k2-ornata（個人的「やってみたこと」ブログ）

横浜国立大学の am I infected? で自宅のルータのセキュリティを調べてみた

色々な企業でVPNの脆弱性から社内ネットワークに侵入されている事例を見るにつれ、自分の家のルータは大丈夫かと心配しておりました。

そんな中、横浜国立大学さんの方からルータのセキュリティをチェックしてくれるサービスがあると聞き、さっそく試してみました。

１．感染チェック開始

DDoSを引き起こしてしまうようなマルウェアに感染していないかチェックするには、以下のサイトから３つの項目を入力して「感染診断をはじめる」のボタンを押すだけです。

am I infected?
https://amii.ynu.codes/

【入力項目】
・自分のメールアドレス（ここに検査結果がメールされる）
・現在の環境をプルダウンメニューから選択（自宅のルータかどうかなど）
・このサイトを知ったきっかけをプルダウンメニューから選択する

２．チェック完了のメールが届く

感染チェックが完了すると、先ほど入力した自分のメールアドレスに届きます。

たしかWebには５分くらいかかりますと書いてあったと思いますが、実際には２〜３分くらいでメールが届きました。

３．チェック結果をWebで確認する

２．で届いたメールに書かれているリンクをクリックすると診断結果を確認できます。

我が家のルータは幸いにも安全な状態でした。ファームアップの連絡が届いたらすぐに適用しているので、それが幸いしているかもしれませんね。

みなさんも１度といわず、定期的にチェックしてみるといいと思いますよ。

InfoSecurity Professional Magazineクイズを回答しても自動登録されなくなっていた件

今年の10月くらいにアーカイブされたInfoSecurity Professional Magazineのクイズを実施したところ、CPE ポイントがいくら待っても自動登録されませんでした。

そこでISC2に問い合わせをおこなったところ、以下の通り回答があり、最新号以外は自動登録されなくなっているようです。

恐縮ではございますがシステムの変更により、
過去のInfoSecurity Professional MagazineクイズのCPEは自動で
登録されなくなり、最新号のみ自動的に付与されます。
ご自身で登録される際は、Online webinars, podcasts and other online materials
をご選択いただくと良いと思います。

最新版のInfoSecurity Professional QuizによるCPE付与については
数週間ほどで反映されるかと存じます。

もし最近、過去のInfoSecurity Professional Magazineクイズを実施してCPEポイントが付与されているか確認していない人は、一度チェックしてみた方が良いと思います。

攻撃検知にMITER ATT&CKを活用する方法を検討する（その２）

前回、ATT&CK活用の１回目を書いてみました。

http://k2-ornata.com/miter-attck_leverage/

そして前回の続きで、今回は第４位（出現数：８８）に入っている以下のテクニックについて調べてみた。

T1105 Ingress Tool Transfer
（侵入ツールの送り込み）

すると、ATT&CKのDETECTIONには以下の記載がある。

T1105 Ingress Tool TransferのDetection（MITER ATT&CK）

この中から「DS0029 Network Traffic」のそれぞれについて検索してみると、以下の通り書かれている。

Network Connection Creation
Monitor for newly constructed network connections that are sent or received by untrusted hosts or creating files on-system may be suspicious. Use of utilities, such as FTP, that does not normally occur may also be suspicious.

Network Connection Creation（MITER ATT&CK）

Network Traffic Content
Monitor network traffic content for files and other potentially malicious content, especially data coming in from abnormal/unknown domain and IPs.

Network Traffic Flow
Monitor network data for uncommon data flows (e.g., a client sending significantly more data than it receives from a server). Processes utilizing the network that do not normally have network communication or have never been seen before are suspicious.

これらの検知について、SIEMに検知ルールが実装されているか調べてみた。

検索条件としては「ATT&CK Technique：T1105」と「Data Sources：Network Communication」としてみた。

すると以下のとおり２つヒットした。

Spike in SMB Traffic

こちらはルールも見えますね。

サンプルデータも入ってました。

Suspicious Network Connectionの方。

こっちはUBA機能がないとだめっぽい。

攻撃検知にMITER ATT&CKを活用する方法を検討する（その１）

ATT&CKを使って、特定のグループのテクニックを調べ、それを検知できるようにすることも考えられる。

しかしながら、その企業がどの攻撃グループに狙われるか、事前に想定するには難しいし、常に同じグループから狙われるとも限らない。

そこで、ATT&CKの中から、特に多く使われているテクニックから焦点をあてて監視実装をしていくのが適切と考える。

たとえば、最近のテクニックのトレンドはNECさんが定期的に以下のようにまとめていたりする。

NECセキュリティブログ
MITRE ATT&CK 頻出手口 トップ10 Vol.3（2022年5月版）
https://jpn.nec.com/cybersecurity/blog/220527/index.html

これをまず、ATT&CKにマッピングしてみる。

これをみると一番多く利用されているテクニックは以下になっており、出現数は152回のようだ。

T1059 Command and Scripting Interpreter
（コマンドとスクリプトインタプリタ）

これをATT&CKで調べてみよう。

すると以下のように大きく４つの検知方法が示されている。

T1059 Command and Scripting Interpreter に対するDetection（ATT&CK）

この中からさらに「Command Execution」を見てみる。

すると「T1548 Abuse Elevation Control Mechanism」や「T1087 Account Discovery」など、攻撃のフェーズは異なるが、いろいろなコマンド実行があることがわかる。

さらに、「T1548 Abuse Elevation Control Mechanism」の中から「T1548.002 Bypass User Account Control」を見てみよう。

すると、ページの中にところどころ、「eventvwr.exe」や「sdclt.exe」などのコマンドがかかれている。

このコマンドを調べてみると、以下のサイトなどで調べてみると、どうやらこれらのコマンドには、権限昇格時にユーザーに確認することなく権限昇格を行うことが可能な設定がなされているようです。

UAC回避機能を複数搭載したランサムウェア「HkCrypt」
https://www.mbsd.jp/blog/20171012.html

この検知を実装しているSIEMがあったので参考に載せておく。

ロードスターのヘッドライトが曇ってきたのでPellucidで磨いてみたら、驚くほどクリアになった件

ふとYouTubeをみていたら Pellucid というヘットライトのクリーナー＆コーティング剤がとてもよい（特にコーティング剤の方）という動画がありました。

そこでWebなどでも調べてみたところ、他の人の評価も高かったので、思い切って買ってみることにしました。（といっても1,000円をすこしオーバーするくらいですが。）

パッケージの中身は以下の通りで、

・ヘットライトを磨く（研磨ではないらしい）ための粘土
・コーティング剤
・コーティング剤をヘッドライトに塗るためのスポンジ

と、使い方が書いてあるマニュアル１枚でした。

そして本日、ヘッドライトのクリーニングにチャレンジしてみました。

なお、パッケージには４分でできるとかいてあり、実施にやってみるとかなり簡単ではありましたが、まあ、全体で２０分くらいはみておいた方がいいかなと思いました。

１．クリーニングする前にヘッドライトを水洗い

まず、粘土で磨く前に、ヘッドライトを水洗いします。

やはり上部を中心にこまかな傷などが入って曇っています。駐車場の位置的に西日をかなりおおく受けているのも影響しているかもしれません。

２．粘土でヘッドライトを磨く

ヘッドライトを水洗いしたら、付属の粘土で磨きます。

ロードスターのヘッドライトはまわりがすべてボディーフレームで囲まれているので、サンドペーパーだと少し気を使いそうですが、粘土の場合、少々ボディーに触れても擦れている感じはないので、気にせず際まで磨くことができました。

実際に磨いた後は以下の通りです。粘土で磨くと粘土の白いものがヘッドライトにつきますが、それをかるく濡れたタオルで水拭きしました。

Youtube や Webでは、この粘土はあまり意味がないという話が多くきかれましたが、私が実際に使ってみた感じ、わずかながら効果があり、くすみが多少とれた気がしました。

粘土側にも結構よごれがついていましたね。

なお、この粘土、磨いた後の汚れをとれば、何度でも使えそうです。使っているうちにちょっと曲がってしまいましたが。

３．コーィテング剤の塗る

そして最後にボトルにはいったコーティング剤を付属のスポンジにつけて、ヘッドライトに塗り付けます。

あまり何回も同じところを塗り付けない方がよいとのことでしたので、なるべく上から横方向に同じところをなぞらないように塗っていきました。

実際にやってみるとおもったより簡単でしたね。

実際に塗った直後が以下の通りです。うわさどおり、このコーティング、塗った直後はすばらしくクリアに仕上がりました。（太陽もちょうどあたって、光り輝いております。）

まあ、塗りたてはクリアに見えるものなので、夕方までまってみて、どれくらいこのクリアさが保てているか、再度確認してみたいと思います。

MITER ATT&CK Navigatorで複数の攻撃集団の攻撃テクニックを重ねて色塗りしてみた

前回、特定の攻撃集団の攻撃テクニックを確認する基本的なATT&CK Navigatorの使い方を確認してみました。

http://k2-ornata.com/miter-attck-navigator_attack-group_technique/

そこで今回は複数の攻撃集団の攻撃テクニックを重ねて表示する（色塗りする）方法を記載しておきます。

なお、この方法は、先に色塗りした攻撃グループの攻撃テクニックが、後で色塗りした攻撃グループのテクニックで塗り潰されてしまうので、注意してください。

１．BlackTech の攻撃テクニックを色塗りする

まず１つ目の攻撃集団 BlackTech のテクニックを検索します。

検索窓から攻撃集団の名前を入れると「Threat Group」に検索にヒットした集団の名前が表示されるので、その中の「select」ボタンを押します。

その後で、下図のように好きな色をカラーパレットから選べば、その色で攻撃集団のテクニックが色塗りされます。（下図の場合は赤色）

色塗りをした後は「deselect」で選択を解除しておきます。

２．Lazarus Groupの攻撃テクニックを色塗りする

１．と同じ要領でLazarus Groupの攻撃テクニックを色塗りします。

３．Kimsukyの攻撃テクニックを色塗りする

Kimsukyについても同様に行います。

このように攻撃集団のテクニック毎に色を分けて塗りつぶすことができました。

ただし、今回の方法では、先に述べたように先に色塗りした攻撃集団のテクニックが後に色塗りした攻撃集団のテクニックで上書きされてしまいます。

もっとよい方法が無いか、もう少し調べてみたいと思います。

MITER ATT&CK Navigatorで特定の攻撃集団の攻撃テクニックを洗い出す

諸事情によりMITER ATT&CKを利用して、特定の攻撃集団が得意な攻撃テクニックを抽出する方法が知りたくなったので、実際にATT&CK Navigatorを使って操作してみました。

１．　MITREのサイトにアクセスする

下記のMITERのサイトにアクセスします。

https://attack.mitre.org/matrices/enterprise/

すると、以下のようなサイトが表示されるので、右上にある「View on the ATT&CK® Navigator」のリンクをクリックします。

以下の画面が表示されたら、「Create New Layer」から企業向けと思われる「Enterprise」を選択してみます。

すると、ATT&CK Navigatorが表示されます。

２．　Navigatorにて攻撃グループを指定

ATT&CK Navigatorが表示されたら、上のツールバーの虫めがねマークをクリックし、検索窓から攻撃グループを指定します。

ここでは、台湾や日本を狙った中国の攻撃集団と言われている「BlackTech」を指定しています。

すると、「Threat Groups」の中に「BlackTech」が表示されるので、そこにマウスのカーソルを当てると、その攻撃集団が利用すると思われるテクニックはハイライトされます。

３．対象環境を絞り込む

さらに、漏斗のアイコンをクリックすると、OSの種類やオンプレ/クラウドなどの環境を絞ったテクニックのみ表示させることも可能です。

４．攻撃集団のテクニックのマッピング状況

なお、最近トレンドマイクロが発表していた「主な標的型攻撃集団」を確認してみたところ、以下のようになっていました。

攻撃集団	ATT&CK Navigatorでの検索可否
BlackTech（ブラックテック）中国が拠点	○
Earth Tengshe（アーステンシェ）（≒APT10？なら中国が支援していると言われている）	×（APT10（menuPass）なら○）
LODEINFO（ロードインフォ）（≒APT10？なら中国が支援していると言われている）	×（APT10（menuPass）なら○）
Lazarus Group（ラザルス）北朝鮮が拠点	○
Kimsuky（キムスキー）北朝鮮が拠点	○

攻撃集団とATT&CK Navigatorへの登録状況

私の調べ方が悪い可能性や別の名前で登録されている可能性がありますが、すべての攻撃集団が登録されているわけではなさそうです。

新しい攻撃集団が出た場合は、その全容を調べるのに少し時間がかかるのかもしれませんね。

＜参考サイト＞
・日本を狙う標的型攻撃に立ち向かうために、知っておくべき5つのこと（トレンドマイクロ）
https://www.trendmicro.com/ja_jp/jp-security/22/e/securitytrend-20220510.html#3
・MITRE ATT&CK徹底活用（＠IT）
https://atmarkit.itmedia.co.jp/ait/articles/2209/08/news004.html

タイヤ館で保管してもらっていたロードスターの冬タイヤに交換をしてもらった

私はロードスターを購入した時から冬タイヤ（冬季は夏タイヤ）をタイヤ館に預かってもらっていますが、来週の松本でもかえる祭りに向けて、タイヤの交換をしてもらってきました。

ロードスターはトランクが狭くてタイヤを持ち運べないので、家のベランダとかに置いておいて交換のときににタイヤを持ち込むっていうことができないんですよねー。

まあ、あまりロードスターを冬タイヤに履き替える人っていないのかもしれませんが。

タイヤの交換は４本で２，０００〜３，０００円

タイヤの交換費用については、タイヤ館さんと利用し始めたころは、タイヤを預けていれば無料だったのですが、５年前から有料となっています。残念。

おそらく費用てきには一般的な持ち込みと同じくらいの費用になっていると思います。

タイヤの保管費用は２，０００円値上がり

一方で、タイヤの保管費用は保管をお願いしはじめてからずっと１年間で１８，０００円だったのですが、今年から２０，０００円になってしまいました。

消費税も含めると２２，０００円で、月１，０００円に近づいてきたという感じですね。

店員さんの話だと最近の原油高などが影響しているということでしたが、今後、値上がりすることはあっても、値下がりすることはないだろうということでした。

スタッドレスタイヤの交換について

また、冬タイヤ（スタッドレス）のゴムが硬くなってきていて、そろそろ交換時ですよと言われてしまったので、来年の冬は買い替えかなーと思っております。

なお、ブリジストンのスタッドレスタイヤは熱が入ると柔らかくはなるんですよねーとも店員さんが言っていたので、走り出しは気をつけようとおもっています。

道の駅富楽里で近藤牧場の「えびのしっぽ」を食べてきた

１１月最初の祭日に時間があり、また天気も良さそうだったので、久しぶりに道の駅富楽里に行き、近藤牧場の「えびのしっぽ」を食べてきました。

なお、高速道路から道の駅に到着したときには以下の写真の通りの状態だった為、閉まっている？と思いましたが、どうやら来年の夏〜秋までにかけて道の駅を改装しているようです。

そこでフェンスにかかっていた矢印の通り右脇をすり抜けて国道まで降りていくと、仮設の道の駅がありました。

そして、右側の建物に入っていくと、近藤牧場のお店も以前の通り営業されていましたので「えびのしっぽ」を購入。

500円と少々値段は張りますが、１人一つずつ購入しました。

大きさは写真だとわかりづらいかもしれませんが、女性の握り拳２つ分くらいはあるかと思います。

この「えびのしっぽ」外の皮はパリパリで0.5cmくらいの厚みがあり、その中に近藤牧場特製？のチーズを使ったクリームがしっぽの方までたっぷり入っています。

その皮のぱりぱり感とチーズを練り込んだクリームの組み合わせは絶品で、１個１，０００円でもいいよねと、一緒にいった妻は言っておりました。

まあ、私がお金払ってますけどね。。。

また、来年あたり食べにこようという話になると思います。Amazonとかで買えないかな〜。

Splunk FreeにSecurity EssentialのAppをインストールしてみた

現在、私は自分のPC（Mac）にSplunk Free（フリーライセンス）を入れています。

そこにEnterprise Securityを入れてみたかったのですが、それはSplunkの有償ライセンスを購入していないと無理みたいなので、その一部の機能が含まれていると思われるSecurity Essentialをインストールしてみました。

１．他のAppをサーチ

まずSecurity EssentialのAppを探す為、Splunk Freeのトップページから「＋他のAppのサーチ」を選択します。（以下の画面については、Security Essentialを入れたあとで撮ったので、もうSecurity Essentialが入ってますが。）

するとAppを検索する画面が出てきますので左上の検索窓から「Security Essential」と入力し検索します。

するとSecurity Essentialが表示され「インストール」ボタンを押せば入手できそうですが、Splunk Freeの場合、これではインストールできません。（上の画面ではすでにSecurity Essentialが入っているので「アプリを開く」になってます。）

そこで、Security Essentialの枠の下部にある「Splunk Base上で閲覧」のリンクをクリックします。

２．Splunk BaseからSecurity Essentialのtgzをダウンロード

するとSplunkサイトのSplunk Base上でSecurity Essentialのページが開くので、その右下の方にある「Login T0 Download」ボタンからSplunkサイトにログインすれば、「splunk-security-essentials_XXX.tgz」というtgzファイルがダウンロードできます。

Splunk FreeがインストールされているPCにそのtgzファイルをダウンロードしましょう。

３．　tgzファイルの取り込み

ダウンロードしたtgzファイルをSplunk Freeに取り込むには、Splunk Freeのトップ画面の左上にあるギアのアイコンマークをクリックします。

すると以下のようなApp管理画面が表示されますので、その右上にある「ファイルからAppをインストール」というボタンをクリックします。

ボタンをクリックすると以下の画面が表示されますので、Security Essentialのtgzファイルを選択して「アップロード」ボタンを押します。

４．Splunkの再起動

アップロードした後はSplunkの再起動を促す画面が表示されますので、そこで「今すぐ再起動」のボタンを押してSplunkを立ち上げ直すと以下の通りSecurity EssentialのAppがSplunkのトップ画面に表示されます。

もし再起動されない場合には、以下のコマンドを打って再起動させます。（Mac OSの場合）

/Applications/Splunk/bin/splunk restart

Security EssentialではMITERのATT&CKから各TTPsに対応する相関ルールを選択できたり、リスクベースアラート（RBA）などの仕組みが備わっているようですので、これから使いながら勉強していきたいと考えています。