続報)DITのP2P監視サービス、shareでウイルス配信容疑で責任者逮捕

これの続報


なんか、いろいろ聞いちゃったので、かえってあんまりかけなくなったんだけど、問題提起としてメモを残しておく。

connect24h.hatenablog.com

 

今日、京都新聞に記事が出ていた。

 PCウイルス「保管は罪?」 監視会社社員の逮捕波紋 : 京都新聞

>府警の説明では、社員が使用していたパソコンの外付け記憶装置には、ウイルス入りのファイル約2千個が保管されていた。

 

ここで、当初、気にしていた、P2P監視の顧客が利用していた、情報漏えいの監視対象ファイルの送受信に使われるシステムが問題視されたのか気になっていたんだけど、そうではなくて、Shareのキャッシュファイルが問題になっているようです。

以下のまとめや、新聞などのニュースからの予測です。当たるも八卦、当たらぬも八卦
まずはこの記事から

www.yomiuri.co.jp

・9月中旬に大阪の漏えい被害者が発生し、そこから警察が動いていた

・DITのP2P監視では、Shareのキャッシュフォルダに監視対象の漏えいファイルがおかれていた

・警察のP2P監視システム上で、DITの業務セグメントから、Share上で漏えいファイルがダウンロード可能であることが観測された。

・ここで、約2000個のウイルス入りのファイルが、監視期間での累積なのか、その時点での公開ファイルなのか、常時その状態が数日か、数ヶ月続いていたか不明

茂木さんの意見に同意です。

 ・DITのP2P監視サービスは、もう、終息に向けてのサービスなので、WEB上から、明確にサービスとして告知していなかった

ネット情報常時監視サービス | ソリューション | ディアイティ

・警察も代替わりして、P2P監視をしていることがちゃんと認識されていなかった可能性がある

・警察も、セキュリティ会社の個人が勤務中に業務ネットワークでShareを使っていたと予想したのではないか。

・もしくは、組織的な犯罪を予想。電波の妖精@biz4gさんの一連の書き込み(マッチポンプを画策している可能性)その割には、本来、押収するべき○○(自粛)を押収してない。

 ・直ぐに釈放になっているようなので、不起訴の可能性が高いそうです。

 ・今回の逮捕容疑のウイルス保管容疑が、故意と目的があったかが焦点であること

 非常に残念なのは、なぜ事前に、警察からDITに連絡が無かったからですかね。
今回の件、警察の方々は、紺屋の白袴かと、喜び勇んで事件化を望んだのかもしれませんが、ふたを開けたら当てが外れた可能性が高い気がします。もう少し、第三者的に古参の人に確認していれば、ここまでこじれなかったのではないかと思います。お互いに不幸な気もしますね。最終的に、こじれなければよいなと思います。

 

以下、有識者の方々の意見のまとめ。一読するとよろしいかと

matome.naver.jp

matome.naver.jp

matome.naver.jp

DITのP2P監視サービス、shareでウイルス配信容疑で責任者逮捕

DITのP2P監視サービスの責任者のFさん、逮捕されとるがな。
なんじゃそりゃ。
ポイントは
・「写真集」「殺人」などのキ◯タマウイルス1800をShareネットワークに保持。(つまりキャッシュフォルダに保持?)
・Share利用者がダウンロード可能であった(つまりUP0にしていなかった、というかShareでUP0は普通じゃ出来ないから、そこまでプロトコル的に作り込んでなかった。というか、Shareをそのまま使っていた?)
・監視業務で請け負ってた企業、それ以外のデータ(個人情報や企業の顧客情報、業務メール)を保持したままにしていた

おそらく、WinnyのUP0のような仕組みを導入せずにオープンリレーのような状態で業務を行っていた点をウイルス保持罪適用で問答無用で逮捕ということでしょうか。

実は、WinnyとShareの監視は過去にほげほげしていたことがあるのですが、未成年者の画像のキャッシュ保持で逮捕者が出たので、どのようなファイルがリレーされるかわからないので、コンプライアンス的に終了だったのですが、その時の懸念事項が現実化したようです。(同時のおれGJ)
DITさん、かわいそうに・・・たいして儲からない終了させても良いようなサービスでこんな被害を受けるとは・・・

結構、この逮捕、トピックスな影響を与えそうです。業務でマルウェアを収集、解析していて、間違った設定か、事故か何かでオープンしてしまった場合、保持の正当な理由に関係なく、オープンしていた事実を理由に逮捕される可能性があるということですよね。

もうちょっと、ちゃんとしたガイドラインを整備しないと、セキュリティ業界が萎縮してしまいそうです。
明日も引き続き調べていこうと思います。

 

topics.smt.docomo.ne.jp

 

www.sankei.com

大人の夏休み

 昨日から、子供達が、嫁の実家に行ってしまったので、久々の大人の夏休みを堪能した。

 

 

f:id:connect24h:20170813203104j:image

 

 朝から、前から言ってみたかった、バッケンモーツアルト廿日市工場へ。

規格外品のクッキーなどが1割引きくらいで買えます。即日食べなければいけないような、ロールケーキなどは、2割から3割引きとお得です。

f:id:connect24h:20170813203122j:image

 

ケーキセットを頼んでみました。ケーキと、シュークリーム、飲み物付けて600円也。

安くて美味しいです。

f:id:connect24h:20170813203136j:image

 

モーニングが出ていましたが、11時を過ぎたらランチメニューへ。

結構、美味しそうだったので、今度子供達と食べに来ようと思いました。

f:id:connect24h:20170813203201j:image

 

表にアーモンドに木がありました。 f:id:connect24h:20170813203216j:image

 

ちゃんと実がなっています。日本の気候でも実がなるんですね。

f:id:connect24h:20170813203236j:image

 

 その足で、実は呉に向かったのですが、呉の手前で大渋滞。嫌になってUターンして、そのまま広島高速から、山陽道に抜けて竹原へ。もう、思いつきなので、予備知識無し。前回、マッサンのときに、来て以来です。前回、道の駅に行ったので、海の駅へ。 

f:id:connect24h:20170813203303j:image

 

 たまゆら、竹原では、息の長いコンテンツです。ちなみに、dアニメにありますが、第一話で挫折したので見てません。f:id:connect24h:20170813203313j:image

 

おなか空いたので、海の駅の3F「ブルーハーバー」でランチを頂く。

おいらは、和風ハンバーグランチを頂く。結構、本格的なハンバーグでした。

温野菜も良い感じです。

f:id:connect24h:20170813203327j:image

 

嫁はパスタにしました。正直、思ったより、ガーリックが効いていて、大人の味です。美味しかったですが、子供は食べられないと思う。 

f:id:connect24h:20170813203344j:image 

竹原の道の駅が、相変わらず混んでいたので、そのままスルー。見るものないなという漢字だったので、嫁に我儘言って、コンクリート船「武智丸」をみにいくことにした。

デイリーポータルZの記事読んで、艦これやってたときから一度、行ってみたかったんですよね。

 

portal.nifty.com

まじで船の形の堤防状態の「武智丸」がある。手前が第一武智丸、その先が第二武智丸だそうです。

f:id:connect24h:20170813203358j:image

 

 立入禁止の札があるので、やっぱり躊躇していたのですが、涼んでいたおっちゃんたちが、「中に入ってみたらええよ!」と、言っていただいたので、お言葉に甘えてフェンスの中に入ってみました。フェンスはあいてました。

f:id:connect24h:20170813203629j:image

 

橋を歩けるように階段、廊下があります。底が抜けているのか、水が張ってますね。ここに釣り糸を垂らしてみたいです。 f:id:connect24h:20170813203418j:image

 

 結構、しっかりとした足場感があります。f:id:connect24h:20170813203431j:image

 

第一武智丸の舳先。バルバスバウ(大和の顎のしゃくれた部分)はありませんね。舳先は鉄で補強されているようです。 f:id:connect24h:20170813203452j:image

 

反対方向から見た図。

f:id:connect24h:20170813203531j:image

 

さっきの逆方向。海側見ると、結構、でかい複数の魚影が見えました。おそらく、チヌではないかと思います。40cmオーバーでした。フカセで釣ってみたい。。。

f:id:connect24h:20170813203510j:image

 

 中見ると、泥があって草が履いてあります。この土はどこから来ているのでしょう?謎です。 

f:id:connect24h:20170813203612j:image

 

 実は、ここで観光している間、なぜか、ずっと武智丸を撮っている人がいました。あー、写真撮影しているのに、僕らがいたら邪魔だなと思って、早めに切り上げましたが、きがついたら、どうも、おいらたちや嫁を取っている模様。しかも、おいらたちがいなくなったら、写真撮影を切り上げてしまいました。

ヨクワカリマセン。武智丸を見ている観光客をとりたかったのでしょうか?

 

で、呉を抜けていくか迷ったのですが、また大渋滞がいやだったので、呉を避けて、呉の手前から、熊野を抜けて海田に行きました。渋滞もなく抜けられて良かったです。

その後、御用達のエブリィで食料を買い込んで、大人の夏休みは終了。

 相変わらず、エブリィ、海鮮が激安です。このデカさのホタテが、1個98円て・・・

エブリィ、竹原でも、呉でも、熊野にも店舗があるのに、広島市に、あんまり店舗がない。もう少し、早めに店舗を増やしてほしいものです。f:id:connect24h:20170813203649j:image

 

子供達のいない間の、ちょっとした大人の夏休みでしたが、なかなか充実しておりました。たまには良いものです。

 

 

 

T-Potをインストールしてみた。

どうも、老ハニーポッターです。昔はVMareでhightインタラクティブ型のハニーポット立てて、キャッキャウフフして、IRCサーバ建てられて、エッチなファイル置き場にされたりと無邪気に遊んでいたのが10年以上前。さすがに、家族も増えて、守るものができた私にそんな無謀なマネは、匿名化された状態じゃないとできません。(マテ

まぁ、冗談はさておき、sshハニーポットcowrieあたりで遊んでいましたが、セキュリティキャンプの地方大会ネタにもなるし、最近、マイブームのEtasticSearchのダッシュボードやログ取り込みのグロックパターンもパクれるインスパイアーできるかなと思って、一人CSIRTさんでも使っていると思われるハニーポットのT-Potに挑戦してみようと思います。

 

【T-Poとは?】

いわゆる、インターネット上で「おとり」として立ち上げ、自身に到達する攻撃をログとしてため込み、攻撃の予兆や攻撃の手法の研究などに役立てることを目的とした「ハニーポット」と呼ばれる製品の一つです。開発はドイツテレコム社が行っています。

下記のように、異なる用途のハニーポットを4つ稼働させ、かつ、Dockerコンテナでセグメント分けし、ElasticSeachにログを集約、Kibanaで可視化してくれる優れものです。よ、ドイツテレコム太っ腹!と、おもっても、しっかりログはEWS Posterに提供されるようなので、持ちつ持たれつですね。

Architecture

【環境】

面倒なのでVirtualBox上に作りました。最初、VPS上に構築してみたら、メモリ1GBにHDD15GBで足りるはずもなく、起動に失敗したのは秘密です。ちゃんと動作環境は確認しましょう。

VirtualBox上でメモリ4GB、HDDは200GB割り当てました。コア6、メモリ64GBあるマシンなので余裕です。裏を返せば自宅のメモリ8GBしかないようなマシンで立ち上げると、めっちゃ遅いし、定期的にハングアップするし、リソース少ない中で運用するとはまるので、ぜいたくなリソースの環境で行うか、いっそのこと、T-Potに頼らないで自作したほうが良いかもしれません。あと、DHCP環境じゃないといけないとか、WEBアクセスは、同じローカルIPからじゃないとだめとか、色々と縛りがあります。各種仕様はちゃんと確認するようにしましょう。

 

【動作イメージ】

T-Pot 16.10(20170706現在)はUbuntu Server 16.04 LTS です。以下は動作イメージです。Kibanaベースでかっこいいですね。(Kibanaのバージョンが古いですが)

f:id:connect24h:20170706200145p:plain

 【インストール】

以下から最新バージョンをダウンロードしてください。

T-Pot 16.10 - Multi-Honeypot Platform Redefined

注意が必要なのが、常に最新バージョンを利用することです。

T-Potのインストールブログが複数ありますが、微妙にバージョンが違っていて、参考になる場合と、仕様が変わりすぎていて混乱する場合があります。今回のインストール記事も、実は、2017年7月限定です。こちらのインストレーションビデオも参考になります。

www.youtube.com

実は一番参考になるのは、 githubのサイトやREADME.mdを参考にインストールしたほうがよっぽど正確にインストールできます。特に、sshでログインする方法は、バージョンによってちがうので、最新のREADME.mdを見るのが吉です。

tpotce/README.md at master · dtag-dev-sec/tpotce · GitHub

結構ハマリポイントなので、注意して下さい。

 

【インストール開始】

tpot.isoをダウンロードして、VirutalBoxでCDをマウント、インストールを開始します。この言葉がわからない人はインストールしないほうが良いです。

T-pot 16.10を選択

f:id:connect24h:20170704225834p:plain

 Otherを選択

f:id:connect24h:20170704235448p:plain

Asiaを選択

f:id:connect24h:20170704235527p:plain

 Japanを選択

f:id:connect24h:20170704235538p:plain

ここでキーボードの判定があります。yを選びます。

f:id:connect24h:20170704235557p:plain

wみたいな文字を入れろって出ます。

f:id:connect24h:20170704235624p:plain

  確かAlt+oで入力した文字だったかな?ここはハマリポイントなのでなんとか乗り越えて下さい。もう詳細忘れたので試行錯誤して下さい。英語キーボードで判定されないので、ドイツキーボード判定されてしまいます。

f:id:connect24h:20170704235705p:plain

 ついにインストール開始

デフォルトIDである「tsec」というユーザのパスワードを設定します。

f:id:connect24h:20170728231502p:plain

今回はStandardタイプということで「T」を選んでインストールします。超簡単です。 

f:id:connect24h:20170704235806p:plain

真ん中あたりで、WEBアクセス用のELK(Elastic Search、Logstash、Kibana)のアカウント「ELK」のパスワードを設定します。パスワード名が安直です。その後、国を聞かれるので「jp」とかいれてください。

f:id:connect24h:20170704235823p:plain

 インストールは進みます。

f:id:connect24h:20170704235844p:plain

 どんどん進みます。

f:id:connect24h:20170704235904p:plain

 インストール完了!速い!

最初に設定した「tsec」パスワードでログインして下さい。

f:id:connect24h:20170704235916p:plain

今のままだとキーボードの設定がおかしいので設定します。 

 teratermなどでポート番号64295でログインID「tsec」でログインして、以下のコマンドを実行します。

# dpkg-reconfigure keyboard-configuration

 キーボードが選択できます。105キーボードを選択。

f:id:connect24h:20170705000011j:plain

Japaneseを選択。 

f:id:connect24h:20170705000041j:plain

またJapaneseを選択。 

f:id:connect24h:20170705000103j:plain

 

No compose keyを選択。完了です。これで日本語キーボードレイアウトになります。

f:id:connect24h:20170705000127j:plain

 

 TimeZoneの設定もおかしいので直します。

dpkg-reconfigure tzdata

を実行して下さい。

 Asiaを選択。

f:id:connect24h:20170705000201j:plain

 Tokyoを選択。

f:id:connect24h:20170705000239j:plain

 ちゃんとタイムゾーンAsia/Tokyoになりました。

f:id:connect24h:20170705000258j:plain

WebアクセスしてKibanaの画面にアクセスしてみます。

https://192.168.0.1:64297

認証画面が出るので、ID「ELK」と、指定したWEBパスワードでログインします。

f:id:connect24h:20170705000330j:plain

ログインできました。FTTH環境下でDMZ状態で公開すれば、ものの数分でたくさんの攻撃を受けていることがわかります。楽しいですよ!

f:id:connect24h:20170706200145p:plain 

さあ、みんなもハニー・ポッターになろうぜ! 

 

 

ありがとう!うんこドリル!

ありがとう!うんこドリル!
小学3年生の長男氏、算数と理科が得意で、国語も、結構、文章題も解けるけど、漢字が読みも書きも壊滅的にだめ。とりあえず、小学2年から復習ということで、噂の「うんこかん字ドリル」を買って来ました。

f:id:connect24h:20170721185513j:image

で、とりあえず、やらせてみた!

http://cdn-ak.f.st-hatena.com/images/fotolife/c/captainjacksan/20160127/20160127002533.png

そうしたら、「うひょー」とか言って、喜んでやってた。

http://cdn-ak.f.st-hatena.com/images/fotolife/c/captainjacksan/20160127/20160127002703.gif

長男氏が気にいったのがこれ、

「二さいの妹が うんこに いったので あわてて 止めた」

 f:id:connect24h:20170721191451j:image

 ゲラゲラ笑いながらやってた。

キター!!!

http://cdn-ak.f.st-hatena.com/images/fotolife/c/captainjacksan/20160127/20160127002849.gif

これは使える。

ダンシィで、漢字にお困りのご家庭には最適であることが証明されました。

正直、ちょっと簡単すぎるので、訓読みと、音読みの事例も欲しいところです。

上位版に期待しましょう。とりあえず、毎日四ページくらいやらせることにして、夏休み中に小学3年の途中まで終わらせてしまおうと思います。

いやー、良い買い物だった。おすすめです。

 

日本一楽しい漢字ドリル うんこかん字ドリル 小学1年生

日本一楽しい漢字ドリル うんこかん字ドリル 小学1年生

 
日本一楽しい漢字ドリル うんこ漢字ドリル 小学3年生

日本一楽しい漢字ドリル うんこ漢字ドリル 小学3年生

 
日本一楽しい漢字ドリル うんこかん字ドリル 小学2年生

日本一楽しい漢字ドリル うんこかん字ドリル 小学2年生

 
日本一楽しい漢字ドリル うんこ漢字ドリル 小学4年生

日本一楽しい漢字ドリル うんこ漢字ドリル 小学4年生

 
日本一楽しい漢字ドリル うんこ漢字ドリル 小学5年生

日本一楽しい漢字ドリル うんこ漢字ドリル 小学5年生

 
日本一楽しい漢字ドリル うんこ漢字ドリル 小学6年生

日本一楽しい漢字ドリル うんこ漢字ドリル 小学6年生

 

 

 

 

「自診くん」で遊んでいたら、どうもやっちまった件・・・

先日から遊んでいた、「自診くん」ですが、統計レポートが公開されました。

 

www.lac.co.jp

なるほど、なるほど、と、見ていたら・・・

診断結果のうちオープンになっていた件数が公開されていました。

https://www.lac.co.jp/lacwatch/img/20170621_lw_jisin_01.png

 

ん?

f:id:connect24h:20170622234819p:plain

んん?

 

f:id:connect24h:20170622231925j:image

「SKYESEA Cient View」の脆弱性がおそらく、1件、報告されている!

 

f:id:connect24h:20170622234927p:plain

 

もしかして、これ・・・

f:id:connect24h:20170622231414j:image

 

俺じゃね?

 

 

http://cdn-ak.f.st-hatena.com/images/fotolife/s/sasaq/20110923/20110923143957.jpg

 

大切な統計にゴミデータを混ぜてしまいまして、申し訳ありませんでした。

今後は、もうちょっとマシなネタを考えて、引き続き、引っ掻き回したいと思います。

connect24hは、天下のLACさんを応援しています!

 

 

無料の自己チェック「自診くん」でネットの危険度を今すぐ確認してみた!

connect24h こと、老ハニーポッターです。2004年くらいからハニーポット運用していて、日経ネットワークセキュリティでハニーポット連載とか書いてました・

今回、今をトキメク、セキュリティ企業の雄であるLACさんがWannaCryやSKYSEA Client View脆弱性への耐性を診断できる「自診くん」を公開したということで、さっそくためしてみました。

 

www.lac.co.jp

 

最初にサービスの説明と同意、FAQが掲載されています。

特にSKYSEA Client Viewの診断項目 として、以下の通信ポートに接続するようです。

 
TCP 52300
TCP 52304
TCP 52306
TCP 52308
TCP 52309
TCP 52312
TCP 52313
TCP 52314

f:id:connect24h:20170619233133p:plain

 

どうせなのでフルサービスでスキャンしてもらいましょう。

 

f:id:connect24h:20170619233118p:plain

最終確認画面があります。確認画面があると、<s>test<s/>  とかの入力チェックをしたくなりますが、どこかのhasegawa CTO のように投稿パケットにシグネチャ署名してJSOCとコミュニケーションをとるような度胸もないので、そのまま診断スタートします。

f:id:connect24h:20170619233151p:plain

なんということでしょう。フルサービスで脆弱性が発見されてしまいました。真っ赤です。

f:id:connect24h:20170619233220p:plain

あ、そうそう。自環境でT-potというハニーポットを立ち上げているのを忘れてました。;-)

T-Pot 16.10 - Multi-Honeypot Platform Redefined

これはよいですね。ハニーポット脆弱性オープン確認にも最適なようです。SKYSEA Client Viewが観測されているのは、ポート番号の判定しか行っていないので、代理応答しているのを誤検知しているんでしょうね。

まぁ、モバイルPCでの脆弱性確認なら、これでも十分でしょう。

筆者のいる広島のような地方では、なかなか自サイト、自PC、モバイル環境などが安全かどうかのセルフチェックは知識がないとなかなか難しいですから、こういうカジュアルなチェックサービスが無料で使えるのはよいですね。

connect24hはLacさんを応援しています。