Merseyrail(英)のランサム被害 / UK rail network Merseyrail likely hit by Lockbit ransomware(転載)~組織のメールアカウントを乗っ取って盗取した情報が暴露される!?~

Merseyrailのランサム被害

UK rail network Merseyrail likely hit by Lockbit ransomware

英国の鉄道ネットワークであるMerseyrail(マージーレイル)社は、ランサムウェアの一団が同社の電子メールシステムを利用して従業員やジャーナリストに攻撃に関するメールを送ったことから、サイバー攻撃を確認しました。

マージーレイルは、イギリスの鉄道ネットワークで、イングランドのリバプール市地域にある68の駅で列車サービスを提供しています。

"先日、マージーレイルがサイバー攻撃を受けたことを確認しました。全面的な調査が開始され、現在も継続中です。今月初めにマージーレイルのディレクターであるアンディ・ヒースのアカウントから謎のメールを受け取った後、マージーレイルはその間に、我々は関係当局に通知したと語った。


ランサムウェアの一味がMerseyrailの電子メールシステムを悪用

サイバー攻撃の内容は公表されていませんが、4月18日にHeith氏のメールアカウントから、"Lockbit Ransomware Attack and Data Theft "というメール件名の奇妙なメールを受け取ったことで、この攻撃を知りました。

このメールは、英国の様々な新聞、Merseyrailのスタッフに送信されており、Lockbit Ransomwareの一味による局長の@merseyrail.org Office 365メールアカウントの乗っ取りと思われます。

このメールでは、Merseyrail社の取締役を装い、前週末に発生した障害が軽視されていたことや、ハッカーが従業員や顧客のデータを盗むランサムウェア攻撃を受けたことを従業員に伝えていました。

このメールには、Lockbitが攻撃の際に盗んだとされる従業員の個人情報を示す画像へのリンクが含まれています。

"調査中であるため、これ以上のコメントは適切ではありません」と、マージーレール社は取締役の電子メールがどのようにして漏洩したかについて回答をしました。

また、英国情報委員会(Information Commissioner's Office: ICO)も、Merseyrail社がこの "事件 "を認識していることを確認しています。

"ICOはBleepingComputerに対し、メールで「Merseyrailは事件を認識しており、提供された情報を評価している」と述べています。


ランサムウェアのギャングが積極的に被害者を恐喝

過去1年間で、ランサムウェアのギャングたちは、その恐喝戦術においてますます攻撃的になっています。

これまでのランサムウェアの攻撃は、脅威となる人物が被害者のデータを盗み、ファイルを暗号化して身代金の支払いを迫るというものでした。

その後、被害者のネットワークやWebサイトへのDDoS攻撃、顧客やジャーナリストへのメール送信、証券取引所への脅迫など、その手口はエスカレートしていきました。

悲しいことに、これらの攻撃が続いている間、自分たちのデータや組織に何が起こっているのかを知ることができるのは、たいてい従業員や顧客だけです。

被害者の電子メールシステムを利用して、従業員、ジャーナリスト、顧客の両方に攻撃を宣伝することは、そのような状況を覆す可能性があります。 

国産の「一太郎」を押したい気持ちはあるが、世の中は「ワード」がスタンダードです(転載)

EyLKfLZVgAEi14s.jpg:large

激同って、普通に使われる使い方なのね…ちょっと驚いた:

激同って、普通に使われる使い方なのね…ちょっと驚いた

Passwordstateの更新配信サーバが不正アクセスを受け、不正なDLLを混入される。 / Passwordstate hackers phish for more victims with updated malware(転載)~サプライチェーンリスクの顕在化事例~


Passwordstate hackers phish for more victims with updated malware:

企業向けパスワードマネージャー「Passwordstate」を提供しているクリックスタジオ社は、「Moserpass」という最新のマルウェアを使ったフィッシング攻撃が続いているとして、顧客に警告を発しています。

先週、クリックスタジオ社は、4月20日から4月22日の間に、攻撃者がパスワードマネージャーの更新メカニズムを悪用して、情報を盗むマルウェア「Moserpass」を、まだ公表されていない数の顧客に配信することに成功したと、ユーザーに通知しました。

クリックスタジオ社は日曜日に2回目の勧告を発表し、"上記の時間帯に所定のアップグレードを行った顧客のみが影響を受けていると考えられ、Passwordstateのパスワード記録が盗まれている可能性がある "と述べた。

フィッシングメッセージのコピー ソーシャルメディアで共有されるClick Studiosメール

それ以来、クリックスタジオ社は、影響を受けた可能性のあるお客様に電子メールで支援を行い、お客様のシステムからマルウェアを取り除くためのホットフィックスを提供してきました。

しかし、今回の勧告で明らかになったように、クリックスタジオ社から受け取ったメールがソーシャルメディア上で顧客に共有されたことで、未知の脅威行為者が同社の対応に似せたフィッシングメールを作成し、新たなMoserpassの亜種を押し付けていました。

Passwordstateのお客様を対象とした、Moserpassデータ盗難マルウェアに感染させようとする継続的なフィッシング攻撃は、少数のお客様を対象としていると報告されています。

同社は現在、不審な電子メールを受け取った方に、「警戒を怠らず、あらゆる電子メールの有効性を確認してください」と呼びかけています。

" メールが当社からのものかどうかわからない場合は、テクニカルサポートにメールを添付して送信し、確認してください」とクリックスタジオは付け加えています。

初期分析によると、このファイルには、不正なMoserware.SecretSplitter.dllの新しい修正バージョンが含まれており、読み込み時に別のサイトを使用してペイロードファイルを取得しようとします。このペイロードファイルは現在も分析中です。- クリックスタジオ社

お客様には、保存されているすべてのパスワードをリセットするようお願いします。

Moserpassマルウェアは、システム情報とPasswordstateのデータベースから抽出した以下のようなパスワードデータの両方を収集し、流出させるように設計されています。

  • コンピュータ名、ユーザ名、ドメイン名、現在のプロセス名、現在のプロセスID、実行中のすべてのプロセス名とID、実行中のすべてのサービス名、表示名、ステータス、Passwordstateインスタンスのプロキシサーバアドレス、ユーザ名とパスワード

  • タイトル、ユーザー名、説明、GenericField1、GenericField2、GenericField3、メモ、URL、パスワード

クリックスタジオ社は、今回の侵害でクライアントをアップグレードしたPasswordstateのお客様に、データベースに保存されているすべてのパスワードをリセットするようアドバイスしました。

Passwordstateは、開発元が主張しているように、世界中の29,000社で働く37万人以上のIT専門家が使用しているオンプレミス型のパスワード管理ソフトです。

クリックスタジオ社のソフトウェアは、政府、防衛、航空宇宙、金融、ヘルスケア、自動車、法律、メディアなど、幅広い業種の企業(フォーチュン500ランキングに入っている企業も多数)に採用されています。

twitterアカウント@yanmaが乗っ取られた(転載)~基本海外が絡むと警察は期待できない。SNS認証は使うべからず。twitterサポートは役に立たない。~



twitterアカウント@yanmaが乗っ取られた(解決編) scrapbox.io/yanma/twitter%…: twitterアカウント@yanmaが乗っ取られた(解決編)
scrapbox.io/yanma/twitter%…

OSINTツールトップ25 / Top 25 OSINT Tools for Penetration Testing(転載)

Top 25 OSINT Tools for Penetration Testing

 ITセキュリティの調査を開始する際、最初に直面するのは、ターゲットに関するデータの偵察と情報収集の段階です。調査対象に関する情報収集が完了すると、IPアドレス、ドメイン名、サーバ、技術など、必要な情報がすべて揃い、最終的にセキュリティテストを実施することができます。

この貴重な情報を得るための最良のOSINTツールは何ですか?人や会社のデータ、ドメイン、IP、サーバー、実行中のソフトウェアなどを追跡したいとお考えですか?

私たちは、そのような疑問に対する正しい答えを持っています。この記事では、ITセキュリティ研究者のためのベストなReconとIntelの情報収集ツールのトップをご紹介します。

OSINTツールをサイバーセキュリティに活用するには?

OSINTとは、オープンソースインテリジェンスの略です。そして、軍事情報チームが敵に対して優位に立つために重要な役割を果たしているのと同様に、OSINTはサイバーセキュリティの分野においても重要な役割を果たしています。

オープンソースインテリジェンスは、サイバーセキュリティチームを刺激し、ブルー、パープル、レッドの各チームは、ネットワーク技術、ウェブホスティングサーバー、DNSレコード、ソフトウェア技術、クラウド資産、IoTデバイス、アプリ、データベース、ソーシャルメディアアカウントなど、さまざまな情報にアクセスすることができます。

OSINTは、さまざまな種類の組織、企業、公共機関、民間機関で広く使用されています。米国政府も2005年に、オープンソース情報を効果的に利用することの重要性を述べています。

重要な情報が犯罪者の手に渡ってしまうことを想像してみてください。これが、お客様のオンライン資産に対する攻撃の始まりとなる可能性があります。

適切なOSINTツールを採用することで、企業のサイバーセキュリティの防御力を高めることができ、また、レッドチームに所属している場合は、得られる貴重な情報量を増やすことができます。

オープンソース・インテリジェンス・ツールは、幅広い目標に向けて頻繁に使用されていますが、特定の分野に焦点を当てていることも少なくありません。

未公開資産の発見

公開されている資産はいたるところにありますが、最も危険な資産は、目に見えないもの、つまり未知のインフラ資産です。だからこそ、お客様が利用している他の種類のサービスと同様に、オンラインインフラ全体のフルマップを作成することは、善人も悪人も情報収集の過程で最初に行うことなのです。

これにより、防御力を高めることも、組織に対して行われる様々な種類のサイバー攻撃の犠牲になることもできます。

企業の重要なデータを外部から検出

データが自社の公開場所にない場合もあります。このようなことは、多くの第3者や第4者関連のSaaSサービスと連携している場合によく起こります。また、よくある問題として、合併や買収がありますが、これを見落とすと、外部からの攻撃のベクターを親会社に招き入れることになります。そして、OSINTは、合併や買収に対するサイバーセキュリティ監査の際に非常に有用であることがわかります。

重要なデータの整理

適切なOSINTツールを使用してあらゆる面から最も有用なデータを見つけたら、そのデータをすべて照合してグループ化し、機能的なプランに変換する必要があります。このオープンポートをどうするのか?誰がこの古いソフトウェアの更新を担当するのか?古くなったDNSレコードはいつまでに削除するのか?これらの質問は、すべての機密データをグループ化した後に、最も適切で実行可能な計画を作成するための情報となります。

OSINTとは何か、そしてそれがサイバーセキュリティにどのように使われるのかがわかったところで、お楽しみの部分に飛び込んでみましょう:おすすめのOSINTツールをすべて簡単にレビューします。

情報セキュリティの専門家が使用するOSINTツールベスト25

始める前の重要な注意:これらのツールを事前の許可なく外部のネットワークやシステムで使用してはならないことを覚えておいてください。これらのOSINTツールは、ITセキュリティ研究者や民間/公共の情報セキュリティ調査員が、サイバーセキュリティ調査の最も重要な部分の1つである情報収集の第1段階で役立つように、ここで紹介されています。

The most popular OSINT tools

1. OSINT Framework

OSINTフレームワークは、あなたのサーバー上で実行されるツールではありませんが、インターネット上で公開されている無料の検索エンジン、リソース、およびツールを照会することによって、貴重な情報を得るための非常に便利な方法です。彼らは、OSINTデータの貴重なソースへの最良のリンクをもたらすことに焦点を当てています。

このウェブアプリケーションは、当初はITセキュリティに焦点を当てて作成されましたが、時代とともに進化し、現在では他の業界の情報も取得できるようになっています。情報の検索に使用するウェブサイトのほとんどは無料ですが、中には低額の料金を支払う必要があるものもあります。

OSINT Framework

2. CheckUserNames

CheckUserNamesは、170以上のソーシャルネットワークのユーザーネームを見つけることができるオンラインOSINTツールです。これは、同じユーザー名が異なるソーシャルネットワークで使用されているかどうかを調査する場合に特に有効です。

また、個人だけでなく、ブランド・会社名を調べることもできます。

3. HaveIbeenPwned

HaveIbeenPwnedは、お客様のアカウントが過去に侵害されたかどうかを確認するのに役立ちます。このサイトは、市場で最も尊敬されているITセキュリティの専門家の一人であるTroy Hunt氏によって開発され、何年も前から正確なレポートを提供しています。

自分のアカウントが侵害された疑いがある場合や、外部アカウントでのサードパーティによる侵害を検証したい場合に最適なツールです。Gmail、Hotmail、Yahooアカウントをはじめ、LastFM、Kickstarter、Wordpress.com、Linkedin、その他多くの一般的なウェブサイトなど、さまざまなソースからウェブ上の不正アクセスを追跡することができます。

メールアドレスを導入すると、結果が表示され、次のように表示されます。

HaveIbeenPwned

4. BeenVerified

BeenVerifiedも同様のツールで、インターネット上の公開記録から人物を検索する際に使用します。ITセキュリティの調査を行っていて、ターゲットが未知の人物である場合に、世界中のどんな人物についても、より価値のある情報を得るためにかなり役立ちます。

完了すると、結果ページには、その人の名前に一致するすべての人が、その人の詳細、地理的位置、電話番号などとともに表示されます。見つかった後は、独自のレポートを作成することができます。

BeenVerifiedのすごいところは、犯罪歴や政府の公式情報なども含まれていることです。

BeenVerifiedのバックグラウンドレポートには、複数のデータベースからの情報、破産記録、キャリア履歴、ソーシャルメディアのプロフィール、さらにはオンラインの写真が含まれることがあります。

5. Censys

Censysは、サーバーやドメイン名など、インターネットに接続されているあらゆるデバイスに関する最新かつ最も正確な情報を得るために使用される素晴らしい検索エンジンです。

任意のサーバーで稼働している80ポートと443ポート、対象ウェブサイトのHTTP/SボディコンテンツとGETレスポンス、Chrome TLSハンドシェイク、完全なSSL証明書チェーン情報、WHOIS情報など、地理的・技術的な詳細情報をすべて確認することができます。

6. BuiltWith

BuiltWithは、インターネット上のあらゆるウェブサイトで使用されている技術を検出するクールな方法です。

Wordpress、Joomla、DrupalなどのCMSや、jquery、bootstrap/foundationなどのJavascriptやCSSライブラリ、外部フォント、Webサーバの種類(Nginx、Apache、IISなど)、SSLプロバイダ、使用しているWebホスティングプロバイダなど、詳細な情報が含まれています。

また、BuiltWithでは、今最も注目されている技術や、トレンドになりつつある技術を知ることができます。

間違いなく、あらゆるウェブサイトの可能な限りの技術的詳細を収集するための、非常に優れたオープンソースのインテリジェンスツールです。

7. Google Dorks

多くのITセキュリティの初心者は、人や企業を調査する際に、従来の検索エンジンを使って偵察や情報収集を行うことの重要性を忘れています。

そんなときには、Google Dorksが頼りになります。彼らは2002年から存在しており、あなたの情報の偵察に大いに役立ちます。

Google Dorksは、セキュリティ調査に役立つ情報をGoogleに照会するための簡単な方法です。

検索エンジンには、個人や企業、そのデータなど、インターネット上のほとんどすべての情報が登録されています。

Google Dorkingを実行するために使用されるいくつかの人気のあるオペレータ。

  • Filetype: あらゆる種類のファイルタイプを見つけることができます。
  • Ext: 特定の拡張子を持つファイルを探すのに役立ちます。 (eg. .txt, .log, etc).
  • Intext: クエリを実行することで、ページ内の特定のテキストを検索することができます。
  • Intitle: ページタイトル内の特定の単語を検索します。
  • Inurl: ウェブサイトのURL内に記載されている単語を調べます。

ログファイルは本来、検索エンジンにインデックスされるものではありませんが、実際にはインデックスされており、以下に示すように、これらのGoogle Dorksから貴重な情報を得ることができます。

Google Dorks

ここでは、最も尊敬されている情報セキュリティの専門家が使用している、より実用的なツールに焦点を当ててみましょう。

8. Maltego

このソフトウェアは、Paterva社によって開発され、Kali Linuxディストリビューションに含まれています。このソフトウェアはPaterva社が開発したもので、Kali Linuxディストリビューションに含まれています。

Maltegoを使えば、特定のターゲットに対して偵察テストを行うことができます。

このソフトには、「トランスフォーム」と呼ばれる優れた機能が搭載されています。トランスフォームは、無料で利用できる場合もあれば、製品版のみの場合もあります。トランスフォームは、さまざまな種類のテストや外部アプリケーションとのデータ統合の実行に役立ちます。

Maltegoを使用するには、Maltegoのウェブサイトで無料のアカウントを開設する必要があります。その後、新しいマシンを起動したり、既存のマシンからターゲットにトランスフォームを実行することができます。トランスフォームを選択すると、Maltegoアプリケーションは、Maltegoのサーバからすべてのトランスフォームを実行します。

最後に、Maltegoは、IP、ドメイン、AS番号など、指定したターゲットの結果を表示します。

9. Recon-Ng

Recon-ngは、Kali Linuxディストリビューションにすでに組み込まれており、遠隔地のターゲットに対して迅速かつ徹底的な偵察を行うために使用されるもう一つの素晴らしいツールです。

このウェブ偵察フレームワークはPythonで書かれており、多くのモジュール、便利な関数、適切な使い方をガイドするインタラクティブなヘルプが含まれています。

シンプルなコマンドベースのインターフェイスにより、データベースとのやりとり、ウェブリクエストの実行、APIキーの管理、出力コンテンツの標準化など、一般的な操作を行うことができます。

ターゲットに関する情報の取得は非常に簡単で、インストール後数秒で実行できます。また、google_site_webやbing_domain_webなどの興味深いモジュールが含まれており、ターゲットとなるドメインに関する貴重な情報を見つけるために使用することができます。

偵察モジュールの中には、ターゲットのネットワークを攻撃することのない受動的なものもありますが、リモートホストに対して面白いものを発射できるものもあります。

Recon-Ng

10. theHarvester

theHarvesterは、企業やウェブサイトのサブドメイン名、バーチャルホスト、オープンポート、電子メールアドレスに関する貴重な情報を取得するためのもう一つの優れた選択肢です。

これは、自分自身のローカルネットワークやサードパーティの許可されたネットワークに対するペネトレーションテストの最初のステップである場合に特に便利です。これまでのツールと同様に、HarvesterはKali Linuxディストロに含まれています。

the Harvesterは、PGPキーサーバー、Bing、Baidu、Yahoo、Googleの検索エンジン、Linkedin、Twitter、Google Plusなどのソーシャルネットワークなど、多くのリソースを使用してデータを取得します。

また、辞書攻撃に基づくDNSブルートフォース、rDNSルックアップ、辞書ブルートフォース列挙によるDNS TLD拡張など、アクティブなペネトレーションテストの実施にも使用できます。

11. Shodan

Shodanは、ディープウェブやモノのインターネットに特化したネットワークセキュリティの監視・検索エンジンです。2009年にJohn Matherlyによって作成され、ネットワーク内の一般にアクセス可能なコンピューターを追跡することができます。

サーバーやルーター、ウェブカメラなど、ネットワークに接続されたさまざまな機器を検索して調べることができるため、「ハッカーのための検索エンジン」とも呼ばれています。

Shodanは、Googleによく似ていますが、派手な画像やリッチコンテンツ、情報満載のウェブサイトを表示するのではなく、SSH、FTP、SNMP、Telnet、RTSP、IMAP、HTTPサーバーのバナーや公開情報など、ITセキュリティ研究者の関心に関連するものを表示します。結果は、国、OS、ネットワーク、ポートの順に表示されます。

Shodanのユーザーは、サーバーやWebカメラ、ルーターにアクセスできるだけではありません。交通信号システム、家庭用暖房システム、水道公園の制御パネル、水源地、原子力発電所など、インターネットに接続されているほとんどのものをスキャンすることができます。

12. Jigsaw

Jigsawは、あらゆる企業の従業員に関する情報を収集するためのツールです。このツールは、Google、Linkedin、Microsoftのような企業に最適で、google.comのようなドメイン名をピックアップして、その企業の様々な部門の従業員のメールを収集します。

唯一の難点は、これらのクエリがjigsaw.comにあるJigsawのデータベースに対して起動されるため、Jigsawがデータベース内でどのような情報を探索することを許可してくれるかに完全に依存していることです。大企業の情報を見つけることはできますが、あまり有名ではないスタートアップの情報を探しているのであれば、運が悪いかもしれません。

13. SpiderFoot

SpiderFootは、OSINTを自動化し、偵察、脅威情報、境界監視などで迅速に結果を出したい場合には、最高の偵察ツールの一つです。

このアプリは、Steve Micallefによって書かれたもので、彼はこのアプリを作り、Splunk用のSecurityTrails Addonを書くという素晴らしい仕事をしました。

このツールは、100以上の公開データソースにクエリを発行し、一般名、ドメイン名、電子メールアドレス、IPアドレスなどの情報を収集するのに役立ちます。

ターゲットを指定し、実行したいモジュールを選択するだけで、Spiderfootがモジュールからすべてのインテルデータを収集するという大変な仕事をしてくれます。

14. Creepy

Creepyは、情報セキュリティの専門家向けのジオロケーションOSINTツールです。Creepyは、Twitter、Flickr、Facebookなどのソーシャル・ネットワーキング・プラットフォームを照会することで、あらゆる個人の完全なジオロケーション・データを取得する機能を提供します。

もし誰かがジオロケーション機能を有効にしてこれらのソーシャルネットワークに画像をアップロードすると、その人がどこにいたのか、完全にアクティブなマルを見ることができます。

また、正確な場所や日付でフィルタリングすることもできます。その後、結果をCSVまたはKML形式でエクスポートすることができます。

Creepy

15. Nmap

Nmapは、最も人気があり広く使用されているセキュリティ監査ツールの一つで、その名前は「Network Mapper」を意味します。Nmapは、セキュリティ監査やローカルおよびリモートホスト間のネットワーク探索に利用される、フリーのオープンソースユーティリティです。

主な機能の一部をご紹介します。

  • ホストの検出:Nmapは、あらゆるネットワーク内で、特定のポートを開いているホストや、ICMPやTCPパケットに応答を送信できるホストを特定する機能を持っている。
  • IPおよびDNS情報の検出:デバイスタイプ、Macアドレス、さらにはリバースDNS名を含む。
  • ポートの検出:Nmapは、ターゲットネットワーク上で開かれているあらゆるポートを検出し、その上で実行可能なサービスを知らせることができる。
  • OS検出:接続されているホストのOSバージョンとハードウェア仕様を完全に検出する。
  • バージョン検出:Nmapは、アプリケーション名とバージョン番号を取得することもできる。

16. WebShag

WebShag は、HTTP および HTTPS プロトコルのスキャンに使用される優れたサーバー監査ツールです。他のツールと同様に、Kali Linuxの一部であり、ITセキュリティの調査や侵入テストに大いに役立ちます。

単純なスキャンだけでなく、プロキシ経由やHTTP認証などの高度な方法でスキャンを行うことができます。

Pythonで書かれており、システムを監査する際の最良の味方となります。

主な機能は以下の通りです。

  • ポートスキャン
  • URLスキャン
  • ファイルファジング
  • ウェブサイト・クローリング

リモートサーバーのセキュリティシステムにブロックされないように、HTTPプロキシサーバーごとにランダムなリクエストを起動することで、インテリジェントなIDS回避システムを採用していますので、禁止されることなくサーバーの監査を続けることができます。

17. OpenVAS

OpenVAS(Open Vulnerability Assessment System)は、情報セキュリティの専門家向けの特定のサービスやツールを含むセキュリティフレームワークです。

これは、有名なNessusがオープンソースからプライベートソースに切り替わった後に作られた、オープンソースの脆弱性スキャナ&セキュリティマネージャです。そして、Nessusの脆弱性スキャナーのオリジナルの開発者は、オリジナルのプロジェクトをフォークしてOpenVASを作ることを決めました。

以前のNessusに比べて設定が少し難しいですが、リモートホストのセキュリティを分析するために作業している間はかなり効果的です。

OpenVASに含まれる主なツールはOpenVAS Scannerで、ターゲットマシン上ですべてのネットワーク脆弱性テストを実行する、非常に効率的なエージェントです。

一方、もう一つのメインコンポーネントはOpenVAS Managerと呼ばれるもので、基本的には脆弱性管理ソリューションで、スキャンしたデータをSQLiteデータベースに保存することができ、スキャン結果を簡単に検索、フィルタリング、並べ替えることができます。

18. Fierce

Fierceは、PERLで書かれたIPとDNSの照合ツールで、ITセキュリティの専門家がドメイン名に関連するターゲットIPを見つけるのに役立つことで有名です。

これは元々、RSnakeが古いhttp://ha.ckers.org/ の他のメンバーと一緒に書いたものです。主にローカルおよびリモートの企業ネットワークを対象に使用されています。

対象となるネットワークを定義すると、選択されたドメインに対して複数のスキャンを実行し、設定ミスのあるネットワークや、個人情報や貴重なデータを流出させる可能性のある脆弱なポイントを見つけ出そうとします。

結果は、Nessus、Nikto、Unicornscanなどの同様のツールでスキャンを実行した場合よりも少し多めの数分以内に用意されます。

Fierce

19. Unicornscan

Unicornscanは、セキュリティ研究のためのトップレベルの情報収集ツールの一つです。また、効率性、柔軟性、拡張性を同時に実現することを目指した相関エンジンを内蔵しています。

主な機能は以下の通りです。

  • TCP/IPデバイス/ネットワークのフルスキャン
  • 非同期のステートレスTCPスキャン(すべてのTCPフラグのバリエーションを含む)。
  • 非同期のTCPバナー検出
  • UDPプロトコルスキャン
  • A/P OSの識別
  • アプリケーションおよびコンポーネントの検出
  • SQLリレーショナル出力のサポート

20. Foca

FOCA(Fingerprinting Organizations with Collected Archives)は、ElevenPaths社が開発したツールで、遠隔地にあるウェブサーバーやその隠れた情報をスキャン、分析、抽出、分類することができます。

Focaは、MS Officeスイート、OpenOffice、PDF、Adobe InDesign、SVG、GIFなどのファイルを分析し、貴重なデータを収集する機能を持っています。また、このセキュリティツールは、Google、Bing、DuckDuckGoなどの検索エンジンとも積極的に連携し、これらのファイルから追加のデータを収集します。すべてのファイルリストを入手すると、ファイルからより価値のあるデータを特定するために情報の抽出を開始します。

21. ZoomEye

サイバーセキュリティの世界では、私たち研究者は、ShodanやCensysといった人気のIoT検索エンジンに慣れています。しかし、しばらく前から、新しい強力なIoT検索エンジンが急速に支持を集めています。ZoomEyeのことです。

ZoomEyeは、中国のIoT OSINT検索エンジンで、ユーザーは公開されているデバイスやウェブサービスから公開データを取得することができます。データベースを構築するためにWmapとXmapを使用し、発見されたすべての情報に対して広範なフィンガープリントを実行し、最終的にフィルターをかけてキュレーションし、簡単に視覚化できるようにしてユーザーに提供します。

ZoomEyeではどのような情報が得られるのでしょうか?

  • ネットワークやホストと相互作用するIP
  • リモートサーバのオープンポート
  • ホストされているウェブサイトの総数
  • 発見されたデバイスの総数
  • 異なるデバイスにアクセスしているユーザーのインタラクティブマップ
  • 脆弱性レポート

他にもいろいろあります。公開版では多くのデータにアクセスすることができますが、実際にどのようなことができるのかを確認したい場合は、無料のアカウントにサインアップすることをお勧めします。そうすれば、このOSINTツールの真の力を試すことができるでしょう。

22. Spyse

Spyseは、誰もが世界中のあらゆるウェブサイトに関する重要な情報をつかむことができる、もう一つのOSINT検索エンジンです。端的に言えば、Spyseは、レッドチームやブルーチームが偵察の過程で有用な情報を得るためのインフォセックのクローラーです。

そのデータベースは最大級のものです。Spyseのユーザーは、以下のような多様なデータにアクセスできます。

  • IPアドレス(3.6B IPv4ホスト
  • DNSレコード (2.2B)
  • ドメイン名 (1.2B)
  • ASN (68K)
  • 脆弱性 (141K)
  • 関連するドメイン
  • SSL/TLSデータ (29M)

あらゆるターゲットに関する最も重要なOSINTを入手できる集中型のウェブサイトを探しているのであれば、多くの現代のインフォセックチームによれば、Spyseはトップの選択肢の一つであるようだ。

23. IVRE

この情報セキュリティツールは見落とされがちですが、情報セキュリティの発見と分析のプロセスを向上させる大きな可能性を秘めています。IVREは、Nmap、Masscan、ZDNS、ZGrab2などの人気プロジェクトをベースに開発されたオープンソースのツールです。

このフレームワークでは、これらの一般的なツールを使用して、あらゆるホストのネットワーク・インテリジェンスを収集し、MongoDBデータベースを使用してデータを保存します。

Webベースのインターフェースを採用しているため、インフォセックの初心者から上級者まで、以下の操作を簡単に行うことができます。

  • フロー解析によるパッシブな偵察(Zeek、Argus、nfdumpから
  • ZmapやNmapを使った能動的な偵察
  • フィンガープリント分析
  • Masscan/Nmapなど、他のサードパーティ製インフォセックアプリからのデータ取り込み

IVREは、公式のGithubリポジトリや、Kali Linuxリポジトリなどのサードパーティのリポジトリからソースを取得してインストールすることができます。

24. Metagoofil

Metagoofilは、情報セキュリティの研究者、IT管理者、レッドチームが、以下のような様々なタイプのファイルからメタデータを抽出するのを助けることを目的とした、もう一つの素晴らしいインテル・リコネッサンス・ツールです。

  • doc
  • docx
  • pdf
  • xls
  • xlsx
  • ppt
  • pptx

どのように機能しますか?このアプリは、Googleなどの検索エンジンで、この種のファイルに焦点を当てたディープサーチを行います。そのようなファイルを検出すると、ローカルストレージにダウンロードして、貴重なデータをすべて抽出します。

抽出が完了すると、ユーザー名、ソフトウェアのバナー、アプリのバージョン、ホスト名などが記載された完全なレポートが表示され、偵察段階での貴重な資料となります。

また、Metagoofilには、検索するファイルの種類の絞り込み、検索結果の絞り込み、出力の微調整など、便利な機能が多数用意されています。

25. Exiftool

OSINTツールの多くは、PDF、.DOC、HTML、.SQLなどの公開ファイルにあるデータに焦点を当てていますが、画像、ビデオ、オーディオファイルから重要なオープンソースインテリジェンスデータを抽出するために特別に設計されたツールもあります。

Exiftoolは、以下の種類のファイルからメタデータの読み取り、書き込み、抽出を行います。

また、以下のような様々なカメラのネイティブファイルにも対応しています。Canon、Casio、FujiFilm、Kodak、Sonyなど、さまざまなカメラのネイティブファイルにも対応しています。また、Linux、Windows、MacOSなど、複数のプラットフォームで利用できるのも便利です。

世の中にはたくさんの偵察・情報収集ツールがあります。この記事では、最も人気のあるOSINTツールを20個だけ紹介しましたが、他にもまだまだ発見があります。他の有用な情報セキュリティツールを調べてみましょう。

[Kali Linux] Fierce ~ドメイン名に関連付けられたIPの探索~


Fierceは、PERLで記述されたIPおよびDNS偵察ツールであり、IT部門の専門家がドメイン名に関連付けられたターゲットIPを見つけるのを支援することで有名です。

これは元々、古いhttp://ha.ckers.org/の他のメンバーと一緒にRSnakeによって書かれました。これは主に、ローカルおよびリモートの企業ネットワークを対象として使用されます。

ターゲットネットワークを定義すると、選択したドメインに対して複数のスキャンが開始され、誤って構成されたネットワークと、後でプライベートで貴重なデータが漏洩する可能性のある脆弱なポイントを見つけようとします。

結果は数分以内に準備が整います。これは、Nessus、Nikto、Unicornscanなどの同様のツールを使用して他のスキャンを実行する場合よりも少し長くなります。


 2cx.netの検索例

# fierce --domain 2cx.net
NS: ns1.digitalocean.com. ns2.digitalocean.com. ns3.digitalocean.com.
SOA: ns1.digitalocean.com. (173.245.58.51)
Zone: failure
Wildcard: failure
Found: dns.2cx.net. (193.148.70.119)




内閣府職員等が利用する「ファイル共有ストレージ」に対する不正アクセスについて(転載)


内閣府職員等が利用する「ファイル共有ストレージ」に対する不正アクセスについて - 内閣府 cao.go.jp/others/csi/sec…: 内閣府職員等が利用する「ファイル共有ストレージ」に対する不正アクセスについて - 内閣府
cao.go.jp/others/csi/sec…


【参考】

Ubiquiti社、「壊滅的な」データ侵害を軽視したとの報道で株価下落 / Ubiquiti Shares Fall After Reportedly Downplaying 'Catastrophic' Data Breach(転載)~正確性を欠いたインシデント公表を行った際の株価への影響は20%程度か!?~


Ubiquiti Shares Fall After Reportedly Downplaying 'Catastrophic' Data Breach:

ニューヨークを拠点とするIoTデバイスメーカーのUbiquitiは、軽視されていたデータ侵害を公表しました。大惨事となったデータ侵害のニュースを受けて、同社の株価は大幅に下落しました。

今年1月、Ubiquiti社は顧客に対し、正体不明のサードパーティのクラウドプロバイダーがホストする特定のITシステムへの不正アクセスが発見されたことを通知しました。同社は当時、ユーザーデータが漏洩したという証拠は見つかっていないとしながらも、その可能性を否定できないとして、顧客にパスワードの変更を勧めていました。

Ubiquiti がセキュリティ侵害を公表したとき、同社の株式への影響はわずかで、その後、同社の株式の価値は驚異的に上昇し、1 月 12 日の 1 株あたりおよそ 250 ドルから 3 月 30 日の 1 株あたり 350 ドルまで上昇しました。しかし、セキュリティ侵害が顧客や投資家に信じさせていたよりも大きかったかもしれないというニュースを受けて、ユビキティの株価は本稿執筆時点で290ドルまで下がっています。

3月30日(火)、サイバーセキュリティ・ブロガーのブライアン・クレブス氏は、Ubiquiti社が同社の株式市場価値への影響を軽減するために、実際には「壊滅的」であった事件を「大々的に軽視」していたことを、侵害への対応に関わった人物から聞いたと報告しました。

クレブス氏の情報源によると、侵入者はUbiquiti社のAWSサーバーへのアクセス権を取得した後、ハッキングについて口止めするために同社から50ビットコイン(約300万円相当)を脅し取ろうとしました。情報源によると、「侵入者は、Ubiquitiの従業員のLastPassアカウントから特権的な認証情報を取得し、すべてのS3データバケット、すべてのアプリケーションログ、すべてのデータベース、すべてのユーザーデータベースの認証情報、シングルサインオン(SSO)クッキーの偽造に必要な秘密を含む、UbiquitiのすべてのAWSアカウントへのルート管理者アクセスを得た」とのことです。このハッカーは、リモート認証によってUbiquitiのクラウドベースのデバイスにアクセスしていたとされています。

Ubiquiti社は、クレブス氏の報告を受けて水曜日に声明を発表し、法執行機関による調査が進行中であるため、これ以上のコメントはできないと述べました。"この事件を受けて、当社は外部の事件対応専門家を活用し、攻撃者が当社のシステムから締め出されたことを確認するために徹底的な調査を行いました。"これらの専門家は、顧客情報がアクセスされたという証拠はなく、標的にされたという証拠もないことを確認しました。この攻撃者は、盗んだソースコードと特定のIT認証情報を公開すると脅迫し、当社を恐喝しようとして失敗しましたが、顧客情報にアクセスしたとは言っていません。このことと他の証拠から、今回の事件に関連して顧客情報が標的になったり、アクセスされたりしたことはないと考えています」と述べています。 

少なくとも2つの法律事務所が、ユビキティ社が連邦証券法に違反したかどうかを調査しており、同社の投資家に連絡を取るよう呼びかけている。