Netlas.ioでインターネット上の脆弱なシステムを見つける / Open Source Intelligence (OSINT): Finding Vulnerable Systems Across the Internet with Netlas.io（転載）

Open Source Intelligence (OSINT): Finding Vulnerable Systems Across the Internet with Netlas.io

しばしば、セキュリティスペシャリストとして、自分や他の人のシステムが様々な既知の脆弱性や攻撃に対して脆弱であるかどうかを確認する必要があります。ペネトレーション・テスターやセキュリティ・エンジニア、あるいはその他の悪意のあるアクターにとって、このような情報はミッションの成功に欠かせないものとなります。ShodanやCensysなど、この重要な分野についての洞察を提供するウェブサイトは他にも多数ありますが、netlas.ioはおそらく最高のものです。正直なところ、netlas.ioを利用していないのであれば、インターネット上の最高のリソースの1つを逃していることになります。

Netlas.ioは、以下のような少なくとも5つの異なるユースケースで使用することができます。

OSINT
攻めのセキュリティ
防御的セキュリティ
リードとコンタクト
マーケティングリサーチ

このチュートリアルでは、ペネトレーションテストの観点で、攻撃的なセキュリティツールとしてnetlas.ioを使用することに焦点を当てます。偵察やアタックサーフェスの形成など、ペネトレーションテストの最初のステップは、Netlas.ioを使うことでより早く、より簡単になります。ネットワーク境界の形成、スケーリング、アトリビューションのために、A、NS、PTR、MX、SPFレコードを含む、whois検索、DNSのフォワードおよびリバース検索を使用します。

ステップ1： netlas.ioへのログイン

最初のステップは、netlas.ioに移動してアカウントを作成することです。

netlas.ioはα版として開発されているため、ソーシャルメディアで紹介するだけで、複数の無料アカウントを提供しています。

ステップ2：基本的な検索クエリ

他の多くの検索エンジンと同様に、検索フィールドと検索フレーズをコロン(:)で区切って検索クエリを構築することができます。 IPアドレス、ホスト、whois、その他多くのフィールドで検索することができます。さらに、フィールド名とサブフィールド名をピリオドで区切って、サブフィールドで検索することもできます。

フィールド.サブフィールド:値

つまり、apacheのウェブサーバーを探す場合は、次のように入力します。

tag.name:apache

以下のように、netlas.ioは、apacheを使った9400万台のサーバーを見つけることができました。

各リストには、レスポンスタブ、証明書タブ、Whoisタブ、ドメインタブがあります。ドメインタブをクリックすると、そのIPアドレスでホストされているすべてのドメインが表示されます。

構文を使って、ホストで検索することもできます。

host:cybrary

ステップ3: 脆弱性の検索

このサイトの優れた点の一つは、脆弱性やCVEで検索できることです。例えば、CVEの脆弱性が9以上のサイトをすべて見たい場合は、次のように検索を入力します。

cve.base_score:>9

もし、すべてのサイトがSMBに対応しているかどうかを知りたければ、検索に入力することができます。

smb:*

レスポンスフィールドには、「smbv1_support」というサブフィールドがあることに注意してください。このサブフィールドを使用して、欠陥のある脆弱なSMBv1が有効（true）になっているサイトをすべて見つけることができます。

smb.smbv1_support:true

なお、この時代遅れの欠陥のあるバージョンのSMBを使用しているサイトは113,000以上見つかっています。

また、公開されている既知のエクスプロイトが存在するサイトを検索で探すこともできます。

cve.has_exploit:*

この検索では、7,400万以上のサイトが既知の公開された脆弱性を持っている可能性があることがわかります。画面の右端には、見つかった脆弱性のCVEが表示されています。このリストの上にあるCVEタブをクリックすると、netlas.ioは既知の脆弱性をすべてリストアップします。下のサイトには、深刻度が9以上の脆弱性が3つあることに注目してください。

また、既知の脆弱性の深刻度で検索することもできます。深刻度が「重要」と評価されたすべてのサイトを見たい場合は、下記で検索します。

cve.severity:critical

悪名高いEternalBlueエクスプロイト（SMBリモートコード実行）に脆弱なサイトをすべて見つけたい場合は、CVE名で検索をリクエストすることができます。

cve.name: CVE-2017-0145

161,000以上のサイトがこの脆弱性にさらされています。参考までに、NVDに掲載されているCVEリストを紹介します。

ステップ4 論理演算子を使う

netlas.ioに似た他のサイトと同様に、論理演算子を使って検索を絞り込むことができます。使用できるのは、AND、OR、NOT（それぞれ、&&、 ||、 !）デフォルトの演算子はANDです。

つまり、ASN番号が4134の、時代遅れで脆弱なMySQL v5を実行しているサイトを探す場合、次のようなクエリを作成することができます。

mysql.server.version:5 and asn.number:4134

また、Netlas.ioでは、正規表現（regex）やワイルドカード（*と?）を使った検索が可能です。

もしあなたがペネトレーションやOSINTの仕事をしているなら、netlas.ioは必須のツールです。重要な情報や脆弱性の検索にかかる時間を短縮することができます。言うまでもなく、完璧なツールはなく、それはnetlas.ioにも当てはまります。だからこそ、様々なツールに慣れ親しみ、仕事や状況に応じて最適なツールを使う必要があるのです。

ddosify - Golangで書かれた高性能な負荷テストツール / ddosify - a high-performance load testing tool, written in Golang（転載）

ddosify - a high-performance load testing tool, written in Golang

特徴

✔️ プロトコルにとらわれない - 現在、HTTP、HTTPS、HTTP/2をサポートしています。その他のプロトコルも予定しています。

✔️ シナリオベース - JSON ファイルでフローを作成します。コードは1行もありません。

✔️ 異なる負荷タイプ - 異なる負荷タイプでシステムの限界をテストします。

インストール

ddosifyはDocker、Homebrew Tap、およびリリースページからコンパイル済みのバイナリをダウンロードして、macOS、Linux、Windowsで利用できます。

Docker

docker run -it --rm ddosify/ddosify

Homebrew Tap (macOS and Linux)

brew install ddosify/tap/ddosify

apk, deb, rpm packages

# For Redhat based (Fedora, CentOS, RHEL, etc.)
rpm -i https://github.com/ddosify/ddosify/releases/download/v0.1.1/ddosify_amd64.rpm

# For Debian based (Ubuntu, Linux Mint, etc.)
wget https://github.com/ddosify/ddosify/releases/download/v0.1.1/ddosify_amd64.deb
dpkg -i ddosify_amd64.deb

# For Alpine
wget https://github.com/ddosify/ddosify/releases/download/v0.1.1/ddosify_amd64.apk
apk add --allow-untrusted ddosify_amd64.apk

便利なスクリプトを使う（macOS、Linux）

このスクリプトでは、ddosify のバイナリを /usr/local/bin に移動するために root または sudo の権限が必要です。
スクリプトは、オペレーティングシステム（macOSまたはLinux）とアーキテクチャ（arm64、x86、amd64）を検出して、リリースページから適切なバイナリをダウンロードしようとします。
デフォルトでは、スクリプトは最新バージョンのddosifyをインストールします。
問題がある場合は、一般的な問題を確認してください。
必要なパッケージ: curl と sudo

ソースからインストールする（macOS、Linux、Windows）

go install -v go.ddosify.com/ddosify@latest

簡単なスタート

このセクションでは、Ddosifyの使い方を簡単に説明しています。

1.簡易負荷テスト

 ddosify -t target_site.com

上記のコマンドでは、デフォルト値である10秒間に100回のリクエストを行う負荷テストを実行します。

2.いくつかの機能を使う

 ddosify -t target_site.com -n 1000 -d 20 -p HTTPS -m PUT -T 7 -P http://proxy_server.com:80

Ddosify は、プロキシ http://proxy_server.com:80 を通じて https://target_site.com に、1 リクエストあたり 7 秒のタイムアウトで 20 秒間に合計 1000 の PUT リクエストを送信します。

3.シナリオベースの負荷テスト

 ddosify -config config_examples/config.json

Ddosify はまず、プロキシ http://proxy_host.com:proxy_port を通じて、基本的な認証情報 test_user:12345 を用いて、HTTP/2 の POST リクエストを https://test_site1.com/endpoint_1 に送信し、タイムアウトを 3 秒に設定する。レスポンスを受け取ると、HTTPS GET リクエストが、config_examples/payload.txt ファイルに含まれるペイロードとともに https://test_site1.com/endpoint_2 に送信され、2秒のタイムアウトが設定される。このフローは、5秒間に20回繰り返され、レスポンスが標準出力に書き込まれます。

詳細

ロードテストの設定は、CLIオプションまたはコンフィグファイルで行うことができます。コンフィグファイルは、CLIよりも多くの機能をサポートしています。例えば、CLIオプションでは、シナリオベースの負荷テストを作成することはできません。

CLIフラグ

ddosify [FLAG]

Flag	Description	Type	Default	Required?
`-t`	Target website URL. Example: https://ddosify.com	`string`	-	Yes
`-n`	Total request count	`int`	`100`	No
`-d`	Test duration in seconds.	`int`	`10`	No
`-p`	Protocol of the request. Supported protocols are HTTP, HTTPS. HTTP/2 support is only available by using a config file as described. More protocols will be added.	`string`	`HTTPS`	No
`-m`	Request method. Available methods for HTTP(s) are GET, POST, PUT, DELETE, UPDATE, PATCH	`string`	`GET`	No
`-b`	The payload of the network packet. AKA body for the HTTP.	`string`	-	No
`-a`	Basic authentication. Usage: `-a username:password`	`string`	-	No
`-h`	Headers of the request. You can provide multiple headers with multiple `-h` flag.	`string`	-	No
`-T`	Timeout of the request in seconds.	`int`	`5`	No
`-P`	Proxy address as host:port. `-P http://user:pass@proxy_host.com:port'`	`string`	-	No
`-o`	Test result output destination. Other output types will be added.	`string`	`stdout`	No
`-l`	Type of the load test. Ddosify supports 3 load types.	`string`	`linear`	No
`-config`	Config File of the load test.	`string`	-	No
`-version`	Prints version, git commit, built date (utc), go information and quit	-	-	No

Load Types

Linear

ddosify -t target_site.com -l linear

結果:

注：指定された期間に対してリクエスト数が少なすぎる場合、テストが予想よりも早く終了する可能性があります。

Incremental

ddosify -t target_site.com -l incremental

結果:

Waved

ddosify -t target_site.com -l waved

結果:

コンフィグファイル

コンフィグファイルは、Ddosifyの全ての機能を使用するためのものです。

コンフィグファイルで使用可能な機能

シナリオ作成
ファイルからのペイロード
キープアライブの有効化／無効化ロジックなどの追加接続設定
HTTP2のサポート

使い方

ddosify -config <json_config_path>

config_examples/config.jsonには、サンプルの設定ファイルがあります。このファイルには、使用できるすべてのパラメータが含まれています。各パラメータの詳細です。

request_count optional
これは、-nフラグと同等のものです。違いは、シナリオに複数のステップがある場合、この値はステップの反復回数を表すことです。
load_type optional
これは -l フラグと同じです。
duration optional
これは -d フラグに該当します。
proxy optional
これは -P フラグと同じです。
output optional
これは -o フラグと同じです。
steps mandatory
このパラメータで、シナリオを作成することができます。Ddosifyは、指定されたステップをそれぞれ実行します。与えられたファイルの例では、ステップID：1のレスポンスを受信した直後にステップID：2が実行されます。実行の順番は、コンフィグファイル内のステップの順番と同じです。

ステップの各パラメータの詳細

id mandatory
各ステップには、一意の整数IDが必要です。
url mandatory
これは -t フラグと同じです。
protocol optional
これは -p フラグと同じです。
method optional
-m フラグと同じです。
headers optional
key:value形式のヘッダのリスト。
payload optional
-b と同義
payload_file optional
長いペイロードが必要な場合は、 payloadの代わりにこのパラメータを使用することをお勧めします。

auth optional

ベーシック認証

"auth": {
    "username": "test_user",
    "password": "12345"
}

others optional

このパラメータには、使用するプロトコルの接続詳細を設定するための動的なキーと値のペアを入力します。

"others": {
    "keep-alive": true,              // Default false
    "disable-compression": false,    // Default true
    "h2": true,                      // Enables HTTP/2. Default false.
    "disable-redirect": true         // Default false
}

パスワードスプレー攻撃への注意喚起 / Microsoft warns over uptick in password spraying attacks（転載）～SolarWindsのサーバーは「solarwinds123」というパスワードだった！？～

パスワードスプレー攻撃への注意喚起
Microsoft warns over uptick in password spraying attacks

マイクロソフト社のDART（Detection and Response Team）によると、国家が支援するハッカーやサイバー犯罪者は、攻撃者にとって手間がかからず価値の高い方法である「パスワード・スプレー」を使って個人情報を狙っているとのことです。

サイバー攻撃者が探しているのは、ソフトウェアの欠陥やサプライチェーンの脆弱性、オープンなRDP接続だけではありません。ハッカーが狙うもう一つの重要な資産は、アイデンティティ、特に他の社内システムへのアクセスを可能にするアカウント情報です。

CISA(米サイバーセキュリティ・インフラストラクチャ・セキュリティ庁)は2021年初め、SolarWinds社の攻撃の背後には、クレムリンの支援を受けたと疑われるハッカーが、ソフトウェアのアップデートをトロイの木馬化するだけでなく、初期アクセスのための管理アカウントのパスワードを推測し、パスワードを散布していたと警告しました。

最近では、イランの新興ハッキンググループが、ペルシャ湾で活動するイスラエルや米国の重要インフラのターゲットに対してパスワードスプレーを使用しているのをマイクロソフトが確認しています。

マイクロソフト社は、アカウント侵害の3分の1以上がパスワードスプレー攻撃であると推定しています。このような攻撃は、組織がマイクロソフト社の「パスワード保護」を使用して不正なパスワードを回避しない限り、アカウントに対する成功率は1％であるにもかかわらずです。

マイクロソフトは昨年、「1人のユーザーに対して多くのパスワードを試すのではなく、1つのパスワードに対して多くのユーザーを試すことで、ロックアウトや検知を回避しようとしている」と説明しました。このアプローチは、パスワードの試行に何度も失敗するとロックアウトされてしまうようなレート制限を避けるのに役立ちます。

マイクロソフト社のDART（Detection and Response Team）は、2つの主なパスワードスプレーの手法を紹介していますが、そのうちの1つを「Low and Slow」と呼んでいます。ここでは、決意を持った攻撃者が、"複数の個別のIPアドレスを使って、限られた数の呪われたパスワードを推測して、複数のアカウントを同時に攻撃する "という高度なパスワードスプレーを展開します。

もう1つの手法である「availability and reuse(可用性と再利用)」は、ダークウェブに掲載・販売されている過去に侵害された認証情報を悪用するものです。攻撃者は、「クレデンシャルスタッフィング」とも呼ばれるこの戦術を利用して、サイト間でパスワードやユーザー名を再利用することで、簡単に侵入することができます。

レガシーで安全性の低い認証プロトコルは、多要素認証を実施できないため、問題となっています。また、DARTによると、攻撃者はREST APIに注目しているとのことです。主な標的となるアプリケーションは、Exchange ActiveSync、IMAP、POP3、SMTP Auth、Exchange Autodiscoverなどです。

「最近、DARTでは、クラウドの管理者アカウントがパスワードスプレー攻撃の標的になるケースが増加している」とマイクロソフトは指摘しています。

また、セキュリティ管理者、Exchangeサービス管理者、グローバル管理者、条件付アクセス管理者、SharePoint管理者、ヘルプデスク管理者、請求書作成管理者、ユーザー管理者、認証管理者、会社管理者などの役割に対してセキュリティコントロールを設定する際には、特に注意が必要です。マイクロソフト社によると、Cレベルの重役や、機密データにアクセスする特定の役割など、注目度の高いアイデンティティもよく狙われるそうです。

マイクロソフト社、NobeliumことSolarWinds社のハッカーたちが、主に上流の顧客から管理者権限を委譲されたマネージドサービスプロバイダーを対象に、新たなターゲットに対してパスワードスプレー攻撃を行っていると警告しました。

マイクロソフトは、Nobeliumが "サービスプロバイダーの特権アカウントを標的にして、クラウド環境を横に移動し、信頼関係を利用して下流の顧客にアクセスし、さらなる攻撃を可能にしたり、標的のシステムにアクセスしたりしていた "ことを突き止めました。

今回の攻撃は、製品のセキュリティ上の脆弱性によるものではなく、"高度なマルウェア、パスワードスプレー、サプライチェーン攻撃、トークンの盗難、APIの不正使用、スピアフィッシングなど、Nobeliumのダイナミックなツールキットを継続して使用し、ユーザーアカウントを侵害してそのアクセスを利用している "とマイクロソフトは強調しています。

DARTは、スプレー攻撃が少なくとも1つのアカウントで成功したかどうかを判断すること、どのユーザーが影響を受けたかを判断すること、管理者アカウントが侵害されたかどうかを判断することなど、調査の方針を立てるのに役立つ便利なヒントを提供しています。

週刊OSINT 2021-40号 / WEEK IN OSINT #2021-40（転載）

今号は、国際犯罪、ソーシャルエンジニアリング、書籍、ツールなどについてです。

今週もヒントやリンクの量は止まりませんでした。以前にも書きましたが、この週刊ニュースレターを3年以上書いていても、自分が共有できる新しいコンテンツの量に驚くことがあります。学ぶべきことも、共有すべきこともたくさんあります。

今号は、次のような話題をお届けします。

Investigation of International Crimes
About Fraudsters and Social Engineering
OpenCorporates CLI
Threat Intel in SpiderFoot
OSINT Map
Advangle
OSINT Books
Hunchly and Maltego

記事：国際犯罪の捜査

Alexa Koenigが先週、60日間限定で無料公開されているジャーナルのリンクをシェアしてくれました。まだ全部は読んでいませんが、国際犯罪の捜査をしている人はぜひじっくり読んでみてください。国際犯罪の証拠を刑事司法の基準に沿って保存することや、性暴力の捜査の有効性と倫理性についての議論がなされています。認知的・技術的バイアスの問題にも触れており、eyeWitnessアプリの使用経験や法廷で使用された証拠についても取り上げています。また、国際犯罪裁判所でデジタル証拠を使用する際の課題と教訓についても書かれています。国際犯罪裁判所は、デジタル証拠に必ずしも適した法律ではありません。全体で200ページを超える大作ですが、この仕事に携わるすべての人にとって非常に重要な内容だと思います。

記事：詐欺師とソーシャルエンジニアリングについて

TwitterユーザーのIthaka32さんは、ガーディアン紙の記事を紹介してくれました。この記事では、詐欺師がオンライン上の情報を利用してソーシャルエンジニアリングを行う方法を説明しています。これは、人々が騙されて犯罪者にお金を送ってしまうという、深刻な問題です。Hilary Osborneがこの記事を書いたのはGuardianの一般読者向けであり、OSINTに詳しい私の読者向けではありませんが、私はオープンソース情報を利用することの暗黒面についての話を共有することは重要だと思います。倫理的であること、そして安全であること。それが正しいことであるだけでなく、捕まる可能性が非常に高いからです。

ツール: OpenCorporates CLI

GitHubにて、Richard Mwewa氏がOpenCorporatesの非公式コマンドラインツールを作成しました。使い方はとてもシンプルで、いくつかの基本的なオプションしかありません。会社名に関するすべての情報をダンプし、JSONにダンプすることができ、JSONファイルに書き込むこともできます。オプションが限られているにもかかわらず、他のプラットフォームやコードに組み込むことができる非常に便利な小さなツールであり、会社のデータを扱う際には、JSON形式の大きなデータが必要になります。

記事：SpiderFootに込められた脅威の情報

SpiderFootでは、Haklukeとdccybersecに、脅威情報リソースのトップ5を集めるよう依頼しました。世の中にはたくさんの情報がありますが、選ばれた5つのプラットフォームは私も大好きなものです。悪意のあるIPアドレスに対処しなければならない場合、豊富な情報を得ることができますし、何よりも素晴らしいことです。これらのプラットフォームのほとんどは無料、または無料のティアを提供しています。

サイト: OSINT Map

OSINTリソースを共有している最も活発なTwitterユーザーの一人、cyb_detective氏。彼は新しいツール、OSINTマップを公開しました。彼は2年間に渡って公共交通機関、企業登録、車両情報、地籍図などのリンクを集め、それらを地図上にプロットしました。多くの国が追加されていますが、まだリンクがない国もありますので、遠慮なく彼のGitHub repoに追加してください。この地図を作ってくれてありがとう、これからもがんばってね。

サイト: Advangle

今週末、Ritu Gillさんから素晴らしいヒントが共有されました。Advangleというサイトは、インタラクティブなメニューでGoogleやBingの検索クエリを作成できるオンラインツールです。2013年に構築された後、ようやく私の週刊ニュースレターにたどり着きました。見たところ、それ以来更新もされておらず、HTTPSによる安全な接続もされていない。しかし、複雑な検索クエリを書くのに少し慣れていない人や、検索結果を視覚化するのが好きな人には、このウェブサイトは必見です。条件や属性をひとつずつ追加して、問い合わせたい検索エンジンをクリックするだけ。

小技: OSINT Books

Maltegoは今月、ハッシュタグ「#OSINTOctober」でツイートを共有しており、毎日、新しいヒントやリンク、サイトが紹介されています。土曜日には、OSINTファン必読の書籍リストを紹介しました。まだまだ面白いことが起こりそうなので、彼らのツイッターに注目してみてください。

メディア：HunchlyとMaltego

Maltegoといえば、Hunchlyには、HunchlyのケースをツールにインポートできるMaltegoトランスフォームがあることをご存知でしょうか？ケースをインポートすると、キャプチャしたすべてのページ、画像、セレクタ、オブジェクトがMaltego内で使用できるようになります。これにより、キャプチャされたすべてのデータを視覚的に把握することができ、すでに収集したデータに対してトランスフォームを実行することができます。Justin Seitz氏による素晴らしいチュートリアルです。この2つのツールをお使いの方は、ぜひご覧ください。

オマケ: Shodan Fun

2019年、私は光栄にもハーグのユーロポールでOSINTとオペレーショナル・セキュリティ・フェイルについての講演を行いました。私は、人事異動から工業用ポンプまで、また、デジタル証明書の機密情報からクレデンシャルのリークまでをカバーしました。この画像は、私が講演の中で紹介した面白い例の一つで、先週、ネット上で似たようなものを見つけたときに思い出しました。皆さんに質問です。あなたが今までに見つけた最も面白いShodanのスクリーンショットは何ですか？ハッシュタグ「#ShodanFun」をつけて、Twitterでシェアしてくださいね。

サイバーセキュリティに関するグローバル動向四半期レポート（2021年4月～6月）を公開（転載）～EC-CUBEの脆弱性特集♬～

サイバーセキュリティに関するグローバル動向四半期レポート（2021年4月～6月）を公開 | NTTデータ
nttdata.com/jp/ja/news/inf…

この四半期におけるグローバル動向として、EC‐CUBEのクロスサイトスクリプティング脆弱性、メルカリ社に対する多段階のソフトウェア・サプライチェーン攻撃、大量の身分証明書の画像の流出による社会的な影響などを取り上げています。

これらに関する事例の解説・分析や分野別動向、セキュリティに関する出来事をタイムラインにまとめて記載しました。

また、この四半期を踏まえた今後のサイバーセキュリティ動向についても予測しています。

レポート目次

1．エグゼグティブサマリー

2．注目トピック

3．情報漏えい

4．脆弱性

5．マルウェア・ランサムウェア

6．予測

7．タイムライン

レポート（バックアップ）

「東京五輪で4.5億回のサイバー攻撃」～武漢ウイルスで盛り上がりに欠けた分、サイバー攻撃も控えめだった模様～

「東京五輪で4.5億回のサイバー攻撃」NTTらが語る大会運営の裏側 xtech.nikkei.com/atcl/nxt/colum…

「東京2020オリンピック・パラリンピック競技大会の期間中に、約4億5000万回ものサイバー攻撃とみられるシグナルを検知した。しかし攻撃をブロックするなどして、大会運営に支障を来すインシデントは発生しなかった」。

NTTのCISO（Chief Information Security Officer）は2021年10月21日、21年夏に開催された東京五輪・パラリンピック大会の舞台裏をこのように明かした。NTTグループは同大会のゴールドパートナーとして、サイバーセキュリティー対策を含む大会の運営に必要な通信サービスを提供した。

約4億5000万回という攻撃回数は、12年に英国で開催されたロンドン五輪における約2億回という攻撃回数（バックアップ）の2倍以上に当たるものの、リオ五輪における大会中に発生したセキュリティイベントの総件数13億件よりは減少しているといえ、武漢ウイルスで盛り上がりに欠けたことが、幸いしたといえる。

また、リオオリンピックでは200Gbps以上のDDoS攻撃が観測されたり、18年に韓国で開催された平昌冬季五輪では、サイバー攻撃によって一部ネットワークが接続できなくなるなどの被害が出たが、こういったDDoS攻撃や実被害は出なかった。

※開会式当日の早朝に大規模ネットワーク障害が起きたものの、実はAkamaiの障害だったというオチはあった。

※他にもサイバー攻撃に限らない細かい問題はたくさん発生したようだが、詳細はコチラを参照

今回の東京五輪・パラリンピックで、このような大きな被害が起きなかった理由について、東京オリンピック・パラリンピック競技大会組織委員会テクノロジーサービス局局長は「組織委員会の立ち上げ期から、サイバーセキュリティーの専門家が内部スタッフとしてシステムを早期導入してきた。プロアクティブな対策を早期から推進できたことも重要だった」と振り返った。

東京五輪・パラリンピックのサイバーセキュリティー対策の中心となったのは、大会前の19年3月から組織委員会が運用を開始した「セキュリティオペレーションセンター（SOC）」だ。大会期間中に最終的には128人の技術者が24時間体制で、サイバー攻撃から大会運営用ネットワークなどを防御した。128人の約7割がNTTの技術者だったという。

大会関係者への攻撃は、大会が始まる1年半前から大量に発生していた。「19年11月から20年1月にかけて、IOC会長や組織委員会・事務総長になりすました不審メールを大量に観測した。さらに21年3月から6月にかけては、関係スポーツ機関のホームページ改ざんなども観測し、注意喚起をしていた」と打ち明ける。

そして大会期間中の21年7月から8月にかけては、「世界各国から（特定のIDに対してパスワードを変えながら、不正ログインを試みる）パスワードスプレー攻撃とみられる認証エラーを大量に観測した」という。このような不正攻撃の通信を大量にブロックしたり、エンドポイントを狙った攻撃に対しては端末のクリーンアップなどの対策を施したりすることで、大きな被害を発生することなく大会期間を終えたという。

【参考資料】

東京2020オリンピック・パラリンピック競技大会におけるNTTの貢献

～通信サービス with サイバーセキュリティの観点から～（バックアップ）

佐川急便でパワハラ、30代係長が自殺　内部通報機能せず（転載）

佐川急便でパワハラ、30代係長が自殺　内部通報生かせず「企業任せ」限界露呈
 佐川急便でまたパワハラ自殺、上司が激しい叱責「お前どれだけ嘘つくんだよ」会社は謝罪

佐川急便（本社・京都市）が東京都品川区に置く物流配送営業所の男性営業係長＝当時（３９）＝が2021年6月、上司２人からの度重なる叱責しっせきによるパワーハラスメントなどを理由に、営業所で自殺していたことが明らかになった。同社では内部通報があったが生かせなかった。2020年6月にパワハラ対策を大企業に義務付けた法律施行後も、働く人の自殺は後を絶たない。

遺族代理人の弁護士らが2021年11月4日、厚生労働省で記者会見して公表した。

◆複数の上司が関与か　40分以上叱責も

代理人によると、男性はドライバーの管理や営業を担当。2020年6月ごろから別の課の課長らに朝礼で叱責されたほか、社内のチャットで「なめ切ってるな」「うそつき野郎はあぶりだすからな！」などのメッセージを受けた。亡くなる前日には直属の上司の課長から電話で「うそつくやつとは一緒に仕事できねえんだよ」と言われ、机の前に立たされて４０分以上叱責を受けた。男性は2021年6月23日朝、勤務先の営業所から飛び降り自殺した。

◆会社は被害者に聞き取りせず

亡くなる２カ月前、男性と同じ営業所の社員を名乗る人物が匿名で２人の課長の行為が「パワーハラスメントに該当するのではないか」と内部通報していた。だが、同社の管理部門は男性本人を含む部下へ直接調査を行わず、当事者の上司らからの聞き取りのみで、パワハラを確認できないと結論付けた。代理人は「（内部通報の）窓口が機能しない典型例」と批判した。

男性の死後、佐川急便は外部の法律事務所による調査なども実施。本村正秀社長が2021年9月にパワハラの事実を認め、遺族に謝罪した。遺族側は労災の申請や損害賠償の請求などを検討している。男性の妻は「どんなに謝罪されても夫は帰ってきません。今回のことを決して風化させないでほしい」とのコメントを出した。佐川急便は本紙の取材に「再発防止に取り組む」と答えた。

◆求められる厳しい法整備

2020年6月に施行された改正労働施策総合推進法（パワハラ防止法）で大企業に相談窓口の設置など対策を義務付けている。だが、佐川急便の事例では通報を受けた調査が機能せず、企業任せの限界が露呈した。企業への罰則規定など実効性のある法整備が求められる。

パワハラについて厚生労働省は、威圧的な叱責といった精神的攻撃や身体的攻撃など６種類の該当例を示す。防止法では、パワハラ内容の周知や相談窓口設置、迅速な対応を企業に義務付けた。違反すると行政の是正指導や勧告があり、従わない場合に企業名が公表されるものの、パワハラ行為自体を禁止しておらず企業への罰則もない。