本記事は、 STIX脆弱性の分析 の際、Criminal IPの脅威インテリジェンスデータを使用する方法を語ります。Criminal IPの脅威インテリジェンスデータをSTIX™(Structured Threat Information Expression)で表現し、分析するいくつかの事例を紹介します。 Criminal IPデータのSTIX変換方法は、Criminal IP STIX統合事例とCriminal IPの公式GitHubをご参照ください。 STIX脆弱性の分析1:IPアドレスに関連するMISP指標・オープンポート・脆弱性・Exploit DBの関係性を分析した事例 43.159.195.30_json_code { "type": "bundle", "id":
攻撃対象領域管理 (ASM、Attack Surface Management)とは、ハッカーが浸透できる企業と機関のIT資産上の「攻撃対象領域」を予め把握し、潜在の攻撃を予防・管理する行為で、大事な資産がハッカーの標的にならないためには必須的だと言えます。しかし、そのような 攻撃対象領域管理 の重要性にも関わらず、攻撃対象領域管理が自分の企業、機関に実質的にどう活用され、どんな問題を解決できて、それによってどういう利点があるかをしっかり把握できない場合があります。今度のユーザーガイドでは、実際企業のCriminal IP ASMの 攻撃対象領域管理を活用した脆弱性検知 の活用事例を再構成して紹介します。また、 攻撃対象領域管理が具体的に企業、機関のどんな問題をどのように解決できるかについて語ることで、 攻撃対象領域管理 の導入を悩んでいる人々により臨場感のある観点を提示しようと思います。 大企業「A」社の 攻撃対象領域管理 大企業「A」社は国内外の法人を含め、常駐職員が2,000人を超える大手企業です。A社のセキュリティチームは、外部に公開されたポートやアプリケーションだけでなく、国内外のインターネット上で会社が所有・運営している数多くのIPアドレス、ドメイン、証明書などが攻撃可能なセキュリティ脆弱性から安全に管理されているかを常時点検し、有事の際は対応まで実施する任務を任されていました。しかし、ビジネスの規模が日に日に増え続けていくにつれ、A社のセキュリティチームが管理すべきIT資産(IP、ドメイン)の数も幾何級数的に増えるようになりました。IT資産のモニタリングと問題の対応などの多くの部分を自社の人手より手動で実施してきたA社のセキュリティチームは、もうこれ以上の追加リソースの投入は難しいと判断し、 Criminal IP ASM チームへ相談を依頼しました。
最近、韓国では4年前に公共機関に提出された個人の申込書がずっとインターネット上に公開されていたため、証明写真と住民登録番号(韓国版マイナンバー)、住所、携帯電話番号などの個人情報が4年間そのまま漏洩されてきたことが確認されました。さらに、住民票謄本まで閲覧でき、個人情報が含まれている資料をPDFでダウンロードもできる状態だったそうです。特に、その公共機関が個人の重要情報が保存および流出されていたこと自体を認識していなかったので、議論の対象となりました。 個人情報を含め、機密情報が流出される原因の中で不正アクセスおよび外部からのハッキング、セキュリティ管理ミスはOSINT検索エンジンと攻撃対象領域管理ソリューションで予防できる領域です。本投稿ではOSINT攻撃対象領域管理を通じて外部からの悪意のあるアクセスを防ぎ、情報流出の現況を常時モニタリングし、迅速なセキュリティ対応を取る方法について調べます。 4年間インターネット上に漏洩されていた個人情報、PDFファイルでダウンロードすることもできた OSINTを通じた 個人情報流出 の現況とGoogle検索語を把握 ハッカーはGoogleハッキング手法で検索エンジンに漏洩された個人情報をサイバー攻撃に活用します。ウェブ基盤のGoogleハッキングとIP基盤のCriminal IPを比較した投稿を見ると、Google検索の演算子(filetype、site、inurl、intitle等)を用いて特定条件の結果を検索する方法を活用することが分かります。以下はデフォルト状態のApacheテストページをGoogleハッキング演算子で検索した結果の画面です。 Googleハッキングで検索したデフォルト状態のApacheテストページ このように、ハッカーはいくらでもGoogleで個人情報が含まれている内部サイト、各種申込書、書類を検索できます。逆に、情報を管理する立場でもGoogleハッキング手法を使用すると流出された情報を見つけ出せるが、どんな情報が流出されたか把握できずいちいち手動で探すのはけっこう手間と時間がかかる作業です。 Criminal IP ASMのOSINT機能では、Googleに流出されている企業および公共機関の情報を自動で検知し、該当情報を検索できるGoogle検索語を提供します。検知された情報のタイトル、内容、ファイルのタイプや公開の可否を確認できるので、優先順位によって履歴書、管理者ページ、テストサーバー等、個人情報が含まれた情報を迅速に削除・ブロックすることができます。 OSINTページで情報の種類やファイルタイプ、キーワード検索でフィルタリングした情報流出の現況を把握できる 企業のドメインと関連キーワードに関する情報を自動で探索するため、自社で公開された個人情報以外に他意による個人情報流出の現況も速やかに把握できます。例えば、他の機関に提出した役員の個人情報、協業した企業が管理したページで公開された個人情報まで検知できます。 攻撃対象領域管理ソリューションを通じた情報流出の潜在脅威を検知 OSINT機能で現在流出された情報を確認することほど、情報流出の可能性が高いところを事前に管理するのも重要です。Criminal IP ASMのリスクページでは、登録されたIP帯域とドメインにより、毎日自動で企業のIT資産情報がアップデートされ、IT資産のセキュリティホールとデータ流出の脅威を確認できます。 Criminal
OSINT (Open Source Intelligence、オープンソース・インテリジェンス)とは、公開された出所から収集・分析したインテリジェンス情報を意味します。インタ―ネットはそれだけで巨大なビッグデータのプラットフォームであり、集団的知性で成り立てられた空間です。メディア、Googleなどの検索エンジン、ブログ、ソーシャルメディアなど、インターネット情報のほとんどは誰にも公開されており、簡単に情報を得ることができます。公開された情報は誰でも見ることができますが、それがみんなに見られても大丈夫というわけではありません。情報の中では個人情報、国の安全、企業の機密資料など、公開されてはいけない敏感なデータを含んでいます。 OSINTは活用の目的によって多様に使うことができ、特にサイバーセキュリティの分野では続いてその必要性が台頭しています。今度の投稿では、OSINTをサイバーセキュリティに活用して潜在脅威に対応できる方法について説明します。 サイバーセキュリティでの OSINT 活用 サイバーセキュリティでOSINTは既に発生したセキュリティ事故に対する分析のみならず、潜在的なセキュリティ脅威まで予測できるほど強力です。潜在のセキュリティ脅威を予測できるOSINTベースの情報をいわゆる「サイバー脅威情報(Cyber Threat Intelligence)」といいます。サイバー脅威情報の収集の対象は「表層ウェブ(Surface Web)」から「ダークウェブ(Dark Web)」までの、全てのインターネットを対象とします。一般的にハッキング、サイバー攻撃に関する情報は主にダークウェブで発見されると思われがちですが、むしろほとんどのサイバー脅威情報は表層ウェブ(Surface Web)を通じて収集された情報です。 表層ウェブ(Surface Web)を表現したイメージ、サイバーセキュリティのOSINT情報はほとんど表層ウェブから収集される OSINTで収集できるサイバー脅威情報 国の安全・防衛産業に関する情報 CVEに脆弱なデバイス 個人情報・データの流出(Leak)
今日はCriminal IP、そしてSplunkのユーザーであれば興味深そうなお知らせをお伝えします。ログ分析プラットフォームのSplunkのダッシュボードとCriminal IP FDS(Fraud Detection System、異常金融取引検知システム)API機能が連動されている Criminal IP Splunk 統合アプリケーションがリリースされました。 これから SplunkbaseにてCriminal IP FDSをダウンロードし、企業及び公共機関の異常金融取引とアビュージングユーザーのリアルタイムログをSplunkのダッシュボードでモニタリングできるようになりました。 SplunkbaseでリリースされたCriminal IP Splunk統合アプリケーション FDS (Fraud Detection System、異常金融取引検知システム)
To stop spam emails, it is common for companies to implement several anti-spam solutions, such as spam filters, in their mail
企業と公共機関には数多くのネットワーク デバイスと DB、サーバー、アプリケーション、ドメインが存在します。このような全ての IT 資産は IP アドレスとポートで運営されています。ハッカーは開いているポートを探し、その中にも脆弱性があるサーバーを狙います。従って、ハッカーの狙いにならないように「 攻撃対象領域管理 (ASM)」はかけがえのないことです。過去にはデータセンターで全ての資産が集められていたが、現在の企業の資産はクラウド、支社または、子会社への分離、M&Aなどで分散されて複雑になりました。すなわち、攻撃者が侵入できる経路も多様になることを示します。 分散されて複雑になる企業の IT 資産の 攻撃対象領域 Criminal IP (https://www.criminalip.io/ja) はインターネットにつながれている全ての資産を含むインテリジェンスを提供します。CIP の会員に提供される
Criminal IP (https://www.criminalip.io/ja) が収集した世界中の IP アドレス データでは連結されたドメインと Whois、位置、脆弱性と オープン ポート 情報などの総合的な CTI インテリジェンスが含まれています。その中で、ポート(Port)とは、主にソフトウェアでネットワーク サービスとプロセスを分類する単位で使用され、0から 65535までのポート 番号で運用されているネットワーク サービスを仕分けをつけることができます。特に、0から 1023までのポートを Well-known port と呼び、よく使われるサービスとポート番号をマッチングしておいたものです。Criminal IP
Criminal IP API の強みの一つである VPN 検知 API は悪意の意図にかかかわらず、VPNを利用して匿名に侵入するユーザーを特定します。Criminal IP (https://www.criminalip.io/ja) は VPN IP アドレスを含む全てのデータを企業や公共機関のセキュリティチームとサイバーセキュリティの産業全般に適用されるように API 機能をご提供致します。 VPN(仮想プライベートネットワーク)サービスは個人情報のセキュリティツールとしてたいていの国では適法的に使えるが、悪意を持った上に使われる場合が多いです。攻撃者は企業や公共機関のネットワークへ侵入する際、追跡を避けるために VPN を利用します。ハッカーではないが、VPN の匿名性のを利用して企業や通常のユーザーへ被害を及ぼす悪意的なユーザーもいます。従って、ユーザーの中で VPN を通してアクセスしようとするユーザーを検知し、対応しておけると起こる可能性の高い脅威について事前に予防できます。 [Criminal
デジタルイノベーションの加速と多数の企業がクラウドにビジネスを拡大しながら、管理されていないさまざまな外部攻撃対象領域(VPN、RDP、SMB、証明書、モバイルデバイスなど)によって攻撃者の侵入が頻繁に発生しています。 外部攻撃対象領域を成功的に保護するには、正確なIT資産を特定し、セキュリティポリシーに反するサービス、オープンポートなどが存在するかをリアルタイムでモニタリングする必要があります。 ほとんどの企業が攻撃者の侵入を経験する理由は、特定されていないIT資産とセキュリティポリシーの違反によるものです。 これらの侵入は、利用していたセキュリティプロセスとソリューションでは防御に限界があるため、セキュリティ担当者は新しい戦略を練るしかないです。 Criminal IPでは、アセット検索によるキーワード検索だけでも会社の資産を特定し、脆弱性が存在するかどうかを確認できます。 たとえば、会社名をキーワード検索すると、IPごとに国、オープンポート、サービス、ASネーム、製品の現状を確認でき、この情報を通じてセキュリティポリシーに反するオープンポート、サービスが存在するのか、脆弱なIPなのかなどをチェックできます。 アセット検索による会社名検索の結果 アセット検索による会社名検索の結果 アセット検索の結果に基づいて、下のようにセキュリティチェックを行い、脆弱性に対する改善措置を取るための情報を取得できます。 アセット検索結果による脆弱性の点検 Criminal IPは、ワンタイムチェックではなく会社の資産をリアルタイムでモニタリングし、発見された脆弱性に素早く対応できるよう活用できます。
