Google Geminiの位置特定機能を検証する

このブログは、株式会社ArmorisアルバイトのShaderoが書いています。

あるもりすぶろぐの内容は個人の意見です。

はじめに

今回は、Googleが開発しているLLMであるGeminiの検証を行いました。 具体的には、建物が写った画像をGeminiに読み込ませ、その建物の位置を推論した際の精度を評価しました。この記事では、位置推論の精度と、精度を向上させるための方法について考察します。

概要

Google Geminiを用いることで、画像に写った建物の名前と位置を推論することができます。

画像に人物や他の建物が写っていると、推論を行ってくれなかったり、誤った推論を行う場合があります。検索対象の建物以外の情報が極力写らないように画像をトリミングした状態で推論を行うことで、精度が向上します。

Google Geminiについて

Google Geminiとは、Googleが開発を行っているLLMです。テキストの他に画像を入力として受け取ることが可能で、画像を入力した場合、文字認識や、物体の推論、建物の位置推論などを行う事ができます。

検証

今回の検証は、秋葉原にある有名な建物を5件ピックアップして行いました。

画像の取得にはGoogle ストリートビューを用い、検証時に入力するプロンプトは「この画像の場所を教えてください」としました。

今回検証に用いた建物とその画像は以下の5件です。

  1. 秋葉原UDX
  2. 愛三電気
  3. ソフマップ秋葉原
  4. 神田明神
  5. 秋葉原電気街

検証結果

上記条件での推論結果は以下の通りです。

建物名 推論
秋葉原UDX
愛三電気 ×
ソフマップ秋葉原
神田明神 --
秋葉原電気街 ×

秋葉原UDXソフマップ秋葉原においては正しい推論を行いました。

一方、愛三電気では誤った推論をし、異なる位置を出力しました。 また秋葉原電気街においては、画像の大黒屋の看板を認識し、大黒屋の店舗がいくつか出力されましたがいずれも誤った推論でした。

神田明神においては、「人物の画像についてはまだ対応していません。」といった出力がされ、そもそも推論を行ってくれませんでした。

追加検証

上記の検証で推論に失敗した3つのケースに対して追加検証を行いました。

追加検証で用いた画像は以下の通りです。

  1. 愛三電気
  2. 神田明神
  3. 秋葉原電気街

愛三電気では、愛三電気以外の建物が極力写らないようにトリミングしました。 神田明神では、人が写らないように画像をトリミングしました。 秋葉原電気街では、画像をトリミングし写っている建物を減らしました。

追加検証結果

上記の条件での推論結果は以下の通りです。

建物名 推論
愛三電気
神田明神
秋葉原電気街

愛三電気と神田明神では、正しい推論を行ってくれました。

秋葉原電気街においては、正確な位置は推論できなかったものの、建物が東京都千代田区内にある旨の出力をしました。

最後に

今回は、Googleが開発しているLLMであるGeminiの検証を行いました。

今回検証した建物5件のうち、4件の位置を正確に特定できました。

人物が写った画像で検証すると、「人物の画像についてはまだ対応していません。」と言われ検索してくれないケースがありました。また検索対象以外の建物が写っていると、誤った推論を行うケースがありました。検索対象の建物のみ画像に写るようにトリミングを行う事で、推論の精度を上げることができると思います。

RDPツールの検証

このブログは、アルバイトのseigo2016が書いています。 あるもりすぶろぐの内容は個人の意見です。

はじめに

今回は、警察庁のレポート(令和5年におけるサイバー空間をめぐる脅威の情勢等について)などでもランサムウェアの侵入経路としても悪用されるリモートデスクトップで使用できる各ツールの動作及び検知可能性について検証してみました。

検証には自身で管理する環境を使用し、自己責任でお願いします。また、この情報を悪用することは絶対に行わないでください。

検証対象のツール

ツール名 GitHubリポジトリ 言語等 概要
SharpRDP https://github.com/0xthirteen/SharpRDP C# mstscax.dllを利用
EvilRDP https://github.com/skelsec/evilrdp Python RDPクライアントのaardwolfを利用
RKS https://github.com/U53RW4R3/RKS Shell xfreerdpxdotoolを利用

環境

Kali,Win10-1,Win10-2はインターネットに接続されていない仮想環境で、それぞれにローカルIPアドレスを付与しています。

各ツールの概要

SharpRDP

リモートデスクトッププロトコル(RDP)を用いて横移動を行うために、対象のコンピュータに対してコマンドを実行することのできるツールです。
WindowsでRDPを提供するためのdllである、mstscax.dllを利用し、GUIクライアントやSOCKSプロキシを使用せずにコマンドを実行できます。
SharpRDPは、実行ファイルなどを直接指定することができるWindows標準機能の「ファイル名を指定して実行」ダイアログにコマンドを入力することで、侵害・情報収集を行います。
https://github.com/0xthirteen/SharpRDP

動作確認

SharpRDPは.NETアプリケーションであるため、Win10-1でビルド・実行し、Win10-2に対して動作確認を行いました。
下記の例では、198.51.100.10に対して、userとしてログインし、shell:desktopコマンドを実行しています。
shell:desktopコマンドがファイル名を指定して実行ダイアログで実行されると、エクスプローラーでホーム->デスクトップが表示されます。

EvilRDP

RDPでは、SSH-Dオプションのように、アクティブなRDPセッションでクリップボードデータ転送などのRDP接続を介してパケットをトンネリングすることができます。
EvilRDPでは、このSOCKSプロキシをクライアントから生成し、ターゲットホストで任意のコマンドを実行したり、ファイルの共有を行ったりすることができます。

動作確認

Win10-1に対して接続すると、以下のような表示がされます。

ここで、ターミナルにpowershellPowershellを開くコマンド入力すると、PowerShellが起動します。

また、type 文字列とすることで、アクティブなウィンドウに任意の文字列を入力することができます。

様々なコマンドが用意されており、例えばinvokerunを実行すると、ファイル名を指定して実行ダイアログが表示されます。
続けて、以下のようにコマンドを実行することで、cmd.exeが起動しました。

$ type cmd
$ return

$ type dir
$ return

また、screenshotコマンドでRDSの画面のスクリーンショットを撮ることもでき、取った画像はローカルに保存されます。]

$ screenshot

また、startpscmdでリモートエージェントを起動し、shell dirのようにコマンドを実効するとクライアントのシェルにコマンドの実行結果が出力されます。

$ pscmdchannel
$ startpscmd
$ shell dir

$ shell netstat

RKS

RKSはアクティブなRDPセッションを介して、キー入力を自動化し、コマンドの実行やファイル転送を行うスクリプトです。 xdotoolを使用して、キーボード入力やマウス操作を行っています。
https://github.com/U53RW4R3/RKS

動作確認

Kali → Win10-1

検知方法の検証

イベントログ

ネットワーク経由でWindowsにログインした場合、以下のようにセキュリティイベントログにイベントID:4624のイベントが記録されます。 Logon TypeはSharpRDPが3、EvilRDP/RKSが10になっています。 LogonType: 3はネットワーク経由からのログイン、10はRDPによるログインを示しています。

また、どのツールにおいても。Microsoft-Windows-TerminalServices-LocalSessionManager/OperationalにイベントID:21, 24が記録されます。これはそれぞれOSログイン成功, OSセッション再接続時に記録されるイベントです。

ツール名 イベントログ名 イベントID 特徴
SharpRDP セキュリティイベントログ 4624 Logon Type: 3
EvilRDP/RKS セキュリティイベントログ 4624 Logon Type: 10
すべて アプリケーションとサービスログ Microsoft-Windows-TerminalServices-LocalSessionManager/Operational 21, 24 OSログイン成功, OSセッション再接続

これらのログにより、リモートログインの履歴を確認できます。 一方で、これだけでは通常のRDP接続かどうかを判別できません。

Sysmonでも同様にPort3389へのNetwork Connection Detected(イベントID 3)及びProcess Create(イベントID 1)が記録されます。

使用config(SwiftOnSecurity/sysmon-config)

  • Network Connection Detected(イベントID 3)

    • Image C:\Windows\System32\svchost.exe
    • DestinationPort 3389

  • Process Create(イベントID 1)

    • ParentImage C:\Windows\explore.exe ファイル名を指定して実行を通してコマンドが実行されるため、親プロセスがエクスプローラーであるという特徴があります。

レジストリエディタ

ファイル名を指定して実行ダイアログの実行履歴は、以下のように、HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\RunMRUに記録されます。下記のレジストリを監視することで、疑わしい動作を検知することができます。

Elasticのdetection rule例では、RDPへの接続→該当レジストリへの記録→新規プロセスの作成の一連の動作が行われた際に検知する例が挙げられています。

終わりに

今回はRDPを使用したツールの動作と検知可能性について確認しました。
どのツールの動作も一般的なRDPを用いたリモートホストの操作と同様の振る舞いをしており、単純なルールで検知することは困難であると感じました。
各ツールの特性を踏まえ、レジストリの監視やイベントログなど、複数の点を監視することが必要であると思われます。

検証には自身で管理する環境を使用し、自己責任でお願いします。また、この情報を悪用することは絶対に行わないでください。

バズワードに踊らされないために 流行技術と向き合うための心得

 Armorisでは、サイバーセキュリティ人材育成の他にも、さまざまな講座やワークショップを展開しています。今回は、本多暁が講師を担当する「DOJO Lite 流行技術概要解説」を紹介します。

 この講座は、サイバーセキュリティに限らずIT全般について、ほやほやの最新情報を継続的にインプットしたい方にオススメです。その名の通り、流行技術を扱っているので、内容は毎度アップデートされます。生成AIなんてまさにそうですが、昨日までの常識が、明日にはもう古くなっていたりします。本多講師も開催2日前まで資料をアップデートして臨むものの、それでもフォローしきれない新情報があって口頭で補っています。本記事では、個別のテーマに限らず流行技術との向き合い方の本質について、本多講師のトークをまとめてお伝えします。

Armoris DOJO Operation Manager 本多暁 SI界から来た何でも屋さん

DOJO Lite 流行技術概要解説」の概要と目的

 世の中には、いろんな流行り廃りがあります。2023年は、AIの話題が随分増えた印象です。この講座では、2023年に話題になった技術がどんなものだったのか、そして、それが2022年以前にはどのように予測されたり扱われたりしてきたのか振り返っていきます。流行以前の世の中の期待、技術的に成熟していく過程を時系列で理解することで、話題の技術の正体、そして、自分で調査する際の観点を養うことができるでしょう。

流行技術との付き合い方

1.背景技術について理解する

 完全に新しい概念は、そうそう出てきません。新しく見える技術も、たいてい裏でコンピュータが何らかの処理をしています。既存の技術の組み合わせや応用もあります。いろんな人が研究や検証を繰り返し、その中の一部が商業的に成功して表に出てくるわけですから、「これはもともと何だったんだっけ?」と考えてみると面白いです。

 例えば、ビットコイン。これはハッシュ関数と署名とP2Pネットワークの組み合わせです。個々の技術はかなり古いものです。

 流行るタイミングによって背景技術が変わるものもあります。たとえば、AIという概念は、1950年代頃からあり、これまで大きく分けて3回のAIブームがありました。しかし、ずっと同じものをAIと言っていたわけではありません。「大昔にAIが流行ったけど大したことなかったし、今回もどうせそんな感じでしょ」では、読み間違えることになります。

2.なぜ流行っているのか考察する

 なぜ流行っているのか考察するのも面白いです。真に技術的に優れている・画期的であるから流行っているというケースは、そんなに多くないかもしれません。既存サービスとの差別化がうまくいったから、メディアでよく取り上げられるからという一見すると技術的なところとは関係のない理由も少なくありません。いろんな人の思惑があって表に出てくることもあります。

3.定義に固執しない

 定義に固執しないことも大事です。「DX」なんかまさにそうかもしれませんが、商業化された技術やサービスには利害関係者がいます。利害関係者がポジショントークを展開するのは当たり前のことです。誰が、どんな目的でその技術に関わっているのか、邪推にならない程度に考えてみましょう。

 物事を前に進めるために大切なのは、私とあなたの定義を一致させることではなく、今この技術について、どういう背景・考え方で話しているのか見極めることです。一方で、技術的に正しい説明は、それはそれで大事。揉めそうになったら、「まぁ、諸説ありますよね」と、争いを避けながら話を進めるほうが得策かなと思います。

4.適度に近づく

 新しいものに対して、熱狂し過ぎてもいけないし、冷淡であり過ぎてもいけません。大人になると冷淡になりやすくなります。新しいものが怪しく見えることも珍しくありません。でも、仮に自分がそれをあまり好きではないとか、胡散臭いなと思ったとしても、自分なりに分析・考察できる程度にはアンテナを張っておかないと、情報収集すらできなくなってしまいます。

 それに、世間的に使われるようになれば、何らかの形で自分にも影響が及んできます。たとえば、ChatGPTが出始めた頃は、「何だか気持ち悪い」「リスクがありそうだから使わない」と言っていた人もいました。しかし、周りが使い始めたら、生成AIで作られたデータは勝手に外から飛んでくるようになりました。

 新しい技術が何に使えるのか、自分や周囲にどういった影響があるのか、継続的に考察しましょう。疑ってかかることは重要ですが、慎重になることと感情的な非難は別物です。

5.適切に距離を取る

 そうは言っても、適切に距離を取りましょう。先ほど利害関係者と言いました。認知バイアスといって、当事者はどうしても思い込みに陥りやすいです。自分にとって都合の悪い情報を軽視する正常性バイアスや、生存者バイアスなんかもあります。成功の裏側には、無数の失敗や敗北者たちがいることを想像できないと、リスク回避ができなくなってしまうかもしれません。だからこそ、これまでお話ししてきた1~4までが重要になってくるのです。

6.特定のポジションと争わない

 誰にでも「ポジション」があります。私だって、こんな講座やっていて、なるべく客観的な情報を伝えたいところなのですが、真に客観的になることは無理です。私はもともとシステム開発に従事していました。だからどうしても、プログラム的にこれは適切なのか、という部分に目を向けたくなってしまいます。

 ですから、「私は客観的に話しています」という人の話でも一歩引いてみることが大切だと思っています。そして、自分の背景を具体的に表明した方が良いです。私には私のポジションがある。あなたにはあなたのポジションがある。そのポジション同士は混ざり合わないことを前提に、違いを理解することが大事です。

7.「銀の弾丸はない」と心得る

 最後に、「銀の弾丸はない」と心得る。これは、ソフトウェア技術者 フレデリックブルックスの1986年の論文『銀の弾丸などない』に書かれていたフレーズです。銀の弾丸とは、ヨーロッパの伝承神話で、モンスター、特に狼人間を一撃で撃ち倒す強力な武器の例えです。「そういった便利なものは、ソフトウェアエンジニアリングの世界には存在しませんよ」ということを言っています。

 でも、悲観主義ではありません。「新機軸をもたらすための継続的な一貫した努力はそれはそれで認めている」という内容になっています。言い換えれば、「There is no royal road, but there is a road.(王道はないけど道はある)」。このフレーズも確かこの論文の中に書かれています。

8.試しに使ってみるのが一番手っ取り早く理解できる

 こんにちのコンピュータの新しい仕組みは、原理を正確に理解しようとすると、高いレベルの数学の知識が求められます。大学以上、少なくとも行列やベクトルの知識がないと本当の意味での理解は難しいかもしれません。でも、それではハードルが高すぎる。この講座では、じっくり聞いたら理解できるようにポイントをまとめています。ただし、「試しに使ってみるのが一番手っ取り早く理解できる」ということは申し上げておきましょう。

――ということで、次回の「DOJO Lite 流行技術解説」は、5月31日。テーマは、「ダークパターン」を予定しています。ダークパターンとは、消費者を騙して不利な契約や意思決定に誘導するUIやサービスデザインの総称です。ダークパターンの類型、ダークパターンの起源、サービスの企画・開発・提供者として気を付けるべき点など、2時間で徹底解説します。ぜひご参加ください!

現実世界がサイバー空間に与える影響――日本企業も要注意、中国と台湾をめぐるサイバー空間の動き

 こんにちは、Armoris 広報の酒井です。エストニアのサイバーセキュリティの権威で、Armorisの協力メンバーでもあるRain Ottis(レイン・オッティス)が、2023年12月、企業向けに講演し、現実世界がサイバー空間に与える影響と2023年のサイバー紛争について、2023年11月11日時点の情報を語りました。今回は、中国と台湾、その同盟国を交えて繰り広げられるサイバー空間の動きについて、Rainが語ったエッセンスを紹介します。(以下は、Rainによる講演内容の要約です)

レイン・オッティス――タリン工科大学サイバーオペレーション学科教授で、以前は、NATO Cooperative Cyber Defence Centre of Excellenceとエストニア国防軍に勤務していました。

中国から台湾に向けたサイバー攻撃が激化

 最後のお話は、中国と台湾をめぐるサイバー空間の動きです。こちらもかなり活発化しています。日本の皆さんにとっても興味深い情報となるでしょう。

 ここ数年、中国から台湾に向けたサイバー攻撃が激化しているとされています。これらの動きは軍事作戦の準備だと捉えることもできるでしょう。なぜなら、つまり、台湾の軍事ネットワークやその他の重要なネットワークにアクセスすることで、軍事衝突が発生した場合、重要なシステムの電源を切ったり、無効にしたり、潜在的な紛争の過熱期に防御システムを混乱させることができるのです。いざ軍事攻撃が発生した際に、防御システムが妨害される可能性も考えられます。

 しかし、こうしたサイバー攻撃は、市民社会全体や民主的な統治システムも標的にしており、国民と政府、そして国民の間に不信感を植え付けることで、台湾側の潜在的な攻撃的動きを統治しづらくしているという主張や報告もあります。

 台湾に対するサイバー攻撃には潜在的な経済的影響があります。台湾はICチップの生産の最重要拠点です。したがって、サイバー攻撃が成功して台湾のサプライチェーンが侵害されれば、台湾経済だけでなく、日本経済、世界経済全体に大きな影響を与えます。これが、台湾に向けてこれほど多くのサイバー攻撃をしている理由の一つと推察されます。

同盟国が狙われる

 日本の人々が中国と台湾に注目すべきもう一つの理由は、中国が台湾の同盟国、潜在的な同盟国も標的にしているとされているからです。中国のマルウェアは、グアムを含むさまざまな米国政府および軍のネットワークで発見されています。これがアメリカ軍の航空作戦や一般的な軍事作戦を妨害するための軍用マルウェアである場合、中国側からすれば、このマルウェアを適切な時期に使用することは理にかなっています。また、中国の脅威アクターが、日本の防衛ネットワーク、防衛省、サイバーセキュリティ機関ネットワークを含む日本のさまざまなネットワークに侵入していることも報道でよく知られています。

 中国は今後も、アメリカ、台湾、日本、および中国が潜在的な競争相手とみなす国々のネットワークを侵害し続けるでしょう。現状これは確実に行われています。というのも、ほとんどの国はこの種の攻撃が実際の武力攻撃に相当するものであると主張したがらないため、サイバー攻撃はこの種の国際紛争で、自らの地位を高めるための効果的な手段の一つとなっているのです。(ですから、実際にリアルな軍事衝突まで引き起こす可能性は低いと考えられます)

エストニアの海底ケーブルと海底ガスパイプラインに起きた怪しい事象

 今日議論したい最後の例は、私の身の回りからかなり近いものです。それは、過去数か月で、エストニアと欧州の他の地域とを結ぶ海底ケーブルと海底ガスパイプラインに関連していくつかの事件が発生しているというものです。

 具体的には、2本の海底光ファイバーケーブルが損傷し、エストニアフィンランドを結ぶ海底ガスパイプラインの1つが損傷しました。これらの事件の真相はまだ調査中ですが、エストニアフィンランド、およびスウェーデンの当局はすでに、これは意図的に行われたもので、外部のアクターが関与している可能性があると述べています。

 事実として、中国のコンテナ船がこれらの侵害地点を通過したことが分かっています。侵害が発生していた時点で、おそらく船が海底に錨を引きずっており、それによって少なくとも2つのインフラが壊れたようです。

 中国の船は、ロシアに到達した際に写真を撮られ、その船が錨の一つを失くしていることが確認されました。そして、海底には錨が一つ放置されているのが見つかりました。

 なぜこの例が日本にとって興味深いと言えるのでしょうか。それは、日本が島国だからです。日本はエストニアよりもはるかに世界と接続するケーブルが多数あります。日本が世界の国々とあらゆる接続を持っているかぎり、同様の攻撃に脆弱だということです。

 平時においてもこのようなインフラの混乱が起こり得ると考えるべきです。つまり、冗長化が重要で、複数のケーブル、理想的には衛星接続も必要です。

 ここまでお話したことは、あなたの国、あなたの会社でしっかり認識すべき問題です。仮に、国に対してサービスを提供する企業であるならば、敵対勢力が侵入する理由になります。考え得るさまざまな事象を検討し、インシデント対応計画を策定し、事業継続性を高めるために、演習が有効です。

――以上が、Rainが語った中国と台湾をめぐるサイバー空間の動きです。最後に、インシデント対応への準備の重要性が示唆されました。Armorisでは、個人向けのトレーニングジムのように各自の課題に好きな時間に取り組む講座から、企業・団体向けのインシデント対応演習講座、さらに合宿型の演習サービスなど、受講者のレベルやニーズに合わせたさまざまな講座を用意しています。まずはサイトを覗いてみてください!

Armorisのトレーニング一覧:https://www.armoris.jp/top/service

サイバーインシデント対応者向けインシデント調査を学ぶ合宿

このブログは、今年度から株式会社Armorisの社員になり様々なトレーニングのサポートなどをしているKaepiが書いています。

Armorisでは多種多様なトレーニングプログラムを提供しており、お客様のニーズに応じて様々な形式で研修を実施しています。
また、すべてのトレーニングプログラムが対面/オンラインでの実施に対応しています。
その中で、今回Armorisとしては2019年以来となる合宿を行ったので、事例紹介を交えつつ、ティーチングアシスタント(以下「TA」)として参加した立場で見た合宿の様子を紹介いたします。

ティーチングアシスタント(TA)とは、講師をサポートするスタッフのことです。
合宿当日において、TAは演習中に参加者からの質問に応じたり、進行状況を見て適宜ヒントを提供するなどの役割を担っています。
そのほかにも、演習の円滑な進行のために、様々な面から参加者・講師のサポートを行いました。

実施形態について

近年では感染症の流行などの影響もあり、多くのトレーニングがオンラインでの実施となっていますが、最近は対面での研修依頼も増えてきています。

こういった流れの背景には、単に感染症の影響の増減だけではなく、ある程度リモートワークやオンライン研修を続けることで、それぞれの違いが明確になってきたことも一因だと思います。

オンライン研修では感染リスクを抑える以外にも、場所を問わず受講が可能な点や、移動時間が短縮できる分柔軟なスケジュールを組むことができる点などのメリットがあります。

しかし、どうしてもチャットやオンラインミーティングでは質問がしづらいという方や、講師側もサポートが必要なのかがわかりづらいなど、できるだけコミュニケーション面での不便さを解消しようとはしているものの、現時点では完全には解決できていないという課題もあります。

その点、対面での研修では現地参加ならではのコミュニケーションの取りやすさ・活発な交流などが期待できます。

ようやく感染症が収束に向かってきている現在、対面・オンライン双方の特性を考慮した結果、対面での研修も選択肢に入ってきたのではないでしょうか。

合宿について

2023年11月中旬に行った合宿を事例として紹介します。

この合宿は首都圏のホテルにて一泊二日で実施し、所属企業は伏せさせていただきますが、6名程度の参加者の方に参加いただきました。
参加者は2グループに分かれて、インシデント発生時のログ調査・原因究明という点に焦点を当てた演習を行いました。

また、合宿当日の演習をより効果的な学びにするために、合計12時間程度の事前勉強会を3日に分けて実施しました。

合宿と事前勉強会のスケジュール

日程 内容
事前勉強会1日目 コンピュータ・ネットワークの基礎
事前勉強会2日目 Linux基礎・ログ分析
事前勉強会3日目 Windowsセキュリティ・調査
合宿1日目 環境構築・ログ分析
合宿2日目 ログ分析・調査結果発表

事前勉強会について

事前勉強会では、合宿当日の演習を円滑に進めるため、WindowsLinuxの基礎知識に加え、合宿当日の演習に使用するツールの使い方やログ分析に必要な知識をハンズオンを交えて講義を行いました。
また、結果的に合宿に向けて参加者同士の交流を深めるきっかけになったと思います。

概要

演習は2日間にわたり、演習環境の構築とログ調査を行いました。
演習に使用するサーバなどの環境は、参加者が調査を行う環境に対して理解を深めるため、運営側が基本的なセットアップをしたLinuxサーバと必要な手順をまとめた資料を提供し、最終的な環境構築は参加者が行いました。

環境構築が完了するとTAから演習環境に対していくつかの攻撃が行われ、脆弱性を突いたwebサイトの改変や不審メールに起因するマルウェアの侵入・情報漏洩などのインシデントを再現しました。
参加者はwebサイトの改変や不審メールの報告を受け、プロキシサーバのアクセスログやWAFの検知ログ、Windowsのイベントログ・レジストリ・プリフェッチなどの調査を行い、最後に各チームが調査結果をまとめ、発生事象・被害・原因・影響範囲・対策などを発表しました。

TAから見た合宿の様子・感想

異なる所属部署・企業の参加者の方が同じグループとして演習に取り組む形でしたが、合宿中は活発にコミュニケーションが取られており、参加者の方の中でも教えあいながら知見を共有していました。
また、合宿自体は2日間と短期間でしたが、事前勉強会を行ったことにより全員が取り残されることなく演習に参加できていて、より良い学習につながったと思います。

長時間かつボリュームの大きい演習内容だった事もあり、演習終了時には疲労困ぱいの様子でしたが、その中にはやりきったような雰囲気がありました。

合宿をサポートしていて気づいた点としては、今回のような共通の目的を設定して複数人で問題解決をするタイプのトレーニングでは、全員が現地に集まって実施するほうが学習効果が高いように見えました。

理由としては、合宿中に些細なところでも気軽に質問できる雰囲気があったと感じた点や、複数人で協力して取り組む上で、やはりコミュニケーションや連携といったところが重要になってくることから、対面での実施が有効だと考えた点が挙げられます。

また、合宿ならではというところでは、普段の業務などから切り離した環境で行うことで、より集中できる環境を用意できるといったメリットもあると思います。

最後に

今回のブログでは昨年の11月中旬に行った合宿について紹介をさせていただきました。
今回紹介した事例などは一例であり、お客様の要望に合わせて組み上げられますので、お気軽にお問い合わせください。

お問い合わせ: https://www.armoris.jp/contact/inquiry

※あるもりすぶろぐの内容は個人の意見です。

現実世界がサイバー空間に与える影響――パレスチナ・ガザ地区をめるぐ展開

 Armoris 広報の酒井です。エストニアのサイバーセキュリティの権威で、Armorisの協力メンバーでもあるRain Ottis(レイン・オッティス)が、2023年12月、企業向けに講演。現実世界がサイバー空間に与える影響について、2023年11月11日時点の情報を語りました。今回は、パレスチナガザ地区を実効支配する武装組織「ハマス」によるイスラエルへの攻撃とイスラエル軍によるガザへの侵攻におけるサイバー空間の動きについて、Rainが語ったエッセンスを紹介します。(以下は、Rainによる講演内容の要約です)

レイン・オッティス(Rain Ottis)――タリン工科大学サイバーオペレーション学科教授で、以前は、NATO Cooperative Cyber Defence Centre of Excellenceとエストニア国防軍に勤務していました。

止まぬ混沌

 今回は、パレスチナガザ地区を実効支配する武装組織「ハマス」によるイスラエルへの攻撃とイスラエル軍によるガザへの侵攻におけるサイバー空間の動きについて解説します。この紛争をめぐっては、少なくとも20年間、定期的にサイバー攻撃が行われてきました。ハクティビズムに関連した活動も数多く見られます。

 はじめに、ガザ地区は非常に小さな土地です。サイバーの観点では、ターゲットになり得るインフラが比較的少ないと言えます。一方、イスラエルには多くの重要インフラ、ハイテク企業があります。その意味で、非常に大きな攻撃目標が存在します。イスラエルもそれを自覚して備えていて、イスラエルのサイバーセキュリティ能力は非常に優れていると一般に認められています。ですから、この紛争は、比較的同じレベルの技術、同じレベルのインフラを持つ者同士のロシア・ウクライナ戦争とは大きく異なります。

2023年10月7日、イスラエルへの奇襲攻撃がもたらしたもの

 2023年10月7日、ハマスガザ地区からイスラエルに奇襲攻撃を開始しました。イスラエルにとっては不意を突かれたもので、ハマスの攻撃は成功しました。これにはハマスの同盟者たちも驚いたようです。エストニアにいる私たちも、日本の人々もこの出来事には驚いていました。

 この攻撃で、ハマスは一時的にいくつかの入植地と軍事施設を占領し、多くの民間人が無差別的な暴力に巻き込まれました。これらの出来事の多くは、彼ら自身、もしくはTVカメラやジャーナリストを通じて発信され、国際世論は反ハマスに傾きました。なぜなら、彼らの行為には何の名誉も大義名分もなく、明らかにテロと見なされるものだったからです。予想通り、イスラエルは報復し、ガザに駐留するハマス部隊とそのインフラを排除するため、地上作戦を開始しました。

暗躍するハクティビスト

 米国と西側諸国がイスラエル支持を表明する一方で、イラン、ロシア、中国は政治的にハマスを支持しています。そして、おそらくサイバー空間でもハマスをある程度支援しているでしょう。では、サイバー空間での紛争において親ハマス側、親パレスチナ側には誰がいるでしょうか。そこにはハクティビズムが多く存在しています。

 ハクティビストにもいろいろな目的を持った集団がいるということは、前回の記事でも解説した通りです。この紛争でも、一部は特定の理念を強く支持して自発的にサイバー攻撃を実行する言葉通りのハクティビストですが、中には、ロシア・ウクライナのケースと同様、”ハクティビスト”と引用符で囲む必要がある組織もあります。つまり、自発的ではなく、政府関係機関の要請で、ハクティビスト的な活動をしている集団です。また、イランからの脅威と見られるいくつかのアクターも存在しています。

 具体的なサイバー攻撃の内容としては、DDoS攻撃をはじめとした典型的なサイバー攻撃がほとんどのようですが、イスラエル側にはより攻撃対象が多く存在することに注意すべきでしょう。

 また、ここでもメディアが標的にされています。攻撃者は世論をコントロールしたいと考えていますし、メディアが彼らの正体や行為を報じることを避けたいと思っています。従って、イスラエルでは、メディアやさまざまな政府機関に対する弾圧キャンペーンが行われています。

ハクティビスト”に期待されるのは、”脅威”を作り出すこと

 ポイントは、多種多様なハクティビストが存在するものの、現実世界の戦争に大きく影響するような成果は上げていないということです。それは、ウクライナ・ロシアも同様です。彼らはしばしば自分たちの成果を誇張し、成功を声高に主張することがありますが、実際には単なるサイバー攻撃の試みに過ぎないことも多いのです。例えば、どこかのウェブカメラにアクセスできた場合、それを利用してまるで州全体の監視カメラシステムが彼らの支配下にあるかのように見せかける、といったこともありました。

 世界中のさまざまな紛争で、こういった動きが発生しています。大手メディアがこの問題をかなりの範囲で取り上げている場合、たとえそのサイバー攻撃が現実世界の紛争に多大な影響を与えなかったとしても、脅威と思わせること、脅威を作り出すことが可能になるのです。

サイバーセキュリティ演習の分類について(番外編)

 こんにちは。Armorisでいろんな案件にたずさわる川崎です。昨年、とある組織を対象とした経営層向けサイバー演習プロジェクトについて、このブログでその概略をご紹介させていただきました。その中で、他の形態の演習プログラムも提供していることについて少し触れましたが、今回のブログでは弊社が提供する各種演習プログラムについて、その概略や狙い、主な想定受講者層等について、比較しながら簡単にまとめたいと思います。

動画を用いたセキュリティワークショップシリーズ

 サイバーインシデント・情報セキュリティインシデント事案をドラマ形式の動画を視聴しながら優しく学ぶシリーズ。動画のシーンごとに自分の考えを発言する機会を設けていますので、受講者自らの思考を鍛錬する効果も期待できます。
※想定受講者の異なる2つの講座があります
詳細はこちら
https://www.armoris.jp/top/service/group/respons-exp

参加人数:5人程度×3グループ【共通】
実施に必要な時間:
2時間程度(サイバー)
1時間程度(情報セキュリティ)
特にお薦めする組織:

  • セキュリティ部門の育成を図りたいと考えている組織(サイバー)
  • 一般従業員のセキュリティリテラシの向上を図りたいと考えている組織(情報セキュリティ)

 

DOJO CORE

 架空の組織を舞台として、その組織のメンバーとして発生したサイバーインシデントへの対応を行う机上演習です。参加者は演習事務局から提示された状況付与に基づき、必要なアクションを検討して実施します。 ※参加者が自らログ分析を行うAタイプと、参加者がログ分析をシステム保守事業者に指示するBタイプの2種類があります
詳細はこちら
https://www.armoris.jp/top/service/group/dojo-core

参加人数:5人程度×3グループ
実施に必要な時間:5時間程度
特にお薦めする組織:セキュリティ部門の育成を図りたいと考えている組織

経営層向けサイバー演習支援サービス

 自組織の特定のサービス、事業、エリア、部門等でサイバーインシデントが発生したことを想定した経営幹部向けの机上演習です。単なる技術的なサイバーセキュリティの観点のみならず、ビジネスインパクト、事業継続、対外的なリスクコミュニケーションといった、経営幹部が対応すべき様々な事項についてシミュレーションを行います。
詳細はこちら
https://www.armoris.jp/top/service/group/exercise-executive

参加人数:ASK
実施に必要な時間:ASK
特にお薦めする組織:サイバーセキュリティ上の課題を経営視点で洗い出したいと考えている組織

演習サービスまとめ

 上記のとおり、Armorisはサイバーセキュリティに係る多種多様な演習プログラムを提供しております。「サイバー演習」とは、自組織におけるサイバーインシデント発生時の対応体制の過不足の検証や課題の洗い出しを行い、改善を行う取り組みの一つです。是非、こうしたプログラムをご活用いただき、組織のサイバーレジリエンス向上につなげるお手伝いができましたら幸いに思います。
ご不明点などございましたら、下記お問い合わせフォームからお気軽にご相談ください。
株式会社Armoris - お問い合わせ