マーケット感覚を身につけよう

posted with ヨメレバ

ちきりん ダイヤモンド社 2015年02月

Amazon

Kindle

楽天ブックス

 

ちきりんさんの『「マーケット感覚を身につけよう---「これから何が売れるのか?」わかる人になる5つの方法』という本を読んだ。

感想を1言にすると、「本書を通読して、自分の状況を省みる良い機会になった。」

 同書の内容については本書を買って読めばいいし、恐らく他のブログでも多くの人が文章を引用しながらレビュー（というかコメント）していると思う。

そこで、この記事では、私が本書を読みながら頭に浮かんだ事、そうした項目について一歩踏み込んで考えた事を綴っていく事にする。

本書を手に取った背景

最近、大学院進学のためにサイバー戦争に関する書籍を読む機会が多かった。

当ブログでも2冊、「第五の戦場」サイバー戦の脅威や、サイバーインテリジェンスなどブックレビュー記事を書いた。

「全く研究分野に関係のない小説でも読もうか」と思って、なんとなくブックオフに入ってみたら、単行本半額セールの棚に本書が置いてあった。

ちきりんさんは結構前からTwitterでフォローしていて、ちきりんさんのブログ記事も少なからず読んでいたし、ちきりんさんの「中の人（らしき人）」が書いた本も過去に読んだ事があった。

なので、「この本が480円なんだ・・・！お買い得！」と思って手に取った。

本書を通読しながら考えた事

私が受け取ったメッセージ

題名からもある通り、読者にマーケット感覚を身に着ける事を一貫して促している。

ざっくり言えば、以下の様なメッセージを受け取った。

• これまで価値があると思っていた事が急速に価値がなくなり、反対にこれまで無価値と思われていた事に価値が生まれる
• 「論理的思考」だけじゃ捉えきれない価値があり、自分のアタマを使って想像力を働かせ「モノやコトの価値」を見出そう。

このブログの価値について考えた

会社という組織に属する傍ら、自分自身をマーケットに晒して市場からフィードバックを得る手段として私はブログとTwitterを使っている。

このセクションでは、当ブログがアプローチする問題と、提供する価値に関して考えていく。

当ブログがアプローチする問題とは

ブログを起ち上げる前には、以下の問題意識があった。

• 「英語で書かれたリソースが多く、それらを直接自分で読んだ方が効率が良い」
• 「翻訳のクオリティが低くて内容が全く頭に入ってこない」
• 「ニュースが翻訳されるまでのスピードが遅くて実務に活きない」
• 現場で働くセキュリティプロフェッショナルは非常に忙しく、辞書を引きながら英語ニュースを読んでる時間はない。

当ブログが提供する価値とは

これら問題に対して私が何が出来るのか考えた時に、以下の事を思った。

• 日本語メディアの「どこよりも早く」セキュリティニュースを「分りやすく」翻訳するメディアがあれば、何らかの価値があるはずだ
• 悲しいかな、日系企業の職場で全く活かされない私の英語力は、自分がメディアを作って事で活かせばいい

そうした背景から、私は当ブログ「忙しい人のためのサイバーセキュリティニュース」を2017年10月頃に起ち上げた。

それ以来、海外セキュリティニュースの要約・翻訳をしつつ、自分の意見を記事の中に自然に織り交ぜて情報発信している。

実際にセキュリティの現場で働く人達もTwitterでフォローしてくれたり、ブログを読んで仕事の役に立つ事がある旨をコメント、TwitterでのDMやリプで伝えてくれる。

今後私が目指すこと

「どっちもやればいい」

ちきりんさんは本書の中で学校で学ぶよりも、マーケットに身を置いてフィードバックを得ながら学んだ方が効率が良いと言っているが、自分は「どっちもやれば良い」と思っている。

更に、自分の目標として掲げるリサーチャーとしての仕事はもとより、海外移住する際のビザ取得の為には、（無論、今後変わっていく事を願いつつも）現状では修士、更には博士といった称号があれば移住ビザ取得が有利になる事が多い。

したがって私は、ちきりんさんの言葉でいう「マーケット感覚」を、このブログやブログを通して繋がるセキュリティプロフェッショナルとのやり取りを通して培っていきたい。

その傍ら、アメリカの大学院に進学したいと思っている。

（「アメリカの大学院進学という目標」へのアプローチに関しては水面下で着々と進めているので、一段落したら情報共有の意味で記事にする。）

「研究者バックグラウンドのエントレプレナー」は1つの目標

プロフィールでも書いているが、セキュリティ分野におけるリサーチャー（研究者）になりたいと思っている。

この分野で活躍しているセキュリティリサーチャーは沢山いるのだが、目標の1つはGary McGrawだ。

www.garymcgraw.com

GaryのPodCast「Silver Bullet Podcast」で、「セキュリティ業界には現場で頑張っている人は沢山いるが、もう少しアカデミックなアプローチを取る研究者もいていいと思う」という1言で「俺にはこの道だ！」と直感した。ただそれだけだ。

Gary凄いところは、Computer Scienceで博士号を取った後、アカデミアに留まらずにセキュリティコンサルタントとして数多くのIT企業のセキュリティ診断＆コンサルをしてきた事。

アカデミアで研究される事をマーケットに対して貢献し、市場のフィードバックを受け、更に研究に活かしていくサイクルを築きあげたいと思っている。

マーケット感覚を身につけよう

posted with ヨメレバ

ちきりん ダイヤモンド社 2015年02月

Amazon

Kindle

楽天ブックス

 

2週間前に、Drupalのセキュリティチームは、悪用すると攻撃者が脆弱なWebサイトを乗っ取る脆弱性を発見した。

その名も、Drupalgeddon2である。

Drupalgeddon2をエクスプロイトするPoCコードも公開されており、影響を受ける人はDrupalから公開されているパッチ当てを急ぎたい。

今回のニュースを読んで、私は恥ずかしながらDrupalすら知らなかったので、それらを調べつつ今回の脆弱性に関して後学の為にまとめた。

最下部に参考URLをまとめているので、更に詳細を知りたい人はリンクを辿って欲しい。

尚、本記事では以下のポイントに絞って解説していく。

• そもそもDrupalとは
• ”Drupalgeddon2”というコードネームについて
• 脆弱性の概要
• 執筆時点(2018/04/16)での状況

それでは参りましょう！ 

そもそもDrupalとは

DrupalはContents Management System（CMS）の一種だ。

簡単に言えば、Wordpress、Movable Type、Joomla!のようにウェブサイトを運営する際に使用するオープンソースのソフトウェアである。

インターネット上にサイトを設置したい企業や個人がDrupalを使用して、ホームページやブログなどのウェブコンテンツを公開する事が出来るのだ。

Weebly等のWebコンテンツ公開サービスを使わずとも、各々の状況に合わせて拡張機能などを追加する事したり、各々の状況に合わせてデザインをカスタマイズ出来る事から海外を中心に人気を博しているようだ。

個人的な実感では、日本ではWordpressやMovable Type等のユーザー数の方が多く、Drupalでサイト運営をしている人はあまりいないと思う。

”Drupalgeddon2”というコードネームについて

今回公表された脆弱性には、”Drupalgeddon2”というコードネームが付けられている。

Drupalgeddonというコードネームは、「Drulpal」と「Armageddon（アルマゲドン）」をくっつけた造語である。

アルマゲドンが、”最終戦争”や”世界の破滅”という状態を意味する言葉である事から、Drupalにとって、この脆弱性が悪用される事で、「非常に壊滅的な状態に陥ってしまう」事を示している。

Drupalgeddonを発音する際には、Drupalの”L”の発音を省略して、「ド(ゥ)ルーパゲドン」と読めばいい。

尚、今回の脆弱性が”Drupalgeddon2”、つまり「Drupalgeddonの2番目」と呼ばれているのは、一番目となる”Drupalgeddon”が存在したからである。

一番目としてのDrupalgeddonは、2014年10月に発見された脆弱性（CVE-2014-3704）である。

攻撃者はDrupalgeddonを悪用してSQLインジェクションを行い、ターゲットシステムにおいて権限昇格を行う事が出来た。

脆弱性の概要

Drupalの公式ホームページに掲載されているセキュリティ・アドバイザリ（sa-core-2018-002）にはDrupalgeddon2に関する概要が記載されている。

以下は、その概要の翻訳版である。

説明

Drupal 7には、データベース抽象化API（Database Abstraction API）が含まれている。

SQLインジェクション攻撃を防ぐためにデータベースに対して実行されたクエリをサニタイジングする為だ。

このAPIに脆弱性が存在し、攻撃者は細工されたリクエストを送信し、任意のSQLコマンドが実行されてしまうのだ。

リクエストの内容によっては、権限昇格、任意のPHP実行、またはその他の攻撃を引き起こす可能性がある。

また、この脆弱性は、匿名ユーザーによって悪用される可能性がある。

UPDATE：このセキュリティ勧告のリリースに伴い、複数の不正利用が報告されており、アドバイザリがリリースされた直後に更新されなかったDrupal 7サイトが侵害される可能性がある。

詳細については、こちらの発表をご覧頂きたい：

影響範囲は、Drupalの全バージョン（6〜8）に対して影響がある。

CheckPointが公開した情報によれば、フォームAPI（FAPI）AJAXリクエストを介して渡されたInputのサニタイジングが不十分な事が原因のようだ。

攻撃者はエクスプロイトに成功すると、ユーザー認証なしで悪意のあるペイロードを内部フォーム構造に注入、実行出来る。

この脆弱性を利用することで、攻撃者はDrupalを利用するユーザーのウェブサイトにおける全権限を取得できる。

現在の状況

Drupalの対応

この脆弱性に対処するために、Drupalは直ちにDrupal CMSのアップデート版をリリースした。

また技術的詳細を公開するにあたって、攻撃が頻発する前に同社のCMSプラットフォームを使用する100万以上のサイトでパッチあてが行われるよう時間を稼いだ。

CVE番号付与＆PoCコードの公開

2018年4月11日、Check PointとDofinityのセキュリティ研究者は、この脆弱性に関する技術的詳細（CVE-2018-7600）を公開。

更に、ロシアのセキュリティ研究者がGitHubのDrupalgeddon2のPoC（proof-of-concept）コードを公開した。

PoCコードは、以下にあるSANS ISCのページから閲覧できる。

＞＞Drupal CVE-2018-7600 PoC is Public - SANS Internet Storm Center

攻撃の状況

日本

JPCERTによれば、日本における攻撃は未だ確認されていないが、探索行動はハニーポットで確認されている。

海外

Sucuri、Imperva、SANS Internet Storm Centerの研究者らは、PoC攻撃が公開された直後に、Drupalgeddon2を悪用した攻撃の試みを観測した。

We are seeing attempts for the Drupal RCE (CVE-2018-7600) in the wild now: https://t.co/1tfpH08Ohb

Expect that to grow with the new exploits being shared publicly:https://t.co/V1C0E5hi4W

Also, good read from from CheckPoint explaining it:https://t.co/iD44ZRjOtG

Patch now!

— Daniel Cid (@danielcid) 2018年4月12日

だが、実際にウェブサイトがハッキングされたという報告はまだ出ていない。

対策

脆弱性のあるバージョンのDrupalを実行しているサイト管理者は、悪用を防ぐために、CMSをDrupal 7.58またはDrupal 8.5.1にできるだけ早く更新するべきである。

また、この脆弱性は2016年2月以来Drupalによるサポートは終了したDurupal 6にもパッチが提供されている。

追記：

以下、初稿投稿後に出てきた情報を追記していきます。時間の都合上、一旦ツイート貼り付けておいて、記事に説明文入力していきます。ご了承下さい。

カスタムシグネチャ

Drupalの脆弱性、CVE-2018-7600/SA-CORE-2018-002についてですが、Drupal7を狙った攻撃についてもこれだと検知できるのでは？というSignatureを作成(更新)しました。NSP向けです。
Drupal core Remote Code Execution Vulnerability(CVE-2018-7600SA-CORE-2018-002).ziphttps://t.co/IXKOGiAt1R

— hiro_ (@papa_anniekey) 2018年4月18日

マイニングスクリプトの埋め込みが発生

Drupalgeddon2
・割合→ 90%: IP scan、3%: バックドア感染試行、2%: クリプトマイナー
・Drupalの脆弱性を突いてMoneroマイナーを埋め込んだ。
・minexmr[.]comのプールを使用。
・544.74 XMR（$105,567）を稼いだグループもいる。 https://t.co/AJBrLvkSAO

— Yukio “Ichi” Ichinose (@0x31_nose) April 18, 2018

攻撃が多発してメンテ中に陥るサイトもちらほら

urlを踏んでみた結果
もしこれがdrupalgedon2によるものなら
分かりやすいフェイクアラートだけではなく
サーバにバックドアが置かれてる可能性もあるので
運営には入念にチェックして欲しいですね pic.twitter.com/WPGKt2biSK

— 箱入り (@maple1st) April 19, 2018

三井物産セキュアディレクションによるレポート

（もはやこれだけ読めば全てわかるってレベル。いつか自分もこんな風に脆弱性をまとめられるようになりたいです。）

www.mbsd.jp

 

 

サイバー・インテリジェンス

posted with ヨメレバ

伊東寛（サイバーセキュリティー） 祥伝社 2015年09月02日

Amazon

Kindle

楽天ブックス

 

今回は、伊東寛氏の『サイバー・インテリジェンス』を読んだ。

伊東氏の本では、前回読んだ『「第五の戦場」サイバー戦の脅威』に続く、二冊目の読了である。

この記事では、以下のポイントに絞ってこの本に関する所感をまとめていきたい。

• 本書『サイバー・インテリジェンス』に書かれている事
• 対象となる読者
• 本書を読んで印象に残ったこと

本書に書かれている内容も引用やパラフレーズという形で紹介しているが、できる限り本の内容を漏らさないように、私の言葉を使って本書から受け取ったメッセージを記述した。

なので、記事の最後にAmazon＆楽天用リンクを貼っておくので、本レビューを読んで興味が湧いた方は、実際に手にとって読んでもらいたい。

非常に面白いと感じたので、読んで後悔はしないと思う。

（尚、執筆時点で、格安中古の在庫もあるようです。）

それでは、始めよう。

『サイバー・インテリジェンス』に書かれている事

インテリジェンスとは

この本は題名からも分かる通り、「サイバーインテリジェンス」に関する本である。

念のため補足だが、インテリジェンス（Intelligence）とは英語で、日本語に直訳すると”知性”である。広義では”情報”となるかもしれない。

更に具体的に説明しよう。

政治や外交関係での文脈における用語としての「インテリジェンス」とは、諜報活動をさす。

他にも広義として、自国や相手国の運営に関わるあらゆる情報を収集する人、あるいは、情報収集作業を意味する事が多い。

本の概要

この本では、インターネット技術の進化とともにサイバー空間が拡大してきた現代社会において、以下の視点でインテリジェンスに関して解説している。

• その過程においてインテリジェンスがどのように変化、進化してきたか
• 現代ではインテリジェンスが”どのようにして”使われているのか
• 日本におけるインテリジェンスの課題とは

インテリジェンスを行う事で、相手よりも優位に立てる作戦を計画できる為、これまで戦争という文脈でインテリジェンスという言葉が使われて来た。

20世紀は2つの世界大戦が勃発し、その後には冷戦が続いた為、「武力戦争への手段として」インテリジェンスが使用されてきた。

ソビエト連邦の崩壊に伴う冷戦の終焉から、21世紀初頭に発生した9.11同時多発テロ、その後のリーマンショックにおける経済不況まで、アメリカを筆頭に経済戦争が巻き起こっていた。

その経済戦争の手段としても、インテリジェンスは使われてきたのである。

そしてインターネット技術の発達に伴い、現在は「情報戦争」が起きていると筆者である伊東氏は主張する。

もうお分かりだろうが、「情報戦争」においてもインテリジェンスは行われている。

伊東氏は、本書を通じて「インテリジェンスの歴史」、「時代に即したインテリジェンスの使われ方」を説明しているのだ。

それを基に、現在も行われている「情報戦争」における文脈で、サイバー空間におけるインテリジェンス、即ち「サイバーインテリジェンス」に関する解説をしている。

本を書いた人

日本のセキュリティ企業であるラックの執行役員、伊東寛氏が執筆した。

彼は元陸上自衛隊の自衛官という肩書もあり、軍事に携わった人が持てる視点を得られたので、個人的には非常に参考になった。

伊東氏に関する簡単なプロフィールは以下の前回執筆したブックレビュー記事で紹介しているので、参照してもらいたい。

nanashi0x.hatenablog.com

前作との相違点

また、伊東氏の前作である『「第五の戦場」サイバー戦の脅威』では、サイバー技術が戦争に利用される事が漠然と書かれていた印象を受けた。

アメリカがサイバー空間を「第五の戦場」として定め、サイバー空間における戦争が繰り広げられる現在、私たち一般人が知るべき事を述べていた。

一方、今作では「インテリジェンス」に話題を絞っているので、サイバー技術がどのようにして軍事・外交関係に影響を与えているのか学ぶことが出来た。

対象となる読者

私の意見では、この本が想定している読者層は以下の人たちだ。

• セキュリティ技術がどのように政治・外交の分野で利用されているのか興味がある人
• 政治、外交、軍事に関わる仕事や勉強をしており、サイバー技術を駆使したインテリジェンスに関する歴史に興味がある人
• インテリジェンスに興味がある人、OSINTに携わる人

本書を読んで印象に残ったこと

このセクションでは、私が本書を読んだ際に印象に残った点を述べていく。

目次として、以下の4点が印象に残った。

1. 電力網に存在するアメリカの弱点 ＆ 優れた日本の電力網

2. 政府関係者がマスコミを使って行う”情報操作”

3. 変化する戦争の「かたち」

4. 日本にサイバー・インテリジェンス部隊の設置は急務

①電力網に存在するアメリカの弱点 ＆ 優れた日本の電力網

アメリカの電力網に存在する弱点とは

伊東氏は、アメリカの電力網に関する脆弱性として、本書で以下の点を指摘する。

ライフラインの重要な基盤（電力網）がインターネットに依存していて、それが、ダイヤルサインアップという古い技術から最新技術まで、各社バラバラという状況だから、攻撃者から見れば一番弱いところを狙って落とせばいい。（P58）

アメリカでは、早い段階でインターネットが導入された事で、社会インフラ1つとっても、色々なシステムが混在している。

そもそも、電力網は、発電所側の発電量と、私たち消費者の電力消費量のバランスが常に保たれている。

このバランスが崩れれば、発電所のタービンが爆発したり、送電線が燃えてしまう等の事態が発生する。

だが、発電会社と送電会社が別々で、あちこちで古いシステムがそのまま使われているようだ。

ほんの数年前までダイヤルサインアップだった電力網があったくらいだと言われている。

そうした状況下で、攻撃者が全米に張り巡らされた発電網に致命的なダメージを与える為には、混在するシステムの一番脆弱な部分を狙えばいいだけである。

そうする事で、電力網全体のバランスが崩れ、後は将棋倒しに電力網が危機に陥っていくからだ。

アメリカ政府は既に自国のこのような脆弱性を認識しており「自国に対してサイバー攻撃を行なった場合、サイバー攻撃による報復ではなく、武力的報復を行う」と明言している。

ある国が他国から攻撃を受ける際、受けた被害相応の報復を行うのが一般的だ。
ところが、アメリカは「サイバー攻撃に対する報復手段としてアメリカの軍隊を出動させる」と言っているのである。

筆者である伊東氏は、アメリカのそうした発言の裏にある心理として、以下のように指摘している。

アメリカはここまで言うほど自国のインフラを制御ネットワークに自信を持っていないのだろう。

日本の電力網の優れている点・将来的な懸念事項とは

さて、アメリカの電力網に関する話はここまでにして、本題はここからである。
日本にも電力網が存在する。

関東の電力網は、東京電力が管理しているのだが、都・県に関わらず一括で管理している。

自前で発電所や送電線を持ち、コントロールシステムも自前の専用線で、電線を張る時に一緒に引いたようだ。

そのため電力網の管理ネットワークは、NTTの一般公衆回線につながっていない。 

これは攻撃者からすると、アメリカと違って日本の電力網は明確な入り口が存在しないという事になる。

伊東氏はこのことに関して、「日本のインフラ自体は現在の所アメリカほど脆弱ではない」と指摘している。

ところが伊東氏は、とある”懸念事項”を抱えている。

それは、2020年4月に発送電分離が実施になるという事だ。

電力会社の送配電部門が独立し、発電を小売が完全に自由競争の状態に陥ることになる。

消費者からしたら競争に晒される事で電気代が下がるメリットがあるが、事業者が乱立する事は、万が一電力網に対してサイバー攻撃が発生した際の連携・統制が難しくなる事を意味する。

②政府関係者がマスコミを使って行う”情報操作”

続いて、マスコミの情報操作に関して述べる。

以下は、本書における伊東氏のマスコミに関する言及だ。

マスコミなどによって流布された情報を「本当だろうか」と疑うのがインテリジェンスである。サイバー攻撃が行われた直後は、さまざまな説があったがオバマ大統領やFBIのコミー長官らが北朝鮮が犯人だと主張すると、他の説はいつのまにか消えてしまう。（P35）

マスメディアが報道しているのは、政府関係者がマスコミに対してタレコミされたソースを元に報道を行っている。

政府関係者がマスコミに対して、偽の情報を掴ませたり、意図的に操作させる事を依頼すれば、嘘のニュースも本当になる。

Mr.Robotでもこの様なシーンがあった。

中華人民共和国国家安全部の大臣であるZhi Zhangが、Frank Codyに対して、「fsocietyがイランと関連している説を流せ」と依頼したシーンである。

念のため補足だが、fsocietyとはドラマ内に登場するハッキンググループの名称だ。

ちなみに、Codyは、アメリカのトークショー”Let's be Franck with Cody”のホストで、ニュースに流れるイベントに対して”（政府などの）陰謀説”を主張する”conspiracy theorists（陰謀論者）”という設定の登場人物だ。

（Zhi ZhangがfsocietyのルーツをイランにするようCodyに指示するシーン①。）

（Zhi ZhangがfsocietyのルーツをイランにするようCodyに指示するシーン②。）

（指示を引き受けるFrank Cody。字幕はCodyのセリフ。）

このシーンで印象的なのは、中国人がアメリカのメディア操作を行なった点である。

自国の政府が、自国民に知られたくない情報を隠すためにメディアを操作する事は、これまで散々繰り返されてきた。

しかしZhi Zhang大臣は、”とある野望”を成し遂げる為にアメリカのメディアを通して情報操作を行なったのである。

この後のシーンの後で、fsocietyと、イランが強く結びついている事を更に強調する事件が発生する。

その事件を通して、Zhi Zhang大臣がFrank Cobyにfsocietyがイランと結びついている情報を流せと命じた伏線が回収される。

それが一体どのような事件なのか説明したいところだが、Mr. Robotの物語の構成上、とても大事なプロットなので本記事ではここで留める。

＞＞Mr. Robotを見る

③変化する戦争の「かたち」

本書の中で、伊東氏はアメリカの未来学者、アルビン・トフラーの『第三の波』で唱えられている、「人類史における3つの革命」という説を引用する。

3つの波は、人類史に大きな影響を与えた3つの技術革新を意味する。

その波は、以下の3つである。

• 第一波：農業革命・・・約1万5000年前に農耕を始めた時
• 第二波：産業革命・・・18世紀半ばからイギリスで蒸気機関が発明された時
• 第三波：情報革命・・・20世紀後半から起こる脱工業化

それぞれの「波」において、以下のように、「力」の概念も変わる。

• 農業革命時の力：暴力
• 産業革命時の力：お金
• 情報革命時の力：知恵

伊東氏は、以上に述べたアルビン・トフラーの唱えた説を拡張して、それぞれの「波」における「力」を以下のように定義する。

• 暴力　＝　軍事力
• お金　＝　経済力
• 知恵　＝　情報力

最後に、以上の「３つの力」を行使した人間同士の争いが、以下のように戦争として行われるのである。

• 「軍事力」を争う手段：「軍事」戦争
• 「経済力」を争う手段：「経済」戦争
• 「情報力」を争う手段：「情報」戦争

ここから伊東氏は、現代社会ではサイバー空間において「情報戦争」が行われている事を指摘する。

伊東氏の言葉を借りれば、「情報」という「見えない武器」によって戦争が行われているのだ。

そこで、「情報戦争」が今まさに繰り広げられているこの時代に必要なのが、本書のメインテーマでもある「サイバーインテリジェンス」なのだ。

（尚、伊東氏は本書の中でそれぞれの戦争が「どのように行われてきたか」、そして「どのように変化してきたか」を簡単にまとめているが、ここでは省略する。）

④サイバー・インテリジェンス部隊の設置は急務

伊東氏は、本書の最終章で「日本のサイバーインテリジェンスのあり方」について問う。

前セクションで述べたように、世界的に情報戦争が繰り広げられているこの状況下で、日本のサイバー・インテリジェンスの”貧弱さ”を指摘する。

「情報戦争」の真っ最中である事を理解しているアメリカ、中国、ロシアはサイバーインテリジェンスに力を注いでいる。

一方、日本は、インテリジェンスの要である「防諜」と「収集」ともに不十分なのだ。

2015年に発生した年金機構における情報漏えい等、政府機関や民間企業から大量の顧客データが漏洩するインシデントが多発している。

こうした情報漏えいを、海外のインテリジェンス部隊の仕業とする見方もあるのだ。

伊東氏は、そうした時代の趨勢に沿って「日本も統一されたインテリジェンス部隊を持つべきである」と指摘している。

人による情報収集に頼るヒューミント（HUMINT）の専門家を育成するのは10年、20年と訓練期間が必要だが、サイバー・インテリジェンスの専門家を育成するにはもっと短い時間で出来るからだ。

伊東氏の提案に対する私の意見

私自身、この伊東氏の提案を読んだ時「CheenaさんやSh1ttyKidsさんが個人で活動するに留まっている事への勿体なさ」を感じた。

「インテリジェンスの力」が軽視されている日本において、二人は率先してOSINTをしているのである。

政府はまず、この二人を優遇する事から始めた方が良いと思う。

念のため、このブログを読む人で最早知らない人はいないと思うが、以下に両者のプロフィールを簡単に紹介する。

Cheenaさんについて

Cheena（@CheenaBlog）さんとは、Webデザイナー兼、OSINTで情報収集するセキュリティ専門家である。

コインチェックから540億円相当のNEMが盗まれ、一時はテレビニュースでも取り上げられていたが、徐々にメディアの関心も薄れ始めた 。

だが、Cheenaさんは引き続き追跡調査を行ない、調査報告をされていた。

また、違法で漫画を無料公開するサイト”漫画村”を一年以上も追跡、綿密な調査を行い、運営者とみられる人物の情報まで突き止めた。

以下は、Cheenaさんのホームページである。

https://cheena.net/

Sh1ttyKidsさんについて

Sh1ttyKids（@Sh1ttyKids）さんは、ダークウェブに存在するベンダーショップ運営者の特定、法執行機関への報告等、ダークウェブにおけるリサーチを中心に活動しているOSINT専門家である。

Sh1ttyKidsさんは昨年11月にセキュリティニュースサイト”Bleeping Computer”にも紹介された。

www.bleepingcomputer.com

その際に当ブログでも記事にして紹介させて頂いた。

以下の記事でSh1ttyKidsさんがダークウェブをリサーチする方法を公開している。

hackmd.io

繰り返すが、「インテリジェンスの力」が軽視されている日本において、二人は率先してOSINT活動をしている。

日本はサイバー・インテリジェンス部隊を作るにあたって、この二人を優遇する事から始めた方が良いと思う。

日本の未来を担うのは、分かりやすい学歴を持つエリートや、華々しくメディアに取り上げられる起業家に加えて、彼ら2人のように賞賛を浴びなくてもひたすら自らの使命を果たせる人だと信じている。

サイバー・インテリジェンス

posted with ヨメレバ

伊東寛（サイバーセキュリティー） 祥伝社 2015年09月02日

Amazon

Kindle

楽天ブックス

 

突然だが、悪質なリンクをクリックするかウェブサイトを開くだけでハッキングすることは出来るのか。

ーー答えはYesだ。

Happy Patch Tuesday

マイクロソフトは、月例パッチ（通称、Patch Tuesday）で、Windowsオペレーティングシステムや、その他のMS社製品の重大な脆弱性に対処するセキュリティ更新プログラムを4月にリリースした。

そのうちの5つは、攻撃者が攻撃者の用意したウェブサイトを訪問するだけでコンピュータに侵入する可能性があったようだ。

これらの脆弱性は、Flexera Softwareのセキュリティ研究者であるHossein Lotfiによって発見され、Microsoft社に公開されたようだ。

脆弱性の対象となるのは、サポートされているWindowsOSの全てとなる。

• Windows 10 / 8.1 / RT 8.1 / 7
• Windows Server 2008 / 2012/ 2016

修正されたのは、Windows Graphics Componentに存在する５つの脆弱性。

Windows font libraryによって埋め込まれるフォントの処理方法に問題があったとされている。

Microsoft社は、この”Critical”レベルに分類される５つの脆弱性にパッチを提供した。

この脆弱性を悪用すると、攻撃者は、疑わしいユーザーに悪意のあるファイルや特別に細工されたWebサイトを悪意のあるフォントを使用して開かせ、ユーザーシステムの制御を奪う事が出来た。

以下は、修正された脆弱性に割り振られたCVE番号である。

• CVE-2018-1010
• CVE-2018-1012
• CVE-2018-1013
• CVE-2018-1015
• CVE-2018-1016

Windows Microsoft Graphicsは、サービス拒否の脆弱性の影響を受け、攻撃者がターゲットシステムの応答を停止させる可能性があります。

この欠陥は、Windowsがメモリ内のオブジェクトを処理する方法に存在します。

今回修正された他の脆弱性

マイクロソフトはWindows VBScript Engineに存在し、Windowsのすべてのバージョンに影響する”Critical”に分類されるRCEの脆弱性（CVE-2018-1004）の詳細を公開。

この脆弱性の悪用方法について、Microsoft社は以下のようにコメントしている。

Webベースの攻撃シナリオでは、攻撃者はこの脆弱性を悪用するように細工を施したWebサイトをホストし、ユーザーにInternet Explorerを介してWebサイトを表示させる。

攻撃者は、”Safe for initialization”とマークされたActiveXコントロールを、IEレンダリングエンジンをホストするアプリケーションまたはMicrosoft Officeドキュメントに埋め込む。

この他に、マイクロソフトでは、Microsoft OfficeとMicrosoft Excelで複数のリモートでコードが実行される脆弱性も修正。

この脆弱性を修正しなければ、攻撃者はシステムをリモートで制御できたようだ。

更に、セキュリティアップデートには、Adobe Flash Playerの6つの脆弱性に関するパッチも含まれていた。

そのうちの3つは"Critical"と評価されている。

他にも、Windows、Microsoft Office、Internet Explorer、Microsoft Edge、ChakraCore、Malware Protection Engine、Microsoft Visual Studio、Microsoft Azure IoT SDK、Adobe Flash Playerにそれぞれ潜んでいたバグも修正された。

結論：とにかくアップデートしよう

ユーザーは、ハッカーやサイバー犯罪者がコンピュータを制御できないようにできるだけ早くセキュリティパッチを適用することを強く推奨する。

セキュリティアップデートをインストールするには、以下の手順で行って貰いたい。

1. 「設定」
2. 「アップデートとセキュリティ」
3. 「Windows Update」
4. 「アップデートを確認」

Cyber​​Ark Enterprise Password Vaultで、”Critical”に分類されるリモートコード実行脆弱性が発見された。

ドイツのサイバーセキュリティ会社であるRedTeam Pentesting GmbHが発見した。(画像のリンクは同社のブログ記事)

脆弱性が見つかったEPVとは

そもそも、エンタープライズパスワードマネージャ（EPV）は、組織が機密パスワードを安全に管理するソリューションである。

EPVを使えば、クライアント/サーバーおよびメインフレームオペレーティングシステム、スイッチ、データベースの広範囲にわたる特権アカウントパスワードを制御し、外部の攻撃者や悪意のある内部者から安全に保つ事が出来る。

個人向けのパスワードマネージャ代表例としては、LastPassや1Passwordが有名である。

EPVは、企業向けのパスワードマネージャと考えればいいだろう。

脆弱性の概要

攻撃者がCyber​​Ark Enterprise Password Vaultにある脆弱性を悪用すると、Webアプリケーションの権限でシステムに不正にアクセスする可能性がある。

この脆弱性（CVE-2018-9843）は、Cyber​​Ark Password Vault Web Accessに存在する。

Cyber​​Ark Password Vault Web Accessは、顧客がリモートで任意のサービスにログイン出来るようにするアプリケーションで、.NETで書かれているようだ。

ディシリアライズ操作に存在するバグ

Webサーバが、ディシリアライズ操作を適切に行わないバグが存在し、攻撃者は、サーバ上でコードを実行して、不適切にディシリアライズされたデータを悪用する。

そもそ、シリアライズとは、オブジェクトをバイト列に直す操作を意味し、ディシリアライズはその対義語。

つまり、ディシリアライズはバイト列からオブジェクトを復元する操作のことだ。

研究者によると、ユーザーが自分のアカウントにログインすると、アプリケーションはREST APIを使用してサーバーに認証要求を送信する。

この時、認証要求はbase64でエンコードされ、シリアル化された.NETオブジェクトを含む認証ヘッダーを含む。

この時、シリアル化された.NETオブジェクトは、ユーザーのセッションに関する情報を保持している。

しかし、RedTeamの研究者は「CyberArkのEPVでは、シリアル化されたデータの整合性が保護されていない」と指摘した。

サーバーはシリアル化されたデータの整合性を検証せず、ディシリアル化操作を安全に処理していなかった。

その結果、攻撃者は認証トークンを操作して認証ヘッダーに不正なコードを挿入すれば、Webサーバー上で認証されていないリモートコードを実行できるのである。

CyberArkは修正、パッチ版を公開済

研究者は、オブジェクトの安全でない直列化を実行する.NETアプリケーションのペイロードを生成するためのオープンソースツールであるysoserial.netを使用して、この脆弱性のPoCコードをリリースした。

また、この脆弱性はCyber​​Arkに報告され、修正されたCyber​​Ark Password Vault Web Accessをリリース。

今回の脆弱性の詳細、PoCコードの詳細発表は、リリース後に行われた。

Cyber​​Ark Password Vault Web Accessを使用する企業は、ソフトウェアをバージョン9.9.5,9.10、または10.2にアップグレードするといいだろう。

ソフトウェアをすぐにアップグレードできない場合は、回避策としてroute / PasswordVault / WebServicesでのAPIへのアクセスを、全て無効にすべきだ。

thehackernews.com

"ID-as-a-Service"プラットフォームの最大手であるAuth0に、重大な認証バイパス脆弱性が発見された。

悪意のある攻撃者は、この脆弱性を悪用すると、認証にAuth0を使用するポータルまたはアプリケーションにアクセスできる可能性がある。

Auth0とは

Auth0は、ソーシャルメディア認証をアプリケーションに統合する機能を含む”IDentity as a Service”である。

多くのプラットフォームで、トークンベースの認証ソリューションを提供している。

Auth0は、2000以上の企業を顧客として抱え、同サービス上では毎月4200万ログインが行われている。

発見された2つの脆弱性について

CVE-2018-6873

セキュリティ会社”Cinta Infinita”のセキュリティ研究者は、Auth0のLegacy Lock APIにバグ（CVE-2018-6873）を発見し、同社のブログで公開した。

このAPIは、JSON Webトークン（JWT）のオーディエンスパラメータの不適切な検証をする目的で存在する。

研究者は、Auth0認証で実行されているアプリケーションに対して、簡単なクロスサイトリクエストフォージェリ（CSRF / XSRF）攻撃用コードを使用し、この脆弱性を悪用したログイン認証の回避に成功した。

CVE-2018-6874

また、脆弱性はもう一つ存在する。

攻撃者は、Auth0のCSRFの脆弱性（CVE-2018-6874）を悪用すると、別のアカウントに対して生成された有効な署名付きJWTを再利用して、標的とする被害者のアカウントにアクセス出来る。

攻撃者が必要なのは、シンプルなソーシャルエンジニアリングの技を使用して取得できる、犠牲者のユーザーIDまたは電子メールアドレスのみである。

攻撃のデモンストレーションビデオ

セキュリティ企業は、認証トークンを偽造してAuth0の管理ダッシュボードにログインする際に、犠牲者のユーザーIDとバイパスパスワード認証を取得したことを示すPoC（proof-of-concept）ビデオをリリースした。

以下は、そのPoCビデオである。

www.youtube.com

研究者によれば、この攻撃は多くの組織に対して再現可能のようだ。

攻撃には、JSON Web Token（以下、JWT）を使用する。

簡単に説明すると、JWTとは幾つかの命令を含み、サーバーサイドで秘密鍵(又は証明書)と共にサインされたJSONオブジェクトである、

JWTのセキュリティが担保されているのは、サーバーサイド(つまり、管理者)が秘密鍵(又は証明書)を保持している事に依存しているのである。

セキュリティ会社は、2017年10月にAuth0セキュリティチームにこの脆弱性を報告。同社は非常に早く行動し、4時間以内に脆弱性の修正を行なったようだ。

ただし、Auth0の脆弱なSDKとサポートされているライブラリがクライアント側で実装されているため、この問題を一般に公開する前に、Auth0は各顧客に連絡してから、完全に脆弱性を解決するのに約6ヶ月を要した。

Cinta Infinitaによって発見された特別なケースの修正とは異なり、Auth0チームは、この問題は、顧客がライブラリ/ SDKのアップグレードを強制することなく解決する事が出来なかった。

影響を受けたライブラリを大幅に書き直し、新しいバージョンのSDK（auth0.js 9とLock 11）をリリースすることで、この脆弱性を緩和した。

Cinta Infinitaは、この脆弱性を一般に公開するまでに6ヶ月間待っていました.Auth0チームには、社内のすべてのSaaSアプライアンス（オンプレミス）をアップデートするのに十分な時間が与えられた。

技術的な詳細は、以下のCinta Infinitaのブログから確認できる。

Knocking Down the Big Door