報流出

宅配クリーニングサービスを提供するウェブサイト「せんたく便」が不正アクセスを受け、顧客のクレジットカード情報が外部に流出した可能性があることがわかった。また一部顧客情報が、外部よりアクセスできる状態で保存されていたことも判明したという。

同サイトを運営するヨシハラシステムズによれば、2020年4月より稼働するシステムが不正アクセスを受けたほか、システム移行時における旧システムのデータが、外部よりアクセス可能な状態となっていたもの。最大5万8813人分のクレジットカード情報が流出し、悪用された可能性がある。

具体的には、2020年4月27日以降に稼働している新システムが、SQLインジェクションの脆弱性を突く不正アクセスを受けた。

同システムでは、クレジットカード情報をトークンとして保管するシステムを採用していたが、調査を行ったところ、新規に登録したり、変更が行われた会員のクレジットカード情報4万4891件が外部に流出した可能性が判明した。

これとは別に、同社では新システムへの移行にあたり、開発目的で旧システムの一部顧客のデータ1万3922件をサーバ上で保管していたが、公開領域だったため、2020年4月27日以降、外部からアクセス可能な状態となっていた。

プレスリリース（バックアップ）

[OSINT]Googleドキュメントの所有者を調査する / Investigating Google Doc Owners（転載）

Investigating Google Doc Owners:

Doxxingの容疑者がGoogle Docsを使って被害者と共同作業をしているのをよく見かけます。オンラインアカウント、電子メールアドレス、電話番号、自宅の住所などの詳細を見つけ次第、追加していきます。これらの文書は、舞台裏の貴重な情報を表示することができます。例を挙げてみましょう。

私は、以下のリンクで私のOSINT本のPDF版を無料で提供すると主張するGoogleドキュメントを見つけました（スパイウェアの可能性があります！）。

https://docs.google.com/spreadsheets/d/1KXksB1vj7fXPNS4OYL0idQne3HXVnamtUP1h0ut3xwk

ページのソースコードにはオーナーの詳細は含まれていませんが、Google APIには含まれています。この情報を照会する最も簡単な方法は、xeuledocというPythonアプリケーションです。

https://github.com/Malfrats/xeuledoc

拙著『Open Source Intelligence Techniques, 8th Edition』のチュートリアルで作成したOSINT VMへのインストールは非常に簡単です。Terminalで以下のように入力します。

sudo -H python3 -m pip install xeuledoc

xeuledoc "と入力してプログラムを実行し、続いて目的のGoogle Docを入力します。私の例では以下のようになりました。

xeuledoc https://docs.google.com/spreadsheets/d/1KXksB1vj7fXPNS4OYL0idQne3HXVnamtUP1h0ut3xwk

その結果、作成日、修正日、所有者名、所有者の電子メールアドレス、所有者のGoogle IDが特定されました。以下に再編集したコピーを掲載します。

誰がドキュメントを作成してアップロードしたかがわかりました。次のコマンドでいつでもxeuledocを更新することができますが、あなたのカスタムアップデートスクリプトに追加することもできます。

sudo -H python3 -m pip install xeuledoc -U

このプログラムを含むように、私のウェブサイトのLinuxステップとLinux自動インストールスクリプトを更新しました。この情報は、本に同梱されているURL/ユーザー/パスワードからアクセスできます。これは、出版後に登場した新しいOSINTツールの中で、おそらく私のお気に入りです。

通販サイト「ゆとりの空間」、パスワード含む個人情報が流出か（転載）～想定損害賠償額は3,000万円程度か～

通販サイト「ゆとりの空間」、パスワード含む個人情報が流出か
「ゆとりの空間オンラインショップ」への不正アクセス

キッチン用品や食器など扱う通信販売サイト「ゆとりの空間オンラインショップ」が不正アクセスを受け、会員登録時に入力した個人情報が外部に流出した可能性があることがわかった。パスワードなども含まれる。

「ゆとりの空間」は、料理家の栗原はるみさんや栗原心平さんの公式サイト。キッチン用品や食器など扱うオンラインショップを展開している。同サイトを運営するモブキャストホールディングス子会社のゆとりの空間によれば、システムの脆弱性を突く不正アクセスにより、新規会員の登録ページが改ざんされたという。

2020年12月8日から2021年3月9日にかけて、同サイトであらたに登録された会員情報5,009件が流出した可能性がある。氏名や住所、電話番号、メールアドレス、性別、生年月日のほか、パスワード、パスワードを忘れた際のヒントなども含まれる。

1月27日に同サイトの利用者からページ遷移に関する問い合わせがあり、改ざんされた可能性を把握。同日よりクレジットカード決済を停止し、社内および外部事業者による調査を行っていた。

3月9日に外部事業者からの経過報告で、新規会員登録ページが改ざんされていると指摘があり、同ページを修正。同月15日に情報流出の可能性について報告を受けたという。

同社では3月29日に警察と個人情報保護委員会へ報告。対象となる顧客に対しては、3月31日よりメールで謝罪しており、パスワードの変更を案内するとともに、他サイトでパスワードを使い回している場合は、変更するよう求めている。

総務省｜第29回サイバーセキュリティタスクフォース（転載）～サイバー攻撃被害情報 の共有と公表のあり方 について～

sugimu retweeted: 総務省｜サイバーセキュリティタスクフォース｜サイバーセキュリティタスクフォース（第29回） soumu.go.jp/main_sosiki/ke…:

sugimu retweeted:

総務省｜サイバーセキュリティタスクフォース｜サイバーセキュリティタスクフォース（第29回）
soumu.go.jp/main_sosiki/ke…

【日時】

令和3年3月9日(月) 10:00 ～ 12:00

【場所】

オンライン形式での開催

【議事次第】

1． 開会

2． 説明

（1）スマートシティセキュリティガイドライン改定の方向性について

（2）電気通信事業者のネットワークの安全・信頼性の確保に向けた取組について

（3）サイバー攻撃被害情報の共有と公表のあり方について

3． 質疑応答及び自由討議

4． 説明

（4）サイバーセキュリティ分野における国際連携について（非公開）

5． 質疑応答及び自由討議（非公開）

6． 閉会

【資料】

バックアップ

健康食品通販サイトでクレカ情報流出か - 個人情報格納サーバにも不正アクセスの痕跡（転載）～想定侵害賠償額は4,300万円程度か～

健康食品通販サイトでクレカ情報流出か - 個人情報格納サーバにも不正アクセスの痕跡
「健康いきいき倶楽部 公式通販サイト」もEC-CUBE

健康食品など取り扱う健康いきいき倶楽部の通信販売サイトが不正アクセスを受け、顧客情報が外部に流出したことがわかった。

同社によれば、「健康いきいき倶楽部公式通販サイト」が、脆弱性を突く不正アクセスを受けたもの。ウェブサイトのプログラムが改ざんされ、本来システム上で保存されないクレジットカード情報が記録されており、攻撃者によって不正に取得された可能性がある。2020年12月4日にクレジットカード会社から指摘があり、問題が発覚した。

2019年12月14日から2020年12月4日までに、同サイトで新規にクレジットカード情報を登録したり、登録済みのクレジットカード情報を変更した顧客が対象で、クレジットカードに関する名義や番号、有効期限、セキュリティコードなど3308件が流出し、不正に利用された可能性がある。

さらにクレジットカード情報以外の個人情報に関しても、ログによりデータを格納するサーバが不正アクセスを受けていたことが判明した。流出の対象となる件数や範囲はわかっていない。

同社に取材を求め、サーバに保管されていた個人情報の件数や含まれる具体的な内容について尋ねたが、ウェブサイト上で公表している以上の情報は開示できないとして、回答は得られなかった。

同社は、外部事業者による調査を2021年1月31日に終え、3月15日に個人情報保護委員会へ報告。同日警察に被害を申告した。クレジットカード情報が流出した可能性がある顧客に対しては、メールで個別に連絡を取り、心当たりのない請求などが行われていないか注意を呼びかけるという。

【バックアップ】
インシデントレポート