「楽天市場でご購入ありがとうございます。商品発送状況はこちらにてご確認ください」とのSMSが届いた(下図、参照)。
A.アクション、判断
追加で以下をやってみた。試す場合は、自己責任でお願いします。
https://www.bankinfosecurity.com/aws-flaw-allows-attackers-to-find-users-access-codes-a-15408
Researchers have uncovered a vulnerability in 22 application programming interfaces across 16 Amazon Web Services products that can be exploited to compromise basic information on the user and gain access to details of cloud accounts, according to researchers at Palo Alto Networks' Unit 42.
Mitigation Steps
Because there are no observable logs in a potential victim's account, it's difficult to restrict fraudsters from cataloging identities, but using good IAM security measures can help in addressing such threats, Unit 42 notes.
..
Unit 42 recommends the following several steps to mitigate this issue:
https://www.techradar.com/news/aws-apis-can-be-abused-to-leak-information
https://www.sdxcentral.com/articles/news/palo-alto-networks-5g-security-fuses-firewalls-sdn/2020/11/
Palo Alto Networks today rolled out new 5G security capabilities for enterprises and service providers. Specifically, it added understanding of 5G protocols and network interfaces to its firewalls, and says this, combined with its SDN and distributed cloud security, allows it to secure 5G networks, services, applications, and devices.
Palo Alto Networks and PwC have expanded their partnership with the shared goal of delivering managed detection and response (MDR) services to enterprises in Hong Kong.
https://www.bankinfosecurity.com/brace-for-dns-spoofing-cache-poisoning-flaws-discovered-a-15389
Fixes Arriving to Safeguard DNS Against Newly Found 'SAD DNS' Side-Channel Attack
During an internal security review, Palo Alto Networks discovered an authentication bypass vulnerability in some versions of their PAN-OS software. The vulnerability can be exploited to gain access to restricted VPN network resources.
https://security.paloaltonetworks.com/CVE-2020-2022
An information exposure vulnerability exists in Palo Alto Networks Panorama software that discloses the token for the Panorama web interface administrator's session to a managed device when the Panorama administrator performs a context switch into that device. This vulnerability allows an attacker to gain privileged access to the Panorama web interface. An attacker requires some knowledge of managed firewalls to exploit this issue.
Severity: HIGH
Solution: This issue is fixed in PAN-OS 8.1.17, PAN-OS 9.0.11, PAN-OS 9.1.5, and all later PAN-OS versions.
先日の番組をザッと文字おこしした。漏れ抜け間違い、悪しからず。
「※」は筆者のコメントや注記。
報告されたサイバー攻撃 去年の3倍に急増
・取引先の実在人物を装ったウイルスメール → 事例1へ
・個人のPCを入口に会社に不正アクセスしようとしている → 事例3へ
・英語の脅迫文「ファイルはすべて暗号化されている」 → 事例2へ
生徒の進路情報が漏洩
・企業活動に影響。情報漏洩や生産停止など
三菱重工(※今年は三菱電機だろう?と思ったが、事例があった *1)、ホンダ
*1 在宅勤務時 SNS経由で社用PCが感染、社内ネットワーク接続で被害拡大(三菱重工業) (08/14)
https://scan.netsecurity.ne.jp/article/2020/08/14/44439.html
4月29日に..在宅勤務時に自宅から社内ネットワークを経由せずに外部ネットワークへ接続しSNSを利用した際に第三者から送付されたウイルスを含んだファイルをダウンロード..社有PCが感染
5月7日には当該従業員が出社し社内ネットワークに接続..
5月18日に社内ネットワークを通じ感染が拡大、
5月21日に同社グループ名古屋地区のサーバから外部不正通信を検知し調査を行った..
5月22日に不正アクセスのあった機器が判明
5月22日に、不正アクセスのあった機器をネットワークから遮断する等の初動対策を実施した後、通信ログ等の解析を開始、
6月16日にはパケット情報を分析し解読と精査を開始、
7月21日には流出を確認した情報の精査が完了した。
※大企業だからここまで出来た
・テレワークを狙うウイルス ※EMOTETはコロナ前から。以前も今も慎重さが必要
予防的統制
過去のメールへの返信の形(アドレス、本文) → 本物と思いやすい
添付ファイルが(無味乾燥な)英文字羅列 → 不審と気づけた
発見的統制
会社でセキュリティが機能していると、比較的早く気付ける
自宅で『セキュリティが不十分』だと、、、
気づかないうちにPC内の情報を抜き取られる
別のウイルスが次々に送り込まれ、PC乗っ取られ操作されることもある
→結果、会社のシステムまで侵入され機密情報漏洩につながることもある
・9月以降、メール型ウイルス「EMOTET」が流行
顧客情報等の流出が急増
インタビューは、、、
「怖い、怖い」(※BGMも恐怖をあおっていた)
「職場であれば『こんなメール届いてるから気を付けた方が良い』と言えるが、、」
(※先のメール事例とは別物と分かり難い始め方で、しばらく混乱した。見せ方の工夫を)
事案
職員が出勤してPCを開けると英語の脅迫文が送り付けられていた
生徒の進路情報が攻撃者に漏洩
「ファイルはすべて暗号化されている。解除してほしければ我々に連絡するように」
「生徒さんの大事な情報なのでショックが大きかった」
背景、原因
サーバの保守管理の為に、業者のリモートアクセスを可能と設定した
設定に不備があり、第三者もアクセスできる状態
(※ID・パスワード無しって事? どうやって突破された?)
このため、侵入されたのではないかと見られている
(※モヤモヤ感が残るが、一般の視聴者向け番組なので、このあたりが限界か)
事後の経過
高校は攻撃者とは連絡を取らず、警察に通報
(※間違いとも正解とも断じられないが、日本の警察に連絡して解決できるのか?)
暗号化されたファイルの復旧は未達
「迷惑していると分かったら、さらに付け込まれると考え、このような対応」
(※犯罪組織に資金供給しない点は評価できる。番組は解決策に触れないまま、先に進む)
取引先情報、銀行口座まで暗号化された
0.0850BTC≒10万円支払え
背景、原因
テレワーク急遽対応の為、社内専用だったハードディスクをインターネットに接続
設定に不備
さらにパスワードも購入時のまま
事後の経過
「信用問題になり会社が倒れかねない」とビジネスライクに求められた
身代金支払い
※暗号解除。漏えい情報削除は? 公開や転売の禁止契約は?
Q: 「メール見破りは難しいのでは?」
A: 攻撃者視点で考える。
大量の攻撃メールをばらまいて、ひっかかるのを待っている。
「やり取りの中で『本当にこんな返信があったのかな?』と考え、(PC操作の前に)慎重に判断する」
「おかしいと思ったら電話を掛けて確認する」
※「攻撃者視点」は良いお話。防衛戦略は敵の攻撃コストを高めること。Kill Chain, Multiple Layer Protection
設定を誤ると他の人に傍受される
具体策
・通信経路を暗号化
「Windowsで確認可能。私もやってみらた簡単でした」 ※簡単なものは、いずれ簡単に破られる
「WPA2あるいはWPA3なら傍受されにくい」※ WEP→WPA→WPA2→WPA3。ゲーム機のレガシー仕様に注意
※便利さと脆弱性は比例
※Wi-Fi不可避なら、Wi-Fiルータは定期的に買い替える
・無線LANパスワード
簡単なパスワードは推測される恐れ
・ルータの管理徹底
ファームウェアを最新に保たないと攻撃を受ける(攻撃が成功する)場合がある
管理用パスワードもデフォルトから変更しておく
・フリーWi-Fiは管理が出来ていない恐れがある
※MACアドレスでのアクセス制御も完璧とは言えない。
※いろいろ大変なWi-Fiを避けて家庭は有線のみ、も選択肢に
※対策の話の途中でまた事例の話になり、流れが分かり難くなっていた
「ログイン画面が誰でも見られる」※だからログイン画面として機能するのでは? と思ったが
番組では、パスワードアタックの実験を公開。インターネット接続の後、頻繁に不正アクセスの試みがなされていた
※IDが一覧で誰でも見れる、さらにIDとパスワードだけの仕組みだったので、攻略容易だった、と言いたかった模様
30か国以上からパスワード試行されていた
番組内で企業への対策呼びかけが始まる・・・
※TV制作会社の社会貢献をPRしようという意思を感じる
※民放でCMだらけの中で見ていたら、もっとイライラしたかも
サーバの在庫管理情報が外部から見えてしまっていた。
攻撃されればサーバ停止の恐れがある ※漏洩リスクが重大リスク
対策、システム更新するよう提案
対応、すぐに対応 ※RFP、システム設計、競争見積もり、稟議などの手順を踏んだのか?
※簡単に(短期間で)出来る、と誤解する視聴者・経営者が出てこないか?
通信教育のデータ保管サーバが外部からアクセス可能
原因、古いプログラムが動いている
侵入されるリスクにつながっている
気づき
先月別のシステムの異常アクセス負荷を不審に思っていた
※非常連絡網は整備しているか? タイムリーに連携できているか?
番組側からの情報提供
データ漏洩や暗号化されるリスクを認識するに至る
対策、アクセスを制限し、古いサーバを更新するよう提案
対応、学校側はすぐにセキュリティを強化した
※ 直ぐ出来るなら、なぜもって早く、していなかったのか?
傾向
攻撃は増え続けている。
認識していたものの、コストを考えると対策が出来ていなかった、という組織もあった。
対策
・OSの更新
・アクセス制限
だれが攻撃しているのか?
攻撃文は、欧米で使われているものと、今回高校に届いたものが似ている。
旧ソ連諸国の言語で動くサーバでは攻撃を止めるという特徴がある
リモート接続の設定が甘いサーバを集中的に狙う
※誰だったの?
課題
しっかりしたシステムを導入するには、コストも時間も掛かる
中小企業等担当者向けテレワークセキュリティの手引き(チェックリスト)(初版)総務省
https://www.soumu.go.jp/menu_news/s-news/01cyber01_02000001_00080.html
テレワークの仕組みは攻撃者にとってもアクセスしやすい便利なもの
リスクを認識して、適切に使って、新しい働き方を実現すべき
提供側も、使いやすく、間違いを犯しにくい製品・サービスを提供すべき
※恐怖を煽りつつ分かり難く制作し、職場等で話題にして理解を深めるよう誘導し、国民へのIT統制浸透を図る高等戦術か? 関係の方々には辛口コメントで済みません。ただ日本は自動車産業が組み立て産業化したら、ITくらいしか可能性無いんじゃないか? だから皆でもっとリテラシーを高めていかないと、という思いもあり、辛口にしています。
※避けたいのは「我が社は大丈夫か?」と現場を疲弊させる事。
※問題は「時間とコストをかけて安全設計と運用を回すべきなのに出来ていなかった」事。
※多くの大企業の現場は時間・コストを掛けてきているはず。あと一歩足りないのは、経営層がITセキュリティ強化をコミットする事。
関西、関東の大企業は地震を契機にBCPの一環でテレワーク環境も整備してきたと想像する。
とすると、決定的に足りないのは、IT予算を割けない中小や、業績が低迷しているところか?
そうした組織が「自組織内資源にアクセスする為のテレワーク環境構築」というのは、IT施策方向性が違っている気がする。教員向けの管理資料満載のプライベートクラウド、授業ストリーミングのパブリッククラウドや、それらへの補助金・支援金・費用免除制度、僻地へのグーグル衛生通信ルータ(500$/月)or 5Gルータの費用減免制度、日本発プラットフォーマーへのファンディングなど、できないか?
課題もあるが、ビジネスチャンスもあるんじゃないか。
nameserver 127.0.0.1
# nameserver 127.0.0.53
and verify if it's working in the way like ...
%dig @127.0.0.1 -p53 www.google.com
and verify if it's working in the way like ...
%ps -ef | grep tor
3-1. Launch Firefox web browser, type about:config in the address bar and press Enter.
3-2. After clicking on the “I’ll be careful, I promise” button, proceed to Firefox advanced settings manager.
3-3. In the search box type network.proxy.socks_remote_dns to find the setting we need.
3-4. Make sure the value of this setting is set to true. If the value is false, then double-click on this setting to switch it back to true.
In the Preferences of Firefox, at Network Settings, click "settings" and configure SOCKS Host localhost Port 9050 (with Manual proxy configuration automatically activated) .
That’s it. Now Firefox will be able to open all sites that operate using the .onion top level domains.
network.dns.blockDotOnion hasn't matter in my environment.
Both "true" and "false" can work with the socks proxy.
Ref.1 Firefox does not open .onion websites
Ref.2 https://akasaka-taro.blogspot.com/2017/10/tor-browser.html
クリストファー・ワイリーさん著「マインドハッキング―あなたの感情を支配し行動を操るソーシャルメディア―」(原題は「Mindf*ck」)を読んでいる。今1/3くらい。
きっかけは次のビデオの本書紹介。2016年のFacebookでのCAの件は、本書で、もっと知りたくなった。
SNSと心理戦争① 今さら聞けない“世論操作”(2020年10月29日
https://www.youtube.com/watch?v=tDx6uttbaYc
SNSと心理戦争② フェイスブックの“闇”とは(2020年10月29日)
人の特性をBig Dataから5つの変数でモデル化(Oceanモデル: openness to experience, conscientiousness, extraversion, agreeableness and neuroticism)した上で、最も確実に結果に影響しそうな層にアプローチする事がゲーム展開上有利になる、ということらしい。
これは選挙に留まらず、消費行動を含む集団行動を合理的に予測し、結果に影響を与えうる、と言っているのだから大変である。
2016年、ケンブリッジアナリティカはやり玉に挙げられ、今は原型をとどめていないのだと思うが既に解散しているが、トランプさんの選挙参謀は有権者データを持っていたから、2020年選挙でもこれだけ追い上げてきているのかも。
ロジックの細部に興味がわくが、本書は登場人物同士の人間関係をスリリングに描く事に力点が置かれていて、ロジックにたどり着けるかどうか。
「トランプ大統領誕生」と「ブレグジット」の裏にはこの男がいた!
1 インターネット版建築基準法2 ソフトウエアエンジニアの倫理規範3 インターネット公益事業4 デジタルコモンズの受託者責任(スチュワードシップ)
『新疆ウイグル問題についての報道は前回の香港ほど偏っていないが、それでも国連で多数の国が中国を支持しているという事実はあまり重要視されていない。香港の問題に関して多数が中国を支持していることを指摘した以前の記事にも書いたが、日本にいる我々には世界の多数派が見えにくくなっている懸念がある。...必要なのは新しい民主主義を作ることだ。これまでと同じ民主主義を守ることは困難であり、この状況を打開することはできない。』
TV番組でのインタビューがYouTubeに挙がっていた。
特に印象的なのは、このあたりから(↓)
https://youtu.be/AkBBKkRDULc?t=1801
気に入ったので、文字におこしてみた。
私の聞き取り
My dad would tell me that don't accept any doctrines or dogma from anyone including from him to creatively question everything.
And if I'm so sure of my opinion is right, he would use Socrates method to reveal that it is only right under certain conditions.
So I think the main lesson is that there is no individual that can hold whole of truth.
Truth is something that we must piece together like a puzzle through conversation and listening together.
Google翻訳
私の父は、すべてを創造的に質問するために、彼を含む誰からも教義や教義を受け入れないようにと私に言いました。
そして、私の意見が正しいと確信している場合、彼はソクラテス法を使用して、特定の条件下でのみ正しいことを明らかにします。
ですから、主な教訓は、真実を完全に保持できる個人はいないということだと思います。
真実は私たちが会話と一緒に聞くことを通してパズルのようにつなぎ合わせなければならないものです。
DeepL翻訳
父は私に、父を含めた誰からの教義やドグマも受け入れるな、創造的に何事にも疑問を抱けと言っていました。
そして、自分の意見が正しいと確信している場合は、ソクラテスの方法を使って、ある条件の下でのみ正しいことを明らかにしてくれました。
だからこそ、真実の全体を把握できる個人は存在しないということが、一番の教訓だと思います。
真実とは、私たちが一緒に会話をしたり、聞いたりして、パズルのように組み立てていかなければならないものなのです。
あとがき
to不定詞の翻訳は、Googleの方が教科書的。
硬めの日本語への翻訳に、「~してくれる」など情のこもった感じなどは、DeepLが気に入っていて、両者読み比べたりする今日この頃。
※ 関連 「座右の古典」のメモ
寺澤伸洋さんの「40歳でGAFAの部長に転職した僕が20代で学んだ仕事に対する考え方」読了。
著者が読者目線まで降りてきて、楽しく雑談するように仕事の極意を説く。
99%は納得するが、次の件は、GAFAでこれやって大丈夫なのか!? とちょっと心配に。
『
』Nさん「メールは玉石混交、本当に必要な情報とそうでない情報が入り混じるから、本当に必要な情報だけ僕に入るようにしておけばいいんだよ。これが僕なりの情報の取捨選択の仕方かな。」
僕 .. 3年で未読が10万通 .. メンターに似て ..
やはりパソコンの前に張り付いているだけでは経営企画の仕事は出来ないな ..
下記も時々見ておきたい。
・ノート
・ツイッター
