OSINTBuddyで調査する(実践編)

このブログは、株式会社ArmorisアルバイトのShaderoが書いています。

あるもりすぶろぐの内容は個人の意見です。

はじめに

今回は、OSINTBuddyというオープンソースで開発されているOSINTツールを使って実際のフィッシングサイトを調査します。この調査を通じて、OSINTBuddyの現時点での実用性を紹介します。

OSINTBuddyのバージョンが変わった影響で手順は若干変わっていますが、環境構築については前回の記事をご参照ください。

Entity一覧

OSINTBuddyでは、標準でいくつかのEntityが用意されています。用意されているEntityは以下の通りです。

名前 説明
CSE Result Google カスタム検索の検索結果を表すEntity。
CSE Search Google カスタム検索を用いて検索するためのEntity。
DNS ドメインDNSレコードが格納されたEntity。このEntityから、IP Entityに変換できます。
Google Result Google検索の検索結果を表すEntity。
Google Search Google検索を用いて検索するためのEntity。
IP IPアドレスを表すEntity。IP Geolocation等に変換できます。
IP Geolocation IPアドレスから取得した位置情報。
Subdomain サブドメイン名を表すEntity。
Telegram Websearch Telegram内で検索するためのEntity。内部実装では検索にCSEを使用しています。
URL URLを表すEntity。Website Entityに変換できます。
Username ユーザ名が格納されているEntity。
Username Profile ユーザ情報を表すEntity。カテゴリ名とサイト名、URL、ユーザ名を格納できます。
Website ドメイン情報を表すEntity。IPアドレスWhois情報等を取り出せます。
Whois 指定ドメインWhois情報を表示するEntity。

一部Entityでは、新しい情報を外部から収集することが出来ます。例えばDNS Entityでは、指定ドメインDNSレコードに紐付けられたIPアドレスを取得することが出来ます。

新しい情報を外部から収集することが出来るEntityは以下の通りです。また、現時点では収集機能が正常に動作しないEntityもあるため、その点についても記載します。

名前 情報収集機能の有無 動作の可否
CSE Result × --
CSE Search
DNS
Google Result × --
Google Search ×
IP
IP Geolocation × --
Subdomain × --
Telegram Websearch ×
URL × --
Username
Username Profile × --
Website × --
Whois × --

動作の可否を△としたIP Entityでは、IPアドレスから位置情報を取得する機能は正常に動作しましたが、IPアドレスからドメインや、サブドメインを逆引きする機能が正常に動作しませんでした。

なお、構築した検証環境での結果のため、他環境では結果が異なる場合があります。

OSINT調査

それでは実際にOSINTBuddyを用いて調査を行います。今回は、OSINTによって該当フィッシングサイトの情報を収集し、その情報を元に他フィッシングサイトを収集するという流れで調査を行います。

なお、調査に必要になるグラフは作成済みとします。グラフの作成方法等は前回の記事をご覧ください。

環境

今回の検証で用いる環境は以下の通りです。 基本的にOSINTBuddyはサーバ側で動作させ、クライアント側からアクセスする形で使います。

また、予め3000ポートと8000ポートをクライアント側にフォワーディングしています。

ssh username@serverIP -L 3000:localhost:3000 -L 8000:localhost:8000

サーバ

Name Value
OS Ubuntu 22.04
OSINTBuddy v0.1.0

クライアント

Name Value
OS Windows 11
Browser Microsoft Edge

フィッシングサイトの情報を収集する

OSINTBuddyのグラフを用いて、フィッシングサイトの情報を収集します。

Website Entityに、フィッシングサイトのFQDNを入れた後、Entityを右クリックして、情報を収集します。

本来は、IPアドレスGoogleの検索結果、Whois情報、DNS情報の4つがWebsite Entityから取得できるはずなのですが、不具合によりIPアドレスWhois情報しか取得できませんでした。

その後、取得できた情報から、さらに収集した結果が以下の画像になります。

他フィッシングサイトを見つける

先ほどの工程で、フィッシングサイトの情報を収集しました。ここでは、その情報を元に他フィッシングサイトを見つけます。

収集したIPアドレスを紐付けている別ドメインを収集することで、他フィッシングサイトを見つけたいのですが、OSINTBuddyにはその機能が用意されていませんでした。そのため今回は、VirusTotalを用います。

先ほど収集したIPアドレスVirusTotalに入力した結果、紐付けられているドメインを10件取得できました。

OSINTBuddyを使って、VirusTotalから取得したドメインから情報を収集します。

IPアドレスは取れたものの、ほとんどのドメインWhois情報を取得できませんでした。ログを見ると、Whois情報取得の過程でCAPTHA認証を求められた事がWhois情報取得失敗の原因でした。

またIPアドレスが同じでも、別Entityとして登録されており、これらを纏める事が出来ませんでした。OSINTにおいて、同一情報を纏める事は重要なので、現状の機能では実用性に欠けると感じました。

おわりに

今回は、OSINTBuddyを用いて実際のフィッシングサイトを調査しました。

調査の過程で、不具合が多い点が気になりました。具体的には、Website EntityからDNS情報、Google検索結果を取得できない点や、Whois情報の取得に失敗するケースがある点などです。また同一Entityを纏める機能や、VirusTotalと連携するPluginが無い点も気になりました。

現状では実用性に欠けると感じましたが、Web上でOSINTが行える点やOSSである点は大きなメリットです。今後のアップデートに期待したいです。

特定期間に発生したインシデントとその報道されたニュースとかのリンクをまとめたもの18

このブログは別の場所でSOCにも携わっている経験のある株式会社Armorisのseanが、本人の興味範囲に基づいて収集したサイバーセキュリティ関連の出来事をまとめたものです。
各出来事に関するコメントは個人の意見です。

サイバー世界情勢

地域的なサイバーセキュリティの話題。サイバー攻撃の話題の場合は、攻撃を受けた側の地域別に分類。地域分けが間違っていたらご容赦ください。

アジア

12/4

12/7

12/8

12/11

12/14

12/16

北米

12/15

12/29

ヨーロッパ

12/4

12/7

12/8

12/13

12/29

中東

12/14

12/16

12/29

アフリカ

12/20

12/27

脆弱性関連

12/4

12/7

12/8

12/11

12/12

12/13

12/29

分析手法、ツール関連

12/7

12/8

12/11

12/14

12/15

12/16

12/29

解析・分析・研究記事

マルウェア

12/4

12/5

12/8

12/15

12/16

12/19

12/21

12/25

攻撃手法

12/27

フィッシング

12/14

APT

12/5

12/6

12/8

12/15

12/16

12/26

ランサムウェア

12/4

12/22

悪意あるパッケージ

12/7

Bot

12/29

マルバダイジング

12/5

RAT

12/25

インフォスティーラー

12/26

ローダー

12/29

悪意あるプログラムのアプリストア配布

12/6

偽のアップデートメッセージ

12/11

認証情報窃取

12/8

OAuthの悪用

12/14

スミッシング

12/20

SMTPスマグリング

12/19

HTMLスマグリング

12/7

偽のセキュリティアドバイザリ

12/5

偽のブラウザ機能拡張

12/25

サイドチャネル攻撃

12/8

Javascript Web インジェクション

テイクダウン・逮捕

12/4

12/12

12/14

12/21

12/25

レポート・まとめ

12/4

12/5

12/6

12/8

12/13

12/16

12/19

12/21

12/27

12/29

官公庁・組織・団体公表

NASA

12/28

経済産業省

12/22

IPA

12/20

JC3

12/28

OT

12/8

12/12

12/16

システム・セキュリティ業界の動向

Apple

12/13

Google(Android)

12/14

Microsoft

12/14

攻撃側の動向ほか

12/12

業界別インシデント

金融・証券・保険・ローン

12/22

12/29

暗号資産

12/15

会計

12/25

製造

12/6

12/11

12/20

自動車関連

12/7

12/8

12/13

サービス

12/21

情報

12/4

12/5

12/16

12/21

12/28

教育

12/4

12/11

12/12

12/29

医療・医薬・ヘルス

12/8

12/16

12/27

12/28

バイオ

12/5

食品、飲料

12/16

12/28

小売、卸売

12/8

12/11

12/14

電気機器

12/26

12/28

出版、書籍販売

12/13

12/25

ゲーム

12/12

12/14

12/25

  • UBISOFTの約900GBものデータが危うくハッキング、セキュリティチームが防衛成功

12/28

放送

12/20

メディア

12/25

官公庁、国家・公的機関

12/5

12/11

12/15

県立機関・組織

12/26 

農業

12/19

協会

12/5

12/20

独立行政法人

12/28

航空・宇宙

12/5

宿泊

12/4

  • 【重要なお知らせ】不正アクセスによりお客様の個人情報が第三者に閲覧された可能性とフィッシングサイトに誘導するメッセージ配信についてのお詫びとお知らせ(ホテル八重の翠東京)

宝くじ

12/28

セキュリティ

12/8

SBOM関連

12/13

12/26

啓蒙・教育・人材関連

12/4

12/6

12/22

12/26

12/27

サプライチェーン関連

12/14

気になった記事

12/7

12/8

12/11

12/12

12/19

12/25

現実世界がサイバー空間に与える影響――ウクライナ侵攻とハクティビストの動き

 こんにちは、Armoris 広報の酒井です。エストニアのサイバーセキュリティの権威で、Armorisの協力メンバーでもあるRain Ottis(レイン・オッティス)が、2023年12月、企業向けに講演。現実世界がサイバー空間に与える影響について、2023年11月11日時点の情報を語りました。今回は、ウクライナ侵攻におけるハクティビストの動きについて、Rainが語ったエッセンスを紹介します。(以下は、Rainによる講演内容の要約です)

レイン・オッティス(Rain Ottis)――タリン工科大学サイバーオペレーション学科教授で、以前は、NATO Cooperative Cyber Defence Centre of Excellenceとエストニア国防軍に勤務していました。

政府の指示で動く”ハクティビスト組織”が存在する理由

 前回は、ウクライナ侵攻に関連する2023年11月時点の最新のサイバー空間の動きについて解説しました。ウクライナ侵攻に関して、もう一つ注目すべきは、ハクティビストの動きです。というのも、現在観測されている複数の”ハクティビスト組織”は、本来の言葉どおり、政治的なイデオロギーを持った集団かどうか、必ずしも明確ではないからです。

 中には、ロシア政府から指示を受けている、もしくは、政府の一部である可能性が指摘されている組織も存在しています。また、ウクライナのIT軍(注:ウクライナ側の立場でサイバー攻撃を行っているとされている組織)は主に志願兵で構成されていますが、私の知る限り、ウクライナの指揮系統にある程度統合されており、ウクライナ政府から指示や支援を受けているようです。そのため、ハクティビストという言葉が引用符で囲まれているのです。

 無所属のハクティビストの多くは、やがて飽きて他のプロジェクトに移る傾向があります。そのため、政府の支援を受けた”ハクティビスト組織”が必要とされているのかもしれません。

ハクティビストがもたらす軍事的効果は?

 ”ハクティビスト組織”の攻撃のほとんどは、DDoS攻撃への参加やさまざまな種類の改ざんなど、比較的単純なものです。そして、何らかのデータにアクセスできるようになると、相手を困らせるためにそれらを公開し、情報漏えいさせようとします。しかし、戦闘作戦への直接的な影響は、あるとしてもわずかなようです。したがって、こうした活動のほとんどは、情報戦の一部と見なされるべきでしょう。

 ここ数か月の間に、これらの”ハクティビスト組織”が「何らかのルールに従って行動しようとしている」という報道がいくつかありました。これが実際に起こるかどうかを観察するのは興味深いでしょう。例えば、赤十字は、「ハクティビズムにおいて従うべきいくつかのルールを提案した」と報じられており、これには「病院を攻撃すべきではない」といった内容も含まれています。一部の組織は、「ルールを念頭に置くよう努める」と述べているとされていますが、遵守されるとは言い切れないでしょう。

 さて、日本企業が知るべきは、ウクライナへの支援を約束した、あるいは支援を提供した一部の国もサイバー攻撃の被害に遭っているということです。

 全体として、ロシア・ウクライナ戦争とその中のサイバー紛争に関する今回の最新情報を要約すると、(2023年11月時点においては)サイバー攻撃は多くの専門家が予測していたような形では実現していないということです。つまり、軍事的な効果はほとんどないと見ていいでしょう。したがって、この戦争におけるサイバー攻撃は主に「情報操作」と「(報道されることで)注目を集めたい」というレンズを通して見るべきだと私は思います。ただし、決して安全だと高をくくってはいけません。

 次回は、ガザで展開中のサイバー攻撃についてです。

Evilgophishの検証

このブログは、最近AWSと格闘しているアルバイトのseigo2016が書いています。 あるもりすぶろぐの内容は個人の意見です。

はじめに

検証には自身で管理する環境を使用し、自己責任でお願いします。また、この情報を悪用することは絶対に行わないでください。
今回は、フィッシングメールや、標的型攻撃メールの訓練に有用なソフトウェアである、Evilgophishの検証を行いました。

概要

Evilgophishは、中間者攻撃フレームワークのEvilginx3と、フィッシングツールキットのGophishを組み合わせたソフトウェアです。
Evilgophishを使うことで、ソーシャルエンジニアリングや標的型攻撃メールの訓練やテストを行うことができます。

Evilginxについて

Evilginxは、セッションCookieと共にログイン認証情報をフィッシングする中間者攻撃フレームワークです。 Go言語で独自のHTTP及びDNSサーバーが実装されています。

Gophishについて

Gophishは、ペネトレーションテスト等向けに設計された、オープンソース(MIT License)のフィッシングツールキットです。 こちらもGo言語で実装されています。

Evilgophishについて

Evilginx3をソーシャルエンジニアリングの検証や調査に用いるためには、別途個別の追跡情報を取得・確認する機能や、実際にメールやSMSなどに送信する方法を用意する必要があります。

このEvilgophishでは、Evilginx3とGophishを組み合わせることで、キャンペーンの統計情報の取得・確認やメール・SMSの送信などが可能であり、更にそれらの情報をWebブラウザから確認することができます。

検証

検証環境構成

すべての環境はVagrant上に構築し、それぞれにローカルのIPアドレスを付与しています。

  • Evilgophish実行環境
    • Ubuntu 22.04 (generic/ubuntu2204)
    • ホスト名 : example.test
  • メールサーバー実行環境
  • WordPressサーバー実行環境
    • Ubuntu 22.04 (generic/ubuntu2204)
    • WordPress (6.3.2)
    • ホスト名 : wp.test

Evilgophish環境構築手順

cloneとセットアップ

git clone https://github.com/fin3ss3g0d/evilgophish.git
sudo ./setup.sh example.test example.test true google.com true user_id false

Evilgophishの検証

Evilginxの起動・設定

cd evilginx3
./evilginx3 -g ../gophish/gophish.db -p legacy_phishlets/ --developer

-developerをつけることで、developer modeが有効になり、自己署名証明書が発行されます。 -pオプションでlegacy_phishlets/ディレクトリを指定することで、legacy_phishletsディレクトリ以下のphishletsが読み込まれます。 -gオプションで連携するgophishのデータベースを指定します。

検証のために用意したWordpress用のphishletを使用し、legacy_phishletsディレクトリ以下に配置しました。 このphishletは同じく株式会社ArmorisアルバイトのShaderoが以前の検証で利用したものを使わせてもらっています。

author: '@armoris'
min_ver: '2.3.0'
proxy_hosts:
  - {phish_sub: '', orig_sub: '', domain: 'wp.test', session: true, is_landing: true}

sub_filters:
  - {triggers_on: 'wp.test', orig_sub: '', domain: 'wp.test', search: '{hostname}', replace: '{hostname}', mimes: ['text/html']}

auth_tokens:
  - domain: 'wp.test'
    keys: ['wordpress_logged_in_12913fd91550a6158ad37f2c7911fba9']
credentials:
  username:
    key: 'log'
    search: '(.*)'
    type: 'post'
  password:
    key: 'pwd'
    search: '(.*)'
    type: 'post'

login:
  domain: 'wp.test'
  path: '/wp-login.php'
config domain example.test
config ipv4 172.16.0.99
phishlets hostname wordpress example.test
phishlets enable wordpress
lures create wordpress
lures get-url 0

ここで表示されたフィッシングURLをgophish側で利用するため、保存しておきます。

gophishの起動・設定

今回は、gophishのダッシュボードにLAN内の別のマシンから接続するため、configのlisten_urlを書き換えています。

{
    "admin_server": {
        "listen_url": "0.0.0.0:3333",
        "use_tls": true,
        "cert_path": "gophish_admin.crt",
        "key_path": "gophish_admin.key"
    },
    "phish_server": {
        "listen_url": "0.0.0.0:8080",
        "use_tls": true,
        "cert_path": "gophish_template.crt",
        "key_path": "gophish_template.key"
    },
    "feed_enabled": true,
    "db_name": "sqlite3",
    "db_path": "gophish.db",
    "migrations_prefix": "db/db_",
    "contact_address": "",
    "logging": {
        "filename": "",
        "level": ""
    }
}
sudo ./gophish

起動に成功すると、初回ログイン用のユーザー名とパスワードが表示されます。 それを用いて、ブラウザからダッシュボードにログインします。

Email Templatesの作成

左側のメニューからEmail/SMS Templatesを選択し、New Templateボタンをクリックして、フィッシングメールのテンプレートを作成します。
本文内に{{.URL}}を設定することで、後で設定するEvilginxのフィッシングURLが挿入されます。

Email Sending Profilesの作成

左側のメニューからEmail/ Sending Profilesを選択し、フィッシングメールの送信に利用するSMTPサーバーの設定を行います。

Users & Groups の作成

左側のメニューからUsers & Groupsを選択し、New Groupから、フィッシングメールを送信するユーザーのグループを設定します。対象のユーザーの名前やメールアドレスを指定し、ユーザーを追加することができます。

Campaignsの作成

左側のメニューのLaunch Email Campaignからキャンペーンを作成します。
ここで、先程設定したEmail Template及びSending Profile、ユーザーグループを設定します。
また、evilginx URLの欄に、Evilginxで発行したPhishing URLを入力することで、先述のEmail Templatesの{{.URL}}の箇所にURLが挿入されます。

下部のProfitボタンをクリックすると、メールが送信されます。

今回はこのようなメールを送信しました。

キャンペーン状態の確認

送信後、ダッシュボードに戻ってくると、Email/SMS Sentが更新されています。 このように、グラフィカルにアクティブなキャンペーンの状態が確認できます。

また、画面下部のDetails欄に個別のメール送信先のStatusと取得した情報が表示されます。
受信したメールをユーザーがクリックすると、StatusがClicked Linkに更新され、クリックしたOS及びブラウザの情報と日時が表示されます。
その後、ユーザーがEvilginxで用意したフィッシングサイトにログインすると、Submitted DataCaptured Sessionのステータスが更新されます。

Details欄の該当ユーザーのタイムラインを見ると、用意したEvilginxのPhishletsでキャプチャするように指定した情報が取得できていることが確認できます。

Evilginx2と3の差異

セッショントークン関連

HTTP 応答パケットの本文や、Authorizationヘッダーなどからもセッショントークンを取得できるようになりました。

これまで、セッショントークンはHTTP Cookieとして送信される前提でしたが、最近ではJSONとして取得後、ローカルストレージに保存する流れも一般的であるためと説明されています。

config

configのファイルフォーマットがyamlからJSONに変更されました。一方で、phishletsはyamlのままです。

phishing sessions

有効なURLが開かれると、常にフィッシングセッションが作成されるようになりました。 これにより、ターゲットがURLを開く度にリバースプロキシセッションが新しく作成されます。

JavaScriptでのURLリダイレクト

これまでは、HTTP Locationヘッダーを通じてredirect_urlにリダイレクトしていました。しかし、この方法では、refererヘッダーを通じてフィッシングURLが宛先に公開されてしまっていました。今後はJavaScriptを用いてリダイレクトされます。

Evilgophishで攻撃された場合の検知方法

Gophishで送信したメールのX-MailerヘッダーにはIGNOREが設定されています。
X-Mailerヘッダーとは、送信者の使用したメールクライアントやそのバージョンなどが記載されたものです。
今のところ、このヘッダーの変更はOptionからは行えないようです。

今回送信したメールのヘッダー情報

最後に

今回はEvilginx2と3の比較と、Evilgophishの検証を行いました。
Evilginx3では、phishing sessions作成タイミングの変更やsession tokenを取得できる箇所の増加により、より柔軟に利用することができようになったと感じました。
また、Evilgophishを用いることで、メールテンプレートの作成や送信・統計情報の取得まで、ブラウザ上で容易に行うことができ、非常に有用であると思います。

「標的型攻撃による機密情報の窃取」は、IPAが公開している情報セキュリティ10大脅威 2023で、長年上位にランクインしています。Evilgophishを活用することで、標的型攻撃メール訓練の実施を簡単に行うことができます。

現実世界がサイバー空間に与える影響――ウクライナ侵攻とサイバー攻撃

 こんにちは、Armoris 広報の酒井です。エストニアのサイバーセキュリティの権威で、Armorisの協力メンバーでもあるRain Ottis(レイン・オッティス)が、2023年12月、企業向けに講演し、現実世界がサイバー空間に与える影響と2023年のサイバー紛争について、2023年11月11日時点の情報を語りました。今回は、ロシアによるウクライナ侵攻とサイバー攻撃について、ウクライナレジリエンスを高める契機となったインシデント、ロシアによるものとされるサイバー攻撃のあらましなど、Rainが語ったエッセンスを紹介します。(以下は、Rainによる講演内容の要約です)

レイン・オッティス(Rain Ottis)――タリン工科大学サイバーオペレーション学科教授で、以前は、NATO Cooperative Cyber Defence Centre of Excellenceとエストニア国防軍に勤務していました。

ウクライナ侵攻前からあった、ロシアによるサイバー攻撃

 2022年2月24日に始まったロシアによるウクライナ侵攻。しかし、実際には2014年のクリミア併合以来、両国は緊張状態が続いていました。

 例えば、2015年12月、ウクライナの電力網に対するロシアによるものとされる攻撃。首都キーウなどで大規模停電が発生し、約22.5万人に影響を与えました(この事件は、重要インフラへのサイバー攻撃によって停電が発生した世界初の事例だと言われています)。

 これは複雑で多層的なサイバー事件で、送電網へのアクセスを目的としたフィッシングやマルウェアの使用が含まれていました。OT用のハードウェアのファームウェアが侵害され、制御を取り戻すには、変電所を一カ所ずつ回って物理的に送電経路を切り替える必要がありました。さらに、電力会社のコールセンター機能を麻痺させる「TDoS(Telephony Denial of Service)攻撃」や、データを消去するためにマルウェア「KillDisk」が使用されるなど、ウクライナの復旧をより困難なものにしました。冬のウクライナの平均最低気温はマイナス4度。私の知る限り、この事件で命を落とした人はいなかったようですが、その可能性は大いにありました。

 もう一つ、非常によく知られたサイバー攻撃は、2017年の「NotPetya(ノットペトヤ)」と呼ばれるもので、会計ソフト「MEDoc」のソフトウェア更新の仕組みが悪用されました。当時としては比較的高度なマルウェアで、ウクライナの企業や団体に拡散されました。

地上より前に始まっていたサイバー空間の動き

 地上での侵攻が始まる直前の2022年1月から2月にかけては、サイバー空間で、これに関係するとみられる多くの事件が発生しました。つまり、地上より先にサイバー空間で動きが始まっていたのです。

 具体的には、ウェブサイトの改ざん、DDoS攻撃、ワイパー・ランサムウェアや他のタイプのマルウェアが非常に広範にわたって使用されました。再びウクライナの電力網を標的にした「Industroyer2」というマルウェアの使用も確認されましたが、幸い、この電力網への攻撃は早期に検知され、影響はありませんでした。

 しかし、2月24日の地上での侵攻が始まって1時間後、通信衛星ユーテルサット」を保有する通信衛星「KA-SAT」の地上局に攻撃があり、ウクライナだけでなく他の地域でも多くのシステムと組織がインターネット接続を失いました。ほとんど単なる迷惑行為で復旧可能なものでしたが、この状況で最初の数時間のうちに通信を失うことは壊滅的な影響を与える可能性がありました。ただ幸いなことに、ウクライナには代替の通信手段があり、防衛に致命的な影響はありませんでした。

影響し合う現実世界とサイバー空間

 サイバー空間の動きは、他の領域にも影響を及ぼしています。その一つがインフラを巡る争いです。要は、ケーブル、ルーター、アンテナなど、インターネットの物理インフラを制御する国が、この戦いでは明らかに有利なのです。第二に、電磁波の周波数帯の支配をめぐって非常に重大な対立が発生しました。これは主に電子戦の分野の問題ですが、周波数帯をコントロールできれば、通常では不可能なサイバー攻撃を起こせる可能性があります。また、経済制裁は明らかにロシアの戦争遂行に悪影響を与えました。国外からの輸入が規制されたことで、ハードウェアとソフトウェアの調達が制限されたのです。

 2022年から2023年にかけては何が変わったのでしょうか。注目すべき点は、多くの専門家の予想に反し、実際には大きな損害を与えるサイバー攻撃がほとんど発生していないことです。試みや攻撃の主張がなかったわけではありません。むしろさまざまな攻撃者が参加していますが、大きな被害は確認されていません。

ロシアによる標的型攻撃 法執行機関やメディア、エネルギー関連も標的に 

 ここからは、ロシアのAPT(標的型攻撃)のレベルに関してです。ここで紹介するのは、政府の情報機関がスポンサードする脅威グループのことで、2023年の主な標的は、ウクライナの法執行機関だったとみていいでしょう。

 彼らは戦争犯罪の証拠収集を妨害する試みに関係していると思われます。つまり、ロシア側は、ウクライナの法執行機関が後にロシアに対して裁判で使用する可能性のある証拠の収集を阻止しようと考えているとみられます。また、ウクライナのメディア企業に対するサイバー攻撃も観測されています。私はこれを大規模な情報キャンペーンの一環とみています。メディアへの攻撃は比較的単純です。DDoS攻撃を使用して、Webサイトをダウンさせるか、マルウェアを用いてシステムを内部から破壊するかです。

 最後に、ロシア側はエネルギーに関しても諦めていません。彼らはそこで足場を築き、エネルギーシステムを操作しようとしていますが、私の知る限り、今のところ大きな成功はありません。使用されている方法は比較的よく知られているもので、組織やシステムにアクセスするために、さまざまなフィッシングが行われています。

サイバー攻撃は何度も繰り返される 日本企業も警戒を

 ランサムウェアを含むマルウェアは非常に広範囲に使用されています。新しいものが次々導入され、情報戦の一部として使用されています。攻撃者が何らかのデータにアクセスできるようになると、データを漏えいさせようとします。重要なのは、こうした攻撃が一度や二度ではなく、何度も繰り返されているということです。

 日本の民間企業にとっても決して対岸の火事ではありません。つまり、攻撃されたことが分かり、システムをクリーンアップしたとしても、安全とは言えないわけです。攻撃者はあなたのシステムをある程度知っているため、何度も攻撃を試みるでしょう。そして、あなたの会社は攻撃を繰り返しやすい”簡単なターゲット”とみなされます。

 今回はここまで。次回は、ハクティビストの動きについてRainが語った内容をご紹介します。

特定期間に発生したインシデントとその報道されたニュースとかのリンクをまとめたもの17

このブログは別の場所でSOCにも携わっている経験のある株式会社Armorisのseanが、本人の興味範囲に基づいて収集したサイバーセキュリティ関連の出来事をまとめたものです。 各出来事に関するコメントは個人の意見です。

サイバー世界情勢

地域的なサイバーセキュリティの話題。サイバー攻撃の話題の場合は、攻撃を受けた側の地域別に分類。地域分けが間違っていたらご容赦ください。

今月は前月から引き続きヨーロッパと中東の記事が多いですね。

アジア

11/7

11/8

11/13

11/21

11/22

11/24

11/28

北米

11/7

11/22

ヨーロッパ

11/7

 

11/16

11/17

11/28

中東

11/7

 

11/8

 

11/10

11/15

11/20

11/28

11/29

11/30

オセアニア

11/7

11/13

アフリカ

11/29

脆弱性関連

数が多いので気になったものだけをまとめます。

11/8

11/15

 

11/16

11/28

11/29

11/30

分析手法、ツール関連

11/7

11/9

 

11/14

11/20

解析・分析・研究記事

マルウェア

11/14

11/22

フィッシング

11/8

11/10

11/15

11/20

APT

11/21

 

ランサムウェア

11/7

11/10

11/14

 

11/15

11/21

11/24

悪意あるパッケージ

11/14

Botnet

11/7

11/15

11/30

Bot

11/7

DDoS

11/9

 

マルバダイジング

11/10

11/13

インフォスティーラー

11/7

11/15

ドロッパー

11/7

マイナー

11/9

Webスクレイピング

11/9

11/13

ワイパー

11/14

USBワーム

11/20

ダークウェブ

11/9

11/21

ドメインハイジャック

11/7

SSRF

リポジトリ侵害

11/9

11/20

イニシャル・アクセス

11/15

ソーシャルエンジニアリング

11/14

11/24

スミッシング

11/14

フェイク・アップデート

11/15

Web Shell

11/24

Windows

QRコード不正

最近よく見るのでまとめます。

11/14

11/13公表

10/30公表

11/9公表

レポート・まとめ

11/7

 

 

 

11/8

 

11/9

11/10

 

 

11/13

 

11/15

 

11/17

 

11/28

11/30

 

テイクダウン・逮捕

11/15

11/29

官公庁・組織・団体公表

CISANSA

11/29

FDA

11/22

経済産業省

11/28

IPA

11/10

 

JPCERT/CC

11/13

OT

11/10

11/15

11/16

システム・セキュリティ業界の動向

AWS

11/15

Discord

11/7

攻撃側の動向ほか

11/8

11/15

11/20

11/21

Lockbit関係

11/15

11/29

 

BlackCat(ALPHV)

11/17

業界別インシデント

医療系は変わらず記事が多い印象です。まとめ方の問題かもしれませんが、小売業関係、公的機関関係が増えているように思います。

金融・証券・保険・ローン

11/7

 

11/9

 

11/10

11/20

暗号資産

11/22

製造

11/10

11/15

11/20

11/29

 

自動車関連

11/7

11/22

情報

11/7

11/8

11/17

11/22

11/24

11/28

通信

11/7

11/17

11/22

教育

11/7

11/24

医療・医薬・ヘルス

11/7

11/9

11/13

 

11/16

11/21

11/22

11/28

小売、卸売

11/7

 

 

11/9

11/15

11/24

電気機器

11/7

エネルギー

11/29

官公庁・公的機関

11/10

11/13

11/16

11/17

11/20

11/21

11/24

11/28

研究機関

11/24

国立研究開発法人

11/30

独立行政法人

11/24

運輸

11/9

11/16

11/17

航空

11/7

建設

11/29

宿泊

11/8

娯楽

11/16

AI関連

11/9

啓蒙・教育・人材関連

11/7

 

11/9

11/16

気になった記事

11/7

11/8

 

11/17

11/22

11/29

経営層向けサイバーセキュリティ演習について(その2)

 今回のブログ記事では、前回に引き続き、経営層向けサイバーセキュリティ演習の進め方について、準備からシナリオの検討まで、ステップごとに紹介します。  サイバーセキュリティ演習に取り組んでいる方の参考になれば幸いです。

演習の目的から逆算したサイバー攻撃のシナリオ検討

 演習の主要な参加者はA社の経営幹部であり、彼らが主体的に判断せざるをえない危機的な事態を想定することになります。  その前提として、「A社の最重要アセットは何か」を考える必要があるのです。通常、サイバーセキュリティリスクを考える上で、その組織が持つ「資産」と資産がもつ「脆弱性」、さらに資産に対する「脅威」を評価し、リスクが顕在化したときにどのような影響が発生するか、を考えるプロセスがあります。

 ここでいう資産には、単に保有している情報やITシステムのみならず、自社の保有する業務プロセスや販売ルート、自社製品のマーケットシェアなども含めて幅広く考える必要があります。

 今回の演習では、機微な個人情報を大量に取り扱っているというA社の業種特性を踏まえ、機密性と完全性を侵害するシナリオを作成しました。これが最もA社に与えるダメージが大きいと考えられるからです。

演習をリアルに近づけるために

 演習とはいっても、荒唐無稽な架空の設定では、課題発見といった十分な効果が得られません。システム面でのリアリティもとても重要です。そのため、演習事務局として、今回の演習範囲の業務を良く知る方に協力メンバーとして加わってもらい、ヒアリングやシステム設計に関するブリーフィング等を通じて、リスクの洗い出しを行いました。そうすることで、ある事象が発生した際の参加者の動きを予め想定でき、より参加者が困難な判断を迫られる状況を作り出すことができます。

 また、前回の記事で触れたような演習オペレータによる内外関係者役を配置することで、業務面においてもリアリティを向上させることができます。

 サイバーセキュリティ演習といっても、単純にシステム面のことだけわかっていればよいというものではなく、演習対象となる組織の全体像をよく把握することが重要となるでしょう。

演習の準備などについて

 おそらくこのブログをご覧になっている皆さんが一番気になるのは、このプロジェクトの実施にあたってどの程度のリソースを費やしたかという点だと思います。詳細は明らかにはできませんが、本プロジェクトにおいては、総プロジェクト期間6か月程度を要した、それなりに大規模なプロジェクトとなりました。

 こうした大規模なプロジェクトを円滑に進めるためには、社内のコンセンサスが絶対不可欠です。実際、今回のプロジェクトでは、A社のサイバーセキュリティ責任者の役員の方のコンセンサスのもと、サイバーセキュリティ部門が主体的にプロジェクトを企画・運営し、そこに事業部門の協力メンバーも加わって検討が進められました。(ArmorisはプロジェクトPMOや技術面を中心として、演習当日の運営や演習シナリオの構成に関する助言、支援を行いました)

 こうした組織全体を巻き込んだ環境整備により、社内の関係者の協力を十分に得ることができたため、実施に向けた準備をスムースに進めることができたと言えます。

どんな組織におすすめ?

 さて、こうしたサイバー演習については、どんな組織が行うべき取組みでしょうか。先述のとおり、演習とは、総合的な能力の向上、学びや気づきを得ること、特定のプロセスの検証と改善、などを目的に実施するものであることから、演習を行うべき対象はある意味では全ての組織に該当するといえるでしょう。

 しかしながら、そうはいってもなかなかイメージしにくい、経営層まで巻き込んでできるものか・・と躊躇してしまうこともあると思います。そこで、我々としては、できる範囲で少しずつ広げていくという、スモールスタート方式をおススメしています。

 例えば、そもそもサイバーセキュリティに関して大幅に知識や要員が不足しているという状況であれば、まずはセキュリティ部門を対象とした小規模な演習を実施する、次に、セキュリティ部門とある特定の事業部門の現場レベルを対象とした演習を実施する・・・というような進め方が考えられます。もしくは、既に経営者・役員レベルでサイバーセキュリティの重要性のコンセンサスが得られているが、具体的なアクションにはつながっていないという状況であれば、いきなり経営レベルを対象とした演習を実施することで、課題の優先順位を設定する契機になるかもしれません。

 いずれにしても、演習は自組織のセキュリティを向上させていくための一方策であって、それ自体は目的ではないので、演習からどのようなことを得たいのか、から逆算すると良いと思います。

最後に

 Armorisが提供する経営層演習支援サービスについては、以下のウェブサイトでもご紹介していますので、良かったらご覧ください。 【経営層向けサイバーセキュリティ演習支援サービス】 https://www.armoris.jp/top/service/group/exercise-executive

 また、経営層演習以外の演習系のプログラムについては、別の記事でまとめたいと思います。