MaltegoとAbuseIPDBの連携 / The Power of AbuseIPDB Is Now in Maltego（転載）

The Power of AbuseIPDB Is Now in Maltego:

Maltegoでは、お客様の調査に最適なデータソースをお届けするために努力しています。今日は、AbuseIPDBとの新しい統合を発表します。AbuseIPDBの貴重なデータセットを、世界中のMaltego調査員が容易に利用できるようになります。

この記事では、AbuseIPDBのデータと、疑わしいIPアドレスに関する調査を迅速に行うためのMaltego Transformsの使用方法についてご紹介します。

Table of Content

AbuseIPDBとは？

AbuseIPDBは、オンラインでの悪質な活動に関連したIPアドレスの中央ブラックリストを提供することで、ハッカーやスパマー、その他の悪質な活動のインターネット上での広がりに対抗することを目的としたプロジェクトです。

AbuseIPDBは、これらの悪質なIPアドレスを追跡するための共同作業です。AbuseIPDBは、ウェブ上のユーザーや組織が、自分のサイトやサーバー上の悪質なトラフィックを報告することで成り立っています。

疑わしいトラフィックを検出してAbuseIPDBに報告するユーザーからは、毎日何千ものレポートが作成されています。

AbuseIPDBのようなOSINTリソースを参照することで、疑惑を確認したり、調査中に裏付けを得ることができます。

MaltegoでAbuseIPDB変換を使い始めるには？

Maltego Desktop ClientにTransform HubからTransformをインストールし、AbuseIPDBのAPIキーを登録するだけで、新しい統合機能をご利用いただけます。

ここでアカウントを登録すると、1日に最大1000回のクエリを実行できる無料のAPIキーを受け取ることができます。API クエリを使い切ってしまうと、Transform Output ウィンドウに以下のような警告メッセージが表示されます。

AbuseIPDBから得られる情報

当社のAbuseIPDB Transformsを使用して、IPv4およびIPv6アドレスに関する以下の情報を収集することができます。

Abuse score
IP usage type
Hostname associated with the IP
Country
ISP Details, and more.

Abuse Score

Check Abuse Score [AbuseIPDB] Transform を使用すると、IP の Abuse Score (Abuse Confidence) を取得できます。これは、特定のIPが悪意のあるものであるとAbuseIPDBがどれだけ確信しているかを示す評価（0～100のスケール）です。

Hostname

IPに関連付けられたホスト名。

Report

これは、IPアドレスに対する実際のAbuseIPDBレポートです。国旗のオーバーレイには、報告者のIPアドレスに関連する国が反映されています。

Usage Type

データセンター、ウェブホスティング、トランジット、政府、商業など、IPアドレスの使用タイプ。AbuseIPDBで記録されているすべての使用タイプのリストは、こちらでご覧いただけます。

AbuseIPDBのデータをMaltegoに取り込むことで、特定のIPアドレスが悪意のあるものであるかどうか、また、そのIPから生成されたトラフィックを見ているのは自分だけではないかどうかを確認する時間を短縮することができます。

Maltegoから直接AbuseIPDBに疑わしいIPを報告

AbuseIPDBのデータを調査に利用するだけでなく、Maltegoから直接疑わしいIPを送信することで、AbuseIPDBの活動に貢献することができます。

必要なのは、MaltegoでIP Entityを選択し、Report IP Address [AbuseIPDB] Transformを実行することだけです。

Maltegoは、ポップアップウィンドウを開き、カテゴリーやレポートを提出する理由を説明するコメントなど、いくつかの情報を入力する必要があります。設定のポップアップでは、APIに報告する不正行為の種類を指定したり、レポートの短いテキスト説明を入力したりすることができます。

米ミズーリ州Joplin市のオンラインサービスがサイバー攻撃で停止 / Cyber attack shuts down City of Joplin’s online services（転載）

Cyber attack shuts down City of Joplin’s online services#cyber #cyberattack #Joplin #ransomware https://lnkd.in/ePSTjWp:

ジョプリン市のコンピュータシステムが停止しており、オンラインサービスが利用できなくなっています。市のスタッフがこの問題に取り組んでいる間、以下のサービスが変更になりますのでご了承ください。

インターネットベースのシステムのため、市の電話は使えません。なお、9-1-1システムは引き続きご利用いただけます。

公共料金（ゴミや下水道）や裁判所の罰金のオンライン支払いはできません。市民は小切手または現金で直接支払いをすることができます。

市立裁判所は、ケースマネージメント業務を行うことができません。

プランニング＆ゾーニング - フロントカウンターは営業しています。フロントカウンターで申請を受け付けています。支払いには現金と小切手を受け付けます。カードはご遠慮ください。

建築課 - すべてのサービスをフロントカウンターで提供しています。建築許可証の発行はフロントカウンターで可能です。現金または小切手でのお支払いが可能です。電話が使えないため、検査の予約はフロントカウンターでのみ可能です。

Code Enforcement（コードエンフォースメント） - フロントカウンターでサービスを提供し、苦情を受け付けます。電話やSee Click Fixによるサービスは提供できません。

保健所 - 伝染病の症例調査は限られている。その他の限られたサービスとしては、WICサービス、一時的なメディケイド申請、バイタルレコード、一部の予防接種（COVIDはまだ利用可能）、動物管理の派遣などがあります。犬に噛まれたなどの緊急事態が発生した場合は、9-1-1に電話してください。

Parks and Recreation-登録や支払いのためのオンラインサービスは利用できません。ジョプリン・アスレチック・コンプレックスで直接手続きをしてください。シファーデッカー・プールは営業しており、現金のみの取り扱いとなります。ゴルフコースの運営に変更はありません。

ジョプリン市営空港は引き続き運営されており、影響はありません。

中国に不正輸出未遂　精密機械会社を書類送検～国賊か！？～

中国に不正輸出未遂　精密機械会社を書類送検 sankei.com/article/202107…:

軍用ドローンなどの部品に転用可能なモーターを中国企業に不正輸出しようとしたとして、警視庁公安部は６日、外為法違反（無許可輸出未遂）の疑いで、東京都大田区の精密機械会社「利根川精工」と男性社長（９０）を書類送検した。過去に同種モーターが中東に輸出され、実際に軍事利用されていたとみられ、警視庁は詳しく調べている。

書類送検容疑は昨年６月１５日、経済産業相から輸出許可の申請を出すよう通知を受けていたのに申請せず、「サーボモーター」１５０個（４９５万円相当）を輸出しようとしたとしている。

成田空港から空輸で輸出しようとしたが、東京税関が発見し、未遂だった。

サーボモーターは、ラジコンカーや産業用ロボットのアーム部分、ドローンにも使われている。同社製モーターは昨年１月に公表された国連の報告書で「イラン製の偵察用ドローンに使われた」などと指摘されていた。

利根川精工は、昭和３７年創業の有限会社。航空機部品の製造販売や産業用ロボットの製造販売、制御用電子機器の製造販売などを手がけている。

身代金を支払うと、8割は2次攻撃を受ける / 80% 支付赎金的企业会遭到二次勒索攻击其中 46% 来自同一黑客（転載）～テロに屈しちゃダメ絶対～

80% 支付赎金的企业会遭到二次勒索攻击其中 46% 来自同一黑客:

ランサムウェア攻撃を受けた後、多くの企業はデータ復旧を待てず、一刻も早く業務を再開したいという理由から、ハッカーに身代金を支払うことを選択しますが、身代金を支払うことで、ハッカーの恐喝対象から外れることになるのでしょうか。新しいレポートによると、被害者の約半数が同じハッカーに再び狙われるとのことです。

市場調査会社のCensuswide社が発表した新しいデータによると、身代金の支払いを選択した組織の約80％が2回目の攻撃を受け、そのうち46％は同じグループからの攻撃と考えられます。ランサムウェア事件で数百万ドルを支払った企業が、暗号通貨を渡してから2週間以内に同じハッカーから再び攻撃を受けました。

身代金を支払って暗号化されたファイルにアクセスできるようになっても、問題が発生することが多いのです。身代金を支払った人のうち46％は一部のデータが破損していることが判明し、51％はデータを失うことなくアクセスできるようになりましたが、3％はデータがまったく戻ってきませんでした。

ランサムウェアの平均支払額は、支払を拒否する被害者が増えているため、減少しています。これらの企業の収益に影響を与えているのは、膨大な暗号通貨の支払いだけではありません。調査参加者の53％が、ランサムウェアの公開により自社のブランドに悪影響を受けたと回答し、66％が攻撃の結果、収益を失ったと回答しました。

内部機密データがDarkwebに流出した被害企業リスト / Now, it's 2,500.There are 2,500 organizations affected by the double extortion ransomware attacks.Internal sensitive data from the affected organisations have been leaked to the Darkweb.Let's look at the list of affected organizations.（転載）

Now, it's 2,500. There are 2,500 organizations affected by the double extortion ransomware attacks. Internal sensitive data from the affected organisations have been leaked to the Darkweb. Let's look at the list of affected organizations. => [report] https://bit.ly/2YwotlM:

Backup

ランサムウェアに対抗するための3つの重要なステップ / 3 critical steps to protecting against ransomware（転載）～ランサムウェア攻撃はテロ行為～

3 critical steps to protecting against ransomware

ランサムウェアの攻撃は、米国政府がテロ行為として扱うほどにエスカレートしている。これは決して過剰反応ではありません。これらの攻撃は、地方自治体、法執行機関、教育機関、医療ネットワーク、重要インフラなどに大規模な業務上の混乱をもたらしています。このような攻撃と無縁の業界、組織、個人はありません。

ランサムウェアは新しい脅威ではありませんが、より破壊的な生き物に進化しています。犯罪者たちは、スキルセットを拡大し、戦術を洗練させて、二重の恐喝スキームを生み出しました。犯罪者は、攻撃の前に行う調査に基づいて身代金を要求します。被害者から機密データを盗み出し、そのデータを他の犯罪者に公開したり販売したりしないという約束と引き換えに支払いを要求します。犯罪者は信用できないので、支払いを済ませた被害者は、数ヶ月後に連絡を受け、盗んだデータを秘密にしておくために再度支払いを要求されることが多い。ランサムウェアの犯罪者の中には、支払いに応じても、データを売ってしまう者もいます。

身代金を支払えば、暗号化されたデータがすべて復元されるという保証は、これまで一度もありませんでした。被害者は、ランサムウェアの攻撃で盗まれたデータは永遠に危険な状態にあることを理解する必要があります。犯罪者に罪を償う理由はありません。

ランサムウェアから企業を守るには

ランサムウェアの攻撃から企業を守るためには、データを保護することが重要です。これを3つの重点分野に分けて考えることができます。

認証情報の保護：フィッシングはランサムウェアの主要な攻撃経路であるため、クレデンシャル・セキュリティを意識した文化を維持する必要があります。電子メールのセキュリティについてユーザを教育するためのプロセスを開発し、異常な活動を識別してフラグを立てることができるアンチフィッシング技術を導入します。攻撃者が認証情報にアクセスできなければ、フィッシングからランサムウェアへと攻撃をエスカレートさせることは非常に困難になります。
Webアプリケーションの保護：ファイル共有サービス、ウェブフォーム、eコマースサイトなどのオンラインアプリケーションは、攻撃者によって危険にさらされる可能性があります。Webアプリケーションは、ユーザーインターフェイスやAPIインターフェイスを通じて攻撃されます。多くの場合、これらの攻撃には、クレデンシャルスタッフィング、ブルートフォース攻撃、OWASP 脆弱性などが含まれます。アプリケーションが侵害されると、攻撃者はランサムウェアやその他のマルウェアをシステムに侵入させます。これは、アプリケーションのユーザーだけでなく、ネットワークにも感染する可能性があります。
データのバックアップ：以下の基準を満たすバックアップを取ることが重要です。

包括的 - ネットワーク上のすべてのデータの場所を把握する必要があります。これには、設定ファイル、ユーザー・ドキュメント、従業員や顧客などに関するアーカイブ・データが含まれます。これらのデータはすべてバックアップし、現在使用しているデータは少なくとも1日1回はバックアップする必要があります。
耐障害性 - ランサムウェアがネットワークを攻撃すると、データが暗号化され、バックアップシステムを無効にしてバックアップファイルを破壊しようとします。最も安全な方法は、無制限のストレージと強力な検索・復元機能を提供するクラウドにデータを複製するバックアップシステムを導入することです。Office 365ユーザーは、SharePoint、Teams、Exchange、およびOneDriveのデータを保護するために、サードパーティのクラウドバックアップを追加する必要があります。

自社に対するランサムウェアの攻撃があることを想定する必要があります。攻撃が成功した場合、身代金を支払わないためのプランを用意する必要があります。

サイバーセキュリティお助け隊（令和2年度中小企業向けサイバーセキュリティ対策支援体制構築事業）の報告書（転載）～中小企業の支払い可能なセキュリティ予算は月1万円～

サイバーセキュリティお助け隊（令和2年度中小企業向けサイバーセキュリティ対策支援体制構築事業）の報告書について

2019年度（令和元年度）に引き続き2020年度（令和2年度）においても、中小企業のサイバーセキュリティ対策を支援する仕組みの構築を目的とし、全国13地域・2産業分野の中小企業を対象に、損害保険会社、ITベンダー、セキュリティ企業、地域の団体等が実施体制を組み、実証事業（サイバーセキュリティお助け隊）を実施しました。

　本事業の実施を通じて、中小企業のセキュリティ対策の促進や意識喚起、攻撃実態や対策ニーズ把握を行い、中小企業等に必要なセキュリティ対策の内容（対応範囲や費用等）、マーケティング方法や支援体制、中小企業等向けのサイバーセキュリティ対策の一つとして提供するセキュリティ簡易保険サービスのあり方、実証終了後のサービス提供の可能性等の検討を行い、報告書にまとめました。

■中小企業のセイバーセキュリティ対策の実態

本実証事業においても、2019年度事業と同様に、業種や規模を問わずサイバー攻撃の脅威にさらされており、ウイルス対策ソフト等の既存対策だけでは防ぎきれていない実態が明らかとなった。
インシデント対応ほか技術的支援は、2020年度は新型コロナウィルス感染症拡大の影響もあり、当初からリモートによる管理可能なサービス提供が多く行われたこともあり、概ねリモートによる支援対応となった。
インターネット上に公開しているホームページやサービスサイト等の脆弱性診断において、対象企業のほとんどで何らかの脆弱性（弱点）が発見された。加えて、そのうち概ね2割の企業においては重大なインシデントに繋がる可能性があると診断された。
セキュリティ対策上の課題としては、専門人材の不足、社員や専門人材に対する教育がなされていない、費用を捻出することが困難といった声が寄せられた。
セキュリティ対策について予算は全くかけていない、あるいは最低限のみ対策費用をかけているという企業が多かった。セキュリティ対策に支払可能な金額としては、月額1万円程度と回答する中小企業が多かった。

報告書バックアップ