User Guide Archives

攻撃対象領域管理を活用した脆弱性検知 : Criminal IP ASM活用事例 (1)

攻撃対象領域管理（ASM、Attack Surface Management）とは、ハッカーが浸透できる企業と機関のIT資産上の「攻撃対象領域」を予め把握し、潜在の攻撃を予防・管理する行為で、大事な資産がハッカーの標的にならないためには必須的だと言えます。しかし、そのような攻撃対象領域管理の重要性にも関わらず、攻撃対象領域管理が自分の企業、機関に実質的にどう活用され、どんな問題を解決できて、それによってどういう利点があるかをしっかり把握できない場合があります。今度のユーザーガイドでは、実際企業のCriminal IP ASMの攻撃対象領域管理を活用した脆弱性検知の活用事例を再構成して紹介します。また、攻撃対象領域管理が具体的に企業、機関のどんな問題をどのように解決できるかについて語ることで、攻撃対象領域管理の導入を悩んでいる人々により臨場感のある観点を提示しようと思います。大企業「A」社の攻撃対象領域管理大企業「A」社は国内外の法人を含め、常駐職員が2,000人を超える大手企業です。A社のセキュリティチームは、外部に公開されたポートやアプリケーションだけでなく、国内外のインターネット上で会社が所有・運営している数多くのIPアドレス、ドメイン、証明書などが攻撃可能なセキュリティ脆弱性から安全に管理されているかを常時点検し、有事の際は対応まで実施する任務を任されていました。しかし、ビジネスの規模が日に日に増え続けていくにつれ、A社のセキュリティチームが管理すべきIT資産（IP、ドメイン）の数も幾何級数的に増えるようになりました。IT資産のモニタリングと問題の対応などの多くの部分を自社の人手より手動で実施してきたA社のセキュリティチームは、もうこれ以上の追加リソースの投入は難しいと判断し、 Criminal IP ASM チームへ相談を依頼しました。

By Criminal IP|2023-05-24T15:19:36+09:002023-05-24|Tags: Attack surface management, Criminal IP ASM, 攻撃対象領域管理|0 Comments

OSINT攻撃対象領域管理でGoogleに漏洩された個人情報を検知

最近、韓国では4年前に公共機関に提出された個人の申込書がずっとインターネット上に公開されていたため、証明写真と住民登録番号（韓国版マイナンバー）、住所、携帯電話番号などの個人情報が4年間そのまま漏洩されてきたことが確認されました。さらに、住民票謄本まで閲覧でき、個人情報が含まれている資料をPDFでダウンロードもできる状態だったそうです。特に、その公共機関が個人の重要情報が保存および流出されていたこと自体を認識していなかったので、議論の対象となりました。個人情報を含め、機密情報が流出される原因の中で不正アクセスおよび外部からのハッキング、セキュリティ管理ミスはOSINT検索エンジンと攻撃対象領域管理ソリューションで予防できる領域です。本投稿ではOSINT攻撃対象領域管理を通じて外部からの悪意のあるアクセスを防ぎ、情報流出の現況を常時モニタリングし、迅速なセキュリティ対応を取る方法について調べます。 4年間インターネット上に漏洩されていた個人情報、PDFファイルでダウンロードすることもできた OSINTを通じた個人情報流出の現況とGoogle検索語を把握ハッカーはGoogleハッキング手法で検索エンジンに漏洩された個人情報をサイバー攻撃に活用します。ウェブ基盤のGoogleハッキングとIP基盤のCriminal IPを比較した投稿を見ると、Google検索の演算子（filetype、site、inurl、intitle等）を用いて特定条件の結果を検索する方法を活用することが分かります。以下はデフォルト状態のApacheテストページをGoogleハッキング演算子で検索した結果の画面です。 Googleハッキングで検索したデフォルト状態のApacheテストページこのように、ハッカーはいくらでもGoogleで個人情報が含まれている内部サイト、各種申込書、書類を検索できます。逆に、情報を管理する立場でもGoogleハッキング手法を使用すると流出された情報を見つけ出せるが、どんな情報が流出されたか把握できずいちいち手動で探すのはけっこう手間と時間がかかる作業です。 Criminal IP ASMのOSINT機能では、Googleに流出されている企業および公共機関の情報を自動で検知し、該当情報を検索できるGoogle検索語を提供します。検知された情報のタイトル、内容、ファイルのタイプや公開の可否を確認できるので、優先順位によって履歴書、管理者ページ、テストサーバー等、個人情報が含まれた情報を迅速に削除・ブロックすることができます。 OSINTページで情報の種類やファイルタイプ、キーワード検索でフィルタリングした情報流出の現況を把握できる企業のドメインと関連キーワードに関する情報を自動で探索するため、自社で公開された個人情報以外に他意による個人情報流出の現況も速やかに把握できます。例えば、他の機関に提出した役員の個人情報、協業した企業が管理したページで公開された個人情報まで検知できます。攻撃対象領域管理ソリューションを通じた情報流出の潜在脅威を検知 OSINT機能で現在流出された情報を確認することほど、情報流出の可能性が高いところを事前に管理するのも重要です。Criminal IP ASMのリスクページでは、登録されたIP帯域とドメインにより、毎日自動で企業のIT資産情報がアップデートされ、IT資産のセキュリティホールとデータ流出の脅威を確認できます。 Criminal

By Criminal IP|2023-05-09T15:52:35+09:002023-05-09|Tags: OSINT, 個人情報流出, 攻撃対象領域管理|0 Comments

OSINT検索エンジンを活用したサイバー脅威情報の収集

OSINT （Open Source Intelligence、オープンソース・インテリジェンス）とは、公開された出所から収集・分析したインテリジェンス情報を意味します。インタ―ネットはそれだけで巨大なビッグデータのプラットフォームであり、集団的知性で成り立てられた空間です。メディア、Googleなどの検索エンジン、ブログ、ソーシャルメディアなど、インターネット情報のほとんどは誰にも公開されており、簡単に情報を得ることができます。公開された情報は誰でも見ることができますが、それがみんなに見られても大丈夫というわけではありません。情報の中では個人情報、国の安全、企業の機密資料など、公開されてはいけない敏感なデータを含んでいます。 OSINTは活用の目的によって多様に使うことができ、特にサイバーセキュリティの分野では続いてその必要性が台頭しています。今度の投稿では、OSINTをサイバーセキュリティに活用して潜在脅威に対応できる方法について説明します。サイバーセキュリティでの OSINT 活用サイバーセキュリティでOSINTは既に発生したセキュリティ事故に対する分析のみならず、潜在的なセキュリティ脅威まで予測できるほど強力です。潜在のセキュリティ脅威を予測できるOSINTベースの情報をいわゆる「サイバー脅威情報（Cyber Threat Intelligence）」といいます。サイバー脅威情報の収集の対象は「表層ウェブ（Surface Web）」から「ダークウェブ（Dark Web）」までの、全てのインターネットを対象とします。一般的にハッキング、サイバー攻撃に関する情報は主にダークウェブで発見されると思われがちですが、むしろほとんどのサイバー脅威情報は表層ウェブ（Surface Web）を通じて収集された情報です。表層ウェブ（Surface Web）を表現したイメージ、サイバーセキュリティのOSINT情報はほとんど表層ウェブから収集される OSINTで収集できるサイバー脅威情報国の安全・防衛産業に関する情報 CVEに脆弱なデバイス個人情報・データの流出（Leak）

By Criminal IP|2023-03-22T15:09:45+09:002023-03-22|0 Comments

Criminal IP Splunk 統合アプリケーションリリース、IPインテリジェンスを用いるFDS

今日はCriminal IP、そしてSplunkのユーザーであれば興味深そうなお知らせをお伝えします。ログ分析プラットフォームのSplunkのダッシュボードとCriminal IP FDS（Fraud Detection System、異常金融取引検知システム）API機能が連動されている Criminal IP Splunk 統合アプリケーションがリリースされました。これから SplunkbaseにてCriminal IP FDSをダウンロードし、企業及び公共機関の異常金融取引とアビュージングユーザーのリアルタイムログをSplunkのダッシュボードでモニタリングできるようになりました。 SplunkbaseでリリースされたCriminal IP Splunk統合アプリケーション FDS (Fraud Detection System、異常金融取引検知システム)

By Criminal IP|2022-12-16T09:24:05+09:002022-12-15|Tags: Criminal IP FDS, Splunk|0 Comments

スパムブロックの無駄をIPインテリジェンスで補完

スパムメールを防ぐために、企業は多くのスパムブロックソリューションとスパムフィルターなどをメールサーバーと連動させるのが一般的です。しかし、それでもスパムブロックソリューションに破って入ることは少なくありません。攻撃者はスパムメールのブロックソリューションを破るためによく知られている大手企業の公式メールサービスを利用したり、悪性リンクの検知および添えたファイルのチェックしたりするなど、スパムブロックソリューションの検知ロジックを巧妙に避けながら悪性メールを送ります。その場合、スパムフィルターを連動させたにもかかわらず、ユーザーの受信箱に悪性メールが受信されます。しかし、その頭の痛い問題もIPインテリジェンスを活用すれば相当な部分を補完できます。今度の投稿では、IPインテリジェンスで迷惑メールのブロックソリューションを破って入る悪性メールの問題を補完する方法やケースを紹介します。スパムブロックソリューションをバイパスするフィッシング攻撃のIPを追跡する方法次のように企業メールに受信された迷惑メールがあります。このメールは韓国のDaumというメールサービスを使ったためSPF問題などは発生せず、添付ファイルにはマルウェアが含まれてはいるが、スパムブロックソリューションをバイパスしてユーザーの受信箱まで入った状態です。スパムメールのブロックソリューションを破って入ったフィッシングメールメールを送った攻撃者の情報を確かめるためにメールのヘッダーを調べてみました。メールヘッダーの内容を説明することはこの投稿の目的ではないので詳しい説明は省略しますが、メールヘッダーの分析技術を知らない素人もGoogleで「email header analyzer」などを検索するとウェブですぐヘッダーを探すhttps://mxtoolbox.com/のようなサイトが多いです。次の画像はメールヘッダー分析システムで調べたヘッダーの内容です。スパムメールのブロックソリューションをパイバスした攻撃メールのヘッダー情報ヘッダーの内容の中でX-Originating-IPという項目には、メールを作成した人のIPアドレスが記されます。つまり、もしハッカーがこのメールを送ったとしたら、ハッカーがメール送信ボタンを押したPCのIPアドレスであろうと推測できます。 IPインテリジェンスで分析したスパムメール攻撃のIPアドレス Criminal

By Criminal IP|2022-10-11T18:52:47+09:002022-10-11|Tags: スパムメール, フィッシング, VPN|0 Comments

攻撃対象領域管理 : 未知の資産及び脆弱性の検知

企業と公共機関には数多くのネットワークデバイスと DB、サーバー、アプリケーション、ドメインが存在します。このような全ての IT 資産は IP アドレスとポートで運営されています。ハッカーは開いているポートを探し、その中にも脆弱性があるサーバーを狙います。従って、ハッカーの狙いにならないように「攻撃対象領域管理（ASM）」はかけがえのないことです。過去にはデータセンターで全ての資産が集められていたが、現在の企業の資産はクラウド、支社または、子会社への分離、M&Aなどで分散されて複雑になりました。すなわち、攻撃者が侵入できる経路も多様になることを示します。分散されて複雑になる企業の IT 資産の攻撃対象領域 Criminal IP (https://www.criminalip.io/ja) はインターネットにつながれている全ての資産を含むインテリジェンスを提供します。CIP の会員に提供される

By Criminal IP|2023-05-10T20:02:06+09:002022-08-16|Tags: ASM, 脆弱性, IT 資産, 攻撃対象領域, 攻撃対象領域管理|0 Comments

オープンポートの脆弱性検知を通じたペネトレーションテスト及びサイバー攻撃対象領域のブロック

Criminal IP (https://www.criminalip.io/ja) が収集した世界中の IP アドレスデータでは連結されたドメインと Whois、位置、脆弱性とオープンポート情報などの総合的な CTI インテリジェンスが含まれています。その中で、ポート（Port）とは、主にソフトウェアでネットワークサービスとプロセスを分類する単位で使用され、0から 65535までのポート番号で運用されているネットワークサービスを仕分けをつけることができます。特に、0から 1023までのポートを Well-known port と呼び、よく使われるサービスとポート番号をマッチングしておいたものです。Criminal IP

By Criminal IP|2023-05-10T20:00:27+09:002022-08-04|Tags: アセット検索, オープンポート, サイバー攻撃, ペネトレーションテスト, ポート脆弱性, ポート開放, 攻撃対象領域|0 Comments

VPN 検知: 悪意のあるユーザー及びネットワーク侵入者を特定

Criminal IP API の強みの一つである VPN 検知 API は悪意の意図にかかかわらず、VPNを利用して匿名に侵入するユーザーを特定します。Criminal IP (https://www.criminalip.io/ja) は VPN IP アドレスを含む全てのデータを企業や公共機関のセキュリティチームとサイバーセキュリティの産業全般に適用されるように API 機能をご提供致します。 VPN（仮想プライベートネットワーク）サービスは個人情報のセキュリティツールとしてたいていの国では適法的に使えるが、悪意を持った上に使われる場合が多いです。攻撃者は企業や公共機関のネットワークへ侵入する際、追跡を避けるために VPN を利用します。ハッカーではないが、VPN の匿名性のを利用して企業や通常のユーザーへ被害を及ぼす悪意的なユーザーもいます。従って、ユーザーの中で VPN を通してアクセスしようとするユーザーを検知し、対応しておけると起こる可能性の高い脅威について事前に予防できます。 [Criminal

By Criminal IP|2023-05-10T19:55:15+09:002022-07-20|Tags: API, クリミナルアイピー, データ, Criminal IP, IP, VPN, 仮想プライベートネットワーク|0 Comments

企業のIP検索

デジタルイノベーションの加速と多数の企業がクラウドにビジネスを拡大しながら、管理されていないさまざまな外部攻撃対象領域（VPN、RDP、SMB、証明書、モバイルデバイスなど）によって攻撃者の侵入が頻繁に発生しています。外部攻撃対象領域を成功的に保護するには、正確なIT資産を特定し、セキュリティポリシーに反するサービス、オープンポートなどが存在するかをリアルタイムでモニタリングする必要があります。ほとんどの企業が攻撃者の侵入を経験する理由は、特定されていないIT資産とセキュリティポリシーの違反によるものです。これらの侵入は、利用していたセキュリティプロセスとソリューションでは防御に限界があるため、セキュリティ担当者は新しい戦略を練るしかないです。 Criminal IPでは、アセット検索によるキーワード検索だけでも会社の資産を特定し、脆弱性が存在するかどうかを確認できます。たとえば、会社名をキーワード検索すると、IPごとに国、オープンポート、サービス、ASネーム、製品の現状を確認でき、この情報を通じてセキュリティポリシーに反するオープンポート、サービスが存在するのか、脆弱なIPなのかなどをチェックできます。アセット検索による会社名検索の結果アセット検索による会社名検索の結果アセット検索の結果に基づいて、下のようにセキュリティチェックを行い、脆弱性に対する改善措置を取るための情報を取得できます。アセット検索結果による脆弱性の点検 Criminal IPは、ワンタイムチェックではなく会社の資産をリアルタイムでモニタリングし、発見された脆弱性に素早く対応できるよう活用できます。

By Criminal IP|2022-06-20T14:21:40+09:002022-03-10|Tags: アセット検索, セキュリティ点検, Criminal IP, 脆弱性, 資産モニタリング, Vulnerabilities, 企業のIP|0 Comments

アセット検索の脆弱性検知

開発組織はコミュニケーション、コラボレーション、生産性を高めるために数多くのツールに依存しており、その中でドッカーやクーバーネティスなどのアプリケーションパッケージングツールを利用する企業が増えています。ドッカーコンテナを利用すると、アプリケーション、環境設定、複数のライブラリなどを可視化して配布するため、エンジニアがひとつずつPCやサーバーに作業することなく一度にインストールでき、企業やエンジニアがかなり好むツールといえます。 2021年のStackoverflowのアンケート結果を見ると、どのくらいの企業がドッカーを利用しているかがわかります。提供：Stackoverflow ただし、このような利便性の背後には、ドッカーコンテナをきちんと管理しないと、コード実行、ディレクトリトラバーサル、権限取得などのさまざまな脆弱性が発生し、深刻なダメージを受ける可能性があります。 2014年から現在まで知られているドッカーの脆弱性は合計34種類であり、さまざまな種類の脆弱性のうち7以上のスコアを持つ脆弱性は9つで、二重権限取得、コード実行などのリスクが高い脆弱性も存在しています。提供：CVE Details 特に、CVE-2019-5736の脆弱性は、runCバグを利用し、ホストのroot権限を取得し、コンテナサーバーや他のコンテナにアクセスできる恐ろしい脆弱性であるなので、下のように影響を受けるバージョンを利用しているとすぐにパッチをしなければなりません。 Docker CE 18.06.2, 18.09.2 以前のバージョン、Docker EE 17.06.2-ee-19

By Criminal IP|2022-06-20T14:23:04+09:002022-03-08|Tags: アセット検索, コード実行, ドッカー, Criminal IP, 脆弱性, Vulnerabilities, 権限取得|0 Comments