urlscan.ioのスキャンの種類


この記事では、urlscan.ioで利用可能なさまざまなスキャン、目的別の使用法、不注意による情報漏えいを防止するための確認方法について説明します。

はじめに

urlscan.ioにURLを送信するたびに、スキャン種別を選択することができます。種別は、送信されたURLをどの関係者が見て、スキャン結果を取得できるかを制御します。

  • Public(公開スキャン)
    フロントページと公開検索結果や情報ページでスキャンが表示されることを意味します。それは同様にurlscan.ioと検索エンジンのすべての訪問者に表示されます。
    あなたが送信しているURLは、URL自体またはページのコンテンツのいずれかで、任意の個人情報や専有情報が含まれている懸念がない場合にのみ、Publicを使用する必要があります。これは、これらのURLを別の公開データセットから取得した場合や、クロールやキーワードモニタリングによってこれらのURLを自分で発見した場合などが考えられます。

  • Unlisted(非掲載スキャン)
    スキャンが公開ページや検索結果には表示されませんが、urlscan Proの契約ユーザーに表示されることを意味します。
    urlscan Proの契約ユーザーにURLを提供したい場合、Unlistedスキャンを使用する必要があります(自動テイクダウン、研究、自社製品の改善等に役立つことでしょう)。

  • Private(非公開スキャン)
    スキャンが自分自身にのみ表示され、urlscanの有償ユーザーやパートナーには表示されないことを意味します。チームアカウントに所属し、チームを「アクティブ」に設定している場合、プライベートスキャンは、そのチームアカウントの他のチームメンバーにも表示されます。
    実行したスキャンを他の人と共有したくない場合は、プライベートスキャンを使用する必要があります。
スキャン種別を選択する理由はさまざまで、適切なものを選ぶことは、分析するデータのソースに大きく依存します。それは、urlscan.ioで分析したいURLは異なるプライバシーに関する独自の考慮事項を持っているかもしれないからです。

可能な限り公開スキャンまたは非掲載スキャンを使用することを推奨しています。しかし、非公開が求められるユースケースがあることも事実です。

デフォルトのスキャン種別設定
urlscan.ioでは、デフォルトのスキャン種別を設定することができます。設定は、ユーザーダッシュボードの[設定]ウィンドウで見つけることができます。



Labels:

ドメインとIPアドレスに関するOSINTツールの紹介


ドメインとIPアドレスに関するOSINTを行うためのリソースを簡単にリストアップしてみました。

  1. Alienvault – https://otx.alienvault.com
  2. Central Ops – https://centralops.net
  3. Digital Whois – https://digital.com/best-web-hosting/who-is
  4. DNS Dumpster – https://dnsdumpster.com
  5. DNS History – http://dnshistory.org
  6. DNSlytics – https://dnslytics.com
  7. DNS Viz – https://dnsviz.net
  8. Domain Help – https://domainhelp.com
  9. Domain Tools – https://whois.domaintools.com
  10. Google Admin Toolbox Dig – https://toolbox.googleapps.com/apps/dig
  11. Hurricane Electric – https://bgp.he.net
  12. Info Sniper – https://www.infosniper.net
  13. Into DNS – https://intodns.com
  14. IP 2 Location – https://www.ip2location.com
  15. IP Address – https://www.ipaddress.com
  16. IP Checking – https://www.ipchecking.com
  17. IP Fingerprints – https://www.ipfingerprints.com
  18. IP Info – https://ipinfo.io
  19. IP Void – https://www.ipvoid.com
  20. Moz Link Explorer – https://moz.com/link-explorer
  21. Netcraft – https://www.netcraft.com
  22. Network Tools – https://network-tools.com
  23. Pulsedive – https://pulsedive.com
  24. Robtex – https://www.robtex.com
  25. Synapsint – https://synapsint.com
  26. Threat Jammer – https://threatjammer.com
  27. URL Query – https://urlquery.net
  28. URL Scan – https://urlscan.io
  29. URL Void – https://www.urlvoid.com
  30. View DNS – https://viewdns.info
  31. Website Informer – https://website.informer.com
  32. Whois – https://who.is
  33. Whoisology – https://whoisology.com
  34. Whois Request – https://whoisrequest.com


出典:30+ domain & IP address OSINT resources

Labels:

2022年版防衛白書(抜粋:サイバー領域をめぐる動向)

 

  1. サイバー空間と安全保障
    IoTやAI、5G、クラウドサービスなどの利用拡大、テレワークの定着など、情報通信ネットワークは経済社会において、必要不可欠なものになっている。そのため情報通信ネットワークに対するサイバー攻撃は、人々の生活に深刻な影響をもたらしうるものであるとともに、サイバー空間における諜報活動の一環であるサイバー攻撃は国の安全保障にとって現実の脅威となっている。

    サイバー攻撃の種類としては、情報通信ネットワークへの不正アクセス、メール送信などを通じたウイルスの送り込みによる機能妨害、情報の改ざん・窃取、大量のデータの同時送信による情報通信ネットワークの機能妨害のほか、電力システムなどの重要インフラのシステムダウンや乗っ取りを目的とした攻撃などがあげられる。また、ネットワーク関連技術は日進月歩であり、AIを利用した攻撃が行われる可能性も指摘されるなどサイバー攻撃も日に日に高度化、巧妙化している。

    軍隊にとって情報通信は、指揮中枢から末端部隊に至る指揮統制のための基盤であり、情報通信技術(ICT / Information and Communications Technology)の発展によって情報通信ネットワークへの軍隊の依存度が一層増大している。攻撃の実施主体や被害の把握が困難なサイバー攻撃は、敵の軍事活動を低コストで妨害可能な非対称的な攻撃手段として認識されており、多くの外国軍隊がサイバー空間における攻撃能力を開発しているとみられる。

  2. サイバー空間における脅威の動向
    諸外国の政府機関や軍隊のみならず民間企業や学術機関などの情報通信ネットワークに対するサイバー攻撃が多発しており、重要技術、機密情報、個人情報などが標的となる事例も確認されている。例えば、高度サイバー攻撃(APT / Advanced Persistent Threat)のような、特定の標的組織を執拗に攻撃するサイバー攻撃は、長期的な活動を行うための潤沢なリソース、体制、能力が必要となることから、組織的活動であるとされている。このような高度なサイバー攻撃に対処するために、脅威認識の共有などを通じて諸外国との技術面・運用面の協力が求められている。また米国は、情報窃取、国民への影響工作、重要インフラを含む産業に損害を与える能力を有する国家やサイバー攻撃主体は増加傾向にあり、特にロシア、中国、イラン及び北朝鮮を最も懸念していると評価1しているように、各国が、軍としてもサイバー攻撃能力を強化しているとみられる。

    1. 中国
      中国では、2015年12月末、中国における軍改革の一環として創設された「戦略支援部隊」のもとにサイバー戦部隊が編成されたとみられる。同部隊は17万5,000人規模とされ、このうち、サイバー攻撃部隊は3万人との指摘もある。台湾国防部は、サイバー領域における安全保障上の脅威として、中国は平時では、情報収集・情報窃取によりサイバー攻撃ポイントを把握し、有事では、国家の基幹インフラ及び情報システムの破壊、社会の動揺、秩序の混乱をもたらし、軍や政府の治安能力を破壊すると指摘している。また、中国が2019年7月に発表した国防白書「新時代における中国の国防」において、軍によるサイバー空間における能力構築を加速させるとしているなど、中国は、軍のサイバー戦力を強化していると考えられる。

    2. 北朝鮮
      北朝鮮には、偵察総局、国家保衛省、朝鮮労働党統一戦線部、文化交流局の4つの主要な情報及び対外情報機関が存在しており、情報収集の主たる標的は韓国、米国及びわが国であるとの指摘がある。また、人材育成は当局が行っており、軍の偵察総局を中心に、サイバー部隊を集中的に増強し、約6,800人を運用中と指摘されている。

    3. ロシア
      ロシアについては、軍参謀本部情報総局(GRU)や連邦保安庁(FSB)、対外情報庁(SVR)がサイバー攻撃に関与しているとの指摘があるほか、軍のサイバー部隊8の存在が明らかとなっている。サイバー部隊は、敵の指揮・統制システムへのマルウェア(不正プログラム)の挿入を含む攻撃的なサイバー活動を担うとされ、その要員は、約1,000人と指摘されている。また、2021年7月に公表した「国家安全保障戦略」において、宇宙及び情報空間は、軍事活動の新たな領域として活発に開発されているとの認識を示し、情報空間におけるロシアの主権の強化を国家の優先課題として掲げている。また、2019年11月、サイバー攻撃などの際にグローバルネットワークから遮断し、ロシアのネットワークの継続性を確保することを想定したいわゆるインターネット主権法を施行させた。

  3. その他の脅威の動向
    意図的に不正改造されたプログラムが埋め込まれた製品が企業から納入されるなどのサプライチェーンリスクや、産業制御システムへの攻撃を企図した高度なマルウェアの存在も指摘されている。

    この点、米国議会は2018年8月、政府機関がファーウェイ社などの中国の大手通信機器メーカーの製品を使用することを禁止する条項を盛り込んだ国防授権法を成立させた。また、中国の通信機器のリスクに関する情報を同盟国に伝え、不使用を呼びかけており、オーストラリアは、第5世代移動通信システムの整備事業へのファーウェイ社とZTE社の参入を禁止しており、英国は2027年末までにすべてのファーウェイ社製品を第5世代移動通信システム網から撤去する方針を表明している。

    4. また、新型コロナウイルスの混乱に乗じ、製薬会社や研究機関などへのワクチン・治療法研究データの情報窃取、テレワーク基盤への脆弱性を悪用したサイバー攻撃などが頻発している。このような状況に対して、2020年6月にNATOは、医療機関や研究機関などパンデミックの対応に携わる人々に対する悪意あるサイバー活動を非難する声明を発出している。
Labels:

東京都 都立高等学校における個人情報の漏えい 2022年8月9日


都立向丘高等学校において、個人情報の漏えいが発生しました。

関係者の皆様には、多大な御迷惑をお掛けし、深くお詫びを申し上げます。今後、再発防止を徹底してまいります。

1 事故の概要

同校で使用するMicrosoft Teams(以下、「Teams」という。)内の生徒が閲覧可能なフォルダ内に、同校生徒の入学選抜に係る情報が格納され、14名の生徒が当該情報にアクセスを行ったことが確認された。

(1)発生日

令和4年7月7日(木曜日)午前10時21分

(2)発生場所

都立向丘高等学校のTeams内

(3)格納した内容

1年生278名の入学選抜に係る情報等

2 事故の経緯
  1. 令和4年3月下旬、新1年生担当教諭が、名簿を作成した際に活用した新1年生278名分の入学選抜に係る情報等を、削除し忘れたまま学校の共有ファイルサーバに保存した。

  2. その後、情報科教諭が、共有ファイルサーバにアクセスし、令和4年7月7日(木曜日)午前10時00分、入学選抜に係る情報が含まれていることに気が付かないまま当該名簿ファイルをTeams内の生徒が閲覧可能なフォルダにアップロードした。

  3. 7月20日(水曜日)午後6時00分、生徒の中の一人がTeams内に当該ファイルがアップロードされているのを発見し、個人情報の漏えいが判明した。
3 事故発生後の対応

7月21日(木曜日)午前7時30分、事故発生の連絡を受け、当該データを削除した。また、当該ファイルへのアクセスログを解析し、当該ファイルをダウンロードした生徒を特定し、当該生徒に対して生徒所有の端末からのファイル削除を依頼し、削除されたことを確認した。

現在のところ、当該ファイルの外部への流出等、二次被害等の報告は受けていない。

4 生徒及び保護者への説明及び謝罪

令和4年8月8日(月曜日)、1学年保護者に対して説明会を実施し、経緯の説明と謝罪を行った。

5 再発防止について

今後、個人情報を厳正に管理するとともに、教職員に対して情報セキュリティの教育・指導を徹底していく。また、Teamsの適正な運用について、指導を徹底していく。
全都立学校長に対しても、個人情報の取扱い等について再度周知徹底を図っていく。

Labels: ,

住和港運株式会社 弊社サーバへの不正アクセスについてのご報告とお詫び 2022年8月5日


日頃、ご愛顧賜りまして誠にありがとうございます。

このたび、弊社において業務上使用するサーバに対して、第三者の不正アクセスによるサイバー攻撃を受けました(以下「本件」といいます。)。

お客様をはじめ関係者の皆様には深くお詫びを申し上げますとともに、今般、第三者調査機関による調査が完了したため、本件の概要につきまして、下記のとおりご報告いたします。

なお、既に弊社サーバは復旧しており、現時点では業務への影響はございませんことを併せてご報告させていただきます。 

1.本件の概要等

 2022 年 6 月 4 日午前 9 時頃、出社した弊社親会社従業員が、PC をサーバに接続できない状態になっていることを確認しました。そのため、弊社内部でも調査をしたところ、サーバがランサムウェアに感染していることが発覚したため、当該サーバをネットワークから隔離するなどの被害拡大防止策を講じた上で、速やかに第三者調査機関に調査を依頼しました。並行して、所轄警察署に被害申告を行い、個人情報保護委員会にも報告しました。その後、同年 7 月 21 日、第三者調査機関による調査が完了し、その結果、本件について、同年 6 月2日午後 10 時ごろにグループ会社ネットワークへの不正アクセスが行われたのち、同月 4 日午前 2 時頃より、サーバに記録されていたデータがランサムウェアにより暗号化され、使用できない状況となったことを確認いたしました。

第三者調査機関からは、弊社が保有していたデータの漏えい可能性は否定できないものの、明確な情報漏えいの有無及びその範囲については判明しなかった旨の報告を受けています。 

2.関係者へのお詫びと本件に関するお問い合わせ窓口

お客様ならびに関係者の皆様には多大なご不便とご不安をお掛けしておりますことを、深くお詫び申し上げます。

今回の事案に関して、お問い合わせをお受けするために、弊社ホームページに「お問い合わせ」タグを設置しております。ご相談やご心配なことがございましたら、以下のお客様お問い合わせ窓口まで、ご連絡をお願いいたします。

 弊社では、これまでもサーバ・コンピュータへの不正アクセスを防ぐための措置を講じるとともに情報の適切な管理に努めてきましたが、今回の事態を重く受け止め、外部の専門家
と検討の上、既に種々の再発防止策を整備しており、今後も随時改善を図る予定です。 

Labels: ,

株式会社トーカイ 当社サーバーへの不正アクセスに関するお知らせ 2022年8月10日


このたび、当社サーバーに対し第三者による不正アクセスを受けたことを確認いたしましたので、お知らせいたします。

当社は、2022 年8月6日夜に当社サーバーに対して外部から不正アクセスを受けていることを確認いたしました。その後、直ちに外部通信の遮断等の対策を講じ、現在、外部の専門機関を交えて不正アクセスの内容及び範囲の特定を進めております。

なお、現時点で当社サーバーに保管されていた情報が今回の不正アクセスを通じ外部に流出した事実は確認されておりません。

今後、調査の進捗によって、公表すべき新たな事項が判明した場合や、当社の業績に重要な影響を及ぼすことが明らかとなった場合には、速やかに開示いたします。

当社は、このたびの事態を厳粛に受け止め、セキュリティ対策の一層の強化を図るとともに、再発防止に努めてまいります。お客様、お取引先様をはじめとする関係者の皆様に多大なご心配とご迷惑をおかけすることとなり、深くお詫び申し上げます。

Labels: ,

大阪市 保健所における個人情報等を含む写真データ等の漏えいについて 2022年8月9日


大阪市保健所職員(医師)の個人用端末アカウントに対する不正アクセスにより、クラウドサービス上に保存されていた個人情報等を含む写真データが不正アクセス者から閲覧できる状態になっていたことが、令和4年4月25日(月曜日)に判明しました。

このたびの事案が発生したことにつきまして、関係者の皆様に多大なご迷惑をおかけし、市民の皆様の信頼を損ねることになったことに対しまして、深くお詫び申しあげますとともに、再発防止に努めてまいります。

1 概要と事実経過

令和4年4月25日(月曜日)、大阪市保健所に勤務する職員から、「個人用端末アカウントから行ったインターネット上のアクセスにより、フィッシング詐欺にあい、個人で契約していたクラウドサービスのアカウントが乗っ取られていたことに、令和4年4月22日(金曜日)に気づいた」と報告がありました。

当該職員が、個人用端末アカウントで保存していたデータが外部のクラウドサービスに自動的に保存される設定としており、個人的な写真や業務上使用する資料の一部を撮影した写真を保存していたため、不正アクセス者から閲覧できる状態になっていたことが判明しました。

2 データに含まれる個人情報等

個人の名前、住所、電話番号、生年月日等を含む保健所内で取り扱う個人情報495件及び法人情報2件

3 判明後の対応

令和4年6月中旬にかけて、クラウドサービス事業者、警察及び弁護士と相談をしたうえ、二次被害等の影響等を考慮し、当該職員の個人用端末に保存されていた写真データ等の全てについて、個人情報の有無や内容を調査し、令和4年8月3日にかけて順次、当該関係者の皆様に連絡をとり、大阪市保健所の職員が経過説明と謝罪を行いました。

なお、現時点で、個人情報等が第三者に利用された事実は確認されておりません。

また、所属職員全員に対し、個人用端末を用いた同様の資料データ持ち出しがない事を確認しました。

4 原因

職員の個人情報等の取り扱いに関する認識が不十分であり、個人情報を持ち出す手続きをせず、個人情報等を含む資料を個人用端末で写真撮影し、保存していたことが原因です。

5 再発防止について

これまでも職員に対して個人情報等の管理の徹底を指導していたにもかかわらず、このような事案を起こしたことについて、深く受け止め、保健所職員に対して、今回の事案を共有するとともに注意喚起を図り、個人情報等の管理の徹底と、さらなる意識の向上について指導し、再発防止に努めてまいります。

Labels: ,

twilio インシデントのご報告〜Twilio従業員およびお客様のアカウント情報流出について〜 2022年8月4日


Twilioは、お客様データのセキュリティが最も重要であると考えており、セキュリティを脅かす可能性のあるインシデントが発生した場合、透明性のある方法で発生事由・事実経過をお伝えしております。この視点に立ち、お客様の情報に影響を与えた今回のインシデントの概要と弊社対応について以下にお知らせいたします。

事実経過

2022年8月4日、Twilioは、従業員の認証情報を盗むことを目的とした高度なソーシャルエンジニアリング攻撃により、ごく一部の弊社顧客アカウントに関する情報が不正にアクセスされたことを認識しました。弊社の従業員に対するこの広範な攻撃は、一部の従業員を騙して認証情報を提供させることに成功しました。その後、攻撃者は盗んだ認証情報を使って弊社の内部システムのいくつかにアクセスし、特定の顧客データにアクセスすることができました。弊社は、このインシデントの影響を受けたお客様に継続的にお知らせを行い、また直接やり取りをさせていただいております。弊社の調査は未だ初期段階にあり継続中です。

具体的には、現従業員と元従業員が、弊社のIT部門を装ったSMSメッセージを最近受け取ったと報告しています。典型的なSMSメッセージ本文は、従業員のパスワードの有効期限が切れた、またはスケジュールが変更されたことを示唆し、攻撃者が管理するURLにログインする必要があることを伝えていました。URLには「Twilio」、「Okta」、「SSO」などの言葉が使われ、ユーザーを騙してTwilioのサインインページを模したランディングページに誘導するリンクがクリックされるよう仕向けています。SMSメッセージは、米国のキャリアネットワークから発信されました。私たちは、米国の通信事業者と協力して攻撃者をシャットダウンし、さらに、悪質なURLを提供していたサイトのホスティングプロバイダーと協力して、これらのアカウントをシャットダウンしました。脅威者(攻撃者)は、情報源から得た従業員の名前と電話番号を照合する高度な能力を持っているように思われます。

フィッシングのSMSメッセージ(サンプル):




弊社では、同様の被害を受けたとの連絡を他社からも受け、通信事業者と連携して悪質なメッセージを停止させるとともに、レジストラやホスティングプロバイダーと連携して悪質なURLを停止させるなど、脅威への対処を行いました。このような対応にもかかわらず、脅威者はキャリアやホスティングプロバイダーをローテーションして、攻撃を再開し続けています。

これらのことから、脅威者は組織化され、巧妙かつ計画的に行動していると考えています。弊社は特定の脅威者を未だ特定できていませんが、法執行機関と連携し、この問題に取り組んでいます。ソーシャルエンジニアリングによる攻撃は、その性質上、複雑で高度なものであり、最も高度な防御にさえ挑戦するように作られています。

これまでの対処

弊社ではインシデントを認識した後、弊社セキュリティチーム側で侵害された従業員のアカウントへのアクセスを無効にし、攻撃への対処を行いました。また現在進行中の調査を強化するため、大手のセキュリティフォレンジック(鑑識捜査)会社に依頼をかけています。

弊社はまた、ソーシャルエンジニアリング攻撃への警戒を従業員に徹底させるため、セキュリティトレーニングを再度強化し、数週間前に出現し始めた悪意のある行為者が利用している特定の手口に関するセキュリティ勧告を発表しております。またここ数週間は、ソーシャルエンジニアリング攻撃に関する意識向上トレーニングの義務化も行っています。さらに調査の進展に伴い、技術的な予防措置の追加を検討しています。

脅威者は限られた数のアカウントのデータにアクセスすることができたため、影響を受けたお客様には個別に詳細をご連絡しています。Twilioから連絡がない場合は、お客様のアカウントがこの攻撃の影響を受けたという形跡が現時点で確認されていないことを意味します。

弊社では信頼を第一に考えており、弊社システムのセキュリティは、お客様の信頼を獲得し維持するための重要な要素であると認識しています。このような事態が発生したことを心からお詫び申し上げます。弊社では、最新の高度な脅威検知・抑止手段を用いて、充実したセキュリティチームを維持していますが、このようなお知らせをしなければならないことを心苦しく思っています。弊社ではこのインシデントの徹底的な検証を行い、情報流出の根本原因に対処するための改善策の見極め・実装を直ちに開始します。お客様の弊社サービスのご利用・お付き合いに感謝申し上げるとともに、影響を受けたお客様を最大限支援いたします。

今後の対応

Twilioのセキュリティ・インシデント・レスポンス・チーム(SIRT)は、何か進展があった場合、このブログ記事を追記・修正いたします。

なお、ポータル「twilio.com」以外の場所で弊社がパスワードを尋ねたり、二要素認証の情報提供を求めたりすることは決してございません。

Labels: ,
登録: 投稿 (Atom)