[{"content":"","date":"2026年04月07日","externalUrl":null,"permalink":"/ja/","section":"Ixonae on Security","summary":"","title":"Ixonae on Security","type":"page"},{"content":"注意: この記事はLLMによって英語から翻訳されたものです。正確性については保証いたしかねますので、あらかじめご了承ください。 英語の原文はこちら。\n今日、ドメインのSSL証明書を発行するたびに、その証明書が Certificate Transparency（CT）ログと呼ばれるものに公開記録されることを知りました。\nこれは2013年にGoogleによって作られました。 DigiNotar事件（およびその他の事件）を受けてのことで、DigiNotarという認証局（CA）がハッキングされ、中間者攻撃を可能にする目的で多数の不正な証明書が発行されました。\nCertificate Transparency（CT）の考え方は、発行されたすべての証明書を公開の追記専用（append-only）ログに記録することで、認証局の監視と監査を可能にすることです。これにより、侵害されたCAに関する問題を迅速に検出し、修正することができます。\nこれらのログはcrt.shなどのプラットフォームで閲覧できます。（以前からCensysのようなプラットフォームが証明書やドメインを一覧表示していることは知っていましたが、単にウェブをクロールして取得しているだけだと素朴に思っていました😅）\nMozilla FirefoxやGoogle Chromeなどのソフトウェアは、Signed Certificate Timestamp（SCT）を使用して、CTログに含まれていない証明書を拒否します。\n通常、認証局はログプロバイダーに連絡してSCTを受け取り、その署名を証明書に埋め込みます。これにより、ソフトウェアはブラウジング時にログに問い合わせることなく、信頼されたCTログのリストに対して署名を検証できます。\nたとえば、私のドメイン名について、証明書からその情報を以下のように取得できます。\n$ echo | openssl s_client -connect ixonae.com:443 2\u0026gt;/dev/null | openssl x509 -noout -text | grep -A 20 \u0026#34;SCT\u0026#34; CT Precertificate SCTs: Signed Certificate Timestamp: Version : v1 (0x0) Log ID : 96:97:64:BF:55:58:97:AD:F7:43:87:68:37:08:42:77: E9:F0:3A:D5:F6:A4:F3:36:6E:46:A4:3F:0F:CA:A9:C6 Timestamp : Feb 10 20:26:14.687 2026 GMT Extensions: none Signature : ecdsa-with-SHA256 30:46:02:21:00:DB:E7:79:00:09:79:4F:B3:D6:0B:BA: 0B:E9:3F:BF:AB:CF:DF:78:3E:D0:71:B0:F3:C7:48:26: 57:8B:8C:A1:91:02:21:00:DE:9B:CA:E5:25:48:DE:DA: 25:78:B9:98:96:47:A4:AD:FA:65:C5:9F:47:68:8E:BD: 1F:28:9C:85:BC:EF:FE:CC Signed Certificate Timestamp: Version : v1 (0x0) Log ID : 49:9C:9B:69:DE:1D:7C:EC:FC:36:DE:CD:87:64:A6:B8: 5B:AF:0A:87:80:19:D1:55:52:FB:E9:EB:29:DD:F8:C3 Timestamp : Feb 10 20:26:14.652 2026 GMT Extensions: none Signature : ecdsa-with-SHA256 30:45:02:21:00:B9:D9:26:BC:F4:BA:6F:E5:20:5A:4A: ログは1つだけではなく、複数存在することに注意してください。通常、信頼されたログのセットのみが、信頼されたログプログラムを通じてブラウザに含まれます。\n追加リソース\nIntroducing Certificate Transparency and Nimbus (Cloudflare) Certificate Transparency - How it Works (transparency.dev) List of Monitors (transparency.dev) RFC 6962 - Certificate Transparency ","date":"2026年04月07日","externalUrl":null,"permalink":"/ja/notes/2026/04/til-ct-certificate-transparency/","section":"ノート","summary":"注意: この記事はLLMによって英語から翻訳されたものです。正確性については保証いたしかねますので、あらかじめご了承ください。 英語の原文はこちら。\n","title":"TIL: SSL証明書はCertificate Transparencyログを通じて公開される","type":"notes"},{"content":"注意: この記事はLLMによって英語から翻訳されたものです。正確性については保証いたしかねますので、あらかじめご了承ください。英語の原文はこちら。\n以前、ブログをHugoに移行した際の記事（Goodbye Ghost, Hello Hugo）で、ホスティングにAWS CloudFrontを使っていることに触れた。\nAWSはHugoとそのまま連携できるという利点があった（つまり、hugo deployコマンドを使えば他の依存関係は不要だった）が、少しインフラの構築が必要だった。\nまた、万が一大量のリクエストが来た場合に破産しないよう、Cloudflareの背後に配置していた（それ以外は非常に安く、月に数セント程度だった）。\n最近、インフラを簡素化したいと思い、Cloudflare Pagesを見つけて試してみることにした。プロセスは驚くほどスムーズだった。基本的に必要な手順は以下の通り：\nAccount / Cloudflare Pagesへの書き込み権限を持つAPIキーを作成する wranglerをインストールし、npx wrangler pages project create my-projectでプロジェクトを作成する（なぜかUIからは作成できない） Page ProjectのCustom Domainsでドメインをリンクする 注意：APIキーは特定のPagesプロジェクトに限定できず、アカウント全体にのみ適用される。これが懸念される場合は、専用のCloudflareアカウントの使用を検討するとよい。\nリポジトリがGitHub上にある場合は、Cloudflareダッシュボードでリポジトリを直接リンクすることで、CI/CDを完全にスキップできる。私はセルフホストのgitリポジトリを使っているが、CI/CD設定に2つのステップを追加するだけで済んだ：\n- name: Build Hugo run: hugo - name: Deploy to Cloudflare Pages env: CLOUDFLARE_API_TOKEN: ${{ secrets.CLOUDFLARE_API_TOKEN }} CLOUDFLARE_ACCOUNT_ID: ${{ secrets.CLOUDFLARE_ACCOUNT_ID }} run: npx wrangler pages deploy public --project-name=my-project デプロイコマンド内のpublicは、Hugoのデフォルト出力ディレクトリ（ウェブサイトが格納される場所）を指している。\nCLOUDFLARE_ACCOUNT_IDがわからない場合は、https://dash.cloudflare.com/にアクセスすればhttps://dash.cloudflare.com/{あなたのアカウントID}/home/overviewにリダイレクトされる。\nパフォーマンスも良好で（少なくともPageSpeed Insightsによると）、CloudFrontと比較して悪化は見られなかった。\nCloudflare Pagesへの移行後のPageSpeed Insightsの結果 全体的に、この構成にはかなり満足している。AWSの請求書が1つ減り（Pagesは無料）、管理するインフラも1つ減った上に、ブログのデプロイは簡単で表示も速いままだ。今のところ見つけた唯一の欠点は、Cloudflare Pagesのアナリティクスがやや弱い点だが、これは致命的な問題ではない。\n","date":"2026年04月01日","externalUrl":null,"permalink":"/ja/notes/2026/04/hosting-hugo-cloudflare-pages/","section":"ノート","summary":"注意: この記事はLLMによって英語から翻訳されたものです。正確性については保証いたしかねますので、あらかじめご了承ください。英語の原文はこちら。\n","title":"AWS CloudFrontの代わりにCloudflare PagesでHugoをホスティングする","type":"notes"},{"content":"注意: この記事はLLMによって英語から翻訳されたものです。正確性については保証いたしかねますので、あらかじめご了承ください。英語の原文はこちら。\nNetwork Watcherの開発にあたり、https://ifconfig.me/ipのようなものを、新しいソフトウェアのインストールや設定なしにセルフホストしたいと考えた。\nApacheサーバーをプロキシサーバーとして稼働させていたので、利用可能なオプションを調べることにした。\nRHELシステムではhttpdにmod_includeがコンパイル済みであることがわかった（ただし、デフォルトでは有効ではなく、動作させるには明示的な設定が必要）。\nそのため、.shtmlスクリプトはたった1行で済んだ：\n\u0026lt;!--#echo var=\u0026#34;REMOTE_ADDR\u0026#34; --\u0026gt; これだけでは動作しないため、Apacheのvhostファイルにいくつかの設定が必要だった：\nDocumentRoot /path/to/dir \u0026lt;Directory /path/to/dir\u0026gt; # SSIのexec機能を使用できないようにし、現在の設定を # 上書きできないようにする Options IncludesNOEXEC AllowOverride None # Apacheに.shtmlファイルをMIMEタイプtext/htmlとして配信するよう指示し、 # ページがダウンロードされずに表示されるようにする AddType text/html .shtml # Apacheに.shtmlファイルをSSIプロセッサで解析するよう指示する AddOutputFilter INCLUDES .shtml DirectoryIndex index.shtml Require all granted \u0026lt;/Directory\u0026gt; RewriteEngine On # 無効なトークンを拒否 RewriteCond %{HTTP:Authorization} !^Bearer\\ dummy-password$ RewriteRule .* - [F] # / 以外のリクエストを拒否 RewriteCond %{REQUEST_URI} !^/$ RewriteCond %{REQUEST_URI} !^/index\\.shtml$ RewriteRule .* - [F] RewriteCond %{HTTP:Authorization}の行にハードコードされたパスワードがあることに気づくかもしれない。複雑なことをせずにシンプルなBearer認証を実装したかった（また、それが可能かどうかも気になっていた）。ハードコードされたパスワードは少し見栄えが悪いが（ApacheのIncludeディレクティブを使って別ファイルに移すこともできる）、たとえ誰かがページにアクセスできたとしてもリスクはほぼないので、これで十分だと考えている。\n追加リソース\nServer Side Includes (Wikipedia) Apache Module mod_include (apache.org) ","date":"2026年03月31日","externalUrl":null,"permalink":"/ja/notes/2026/03/mod_apache_what_is_ip/","section":"ノート","summary":"注意: この記事はLLMによって英語から翻訳されたものです。正確性については保証いたしかねますので、あらかじめご了承ください。英語の原文はこちら。\n","title":"Apacheのmod_includeを使ったシンプルな「自分のIPアドレス確認」スクリプト","type":"notes"},{"content":"注意: この記事はLLMによって英語から翻訳されたものです。正確性については保証いたしかねますので、あらかじめご了承ください。英語の原文はこちら。\nこのページでは、私のオープンソースプロジェクトを紹介しています。\nUtils - ツール # プライバシーを重視したユーティリティツールのコレクションです。\n現在、以下のことができるウェブツールがいくつか含まれています：\nさまざまな方法で機密文書にウォーターマークを入れる 画像のEXIFデータを読み取り・編集する これらはすべてHTML + JSのシンプルなウェブページです。ローカルで開くことができ、ホスト版を使用する場合でもデータを送信する必要はありません。\nツールは web-tools.ixonae.com からアクセスできます。\n今後、必要に応じてツールセットを拡充していく予定です。\nソースコード\nNetwork Watcher - macOSアプリケーション # 外部IPアドレスをリアルタイムで監視するmacOSメニューバーアプリケーションです。現在のIPアドレスを各ネットワークに設定された範囲と照合し、不一致がある場合にアラートを表示します。\n主にClaude CodeでmacOSアプリケーションをどこまで作れるか試してみた結果ですが、便利なので今後もメンテナンスを続ける予定です。\nソースコード\n","date":"2026年03月30日","externalUrl":null,"permalink":"/ja/projects/","section":"Ixonae on Security","summary":"注意: この記事はLLMによって英語から翻訳されたものです。正確性については保証いたしかねますので、あらかじめご了承ください。英語の原文はこちら。\n","title":"プロジェクト","type":"page"},{"content":"","date":"2026年03月20日","externalUrl":null,"permalink":"/ja/notes/","section":"ノート","summary":"","title":"ノート","type":"notes"},{"content":"","date":"2023年06月20日","externalUrl":null,"permalink":"/ja/authors/","section":"Authors","summary":"","title":"Authors","type":"authors"},{"content":"注意: この記事はLLMによって英語から翻訳されたものです。正確性については保証いたしかねますので、あらかじめご了承ください。英語の原文はこちら。\nブログをS3とCloudFormationに移行する際、AWS Certificate Managerを使って新しい証明書を生成する必要があった。しかし、正しいDNSレコードを作成し、伝播を待った後も、AWSは理由を示さずに生成リクエストを拒否し続けた。\n何が起きているのか理解しようと多くの時間を費やした結果、自分のドメイン名に対してAmazonの認証局がSSL証明書を発行することを許可していなかったため、検証が失敗していることがわかった。これはCAA（認証局認可）DNSレコードを追加することで設定すべきものだった。\nCAAフィールドは何のために使われるのか？ # CAA DNSエントリは、特定のドメインに対してどの認証局が証明書を生成できるかを指定するものである。証明書の誤発行を防ぐことを目的としている。\nCAAの設定 # 基本的な例を見てみよう。以下はdig CAA ixonae.comコマンドの出力の抜粋である。\nixonae.com. 16 IN CAA 0 issuewild \u0026#34;letsencrypt.org\u0026#34; ixonae.com. 16 IN CAA 0 iodef \u0026#34;mailto:[redacted to prevent crawling]@ixonae.com\u0026#34; ixonae.com. 16 IN CAA 0 issue \u0026#34;amazon.com\u0026#34; ixonae.com. 16 IN CAA 0 issue \u0026#34;letsencrypt.org\u0026#34; この応答は、AmazonとLet\u0026rsquo;s Encryptの両方がドメインixonae.comおよびそのサブドメインの証明書を生成できるが、ワイルドカード証明書を生成できるのはLet\u0026rsquo;s Encryptのみであることを示している。認証局が証明書生成の無効なリクエストを受け取った場合、指定されたメールアドレスにメッセージを送信する必要がある。0の値はフラグであり（issue、issuewild、iodefはタグ）、CAAエントリを理解できない場合でも気にせず、次のエントリを読もうとするよう認証局に伝えるものである。\nフラグ # フラグ値は2つある：\n0（非クリティカル）がデフォルト。認証局がエントリを理解できない場合、単に無視できる 1（クリティカル）は、プロパティを理解できない場合、認証局は証明書の発行を続行できず、（iodefで提供された値を使って）所有者に失敗を通知しなければならないことを示す CAAのスコープ # この例では、すべてのエントリがixonae.comに対して定義されているが、www.ixonae.comやtest.www.ixonae.comなどの特定のドメインに対してもエントリを定義できる。\nルールの優先順位は最も具体的なものから最も一般的なものへとなる。つまり、test.subdomain.domain.comの証明書を生成したい場合、認証局はまずtest.subdomain.domain.comにルールが存在するか確認する。存在しなければ、subdomain.domain.comにルールがあるか確認し、最後にdomain.comを確認する。\nもう一つ注意すべき点は、issueエントリのみがある場合、リストされた認証局はワイルドカード証明書の発行も許可されるということである。ただし、issuewildエントリがある場合、そのフラグを持つエントリのみがワイルドカード証明書を生成できる。\n最後に興味深い特性として、認証局を\u0026quot;;\u0026quot;としたエントリのみを作成した場合、指定されたドメインの証明書は誰も生成できなくなる（CAAエントリがない場合は、すべての認証局が発行可能である）。\n参考文献 # https://letsencrypt.org/docs/caa/ https://community.letsencrypt.org/t/caa-issuewild-question/159018/4 https://www.thesslstore.com/blog/what-is-caa-record-certificate-authority-authorization/ クレジット # カバー写真：Scott Rodgerson（Unsplash） ","date":"2023年06月20日","externalUrl":null,"permalink":"/ja/posts/2023/dns-certification-authority-authorization/","section":"記事","summary":"今日はCAA DNSエントリとは何か、そしてSSL証明書の誤発行を防ぐのにどう役立つかを学ぶ","title":"今日学んだこと：DNS認証局認可（CAA）フィールドの存在","type":"posts"},{"content":"注意: この記事はLLMによって英語から翻訳されたものです。正確性については保証いたしかねますので、あらかじめご了承ください。英語の原文はこちら。\nこのブログは開設以来、専用サーバー上でGhostを使って運営してきました。しかし、次第に不満が増えてきたため、変更の時期だと判断し、オープンソースの静的サイトジェネレーターであるHugoを試すことにしました。\nこの記事では、なぜ移行したのか、そしてブログをホスティングするためにAWS上でS3とCloudFrontを（Terraformを使って）どのようにセットアップしたかを説明します。\nなぜ移行したのか？ # Ghostには気になる点がいくつかありました。その一部を挙げると：\nメンテナンスされているテーマやモジュールの不足（例：AWSイメージホスティングモジュールは何年もコミットがない。Ghost導入時に購入してインストールしたテーマは更新されなくなり、すべてが壊れてしまったため使用を中止せざるを得なかった、など） ある時点で、公式テーマのCasperを少し修正して使い始めたが、テーマを更新するたびにこれらの修正を再適用する必要があった メディア管理システムが良くなく、エディタも使い心地が良くない（特にインデントされたリストなどのシンプルなMarkdownを書く場合） ページの表示が遅かった システム管理の観点から、Ghostは独自のユーザーで動作しているにもかかわらず、インストールディレクトリの権限が少なくともchmod 755に設定されていないと警告を出す（最後の5は不要であり、また、私はJS系の技術に対して強い嫌悪感がある） 決定打となったのは、ブログを新しいサーバーに移行しようとした時でした。エクスポートにはすべてが含まれておらず、Node.jsをアップグレードした後にGhostが正常に動作しなくなりました（修正できたはずですが、この時点で、これらの小さな問題の積み重ねで別のものを試したくなりました）。誤解のないように言うと、Ghostは今でもかなり良いプラットフォームだと思いますが、私のやりたいことに対して現時点で最適なツールではないと考えています。\nそこから、WordPressを検討しました。インストールとメンテナンスが簡単で、多くのモジュールやテーマが利用可能です。しかし、RSSフィードでWordPress関連のCVEをしょっちゅう目にします。また、このプラットフォームは速度面でも知られていません。\n以前からHugoというオープンソースの静的サイトジェネレーターについて聞いており、Ghostの非静的機能をほとんど活用していないことを知っていたので、試してみることにしました。Ghostと比較して：\nより高速（もちろん、サイトが静的なので当然） ホスティングが容易（まず静的ウェブサイトであること、次にHugoがAWS、Azure、Cloudflareなどのさまざまなサービスに自動的にデプロイできること）、そしてコストも低い メンテナンスがほぼ不要（サーバーの定期更新の心配が不要、バックアップも簡単、など） ウェブサイトとテーマのカスタマイズが容易（ただし、テーマの選択肢はGhostとそれほど変わらない） もちろん、サイトが静的になることで利便性は一部失われる（例：読者にコメント機能を提供したい場合、Disqusなどを使用する必要がある） AWSのセットアップ # 先ほど述べたように、私のHugoブログはAWS上でS3とCloudFrontを使ってホスティングされています。すべてTerraformで構成され、Hugoの統合デプロイ機能を使ってプッシュされます。ブログをオンラインにするために行った手順を見ていきましょう。\nAWS Certificate Manager # 最初のステップは、ACMを使ってixonae.comとwww.ixonae.comの証明書を作成することでした。基本的なDNS検証方法とRSA 2048を使用しました。その後、所有権を証明するために適切なCNAMEエントリをDNS設定に追加しました。Terraformからも実行可能でしたが、DNSプロバイダーがAWSではないため、（検証ステップがあるので）手動で証明書を生成する方が簡単だと判断しました。\nCloudFormationで使用するには、証明書をus-east-1リージョンで作成する必要があることに注意してください。\nTerraformによるS3とCloudFrontのセットアップ # 設定は100行以上あるため、ここには貼り付けませんが、GitHubで確認できます。この設定が行うことは以下の通りです：\nexample-websiteという名前のバケットを作成 ファイルの変更履歴を30日間保持し、その後は最新の変更のみを保持 アクセスは非公開に設定し、コンテンツはCloudFrontを通じてのみリクエスト可能 バケット暗号化キーを使用（「バケットキーはAWS KMSへの呼び出しを削減することで暗号化コストを下げます」） CloudFrontディストリビューションを作成 先ほど作成したS3バケットをデータソースとして使用 IPv6を許可 キャッシュポリシーをManaged-CachingOptimizedに設定（AWS推奨） TLSv1.2_2021を使用 HTTP/2をサポート（HTTP/1はデフォルト、HTTP/3も追加可能） ハードコードされたARN IDでSSL証明書を設定し、代替ドメイン名を追加 オブジェクトを自動的に圧縮 HTTPをHTTPSにリダイレクト GETとHEADのHTTPメソッドを許可 ビューワーリクエストに適用されるCloudFront関数を設定（デフォルトではクライアントはixonae.com/blog/のようなURLにアクセスするが、CloudFrontがixonae.com/blog/index.htmlにアクセスするようにする。クライアントには「きれいな」URLのみが表示される） example-website-logsというS3バケットを作成し、CloudFrontがこのバケットのlogsディレクトリにログを書き込むように設定 CloudFrontディストリビューションがexample-website S3バケットにアクセスできるようにするS3ポリシーを作成して適用 この設定を再利用する場合、以下を変更する必要があります：\nバケット名はユニークでなければならず、example-websiteは既に誰かが使用している可能性が非常に高い リージョンを選択する必要がある（現在はxx-xxxx-xxに設定） 前のステップで作成したACM証明書のARNでacm_certificate_arnを設定し、aliasesを適切な値に置き換える必要がある このTerraformを適用した後、残る作業はDNSレコードにCNAMEエントリを設定して、CloudFrontが生成したディストリビューションドメイン名（例：abcd.cloudfront.net）を指すようにすることだけです。\nHugoの設定 # Hugoの設定は非常に簡単です。設定ファイルに以下を含めるだけです（ただし、他にも多くの最適化オプションがあります）。\n[deployment.targets] name = \u0026#34;mydeployment\u0026#34; url = \u0026#34;s3://example-website?region=xx-xxxx-x\u0026#34; cloudFrontDistributionID = \u0026#34;xxxxxxxx\u0026#34; デプロイは以下のコマンドで行えます（適切な認証情報が含まれた~/.aws/credentialsファイルがすでにある場合）。\nhugo # To compile the website hugo deploy # To upload everything and invalidate the CloudFront cache まとめと今後の課題 # ブログはHugoとAWSを使って公開され、サーバーのメンテナンスを気にしたり、障害発生時にウェブサイトを素早く復旧させることを心配する必要がなくなりました。また、PageSpeed Insightsでのスコアも100/100を達成しました。\nPageSpeed Insights Score 次に、いくつかのワークフロー改善を計画しています：\ngitリポジトリのmasterブランチにプッシュされた際に、本番環境のAWSスタックへのデプロイをトリガーする CI/CDパイプラインにcronジョブを追加して、Hugoが定期的にウェブサイトのコンパイルとデプロイを試みるようにする（dateが未来に設定された記事が、適切なタイミングで自動的にプッシュされるように） devブランチに同様の操作が行われた場合、認証が必要なテスト環境へのデプロイをトリガーする AWSの設定を小改善する（ログの監視とストレージの改善、クロスリージョンレプリケーション、など） クレジット # カバー写真: Glenn Carstens-Peters（Unsplash） ","date":"2023年03月26日","externalUrl":null,"permalink":"/ja/posts/2023/goodbye-ghost-hello-hugo/","section":"記事","summary":"この記事では、ブログがGhostからHugoに移行した理由と、Terraformを使ってAWS（S3 + CloudFront）を構成した方法について説明します","title":"さようならGhost、こんにちはHugo","type":"posts"},{"content":"注意: この記事はLLMによって英語から翻訳されたものです。正確性については保証いたしかねますので、あらかじめご了承ください。英語の原文はこちら。\nこのブログでは、主に以下のテーマについて、私の研究、考察、発見を定期的に投稿していきます。\nプライバシー OSINT ダークネットの研究（主にダークマーケットやその他の違法活動） サイバーセキュリティ システム管理 暗号通貨（主にマネーロンダリングや匿名性機能について） プログラミング 免責事項 # このブログではさまざまなダークマーケットや違法な活動を行っている場所・サービスについて取り上げていますが、記事の対象読者は研究者やこれらについてもっと知りたいと思っている方々です。これらのサービスの利用を推奨するものではなく、いかなるサービスも支持するものではありません。お住まいの国の法律を遵守してください。ダークネットマーケットの推薦などを求めるメールはご遠慮ください。\n連絡先 # Twitter (@ixonae)、Mastodon (@ixonae@infosec.exchange)、またはメール: contact at ixonae[.]comでご連絡いただけます。\nPGP鍵はこちらから取得できます。（フィンガープリント B2A6 CF48 EA83 1A4A 2F42 80EA BB9E 36B7 F950 C3B3）\n","date":"2023年03月19日","externalUrl":null,"permalink":"/ja/about/","section":"Ixonae on Security","summary":"注意: この記事はLLMによって英語から翻訳されたものです。正確性については保証いたしかねますので、あらかじめご了承ください。英語の原文はこちら。\n","title":"概要","type":"page"},{"content":"注意: この記事はLLMによって英語から翻訳されたものです。正確性については保証いたしかねますので、あらかじめご了承ください。英語の原文はこちら。\n最近、初めてのCVE（CVE-2023-22481 - FreshRSSログファイルにおける機密情報の漏洩）を報告したことをきっかけに、発見した内容、過剰なログ記録がこのケースで引き起こした可能性のある問題、そしてログ記録のベストプラクティスについて書きたいと思います。\n発見した内容 # 最近FreshRSS（素晴らしいソフトウェアで、ぜひおすすめします）を使い始め、スマートフォンからすべてを読めるようにモバイルアプリケーションをインストールしました。アプリケーションをインストールした後、ユーザー名とパスワードでログインしようとしましたが、アクセスが拒否されました。たまたまサーバーにSSHコンソールを開いていたので、ログを確認したところ、以下の内容を発見しました：\n[_POST] =\u0026gt; Array ( [Email] =\u0026gt; MyUserName [Passwd] =\u0026gt; MyPassword ) [_COOKIE] =\u0026gt; Array ( ) [INPUT] =\u0026gt; Email=MyUserName\u0026amp;Passwd=MyPassword 「ちょっと待て」と思いました。「あれは私のパスワードそのものじゃないか」。そこでソースコードをダウンロードし、APIを使用した際に何が起きているのかを調べました。以下が見つけた内容のスニペットです：\nif user exists: if user configuration is missing: log the error and dump the request\u0026#39;s headers, get, post, and cookie values if password is correct: accept login else if password is incorrect: log the error and dump the request\u0026#39;s headers, get, post, and cookie values else if user does not exist: log the error and dump the request\u0026#39;s headers, get, post, and cookie values 基本的に、認証が失敗した場合、HTTPログインリクエスト内のすべてのデータがソフトウェアのログファイルとsyslogに記録されていました。\n疑似コードではパスワードと記載していますが、実際に期待されていたのはAPIキーでした（ユーザーパスワードはUIでのみ使用可能）。\nどのような影響があり得たか？ # このソフトウェアが複数のユーザーで本番運用されていた場合、以下のことが起こり得ました：\nユーザーが間違ったユーザー名とAPIキーを入力する ユーザーが誤って別のサービスで使用しているユーザー名とパスワードを入力する ユーザーがユーザー名とアカウントパスワードを入力する（期待されるAPIキーではなく） ユーザーが有効なユーザー名とAPIキーを入力するが、何らかの理由でログイン時に設定ファイルが読み取れない 悪意のあるユーザーがログファイルを読み取れるバグを悪用した場合（syslogはデフォルトですべてのユーザーがアクセス可能であることに注意）、以下のことが可能になります：\nパスワードを使用してそのユーザーとしてソフトウェアにログインする（ユーザーの個人データが漏洩し、攻撃対象領域が拡大する） ログインIDとパスワードを使ってクレデンシャルスタッフィングを行い、そのユーザーが所有する他のアカウントにアクセスする可能性がある 適切なログ記録のプラクティス（概要） # ログ記録はシステムに必要なものです。システムやユーザーが経験する問題のトラブルシューティングに役立つだけでなく、セキュリティインシデントの調査にも役立ちます。\nしかし、過剰なログ記録も問題になり得ます。詳細すぎるログは、前述の例で見たようなセキュリティリスクや法的リスクなど、さまざまなリスクを生み出す可能性があります。\n経験則として、パスワード、APIキー、PII（例えば健康データ、クレジットカード番号、公的ID番号）、ログ記録システムが保存を許可されているセキュリティ分類より高いデータなどは、絶対にログに記録してはいけません。何をログに記録できるか（または記録すべきか）は、対象となる規制や基準（例えばGDPR、PCI DSS、HIPAA）にも依存します。\nイベントデータの過剰なログ記録（例：HTTPリクエストの全内容）は避けるべきですが、システムに関連するすべてのイベントはログに記録する必要があります。例えば（これに限定されませんが）：\nデータ検証の失敗 ユーザー認証（失敗と成功） 認可の失敗 システムの状態変更（アプリケーションの起動、停止、など） 機密データのアクセスとデータの変更 特権アクセスの使用（新規ユーザーの追加、パスワードの変更、など） アプリケーションとシステムの障害やエラー データのエクスポート このようなものをログに記録する際は、「誰が？いつ？どこで？何を？」という質問に答えることを心がけてください。ログに記録する内容によっては、追加情報を含めたい場合もあるでしょう（例えば、プログラムが失敗した場合のJava例外など）。\n先ほどの状況におけるログの例としては、[IP] [Date] Authentification failed for username [username] : wrong passwordのようなものが考えられます。\n要するに、「インシデントが発生した場合、ログだけを見て原因を特定し、何が起きたかを理解するのに十分な情報があるか？」と考えることが重要です。\nまとめ # ログ記録は広大なテーマであり、ブログ記事一つですべてを語ることはできませんが、ログ記録についてもっと学びたい方には、OWASPの非常に優れた詳細なチートシートがあります。こちらで紹介した Practical Monitoring という書籍も素晴らしいリソースです。\nログ記録について語る際に言及する価値があるのは、過剰なデータをログに記録することによる金銭的コストと、サニタイズされていないデータをログに記録するリスク（log4j）です。\nクレジット # カバー写真: Jake Walker（Unsplash） ","date":"2023年03月08日","externalUrl":null,"permalink":"/ja/posts/2023/my-first-cve-2023-22481-danger-over-logging/","section":"記事","summary":"この記事では、ソフトウェアが過剰にログを記録するリスクについて掘り下げ、適切なログ記録のベストプラクティスを紹介します。","title":"初めてのCVEと過剰ログの危険性","type":"posts"},{"content":"注意: この記事はLLMによって英語から翻訳されたものです。正確性については保証いたしかねますので、あらかじめご了承ください。英語の原文はこちら。\n私はかなり長い間、二要素認証にYubikeyを使ってきたが、プロトコルレベルでどのように動作するのかを調べる機会がなかった。この記事ではそれについて解説する。\nFIDO U2Fに馴染みがない方のために説明すると、これは物理的なセキュリティキーが「既存のユーザー名・パスワードベースのログインフローを強化する二要素として機能する」ための認証規格である。簡単に言えば、パスワード入力後にセキュリティキーをコンピュータに差し込み、必要に応じてタッチすることでログインを許可する仕組みだ（NFC版も存在する）。\nなお、簡潔さとわかりやすさのために、いくつかの点を簡略化している（例えば、各やり取りにおけるブラウザの役割については説明していない）。詳細を知りたい場合は、Yubicoの非常に詳しいドキュメントページを参照してほしい。\nデバイスの登録 # セキュリティキーをWebサイトの二要素認証として使うための最初のステップは、キーを登録することだ。以下の図はその手順を示している。\nU2Fセキュリティキーの登録 基本的に、U2Fトークンは（ECC）キーペアを生成する。次に、デバイスから決して外に出ないマスターキーを使って秘密鍵とApp IDを暗号化し、公開鍵とともにWebサイトに送信する。\n秘密鍵を（暗号化されているとはいえ）送信するのは少し奇妙に思えるかもしれないが、これによりセキュリティキーはローカルストレージに依存する必要がなくなり、無制限の数のWebサイトで使用できるようになる。\n図ではApp IDのみを示しているが、これは簡略化のためであり、このApp IDはWebサイトのURLやU2Fキーへのリクエストの発信元のようなものとして理解してほしい。\n認証 # キーの設定が完了したので、Webサイトへのログイン時に二要素認証デバイスとして使用できるようになった。ログイン時に何が起こるかを以下の図に示す。\nU2Fキーによる認証 セキュリティキーを使用する際のワークフローを簡潔にまとめると以下の通りだ：\nU2Fキーはキーハンドル（登録フェーズで生成されたもの）を受け取り、マスターキーで復号して秘密鍵とApp IDを取得する。このプロセスにより、このWebサイトが確かに登録済みであることも確認できる U2Fキーにはローカルカウンターがあり、Webサイトでの認証のたびにインクリメントされる。これによりリプレイ攻撃を防ぐことができる。Webサイトは認証のたびに現在のカウンター値を保存し、それより低いカウンター値のレスポンスは破棄する 認証時に、クライアントはApp IDが現在接続しているWebサイトのアドレスと一致するかも確認する。これはフィッシング防止のためだ。第三者がメッセージを傍受しようとした場合、認証リクエストの発信元が異なるため、認証は進行しない 前のパートで説明した通り、WebサイトはU2Fトークンが登録フェーズで生成したECC公開鍵を保存している。U2Fキーはハンドルから取得したECC秘密鍵を使ってチャレンジ（ランダム）データやその他いくつかのフィールドに署名し、Webサイトは公開鍵を使ってデータが正しいデバイスによって署名されたことを検証できる まとめ # これでU2Fセキュリティキーの仕組みについて十分に理解できたはずだ。なお、このようなキーの実装はメーカーによって異なる場合がある。例えば：\n認証に使うサービスごとにカウンターを持つこともできる（グローバルなカウンターではなく） ハンドルにECC秘密鍵を含める必要はない。トークンはサービスに一意のIDを送信し、どのECC秘密鍵がどのサービスに関連付けられているかをローカルに保存することもできる 参考文献 # How FIDO U2F Works (Yubico) Key Generation (Yubico) U2F Specs (FIDO Alliance) クレジット # カバー写真：regularguy.eth（Unsplash） ","date":"2023年01月17日","externalUrl":null,"permalink":"/ja/posts/2023/today-i-learned-how-fido-u2f-security-keys-work/","section":"記事","summary":"この記事では、YubikeyなどのFIDO U2Fセキュリティキーの仕組みと、タッチするだけで二要素認証ができる理由を解説する","title":"今日学んだこと：FIDO U2Fセキュリティキーの仕組み","type":"posts"},{"content":"注意: この記事はLLMによって英語から翻訳されたものです。正確性については保証いたしかねますので、あらかじめご了承ください。英語の原文はこちら。\nこの記事では、航空機関連のOSINTを行うためのさまざまな方法を探ります。まず、利用可能な識別番号や飛行中の航空機の位置特定方法などの基本的な概念を紹介します。次に、航空機の追跡と識別、および所有者の特定を可能にするさまざまなツールについて見ていきます。\n基本概念 # 識別番号 # 航空機を追跡するために使用できる番号は3種類あります：登録番号、シリアル番号、コールサインです。それぞれの特徴を見ていきましょう。\n登録番号 # 航空機は国に登録する必要があり、その国が固有の登録番号を割り当てます。番号は国のプレフィックスで始まり、航空機に表示されなければなりません。例えば、下の写真の飛行機は「9H-NEO」として登録されています（9Hはマルタの国コードです）。\nAirplane registered as 9H-NEO 航空機は1つの国にのみ登録できますが、その生涯を通じて登録が変更される場合があります。また、一部の国では、航空機が売却、破壊、または退役した場合に登録番号の再利用を認めています。\nシリアル番号 # シリアル番号は製造者によって割り当てられるため、登録番号とは異なり、航空機の生涯を通じて同じままです。\nコールサイン # コールサインは、飛行中に航空機が使用する固有の識別子です。ほとんどの場合、民間機は登録番号を使用し、商用機はルートに依存する番号を使用します。\n位置追跡 # 航空レーダーウェブサイトが航空機を追跡するために使用する方法は複数あります：\nMLAT（マルチラテレーション）は、4つ以上の受信機を使用して航空機からの信号を受信します。電波信号の到達時間差（TDOA）を測定することで、航空機の位置と速度を特定できます（基本的に三角測量です） ADS-B（放送型自動従属監視）は、航空機が識別情報、（GPSで取得した）位置、高度、速度を電波で定期的に放送する技術です ADS-C（契約型自動従属監視）はADS-Bと似ていますが、航空機は電波送信機で放送する代わりに、衛星経由で契約先に飛行情報を送信します これらのシステムについて詳しく知りたい場合は、この記事の最後にいくつかのリソースをリンクしています。航空機の追跡には他のメカニズム（レーダーなど）もありますが、この記事とは関係がないため言及していません。\nNOTAMメッセージ # 「Notice to Air Men」メッセージは、空港運営者や政府機関がパイロットに飛行ルートや場所における潜在的な危険を警告するために作成・送信するものです。\nExample of NOTAM message OSINTリソース # 航空交通リアルタイムマップ # 以下のプラットフォームは、現在の航空交通を示すマップを表示します。いずれも以下のことが可能です：\n特定の場所を飛行中のすべての航空機を表示する 1機を選択して、そのルート、機種、登録番号、速度、写真などを確認する 各ウェブサイトには若干異なる機能があり、探しているものによって便利さが異なります。また、あるサービスでは探しているデータがなくても、別のサービスにはある場合もあります。\nExample of an Aircraft tracking website (absbexchange.com) absbexchange.com このサイトは非常に気に入っています。UIが競合サイトほど重くなく、軍用機のみを表示するように空域をフィルタリングできます（戦闘機はまだ見たことがありません - ほとんどの軍用機はトランスポンダーを有効にしていないか、他の回避技術を使用していると思われます）\nradarbox.com このウェブサイトには多くの機能があります（多くはサブスクリプションが必要です）。ライブフライトマップの他に、カバーエリアの表示、フライト履歴、統計、緊急事態のあったフライト、そして多くのフィルターが使用できます。\nflightradar24.com Radarboxの軽量版です。空港の到着・出発の見やすいビューもあります。\nflightaware.com このウェブサイトでは、登録番号からフライト履歴を確認でき、必要であれば全フライト履歴を購入することもできます。また、便利な機能も提供しています。\n空域 # iFlightPlanner このウェブサイトの最も興味深い機能は、特別なエリア（禁止区域、制限区域、警告区域など）を表示できることです。また、気象条件やどのカテゴリの航空機がどのエリアを使用できるかも表示できます。残念ながら、米国の領土のみに対応しています。\niFlightPlanner screen - showing a restricted area due to a VIP Presence FreeRadar.uk このウェブサイトは交通状況のマップを表示しますが、それが最大の特長ではありません。最も優れている点は、さまざまな空域エリア（管制空域、制限区域、危険区域など）と飛行場（軍用・民間）を表示することです。英国の領土のみに対応しています。\n無線およびその他の通信 # LiveATC.net このウェブサイトでは、空港周辺の航空交通無線通信をライブでストリーミングできます。フィードは無線受信機を持つボランティアによって提供されています。\nOurAirports.com このウェブサイトには、特定の空港の天気や発着便などの有用な情報が多数ありますが、最も役立つのはNOTAMメッセージと無線周波数です。\nAirportWebcams.net このウェブサイトは、空港ごとに検索可能なリアルタイムの空港ウェブカメラのコレクションを提供しています。\n航空機の所有者 # 視覚的な識別 # 航空機の写真から得られる有用な識別情報は2種類あります。1つ目は、先ほど説明した登録番号です。2つ目は、航空機のデザインと描かれたロゴです。ロゴを検索できるウェブサイトがインターネット上に複数あります。\nairlinelogos.net このウェブサイトは画像のギャラリーで、国別などで航空会社を検索できます。\nairhex.com こちらはよりモダンなインターフェースを持ち、ロゴ（ウォーターマーク付き）と航空会社データのデータベースを無料でダウンロードできます。有料のAPIも提供しています。\nairhex.com logo page 画像関連のOSINTについてもっと知りたい方は、以前書いたこの記事が参考になるかもしれません。\n所有者は誰か # 国によっては、所有権登録が公開されており、インターネットでアクセスできる場合があります。\n登録番号またはシリアル番号がある場合、AeroTransport、planelogger、rzjetsで登録情報を確認できます。\nRegistration details of the registration for the number N628TS あるいは、このリストを見て、どの国で番号が登録されたかを確認することもできます。そこから、該当国の登録機関を検索するだけです。\n例えば、以下はいくつかの国の登録機関です：\nThe Federal Aviation Administration（アメリカ） Flightawareでは、登録番号の所有権履歴を便利に確認することもできます Civil Aviation Authority（イギリス） Directorate General for Civil Aviation（フランス） Federal Office of Civil Aviation（スイス） Transport Canada Civil Aviation Directorate（カナダ） - 現在の登録、過去の登録 Civil Aviation Safety Authority（オーストラリア） ある国の民間航空を管轄する機関を知りたい場合は、このページを参照してください。\nまとめ # この記事では、航空機関連のOSINTに使用できる主な技術と、得られる情報について説明しました。単一のブログ記事で利用可能なすべてのリソース（例：すべての航空交通無線ストリーミングウェブサイト）を網羅することはできませんが、前述のリソースがOSINTの取り組みに役立つはずです。\n出典 # How We Track Flights with MLAT (flightradar24) Aircraft Transponders: What They Are and How They Work (Aviation Matters) ADS-B and ADS-C: The 3 Key Differences (Aviation Matters) En-route Tracking of Aircraft (Skybrary) Automatic Dependent Surveillance-Broadcast (Wikipedia) OCEANIC FLIGHT TRACKING (Air Services Australia) Aircraft registration (Wikipedia) What is Aircraft Registration? (Interconnect Wiring) Aircraft Call-sign (Skybrary) NOTAM (Wikipedia) クレジット # カバー写真: Ashim D\u0026rsquo;Silva（Unsplash） 9H-NEO航空機写真: Isaac Struna ","date":"2023年01月14日","externalUrl":null,"permalink":"/ja/posts/2023/airplanes-related-osint-simple-introduction-guide/","section":"記事","summary":"この記事では、航空機の位置、所有者、フライトプランなど、OSINTを使って航空機を追跡するさまざまな方法を探ります","title":"航空機関連のOSINT：シンプルなガイド","type":"posts"},{"content":"注意: この記事はLLMによって英語から翻訳されたものです。正確性については保証いたしかねますので、あらかじめご了承ください。英語の原文はこちら。\n今日はNAT64とDNS64について学んだ。これらはIPv6のみのネットワークがIPv4のみのネットワークと通信するための仕組みである。この仕組みにより、アクセスしようとするIPv4のみのサービスには、よく知られたプレフィックス64:ff9b::/96を使ったIPアドレスが（ローカルで）割り当てられる。\n最近、スマートフォンから個人サーバー上のサービス（VPN経由でのアクセスが必要）にアクセスしようとしたところ、「403 Forbidden」というエラーが返された。「おかしいな」と思った。「WireGuardで接続しているから、アクセスできるはずなのに\u0026hellip;」よく調べてみると、予想外のことに気づいた。WireGuardクライアント（IPv4アドレスに接続するよう設定済み）が、64:ff9b::xxxx:xxxxのようなIPv6エンドポイントに接続していたのだ。調査の結果、何らかの理由でネットワークが自分のサーバーにIPv6を割り当て、すべてのトラフィックをそこ経由で強制的に通していることがわかった。\n検索してみると、新しい携帯キャリアがIPv6のみのネットワークを使用しており、IPv4のみのネットワークやサービスへの接続にNAT64とDNS64を利用していることが判明した。基本的に、起きていたことは以下の通りだ：\nスマートフォンがmysite.comにアクセスするためにネットワークにDNSリクエストを送信 携帯キャリアのDNSがmysite.comの存在しないAAAA DNSエントリを解決しようとした。解決できなかったため、（DNS Aレコードに基づき、RFC 5062を使って）64:ff9b::/96内にIPv6を作成し、スマートフォンに返した mysite.comに接続しようとする際、スマートフォンは割り当てられたIPv6を使用した。携帯キャリアのルーティングシステムがNAT64を使ってIPv4で自分のサーバーに到達していた WireGuardのAllowed IPsリストにはサーバーのIPv4とVPNのCIDRしか登録されていなかったため、トラフィックはVPN経由でルーティングされず、サーバーによって拒否されていた 以下の図は、各コンポーネント間のすべてのやり取りをわかりやすく示している。\nNAT64とDNS64（出典：Wikipedia） 幸い、修正は非常に簡単だった。DNSレコードに新しいAAAAエントリを追加し、サーバーのIPv6をWireGuardのAllowed IPs設定に追加するだけで、すべてが正しくルーティングされるようになった。\n参考文献と追加資料 # DNS64: DNS Extensions for Network Address Translation from IPv6 Clients to IPv4 Servers (RFC 6147, IETF) IPv6 Addressing of IPv4/IPv6 Translators (RFC 5062, IETF) NAT64 and DNS64 (Wikipedia) NAT64/DNS64 (JPNIC - 日本語) クレジット # カバー写真：Lars Kienle（Unsplash） ","date":"2023年01月08日","externalUrl":null,"permalink":"/ja/posts/2023/today-i-learned-nat64-and-dns64/","section":"記事","summary":"今日学んだこと：NAT64とDNS64を使えば、IPv6のみのネットワークからIPv4のみのネットワークと通信できる。IPv4アドレスはCIDR 64:ff9b::/96に変換される","title":"今日学んだこと：NAT64とDNS64","type":"posts"},{"content":"注意: この記事はLLMによって英語から翻訳されたものです。正確性については保証いたしかねますので、あらかじめご了承ください。英語の原文はこちら。\n数か月前、ホームネットワークにpfSenseを導入してプライバシーとセキュリティを向上させる方法を説明した記事を投稿しました。時間が経つにつれて、ネットワークの信頼性を高め、新しいマシンを追加する際の設定の負担を軽減するいくつかの改善方法を見つけました。この記事ではそれらを紹介します。\nより簡単なファイアウォール管理とVPN/非VPNネットワークの切り替え # 初期の設定では、クライアントを192.168.1.0/24サブネットに割り当て、すべてのインターネットトラフィックをデフォルトでVPN接続経由でルーティングし、VPNを使用したくないマシンごとにファイアウォールルールを追加していました。\nこの設定にはいくつかの問題がありました。まず、新しいマシンでVPNを使用しないように設定するには、少なくとも3か所で設定変更が必要でした。また、マシンのVPNを一時的に無効にする簡単な方法がありませんでした。\n新しい設定では、192.168.0.0/22サブネットを使用し、IPを以下のように割り当てています：\n192.168.0.2 -\u0026gt; 192.168.0.254はDHCPで割り当てられ、VPN + pfBlockerNGを使用 192.168.1.2 -\u0026gt; 192.168.1.254は手動で割り当てられ、VPN + pfBlockerNGを使用 192.168.2.2 -\u0026gt; 192.168.2.254は手動で割り当てられ、VPNは使用せずpfBlockerNGのみ使用 192.168.3.2 -\u0026gt; 192.168.3.254は手動で割り当てられ、VPNもpfBlockerNGも使用しない（ただしローカルDNSは使用） ネットワークに新しいマシンを追加する際は、IPアドレスの最後のバイトを一意にして、サブネットの切り替えをより便利にしています（使用中のIPに切り替えてしまうリスクを減らすため）。例えば、3台のマシンがある場合、192.168.1.2、192.168.3.3、192.168.1.4というIPを割り当てます。最初のマシンをVPNなしで使用したい場合は、ネットワーク設定でWiFi設定のIPを192.168.2.2に変更するだけで、そのIPが他のマシンで使用されていないことがわかります。\nでは、すべてを設定していきましょう。最初のステップは、LANインターフェースに移動して、静的IP設定を変更することです。\nInterfaces -\u0026gt; LAN -\u0026gt; IPv4 Configuration 次に、Services/DHCP Server/LANでDHCPサーバーが正しく設定されていることを確認します。\nServices -\u0026gt; DHCP Server -\u0026gt; LAN -\u0026gt; General Options 次にOutbound NATとLANファイアウォールルールです。\nFirewall -\u0026gt; NAT -\u0026gt; Outbound Firewall -\u0026gt; Rules -\u0026gt; LAN 最後に、192.168.3/24に対してpfBlockerNGを無効にします。Firewall/pfBlockerNG/DNSBL/Python Group Policyに移動し、Bypass IPsに各アドレスを入力します。残念ながら、範囲を指定する方法はないようですが、以下のbashスクリプトで範囲内のすべてのアドレスを取得できます（自分のマシンで実行してから、出力をUIに貼り付けます）。\nfor value in {0..254} do echo \u0026#34;192.168.3.$value\u0026#34; done すべての設定が完了すれば、ネットワークに新しいマシンを追加するたびに複雑な変更を行う必要はありません。LANインターフェースのDHCP Static Mappingsに移動し、適切な範囲のIPを新しいマシンに割り当てるだけです。\n私の場合、WiFiルーターが2.4 GHzと5 GHzのネットワークを同時に使用できるため、コンピュータを最初のネットワークにDHCPで自動接続させ（VPNを使用するIPが割り当てられます）、2番目のネットワークは自動接続を無効にして、コンピュータに使用したいIPアドレスを手動で設定しています。\nプライバシーに関心のないユーザーの信頼性向上 # 家にプライバシーに関心のない人がいる場合、問題が発生すると（大声で）文句を言うでしょう。VPN接続エラー、ブラックリストに登録されたIP、広告ブロッカーの誤検出などが原因となり得ます。\nこのような場合は、そのユーザーのマシンのDHCPマッピングを192.168.3.0/24ネットワークに追加して、VPNと広告ブロッカーを使用しないようにします。また、DHCP設定で2番目と3番目のDNSサーバー（ここではCloudflareのもの）を設定します。\nServices -\u0026gt; DHCP Server -\u0026gt; LAN -\u0026gt; Edit Static Mapping VPNマッピングが必要な理由は、前回の記事でリゾルバをVPN接続経由でDNSクエリを行うように設定したためです。つまり、VPNがダウンするとDNSもダウンします。追加のDNSサーバーを設定することで、ネットワークに接続されたマシンがpfSenseのDNSの障害の影響を受けないようにできます。\n障害時のバックアップVPN # 前述の設定で、VPNを使用しないマシンのネットワーク信頼性は向上しましたが、VPNを使用するマシンはどうでしょうか？これに対応するため、pfSenseに別のVPNサーバーへの2番目のVPN接続を設定し、最初のVPN接続が失敗した場合に関連トラフィックをそちら経由でルーティングするように設定します。\nまず、VPN/OpenVPN/Clientsに移動し、新しいクライアントを作成して、Status/OpenVPNで正常に動作していることを確認します。\n次に、Interfaces/Interface Assignmentsに移動し、作成したVPNクライアントに新しいインターフェースを割り当てます。\nInterfaces/Interface Assignments その後、System/Routing/Gatewaysに移動し、以下の設定のゲートウェイがあることを確認し、存在しない場合は新しく作成します。\nSystem -\u0026gt; Routing -\u0026gt; Gateway (Edit) 次に、System/Routing/Gateway Groupsで新しいゲートウェイグループを作成し、各VPN接続にティアを割り当てます。私の場合、常にVPN1を使用し、正常に動作していない場合のみVPN2に切り替えたいと考えています。同じティアに設定することも可能ですが、その場合は2つのVPNが並行して使用されます。\nゲートウェイグループの編集 最後に、Firewall/Rules/LANとFirewall/NAT/Outboundに移動し、VPN1を使用しているルールをVPNsを使用するように変更する必要があります。\nこの時点で、すべてのネットワーキングは機能しますが、ローカルDNSリゾルバも使用しているため、Services/DNS Resolverに移動し、Outgoing Network InterfacesでVPN1とVPN2の両方を選択するように変更する必要もあります（残念ながら、現時点ではVPNsゲートウェイグループを使用する方法はありません）。\nまとめ # この記事のすべてのステップを実行した場合、ホームネットワークの信頼性が向上し、VPN接続がダウンした場合や、どのマシンがVPN接続を使用するかしないかを定義したい場合に、不便を感じることはなくなるはずです。\nこの記事が役に立った場合は、最近のWireGuardでセルフホストサービスを保護する方法の記事もご覧ください。pfSenseマシンを設定して、特定のIP範囲へのトラフィックをWireGuard VPN接続経由でルーティングする方法を説明しています。\nクレジット # カバー画像: Compare Fibre（Unsplash） ","date":"2022年12月26日","externalUrl":null,"permalink":"/ja/posts/2022/home-network-and-pfsense-improvements/","section":"記事","summary":"この記事では、VPNを使用する際にpfSenseで管理されたネットワークの信頼性を向上させ、サブネットワークの簡単な管理を可能にする方法について説明します","title":"ホームネットワークとpfSense設定の改善","type":"posts"},{"content":"注意: この記事はLLMによって英語から翻訳されたものです。正確性については保証いたしかねますので、あらかじめご了承ください。英語の原文はこちら。\n2022年が終わりを迎えるにあたり、今年楽しんだ本の中からおすすめのリストを共有したいと思います。カテゴリーごとにまとめましたが（順不同）、かなりの数があるため、あまりに長い記事にならないよう、それぞれ短いコメントにとどめました。\n今年読了できた本の数にはかなり満足しています（50冊以上）。これは、Audibleを使って何か別のことをしながら本を消化できることがいかに便利で効率的かに気づいたことが大きいです（技術書には向いていませんでしたが）。\nIT関連 # Building Secure and Reliable Systems: Best Practices for Designing, Implementing, and Maintaining Systems (Heather Adkins, et al.) Googleのエンジニアによるシステム設計戦略、コーディング・テスト・デバッグ、インシデント管理に関する洞察に富んだ本。 Container Security: Fundamental Technology Concepts That Protect Containerized Applications (Liz Rice) よく書かれており、実践的なアドバイスが充実した本。 Practical Monitoring (Mike Julian) 今年モニタリング関連の仕事が必要になり、この本が役に立ちました。 Social Engineering: The Science of Human Hacking (Christopher Hadnagy) 読み物としては面白いですが、あまり深い内容ではありません。 Data and Goliath: The Hidden Battles to Collect Your Data and Control Your World (Bruce Schneier) プライバシー、データ収集、監視に関する本。7年前の本ですが、今でも十分に通用する内容です。 Learn Wireshark: Confidently navigate the Wireshark interface and solve real-world networking problems (Lisa Bock) Wiresharkの使い方を学びたい方にはよい入門書です。そうでなければ、ちょっとしたテクニックを学べる程度かもしれません。 科学 # The Gene: An Intimate History (Siddhartha Mukherjee) 「『The Gene』を読むことは、自分の話を絶対に理解させてみせると確信している、才気あふれる情熱的な教授の授業を受けるようなものだ\u0026hellip; 素晴らしい。」- Seattle Times The Art of Statistics: Learning from Data (David Spiegelhalter) 「David Spiegelhalterは、この非常にわかりやすい現代統計学の入門書で、MooneyのFacts from Figuresのような名著の正当な後継を生み出した。多くの実例を用いて、理解を深め意思決定に役立つ統計学の力と優雅さを示しながら、手法と基礎概念を紹介している。」- David J. Hand Brief Answers to the Big Questions (Stephen Hawking) 「『Brief Answers』は、楽に読めて教育的で、引き込まれ、最新で、そして肝心なところではウィットに富んでいる。」- The Guardian Predictably Irrational: The Hidden Forces That Shape Our Decisions (Dan Ariely) 「プラシーボ効果からPepsiの楽しさまで、思考を刺激しながらも非常に楽しめる素晴らしい本。Arielyは、私たちの心が仕掛ける巧妙だが強力なトリックを暴き、騙されないための方法を示してくれる。」- Jerome Groopman Thinking, Fast and Slow **** (Daniel Kahneman) 読み終えるのにかなり時間がかかりました。本の前提は興味深く、示される例も啓発的ですが、文体があまり好みではなく、もう少し短くできたのではと思います。 伝記 # Next Stop Execution: The Autobiography of Oleg Gordievsky (Oleg Gordievsky) 英国のために働いた最高位のKGBエージェントの物語。幼少期からソ連からの劇的な脱出まで。 The Billion Dollar Spy: A True Story of Cold War Espionage and Betrayal (David E. Hoffman) ソ連軍事設計局のエンジニアであったAdolf Tolkachevの物語。彼はCIAに膨大な情報を提供し、冷戦時代に米国が軍事的優位を達成するのに貢献しました。 The Splendid and the Vile: A Saga of Churchill, Family, and Defiance During the Blitz (Erik Larson) 「親密な日記と公文書（一部は新たに公開されたもの）を驚くほど巧みに活用し、Larsonは1940年5月から1941年5月までの激動の12ヶ月間のよく知られた記録を、新鮮で、テンポがよく、深く感動的な本に変えた。」- Candice Millard, The New York Times Book Review Shoe Dog: A Memoir by the Creator of Nike (Phil Knight) Nikeがどのように創業され、今日の姿に成長したか。 L\u0026rsquo;éclaireur (Sergueï Jirnov) ソ連崩壊と退職前に、フランス行政機関の最上層部への潜入を目指していた元KGBエージェントの自伝。本書の大部分は、著者がいかにして非合法工作員となり、訓練を受けたかに関するものです（フランス語のみ）。 Profession espion (Olivier Mas) 元DGSEエージェントが在職中の年月について語った本。読み応えはありますが、画期的な発見は期待しないでください（フランス語のみ）。 歴史 # Rogue Heroes: The History of the SAS, Britain\u0026rsquo;s Secret Special Forces Unit That Sabotaged the Nazis and Changed the Nature of War (Ben Macintyre) 英国のSpecial Air Serviceの創設と、第二次世界大戦中の一部の作戦を見事に語った物語。 Black Flags: The Rise of ISIS (Joby Warrick) 「ありえないテロリストの首謀者Zarqawiの生涯と死、そして現在Islamic State（ISISとも呼ばれる）として知られる運動の台頭について、衝撃的で引き込まれる、そして精緻な詳細に満ちた記録。」- San Francisco Chronicle Les espions de la terreur (Matthieu Suc) ISISの諜報機関に関する調査（フランス語のみ）。 Prisoners of the Castle: An Epic Story of Survival and Escape from Colditz, the Nazis\u0026rsquo; Fortress Prison (Ben Macintyre) 今年出版されたMacintyreのもう一つの素晴らしい本。（ただし「The Spy and the Traitor」と「Agent Sonya」が私のお気に入りです。強くおすすめします。） The Mitrokhin Archive: The KGB in Europe and the West (Christopher Andrew) 持ち出されたKGBのアーカイブに基づく本。興味深い情報が多いですが、大量の名前と日付が次々と出てくるため、かなり読むのが大変な部分もあります。第2巻（「The KGB \u0026amp; the Battle for the Third World」）をすぐに読むことはないでしょう。 KGB - La véritable histoire des services secrets soviétiques (Bernard Lecomte) KGBの創設から消滅までの物語（フランス語のみ）。Mitrokhin Archiveほどの情報量はありませんが、はるかに読みやすい本です。 キャリア # 最近キャリアの進展に恵まれているため、以下の2冊が有用な指針を与えてくれました。\nStaff Engineer: Leadership Beyond the Management Track (Will Larson) The Manager\u0026rsquo;s Path: A Guide for Tech Leaders Navigating Growth and Change (Camille Fournier) 金融 # Central Banking 101 (Joseph J. Wang) 金融システムと貨幣創造の仕組みを理解するための明快な解説を提供する本。 The Millionaire Fastlane: Crack the Code to Wealth and Live Rich for a Lifetime! (M.J. DeMarco) タイトルから想像されるような「簡単に素早く金持ちになる方法」的な怪しい本ではありません。著者はいくつかの良い指摘をしていますが、やや繰り返しが多い部分があります。 実録犯罪 # Freezing Order: A True Story of Money Laundering, Murder, and Surviving Vladimir Putin\u0026rsquo;s Wrath (Bill Browder) ロシア当局者に関連する金融詐欺を暴き、関連資産を凍結するための闘いを描いた本。 Spam Nation: The Inside Story of Organized Cybercrime - from Global Epidemic to Your Front Door (Brian Krebs) 「スパムがなぜこれほど一般的なのかについての魅力的でやや心が重くなる考察\u0026hellip; Spam Nationの読者は、受信トレイのスパムを二度と同じ目で見ることはないだろう。」- USA Today その他 # Chinese Espionage: Operations and Tactics (Nicholas Eftimiades) 普段中国のスパイ活動についてあまり読まないので、かなり短いながらも興味深い本でした。 Four Thousand Weeks: Time Management for Mortals (Oliver Burkeman) 有害で無意味な生産性の「アドバイス」を次々と並べるのではない、時間管理について書かれた本を読めて心地よかったです。 21 Lessons for the 21st Century (Yuval Noah Harari) 「Sapiensでは過去を探求した。Homo Deusでは未来を見据えた。そして今、[Harari]は現在に目を向ける。」3冊とも素晴らしいですが、私のお気に入りは最初の1冊です。 クレジット # カバー写真: Dmitrij Paskevic ","date":"2022年12月17日","externalUrl":null,"permalink":"/ja/posts/2022/best-books-i-have-read-2022/","section":"記事","summary":"2022年に最も楽しめた本（IT、科学、その他のカテゴリー）","title":"2022年に読んだおすすめの本32選","type":"posts"},{"content":"注意: この記事はLLMによって英語から翻訳されたものです。正確性については保証いたしかねますので、あらかじめご了承ください。英語の原文はこちら。\nセルフホスティングは素晴らしいですが、問題があります。新しいサービスをインストールすればするほど、サーバーの攻撃対象面が増え、ハッキングされるリスクを避けるためにアップデートなどにより注意を払う必要があります。\nこの記事では、セルフホストサービスにさらなるセキュリティをもたらし、迅速なアップデートの必要性に対するストレスを軽減する方法の一つを紹介します。サービスをインターネットに直接公開せずに、簡単にアクセスできるようにします。これを実現するために、WireGuardサーバーを設定し、接続方法を説明し、未接続ユーザーがサービスにアクセスできないよう制限し、pfSenseを使用してローカルネットワーク内のすべてのマシンからサーバー上のサービスにアクセスできるようにします。\nなお、VPNサーバーと保護したいサービスが同じサーバー上にあることを前提としています。そうでない場合は、ファイアウォールの設定を少し調整する必要があります。\nWireGuardサーバーのインストール # 最初のステップは、WireGuardサーバーをインストールし、公開鍵/秘密鍵のペアを生成することです。\nsudo apt-get install wireguard cd /etc/wireguard umask 077 wg genkey \u0026gt; wg0.key wg pubkey \u0026lt; wg0.key \u0026gt; wg0.pub 次に、以下の設定で/etc/wireguard/wg0.confファイルを作成します。Addressフィールドを使用して、VPNに接続するクライアントのIPが10.90.0.2から10.90.0.254の間になるよう定義していますが、お好みの範囲を使用できます（既に使用されている範囲と重複しないよう注意してください）。\n[Interface] PostUp = wg set %i private-key /etc/wireguard/%i.key Address = 10.90.0.1/24 ListenPort = 51822 これが完了したら、systemdサービスを追加し、サーバーを起動し、正常に動作していることを確認します：\nsudo systemctl enable wg-quick@wg0.service sudo systemctl start wg-quick@wg0.service sudo systemctl status wg-quick@wg0.service 今回のケースでは、VPNをインターネットアクセスに使用しないため、クライアントがサーバーに接続できるようにWireGuardポートを開放するだけで十分です。\nsudo iptables -t filter -A INPUT -p udp --dport 51822 -j ACCEPT VPNを使ってインターネットに接続できるようにしたい場合は、以下のコマンドが使えます（eth0はインターネット接続に使用しているインターフェース名に置き換えてください）。\nsudo sysctl -w net.ipv4.ip_forward=1 sudo iptables -t nat -A POSTROUTING -s 10.90.0.0/24 -o eth0 -j MASQUERADE クライアントの設定 # クライアント側の設定 # 次に、サーバーに正しく接続できるかテストしましょう。WireGuardクライアントでAdd Empty Tunnel...をクリックすると、以下の画面が表示されるはずです（クライアントが自動的に鍵ペアを生成してくれます）。\nWireGuardクライアントから空のトンネルを追加 設定を以下のように変更します（A.B.C.DをサーバーのIPアドレスに置き換えてください）。\n[Interface] PrivateKey = KCMvn8yRUHBhI5RbIr/iZJn4X3BvjwsNdLmEDKFIaGg= Address = 10.90.0.2/32 [Peer] PublicKey = [Paste the content of the server\u0026#39;s /etc/wireguard/wg0.pub] AllowedIPs = 10.90.0.0/24 Endpoint = A.B.C.D:51822 PersistentKeepalive = 25 AddressはVPNネットワーク内でのクライアントIPになります。AllowedIPsオプションにより、VPN経由でどのIPアドレスにアクセスするかを指定できます。ここではVPNネットワークにアクセスしたいだけですが、すべてのトラフィックをVPN経由にしたい場合は0.0.0.0/0と記述する必要があります。\n設定を保存しますが、サーバー側の設定でクライアントを許可する必要があるため、まだ接続は機能しません。\nサーバー側の設定 # サーバー側の設定は非常にシンプルです。/etc/wireguard/wg0.confファイルを編集し、以下の行を追加するだけです：\n[Peer] PublicKey = eF3ZRuLDG9Ih5yxTFLyGyosx4qlAvad388ITieSwL34= AllowedIPs = 10.90.0.2/32 AllowedIPsはクライアントに割り当てたいアドレス（ここでは10.90.0.2）で、公開鍵はWireGuardクライアントが生成したものです。\n設定を保存したら、サーバーを再起動すれば接続できるようになるはずです。\n# Server side sudo systemctl restart wg-quick@wg0.service # Client side to test the connection ping 10.90.0.1 curl http://10.90.0.1 # If you have a web server running WireGuardサーバーを再起動したくない場合は、wgコマンドを使用するオプションがあります。ただし、これは何も保存しないため、設定ファイルの編集は必要です。そうしないと、次にサーバーを再起動した際に設定が失われます。\n# To add a client wg set wg0 peer \u0026#34;eF3ZRuLDG9Ih5yxTFLyGyosx4qlAvad388ITieSwL34=\u0026#34; allowed-ips 10.90.0.2/32 # To remove a client wg set wg0 peer \u0026#34;eF3ZRuLDG9Ih5yxTFLyGyosx4qlAvad388ITieSwL34=\u0026#34; remove WireGuardの活用 # 動作するサーバーができたので、サービスを外部からアクセスできないようにすることができます。\n最もセキュアな管理方法は、SSHとWireGuardのINPUTポートのみを開放することです。これにより攻撃対象面が非常に小さくなります。サービスにはIP10.90.0.1でアクセスできます。\nしかし、VPNアクセスを必要とせずに第三者と何かを共有したい場合があるとしましょう。このようなシナリオでは、Apacheインスタンスをインターネットに公開しますが、Virtual Hostで以下のApache設定を使用します。VPN経由で接続しているか、mygroupグループのユーザーでログインすることを要求します。\n\u0026lt;Location /\u0026gt; Require all denied AuthType Basic AuthName \u0026#34;Password Required\u0026#34; AuthUserFile \u0026#34;/path/to/htpasswd\u0026#34; AuthGroupFile \u0026#34;/path/to/htgroup\u0026#34; \u0026lt;RequireAny\u0026gt; Require ip 10.90.0.0/24 Require group mygroup \u0026lt;/RequireAny\u0026gt; \u0026lt;/Location\u0026gt; これの利点は、サーバーを使用する際にBasicAuthに煩わされないこと、また悪意のある攻撃者がパスワードの背後にあるサービスを悪用するリスクを軽減できることです。\npfSenseの設定 # これはすべて素晴らしいですが、すべてのデバイスでWireGuardを設定するのは面倒です。ホームネットワーク内のすべてのデバイスから、サーバーでホストしているサービスにアクセスできるようにできたらどうでしょうか？\npfSenseをお使いの場合、WireGuardトンネルを作成してルーティング設定を行うことで、これを実現できます。（pfSenseのセットアップに関するこちらの記事も参考になるかもしれません。）\nWireGuardトンネルの設定 # まず、System/Package Manager/Available Packagesに移動してWireGuardをインストールします。\n次に、VPN/WireGuard/Tunnelsで接続を設定します。Add Tunnelをクリックし、Interfaceアドレスを10.90.0.3/32に設定して鍵ペアを生成します。インターフェースを保存し、サーバーにログインしてこの公開鍵とIPアドレスでクライアントを追加します（前のパート「クライアントの設定/サーバー側の設定」を参照）。\nVPN / WireGuard / Tunnels / Add Tunnel インターフェースを作成した後、トンネル一覧に以下の画面が表示されるはずです。\nVPN / WireGuard / Tunnels 次に、Actions列のAdd Peerアイコンをクリックし、以下のようにPeerを設定します。\nVPN / WireGuard / Peers / Add Peer 変更を保存して適用します。また、Settingsメニューに移動してWireGuardを有効にすることを忘れないでください。すべてが完了したら、Status / Wireguardメニューでトンネルが動作していることを確認できるはずです。\n関連トラフィックをWireGuard経由でルーティングする # 動作するトンネルができたので、10.90.0.0/24へのすべてのトラフィックをリダイレクトします。\nInterfaces / Interface AssignmentsでWG1という名前のインターフェースを作成し、以下のように設定します：\nInterfaces / Interface Assignments Interfaces / WG1 Add a new gatewayをクリックしてIP10.90.0.3のゲートウェイを作成する必要があります。インターフェースの変更を保存したら、System / Routing / Gatewaysに移動して正しく作成されたことを確認できます。\nSystem / Routing / Gateways 次に、Firewall / NAT / OutboundでOutbound NATルールを作成します。このルールがインターネットに到達するインターフェースのルールよりも前にあることを確認する必要があります。\nFirewall / NAT / Outbound rule 最後に、Firewall / Rules / LANで以下のルールを追加します。NATと同様に、トラフィックをWANおよびVPNゲートウェイにリダイレクトするルールよりも前にある必要があります。\nFirewall / Rules / LAN -\u0026gt; new Rule DNSリゾルバー # 前述のApache設定のようなものを使用している場合、少し問題があります：DNSエントリがサーバーの内部VPN IPではなく、サーバーのIPアドレスを指しているためです。これを修正する一つの方法は、pfSenseのDNSリゾルバーを使用することです。例えば、git.me.comとcalendar.me.comをVPNネットワーク経由でアクセスしたい場合、Host Overrideを追加して以下のように設定できます。\nServices / DNS Resolver / General Settings / Host Override ソース # Using the VPN as the default gateway（Ubuntuドキュメント） Wireguard Client Addition without restart（ServerFault） クレジット # カバー画像: Peter Albanese（Unsplash） ","date":"2022年12月11日","externalUrl":null,"permalink":"/ja/posts/2022/protect-self-hosted-services-wireguard-vpn-server-pfsense/","section":"記事","summary":"サーバーでホストしているサービスへのアクセスにWireGuard VPN接続を必須にし、pfSenseでホームネットワークからのアクセスを許可する方法を学びましょう","title":"WireGuardでセルフホストサービスを保護する方法","type":"posts"},{"content":"注意: この記事はLLMによって英語から翻訳されたものです。正確性については保証いたしかねますので、あらかじめご了承ください。英語の原文はこちら。\n長年にわたり、私はさまざまな方法でメールを管理してきました。Gmailなどの一般的なサービス、100%セルフホスティング、独自ドメイン名でのサードパーティホスティング（標準的なものと「E2E」暗号化メールの両方）。最近では、サードパーティサービスを使ってメールの送受信を行い、独自のIMAPサーバーでメールを保存するという方法を始めました。この記事では、この解決策にたどり着いた経緯、なぜこれが良い方法だと考えるのか（少なくとも私のユースケースにおいて）、そして主要な既存ソリューションのさまざまな利点と問題点について説明します。\n始まり：主流のメールプロバイダー # ほとんどの人と同じように、私の最初のメールアカウントは主流のメールプロバイダーのものでした。記憶が正しければ、一番最初はYahooでした。その後、さまざまなサービスでアカウントを作りましたが、すべてプロバイダーのドメインを使用していました（つまりme@yahoo.comなど）。\n現在、私はこの方法をおすすめしません。メールプロバイダーとそのプロバイダーが所有するメールアドレスを使用するということは、そのアドレスが本当に自分のものではないことを意味します。プロバイダーが対応したくないと判断すれば、一方的にアカウントを閉鎖することができ、異議を申し立てる手段もありません。すべてのメールを失う可能性があり（適切なバックアップがない場合 - バックアップにはThunderbirdを使ってメールボックス全体のローカルオフラインコピーを保持することをおすすめします）、そのメールアドレスにリンクされたアカウントにアクセスできなくなるため、非常に困った状況に陥ります。\nリスクを軽減する一つの方法は、独自のドメイン名を取得してメールの受信に使用することです（johnsmith@gmail.comではなくjohnsmith@mydomainname.com）。この方法であれば、Googleがあなたを気に入らなくなっても、ドメインを別のプロバイダーにリダイレクトして同じメールアドレスを維持できます。確かに、ドメイン名も本当の意味では自分のものではなく、レンタルしているだけですが、更新をきちんと管理していれば、失う可能性は非常に低いです。\n独自のドメイン名を取得する場合でも、Google、Outlookなどでメールをホスティングすることはおすすめしません。これらのサービスにはメールを読んだり、メールに含まれるリンクを検索エンジンにインデックスする歴史があります。プライバシーを気にしないのであれば、これらのサービスは非常にうまく機能します。\n急展開：セルフホスティング # ある時点で、技術的なスキルが十分に身につき、メールをもっと管理したいと考えたため、いくつかのドメイン名を購入して独自のメールサーバーをセットアップしました。確かに管理にはかなりの時間がかかりましたが、素晴らしい学習経験となり、キャッチオールドメインの便利さを発見しました。これにより、サービスごとにメールアドレスを簡単に作成できるようになりました。しかし数年後、メンテナンスの負担に疲れ、やめることにしました。この時期から得た教訓は以下の通りです：\n独自のメールサーバーを持つと、メンテナンスに多くの時間を費やすことになり、サードパーティサービスを使うよりもコストがかかる 正しく運用していても、スパム、大手サービスによるメールの恣意的な拒否、ソフトウェアの障害などに対処しなければならない 複数のサーバーを維持・費用負担するか、サーバーがクラッシュした場合にさまざまな程度の不便を受け入れるかのどちらかが必要 デフォルトでは、プライバシーの面で必ずしも良いとは限らない。複数のドメインをホストしている場合（例：名前入りのドメインと紐づけされていないドメイン）、それらは最終的にドメイン履歴検索エンジンで関連づけられてしまう インストールするシステムを選択してカスタマイズできるが、ほとんどのオープンソースソフトウェアはサードパーティサービスに料金を支払うことで得られる機能よりも少ない メールボックスを完全にコントロールでき、理論的には他の誰もアクセスできない（まあ、ホスティングプロバイダーは理論的にはアクセスできるが\u0026hellip;そしてメールを送ってくる人のプロバイダーも\u0026hellip;） 楽に行こう：メールホスティングサービス # ある時、数週間のバカンスにパソコンなしで出発する前夜に、メールサーバーがかなりひどくクラッシュしました。それが最後の一押しとなり、「楽しかったけど、ホスティングプロバイダーを使おう」と考えるようになりました。\nそこから、評判が良く、プライバシーを侵害しないと信頼できるメールホスティングサービスを見つけ、何年も使用しています。サーバーの維持と比較して、コストが低く、時間がかからず、より信頼性が高く、機能面でもより使いやすいです。別のメールプロバイダーを使用する必要が生じた場合、DNS設定を編集するだけで文字通り5分で済みます。\n確かにプライバシーの面では多少の損失はありますが（ただし、複数のドメイン名を簡単に紐づけられなくなっています）、利便性は大幅に向上しています（そしてこれは依然としてOutlookなどよりもずっと優れています）。\nE2E暗号化サービス # 数年後、私はこう考えるようになりました：「メールプロバイダーは良いし、不満はない。でも、もしハッキングされたら？何年分ものメールが流出してしまう。E2E暗号化でメールを保存するプロバイダーを試してみよう。」一つ（ProtonMail）を試してみて、さらに考えた結果、納得できませんでした。\nE2Eメールプロバイダーに対する私の意見は以下の通りです：\n通常のメールボックスと比べて多くの機能が失われる（例えば、正常に動作する検索エンジン） より少ない機能に対してより多くの料金を支払うことになる（例：アカウントにリンクできるドメイン名の数が非常に限られている） ほとんど（すべて？）のプロバイダーは、IMAPでのメールのインポート/エクスポート手段がないか、あっても不安定で、バグが多く、不便である 「スイスにあるから監視から安全です」と宣伝しているプロバイダーについては、私はそれを信じない 確かにメールは暗号化されるが、プロバイダーがメールを受信・処理した後にのみ暗号化される。その場合でも、件名、送信者、受信者は暗号化されず、多くのことを推測するのに十分な情報となる ただし、同じサービスを利用している人とのPGP暗号化通信は、手動で管理するよりも簡単になる 特に、私は通常メールを会話や過度に機密性の高いもののやり取りには使わないため、わずかな利点に対してすべての不便さは私の使い方には意味がありません。\nセルフホスティングIMAPサーバー + メールホスティングサービス # E2E暗号化メールサービスの不完全な試用の後、現在実験中の別の解決策を思いつきました：\nサードパーティプロバイダーを使って、自分のドメイン名でメールの送受信を行う Dovecotを使ったIMAP専用サーバーで、メールの保存とアクセスを行う 毎週、サードパーティプロバイダーからIMAPサーバーにメールを移動する（メール受信のみに使用しているメールボックスについては、getmailで自動的に取得している） この解決策の良い点は：\nどのデバイスからでもメールに簡単にアクセスできる（これが望むことでなければ、メールクライアントをPOP3として設定し、すべてを単一デバイスにローカル保存するだけで済む） メールプロバイダーが保持するメールの数は常に限られているため、ハッキング、不誠実な従業員、その他の事態が発生した場合でも、データの露出は限定的になる 自分に紐づけたくないメールボックスがある場合、getmailの設定に追加して、その内容を自分のメールボックスに取り込むのが非常に簡単 IMAP Dovecotの設定はメンテナンスが容易で、膨大な時間を必要としない。サーバーがダウンしても、影響がほとんどないため、急いで修復する必要がない 出典とクレジット # カバー写真: Krsto Jevtic\n","date":"2022年11月14日","externalUrl":null,"permalink":"/ja/posts/2022/why-i-partially-self-host-my-emails-and-why-pgp-e2e-email-provider-useless/","section":"記事","summary":"長年の経験から、メールの最善の運用方法は、独自ドメイン名とIMAPサーバーを持ち、SMTPにはサードパーティを利用することだという結論に至りました","title":"メールを（部分的に）セルフホスティングする理由とE2Eメールプロバイダーを使わない理由","type":"posts"},{"content":"注意: この記事はLLMによって英語から翻訳されたものです。正確性については保証いたしかねますので、あらかじめご了承ください。英語の原文はこちら。\nVPNを使用していると、「ISPは私が何をしているか全く分からないし、誰も私を追跡できない」と思うかもしれません。しかし、VPNでよくある問題であるDNSリークのために、これは完全には正しくない可能性があります。この記事では、DNSリークとは何か、その影響、検出方法、そしてリークの一般的な原因について見ていきます。\nDNSリークとその影響とは？ # 以下の図は、VPNが期待通りに動作している場合と、DNSリークがある場合の違いを示しています。最初のケースでは、DNSサーバーへの接続がVPNを経由していることが分かります。そのため、ISPがあなたのDNSリクエスト（暗号化されていない）を見ることはできません。VPNプロバイダーが提供するDNSサーバーを使用していない場合でも、そのDNSサーバーの所有者は、mysite.comを解決しようとしているのがあなたであることを知ることができません。\nDNSリークがある場合、あなたのコンピューターはVPNを使用せずにDNSサーバーに接続します。つまり、ISPとDNSサーバーの所有者（デフォルトではISP）の両方が、あなたが解決しようとしているサイトを見ることができます。\nNormal VPN operation vs DNS leak VPNを使用する理由によって、DNSリークの深刻さは異なります。権威主義的な政権に支配されている国にいて、検閲されたウェブサイトにアクセスしようとしている場合、当局がこれらのウェブサイトへのアクセスを把握し、問題を引き起こす可能性があります。お気に入りのLinuxディストリビューションをトレントでダウンロードするためだけにVPNを使用しているのであれば、比較的害はありません。\nDNSリークのテスト方法 # サードパーティサービスとその仕組み # DNSリークのテストは非常に簡単です。dnsleaktest.comやipleak.netなどのウェブサイトを使用できます。これらのサイトは、現在のIPアドレスと使用しているDNSサーバーを表示します。おすすめは、VPNプロバイダーのDNSを使用することです。その理由は、プロバイダーはすでにあなたのトラフィックをすべて見ているため、ドメイン名解決のためにもう一つ仲介者を追加する意味がないからです。この推奨に従えば、VPNプロバイダーのDNSのみがリストに表示されるはずです。\nipleak.netなどのウェブサイトが使用しているDNSサーバーを特定する仕組みは非常にシンプルです。ページを読み込むと、固有のユーザーIDが割り当てられます。例えば、abcd123のようなものです。そこから、その固有のユーザーIDを含むサブドメインにあるAPIに対して複数のリクエストを送信します。例えば：\nhttps://abcdefg123-1.ipleak.net/dnsdetection https://abcdefg123-2.ipleak.net/dnsdetection https://abcdefg123-3.ipleak.net/dnsdetection このAPIは、クエリを行ったDNSサーバーのIPアドレスを返します。複数回呼び出しを行う理由は、複数のDNSサーバーを使用している場合にすべてを検出するためです。\nしかし、IpleakがどのようにしてあなたのDNSサーバーのアドレスを知るのかという疑問が残ります。その仕組みは次の通りです：あなたがAPIにアクセスしようとしているサブドメイン（例：abcdefg123-1.ipleak.net）は非常にユニークなので、DNSキャッシュに保存されていたり、他の誰かが同時に解決しようとしている可能性はありません。つまり、Ipleak権威DNSサーバーにそのサブドメインの解決を依頼する必要があります。その際、あなたのDNSサーバーがIpleakのDNSサーバーに問い合わせを行い、IpleakのDNSサーバーはリクエスト元のIPを記録し、APIからアクセスできるように保存します。\nパケット検査 # DNSリークのテストにオンラインサービスを使用するのは便利ですが、結果が不明確な場合もあります。例えば、標準ではないDNSサーバーを使用している場合、そのサーバーへの接続がVPN経由であり、直接接続ではないことをどうやって確認できるでしょうか？\nその場合、Wiresharkを使用して、実際にコンピューターから送出されるパケットを確認できます。WiFiやEthernetインターフェースを選択し、通過するパケットをキャプチャするだけです。表示フィルターにdnsと入力して、関連するクエリのみを表示させます。次に、ランダムなドメインにリクエストを送信してみてください。キャプチャされたパケットに何も表示されなければ、おめでとうございます。DNSクエリがVPNアダプター経由でルーティングされており、リークしていないことを意味します。そうでなければ、設定を確認する必要があります。\nDNS visible when capturing eth0 -\u0026gt; DNS leak DNSリークの原因 # 信頼できるプロバイダーの標準的なVPN設定を使用すればDNSリークを防げるはずですが、リークを引き起こす可能性のある要因は複数あります。よくある原因のいくつかは次の通りです：\n透過プロキシ 分割DNSトンネル 通常とは異なるネットワークルーティング設定 WindowsのSmart Multi-Homed Name Resolution 具体的な例として、pfSenseで独自のDNSリゾルバーを使用している場合があります（以前の記事を参照）。この場合、Outgoing Network InterfacesをVPNに設定し忘れると、DNSリークが発生します。\nまとめ # DNSリークにより、ISPと使用しているDNSサーバーの所有者が、解決しようとしたドメイン名を知ることで、あなたのウェブ活動を追跡できるようになる可能性があります 信頼できるVPNプロバイダーとそのDNSサーバーを含むデフォルト設定を使用し、特別なネットワーク設定を行っていなければ、おそらく安全です 設定にDNSリークがないか、簡単に（そして定期的に）確認できます 出典とクレジット # カバー写真: Daan Mooij（Unsplash） ","date":"2022年10月29日","externalUrl":null,"permalink":"/ja/posts/2022/vpn-and-dns-leak-consequences-how-to-detect/","section":"記事","summary":"VPNを使用していても、ISPがあなたの活動を把握できる場合があります。なぜでしょうか？DNSリークが原因です。詳しく見ていきましょう。","title":"VPNとDNSリーク - その影響と検出方法","type":"posts"},{"content":"注意: この記事はLLMによって英語から翻訳されたものです。正確性については保証いたしかねますので、あらかじめご了承ください。英語の原文はこちら。\n自分でメールサーバーを管理したことがある方なら、SMTPを正しく運用することがいかに大変かご存知でしょう。設定の複雑さに加えて、IPアドレスがブラックリストに登録されたり、大手メールプロバイダーにメールを拒否されたりと、多くの問題が発生する可能性があります。\nサーバーから手間やメンテナンスをあまりかけずにメールを送信できるようにする簡単な方法は、PostfixをAmazon SES（Simple Email Service）経由でメールをルーティングするように設定することです。この記事では、両方のシステムの設定方法を見ていきます。\nSESの設定 # 最初のステップはAmazon SESの設定です。SMTPサーバーのアドレスと認証情報が必要になるためです。また、SMTPユーザーに必要以上の権限を与えないよう、適切なパーミッションも設定します。\nIDの作成 # まず、メール送信に使用するドメインを新しいSES IDとして追加します。メールアドレスのIDだけを追加することも可能ですが、その場合AmazonはDKIMの設定を提供しないため、メールの到達性に良くありません。\nSESダッシュボードに移動し、Verified IdentitiesをクリックしてからCreate Identityをクリックします（地域が重要な場合は、画面右上のリージョンを確認してください） Identity TypeとしてDomainを選択し、メール送信に使用するドメインを入力します Advanced DKIM SettingsでEasy DKIM、RSA_2048_BITを選択し、ドメインがRoute53に登録されていない場合はPublish DNS records to Route53を無効にします 以下のスクリーンショットと同じ画面が表示されるはずです。提供されたCNAMEでDNSレコードを編集してください。また、配信性を向上させるためにSPF設定にinclude:amazonses.comを追加することを忘れないでください（SPFとDKIMに関する以前の記事を参照してください） Amazon SES -\u0026gt; Configuration: Verified Identities -\u0026gt; test.ixonae.com すべての手順が完了すれば、このドメインを使用してメールを送信できるようになります。\nSMTP認証情報、IAMユーザー、パーミッション # 次に、SMTP認証情報を作成しましょう。Amazon SES -\u0026gt; SMTP Settingsに移動し、提供されているSMTP endpointをメモします。次にCreate SMTP Credentialsをクリックします。作成するIAMユーザーの名前を選ぶよう求められます。ses-noreply-test-donainのように、ユーザーの用途がわかる名前を選んでください。その後、SMTP認証情報を保存します。\n次に、新しいIAMユーザーが自分のドメインからのみメールを送信できるようにします（デフォルトでは、IAMユーザーにはアカウント内の任意のIDを使用してメールを送信する権限が付与されています）。IAMユーザーの設定で、以下のようなインラインポリシーが表示されるはずです：\n{ \u0026#34;Version\u0026#34;: \u0026#34;2012-10-17\u0026#34;, \u0026#34;Statement\u0026#34;: [ { \u0026#34;Effect\u0026#34;: \u0026#34;Allow\u0026#34;, \u0026#34;Action\u0026#34;: \u0026#34;ses:SendRawEmail\u0026#34;, \u0026#34;Resource\u0026#34;: \u0026#34;*\u0026#34; } ] } *をAmazon Resource Name (ARN)に置き換えます。ARNはAmazon SES/Verified identitiesのドメインの詳細で確認できます。arn:aws:ses:us-east-1:123455:identity/test.domain.comのような形式になります。\nこれで、IAMユーザーは新しく追加したドメインのみでメール送信の権限を持つようになりました。さらに進めて、特定のアドレスからのみメール送信を許可することもできます。SESのドメインのVerified Identitiesパネルで、Authorizationタブに移動し、ポリシージェネレーターを使用します。そこから、例えばIAMユーザーのARNに対してses:FromAddressが特定のアドレスとStringNotEqualsの場合にSendRawEmailを拒否するように設定できます。\nなお、ドメインIDのポリシージェネレーターを使用する代わりに、メールIDを作成し、そのIDのARNをIAMユーザーのアクセスポリシーで許可リソースとして設定することも可能です。\nPostfixの設定 # AWS側の準備がすべて整ったので、サーバーにSSH接続して必要な設定を行いましょう。以下はDebian系システムでの手順です。また、現時点でPostfixを他の用途に使用していないことを前提としています。使用している場合、以下の変更で設定が壊れる可能性があります。\nsendmailがシステムにインストールされていないことを確認した後、必要なパッケージをすべてインストールしましょう。\nsudo apt install postfix libsasl2-modules 次に、以下のコマンド（rootとして実行）で必要な設定を追加します。email-smtp.us-east-1.amazonaws.com、SMTPUSERNAME、SMTPPASSWORDを前のパートでSESから提供された値に置き換える必要があります。\npostconf -e \u0026#34;relayhost = [email-smtp.us-east-1.amazonaws.com]:587\u0026#34; \\ \u0026#34;smtp_sasl_auth_enable = yes\u0026#34; \\ \u0026#34;smtp_sasl_security_options = noanonymous\u0026#34; \\ \u0026#34;smtp_sasl_password_maps = hash:/etc/postfix/sasl_passwd\u0026#34; \\ \u0026#34;smtp_use_tls = yes\u0026#34; \\ \u0026#34;smtp_tls_security_level = encrypt\u0026#34; \\ \u0026#34;smtp_tls_note_starttls_offer = yes\u0026#34; # We configure the credentials, compile the credentials database, and give correct permissions echo \u0026#34;[email-smtp.us-east-1.amazonaws.com]:587 SMTPUSERNAME:SMTPPASSWORD\u0026#34; \u0026gt; /etc/postfix/sasl_passwd postmap hash:/etc/postfix/sasl_passwd chown root: /etc/postfix/sasl_passwd /etc/postfix/sasl_passwd.db chmod 0600 /etc/postfix/sasl_passwd /etc/postfix/sasl_passwd.db # So that Postfix can validate Amazon SES server\u0026#39;s certificate postconf -e \u0026#39;smtp_tls_CAfile = /etc/ssl/certs/ca-certificates.crt\u0026#39; systemctl restart postfix この設定中に以下の問題が発生する可能性があります：\n/etc/postfix/main.cfが存在しない -\u0026gt; cp /etc/postfix/main.cf.proto /etc/postfix/main.cf postmap: fatal: bad string length 0 \u0026lt; 1: setgid_group = -\u0026gt; /etc/postfix/main.cfのsetgid_group行をコメントアウトする すべての設定が完了したら、メールが正しく送信されることをテストできます：\necho \u0026#34;Test Message\u0026#34;| mail -s \u0026#34;Subject\u0026#34; -a \u0026#34;From:me@test.domain.tld\u0026#34; recipient@domain.tld メールが配信されない場合は、/var/log/mail.logを確認してください。AAAAレコードが見つからないという問題がある場合は、main.cf設定ファイルにinet_protocols = ipv4を追加できます。\n複数のリレーとローカルメール配信の問題 # 以下の設定により、複数のドメインを異なるリレー経由でルーティングできます。\n前の手順に従った場合、システムがローカルメール（例えば、cronの問題発生時のroot@myhostname.localdomain宛て）を配信できなくなっている可能性もあります。以下の設定でこの問題も解決できます。\n設定を少し編集して問題を修正しましょう。main.cf設定ファイルで、relayhost =で始まる行をコメントアウトし、以下の2行を追加します：\nsender_dependent_relayhost_maps = hash:/etc/postfix/relayhost_map smtp_sender_dependent_authentication = yes 次に、relayhost_mapを編集し、（main.cfでコメントアウトした）以下の情報を追加します。これにより、Postfixはどのドメインをリレー経由でルーティングすべきかを判断できるようになります。\n@my-domain.tld [email-smtp.us-east-1.amazonaws.com]:587 # Was not in the previous file, but we can do that @my-domain2.tld [email-smtp.us-east-1.amazonaws.com]:587 その後、以下のコマンドを実行してデータベースを更新すれば、問題は解決するはずです。\n# We update the database with the previous configuration postmap hash:/etc/postfix/relayhost_map # In case where the logs complain about /etc/aliases.db not being present newaliases # All done systemctl restart postfix リソース # https://docs.aws.amazon.com/ses/latest/dg/postfix.html クレジット # カバー写真: Daria Nepriakhina 🇺🇦（Unsplash） ","date":"2022年10月23日","externalUrl":null,"permalink":"/ja/posts/2022/how-to-use-postfix-to-relay-send-emails-through-amazon-ses/","section":"記事","summary":"Postfixを活用してサーバーからAmazon SES経由で簡単にメールを送信し、複雑な設定やメンテナンスを回避する方法","title":"PostfixでAmazon SES経由のメール送信を設定する方法","type":"posts"},{"content":"注意: この記事はLLMによって英語から翻訳されたものです。正確性については保証いたしかねますので、あらかじめご了承ください。英語の原文はこちら。\nSpringは最もよく使われる（おそらく最もよく使われる）Javaフレームワークの1つです。多くの優れた機能を備えており、プロジェクトを素早く立ち上げることができますが、APIを構築する場合、認証管理の部分は十分にドキュメント化されていません。この記事では、Spring Security（v5.7.3）を活用してSpring Boot APIを保護し、ロールで権限を細かく調整する方法について説明します。以下の内容では、SpringとHibernateについてある程度の知識があることを前提としています。\n認証オプション # 残念ながら、Spring Securityにはトークンを生成して認証メカニズムとして使用する機能は提供されていません（少なくともドキュメントには記載されていません）。そのため、Basic認証を使用します。\n以前は、WebSecurityConfigurerAdapterクラスで認証を管理できました（インターネット上のほとんどのチュートリアルはこれを使用しています）が、今年非推奨になったため、使用しません。\nコードを書こう # デフォルトでは、Spring Securityはユーザーとロールのクラスを提供していますが、データベースパッチの適用が必要なようで柔軟性に欠けます。それらを使用する代わりに、独自のクラスを作成して適切なインターフェースを実装します。これにより、現在もUserクラスの機能を拡張したい将来も、作業が容易になります。以下のコードではLombokとJPAを使用します。\nユーザー # UserクラスをSpring Securityと互換性を持たせるために、org.springframework.security.core.userdetails.UserDetailsを実装する必要があります。最低限、フレームワークが使用するusernameとpassword属性が必要です。また、getAuthorities（これについては後で詳しく説明します）、isLockedなどのさまざまなメソッドも実装する必要があります。これらのメソッドはSpring Securityがアクセスを許可するために使用するため、返す値には注意してください。\n@Entity @Audited @NoArgsConstructor @Table(name = \u0026#34;users\u0026#34;) public class User implements UserDetails { @Id @GeneratedValue @Getter private Long id; @Getter @Setter private String email; @Getter @Setter @Column(unique = true) private String username; @Getter @Setter private String password; @Getter @Setter private boolean enabled; @Getter @Setter private boolean locked; @Getter @Setter @Column(name = \u0026#34;expiration_date\u0026#34;) private Date expirationDate; @Setter @Getter @ElementCollection(fetch = FetchType.EAGER) @CollectionTable(name = \u0026#34;user_roles\u0026#34;, joinColumns = @JoinColumn(name = \u0026#34;user_id\u0026#34;)) private Set\u0026lt;UserRole\u0026gt; roles = new HashSet\u0026lt;\u0026gt;(); @Override public Collection\u0026lt;? extends GrantedAuthority\u0026gt; getAuthorities() { return roles; } @Override public boolean isAccountNonExpired() { return expirationDate == null || expirationDate.after(new Date()); } @Override public boolean isAccountNonLocked() { return !isLocked(); } @Override public boolean isCredentialsNonExpired() { return true; } } @Auditedアノテーションに注目してください。これはorg.hibernate:hibernate-enversによって提供されます。このアノテーションの機能は、データベースに変更がプッシュされるたびにオブジェクトの古いバージョンを保持することで、ユーザー管理において便利です。\nロールの実装 # 基本的なUserクラスができたので、ロールを設定しましょう。実装は非常にシンプルで、GrantedAuthorityを実装してメソッドgetAuthorityをオーバーライドするだけです。\nここではenumを使用して2つのロールを定義していますが、異なるロールを使用して別の方法で行うことも可能です。ロール名はROLE_[...]の形式にしてください。\n@Embeddable public class UserRole implements GrantedAuthority { @Setter @Enumerated(EnumType.STRING) @Column(name = \u0026#34;role_name\u0026#34;) private RoleName roleName; @Override public String getAuthority() { return roleName.name(); } public enum RoleName { ROLE_ADMIN, ROLE_USER } } データベースアクセス # 次のステップは、Spring Securityがデータベースからユーザーの詳細を取得できるようにすることです。これには2つのクラスを実装する必要があります。まず、データベースへのクエリを可能にするJpaRepositoryです。\n@Configuration public interface UserRepository extends JpaRepository\u0026lt;User, Long\u0026gt; { User findUserByUsername(String username); } 次に、Spring Securityがユーザーを検索するために使用するUserDetailsServiceを実装したクラスです。\n@Component public class SecurityUserDetailService implements UserDetailsService { private final UserRepository _userRepository; public SecurityUserDetailService(UserRepository userRepository) { this._userRepository = userRepository; } @Override public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException { return _userRepository.findUserByUsername(username); } } セキュリティ設定 # 最後に、Spring Securityの動作を定義する設定クラスを作成する必要があります。CSRF保護を無効にし、セッション管理をステートレスに設定していることに注目してください。これはREST APIで使用するためです。WebUIを構築する場合は、このようにすべきではありません。\nまた、パスワードのハッシュ方法を定義するpasswordEncoderメソッドにも注目してください。ここでは、10ラウンドのbcryptを使用しています。\n@Configuration @EnableMethodSecurity public class SecurityConfiguration { @Bean public SecurityFilterChain filterChain(HttpSecurity http) throws Exception { http.csrf().disable().sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS).and().authorizeRequests() .anyRequest().authenticated() .and() .httpBasic(); return http.build(); } @Bean public BCryptPasswordEncoder passwordEncoder() { return new BCryptPasswordEncoder(10); } @Bean public AuthenticationManager authManager(HttpSecurity http, BCryptPasswordEncoder bCryptPasswordEncoder, SecurityUserDetailService securityUserDetailService) throws Exception { return http.getSharedObject(AuthenticationManagerBuilder.class) .userDetailsService(securityUserDetailService) .passwordEncoder(bCryptPasswordEncoder) .and() .build(); } } 特定のロールによるメソッドアクセスの制御 # ここまでの設定を適用すると、アプリケーションはすべてのエンドポイントにアクセスするためにユーザー認証を要求するようになります。次に、誰が何にアクセスできるかを細かく調整する方法を見てみましょう。\nまず、設定クラスから管理できます。例えば、filterChainメソッドを以下のように変更して、認証なしで誰でも/api/publicにクエリでき、/api/adminへのアクセスにはADMINロールが必要になるようにできます。\nhttp.csrf().disable() .sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS) .and().authorizeRequests() .antMatchers(\u0026#34;/api/public\u0026#34;).permitAll() .antMatchers(\u0026#34;/api/admin\u0026#34;).hasRole(\u0026#34;ADMIN\u0026#34;) .anyRequest().authenticated().and().httpBasic(); もう1つのオプションは、コントローラーに直接アノテーションを付けることです。ここでは、/api/adminにアクセスするためにADMINロールを要求しています。\n@RestController @RequestMapping(\u0026#34;/api/admin\u0026#34;) @PreAuthorize(\u0026#34;hasRole(\u0026#39;ADMIN\u0026#39;)\u0026#34;) public class AdminController { ... 最後に、コントローラー内のメソッドに直接アノテーションを付けることもできます。メソッドが@AuthenticationPrincipalを使用していることに注目してください。これにより、リクエストを行っている認証済みユーザーを取得でき、完全にオプションです。\n@GetMapping(\u0026#34;/user/{userId}\u0026#34;) @PreAuthorize(\u0026#34;hasRole(\u0026#39;ADMIN\u0026#39;)\u0026#34;) ResponseEntity\u0026lt;?\u0026gt; getUser(@AuthenticationPrincipal User user, @PathVariable Long userId) { ... まとめ # この記事では、Spring BootでREST APIを作成する際に、Spring-Securityを活用して基本的な認証メカニズムを実装し、認証と認可を提供する方法を学びました。これは始めるには十分ですが、Spring Securityの機能はこの記事に記載されたものに限りません。例えば、複数のグループを認可したり、@PostAuthorizeなどの他のアノテーションを使用することもできます。\nソースとクレジット # ソース # Spring Security documentation Spring Security Authentication Spring Security Architecture クレジット # カバー写真: Clement Helardot（Unsplash） ","date":"2022年08月22日","externalUrl":null,"permalink":"/ja/posts/2022/setup-http-basic-authentication-with-java-spring-boot-rest-api/","section":"記事","summary":"Spring Bootは最も人気のあるJava REST APIライブラリですが、ドキュメントが不足しています。HTTP Basic認証の実装方法を見てみましょう。","title":"Spring Boot APIでHTTP Basic認証を設定する","type":"posts"},{"content":"注意: この記事はLLMによって英語から翻訳されたものです。正確性については保証いたしかねますので、あらかじめご了承ください。英語の原文はこちら。\nTwitterは2021年の透明性レポートで、2020年7月から12月の間にすべてのアクティブアカウントのわずか2.3%しか二要素認証を使用していなかったと述べた。Google（同社によれば、2FAのおかげで自動ボット攻撃の100%と標的型攻撃の66%をブロックできる）のように、ユーザーに2FAの利用を促進している企業もあるが（デフォルトで登録させるなど）、まだ広く普及しているとは言えない。Personaによると、大企業の38%が2FAを使用していない。\nなぜこのような状況なのだろうか？おそらく、2FAの利点や正しい使い方について混乱している人が多いからだろう（例えば、私の知人の中にはつい最近までバックアップなしでスマートフォンのGoogle Authenticatorを使っていた人が何人かいる）。あるいは、そもそも2FAが何なのかを知らないのかもしれない。\nこの記事では、2FAの利点、その落とし穴、そして多要素認証を最大限に活用するためのさまざまな戦略について議論したい。\n多要素認証とは何か？ # 米国国立標準技術研究所（NIST）は多要素認証を次のように定義している：\n認証を成功させるために、複数の異なる認証要素を必要とする認証システム。\n認証要素 # 認証要素には主に3つの種類がある。オンラインアカウントやスマートフォンを持っていれば、おそらくすでにすべて使用しているだろう。お気づきの通り、二要素認証（2FA）とは、このリストの2つの異なる要素を使用することを意味する。\n知識情報（知っているもの） # これは最も一般的なものである。基本的に、記憶しているものすべてが含まれる。例えば、パスワードやPINコードなどである。\n所持情報（持っているもの） # 所持情報とは、自分が所有している物理的なアイテムのことである。物理的なセキュリティトークン、電話（HOTPまたはTOTPを使用する認証アプリやプッシュ通知）、セキュリティキー、またはスマートカードなどが該当する。\nExample of a Security Token (Source: Wikipedia) SMS認証コードもこのカテゴリに含まれるが、傍受やSIMスワッピング攻撃のリスクがあるため、通常は最も好ましくない認証形式である。アカウントでSMSベースの多要素認証を使用せざるを得ない場合は、（可能であれば）SMSでパスワードをリセットできないようにするか、誰も知らない電話番号の使用を検討すべきである。\n生体情報（自分自身であるもの） # この要素は、身体的な特徴を使って認証するものである。例えば、指紋、虹彩、声紋などである。\n多要素認証の利点 # 基本的に、多要素認証の利点は、悪意のある攻撃者がパスワードを侵害しても、アカウントにログインできないようにすることで、オンラインアカウントのセキュリティを高めることである。\nさらに詳しく言えば：\nMicrosoftによれば、アカウントへの攻撃の99.9%が多要素認証で阻止できる 強力なパスワードでもすべての攻撃から守れるわけではない（Microsoftブログ） 自動ボットの100%、大量フィッシング攻撃の99%、標的型攻撃の66%が2FAで阻止できる（Google） 今年までにサイバー脅威アクターによって240億以上のアカウントのユーザー名とパスワードが流出している（Digital Shadows） なぜあなたは（おそらく）2FAを正しく使っていないのか？ # 2FAを使用している場合、統計的にはSMS配信（推奨されていない）、プッシュ通知、またはTOTPを通じて使用している可能性が高い。\n簡単に言えば、TOTPとは、ウェブサイトがGoogle Authenticatorを入手してQRコードをスキャンするよう指示するときに使用されるアルゴリズムのことである。サーバーが秘密鍵を生成し、その鍵を認証アプリがワンタイムパスワード（通常6桁）を生成するために使用する。このパスワードは時間に応じて変化する（通常30秒ごと）。ワンタイムパスワードでログインしようとすると、サーバーも（秘密鍵を使って）ワンタイムパスワードを計算し、入力されたものと一致するか確認する。\nセキュリティのベストプラクティスに従っているなら、おそらくパスワードマネージャーを使ってパスワードを保存しているだろう（もし使っていないなら、使うべきである）。また、パスワードマネージャーをスマートフォンと同期し、同じスマートフォンで2FAアプリ（Google Authenticatorなど）を使用しているか、パスワードマネージャーのワンタイムパスワード管理機能を使用しているかもしれない。これは、実質的に単一の認証要素しか使用していないことを意味する。\nそれは問題なのか？ # では、実際には2FAを使っていないということになる。それは問題なのだろうか？まあ、必ずしもそこまで悪いわけではない。多要素認証を正しく使うことのすべての利点は得られないが、悪意のある攻撃者が以下のような方法でパスワードを入手した場合でも、アカウントの侵害から保護される：\n侵害されたサードパーティのデバイスを使ってアカウントにログインした場合 フィッシング攻撃に引っかかった場合 安全でないネットワーク上で弱いネットワークプロトコルを使ってアカウントにログインした場合 同じパスワードを使用している別のウェブサイトが侵害され、悪意のある攻撃者が他の場所でそのIDとパスワードを試す場合（ベストプラクティスに従い、各ウェブサイトで異なるパスワードを使用していればこれは起こらないはずだが） しかし、何らかの理由でデバイスやパスワードマネージャーソフトウェアが侵害された場合、悪意のある攻撃者がすべてのアカウントにアクセスできてしまう。\nより良い対策を講じるには # リスクを理解した上であれば、必ずしもすべてのアカウントについて対策を改善する必要はないと私は主張したい。批判される前に説明させてほしい。\nおそらく多くのアカウントを持っているだろう。その中には重要なものがあり、それらの制御を失えば大きな損害を受ける（例えばメールアカウントやドメイン名を管理するレジストラなど）。しかし、それほど重要でないものもある。確かに、Netflixアカウントを失うのは少し面倒だが、機密情報は保存されておらず、誰かがアクセスしても（お金を送金するなどの）損害を与えることはできない。\n適切な多要素認証の管理はより手間がかかるため、重要度の低いアカウントについては、利便性を大幅に得るためにセキュリティを少し犠牲にするのは良いトレードオフかもしれない。実施できるさまざまな方法を見ていこう。\nバックアップについて # まず、重要だがよく見落とされることについて話そう：バックアップである。2FA管理の方法に関係なく、2FAに使用しているものへのアクセスを失った場合、アカウントの制御を取り戻すのは非常に困難であることを認識する必要がある。\nオンラインサービスを使ってパスワードと2FAコードを保存している場合でも、罠がある。例えば、AuthyでTOTPコードを管理しているとしよう。Authyではバックアップをパスワードで暗号化できる。このオプションを使用し、パスワードをパスワードマネージャーに保存する。何らかの理由で、Authyとパスワードマネージャーにログインしているデバイスへのアクセスを失ったとする。これは、バックアップパスワードがわからないためAuthyにアクセスできず、パスワードマネージャーに2FAコードを提供できないためパスワードにもアクセスできないことを意味する。\nいずれにせよ、バックアップに使用できるいくつかのオプションについて後述するが、常に以下の条件を満たすバックアップを確保すること：\nパスワードマネージャーにのみ記録されたパスワードで保護されていないこと 異なる地理的場所に保管されていること 使用可能であること：定期的にバックアップをテストすべきである。バックアップを使う必要があるときに、フォーマットエラーなどで使えないことがわかるほど最悪なことはない 最も安全な（適切な）2FA # これが最も安全なオプションである。教科書通りにすべてを行い、パスワードとTOTP/リカバリーコードが同じ場所に保存されないようにする。これにお勧めするのは、Yubikeysのようなセキュリティキーを使用することである。キーの使い方は2通りある：\nFIDO U2F：基本的にキーをタッチするだけでサービスへのログインを確認できる。便利で良いが、スマートフォンでサポートされていない場合があり、多くのサービスも対応していない TOTPコードをYubikeyに記録し、認証アプリを使用する。これにより、どのデバイスからでもワンタイムパスワードを生成でき、秘密鍵がYubikeyから外に出ることはないが、保存できるアイテム数に制限がある これらの制約に加えて、キーを紛失した場合に備えてバックアップを確保する必要がある。推奨する管理方法は、少なくとも1つのバックアップキーと、安全な場所に保管されたリカバリーコードが書かれたメモ帳を持つことである。リカバリーコードについて簡単に説明すると、これは基本的に、TOTPコードを保存しているデバイスを紛失した場合に備えて、サービスによって事前に生成されたワンタイムパスワードである。TOTPシークレットキーのバックアップがあれば、必ずしもリカバリーコードは必要ない。\nこの方法は高いセキュリティを保証するが、利便性というコストがかかる。バックアップを常に同期させるのは時間がかかる。そのため、非常に重要なアカウントにこの方法を使用することを推奨する。最大限のセキュリティが必要であり、頻繁に変更されないため、バックアップに関するメンテナンスも少なくて済む。\nその他の2FA形式 # すべてのサービスについて手動でバックアップを作成する手間をかけたくない場合、パスワードマネージャーをスマートフォンと同期せず、Authy（プライバシーの観点では理想的ではない）やBitwarden（2FAコードのみを保存する）などのソフトウェアを使ってスマートフォンに2FAコードを保存する方法もある。\n2FAコードの保存と同期に使用するソフトウェアが何であれ、それ自体（およびすべてのデータ）へのアクセスを回復するためのバックアップが必要であることに変わりはない。\n本来の2FAではないが\u0026hellip; # 前述のオプションが実現不可能な場合でも（最も重要なアカウントは少なくともセキュリティキーで保護すべきだが）、正式な2FAではない形でTOTPコードを使用することは、まったく使用しないよりはましである。この場合でも、セキュリティを少し向上させるためにできることがある：\nTOTPコードとパスワードの保存に異なるパスワードマネージャーソフトウェアの使用を検討する。こうすれば、メインのパスワードマネージャーが侵害されても、アカウントは安全である TOTPコードを保存するソフトウェアをスマートフォンなどの単一のデバイスでのみ使用することを検討する。こうすれば、攻撃対象領域を減らすことができる（コンピュータが侵害されても、2FAコードは安全である） 繰り返しになるが、パスワードマネージャーを使ってパスワードと2FAコードの両方を保存することでさえ、何もしないよりは良く、不便さをまったく感じることなく十分な追加セキュリティを提供してくれる。\n参考資料と追加情報 # Questions…and buzz surrounding draft NIST Special Publication 800-63-3 (NIST) New research: How effective is basic account hygiene at preventing hijacking (Google Security Blog) Two-factor authentication statistics (Persona) Your Pa$$word doesn\u0026rsquo;t matter (Microsoft) Account Takeover in 2022 (Digital Shadows) Can We Stop Pretending SMS Is Secure Now? (Krebs on Security) クレジット # カバー画像：mohamed Hassan（Pixabayより） ","date":"2022年06月23日","externalUrl":null,"permalink":"/ja/posts/2022/2fa-youre-doing-multifactor-authentication-wrong/","section":"記事","summary":"2FAコードをパスワードと一緒に保存していませんか？バックアップを取っていませんか？それは間違ったやり方です！2FAを安全に使う方法を議論しましょう。","title":"2FA：あなたのやり方は間違っている","type":"posts"},{"content":"Last week, ransomware operators got creative in hope of extorting more money from their victims, Amazon is being sued for snooping on users with Alexa-connected devices, a Russian intelligence officer was caught trying to infiltrate the International Criminal Court, 1.7 billion records were exposed by a misconfigured Elasticsearch cluster, and more. Let\u0026rsquo;s find out about everything that happened over the last week in security and privacy.\nLast week, I also wrote an article about BGP, the protocol that helps routing Internet traffic. Have a look if you\u0026rsquo;re curious to learn how it works.\nIf you regularly read this newsletter, you will notice that the format is a bit different than usual. I\u0026rsquo;ll be trying various things over the next weeks, and if you feel like it, I\u0026rsquo;m happy to hear some feedback (mail, Twitter) about what you want to see more (or less), if lists of links are good, or more summaries are better, etc.\nAPT, Governments and Espionnage # Gallium hackers backdoor finance, govt orgs using new PingPull malware (Bleeping Computer)\nGallium, a group believed to originate from China has been using a new malware, \u0026lsquo;PingPull\u0026rsquo;, against financial institutions in Europe, Africa, and Southeast Asia. The malware is designed to obtain reverse shells on compromised machines.\nAIVD disrupts activities of Russian intelligence officer targeting the International Criminal Court (General Intelligence and Security Service)\nThe AIVD, a Deutch intelligence agency caught a GRU Russian intelligence officer while he was trying to gain an internship at the International Criminal Court in The Hague.\nJulian Assange can be extradited, says UK home secretary (BBC)\nOn June 17th, the UK Home Secretary approved the extradition of Wikileak\u0026rsquo;s funder Julian Assange to the US. He has 14 days to appeal the decision.\nCryptocurrencies # Binance To Ban Litecoin Transactions With MimbleWimble Upgrade (Bitcoinist)\nLast month, Litecoin released its long-anticipated privacy update, Mimblewimble. Binance announced that it would not support the extension (i.e. it will only deal with non-privacy enabled transactions.) Earlier this month, 5 Korean exchanges (Upbit, Bithumb, Korbit, and Gopax) announced that they would delist Litecoin.\nCoinbase Lays Off Around 1,100 Employees (CoinDesk)\nCoinbase announced that it would lay off 18% of its workforce. The CEO justified the decision by arguing that the company \u0026ldquo;grew too quickly\u0026rdquo; and that it was needed to survive a potential upcoming crypto winter. The company had already rescinded new job offers last month. A good number of companies are also firing people (see more here.)\nWasabi Wallet 2.0 Feature List (Wasabi Blog)\nWasabi 2.0, a wallet software known for its ability to do coinjoin mixing was released. It has been in development since 2020.\nMore on Cryptocurrencies:\nTracking Threat Actor Usage of Cryptocurrencies with Chainalysis (Mandiant) Darknet and Cybercrime # CloudFlare says it stopped largest HTTPS DDoS attack on record last week (The Record)\nCloudflare said it stopped a 26 million requests per second HTTPS DDoS attack (the largest on record) that originated from a botnet of 5,067 (mostly cloud service providers hosted) devices.\n**Illinois Man Sentenced to 2 Years in Federal Prison for Operating Subscription-Based Computer Attack Platforms ** (US DoJ)\nA man was sentenced to 24 months in prison for running DownThem.org, a DDoS as a Service, and AmpNode.com, a bulletproof server hosting that had some available pre-configuration available to help with DDoS attacks.\nInterpol seizes $50 million, arrests 2000 social engineers (Bleeping Computer)\n\u0026lsquo;First Light 2022,\u0026rsquo; an international law enforcement action led by Interpol and involving law enforcement of 76 countries resulted in the seizure of USD 50 million and the arrest of about 2,000 people involved in social engineering schemes (romance scams, email deception, scamming fraud, \u0026hellip;)\nDeputy U.S. Marshal Charged with Unlawfully Obtaining Cell Phone Location Information (US DoJ)\nA Texas US Mashal was indicted for unlawfully using a law enforcement service to track individuals he had relations with by using their cellphone data (if you\u0026rsquo;re curious, I wrote an article a while ago explaining how it works.) He is also accused of trying to cover his tracks by making false statements and falsifying records. He is facing decades in prison.\n**Russian Botnet Disrupted in International Cyber Operation ** (US DoJ)\nThe US Department of Justice, in collaboration with German, the Netherland, and the UK law enforcement announced that they disrupted the operation of RSOCKS, a Russian botnet. ROCKS offers proxy services to its customers by using (allegedly) millions of compromised devices (IoT, phones, and computers.)\nMore on Darknet and Cybercrime\nDark Web Price Index 2022 (Privacy Affairs) Dark web awash with breached credentials, study finds (The Daily Swigg) Data Breaches # 700,000 Social Security Numbers Leaked in Attack on Major Arizona Hospital (Bitdefender)\nYuma, a major hospital in Arizona suffered a ransomware incident in late April. Malicious actors exfiltrated data of more than 700,000 patients including SSNs, health, and insurance data.\nComstar, LLC Provides Notice of Data Breach (PR Newswire)\nComstar, a US ambulance billing service issued a data breach notification on the 14th of June, and said that a security incident took place on April 21st and was detected on March 26th. The breached data of impacted individuals \u0026ldquo;may have included name, date of birth, medical assessment and medication administration, health insurance information, driver\u0026rsquo;s license, financial account information, and Social Security number.\u0026rdquo;\nMalaysian POS and Inventory Management Software Provider Leaked Almost 1 Million Customers\u0026rsquo; Data (SafetyDetectives)\nStoreHub, a Malaysia-based company providing point-of-sale software systems for food and beverage establishments as well as retail stores, was found to be exposing over one terabyte of data caused by an Elasticsearch server misconfiguration.\nThe data contained over 1.7 billions record with names, email, addresses, phone numbers, and orders of customers of businesses using StoreHub, as well as data from the businesses themselves.\nMiscellaneous # Microsoft explains how it is retiring Internet Explorer (GHacks)\nMicrosoft retired Internext Explorer on June 15th. As a first concrete step, Internet Explorer will be gradually redirecting to Microsoft Edge (\u0026ldquo;in the coming few months\u0026rdquo;) and will be properly disabled in a later second phase. Some devices will not be affected, such as those running Windows 7, 8.1, Server, 10 China, and IoT.\nFrench government launches private bug bounty program for identity authentication app (Port Swigger)\nThe French government started an invite-only bug bounty to test its \u0026lsquo;France Identité\u0026rsquo; application which allows French citizens to use online government services.\nAnd More:\nMicrosoft Defender for Android, Apple iOS and macOS, and Windows now available (GHacks) Password policies of most top websites fail to follow best practices (Princeton University) Privacy and Open-Source # Firefox rolls out Total Cookie Protection by default to all users worldwide (Mozilla Blog)\nStarting June 14th, Total Cookie Protection will be enabled for Firefox on all platforms. This update allows confining cookies to the site where they were created, to prevent companies from tracking users.\nSweeping Legislation Aims to Ban the Sale of Location Data (Vice)\nUS Senators introduced a bill aiming to ban the sale of Americans\u0026rsquo; location and health data. It says that “it shall be unlawful for a data broker to sell, resell, license, trade, transfer, share, or otherwise provide or make available [health and location] data, whether declared or inferred, of an individual.” The FTC would be tasked with developing rules to implement this ban with the help of USD 1 billion over the next decade.\nLawsuit claims Amazon using Alexa to target ads at customers (Axios)\nA lawsuit was filed against Amazon in Seattle and is seeking classification as a class-action. It claims that Amazon is snooping on users\u0026rsquo; voice data using smart speakers, and then uses it to target ads at them.\n**K-9 Mail app will become Thunderbird\u0026rsquo;s Android email client ** (GHacks)\nThunderbird\u0026rsquo;s developers, announced that K-9 Mail, a popular open-source Android application, has come under Thunderbird\u0026rsquo;s umbrella and will be rebranded as Thunderbird email.\nMore on Privacy\nFamiliar faces: Has facial recognition tech gone too far? (Sessions Blog) Stop Using the iOS Highlighter to Hide Personal Info in Your Photos (Life Hacker) Facial Recognition Is Out of Control in India (Vice) How the Federal Government Buys Our Cell Phone Location Data (EFF) Why strong security solutions are critical to privacy protection (Microsoft Security Blog) Facebook Says Apple is Too Powerful. They\u0026rsquo;re Right. (EFF) SimpleLogin passes an independent security audit (SimpleLogin) WFH - Watched from Home: Office 365 and workplace surveillance creep (Privacy International) Ransomware, Malware, and CVEs # Ransomware Group Debuts Searchable Victim Data (Krebs on Security)\nThe ALPHV/BlackCat ransomware group begin publishing on the Internet their victim\u0026rsquo;s data. While they used to do so on the DarkWeb, they are now creating dedicated websites where one can easily search the data.\nPSA: Critical Vulnerability Patched in Ninja Forms WordPress Plugin (Wordfence)\nA critical code injection vulnerability was found in Ninja Forms, a popular WordPress plugin with more than 1 million active installations. There is evidence that the vulnerability scored 9.8/10 is actively being exploited.\n","date":"2022-06-19","externalUrl":null,"permalink":"/blog/weekly-news-recap-17/","section":"News","summary":"Last week, ransomware operators got creative in hope of extorting more money from their victims, Amazon is being sued for snooping on users with Alexa-connected devices, a Russian intelligence officer was caught trying to infiltrate the International Criminal Court, 1.7 billion records were exposed by a misconfigured Elasticsearch cluster, and more. Let’s find out about everything that happened over the last week in security and privacy.\n","title":"Weekly News Recap 17","type":"news"},{"content":"注意: この記事はLLMによって英語から翻訳されたものです。正確性については保証いたしかねますので、あらかじめご了承ください。英語の原文はこちら。\nインターネット関連のニュースを追っている方なら、2月下旬にFCC（Federal Communications Commission）がBGPに関する調査を開始したことをご存知かもしれません。調査通知文書の序文には、次のように記されています：\nThe Commission, in tandem with its federal partners, has urged the communications sector to defend against cyber threats, while also taking measures to reinforce our Nation\u0026rsquo;s readiness and to strengthen the cybersecurity of vital communications services and infrastructure, especially in light of Russia\u0026rsquo;s escalating actions inside of Ukraine. [\u0026hellip;] We seek comment on vulnerabilities threatening the security and integrity of the Border Gateway Protocol (BGP), which is central to the Internet\nBGPについては、インターネットのルーティングに使われるものとして、あるいは昨年Facebookを停止させた原因として聞いたことがあるかもしれません。しかし、BGPとは実際に何なのか、どのように動作し、どのような潜在的な欠陥があるのかを本当に理解していますか？一緒に見ていきましょう。\nパケットルーティングとBGP # インターネットを定義するとすれば、インターネットとは相互接続されたネットワークの集合体であると言えるでしょう。Ciscoによると、2023年までにユーザー数は53億人に達し、siteefyによると、現在11.7億のウェブサイトが存在しています。これは素晴らしいことですが、これだけの規模になると、マシンAからマシンBにパケットを届けるには何らかの「地図」が必要になります。それがBGPの役割です。\nより技術的に定義すると、BGP（Border Gateway Protocol - TCPのポート179を使用）は、自律システム間でパケットをルーティングすることを可能にします。自律システムはBGPを使用して、自身が管理するIPアドレスと、接続している他の自律システムを通知します。詳細に入る前に、いくつかの用語を定義しましょう。\n用語 # 自律システム（AS） # 自律システムとは、単一の明確に定義されたルーティングポリシーを持つ、1つ以上のIPプレフィックス（例えば 8.8.0.0/24 は 8.8.0.1 から 8.8.0.254 までのすべてのIPアドレスを表します）のグループです。通常、単一の組織によって管理されます。例えば、企業（Google、Amazonなど）、政府機関、またはISP（Verizonなど）です。1つの組織が複数の自律システムを管理することも可能です。\n自律システム番号（ASN） # 各自律システムには、地域インターネットレジストリ（RIR）によって割り当てられた自律システム番号（ASN）があります。これはネットワークオペレーターがルーティング情報を交換するために使用されます。\nwhoisコマンドを使用して（ドメイン名の場合と同様に）ASNの所有者についてより詳しく知ることができます。例えば、whois AS15169（出力がかなり長いため、ここには貼り付けません）。\nまた、IPアドレスがどのASとIPプレフィックスに属しているかを調べることもできます。例えば、cymru.comはwhoisで問い合わせ可能なAPIを提供しています。\n\u0026gt; whois -h whois.cymru.com -- \u0026#39;-v 8.8.8.8\u0026#39; AS | IP | BGP Prefix | CC | Registry | Allocated | AS Name 15169 | 8.8.8.8 | 8.8.8.0/24 | US | arin | 1992-12-01 | GOOGLE, US インターネット上のさまざまなサービスでも、ASNについてより詳しく調べることができます。例えば、ipinfo.ioのAS15169では、そのASに割り当てられたすべてのIP範囲や、他の自律システムとの接続状況を確認できます。\n地域インターネットレジストリ（RIR）とInternet Assigned Number Authority（IANA） # 地域インターネットレジストリは5つあり、それぞれ特定の地理的ゾーンに割り当てられています。例えば、American Registry for Internet Numbers（ARIN）はアメリカのエンティティにASNを割り当てる役割を担っています。5つのRIRはInternet Assigned Number Authority（IANA）によって管理されています。RIRはIP範囲の割り当ても担当しています。\n概要の例 # これまでの定義を踏まえて、具体的な例を見てみましょう。GoogleのDNSである8.8.8.8にリクエストを送信したいとします。あなたのコンピュータにとっては簡単です。ネットワーク接続はルーターだけなので、リクエストをそこに送ります。次に、ルーターもISPにリクエストを送るという唯一の選択肢しかありません。では、その後は？\n以下の図はインターネットの簡略化された地図です。右上にあなたのISP（仮にAS0とします）、左下にGoogle（仮にAS15169とします）があります。あなたのコンピュータから、リクエストはISPネットワークのさまざまな部分を経由して（Internal BGP、iBGPを使用する可能性があります）、最終的にISPのエッジルーターに到達します。そこから、ISPは（BGPと内部ポリシーのおかげで）最適なパスがAS0 -\u0026gt; AS1 -\u0026gt; AS2 -\u0026gt; AS10 -\u0026gt; AS15169であると判断し、リクエストをAS1に送信します。AS1は内部ネットワークを通じてリクエストをルーティングし、AS2に送信し、適切な場所に到達するまでこれが続きます。\n図1: インターネットの分散型接続 簡略化のため、図1では各ISPにBGPルーターが1つだけ表示されていますが、実際には複数存在します（内部BGP用のルーターに加えて）。\n自律システムはどのように接続されているか # 図1を見て疑問に思うかもしれないのは、さまざまなASが実際にどのように相互接続されているかということです。いくつかの追加用語を定義し、全体像の中でどのように位置づけられるかを見ていきましょう。\n上流と下流の自律システム # ipinfo.ioのAS15169のページを見ると、上流ASNのリストと下流ASNのリストがあることに気づくでしょう。簡単に言えば、下流ASNはGoogleを通じてより広いネットワークにアクセスするASを表し、上流ASNはGoogleがより広いネットワークにアクセスするために使用するASを表します。\nインターネット（IP）トランジットとピアリング # IPトランジットとは、ISP（上流プロバイダー）がより広いインターネットに接続するためにネットワークを使用する権利を販売するサービスです（つまり、ISPが他のISPと持つBGP接続を使用すること）。\n2つのISPがお互いのネットワークへのアクセスを無料で許可する場合があります。これをピアリングと呼びます。これは通常、ISP同士がお互いのネットワークに無料でアクセスすることにビジネス上の利益がある場合に行われます。\nTier 1、Tier 2、Tier 3ネットワーク # ISP間の接続には、IPトランジットとピアリングの2種類があることを説明しました。ISPがこれらをどのように使用するかは、主にそのISPがどのTierに属するかによって決まります。\nTier 1ネットワーク：Tier 1 ISPは最大手です。一般的に、インターネットトランジットやピアリングに料金を支払うことなく、インターネット上のすべてのネットワークにアクセスできると定義されています。\nTier 1 ISPの例としては、AT\u0026amp;T、NTT、Orangeなどがあります。\nTier 2ネットワーク：Tier 2 ISPは他の（主にTier 2の）ネットワークとピアリングしていますが、インターネット全体にアクセスするためにTier 1プロバイダーからIPトランジットを購入しています。\nTier 2 ISPは通常、国内または地域的な範囲を持ち、自社のインフラストラクチャで複数の大陸にまたがる顧客にサービスを提供できるのはごく一部に限られます。\nTier 2 ISPの例としては、Korea Telecom、British Telecom、Comcastなどがあります。\nTier 3ネットワーク：Tier 3サービスプロバイダーは通常小規模で、Tier 2および（時にはTier 1の）ネットワークからIPトランジットを購入するのみです。\nインターネットエクスチェンジポイント（IXP）とPrivate Network Interconnect（PNI） # IXPは、インターネットインフラストラクチャ企業（ISPやCDNなど）がトラフィックを交換するために接続する物理的な場所です。基本的にはネットワークスイッチを含むデータセンターであり、さまざまな参加者によって維持（費用負担）されています。\n参加者にとってのメリットは、より大きなプロバイダーにピアリング料金を支払うことなく、お互いのネットワークにアクセスできることです。IXPは参加者間で交換されるリクエストのレイテンシーの改善にも役立ちます。なお、参加者はIXPを通じて上流接続を共有しません。\nIXPの例はこちらのウェブサイトで確認できます。\nIXPは通常2つ以上の参加者が関与します。2つのISPが相互接続が十分に重要であると判断した場合、Private Network Interconnect（PNI）を構築します。これは2者間の直接的な光ファイバー接続です。\n具体的な例 # BGPを使用するすべてのアクターを定義したので、もう一度例を見てみましょう。今回はより詳細なレベルで説明します（説明すべきことが多いので、シンプルに保ち、すべての側面には触れないようにします）。\n以下の図2では：\nAS1はTier 2 ISPで、Tier 1 ISPであるAS2への上流接続を持っています AS2はAS1とAS4への下流接続を持っています AS3、AS4、AS5はTier 2 ISPです AS3とAS5はIXPを通じて接続を共有しています AS1とAS3は大量のトラフィックを交換するため、ピアリングしています AS4とAS5も同様です 図2: BGPネットワークの例 仮に私たちがAS1、新しいISPでオンラインになったばかりだとしましょう。まずネイバーを設定する必要があります。AS3とAS2と契約があるので、BGPネイバー設定にそれらを追加します。テーブルは以下のようになります（実際にはもっと複雑で、統計やステータスなどが含まれます）：\nNeighbour AS 1.5.0.1 3 1.2.0.1 2 そこから、BGP情報を受信し、BGPテーブルは以下のように埋められます（こちらも簡略版です）：\nNetwork Next Hop Path 1.1.0.1 0.0.0.0 i 1.5.0.0/16 1.5.0.1 AS3 1.4.0.0/16 1.5.0.1 AS3, AS5 1.3.0.0/16 1.5.0.1 AS3, AS5, AS4 1.2.0.0/16 1.5.0.1 AS3, AS5, AS4, AS2 1.2.0.0/16 1.2.0.1 AS2 1.3.0.0/16 1.2.0.1 AS2, AS4 1.4.0.0/16 1.2.0.1 AS2, AS4, AS5 1.5.0.0/16 1.2.0.1 AS2, AS4, AS5, AS3 ルートはネイバーからのメッセージに頼る代わりに手動で設定することもできます。ネットワークは固定的なものではないため、変更が行われるとBGPを使用して更新が送信されます。例えば、AS4とAS5がピアリング契約を維持する意味がなくなり、直接接続を解消した場合、ローカルテーブルは以下のように更新されます。\nNetwork Next Hop Path 1.1.0.1 0.0.0.0 i 1.5.0.0/16 1.5.0.1 AS3 1.4.0.0/16 1.5.0.1 AS3, AS5 1.2.0.0/16 1.2.0.1 AS2 1.3.0.0/16 1.2.0.1 AS2, AS4 最初のBGPテーブルに戻って、AS5にパケットを送信したいとしましょう。2つの選択肢があります：\nAS3 -\u0026gt; AS5のルートを使う AS2 -\u0026gt; AS4 -\u0026gt; AS5のルートを使う 複数の選択肢があるため、ルーターはBGP設定を参照してどのルートを使用するかを決定します。BGPポリシーでは、以下のような複数の要素に基づいてルーティングの決定を行うことができます：\nパスの長さ ローカルプリファレンス ルートの古さ eBGPではなくiBGPでルーティングできるか \u0026hellip;（詳細は記事の参考文献を参照してください） この例では、AS2へのトラフィックには料金が発生するため、無料のピアリング契約があるAS3を優先的にパケットを通すようにローカルプリファレンスを設定しているかもしれません。\n何が問題になりうるか？ # BGPはかなり古いプロトコルで（1989年に構想され）、ほとんどの古いプロトコル（ARP、DNS、その他多数）と同様に、セキュリティを考慮して設計されていませんでした。\nBGPにおける最も重大なリスクはBGPハイジャック攻撃です。これは、ASが誤ったルーティング情報を送信することで成立します。例えば、図2に戻りましょう。AS2とAS3とは関係があるので、悪意のある行動をしないと信頼することを選びましたが、それらのネイバーや、そのまたネイバーなどについては制御できません。ある時点でAS5が悪意を持ち、ネットワーク1.3.0.0/24（実際にはAS4のもの）を所有していると通知することは十分にあり得ます。BGPは信頼に基づいているため、BGPルートが侵害され、通信の一部が悪意のある者の手に渡る可能性があります（この例ではAS5が悪意を持つケースですが、人的ミスである可能性もあります）。\n実際にBGPハイジャック攻撃が実行された例がいくつかあります。2018年、ロシアのISPがAmazon DNSサーバーに属するIPプレフィックスをハイジャックし、暗号通貨ウォレットのユーザーを悪意のあるウェブサイトにリダイレクトしました。ハッカーは約152,000米ドル相当の暗号通貨を盗みました（参考）。\nもう1つの頻発する問題はルートリークです。これは基本的に、ルートが意図された範囲を超えて（意図せず）ブロードキャストされた場合に発生します。例えば、2008年にPakistan TelecomはYouTubeのIPアドレスをnullルーティングすることで同サービスを検閲しようとしました。しかし、そのルートが誤ってPakistan Telecomの上流プロバイダーであるPCCWに送信され、そこからインターネット全体に広がってしまいました。\nBGPの修正 # BGPを修正する最新の試みはRPKI（Resource Public Key Infrastructure）ですが、まだ広く展開されていません。詳細はこちらで読むことができ、導入の進捗状況も確認できます。基本的には以下のように動作します：\nプレフィックスの所有者がROA（Route Origin Authorization）を作成し、ASをIPプレフィックスに関連付けます ROAは適切な地域インターネットレジストリの認証局（Trust Anchor）によって署名され、紐付けが正しいことを証明します 自律システムは、ルートに含まれるAS/IPプレフィックスの関連付けが正しいかどうかを、情報を取得して署名を検証することで確認できます（例えばバリデータを使用して） 出典と追加リソース # StackPath: What is an Autonomous System Number (ASN) IANA: Number Resources ARIN: Autonomous System Numbers Wikipedia: Autonomous system (Internet) miloserdov: How to find out the Autonomous system on the IP and how to find out all the Autonomous System IPs Juniper Networks: BGP Overview CloudFlare: What is an Internet exchange point? | How do IXPs work? Cisco: BGP Techniques for Internet Service Providers Noction: IP Transit and the Tiers of Transit Providers Wikipedia: Tier 1 network Wikipedia: Tier 2 network Euro IX: Internet Exchange Points, 2018-2019 Report MTIN Consulting: Transit, peer, downstream..what do they all mean? Global Internet Exchange Points / BGP Peering Points / IXP NSRC: BGP For All Network Urge: BGP Messages N-Study: BGP Basic Configuration and Verification Commands Network Urge: BGP Best Path Selection Criteria Juniper: Understanding BGP Path Selection Loyola University of Chicago: Border Gateway Protocol (BGP) BGP.us: Overview of the BGP (Border Gateway Protocol) Network World: BGP: What is border gateway protocol, and how does it work? Cloudflare: Why Google Went Offline Today and a Bit about How the Internet Works Catchpoint: BGP Route Leak Incident Review Thousand Eyes: BGP Route Leak Thousand Eyes: BGP Route Hijacking IETF: BGPsec Protocol Specification Internet Society: BGPSec - A reality now phoenixNAP: RPKI Explained - Secure BGP Routing ARIN: What is Hosted RPKI? MANRS: What is route origin validation? RIPE: Resource Public Key Infrastructure (RPKI) 画像クレジット # カバー写真: Lars Kienle（Unsplash） ","date":"2022年06月14日","externalUrl":null,"permalink":"/ja/posts/2022/bgp-what-is-it-and-how-can-it-be-used-to-hijack-internet-traffic/","section":"記事","summary":"Border Gateway Protocol（BGP）はインターネットトラフィックを正しくルーティングするためのプロトコルです。その仕組みをご存知ですか？一緒に見ていきましょう。","title":"BGP：その仕組みと役割","type":"posts"},{"content":"After a few months of absence, the weekly new recap is back, and will now be published every Monday morning. As usual, it will go through the security, privacy, and darknet news of the past week.\nI also published a new article on the blog last week, going through how you can configure a pfSense device to ensure better security and privacy in your home network. You can read more here.\nAPT # **Russia warns of a “military clash” if it\u0026rsquo;s hit by US cyberattacks ** (The Record)\nShortly after the US Chief of Cyber Command announced that the US \u0026ldquo;conducted a series of operations to support Ukraine,\u0026rdquo; Russia\u0026rsquo;s foreign ministry warned that \u0026ldquo;The militarization of the information space by the West [\u0026hellip;] has greatly increased the threat of a direct military clash.\u0026rdquo;\nCryptocurrencies # **How crypto giant Binance became a hub for hackers, fraudsters and drug traffickers ** (Reuters)\nA recent Reuters investigation claims that Binance was used by criminals linked to Lazarus, Hydra, and others to launder more than USD 2.35 billion between 2017 and 2021. Binance claims that these numbers are not accurate.\nDarknet # AlphaBay Is Taking Over the Dark Web—Again (Wired)\nWired reports that Alphabay is or is close to becoming the number 1 dark market again. As of now, it is said to have more than 1,300 vendors listing a total of 30,000 products. While the numbers are allegedly growing fast, this is still a fraction of the 350,000 listings on the original Alphabay that closed in 2017.\nGeneral Security # Apple\u0026rsquo;s Rapid Security Response will push faster updates that install on Macs without a reboot (The Verge)\nIf you have an Apple device, you probably hate updates because the installation takes ages, and you can\u0026rsquo;t use it meanwhile. It seems that most (?) updates will not require that anymore, and will be installable like a standard software update.\nDOJ, FBI shut down marketplace for stolen Social Security numbers (The Record)\nSSNOB, a marketplace selling American social security numbers was shut down by the FBI, IRS, and Justice Department, in cooperation with Cyprus and Latvia law enforcement agencies. The website is said to have generated more than USD 19M in sales revenues, and might have had some link with Jocker\u0026rsquo;s Stash, a carding website that was closed down in January 2021.\nMIT researchers uncover \u0026lsquo;unpatchable\u0026rsquo; flaw in Apple M1 chips (Tech Crunch)\nResearchers found a vulnerability in Apple\u0026rsquo;s M1 processor chip that they named PACMAN. It can be used to corrupt the content of a memory location, and gain control of the system. The flaw works by guessing the pointer authentication code used by ARM pointer authentication, a last-line-of-defence mechanism used to protect memory pointers with cryptographic hashes. The flaw is not patchable but may not be an immediate cause of concern because it is not exploitable alone. Full paper here.\nPrivacy # Firefox 102: Query Parameter Stripping improves privacy (GHacks)\nFirefox will ship a new feature called \u0026ldquo;Query Parameter Stripping\u0026rdquo; in its next version (which will be released on the 28th of this month). It will allow removing tracking parameters from URLs.\n**Bitwarden introduces integrations with email alias services ** (Reclaim the Net)\nBitwarden, a password manager, now integrates AnonAddy, Firefox Relay, and SimpleLogin to allow generating unique email addresses when creating a new entry.\n**Google Photos face grouping has a new retention policy, thanks to $100 million lawsuit ** (9To5Google)\nGoogle change the retention policy of facial recognition models in Google Photos after settling a USD 100M class-action lawsuit in Illinois. It now says that all the face models will be deleted from Google Photos if you delete pictures used to generate them, or if your account is inactive for more than two years.\nDer Spiegel Says Telegram Gave User Data to German Police in Fight against Terrorism, Child Abuse (BitDefender)\nDespite claiming that \u0026ldquo;to this day, [Telegram] has disclosed 0 bytes of user data to third parties, including governments,\u0026rdquo; the company reportedly released data of users accused of child abuse and terrorism to the German Federal Criminal Police office. A German investigator reported that getting data from Telegram for other kinds of offences is \u0026ldquo;still difficult.\u0026rdquo;\nMakers of ad blockers and browser privacy extensions fear the end is near (The Register)\nAs of January 2023, Google Chrome will stop supporting extensions using Manifest v2. Google claims that forcing extensions to use Manifest v3 (first proposed by the company in 2018) is a move to protect users and their privacy, despite depreciating APIs used by developers of ad-blocking and privacy apps, sparking concerns.\n**Bluetooth signals can be used to identify and track smartphones ** (UC San Diego)\nA team of engineers at the University of California San Diego found that it might be possible to track individuals using their mobile phone Bluetooth fingerprint computed by using the defects of the hardware. According to an experiment with 647 devices, 47% of them had a unique fingerprint. Full paper here.\nInteresting Reads # Anatomy of a DDoS amplification attack (Microsoft Security) Use of Cryptocurrency in Ransomware Attacks, Available Data, and National Security Concerns (US Senate Committee) UNREDACTED Magazine Issue 002 Hacking a powered-off iPhone: vulnerabilities never sleep (Kaspersky) Geofence Warrants and Reverse Keyword Warrants are So Invasive, Even Big Tech Wants to Ban Them (EFF) Router security in 2021 (SecureList) The Surreal Case of a C.I.A. Hacker\u0026rsquo;s Revenge (The New Yorker) ","date":"2022-06-12","externalUrl":null,"permalink":"/blog/weekly-news-recap-16/","section":"News","summary":"After a few months of absence, the weekly new recap is back, and will now be published every Monday morning. As usual, it will go through the security, privacy, and darknet news of the past week.\n","title":"Weekly News Recap 16","type":"news"},{"content":"注意: この記事はLLMによって英語から翻訳されたものです。正確性については保証いたしかねますので、あらかじめご了承ください。英語の原文はこちら。\n数週間前、使っていないRaspberry PiをOpenWRTでVPN経由ですべてのトラフィックを通すWiFiルーターに変換する方法を説明する記事を投稿しました。今日の記事では、次のレベルに進み、より多くの制御、機能、パフォーマンスが必要な場合にホームネットワークを管理する方法を見ていきます。\nこのために、NetGateが管理するFreeBSDベースのファイアウォール/ルーターディストリビューションであるpfSenseを使用し、以下のことを行います：\npfSenseの基本的なセットアップを作成する トラフィック（または少なくともその一部）をVPN経由でルーティングする ローカルDNSリゾルバーを設定する プライバシーを向上させるPiHole相当のpfBlockerNGをインストールする（広告やトラッカーがDNSレベルでブロックされます） Snortで基本的なモニタリングを設定する なお、私はProtectli FW4B（RAM 4GB、ハードドライブ32GB - 今のところ十分以上です）と、アクセスポイントモードで動作する基本的なWiFiルーターを使用しています。VLANをサポートするアクセスポイントを使用すれば、設定をさらに改善できるでしょう（特にAmazonデバイスなどを隔離したい場合）。この記事執筆時点で最新のpfSenseバージョン（2.6.0）を使用しています。\nVPNについて一言触れておきましょう。最近VPNについて多くのことを耳にしますが\u0026hellip; VPNはセキュリティを確保する魔法ではありません。VPNが主にすることは：\nISPの代わりに、別の会社があなたのインターネットトラフィックを見ることになります。VPNプロバイダーをISPより信頼するなら、これは良いことです（また、VPNプロバイダーがあなたのトラフィックを実世界のIDに紐付けるのは難しくなります） 複数の人が同じIPを使用するため、ウェブサイトなどによる追跡が困難になります。また、実際の物理的な位置も隠されます（実際のIPアドレスからある程度特定できるため） 基本セットアップ # 基本セットアップは非常にシンプルです。まずpfSenseのウェブサイトからイメージをダウンロードし（AMD64/DVD Image ISO Installerを使用しました）、ISOをUSBスティックに書き込み、WANポートにインターネット、LANポートにコンピューターを接続した状態でマシンを起動します（画面/キーボードを接続するか、COMポートを使用する必要もあります）。\nインストールプロセスでは、かなり標準的な質問をされます。Protectliマシンを使用している場合は、ブート設定でUEFIを選択してください。インストールが完了したら、ブラウザからhttps://192.168.1.1で管理UIに接続し、ユーザー名admin、パスワードpfsenseでログインできます。\nそこから、再びいくつかの標準的な質問をする設定画面が表示されます。ローカルリゾルバーを使用するため、Override DNSオプションのチェックを外し、DNSサーバーは入力しませんでした。\nそこから、デバイスのLANポートからコンピューターを外し、代わりにアクセスポイントを接続してWiFi経由で接続できます。ファイアウォールにSSHで接続したい場合は、System/Advanced/Secure Shell Menuから許可する必要があります。\n続ける前に、簡単な改善をしましょう：ダッシュボードにはウィジェットを配置するための列が2つしかないことに気づいたかもしれません。そのため、画面の大部分が無駄になっている可能性があります。System/General Setupに移動し、Dashboard Columnsの値を3に変更してスペースを有効活用しましょう。その後、ダッシュボードページの右上にある+を使って、新しいウィジェットで好きなようにダッシュボードを設定できます。\nProtectli固有の設定 # Protectliデバイスを使用している場合、メーカーはハードウェアをより活用するためにいくつかの設定変更を推奨しています（このページに詳細があります）。\nSystem/Advanced/Miscellaneousで：\nPower SavingsのEnable PowerDにチェックを入れ、続く3つのフィールドをHiadaptiveに設定します -\u0026gt; これにより、ダッシュボードのThermal Sensorsウィジェットを使用して、CPUコアごとの温度を確認できるようになります Cryptographic HardwareをAES-NI and BSD Crypto Device (aesni, cryptodev)に設定します Thermal SensorsをIntel Core* CPI on-die thermal sensorに設定します マシン使用時にCPU温度が50〜60度の間であることがありますが、これは想定内であり全く問題ありません。\nDNSリゾルバー # マシンをDNSリゾルバーとして使用し、インターネット上のDNSは使用しないようにします。Services/DNS Resolver Menuに移動し、General Settingsで以下を確認してください：\nEnable DNS Resolverにチェック Network Interfaces -\u0026gt; All Outgoing Network Interfaces -\u0026gt; All（VPN設定後に変更して、すべてのVPNリクエストがVPN経由になるようにします） Struct Outgoing Network Interface Bindingのチェックを外す Enable DNSSEC Supportにチェック Enable Python Moduleにチェック Enable Forwarding Modeのチェックを外す Advanced SettingsでQuery Name Minimizationにもチェックを入れます。\nこの時点で、独自のVPNを使用した機能的なネットワークがあり、アクセスポイントに接続したすべてのクライアントがデフォルトでこれを使用します。\nDNSに関する補足 # 前述の設定により、独自のDNSリゾルバーを持つことになります。つまり、maps.google.comに接続しようとすると、リゾルバーは以下の手順を実行します：\nルートDNSに問い合わせて、.com TLDを管理するDNSの場所を尋ねる .com TLDを管理するDNSに問い合わせて、googleの場所を尋ねる googleに問い合わせて、mapsの場所を尋ねる Query Name Minimizationが有効になっているため、リゾルバーは余分な情報を含まないクエリを送信します。例えば、ルートDNSに問い合わせる際は.com TLDの管理先を尋ねますが、解決しようとしているmaps.google.com全体は渡しません。同様に、.com TLDの管理先に問い合わせる際は、maps.google.comではなくgoogle.comを尋ねます。この方法でリゾルバーを使用すると、DNSリクエストはポート53で暗号化されずに行われます。\nリゾルバーがDNSサーバーに（暗号化された方法で）結果を問い合わせるだけにしたい場合は、以下のようにできます：\nServices/DNS Resolver/General Settingsで、Enable Forwarding ModeとUse SSL/TLS for outgoing DNS Queries to Forwarding Serversにチェックを入れる System/General Setupで、お好みのDNSサーバー（できればDNS over TLSをサポートするもの、例えばQuad9やCloudflare）を入力する 同じGeneral Setupで、DNS Resolution BehaviorをローカルDNSのみを使用しリモートを無視するように設定する（そうしないと、VPN使用時にDNSリークが発生する可能性があります） どちらの方法にも長所と短所があり、どちらが良いかについて強い意見はありません。\n静的DHCPリース # すべてのマシンがVPN経由でインターネットに接続し、pfBlockerNGを使用するようにしたい場合は、このステップをスキップできます。基本的に、ネットワークに接続されたマシンが常に同じIPアドレスを持つようにして、特定のルールを設定できるようにしたいのです（つまり、特別なルールを設定したくないマシンについてはこれを行う必要はありません）。\nまず、Services/DHCP Serverメニューに移動します。デフォルト設定を使用している場合、おそらく以下のようなものが表示されるでしょう：\nデフォルトのDHCP範囲 DHCPで割り当てられるIPが192.168.1.100から192.168.1.245になるように範囲を編集します。これにより、192.168.1.2から192.168.1.99の間のIPをマシンに手動で割り当てることができます。\n次に、ページ下部のDHCP Static Mapping for this Interfaceにエントリを追加します。マシンが既にネットワークに接続されている場合は、Status/DHCP Leasesに移動して該当するエントリのAdd Static Mappingをクリックすると、MACアドレスとホスト名を手動で入力する必要がなくなります。以下のスクリーンショットのように設定してください。なお、UIがホスト名をIPアドレスで自動入力することがあります（主にホスト名が不明な場合）。これはpfSenseに問題を引き起こすため、避けてください。\n静的マッピングの設定 pfBlockerNG # 誰もが広告やトラッキングを嫌います。これについても対策しましょう。pfBlockerNGはpfSenseにインストールできるモジュールで、PiHoleと同じこと（既知のトラッカー/広告ドメインのDNSクエリを解決しないこと、その他多くのこと）ができます。\nインストールするには、System/Package Manager/Available Packagesに移動し、pfBlockerNG-develを検索してインストールをクリックします。pfBlockerNGバージョンもありますが、devel版の方がより多くの機能が使えます。\n設定はFirewall/pfBlockerNGで行えます。\nGeneralメニュー # 一般設定で、pfBlockerNGのEnableチェックボックスにチェックを入れ、その他の設定はデフォルトのままにします。Log Settingsでは、リクエスト履歴をどれだけ保持するか定義できます。\nIPメニュー # このメニューは、不審なIPアドレスや特定の地理的位置のIPアドレスとの接続を防止するなど、さまざまな用途に使用できますが、今日はこれについては触れません。\nDNSサーバーが解決したIPの位置統計を取得したい場合は、無料のMaxMindライセンスキーを取得してGeoIPを使用し、適切なメニューに記録できます。\nDNSBLとFeedsメニュー # これがDNSブロックリストを有効にするために使用する機能です。以下の設定を行ってください：\nEnable DNSBLにチェック DNSBL Mode -\u0026gt; Unbound python mode（より良いパフォーマンスと機能（特定のIPをDNSブロッキングから除外するなど）が利用可能になります） DNS Reply Loggingにチェック（どのドメイン名が解決されているかの統計を取得したい場合。時々有効にしてマシンの状況を監査するのに便利です） DNSBL Blockingにチェック HSTS Modeにチェック Python Group Policyを有効に（一部のマシンでDNSフィルタリングを使用したくない場合） Python Group Policyチェックボックスにチェックを入れた場合、このページに同名のメニューとテキストボックスが表示されます。1行に1つのIPを追加でき、これらのIPはDNSBLを使用しません。\nまた、ブロックしたくないドメインを追加できるDNSBL Whitelistセクションにも注目してください。\nDNSBLグループ # このサブメニューでは、リストのグループと更新頻度を設定できます。例えば、アドブロッカーで人気のあるEasyListを使用するようにDNSBLを設定すると、以下のようになるはずです。\nEasyList用のDNSBLグループ Logging/Blockingモードを変更して、ブロックされたドメインの記録を残さないようにすることもできます。リストの更新頻度も設定できます。\nグループを作成して手動で追加したい場合は、ドメイン名を一覧表示できるDNSBL Custom_Listを使用して行うこともできます。\n私はネットワークからコンテンツを検閲することには興味がありませんが、そうしたい場合はDNSBL CategoryとDNSBL SafeSearchサブメニューを使用して、カテゴリ別（例：ポルノ、ドラッグ、銀行、ハッキング、ガーデニング\u0026hellip;かなり多くのフィルターの選択肢があります）にブロックできます。\nFeeds # グループやブロックリストを手動で追加するのは良いですが、あまり楽しくありません。幸いなことに、pfBlockerNGにはFeedsメニューから有効にできるリストのセットが付属しています。関心のあるものの+アイコンをクリックするだけで、ソフトウェアがDNSBL Groupsフォームを事前入力してくれます。\nReports # 設定が完了したので、結果を見てみましょう。その前に（モジュールを初めて使用する場合）、Updateメニューに移動して強制リロードを行い、すべてのリストをアクティブにしてください。\nログ記録を許可した場合、以下のサブメニューを使用できます：\nUnified - IPブロッキングとDNSBLに関連するすべてのアクティビティを表示 Alerts - ブロックされたもののリストを表示 DNS Reply - 行われたDNSクエリを表示 DNS Reply Stats - DNSアクティビティに関するグラフを表示 DNSBL Block Stats - ブロックされたDNSクエリについて詳しく知る どこまで過去を遡れるかは、ログに保存を許可した行数に依存します。\nVPN設定 # 次に、インターネットへのすべての接続がVPN経由になるようにpfSenseを設定しましょう。OpenVPNクライアントのインスタンス設定の詳細については、使用するプロバイダーによって若干異なるため、ここでは省略します。Mullvad、ProtonVPN、PIAのガイドへのリンクをこの記事の参考資料に掲載しています。独自のDNSを使用するため、OpenVPN接続でDNSを設定しないよう注意してください（Pull DNSオプションにチェックを入れないでください）。\nクライアントの設定が完了し、正常に動作したら、Interfaces/Interface Assignmentsに移動してクライアント用のインターフェースを追加します。その設定ページに移動し、VPN1（またはお好みの名前）と名前を付け、Block bogon networkボックスにチェックを入れます。\n次に、Firewall/NAT/Outboundに移動し、モードをManual Outbound NAT rule generationに選択して保存します。新しいマッピングが表示されるはずです。最後の2つのルール（以下のスクリーンショットのようなもの）を変更します。\n変更すべき元のNATルール 以下のようになるようにします（インターフェースをWANからVPN1に変更し、IPv6ルールを無効にするだけです）。\n変更後のNATルール 次に、Firewall/Rules/LANで、IPv6ルールを無効にし（右側のアイコン）、Default allow LAN to any ruleルールのゲートウェイをVPN1インターフェースに変更します。\n変更後のファイアウォールLANルール 最後に、ローカルDNSがVPN接続を通じてクエリを送信していることを確認します。Services/DNS Resolverに移動し、Outgoing Network InterfacesをVPN1のみ選択するように変更します。\nOpenVPNクライアントを再起動すると、正しいIPを持っていることを確認できるはずです。DNSリークテストを実行して、DNSがリークしていないことも確認できます（結果にはVPN IPのみが表示されるはずです）。\n特定のデバイスをVPNから除外する # 何らかの理由でデバイスをインターネットに直接接続させたい場合、いくつかのルールを設定することで可能です。まず、Firewall/NAT/Outboundの設定が必要です。先ほど変更したルールのコピーを作成しますが、今回はインターフェースとして（元の）WANを設定します。最終的に以下のようなルールになるはずです。\n最終的なOutgoing NATルール 次に、VPNなしで使用したい各デバイスについて、Firewall/Rules/LANにファイアウォールルールを追加します（Add rule to the top of the listを使用してください。そうしないと機能しません）。新しいルールを作成する際に以下のフィールドを変更してください：\nSource（Single host or alias） -\u0026gt; デバイスのIP（前にDHCPで静的に設定したもの） Description -\u0026gt; 自分用のメモ Gateway -\u0026gt; WANインターフェース Snort # 最後に、ネットワークにセキュリティモニタリングを追加しましょう。System/Package Manager/Available Packagesに移動し、snort（オープンソースのネットワーク侵入検知・防御システム）をインストールします。すると、新しいメニューServices/Snortが表示されます。以下の設定を行います：\nGlobal Settingsで、関心のあるルールを有効にし、更新間隔を6時間に設定 Updatesで、Update Rulesをクリックし、すべてが正しくダウンロードされていることを確認 これが完了したら、Snortインターフェースを作成しましょう。LAN用に1つ、WAN用に1つ。以下の設定を行います：\nインターフェースを有効にする アラート調査時により多くのコンテキストを確認できるようEnable Packet Capturesにチェック アラートをトリガーしたBlock Offendersのオプションもあります。ホームファイアウォールを設定する場合、多くの誤検知が発生し、正当な理由なくマシンがブロックされる可能性が高いため、チェックしないことをお勧めします。\nこれで動作するSnortができ、ホームダッシュボードにウィジェットを追加して最新のアラートを確認できます。Snortについては後で記事を書く予定なので、ここでは詳しく説明しません。記事が公開されたらここにリンクを追加します。\n設定のバックアップ # すべての設定が完了したので、問題が発生した場合にすべてを復元できるようバックアップファイルをエクスポートしましょう。これはDiagnostics/Backup \u0026amp; Restoreメニューで行えます。\nさらに詳しく # pfSenseの可能性についてさらに学びたい場合は、こちらの記事が参考になるかもしれません。そこでは、オンラインのセルフホストサービスにアクセスするためにWireGuard接続を必須にする方法と、pfSenseをWireGuardに接続してトラフィックをルーティングする方法を説明しています。\nまた、最近この設定の改善点をまとめた新しい記事を書きました（Home Network and pfSense Improvements）。VPN障害時にインターネットが使えなくなることに対してpfSenseをより堅牢にしたい場合や、マシンのVPN使用/不使用の切り替えを簡単にしたい場合に参考になるでしょう。\n参考資料とクレジット # 参考資料 # ProtonVPN pfSense configuration Guide Using pfSense with Mullvad pfSense 2.4.5 (OpenVPN Setup)（PIA） pfSense® CE Configuration Recommendations（Protectli） Cisco Umbrella DNS and QNAME Minimization クレジット # カバー写真: Jordan Harrison（Unsplash） ","date":"2022年06月10日","externalUrl":null,"permalink":"/ja/posts/2022/protect-your-home-network-with-pfsense-simple-walk-through/","section":"記事","summary":"pfSenseを使用してVPN、pfBlockerNG（pi-holeに相当）、Snortで安全なホームネットワークを構築する方法をウォークスルーで解説します","title":"pfSenseでホームネットワークを保護する - シンプルなウォークスルー","type":"posts"},{"content":"注意: この記事はLLMによって英語から翻訳されたものです。正確性については保証いたしかねますので、あらかじめご了承ください。英語の原文はこちら。\n最近、すべてのインターネットトラフィックをVPN経由でルーティングし、キルスイッチを備え、十分なパフォーマンスを持つ小型WiFiアクセスポイントが必要な状況に遭遇しました。使っていないRaspberry Piがあったので、OpenWrtを使ってこの目標を達成することにしました。この記事では、すべてを適切に設定する手順を記録します。この手順はOpenWrt 21.02.3に対して有効です。\nOpenWRTの起動 # 最初のステップは、OpenWRTをmicroSDカードにフラッシュすることです。Raspberryにはそのためのソフトウェアがありますが、ddやお好みのソフトウェアを使用することもできます。イメージはOpenWrtのウェブサイトから入手できます。\nこれが完了したら、Raspberry Piとコンピュータをスイッチに接続し、マシンを起動します。192.168.1.1でLuCIインターフェースにアクセスでき、パスワードなしでrootとしてログインできます。\nデフォルトでは、microSDカードは数百MBのパーティションのみでフォーマットされているため、OpenWrtの高度な使用を行いたい場合は、パーティションを再フォーマットする必要があるかもしれません。インターネット上のさまざまな手順は私の環境ではうまくいかず、調査する時間も必要もなかったため、記事の最後に参考資料を残しておきます。\n管理インターフェースにアクセスしたら、まずSystem/Administrationに移動して適切なパスワードを設定します。SSH設定も変更して、SSHキーでのログインのみを許可することをお勧めします。\n基本的なネットワーク設定 # OpenWrtが起動したら、WiFiを有効にして基本的なネットワーク設定を行います。\nNetwork/Wirelessで、ワイヤレスネットワークインターフェースを編集します：\nニーズに最適な周波数を選択できます。私はNモードで5 GHz帯域、自動チャンネルを使用しました。手動で設定したい場合は、StatusメニューのChannel Analysisを使用できます Mode: Access Point Network: lan Encryption: WPA2またはWPA3のいずれか、auto暗号、強力なキー 詳細設定には、クライアント間通信を防止するオプションもあります 次に、インターフェースを有効にすると、WiFiネットワークが表示されるはずです。radio0設定で追加のWiFi APを追加できることに気付くかもしれません。しかし、そうするとOpenWRTが正常に動作せず、変更が自動的に元に戻されます。\nWiFiを使用する前の最後のステップは、Network/Interfacesでインターフェースを設定することです。デフォルトでは、br-lanのような単一のインターフェースがあるはずです。このインターフェースを以下のように編集します：\nProtocol: Static address Device wlan0 Bring up bootにチェック IPV4 address 192.168.1.1 Netmask: 255.255.255.0 Firewall-zone: lan DHCPサービスが無効になっていないことを確認 次に、以下の設定でeth0用のインターフェースを追加します：\nProtocol DHCP Client Device eth0 Bring up on bootを有効化 Firewall zone: wan すべての設定が完了したら、WiFiでインターネットにアクセスする前の最後のステップとして、Network/Firewallのファイアウォール設定を確認します。2つのゾーンがあるはずです：\nlan =\u0026gt; wanは、Covered networksとしてlanを持ち、wan宛先へのフォワードを許可し、Input、Output、Forwardがacceptedになっている必要があります wan =\u0026gt; DROPは、Covered networksとしてeth0を持ち、InputとForwardがdrop、Outputがacceptになっている必要があります Save \u0026amp; Applyをクリックして、WiFiに接続できます。\nVPNの設定 # 基本設定 # このウォークスルーの最後のステップでは、ProtonVPNとOpenVPNを使用しますが、ほぼすべてのプロバイダーを使用でき、WireGuardなどの他のプロトコルも利用可能です。\nまず、いくつかのパッケージをインストールする必要があります。System/Softwareに移動し、利用可能なパッケージに何も表示されない場合はリストを更新して、openvpn-opensslとluci-app-openvpnをインストールします。UIを更新すると、VPN/OpenVPNメニューが表示されるはずです。\n次に、OVPN configuration file uploadを使用して、ProtonVPNが提供する設定ファイルをアップロードします。設定がOpenVPNインスタンスのリストに表示されるので、編集します。上部のテキストフィールドにauth-user-passファイルのパスを追加し、2番目のフィールドにユーザー名/パスワードを入力します。\nOpenWrt上でのOpenVPN設定の編集 これが完了したら、インスタンスのリストに戻り、Enabledチェックボックスにチェックを入れて、Save \u0026amp; Applyします。この時点で、画面にはVPNが開始されたことが表示されるはずです。\n次に、VPN用の新しいインターフェースを設定します。Network/Interfaceで、新しいインターフェースtun0を追加し、プロトコルをUnmanaged、Bring up on bootを有効にし、デバイスとしてtun0を設定します。Firewall Settingsで、ファイアウォールゾーンVPNを作成します。次に、Network/Firewallでこのゾーンをwan =\u0026gt; DROPと同じ設定で構成しますが、Allow forward from source zonesにlanを使用し、Forwardをacceptにする点が異なります。また、lan =\u0026gt; VPNゾーンに移動し、Allow ForwardにVPNゾーンを追加します。以下のようになるはずです：\nVPN設定後のネットワークインターフェース Network/FirewallでのVPN設定後のゾーン画面 これで、VPNがオンの場合は接続がVPNを経由しますが、VPNがダウンしてもインターネットにはアクセスできます。DNSリークを防ぐための最後の作業として、eth0インターフェースでカスタムDNSサーバーを使用し、Use DNS servers advertised by peerオプションを無効にします。\nキルスイッチ # VPNの「キルスイッチ」を設定したい場合（つまり、VPNがダウンした場合にインターネットトラフィックを遮断する場合）、ファイアウォール設定のlan =\u0026gt; VPNゾーンを変更するだけで簡単に実現できます。Allow forward to destination zonesからlanを削除するだけです。\n自宅に複数のWiFiネットワークがある場合は、マシンがOpenWrtネットワークにのみ自動接続するように設定する必要があります。そうしないと、別のWiFiに接続してしまい、VPNなしでインターネットに接続することになります。\n特定のデバイスでVPNを無効にする # キルスイッチを使用しておらず、特定のデバイスをVPNなしでインターネットに接続したい場合は、vpnbypassパッケージをインストールし、OpenWRTのランディングページでデバイスに静的DHCPリースを設定し、VPN/VPN BypassでLocal IP Address to Bypassを追加できます。\nさらに進むために # これで、接続されたすべてのデバイスがVPN経由でインターネットにアクセスできるルーターが完成しましたが、設定を改善できる点はまだいくつかあります。例えば：\nsnortパッケージをインストールして、ネットワークのセキュリティを向上させることができます 外部WiFi APを接続し、このAPに接続されたデバイスがVPNなしでインターネットにアクセスできるようにすることもできます。例えば、Netflixを使いたい場合など（ファイアウォールルールを調整すれば単一のAPでも実現できると思いますが、個人的にはシンプルさを好みます） adblockパッケージをインストールして設定し、接続されたすべてのデバイスで広告なしの恩恵を受けられるようにする（例えば、iOSベースのデバイスでは、ブラウザにadblock拡張機能をインストールする方法がありません） 参考資料とクレジット # 参考資料 # OpenWrt routers and Mullvad VPN (Proton VPN) How to set up ProtonVPN on OpenWRT routers (Mullvad VPN) OpenVPN client using LuCI (OpenWrt) OpenWrt on x86 hardware (PC / VM / server) (OpenWrt) パーティション変更に関するリソース # https://forum.openwrt.org/t/expanding-openwrt-squashfs-image-sdcard/60606/7 https://forum.openwrt.org/t/how-to-expand-the-space-of-overlay/74093 https://openwrt.org/docs/guide-user/additional-software/extroot_configuration https://java-in-cloud.blogspot.com/2016/08/openwrt-extroot-and-multiple.html https://moreless.medium.com/extend-partition-and-file-system-on-raspberr-a48af9e90858 https://linuxconfig.org/how-to-extend-lede-openwrt-system-storage-with-an-usb-device https://linuxconfig.org/how-to-create-loop-devices-on-linux クレジット # カバー写真: Jainath Ponnala（Unsplash） ","date":"2022年05月07日","externalUrl":null,"permalink":"/ja/posts/2022/configure-a-raspberry-pi-as-a-secure-wifi-access-point-with-open-wrt/","section":"記事","summary":"この記事では、Raspberry PiとOpenWRTを使用してVPN付きのWiFiアクセスポイントを構築する手順を解説します","title":"OpenWrtを使ってRaspberry PiをセキュアなWiFiアクセスポイントとして構成する","type":"posts"},{"content":"注意: この記事はLLMによって英語から翻訳されたものです。正確性については保証いたしかねますので、あらかじめご了承ください。英語の原文はこちら。\nパスワードマネージャー企業（NordPass、Dashline）が2017年と2020年に行った調査によると、平均的なインターネットユーザーは100から150のオンラインアカウントを持っていました。これはかなり大きな数字です（最近は何をするにもアカウントが必要なので、驚くことではありませんが）。そして、私たちがインターネット上に記録している個人情報も膨大な量になっています\u0026hellip;\n2021年のデータ漏洩件数が2020年と比べてどれだけ増加したかご存知ですか？ITRCによると、68%増加し、合計1,862件のデータ侵害イベントが発生しました。ITRCによれば、2021年のデータ侵害件数は2017年の過去最高を23%上回りました。あなたのデータに関して言えば、漏洩するかどうかではなく、いつ漏洩するかという問題なのです。\nこの記事では、データを安全に保つために使えるいくつかの戦略と、個人データをオンラインに公開する際に考慮すべきことを紹介します。\n登録するか、しないか # アカウントを作成する際に最初に自分に問うべき質問はシンプルです：「本当にこのアカウントが必要か？」考慮すべきポイントは以下の通りです：\nアカウントなしで目的を達成できるかもしれません。例えば、ウェブサイトを経由せずに、レストランに電話して予約するなど アカウントが実質的な利益をもたらさないかもしれません。確かに、アカウントを作成して加湿器をインターネットに接続すれば、時間帯に応じたアパートの湿度グラフが見られるかもしれません。それで？ アカウントは後で簡単に削除できるか、その企業はデータ管理の悪い慣行で知られていないか？ 結局のところ、正解はなく、決断を下す前に自分が何を重視するかを考える必要があります。サービスに登録する便利さがプライバシーへの影響やアカウント管理の負担を上回ると考えるなら、それも問題ありません。\nどのデータを入力するか # アカウントを作成する必要があると判断した場合、次に考えるべきは、要求される各種データをどう入力するかです。この時点で、どの情報を正直に回答するかを決める必要があります。いくつかの例を挙げましょう：\n新しい銀行口座を開設して虚偽の情報を提供した場合、悪い結果をもたらす可能性のある犯罪を犯していることになるでしょう 保険に加入して間違った情報を記入し、事故に遭った場合、保険会社が補償を拒否できる可能性があります レストランの予約では、名前はそれほど重要ではありませんが、間違った電話番号を入力して、レストランがあなたに電話しようとした場合、予約を失うことになります。また、間違った電話番号は、SMSでパスワードリセットが可能なサービスでいくつかの悪い結果を引き起こす可能性があります 基本的に、自分に問うべきことは「このサービスはこの情報で何をする可能性があるか、虚偽の情報を提供した場合の結果はどうなるか」ということであり、そこから何をするか選択してください。また、不要な情報を自発的に提供しないでください。ウェブサイトが電話番号の入力を許可しているが必須でない場合は、入力しないでください。\n不正確なデータを入力する場合、目標は目立たないことです。例えば：\n名前を「John Smith」や「Jane Doe」にしないでください。一般的だけど、明らかに偽物ではない名前を見つけるようにしましょう 使用されないとわかっている住所を入力する必要がある場合は、実在する住所を使い、存在しない部屋番号を付けてください。用途によっては、でたらめな情報（例：郵便番号に00000）を入力するのも問題ありません 最後に、入力したデータによって、異なるアカウント間の関連を作ることで、誰かがあなたを追跡できる可能性があることに注意してください。例えば、メールアドレスを使って。これを避けるために、以下のことを考慮し、活用できる戦略があります（メールアドレスの管理やIDの管理などは、それだけで専門の記事に値するほど大きなテーマです。将来書くかもしれません）：\nメールアドレスを提供する必要があるたびに、固有のメールアドレスを使用するようにしましょう 毎回異なる電話番号を提供するのは現実的ではありませんが、いくつかのVoIP番号を作成してグループ分けすることはできます。例えば、番号Aは配達用、番号Bは銀行などの重要なもの用、番号Cは住所や本名と関係のないレストラン予約などの用途に使います 多くのサービスでは、GoogleやApple IDなどのサードパーティを使ってログインできます。プライバシーの問題だけでなく、Googleアカウントへのアクセスを失うと他の多くのアカウントへのアクセスも失うことになるため、これは避けるべきです プロフィール画像のような単純なデータでも、あなたが所有する他のアカウントを見つけるために使用される可能性があります モニタリングと記録管理 # アカウントを作成したら、パスワードマネージャーに適切に記録するべきです。セキュリティの観点から良い慣行であるだけでなく、誰にどの情報を提供したかを監視することもできるようになります。\n私が個人的に行っていることは、使用している異なる住所や電話番号にタグを作成することです（IDに応じたカテゴリに加えて）。アカウントでいずれかを使用するたびに、そのエントリにタグを追加します。これにより以下のことが可能になります：\nサービスに提供した識別可能な情報を把握できるため、ハッキングされた場合にその情報が流出していることがわかります 電話番号を変更した場合などに、どのアカウントを更新する必要があるかがわかります 第三者がどのアカウントを関連付けられるかがわかります タグに加えて、予定期限日を入力するための別のフィールドもあります。この期限順にアカウントを定期的にレビューして、削除したいアカウントを見つけています。アカウント削除の良い慣行については次のパートで説明しますが、重要なのは、アカウントが不要になったら常に削除するよう心がけるべきということです（あるいは、アカウントによっては、データが蓄積されすぎないよう定期的に削除することも有効です。例えば、Uber eatsを利用している場合、引っ越すたびに新しいアカウントを作るのが良いでしょう）。これにより、個人情報の露出を減らすことができます。\n最後に、この記事では詳しく述べませんが、haveibeenpwnedのようなサービスを利用したり、定期的に自分の名前を検索して、どの個人情報がオンラインで見つかるかチェックすることも検討すべきです。\nアカウントの削除 # このパートも専門の記事にできるほど多くのことがありますが、最も重要なポイントをまとめてみます。\n最近では、GDPRなどの法律のおかげで、多くのウェブサイトが自分でアカウントを削除するオプションや、少なくとも削除を依頼するための連絡先メールアドレスを提供しています。これは良いことですが、常に完璧とは限りません。例えば：\n一部のフォーラムはアカウントを削除しますが、投稿は削除しません。代わりに「Anonymous」などの名前で投稿されたように表示されますが、個人を特定できる情報（PII）が含まれていた場合、そのPIIはそのまま残ります 一部のウェブサイトは技術的にアカウントを無効にするだけで、ユーザーには見えなくなりますが、情報はデータベースに残っています 請求に関連する一部の情報は、法律に準拠するために法的に保持する必要があるため、削除することはできません これらのことから、アカウントを削除する際は、まず自分でできる限りデータを削除するようにしてください。投稿を手動で編集してから削除し、偽の電話番号を入力し、ニックネームを変更し\u0026hellip;それからアカウントを削除してください。\n情報を削除してもらうためにどこに行けばよいかわからないこともあります。以下の2つのウェブサイトは、多くのオンラインサービスの手順を掲載しています：\nhttps://www.accountkiller.com/en/home https://backgroundchecks.org/justdeleteme/ クレジット # ヘッダー写真: Glenn Carstens-Peters（Unsplash）\n","date":"2022年05月01日","externalUrl":null,"permalink":"/ja/posts/2022/online-accounts-hygiene-and-management/","section":"記事","summary":"数十ものアカウントを持つということは、インターネット上に多くの情報を公開しているということです。オンラインアカウントとプライバシーの管理方法について考えましょう","title":"オンラインアカウントの衛生管理と運用","type":"posts"},{"content":"注意: この記事はLLMによって英語から翻訳されたものです。正確性については保証いたしかねますので、あらかじめご了承ください。英語の原文はこちら。\n携帯電話を使って誰かの位置を特定するという話になると、映画で見たような場面を思い浮かべるのではないでしょうか。警察が身代金を要求する犯人の居場所を通話中に突き止めようとするシーンです。しかし、基地局による位置特定はそれだけにとどまりません。実際には、携帯電話の電源を入れたまま街を歩くだけで、ある程度の位置情報のログが生成されます。これは当局によって実際に活用されており、例えば台湾ではコロナ危機の際、義務的な隔離を遵守しない人々を追跡するために使用されました（こちらの記事を参照）。自分には関係ないと思っているなら、考え直してください。西洋諸国でも同様の追跡が行われています。\n本記事では、携帯電話ネットワークの仕組み、収集されるデータの種類、そしてそのデータがどのようにあなたの位置特定に使われるかについて紹介します。\nモバイル通信技術と電波 # モバイルネットワークは、その構成要素（基地局とモバイルデバイス）が相互に通信するために電波を使用しています。このパートでは、使用されている様々な技術と、複数のデバイスが干渉を起こさずに同時に通信するための技術について簡単に説明します。\nネットワーク規格 # 携帯電話ネットワークには様々な世代の規格があります。実際、携帯電話を持っていれば聞いたことがあるはずです。電波の強度を示すバーの横に表示される「4G」がまさにそれです。\n第1世代ネットワーク（1G） # 1Gは1984年に誕生しました。音声通話のみが可能なアナログ方式のシステムでした。現在は廃止され、使用されていません。\n第2世代ネットワーク（2G） # 2Gは1991年に導入されました。現在は廃止されていますが、今でも使用されています。2Gでは（以前のアナログ方式に比べて）デジタルエンコードされた信号が導入され、テキストメッセージの送信やインターネットの利用が可能になりました。使用されている規格には以下のものがあります：\nGSM（Global System for Mobile）は最初の2Gシステムでした。インターネットへのアクセスはできませんでしたが、SMSメッセージの利用が可能でした。 GPRS（General Packet Radio Service）はGSMの改良版です。インターネットへの接続やMMSメッセージの送受信が可能になりました。2.5Gと呼ばれることもあります。 EDGE（Enhanced Data Rates for GSM Evolution）は2003年に導入された2Gの最終進化形であり、pre-3Gとみなされています。前の規格を改良したもので、最大473 kbpsのデータ伝送が可能です。 2Gが無線チャネルアクセスを管理するために使用する技術は以下の通りです（後ほど詳しく説明します）：\nTDMA（Time Division Multiple Access） FDMA（Frequency Division Multiple Access） CDMA（Code-Division Multiple Access - EDGEでのみ使用） 第3世代ネットワーク（3G） # 3Gは2000年に導入され、前世代よりも高速なデータ転送を可能にしました。W-CDMA（Wideband CDMA）を使用し、静止時に最大2 Mbps、車での移動時に144 kbpsのデータレートを実現しています。\n2Gと同様に、3Gもパフォーマンスを向上させるための複数の改良が行われました。\nHSDPA（High-Speed Downlink Packet Access）は3.5Gとも呼ばれ、下り最大14 Mbps、上り最大2 Mbpsを実現します。 HSUPA（High-Speed Uplink Packet Access）は2.75Gとも呼ばれ、上りの速度を最大2.8 Mbpsまで向上させます。 HSPA+（Evolved High-Speed Packet Access）は下り最大168 Mbps、上り最大22 Mbpsに対応しています。 LTE - pre-4Gだが4Gとして販売 # LTE（3G Partnership Project - Long Term Evolution）は、3Gに比べてパフォーマンスが向上したpre-4Gシステムですが、完全な4Gの性能にはまだ達していません。下り最大300 Mbps、上り最大75 Mbpsを提供し、CDMAの代わりにOFDMA（Orthogonal Frequency-Division Multiple Access）を採用することで、移動中のデータ伝送を改善しています。\nLTEは音声通話に対応していないため、必要に応じて2G、3G、またはVoLTEが使用されます。\nネットワーク周波数 # 携帯ネットワークでは、データが電波を通じてやり取りされることを説明しました。使用される技術によって、利用可能な周波数は異なります。例えば、3Gは800、850、900、1,700、1,900、2,100 MHz帯で動作可能ですが、GSMは850、900、1,800、1,900 MHz帯のみに対応しています。国によっては、利用可能な帯域の一部のみが使用される場合もあります。\n一般的に、高い周波数はより高速にデータを転送しますが到達距離は短く、低い周波数はより遠くまでデータを運びますが速度は遅くなります。\nチャネルアクセス方式 # 先ほどFDMA、TDMA、CDMA、OFDMAについて触れました。周波数についても説明しましたので、これらの仕組みについてさらに詳しく見ていきましょう。\nこれら3つの略語は、無線技術で使用されるチャネルアクセス方式です。同じ無線周波数を使ってデータを送信する複数のエンドポイントがあると想像してください。何の対策もしなければ、データは衝突し、この無線チャネルを受信しているデバイスは何も理解できなくなります。チャネルアクセス方式は、この問題を解決することを目的としています。\nFDMA # 周波数分割多元接続（Frequency Division Multiple Access）は、利用可能な帯域幅を重複しない複数のチャネルに分割し、接続されたデバイスに割り当てます。例えば、帯域幅Bを持つ基地局と2台の接続デバイスがある場合、デバイス1には最初の200 KHzが割り当てられ、次の50 MHzは重複を避けるために未割り当てとなり、デバイス2には次の200 MHzが割り当てられます。こうすることで、すべてのデバイスが同時に通信でき、基地局はそれぞれのトラフィックを区別できます。\nTDMA # 時分割多元接続（Time Division Multiple Access）は、デバイス間でより高度な同期が必要です。基地局を使用するすべてのデバイスは帯域幅全体を使用できますが、通信が許可される特定のタイムスロットが割り当てられるため、クロックが厳密に一致していることが重要です。\nCDMA # 符号分割多元接続（Code Division Multiple Access）では、すべてのデバイスが同じ周波数を使って同時にデータを送信できます。各デバイスはデータ送信時に特定のコードシーケンスを使用するため、異なる信号を区別することが可能になります。CDMAとW-CDMAの主な違いは、後者がより広い帯域幅に対応していることです。\n電話ネットワーク # 電話ネットワークが機能するには、複数のコンポーネントが必要です。あなたの携帯電話はデータの送受信のために基地局と直接やり取りしますが、これらの基地局はデバイスの認証やルーティングを適切に行うために、異なるシステムを使用しています。\n基地局送受信装置（BTS） # 基地局送受信装置（BTS: Base Transceiver Station）はネットワークの中で最も目に見える部分であり、電波を送受信する基地局タワーです。3GネットワークではNode B、LTEではeNode Bと呼ばれることもあり、一般的にはBase Stationとも呼ばれます。\n基地局は通常、固定された場所に設置されますが、仮設のものを設置することも可能です。これは通常、コンサートなどで特定のエリアに通常より多くの人が集中することが予想される場合に行われ、ネットワークの飽和を防ぎます。\n基地局には2種類のアンテナがあります：\n無指向性アンテナは、トラフィック量の少いエリアや小規模な屋内中継器に使用され、360度の範囲で信号を送受信します。 セクターアンテナは指向性のあるアンテナです。最大6セクターまで持つことができますが、最も一般的には3セクターが使用され、120度ずつの3つのゾーンで信号を送受信します。 以下の図は、基地局がどのように配置されてネットワークを形成しているかを示しています。すべての基地局が3セクターアンテナを持ち、マップ上のどこでも電波が届くように配置されていることがわかります。\nセルラーネットワーク（出典：Wikipedia） 右上のセルを見ると、3つの基地局に囲まれており、周波数14、16、1で放送していることがわかります。このセルの中央に携帯電話を持って立っていれば、3つの基地局からの信号を受信できます。\nネットワークは以下のように設計されています：\n携帯電話事業者は、互いの基地局が干渉しないように異なる無線周波数を使用しています（周波数は通常、国の管理機関によって事業者に割り当てられます） 携帯電話事業者は、隣接する基地局が互いに干渉しないように、異なる無線周波数を使用するようにネットワークを構成しています 基地局制御装置（BSC） # 基地局制御装置は、1つまたは（より一般的には）複数の基地局送受信装置を管理します（各BTSには1つのBSCが割り当てられます）。特に担当する主な機能は以下の通りです：\n無線周波数の管理 BTSのハンドオーバー（デバイスがあるBTSに接続中に信号が弱くなり、より強い信号を持つ別のBTSに切り替えること） 通話のセットアップ 移動通信交換局（MSC） # 移動通信交換局は1つまたは複数のBSCに接続され（各BSCには1つのMSCが割り当てられます）、ネットワーク内の様々なシステムと連携して、各種通信が適切にルーティングされるようにします。主なタスクは以下の通りです：\nHLR（ホームロケーションレジスタ）およびVLR（ビジターロケーションレジスタ）に接続し、基地局に接続されたデバイスが接続を許可されているか確認し、通話/テキスト/データ使用量を記録して顧客に課金できるようにする 通話、SMS、インターネットのルーティング PSTN（公衆交換電話網）とのインターフェース ホームロケーションレジスタ（HLR） # ホームロケーションレジスタは、モバイル加入者に関するデータを格納するデータベースです。ユーザーがネットワークへのアクセスを許可されているか、どのサービスを利用できるか、デバイスとの通信をどのようにルーティングするか、顧客にどのように課金するかを管理します。また、ユーザーの最後の既知の位置情報を保存し、必要に応じて更新します。\nユーザーの認証のために、HLRはIMSI（International Mobile Subscriber Identifier：国際移動電話加入者識別番号）を保存します。IMSIはSIMカード（Subscriber Identity Module）に格納されています。\nビジターロケーションレジスタ（VLR） # ビジターロケーションレジスタ（VLR）はHLRと似たデータベースです。1つまたは複数のMSCで使用でき（各MSCは1つのVLRに接続されます）、そのMSCに接続された顧客に関するデータを一時的に保存します。また、ローミング中のユーザーに関するデータも保存します。\n携帯電話の接続とアンテナの選択 # ここまで説明した要素をまとめるために、外出時に携帯電話を持ち歩く際に何が起こるかを見てみましょう。\n携帯電話は周囲をスキャンして基地局を探します 最も強い信号を持つ基地局に接続します（基地局が最大接続数に達していない場合） BTSに接続すると、MSCがHLRとVLRを使ってユーザーが接続を許可されているか確認し、携帯電話の位置（使用中のBTS）などの各種レコードを更新します 接続が確立されると、携帯電話とBTSの間で全二重（FDX）接続が維持されます 移動中も、携帯電話は周囲の基地局と信号の強さを常にチェックしています。必要に応じてハンドオフが発生します（より良い信号を持つ別のBTSに切り替わります）。ハードハンドオーバー（接続を切断してから再接続）の場合もあれば、ソフトハンドオーバー（プロセスが透過的で、常にネットワークに接続されている状態）の場合もあります 誰かがあなたに電話をかけようとすると、相手の携帯電話はHLR（BSC/MSCを経由）に問い合わせてあなたが使用しているBTSを特定し、その情報に基づいて通話がルーティングされます 追跡方法 # モバイルネットワークの仕組みの紹介を終えたので、次は各種インフラを利用してネットワーク利用者を追跡する方法について見ていきましょう。\n過去の位置情報 # 前述の通り、ネットワークを利用しようとすると、ネットワークの構成要素がその使用が許可されているかを確認します。同時に、ネットワーク利用に関する情報も記録されます。この情報の一部は、プロバイダーのポリシーに応じて数年間保存されます（米国のAT\u0026amp;Tでは最大7年間）。このパートでは、どのような情報が保存され、それをどのように活用できるかについて説明します。\n通話詳細記録（CDR） # モバイルデバイスが通話を行うたびに、主に課金目的で通話詳細記録（CDR: Call Details Record）に情報が記録されます（データ通信やSMSの利用についても同様の情報が記録されます）。\nこれらの記録には以下の項目が含まれますが、ネットワーク事業者によって若干の違いがある場合があります：\n発信番号と着信番号 通話開始・終了の日時 通話開始時と終了時に使用された基地局の識別子（および使用セクター） 使用された携帯電話のIMSIとIMEI これらの記録の保存期間はネットワーク事業者によって異なります（AT\u0026amp;Tは7年間保存しますが、Verizonは1年間のみです）。\n通話に関わった基地局とセクターしかわからないため、このデータだけでは大まかな範囲の位置しか特定できません。特に、基地局の密集度は環境によって異なります（マンハッタンには多くの基地局がありますが、デスバレーの真ん中にはほとんどありません）。1つの基地局のカバー範囲は半径10kmの場合もあれば、100mの場合もあります。\nタワーダンプ # タワーダンプとは、特定の基地局送受信装置の活動に関するデータを指します。その基地局を使用して行われたすべての活動（通話、テキストなど）のログが含まれますが、特定の時点で基地局に接続されていたすべてのデバイスのリストも含まれます。これにはパッシブ接続（前述の通り、デバイスは何もしていなくても常に基地局に接続されている）も含まれます。\nPCMD、RTT、NELOS # ここまでは、デバイスをかなり広い範囲の位置に紐付けるものしか見てきませんでした。このパートでは、より正確な（ただし依然としてかなりおおよその）位置を特定できる可能性のあるシステムについて説明します。AT\u0026amp;Tの文書によると、その精度はケースによって「100m以内」から「10km以内」とされています。\nPCMD（Per Call Measurement Data）とNELOS（Network Event Location Systems - AT\u0026amp;T独自のシステム）は、同じことを行うメカニズムの異なる名称です。電波の伝搬速度がわかっているため、基地局は基地局と接続デバイス間のデータ伝達時間を測定し、受信者までの距離を推定します。\nPCMDデータは通常、CDRなどのデータよりも短い期間（通常は約1〜2週間）保存されます。一部の事業者はこのデータを持っていない場合があり（PCMDはCDMAネットワークでのみ使用可能ですが、Timing Advanceなどがほぼ同等の機能を提供します）、1週間保存する事業者もあれば、最大3ヶ月保存する事業者もあります。\nPCMDデータは通常、データ転送（インターネット/通話/SMS）が発生した場合にのみ記録されますが、一部の事業者はデータの種類に応じて異なるポリシーを持っている場合があります。\nリアルタイム位置情報 # ここまで説明した方法は主にアクティビティログに基づいていますが、携帯電話をリアルタイムで追跡する手段もあります。最も一般的なのは三角測量ですが（Sprintなどの一部の事業者は、携帯電話にリクエストを送信して現在のGPS位置を返させるGPSピングなどの機能も提供しています）。\n到着時間（TA: Time of Arrival）と往復遅延時間（RTT: Round Trip Time）を使った三角測量は、携帯電話事業者に広くサポートされている方法です。複数の基地局がエンドポイントにピングを送信し、TAまたはRTT（電波がデバイスに到達するまでの時間に基づく）を使ってその距離を測定します。\n下の図は、4つの基地局による三角測量の例です。各円は基地局からの計算された距離を表しており、すべての距離が共通する1つの（赤い）点が、位置を特定したいエンドポイントです。もちろん、基地局が多いほど位置精度は向上しますが、最良の場合でも半径50〜100m程度になるでしょう。\nまとめ # 本記事では、電話ネットワークの仕組み、ログの保存方法（およびそこに含まれる情報）、そして携帯電話の位置をリアルタイムで特定する方法について説明しました。これらを踏まえると、接続可能な場所で電源の入った携帯電話を持ち歩いている限り、何らかの痕跡を残すことになります。唯一の対策は、携帯電話を持たないか、可能な限り電源を切っておくことです（その場合、利便性は大幅に低下しますが）。\nこのトピックに興味がある方は、記事末尾にリンクされている各種ソースをご確認ください。また、IMSI-catcher（携帯電話の傍受装置）なども調べてみてください。\n出典と追加リソース # Comparison of mobile phone standards (Wikipedia) Cellular network (Wikipedia) How to Find a Cell Phone Tower Near You (Web Boost) Difference between GSM and GPRS (Geeks for Geeks) Introducing radio spectrum (GSMA) Difference between TDMA and CDMA (Geeks for Geeks) March 2019 FBI CAST Cellular Analysis \u0026amp; Geo-Location Field Resource Guide (FBI) Mobile Networks - Handover (YouTube - Mario Neugabauer) Base Station Controller (BSC) (Techopedia) Mobile Switching Centre (Olivia Wireless) Mobile Switching Center (MSC) (Techopedia) What Is a Mobile Switching Center (MSC)? (Emnify) Home Location Register (HLR) (Olivia Wireless) Visitor Location Register (VLR) (Techopedia) Cellular Analysis for Legal Professionals (Guardian Digital Forensics) CRIMINAL DEFENSE - LOCATION DATA Advanced Cell Site Analysis Using Per Call Measurement Data (IRIS LLC) Scientific Working Group on Digital Evidence (SWGDE) Cell Phone Investigations™ (Aaron Edens Police Technical) Cellular Records Review and Analysis Part 1: AT\u0026amp;T CELLULAR SERVICE PROVIDER (IRIS LLC) CELL-PHONE TECHNOLOGY (Wikieducator) Cellular Provider Record Retention Periods (Forensic Focus) Gotta Catch \u0026lsquo;Em All: Understanding How IMSI-Catchers Exploit Cell Networks (EFF) 画像クレジット # カバー写真：Kabiur Rahman Riyad（Unsplash） ","date":"2021年11月25日","externalUrl":null,"permalink":"/ja/posts/2021/cell-towers-how-they-can-be-used-to-track-your-movements-now-and-in-the-past/","section":"記事","summary":"注意: この記事はLLMによって英語から翻訳されたものです。正確性については保証いたしかねますので、あらかじめご了承ください。英語の原文はこちら。\n","title":"基地局：あなたの移動を追跡するために使われる方法（現在と過去）","type":"posts"},{"content":"This week, the Taproot Bitcoin update went live, an Iran based APT is targetting the US and Australia\u0026rsquo;s critical infrastructures, the US DoJ announced that it will sell some cryptocurrencies seized from the Bitconnect scam, and authorities arrested the CEO of an exchange accused to help the Ryuk ransomware gang to launder its profits. Read our 15th weekly news recap to find more.\nThis week\u0026rsquo;s recap covers a shorter period than usual as it only goes up to Thursday news.\nAPT # Taking Action Against Hackers in Pakistan and Syria (Facebook Blog)\nFacebook announced that it disabled accounts and blocked domain names related to four malicious groups (in August and October). One of them originating from Pakistan (SideCopy) is said to be targeting people connected with the previous Afghan government, military and law enforcement in Kaboul. The three other groups are allegedly originating from Syria (linked to the Syrian governmental Air Force Intelligence) and are targeting journalists, humanitarian organizations, and anti-regime forces. Facebook said it warned the owners of the accounts targetted by the attacks.\nUNC1151 Assessed with High Confidence to have Links to Belarus, Ghostwriter Campaign Aligned with Belarusian Government Interests (Mandiant)\nMandiant assessed that UNC1151, an APT involved in cyber-espionage, provided support to the (pro-Russia/anti-NATO) Ghostwriter influence campaign and has some links to the Belarusian government (and possibly its military). The company also said that Russian involvement can\u0026rsquo;t be ruled out, even if there is no direct evidence that they are involved at the moment.\nIranian Government-Sponsored APT Cyber Actors Exploiting Microsoft Exchange and Fortinet Vulnerabilities in Furtherance of Malicious Activities (CISA)\nThe US Cybersecurity \u0026amp; Infrastructure Agency issued an advisory stating that an Iran-related APT is actively exploiting Fortinet and Microsoft exchange ProxyShell vulnerabilities since at least March and October this year. US and Australian critical infrastructure sectors (including transportation and health care) are said to be targeted.\nFBI: An APT abused a zero-day in FatPipe VPNs for six months (The Record)\nThe FBI discovered that an APT has been exploiting a 0-day vulnerability affecting FatPipe VPN devices since at least May 2021. The vulnerability allows to \u0026ldquo;gain access to an unrestricted file upload function to drop a web shell for exploitation activity with root access\u0026rdquo;, the FBI said.\nCryptocurrencies # Taproot Soft-Fork: What Does it Bring to Bitcoin? (Ixonae on Security)\nThe Taproot soft fork was enabled on Sunday 14th. It is the first major update to Bitcoin since SegWit in 2017 and ships three Bitcoin Improvement Proposals (BIP340, BIP341, and BIP342) including Schnorr signatures, MAST, and Tapscript.\nSweden Demands the EU Ban Proof of Work Crypto Mining (Darknet Live)\nSweden\u0026rsquo;s General Directors of the Financial Supervisory Authority and of the Environmental Protection Agency asked for proof of work-based cryptocurrencies to be banned from the EU. They argue that “the consumer risks are significant, and crypto-assets are commonly used for criminal purposes [and] have a significant negative impact on the climate as mining leads to both large emissions of greenhouse gases.\u0026quot;\nVictims of $2 billion BitConnect fraud to get back $57 million (Bleeping Computer)\nUS authorities announced that they would start liquidating about USD 67 millions worth of cryptocurrencies seized from the BitConnect scam, and it will use the funds to refund victims. Between 2016 and 2018, BitConnect admins received about USD 2 billion.\nDarknet # An investigation into SS7 Exploitation Services on the Dark Web (SOS Intelligence)\nThe Signaling System 7 is a telecommunications protocol used to define how the various elements of the telephone network exchange information. The protocol is not very secure, and it is possible to intercept and spoof calls and SMS. Researchers found out there are 4 services that are said to offer this kind of service on the dark web but are assessed to be fake. Altogether these websites are estimated to have gained at least a few hundred dollars.\nMisc # Hoax Email Blast Abused Poor Coding in FBI Website (Krebs on Security)\nTaking advantage of flaws in an FBI related website, a hacker managed to send hoax email messages from the FBI\u0026rsquo;s servers and with their domain name fbi.gov. The emails sent claimed that the receivers were subject to a \u0026ldquo;sophisticated chain attack [\u0026hellip; which could] cause server damage to [their] infrastructure.\u0026rdquo;\nIntel confirms two local security issues that affect many Intel processor generations (GHacks)\nIntel published securities advisories related to two critical CVEs which might allow escalation of privileges via local access. Both can be addressed with a BIOS update.\nEmotet botnet returns after law enforcement mass-uninstall operation (The Record)\nEmotet, a botnet used as a Crime-as-a-Service platform by various cyber criminals came back to life recently; ten months after a big international police operation shut it down.\nSecure development: New and improved Linux Random Number Generator ready for testing (The Daily Swig)\nAfter five years of development, the Linux Random Number Generator is ready to be tested as a replacement for /dev/urandom. It offers a 130% performance improvement compared to the existing function and uses several computing functions as a source of entropy.\nUK government publishes guidance on security rules for tech takeovers (The Register)\nThe UK government published new guidelines on what technologies might fall within the National Security and Investment act (passed in January 2021) which gives ministers the power to halt mergers and acquisitions when they present a security risk to the country. There are 17 listed technologies such as advanced materials, AI, computer hardware, or transport.\nPrivacy # Surveillance firm pays $1 million fine after \u0026lsquo;spy van\u0026rsquo; scandal (Bleeping Computer)\nWiSpear, an intelligence company, paid about USD 1 million in fines to the Cyprus authorities. In 2019, the company used a \u0026ldquo;spy van\u0026rdquo; to collect MAC addresses and IMSIs of nearby devices.\nAdult cam site StripChat exposes the data of millions of users and cam models (The Record)\nA researcher discovered a data leak coming from StripChat (one of the Internet\u0026rsquo;s top 5 adult cam sites). Between the 4th and the 7th of November, an unprotected Elastic Search cluster exposed 64 million users data, 410,000 models data, and 134 million transaction information.\n7 million Robinhood user email addresses for sale on hacker forum (Bleeping Computer)\nRobinhood - a trading service - announced last week that it suffered unauthorized access to its systems. About 7 million users personal data (email, full name, date of birth, and zip code) are now on sale for a minimum of \u0026ldquo;5 figures\u0026rdquo; (more than USD 10,000). The seller also claims to have more sensitive information for 310 customers, including some identification cards. This wasn\u0026rsquo;t announced by Robinhood when they made the breach public. The same threat actor is also reportedly behind this week\u0026rsquo;s FBI hack.\nRansomware # US detains crypto-exchange exec for helping Ryuk ransomware gang launder profits (The Record)\nA Russian national and co-founder of two cryptocurrencies exchanges was arrested in the Netherland by the FBI\u0026rsquo;s request after being accused of money laundering. Allegedly, USD 400,000 worth of cryptocurrencies assets passed through one of his accounts in 2018.\nInteresting Reads # Instagram, tricked into thinking its boss was dead, locked him out of his own account (Bitdefender) HTML smuggling surges: Highly evasive loader technique increasingly used in banking malware, targeted attacks (Microsoft Security Blog) Catching Transparent Phish: Analyzing and Detecting MITM Phishing Toolkits Uncovering MosesStaff techniques: Ideology over Money (Checkpoint) SharkBot: a new generation of Android Trojans is targeting banks in Europe (Cleafy) Evolving trends in Iranian threat actor activity - MSTIC presentation at CyberWarCon 2021 (Microsoft) ","date":"2021-11-19","externalUrl":null,"permalink":"/blog/weekly-news-recap-15/","section":"News","summary":"This week, the Taproot Bitcoin update went live, an Iran based APT is targetting the US and Australia’s critical infrastructures, the US DoJ announced that it will sell some cryptocurrencies seized from the Bitconnect scam, and authorities arrested the CEO of an exchange accused to help the Ryuk ransomware gang to launder its profits. Read our 15th weekly news recap to find more.\n","title":"Weekly News Recap 15","type":"news"},{"content":"注意: この記事はLLMによって英語から翻訳されたものです。正確性については保証いたしかねますので、あらかじめご了承ください。英語の原文はこちら。\nTaprootソフトフォークは、11月14日（日曜日）にブロック709,634でついに有効化されました。これは2017年のSegWit以来、Bitcoinにとって初の大型アップデートです。その実装は今年6月（ブロック687,284）に決定されました。2週間の期間中にマイニングされたブロックの90%がアップデートへの支持を表明したためです（正確には、2,016ブロック中1,815ブロックがアップデートを支持することが要件でした。）\nTaprootは、Schnorr署名、MAST、Tapscriptを含む3つのBitcoin改善提案（BIP340、BIP341、BIP342）を搭載しています。この記事では、それぞれの仕組みとBitcoinにもたらすものについて解説します。なお、これらの変更は後方互換性があります（つまり、旧来のアドレスタイプも引き続き使用できます。）\nSchnorr署名 # これまでBitcoinはトランザクションの認証にECDSA署名（secp256k1曲線）とSHA256ハッシュを使用してきました。BIP 340は、Schnorrを用いた新しい署名方式を導入します。この新しい仕組みも楕円曲線暗号を使用しますが、主な利点はネイティブなマルチシグのサポートです。\n現在の仕組みでは、マルチシグアドレスからのトランザクションには複数の署名が付与されます。しかし、Schnorrは線形性を持つため、複数の署名を1つに集約すること（「鍵集約」）が可能です。これにより以下の利点が得られます：\nマルチシグトランザクションは、参加者の数に関係なく常に同じサイズの単一署名となり、パフォーマンスが向上します（複数ではなく1つの署名のみを検証すればよく、SchnorrはECDSAより高速です。）また、サイズが小さくなるため、ネットワーク容量の面でも有利です。 Schnorrでは、全員がトランザクションに署名する限り、アドレスがマルチシグかどうか、また何人の参加者が関与したかを知ることができません。 レガシーな3/3 P2SHアドレスの場合、実際の条件でどのように動作するか詳しく見てみましょう。スキーマの左側はアドレスの作成プロセスを、右側はこのアドレスに送金された資金の使用方法を示しています。\n3/3マルチシグアドレスの従来の作成方法と資金の使用方法 Bitcoinに詳しい方にとって、前述のスキーマは驚くものではないでしょう。資金が使用される際、スクリプトが署名A、B、Cを要求していたことが確認できます（アドレスが2/3マルチシグであっても、3つの期待される鍵がすべて公開されます。）\n次に、Taprootアドレスでの動作を見てみましょう。前と同様に、スキーマの左側はアドレスの作成を、右側は資金の使用方法を示しています。\n3/3マルチシグアドレスの作成と資金の使用 この場合、ブロックチェーン上に存在するのは、最初のステップで生成された公開鍵に対応する集約署名のみです。そのため、トランザクションを見ただけでは資金がマルチシグアドレスに保管されていたことを知ることはできません。アドレスが2/3署名を許可している場合は若干異なりますが、これについても後で詳しく説明します。\nMerkleブランチ # BIP 341は、pay to scriptトランザクションの方式としてMAST（Merkelized Abstract Syntax Tree）を導入します。従来は、P2SHアドレスに送金された資金を使用するために、完成したスクリプト全体を共有する必要がありました。新しいアプローチでは、実際に使用されたスクリプトの部分のみが公開されます。これには2つの利点があります：ブロックチェーン上の必要スペースが削減されること、そしてトランザクションに参加するエンティティのプライバシーが向上することです。以下のスキーマを例として見てみましょう。これは4つの公開鍵（1、2、3、4）を含むスクリプトを示しており、鍵1、2、3のうち2つの署名で送金するか、現在のブロックがx以上の場合に鍵4の単一署名で送金することを可能にしています。\nMASTスクリプトの例 鍵1と2を使って資金を送金したいとしましょう。この場合、秘密鍵1と2でトランザクションに署名し、スクリプト1と緑色の要素を公開します。これにより、スクリプト1の条件が満たされ、ルートハッシュ（アドレス作成時に使用されたもの）を再計算できるため、スクリプト1が資金の使用に許可されていることが証明されます。\nP2TR (Pay-To-Taproot) # 前述の変更をサポートするために、BIP341はSegWitバージョン1の支出ルール（2017年のSegWitはバージョン0でした）と、新しいPay-To-Taprootアドレスタイプ（P2TR）を導入します。これらのアドレスはbc1qではなくbc1qで始まります。\nP2TRの利点の1つは、スクリプトへの支払いにも公開鍵への支払いにも使用でき、資金が使用されるまでアドレスがどちらであるか判別できないことです。実際には、資金が使用された後でも、スマートコントラクトに関与するすべての当事者がスクリプトのルールに従うのではなくトランザクションに署名するオプションがあるため、スクリプトが存在していたかどうかを知ることができない場合があります。\nTapscript # BIP342によって有効化されるTapscriptは、Taprootアップデートの最後の部分であり、他の変更に対応するためのスクリプト構造の改善を含んでいます。特に、BIP342は以下を行います：\nOP_CHECKSIGとOP_CHECKSIGVERIFYをSchnorr署名で使用可能に変更 OP_CHECKMULTISIGとOP_CHECKMULTISIGVERIFYを無効化し、OP_CHECKSIGADDで置き換え スクリプトの最大サイズ10,000バイトの制限を撤廃し、ブロックウェイト制限のみに制限 さらに、将来のスクリプト改善を容易にするために、Tapscriptには機能追加に使用できる新しいオペコード（トランザクション命令）が含まれています。コードの番号は80、98、126-129、131-134、137-138、141-142、149-153、187-254で、現時点ではこれらのいずれかが検出されると、検証は成功し他のルールは無視されます。オペコードはOP_SUCCESSxと名付けられています（例：OP_SUCCCESS80、OP_SUCCESS98、\u0026hellip;、OP_SUCCESS254）\nP2TRのサポート # Bitcoin.itには、主要なBitcoinウォレットやサービスの一覧と、それらが受金に対応しているアドレスタイプが掲載されています。現時点では、ほとんどがP2TRアドレスの実装に関する具体的な計画を公表していないようです。注目すべきは、Trezorが今年12月までの実装を計画していることです。\n出典 # BIP 0340 (Bitcoin GitHub) BIP 0341 (Bitcoin GitHub) BIP 0342 (Bitcoin GitHub) Technology roadmap - Schnorr signatures and signature aggregation (Bitcoin Core) [bitcoin-dev] Taproot: Privacy preserving switchable scripting (Bitcoin Mailling List) MAST, Taproot, Graftroot (MIT OpenSourceWare - Youtube) Create Raw Multi-Sig P2SH Bitcoin Transaction in Golang (Mahdi Darabi) Locked In: Bitcoin\u0026rsquo;s Taproot Upgrade Gets Its 90% Mandate (CoinDesk) クレジット # カバー写真：Executium（Unsplash） ","date":"2021年11月17日","externalUrl":null,"permalink":"/ja/posts/2021/taproot-soft-fork-what-does-it-bring-to-bitcoin/","section":"記事","summary":"注意: この記事はLLMによって英語から翻訳されたものです。正確性については保証いたしかねますので、あらかじめご了承ください。英語の原文はこちら。\n","title":"Taprootソフトフォーク：Bitcoinに何をもたらすのか？","type":"posts"},{"content":"This week, multiple arrests occurred in relation to the REvil ransomware, Tor finally totally depreciated v2 services, and North Korea-related APT are trying to hack researchers again. Read our weekly news recap to find out more.\nYou probably heard about the Assembly language, which is among other things used to do reverse engineering. If you\u0026rsquo;re curious to learn the basics, or just to see what it looks like, you can take a look at our latest article.\nAPT # China says a foreign spy agency hacked its airlines, stole passenger records (The Record)\nThe Chinese authorities announced that a foreign intelligence agency hacked multiple Chinese airlines in 2020 to steal passengers travel records. They did not name any company or agency.\nState hackers breach defense, energy, healthcare orgs worldwide (Bleeping Computer)\nThe cybersecurity firm Palo Alto Networks warned of an attack targeting vulnerable Zoho\u0026rsquo;s enterprise password management installations that might be carried out by the China-related APT27. Over 11,000 servers were found to be vulnerable, and the attackers might have targeted more than 370 in the US alone.\nNorth Korean attackers use malicious blogs to deliver malware to high-profile South Korean targets (Cisco - Talos)\nCisco Talos observed a malware campaign carried on by Kimsuky, a North Korea-related APT. The group uses malicious Blogspot blogs to deliver malware and targets South Korea think tanks focused on military, political and diplomatic topics related to North Korea, Russian, China, and the US.\nLazarus hackers target researchers with trojanized IDA Pro (Bleeping Computer)\nThe North Korean related Lazarus APT was found to be distributing a pirated version of the IDA Pro reverse engineering software containing a trojan. Earlier this year, the same group created social media accounts and pretended to be security researchers to try to hack actual ones.\nmacOS zero-day deployed via Hong Kong pro-democracy news sites (The Record)\nThe Google Threat Analysis Group discovered a watering hole attack campaign using Hong Kong pro-democracy websites and going on since at least August this year. The attack was using 0day flaws to target iOS and macOS systems. Google did not manage to attribute the attack but assessed that it was likely be state-backed.\nCryptocurrencies # The FBI Warns of Fraudulent Schemes Leveraging Cryptocurrency ATMs and QR Codes to Facilitate Payment (IC3)\nThe FBI warned of increased usage of scams leveraging cryptocurrencies ATMs and QR codes to facilitate payments. Scammers would often give a QR code associated with their cryptocurrencies wallet, and ask victims to deposit some cash.\nBitcoin soft fork days away as Taproot upgrade closes in (Cointelegraph)\nTaproot, the first major Bitcoin update since 2017 is set to be activated in a soft fork this week. It will require 90% of the miners on board, and introduce Merkelized Abstract Syntax Tree and Schnorr Signatures. The activation process can be followed here.\nTreasury Continues to Counter Ransomware as Part of Whole-of-Government Effort; Sanctions Ransomware Operators and Virtual Currency Exchange (US Departement of Treasury)\nThe US Treasury sanctioned Chatex, a cryptocurrencies exchange, for facilitating financial transactions for ransomware actors. The authorities also said that more than half of the exchange\u0026rsquo;s activity was directly linked to illegal activities such as darknet markets. IZIBITS OU, Chatextech SIA, and Hightrade Finance Ltd were also punished by OFAC sanctions for the material support they provided to Chatex.\nDarknet # Wallstreet Vendor “RaptureReloaded” Sentenced to Prison (Darknetlive)\nA Wall Street market vendor was sentenced to 96 months in prison for selling various drugs. She was caught after paying for drug packages with her credit card and using her real phone number and email address to register various accounts.\nNew Release: Tor Browser 11.0 (Tor Blog)\nTor Browser 11 was released on Monday, and includes the final depreciation of Onion Services v2\nGeneral Security # Microsoft Patch Tuesday security updates for November 2021 fix 2 Zero-Days actively exploited (Security Affairs)\nMicrosoft released a security update addressing 55 vulnerabilities. 2 of them related to Exchange (2016 and 2019) and Excel are actively exploited.\nSunsetting Chrome sync for Chrome M48 and older (Google)\nGoogle announced that Chome sync will be disabled from Chrome browsers using version M48 or lower.\n\u0026lsquo;Trojan Source\u0026rsquo; Bug Threatens the Security of All Code (Krebs on Security)\nResearchers at the University of Cambridge discovered a bug that could allow attackers to sneak vulnerabilities into a source code just by adding Bidi override characters (a feature of Unicode to manage scripts with different writing directions) into strings or comments.\nPrivacy # Robinhood Announces Data Security Incident (Robinhood)\nRobinhood (a trading platform) was hacked after a support employee got social-engineered. According to the company, the unauthorized party is believed to have gained access to five million users\u0026rsquo; email addresses and full names. More personal details of about 310 users were also accessed.\nGoogle scores big win as court blocks iPhone tracking lawsuit (We Live Security)\nThe UK\u0026rsquo;s Supreme Court dismissed a mass action lawsuit where Google was accused of tracking iPhone users without their knowledge or consent for commercial purposes. The court ruled that a damages compensation couldn\u0026rsquo;t be awarded without proof that the affected users suffered material damage or mental distress.\nPhilippines gov takes down passport application website amid privacy leak fears (The Register)\nThe Philippines\u0026rsquo; Department of Foreign Affairs disabled its online passport application tracker over data privacy issues concerns. It said that some information might have been exposed and that an internal audit is in progress.\nRansomware # Five affiliates to Sodinokibi/REvil unplugged (Europol)\nEuropol announced that Romanian and Kuwaiti law enforcement agencies caught two suspected believed to be Sodinobiki/REvil affiliates, and one believed to be affiliated to GrandGrab. In total, they are suspected of being involved in 7,000 attacks, asking more than EUR 200 million in ransoms.\nREvil Ransom Arrest, $6M Seizure, and $10M Reward (Krebs on Security)\nA Russian national was indicted in the US after being arrested in Poland in October for being involved with REvil. The DOJ also seized USD 6.1 million in cryptocurrencies.\nInteresting Reads # Who Controls the Internet? And should they? (berthub.eu) Void Balaur - Tracking a Cybernercenary\u0026rsquo;s Activities (Trend Micro) THREAT ANALYSIS REPORT: From Shatak Emails to the Conti Ransomware (Cyber Reason) European Union serious and organised crime threat assessment (Europol) ","date":"2021-11-12","externalUrl":null,"permalink":"/blog/weekly-news-recap-14/","section":"News","summary":"This week, multiple arrests occurred in relation to the REvil ransomware, Tor finally totally depreciated v2 services, and North Korea-related APT are trying to hack researchers again. Read our weekly news recap to find out more.\n","title":"Weekly News Recap 14","type":"news"},{"content":"注意: この記事はLLMによって英語から翻訳されたものです。正確性については保証いたしかねますので、あらかじめご了承ください。英語の原文はこちら。\nアセンブリ言語（ASM）は、最も低レベルなプログラミング言語です。CPUの命令コードに非常に近く、そのため多種多様なアセンブリ言語が存在し、それぞれが特定のコンピュータアーキテクチャ向けに設計されています。ASMは、パフォーマンスが重視されるプログラム、システムのブートコード、プログラムのリバースエンジニアリングなど、さまざまな場面で使用されています。\n本記事では、Intel x86アーキテクチャ向けのASM言語であるNASM（「Netwide Assembler」）について学びます。NASMは16ビット、32ビット、64ビットのプログラムを書くために使用でき、Linux向けの最も人気のあるアセンブラの一つとされています（MacやWindowsでも使用可能です）。\nこの記事では、NASMでコーディングを始めたり、リバースエンジニアリングのためにNASMコードを理解したりするために必要な知識のほとんどを網羅します。コーディング対象のオペレーティングシステムによって異なる部分もありますが、一般的な概念は同じですので、Linuxを使用する予定がない方にも本チュートリアルは役立つでしょう。\nご想像の通り、アセンブリは非常に広範で複雑なトピックであるため、すべてを100%カバーすることはできません。NASMについてさらに詳しく知りたい場合は、こちらのドキュメントを参照してください。\nNASMプログラムの構造 # まず、NASMで書かれた実際のコードを見てみましょう。以下のスニペットは「Hello World」コードで、いくつかの主要な概念とNASMコードの構造を紹介するために使用します。一部の概念については、後続のパートでより詳しく説明します。\nglobal _start section .text _start: mov rax, 1\t; Set the function to call (1 is write) mov rdi, 1\t; Set the first argument of write (fd 1) mov rsi, msg\t; Set the 2nd argument, the text to write mov rdx, msg.len\t; Set the 3rd argument, lengh to write syscall\t; Call write w/ previously defined things mov rax, 60\t; Set the function (syscall) exit (id 60) xor rdi, rdi\t; Set the exit return to be 0 syscall\t; Execute the syscall exit section .data msg: db\t\u0026#34;Hello, world!\u0026#34;,10\t; Assign \u0026#34;Hello, world!\\n\u0026#34; to the var msg .len: equ $ - msg\t; Assign len(msg) to msg.len まず、コードがセクションに分かれていることがわかります。この例では2つ（.textと.data）しかありませんが、使用できるセクションは他にもいくつかあります（ターゲットOSによって異なることに注意してください。たとえば、Windowsでは.textの代わりに.codeを使用します）。\n.textはASMコードを書くセクションです。rax、rdi、rsi、rdxはレジスタと呼ばれ、mov、syscall、xorは命令です。これらについては次のパートで説明します .dataはプログラム実行中に、初期化済みのグローバルおよびスタティックオブジェクトを静的に割り当てることができます .bssは未初期化のグローバルおよびスタティックオブジェクトのためのスペースを予約できます .rodataは.dataと同じですが、ここで宣言された変数は読み取り専用（つまり定数）になるという違いがあります 次に目立つのは_startとmsgの要素です。これらはラベルと呼ばれます。_startは、CやC++のような高級言語におけるmain関数に相当します。ここからプログラムの実行が開始されます。また、ラベルを使って関数を定義したり、ジャンプ先のポイントとして使用することもできます（Cのgotoに似ています - 詳細は後述します）。ラベルは、この例のmsgのように変数の定義にも使用されます。これについても後ほど詳しく見ていきます。\nmsgの下にある.lenに気づくでしょう。ピリオドで始まるラベルはローカルラベルと呼ばれ、直前のローカルでないラベルに関連付けられます。この例では、msg.lenとして呼び出されます。\nコード自体は十分に明確だと思いますが、;はコメントを入れるために使用されます。;の後に書かれたものはすべて解釈されません。\nレジスタ # レジスタはプロセッサ内部に保持される記憶領域であり、非常に高速です。17個あり、一部には特定の用途が割り当てられています（たとえば、関数に引数を渡すなど）。技術的には、すべてのレジスタを自由に変更できます（ripを除く）が、どのように使用すべきかについての規約があります。\n64ビット 32ビット 16ビット 8ビット 説明 rax eax ax al システムコール番号を提供する\n関数の戻り値を提供する\nCaller-saveレジスタ rcx ecx cx cl 第4関数パラメータ\nCaller-saveレジスタ rdx edx dx dl 第3関数パラメータ\nCaller-saveレジスタ rbx ebx bx bl Callee-saveレジスタ rsi esi si sil 第2関数パラメータ\nCaller-saveレジスタ\n文字列命令のソースポインタ rdi edi di dil 第1関数パラメータ\nCaller-saveレジスタ rsp esp sp spl スタックポインタ（最上位要素）\nCaller-saveレジスタ rbp ebp bp bpl スタックベースポインタ\nCallee-saveレジスタ r8 r8d r8w r8b 第5関数パラメータ\nCaller-saveレジスタ r9 r9d r9w r9b 第6関数パラメータ\nCaller-saveレジスタ r10 r10d r10w r10b Caller-saveレジスタ r11 r11d r11w r11b Caller-saveレジスタ r12 r12d r12w r12b Callee-saveレジスタ r13 r13d r13w r13b Callee-saveレジスタ r14 r14d r14w r14b Callee-saveレジスタ r15 r15d r15w r15b Callee-saveレジスタ rip eip 次に実行される命令（ripはプログラマが直接アクセスすることはできません） 関数にパラメータを渡すために使用できるレジスタは6つしかないことに気づくでしょう。これらは整数またはポインタのみを渡すことができます。64ビットより大きいパラメータを渡す場合や、6つ以上のパラメータを渡す場合は、スタックにプッシュする必要があり、最初の引数がスタックの最上位に配置されます。\nまた、「Callee-saved」と「Caller-saved」の2種類のレジスタがあることにも気づくでしょう。これは厳密な規則というよりも規約ですが、その意味は以下の通りです。\nCaller-saved（揮発性）レジスタは汎用目的で、一時的な情報を保持するためのものです。任意のサブルーチンによって書き換えられる可能性があります Callee-saved（非揮発性）レジスタは長期間保持する値を格納するためのもので、関数呼び出しをまたいで保持されるべきです。つまり、関数はこれらのレジスタを使用する場合、関数の開始時にスタックにバックアップし、終了時にそこから復元することが求められます 命令 # NASMにおける次の重要な概念は命令です。命令とは、コンピュータに何をすべきかを伝えるためのキーワードです。このパートでは主要な命令を一覧で紹介します。\nデータの移動 # 命令 効果 mov dest, src srcの値をdestにコピーする 関数 # 命令 効果 syscall 関数を呼び出す\n使用方法の詳細は、最初のパートのコードまたは「ASMコードの実行とより複雑なファイル構造」パートを参照してください。このページに一般的な関数のコードと引数が一覧されています int code 割り込み信号を送信する。syscallの別の方法となり得る\nWikipediaのLinuxの例を参照。Linux x32の関数呼び出しはsys/syscall.hで定義されています call label 定義されたラベル（つまり関数 - 別のファイルから来る場合もある）を呼び出す push item アイテムをスタックにプッシュする pull item スタックからアイテムをレジスタにプルする 算術演算 # 命令 効果 inc dest dest = dest + 1 dec dest dest = dest - 1 add dest, src dest = dest + src sub dest, src dest = dest - src shr dest, k dest = dest \u0026gt;\u0026gt; k shl dest, k dest = dest \u0026lt;\u0026lt; k xor dest, src dest = dest ^ src shl dest, src dest = dest \u0026amp; src shl dest, src dest = dest | src ジャンプと条件分岐 # 命令 効果 jmp location 指定された場所にジャンプする（レジスタまたはラベル） test reg, const レジスタと定数をビット単位で比較する。jzまたはjnzが続く必要がある jz label ビットが0でなかった場合、ラベルにジャンプする jnz label ビットが0だった場合、ラベルにジャンプする cmp x, y xとyを比較する。jn、jne、jg、jge、ji、jilのいずれかが続く必要がある je label xがyと等しい場合、ラベルにジャンプする jne label xがyと異なる場合、ラベルにジャンプする jg label xがyより大きい場合、ラベルにジャンプする ji label xがyより小さい場合、ラベルにジャンプする jge label xがy以上の場合、ラベルにジャンプする jil label xがy以下の場合、ラベルにジャンプする その他の例については、非常に便利なこのチートシートをご覧ください。\nデータ型 # この記事の冒頭の例で、msg: db\t\u0026quot;Hello, world!,10\u0026quot;というコード行がありました。これは変数msgにHello, world!\\nが割り当てられていることを説明しました。ここでのdbは変数の型です。高級言語では数値を格納するためのintや、一文字を格納するためのcharなどがありますが、NASMの型は単にデータがどれだけのスペースを占めるかを示すために使用されます。利用可能な型は以下の表に一覧されています。\nデータ型 サフィックス データ割り当て サイズ（ビット） Byte db resb 8 Word dw resw 16 Double word dd resd 32 Quad word dq resq 64 Ten bytes dt rest 80 Octo Word do reso 128 Y Word dy resy 256 Z Word dz resz 512 先ほどの例ではdbサフィックスを使用していますが、これは1文字が8ビットであるため適切です。\n以前見なかったものの一つにデータ割り当ての列があります。これは.bssセクションで、どれだけのスペースを確保したいかを定義するために使用されます。例えば：\n.bss buffer: resb 64 ; reserve 64 bytes wordvar: resw 1 ; reserve a word realarray: resq 10 ; array of ten reals NASMでは値の書き方が複数あることに注意してください。以下のコードは、使用できるさまざまな方法を示しています。10進数以外の基数で書く場合、値にはサフィックス（例：16進数のh、2進数のbなど）またはプレフィックス（例：16進数の0x、8進数の0oなど）が付きます。詳細はドキュメントの3.4.1節を参照してください。\ndb 0x55 ; just the byte 0x55 db 0x55,0x56,0x57 ; three bytes in succession db \u0026#39;a\u0026#39;,0x55 ; character constants are OK db \u0026#39;hello\u0026#39;,13,10,\u0026#39;$\u0026#39; ; so are string constants dw 0x1234 ; 0x34 0x12 dw \u0026#39;a\u0026#39; ; 0x61 0x00 (it is just a number) dw \u0026#39;ab\u0026#39; ; 0x61 0x62 (character constant) dw \u0026#39;abc\u0026#39; ; 0x61 0x62 0x63 0x00 (string) dd 0x12345678 ; 0x78 0x56 0x34 0x12 dd 1.234567e20 ; floating-point constant dq 0x123456789abcdef0 ; eight byte constant dq 1.234567e20 ; double-precision float dt 1.234567e20 ; extended-precision float mov ax,200 ; decimal mov ax,0200 ; still decimal mov ax,0200d ; explicitly decimal mov ax,0d200 ; also decimal mov ax,0c8h ; hex mov ax,$0c8 ; hex again: the 0 is required mov ax,0xc8 ; hex yet again mov ax,0hc8 ; still hex mov ax,310q ; octal mov ax,310o ; octal again mov ax,0o310 ; octal yet again mov ax,0q310 ; octal yet again mov ax,11001000b ; binary mov ax,1100_1000b ; same binary constant mov ax,1100_1000y ; same binary constant once more mov ax,0b1100_1000 ; same binary constant yet again mov ax,0y1100_1000 ; same binary constant yet again NASMにおけるもう一つの重要な概念は実効アドレスです。これはメモリを参照する命令のオペランドです。構文は角括弧で囲まれた式です。以下のコードスニペットは使用方法のいくつかの例を示しています。\n; Accessing a variable msg ; The msg variable address byte[msg] ; The value of the first byte of the variable msg byte[msg + 1] ; The value of the second byte of the msg variable word[msg] ; The value of the first two bytes of the msg variable ; Various operations cmp BYTE [rdi], 0h ; Check if the first byte of rdi is 0h このパートで最後に触れたいのは、最初の例にあった.len: equ $ - msgの部分です。\nequはシンボルを定数値として定義するために使用されます。使用する際は、常にラベルに値を割り当てるために使います。定義は絶対的で、後から変更することはできません $は現在の位置のアドレスです。直前にmsgを定義したので、msgの長さは現在のアドレス - msgのアドレスで得られるバイト数の差であることがわかります ASMコードの実行とより複雑なファイル構造 # この記事の締めくくりとして、ASMで短いプログラムを書きます。プログラムの引数を取得し、それらとそのサイズを表示します。例として、strlen関数をmainとは別のファイルに書きます。\nglobal my_strlen:function\t; We declare the label as a global function section .text my_strlen:\t; This is the function we will call later xor rax, rax\t; We set the return value as 0 while: cmp BYTE[rdi], 0h\t; If this is the end of the string (\\0) je end\t; Then we jump to the label end inc rax\t; We increment the return value by one inc rdi\t; We continue to the next char in the string jmp while\t; We jump to the label while (start of the loop) end: ret\t; We reached the end of the string, return rax ここまで読んできた方なら、my_strlen関数の内容に驚くことはないでしょう。以前触れなかったこととして、別のファイルから呼び出せるようにするには、ラベルをグローバル関数として宣言する必要があります。それでは、プログラムのメイン部分を見てみましょう。\nglobal main ; We use the extern keyword to be able to use the functions defined outside of the file extern printf extern my_strlen section .text main: mov r10, rdi\t; We save argv into r10 mov r11, 0\t; We initialize r11 to 0 and will use it as a loop counter loop: ; rsi is the address of the first argv ; We use counter * 8 to be able to get the address of argv[r11] mov r12, qword [rsi + r11 * 8] ; We call our my_strlen function and give argv[r11] as an argument ; It will return the result in rax mov rdi, r12 call my_strlen ; The prinf call will overwrite some registers, we save them in the stack push r10 push r11 push r12 push rsi ; We set the printf arguments, and call the function mov rdi, printf_format mov rsi, r11 mov rdx, r12 mov rcx, rax mov rax, 0 ; We need to set this to 0 or the program will segfault call printf ; Once we called printf, we restore the registers from the stack pop r10 pop r11 pop r12 pop rsi ; We increase our counter and check that r11 \u0026lt; argc. If so, we jump to the loop label inc r11 cmp r10, r11 jg loop ; We call exit(0) mov rax, 60 xor rdi, rdi syscall section .data ; The string we will pass to printf as required by the prototype ; Unless write in the first example, we won\u0026#39;t give printf the numbers of characters to write, so we need to string to end with \u0026#39;\\0\u0026#39; printf_format: db \u0026#34;The argument number %d (\u0026#39;%s\u0026#39;) is %d characters long.\u0026#34;,10,0 次のようにしてプログラムをコンパイルでき、期待通りの出力が得られることを確認できます。\nuser@vm1:/tmp/test$ nasm -f elf64 main.S \u0026amp;\u0026amp; nasm -f elf64 function.S user@vm1:/tmp/test$ gcc -o a.out -no-pie main.o function.o user@vm1:/tmp/test$ ./a.out 1234 123 12345 The argument number 0 (\u0026#39;./a.out\u0026#39;) is 7 characters long. The argument number 1 (\u0026#39;1234\u0026#39;) is 4 characters long. The argument number 2 (\u0026#39;123\u0026#39;) is 3 characters long. The argument number 3 (\u0026#39;12345\u0026#39;) is 5 characters long. 今回も、ファイルの内容に驚くことはないはずですが、一点だけ例外があります。NASMプログラムは_startから始まるべきだと述べましたが、ここでのプログラムはmainから始まっています。その理由は、リンクにgccを使用しており、gccがmain関数を呼び出す前に_startを自動生成するためです。\n_startを使用したい場合は、ldでコンパイルすることもできます。ただし、printfのような外部関数を使用する場合は不便です（詳細はこちらを参照）。最初の例をコンパイルする場合は、ldで簡単にできます。\nuser@vm1:/tmp/test$ nasm -f elf64 example.S user@vm1:/tmp/test$ ld -o a.out example.o コンパイルに関して最後に気になるかもしれないのは、なぜGCCで-no-pieを使用しているかということです。理由は、UbuntuではGCCがデフォルトでPosition Independent Executables（PIE）を生成しますが、現在のコードはPIEと互換性がないためです。-no-pie引数はGCCにPIE実行ファイルを生成しないよう指示しますが、コード内でcall printf wrt ..pltとすることで、コードをPosition independentにすることもできます。\n参考資料 # Netwide Assembler (Wikipedia) x86 calling conventions (Wikipedia) x64 Cheat Sheet (Doeppner - brown.edu) Notes on x86-64 programming (filliatr - lri.fr) The Netwide Assembler: NASM (NASMドキュメント) NASM Intel x86 Assembly Language Cheat Sheet (Bencode.net) Intel® 64 and IA-32 Architectures Software Developer\u0026rsquo;s Manual (Intel) NASM Assembly Language Tutorials (asmtutor.com) NASM Tutorial (lmu.edu - ray) Linux System Call Table for x86_64 (blog.rchapman.org) NASM Manual - Local labels (tortall.net) クレジット # カバー写真：Markus Spiske（Unsplash） ","date":"2021年11月11日","externalUrl":null,"permalink":"/ja/posts/2021/getting-started-with-nasm-assembly/","section":"記事","summary":"アセンブリ言語（NASM）を使いたいけど、どこから始めればいいかわからない？複数の例を通じて基本をすべて解説し、すぐに始められるようにします","title":"NASMアセンブリ入門","type":"posts"},{"content":"As always, plenty of things happened this week, but no worries if you had no time to go through all the news. Our weekly news recap will keep you up to date on the latest APTs, Cryptocurrencies, Darknet, General Security, Privacy and Ransomware events.\nIn addition, we published an article about image forensic, presenting some techniques to use images for OSINT purposes and to determine if an image was photoshopped.\nAPT # Ukraine discloses identity of Gamaredon members, links it to Russia\u0026rsquo;s FSB (The Record)\nThe Ukrainian Secret Service revealed the identity of five members of the Gamaredon group and linked them to the Russian FSB. The group is suspected to be involved in more than 5,000 cyberattacks against at least 1,500 Ukrainian government systems.\nCryptocurrencies # \u0026lsquo;I Lost Everything\u0026rsquo;: How Squid Game Token Collapsed (CoinMarketCap)\nIn late November the Squid token was released with the promise for users to be able to enter a game where they could get rich (a bit like the TV show Squid Game after which it is named .) At some point, the coin\u0026rsquo;s price rose sharply (44,100% in 72h), holders were unable to sell, and the coin\u0026rsquo;s creator ran away with the money.\nDarknet # StExo Ordered to Forfeit £490,000 in Bitcoin (Darknetlive)\nA Liverpool court ordered White, one of the founders of SilkRoad 2.0, to hand over more than GBP 493,550 in Bitcoin. The man is in prison since 2019 where he was sentenced to 5 years for money laundering, possession of child pornography, and drug related offenses.\nGeneral Security # Phishing emails seemingly coming from a Kaspersky email address (Kaspersky)\nPhishing emails designed to steal Office 365 credentials were sent from the sm.kaspersky.com domain using Amazon SES (Simple Email Service) and a valid SES token that was issued to a third-party contractor during the testing of a website.\n2021 CWE Most Important Hardware Weaknesses (Mitre)\nFor the first time, MITRE published a list of the most important hardware weaknesses, in collaboration with the Hardware CWE Special Interest Group.\n\u0026lsquo;Destructive\u0026rsquo; cyberattack hits National Bank of Pakistan (The Record)\nThe National Bank of Pakistan is said to have suffered a \u0026ldquo;destructive\u0026rdquo; cyberattack impacting the bank\u0026rsquo;s ATM network, mobile apps, and servers used to interlink branches. No funds were reported stolen, and the attack is currently thought to be a sabotage attempt.\nTrick \u0026amp; Treat! 🎃 Paying Leets and Sweets for Linux Kernel privescs and k8s escapes (Google Blog)\nGoogle announced that it would raise its bounty from USD 31,337 to USD 50,337 for 0-day Linux kernel vulnerabilities, and exploits that use a new attack or technique. The program complements Android\u0026rsquo;s VRP rewards, so attacks that are also effective on Android will allow bigger bounties (an addition of up to USD 250,000.)\nUS Sanctions Could Cut Off NSO From Tech It Relies On (Vice)\nThe US government added the NSO group to a trade blacklist for providing spyware (Pegasus) to foreign governments that used them to target government officials, journalists, researchers, etc.\nAlleged Twitter hacker charged with theft of $784K in crypto via SIM swaps (Bleeping Computer)\nA suspected author of the Twitter hack of July 2020 (where multiple high profile accounts such as President Obama\u0026rsquo;s one were hacked to promote a cryptocurrency scam) was indicted this week by the US department of justice. He is accused of stealing USD 784,000 worth of cryptocurrencies using SIM swap attacks.\nPopular \u0026lsquo;coa\u0026rsquo; NPM library hijacked to steal user passwords (Bleeping Computer)\ncoa (9 million weekly downloads) and rc (14 million weekly downloads), two popular npm packages allowing to parse command-line arguments and configuration files, were hijacked to include password-stealing malware.\nPrivacy # Search warrant for Signal user data, Santa Clara County (Signal)\nA Californian court served a search warrant to Signal asking for various information such as a user\u0026rsquo;s name, contacts, call records, \u0026hellip; Signal was not able to provide anything else than the account\u0026rsquo;s creation and last connection timestamps.\nFacebook deletes 1 billion faceprints in Face Recognition shutdown (Bleeping Computer)\nFacebook announced that it will stop using its face recognition systems and will delete more than 1 billion people\u0026rsquo;s facial recognition profiles. Earlier this year, the company settled a class-action lawsuit for USD 650 million after being accused of collecting and storing users\u0026rsquo; biometric data without consent.\nRansomware # Europol announces “targeting” of 12 suspects in ransomware attacks (Naked Security)\nEuropol announced on October 29th that it arrested twelve individuals in an operation involving eight countries. These individuals are suspected of being involved in ransomware attacks, affecting more than 1,800 victims in 71 countries. Law enforcement also sized over USD 52,000 in cash and 5 luxury vehicles.\nRussian National Extradited to United States to Face Charges for Alleged Role in Cybercriminal Organization (US Department of Justice)\nA Russian national residing in both Southeast Asia and Russia appeared for the first time in front of a US court after its extraction from South Korea where he was arrested in February 2020. He is accused of being a member of a malicious group involved in deploying banking trojans and the ransomware Trickbot.\nCanadian province health care system disrupted by cyberattack (Bleeping Computer)\nThe Canadian province of Newfoundland and Labrador suffered a cyberattack on October 30th, causing multiple issues such as disrupting emails and 911 calls, preventing doctors from accessing and uploading medical results or registering new patients. The type of cyberattacks has not been officially announced but sources said it is ransomware.\nRansomware Actors Use Significant Financial Events and Stock Valuation to Facilitate Targeting and Extortion of Victims (FBI)\nThe FBI published a notification where it assesses that ransomware actors are \u0026ldquo;very likely using significant financial events, such as mergers and acquisitions, to target and leverage victim companies for ransomware infections.\u0026rdquo;\nBlackMatter ransomware says its shutting down due to pressure from local authorities (The Record)\nThe BlackMatter ransomware group announced on November 1st that they would be shutting down \u0026ldquo;due to certain unsolvable circumstances associated with pressure from the authorities.\u0026rdquo; Many experts expect that this is only part of a rebranding.\nThe \u0026lsquo;Groove\u0026rsquo; Ransomware Gang Was a Hoax (Krebs on Security)\nGroove, a union of ransomware gangs aiming to target US interests was announced on a cybercrime forum earlier in August. At this time, some security companies warned about the potential threat which turned out to be nothing else than a hoax designed to troll journalists and security firms.\nReward Offers for Information to Bring DarkSide Ransomware Variant Co-Conspirators to Justice (US Department of Justice)\nThe US Department of State announced that it would give a reward of up to USD 10 million for any information or location of key leaders of the Darkside ransomware group. In addition, it also offers up to USD 5 million for any information leading to the arrest and/or conviction (in any country) of any group member.\nIdentification of a new cybercriminal group : Lockean (ANSSI)\nThe National Cybersecurity Agency of France said it identified Lockean, a group active since at least June 2020 and that has a propensity to target French entities using multiple Ransomware-as-a-Service such as DoppelPaymer.\nInteresting Reads # The Demise of White House Market Will Shake Up the Dark Web (Wired) Governments Lack Plan to Deal with Fake Covid Vaccination Cards (DarknetMarkets) IDENTIFICATION OF A NEW CYBER CRIMINAL GROUP: LOCKEAN (ANSSI) ","date":"2021-11-05","externalUrl":null,"permalink":"/blog/weekly-news-recap-13/","section":"News","summary":"As always, plenty of things happened this week, but no worries if you had no time to go through all the news. Our weekly news recap will keep you up to date on the latest APTs, Cryptocurrencies, Darknet, General Security, Privacy and Ransomware events.\n","title":"Weekly News Recap 13","type":"news"},{"content":"注意: この記事はLLMによって英語から翻訳されたものです。正確性については保証いたしかねますので、あらかじめご了承ください。英語の原文はこちら。\n現在、誰もがスマートフォンを持ち歩き、写真を撮って共有しています。その結果、自宅の住所などの機密性の高い位置情報を意図せず共有してしまうことがあります。また、ソーシャルメディア上の偽情報の時代でもあり、多くの人が自分の見解を裏付けたり、自分の主張を助けるために（意図的かどうかにかかわらず）偽の画像を共有しています。\nこの記事では、これらの不快な事柄に対する対策と、それを活用して情報を取得する方法について説明します。まず画像のメタデータについて見ていき、次に画像が加工されたかどうかを判断するためのいくつかの技術について触れ、最後に写真の出典や撮影場所を特定するための方法をいくつか紹介します。\nEXIFとメタデータ # EXIFという言葉を聞いたことがあるかもしれません。EXIFはExchangeable Image File Formatの略で、画像に関連するメタデータの取り扱いを定義する規格です。\nEXIFは写真に多くのデータを保存できます。例えば：\n写真の撮影に使用されたカメラ（またはスマートフォン）のモデルや、動作しているOSのバージョン 写真が撮影・編集された日時 露出、焦点距離、ISO、解像度、フラッシュの使用有無などの各種技術情報 写真を撮影した場所のGPS緯度、経度、高度、さらに移動速度 この情報は、FotoForensics（さらに有用な情報も表示されます。ただし画像はオンラインに保存され、永続的なURLでアクセス可能になる点に注意してください）や、ローカル環境で動作するソフトウェア（Ghiroはローカルで実行できる優れたオープンソースの選択肢です）など、さまざまなツールで閲覧できます。このような情報はプロの写真家には有用かもしれませんが、ほとんどの人にとっては不必要に多くの個人情報を晒すことになります。インターネット上で写真を共有する際に、スマートフォンのモデルや写真の撮影場所（例えば自宅）を共有したいでしょうか？そうは思いません。ただし、NSAはこの情報を好んでいます。NSAは2008年にXKeyscoreシステムにEXIF追跡機能を追加する計画があったと報じられています。\n幸いなことに、自分を守るためにできることがあります。まず、AndroidとiOSでは、撮影する写真にGPS位置情報を含めないようにすることができます。残念ながら、撮影時にその他の情報の埋め込みを防ぐことはできないようですが、すべてのモデルやコンピュータOSにはこのデータを削除する組み込み機能や、メタデータなしで写真を共有する機能があります。ほとんどの人にとっては、最も機密性の高い情報であるGPS位置情報の削除で十分でしょう。\nなお、画像には他にもさまざまなメタデータを付加できます。例えば、XMP（Extensible Metadata Platform）はAdobeが作成したISO規格で、「デジタル文書やデータセットの標準化されたカスタムメタデータの作成、処理、および交換」のためのものです。XMPには（OSINTを行っている場合に）有用な情報も含まれており、画像に対して行われた操作の履歴や、使用されたソフトウェアエージェント、プラットフォームなどがわかります。\nこの画像は改変されたか？ # 基本を押さえたところで、もう少し深く掘り下げて、画像が改変された可能性があるかどうかを判断するためのさまざまな手法について見ていきましょう。そのために使える優れたソフトウェアが29a.chです。多くの有用なツールを提供しています。このパートでは、そのうち3つを紹介し、画像分析にどのように活用できるかを見ていきます。さらに多くの種類の分析（クローン検出など、非常に有用なものも多数あります）に興味がある方は、この記事の最後にある参考文献をご覧ください。\nELA - Error Level Analysis # この方法は、JPEGのような非可逆圧縮を使用するフォーマットで機能します。この種の圧縮は、ファイルサイズを削減するために不正確な近似を使用し、データの一部を破棄します。一方、可逆圧縮された画像（PNGなど）のピクセルは、圧縮後も同じ状態を保ちます。\nELAは、画像内の異なる圧縮レベルを表示することができます。通常の状況では、画像に表示されるさまざまな要素は類似しているはずですが、画像が変更された場合、いくつかの不一致が見つかることがあります。画像を分析するには、以下の要素に注目する必要があります：\n色に関係なく、平坦な表面は同じであるべき 類似したエッジは類似した明るさを持つべき 元の画像で類似して見えるテクスチャは、ELAフィルタでも同様に見えるべき テキストでの説明も良いですが、この場合は視覚的な例の方がわかりやすいでしょう。以下の例を見てみましょう。\n元画像に対するError Level Analysisの例 元画像に対するError Level Analysisの例 左の画像はELAフィルタの結果で、右が元の画像です。この画像は、背景に2つの画像を貼り付けて作成されました：奥のキャラクターと、手前で戦っている2人のキャラクターです。\nELA分析画像を見ると、先ほどの説明を考慮すれば、画像が編集されたことは容易にわかります。元の画像のオレンジ色の構造物の縁はELAの下ですべて類似していますが、3人のキャラクターの輪郭は大きく異なる明るさを持っています。\n拡大ツール # 拡大ツールの使い方は簡単です。お察しの通り、疑わしい部分をズームして不自然な箇所がないか確認するというものです。例えば、前のパートで使用した画像の右下のキャラクターの頭部をズームすると、髪、額当て、衣服の周囲に白いピクセルが見られ、この画像が写真に貼り付けられたものである可能性が高いことがわかります。\n拡大ツールによる画像分析の例 サムネイル分析 # JPEG画像の場合、サムネイル画像（存在する場合）はEXIFデータに格納されています。画像が編集された際にサムネイルが更新されないことがあり、その場合は画像の元のバージョンが表示されます。\nさらに詳しく # 逆画像検索 # よくあることですが、ある画像について詳しく知りたいと思うことがあるでしょう。例えば、その画像がどこから来たのかなどです。そのために、画像（または類似画像）がどこで使用されているかを検索できるオンラインサービスが多数あります。以下は、そのようなサービスの一例ですが、顔認識を行うようなより専門的なサービスも見つかるかもしれません。これらのサービス（特にロシアや中国のもの）に送信するものには注意が必要です。アップロードした内容は保存される可能性が高いためです。\nimages.google.com bing.com/images tineye.com yandex.ru/images images.baidu.com 探しているものを見つけるために、必ずしも元の画像が必要というわけではありません。例えば、前のパートで例として使用した画像をGoogleで検索すると、入力画像が少し異なっていても、Unsplash上の元の（リンク切れ：unsplash.com/photos/QjnobzYw7uU）背景画像を見つけることができます。\n同様に、画像からキャラクターを切り抜いて、それらについて詳しく調べることもできます。この場合、元の画像は見つかりません（背景が画像をかなり異なるものにしているため当然ですが）。しかし、Googleはいくつかの有用なヒントを提供してくれます。以下のスクリーンショットに示すように、これらのキャラクターの他の画像が見つかります（Googleが自動的に「fictional character」という部分を検索に追加していることに注目してください）。\n画像サンプルの逆検索 その他の一般的なヒント # ここまで、メタデータ、改変を見つけるためのフィルタ、画像の出典・場所・人物を特定する方法など、画像についてより多くの情報を得るための基本的な方法の概要を紹介してきました。このパートでは、最後のヒントをいくつか紹介します。\nぼやけた画像を分析する場合でも、Smart Deblurなどのさまざまなソフトウェアを使用して画像品質を改善し（結果は状況により異なります）、より良い入力データを得ることができます。\nこの記事の最後に、写真がどこで撮影されたかを特定する際に参考になるヒントをいくつか紹介します。\n画像内のテキスト、QRコードなどを探しましょう。お店の名前、企業のロゴなどが見つかるかもしれません。それらの要素を検索して、画像との関連性を調べることができます（Google翻訳の画像キャプチャモードを使えば外国語を理解するのにも役立ちます）。例えば、画像にレストランが写っている場合、正面の看板に表示されている名前を使ってそのレストランの場所を特定することができます 一般的に、画像の中で目立つものを見つけるようにしましょう。例えば、高所から東京を眺めた景色があり、東京タワーが見える場合（それが東京や東京タワーだとわからなくても）、Googleで「red white steel tower big city」と検索して詳しく調べることができます 前述のヒントに加えて、複数の識別可能な要素を見つけることで、写真が撮影された位置をより正確に三角測量できます 写真があり、おおよその場所を特定できた場合、Googleの衛星画像やストリートビューを使って、写真が撮影された正確な場所を特定できます（画面下部の日付に注意してください） 参考文献 # Photo Forensics Tutorial FhotoForensics Tutorial（このソフトウェアは画像をオンラインに保存する点に注意してください） 画像クレジット # 記事カバー画像：Mick Haupt（Unsplash） 写真：Jan Gottweiss（Unsplash） 壁紙 Naruto Shippuden（Pinterest） Naruto Vs Sasuke（SeekPNG） ","date":"2021年11月04日","externalUrl":null,"permalink":"/ja/posts/2021/image-forensics-getting-intelligence-from-pictures/","section":"記事","summary":"EXIF、メタデータ、逆画像検索、そして偽造画像。画像には多くの情報が含まれています。その情報を取得し分析する方法を学びましょう。","title":"画像フォレンジックとOSINT：写真からインテリジェンスを得る","type":"posts"},{"content":"As always, plenty of things happened this week, but no worries if you had no time to go through all the news. Our weekly news recap will keep you up to date on the latest APTs, Cryptocurrencies, Darknet, General Security, Privacy and Ransomware news.\nAPT # New activity from Russian actor Nobelium (Microsoft Blog)\nMicrosoft says that Nobelium, the Russian nation-state actor behind the SolarWind hack in 2020, is still trying to replicate his past approach by targeting the global IT supply chain. Since May 2021, it allegedly targeted more than 140 resellers and technology service providers and managed to compromise 14 of them. Microsoft says it is only a part of a larger wave a activities coming from this APT which also attacked at least 609 customers between July 1st and October 19th this year.\nFormer Air War College Professor Pleads Guilty to Making False Statements About Relationship with Government Official in China (US Department of Justice)\nA civilian professor at the Air War College in Alabama pleaded guilty to making false statements to a federal agent after failing to report contacts he had with a Chinese official between December 2021 and January 2017.\nNorth Korean state hackers start targeting the IT supply chain (Bleeping Computer)\nResearchers at Kaspersky assessed that Lazarus, a North-Korea backed APT, is building supply-chain attack capabilities. Among other things, the group used an updated version of its BLINDINGCAN malware to breach a Lativian IT vendor in May and used it as a proxy to compromise a South-Korean think-tank the following month.\nOperations at Iranian gas stations were disrupted today. Cyber attack or computer glitch? (Security Affairs)\nGas stations operated by the state-owned National Iranian Oil Products Distribution Company were disrupted on October 27th after screens at gas pumps were hijacked to display various messages, and the employees were not able to charge customers for the fuel that they were buying. The authorities made the assumption that this was the result of a cyber-attack by a hostile foreign state.\nChina Telecom booted out of USA as Feds worry it could disrupt or spy on local networks (The Register)\nThe US Federal Communications Commission announced that it terminated China Telecom\u0026rsquo;s permission to provide communications services in the USA for the sake of national security. The agency said that it has classified information assessing that China Telecom could \u0026ldquo;access, store, disrupt, and/or misroute US communications, which in turn allow them to engage in espionage and other harmful activities against the United States.\u0026rdquo;\nCryptocurrencies # German law enforcement begins auction of 215 seized bitcoins (The Block)\nThe Ministry of Justice of North Rhine-Westphalia started auctioning 215 Bitcoins on October 25th. The ministry estimated that one Bitcoin\u0026rsquo;s market value is EUR 54,000.\nMastercard says any bank or merchant on its vast network can soon offer crypto services (CNBC)\nMastercard is preparing to announce that banks and merchants using their payment network will soon be able to integrate cryptocurrencies into their products.\nCream Hacked Analysis, US $130 Million Hacked (SlowMist)\nCream Finance (a decentralized lending protocol) was hacked for the third time this year and lost an estimated USD 130 million in various assets. The hackers used some flaws to carry on price manipulations on flash loan (Cream\u0026rsquo;s lending system), which allowed them to artificially raise the value of their collateral and to be lent more funds than they should have been able to.\nDarknet # 150 arrested in dark web drug bust as police seize €26 million (Europol)\nEuropol announced that as a result of its new operation Dark HunTOR, police forces from Australia, Bulgaria, France, Germany, Italy, the Netherlands, Switzerland, the United Kingdom, and the United States arrested 150 individuals suspected of selling/buying illegal goods on darknet markets. Furthermore, more than EUR 26.7 million (in cash and cryptocurrencies), 234 kg of drugs, and 45 firearms were seized.\nMoney launderers for Russian hacking groups arrested in Ukraine (Bleeping Computer)\nUkrainian authorities arrested a group of malicious individuals at the request of some US intelligence services. They are accused of laundering millions of dollars for various hacking groups, and of being involved in cryptocurrency stealing activities.\nGeneral Security # DDoS attacks hit multiple email providers (The Record)\nOn Friday 22nd thee privacy-focused email providers (Fastmail, Posteo, and Runbox) suffered a massive DDoS attack allegedly carried out by the same malicious actor. Posteo said on a blog post that criminals asked for a ransom in order to stop the attack. The company refused to pay.\nEx-carrier employee sentenced for role in SIM-swapping scheme (ZDNet)\nA former mobile-carrier employee was sentenced for helping criminals to carry out sim-swapping attacks between 2017 and 2018. He reportedly received USD 2,325 in bribes and helped target at least 19 customers.\nHacker sells the data for millions of Moscow drivers for $800 (Bleeping Computer)\nA stolen database containing about 50 million records of Moscow car owners data is being sold on underground forums for USD 800. The source of the data is unknown but it appears to have been collected between 2006 and 2019 and contains various data such as cars information, full names, dates of birth, and phone numbers.\nPopular NPM Package Hijacked to Publish Crypto-mining Malware (The Hacker News)\nA hacker hijacked the NPM account of UAParser.js, an NMP library with more than six million weekly downloads, and embedded a crypto-mining and password-stealing malware. The versions 0.7.29, 0.8.0, and 1.00 (now patched) were targeted.\nNYT Journalist Repeatedly Hacked with Pegasus after Reporting on Saudi Arabia (University of Toronto - Citizen Lab)\nThe University of Toronto\u0026rsquo;s Citizen Lab says that the iPhone of the New York Times journalist Ben Hubbard was hacked multiple times using Pegasus (an NSO group\u0026rsquo;s spyware) between June 2018 and June 2021, while he was writing a book about the Saudi crown prince.\nEU investigating leak of private key used to forge Covid passes (Bleeping Computer)\nThe private key used to sign EU digital covid certificates is reportedly circulating on various messaging apps and online forums. The key is being used by fake certificate sellers to generate \u0026ldquo;real\u0026rdquo; certificates and was also used to create a certificate in the name of Adolf Hitler.\nPrivacy # Proton wins appeal in Swiss court over surveillance laws (Swiss Info)\nIn 2020, the Swiss Post and Telecommunications Surveillance Service decided that Proton Mail should be considered a telecommunications provider and therefore retain data necessary for surveillance. A court overruled this decision and said that the company could not be considered as a telecommunications provider, limiting its obligations to monitor traffic and retain users data.\nFacebook sues Ukrainian who scraped the data of 178 million users (The Record)\nFacebook sued a Ukrainian resident for allegedly scraping more than 178 million users\u0026rsquo; personal data using Facebook Messenger\u0026rsquo;s contact importer between January 2018 and September 2019, and selling them on cybercrime forums.\nRansomware # DarkSide ransomware rushes to cash out $7 million in Bitcoin (Bleeping Computer)\nAbout USD 7 million stored in a Bitcoin wallet controlled by DarkSide\u0026rsquo;s operators reportedly started moving in what appears to be an attempt to launder the funds. This occurs a few days after REvil announced its retirement due to a hijack of its infrastructure.\nConti Ransom Gang Starts Selling Access to Victims (Krebs on Security)\nThe Conti ransom gang announced in its victim-shaming blog that it was \u0026ldquo;looking for a buyer to access the network of [multiple organizations it has hacked] and sell data from their network\u0026rdquo;. Until now, the group would only ask for ransom from organizations it hacked, and publish their data on its website if they were not willing to pay.\nGrief ransomware gang hit US National Rifle Association (NRA) (Security Affairs)\nGrief ransomware operators announced on their website that they managed to hack the US NRA, and are threatening to leak the stolen data.\nGerman investigators identify REvil ransomware gang core member (Bleeping Computer)\nThe German police reportedly identified a Russian man (that is presenting himself as a cryptocurrency trader and investor) as one of the REvil group\u0026rsquo;s core members. The police managed to link Bitcoin payments with ransoms paid to the GrandGrab ransomware gang.\nInteresting Reads # NOBELIUM targeting delegated administrative privileges to facilitate broader attacks (Microsoft Blog) Wardrivers Can Still Easily Crack 70% of Wi-Fi Passwords (Dark Reading) APT trends report Q3 2021 (Secure List) Here\u0026rsquo;s the FBI\u0026rsquo;s Internal Guide for Getting Data from AT\u0026amp;T, T-Mobile, Verizon (Vice - pdf here) How we rolled out security keys at Twitter (Twitter Blog) An interview with LockBit: The risk of being hacked ourselves is always present (The Record) ","date":"2021-10-29","externalUrl":null,"permalink":"/blog/weekly-news-recap-12/","section":"News","summary":"As always, plenty of things happened this week, but no worries if you had no time to go through all the news. Our weekly news recap will keep you up to date on the latest APTs, Cryptocurrencies, Darknet, General Security, Privacy and Ransomware news.\n","title":"Weekly News Recap 12","type":"news"},{"content":"注意: この記事はLLMによって英語から翻訳されたものです。正確性については保証いたしかねますので、あらかじめご了承ください。英語の原文はこちら。\n最近、かなり多くの本を読んでいます。セキュリティに関連するものの中には、このブログの読者の方々にも興味を持っていただけるものがあるかもしれないので、本について取ったメモ（要約・要点と全体的な感想）を共有するために、新しいReading Notesカテゴリを作ることにしました。\nCybersecurity Career Master Plan: Proven techniques and effective tips to help you advance in your cybersecurity careerは、Dr Gerald Auger、Jaclyn Scott、Jonathan Helmus、Kim Nguyenによって書かれた本です。2021年9月に出版され、サイバーセキュリティ業界で仕事を得たいと考えている人々に方向性を示すことを目的としています。本書は以下のように紹介されています（序文からの引用）：\nこの本は、この分野を読み解き、進むべき方向を理解し、旅に持っていくツールと備品、そして目的地に到達する方法を助けるための完全な計画です。 [\u0026hellip;] この本は、キャリアの時系列に沿った[\u0026hellip;]3つの論理的なセクションに分かれています。セクション1は[\u0026hellip;]「サイバーセキュリティの仕事は自分に合っているか、もしそうならどの仕事か？」という問いに答える手助けをします。セクション2は、自分の知識、スキル、能力をこの分野でどう活かすか、また潜在的な採用マネージャーに自分をどうアピールするかを示します。セクション3は、この分野に入った後、どうキャリアをレベルアップさせるかを示します。 [\u0026hellip;] サイバーセキュリティのキャリアに少しでも興味がある方、あるいは猛烈に渇望している方、この本はあなたのためのものです。\n本の内容メモ # 前述の通り、本は3つのパートに分かれています。それぞれを見ていき、内容と要点を紹介します。\nセクション1: サイバーセキュリティ入門 # このセクションの最初の章では、セキュリティに関連する各種法律（GDPR、HIPPA、\u0026hellip;）、主要なセキュリティフレームワーク（NIST、ISO 2700/27001、SOC2、\u0026hellip;）、CIAトライアド（機密性、完全性、認証）などの概念、そして存在するいくつかの攻撃の種類など、サイバーセキュリティに関連するさまざまなトピックが紹介されます。章の最後には、サイバーセキュリティキャリアのメリットとデメリットが説明されています。特に以下の点が挙げられます：\nフレキシブルな勤務時間、高い給与、リモートワーク 独学で学ぶことが可能（ただし、エントリーレベルのポジションには通常かなりの前提条件がある） 常に変化があるため、最新情報を追い続け、自己研鑽を続ける必要がある このキャリアには真剣な情熱が必要であり、高度な知的作業による精神的な燃え尽き症候群を引き起こす可能性がある 犯罪者は休暇を取らない この章からの追加のポイントとして、器用貧乏にならないように1つか2つの専門分野を開発することが望ましいこと、そしてオンラインには豊富な無料リソースがあるため、高額な資格取得やトレーニングの前にまずそれらから始める方が良いということが挙げられます。\n第2章は「どのキャリアがあなたに合っているか？」という問いに答えることを目的としています。そのために、可能なさまざまな領域を列挙し、それぞれの領域でどのような仕事が見つかるかを丁寧に説明しています。主な領域にはそれぞれさまざまな分野があり、以下のように列挙されています：\nリスク評価（Offensive Security） ガバナンス（Risk Management、Compliance、Gouvernance） 脅威インテリジェンス（外部および内部） セキュリティオペレーション（Incident Response） セキュリティアーキテクチャ（Cloud Security） 学習（教育、トレーニング、意識向上） キャリアの構築方法を選ぶためには、自分の情熱を見つけ、強みを特定し、新しい選択肢を発見するために探索を続けながら、理想の仕事リストを作成する必要があるというのが要点です。\nキャリアを構築する際には、複数の要素を考慮すべきです：スキル（ソフトスキルと技術スキル）、情熱と興味、個人的成長の可能性、仕事の価値、給与、潜在的な発展機会など。\nセクション2: 業界への道 # このセクションは、業界で仕事を得るための手助けをするものです。大きく2つの部分に分けられます：前半はさまざまな種類のセクターに関する一般的な情報と、どのようなトレーニングや資格を検討すべきかについてです。後半は主にネットワーキング、セルフプロモーション、就職活動についてです。\nサイバーセキュリティ業界とトレーニング # 前のセクションの終わりと同様の趣旨で、著者たちは米国Cybersecurity and Infrastructure Agencyが定義した16の重要インフラセクター（例：金融サービス、ヘルスケアと公衆衛生、エネルギー、情報技術、\u0026hellip;）を列挙し、それぞれで働く際に何を期待すべきかを議論しています。公共セクターと民間セクターについても同様に説明し、セキュリティ部門の典型的な組織構造についても解説しています。次の仕事をどのような会社にするか迷っている場合、この情報は選択の指針として非常に役立つでしょう。\n人々が通常かなり迷うポイントの1つは、どの学位や資格が正しいかということですが、これも本書で取り上げられています。ある章では、業界の各種資格（CISSP、CompTIA Security+、OSCP、CEH、\u0026hellip;）を列挙し、それぞれが何を教えるか、費用はいくらか、どの程度認知されているか、難易度はどの程度かについての概要を示しています。大学教育については、エントリーレベルのポジションでは学位を持っていると通常10〜15%高い給与が得られること、そして多くのポジションでは最低でも修士号を持っていることが求められると述べられています。\nこのサブパートの最後の章は、セキュリティポジションを探す際に経験がないという鶏と卵の問題に対処する手助けを目的としています。多くの企業は採用にあたって経験を求めますが（ジュニアポジションにCISSPを要求する企業には特別な言及あり）、経験がなければ誰も雇ってくれません。著者たちは以下のような提案をしています（次の章と多少重複しています）：\nWebGoat（pwn-boxesのようなもの）のようなものをインストールして、ペネトレーションテストの練習をする カンファレンス、CTF（Capture the Flag）イベントなどに参加して、業界のコネクションを作るとともに、最新のトレンドを把握する 機会があれば、カンファレンスでのボランティアは、同じ志を持つさまざまな人々とつながる良い手段となる プロフェッショナルネットワークを広げる努力をする：求人の大部分はオンラインに掲載されることはなく、知り合いがいれば通常のプロセスと比べて面接が少なくて済む可能性がある 関連する仕事の経験がある場合（例：ソフトウェアエンジニア、ヘルプデスク、\u0026hellip;）、その経験を活用する ブログを作成して、自分のスキルとコミュニケーション能力をアピールしながら知識を深めることができる すでに雇用されている場合、社内のセキュリティ担当者とつながり、可能な範囲で手伝うことを試みる 学生であれば、インターンシップは経験を得るための素晴らしい方法であり、通常は就職よりもはるかに容易に得られる ネットワーキングと就職活動 # ここまで読んだ方は、業界がどのようなものか、そして仕事を得るための資格やスキルをどう身につけるかについて、より良い理解が得られたことでしょう。このサブパートでは、この最後の部分を手助けします。\nこのサブパートの最初の章は、自分自身をブランディングするためのツールを提供することを目的としています。これを達成するには、目的（ゴール）と一貫性が必要です。著者たちは、自分のゴールを定義するためのいくつかの方法を提案しています（例：自分が何をしたいか、どう見られたいか、選択の自由があったら何をしたいか、それを妨げているものは何か、それにどう対処するか、\u0026hellip;）。目的を知ることで、自分のブランドを定義する助けになります。著者たちが述べる追加のポイントは以下の通りです：\nソーシャルメディアに質の高い投稿を書くために時間をかける ソーシャルメディアに一貫して投稿する 使用しているソーシャルメディアの特性を知る（例：TwitterはLinkedInとは異なる雰囲気がある） 独自の考えを共有することに自信がない場合は、記事をシェアすることもできる。その際、簡単な要約やエンゲージメントを促す質問を添えると良い 全般的に、著者たちは情報セキュリティに特化したものではなく、ソーシャルネットワーキングの活用に関する多くのアドバイスを提供しています。\nこのサブパートは、ポジションへの応募方法、良い履歴書の作り方、面接の獲得方法と面接でうまくやる方法で締めくくられています。ここでも、著者たちのポイントの大部分は情報セキュリティに特化したものではありません。注目すべき要素としては：\nキャリア転換の根本原因を特定して、適切な決定を下す LinkedIn、Glassdoor、Indeedなどの求人検索サービスを利用して、興味深いポジションを見つけるだけでなく、市場に関する情報（どのような仕事が広く求められているか、給与はどの程度か、\u0026hellip;）を得る 自分と似た経歴を持つ人を探し、彼らがどのようにして情報セキュリティに入ったか、キャリアパスがどのようなものかを調べる resumeworded.comやskillsyncer.comなどのリソースを使って、履歴書に魅力的なキーワードが含まれているか確認できる セクション3: 業界に入ったら、レベルアップの時！ # このセクションでは、業界に入った後にキャリアをさらに前進させるためのアドバイスが主に提供されています。\n著者たちは読者にカンファレンスで発表することを勧め、応募方法、どのカンファレンスが良いか、話すトピックの見つけ方についてアドバイスを提供しています。また、燃え尽き症候群がこの業界のリスクであることを強調し、それを回避するための方法や、有害な職場環境の兆候（例：陰口、責任転嫁、有害なリーダーシップ、高い離職率）についても述べています。\n本を締めくくるにあたり、最後のアドバイスとして以下が挙げられています：\nSMART（Specific：具体的、Measurable：測定可能、Attainable：達成可能、Relevant：関連性がある、Time-based：期限付き）な目標を理解し設定する 責任を持ち、努力を惜しまない メンターを見つけ、その関係を大切に育てる LinkedIn、Discordサーバー、Twitterなどのさまざまな手段を通じて、オンラインで人々と交流する ソーシャルネットワークを構築する際には以下を心に留める ソフトな紹介なしに新しい人に連絡を取る際は、共通点を見つける（例：同じ分野で働いている） 相手のことを考え、自分のことではない：寄生的な関係という文脈を排除する 広さではなく深さを作る：ネットワークに時間と一貫性を捧げる。毎日の投稿やSnapchatではなく、パーソナライズされたメール、テキスト、\u0026hellip;を書くこと。一貫性が鍵 ネットワーキングは賢く行う：ネットワークの構築には時間がかかる。良いアプローチは、誰かに電話する際にマルチタスクする方法を見つけること。例：通勤中に 誰かとの最初の出会いの後にフォローアップする この本に対する私の意見 # 著者たちは各章で多くの良い点や有益なポイントを述べていると思います。少し気になった点としては：\nすべてのアドバイスが自分に合っているかどうか、自分自身に問いかけた方が良いかもしれません。例えば、ある箇所では、エンゲージメントを得るためにLinkedInの投稿のコメントに人をタグ付けすることが提案されています。個人的には、正当な理由なくタグ付けされると困りますが、人それぞれです 一部の箇所では、オンラインドキュメントへのリンクを提供した方が良いと感じました。特に、WebGoatのインストールと使用方法の部分です（また、個人的にはHack the Boxのようなものを勧めます） 本に複数の著者がいるためかもしれませんが、同じポイントを繰り返している箇所がいくつかあり、時々つながりが少し分かりにくいと感じました とはいえ、以下のような状況にある方には、この本を読むことを強くお勧めします。多くの良質で実践的なアドバイスと知識が含まれており、きっと役に立つでしょう：\n学生の方、またはキャリアを始めたばかりの方（セキュリティを学んでいる方は、CIAの概念などが定義されている部分は飛ばしても良いかもしれません） セキュリティの経験がなく、セキュリティ業界に入りたいと考えているキャリア中盤のプロフェッショナルの方。この場合、本の前半はセキュリティに慣れ、経験を積む方法を知るのに役立つでしょう。後半はセルフブランディングの部分を除いて、やや役立ち度が低いかもしれません ","date":"2021年10月28日","externalUrl":null,"permalink":"/ja/posts/2021/reading-notes-cybersecurity-career-master-plan-proven-techniques-and-effective-tips-to-help-you-advance-in-your-cybersecurity-career/","section":"記事","summary":"『Cybersecurity Career Master Plan: サイバーセキュリティキャリアを前進させるためのテクニックとヒント』の読書メモ","title":"読書メモ: Cybersecurity Career Master Plan: サイバーセキュリティキャリアを前進させるためのテクニックとヒント","type":"posts"},{"content":"As always, plenty of things happened this week, but no worries if you had no time to go through all the news. Our weekly news recap will keep you up to date on APTs, Cryptocurrencies, Darknet, General Security, Privacy and Ransomware news.\nAdditionally, you might have heard of I2P, a network similar to Tor. It has some interesting characteristics but the official documentation is a bit hard to get through. This week, I wrote an article offering a simple introduction to how it works.\nAPT # Twitter suspends two accounts used by DPRK hackers to catfish security researchers (The Record)\nEarlier this year, Google identified a campaign carried out by North Korea where hackers would create accounts claiming to be security researchers, and try to redirect actual security researchers to malicious websites to try and infect their computer with malware. On October 15th, Twitter suspended two accounts that were involved in this scheme.\nRussian cybercrime gang targets finance firms with stealthy macros (Bleeping Computer)\nResearchers discovered a new phishing campaign named MirrorBlast. It takes advantage of malicious Excel macros which are not detected by VirusTotal, but only impacts the 32-bit version of Office. If an attack succeeds, a malicious MSI package is downloaded and installed. It then contacts a C2 command to retrieve further instruction, whose effects are unknown as of now. The culprit appears to be TA505, a Russia related group.\nChinese tech minister says he\u0026rsquo;s \u0026lsquo;dealt with\u0026rsquo; 73,000 sites that breached the law (The Register)\nChina\u0026rsquo;s Minister of Industry and Information technology announced that China investigated 1.83 million apps to make sure they \u0026ldquo;don\u0026rsquo;t infringe users\u0026rsquo; rights and interests\u0026rdquo; and required \u0026ldquo;rectification\u0026rdquo; from 4,200 of them since 2020. In addition, 73,000 websites were \u0026ldquo;investigated and dealt with in accordance with the law\u0026rdquo;.\nState-backed hackers breach telcos with custom malware (Bleeping Computer)\nSymantec discovered a new APT targeting IT, telecoms, and government entities in South Asia, and named it Harvester. The group uses new malware and is believed to be active since June 2021.\nCryptocurrencies # France tests crypto assets in series of government bond deals (Financial Times)\nA group made of some of France\u0026rsquo;s biggest financial market participants used a digital currency issued by the Banque de France as part of a 10-month test in the country\u0026rsquo;s debt market to test the usefulness of a central bank currency. A deputy chief executive at Euroclear concluded that \u0026ldquo;[they] have together successfully been able to measure the inherent benefits of this technology, concluding that the central bank digital currencies can settle central bank money safely and securely.”\nDarknet # Two Individuals Sentenced for Providing “Bulletproof Hosting” for Cybercriminals (US Department of Justice)\nTwo Eastern European men were sentenced to 24 and 48 months of prison by a Michigan court for providing \u0026ldquo;bulletproof hosting\u0026rdquo; used to disseminate malware (including Zeus, and SpyEye) used to attack US companies and financial institutions between 2009 and 2015.\nGeneral Security # Windows 10, iOS 15, Ubuntu, Chrome fall at China\u0026rsquo;s Tianfu hacking contest (The Record)\nThe fourth edition of the Tianfu hacking contest took place this month and was featuring 16 targets (including Chrome, Safari, Docker, VMware, Domestic Vehicles, \u0026hellip;) that researchers could target to find vulnerabilities. 11 of these targets ended up with found vulnerabilities.\nNot just deprecated, but deleted: Google finally strips File Transfer Protocol code from Chrome browser (The Register)\nThe Chromium team removed the support for FTP from Chrome. The change will take effect from the version 95.\nHacker steals government ID database for Argentina\u0026rsquo;s entire population (The Record)\nA hacker has broken into the Argentinian\u0026rsquo;s National Registry of Persons (RENAPER) and published ID card photos and personal details of 44 Argentinan celebrities. The Ministry of Interior claims that “the [RENAPER] database did not suffer any data breach or leak,” but that the hacker only queried the database for 19 photos. The hacker however claims that he has a copy of the database, and might publish the data of 1 or 2 million people soon.\nU.S. Government Bans Sale of Hacking Tools to Authoritarian Regimes (The Hacker News)\nThe US Department of Commerce announced new rules that will take effect in 90 days, and establish new controls on \u0026ldquo;cybersecurity items\u0026rdquo; (e.g. surveillance tools) exports by requiring a license. An exception would allow exporting to most countries \u0026ldquo;while retaining a license requirement for exports to countries of national security or weapons of mass destruction concern. In addition, countries subject to a U.S. arms embargo will require a license.\u0026rdquo;\nGoogle unmasks two-year-old phishing \u0026amp; malware campaign targeting YouTube users (The Record)\nThe Google Threat Analysis Group attributed a two years campaign aiming to take control of YouTube accounts to a group of hackers recruited in a Russian-speaking forum. The hackers would reach to victims via email with business opportunities, ask them to install and test applications, and would them hijack authentication cookies from their browser to access and steal their YouTube accounts. More than 4,000 accounts were reportedly impacted.\nPrivacy # Doctor is set for possible £100,000 pay-out after judge\u0026rsquo;s landmark ruling that her neighbour\u0026rsquo;s Ring doorbell cameras breached her privacy (Daily Mail)\nA resident of Oxfordshire might be eligible to be compensated with more GBP 100,000 after claiming that one of her neighbours was invaliding her privacy by having security cameras recording (including audio) her gate, garden and car parking spaces.\nWhat\u0026rsquo;s Brave Done For My Privacy Lately? Episode #11: Debouncing (Brave Blog)\nBouncing consists of a website using third parties to redirect you somewhere. For example, a website could - in order to track you - have a link to traker.com/?site=example.com to redirect you to example.com instead of a link to example.com directly. Brave Browser implemented protection against this in its version 1.32, where it is getting rid of the intermediary.\nJapanese messaging giant Line admits it mishandled user data, promises to do better (The Register)\nLine, a very popular messaging and payment application in Asia where it has more than 700 million users admitted that it had suffered multiple shortcomings and put users\u0026rsquo; personal information at risk. Earlier this year, it was revealed that some users\u0026rsquo; data was processed in China (potentially putting it at risk) and/or stored in South Korea, while the company promised its users that all the data was stored in Japan.\n7-Eleven breached customer privacy by collecting facial imagery without consent (ZDNet)\nAustralia\u0026rsquo;s information commissioner found out that 7-Eleven has been collecting without notice the facial images of customers between June 2020 and August 2021 as part of a survey program. 7-Eleven has been ordered to destroy all the collected faceprints and to stop their collection.\nPrivacy-preserving Brave Search Replaces Google as the Default Search Engine in the Brave Browser (Brave Blog)\nBrave announced it would start to use Brave search as a default to help giving users \u0026ldquo;the privacy and independence of a search/browser alternative to big tech.\u0026rdquo; It replaces Google in the US, UK, and Canada, Qwant in France, and DuckDuckGo in Germany.\nRansomware # US links $5.2 billion worth of Bitcoin transactions to ransomware (Bleeping Computer)\nThe U.S. Treasury Department\u0026rsquo;s Financial Crimes Enforcement Network (FinCEN) calculated that the top 10 more common ransomware variants received about USD 5.2 billion in Bitcoin between July 2018 and Now.\nREvil Disappears Again: \u0026lsquo;Something Is Rotten in the State of Ransomware\u0026rsquo; (Flashpoint Intel)\nOn October 17th a REvil operator announced on the XSS hacking forum that the group was shutting down. This happens after someone used their Tor hidden service\u0026rsquo;s private key to hijack their website (see this article if you need a reminder about Tor hidden services.)\nFree BlackByte decryptor released, after researchers say they found flaw in ransomware code (Grahan Cluley)\nResearchers at Trustwave released a free decryption tool for BlackByte ransomware taking advantage of an odd encryption design where the malware would use the same AES key to encrypt the files, rather than having a unique key in each session.\nEvil Corp demands $40 million in new Macaw ransomware attacks (Bleeping Computer)\nEvil Corp started using a new ransomware named Macaw Locker in order to try to bypass sanctions that were decided against the group in 2019 and prevent victims from paying. Olympus and Sinclair Broadcast Group were reportedly hit by this new ransomware that demanded USD 28 and 40 Million.\nInteresting Reads # Ransomware Trends in Bank Secrecy Act Data Between January and June 2021 (FinCEN) BlackMatter Ransomware Advisory (Cybersecurity \u0026amp; Infrastructure Security Agency) Operation Secondary Infektion Targets Pfizer Vaccine (Recorded Future) Russian-speaking cybercrime evolution: What changed from 2016 to 2021 (SecureList by Kaspersky) ","date":"2021-10-22","externalUrl":null,"permalink":"/blog/weekly-news-recap-11/","section":"News","summary":"As always, plenty of things happened this week, but no worries if you had no time to go through all the news. Our weekly news recap will keep you up to date on APTs, Cryptocurrencies, Darknet, General Security, Privacy and Ransomware news.\n","title":"Weekly News Recap 11","type":"news"},{"content":"注意: この記事はLLMによって英語から翻訳されたものです。正確性については保証いたしかねますので、あらかじめご了承ください。英語の原文はこちら。\nInvisible Internet Project (I2P) は、匿名での接続を可能にする暗号化されたプライベートネットワークレイヤーです。Tor（詳しくない方はこちらの記事をご覧ください）とは異なり、I2Pはインターネットへのアクセスを目的としたものではなく（outproxyを使えば可能ですが）、匿名ウェブサイト（I2P site、またはeepSite）、トレント、IRCなど、ネットワーク内のさまざまなサービスにアクセスするために設計されています。I2Pは2003年にリリースされ、現在バージョン1.5となっています。\nI2Pの実装の一部はTorと似ている部分があります（オニオン暗号化の概念）が、いくつかの追加的な特徴も持っています（主にgarlic routingとgarlic encryption）。公式ドキュメントは少し理解しにくいため、この記事ではシステムの各部分がどのように機能しているかについて、わかりやすく概要を説明することを目指します。\nI2Pの仕組み # 概要とトンネル # 最初に知っておくべき用語は「ルーター」です。基本的に、I2Pを実行しているすべてのクライアントを指します。各ルーターには、データの受信と送信を行うデータパイプラインであるインバウンドトンネルとアウトバウンドトンネルがあります。受信データと送信データは、匿名性とパフォーマンスの向上のために分離されています。\n以下の図1は、異なるユーザー間でどのようにデータ交換が行われるかを示しています。これはいくつかのトンネルを省略した簡略版であることに注意してください。\n図1: ルーター間のI2Pルーティング（出典 geti2p.net） AliceとBobが通信していることがわかります。Bobに送信されるデータはAliceのアウトバウンドトンネルを経由し、次にCharlieのインバウンドトンネルへと流れます。一方、Bobから受信するデータはBobのアウトバウンドトンネルを経由し、次にAliceのインバウンドトンネルへと流れます。\nトンネルと暗号化の詳細 # 前のセクションを読んで、システムの動作についての概要は把握できましたが、クライアントのデータがどのように秘密に保たれるかについてはまだ説明していません。このセクションではそれについて説明します。\n答えの主要な部分はトンネルにあります。Torと同様に、通信する2つのクライアントの間には複数のルーター（ホップ）が存在します。通常は2つまたは3つ（図2のように）ですが、最大7つ、最小0に設定することも可能です。\n図2: I2Pトンネル間の通信（出典 geti2p.net） 図2は、AliceがBobにメッセージを送信した場合に何が起こるかを示しています。やり取りを説明する前に、いくつかの用語を定義する必要があります：\na はOutbound Gatewayです。技術的には、これはAliceのルーターです b と c はOutbound Tunnel Participantです。1つまたは複数存在でき、メッセージを次のノードに転送する役割を担います d はOutbound Endpointです。これは（Aliceに属する）アウトバウンドトンネルの終端であり、（Bobに属する）インバウンドトンネルにメッセージを送信する役割を担います e はInbound Gatewayです。クライアントが他のユーザーからの連絡を受け付けたい場合、Inbound Gatewayのアドレスがネットワークデータベースに公開されます（詳細は後述） f と g はInbound Tunnel Participantです。b や c と同じ役割を持ちます。トンネル参加者は自分がインバウンドトンネルとアウトバウンドトンネルのどちらに属しているかを知ることはなく、メッセージの受信と次のホップへの送信のみを行います h はInbound Endpointです。技術的には、Bobのルーターです メッセージを送信する際、暗号化レベルでは以下のことが行われます：\na はメッセージをより小さな1,024バイトのメッセージに分割します。パイプラインに流れるすべてのメッセージは、さまざまな攻撃を防ぐために固定サイズになっています a はすべての1,024バイトメッセージを h 向けに暗号化し、AliceとBobだけがその内容を知ることができるようにします a は(1)で得られた結果を d 向けに暗号化し、次にその結果を c 向けに暗号化し、さらにその結果を b 向けに暗号化します（参加者の数だけこれを繰り返します）。これはTorのオニオン暗号化と同様の手法です b はトンネルメッセージを受信し、復号化して c に転送します c はトンネルメッセージを受信し、復号化して d に転送します d は1,024バイトメッセージを受信し、ステップ(1)で分割された元のデータを復元するために再構成し、Inbound Gateway e に送信します e はメッセージを受信し、1,024バイトのトンネルメッセージに分割して、それぞれを f に送信します f はトンネルメッセージを受信し、暗号化して g に転送します g はトンネルメッセージを受信し、暗号化して h に転送します h は g によって暗号化されたメッセージを復号化し、f によって暗号化された結果を復号化し、e によって暗号化された結果を復号化し、a によって暗号化された結果を復号化します。そしてすべてを組み立てて、ステップ(1)にあった元の平文メッセージを復元します なお、a はメッセージの暗号化に decrypt 関数を使用し、b と c はその復号化に encrypt 関数を使用します。f と g も encrypt 関数を使用する（今度はメッセージの暗号化のため）ため、参加者は自分がインバウンドトンネルとアウトバウンドトンネルのどちらに属しているか判別できません。また、トンネルメッセージが常に1,024バイトになるよう、各プロセスはパディングを使用することがあります。\nトンネルの確立とデータベース # ここまで読んでいただいた方は、I2Pの仕組み、データの機密性の保持方法、トンネルの役割について大まかな理解ができたと思います。ただし、まだ説明していないことが2つあります。トンネルがどのように作成されるか、そしてクライアントがどのように匿名性を保つかです（Torに詳しい方は、2つ目の疑問についてはすでに理解できているかもしれません）。\nデータベース # システムにおいて重要なのは、ルートを作成するために他のルーターに接続する能力と、サービスへのアクセス方法を知ることです。Torではノードの情報を問い合わせることができる中央ポイントがあります。I2Pにもルーター情報を取得するための中央ポイントがありますが、これは網羅的なデータベースではありません。代わりに、クライアントがネットワークマップを初期構築できるよう、いくつかのルーターアドレスを提供するだけです。ルーターデータベース自体はnetDbと呼ばれる分散データベースです。netDbは「floodfill」と呼ばれる技術で分散されており、それに参加する各ルーターは「floodfill router」と呼ばれます。データベースにはRouterInfoとLeaseSetの2つのエンティティが含まれています。\nネットワークに参加している各ルーターにはRouterInfoというデータベースエントリがあります。これには以下の情報が含まれています：\nルーターのアイデンティティ（暗号化キー、署名キー、および証明書） ルーターに到達するための連絡先アドレス 公開された日時 ルーターの機能などを共有するためのさまざまなテキストオプション 署名キーを使用してルーターが作成した上記すべてのフィールドの署名 クライアントにメッセージを送信できるようにするため、各インバウンドトンネルにはデータベース内にLeaseSetがあります。以下の情報が提供されます：\nトンネルゲートウェイルーター（RouterInfoエンティティで定義されているもの） トンネルID（4バイトの数値） トンネルの有効期限（デフォルトでは10分ごと） 宛先の暗号化キー、署名キー、および証明書 LeaseSetデータの署名 なお、LeaseSetは公開されない場合もあります（例えば、クライアントがIRCを使用している場合）。その場合、I2PはLeaseSet情報を関連する当事者にのみ共有します。\n特に注目すべきLeaseSetの種類が1つあります：暗号化されたLeaseSetです。その名の通り、正しいキーを持つクライアントのみがLeaseSet情報を取得でき、したがってインバウンドトンネルに接続することが可能になります。なお、ルーターがLeaseSetをデータベースに記録する際は、匿名性を保つためにアウトバウンドトンネルを使用して行います。\nトンネルの確立 # ルーターがトンネルを作成したい場合、データベースのRouteInfoエントリからルーターを見つけ、さまざまなヒューリスティックを用いて最適なルートを選択します。その後、ルーターに連絡してトンネルの設定許可を求める必要があります。\n潜在的なトンネルメンバーにはそれぞれ、通過するデータの暗号化に使用するトンネルIDと暗号化キーが提供され、ビルドリクエストへの応答にも使用されます。さらに：\n中間トンネル参加者とインバウンドゲートウェイには、次のホップの情報（ルーターアドレスとトンネルID）が提供されます アウトバウンドエンドポイントには、情報を送信したいインバウンドゲートウェイの情報が提供されます すべての参加者がトンネルへの参加に同意すると、開始ルーターはデータの送受信にそのトンネルを使用できるようになります。参加者は複数のトンネルを開くことができるため、最初に提供されたトンネルIDにより、受信したパケットがどのトンネルに属しているか、したがってそのメッセージの次のホップがどこかを知ることができます。ルーターはメッセージの前のホップと次のホップしか見ることができないため、誰がメッセージを送信しているか、どこに向かっているかを知ることはできず、匿名性が確保されます。\n参考文献と追加資料 # https://geti2p.net/en/docs/how/intro https://geti2p.net/en/docs/how/tunnel-routing https://geti2p.net/spec/tunnel-creation https://geti2p.net/en/docs/tunnels/implementation https://geti2p.net/en/comparison/tor https://geti2p.net/en/docs/how/garlic-routing https://geti2p.net/en/docs/how/network-database Effects of Shared Bandwidth on Anonymity of the I2P Network Users https://geti2p.net/ja/docs/how/tech-intro Privacy-Implications of Performance-Based Peer Selection by Onion-Routers: A Real-World Case Study using I2P https://geti2p.net/en/docs/how/threat-model https://geti2p.net/en/blog/post/2021/09/07/Level-Up-Encrypted-Leasesets ","date":"2021年10月21日","externalUrl":null,"permalink":"/ja/posts/2021/i2p-a-simple-introduction/","section":"記事","summary":"I2Pは、匿名での接続を可能にする暗号化されたプライベートネットワークレイヤーです。その仕組みとTorとの違いについて見ていきましょう","title":"I2P - シンプルな入門ガイド","type":"posts"},{"content":"As always, plenty of things happened this week, but no worries if you had no time to go through all the news. Our weekly news recap will keep you up to date on APTs, Cryptocurrencies, Darknet, General Security, Privacy and Ransomware news.\nAdditionally, if you own any digital currencies, you might be interested in our new weekly article suggesting various ways to keep your funds safe.\nAPT # Microsoft: Iran-linked hackers breached Office 365 customer accounts (The Record)\nMicrosoft announced that 250 Office 365 customers were the target of a new Iran-related hacking group who managed to compromise 20 accounts using password spraying. Microsoft named this group DeV-0343 and assessed that the attack was still ongoing.\nCryptocurrencies # Bank of America insider charged with money laundering for BEC scams (Bleeping Computer)\nA US court charged three men with money laundering and aggravated identity theft through business email compromise. The suspects are believed to have stolen USD 1.1 million from at least five victims. One of the alleged perpetrators was employed by Bank of America and was opening bank accounts for his co-conspirators and falsifying bank entries.\nOpenSea NFT platform bugs let hackers steal crypto wallets (Bleeping Computer)\nOpenSea, one of the largest marketplaces for trading non-fungible tokens was found to have a flaw allowing an attacker to steal all the balance of account owners by having them click on a malicious NFT art. The attack can then be carried on through SVG images including malicious JavaScript code.\nDarknet # White House Market Completed its Shut-Down\nOn October 1st, Mr White, the White House Market administrator announced that the market would close down. This is now done after the market came offline on October 14th.\nV2 Onion Services to be Totally Depreciated From Today\nAccording to the v2 services depreciation timeline provided by the Tor Project, the first version of the Tor client not supporting v2 services is set to be released today. Such services stopped being supported on the server-side starting the version 0.4.6 released on July 2021.\nGeneral Security # Apple quietly patches yet another iPhone 0-day - check you have 15.0.2 (Naked Security)\nApple released (again) an update for iPad and iPhone devices to address 0-day vulnerabilities. One of them was a Kernel memory corruption allowing the execution of arbitrary code with kernel privileges.\nHacker arrested in France for theft of COVID-19 tests for 1.4 million Parisians (The Record)\nThe French police arrested a man suspected of breaching a Hospital\u0026rsquo;s system in Paris on September 12th and leaking covid-19 test results of more than 1.4 million patients. He shared links to the leaked information through his Twitter profile and a forum (which might be why he was caught this fast).\nBusiness as usual for Azure customers despite 2.4 Tbps DDoS attack (Microsoft Azure)\nMicrosoft announced that they mitigated a DDoS attack of 2.4 TB/sec at the end of August. This attack that targeted Microsoft Azure was 140% stronger than the highest DDoS Microsoft experienced in 2020, and came from about 70,000 sources, mostly in the Asia-Pacific region.\nDutch police send warning letters to DDoS booter customers (Bleeping Computer)\nEarlier last month, 29 Dutch nationals that were customers of minesearch.zip, a DDoS as a Service, received a warning from the Dutch police stating that their activity had been registered and that further mischiefs would lead them to be prosecuted.\nOVH hosting provider goes down during planned maintenance (Bleeping Computer)\nThe French hosting provider OVH, one of the largest in Europe, suffered an outage due to a human error during the planned maintenance of routers aimed at improving OVH\u0026rsquo;s resilience against DDoS attacks. This is not the first big problem for the company this year, as they suffered a major fire at one of their data centres in March. The company is due to IPO on Euronext Paris on October 15th.\nApple says Android has up to 47x more malware than iPhone in continued pushback against sideloading (9to5Mac)\nFollowing a legislation proposal in Europe and the US that would force Apple to allow sideloading applications on iOS, the company published a 31 pages security report arguing that it believes this is a harmful idea.\nGoogle gives away 10,000 free security keys to high-risk users (BitDefender Blog)\nFollowing last week\u0026rsquo;s announcement that 14,000 Gmail users were targeted by the Russian APT Fancy Bear (APT28), Google decided to give away 10,000 Titan security keys to high-risk users.\nGoogle sent 50,000 warnings of state-sponsored attacks in 2021 (Bleeping Computer)\nGoogle announced that it sent about 50,000 alerts related to state-sponsored phishing this year. A nearly 33% increase compared to 2020. The company claimed to be tracking more than 270 state-sponsored hacking groups in more than 50 countries.\nMissouri Refers Responsible Bug Report to Prosecutors (Info Risk Today)\nA newspaper employee discovered that a government website used to verify teachers certifications was exposing 100,000 social security numbers in the HTML source code. Governor Mike Parson (ridiculously) announced that he considers this to be a hack and will seek prosecution while claiming that the incident could cost Missouri taxpayers as much as USD 50 Million.\nWhatsApp\u0026rsquo;s got your back(ups) with encryption for stored messages (The Register)\nWhatsApp began rolling out a feature allowing messages backups to be stored end-to-end encrypted into iCloud and Google Drive. The messages were previously stored unencrypted.\nThe King is Dead, Long Live MyKings! (Avast)\nA new report published by Avast found out that MyKing, a botnet active since at least 2016 appears to have stolen more than USD 24 million in Bitcoin, Ethereum, and Dogecoin, thanks to a clipboard stealer module.\nPrivacy # EU legislation introduced to ban anonymous domain registration (Bleeping Computer)\nThe European Union is drafting legislation stating that \u0026ldquo;registrants of new domains will be required to provide a valid telephone number belonging to them, while their full name, email, and physical address will have to be verified too.\u0026rdquo;\nFirefox Suggest to display sponsored ads but users can disable them (HackRead)\nFirefox introduced a feature named \u0026ldquo;Firefox Suggest\u0026rdquo; in Firefox 93. It will display suggestions from trusted partners (which allegedly meet Mozilla\u0026rsquo;s standard of privacy) when a user types things into the search bar. It can be disabled in the settings.\nStudy reveals Android phones constantly snoop on their users (Bleeping Computer)\nA study conducted by researchers at the Univesity of Edinburg, in the UK, concluded that \u0026ldquo;Vendor-customized Android variants transmit substantial amounts of information to the OS developer and also to third parties (Google, Microsoft, Linked In, Facebook, etc.) that have pre-installed system apps.\u0026rdquo; What is even more worrying is that there is no possibility to turn this tracking off.\nBelarus: Joining banned Telegram channels will land you in prison (Bleeping Computer)\nBelarus law enforcement published a list of over 100 Telegram channels that they consider to be extremism, and that the simple fact of joining them could land you in prison for up to seven years.\nRansomware # New Australian ransomware plan could freeze or seize cryptocurrencies (The Record)\nThe Australian government is building a new strategy to fight against ransomware and is considering various measures such as changing the law to allow law enforcement to track and freeze ransomware gains, require ransomware incidents to be reported, new criminal status, and joining international efforts. The full plan is available here.\nOngoing Cyber Threats to U.S. Water and Wastewater Systems (Cybersecurity \u0026amp; Infrastructure Security Agency)\nThe FBI, CISA, EPA, and NSA released a joint advisory regarding the threats to the US water systems. In this report, we can learn that three facilities have been infected by ransomware this year: in Nevada (March), Maine (July), and California (August).\nCyber assurance : le parlement Français prévoit de sanctionner les entreprises qui payent leurs rançons (Under News - in French)\nA French parliamentary report suggests forbidding insurers to cover ransomware ransom payments, arguing that paying ransom only encourages criminals and does not provide any guarantee that the data will be recovered.\nU.S. convenes 30 countries on ransomware threat — without Russia or China (The Record)\nThe US gathered 30 countries on the 13 and 14 of October to discuss global efforts to fight cybercrime by various means such as strengthen law enforcement cooperation. Russia and China weren\u0026rsquo;t invited this time, but Russia might have the opportunity to participate later, if further sessions are held.\nInteresting Reads # Roundup of Ransomware in the CIS Android Mobile OS Snooping By Samsung, Xiaomi, Huawei and Realme Handsets Cybercriminals Abuse Donation Sites for Card Testing Inside Apple: How macOS attacks are evolving Bugs in our Pockets: The Risks of Client-Side Scanning ","date":"2021-10-15","externalUrl":null,"permalink":"/blog/weekly-news-recap-10/","section":"News","summary":"As always, plenty of things happened this week, but no worries if you had no time to go through all the news. Our weekly news recap will keep you up to date on APTs, Cryptocurrencies, Darknet, General Security, Privacy and Ransomware news.\n","title":"Weekly News Recap 10","type":"news"},{"content":"注意: この記事はLLMによって英語から翻訳されたものです。正確性については保証いたしかねますので、あらかじめご了承ください。英語の原文はこちら。\n暗号通貨に長く関わっている方なら、「あなたの鍵でなければ、あなたのコインではない（Not your keys, not your coins）」という格言をご存知でしょう。今回の記事では、コインを安全に保管するためのいくつかの方法と、何か問題が起きた場合に備えたバックアップ戦略について解説します。\nここで紹介する（一般的かつ比較的ハイレベルな）ソリューションは、数百万ドル相当の資産を持たない一般の方々のための参考情報です（幸運なBitcoin長者は、より高度でカスタマイズされた戦略を活用できるでしょう）。暗号通貨の用途、自分が何に抵抗がないかを考え、自分に合った方法を決めるべきです。\nコイン保管の種類 # さまざまな保管オプションに入る前に、いくつかの一般的な概念を紹介しましょう。暗号通貨ウォレットには通常2つのタイプがあります：\nホットウォレットは最も便利なものです。コンピュータやスマートフォン上で動作し、インターネットに接続されています。取引所プラットフォーム、オンラインウォレット、ソフトウェアウォレットはすべてホットウォレットです。 コールドウォレットは最も安全なものです。鍵をオフラインで保管するハードウェアデバイスだからです。つまり、システムが侵害されても、コインは安全です。Trezorやペーパーウォレットがコールドウォレットの例です。 取引所とオンラインウォレット # これらは最も便利な選択肢であり、暗号通貨が初めての方は、おそらくこの方法を使っているでしょう。\nカストディアルウォレットにコインを保管する利点は：\n鍵の保管やソフトウェアの実行について心配する必要がない コインを取引したい場合、事前に取引所に送金する必要がない しかし、コインの完全な管理権を取引所に委ねるということは：\n取引所が何らかの理由で資金をロックする可能性がある（「ちょっと待ってください、IRSから連絡があり、あなたの最新の税務申告について問題があるようです」） 取引所はあなたの行動をすべて見ることができる Coinbaseのような大手取引所でも、Bitcoinの価格が急落した際に一時的に利用できなくなった事例が複数ある 取引所は定期的にハッキングされ、時には幹部が資金を持ち逃げすることもある。昨年8月には、大手取引所のLiquidから9,700万ドルが盗まれた（過去のハッキング一覧はこちら）。顧客がハッキング後に補償されることもあるが、されないこともある 結論として、資金を安全に保ちたいなら、取引所に資産を保管することは避けるべきです。もちろん、保有額がごくわずか（数百ドル程度）であったり、高頻度取引を行っている場合（その場合でもすべての資産をオンラインに置かないことを検討すべき）は、一部の資金をオンラインに保管することはまだ許容範囲でしょう。\nそれでもカストディアルウォレットを使用して資金を保管する場合は、SMSではなくTOTP/Yubikey二要素認証を使用してください。SIMスワッピング攻撃によりアカウントがハッキングされた事例が複数あります。\nソフトウェアウォレット # ソフトウェアウォレットは、カストディアルストレージソリューションの次のセキュリティレベルです。コインの完全な管理権が得られますが、「大いなる力には大いなる責任が伴う」のです。マシンの適切なセキュリティ確保やシードのバックアップに失敗すると、資金を回復する手段なくすべてを失う可能性があります。\nこのカテゴリ内には、2種類のウォレットがあります：\nフルノード（Bitcoin Coreなど）は、ブロックチェーン全体をダウンロードし、すべてのブロックを再検証する ライトウォレット（Electrumなど）は、ブロックチェーン全体のダウンロードと最新のトランザクション情報の提供を他のサーバーに依存する ほとんどの人にとって、フルノードの運用は非常に不便です。保有する各コインに大量のストレージスペースが必要であり、初期同期にはかなりの時間とネットワーク/電力を消費します。一方、ライトウォレットはセットアップが簡単で、システムリソースをあまり使用せず、複数のプラットフォームで複数のコインを管理できます。\nローカルウォレットをセットアップする場合、多くの選択肢があります。Bitcoinのみに興味がある場合は、Electrum（マルチシグウォレットの作成が可能でセキュリティが向上）がおすすめです。複数のコインを管理し、コンピュータとモバイルデバイスの両方を使用したい場合は、Exodusのようなオプションも検討できます（少なくとも一部はクローズドソースで、私の知る限りサードパーティ監査なし。自己責任で使用してください）。その他のオプションについては、保有したいコインの開発者サイト（例：Ethereumの場合はこちら）をご覧ください。\n新しいウォレットをセットアップする際には、以下をお勧めします：\nウォレットを保護するための強力なパスワードを選ぶ 自動ロックを設定し、ウォレットが長時間アンロック状態にならないようにする シークレットリカバリーフレーズを必ずバックアップする（バックアップしないと、すべての資金を失う可能性がある） 可能であれば二要素認証を有効にする スマートフォンに多額の資金を保管しない。まとまった金額を保管する場合は専用デバイスの使用を検討する ソフトウェアウォレットは大きな資産の保管には推奨されない。数千ドル以上の保管は避けるべき ハードウェアレジャー # 最後に、ハードウェアレジャーは最もセキュリティの高いものですが、通常費用がかかり、電話やコンピュータだけでいつでも使えるソフトウェアウォレットよりも若干不便です。\nハードウェアレジャーには2種類あります。非電子式と電子式です。前者にはペーパーウォレットのようなものが含まれます。シンプルで無料でセットアップできます。最終的に、秘密鍵用のQRコードと公開鍵用のQRコードが記載された紙が手に入ります。主な欠点は、資金の使用がユーザーフレンドリーでないことと、紙は簡単に破壊されることです。\n2番目の種類のハードウェアレジャーが、ここで最も注目すべきものです。最も有名なオプションはTrezorとLedgerです。これらのデバイスの使い方はかなりシンプルです。初めて電源を入れると、シードが生成され、必ずバックアップする必要があります。次に、デバイスへのアクセスを保護するパスワードを設定し（一定回数の誤入力でワイプされる）、準備完了です。コンピュータに接続すると、各社が提供するソフトウェアを使って、資産の確認、送金、交換、アドレスの生成、署名を行えます。コンピュータが侵害されていても、資金は安全です。まず、パスワードをコンピュータ経由で直接入力することはありません。次に、すべての操作に対して、レジャーの画面にアドレスと金額が表示され、ボタンを押して確認する必要があります。最後に、すべての署名はレジャー上で行われるため、コンピュータがシードや秘密鍵を見ることはありません。\n私の個人的な好みはTrezorです。理由はいくつかあります：\nインターフェースがより優れていると感じ、Web UIまたは標準プログラムから選べる Trezorでは、鍵の派生に使用される追加パスワードを設定できる。つまり、誰かがシードを見つけても、コインにアクセスするにはパスワードも知る必要がある GPG暗号化、パスワードマネージャー、SSH鍵管理、Shamir Backupなどの各種オプションが付属する とは言え、購入を検討する場合は、各製品が提供するオプションを比較し、自分にとって最適なものを判断すべきです。Ledgerにも、ANSSI（フランス国家サイバーセキュリティ庁）の監査を受けていることや、Bluetoothが搭載されているなどの利点があります。\n多額の資産を保有している場合は、コイン保管に使用するハードウェアを分散させる（複数のメーカーの製品を使用する）ことが有益です。また、最終的にハードウェアウォレットはコンピュータに接続する電子デバイスです。一般的に安全とされていますが、ハッキングされる可能性がゼロではありません（私の知る限り、文書化された事例はありませんが）。\nバックアップ戦略 # バックアップは複雑になりがちです。シードをすぐに利用できる状態にしておきたい一方で、誰にもアクセスされて苦労して稼いだ資金を使われたくないからです。\nローカルウォレットを使用している場合、比較的簡単です。コンピュータが鍵を保管し、ウォレットのセットアップ時にシードを表示するため、USBスティックを3本用意し、それぞれにVeracryptコンテナを作成し（非常に強力なパスワードで保護）、その中に鍵を書き込むことができます。1本は自宅にコンピュータに問題が発生した場合に備えて（ウォレットにアクセスするため）、残りの2本は信頼できる場所に保管します。例えば、1本は親戚の家に、もう1本は銀行の貸金庫にです。すべてのバックアップを同じ場所に保管すべきではありません。理由は単純で、すべてのバックアップが自宅にあり、家が火事になった場合、すべての資金が失われるからです。\nコールドウォレットのバックアップを作りたい場合はもっと複雑になります。コールドウォレットの要点は、鍵がコンピュータに入らないことだからです。そこから、複数の戦略を適用できます。\nYOLOストラテジー\n「YOLOストラテジー」：コンピュータがその時点で感染しておらず、テキストファイルを編集しても一時ファイルなどが作成されないと信頼し、前述の3本のUSBスティック戦略を使用する方法です。うまくいくかもしれませんが、ある程度コールドストレージの意味を損なうため、お勧めしません。\n改良YOLOストラテジー\n少し良い戦略は、Tailsのようなシステムでコンピュータを起動し、同じ3本のUSBスティックバックアップ戦略を使用することです。最も慎重な人は電子機器が関与しているから良くないと言うかもしれませんが、これは合理的なソリューションです。\nアナログ単一バックアップ\nレジャーに付属の用紙を使用し、鍵を書き、1枚を自宅に隠し、もう1枚を銀行の貸金庫に入れることができます。\nこの問題点は、誰かがシードの紙を手に入れれば、すべてを使えてしまうことです。家が泥棒に入られたり、金庫が差し押さえられたり、不正な銀行員にアクセスされたりした場合に起こり得ます。\nもう1つの問題は、紙はかなり簡単に破壊されることです。ただし、スチールプレートなどにシードを書き込むことで、この問題は簡単に解決できます。\nShamirストラテジー\nShamir Backupを使用すると、シードの複数のシェアを生成し、異なる人や場所に保管できます。例えば、2-3スキームを生成し、1つを自宅に保管し、残りの2つを異なる銀行の異なる貸金庫に入れることができます。このスキームでは2つのシェアだけが必要なので、誰かが1つを盗んだり、1つが失われても、残りの2つで資金にアクセスできます。\n最大16のリカバリーシェアを使用できるため、信頼モデルに応じて多くの組み合わせが可能です。例えば、7-10スキームでは、攻撃者がシードの7つのシェアを手に入れる必要がありながら、3つが失われても問題ありません。\nTrezorのパスワードを活用する\nTrezorではシードに加えて使用されるパスワードを作成できるため、シード単独が漏洩しても資金が侵害されないという安全性が得られます。この場合、「アナログ単一バックアップストラテジー」を使用し、ウォレットパスワードをパスワードマネージャーに保存するだけで済みます。\n複数のストラテジーのバリエーションが可能であることに注意してください。例えば、パスワードなしのウォレットに一部の資金を残し、パスワードAのBTCウォレットとパスワードBのETHウォレットを持つことができます。同じTrezor/シードで好きなだけ多くのパスワードを使用できます。\nバックアップに関するその他の考慮事項\nバックアップ戦略を作成する際に考慮したいことの1つは、あなたに何かが起きた場合にコインがどうなるかです。銀行と違い、適切な鍵がなければ資金の回復は絶対に不可能です。\nこれに対処するために、前述の戦略を検討し、あなたに何かが起きた場合に資金を回復できるように適応させる方法を考えることができます。何に抵抗がないか考える必要がありますが、基本的な例としては、信頼できる人々にShamir Backupシェアを配布し、鍵を持っている人のリストを弁護士に預けること（シェア保有者には、シェアをどこに、誰に渡すべきか、渡すべきでないかの指示を事前に与えた上で）が挙げられます。\nクレジットと参考資料 # 参考資料 # Shamir Backup Trezor Passphrase bitcoin.it wiki bitkey - エアギャップ用の自己完結型ライブCD/USB How should I store my bitcoin? SmartCustody: Simple Self-Custody Cold Storage Scenario クレジット # カバー写真: CardMapr / Unsplash ","date":"2021年10月14日","externalUrl":null,"permalink":"/ja/posts/2021/how-to-keep-your-coins-safe-the-different-options/","section":"記事","summary":"注意: この記事はLLMによって英語から翻訳されたものです。正確性については保証いたしかねますので、あらかじめご了承ください。英語の原文はこちら。\n","title":"コインを安全に保管する方法：さまざまな選択肢","type":"posts"},{"content":"As every week, here is our news summary regarding APTs, Cryptocurrencies, Darknet, General Security, and ransomware. All of that in about a thousand words.\nAdditionally, we wrote an article on How to Protect Yourself from People Impersonating You via Email using DKIM, SPF, and DMARC.\nAPT # Academics discover hidden layer in China\u0026rsquo;s Great Firewall (The Record)\nResearchers at the University of Maryland discovered a previously unknown layer in the Great Firewall of China. This extra layer is believed to allow redundancy to the already existing HTTPS filtering system based on the Server Name Indication, which is an extension of TLS that allows seeing the website to which the client is trying to connect.\nGoogle warns 14,000 Gmail users targeted by Russian hackers (Bleeping Computer)\nGoogle warned about 14,000 Gmail users that they were targeted by state-sponsored phishing attacks from APT28 (also known as Fancy Fear) which is believed to be part of the Russian GRU.\nRussian cyberattacks pose greater risk to governments and other insights from our annual report (Microsoft Blog)\nMicrosoft published its annual digital defence report for 2021. It highlights that 58% of the nation-state attacks they observed were coming from Russia, which is increasingly attacking government agencies (3% of the targets one year ago compared to 53% now) and gaining efficiency (21% of successful compromise last year vs 32% now). The report also explores other APTs and digital threats such as ransomware.\nCryptocurrencies # Justice Department Sets Up National Cryptocurrency Enforcement Team (Wall Street Journal)\nThe US Department of Justice announced the creation of a Cryptocurrency Enforcement Team to go after criminals involved with cryptocurrency activity such as money laundering, theft, or ransomware.\nHackers bypass Coinbase 2FA to steal customer funds (The Record)\nCoinbase submitted a notification letter to the US state attorney general office stating that intrusions took place this year between March and May. A third party took advantage of Coinbase\u0026rsquo;s SMS account recovery process to breach 6,000 accounts. The company said it will reimburse the amounts lost during the intrusion.\nDarknet # White House Market to Close Down (Ixonae on Security)\nMr White, the White House Market administrator announced on October 1st that he would retire after fulfilling his goal. He announced that he would give enough time for the market\u0026rsquo;s users to finish their transactions and withdraw their funds.\nTor2Door was Thought to be Exit Scamming Earlier this Week (Twitter)\nAfter some users of the Tor2Door market encountered issues with funds withdrawing, Paris, one of the Dread forum administrators posted an announcement stating that the market had probably exit scammed. After the Tor2Door administrator reached out, he withdrew his original post and announced that all was probably ok and that the situation was monitored.\nGeneral Security # Symphony Technology Group Announces Bryan Palma Appointment (Business Wire)\nThe Symphony Technology Group, a private equity firm focused on software, data, and analytics, announced its acquisition of FireEye Products, and FireEye merge with McAffee enterprise. The two combined entities will have more than 40,000 customers, 5,000 employees, and about USD 2 million of revenue.\nActively exploited Apache 0-day also allows remote code execution (Bleeping Computer)\nThe CVE-2021-41773 taking advantage of a vulnerability in Apache\u0026rsquo;s CGI mod was found to allow path traversal earlier this month. After some PoC surfaced on the Internet, it became clear that the flaw is more critical than first thought, as it allows remote code execution as well. Among other things, the vulnerability requires an Apache version 2.4.49 to be exploited.\nAnonymous leaks Twitch source code and business data on 4chan (The Record)\nIndividuals claiming to be part of Anonymous leaked source code and various business data (allegedly including streamers payout data) belonging to Twitch (the video streaming platform) on 4chan. The authors claimed that the reason for their actions is in response to the Twitch \u0026ldquo;community [being] a disgusting toxic cesspool\u0026rdquo;. The leak is 128 GB large and contains 6,000 internal Git repositories.\nPut Your Finger on the Pulse of What\u0026rsquo;s New with the YubiKey Bio Series (Yubico)\nYubico released the first YubiKey supporting biometric (fingerprint) authentication after it was previewed at Microsoft Ignite in 2019. The key will come in USB-3 and USB-C variants for USD 80.\nBotnet abuses TP-Link routers for years in SMS messaging-as-a-service scheme (The Record)\nResearchers discovered that a malicious actor was hacking TP-Link routers since at least 2016. The routers were used to send betting tips, confirmation of online payment and donations, and messages whose meaning is still to be understood.\nPrivacy # Largest mobile SMS routing firm discloses five-year-long breach (Bleeping Computer)\nSyniverse, a company providing \u0026ldquo;nearly every mobile communications provider, the largest global banks, the world\u0026rsquo;s biggest tech companies\u0026rdquo; (including Vodafone, AT\u0026amp;T, T mobile, Verizon, \u0026hellip;) with text messaging routing services, announced that hackers had access to its database for over five years, and compromised login credentials belonging to hundreds of customers.\nThe Telegraph exposes 10 TB database with subscriber info (Bleeping Computer)\nA researcher discovered that 10 TB of data belonging to The Telegraph, one of the biggest British newspapers was accessible online and non-protected. It contained the data of at least 1,200 subscribers including their name, email and IP addresses as well as authentication tokens. It took the newspaper two days to reply to the findings and address the issue.\nOver 1.5 billion Facebook users\u0026rsquo; personal data found for sale on hacker forum (Tech Republic)\nThe personal data of over 1.5 billion Facebook users are reportedly being sold online. It contains names, email addresses, locations, and phone numbers, but there is no indication that Facebook suffered any kind of breach. The data was likely obtained through scrapping.\nApple says apps must offer a way to delete your account starting in early 2022 (Engaget)\nApple announced that from January 31st, 2022, all the developers who let their iOS and macOS applications users create accounts will have to provide a way to delete these accounts from the application.\nRansomware # Lawsuit claims ransomware attack caused fatal injury to infant at Alabama hospital (Tech Republic)\nAn Alabama hospital was hit by ransomware in 2019, which caused some monitoring material to not work properly during a childbirth, inflicting the child brain damages. He died 9 months later in the first alleged death by ransomware. The Wall Street Journal reported that a lawsuit was filed by the mother.\nUS unites 30 countries to disrupt global ransomware attacks (Bleeping Computer)\nUS\u0026rsquo;s president, Joe Biden, announced that the US will \u0026ldquo;bring together 30 countries to accelerate [their] cooperation in combating cybercrime, improving law enforcement collaboration, stemming the illicit use of cryptocurrency, and engaging on these issues diplomatically\u0026rdquo;. This comes after ransomware caused major issues, such as during Colonial Pipeline\u0026rsquo;s attack earlier this year.\nConti gang threatens to dump victim data if ransom negotiations leak to reporters (The Record)\nAfter payment negotiation chats were shared publicly, the Conti ransomware group threatened hacked companies in a public statement. The group said that in case of leaks, they would publish the victims\u0026rsquo; data, or someone\u0026rsquo;s else if it is done after the ransom was paid and the data deleted by the operator.\nRansomware gang arrested in Ukraine with Europol\u0026rsquo;s support (Europol)\nOn September 28th, a coordinated strike involving the French National Gendarmerie, the Ukrainian National Police, and the FBI, in collaboration with Europol and Interpol arrested two prolific ransomware operators in Ukraine and sized the equivalent of about USD 2 million of assets. The ransomware group is suspected of having committed attacks against very large industrial groups in Europe and North America from April 2020, demanding ransoms ranging between EUR 5 and EUR 70 million.\nWarren \u0026amp; Ross Introduce Bill to Require Disclosures of Ransomware Payments (warren.senate.gov)\nUS Senator Warren and Representative Ross introduced a bill to help to tackle ransomware. It would require companies to disclose information (such as amount, the currency used, any information about the extortioner \u0026hellip;) about ransomware payment within 48 hours after paying. The Department of Homeland Security would also be required to make public the information, excluding identifying information.\nInteresting Long Reads # Even Censors Have a Backup: Examining China\u0026rsquo;s Double HTTPS Censorship Middleboxes Illegal Activities Endure on China\u0026rsquo;s Dark Web Despite Strict Internet Control (Recorded Future - Full PDF here) Microsoft Digital Defence Report 2021 ","date":"2021-10-08","externalUrl":null,"permalink":"/blog/weekly-news-recap-9/","section":"News","summary":"As every week, here is our news summary regarding APTs, Cryptocurrencies, Darknet, General Security, and ransomware. All of that in about a thousand words.\nAdditionally, we wrote an article on How to Protect Yourself from People Impersonating You via Email using DKIM, SPF, and DMARC.\n","title":"Weekly News Recap 9","type":"news"},{"content":"注意: この記事はLLMによって英語から翻訳されたものです。正確性については保証いたしかねますので、あらかじめご了承ください。英語の原文はこちら。\n現在、メールは広く使用されているコミュニケーション手段です。そのため、攻撃ベクトルとしても広く使用されています。2020年に世界中の組織の75%がフィッシングを経験したと言われており、ソーシャルエンジニアリング攻撃の最大95%がメールを通じて配信される可能性があるとされています。もちろん、これらすべての攻撃を防ぐ魔法はありませんが、悪意のある人物がメールであなたになりすますことを防ぐのに役立ついくつかのメカニズムがあります。これらのメカニズムは、いくつかのDNSエントリを設定するだけで済みます（独自のメールサーバーを運用している場合を除きます。ここではそれについては扱いません）。さらに良いことに、これらのDNSエントリを設定することで、メールがスパムとしてフラグされにくくなるため、メールの配信性も向上します。\nSender Policy Framework (SPF) # 簡単に言えば、SPFはドメイン名を使用してメールを送信することを許可されたサーバーをリストアップすることができます。メールが送信されると、受信サーバーは送信者ドメイン（envelope-fromから取得）のSPFエントリを照会し、メールを受信しているサーバーと比較します。一致しない場合、メールはフラグされるか拒否される可能性があります（最終的には、受信サーバーが何をするかを決定します）。\n設定は非常にシンプルで、DNS設定にTXTエントリを追加するだけです。例えば、以下の（DNS TXTエントリの内容）は1.1.1.1、192.168.0.1/8、およびexample.comのAレコードからのすべてのメールを許可し、他のサーバーはこのドメイン名でのメール送信を許可されていないことを示しています。なお、ルールには10個以上のルックアップ（例：aエントリの解決）を含めることはできません。\nv=spf1 ip4:1.1.1.1 ip4:192.168.0.1/8 a:example.com -all\nIPv4アドレスと範囲、ドメイン名に加えて、IPv6やMXなど多くの他のオプションが利用可能です。\n許可されたサーバーからメールが送信されていない場合にSPFチェックを失敗させる-allの代わりに、~allでソフトフェイルを発生させたり、?allで明示的にマークされていないアドレスについて何も言えないことを示したりできます。+allは、ドメイン名の代わりに任意のサーバーがメールを送信することを許可することを示すために使用できます。\nこれはすべて良いのですが、SPFは完璧ではありません。メールボックスemail@example.comがemail@example.netに自動的にメールを転送するように設定したとします。SPFで許可されていないIPからemail@example.comにメールを送信した場合、email@example.netは元のSPFが無効であることを検知できません。\nDomain Keys Identified Mail (DKIM) # 前のパートで、SPFだけではメールの転送時に無視されるなどの理由からメールの認証を保証するには不十分であることを述べました。DKIMはメールを認証するもう1つのオプションであり、メールが転送されても失われないという利点があります。\nDKIMの仕組みは非常にシンプルです。送信者のドメインには公開鍵を含むDNSエントリが必要です（設定方法についてはメールホスティングプロバイダーのドキュメントを参照してください）。対応する秘密鍵は送信メールの署名に使用されます。メールを受信すると、受信サーバーは送信者が使用したドメイン名のDNSレコードから公開鍵を取得し、署名が正しいかどうかを確認します。\n例を見てみましょう。以下は、DKIMを使用するサーバーから送信された受信メールのヘッダーの一部です。\nDkim-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=haveibeenpwned.com; h=content-type:from:mime-version:to:subject:list-unsubscribe; s=s1; bh=XnUR5B4bb9/iGnKkBNkjeCE5H9eTJoZZhuc28eSwj/Y=; b=CwFiOJD nrpW8docGIVBd/A+bPcOjmmVg0letY5gf43QQTSD3V1bJ4wkt3l1LSBT1uDqhkzK QxBQttzZIxnmcYY5E/sP/tj1UseO0KEBq/s6Mt1X5AHtvDScaIJgoTfeay3sIU+O 6Edb/G0uCDhSW6JY8gAnXgVKFcooGBp43+yk= 複数のフィールドを確認できます：\na=rsa-sha256はメッセージの署名に使用されたアルゴリズムを示します c=relaxed/relaxedは送信ドメインの正規化ポスチャーを定義します。ここでは、ハッシュ前にヘッダー名を小文字にしたり、行末の空白を削除するなどの再フォーマットが行われます。relaxedの代わりにstrictを使用することもでき、その場合はコンテンツが100%同一であることが要求されます。例えば、c=relaxed/strictはメールのヘッダーの再フォーマットを許可しますが、本文は厳密に変更されていないことを要求します。relaxedオプションは、メールサーバーが処理中にヘッダーを再フォーマットすることがあるため、不必要な失敗を避けるのに便利です d=haveibeenpowned.comは署名がどのドメイン用に作成されたかを示します h=[...]はメッセージが署名された時に存在していたヘッダー（つまりハッシュに含まれたもの）をリストします s=s1はドメインの公開鍵のセレクタがs1であることを示します。後で説明します bh=[...]は正規化されたメッセージ本文のbase64ハッシュを含みます。なお、パラメータにlオプションを指定して、ハッシュの計算に使用する本文の最大長を指定することもできます。つまり、長さlの後にコンテンツが含まれていてもDKIMは有効のままです b=[...]はbase64署名を含みます 受信サーバーがメッセージを受け取ると、bに提供された署名が有効かどうかを確認しようとします。そのために、メールを送信したドメインの鍵を取得するDNSクエリを行い、以下のような応答を受け取ります：\nuser@Host ~ % dig TXT s1._domainkey.haveibeenpwned.com [...] ;; ANSWER SECTION: s1._domainkey.haveibeenpwned.com. 300 IN CNAME\ts1.domainkey.u3489673.wl174.sendgrid.net. s1.domainkey.u3489673.wl174.sendgrid.net. 474 IN TXT \u0026#34;k=rsa; t=s; p=[key]\u0026#34; digクエリのs1に注目してください。これはメールのDKIMヘッダーのsフィールドにあったセレクタ値です。DKIMエントリは常に[selector]._domainkey.domain.tldに保存されます。\nDNS応答で提供された鍵を取得した後、受信サーバーは署名が有効でコンテンツと一致することを確認します。一致しない場合、検証は失敗します。そうでなければ、以下のようなものがメールヘッダーに追加されます。\nAuthentication-Results: mailin007.protonmail.ch; dkim=pass (1024-bit key) header.d=haveibeenpwned.com header.i=@haveibeenpwned.com header.b=\u0026#34;EwFk1JDn\u0026#34; Domain-based Message Authentication, Reporting and Conformance (DMARC) # ここまでの内容を理解していれば、メールサーバーのアドレスはSPFエントリの一部であり、メッセージはDKIMのおかげで署名されています。これは良いことですが、攻撃者がメッセージを偽造して自分のサーバーから（DKIMを含めずに）送信した場合はどうなるでしょうか？このシナリオでは、メールは受信サーバーで許可される可能性が高く、受信者のメールボックスに届くことになるでしょう。\nここでDMARCが役立ちます。このメカニズムには以下の利点があります：\nSPFまたはDKIMチェックに失敗したメールの処理方法について、受信メールサーバーにガイドラインを提供できます（サーバーがそれを強制する義務は一切ありませんが） サブドメインでのSPF管理のための追加オプションを提供します（~allに一致するサーバーはfailとしてマークされます） ドメイン名を使用して送信されたメールについてフィードバックを受け取ることができ、デバッグや悪意のある活動の検出に便利です DMARCはRFC5321のMailfromヘッダーとRFC5322のMailfromヘッダーが一致することを確認し、DMARCとSPFの弱点に対処します 他の2つの項目と同様に、DMARCは_dmarc.domain.comに配置される単一のTXT DNSフィールドで設定されます。以下のスニペットは設定の例を示しています。\nv=DMARC1; p=reject; sp=reject; ruf=mailto:security@example.com; aspf=s; adkim=s; fo=1; 各フィールドを見てみましょう：\nv（必須）はDMARCバージョンです（常にDMARC1） p（必須）はSPFまたはDKIMチェックが失敗した場合のexample.comから送信されたドメインのポリシーを定義します。rejectに設定するとユーザーのメールボックスには何も届かず、quarantineはメールをスパムに送り、noneは何もしません poはpと同じことをサブドメインに対して行います rufはメールが検証に失敗した際にフォレンジックレポートを受け取るメールアドレスを定義できます。ruaは同様のオプションで、ドメインに関するアクティビティの日次（簡略化された）集約レポートを送信します（例えば、日中にGmailにメールを送信した場合、Gmailは1日の終わりにさまざまな操作を集約したレポートを送信します）。一部のサーバーはレポートを送信しない場合があります aspfはSPFの追加ポリシーを設定できます。strict（s）またはrelaxed（r）のいずれかです。example.comのSPFレコードがある場合、mail@test.example.comから送信されたメールは、ポリシーがstrictの場合SPF検証に失敗し、relaxedの場合は成功します adkimはaspfと同じことをDKIMに対して行います foはメールが検証に失敗した際のログレベルを設定できます。0（デフォルト）はSPFとDKIMの両方が失敗した場合にレポートを送信し、1はDKIMまたはSPFのいずれかが失敗した場合に送信し、dはDKIMが失敗した場合にメールを送信し、sはSPFの場合です。ルールを組み合わせることも可能で、例えばfo=0:d;のようにできます。 便利なツール # メールのDNSエントリを設定する際に役立つと思うツールのリストです。\nmxtoolbox.com - メール設定を確認するためのさまざまなオンラインツール mail-tester.com - メールサーバーから送信されたメールに点数を付け、問題があるか改善すべき点があるか教えてくれます whatsmydns.net - DNSエントリが適切に伝播しているか確認できます 参考資料 # SPF Lookup Limit Explained DMARC Adoption in 2021: What\u0026rsquo;s the Problem? [More about DMARC](https://en.wikipedia.org/wiki/DMARC) More about DKIM RFC-4871 ","date":"2021年10月07日","externalUrl":null,"permalink":"/ja/posts/2022/spf-dkim-and-dmarc-how-to-protect-yourself-from-people-impersonating-you-via-email/","section":"記事","summary":"メールは本質的にセキュアではなく偽造が容易です。SPF、DKIM、DMARCを使用してドメインを保護し、なりすましを防ぐ方法を学びましょう","title":"SPF、DKIM、DMARC：メールでのなりすましから身を守る方法","type":"posts"},{"content":"注意: この記事はLLMによって英語から翻訳されたものです。正確性については保証いたしかねますので、あらかじめご了承ください。英語の原文はこちら。\n「我々は目標を達成した。計画通り、引退の時が来た。」これは、White House Marketの管理者であるMr Whiteが10月1日に投稿した引退メッセージの冒頭である。彼は続けて、新規登録を即時停止すると述べた。\nこのダークマーケットは、すべての注文の完了、紛争の解決、およびユーザーの資金引き出しのために引き続き運営される。管理者はベンダーに対し、閉鎖を利用して悪意のある行為をしないよう促し、フィードバックシステムがまだ機能していること、そしてRecon（ダークネットマーケット検索エンジン）と共有されていることを強調した。\nこのマーケットは2019年8月に作成されて以来、2年余り活動していた。本日時点で、3,450人のアクティブなベンダー、48,103件のリスティング、894,479人のユーザー（うち326,611人がアクティブ）を擁していた。ユーザーの匿名性を守るためにXMRのみを受け付ける最初のマーケットであったこと、またセキュリティを真剣に考慮していたこと（例えばPGP二要素認証を必須としていたこと）で高く評価されていた。\nWhite House Marketは1周年以降、そしてEmpire Marketの出口詐欺（この記事を参照）の後、大幅に成長していた。当時、マーケットのユーザー数は約20万人に過ぎなかった。興味深いことに、この閉鎖発表はSilk RoadがFBIによって閉鎖された日（2013年10月1日）からちょうど8年後に行われた。\n以下が公式の署名付きメッセージである。\n-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 We have reached our goal and now, according to plan, it\u0026#39;s time to for us to retire. Effective immediately user registration and ordering have been disabled, everything else (yes, withdrawals included) is working as usual. We will keep the market online for a limited time until open orders are finalized, disputes handled and coins withdrawn. We don\u0026#39;t know how long that will take but don\u0026#39;t expect to come back 6 months from now and find the market up. All market rules are still in effect so users (both buyers and vendors) should not try to take advantage of the situation and scam, the feedback system is still working and will be shared with Recon and other markets. Because this week\u0026#39;s featured listings and stickies won\u0026#39;t generate any revenue vendors who paid for them will be refunded via their market wallet. Vendors can now advertise the markets where they operate on their vendor profiles however direct contacts are still disallowed. For alternative markets check out /d/Superlist on Dread, the ones listed there are established and going strong. Keep in mind any market can disappear at any time and for what ever reason (exit scam, law enforcement operation, hack, technical issue and so on) but markets like Monopoly (true wallet-less, direct deal) and Versus (enforced multisig) greatly minimize damage. You can also give a chance to new markets, we all have to start somewhere. Thanks everybody for your business, trust, support and of course for placing decent amounts of money in our pockets. We may come back some time in the future with a different project or we may not. Meanwhile be on the lookout for phishing or copycats, if it\u0026#39;s not signed by us it\u0026#39;s not us. Good luck and stay safe. -----BEGIN PGP SIGNATURE----- iQIzBAEBCAAdFiEEc4TySQeVvYawDu/c067gT8TGAH4FAmFW6awACgkQ067gT8TG AH54eg//ZVpgKAGtzF5JKorgQjGG1Vv157XfzyBBGSlXSRnq1Rzqzsn3gtMpqm1N ge/ocBdF2hWTocNsOubPTczeA1tIMLZHrnsC/OfeewQzFfDa0VmYQsUZZ4IVm35x kTgnKsbYHReLV3F40TnBJLBNxtxSinX8tYSeipQZydoiwbNXYrQlkBvkEw5d3AIT vBKEIw9/dD8+0mofZn/blSzxAeHfspIC92LrzxBdK8W2sHnYMIZ8s7/XvTV80GN1 4+UMKXqG6xc9tfYNlzCLIEp51HbOREAcOxzz8hEzDR0aA4BA/HlVsLRF2Kqamzc0 7IIIgNG17UyUa4NarqKxRnLCOnMxqBalotmAG/YIcitjIRc5yMEEwwLIOalbR1b0 FFmZIJKNP86nwSA1eK1nAG4ZzUqbQlmaXYmq3PHAdz2pvSjg2s5xEcfyN+pW7cfd LeJyW0T8gEpReHKXtK4itWKaYuoYrHtJb24qBLFk6pYFfp5vKiBDkg5JRN35T19S FKWDABVW6nz1M3MlFYUNJSW4I7/CuYOm5dwLiY17S0mk700rArnzf3OyAc0O7leF nst6ymaDnYsbGxKHny2+sjdw836SH0KCxTQ7dIPKa0pox4dpHicLAso8h/oLmj8E LQ2hSzjGoZeXePcNmkBWf4Bz51Orbpofdo697vBWR9lVyss8LGM= =yBQ4 -----END PGP SIGNATURE----- ","date":"2021年10月02日","externalUrl":null,"permalink":"/ja/posts/2021/white-house-market-to-close-down/","section":"記事","summary":"注意: この記事はLLMによって英語から翻訳されたものです。正確性については保証いたしかねますので、あらかじめご了承ください。英語の原文はこちら。\n","title":"White House Market 閉鎖へ","type":"posts"},{"content":"After a couple of months of absence, our weekly news recap is back. Find out more about what happened this week in security, cryptocurrencies, privacy, and darkweb in about a thousand words only. In addition, if you have an iOS device, you might be interested in the article we wrote this week that suggests various ways to improve your security and privacy while using it.\nAPT # EU officially blames Russia for \u0026lsquo;Ghostwriter\u0026rsquo; hacking activities (Bleeping Computer)\n\u0026lsquo;Ghostwriter\u0026rsquo; is a disinformation campaign promoting Russian security interests that has been going on since at least March 2017, according to FireEye. On September 24th, the European Union officially blamed Russia for the operation and pledged to consider taking further steps.\nCryptocurrencies # Ethereum dev admits to helping North Korea evade crypto sanctions (Bleeping Computer)\nGriffith, a cryptocurrencies expert who was notably involved in Ethereum development was arrested and faces 20 years in prison after (among other things) travelling to North Korea to give a presentation on how to use cryptocurrencies to launder money and evade sanctions.\nChina expands crackdown by declaring all crypto activities \u0026lsquo;illegal\u0026rsquo; (Financial Times)\nAfter banning domestic financial institutions from providing crypto-currencies services earlier in May, China\u0026rsquo;s central bank took the crackdown further by declaring all activities related to digital coins illegal. Furthermore, China\u0026rsquo;s authorities stated that it was illegal for overseas exchanges to provide their services to China\u0026rsquo;s residents.\nBitcoin.org hackers steal $17,000 in \u0026lsquo;double your cash\u0026rsquo; scam (Bleeping Computer)\nHackers managed to break into bitcoin.org on September 23rd, and displayed a modal window saying: \u0026ldquo;The Bitcoin Foundation is giving back to the community! [\u0026hellip;] Send Bitcoin to this address, and we will send double the amount in return!\u0026rdquo;. As of now, the website is back to normal, but how it was breached is still unclear.\nDarknet # Trio Avoids Prison in Darkweb Drug Distribution Case (Darknet Live)\nThree British residents received suspended sentences for selling marijuana, cocaine, and amphetamine in the darkweb. They got caught after a 1kg package shipped from the Netherlands to their residence was intercepted at the airport in 2017.\nGeneral Security # Autodiscovering the Great Leak (Guardicore Labs)\nResearchers managed to exploit a design flaw in Autodiscover, a protocol used by Microsoft Exchange, to obtain 96,671 unique Windows domain credentials. The flaw could be exploited by registering domains with the same tld as the victims. If victims had emails at example.com, registering the domain Autodiscover.com would lead to receiving victims\u0026rsquo; data if an Autodiscover.xml could not be found at example.com. In addition, researchers managed to develop a downgrade attack to receive plain-text credentials through HTTP Basic Authentication (Microsoft announced it would be disabled from October 2022).\nMicrosoft adds novel feature to Exchange servers to allow it to deploy emergency temporary fixes (The Record)\nOn September 28th, Microsoft started rolling out a new security feature for Exchange email servers. Once Microsoft detects a new attack, the Microsoft Exchange Emergency Mitigation service will automatically download and apply temporary mitigations to Exchange servers while waiting for a proper patch to be available. This comes after Exchange servers were widely used by threat actors (such as China) as an attack vector for a couple of years.\nResearcher dumps three iOS zero-days after Apple failed to fix issues for months (The Record)\nA few days after Apple released iOS 15, a researcher published a list of three zero-days (along with proofs of concept) that he claims Apple failed to patch, despite being reported earlier this year. The flaws allow applications to get personal data such as AppleID emails, names, auth tokens, the list of applications installed on the device, and WiFi information.\nApple AirTag Bug Enables \u0026lsquo;Good Samaritan\u0026rsquo; Attack (Krebs on Security)\nApple\u0026rsquo;s AirTags are devices allowing to track lost items. One of their features is to let the owner record a phone number where he can be contacted and a personal message. If someone finds the AirTag, he can just scan it to see this information. A researcher found that it is possible to inject code into the phone number field, which could be exploited in ways such as redirecting people scanning a lost device to a fake Apple portal to steal their personal information.\nCloudflare Ventures into Simplifying Email Security (Dark Reading)\nCloudflare announced its intention to help to tackle the email security problem. In addition to making it easier for its customers to configure DNS security features for email (DKIM, DMARC, SPF), they released a new service (in private beta) allowing users to route emails through their servers.\nHTTPS Is Actually Everywhere (EFF)\nEFF decided to start depreciating the HTTPS Everywhere extension after having maintained it for ten years. In this period, we saw a huge increase in HTTPS usage, thanks to initiatives like Let\u0026rsquo;s Encrypt, which allowed people to generate SSL certificates easily and free of charge. Lately, all the major browsers also integrate an option to force HTTPS when visiting websites.\nResearchers discover bypass \u0026lsquo;bug\u0026rsquo; in iPhone Apple Pay, Visa to make contactless payments (ZDNet)\nResearchers from Birmingham university announced that they discovered a flaw allowing to bypass iPhone\u0026rsquo;s lock screen to make cashless transactions with Apple pay if it contains a Visa card setup in Express Transit Mode. The attack allows spending money over the contactless limit but requires having physical access to the phone.\nFCC to work on rules to prevent SIM swapping attacks (The Record)\nSIM swapping is an attack allowing hackers to get their hands on people\u0026rsquo;s phone numbers, which they then often use to steal from online banking or crypto-currencies exchange platforms. The FCC announced a formal rulemaking process due to a large amount of consumers complaints.\nAndroid Trojan GriftHorse, the gift horse you definitely should look in the mouth (Malwarebytes)\nResearchers at Zimperium discovered an Android malware campaign that they estimate has been active since at least November 2020. When victims download one of the malicious applications, they are subscribed to paying services, taking away over USD 30 a month. Over the last few months, GrigtHorse has infected more than 10 million devices in more than 70 countries.\nPrivacy # Lithuania wants users to dump Chinese phones citing data collection (Hack Read)\nLithuania\u0026rsquo;s National Cyber Security Center announced the discovery of multiple flaws in some models of Android phones manufactured by the Chinese companies Huawei, OnePlus, and Xiaomi. In addition to applications leaking personal data, the researchers discovered that some Xiaomi and Huawei phones contained content-filtering features, and received updated lists of words/phrases to censor. Full report here.\nNew Chrome feature can tell sites and webapps when you\u0026rsquo;re idle (Tech Republic)\nIn the recently deployed Google Chrome 84, the company added a new API allowing to \u0026ldquo;notify developers when a user is idle, indicating such things as lack of interaction with the keyboard, mouse, screen, activation of a screensaver, locking of the screen, or moving to a different screen.\u0026rdquo;. Surely it could do more harm than good to the users and can be disabled in the browser\u0026rsquo;s configuration screen.\nMasked Email from Fastmail and 1Password protects your identity online (Fastmail Blog)\n1Password released a new feature in collaboration with Fastmail. It allows generating unique email addresses on the fly from the password manager. The addresses can then be changed or removed if spam occurs. Generally speaking, having a unique email address for each account you create is a good thing to do for both security and privacy.\nFormer OnlyFans Employees Could Access Users\u0026rsquo; and Models\u0026rsquo; Personal Information (Vice)\nOnlyFans is a service largely used by sex workers to sell various pornographic material. According to a former employee, ex-employees of the company are able to access the support system long after leaving. Doing so may allow them to get a large number of sensitive information such as credit card information, driver\u0026rsquo;s licenses, passports, bank statements, \u0026hellip;\nInteresting Long Reads # The Business of Fraud: Laundering Funds in the Criminal Underground (Recorded Future) Value of the Choice Requirement Remedy (which.co.uk), full report here ","date":"2021-10-01","externalUrl":null,"permalink":"/blog/weekly-news-recap-8/","section":"News","summary":"After a couple of months of absence, our weekly news recap is back. Find out more about what happened this week in security, cryptocurrencies, privacy, and darkweb in about a thousand words only. In addition, if you have an iOS device, you might be interested in the article we wrote this week that suggests various ways to improve your security and privacy while using it.\n","title":"Weekly News Recap 8","type":"news"},{"content":"注意: この記事はLLMによって英語から翻訳されたものです。正確性については保証いたしかねますので、あらかじめご了承ください。英語の原文はこちら。\n過去20年間でスマートフォンは誰もが日常的に使うものとなり、私たちの多くはコミュニケーションやニュースの閲覧などに毎日利用しています。AppleのiOSはスマートフォン向けの2大オペレーティングシステムの一つであり、全スマートフォンの約25%に搭載されていると言われています。\n多くのプライバシー専門家を怒らせた最近の批判にもかかわらず、Appleは競合のAndroidと比較してデータ収集の面でより優れているという評判を持っています（Appleは「プライバシーは[\u0026hellip;]私たちの核心的な価値観の一つです」と述べています）。しかし、最近の研究によると、iOSもAndroidも平均4.5分ごとにGPS位置情報や近くのデバイスのMACアドレスなどのデータをAppleやGoogleに送信していることが判明しました。\n結局のところ、プライバシーの観点で最善の選択は、スマートフォンを持たないか、Googleサービスなしの Lineage OSやGraphene OSのようなものを使うことですが、私たちの多くはスマートフォンとその機能を必要としているため、ある程度の妥協が必要です。\nこの記事では、iOSで変更可能な設定のリストを提供し、デバイスのプライバシーとセキュリティを少しでも向上させることを目指します。これらの設定はあくまで提案であり、自分に合ったものだけを選んで適用してください。最終的には、プライバシーやセキュリティと利便性のトレードオフをどこで行うかは、あなた自身が決めることです。\nAppleがあなたについてどのようなデータを収集しているか興味がある方は、以前の記事をご覧ください。\nセキュリティの改善 # Apple ID # パスワードとセキュリティ # 二要素認証を有効にする 可能であれば、信頼できる電話番号を公開されていない番号に設定する（すべての電話番号を削除することはできないようです） アカウントに問題が発生した場合に備えて確認コードを取得し、安全な場所に保管する Wi-Fi # 「ネットワークへの接続を確認」を「確認」に設定する。そうしないと、デバイスはパスワードなしのネットワークに自動的に接続しようとし、悪意のある人物に悪用される可能性がある 「ホットスポットへの自動接続」を「しない」に設定する 記憶済みのすべてのネットワークについて：今後使用しないネットワークを削除し、「プライベートアドレス」を有効にする。さらなるセキュリティのために、「自動接続」オプションも無効にすることを検討する。これは、攻撃者がWi-Fiパスワードを取得したり、悪意のあるホットスポットに接続させたりするのに悪用される可能性がある 通知 # 「プレビューを表示」オプションを「ロック解除時」または「しない」に設定する。そうしないと、攻撃者がスマートフォンを盗んだ場合、通知から機密情報（例：SMS二要素認証コード）を取得される可能性がある 一般 # ソフトウェア・アップデート # 「自動アップデート」オプションを有効にする アップデートには通常、複数の脆弱性の修正が含まれるため、できるだけ早くアップデートを実行する AirDrop # 「連絡先のみ」、またはさらに良い「受信しない」に設定する Face IDとパスコード # Face IDを使用する場合、「Face IDに注目を要求」オプションを有効にする 数字のPINを使用している場合、「パスコードを変更」から「カスタム英数字コード」を設定する 「ロック中のアクセスを許可」リストのすべてのオプションを無効にする 「データを消去」オプションを有効にする。注意：パスワードを10回間違えると、デバイスのデータが消去される その他の一般的なアドバイス # インストール済みアプリケーションをできるだけ早くアップデートする デバイスの脱獄（Jailbreak）はしない 一般 -\u0026gt; VPNとデバイス管理に不明なプロファイルがないか確認する プライバシーの改善 # Apple ID # 支払いと配送 # 物理的な商品を注文したり、適切な請求書が必要な場合を除き、偽の住所や名前を入力することができます。ただし注意点として：\n一部の決済プロバイダーは、登録情報と照合し、一致しない場合はリンクを拒否する（多くの場合、正しい郵便番号があれば十分） 偽の電話番号を入力すると、将来的にプライベートな情報が見知らぬ人に送信されるリスクがある プライバシーの観点からは、可能であればクレジットカードのリンクを避け、プリペイドデビットカードのリンクやApple Creditの購入が最善です。\niCloud # すべての同期項目を削除する。デバイスを紛失し、手動でバックアップを定期的に行っていない場合、データが失われることに注意 探す # このメニューの各種オプションを無効にすると、Appleに送信されるデータが減りプライバシーが向上する可能性がありますが、いくつかの欠点があります。セキュリティの観点からは、この機能は以下のことが可能なため便利です：\nデバイスの現在位置または最後の既知の位置を見つける デバイスを紛失した場合にメッセージを送信する デバイスをリモートで消去する Bluetooth # 使用していないときはオフにする VPN # この件については記事一本書けるほどの内容があります。スマートフォンでVPNを使用することは、使用しているアプリケーションがあなたに関するデータを少なく収集できるようになるため良いことです。また、一部のVPNアプリにはカスタムDNSサーバーがあり、広告やトラッキングをブロックできます。\nただし、常時接続のVPNはバッテリーを消耗するため、VPNプロバイダーを信頼できることを確認する必要があります。\n標準的なVPNの代替として、Lockdownはファイアウォールとして機能し、多くのトラッキングドメインをブロックできる優れたオプションです。\n通知 # 「画面共有」を「通知オフ」に設定する 「Siriからの提案」を無効にする 集中モード # 「デバイス間で共有」を無効にする スクリーンタイム # 完全に無効にするか、「デバイス間で共有」オプションを無効にする 一般 # 情報 # デフォルトでは「（名前）のiPhone」に設定されている。別の名前に変更する。「偽の名前のiPhone」にすると目立たないので良い AirPlayとHandoff # 「テレビに自動的にAirPlay」を「しない」に設定する 「HomePodに転送」を無効にする 「Handoff」を無効にする Appのバックグラウンド更新 # アプリケーションが使用されていないときに何もしないようにしたい場合は、このオプションを無効にできる キーボード # 「音声入力を有効にする」オプションを無効にする 言語と地域 # 優先する言語と地域を、居住している場所に合わせて設定する Siriと検索 # 「\u0026ldquo;Hey Siri\u0026quot;を聞き取る」を無効にする 「サイドボタンを押してSiriを使用」を無効にする 「Appleからのコンテンツ」と「Appleからの提案」をすべて無効にする プライバシー # 位置情報サービス # GPSが不要な場合は、位置情報を完全に無効にできる。そうでなければ、権限を個別に設定し、必要に応じて位置情報の有効/無効を切り替えることができる 「位置情報を共有」については、この記事の前のセクションで説明した GPSへのアクセスが不要なアプリケーションの権限が「許可しない」に設定されていることを確認する アプリケーションに位置情報の権限を許可する場合は、「正確な位置情報」オプションを無効にすることを検討する。例えば、天気予報アプリは正確な位置情報を必要としない（より良い方法は位置情報を許可せず、天気を知りたい場所を手動で入力すること） アプリケーションに位置情報のアクセスを許可するか迷う場合は、権限を「次回または共有時に確認」に設定する トラッキング # 「Appからのトラッキング要求を許可」を無効にする アプリケーションとその他 # すべての権限（連絡先、カレンダーなど）を確認し、不要なもの（使用していないもの。例えば、Twitterは連絡先やカレンダーを見る必要がない）をすべて削除する 「研究用センサーおよび使用状況データ」を無効にする 「解析と改善」を無効にする 「Apple広告」の「パーソナライズされた広告」を無効にする iOS 15ではAppleが「Appアクティビティを記録」するオプションを導入した。数日間有効にして、アプリケーションが何をしているか確認するとよい App Store # 「App内評価とレビュー」を無効にする。アプリケーションにレビューを残す利点はほとんどなく、プライバシーの観点からは良くない 「アカウント設定」-\u0026gt;「パーソナライズされたおすすめ」で、「App使用状況データを消去」を使用して不要なデータを削除する 「アカウント設定」で「パーソナライズされたおすすめ」を無効にする ウォレットとApple Pay # 「取引のデフォルト」で「メール」と「電話」を削除し、偽の住所を入力する（後で物理デバイスを注文する予定がある場合は注意） パスワード # Appleのパスワードマネージャーは使用しないことをお勧めする。安全/プライベートかどうかではなく、使用するとAppleのエコシステムにさらに縛られることになる。ただし、セキュリティの観点からは、すべてのサイトで同じパスワードを使うよりはましである 「セキュリティに関する勧告」の「漏洩したパスワードを検出」オプションを無効にする メール - プライバシー保護 # 「すべてのリモートコンテンツをブロック」を有効にする 「メールアクティビティを保護」と「IPアドレスを非表示」を無効にする。これはトラッキングピクセルを回避するためにAppleのVPNを使用しているようだが、すでにVPNを使用し、すべてのリモートコンテンツ（トラッキングピクセルを含む）をブロックしている場合は意味がほとんどない 電話 # 通話相手に電話番号を知らせる必要がない場合は、「発信者番号通知」メニューでブロードキャストされないようにできる メッセージ # iMessageを使用していない限り（お勧めしない）、このオプションを無効にする FaceTime # FaceTimeを使用していない限り（お勧めしない）、オフにする Safari # デフォルトブラウザAppとしてFirefox Focusの使用を検討する 検索エンジンをDuckDuckGoに設定する 検索エンジンの候補を無効にする 「クイックWebサイト検索」を無効にする 「Safariの候補」を無効にする 「トップヒットを事前に読み込む」オプションを無効にする 「自動入力」セクションのすべてのオプションを無効にする Firefox Focusがインストールされている場合、「機能拡張」で「コンテンツブロッカー」として許可する 「ダウンロード」ディレクトリを「このiPhone内」に設定する 「詳細」でJavaScriptの無効化を検討する（問題が発生する可能性あり） VPNを使用している場合（または使用していないがAppleに何も見られたくない場合）、「プライバシーとセキュリティ」メニューの「IPアドレスを非表示」を「オフ」に設定する 「プライバシーとセキュリティ」で「Apple Payの確認」メニューと「プライバシー保護広告効果測定」を無効にする セキュリティの観点からは最善ではないが、プライバシーを重視する場合は「プライバシーとセキュリティ」の「詐欺Webサイトの警告」を無効にできる 「Webサイトの設定」で「カメラ」、「マイク」、「位置情報」を「確認」または「拒否」に設定する 翻訳 # 「オンデバイスモード」オプションを有効にする マップ # 「到着予定を共有」オプションを無効にする 「気候」のすべてのオプションを無効にする 「マップの改善に協力」のすべてのオプションを無効にする 「メールでフォローアップ」を無効にする ショートカット # iCloud同期を無効にする プライベート共有を無効にする ヘルスケア # 「ヘルスケアの詳細」と「メディカルID」は、健康上の緊急事態で意識を失った場合に役立つ可能性がある。良い点と悪い点を比較し、情報を入力する前にどのオプションが自分にとって正しいか判断すべきである。スマートフォンにアクセスできる人（ロック中でも）はこの情報を見ることができることに注意 写真 # 「iCloud写真」を無効にする 「マイフォトストリーム」を無効にする 「共有アルバム」を無効にする これらを無効にすると、写真が自動的に保存されなくなることに注意 カメラ # 「QRコードをスキャン」を無効にする Game Center # サインインしている場合はサインアウトする 一般的なアドバイス # 新しいアプリケーションの権限を常に適切に設定する アプリが多いほど追跡される。厳密に必要でないアプリのインストールを控え、ブラウザ経由でサービスにアクセスすることを検討する クレジットと参考資料 # 参考資料 # NIST: Apple OS/iPad OS 14 STIG Ver 1, Rel 2 Checklist Details Douglas J.Leith: Mobile Handset Privacy: Measuring The Data iOS and Android Send to Apple And Google クレジット # 写真: Bagus Hernawan on Unsplash ","date":"2021年09月30日","externalUrl":null,"permalink":"/ja/posts/2021/how-to-harden-your-ios-device-for-a-better-security-and-privacy/","section":"記事","summary":"注意: この記事はLLMによって英語から翻訳されたものです。正確性については保証いたしかねますので、あらかじめご了承ください。英語の原文はこちら。\n","title":"iOSデバイスのセキュリティとプライバシーを強化する方法","type":"posts"},{"content":"注意: この記事はLLMによって英語から翻訳されたものです。正確性については保証いたしかねますので、あらかじめご了承ください。英語の原文はこちら。\nDNSサーバーはインターネットの柱の一つです。とりわけ、ドメイン名をIPアドレスに変換する機能を提供し、IPアドレスを知らなくてもサービスに簡単に接続できるようにしてくれます。\nDNSサーバーとドメイン名が役立つもう一つの用途とは？OSINTです。さまざまな仕組みを通じて、多種多様な有益な情報を得ることができます。この記事では、その情報を取得するいくつかの方法と、それを使って何ができるかを紹介します。まず、WHOISプロトコルの活用方法を見て、次にdigコマンドを使ってDNSエントリから情報を取得する方法を説明します。最後に、過去のデータについて議論し、それを取得するのに役立つサービスをいくつかリストアップします。\nこの記事は完全に網羅的であることを目指しているわけではなく、いくつかの主要な機能と情報の種類についてのみ取り上げることにしました。SSL証明書、サブドメイン、サイトマップからの情報取得など、ドメイン名に関連するその他のトピックは、今後の記事で詳しく取り上げるかもしれません。\nWHOISと所有者情報 # ドメイン名に関する情報を取得する最もよく知られた方法は、おそらくWHOISでしょう。WHOISは、ウェブサイトの所有者情報を含むデータベースに問い合わせるためのプロトコルです。WHOISはコマンドラインとして使用でき（例：whois domain.tld）、viewdns.info（多数のツールが利用可能）やwho.isなど、Webページからクエリを実行できるオンラインユーティリティも複数あります。\nwhoisコマンドの結果は通常、非常に詳細です。以下の例は、Facebookのwhoisからの抜粋であり、返される関連データの一部を示しています。\nDomain Name: FACEBOOK.COM Registry Domain ID: 2320948_DOMAIN_COM-VRSN Registrar WHOIS Server: whois.registrarsafe.com Registrar URL: https://www.registrarsafe.com Updated Date: 2020-03-10T18:53:59Z Creation Date: 1997-03-29T05:00:00Z Registrar Registration Expiration Date: 2028-03-30T04:00:00Z Registrar: RegistrarSafe, LLC Registrar IANA ID: 3237 Registrar Abuse Contact Email: abusecomplaints@registrarsafe.com Registrar Abuse Contact Phone: +1.6503087004 Domain Status: clientTransferProhibited https://www.icann.org/epp#clientTransferProhibited Registry Registrant ID: Registrant Name: Domain Admin Registrant Organization: Facebook, Inc. Registrant Street: 1601 Willow Rd Registrant City: Menlo Park Registrant State/Province: CA Registrant Postal Code: 94025 Registrant Country: US Registrant Phone: +1.6505434800 Registrant Phone Ext: Registrant Fax: +1.6505434800 Registrant Fax Ext: Registrant Email: domain@fb.com Registry Admin ID: [...] Registry Tech ID: [...] Name Server: C.NS.FACEBOOK.COM Name Server: B.NS.FACEBOOK.COM DNSSEC: unsigned URL of the ICANN WHOIS Data Problem Reporting System: http://wdprs.internic.net/ \u0026gt;\u0026gt;\u0026gt; Last update of WHOIS database: 2021-09-22T01:23:51Z \u0026lt;\u0026lt;\u0026lt; facebook.comというドメインを調査している場合、以下の情報を活用できます：\nドメイン名がregistrarsafe.comで登録されていることがわかります。このドメインに関連するものの削除を要請する理由がある場合、提供されている連絡先情報を使ってレジストラに苦情を申し立てることができます。 ドメインがいつ作成されたか、いつ期限切れになるか、最後に更新されたのはいつかがわかります。この情報にも複数の用途があります。例えば、メールアドレスが正当なもの（つまり、スパムなどに使われていないもの）かどうかを判断しようとする場合、10年前に登録されたドメインに属するメールアドレスは、10時間前に登録されたドメインに属するメールアドレスと比べて、スパムである可能性が低いと主張できるかもしれません。 登録者が誰で、どのように連絡を取れるかがわかります。ただし、このフィールドは注意して扱う必要があります。ドメインレジストラは通常、登録者の身元確認を行わないため、まったく不正確な情報が登録されている可能性があります。また、顧客がレジストリから自分の情報を非表示にできるレジストラも数多く存在します。 どのサーバーがDNSゾーンをホスティングしているか（つまり、このドメインの各種DNSエントリを保存するサーバー）がわかります。 この情報のもう一つの素朴な活用法としては、2つのドメインが同じ組織によって運営されていることを証明しようとする際に、whoisに同じ情報が含まれていることは、その見解を裏付けるポイントの一つになります。\nDNSクエリの活用 # WHOISリクエストは、ドメインの所有者やドメインの登録場所・時期に関する一般的な情報を提供してくれるため優れていますが、DNSエントリを調べることで、さらに多くの情報を取得することが可能です。\nLinux/macOSでは、digコマンドを使って情報を収集できます。構文は非常にシンプルです：\ndig MX domain.tld は、このドメインのメールを受信するように設定されているサーバーを表示します。 dig MX sub.domain.com @1.1.1.1 は前の例と同じことを行いますが、具体的にDNSサーバー1.1.1.1にこの情報を問い合わせます。 DNSの詳細には踏み込みませんが（詳しく知りたい場合はCloudflareの優れたドキュメントがあります）、さまざまなユースケースに対応するために設定できるDNSエントリのタイプが複数あります。最も一般的なものは以下の通りです（このページには、既存のすべてのタイプのより網羅的なリストが掲載されています）：\nA：ドメインに関連付けられたIPv4アドレスを取得する AAAA：Aと同じだがIPv6用 CNAME：エイリアスを定義する。例えば、domain.tldにA DNSエントリがあり123.123.123.123を指している場合、CNAMEエントリを作成してwww.domain.tldがdomain.tldを指すようにできます。こうすることで、サービスに使用するサーバーを変更したい場合、domain.tldのエントリのみを編集すれば済みます。 NS：ドメインのDNS設定を保存するネームサーバーを定義する MX：メールサーバーのアドレスを取得する TXT：説明テキストを共有する このリストの最初の4項目も有用ですが、最も興味深いタイプはMXとTXTです。\nMX DNSエントリタイプ # digコマンドによるMXクエリは、以下の例のような結果を返します（dig MX mozilla.comを実行した場合）。\n;; ANSWER SECTION: mozilla.com.\t60\tIN\tMX\t5 alt1.aspmx.l.google.com. mozilla.com.\t60\tIN\tMX\t5 alt2.aspmx.l.google.com. mozilla.com.\t60\tIN\tMX\t10 aspmx3.googlemail.com. mozilla.com.\t60\tIN\tMX\t1 aspmx.l.google.com. 情報量はそれほど多くありませんが、Mozillaにはメールを受信できる複数のサーバーがあることがわかります。\naspmx.l.google.com（優先度値1） alt1.aspmx.l.google.comとalt2.aspmx.l.google.com（優先度5） aspmx3.googlemail.com（優先度値10） 優先度は、メールをどのサーバーに送信するかを決定するために使用されます。優先度の数値が低いほど、優先度が高くなります。実際には、Mozillaにメールを送信しようとすると、メールプロバイダーはまずaspmx.l.google.comに連絡を試み、それがうまくいかなければalt1.aspmx.l.google.com、それでもうまくいかなければaspmx3.googlemail.comに連絡します。\nここで重要なポイントは、このフィールドによってターゲットに関するより多くの情報を取得できるということです。具体的には、メールの受信にどのサービスを使用しているかがわかります。この例では、MozillaがGoogle Mailを利用していることがわかります。ドメインによっては、より独創的な設定（例：複数のプロバイダーの使用）をしている場合もあり、ドメイン名同士を結び付ける手がかりになることがあります。\nTXT DNSエントリタイプ # MXエントリタイプと同様に、TXTエントリも有用です。ターゲットが使用しているサービスに関するより多くの情報を取得できるからです。TXTエントリは、サードパーティサービスに対してドメインの所有権を証明する手段としてよく使用されます。\n例えば、google.com、twitter.com、apple.comのTXTエントリを問い合わせると、レスポンスに以下の行が含まれていることがわかります（可読性を向上させるために省略しています）。\n;; ANSWER SECTION: google.com.\t3600\tIN\tTXT\t\u0026#34;docusign=[code]\u0026#34; google.com.\t3600\tIN\tTXT\t\u0026#34;facebook-domain-verification=[code]\u0026#34; google.com.\t3600\tIN\tTXT\t\u0026#34;google-site-verification=[code]\u0026#34; google.com.\t3600\tIN\tTXT\t\u0026#34;apple-domain-verification=[code]\u0026#34; ;; ANSWER SECTION: twitter.com.\t3600\tIN\tTXT\t\u0026#34;google-site-verification=[code]\u0026#34; twitter.com.\t3600\tIN\tTXT\t\u0026#34;adobe-idp-site-verification=[code]\u0026#34; twitter.com.\t3600\tIN\tTXT\t\u0026#34;atlassian-domain-verification=[code]\u0026#34; ;; ANSWER SECTION: apple.com.\t3600\tIN\tTXT\t\u0026#34;adobe-idp-site-verification=[code]\u0026#34; apple.com.\t3600\tIN\tTXT\t\u0026#34;webexdomainverification.8GVC5=[code]\u0026#34; apple.com.\t3600\tIN\tTXT\t\u0026#34;cisco-ci-domain-verification=[code]\u0026#34; これにより、GoogleがDocusignを使って契約書に署名している可能性があること、TwitterがAtlassianを使用していること（コードやドキュメントの保存用かもしれません）、TwitterとAppleがAdobe Enterpriseを使用していること、そしてAppleがCisco Webexでビデオ会議を行っていることがわかります。\nこれらの要素はすべて、ターゲットが何を使用しているかをより深く理解し、さらなる情報を探したり（またはペネトレーションテストを行う場合に悪用を試みるサービスを見つけたり）するための手がかりになります。\n過去のデータ # ここまでで、ドメインの現在の状態から情報を取得する方法を学びましたが、調査を行う際に役立つもう一つのツールがあります。それが過去のデータです。そのメリットには以下のようなものがあります：\nWHOISの連絡先情報が現在は非表示になっていても、所有者がドメインを作成した時点では非表示にしていなかった可能性があります。 複数のドメイン名を調査して関連性を見つけようとしている場合、すべてのドメインの過去のデータを調べて、類似のデータが同時に変更されていることがわかれば、良い手がかりになります。 ある時点でドメインが何に使用されていたかを把握できます。 過去のデータは非常に価値が高いため、優れたサービスのほとんどは有料です（そして通常、安くはありません）。無料のオプションとしては以下があります：\nspyse.com：DNSレコードエントリと使用されているサブドメインのかなり広範な履歴 whoisrequest.com：ネームサーバーの変更のみを時系列で表示 securitytrails.com：過去のDNSレコードデータとサブドメイン osint.sh：過去のWHOISデータ。いくつかの便利なツールもホスティング viewdns.info：便利なツールボックスだが過去のデータは少ない（ある程度、所有者名でドメインを検索できるReverse Whois lookupがある） whoxy.com：無料のWHOIS履歴（レート制限あり） whoisology.com：登録メンバー向けに一部無料のWHOIS履歴 whoisxmlapi.com：デモで一部のWHOIS履歴を取得可能 さらに、WayBack Machineや類似のサービスを活用してDNSツールボックスにクエリを実行することも可能です。例えば、このリンクでは、2013年時点のFacebookのWHOISを確認できます。この方法の欠点は、広く利用されているサービスに属さないドメイン名はアーカイブされている可能性が低いことです。\nクレジット： # カバー写真：Scott Graham（Unsplash） ","date":"2021年09月22日","externalUrl":null,"permalink":"/ja/posts/2021/osint-from-domain-names-using-dns-an-introduction/","section":"記事","summary":"ドメイン名からは多くのOSINT情報を得ることができます。何に注目すべきかを学びましょう。","title":"DNSを使ったドメイン名からのOSINT - 入門編","type":"posts"},{"content":"Between a ransomware attack blocking an oil pipeline in the US, and new vulnerabilities found in the WiFi standard, plenty of things happened this week again in the cryptocurrencies, darknet, security, and privacy spaces. Find out more in our weekly news recap, in less than a thousand words.\nCryptocurrencies # Tesla Stopped Accepting Bitcoin (Twitter, Elon Musk)\nDespite starting allowing Bitcoin as a payment method in February this year, Elon Musk, Tesla\u0026rsquo;s CEO, announced that Tesla suspended accepting the cryptocurrency amid alleged concerns about the rapid use increase of fossil fuels for Bitcoin mining. Nevertheless, Musk said he still believes cryptocurrencies have a promising future and that Tesla will not sell any Bitcoins, as it intends to \u0026ldquo;use it for transactions as soon as mining transitions to more sustainable energy\u0026rdquo;. Tesla is \u0026ldquo;looking at other cryptocurrencies that us \u0026lt;1% of Bitcoin\u0026rsquo;s energy/transaction\u0026rdquo;, he added. After this announcement, Bitcoin\u0026rsquo;s price fell by a few thousand dollars.\nDarknet # Tracking One Year of Malicious Tor Exit Relay Activities (Part II) (Medium - Nusenu)\nA researcher tracked an entity attacking Tor users. Discovered in August 2020, the attackers controlled, on average more than 14% of the exit relays. The percentage reached 27% this February, and they even tried to add 1,000 exit relays to the network in early May.\nDreaming At Dusk (Tor Project Blog)\nDusk, the first onion service ever created, is now being auctioned. The winner will become the owner of a generative art piece derivated directly from Dusk\u0026rsquo;s private key, which he will also obtain.\nGeneral Security # DarkSide Ransomware Gang Quits After Servers, Bitcoin Stash Seized (Krebs on Security)\nThe DarkSide ransomware caused much uproar this week, as it was responsible for a six-day outrage at Colonial Pipeline, causing fuel shortages and price spikes across the US. After that, the group announced by Telegram that their servers were seized and their cryptocurrencies sent to an unknown account. Colonial Pipeline allegedly paid USD 5 million to get back access to their infrastructure.\nDarkSide is a ransomware as a service with potential links to REvil Group, according to FlashPoint. After DarkSide was used on Colonial Pipeline, the group released a statement saying that they are apolitical, and just aim to make money rather than participate in geopolitics. From now, they would \u0026ldquo;introduce moderation and check each company that our partners wants to encrypt to avoid social consequences\u0026rdquo; (see this article).\nFragAttacks: Presentation at USENIX Security \u0026lsquo;21 (YouTube, Mathy Vanhoef)\nA security researcher found multiple designs and implementation flaws impacting the WiFi standard. According to his research, it is likely that every WiFi product is affected by at least one, if not multiple, vulnerabilities. Vanhoef also uploaded a proof of concept on WPA2/WPA3 showing how it is possible to make a victim use malicious DNS servers just by being sent a picture by email and how it is possible to turn on connected power sockets remotely. For more details, Malwarebytes wrote an article, and the paper is also available here.\nKeePass 2.48 update includes an upgraded password database file format (Ghacks)\nKeyPass developers shipped a new version of its password database: KDBX 4.1. This update allows assigning tags to groups, disabling password quality estimations for individual entries, naming custom icons, and a couple of other features. For compatibility purposes, KeePass will keep using the old version of the database by default until the major KeePass ports support the new one. The software will use KDBX 4.1 if one of the new features is used.\nSecurity keys are now supported for SSH Git operations (GitHub Blog)\nGitHub announced that they shipped support for using security keys (such as the Yubikey) when using Git over SSH. Using this feature would allow having the sensitive part of your SSH key stored into the security key, therefore protecting it in the case of a compromised system. Once the key is generated and the setup completed, the only difference when using this feature would be to touch the key when doing Git remote operations.\nPrivacy # WhatsApp to restrict features if you refuse Facebook data sharing (Bleeping Computer)\nA few months earlier, WhatsApp announced that it would change its policy to allow sharing users\u0026rsquo; data with Facebook. At that time, they announced that people would have to choose to either accept the conditions or have their account deleted. However, WhatsApp stated this week that your account would be restricted for a few weeks if you don\u0026rsquo;t accept the new policy. These restrictions would be to only have the ability to answer incoming calls, call back on missed ones, and reply to messages if you have notifications enabled. After that, you won\u0026rsquo;t be able to receive any notifications or do anything before accepting the new terms. Meanwhile, the German data protection agency issued an order banning Facebook from procesing WhatApp user data for the next three months (Bleeping Computer).\nHumanity wastes about 500 years per day on CAPTCHAs. It\u0026rsquo;s time to end this madness (Cloudflare Blog)\nCloudflare announced that they are working on a way to replace traditional captcha. To do so, they are planning to take advantage of hardware security keys (such as Yubikey). Users would just be asked to press the key to clear the challenge instead of bothering with solving a traditional problem.\n","date":"2021-05-15","externalUrl":null,"permalink":"/blog/weekly-news-recap-7/","section":"News","summary":"Between a ransomware attack blocking an oil pipeline in the US, and new vulnerabilities found in the WiFi standard, plenty of things happened this week again in the cryptocurrencies, darknet, security, and privacy spaces. Find out more in our weekly news recap, in less than a thousand words.\n","title":"Weekly News Recap 7","type":"news"},{"content":"After a long time of inactivity, I decided to re-launch the weekly news recap. Without waiting, here\u0026rsquo;s the latest news on APTs, Cryptocurrencies, Darknet, Security and Privacy in less than 1,000 words.\nAPT # China\u0026rsquo;s PLA Unit 61419 Purchasing Foreign Antivirus Products, Likely for Exploitation (Recorded Future)\nUnit 61419 of China\u0026rsquo;s People Liberation Army is reportedly seeking to purchase English-language antivirus software from major security companies in America, Russia and Europe. Insikt Group assesses that there are high chances that these purchases aim to use these antiviruses during the development of malware, to test their ability to evade detection and/or to reverse engineer the antivirus software to find exploitable flaws.\nCryptocurrencies # IRS secures order to serve Kraken with customer data request on cryptocurrency traders (ZDNet)\nIf you traded more than the equivalent of USD 200,000 through Kraken between 2016 and 2020, congratulations. You are now on the IRS\u0026rsquo;s crosshair. The federal court in the Northern District of California will issue a \u0026ldquo;John Doe\u0026rdquo; summons to Kraken to find US taxpayers who failed to declare their gains properly.\nCoinbase to acquire leading institutional data analytics platform, skew (Coinbase Blog)\nCoinbase announced the purchase of Skew, a company offering market analysis for various crypto-currencies assets. With this, Coinbase aims to provide real-time actionable data analytics to its customers to help them make more informed trading decisions.This is not the first time Coinbase purchases a data analytics company. Two years ago, it already purchased Neutrino, an AML provider for crypto-currencies.\nDarknet # 4 arrested in takedown of dark web child abuse platform with some half a million users (Europol)\nBoystown, one of the most prolific children sexual abuse platform was closed by the German police in collaboration with Europol, Netherlands, Sweden, Australia, Canada, and the US law enforcement agencies. 400,000 users were registered to the website, and four arrests were made (three in Germany, one in Paraguay).\nDark Dot Fail: Hacked, Then Back (The Cryptosphere) Interesting thread on the order of events (Twitter)\nLast week, someone hijacked darknetlive.com, dark.fail, and onion.live\u0026rsquo;s domain names. The attacker(s) changed URLs to redirect to malicious URLs (interestingly, they even bothered to generate vanity ones). The domains were apparently taken over using fake court orders, but as of May 5th, it seems that all were able to regain their domain names.\nAurora Market Exit Scammed\nAurora Market exit scammed the 25 March after its experienced deposits/withdrawal issues, and Aurora, its administrator, stopped showing any sign of life. The market was six months old, and about 200,000 (USD probably) were stolen, according to Northernlight, an administrator.\nGeneral Security # Apple fixes 2 iOS zero-day vulnerabilities actively used in attacks (Bleeping Computers)\nOn May 3rd, Apple released security updates related to the Webkit engine within all of its devices. The two vulnerabilities, CVE-2021-30663 and CVE-2021-30665 allow remote code execution, and were reportedly actively exploited.\nInsurer AXA says it will no longer cover ransomware payments in France (Bitdefender - Hot for Security)\nAXA, one of the most prominent French insurances, announced that they would no longer offer cyber-insurance policies that cover ransom payments. Estimations say ransomware led to more than USD 5.5 billion of losses last year in France.\nPrivacy # Facebook bans Signal\u0026rsquo;s attempt to run transparent Instagram ad campaign (ZDNet)\nSignal, the end to end encrypted app, purchased some advertisement on Instagram, which they used to show people the amount of very specific data advertisers can access. For example: \u0026ldquo;You got this ad because you\u0026rsquo;re a K-pop loving chemical engineer. This ad used your location to see you\u0026rsquo;re in Berlin. And you have a new baby. And you just moved. [\u0026hellip;]\u0026rdquo;. No need to say that Facebook wasn\u0026rsquo;t so fond of their initiative and promptly shut them down.\nNew safety section in Google Play will give transparency into how apps use data (Google Blog)\nGoogle announced that they will make developers communicate how they use users data. The company will also highlight things such as the security practices implemented by the app (e.g., encryption), which data needs to be shared for the app to work, if the app enables users to request data deletion if they delete the app, and a couple of other things. This will be available starting Q1 2022, and developers will have up to the second quarter of the same year to update the required information.All of this is very good, but let\u0026rsquo;s not forget that Google enabled Android is a spyware itself.\nTwitter Tip Jar may expose PayPal address, sparks privacy concerns (Bleeping Computers)\nTwitter has recently begun tests of a new feature, \u0026lsquo;Tip Jar\u0026rsquo;, that aims to let users tip other Twitter accounts they want to support through Paypal, Bandcamp, Patreon, Cash App, and Venmo. For now, the feature is only rolling out to accounts having English set as their language, and only a limited group of users can receive tips. This feature is just a couple of days old that there are already problems, such as the sender\u0026rsquo;s PayPal shipping address being exposed.\n","date":"2021-05-08","externalUrl":null,"permalink":"/blog/weekly-news-recap-6/","section":"News","summary":"After a long time of inactivity, I decided to re-launch the weekly news recap. Without waiting, here’s the latest news on APTs, Cryptocurrencies, Darknet, Security and Privacy in less than 1,000 words.\n","title":"Weekly News Recap 6","type":"news"},{"content":"This week was busy again, with a lot of news to report on. Hackers managed to get access to the US government elections system, OKEx, a cryptocurrencies exchange, froze withdrawals after one of its keyholders was detained by the police, and law enforcement arrested fourteen members of a large criminal network carrying on money laundering. DeepSea Market is potentially gone in an exit scam, and criminal got their hands on data belonging to Ubisoft and Crytek, and leaked some of their data. Finally, a lot to unroll on the privacy side, such as Google receiving warrants for the list of people searching specific keywords in the search engine.\nLearn more about the news worthy events of this week, all summarized in this article, in just a bit more than a thousand words.\nAPT # Hackers used VPN flaws to access US govt elections support systems\nThe US Cybersecurity and Infrastructure Security Agency (CISA) says that an APT used the recent Windows Zerologon vulnerability as well as several VPN vulnerabilities to target federal and local government networks, elections organizations, and critical infrastructures. The APT managed to get access to some election systems but reportedly did not manage to take advantage of it. Furthermore, the FBI and CISA claim that \u0026ldquo;it does not appear these targets are being selected because of their proximity to elections information\u0026rdquo;, while acknowledging the threat.\nIranian state hacker group linked to ransomware deployments\nSecurity researchers claim they linked the Thanos ransomware to an Iranian APT known as MuddyWater. While investigating security incident within big Israeli corporations, the researchers linked the attacks to the APT.There are two ways the instructions were carried on. Option one: MuddyWater would use phishing emails with malicious PDF/Excel documents which would install a malware downloaded from a server belonging to the attackers. As for option two: the APT would use the CVE-2020-068 on unpatched Microsoft Exchange servers and install the same malware as in option one.The researchers claim that the malware installed in both cases was a strain seen before, and was used to install the Thanos ransomware earlier in September.\nCryptocurrencies # OKEx Suspends Withdrawals, Says Key Holder Not Available Due to Cooperation With Investigation\nOKEx, a Malta-based cryptocurrency exchange, temporarily froze withdrawals this Friday. This is allegedly due to one of the exchange\u0026rsquo;s key holder being apprehended by the police. The keyholder being unavailable is preventing the exchange from getting appropriate permissions to proceed to withdrawals. The keyholder might be one of the founders, Xu, which hasn\u0026rsquo;t been seen after being taken by the police at least one week ago.\nOfficials Announce International Operation Targeting Transnational Criminal Organization QQAAZZ that Provided Money Laundering Services to High-Level Cybercriminals\nThe US District of Pennsylvania charged fourteen members of QQAAZZ (a criminal organization), and more than forty houses in Latvia, Bulgaria, the United Kingdom, Spain and Italy, in an investigation involving 16 countries. Since 2016, the group allegedly laundered (or tried to launder) tens of millions of dollars liked to cybercrime. An extensive Bitcoin mining operation associated with QQAAZZ was also seized in Bulgaria.The organization network opened and maintained hundred of corporate and personal bank accounts at financial institutions to receive funds from their customers. QQAAZZ would then transfer the funds to other bank accounts under their control, and sometimes, convert them to cryptocurrencies and use tumbling services. The criminals would then take a fee up to 40 to 50 percent, and return the funds to their customers.Among others, criminals behind significant malware families such as Dridex and Trickbot used QAAZZ to launder their funds.\nDarknet # DeepSea Market Possibly Exit-Scammed, Continuing the Recent Streak of Admins Disappearance\nOn October 14, Atlantic, one of the moderators of DeepSea Market, announced that the market was probably gone for good in a possible exit scam. DeepSea went offline two days before that, on October 12, and it seems that nobody heard from the admin since then. A couple of hours before the service went dark, the admin reportedly processed the vendors\u0026rsquo; withdrawals.\nFentanyl Vendor “Chemsusa” Sentenced to 210 Months in Prison\nRichard Castro, a.k.a. Chemsusa, an Alphabay and Dream Market fentanyl vendor was sentenced to 17.5 years in prison. He reportedly received at least $1.8 million and been involved in at least 5,000 transactions within a couple of years.Law enforcement managed to track the vendor by making transactions with him. From there, they found his Bitcoin wallet which was part of a cryptocurrencies exchange and analyzed the video surveillance of the post office from where the order was sent.Casto reportedly accessed the cryptocurrency exchange as well as the email address he used in relation with his business from his home IP address.\nGeneral Security # Ubisoft, Crytek data posted on ransomware gang\u0026rsquo;s site\nEgregor, a ransomware gang, leaked data allegedly obtained from Ubisoft\u0026rsquo;s and Crytek\u0026rsquo;s internal networks.The criminals leaked 300 Mb of data belonging to Crytek and claims to have encrypted their data during the attack. The leak contained material regarding the development process of games like Arena of Fate and Warface. Ubisoft, on the other hand, allegedly didn\u0026rsquo;t suffer from any encryption on their infrastructure, and only 20 Mb of data was leaked. The group might have got their hands on Watch Dogs: Legion, a game scheduled for next month.The criminals claimed not to be in discussion with any of the two companies at the moments and threatened to publish the source code of Watch Dogs, and Ubisoft engine if they are not contacted.\nCritical Flash Player Flaw Opens Adobe Users to RCE\nAdobe Flash is in the death row, waiting to be killed at this end of this year. Meanwhile, some critical CVEs are still found and patched by Adobe. This week, the company released a security patch for the CVE-2020-9746, which allows an attacker to perform remote code execution simply by visiting a website. An attacker would only have to insert a malicious string in an HTTP response to exploit this vulnerability.\nThe Video conferencing platform Zoom announced the implementation of end-to-end encryption\nZoom, the company making the famous video conference software of the same name, and received some criticism earlier this year related to its security has been working on improving its software. One of these improvements, which is the ability to do end-to-end encrypted calls, will be released next week for both free and paid users. Up to 200 participants will be able to join e2e encrypted meetings.\nPrivacy # International Statement: End-To-End Encryption and Public Safety\nThe US, Japan, Australia, India, the UK, Canada, and New-Zeland issued a joint statement in which they call companies to put backdoors in encryption (specifically end-to-end) so that it is possible to have access to whatever content is shared/accessed. According to them, \u0026ldquo;particular implementations of encryption technology, however, pose significant challenges to public safety\u0026rdquo;. They then proceed to - as usual - mention child abuse and terrorism as reasons why encrypted information should be accessible by the service provider and law enforcement.Even if such measures were implemented, one could argue that not only would it not prevent criminals from communicating through encrypted methods, but it would also make the general public less safe.\nHome security cams hacked in Singapore, and stolen footage sold on adult websites\nClips stolen from more than 50,000 cameras are reportedly being uploaded to pornographic websites and sold online. X-rated footage could be accessed for a $150 fee, and a Discord group with about a thousand member claims that they shared more than 3 TB of footages to at least 70 people.This is a prime example of why you shouldn\u0026rsquo;t have a camera at home, and if you really need one, why you should take appropriate measures to secure it, and not direct it to living areas.\nGoogle Responds to Warrants for “About” Searches\nUS law enforcement is reportedly using warrants to get the list of users that googled specific keywords, that are not only raising privacy concerns but also allegedly resulted in wrong arrests.Google says that these warrants are a rare occurrence and that they fight overly broad or vague requests, and says that these demands represent less than one per cent of those they receive.For reference, according to their transparency report, Google received more than 50,000 requests for users information last year for the US alone. One could argue that about one percent of this value is not \u0026ldquo;a rare occurrence\u0026rdquo;.\nUndocumented backdoor that covertly takes snapshots found in kids\u0026rsquo; smartwatch\nResearchers reportedly found a backdoor in the X4 smartwatch made by a Chinese company and marketed by a Norway-based company.If exploited, this backdoor could allow remote capture of video snapshots, voice-call wiretapping, and real-time location tracking.The backdoor can be exploited by sending SMS, but these would need to be encrypted with a key unique to the device, and sent to the specific number of the phone linked to it.\nMEGA Provided Suspended Account Files to FBI in Child Porn Case\nThe FBI obtained 40 Gb of data from Mega in a case related to child pornography. What is interesting is that it seems that the New-Zealand government has some kind of direct access to some users' account information. It also appears that Mega is keeping a copy of the files associated with accounts disabled for beach of terms of service, but we don\u0026rsquo;t know if they do that in all cases (for example if the account is not disabled by Mega, but deleted by the user).\n","date":"2020-10-17","externalUrl":null,"permalink":"/blog/weekly-news-recap-5/","section":"News","summary":"This week was busy again, with a lot of news to report on. Hackers managed to get access to the US government elections system, OKEx, a cryptocurrencies exchange, froze withdrawals after one of its keyholders was detained by the police, and law enforcement arrested fourteen members of a large criminal network carrying on money laundering. DeepSea Market is potentially gone in an exit scam, and criminal got their hands on data belonging to Ubisoft and Crytek, and leaked some of their data. Finally, a lot to unroll on the privacy side, such as Google receiving warrants for the list of people searching specific keywords in the search engine.\n","title":"Weekly News Recap 5","type":"news"},{"content":"注意: この記事はLLMによって英語から翻訳されたものです。正確性については保証いたしかねますので、あらかじめご了承ください。英語の原文はこちら。\n管理者の失踪によるマーケット閉鎖が最近のトレンドになりつつある。まず8月末のEmpire Market、次に9月のIcarus Market、そして今度はDeep Sea Marketで、10月14日にモデレーターの一人が恐らく完全に消滅したと宣言した。今回もマーケットの公式サブレディットでいくつかの活動があったので、現時点で判明している情報を整理しよう。なお、本記事で言及する時刻は特に断りがない限りGMTである。\n事態は10月12日にマーケットが応答不能になったことから始まった。09:26に、DeepSea MarketのDreadマネージャーであるAtlanticがフォーラムに投稿し、状況を把握していることを報告した。彼は10時間前に管理者と話したと報告し、その会話はいつも通り普通のものだったと述べた。また、管理者は「数時間前」にJabberでオンラインだったとも指摘し、サーバーが最近DDoS攻撃を受けていたため技術的な問題が発生した可能性が高いと続けた。特に心配することはない。前日の出金は予定通り処理されたと主張しているからだ。\nDeep Seaがダウン - 最初の投稿 数時間後の13:33、モデレーターはDreadの公式サブに新しいスレッドを投稿した：「マーケットと管理者はまだオフラインです。少し心配していますが、非常に楽観的です。」この時点でミラーリストはまだオンラインだったが、マーケットはダウンしていた。この投稿は多くの情報を提供していないが、Atlanticは管理者がOpSecの理由から特定の時間にしか彼と話さないため、もう少し待つ必要があると述べた。この時間帯に管理者と話さないのは通常のことだが、それでも「少し心配」していると述べた。\nDeep Sea 2回目の更新 - 心配だが楽観的 興味深いコメントのやり取りがある。あるユーザーは、管理者が通常4時間ごとに出金を処理していると指摘し、ちょうどコメントが投稿された時間帯（13:44）頃に処理されるはずだと述べた。Atlanticはそれを認めたが、管理者はこの時間帯には（気が散るのを避けるため）Jabberを使用しないと述べた。別のユーザー（認証済み販売者）は同日の約5:00に出金を受け取ったと述べた。\n出金に関するコメント 3回目の更新投稿は数時間後の18:45に行われた。Atlanticは6:30に管理者がJabberにいるのを確認し、それより前に出金を処理したと報告した。彼の情報源によると、何者かがDDoS攻撃者を雇い、夜間にマーケットを攻撃したとのことだった。\n3回目の更新メッセージ - 特に大きなニュースなし ここでも、コメントでいくつかの販売者が出金を受け取ったと主張している。\n販売者のコメント - 10月12日 18:58に投稿 販売者のコメント - 10月12日 20:15に投稿 管理者が音信不通になってから21時間後、Atlanticが新しい更新を投稿した（10月13日 04:51）。別のモデレーター（名前は明かさなかった）と話すことができたが、そのモデレーターも何が起きているかまったく分からなかったと述べた。\n4回目の更新 - まだ新しい情報なし 別のユーザーがコメント（08:50）で、6:21に出金が処理されたと投稿した。\nユーザーが資金を受け取ったと主張 マーケットと管理者がオフラインになってから40時間後、Atlanticが新しい更新を投稿した（10月13日 19:18）。ここで彼はストレスを感じ始めていると述べた。この投稿では、当初の説明を少し変更した。「最後に管理者と話した時はすべて正常だった」というものから、自分がマーケットにログインしていた際に、管理者がJabberから切断された時にすべてのミラー（プライベートなものを含む）がオフラインになったと述べるようになった。シニアモデレーター（おそらくDreadサブでそれぞれ「Senior Mod」と「Head of Operations」を務めるMelanocetusかGreyshark）と話すことができたが、彼も何が起きているか分からなかったという。この時点でAtlanticは、（とりわけ）マーケットが1週間前に広告ネットワークとサーバーの更新に多額の資金を費やしたことなどから、出口詐欺ではないと確信していると述べた。\n5回目の更新 - ストレスを感じ始める コメントでは、サーバーへのアクセス権を持っているのは管理者だけであるため、他のスタッフがすべてを復旧させることができないことが判明した。\nモデレーターはマーケットのインフラにアクセスできない すべてが暗転してから2日後の最終的な打撃が来た。本日10月14日 07:25、Atlanticはマーケットはおそらく完全に消滅したと述べたが、管理者がその数日前に35,000ドルを投資してそのようなことをするのは理にかなわないため、依然として出口詐欺ではないと信じていると述べた。\n6回目の更新 - マーケットはおそらく消滅 出来事を考察すると、タイムラインに矛盾はない。Atlanticは12日の0:00頃に管理者と話し、Dreadでの最初の更新投稿の09:26の数時間前にはオンラインだったと述べている。コメントによると、一部のユーザーは6:00と7:00頃にお金を受け取った。マーケットがダウンしたことを訴える最初の投稿は07:50にサブに投稿された。\nもちろん、Icarusの出口詐欺で見たように、モデレーターの言葉を完全に信頼することはできないが、管理者が確かに出口の数日前に大きな投資をし、（コメントの複数の情報源が述べているように）管理者がシャットダウン前に販売者の出金を処理したのであれば、すべてが辻褄が合わない。\n何が起きたかについていくつかの可能性が考えられるが、もちろん他にも多くの可能性がある：\n法執行機関がサーバーを停止させ、管理者を逮捕した可能性。管理者が毎日同じ時間にオンラインだった場合、警察はマーケットとサーバーにログインしている最中に彼を捕まえようとした可能性がある。 管理者が事故に遭った可能性。しかし、管理者とサーバーが同時にオンラインだったという情報を信じるなら、これはあまりあり得ない（自宅でいくつかのサービスをセルフホスティングしていて、家が火事になったりしない限り - あまり現実的ではないように思える）。 管理者が出口詐欺を行ったが、一部の人には親切にすることを決めた、または出口詐欺ではないと思わせるためにいくつかの出金を行い、より少ない監視の下で資金を移動するための数日間を確保した可能性。自動処理が実行されていた可能性もある（Atlanticはすべて手動で処理されていると述べたが、サーバーにアクセスできないため確実には分からない）。 管理者が休暇に出かけ、コンピュータをシャットダウンする際にミスをした可能性。 なお、コメントの一つで、Atlanticはサーバーは稼働しているがマーケットに接続していないと主張している。これは不可能ではない。本記事執筆時点でインデックスページ（sp4jpokprfuaznn6.onion）はまだオンラインである（ただしすべてのミラーは確かにダウンしている）。興味深いことに、クリアネット上にもこのリスティングのミラーがあることがわかる（dsmarket.support）。このページにはカナリアがあり、今月4日に更新され、14日以内に再度更新される予定である。\nサーバーは稼働中 Dreadサブのスタッフを見ると、サービスが停止して以来オンラインだったのはAtlanticだけであることがわかる。他のスタッフについては：\nWhiteShark（管理者）の最後の投稿は10月8日 04:51 Greyshark（Head of Operations）の最後の投稿は9月2日 14:10 Melancocetus（Senior Mod）の最後の投稿は9月20日 13:07 SeaStarDS（Junior Mod）の最後の投稿は10月7日 16:46 ただし、これはそれほど重要ではない。WhiteSharkを除く全員はDreadであまり活発ではなかったからだ。管理者については、最後の投稿の頃にDDoS攻撃が行われていたため、忙しかったと考えるのが妥当だろう。\n時間が経てば何が起きたかについてより多くのことが分かるかもしれないが、それまでの間、資金が移動したと述べるコメントは見当たらなかったことを記しておく。\n","date":"2020年10月14日","externalUrl":null,"permalink":"/ja/posts/2020/deepsea-market-possibly-exit-scammed-continuing-the-recent-streak-of-admins-disappearance/","section":"記事","summary":"注意: この記事はLLMによって英語から翻訳されたものです。正確性については保証いたしかねますので、あらかじめご了承ください。英語の原文はこちら。\n","title":"DeepSea Marketが出口詐欺の可能性 - 管理者失踪の連鎖が続く","type":"posts"},{"content":"Happy Friday! This week again, keep yourself on top of the latest news on APT, Darket, Cryptocurrencies, General Security and Privacy by reading our weekly news recap in less than 1,000 words.\nThis week, some APT activity and DoJ announcements related to Iran, KuCoin is back in business after its hack last month, and Apple had a pretty bad week multiple critical vulnerabilities, including in its latest T2 chip were found. Finally, H\u0026amp;M was fined 35.3 million Euro for data protection violation, and some France, Belgium, and UK spying laws were judged unlawful by the European Court of Justice.\nAPT # Microsoft: Iranian hackers actively exploiting Windows Zerologon flaw\nMicrosoft warned that the CVE-2020-1472 (ZeroLogon) discovered in August this year, and having a critical severity (10/10) is being actively used by the Iran-related APT MuddyWater since at least two weeks ago. ZeroLogon allows attackers to elevate privileges to domain administrator.\nUnited States Seizes Domain Names Used by Iran\u0026rsquo;s Islamic Revolutionary Guard Corps\nThe US Department of Justice announced the seizure of 92 domain names that were used by Iran\u0026rsquo;s Islamic Revolutionary Guard Corps to engage in a global disinformation campaign. The investigation was initiated by intelligence law enforcement received from Google. The investigation was carried on by the FBI, with the help of Google, Facebook, and Twitter.\nCryptocurrencies and Darknet # Kucoin CEO Says Exchange Hack Suspects \u0026lsquo;Found,\u0026rsquo; $204 Million Recovered\nWhen KuCoin got hacked at the end of September, the value of stolen coins was believed to be over USD 150 million. It seems that this number was underestimated. On October 3, the CEO twitted that the company managed to recover the equivalent of USD 204 million. \u0026ldquo;Substantial proof\u0026rdquo; pointing to some suspects have allegedly been found, and the police is involved.\nOn October 7, the company restarted accepting BTC, ETC, and USDT deposits and withdrawals, after they achieved some \u0026ldquo;wallet security strategy upgrade\u0026rdquo;.\nEuropol\u0026rsquo;s Internet Organized Crime Assessment - Dark Web and Crypto Currencies\nEuropol published its new report with the trends when it comes from cybercrime. It mentions that cryptocurrencies are still playing an essential role as a payment facilitator in cybercrime. CoinJoin mixers usage is also rising and is causing difficulties for law enforcement agencies. They also mentioned that it is hard for them to disrupt the darkweb, as it is challenging to anticipate its various developments.\nThe price of stolen remote login passwords is dropping. That\u0026rsquo;s a bad sign\nResearchers at Armor, a security firm, found that the average price for RDP credentials dropped from over $20 in 2019, to between $16 and $25 by analyzing 15 different markets and forums. This might be a bad sign, as it could signal an increase of accesses for sale due to poor security practices by companies (and potentially more breaches).\nGeneral Security # Hackers claim they can now jailbreak Apple\u0026rsquo;s T2 security chip\nSecurity research claims to be able to jailbreak Apple computers by combining two exploits used to jailbreak iPhones. All the devices shipping T2 security chips (sold since 2018) are affected, and the issue is not patchable. This exploit is possible thanks to a debugging interface on the chip left open by Apple, but the jailbreak requires physical access to be exploited.\nWe Hacked Apple for 3 Months: Here\u0026rsquo;s What We Found\nThis week is not so good for Apple. In addition to the alleged problem with the T2 chips, a group of five security researchers found a consequent amount of flaws. The team has been searching for vulnerabilities within Apple\u0026rsquo;s systems for three months, starting July 6th, and found 55 of them: eleven critical, twenty-nine highly severe, thirteen mediumly severe, and two lowly severe. So far, Apple awarded USD 288,500 for these discoveries.\nGoogle Prepares Security Team to Investigate Third-Party Apps\nGoogle is reportedly preparing a new security initiative whee they would investigate sensitive applications through the Google Play Store. As of now, Google already analyses applications on its store, but numbers of malware applications are still regularly found.\nThe United Nations\u0026rsquo; International Marine Organization was Hacked\nThe IMO announced that web services became unavailable on September 30 following a hack, and were restored on October 2 after being shut down to prevent further damages. Who attacked the organization, how, and what they had access to is not disclosed, but the agency says it was a \u0026ldquo;sophisticated cyber-attack\u0026rdquo;, and claims that other systems such as the emails were not impacted.\nPrivacy # 35.3 Million Euro Fine for Data Protection Violations in H\u0026amp;M\u0026rsquo;s Service Center\nThe Hamburg Commissioner for Data Protection and Freedom of Information issued a 35,258,707 EUR fine. Since 2014, the company has been recording extensive details about its employees\u0026rsquo; private lives. Records included things like concrete vacation experiences, symptoms of illness and diagnoses, family issues, and religious beliefs. The total weight of this database was 60 Go.\nUK, French, Belgian blanket spying systems ruled illegal by Europe\u0026rsquo;s top court\nThe European Court of Justice announced earlier this week that the laws allowing French, UK, and Belgian governments to demand traffic data from ISPs and mobile providers break EU privacy laws when it is done indiscriminately. The CJEU however added that the Member States may derogate to their obligation to ensure confidentiality of electronic communications for a limited period in time if Member State are facing a \u0026ldquo;serious threat to national security that proves to be genuine and present or foreseeable\u0026rdquo;.\n","date":"2020-10-09","externalUrl":null,"permalink":"/blog/weekly-news-recap-4/","section":"News","summary":"Happy Friday! This week again, keep yourself on top of the latest news on APT, Darket, Cryptocurrencies, General Security and Privacy by reading our weekly news recap in less than 1,000 words.\n","title":"Weekly News Recap 4","type":"news"},{"content":"注意: この記事はLLMによって英語から翻訳されたものです。正確性については保証いたしかねますので、あらかじめご了承ください。英語の原文はこちら。\n毎年恒例のように、Europolはサイバー犯罪に関する新たなトレンドと法執行機関が直面する新たな課題を明らかにする組織犯罪評価レポートを公開した。\nレポートは5つのパートに分かれており、サイバー犯罪の促進要因と法執行機関にとっての課題、サイバー依存型犯罪、児童性的搾取、決済詐欺、そして最後に犯罪目的でのダークウェブの利用について言及している。この文書は読み応えがあるが、かなり長い（64ページ）。本記事では、ダークウェブと暗号通貨に関連するEuropolの調査結果の要約に焦点を当てる。\n暗号通貨 # レポートは、暗号通貨の悪用がサイバー犯罪のあらゆる分野で決済手段として引き続き重要な役割を果たしていることを強調している。その理由として、暗号通貨の取引が信頼性があり、取り消し不可能で、ある程度の匿名性を提供することを挙げている。\n取引の金額や件数に関する正確な数字は公表されていない。しかし、2011年頃には約20%の取引（時期を考えるとおそらくBitcoin取引の20%）がサイバー犯罪に直接結びついていたが、現在ではその数字はわずか1.1%であると述べられている。\nレポートはまた、暗号通貨が恐喝や詐欺活動の好まれる手段であることも強調している。ICOやポンジスキームの詐欺が取引量の大部分を占める一方、法執行機関に報告される犯罪の大多数は恐喝に関するものである。しかし、一般市民はセクストーション（性的恐喝）メールにそれほど簡単には引っかからないようだ。ある研究では400万通のセクストーションメールを分析し、12,500件のBitcoinアドレスを発見したが、そのうち何らかの支払いを受けたのは245件だけであった。\n盗難件数も増加傾向にあり、2019年には暗号通貨取引所へのハッキングが10件確認され、合計2億4,000万ユーロに達した。ただし、総額は前年より5億1,000万ユーロ少ない。\n暗号通貨ATMの数は増加していると報告されており、今年9,000台を突破した。ATMは追跡なしに暗号通貨を売買する優れた方法と見なされることが多いが、ATM運営者は顧客の身元確認を求めるなど、より厳格になりつつある。\n最後に、暗号通貨に関する捜査が増加する中、Europolは2019年10月にCentricと提携してCryptopolをローンチした。このゲームは法執行機関の捜査員に捜査技術を訓練することを目的としている。\nダークマーケット # レポートは、2019年と2020年初頭のダークウェブにおける高い変動性を強調しており、その後、複数のマーケットプレイスが保護措置を実施した。ダークウェブはさまざまな展開を予測することが困難であるため、法執行機関にとって壊滅させることが難しいことが証明されている。\n大規模マーケットプレイスの減少は、小規模なマーケットプレイスの増加につながり、特定のユーザーニーズに限定されたもの（例：大麻のみを販売）も出現している。\nレポートは、ユーザーが安定したマーケットと高い評価を持つ販売者を利用し続ける傾向があるため、DarkNet Trust（ユーザー名やPGP鍵を検索して販売者の評判を検証するウェブサイト - 約10,000人の販売者が登録）のようなウェブサイトがより人気を集めていると指摘している。\nダークネットマーケットの情報集約は、2017年のDeepDotWebの閉鎖後に安定したと報告されている。ユーザーはダークネットのナビゲーションをより使いやすくしようとしており、dark.failやdarknetlive.comなどのウェブサイトがDeepDotWebに代わる情報ハブとして台頭した。約3年前から活動しているフォーラムであるDreadも広く人気がある。\nナビゲーションに関しては、Gramsの代替も登場した。ユーザーは現在Kilos（2019年11月から）やRecon（Dreadが立ち上げ）を使用できる。Gramsは2017年に閉鎖された際にダークウェブ最大の検索エンジンであった。当時最も著名なBitcoinロンダリングサービスであったHelixミキサーと同じチームによって運営されていた。\nEuropolはまた、捜査を困難にする2つの最近のトレンドにも注目した。第一に、マーケットがアカウントレスやウォレットレスに移行するなど、運用セキュリティの向上に取り組んでいること。第二に、一部のマーケットが（スタッフの決定による閉鎖のため）短いライフサイクルを持つこと。Europolは、管理者が目立たないようにしたいためだと考えている。\nもう一つのトレンドは、エコシステムを安全に保つための各アクター間の協力である。例えば、すべてのマーケットがEndgame（DreadのDDoS防止メカニズム）を無料で使用できる。別の例として、Dreadの最近の投稿から判明したことだが、さまざまなマーケットのアクターがDreadにプライベートサブを持っていると報告されており、2019年にはTorプロジェクトへの寄付を調整したこともある。\nダークネットのアクターはより高いセキュリティを求めており、それは例えばJavaScript禁止ポリシーの施行、BTC（依然として第一の通貨）マルチシグエスクローへの移行、他の通貨（Monero、Litecoinなど）の使用に反映されている。Moneroは最も認知されたプライバシーコインになりつつあり、ZcashとDashがそれに続く。Europolはこれらのコインが法執行機関にとって大きな障害であることを強調している。CoinJoinサービス（WasabiやSamuraiウォレットなど）も人気が高まっていると報告されており、Europolはこれらをトップクラスの脅威と見なしている。\nTorが依然として最も人気のある選択肢であるが、OpenBazaarやParticl.ioなどの分散型の代替手段も出現し始めている。\n取引されるコンテンツについては、デジタルサービス（侵害されたシステムへのRDPアクセスなど）、ランサムウェア、偽造文書がより人気を集めているようだ。偽造文書は金融詐欺や市民権の主張に使用されることが多い。偽造パスポートは以前よりも品質が向上しており、いくつかの認証テストを通過できる。また、マネーロンダリングのための暗号通貨の使用方法に関するガイドを宣伝するサイトもあると述べられているが、私の経験ではこれは長い間存在してきた。フェンタニルなどのより危険な薬物は依然として相当な存在感を示しているが、リスティング数は減少したと言われている。Europolはまた、より多くの組織犯罪グループが流通メカニズムを拡大する取り組みとしてダークウェブで薬物を販売していることにも注目した。\nEuropolは銃器の購入に関する成功事例にも言及している。2019年末にイタリア当局がBerlusconi Marketを閉鎖した後、ダークウェブでの銃器購入がより困難になったという。\n最後に、EuropolはHydraが英語圏のコミュニティを開発する計画を持っていることに言及し、それが法執行機関の捜査をより困難にし、EUにとって重大な脅威となるだろうと述べている。補足として、HydraがローンチするサービスはEternosという名前で、今月ローンチされる予定である（今年の初めにローンチされる予定だったが延期された）。\n","date":"2020年10月07日","externalUrl":null,"permalink":"/ja/posts/2020/europols-internet-organized-crime-assessment-darkweb-and-crypto-currrencies/","section":"記事","summary":"注意: この記事はLLMによって英語から翻訳されたものです。正確性については保証いたしかねますので、あらかじめご了承ください。英語の原文はこちら。\n","title":"Europolのインターネット組織犯罪評価 - ダークウェブと暗号通貨","type":"posts"},{"content":"注意: この記事はLLMによって英語から翻訳されたものです。正確性については保証いたしかねますので、あらかじめご了承ください。英語の原文はこちら。\niPhone、Mac、またはiPadを使っている場合、Apple IDに接続している可能性が高く、それによってAppleがあなたの大量の個人情報を収集することを許可していることになります。この記事では、Appleがあなたについて何を保存しているかを見ていき、今後の記事では、それをできるだけ避けるために取れる対策について説明します。\nこの記事は、Appleにデータのコピーを依頼した際に提供されるアーカイブに基づいています（依頼はこちらから行えます）。このページにログインしてリクエストを送信すると、すべてをオンラインでダウンロードできるようになるまで数日待つ必要があります。\nデータの準備ができると、メールが届き、以下のようなリストからすべてをダウンロードできるようになります。少なくとも1つの行にはダウンロードする「データなし」と表示されていました（他の行にはダウンロードできるアーカイブのサイズが表示されます）。\nApple Download Personal Archive Page それでは、各ファイルを見ていき、興味深いことを見つけましょう。なお、自明なこと（例えば、Appleカレンダーを使っていればカレンダーファイルをダウンロードできる、WhatsAppの会話をバックアップしていればAppleがiCloud上に暗号化されていない状態で保存している、など）や、言及するほど興味深くないと思われるものについてはここでは触れません。また、この分析は私のアーカイブに基づいているため、私が使っていないサービスや機能を使っている方には、私にはないデータがあるかもしれません。さらに、私のファイルから確認できた限りでは、Appleは一部の情報を非常に長期間（数年から永久に）保持しているようです。\nApple Media Services Information # Apple Music # まず、Apple Musicを使っている場合、リスニングアクティビティに関する大量のデータが存在します。当然のことながら、Appleはあなたが「いいね」や「嫌い」と評価した曲名、アーティスト、ジャンルを保存しています。より驚くべきなのは、再生した曲について保持している情報の量です。ほぼすべてが記録されています。私の場合、数年前にサービスを試用しただけですが、その履歴はまだ残っており、各再生トラックについて以下の情報が含まれています：\nアーティスト名とトラック名、および音楽ジャンル 曲の再生に使用したデバイスの一意識別子とそのIPアドレス Apple Musicのビルドバージョン、および使用したデバイスのブランド、モデル、OSバージョン 聴いていたトラックの開始/停止位置（ミリ秒単位）、およびその理由（例：スキップ） デバイスでの再生開始・停止時刻 オフラインで聴いていたかどうか これだけでも十分不気味ですが、Appleから取得したサンプルを見ると、トラック情報（名前、ジャンル、アーティストなど）がない行もあることがわかります。これは、ストアにないデバイスローカルの音楽を聴いている場合でも、Appleがこれらの情報をすべて記録していることを意味しているのではないかと推測します。\nStores Activity # アプリケーション # 他の販売業者と同様に、Appleもストアでのあなたの行動をすべて記録しています。これまでに登録したすべての請求情報を保持しています（私のサンプルにあるものの古さを考えると、永久に保持していると思われます）。含まれる情報：\nメールアドレスと電話番号 請求先の氏名と住所 支払い方法 IPアドレス（おそらく変更が行われた時点のもの） デバイスの詳細（電話のモデルとOSバージョン） 学生として登録したかどうか（Apple Musicなどの学生割引を受けるため） 請求情報の使用をマシンに許可するたびに（つまり、何かを購入したりストアにログインしたりするたびに）、デバイス名と一意のデバイス識別子が保持されます。iTunesを使用している場合は、ユーザーエージェント文字列も保持されます。プッシュ通知を許可した場合もこれらの情報はすべて保持されます（Apple製品の場合はデバイスのシリアル番号も含む）。\nアプリケーションをインストールするたびに、アイテムの名前、タイムスタンプ、アプリケーション提供者、一意のデバイス識別子と詳細（使用アプリ、デバイスのモデルとOSバージョン）、およびIPアドレスが保持されます。アップデートを行うたびにも同じ情報（さらにアプリケーションのバージョン）が保持されます。同様に、オフライン再生用に曲をダウンロードした際の情報も保持されます。\nサブスクリプションを購入した場合、同じ情報に加えて、自動更新を最後に有効化または無効化した日時が保持されます。もちろん、すべての支払いは特定の請求識別子に紐付けられ、価格も保持されます。\nその他のアクティビティ # このディレクトリの不気味な内容を続けましょう。ここには2つのファイルがあります。私の場合、「Apps And Service Analytics.csv」は60MBあり、「App Store Click Activity.csv」は11MB（BookStoreにも同様のものがあります）で、これらは他のものよりさらにひどい内容です。\nこれらのファイルが何をしているかはやや不明瞭で、分析が難しいですが（約100列あります）、ストアやMusicアプリ（おそらくApple Watchも）に関連するすべてのアクティビティを保存しているようです。例えば、どこをクリックしたか、何を見たか、などです。これらのファイルには、ストアでの検索内容、取った行動、IPアドレス、使用したハードウェア（とそのOSバージョン）、システムで使用している言語、そしてデバイスの一意のIDが保存されています。\nまた、Testflight（開発者が限定ベータ版を配布するためのアプリケーション）を使ったことがある場合、Appleはクラッシュやセッションに関するすべての情報を保存しているようです。私は使ったことがないため、比較用のデータがなく、共有される情報のレベルがどの程度深刻かは判断できません。\nApple ID and account Information # Appleは、アカウントにデバイスを追加した日時、そのシリアル番号、最後のハートビートのタイムスタンプと発信元IP、シリアル番号、および該当する場合はIMEIコードを保存しています。\nまた、Appleはアーカイブデータのダウンロードも追跡しています（具体的にはどの部分をいつダウンロードしたか）。\nApple Pay Activity # ここでは、AppleはApple Payに追加したカードに関する情報、デバイスのシリアル番号、時刻、カードの入力方法（例：手動入力またはAPI経由）、カードの末尾番号、種類、カードネットワークを保存しています。意外なことに、IPアドレスは保存されていないようです。\n「Apple Pay In App Purchases」を含むファイルがありますが、意外なことに1行しかありませんでした。これはApple Payを使用した場合、この情報は比較的短い期間のみ保存されることを意味しているかもしれません。\nその他のデータ # エクスポートのこの記事で取り上げる最後の部分は「other data」ディレクトリで、いくつかの興味深い情報が保存されています。\n各種ソフトウェアに関する複数のパートがあります。その一つは、Appleメッセージングに登録されたデバイス（デバイス名、OSバージョンなどの通常の詳細情報付き）と、他の人があなたに連絡するために使えるハンドルです。ここまでは、特に驚くことはありません。\niCloudの使用状況に関するファイルが1つあります。Apple Photoへの写真のアップロードや削除の日時、デバイスの種類（ただし以前のように一意のIDなどの侵入的な情報はなし）、都市レベルのIP（IPアドレスそのものではない）、写真のサイズ（ピクセル単位）と容量（該当する場合は動画の長さ）が保存されています。同様の情報は、Cloud Driveでファイルを編集したとき、新しいWiFiに正常に接続したとき、または「電話/FaceTimeアプリの最近の通話リストに通話エントリを追加した」ときにも保存されます。意外なことに、この履歴は最大でも数ヶ月間しか保持されないようです。\nまた、既知のWiFiネットワークをすべて含むJSONファイルもあります。各エントリには、ネットワーク名、追加日、MACアドレス（おそらくアクセスポイントのもの）が含まれています。パスワードはここには保存されていないようです。\n最後に重要な点として、組み込みのメールクライアントで送信するすべてのメールについて、Appleはicloudのメールアドレスを使用していなくても、送信先と送信元のアドレス、受信者と送信者の名前を保持しています！ただし、一定数のエントリに限定された履歴のみを保持しているようです。\nこの記事を締めくくると、Appleがあなたについて大量の不要でプライベートな情報を保存していることがわかりました。いくつか挙げるだけでも、メールをやり取りしている相手、何年にもわたるIPアドレス、ストアでのすべての行動が含まれます。デバイスのシリアル番号を保存していることも大きな問題です。これは、AppleがApple IDに接続されたすべてのデバイスの履歴を永久に保持することを意味します。以前使用したデバイスで新しいアカウントを作成しても、会社は異なるアカウント間の関連性を見つけることができるのです。しかし、これはもっとひどくなる可能性もあります。例えば、Appleは（少なくともアーカイブ上では）アプリの使用状況に関する情報（例えば、アプリをいつ開いたか、どれくらいの時間使ったかなど）を保存していません。\nこの記事から、Appleが少なくとも言及した情報を保存していることがわかりますが、この情報だけしか持っていないという保証はなく、将来的にさらに多くの情報を持つようにならないという保証もありません。また、私のAppleサービスの使用状況により、一部のデータが存在しなかった可能性があり、保存期間は特定のアカウントでのアクティビティによって、私が観察できなかった範囲に限定されている（あるいはされていない）場合もあります。\n今後の記事では、Appleのトラッキングを制限するために取れる対策について調査します。\n2021年11月更新：iPhoneのプライバシーとセキュリティを強化する方法については、こちらの記事をご覧ください。\nクレジット:\nカバー画像：Wesson Wang（Unsplashより） ","date":"2020年10月03日","externalUrl":null,"permalink":"/ja/posts/2020/what-does-apple-know-about-you/","section":"記事","summary":"Appleが収集しているデータが気になったので、自分のデータのアーカイブを請求してみました。その中身を見ていきましょう。","title":"Appleはあなたについて何を知っているのか？","type":"posts"},{"content":"Missed the news this week? Then get up to speed with our news recap. Among other things, ESET discovers an APT allegedly active for at least eleven years; a bitcoin exchange owner was convicted for racketeering and laundering, KuCoin lost USD 150 million in a hack. Also, some new arrests related to the darknet, the man that hacked LinkedIn and Dropbox in 2012 was sentenced, ransomware again, and Cloudflare releases a \u0026ldquo;privacy-first\u0026rdquo; analytics tool.\nAPT # ESET discovers a rare APT that stayed undetected for nine years\nESET claimed to have uncovered XDSpy, an APT active since at least 2011 and primarily focused on reconnaissance and documents thefts. The group is said to mainly target government agencies and private companies in Eastern Europe, including Belarus, Russia, Moldavia, Serbia, and Ukraine.\nNorth Korea-linked APT group targeted UN Security Council officials over the past year, states a report from the United Nations organ\nThe UN Security Council attributed a spear-phishing attempt to KimSuky, an APT linked to North Korea. The group targeted 26 UN officials using email and WhatsApp messages posing as UN security alerts, or requests for interviews.\nCryptocurrencies # Owner of Bitcoin Exchange Convicted of Racketeering Conspiracy for Laundering Millions of Dollars in International Cyber Fraud Scheme\nThe owner of RG Coins, a Bulgaria-based BTC exchange was convicted of conspiracy to commit racketeering and money laundering. Along with 19 other defendants, he victimized more than 900 people and exchanged more than USD 4.9 million for four other members of the criminal enterprise between September 2015 and December 2018.\nOver $150M Drained in KuCoin Crypto Exchange Hack\nKuCoin, a Singapore-based cryptocurrency exchange was hacked and lost at least USD 150 million in various currencies, including BTC, ETH, LTC, XPR, and a couple of other. KuCoin\u0026rsquo;s cold wallets were not affected.\nCoinbase is a mission focused company\nCoinbase CEO announced in a blog post that the exchange is a mission-focused company, and would not focus on causes not directly related to their mission (create an open financial system for the world), such as policy decisions, non-profit work, broader societal issues, and political causes.\nDarknet # McKean County Man Charged with Trying to Buy Meth on the Dark Web for Resale\nA man was indicted in Pennsylvania for purchasing at least 50 grams of methamphetamines with the intent to distribute. The indictment isn\u0026rsquo;t rich in details, but we know that the US Postal Inspection Service, the DEA, and McKean County forces were involved.\n“Dark Web Cannibal” Sentenced to 40 Years in Prison\nA Texas man was sentenced to 40 years in prison on child exploitation charges related to a post on an onion service where he said: \u0026ldquo;I\u0026rsquo;d like to try necrophilia and cannibalism, and see how it feels to take a life. If you\u0026rsquo;d be willing to let me kill you, are in the US (preferably in the south), and can travel by car, contact me\u0026rdquo;. Law enforcement posing as the father of a 13 years old child contacted him and exchanged various messages where the culprit repeated interest in raping, killing, and eating the 13-year old child.\nGeneral Security # Russian Hacker Sentenced to Over 7 Years in Prison for Hacking into Three Bay Area Tech Companies\nThe hacker that broke into LinkedIn and Dropbox in 2012 and accessed millions of users\u0026rsquo; data was sentenced to 88 months in prison. He was arrested while travelling to the Czech Republic in October 2016, and extradited to the US in March 2018.\nUS govt warns of sanction risks for facilitating ransomware payments\nThe U.S. Treasury Department\u0026rsquo;s Office of Foreign Assets Control announced that organizations helping ransomware victims to make ransom payments are at risk of violating OFAC regulations, and therefore risk sanctions. The agency also said that potential sanctions could be mitigated if companies hit by ransomware report the incident to law enforcement, and provide assistance.\nTwitter is warning developers that their API keys, access tokens, and access token secrets may have been exposed in a browser\u0026rsquo;s cache\nTwitter sent emails to developers to warn them that their API keys and secret access tokens could have stored in browsers cache while accessing developer.twitter.com.\nNevada school district refuses to submit to ransomware blackmail, hacker publishes student data\nA school in Nevada suffered from a ransomware attack at the end of September and refused to pay the ransom. In retaliation, the hacker shared students\u0026rsquo; personal information, including names, social security numbers, addresses and (undisclosed) financial information.\nPrivacy # Federal Judge Temporarily Blocks Trump\u0026rsquo;s TikTok Ban\nA judge in the District of Columbia granted TikTok\u0026rsquo;s request for a temporary injunction preventing the Trump administration\u0026rsquo;s order aimed at banning the application from Google\u0026rsquo;s and Apple\u0026rsquo;s app stores. TikTok\u0026rsquo;s lawyer claimed that ByteDance, the parent company was denied due process and that a ban would violate the First Amendment rights to free speech.\nPastebin adds \u0026lsquo;Burn After Read\u0026rsquo; and \u0026lsquo;Password Protected Pastes\u0026rsquo; to the dismay of the infosec community\nPastebin, the most popular text snippet sharing website added features to enhance users privacy. The service is notably used by malicious actors for things such as sharing hacked data, or by malware operators to send malicious commands to infected hosts. Pastebin is scrapped by various security companies and researchers to identify malicious ad sensitive content. They will now be prevented to do that to a certain extent. Some expect malware operators to take advantage of these new features widely.\nFree, Privacy-First Analytics for a Better Web\nCloudflare announced a new analytics tool. The company says that it is \u0026ldquo;privacy-first\u0026rdquo; as it does not use any client-side information (such as cookies), and doesn\u0026rsquo;t fingerprint visitors using their IP address, or user agent string. Paying customers can already see this feature in their dashboards, but Cloudflare is planning on releasing a free JavaScript-based version of the tool for people not using their DNS servers.\n","date":"2020-10-02","externalUrl":null,"permalink":"/blog/weekly-news-recap-3/","section":"News","summary":"Missed the news this week? Then get up to speed with our news recap. Among other things, ESET discovers an APT allegedly active for at least eleven years; a bitcoin exchange owner was convicted for racketeering and laundering, KuCoin lost USD 150 million in a hack. Also, some new arrests related to the darknet, the man that hacked LinkedIn and Dropbox in 2012 was sentenced, ransomware again, and Cloudflare releases a “privacy-first” analytics tool.\n","title":"Weekly News Recap 3","type":"news"},{"content":"Had a busy week and no time to follow the latest news this week? We got you covered with our weekly news recap.\nThis week, we learned some information related to Iranian APT, and North Korea money laundering schemes. Law enforcement conducted an international operation against darknet market vendors, and a programmer involved with Silk Road pleaded guilty of lying to federal agents. One member of the dark overlord hacking group was sentenced to prison, and Windows XP\u0026rsquo;s source code leaked online. Finally, researchers discovered a dangerous flaw in the Instagram app, and Shopify and Strava had data privacy issues.\nAPT # Rampant Kitten - An Iranian Espionage Campaign\nA new report by CheckPoint unravelled an ongoing surveillance operation by Iranian entities. This operation was aimed at Iranian expats and dissidents and has allegedly been going on for years. Multiple attack vectors such as Windows info stealers (targetting Telegram desktop, Windows files, and Keepass), as well as an Android backdoor, and Telegram phishing pages were found.\nSecret documents show how North Korea launders money through U.S. banks\nJournalists were able to consult a bunch of leaked FinCEN documents detailing how North Korea was able to carry out an elaborate money-laundering scheme for years, using shell and Chinese companies, as well as New York banks. The documents mainly cover the period between 2008 and 2017, where more than USD 174.8 million as allegedly laundered. Banks such as JP Morgan and the Bank of New-York Mellon were involved.\nDarknet # 179 Darknet Market Vendors Arrested Across the Globe in a Large Police Operation: DisrupTor\nDisrupTor, a nine months operation coordinated by Europol and involving various police forces in Europe and the US, led to the arrest of 179 darknet market vendors across the globe. Police also seized USD 6.5 million in cash and cryptocurrencies, as well as 500 kilograms of drugs, and 64 firearms. Law enforcement agencies used the data issued from the Wall Street Market take-down earlier last year to get the necessary intelligence.\nComputer Programmer Pleads Guilty In Manhattan Federal Court To Making False Statements About His Involvement In The “Silk Road” Website\nMichael R. Weigand, aka Shabang, pleaded guilty to making false statements to the IRS and FBI saying he was not involved with Silk Road market. Weigland provided technical support to the Silk Road administrator and identified several vulnerabilities within the website. He was also involved in travelling to London remove evidence from Tomas Clark\u0026rsquo;s (aka Variety Jones / The Plural of Mangoose) residence. Weigand is scheduled to be sentenced on December 18 and risks up to five years in prison.\nGeneral Security # Member of \u0026lsquo;The Dark Overlord\u0026rsquo; hacking group sentenced to five years in prison\nNathan Francis Wyatt, a British national, was sentenced to five years in prison and to pay USD 1,467,048. The hacker was involved with The Dark Overlord group since 2016 and was involved with the hacking of companies, stealing their sensitive data and asking them for ransoms not to make them public. He was arrested in the UK in 2017, and extradited in US in the end of 2019.\nWindows XP source code leaks online\nAccording to The Verge, torrent files with Windows XP\u0026rsquo;s source code are currently being shared by various sharing sites. While the code has reportedly been shared for a couple of years already, this is the first time that it is made public. The torrent files are also including references to conspiracy theories involving Bill Gates.\nPrivacy # #InstaHack: how researchers were able to take over the Instagram App using a malicious image\nResearchers found a critical vulnerability in the Instagram for iOS and Android. The flaw could have allowed attackers to perform remote code execution and to get full control of the application (for example viewing private messages, but also accessing the camera). The flaw could have been exploited by sending a malicious image using any messaging service. When opening Instagram, the picture would have been parsed by Mozjpeg, an open-source JPEG images decoder, and lead to a heap buffer overflow.\nShopify Reveals That Employees Stole Customer Data from Merchants\nShopify, one of the leading eCommerce platform, reported this week that two rogue employees belonging to their support team stole data belonging to 200 merchands. Shopify immediately terminated these employees and reported the incident to the FBI, which is still investigated. So far, there is no evidence of the data being used.\nStrava app shows your info to nearby users unless this setting is disabled\nStrava, a run tracking app reportedly allowed to show run itinerary of other people, if privacy settings were not explicitly changed. Users reported that only crossing into another user would add them as running together in the application, making the other party\u0026rsquo;s map itinerary available.Windows XP source code leaks online\n","date":"2020-09-25","externalUrl":null,"permalink":"/blog/weekly-news-recap-2/","section":"News","summary":"Had a busy week and no time to follow the latest news this week? We got you covered with our weekly news recap.\nThis week, we learned some information related to Iranian APT, and North Korea money laundering schemes. Law enforcement conducted an international operation against darknet market vendors, and a programmer involved with Silk Road pleaded guilty of lying to federal agents. One member of the dark overlord hacking group was sentenced to prison, and Windows XP’s source code leaked online. Finally, researchers discovered a dangerous flaw in the Instagram app, and Shopify and Strava had data privacy issues.\n","title":"Weekly News Recap 2","type":"news"},{"content":"注意: この記事はLLMによって英語から翻訳されたものです。正確性については保証いたしかねますので、あらかじめご了承ください。英語の原文はこちら。\n本日中央ヨーロッパ時間午後3時、Europolと米国司法省は、司法省が「ダークネット上のオピオイド密売者を標的とした史上最大の国際法執行作戦」と位置づけるプレスリリースを発表した。\nDisrupTorは厳密に言えば単一の作戦ではなく、Europolが調整し、オーストリア、キプロス、ドイツ、オランダ、スウェーデン、カナダ、英国、米国の複数の法執行機関の支援を受けた一連の共同作戦であった。この作戦は合計9か月にわたって実施され、2019年5月のWall Street Marketの閉鎖時に得られた情報の活用によって実現した。\nDisrupTorにより179人の販売者が逮捕された。内訳は米国121人、ドイツ42人、オランダ8人、英国4人、オーストリア3人、スウェーデン1人である。これらの逮捕に伴い、650万米ドル相当（現金および暗号通貨）、500キログラムの各種薬物、64丁の銃器が押収された。\nプレスリリースとともに、いつもの声明が発表された：\nダークウェブマーケットプレイスの黄金時代は終わった。このような作戦は、ダークウェブマーケットプレイスの暗号化と匿名性に対抗する法執行機関の能力を示している。警察はもはやこのような違法マーケットプレイスを閉鎖するだけでなく、そのようなサイトを通じて違法商品を売買する犯罪者も追跡する。\nWall Street Marketは2019年5月初めにドイツ警察がEuropolおよびヨーロッパと米国の各種法執行機関と協力して閉鎖した。同時期にValhalla Marketもフィンランド税関によって閉鎖された。この時点でWSMには115万人以上のユーザーと5,400人の販売者がおり、法執行機関は50万ユーロの現金と「6桁相当のBitcoinおよびMonero」を押収した。\n逮捕者数は確かにかなり印象的である。しかし、プラットフォームに登録されていた販売者数と比較すると、ダークネットマーケットのビジネスは通常通り続くと推測せざるを得ない。逮捕者の割合を見ると、WSM販売者の最大3.31%に相当する（実際にはそれ以下で、一部のアカウントは複数人で運営されていた）。\n参考までに、現在最大級のアクティブマーケットの一つであるDarkMarketには1,819人の販売者がいる。逮捕が9か月間にわたって行われたことと、Empire Market（DarkMarketの数倍の規模があった）が数週間前に出口詐欺を行ったことを考慮すると、逮捕された販売者のかなりの数がDarkMarketでは活動していなかったと考えるのが妥当であろう（あくまで推測）。\n法執行機関がどのようにして販売者を特定したかの詳細は共有されていない。Bitcoin決済の追跡、PGPが使用されていない場合の販売者・顧客・モデレーター間のメッセージからの情報取得、潜入捜査などの手法が用いられたと推測される。\n販売者の氏名やニックネームのすべてが公開されたわけではないが（おそらく法執行機関が現在そのアカウントを使って更なるユーザーを逮捕しようとしているため？）、数名についての情報がある：\n「Stealthgod」は南カリフォルニアの5人の被告グループで、約18,000件の取引に関与したとされ、複数のマーケットで活動していた。 Arden McCannは「XanaxLabs」「Pasitheas」「DRXanax」「TheMailMan」「WhiteYellowGreen」「XanaxBloters」の名前で活動し、今年2月にカナダで逮捕され、1,300万米ドル相当のXanaxを流通させたとされる。 Khlari Sirotkin、Kelly Stephens、Sean Deaver、Abby Jones、Sasha Sirotkinは100万錠以上のフェンタニル入り偽造ピルを流通させ、約280万米ドルの資金洗浄を行ったとされ、今年1月に逮捕された（DoJ）。このグループは2013年に結成され、Silk Road、Empire、Dream、Sleep、Nightmareの各マーケットで活動していた。「Killa Kells」「oxxxymoron」「Interstatefatz」「Fatz」「Abby Fatz」などのニックネームを使用していた。（出典：Cincinnati） William Anderson BurgamyとHyrum T. Wilsonは少なくとも19,000ユニットの処方薬の郵送に関与していた。Burgamyはダークネット上で「NeverPressedRX (NPRX)」として活動し、Wilson（薬剤師であった）が彼に薬を郵送していた。逮捕は今年4月に行われた（詳細はこちらとこちら） Aaron Brewerは2019年12月から2020年3月の間に609件のユニークな住所に送られた少なくとも757件の薬物出荷に関与していた。 この作戦はオピオイドに関するダークネットマーケット史上最大の作戦として宣伝されているが、現金（および暗号通貨）の押収額はそれほど大きくない。逮捕者一人当たりの平均を計算すると36,312ユーロとなる。参考までに、Alphabayの閉鎖時には、法執行機関はBitcoin、Etherum、Monero、ZCashで880万米ドル相当を押収した。\n薬物（合計500キログラム、販売者一人当たり平均2.8キログラム）は、フェンタニル、オキシコドン、ヒドロコドン、メタンフェタミン、ヘロイン、コカイン、エクスタシー、MDMAが含まれていたため、市場では比較的高い価値を持つ可能性がある。この記事にはGramsから取得した中央値価格（数年前のもの）が掲載されており、コカインが97.39米ドル、MDMAが37.07米ドルとなっている。\n500キログラムを相対的に捉えるため、欧州薬物・薬物依存監視センターが提供する2019年のヨーロッパ、トルコ、ノルウェーにおける押収に関する数値をいくつか紹介する：\n50,000件の押収でヘロイン22.9トン 31,000件の押収でMDMA 1.7トン 40,000件の押収でアンフェタミン13.4トン 19,000件の押収でメタンフェタミン1.4トン 別の話題として、Icarusマーケットの元モデレーターの一人が、突然の出口詐欺にはFBIが関与していた可能性が高いと述べた（こちらの記事を参照）。これに関連する発表はなかったため、以前よりもさらにその可能性は低いと思われる。\n出典：\nInterpolの発表 InterpolのWall Street Market押収に関する発表 DoJ記者会見 Wall Street Market刑事告訴状 DoJプレスリリース Operation Disarray Operation SaboTor ","date":"2020年09月22日","externalUrl":null,"permalink":"/ja/posts/2020/179-darknet-market-vendors-arrested-across-the-globe-in-a-large-police-operation-disruptor/","section":"記事","summary":"注意: この記事はLLMによって英語から翻訳されたものです。正確性については保証いたしかねますので、あらかじめご了承ください。英語の原文はこちら。\n","title":"大規模警察作戦DisrupTorにより世界中で179人のダークネットマーケット販売者が逮捕","type":"posts"},{"content":"Too busy during the week? You don\u0026rsquo;t have time to follow the latest news? Don\u0026rsquo;t worry; I have you covered. Starting this week, I will try to publish every week a recap of newsworthy items with links to relevant articles from more details.\nThis weekly recap will be separated in a couple of sections: Darknet, Cryptocurrencies, APT, General Security. This may change across time, but these are more or less the subjects that will be covered.\nAPT # Back Despite Disruption: RedDelta Resumes Operations (Recorded Future)\nTwo months after extensive public reporting on its targeting of the Vatican and other Catholic organisations, RedDelta (affiliated to China) is back. They did change control domains and took other basic operational security measures, but their techniques and procedures remain consistent. Insik attributed new activities to the group such as PlugX samples featuring decoy documents themed around Catholicism, and additional network intrusion activity targeting Myanmar government systems and two Hong Kong universities.\nSeven International Cyber Defendants, Including “Apt41” Actors, Charged In Connection With Computer Intrusion Campaigns (DoJ)\nThe American authorities charged 2 Malaysian and 5 Chinese people linked to the Apt41, aka Barium, Winnti, Wicked Panda, and Wicked Spider. One of the defendants has alleged connections with the Chinese Ministry of State Security. This APT made more than 100 victims globally and is involved in the theft of source code, software code signing certificates, customer account data, and valuable business information. They also ran ransomware and crypto-jacking. In addition to arrest warrants, the gov seized hundreds of accounts, servers, and domain names. No numbers are shared, but a lot of money is probably involved.\nCryptocurrencies # Binance is sued by Japanese crypto exchange Fisco for allegedly facilitating the laundering of $9 million (The Block)\nOn Monday, Fisco, a Japanese crypto currencies exchange sued Binance in a US court following Zaif (exchange belonging to Fisco) hack in 2018. During this hack, they lost about USD 63 million in various cryptocurrencies. The thieves laundered 1,451.7 BTC through Binance, which Fisco is accusing of having unbelievably lax KYC (Know Your Customers) policies that allowed the laundering to happen. Fisco is seeking USD 9 million in compensation.\nCrypto Investors Have Ignored Three Straight 51% Attacks on ETC (Coin Desk)\nETC has been experiencing three 51% attacks (allowing attackers to double-spend coins if they have more than half of the hashing power within the network) within one month, but the price stays relatively stable.\nKraken Wins Bank Charter Approval (Kraken Blog)\nThe State of Wyoming has approved Kraken\u0026rsquo;s application to form the world\u0026rsquo;s first Special Purpose Depository Institution (SPDI), tentatively called Kraken Financial. Kraken aims to create a bridge between the crypto economy and the existing financial system, which can be achieved thanks to the bank charter permit, that allows Kraken to operate a fully independent bank. Kraken Financial will only be available to US residents at first but hope to expand soon.\nPolice summon Bithumb chairman for questioning over alleged fraud (Coin Telegraph)\nThe Seoul Metropolitan Police Agency is seeking to question Lee Jung-hoon, chairman of Bithumb. He is allegedly (among other things) accused of fraud regarding the BXA token\u0026rsquo;s listing. The purported fraud caused up to USD 25 million.\nDarknet # Icarus Market Exit Scam - A Chronology of Events\nOn September 9th, Shortly after Empire Market exit scammed, Icarus market did the same in a surprisingly similar manner. One of the previous moderators declared war on the administrators, and the FBI might have located the servers before the shutdown.\nGeneral Security # Cloudflare and the Wayback Machine, joining forces for a more reliable Web (Archive.org blog)\nCloudflare and Wayback Machine established a new partnership. The websites behind Cloudflare servers, and using the \u0026ldquo;Always Online\u0026rdquo; service will now have their content automatically archived on the Wayback machines, and served from there if the website\u0026rsquo;s host becomes unavailable.\nHospital patient dies following botched ransomware attack (Graham Cluley)\nA patient died in Germany because of a ransomware attack hit the Düsseldorf University Clinic where the patient was supposed to be sent. Instead, he was redirected to another hospital, 32 km away, and couldn\u0026rsquo;t be treated on time. The ransom was addressed to the university the hospital was belonging to, and not to the hospital itself.\nMozilla to shutdown Firefox Send and Firefox Notes (Mozilla Blog)\nMozilla redefined its product focus and will decommission Firefox Send and Notes. Firefox Send was already temporarily made unavailable starting July 2020, after it was discovered that malware operators were abusing it.\nCerberus banking Trojan source code released for free to cyberattackers (ZDNet)\nIt was recently discovered that Cerberus (an android banking trojan active since July 2019) was being auctioned in a bid by one of its developers. The starting price was USD 50,000, and the package was including all the source code (.apk malware and control panel) as well as the customers list, and their contact information. It was reported that as no one looked interested in paying this much, and, as the auction failed the developer released the code source for free on a Russian forum\nThunderbird implements PGP crypto feature requested 21 years ago (Thunderbird blog)\nTwenty-one years after the ticket asking for PGP to be integrated with Thunderbird was created, the integration has finally been completed. It was possible to use PGP within the mail client before, but it required a third-party plug-in.\n","date":"2020-09-19","externalUrl":null,"permalink":"/blog/weekly-news-recap-1/","section":"News","summary":"Too busy during the week? You don’t have time to follow the latest news? Don’t worry; I have you covered. Starting this week, I will try to publish every week a recap of newsworthy items with links to relevant articles from more details.\n","title":"Weekly News Recap 1","type":"news"},{"content":"注意: この記事はLLMによって英語から翻訳されたものです。正確性については保証いたしかねますので、あらかじめご了承ください。英語の原文はこちら。\nEmpire Marketが出口詐欺を行ったわずか数週間後、Icarusもやや似た形でその跡を追い、FBIの関与の主張も聞こえてきています。事件の時系列を見ていきましょう。\n9月9日、マーケットが利用不能になりました。その直後、メインモデレーターのLaRougeがDreadで、マーケットは予期しないメンテナンス中であり、数時間以内に復旧する予定だと伝えました。数時間後、メンテナンスはサーバー移行によるものだと分かりました。この時点までは、あり得ない話ではありません。単一障害点があり、そのサーバーが故障したと考えることもできたでしょう。\nLaRougeが予期しないメンテナンスを告知 LaRougeがメンテナンスの理由を共有 少し後の9月11日、モデレーターの1人であるMitsuki12が、移行はトラフィック増加によるものだと説明しました。この説明はEmpireの出口詐欺直後なら筋が通りますが、他の主要マーケットへの新規ユーザーの増加はある程度安定していたため、Icarusのサーバーがトラフィックに対して不十分だったとしても、その時点では予期しないことではなかったはずです。\nMitsuki12がサーバー移行はトラフィック増加によるものだと説明 9月12日、最初の発表から3日後、Mitsuki12は上位の人間から連絡がなく、復旧しない場合はマーケットに何が起こったかについて自分の考えを公表すると投稿しました。この投稿は、管理者から長期間連絡がないことを示唆していました（「暗闇の中にいるのは好きじゃない」）。\nMitsuki12がIcarusの更新を約束 彼は翌日のCET 20時に更新を投稿すると約束し、実際にそうしました。その投稿（その後削除済み）では、彼の見解ではマーケットは終わったと述べ、スタッフへのメッセージを追加しましたが、明示的ではないものの少し脅迫的に見えました。\n同時に、Dreadのサブでのマーケットの説明を変更し、URLを「(not anymore)」に置き換えました。\nMitsuki12によるIcarusに関するあまり友好的でない更新 その後、彼はDreadのスレッドのモデレーターリストから削除され、9月14日13:00頃にスタッフの別のメンバーによって行われたと主張しています。なお、今日時点で「(not anymore)」のURLは変更されていません。もしチームの別のメンバーが本当に彼をモデレーターから外したのであれば、その分析に同意しているようです。\nMitsuki12がモデレーターリストから削除されたと主張 それ以降、スタッフからの活動は見られません。LaRougeの最後の投稿は9月15日21:12で、IcarusMarketの管理者アカウントには事件発生以降の投稿がなく、Azaeel（もう一人のモデレーター）も同様です。\n他の関係者はこのところ静かですが、Mitsuki12はその後もDreadに様々な投稿を続けています。彼の主張の一部はあり得ないとは言いませんが、大部分は完全にでたらめのように聞こえます。\n9月15日11:25、彼は/IcarusMarketに投稿(1)をしました（元のサブは/Icarusでした）。そこで彼は管理者を、民間セクターの古いチームと法執行機関との繋がりを使って追い詰めると脅迫していますが、22日のCET 20時まで「決断する」猶予を与えています。その意味は不明確で、彼はスレッドで自分が求めているものは「少なくとも今のところは機密だ」と返答しています。\n新しいサブでのIcarusに関する更新 興味深いことに、彼はこれを脅迫や恐喝とは考えていないようです。言葉の定義は人によって大きく変わるのでしょう。\nMistsuki2が自分の投稿は脅迫ではないと主張 もう一つの興味深い情報は、彼がFBIがサーバーを発見し、それが原因で管理者が逃走したと主張していることです。FBIは管理者のOpSecが悪かったためにサーバーを追跡できたとされています（詳細は提供されていません）。\nそれがなければ出口詐欺は起こらなかったとのことです。ただし、Misuki12は自分が指揮系統の最後にいたため、知り得なかっただろうと主張しています。\nIcarus Marketの更新スレッドへのコメント Icarus Marketの更新スレッドへのコメント 元モデレーターの言うことは注意して聞く必要があると思いますが、すべての要素がこれは出口詐欺であることを示しており、その点では彼は間違いなく正しいです。\nFBIの主張については、サーバーを発見した可能性がないとは言えませんが、もしそうだとしても辻褄が合わない点があります（私は法執行の専門家ではないので、誤った仮定をしているかもしれません）：\n元モデレーターはFBIがサーバーを発見した（押収ではない）と言い、その結果管理者がすべてをシャットダウンしたとしています。押収なしに管理者がそのことに気づいた可能性は低いでしょう。また、サーバーを発見したのであれば、なぜ乗っ取りや少なくとも盗聴を試みなかったのでしょうか？ サーバーを押収したのであれば、どこかで発表があったか、逮捕があったはずですが、何も発表されていません。 管理者のOpSecがそれほど悪かったのであれば、FBIがサーバーを見つけた後に追跡できなかったとは考えにくいです。 さらに、私の見解では、Mistsukiが法執行機関と協力する民間企業に関係しているという主張全体は完全な空想です。もし本当にそうなら、それを公に言うのは完全に愚かなことであり、信頼のある企業が彼の個人的な報復に協力するとは思えません（ただし匿名の情報提供は可能性としてあります）。また、彼はアナリストだと主張していますが、AIモデルの訓練の話は意味をなしません。ごくわずかなデータでAIを訓練することはできません。\nEmpireのベンダーのほとんどが深く考えずにIcarusに移ったという主張について、これは根拠がありません。8月25日から開始したDarkとWhiteHouse Marketのモニタリングから、両者はそれぞれ2週間で6.07%と10.76%の新規ベンダーを獲得しました。\n最後に、マーケットの将来に向けた計画があったという主張については、信じられなくもありません。以下のスクリーンショットが示すように、スタッフは最近多数の更新を行っていました。これらの更新にはオニオンサービスのV3へのアップグレードが含まれます。V2サービスは来年後半まで稼働可能なので、即座の退出を計画していたのであればこのアップグレードを行う意味はなかったでしょう。一部のリサーチャーは以前からこのマーケットが退出すると言っていました。一つの可能性は、中期的な計画にあったものの、旧Empireの顧客による資金の流入が十分な額だったということです。\n出口詐欺の数日前のIcarus最新アップデート Icarusの隠しサービスV3アップグレード告知 少し辛抱すれば、FBIの話が本当かどうかは分かるでしょう。しかし私の意見では、Mitsuki12は自分が計画に含まれていなかった（あるいは計画が何であるか気づかなかった）ことに傷つき、分け前か注目を得たがっているだけです。22日に何かが起こるとは思いませんが、待って見てみましょう。\n注記：\n(1)：この文に誤りがありました。スレッドはMistsuki12が作成したと以前述べましたが、実際にはAzaeelが作成したものでした。このスレッドは、マーケットがまだ稼働中の時に、より多くのベンダーやバイヤーを集めるための様々なライティングテクニックをテストするために非公開で使用されていたようです。\n","date":"2020年09月19日","externalUrl":null,"permalink":"/ja/posts/2020/icarus-market-exits-scam/","section":"記事","summary":"注意: この記事はLLMによって英語から翻訳されたものです。正確性については保証いたしかねますので、あらかじめご了承ください。英語の原文はこちら。\n","title":"Icarus Marketの出口詐欺 - 事件の時系列","type":"posts"},{"content":"注意: この記事はLLMによって英語から翻訳されたものです。正確性については保証いたしかねますので、あらかじめご了承ください。英語の原文はこちら。\nクロスサイトリクエストフォージェリ（CSRF）は、Webアプリケーションを標的にする攻撃手法である。典型的には、ユーザーがログインしている場所で意図せずアクションを実行させるものである。\n本記事では、このような攻撃の実行方法と、それに対する防御方法について説明する。本記事はこのトピックの入門を目的としているため、すべての攻撃手法や対策を網羅するわけではない。より詳しく知りたい場合は、記事末尾の参考文献でこのテーマを深く掘り下げているものを参照されたい。\nCSRF攻撃の実行方法 # 簡単な例 # BobとAliceがともにフォーラムのメンバーだと想像しよう。何らかの理由でBobはAliceの発言が気に入らず、アカウントを削除させることで教訓を与えようと決めた。このプラットフォームはオープンソースソフトウェアを使用しており、コードを見ると、Bobはユーザー削除時に以下のGETリクエストが行われることがわかる：/users/delete?userName=[userName]\u0026amp;confirm=True\nこれを元に、Bobはフォーラムの管理者にメールを送り、何かの口実でforum.tld/delete?userName=Alice\u0026amp;confirm=TrueというURLをクリックさせる。管理者はそのリンクをクリックする際にフォーラムにログインしているため、Aliceのアカウント削除機能が呼び出され、アカウントは実際に削除される。\nさて、アカウントは削除されるが、管理者は「アカウントは正常に削除されました」という趣旨のエラーメッセージを見ることになり、あまり目立たない方法とは言えない。管理者は何が起きたかに気づき、BobをBANするだろう。\nでは、Bobがそれほど簡単に検出されずに攻撃を実行する方法はあったのだろうか？あった。単にメールでリンクを共有する代わりに、0x0ピクセルの画像を含むHTML形式のメールを送ることができた：\n\u0026lt;img src=\u0026quot;http://forum.tld/delete?userName=Alice\u0026amp;confirm=True\u0026quot; width=\u0026quot;0\u0026quot; height=\u0026quot;0\u0026quot; border=\u0026quot;0\u0026quot;\u0026gt;\n管理者がフォーラムにログインしているのと同じブラウザでHTMLメールを開いた場合、リクエストが実行され、何が起きたか気づくことができなかっただろう。\nこの例ではGETリクエストについて述べているが、POSTリクエストでもこの脆弱性を悪用することは可能である。そのためには、HTMLフォームを含むWebページを作成し、ページの読み込み時に自動送信されるようにすればよい。\n要約 # まとめると、CSRF攻撃を成功させるためには3つの重要な要素が揃っている必要がある：\nHTTPリクエストが、被害者がターゲットWebサイトに認証されているブラウザから行われること 攻撃者がリクエストで期待されるパラメータとその値を知っていること。すべてのパラメータが予測可能であること ターゲットアプリケーションがセッションCookieに依存していること CSRF攻撃からサービスを守る方法 # CSRF攻撃に対処する最も一般的な方法は、CSRFトークンを使用することである。これはサーバー側でリクエストごとに生成される、第三者にとって予測不可能な文字列であり、リクエストごとにサーバーによって検証される。\nこれらのトークンはシステムの状態を変更するすべてのリクエストに追加されるべきであり、GETパラメータとして渡されるべきではない（つまり、URLに含まれるべきではない）。その主な理由は、GETで渡されたものはさまざまな場所にログされたり、HTTPリクエストとともに送信されたりする可能性があるからである。したがって、状態を変更する操作にはGETリクエストを使用すべきではない。代わりに、例えばフォーム内の隠しフィールドを使ってトークンを渡すことが可能である：\n\u0026lt;form action=\u0026#34;//deluser\u0026#34; method=\u0026#34;POST\u0026#34;\u0026gt; \u0026lt;input type=\u0026#34;hidden\u0026#34; name=\u0026#34;csrf-token\u0026#34; value=\u0026#34;8927dd0eeb9b65500d148bdf7a144b598fc161c974d86e1ec18174ca7813ee8483f56035e28779aae83e11017b29fe08208b09d515cafb214e5defdbace07f36\u0026#34; /\u0026gt; \u0026lt;input type=\u0026#34;text\u0026#34; name=\u0026#34;username\u0026#34; /\u0026gt; \u0026lt;input type=\u0026#34;submit\u0026#34; name=\u0026#34;Delete the User\u0026#34; /\u0026gt; \u0026lt;/form\u0026gt; サーバーレスのCSRF保護を管理する一つの方法は、リクエストを検証するために必要なすべての情報をトークン自体に含め、それを暗号化することである。例えば、sessionId timestampの形式で文字列を作成し、暗号化してトークンとして使用できる。\nユーザーがリクエストを行うと、サーバーはトークンを復号し、セッションIDが現在のユーザーに属していること、タイムスタンプが期待される有効期間内であることを確認するだけでよい。両方の要素が正しければ、サーバーは処理を続行できる。\nタイムスタンプを使用する利点は、リプレイ攻撃を防止できることである。例えば、タイムスタンプが5分以上古くないことを要求するルールを設定できる。10分前のタイムスタンプを持つトークンを受け取った場合、リクエストは拒否される。\nこのセキュリティに加えて、ユーザーのパスワードを求めることや、アプリケーションがTOTPを実装している場合は重要な操作を検証するためにトークンを要求することも可能である。\nその他の保護方法 # ダブルサブミットCookie # CSRF攻撃からサービスを保護するための一般的な方法の一つに、ダブルサブミットCookieがある。リクエストごとにサーバーがトークン付きのCookieを生成し、そのトークンをリクエスト内にも配置する（例：フォームの隠しフィールド）。これは、別のドメインからCookieを書き込むことはできないという前提に基づいており、したがってCookieと隠しフィールドの値が同じであれば、リクエストは有効であるはずというものである。\nこれは正しいが、複数の欠陥がある。その一つは、ドメイン名のすべてのサブドメインを管理していない場合に発生する。サブドメインはメインドメインにCookieを書き込むことができ、どこで書き込まれたかを簡単に区別することができないためである。例えば、subdom1.dom.tldはdom.tldの下にCookieを書き込むことができる。そこから、攻撃者がsubdom1.dom.tldを管理しており、あなたのWebサイトがsubdom2.dom.tldにホストされている場合、subdom1を使ってCookieを書き込むことができ、あなたのアプリケーションはそれをsubdom2によって生成された正当なものとして読み取ってしまう。\nなぜ単一のCookieだけでは不十分なのかというと、Cookieは出所に関係なくWebサイトにリクエストする際に常に送信されるからである。この問題を軽減する一つの方法（ただしすべての問題を解決するわけではない）は、SameSite Cookie属性を使用することで、特定のシナリオでのCookie送信を防止できる。ただし、SameSite Cookie属性はそれ単体では十分ではないため、他の対策と併用して実装すべきである。\nReferヘッダーの使用 # CSRFを防止するもう一つの方法は、リクエストの検証時にオリジン/リファラーヘッダーを確認し、ヘッダーがリクエストが自サイトからのものであると示している場合にのみリクエストを実行することである。しかし、これだけでは十分とは考えられていない。プライバシーのためにこれらのヘッダーがnullに設定されたり、プロキシによって削除されたりする問題が発生する可能性があるからだ。\nやや類似した方法として、JavaScriptを使用する場合、リクエスト時にカスタムヘッダーを設定する方法がある。ブラウザに実装されているSame Origin Policy（SOP）のおかげで、攻撃者がこのヘッダーを作成することは不可能であるため、CSRF防止に有効である。\n出典 # Bypassing CSRF Protections - A Double Defeat of the Double-Submit Cookie Pattern NetSparker: Using the Same-Site Cookie Attribute to Prevent CSRF Attacks NCC Group: Common CSRF Prevention Misconceptions OWASP: Cross Site Request Forgery OWASP: Cross-Site Request Forgery Prevention Cheat Sheet Play Framework: Protecting against Cross Site Request Forgery PortSwigger: What is CSRF? PortSwigger: CSRF Tokens PortSwigger: Defending against CSRF with SameSite cookies Stack Overflow: Why is the same origin policy so important? ","date":"2020年09月13日","externalUrl":null,"permalink":"/ja/posts/2020/csrf-exploit-how-it-works-and-how-to-prevent-it/","section":"記事","summary":"注意: この記事はLLMによって英語から翻訳されたものです。正確性については保証いたしかねますので、あらかじめご了承ください。英語の原文はこちら。\n","title":"CSRF脆弱性：その仕組みと防止方法","type":"posts"},{"content":"注意: この記事はLLMによって英語から翻訳されたものです。正確性については保証いたしかねますので、あらかじめご了承ください。英語の原文はこちら。\n王は死んだ、新しい王万歳！\n今週初め、最大の英語圏ダークマーケットであるEmpireが出口詐欺を行ったと疑われている。8月20日、マーケットはDDoS攻撃により応答不能になった。これは数時間以内にDread上でマーケットのモデレーターの一人であるMelbourneによって確認された。同日後に、根気強く待てばマーケットにアクセスできることもあったが、まもなくそれも止まった。\n26日、マーケットの主任モデレーターであるSe7enがDreadに告知を投稿した：「Empire Market Update」。スタッフが48時間以上管理者に連絡が取れなかったため、管理者が戻ってくる可能性は低いと述べた。\nDreadにおけるSe7enのEmpire Marketに関する告知 現時点で、管理者もマーケットも生存の証拠を示していない。興味深いことに、これらの出来事はIPアドレス94.140.115.23がhttp://erj7kwqkdkl73ewsuq6stztehx2tehk2aidxlex3btrfnjqax3ucvgyd.onion（マーケットのアドレスの一つ）のポート443にバインドされていることが発見された少し後に起きたが、この出来事が関連しているかどうかの証拠はない。このサーバーは本日時点でまだ稼働している。さらに、Empireに属するアドレスが資金を移動させているという報告もあったが、確認したところ、そのアドレスが実際にEmpireのものであるとは考えられない。\nEmpireは2018年1月にBayonet作戦の直後にローンチされた。dark.failによると、約130万人のユーザーを抱え、推定利益は2,638 BTC、つまり約3,000万米ドルに達した。\nいずれにしても、ダークネット上でマーケットが営業を停止することは珍しくないので、残っている競合者を見てみよう。主要なマーケットのリストをまとめた。活動開始時期、リスティング数、（可能な場合）ユーザー数と販売者数、対応通貨、提供している決済機能を含めている。このリストの作成にあたり、フォーラム型のマーケット（例：The Majestic Garden）や英語圏以外のマーケット（例：Hydra）はすべて除外した。\n以下のリストに記載されている数値はすべて、マーケット側が自己申告したものである点に注意されたい。\n主要アクティブマーケット：統計と決済オプション（URLをコピーして新しいタブで開くと拡大可能） リストを見ると、最も古いものでも2018年から運営されており、すべてのマーケットが比較的新しいことがわかる。BTCは依然として最も対応されている通貨だが、XMRも勢いを増しており（Monero入門で触れた通り）、ほぼすべてのマーケットで対応されている。マルチシグエスクローは依然として普及が進んでおらず、12のマーケットのうち3つしか対応していない。\n最大級のマーケットのうちWhite HouseとDarkMarketの2つは幸いにもホームページで統計を公開しているため、ここ数日の成長を評価することができる。\n以下の表は、異なる時点でのリスティング数、ユーザー数、販売者数（両マーケットともJST - GMT +9）を示している。\nWhite House Marketの数値 DarkMarketの数値 数日以内にWHMのユーザー数は9.83%増加して20万人を突破し、販売者数は11.76%増加した。DarkMarketの新規ユーザーと販売者の獲得はやや少なく、それぞれ6.07%と13.42%の増加であった。いずれにしても、これらの数字はかなり印象的であり、この2つのマーケットは新たな王となる有力な候補である。\n","date":"2020年08月29日","externalUrl":null,"permalink":"/ja/posts/2020/august-dark-markets-update-empire-market-is-gone-whos-left/","section":"記事","summary":"注意: この記事はLLMによって英語から翻訳されたものです。正確性については保証いたしかねますので、あらかじめご了承ください。英語の原文はこちら。\n","title":"8月のダークマーケット最新情報 - Empireが消滅。残っているのは？","type":"posts"},{"content":"注意: この記事はLLMによって英語から翻訳されたものです。正確性については保証いたしかねますので、あらかじめご了承ください。英語の原文はこちら。\nMonero（XMR）はZCoinと並び、最も広く使われているプライバシー重視の暗号通貨の一つである。最近では、暗号通貨で送金したいが追跡を避けたいと考える人々の間で注目を集めているようだ。とりわけ、Bitcoinミキサーの代替としていくつかのダークウェブフォーラムで推奨されることが多く、WannaCryの作者が資金洗浄に使用したことでも知られている。\n本記事では、Moneroの仕組みと、BitcoinやほかのCurrencyよりも匿名性を高めるメカニズムについて、比較的高レベルな概要を提供することを目的としている。数学的・マイニング的な詳細には踏み込まないが、記事の内容は比較的高レベルながらも、Bitcoinについて少なくとも基本的な知識があることを前提としている。\n2014年4月にローンチされたMoneroは、Bytecoin（Bitcoinではなく、Bytecoinである）のフォークをベースとしているが、ジェネシスブロックからスタートしている（つまり、XMRの台帳にはBytecoinのトランザクションは含まれていない）。Proof of Workに基づいているが、Bitcoinとは異なりアルゴリズムがCPUフレンドリーであるため、マイニングがより多くの人にとって身近なものとなっている。コインの供給量は無限である。2022年5月頃には約1,800万コインに達し、その後はブロックあたり0.6 XMRが生成される（現在の約1.5と比較して）。1ブロックのマイニングには平均約2分かかり、固定の最大サイズは設けられていない。\nアドレスと鍵 # まず最初に、Moneroで取引するにはアドレスが必要である。ほとんどのほかの暗号通貨では、アドレスを作成する際に公開鍵と秘密鍵のペアが生成される。Moneroの場合はもう少し複雑で、4つの鍵（2つのペア）が生成される：\n公開ビュー鍵（public view key） はMoneroアドレスの後半部分である。送金したい人がこの鍵を使用する。 秘密ビュー鍵（private view key） は台帳をスキャンして、他者が送ってきたトランザクションを見つけることを可能にする。この鍵を公開することもできるが、その場合すべてのトランザクションが誰にでも見えるようになる。 公開スペンド鍵（public spend key） はMoneroアドレスの前半部分である。リングフェーズで使用される（詳細は後述）。 秘密スペンド鍵（private spend key） はトランザクションに署名するために使用する鍵である。この鍵は決して共有してはならない。 トランザクションの実行 # 鍵が揃ったところで、資金を受け取る準備ができた。Bobが我々にお金を借りていて、Moneroで返済するとしよう。以下のプロセスが行われる：\n我々のアドレスをBobに伝える。 Bobは我々の公開ビュー鍵と公開スペンド鍵を使って、ワンタイム（またはステルス）アドレスを作成し、そこに資金を送る。このアドレスにより、我々の実際のアドレスが台帳に表示されることがなくなり、第三者が我々の保有資金を知ることが不可能になる。 次にBobはトランザクションを作成する。ここでリング署名が登場する。Bobは台帳上の他のトランザクションから発行された10個（プロトコル要件）のアウトプット（またはミキシン）を取得し、資金の送信元である実際のインプットとともにインプットとして使用する。これにより、第三者がトランザクションの資金源がどのインプットであるかを知ることが防止される。Ring CT（機密トランザクション）も使用され、トランザクション内で送金額を隠すことができる。 秘密ビュー鍵を使ってブロックチェーンをスキャンし、自分宛のトランザクションを見つけると、Bobが生成したワンタイムアドレスが確認でき、支払いを確認できる。その後、秘密スペンド鍵を使ってこれらの資金を使用できるようになる。 このプロセスが完了すると、Bobと我々の双方にプライバシーが確保される：\nBobは我々の保有資金を見ることができない。なぜなら、彼が知っているのは自分が作成したワンタイムアドレスだけであり、我々の秘密ビュー鍵を持っていないため台帳をスキャンして他のアドレスを見つけることができないからだ。 我々はBobがどこから資金を送っているかを確実に知ることができない。複数のインプットがあり、どれがBobのものか確認できないためだ。 Bobは我々がいつ資金を使い、どこに送るかを知ることができない。その理由は、我々のアドレスが他のユーザーのリング署名ラウンドで使用される可能性があるからだ。 さらなる詳細 # リング署名とRing CT # ここまで読んだ方は、おそらくこのような疑問を持つだろう：「送金額が隠されていて、どのインプットが資金の出所かも分からないなら、マイナーはどうやってトランザクションが有効かどうかを判断するのか？」\nこの問題を解決するために、数学と暗号学に基づいて2つのものが生成される：\nキーイメージ（Key Image） はトランザクションのために生成される公開鍵である。トランザクションのインプットの一つが有効であることを、どれかを明かすことなく確認でき、二重支払いの発生を防止する。 Pedersenコミットメント はインプットとアウトプットの値の合計が等しく、したがってトランザクションが有効であることをネットワークに伝える。 インプットとアウトプット # Bitcoinと同様に、Moneroではトランザクション内ですべてのインプットを使い切る必要があるため、お釣りアドレスの作成が必要となる。複数のアウトプットへの支払いや複数のインプットの使用も可能である。\nトランザクションで使用する実際のインプットごとにリング署名が存在する。したがって、常に少なくとも10個の偽のアウトプットと1個の真のアウトプットが存在することになる。\n出典と参考資料 # 本記事の執筆時に使用した出典と、いくつかの参考資料を以下に示す。リング署名などについてより詳細な情報を提供しているものもあるので、興味がある方はぜひ確認してほしい。\nA low-level explanation of the mechanics of Monero vs Bitcoin in plain English Understanding Monero Cryptography, Privacy \u0026ndash; Introduction Understanding Monero Cryptography, Privacy Part 2 \u0026ndash; Stealth Addresses Cryptonote protocal Whitepaper Moneropedia Breaking Monero 06: Unusual Ringsize Zcash VS Monero: Comparative Privacy Coin Guide Monero Documentation What is Monero? (XMR) Stack Exchange: What is a key image? Stack Exchange: Monero terminologies Addresses Generation and Checking Tool Transaction Checker Tool ","date":"2020年08月23日","externalUrl":null,"permalink":"/ja/posts/2020/an-introduction-to-monero/","section":"記事","summary":"注意: この記事はLLMによって英語から翻訳されたものです。正確性については保証いたしかねますので、あらかじめご了承ください。英語の原文はこちら。\n","title":"Monero入門","type":"posts"},{"content":"注意: この記事はLLMによって英語から翻訳されたものです。正確性については保証いたしかねますので、あらかじめご了承ください。英語の原文はこちら。\nこの記事では、Torの隠しサービス（オニオンサービスとも呼ばれます）の設定方法と、設定に使用できる基本的なオプションについて見ていきます。その後、プロトコルについてさらに詳しく説明し、クライアントが隠しサービスにアクセスしようとする際に正確に何が起こるかを解説します。\nこのチュートリアルは、Ubuntuの最新バージョンを基に書いており、ウェブサーバーが既に稼働していることを前提としています。\nインストール # まず最初に、Torをインストールする必要があります。aptを通じてインストールできますが、公式ドキュメントでは、コミュニティリポジトリはタイムリーに適切に更新されない歴史があるため、使用しないことを推奨しています。Torが管理するリポジトリを/etc/apt/sources.listに追加します：\ndeb https://deb.torproject.org/torproject.org focal main deb-src https://deb.torproject.org/torproject.org focal main 次に、リポジトリのPGP鍵をシステムに追加し、Torをインストールします：\ncurl https://deb.torproject.org/torproject.org/A3C4F0F979CAA22CDBA8F512EE8CBC9E886DDD89.asc | gpg --import gpg --export A3C4F0F979CAA22CDBA8F512EE8CBC9E886DDD89 | apt-key add - apt-update apt install tor deb.torproject.org-keyring 設定 # Torrc設定ファイル # Torがインストールされたら、設定を行います。このステップは驚くほど簡単で、設定ファイル/etc/tor/torrcを編集して以下を追加するだけです。なお、サービスは自動的にv3として作成されます。v2サービスを作成することもできますが、v2は間もなく無効化されるため、意味がありません。\nHiddenServiceDir /var/lib/tor/hidden_service/ HiddenServicePort 80 127.0.0.1:80 この2行は以下のことを行います：\nHiddenServiceDirは、Torがサービスのアドレスと鍵を作成/読み取る場所です。ユーザーdebian-torが適切に読み書きできることを確認する必要があります。また、機密情報が含まれるため、アクセス権限が700であることを確認してください。 HiddenServicePortは、ポートをサービスにマッピングすることができます。ここでは、Torはポート80への接続を127.0.0.1:80に転送します。1つのサービスディレクトリに対して複数の隠しポートを設定できます。また、unix:/path/to/socketを使用してソケットでコンテンツを提供することも可能です。 また、複数のサービスを設定することも可能です。異なる情報で前述の2行を繰り返すだけです（サービスディレクトリも異なる必要があります！）。順序はHiddenServiceDirの後にHiddenServicePortを記述してください。\n隠しサービスディレクトリ # 設定を編集し、systemctl restart torでサービスを再起動すると、hidden_serviceディレクトリに以下のものが作成されるはずです：\nHiddenServiceDirに作成されたファイル hostnameには隠しサービスのURLが、hs_ed25519_*_keyには公開鍵と秘密鍵が含まれます。鍵を失うとサービスのURLも失われるため、鍵は慎重にバックアップしてください。\nauthorized_clientsディレクトリでは、名前の通りの機能を実現できます。これを行うには、something.authという形式のファイルを作成する必要があります。各ファイルには\u0026lt;auth-type\u0026gt;:\u0026lt;key-type\u0026gt;:\u0026lt;base32-encoded-public-key\u0026gt;形式の1行のみを含める必要があります。このページでは、このファイルに必要な情報の生成方法と、クライアントの認証設定方法が詳しく説明されています。\nセキュリティの強化 # Torを使用する際のサーバーのセキュリティ確保について詳細には触れませんが、以下はやるべきことの一部（網羅的ではありません）です：\nサーバーに関する情報をリンクしないように注意する Torを通じたローカルリソースへのアクセスに注意する できればTorをリレーとしてではなくクライアントとして使用する（ゲートウェイがダウンした際に隠しサービスもダウンするという相関を不可能にするため） Project Vanguardを確認する。これは匿名性解除攻撃に対するセキュリティを強化します。簡単に言うと、Vanguardが防ごうとしているシナリオは次の通りです：攻撃者が多数のリレーを運用しながら隠しサービスに大量のリクエストを行い、そのリレーの1つがミドルノード（ガードノードとランデブーポイントリレーの間）として選ばれる可能性があります。そこからガードリレーを侵害し、サービスポイントのIPを特定することが可能になります。 デバッグ # 何らかの理由で設定したディレクトリに何も作成されない場合、またはサービスに到達できず設定が正しい場合は、sudo -u debian-tor torを使用してTorサーバーを起動すると、サーバーの初期化に関するより詳しい情報が得られます（例えばネットワークに接続できない場合など）。\n設定ファイルに以下を追加してログを有効にすることもできます：\nSafeLogging 0 Log notice file /path/nf.log Log info file /path/if.log なお、Torをクライアントモードで実行している場合、ファイアウォールで受信ポートを開く必要はありません。ポート443への送信接続を許可するだけで十分です。\nクライアントはどのように隠しサービスに接続するか # ここで、接続の仕組みがどうなっているのか疑問に思われるかもしれません。この部分はそれを理解するためのものです。読んだ後もさらに情報が必要な場合は、プロトコル仕様をご覧ください。\nサービスの初期化 # 設定で見たように、サービスには公開鍵と秘密鍵が必要です。これらは通信のセキュリティ確保とサービスのアドレス生成に使用されます。Torが自動的に生成できますが、バニティアドレスを取得するために手動で鍵を作成し、アドレスが特定の文字列で始まるまで鍵生成を大量に繰り返す人もいます。例えば、facebookcorewwwi.onion（この記事のパート3を参照）。 鍵が作成されると、隠しサービスはイントロダクションポイントとして機能するいくつかのノードを選択します。 隠しサービスはこれらのノードに接続し（Tor回路を使用し、匿名性の目的を損なう直接接続は行いません！）、公開鍵を共有します。その後、接続を開いたまま維持します。 隠しサービスは、公開鍵とイントロダクションポイントの情報を含む隠しサービス記述子を作成します。その後、この記述子を公開鍵で署名し、DHT（分散ハッシュテーブル）システムの一部である6つの隠しサービスディレクトリ（HSDirフラグが有効な通常のノード）にアップロードします。 ステップ(1)は明らかにサービス作成時にのみ実行されますが、次のステップは定期的に繰り返されます。DHTについてさらに詳しく知りたい場合は、この記事（DHTからのデータ収集について紹介）をご覧ください。\nクライアントの接続 # クライアントが隠しサービスに接続しようとすると、以下のことが起こります：\nクライアントはDHTに隠しサービスの記述子を要求します クライアントはランダムなリレーをランデブーポイントとして選択し、（回路を通じて）接続します クライアントは、ランデブーポイントのアドレスとワンタイムシークレットを含むイントロデュースメッセージを作成します。次に、隠しサービスの公開鍵で暗号化し、イントロダクションポイントに送信します イントロダクションポイントはイントロデュースメッセージを隠しサービスに転送します 隠しサービスはランデブーポイントに接続し、ランデブーメッセージでワンタイムシークレットを送信します ランデブーポイントは接続が成功したことをクライアントに通知します ここから、クライアントと隠しサービスは通信できるようになります。ランデブーポイントはゲートウェイとして機能し、暗号化されたメッセージのみを見ることができます ","date":"2020年08月10日","externalUrl":null,"permalink":"/ja/posts/2020/hosting-a-website-on-tor-a-simple-walkthrough/","section":"記事","summary":"この記事では、Torの隠しサービスの設定方法と、その所在地を隠蔽するためにプロトコルがどのように機能するかについて説明します。","title":"Torでウェブサイトをホスティングする：簡単なウォークスルー","type":"posts"},{"content":"注意: この記事はLLMによって英語から翻訳されたものです。正確性については保証いたしかねますので、あらかじめご了承ください。英語の原文はこちら。\n当然のことながら、ダークネットマーケットで怪しいビジネスを行っている場合、自分に繋がる痕跡を残したくはないだろう。そのため、登録にメールアドレスを使用することは避けるはずであり、ほとんどのプラットフォームがメールアドレスを要求しないのもそのためだろう。とはいえ、ほぼすべてのダークマーケットは、安全な通信や二要素認証など、さまざまな目的でPGPを利用している。PGPは一部の人にとってかなり難解であり、ソフトウェアはPGP鍵の生成時に一般的にメールアドレスの入力を求めるため、ユーザーが何を入力するかによっては、興味深いデータを収集できる可能性がある。\nPoint Marketは非常に親切なことに、マーケット内のほぼすべての情報にアクセスできるAPIを提供している。そこから296の異なるストア（1ストアが1ベンダーに対応）のデータを取得することができた。295人のベンダーがアカウントにPGP鍵を設定していることが確認できた。\nデータを取り込んだ後、メールアドレスの大多数は有効なものであることが観察された（しかもその大半がGmailでホストされている！）。しかし、PGP鍵の生成時にメールアドレスを入力しなかった（あるいは明らかに偽のアドレスを入力した）賢明なベンダーも少数存在した。\nただし、メールアドレスだけを取得しても、それだけではあまり意味がないかもしれない。一部のベンダーが選んだプロバイダーはOpSecの観点から明らかに良くない選択ではあるが、正しく設定されたTor環境でメールにアクセスすれば、それほど危険ではない可能性がある。マーケット外でどのメールアドレスが使用されている可能性があるかを評価するため、以下のグラフに2つの指標を追加した。赤い線はPGP鍵に関連付けられたメールアドレスに自分の名前が含まれていないベンダーの数、黄色い線は少なくとも1回は漏洩したことのあるユニークなアドレスの数（出典：haveibeenpwned.com）である。青い線は、該当ドメインのメールアドレスが関連付けられたPGP鍵の数を示している。\nPGP鍵で該当サービスを使用しているベンダー数 赤い指標は現実を議論の余地がある形で表しているが、漏洩アカウント数は有用な指標となり得る。どのアカウントがどこで使用されているかを確認できるためだ。さらに驚くべきことに、多くのアカウントが漏洩しているようであり、一部のベンダーが一般的なサービスでこれらのメールアドレスを使用していることを示唆している。これにより、自分に繋がる痕跡を残す可能性が高まっている。どのようなサービスが侵害されているかを見て、その深刻さを評価しよう。\nサービス別のベンダーアカウント漏洩数 まず観察できるのは、多数のサービス（25人のユニークユーザーに対して69件）でさまざまなメールアドレスが使用されていることである。なお、グラフの作成にあたり、明らかに偽のメールドメインと、偽の可能性があるGmailアドレス2件（jb@yahoo.frとSP@gmail.com）は除外している。\n一部のサービスは、人々が行っているビジネスの種類を考慮すれば理解できる（例：Cannabis ForumやOnline Spambot）。とはいえ、サービスごとに異なるメールアドレスを使用しないのは良い考えとは言えない。しかし、Adobe、MyFitnessPal、TheTVDB、Edmodo、Funimationなどは非常にまずい選択に思える。安全なTor設定で使用していたとしても、Adobeは予期しないアップデートを実行する可能性があり、MyFitnessPalはユーザーがどのような製品やブランドを摂取しているかを明かす可能性があり、TheTVDBやFunimationはどのような映画や番組が好きかを明かす可能性があり、Edmodoはランニングアプリであるためgps付きで使用することが前提となっている。これらの情報を組み合わせれば、ユーザーを追跡するのに非常に有用な個人識別情報を得ることができる。\nもちろん、漏洩データに含まれるメールアドレスの一部がまだ偽物である可能性はある（例えば、PGPには使用されているが特定のユーザーに属していないもの）。しかし、ランダムだが明らかに偽物ではないメールアドレスを使うのはあまり意味がないだろう。同時に、漏洩していないアドレスの中にも他で使用されているものがある（例えば、電話番号が紐付けられたTwitterアカウントなど）。これらのアドレスのより詳細な分析や、さまざまなOSINTソースの活用については、今後の記事で取り上げる予定である。\n","date":"2019年02月28日","externalUrl":null,"permalink":"/ja/posts/2019/tracking-point-market-vendors-from-their-pgp-keys-part-1/","section":"記事","summary":"注意: この記事はLLMによって英語から翻訳されたものです。正確性については保証いたしかねますので、あらかじめご了承ください。英語の原文はこちら。\n","title":"PGP鍵からPoint Marketのベンダーを追跡する（パート1）","type":"posts"},{"content":"注意: この記事はLLMによって英語から翻訳されたものです。正確性については保証いたしかねますので、あらかじめご了承ください。英語の原文はこちら。\n二大ダークマーケットの閉鎖により、7月はアンダーグラウンド経済にとって厳しい月となった。AlphaBayが突然オフラインになってからわずか数日後、AlphaBayが法執行機関によって閉鎖されたこと（この時点では予想されていた）だけでなく、Hansaも1ヶ月間にわたり法執行機関によって運営され、利用者にとって致命的な罠と化していたことが判明した。本記事では、この日に至るまでの一連の出来事と、法執行機関がいかにしてこれらのプラットフォームの利用者に対する致命的な罠を仕掛けたかについて考察する。\n物語は7月5日UTC午前3時頃、AlphaBayが事前の通知なく突然オフラインになったところから始まる。同日、複数の警察作戦が報告された。カナダでは、GRCとFBIが3件の捜索を実施した。1件はモントリオール、2件はケベック州ドゥー・リヴィエールで行われた。これらの家宅捜索の目的はIT機材の押収であり、少なくとも1台のサーバーが押収されたが、逮捕者は出なかった。TVA Nouvellesはカナダのカミーユ・アベル大尉にインタビューを行い、捜査が進行中であるため詳細は明かせないが、続報があると発表した。一方、別のFBI、DEA、タイ王国警察の合同作戦により、25歳前後のカナダ人男性がバンコクで逮捕されたと報じられた。\nさまざまな憶測が飛び交うまでに時間はかからなかった。当初は出口詐欺説とウェブサイトメンテナンス説が有力であった。7月5日、Big_Musclesと名乗るRedditユーザー（AlphaBayのモデレーターとされる）が人々に「落ち着いて辛抱してほしい」と呼びかける一方、AlphaBayから大規模な出金が検知されたと主張する者もいた。実際には、「調査」されたクラスターの一部はKrakenやPoloniexに属するものに過ぎず、出口詐欺とは無関係であった。\nその後まもなく、法執行機関による閉鎖説を信じる人が増えていった。この説は7月12日以降さらに広まった。タイで逮捕された26歳のカナダ人アレス・カゼス（Ales CAZES）が、独房でタオルを使って首を吊ったことが報じられたためである。\n当然ながら、AlphaBayの利用者は次に大きなマーケットであるHansaに流れた。新規ユーザーの流入は非常に大きく、「AlphaBay難民」の殺到に圧倒されたHansaは7月9日から17日まで新規登録を停止した。我々は7月8日から10日にかけてこのマーケットをクローリングし、取得したデータから以下のチャートを作成した。\nHansaマーケット - 開設以降のユーザー活動 Hansaはベンダーのページに（他にも情報があるが）3つの情報を表示していた：登録日、最終接続日、そしてバケーションモードを有効にしている場合はその開始日である。チャートではこれらの日付を以下のように示している：\n青：その月の新規ベンダー数 オレンジ：その月に最後に確認されたベンダー数 黄色：その月にバケーションモードを有効にしたベンダー数 Hansaには合計2,133人のベンダーがいた。そのうち243人は登録日がなかったが、最終接続日があり、場合によってはバケーション日もあった。バケーション日と最終接続日から、登録日は先のチャートと整合性があると推測できる。グラフからは2つの興味深い点が読み取れる。まず、ほとんどのベンダーがアクティブであったようで、7月に1,289人、6月に171人が確認されている。次に、AlphaBayがオフラインになった後にベンダーがHansaに移行してきたことが確認できる。登録数の増加がどれほど顕著であるかをより正確に把握するため、日別の新規ベンダー数を示すチャートを作成した。\nHansaマーケット：1日あたりの新規ベンダー数 6月の1日あたりの新規ユーザー平均は91人であった。AlphaBayが7月5日に閉鎖され、Hansaが7月9日に登録を停止したため、7月5日から8日までの数値を使用する。この期間の新規ベンダーは137人であった。これにより、AlphaBayが消滅した後、登録数が372%増加したことが算出できる。AlphaBayには40,000人のユーザーがいたと言われており、最後の10日間の登録データが欠けていることを考慮すると、この数字はさらに大きい可能性がある。バイヤーにはプロフィールがないため、その数を推定することはできなかったが、同様の傾向であると推測できる。\n大きな驚き\n7月20日、Hansaは機能を停止し、DOJによる記者会見（トランスクリプトはこちら）が開催された。誰もが疑っていたことが確認された。AlphaBayは警察の作戦中に閉鎖されたのである。さらに驚くべき発表もあった。6月20日からHansaを管理下に置いていたというのである。\n同日、オランダ警察が公式発表を行った。ドイツでHansaマーケットの2人の管理者が逮捕されたことで、リトアニアでホスティングされていたサーバーを掌握し、そこを通過するすべての通信を傍受することができたと説明した。これにより、約50,000件の取引から約10,000件のHansa顧客の住所を取得した。取引数は7月5日以降、1日平均1,000件から8,000件に増加し、状況を制御しようとする当局にとって大きな課題となった。KrebsOnSecurityは警察官へのインタビューを行い、新規登録を停止したのは注文を追跡可能にするためだったと説明を受けた。\n残念ながら、Hansaがどのように閉鎖されたかについての情報は多くない。しかし、Bitdefenderがある時点で当局を支援したことは分かっている。また、インターネット上のいくつかの説では、違法な書籍のコピーを配布していたプラットフォームであるlul.toの閉鎖と関連している可能性が示唆されている。その管理者と疑われる2人がドイツで6月21日に逮捕されたようである。\nOperation Bayonet、あるいはCazesが自ら墓穴を掘った経緯 # 時系列が明らかになったところで、Operation Bayonet（AlphaBayの閉鎖のみを指す）の成功に至った経緯を見てみよう。答えはシンプルだ。OpSecの甘さである。Silk-Road閉鎖の詳細を知っている人ならば、間違いなくデジャヴを感じるだろう。Cazesが逮捕された（主な）理由は、彼が自分のメールアドレスをAlphaBayで使用していたことにある。正確に言えば、2014年にウェルカムメールやパスワードリカバリーなど、ユーザーに送信されたメールの一部のヘッダーに、Cazesの個人メールアドレスPimp_Alex_91@hotmail.comが含まれていた。インターネットは決して忘れないという言葉を聞いたことがあるだろうか。まさにその好例がここにある。Cazesのアドレスが含まれたメールが送信されたのは2014年だが、法執行機関がそれを知ったのは2016年になってからだった。\nそこから先、さらなる証拠を見つけることは連邦捜査官にとって困難ではなかった。Cazesは2008年末に有名なフォーラムcommentcamarche.comに質問を投稿しており、そこには名前やメールアドレスだけでなく、ニックネーム「Alpha02」も含まれていた。そう、後にAlphaBayで使用したのと全く同じニックネームである。しかしそれだけではない。このメールアドレスは複数のPayPalアカウントやLinkedInプロフィールにも使用されていた。そしてもうお気づきだろうが、1991はCazesの生まれ年である。\nこれらの情報はすべて公開されていた（あるいは少なくともある時点では公開されていた）ものであり、少し調べれば誰でも見つけることができた。ここから法執行機関は、各所の令状を取得し、捜索と逮捕を実行するために必要なすべての証拠を集めることができた。\n警察がタイにあるAlpha02の自宅を強制捜査した際、彼はコンピューターの前に座り、マーケットをオンラインに復旧させようとしていた。マーケットのフォーラムに管理者としてログインするなど、複数の場所にログインしていた。彼のコンピューターからは、多数のサーバーへのアクセス認証情報、暗号通貨ウォレット、会計書類が記載された複数のテキストファイルが発見され、警察がコインを押収することを可能にした。また、彼が「rawmero」として RooshVというフォーラムで非常に活発に活動しており、自身の富について非常にオープンに語っていたことも判明した。\nその他、法執行機関は複数の別荘、ランボルギーニ、ポルシェ・パナメーラ、大量の現金、そして多数のBitcoin、Ethereum、Monero、Zcash（約880万ドル相当）を押収した。コンピューターから発見された書類によると、Cazesは自身の純資産を23,033,975ドルと見積もっていた。そのいずれも合法的な収入源と結び付けることはできなかった。彼は「EBX Technology」という会社を所有し、Bitcoinで財を成した投資家を装っていた。実際には、EBXの銀行口座にはほとんど取引がなかった。おそらくアンティグアの経済市民権を購入すれば自分を守れると考えていたのだろう\u0026hellip;大きな間違いであった。\nAlphaBayに関するいくつかの数字とダークマーケットの未来\nAlphaBayは2015年7月から2017年7月まで運営された。2015年12月まではプレローンチ期間であり、それ以降に一般公開された。この期間中、推定取引量は数億ドルに達する。Cazesの資産額とサービスが徴収した手数料（ベンダーの取引量などに応じて1件あたり2%～4%）に基づくと、資金の流れは575,849,375ドルから1,151,698,750ドルの間と推定できる。もちろんこれは大まかな推定であり、Cazesはスタッフやサーバーへの支払いが必要であったため正確ではない。同時に、投資で利益を得ていた可能性もある。\n比較すると、この資金の流れはSilk-Roadの何倍にもなる。Silk-Roadの元管理者は今年、仮釈放なしの終身刑を宣告されている。これがCazesが自殺を決意した理由を説明しているのかもしれない。2017年6月時点で、マーケットには369,000点以上の商品が出品されていた。各種薬物、銃器、クレジットカード番号などが含まれていた。我々がクローリングしたデータによると、Hansaはその全期間を通じて114,728点の商品しかなく、削除済みのものを除くと閉鎖時に購入可能だったのはわずか69,970点であった。これは両マーケット間の大きな差を示している。\n二大マーケットが姿を消したことで、ダークマーケットのユーザーはしばらくの間、需要を満たすのに苦労するかもしれない。もちろん、第3位と見られるDream Marketをはじめ、他のダークマーケットは存在し、95,341点の商品が出品されている。しかし、一部のユーザーが持っていたダークマーケットの匿名性に対する盲目的な信頼は、今やかなり揺らいでいるだろう。また、Dream Marketは一部のユーザーから警察に侵入されているのではないかと疑われている。JavaScriptファイルのデバッグコードにIPアドレスが存在するためである。\nさらに、法執行機関は記者会見でこれらのプラットフォームに対する宣戦布告を行った：\n隠れることはできない。我々はあなたを見つける。組織とネットワークを解体し、起訴する。\n狩りは始まった。迫りくる逮捕の波は、犯罪者たちにとって事態をさらに悪化させるだろう。それでも、新たなソリューションや主要マーケットが登場し、犯罪者たちはいずれビジネスを続けるかもしれない。いずれにせよ、今後数ヶ月は興味深いものになるだろう。\nAlphaBayの詳細については、起訴状および没収申立書を参照されたい。\n","date":"2018年07月06日","externalUrl":null,"permalink":"/ja/posts/2018/the-story-behind-the-alphabay-and-hansa-markets-shut-down/","section":"記事","summary":"注意: この記事はLLMによって英語から翻訳されたものです。正確性については保証いたしかねますので、あらかじめご了承ください。英語の原文はこちら。\n","title":"AlphaBayとHansaマーケット閉鎖の舞台裏","type":"posts"},{"content":"注意: この記事はLLMによって英語から翻訳されたものです。正確性については保証いたしかねますので、あらかじめご了承ください。英語の原文はこちら。\n本日は、PHPにおけるinclude脆弱性について探っていきます。これがどのようにしてウェブサーバー上のファイルへのアクセスを可能にし、リモートスクリプトの実行を許してしまうかを見ていきます。最後に、開発者がこの問題を解消する方法を紹介します。\ninclude脆弱性とは？ # PHPには、あるページ全体を現在のページに読み込むための関数があります。その名もそのまま「include」です。誤った使い方をすると非常に危険で、外部コードの実行を許可してしまい、攻撃者がサーバー上のプライベートファイルを取得するなど、多くの不愉快な事態を引き起こす可能性があります。\nどのように機能するのか？ # すべてのコンテンツがindex.phpファイルを通じて読み込まれるウェブサイトがあるとしましょう。このファイルはGET変数を通じてロードしたいページの名前をパラメータとして受け取ります。例えば、ブログ記事の一覧にアクセスするために次のようなURLを使うことができます：www.mywebsite.com/index.php?page=article.php\nindex.phpでは、変数pageに対する検証なしにincludeメソッド（詳細はこちらを参照）が呼び出されます。articles.phpファイルはindex.phpと同じディレクトリにあります。\ninclude($_GET[\u0026#39;page\u0026#39;]); ここに問題があります。開発者はGET変数に実際のファイル名を直接入れることにし、検証が行われていないため、ウェブサーバーがアクセスできるあらゆるファイルやインターネット上のあらゆるファイルにアクセスすることが可能です。例えば、/var/security/.htpasswdに.htpasswdがある場合、www.mywebsite.com/index.php?page=../security/.htpasswdというページをロードするだけでアクセスできます。\nもう一つ可能なのは、インターネット上のスクリプトを呼び出すことです。攻撃者は例えば、サーバー上にシェル（有名なC99など）をロードして好き放題できます。www.mywebsite.com/index.php?page=http://pirate.com/c99.phpというページを呼び出すだけで、c99.phpが実行されます。\nどうやって防ぐか？ # もちろん修正方法はありますが、正しい方法を見る前に、まずいやり方を見てみましょう。\nまずい防止方法 # 「includeのパスの一部をハードコーディングして、GET変数と組み合わせればいいのでは」と思ったなら、それは間違いです。この解決策を実装すると、include('/pages/' . $_GET['page'] '.php');のようになります。\nこれはリモートコード読み込みには効果がありますが、それだけです。サーバー上のあらゆるファイルへのアクセスは依然として簡単にできます。まず、..を使って親ディレクトリに移動することで、pagesディレクトリの制限は簡単に回避できます。次に、.phpも無意味です。PHPはC言語で実行されるため、文字列の末尾に%00を追加することでヌルバイトを挿入でき、結果として.phpが処理されなくなります。つまり、先ほどの.htpasswdファイルにアクセスしたい場合、次のパスを使うだけです：../../security/.htpasswd%00\n良い修正の例 # この脆弱性を防ぐ方法の一つは、キーとファイルパスを対応させる配列を作成することです。以下のようになります：\n$coresp = array( \u0026#39;home\u0026#39; =\u0026gt; \u0026#39;home.php\u0026#39;, \u0026#39;comments\u0026#39; =\u0026gt; \u0026#39;comments.php\u0026#39; ); $to_include = isset($_GET[\u0026#39;page\u0026#39;]) \u0026amp;\u0026amp; array_key_exists($_GET[\u0026#39;page\u0026#39;], $coresp) ? $coresp[$_GET[\u0026#39;page\u0026#39;]] : \u0026#39;home.php\u0026#39;; include($to_include); この例では、GET引数としてキーを渡します。例えば、ホームページにアクセスするにはwww.mywebsite.com/index.php?page=homeを使います。次に、キーが配列に存在するかどうかを確認します。存在すればキーに関連付けられた値を取得し、存在しなければ単にホームページをロードします。GET変数に渡された値はinclude関数に直接渡されないため、安全です。\nPHPの設定でリスクを制限する # 最後に、PHP設定のallow_url_include変数の値を変更することができます。その名の通り、include関数を使用したリモートコンテンツの読み込みを防止します。しかし、ローカルファイルへのアクセスは防げないため、これだけでは十分ではありません。\n","date":"2017年09月26日","externalUrl":null,"permalink":"/ja/posts/2018/php-and-the-include-exploit/","section":"記事","summary":"PHPのinclude脆弱性により、ハッカーがサーバー上のファイルにアクセスしたり、リモートコードを実行したりすることが可能になります。その仕組みと防止方法を見てみましょう","title":"PHPとinclude脆弱性","type":"posts"},{"content":"注意: この記事はLLMによって英語から翻訳されたものです。正確性については保証いたしかねますので、あらかじめご了承ください。英語の原文はこちら。\nARPスプーフィング攻撃は、ARPポイズニングとも呼ばれ、ローカルネットワークを攻撃するために使用される技術です。2台のマシン間の通信を傍受することが可能になります。この記事では、その仕組み、使用方法、そして身を守る方法について解説します。\nARPプロトコル # まず、ARPプロトコルとは何かを定義する必要があります。ARPは「Address Resolution Protocol」の略で、TCP/IPモデルのインターネット層で動作します。TCP/IPの詳細には立ち入りませんが、この層では2種類のアドレスが使用されることを知っておく必要があります：\nIPv4アドレスは、ネットワーク上のマシンを識別するための抽象概念です。A.B.C.Dの形式で4バイトで構成されます。IPv6が使用される場合、ARPの代わりにNDPプロトコルが使用されることに注意してください。 MACアドレスは、ネットワークカードの物理アドレスです。一意であることが前提で、6バイトで構成され、AF:43:3E:54:FF:42のように表記されます。 同一ネットワーク内の2台のマシンが通信するために使用されるのはMACアドレスです。ここでARPプロトコルの出番となります。ARPはIPアドレスからマシンのMACアドレスを見つける役割を担っています。そのために2つの方法があります。マシンが既にキャッシュにエントリを持っていて、どのMACアドレスがどのIPに対応するか知っている場合と、そうでない場合です。知らない場合、マシンはネットワーク上にブロードキャストリクエストを送信します（つまり、すべてのアドレスがリクエストを受信します）。探しているマシンだけがリクエストの送信者に返信することになっています。\nこれはうまく機能しますが、さまざまなリクエストに対する検証が行われないため、プロトコルは安全ではありません。\n攻撃のワークフロー # 理論 # ARPスプーフィングの目的は、ある相手のマシンに対して、自分のマシンが通信相手であると思い込ませることです。そのために、前のセクションでブロードキャストされるリクエスト（ルーターになりすましたもの）を偽造し、被害者に送信します。\nこのリクエストは正規のものと非常に似ていますが、MACアドレスを変更します。ルーターのMACアドレスの代わりに、自分のマシンのMACアドレスを設定します（ルーターになりすます場合。他のMACアドレスを設定することも可能です）。被害者のマシンがパケットを受信すると、誤った情報でキャッシュが更新され、以後、被害者がルーターに送信するものはすべて自分のマシンに届くようになります。もちろん、偽造パケットを定期的に送信して、被害者のキャッシュの誤った情報が書き換えられないようにする必要があります。\n実践 # 免責事項：以下の攻撃を実行することは、自分の機器でテストする場合、またはネットワークおよびマシンの所有者の許可を得ている場合を除き、違法です。\n理論は良いですが、少し実践してみましょう。ARPスプーフィングを使って中間者攻撃を行います。簡単に言うと、この攻撃は2台のマシン間の通信を傍受するものです。BobとAliceが通信している場合、Bobはパケットをルーターに送り、ルーターはパケットをAliceに送り、という具合です。攻撃を行うと、各パケットは目的地に到達する前に攻撃者のコンピュータを経由するようになります。BobとAlice間の通信を傍受するだけでなく、パケットの内容を変更する（例えばマルウェアを埋め込む）ことも可能です。\nこのために、EttercapとWiresharkという2つのツールを使用します。前者はARPポイズニングを担当し、後者は通過するパケットを確認するために使用します。\nまず、IPフォワーディングを有効にする必要があります。有効にしないと、傍受したパケットが自分のマシンで止まってしまい、BobとAliceの間の通信が途切れてしまいます。以下のコマンドを入力します。この変更は永続的ではなく、次回コンピュータを再起動すると無効になります。\nsudo echo 1 \u0026gt; /proc/sys/net/ipv4/ip_forward 完了したら、Ettercapを起動し、「Sniff / Unified sniffing」に移動して、ネットワークへの接続に使用しているインターフェースを選択します（例：eth0）。次に、ターゲットを選択します。そのために、「Hosts / Hosts List」を開き、ネットワークに接続されているホストを見つけるためにスキャンを実行します。以下のスクリーンショットのような画面が表示されるはずです。\nEttercapのホストリスト 次に、ルーター（192.168.1.1）を最初のターゲット、ネットワークに接続されているコンピュータ（192.168.1.105）を2番目のターゲットとして定義します。どちらが最初のターゲットでどちらが2番目かは、ここでは重要ではありません。\n攻撃を続ける前に、ターゲットマシンでシェルを開き、キャッシュの状態を表示するarp -aコマンドを実行しましょう。正しいMACアドレスが正しいIPに関連付けられていることが確認できます。\nローカルIP/ARPアドレスマッピング 次に、攻撃を開始するために「Mitm / ARP Poisoning」に移動します。その前に、Wiresharkを起動してネットワークを通過するARPリクエストを確認できるように設定しておきます。\nWiresharkによるARPメッセージのキャプチャ Wiresharkで確認できるように、偽造ARPパケットが送信されています。被害者のARPキャッシュを再度確認して、攻撃が成功したか見てみましょう。\n汚染されたARPキャッシュ 予想通り、被害者のARPキャッシュにはルーターのMACアドレスではなく、攻撃者のMACアドレスが含まれていることが確認できます。\nこれで、攻撃対象のマシンがパケットを送信する際、ルーターに直接送られるのではなく、まず攻撃に使用しているデバイスを経由するようになります。次に、Wiresharkを使用して被害者のHTTPトラフィックを検査します。\nターゲットマシンを使用してSSLを使用していないウェブサイトにログインすると、見事に成功です！以下のスクリーンショットで確認できるように、接続IDが傍受され、被害者がユーザー名/パスワード「Moi」と「MonMotDePasse」でサービスにアクセスしようとしていることが分かります。\nWiresharkによるトラフィック傍受 この攻撃から学べること # この攻撃を実践することで、いくつかのことが分かりました：\nこの攻撃は非常に簡単に実行できる 公共WiFiには気をつけろと言っていた人は正しかった 暗号化されていないトラフィックは危険である 攻撃が提供するその他の可能性 # この例では、HTTPを使用してマシンを通過するパケットを盗聴しただけですが、HTTPSトラフィックの盗聴も（より困難ではありますが）完全に可能です。\nより困難である理由は、HTTPSトラフィックが署名付き証明書を使用しているためです。悪意のある個人は証明書の秘密鍵を盗む必要があります。盗めない場合、被害者のコンピュータに証明書が無効であるという警告が表示されます（ただし、被害者はこの警告を無視することもできます）。\n攻撃者はまた、悪意のあるFlashやJavaScriptコードを使って、ユーザーが閲覧しているページを改ざんし、被害者のマシンにマルウェアを感染させたり、DNSスプーフィングを行って被害者を攻撃者が選択したサーバーにリダイレクトしたりすることもできます。\n身を守る方法 # ARPには欠陥がありますが、幸いにも身を守る方法はあります。\nVPNの使用 # 公共ネットワーク（空港、ホテルなど）にコンピュータを接続する際が最も危険にさらされる場面でしょう。この場合、最善の選択肢は、すべてのパケットがVPNを通過するようにするキルスイッチ付きのVPNを使用することです。これにより、トラフィックは暗号化され、潜在的な攻撃者は何もできなくなります。「HTTPSウェブサイトにのみ接続していれば大丈夫では？」と思うかもしれません。答えはノーです。まず、DNSポイズニングの被害を受ける可能性があります。次に、多くのウェブサイトがHTTPSを使用しながらJavaScriptをHTTP経由でロードしているため、リスクは依然として同じです！\n静的ARPテーブルの使用 # もう一つの解決策は、この例のような動的なARPテーブルの代わりに、静的なARPテーブルを使用することです。これはうまく機能しますが、必ずしも最も便利な選択肢ではありません。\nネットワークの監視 # ARP攻撃の検出は非常に簡単です（先ほどのWiresharkのスクリーンショットでお気づきかもしれません）。Arpwatch、Prelude-IPS、Etherwallなどのツールを使用して検出できます。さらに良いのは、NIPS（ネットワーク侵入防止システム）を使用すれば、攻撃を自動的に阻止することができます。\n","date":"2016年08月08日","externalUrl":null,"permalink":"/ja/posts/2018/arp-spoofing-how-it-works-and-how-to-prevent-it/","section":"記事","summary":"この記事では、ARPスプーフィング攻撃とは何か、その実行方法、そしてそれを防ぐためのさまざまな保護メカニズムについて解説します","title":"ARPスプーフィング：仕組みと防御方法","type":"posts"},{"content":"注意: この記事はLLMによって英語から翻訳されたものです。正確性については保証いたしかねますので、あらかじめご了承ください。英語の原文はこちら。\n本日の記事では、Torとそれがウェブ上でより良い匿名性を人々にどう提供できるかについてお話しします。そのために、Torの用途、仕組み、そして隠しサービスとは何かを見ていきます。最後に、このサービスに対する既知の攻撃と正しい使い方について解説します。本記事はネットワークや特に攻撃手法の詳細をすべて説明することを目的としたものではなく、全体的な概要を提供することを目指しています。\nTorとは # Torは「The Onion Router」の略で、ノードと呼ばれる複数のサーバーで構成される分散型ネットワークです。TCP通信を匿名化することを目的としています。自国で検閲されているウェブサイトを閲覧したい人や、ディープウェブの一部にアクセスしたい人が利用できます（I2Pなど他のサービスでは、ディープウェブの別の部分にアクセスできます）。ディープウェブの規模を正確に測定するのは困難ですが、いくつかの論文が推定を行っています。2001年時点で、World Wide Webの400〜550倍の規模があると推定されていました。ディープウェブには多くのリソースが含まれていますが、最もよく耳にするのは、麻薬取引や児童虐待などの違法行為に関連するものです。この分野に詳しくなくても、有名なマーケットプレイスSilk Roadについては聞いたことがあるでしょう。このウェブサイトは隠しサービス上でホストされていました。これについては後ほど詳しく説明します。\nどのように機能するのか？ # 基本的な使い方 # 通常のウェブ利用では、Aliceがウェブサイトにアクセスしたい場合、直接そのサイトと通信・やり取りを行います。その際、訪問の痕跡を複数の場所に残すことになります。まず、ISP（インターネットサービスプロバイダー）がAliceがその特定のウェブサイトを訪問したことを知ります。次に、ウェブサイトの管理者はIPアドレスa.b.c.dがいくつかのページを読み込んだことを知ります（他にもさまざまな情報がありますが、ここでは割愛します）。\nTorを使えば、これを防ぐことができたはずです。Aliceが今度はTorを使ってBobのウェブサイトに接続する例に戻りましょう。まず、Torはノードのリストを知っているサーバーに問い合わせ、接続先のノードを把握します（以下の画像の通りです）。\n出典: Tor Project 次に、Aliceからウェブサイトまでのランダムな経路が生成されます。AliceのTorブラウザは最初のノードに接続し、そのノードが2番目のノードに接続し、2番目のノードが3番目のノード（出口ノードとも呼ばれる）に接続し、出口ノードがウェブサイトと通信します（以下の図の通りです）。\n出典: Tor Project 図に示されているように、Torを使用すると、Aliceとノード間、およびノード同士の間のトラフィックは暗号化されます。唯一暗号化されない可能性があるのは、Bobのウェブサイトと出口ノード間の通信です。良い点は、ノードはデータが辿った経路を全く知らないことです。ノードは直接通信している相手のマシンしか知らず、それがクライアントなのか他のノードなのかも分かりません。最終的に、ネットワークを通過するデータの内容を知ることができるのは出口ノードだけですが、出口ノードにはそのデータが誰のものかは分かりません。\n送信前に、パケットは出口ノードの公開鍵で暗号化され、次にその前のノードの公開鍵で暗号化され、というように順に暗号化されます（以下の図を参照）。そのため、パケットが出口ノードで使用可能になるには、すべての前のノードで復号される必要があります。これは、出口ノードだけがデータを読むことができ、かつ定義された経路を通ってきた場合のみ読めることを意味します。残念ながら、これは出口ノードがトラフィックを盗聴できることも意味します。これについては後ほど触れます。\nオニオンルーティング、出典: Wikipedia Torにはまた、Torのブロッキングを回避する機能も備わっています。国家、組織などがネットワークをブロックすることを決定した場合、ノードをブロックする必要があります。アドレスが公開されているため、これは簡単です。しかし、ブリッジリレーのおかげでTorを完全にブロックすることはできません。これらのブリッジは基本的なノードですが、リレーリストやその他の場所には掲載されていません。自動的にこれらを知ることができないため、ブロックするのが困難になります。\n隠しサービス # 最後に、Torでは隠しサービスと呼ばれるものを利用できます。隠しサービスとは、Torネットワークを通じてのみアクセス可能なサービスです。URLは「.onion」で終わり、サービスの場所を隠すことを目的としています。\nBobが隠しサービスをホストしたいとしましょう。そのためには、ネットワーク上のいくつかのランダムなノードを選択する必要があります。これらは「紹介ポイント」と呼ばれます。次に、前のセクションと同様に、それらへの経路を生成します。完了すると、隠しサービスディスクリプタが作成されます。これにはBobの公開鍵と紹介ポイントのアドレスが含まれています。Bobはこのディスクリプタを秘密鍵で署名し、DNSサーバーのように使用されるデータベースにアップロードします。その後、公開鍵から16文字の.onionアドレスが生成されます。\n次に、AliceがBobのサービスに接続することを決めたとしましょう。まず、データベースから隠しサービスディスクリプタを取得します。次に、ネットワーク上のランダムなノードにランダムな経路で接続します。これが待ち合わせポイントになります。この時点で、ワンタイムシークレットがAliceに渡され、隠しサービスの公開鍵で暗号化された紹介メッセージを作成します。このメッセージには待ち合わせポイントのアドレスとワンタイムシークレットが含まれます。このメッセージは紹介ポイントに送信されます。隠しサービスがメッセージを受信すると、待ち合わせポイントに接続し、ワンタイムシークレットを送信します。Aliceはすべてがうまくいったことを通知され、AliceとBobのサービスは待ち合わせポイントを通じて通信できるようになります。\nより詳細な情報と図はTorのウェブサイトで見ることができます。\n既知の攻撃 # Torは優れたツールです。しかし、万能ではありません。ネットワーク上で問題となりうる事柄がいくつかあり、Torを使用していても絶対的な匿名性は保証されません。\n最初の問題は、前述の通り出口ノードです。出口ノードは暗号化されていないトラフィックを見ることができる唯一のノードであるため、中間者攻撃を仕掛けることができます。例えば、通過するパケットを盗聴してログイン情報を取得したり、返されるページのコードを変更して悪意のあるコードを含め、クライアントのコンピュータに感染させて実際の所在地を特定したりすることが可能です。\nさらに難易度の高い攻撃の可能性もあります。これらは主に、同一の人物や組織が制御する複数のノードのトラフィック分析に基づいています。NSAやGCHQなどの複数の政府機関がTorノードを運用していることが知られています。特定の条件が満たされれば、理論的には出口ノードのトラフィックをユーザーと関連付けることが可能です。その方法の一つは、実際に誰かが使用しているエントリーノードと出口ノードの両方を制御することです。エントリーノードに入るデータを分析することで、予想されるデータサイズと出口ノードに到達する時刻を知ることができます。そして、実際のIPアドレスとTorでの活動を紐づけることが可能になります。これらの攻撃について詳しく述べた論文がいくつかあります。そのうちの2つを紹介します：A Practical Congestion Attack on Tor Using Long Paths、On the Effectiveness of Traffic Analysis Against Anonymity Networks Using Flow Records。\n良い慣行 # 記事のこれまでの内容から、Torを使った匿名性を向上させるためのいくつかの良い慣行を導き出すことができます（100%匿名であることが保証されるわけではありませんが）。\nTorブラウザを最新の状態に保つこと。政府機関がFirefoxの脆弱性を利用してユーザーのコンピュータに感染させることが知られています。 Flashなどのプラグインを有効にしないこと。例えば、Flashはウェブユーザーに対する攻撃の大きな割合を占めています。 文脈的なアイデンティティを分離すること。Tor使用中に匿名でいたいのに、10秒後にFacebookを使うのは良い考えではありません。 Torを使ってダウンロードしたファイルの使用を避けること。これらのファイルにはウェブ上のリソースが含まれている可能性があり、実際のIPアドレスでアクセスしてしまう恐れがあります。マルウェアが含まれている可能性もあります。 VPNの使用は追加のセキュリティ対策になり得ます。 Tailsなどのセキュリティ重視のディストリビューションからTorを起動すること。 Torを使用してHTTPウェブサイトに接続することを避けること。 Torをピアツーピアや違法ダウンロードに使用しないこと。Torはそのために設計されておらず、効率的でもなく、正当なユーザーの速度を低下させるだけです。 Torは万能ではありません。違法行為を行わないでください。100%安全であるという保証はありません。 ","date":"2016年06月30日","externalUrl":null,"permalink":"/ja/posts/2016/tor-and-anonymity/","section":"記事","summary":"この記事では、Torがユーザーや隠しサービスにどのようにプライバシーを提供するかを解説します","title":"Torと匿名性","type":"posts"},{"content":"","externalUrl":null,"permalink":"/ja/categories/","section":"Categories","summary":"","title":"Categories","type":"categories"},{"content":" ","externalUrl":null,"permalink":"/ja/authors/ixonae/","section":"Authors","summary":" ","title":"Ixonae","type":"authors"},{"content":"","externalUrl":null,"permalink":"/ja/tags/osint/","section":"タグ","summary":"","title":"OSINT","type":"tags"},{"content":"","externalUrl":null,"permalink":"/ja/series/","section":"Series","summary":"","title":"Series","type":"series"},{"content":"","externalUrl":null,"permalink":"/ja/tags/dark-markets/","section":"タグ","summary":"","title":"ダークマーケット","type":"tags"},{"content":"","externalUrl":null,"permalink":"/ja/tags/cyber-crime/","section":"タグ","summary":"","title":"サイバー犯罪","type":"tags"},{"content":"","externalUrl":null,"permalink":"/ja/tags/system-administration/","section":"タグ","summary":"","title":"システム管理","type":"tags"},{"content":"","externalUrl":null,"permalink":"/ja/tags/security/","section":"タグ","summary":"","title":"セキュリティ","type":"tags"},{"content":"","externalUrl":null,"permalink":"/ja/tags/","section":"タグ","summary":"","title":"タグ","type":"tags"},{"content":"","externalUrl":null,"permalink":"/ja/news/","section":"ニュース","summary":"","title":"ニュース","type":"news"},{"content":"","externalUrl":null,"permalink":"/ja/tags/news/","section":"タグ","summary":"","title":"ニュース","type":"tags"},{"content":"","externalUrl":null,"permalink":"/ja/tags/networking/","section":"タグ","summary":"","title":"ネットワーキング","type":"tags"},{"content":"","externalUrl":null,"permalink":"/ja/tags/forensics/","section":"タグ","summary":"","title":"フォレンジック","type":"tags"},{"content":"","externalUrl":null,"permalink":"/ja/tags/privacy/","section":"タグ","summary":"","title":"プライバシー","type":"tags"},{"content":"","externalUrl":null,"permalink":"/ja/tags/programming/","section":"タグ","summary":"","title":"プログラミング","type":"tags"},{"content":"","externalUrl":null,"permalink":"/ja/tags/research/","section":"タグ","summary":"","title":"リサーチ","type":"tags"},{"content":"","externalUrl":null,"permalink":"/ja/tags/reverse-engineering/","section":"タグ","summary":"","title":"リバースエンジニアリング","type":"tags"},{"content":"","externalUrl":null,"permalink":"/ja/tags/crypto-currencies/","section":"タグ","summary":"","title":"暗号通貨","type":"tags"},{"content":"","externalUrl":null,"permalink":"/ja/posts/","section":"記事","summary":"","title":"記事","type":"posts"},{"content":"","externalUrl":null,"permalink":"/ja/search/","section":"検索","summary":"","title":"検索","type":"search"},{"content":"","externalUrl":null,"permalink":"/ja/tags/today-i-learned/","section":"タグ","summary":"","title":"今日学んだこと","type":"tags"},{"content":"","externalUrl":null,"permalink":"/ja/tags/weekly-news/","section":"タグ","summary":"","title":"週刊ニュース","type":"tags"},{"content":"","externalUrl":null,"permalink":"/ja/tags/vulnerabilities/","section":"タグ","summary":"","title":"脆弱性","type":"tags"},{"content":"","externalUrl":null,"permalink":"/ja/tags/reading-notes/","section":"タグ","summary":"","title":"読書メモ","type":"tags"}]