ロシア対外情報庁(SVR)が行なっているサイバーオペレーションとネットワーク管理者向けのベストプラクティス / Russian Foreign Intelligence Service (SVR) Cyber Operations: Trends and Best Practices for Network Defenders


ロシア対外情報庁(SVR)が行なっているサイバーオペレーションとネットワーク管理者向けのベストプラクティス "Russian Foreign Intelligence Service (SVR) Cyber Operations: Trends and Best Practices for Network Defenders" [PDF] us-cert.cisa.gov/sites/default/…: ロシア対外情報庁(SVR)が行なっているサイバーオペレーションとネットワーク管理者向けのベストプラクティス
"Russian Foreign Intelligence Service (SVR) Cyber Operations: Trends and Best Practices for Network Defenders"
[PDF] us-cert.cisa.gov/sites/default/…

SUMMARY

米連邦捜査局(FBI)と米国土安全保障省(DHS)は、ロシア対外情報庁(SVR)のサイバーアクター(Advanced Persistent Threat 29(APT29)、Dukes、CozyBear、Yttriumとも呼ばれる)が、今後もサイバー搾取を通じて米国および外国の企業から情報を得ようとしていると評価しています。

このサイバー搾取では、洗練度の異なるさまざまな初期搾取技術と、侵害されたネットワークへのステルス侵入技術が用いられます。

SVRは主に、政府機関のネットワーク、シンクタンクや政策分析機関、情報技術企業などを標的としています。

2021年4月15日、ホワイトハウスはSolarWindsの不正アクセスに関する声明を発表し、この活動がSVRによるものであることを明らかにしました。

FBIとDHSは、SVRのサイバーツール、ターゲット、テクニック、能力などの情報を提供し、組織が独自に調査を行い、ネットワークを保護するのに役立てています。

THREAT OVERVIEW


SVRのサイバー活動は、米国にとって長年の脅威となっています。

2018年以前には、複数の民間サイバーセキュリティ企業が、被害者のネットワークにアクセスして情報を盗むAPT 29の活動に関するレポートを発表しており、被害者のネットワーク内でステルス性を最大限に高めるためにカスタマイズされたツールを使用していることや、APT 29のアクターが検知されずに被害者の環境内を移動できることが強調されていました。

2018年以降、FBIは、SVRが被害者のネットワーク上でマルウェアを使用することから、クラウドのリソース、特に電子メールを標的にして情報を得ることにシフトしていることを確認しました。

改造したSolarWindsソフトウェアを使用してネットワークアクセスを得た後、Microsoft Office 365環境を悪用したことは、この継続的な傾向を反映しています。

クラウド・リソースを標的にすることで、被害者の組織が十分に防御、監視、理解していない環境において、漏洩したアカウントやシステムの誤設定を利用して、通常のトラフィックや監視されていないトラフィックに紛れ込ませることで、検知の可能性を下げていると考えられます。

SVR CYBER OPERATIONS TACTICS, TECHNIQUES, AND PROCEDURES


Password Spraying


2018年に行われたある大規模ネットワークの侵害では、SVRのサイバーアクターがパスワードスプレーを使用して、管理者アカウントに関連する弱いパスワードを特定しました。

このサイバー犯罪者は、検出を避けるためか、頻繁ではない間隔で少数のパスワードを試行し、「ロー&スロー」な方法でパスワードスプレー活動を行いました。

パスワードスプレーでは、住宅用、商業用、モバイル用、TOR(The Onion Router)用など、被害者と同じ国に存在する多数のIPアドレスが使用されました。

この組織では、侵害された管理者アカウントが多要素認証の要件から意図せずに除外されていました。

管理者アカウントにアクセスした行為者は、ネットワーク上の特定の電子メールアカウントの権限を変更し、認証されたネットワークユーザーであれば誰でもこれらのアカウントを読むことができるようにしました。

また、この設定ミスを利用して、管理者以外のアカウントを侵害していました。

この設定ミスにより、多要素認証に対応していない端末で、従来の単一要素認証によるログインが可能になりました。

これは、Apple社のメールクライアントやMicrosoft社のOutlookなどの旧バージョンのメールクライアントに見せかけるために、ユーザーエージェントの文字列を偽装することで実現したとFBIは考えています。

管理者以外のユーザーとしてログインした後、侵害された管理者ユーザーが適用した権限変更を利用して、被害組織内で関心のある特定のメールボックスにアクセスしました。

パスワードスプレーは様々なIPアドレスから行われていましたが、いったんアカウントにアクセスすると、そのアカウントは通常、リースした仮想プライベートサーバ(VPS)に対応する1つのIPアドレスからのみアクセスされます。

侵害されたアカウントに使用されたVPSの重複は少なく、後続の行為に使用されたリースサーバはいずれも被害組織と同じ国にありました。

アクセス期間中、行為者は常に管理用アカウントにログインしてアカウントの権限を変更しており、もはや関心がないと思われるアカウントへのアクセスを削除したり、追加のアカウントに権限を追加したりしていました。

Recommendations


この手法から身を守るために、FBIとDHSは、ネットワーク事業者に対して、クラウドコンピューティング環境へのアクセスを設定する際に、以下のようなベストプラクティスに従うことを推奨しています。

  • 構内および遠隔地のすべてのユーザーに対して、承認された多要素認証ソリューションの使用を義務付ける。

  • 組織が所有していないIPアドレスやシステムから管理機能やリソースへのリモートアクセスを禁止する。

  • メールボックスの設定、アカウントの権限、メール転送のルールを定期的に監査し、不正な変更の痕跡を確認する。

  • 可能であれば、強力なパスワードの使用を強制し、特に管理者アカウントでは、技術的手段により容易に推測されるパスワードやよく使われるパスワードの使用を防止する。

  • 組織のパスワード管理プログラムを定期的に見直す。

  • 組織のITサポートチームが、ユーザーアカウントロックアウトのパスワードリセットに関する標準作業手順を十分に文書化していることを確認する。

  • 全従業員を対象としたセキュリティ意識向上のためのトレーニングを定期的に実施する。

Leveraging Zero-Day Vulnerability


別の事件では、SVRのアクターが、仮想プライベートネットワーク(VPN)アプライアンスに対して、当時ゼロデイエクスプロイトであったCVE-2019-19781を使用してネットワークアクセスを取得しました。

ユーザー認証情報を公開する方法でデバイスを悪用した後、アクターは公開された認証情報を使ってネットワーク上のシステムを特定し、認証しました。

この行為者は、多要素認証を必要とするように設定されていない複数の異なるシステムに足場を築き、外国の諜報機関が関心を持つ情報に沿って、ネットワークの特定の領域にあるウェブベースのリソースにアクセスしようとしました。

最初の発見後、被害者は行為者を退去させようとしました。

しかし、被害者は最初のアクセスポイントを特定しておらず、行為者は同じVPNアプライアンスの脆弱性を利用してアクセスを再開しました。

最終的には、最初のアクセスポイントが特定され、ネットワークから削除され、アクターは退去しました。

前述のケースと同様、行為者は被害者と同じ国にある専用VPSを使用していましたが、これはおそらく、ネットワーク・トラフィックが通常の活動とは異なっているように見せるためでしょう。

Recommendations


この手法から守るために、FBIとDHSは、ネットワーク防御側が、エンドポイント監視ソリューションが、ネットワーク内での横方向の動きの証拠を特定できるように構成されていることを確認することを推奨しています。

  • ネットワークを監視し、エンコードされたPowerShellコマンドの証拠や、NMAPなどのネットワークスキャンツールの実行を確認する。
  • ホストベースのアンチウイルス/エンドポイントモニタリングソリューションが有効であり、モニタリングやレポートが無効になった場合、またはホストエージェントとの通信が合理的な時間を超えて失われた場合に警告を発するように設定されていること。
  • 内部システムへのアクセスに多要素認証の使用を求める。
  • テストや開発に使用するシステムを含め、ネットワークに新たに追加されたシステムは、組織のセキュリティベースラインに沿ってすぐに設定し、企業の監視ツールに組み込む。

WELLMESS Malware


2020年、英国、カナダ、米国の政府は、「WELLMESS」と呼ばれるマルウェアを使用した侵入行為をAPT29によるものだと発表しました。

WELLMESSは、プログラミング言語「Go」で記述されており、以前に確認された活動では、COVID-19ワクチンの開発を標的にしていたようです。

FBIの調査によると、最初にネットワークに侵入した後、通常はパッチが適用されていない一般に知られた脆弱性を利用して、犯人はWELLMESSを導入しました。

ネットワークに侵入すると、各組織のワクチン研究用リポジトリとActive Directoryサーバを標的にしました。

これらの侵入は、ほとんどが社内のネットワークリソースを標的としたものであり、これまでの手法とは異なるものでした。

今回の侵入に使用されたマルウェアの詳細については、これまでに公開されており、本文書の「リソース」の項で参照しています。

Tradecraft Similarities of SolarWinds-enabled Intrusions


2020年の春から夏にかけて、SVRのサイバーオペレーターは、改造したソーラーウインズのネットワーク監視ソフトウェアを最初の侵入経路として使用し、多数のネットワークへのアクセスを拡大し始めました。

SVRが信頼のおけるソーラーウインズ製品を改造して侵入経路として使用したことは、SVRのこれまでのトレードクラフトからの顕著な逸脱でもあります。

FBIの最初の調査結果によると、侵入に使われたインフラの購入・管理方法など、SVRが主催する他の侵入行為と感染後の手口が類似していることが判明しました。

SVRのサイバーアクターは、被害者のネットワークにアクセスした後、ネットワークを介して電子メールアカウントにアクセスしました。

複数の被害者組織で狙われたアカウントには、ITスタッフに関連するアカウントも含まれていました。

FBIは、サイバー犯罪者がITスタッフを監視することで、被害者のネットワークに関する有用な情報を収集し、被害者が侵入を検知したかどうかを判断し、退去措置を回避したのではないかと考えています。

Recommendations


信頼できるソフトウェアの侵害からネットワークを守ることは困難ですが、一部の企業では、最初の悪意のあるSolarWindsソフトウェアからの後続の悪用活動を検出し、防止することに成功しました。これは、以下のような様々な監視技術を用いて達成されました。

  • ログファイルを監査して、特権的な証明書へのアクセスの試みや偽の識別プロバイダの作成を特定する。

  • 暗号化されたPowerShellの実行を含む、システム上の不審な行動を特定するソフトウェアを導入する。

  • 侵害の行動指標を監視する機能を備えたエンドポイントプロテクションシステムを導入すること。
  • クラウド環境でのクレデンシャルの不正使用を特定するために、利用可能なパブリックリソースを使用する。
  • 新しいデバイスの登録など、システム上での特定のユーザー活動を確認するための認証メカニズムの設定。

被害組織の中には、最初のアクセス経路がソーラーウインズのソフトウェアであることを特定できたところはほとんどありませんでしたが、一部の組織では、さまざまな警告を関連付けて不正な活動を特定することができました。

FBIとDHSは、これらの指標と、ネットワークのセグメンテーションの強化(特に「ゼロトラスト」アーキテクチャやIDプロバイダー間の信頼関係の制限)とログの相関関係を組み合わせることで、ネットワーク防御者は追加調査が必要な疑わしい活動を特定できると考えています。

General Tradecraft Observations


SVRのサイバーオペレーターは有能な敵です。

上記の技術に加えて、FBIの調査では、侵入に使用されるインフラが、偽の身分証明書や暗号通貨を使って頻繁に入手されていることが明らかになっています。

VPSインフラは、VPS再販業者のネットワークから調達されることが多い。これらの偽装IDは、通常、一時的な電子メールアカウントや一時的なVoIP(Voice over Internet Protocol)電話番号など、評判の低いインフラによって支えられています。

SVRのサイバーアクターが独占的に使用しているわけではありませんが、SVRのサイバーペルソナの多くは、cock[.]liや関連ドメインでホストされた電子メールサービスを使用しています。

また、FBIは、SVRのサイバーオペレーターが、オープンソースの認証情報ダンプツール「Mimikatz」や、市販の悪用ツール「Cobalt Strike」など、オープンソースや市販のツールを継続的に使用していたと指摘しています。

Recommendations


FBIとDHSは、サービスプロバイダーに対し、サービスの悪用を防止するために、ユーザーの検証・確認システムを強化することを推奨しています。

Labels: ,

コロニカル・パイプライン社が支払った500万ドルの身代金 / Ransomware victim Colonial Pipeline paid $5m to get oil pumping again, restored from backups anyway(転載)~早々に身代金を支払ったものの・・・~


コロニカル・パイプライン社が支払った500万ドルの身代金

Ransomware victim Colonial Pipeline paid $5m to get oil pumping again, restored from backups anyway – report

ランサムウェアの感染により、Colonial Pipeline社の経営者は、デジタルシステムの制御権を回復し、パイプラインから石油を供給するために500万ドルを支払ったと報じられています。

この支払いのニュースはBloombergが伝えたもので、Bloombergは匿名の情報源を引用しただけでなく、他の報道機関の匿名の情報源が今週初めにこのアメリカのパイプライン運営会社は身代金を支払うことはないだろうと言ったことを嘲笑しています。

"ワシントン・ポストやロイターなどのメディアが、同社が身代金を支払う意図は当面ないと報じました。ブルームバーグは、「これらの報道は匿名の情報源に基づいていた」とほくそ笑んでいますが、その一方で、「同社の取り組みに詳しい人物」という無名の人物を同じ言葉で表現することは避けています。

メディアの自画自賛はさておき、ジョージア州のColonial Pipeline Companyは、システムの制御権を取り戻すために身代金として500万ドルを支払ったと言われています。Bloombergは、おなじみの匿名の情報源を引用して、この支払い後に犯人が提供した復号化ユーティリティーは動作が遅いため、Colonial社は週末から引き続きバックアップからシステムを復元していると主張している。

ランサムウェアがファイルシステムに何かを隠していた場合に備えて、感染したコンピュータを消去して新たにやり直すべきだからです。

5月7日(金)にパイプラインが停止した原因については様々な憶測が飛び交っていますが、最も可能性が高いのは、パイプラインのポンプやバルブを制御する運用技術(OT)が危険にさらされたのではなく、石油の流れを監視し、その流れに基づいて請求記録を作成するバックオフィスシステムがランサムウェアによってKOされたということです。

石油を汲み上げることはできても、誰にどれだけの量を送っているのかがわからなければ、石油の受託サービス事業は大きな利益を逃し、エンジニアは安全性が重要なシステムがどれだけ消耗しているのかをすぐに見失ってしまいます。だからこそ、このようなシャットダウンが必要なのです。

Colonial Pipeline社によると、テキサス州ヒューストンとニューヨーク港の間で1日1億ガロンの精製燃料を輸送しており、これは米国東海岸で必要とされる全燃料の45%に相当する。パイプラインは、自動車やトラックの燃料、ジェット燃料、暖房用オイルなどを運んでおり、ガソリンが不足しているという報告もある。

ランサムウェア対策の専門企業であるEmsisoft社のBrett Callow氏は、今回報告された支払い額は比較的少額であると述べています。「公表されている最高額の要求は5,000万ドルであり、この事件が引き起こしている大規模な混乱とそのコストを考えると、500万ドルは驚くほど少額に思えます。しかし、もし本当に支払われているのであれば、重要なインフラがランサムウェアの標的になっていることは間違いないでしょう。ある分野が儲かるとわかれば、彼らは何度も何度もその分野を攻撃するでしょう」と述べています。

Colonialでは1ヶ月前に新しいサイバーセキュリティ・マネージャーを採用していました。その仕事に就いた者は、おそらく非常に興味深い数日間を過ごすことになるだろう。

このランサムウェア・ギャングはDarksideという名前で活動しており、欧米の情報セキュリティ企業は少なくとも12の異なる名前で追跡しています。昨年8月から活動を開始し、これまでに約80件の不正アクセスを行ったと言われています。先週、このパイプラインが止まり、FBIが関与することになったとき、このクルーの背後にいるロシア語を話す犯罪者たちは、自分たちはただビジネスをしているだけであり、他意はないと主張する声明をTorホストのブログを通じて発表した。

これを翻訳すると、アメリカ東海岸の液体炭化水素を供給する重要な技術を破壊して国際的な注目を集めた彼らを追跡して収容所に送らないよう、ロシア語圏の祖国の権力者たちに必死に訴えているようにも見える。

Labels: ,

2021年にツイッターでフォローすべきサイバーセキュリティの専門家トップ21 / Top-21 Cybersecurity Experts You Must Follow on Twitter in 2021.


Cybersecurity Experts to Follow on Twitter:

サイバーセキュリティに関しては、専門家から学ぶことに勝るものはありません。業界のトップインフルエンサーから洞察を得ることは、アプリケーションセキュリティ戦略を最適化する上で非常に重要であることがわかります。そこで今回は、2021年にTwitterでフォローすべきサイバーセキュリティの専門家トップ21人をご紹介します。Magecart、Web-Skimming、Supply Chain Attacksなどの脅威を解明する時が来ました。

#1 Rafay Baloch

https://twitter.com/rafaybaloch
Rafay Balochは、倫理的ハッキングで広く知られる有名な情報セキュリティ専門家です。彼は、ゼロデイ脆弱性やWAFの欠陥など、大規模なセキュリティ上の脅威を特定することにかけては、最も信頼できるエキスパートです。また、自身のブログでは、モバイルやWebブラウザの脆弱性を明らかにし、セキュリティ関連のヒントを提供しています。


#2 Troy Hunt

トロイ・ハントは、著名な作家であり、Webセキュリティに関するPluralsightのコースに貢献しています。また、サイバーセキュリティをテーマにした技術会議で頻繁に講演を行っています。また、Haveibeenpwned? というウェブサイトで知られており、何百万人もの企業や個人のウェブユーザーが、自分の電子メールや携帯電話が改ざんされていないか、データが盗まれていないかを確認できるよう支援しています。

#3 Kevin Mitnick

https://twitter.com/kevinmitnick
ミトニックは、40の大規模組織をハッキングした罪で逮捕され、判決を受けた後、大企業や政府までも助けるホワイトハットハッカーとなりました。また、CNN、FOXニュース、BBCなどの放送局に頻繁に出演し、セキュリティ問題についての教育やコメントを行っています。また、KnowBe4社のオーナーとして、セキュリティ意識を高めるためのトレーニングプログラムを作成しています。

#4 Rachel Tobac

https://twitter.com/RachelTobac
ホワイトハット・ハッカーは、PayPal、Twitter、Uber、WhatsAppなどの顧客を持つサイバーセキュリティ企業、Social Proof SecurityのCEOです。彼女の会社では、参加者が自律的にウェブサイトをハッキングするソーシャルエンジニアリングのイベントを開催して、人々にセキュリティについての教育を行っています。攻撃を受ける側は、もちろん状況を十分に把握しています。

#5 Mikko Hyppönen

https://twitter.com/mikko
フィンランドのセキュリティ専門家であるミッコ・ヒッポネンは、いわゆる「ヒッポネンの法則」を考案したことで有名になりました。この法則は、あらゆる「スマートアプライアンス」には脆弱性があるというIoTルールです。彼は1991年からエフセキュアに勤務しており、彼の印象的な記事は「ニューヨーク・タイムズ」や「ワイアード」に掲載されています。Hyppönen氏は、スタンフォード大学、オックスフォード大学、ケンブリッジ大学でも講義を行っています。

#6 Katie Moussouris

https://twitter.com/k8em0
ムーサリスは、責任あるセキュリティ研究と脆弱性の公開を推進することで有名なセキュリティ専門家です。彼女は、米国国防総省のバグバウンティプログラムの創設に参加しました。バグバウンティプログラムは、個人がセキュリティを脅かすバグを報告することで、報酬や評価を得るというものです。ケイティ・ムソーリスは、Luta Securityの創設者でもあります。

#7 Bruce Schneier

ブルース・シュナイアーは、有名なセキュリティ技術者であり、ハーバード・ケネディ・スクールの講師でもあります。数多くのアプリケーション・セキュリティ関連の書籍を執筆・出版しているほか、自身のブログでもセキュリティ関連の動向を取り上げています。ブルース・シュナイアーは、EFF(電子フロンティア財団)のメンバーでもあり、いくつかの暗号アルゴリズムの開発に大きな役割を果たしています。

#8 Brian Krebs

正規のトレーニングを受けていないにもかかわらず、Krebsは最も世界的に認知されたサイバーセキュリティの専門家の一人となりました。クレブスは、ワシントンポスト紙の調査報道記者として、コンピュータセキュリティの話題やハッカーへのインタビューを行ってきました。現在、ブライアン・クレブスは、KrebsOnSecurityという自身のブログを運営し、企業のデータ漏洩を暴露しています。

#9 Jeremiah Grossman

ジェレマイア・グロスマンは、世界的に著名なサイバーセキュリティの専門家であり、WhiteHat Securityの創設者でもあります。ジェレマイア・グロスマンは、DefCon、ISACA、ISSAなどの技術系イベントで講演やワークショップを行っているほか、Washington Post、NBC Nightly News、USA Todayなどでサイバー犯罪に関する記事を頻繁に執筆しています。サイバーセキュリティに精通したプロフェッショナルである。

#10 Eugene Kaspersky

ユージン・カスペルスキーは、ロシアのサイバーセキュリティ専門家であり、彼の会社であるKaspersky Lab.で世界的な名声を得ています。彼の組織には約4,000人の従業員がおり、彼のアンチウイルス製品は4億人以上のユーザーを魅了しています。1997年にカスペルスキー・ラボを共同設立した彼は、現在も同社のCEOを務めており、12億ドルの純資産でフォーブスのリストに掲載されています。

#11 Dan Lohemann

ローヘマンは、有名なブロガーであり、講演者であり、メンターシッププログラムの貢献者であり、サイバーセキュリティについて専門家を教育するためのトレーニングコース、ワークショップ、セミナーを作成しています。また、ホワイトハウス、米国国土安全保障省、フォーチュン500社の代表者のセキュリティ基準の向上を支援するコンサルタントとしても活躍しています。

#12 Steve Morgan

モーガンは、定評のあるジャーナリストであり、サイバーセキュリティに関するテーマの研究者でもあります。毎年、サイバー犯罪の現状について、統計データを含めたレポートを作成している。彼のレポートは、さまざまな雑誌やジャーナル、その他のメディアで参照、引用されています。彼の使命は、彼が知っている情報を共有し、サイバーセキュリティの問題について彼の見解を述べることです。

#13 Tyler Cohen Wood

20年以上にわたりサイバーセキュリティに携わってきたウッドは、重要なインフルエンサーとなっています。彼女は、国防情報局、ホワイトハウス、連邦法執行機関に勤務し、政府のセキュリティプログラムをより効率的にするサイバーセキュリティポリシーを策定してきました。タイラーは、テレビ、ポッドキャスト、ラジオなどにも頻繁に出演しています。

#14 Graham Cluley

グレアム・クラウリーは、ソロモン博士のアンチウイルス・ツールキットの最初のバージョンを書いたことで有名なセキュリティ専門家です。現在では、自らの名前を冠したブログを開設し、サイバーセキュリティに関する最新のニュースやトレンドを発信しています。グラハム・クラウリーは、Microsoft Future Decoded、Web Summit、ISSAなどのサイバーセキュリティ関連のイベントで頻繁に基調講演を行っています。

#15 Theresa Payton

テレサ・ペイトンは、業界をリードするセキュリティ専門家であり、サイバー防衛、サイバー犯罪を扱い、教育を提供するFortalice SolutionsのCEOです。また、サイバーセキュリティ企業であるDark Cubed社の共同設立者でもあります。テレサは、スピーカーや講師として技術会議に参加したり、ソーシャルメディアや雑誌で知識を披露したりしています。

#16 Shira Rubinoff

Shira Rubinoffは、ITセキュリティの専門家であり、サイバーセキュリティ企業を2社設立しています。フォーチュン100社の企業に対して、セキュリティやビジネス開発に関するコンサルティングサービスを提供しています。また、このテーマに関する数多くの記事や講演の著者としても知られています。また、ニューヨークを拠点とするテクノロジーインキュベーターの社長も務めています。

#17 Eva Galperin

ガルペリンは、EFFのサイバーセキュリティ部門のディレクターを務めています。EFFのサイバーセキュリティ担当ディレクターであるガルペリンは、サイバーセキュリティ問題の透明性を提唱しており、アップル社やアンドロイド社の携帯電話メーカーに対して、端末上でストーカーウェアが検出された場合、ユーザーに警告を発するよう働きかけています。エヴァは、すべての人、特に弱い立場にある人たちにプライバシーとセキュリティを提供するための政策を策定することに尽力しています。

#18 Marcus J. Carey

マーカス・J・ケアリーは、サイバーセキュリティの専門家として広く知られています。ReliaQuest社のシニアエンタープライズ・アーキテクトとして、業界や国を問わず、サイバーセキュリティを強化するソリューションを開発しています。主に、効率性、アクセス性、パフォーマンスの向上を目的とした、クラウドをベースとしたサイバーセキュリティソリューションを担当しています。

#19 Jayson E Street

Jayson E Streetは、InfoSec社の情報セキュリティ担当副社長として、サイバーセキュリティに関するセミナーやワークショップの企画・制作を行っています。また、「Dissecting the Hack」という自身のウェブサイトでは、サイバーセキュリティについて人々に教え、この分野の最新情報を共有することに専念しています。彼のチャンネルには何千人もの情報セキュリティの専門家が集まってくる、真の教師です。

#20 Paul Asadoorian

ポール・アサドリアンは、サイバーセキュリティやハッキングの話題を扱うポッドキャスト「Security Weekly」の創始者として広く知られています。また、「Tenable」誌にも寄稿しており、セキュリティの脆弱性に関する資料を作成しています。また、RSA、Derbycon、SOURCE Conferenceなどの技術イベントにも頻繁に参加しています。

#21 Adam K. Levin

アダム・K・レビンは、セキュリティの提唱者であり、データ漏洩に備えて企業のアイデンティティ管理を行うCyberScout社の創設者でもあります。彼は数多くのカンファレンスでサイバーセキュリティ、個人の財務管理、信用の問題などについて語るスピーカーとして愛されています。アダムが関心を寄せているのは、IoTとサイバー詐欺が拡大する世界でのデータ保護です。
Labels: ,

OSINTツールリスト~不定期更新中~


Search Engines

Dark Web Search Engines(ダークウェブ)

People Search

Phone Number Search(電話番号検索)







Labels:

データ漏洩調査のためのOSINTリソース / 20+ OSINT resources for breach data research(転載)


20+ OSINT resources for breach data research:

ここ数週間、データの漏洩・流出が話題になっています。

何人かの読者から、侵害データの話題を調べるための良い情報源についての質問が寄せられました。

侵入や漏洩への直接的なリンクを掲載することには抵抗がありますが、侵入データのOSINTについて適切なレベルの洞察を得ることができるようなリソースのリストを作成することにしました。

これらは、私が過去に使用したもので、少なくともこの記事を書いている時点では動作することを確認しています。

  • https://breachalarm.com/ – 無料プランでは電子メールを確認し、漏洩データの記録と照合することができます。有料プランでは、新たに浮上したメールを題材にしたリーク情報をアラートで通知することができます。

  • https://breachchecker.com/ – 無料のツールでありながら、きちんとしたレベルの漏洩データの詳細を表示します。
  • https://dehashed.com/ – 基本検索は無料です。詳細情報は有料。

  • https://ghostproject.fr/ – 有料のリソースです。すべての機能を無料で使用することはできません。

  • https://www.globaleaks.org/ – 「安全な内部告発プラットフォーム」として宣伝されている、フリーでオープンソースのソフトウェア。ローカルでのインストールが必要です。

  • https://haveibeenpwned.com/ – 無料。最も認知度が高く、最も歴史のある侵害データレポジトリの一つ。多種多様なソースからのデータセットが含まれています。

  • https://haveibeenzucked.com/ – 無料で提供しています。具体的には、2019年のFacebookデータ流出に詳細が存在するかどうかを確認するためのものです。それ以外には使えません。

  • https://intelx.io/ – 検索エンジンとデータアーカイブを組み合わせたものです。無料プランと有料プランがある。

  • https://leakcheck.net/ – 無料プランでは限定的な検索が可能。詳細な検索には有料プランが必要です。

  • https://leakedsource.ru/ – 有料サービス。ロシアのトップレベルドメイン。いくつかの古い、失われた違反データソースのインデックスを再作成すると主張しています。暗号通貨による支払い。

  • https://leak-lookup.com/ – 無料で検索できますが、詳細な検索結果を得るためには、ビットコインやモネロで購入できるクレジットを使用する必要があります。

  • https://leakpeek.com/ –  無料で検索できますが、詳細な情報を得るには有料会員になる必要があります。

  • https://nuclearleaks.com/ – 無料だが、遅く、古く、定期的に更新されていない。ナビゲーションが難しく、良い結果を得るのが難しい。

  • https://psbdmp.cc/ – データダンプサイトは、APIキーを使用して検索できます。

  • https://psbdmp.ws/ – 上と同じ

  • https://scatteredsecrets.com/ – パスワード漏洩の通知と防止サービス。1メールは無料。複数のメールアドレスを監視するには、有料プランが必要です。

  • https://services.blackkitetech.com/data-breach – は、無料でメールの検索と検証ができるプレミアムサービスのサブドメインです。詳細な結果は有料となります。

  • https://snusbase.com/ – 有料のリソースです。電子メール、IPアドレス、ユーザー名、ハッシュなどの様々なデータを検索することができます。より多くの機能を開発中です。暗号通貨による支払い。

  • https://wikileaks.org/-Leaks-.html – 最も有名なリークサイトの一つ。現在はあまりメンテナンスが行われておらず、古いリークデータを見ることができます。
Labels: ,

FIREに向けたセミナーを聞いてみる~区分で実現するには、まず1戸目の完済が重要~


先日、日本財託のオンラインセミナーに参加した。

投資の話に簡単に儲かる上手い話は無い。

個人的には「簡単に儲かる」=「ハイリスク」だと思っているので、仮にその方法で短時間に資産を100倍にしたとしても、同様に短時間で巨額な損失を被るものである。

現在、私が投資関連で信用しているのは、今回セミナーに参加した日本財託(区分投資)ウラケンさん(不動産投資全般)小次郎講師(株式投資全般)内藤忍さん(インデックス投資)といった方々である。

ちなみに日本財託は「コツコツ」や「まめまめしく」というワードが良く出てくるが、これが個人的には性に合っているようで好きである。

今回のセミナーでひとつ勉強になったことがある。

下の図は不動産投資会社と面談をする際に聞いておくべきことのサンプルであるが、「いま販売を停止しても、会社は成り立つかどうか」である。


以前、とある不動産投資会社と面談した際、「管理委託料は1,000円です」と言われ、漠然とした不安を感じたことがあった。安い分にはよいのだが、いざというときにちゃんと動けるのだろうか?

そうした不安を抱えつつも、1,000円が妥当なのかを確認する良い質問が出せず、納得せざるを経なかったことがある。

それに対する解が「いま販売を停止しても、会社は成り立つどうか」である?

つまり、販売を停止すると会社が傾くような会社は管理をオマケ的な位置づけでやっているので、長期のパートナーとして不適切ということである。

日本財託は管理手数料3,000円くらい取る気がしたが、管理委託業務の質を考えると個人的には妥当と考えている。

今回のセミナーでは、珍しく、FIREを実現した事例の紹介があった。


こういう事例は非常に参考になる。

業者が作ったイメージ図ではなくて、実績ですからね。

ちなみに、先日見たウラケン不動産の下記の動画を中古区分マンションで実現した構図になっており、個人的には大きなモチベーションアップになった。


前々から言われて分かっていることだが、まずは1戸目の完済が重要である。

バックアップ

Labels:

マリオットのポイント購入30%割引セール(2021年5月13日~6月30日)と現状のマイル整理

マリオットのポイント購入セールが開始。

今回は増量セールではなく、割引セールとなっている。

これまでの実績は下記の通り。

開始時期セール内容
2019年4月25%割引
2019年9月30%割引
2019年11月30%割引
2020年2月50%ボーナス
2020年5月60%ボーナス
2020年9月50%ボーナス
2020年11月60%ボーナス
2020年11月延長50%ボーナス(会員によっては60%)
2021年2月40%ボーナス(会員によっては50%)
2021年5月30%割引

30%割引は割引率としては最も高い部類に入る。

今回1万ポイント買うとした際の費用感は下記となる。




手ごろな感じがするが、ちょっと引っ越しを控えていて、出費を抑えたいため、今回は見送る方向で。。。

ちなみに、個人的にはホテルマイルには興味ありません。

んじゃ、何故にマリオットのポイントセールを気にするのか。

実は数少ないJALマイルの購入手段でもあるからである。

基本はマリオット:JAL=3:1となる

駄菓子菓子(だがしかし!)

マリオット60,000ポイントを交換するとボーナスポイントが発生し、JAL25,000マイルに生まれ変わる。

一般的なバイマイルのレートとしてはあまりよくないのだが、JALマイル調達の観点で考えると数少ない購入の機会なのである。

現状武漢ウイルスの蔓延により海外旅行に行く計画は全く持って立っていないのだが、マリオットのポイントは有効期限があるため、定期的に購入しないとポイントが消滅するため、継続的な購入が必要である。

ちなみに購入先は下記

https://storefront.points.com/marriott/ja-JP/buy

ポイント数を選んで氏名、会員番号、メールアドレスを入力して決済すればOKです。

ところで現状のマイルはどうなっているのだろうとふと気になったので、ここで整理してみたいと思う。

【2021/5/16時点のJALマイル状況】

・JALマイレージバンク:104,039マイル
 ※有効期限:3年
 ※21年末に東南アジア方面の特典航空券発行のため、若干減少

・モッピー:45,903ポイント(≒22,900マイル)
 ※有効期限:最後にポイント獲得した日から180日

・永久不滅ポイント:8,850ポイント(≒22,125マイル)
 ※有効期限:無し
 ※200永久不滅ポイント⇒JAL500マイル

・JREポイント:15,000ポイント(≒10,000マイル)
 ※有効期限:ポイントの最終獲得日or最終利用日から2年後の月末
 ※JRE1500ポイント⇒JAL1000マイル

・Pontaポイント:33,500ポイント(≒16,750マイル)
 ※有効期限:最終のポイント加算日から12か月後の月末

・マリオットポイント:53,000ポイント(≒17,000マイル)
 ※有効期限:ポイントの最終獲得日から2年後
 ※マリオット3ポイント⇒JAL1マイル

・WILLsCoin:44,500(≒8,900マイル)
 ※有効期限:ポイントの最終獲得日or最終利用日から1年後
 ※WILLsCoin500ポイント⇒JAL100マイル

■計:201,714マイル

JALマイレージバンクだけは有効期限3年で順次消えていくが、その他のポイントは継続的に加算することで事実上無期限化ができる。有効期限に気を付けながら各ポイントサービスを有効活用してきたい。 


Labels:

ネット常時接続機器のサイバーセキュリティを確保する「セキュリティ検証の手引き」 経済産業省が公開(転載)

cover_news111.jpg

ネット常時接続機器のサイバーセキュリティを確保する「セキュリティ検証の手引き」 経済産業省が公開

 経済産業省は2021年4月19日、ネットワークに常時接続する機器に対するセキュリティ検証の高度化を目的に、「機器のサイバーセキュリティ確保のためのセキュリティ検証の手引き」を公開した。効果的な検証手法や、検証サービス事業者と検証依頼者が実施すべき事項などをまとめている。

 出荷前の機器に対して行われるセキュリティ検証は、脆弱性の有無やセキュリティ対策の妥当性の確認手法として有効だが、検証人材の暗黙知に依存する部分が大きく、効果的な検証手法や実施すべき事項の統一的な整理がなされていなかった。

 また、セキュリティ検証サービスを利用する機器メーカーなどの検証依頼者にとっては、信頼できる検証サービス事業者を選定する基準や、適切な検証目的を設定する統一基準がないため、求める品質や結果が得にくいといった状況も生じている。

 同手引きは、こうした課題に対応し、セキュリティ検証サービスの高度化を目的にまとめられた。経済産業省では、同手引きを検証サービス事業者と検証依頼者の双方が活用することで、セキュリティ検証サービスの水準向上や適切な検証体制の構築が期待されるとしている。

検証方法を対象別にガイド 「手引き」の概要と使い方は


 検証対象は、IoT機器をはじめとするネットワークに常時接続する機器と、その関連サービス。同手引きは、これらの機器のサイバーセキュリティ確保に焦点を当てた記載が中心で、IoT機器などが接続するクラウドサーバや機器を組み合わせたシステム全体の検証は対象外となっている。

 同手引きは、本編と3点の別冊で構成されている。本編では、機器検証の目的や検証手順、検証結果の分析などの概要説明を通して、「検証サービス事業者が実施すべき事項」「検証依頼者が検証に向けて実施すべき事項や用意すべき情報、持つべき知識」「検証サービス事業者・検証依頼者間の適切なコミュニケーションのために共有すべき情報や留意すべき事項」などを記載している。

 別冊1では、検証サービス事業者が実施すべき脅威分析の手法や実施すべき検証項目、検証の流れを詳細に解説。機器全般に汎用的に活用できる内容となっており、ネットワークカメラを実例とした手法の適用事例も結果も示している。

 別冊2では、主な検証依頼者である機器メーカーが、検証を依頼するに当たって実施すべき事項や用意すべき情報などを詳細に提示。攻撃手法への対策例や、検証結果を踏まえたリスク評価などの対応方針も掲載している。

 別冊3では、高品質な検証サービスの提供に向け、検証サービス事業者で検証を担当する人材(検証人材)にフォーカスを当て、求められるスキルや知識、検証人材の育成、検証人材のキャリア設計で考慮すべきポイントなどをまとめている。

 各手引きは、経済産業省のニュースリリース「機器のサイバーセキュリティ確保のためのセキュリティ検証の手引きを取りまとめました」、から参照できる。

 同手引きの対象者は、機器検証を実施する検証サービス事業者、同事業者に対して機器検証を依頼するメーカーの開発者、検証担当者、品質保証担当者、セキュリティ担当者などの検証依頼者とされている。一部で機器のセキュリティ確保に向けて実施すべき事項についても記載しているので、メーカーの機器設計、構築の担当者、サプライチェーン管理に関わる担当者なども参照できるとしている。

Labels: ,

[Kali Linux] urlcrazy ~ニセ(類似)ドメイン調査~


ドメインのタイプミスとバリエーションを生成してテストし、タイプミスの不法占拠、URLハイジャック、フィッシング、企業スパイを検出して実行します。

特徴

  • 15種類のドメインバリアントを生成します
  • 8000以上の一般的なスペルミスを知っています
  • 宇宙線によるビットフリッピングをサポート
  • 複数のキーボードレイアウト(qwerty、azerty、qwertz、dvorak)
  • ドメインバリアントが有効かどうかを確認します
  • ドメインバリアントが使用されているかどうかをテストする
  • ドメインバリアントの人気を推定する 


b-son.netの調査例

# urlcrazy b-son.net
Warning. Ulimit may be too low. Check with `ulimit -a` and change with `ulimit -n 10000`

URLCrazy Domain Report
Domain    : b-son.net
Keyboard  : qwerty
At        : 2021-05-13 22:15:00 +0900
# Please wait. 2007 hostnames to process

Typo Type              Typo Domain                     IP               Country             NameServer                MailServer    
----------------------------------------------------------------------------------------------------------------------------------------------------------------
Original               b-son.net                       216.239.32.21    UNITED STATES (US)  dns5.name-services.com.   alt1.aspmx.l.google.com.
Character Omission     b-on.net                                                                                                     
Character Omission     b-sn.net                                                                                                     
Character Omission     b-so.net                        217.160.0.172    GERMANY (DE)        ns1087.ui-dns.org.        mx00.1and1.fr.
Character Omission     b-son.ne                                                                                                     
Character Omission     bson.net                        34.102.136.180   UNITED STATES (US)  ns76.domaincontrol.com.   ASPMX.L.GOOGLE.COM.
Character Repeat       b--son.net                                                                                                   
Character Repeat       b-sonn.net                                                                                                   
Character Repeat       b-soon.net                                                                                                   
Character Repeat       b-sson.net                                                                                                   
Character Repeat       bb-son.net                                                                                                   
Character Swap         -bson.net                                                                                                    
Character Swap         b-osn.net                                                                                                    
Character Swap         b-sno.net



Labels: ,

OSINT用にVPNを導入してみる


OSINTガイドを読み返していて、VPNの必要性を認識し、VPNを導入してみた。

VPNの必要性=匿名性の確保なのだが。。。

現時点でイけてるVPNサービスベスト5は下記の通り。

自分もこの中から一つ選んで加入してみた。

ExpressVPN:最も匿名性の高いVPNサービス。世界中に設置された安全なサーバーと、強力なノーログポリシーを提供。

NordVPN:難読化されたサーバーやノーログ・ポリシーなど、安全性の高いサービスを提供。

Private Internet Access: オンラインでの匿名性を確保するのに最適なVPN。ログを残さないという主張は法廷でも証明されており、複数の暗号設定が可能。

CyberGhost VPN: 初心者向けの使いやすいVPN。Android & iOSで安全で洗練されたアプリを提供し、外出先でもあなたの匿名性を守ります。

PrivateVPN:最も安い匿名VPN。わずか1.89ドルで、いくつかの素晴らしい機能&ノーログポリシーでプライバシーを向上させることができます。

Labels:
Location: Tingsvägen 11, 191 61 Sollentuna, スウェーデン

Windows 10は、LinuxのGUIアプリケーションをシームレスに実行できるようになりました / Windows 10 now lets you seamlessly run Linux GUI apps(転載)

wsl-space-header.jpg

Windows 10 now lets you seamlessly run Linux GUI apps

Windows 10では、マイクロソフト社がWindows Subsystem for Linux(WSL)にGUIサポートを追加したことにより、仮想マシンを使わずにLinuxのGUIアプリ(X11およびWayland)を実行できるようになりました。

"Senior Program ManagerのBrandon LeBlanc氏は、「Linux用のWindows Subsystemに、GUIアプリケーションのサポートのファーストプレビューが含まれました。」これは、お気に入りのGUIエディタ、ツール、アプリケーションを実行して、Linuxアプリケーションの開発、テスト、ビルド、実行ができるようになったことを意味します!"

マイクロソフトは、Windows 10のお客様が、PowerShellやWindows 10のコマンドプロンプトで、ELF形式のLinuxバイナリをWindowsコンピュータ上でネイティブに実行できるようにするために、WSL互換レイヤーを設計しました。

Announced during BUILD 2020

ユーザーは、少なくとも2016年から、WSLにWaylandプロトコルのサポートを追加してGUIのLinuxアプリを動作させることをマイクロソフトに求めてきたが、同社は昨年のBUILD 2020でWSLにLinuxのGUIサポートを導入する意向を発表したばかりだった。

WSLg(Windows Subsystem for Linux GUIの略)と名付けられた新機能が、Dev ChannelでInsiders向けに提供されている最新のPreview Build 21364に追加されました。

以前ご紹介したように、お気に入りのLinux GUIアプリケーションを、Linuxデスクトップで使用するようにWindowsで使用できるようになります。

"WSLgは、LinuxのGUIアプリケーションを、Windows上でネイティブで自然な感覚で使えるようにすることを目指しています" と、マイクロソフト社はGitHubページでこの機能を説明しています。

"スタートメニューに統合して起動したり、タスクバーに表示したり、alt-tab体験やWindowsとLinuxアプリケーション間でのカット&ペーストを可能にするなど、WSLgはWindowsとLinuxアプリケーションを活用したシームレスなデスクトップ体験とワークフローを実現します。"

WSLg-Architecture

Windows Developer Platform Program ManagerのCraig Loewenは、WSLgの使用例として、お気に入りのIDEを使ったLinuxプロジェクトの開発、デバッグ、テスト、オーディオや3DアクセラレーションをサポートしたLinuxアプリの使用などを紹介しました。

Loewen氏の説明によると、WSLgは "Wayland、Xサーバー、パルスオーディオサーバーなど、LinuxのGUIアプリがWindowsと通信するために必要なものをすべて含んだコンパニオンシステムディストロ "を自動的に起動します。

"GUIアプリケーションの使用が終了し、WSLディストリビューションを終了すると、システムディストロも自動的にセッションを終了します」と付け加えた。

この機能がどのように動作するか、技術的な詳細を含めて、このブログ記事で詳しく説明しています。

How to install and use WSLg

最新のInsiderプレビュービルドを実行しているWindows 10コンピュータにWSLgをインストールするための詳細な手順は、こちらでご覧いただけます。

また、マイクロソフトは、LinuxのGUIアプリをPCにインストールして起動する方法を、ステップバイステップで説明しています。インストール後は、スタートメニューやターミナルウィンドウから起動することができます。

Loewen氏が録画したWSLgの動作デモビデオを以下に埋め込みます。



Labels: ,

患者情報の管理に関するご報告とお詫び(転載)~突っ込みどころ満載のお詫び文~


患者情報の管理に関するご報告とお詫び

 このたび、当院職員が大学の規定に反して、患者様586名の個人情報(ID、氏名、性別、生年月日、入退院日、診断名、入院目的、modified Rankin Scale(生活の自立度)、JCS(意識状態))を個人用パソコンに保存し、大学で許可されていないクラウドサービス(インターネットの情報保存スペース)を利用していたところ、2021年4月25日、宅配業者を装ったフィッシングメールにより当該職員のクラウドサービス用ID及びパスワードを盗み取られ、当該患者様の個人情報を閲覧できる状態になっていたという事態が発生しました。

現在は、当該クラウドサービス用IDにセキュリティ保護が掛かるよう対策をとりましたので、第三者が本件個人情報を閲覧することはできません。また、これまでに本件個人情報が第三者に閲覧され、あるいは、不正に使用された事実は確認されていません。今後、本件個人情報が第三者に閲覧されていた等の事実が確認されることがありましたら、改めてご報告申し上げる所存でおりますが、事態の重大性に鑑み、まずは本件個人情報の対象となる患者様に事実をご報告する文書を4月28日に発送させていただきました。

このたびは、患者様はじめ皆様に多大なご迷惑とご不安を与える事態となり、誠に申し訳ございませんでした。本件個人情報には住所および電話番号は含まれていませんが、もし、患者様に不審な連絡があった場合やご不明な点などがございましたら、大変お手数ですが、下記までご連絡くださいますよう、お願い申し上げます。

当院ではこれまで全職員に対し、定期的に研修を実施し、「個人所有のパソコンに患者様の個人情報を保存してはいけないこと」、「やむを得ず保存する際には個人情報を匿名化すること」等について教育・意識啓発を行ってまいりましたが、今回、それらが実施されていませんでした。当院の情報管理体制に不備があったことを深く反省し、厳正に対処するとともに、今後、このようなことが起きないよう、再発防止策を検討し、緊急ミーティングを開催して個人情報を含む情報管理の方法を改めて周知徹底したところです。職員に対する教育・指導については、さらなる強化に努めてまいります

バックアップ

Labels: ,
Location: 日本、〒260-8677 千葉県千葉市中央区亥鼻1丁目8−1

最近はやりのSmishing、コストは1通10円(転載)

Ey65ECkWUAE6CRL.png:large

最近はやりのSmishing、もはやEmailよりもこっちが主流では?と思うほどです。乗取った端末からSMSを配信する等手法はありますが、サービスでお願いするとこんな感じよ、というものです。結構高い(日本1通10円)なぁ。バルク配信を謳っているけど:

最近はやりのSmishing、もはやEmailよりもこっちが主流では?と思うほどです。乗取った端末からSMSを配信する等手法はありますが、サービスでお願いするとこんな感じよ、というものです。結構高い(日本1通10円)なぁ。バルク配信を謳っているけど

Labels: ,

Cl0Pランサムの追跡記事 / Meet the Ransomware Gang Behind One of the Biggest Supply Chain Hacks Ever(転載)


Cl0Pランサムの追跡記事

Meet the Ransomware Gang Behind One of the Biggest Supply Chain Hacks Ever

キャット・ガルシアは、Emsisoft社のサイバーセキュリティ・リサーチャーで、仕事の一環として、Cl0pと呼ばれるランサムウェア・ギャングを追跡しています。

しかし、先月末にハッカーからメールが届いて彼女は驚いた。そのメールの中で、Cl0pのハッカーたちは、妊婦向けの衣料品店のサーバーに侵入し、彼女の電話番号、メールアドレス、自宅住所、クレジットカード情報、社会保障番号を知っていると言っていました。

"この会社から連絡がない場合、あなたとあなたの購入した商品に関する情報、およびあなたの支払い情報がダークネット上に公開されることをお知らせします。" とハッカーたちは書いています。"このお店に電話か手紙で、プライバシー保護をお願いします。"

ガルシアは、今回の事件について、"脅威となる人物が犯罪を収益化するためにどれだけのことをするかを示している "と述べています。

C10pのサイバー犯罪者たちは現在、侵入された企業の顧客を募り、自分たちがハッキングした企業への督促に協力してもらおうとしています。これは、被害者から金銭を搾取しようとするハッキンググループの最新の動きであり、2021年初頭にCl0pが最も興味深く、恐ろしいハッキンググループの一つとなった理由の一つでもあります。

"ランサムウェアの追跡を専門とするEmsisoft社のセキュリティ・リサーチャーであるBrett Callow氏は、電話で次のように述べています。「ランサムウェアのグループが、顧客の連絡先情報を使って電子メールで一斉に連絡を取るというのは、私の記憶では初めてのことです。

"In our team there is no me, there is only us, as a rule, most people are interchangeable."

Cl0pを追跡したセキュリティ研究者は、ブログやMotherboardへの寄稿で、このグループを「冷酷」「洗練された革新的」「よく組織された構造」「非常に活発で、ほとんど疲れを知らない」という「犯罪企業」と表現しています。

このグループの最近の被害者には、石油大手のシェル、セキュリティ企業のクオリス、米国の銀行フラッグスター、話題のグローバル法律事務所ジョーンズ・デイ、スタンフォード大学、カリフォルニア大学などが含まれており、ファイル転送アプリケーションを提供しているアクセリオンに対するサプライチェーンハッキングの被害者となっています。

このグループを追跡している複数のセキュリティ企業によると、「TA505」や「FIN11」と呼ばれる「Cl0p」は、少なくとも3年前から存在していました。しかし、このハッカーたちは最近になって、何十社もの企業の機密データの宝庫にアクセスできるようになったことで、大きな話題となり、注目を集めています。

Accellion社によると、このハッカーたちは、世界中の約300社で利用されているファイル共有サービス「Accellion File Transfer Appliance(FTA)」に対するサプライチェーン攻撃の恩人であり、また犯人であるという見方もあります。セキュリティ研究者たちは、Cl0pがAccellion社を危険にさらしたハッキンググループなのか、それとも元々のハッキンググループがアクセス権を与えた後に、盗まれたデータを収益化しているグループなのか、まだはっきりとは分かっていません。

マザーボードはメールでの会話の中で、Accellion社のサプライチェーンハッキングの背後にいるのは自分たちなのか、そしてどのようにそれを行ったのかをハッカーたちに尋ねました。

"Yes, Somehow" とハッカーたちは答えました。

Cl0pは、ウェブサイト「CL0P^_- LEAKS」で、企業名と盗まれたデータのサンプルを公開していました。韓国のサイバーセキュリティ企業S2WLABの一部門であるTalonの研究者が電子メールで述べているように、「ダークウェブ上のデータ流出ページで削除されている企業も見受けられる」とのことで、おそらく身代金を支払ったためだと思われる。

先週の時点でCL0P^_- LEAKSには52社が登録されている。これらは、ハッカーが要求した身代金を支払っていない企業と推測される。このグループを研究しているFox-IT社の研究者、Antonis Terefos氏は、このグループが150社以上の企業をハッキングしていると推定している。


Cl0pは、被害者の名前、社会保障番号、自宅住所、金融機関の書類、パスポート情報などの機密データをウェブサイトに掲載し、自分たちが手にしているデータや、被害者がお金を払わなければ何ができるのかを示そうと、ハッキングを公表しています。

Accellion社の広報担当者は、今回のハッキングの規模を軽視し、「FTAの全顧客約300社のうち、攻撃を受けたのは100社未満である。このうち、重要なデータが盗まれたと思われるのは25社以下である」と述べています。

Cl0pは通常、侵害された企業に直接メールで連絡を取り、盗んだデータが自社のチャットポータルに流出するのを避けるために、支払いの交渉を持ちかけます。企業が同意してすぐに支払えば、ハッカーはデータを漏らさず、企業名もウェブサイトに掲載しません。時には、支払い後に機密データを削除したことを証明するビデオを見せることもあります。Cl0pを追跡している複数のセキュリティ研究者によると、企業が関与を拒否した場合、ハッカーはデータの漏洩を開始します。 

"私たちが見た被害者とのコミュニケーションでは、彼らは比較的プロフェッショナルで敬意を払っています。だから、彼らは割引を提供しているのです」と、FireEye社の金融犯罪分析チームのマネージャーであるキンバリー・グッディは、Motherboard社に電話で語った。


Cl0pは、いくつかの大きな被害者を出しさえすれば、いいお金を稼げることを知っているようです。

2020年末にFireEyeが観測したあるケースでは、Cl0pのハッカーは被害者に2000万ドルを要求しました。交渉の結果、被害企業は600万ドルまで値下げすることができたという。韓国のセキュリティ企業S2WLABは、1月に220ビットコインを支払う被害者を目撃したと述べており、これはFireEyeが観測したのと同じケースと思われる。

別のケースでは、ハッカーが別の被害者に、合意に達するまでの期間に応じた割引を提示していました。グッディによると、3〜4日以内なら30%、10日以内なら20%、20日以内なら10%の割引とのこと。

しかし、ハッカーたちはいくつかのミスを犯しています。Cl0pは、被害者とのコミュニケーションに、パスワードで保護されていない独自のチャットポータルを使うことがあります。グッディによると、そのために研究者や、URLを推測できる人なら誰でも交渉の様子を見ることができるとのことです。

Cl0pは、Netwalker、REvil、CONTIなどの他のランサムウェアグループとは異なり、アフィリエイトプログラムを運営していません。つまり、彼らは自分たちのマルウェアを他のサイバー犯罪者と共有して、その収益の一部を得ることはありません。Cl0pは、ハッキング活動の最初から最後までを運営しているようで、そのため収益の規模が小さくなっているとGoody氏は指摘しています。

"彼らは、ゆっくりとした着実なペースに満足しています。つまり、成功すれば何百万ドルも要求される彼らが、こうした妥協から大金を稼げない可能性がないわけではないのです」とグッディは言います。"彼らは、他の俳優たちのように、必ずしも貪欲ではないのです。

"見知らぬ人にいくら稼いでいるかを尋ねるのは下品だ」とハッカーは言っています。

また、ハッカーたちは自分たちのことをあまり語らなかった。

"私たちのチームには、私は存在せず、私たちだけが存在します。原則として、ほとんどの人が入れ替わります。" 彼らは、メールインタビューでこう書いています。"チームには何人かの人がいて、数年前から存在しています。"

ハッカーの身元は不明ですが、セキュリティ研究者の間では、ロシアと旧ソ連諸国で形成されている独立国家共同体(CIS)の一部の国を拠点としている可能性が高いと考えられています。

"It's only a matter of time before they make a mistake which will help [law enforcement to identify its members."

Goody氏によると、Cl0pのランサムウェアにはロシア語のメタデータが含まれており、ハッカーたちはロシアの祝日に活動を停止するようです。さらに、Cl0pのランサムウェアは、感染したコンピュータがロシア語の文字セットやCIS諸国のキーボードレイアウトを使用しているかどうかをチェックするようにプログラムされているといいます。そのような場合、ランサムウェアは自分自身を削除します。

これは、自国民に影響を与えない限りサイバー犯罪を容認すると考えられているロシアや他の東欧諸国の当局の目に留まらないようにするための、真の意味での戦略なのです。このような対策にもかかわらず、Cl0pは少し人気が出すぎているのではないかという意見もあります。

"「彼らは注目されすぎていて、良いことではありません。去年は誰も興味を示さなかった。去年は誰も興味を持っていなかったが、今では多くの報道がなされ、(法執行機関による)訴訟も続いている」と、報道機関への取材許可を得ていないため匿名を希望したあるセキュリティ研究者はMotherboardにメールで語っています。"他のランサムウェアギャングのように、注目されないようにブランドを変更するかもしれません。また、独立国家共同体(Commonwealth of Independent States)のような安全な場所に住んでいるため、活動を続けているのかもしれません。願わくば、ある朝、彼らのドアが蹴破られることを...」。

Terefos氏も同じ意見です。

「法執行機関がメンバーを特定するのに役立つようなミスを犯すのは時間の問題だ」と彼は言う。

Labels: ,

セブン銀行の不正引き出し事件の話 / The Incredible Rise of North Korea’s Hacking Army(転載)


これ、セブン銀行の不正引き出し事件の話か https://t.co/YSuRIW1gpc Quoted tweet from @mhatta: The Incredible Rise of North Korea’s Hacking Army buff.ly/3aoR4zf: これ、セブン銀行の不正引き出し事件の話か
https://t.co/YSuRIW1gpc
The Incredible Rise of North Korea’s Hacking Army buff.ly/3aoR4zf

下村は、日本最大のヤクザ組織である山口組の組員だった。上司の一人から「手っ取り早く一山稼ぎたい」と言われた彼は、当然ながら「はい」と答えた。それは2016年5月14日のことで、下村は名古屋市に住んでいた。32歳の痩せ型で、表情豊かな目をした彼は、自分の外見に誇りを持っており、スーツに鏡面仕上げのローファーを履いていることが多かった。しかし、彼は組織の中では、借金の取り立て役、雑用係といったマイナーな存在だった。

上司は「この計画はリスクが低い」と断言し、その日の夜、名古屋のバーで開かれる会合に出席するよう指示した。山口組を脱退した下村は、名字だけの紹介を希望していた)。下村の前に現れたのは3人のヤクザだったが、誰も下村を知らなかった。下村は多くのヤクザと同様に朝鮮系であり、他の2人も在日朝鮮人で、しばらくは韓国語で会話していた。ようやく上役が来て、5人は個室に移った。それぞれのボランティアには、真っ白なクレジットカードが渡された。カードにはチップも番号も名前もなく、磁気の帯が付いているだけだった。

日曜日の早朝にセブンイレブンに行って、その店のATMで白いカードを使ってください。暴力団員は、1回に10万円(約900ドル)を引き出すが、1台の機械での取引は19回までとする。もし、1台のATMで20回も引き出したら、カードが使えなくなってしまうからだ。引き出しは朝5時から8時まで可能で、日本語を選択するように言われた。19回引き出したら、1時間待ってから他のセブンイレブンに行くこと。現金の10%は彼らが持つことができる。残りは上司の手に渡る。最後に、PIN(暗証番号)を覚えるように言われた。

日曜日の朝、下村は早起きして、ジーンズにサングラス、野球帽、古着のTシャツという格好で出かけた。セブンイレブンでおにぎりとコーラを買って、気持ちを落ち着かせていた。ATMにカードを挿入し、画面に表示された「言語を選択してください」という質問に、緊張しながら「日本語」を選択した。そして、10万円、さらに10万円、さらに10万円と引き出していった。店内にはレジのおじさん以外に誰もいない。

午前8時頃、周辺の複数のATMで合計38回の引き出しを終えた彼は、引き出した現金でポケットいっぱいになったため、家路についた。380万円は大金だ。下村は10分の1の約3,500ドルをアパートの引き出しにしまった。そして、午後3時に上司と会い、残りのお金を届けに行った。後日、他のヤクザの一人が金とカードを持って逃げたことが分かった)。

上司は下村に、「ボランティアが持ってきたお金の5%を自分が持っていて、残りのお金は上司に送る」と言った。下村がお金を渡したとき、上司は他にも多くの人を集めていることを感じたという。その通りであった。すぐに新聞が報じたように、南アフリカのスタンダード銀行から盗まれたデータを使って、その日の朝、日本全国のセブン-イレブンのATM約1,700店から1,600万ドル以上が引き出された。新聞では、セブン-イレブンが狙われた理由として、日本のコンビニエンスストアの中で唯一、キャッシュ端末がすべて外国のカードに対応していたからだと推測している。襲撃の直後、日本の多くのATMの引き出し限度額が5万円に引き下げられた。

下村は、自分が詐欺の食物連鎖の一番下にいたのだと推測した。本当の金づるはもっと上にいる。昨年、本誌のインタビューを受けるまで、下村は、その頂点にいる悪人の正体を知らなかった。日本の警察によると、セブン銀行不正引き出し事件の直後、首謀者は中国から北朝鮮に渡ったという。下村は、知らず知らずのうちに朝鮮人民軍の資金を集めていたのである。

東アジアの夜の衛星写真では、黄海と日本海の間、三十八度線と四十三度線の間にある薄暗い部分を除いて、ほとんどの場所で光が輝いている。北朝鮮である。首都の平壌だけが、明らかに近代的な光を放っている。この暗黒の国は、世界で最後の名目上の共産主義国家の一つであり、半島が分断された後の1948年以来、北朝鮮を支配してきたのは金正恩を中心としたスターリン主義の人格崇拝である。北朝鮮は、チュチェ(主体思想)の原則に基づいた社会主義の独裁国家であると称している。国境は閉ざされ、国民は隔離されています。外国人にとって、北朝鮮で何が起きているのかを理解することは非常に困難であるが、一般の北朝鮮市民が外の世界について知ることはさらに困難である。インターネットにアクセスできるのは、北朝鮮国民の1%というごくわずかな割合である。

しかし、逆説的ではあるが、北朝鮮政府は世界で最も熟練したハッカーを輩出している。一見すると、ジャマイカがボブスレーでオリンピックの金メダルを獲得したような変則的で滑稽な状況ですが、北朝鮮のサイバー脅威は現実に存在し、拡大しています。米国を含む多くの国と同様に、北朝鮮は攻撃用および情報収集用のサイバー兵器を軍に装備しています。その中には、北の隣国との戦争の進め方を詳細に分析した「作戦計画5015」と呼ばれる文書や、特に金正恩を暗殺して北朝鮮の「斬首計画」が含まれていました。ソウルのシンクタンクである韓国統一研究院の元院長、キム・テウ氏は、フィナンシャル・タイムズ紙に「私の心の中には、韓国軍が第2の戦略を意図して、わざと機密文書を北に漏らしたのではないかと思っています」と語っているほど、今回の漏洩は悪質なものでした。

北朝鮮は、世界で唯一、金銭的な利益を得るために明らかに犯罪的なハッキングを行うことが知られている国でもある。北朝鮮の軍事情報部門である偵察総局の部隊は、この目的のために特別に訓練されている。2013年、金正恩は「勇敢な偵察総局」で働く男たちを「強盛大国建設のための...戦士」と表現した。
Labels: ,

厳しい監視がテレワーク社員を危険な行動に追いやる / Mass Monitoring of Remote Workers Drives Shadow IT Risk(転載)

厳しい監視がテレワーク社員を危険な行動に追いやる

Mass Monitoring of Remote Workers Drives Shadow IT Risk

英国のリモートワーカーの約半数(44%)は、雇用主によって監視ソフトウェアがインストールされたことがあるが、この傾向は多くの人をより安全でない行為に追いやっていると、カスペルスキーは警告している。

パンデミックの影響で英国の従業員の大半が在宅勤務を余儀なくされてから約1年後、ロシアのAVベンダーは2000人の正社員を対象に、経営者と従業員の信頼関係を調査しました。

監視ソフトウェアは、コンプライアンス違反やリスクを伴うユーザーの行動に対する重要な防波堤となり得ます。特に、インシデントの多くがヒューマンエラーによって引き起こされていることを考えるとなおさらです。カスペルスキーは、電子メール、インターネット、アプリ、電話の使用状況の監視や、位置情報の追跡が、雇用主がリモートエンドポイントに導入する際にますます一般的になっていることを挙げています。

しかし、調査対象となったワーカーの3分の1(32%)は、モニタリングツールの使用により、上司やチームリーダーに対する信頼性が低下すると回答し、同数(30%)は、自分のプライバシーが侵害されることに憤慨すると答えています。また、約4分の1(23%)の人が、このソフトウェアを使って個人情報にアクセスされる可能性があることを懸念すると答えています。

しかし、監視されているという認識さえあれば、皮肉にもリモートワーカーはネット上でより危険な行動を取らざるを得なくなるかもしれない。

調査対象となった従業員の4分の1(24%)は、監視されるのを避けるために個人のデバイスを使用していると答え、約3分の1(31%)は、監視されていることを知っていれば、仕事のためにもっと頻繁に個人のデバイスを使用する可能性があると答えました。

中には、自分が監視されていることを知ったら、独立した機関に正式な苦情を申し立てる(26%)、あるいは現在の仕事を辞める(24%)と答えた人もいました。

カスペルスキー社の主席セキュリティ研究員は、企業のリモートワーカーに対するリスク管理が行き過ぎると、有害な結果を招く可能性があると警告しています。

"従業員が自分のデバイスを使って仕事をすることは、シャドーITを生み出し、企業にとって非常に大きなリスクとなります。サイバー犯罪の90%以上が人的ミスによるものであることを考えると、企業は自社のITシステムやハードウェアが遠隔地の従業員によってどのように使用されているかを完全に監視する必要があり、監視活動のバランスを慎重に取らなければなりません」と主張しています。

"どのデバイスが企業のデータシステムに接触する可能性があるのかを知らなければ、ITチームやサイバーセキュリティチームは、企業データがどのように侵害され、売却され、さらには身代金を要求される可能性があるのかを予測することは非常に困難です」。

Labels: ,

文章力を鍛えるトレーニング4選(転載)


文章力を鍛えるトレーニング4選

文章力を鍛える方法①写経

おすすめの文章力強化法は、まず写経です。

写経の重要性に関してはTwitterとかでもけっこう言及しているので、聞いたことがある人もいるかもしれません。

そもそも写経とは、好きな作家やブロガーの文章をそのままマネることです。マネする文章を見ながら、カタカタとPCで同じ文章を打ち込む感じですね。けっこう原始的ですw

でもこれが効果的なんですよ。というのも、文章を写経することで、その人の文体が自分に乗り移ってくるからです。

文章の構造や文体はもちろん、細かい語尾の使い方なども染み込んでくるイメージです。

写経の効果は、スポーツとか音楽に置き換えてもらえると分かると思います。

たとえばギターの練習をするときは、コーチの弾き方をマネしますよね。あるいは、YouTubeで発見した「ギターが上手い人」の弾き方をマネするでしょう。

いずれにしろ、マネすることで少しずつギターが上手くなります。

野球やサッカーなどのスポーツも一緒です。コーチや上手い人のマネをすることで、段々とその人の動きに近づいてくる。

それが文章でいう「写経」なんです。ぜひ「この人の文章上手いな~」と思う人を見つけ、写経してみてください。

文章力を鍛える方法②話すこと

文章力を鍛える2つ目の方法は、話すことです。

意外でしたか? たしかに「話すこと」と「書くこと」は正反対に見える行為です。

でも実は、話すことによって文章力は鍛えられます。

何となくですが、書くことと話すことは「使っている脳」が似ている感じがするんですよ。

知らずしらずのうちに、文章を書くことで話すことが鍛えられていたということ。

ということは、多分その逆もあり得ます。

話すことは「頭の中で言語化している」と同義なので、文章力も鍛えられていると思います。

文章力を鍛える方法③好奇心を持ちチャレンジする

文章力を鍛える3つ目の方法は、好奇心を持ちチャレンジすることです。

前回までの方法とは違い、やや精神論に近い話ですが、あらゆることに好奇心を持つことも重要です。

これはテクニック論ではなく、どちらかというと「文書の幅を広げる」という意味ですね。

というのも、人は同じ世界に固執しがちなんですよ。そのため、悪い意味で「その世界」だけにハマってしまいます。

でも、人間が観測できる範囲には限界があるので、あらゆることに好奇心を持ち、全く知らない世界を見た方がいいです。

色んな世界に触れることで、自分の好奇心が広がっていき、自分の文章の幅も広がっていきます。

色んな世界に触れる方法としては、色んなジャンルの本を読むことです。ぼくは、古代人類学の本も読みますし、小説や科学の本、恐竜の本なんかも読みますねw

もちろん全てのジャンルが文章のネタにはなりませんが、それでも何かのヒントにはなるはずです。

文章力を鍛える方法④1年前の自分と比較する

文章力を鍛える4つ目の方法は、1年前の自分と比較することです。というのも、自分の文章と他人の文章を比較してしまう人が多いんですよね。

特に今は、そこらじゅうに文章が溢れています。TwitterなどのSNSはもちろん、ググれば無数に記事が読めてしまう時代です。

つまり、否が応でも他人の文章が目に入るんですよ。

だからこそ、他人が書いた文章と比較して「自分の文章はなんて下手なんだ……」と思ってしまう人が多いです。

でも、そんなこと言ったらキリがありません。上には上がいます。そもそも他人と自分の文章を比較しても、意味はありませんからね。

そのため「文章力が上がったか?」 を確かめるときは、他人と比較するのはやめましょう。そうではなく「1年前の自分」と比較してください。

1年も書いていれば多分上手くなっています。ぼくもそうですが……1年前の文章は恥ずかしくて読めませんよw

自分が昔書いた本を今読み返してみると、「うわーきっつー!」て感じですwそのくらい文章力は向上し続けていき、自分の感覚も段々変わっていきます。

なので、「1年後の自分なら今の自分をどう評価するか?」ということを、楽しみながらトレーニングすると良いです。

文章力を鍛えよう

文章力は全てのビジネスの根幹です。鍛えれば文章力は誰でも上がるので、ぜひ今回紹介した方法を試してみてください。

ちなみに、文章力を鍛えたいならWritingBeginという無料教材をおすすめします。

この教材は、ぼくのKindleを編集してくれているライター&編集者の中村さんが作っている教材ですね。

ただこの教材はWebライター向けなので、ブログ寄りの文章術ならぼくの「ブログ運営の教科書」という教材をおすすめしますw

お好きな方をチェックしてみて、自分に合った方を試してみるといいでしょう。

Labels: ,

パスワードの日 / World Password Day 2021(転載)

世界パスワードの日 - World Password Day 2021
Celebrating the 8th Annual World Password Day
 

インテルは、私たちのデジタルライフを守るために強力なパスワードが果たす役割を認識してもらうため、2013年にWorld Password Dayを設けました。それ以来、世界中で何千人もの人々が強力なパスワードのヒントを共有し、独自の活動を展開しています。しかし、今日では、強力なパスワードだけでは、オンラインアカウントを覗き見されないようにするには不十分であることが明らかになっています。個人アカウントや仕事用アカウントを多要素認証で保護することは、基本的なデジタル衛生のために不可欠です。あなたのログインをレベルアップする準備はできていますか?また、パスワードをテーマにしたヒントやGIFを共有して、World Password Dayを祝いましょう。みんなで協力して、インターネットをみんなのデータにとってより安全な場所にしていきましょう。

パスワードの未来

約60年もの間、パスワードはユーザーがデバイスやサービスを利用する際に自分自身を認証するためのデファクト・メソッドとなってきました。今ではパスワードは簡単な概念になっており、ほとんどの人にとって快適で親しみやすいものになっています。しかし、そのシンプルさと親しみやすさが強みである一方で、パスワードには多くの弱点もあります。

パスワードは時代遅れ?

パスワードの強度は、その秘密性に依存する。パスワードは、ユーザーとそのユーザーがログインしたサービスだけが知っていると考えられるため、ユーザーを認証することができます。しかし、残念ながらそのようなことはほとんどありません。私たちは、複数のサイトでパスワードを再利用したり、コンピュータのそばのポストイットに書き留めたり、友人と共有したりしています。さらに悪いことに、毎日のように行われているデータ漏えい事件では、何十億という単位でパスワードが流出しています。(これらのデータ漏洩の一つで自分のデータが漏洩したかどうかを確認するには、ウェブサイト(www.haveibeenpwned.com)をチェックするのが有効です。自分のメールがそこにある場合は、急いで関連するアカウントのパスワードを変更してください)

では、安全なアカウントは失われてしまったのでしょうか?そうではありません。パスワードの未来はここからが本番です。パスワードは、アプリやサービスが人を認証する数多くの方法のひとつにすぎません。2段階認証や多要素認証と呼ばれるように、パスワードと別のステップを組み合わせることで、不正なアクセスに対してログインプロセスをより安全にすることができます。

パスワードにセキュリティレイヤーを追加する

パスワードは最初の防衛手段と考えてください。これができていれば、さらに保護の層を増やすことができます。銀行や株取引アプリ、仕事で利用するサービスやアカウントなど、重要なアカウントであればあるほど、レイヤーを増やすことを検討してください。

  • 二要素認証アプリ
    Amazon、Dropbox、Google、Microsoftをはじめとする多くのサイトやサービスでは、2ファクタ認証アプリを利用することができます。2ファクタ認証(2FA)とは、その名のとおり、オンラインアカウントにおいて、パスワードと第2の認証要素の2つの方法で本人確認を行う機能です。1つ目の認証要素であるパスワードを入力した後、携帯電話の2FAアプリが1回限り使用できるコードを生成し、それを入力することでアカウントにアクセスできます。

  • 使い捨てコード(テキストメッセージまたはEメールにて)
    1つ目の認証要素であるパスワードを入力した後、2つ目の認証要素は通常、SMSまたはEメールで届きます。2FAコードは、デビットカードのPINコードとは異なり、1回しか使用できません。デビットカードのPINコードとは異なり、2FAコードは1回しか使用できません。アカウントにログインするたびに、新しいコードが送られてきます。注意点としては、SMSでコードを受け取ることは、後述する認証アプリを利用するよりも安全性が低いというのがセキュリティ専門家の意見です。

  • FIDOセキュリティキー
    FIDOアライアンスの標準規格に準拠したハードウェアベースのセキュリティキーは、携帯電話のSMSやプッシュ通知に頼らずに2ファクタ認証を迅速に行うことができ、2FAの最も安全な方法でもあります。どのくらい安全か?Googleの複数年にわたる調査では、FIDOセキュリティキーで認証されたアカウントに対するフィッシング攻撃の成功はゼロでした。) さらに、使い方はとてもシンプルです。覚えることはありません。リンクをクリックする必要もありません。ログインの際にボタンを押すだけで、安全にログインできます。多くの企業がFIDOセキュリティキーを提供しています。例えばYubicoは、USB-A、USB-C、NFC接続のデバイス用に異なるキーを提供しており、GoogleはBluetoothを使用するキーを提供しています。

  • 顔認証
    バイオメトリクスは、持っているもの(セキュリティキー)や知っているもの(コード)で認証するのではなく、指紋や顔、網膜のスキャン、さらには声など、あなた自身を認識するものです。最近では、携帯電話やパソコンのカメラを使ってログインできる機器も多く、携帯電話やパソコンに保存されているアプリやデータを強力に保護することができます。

パスワードの先

パスワードを一切使わない未来はあるのか?世界のテクノロジー業界は、FIDOアライアンスと呼ばれる業界団体を通じて、その実現に向けて積極的に取り組んでいます。インテルは数年前からFIDOアライアンスのボードメンバーとして、セキュリティに関心の高い他の企業と協力して、標準化された、よりシンプルで強力なユーザー認証方法を開発し、時間をかけてパスワードの必要性をなくしていくことを目指しています。World Password-less Login Day」は、「World Password Day」ほどピンとこないかもしれませんが、パスワードを完全になくすことは、便利なだけでなく、より安全です。FIDO規格では、スマートフォンやPCの生体認証やFIDOセキュリティキーなどの日常的な技術を用いて、パスワードのみのログインを、ウェブサイトやアプリでの安全で高速なログイン体験に置き換えることができます。現在、FIDOログインを提供するサービスは増えてきており、あなたもすでに利用しているかもしれません。

ハードウェアの役割

ログインのセキュリティを確保するための新しい方法を採用する際には、マシンレベルでの安全性の向上も考慮する必要があります。データを保存するハードウェアのセキュリティは、アクセスを可能にするログイン情報を保護する技術と同様に重要です。そのため、インテルでは、これらの認証情報を保護するために多くの取り組みを行っています。例えば、Trusted Platform ModulesやClient Virtualizationを利用して、機密情報を保護するための領域を設けています。また、インテルvPro®プラットフォームに搭載されているインテル®ハードウェア・シールドのように、インテルの技術には非常に長い歴史があり、それが信頼の基盤を形成しています。

まとめ

パスワードの使用方法が今後どのようになるかは別として、パスワード自体はアカウントを保護し、サイバー犯罪の可能性を減らすための重要な要素であることに変わりはありません。今年のWorld Password Dayを祝うにあたり、あなたのパスワードにセキュリティの層を追加してみてはいかがでしょうか。わずか5分ですが、何時間もの頭痛の種を減らすことができるかもしれません。

Labels: ,

日本でのエモテットとの戦いにおけるパートナーと考えていた日本のガーディアンに関する素晴らしい記事です。 / Great Article on the Guardians from Japan which we always thought of as our partners in the fight against Emotet/Ivan in Japan!(転載)


Pinned: https://www3.nhk.or.jp/news/html/20210413/k10012971191000.html - Great Article on the Guardians from Japan which we always thought of as our partners in the fight against Emotet/Ivan in Japan! :) Very happy to see them honored this way and sorry to anyone we did not mention in our tweet there. Stronger Together!💪:

nhk.or.jp/news/html/20210413… - Great Article on the Guardians from Japan which we always thought of as our partners in the fight against Emotet/Ivan in Japan! :) Very happy to see them honored this way and sorry to anyone we did not mention in our tweet there. Stronger Together!💪

全文表示 / Read more »
Labels: ,

サイバーセキュリティフレームワークを使ったコンプライアンスへの道筋を示す / Mapping Your Way To Compliance With Cybersecurity Frameworks(転載)


Mapping Your Way To Compliance With Cybersecurity Frameworks - CIS:

今日の企業は、複数のポリシー、規制、および法的なセキュリティフレームワークに準拠する必要があります。これらのフレームワークすべてに準拠することは、困難で時間のかかることです。サイバーセキュリティプログラムは、これらすべてを「マッピング」する方法を知っていれば、より効率的に機能します。

サイバーセキュリティ・コンプライアンスのための効率化

今日のITおよび情報セキュリティの専門家は、無数の規制枠組みを満たすことを使命としています。しかし、サイバーセキュリティの専門家の主な責務は、組織の資産やデータを攻撃から守ることです。真に効率的なアプローチは、コンプライアンス要件を満たしながら組織を保護します。ここで、CISコントロールとCISベンチマークが役立ちます。

フレームワークや標準は、通常、コンプライアンスを達成するために「何を」すべきかを説明しますが、CIS コントロールの組織的なポリシーとワークフロー、および CIS ベンチマークの詳細な設定チェックは、さらに数ステップ進んだものとなっています。たとえば、CIS コントロール 3.1 を実装することで、特定の CMMC、MITRE ATT&CK、NIST、および PCI DSS の要件にも準拠していることがわかります。

サイバーセキュリティ保護のグローバルスタンダード

CISコントロールとCISベンチマークは、世界のサイバー保護の業界標準として認められています。

  • PCI はハードニングに CIS 規格を推奨
  • DoD クラウドコンピューティング・セキュリティ要求事項ガイドは、STIGs 及び SRGs の代替として CIS ベンチマークを参照(セクション 5.5.1)。
  • CIS コントロールは、全米知事協会および NIST によって参照されている。
  • FedRAMP は、米国政府の構成ガイドラインが特定のプラットフォームで利用できない場合、CIS ベンチマークを掲載している。
  • CIS コントロール及び CIS ベンチマークは、HIPAA セキュリティ規則を補完するものであり、 多くの同じ規定を含んでいる。

コンプライアンスのマッピングとトラッキングのためのツール

CISコントロールが一般的な業界フレームワークにどのようにマッピングされているか、CISコントロールナビゲーターでご確認ください。測定すべきフレームワークがわかったら、次のステップは、それらのフレームワークの優先順位付けと実装を管理することです。

CISコントロール自己評価ツール(CIS CSAT)および追加機能を備えたオンプレミス版CSAT Proにより、セキュリティチームはCISコントロールおよびサブコントロール(現在はセーフガードとして知られています)の実装を追跡し、優先順位をつけることができます。どのCISコントロールが組織に適用されるか、また、それらが割り当てられ、実装され、自動化され、文書化され、報告されているかどうかを判断することができます。また、他のセキュリティフレームワークとの整合性を図ることができます。arrow-right-white.png

Labels: ,

[Kali Linux] Maltego ~ドメインやURLに紐づく様々な情報を収集・可視化してくれるツール~

 Maltegoは、組織が所有・運営する環境に明確な脅威のイメージを提供するために開発された独自のプラットフォームです。Maltegoのユニークな利点は、お客様のインフラの範囲内に現在存在する信頼関係と同様に、単一障害点の複雑さと深刻さを実証することです。

ネットワークのエッジに設置されたルーターの現在の設定や、海外訪問中の副大統領の現在の居場所など、Maltegoはインターネット上のあらゆる情報を収集し、集約し、可視化することができます。

Maltegoは、これまでにない情報をユーザーに提供します。情報はレバレッジ。情報は力。情報はMaltegoである。

Maltegoとは何ですか?

Maltegoは、下記の相互の関係や現実世界のリンクを判断するために使用できるプログラムです。

  • 人々
  • 人の集まり(ソーシャルネットワーク)
  • 企業
  • 組織
  • Webサイト
  • ドメイン
  • DNS名
  • ネットブロック
  • IPアドレス
  • フレーズ
  • アフィリエーション
  • ドキュメントとファイル

  • Maltegoは、Javaを使用しているため、Windows、Mac、Linuxで動作し、簡単かつ迅速にインストールできます。

  • Maltegoは、これらの関係を瞬時に正確に見ることができるグラフィカルなインターフェースを提供し、隠れた関係を見ることができます。

  • グラフィカルユーザーインターフェース(GUI)を使えば、3~4度離れていても関係を簡単に見ることができます。

  • Maltegoの特徴は、強力で柔軟なフレームワークを使用し、カスタマイズが可能なことです。Maltegoの特徴は、カスタマイズが可能な強力で柔軟なフレームワークを使用していることです。そのため、Maltegoはお客様独自の要件に合わせることができます。

Maltegoは私のために何をしてくれるのでしょうか?

  • Maltegoは、すべてのセキュリティ関連業務の情報収集段階で使用することができます。Maltegoは、時間を節約し、より正確でスマートな作業を可能にします。

  • Maltegoは、検索されたアイテム間の相互のリンクを視覚的に示すことで、思考プロセスを支援します。
  • Maltegoは、より強力な検索機能を提供し、よりスマートな結果をもたらします。

  • 隠された情報へのアクセスが成功を左右する場合、Maltegoはその発見を支援します。


実行イメージ



ローカルプロキシツール Burp Suite

Google ChromeでF12キーを押すとデベロッパーツールが利用できる。

たいていのWebサイトであれば、ChromeのデベロッパーツールでリクエストヘッダやCookieの情報が見れるのだが、今日はちと困ったことが起きた。

とあるサイトのログイン後のリクエストヘッダを見たかったのだが、そのサイトはログインすると新規ウィンドウが立ち上がってしまう。

Chromeデベロッパーツールは「今」開いているウィンドウ(タブ)に対しての情報を表示してくれるのだが、新規ウィンドウで開かれてしまうと情報が見られない。

当然新規ウィンドウに対してF12キーを押せば、その画面のデベロッパーツールが出てくるのだが、肝心な情報は既に流れてしまって見れない。

そこで登場するのがプロキシツールとなる。

プロキシツールはWebサーバとブラウザ間の通信内容を確認するのに使うが、このようなツールを使えば、「新規ウィンドウが開いて・・・」みたいなことは無く、すべての通信を漏れなく傍受することができる。

入手先はコチラ

Labels:

CIS ベンチマーク 2021年4月アップデート / CIS Benchmarks April 2021 Update(転載)

CIS_Benchmarks_Community

CIS Benchmarks April 2021 Update - CIS:

CISは、2021年4月のCISベンチマークを以下の通り発表します。

これらのCISベンチマークのリリースは、チケットやコメント、コミュニティコールへの参加など、コミュニティ貢献者の皆様の時間とご支援なしには実現できませんでした。皆様のご協力は、私たちのコンセンサス・プロセスにとって非常に貴重なものであり、ボランティア活動に感謝しています。

CIS Microsoft Windows Server 2019 STIG Benchmark v1.0.0

Microsoft Windowsのセキュアな設定環境を確立するためのガイダンスで、メンバーサーバおよびドメインコントローラのSTIG設定にマッピングされた設定を提供するDoD STIGプロファイルが追加されています。

Haemish Edgerton氏に感謝するとともに、WindowsコミュニティとWindowsチームにも大きな感謝を捧げます。

Download the CIS Microsoft Windows Server 2019 STIG Benchmark PDF

CIS Microsoft Windows Server 2019 Benchmark v1.2.0

このCISベンチマークの内容を更新するために、多くの努力が払われました。完全な変更ログは、ダウンロードの最後に含まれています。

ここでは、本ベンチマークの価値を高めるために行ったことを簡単にご紹介します。

  • 5つの新しいセキュリティ設定を追加
  • ADMXテンプレートの更新に伴い、いくつかのセクションを移動しました。
  • 3つの設定を更新

Haemish Edgerton氏に感謝するとともに、WindowsコミュニティとWindowsチームにも大きな感謝を捧げます。

Download the CIS Microsoft Windows Server 2019 Benchmark PDF

CIS Ubuntu Linux 16.04, 18.04 and 20.04 LTS Benchmarks

x86およびx64プラットフォーム上で動作するUbuntu Linux LTSシステムの安全な設定姿勢を確立するための指針です。各ガイドは、それぞれのUbuntu Linux LTSバージョンでテストされています。

Download the CIS Ubuntu Linux 16.04 LTS Benchmark PDF

Download the CIS Ubuntu Linux 18.04 LTS Benchmark PDF

Download the CIS Ubuntu Linux 20.04 LTS Benchmark PDF

バックアップ

Labels: ,

「セキュリティの方なのに御口のセキュリティはガバいんですね」(転載)~何かで使えそうな煽りワード~


「セキュリティの方なのに御口のセキュリティはガバいんですね」っていう煽り思いついたのでご自由にお使いください: 「セキュリティの方なのに御口のセキュリティはガバいんですね」っていう煽り思いついたのでご自由にお使いください
Labels: ,

Merseyrail(英)のランサム被害 / UK rail network Merseyrail likely hit by Lockbit ransomware(転載)~組織のメールアカウントを乗っ取って盗取した情報が暴露される!?~

Merseyrailのランサム被害

UK rail network Merseyrail likely hit by Lockbit ransomware

英国の鉄道ネットワークであるMerseyrail(マージーレイル)社は、ランサムウェアの一団が同社の電子メールシステムを利用して従業員やジャーナリストに攻撃に関するメールを送ったことから、サイバー攻撃を確認しました。

マージーレイルは、イギリスの鉄道ネットワークで、イングランドのリバプール市地域にある68の駅で列車サービスを提供しています。

"先日、マージーレイルがサイバー攻撃を受けたことを確認しました。全面的な調査が開始され、現在も継続中です。今月初めにマージーレイルのディレクターであるアンディ・ヒースのアカウントから謎のメールを受け取った後、マージーレイルはその間に、我々は関係当局に通知したと語った。


ランサムウェアの一味がMerseyrailの電子メールシステムを悪用

サイバー攻撃の内容は公表されていませんが、4月18日にHeith氏のメールアカウントから、"Lockbit Ransomware Attack and Data Theft "というメール件名の奇妙なメールを受け取ったことで、この攻撃を知りました。

このメールは、英国の様々な新聞、Merseyrailのスタッフに送信されており、Lockbit Ransomwareの一味による局長の@merseyrail.org Office 365メールアカウントの乗っ取りと思われます。

このメールでは、Merseyrail社の取締役を装い、前週末に発生した障害が軽視されていたことや、ハッカーが従業員や顧客のデータを盗むランサムウェア攻撃を受けたことを従業員に伝えていました。

このメールには、Lockbitが攻撃の際に盗んだとされる従業員の個人情報を示す画像へのリンクが含まれています。

"調査中であるため、これ以上のコメントは適切ではありません」と、マージーレール社は取締役の電子メールがどのようにして漏洩したかについて回答をしました。

また、英国情報委員会(Information Commissioner's Office: ICO)も、Merseyrail社がこの "事件 "を認識していることを確認しています。

"ICOはBleepingComputerに対し、メールで「Merseyrailは事件を認識しており、提供された情報を評価している」と述べています。


ランサムウェアのギャングが積極的に被害者を恐喝

過去1年間で、ランサムウェアのギャングたちは、その恐喝戦術においてますます攻撃的になっています。

これまでのランサムウェアの攻撃は、脅威となる人物が被害者のデータを盗み、ファイルを暗号化して身代金の支払いを迫るというものでした。

その後、被害者のネットワークやWebサイトへのDDoS攻撃、顧客やジャーナリストへのメール送信、証券取引所への脅迫など、その手口はエスカレートしていきました。

悲しいことに、これらの攻撃が続いている間、自分たちのデータや組織に何が起こっているのかを知ることができるのは、たいてい従業員や顧客だけです。

被害者の電子メールシステムを利用して、従業員、ジャーナリスト、顧客の両方に攻撃を宣伝することは、そのような状況を覆す可能性があります。 

Labels: ,
登録: 投稿 (Atom)