- IDS/IPSやWAFを運用している環境の場合、アラート確認の手間を削減できる。
- リクエストやレスポンス処理にかかるサーバリソースの無駄な消費を軽減できる。
雑記系ブログ。セキュリティとか、マイルとか、投資とか、、、 / Miscellaneous Blogs. Security, miles, investments, etc
Webサイトにおける、IPアドレス直接指定によるリクエストブロックの効果(転載)
現状維持とは、退化のことである(転載)
神楽坂にある和食のお店に出かけました。ミシュランで13年連続3ツ星を維持し続けている、予約のなかなか取れない名店です。
インスタ映えするような、派手な盛り付けはありませんが、丁寧に下ごしらえして品のあるお料理と、丁寧な接客が、何回いってもしみじみと満足できるお気に入りのお店です。
老舗の変わらない味を伝統として守っているように見えますが、毎回新しいお料理が登場して進化しています。
今回の最後に出てきた土鍋ご飯は、牛肉が入った珍しいものでした。ひょうきんなご主人が自らテーブル前で仕上げをしてくれます。
炊き立てのご飯に生の牛肉の薄切りを入れて、かき混ぜてご飯の熱で牛肉に火を入れます。レア感の残った牛肉の味がご飯と一体になって、薄味で何杯でも食べられる絶妙な仕上がりでした。
老舗の人気店であっても、進歩や改善をやめてしまえば、お客様は離れていきます。世の中が変化して、来店客の好みが変われば現状維持は退化を意味するのです。
ソフトバンクの孫正義氏は「髪の毛が後退しているのではなく、私が前進しているのだ」という名言を残しました。
進化しているのか、退化しているのかは、自分の相対的な位置がどちらに向かっているかによって決められるものです。
世の中の変化よりも大きく動かなければ、それは相対的には退化を意味するのです。
情弱者向け投資商品「ファンドラップ」バカ売れ中(転載)
日本経済新聞の報道によれは、金融機関に資産運用を一任するファンドラップの契約残高が、2021年6月末で12兆円となり、ここ5年間で2倍超に増えたそうです(図表も同紙から)。
紙面でも指摘されているように、ファンドラップの最大の問題は、手数料などコストが割高で、それが個人投資家に見えにくい構造になっていることです。ラップ口座自体の運営コストだけではなく、組み入れられる投資信託の信託報酬もかかり、実際の年間コストがどのくらいになるか、不透明です。
株価の堅調であれば高コストであっても値上がり益に吸収されて気にする個人投資家は少ないと思いいます。しかし、金融マーケットが調整する局面になれば、資産価格のマイナスに高い運用コストが相まって、ファンドラップを利用する個人投資家の資産はマーケットの平均よりも、更に大きく下落することになります。
高い手数料を支払っても、それに見合う運用成果が得られなければ、低コストのインデックスファンドを自分で組み合わせてアセットアロケーションする方が賢明です。
ファンドラップのもう一つの問題は、運用をお任せと言いながら、投資対象が金融資産だけに偏っていることです。
今や、プロの運用者である機関投資家も、リスク分散とリターン向上を目的に、不動産をはじめとする実物資産を運用対象に組み入れるのが常識となっています。
高いコストを払い、成果の期待しにくい金融資産だけの運用を続けても、将来のお金の不安は解消しません。
上記の話は資産運用に真剣に向き合う人にとっては当たり前のことだと思います。でも、世の中一般では、なかなか理解されていないのは、とても残念なことです。
情報セキュリティに関係する基準、ガイドラインなど(転載)
- 営業管理秘密指針https://www.meti.go.jp/policy/economy/chizai/chiteki/guideline/h31ts.pdf
- サイバーセキュリティ経営ガイドライン
https://www.meti.go.jp/policy/netsecurity/mng_guide.html - クラウドサービス提供における情報セキュリティ対策ガイドライン(第2版)
https://www.soumu.go.jp/main_content/000566969.pdf - 総務省|報道資料|「クラウドサービス提供における情報セキュリティ対策ガイドライン(第2版)」の公表
https://www.soumu.go.jp/menu_news/s-news/01cyber01_02000001_00001.html - テレワークセキュリティガイドライン第5版(令和3年5月)
https://www.soumu.go.jp/main_content/000752925.pdf - 総務省|テレワークにおけるセキュリティ確保
https://www.soumu.go.jp/main_sosiki/cybersecurity/telework/ - 中小企業等担当者向け テレワークセキュリティの手引き(チェックリスト)第2版(令和3年5月)
https://www.soumu.go.jp/main_content/000753141.pdf - 中小企業の情報セキュリティ対策ガイドライン
https://www.ipa.go.jp/files/000055520.pdf - 情報セキュリティ監査制度
https://www.meti.go.jp/policy/netsecurity/is-kansa/ - 情報セキュリティ管理基準(平成28年経済産業省告示第37号)
https://www.meti.go.jp/policy/netsecurity/downloadfiles/IS_Management_Standard_H28.pdf - 情報セキュリティ監査基準(平成15年経済産業省告示第114号)
https://www.meti.go.jp/policy/netsecurity/downloadfiles/IS_Audit_Annex04.pdf - 情報セキュリティ監査基準 実施基準ガイドライン Ver1.0
https://www.meti.go.jp/policy/netsecurity/downloadfiles/IS_Audit_Annex05.pdf - オープンソースソフトウェアの利活用及びそのセキュリティ確保に向けた管理手法に関する事例集
https://www.meti.go.jp/press/2021/04/20210421001/20210421001.html - 情報システム安全対策基準
https://www.meti.go.jp/policy/netsecurity/downloadfiles/esecu03j.pdf - 個人情報の保護に関する法律についてのガイドライン (外国にある第三者への提供編)
https://www.ppc.go.jp/personalinfo/legal/guidelines_offshore/ - OECDガイドライン
https://www.mofa.go.jp/mofaj/gaiko/oecd/security_gl_a.html - 政府機関等の情報セキュリティ対策のための統一基準群(平成30年度版)
https://www.nisc.go.jp/active/general/kijun30.html
- ISO/IEC 27001
https://www.iso.org/isoiec-27001-information-security.html - ISO/IEC 27017:2015
https://www.iso.org/standard/43757.html - ISO/IEC 17799:2005
https://www.iso.org/standard/39612.html - JIS X 5080:2002
https://www.jipdec.or.jp/archives/publications/J0004141 - ISO/IEC 20000:2018
https://www.iso.org/standard/70636.html - ISO 22301:2012
https://www.iso.org/standard/50038.html - IEC 62443シリーズ
https://www.iec.ch/blog/understanding-iec-62443 - JIS Q 15001:2017
https://www.kikakurui.com/q/Q15001-2017-01.html - セキュリティ関連NIST文書
https://www.ipa.go.jp/security/publications/nist/index.html - NIST CSF
https://www.ipa.go.jp/files/000071204.pdf - プライバシーマーク制度
https://privacymark.jp/system/about/index.html - PCI DSS
https://www.pcisecuritystandards.org/documents/PCI_DSS_v3_2_1_JA-JP.pdf?agreement=true&time=1632922346978 - ITIL
https://www.axelos.com/best-practice-solutions/itil - EDSA認証
https://www.isasecure.org/en-US/Certification/IEC-62443-EDSA-Certification-(In-Japanese)
https://www.ipa.go.jp/security/fy25/reports/edsa/index.html
- 不正競争防止法
https://elaws.e-gov.go.jp/document?lawid=405AC0000000047
https://www.meti.go.jp/policy/economy/chizai/chiteki/index.html - 不正アクセス禁止法
https://elaws.e-gov.go.jp/document?lawid=411AC0000000128 - サイバーセキュリティ基本法
https://elaws.e-gov.go.jp/document?lawid=426AC1000000104 - 個人情報保護法
https://elaws.e-gov.go.jp/document?lawid=415AC0000000057
https://www.ppc.go.jp/personalinfo/
クラウドOSINT / Cloud OSINT + free cloud training courses & certifications(転載)
Cloud OSINT + free cloud training courses & certifications
コンピュータ技術は、小型化、シンクライアント化、プッシュプルモデルによる更新情報を提供する中央管理型のインフラへと移行し続けていますが、ひとつ確かなことは、クラウドが未来であるということです。
クラウド環境でのインシデントレスポンス、OSINTに基づく調査、クラウドベースのデジタルフォレンジックなど、この継続的な適応には、デジタル調査も適応しなければなりません。
脅威を調査したり対応したりするためには、まず環境を理解する必要があります。
サービスプロバイダーが誰であるかに関わらず、クラウドは世界中に散在する物理的および仮想的なコンピューティングリソースの組み合わせであり、デジタル「テナント」によって短期または長期的にレンタルされています。
クラウドについて学ぶことは、デジタル調査員にとって有益です。実際、クラウド・コンピューティングに関して、これほど多くの無料教育コンテンツが提供されていることはありません。
Cloud OSINT
一般的なクラウドOSINT調査では、一般に公開されている(多くの場合、意図せずに公開されている)オンラインコンテンツに焦点が当てられ、一般にバケット(AWS、Google Cloud)やブロブ(Azure)と呼ばれるクラウドストレージリソースに展開されます。
公開されているバケットやブロブには、ビデオやMP3ファイルの再生、画像やPDFの表示など、Webサイトと同じようにオブジェクトを格納して表示することができます。
「漏れたバケツ」を検索することは、単なる調査の切り口ではなく、サイバーセキュリティの専門家や監査人がデータポリシーのギャップを見つけ、コンプライアンス違反を排除するためにも行われます。
ここでは、クラウド上で公開されているコンテンツを検索するための便利なツールをご紹介します。
- Grey Hat Warfare - ファイル、バケット、ブロブの検索可能なデータベースです。様々なクラウドリソースをキーワードで検索できます。完全な検索結果、リスト、ファイル拡張子、その他のオプションは、有料のサブスクリプションのみで利用可能です。
- Osint.sh Public Buckets - Amazon S3バケットとAzure blobの両方を検索します。キーワードやファイルの拡張子で検索を絞り込むことができます。
- Digi Ninja’s Bucket Finder - オフラインツール、ダウンロードが必要です。バケット名をチェックして、その公開/非公開の設定やパーミッションをチェックします。
ウェブやオフラインのツールは便利で簡単に利用できますが、本当の意味でのチャンスや選択肢の豊富さは、Githubや、公開すべきでないクラウドリソースを列挙して特定するために作成された数多くのリポジトリにあります。
- https://github.com/initstring/cloud_enum
- https://github.com/nyxgeek/AzureAD_Autologon_Brute
- https://github.com/Parasimpaticki/sandcastle
- https://github.com/sa7mon/S3Scanner
- https://github.com/clario-tech/s3-inspector
- https://github.com/eth0izzle/bucket-stream
- https://github.com/cr0hn/festin
- https://github.com/awslabs/aws-config-rules
- https://github.com/awslabs/git-secrets
- https://github.com/jordanpotti/AWSBucketDump
上記の資料の範囲は非常に広く、それらの資料を利用するには、ある程度深い理解と勉強が必要になるでしょう。
幸いなことに、そのような目的のための資料には事欠きません。
週刊OSINT 2021-37号 / Week in OSINT #2021-37(転載)
今号は、次のような話題をお届けします。
- Why Look at the Page Source?
- WeVerify Plugin
- Start.me on Canada
- IOCs on Twitter
- Whatsmyname
- Finding Hidden Content on LinkedIn
- Google Alerts
Tip: なぜページソースを見るのか?
OSINT分野のハードヒッターが、Twitterで質問をしたらどうなるでしょうか?その質問が「Webページのソースコードを見るべき理由を教えてください」だったらどうでしょう。その結果、興味深いツイッターのスレッドができ、なぜそれが実りあるものになるのか、たくさんの例が出てきます。解析コード、隠れたメタデータ、タイムスタンプ、解析されたJSONデータなど、多くの発見がありました。Kirbyさん、ご質問ありがとうございました。
The #OSINT question for this week: give one reason you might look at the source code or inspect panel for a website during an investigation.
— kirbstr (@kirbstr) September 7, 2021
Link: Twitter thread
ツール: WeVerify Plugin
フェイクニュースに対抗するための最良のツールの一つが、WeVerifyプロジェクトのツールボックスです。このツールボックスはブラウザに組み込まれており、ワンクリックで画像の逆引き検索や、便利なツールを集めたメニューを表示することができます。さらに、便利な新機能が追加されたことで、さらに進化しています。
- TwitterやFacebookからのメタデータ
- OCRツール
- イメージフォレンジックの強化
- ファクトチェックサイトのGoogle検索
- ソーシャルメディアのGoogle検索
何よりも素晴らしいのは、ツールの中に学習教材やゲームが用意されていることです。コンテンツのファクトチェックに慣れていない人は、「クラスルーム」や「デモ」を見て、スピードを上げていきましょう。ジャーナリストや研究者のみが利用できるツールもありますので、より高度な機能を利用したい方はアカウントを登録してください。Firefoxのアドオンもいつかアップデートされることを期待しましょう。
リンク: Start.me on Canada
Ritu Gillは、カナダに関する有用な情報を集めた「Start.me」のページを作成しました。国レベルのリンクだけでなく、州や地域別のリンクにも分けられています。膨大な量のリンクが掲載されており、カテゴリー別に分けられていないため少し検索する必要がありますが、必要に応じて有用なリンクの世界が広がっています。すべてのハードワークと、それをコミュニティと共有することに感謝します
Tip: IOCs on Twitter
Daniel Lópezはセキュリティアナリストで、phishhunt.ioの開発者です。phishhunt.ioは、ダニエル・ロペス氏のウェブサイト、Twitter、またはGitHubのリポジトリから、Twitterで共有されているIOCを見つけることができます。
彼のレポでもうひとつ興味深いのは、フィッシングキットのコレクションです。Phishhunt.ioは、アクティブなフィッシングサイトをダウンロードし、GitHubのレポに保存しています。ここにあるコレクションは本当に役に立ちます。
Link: TweetFeed
Link: Phishing kits
ツール: Whatsmyname
2015年10月にMicah Hoffmanは、ユーザー名を列挙するツールWhatsmynameを作成しました。このスクリプトは他のツールとは異なり、ウェブサイトに問い合わせをして、エラーがなければヒットするというものではありません。WebサイトやAPIにクエリを送信した後、実際にコンテンツを確認します。誤検出が減り、手作業に費やす時間も減りました。また、コミュニティのおかげで、さらに多くのサイトが追加されました。現在、300以上のウェブサイトが含まれていますが、あなたの助けが必要です。お気軽にフォームにご記入いただくか、プルリクエストを作成してサイトを追加してください。
Link: GitHub repo
Link: WhatsMyName web app
Tip: LinkedInの隠れたコンテンツを見つける
LinkedInユーザーにとっては、すべてが見えるわけではありません。なぜなら、プロフィールを見てもはっきりとは見えない情報もあるからです。しかし、古き良き時代のGoogleは、これらの隠れた情報を認識しており、Henk van EssがTwitterのスレッドで示したように、人々が働く場所を検索することもできます。
また、自分のプロフィールがGoogleにインデックスされないようにしても、追加した会社の従業員として表示されてしまいます。Irina Shamaevaのサイトでは、LinkedInの便利なクエリを紹介しています。
Link: Booleanstrings
Tutorial: Google Alerts
Tracy MaleeffがGoogleアラートの作成方法について短いチュートリアルを書きました。Googleアラートは、特定のトピックに関する情報を、メールボックスやRSSフィードで簡単に収集することができるサービスです。Googleのこのサービスは2003年に開始されたもので、Googleのデータベースに新しくインデックスされたURLが「アラート」にマッチすると、アラートの作成者に通知されるというサービスを提供しています。非常に便利で、設定も簡単です。この小さなチュートリアルに感謝します。
ライトオンに不正アクセス、会員の個人情報が流出(転載)
biz.right-on.co.jp/news/topics/11…
衣料品通販サイト「LINK IT MALL」に不正アクセス - クレカやアカウント情報が流出か(転載)
boujeloud.com/c/information/…
ブランド「Bou Jeloud」などの衣料品を扱う通信販売サイト「LINK IT MALL」が不正アクセスを受け、会員のアカウント情報やクレジットカード情報が外部に流出した可能性があることがわかった。
同サイトを運営するリンクイットによれば、ウェブサイトの決済アプリケーションを改ざんされ、2020年4月27日から2021年3月24日にかけて同サイトで商品を購入した顧客6197人が利用したクレジットカード情報が外部に流出し、不正に利用された可能性があることが判明したもの。
対象となるクレジットカード情報は6485件で、クレジットカードの名義、番号、有効期限、セキュリティコードが含まれる。また同サイトに登録する顧客のメールアドレスやログインパスワードについても流出した可能性があり、パスワードの初期化を実施したという。
4月20日に決済代行会社から情報流出の可能性について指摘があり問題が発覚。4月30日に警察へ被害を申告し、個人情報保護委員会に対しても7月21日に報告した。
外部事業者による調査は9月29日に終えており、対象となる顧客に対しては、11月4日よりメールで連絡を取って謝罪し、身に覚えのない請求が行われていないか確認するよう求めている。
手芸用品通販サイトに不正アクセス - 社内ネットワーク経由でサイト改ざん(転載)~想定損害賠償額は5,000万円程度か~
endless-inc.jp/img/news/21110…
パーツクラブ・オンラインからのカード情報漏えい
手芸用品通販サイトに不正アクセス - 社内ネットワーク経由でサイト改ざん
家具やインテリアの通販ショップに不正アクセス(転載)
kanetaya.com/infomation2021…