- ブリティッシュ・エアウェイズのファーストクラスで到着した人
- ブリティッシュ・エアウェイズのクラブワールドで到着した人
- アメリカン航空ファーストクラスで到着した人
- アメリカン航空のビジネスクラスで到着した人
- ブリティッシュ・エアウェイズのゴールドカードホルダーで、BA長距離路線で到着した人
- アメリカン航空コンシェルジュ・キーカードホルダーで、AA長距離路線で到着した人
雑記系ブログ。セキュリティとか、マイルとか、投資とか、、、 / Miscellaneous Blogs. Security, miles, investments, etc
ロンドン・ヒースロー空港ターミナル5のBA到着ラウンジにバスタブ付きのシャワールームがあるらしい。
サクソバンク証券の2023年大胆予測
今年、サクソバンク証券の口座を開設して取引を行っている。
国内ではあまりメジャーな証券会社ではないが、S&P500のCFDや先物等、国内の証券会社では取り扱っていない商品を扱っている。
先日、無料会場セミナーの案内が来たので行ってみた。
結構長い事続いている、毎年恒例のイベントらしい。
セミナーの内容についてはリンクを参照いただきたい。
大胆予測なので、アタリを狙ったというよりは、極端なケースの紹介で、「こういったケースも踏まえてポートフォリオを考えましょう」といった趣旨のセミナーだった。
ただ、前回の大胆予測は幾つか現実化したようなことを話していた。
その一つがGAFAMへの逆風で、大胆予測ではFacebookの株価が30%下落する可能性を謳っていたが、実際に70%も株価が下落した。
そんな訳で、今回ももしかしたら当たるかもしれないという気持ちで聞いていた。
ロシアのウクライナ侵攻により、戦時経済というのが一つのテーマになっている。
ロシアのウクライナ侵攻の原因の一つはエネルギー問題とも言われているが、ESGの観点からも化石燃料からの脱却や、環境負荷を与える畜産辺りは今後トレンドになっていくのかと感じた。
とくにヨーロッパはこの辺の考え方が進んでいるらしい。どこかの国が食肉生産禁止を打ち出したら大ニュースになるかもしれないので、今の内から心の準備しておかなければならない。
また、金については上昇する要素がいくつかある。
ロシアがウクライナに対して核ミサイルをぶっ放すと金価格は暴騰する可能性がある。
また、中国が台湾に侵攻した場合も金価格は暴騰する可能性がある。
金に全てを賭ける必要はないが、ポートフォリオに少し金を混ぜておくことはとても重要と感じた。
また、ドル円もこの先どうなるかは分からないが、最悪200円/ドルは覚悟しておく必要があると感じた。
だからと言って、FXで全力投球すると爆死するだけなので、ドルコスト平均法でコツコツとドルを蓄えていくのが良いと感じた。
セミナー後に懇親会があり、担当者にいろいろ要望を伝える機会があったが、サクソバンク証券は2020年にセキュリティインシデント(情報漏えい)を起こし、それに起因して金融庁から業務改善命令を受けている。
現状は顧客要望の対応よりも業務改善命令の対応が優先されてしまっている感じがした。
それでも日本国内ではオンリーワンのサービスがあるので、すごいなぁと思った。
早く業務改善命令の対応を終えて、顧客満足度向上のための施策をどんどん打っていって欲しいと思った。
築野食品工業株式会社 弊社が運営する「つの食品webショップ」への不正アクセスによる個人情報漏えいに関するお詫びとお知らせ 2022年12月26日
株式会社ナビインシュアランスサービス 当社における個人情報漏えいについて 2022年12月21日
高松青果株式会社 弊社管理サーバーへのサイバー攻撃について 2022年12月15日
【THM】Intro to Defensive Security
Task 1 Introduction to Defensive Security
攻撃的なセキュリティは、システムに侵入することに重点を置いています。システムへの侵入は、バグを悪用したり、安全でない設定を悪用したり、強制されていないアクセス制御ポリシーを利用したりすることなどで達成されるかもしれません。レッドチームや侵入テスト担当者は、攻撃的なセキュリティに特化しています。
防御的なセキュリティは、攻撃的なセキュリティとやや正反対で、主に2つのタスクに関係しています。
- 侵入の発生を防ぐ
- 侵入を未然に防ぐ」「侵入を検知し、適切に対処する」。
ブルー・チームは、防御的なセキュリティの一翼を担っています。
防御的なセキュリティに関連するタスクには、以下のようなものがあります。
- ユーザーのサイバーセキュリティに対する意識向上:ユーザーにサイバーセキュリティに関する教育を行うことで、システムを狙った様々な攻撃から身を守る。
- 資産の文書化と管理:どのようなシステムやデバイスがあるのかを把握し、適切に管理・保護する。
- システムのアップデートとパッチ適用:コンピューター、サーバー、ネットワーク機器などが正しく更新され、既知の脆弱性に対してパッチが適用されていることを確認する。
- 予防的なセキュリティ機器の設定:ファイアウォールと侵入防止システム(IPS)は、予防的なセキュリティの重要な構成要素です。ファイアウォールは、どのようなネットワークトラフィックが内部に入り、何がシステムまたはネットワークから出ることができるかを制御します。IPSは、現在のルールと攻撃シグネチャに一致するネットワーク・トラフィックをすべてブロックします。
- ロギングおよび監視デバイスのセットアップ:ネットワークの適切なログと監視がなければ、悪意のある活動や侵入を検出することはできません。
防御的なセキュリティにはまだまだ多くのことがあり、上記のリストは一般的なトピックをいくつか取り上げたに過ぎません。
このルームでは、以下を取り上げます。
- セキュリティ・オペレーション・センター(SOC)
- スレットインテリジェンス
- デジタルフォレンジックとインシデントレスポンス(DFIR)
- マルウェア解析
※Question:防御的なセキュリティに重点を置くチームは?
Task 2 Areas of Defensive Security
このタスクでは、防御的なセキュリティに関連する2つの主要なトピックを取り上げます。
- スレット・インテリジェンスを行うセキュリティ・オペレーション・センター(SOC)。
- マルウェア解析を行うデジタルフォレンジックとインシデントレスポンス(DFIR)
Security Operations Center (SOC)
セキュリティ・オペレーション・センター(SOC)は、サイバーセキュリティの専門家からなるチームで、ネットワークとそのシステムを監視し、サイバーセキュリティ上の悪質な事象を検出します。SOCが関心を持つ主な分野は以下の通りです。
- 脆弱性管理:システムの弱点が発見された場合、適切な更新プログラムやパッチを導入して修正することが不可欠である。修正パッチがない場合は、攻撃者に悪用されないようにするために必要な措置を講じる必要がある。SOCにとって脆弱性対策は重要な課題であるが、必ずしも担当する必要はない。
- ポリシー違反:セキュリティ・ポリシーとは、ネットワークやシステムを保護するために必要な一連のルールと考えることができる。例えば、ユーザーが会社の機密データをオンラインストレージにアップロードし始めたら、ポリシー違反となる可能性がある。
- 不正な活動:ユーザーのログイン名とパスワードが盗まれ、それを使ってネットワークにログインされた場合を考えてみよう。SOCは、このような事象を検知し、被害が拡大する前に早急にブロックする必要がある。
- ネットワークへの侵入:セキュリティが万全であっても、侵入される可能性は常にあります。侵入は、ユーザーが悪意のあるリンクをクリックした場合、または攻撃者が公開サーバーを悪用した場合に起こります。いずれにせよ、侵入が発生したら、できるだけ早く検知し、被害の拡大を防ぐ必要があります。
セキュリティオペレーションには、身を守るためのさまざまなタスクがありますが、そのひとつに脅威のインテリジェンスがあります。
脅威インテリジェンス
ここでいうインテリジェンスとは、実際、又は潜在的な敵について収集した情報のことです。脅威とは、システムを混乱させたり、悪影響を及ぼす可能性のあるあらゆる行動のことです。脅威インテリジェンスの目的は、潜在的な敵対者に対して企業がより良い準備をするための情報を収集することです。その目的は、脅威を考慮した防御を実現することでしょう。企業によって、敵対者は異なります。携帯電話会社の顧客データを盗み出そうとする敵もいれば、石油精製所の生産停止に関心を持つ敵もいます。政治的な理由で活動する国民国家のサイバー軍や、金銭的な目的で活動するランサムウェアグループなどが、敵対者の例として挙げられます。企業(ターゲット)に応じて、敵対者を想定することができます。
インテリジェンスにはデータが必要です。データは収集され、処理され、分析されなければなりません。データの収集は、ネットワークログなどのローカルなソースや、フォーラムなどのパブリックなソースから行われます。データの処理では、分析に適した形式にデータを整理することを目的としています。分析段階では、攻撃者とその動機に関する詳細な情報を見つけ、さらに、推奨事項と実行可能な手順のリストを作成することを目的としています。
敵について知ることで、彼らの戦術、技術、手順を知ることができます。脅威インテリジェンスの結果、脅威の主体(敵対者)を特定し、その活動を予測し、その結果、攻撃を緩和し、対応策を準備することができるようになるのです。
デジタルフォレンジックとインシデントレスポンス (DFIR)
このセクションでは、デジタルフォレンジックとインシデントレスポンス(DFIR)について、説明します。
- デジタル・フォレンジック
- インシデントレスポンス
- マルウェア解析
デジタルフォレンジック
フォレンジックとは、犯罪を調査し、事実を確定するために科学を応用することです。パソコンやスマートフォンなどのデジタルシステムの普及に伴い、関連する犯罪を捜査するために、コンピューターフォレンジックという新しい分野が生まれ、後にデジタルフォレンジックへと発展しました。
防御的セキュリティにおいては、デジタルフォレンジックの焦点は、知的財産の盗難、サイバースパイ、不正コンテンツの所持など、攻撃やその犯人に関する証拠の分析に移行します。その結果、デジタルフォレンジックは、以下のようなさまざまな分野に焦点を当てることになります。
- ファイルシステム:システムストレージのデジタルフォレンジックイメージを分析すると、インストールされているプログラム、作成されたファイル、部分的に上書きされたファイル、削除されたファイルなど、多くの情報が判明します。
- システムメモリ:攻撃者が悪意のあるプログラムをディスクに保存せずにメモリ上で実行している場合、システムメモリのフォレンジックイメージを取得することは、その内容を分析し、攻撃について知るための最良の方法です。
- システム・ログ:クライアントとサーバーのコンピュータはそれぞれ、何が起きているのかについて異なるログファイルを保持しています。ログファイルからは、システムで何が起こったかについて多くの情報が得られます。攻撃者がその痕跡を消去しようとしても、いくつかの痕跡は残ります。
- ネットワークログ:ネットワークを通過したネットワーク・パケットのログは、攻撃が発生しているかどうか、またその内容について、より多くの質問に答えるのに役立ちます。
インシデントレスポンス
インシデントとは、通常、データ漏洩やサイバー攻撃を指します。しかし、場合によっては、設定ミス、侵入の試み、ポリシー違反など、それほど重大ではないものも含まれる可能性があります。サイバー攻撃の例としては、攻撃者が標的のネットワークやシステムにアクセスできなくする、公開Webサイトを改ざんする、データ侵害(標的のデータを盗む)などが挙げられます。サイバー攻撃を受けたらどう対応するか?インシデントレスポンスは、このようなケースに対処するための方法論を規定したものです。被害を最小限に抑え、最短時間で復旧させることが目的です。インシデントレスポンスに備えた計画を策定しておくことが理想的です。
インシデントレスポンスのプロセスは、大きく4つのフェーズに分けられます。
- 準備:これには、インシデントに対処するための訓練を受け、準備が整ったチームが必要です。インシデントの発生を未然に防ぐためのさまざまな対策が施されていることが理想的です。
- 検知と分析:インシデントを検知するために必要なリソースを確保し、さらに検知したインシデントの重大性を分析することが重要です。
- 封じ込め、根絶、復旧:インシデントを検知したら、他のシステムに影響を与えないようにし、インシデントを排除し、影響を受けたシステムを回復させることが重要です。例えば、あるシステムがコンピューターウイルスに感染していることに気づいたら、他のシステムへのウイルスの感染を食い止め(封じ込め)、ウイルスを駆除し、適切なシステム復旧を行うことが望まれます。
- 事故後の活動:復旧後、報告書を作成し、教訓を共有することで、今後の再発防止に努めます。
マルウェアの解析
マルウェアとは、悪意のあるソフトウェアのことです。ソフトウェアとは、ディスクに保存したり、ネットワーク経由で送信したりできるプログラム、文書、ファイルなどのことである。マルウェアには、以下のような多くの種類があります。
- ウイルス:プログラムに付着するコードの一部(プログラムの一部)。コンピュータから別のコンピュータに感染するように設計されており、さらに、コンピュータに感染すると、ファイルを変更、上書き、削除することによって動作します。その結果、コンピューターの動作が遅くなったり、使用不能になったりします。
- トロイの木馬:ある望ましい機能を見せながら、悪意のある機能を隠しているプログラムです。例えば、被害者が怪しいウェブサイトからビデオプレーヤーをダウンロードすると、攻撃者がそのシステムを完全に制御できるようになることがあります。
- ランサムウェア:ユーザーのファイルを暗号化する悪意のあるプログラムです。暗号化により、パスワードを知らない限り、ファイルは読めなくなります。攻撃者は、ユーザーが "身代金 "を支払ことで、暗号に必要なパスワードを提供します。
マルウェア解析は、このような悪意のあるプログラムを様々な手段で知ることを目的としています。
- 静的解析:悪意のあるプログラムを実行することなく検査することによって機能する。通常、アセンブリ言語(プロセッサの命令セット、コンピュータの基本的な命令)の確かな知識が必要です。
- 動的解析:制御された環境でマルウェアを実行し、その活動を監視することによって行われます。これにより、マルウェアが実行されたときにどのような動作をするかを観察することができます。
■Question
1.What would you call a team of cyber security professionals that monitors a network and its systems for malicious events?
⇒security operation center
2.What does DFIR stand for?
⇒Digital forensic and Incident response
3.Which kind of malware requires the user to pay money to regain access to their files?
⇒ransomware
Task 3 Practical Example of Defensive Security
セキュリティアナリストとして行う典型的な業務とはどのようなものでしょうか。
あなたは、ある銀行の保護を担当するセキュリティオペレーションセンター(SOC)に所属しています。この銀行のSOCは、セキュリティ情報およびイベント管理システム(SIEM)を使用しています。SIEMは、さまざまなソースからセキュリティ関連の情報やイベントを収集し、1つのシステムを通じてそれらを提示します。例えば、ログインの失敗や予期せぬ地域からのログイン試行があった場合に通知されるのです。さらに、機械学習の登場により、SIEMは、通常は勤務時間中にしかログインしないユーザーが午前3時にログインするなど、通常とは異なる行動を検出することができるかもしれません。
この演習では、SIEMを操作して、ネットワークとシステム上のさまざまなイベントをリアルタイムで監視します。イベントの中には、典型的で無害なものもあれば、さらなる介入を必要とするものもあります。赤色で表示されているイベントを見つけ、それを記録し、さらに調べるためにそれをクリックします。
次に、疑わしいアクティビティやイベントについての詳細を確認します。疑わしいイベントは、ローカルユーザー、ローカルコンピューター、またはリモートIPアドレスなどのイベントによって引き起こされたかもしれません。郵便物を送受信するには、物理的な住所が必要です。同様に、インターネット上でデータを送受信するには、IPアドレスが必要です。IPアドレスは、インターネット上での通信を可能にする論理的なアドレスです。トリガーとなった事象が本当に悪意のあるものなのかを確認するために、その原因を調べます。悪意のあるものであれば、SOCの誰かに報告したり、IPアドレスをブロックしたりと、しかるべき対処が必要です。
■Question
What is the flag that you obtained by following along?
⇒THM{THREAT-BLOCKED}
広島大学 個人情報を含む USB メモリ紛失について 2022年12月20日
株式会社スタイリッシュ・エイチ・アンド・エイ 悪意のある第三者からの不正アクセス被害に関するお詫びとお知らせ 2022年12月21日
2021 年 7 月 2 日、一部のクレジットカード会社から、本件各サイトを利用したお客様のクレジットカード情報の流出懸念について連絡を受け、同日、本件各サイトでのカード決済を停止いたしました。同時に社内調査を進めるとともに、第三者調査機関による調査も開始いたしました。2022 年 9 月1 日、調査機関による調査が完了し、後記 2.(2)及び(3)記載の情報が流出し、一部のお客様のクレジットカード情報が不正利用された可能性があることを確認いたしました。以上の事実が確認できたため、本日の発表に至りました。
(1)原因
弊社ではクレジットカード情報を保有しておりませんでしたが、弊社が運営する「ColorfulTextile Market 公式オンラインショップ」のシステムの一部の脆弱性をついたことによる第三者の不正アクセスにより、本件各サイトのペイメントアプリケーションの改ざんが行われたため。
(2)クレジットカード情報等流出の可能性があるお客様
下記①~③に記載のお客様で、流出した可能性のある情報は下記④に記載のとおりです(※ 2)。
① 2020 年 6 月 26 日~2021 年 4 月 26 日の期間中に「COLORFUL CANDY STYLE 公式オ ンラインショップ」において、商品購入時、クレジットカード情報を入力し決済ボタンを 押されたお客様:最大 17,472 名②2020 年 7 月 14 日~2020 年 10 月 30 日の期間中に「BOTANY & WATERCOLORS 公式オ ンラインショップ」において、商品購入時、クレジットカード情報を入力し決済ボタンを押 されたお客様:最大 23 名③2021 年 5 月 18 日~2021 年 6 月 29 日の期間中に「Colorful Textile Market 公式オンライン ショップ」において、商品購入時、クレジットカード情報を入力し決済ボタンを押されたお 客様:最大 7 名④流出した可能性のある情報・カード名義人名・クレジットカード番号・有効期限・セキュリティコード・本件各サイトのログイン ID/メールアドレス(※3)・本件各サイトのログインパスワード(※3)
(※2)上記①~③の対象期間外となる決済および、オンラインモール、実店舗となる南青山 本店、横浜みなとみらい店での決済については別システムでの運営となり、今回の不正アク セス被害の対象とはなっておりませんので、ご安心いただけますと幸いです。(※3)上記①~③の各期間中に、本件各サイトに会員としてログインした上でクレジット カード情報を入力し決済ボタンを押されたお客様のみが対象です。
(3)個人情報流出の可能性があるお客様
下記①②に記載のお客様で、流出した可能性のある情報は下記③に記載のとおりです。① 2020 年 6 月 26 日までの間に「BOTANY & WATERCOLORS 公式オンラインショップ」にて商品を購入されたお客様及び同サイトにて会員登録をされたすべてのお客様:最大 986 名② 2020 年 6 月 25 日までの間に「Colorful Textile Market 公式オンラインショップ」にて商品を購入されたお客様及び同サイトにて会員登録をされたすべてのお客様:最大 1,372 名③流出した可能性のある情報・氏名・住所・電話番号/FAX 番号・性別・職業・生年月日・同サイトのログイン ID/メールアドレス・同サイトのログインパスワード・注文情報
上記(2)(3)に該当するお客様については、別途、電子メールにて個別にご連絡申し上げます。なお、電子メールがお届けできなかったお客様には、書状にてご連絡させていただきます。
(1)クレジットカード不正利用のご確認のお願い
既に弊社では、クレジットカード会社と連携し、流出した可能性のあるクレジットカードによる取引のモニタリングを継続して実施し、不正利用の防止に努めております。お客様におかれましても、誠に恐縮ではございますがクレジットカードのご利用明細書に身に覚えのない請求項目がないか、今一度ご確認をお願い申し上げます。万が一、身に覚えのない請求項目の記載があった場合は、大変お手数ですが同クレジットカードの裏面に記載のカード会社にお問い合わせいただきますよう、併せてお願い申し上げます。
なお、上記 2.(2)の対象となるお客様がクレジットカードの差し替えをご希望される場合、カード再発行の手数料につきましてはお客様にご負担をお掛けしないよう、弊社よりクレジットカード会社に依頼しております。
(2)他のサイトにおけるログイン ID・パスワード変更のお願い
上記流出可能性のあるお客様が、他のサイトで本件各サイトと同一の値のログイン ID・パスワードを使用されている場合には、お客様の保有する当該他のサイトのアカウントに不正アクセスされる危険性がございます。そのため、念のため、当該他のサイトにおいて、ログイン ID・パスワード変更のお手続をいただきますようお願い申し上げます。
(3)不審なメール・電話への注意喚起
身に覚えのない電子メールが届いた場合には、メールを開かない、不審なリンクや添付ファイルをクリックしない等の対応をお願いいたします。不審な電話がかかってきた場合には、お客様の重要な情報等は決してお伝えにならないようお願いいたします。
2021 年 7 月 2 日の流出懸念発覚から今回の案内に至るまで、時間を要しましたことを深くお詫び申し上げます。「COLORFUL CANDY STYLE 公式オンラインショップ」、「BOTANY & WATERCOLORS 公式オンラインショップ」、「Colorful Textile Market 公式オンラインショップ」の 3 サイトに及ぶ調査の複雑性から流出情報の内容の特定が難航し、調査に時間を要しました。本来であれば疑いがある時点でお客様にご連絡し、注意を喚起するとともにお詫び申し上げるところではございましたが、決済代行会社と協議し、不確定な情報の公開はいたずらに混乱を招き、お客様へのご迷惑を最小限に食い止める対応準備を整えてからの告知が不可欠であるとの説明を受け、発表は調査会社の調査結果、およびカード会社との連携を待ってから行うことに致しました。今回の発表までお時間をいただきましたこと、重ねてお詫び申し上げます。
弊社はこのたびの事態を厳粛に受け止め、調査結果を踏まえてシステムのセキュリティ対策を講じ安全性の確認および監視体制の強化を行い、再発防止策を実施しております。本件各サイトの再開につきましては、決定次第、改めて Web サイト上にてお知らせ致します。また、弊社は今回の不正アクセスにつきまして、監督官庁である個人情報保護委員会には 2022年1月19日に報告済みであり、また、所轄警察署にも 2022 年 1 月 5 日に被害申告しており、今後捜査にも全面的に協力してまいります。