Sabitlenmiş Tweet
JITA
873 posts
JITA
@ff_0000_ff
なんだかんだでサイバーセキュリティの仕事してます。底辺管理職 ●資格 OSEP/OSCP/OSWP/OSWA/OSTH/OSIR/支援士/ネスペ/MS系 ●ちょっとだけ得意 IR、アーキ、M365/Azure、OT、内部不正対策、WebApp ●まあまあわかる AWS、診断系 ●苦手 セキュリティチェックシート、監査
Katılım Haziran 2017
923 Takip Edilen1.6K Takipçiler
AI for Securityが展開しやすいかどうかを見極めるポイントのひとつは「AIを実稼働環境で動かす必要がない」こと。
技術的にはとっくに凄腕エンジニアを超えている中で、本番環境で自律的なアクションをさせることに対する抵抗がなくなるのにはもう少し時間がかかる。
・ソースコード診断/テスト環境サイトへの診断/クライアントアプリ解析
・脅威ハンティング/脅威検知/アラートトリアージ
・脆弱性管理/資産管理/ASM
この辺りは本番稼働に影響が少なく実装ができる一方で、
・ペネトレーションテスト
・OTセキュリティ
・EDR/SOAR(封じ込め)
はどうしてもAIが入り込むことに抵抗感があるというのが現状とみてる。
仮にLLMが軽量にローカルで動かせるようになったとして、「うちのEDRは LLMでマリシャス判定してブロックします」と言われて、入れようと思う人がどのくらいいるのかという話。
AIの実装側に周るか、AIができない領域にフォーカスするか、悩ましい。
日本語
これ本当に深刻です。数年前から正規のクラウドサービスをC&Cとして使うAPTが観測されています。
OneDriveが紹介されてますが、ExchangeやGoogleカレンダーなど様々なサービスが悪用されています。
SWGなどでマリシャス判定されないのはもちろん、NW構成によってはローカルブレイクアウトされてしまっておりログに残らない点が厄介です。
対策としては、↓が挙げられますが、どれも完璧に防げるものではありません。
・不要なクラウドサービスはSWGでブロックける
・テナント制限(Tenant Restriction)をかける
・EDRなどでネットワークログを取得
📕「マルウエアの教科書」著者 | 吉川孝志 | 増補改訂版🌟発売中@MalwareBibleJP
中国系の攻撃グループが、MicrosoftのOneDriveをそのまま指令サーバー(C2)に悪用する新バックドア「GraphWorm」を投入したとの報告です。被害者ごとに専用フォルダを作り、3つのサブフォルダで指令の受け取り・実行結果の返送・ファイル保管を分担する設計。 感染端末がやり取りするのは公式クラウドへの通常のファイル操作に見えるため検知を逃れやすい背景です。 攻撃元は標的を長期間しつこく狙うAPT(高度標的型攻撃)グループ「Webworm」によるもの。 4月に紹介したOutlook受信トレイをC2に使うLinuxバックドアと同じ「正規クラウドをC2にする」系統で、別のグループでも同種の手口が観測された形です。 Discord、Outlook、OneDriveと、正規クラウドをC2に転用する手口が短期間に複数の攻撃グループで観測されています。 通信先が信頼されたサービスそのものになるため、宛先が正規かどうかだけでは見抜きにくい一例です。 【要点の整理】 ・出典:ESET(WeLiveSecurity、2026/5/20公開)。Webwormは2022年にSymantecが初めて報告した中国系APTで、当初はアジアを狙っていたが近年は欧州へ標的を移し、2025年はベルギー・イタリア・セルビア・ポーランドの政府機関を狙い、南アフリカの大学を侵害。 ・GraphWormの動作(検体名C2OverOneDrive):初回起動時に、ネットワークアダプタのIPやCPUのID、機器のシリアル番号を組み合わせて端末ごとの固有IDを作り、それを名前にしたOneDriveフォルダを生成。やり取りするデータはAES(共通鍵暗号)で暗号化したうえでbase64というテキスト形式に変換し、大きなファイルはMicrosoftの公式API「Graph」の大容量アップロード機能で送り出したとみられる。 ・もう一つの新バックドアEchoCreep:チャットアプリのDiscordをC2に使うタイプ。ESETは復号した400件超のDiscordメッセージから、被害者ごとに分かれた4つのチャネルを特定。 ・侵入経路の探索:弱点を自動で探す脆弱性スキャナ「nuclei」と、隠れたページを総当たりで探す「dirsearch」で標的のWebサーバーを調査し(dirsearchは56の標的に対し実行)、Webメールソフト「SquirrelMail」のログイン後に外部から命令を実行できてしまう不具合(CVE-2017-7692)を突くコードをセルビアの標的に使った形跡。追跡をかわすため、高速中継ツールfrpを改造したWormFrpや通信を何段も中継するChainWormなど独自のプロキシを組み合わせて経路を隠す。 ・正規サービスの悪用:マルウェアの配布に、本物のWordPress配布元を複製(フォーク)したGitHubページを使い、設定や盗んだデータの保管には乗っ取った正規のクラウド保管サービス(Amazon S3)を利用。中にはイタリア政府機関のマシンの設定や状態を保存した仮想マシン(VM)のスナップショットや、スペイン政府から盗まれたファイルが含まれていたとされる。 詳細は以下を参照: welivesecurity.com/en/eset-resear…
日本語
GOETAN@GOETAN_GOETAN
Purviewの監査ログはONにしとこうね 一般ユーザーのMicrosoft Entra ID 管理ポータルへのアクセスも制限しとこうね #Microsoft-Entra-ID-%E7%AE%A1%E7%90%86%E3%83%9D%E3%83%BC%E3%82%BF%E3%83%AB%E3%81%B8%E3%81%AE%E3%82%A2%E3%82%AF%E3%82%BB%E3%82%B9%E3%82%92%E5%88%B6%E9%99%90%E3%81%99%E3%82%8B%E6%96%B9%E6%B3%95" target="_blank" rel="nofollow noopener">jpazureid.github.io/blog/azure-act…
ZXX
Purviewの監査ログはONにしとこうね
一般ユーザーのMicrosoft Entra ID 管理ポータルへのアクセスも制限しとこうね
#Microsoft-Entra-ID-%E7%AE%A1%E7%90%86%E3%83%9D%E3%83%BC%E3%82%BF%E3%83%AB%E3%81%B8%E3%81%AE%E3%82%A2%E3%82%AF%E3%82%BB%E3%82%B9%E3%82%92%E5%88%B6%E9%99%90%E3%81%99%E3%82%8B%E6%96%B9%E6%B3%95" target="_blank" rel="nofollow noopener">jpazureid.github.io/blog/azure-act…
JITA@ff_0000_ff
【M365テナントを契約してすぐにやったほうが良いこと】 ●独自ドメインの取得 onmicrosoft[.]comでメールやTeamsを使い始めてしまうと独自ドメインを使おうと思った時の移行が超大変。テナント作成直後に独自ドメインを取得すべき ●DMARKの設定 運用が広がった後に有効化すると、SaaS、業務システム、マーケツール、代理送信サービスなど「自社ドメインを名乗って送っている全送信元」を洗い出してSPF/DKIMを整える必要があり、調査範囲が一気に膨らむ。テナント作成直後にDMARKを導入すべき ●Teamsのチーム作成を制限 チームは利用者が自由に作れるため、放置すると不要なチャネルが乱立する。チームは管理者が作成する運用としチャネルを整理すべし ●外部共有・ゲストアクセスの厳格化 デフォルトのままだと、SharePoint/OneDrive/Teamsから想定以上に外部共有できてしまう。外部共有のツールが他にあるのであれば、M365の外部共有は原則行わない設定とすべし 他にもあれば引用ポストやリプライで教えてください
日本語
PurviewちゃんもいいけどDefender for Office P2持ってたら高度な追及でクエリで探す方が好み(例外条件が書きやすい)
JITA@ff_0000_ff
個人メールアドレス宛のファイル送付は厳重に監視すべし。 フリーメールやキャリアメールをはじめとした個人アドレス宛の添付ファイルについてはPurviewのDLPを使ってアラートを上げることを推奨。採用活動などでgmailにメールを送付することは容易に推測できるので、あくまで検知モードで動かしある程度のチューニングは必要。 さらにインサイダーリスクマネジメントを利用すると、退職者に対する重点的な監視を実現することができる。 富士通ほどの企業となればこのような事例に気づける仕組みを整備していたと思われるが、多くの企業では退職前の情報持ち出しを気づけてすらいないケースがほとんど。 ちなみにフリーメールっや携帯メールのドメインはこのサイトを参考にしている。 biz.tm.softbank.jp/PG2241A1_biz_p… そしてこのような内容をPurviewのブログ第2篇として各予定。
日本語
あまり知られていないですが秘密情報は、
「秘密情報であることが十分にアピールできていなければ、持ち出された場合でも無罪になる」という判例が存在します。
自社の利益を守るためにも秘密情報管理は重要です。
引用元:企業の秘密管理に潜むリスク:裁判例から学ぶ営業秘密の守り方/株式会社日本電子公証機構
jnotary.com/info/risks-in-…
日本語
【M365テナントを契約してすぐにやったほうが良いこと】
●独自ドメインの取得
onmicrosoft[.]comでメールやTeamsを使い始めてしまうと独自ドメインを使おうと思った時の移行が超大変。テナント作成直後に独自ドメインを取得すべき
●DMARKの設定
運用が広がった後に有効化すると、SaaS、業務システム、マーケツール、代理送信サービスなど「自社ドメインを名乗って送っている全送信元」を洗い出してSPF/DKIMを整える必要があり、調査範囲が一気に膨らむ。テナント作成直後にDMARKを導入すべき
●Teamsのチーム作成を制限
チームは利用者が自由に作れるため、放置すると不要なチャネルが乱立する。チームは管理者が作成する運用としチャネルを整理すべし
●外部共有・ゲストアクセスの厳格化
デフォルトのままだと、SharePoint/OneDrive/Teamsから想定以上に外部共有できてしまう。外部共有のツールが他にあるのであれば、M365の外部共有は原則行わない設定とすべし
他にもあれば引用ポストやリプライで教えてください
日本語
個人メールアドレス宛のファイル送付は厳重に監視すべし。
フリーメールやキャリアメールをはじめとした個人アドレス宛の添付ファイルについてはPurviewのDLPを使ってアラートを上げることを推奨。採用活動などでgmailにメールを送付することは容易に推測できるので、あくまで検知モードで動かしある程度のチューニングは必要。
さらにインサイダーリスクマネジメントを利用すると、退職者に対する重点的な監視を実現することができる。
富士通ほどの企業となればこのような事例に気づける仕組みを整備していたと思われるが、多くの企業では退職前の情報持ち出しを気づけてすらいないケースがほとんど。
ちなみにフリーメールっや携帯メールのドメインはこのサイトを参考にしている。
biz.tm.softbank.jp/PG2241A1_biz_p…
そしてこのような内容をPurviewのブログ第2篇として各予定。
ライブドアニュース@livedoornews
【容疑認める】富士通の企業秘密を不正持ち出しか、子会社の元社員の男逮捕 news.livedoor.com/article/detail… 富士通の顧客向けのプレゼン資料や商談資料などのデータを私用のメールに送信したとみられている。男は「転職活動をするにあたって、自分のやっていた業務を説明するためだった」と供述した。
日本語