Nov 27, 2020

SMiShing 事例 11/26

 「楽天市場でご購入ありがとうございます。商品発送状況はこちらにてご確認ください」とのSMSが届いた(下図、参照)。



A.アクション、判断

  1. 「スパムの疑い」で警戒度を高め、一呼吸して次へ
  2. 買い物の覚えがない
  3. リンク先はduckdns[.]orgで、楽天や有名宅配業者と無関係。
  4. 先日も同リンクを付けたspamがあった。
  5. 「スパムとして報告」して終わり。当該電話番号を着信拒否にはしなかった。この人もまた被害者かもしれない、と考えたので。

B.おまけ

追加で以下をやってみた。試す場合は、自己責任でお願いします。

  1. CD起動のPC(VM)でリンク先アドレスにアクセスした。
  2. ブラウザ画面が真っ赤になり、「Google Safe Browsing」が「このサイトでマルウェア感染するかも」と警告してくれた(対応が早くなってきた気がする。関係者の皆さん、ありがとうございます。)。
  3. マルウェアをダウンロード・チェックしたいので、先に進む。
  4. Webサーバが GET リスエストに応答しない。
  5. ここから 11/27 追記 → あいかわらず、GET リクエストは timeout。マルウェアはゲットできず。終了。 





Nov 23, 2020

AWS API脆弱性、Palo Alto 5G セキュリティ機能、SAD DNS、PAN-OS auth bypass 他

Hackers Stealing and Selling VoIP Access (11/09)

https://www.bankinfosecurity.com/hackers-stealing-selling-voip-access-a-15325
Check Point Research has uncovered a large and likely profitable business model that involves hackers attacking and gaining control of certain VoIP services, which enables them to make phone calls through a company's compromised system.

Xiaomi says fixed glitch on weather app (10/19)

https://telecom.economictimes.indiatimes.com/news/xiaomi-says-fixed-glitch-on-weather-app/78751344
Chinese phone brand, on Monday, claimed that it has fixed the technical glitch on its weather app because of which Xiaomi smartphones were not displaying the weather of Arunachal Pradesh.

AWS Flaw Allows Attackers to Find Users' Access Codes (11/20)

https://www.bankinfosecurity.com/aws-flaw-allows-attackers-to-find-users-access-codes-a-15408

Researchers have uncovered a vulnerability in 22 application programming interfaces across 16 Amazon Web Services products that can be exploited to compromise basic information on the user and gain access to details of cloud accounts, according to researchers at Palo Alto Networks' Unit 42.

Mitigation Steps

Because there are no observable logs in a potential victim's account, it's difficult to restrict fraudsters from cataloging identities, but using good IAM security measures can help in addressing such threats, Unit 42 notes. 

..

Unit 42 recommends the following several steps to mitigate this issue:

  • 非アクティブなユーザーやロールをブロックすることで攻撃の対象を減らす。
  • ユーザ名やロール名にランダムコードを追加して推測しにくくする
  • IDプロバイダとフェデレーションでログインしてAWSアカウントに追加ユーザーが作成されないようにする。
  • すべてのアイデンティティ認証活動を監視する
  • すべてのユーザーとIAMロールに二要素認証を実装する。


AWS APIs can be abused to leak information (11/19)

https://www.techradar.com/news/aws-apis-can-be-abused-to-leak-information



Amazon Web Services APIs can allegedly be exploited to steal user data (11/17)

https://siliconangle.com/2020/11/17/amazon-web-services-apis-can-allegedly-exploited-steal-user-data/


Palo Alto Networks 5G Security Fuses Firewalls, SDN

https://www.sdxcentral.com/articles/news/palo-alto-networks-5g-security-fuses-firewalls-sdn/2020/11/

Palo Alto Networks today rolled out new 5G security capabilities for enterprises and service providers. Specifically, it added understanding of 5G protocols and network interfaces to its firewalls, and says this, combined with its SDN and distributed cloud security, allows it to secure 5G networks, services, applications, and devices.


Palo Alto Networks and PwC deliver MDR services to Hong Kong enterprises (11/19)

https://securitybrief.asia/story/palo-alto-networks-and-pwc-deliver-mdr-services-to-hong-kong-enterprises

Palo Alto Networks and PwC have expanded their partnership with the shared goal of delivering managed detection and response (MDR) services to enterprises in Hong Kong.


Palo Alto Networks and PwC extend partnership, deliver cyber defence solution (11/03)

https://securitybrief.asia/story/palo-alto-networks-and-pwc-extend-partnership-deliver-cyber-defence-solution


Brace for DNS Spoofing: Cache Poisoning Flaws Discovered (11/18)

https://www.bankinfosecurity.com/brace-for-dns-spoofing-cache-poisoning-flaws-discovered-a-15389

Fixes Arriving to Safeguard DNS Against Newly Found 'SAD DNS' Side-Channel Attack


Serious VPN vulnerability found in popular business networking software (11/12)

https://www.techradar.com/news/serious-vpn-vulnerability-found-in-popular-business-networking-software

During an internal security review, Palo Alto Networks discovered an authentication bypass vulnerability in some versions of their PAN-OS software. The vulnerability can be exploited to gain access to restricted VPN network resources.


CVE-2020-2022 PAN-OS: Panorama session disclosure during context switch into managed device (11/11)

https://security.paloaltonetworks.com/CVE-2020-2022

An information exposure vulnerability exists in Palo Alto Networks Panorama software that discloses the token for the Panorama web interface administrator's session to a managed device when the Panorama administrator performs a context switch into that device. This vulnerability allows an attacker to gain privileged access to the Panorama web interface. An attacker requires some knowledge of managed firewalls to exploit this issue.

Severity: HIGH

Solution: This issue is fixed in PAN-OS 8.1.17, PAN-OS 9.0.11, PAN-OS 9.1.5, and all later PAN-OS versions.


Nov 14, 2020

NHK クローズアップ現代+ 「テレワークが危ない」を見て

先日の番組をザッと文字おこしした。漏れ抜け間違い、悪しからず。

「※」は筆者のコメントや注記。


◆概況

 報告されたサイバー攻撃 去年の3倍に急増

 ・取引先の実在人物を装ったウイルスメール → 事例1へ

 ・個人のPCを入口に会社に不正アクセスしようとしている → 事例3へ

 ・英語の脅迫文「ファイルはすべて暗号化されている」 → 事例2へ

  生徒の進路情報が漏洩

 ・企業活動に影響。情報漏洩や生産停止など

  三菱重工(※今年は三菱電機だろう?と思ったが、事例があった *1)、ホンダ


*1  在宅勤務時 SNS経由で社用PCが感染、社内ネットワーク接続で被害拡大(三菱重工業) (08/14)

 https://scan.netsecurity.ne.jp/article/2020/08/14/44439.html


4月29日に..在宅勤務時に自宅から社内ネットワークを経由せずに外部ネットワークへ接続しSNSを利用した際に第三者から送付されたウイルスを含んだファイルをダウンロード..社有PCが感染

5月7日には当該従業員が出社し社内ネットワークに接続..

5月18日に社内ネットワークを通じ感染が拡大、

5月21日に同社グループ名古屋地区のサーバから外部不正通信を検知し調査を行った..

5月22日に不正アクセスのあった機器が判明

5月22日に、不正アクセスのあった機器をネットワークから遮断する等の初動対策を実施した後、通信ログ等の解析を開始、

6月16日にはパケット情報を分析し解読と精査を開始、

7月21日には流出を確認した情報の精査が完了した。

※大企業だからここまで出来た


◆事例1、取引先の実在人物を装ったウイルスメール

 ・テレワークを狙うウイルス ※EMOTETはコロナ前から。以前も今も慎重さが必要

  予防的統制

   過去のメールへの返信の形(アドレス、本文) → 本物と思いやすい

   添付ファイルが(無味乾燥な)英文字羅列  → 不審と気づけた

  発見的統制

   会社でセキュリティが機能していると、比較的早く気付ける

   自宅で『セキュリティが不十分』だと、、、

    気づかないうちにPC内の情報を抜き取られる

    別のウイルスが次々に送り込まれ、PC乗っ取られ操作されることもある

    →結果、会社のシステムまで侵入され機密情報漏洩につながることもある


 ・9月以降、メール型ウイルス「EMOTET」が流行

  顧客情報等の流出が急増

  インタビューは、、、

   「怖い、怖い」(※BGMも恐怖をあおっていた)

   「職場であれば『こんなメール届いてるから気を付けた方が良い』と言えるが、、」


◆事例2、本来限られた人しかアクセスできないはずが、第三者に侵入された学校のケース

 (※先のメール事例とは別物と分かり難い始め方で、しばらく混乱した。見せ方の工夫を)


 事案

  職員が出勤してPCを開けると英語の脅迫文が送り付けられていた

  生徒の進路情報が攻撃者に漏洩

  「ファイルはすべて暗号化されている。解除してほしければ我々に連絡するように」

  「生徒さんの大事な情報なのでショックが大きかった」


 背景、原因

  サーバの保守管理の為に、業者のリモートアクセスを可能と設定した

  設定に不備があり、第三者もアクセスできる状態

  (※ID・パスワード無しって事? どうやって突破された?)

  このため、侵入されたのではないかと見られている

  (※モヤモヤ感が残るが、一般の視聴者向け番組なので、このあたりが限界か)

 

 事後の経過

  高校は攻撃者とは連絡を取らず、警察に通報

  (※間違いとも正解とも断じられないが、日本の警察に連絡して解決できるのか?)

  暗号化されたファイルの復旧は未達

  「迷惑していると分かったら、さらに付け込まれると考え、このような対応」

  (※犯罪組織に資金供給しない点は評価できる。番組は解決策に触れないまま、先に進む)


◆事例3、「テレワークサーバが人質に。"身代金よこせ"」、不動産中小企業事例

 取引先情報、銀行口座まで暗号化された

 0.0850BTC≒10万円支払え


 背景、原因

  テレワーク急遽対応の為、社内専用だったハードディスクをインターネットに接続

  設定に不備

  さらにパスワードも購入時のまま


 事後の経過

  「信用問題になり会社が倒れかねない」とビジネスライクに求められた

  身代金支払い

  ※暗号解除。漏えい情報削除は? 公開や転売の禁止契約は?


◆対策

 Q: 「メール見破りは難しいのでは?」

 A: 攻撃者視点で考える。

大量の攻撃メールをばらまいて、ひっかかるのを待っている。

「やり取りの中で『本当にこんな返信があったのかな?』と考え、(PC操作の前に)慎重に判断する」

「おかしいと思ったら電話を掛けて確認する」

※「攻撃者視点」は良いお話。防衛戦略は敵の攻撃コストを高めること。Kill Chain, Multiple Layer Protection


◆対策1、無線LANの脆弱性対策

 設定を誤ると他の人に傍受される


 具体策

・通信経路を暗号化

「Windowsで確認可能。私もやってみらた簡単でした」 ※簡単なものは、いずれ簡単に破られる

「WPA2あるいはWPA3なら傍受されにくい」※ WEP→WPA→WPA2→WPA3。ゲーム機のレガシー仕様に注意

※便利さと脆弱性は比例

※Wi-Fi不可避なら、Wi-Fiルータは定期的に買い替える

・無線LANパスワード

簡単なパスワードは推測される恐れ

・ルータの管理徹底

ファームウェアを最新に保たないと攻撃を受ける(攻撃が成功する)場合がある

管理用パスワードもデフォルトから変更しておく

・フリーWi-Fiは管理が出来ていない恐れがある

※MACアドレスでのアクセス制御も完璧とは言えない。

※いろいろ大変なWi-Fiを避けて家庭は有線のみ、も選択肢に


◆事例4、ログイン画面での仕組みに不備があり、誰でも情報を見られる事案が多発している

※対策の話の途中でまた事例の話になり、流れが分かり難くなっていた

「ログイン画面が誰でも見られる」※だからログイン画面として機能するのでは? と思ったが

番組では、パスワードアタックの実験を公開。インターネット接続の後、頻繁に不正アクセスの試みがなされていた

※IDが一覧で誰でも見れる、さらにIDとパスワードだけの仕組みだったので、攻略容易だった、と言いたかった模様

30か国以上からパスワード試行されていた


◆対策実践

 番組内で企業への対策呼びかけが始まる・・・

 ※TV制作会社の社会貢献をPRしようという意思を感じる

 ※民放でCMだらけの中で見ていたら、もっとイライラしたかも


◆対策実践1、関東の自動車関連会社

 サーバの在庫管理情報が外部から見えてしまっていた。

 攻撃されればサーバ停止の恐れがある ※漏洩リスクが重大リスク

 

 対策、システム更新するよう提案

 対応、すぐに対応 ※RFP、システム設計、競争見積もり、稟議などの手順を踏んだのか?

  ※簡単に(短期間で)出来る、と誤解する視聴者・経営者が出てこないか?


◆対策実践2、関西の学校法人

 通信教育のデータ保管サーバが外部からアクセス可能

 原因、古いプログラムが動いている

侵入されるリスクにつながっている

 気づき

先月別のシステムの異常アクセス負荷を不審に思っていた

※非常連絡網は整備しているか? タイムリーに連携できているか?

 番組側からの情報提供

データ漏洩や暗号化されるリスクを認識するに至る

 対策、アクセスを制限し、古いサーバを更新するよう提案

 対応、学校側はすぐにセキュリティを強化した 

※ 直ぐ出来るなら、なぜもって早く、していなかったのか?


◆問われるサイバー攻撃への対策

 傾向

攻撃は増え続けている。

認識していたものの、コストを考えると対策が出来ていなかった、という組織もあった。

 対策

・OSの更新

・アクセス制限


 だれが攻撃しているのか?

攻撃文は、欧米で使われているものと、今回高校に届いたものが似ている。

旧ソ連諸国の言語で動くサーバでは攻撃を止めるという特徴がある

リモート接続の設定が甘いサーバを集中的に狙う

※誰だったの?


 課題

しっかりしたシステムを導入するには、コストも時間も掛かる

中小企業等担当者向けテレワークセキュリティの手引き(チェックリスト)(初版)総務省

https://www.soumu.go.jp/menu_news/s-news/01cyber01_02000001_00080.html


◆結論

テレワークの仕組みは攻撃者にとってもアクセスしやすい便利なもの

リスクを認識して、適切に使って、新しい働き方を実現すべき

提供側も、使いやすく、間違いを犯しにくい製品・サービスを提供すべき


※感想

※恐怖を煽りつつ分かり難く制作し、職場等で話題にして理解を深めるよう誘導し、国民へのIT統制浸透を図る高等戦術か? 関係の方々には辛口コメントで済みません。ただ日本は自動車産業が組み立て産業化したら、ITくらいしか可能性無いんじゃないか? だから皆でもっとリテラシーを高めていかないと、という思いもあり、辛口にしています。

※避けたいのは「我が社は大丈夫か?」と現場を疲弊させる事。

※問題は「時間とコストをかけて安全設計と運用を回すべきなのに出来ていなかった」事。

※多くの大企業の現場は時間・コストを掛けてきているはず。あと一歩足りないのは、経営層がITセキュリティ強化をコミットする事。

 関西、関東の大企業は地震を契機にBCPの一環でテレワーク環境も整備してきたと想像する。

 とすると、決定的に足りないのは、IT予算を割けない中小や、業績が低迷しているところか?

 そうした組織が「自組織内資源にアクセスする為のテレワーク環境構築」というのは、IT施策方向性が違っている気がする。教員向けの管理資料満載のプライベートクラウド、授業ストリーミングのパブリッククラウドや、それらへの補助金・支援金・費用免除制度、僻地へのグーグル衛生通信ルータ(500$/月)or 5Gルータの費用減免制度、日本発プラットフォーマーへのファンディングなど、できないか?

 課題もあるが、ビジネスチャンスもあるんじゃないか。


Nov 7, 2020

Firefox does not open .onion websites

It's the easiest and safest to use Tor Browser package, but if you need to prefer Firefox for some reasons, try it as follows ...

1. sudo vi /etc/resolv.conf

nameserver 127.0.0.1

# nameserver 127.0.0.53

    and verify if it's working in the way like ...

%dig @127.0.0.1 -p53 www.google.com 


2. #/etc/init.d/tor restart

    and verify if it's working in the way like ...

%ps -ef | grep tor


3. Configure network.proxy.socks_remote_dns true

3-1. Launch Firefox web browser, type about:config in the address bar and press Enter.

3-2. After clicking on the “I’ll be careful, I promise” button, proceed to Firefox advanced settings manager.

3-3. In the search box type network.proxy.socks_remote_dns to find the setting we need.

3-4. Make sure the value of this setting is set to true. If the value is false, then double-click on this setting to switch it back to true.


4. Configure proxy 

In the Preferences of Firefox, at Network Settings, click "settings" and configure SOCKS Host localhost Port 9050 (with Manual proxy configuration automatically activated) .


That’s it. Now Firefox will be able to open all sites that operate using the .onion top level domains.


FYI:

network.dns.blockDotOnion hasn't matter in my environment.

Both "true" and "false" can work with the socks proxy.


References:

Ref.1 Firefox does not open .onion websites 

Ref.2 https://akasaka-taro.blogspot.com/2017/10/tor-browser.html


Nov 4, 2020

memo: 「マインドハッキング―あなたの感情を支配し行動を操るソーシャルメディア―」

クリストファー・ワイリーさん著「マインドハッキング―あなたの感情を支配し行動を操るソーシャルメディア―」(原題は「Mindf*ck」)を読んでいる。今1/3くらい。


きっかけは次のビデオの本書紹介。2016年のFacebookでのCAの件は、本書で、もっと知りたくなった。

SNSと心理戦争① 今さら聞けない“世論操作”(2020年10月29日

https://www.youtube.com/watch?v=tDx6uttbaYc


SNSと心理戦争② フェイスブックの“闇”とは(2020年10月29日)

https://www.youtube.com/watch?v=jE9VSH8fejs


人の特性をBig Dataから5つの変数でモデル化(Oceanモデル: openness to experience, conscientiousness, extraversion, agreeableness and neuroticism)した上で、最も確実に結果に影響しそうな層にアプローチする事がゲーム展開上有利になる、ということらしい。

これは選挙に留まらず、消費行動を含む集団行動を合理的に予測し、結果に影響を与えうる、と言っているのだから大変である。

2016年、ケンブリッジアナリティカはやり玉に挙げられ、今は原型をとどめていないのだと思うが既に解散しているが、トランプさんの選挙参謀は有権者データを持っていたから、2020年選挙でもこれだけ追い上げてきているのかも。

ロジックの細部に興味がわくが、本書は登場人物同士の人間関係をスリリングに描く事に力点が置かれていて、ロジックにたどり着けるかどうか。

--> 11/12 追記
読了。
本書の概要は、こちら(↓)の梶谷さんの書評で、うかがい知れる。

「トランプ大統領誕生」と「ブレグジット」の裏にはこの男がいた!

私は「動かせる票は数%程度であり、3対7で負ける状況を51対49でひっくり返す程ではないのでは?」という気がする。
公開困難な事情があるのもしれないが、数字での影響度評価が無いのが残念なところだ。

中国の未来
仮にテックジャイアントが国家を上回る程の力を持つようになると、民主的国家は軒並み脆弱性を露呈することになる。
ところが共産圏、特に中国は一定数の共産党員を役員に配するなど、西側では考えられない国家統制が強力に機能しており、テックジャイアントと共産党が共に発展する状況が続くのだろう。これは中国国民にとって、また周辺国にとってどうなるか、引き続き注視するほかない。

日本の脆弱性
米国に多くを依存し、多くを無批判に受け入れ、自分たちの手で状況を変えていこうという気概の薄い日本は、同様のマインドハックで骨抜きにされるリスクが一層高いのではないか。マスコミによるファクトチェックが機能しておらず、フェイクニュースに振り回されやすく、国民の分裂を招き易い構造があるからだ。

GDPRの妥当性
著者は「法規制について立法府への提言」として次の4つを挙げている。
1 インターネット版建築基準法
2 ソフトウエアエンジニアの倫理規範
3 インターネット公益事業
4 デジタルコモンズの受託者責任(スチュワードシップ)
大いに頷けるアイデアである。
思えば、GDPR登場時、制裁金の額の巨大さに驚愕したのだが、今になってみて欧州人のリスク感受性に脱帽である。

--> 11/17 追記

関連記事

The Social Dilemma | Official Trailer | Netflix (08/27)

This Is How Social Media Is Destroying Your Life - The Fake Reality (2019/07/16)

あなたの知らない「監視資本主義」の世界 (10/21)

新疆ウイグル問題が暗示する民主主義体制の崩壊......自壊する民主主義国家 (11/13)
『新疆ウイグル問題についての報道は前回の香港ほど偏っていないが、それでも国連で多数の国が中国を支持しているという事実はあまり重要視されていない。香港の問題に関して多数が中国を支持していることを指摘した以前の記事にも書いたが、日本にいる我々には世界の多数派が見えにくくなっている懸念がある。
...
必要なのは新しい民主主義を作ることだ。これまでと同じ民主主義を守ることは困難であり、この状況を打開することはできない。』


Nov 3, 2020

memo: 台湾'天才'大臣 オードリー・タン直撃、「日本の若者へ」  【あさチャン!】

TV番組でのインタビューがYouTubeに挙がっていた。

特に印象的なのは、このあたりから(↓)

https://youtu.be/AkBBKkRDULc?t=1801


気に入ったので、文字におこしてみた。

私の聞き取り

My dad would tell me that don't accept any doctrines or dogma from anyone including from him to creatively question everything.

And if I'm so sure of my opinion is right, he would use Socrates method to reveal that it is only right under certain conditions.

So I think the main lesson is that there is no individual that can hold whole of truth.

Truth is something that we must piece together like a puzzle through conversation and listening together.


Google翻訳

私の父は、すべてを創造的に質問するために、彼を含む誰からも教義や教義を受け入れないようにと私に言いました

そして、私の意見が正しいと確信している場合、彼はソクラテス法を使用して、特定の条件下でのみ正しいことを明らかにします

ですから、主な教訓は、真実を完全に保持できる個人はいないということだと思います。

真実は私たちが会話と一緒に聞くことを通してパズルのようにつなぎ合わせなければならないものです。


DeepL翻訳

父は私に、父を含めた誰からの教義やドグマも受け入れるな、創造的に何事にも疑問を抱けと言っていました。

そして、自分の意見が正しいと確信している場合は、ソクラテスの方法を使って、ある条件の下でのみ正しいことを明らかにしてくれました。

だからこそ、真実の全体を把握できる個人は存在しないということが、一番の教訓だと思います。

真実とは、私たちが一緒に会話をしたり、聞いたりして、パズルのように組み立てていかなければならないものなのです。


あとがき

to不定詞の翻訳は、Googleの方が教科書的。

硬めの日本語への翻訳に、「~してくれる」など情のこもった感じなどは、DeepLが気に入っていて、両者読み比べたりする今日この頃。


※ 関連 「座右の古典」のメモ



Nov 1, 2020

memo 「40歳でGAFAの部長に転職した僕が20代で学んだ仕事に対する考え方」

寺澤伸洋さんの「40歳でGAFAの部長に転職した僕が20代で学んだ仕事に対する考え方」読了。

著者が読者目線まで降りてきて、楽しく雑談するように仕事の極意を説く。

99%は納得するが、次の件は、GAFAでこれやって大丈夫なのか!? とちょっと心配に。


Nさん「メールは玉石混交、本当に必要な情報とそうでない情報が入り混じるから、本当に必要な情報だけ僕に入るようにしておけばいいんだよ。これが僕なりの情報の取捨選択の仕方かな。」


僕 .. 3年で未読が10万通 .. メンターに似て .. 


やはりパソコンの前に張り付いているだけでは経営企画の仕事は出来ないな ..



下記も時々見ておきたい。

・ノート

 https://note.com/terasawa

・ツイッター

 https://twitter.com/ohtsuma