ランサムウェアCONTIについてのアラート / Alert (AA21-265A)：Conti Ransomware（転載）

 

Alert (AA21-265A)

要約

注：このアラートは、MITRE Adversarial Tactics, Techniques, and Common Knowledge (ATT&CK®) framework, version 9 を使用しています。参照されているすべての脅威行為者の戦術と技術については、ATT&CK for Enterpriseを参照してください。

Cybersecurity and Infrastructure Security Agency（CISA）とFederal Bureau of Investigation（FBI）は、米国および国際的な組織を対象とした400件以上の攻撃において、ランサムウェア「Conti」の使用が増加していることを確認しました。(FBI Flash: Conti Ransomware Attacks Impact Healthcare and First Responder Networksを参照)。典型的なContiランサムウェアの攻撃では、悪意のあるサイバーアクターがファイルを盗み、サーバーやワークステーションを暗号化して、身代金の支払いを要求します。

Contiランサムウェアからシステムを保護するために、CISA、FBI、NSAは、本アドバイザリに記載されている緩和策を実施することを推奨します。この緩和策には、多要素認証（MFA）の義務付け、ネットワークセグメンテーションの実施、オペレーティングシステムとソフトウェアの最新化などが含まれます。

技術詳細

Contiは、RaaS（ransomware-as-a-service）モデルのランサムウェアの亜種と考えられていますが、その構造には、一般的なアフィリエイトモデルとは異なるバリエーションがあります。Contiの開発者は、アフィリエイトのサイバーアクターが使用する収益の一定割合ではなく、ランサムウェアのデプロイ担当者に賃金を支払い、攻撃が成功した場合には収益の一部を受け取っていると考えられます。

コンティのアクターは、多くの場合、ネットワークへの最初のアクセス[TA0001]を通じて得ることができます。

• 悪意のある添付ファイル[T1566.001]や悪意のあるリンク[T1566.002]を含むカスタマイズされた電子メールを使用したスピアフィッシングキャンペーン。
  
  
• 悪意のあるWordの添付ファイルには、TrickBotやIcedID、Cobalt Strikeなどの他のマルウェアをダウンロードしたり、ドロップしたりするためのスクリプトが埋め込まれていることが多く、最終的にはランサムウェア「Conti」を展開することを目的とした、横方向への移動や攻撃ライフサイクルの後半の段階で使用されます。
  
  
• リモートデスクトッププロトコル（RDP）の認証情報の盗難または脆弱性[T1078]
• 電話（ソーシャルエンジニアリング）
• 検索エンジン最適化で宣伝された偽物のソフトウェア。
• その他のマルウェア配布ネットワーク（ZLoaderなど）、等
• 外部資産に共通する脆弱性

実行段階[TA0002]では、ウイルス対策エンジンが作動するリスクを減らすために、より攻撃的なペイロードを使用する前にgetuidペイロードを実行します。CISAとFBIは、Contiのアクターが侵入テストツールであるRouter Scanを使用して、ウェブ・インターフェースを備えたルータ、カメラ、ネットワーク接続ストレージ・デバイスを悪意を持ってスキャンし、ブルートフォース攻撃[T1110]を行っているのを確認しています。さらに、アクターはKerberos攻撃[T1558.003]を使用してAdminハッシュを取得し、ブルートフォース攻撃を行おうとしています。

Contiのアクターは、被害者のネットワーク上で永続性を維持するために、正規のリモート・モニタリング・管理ソフトウェアやリモート・デスクトップ・ソフトウェアをバックドアとして悪用することが知られています[TA0003]。アクターは、被害者のネットワーク上ですでに利用可能なツールを使用し、必要に応じてWindows SysinternalsやMimikatzなどのツールを追加して、ユーザーのハッシュや平文の認証情報を取得します。これにより、アクターはドメイン内で特権を拡大したり[TA0004]、その他のポストエクスプロイトやラテラル・ムーブメント[TA0008]のタスクを実行することができます。いくつかのケースでは、行為者は侵入後のタスクを実行するためにTrickBotマルウェアを使用します。

最近流出した脅威アクターの「プレイブック」によると、Conti社のアクターは、以下のようなパッチが適用されていない資産の脆弱性を利用して、特権を拡大し[TA0004]、被害者のネットワークを横に移動する[TA0008]こともあります。

• 2017年 Microsoft Windows Server Message Block 1.0サーバの脆弱性。
• Windows Print spooler サービスにおける「PrintNightmare」の脆弱性（CVE-2021-34527）
• Microsoft Active Directory Domain Controller システムにおける「Zerologon」の脆弱性（CVE-2020-1472）。

このプレイブックと一緒に流出した資料には、コンティ社のアクターがコマンド＆コントロール（C2）サーバーとの通信に使用していた4つのCobalt Strikeサーバーのインターネットプロトコル（IP）アドレスが記載されています。

• 162.244.80[.]235
• 85.93.88[.]165
• 185.141.63[.]120
• 82.118.21[.]1

CISAとFBIは、Contiのアクターが被害者ごとに異なるCobalt StrikeサーバのIPアドレスを使用しているのを確認しています。

Contiは、オープンソースのコマンドライン・プログラム「Rclone」を使用してデータを流出させます[TA0010]。また、被害者の機密データを盗み出して暗号化した後、暗号化されたデータを公開するために身代金の支払いを要求し[T1486]、身代金が支払われない場合はデータを公開すると被害者を脅すという二重の恐喝手法を採用しています。

MITRE ATT&CKテクニック

Contiランサムウェアは、表1に示したATT&CK技術を使用しています。

Table 1: Conti ATT&CK techniques for enterprise

Initial Access

Technique Title	ID	Use
Valid Accounts	T1078	Conti actors have been observed gaining unauthorized access to victim networks through stolen Remote Desktop Protocol (RDP) credentials.
Phishing: Spearphishing Attachment	T1566.001	Conti ransomware can be delivered using TrickBot malware, which is known to use an email with an Excel sheet containing a malicious macro to deploy the malware.
Phishing: Spearphishing Link	T1566.002	Conti ransomware can be delivered using TrickBot, which has been delivered via malicious links in phishing emails.

Execution

Technique Title	ID	Use
Command and Scripting Interpreter: Windows Command Shell	T1059.003	Conti ransomware can utilize command line options to allow an attacker control over how it scans and encrypts files.
Native Application Programming Interface (API)	T1106	Conti ransomware has used API calls during execution.

Persistence

Technique Title	ID	Use
Valid Accounts	T1078	Conti actors have been observed gaining unauthorized access to victim networks through stolen RDP credentials.
External Remote Services	T1133	Adversaries may leverage external-facing remote services to initially access and/or persist within a network. Remote services such as virtual private networks (VPNs), Citrix, and other access mechanisms allow users to connect to internal enterprise network resources from external locations. There are often remote service gateways that manage connections and credential authentication for these services. Services such as Windows Remote Management can also be used externally.

Privilege Escalation

Technique Title	ID	Use
Process Injection: Dynamic-link Library Injection	T1055.001	Conti ransomware has loaded an encrypted dynamic-link library (DLL) into memory and then executes it.

Defense Evasion

Technique Title	ID	Use
Obfuscated Files or Information	T1027	Conti ransomware has encrypted DLLs and used obfuscation to hide Windows API calls.
Process Injection: Dynamic-link Library Injection	T1055.001	Conti ransomware has loaded an encrypted DLL into memory and then executes it.
Deobfuscate/Decode Files or Information	T1140	Conti ransomware has decrypted its payload using a hardcoded AES-256 key.

Credential Access

Technique Title	ID	Use
Brute Force	T1110	Conti actors use legitimate tools to maliciously scan for and brute force routers, cameras, and network-attached storage devices with web interfaces.
Steal or Forge Kerberos Tickets: Kerberoasting	T1558.003	Conti actors use Kerberos attacks to attempt to get the Admin hash.
System Network Configuration Discovery	T1016	Conti ransomware can retrieve the ARP cache from the local system by using the GetIpNetTable() API call and check to ensure IP addresses it connects to are for local, non-internet systems.
System Network Connections Discovery	T1049	Conti ransomware can enumerate routine network connections from a compromised host.
Process Discovery	T1057	Conti ransomware can enumerate through all open processes to search for any that have the string sql in their process name.
File and Directory Discovery	T1083	Conti ransomware can discover files on a local system.
Network Share Discovery	T1135	Conti ransomware can enumerate remote open server message block (SMB) network shares using NetShareEnum().

Lateral Movement

Technique Title	ID	Use
Remote Services: SMB/Windows Admin Shares	T1021.002	Conti ransomware can spread via SMB and encrypts files on different hosts, potentially compromising an entire network.
Taint Shared Content	T1080	Conti ransomware can spread itself by infecting other remote machines via network shared drives.

Impact

Technique Title	ID	Use
Data Encrypted for Impact	T1486	Conti ransomware can use CreateIoCompletionPort(), PostQueuedCompletionStatus(), and GetQueuedCompletionPort() to rapidly encrypt files, excluding those with the extensions of .exe, .dll, and .lnk. It has used a different AES-256 encryption key per file with a bundled RAS-4096 public encryption key that is unique for each victim. Conti ransomware can use "Windows Restart Manager" to ensure files are unlocked and open for encryption.
Service Stop	T1489	Conti ransomware can stop up to 146 Windows services related to security, backup, database, and email solutions through the use of net stop.
Inhibit System Recovery	T1490	Conti ransomware can delete Windows Volume Shadow Copies using vssadmin.

対策

CISA、FBI、NSAは、ランサムウェア「Conti」による攻撃の危険性を低減するために、ネットワーク防御者が以下の緩和策を適用することを推奨しています。

多要素認証を使用する

• 外部からのネットワークへのリモートアクセスに多要素認証を要求する。

ネットワークセグメンテーションの導入とトラフィックのフィルタリング

• ランサムウェアの拡散を抑えるために、ネットワークと機能の間に強固なネットワークセグメンテーションを導入・確保する。ネットワーク間の無秩序な通信を排除する非武装地帯を定義する。
  
  
• ネットワークトラフィックをフィルタリングして、既知の悪意のあるIPアドレスとの出入りを禁止する。
  
  
• フィッシングメールがエンドユーザに届かないよう、強力なスパムフィルタを導入する。ユーザーが悪意のあるウェブサイトにアクセスしたり、悪意のある添付ファイルを開いたりしないようにするためのユーザートレーニングプログラムを導入する。実行可能ファイルを含む電子メールをフィルタリングし、エンドユーザに届かないようにする。
  
  
• ユーザーが悪意のあるWebサイトにアクセスするのを防ぐために、URLブロックリストや許可リストを導入する。

脆弱性をスキャンし、ソフトウェアを更新する。

• アンチウイルス／アンチマルウェアプログラムを設定し、最新のシグネチャを使用してネットワーク資産の定期的なスキャンを行う。
  
  
• ネットワーク資産のソフトウェア、オペレーティング・システム、アプリケーション、ファームウェアを適時にアップグレードする。一元化されたパッチ管理システムの使用を検討する。

不要なアプリケーションを削除し、コントロールを適用する。

• 日常業務に必要ないと思われるアプリケーションを削除する。コンティの脅威アクターは、リモート監視・管理ソフトウェアやリモートデスクトップソフトウェアアプリケーションなどの正規のアプリケーションを利用して、組織の企業を悪意を持って搾取します。
  
  
• 不正なソフトウェア、特にリモートデスクトップやリモート監視・管理ソフトウェアを調査すること。
  
  
• アプリケーションの許可制を導入し、組織のセキュリティポリシーで認められたプログラムの実行のみをシステムに許可する。ソフトウェア制限ポリシー（SRP）やその他のコントロールを導入し、一般的なインターネットブラウザの一時フォルダや圧縮/解凍プログラムなど、ランサムウェアがよく使用する場所からプログラムが実行されないようにする。
  
  
• 電子メールで送信されるMicrosoft Officeファイルのマクロスクリプトを無効にして実行を防止する。電子メールで送信されたMicrosoft Officeファイルを開く際には、Microsoft Officeスイートのフルアプリケーションではなく、Office Viewerソフトウェアの使用を検討してください。
  
  
• CISAとオーストラリア、カナダ、ニュージーランド、イギリスのサイバーセキュリティ当局が共同で作成したアラート「Publicly Available Tools Seen in Cyber Incidents Worldwide」では、一般に公開されているツールが悪意を持って使用されていないかどうかを確認するためのガイダンスを掲載しています。

エンドポイントおよび検出対応ツールの導入 

• エンドポイントおよび検知対応ツールは、エンドポイントのセキュリティ状態を高度に可視化し、悪意あるサイバーアクターから効果的に保護することができます。

.onionアドレスを調査すると実IPアドレスをお漏らししていることがあります（転載）

.onionアドレスを調査すると実IPアドレスをお漏らししていることがあります。Apacheの設定ミスで/server-statusにアクセスするとIPアドレスが見えるだとか、

続き→marshmallow-qa.com/messages/aaa64…

ダークウェブ界の大物、痛恨のミス　見えてきた“正体”

.onionアドレスからIPが露呈するケース。

1.onionサイト内のJavaScriptにうっかり記載して漏洩する可能性

2.フォーラムのヘッダから漏えいする可能性

3.サイトのソースコードから漏えいの可能性

4.その他サーバの設定ミスに起因して漏洩する可能性

Apacheの設定ミスで/server-statusにアクセスするとIPアドレスが見えるだとか、ポート開けっぱにしていてshodanやcensysにスキャンされてひっかかるなど、、、

2019年～2021年のランサムウェアの被害統計。累計105ヵ国3,338組織が被害を受け、国別ランキングで日本は10位にランクイン / [Statistics on countries affected by darkweb ransomware, 2019.05.01~2021.10.06] There are 3,338 affected organizations in 105 countries.（転載）

[Statistics on countries affected by darkweb ransomware, 2019.05.01~2021.10.06] There are 3,338 affected organizations in 105 countries. [TOP 10] 1. USA 2. Canada 3. France 4. UK 5. Germany 6. Italy 7. Australia 8. Spain 9. Brazil 10. Japan:

[TOP 10]
1. USA
2. Canada
3. France
4. UK
5. Germany
6. Italy
7. Australia
8. Spain
9. Brazil
10. Japan

信ぴょう性が疑わしい都道府県魅力度ランキング2021年版発表。茨城県が最下に返り咲く～お仕着せがましいランキングにややうんざり～

 

いろいろと信ぴょう性が疑わしい「都道府県魅力度ランキング」

その最新版である「都道府県魅力度ランキング2021」が10月9日、発表された。前年まで12年連続1位と圧倒的な強さを誇る北海道は、トップを守りきれるのだろうか。また、前年は7年連続最下位から脱出した茨城県。果たして今年の順位は……。

信ぴょう性が疑わしい本調査を行ったのは、ブランド総合研究所。このランキングは、47都道府県と国内1000の市区町村を対象に、全国の消費者3万5489人から有効回答を得て集計したものである。2006年から毎年実施しており、今年が16回目となる（都道府県の調査は2009年から13回目）。

2021年の都道府県魅力度ランキング1位になったのは北海道（73.4点）。2位が京都府（56.4点）、3位に沖縄県（54.4点）、4位は東京都（47.5点）とここまでは前年と順位は変わっていない。

2009年以来、13年連続の1位となった北海道。魅力度の点数は73.4点で、前年の60.8点から12.6点も伸び、2位以下との差をさらに広げている。北海道を「とても魅力的」と答えた人は57.6％で、前年の40.9％より大幅に増えた。

2位の京都府は、13年連続で2位を獲得。点数は前年の49.9点から56.4点へ上昇した。「とても魅力的」との回答が36.1％と前年の29.4％より増加している。また、大阪府は前年より10点以上上昇しての42.0点で5位に。点数、順位ともに過去最高となった。

点数の伸びでは、北海道の次に大きかったのが、4位の東京都だ。ブランド総合研究所の社長は「本調査直後に開始となった東京オリンピック・パラリンピックの影響の可能性が大きい」と話す。

次に点数の伸びが大かったのは千葉県で、順位も前年の21位から12位へと急上昇した。「とても魅力的」の回答が11.0％で前年の3.9％のおよそ3倍増となっている。特に20代では24.6％と多く、前年の6.3％のおよそ4倍に増えたのが特徴的だ。

長崎県も前年の11位から8位へと上昇し、すべての年代で評価が高まっている。また、同じ九州地方の宮崎県は前年の22位から17位へとランクアップ。「とても魅力的」が9.4％で前年の4.4％から2倍以上に増えている。特に九州や中四国地方の居住者からの評価が目立っている。

一方、下位に目を移すと、前年最下位の栃木県は41位（16.2点）となり、最下位から抜け出した。そしてワースト3位は、45位埼玉県（14.4点）、46位佐賀県（12.8点）、47位茨城県（11.6点）となり、茨城県は1年で最下位へと立ち戻る結果となった。

1年で最下位に戻すあたり、ネタにしか思えないが、茨城県知事はご立腹の模様。

更に44位の群馬県知事はずさんな評価手法と指摘。

前年の42位から再び最下位に転落してしまった茨城県については、「前年の調査では、前前年に行われた茨城国体で史上初めてとなるeスポーツを取り入れた。また、茨城県公式バーチャルYouTuberの茨ひよりが活躍するなど、『デジタル県』としてのイメージが高まったことで、20代など若い世代からの評価が急上昇し、大幅な順位上昇につながったといえる。ところが、今年は、コロナ禍の影響でオンライン化が全国に広がったことにより、こうした茨城県の強さが薄まってしまったのではないだろうか」と分析。

理想を実現するためのヤル気を高める「モチベーション ハッピーセット」

 本日、とあるオンラインセミナーを聴講してきた。

ジャンル的には、働き方、キャリアデザイン、ワークライフマネジメントといったところだろうか？

急に話が飛ぶが、最近拙者は仕事のモチベーションが上がらない。

何故なのかが何となくわかるものの、うまく言葉や文字に表現できていなかった。

それが、今回のセミナーでだいぶ具体化することができた。

セミナー自体はクローズドなものであるため、資料は出せないのだが、類似の情報を調べてみると、初めて知ったつもりのモチベーションの考え方は結構前から存在していた。

それが下の絵。

ようは、「①やるべきこと」「②やりたいこと」「客観的に見て望ましいと思われること≒③できること」の3つの理想が重なり合う部分が『モチベーション　ハッピーセット』となり、理想を実現するためのやる気がアップする（＝モチベーションがアップする）

逆にここが絡み合っていないとモチベーションは上がらない状態ということになる。

ちなみに「モチベーション」とは何か？

「大辞林第二版」（三省堂）によれば、心理学用語で「Motivation＝動機付け＝生活体を行動へ駆り立て、目標へ向かわせるような内的過程。行動の原因となる生活体内部の動因と、その目標となる外部の誘因がもととなる」とある。

生活体内部の動因とは、ベースとなる気力・体力の充実度合いや、行動そのものが楽しいかどうか、その行動を起こすことによるメリットをどれほど強く感じているか、などが考えられる。

一方、外部の誘因とは、人事評価制度や社会通念、周囲からのプレッシャーなどに由来する、目標そのものの魅力や、逆に目標が達成できなかったときのデメリットなどが考えられる。

モチベーションにはさまざまな要素が絡み、基本的には、心から楽しいと思える「やりたいこと」に関しては誰でも積極的に取り組める。ゲームに熱中したり、面白い映画を見たり、好きな子とデートしたり、スポーツに興じたりといったときには、食事も忘れるほど没頭することもある。

また、お金が儲かる、社会的にステータスが高い、周囲の期待が高いなど「望ましいこと≒できること」も、モチベーションアップにつながる重要な要素。奥さんと子供が応援してくれるから頑張れる、周りの人がチヤホヤしてくれて気持ちが良い、といった類のもの。

このように、「やりたいこと」や「望ましいこと≒できること」をやるときに発揮できる高い集中力と持続力、そしてそれを支える強いモチベーションを、仕事や勉強など「やるべきこと」に対して発揮できれば、モチベーションも上がり、パフォーマンスも上がるということになる。

で、冒頭の話に戻るが、拙者場合、「やるべきこと」「やりたいこと」「できること」が重なり合わずにバラバラに離れてしまっているのがモチベーションが上がらない原因となる。

3つ重ならずとも、2つは重ね合わせないとまずいな、と思う今日この頃。

日産の機密情報がアンダーグラウンドで販売されているとのこと😱😱😱 / An access broker on Exploit forum is selling access to Nissan

日産への初期アクセスとデータベースがアンダーグラウンドで売られているとのこと😱😱😱 https://t.co/f08xshW0JN Quoted tweet from @vxunderground: An access broker on Exploit forum is selling access to Nissan *Moderator issued warning for not including price of access *Image censored to avoid giving access broker attention https://t.co/T4cYcWbioY: 

Quoted tweet from @vxunderground:

An access broker on Exploit forum is selling access to Nissan

*Moderator issued warning for not including price of access
*Image censored to avoid giving access broker attention https://t.co/T4cYcWbioY

サイバークライムの被害額は約660兆円を超え、日本のGDPを超えているらしい（転載）

サイバークライム:

サイバーセキュリティ人材底上げには、キャリアパスや給与水準の具体的情報が効果的
 

サイバークライム。インターネット等のサイバー空間での詐欺、脅迫、ハッキング等の犯罪は、近年増え続けてきており、コロナ禍の中で更に飛躍的に増えて、その額は年間で6兆ドル、日本円で約660兆円になった模様です。その額たるやGDPで比較すると、アメリカ、中国に次ぐ規模で、日本のGDPよりも大きい状況です。いやはやなんとも。驚きです。数字というのは分かりやすい概念で、どんなにサイバークライムが増えたと云われても、日本のGDPよりも大きく、中国に次ぐ経済圏だと説明されると、その実感が違います。もちろんこの数字は推計で、本当のところは分からず、恐らくインフレ（水増し）されているのですが、それでも驚きです。

日本はデジタル庁とかやっと始まったばかりですが、サイバー領域は軍事領域としても、恐らく陸海空に次いで宇宙と並ぶ、或いはそれ以上に重要な領域なので、日本はもっともっとこの領域に注意を払うべきだと思います。日本の海洋資産は膨大で、これは宝の持ち腐れ。サイバー領域は、元来得意そうなのですが、ここも投資というか注意が少なすぎ。情けないですね～。

ウクライナ国家国境庁がペン型の隠しカメラなどのスパイ装備を持った日本人を発見 / Прикордонники виявили громадянина Японії зі шпигунським обладнанням（転載）

ウクライナ国家国境庁がペン型の隠しカメラなどのスパイ装備を持った日本人を発見 Прикордонники виявили громадянина Японії зі шпигунським обладнанням:

dpsu.gov.ua/ua/news/Prikor…

ベルゴロド・ドニエスター分遣隊の軍人は、日本人がモルドバに密かに情報を持ち込もうとしていたことを発見しました。

バスの乗客である日本国籍の男性は、「パランカ」という検問所を通過していました。

税関職員との合同検査で、所持品からスパイ機器が発見されました。隠しカメラとマイクロUSBコネクタが付いたメガネ2個、ペン2本、腕時計です。

この事実は所轄官庁に報告されています。この「スパイ」は国境を越えることができず、技術装置は定められた手順に従って没収されました。

セキュリティ用語の整理（2021年秋）

先日、情報処理安全確保支援士試験のセミナーを受けた。

意外に知らないセキュリティ用語が増えていたので、ちょっと整理を試みる。

1.NFT（Non-Fungible Token）

ブロックチェーン（分散型台帳）技術を使い「唯一無二の本物」と証明可能にしたデジタル資産のこと。非代替性トークンとも呼ばれる。デジタルで作成した音楽や絵画などのデータは一般にコピー可能だが、NFTにひも付けることで所有者の情報を明示できる。イーサリアム、ビットコインキャッシュ、Flowなどの一般的なブロックチェーンは、それぞれ独自のトークン規格を持ち、NFTの仕様を定義している。

2.Portmap

Unix系システムで動作するデーモン。2020年第4四半期のDDoS攻撃においてもっとも用いられたプロトコル

3.SSDP（Simple Service Discovery Protocol） 

ネットワーク上の機器を自動的に発見し接続するUPnP（Universal Plug and Play）に用いられる、UDP サービスの一種である。DDoS攻撃にも用いられる。

参考：2020年第2四半期のA10 DDoS脅威インテリジェンスレポート

4.IAM（Identity & Access Management）

アカウント管理・認証の統合基盤で利用者の本人認証を行う、ゼロトラストの構成要素の一つ。あらゆるシステムの認証機能を統合的に行うことで、不正アクセスに対する対処が行いやすくなります。例えば、同じ時間帯に遠く離れた場所から同一ユーザーでログインが行われた場合には警告もしくはアカウントを凍結するなど、リスクベース認証が可能になります。

※マイクソ(Microsoft)のプロダクトでいうと、Azure Active Directory

5.IAP（Identity Aware Proxy）

ユーザーとアプリケーションの間に入って通信を仲介するプロキシ。オンプレミスに「コネクター」と呼ぶサーバーを設置すると、コネクターとIAPが連携して、オンプレミスにあるアプリケーションがインターネット経由で利用可能になる。通信はIAPが暗号化するため、インターネット経由でも安全にアプリケーションを利用できる。セキュリティー強化と同時に、脱VPN（仮想私設網）も図れる技術。

「アイデンティティー認識型」と呼ばれるのは、ユーザーがアプリケーションにアクセスするたびに、アイデンティティー＆アクセス管理（IAM）と連携して認可をやり直すためだ。不正アクセスが疑われる場合は多要素認証などもやり直す。

※マイクソのプロダクトでいうと、Azure AD Application Proxy 

6.SASE（Secure Access Service Edge）

IT環境におけるセキュリティ機能とネットワーク機能を1つのクラウドサービスに統合させるという、新たなセキュリティフレームワークの考え方。

7.QUIC（Quick UDP Internet Connections）

トランスポート層では従来、高速だが信頼性の低いUDP（User Datagram Protocol）、信頼性が高いが接続確立時の遅延などが大きいTCP（Transmission Control Protocol）のいずれかが用いられ、Webなどの用途ではTCPに重ねて暗号化のためにTLS/SSLが利用されてきた。

QUICではUDPをベースに高速伝送を実現する一方、TCPの輻輳制御や再送制御の要素を取り込んで信頼性を高め、TLS相当の暗号化メカニズムを組み込み安全性も担保している。主にWeb通信の高速化を主眼に開発され、現在Web上で主流となっているTCP+TLSの組み合わせを置き換え、HTTP/2と合わせて高速で安全な通信を実現することを目指している。

8.SAMLと比べたLDAPの欠点

・ActiveDirectoryと通信できるようにする必要がある

・二要素認証が利用できない

9.LOTL（Living on the Land）攻撃（環境寄生型攻撃/自給自足型攻撃）

標的型攻撃において、侵入後の痕跡が見つかりにくくなるよう、一旦侵入した後に標的ユーザーのコンピュータにあるツール（WMI、Powershell, VBScript）を利用する手法

Windows10 WSL2環境のKali LinuxをWindowsデスクトップから使う方法【Win-KeX SL】

Win-KeX SL

 概要

シームレスモードのWin-KeXは、Windowsデスクトップの画面上部にKali Linuxパネルを起動します。

このパネルから起動したアプリケーションは、Microsoft Windowsアプリケーションとデスクトップを共有します。

シームレスモードでは、LinuxアプリケーションとWindowsアプリケーションの間の視覚的な分離がなくなり、Kali Linuxでペネトレーションテストを実行し、その結果をそのままWindowsアプリケーションにコピーして最終報告を行うための素晴らしいプラットフォームを提供します。

Win-KeXは、VcXsrv Windows X Serverを利用して、シームレスなデスクトップ統合を実現しています。

前提条件

VcXsrvには、Visual C++ Redistributable for Visual Studio 2015（vcredist140）が必要です。Windowsの標準的なインストールには含まれているはずですが、足りないことを訴えるエラーが出た場合は、そのままダウンロードしてインストールしてください。

使用方法

スタート

シームレスモードのWin-KeXを一般ユーザーで起動するには、kex --slを実行します。

Win-KeX SLを初めて起動する際には、Windows Defenderのファイアウォールを経由したトラフィックを許可するための認証を求められます。必ず「パブリックネットワーク」を選択してください。

これにより、Win-KeXがシームレスモードで起動します。

画面の上部にKaliパネル、下部にWindowsのスタートメニューが配置されています。

ヒント: Kali パネルは、最大化されたウィンドウのタイトルバーを覆ってしまうことがあります。邪魔にならないようにするには、パネルの環境設定で「自動的に隠す」に設定するとよいでしょう。

サウンド対応

• Win-KeXはパルスオーディオをサポートしています
  
  
• サウンドをサポートした状態でWin-KeXを起動するには、--soundまたは-sを追加してください（例： kex --win -s
  
  
• サウンドをサポートしたWin-KeXを初めて起動する際には、以下を必ず選択してください。

Windows Defenderのファイアウォールを通したトラフィックを許可するための認証を求められたら"パブリックネットワーク"を選択します。

マルチスクリーン対応

Win-KeXは、マルチスクリーンに対応しています。

「パネルの環境設定」を開き、パネルの長さを短くし、「パネルのロック」のチェックを外し、パネルを任意の画面に移動させます。

停止

• Win-KeX SLを終了するには、パネルの「Logout」ボタンでセッションからログアウトしてください。
  
  
• オプションでWin-KeX SLサーバーをシャットダウンするには、kex --sl --stop と入力します。

好奇心（転載）～きゅりおぉーしてぃ（curiosity＝好奇心）は人を前進させ、大きくさせるのに、とっても大切なこと～

好奇心:

ノーベル物理学賞を受賞される米国プリンストン大上級研究員の真鍋淑郎さん。なんと御年90歳ですが、とても快活にスピーチされている姿を見て感動しました。受賞の知らせを受けた英語でのスピーチで、キュリオシティ（curiosity＝好奇心）が大切だと説かれていました。好奇心。これは私(=マネックスの松本大さん)が社会人になり、外資系証券に勤めてから知った、とても大切な概念です。

ジョン・メリウェザー氏は私が最初に就職した会社、ソロモン・ブラザーズの黄金期を築いた人で、今では仲良く友人のように付き合わせてもらっていますが、元来はキャピタル・マーケットの殿上人、超スーパー・スターで、畏れ多い人でありました。このジョン・メリウェザー氏、仲間内ではJMと呼ぶことが多いのですが、JMはとにかく色んなことを知っていて、極東のオフィスで起きた小さな出来事まで知っていて、そして森羅万象全てに情報網を張っているようで、本当にその中身がスーパー・マンだと思いました。

そんなJMのことを、私の先輩は、「JMが他人と違うのは、そのキュリオシティの高さと量なんだよ」と云いました。そうか！好奇心って人を前進させる、大きくさせるのに、とっても大切なことなんだ。と、その時感じたことを今でも強く覚えています。真鍋先生もそう仰った。私は元々好奇心旺盛な人間でしたが、その時から好奇心を伸ばすことには一切制限を付けずに、せっせせっせと好奇心を更に拡げて、そして強く持つように努めてきたのでした。真鍋先生は強調されて、「きゅりおぉーしてぃ」みたいな感じに仰ってましたが、これからもキュリオシティを大切にしていきたいと思います！

マリオットのポイント購入ボーナスセール（2021年10月7日～2021年10月14日）

 マリオット：驚異のポイント購入55%ボーナスセール！！マイル交換で単価2.1円/マイル！

マリオットのポイント購入セールが開始。

マリオットは増量セールと割引セールがあり、今回は増量セールで、55%のボーナス。

過去のセールでの最高増量率は60%だが、今回のセールは増量率としては高い部類に入ると思う。

今回1万ポイント分調達するとした際の費用感は下記となる。

日本円に換算すると↓の感じ

前回は10,500ポイント購入で87.5USDだったのに対し、今回は10,850ポイント購入で同額の87.5USDなので、微妙に得と言えば得かも。。。

ただ、現時点、武漢ウイルス蔓延の影響が継続しており、マイル消化の目途が立たないことから、ポイント失効防止の観点で、下限で買う感じになりそう。。。

尚、TopCashback経由で購入すると若干のキャッシュバックが受けられます（キャッシュバックはpaypalでの受け取りだけど。）

Kali Linuxのアップグレード方法（2021.2⇒2021.3）

Kali Linuxのアップグレード方法メモ

1.現在のバージョン確認

【コマンド】

 lsb_release -a

【実行例】

kali@kali:~$ lsb_release -a
Release:        2021.2

┌──(kali㉿kali)-[~]
└─$ grep VERSION /etc/os-release
VERSION="2021.2"
VERSION_ID="2021.2"
VERSION_CODENAME="kali-rolling"

2./etc/apt/sources.list が正しく入力されていることを確認。

https://www.kali.org/docs/general-use/updating-kali/

【コマンド】

echo "deb http://http.kali.org/kali kali-rolling main non-free contrib" | sudo tee /etc/apt/sources.list

【実行例】

┌──(kali㉿kali)-[~]
└─$ echo "deb http://http.kali.org/kali kali-rolling main non-free contrib" | sudo tee /etc/apt/sources.list

3.アップグレード実施

【コマンド】

sudo apt update

sudo apt full-upgrade -y

【実行例】

kali@kali:~$ sudo apt update
kali@kali:~$
kali@kali:~$ sudo apt full-upgrade -y
kali@kali:~$

3.5.OS再起動実施

【コマンド】

[ -f /var/run/reboot-required ] && sudo reboot -f

【実行例】

┌──(kali㉿kali)-[~]
└─$ [ -f /var/run/reboot-required ] && sudo reboot -f

4.アップグレード後のバージョン確認

【コマンド】

 lsb_release -a

【実行例】

kali@kali:~$ lsb_release -a
Release:        2021.3

┌──(kali㉿kali)-[~]
└─$ grep VERSION /etc/os-release
VERSION="2021.3"
VERSION_ID="2021.3"
VERSION_CODENAME="kali-rolling"

┌──(kali㉿kali)-[~]
└─$ uname -v
#1 SMP Debian 5.10.46-4kali1 (2021-08-09)

┌──(kali㉿kali)-[~]
└─$ uname -r
5.10.0-kali9-amd64

システム障害リスクを何度も顕在化させる、みすぼらしい銀行は不動産取引に怖くて使えない（転載）

システム障害リスクのある銀行は不動産取引に怖くて使えない:

金融庁は、システムトラブルを繰り返す「大手メガバンク」に業務改善命令を出し、システムを実質管理するそうです。これは、今まで発生した障害に対して、抜本的な対策が取られておらず、金融機関任せでは今後も同様の事態が発生する懸念が払しょくできないと当局が判断したことを意味します。

金融システムの安定は、資産運用の中でも特に不動産取引において極めて重要です。

今月また東京23区の不動産を購入することにし、追加で1億円近い借り入れをすることにしました。

実は、日本の不動産の売買は、いまだに極めてアナログな方法で行っています。

通常は購入する物件に前の所有者の抵当権が設定されており、当日その抵当権を解除します。その上で、買い手の新たな抵当権を銀行が設定し、融資を実行するという流れになっています。

しかし、抵当権を解除して借りていた銀行に返済をしてもらい、その後抵当権を設定してから購入代金を支払うと言う流れでは、売り手への支払いができません。

そこで、関係者が金融機関の応接室などに一堂に会し、まず司法書士がすべての書類をチェックし問題ないことを確認する。終わったら登記に持ち込む前に融資をして、司法書士がすべての登記を同日で行うようにしているのです。

その際に、書類が足りなかったり、押印が漏れていたり、1つでもエラーが発生すると、取引全体が滞ってしまいます。毎回、極めて神経質なやりとりになります。

このような不動産取引に際し、もし決済日当日に銀行のシステムエラー等が発生すれば、決済が遅れてしまい登記手続きができなくなるリスクが出てきます。

決済の手続きは平日の午前中に始めることが多いのですが、支障が出れば、午後まで全員が足止めになったり、最悪決済が中止になる事態まで想定されます。

システムリスクのある金融機関を不動産決済に使うのは、最悪の事態を想定すると、私には怖くてできません。今回も安心して使えるりそな銀行さんでお願いしています。

システムトラブルを繰り返している銀行は、そのうち不動産会社から取引に使わないように要請されるかもしれません。

ニューワード「ワクハラ」（転載）～ワクワクハラスメントの略じゃないです。～

「ワクハラ」を騒ぎ立てる日本、ワクチン証明を義務化する欧米:

何でもハラスメントにしてしまう日本社会ですが、最近聞いた言葉に「ワクハラ」というのがあります。

新型コロナ（武漢ウイルス）ワクチンを接種したかどうかを聞く事は「ワクチンハラスメント」になるそうです。接種が終わった人が、接種をしていない人に「えー、ワクチン打ってないんだ。どうして？」などと突っ込みを入れるのは避けるべきだとアドバイスされました。

ワクチンを打つのも打たないのも個人の自由です。問題は、打たないことが自分だけの問題ではなく、感染や重症化によって周囲にも影響することです。

海外ではワクチン接種を事実上義務化するような動きが進んでいます。

例えば、イタリアは、すべての労働者に対し、ワクチンを接種したことやウイルス検査での陰性を証明する「グリーンパス」の提示を義務付けることを発表しました。

また、ニューヨーク市では、先週から12歳以上の屋内の飲食店、スポーツジム、映画館、劇場、美術館などの利用客に、ワクチン接種の証明書の提示を求めることが義務づけられ、違反した場合、最大5000ドルの罰金が科せられるそうです。

海外ではこのようにワクチン接種証明が無いと日常生活に支障が出るような流れが広がっています。

もし、日本でこれをやろうとしたらどうなるでしょうか？ワクハラとして、一部の人たちから激しい反発がありそうです。

ワクチン接種の自由や個人の選択の自由という人権に配慮。その一方で、感染拡大防止策は、緊急事態宣言をダラダラと延長して、自粛を呼びかけるだけ。

その結果、経済活動の再開が遅れ、経済的に追い詰められたり、精神的に鬱状態になって自ら命を絶つ人が増えていく。

そんな状態に耐え切れず、東京では、緊急事態宣言下にも関わらず、経営者の判断で飲食店がアルコール提供を再開するケースも増えています。真面目にルールを守る正直者が馬鹿を見る不公平感な状態が広がっています。

OnlyFansの元従業員が退職後も機密情報にアクセス可能であることが判明 / Former OnlyFans Employees Could Access Users’ and Models’ Personal Information

Former OnlyFans Employees Could Access Users’ and Models’ Personal Information:

OnlyFansのサポートスタッフだった一部の従業員は、セックスワーカーがヌードやポルノビデオを販売するために利用していた会社で働くのをやめた後も、財務上の機密情報や個人情報を含むユーザーのデータにアクセスしていました。

報復を恐れて匿名を希望したOnlyFansの元従業員によると、一部の元従業員は、OnlyFansを含む多くの企業で使用されている人気のカスタマーサービスソフトウェアであるZendeskにアクセスし、カスタマーサポートチケットの追跡や対応を行っていたことが、退職後も判明しました。OnlyFansは、コンテンツを投稿するユーザーと、そのコンテンツを見るためにお金を払っているユーザーの両方に対応するためにZendeskを使用しています。マザーボードは、複数の元従業員のアクセスにより、これを裏付けることができました。

この情報源とMotherboardに語ったOnlyFansのユーザーによると、ユーザーが助けを求めている内容に応じて、サポートチケットには、クレジットカード情報、運転免許証、パスポート、フルネーム、住所、銀行取引明細書、OnlyFansでいくら稼いだか、いくら使ったか、クリエイターが顔の横にIDをかざして確認するKYC（Know Your Customer）セルフィー、モデルリリースフォームなどが含まれていることがあるそうです。   

この情報源は、彼らがOnlyFansでの仕事をやめた後も、まだアクセスできることをMotherboardに示しました。

アカウント設定時に受け取ったサポートメールによると、クリエイターがプロフィールを設定する際、OnlyFansのサポートは「認証プロセスは極秘であり、この情報は誰とも共有されません」とユーザーに保証しています。 

マザーボードは、OnlyFansの一般的なメディアリクエスト用メールアドレスと特定の担当者に複数回メールを送り、OnlyFansの2つのTwitterアカウントにダイレクトメッセージを送りましたが、非常に深刻なセキュリティリスクの可能性についてのコメントを求めたところ、同社からの回答はありませんでした。

元従業員にユーザーの個人情報へのアクセスを許可することは、どのようなサービスを利用しているユーザーにとってもセキュリティ上のリスクとなりますが、特にセックスワーカーや風俗嬢は、その職業にまつわる悪いイメージのために標的とされることが多いため、リスクが高いと言えます。また、OnlyFansを利用してコンテンツにお金を払っているだけの人にとっても、個人情報を漏らすことは、その情報が脅迫に使われる可能性があるため、特に危険です。マザーボードは、ハイテク企業の従業員がデータへの特権的アクセスを利用して、ユーザーや同僚を不適切にスパイする「インサイダー脅威」について繰り返し報じてきた。これは、FacebookやSnapchat、ハッキング企業のNSO Group、Amazon傘下の監視会社Ringなど、多くの企業で起きている。特に、元従業員が機密データへの特権的なアクセス権を保持していることは危険です。

2016年には、Brazersの80万アカウントがデータ流出しました。2019年には、ポルノサイト「Lucious」の100万人以上のユーザーの個人情報がセキュリティエクスプロイトで流出しました。さらに2020年には、ImLiveを含む複数のアダルトサイトを所有するPussyCash.comの脆弱性から、モデルの個人情報のデータ流出が研究者によって発見されました。

Kali Linux 2021.3 登場！ / Kali Linux 2021.3 Release (OpenSSL, Kali-Tools, Kali Live VM Support, Kali NetHunter Smartwatch)

Kali Linux 2021.3 Release (OpenSSL, Kali-Tools, Kali Live VM Support, Kali NetHunter Smartwatch):

Kali Linuxの最新版である2021.3(quarter #3)をリリースし、ダウンロードやアップデートが可能になりました。

6月にリリースした2021.2からの変更点の概要は以下の通りです。

• OpenSSL：デフォルトで幅広い互換性を実現
• 新しい Kali-Tools サイト：Kali-Docs に続き、Kali-Tools も完全にリニューアル
• ライブイメージセッションにおけるVMサポートの向上：マシンからKali VMへのコピー＆ペーストやドラッグ＆ドロップがデフォルトで可能になりました。
• 新しいツール：敵対者エミュレーション、サブドメイン乗っ取り、Wi-Fi攻撃など。
• Kali NetHunter スマートウォッチ：TicHunter Pro のための、初のスマートウォッチ
• KDE 5.21：Plasmaデスクトップのバージョンアップ

OpenSSL: デフォルトでの幅広い互換性

Kali Linux 2021.3以降、Kaliが可能な限り多くのサービスと連携できるように、OpenSSLはより幅広い互換性を持つように設定されています。これは、レガシーなプロトコル（TLS 1.0やTLS 1.1など）や古い暗号がデフォルトで有効になることを意味します。これは、古いプロトコルを使用している旧式のシステムやサーバーと Kali が対話する能力を高めるためです。これにより、利用可能な攻撃対象の選択肢が増える可能性があります (ターゲットがこれらの EoL (End of Life) サービスを実行していて、そのことを忘れていた場合、他に何か発見があるかもしれません)。この設定は、汎用のオペレーティングシステムには適していませんが、Kaliでは、ユーザーがより多くの潜在的なターゲットと関わりを持ち、話をすることができるため、理にかなった設定となっています。

この設定は、コマンドラインツール kali-tweaks で簡単に変更できます。Hardeningのセクションに入ると、OpenSSLをStrong Securityモードに設定することができます。

詳細については、ドキュメントを参照してください: kali.org/docs/general-use/openssl-configuration/

Kali-Tools

2019.4では、ドキュメントを更新された/docs/のページに移動しました。今回はいよいよKali-Toolsのサイトの番です!

以前のサイトのあらゆる面を刷新し、新しく、より速く、レイアウト、コンテンツ、システムを提供しています! バックエンドは半自動化され、以前のように誰もが助け合い、貢献できるようなオープンな状態になっています。

これらのサイトがすべての変更から落ち着き、少し成熟したら、オフラインで読めるように、これら2つのサイトをパッケージ化し始める予定です。

仮想化：様々な改善を実施

今回のリリースサイクルでは、Kali の Live イメージにいくつかの改良が加えられました。私たちは、仮想化環境で Live イメージを実行する人たちがよりスムーズに体験できるように努力しました。ホストとゲストの間でのコピー＆ペーストやドラッグ＆ドロップのような基本的な機能が、すぐに使えるようになっています。これは本当にみんなのためです。VMware、VirtualBox、Hyper-V、QEMU+Spiceなどです。誰か忘れていませんか？Kali のバグトラッカーに一言お願いします。

同じく、 Hyper-V の Enhanced Session Mode 用に Kali を設定するのがとても簡単になりました。ターミナルで kali-tweaks を開き、「仮想化」を選択すると、Kali が Hyper-V で動作している場合、Hyper-V 拡張セッションモードをオンにする設定が表示されます。これで、Enter キーを押すだけの簡単な操作になりました。

この機能を使用する場合は、いくつか注意すべき点がありますので、kali.org/docs/virtualization/install-hyper-v-guest-enhanced-session-mode/ を必ずご覧ください。

Kaliの新しいツール

新しいツールが追加されていなければ、Kali のリリースとは言えません。ネットワークリポジトリに何が追加されたかを簡単に説明します。

• Berate_ap - MANAの不正なWi-Fiアクセスポイントのオーケストレーション
• CALDERA - スケーラブルな自動敵対者エミュレーション・プラットフォーム
• EAPHammer - WPA2-Enterprise Wi-Fiネットワークに対する攻撃
• HostHunter - OSINT技術を使ってホスト名を発見するためのツール
• RouterKeygenPC - デフォルトのWPA/WEP Wi-Fiキーを生成
• Subjack - サブドメインの乗っ取り
• WPA_Sycophant - EAPリレー攻撃の邪悪なクライアント部分

新興ランサムウェアギャング「Spook」が、ダークウェブ上にリークサイトを開設（転載）～日本企業も被害にあっている模様～

Spook, a new ransomware gang, has opened a leak site on the darkweb. 11 victims are listed on the victim list.（バックアップ）

新しいランサムウェアギャングであるSpookは、ダークウェブ上にリークサイトを開設しました。被害者リストには11社の社名が掲載されており、日本企業も被害にあっている模様。

クラウド・セキュリティ・リスクのトップ5 / The Top 5 Cloud Security Risks: How Hacker-Powered Security Can Help（転載）

The Top 5 Cloud Security Risks: How Hacker-Powered Security Can Help:

デジタルトランスフォーメーションの普及は、クラウドセキュリティリスクの増大を意味します。ハッカーの力を借りたヒューマン・インテリジェンスが、どのようにして新たな攻撃手段から組織を守り、リスクを軽減し、クラウド・セキュリティを向上させるのかをご紹介します。

1.ソフトウェア・サプライチェーンへの攻撃が増加

クラウドネイティブなアプリケーション開発ではオープンソースコンポーネントの使用が普及しているため、ソフトウェアサプライチェーンへの攻撃は重大なクラウドリスクとなります。2020年のSonatype State of the Software Supply Chain Reportによると、サードパーティ製ソフトウェアへの攻撃は430%増加しており、今後も増加していくと考えられます。サイバー犯罪者は攻撃対象の変化に対応するため、ソフトウェア・サプライチェーンの新たな弱点を見つけては攻撃を仕掛けてきます。

2.コンプライアンスの証明

コンプライアンスとは、監査に合格することやボックスにチェックを入れることだけではありません。クラウドプロバイダーは基本的なコンプライアンス基準を維持し、セキュリティ機能やツールを提供していますが、クラウドネットワークのセキュリティは組織の責任でもあります。2021年のSANS Cloud Security Surveyによると、多くの組織が、現行のコンプライアンス対策を補完するために、クラウド・セキュリティ戦略にペネトレーション・テストを取り入れたいと考えています。

3.安全でないAPI

APIは、社内のアプリケーションやデータを第三者に公開することで、クラウドコンピューティングのプロセスを効率化します。APIは、デジタル・トランスフォーメーション・イニシアチブの基本であり、新世代のクラウドアプリケーションを強化します。しかし、安全性が確保されていないAPIは、企業に攻撃の機会を与えてしまいます。 ラドウェアの「2020-2021 State of Web Application Security Report」によると、84％の組織がWebサーバーやアプリケーションに対するAPI操作攻撃を確認しています。

4.急速なデジタルトランスフォーメーション アプリケーションリスク

第4回「Hacker-Powered Security Report」で調査したグローバルセキュリティリーダーの31％以上が、武漢ウイルスによりデジタルトランスフォーメーションを計画よりも早く実施したと報告しています。デジタルトランスフォーメーションは、今や一般的なビジネス戦略であり、生産性や効率性の向上、コスト削減などの大きなメリットがあります。しかし、より実質的なリスクと新たな攻撃対象をもたらすものでもあります。Verizonの2020年版DBIRによると、昨年の全ブリーチのうち43%がWebアプリケーションに関わるものでした。また、IDCは、2023年までに5億個以上のデジタルアプリケーションやサービスが、クラウドネイティブなアプローチで開発・展開されると予測しています。

5.設定ミス

チェック・ポイントの「2020年クラウド・セキュリティ・レポート」によると、企業の68%がクラウドの設定ミスをクラウド・セキュリティの最大の脅威として報告しています。設定ミスは、クラウド・セキュリティに重大なギャップを生じさせ、破壊的でコストのかかる攻撃に対して脆弱になります。HackerOneのグローバルハッカーコミュニティは、2020年には設定ミスの脆弱性が12,286%増加すると報告しています。また、Gartner社は、2025年までにこれらのセキュリティ障害の99%がお客様の責任になると予測しています。

ベンダーのシステム障害でシグネチャーを配信できず、利用者のパソコンを脅威にさらす（転載）～こういうのもサプライチェーンリスクの一例～

ベンダーのシステム障害でシグネチャーを配信できず、利用者のパソコンを脅威にさらす: 

xtech.nikkei.com/atcl/nxt/colum…

トレンドマイクロは2021年8月27日、同社のウイルス対策ソフト製品などで使用するスマートスキャンパターン（シグネチャー）を配信できなくなったことを明らかにした。シグネチャーはウイルス対策ソフトがマルウエアやサイバー攻撃などの脅威を検出するために必要な情報。

同社は、2021年8月26日午前10時ごろに発生したシステム障害によってシグネチャーが配信できなくなったという。シグネチャーの配信が再開されたのは8月29日午後6時30分ごろ。3日間以上、シグネチャーが配信されなかった。

一般にウイルス対策ソフトでは、シグネチャーが配信されないと最新の脅威を検出できなくなる。同社は2021年8月29日時点でシグネチャー配信が一部再開されていないが、8月29日に配信されたシグネチャーによって「最新の脅威へ対応可能」と案内している。

トレンドマイクロのサポート情報（トレンドマイクロサイト）

トレンドマイクロのサポート情報（バックアップ）

ランサムウェアギャング「Conti」がJVCケンウッドから1.5TBのデータを奪ったと主張 / Conti Ransomware Group Reportedly Stole 1.5TB Of Data from JVCKenwood（転載）

Conti Ransomware Group Reportedly Stole 1.5TB Of Data from JVCKenwood:

多国籍企業であるJVCケンウッドは、ヨーロッパの一部の事業に影響を及ぼすセキュリティ事件が発生したことを認めました。同社はまた、このサイバー攻撃で機密情報が流出した可能性があることも認めています。しかし、現在のところ、顧客のデータが流出した形跡はありません。複数のセキュリティ専門家は、このセキュリティ事件の背後に「Conti Ransomware」グループが存在すると考えています。

日本に拠点を置くJVCケンウッドは、JVC、ケンウッド、ビクターのブランドで知られ、自動車や医療機関に機器を提供しています。

JVCケンウッドは、「2021年9月22日に、JVCケンウッドグループの欧州の販売会社の一部が運用するサーバーへの不正アクセスを検知しました。不正アクセスを行った第三者による情報漏洩の可能性があることが判明しました」と公式発表している。

JVCケンウッドは、この事件の詳細を調査していますが、複数の報道によると、Contiランサムウェアの攻撃者が重要なネットワークを侵害し、1.7TB以上のデータを盗み出したとのことです。攻撃者は、重要なファイルを解読するために、700万ドルの身代金を要求したと報じられています。

Contiはロシア語圏のランサムウェアグループで、世界中で400以上の組織が被害に遭い、そのうち米国だけで290の組織が被害に遭ったと報告されています。Contiの攻撃者は、フィッシングメール（悪意のあるリンクや添付ファイル）や、盗んだりクラックしたりしたリモートデスクトッププロトコル（RDP）の認証情報を使って、被害者のネットワークに侵入します。被害者のネットワークに侵入するまでの平均滞在時間は、4日から3週間です。ランサムウェア「Conti」の最高入札額は2,500万ドルに達しています。

CISA（Cybersecurity and Infrastructure Security Agency）、NSA（National Security Agency）、FBIは、ランサムウェア「Conti」の攻撃が増加していることについて、ユーザーや組織に注意を促しました。

組織の重要なシステムをContiランサムウェアから保護するために、多要素認証の有効化、ネットワークセグメンテーションの実施、オペレーティングシステムやソフトウェアの最新化など、特定のセキュリティ対策を推奨しています。

「線虫が匂いでガンを発見する」という不思議な検査キット（転載）

「線虫が匂いでガンを発見する」という不思議な検査キット:

ガンは早期発見・早期治療が大切と言われます。

早期発見の1つの方法として「線虫」を使ったガンの一次スクリーニング検査というのを紹介してもらい、早速「リアル人体実験」をはじめました。

検査といっても自宅で採尿して、それを届けるだけの簡単なものです。

線虫でガン診断と聞くと、怪しげなイメージがありますが、医療機関や大学との研究を行って、臨床研究でも定量的な評価を得ている科学的な方法です。線虫は、犬の1.5倍の嗅覚を持ち、ガン患者の尿に集まり、健康な人の尿からは逃げるという性質があり、それを利用した検査です。

特に、健康診断で見つかりにくい部位のガンや、ステージ0～1のような早期ガンを見つけるのに強みがあるとされています。

検査費用は12,500円で、線虫が見分ける感度は86.8％。ほとんどのガンに対して線虫は反応するという実績があります。価格と検査の負荷を考えれば、特に中高年の健康診断に取り入れても良いのではないかと思いました。

今回は単体の検査で、依頼をしてから6週間くらいで、結果が届くそうです。

胃カメラと大腸内視鏡検査は毎年やっていますが、それに加えてこの線虫の検査も定期的に受けてみるのは果たして有効なのでしょうか。

インシデント対応およびセキュリティチームのための倫理規範 （転載）

お知らせ：EthicsfIRST インシデント対応およびセキュリティチームのための倫理規範（日本語版）:

インシデント対応およびセキュリティチーム（以降「チーム」と略）のメンバーは多くの

デジタルシステムや情報源にアクセスすることができる。彼らの⾏動は世界を変えること

もある。この専⾨職に従事する者として、チームメンバーは⾃分のコンスティチュエンシ

ーや他のセキュリティ専⾨家、さらにはより広く社会に対する責任を認識しなければなら

ない。また、⼀⼈ひとりが⾃分⾃⾝の幸福に対する責任も認識しなければならない。 

信頼性の義務

信頼はチーム間の多くの関係の基礎であり、有意義な情報交換が⾏われる前に必要とされることが多い。FIRST のコミュニティはこの信頼関係の上に成り⽴っており、チーム間に妥当なレベルの信頼関係があるからこそ、このように機能し続けることができるのである。

信頼性とはチームメンバーが 1) 守れる約束をする、2) 他のチームに対して予測可能な⾏動を取る（例：TLP 基準を尊重する）、3) 他のチームとの信頼関係を維持する、といったことを意味する。

信頼関係は仮定から始まり、推移的に醸成されるべきである。すなわち、Trust on First　Use（=TOFU=豆腐？）であり、他のチームから信頼されているチームに対する信頼を可能にする。

協調的な脆弱性開⽰の義務 

脆弱性を認知したチームメンバーは、利害関係者と協⼒してセキュリティ脆弱性を修正し、開⽰に伴う損害を最⼩限に抑えることで、協調的な脆弱性開⽰（Coordinated Vulnerability Disclosure）に従うべきである。利害関係者には脆弱性の報告者、影響を受けるベンダー、コーディネーター、ディフェンダー、およびダウンストリームの顧客、パートナー、ユーザーが含まれるが、これらに限定されない。

チームメンバーは適切な利害関係者と調整して、情報公開の明確なスケジュールと期待される結果に合意し、ユーザーがリスクを評価して実⾏可能な防御策をとれるような⼗分な詳細情報を提供すべきである。

機密保持の義務 

チームメンバーには必要に応じて機密性を保持する義務がある。特定の情報を機密にしておきたいという要求は、Traffic Light Protocol（TLP）などで明⽰されることがある。チームメンバーは可能な限りそのような要求を尊重すべきである。しかし、例えば現地の法律や契約、通知義務などの要件と⽭盾するために情報を機密にしておくことができない場合、チームメンバーは情報の所有者にこの⽭盾について直ちに知らせるべきである。

守秘義務の中には法律、規則、慣習に基づくものもある。インシデント対応中に⼀部の当事者がそのような考慮事項に基づいて守秘義務に拘束されたり、守秘義務を期待したりする場合には、これらの期待を事前に明⽰するように最善を尽くすべきである。そして、可能な限り情報を機密にしておくようにとの明⽰的な要求を維持するために、すべての当事者は上記の期待に従うべきである。

受領確認を返信する義務

チームは、研究者、顧客、他のチーム、政府機関など、さまざまなソースから情報を受け取る。チームメンバーは、たとえリクエストを受け取ったことを確認するだけであっても、問い合わせに対してタイムリーに返答すべきである。可能であれば、チームメンバーは次の情報更新の⾒込みを設定すべきである。

認可についての義務

チームメンバーには⾃分の責任範囲を理解し、アクセスを許可されたシステムでのみ⾏動する正当な必要性と権利がある。チームメンバーは⾃分たちの⾏動がコンスティチュエンシーにどのような影響を与えるかを認識し、職務の遂⾏中にさらなる損害を与えないようにする必要がある。可能であれば、コンスティチュエンシーのシステムに変更を加える前に、コンスティチュエンシーに意⾒を聞くべきである。

情報を提供する義務 

チームメンバーは現在のセキュリティ上の脅威やリスクについてコンスティチュエンシーに情報を提供し続けることを義務と考えるべきである。チームメンバーは安全性やセキュリティに悪影響を与える、または改善する可能性のある情報を持っている場合、守秘義務、プライバシーに関する法律や規則、その他の義務を正しく考慮しながら、適切な努⼒をもって関係者や協⼒してくれる⼈々に知らせる義務がある。

⼈権を尊重する義務 

チームメンバーは、情報共有や潜在的な偏⾒、財産権の侵害を通じて、⾃分たちの⾏動が他者の⼈権に影響を与える可能性があることを認識すべきである。チームメンバーはインシデントに対処する過程で広範囲の個⼈情報、機密情報、および秘密情報にアクセスすることになる。これらの情報は、⼈権を守る⽅法で取り扱われるべきである。

インシデント対応中に、対応者は偏った⾏動をとってはならず、対応者が⾏う場合もアルゴリズムに組み込まれている場合も、プロセスや意思決定から偏りを排除するために最⼤限の努⼒をすべきである。

この原則においては、「財産（property）」の概念（国連の世界⼈権宣⾔7第17条）には、法的に保護されているかどうか（特許取得の有無など）にかかわらず、知的財産などの無形財産、およびアイデアやコンセプト全般が含まれている。

チームの健康に対する義務

チームにはコンスティチュエンシーに約束したサービスを継続して提供する責任がある。この責任にはチームの⾝体的・精神的な健康も含まれる。

チームを構成するメンバーを個⼈として尊重し、かつ適切なレベルのサービスの維持を⻑期的に実⾏可能にするために、チームは（すべての）メンバーの⾝体的・精神的な健康を⽀える、健康的で安全かつ前向きな職場環境を維持するよう努めるべきである。危機に対応するためには、「通常」の業務で精神的な健康とストレスの軽減をサポートする必要がある。

チームの能⼒に対する義務

インシデント管理はチームメンバーが継続して研究すべき発展的課題である。チームはメンバーが⾃らの責任範囲内で技術的かつ科学的知識を学び、適⽤し、そして発展させるためのリソースを提供すべきである。トレーニングまたは教育のための CPE/CEUクレジットは⼀助となるかもしれないが、単なるコンプライアンス演習ではこの義務を果たすには不⼗分である。チームはそのサービスを可能にするために⼗分な技術的インフラを維持すべきであり、これには外部による⼲渉からそのインフラを保護するための適切な⼿段をとることも含まれる。

責任ある収集の義務

データ収集はインシデント対応に必要だが、インシデント対応の⽬的とデータの利害関係者を尊重することとの間でバランスを取るべきである。

調査中に、収集が必要な情報の量が変わることがある。インシデントへの対応を進める⼀⽅で、チームメンバーは必要性の変化に応じて収集する対象を調整すべきである。インシデントとその復旧に直接関係のないデータは報告から除外すべきである。

収集および抽出したデータは、適⽤される法律に従い、ユーザーのプライバシーを尊重して取り扱わなければならない。データ所有者の管理下にあるデータを収集および処理する際には事前に許可を得るべきである。データの取り扱いにおいて適⽤される法律および規則を順守すべきである。

他のインシデントに関連して他の対応チームの活動に役⽴つかもしれないデータは、場合によっては編集された形で、その対応チームに提供すべきである。機密情報および所有権のある情報の提供は、適切な保護措置が講じられている場合に限るべきである。

インシデントの被害軽減のために第三者とデータを共有する際には、事前にリスクと利益を⽐較検討すべきである。データの共有は利益がリスクを明らかに上回る場合に限るべきである。機密データはインシデントがクローズした後に容易に破棄できる⽅法で保存すべきである。収集したデータはデータ保持ポリシーに則って安全に破棄すべきである。

管轄区域の境界を認識する義務 

チームメンバーはインシデント対応に関連する活動に関与する当事者の管轄区域の境界、法的権利、規則、および権限を認識し、かつ尊重すべきである。

プライバシー保護やデータ侵害の通知に関連するものなど、法律、規則、その他の法的問題は、関係する管轄区域によって異なる場合がある。管轄区域の境界は、関係者の国や居住地などの物理的な場所や、関係者に関するその他の要因によって決定される場合がある。

⼀つの国の中であっても、政治的な地域間（例：⽶国の各州間）や、国内の異なるビジネス、産業、セクター間（例：ヘルスケア、⾦融サービス、政府機関）で、法律や規則が異なる場合がある。ナショナル CSIRTは、⾃らの管轄区域内のコンスティチュエンシーが関与する活動に対して指定された責任や権限を有する場合があり、また境界を越えた管轄区域に対して権限を有する他の組織と協⼒したり、その組織に情報や活動を「引き渡し」たりする場合もある。

チームメンバーは、プライバシー規則やデータ侵害通知の要件をはじめ、関係する管轄区域に影響を与える重要な問題を認識しておくべきである。サイバーセキュリティやプライバシーに関する法律や規則は世界中で進化し、かつ更新され続けているため、複数の管轄区域の境界に関わる問題が発⽣した場合には⼗分な知識を持った弁護⼠に相談して指針を得ることが望ましい。

根拠のある推論の義務

チームは検証可能な事実に基づいて活動すべきである。侵害の指標（indicators of compromise：IOC）やインシデントの説明などの情報を共有する場合、チームメンバーは根拠とスコープを透明性のある形で提供すべきである。それが不可能な場合は、その根拠とスコープを共有しない理由を情報とともに提供すべきである。

チームメンバーは、噂を広めたり共有したりすることを控えるべきである。いかなる仮説もそれが仮説であることを明確に⽰すべきである。

透明性のある根拠と推論のプロセスは、例えば⼤量の情報を⾃動的に共有するような場合でも重要である。この場合、データマイニングプロセスの説明は分かりやすいレベルの詳しさで伝えるべきである。

EthicsfIRST インシデント対応およびセキュリティチームのための倫理規範（バックアップ）

ランサムウェアギャングが発表した被害者リスト（2021年9月版）By DarkTracer

 Dark Tracerによると、9月は日本企業1社がランサムウェアの被害にあっている模様。

リポカプセルビタミンC公式通販サイトからのカード情報漏えい（転載）～想定損害賠償額は2.5億円程度か～

【限定】リポカプセルビタミンC公式通販サイトからのカード情報漏えい 

サプリ通販サイトでカード情報9000人分が漏えいか　一部は不正利用された可能性も

サプリメントの製造販売を手掛けるスピック（神奈川県鎌倉市）は9月29日、同社が運営するECサイト「リポカプセルビタミンC公式通販サイト」のサーバが不正アクセスを受け、9515人分のクレジットカード情報や1万5674人分の会員情報が漏えいした可能性があると発表した。一部のカード情報は不正利用された可能性もあるという。

漏えいした可能性があるのは、2020年11月6日から2021年2月24日の間にカード決済をした9515人のクレジットカード番号、カード名義人名、有効期限、セキュリティコードと、サイトにログインし、会員情報を入力した1万5674人のメールアドレスやパスワード。

スピックによればサイトの脆弱性を突かれ、サーバ内部に不正なプログラムを設置されていたという。すでにサイトはシステムを一新した上で、サービスの提供を再開している。今後はセキュリティや不正アクセスへの監視体制を強化し、再発防止に務めるとしている。

不正アクセスが発覚したのは2月16日。情報セキュリティに関する業務の委託先から連絡を受けて調査したところ、サーバ内部に不正なプログラムを発見した。以降は不正なプログラムの削除を削除した他、24日に同サイトのクレジットカード決済機能を一時停止。3月4日にサイトを閉鎖し、その後新しい環境でサービスを再開した。ただし一部ブランドのクレジットカードは利用を制限しているという。

個人情報保護員会や警察には相談済み。発表が遅れた理由については、調査やカード会社との連携に時間がかかったためと説明している。

プレスリリース（バックアップ）

改正個人情報保護法の施行へ、企業に必要な5つのアクション（転載）

改正個人情報保護法の施行へ、企業に必要な5つのアクション――ガートナー:

ガートナージャパン（以下、ガートナー）は2021年9月15日、2022年4月の「改正個人情報保護法」の全面施行に向け、企業が今から取り組むべき5つのアクションを発表した。

ガートナーは「データ活用におけるセキュリティとプライバシーの取り組みを進める上で重要なのは、セキュリティとプライバシーの本質を理解することだ」と述べている。

プライバシーは、基本的な人権を保証する必要不可欠なもので、プライバシーの軽視は人権の軽視につながり、企業は対応を誤れば信頼を大きく失うことになる。そのため、法規制の動向を理解するだけではなく、そうした本質に立ち返り、「People Centric（人中心）」の視点から、より誠実で透明性のある取り組みを推進する必要があると説明する。

今回の発表に先立ち、ガートナーは2020年6月に、個人情報保護法の改正を機に企業が重点的に取り組むべき4つのポイントと最初に取り組むべきステップ（体制の構築やセキュリティポリシー）について発表している。

今回は、個人情報保護委員会からのガイドラインの公表内容を踏まえ、2022年4月の全面施行前に、セキュリティ／リスクマネジメントのリーダーが取り組むべきポイントを示した。

最初に取り組むべきは「体制の構築」だ。プライバシーやセキュリティ、IT、デジタル、法務、ビジネスの観点を踏まえた高度な意思決定を可能にする体制を整える。

その上で「内外のポリシーを“People Centricな視点”からアップデート」し、「アウェアネストレーニングを実施」して、「プロセス上の対応」を見直す。ここでの見直しには、データ主体の権利のリクエスト（SRR）対応、プライバシーインパクトアセスメント（PIA）、漏えい時の対応なども含まれる。

さらに「システム／技術的な対応」についても検討する必要がある。改正個人情報保護法では、「個人関連情報」「仮名加工情報」が新たに定義されており、それらへの対応やSRR対応、漏えい時の対応の取り組みを強化する中で、技術／システム的な対応が課題になる可能性があると指摘している。

ガートナーは「プライバシーの議論は今後10年では収束せず、発展途上の状態が続く」と予測する。既存のテクノロジーに加え、プライバシーを強化する新しいテクノロジー（プライバシー強化コンピュテーション）なども出現していることから、企業はそうしたテクノロジーのトレンドにも目を向けつつ、“People Centricな取り組み”を強化し、成熟度を高め、規制コンプライアンスの先を行く必要があると説明している。