バンコクのサクララウンジにお子様用フライトシミュレーターが登場 / Japan Airlines Young Passengers Now Have Their Own Flight Simulator At The Bangkok Sakura Lounge

Japan Airlines Young Passengers Now Have Their Own Flight Simulator At The Bangkok Sakura Lounge:

バンコクのサクララウンジを利用する子供は、現地整備チームが製作したフライトシミュレーターを使うことができます。

JALによると、武漢ウイルスパンデミックが発生している間、地元のチームはちょっとした工作をして、両親がラウンジでくつろいでいる間に子供たちが使えるようにこのおもちゃを作ったそうです。

バンコクのJALサクララウンジは、近年改装され、とても素敵な空間になっています。フード＆ドリンクの品揃えも充実していますが、それは大人の旅行者の楽しみでもあります。

これで子供たちもフライトの待ち時間を楽しく過ごせますね。

このフライトシムのディテールはとても素晴らしいですね。

空港ラウンジの中には、ビジネス客だけでなく、お子様連れのご家族をターゲットにしたものもあり、進化しています。

特にドーハのカタール航空のラウンジでは、アル・サフワのファーストクラスを筆頭に、子供用のプレイルームが充実しています。

次回、バンコクからワンワールドを利用して旅行する際には、JALサクララウンジ（営業時間が限られています）を利用して、見てみてはいかがでしょうか。

JALが子供たちのためにラウンジでちょっとしたクリエイティブなエンターテイメントを用意しているのは良いことだと思います。通常、JALのラウンジにはたくさんの子供たちがいます。というのも、タイと日本の間には多くの家族連れが行き来していて、多くの人がJAL/oneWorldのステータスやキャビンクラスに応じてラウンジを利用しているからです。

サイバーセキュリティ、プライバシー、OSINTブログの一覧 / List of 20+ infosec, privacy and OSINT blogs（転載）

List of 20+ infosec, privacy and OSINT blogs:

OSINTを使いこなすために、皆さんは何を読み、誰をフォローしていますか？

今回は、OSINT、プライバシー、サイバーセキュリティ全般に関連するテーマに触れているブログのリストを紹介することにしました。

OSINTを実践することは、シャワーを浴びることに似ていますが、一度浴びただけで永遠にきれいな状態を保つことはできません。知識を維持し、錆びつかないようにするためには、定期的にOSINT技術を練習し、コミュニティや業界全体で何が起こっているかを常に把握しておく必要があります。

そのために、このリーディングリソースのリスト（アルファベット順）がお役に立てれば幸いです。

1. Bellingcat – このブログは、有名な調査ジャーナリストの集団による素晴らしいブログであり、素晴らしいニュースレターです。
   
   
2. Bleeping Computer – Bleeping Computerは、マルウェアやランサムウェアの報道でよく知られており、速報性のある記事を包括的にカバーする最初の報道機関となることがよくあります。
   
   
3. Bushido Token – 経験豊富なセキュリティ・リサーチャーが匿名で運営する脅威情報サイトです。様々なツールや調査方法について、素晴らしい洞察が得られます。複数のトピックをカバーしています。
   
   
4. Cyber Shafarat – 中東やアジアに関連したサイバーセキュリティや捜査に関するトピックを扱っています。ジハディズムやリークされた情報など、その他の問題についてもしっかりとカバーしています。
   
   
5. Cyber Threat Intelligence – 過去または現在進行中のサイバーセキュリティインシデントの概要を毎週紹介し、新たな脅威についても徹底的に分析しています。
   
   
6. Daniel Miessler – 有名なセキュリティ専門家やライターによる多彩なブログです。情報セキュリティやプライバシーに関するニュースを定期的に取り上げています。テクノロジー、未来論、哲学、モラルの問題を結びつけるユニークな声です。
   
   
7. Dark Reading – ニュース、アップデート、コメンタリー、製品リリースなどを掲載しています。これはブログというよりはニュースの発信源ですが、貴重なコンテンツを公開しているため、このリストに加えることにしました。
   
   
8. DFIR Diva – イベント、認定資格、学習教材、一般的なアドバイスなどの情報を掲載しています。この業界のほとんどの男性よりも多くの資格や証明書を持つ、女性のインフォセック専門家によって書かれています。
   
   
9. E-Forensics Magazine – デジタル・フォレンジック、オンライン調査、ツールのレビューなどに関する豊富なコンテンツを持つブログです。また、様々なオンラインコースも提供しています。
   
   
10. Graham Cluley – 数十年の経験を持つ独立した作家、講演者、ポッドキャスターとして非常に高い評価を得ています。彼のコンテンツは、しばしば教育的であると同時に娯楽的でもあります。
    
    
11. Hackers Arise – 文字通り、サイバーセキュリティ、OSINT、ハッキングをテーマにした膨大な資料、ガイド、記事に加え、様々な有料トレーニングオプションや書籍があります。
    
    
12. Hakin9 – E-Forensics Magazineの姉妹サイトで、ハッキングに特化したサイトです。技術的に複雑な程度の異なる記事を定期的に掲載しています。ツールや方法論のレビューも充実しています。
    
    
13. Hatless1der – OSINTコミュニティに非常に積極的に貢献している人のブログです。彼は非常に有用なツールやリソースのリストを作成し、彼のブログではOSINTの「実際の生活」での応用を紹介しています。
    
    
14. Intel Techniques – 最高の書籍著者の一人であり、OSINTとエクストリーム・プライバシーのリーダーである著者のブログ（さらに素晴らしいポッドキャストもあります！）です。OSINT実務者の読書リストに加えておきたい一冊です。
    
    
15. Krebs on Security – 業界のレジェンドによる、紹介不要のブログです。サイバー犯罪、詐欺、不正、マルウェア、ボットネット攻撃などの情報が充実しています。一流の調査研究も行っています。
    
    
16. NixIntel – は、元LEの捜査官が書いたブログで、OSINTのヒントや捜査の例、実践的なアドバイスなどがあります。あなたもLinuxが好きですか？
    
    
17. Offensive Osint – 興味深いツールやテクニック、そして徹底した調査の深堀りが含まれています。高度な技術的詳細に加え、非常に役に立つチュートリアルもあります。
    
    
18. Osint Curious – OSINTの専門家や愛好家の集まりで、ライブストリーム、ポッドキャスト、ブログ、ブログエントリー、そして新しいDiscordチャンネルなど、コミュニティのために大規模な教育活動を行っています。
    
    
19. Out3r Space – 厳密にはOSINTに関連していないニッチなブログですが、非常に興味深い洞察力と高度な技術的専門知識を持っていることが多いです。ブログの経験が豊富な人が書いています。
    
    
20. PhishLabs – 脅威となる情報のニュースとアップデート。メーリングリストに登録すると、詳細なレポートをご覧いただけます。
    
    
21. Secjuice – 毎週、複数の著者が寄稿しています。サイバーセキュリティに関する数百の記事、テクニカルガイド、さらには様々なHack The Boxマシンのウォークスルーが数十種類もあります。
    
    
22. Sector035 – OSINTコミュニティで最も定期的かつ徹底的な貢献者の一人として知られています。Week in OSINT "ダイジェスト、ソリッドレビュー、ハンズオンウォークスルーで知られています。
    
    
23. Skopenow – オンライン調査の領域から、とても良いニュースと最新情報をお届けします。クリアネットとダークウェブの両方で、最近の詐欺や不正をカバーしています。
    
    
24. Wondersmith_rae – 著名なOSINT実務家、作家、講演者によるMedium上の個人ブログです。

イベント来場者管理サービス、大量アクセスで個人情報をお漏らし（転載）

【セキュリティ ニュース】イベント来場者管理サービス、大量アクセスで個人情報を誤表示

security-next.com/131117

イベントなどの来場者を管理できるクラウドサービス「イーベ！」の一部イベント申し込みフォームにおいて、申込者本人とは異なる別人の個人情報が表示される障害が発生した。

同システムを運営するフラッグシステムによれば、無料利用期間にあるアカウント1件より設置された4件の申込みフォームにおいて、10月22日12時ごろより同日19時過ぎにかけて、一部申込者に重複するIDを発行する不具合が発生したもの。

ほぼ同時に申し込んだ利用者に対し、あとから申し込みを行った利用者の氏名、電話番号、メールアドレスなどが表示された可能性があるという。

申込みの受付開始となった同日12時ごろよりアクセスが集中。1時間あたり最大約35万件と同サービスの想定を大きく上回るアクセスがあり、サービス全体においてページが表示されなくなる障害なども生じていたという。

大量のアクセスに対し、アクセスの制限など対応を進めていたが、同日15時ごろに他人の情報が表示されたとの報告が同アカウントより寄せられ、調査を行ったところ個人情報の流出が判明した。

同社では、大量のアクセスが予想される場合、事前に相談を行い、あらかじめ対策を講じているが、障害が発生したアカウントは無料契約による利用だったため、障害が発生するまで問題に気が付かなかったと釈明。重複したIDについて修正を実施し、同アカウントの利用者に状況を報告した。

障害の発生を受けて同社ではプログラムを修正。無料契約で運用できるアクセス数に制限を設けるなど、再発防止に取り組むとしている。

KLab ID への不正ログインに関するお知らせ（転載）

KLab ID への不正ログインに関するお知らせ KLab株式会社
klab.com/jp/press/info/…

「KLab ID」で不正ログイン - 新規登録機能で攻撃対象を絞り込み

モバイル向けゲームを提供するKLabは、同社会員サービス「KLab ID」が不正アクセスを受けたことを明らかにした。

同社によれば、7月22日12時半過ぎごろから第三者が利用者本人になりすましてログインを試みる「パスワードリスト攻撃」を受けたもの。7月27日17時半ごろ不正ログインの発生を検知した。7月28日の時点で2439件のアカウントが不正ログインを許したという。

アカウントが不正にログインされた場合、生年月日、性別、言語のほか、秘密の質問および回答、連携するアプリ名、連携アプリ内の表示情報などを閲覧されたおそれがある。

同社では、今回の不正ログインの直前となる7月21日22時ごろから22日12時42分にかけて、会員の新規登録機能が大量のアクセスを受けていた。

本来同機能は、あらたな会員登録希望者に対し、最初にメールアドレスの入力を求め、送信したメールによってメールアドレスの所有者であるか確認するものだが、メールアドレスが登録済みであるかも判別できることから、同機能に対して機械的に大量のメールアドレスを入力することで、攻撃対象者のリストを絞り込んでいたものと見られる。

プレスリリース

OSINTのURL操作に関するヒント / Osint Me Tricky Thursday #8 – URL manipulation（転載）

Osint Me Tricky Thursday #8 – URL manipulation

1. URLの基本を理解する

URL（Uniform Resource Locator）という略語の正確な意味を思い出せないことがあっても、それが何であり、何をするものであるかは誰もが知っています。それは、特定のIPアドレスに存在するオンラインリソースにアクセスするための、ブラウザの人間が読めるリンクです。

URLは、ウェブサイトのランディングページ（例：osintme.com）を指す一般的なものから、ファイルへのパスを使ってより定義されたオブジェクトやリソース（例：ウェブサイト上のPDFフォームやテキストファイル）を指すものまであります。

https://www.osintme.com/wp-content/uploads/2021/05/CySA-002-Notes.pdf

多くのドメインには、通常のユーザーがアクセスしたり検索したりすることのない隠しURLがあります。それらのURLはディープウェブの一部であり、検索エンジンにインデックスされていないものもありますが、正確なURLを発見してアクセスすることでアクセスできる場合もあります。

2. サブドメインの列挙

インターネット上で有効なドメイン名は、以下の構成要素で成り立っています。

1. トップレベルドメイン - URL文字列の最後のドットの後に続くもの。一般的なトップレベルドメインの例は以下の通りです。.com、.org、.gov、.net、.uk、.ie...
   
   
2. セカンドレベルドメイン - トップレベルドメインの前にあるもの。例えば、このブログのセカンドレベルドメインはb-son、トップレベルドメインは.netです。
   
   
3. サブドメイン - セカンドレベルドメインの前に位置するもの。例えば、aws.amazon.com - awsの部分がここではサブドメインになっています。

サブドメインの列挙は、使用頻度の低いサブドメインや、通常のユーザーがアクセスすることを想定していないサブドメインを特定し、公開するために使用されます。これは、セカンドレベルドメインの前に一般的な単語を追加するだけで、手動で行うことができます。

• blog.example.com
• news.example.com
• mail.example.com
• store.example.com

しかし、手動でのドメイン列挙は、長期的には効果がありません。手間と時間がかかるだけでなく、サブドメインに一般的でない名前がある場合には、まったく効果がありません。

Sublist3rのようなツールを使って、サブドメインの列挙を自動化することができます。

https://github.com/aboul3la/Sublist3r

The Harvesterというのもあります。

https://github.com/laramies/theHarvester

または、Spyse's Subdomain Finderなどのウェブツールを利用することもできます。

https://spyse.com/tools/subdomain-finder

3. IPアドレスによる直接接続

URLバーは、ドメイン名のような人間が読める入力に対してのみ機能するものではありません。

DNS（Domain Name System）のエントリーは、人間が読みやすい名前（www.google.com）で表示されますが、これはウェブサイトに接続する唯一の方法ではありません。すべての解決可能なドメインは、IPアドレスを指すAレコード（アドレスレコード）として知られています。

下記URLを例に説明します。

http://helpdesk.delivery.htb

このマシンを危険にさらす作業の一部として、IPアドレスを使って接続することがありましたが、ポート番号を追加することでさらに強化することができます。

http://10.129.229.49:22

http://10.129.229.49:80

もちろんポートが開いていればの話ですが、様々なポートを使ってオンラインリソースに接続することで、より多くの情報が得られることがあります。

注：この方法は、セキュリティ設定の詳細に依存するため、常に動作するとは限りません。また、Cloudflareなどのサービスやホスティングプロバイダーがこの接続方法をブロックしている可能性があります。

4. 数字のあるものは？列挙してください。

この手法は、順番に並んだリソースの存在を暗示するURLがあれば、どこでも使うことができます。例えば、LinkedInのグループを例にとってみましょう。

https://www.linkedin.com/groups/113/

そのURLの最後には、桁を入れ替えて操作できる数字があり、その数字の値を少しずつ増やしたり減らしたりしながら、リストアップされたリソースを検索することができます。

これは、フォトギャラリー、ファイルディレクトリ、ユーザー名などで特に有効です。

5. 画像の解像度を上げる

時々、低解像度の画像ファイルを含むリンクを目にすることがあります。もっと解像度の高い画像があるはずなのに、その正確なURLがわからないということがあります。

高解像度の画像は、URLからサイズを操作することで見ることができる場合があります。以下の画像を見てください。

https://ucarecdn.com//985d4f2c-973a-4ae6-a2b1-f992683da70b/-/resize/200x/

では、この「/200x/」の部分を、前に2を加えて「/2200x/」に変更してみてください...。

この方法が有効かどうかは、各ウェブサイトや各URLによります。例えば、このピザの画像のように、サービスによってパラメータの位置が異なり、URLの異なる部分に配置されます。

https://cdn.shopify.com/s/files/1/1405/0664/products/4791207-9790062099-Pizza1_250x250_crop_center@2x.progressive.jpg?v=1469649640

250×250の値（ここではピクセル）が気になった方は、他の値に変更してみてください。

例えば

https://cdn.shopify.com/s/files/1/1405/0664/products/4791207-9790062099-Pizza1_1250x1250_crop_center@2x.progressive.jpg?v=1469649640

他のサービスでは、URLの「small」を「large」に置き換えるなどして、サイズのパラメータを変更することができるかもしれません。

6. URLの最後に何かを追加する

多くのウェブサイトには、検索エンジンにインデックスされていないファイル（robots.txtなど）があります。

Googleの説明によると、robots.txtファイルは、ウェブサイトへのクローラーのトラフィックを管理するために使用され、ファイルの種類にもよりますが、通常はファイルをGoogleから遮断するために使用されます。

このファイルは、機密データを公開するものではありませんが、現在開発中のリソースや、ウェブサイトの所有者が広く一般に見られたくないものをユーザーに示す可能性があります。

この方法を試すには、ランダムなウェブサイトにアクセスして、この値 - /robots.txt - をURLに追加します（他のオプションも試してみてください）。

例

https://www.rte.ie/robots.txt

7. URLの短縮を解除する

短縮URLサービスは、非常に長くて煩雑なURLを、短くて読みやすく、人に優しいリンクに凝縮するために合法的に使用されます。しかし、残念なことに、これらのサービスは、詐欺師やサイバー犯罪者が、疑わしいと思われるURLを隠すために使用されることもあります。

幸いなことに、これらのリンクの短縮を解除するためのリソースやトリックがいくつかあります。

Bitlyで短縮されたURL（短縮されたURLにBitlyの名前が入っていることでわかる）であれば、URLの最後に+記号を加えるだけで短縮を解除することができます。

https://bit.ly/3F3vlKO

https://bitly.com/3F3vlKO+

この方法は、他のいくつかのURL短縮サービスでも有効です。その他のサービスについては、短縮されたリンクを切り離すのに役立つ以下のリソースのいずれかをご利用ください。

• https://wheregoes.com/
• http://urlxray.com/
• https://redirectdetective.com/
• https://www.spyoffers.com/

8. Webパラメータの改ざん［厳密にはOSINTではない!!!]

これらの URL 関連のヒントとコツの最後の部分は、OSINT、ペンテスト、および脆弱性の悪用の境界線上にある、非常にグレーな領域です。これらの手法の正当な使用例は、ウェブアプリケーションのペンテストです。

OWASP は、このような行為をウェブ・パラメータの改ざんとして分類し、不十分な記述や十分なセキュリティが確保されていないウェブ・アプリケーションに対して URL レベルで実行可能な数多くの攻撃を特定しています。

OWASPのページにあるように

攻撃者は、URL のパラメータを直接改ざんすることができます。例えば、ユーザが自分のプロファイルをコンボボックスから選択し、アカウントから引き落とすことを許可するウェブアプリケーションを考えてみましょう。

http://www.attackbank.com/default.asp?profile=741&debit=1000

この場合、攻撃者はURLを改ざんし、profileやdebitに別の値を使用することができます。

http://www.attackbank.com/default.asp?profile=852&debit=2000

他にも、属性パラメータなどを変更することができます。以下の例では、ステータス変数を改ざんして、サーバーからページを削除することが可能です。

http://www.attackbank.com/savepage.asp?nr=147&status=read

ページを削除するためにステータス変数を修正する。

http://www.attackbank.com/savepage.asp?nr=147&status=del

プログラマがセキュリティを好きではない理由トップ10（転載）～なるほどー。ではなく、どうするかを考えることが重要～

RT by @nilfigo: #AWSDevDay @okdt 「涙がちょちょぎれます本当に」:（バックアップ）

「涙がちょちょぎれます本当に」

OSINTの収集と使用に関する「JAPANアプローチ」とは？ / OSINT in Law Enforcement: A Legitimate Resource or A Sketchy Gray-Area Data?（転載）

 OSINT in Law Enforcement: A Legitimate Resource or A Sketchy Gray-Area Data?

デジタル化が進むにつれ、人々は生活の多くをオンラインで過ごすようになり、その過程で、自分のアイデンティティ、活動、社会的交流などのデジタルフットプリントをインターネット上に残すようになりました。このようなパラダイムシフトは、犯罪者と法執行機関の双方に恩恵をもたらしています。犯罪者は常に革新的な犯行方法を発見し、法執行機関は捜査の解決に役立つ新たな情報資源を利用できるようになりました。 

現在、法執行機関にとって最も重要な情報資源の一つがOSINT（オープンソース・インテリジェンス）です。簡単に言えば、OSINTは法執行機関の捜査能力を高め、犯罪の脅威に対する対応力を向上させるのに役立ちます。

しかし、それは何なのでしょうか？また、なぜ法執行機関ではこれほどまでに対立があるのでしょうか？

OSINTとは？

他の多くの用語と同様に、OSINTは軍の中で誕生しました。OSINTが広く受け入れられ、使われるようになったのは90年代半ばのことである。インターネットから収集されたOSINTは、今日では業界全体で使用されており、その普及を牽引しているが、OSINTの情報源には、印刷された書籍、新聞、雑誌、テレビやラジオの放送、写真など、より「伝統的」なものもある。 

オープンソース・インテリジェンス」という言葉は30年以上前から使われていますが、今日に至るまで標準的な定義はありません。 

しかし、英国国防省によるOSINTの定義（「公開された情報から得られた情報で、一般への配布やアクセスが制限されているもの」）や、NATOによるOSINTの定義（「公開された情報から得られた情報で、一般への配布やアクセスが制限されている他の未分類の情報」）は、法執行機関の捜査においてオープンソース・インテリジェンスがどのように利用されているかを理解するのに役立つかもしれない。

法執行機関によるOSINTの使用は合法的か？

簡単に言えば、「イエス」です。

2001年にNATOがOSINTハンドブックを作成したことで、多くの人にとってオープンソース・インテリジェンスは紛れもなく合法的なものだと考えられるようになりました。最近では、2010年にCIAが「情報は秘密でなくても価値がある」という声明を出し、OSINTが「一般に入手可能」であることに言及したことで、この地位が強化された。また、2011年には英国国防省が、偏見のない方法で作成されたOSINTは他の情報と同様に尊重され、正当なものであると述べている。

これらの声明は、法執行機関や情報機関によるOSINTの使用が制度的に正当化されていることを反映しているが、一般市民と当該組織の個々のメンバーの両方からの認識は、しばしば矛盾に巻き込まれている。

ここでは、これらの矛盾のいくつかを取り上げ、それらがOSINTの受け止め方にどのような影響を与えるかを説明する。

矛盾1：法執行機関はOSINTを使用する際に人々のプライバシーを尊重していない

法執行機関の捜査官は、OSINTに関して、特に捜査の収集と発見の段階で、隠密なアプローチを必要とすることがよくあります。しかし、隠密なアプローチといっても、捜査官が好き勝手なことをしたり、人々のプライバシーや市民的自由を侵害したりするわけではありません。それどころか、私たちよりも厳しい基準を守ることが求められているのです。

法執行機関によるOSINTの収集と使用は、1998年にケント州警察が策定した「JAPANアプローチ」や2016年の欧州一般データ保護規則（GDPR）で定義されているようなベストプラクティス、ガイドライン、規制に沿ったものでなければなりません。JAPANとは、Justified（正当な）、Authorized（認可された）、Proportionate（釣り合いのとれた）、Auditable（監査可能な）、Necessary（必要な）という5つの原則の頭文字をとったもので、捜査のためのデータ収集を管理することで、個人の公正で尊重された扱いを保証するものです。 

矛盾2：法執行機関は「高レベル」のデータソースにアクセスできる 

法執行機関の捜査官は、車両登録証や運転免許証、監視システムの画像など、他の政府機関が収集したデータにアクセスすることができます。また、法執行機関やその関連組織に特化した専門企業が提供するソーシャルメディア、モバイル機器、ブロックチェーンなどの情報にもアクセスできる。

このようなアクセスの違いは、一部の一般市民や活動家グループを悩ませています。最も懸念されているのは、法執行機関が画像と顔認識ソフトウェアを組み合わせて使用することで、悪用された場合、抗議活動中の監視やモニタリング活動が抑圧的な戦術に変わる可能性があることです。そこで、収集を正当化し、事後的に監査できるようにするために、これまで述べてきたさまざまな慣行やガイドラインが必要になってくるのです。

制度上の認識：OSINTは他の情報源に比べて信頼性が低い 

法執行機関やその他の政府機関で働く人々がOSINTの分野をどのように認識しているかというと、OSINTは他のリソースに比べて技術的に洗練されていないと考えられがちである。例えば、英国の警察システムでは、OSINTは通常E41 Intelligenceと評価されている。そのため、それらの調査結果はあまり深刻ではないとみなされます。つまり、警察内で情報を流すことはできても、その情報源は未検証とみなされるため、その信頼性を判断することができないのである。 

実際のところ、正しく責任を持って使用すれば、オープンソース・インテリジェンスは、他のインテリジェンスを検証する上で非常に有効であることが証明されています。その一例が、欧州警察の「Stop Child Abuse - Trace an Object」プロジェクトです。このプロジェクトでは、欧州警察のCSAM（child sexual abuse material）データベースをベースに、児童性的虐待の捜査を進めるためのOSINTをクラウドソースで収集しています。欧州刑事警察機構（ユーロポール）は、警察が調査しても成果が得られなかった検閲済みの画像をプロジェクトのウェブサイトに掲載し、一般の人々がそれを確認して情報を提供できるようにしています。2020年末までに、10人の被害者が特定され、2人の犯罪者が起訴されました。

法執行機関の捜査にOSINTがどのように使われているか

法執行機関によるOSINTの利用は、ソーシャルメディアに焦点を当てたものが多くなっています。より具体的には、アナリストが以下のように使用することができます。

• 関心のある人物を密かに分析・監視する  
• 潜入捜査官や組み込み捜査官が偽装のために収集した既存の情報を複製する 
• 人間による分析など、異なる方法やソースで収集された情報にさらなる信頼性を与える

法執行機関のチームも、サイバーセキュリティの調査にオープンソース・インテリジェンスを活用することがあります。この場合、サーフェイス・ウェブやダーク・ウェブのフォーラムや市場を監視してデータを収集することで、脅威となる人物や、マルウェアやデータ・ダンプなどのE-クライム製品の販売促進などの犯罪行為を特定するのに役立ちます。さらに調査を進めるために、OSINTアナリストは、過去のデータ侵害に含まれる情報を参照して、新しい攻撃をプロファイリングし、監視し、特定の脅威の行為者に帰属させることができます。

マルウェアが通信する悪性な通信先の情報や、侵害された URL の一覧が投稿されてくるデータベース【URLhaus】

 

マルウェアが通信する悪性な通信先の情報や、侵害された URL の一覧が投稿されてくるデータベース。 投稿されてくる URL は Malware Bazaar と同じくタグ付けがされているので、 毎日投稿を上から眺めるもよし、特定のキーワードを一定間隔で収集するもよしです。 例えば、「マルウェアの置き場にされてしまっている日本企業を調べたい!」と思った場合は「.co.jp」なんかで調べると大量に結果が返ってきます。

この結果を見ると、タグに Emotet があることからすでにいくつかの企業の Web サイトが侵害されて Emotet の置き場にされていることがわかります。 例え co.jp ドメインでも、通信先にこれらのドメインがあった場合は、悪性の可能性が高くなると言えるでしょう。

Contiが窃取データの販売を開始 / Conti Ransom Gang Starts Selling Access to Victims（転載）

Conti Ransom Gang Starts Selling Access to Victims:

ランサムウェアギャング「Conti」のアフィリエイトプログラムは、最近そのビジネスプランを変更したようです。Contiのマルウェアに感染し、身代金の支払いを拒否した組織は、Contiの被害者を辱めるブログに追加され、被害者から盗んだ機密ファイルを公開したり、販売したりします。しかし、この48時間の間に、サイバー犯罪シンジケートは被害者を辱めるブログを更新し、ハッキングした組織の多くにアクセス権を販売していることを示しました。

"この組織のネットワークにアクセスし、そのネットワークからデータを販売する買い手を探しています。"と、Contiのブログに掲載された最近の複数の被害者リストに挿入された、紛らわしい言葉のメッセージが書かれている。

なぜこのような変更を行ったのか、Contiがこの動きから何を得ようとしているのかは明らかではありません。また、今後、機密データを抽出するためにアクセス権を販売する予定であるならば、なぜ企業にハッキングしたことを宣伝するのかも明らかではありません。Contiはコメントを求められても答えませんでした。

コンピュータ・セキュリティ企業であるEmsisoft社の最高技術責任者であるFabian Wosar氏は、「事業を閉鎖しようとしていて、その前に進行中の侵害からのデータやアクセスを売りたいのではないか」と述べています。「しかし、そのようなやり方をすると、侵害が進行していることを企業に警告することになるので、いささか馬鹿げている。」

米国と欧州の政策立案者たちは、ランサムウェアの上位グループの活動を停止させるための取り組みを進めています。先日、ロイター通信は、米国政府が、ランサムウェアの関連グループであるREvilのコンピュータシステムに侵入するためのハッキング活動を行っていると報じました。REvilは、専門家によると、被害者への対応がContiと同様に攻撃的で冷酷であると言われています。さらに、REvilは、被害者のデータを売り始めた最初のランサムウェアグループのひとつです。

REvilのダークネットの被害者を辱めるサイトはオフラインのままだ。これに対し、Contiの代表者は10月22日、ロシア語のハッキングフォーラムに、REvilへの攻撃を「世界情勢における米国の一方的な、治外法権的な、盗賊まがいの行動」と非難する長文の文章を投稿した。

「このような無差別な攻撃行為を合法化する法律が、たとえアメリカ国内であっても、50州のどこかの郡であってもあるのだろうか」というのが、Contiの日記の内容です。「サーバーのハッキングは、アメリカでも、アメリカのどの管轄区域でも、突然合法になるのか？仮に、外国のサーバーをハッキングできるようなとんでもない法律があったとしましょう。サーバーを攻撃された国から見て、どの程度合法なのでしょうか？インフラは、宇宙に飛んでいるわけでも、中立国の海に浮かんでいるわけでもありません。それは誰かの主権の一部なのです。」

Contiの新しい方向性は、被害企業を交渉のテーブルに着かせるための策略に過ぎないかもしれない。

あるいは、ロシア語からの翻訳で何かが失われたのかもしれない（Contiのブログは英語で公開されている）。しかし、ランサムウェアの配布から、盗まれたデータやネットワークアクセスの販売へと移行することで、Contiは、最近、盗まれたデータを公開したり販売したりしないという約束と引き換えに企業を恐喝することに重点を置いている、多くの競合するランサムウェアのアフィリエイトプログラムと事業を一致させている可能性があります。

しかし、Digital Shadows社が最近のランサムウェアのまとめで指摘しているように、多くのランサムウェアグループは、データ漏洩サイトの管理や、盗んだデータをダークウェブ上でダウンロードできるようにホスティングすることが困難になっています。

結局のところ、1社の窃取データをTor経由でダウンロードするのに何週間もかかるとなると、たとえダウンロードが成功したとしても、交渉戦術として機密データを流出させるという脅威は、その威嚇性を失うことになります。また、ユーザーにとっても不都合なことです。その結果、一部のランサムウェアグループは、公共のファイル共有サイトを利用してデータを公開することになりました。公共のファイル共有サイトは、より高速で信頼性が高いものの、法的手段ですぐに削除されてしまいます。

また、データリークサイトは、ランサムウェアギャングに潜入するための潜在的な手段でもあります。最近、米国当局によるREvilギャングの侵害が報告されたことからも明らかです。

Digital ShadowsのIvan Righi氏は、「2021年10月17日、ランサムウェア「REvil」の代表者が、ロシア語圏の犯罪フォーラムで、彼らのデータ漏洩サイトが「ハイジャック」されたことを明らかにした」と書いています。REvilのメンバーは、未知の個人が、開発者が所有する同じ鍵を使って、REvilのウェブサイトのランディングページとブログの隠されたサービスにアクセスしたと説明した。そのユーザーは、ランサムウェア・ギャングのサーバーが侵害され、その責任者である個人が自分を「探している」と考えていた。

Mandiant社の最近のレポートによると、ContiとRyukランサムウェアの両方を実行したとされるグループであるFIN12は、データ流出を伴う攻撃では12日以上かかるのに対し、ランサムウェア攻撃を3日以内に行うことができたとのことです。

この数字を見ると、Contiは、データ流出に関する業務をより多く（もちろん有料で）外部に委託することで、時間はかからないが同じように収益性の高いランサムウェアの展開に注力しようとしているだけなのかもしれません。

「第4四半期が近づくにつれ、データ漏洩サイトの管理に関する問題が、新たなランサムウェアグループがデータ漏洩サイトを利用することを躊躇させるのか、それともこれらの問題を回避するためにどのような創造的なソリューションを生み出すのかが注目されます」とRighiは締めくくりました。「Ryukは、データ漏洩サイトを利用しなくても、ランサムウェアの脅威の中で効果的かつトッププレイヤーであり続けることを証明しています。実際、Ryukはデータ漏洩サイトやデータ流出を必要としないことで成功しています。」

タピオカ通販サイト、流出クレカ情報が不正利用された可能性（転載）

タピオカ通販サイト、流出クレカ情報が不正利用された可能性:

「タピオカ」を扱う通信販売サイト「タピオカワールド」が不正アクセスを受け、クレジットカード情報が外部に流出し、不正に利用された可能性があることが明らかとなった。

同サイトを運営するネットタワーによれば、同サイトに対して脆弱性を突く不正アクセスがあり、クレジットカードの名義や番号、有効期限、セキュリティコードを窃取するよう決済アプリケーションが改ざんされたという。

2020年2月14日から2021年3月29日にかけて同サイトで商品を購入した顧客226人が利用したクレジットカード情報301件が外部に流出し、不正に利用された可能性がある。2021年4月9日にクレジットカード会社から情報流出の可能性について指摘があり、問題が判明した。

外部事業者による調査は2021年8月28日に完了し、個人情報保護委員会には同月31日に報告。警察には9月1日に被害を申告した。

対象となる顧客に対しては、2021年10月25日よりメールで連絡を取り、事情を説明するとともに謝罪し、身に覚えのない請求が行われていないか確認するよう呼びかけている。

同社では、不正アクセスを受けたサイトについて2021年3月29日に閉鎖。あらたなサーバ上に新サイトを構築し、2021年4月5日より再開済みだという。

プレスリリース（バックアップ）