Wireshark によるパケット解析講座 4: Pcapからのオブジェクトのエクスポート / Wireshark Tutorial: Exporting Objects from a Pcap

Wireshark Tutorial: Exporting Objects from a Pcap 

セキュリティ専門家は、不審なアクティビティのパケット キャプチャ(pcap)をレビューする際、より詳しく調べるために、オブジェクトをpcapからエクスポートしなければならない場合があります。

本チュートリアルでは、pcapからさまざまな種類のオブジェクトをエクスポートするに当たってのヒントを解説します。ネットワーク トラフィックの基礎について、読者が理解していることが前提となります。ネットワーク トラフィックのこれらバックアップ)のpcapを使って、Wiresharkによるオブジェクトの抽出を練習します。このチュートリアルで以前解説した通り、Wiresharkの列表示が既にカスタマイズされていることも前提となります。

警告: これらのpcapのほとんどにはWindowsマルウェアが含まれ、本チュートリアルではこれらの悪意あるファイルを調べることになります。これらのファイルはWindowsマルウェアであることから、本チュートリアルはMacBookやLinuxホストのような非Windows環境で行うことが推奨されます。Linuxを実行する仮想マシン(VM)も使用できます。

本チュートリアルは、以下の内容を扱います。

  • HTTPトラフィックからのオブジェクトのエクスポート
  • SMBトラフィックからのオブジェクトのエクスポート
  • SMTPトラフィックからの電子メールのエクスポート
  • FTPトラフィックからのファイルのエクスポート

HTTPトラフィックからのオブジェクトのエクスポート

本チュートリアルで用いる最初のpcap「extracting-objects-from-pcap-example-01.pcap」は、こちらバックアップ)から入手できます。Wiresharkでpcapを開き、図1の通り、http.requestでフィルタリングします。


http.requestでフィルタリングを行った後、smart-fax[.]comへの2つのGETリクエストを見つけます。最初のリクエストの末尾は.docで、最初のリクエストによってMicrosoft Wordドキュメントが返されたことを意味します。2つめのリクエストの末尾は.exeで、2つめのリクエストによってWindows実行ファイルが返されたことを意味します。HTTP GETリクエストは以下の通りです。

  • smart-fax[.]com – GET /Documents/Invoice&MSO-Request.doc
  • smart-fax[.]com – GET /knr.exe

これらのオブジェクトは、次のメニュー パスを使うことで、HTTPオブジェクト リストからエクスポートできます: 「File (ファイル)」–>「Export Objects (オブジェクトのエクスポート)」–>「HTTP… 」下図に、Wiresharkでのメニュー パスを示します。


このメニュー パスから、下図の「Export HTTP object list (エクスポートするHTTPオブジェクトのリスト)」ウィンドウが表示されます。ホスト名にsmart-fax[.]comが含まれている最初の行を選択し、下図の手順で保存します。

ホスト名にsmart-fax[.]comが含まれている2つめの行を選択し、下図の手順で保存します。

なお、HTTPオブジェクト リストの「Content Type (コンテンツ タイプ)」は、サーバーがHTTPレスポンス ヘッダーでファイルをどのように特定したかを示します。Windows実行ファイルは、検出を回避するために、故意に別の種類のファイルとして命名されている場合があります。幸い、本チュートリアルの最初のpcapは、非常に簡単な例です。

それでも、これらのファイルの内容が見かけ通りであるか確認する必要はあります。MacBookまたはLinux環境では、ターミナル ウィンドウやコマンド ライン インターフェイス(CLI)で、以下のコマンドを用いることができます。

  • file [ファイル名]
  • shasum -a 256 [ファイル名]

fileコマンドは、ファイルの種類を返します。shasumコマンドは、ファイルのハッシュ(この場合はSHA256)を返します。下図に、DebianベースのLinuxホスト上のCLIでこれらのコマンドを使った場合の画面を示します。


上記の情報により、不審なWordドキュメントが実際にMicrosoft Wordドキュメントであることが確認できます。また、不審なWindows実行ファイルも、実際にWindows実行ファイルであることが確認できます。SHA256ハッシュをVirusTotalでチェックすれば、これらのファイルがマルウェアとして検出されるかが判明します。またSHA256ハッシュをGoogleで検索すれば、さらなる情報を見つけられる可能性もあります。

Windows実行ファイルや他のマルウェア ファイルのほか、Webページも抽出できます。本チュートリアルで用いる2つめのpcap「extracting-objects-from-pcap-example-02.pcap」(こちらから入手可能。バックアップ)には、偽のPayPalログイン ページにログイン認証情報を入力しようとしている誰かのトラフィックが含まれます。

フィッシング サイトからのネットワーク トラフィックをレビューするときには、フィッシングWebページの見た目を確認したい場合もあるでしょう。下図のエクスポートするHTTPオブジェクトのメニューを介して、元のHTMLページを抽出できます。

次に、下図の通り、分離された環境のWebブラウザを使って表示させることができます。


SMBトラフィックからのオブジェクトのエクスポート

マイクロソフトのServer Message Block (SMB)プロトコルを使用し、Active Directory (AD)ベースのネットワーク全体に広がろうとするマルウェアも存在します。「Trickbot」として知られるバンキング トロジャンは、早いものでは2017年7月に、ワーム モジュールを追加しました。EternalBlueをベースとしたエクスプロイトを使うことで、SMBのネットワーク全体に広がりました。今日でも、このTrickbotワーム モジュールの兆候を見つける取り組みは続いています。

次のpcapとして、SMBを使って感染済みクライアント(10.6.26.110)からドメイン コントローラ(10.6.26.6)に広がろうとしたTrickbot感染を取り上げます。このpcap「extracting-objects-from-pcap-example-03.pcap」は、こちらバックアップ)から入手できます。pcapをWiresharkで開きます。下図の通り、「File (ファイル)」–>「Export Objects (オブジェクトのエクスポート)」–>「SMB…」のメニュー パスを利用します。


以上により、エクスポートするSMBオブジェクトのリストが表示されます。下記の下図の通り、このリストには、pcapからエクスポート可能なSMBオブジェクトが列挙されています。


リストの真ん中あたりに、ホスト名が「\\10.6.26.6\C$」のエントリが2つあるのが見えます。それぞれのファイル名のフィールドをよく見てみると、これらはいずれもWindows実行ファイルであることがわかります。詳しくは下表をご覧ください。

パケット数ホスト名コンテンツ タイプサイズファイル名
7058\\10.6.26.6\C$FILE (712704/712704) W [100.0%]712 kB\WINDOWS\d0p2nc6ka3f_fixhohlycj4ovqfcy_smchzo_ub83urjpphrwahjwhv_o5c0fvf6.exe
7936\\10.6.26.6\C$FILE (115712/115712) W [100.0%]115 kB\WINDOWS\oiku9bu68cxqenfmcsos2aek6t07_guuisgxhllixv8dx2eemqddnhyh46l8n_di.exe

これらのファイルの適切なコピーをエクスポートするには、「Content Type (コンテンツ タイプ)」の数字が[100.00%]でなければいけません。数字が100%を下回っている場合は、ネットワーク トラフィックにおいて何らかのデータ損失が発生し、結果的にファイルが破損したり、不完全なコピーになったりしていることを意味します。これらのpcapからのTrickbot関連ファイルは、下表の通り、SHA256ハッシュです。

SHA256ハッシュファイル サイズ
59896ae5f3edcb999243c7bfdc0b17eb7fe28f3a66259d797386ea470c010040712 kB
cf99990bee6c378cbf56239b3cc88276eec348d82740f84e9d5c343751f82560115 kB

SMTPトラフィックからの電子メールのエクスポート

感染したWindowsホストをスパムボットに変えるように設計されているマルウェアも存在します。これらのスパムボットは、毎分数百件ものスパム メッセージや悪意ある電子メールを送信します。暗号化されていないSMTPを使って送られるメッセージもあり、これらのメッセージは感染トラフィックのpcapからエクスポートできます。

この一例が、次のpcap、extracting-objects-from-pcap-example-04.pcapからのものです(こちらから入手可能。バックアップ)。このpcapでは、感染したWindowsクライアントがセクストーション(性的脅迫)スパムを送信しています。Wiresharkでpcapを開き、smtp.data.fragmentでフィルター処理すると、下図に示すように、50個の件名の例が表示されます。これは、単一の感染したWindowsホストからの5秒間のネットワーク トラフィックで発生しました。


下図に示す通り、これらのメッセージはメニューパス「File (ファイル)」–>「Export Objects (オブジェクトのエクスポート)」–>「IMF…」を使用してエクスポートすることができます。IMFはInternet Message Formatの略で、.emlファイル拡張子が付加された名前で保存されます。


下図に示すように、セクストーション スパム メッセージはすべて、IMFオブジェクト リストに.emlファイル拡張子が付加されて一覧されます。


それらをエクスポートした後、これらの.emlファイルはThunderbirdなどの電子メール クライアントで表示して確認したり、下図に示すように、テキスト エディターで調べたりすることができます。 


FTPトラフィックからのファイルのエクスポート

一部のマルウェア ファミリーはマルウェアの感染にFTPを使用します。次のpcapには、FTPサーバーから取得されたマルウェア実行可能ファイルと、それに続いて、同じFTPサーバーに返送された感染したWindowsホストからの情報が含まれています。

次のpcapはextracting-objects-from-pcap-example-05.pcapで、こちらバックアップ)から入手可能です。Wiresharkでpcapを開き、ftp.request.commandでフィルター処理すると、下図に示すように、FTPコマンドを確認できます。ユーザー名(USER)とパスワード(PASS)、さらに、次の5つのWindows実行可能ファイルを取得するためのリクエスト(RETR)が続いていることがわかります: q.exe、w.exe、e.exe、r.exe、t.exe。さらに、約18秒ごとに、同じFTPサーバーにhtmlベースのログ ファイルを保存するためのリクエスト(STOR)が続きます。


現在、取得され送信されたファイルについて概念がわかっているため、下図に示すように、ftp-dataでフィルター処理することで、FTPデータ チャネルからトラフィックを確認することができます。


Wiresharkの「Export Objects (オブジェクトのエクスポート)」機能を使用して、これらのオブジェクトをエクスポートすることはできません。ただし、それぞれについて、データ チャネルからTCPストリームをたどる(フォローする)ことはできます。末尾が(SIZE q.exe)の任意の行を左クリックして、TCPセグメントの1つを選択します。その後、右クリックして、メニューを展開し、下図に示すように、メニューパス「Follow (フォロー)」–>「TCP stream (TCPストリーム)」を選択します。


これによって、FTPデータ チャネルを経由するq.exeのTCPストリームが表示されます。ウィンドウの下部近くには、「Show and save data as (データを表示して、次の形式で保存)」とラベル付けされたボタン型のメニューがあります。下図に示すように、デフォルトはASCII形式です。

下図に示すように、メニューをクリックし、「Raw (ロー)」を選択します。


これで、下図に示すように、ウィンドウにはASCIIの代わりに16進数文字が表示されます。また、下図に示すように、ウィンドウ下部近くの「Save as…(名前を付けて保存)」ボタンを使用して、これをロー バイナリとして保存できます。


ファイルをq.exeとして保存します。Linuxまたは類似のCLI環境では、以下に示すように、これがWindows実行可能ファイルであり、SHA256ハッシュを取得していることを確認してください。

$ file q.exe

q.exe:PE32 executable (GUI) Intel 80386, for MS Windows

$ shasum -a 256 q.exe

ca34b0926cdc3242bbfad1c4a0b42cc2750d90db9a272d92cfb6cb7034d2a3bd q.exe

SHA256ハッシュは、VirusTotalでマルウェアとして高い検出率を示しています。pcap内の他の.exeファイルについても同じプロセスに従います。

  • ftp-dataでフィルター処理する
  • 「Info (情報)」列に使用中のファイル名があるTCPセグメントのTCPストリームをフォローする
  • 「Show and save data as (データを表示して、次の形式で保存)」を「Raw (ロー)」に変更する
  • 「Save as…(名前を付けて保存)」ボタンを使用してファイルを保存する
  • 保存されたファイルが実際にWindows実行可能ファイルであることを確認する

これによって、表3に示すような、以下のファイルが取得されます。

SHA256ハッシュファイル名
32e1b3732cd779af1bf7730d0ec8a7a87a084319f6a0870dc7362a15ddbd3199e.exe
ca34b0926cdc3242bbfad1c4a0b42cc2750d90db9a272d92cfb6cb7034d2a3bdq.exe
4ebd58007ee933a0a8348aee2922904a7110b7fb6a316b1c7fb2c6677e613884r.exe
10ce4b79180a2ddd924fdc95951d968191af2ee3b7dfc96dd6a5714dbeae613at.exe
08eb941447078ef2c6ad8d91bb2f52256c09657ecd3d5344023edccf7291e9fcw.exe

感染したWindowsホストからFTPサーバーに返送されたHTMLファイルをエクスポートする場合は、より正確に検索する必要があります。なぜでしょうか?毎回、同じファイル名が使用されるからです。ftp.request.commandでフィルター処理して、終わりまでスクロールします。下図に示すように、窃取したデータをFTPサーバーにHTMLファイルとして保存(STOR)するために、同じファイル名が使用されたことがわかります。


FTPデータ チャネル経由で送信された関連付けられたファイルを確認するには、下図に示すように、「ftp-data.command contains .html (.htmlを含むftp-data.command)」フィルターを使用します。


上図では、ファイルがFTPサーバーに保存(STOR)されるたびに、宛先ポートが変わっています。1回目はTCPポート52202、2回目はTCPポート57791、さらに3回目はTCPポート55045です。4回目は57203で、5回目は61099です。

以前と同じプロセスを使用します。ここでは、ファイル名に着目する代わりに、TCPポートに注目します。ポート52202を使用しているいずれかのTCPセグメントのTCPストリームをフォローします。TCPストリーム ウィンドウで、「Show and save data as (データを表示して、次の形式で保存)」を「Raw (ロー)」に変更します。その後、ファイルを保存します。TCPポート57791経由のHTMLファイルに対して同じことを実行します。

5つすべてのHTMLファイルに対してこれを実行すると、それらがまったく同じファイルであることがわかります。これらのテキストベースのHTMLファイルには、マルウェアによって検出されたパスワードを含め、感染したWindowsホストに関するデータが含まれています。

ウクライナがIT軍創設

ウクライナ当局がIT軍創設に伴い参加呼びかけをしていた件 メモ

ウクライナの副首相兼デジタル変革大臣である Mykhailo Fedorov氏が2022年02月27日午前3:38に以下のようなツイートをしました。

以下要約

--

IT軍を作ります。デジタルの才能が必要だ。すべての運用タスクはここで与えられます。https://t.me/itarmyofurraine。すべての人のためのタスクがあります。私たちは、サイバーフロントで戦い続けます。最初のタスクは、サイバー専門家のためのチャネルです。

--

Mykhailo Fedorov氏がツイートしたTelegramチャンネルにある「IT ARMY of Ukraine」は、20万以上の登録がされています。

このチャンネルでは、サイバー攻撃を行うターゲットリストが投稿されています。

ウクライナ語のみならず、海外からの支援者のために、英語に翻訳されたメッセージも投稿されており、以下のようなタスクが展開されている模様。

■タスク: 私たちは、これらのリソースに対して、サイバー攻撃やDDoS攻撃のあらゆるベクトルを使用することを推奨します。

事業会社 

Gazprom - https://www.gazprom.ru/ 

ルコイル - https://lukoil.ru 

マグネット - https://magnit.ru/ 

ノリルスク・ニッケル - https://www.nornickel.com/ 

Surgetneftegas - https://www.surgutneftegas.ru/ 

タトネフチ - https://www.tatneft.ru/ 

エブラズ - https://www.evraz.com/ru/ 

NLMK - https://nlmk.com/ 

シブールホーリング - https://www.sibur.ru/ 

Severstal - https://www.severstal.com/ 

メタロインベスト - https://www.metalloinvest.com/ 

NNC - https://nangs.org/ 

ロシアン・カッパー・カンパニー - https://rmk-group.ru/ru/ 

TMK - https://www.tmk-group.ru/ 

ヤンデックス - https://ya.ru/ 

ポリメタルインターナショナル - https://www.polymetalinternational.com/ru/ 

ウラルカリ - https://www.uralkali.com/ru/ 

ユーロシベネルゴ - https://www.eurosib.ru/ 

OMK - https://omk.ru/ 

銀行 

スベルバンク - https://www.sberbank.ru 

VTB - https://www.vtb.ru/ 

Gazprombank - https://www.gazprombank.ru/  

国家 

公共サービス - https://www.gosuslugi.ru/ 

モスクワ国家サービス - https://www.mos.ru/uslugi/ 

ロシア連邦大統領 - http://kremlin.ru/ 

ロシア連邦政府 - http://government.ru/ 

国防省 - https://mil.ru/ 

税金 - https://www.nalog.gov.ru/ 

税関 - https://customs.gov.ru/ 

年金基金 - https://pfr.gov.ru/ 

Roskomnadzor - https://rkn.gov.ru/


■タスク:ウクライナ戦争について公然と嘘をつくニュース系YouTubeチャンネル潰しましょう。

YouTubeチャンネル

ファーストチャンネル: https://www.youtube.com/channel/UCX9-cJy8dZWDI8hCnmahuLA 

ロシア24: https://www.youtube.com/c/Russia24TV 

タス通信: https://www.youtube.com/c/TASSagency 

RIAノーボスチ:https://www.youtube.com/user/rianovosti 

https://www.youtube.com/channel/UC8Nl7TQLC6eX8MTRCuAw3SA

https://www.youtube.com/channel/UCGRcod_jR4sC9XUMLCv4GJQ

https://www.youtube.com/channel/UCSqO8lV-ric7ow5G5q9roWw

https://www.youtube.com/channel/UCdyhZX5wt6B6dSIAT7X9dNw

https://www.youtube.com/channel/UCRHhScZmH-SfBin8tbTixPA

https://www.youtube.com/channel/UC3rZ3DKoeiccjl-e-lams_g

https://www.youtube.com/channel/UCJvDYmmZDbeDy5N_aBxXjpA

https://www.youtube.com/channel/UCMTaJV_Gyp1YOWJwSNa0wRw

https://www.youtube.com/channel/UC8lCS8Ubv3t0-Tf4IYLioTA

ユーチューブ・ブロガー

ZIMAライブ: https://www.youtube.com/c/ZimaLive

Соловьёв LIVE:https://www.youtube.com/channel/UCQ4YOFsXjG9eXWZ6uLj2t2A

チャンネルを報告する方法 

⁃ ノートパソコンまたはデスクトップパソコンの電源を入れる。

⁃ウクライナではほとんどのチャンネルが利用できないので、VPNをオンにする。

⁃ YouTube アカウントにサインインする。

⁃希望のチャンネルを開く。

⁃「バージョン情報」タブに移動する。

⁃ 旗の画像を見つけ、クリックする。

⁃ドロップダウンメニューから、適切な違反の説明を選択する。


■タスク:ロシアの電子署名サービスを遮断しよう

https://iecp.ru/ep/ep-verification

https://iecp.ru/ep/uc-list

https://uc-osnovanie.ru/

http://www.nucrf.ru

http://www.belinfonalog.ru

http://www.roseltorg.ru

http://www.astralnalog.ru

http://www.nwudc.ru

http://www.center-inform.ru

https://kk.bank/UdTs

http://structure.mil.ru/structure/uc/info.htm

http://www.ucpir.ru

http://dreamkas.ru

http://www.e-portal.ru

http://izhtender.ru

http://imctax.parus-s.ru

http://www.icentr.ru

http://www.kartoteka.ru

http://rsbis.ru/elektronnaya-podpis

http://www.stv-it.ru

http://www.crypset.ru

http://www.kt-69.ru

http://www.24ecp.ru

http://kraskript.com

http://ca.ntssoft.ru

http://www.y-center.ru

http://www.rcarus.ru

http://rk72.ru

http://squaretrade.ru

http://ca.gisca.ru

http://www.otchet-online.ru

http://udcs.ru

http://www.cit-ufa.ru

http://elkursk.ru

http://www.icvibor.ru

http://ucestp.ru

http://mcspro.ru

http://www.infotrust.ru

http://epnow.ru

http://ca.kamgov.ru

http://mascom-it.ru

http://cfmc.ru


■タスク:DDOSガードを攻撃すると、Webサイトに対するシールドが弱くなります。打ち落とします。

https://ddos-guard.net/ru

https://stormwall.pro/

https://qrator.net/ru/

https://solidwall.ru/


■タスク:クリミアはウクライナ 

以下のウェブサイトをあらゆるチャンネルで共有してください。

https://simferopol.miranda-media.ru/

https://sevastopol.miranda-media.ru/

https://novoozernoye.miranda-media.ru/

https://feodosia.miranda-media.ru/

https://yalta.miranda-media.ru/

https://alupka.miranda-media.ru/

https://inkerman.miranda-media.ru/

https://primorskij.miranda-media.ru/

https://oliva.miranda-media.ru/

https://foros.miranda-media.ru/

https://chernomorskoe.miranda-media.ru/

https://kirovskoe.miranda-media.ru/

Shodanでロシアの脆弱なサイトを見つける方法 / Shodan: Using Shodan to Find Vulnerable Russian SCADA/ICS Sites(転載)


Shodan: Using Shodan to Find Vulnerable Russian SCADA/ICS Sites:

ロシアとウクライナの戦争が激化するにつれ、世界の平和と繁栄へのリスクも強まっています。ロシアは10年以上前からウクライナに対してサイバー戦争の手法を用いており、対ロシア制裁が強化されれば(制裁初日に株式市場は50%近く下落した)、ロシアの情報機関がその鍛え上げた技術を欧米に対して使い始める可能性がある。

2020年、ロシアのハッカーたちは、Solar Windsのアップデートを利用して、米国および世界中の数千の主要なコンピューターシステムにシェルコードを埋め込むことができました。それらのインプラントの多くはまだ有効であり、ロシアが必要なときに使用することができます。さらに心配な潜在的事象は、西ヨーロッパ諸国と米国のインフラに対する攻撃の可能性である。

ロシアのハッカーは、SnakeTritonなど、これらのシステムに対するさまざまなマルウェアを開発しています。NSAと国土安全保障省のCISAは、ロシアのハッカーが米国と西側諸国のさまざまなSCADA/ICSシステムを調査していることを指摘している。ロシアへの圧力に耐えられなくなった場合、これらのシステムに引き金を引く可能性があります。その影響は壊滅的なものになる可能性がある。

このような事態が起こる確率を考えれば、西側諸国はそれなりの対応をすることができる。ロシアがこのような事態に備えていることは明らかです。近年、ロシアのSCADA/ICSシステムの安全性は格段に向上していますが、西ヨーロッパやアメリカのSCADA/ICSはまだ脆弱な部分が多くあります。ロシアのシステムが無敵だということではありませんが、一般的に米国のシステムよりも侵害されにくくなっています。

西側のインフラに対するロシアの攻撃があった場合、脆弱なロシアのSCADA/ICSシステムを見つけるための簡単なチュートリアルを提供します。

Step #1: Open Shodan

まず、shodan.ioに移動してアカウントを開設します。Shodanの基本については、こちらをご覧ください。


ステップ2: ロシアのSCADA/ICSサイトの検索

SCADA/ICSのサイトでは、従来のTCP/IPとは全く異なるプロトコルが使用されています。これらのシステムで使用されているプロトコルは200種類以上にも及びます。プロトコルの数は非常に多いのですが、最も一般的なプロトコルはmodbusです。Modicon社(現在はSchneider Electric社の一部門)が開発した最初のSCADA/ICSプロトコルで、最も広く普及しているプロトコルです。これはポート502を使用します。

ロシアでmodbusベースのシステムを見つけるには、ポート502と国コードRUのShodanシンタックスを使用して検索することができます。

port:502 country:ru

Shodanはロシアで1100以上の施設が502番ポートを使用していることを発見しました。これらのすべてがSCADA/ICSサイトというわけではありませんが、ほとんどがそうでしょう。

ポート構文に加え、メーカー名でも検索できます。たとえば、これらのシステムの最大手メーカーであるSchneider ElectricとSiemensの2社を、次の構文で検索することができます。

"schneider"country:ru

"siemens" country:ru



さらに具体的に、Schneider Electric TM221のようなメーカーの特定のPLCを探すことも可能です。

"Schneider Electric TM221"country:ru

SCADA/ICのプロトコルであるDNP3は、送電業界では一般的に使用されています。通常、20000番ポートを使用します。そのポートを使っているロシアの施設を検索するには、次のように入力します。

port:20000 country:ru

その他のSCADA/ICSプロトコルを検索するには、この表からSCADA/ICSシステムでよく使用されるポートを検索することができます。

ウクライナ戦争は、サイバー戦争のリスクを前面に押し出している。その中でも、SCADA/ICSと呼ばれる多数のインフラシステムが最大のリスクである。情報系システムへの攻撃は、機密データの紛失や身代金のリスクがありますが、SCADA/ICSシステムへの攻撃は、人命に関わるリスクです。電気、上下水道など生命維持のためのシステムが失われれば、市民生活に壊滅的な打撃を与える可能性があります。西側諸国がロシアに圧力をかけすぎれば、ロシアのハッカーはこれらのシステムに対して攻撃を開始すると思います。ロシアは西側諸国よりもはるかに優れた方法でこれらのシステムを保護していますが、彼らも攻撃に対して脆弱なのです。

SCADAハッキングとセキュリティについては、こちらをご覧ください。

読書メモ:「感謝」で思考は現実になる~人生で起こるすべてのことに「ありがとう」という~


 「ありがとう」のゲームでは、人生で起こることのすべてのことに「ありがとう」という。

とにかく「すべて」にだ。

例外は無し。言い訳もなしだ。

このすべてのことに「ありがとう」で連想したのは、バイオハザードの初期の下記シーン。

他人がぶつかってきて手持ちのコーヒーがワイシャツに掛かり「ありがとよ」である。


人生のどの瞬間を切り取っても、あるべき自然な状態で生きているか、またはそうでないかのどちらかに分類される。

あるべき自然な状態とは、喜びにあふれ、生き生きとして、エネルギーの振動を感じている状態だ。

人は自然な状態になると、全ての瞬間に贈り物を見つけ、喜びのダンスを踊っている。

たとえこちらが存在に気づいていなくても、魔法の世界はびくともしない。

宇宙のエネルギーはいつでもそこにあり、私たちを絶対に見捨てない。

宇宙に気に入ってもらうのに資格はいらない。努力も全く必要ない。熱心にお祈りをする必要もないし、無の境地になる必要もない

実際のところ、あるべき自然な状態で生きるのは、びっくりするくらい簡単だ。むしろ簡単すぎるせいで、誰にも信じてもらえないという皮肉な状態になっている。

今日一番に感謝したものの写真:日曜日の午前中から訓練を行う消防士

ロシアからのサイバー攻撃に備える7つのステップ / 7 Steps to Take Right Now to Prepare for Cyberattacks by Russia


7 Steps to Take Right Now to Prepare for Cyberattacks by Russia:

米国が主導したウクライナ侵略に対するロシアへの制裁措置は、この地域から米国や他の同盟国に拠点を置く組織への報復・波及サイバー攻撃への大きな懸念を呼び起こした。

ディスク・ワイパーやランサムウェアを使った破壊的なキャンペーンから、分散型サービス拒否攻撃、フィッシング、偽情報、誤報、影響力のあるキャンペーンまで、さまざまな攻撃が予想されます。セキュリティ専門家は、このような攻撃の一部は、国家が支援するロシアの脅威が標的となり実行されると予想しています。また、数年前のNotPetyaマルウェアのように、ウクライナから流出し、巻き添え被害を引き起こす可能性もあります。

ここでは、セキュリティ専門家が、これらの攻撃に備えるために組織が今すぐ行うべき7つの対策を紹介します。アドバイスのほとんどは、組織がすでに実施しているべき対策が含まれています。しかし、そうでない場合は、今がその対策を実施する良い機会であると専門家は述べています。

1. 誰もが同じリスクに直面するわけではありません。

ソフォスのプリンシパル・リサーチ・サイエンティストであるチェスター・ウィスニウスキーは、組織がロシアのサイバー攻撃から受ける影響は大きく異なると述べています。

ウクライナでビジネスを行っている、または行っている企業は、最悪の事態を想定し、すべてのセキュリティ管理を可能な限り最新にする必要があります。特に、クレデンシャルの不正使用を監視することが重要です。「紛争中に事業を継続するつもりなら、通信が不安定になることを想定し、他の手段で通信する方法のバックアッププランを用意しておく必要があります」とWisniewskiは述べています。

米国のサイバーセキュリティおよびインフラセキュリティ局は、ウクライナのカウンターパートと協働する組織に対し、「これらの組織からのトラフィックを監視、検査、分離」し、そのトラフィックのアクセス制御を見直すよう特別な注意を払うよう勧告しています。この勧告は、CISAが「Shields Up」という文書でまとめた長いヒントの1つです。

ポーランド、ルーマニア、エストニア、ラトビア、リトアニア、モルドバなど、ウクライナ以外の地域でビジネスを展開している組織が、ウクライナに影響を与えることを目的とした攻撃の巻き添えを食う可能性はそれなりにあります。Wisniewski氏は、木曜日にソフォスが観測した、HermeticWiperと呼ばれるディスク消去型マルウェアツールが、ウクライナの企業を標的としていたにもかかわらず、ラトビアとリトアニアのいくつかの契約者の拠点に影響を与えたという指標を挙げています。

「ロシアがNATO加盟国を直接標的にするとは思っていませんが、NotPetyaの攻撃でも同様の影響が見られました。この地域に関係のない組織は、西側諸国やロシア国家の敵とみなされる人々に被害を与えようとする、ロシアを拠点とする独立した脅威行為者の犠牲になるリスクが高まっています。私たちは紛争が始まる前からこの結果を懸念しており、Contiランサムウェアグループが表に出て『ロシア政府を全面的に支持する』と宣言していることに気づきました」とWisniewskiは述べています。

2. アタックサーフェスを最小化する

BlumiraのCTO兼共同設立者であるMatthew Warner氏は、search.censys.ioshodan.ioなどのツールを使って、ネットワーク境界やDMZの露出を確認し、自社のセキュリティ姿勢を検証する必要がありますと述べています。

また、Sysmonを環境内に導入するのも良いアイデアだとWarnerは言う。「Sysmonは、Windowsのデフォルトのロギングでは得られない、環境全体の幅広い可視性を提供することができます。その意味で、Sysmonは本質的にEDRがやろうとしていることを模倣しているのです。しかし、多くの場合、組織はSysmonのデータを調べることで、優れた忠実度と検出率を得ることができます。「多くの場合、EDRが検出する前に、Sysmonが動作を検出します」とWarnerは述べています。

ネットワーク上のマルウェアがコマンド・アンド・コントロールの送信先に呼び出されている兆候がないか、送信トラフィックを監視する。国家レベルのマルウェアを発見することは非常に困難ですが、ほとんどの場合、マルウェアは何らかの形で通信を行う必要があるとBreachRX社は述べています。

ロシアによるウクライナ侵略の1週間前、米国家安全保障局は、シスコ製ルーターの機器設定ファイル内の認証情報を保護するために、組織が強力なパスワードタイプを使用する必要性について勧告を発表しました。

NSAは、ロシアの攻撃や現在のウクライナ紛争には一切言及せず、「近年、ネットワークインフラへの侵害が増加していることは、ネットワーク機器への認証が重要な考慮事項であることを再認識させる」と指摘した。

3. 基本を実行する

ロシアのAPTは、他の非常に効果的なグループと同様のプレイブックに従っていると、ワーナーは述べています。彼らの技術、戦術、手順(TTP)は秘密ではないと彼は指摘しています。また、ウクライナで報告されたサイバー攻撃の多く(HermeticWiperのようなディスク消去型マルウェアを含む)は、攻撃者が以前に既にアクセスしたことがあると思われるシステムを対象としていることも重要です。

したがって、こうした脅威に備えるには、いつもと同じようにセキュリティの基本に注意を払う必要があります。「残念ながら、パッチ適用、多要素認証の使用など、通常のアドバイスと変わりません」とWisniewskiは述べています。「最近、Contiのようなランサムウェアの集団が、報復としてお金を払わなければ環境を消去することを選択することさえあり、ワイパーによる活動がより多く見られることを考えると、バックアップはこれまで以上に重要であると思われます」。

Warner氏は、例えば、Microsoft 365、G Workplace、Okta、およびその他の類似の環境でMFAを有効にし、レガシー認証を無効にし、Microsoft Office環境でマクロを実行しないようにするなど、組織がWindows環境に注意を払うことを推奨しています。

SANS技術研究所の所長であるヨハネス・ウルリッヒは、ルーターが更新されていること、安全なパスワードを設定していること、管理画面を外部に公開しないことを確認するよう述べています。

Bugcrowdの創設者兼CTOであるCasey Ellisは、「ターゲットにされるかもしれないと考える企業にとっては、何らかの形ですでに侵入されたように行動する良い機会でもあります」と述べています。たとえ机上の演習であっても、ぜひ実行してください。そして、侵入者の検知とインシデント対応計画が最新のものであることを確認してください、とエリスは言います。

CISA は、サイバーセキュリティの事故またはその疑いが生じた場合の主な連絡先を定めた危機対応チームを組織するよう推奨しています。

4. B2BのVPN接続を監視する

組織が直面する大きなリスクは、ウクライナのサイバー攻撃の巻き添えを食って被害者になることです。一例として、2017年に発生したNotPetyaは、当初はウクライナを標的としたロシアの攻撃でしたが、最終的には世界中の数千の組織に影響を及ぼしました。組織がウクライナ関連の潜在的なサイバー脅威をナビゲートするためのリソースセンターを設立したSANS Instituteの新興セキュリティトレンド担当ディレクター、ジョン・ペスカトーレは、「ファイアウォールルールなどのセキュリティコントロールによってフィルターされていないB2B VPN接続は、こうした波及経路の可能性が最も高いと言えます」と述べています。SANSは、組織に対し、環境にあるすべてのB2B VPN接続を直ちに見つけ、攻撃者の最初の侵入口とならないよう対策を講じるよう推奨している、と述べています。

SANSは、B2B VPNに関するアドバイスとして、リスクの高いプロトコルをすべてブロックするか、ビジネス要件でB2B VPNでのプロトコルブロックが認められない場合は、リスクの高いプロトコルのトラフィック送信先を限定することを挙げている。また、B2B VPN のすべての出口ポイントでネットフローを監視し、何かあったときにすぐに切断できるようにしておくことも推奨しています。

「少なくとも、既知の危険なプロトコルがブロックされていることを確認し、理想的には、必要最小限のポート、プロトコル、アプリケーションのみが許可されるようにします」と、Pescatore 氏は述べています。

5. コミュニケーション

ウクライナ関連のサイバー攻撃の可能性に備えて、組織がまだ導入していないセキュリティ対策を実施することは、限られた範囲にしかなりません。そこで、高度なフィッシング攻撃、誤報キャンペーン、ロシアのサイバー攻撃者による企業システムの侵害の可能性について従業員に注意を促すことが、これらのベクトルへの曝露を減らすための鍵となります。ワーナー氏は、「全従業員に対して、より注意深く行動し、疑わしいメールやファイルがあればすぐに報告するように通達してください」と述べています。

BrightRXは、組織が潜在的な攻撃にどのように備えるべきかというブログの中で、「人が攻撃の最も可能性の高いベクトルであることを、会社全体に注意を喚起してください」と述べています。「例えば、フィッシング攻撃について注意を促し、通常とは異なる行動を報告するよう伝えるのです」。

セキュリティチームは、ロシアに批判的なソーシャルメディアへの投稿など、政治的に敏感な話題に関する経営者のつながりやコミュニケーションをチェックする必要があります。BrightRXは、「あなたのビジネスのためではなく、そのような見解からターゲットにされるかもしれません」と述べています。また、悪意のあるインサイダーが引き起こす可能性のあるセキュリティ問題に対処するために、インサイダー・プレイブックを設置することも検討すべきであると、インシデントレスポンスと準備の専門企業であるBrightRX社は述べています。

6. 変更の最小化

IT部門は変更を最小限にとどめ、新しいソフトウェアや実行ファイル、新しいアカウントの開設、環境内の高い権限を持つアカウントなどをすべて調査する必要があると、Pescatoreは述べています。また、特に特権アカウントに対する強力な認証の使用を増やし、変更管理と変更監視を強化することを推奨しています。

「この対立が経営陣の注意を引くようであれば、一時的であっても基本的なセキュリティ衛生を向上させるようにしましょう」とPescatore氏はアドバイスしています。

7. 高リスクの組織はISACへの加盟を検討すべき

石油、天然ガス、電力セクターの組織は、石油、ガス、信頼できる電力の流れを中断させることに焦点を当てた攻撃の高いリスクにさらされていると、ABSグループは今週発表しました。これらのセクターのビジネスおよび技術リーダーは、情報技術(IT)および運用技術(OT)チームと連携し、適切な業界情報共有・分析センター(ISAC)への加入を確保する必要があると、ABS Groupは述べています。ISACは、重要インフラの運用者が業界特有のサイバー脅威を把握し、それに対する備えや防御、軽減策を講じることができるよう支援することを目的としています。

また、ABSグループは、これらの分野の組織が対応手順を実践し、サイバー侵入の試みまたは確認をすべて、それぞれのISAC、組織のセキュリティ責任者、エネルギー省(DOE)または連邦捜査局(FBI)に直ちに報告することを推奨しています。

多くの組織は、自分たちがロシアのサイバー攻撃から受けるリスクは低いと思っていることでしょう。しかし、特定の標的ではないことは事実かもしれませんが、ロシアに同情的な脅威行為者による日和見的な攻撃に巻き込まれたり、NotPetyaのように巻き添え被害の犠牲者になったりする可能性は、他の組織と同様に高いのです。

だからこそ、すべての組織がセキュリティ態勢を見直し、強化することが望ましいと、セキュリティ専門家は述べています。

ランサムウェアギャングが発表した被害者リスト(2022年2月版)BY DARKTRACER

 Dark Tracerによると、2月は日本企業1社がランサムウェアの被害にあっている模様。 

株式会社タイキ

プレスリリースアーカイブ

日本政府は、サプライチェーンの防衛とハッカー撃退のための計画を策定 / Japan sets out plans to defend supply chains, see off hackers


 Japan sets out plans to defend supply chains, see off hackers

日本政府は、2022年2月25日に閣議決定された法案に基づき、サプライチェーンを強化し、輸入されたシステムやソフトウェアを通じて行われるサイバー攻撃から守るための支出を増やすことになる。

この措置は、岸田文雄首相が長年推進してきた経済安全保障政策の一環であり、主に中国からの脅威を狙ったものである。

しかし、特にロシアのウクライナ侵略を受けて、サイバー攻撃に対する主要インフラの脆弱性に対する懸念が世界的に高まっているときに、この法案が発表されたのである。

今後、国会に提出されるこの法案は、セキュリティに敏感な分野の企業が海外のソフトウェアを調達することを厳しく制限するものです。

政府は、ソフトウェアの更新や新しい機器の調達の際に事前情報を提供するよう企業に命じ、購入を吟味する権限を与えることになる。

規制の対象となるのは、エネルギー、水供給、情報技術、金融、運輸など、国家安全保障に重要な14の産業分野の企業だ。

また、この法案では、半導体などの主要品目について、より強靭なサプライチェーンの構築を支援する企業やプロジェクトに政府が補助金を出すことになっている。

日本は、米国に倣ってサイバー攻撃への対策を強化し、商用ドローンや監視カメラなどの機密技術の輸出を拡大する北京に対抗するよう迫られている。

2021年の上場企業における個人情報のお漏らし実績(転載)


上場企業の個人情報漏えい・紛失事故は、調査開始以来最多の137件 574万人分(2021年) : 東京商工リサーチ  


2021年に上場企業とその子会社で個人情報の漏えい・紛失事故を公表したのは120社、事故件数は137件、漏えいした個人情報は574万9,773人分に達した。2012年以降の10年間で、社数と事故件数はそろって最多を記録した。

2012年から2021年までの累計では496社、事故件数は925件となった。個人情報の漏えい・紛失事故を起こした上場企業は、全上場企業(約3,800社)の1割以上を占め、漏えい・紛失した可能性のある個人情報は累計1億1,979万人分に達し、ほぼ日本の人口に匹敵する。

深刻化する不正アクセスなどのサイバー攻撃による事故は、2021年は66社で、事故件数は68件発生した。社数・事故件数ともに3年連続で最多を更新した。

2021年はクレジットカード情報など重要な個人情報の流出や、複数の企業が外部委託していた受注システムが不正アクセスを受け、被害が広がったケースもあった。増加の一途をたどるサイバー犯罪は手口も複雑化しており、セキュリティ対策の難しさを改めて露呈した。

2012年に調査を開始以降、個人情報の漏えい・紛失事故を年別にみると、2021年の事故件数は137件(前年比33.0%増)に達した。2013年の107件を上回り、最多となった。

また、社数も120社(同36.3%増)で、これまで最多だった2020年(88社)を32社上回った。

2021年の事故137件のうち、情報漏えい・紛失件数のレンジ別では「100件以上1,000件未満」が最多で、32件(構成比23.3%)だった。次いで、多かったのは「1,000件以上1万件未満」と「不明・その他」の各30件(同21.8%)だった。「不明・その他」は、調査中などとして件数公表を控えるケースが大半。

情報漏えい・紛失件数が1万件以上は、25件(同18.2%)発生し、前年の19件から6件増加した。このうち、不正アクセスは15件だった。

100万件以上に及ぶ大型事故は2件(同1.4%)発生、ネットマーケティング(情報漏えい・紛失件数171万1,756件)とANAホールディングス(全日本空輸、同100万件)だった。

※ネットマーケティングは純粋なお漏らしだったのに対して、ANAは提携先(SITA)からの漏洩なので、同じ漏洩でもちょっと意味合いが違う気もするが‥‥


2021年の情報漏えい・紛失事故の137件のうち、原因別は、「ウイルス感染・不正アクセス」の68件(構成比49.6%)が最多で、約5割を占めた。次いで、「誤表示・誤送信」が43件(同31.3%)で、メールの送信間違いなどの人為的なミスが中心。

このほか、保管しておくべき書類や取引記録の廃棄・紛失、従業員が外出先で紛失したケースなどの「紛失・誤廃棄」が16件(同11.6%)と続く。

1事故あたりの情報漏えい・紛失件数の平均は、「ウイルス感染・不正アクセス」が11万745件と突出している。膨大な情報に不正アクセスするサイバー犯罪は、紙媒体が中心の「紛失・誤廃棄」(平均3万2,818件)などに比べ、情報漏えい・紛失件数がケタ違いに大きい。


被害の大きさや影響度合いが大きい「ウイルス感染・不正アクセス」は増加の一途をたどっている。事故件数は、調査を開始以来、10年間で最多の68件(66社)発生し、事故件数、社数ともに3年連続で最多を更新した。

68件の事故の漏えい・紛失件数は454万554件に及び、2021年全体(574万9,773件)の約8割(78.9%)を占めた。

「ウイルス感染・不正アクセス」による漏えい・紛失事故では、これまでの最多は2013年5月に不正アクセスで最大2,200万のIDが外部流失した可能性を公表したヤフー(現:Zホールディングス)。なお、2021年の最多はネットマーケティング(171万1,756件)で、歴代6番目の件数となった。

媒体別傾向

情報漏えい・紛失事故137件のうち、原因となった媒体別では「社内システム・サーバー」が81件(構成比59.1%)で最多の約6割を占めた。次いで、「パソコン」が30件(同21.9%)、「書類」が15件(同10.9%)、「その他・不明」が8件(同5.8%)の順。

1事故あたりの情報漏えい・紛失件数の平均では、「その他・不明」が39万9,796件で突出する。これは社外(国際航空情報通信機構)のシステムへの不正アクセスを受けてマイレージ会員情報の一部が漏えいしたANAホールディングス(情報漏えい・紛失件数100万件)、日本航空(同92万件)が押し上げたため。次いで、社内システム・サーバーによる事故が5万2,443件。社内サーバーが不正アクセスを受け、ID、パスワード等の顧客情報が流出したケースなどが多い。

産業別傾向

情報漏えい・紛失事故を公表した120社の産業別では、最多は製造業の31社(構成比25.8%)。

次いで、情報・通信業の20社(同16.6%)、金融・保険業の16社(同13.3%)、小売業の15社(同12.5%)と続き、上位4産業で全体の約7割(同68.3%)を占めた。

製造業の最多は、日清製粉グループ本社(イニシオフーズ)で、社内サーバーへの外部不正アクセスにより顧客情報のほか、社内情報など約6万5,000件の個人情報が流失した可能性を開示した。