良記事を見つけたので、メモ↓
https://nekochansecurity555.hatenablog.com/entry/2020/07/08/200739
『
ファイルのアップロードは本当に最後の手段であり、対策部門や上司などの許可を取ったうえで、行うべきであります。明らかにマルウェアとわかるものであっても安易にアップロードすることはお勧めしません。なぜなら、標的型攻撃に使用されるマルウェアの場合、組織の内部NWに合わせて調整している可能性もあるため、アップロードして第三者がダウンロードしてしまうと、攻撃者しか知らない内部NW情報が知られてしまい。また別の攻撃者に利用されることも考えられるからです。
鎌田 浩毅さんが必読古典50冊を厳選し紹介した本書は、通勤など細切れ時間の活用にも重宝する。
久々に取り出して見ていたら、次の一説が目に留まった。
『シュリーマンの外国語学習方法
サイト不正アクセス、特に「改ざん」に着目して、この約10年を主な記事で振り返る。
・JR西、サイト改ざん被害 「フィッシングサイト」に誘導 特急スケジュール公開停止 (2019/09/04)
https://www.nikkei.com/article/DGXMZO49386740U9A900C1000000/
『IDをだまし取る偽サイト「フィッシングサイト」に誘導され、アンケートの回答やクレジットカード情報の入力を求められる ..
現在は公開を停止。被害の報告は受けていない .. 』
・JR東日本のサイトが2週間改ざん、ページ内検索でウイルス感染も (2009/12/24)
https://internet.watch.impress.co.jp/docs/news/339343.html
『閲覧者のPCがウイルスに感染した恐れ ..
該当ページに約5万件のアクセス ..
改ざんされたページは、いずれも「Gumblar」ウイルスの亜種に感染する不正なページへリダイレクトするスクリプトが埋め込まれていた。
ウイルス感染の有無を確認したり、駆除を行う方法として、トレンドマイクロのオンラインスキャンツールをサイト上で紹介 .. 』
・最高裁のサイト改ざん 尖閣?画像に中国国旗 (2012/09/15)
https://www.nikkei.com/article/DGXNASDG1404Y_U2A910C1EA2000/
『いつどのように改ざんされたかは不明 ..
日本の政策に反対するハッカー集団などが中央省庁のサイトを攻撃する例が相次いでいる。
最高裁や財務省などのHPが不正侵入され、情報が改ざん .. 』
・トヨタのWebサイトが改ざん、不正プログラムを自動実行する状態に (2013/06/19)
・弊社ホームページの改ざんに関する調査結果のご報告(続報)(2013/07/02)https://xtech.nikkei.com/it/article/NEWS/20130619/486291/
http://www.toyota.co.jp/announcement/130702.pdf
『ニュースコンテンツを閲覧した場合 .. 不正なプログラムが自動的にインストール、実行される ..
パソコンの利用を継続した場合、パソコン内部に保管されている情報や ウェブサイト利用時に入力する ID・パスワードが抜き取られる可能性 ..
お客様情報の流出は、現在のところ確認されておりません。』
・KADOKAWAのWebサイト改ざんが判明、閲覧者はデータを詐取される可能性 (2014/01/17)
https://xtech.nikkei.com/it/article/NEWS/20140117/530515/
『マルウエアはパソコンでのオンラインバンキングやクレジットカード企業サイトの利用状況を常時監視して、情報を詐取 ..
一部の地方銀行などで対策がなされておらず、不正送金などに結びつくリスクがある。
シマンテックはWebサイト運営者に対して、サーバー関連ソフトウエアや侵入検知システム(IPS)などを最新の状態に保ち、改ざんを防ぐよう呼びかけている。』
・KADOKAWAのサイト改ざん報道に感じた違和感は何なんでしょうか (2014/01/17)
https://news.yahoo.co.jp/byline/yamamotoichiro/20140117-00031714/
『(シマンテック社の発表を)一般ユーザーが見て何が起きるかを理解することはかなりむつかしい ..
最終的にエンドユーザーに対してどう接するか ..
知っていたのにそれを知らせずにいたシマンテックの企業姿勢も問われるべき ..』
・日本郵便へ不正アクセス、国際郵便マイページ登録者情報2万9千件流出 (2017/03/15)
https://cybersecurity-jp.com/news/15140
『「国際郵便マイページサービス」サイトにおいて発生した不正アクセスにより、登録していた顧客情報(メールアドレス)29,116件と、サイト上で作成した送り状1,104件が流出 ..
Apache Struts2の脆弱性が原因
』
・WordPressの脆弱性突く攻撃が激増、6万以上のWebサイトで改ざん被害 (2017/02/09)
https://www.itmedia.co.jp/news/articles/1702/09/news064.html
『WordPressは1月26日に公開した更新版の4.7.2で複数の脆弱性を修正した。
(旧版の脆弱性は)認証を受けないユーザーがWordPressサイトのコンテンツやページを改ざんできてしまう .. 』
・都税支払いサイト受託運営のGMO-PG、不正アクセスに関する詳細を報告 (2017/03/14)
https://cybersecurity-jp.com/news/15105
『都税納付サイト被害状況
1.クレジットカード情報流出の可能性:676,290件
2.カード番号・カード有効期限の流出:61,661件
3.2に加えメールアドレス:614,629件
住宅金融支援機構被害状況
1.クレジットカード情報流出の可能性:43,540件
2.カード番号、有効期限、セキュリティコード、その他個人情報:622件
3.2に加えメールアドレス、加入月:27,661件
4.2に加えメールアドレス:5,569件
5.2に加え加入月:9,688件
(Apache Struts2の脆弱性が原因)』
・先週のサイバー事件簿 - JR東日本「えきねっと」で不正アクセス被害 (2020/03/09)
https://news.mynavi.jp/article/20200309-security/
『スマートフォンアプリ「えきねっと」において、パスワードリスト攻撃による不正アクセスがあった ..
個人情報が流出した ..
3,729件が不正ログイン被害に遭った。
流出情報の詳細は、氏名、住所、電話番号、クレジットカードの下4桁など。』
・先週のサイバー事件簿 - ゆうちょ銀行のmijica、不正ログインと不正利用が深刻化 (2020/10/13)
https://news.mynavi.jp/article/20201013-security/
『mijica専用Webサイトへの不正なアクセス ..
不正ログイン人数は1,422人。画面遷移が異常に早く機械的操作による可能性が高い ..
不正取得の可能性がある情報は、mijica会員情報の氏名(漢字・カナ)と生年月日、およびカード情報のカード番号下4桁と有効期限。
不正ログイン被害に遭った人には、損害を全額補償 ..』
・ホームページの改ざんについて中身から対応までを紹介 (02/07)
https://www.meti.go.jp/policy/netsecurity/downloadfiles/guide2.0.pdf
経営者が認識すべき3原則
- 経営者は、サイバーセキュリティリスクを認識し、リーダーシップによって対策を進めることが必要(成長のためのセキュリティ投資)
- 自社は勿論のこと、ビジネスパートナーや委託先も含めたサプライチェーンに対するセキュリティ対策が必要
- 平時及び緊急時のいずれにおいても、サイバーセキュリティリスクや対策に係る情報開示など、関係者との適切なコミュニケーションが必要
サイバーセキュリティ経営の重要10項目
指示9 ビジネスパートナーや委託先等を含めたサプライチェーン全体の対策及び状況把握
監査の実施や対策状況の把握を含むサイバーセキュリティ対策の PDCA について、系列企業、サプライチェーンのビジネスパートナーやシステム管理の運用委託先等を含めた運用をさせる。
システム管理等の委託について、自組織で対応する部分と外部に委託する部分で適切な切り分けをさせる。
対策例
この半年で二度ほど、宅配系 SMS版 phishing が手元に届いた。事例ご紹介。
「お荷物のお届けにあがりましたが不在の為持ち帰りました。ご確認ください」で始まり、その後にリンクが有る(実際に届いたのは下図)。
赤色下線部がいかにも怪しい。
https://akasaka-taro.blogspot.com/2018/07/emotet-web-scanner.html
「〇〇様、新しいデバイスからお客様のアカウントへのサインインが検出されました。」とのメール受信。「24時間以内にご連絡いたします。」としながらも、具体的アクションは示されない。その下に『アカウント管理』なるボタンがあって、押したくなってしまう文面だ。
アマゾン利用がこのところ多かったし、実際、自分に届いてみると、怪しいと分かっていても妙に気になる事を実感した。しかも日本語も自然だし、筆者が過去に見た物より随分やり方が上手い。急いでる時だったら、うっかりリンク等をクリックしていたかも。
以下、実物スクショ。
(a)〃:正規MXに不一致:無視(b)〃:正規MXに一致:次の案内メールを待つ or パスワードを変えるのもアリか
苫米地英人さんの『日本サイバー防衛&国防白書!:~誰も書かなかったサイバー防衛&国防の身も蓋もない話〜』読了
以下、印象的な箇所を引用。
webのニュースサイト・エコーニュースが下記のような公開質問(抜粋)をNTTデータに送付しています。
大手メディアも大手データ通信社も大手銀行も、なぜかLINEを疑おうとはしません。
国民の資産やその流れ、暗証番号などほとんどすべてが丸裸にされて、他国から覗き放題になってしまうのです。
---
マイナンバーはアメリカで言えば、ソーシャルセキュリティナンバー(SSN)に匹敵するもので、このSSNを使った詐欺は毎年、1兆円を超える被害が発生しています。これだけ多額になるのは高額商品が購入できるからで、不動産や車などのローンがこのナンバーを使えば組めてしまいます。被害者は、見覚えのない多額の請求がローン会社から来て初めて自分のナンバーが流出したことを知ります。また、毎年春には税金の還付金詐欺が恒例行事のように発生しています。本人に成りすまして税務署に住所変更、銀行口座変更を行って還付金を横取りするのです。このほか、保険金詐欺などありとあらゆる詐欺事件がアメリカでは発生し続けています。
---
SSNは他人に見せてはいけないし、流通させるなどもってのほかなのです。ですから、東京のアメリカ大使館から直接データにアクセスすることもできないようになっていたわけです。
https://www.sankei.com/west/news/201013/wst2010130029-n1.html
『元社員と中国企業の接点となったのは、世界で6億件を超える登録があるとされるビジネス用のSNS「LinkedIn(リンクトイン)」。利用者は会社名や役職、学歴などを公開し、互いの仕事に役立つ情報を交換 ..
元社員も自身の仕事内容などを明らかにしており、そこに接触してきたのが中国の通信機器部品メーカー「潮州三環グループ」の社員 ..
スマートフォンのタッチパネルなどに使われる電子材料「導電性微粒子」の製造工程に関する積水化学の技術情報をメールで送信した ..
平成27年に不正競争防止法を改正し、国外で使用する目的で営業秘密を取得したり、漏洩したりした場合は、国内に比べて重い罰則を科せる ..
同年から、産業スパイの手口や対策を国と民間企業が情報交換する「営業秘密官民フォーラム」を定期的に開催。経済産業省は営業秘密を守るためのハンドブックを公開し、パソコンから印刷や記録媒体への書き込みができないようにしたり、社員と秘密保持契約を結んだりするなどの対策を促している。
死刑や無期懲役もあり得る諸外国のスパイに対する罪と比べて抑止力が弱い ..
中国は2017年に国家の情報活動への協力を義務付ける「国家情報法」を施行 .. 外国の技術を国内に取り込む機会をうかがっているとされる。
』
https://www.sankeibiz.jp/workstyle/news/201014/cpd2010140614003-n1.htm
『不正競争防止法 ..
平成27年の改正で大幅に罰則を強化。
海外への漏洩事件では、罰金の上限を個人では3千万円(国内は2千万円)、
法人では10億円(同5億円)に引き上げた。さらに民事訴訟では被害企業の立証責任を軽減した。
』
https://www3.nhk.or.jp/news/html/20201014/k10012662201000.html
『「自分の研究が評価されていなかった。情報を渡す代わりに中国の会社の情報を入手して新たな製品を開発し、上司や会社を見返したかった」などと供述 ..
専門家「内部の関係者通じた流出が非常に多い」
平成26年に東芝の提携先の企業の元社員が半導体の研究データを不正に韓国企業に提供したとして、逮捕されたことなどを受けて、平成27年に「不正競争防止法」が改正 ..
流出はその後も続き、ことしに入ってからもソフトバンクの元社員が機密情報を不正に引き出した ..
「守らなければいけない技術やノウハウをはっきりさせたうえで、従業員や他の企業との間で秘密保持に関する契約関係を明確化したり、従業員の処遇を改善したりして対策をとっていくべきだ」
』
https://www.asahi.com/articles/ASNBG00KPNBFPTIL02N.html
『大阪府警が13日 .. 不正競争防止法違反容疑で書類送検した。
相手側は中国にいるとみられ、捜査できなかった .. 』
読了。
BellingcatのTechniqueとは、趣の異なる本。
政治情勢の各論は、まさに「There are no facts, only interpretations.」との印象だが、特に数年前の中東情勢は、おさらいに丁度良い。また、Tactics や、その背景の思考実験にも。
巻末の参考文献を挙げておく。
TEHRAN: Iran's Analysis on Stuxnet Cyber Worm Attack! Part 1/3 Oct 5, 2010
https://www.youtube.com/watch?v=heLoR08y3S4
Iran displays captured US drone (2011/12/08)
https://www.youtube.com/watch?v=g-jdL7FyYDA
Iran ignores U.S. request to return drone (2011/12/13)
https://www.cbsnews.com/news/iran-ignores-us-request-to-return-drone/
中東かわら版 (2015/04/03)
https://www.meij.or.jp/members/kawaraban/20150403143057000000.pdf
イラン:P5+1との核交渉で枠組み合意
Nuclear Power in Iran (2020/07)
https://www.world-nuclear.org/information-library/country-profiles/countries-g-n/iran.aspx
米陸軍が中国DJI製ドローン使用禁止 サイバー攻撃に脆弱性
https://jp.reuters.com/article/us-china-army-drone-idJPKBN1AO0LO
相次ぐ米軍艦の衝突事故、サイバー攻撃が原因との声も (2017/08/23)
https://www.afpbb.com/articles/-/3140171?act=all
N.Korean GPS Jamming Threatens Passenger Planes (2012/05/10)
http://english.chosun.com/site/data/html_dir/2012/05/10/2012051000917.html
https://en.wikipedia.org/wiki/Richard_A._Clarke
"If you spend more on coffee than on IT security, then you will be hacked. What's more, you deserve to be hacked."
急増する中国人の米国出産 (2015/10/07)
https://mainichi.jp/articles/20151007/mog/00m/030/019000c
中国がインターネットユーザー全員の実名による登録を義務付けへ (2016/06/01)
中国:個人のVPN遮断を通信各社に命令、期限は来年2月-関係者 (2017/07/11)
https://www.bloomberg.co.jp/news/articles/2017-07-11/OSWIW46TTDSC01
http://ysugie.com/archives/5257
一方、本書では
『アメリカ人はアメリカンクラブ、ドイツ人はジャーマンクラブなどを持っており、厳重な警備で現地人から隔離したところで飲み食いしているのに対し、日本人やイタリア人はそういうものが無い、つまり狙いやすいところを狙っただけ』
と紹介されている。
トランプ米大統領の上級顧問、架空の「虐殺」を「伝えなかった」マスコミ批判 (2017/02/06)
https://www.bbc.com/japanese/38877077
本書では
『ドナルド・トランプ米大統領の上級顧問でトランプ政権の「顔」のひとりとなっているケリーアン・コンウェイ氏は2月3日夜放送の米MSNBCとのインタビューで、実際には起きていない架空の「虐殺」を取り上げて、それを「伝えなかった」マスコミを批判した。ツイッターなどソーシャルメディアでは広くこの発言がからかわれ、後にコンウェイ氏は「言い間違えた」とツイートした。』
とのこと。
某所で紹介されてた。メモ
・IntelligenceX(https://intelx.io)
・Phonebook.cz(https://phonebook.cz/)
--> 10/31 追記
こちらも、便利なサイトリンク集↓
https://qiita.com/00001B1A/items/4d8ceb53993d3217307e
この一年で、Googleは 稼働率99.99%キープ、M365は 99.9%に?
https://www.itmedia.co.jp/news/articles/2009/25/news084.html
ダウンタイム、約一時間。
「主因は、一部のGoogleフロントエンド(GFE)での断続的な障害..
GFEにはソフトウェアと操作手順の両方で多層防御を設けているが、対策を追加した」
この一年で他にダウンが無いとすれば一年の稼働率は99.9886%
https://www.itmedia.co.jp/news/articles/2009/29/news065.html
原因は「コードの問題」と発表された。
https://www.itmedia.co.jp/news/articles/2010/08/news056.html
http://Downdetector.com のマップでは北米が真っ赤
徳丸さんのウェブセキュリティ講座から、引用
参考 https://youtu.be/D2ZK2z7hCj8?t=427
LinkedInのパスワード漏洩事例
Jeremi Gosney氏、540万件/650万件のハッシュを一週間で解読
monstorous machine with NVIDIA GTX 1080 Ti GPUx8 だと
(左: Gosney氏のマシン -> 右: 本機)
MD5 hash 180G/s -> 257G/s
SH1 hash 63G/s -> 95G/s
ref. https://www.servethehome.com/password-cracking-with-8x-nvidia-gtx-1080-ti-gpus/
パスワード認証に対する誤解
・オンラインクラックとオフラインクラックの混同
・LAN上の攻撃と、インターネットWebサイトに対する攻撃の混同
ほか
Adobe のパスワード漏洩事例
パスワード推測が容易だった背景は
「Adobeが対称鍵暗号を選択。ECBモード選択。全てのパスワードに同じ鍵。
ユーザが平文で保存していたパスワードのヒントが手掛かりに」 by Gosney氏
また同じパスワードの暗号化結果も同一だった。
まとめ
・ウェブサイトのパスワード管理に対する誤解
・オンラインクラックとオフラインクラックを区別しよう
・ウェブサイトに対してむやみに「総当たり攻撃(Brute Force Attack)」ができるわけではない
・なので、パスワードリスト攻撃(Credential Stuffig Attacks)のような効率の良い攻撃手法が使われる
・GPUによる高速なハッシュ値総当たりの脅威
・単純なハッシュ値ではパスワードを保護したことにならない
・ではどうすればよいか(続く。。。だそうです)
