ブログ - セキュリティカテゴリのエントリ
カミさんのところにも,Amazonを騙るフィッシングメールが届くようになった模様.
面白いので転送してもらった.
差出人の部分がむちゃくちゃだけれど,本文がひどい.
本文を取り出してみた.
お前扱いしているのはもちろん,ロッグとされて日本語も変である.
このような場合,日本語に違和感があるから判別ができやすいけれど,流暢な日本語だったら,騙されるところでしょう.これはいつもそう思う危機感.
「Amazonログイン」のバッジの部分をフォーカスすると,リンク先のドメインが出てきます.これはiPhoneとかiPadだと,マウスでフォーカスを当てて本来のドメインを調べる方法が取りづらいので,騙される率は高いように思う.
そしてメール本文にある,異常なログインIPをAbuseIPDBで調べてみた.
ここで示して居るのは,trabelport[.]comという会社組織で,アメリカのテクノロジー系の旅行関連業者の模様.AbuseIPDBには,このIPアドレスは問題のある行動はレポートされてない模様.
そして,隠しリンクになっていたドメインのzmoatqdx[.]xyzを,Sucuriで調査.
Site is Blacklistedとされ,Crtical Security Riskと出た.
Scan failedとも出ているので,すでにサーバは停止されて居る模様.
また,AbuseIPDBで調査してみる.
ここでも,60%くらいはこのアドレスは怪しいとされている.IPアドレスの所有者は,godaddy[.]comというインターネットサーブスプロバイダでホスティング事業もやっているようだから,犯人はそのホスティングサービスを利用した模様.
時間が経過すると,どこかの機関によってロックアウトされていることが多い.なので,フィッシングメールの文の内容には「今すぐ確認を!」とされていることが多いですね.今回は,それは入ってないけれど.
面白いので転送してもらった.
差出人の部分がむちゃくちゃだけれど,本文がひどい.
本文を取り出してみた.
お前のAmazon ID情報の一部分は不足、あるいは正しくないです、
お前のアカウント情報を保護するため、アカウントにログインして
検証する必要があります。
ログインして画面の指示のように操作したら、
アカウントのロッグをアンロックしていたたけます。
このような場合,日本語に違和感があるから判別ができやすいけれど,流暢な日本語だったら,騙されるところでしょう.これはいつもそう思う危機感.
「Amazonログイン」のバッジの部分をフォーカスすると,リンク先のドメインが出てきます.これはiPhoneとかiPadだと,マウスでフォーカスを当てて本来のドメインを調べる方法が取りづらいので,騙される率は高いように思う.
そしてメール本文にある,異常なログインIPをAbuseIPDBで調べてみた.
ここで示して居るのは,trabelport[.]comという会社組織で,アメリカのテクノロジー系の旅行関連業者の模様.AbuseIPDBには,このIPアドレスは問題のある行動はレポートされてない模様.
そして,隠しリンクになっていたドメインのzmoatqdx[.]xyzを,Sucuriで調査.
Site is Blacklistedとされ,Crtical Security Riskと出た.
Scan failedとも出ているので,すでにサーバは停止されて居る模様.
また,AbuseIPDBで調査してみる.
ここでも,60%くらいはこのアドレスは怪しいとされている.IPアドレスの所有者は,godaddy[.]comというインターネットサーブスプロバイダでホスティング事業もやっているようだから,犯人はそのホスティングサービスを利用した模様.
時間が経過すると,どこかの機関によってロックアウトされていることが多い.なので,フィッシングメールの文の内容には「今すぐ確認を!」とされていることが多いですね.今回は,それは入ってないけれど.
Classi社のクラウドサービスが不正アクセスを受け,122万人分のIDやパスワード(暗号化巣済)が漏洩した事件が発生.
全国の高校の約半数に導入されているというのも驚きだけれど,過去に大人数の個人情報漏洩事故を起こしているベネッセホールディングスとソフトバンクの合弁会社として設立されているClassi社ということで話題に.
過去の事件は,ベネッセ個人情報流出事件(3504万件;2014年)とYahoo! BB顧客情報漏洩事件(約450万件;2004年)どちらも内部犯行(持ち出し)だったわけだから,今回の事件とはちょっと違うけれど,系列の会社が事件を起こしたということで批判が多い.
場合によっては,2004年に結婚して新居にYahoo! BBを引いて使っていて情報漏洩していた家庭の子供が,9歳ごろにベネッセの漏洩に巻き込まれ,それから6年経って15歳で高校入学とともに学校に行ってないのに漏洩した,というようなこともあるのだろうな.
どうも,評判を聞くと大量アクセスで負荷が高く,また学校の新学期で使い始めた人が多かったようです.
新型コロナウイルス感染症の為に休校状態だけれどオンライン授業を進めるためにこのClassiが提供するサービスを利用しようとしたようで,また一部機能を無償提供するということで利用する学校も増えていた模様.
とりあえずは,初回ログイン時の強制パスワード変更でしのぐようだけれど,詳細は不明だ.
全国の高校の約半数に導入されているというのも驚きだけれど,過去に大人数の個人情報漏洩事故を起こしているベネッセホールディングスとソフトバンクの合弁会社として設立されているClassi社ということで話題に.
過去の事件は,ベネッセ個人情報流出事件(3504万件;2014年)とYahoo! BB顧客情報漏洩事件(約450万件;2004年)どちらも内部犯行(持ち出し)だったわけだから,今回の事件とはちょっと違うけれど,系列の会社が事件を起こしたということで批判が多い.
場合によっては,2004年に結婚して新居にYahoo! BBを引いて使っていて情報漏洩していた家庭の子供が,9歳ごろにベネッセの漏洩に巻き込まれ,それから6年経って15歳で高校入学とともに学校に行ってないのに漏洩した,というようなこともあるのだろうな.
どうも,評判を聞くと大量アクセスで負荷が高く,また学校の新学期で使い始めた人が多かったようです.
新型コロナウイルス感染症の為に休校状態だけれどオンライン授業を進めるためにこのClassiが提供するサービスを利用しようとしたようで,また一部機能を無償提供するということで利用する学校も増えていた模様.
とりあえずは,初回ログイン時の強制パスワード変更でしのぐようだけれど,詳細は不明だ.
毎月中頃にリリースされる,Windows Updateですが計画通り本日リリース.
April 14, 2020—KB4549951 (OS Builds 18362.778 and 18363.778)
https://support.microsoft.com/ja-jp/help/4549951/windows-10-update-kb4549951
このご時世で企業側で気にしなければいけないのは,テレワーク,リモートワーク,在宅勤務中に職場にVPNで接続している際に,Windows Updateのトラフィック.
大きな組織だと,WSUSを使ってWindows Updateを集中管理しているところも多いけれど,これによってVPNサーバにたくさんのトラフィックが集中する事が予想されます.いわゆるパンク状態になりそう.
リモート環境における更新プログラム適用の考慮事項
https://msrc-blog.microsoft.com/2020/04/08/patchingforremotelocation/
Office 365 向け VPN スプリット トンネリングの実装
https://docs.microsoft.com/ja-jp/office365/enterprise/office-365-vpn-implement-split-tunnel
ヤマハのルータを使って拠点間通信をVPNで構築している際に,スプリットトンネルを利用できます.
Office 365とWindows Updateのインターネットブレイクアウト + IPsecを使用したVPN拠点間接続
https://network.yamaha.com/setting/router_firewall/monitor/lua_script/multiple_network_offload
ただ,うちの場合,RTX1200なので未対応になるなぁ.FQDNフィルタ機能は欲しいね.
April 14, 2020—KB4549951 (OS Builds 18362.778 and 18363.778)
https://support.microsoft.com/ja-jp/help/4549951/windows-10-update-kb4549951
このご時世で企業側で気にしなければいけないのは,テレワーク,リモートワーク,在宅勤務中に職場にVPNで接続している際に,Windows Updateのトラフィック.
大きな組織だと,WSUSを使ってWindows Updateを集中管理しているところも多いけれど,これによってVPNサーバにたくさんのトラフィックが集中する事が予想されます.いわゆるパンク状態になりそう.
リモート環境における更新プログラム適用の考慮事項
https://msrc-blog.microsoft.com/2020/04/08/patchingforremotelocation/
Office 365 向け VPN スプリット トンネリングの実装
https://docs.microsoft.com/ja-jp/office365/enterprise/office-365-vpn-implement-split-tunnel
ヤマハのルータを使って拠点間通信をVPNで構築している際に,スプリットトンネルを利用できます.
Office 365とWindows Updateのインターネットブレイクアウト + IPsecを使用したVPN拠点間接続
https://network.yamaha.com/setting/router_firewall/monitor/lua_script/multiple_network_offload
ただ,うちの場合,RTX1200なので未対応になるなぁ.FQDNフィルタ機能は欲しいね.
SucuriというWebサイトスキャナ.マルウェア,ウイルスが埋め込まれていないか,あるいはブラックリストに登録されてないかを無料で確認してくれるサイト.
Complete Website Security,Protection & Monitoring - 公式サイト
https://sucuri.net
Sucuri SiteCheck - Free Website Security Check & Malware Scanner
https://sitecheck.sucuri.net
サイトにアクセスすると次のような感じ.
URLを入力して実行.
マルウェアも仕込まれてないし,サイト自体はブラックリストに無い模様.ありがたい.
でも,セキュリティリスクが・・・
どういった情報でマルウェアやブラックリストを調べたかは,次の通り.
Google Safe Browsingでアウトになったら,もうGoogle八分状態だろうなぁ.
SSLで暗号化冴えてないとかWAFが入ってないとかもあるけれど,セキュリティヘッダが設定されてないという点は,すぐできる改善余地のような気がする.
Complete Website Security,Protection & Monitoring - 公式サイト
https://sucuri.net
Sucuri SiteCheck - Free Website Security Check & Malware Scanner
https://sitecheck.sucuri.net
サイトにアクセスすると次のような感じ.
URLを入力して実行.
マルウェアも仕込まれてないし,サイト自体はブラックリストに無い模様.ありがたい.
でも,セキュリティリスクが・・・
どういった情報でマルウェアやブラックリストを調べたかは,次の通り.
Google Safe Browsingでアウトになったら,もうGoogle八分状態だろうなぁ.
SSLで暗号化冴えてないとかWAFが入ってないとかもあるけれど,セキュリティヘッダが設定されてないという点は,すぐできる改善余地のような気がする.
IPAが国産セキュリティツールの検証をした結果を発表していました.
セキュリティ製品の有効性検証の試行について
https://www.ipa.go.jp/security/economics/shikoukekka2019.html
この中であのビズリーチ!のCMで有名なビジョナル・インキュベーション株式会社のYamoriというソフトウェアが紹介されていました.
オープンソース脆弱性管理ツール「yamory(ヤモリー)」をリリース
https://www.bizreach.co.jp/pressroom/pressrelease/2019/0827.html
似たようなものは,次の大手企業にありますね.
NEC Cyber Security Platform(NCSP)
https://jpn.nec.com/ncsp/index.html
セキュリティ情報配信サービス - NTTデータ先端技術株式会社
http://www.intellilink.co.jp/security/services/scrutiny/03.html
NTTデータのものは,自分でソフトウェアを登録すると,それに関する脆弱性情報が通知が来るというものでした.そしてGUIがひどい・・・新入社員教育で作ったのかな?みたいな感じでした.
Yammaはエージェントレスで,NCSPはエージェントタイプですね.どっちが良いか,それは金額と考え方しだいかな.
セキュリティ製品の有効性検証の試行について
https://www.ipa.go.jp/security/economics/shikoukekka2019.html
この中であのビズリーチ!のCMで有名なビジョナル・インキュベーション株式会社のYamoriというソフトウェアが紹介されていました.
オープンソース脆弱性管理ツール「yamory(ヤモリー)」をリリース
https://www.bizreach.co.jp/pressroom/pressrelease/2019/0827.html
似たようなものは,次の大手企業にありますね.
NEC Cyber Security Platform(NCSP)
https://jpn.nec.com/ncsp/index.html
セキュリティ情報配信サービス - NTTデータ先端技術株式会社
http://www.intellilink.co.jp/security/services/scrutiny/03.html
NTTデータのものは,自分でソフトウェアを登録すると,それに関する脆弱性情報が通知が来るというものでした.そしてGUIがひどい・・・新入社員教育で作ったのかな?みたいな感じでした.
Yammaはエージェントレスで,NCSPはエージェントタイプですね.どっちが良いか,それは金額と考え方しだいかな.
1997年のExchange Serverから,1つのメールで指定できる宛先の最大数は500だったようでそれが変更できなかったそうです.そう,それは2020年1月まで.
現在は,アカウント(メールボックス)ごとに1〜1000の間にへこうできるようになったそうで,20とか50とかに1つづつとか複数設定でへこうできるようになったそうです.
Customizable Recipient Limits in Office 365
https://techcommunity.microsoft.com/t5/exchange-team-blog/customizable-recipient-limits-in-office-365/ba-p/1183228
Bccで送るところをToやCcで送ってしまって個人情報漏洩の発生!ということはよく聞く事故だから,その事故を最小限にすることも考慮した方が良いのだろうな.
感覚的に,20くらいだと少ない感じがする.50だと1つ1つお詫びメール送ったりで対応できる範囲かな.
現在は,アカウント(メールボックス)ごとに1〜1000の間にへこうできるようになったそうで,20とか50とかに1つづつとか複数設定でへこうできるようになったそうです.
Customizable Recipient Limits in Office 365
https://techcommunity.microsoft.com/t5/exchange-team-blog/customizable-recipient-limits-in-office-365/ba-p/1183228
Bccで送るところをToやCcで送ってしまって個人情報漏洩の発生!ということはよく聞く事故だから,その事故を最小限にすることも考慮した方が良いのだろうな.
感覚的に,20くらいだと少ない感じがする.50だと1つ1つお詫びメール送ったりで対応できる範囲かな.
増えすぎたパスワードを管理する為のツールのニーズも高いようだけれど,トレンドマイクロが有償で提供しているパスワードマネージャがあるようで,脆弱性が発見された模様.
トレンドマイクロ製パスワードマネージャーにおける DLL 読み込みに関する脆弱性
https://jvn.jp/vu/JVNVU93266623/
フリーのものもある中で,どういうものなのか.
月額122円〜157円程度のものらしい.缶コーヒー1本,ペットボトルのお茶1本程度か.
いつも思うけれど,セキュリティ対策ソフトの脆弱性発見というのは,本末転倒というか,とても気にして即バージョンアップしている人以外にはお勧めできないなぁ.
妹ちゃん2号が,増えすぎたパスワードはシステム手帳に書いていたけれど,そういうアナログ方式もありじゃないか.棚卸もできるし.
有効期限が終了した時の対処方法
https://esupport.trendmicro.com/support/pwm/solution/ja-jp/1097279.aspx
トレンドマイクロ製パスワードマネージャーにおける DLL 読み込みに関する脆弱性
https://jvn.jp/vu/JVNVU93266623/
フリーのものもある中で,どういうものなのか.
月額122円〜157円程度のものらしい.缶コーヒー1本,ペットボトルのお茶1本程度か.
いつも思うけれど,セキュリティ対策ソフトの脆弱性発見というのは,本末転倒というか,とても気にして即バージョンアップしている人以外にはお勧めできないなぁ.
妹ちゃん2号が,増えすぎたパスワードはシステム手帳に書いていたけれど,そういうアナログ方式もありじゃないか.棚卸もできるし.
有効期限が終了した時の対処方法
https://esupport.trendmicro.com/support/pwm/solution/ja-jp/1097279.aspx
今日から新年度.新入社員も多いでしょうが自宅待機を余儀なくされている事も多いかな.
そんな時に,暇つぶしとまでは言わないけれど,情報セキュリティに関するeラーニングコンテンツがIPAから提供されています.
インターネット安全教室 指導者用e-ラーニングコンテンツ
https://www.ipa.go.jp/security/keihatsu/e-learning.html
これ,自前で用意すると結構な金額になると思う.
そんな時に,暇つぶしとまでは言わないけれど,情報セキュリティに関するeラーニングコンテンツがIPAから提供されています.
インターネット安全教室 指導者用e-ラーニングコンテンツ
https://www.ipa.go.jp/security/keihatsu/e-learning.html
これ,自前で用意すると結構な金額になると思う.
町歩きで見かけたラーメン屋の評判を調べるには,グルメサイトを見たりする.最近は信憑性が薄いと言われているけれど,どういう種類なのかは,参考になると思う.
似たような感じで,特定のIPアドレスからのちょっと怪しいアクセスがログに残っていたら,そのIPアドレスの素行調査を行いたい.
そんな時に使えるのが,AbuseIPDB.
AbuseIPDB
https://www.abuseipdb.com
特定のIPアドレスを入れると,次のような感じで結果が表示される.
これも結局集合知なのだけれど,このサイトの掲示板に書かれている情報から,このIPアドレスからはSSHのブルートフォースアタックが行われている事は明白.
こううわかりやすい場合は,速攻でブロックだね.
似たような感じで,特定のIPアドレスからのちょっと怪しいアクセスがログに残っていたら,そのIPアドレスの素行調査を行いたい.
そんな時に使えるのが,AbuseIPDB.
AbuseIPDB
https://www.abuseipdb.com
特定のIPアドレスを入れると,次のような感じで結果が表示される.
これも結局集合知なのだけれど,このサイトの掲示板に書かれている情報から,このIPアドレスからはSSHのブルートフォースアタックが行われている事は明白.
こううわかりやすい場合は,速攻でブロックだね.
当サイトも,毎日何度も攻撃を受けるのだけれど,その攻撃をしてきた(と判断した)IPアドレスをFirewallで遮断する仕組みを導入している.
そうはいっても検知精度とサンプリング数は心もとないのは当たり前.そういうときは,以下のサイトで掲載されている各種情報を取得してブロックに役立てれば良いでしょう.
Free and open-source threat intelligence feeds.
https://threatfeeds.io
情報が新しいのか気になると思うけれど最終更新からの時間も明示されているから,鮮度はよくわかります.
そうはいっても検知精度とサンプリング数は心もとないのは当たり前.そういうときは,以下のサイトで掲載されている各種情報を取得してブロックに役立てれば良いでしょう.
Free and open-source threat intelligence feeds.
https://threatfeeds.io
情報が新しいのか気になると思うけれど最終更新からの時間も明示されているから,鮮度はよくわかります.
セキュリティ関連の読み物をみていたら「USBメモリは拾うな」とあったので,どういうことか調べてみたら,すぐ答えにたどり着いた.
Black Hat USA 2016というイベントで,Googleの中の人が実験した結果,45%の人が中身をチェックしたそうだ.
だって人間だもの…拾ったUSBメモリを開く人は何割いる?調査
https://ascii.jp/elem/000/001/213/1213231/
んー,確かに中身を見たくなるかも.そしてそのフォルダ名が意味深だったら特にね.
それは,罠かもしれない.というような事は,役所に人たちに特に知っておいてほしい記事かもしれない.
Black Hat USA 2016というイベントで,Googleの中の人が実験した結果,45%の人が中身をチェックしたそうだ.
だって人間だもの…拾ったUSBメモリを開く人は何割いる?調査
https://ascii.jp/elem/000/001/213/1213231/
んー,確かに中身を見たくなるかも.そしてそのフォルダ名が意味深だったら特にね.
それは,罠かもしれない.というような事は,役所に人たちに特に知っておいてほしい記事かもしれない.
SMB(Server Message Block)は,ファイル&プリントサーバで利用する古くからあるプロトコルだけれど突破口として狙われやすい傾向があるから,Unix/Linux系の実装のSambaでも度々脆弱性が発見される.
今回はMicrosoft Server Message Block 3.1.1 (SMBv3)に対してで,対象がWindows 10やWindows Server 2019と新しいOSのセットを使っている場合というのが新しい.
また,以下の記事にある通り「オンラインで意図せずリーク」というもの新しい?珍しい.
マイクロソフト、SMBv3の脆弱性に関するパッチを提供
https://japan.zdnet.com/article/35150754/
Microsoftの有償サポートに入っていると,月例のパッチ情報は,一般公開の前日までに届けてもらうことができるけれど,今回の脆弱性は来月以降発表予定だったものが意図せず出てしまった模様.実装を見ると簡単にクラッシュできているので笑える・・・
今回はMicrosoft Server Message Block 3.1.1 (SMBv3)に対してで,対象がWindows 10やWindows Server 2019と新しいOSのセットを使っている場合というのが新しい.
また,以下の記事にある通り「オンラインで意図せずリーク」というもの新しい?珍しい.
マイクロソフト、SMBv3の脆弱性に関するパッチを提供
https://japan.zdnet.com/article/35150754/
Microsoftの有償サポートに入っていると,月例のパッチ情報は,一般公開の前日までに届けてもらうことができるけれど,今回の脆弱性は来月以降発表予定だったものが意図せず出てしまった模様.実装を見ると簡単にクラッシュできているので笑える・・・
以前,ブランドを傷つける行為に関する調査方法としてRiskIQについて記載したけれど,今回はアンブッシュという考え方.
何からのイベントには,主催以外にも協賛などで広告料を支払って公式スポンサーとして,プロモーション活動することが多いけれど,公式スポンサー以外が,乗っかってイベンターに無許可でプロモーション活動することを,アンブッシュマーケティング(待ち伏せマーケティング)というそうだ.
古い方法だと,球場に隣接するビルの壁面に広告を掲示しておいて,ホームランがでるたびに背景に広告に映るとかそういう類.
何かイベントがあると街の定食屋で「なんとか丼」が作られたり,饅頭とか煎餅の焼印で便乗することはんてよくあること.
そういう中で,イメージ戦略に沿わないものを排除していくのが,セキュリティとしてのアンブッシュ対策ということでした.
何からのイベントには,主催以外にも協賛などで広告料を支払って公式スポンサーとして,プロモーション活動することが多いけれど,公式スポンサー以外が,乗っかってイベンターに無許可でプロモーション活動することを,アンブッシュマーケティング(待ち伏せマーケティング)というそうだ.
古い方法だと,球場に隣接するビルの壁面に広告を掲示しておいて,ホームランがでるたびに背景に広告に映るとかそういう類.
何かイベントがあると街の定食屋で「なんとか丼」が作られたり,饅頭とか煎餅の焼印で便乗することはんてよくあること.
そういう中で,イメージ戦略に沿わないものを排除していくのが,セキュリティとしてのアンブッシュ対策ということでした.
設定不足で,刑務所の情報や鉄道にある無料Wi-Fiの接続情報が漏洩したという記事.
クラウドストレージの誤設定による情報漏えいが続発
https://blog.trendmicro.co.jp/archives/24234
最もびっくりしたのは,「刑務所や矯正施設の管理に利用されるクラウドベースのアプリケーション」というのが存在しているということ.
JailCore
http://jailcore.com
クラウドストレージの誤設定による情報漏えいが続発
https://blog.trendmicro.co.jp/archives/24234
最もびっくりしたのは,「刑務所や矯正施設の管理に利用されるクラウドベースのアプリケーション」というのが存在しているということ.
JailCore
http://jailcore.com
パスワードの使い回しも問題があるけれど,ある意味暗黙知での使い回し?
ハッカーがデバイス攻撃時に最初に試すパスワードとは
https://japan.zdnet.com/article/35150425/
admin,12345,default,password,rootなどのパスワードがよく使われている模様.administratorに対してadminは,人間の感性の反射的なパスワードだ.
ただ,3年前に検証のために入れたサーバソフトを久しぶりに起動して,パスワード忘れていたけれど,ログインを試したらパスワードがadminで入れたので助かったのが1週間前...
ハッカーがデバイス攻撃時に最初に試すパスワードとは
https://japan.zdnet.com/article/35150425/
admin,12345,default,password,rootなどのパスワードがよく使われている模様.administratorに対してadminは,人間の感性の反射的なパスワードだ.
ただ,3年前に検証のために入れたサーバソフトを久しぶりに起動して,パスワード忘れていたけれど,ログインを試したらパスワードがadminで入れたので助かったのが1週間前...
まだインターネットが一般に普及していなかった30年ほど前.文書は紙でした.
とある外資系のシステムの改修に関わった際,設計書のフッター部分に「会社名 INTERNAL ONLY」と必ず記載が必要で,それは改修・提出資料についてもそれを踏襲する必要がありました.
その当時でも,その外資系コンピュータ会社では,機密文書には何段階かレベルが設定されてあって,INTERNAL ONLYは一番ゆるい方でしたけど,一太郎のような「IBM-DOS文書プログラム」というワープロのテンプレートでフッタに入っているので意識せずに文書を作成していました.(宴会のお知らせとかも)
当時は,印刷して納品.(配布)
いまは,Microsoft Office(Word,Excel,PowerPoint)やAcrobatのPDFで文書が流通することが多いけれど,企業別に機密文書レベルを設定し自動的にフッタに設定されている運用は今もあるようで,機密文書的なロゴや文言の入った電子文書が,インターネット上でも見つかることも多い模様.
地方公共団体の場合が多いようだけれど,公式発表資料なのにフッタに「機密」を示すキーワードが誤って混入している場合が散見され,中には外に出てはいけない文書も混ざっているようで,仕事や趣味?でこれをパトロールしているということもあるそうです.
「機密」的なテキストデータを入れることで逆に検索性が増して漏洩が発覚する可能性もあるので,最近はロゴを入れるところもあるようです.
昨今のIT事情からどうなのかな?と批判を浴びたこともあるけれど,そういう背景を考えると,どこかの団体のプレスリリースが,ワープロで作成した文書を広報部長的な人が捺印してPDF化したものをCMSで報道発表に載せているという運用も,効率的では無いけれどセキュアであると言えますね.
とある外資系のシステムの改修に関わった際,設計書のフッター部分に「会社名 INTERNAL ONLY」と必ず記載が必要で,それは改修・提出資料についてもそれを踏襲する必要がありました.
その当時でも,その外資系コンピュータ会社では,機密文書には何段階かレベルが設定されてあって,INTERNAL ONLYは一番ゆるい方でしたけど,一太郎のような「IBM-DOS文書プログラム」というワープロのテンプレートでフッタに入っているので意識せずに文書を作成していました.(宴会のお知らせとかも)
当時は,印刷して納品.(配布)
いまは,Microsoft Office(Word,Excel,PowerPoint)やAcrobatのPDFで文書が流通することが多いけれど,企業別に機密文書レベルを設定し自動的にフッタに設定されている運用は今もあるようで,機密文書的なロゴや文言の入った電子文書が,インターネット上でも見つかることも多い模様.
地方公共団体の場合が多いようだけれど,公式発表資料なのにフッタに「機密」を示すキーワードが誤って混入している場合が散見され,中には外に出てはいけない文書も混ざっているようで,仕事や趣味?でこれをパトロールしているということもあるそうです.
「機密」的なテキストデータを入れることで逆に検索性が増して漏洩が発覚する可能性もあるので,最近はロゴを入れるところもあるようです.
昨今のIT事情からどうなのかな?と批判を浴びたこともあるけれど,そういう背景を考えると,どこかの団体のプレスリリースが,ワープロで作成した文書を広報部長的な人が捺印してPDF化したものをCMSで報道発表に載せているという運用も,効率的では無いけれどセキュアであると言えますね.
新型コロナウイルスの流行を踏まえて,鉄道会社のホームでのアナウンスでも「テレワークとかで電車に乗らないで(意訳)」とアナウンスする昨今,テレワークに必要なVPNについての注意喚起もでています.
VPN製品の既知脆弱性に注意 - フィッシングにも警戒を
http://www.security-next.com/113205
まぁ,急にVPNの窓口を作ったりしたら,設定不良もあるだろうね.注意喚起では,次のような例を引用されているけれど.
「SSL VPN」の脆弱性探索行為、国内でも観測
http://www.security-next.com/107882
これくらいの機器を導入しているところだったら,ちゃんと運用してそうだけど.
警視庁サイバーセキュリティ対策本部@MPD_cybersec
ちょっと待って!そのテレワーク、セキュリティは大丈夫?(2020/3/16)
https://twitter.com/MPD_cybersec/status/1239384795739607042
VPN製品の既知脆弱性に注意 - フィッシングにも警戒を
http://www.security-next.com/113205
まぁ,急にVPNの窓口を作ったりしたら,設定不良もあるだろうね.注意喚起では,次のような例を引用されているけれど.
「SSL VPN」の脆弱性探索行為、国内でも観測
http://www.security-next.com/107882
これくらいの機器を導入しているところだったら,ちゃんと運用してそうだけど.
警視庁サイバーセキュリティ対策本部@MPD_cybersec
ちょっと待って!そのテレワーク、セキュリティは大丈夫?(2020/3/16)
https://twitter.com/MPD_cybersec/status/1239384795739607042
今日は2日間かけての準上級研修の1日目.
座学研修じゃなくて,ハンズオン,それもハッカソンみたいな感じかな.ハッカソンに行ったことないけれど.状況に応じて相手も手を替え品を替えてやってくる.普通,1チームで七人くらいの役割で対応するモデルらしいけれど,人材不足?で三人で人チーム.忙しかった.トイレ休憩も忘れるくらい.
でも,日々思っていることだけれど,サイバーセキュリティというの,応用技術で言えばエンジニアリングの最高傑作だとおもうね.騙し騙され次の手を読み動きを封じる.キリがない世界だ.
座学研修じゃなくて,ハンズオン,それもハッカソンみたいな感じかな.ハッカソンに行ったことないけれど.状況に応じて相手も手を替え品を替えてやってくる.普通,1チームで七人くらいの役割で対応するモデルらしいけれど,人材不足?で三人で人チーム.忙しかった.トイレ休憩も忘れるくらい.
でも,日々思っていることだけれど,サイバーセキュリティというの,応用技術で言えばエンジニアリングの最高傑作だとおもうね.騙し騙され次の手を読み動きを封じる.キリがない世界だ.
新型コロナウイルス感染症の影響を鑑み,情報処理試験について,延期しては?という意見がちょっとだけでていたIPAですが,「情報セキュリティ10大脅威 2020」を発表していました.
情報セキュリティ10大脅威 2020
https://www.ipa.go.jp/security/vuln/10threats2020.html
解説書も公開.「スマホ決済の不正利用」とある.ランク外からの1位.
年明けに特定非営利活動法人日本セキュリティ監査協会という団体が発表した「監査人の警鐘 - 2020年 情報セキュリティ十大トレンド」というのがあったけれど1位はランク外からの「自然災害によるIT被害の拡大」だった.
新型コロナウイルス感染症が自然災害だけれど,システム的には,株価暴落で楽天証券のシステムがダウン(実際には回線異常らしい?)くらいだったか.
やっぱり予測できないってことだ.備えるのは無理.
情報セキュリティ10大脅威 2020
https://www.ipa.go.jp/security/vuln/10threats2020.html
解説書も公開.「スマホ決済の不正利用」とある.ランク外からの1位.
年明けに特定非営利活動法人日本セキュリティ監査協会という団体が発表した「監査人の警鐘 - 2020年 情報セキュリティ十大トレンド」というのがあったけれど1位はランク外からの「自然災害によるIT被害の拡大」だった.
新型コロナウイルス感染症が自然災害だけれど,システム的には,株価暴落で楽天証券のシステムがダウン(実際には回線異常らしい?)くらいだったか.
やっぱり予測できないってことだ.備えるのは無理.
NTTデータが四半期ごとにレポートをだしていました.
サイバーセキュリティに関するグローバル動向四半期レポート - NTTデータ
https://www.nttdata.com/jp/ja/news/information/2020/022801/
興味深かったのは,Office365のOAuthの脆弱性,BlackDirectのことです.これは,2019年11月19日に修正されたとあったけれど,あれれ?office 365 障害で記録した,あのクラウド障害の日程と一致するんだね.
認証の問題だったので,まさにこの影響か.ことがことだけにいそいでやったんだろうな.
サイバーセキュリティに関するグローバル動向四半期レポート - NTTデータ
https://www.nttdata.com/jp/ja/news/information/2020/022801/
興味深かったのは,Office365のOAuthの脆弱性,BlackDirectのことです.これは,2019年11月19日に修正されたとあったけれど,あれれ?office 365 障害で記録した,あのクラウド障害の日程と一致するんだね.
認証の問題だったので,まさにこの影響か.ことがことだけにいそいでやったんだろうな.
内閣官房内閣サイバーセキュリティセンター(NISC)が,セキュリティ関係の法令Q&Aをまとめたものをリリースしていました.
「サイバーセキュリティ関係法令Q&Aハンドブック 」について
https://www.nisc.go.jp/security-site/law_handbook/index.html
サイバーセキュリティ関係法令Q&AハンドブックVer1.0(令和2年3月2日)
普通に,刑法,民放だけじゃなく,会社法,個人情報保護法,電気通信事業法や,不正アクセス禁止法,サイバーセキュリティ基本法など様々な法律に関するものがまとまっています.
300ページを超える対策だから普通に読むのは辛いなぁ.
今だけ?話題のテレワークも,総務省で平成30年4月に「テレワークセキュリティガイドライン(第 4 版)」を策定しているとか乗っているし,何か検討しなければいけない時に参照するのに有益な情報源かな.
追記2023/09/26
改訂版がリリース.
サイバーセキュリティ関係法令Q&Aハンドブック Ver2.0
https://security-portal.nisc.go.jp/guidance/law_handbook.html
引用:
「サイバーセキュリティ関係法令Q&Aハンドブック 」について
https://www.nisc.go.jp/security-site/law_handbook/index.html
サイバーセキュリティ関係法令Q&AハンドブックVer1.0(令和2年3月2日)
普通に,刑法,民放だけじゃなく,会社法,個人情報保護法,電気通信事業法や,不正アクセス禁止法,サイバーセキュリティ基本法など様々な法律に関するものがまとまっています.
300ページを超える対策だから普通に読むのは辛いなぁ.
今だけ?話題のテレワークも,総務省で平成30年4月に「テレワークセキュリティガイドライン(第 4 版)」を策定しているとか乗っているし,何か検討しなければいけない時に参照するのに有益な情報源かな.
追記2023/09/26
改訂版がリリース.
サイバーセキュリティ関係法令Q&Aハンドブック Ver2.0
https://security-portal.nisc.go.jp/guidance/law_handbook.html
引用:
Ver2.0で追加されたQの一覧
サイバーセキュリティインシデント発生時の当局等対応
インシデントレスポンスと関係者への対応
5G促進法(特定高度情報通信技術活用システムの開発供給及び導入の促進に関する法律)
ドローンとサイバーセキュリティ
重要インフラ分野における規律
モビリティとサイバーセキュリティ
DX認定・DX銘柄とサイバーセキュリティ
サイバーセキュリティに関する規格等とNIST SP800シリーズ
認証/本人確認に関する法令について
サイバーセキュリティ事業者への投資
脅威インテリジェンスサービス
データの消去、データが記録された機器・電子媒体の廃棄
ランサムウェア対応
インシデント対応における費用負担及びサイバー保険
越境リモートアクセス
海外における主なサイバーセキュリティ法令
国際捜査共助・協力に関する条約・協定
Windows 10だと,デフォルトではAdministratrユーザは無効化されている.ただし,会社で導入している場合,Administratorユーザが有効化されてヘルプデスクの人たちだけがそのパスワードを知っていて,何かしらのサポート業務の際に使うというシーンは,どこでもよくある.
2015年の内閣サイバーセキュリティセンターの発表事例でも,ローカル管理者権限によって不審な活動というのが報告されていました.
日本年金機構における個人情報流出事案に関する 原因究明調査結果
https://www.nisc.go.jp/active/kihon/pdf/incident_report.pdf
ローカル管理者権限の,Administratorなどのアカウントのパスワードを定期的に変更するというツールがマイクロソフトから提供されています.
Local Administrator Password Solution (LAPS)
https://www.microsoft.com/en-us/download/details.aspx?id=46899
ただし,ADによる管理がされている必要がある.まぁ,端末が50台を超えたらドメイン管理する方が楽だしね.
2015年の内閣サイバーセキュリティセンターの発表事例でも,ローカル管理者権限によって不審な活動というのが報告されていました.
日本年金機構における個人情報流出事案に関する 原因究明調査結果
https://www.nisc.go.jp/active/kihon/pdf/incident_report.pdf
ローカル管理者権限の,Administratorなどのアカウントのパスワードを定期的に変更するというツールがマイクロソフトから提供されています.
Local Administrator Password Solution (LAPS)
https://www.microsoft.com/en-us/download/details.aspx?id=46899
ただし,ADによる管理がされている必要がある.まぁ,端末が50台を超えたらドメイン管理する方が楽だしね.
最近はAmazonを語る迷惑メールばかりくるので,面白くないのだけれど.
日本人だと「Hi」で始まる文書を作ることはないなぁ.ドメインはアイルランドとかアメリカが絡んでいるようだけれど.
「12億円」で調べると,MEGA BIGというのが今年の2月15日より発売されて居て,キャリーオーバーで最高12億円なのだそうです.新型コロナウイルスのニュースばかりで,MEGA BIGは話題になってないと思うけれど,迷惑メールはしたたかだなぁ.
Hi~ すみません
私たちがメールの送信の理由は、インターネットのスポーツトトを
推薦してドリルしようとしているからです。
58bet 独立行政法人日本スポーツ振興センターのスポーツ振興くじ
助成金を受けて、体育施設の整備やスポーツ大会などを行っています。
58betとは、BIG(コンピューターがランダムで試合結果を自動選択する、
予想のいらない最高6億円のくじ)、
toto(サッカーの試合結果を予想するくじ)がインターネットで
買えるサービスです。
58betに無料会員登録するだけで利用可能!
便利でカンタン
夢は「12億円」だけじゃない ついに開催1000回、スポーツくじが築く未来とは……
お客様の加入を心から歓迎します。
「12億円」で調べると,MEGA BIGというのが今年の2月15日より発売されて居て,キャリーオーバーで最高12億円なのだそうです.新型コロナウイルスのニュースばかりで,MEGA BIGは話題になってないと思うけれど,迷惑メールはしたたかだなぁ.
こんなニュースがあった.
「Microsoft Defender ATP for Linux」がパブリックプレビューへ
https://news.mynavi.jp/article/20200225-981726/
そのちょっと前には,これ.
Microsoft、セキュリティアプリ「Defender ATP」のiOSおよびAndroid版を計画中
https://www.itmedia.co.jp/news/articles/2002/21/news065.html
去年のことだけれど,これも.
macOS向けMicrosoft Defender Advanced Threat Protection登場
https://news.mynavi.jp/article/20190709-856657/
つまり,ATPとしてはマルチプラットホームのサポートとなる.実態がなかったりするけれど,今の時期に発表するというのは,日本だと企業の予算どりとかに優位なのかも?
ただし,ライセンス的には,E5になるようなので,毎月4000円近くを払える程度の会社,というところになる.まぁ,それを払えない≒コストに見合わない会社は,狙われにくいし守るものもそんなに量がないだろうという考えかなぁ.セキュリティこそ,「水」のようなものとして提供してほしいけれど,水もお金払って手に入れる時代だし.
「Microsoft Defender ATP for Linux」がパブリックプレビューへ
https://news.mynavi.jp/article/20200225-981726/
そのちょっと前には,これ.
Microsoft、セキュリティアプリ「Defender ATP」のiOSおよびAndroid版を計画中
https://www.itmedia.co.jp/news/articles/2002/21/news065.html
去年のことだけれど,これも.
macOS向けMicrosoft Defender Advanced Threat Protection登場
https://news.mynavi.jp/article/20190709-856657/
つまり,ATPとしてはマルチプラットホームのサポートとなる.実態がなかったりするけれど,今の時期に発表するというのは,日本だと企業の予算どりとかに優位なのかも?
ただし,ライセンス的には,E5になるようなので,毎月4000円近くを払える程度の会社,というところになる.まぁ,それを払えない≒コストに見合わない会社は,狙われにくいし守るものもそんなに量がないだろうという考えかなぁ.セキュリティこそ,「水」のようなものとして提供してほしいけれど,水もお金払って手に入れる時代だし.
郵便局も,電子メールを使う時代(笑)
日本郵便に不正アクセス、4000通のメールを誤送信 「原因や被害状況など調査中」
https://www.itmedia.co.jp/news/articles/2002/17/news086.html
「同社のメールアカウントが第三者から不正アクセスを受け、約4000通の意図しないメールが送信された」そうだ.
意図しないメールの内容もきになるけれど,不正アクセスを受けたドメインが「@jp-international.jp」なので,海外子会社的なものかな?
本物か偽物か本物から送られた偽物か?!
日本郵便は19万人の社員がいるそうだから,たいへんだな.
今回の件には関係ないけれど,簡易保険の「かんぽの宿」って,かんぽ生命保険じゃなくて,不動産事業をやっている日本郵政のものなのね.
日本郵便に不正アクセス、4000通のメールを誤送信 「原因や被害状況など調査中」
https://www.itmedia.co.jp/news/articles/2002/17/news086.html
「同社のメールアカウントが第三者から不正アクセスを受け、約4000通の意図しないメールが送信された」そうだ.
意図しないメールの内容もきになるけれど,不正アクセスを受けたドメインが「@jp-international.jp」なので,海外子会社的なものかな?
本物か偽物か本物から送られた偽物か?!
日本郵便は19万人の社員がいるそうだから,たいへんだな.
今回の件には関係ないけれど,簡易保険の「かんぽの宿」って,かんぽ生命保険じゃなくて,不動産事業をやっている日本郵政のものなのね.
この記事.
「Huaweiがモバイルネットワークに侵入可能なことを証明する」とアメリカが発表、イギリスやドイツ陥落による焦りか
https://gigazine.net/news/20200212-huawei-access-telecom-networks/
アメリカの製品でも,侵入可能な穴が空いていることは多いけどなぁ.WindowsとかmacOSとかCISCOのネットワーク機器とか.Huaweiのものだって,バグなのか意図的なのかは,
「Huaweiがモバイルネットワークに侵入可能なことを証明する」とアメリカが発表、イギリスやドイツ陥落による焦りか
https://gigazine.net/news/20200212-huawei-access-telecom-networks/
アメリカの製品でも,侵入可能な穴が空いていることは多いけどなぁ.WindowsとかmacOSとかCISCOのネットワーク機器とか.Huaweiのものだって,バグなのか意図的なのかは,
IPAが毎年発表している件で,2019年分が発表されていました.
コンピュータウイルスに関する届出について
https://www.ipa.go.jp/security/outline/todokede-j.html
2019年はLokiBotとEmotet.Emotetは実際に着弾をみたので,流行っているんだなぁと思います.
そして手口的には,「侵入」が多い模様.その次の「なりすまし」に対して2倍.サーバの種類は.Webサーバ.まぁ,外に向いて開けてないマシンには入ってこれないしね.
永遠の?課題のバージョンが古くて穴をつかれた件も一定数あります.そんなん言われても気軽にバージョンアップできない.
セキュリティホールのパッチといっても,他の部分が修正されていることがある.(累積パッチといわれたりする)
リリースノートに全てが書かれているわけでも無いので,その累積パッチがどこまで影響するか全くわからない.
パッチはリリースされず,必ずバージョンアップしかしない会社もある.シマンテック製品とか.
テストテスト.テスト不足.そもそも改変用にテスト環境,ステージング環境を持っているし,Dockerなどの技術で簡単に環境も構築できる.ただし,やっぱり全く同じでは無いので本番で動かしてみないと発生しない,確認できないこともある.
セキュリティホールに対応するための積極的なバージョンアップによって,システムトラブルが発生しても,責められるのは運用者だけれど,バージョンアップしなくて責められるのもシステム運用者.それだったら,バージョンアップを進めたほうがいい.でも,完璧なものを求められる世界もあるからなぁ.
コンピュータウイルスに関する届出について
https://www.ipa.go.jp/security/outline/todokede-j.html
2019年はLokiBotとEmotet.Emotetは実際に着弾をみたので,流行っているんだなぁと思います.
そして手口的には,「侵入」が多い模様.その次の「なりすまし」に対して2倍.サーバの種類は.Webサーバ.まぁ,外に向いて開けてないマシンには入ってこれないしね.
永遠の?課題のバージョンが古くて穴をつかれた件も一定数あります.そんなん言われても気軽にバージョンアップできない.
テストテスト.テスト不足.そもそも改変用にテスト環境,ステージング環境を持っているし,Dockerなどの技術で簡単に環境も構築できる.ただし,やっぱり全く同じでは無いので本番で動かしてみないと発生しない,確認できないこともある.
セキュリティホールに対応するための積極的なバージョンアップによって,システムトラブルが発生しても,責められるのは運用者だけれど,バージョンアップしなくて責められるのもシステム運用者.それだったら,バージョンアップを進めたほうがいい.でも,完璧なものを求められる世界もあるからなぁ.
PowerShellの実行で,ポリシー,ホワイトリストで機能を制限するConstrained Language Modeを理解しようとしているのだけれど,まだよくわかってない.
まずは定番のPowerShellチームによる公式説明資料.
PowerShell Constrained Language Mode
色々と前提となる技術を知ってないと,理解できんな.
こっちの方がわかりやすいかな.
About Language Modes
PowerShellの実行を行うさうに作られるセッション毎に制限モードを設定できて,Windowsの別のセキュリティ技術であるAppLockerやUMCIで別途コントロールしたい時に,細かく制御できるってことかな.
基礎技術であって,応用するには別途それ対応のプロダクトに任せるようにしないと,制限しすぎてモードが生かせない,という結果になりそう.
まずConstrained Modeにしたらいつも使っているps1が動かなくなったしね...
PowerShell Constrained Language Modeを学ぶ
http://www.ujp.jp/modules/tech_regist2/?PowerShell%2FConstrainedLanguage
まずは定番のPowerShellチームによる公式説明資料.
PowerShell Constrained Language Mode
色々と前提となる技術を知ってないと,理解できんな.
こっちの方がわかりやすいかな.
About Language Modes
PowerShellの実行を行うさうに作られるセッション毎に制限モードを設定できて,Windowsの別のセキュリティ技術であるAppLockerやUMCIで別途コントロールしたい時に,細かく制御できるってことかな.
基礎技術であって,応用するには別途それ対応のプロダクトに任せるようにしないと,制限しすぎてモードが生かせない,という結果になりそう.
まずConstrained Modeにしたらいつも使っているps1が動かなくなったしね...
PowerShell Constrained Language Modeを学ぶ
http://www.ujp.jp/modules/tech_regist2/?PowerShell%2FConstrainedLanguage
昨年の年末の記事なので忘れていたけれどこれ.
あの「たまごっち」をヒントに開発されたWi-Fiハッキングが可能な電子ペット「Pwnagotchi」
https://gigazine.net/news/20191231-pwnagotchi/
以前にも,WEPの脆弱性をついて,Wi-Fiただのりを行うための機械が売られていて規制がかかっていたなぁ.
インターネットの外から,どこかしらに侵入しようとするとき,それが大企業だったら特にファイアーウォール,WAFなどが入っていて,設定ミスとかゼロデイ攻撃くらいしか侵入する事は難しいと思うけれど,Wi-Fiのアクセスポイントだと防衛能力は低そうだ.わけわからんメーカものだったら,DDoSくらいはできそうな気もするね.
あの「たまごっち」をヒントに開発されたWi-Fiハッキングが可能な電子ペット「Pwnagotchi」
https://gigazine.net/news/20191231-pwnagotchi/
以前にも,WEPの脆弱性をついて,Wi-Fiただのりを行うための機械が売られていて規制がかかっていたなぁ.
インターネットの外から,どこかしらに侵入しようとするとき,それが大企業だったら特にファイアーウォール,WAFなどが入っていて,設定ミスとかゼロデイ攻撃くらいしか侵入する事は難しいと思うけれど,Wi-Fiのアクセスポイントだと防衛能力は低そうだ.わけわからんメーカものだったら,DDoSくらいはできそうな気もするね.
セキュリティなのか情報システムとしてなのか,整理するカテゴリを悩んだけれど,セキュリティにした.
気になったのはこの2つの記事.
ラック、AWSでの事故原因・対応などまとめたクラウドセキュリティレポート
https://news.mynavi.jp/article/20200131-964716/
Google フォト上の「プライベートなムービー」が他のユーザーにダウンロードされてしまう不具合が存在していた
https://gigazine.net/news/20200205-google-photos-private-video-strangers/
「クラウド」サービスだけれど,結局のところ「内」ではなく「外」にデータを置いているから,意図的であろうがそうでなかろうが,情報は漏れてもおかしくない.
facebookにプライベートな事を書きすぎて何かあったときの特定班に使われる的な事がよくあるけれど,facebookでもプライバシー設定が勝手に何か項目が追加されていて勝手に公開設定になっているというような事は何度もあった.好意的にみて「見えなくなった」を避けたいだけという風には,思えない.
漏れて困るなら「ネットに置くな」なんだろうね.でも避けて通れないから,それなら逆にもう情報漏洩しまくる事を前提にすればいいのだと思う.
気になったのはこの2つの記事.
ラック、AWSでの事故原因・対応などまとめたクラウドセキュリティレポート
https://news.mynavi.jp/article/20200131-964716/
Google フォト上の「プライベートなムービー」が他のユーザーにダウンロードされてしまう不具合が存在していた
https://gigazine.net/news/20200205-google-photos-private-video-strangers/
「クラウド」サービスだけれど,結局のところ「内」ではなく「外」にデータを置いているから,意図的であろうがそうでなかろうが,情報は漏れてもおかしくない.
facebookにプライベートな事を書きすぎて何かあったときの特定班に使われる的な事がよくあるけれど,facebookでもプライバシー設定が勝手に何か項目が追加されていて勝手に公開設定になっているというような事は何度もあった.好意的にみて「見えなくなった」を避けたいだけという風には,思えない.
漏れて困るなら「ネットに置くな」なんだろうね.でも避けて通れないから,それなら逆にもう情報漏洩しまくる事を前提にすればいいのだと思う.
サイバーセキュリティに関連する何かしらの団体はたくさんあるけれど,また1つ知りました.
サイバー情報共有イニシアティブ(J-CSIP(ジェイシップ))
https://www.ipa.go.jp/security/J-CSIP/
IPAを情報ハブとして,民間の産業別団体,鉄鋼業界,鉄道業界などなどが参加していて,毎年参加団体が増えているようだ.
レポートも公開されているけれど,見ていくのが大変だなぁ.頭に入らん.
サイバー情報共有イニシアティブ(J-CSIP(ジェイシップ))
https://www.ipa.go.jp/security/J-CSIP/
IPAを情報ハブとして,民間の産業別団体,鉄鋼業界,鉄道業界などなどが参加していて,毎年参加団体が増えているようだ.
レポートも公開されているけれど,見ていくのが大変だなぁ.頭に入らん.
コンピュータでゲームを作ったりするときに,乱数の関数を使う.シューティングゲームなどで,同じパターンで出現すると脳が学習し,ゲームがすぐ飽きられてしまうので偶然性を出すために乱数でパラメータを与えている.
その乱数だけれど,NECのN88-BasicだとRND()という関数だった.RND(1)を設定すると乱数が発生するのだけど,なんどやっても同じパターンでしか乱数が発生しない...
そんな時にはRANDOMIZEという命令を実行すると,発生するにタネを与えて,毎回違う乱数値になるようにできる.でもタネといってもコンピュータが持っているタイマーの1秒〜60までの60パターン程度.今だったら,フルサイズの年月日秒を与えたりそれ以上にIPアドレス,MACアドレス色々とあるので,乱数が乱数らしく出てくるはず.
PC-8801に搭載されていたN88-BASICはMicrosoft製品だけれど,Windows 10の乱数生成の擬似乱数生成器について,ホワイトペーパが公開されているとMicrosoftのブログにあった.
Going in-depth on the Windows 10 random number generation infrastructure
英文で読み応えがあるので時間おあるときにでも是非.
その乱数だけれど,NECのN88-BasicだとRND()という関数だった.RND(1)を設定すると乱数が発生するのだけど,なんどやっても同じパターンでしか乱数が発生しない...
そんな時にはRANDOMIZEという命令を実行すると,発生するにタネを与えて,毎回違う乱数値になるようにできる.でもタネといってもコンピュータが持っているタイマーの1秒〜60までの60パターン程度.今だったら,フルサイズの年月日秒を与えたりそれ以上にIPアドレス,MACアドレス色々とあるので,乱数が乱数らしく出てくるはず.
PC-8801に搭載されていたN88-BASICはMicrosoft製品だけれど,Windows 10の乱数生成の擬似乱数生成器について,ホワイトペーパが公開されているとMicrosoftのブログにあった.
Going in-depth on the Windows 10 random number generation infrastructure
英文で読み応えがあるので時間おあるときにでも是非.
世の中はコロナウイルスだけれど,ITセキュリティの中では標的型攻撃に用いられるEmotetはまだまだ拡散中です.今は狙われやすい組織のセキュリティチームにいるので,日々,ウイルスメールはやってくることは珍しくないけれど,「匂わせ」系の怪しいところがない日本語の文章で拡散している模様.
うちのサイトにも,なりすましメールのエラーリターンがたくさん来たし,JPCERT/CCの用意しているこの記事を見ると怖いと思うよ.
マルウエアEmotetへの対応FAQ
https://blogs.jpcert.or.jp/ja/2019/12/emotetfaq.html
そしてこの記事の中で,EmoCheckというツールが紹介されています.
JPCERTCC/EmoCheck - GitHub
https://github.com/JPCERTCC/EmoCheck/releases
試してみました.
ダウンロードしたのは実行形式のファイル.
FAQページにある通り,Windows Defender SmartScreenが反応.[詳細]ボタンを選択.
[実行]ボタンが出たので押下.
意外と短時間で終わりました.何も出てこなかった模様.(あたりまえか)
うちのサイトにも,なりすましメールのエラーリターンがたくさん来たし,JPCERT/CCの用意しているこの記事を見ると怖いと思うよ.
マルウエアEmotetへの対応FAQ
https://blogs.jpcert.or.jp/ja/2019/12/emotetfaq.html
そしてこの記事の中で,EmoCheckというツールが紹介されています.
JPCERTCC/EmoCheck - GitHub
https://github.com/JPCERTCC/EmoCheck/releases
試してみました.
ダウンロードしたのは実行形式のファイル.
FAQページにある通り,Windows Defender SmartScreenが反応.[詳細]ボタンを選択.
[実行]ボタンが出たので押下.
意外と短時間で終わりました.何も出てこなかった模様.(あたりまえか)
先日,三菱電機もサイバー攻撃を受けていた事が公表されたけれど,今回はNEC.
当社の社内サーバへの不正アクセスについて
https://jpn.nec.com/press/202001/20200131_01.html
国防に関わる企業のその部門のサーバが侵害されていたようだ.
NECにサイバー攻撃 防衛省関連ファイル約2万7000件に不正アクセス
https://www.itmedia.co.jp/news/articles/2001/31/news088.html
取材に対してのコメントの抜粋.
一般的に,ファイルサーバはルール通りに運用されなくて無法地帯になりがちだけれど,今現在は痕跡が見つからないから無いという事らしい.痕跡が確実に残る仕組みを入れていれば,その理論は成り立つだろうけど.
いつものpiyolog.
防衛装備品情報も影響を受けたNECへの不正アクセスについてまとめてみた
https://piyolog.hatenadiary.jp/entry/2020/01/31/051958
三菱電機件もそうだけれど,サイバー攻撃を受けていた事実が,報道機関によって暴露される.その情報を伏せていた事が情報漏洩したという事実については,誰も指摘しないようだ.
防衛関係で漏洩が起こった際には,直ちに問題が無い場合には,その仕組みを全部入れ替えたのちに公表できればいいんだけれど,その報道によって「情報持っているよ」的な自慢話をするような人がダークネットに,今は現れてないから,No Detectなんだろう.
当社の社内サーバへの不正アクセスについて
https://jpn.nec.com/press/202001/20200131_01.html
国防に関わる企業のその部門のサーバが侵害されていたようだ.
NECにサイバー攻撃 防衛省関連ファイル約2万7000件に不正アクセス
https://www.itmedia.co.jp/news/articles/2001/31/news088.html
取材に対してのコメントの抜粋.
問題のサーバで管理していたのは防衛省との取引に関する情報のみであり、
機密情報を保存してはいけない決まりもあったため、
不正アクセスを受けたファイルに機密や個人情報などは含まれていないとしている。
その後の外部専門機関との調査でも、
情報が外部に漏えいした痕跡はなかったという。」
いつものpiyolog.
防衛装備品情報も影響を受けたNECへの不正アクセスについてまとめてみた
https://piyolog.hatenadiary.jp/entry/2020/01/31/051958
三菱電機件もそうだけれど,サイバー攻撃を受けていた事実が,報道機関によって暴露される.その情報を伏せていた事が情報漏洩したという事実については,誰も指摘しないようだ.
防衛関係で漏洩が起こった際には,直ちに問題が無い場合には,その仕組みを全部入れ替えたのちに公表できればいいんだけれど,その報道によって「情報持っているよ」的な自慢話をするような人がダークネットに,今は現れてないから,No Detectなんだろう.
パロアルトネットワークスのこのレポートによると,新規ドメインの70%は「悪意のある」、「不審」、「職場閲覧注意」としてマークされたそうです.
新規登録ドメイン: 悪意のある攻撃者による悪用
https://www.paloaltonetworks.jp/company/in-the-news/2019/newly-registered-domains-malicious-abuse-by-bad-actors
まぁ,確かにいい感じのドメインはすでに誰かに取得されているし,昔は自分のお店用にドメインを取ったりしていたけれど,楽天とかのショッピングモールに出店すればそんなものは不要だし,となると空き地を取ろうとしているから,悪い奴らの方が多いのかもしれない.
そのレポートのDGA(ドメイン生成アルゴリズム)の部分によると,litvxvkucxqnaammvefとかqgasocuiwcymaoとかいうドメインは,一時的なC2サーバの為とか行方をくらませる為だとかの一瞬のためだけにドメインを取るみたいだ.
ブランド保護とかの観点でも,ドメイン取得やサブドメイン登録も,追いかける必要があるんだろうな.網羅的にwhoisしたものをデータベース化すれば,それはそれでマネタイズができるということか.
新規登録ドメイン: 悪意のある攻撃者による悪用
https://www.paloaltonetworks.jp/company/in-the-news/2019/newly-registered-domains-malicious-abuse-by-bad-actors
まぁ,確かにいい感じのドメインはすでに誰かに取得されているし,昔は自分のお店用にドメインを取ったりしていたけれど,楽天とかのショッピングモールに出店すればそんなものは不要だし,となると空き地を取ろうとしているから,悪い奴らの方が多いのかもしれない.
そのレポートのDGA(ドメイン生成アルゴリズム)の部分によると,litvxvkucxqnaammvefとかqgasocuiwcymaoとかいうドメインは,一時的なC2サーバの為とか行方をくらませる為だとかの一瞬のためだけにドメインを取るみたいだ.
ブランド保護とかの観点でも,ドメイン取得やサブドメイン登録も,追いかける必要があるんだろうな.網羅的にwhoisしたものをデータベース化すれば,それはそれでマネタイズができるということか.
この件も三菱電機の件も,東出&唐田えりか様問題の前には,全く話題にもならない.
「我が国のサイバーセキュリティ強化に向け速やかに 取り組むべき事項[緊急提言]」の公表
https://www.soumu.go.jp/menu_news/s-news/02cyber01_04000001_00093.html
サイバーセキュリティタスクフォース(第20回)
「我が国のサイバーセキュリティ強化に向け速やかに 取り組むべき事項[緊急提言]」の公表
https://www.soumu.go.jp/menu_news/s-news/02cyber01_04000001_00093.html
サイバーセキュリティタスクフォース(第20回)
ハッカーの巣窟「ダークウェブ」とは,ひっそりと目立たず掲示板のようなところで活動しているのかと思ったら,違うんだと初めて知ったよ.
たしかに,HTTP/HTTPSでアクセスできる場所に置いといたら,検索エンジンにインデックシングされて一般人でも辿り着く場所にあるということになるけれど,Torなのね.名前だけは知っていたけれど,The Onion Routerの略なんだって.
概要だけは以下のページに丁寧に説明されています.
ダークウェブの基礎知識 何が取引され犯罪に利用されているのか
https://eset-info.canon-its.jp/malware_info/special/detail/200121.html
プロトコルを変えることで「面」を作っているというあたりは,ポケモンの面と同じなんじゃなかろうか.いくらでも形を変えて増殖できるという点では言い得て妙だな.
たしかに,HTTP/HTTPSでアクセスできる場所に置いといたら,検索エンジンにインデックシングされて一般人でも辿り着く場所にあるということになるけれど,Torなのね.名前だけは知っていたけれど,The Onion Routerの略なんだって.
概要だけは以下のページに丁寧に説明されています.
ダークウェブの基礎知識 何が取引され犯罪に利用されているのか
https://eset-info.canon-its.jp/malware_info/special/detail/200121.html
プロトコルを変えることで「面」を作っているというあたりは,ポケモンの面と同じなんじゃなかろうか.いくらでも形を変えて増殖できるという点では言い得て妙だな.
日本だと総合系だと楽天,アマゾン,ヤフーがメジャーかな.ファッション系だとゾゾタウンやランウェイチャンネルなどが有名かな.そしてあとはユニクロなどの個別ブランドのショップがたくさんある.
そんな中で,偽サイトに遭遇することがあった.希少商品を検索すると,そのショッピングサイトには在庫がある.ぱっとみちゃんとしたショッピングサイトのようになっているのだけれど,URLが変だったり,他の商品も含めて商品説明分とかが何処かのサイトの全引用なのに,そのサイトだけ在庫がある.
ブランドロゴもちゃんとつけているしSSL証明書も発行されているので,絶対的に偽サイトだと言い切れない精度のものもある.
ただ,意図せず怪しい感じなので会員数が少なくて売れ残っているのかもしれない.欲しい時はそういう心理が働くかな.
本物か偽物かなんて,今までは見ればわかる程度だったけれど巧妙化してきているので,そういうのも集合知によって判断して行くのが正しいでしょう.
そしてまた,それらのショッピングサイトを運営している人たちも,自分たちの提供するサイトにそっくりな偽サイトやブランドが勝手に使われているものなど,これを発見するのは至難の業.
そういうのを監視するサービスがある.
RiskIQ、ファイアウォール外部を監視するサービスを日本で提供
https://news.mynavi.jp/article/20160610-a125/
「ファイアウォール外部」という表現がいいね.とりあえず,無料サイトがあったので登録して使ってみることにした.
RiskIQ Community Edition
https://community.riskiq.com
そんな中で,偽サイトに遭遇することがあった.希少商品を検索すると,そのショッピングサイトには在庫がある.ぱっとみちゃんとしたショッピングサイトのようになっているのだけれど,URLが変だったり,他の商品も含めて商品説明分とかが何処かのサイトの全引用なのに,そのサイトだけ在庫がある.
ブランドロゴもちゃんとつけているしSSL証明書も発行されているので,絶対的に偽サイトだと言い切れない精度のものもある.
ただ,意図せず怪しい感じなので会員数が少なくて売れ残っているのかもしれない.欲しい時はそういう心理が働くかな.
本物か偽物かなんて,今までは見ればわかる程度だったけれど巧妙化してきているので,そういうのも集合知によって判断して行くのが正しいでしょう.
そしてまた,それらのショッピングサイトを運営している人たちも,自分たちの提供するサイトにそっくりな偽サイトやブランドが勝手に使われているものなど,これを発見するのは至難の業.
そういうのを監視するサービスがある.
RiskIQ、ファイアウォール外部を監視するサービスを日本で提供
https://news.mynavi.jp/article/20160610-a125/
「ファイアウォール外部」という表現がいいね.とりあえず,無料サイトがあったので登録して使ってみることにした.
RiskIQ Community Edition
https://community.riskiq.com
国際電話のワン切り迷惑電話があるそうだ.思わずコールバックすると,法外な通話料が課金されるという.日本でもサービスしていたダイヤルキューに似た仕組みの悪用らしい.
相手が海外になると返金請求とかも手続きが大変だから,手間隙考えたら泣き寝入りだろうね.
国際電話に限らず,見知らぬ電話番号からの電話の場合,その発信元を調べる方法の1つとして,無料サービスがありました.
tellows - 電話番号の無料逆引き
https://www.tellows.jp
無料会員登録すると,評価やコメントを入れることができるそうです.入会情報をみたらドイツ語なので躊躇していますが.
Tellows(テロース)迷惑電話検索サイトを12月9日よりアップデート
https://www.value-press.com/pressrelease/232709
まだ最近なのかな.
うちのオカンしか住んで無い実家には,ちょくちょくソーラーとかの販売電話がかかってきていて,固定電話にかかってきた電話には出ない,という何のために電話料金を払っているか分からないのだけれど,地元のケーブルテレビ会社が提供するサービスに加入することで,かなり迷惑電話が削減できたようです.
電話機の横に謎のセットボックスが置いてあってRJ45がでていたから,着電すると迷惑電話番号データベースを検索して拒否しているということかな.内部的にブラックリストは,都度問い合わせに行ってるのか,レプリケーションしているのかは不明だけど.問い合わせしているかなやっぱり.
相手が海外になると返金請求とかも手続きが大変だから,手間隙考えたら泣き寝入りだろうね.
国際電話に限らず,見知らぬ電話番号からの電話の場合,その発信元を調べる方法の1つとして,無料サービスがありました.
tellows - 電話番号の無料逆引き
https://www.tellows.jp
無料会員登録すると,評価やコメントを入れることができるそうです.入会情報をみたらドイツ語なので躊躇していますが.
Tellows(テロース)迷惑電話検索サイトを12月9日よりアップデート
https://www.value-press.com/pressrelease/232709
まだ最近なのかな.
うちのオカンしか住んで無い実家には,ちょくちょくソーラーとかの販売電話がかかってきていて,固定電話にかかってきた電話には出ない,という何のために電話料金を払っているか分からないのだけれど,地元のケーブルテレビ会社が提供するサービスに加入することで,かなり迷惑電話が削減できたようです.
電話機の横に謎のセットボックスが置いてあってRJ45がでていたから,着電すると迷惑電話番号データベースを検索して拒否しているということかな.内部的にブラックリストは,都度問い合わせに行ってるのか,レプリケーションしているのかは不明だけど.問い合わせしているかなやっぱり.
macやLinuxを使っていると,便利ツールはいくつかのパッケージマネージャとその運営から入手すれば,脆弱性のような問題も遭遇しにくい感じがある.あまりそういう所で問題になったということはないし.
Windowsだと,日本だと老舗の「窓の杜」が一時代あったような気がするけれど,仕事用だと自由にソフトウェアを入れられない今の時代,新しいソフトウェアもあまり公開されてないように思う.
もし,何らかの便利ツールがフリーウェアでダウンロード可能となっていても,信頼性のあるサイトを見つけるのは難しい.詐欺ソフトを売りつけようとしている力を入れたサイトもあるしね.
そんな中で,最近便利だなと思っているのが,NirSoftに登録されているソフトウェアたち.
NirSoft
http://nirsoft.net
デザインがWordアートっぽい三十年前な感じのサイトだけれど,きになるツールがたくさん.でもセキュリティソフトで引っかかりそうなものだらけ
老舗のフリーソフト公開サイト“nirsoft.net”が15周年 ~テスト版ツールの公開ページがお披露目
https://forest.watch.impress.co.jp/docs/news/1203753.html
Windowsだと,日本だと老舗の「窓の杜」が一時代あったような気がするけれど,仕事用だと自由にソフトウェアを入れられない今の時代,新しいソフトウェアもあまり公開されてないように思う.
もし,何らかの便利ツールがフリーウェアでダウンロード可能となっていても,信頼性のあるサイトを見つけるのは難しい.詐欺ソフトを売りつけようとしている力を入れたサイトもあるしね.
そんな中で,最近便利だなと思っているのが,NirSoftに登録されているソフトウェアたち.
NirSoft
http://nirsoft.net
デザインがWordアートっぽい三十年前な感じのサイトだけれど,きになるツールがたくさん.でもセキュリティソフトで引っかかりそうなものだらけ
老舗のフリーソフト公開サイト“nirsoft.net”が15周年 ~テスト版ツールの公開ページがお披露目
https://forest.watch.impress.co.jp/docs/news/1203753.html
COMODOというと,SSL証明書の会社だという記憶があるけれど,SSLを扱っていることからのセキュリティ企業への展開がされているんだな.
日本法人は,は証明書だけのようだ.
COMODO
http://www.comodo.jp
そのCOMODOが運営しているファイル判定システムがこれ.
Valkyrie COMODO
https://valkyrie.comodo.com
怪しいファイルを見つけたら,そのシグネチャをとって検索すると,マルウェアかどうか判定してくれる無料のデータベースサービス..
Valkyrieをそのまま読むと「ヴァルキリー」になるので,我々?世代だとマクロスかな.ドイツ語読みの「ワルキューレ」で調べると,「北欧神話において、戦場で生きる者と死ぬ者を定める女性、およびその軍団のことである」とある...うまいこと命名するもんだ.
ファイルのシグネチャを入力.
SEARCHボタンを押すだけ.
やばいファイルのプロフィールが表示.そしてKill Chain Reportを選択すると次のような感じ.
最近のこの手のツールは,見栄えの良いグラフがちゃっと出てレポートしやすいのがいいね.あとは,どこにどんなツールがあって,どれくらいの信用度かを知り尽くすのが難しい.
日本法人は,は証明書だけのようだ.
COMODO
http://www.comodo.jp
そのCOMODOが運営しているファイル判定システムがこれ.
Valkyrie COMODO
https://valkyrie.comodo.com
怪しいファイルを見つけたら,そのシグネチャをとって検索すると,マルウェアかどうか判定してくれる無料のデータベースサービス..
Valkyrieをそのまま読むと「ヴァルキリー」になるので,我々?世代だとマクロスかな.ドイツ語読みの「ワルキューレ」で調べると,「北欧神話において、戦場で生きる者と死ぬ者を定める女性、およびその軍団のことである」とある...うまいこと命名するもんだ.
ファイルのシグネチャを入力.
SEARCHボタンを押すだけ.
やばいファイルのプロフィールが表示.そしてKill Chain Reportを選択すると次のような感じ.
最近のこの手のツールは,見栄えの良いグラフがちゃっと出てレポートしやすいのがいいね.あとは,どこにどんなツールがあって,どれくらいの信用度かを知り尽くすのが難しい.
三菱電機といえば,日本を代表する企業.でも,これ!っていう商品は思い浮かばない? 霧ヶ峰くらいかなぁ.ディスプレイも評判良かった時代があったが撤退.
そしてpiyologに詳しくまとめられています.
ログ消去もされていた三菱電機の不正アクセスについてまとめてみた
https://piyolog.hatenadiary.jp/entry/2020/01/20/172436
そうだ,軍事産業企業だから,零戦やら戦車,ミサイルなどMRJはうまく進捗してないけれど,たくさんやばいものがあるね.
防衛省を狙うより,その取引先周辺である三菱グループの方が狙いやすかったかも.
そしてこの時系列.
3ヶ月程度はかかっている.量が多すぎるということもあるだろうなぁ.続報を待つしか無いね.
そしてpiyologに詳しくまとめられています.
ログ消去もされていた三菱電機の不正アクセスについてまとめてみた
https://piyolog.hatenadiary.jp/entry/2020/01/20/172436
そうだ,軍事産業企業だから,零戦やら戦車,ミサイルなどMRJはうまく進捗してないけれど,たくさんやばいものがあるね.
防衛省を狙うより,その取引先周辺である三菱グループの方が狙いやすかったかも.
そしてこの時系列.
2019年6月28日 情報技術総合研究所のサーバーで不審ファイルを検出。
2019年秋 三菱電機の社内調査により情報流出の可能性が判明。
なんらかのセミナーや,公開勉強会をやっている主にネットベンチャーが,発表資料を公開するために利用していることが多いスライドシェア.
特に,オープンソース系の利用ノウハウや,運用技術についての発表資料が検索に引っかかることが多くて,便利にみているのだけれど,このサイト,アクセスが禁止されている大企業が多い.
LinkedInが運営しているので,普通に「SNS禁止」に引っかかるのかと思ったら,どちらかというとDropboxやOneDriveなどのアップローダという扱いかな.情報漏洩してしまうと.
そしてGithubもそう.ソースコードがGitHubを経由して流出してしまうという懸念点もあれば,逆にGitHub上に,あまり多くは語られてないけれど強力な脆弱性検査ツールが公開されていたりする.
脆弱性検査ツールは,それは表裏一体.ブラックハッカーが,突破口を見つけるための入り口として利用するためのツールになるわけだから,そういうものを持ち込もうとするアクセスを封じるという意味もある.
世の中にどれくらいのアップローダ・ダウンローダサービスがあるのか分からないけれど,それらを全部封鎖するのは大変だ.
セキュアなサイトしかアクセスできないようにするためのDNSサービスは有償・無償ともにいくつか存在するけれど,正規サービスで利用者のモラルに依存するような場合,封鎖の手立てはなさそうだ.
特に,オープンソース系の利用ノウハウや,運用技術についての発表資料が検索に引っかかることが多くて,便利にみているのだけれど,このサイト,アクセスが禁止されている大企業が多い.
LinkedInが運営しているので,普通に「SNS禁止」に引っかかるのかと思ったら,どちらかというとDropboxやOneDriveなどのアップローダという扱いかな.情報漏洩してしまうと.
そしてGithubもそう.ソースコードがGitHubを経由して流出してしまうという懸念点もあれば,逆にGitHub上に,あまり多くは語られてないけれど強力な脆弱性検査ツールが公開されていたりする.
脆弱性検査ツールは,それは表裏一体.ブラックハッカーが,突破口を見つけるための入り口として利用するためのツールになるわけだから,そういうものを持ち込もうとするアクセスを封じるという意味もある.
世の中にどれくらいのアップローダ・ダウンローダサービスがあるのか分からないけれど,それらを全部封鎖するのは大変だ.
セキュアなサイトしかアクセスできないようにするためのDNSサービスは有償・無償ともにいくつか存在するけれど,正規サービスで利用者のモラルに依存するような場合,封鎖の手立てはなさそうだ.
セキュリティ記事をよく書いているので?そういう広告が出るのだけれど,トレンドマイクロのこんなものがでてきました.
https://www.trendmicro.com/ja_jp/forHome/products/hw_onlinescan.html
オンラインスキャン for Home Network.家庭用ということで,サブネット上をネットワークスキャンして接続している端末の一覧を出すようなものかなと思ってダウンロードしてインストールし,スキャンを実行してみました.
思った通りの結果でした.
実行したマシンのWINDOWS81PRO,会社支給のGalaxyとヤマハのルータ.Connected Deviceとでているのは,Planexのドコデモセンサーです.
MACアドレスやホスト名から,機器を出しているけれど,そのトレンドマイクロのデータベースに無いものはConnected Deviceになるのだな.ヤマハのルータも機種名までわからないし.
しかし,ルータにアテンションがついているので気になってみてみたのだけれど...
続きはこちら.
http://www.ujp.jp/modules/tech_regist2/?TrendMicro%2FOnlineScanForHomeNetwork
https://www.trendmicro.com/ja_jp/forHome/products/hw_onlinescan.html
オンラインスキャン for Home Network.家庭用ということで,サブネット上をネットワークスキャンして接続している端末の一覧を出すようなものかなと思ってダウンロードしてインストールし,スキャンを実行してみました.
思った通りの結果でした.
実行したマシンのWINDOWS81PRO,会社支給のGalaxyとヤマハのルータ.Connected Deviceとでているのは,Planexのドコデモセンサーです.
MACアドレスやホスト名から,機器を出しているけれど,そのトレンドマイクロのデータベースに無いものはConnected Deviceになるのだな.ヤマハのルータも機種名までわからないし.
しかし,ルータにアテンションがついているので気になってみてみたのだけれど...
続きはこちら.
http://www.ujp.jp/modules/tech_regist2/?TrendMicro%2FOnlineScanForHomeNetwork
特定非営利活動法人日本セキュリティ監査協会という団体が,2020年のトレンドを発表してました.
監査人の警鐘 - 2020年 情報セキュリティ十大トレンド
https://www.jasa.jp/seminar/security_trend_top10.html
1位はランク外からの「自然災害によるIT被害の拡大」とあります.予測できない自然災害が多発する昨今.備えても仕方ない気もする.だって予測できないわけだから,逆になくてもどうにかなるような仕組みを準備すべきかな.紙で印刷しておくとかさ...
このランクを見ていると,前年のランク外がトップ10中8つある.それって精度としてどうなんかな.
監査人の警鐘 - 2020年 情報セキュリティ十大トレンド
https://www.jasa.jp/seminar/security_trend_top10.html
1位はランク外からの「自然災害によるIT被害の拡大」とあります.予測できない自然災害が多発する昨今.備えても仕方ない気もする.だって予測できないわけだから,逆になくてもどうにかなるような仕組みを準備すべきかな.紙で印刷しておくとかさ...
このランクを見ていると,前年のランク外がトップ10中8つある.それって精度としてどうなんかな.
2019年11月に「今現在,シマンテックはブロードコムに買収された影響があって,新規販売や追加ライセンス販売を凍結しているらしい.」と書いたけれど,実際にはさらにその先の買収が絡んでいたのね.
アクセンチュア、MSSなどシマンテックのサービス事業を買収へ
https://ascii.jp/elem/000/002/003/2003975/
アクセンチュアの人が書いたグランドデザインにはシマンテック製品入りがちだったし,赤坂インターシティというビルにアクセンチュアもシマンテックもいるので,違和感ないな.
シマンテック製品は,製品機能以前に,操作時の動作が重いので,そこをなんとかしてほしい.
アクセンチュア、MSSなどシマンテックのサービス事業を買収へ
https://ascii.jp/elem/000/002/003/2003975/
アクセンチュアの人が書いたグランドデザインにはシマンテック製品入りがちだったし,赤坂インターシティというビルにアクセンチュアもシマンテックもいるので,違和感ないな.
シマンテック製品は,製品機能以前に,操作時の動作が重いので,そこをなんとかしてほしい.
攻撃者の手口として,自分の思い通りに動くツールを送り込む事も多いけれど,現在はシグネチャで意図してないファイルがあるとつまみ出される.そして逆にOSの進化によって便利ツールが多くデフォルトで入っている現状がある.
LoLBin,Living Of the Land Binary(環境寄生)という戦術がある.シスコのTalosという脅威を研究している人たちのブログ.
Cisco Japan Blog
https://gblogs.cisco.com/jp/2019/11/talos-hunting-for-lolbins/
ここで上がっているコマンド.
・powershell.exe
・bitsadmin.exe
・certutil.exe
・psexec.exe
・wmic.exe
・mshta.exe
・mofcomp.exe
・cmstp.exe
・windbg.exe
・cdb.exe
・msbuild.exe
・csc.exe
・regsvr32.exe
昔からあるものもあれば,身に覚えのないものもある.powershell.exeやwmic.exeなどはスクリプト攻撃のベースになるものだけれど,csc.exeC#のコンパイラだったりして,これは.NET Frameworkに付いている.cdb.exeはデバッガだしそういうものが入っているというだけで,悪いことできそうな感じがするなぁ.
まずは,そういうものが本当に必要なのかどうか,いらなければ消す,そして実行を監視する仕組みを作るというのが大事でしょうね.
LoLBin,Living Of the Land Binary(環境寄生)という戦術がある.シスコのTalosという脅威を研究している人たちのブログ.
Cisco Japan Blog
https://gblogs.cisco.com/jp/2019/11/talos-hunting-for-lolbins/
ここで上がっているコマンド.
・powershell.exe
・bitsadmin.exe
・certutil.exe
・psexec.exe
・wmic.exe
・mshta.exe
・mofcomp.exe
・cmstp.exe
・windbg.exe
・cdb.exe
・msbuild.exe
・csc.exe
・regsvr32.exe
昔からあるものもあれば,身に覚えのないものもある.powershell.exeやwmic.exeなどはスクリプト攻撃のベースになるものだけれど,csc.exeC#のコンパイラだったりして,これは.NET Frameworkに付いている.cdb.exeはデバッガだしそういうものが入っているというだけで,悪いことできそうな感じがするなぁ.
まずは,そういうものが本当に必要なのかどうか,いらなければ消す,そして実行を監視する仕組みを作るというのが大事でしょうね.
複数の Apple 製品に解放済みメモリ使用 (use-after-free) の脆弱性
- カテゴリ :
- セキュリティ » 脆弱性情報/注意喚起
- ブロガー :
- ujpblog 2019/12/23 22:52
こんな脆弱性が話題.
複数の Apple 製品に解放済みメモリ使用 (use-after-free) の脆弱性
https://jvn.jp/vu/JVNVU95417700/
うちで関係ないのは,今年買ったiPad mini 5だけだな.
さて,Appleはどういう対応をしてくるのか...
iPhoneの修正困難な脆弱性 - 公開実証コードをフォレンジック企業が採用
http://www.security-next.com/110926/2
これによると,「物理的に端末へアクセスし、デバイスファームウェアアップデート(DFU)モードにする必要がある。」とあるので,すでに端末を,落としたりして手放した上で,中身をこじ開けられてしまうということだな.
「iPhoneを探す」をオンにしておいたら,DFUモードにする前に起動された時点でワイプするワンチャンがあるように思う.対策してないで亡くしたなら,もうどうしようもない.
概要
複数の Apple 製品で使用している SecureROM には解放済みメモリ使用
(use-after-free) の脆弱性が存在します。
影響を受けるシステム
プロセッサチップ A5 から A11 を搭載する次の製品
iPhones 4s から iPhone X まで
iPad 第 2 世代から 第 7 世代まで
iPad Mini 第 2 世代および 第 3 世代
iPad Air および iPad Air 2
iPad Pro 10.5 インチ および 12.9 インチ 第 2 世代
Apple Watch Series 1 から Series 3 まで
Apple TV 第 3 世代 および 4k
iPod Touch 第 5 世代 から 第 7 世代
複数の Apple 製品に解放済みメモリ使用 (use-after-free) の脆弱性
https://jvn.jp/vu/JVNVU95417700/
うちで関係ないのは,今年買ったiPad mini 5だけだな.
脆弱性のない製品への移行
本脆弱性は読み取り専用の SecureROM に存在するため、
ファームウェアアップデートなどによる対策ができません。
脆弱性を含まない製品へ移行してください。
※ Apple からは本脆弱性に関する情報が公開されていません。
iPhoneの修正困難な脆弱性 - 公開実証コードをフォレンジック企業が採用
http://www.security-next.com/110926/2
これによると,「物理的に端末へアクセスし、デバイスファームウェアアップデート(DFU)モードにする必要がある。」とあるので,すでに端末を,落としたりして手放した上で,中身をこじ開けられてしまうということだな.
「iPhoneを探す」をオンにしておいたら,DFUモードにする前に起動された時点でワイプするワンチャンがあるように思う.対策してないで亡くしたなら,もうどうしようもない.
10年ほど前から,facebookに登録しているのだけれど,数年前から自分の個人情報は排除した.メールアドレスも専用のものにしたし,携帯電話番号も消したし偽名に変更した.
ただ,こうも情報漏洩問題がでていると,消したはずの変更前情報も漏洩していると考えるのが正しいのだろうな.
システムを作る際に,変更前情報を取って置いたりするけれど,その回数はシステムによってまちまち.最小限は1回分なので,変えるときは2回〜3回行えば古い情報は消えるはずだけれど,SNSは一度帰るとしばらく変更できない制限があるので,うまくいかないな.
Facebookのユーザー情報がアマゾンのクラウドに“放置”、ずさんなデータ管理から見えてきたこと
https://wired.jp/2019/04/05/facebook-apps-540-million-records/
“大量のユーザーデータが保護されていない状態でアマゾンのクラウドサーヴァーに置かれていた”
フェイスブック利用者2.7億人の個人情報流出、ほとんどが米ユーザー
https://www.bloomberg.co.jp/news/articles/2019-12-21/Q2UC7ST0G1KY01
”ベトナムを拠点とするとみられるグループによって検索可能なデータベース上に掲載されていた。同グループはデータへのアクセス料を請求していたもようだが、コードの欠陥で誰にでも閲覧できる状態になっていたという。”
フェイスブックから4億人以上の電話番号が流出…何者かがネット上に公開
https://www.businessinsider.jp/post-198159
”9月4日のTechCrunchのレポートによると、パスワードで保護されていないサーバー上で、Facebookアカウントにリンクした電話番号が4億1900万件も発見されたと”
ここ一年だけでもこれだけ.facebookのwikipediaをみると,もう多すぎて載ってないみたいだw
それ以外にも.
12億人分もの個人情報がオンラインのサーバー上に誰でもアクセス可能な状態で保管されていたことが判明
https://gigazine.net/news/20191125-massive-data-leak-discovered/
4TB分のデータ.全国紙の朝刊1日分が1MBの容量と言われたいてこともあったけれど,ほとんどは画像や動画なんだろうな.
ただ,こうも情報漏洩問題がでていると,消したはずの変更前情報も漏洩していると考えるのが正しいのだろうな.
システムを作る際に,変更前情報を取って置いたりするけれど,その回数はシステムによってまちまち.最小限は1回分なので,変えるときは2回〜3回行えば古い情報は消えるはずだけれど,SNSは一度帰るとしばらく変更できない制限があるので,うまくいかないな.
Facebookのユーザー情報がアマゾンのクラウドに“放置”、ずさんなデータ管理から見えてきたこと
https://wired.jp/2019/04/05/facebook-apps-540-million-records/
“大量のユーザーデータが保護されていない状態でアマゾンのクラウドサーヴァーに置かれていた”
フェイスブック利用者2.7億人の個人情報流出、ほとんどが米ユーザー
https://www.bloomberg.co.jp/news/articles/2019-12-21/Q2UC7ST0G1KY01
”ベトナムを拠点とするとみられるグループによって検索可能なデータベース上に掲載されていた。同グループはデータへのアクセス料を請求していたもようだが、コードの欠陥で誰にでも閲覧できる状態になっていたという。”
フェイスブックから4億人以上の電話番号が流出…何者かがネット上に公開
https://www.businessinsider.jp/post-198159
”9月4日のTechCrunchのレポートによると、パスワードで保護されていないサーバー上で、Facebookアカウントにリンクした電話番号が4億1900万件も発見されたと”
ここ一年だけでもこれだけ.facebookのwikipediaをみると,もう多すぎて載ってないみたいだw
それ以外にも.
12億人分もの個人情報がオンラインのサーバー上に誰でもアクセス可能な状態で保管されていたことが判明
https://gigazine.net/news/20191125-massive-data-leak-discovered/
4TB分のデータ.全国紙の朝刊1日分が1MBの容量と言われたいてこともあったけれど,ほとんどは画像や動画なんだろうな.
データ消去会社から内部犯行による盗難したハードディスクですが,ネットオークションで販売しているから,トレースは簡単だろうな.これが秋葉原の露店とかだと足取りが取れない.不幸中の幸いかな.
