ブログ - ニュース・徒然カテゴリのエントリ
こんな記事.
引用: 広告ブロッカーは,古典的な拡張機能といえる.昔は単純にドメインなどでブロックすればよかったけれど,広告の手法も進化しているから,そういった簡単なものではない模様.
人気広告ブロッカーが一夜にして悪徳ツールになったワケ:585th Lap
https://www.keyman.or.jp/kn/articles/2010/30/news038.html
引用: インスタなどの「いいね!」やツイッターのフォローワー数はお金で買えるけれど,その買った場合に誰がクリックしているかは,こういう機能が本人の意図しないところで自動でやっているようだ.
プログラムが豹変した原因は,開発者がソースコードもろとも売り渡したことで,それを入手した悪意のある人が個人情報収集機能などを盛り込んだそうです.
つまり,ここでは過去の集合知は使えないということになる.
何も入れないの.
自分で作る
信頼の置ける組織が維持しているものに限る
意図しない情報搾取や行動がされてもしかたないと,諦める.
良い記事だったら,広告はブロックせずに,見てクリックして還元しようw
引用:
Webサイトを見ているとことあるごとに出てくる広告がイヤで、「広告ブロッカー」を入れている人もいるだろう。
広告ブロッカーはWebブラウザの拡張機能として動作し、違和感なく広告を非表示にする。数ある広告ブロッカーの中でも人気なのが「Nano Adblocker」と「Nano Defender」だ。
人気広告ブロッカーが一夜にして悪徳ツールになったワケ:585th Lap
https://www.keyman.or.jp/kn/articles/2010/30/news038.html
引用:
第三者調査によると、ユーザーについて「IPアドレス」や「国」「使用OS」「Webサイトの履歴」「Webリクエストのタイムスタンプ」「Webページ滞在時間」「クリックしたリンク」など10種類もの情報が収集され、そのサイトに送られていたという。さらに、別の検証によって、拡張機能が勝手にSNS「Instagram」などのアカウントにアクセスして「いいね」していた。
プログラムが豹変した原因は,開発者がソースコードもろとも売り渡したことで,それを入手した悪意のある人が個人情報収集機能などを盛り込んだそうです.
つまり,ここでは過去の集合知は使えないということになる.
良い記事だったら,広告はブロックせずに,見てクリックして還元しようw
コロナも同じ.既に目の前にある.
「誰も信用しない」認証 サイバー防衛、新手法に脚光
https://style.nikkei.com/article/DGXMZO65557560Y0A021C2EAC000/?page=1
引用:
「誰も信用しない」認証 サイバー防衛、新手法に脚光
https://style.nikkei.com/article/DGXMZO65557560Y0A021C2EAC000/?page=1
引用:
「最近の高度なランサムウエア攻撃などのサイバー攻撃は、企業側がファイアウオールやマルウエア対策を実施していることを前提に計画されています。また、IDやパスワードは盗まれていると考えるのが現実的です。従来の防御策を迂回する戦術が確立している事実を踏まえ、マルウエアは既に社内に潜伏していると考え、それらが社内の他のシステムにも感染を広げる水平展開(ラテラルムーブメント)を防止する必要性が認識され始めています」
期間限定の警視庁サイバーセキュリティ対策本部が提供するサイト.
もう第3回目らしい.というか10月1日からの配信か...期間短すぎるような.
テイスト的に小学生あたりを狙っている感じだけれど,取り上げているのがフィッシング詐欺とかURLの判別方法とか...子供達はスマホアプリだと思うな.
あ! 仮面ライダーとか戦隊モノのように,一緒に見ているママをターゲットに? それだとイケメンを採用するだろし...子供に小島よしおは人気なのか.
動画を最後まで見ると・・・
おお!当たりそう.
サイバーセキュリティってなに? お茶? レモンティ?ハーブティ?サイバーセキュリティ!
小島よしおのサイバーセキュリティ教室
https://cyber-school.jp
もう第3回目らしい.というか10月1日からの配信か...期間短すぎるような.
テイスト的に小学生あたりを狙っている感じだけれど,取り上げているのがフィッシング詐欺とかURLの判別方法とか...子供達はスマホアプリだと思うな.
あ! 仮面ライダーとか戦隊モノのように,一緒に見ているママをターゲットに? それだとイケメンを採用するだろし...子供に小島よしおは人気なのか.
動画を最後まで見ると・・・
おお!当たりそう.
サイバーセキュリティってなに? お茶? レモンティ?ハーブティ?サイバーセキュリティ!
小島よしおのサイバーセキュリティ教室
https://cyber-school.jp
ちょっと前だけどこんなニュースが.
Microsoft、NTTなどと協力し、マルウェア「TrickBot」を遮断する措置
https://www.itmedia.co.jp/news/articles/2010/13/news054.html
引用: 大統領選挙は今週末だぜ〜
技術的なところだと,ここが一番詳しい感じ.
脅威のスポットライト:情報窃取型マルウェアのTrickBot
https://www.cylance.com/ja_jp/blog/jp-blackberry-cylance-vs-trickbot-infostealer-malware.html
Microsoft、NTTなどと協力し、マルウェア「TrickBot」を遮断する措置
https://www.itmedia.co.jp/news/articles/2010/13/news054.html
引用:
世界で100万台以上の端末が感染しており、個人のオンラインバンキング情報を窃取して金を奪うことから、病院のITネットワークを壊滅させたり、選挙を妨害したりすることまで、犯罪ネットワークや国家に様々なサービスを提供している。11月3日に本番を迎える米大統領選挙への干渉も懸念されている。
技術的なところだと,ここが一番詳しい感じ.
脅威のスポットライト:情報窃取型マルウェアのTrickBot
https://www.cylance.com/ja_jp/blog/jp-blackberry-cylance-vs-trickbot-infostealer-malware.html
こんな記事.
家庭用ルーター100製品以上に脆弱性が発見される
https://ascii.jp/elem/000/004/024/4024008/
引用: リスクにさらされている原因は対策バージョンアップがされてないこと.
引用: このレポートには家庭用ルータじゃないから?ヤマハのRTXは載ってない.日本の家電量販店の売り場だと,バッファロー,エレコム,NECが多く,値段でTP-LinkやASUSがあるかな.
バッファロー,エレコムが採用している内部のOSは,中国・台湾メーカの転用のような気がするから,これらの脆弱性に実は巻き込まれているということもあるでしょう.
うちの場合,NetgearはAPとスイッチで使っているけれど,評判いい方のようだ.管理ツールは良くない感じだけれど・・・
家庭用ルーター100製品以上に脆弱性が発見される
https://ascii.jp/elem/000/004/024/4024008/
引用:
大手ベンダーを含む7社が提供している100種類を超える家庭用ルーターに実施された最新の調査結果によると、ほぼすべてのルーターにパッチが適切に適用されておらず、深刻なセキュリティ欠陥の影響を受ける恐れがあり、デバイスとそのユーザーをサイバー攻撃のリスクにさらしていることが明らかになりました。
引用:
90%のデバイスはLinuxが搭載されていましたが、多くの場合、Linuxオペレーティングシステムの古いバージョンのひとつが実行されていました。3分の1以上のルーターは、Linuxカーネルバージョン2.6.36を搭載しており、このバージョンが最後にアップデートを受け取ったのは2011年に遡ります。
バッファロー,エレコムが採用している内部のOSは,中国・台湾メーカの転用のような気がするから,これらの脆弱性に実は巻き込まれているということもあるでしょう.
うちの場合,NetgearはAPとスイッチで使っているけれど,評判いい方のようだ.管理ツールは良くない感じだけれど・・・
Emotetも取引先を偽装してメールを送り込んでくるわけで,その意味では大会社は取引先のセキュリティをマネージメントしても良いのだろうね.内政干渉とは言わないか.
とりあえず無料のサービスもあるので,それを進めるというのが良いか.
令和2年度中小企業の情報セキュリティマネジメント指導業務
https://www.ipa.go.jp/security/keihatsu/sme/management/index.html
サイバーセキュリティお助け隊(令和2年度中小企業向けサイバーセキュリティ対策支援体制構築事業)
https://www.ipa.go.jp/security/keihatsu/sme/otasuketai/index.html
中小企業のための情報セキュリティセミナー
~できるところからはじめよう !! コストをかけずに SECURITY ACTION !!~
https://www.ipa.go.jp/security/keihatsu/sme/renkei.html
とりあえず無料のサービスもあるので,それを進めるというのが良いか.
令和2年度中小企業の情報セキュリティマネジメント指導業務
https://www.ipa.go.jp/security/keihatsu/sme/management/index.html
サイバーセキュリティお助け隊(令和2年度中小企業向けサイバーセキュリティ対策支援体制構築事業)
https://www.ipa.go.jp/security/keihatsu/sme/otasuketai/index.html
中小企業のための情報セキュリティセミナー
~できるところからはじめよう !! コストをかけずに SECURITY ACTION !!~
https://www.ipa.go.jp/security/keihatsu/sme/renkei.html
もうすっかりWebEXを使わなくなったけれど.メール,チャット,ビデオ会議のツールとして,なんなら共有ファイルすらTeamsで管理でMicrosoft Teamsを主軸で使っているけれど,まだ未成熟なので問題もあるにはある.
Microsoft Teamsのセキュリティ脅威トップ10とは?
https://news.mynavi.jp/article/20201019-1425894/
この中で「ゲストユーザー」は気になるところ.春先にZOOMが騒がれていた時に,未承認の人が会議に参加しているという問題があったけれど,それと同じ.
たまーに,参加者をみると「ゲストユーザー」となっているけれどIDに関する登録情報が反映されない時があるだけで表示上の誤差が多い模様.
ただ,参加者の名前が実在する人だと,認証の仕組みがないのでなりすましができちゃうね.他人に会議予定をを転送できるのでね.
Microsoft Teamsのセキュリティ脅威トップ10とは?
https://news.mynavi.jp/article/20201019-1425894/
この中で「ゲストユーザー」は気になるところ.春先にZOOMが騒がれていた時に,未承認の人が会議に参加しているという問題があったけれど,それと同じ.
たまーに,参加者をみると「ゲストユーザー」となっているけれどIDに関する登録情報が反映されない時があるだけで表示上の誤差が多い模様.
ただ,参加者の名前が実在する人だと,認証の仕組みがないのでなりすましができちゃうね.他人に会議予定をを転送できるのでね.
இலங்கை சனநாயக சோஷலிசக் ශ්රී ලංකා ප්රජාතාන්ත්රික සමාජවාදී ජනරජය スリランカからの電話
- ブロガー :
- ujpblog 2020/10/19 0:26
外国に知り合いはいるけれど電話なんてかかってこないし,国際電話番号から「スリランカ」ってって出るんですね.スリランカで知っている人といえば,ウィッキーさんくらいです.(一方的に知っているだけ)
国際電話は,電話に出るだけでこちらの料金が発生するコレクトコールのようなサービスが海外にあると聞いているので,出ることも折り返すことも無いのだけれど,掛かったことで「生きている電話番号だ」とされたから,ちょっと嫌だね.SMS認証を突破する為の何かpingのようなものかもしれないし.
ただの間違い電話可能性も高いとも思っている.街中にあるインド料理屋の従業員はスリランカ人も多いと聞くしね.でもそういう母国人と電話するアジアンな人たちは,IP電話的なものを使いそうだけど.
国際電話は,電話に出るだけでこちらの料金が発生するコレクトコールのようなサービスが海外にあると聞いているので,出ることも折り返すことも無いのだけれど,掛かったことで「生きている電話番号だ」とされたから,ちょっと嫌だね.SMS認証を突破する為の何かpingのようなものかもしれないし.
ただの間違い電話可能性も高いとも思っている.街中にあるインド料理屋の従業員はスリランカ人も多いと聞くしね.でもそういう母国人と電話するアジアンな人たちは,IP電話的なものを使いそうだけど.
Google TrendでEmotetを検索すると,ちょっと減ってきている模様.
今回のブームは暗号化ZIPでセキュリティツールをすり抜けてくるけれど,結局外部通信しようとする振る舞いで検知されてブロックされているようだ.普通にセキュリティソフトが導入されていれば.今回のブームの中で,大きな被害にあったというニュースも,今の所出てない.出てないだけかもしれないけれど.
テレワークに伴う個人情報漏えい事案に関する注意事項 - 個人情報保護委員会
https://www.ppc.go.jp/news/careful_information/telework/
日本医師会、マルウェア「Emotet」の感染を公表--感染拡散メールに注意喚起
https://japan.zdnet.com/article/35159322/
「怪しい添付ファイルを開いてしまった」場合はどうする? 対処法・対策をトレンドマイクロが紹介
https://internet.watch.impress.co.jp/docs/news/1277070.html
テレワークセキュリティに関する手引き(チェックリスト)等の公表
https://www.soumu.go.jp/menu_news/s-news/01cyber01_02000001_00080.html
IIJのwizSafeというサイトの観測レポート.
wizSafe Security Signal 2020年8月 観測レポート
https://wizsafe.iij.ad.jp/2020/09/1065/
引用: 一致するね...
今回のブームは暗号化ZIPでセキュリティツールをすり抜けてくるけれど,結局外部通信しようとする振る舞いで検知されてブロックされているようだ.普通にセキュリティソフトが導入されていれば.今回のブームの中で,大きな被害にあったというニュースも,今の所出てない.出てないだけかもしれないけれど.
テレワークに伴う個人情報漏えい事案に関する注意事項 - 個人情報保護委員会
https://www.ppc.go.jp/news/careful_information/telework/
日本医師会、マルウェア「Emotet」の感染を公表--感染拡散メールに注意喚起
https://japan.zdnet.com/article/35159322/
「怪しい添付ファイルを開いてしまった」場合はどうする? 対処法・対策をトレンドマイクロが紹介
https://internet.watch.impress.co.jp/docs/news/1277070.html
テレワークセキュリティに関する手引き(チェックリスト)等の公表
https://www.soumu.go.jp/menu_news/s-news/01cyber01_02000001_00080.html
IIJのwizSafeというサイトの観測レポート.
wizSafe Security Signal 2020年8月 観測レポート
https://wizsafe.iij.ad.jp/2020/09/1065/
引用:
当月では25日から31日までの間にTrojan.MSOffice.SAgentの総検出数の96.09%の割合で観測しており、28日にピークを迎えています。
NVDとはなにか
https://logmi.jp/tech/articles/323190
引用: 脆弱性発見・報告の際に付加されてい重要度指標って,実はあとからアップデートされます.
「スコアが低いから」とか「そのプロダクトは使っているけれどその機能を使ってないから」とかで対策が不要だという運用方針にしていると痛い目にあう実績が亜あるようですよ.
以前いたプロジェクトでは,自分たちが利用しているOSを含むプロダクト名とバージョンを登録しておくことで,関係する脆弱性情報が到着するとアラートが出る仕組みを使っていたけれど,アラートがでて報告しても運用部門の動きは鈍い.当然,ソフトウェアバージョンアップさせるためには影響調査と試験と関係部門・取引先との調整が必要になるから.
影響が少ない暫定対処・運用回避方法があれば一時的にそれで逃れるという判断もあると思うけれど,その脆弱性が豹変する可能性がずっとついて回るので,それと向き合い続けられるのか.
8月にあったPluse SecureのVPN装置の脆弱性攻撃による認証情報の漏洩事件.
VPN認証情報漏洩に見る脆弱性対策を浸透させる難しさ
https://www.security-next.com/117811
https://logmi.jp/tech/articles/323190
引用:
NVDとは何かと言いますと、NISTというアメリカ国立標準技術研究所が管理している脆弱性データベースのことです。
「スコアが低いから」とか「そのプロダクトは使っているけれどその機能を使ってないから」とかで対策が不要だという運用方針にしていると痛い目にあう実績が亜あるようですよ.
以前いたプロジェクトでは,自分たちが利用しているOSを含むプロダクト名とバージョンを登録しておくことで,関係する脆弱性情報が到着するとアラートが出る仕組みを使っていたけれど,アラートがでて報告しても運用部門の動きは鈍い.当然,ソフトウェアバージョンアップさせるためには影響調査と試験と関係部門・取引先との調整が必要になるから.
影響が少ない暫定対処・運用回避方法があれば一時的にそれで逃れるという判断もあると思うけれど,その脆弱性が豹変する可能性がずっとついて回るので,それと向き合い続けられるのか.
8月にあったPluse SecureのVPN装置の脆弱性攻撃による認証情報の漏洩事件.
VPN認証情報漏洩に見る脆弱性対策を浸透させる難しさ
https://www.security-next.com/117811
在宅勤務で職場のPCを家に持ち帰って使っている人が多いと思うけれど,自宅のネットワークに接続した途端にセキュリティソフトが反応する人がいるそうです.
AV系の家電は,ネットワーク内に連携先の機器があるかブロードキャストしたりポートスキャンしたりして調べているようです.DLNAサーバとかマサにそれ.家のテレビやビデオレコーダ,ブルーレイレコーダが「DLNAサーバ」として動いているとかいう認識はIT関係に疎い人は認識ないよね.なんとかリンク(レグザリンク,AQUOSファミリンク)という名称でわかる人がいると思うけど.
その実装があまり良くないと,攻撃の試みに見えてしまうということだね...
実際に,某国製の家電の場合,家庭内の情報を集めて本国に送信しているのかもね.
AV系の家電は,ネットワーク内に連携先の機器があるかブロードキャストしたりポートスキャンしたりして調べているようです.DLNAサーバとかマサにそれ.家のテレビやビデオレコーダ,ブルーレイレコーダが「DLNAサーバ」として動いているとかいう認識はIT関係に疎い人は認識ないよね.なんとかリンク(レグザリンク,AQUOSファミリンク)という名称でわかる人がいると思うけど.
その実装があまり良くないと,攻撃の試みに見えてしまうということだね...
実際に,某国製の家電の場合,家庭内の情報を集めて本国に送信しているのかもね.
面白いタイトル.
「3分ハッキング」できてしまう環境を用意したのは誰だ!?
https://news.mynavi.jp/article/3minhack-2/
引用: パッチ適用して多大なる影響がでていた苦い経験がある中高年世代だと,パッチ,バージョンアップはトラウマでしかない.特に高い可用性を求められるシステムだとなおさら.
試験環境でテストしても,やっぱり厳密には本番と違うから想定してない状態になるしね.
ども,そこはもう勇気を持って対策前進する,という大方針が経営層と握れていれば良いのだと思う.
「3分ハッキング」できてしまう環境を用意したのは誰だ!?
https://news.mynavi.jp/article/3minhack-2/
引用:
日本でも6月に個人情報保護法が改正されたが、米国カリフォルニア州では1月にCCPA(カリフォルニア州消費者プライバシー法)や、欧州では2018年にGDPR(EU一般データ保護規則)が施行されている。
先行した法律における判例を見てみると、「対策していたがやられた」と「対策していなくてやられた」とでは決定に大きな違いがあるのだ。当然、「対策していなくてやられた」は厳しい制裁へと発展することが多く見受けられる。
試験環境でテストしても,やっぱり厳密には本番と違うから想定してない状態になるしね.
ども,そこはもう勇気を持って対策前進する,という大方針が経営層と握れていれば良いのだと思う.
お金を払って速い復旧というのも選択肢の1つだけれど,払っても戻せなかったので経営危機になった事例が報道されてました.
ランサムウェア被害企業、復旧作業が行き詰まり一時解雇した従業員に職探しを提言
https://securie.jp/usecase/soho/200917.html
引用: 完全にお金目当てクラッカーは,ちょっとだけ復号化できるキーを渡して犯人であること・信頼できることを証明させて金銭ゲットを試みるらしいけれど,最後にもらった解除キーが正しいという保証はないし,もっというとクラッカーの作った解除システムにバグがないとも言えなく意図せず解除できないかもしれない.
身代金を払って確実に復元できると保証できないわけだから,どっちにしても払わないべきだろうな.
ランサムウェア被害企業、復旧作業が行き詰まり一時解雇した従業員に職探しを提言
https://securie.jp/usecase/soho/200917.html
引用:
復号鍵と引き換えに、ハッカーに身代金を支払ったことを認めました。しかし、予定どおりに復旧させることができず、「莫大な」費用を負担するはめになりました。
身代金を払って確実に復元できると保証できないわけだから,どっちにしても払わないべきだろうな.
socatというechoプロキシコマンドがあるのか...
北朝鮮の攻撃グループ「Lazarus」の日本での活動を観測、カスペルスキーが注意を呼び掛け
https://internet.watch.impress.co.jp/docs/news/1275791.html
ランサムウェアってファイルの暗号化をするのだけれど,その時にこの北朝鮮Lazarus生まれてお思われるものはVHDファイルを作成するようだ.
先日聞いた話だと,ランサムウェアの活動を検知する仕組みとして,大量にファイルにアクセスしている状態,大量にファイルを暗号化している状態を検知するというのがあった.
アクティビティを全て把握しておかなければならないし,データバックアップやPC入れ替えとかでも大量アクセスは発生するから,一定の閾値を設定してアラートとなるのだろうな.
閾値設定のための自組織の特徴を捉えるまでのモニタリングに時間がかかりそうだけど.(過検知になりがちな)
拡張子が.vhdだったら探しやすいと思うけどね.
北朝鮮の攻撃グループ「Lazarus」の日本での活動を観測、カスペルスキーが注意を呼び掛け
https://internet.watch.impress.co.jp/docs/news/1275791.html
ランサムウェアってファイルの暗号化をするのだけれど,その時にこの北朝鮮Lazarus生まれてお思われるものはVHDファイルを作成するようだ.
先日聞いた話だと,ランサムウェアの活動を検知する仕組みとして,大量にファイルにアクセスしている状態,大量にファイルを暗号化している状態を検知するというのがあった.
アクティビティを全て把握しておかなければならないし,データバックアップやPC入れ替えとかでも大量アクセスは発生するから,一定の閾値を設定してアラートとなるのだろうな.
閾値設定のための自組織の特徴を捉えるまでのモニタリングに時間がかかりそうだけど.(過検知になりがちな)
拡張子が.vhdだったら探しやすいと思うけどね.
まだ法案が出ているだけで確定では無いようですがほぼ確定のようですが.
ロシアでは「安全なインターネット通信が違法」になる可能性、AWSやCloudflareも対象か
https://gigazine.net/news/20200923-russia-ban-secure-protocols/
引用: 前にもどこかで書いたけれど,2010年ごろ,某社では社内から車外へアクセスする際のプロキシ通信で,HTTPSをブロックしていました.そうすることで「ショッピングサイト等にアクセスできない≒サボらない」という図式.当時は結構それが有効でしたが,今はGoogleが全面SSL化を進めているし証明書も無料で取れるものもあるから,そういう手段は取れなくなりましたね.その代わりセキュアプロキシでサイトをカテゴリ別に分類してそれによってブロックする手段になっていますが.
引用: これは解析能力の技術的に敗北を意味するのかな...そんなことにコストかけるよりも禁止しちゃえってことか.
ロシアでは「安全なインターネット通信が違法」になる可能性、AWSやCloudflareも対象か
https://gigazine.net/news/20200923-russia-ban-secure-protocols/
引用:
ZDNetによると、改正法案はTLS 1.3、DoH、DoT、ESNIといった通信技術を対象としたもの。改正法案ではこうした、こうした通信技術の使用が全面的に禁止されるのではなく、暗号化を通じてウェブページの識別子を秘匿することが禁止されるとのことです。
引用:
ZDNetが入手した文書の中でロシア政府は、「こうした暗号化技術の使用は、トラフィックを監視する既存のフィルタリングシステムの有効性を低下させます。その結果、ロシア内での配布が制限または禁止されている情報を含む、インターネット上の情報源の識別が著しく困難になっています」と指摘し、暗号化技術の使用を禁止する必要性を主張しました。
トレンドマイクロのブログ.
2020年上半期ランサムウェア動向拾遺:「Avaddon」、新たな回避手法、業界別被害事例、など
https://blog.trendmicro.co.jp/archives/26021
引用: 思い出したのは毛色は違うけれど,「偽札を作る人たちは,自分たちが偽札を掴まないように偽物だとわかる印を入れている.偽札判定器はその印を見つけて評価している」ということ.
このランサムウェアがロシアで開発していたのなら,開発している自分のPCが感染しないように対策をしたのかなと,素直に考えればそうなる.それを意図した偽装かもしれない.全てにおいて騙し合いなのでね...
2020年上半期ランサムウェア動向拾遺:「Avaddon」、新たな回避手法、業界別被害事例、など
https://blog.trendmicro.co.jp/archives/26021
引用:
ランサムウェアは、WindowsロケールIDが以下の値と等しい場合、自身を終了します。
419 = ロシア語
422 = ウクライナ語
ランサムウェアは、システムが以下のキーボードレイアウトと言語バーに設定されている場合、自身を終了します。
419 = ロシア語
485 = ヤクート(ロシア)
444 = タタール語
422 = ウクライナ語
このランサムウェアがロシアで開発していたのなら,開発している自分のPCが感染しないように対策をしたのかなと,素直に考えればそうなる.それを意図した偽装かもしれない.全てにおいて騙し合いなのでね...
ランサムウェアによる社内ファイルの暗号化で身代金要求が流行っているけれど,DDoSにもそういうものがあるそうだ.
DDoS 攻撃を示唆して仮想通貨による送金を要求する脅迫行為 (DDoS 脅迫) について
https://www.jpcert.or.jp/newsflash/2020090701.html
DDoS攻撃を示唆し仮想通貨による送金要求、複数確認(JPCERT/CC)
https://scan.netsecurity.ne.jp/article/2020/09/08/44536.html
早く支払わないと増額すると書いてあるのか.支払いは相変わらずBTCで.Akamai Technologies は、50Gbps から 200Gbps 規模の攻撃を確認だそうで...
「仮想通貨を支払ったとして攻撃が必ず収束する保証はなく、支払いは推奨されない」とかるけれど,そりゃそうだな.脅迫から解かれる保証は全くない.
DDoS 攻撃を示唆して仮想通貨による送金を要求する脅迫行為 (DDoS 脅迫) について
https://www.jpcert.or.jp/newsflash/2020090701.html
DDoS攻撃を示唆し仮想通貨による送金要求、複数確認(JPCERT/CC)
https://scan.netsecurity.ne.jp/article/2020/09/08/44536.html
早く支払わないと増額すると書いてあるのか.支払いは相変わらずBTCで.Akamai Technologies は、50Gbps から 200Gbps 規模の攻撃を確認だそうで...
「仮想通貨を支払ったとして攻撃が必ず収束する保証はなく、支払いは推奨されない」とかるけれど,そりゃそうだな.脅迫から解かれる保証は全くない.
IPAが公開.
情報セキュリティ白書2020
https://www.ipa.go.jp/security/publications/hakusyo/2020.html
引用:
2000円(税別)で購入するか,IPAの会員登録してアンケートに答えればダウンロードできます.
情報セキュリティ白書2020
https://www.ipa.go.jp/security/publications/hakusyo/2020.html
引用:
IPAでは、「情報セキュリティ白書」を2008年から毎年発行しており、今年で13冊目を数えます。本白書は、情報セキュリティに関する国内外の政策や脅威の動向、インシデントの発生状況、被害実態など定番トピックの他、毎年タイムリーなトピックを新たに取り上げています。
2000円(税別)で購入するか,IPAの会員登録してアンケートに答えればダウンロードできます.
コインチェックの事件も踏まえてだと思うけれど,ログイン通知機能が実装されたと連絡がありました.
▼ログイン通知機能の設定方法
https://www.onamae.com/guide/p/96
引用: もう1ヶ月以上前か.気づいてなくて設定してないから,最近頻繁に送ってくる模様...
▼ログイン通知機能の設定方法
https://www.onamae.com/guide/p/96
引用:
この度、お名前.comでは、
2020年7月27日(月)よりセキュリティ強化の一環として、
お名前.com Navi(管理画面)へのログインを確認した場合に
ご登録メールアドレス宛に通知を送信される機能を追加いたしました。
【メールの件名例】
[お名前.com]ログイン通知(ログイン検知日時)
設定ご希望の場合は、
お名前.com Navi「会員情報の確認/変更画面」より
ログイン通知の受信を「受け取る」を選択のうえ
設定変更をお願いいたします。
新型コロナでどんなサイバー攻撃が増えているのか? 傾向と注意点を専門家に聞いた
https://www.itmedia.co.jp/news/articles/2008/18/news072.html
引用: これがあるので,例えば日本語で言うところの「covid-19対応対策会議」みたいなタイトルのメールを送ると,セキュアゲートウェイが隔離してしまうことが多くて.
隔離されると安全性を確認するまで戻せないから,手間が増える.かといってホワイトリストに入れることもできないし.
引用:
https://www.itmedia.co.jp/news/articles/2008/18/news072.html
引用:
具体的な攻撃手法は、サイバー攻撃に使うWebサイトのURLやウイルスが入った添付ファイルの名前に「corona」「covid-19」といったワードを付ける方法だ。
隔離されると安全性を確認するまで戻せないから,手間が増える.かといってホワイトリストに入れることもできないし.
引用:
カスペルスキーの調査によると、新型コロナ関連のワードが使われたドメインは3月18日の時点で世界中に7万件以上あったという。これは一時的なもので、5月中旬にかけて減少している。
10年ほど前に関わったチケットのECサイトで,決済方法の1つのVISAだったかJCBだったかがPCI DSS必須と言い出して対応したことがあった.
PCI DSSだと決済にかかわるクエリを投げるだけであって,個人情報はECサイト側では保持しないから,個人情報漏洩事故が発生しないし何か事故があった場合クレカ側が責任とるというものだったという覚えがある.
でもいまは,それでも安心できないようだ.というかPCI DSSは非保持とは関係なかったのか.勘違いしてたな.
攻撃の認識すら不可能 Webサイトを静かに狙う「Magecart」攻撃の実態
https://www.itmedia.co.jp/news/articles/2008/28/news015.html
んー.自分のところの改竄だと検知できるかもしれないけれど,他人様の庭は見えても家の中までは見せてもらえないから,何が起きているか分からないね.
PCI DSSだと決済にかかわるクエリを投げるだけであって,個人情報はECサイト側では保持しないから,個人情報漏洩事故が発生しないし何か事故があった場合クレカ側が責任とるというものだったという覚えがある.
でもいまは,それでも安心できないようだ.というかPCI DSSは非保持とは関係なかったのか.勘違いしてたな.
攻撃の認識すら不可能 Webサイトを静かに狙う「Magecart」攻撃の実態
https://www.itmedia.co.jp/news/articles/2008/28/news015.html
んー.自分のところの改竄だと検知できるかもしれないけれど,他人様の庭は見えても家の中までは見せてもらえないから,何が起きているか分からないね.
Pulse Secure(旧Juniper)のVPN認証情報が取られた問題が騒がれているので,うちはYAMAHAだけれど,VPNサーバのログを確認してみた.
調査は,"[IKE] respond ISAKMP phase to"で接続して来たIPアドレスをgrep.L2TPにしてから1年5ヶ月の約2GB分のルータログデータから抽出.
一番接続数が多かったのは,Shadowserverという調査系サービスのもの.
Shadowserverを知らなかったけれど,こんなものだそうです.
知らなかったではすまされない、インターネットは接続するだけで加害者に!?~Shadowserverの活用から見えてきたもの~
https://www.nttpc.co.jp/technology/csirt_2.html
引用: まぁ,これは悪意がないとしよう.そのほかの22個のIPアドレスを,abuseipdbで調べたら21個が悪性IPで,1つがニュージーランドのプロバイダ(配下の悪いやつか).
21個中19がchinaからで残りの2つがHong Kongでした.
調査は,"[IKE] respond ISAKMP phase to"で接続して来たIPアドレスをgrep.L2TPにしてから1年5ヶ月の約2GB分のルータログデータから抽出.
一番接続数が多かったのは,Shadowserverという調査系サービスのもの.
Shadowserverを知らなかったけれど,こんなものだそうです.
知らなかったではすまされない、インターネットは接続するだけで加害者に!?~Shadowserverの活用から見えてきたもの~
https://www.nttpc.co.jp/technology/csirt_2.html
引用:
ShadowserverはThe Shadowserver Foundationという、世界中の有志のセキュリティ専門家によって運営されており、インターネット全体のセキュリティ向上のために、マルウェアの解析や、マルウェア配布サイトのリストなどを公開しています
21個中19がchinaからで残りの2つがHong Kongでした.
Webブラウザは,便利にするための機能拡追プラグイン,アドインの追加機能を持っているけれど,その便利機能が悪性である可能性がある.
そして,ある時点で良性と判断していても,後日,作者の豹変や売却?とかで悪性にすり替わっていることが多々ある.
これらのホワイトリストを整備するのも,セキュリティ担当の業務になる.
いまの職場では,Google Driveの利用を禁止されているのだけれど,Google Chromeを使っていると勝手にGoogle Driveの機能拡張がインストールされる.ホワイトリストにないので「ブロックしました」と通知がでるのだけれど,また不意にインストールされようとしてブロックしたとダイアログが出る.
あるとき,それが頻繁に出て来て,しばらくすると収まって,またしばらくすると良くダイアログが出る.
導入キャンペーンだとおもうけど.しつこいと,嫌われちゃうぞ.
クラウドストレージは,私は信用してないので使わないのだけれど.
そして,ある時点で良性と判断していても,後日,作者の豹変や売却?とかで悪性にすり替わっていることが多々ある.
これらのホワイトリストを整備するのも,セキュリティ担当の業務になる.
いまの職場では,Google Driveの利用を禁止されているのだけれど,Google Chromeを使っていると勝手にGoogle Driveの機能拡張がインストールされる.ホワイトリストにないので「ブロックしました」と通知がでるのだけれど,また不意にインストールされようとしてブロックしたとダイアログが出る.
あるとき,それが頻繁に出て来て,しばらくすると収まって,またしばらくすると良くダイアログが出る.
導入キャンペーンだとおもうけど.しつこいと,嫌われちゃうぞ.
クラウドストレージは,私は信用してないので使わないのだけれど.
三井物産セキュアディレクションの記事.
音声で脅迫するランサムウェア「Mazeランサムウェア」の内部構造を紐解く
https://www.mbsd.jp/research/20200804.html
あまりにも複雑に作ってあるから,何かことが起こってすぐこれを解析してどうにかするというのは無理なので,やっぱり「安全なところにロールバックする」ことができるようにバックアップの頻度をあげてかっちりとしたリストアポイントを作るのが一番かな.あとは,取り上げられたファイルは,外に出したら見えないような仕組み,たとえばRMSで保護するとか.解除したものが取られたら終わりか.
大事なものは閉鎖空間においとくべきだな.
それと気になったのは,7月中旬に日本企業に着弾して騒がせたということ.そんなニュース知らないなぁ..
Mazeランサムウェアによる被害歴
https://machinarecord.com/blog/3139/
ほほう.このファイルを勝手に暗号化しつつ,取り出して公開するぞと!とする手口は「二重恐喝」というのか.
この記事では株式会社TMW(旧・立松モールド株式会社)という会社が被害を受けたようだけれど従業員200人程度の優良中小企業.下町ロケットの佃製作所みたいなかんじか? これは標的型攻撃の弱いところから・・・の意味か.
そしてXeroxもやられているようだけれど,今日,騒いでいるキャノンもこれのようだ.
音声で脅迫するランサムウェア「Mazeランサムウェア」の内部構造を紐解く
https://www.mbsd.jp/research/20200804.html
あまりにも複雑に作ってあるから,何かことが起こってすぐこれを解析してどうにかするというのは無理なので,やっぱり「安全なところにロールバックする」ことができるようにバックアップの頻度をあげてかっちりとしたリストアポイントを作るのが一番かな.あとは,取り上げられたファイルは,外に出したら見えないような仕組み,たとえばRMSで保護するとか.解除したものが取られたら終わりか.
大事なものは閉鎖空間においとくべきだな.
それと気になったのは,7月中旬に日本企業に着弾して騒がせたということ.そんなニュース知らないなぁ..
Mazeランサムウェアによる被害歴
https://machinarecord.com/blog/3139/
ほほう.このファイルを勝手に暗号化しつつ,取り出して公開するぞと!とする手口は「二重恐喝」というのか.
この記事では株式会社TMW(旧・立松モールド株式会社)という会社が被害を受けたようだけれど従業員200人程度の優良中小企業.下町ロケットの佃製作所みたいなかんじか? これは標的型攻撃の弱いところから・・・の意味か.
そしてXeroxもやられているようだけれど,今日,騒いでいるキャノンもこれのようだ.
何があったかを追跡するためには大量にログを出力しておいて,それを効率的に検索する必要がありますが,そのトレーニング教材がJPCERT/CCで公開されていました.
Log Analysis Training
https://jpcertcc.github.io/log-analysis-training/#details
Internet Week 2016、2017、2018、2019 にて実施したトレーニング資料だそうで.
やってみたいけれど,環境準備に時間がかかりそう.
Log Analysis Training
https://jpcertcc.github.io/log-analysis-training/#details
Internet Week 2016、2017、2018、2019 にて実施したトレーニング資料だそうで.
やってみたいけれど,環境準備に時間がかかりそう.
今日初めて,CTFというイベントに参加.久しぶりらしいけれど,ビデオ会議での進行は運営側も初めてだったようだけれど,かなり楽しかった.
CFTはCapture The Flag,旗取りゲームでルールはこれに.
CTF(Capture The Flag)とは?概要から基本ルール、メリットデメリットまで徹底解説
https://cybersecurity-jp.com/security-measures/33780
そして問題掲載,採点などのCTFを運営するためのフレームワークも,githubで公開されてて,それを使っていました.
CTFd
https://github.com/CTFd/CTFd
CFTはCapture The Flag,旗取りゲームでルールはこれに.
CTF(Capture The Flag)とは?概要から基本ルール、メリットデメリットまで徹底解説
https://cybersecurity-jp.com/security-measures/33780
そして問題掲載,採点などのCTFを運営するためのフレームワークも,githubで公開されてて,それを使っていました.
CTFd
https://github.com/CTFd/CTFd
CSPMという言葉がある事を知った.Cloud Security Posture Managementの略.Postureというのは「姿勢」などの意味らしい.
クラウドになってサーバの諸設定もポチポチっとGUIで設定することも多いので,知らず知らずにゆるゆる設定になっている可能性などをチェックするということかなぁ.
クラウドになってサーバの諸設定もポチポチっとGUIで設定することも多いので,知らず知らずにゆるゆる設定になっている可能性などをチェックするということかなぁ.
Windows 10も便利になったので専用ツールをインストールせずとも,既にcurlが搭載してあるしbashも用意されつつあるので,スクリプトでUNIXコマンド的な事が可能.
実際,curlだけじゃなくて以外にも証明書発行の際に使うcurtutil.exeもダウンローダとして利用できるそうです.
LOLBAS - Living Off The Land Binaries and Scripts (and also Libraries)
https://lolbas-project.github.io
考え方はCiscoのブログで取り上げられたLoLBinと同じ.
一般のユーザがcurlやcurtutil.exeを実行することはないだろうから,それらのコマンドが実行されただけで検知する仕組みが有効なんじゃないかと思って,プロセス検知の仕組みとして入れてみた.
LOLBASは数が多いけれど,現実的に考えて絞って行くと,LoLBinで提案してあるものがより実用的かな.
実際,curlだけじゃなくて以外にも証明書発行の際に使うcurtutil.exeもダウンローダとして利用できるそうです.
LOLBAS - Living Off The Land Binaries and Scripts (and also Libraries)
https://lolbas-project.github.io
考え方はCiscoのブログで取り上げられたLoLBinと同じ.
一般のユーザがcurlやcurtutil.exeを実行することはないだろうから,それらのコマンドが実行されただけで検知する仕組みが有効なんじゃないかと思って,プロセス検知の仕組みとして入れてみた.
LOLBASは数が多いけれど,現実的に考えて絞って行くと,LoLBinで提案してあるものがより実用的かな.
定期巡回のPiyologさんの記事にて.
日本郵便のe転居を悪用したストーカー事件についてまとめてみた
https://piyolog.hatenadiary.jp/entry/2020/07/17/174628
転居届けを出したことがある人からすれば,タイトルから分かるかもしれないけれど,それ以外にストーカー行為によって住所を知らない相手にクレカだけでなく電気・水道まで止められてしまっていたようだ.
古典的な犯罪で飲食のデリバリーサービスを悪用してニセ注文して嫌がらせみたいなのはあるけれど,これは斬新な気がする.
日本郵便のe転居を悪用したストーカー事件についてまとめてみた
https://piyolog.hatenadiary.jp/entry/2020/07/17/174628
転居届けを出したことがある人からすれば,タイトルから分かるかもしれないけれど,それ以外にストーカー行為によって住所を知らない相手にクレカだけでなく電気・水道まで止められてしまっていたようだ.
古典的な犯罪で飲食のデリバリーサービスを悪用してニセ注文して嫌がらせみたいなのはあるけれど,これは斬新な気がする.
「訴訟ホールド」(Litigation Hold)という言葉を会議で聞いたので,調べてみた.
まず引っかかったのは,これ.
メールボックスを訴訟ホールドの対象にする
https://docs.microsoft.com/ja-jp/exchange/policy-and-compliance/holds/litigation-holds?view=exchserver-2019
つまり,訴訟に備えるため,メールの証拠隠滅ができない仕組みがExchange Serverにあるということ.バックアップの意味でのメールアーカイブよりはリアルタイム性&局所性を重視しているかな.
電子メールが証拠として認められた有名な事件は,堀江メール問題かな.あ,でもこれは偽メールか.
まず引っかかったのは,これ.
メールボックスを訴訟ホールドの対象にする
https://docs.microsoft.com/ja-jp/exchange/policy-and-compliance/holds/litigation-holds?view=exchserver-2019
つまり,訴訟に備えるため,メールの証拠隠滅ができない仕組みがExchange Serverにあるということ.バックアップの意味でのメールアーカイブよりはリアルタイム性&局所性を重視しているかな.
電子メールが証拠として認められた有名な事件は,堀江メール問題かな.あ,でもこれは偽メールか.
2週間ほど前の,この文書.
金融庁・日銀がサイバー攻撃で注意喚起、金融機関経営者に-文書
https://www.bloomberg.co.jp/news/articles/2020-06-22/QC1OL7DWRGG201
ほう.どこからか文書が漏洩したということか.
金融庁・日銀がサイバー攻撃で注意喚起、金融機関経営者に-文書
https://www.bloomberg.co.jp/news/articles/2020-06-22/QC1OL7DWRGG201
世界的な新型コロナウイルスの感染拡大が続く中、
金融庁と日本銀行は、金融機関のテレワークの拡大などに伴う
サイバー攻撃のリスク増大に警戒を強めており、
金融機関の経営者に対して不正アクセスや情報漏えいなどに
十分に注意するよう連名の文書を通達したことが分かった。
金融機関経営者宛てに4月下旬に発出された文書をブルームバーグが入手した。
絶賛テレワーク実施中だけれど,世の中には「シャドーIT」なる言葉があるそうで.
会社のシステムは,情報システム部門や社内システム部門などが利用するITサービスを決定して管理をしているものだけれど,従業員が勝手に使っているITサービスのことを「シャドーIT」と呼ぶそうだ.
代表的なものは,クラウドストレージで,近年だとチャットソフト,直近だとビデオ会議ツールになる.
これれらのツールは,HTTP/HTTPSを利用して通信をするので利用制限が難しい.DNSサーバや動的ファイヤーウォールでブラックリスト運用する方法があるけれど,そういうのって評判・話題のツールなら容易だけれど,メジャーでないレアなサービスまで網羅的に認知することは難しいので,封鎖する事も追いつかない.
機器で制御に限界があるなら,組織内の啓蒙活動で運用回避していくしか無いけれど,それも在宅勤務でパソコンをコントロール配下に置けないようになると困難極まりない.
会社のシステムは,情報システム部門や社内システム部門などが利用するITサービスを決定して管理をしているものだけれど,従業員が勝手に使っているITサービスのことを「シャドーIT」と呼ぶそうだ.
代表的なものは,クラウドストレージで,近年だとチャットソフト,直近だとビデオ会議ツールになる.
これれらのツールは,HTTP/HTTPSを利用して通信をするので利用制限が難しい.DNSサーバや動的ファイヤーウォールでブラックリスト運用する方法があるけれど,そういうのって評判・話題のツールなら容易だけれど,メジャーでないレアなサービスまで網羅的に認知することは難しいので,封鎖する事も追いつかない.
機器で制御に限界があるなら,組織内の啓蒙活動で運用回避していくしか無いけれど,それも在宅勤務でパソコンをコントロール配下に置けないようになると困難極まりない.
Windows 10をセットアップした際に,偶然長期に利用してないHotmailのアカウントがオンになったのだけれど,そこに次のようなメールが来ていた.
フィッシングメールかと思ったけれど,秘密の暴露もあり,正式なものでした.
秘密の暴露っていっても,
Yahoo! JAPANよりお客様のYahoo! JAPAN IDについて重要なご連絡です。
弊社ではセキュリティ対策のため、長期間ご利用がないYahoo! JAPAN ID
(以下、IDと表記)の利用停止措置を2020年2月より順次実施しております。
長期間ご利用がないIDは不正アクセスを受けても気づきにくく、
不正利用される危険性が高いため、この措置を行います。
詳しくは弊社プレスリリースをご覧ください。
□ プレスリリース
https://about.yahoo.co.jp/pr/release/2020/01/08a/
秘密の暴露っていっても,
1997年のExchange Serverから,1つのメールで指定できる宛先の最大数は500だったようでそれが変更できなかったそうです.そう,それは2020年1月まで.
現在は,アカウント(メールボックス)ごとに1〜1000の間にへこうできるようになったそうで,20とか50とかに1つづつとか複数設定でへこうできるようになったそうです.
Customizable Recipient Limits in Office 365
https://techcommunity.microsoft.com/t5/exchange-team-blog/customizable-recipient-limits-in-office-365/ba-p/1183228
Bccで送るところをToやCcで送ってしまって個人情報漏洩の発生!ということはよく聞く事故だから,その事故を最小限にすることも考慮した方が良いのだろうな.
感覚的に,20くらいだと少ない感じがする.50だと1つ1つお詫びメール送ったりで対応できる範囲かな.
現在は,アカウント(メールボックス)ごとに1〜1000の間にへこうできるようになったそうで,20とか50とかに1つづつとか複数設定でへこうできるようになったそうです.
Customizable Recipient Limits in Office 365
https://techcommunity.microsoft.com/t5/exchange-team-blog/customizable-recipient-limits-in-office-365/ba-p/1183228
Bccで送るところをToやCcで送ってしまって個人情報漏洩の発生!ということはよく聞く事故だから,その事故を最小限にすることも考慮した方が良いのだろうな.
感覚的に,20くらいだと少ない感じがする.50だと1つ1つお詫びメール送ったりで対応できる範囲かな.
セキュリティ関連の読み物をみていたら「USBメモリは拾うな」とあったので,どういうことか調べてみたら,すぐ答えにたどり着いた.
Black Hat USA 2016というイベントで,Googleの中の人が実験した結果,45%の人が中身をチェックしたそうだ.
だって人間だもの…拾ったUSBメモリを開く人は何割いる?調査
https://ascii.jp/elem/000/001/213/1213231/
んー,確かに中身を見たくなるかも.そしてそのフォルダ名が意味深だったら特にね.
それは,罠かもしれない.というような事は,役所に人たちに特に知っておいてほしい記事かもしれない.
Black Hat USA 2016というイベントで,Googleの中の人が実験した結果,45%の人が中身をチェックしたそうだ.
だって人間だもの…拾ったUSBメモリを開く人は何割いる?調査
https://ascii.jp/elem/000/001/213/1213231/
んー,確かに中身を見たくなるかも.そしてそのフォルダ名が意味深だったら特にね.
それは,罠かもしれない.というような事は,役所に人たちに特に知っておいてほしい記事かもしれない.
以前,ブランドを傷つける行為に関する調査方法としてRiskIQについて記載したけれど,今回はアンブッシュという考え方.
何からのイベントには,主催以外にも協賛などで広告料を支払って公式スポンサーとして,プロモーション活動することが多いけれど,公式スポンサー以外が,乗っかってイベンターに無許可でプロモーション活動することを,アンブッシュマーケティング(待ち伏せマーケティング)というそうだ.
古い方法だと,球場に隣接するビルの壁面に広告を掲示しておいて,ホームランがでるたびに背景に広告に映るとかそういう類.
何かイベントがあると街の定食屋で「なんとか丼」が作られたり,饅頭とか煎餅の焼印で便乗することはんてよくあること.
そういう中で,イメージ戦略に沿わないものを排除していくのが,セキュリティとしてのアンブッシュ対策ということでした.
何からのイベントには,主催以外にも協賛などで広告料を支払って公式スポンサーとして,プロモーション活動することが多いけれど,公式スポンサー以外が,乗っかってイベンターに無許可でプロモーション活動することを,アンブッシュマーケティング(待ち伏せマーケティング)というそうだ.
古い方法だと,球場に隣接するビルの壁面に広告を掲示しておいて,ホームランがでるたびに背景に広告に映るとかそういう類.
何かイベントがあると街の定食屋で「なんとか丼」が作られたり,饅頭とか煎餅の焼印で便乗することはんてよくあること.
そういう中で,イメージ戦略に沿わないものを排除していくのが,セキュリティとしてのアンブッシュ対策ということでした.
パスワードの使い回しも問題があるけれど,ある意味暗黙知での使い回し?
ハッカーがデバイス攻撃時に最初に試すパスワードとは
https://japan.zdnet.com/article/35150425/
admin,12345,default,password,rootなどのパスワードがよく使われている模様.administratorに対してadminは,人間の感性の反射的なパスワードだ.
ただ,3年前に検証のために入れたサーバソフトを久しぶりに起動して,パスワード忘れていたけれど,ログインを試したらパスワードがadminで入れたので助かったのが1週間前...
ハッカーがデバイス攻撃時に最初に試すパスワードとは
https://japan.zdnet.com/article/35150425/
admin,12345,default,password,rootなどのパスワードがよく使われている模様.administratorに対してadminは,人間の感性の反射的なパスワードだ.
ただ,3年前に検証のために入れたサーバソフトを久しぶりに起動して,パスワード忘れていたけれど,ログインを試したらパスワードがadminで入れたので助かったのが1週間前...
まだインターネットが一般に普及していなかった30年ほど前.文書は紙でした.
とある外資系のシステムの改修に関わった際,設計書のフッター部分に「会社名 INTERNAL ONLY」と必ず記載が必要で,それは改修・提出資料についてもそれを踏襲する必要がありました.
その当時でも,その外資系コンピュータ会社では,機密文書には何段階かレベルが設定されてあって,INTERNAL ONLYは一番ゆるい方でしたけど,一太郎のような「IBM-DOS文書プログラム」というワープロのテンプレートでフッタに入っているので意識せずに文書を作成していました.(宴会のお知らせとかも)
当時は,印刷して納品.(配布)
いまは,Microsoft Office(Word,Excel,PowerPoint)やAcrobatのPDFで文書が流通することが多いけれど,企業別に機密文書レベルを設定し自動的にフッタに設定されている運用は今もあるようで,機密文書的なロゴや文言の入った電子文書が,インターネット上でも見つかることも多い模様.
地方公共団体の場合が多いようだけれど,公式発表資料なのにフッタに「機密」を示すキーワードが誤って混入している場合が散見され,中には外に出てはいけない文書も混ざっているようで,仕事や趣味?でこれをパトロールしているということもあるそうです.
「機密」的なテキストデータを入れることで逆に検索性が増して漏洩が発覚する可能性もあるので,最近はロゴを入れるところもあるようです.
昨今のIT事情からどうなのかな?と批判を浴びたこともあるけれど,そういう背景を考えると,どこかの団体のプレスリリースが,ワープロで作成した文書を広報部長的な人が捺印してPDF化したものをCMSで報道発表に載せているという運用も,効率的では無いけれどセキュアであると言えますね.
とある外資系のシステムの改修に関わった際,設計書のフッター部分に「会社名 INTERNAL ONLY」と必ず記載が必要で,それは改修・提出資料についてもそれを踏襲する必要がありました.
その当時でも,その外資系コンピュータ会社では,機密文書には何段階かレベルが設定されてあって,INTERNAL ONLYは一番ゆるい方でしたけど,一太郎のような「IBM-DOS文書プログラム」というワープロのテンプレートでフッタに入っているので意識せずに文書を作成していました.(宴会のお知らせとかも)
当時は,印刷して納品.(配布)
いまは,Microsoft Office(Word,Excel,PowerPoint)やAcrobatのPDFで文書が流通することが多いけれど,企業別に機密文書レベルを設定し自動的にフッタに設定されている運用は今もあるようで,機密文書的なロゴや文言の入った電子文書が,インターネット上でも見つかることも多い模様.
地方公共団体の場合が多いようだけれど,公式発表資料なのにフッタに「機密」を示すキーワードが誤って混入している場合が散見され,中には外に出てはいけない文書も混ざっているようで,仕事や趣味?でこれをパトロールしているということもあるそうです.
「機密」的なテキストデータを入れることで逆に検索性が増して漏洩が発覚する可能性もあるので,最近はロゴを入れるところもあるようです.
昨今のIT事情からどうなのかな?と批判を浴びたこともあるけれど,そういう背景を考えると,どこかの団体のプレスリリースが,ワープロで作成した文書を広報部長的な人が捺印してPDF化したものをCMSで報道発表に載せているという運用も,効率的では無いけれどセキュアであると言えますね.
新型コロナウイルスの流行を踏まえて,鉄道会社のホームでのアナウンスでも「テレワークとかで電車に乗らないで(意訳)」とアナウンスする昨今,テレワークに必要なVPNについての注意喚起もでています.
VPN製品の既知脆弱性に注意 - フィッシングにも警戒を
http://www.security-next.com/113205
まぁ,急にVPNの窓口を作ったりしたら,設定不良もあるだろうね.注意喚起では,次のような例を引用されているけれど.
「SSL VPN」の脆弱性探索行為、国内でも観測
http://www.security-next.com/107882
これくらいの機器を導入しているところだったら,ちゃんと運用してそうだけど.
警視庁サイバーセキュリティ対策本部@MPD_cybersec
ちょっと待って!そのテレワーク、セキュリティは大丈夫?(2020/3/16)
https://twitter.com/MPD_cybersec/status/1239384795739607042
VPN製品の既知脆弱性に注意 - フィッシングにも警戒を
http://www.security-next.com/113205
まぁ,急にVPNの窓口を作ったりしたら,設定不良もあるだろうね.注意喚起では,次のような例を引用されているけれど.
「SSL VPN」の脆弱性探索行為、国内でも観測
http://www.security-next.com/107882
これくらいの機器を導入しているところだったら,ちゃんと運用してそうだけど.
警視庁サイバーセキュリティ対策本部@MPD_cybersec
ちょっと待って!そのテレワーク、セキュリティは大丈夫?(2020/3/16)
https://twitter.com/MPD_cybersec/status/1239384795739607042
今日は2日間かけての準上級研修の1日目.
座学研修じゃなくて,ハンズオン,それもハッカソンみたいな感じかな.ハッカソンに行ったことないけれど.状況に応じて相手も手を替え品を替えてやってくる.普通,1チームで七人くらいの役割で対応するモデルらしいけれど,人材不足?で三人で人チーム.忙しかった.トイレ休憩も忘れるくらい.
でも,日々思っていることだけれど,サイバーセキュリティというの,応用技術で言えばエンジニアリングの最高傑作だとおもうね.騙し騙され次の手を読み動きを封じる.キリがない世界だ.
座学研修じゃなくて,ハンズオン,それもハッカソンみたいな感じかな.ハッカソンに行ったことないけれど.状況に応じて相手も手を替え品を替えてやってくる.普通,1チームで七人くらいの役割で対応するモデルらしいけれど,人材不足?で三人で人チーム.忙しかった.トイレ休憩も忘れるくらい.
でも,日々思っていることだけれど,サイバーセキュリティというの,応用技術で言えばエンジニアリングの最高傑作だとおもうね.騙し騙され次の手を読み動きを封じる.キリがない世界だ.
こんなニュースがあった.
「Microsoft Defender ATP for Linux」がパブリックプレビューへ
https://news.mynavi.jp/article/20200225-981726/
そのちょっと前には,これ.
Microsoft、セキュリティアプリ「Defender ATP」のiOSおよびAndroid版を計画中
https://www.itmedia.co.jp/news/articles/2002/21/news065.html
去年のことだけれど,これも.
macOS向けMicrosoft Defender Advanced Threat Protection登場
https://news.mynavi.jp/article/20190709-856657/
つまり,ATPとしてはマルチプラットホームのサポートとなる.実態がなかったりするけれど,今の時期に発表するというのは,日本だと企業の予算どりとかに優位なのかも?
ただし,ライセンス的には,E5になるようなので,毎月4000円近くを払える程度の会社,というところになる.まぁ,それを払えない≒コストに見合わない会社は,狙われにくいし守るものもそんなに量がないだろうという考えかなぁ.セキュリティこそ,「水」のようなものとして提供してほしいけれど,水もお金払って手に入れる時代だし.
「Microsoft Defender ATP for Linux」がパブリックプレビューへ
https://news.mynavi.jp/article/20200225-981726/
そのちょっと前には,これ.
Microsoft、セキュリティアプリ「Defender ATP」のiOSおよびAndroid版を計画中
https://www.itmedia.co.jp/news/articles/2002/21/news065.html
去年のことだけれど,これも.
macOS向けMicrosoft Defender Advanced Threat Protection登場
https://news.mynavi.jp/article/20190709-856657/
つまり,ATPとしてはマルチプラットホームのサポートとなる.実態がなかったりするけれど,今の時期に発表するというのは,日本だと企業の予算どりとかに優位なのかも?
ただし,ライセンス的には,E5になるようなので,毎月4000円近くを払える程度の会社,というところになる.まぁ,それを払えない≒コストに見合わない会社は,狙われにくいし守るものもそんなに量がないだろうという考えかなぁ.セキュリティこそ,「水」のようなものとして提供してほしいけれど,水もお金払って手に入れる時代だし.
この記事.
「Huaweiがモバイルネットワークに侵入可能なことを証明する」とアメリカが発表、イギリスやドイツ陥落による焦りか
https://gigazine.net/news/20200212-huawei-access-telecom-networks/
アメリカの製品でも,侵入可能な穴が空いていることは多いけどなぁ.WindowsとかmacOSとかCISCOのネットワーク機器とか.Huaweiのものだって,バグなのか意図的なのかは,
「Huaweiがモバイルネットワークに侵入可能なことを証明する」とアメリカが発表、イギリスやドイツ陥落による焦りか
https://gigazine.net/news/20200212-huawei-access-telecom-networks/
アメリカの製品でも,侵入可能な穴が空いていることは多いけどなぁ.WindowsとかmacOSとかCISCOのネットワーク機器とか.Huaweiのものだって,バグなのか意図的なのかは,
PowerShellの実行で,ポリシー,ホワイトリストで機能を制限するConstrained Language Modeを理解しようとしているのだけれど,まだよくわかってない.
まずは定番のPowerShellチームによる公式説明資料.
PowerShell Constrained Language Mode
色々と前提となる技術を知ってないと,理解できんな.
こっちの方がわかりやすいかな.
About Language Modes
PowerShellの実行を行うさうに作られるセッション毎に制限モードを設定できて,Windowsの別のセキュリティ技術であるAppLockerやUMCIで別途コントロールしたい時に,細かく制御できるってことかな.
基礎技術であって,応用するには別途それ対応のプロダクトに任せるようにしないと,制限しすぎてモードが生かせない,という結果になりそう.
まずConstrained Modeにしたらいつも使っているps1が動かなくなったしね...
PowerShell Constrained Language Modeを学ぶ
http://www.ujp.jp/modules/tech_regist2/?PowerShell%2FConstrainedLanguage
まずは定番のPowerShellチームによる公式説明資料.
PowerShell Constrained Language Mode
色々と前提となる技術を知ってないと,理解できんな.
こっちの方がわかりやすいかな.
About Language Modes
PowerShellの実行を行うさうに作られるセッション毎に制限モードを設定できて,Windowsの別のセキュリティ技術であるAppLockerやUMCIで別途コントロールしたい時に,細かく制御できるってことかな.
基礎技術であって,応用するには別途それ対応のプロダクトに任せるようにしないと,制限しすぎてモードが生かせない,という結果になりそう.
まずConstrained Modeにしたらいつも使っているps1が動かなくなったしね...
PowerShell Constrained Language Modeを学ぶ
http://www.ujp.jp/modules/tech_regist2/?PowerShell%2FConstrainedLanguage
昨年の年末の記事なので忘れていたけれどこれ.
あの「たまごっち」をヒントに開発されたWi-Fiハッキングが可能な電子ペット「Pwnagotchi」
https://gigazine.net/news/20191231-pwnagotchi/
以前にも,WEPの脆弱性をついて,Wi-Fiただのりを行うための機械が売られていて規制がかかっていたなぁ.
インターネットの外から,どこかしらに侵入しようとするとき,それが大企業だったら特にファイアーウォール,WAFなどが入っていて,設定ミスとかゼロデイ攻撃くらいしか侵入する事は難しいと思うけれど,Wi-Fiのアクセスポイントだと防衛能力は低そうだ.わけわからんメーカものだったら,DDoSくらいはできそうな気もするね.
あの「たまごっち」をヒントに開発されたWi-Fiハッキングが可能な電子ペット「Pwnagotchi」
https://gigazine.net/news/20191231-pwnagotchi/
以前にも,WEPの脆弱性をついて,Wi-Fiただのりを行うための機械が売られていて規制がかかっていたなぁ.
インターネットの外から,どこかしらに侵入しようとするとき,それが大企業だったら特にファイアーウォール,WAFなどが入っていて,設定ミスとかゼロデイ攻撃くらいしか侵入する事は難しいと思うけれど,Wi-Fiのアクセスポイントだと防衛能力は低そうだ.わけわからんメーカものだったら,DDoSくらいはできそうな気もするね.
セキュリティなのか情報システムとしてなのか,整理するカテゴリを悩んだけれど,セキュリティにした.
気になったのはこの2つの記事.
ラック、AWSでの事故原因・対応などまとめたクラウドセキュリティレポート
https://news.mynavi.jp/article/20200131-964716/
Google フォト上の「プライベートなムービー」が他のユーザーにダウンロードされてしまう不具合が存在していた
https://gigazine.net/news/20200205-google-photos-private-video-strangers/
「クラウド」サービスだけれど,結局のところ「内」ではなく「外」にデータを置いているから,意図的であろうがそうでなかろうが,情報は漏れてもおかしくない.
facebookにプライベートな事を書きすぎて何かあったときの特定班に使われる的な事がよくあるけれど,facebookでもプライバシー設定が勝手に何か項目が追加されていて勝手に公開設定になっているというような事は何度もあった.好意的にみて「見えなくなった」を避けたいだけという風には,思えない.
漏れて困るなら「ネットに置くな」なんだろうね.でも避けて通れないから,それなら逆にもう情報漏洩しまくる事を前提にすればいいのだと思う.
気になったのはこの2つの記事.
ラック、AWSでの事故原因・対応などまとめたクラウドセキュリティレポート
https://news.mynavi.jp/article/20200131-964716/
Google フォト上の「プライベートなムービー」が他のユーザーにダウンロードされてしまう不具合が存在していた
https://gigazine.net/news/20200205-google-photos-private-video-strangers/
「クラウド」サービスだけれど,結局のところ「内」ではなく「外」にデータを置いているから,意図的であろうがそうでなかろうが,情報は漏れてもおかしくない.
facebookにプライベートな事を書きすぎて何かあったときの特定班に使われる的な事がよくあるけれど,facebookでもプライバシー設定が勝手に何か項目が追加されていて勝手に公開設定になっているというような事は何度もあった.好意的にみて「見えなくなった」を避けたいだけという風には,思えない.
漏れて困るなら「ネットに置くな」なんだろうね.でも避けて通れないから,それなら逆にもう情報漏洩しまくる事を前提にすればいいのだと思う.
コンピュータでゲームを作ったりするときに,乱数の関数を使う.シューティングゲームなどで,同じパターンで出現すると脳が学習し,ゲームがすぐ飽きられてしまうので偶然性を出すために乱数でパラメータを与えている.
その乱数だけれど,NECのN88-BasicだとRND()という関数だった.RND(1)を設定すると乱数が発生するのだけど,なんどやっても同じパターンでしか乱数が発生しない...
そんな時にはRANDOMIZEという命令を実行すると,発生するにタネを与えて,毎回違う乱数値になるようにできる.でもタネといってもコンピュータが持っているタイマーの1秒〜60までの60パターン程度.今だったら,フルサイズの年月日秒を与えたりそれ以上にIPアドレス,MACアドレス色々とあるので,乱数が乱数らしく出てくるはず.
PC-8801に搭載されていたN88-BASICはMicrosoft製品だけれど,Windows 10の乱数生成の擬似乱数生成器について,ホワイトペーパが公開されているとMicrosoftのブログにあった.
Going in-depth on the Windows 10 random number generation infrastructure
英文で読み応えがあるので時間おあるときにでも是非.
その乱数だけれど,NECのN88-BasicだとRND()という関数だった.RND(1)を設定すると乱数が発生するのだけど,なんどやっても同じパターンでしか乱数が発生しない...
そんな時にはRANDOMIZEという命令を実行すると,発生するにタネを与えて,毎回違う乱数値になるようにできる.でもタネといってもコンピュータが持っているタイマーの1秒〜60までの60パターン程度.今だったら,フルサイズの年月日秒を与えたりそれ以上にIPアドレス,MACアドレス色々とあるので,乱数が乱数らしく出てくるはず.
PC-8801に搭載されていたN88-BASICはMicrosoft製品だけれど,Windows 10の乱数生成の擬似乱数生成器について,ホワイトペーパが公開されているとMicrosoftのブログにあった.
Going in-depth on the Windows 10 random number generation infrastructure
英文で読み応えがあるので時間おあるときにでも是非.
パロアルトネットワークスのこのレポートによると,新規ドメインの70%は「悪意のある」、「不審」、「職場閲覧注意」としてマークされたそうです.
新規登録ドメイン: 悪意のある攻撃者による悪用
https://www.paloaltonetworks.jp/company/in-the-news/2019/newly-registered-domains-malicious-abuse-by-bad-actors
まぁ,確かにいい感じのドメインはすでに誰かに取得されているし,昔は自分のお店用にドメインを取ったりしていたけれど,楽天とかのショッピングモールに出店すればそんなものは不要だし,となると空き地を取ろうとしているから,悪い奴らの方が多いのかもしれない.
そのレポートのDGA(ドメイン生成アルゴリズム)の部分によると,litvxvkucxqnaammvefとかqgasocuiwcymaoとかいうドメインは,一時的なC2サーバの為とか行方をくらませる為だとかの一瞬のためだけにドメインを取るみたいだ.
ブランド保護とかの観点でも,ドメイン取得やサブドメイン登録も,追いかける必要があるんだろうな.網羅的にwhoisしたものをデータベース化すれば,それはそれでマネタイズができるということか.
新規登録ドメイン: 悪意のある攻撃者による悪用
https://www.paloaltonetworks.jp/company/in-the-news/2019/newly-registered-domains-malicious-abuse-by-bad-actors
まぁ,確かにいい感じのドメインはすでに誰かに取得されているし,昔は自分のお店用にドメインを取ったりしていたけれど,楽天とかのショッピングモールに出店すればそんなものは不要だし,となると空き地を取ろうとしているから,悪い奴らの方が多いのかもしれない.
そのレポートのDGA(ドメイン生成アルゴリズム)の部分によると,litvxvkucxqnaammvefとかqgasocuiwcymaoとかいうドメインは,一時的なC2サーバの為とか行方をくらませる為だとかの一瞬のためだけにドメインを取るみたいだ.
ブランド保護とかの観点でも,ドメイン取得やサブドメイン登録も,追いかける必要があるんだろうな.網羅的にwhoisしたものをデータベース化すれば,それはそれでマネタイズができるということか.
ハッカーの巣窟「ダークウェブ」とは,ひっそりと目立たず掲示板のようなところで活動しているのかと思ったら,違うんだと初めて知ったよ.
たしかに,HTTP/HTTPSでアクセスできる場所に置いといたら,検索エンジンにインデックシングされて一般人でも辿り着く場所にあるということになるけれど,Torなのね.名前だけは知っていたけれど,The Onion Routerの略なんだって.
概要だけは以下のページに丁寧に説明されています.
ダークウェブの基礎知識 何が取引され犯罪に利用されているのか
https://eset-info.canon-its.jp/malware_info/special/detail/200121.html
プロトコルを変えることで「面」を作っているというあたりは,ポケモンの面と同じなんじゃなかろうか.いくらでも形を変えて増殖できるという点では言い得て妙だな.
たしかに,HTTP/HTTPSでアクセスできる場所に置いといたら,検索エンジンにインデックシングされて一般人でも辿り着く場所にあるということになるけれど,Torなのね.名前だけは知っていたけれど,The Onion Routerの略なんだって.
概要だけは以下のページに丁寧に説明されています.
ダークウェブの基礎知識 何が取引され犯罪に利用されているのか
https://eset-info.canon-its.jp/malware_info/special/detail/200121.html
プロトコルを変えることで「面」を作っているというあたりは,ポケモンの面と同じなんじゃなかろうか.いくらでも形を変えて増殖できるという点では言い得て妙だな.
なんらかのセミナーや,公開勉強会をやっている主にネットベンチャーが,発表資料を公開するために利用していることが多いスライドシェア.
特に,オープンソース系の利用ノウハウや,運用技術についての発表資料が検索に引っかかることが多くて,便利にみているのだけれど,このサイト,アクセスが禁止されている大企業が多い.
LinkedInが運営しているので,普通に「SNS禁止」に引っかかるのかと思ったら,どちらかというとDropboxやOneDriveなどのアップローダという扱いかな.情報漏洩してしまうと.
そしてGithubもそう.ソースコードがGitHubを経由して流出してしまうという懸念点もあれば,逆にGitHub上に,あまり多くは語られてないけれど強力な脆弱性検査ツールが公開されていたりする.
脆弱性検査ツールは,それは表裏一体.ブラックハッカーが,突破口を見つけるための入り口として利用するためのツールになるわけだから,そういうものを持ち込もうとするアクセスを封じるという意味もある.
世の中にどれくらいのアップローダ・ダウンローダサービスがあるのか分からないけれど,それらを全部封鎖するのは大変だ.
セキュアなサイトしかアクセスできないようにするためのDNSサービスは有償・無償ともにいくつか存在するけれど,正規サービスで利用者のモラルに依存するような場合,封鎖の手立てはなさそうだ.
特に,オープンソース系の利用ノウハウや,運用技術についての発表資料が検索に引っかかることが多くて,便利にみているのだけれど,このサイト,アクセスが禁止されている大企業が多い.
LinkedInが運営しているので,普通に「SNS禁止」に引っかかるのかと思ったら,どちらかというとDropboxやOneDriveなどのアップローダという扱いかな.情報漏洩してしまうと.
そしてGithubもそう.ソースコードがGitHubを経由して流出してしまうという懸念点もあれば,逆にGitHub上に,あまり多くは語られてないけれど強力な脆弱性検査ツールが公開されていたりする.
脆弱性検査ツールは,それは表裏一体.ブラックハッカーが,突破口を見つけるための入り口として利用するためのツールになるわけだから,そういうものを持ち込もうとするアクセスを封じるという意味もある.
世の中にどれくらいのアップローダ・ダウンローダサービスがあるのか分からないけれど,それらを全部封鎖するのは大変だ.
セキュアなサイトしかアクセスできないようにするためのDNSサービスは有償・無償ともにいくつか存在するけれど,正規サービスで利用者のモラルに依存するような場合,封鎖の手立てはなさそうだ.
2019年11月に「今現在,シマンテックはブロードコムに買収された影響があって,新規販売や追加ライセンス販売を凍結しているらしい.」と書いたけれど,実際にはさらにその先の買収が絡んでいたのね.
アクセンチュア、MSSなどシマンテックのサービス事業を買収へ
https://ascii.jp/elem/000/002/003/2003975/
アクセンチュアの人が書いたグランドデザインにはシマンテック製品入りがちだったし,赤坂インターシティというビルにアクセンチュアもシマンテックもいるので,違和感ないな.
シマンテック製品は,製品機能以前に,操作時の動作が重いので,そこをなんとかしてほしい.
アクセンチュア、MSSなどシマンテックのサービス事業を買収へ
https://ascii.jp/elem/000/002/003/2003975/
アクセンチュアの人が書いたグランドデザインにはシマンテック製品入りがちだったし,赤坂インターシティというビルにアクセンチュアもシマンテックもいるので,違和感ないな.
シマンテック製品は,製品機能以前に,操作時の動作が重いので,そこをなんとかしてほしい.