Smilesというブラジルのロイヤリティプログラムがある。
雑記系ブログ。セキュリティとか、マイルとか、投資とか、、、 / Miscellaneous Blogs. Security, miles, investments, etc
SmilesでANAの特典航空券が!
Smilesというブラジルのロイヤリティプログラムがある。
ロシア対外情報庁(SVR)が行なっているサイバーオペレーションとネットワーク管理者向けのベストプラクティス / Russian Foreign Intelligence Service (SVR) Cyber Operations: Trends and Best Practices for Network Defenders
"Russian Foreign Intelligence Service (SVR) Cyber Operations: Trends and Best Practices for Network Defenders"
[PDF] us-cert.cisa.gov/sites/default/…
SUMMARY
THREAT OVERVIEW
SVR CYBER OPERATIONS TACTICS, TECHNIQUES, AND PROCEDURES
Password Spraying
Recommendations
- 構内および遠隔地のすべてのユーザーに対して、承認された多要素認証ソリューションの使用を義務付ける。
- 組織が所有していないIPアドレスやシステムから管理機能やリソースへのリモートアクセスを禁止する。
- メールボックスの設定、アカウントの権限、メール転送のルールを定期的に監査し、不正な変更の痕跡を確認する。
- 可能であれば、強力なパスワードの使用を強制し、特に管理者アカウントでは、技術的手段により容易に推測されるパスワードやよく使われるパスワードの使用を防止する。
- 組織のパスワード管理プログラムを定期的に見直す。
- 組織のITサポートチームが、ユーザーアカウントロックアウトのパスワードリセットに関する標準作業手順を十分に文書化していることを確認する。
- 全従業員を対象としたセキュリティ意識向上のためのトレーニングを定期的に実施する。
Leveraging Zero-Day Vulnerability
Recommendations
- ネットワークを監視し、エンコードされたPowerShellコマンドの証拠や、NMAPなどのネットワークスキャンツールの実行を確認する。
- ホストベースのアンチウイルス/エンドポイントモニタリングソリューションが有効であり、モニタリングやレポートが無効になった場合、またはホストエージェントとの通信が合理的な時間を超えて失われた場合に警告を発するように設定されていること。
- 内部システムへのアクセスに多要素認証の使用を求める。
- テストや開発に使用するシステムを含め、ネットワークに新たに追加されたシステムは、組織のセキュリティベースラインに沿ってすぐに設定し、企業の監視ツールに組み込む。
WELLMESS Malware
Tradecraft Similarities of SolarWinds-enabled Intrusions
Recommendations
- ログファイルを監査して、特権的な証明書へのアクセスの試みや偽の識別プロバイダの作成を特定する。
- 暗号化されたPowerShellの実行を含む、システム上の不審な行動を特定するソフトウェアを導入する。
- 侵害の行動指標を監視する機能を備えたエンドポイントプロテクションシステムを導入すること。
- クラウド環境でのクレデンシャルの不正使用を特定するために、利用可能なパブリックリソースを使用する。
- 新しいデバイスの登録など、システム上での特定のユーザー活動を確認するための認証メカニズムの設定。
General Tradecraft Observations
Recommendations
コロニカル・パイプライン社が支払った500万ドルの身代金 / Ransomware victim Colonial Pipeline paid $5m to get oil pumping again, restored from backups anyway(転載)~早々に身代金を支払ったものの・・・~
コロニカル・パイプライン社が支払った500万ドルの身代金
ランサムウェアの感染により、Colonial Pipeline社の経営者は、デジタルシステムの制御権を回復し、パイプラインから石油を供給するために500万ドルを支払ったと報じられています。
この支払いのニュースはBloombergが伝えたもので、Bloombergは匿名の情報源を引用しただけでなく、他の報道機関の匿名の情報源が今週初めにこのアメリカのパイプライン運営会社は身代金を支払うことはないだろうと言ったことを嘲笑しています。
"ワシントン・ポストやロイターなどのメディアが、同社が身代金を支払う意図は当面ないと報じました。ブルームバーグは、「これらの報道は匿名の情報源に基づいていた」とほくそ笑んでいますが、その一方で、「同社の取り組みに詳しい人物」という無名の人物を同じ言葉で表現することは避けています。
メディアの自画自賛はさておき、ジョージア州のColonial Pipeline Companyは、システムの制御権を取り戻すために身代金として500万ドルを支払ったと言われています。Bloombergは、おなじみの匿名の情報源を引用して、この支払い後に犯人が提供した復号化ユーティリティーは動作が遅いため、Colonial社は週末から引き続きバックアップからシステムを復元していると主張している。
ランサムウェアがファイルシステムに何かを隠していた場合に備えて、感染したコンピュータを消去して新たにやり直すべきだからです。
5月7日(金)にパイプラインが停止した原因については様々な憶測が飛び交っていますが、最も可能性が高いのは、パイプラインのポンプやバルブを制御する運用技術(OT)が危険にさらされたのではなく、石油の流れを監視し、その流れに基づいて請求記録を作成するバックオフィスシステムがランサムウェアによってKOされたということです。
石油を汲み上げることはできても、誰にどれだけの量を送っているのかがわからなければ、石油の受託サービス事業は大きな利益を逃し、エンジニアは安全性が重要なシステムがどれだけ消耗しているのかをすぐに見失ってしまいます。だからこそ、このようなシャットダウンが必要なのです。
Colonial Pipeline社によると、テキサス州ヒューストンとニューヨーク港の間で1日1億ガロンの精製燃料を輸送しており、これは米国東海岸で必要とされる全燃料の45%に相当する。パイプラインは、自動車やトラックの燃料、ジェット燃料、暖房用オイルなどを運んでおり、ガソリンが不足しているという報告もある。
ランサムウェア対策の専門企業であるEmsisoft社のBrett Callow氏は、今回報告された支払い額は比較的少額であると述べています。「公表されている最高額の要求は5,000万ドルであり、この事件が引き起こしている大規模な混乱とそのコストを考えると、500万ドルは驚くほど少額に思えます。しかし、もし本当に支払われているのであれば、重要なインフラがランサムウェアの標的になっていることは間違いないでしょう。ある分野が儲かるとわかれば、彼らは何度も何度もその分野を攻撃するでしょう」と述べています。
Colonialでは1ヶ月前に新しいサイバーセキュリティ・マネージャーを採用していました。その仕事に就いた者は、おそらく非常に興味深い数日間を過ごすことになるだろう。
このランサムウェア・ギャングはDarksideという名前で活動しており、欧米の情報セキュリティ企業は少なくとも12の異なる名前で追跡しています。昨年8月から活動を開始し、これまでに約80件の不正アクセスを行ったと言われています。先週、このパイプラインが止まり、FBIが関与することになったとき、このクルーの背後にいるロシア語を話す犯罪者たちは、自分たちはただビジネスをしているだけであり、他意はないと主張する声明をTorホストのブログを通じて発表した。
これを翻訳すると、アメリカ東海岸の液体炭化水素を供給する重要な技術を破壊して国際的な注目を集めた彼らを追跡して収容所に送らないよう、ロシア語圏の祖国の権力者たちに必死に訴えているようにも見える。
2021年にツイッターでフォローすべきサイバーセキュリティの専門家トップ21 / Top-21 Cybersecurity Experts You Must Follow on Twitter in 2021.
サイバーセキュリティに関しては、専門家から学ぶことに勝るものはありません。業界のトップインフルエンサーから洞察を得ることは、アプリケーションセキュリティ戦略を最適化する上で非常に重要であることがわかります。そこで今回は、2021年にTwitterでフォローすべきサイバーセキュリティの専門家トップ21人をご紹介します。Magecart、Web-Skimming、Supply Chain Attacksなどの脅威を解明する時が来ました。
#1 Rafay Baloch
https://twitter.com/rafaybalochRafay Balochは、倫理的ハッキングで広く知られる有名な情報セキュリティ専門家です。彼は、ゼロデイ脆弱性やWAFの欠陥など、大規模なセキュリティ上の脅威を特定することにかけては、最も信頼できるエキスパートです。また、自身のブログでは、モバイルやWebブラウザの脆弱性を明らかにし、セキュリティ関連のヒントを提供しています。
#2 Troy Hunt
#3 Kevin Mitnick
#4 Rachel Tobac
https://twitter.com/RachelTobacホワイトハット・ハッカーは、PayPal、Twitter、Uber、WhatsAppなどの顧客を持つサイバーセキュリティ企業、Social Proof SecurityのCEOです。彼女の会社では、参加者が自律的にウェブサイトをハッキングするソーシャルエンジニアリングのイベントを開催して、人々にセキュリティについての教育を行っています。攻撃を受ける側は、もちろん状況を十分に把握しています。
#5 Mikko Hyppönen
https://twitter.com/mikko
フィンランドのセキュリティ専門家であるミッコ・ヒッポネンは、いわゆる「ヒッポネンの法則」を考案したことで有名になりました。この法則は、あらゆる「スマートアプライアンス」には脆弱性があるというIoTルールです。彼は1991年からエフセキュアに勤務しており、彼の印象的な記事は「ニューヨーク・タイムズ」や「ワイアード」に掲載されています。Hyppönen氏は、スタンフォード大学、オックスフォード大学、ケンブリッジ大学でも講義を行っています。
#6 Katie Moussouris
https://twitter.com/k8em0
ムーサリスは、責任あるセキュリティ研究と脆弱性の公開を推進することで有名なセキュリティ専門家です。彼女は、米国国防総省のバグバウンティプログラムの創設に参加しました。バグバウンティプログラムは、個人がセキュリティを脅かすバグを報告することで、報酬や評価を得るというものです。ケイティ・ムソーリスは、Luta Securityの創設者でもあります。
#7 Bruce Schneier
#8 Brian Krebs
#9 Jeremiah Grossman
#10 Eugene Kaspersky
#11 Dan Lohemann
#12 Steve Morgan
#13 Tyler Cohen Wood
#14 Graham Cluley
#15 Theresa Payton
#16 Shira Rubinoff
#17 Eva Galperin
#18 Marcus J. Carey
#19 Jayson E Street
#20 Paul Asadoorian
#21 Adam K. Levin
OSINTツールリスト~不定期更新中~
Search Engines
Dark Web Search Engines(ダークウェブ)
People Search
Phone Number Search(電話番号検索)
- Z lookup: 携帯電話を含む国際的な逆電話検索
- Reverse Phone Lookup
- Inter800
- Twilio
- Spy Dialer
- Who calld
- Info Bel
- Fone Finder
- True Caller
- Free Carrier Lookup
- Phone Lookup
- denwam.com:(Japanese local)みんなの電話帳
- AREA PHONE CODES:それぞれの国の電話番号体系が調査可能
- searchpeopledirectory.com
- numverify
- Telnavi:(Japanese local)電話帳ナビ
- jpnumber:(Japanese local)電話番号、店舗名、企業名、住所、業種名から電話番号情報の検索が可能
- 24u.jp:(Japanese local)あなたの街の情報屋さん。
- itp.ne.jp:(Japanese local)iタウンページ
- Numlookup
- Searchyellowdirectory.com
- sync.me
- emobiletracker.com
- geotips.net
データ漏洩調査のためのOSINTリソース / 20+ OSINT resources for breach data research(転載)
ここ数週間、データの漏洩・流出が話題になっています。
何人かの読者から、侵害データの話題を調べるための良い情報源についての質問が寄せられました。
侵入や漏洩への直接的なリンクを掲載することには抵抗がありますが、侵入データのOSINTについて適切なレベルの洞察を得ることができるようなリソースのリストを作成することにしました。
これらは、私が過去に使用したもので、少なくともこの記事を書いている時点では動作することを確認しています。
- https://breachalarm.com/ – 無料プランでは電子メールを確認し、漏洩データの記録と照合することができます。有料プランでは、新たに浮上したメールを題材にしたリーク情報をアラートで通知することができます。
- https://breachchecker.com/ – 無料のツールでありながら、きちんとしたレベルの漏洩データの詳細を表示します。
- https://cybernews.com/personal-data-leak-check/ – 流出したハッシュ化されたメールを確認することができます。
- https://ddosecrets.com/wiki/Special:Categories – ボランティアによって管理されているフリーデータです。リーク情報は、カテゴリーや地理的な位置によって検索可能です。
- https://dehashed.com/ – 基本検索は無料です。詳細情報は有料。
- https://ghostproject.fr/ – 有料のリソースです。すべての機能を無料で使用することはできません。
- https://www.globaleaks.org/ – 「安全な内部告発プラットフォーム」として宣伝されている、フリーでオープンソースのソフトウェア。ローカルでのインストールが必要です。
- https://haveibeenpwned.com/ – 無料。最も認知度が高く、最も歴史のある侵害データレポジトリの一つ。多種多様なソースからのデータセットが含まれています。
- https://haveibeenzucked.com/ – 無料で提供しています。具体的には、2019年のFacebookデータ流出に詳細が存在するかどうかを確認するためのものです。それ以外には使えません。
- https://intelx.io/ – 検索エンジンとデータアーカイブを組み合わせたものです。無料プランと有料プランがある。
- https://leakcheck.net/ – 無料プランでは限定的な検索が可能。詳細な検索には有料プランが必要です。
- https://leakedsource.ru/ – 有料サービス。ロシアのトップレベルドメイン。いくつかの古い、失われた違反データソースのインデックスを再作成すると主張しています。暗号通貨による支払い。
- https://leak-lookup.com/ – 無料で検索できますが、詳細な検索結果を得るためには、ビットコインやモネロで購入できるクレジットを使用する必要があります。
- https://leakpeek.com/ – 無料で検索できますが、詳細な情報を得るには有料会員になる必要があります。
- https://nuclearleaks.com/ – 無料だが、遅く、古く、定期的に更新されていない。ナビゲーションが難しく、良い結果を得るのが難しい。
- https://psbdmp.cc/ – データダンプサイトは、APIキーを使用して検索できます。
- https://psbdmp.ws/ – 上と同じ
- https://scatteredsecrets.com/ – パスワード漏洩の通知と防止サービス。1メールは無料。複数のメールアドレスを監視するには、有料プランが必要です。
- https://services.blackkitetech.com/data-breach – は、無料でメールの検索と検証ができるプレミアムサービスのサブドメインです。詳細な結果は有料となります。
- https://snusbase.com/ – 有料のリソースです。電子メール、IPアドレス、ユーザー名、ハッシュなどの様々なデータを検索することができます。より多くの機能を開発中です。暗号通貨による支払い。
- https://wikileaks.org/-Leaks-.html – 最も有名なリークサイトの一つ。現在はあまりメンテナンスが行われておらず、古いリークデータを見ることができます。
FIREに向けたセミナーを聞いてみる~区分で実現するには、まず1戸目の完済が重要~
先日、日本財託のオンラインセミナーに参加した。
投資の話に簡単に儲かる上手い話は無い。
個人的には「簡単に儲かる」=「ハイリスク」だと思っているので、仮にその方法で短時間に資産を100倍にしたとしても、同様に短時間で巨額な損失を被るものである。
現在、私が投資関連で信用しているのは、今回セミナーに参加した日本財託(区分投資)、 ウラケンさん(不動産投資全般)、小次郎講師(株式投資全般)、内藤忍さん(インデックス投資)といった方々である。
ちなみに日本財託は「コツコツ」や「まめまめしく」というワードが良く出てくるが、これが個人的には性に合っているようで好きである。
今回のセミナーでひとつ勉強になったことがある。
下の図は不動産投資会社と面談をする際に聞いておくべきことのサンプルであるが、「いま販売を停止しても、会社は成り立つかどうか」である。
以前、とある不動産投資会社と面談した際、「管理委託料は1,000円です」と言われ、漠然とした不安を感じたことがあった。安い分にはよいのだが、いざというときにちゃんと動けるのだろうか?
そうした不安を抱えつつも、1,000円が妥当なのかを確認する良い質問が出せず、納得せざるを経なかったことがある。
それに対する解が「いま販売を停止しても、会社は成り立つどうか」である?
つまり、販売を停止すると会社が傾くような会社は管理をオマケ的な位置づけでやっているので、長期のパートナーとして不適切ということである。
日本財託は管理手数料3,000円くらい取る気がしたが、管理委託業務の質を考えると個人的には妥当と考えている。
今回のセミナーでは、珍しく、FIREを実現した事例の紹介があった。
こういう事例は非常に参考になる。
業者が作ったイメージ図ではなくて、実績ですからね。
ちなみに、先日見たウラケン不動産の下記の動画を中古区分マンションで実現した構図になっており、個人的には大きなモチベーションアップになった。
前々から言われて分かっていることだが、まずは1戸目の完済が重要である。
マリオットのポイント購入30%割引セール(2021年5月13日~6月30日)と現状のマイル整理
マリオットのポイント購入セールが開始。
今回は増量セールではなく、割引セールとなっている。
これまでの実績は下記の通り。
開始時期 | セール内容 |
2019年4月 | 25%割引 |
2019年9月 | 30%割引 |
2019年11月 | 30%割引 |
2020年2月 | 50%ボーナス |
2020年5月 | 60%ボーナス |
2020年9月 | 50%ボーナス |
2020年11月 | 60%ボーナス |
2020年11月延長 | 50%ボーナス(会員によっては60%) |
2021年2月 | 40%ボーナス(会員によっては50%) |
2021年5月 | 30%割引 |
30%割引は割引率としては最も高い部類に入る。
今回1万ポイント買うとした際の費用感は下記となる。
手ごろな感じがするが、ちょっと引っ越しを控えていて、出費を抑えたいため、今回は見送る方向で。。。
ちなみに、個人的にはホテルマイルには興味ありません。
んじゃ、何故にマリオットのポイントセールを気にするのか。
実は数少ないJALマイルの購入手段でもあるからである。
基本はマリオット:JAL=3:1となる
駄菓子菓子(だがしかし!)
マリオット60,000ポイントを交換するとボーナスポイントが発生し、JAL25,000マイルに生まれ変わる。
一般的なバイマイルのレートとしてはあまりよくないのだが、JALマイル調達の観点で考えると数少ない購入の機会なのである。
現状武漢ウイルスの蔓延により海外旅行に行く計画は全く持って立っていないのだが、マリオットのポイントは有効期限があるため、定期的に購入しないとポイントが消滅するため、継続的な購入が必要である。
ちなみに購入先は下記
https://storefront.points.com/marriott/ja-JP/buy
ポイント数を選んで氏名、会員番号、メールアドレスを入力して決済すればOKです。
ところで現状のマイルはどうなっているのだろうとふと気になったので、ここで整理してみたいと思う。
【2021/5/16時点のJALマイル状況】
・JALマイレージバンク:104,039マイル
※有効期限:3年
※21年末に東南アジア方面の特典航空券発行のため、若干減少
・モッピー:45,903ポイント(≒22,900マイル)
※有効期限:最後にポイント獲得した日から180日
・永久不滅ポイント:8,850ポイント(≒22,125マイル)
※有効期限:無し
※200永久不滅ポイント⇒JAL500マイル
・JREポイント:15,000ポイント(≒10,000マイル)
※有効期限:ポイントの最終獲得日or最終利用日から2年後の月末
※JRE1500ポイント⇒JAL1000マイル
・Pontaポイント:33,500ポイント(≒16,750マイル)
※有効期限:最終のポイント加算日から12か月後の月末
・マリオットポイント:53,000ポイント(≒17,000マイル)
※有効期限:ポイントの最終獲得日から2年後
※マリオット3ポイント⇒JAL1マイル
・WILLsCoin:44,500(≒8,900マイル)
※有効期限:ポイントの最終獲得日or最終利用日から1年後
※WILLsCoin500ポイント⇒JAL100マイル
■計:201,714マイル
JALマイレージバンクだけは有効期限3年で順次消えていくが、その他のポイントは継続的に加算することで事実上無期限化ができる。有効期限に気を付けながら各ポイントサービスを有効活用してきたい。