Feb 29, 2020

GRATINA KYF39 いろいろ

KYF39 by KYOCERA (KDDI)

京セラ製、KDDI系 ガラホの仕様、取説、テザリング、関連SIMのメモ

https://biz.kddi.com/service/mobile/product/kyf39/
おすすめ料金プラン
基本使用料 700 円/月(注2)ほか

企業秘密の多い事務所や工場や研究所など、セキュリティポリシーでカメラなどの利用を制限されている法人さま向けに、カメラのないモデルを別途ご用意しております。

GRATINA KYF39 (KYOCERA)

https://www.kyocera.co.jp/prdct/telecom/consumer/lineup/kyf39/
スペック、カタログ、取扱説明書、使い方ガイド

GRATINA KYF39 使い方ガイド 「便利な機能」

https://www.kyocera.co.jp/prdct/telecom/consumer/support/kyf39/guide/06/guide03.html
テザリング

GRATINA KYF39 (au)

https://www.au.com/support/service/mobile/guide/manual/kyf39/
取扱説明書(フルバージョン)ダウンロード

【事務手数料3,300円が無料】BIGLOBE UQ mobileエントリーパッケージ/格安SIMカード/データ通信専用(SMS対応)/au回線対応[iPhone/Android共通] VEK55JYV 

https://www.amazon.co.jp/BIGLOBE-UQ-mobile%E3%82%A8%E3%83%B3%E3%83%88%E3%83%AA%E3%83%BC%E3%83%91%E3%83%83%E3%82%B1%E3%83%BC%E3%82%B8-Android%E5%85%B1%E9%80%9A%E3%83%BBau%E5%AF%BE%E5%BF%9C-VEK55JYV/dp/B01LYS7IM4/ref=sr_1_1?adgrpid=70504614685&gclid=EAIaIQobChMIsKjF-fb25wIVDKmWCh3gMArNEAAYAiAAEgKB2_D_BwE&hvadid=356307070792&hvdev=c&hvlocphy=1009292&hvnetw=g&hvqmt=e&hvrand=67664781437098102&hvtargid=kwd-977043130512&hydadcr=9490_10352780&jp-ad-ap=0&keywords=%E3%83%97%E3%83%AA%E3%83%9A%E3%82%A4%E3%83%89sim+uq&qid=1582985095&sr=8-1
価格: ¥300

4G LTE Mobile Wi-Fi ルーター MF98N【SIMフリー】

https://www.amazon.co.jp/LTE-Mobile-Wi-Fi-%E3%83%AB%E3%83%BC%E3%82%BF%E3%83%BC-MF98N%E3%80%90SIM%E3%83%95%E3%83%AA%E3%83%BC%E3%80%91/dp/B00JJJFJKO/ref=sr_1_26?adgrpid=54054209515&gclid=EAIaIQobChMIxLTK9fX25wIVCK6WCh16tQi9EAAYAiAAEgKq5fD_BwE&hvadid=338551991506&hvdev=c&hvlocphy=1009292&hvnetw=g&hvqmt=b&hvrand=8236586296611101314&hvtargid=kwd-332964589846&hydadcr=10020_11030045&jp-ad-ap=0&keywords=sim%E3%83%95%E3%83%AA%E3%83%BC%E3%83%9D%E3%82%B1%E3%83%83%E3%83%88wifi%E3%83%AB%E3%83%BC%E3%82%BF%E3%83%BC&qid=1582984833&sr=8-26

UQ-mobile 契約用 エントリーパッケージ(microSIM/nanoSIM 共用)データ通信・音声通話 に対応 

https://www.amazon.co.jp/UQ-mobile-%E5%A5%91%E7%B4%84%E7%94%A8-%E3%82%A8%E3%83%B3%E3%83%88%E3%83%AA%E3%83%BC%E3%83%91%E3%83%83%E3%82%B1%E3%83%BC%E3%82%B8%EF%BC%88microSIM-nanoSIM-%E5%85%B1%E7%94%A8%EF%BC%89%E3%83%87%E3%83%BC%E3%82%BF%E9%80%9A%E4%BF%A1%E3%83%BB%E9%9F%B3%E5%A3%B0%E9%80%9A%E8%A9%B1/dp/B011FZRZSS/ref=sr_1_1?qid=1582985623&refinements=p_89%3AUQ+mobile&s=electronics&sr=1-1
価格: ¥99

UQ mobile 「UQモバイルデータチャージカード」を全国のコンビニエンスストアで販売開始 (2019/03/18)

https://www.uqwimax.jp/annai/news_release/201903181.html

新型コロナウイルスにHIVウイルスと類似したタンパク質、と主張するプレプリントが2日で取り下げ

ネットで見つけた刺激的記事と、その検証記事を書き留めておきます。
私の素人コメントも加えています。そのようなものとして読んでください。

欧州のウイルス専門家、新型コロナウイルスに「消すことのできない人工的痕跡」 (02/09)

https://www.epochtimes.jp/2020/02/51700.html

様々な事情で正確さが失われている可能性もありそう、というつもりで読む分には、分かりやすく勉強になる箇所もある。専門的な海外記事は、本人の弁~記者の理解度~編集の都合~翻訳の精度などで、元々のクォリティが変わってしまう事が起こりうるから。

『ウイルスの遺伝子組み換えによって新しいウイルスを生成したことは、「実験室で新しい非自然のリスクを作り出した」と警告しました』、これはごもっとも。
『SARSワクチンも遺伝子組み換え技術によって作り出された』のは、えっそうなの? Wikipediaには踏み込んだ記載は無い。『人間に安全性・有効性が確認されたワクチンは無い。2002~2003で終息』という程度。
『新型コロナウイルスの毒性が非常に強い』は、インタビュー時点2/9に分かっていた統計情報からは不適切だろう。

重症急性呼吸器症候群

https://ja.wikipedia.org/wiki/%E9%87%8D%E7%97%87%E6%80%A5%E6%80%A7%E5%91%BC%E5%90%B8%E5%99%A8%E7%97%87%E5%80%99%E7%BE%A4#%E6%B2%BB%E7%99%82
SARS 2002発生~2003終息の経過、ワクチン状況など確認できる。
予防策など、COVID-19と良く似ていて参考になる。
SARS-CoV-2なのだし、当然と言えば当然か。

新型コロナウイルスにHIVウイルスと不自然に類似したタンパク質が含まれている、と主張するプレプリントがbioRxivに掲載されるも、2日で取り下げ (02/04)

https://current.ndl.go.jp/node/40153
以下、引用箇所 字下げ
「自然界で偶然、起こるとは考えにくい」と主張していました。しかしこの論文に対しては多くの研究者等から手法や結果の解釈について批判のコメントが寄せられ、週末中の2月2日に著者ら自身によって取り下げられました

bioRxivには現在非常に多くの新型コロナウイルスに関するプレプリントが投稿されているものの、それらは査読を受けていない段階にあるものであって、なんらかの結論が出たものと解釈したり、臨床実践等に用いたり、ニュースメディア等で取り上げるべきではない、という注意喚起が表示されるようになっています。

Uncanny similarity of unique inserts in the 2019-nCoV spike protein to HIV-1 gp120 and Gag. Prashant Pradhan et al. bioRxiv 2020.01.30.927871; doi: 

https://doi.org/10.1101/2020.01.30.927871
withdrawn されてますね (02/29)

撤回情報のページ

https://www.biorxiv.org/content/10.1101/2020.01.30.927871v2
こちらもwithdrawn されてますね (02/29)

これがスパイク・タンパク質にある4つの重要なアミノ酸残基? この記事を見たら要注意。

原文(の旧バージョン)はこれ(↓)か?
https://www.biorxiv.org/content/10.1101/2020.01.30.927871v1.full.pdf

Quick retraction of a faulty coronavirus paper was a good moment for science(02/03)

https://www.statnews.com/2020/02/03/retraction-faulty-coronavirus-paper-good-moment-for-science/
新しいコロナウイルス2019-nCoVに対する恐怖が先週金曜日に広がり続け、科学者が吟味されていない仕事を投稿するプレプリントサーバーbioRxivに炎症性の新しい論文が登場しました。

タイトルで「不気味=Uncanny」という言葉を使用し、要約で「偶然ではない」と考えたため、著者はウイルスが何らかの形で人間によって操作されたと示唆していると考える人がいました。

ビジネスモデルをひっくり返す可能性のあるプレプリントサーバーを採用するのもよい考えです。

プレプリントサーバ

https://ja.wikipedia.org/wiki/%E3%83%97%E3%83%AC%E3%83%97%E3%83%AA%E3%83%B3%E3%83%88%E3%82%B5%E3%83%BC%E3%83%90
プレプリントの仕組みは良い点もたくさんあるようだが、掲載論文は査読が終わってないのだから、読む方に慎重な態度が求められる、ということ。

【注意】「新型コロナウイルスにHIVタンパク質が挿入」というインド論文の信憑性 (02/02)

https://www.jijitsu.net/entry/coronavirus-HIV-2019-nCoV

これ、実は文献まだ読んでないのですが、海外の尊敬する専門家が「あれはないわ」と言っていたので、読む気がなくなりました(笑)
— インヴェスドクター (@Invesdoctor) 2020年2月1日
日本語で運営されている"InDeep"という陰謀論サイトでもこの論文が扱われていることが確認できます。
ちなみに英語版Wikipediaでデイリーメール紙は引用禁止になっている。デマ新聞と見做されて。 https://t.co/6XWIw3FbGe
— JSF (@rockfish31) 2020年1月28日

「中国の武漢にSARSやエボラの研究施設を建設」という記事など、これまでに「生物兵器」 関連の陰謀論がささやかれていたために今回の論文を見て「やっぱりそうだったんだ」と考える人が居ます。
しかし、そもそもそのような内容の記事を出している所は英紙デイリーメールなど、日本で言えば「東京オリンピック中止」というタイトル詐欺をした"Buzzup!"や「なソゲ(なお、ソースはゲンダイ)」と揶揄されている日刊現代、リテラなどのフェイクサイトの類のメディアが出どころであったに過ぎません。

まとめ:HIVタンパク質が「人為的に」挿入された事を直ちには意味しない
  1. 問題の論文は「予稿」であり、査読されておらず科学的に正しいことの担保が取れていない
  2. 論文にはHIVウイルスのタンパク質が人為的に挿入されたとは直接的には書いていない(匂わせる記述は考察部分であり、事実を指し示すものではない)
  3. HIVタンパク質に「似たもの」という表現
  4. 悪質なサイト・陰謀論サイトが引用し、論文に書かれていない意味を付加して拡散している
  5. 論文に書いてあることが正しいとしても「人為的に挿入」された事を直ちには意味しないし、HIVウイルスと似てるに過ぎずHIVウイルスそのものであると直ちには意味しない

新型コロナウイルス(2019-nCoV)の表面スパイクにHIV類似の配列があるという論文に対する反応 (02/02)

https://togetter.com/li/1463472


Feb 24, 2020

setup SSL VPN Client for Sophos UTM

概要

(1)ネットワーク定義、ユーザ定義の後、
(2)ユーザ向けポータル機能を有効にして、
(3)当該ユーザとしてログインし、
(4)ovpnファイルをダウンロード。
(5)デバイス側でのセットアップを行う。

注、上記(2),(3)を面倒がって、管理者でpemファイルを取得しても成功しない。
 (1)の後は、そこさえ気を付ければ難しくないです。

参考にしたところ

Sophos UTM: Remote Access via SSL and VPN - Configuration Guides
https://community.sophos.com/kb/en-us/116038
ここにあるマニュアルを参照すれば良い(↓)

Remote Access via SSL (UTM 9, English)
http://www.sophos.com/en-us/medialibrary/PDFs/documentation/utm90_Remote_Access_Via_SSL_geng.pdf

Setup a Sophos UTM SSL VPN In 7 Simple Steps!
https://www.fastvue.co/sophos/blog/sophos-utm-ssl-vpn-setup-guide/
本家サイトよりこちらの方がPDFを開く必要がなく、手軽かも。
細かい手順は、手元と一致しなかった(下記、例)が、ハマるような難度でもないです。
(例、アンドロイド用に「インストール」しようとしても、ovpnファイルダウンロードのみしか行われない..等)

Feb 22, 2020

記事いろいろ、COVID-19関連

新型肺炎 相談窓口

https://www.google.com/search?q=%E6%96%B0%E5%9E%8B%E8%82%BA%E7%82%8E%E3%80%80%E7%9B%B8%E8%AB%87%E7%AA%93%E5%8F%A3&oq=%E6%96%B0%E5%9E%8B%E8%82%BA%E7%82%8E%E3%80%80%E7%9B%B8%E8%AB%87%E7%AA%93%E5%8F%A3

病名はCOVID-19、ウイルス名はSARS-CoV-2 (02/13)

https://medical.nikkeibp.co.jp/leaf/mem/pub/report/t344/202002/564301.html

COVID-19 Maps & visuals

http://www.cidrap.umn.edu/covid-19/maps-visuals

Novel Coronavirus Infection Map

https://hgis.uw.edu/virus/
中国、各行政区レベルで見れる。

日本も見れるマップ

https://www.healthmap.org/covid-19/
「一号機が、、、二号機は、、、」といった報道は分かりづらい。
せめてExcelにでもしてくれれば、
出来れば、感染確認場所、感染経路判明有無が、一覧化されていれば、
と思っていたところ、日本のマップを見つけました。
表記のupdate日付よりも、幾分データが古いようですが、助かります。

日本の方も頑張っておられるのを発見。

https://covid19-jp.com/

日本の状況が一目で! “新型コロナウィルス(COVID-19)感染マップ”が有志の手で制作 (02/18)

https://forest.watch.impress.co.jp/docs/serial/yajiuma/1236294.html#image3_s.jpg
『新規感染報告数の推移や新型コロナウイルスに関連するニュースへのリンクも掲載』

https://gisanddata.maps.arcgis.com/apps/opsdashboard/index.html#/bda7594740fd40299423467b48e9ecf6
以下、素人の考え。
一人から2.2人に感染能力があるので、感染拡大期は指数関数的な伸びがあるはず。
検出能力が機能しづらくなっていた地域・時期がありうるのに比べると、
グラフ中の"Total Recovered" は二月中旬まで、指数関数的。母集団数も十分で、ここは信頼できる傾向なのだろう。
ところが二月中旬以降直線的だったり、中国感染発見数との差が縮まり気味なのは、どう捉えるべきか。中国は緩やかな収束段階に至ったのであってほしい。日本は未だ感染が観測されそうな予感があるが。今は未だインフルエンザより圧倒的に少ない感染報告しか無いのだから、インフルエンザ対策をしよう。

--> 03/08追記ここから
感染しても、重篤に至るかどうか、単純計算しにくい何かがあるようだ。

3/8 14:03:02 現在、の各国感染確認者数/ 死亡者数/ 回復者数
イタリア 5,883/ 233/ 589
韓国   7,134/  50/ 118
イラン  5,823/ 145/ 1,669
ドイツ    800/    0/ 18
フランス   949/ 11/ 12

衛生意識、医療実態、栄養状態、年齢分布などによるのか。

ref. https://gisanddata.maps.arcgis.com/apps/opsdashboard/index.html#/bda7594740fd40299423467b48e9ecf6
--> 03/08追記ここまで
--> 02.24 追記ここから

新型コロナウイルス感染症まとめ (02/07)

https://hazard.yahoo.co.jp/article/20200207
都道府県別患者数など、私の知りたかった事が、ほぼここにまとめられていました。

私のお気に入りマップ

https://coromap.web.app/
患者さん一人ひとりの移動経路、経過まで見れるマップ。これが欲しかった。
--> 02.24 追記ここまで

以下は、100%納得してないものも含め関連記事を挙げておきます。

新型コロナウイルス 崖っぷちの日本に活路はあるか (02/17)

https://yomidr.yomiuri.co.jp/article/20200217-OYTET50026/4/

ダイヤモンド・プリンセス号。岩田教授の衝撃動画と問題の本質 (02/21)

https://webronza.asahi.com/politics/articles/2020022100002.html?page=3
『外部から来た岩田教授は「マネジメントの不在」として糾弾し、現場にいた高山医師は「現場の努力」として評価したのだと思われる ...
 この二つの見方は、同じものをどの方向から見ているかということであり、どちらが正しく、どちらが誤っているというわけではありません』

新型肺炎に「ゼロリスク」を求めてはいけない (02/19)

http://agora-web.jp/archives/2044381.html

自粛パニックで「新型コロナ不況」がやってくる (02/22)

http://agora-web.jp/archives/2044440.html

橋下徹VS池田信夫再び。新型コロナ対応「移動制限」の是非 (02/22)

http://agora-web.jp/archives/2044431.html

アリババ、新型肺炎の新たなAI診断技術を開発 正確度96% 中国 (02/19)

https://www.afpbb.com/articles/-/3268742
『このAIは、新型肺炎の疑いがある患者のCT画像を20秒以内に判読できる。
 新型肺炎患者の胸部CT画像の特徴は、片肺あるいは両肺にまだら状あるいはすりガラス状の結節陰影が見られるなどの微細な変化がある点だ。1人の患者のCT画像は約300枚もあり、肉眼で分析する場合、約5~15分かかってしまう。』 

新型肺炎で「神対応」台湾の天才IT大臣やエンジニア達に称賛の声 (02/07)

https://www.mag2.com/p/news/439197
わずか数日で薬局のマスク在庫状況のデータを公開

記事いろいろ、VPN hack, http-methods, enum4linux, cudahushcat

Fox Kitten Campaign (2020.02)

Widespread Iranian Espionage-Offensive Campaign

サマリー (02/16)
https://www.clearskysec.com/fox-kitten/

フルレポート
https://www.clearskysec.com/wp-content/uploads/2020/02/ClearSky-Fox-Kitten-Campaign.pdf


Iranian hackers have been hacking VPN servers to plant backdoors in companies around the world (02/16)

https://www.zdnet.com/article/iranian-hackers-have-been-hacking-vpn-servers-to-plant-backdoors-in-companies-around-the-world/
Pulse Secure、Palo Alto Networks、Fortinet、Citrixの企業VPNサーバ等へのハックについて。

イラン政府支援ハッキングユニットは「IT、通信、石油およびガス、航空、政府、およびセキュリティの各セクターの企業」を標的に。実力はロシア、中国、北朝鮮などと並びうる。

本APTグルーブは1-day vulnerabilityの悪用能力や、カスタマイズドマルウェア開発能力がある。2019年、Pulse Secure「Connect」VPN(CVE-2019-11510)、Fortinet FortiOS VPN(CVE-2018-13379)、およびPalo Alto Networksの「Global Protect」で開示された脆弱性を迅速に武器化した。後にCitrix "ADC" VPNで公開された脆弱性であるCVE-2019-19781も。
。。。だそうです。


Iranian Hackers Exploiting VPN Flaws to Backdoor Organizations Worldwide (02/18)

https://thehackernews.com/2020/02/iranian-hackers-vpn-vulnerabilities.html

最初の足場を獲得すると、C2サーバーと通信して、バックドアを植えるために使用できる一連のカスタムVBScriptファイルをダウンロードする

さらに、ウイルス対策ソフトウェアによる検出を回避するために、バックドアコード自体をチャンクでダウンロードする。これらの個々のファイルをつなぎ合わせて実行可能ファイルを作成するのは、「combine.bat」。

これらのタスクを実行して持続性を実現するために、Juicy PotatoやInvoke the Hashなどのツールを悪用して、高レベルの特権を獲得し、ネットワークを横切って移動する。

攻撃者が開発した他のツールには次のものがある。
・STSRCheck-ターゲットネットワークのデータベース、サーバー、および開いているポートをマッピングし、デフォルトの資格情報でログ記録することでブルートフォースするツール。
・Port.exe-定義済みのポートとサーバーをスキャンするツール。

攻撃者がlateral movement能力を獲得すると、攻撃者は最終段階に移動します:関連情報について、侵害されたシステムをスキャンし、(POWSSHNETと呼ばれる自己開発ツールを使用して)リモートデスクトップ接続を確立して、またはハードコードされたIPアドレスへのソケットベースの接続を開いて、ファイルを盗み出します。
The Hacker News はCVEへのリンクなど、使いやすい印象。

http-methods

https://nmap.org/nsedoc/scripts/http-methods.html
nmapのスクリプトでのhttp-methodsの検出について

enum4linux Package Description

https://tools.kali.org/information-gathering/enum4linux
Windows やSambaの概況調査ツール。
以前は www.bindview.comで enum.exeで同様の事が出来たのだそうだ。

Kali Linux 1.0.4リリースとenum4linux

https://ozuma.hatenablog.jp/entry/20130730/1375196315
enum4linuxの続き。Perlとのこと。

cudahashcat

https://books.google.co.jp/books?id=6XS3DwAAQBAJ&pg=PA298&lpg=PA298&dq=cudahashcat&source=bl&ots=2YKMJ-Expf&sig=ACfU3U0E6vl6xX8LmFP8eWNUda353EFAfQ&hl=ja&sa=X&ved=2ahUKEwjLv-GcgtvnAhUVzmEKHetdDqU4FBDoATACegQICRAB

Amazon EC2のGPUインスタンスでハッシュ解読をやってみる (2016-05-20)

http://inaz2.hatenablog.com/entry/2016/05/20/011353

Feb 13, 2020

記事いろいろ、APT1、CIA下の暗号機メーカ 他

・APT1による攻撃の後、標的とされた企業が辿った運命とは? (2019/08/23)
  https://blog.f-secure.com/ja/apt1-what-happened-next/
  『
このブログ記事は、APT1、SolarWorld、Westinghouse、ATI Metalsについて
何が起きたのかを紹介するためだけのものではなく、ビジネスリーダーがリスク
(特にサイバーリスク)をどのように見るべきかについて説明したもの ..

世界をリードするほどの大企業であっても、急激かつ深刻な結果をもたらすようになった ..
企業は、地政学的、経済的な文脈に沿って、自社及び潜在的な攻撃者にとって
価値を持つ情報は何かを考えるべき ..
  』

・‘The intelligence coup of the century’ ( Washington Post 02/11)
  
・国際的な暗号機メーカーがアメリカとドイツの諜報機関と協力して通信を傍受していたと判明 (02/12)
 https://gigazine.net/news/20200212-cia-controlled-global-encryption-company/
『冷戦後にドイツはクリプトの運営から手を引いてCIAがクリプトを引き取ったそうで、
2018年にはCrypto InternationalとCyOne Security AGという2つの企業に分割され、
CIAもクリプトから手を引いた』

・イラン 抵抗の三日月 謎の武装組織を追う (02/10)
  https://www.asahi.com/special/pmf/

Feb 9, 2020

43% of cloud databases are not encrypted: Palo Alto Networks

(02/07)
https://www.expresscomputer.in/cloud/43-of-cloud-databases-are-not-encrypted-palo-alto-networks/48745/

以下、機械翻訳から抜粋 -->

2月5日、Unit 42(Palo Alto Networks脅威インテリジェンスチーム)は、クラウド脅威レポートの2020年春版をリリースしました。

主な調査結果は次のとおりです。

ほぼ200,000の安全でないテンプレート

研究者は、重大度の高および中程度の脆弱性を持つ驚くべき数のテンプレートを発見しましたが、クラウド環境全体を危険にさらすのにそのような設定ミスは1つだけです。この高い数値は、以前のレポートで、クラウドインシデントの65%が顧客の設定ミスによるものであることが判明した理由を説明しています。
セキュアなIaCテンプレートが最初からなければ、クラウド環境は攻撃の機が熟しています。

クラウドデータベースの43%は暗号化無し

暗号化されていないデータは、ガラスの壁のある家を持つようなものです。 誰かが通り抜けて、内部で何が起こっているかを正確に見ることができます。
データの暗号化は、PCIやHIPAAなどの多くのコンプライアンス標準の要件でもあります。
VistaprintおよびMoviePassの最近の侵害は、データベースを暗号化することの重要性を強調しています。

クラウドストレージサービスの60%でログが無効

企業は、倉庫の半分以上がログブックを保持していないことを許容したり、出入口のセキュリティカメラを省略したりすることはありません。施設にアクセスした人を追跡することができなくなるからです。
ストレージロギングが無効になっていると、CloudHopperからFancy Bearまでの悪意のあるアクターがストレージシステムに侵入する可能性があり、誰も知らないでしょう。
ストレージ投票は、米国有権者記録の漏洩や全米信用連盟のデータ漏洩などのクラウドインシデントにおける損害の規模を判断しようとする場合に重要です。

クラウドワークロードの76%がSSH(ポート22)を公開

SSHサーバーをインターネット全体に公開するのは危険な行為です。
攻撃者は、クラウド環境へのリモートアクセスを提供するため、積極的にSSHサービスを標的にします。
セキュリティチームは、アカウントやパスワードなどの信頼ベースのアクセスモデルから、「信頼しない、常に検証する」というゼロトラストアプローチを具体化するものに移行することに焦点を当てる必要があります。

組織の69%がRDP(ポート3389)を公開

毒を選ぶ:RDPまたはSSH。 公開されている場合、これらのサービスのいずれかを使用すると、攻撃者は玄関を知らないときでも玄関をたたくことができます。研究者は、RDPを公共のインターネットに直接公開しないよう強くお勧めします。
現在、Microsoftが提供するPaaSサービスであるAzure®Bastionなど、多くの選択肢が存在します。警戒すべき上昇傾向は、レポート間で注意深く監視するものです。

組織の27%が古いバージョンのTransport Layer Security(TLS)を使用

TLS v1.1は2008年に廃止されました。PCIなどのコンプライアンス要件に違反することに加えて、組織は顧客のデータを危険にさらしています。
この数字が減少傾向にあることは、顧客のセキュリティとプライバシーにとって朗報です。

threatmap

これさえあれば先日の4社事案は防げたか? という事は、それぞれの方面に委ねるとして、直感的に分かりやすいネタとして、メモしておきます。

既知の攻撃のみがmapに表れているものと思われますが、
話題のstate-backed actor のstateに注目すると、意外に個性が表れているものも有る第一印象。

https://www.fireeye.com/cyber-map/threat-map.html

https://cybermap.kaspersky.com/

https://threatmap.bitdefender.com/

https://threatmap.checkpoint.com/


Feb 7, 2020

Sophos UTM Home renew license

読まずにやっていてはまりかけたので、メモ

・ASG Home Use License expired renew?

i. MyUTMにログイン ( https://myutm.sophos.com )

ii. 右肩の 'License Management'をクリック。下にスクロールして 'Home User License’ セクションへ。

iii. license ID をクリックして、「license information」を開く

iv. 下にスクロールして、'Action' セクションへ。そして、'Delete License'をクリック。
すると「license will be expired」と言われる。
(注、expiredした後に作業に取り掛かった。手元ではUTMproxy機能は死んでいたが、
VPN機能自体は有効だった。vpn経由 & proxy不使用な環境下で作業可だった。)
'Ok expire license'をクリック。
自動的にライセンス管理ページへ飛ぶ。

v. 下にスクロールして、'Home User License’ セクションへ。そして、'Create License'をクリック。
新しい Home User Licenseが生成される。

vi. license ID をクリックし、スクロールして、‘Actions’ へ、さらに ‘Download License File’を選択。
このファイルを保存し、UTMアプライアンスにアップロードする

・参考、Download Sophos UTM Home Edition and follow instructions:


記事、神戸製鋼所とパスコにサイバー攻撃

・神戸製鋼所とパスコにサイバー攻撃 防衛情報標的か (02/06)

神戸製鋼所は168月にウイルス感染を確認。駆除するとともに情報セキュリティーの強化に着手したが、その途上の176月に再び不正アクセスがあった。

防衛省関連の情報や個人情報を含むファイル250件が不正アクセスを受けた。情報流出は確認されていないが、可能性は否定できないという ..

パスコは185月に不正アクセスを確認。複数の外部専門機関に調査を依頼したところ、2年以上前の164月ごろから侵入の痕跡があることが分かった ..
個人情報や取引先の情報流出は確認されていない

これで4社全部の発表がそろった格好。
今回の2社は、教訓が読み取れない。

・関連


--> 02.08 追記

・Japanese Defense Contractors Kobe Steel, Pasco Disclose Breaches (02/06)

 https://www.bleepingcomputer.com/news/security/japanese-defense-contractors-kobe-steel-pasco-disclose-breaches/
『However, while Kobelco's official statement doesn't mention it, Nikkei reports that 250 files with data related to the Ministry of Defense and personal info were compromised after the company's servers were hacked.』

・Four firms with links to Japan's Defence Ministry hacked (02/08 JST)

 https://www.straitstimes.com/asia/east-asia/four-firms-with-links-to-japans-defence-ministry-hacked
政府は、機密性の高い機密情報が漏洩していないことをすぐに強調しましたが、事件の多さは、サイバー攻撃に対抗する日本の準備に対する疑問を提起しました ..

「これは氷山の一角に過ぎない」と彼は言った。 「ネガティブな宣伝の恐怖からハッキングされたことを報告していない他の多くの企業があります。さらに悪いことに、ハッキングされたことさえ知らないためです。」
 』



・Defense Ministry lists Kobe Steel, Pasco as victims of cyberattacks (02/07)

 http://www.asahi.com/ajw/articles/13108916
「政府は、どの情報を公開できるかについてのガイドラインを設定するなど、企業がサイバー攻撃による被害をより簡単に開示できる基盤を作成する必要があります」と岩井氏は言います。

Feb 5, 2020

ベリングキャット、記事

・ベリングキャット ~市民が切り開く調査報道~
 http://www6.nhk.or.jp/wdoc/backnumber/detail/?pid=190813

・公開情報から事実を追求する市民ジャーナリスト〜英べリングキャット (2019/12/13)
 https://comemo.nikkei.com/n/nbf2f22a19390

bellingcat osintで YouTube検索してみた。いずれ見るためのメモ
 https://www.youtube.com/results?search_query=bellingcat+osint

下記も面白そう。後で見てみる
https://analytics.moz.com/pro/link-explorer/overview

https://community.riskiq.com

Feb 1, 2020

新型コロナウイルス (2019-nCoV) 関連の記事一覧

https://news.google.com/https://news.yahoo.co.jp/ を見ていると、煽り気味のタイトルが増えてきた印象。

時間があったら、kjmさんの所を見る方が、冷静に対処を学べる良記事に出会えます(2/24、リンク追加、時系列に並べ替え)。
(01/29)
http://www.st.ryukoku.ac.jp/~kjm/security/memo/2020/01.html#20200129__2019ncov

(01/30)
http://www.st.ryukoku.ac.jp/~kjm/security/memo/2020/01.html#20200130__2019ncov

(01/31)
http://www.st.ryukoku.ac.jp/~kjm/security/memo/2020/01.html#20200131__2019ncov

(02/04)
http://www.st.ryukoku.ac.jp/~kjm/security/memo/2020/02.html#20200204__2019ncov

(02/05)
http://www.st.ryukoku.ac.jp/~kjm/security/memo/2020/02.html#20200205__2019ncov

(02/07)
http://www.st.ryukoku.ac.jp/~kjm/security/memo/2020/02.html#20200207__2019ncov

(02/10)
http://www.st.ryukoku.ac.jp/~kjm/security/memo/2020/02.html#20200210__2019ncov

(02/14)
http://www.st.ryukoku.ac.jp/~kjm/security/memo/2020/02.html#20200214__2019ncov

(02/17)
http://www.st.ryukoku.ac.jp/~kjm/security/memo/2020/02.html#20200217__2019ncov

新型コロナ撲滅に“社畜ウイルス”の壁 (東京スポーツ, 2/17)
https://www.tokyo-sports.co.jp/social/1744992/

(02/18)
http://www.st.ryukoku.ac.jp/~kjm/security/memo/2020/02.html#20200218__2019ncov


各地の感染者数等が地図でザックリわかる(↓)

Coronavirus 2019-nCoV Global Cases by Johns Hopkins CSSE

https://gisanddata.maps.arcgis.com/apps/opsdashboard/index.html#/bda7594740fd40299423467b48e9ecf6
誤差あり、注意。日本の新聞発表と、ここの計数タイミングがズレているのかも。

素人考えですが『一人当たり2.x人に感染させうる』ので、同記事右下のグラフで、中国本土は指数関数的な曲線(オレンジ色)なのは、理屈に合うように思います。

中国本土以外の感染者数をプロットしなおしてみると下図になりました。
ここで、過敏に入国制限に踏み切った地域と、後手気味の地域とを分離してプロットできれば、そのような水際対策が上手く行って横這いか、上手く行かず指数関数的か、傾向の違いが表れるような気がします。

・急速に広がる新型コロナウイルス SARSやMERSと何が違うのか (02/01)

https://graphics.reuters.com/CHINA-HEALTH-VIRUS-LJA/0100B5C43D9/index.html
『新型コロナウイルスは拡大のペースが急速なこと、信頼性の高い診断検査が導入されたばかりであることを考えると、どのような動きをするか確実に分かるまでにさらに数週間かかると、専門家は警鐘を鳴らす』
--> 02/07 追記ここから 

「新型肺炎」日本の対策は大間違い (02/04)

どこまで本当なのか判断できないが(幾分刺激的な表現もあるが)下記引用箇所は納得できる。
医療従事者の場合、重症化率は6.7% …感染者数が正確にわかる …国内に新型コロナウイルスが入ってきていなければ..水際対策を最優先するのもありえる。国内で感染が広がっていれば..感染対策の目的は国内での流行を食い止め、死者を減らすことに変更すべき
--> 02/07 追記ここまで


【更新】新型コロナウイルス関連情報を装うマルウェア (01/31-02/05)

https://blog.kaspersky.co.jp/coronavirus-reached-the-web/26781/

ファイル名には、ウイルスから身を守る手段の解説動画であるかのように匂わせる文言や、最新情報であることをうたう文言が使われています。中には、事実無根のウイルス検出方法をうたうものまであります。このような悪意あるファイル名には、たとえば次のようなものがあります。
2019 Novel Coronavirus.lnk
5 INFOGRAFIA CORONAVIRUS.lnk
Affiche proce_dure de De_tection Coronavirus (3).pdf.lnk
How to prevent Coronavirus(1).mp4.lnk
これらのファイルには、ワームからトロイの木馬に至るまで、さまざまなマルウェアが含まれています。

Hackers using coronavirus scare to spread Emotet malware in Japan (02/01)

https://www.techrepublic.com/article/hackers-using-coronavirus-scare-to-spread-emotet-malware-in-japan/

IBMが発見した電子メールは...岐阜県、鳥取県、大阪府にコロナウイルス患者の報告があるとの虚偽主張により、Emotetを含むMicrosoft Word文書を読むよう被害者に促しています
...
攻撃者は生死の状況を利用して人々をtrickしてマルウェアをダウンロードさせることが多く、AIや脅威インテリジェンスベースのブラックリストはこの種の攻撃を阻止できません。
...
「Emotetが発見から6年後も脅威であるなら、明らかにマルウェア検出と境界防御の何かが役に立っていない。
 最良の防御は、承認され、検証された通信のみが許可されるようにネットワークをマイクロセグメント化してゼロ信頼を有効にすることです。
 それによってEmotetがこれほど多くの損害を与えることを防ぐことができます」


関連

その後の話題はこちらに挙げた。
https://akasaka-taro.blogspot.com/2020/02/covid-19.html

Tick、Daserf、RAT Loader

三菱電機 情報漏えいの件(過去記事)の背後にいるとされるTickグループと関連マルウェアについて、記事から以下に抜粋します。

・日本の製造業を狙うTickグループ

https://www.macnica.net/mpressioncss/feature_05.html/
 『
TTP(Tactics, Techniques and Procedures)より考察する脅威の検出と緩和策
マルウェアの配送について

海外拠点向けには、日本とは異なる現地文化を考慮したメール訓練や注意喚起が必要であると思われます。又、マルウェアの配送よりも後フェーズの攻撃、侵入拡大フェーズで使われるTickのテクニックが検知できるかの確認も有効と考えられます。
攻撃について
Officeのゼロデイ攻撃や新しい脆弱性を悪用した攻撃は観測されていませんが、攻撃者の侵入し易さをコントロールするという点で、日常的なパッチマネージメントは有効な緩和策になると思われます。特にインターネットからアクセス可能な機器の脆弱性は優先して対応する必要があります。
インストールされるRAT、遠隔操作(C&Cについて)
検出が困難になっています。メモリ上でのみ悪性コードが動くタイプのローダーには、メモリスキャンによる検出が可能です。
正規サイトを改ざんしC&Cとして悪用するため、シグネチャベースのネットワークセンサーでは検出が困難になっています。
但し、攻撃者の変更が難しい(もしくは注意が行き届いていない)と思われるケースもあり、固定のユーザエージェントを使う検体も存在します。その場合は、その特徴を踏まえたルールで検出が可能です。
ネットワーク検出観点でいうと、アノマリな通信を検出するNDR(Network Detection & Response)製品に効果が期待できます。
侵入拡大・目的実行
特に標的型攻撃がEDR製品の導入前に始まっていたケースでは、足場をつくるフェーズが完了しているため、製品が持つ検知パターンでの検出漏れが懸念されます。
EDR群の製品を導入した場合には、定期的に収集したログに含まれる正規コマンドの実行状況やそのコマンドがIT技術者以外の所有する端末によって頻繁に実行されていないかどうかといった視点で分析して、攻撃の検出漏れがないように注意...


・CYBER GRID VIEW Vol.2 (2016.08.02)

  https://www.lac.co.jp/lacwatch/report/20160802_000385.html
  ラックの研究開発部門であるサイバー・グリッド・ジャパンによるマルウェアDaserfのレポート(PDF)から抜粋。
 『
Daserfの検出方法 
Daserf は C2 サーバとの通信を確立するために、10 秒間に 1 回程度の頻度で C2 サーバ上にある特定の ASP ファイルに向け、HTTP POST 通信を発生させます。
プロキシログには同一の PC から発生した大量の POST 通信が記録されることになる ...
通信を行う際に HTTP ヘッダに付与される User-Agent は、マルウェアの中にハードコードされており、最近の Daserf のバージョンでは "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; SV1)"
Autoruns6などを利用して Windows 起動時に自動実 行するスタートアップやサービスのレジストリ値を確認する方法です。
図 10では、Daserf がAdobe ARMというファイル名を利用し、スタートアップ時に AdobeARM.exeが実行するよう設定されていることが見て取れます。
Daserf を利用する攻撃者の手口
季節のグリーティングメールに見せかけた標的型メールにファイルを添付し、それを開かせるように誘導してマルウェアに感染させます。
メールの受信者が添付ファイルを開くと、図 16のような Flash アニメーションが現れますが、その裏ではマルウェア ( ダウンローダ ) が実行されることになります。
攻撃者は、クリスマスやお正月というイベントに乗じて標的型メールを送り付けていると見られます。
Microsoft Office の脆弱性であるCVE-2015-2545 を突いた手法も利用されている可能性が高い ...
おわりに
Daserf による被害範囲や漏えいした可能性のあるデータはある程度、特定することができます。事案対応から痕跡として見つかったマルウェアを解析し、マルウェアによって暗号化された通信をデコードすることで特定しますが、そのためにもプロキシサーバの通信ログはもちろん、DNS サーバの通信ログも日常的に記録しておくことを推奨します。加えて、ディスク容量やシステムの負荷などの問題もありますが、通信パケットについてもスイッチングハブやルータのミラーポートを利用して記録しておくとなお良いでしょう。


・標的型攻撃の実態と対策アプローチ日本を狙うサイバーエスピオナージの動向 2018年度下期

https://www.macnica.net/file/mpressioncss_ta_report_2019.pdf
 『
エグゼクティブサマリー
機密情報を窃取するサイバーエスピオナージの被害は、即座に影響が出ない上、技術盗用などの実被害との因果関係が表面化しづらいため、経営者の耳に届かず、現場のマネージャーで処理されてしまうことが多々あります。しかしながら、窃取された機密情報は中国政府や中国企業の手に渡ることで、結果として日本企業の産業競争力を徐々に低下させていくことになります。
2018年度に観測された標的業種と目的
メディア、シンクタンク by APT10, DarkHote: 政治、外交上の機密情報の入手
製造業(主に化学、重工、海洋技術)by Tick, WINNTI, BlackTech: 設計図、製造技術など知的財産の入手
テレコム by Taidoor: 顧客情報、将来の攻撃インフラ情報の入手

RAT Loader
RATローダーは、DLLファイルで、攻撃者によりサービスプログラムとして登録され、rundll32.exe経由で起動する ...
下記パラメータで起動されるものがありました。
rundll32.exe "c:\program files\google\googletoolbarnotifier\5.12.11510.1228\swg32.dll", win7load SCPolicys
このDLL自体はRAT機能を有しておらず、通信先からダウンロードするコードをメモリ上で実行するローダータイプのマルウェアである
TTPsより考察する脅威の検出と緩和策
攻撃について
Officeのゼロデイ攻撃や新しい脆弱性を悪用した攻撃は観測されていませんが、攻撃者の侵入し易さをコントロールするという点で、日常的なパッチマネージメントは有効な緩和策になると思われます
インストールされるRAT、遠隔操作 (C&Cについて)
現在のところ、インシデントレスポンスや脅威の検出においては、攻撃者の変更が難しい (もしくは注意が行き届いていない)と思われる、TickグループDatperのMutex値やUser-Agent値、DragonOKのUser-Agent値などがあり、攻撃者のRATやC&C通信の特徴を利用する事で脅威の検出が可能です
侵入拡大・目的実行
EDRの監視ログを積極的に分析するハンティングにより攻撃が発見されました。
スレットハンティングの必要性
センサーによるパターンドリブンな検出が悪性(Malicious)な攻撃痕跡だけを拾い上げるのに対し、ヒューマンドリブン、つまり人間(アナリスト)による検出は、パターンドリブンなアプローチでは誤検知のリスクがあって検出対象とならない痕跡を、分析対象として積極的に拾い上げることからスタートします。