BURPの代替になりそうなツール「Hetty」 / This looks great! A BURP alternative.

Hettyは、セキュリティ研究のためのHTTPツールキットです。Burp Suite Proのような商用ソフトウェアに代わるオープンソースとして、情報科学やバグバウンティコミュニティのニーズに合わせた強力な機能を提供することを目指しています。

機能紹介

マシンインザミドル（MITM）HTTPプロキシ、ログと高度な検索機能付き
手動でリクエストを作成/編集し、プロキシされたリクエストを再生するためのHTTPクライアント
スコープをサポートし、作業の整理整頓を支援
使いやすいWebベースの管理インターフェイス
プロジェクトベースのデータベースストレージにより、作業の整理整頓を支援

コミュニティ

Discord

ドキュメンテーション

インストール

Hettyのインストールとアップデートは、パッケージマネージャを利用するのが一番手っ取り早いです。

LINUX

sudo snap install hetty

WINDOWS

scoop bucket add hettysoft https://github.com/hettysoft/scoop-bucket.git scoop install hettysoft/hetty

または、GitHubからあなたのOSとアーキテクチャに対応した最新リリースをダウンロードし、バイナリを$PATH内のディレクトリに移動することも可能です。あなたのOSがいずれかのパッケージマネージャで利用できない場合や、GitHubのリリースに記載されていない場合は、ソースからコンパイルするか、Dockerイメージを使用することができます。

実行

インストールしたら、コマンドラインからHettyを起動します。

hetty

何もオプションを付けずに起動すると、このようになります。

ディスクに格納されるルート CA 証明書と秘密鍵を作成する。 ~/.hetty/
BadgerDB データベースを作成し、ディスクに格納する。 ~/.hetty/db/
リッスンするHTTPサーバーを実行します。 0.0.0.0:8080, 管理画面のプロキシおよびサービスに使用されます

以下のようなコンソール出力が表示されるはずです。

2022/03/01 11:09:15 INFO [main] Hetty (v0.5.1) is running on :8080 ...2022/03/01 11:09:15 INFO [main] Get started at http://localhost:8080

これで、http://localhost:8080、管理画面にアクセスできるようになります。

出典：Hetty - An HTTP Toolkit For Security Research

「やまなしくらしねっと」のヘルプデスクを装った不審メールについて 2022年6月29日　山梨県

やまなしくらしねっとのヘルプデスクを電子メールにより利用している（または、過去に利用したことのある）利用者に対して、へルプデスクを装った不審メールが発信される可能性

があるため、お知らせします。

○経過

６月２３日

やまなしくらしねっとを含め全国の地方公共団体への電子申請サービスを提供している事業者が、ヘルプデスク業務用パソコンにおいて、過去にマルウェア（Emotet）に感染していたことを発見

※不審メールが発信されたとの報告が同サービスを利用する県外の自治体から寄せられ、同社において調査したところ感染した痕跡を検出

６月２７日

上記について、山梨県市町村総合事務組合（以下「組合」）を通じて、同社から連絡を受ける。

同日やまなしくらしねっとのトップページ（お知らせ）に注意喚起に関する情報を掲載（運営主体である組合が対応）

６月２９日

やまなしくらしねっと利用者のうちヘルプデスクに問い合わせた方への注意喚起メールを送信済

〇やまなしくらしねっとの利用者へのお願い

次のようなメールが届いた場合は、メール本文の URL をクリックすることや添付ファイ

ルの開封は絶対に行わないでください。

[不審メールの一例]

・発信者メールアドレス：

正規 help-shinsei-yamanashi@s-kantan.com <help-shinsei-yamanashi@s-kantan.com>

不正 help-shinsei-yamanashi@s-kantan.com <xxxxx@xxx.xxx.xx>

・件名：「Re:ＸＸＸＸＸＸ（過去にヘルプデスクとやりとりしたメールの件名）」

・添付ファイル等：（ZIP 形式のファイルが添付されていることが多い。）

プレスリリース（アーカイブ）

カーニバルクルーズが2019年のデータ侵害に対して125万ドルの罰金を支払う / Carnival Cruises to pay $1.25 million fine for 2019 data breach

カーニバル・クルーズは、全米で18万人のカーニバル社員と顧客の情報が流出した2019年のデータ侵害への対応で46人に訴えられ、125万ドルの罰金を支払うことに同意しました。

この情報漏洩は2020年3月に同社が公表したもので、氏名、社会保障番号、住所、パスポート番号、運転免許証番号、支払いカード情報、健康情報などが含まれていました。数千人がこの情報漏洩の影響を受けました。

ハッカーはカーニバル社の従業員のメールアカウントにアクセスし、顧客情報に広くアクセスできるようになった。同社は、情報漏洩を発見したのが一般に公表する10カ月前の2019年5月であることを明らかにし、世間から反感を買いました。

ペンシルベニア州司法長官ジョシュ・シャピロ氏は、「個人情報が悪質な業者に流出した場合、消費者にできるだけ早く通知することが不可欠です」と述べています。遅れが生じれば、その個人データが悪用される可能性が高まります。

カーニバルは個人情報を電子メールで保存し、機密データを扱うのに「他の無秩序な方法」を使っていました。シャピロ氏によると、このようなデータの取り扱い方法は、情報漏えいの通知をより困難なものにします。

ニューヨークのレティシア・ジェームズ司法長官は、カーニバル・クルーズ・ラインは「何千人もの消費者の個人情報を保護することに失敗した」と述べた。

「今日のデジタル時代において、企業は消費者を詐欺から守るためにデータプライバシー対策を強化しなければならない」と、ジェームズは言った。「休暇中のニューヨーカーが個人情報の流出を心配する必要はないはずだ」

カーニバル社は、金銭的な罰則と同時に、情報漏洩対策計画の実施、従業員への電子メール訓練プログラムの制定、独立した情報セキュリティ評価の実施などに同意した。

出典：Carnival Cruises to pay $1.25 million fine for 2019 data breach

全文表示 / Read more »

ショルダーサーフィンとは？ / What is shoulder surfing?

人前で機密メールを送るとき、特定のアプリを使うとき、特定のウェブサイトにアクセスするとき、過去に一度は周囲に配慮したことがあるに違いありません。それは当然のことです。しかし、あなたが最も被害妄想的で自意識過剰な状態で画面を見ていると感じる監視の目は、実は本物のサイバーセキュリティの脅威である可能性があるということに、あなたは気づいていないかもしれません。

確かに、公共の場であればどこでも、ログイン認証情報を見つけ出して記憶することは、非常に鋭い洞察力を必要としますが、脅威がゼロでないことは確かです。あなたができないからといって、熟練したサイバー犯罪者ができないわけではありませんし、データを流出させると懲罰を科されるリスクがあるため、会社員は決して油断することができないのです。

ショルダーサーフィンとは、犯罪者が肩越しにログイン情報、またはその他の有用なデータや機密データを盗むという、直感的に分かるサイバーセキュリティ上の脅威のことです。クライアントのデータを安全に保ち、コンプライアンスに準拠したデータ運用を行うために、簡単に導入できる対策が数多くあります。

ショルダーサーフィンから身を守るにはどうしたらよいのでしょうか？

デバイスを傾ける

電車やバスの中でスマートフォンを使っているとき、肩越しに他人の嫌な視線を感じたら、端末を傾けるだけでいいのです。同様に、スマートフォンを下げて、角度を切ることもできます。

この方法は、タブレットやノートPCでは少し難しくなりますが、隣に座っている人が盗み見をしているのであれば、まだ有効です。ノートパソコンなら、画面を少し下に傾けることで、プライバシーを守りたいという意思表示をすることができます。

視界を遮る

これはより攻撃的な方法ですが、もしあなたが外出先で仕事の機密文書を見ているのなら、それはあなたの特権です。空いている方の手で、スマートフォンの危険にさらされている側を覆えばいいのです。

ノートパソコンなら、ケースや本、カバンなど、画面の脇に物をかざして、見晴らしの良い場所をふさぎましょう。冬場は、大きなコートが重宝します。

見えないところに座る

喫茶店や公共の場でリモートワークをする場合は、壁際の席を確保し、ノートパソコンの画面の向こう側を覗き見されないようにするのがベストです。さらに、壁がガラスや鏡でないことを確認し、外に座る場合は、人ごみを避け、壁際に座るようにしましょう。

通勤時にはあまり役に立ちませんが、ググっているものを隠したい場合は、バスの後部座席も有効です。

在宅勤務

自宅のWi-Fiが不安定で、公共の場で仕事をしなければならない場合、ショルダーサーフィンはのリスクは必ず付いて回ります。しかし、あなたが素晴らしいネット環境を自宅に持っている場合、それを活用します。会社のビジネスを覗き見されないようにするには、プライベートを守ること、家にいること、可能であれば実際にオフィスに行くことが一番です。

プライバシーディスプレイへの投資

市場には、開発の設計段階でショルダーサーフィンを意識したビジネス向けデバイスが数多く存在します。HPは、特定の角度からしか見えないように設計されたSure Viewディスプレイで、この領域のトップです。この技術は、例えば飛行機で隣の通路にいる乗客から顧客データを保護するのに役立ちます。

そのようなデバイスを持っていない場合でも、, サードパーティ製のメーカーは、簡単に見つけることができます。屋外での作業を頻繁に計画している場合は、わずかな費用で自分のデバイス用の取り外し可能なプライバシースクリーンを手に入れることができます。

出典：What is shoulder surfing?

アドレス乗っ取られ個人情報漏えいか　伊達市、大量の不審メールも

伊達市は２０２２年６月２４日、市が運営する簡易宿泊所「とまっぺ」の予約などに使用するメールアドレスが乗っ取られ、受信履歴に残っていた１７世帯３７人分の住所や氏名、生年月日などの個人情報が漏えいした恐れがあると発表した。このアドレスから、外部に５００通を超える不審なメールも送信されていた。

市によると、担当職員が１０日午前９時ごろ、契約しているプロバイダー名が差し出し人のメールに記載されていたＵＲＬをクリックしパスワードを入力したところ、同宿泊所のメールパスワードが漏えいしたという。プロバイダーから連絡があり、気が付いた。

市はメールアドレスのパスワード変更やメール機能の停止、ウイルスチェックなどの初期対応を行った。２４日現在、ウイルス感染や外部への被害は確認されていないが、該当者に連絡を取り、被害状況の有無を確認しているという。

市の担当者は「職員の情報セキュリティー管理を徹底し再発防止を図る」とコメントした。

プレスリリース（アーカイブ）

出典：アドレス乗っ取られ個人情報漏えいか　伊達市、大量の不審メールも

名古屋大学への不正アクセスによる個人情報流出について 2022年6月28日名古屋大学

この度、東海国立大学機構名古屋大学情報連携推進本部で運用しているＱ＆Ａシステム（情報システムに関する問い合わせシステム）が第三者により不正にアクセスされ、メールアドレスが漏洩した可能性がある事案が確認されましたので、現在の状況と今後の対応についてお知らせします。

2022年5月16日（月）、Ｑ＆Ａシステムのログを確認したところ、第三者から攻撃を受けていたことが判明しました。この攻撃は5月10日（火）4時27分から10時35分の間、及び5月14日（土）11時14分から5月15日（日）8時45分の間であり、アクセスログ解析の結果、当該システムに保存されていた、質問時に連絡先として記載されたメールアドレスが2,086件漏洩した可能性があります。

不審なアクセスの報告を受けた日に、プログラムを修正することにより当該システムの脆弱性を解消いたしました。現時点では、閲覧されたメールアドレスが悪用された事実は認められておりません。

漏洩した可能性のある方々には、登録されていたメールアドレスにメールにて事実関係をご説明するとともに、対応窓口の設置及びその連絡先をお伝えし、お詫び申し上げたところです。

このような事態を招き、関係者の皆様にご迷惑をおかけしましたことを深くお詫び申し上げます。

第三者に不正アクセスされた原因は、ブラインドSQLインジェクションと呼ばれる、Webアプリケーションのデータベースを不正に操作する攻撃によるものです。今後は、サーバー管理や情報セキュリティの確保に関する教育研修を強化し、構成員の意識向上を図るとともに、設備面ではWeb Application Firewall（WAF）の導入を検討するなど、再発防止に努めて参ります。

プレスリリース（アーカイブ）

中学校で生徒のテスト結果一覧を誤配布 - 柏市

千葉県柏市の中学校において、教諭が生徒のタブレット端末に課題を配布する際、誤ってテスト結果一覧を配布するミスが発生した。

同市によれば、2022年6月24日10時半ごろ、教諭がタブレット端末を用いてクラウドサービス上で生徒に課題を配布しようとした際、誤って1年生119人に関する期末試験の得点一覧データを配布したという。

授業開始後、教諭が誤配布に気づき、クラウド上の対象データを削除。データを閲覧した生徒を特定し、生徒のタブレット端末から履歴データの削除を行うとともに、生徒個人のクラウド上からもデータを削除した。

同校では、保護者に対し書面による報告を行うとしている。

出典：中学校で生徒のテスト結果一覧を誤配布 - 柏市

結婚支援事業で会員個人情報を別人に誤送信 - 香川県

香川県は、かがわ縁結び支援センターで実施している結婚支援事業において、ボランティアが会員の個人情報含むメールを誤って別の会員に送信するミスがあったことを明らかにした。

同県によれば、2022年6月20日20時過ぎにボランティア（縁結びおせっかいさん）が会員2人に関する個人情報を記載したメールを、誤って別の会員2人に送信するミスがあったという。送信直後に誤送信に気づき、メールを受信した2人に謝罪のメールを送信した。

翌21日に同センターがボランティアからの誤送信の報告を確認。システム内に残った送信メールを削除し、個人情報が漏洩した2人と誤送信先の2人に説明と謝罪を行っている。

プレスリリース（アーカイブ）

出典：結婚支援事業で会員個人情報を別人に誤送信 - 香川県

HTTP/1.1 と HTTP/2 と HTTP/3 の差分 / HTTP/1.1 vs. HTTP/2 vs. HTTP/3

現在使われているHTTPプロトコルには、複数のバージョンがあります。HTTP/1.1、HTTP/2、HTTP/3 です。多くのソフトウェアがそうであるように、新しいHTTPの各バージョンは、前のバージョンの機能を基に構築されています。

HTTP/1.1

1997年にリリースされたHTTP/1.1は、HTTP/1.0の初期バージョンからわずか1年後、接続の持続性という考え方を導入し、閉じるよう指示があるまで接続を開いたままにするものでした。以前は、1つのコネクションにつき1つのリクエストしか許可されませんでした。コネクション・パーシステンスは、サーバーが多すぎるコネクションの問題を回避するのに役立ちます。また、安全な (HTTPS) 環境では、1 回の SSL ハンドシェイクで十分な場合に、複数の SSL ハンドシェイクによるオーバーヘッドを回避することができます。

インターネットの半分以上がまだHTTP/1.1を使用していますが、徐々にHTTP/2へと移行しつつあります。

HTTP/2

HTTPの新バージョンが登場するまでには20年近くを要した。2015年、HTTP/2は、Googleが開発した実験的なプロトコルであるSPDYから派生しました。他の重要な機能（大幅に改善されたヘッダー圧縮など）の中で、HTTP/2は、各接続がストリームを介して複数の同時リクエストを処理する機能を導入しました。ストリームはさらにフレームに分解され、その集合がサーバーから1つのパケットで送信され、クライアント側で再集合される。複数の同時リクエストをサポートすることで、HTTP/2はクライアントのネットワークリソースをより少なく使用することができます。これにより、サーバー側の混雑を緩和することができます。

2020年2月現在、上位1000万件のウェブサイトの43%がHTTP/2を使用しており、利用は拡大中です。

HTTP/3

HTTP/3の起源は、HTTP/2をUDPで暗号化して転送することで改善しようとしたGoogleの取り組み、QUICにある。もともと「HTTP over QUIC」と呼ばれていたHTTP/3は、現在もIETFで定義が進められています。HTTP/3は、TCPをUDPに置き換えたものです。UDPはTCPほど多くのルールを持っておらず、トランスポート層では便利ですが、アプリケーション層では対応しないと難点が生じます。そこでHTTP/3では、効果的で安全な通信に必要な、不足しているTCPの機能の一部を実装しています。すべてのTCPベースのプロトコルに存在するヘッドオブラインブロッキングの問題は、UDPとHTTP/3ではそれほど問題ではありません。

2020年2月現在、上位1000万サイトのうち4％強がHTTP/3を使用していますが、この数はプロトコルが定義されるにつれて増加すると予想されます。

バージョン比較

	HTTP/1.1	HTTP/2	HTTP/3
リリース	1997	2015	2018
主な新機能	長さが不明なレスポンスに対して持続的な接続を可能にするため、chunkedエンコードを追加。	ヘッダー圧縮による仮想同時ストリームを追加。	TCPトランスポートをUDPトランスポートに置き換え。
接続処理	順次、1件ずつリクエスト	優先順位をつけて、一度に複数の依頼をすることがある	優先順位をつけて、一度に複数の依頼をすることがある
ヘッダー圧縮	（無し）	HPACK	QPACK
プロトコルタイプ	テキスト	バイナリ	バイナリ
Server Push	不可	可	可
HTTPS	可能だが、必須ではない	推奨されるが必須ではない	必須
Transport Layer	TCP	TCP	UDP
普及度	現在一般的に使われている	利用拡大中、2020年2月時点で43%	まだ実験段階、2020年2月時点で4.1％が使用