米国の重要インフラ領域における内部脅威の軽減: インテリジェンスの観点からのガイドライン / Insider Threat Mitigation for U.S. Critical Infrastructure Entities(転載)



米国の重要インフラ領域における内部脅威の軽減: インテリジェンスの観点からのガイドライン [PDF] dni.gov/files/NCSC/doc…: 米国の重要インフラ領域における内部脅威の軽減: インテリジェンスの観点からのガイドライン
[PDF] dni.gov/files/NCSC/doc…

Overview

米国の国家防諜戦略、2020-2022」は、米国の重要インフラ組織に対する外国の国家および非国家主体からの脅威が拡大し、進化していることを強調しています。
外国の敵対者は、冷戦時代によく見られたように、もはや単に米国政府を標的としているのではなく、今日では、米国の重要インフラやその他の民間企業、学術団体を含む、より広範な標的に対して高度なインテリジェンス能力を使用しています。
これらの米国の産業界や学術機関は、今や地政学的な戦場の真っ只中にあります。

外国の脅威となる企業は、これらの組織とその従業員に関する大量の公開・非公開データを、かつてないレベルで収集しています。
これらの情報を高度なデータ分析能力やその他のツールと組み合わせることで、外国の敵対者は、米国の地政学的利益を促進するために、米国の労働力の中から脆弱な人々を特定し、標的とし、利用する膨大な機会を得ています。
彼らの強みは、私たちの弱点を見極めることであり、私たちの脅威は彼らのチャンスなのです。

このような脅威の状況を考えると、重要インフラ企業は、インサイダーの脅威を事前に防ぎ、軽減するためのリソースを優先的に投入することが不可欠です。
インサイダー脅威とは、組織内で信頼されている人物で、意図的か否かにかかわらず、施設、人員、情報への許可されたアクセスを利用して、組織に損害を与える可能性があるものです。

National Insider Threat Task Force(NITTF)は、組織が効果的なインサイダー脅威プログラムを構築するための基準、勧告、ガイド、公報を豊富に作成しています。
NITTFは、機密情報の漏洩に対応するために設立されましたが、NITTFは、従業員のプライバシーと市民的自由を保護しつつ、あらゆるインサイダー脅威に積極的に対応する組織運営を推進しています。
NITTFのモデルは、人間の行動に焦点を当てており、異常な行動を特定し、従業員、組織、ミッションに重大なダメージが及ぶ前に対処することを目指している。
NITTFのモデルは、すべての組織資源を保護するためのベストプラクティスとして、政府や産業界で広く認識されています。

国家防諜・セキュリティセンター(NCSC)は、脅威に対する認識を高め、外国の諜報活動の脅威から国を守るために設計された実務を推進しています。
正式な防諜プログラムではありませんが、インサイダー脅威に対抗するために設計されたプログラムと実務は、国の全体的な防諜態勢の強化に役立ちます。

本報告書の目的は、重要インフラに対する人間の脅威に対する認識を高め、この脅威のベクトルを組織のリスク管理に組み込む方法についての情報を提供し、インサイダーの脅威を軽減する方法についてのベストプラクティスを提供することである。
本報告書は、重要インフラ事業体が人間の行動に焦点を当てた内部脅威プログラムを利用することで、重要な脆弱性に対処し、敵に悪用されるのを防ぐ方法について幅広く考察し、既存のNITTFガイダンスを補完するものである。

Insider Threat(内部脅威)


「インサイダーの脅威」は、文明の起源から人類の歴史の一部となっています。
ほとんどの文化圏では、インサイダーの脅威に関する歴史的な物語があります。
米国の歴史には、信頼できる仲間が寝返ったときに直面する脅威を浮き彫りにする逸話がたくさんあります。
ベネディクト・アーノルドから最近の大惨事となった機密情報の不正開示に至るまで、共通の物語があります。
信頼された有能な人間が、人生の課題に直面して進路を変更し、最終的に危害を加えるというものです。

外国の敵対者が、侵入しようとする組織内のインサイダーを悪用したり、利用したりするために費やしているリソースを考えると、インサイダーの脅威は、今後数年間にわたり、ほとんどの重要インフラ事業体の脅威とリスクの状況の中で永続的な部分となるでしょう。

解決策は?インサイダー脅威は人間の問題であるため、人間による解決策が必要です。
テクノロジーを利用すれば、特にバーチャルな領域での従業員の行動を把握することができますが、インサイダー脅威に対抗するために組織が持つ最も重要なリソースは、従業員自身です。
このような脅威を軽減するために、組織は最低限、次の2つのことを実現しなければなりません。

  1. 個人の異常な行動を特定するプログラムと、それに対応するためのリソースを用意する。

  2. 信頼を醸成し、パートナーとしての従業員を活用する方法で、異常な行動に対応する。
重要インフラ事業体とは、大統領政策指令21(Critical Infrastructure Security and Resilience)で定義された、米国の電力網、通信ネットワーク、金融機関、製造施設、輸送施設、病院などの16セクターを指します。
これらのセクターには、道路や繊維などの物理的な資産だけでなく、それらを支える知的資本、すなわち医療、エネルギー研究、食糧生産、グリーンテクノロジーなどに携わる人々が含まれています。
これらの人々は、悪意のある目的のために重要な資源へのアクセスを求める外国の敵対者の主要なターゲットの一つです。

米国の重要インフラ事業体におけるインサイダーの脅威は、故意であるか否かにかかわらず、国家安全保障や公共の安全、さらには個々の企業や州・地方自治体に重大な損害を与える可能性があります。
このような脅威を軽減する方法を改善することは、国益と個々の組織の利益につながります。

NCSCとNITTFは、国土安全保障省、財務省、エネルギー省、国防省などと協力して、米国の民間企業、州・市・地方自治体、学界などの重要インフラ事業体をよりよく支援するために活動しています。
重要インフラ事業体には、従来のセキュリティ対策を強化・補完し、それぞれの環境や固有の脅威・リスクに合わせた、人間の行動に焦点を当てたインサイダー脅威対策プログラムに投資することをお勧めします。

How the Risk and Threat Environment is Changing(リスクと脅威の環境はどのように変化するか)


米国の脅威環境は、新たな種類とレベルの注意を必要とする形で変化しています。米国の重要なインフラは、地政学的な戦いの場であると同時に、大規模な犯罪活動の標的でもあります。


米国に対する外国のインテリジェンスの脅威は、今日ほど複雑でダイナミックなものはありません。
外国の脅威主体は、ますます洗練されたインテリジェンス能力を持ち、それらを新たな方法で米国を標的にしています。
さらに、これらの脅威主体は、自らの利益を追求するために利用すべきターゲットと脆弱性を拡大しています。敵対者は日常的に学習し、米国のセキュリティ対策に適応しています。

米国の重要インフラを破壊することは、外国の敵対者にとって、米国の国家安全保障、経済安全保障、国民の健康と安全に深刻な損害を与える手段の一つです。米国の国家防諜戦略、2020-2022年によると、

外国の諜報機関は、世界中の重要インフラを悪用し、破壊し、劣化させる能力を開発しています。外国の情報機関は、重要インフラを危険にさらすことで、危機的状況にある米国の意思決定者に影響を与えたり、強要したりすることを目的としている可能性が高い。世界各地の重要インフラは分散化され、デジタル化されているため、外国の情報機関が利用できる脆弱性があり、世界のエネルギー、金融市場、通信サービス、政府機能、防衛能力を支える施設やネットワークも標的となっています。

このように進化する脅威の状況と、米国の重要インフラの多くが民間企業に所有されているという事実を考慮すると、重要インフラの安全確保は、米国の情報コミュニティや連邦政府だけの機能ではありません。
解決策には、民間企業やその他のステークホルダーが関与する必要があります。米国の重要インフラを守るためには、官民一体となって「ゲームを盛り上げる」ことがこれまでになく求められています。

Insider Threats Pose New Kinds of Challenges(インサイダーの脅威がもたらす新たな課題)


重要インフラ企業に対するインサイダーの脅威は増大しています。これらの脅威は、リモートアクセスによるサイバー脅威に比べて評価が低く、緩和が困難な場合があります。


インサイダーの脅威は、サイバーセキュリティやサプライチェーンのリスクの観点からも、また、セキュリティに対する広範なリスクの観点からも、重要インフラに対する脅威のベクトルとしてますます重要になっています。

インサイダーの脅威は、経済スパイ、サボタージュ、職場での暴力、詐欺、その他の企業資源の悪用などによって被害をもたらす可能性があります。
インサイダー脅威活動には、外国の情報機関と連携したインサイダーによる意図的な行動や、悪意や犯罪の動機を持ったインサイダーによるその他の行動が含まれることがあります。
最後に、インサイダーは単純な過失や不注意によっても被害を引き起こす可能性があります。
現在の米国における緊迫した思想・イデオロギーの状況は、これらのリスクを悪化させ、一部の人々にはより多くの動機を与え、他の人々には高レベルのストレスに対してより脆弱にさせています。

米国の重要インフラ事業体に対するインサイダーの脅威は、一般的に目立ちがちなリモートアクセス型のサイバー脅威(フィッシング・キャンペーンなど)との関連で考えることが重要です。
重要インフラ保護の議論は、しばしばサイバーセキュリティの議論と同義となり、脅威の主体(人間)ではなく、主に戦場(サイバー)に焦点が当てられています。
しかし、多くの場合、アクセス権を持つ人間が我々のリソースの完全性を危うくしています。

重要なインフラは、今後も情報通信技術(ICT)への依存度を高めていくでしょう。
また、ICT要素間の相互依存性が高まり、その結果、脆弱性が増加する可能性があります。
遠隔地からのサイバー脅威は、重要インフラ事業体にとって継続的かつ深刻な脅威となります。
しかし、内部の人間は、インターネットを介して遠隔地からアクセスしなくても、ICTの脆弱性を悪用することができます。
リモートアクセスによるサイバープロテクションが非常に効果的であっても、敵対者は、組織に侵入するための最も実行可能な手段がインサイダーであると考えるかもしれません。

How the Covid-19 Crisis Affects the Threat/Risk Landscape(武漢ウイルスが脅威/リスクの状況に与える影響)


武漢ウイルスのパンデミックは、公衆の健康、安全、経済的不安を伴い、インサイダー脅威を含む脅威環境を悪化させる可能性があります。


武漢ウイルスのパンデミックは、米国および世界各国の公衆衛生、公衆安全、経済安全保障にかつてない危機をもたらしています。
米国の多くの州や地方の団体、企業、そしてそれらに勤める個人にとって、パンデミックは信じられないほどの新しいストレスをもたらしました。
このようなストレスを、外国の情報機関はチャンスと捉えています。

遠隔地や自宅で仕事をする人が増え、パンデミックの影響で、敵に悪用される可能性のある安全性の低い情報通信技術への依存度が高まり、これらの技術の要素間の相互依存性も高まっています。
同時に、雇用の確保や健康などに関する個人や家族の不安も増大する可能性があります。
緊迫した国家の経済、社会、政治情勢は、これらの緊張をさらに悪化させるかもしれない。
要するに、社会人の多くは、家庭でかつてないストレスに直面し、組織から孤立し、仕事をする上で安全性の低い情報技術への依存度を高めているのである。

このような環境では、強固で適応性のある内部脅威プログラムがより必要とされ、より困難になります。
インサイダー脅威プログラムは、インサイダー脅威の動機、行動、ストレスがより顕著になっているため、必要性が増しています。
このような環境下では、危機がセキュリティプログラムを含む企業や政府のリソースにストレスを与えるため、インサイダー脅威プログラムはますます困難になります。

Security as an Evolving Cycle(進化するセキュリティサイクル)


現在の環境では、企業は、進化する脅威やリスクの状況に合わせて、自社のセキュリティ態勢を見直すことが新たな課題となっています。


インサイダーの脅威に対抗するには、情報に精通し、意識が高く、献身的な従業員を基盤とした、組織全体の取り組みが必要です。
インサイダーの脅威に対処するためには、組織の市民意識を育み、セキュリティ文化を促進することが重要です。
真の組織的セキュリティは、国家安全保障とビジネスの両方の意味で、組織内の全員が責任を負うべきものです。

効果的な内部脅威プログラムは、単なる「セキュリティプログラム」ではなく、組織と従業員の保護に対する責任の共有を促進するための、従業員への継続的な働きかけと意識向上の取り組みです。

米国政府は半世紀以上にわたり、「オペレーション・セキュリティ」(OPSEC)という概念を推進してきました。
OPSECの核となるのは、敵対的な脅威(意図と能力)を考慮して組織の脆弱性を評価し、適切な緩和策を実施するというリスク管理サイクルです。

外国の国家および非国家の脅威主体が米国の産業や重要なインフラをますます標的としている中、産業界は外国の敵対的な脅威をリスクマネジメントやビジネスプラクティスに取り入れ、自社の従業員が問題ではなく解決策の一部であることを確認することが不可欠です。

進化する脅威環境の中で、企業は、今日の脅威に対して自社のセキュリティ態勢がどの程度適合しているかについて疑問を持つべきである。
外部からの物理的なアクセスや遠隔地からのサイバー脅威に対する対策は、インサイダーの脅威に対する対策よりも進んでいることが多い。
自社のセキュリティ態勢を把握することは、新たな脅威に対処するための第一歩です。

  • 多くの企業にとって、潜在的な脅威やリスクの数や範囲が非常に多いため、どれを優先すべきかが不明確になっています。多くの場合、物理的なアクセスや遠隔地からのサイバー攻撃など、一見すると最も重要なリスクに固執することになります。
  • ほとんどの組織は、リスクや脅威に対して何らかの形でセキュリティを構築していますが、これらのセキュリティ対策は、最新の脅威の状況にマッチしていない可能性があります。脅威やリスクへの対策は、専門的な「縦割り」で行われる傾向があり、企業としての見解を持つことは困難です。
  • 組織によっては、「チェック・ザ・ボックス症候群」に陥ることがあります。名ばかりのセキュリティプログラムは、何もしないよりはましだと考えてしまうのです。このようなリスクフレーミングは、深刻なセキュリティの欠陥を引き起こす可能性があります。
  • 既存のセキュリティ体制を強化したり、新しいセキュリティプログラムを作成したりすることは、リソース的に難しい場合が多い。従来のセキュリティ体制を維持する場合でも、その体制を見直し、評価して、現在の脅威や新たな脅威に対応しているかどうかを確認することが重要です。
進化する脅威環境の中で、企業や政府のリーダーは、次のような質問に答えられる必要があります。
組織の全体的なセキュリティ対策はどうなっているのか?
企業全体のセキュリティ体制はどうなっているのか?
セキュリティに対する最近の投資や組織変更はどうなっているのか?
現在および新たに出現する脅威環境との不一致はどのようなものか?
そのようなミスマッチがあるかどうかを知る立場にあるのは経営陣の誰か?
インサイダー脅威のインシデント、対応、あるいはより大きなセキュリティ態勢のミスマッチについて責任を負うのは誰か?
このような質問に、既存のポリシーとプラクティスに基づいて答えられない場合、セキュリティ態勢の見直しと評価の必要性がさらに高まる可能性があります。

セキュリティ態勢の評価は、組織が「インテリジェンスに似た」機能(組織のセキュリティに関連する情報を収集し、処理する能力)を果たしているかどうかを判断するのに役立ちます。深刻なセキュリティイベントは、組織のインテリジェンスが機能していないことが原因となる場合があります。


脅威に効果的に対応するためには、多くの重要インフラ企業がセキュリティの「インテリジェンス」機能を構築するか、既存の機能を強化する必要があります。
米国の情報コミュニティにおけるインテリジェンスとは、米国の政策決定に関連する質問、洞察、仮説、データ、証拠などの情報を指します。
重要インフラ組織におけるインテリジェンスとは、組織の目標を成功裏に達成し、脅威やリスクから身を守るために必要な情報のことである。
重要インフラのセキュリティを強化するためのインテリジェンス機能の主な要素は以下の通りです。

  • 人的、物理的、情報的な分野における脅威と脆弱性を分析するセキュリティ・インテリジェンス・プログラムの構築

  • 頻発するセキュリティ違反や「危機一髪」事件のパターンの傾向分析の実施

  • セキュリティに関する懸念事項を従業員に伝えるためのコミュニケーションプランの策定

  • 複数の組織的専門分野(人事、福利厚生、情報技術など)をセキュリティの計画と運用に統合すること

  • 内部および外部の脅威について常に最新の情報を得る(また、将来を見据える)

  • 組織横断的な学習のためのリソースを確保すること

  • 市民の自由とプライバシーの保護を、セキュリティおよびインテリジェンスに類似したプログラムに完全に組み込むこと
米国政府のインサイダー脅威プログラムでは、「防諜」情報へのアクセスが一つの最低基準となっています。
正式な防諜プログラムは、企業の多くにとって実現可能ではないと思われますが、意図や能力を含む外国の敵対的脅威に関する情報を組織のリスク管理に組み込んで、決意の固い、組織化された、資金力のある敵対者から保護することは必須です。
このようなプログラムは、組織とその従業員を守り、重要なインフラが危険にさらされている場合には、米国の国家安全保障と公共の安全を守ることにつながります。
インサイダー脅威プログラムは防諜プログラムではありませんが、敵対的な脅威を理解し、それをリスク管理の取り組みに組み込むことで、インサイダー脅威プログラムがその取り組みに集中し、脅威に対抗するために従業員をよりよく準備するのに役立ちます。

Labels: ,

Torは10月にv2オニオンサービスのサポートを終了します。 / Tor is Killing off Support for v2 Onion Services in October(転載)


Tor is Killing off Support for v2 Onion Services in October 

2020年7月、Tor Projectは、バージョン2のオニオンサービス(v2)を終了し、より安全性の高いバージョン3のオニオンサービス(v3)に移行するスケジュールを発表しました。2021年10月16日までに、短いオニオンサービスは機能的に存在しなくなる。

David Goulet氏からのtor talkメッセージによると、Tor Projectは安全性を唯一の目的として、v2オニオンサービスからオニオンサービスへの移行を強行しているという。

Onion service v2は、RSA1024と80ビットSHA1(切り捨て)のアドレスを使用しています。また、TAPハンドシェイクを使用していますが、これはv2のサービスを除き、何年も前からTorから完全に削除されています。その単純なディレクトリシステムは、様々な列挙攻撃や位置予測攻撃を引き起こし、HSDirリレーにv2サービスを列挙したりブロックしたりするための大きな力を与えています。最後に、v2サービスはもう開発もメンテナンスもされていません。最も深刻なセキュリティ問題にのみ対処しています。

Tor Projectのブログ記事にあるように、オニオンサービスの運営者は、ユーザーやインフラをv3のオニオンサービスに移行するのに何年もかかっています。しかし、Tor Projectは困難を予想しています。

今回のv3sへの移行は、Tor Projectが提唱するセキュリティの観点からも理にかなっていると言えます。しかし,多くのユーザーはこれに反対し,発表のコメント欄でこの変更の是非について議論しました。あるユーザーは、Tor Projectが、Torユーザーが古くて安全でないソフトウェアを使うのを防ぐことで、オープンソースソフトウェアの性質を「誤解」していると書きました。別のユーザーは、上述のコメント欄に反応して、そのようなとんでもない考え方を持つユーザーが技術的にはまだv2を使用できることを説明しました。

Torのソースコードをダウンロードして、v2の機能を再び追加することは歓迎されています。誰もあなたを止めることはできません。もしあなたのお気に入りのサイトがv2(パッチを当てたTor)をホストしていないなら、そうするように彼らを説得しなければなりません。もし彼らを説得できないのであれば、まあ、結局のところv2はそれほど重要ではないのかもしれません。

また、客観的に見ても、V2オニオンの方が美しいというのが一般的です。V3は見た目が汚いから抵抗があるのかもしれません。

とはいえ、10月のキルデートまであと数ヶ月。



Labels: ,

脆弱性診断士とは


経済産業省が出しているサイバーセキュリティ経営ガイドラインにも記載があることから、脆弱性診断というのは個人的には一般化してきているものと考えている。

一方で、脆弱性診断を取り扱う会社も多く、せっかく社内で脆弱性診断のルールの統一を図ったのに「他社が安いので他社でもよいか」みたいな話が出てきて閉口することがよくある。

それでも最近は同じく経産省が情報セキュリティサービス基準なるものを用意してくれ、IPAが一定の基準を満たした事業者を公開してくれているので、結構助かっている。

ところで、外部に脆弱性診断を依頼すると金額が高額であったり、リソース調整に難儀して診断着手までに時間がかかるようなことはないだろうか?

診断業務の一般化が進む一方、診断業務に必要な人材は不足していると想定され、この辺のスキルを身に着けると、自身の市場価値が上がるのではなかろうか?

そんなわけで、脆弱性診断を生業とする「脆弱性診断士」について調べてみた。

実は「脆弱性診断士」という資格自体は2020年に初めてベンダー資格として登場したもので意外にも新しい資格である。

一方で、このベンダー資格として誕生させるまでの様々な成果物はオープンソースで公開されているため、これらの情報を参考に必要な技術を習得できると、「脆弱性診断士」と同格になると考えることもできる。

 昨今診断ツールが充実しているので良いのではとの考え方もあるが、やはりツールだけでは簡易的な検査となってしまい、機密情報を扱う外部公開システムに対しては十分とは言い切れない。

そこでツールだけでは補いきれない部分をカバーするのが「脆弱性診断士」ということになる。

ちなみに個人的にはツール診断を使いこなすレベルの人材でも結構需要があると考えている。

最近、この辺は医者の種類のような感じなのではないかと思っている。

1.ツール診断のみでの簡易診断:所謂町医者や診療所。安価で多くの人が受診可

2.ツール診断+マニュアル診断:総合病院。それなりの設備と専門の勤務医がおり、金額もそれなりにかかる。

3.フルマニュアル診断:専門病院。業界的にも名の通ったスペシャリストが直々に診察するが、超高額。

セキュリティベンダー等で今後診断をメインで実施していくような方は、是非上記の3.を目指してほしいが、個人的には1.の町医者レベルをまずは目指したいと考えている。

自身はセキュリティエンジニアではなく、セキュリティマネージャーなので、特定の狭い領域を深掘るのではなく、幅広い領域を均等に抑えておく必要があると考えている。

いろいろ資料を探していたら、参考資料がたくさん見つかったので、残しておきます。

脆弱性診断士スキルマッププロジェクト
 -脆弱性診断士(Webアプリケーション)スキルマップ&シラバス(バックアップ)
 -脆弱性診断士(Webアプリケーション)スキルマップ&シラバスについて(バックアップ)
 -脆弱性診断士(プラットフォーム)スキルマップ&シラバス(バックアップ)
 -脆弱性診断士(プラットフォーム)スキルマップ&シラバスについて(バックアップ)

安全なウェブサイトの作り方

Webサイト開発者や運営者が適切なセキュリティを考慮したWebサイトを作成できることを目的としてIPAより公開されている資料。メジャーなWebアプリケーションの脆弱性に関する脆弱性の概要、発生しうる脅威、一般的な対策方法などが記載されています。また、ウェブサイト全体の安全性を向上させるための方策や具体的な実装例などを伴ったウェブアプリケーションに脆弱性を作りこんでしまった「失敗例」についても解説されています。

なぜ自社で脆弱性診断を行うべきなのかバックアップ

Webアプリケーションの脆弱性診断における自動診断と手動診断のそれぞれの特徴や、診断業務のやり方について記載されています。また、脆弱性診断を自社で行うことによるメリットについて、コストや品質の面から解説がされています。

星野君のWebアプリほのぼの改造計画 

会社の「Web担当」に配属された星野君が、Webアプリケーション開発業務の中で様々なセキュリティの問題に直面し、解決をしていく日常が対話形式で描かれています。Webアプリケーションの開発において、作りこまれやすい問題の原因や対策について学ぶことができます。

・Burp Suite関連
 -Burp Suite ハンズオントレーニング資料:1.HTTP基礎入門バックアップ) 
 -Burp Suite ハンズオントレーニング資料_2.Burp Suite導入・操作バックアップ
 -Burp Suite ハンズオントレーニング資料_3.Burp Suite実践編バックアップ
 -Burp Suite ハンズオントレーニング資料_4.Burp Suite回答編バックアップ

Burp Suite Japan User Groupより公開されているBurp Suiteを用いて脆弱性診断を学ぶことを目的として開催されたハンズオントレーニングの資料です。 HTTPに関する基礎知識やBurp Suiteの基本的な操作方法についても解説されており、Burp Suiteを用いてXSSやSQLインジェクションの脆弱性を検出する方法を学ぶことができるでしょう。

 -Burp Suite Startup マニュアルバックアップ

Burp Suite Japan User Groupにより公開されている資料です。Webアプリケーションのセキュリティ診断で活用されるプロキシツール「Burp Suite」における、インストール方法から診断をする上で必要な設定や各種機能の利用方法について、図や実際の画面キャプチャを用いて説明されています。初めて「Burp Suite」を使用される方におすすめの資料です。

・OWASP ZAP
 -OWASP ZAP マニュアル Ver.2.1.0版バックアップ
 -OWASP ZAP マニュアル Ver.2.10.0版
 -ZAP Handbook in Japanese

ZAP Evangelistとして活動されているYuhoKamedaさんが、OWASP ZAP関連の日本語資料について解説しているサイトです。ZAPを使って診断を行うための解説や、OWASP Top10の脆弱性をZAPを使って見つける診断方法を日本語で公開しています。

 -OWASP Testing Guideバックアップ

OWASPが提供するセキュリティテストに関するガイドラインです。セキュリティテストが備えるべき診断項目や手順などが紹介されています。

HTML5を利用したWebアプリケーションのセキュリティ問題に関する調査報告書バックアップ

JPCERT/CC発行のHTML5セキュリティに関する調査報告書です。HTML5特有のテスト観点の整理や、開発時に気をつけるべき事項が紹介されています。(一部古くなっている記述もあります。)

Labels:

液体窒素ダイエット(クライオセラピー / cryotherapy)とは


 液体窒素ダイエットってご存じだろうか?

以前見聞きして気になっていたのだが、記憶から消え去る前にこちらに残しておきたい。

液体窒素って冷たいイメージしかないが、その液体窒素を使って全身を冷却することで血管を収縮し、その後、血管が元に戻ろうと膨張することで、血流を促進、カラダの中の老廃物や疲労物質を流す、というもの。

液体窒素を利用して、-120℃~-196℃程度の超低温状態になったキャビン内に入って身体全体を急速に冷すのが概要で、1回につき、2~3分間程度入る。

これが、アンチエイジングや疲労回復、ダイエットの観点から注目されているらしい。

ダイエットの観点でいうとポイントは2つあるようで、

  1. アポトーシスによる脂肪細胞消滅
    全身ケアがわずか2分から3分で効率的にできるクライオセラピーでは、冷やされた脂肪細胞が、自ら消滅するというアポトーシスという状態に陥らせることができます。 アポトーシスは体が自らの体のために細胞を消滅させるという働きです。 これにより、脂肪細胞が体外へ排出されるため、脂肪細胞が元に戻らずリバウンドのリスクも減少できます。

  2. 脂肪細胞の燃焼
    自然環境では到底考えられない-196℃までの超低温環境に一気に引き込むことで、体は驚いて体の機能を保つために体温を保たせようとします。 そのために熱を一気に高め、エネルギーの量産を図ります。 この際、蓄積された脂肪細胞が熱エネルギーの量産のために使われ、わずか短時間のクライオセラピーで効果的に痩せることができる。

んー。ポジティブにとらえると、使わない脂肪細胞は死滅して減るし、生き残った細胞は燃焼して激やせって感じがするが、

一方で、脂肪細胞は「死ぬ」のか「燃やされる」のか、どっちやねんって感じ。

1回の施術が2~3分で完了するというのはあ非常に魅力的だが、このダイエット方法、分野的に日本より何歩も先行くアメリカでも認証や規制等はまだされていないようで、何をどう誤ったのか、キャビンで凍死した事件も起きている模様。

日本でも液体窒素ダイエットを提供している事業者はいるようだが、まぁ自己責任ということで。

【参考】
日本クライオ療法推進協会

Labels:

香水通販サイトに不正アクセス(転載)~想定損害賠償額は1.1億円程度か~

香水通販サイトに不正アクセス - クレカ情報が流出

香水学園もEC-CUBE

香水を扱う通信販売サイト「香水学園」を運営するプラネットは、同サイトが不正アクセスを受け、顧客のクレジットカード情報が流出し、不正に利用された可能性があることを明らかにした。

同社によれば、システムの脆弱性を突く不正アクセスを受け、2020年2月24日から2021年1月8日にかけて、同サイトで新規に登録したり、変更した上で決済に利用された顧客2821人分のクレジットカード情報が外部に流出し、不正に利用された可能性があることが判明したもの。

同サイトの決済アプリケーションが改ざんされ、クレジットカードの名義や番号、有効期限、セキュリティコードなど、顧客のクレジットカード情報が窃取された。またクレジットカード以外の個人情報を格納するサーバについても、ログファイルなどの調査から不正アクセスを受けたことがわかっているという。

1月8日にクレジットカード会社から情報流出の可能性について連絡を受け、問題が判明。外部事業者による調査は2月28日に完了した。4月28日に個人情報保護委員会へ報告、警察に被害を申告した。

また対象となる顧客に対しては5月19日より順次メールや書面を通じて個別に連絡を取り、身に覚えのない請求などが行われていないか確認するよう注意喚起を行っている。

Labels: ,
Location: 香水学園

SmilesでANAの特典航空券が!


 Smilesというブラジルのロイヤリティプログラムがある。

ここで獲得できるマイルは事実上GOL航空のマイルとなる。

どこのアライアンスにも加盟していないブラジルの航空会社のマイルをためてどうするんじゃいという突っ込みがあるが、このGOL航空、提携会社が非常に多い。

マイルをため始めた当初は、アジア圏の提携航空会社は大韓航空しかなかったが、韓国経由で世界に旅立てるので、それなりに使い道があるだろうと思って貯めていた。


先日、武漢ウイルスの蔓延が長期化しそうなので、マイルの定期購入を停止しようとサイトを見ていたら、提携航空会社にANAが追加されているのを確認した。

試しにHND-ITM間検索したら、ちゃんと出てきた。

が、異様に高い。

約40,000マイルだが、この分をマイルを購入すると2,800BRL≒60,000円となる。

仮にマイルをすでに持っていて、マイル+キャッシュで進めようとしても700BRL≒15,000円となり、まったくメリットがない。

しかし、Smilesの提携航空会社にはANAの表記があるものの、ANAのサイトにはGOL航空やsmilesの情報がないのは何故だろう?

ちなみにsmilesはいろいろクセが強く、個人的にはリスクテイクができるマイラー最上級者向けだと思う。
Labels:

ロシア対外情報庁(SVR)が行なっているサイバーオペレーションとネットワーク管理者向けのベストプラクティス / Russian Foreign Intelligence Service (SVR) Cyber Operations: Trends and Best Practices for Network Defenders


ロシア対外情報庁(SVR)が行なっているサイバーオペレーションとネットワーク管理者向けのベストプラクティス "Russian Foreign Intelligence Service (SVR) Cyber Operations: Trends and Best Practices for Network Defenders" [PDF] us-cert.cisa.gov/sites/default/…: ロシア対外情報庁(SVR)が行なっているサイバーオペレーションとネットワーク管理者向けのベストプラクティス
"Russian Foreign Intelligence Service (SVR) Cyber Operations: Trends and Best Practices for Network Defenders"
[PDF] us-cert.cisa.gov/sites/default/…

SUMMARY

米連邦捜査局(FBI)と米国土安全保障省(DHS)は、ロシア対外情報庁(SVR)のサイバーアクター(Advanced Persistent Threat 29(APT29)、Dukes、CozyBear、Yttriumとも呼ばれる)が、今後もサイバー搾取を通じて米国および外国の企業から情報を得ようとしていると評価しています。

このサイバー搾取では、洗練度の異なるさまざまな初期搾取技術と、侵害されたネットワークへのステルス侵入技術が用いられます。

SVRは主に、政府機関のネットワーク、シンクタンクや政策分析機関、情報技術企業などを標的としています。

2021年4月15日、ホワイトハウスはSolarWindsの不正アクセスに関する声明を発表し、この活動がSVRによるものであることを明らかにしました。

FBIとDHSは、SVRのサイバーツール、ターゲット、テクニック、能力などの情報を提供し、組織が独自に調査を行い、ネットワークを保護するのに役立てています。

THREAT OVERVIEW


SVRのサイバー活動は、米国にとって長年の脅威となっています。

2018年以前には、複数の民間サイバーセキュリティ企業が、被害者のネットワークにアクセスして情報を盗むAPT 29の活動に関するレポートを発表しており、被害者のネットワーク内でステルス性を最大限に高めるためにカスタマイズされたツールを使用していることや、APT 29のアクターが検知されずに被害者の環境内を移動できることが強調されていました。

2018年以降、FBIは、SVRが被害者のネットワーク上でマルウェアを使用することから、クラウドのリソース、特に電子メールを標的にして情報を得ることにシフトしていることを確認しました。

改造したSolarWindsソフトウェアを使用してネットワークアクセスを得た後、Microsoft Office 365環境を悪用したことは、この継続的な傾向を反映しています。

クラウド・リソースを標的にすることで、被害者の組織が十分に防御、監視、理解していない環境において、漏洩したアカウントやシステムの誤設定を利用して、通常のトラフィックや監視されていないトラフィックに紛れ込ませることで、検知の可能性を下げていると考えられます。

SVR CYBER OPERATIONS TACTICS, TECHNIQUES, AND PROCEDURES


Password Spraying


2018年に行われたある大規模ネットワークの侵害では、SVRのサイバーアクターがパスワードスプレーを使用して、管理者アカウントに関連する弱いパスワードを特定しました。

このサイバー犯罪者は、検出を避けるためか、頻繁ではない間隔で少数のパスワードを試行し、「ロー&スロー」な方法でパスワードスプレー活動を行いました。

パスワードスプレーでは、住宅用、商業用、モバイル用、TOR(The Onion Router)用など、被害者と同じ国に存在する多数のIPアドレスが使用されました。

この組織では、侵害された管理者アカウントが多要素認証の要件から意図せずに除外されていました。

管理者アカウントにアクセスした行為者は、ネットワーク上の特定の電子メールアカウントの権限を変更し、認証されたネットワークユーザーであれば誰でもこれらのアカウントを読むことができるようにしました。

また、この設定ミスを利用して、管理者以外のアカウントを侵害していました。

この設定ミスにより、多要素認証に対応していない端末で、従来の単一要素認証によるログインが可能になりました。

これは、Apple社のメールクライアントやMicrosoft社のOutlookなどの旧バージョンのメールクライアントに見せかけるために、ユーザーエージェントの文字列を偽装することで実現したとFBIは考えています。

管理者以外のユーザーとしてログインした後、侵害された管理者ユーザーが適用した権限変更を利用して、被害組織内で関心のある特定のメールボックスにアクセスしました。

パスワードスプレーは様々なIPアドレスから行われていましたが、いったんアカウントにアクセスすると、そのアカウントは通常、リースした仮想プライベートサーバ(VPS)に対応する1つのIPアドレスからのみアクセスされます。

侵害されたアカウントに使用されたVPSの重複は少なく、後続の行為に使用されたリースサーバはいずれも被害組織と同じ国にありました。

アクセス期間中、行為者は常に管理用アカウントにログインしてアカウントの権限を変更しており、もはや関心がないと思われるアカウントへのアクセスを削除したり、追加のアカウントに権限を追加したりしていました。

Recommendations


この手法から身を守るために、FBIとDHSは、ネットワーク事業者に対して、クラウドコンピューティング環境へのアクセスを設定する際に、以下のようなベストプラクティスに従うことを推奨しています。

  • 構内および遠隔地のすべてのユーザーに対して、承認された多要素認証ソリューションの使用を義務付ける。

  • 組織が所有していないIPアドレスやシステムから管理機能やリソースへのリモートアクセスを禁止する。

  • メールボックスの設定、アカウントの権限、メール転送のルールを定期的に監査し、不正な変更の痕跡を確認する。

  • 可能であれば、強力なパスワードの使用を強制し、特に管理者アカウントでは、技術的手段により容易に推測されるパスワードやよく使われるパスワードの使用を防止する。

  • 組織のパスワード管理プログラムを定期的に見直す。

  • 組織のITサポートチームが、ユーザーアカウントロックアウトのパスワードリセットに関する標準作業手順を十分に文書化していることを確認する。

  • 全従業員を対象としたセキュリティ意識向上のためのトレーニングを定期的に実施する。

Leveraging Zero-Day Vulnerability


別の事件では、SVRのアクターが、仮想プライベートネットワーク(VPN)アプライアンスに対して、当時ゼロデイエクスプロイトであったCVE-2019-19781を使用してネットワークアクセスを取得しました。

ユーザー認証情報を公開する方法でデバイスを悪用した後、アクターは公開された認証情報を使ってネットワーク上のシステムを特定し、認証しました。

この行為者は、多要素認証を必要とするように設定されていない複数の異なるシステムに足場を築き、外国の諜報機関が関心を持つ情報に沿って、ネットワークの特定の領域にあるウェブベースのリソースにアクセスしようとしました。

最初の発見後、被害者は行為者を退去させようとしました。

しかし、被害者は最初のアクセスポイントを特定しておらず、行為者は同じVPNアプライアンスの脆弱性を利用してアクセスを再開しました。

最終的には、最初のアクセスポイントが特定され、ネットワークから削除され、アクターは退去しました。

前述のケースと同様、行為者は被害者と同じ国にある専用VPSを使用していましたが、これはおそらく、ネットワーク・トラフィックが通常の活動とは異なっているように見せるためでしょう。

Recommendations


この手法から守るために、FBIとDHSは、ネットワーク防御側が、エンドポイント監視ソリューションが、ネットワーク内での横方向の動きの証拠を特定できるように構成されていることを確認することを推奨しています。

  • ネットワークを監視し、エンコードされたPowerShellコマンドの証拠や、NMAPなどのネットワークスキャンツールの実行を確認する。
  • ホストベースのアンチウイルス/エンドポイントモニタリングソリューションが有効であり、モニタリングやレポートが無効になった場合、またはホストエージェントとの通信が合理的な時間を超えて失われた場合に警告を発するように設定されていること。
  • 内部システムへのアクセスに多要素認証の使用を求める。
  • テストや開発に使用するシステムを含め、ネットワークに新たに追加されたシステムは、組織のセキュリティベースラインに沿ってすぐに設定し、企業の監視ツールに組み込む。

WELLMESS Malware


2020年、英国、カナダ、米国の政府は、「WELLMESS」と呼ばれるマルウェアを使用した侵入行為をAPT29によるものだと発表しました。

WELLMESSは、プログラミング言語「Go」で記述されており、以前に確認された活動では、COVID-19ワクチンの開発を標的にしていたようです。

FBIの調査によると、最初にネットワークに侵入した後、通常はパッチが適用されていない一般に知られた脆弱性を利用して、犯人はWELLMESSを導入しました。

ネットワークに侵入すると、各組織のワクチン研究用リポジトリとActive Directoryサーバを標的にしました。

これらの侵入は、ほとんどが社内のネットワークリソースを標的としたものであり、これまでの手法とは異なるものでした。

今回の侵入に使用されたマルウェアの詳細については、これまでに公開されており、本文書の「リソース」の項で参照しています。

Tradecraft Similarities of SolarWinds-enabled Intrusions


2020年の春から夏にかけて、SVRのサイバーオペレーターは、改造したソーラーウインズのネットワーク監視ソフトウェアを最初の侵入経路として使用し、多数のネットワークへのアクセスを拡大し始めました。

SVRが信頼のおけるソーラーウインズ製品を改造して侵入経路として使用したことは、SVRのこれまでのトレードクラフトからの顕著な逸脱でもあります。

FBIの最初の調査結果によると、侵入に使われたインフラの購入・管理方法など、SVRが主催する他の侵入行為と感染後の手口が類似していることが判明しました。

SVRのサイバーアクターは、被害者のネットワークにアクセスした後、ネットワークを介して電子メールアカウントにアクセスしました。

複数の被害者組織で狙われたアカウントには、ITスタッフに関連するアカウントも含まれていました。

FBIは、サイバー犯罪者がITスタッフを監視することで、被害者のネットワークに関する有用な情報を収集し、被害者が侵入を検知したかどうかを判断し、退去措置を回避したのではないかと考えています。

Recommendations


信頼できるソフトウェアの侵害からネットワークを守ることは困難ですが、一部の企業では、最初の悪意のあるSolarWindsソフトウェアからの後続の悪用活動を検出し、防止することに成功しました。これは、以下のような様々な監視技術を用いて達成されました。

  • ログファイルを監査して、特権的な証明書へのアクセスの試みや偽の識別プロバイダの作成を特定する。

  • 暗号化されたPowerShellの実行を含む、システム上の不審な行動を特定するソフトウェアを導入する。

  • 侵害の行動指標を監視する機能を備えたエンドポイントプロテクションシステムを導入すること。
  • クラウド環境でのクレデンシャルの不正使用を特定するために、利用可能なパブリックリソースを使用する。
  • 新しいデバイスの登録など、システム上での特定のユーザー活動を確認するための認証メカニズムの設定。

被害組織の中には、最初のアクセス経路がソーラーウインズのソフトウェアであることを特定できたところはほとんどありませんでしたが、一部の組織では、さまざまな警告を関連付けて不正な活動を特定することができました。

FBIとDHSは、これらの指標と、ネットワークのセグメンテーションの強化(特に「ゼロトラスト」アーキテクチャやIDプロバイダー間の信頼関係の制限)とログの相関関係を組み合わせることで、ネットワーク防御者は追加調査が必要な疑わしい活動を特定できると考えています。

General Tradecraft Observations


SVRのサイバーオペレーターは有能な敵です。

上記の技術に加えて、FBIの調査では、侵入に使用されるインフラが、偽の身分証明書や暗号通貨を使って頻繁に入手されていることが明らかになっています。

VPSインフラは、VPS再販業者のネットワークから調達されることが多い。これらの偽装IDは、通常、一時的な電子メールアカウントや一時的なVoIP(Voice over Internet Protocol)電話番号など、評判の低いインフラによって支えられています。

SVRのサイバーアクターが独占的に使用しているわけではありませんが、SVRのサイバーペルソナの多くは、cock[.]liや関連ドメインでホストされた電子メールサービスを使用しています。

また、FBIは、SVRのサイバーオペレーターが、オープンソースの認証情報ダンプツール「Mimikatz」や、市販の悪用ツール「Cobalt Strike」など、オープンソースや市販のツールを継続的に使用していたと指摘しています。

Recommendations


FBIとDHSは、サービスプロバイダーに対し、サービスの悪用を防止するために、ユーザーの検証・確認システムを強化することを推奨しています。

Labels: ,

コロニカル・パイプライン社が支払った500万ドルの身代金 / Ransomware victim Colonial Pipeline paid $5m to get oil pumping again, restored from backups anyway(転載)~早々に身代金を支払ったものの・・・~


コロニカル・パイプライン社が支払った500万ドルの身代金

Ransomware victim Colonial Pipeline paid $5m to get oil pumping again, restored from backups anyway – report

ランサムウェアの感染により、Colonial Pipeline社の経営者は、デジタルシステムの制御権を回復し、パイプラインから石油を供給するために500万ドルを支払ったと報じられています。

この支払いのニュースはBloombergが伝えたもので、Bloombergは匿名の情報源を引用しただけでなく、他の報道機関の匿名の情報源が今週初めにこのアメリカのパイプライン運営会社は身代金を支払うことはないだろうと言ったことを嘲笑しています。

"ワシントン・ポストやロイターなどのメディアが、同社が身代金を支払う意図は当面ないと報じました。ブルームバーグは、「これらの報道は匿名の情報源に基づいていた」とほくそ笑んでいますが、その一方で、「同社の取り組みに詳しい人物」という無名の人物を同じ言葉で表現することは避けています。

メディアの自画自賛はさておき、ジョージア州のColonial Pipeline Companyは、システムの制御権を取り戻すために身代金として500万ドルを支払ったと言われています。Bloombergは、おなじみの匿名の情報源を引用して、この支払い後に犯人が提供した復号化ユーティリティーは動作が遅いため、Colonial社は週末から引き続きバックアップからシステムを復元していると主張している。

ランサムウェアがファイルシステムに何かを隠していた場合に備えて、感染したコンピュータを消去して新たにやり直すべきだからです。

5月7日(金)にパイプラインが停止した原因については様々な憶測が飛び交っていますが、最も可能性が高いのは、パイプラインのポンプやバルブを制御する運用技術(OT)が危険にさらされたのではなく、石油の流れを監視し、その流れに基づいて請求記録を作成するバックオフィスシステムがランサムウェアによってKOされたということです。

石油を汲み上げることはできても、誰にどれだけの量を送っているのかがわからなければ、石油の受託サービス事業は大きな利益を逃し、エンジニアは安全性が重要なシステムがどれだけ消耗しているのかをすぐに見失ってしまいます。だからこそ、このようなシャットダウンが必要なのです。

Colonial Pipeline社によると、テキサス州ヒューストンとニューヨーク港の間で1日1億ガロンの精製燃料を輸送しており、これは米国東海岸で必要とされる全燃料の45%に相当する。パイプラインは、自動車やトラックの燃料、ジェット燃料、暖房用オイルなどを運んでおり、ガソリンが不足しているという報告もある。

ランサムウェア対策の専門企業であるEmsisoft社のBrett Callow氏は、今回報告された支払い額は比較的少額であると述べています。「公表されている最高額の要求は5,000万ドルであり、この事件が引き起こしている大規模な混乱とそのコストを考えると、500万ドルは驚くほど少額に思えます。しかし、もし本当に支払われているのであれば、重要なインフラがランサムウェアの標的になっていることは間違いないでしょう。ある分野が儲かるとわかれば、彼らは何度も何度もその分野を攻撃するでしょう」と述べています。

Colonialでは1ヶ月前に新しいサイバーセキュリティ・マネージャーを採用していました。その仕事に就いた者は、おそらく非常に興味深い数日間を過ごすことになるだろう。

このランサムウェア・ギャングはDarksideという名前で活動しており、欧米の情報セキュリティ企業は少なくとも12の異なる名前で追跡しています。昨年8月から活動を開始し、これまでに約80件の不正アクセスを行ったと言われています。先週、このパイプラインが止まり、FBIが関与することになったとき、このクルーの背後にいるロシア語を話す犯罪者たちは、自分たちはただビジネスをしているだけであり、他意はないと主張する声明をTorホストのブログを通じて発表した。

これを翻訳すると、アメリカ東海岸の液体炭化水素を供給する重要な技術を破壊して国際的な注目を集めた彼らを追跡して収容所に送らないよう、ロシア語圏の祖国の権力者たちに必死に訴えているようにも見える。

Labels: ,

2021年にツイッターでフォローすべきサイバーセキュリティの専門家トップ21 / Top-21 Cybersecurity Experts You Must Follow on Twitter in 2021.


Cybersecurity Experts to Follow on Twitter:

サイバーセキュリティに関しては、専門家から学ぶことに勝るものはありません。業界のトップインフルエンサーから洞察を得ることは、アプリケーションセキュリティ戦略を最適化する上で非常に重要であることがわかります。そこで今回は、2021年にTwitterでフォローすべきサイバーセキュリティの専門家トップ21人をご紹介します。Magecart、Web-Skimming、Supply Chain Attacksなどの脅威を解明する時が来ました。

#1 Rafay Baloch

https://twitter.com/rafaybaloch
Rafay Balochは、倫理的ハッキングで広く知られる有名な情報セキュリティ専門家です。彼は、ゼロデイ脆弱性やWAFの欠陥など、大規模なセキュリティ上の脅威を特定することにかけては、最も信頼できるエキスパートです。また、自身のブログでは、モバイルやWebブラウザの脆弱性を明らかにし、セキュリティ関連のヒントを提供しています。


#2 Troy Hunt

トロイ・ハントは、著名な作家であり、Webセキュリティに関するPluralsightのコースに貢献しています。また、サイバーセキュリティをテーマにした技術会議で頻繁に講演を行っています。また、Haveibeenpwned? というウェブサイトで知られており、何百万人もの企業や個人のウェブユーザーが、自分の電子メールや携帯電話が改ざんされていないか、データが盗まれていないかを確認できるよう支援しています。

#3 Kevin Mitnick

https://twitter.com/kevinmitnick
ミトニックは、40の大規模組織をハッキングした罪で逮捕され、判決を受けた後、大企業や政府までも助けるホワイトハットハッカーとなりました。また、CNN、FOXニュース、BBCなどの放送局に頻繁に出演し、セキュリティ問題についての教育やコメントを行っています。また、KnowBe4社のオーナーとして、セキュリティ意識を高めるためのトレーニングプログラムを作成しています。

#4 Rachel Tobac

https://twitter.com/RachelTobac
ホワイトハット・ハッカーは、PayPal、Twitter、Uber、WhatsAppなどの顧客を持つサイバーセキュリティ企業、Social Proof SecurityのCEOです。彼女の会社では、参加者が自律的にウェブサイトをハッキングするソーシャルエンジニアリングのイベントを開催して、人々にセキュリティについての教育を行っています。攻撃を受ける側は、もちろん状況を十分に把握しています。

#5 Mikko Hyppönen

https://twitter.com/mikko
フィンランドのセキュリティ専門家であるミッコ・ヒッポネンは、いわゆる「ヒッポネンの法則」を考案したことで有名になりました。この法則は、あらゆる「スマートアプライアンス」には脆弱性があるというIoTルールです。彼は1991年からエフセキュアに勤務しており、彼の印象的な記事は「ニューヨーク・タイムズ」や「ワイアード」に掲載されています。Hyppönen氏は、スタンフォード大学、オックスフォード大学、ケンブリッジ大学でも講義を行っています。

#6 Katie Moussouris

https://twitter.com/k8em0
ムーサリスは、責任あるセキュリティ研究と脆弱性の公開を推進することで有名なセキュリティ専門家です。彼女は、米国国防総省のバグバウンティプログラムの創設に参加しました。バグバウンティプログラムは、個人がセキュリティを脅かすバグを報告することで、報酬や評価を得るというものです。ケイティ・ムソーリスは、Luta Securityの創設者でもあります。

#7 Bruce Schneier

ブルース・シュナイアーは、有名なセキュリティ技術者であり、ハーバード・ケネディ・スクールの講師でもあります。数多くのアプリケーション・セキュリティ関連の書籍を執筆・出版しているほか、自身のブログでもセキュリティ関連の動向を取り上げています。ブルース・シュナイアーは、EFF(電子フロンティア財団)のメンバーでもあり、いくつかの暗号アルゴリズムの開発に大きな役割を果たしています。

#8 Brian Krebs

正規のトレーニングを受けていないにもかかわらず、Krebsは最も世界的に認知されたサイバーセキュリティの専門家の一人となりました。クレブスは、ワシントンポスト紙の調査報道記者として、コンピュータセキュリティの話題やハッカーへのインタビューを行ってきました。現在、ブライアン・クレブスは、KrebsOnSecurityという自身のブログを運営し、企業のデータ漏洩を暴露しています。

#9 Jeremiah Grossman

ジェレマイア・グロスマンは、世界的に著名なサイバーセキュリティの専門家であり、WhiteHat Securityの創設者でもあります。ジェレマイア・グロスマンは、DefCon、ISACA、ISSAなどの技術系イベントで講演やワークショップを行っているほか、Washington Post、NBC Nightly News、USA Todayなどでサイバー犯罪に関する記事を頻繁に執筆しています。サイバーセキュリティに精通したプロフェッショナルである。

#10 Eugene Kaspersky

ユージン・カスペルスキーは、ロシアのサイバーセキュリティ専門家であり、彼の会社であるKaspersky Lab.で世界的な名声を得ています。彼の組織には約4,000人の従業員がおり、彼のアンチウイルス製品は4億人以上のユーザーを魅了しています。1997年にカスペルスキー・ラボを共同設立した彼は、現在も同社のCEOを務めており、12億ドルの純資産でフォーブスのリストに掲載されています。

#11 Dan Lohemann

ローヘマンは、有名なブロガーであり、講演者であり、メンターシッププログラムの貢献者であり、サイバーセキュリティについて専門家を教育するためのトレーニングコース、ワークショップ、セミナーを作成しています。また、ホワイトハウス、米国国土安全保障省、フォーチュン500社の代表者のセキュリティ基準の向上を支援するコンサルタントとしても活躍しています。

#12 Steve Morgan

モーガンは、定評のあるジャーナリストであり、サイバーセキュリティに関するテーマの研究者でもあります。毎年、サイバー犯罪の現状について、統計データを含めたレポートを作成している。彼のレポートは、さまざまな雑誌やジャーナル、その他のメディアで参照、引用されています。彼の使命は、彼が知っている情報を共有し、サイバーセキュリティの問題について彼の見解を述べることです。

#13 Tyler Cohen Wood

20年以上にわたりサイバーセキュリティに携わってきたウッドは、重要なインフルエンサーとなっています。彼女は、国防情報局、ホワイトハウス、連邦法執行機関に勤務し、政府のセキュリティプログラムをより効率的にするサイバーセキュリティポリシーを策定してきました。タイラーは、テレビ、ポッドキャスト、ラジオなどにも頻繁に出演しています。

#14 Graham Cluley

グレアム・クラウリーは、ソロモン博士のアンチウイルス・ツールキットの最初のバージョンを書いたことで有名なセキュリティ専門家です。現在では、自らの名前を冠したブログを開設し、サイバーセキュリティに関する最新のニュースやトレンドを発信しています。グラハム・クラウリーは、Microsoft Future Decoded、Web Summit、ISSAなどのサイバーセキュリティ関連のイベントで頻繁に基調講演を行っています。

#15 Theresa Payton

テレサ・ペイトンは、業界をリードするセキュリティ専門家であり、サイバー防衛、サイバー犯罪を扱い、教育を提供するFortalice SolutionsのCEOです。また、サイバーセキュリティ企業であるDark Cubed社の共同設立者でもあります。テレサは、スピーカーや講師として技術会議に参加したり、ソーシャルメディアや雑誌で知識を披露したりしています。

#16 Shira Rubinoff

Shira Rubinoffは、ITセキュリティの専門家であり、サイバーセキュリティ企業を2社設立しています。フォーチュン100社の企業に対して、セキュリティやビジネス開発に関するコンサルティングサービスを提供しています。また、このテーマに関する数多くの記事や講演の著者としても知られています。また、ニューヨークを拠点とするテクノロジーインキュベーターの社長も務めています。

#17 Eva Galperin

ガルペリンは、EFFのサイバーセキュリティ部門のディレクターを務めています。EFFのサイバーセキュリティ担当ディレクターであるガルペリンは、サイバーセキュリティ問題の透明性を提唱しており、アップル社やアンドロイド社の携帯電話メーカーに対して、端末上でストーカーウェアが検出された場合、ユーザーに警告を発するよう働きかけています。エヴァは、すべての人、特に弱い立場にある人たちにプライバシーとセキュリティを提供するための政策を策定することに尽力しています。

#18 Marcus J. Carey

マーカス・J・ケアリーは、サイバーセキュリティの専門家として広く知られています。ReliaQuest社のシニアエンタープライズ・アーキテクトとして、業界や国を問わず、サイバーセキュリティを強化するソリューションを開発しています。主に、効率性、アクセス性、パフォーマンスの向上を目的とした、クラウドをベースとしたサイバーセキュリティソリューションを担当しています。

#19 Jayson E Street

Jayson E Streetは、InfoSec社の情報セキュリティ担当副社長として、サイバーセキュリティに関するセミナーやワークショップの企画・制作を行っています。また、「Dissecting the Hack」という自身のウェブサイトでは、サイバーセキュリティについて人々に教え、この分野の最新情報を共有することに専念しています。彼のチャンネルには何千人もの情報セキュリティの専門家が集まってくる、真の教師です。

#20 Paul Asadoorian

ポール・アサドリアンは、サイバーセキュリティやハッキングの話題を扱うポッドキャスト「Security Weekly」の創始者として広く知られています。また、「Tenable」誌にも寄稿しており、セキュリティの脆弱性に関する資料を作成しています。また、RSA、Derbycon、SOURCE Conferenceなどの技術イベントにも頻繁に参加しています。

#21 Adam K. Levin

アダム・K・レビンは、セキュリティの提唱者であり、データ漏洩に備えて企業のアイデンティティ管理を行うCyberScout社の創設者でもあります。彼は数多くのカンファレンスでサイバーセキュリティ、個人の財務管理、信用の問題などについて語るスピーカーとして愛されています。アダムが関心を寄せているのは、IoTとサイバー詐欺が拡大する世界でのデータ保護です。
Labels: ,

OSINTツールリスト~不定期更新中~


Search Engines

Dark Web Search Engines(ダークウェブ)

People Search

Phone Number Search(電話番号検索)







Labels:

データ漏洩調査のためのOSINTリソース / 20+ OSINT resources for breach data research(転載)


20+ OSINT resources for breach data research:

ここ数週間、データの漏洩・流出が話題になっています。

何人かの読者から、侵害データの話題を調べるための良い情報源についての質問が寄せられました。

侵入や漏洩への直接的なリンクを掲載することには抵抗がありますが、侵入データのOSINTについて適切なレベルの洞察を得ることができるようなリソースのリストを作成することにしました。

これらは、私が過去に使用したもので、少なくともこの記事を書いている時点では動作することを確認しています。

  • https://breachalarm.com/ – 無料プランでは電子メールを確認し、漏洩データの記録と照合することができます。有料プランでは、新たに浮上したメールを題材にしたリーク情報をアラートで通知することができます。

  • https://breachchecker.com/ – 無料のツールでありながら、きちんとしたレベルの漏洩データの詳細を表示します。
  • https://dehashed.com/ – 基本検索は無料です。詳細情報は有料。

  • https://ghostproject.fr/ – 有料のリソースです。すべての機能を無料で使用することはできません。

  • https://www.globaleaks.org/ – 「安全な内部告発プラットフォーム」として宣伝されている、フリーでオープンソースのソフトウェア。ローカルでのインストールが必要です。

  • https://haveibeenpwned.com/ – 無料。最も認知度が高く、最も歴史のある侵害データレポジトリの一つ。多種多様なソースからのデータセットが含まれています。

  • https://haveibeenzucked.com/ – 無料で提供しています。具体的には、2019年のFacebookデータ流出に詳細が存在するかどうかを確認するためのものです。それ以外には使えません。

  • https://intelx.io/ – 検索エンジンとデータアーカイブを組み合わせたものです。無料プランと有料プランがある。

  • https://leakcheck.net/ – 無料プランでは限定的な検索が可能。詳細な検索には有料プランが必要です。

  • https://leakedsource.ru/ – 有料サービス。ロシアのトップレベルドメイン。いくつかの古い、失われた違反データソースのインデックスを再作成すると主張しています。暗号通貨による支払い。

  • https://leak-lookup.com/ – 無料で検索できますが、詳細な検索結果を得るためには、ビットコインやモネロで購入できるクレジットを使用する必要があります。

  • https://leakpeek.com/ –  無料で検索できますが、詳細な情報を得るには有料会員になる必要があります。

  • https://nuclearleaks.com/ – 無料だが、遅く、古く、定期的に更新されていない。ナビゲーションが難しく、良い結果を得るのが難しい。

  • https://psbdmp.cc/ – データダンプサイトは、APIキーを使用して検索できます。

  • https://psbdmp.ws/ – 上と同じ

  • https://scatteredsecrets.com/ – パスワード漏洩の通知と防止サービス。1メールは無料。複数のメールアドレスを監視するには、有料プランが必要です。

  • https://services.blackkitetech.com/data-breach – は、無料でメールの検索と検証ができるプレミアムサービスのサブドメインです。詳細な結果は有料となります。

  • https://snusbase.com/ – 有料のリソースです。電子メール、IPアドレス、ユーザー名、ハッシュなどの様々なデータを検索することができます。より多くの機能を開発中です。暗号通貨による支払い。

  • https://wikileaks.org/-Leaks-.html – 最も有名なリークサイトの一つ。現在はあまりメンテナンスが行われておらず、古いリークデータを見ることができます。
Labels: ,

FIREに向けたセミナーを聞いてみる~区分で実現するには、まず1戸目の完済が重要~


先日、日本財託のオンラインセミナーに参加した。

投資の話に簡単に儲かる上手い話は無い。

個人的には「簡単に儲かる」=「ハイリスク」だと思っているので、仮にその方法で短時間に資産を100倍にしたとしても、同様に短時間で巨額な損失を被るものである。

現在、私が投資関連で信用しているのは、今回セミナーに参加した日本財託(区分投資)ウラケンさん(不動産投資全般)小次郎講師(株式投資全般)内藤忍さん(インデックス投資)といった方々である。

ちなみに日本財託は「コツコツ」や「まめまめしく」というワードが良く出てくるが、これが個人的には性に合っているようで好きである。

今回のセミナーでひとつ勉強になったことがある。

下の図は不動産投資会社と面談をする際に聞いておくべきことのサンプルであるが、「いま販売を停止しても、会社は成り立つかどうか」である。


以前、とある不動産投資会社と面談した際、「管理委託料は1,000円です」と言われ、漠然とした不安を感じたことがあった。安い分にはよいのだが、いざというときにちゃんと動けるのだろうか?

そうした不安を抱えつつも、1,000円が妥当なのかを確認する良い質問が出せず、納得せざるを経なかったことがある。

それに対する解が「いま販売を停止しても、会社は成り立つどうか」である?

つまり、販売を停止すると会社が傾くような会社は管理をオマケ的な位置づけでやっているので、長期のパートナーとして不適切ということである。

日本財託は管理手数料3,000円くらい取る気がしたが、管理委託業務の質を考えると個人的には妥当と考えている。

今回のセミナーでは、珍しく、FIREを実現した事例の紹介があった。


こういう事例は非常に参考になる。

業者が作ったイメージ図ではなくて、実績ですからね。

ちなみに、先日見たウラケン不動産の下記の動画を中古区分マンションで実現した構図になっており、個人的には大きなモチベーションアップになった。


前々から言われて分かっていることだが、まずは1戸目の完済が重要である。

バックアップ

Labels:

マリオットのポイント購入30%割引セール(2021年5月13日~6月30日)と現状のマイル整理

マリオットのポイント購入セールが開始。

今回は増量セールではなく、割引セールとなっている。

これまでの実績は下記の通り。

開始時期セール内容
2019年4月25%割引
2019年9月30%割引
2019年11月30%割引
2020年2月50%ボーナス
2020年5月60%ボーナス
2020年9月50%ボーナス
2020年11月60%ボーナス
2020年11月延長50%ボーナス(会員によっては60%)
2021年2月40%ボーナス(会員によっては50%)
2021年5月30%割引

30%割引は割引率としては最も高い部類に入る。

今回1万ポイント買うとした際の費用感は下記となる。




手ごろな感じがするが、ちょっと引っ越しを控えていて、出費を抑えたいため、今回は見送る方向で。。。

ちなみに、個人的にはホテルマイルには興味ありません。

んじゃ、何故にマリオットのポイントセールを気にするのか。

実は数少ないJALマイルの購入手段でもあるからである。

基本はマリオット:JAL=3:1となる

駄菓子菓子(だがしかし!)

マリオット60,000ポイントを交換するとボーナスポイントが発生し、JAL25,000マイルに生まれ変わる。

一般的なバイマイルのレートとしてはあまりよくないのだが、JALマイル調達の観点で考えると数少ない購入の機会なのである。

現状武漢ウイルスの蔓延により海外旅行に行く計画は全く持って立っていないのだが、マリオットのポイントは有効期限があるため、定期的に購入しないとポイントが消滅するため、継続的な購入が必要である。

ちなみに購入先は下記

https://storefront.points.com/marriott/ja-JP/buy

ポイント数を選んで氏名、会員番号、メールアドレスを入力して決済すればOKです。

ところで現状のマイルはどうなっているのだろうとふと気になったので、ここで整理してみたいと思う。

【2021/5/16時点のJALマイル状況】

・JALマイレージバンク:104,039マイル
 ※有効期限:3年
 ※21年末に東南アジア方面の特典航空券発行のため、若干減少

・モッピー:45,903ポイント(≒22,900マイル)
 ※有効期限:最後にポイント獲得した日から180日

・永久不滅ポイント:8,850ポイント(≒22,125マイル)
 ※有効期限:無し
 ※200永久不滅ポイント⇒JAL500マイル

・JREポイント:15,000ポイント(≒10,000マイル)
 ※有効期限:ポイントの最終獲得日or最終利用日から2年後の月末
 ※JRE1500ポイント⇒JAL1000マイル

・Pontaポイント:33,500ポイント(≒16,750マイル)
 ※有効期限:最終のポイント加算日から12か月後の月末

・マリオットポイント:53,000ポイント(≒17,000マイル)
 ※有効期限:ポイントの最終獲得日から2年後
 ※マリオット3ポイント⇒JAL1マイル

・WILLsCoin:44,500(≒8,900マイル)
 ※有効期限:ポイントの最終獲得日or最終利用日から1年後
 ※WILLsCoin500ポイント⇒JAL100マイル

■計:201,714マイル

JALマイレージバンクだけは有効期限3年で順次消えていくが、その他のポイントは継続的に加算することで事実上無期限化ができる。有効期限に気を付けながら各ポイントサービスを有効活用してきたい。 


Labels:

ネット常時接続機器のサイバーセキュリティを確保する「セキュリティ検証の手引き」 経済産業省が公開(転載)

cover_news111.jpg

ネット常時接続機器のサイバーセキュリティを確保する「セキュリティ検証の手引き」 経済産業省が公開

 経済産業省は2021年4月19日、ネットワークに常時接続する機器に対するセキュリティ検証の高度化を目的に、「機器のサイバーセキュリティ確保のためのセキュリティ検証の手引き」を公開した。効果的な検証手法や、検証サービス事業者と検証依頼者が実施すべき事項などをまとめている。

 出荷前の機器に対して行われるセキュリティ検証は、脆弱性の有無やセキュリティ対策の妥当性の確認手法として有効だが、検証人材の暗黙知に依存する部分が大きく、効果的な検証手法や実施すべき事項の統一的な整理がなされていなかった。

 また、セキュリティ検証サービスを利用する機器メーカーなどの検証依頼者にとっては、信頼できる検証サービス事業者を選定する基準や、適切な検証目的を設定する統一基準がないため、求める品質や結果が得にくいといった状況も生じている。

 同手引きは、こうした課題に対応し、セキュリティ検証サービスの高度化を目的にまとめられた。経済産業省では、同手引きを検証サービス事業者と検証依頼者の双方が活用することで、セキュリティ検証サービスの水準向上や適切な検証体制の構築が期待されるとしている。

検証方法を対象別にガイド 「手引き」の概要と使い方は


 検証対象は、IoT機器をはじめとするネットワークに常時接続する機器と、その関連サービス。同手引きは、これらの機器のサイバーセキュリティ確保に焦点を当てた記載が中心で、IoT機器などが接続するクラウドサーバや機器を組み合わせたシステム全体の検証は対象外となっている。

 同手引きは、本編と3点の別冊で構成されている。本編では、機器検証の目的や検証手順、検証結果の分析などの概要説明を通して、「検証サービス事業者が実施すべき事項」「検証依頼者が検証に向けて実施すべき事項や用意すべき情報、持つべき知識」「検証サービス事業者・検証依頼者間の適切なコミュニケーションのために共有すべき情報や留意すべき事項」などを記載している。

 別冊1では、検証サービス事業者が実施すべき脅威分析の手法や実施すべき検証項目、検証の流れを詳細に解説。機器全般に汎用的に活用できる内容となっており、ネットワークカメラを実例とした手法の適用事例も結果も示している。

 別冊2では、主な検証依頼者である機器メーカーが、検証を依頼するに当たって実施すべき事項や用意すべき情報などを詳細に提示。攻撃手法への対策例や、検証結果を踏まえたリスク評価などの対応方針も掲載している。

 別冊3では、高品質な検証サービスの提供に向け、検証サービス事業者で検証を担当する人材(検証人材)にフォーカスを当て、求められるスキルや知識、検証人材の育成、検証人材のキャリア設計で考慮すべきポイントなどをまとめている。

 各手引きは、経済産業省のニュースリリース「機器のサイバーセキュリティ確保のためのセキュリティ検証の手引きを取りまとめました」、から参照できる。

 同手引きの対象者は、機器検証を実施する検証サービス事業者、同事業者に対して機器検証を依頼するメーカーの開発者、検証担当者、品質保証担当者、セキュリティ担当者などの検証依頼者とされている。一部で機器のセキュリティ確保に向けて実施すべき事項についても記載しているので、メーカーの機器設計、構築の担当者、サプライチェーン管理に関わる担当者なども参照できるとしている。

Labels: ,

[Kali Linux] urlcrazy ~ニセ(類似)ドメイン調査~


ドメインのタイプミスとバリエーションを生成してテストし、タイプミスの不法占拠、URLハイジャック、フィッシング、企業スパイを検出して実行します。

特徴

  • 15種類のドメインバリアントを生成します
  • 8000以上の一般的なスペルミスを知っています
  • 宇宙線によるビットフリッピングをサポート
  • 複数のキーボードレイアウト(qwerty、azerty、qwertz、dvorak)
  • ドメインバリアントが有効かどうかを確認します
  • ドメインバリアントが使用されているかどうかをテストする
  • ドメインバリアントの人気を推定する 


b-son.netの調査例

# urlcrazy b-son.net
Warning. Ulimit may be too low. Check with `ulimit -a` and change with `ulimit -n 10000`

URLCrazy Domain Report
Domain    : b-son.net
Keyboard  : qwerty
At        : 2021-05-13 22:15:00 +0900
# Please wait. 2007 hostnames to process

Typo Type              Typo Domain                     IP               Country             NameServer                MailServer    
----------------------------------------------------------------------------------------------------------------------------------------------------------------
Original               b-son.net                       216.239.32.21    UNITED STATES (US)  dns5.name-services.com.   alt1.aspmx.l.google.com.
Character Omission     b-on.net                                                                                                     
Character Omission     b-sn.net                                                                                                     
Character Omission     b-so.net                        217.160.0.172    GERMANY (DE)        ns1087.ui-dns.org.        mx00.1and1.fr.
Character Omission     b-son.ne                                                                                                     
Character Omission     bson.net                        34.102.136.180   UNITED STATES (US)  ns76.domaincontrol.com.   ASPMX.L.GOOGLE.COM.
Character Repeat       b--son.net                                                                                                   
Character Repeat       b-sonn.net                                                                                                   
Character Repeat       b-soon.net                                                                                                   
Character Repeat       b-sson.net                                                                                                   
Character Repeat       bb-son.net                                                                                                   
Character Swap         -bson.net                                                                                                    
Character Swap         b-osn.net                                                                                                    
Character Swap         b-sno.net



Labels: ,

OSINT用にVPNを導入してみる


OSINTガイドを読み返していて、VPNの必要性を認識し、VPNを導入してみた。

VPNの必要性=匿名性の確保なのだが。。。

現時点でイけてるVPNサービスベスト5は下記の通り。

自分もこの中から一つ選んで加入してみた。

ExpressVPN:最も匿名性の高いVPNサービス。世界中に設置された安全なサーバーと、強力なノーログポリシーを提供。

NordVPN:難読化されたサーバーやノーログ・ポリシーなど、安全性の高いサービスを提供。

Private Internet Access: オンラインでの匿名性を確保するのに最適なVPN。ログを残さないという主張は法廷でも証明されており、複数の暗号設定が可能。

CyberGhost VPN: 初心者向けの使いやすいVPN。Android & iOSで安全で洗練されたアプリを提供し、外出先でもあなたの匿名性を守ります。

PrivateVPN:最も安い匿名VPN。わずか1.89ドルで、いくつかの素晴らしい機能&ノーログポリシーでプライバシーを向上させることができます。

Labels:
Location: Tingsvägen 11, 191 61 Sollentuna, スウェーデン

Windows 10は、LinuxのGUIアプリケーションをシームレスに実行できるようになりました / Windows 10 now lets you seamlessly run Linux GUI apps(転載)

wsl-space-header.jpg

Windows 10 now lets you seamlessly run Linux GUI apps

Windows 10では、マイクロソフト社がWindows Subsystem for Linux(WSL)にGUIサポートを追加したことにより、仮想マシンを使わずにLinuxのGUIアプリ(X11およびWayland)を実行できるようになりました。

"Senior Program ManagerのBrandon LeBlanc氏は、「Linux用のWindows Subsystemに、GUIアプリケーションのサポートのファーストプレビューが含まれました。」これは、お気に入りのGUIエディタ、ツール、アプリケーションを実行して、Linuxアプリケーションの開発、テスト、ビルド、実行ができるようになったことを意味します!"

マイクロソフトは、Windows 10のお客様が、PowerShellやWindows 10のコマンドプロンプトで、ELF形式のLinuxバイナリをWindowsコンピュータ上でネイティブに実行できるようにするために、WSL互換レイヤーを設計しました。

Announced during BUILD 2020

ユーザーは、少なくとも2016年から、WSLにWaylandプロトコルのサポートを追加してGUIのLinuxアプリを動作させることをマイクロソフトに求めてきたが、同社は昨年のBUILD 2020でWSLにLinuxのGUIサポートを導入する意向を発表したばかりだった。

WSLg(Windows Subsystem for Linux GUIの略)と名付けられた新機能が、Dev ChannelでInsiders向けに提供されている最新のPreview Build 21364に追加されました。

以前ご紹介したように、お気に入りのLinux GUIアプリケーションを、Linuxデスクトップで使用するようにWindowsで使用できるようになります。

"WSLgは、LinuxのGUIアプリケーションを、Windows上でネイティブで自然な感覚で使えるようにすることを目指しています" と、マイクロソフト社はGitHubページでこの機能を説明しています。

"スタートメニューに統合して起動したり、タスクバーに表示したり、alt-tab体験やWindowsとLinuxアプリケーション間でのカット&ペーストを可能にするなど、WSLgはWindowsとLinuxアプリケーションを活用したシームレスなデスクトップ体験とワークフローを実現します。"

WSLg-Architecture

Windows Developer Platform Program ManagerのCraig Loewenは、WSLgの使用例として、お気に入りのIDEを使ったLinuxプロジェクトの開発、デバッグ、テスト、オーディオや3DアクセラレーションをサポートしたLinuxアプリの使用などを紹介しました。

Loewen氏の説明によると、WSLgは "Wayland、Xサーバー、パルスオーディオサーバーなど、LinuxのGUIアプリがWindowsと通信するために必要なものをすべて含んだコンパニオンシステムディストロ "を自動的に起動します。

"GUIアプリケーションの使用が終了し、WSLディストリビューションを終了すると、システムディストロも自動的にセッションを終了します」と付け加えた。

この機能がどのように動作するか、技術的な詳細を含めて、このブログ記事で詳しく説明しています。

How to install and use WSLg

最新のInsiderプレビュービルドを実行しているWindows 10コンピュータにWSLgをインストールするための詳細な手順は、こちらでご覧いただけます。

また、マイクロソフトは、LinuxのGUIアプリをPCにインストールして起動する方法を、ステップバイステップで説明しています。インストール後は、スタートメニューやターミナルウィンドウから起動することができます。

Loewen氏が録画したWSLgの動作デモビデオを以下に埋め込みます。



Labels: ,

患者情報の管理に関するご報告とお詫び(転載)~突っ込みどころ満載のお詫び文~


患者情報の管理に関するご報告とお詫び

 このたび、当院職員が大学の規定に反して、患者様586名の個人情報(ID、氏名、性別、生年月日、入退院日、診断名、入院目的、modified Rankin Scale(生活の自立度)、JCS(意識状態))を個人用パソコンに保存し、大学で許可されていないクラウドサービス(インターネットの情報保存スペース)を利用していたところ、2021年4月25日、宅配業者を装ったフィッシングメールにより当該職員のクラウドサービス用ID及びパスワードを盗み取られ、当該患者様の個人情報を閲覧できる状態になっていたという事態が発生しました。

現在は、当該クラウドサービス用IDにセキュリティ保護が掛かるよう対策をとりましたので、第三者が本件個人情報を閲覧することはできません。また、これまでに本件個人情報が第三者に閲覧され、あるいは、不正に使用された事実は確認されていません。今後、本件個人情報が第三者に閲覧されていた等の事実が確認されることがありましたら、改めてご報告申し上げる所存でおりますが、事態の重大性に鑑み、まずは本件個人情報の対象となる患者様に事実をご報告する文書を4月28日に発送させていただきました。

このたびは、患者様はじめ皆様に多大なご迷惑とご不安を与える事態となり、誠に申し訳ございませんでした。本件個人情報には住所および電話番号は含まれていませんが、もし、患者様に不審な連絡があった場合やご不明な点などがございましたら、大変お手数ですが、下記までご連絡くださいますよう、お願い申し上げます。

当院ではこれまで全職員に対し、定期的に研修を実施し、「個人所有のパソコンに患者様の個人情報を保存してはいけないこと」、「やむを得ず保存する際には個人情報を匿名化すること」等について教育・意識啓発を行ってまいりましたが、今回、それらが実施されていませんでした。当院の情報管理体制に不備があったことを深く反省し、厳正に対処するとともに、今後、このようなことが起きないよう、再発防止策を検討し、緊急ミーティングを開催して個人情報を含む情報管理の方法を改めて周知徹底したところです。職員に対する教育・指導については、さらなる強化に努めてまいります

バックアップ

Labels: ,
Location: 日本、〒260-8677 千葉県千葉市中央区亥鼻1丁目8−1

最近はやりのSmishing、コストは1通10円(転載)

Ey65ECkWUAE6CRL.png:large

最近はやりのSmishing、もはやEmailよりもこっちが主流では?と思うほどです。乗取った端末からSMSを配信する等手法はありますが、サービスでお願いするとこんな感じよ、というものです。結構高い(日本1通10円)なぁ。バルク配信を謳っているけど:

最近はやりのSmishing、もはやEmailよりもこっちが主流では?と思うほどです。乗取った端末からSMSを配信する等手法はありますが、サービスでお願いするとこんな感じよ、というものです。結構高い(日本1通10円)なぁ。バルク配信を謳っているけど

Labels: ,

Cl0Pランサムの追跡記事 / Meet the Ransomware Gang Behind One of the Biggest Supply Chain Hacks Ever(転載)


Cl0Pランサムの追跡記事

Meet the Ransomware Gang Behind One of the Biggest Supply Chain Hacks Ever

キャット・ガルシアは、Emsisoft社のサイバーセキュリティ・リサーチャーで、仕事の一環として、Cl0pと呼ばれるランサムウェア・ギャングを追跡しています。

しかし、先月末にハッカーからメールが届いて彼女は驚いた。そのメールの中で、Cl0pのハッカーたちは、妊婦向けの衣料品店のサーバーに侵入し、彼女の電話番号、メールアドレス、自宅住所、クレジットカード情報、社会保障番号を知っていると言っていました。

"この会社から連絡がない場合、あなたとあなたの購入した商品に関する情報、およびあなたの支払い情報がダークネット上に公開されることをお知らせします。" とハッカーたちは書いています。"このお店に電話か手紙で、プライバシー保護をお願いします。"

ガルシアは、今回の事件について、"脅威となる人物が犯罪を収益化するためにどれだけのことをするかを示している "と述べています。

C10pのサイバー犯罪者たちは現在、侵入された企業の顧客を募り、自分たちがハッキングした企業への督促に協力してもらおうとしています。これは、被害者から金銭を搾取しようとするハッキンググループの最新の動きであり、2021年初頭にCl0pが最も興味深く、恐ろしいハッキンググループの一つとなった理由の一つでもあります。

"ランサムウェアの追跡を専門とするEmsisoft社のセキュリティ・リサーチャーであるBrett Callow氏は、電話で次のように述べています。「ランサムウェアのグループが、顧客の連絡先情報を使って電子メールで一斉に連絡を取るというのは、私の記憶では初めてのことです。

"In our team there is no me, there is only us, as a rule, most people are interchangeable."

Cl0pを追跡したセキュリティ研究者は、ブログやMotherboardへの寄稿で、このグループを「冷酷」「洗練された革新的」「よく組織された構造」「非常に活発で、ほとんど疲れを知らない」という「犯罪企業」と表現しています。

このグループの最近の被害者には、石油大手のシェル、セキュリティ企業のクオリス、米国の銀行フラッグスター、話題のグローバル法律事務所ジョーンズ・デイ、スタンフォード大学、カリフォルニア大学などが含まれており、ファイル転送アプリケーションを提供しているアクセリオンに対するサプライチェーンハッキングの被害者となっています。

このグループを追跡している複数のセキュリティ企業によると、「TA505」や「FIN11」と呼ばれる「Cl0p」は、少なくとも3年前から存在していました。しかし、このハッカーたちは最近になって、何十社もの企業の機密データの宝庫にアクセスできるようになったことで、大きな話題となり、注目を集めています。

Accellion社によると、このハッカーたちは、世界中の約300社で利用されているファイル共有サービス「Accellion File Transfer Appliance(FTA)」に対するサプライチェーン攻撃の恩人であり、また犯人であるという見方もあります。セキュリティ研究者たちは、Cl0pがAccellion社を危険にさらしたハッキンググループなのか、それとも元々のハッキンググループがアクセス権を与えた後に、盗まれたデータを収益化しているグループなのか、まだはっきりとは分かっていません。

マザーボードはメールでの会話の中で、Accellion社のサプライチェーンハッキングの背後にいるのは自分たちなのか、そしてどのようにそれを行ったのかをハッカーたちに尋ねました。

"Yes, Somehow" とハッカーたちは答えました。

Cl0pは、ウェブサイト「CL0P^_- LEAKS」で、企業名と盗まれたデータのサンプルを公開していました。韓国のサイバーセキュリティ企業S2WLABの一部門であるTalonの研究者が電子メールで述べているように、「ダークウェブ上のデータ流出ページで削除されている企業も見受けられる」とのことで、おそらく身代金を支払ったためだと思われる。

先週の時点でCL0P^_- LEAKSには52社が登録されている。これらは、ハッカーが要求した身代金を支払っていない企業と推測される。このグループを研究しているFox-IT社の研究者、Antonis Terefos氏は、このグループが150社以上の企業をハッキングしていると推定している。


Cl0pは、被害者の名前、社会保障番号、自宅住所、金融機関の書類、パスポート情報などの機密データをウェブサイトに掲載し、自分たちが手にしているデータや、被害者がお金を払わなければ何ができるのかを示そうと、ハッキングを公表しています。

Accellion社の広報担当者は、今回のハッキングの規模を軽視し、「FTAの全顧客約300社のうち、攻撃を受けたのは100社未満である。このうち、重要なデータが盗まれたと思われるのは25社以下である」と述べています。

Cl0pは通常、侵害された企業に直接メールで連絡を取り、盗んだデータが自社のチャットポータルに流出するのを避けるために、支払いの交渉を持ちかけます。企業が同意してすぐに支払えば、ハッカーはデータを漏らさず、企業名もウェブサイトに掲載しません。時には、支払い後に機密データを削除したことを証明するビデオを見せることもあります。Cl0pを追跡している複数のセキュリティ研究者によると、企業が関与を拒否した場合、ハッカーはデータの漏洩を開始します。 

"私たちが見た被害者とのコミュニケーションでは、彼らは比較的プロフェッショナルで敬意を払っています。だから、彼らは割引を提供しているのです」と、FireEye社の金融犯罪分析チームのマネージャーであるキンバリー・グッディは、Motherboard社に電話で語った。


Cl0pは、いくつかの大きな被害者を出しさえすれば、いいお金を稼げることを知っているようです。

2020年末にFireEyeが観測したあるケースでは、Cl0pのハッカーは被害者に2000万ドルを要求しました。交渉の結果、被害企業は600万ドルまで値下げすることができたという。韓国のセキュリティ企業S2WLABは、1月に220ビットコインを支払う被害者を目撃したと述べており、これはFireEyeが観測したのと同じケースと思われる。

別のケースでは、ハッカーが別の被害者に、合意に達するまでの期間に応じた割引を提示していました。グッディによると、3〜4日以内なら30%、10日以内なら20%、20日以内なら10%の割引とのこと。

しかし、ハッカーたちはいくつかのミスを犯しています。Cl0pは、被害者とのコミュニケーションに、パスワードで保護されていない独自のチャットポータルを使うことがあります。グッディによると、そのために研究者や、URLを推測できる人なら誰でも交渉の様子を見ることができるとのことです。

Cl0pは、Netwalker、REvil、CONTIなどの他のランサムウェアグループとは異なり、アフィリエイトプログラムを運営していません。つまり、彼らは自分たちのマルウェアを他のサイバー犯罪者と共有して、その収益の一部を得ることはありません。Cl0pは、ハッキング活動の最初から最後までを運営しているようで、そのため収益の規模が小さくなっているとGoody氏は指摘しています。

"彼らは、ゆっくりとした着実なペースに満足しています。つまり、成功すれば何百万ドルも要求される彼らが、こうした妥協から大金を稼げない可能性がないわけではないのです」とグッディは言います。"彼らは、他の俳優たちのように、必ずしも貪欲ではないのです。

"見知らぬ人にいくら稼いでいるかを尋ねるのは下品だ」とハッカーは言っています。

また、ハッカーたちは自分たちのことをあまり語らなかった。

"私たちのチームには、私は存在せず、私たちだけが存在します。原則として、ほとんどの人が入れ替わります。" 彼らは、メールインタビューでこう書いています。"チームには何人かの人がいて、数年前から存在しています。"

ハッカーの身元は不明ですが、セキュリティ研究者の間では、ロシアと旧ソ連諸国で形成されている独立国家共同体(CIS)の一部の国を拠点としている可能性が高いと考えられています。

"It's only a matter of time before they make a mistake which will help [law enforcement to identify its members."

Goody氏によると、Cl0pのランサムウェアにはロシア語のメタデータが含まれており、ハッカーたちはロシアの祝日に活動を停止するようです。さらに、Cl0pのランサムウェアは、感染したコンピュータがロシア語の文字セットやCIS諸国のキーボードレイアウトを使用しているかどうかをチェックするようにプログラムされているといいます。そのような場合、ランサムウェアは自分自身を削除します。

これは、自国民に影響を与えない限りサイバー犯罪を容認すると考えられているロシアや他の東欧諸国の当局の目に留まらないようにするための、真の意味での戦略なのです。このような対策にもかかわらず、Cl0pは少し人気が出すぎているのではないかという意見もあります。

"「彼らは注目されすぎていて、良いことではありません。去年は誰も興味を示さなかった。去年は誰も興味を持っていなかったが、今では多くの報道がなされ、(法執行機関による)訴訟も続いている」と、報道機関への取材許可を得ていないため匿名を希望したあるセキュリティ研究者はMotherboardにメールで語っています。"他のランサムウェアギャングのように、注目されないようにブランドを変更するかもしれません。また、独立国家共同体(Commonwealth of Independent States)のような安全な場所に住んでいるため、活動を続けているのかもしれません。願わくば、ある朝、彼らのドアが蹴破られることを...」。

Terefos氏も同じ意見です。

「法執行機関がメンバーを特定するのに役立つようなミスを犯すのは時間の問題だ」と彼は言う。

Labels: ,
登録: 投稿 (Atom)