はてなブックマーク

ペネトレーションテストは、システムの脆弱性やセキュリティ上の問題点を洗い出すための侵入テストです。またHack The Boxは、ペネトレーションテスト技術者に必要な知識やスキルを、実際に手を動かして、楽しみながら学べるサイトです。脆弱性がどのように攻撃に利用されるのか、といった具体例を理解できるため、サイバーセキュリティ技術をこれから学びたい方にもお勧めです。 ペネトレーションテストは「侵入テスト」とも呼ばれており、その名のとおり対象のシステムに対して実際にサイバー攻撃の各種手法を用いて侵入を試みることで、システムの脆弱性やセキュリティ上の問題点を洗い出すテスト手法だ。そのため、ペンテスター（ペネトレーションテストの技術者）は、さまざまな攻撃手法に関する知識やスキルを習得する必要がある。 今回紹介する「Hack The Box」は、実際に手を動かして、ペンテスターに必要な知識やスキルを学

コロナ禍をきっかけに、新たな働き方へシフトしている企業や従業員も散見される。そうした業務環境の変化が、情報漏えい発生の新たなリスクとして認識されつつある。この記事では、昨今の業務環境の変化に伴う情報漏えいの実態と、改めて復習しておきたい情報漏えい対策の基本について解説する。 働き方改革が生み出した新たな情報漏えいリスク 2020年以降のコロナ禍においては、企業・組織での働き方も大きく変化することを余儀なくされた。その結果、職種によっては「いつでも、どこでも」業務遂行が可能な環境が整備されたことで、もはや出社する必要性を感じなくなったという話も耳にする。 一方で、コロナ禍が次の段階に移行したことで、リモートワークから出社へと回帰する動きもみられる。リモートワークと出社の双方を組み合わせた「ハイブリッドワーク」なる言葉も生まれるなど、業務や生活の状況に応じた柔軟な働き方を行う企業・組織も出てき

Windows 10/11には標準でWindowsセキュリティと呼ばれるセキュリティ対策機能が搭載されている。果たして、このWindowsセキュリティだけでパソコンのセキュリティ対策は十分なのだろうか？この記事では、Windowsセキュリティの基本的な機能と、セキュリティベンダーが提供するセキュリティソフトとの違いについて解説する。 Windowsセキュリティとは、Windows 10/11に標準で搭載されているセキュリティ機能の総称である。以前は、Windows Defender セキュリティセンターと呼ばれていた。 そのルーツはWindows XPに搭載されていたスパイウェア対策ソフト「Windows Defender」であるが、Windows 8でマイクロソフト社が無償で提供していたウイルス対策ソフトである「Microsoft Security Essentials」が「Window

AIをはじめとしたテクノロジーの進化に伴い、サイバー攻撃はさらに巧妙化し、あらゆる企業・組織が狙われている。サイバー攻撃を防ぐには、その手法や仕組みを理解することが重要だ。この記事では、多くのサイバー攻撃のうち、代表的な12の手法と関連する事例、そして具体的な対策について解説する。 1. マルウェア攻撃 マルウェアとは「Malicious（悪意ある）」と「Software（ソフトウェア）」を組み合わせた造語で、悪意ある目的を果たすために作成されたプログラムやソフトウェア全般を指す。近年では、感染力の高いマルウェアである「Emotet」が大きな脅威として知られている。 マルウェア攻撃による被害事例 ・従業員のパソコンがEmotetに感染 2023年3月に発生した電池製造企業におけるケースでは、従業員のパソコンがEmotetに感染したことがきっかけとなった。個人情報を含むデータが外部に流出した

TikTokは、米国議会から個人情報の保護に関する対応を幾度となく迫られている。ユーザーは、TikTokをはじめ、ほかのソーシャルメディア大手が収集している膨大な個人情報について考えるときに来ている。TikTokが収集するデータや、プライバシーを保護しながらアプリを使用する方法を解説する。 2023年3月23日、TikTokの周受資（Shou Zi Chew）CEOは米国連邦議会へ出席し、アプリのデータセキュリティやプライバシー対応に関する意見を述べた。米国におけるTikTokの全面禁止が議論される中、中国政府とTikTokの関係性についても触れた。 TikTokは、米国および全世界において2022年に最もダウンロードされたショート動画アプリだ。しかし現在、プライバシーやサイバーセキュリティに多くの疑惑があり、批判の的となっている。ユーザー情報の過剰な収集や中国政府への情報提供、子どものメ

他人になりすましSIMカードを乗っ取る「SIMスワップ」。海外で流行っていた詐欺が日本でも発生している。ネットバンクからの不正送金や不正決済などを行うSIMスワップの手口や事例、対策方法を解説する。 他人になりすましSIMカードを乗っ取る「SIMスワップ」。海外で流行っていた詐欺が日本でも発生している。乗っ取った後は、SMSを利用した二段階認証を突破してパスワード変更を行い、ネットバンクからの不正送金や不正決済などを行うSIMスワップの手口や事例、対策方法を解説する。 SIMスワップは、攻撃者が相手のSIMを乗っ取った後、そのSIMで受信できるSMSを使った二段階認証を突破し、オンラインバンキングなどに不正ログインを行う攻撃である。 別名「SIMスワップ（詐欺・攻撃）、SIMハイジャック（攻撃）」とも呼ばれる。 SIMスワップの典型的な海外の手口は、以下の流れで実行される。 攻撃者は攻撃対

主なネットワークセキュリティソリューション 一般的に知られているネットワークセキュリティソリューションは、IDSやIPS、ファイアウォールだろう。近年では、複数の機能を提供する複合型のソリューション、あるいはクラウドサービスとして提供されるものも存在する。それぞれの特徴と相違点は以下のとおりだ。 IDSとは「Intrusion Detection System」の頭文字をとった用語で、不正侵入検知システムのことだ。ファイアウォールが許可した通信であっても、その振る舞いや通信状況から攻撃の兆候を察知する。多くの場合、OSI参照モデルにおけるアプリケーション層で動作するシステムだ。事前に攻撃の兆候をシグネチャとして登録し、その通信と比較して不正な通信を判断するのがシグネチャ型のIDSだ。また、通常の通信とは大きく異なる振る舞いを検知することで、未知の攻撃も検知可能なアノマリ型のIDSも知られて

何らアクションせずともシステム侵害や情報窃取が起こり得る――。ゼロクリック攻撃と呼ばれるサイバー攻撃では、メッセージアプリでのメッセージ受信だけで情報漏えいが生じたといった被害も報告されている。この記事では、ゼロクリック攻撃と呼ばれる手法について、どのような対応が求められるのかを解説する。 ゼロクリック攻撃とは ゼロクリック攻撃とは、ユーザーが「一度もクリックせずとも」被害に遭遇する可能性がある攻撃手法のことだ。特定のリンクへのクリックや、ファイルの実行といったユーザーのアクションが発生せずとも攻撃が成立する。多くの場合、ユーザーの気づかぬ間に、情報を窃取するスパイウェアなどのマルウェアがインストールされ、被害に至る。 ゼロクリック攻撃の脅威が知れ渡るきっかけとなったのが、スパイウェア「Pegasus」を使ったゼロクリック攻撃だ。このPegasusは、2016年にイスラエルのテクノロジー企

Windowsの機能は、多数のプロセスと呼ばれるプログラムが動作することで実現している。しかし、常駐するプロセスが高負荷、処理速度の原因となるだけでなく、マルウェアの侵入口として狙われる場合もある。この記事では、Windowsの主要なプロセスと動作が重たいと感じた際の対処方法を解説する。 Windowsのプロセスとは プロセスとは一般的に、過程、あるいは工程といった意味で使われるが、OS（オペレーティングシステム）の関連用語として使われる場合のプロセスにおいては、それぞれが独立して動作するプログラム（アプリケーション）を意味する。 例えば、オフィスソフトであるExcelやWordなどのアプリケーションはそれら自体がプロセスとなる。WindowsなどのOSは、アプリケーションを一切起動していない状態であっても、ユーザーから見えない裏側（バックグラウンド）にて、数多くのプロセスが常時動作してい

PayPalアカウントは、十分に注意をしないと簡単に乗っ取られ、金銭的な被害につながる場合がある。こうした攻撃から、シンプルで効果的な防御方法について解説する。 筆者は1990年代に、銀行強盗がテーマの映画に魅了されて以来、銀行に侵入するということに一種の憧れのような感情を抱いていたのだが、ついにその方法を発見してしまったかもしれない。一般的な銀行アプリにおけるセキュリティに興味をもっていたが、備わっている強固な防御策をすり抜ける方法については思いついていなかった。これらのアプリは、顧客の預金を守るために堅牢なセキュリティ対策が練られているからだ。しかし、銀行がそれほど堅牢であるならば、預金へアクセスできる最も有名なサードパーティの1つであるPayPalを攻撃する方法はないだろうかと考えている。 この取り組みの背景を伝えておこう。筆者はこの1年半の間に、セキュリティに関する設定を適切に行っ

BitLockerはWindowsパソコン内蔵のストレージを暗号化することで、盗難・紛失時の情報漏えいリスクを軽減する。管理者権限があれば無効化も可能だが、セキュリティリスクを踏まえ、常に有効にしておくことが推奨される。この記事では、BitLockerを無効化する手順を解説した上で、その他の暗号化の方法についても紹介する。 BitLockerとは BitLockerは、Windowsの主要なバージョンに標準で搭載されている。コンピューターに内蔵されたハードディスクやSSDといったストレージを暗号化し、その端末を盗難・紛失した際の情報漏えいリスクを抑制可能だ。 また、パソコン廃棄時の情報漏えいリスクを軽減できるのもBitLockerを利用するメリットの1つと言える。ハードディスクを廃棄する場合、物理的に破壊し、実質的に内部データへアクセスできなくする方法がある。一方、近年パソコンに搭載される

概要 CyberChefは、英国GCHQが開発したさまざまな形式のデータを相互に変換するためのWebアプリケーションです。クライアントサイドで全ての処理が実行されるため、オフライン環境でも実行することができます。 CyberChefの最大の特長は、Recipeと呼ばれるデータ変換操作を組み合わせることで、プログラムコードを書かずに複雑な変換操作を行える点です。 CyberChefで利用できる主なデータ変換操作は以下のとおりです。 2/8/10/16進数変換 Base64エンコード/デコード URLエンコード/デコード IPv4/IPv6アドレスのパースやフォーマット変換 テキストエンコーディング（UTF-8やShift-JISなど）の変換 MD5/SHA-1/SHA-2などのハッシュ値計算 古典暗号（シーザー暗号やヴィジュネル暗号など）の暗号化/復号 現代暗号（AES/DES/RSAなど）

攻撃者がクレジットカード情報を詐取しようとする一般的な方法と、それらから身を守る方法について解説する。 サイバー犯罪の闇市場は、年間数兆ドル（数百兆円）を継続して生み出している。警察や消費者の目をかいくぐり、ダークウェブでは大量の個人情報や、それを盗むためのハッキングツールが売買されてきた。これらのWebサイトでは、不正に取得された240億件ものユーザー名とパスワードが出回っていると考えられている。中でも人気が高いのは新規のクレジットカード情報で、なりすまし詐欺を働こうとする詐欺師らによって大量に購入されている。 PINコードとICチップ（EMVとも呼ばれる）を導入した国では、クレジットカード情報からカードを複製することは難しい。そのため、オンラインでのCNP（Card Not Present：非対面取引）が攻撃対象になる。詐欺師はオンラインで高級品を購入したり、場合によっては商品券を大量

概要 キャプチャーしたHTTP、HTTPS、FTPの通信内容を閲覧したり、変更したりすることができるプロキシサーバーです。Fiddlerには複数の製品が用意されており、macOS、Windows、Linuxに対応したFiddler EverywhereやWindowsに特化したFiddler Classicなどがあります。本記事で掲載する画面は、Fiddler Classicを用います。 なお、HTTP、HTTPS、FTP通信以外のプロトコルには対応していないため、他のプロトコルによる通信をキャプチャーするためには、別のツール（Wireshark、Network Monitorなど）を使用する必要があります。 下図は、本サイトであるサイバーセキュリティ情報局（https://eset-info.canon-its.jp/malware_info/）にアクセスした通信をFiddlerでキャプ

この記事は、ESETが運営するマルウェアやセキュリティに関する情報サイト「Welivesecurity」の記事を翻訳したものである。 SIMスワップ詐欺はますます増加している。テック業界のリーダーを含め、様々な人が詐欺師の標的となり、甚大な損害を受けている。この詐欺に遭ってしまうと、携帯電話番号が乗っ取られてしまい、人生に大きな影響を与えることになりかねない。本稿では、SIMスワップ詐欺に対する理解を深めるべき理由について解説する。 SIMスワップ詐欺の仕組み SIMスワップ詐欺は、別名「SIMハイジャック」や「SIM分割」とも呼ばれ、一種のアカウント乗っ取り詐欺として知られている。この攻撃を仕掛けるにあたり、攻撃者は標的についてあらゆる方法で情報収集をする。インターネットを検索したり、そのなかでもユーザーが過剰に公開しているごくわずかな情報を見つけ出すなどし、情報をかき集める。また、被害

情報システム担当者向け 定期レポート 2022.9.27 2022年上半期サイバーセキュリティレポートを公開 ～Emotetの再流行、脆弱性Log4shellを悪用した攻撃などを解説～ 2022年1月から6月のマルウェア検出状況や最新のサイバー脅威動向の情報収集および分析結果を解説した、2022年上半期サイバーセキュリティレポートを公開しました。 攻撃の手法を変化させ続け感染拡大を狙うマルウェア「Emotet」や、コンポーネントLog4j2の脆弱性「Log4Shell」を悪用した攻撃など、2022年上半期に発生したサイバーセキュリティの脅威動向について解説します。 トピック 第1章：2022年上半期マルウェア検出統計 ESET製品で検出したマルウェアなどの検出状況・傾向を分析しました。 2022年上半期の国内のマルウェア検出数は、2021年下半期に比べ増加傾向にあり、なかでも3月はEmot

Windows OSには、標準で「Windows Defender」と呼ばれるマイクロソフト社純正のセキュリティ機能が搭載されており、ユーザーの見えないところでさまざまな保護機能が動作している。この記事では、Windows Defenderの概要や搭載している機能、そしてWindows Defenderを無効にする方法と、無効にすることによって生じ得るリスクについて解説していく。 Windows Defenderとは Windows Defender（現在は「Microsoft Defender ウイルス対策」が正式名称）とは、マイクロソフト社が開発・提供するセキュリティソフトやセキュリティサービスのことである。大元を辿ると、Windows XP用にスパイウェア対策ソフトウェアとしてリリースされたものだ。一方で、かつてマイクロソフト社がWindows向けウイルス対策ソフトとして「Micro

画像データの中に悪意のあるスクリプトを埋め込み、マルウェア感染を狙う手法、ステガノグラフィが組み込まれるケースが過去に起こっている。この記事ではステガノグラフィを悪用してどのように感染に至るのか。そのプロセスや、過去の事例、そしてこうした手口に対してどのような対策を講じるべきかを解説する。 ステガノグラフィとは、あるデータの中に別の情報を埋め込んで隠ぺいする技術を指す。この技術を応用した例として、データの著作権保護や改ざん防止に利用される「電子透かし」が挙げられる。電子透かしは画像にとどまらず、音声や映像、電子書籍などにも応用されてきた。 無形のデータに限らなければ、紙幣に対しても偽造防止のため「透かし」の技術が用いられている。外見に大きな影響を与えることなく、コピーや機械読み取りを悪用した偽造を防ぐなど、さまざまな工夫がされている。電子透かしでも同様であり、ユーザーが使用している範囲では

この記事は、ESET社が運営するマルウェアやセキュリティに関する情報サイト「Welivesecurity」の記事を翻訳したものである。 パスワードの概念は数世紀前から存在し、想像以上に早くからコンピューターの世界にも導入された。パスワードが長く使われ続けている理由の1つとして、人々が本能的にその仕組みを理解できる点が挙げられる。パスワードは、デジタル時代を生きる人々にとってアキレス腱のような存在だ。平均的な人でも100のログイン情報を保有しており、それは上昇傾向にある。パスワードを乱雑に扱う人が増え、結果としてセキュリティに問題が生じるのもなんら不思議なことではない。 パスワードは、サイバー犯罪者が個人情報や決済情報を入手する際の唯一の手段であるため、彼らはログイン情報の窃取や解読に躍起になっているのだ。私たちは、オンラインアカウントを保護するために、少なくとも同程度の労力を費やす必要があ

世界中で多く利用され、導入率トップを誇るCMSがWordPressだ。その利便性の反面、導入率の高さを要因とするセキュリティリスクも存在する。中でも、プラグインは無償で利用できるものも多く、導入も容易なため見過ごされがちなリスクの1つだ。WordPressのプラグインに潜むリスクとその対策について解説する。 WordPressのプラグインとは WordPressとは、Webサイトを管理するための「CMS（Content Management System：コンテンツ管理システム）」の1つだ。CMSを導入することで、Webページや画像データなどを総合的に管理できる。中でもWordPressは導入がしやすく、Webサイトの構築・アップデートが容易になるため、世界で多くの組織・個人に利用されている。 プラグインはWordPressの機能を拡張するためのソフトウェアの一種だ。WordPress本体

広範囲で攻撃試行が展開されている理由 Log4jソフトウェアライブラリは、デバイス上でのアクティビティをログとして記録するために極めて広い範囲で利用されており、特に、エラーの記録とセキュリティインシデントを遡って調査するための記録として利用されています。そのため、この脆弱性は極めて広範囲に影響しています。 この脆弱性は、デバイス上であらゆるコードをリモートで実行し、最終的にはすべてのコントロールを獲得することができます。もし攻撃者がこの方法でサーバーを侵害した場合、組織の内部ネットワークに深く入り込み、インターネットにさらされていないほかのシステムやデバイスに侵入する可能性があります。Log4jの高い普及率と組み合わせると、これは深刻な脆弱性となり、脆弱性評価システムであるCVSSで10ポイント中最大スコアである10が付与されました。もしIT部門が迅速に対応できない場合、莫大な数の組織、独

Torブラウザーはダークウェブを閲覧する手段として取り上げられることが多いが、元をたどると通信の自由を確保するために開発されたものであることはあまり知られていない。この記事では、Torブラウザーが開発された経緯やその仕組みとともに、利用時に生じる恐れがある危険性についても解説していく。 Tor（トーア）ブラウザーは、匿名性を確保しながらWebサイトを閲覧することを目的としたオープンソースのソフトウェアである。一部の国や地域で行われているインターネット検閲の回避や、プライバシー保護の目的で利用されることを目指している。一般的なWebブラウザーと同様に、パソコンやAndroidスマートフォンにインストールして利用できる。 一方で、Torブラウザーはダークウェブを閲覧する手段としても知られている。ダークウェブとは通常の検索エンジンからはアクセスできず、専用ツールを必要とするWebサイトを指す。そ

サイバー攻撃の巧妙化や高度化を背景にゼロトラストなどの概念も浸透するなど、エンドポイントのセキュリティ対策が大きな転機を迎えている。この記事では、時代ごとに変遷してきたエンドポイントをめぐるセキュリティの動向と、新たに登場した次世代型ソリューションについて解説する。 時代ごとに変遷してきたエンドポイントのセキュリティ エンドポイントに接続される機器の種類、普及度合いをはじめ、それらの管理・防御のためのソリューションも移り変わってきている。その変遷に関係しているのは、それぞれの時代で登場するテクノロジーの発展が大きな度合いを占めるものの、ユーザーの情報機器を利用する環境の変化も大きな要因として挙げられる。どのように変わってきたのかを年代ごとに振り返る。 2000年代（パソコンの業務利用が普及） 2000年代といえば、業務におけるパソコンの利用が一般化した頃だ。社内にネットワークを構築し、内部

企業において、サイバー攻撃の対象となる領域を軽減し、サイバーセキュリティを最大化する方法について解説する。 近年の情報漏えい事故において、「サイバーアタックサーフェス（サイバー攻撃を受ける可能性の高い領域）」や、それに近い言葉を耳にした人も多いだろう。サイバー攻撃がどのような経路で発生し、組織のどこにリスクがあるかを理解することは重要だ。今回のパンデミックにおいて、このアタックサーフェスはこれまでにないほどのスピードで急速に拡大してしまった。そして残念なことに、企業は今日、攻撃を受ける可能性の高い領域がどこにあり、どれほど複雑になっているのかを特定できなくなっている。結果として、デジタルおよび物理的な資産が、サイバー犯罪者の攻撃を受ける余地を残したまま放置される事態となっている。 しかし幸いなことに、以下に紹介するベストプラクティスを実践すれば、アタックサーフェスの可視性を改善できる可能性

誰でも利用できるOSINTは、良いことにも悪いことにも使われる。情報セキュリティ担当者が攻撃者に先行的に対処していけるような、OSINTの活用方法について解説する。 サイバーセキュリティ業界は、さまざまな技術であふれている。最新のエクスプロイトキットやハッキングツール、脅威を見つけ出すためのソフトウェアなどだ。しかし、実際にそれらの技術を扱うのは人である。マルウェアを開発する人、サイバー攻撃を仕掛ける人、また反対に攻撃からの防御に責任を負う人もいる。OSINT、つまりオープンソース・インテリジェンスは、サイバーセキュリティにおいて重要な要素ではあるが、見過ごされがちな「人」について知るためのものだ。 つまり、あなたの組織についての情報がオンラインで見つけられるように、悪意のある攻撃者の情報も見つけることができるということ。これだけでも、サイバー攻撃のリスクを軽減するためにOSINTを活用す

セッション管理やコンテンツ表示の最適化など、Webサイトの利便性を高めるためにも使われるCookie。しかし、最近では「プライバシーを侵害する一要因だ」として批判を浴びる対象ともなっている。この記事ではCookieが抱える問題点をはじめ、Cookieの削除や受け入れ拒否をする際の影響範囲と内容、そして削除の手順について解説していく。 Webサイトの利便性を高めるCookie Cookieとは、WebサーバーからWebブラウザーに送信される小さなデータのこと。HTTP Cookieとも呼ばれ、WebブラウザーがWebサーバーとHTTP（あるいはHTTPS）での通信を行う際に、セッション管理に利用される。WebサーバーがCookieの情報を照合することで、ユーザーが間隔を空けてページに再訪した場合でも、前回訪問時の状態からWebサイトでの行動を再開することができるようになっている。 例えば、E

同様の手法として、タイポスクワッティングというものがある。「gogle.com」や「gooogle.com」のように、有名なWebサイトにわざと入力ミスを加えたドメイン名を使う。この例の場合、現在はグーグル社の所有となり、「正しい」GoogleのWebサイトに誘導されるようになっているが、同様の例はいくらでも考えられる。下図では、「facebook」というドメイン名にある最後の「k」に対して考えられる入力ミスについて、フェイスブック社が保護しているキーボードの範囲を図示している。 図2：タイポスクワッティングを防ぐため、「facebook」の「k」を水色の文字で置換したドメイン名は、正式なfacebook.comドメインに遷移するよう、フェイスブック社はドメインを登録している。黄色で示した文字は他社のWebサーバーで運用されており、白色の文字は執筆時点では利用されていない。 [Copyri