株式会社アヤハディオは2021年12月1日、同社が展開しているオンラインショップ「アヤハディオネットショッピング(以下:同社サイト)」の制作・運用先企業のシステムがサイバー攻撃を受けたことにより、過去同社サイトでクレジットカード決済したユーザーのカード情報110件および592名分の個人情報が流出した可能性あると明らかにしました。
アヤハディオ社によれば2021年9月3日、サイト制作・運用先企業からカード情報の流出懸念について連絡を受け、第三者調査機関を通じた調査を開始。2021年9月28日に完了した調査報告から、何者かが同社サイトに不正アクセスを仕掛けマルウェアを設置したことにより2021年3月26日~2021年8月19日の期間中に同社サイトで商品を購入した一部ユーザーのクレジットカード情報および2021年4月6日までに同社サイトにて会員登録したユーザーの情報が流出した事実が明らかとなったとしています。
アヤハディオ社は流出の事実を受け、個人情報保護委員会に事案発生を報告、警察に通報しています。今後はセキュリティ対策を実施し、再発を防止する考えです。
アヤハディオ社によれば、同社は現在、クレジットカード情報および個人情報の流出懸念が生じているユーザーに向け、個別に書状で連絡しています。
同社は流出懸念を把握してから事実の公表までに約3カ月が経過した点について、対応準備を整えていたと説明しています。同社によると、被害情報が整わないままに告知すると混乱が生じかねないため、事実関係の把握および関係先との連携体制を整えてからの公表が不可欠と判断したとのことです。
なお、同社は今後セキュリティ体制を強化した改修版通販サイトを公開する考え。ただし、記事発表時点で再開日は明らかにされておらず、今後改めて公表するとしています。
弊社が運営する「アヤハディオネットショッピング」への不正アクセスによるお客様情報漏洩に関するお詫びとお知らせ(バックアップ)
「エヴァ」公式ECでクレカ情報流出か セキュリティコード含む1万7828件
アニメ「エヴァンゲリオン」シリーズなどの著作権管理を手掛けるグラウンドワークスは2021年11月30日、同社が運営するECサイト「EVANGELION STORE(オンライン)」が第三者の不正アクセスを受け、顧客のクレジットカード情報1万7828件が漏えいした可能性があると発表した。一部の顧客のカード情報は、不正利用された可能性もあるという。
同社は7月12日に、カード会社から漏えい懸念の指摘を受けて、同日中にカード決済を停止し、ECサイトの閉鎖を発表。その後の調査で、2020年6月8日から21年6月30日の間に同ECサイトを利用した顧客1万7828人分のカード名義人名とカード番号、有効期限、セキュリティコード、会員用メールアドレス、パスワードが漏えいした可能性があると明らかになった。
同社に確認したところ「同ECサイトでは、顧客のカード情報は保持していなかった」としており、原因はサイトの改ざんという。「不正アクセスにより、カード決済時に会員情報と認証情報を収集するための悪性ファイルとコードが(ECサイトのペイメントアプリケーションに)設置されたため、第三者にカード情報が漏えいした可能性がある」と説明する。
7月12日の漏えい懸念の発覚から公表が遅れたのは、「不確定な情報の公開は混乱を招き、顧客への迷惑を最小限に食い止める対応準備を整えてからの告知が不可欠であると判断。発表は調査会社の調査結果とカード会社との連携を待ってから行うことにしたため」とコメントしている。
同社は情報漏えいの懸念がある顧客にはメールにて個別に連絡をしており、漏えいした可能性があるカードの取引状況のモニタリングと、カード再発行の手数料などを負担するとしている。ECサイトの再開時期は未定だ。
弊社株式会社グラウンドワークスが運営する「EVANGELION STORE(オンライン)」への不正アクセスによる個人情報漏えいに関するお詫びとお知らせ(バックアップ)
記事: Investigating Fraudulent Covid-19 Certs
Twitterでosintmeとして知られるMaciej 'Matt' Makowskiは、サイバー犯罪との戦いの経験があります。そのスキルを活かして、彼はCovid-19の偽造証明書やパスの世界に飛び込みました。偽造された証明書を撤回する仕組みがない国もあるため、時間の経過とともに深刻な問題となる可能性があります。マットの記事を読むと、ダークウェブ上のすべての広告や、オンラインの安全でないシステムについても、この問題はすぐには解決しないだろうということがわかります。
記事: The Basics of the Tor Network
2020年11月、OSINT Combineにダークウェブ検索に関する記事が掲載されました。多くの人にとって、この記事はインターネットの隠された部分の世界に足を踏み入れる第一歩となりました。今回はパート2として、Torの世界、リレーと出口ノード、そしてそれらについての情報をより深く掘り下げています。Torがどのように機能しているのか、もっと基本的なことを知りたい方は、ぜひ読んでみてください。
先日、Kirby PlessasがTwitterでVPN以外の方法でIPアドレスの痕跡を残さずにWebサイトにアクセスするための方法について質問したところ、とても素晴らしい回答がありました。
これらのヒントやその他の素晴らしいヒントについては、Twitterのスレッドでご覧ください。もちろん、あなた自身のヒントもご自由にお寄せください。
リンク: OH SHINT! Links Collection
Twitterユーザーのohshint_さんが、GitHub.ioのブログを更新し、すべてのリンクを含むファイルを提供しています。ワンクリックで、ブックマークをHTML形式でダウンロードしたり、セクション内のすべてのリンクを含むPDFをダウンロードしたりできます。このサイトは素晴らしいリソースライブラリになっていて、私はこのダウンロードがとても気に入っています。ありがとうございます。
リンク: Top OSINT & Infosec Resources
Maltegoは、#OSINTOctoberキャンペーンを終了し、特別なプレゼントを用意して締めくくりました。100以上のブログ、サイト、ツール、ポッドキャスト、ニュースサイト、サイバーセキュリティ・プラットフォームなどを集めたそうです。個人情報を入力した後、彼らのウェブサイトから無料でダウンロードすることができます。
寿司などの販売を手がける金沢市の「芝寿し」は、オンラインショップの委託先のシステムが不正アクセスを受け、利用客のクレジットカード情報や個人情報が流出した可能性があると発表しました。
「芝寿し」によりますと、流出した可能性があるのは、「芝寿し」のオンラインショップの利用者、1544人分のクレジットカードの名義や番号、セキュリティコード、そして、1万6131人分の氏名、住所、電話番号やメールアドレスなどの個人情報です。
ことし9月、「カード情報流出に関する懸念がある」とカード会社からの連絡があり、すぐにサイトでの販売を停止して調査を進めてきましたが、その結果、オンラインショップのサイトの委託先の京都の会社のシステムに外部からの不正アクセスがあったことが判明したということです。
「芝寿し」によりますと情報が流出した恐れのある利用者には、個別にメールで連絡しているということです。
また、クレジットカード会社がモニタリングを継続し、不正利用の防止に努めていますが、身に覚えがない請求があった場合などには、すぐにカード会社に連絡して欲しいとしています。
「芝寿し」は「お客様や関係者の皆さまにご迷惑ご心配をおかけし深くお詫び申し上げます。今回の事態を厳粛に受け止め再発防止の対策を進めてまいります」とコメントしています。
2021年11月22日(月)~12月22日(水)まで、永久不滅ポイントからJALのマイルへの交換でレートアップキャンペーンが行われる。
期間中、エントリーの上、永久不滅ポイントからJALのマイルに交換すると、通常200ポイント=500マイルだが、期間中は200ポイントが600マイルで交換できる。
通常分のマイルは3~4週間でマイル口座に反映されるが、ボーナス分は2022年2月中に積算される。
オープンソース・インテリジェンスを捜査に活用する方法を学ぶことは、終わりのない道のりです。幸いなことに、同じ道を歩んできた多くの人々が、その足跡を共有しています。
今回は、OSINTに興味のある方にお勧めしたいウェブサイト、ブログ、ポッドキャスト、YouTubeチャンネル、書籍などを、専門家のグループが選択しました。
今回は、私たちがお勧めするOSINT学習教材のいくつかの断片をご紹介します。OSINTだけでなく、サイバーセキュリティ、サイバー犯罪、信頼と安全に関する洞察のための100以上のウェブサイト、ブログ、ポッドキャスト、YouTubeチャンネル、書籍の全リストを受け取りたい方は、今すぐマスターコレクションをダウンロードしてください。
知っておくべき7つのOSINTウェブサイト&ブログ
これらのOSINTウェブサイトやブログは、OSINTの新しいトレンド、ツール、ケーススタディ、そしてOSINTの世界で何が起こっているのかを知ることができる、あなたのお気に入りの場所です。
Hatless1der by Griffin:OSINTコミュニティへの積極的な貢献者であるGriffinは、実際のOSINTおよびGEOINT調査、ならびに有用なツールとリソースのリストを共有しています。
Lorand Bodo : オープンソースインテリジェンス(OSINT)に精通したマルチリンガルアナリストであるLorand Bodoは、オンライン上のテロリスト組織の監視・分析、情報収集のための独自の調査方法の開発、そして最終的には重要な問題についての詳細な分析を専門としています。
Offensive OSINT by Wojciech : システムエンジニア、ペンテスター、OSINT研究者としての経験を持つWojciechは、特に攻撃的なOSINTの調査、ツール、方法論、分析について執筆しています。
OSINT Techniques : このサイトは、情報を調査・分析するための数多くの無料のオープンソースリソースを提供しています。このサイトの情報は誰でも利用することができますが、分析者や研究者などの調査的な役割の方には最も役立つでしょう。
Secjuice : Secjuiceは、サイバーセキュリティ、OSINTガイドやチュートリアル、興味深い調査など、技術的・教育的なインフォセックのトピックを、その分野の専門家や愛好家である寄稿者が何百もの記事を書いています。
Week in OSINT Newsletter by Sector035 : 毎週月曜日に発行されるSector035ニュースレターは、#OSINT関連の講演、ヒント、ツール、便利なウェブサイトなどを厳選してご紹介しています。
Wondersmith Rae by Rae Baker : OSINTの実務家、作家、講演者として知られるRae Baker氏は、OSINTやインフォセックに関する興味深いトピックについて、彼女の洞察力、意見、分析、調査を共有しています。
聴くべき7つのOSINTポッドキャスト
これら7つのOSINTポッドキャストは、実用的なOSINTの使用事例、研究、技術、そして特集インタビューをカバーしています。
Breadcrumbs by Trace Labs : Trace Labsは、カナダを拠点とする非営利団体で、オープンソースの情報収集のためのクラウドソーシングを専門としています。Breadcrumbsポッドキャストでは、Trace LabsがOSINT収集に関連するトピック、テクニック、ツールを探求しています。
Layer 8 Podcast by Layer 8 Conference : Layer 8 Conferenceは、ソーシャルエンジニアリングと情報収集に特化した初のカンファレンスです。毎回のポッドキャストでは、友人が暖炉のそばでおしゃべりするように、ソーシャルエンジニアリングやOSINTの調査について語るゲストを紹介しています。
The InfoSec & OSINT Show by Josh Amishav : このポッドキャストの目的は、情報セキュリティにおいて何が有効で、何が有効でないかという実践的なヒントを共有することです。基本的には、ゲストの知恵を、あなた自身のスキルを向上させるために使用できる実用的なヒントに変えています。
The OSINT Bunker Podcast : UK Defence Journalとのコラボレーションにより、@DefenceGeek, @Osinttechnical, @air_intel, @KyleJGlenがホストを務めるミリタリーニュースと防衛関連のポッドキャストです。
The OSINT Curious Project Podcast : OSINT Curious Projectは、質の高い実用的なOSINTニュース、オリジナルブログ、教育ビデオ、隔週のウェブキャスト/ポッドキャストなどを提供する、OSINT学習の触媒となるプロジェクトです。そして何よりも、OSINTのコンフォートゾーンの外を見て、OSINTへの情熱を追求するように人々を鼓舞することを目的としています。ウェブアプリケーションを探索してちょっとした情報を得たり、重要なOSINTデータにアクセスするための新しいテクニックを試したりすることに、人々の好奇心をかきたてようとしています。
The Privacy, Security & OSINT Show by Michael Bazzell : この週刊ポッドキャストは、あなたがデジタル的に見えなくなり、サイバー脅威から安全になり、より良いオンライン調査員になるためのアイデアを紹介します。
The World of Intelligence by Janes : Janes社が運営するThe World of Intelligenceは、4つのコア・ケイパビリティ・エリアで検証されたオープンソースの防衛情報を提供しています。脅威、装備、防衛産業、国という4つの中核的な能力分野で検証されたオープンソースの防衛情報を、防衛産業、国家安全保障、そして最後に政府のワークフローに沿って提供しています。
まだまだあります 100以上のOSINT&Infosecリソースのマスターコレクションを今すぐダウンロードする
OSINT、サイバーセキュリティ、サイバー犯罪、信頼と安全の調査技術について学ぶための有用なリソースは、この記事では紹介しきれないほどたくさんあります。
OSINTとインフォセックのスキルをブラッシュアップするための100以上のウェブサイト、ブログ、ポッドキャスト、YouTubeチャンネル、書籍、その他のリソースの全リストを受け取りたい方は、今すぐマスターコレクションをダウンロードしてください。
お気に入りのリソースがリストにありませんか?お送りいただければ、必ず追加いたします。
ヴァンドームヤマダが不正アクセス被害、顧客カード情報2,715件流出か
株式会社ヴァンドームヤマダは2021年11月25日、同社が運営するオンラインショップ「ヴァンドームジュエリーオンラインストア」が何者かのサイバー攻撃を受けたことにより、過去「ヴァンドームジュエリーオンラインストア」にてカード決済したユーザーのクレジットカード情報2,715件が流出した可能性があると明らかにしました。
株式会社ヴァンドームヤマダによれば、原因は同社ECサイトに内在していた脆弱性によるものです。同社は2021年10月11日に「ヴァンドームジュエリーオンラインストア」の決済代行会社からカード情報が流出した可能性があると指摘を受けたため、第三者専門機関を通じて調査を実施したところ、「ヴァンドームジュエリーオンラインストア」にサイバー攻撃の原因となる脆弱性が内在していた事実が判明したとしています。
株式会社ヴァンドームヤマダによると、攻撃者はシステムに内在していた脆弱性を利用して、「ヴァンドームジュエリーオンラインストア」の決済フォームを改ざんしていました。このため、攻撃を受けていた期間中(2021年8月2日~2021年10月11日)に決済フォームに入力されたカード情報が外部に流出した可能性があるとのことです。
株式会社ヴァンドームヤマダは不正アクセスの発生を受け、事実を公表するとともに被害可能性の生じているユーザーへの対応を進めています。
また、攻撃を受けた「ヴァンドームジュエリーオンラインストア」については被害懸念が生じた時点で停止措置を講じており、今後はセキュリティ強化を含めた改修を実施するとのこと。再開日は決定次第、公表するとしています。
なお、同社は不正アクセスの懸念発生から公表までに約1カ月のタイムラグが生じた点について「混乱を避けるため」と説明。対応準備を整えるために時間を要したとしていますが、同様の事例では3カ月以上が経過する例もあります。
西光亭ネットショップがサイバー攻撃被害、カード情報3,079件や会員情報流出の可能性
有限会社サンタネは2021年11月17日、同社が運営している「西光亭ネットショップ」が何者かのサイバー攻撃を受けたことにより、過去「西光亭ネットショップ」にてクレジットカード情報を入力したユーザーのカード情報3,079件や同社が保有する会員データベース情報について流出の可能性があると明らかにしました。
発表によると、2021年6月16日、「西光亭ネットショップ」のシステム開発元よりサイトに内在している脆弱性について連絡を受けたため、調査を実施したところ、不正アクセスの痕跡が見つかったとのこと。
このため、サンダネ社が外部調査機関による専門調査を実施したところ、何者かが「西光亭ネットショップ」の決済システムを改ざんしており、2021年3月10日~2021年6月16日の期間中に「西光亭ネットショップ」にてカード決済したユーザーのクレジットカード情報やメールアドレス・パスワード等の情報を盗み取っていた可能性があると判明。さらに攻撃者が同社の会員データベースに手を伸ばしていた事実が確認されたとしています。
有限会社サンタネによると、同社は今後、被害懸念の生じているユーザーに個別に連絡を取り、不正利用の可能性について注意を促す方針です。
同社は不正アクセス懸念が生じた2021年6月16日時点で「西光亭ネットショップ」の運用を停止していましたが、事実を公表するまでに約5カ月が経過した点について、混乱を避けるために必要な判断だったと説明しています。
すなわち、専門調査が完了せず情報が不確定な段階で事実を公表することにより生じる混乱を避け、対応準備を整えるため、公表時期について慎重な結論を出したとのことです。なお、同社は「西光亭ネットショップ」の再開時期については、決定次第、告知するとしています。
2021年10月の最初のサイバー攻撃のタイムラインが来ましたが、少なくとも数字の面では、今年の最低記録を更新したと言わせてください。前回のタイムラインでは108件だったのに対し、今年は77件でした。それにもかかわらず、ランサムウェアは引き続き脅威の主流となっており、直接的または間接的に28.6%を占めています(前回のタイムラインでは26.8%)。
脆弱性は、日和見主義の攻撃者や国家が関与する攻撃者にとって、攻撃者が最初にアクセスするベクターの一つとして引き続き好まれています。また、ランサムウェア「Atom Silo」は、CVE-2021-26084の脆弱性を持つConfluenceサーバを標的にしており、Apache Software Foundationでは、Webサーバにパッチを適用して3つの脆弱性に対応していますが、そのうちの1つであるCVE-2021-41773は攻撃者に積極的に利用されています。
しかし、モバイルOSまでもが攻撃を受けています。Apple社はiOS 15.0.2とiPadOS 15.0.2をリリースし、野生で活発に悪用されているゼロデイ脆弱性CVE-2021-30883を修正しました。
いつものように、サイバースパイの最前線では様々な出来事が起こっています。APT28は常に活発に活動しており、Googleは14,000人以上のGmailユーザーにメールで通知を送らなければなりませんでした。上記のIronHuskyの他にも、APT35、APT41、Donot Teamによる新たなキャンペーンや、DEV-0343と呼ばれる新たなアクターが、米国やイスラエルの防衛技術企業のOffice 365テナントを対象に、大規模なパスワード・スプレー攻撃を行っていることがタイムラインに記載されています。
日本関連のインシデントはありませんでした。
Dark Tracerによると、10月は日本企業4社がランサムウェアの被害にあっている模様。
シークス株式会社(http://www.siix.co.jp/)
I&H株式会社(http://www.hanshin-dp.co.jp/)
株式会社 ぬ利彦(https://www.nurihiko.co.jp/)
LockBit 2.0 Ransomware Group just added a new Hack: “hanshin-dp.co.jp” Twitter Telegram © ALL RIGHTS RESERVED TO DarkFeed 2020
The post LockBit 2.0 appeared first on DeepWeb intelligence Feed.
LockBit 2.0 Ransomware Group just added a new Hack: “siix.co.jp” Twitter Telegram © ALL RIGHTS RESERVED TO DarkFeed 2020
The post LockBit 2.0 appeared first on DeepWeb intelligence Feed.
Snatch Ransomware Group just added a new Hack: “Ishida” Twitter Telegram © ALL RIGHTS RESERVED TO DarkFeed 2020
The post Snatch appeared first on DeepWeb intelligence Feed.
メディア: Mapping Tutorial
ベンジャミン・ストリック氏による素晴らしいビデオが公開されました。私はこのビデオを見たのですが、単に時間がなくて最後のエピソードに入れることができませんでした。ベンは、基本的なOverPass Turboのクエリを実行する方法、Google Earth Proにインポートする方法、面白いものの地図を素早く描くための他の無料ツールを紹介しています。
記事: Does This Person Exist?
TwitterユーザーのOSINT Shinobiさんが先週、面白い話をしていました。フランスのカーン・ノルマンディー大学では、「この人は存在しません」で生成される画像を研究しています。いわゆる「メンバーシップ攻撃」を用いて、画像をトレーニングデータと比較することで、画像の出所を特定しようとしています。学習データの中から出所を見つけることで、誰かの画像が無断で学習用に使われていないかどうかを調べたり、著作権を侵害していないかどうかを証明したりすることができるのです。
検索: Social Media CSE
Brijesh Singhは、Googleのプログラマブル・サーチ・エンジン(CSE)を駆使しています。彼は、ソーシャルメディアのためのワンストップCSEを作りました。一度の検索で、Medium、Pinterest、Reddit、Twitter、LinkedInなどの結果を見ることができます。Pinterest、Reddit、Twitter、LinkedInなどなど。すでに多くのCSEが存在することは知っていますが、追加のオプションを共有することは常に良いことです。
Bleeping Computerは素晴らしいニュースプラットフォームですが、毎週概要を掲載しているようです。これは通常のOSINTではありませんが、ランサムウェアに関する週刊の概要を探しているのであれば、このサイトはフィードリーダーに追加すべき本当に素晴らしいサイトです。Lawrence Abramsのおかげで、ランサムウェアに関する最新のニュースや情報を入手することができます。
サイト: Syrian Datasets
OpenFactoはフランスの組織で、OSINTトレーニング、ファクトチェック、NGOや通信社などの支援を専門としています。彼らは、The Syria Reportが2つのデータベースを公開し、無料で提供していることを知らせてくれました。それは、シリア政府の官報と、住宅・土地・不動産のデータセットです。
メディア: Layer 8 Videos
今月初めに開催されたLayer 8のカンファレンスでは、最近YouTubeにいくつかのビデオがアップロードされました。ソーシャルエンジニアリングやメンタルヘルスなど、オープンソースの調査に関わるものなら何でもOKです。座って、これらの話を楽しんでください。TOCPの仲間であるChristina Lekati、Rae Baker、Inês Narcisoにも特別な拍手を送りたいと思います。
注意喚起: Be Careful What You Search With
TOCPのDiscord、Twitter、OSINTサブのRedditなどで、たくさんのリンクが共有されているのを目にします。しかし、時に物事は見かけによらないものです。例えば、Twitterユーザーのfe_tsocさんが先週シェアしたstreamingsearch[.]xyzというウェブサイト。このサイトは、動画などを検索するための複数の方法が用意されており、とても素晴らしいサイトのように見えます。しかし、EngimaSoftのこのページのように、複数のサイトによると、実際にはブラウザをハイジャックするマルウェアが隠されています。URLscan.ioでウェブサイトをチェックしたところ、cfgnt.jsonという特徴的なファイル名が使われていました。これにより、他にも回避すべきウェブサイトがいくつか見つかりました。
別々のスキャン結果を見てみると、URLscanで撮影したスクリーンショットには同じレイアウトとアイコンが表示されており、私の疑念を裏付ける結果となりました。だから覚えておいてください。斬新なウェブサイトを利用する際には、必ず事前に調べてから利用するようにしましょう。仮想マシンやクリーンな研究用ノートパソコンを使って、いろいろと試してみるといいでしょう。また、念のため、最新のウイルススキャナーを実行してください。物事は見かけによらないこともありますからね。
特典航空券の仲介サービス。
本土内は一律片道1.1万円・沖縄路線は1.65万円で、第三者のマイル/ポイントを使った形での特典航空券でフライトできるというもの。
以下、サマリー。
予約をすると「一定のルールのもと第三者に航空券付与が可能な航空会社のマイルを保有するシェアリング可能な個人、または世界中のエアラインマイルと交換できる特定ポイントを保有している方」から同社がマイル/ポイントを取得した上で、同社側で予約希望者の名前・希望日時で発券する流れになっている模様。
同社のポジショニングとしては、シェアリングサービスのプラットフォーム業。
チケット販売しているのでなく、マイル提供者と予約者をマッチングするにあたっての手数料を取ってるという形。
こちらで予約した場合、ANAもしくはJALになる(選べない)。
LCCなどは含まれない。
予約のタネ銭が日系マイルか海外系マイルかは不明。
固定価格で受け付けている関係上、同社の価格より安い航空会社側の料金がでる可能性のある早期予約期間を避け、直前予約に特化した形で同サービスでの予約は「出発の21日前から」となっている。
なお、特典航空券で飛ぶ形となるので、フライトに際してのマイル付与やLTマイルはナシとなる。
2021年9月の第2回目のタイムラインが登場し、この間の特徴である成長の傾向が確認できました。今回のタイムラインでは、前回のタイムラインの98件を上回る108件のイベントを収集しました(正直に言うと、以前には含まれていなかったイベントをいくつか追加しています)。ランサムウェア攻撃のレベルは安定しており(8月の25.8%に対して26.8%)、引き続き脅威の状況を特徴づけています)、標的の歓迎されないリストに新たな高名な被害者が加わりました。
同様に、注目度の高い脆弱性が悪用されることもこの時期の特徴です。例えば、Confluence (CVE-2021-26084)、Microsoft MSHTMLレンダリングエンジン(CVE-2021-40444)、あるいはZoho (CVE-2021-40539)のように、古くから知られているものもあります。その他にも、ここ数年の危険な傾向を裏付けるような新しいものもあります。CVE-2021-22005(VMWare)や、Apple(CVE-2021-30869)、Google Chrome(CVE-2021-37973、CVE-2021-37975、CVE-2021-37976)などがあります。
DeFi(分散型金融)に携わる組織も、引き続き圧力を受けています。この2週間の間に、2つの組織が深刻なハッキングに遭い、1200万ドル相当(pNetwork)と300万ドル相当(SushiSwap)の暗号価値が盗まれました。
サイバー・スパイ活動の分野でも、複数の国家機関が世界中の組織からデータを流出させようと躍起になっています。よく知られているアクターとしては、APT29(aka Nobelium)が挙げられますが、記録によると、Turla(TinyTurlaという新しいバックドアを搭載)、APT27(aka Emissary Panda)、APT36、TAG-28、Calypso APT、Red Foxtrotなどのキャンペーンも行われています。また、FamousSparrowやChamelGeangのような新しいアクターも登場しています。特に興味深いのは、4つの異なる中国グループに狙われたアフガニスタンの通信事業者、Roshanのケースです。最後になりましたが、欧州連合(EU)は、EUの高官やジャーナリスト、一般市民を標的にした「Ghostwriter」と呼ばれるハッキング活動について、ロシアを公式に非難しています。
日本関連は1件です。
JVCケンウッドがContiランサムウェア攻撃を受けました。この攻撃では、脅威となる人物が1.7TBのデータを盗んだと主張し、700万ドルの身代金を要求しています。
しばしば、セキュリティスペシャリストとして、自分や他の人のシステムが様々な既知の脆弱性や攻撃に対して脆弱であるかどうかを確認する必要があります。ペネトレーション・テスターやセキュリティ・エンジニア、あるいはその他の悪意のあるアクターにとって、このような情報はミッションの成功に欠かせないものとなります。ShodanやCensysなど、この重要な分野についての洞察を提供するウェブサイトは他にも多数ありますが、netlas.ioはおそらく最高のものです。正直なところ、netlas.ioを利用していないのであれば、インターネット上の最高のリソースの1つを逃していることになります。
Netlas.ioは、以下のような少なくとも5つの異なるユースケースで使用することができます。
このチュートリアルでは、ペネトレーションテストの観点で、攻撃的なセキュリティツールとしてnetlas.ioを使用することに焦点を当てます。偵察やアタックサーフェスの形成など、ペネトレーションテストの最初のステップは、Netlas.ioを使うことでより早く、より簡単になります。 ネットワーク境界の形成、スケーリング、アトリビューションのために、A、NS、PTR、MX、SPFレコードを含む、whois検索、DNSのフォワードおよびリバース検索を使用します。
ステップ1: netlas.ioへのログイン
最初のステップは、netlas.ioに移動してアカウントを作成することです。
ステップ2:基本的な検索クエリ
他の多くの検索エンジンと同様に、検索フィールドと検索フレーズをコロン(:)で区切って検索クエリを構築することができます。 IPアドレス、ホスト、whois、その他多くのフィールドで検索することができます。さらに、フィールド名とサブフィールド名をピリオドで区切って、サブフィールドで検索することもできます。
フィールド.サブフィールド:値
つまり、apacheのウェブサーバーを探す場合は、次のように入力します。
tag.name:apache
以下のように、netlas.ioは、apacheを使った9400万台のサーバーを見つけることができました。
各リストには、レスポンスタブ、証明書タブ、Whoisタブ、ドメインタブがあります。ドメインタブをクリックすると、そのIPアドレスでホストされているすべてのドメインが表示されます。
構文を使って、ホストで検索することもできます。
host:cybrary
ステップ3: 脆弱性の検索
このサイトの優れた点の一つは、脆弱性やCVEで検索できることです。例えば、CVEの脆弱性が9以上のサイトをすべて見たい場合は、次のように検索を入力します。
cve.base_score:>9
もし、すべてのサイトがSMBに対応しているかどうかを知りたければ、検索に入力することができます。
smb:*
レスポンスフィールドには、「smbv1_support」というサブフィールドがあることに注意してください。このサブフィールドを使用して、欠陥のある脆弱なSMBv1が有効(true)になっているサイトをすべて見つけることができます。
smb.smbv1_support:true
なお、この時代遅れの欠陥のあるバージョンのSMBを使用しているサイトは113,000以上見つかっています。
また、公開されている既知のエクスプロイトが存在するサイトを検索で探すこともできます。
cve.has_exploit:*
この検索では、7,400万以上のサイトが既知の公開された脆弱性を持っている可能性があることがわかります。画面の右端には、見つかった脆弱性のCVEが表示されています。このリストの上にあるCVEタブをクリックすると、netlas.ioは既知の脆弱性をすべてリストアップします。下のサイトには、深刻度が9以上の脆弱性が3つあることに注目してください。
また、既知の脆弱性の深刻度で検索することもできます。深刻度が「重要」と評価されたすべてのサイトを見たい場合は、下記で検索します。
cve.severity:critical
悪名高いEternalBlueエクスプロイト(SMBリモートコード実行)に脆弱なサイトをすべて見つけたい場合は、CVE名で検索をリクエストすることができます。
cve.name: CVE-2017-0145
161,000以上のサイトがこの脆弱性にさらされています。参考までに、NVDに掲載されているCVEリストを紹介します。
ステップ4 論理演算子を使う
netlas.ioに似た他のサイトと同様に、論理演算子を使って検索を絞り込むことができます。使用できるのは、AND、OR、NOT(それぞれ、&&、 ||、 !) デフォルトの演算子はANDです。
つまり、ASN番号が4134の、時代遅れで脆弱なMySQL v5を実行しているサイトを探す場合、次のようなクエリを作成することができます。
mysql.server.version:5 and asn.number:4134
また、Netlas.ioでは、正規表現(regex)やワイルドカード(*と?)を使った検索が可能です。
もしあなたがペネトレーションやOSINTの仕事をしているなら、netlas.ioは必須のツールです。重要な情報や脆弱性の検索にかかる時間を短縮することができます。言うまでもなく、完璧なツールはなく、それはnetlas.ioにも当てはまります。だからこそ、様々なツールに慣れ親しみ、仕事や状況に応じて最適なツールを使う必要があるのです。
