ブログ

9月18日にご注意を

9月18日は満州事変の発端となった柳条湖事件が発生した日であり、2017年は86周年目になります。

毎年、この日前後には中国から日本の官公庁、民間企業、団体等のウェブサイトに対するサイバー攻撃が発生しており、本年も同様の攻撃が発生する懸念があります。
近年では攻撃の増加幅は減っているというデータもありますが、油断は禁物です。

今年の9月18日は月曜日であるため、週明けに出社してみたらサイバー攻撃で社内システムが利用できずパニックになることがないよう、この機会にセキュリティインシデントが発生した際の対応フロー等を確認しておくことをお勧めします。

自分のPCがハッキングされていないか確認する方法

今回は、ご利用されているPCに、ハッキングツールが仕込まれていないか、確認する方法をご紹介します。

ハッカーの手にかかった場合、発見することは非常に難しいです。ただ、必ず不審な兆候があります。

ハッカーが情報を盗むとき、どのようなツールを使用するでしょうか。

Remote Administration Toolという言葉はおそらくあまり聞くことはないと思います。
これは、相手の作業ログ(入力したキーをログ出力する)キーロガーや、リモートから相手PCの画面状況(スクリーンショット)など、管理者権限で実行可能にするツールです。いわゆるバックドア型のマルウェアともいわれています。

PCがこういった状態になった場合、セキュリティ対策をこれといってしておらず、普段の使用状況から感染していることに気づくことは、正直に難しいです。
ただ、あきらめることはせず、被害の拡大を食い止めることはできます。

今回ご紹介する方法は、誰にでも簡単にチェックすることができる方法です。
また、新しくツールを導入することはありませんので、ぜひこの機会にチェックしてみてください。

検証PCの環境は、Windows 10 Home editionを使っています。

    1. タスクマネージャーを起動
      タスクバーを右クリック、もしくはWindowsキーから”taskmgr”と入力し、タスクマネージャーを起動してください。
    2. 詳細⇒PIDを表示
    3. コマンドプロンプトを起動
      Windowsキーから”cmd”と入力し、コマンドプロンプトを起動してください。
    4. コマンドプロンプトから”ntstat -nao”と入力し、実行します。
    5. PIDとアドレスを確認し、不審なプロセスをチェックします。
      例)PID1016を確認すると、タスクマネージャーでは、「Windowsサービスのホストプロセス」でユーザ「NETWORK SERVICE」であることがわかります。
      ただし、一部ハッキングツールはWindowsサービスやMS Office製品などに成りすまして通信していることもあります。外部アドレスを確認して、外部通信をしていないか、確認が必要となります。
      ※この作業では、ある程度の知識が必要になってきます。
    6. もし、不審なファイルが確認されたら、オンラインスキャンなどでファイルスキャンします。
      今回は、グーグルが提供するVIRUS TOTALという無料のツールを使用します。
      VIRUS TOTAL: https://www.virustotal.com/ja/
      例として、ACMON.exeというファイル(問題ないファイルです)をスキャンしてみます。

ウィルスと判定された場合、PCをネットワークから遮断し(LANケーブルを抜く、WiFIを切る)、スタートアップを確認し、無効化します。
ハッキングツールの多くは、PC起動時に自動起動するようにしかけてあり、外部にあるハッカーが用意したサーバと通信します。

以上です。

このように、特別なツールをインストールすることなく、チェックすることができます。

ただ、こんなこと毎日できませんし、正直面倒ですよね。

UTMがあれば、面倒なことをせず、インターネットとオフィスの境界で、

  • マルウェアを侵入させない(アンチウィルスソフト)
  • 通信させない(Webフィルタリング)
  • 活動させない(サンドボックス/APT Blocker)など、最新のセキュリティ対策を行うことができます。
    ぜひお気軽にお問い合わせください!

検証録 – Check Point編 その1

今回はCheck Point社のCheck Point 730の初期設定についてです。
Check Point 730は同社の最小モデルであり、SOHO~中小企業に最適なモデルです。

公式スペックはこちら

今回の設定値です。
これらの値は予め確認または決定しておきましょう。

Check Pointのモード ルーターモード
内向けIP 192.168.11.1
PPPoE接続のID 非公開
PPPoE接続のパスワード 非公開
DHCPサーバ機能 有効
DHCPの配布IP範囲 192.168.1.2 – 192.168.1.254

 

初期設定手順

Check PointのLAN1ポートとPCをLANケーブルで接続
※オフライン時間短縮のため、Check PointのWANポートにはまだ接続しません
ブラウザからhttps://192.168.1.1:4434にアクセス

自動的に初期設定ウィザードが始まります。
管理者IDとパスワードを入力して次へ

手動で時刻を指定を選択し、日付、時刻、タイムゾーンを選択して次へ

※NTPでの時刻同期を行う場合は、ネットワークタイムプロトコル(NTP)の使用を選択し、NTPサーバのIP/サーバ名を入力すること
アプライアンスの名前とドメイン名を入力して次へ

インターネットへの接続タイプでPPPoEを選択し、ログインIDとパスワードを入力して次へ

※固定IPやDNSサーバの情報はPPPoE接続確立後に自動取得される
※本手順ではまだWANポートにケーブル接続していないため、インターネットへの確認は行わない
内向きIPとDHCPの配布IP範囲を入力して次へ

管理コンソールへのアクセス許可対象を入力して次へ

ライセンス登録をスキップして次へ

確認メッセージが出ても気にせずOKを押下

※ライセンスを有効化しない場合、自動的に15日間のトライアルライセンスが付与されます
使用するセキュリティ機能にチェックを入れて次へ

設定内容を確認して完了を押下

Check Point 730のWANポートにインターネット回線を接続

初期設定は以上です。
PCからインターネットに 接続できることを確認してください。

上記の設定は、あくまでインターネットに接続できるまでの最小限の手順です。
業務に不要な通信の遮断やアクセス管理のルーティングポリシー等は別途作成しましょう。

注意喚起! Appleをかたるフィッシングメール

フィッシング対策協議会によると、Apple をかたるフィッシングメールが出回っているようです。
以下にまとめました。

【件名】
Apple からの領収書です #Lp[英数字]

【本文内容】
「パスプレミアム1年」というサブスクリプションの購入通知を装っています。
「この購入を承認していない場合は、をご覧ください」としてリンクが張られています。
リンク先がフィッシングサイトとなっています。

【サイトのURL】
メール内の URL (いずれも / が増減する)
https://●●●●.co////////////////////////////////oLBrgOndkk
https://●●●●.co/////////////oT6dQwYizl
https://●●●●.co/////////saHXn75zsF

転送先の URL
https://appleid.com-get-●●●●.info/*id/Login.php?[パラメータ]
https://appleid.com-resolve-unlock-●●●●.info/*id/Login.php?[パラメータ]
https://appleid.com-resolve-unlock-●●●●.info/*jp/Login.php?[パラメータ]
https://appleid.com-unlock-●●●●-bulk.info/*id/Login.php?[パラメータ]
https://appleid.com-unlock-●●●●.info/*en/Login.php?[パラメータ]
https://appleid.com-unlock-●●●●.info/*id/Login.php?[パラメータ]
https://appleid.com-unlock-●●●●.info/*jp/Login.php?[パラメータ]
https://appleid.com-unlock-●●●●.net/*en/Login.php?[パラメータ]
https://appleid.com-unlock-●●●●.net/*jp/Login.php?[パラメータ]
https://appleid.com-unlocking-●●●●.info/*id/Login.php?[パラメータ]

appleをかたるフィッシングメール
フィッシングメール本文

 

思わずキャンセルしたくなるようなあくどい手口です。
絶対にリンクをクリックしたり、IDやパスワードを入力せず、無視してください。

このほか、フィッシングの手口として、Webサイト閲覧中に偽のポップアップ広告や、アラート音で不安をあおるなど、手口は巧妙化しています。ご注意ください。

【参考サイト】
フィッシング対策協議会: https://www.antiphishing.jp/news/alert/apple_20170830.html
Apple: https://support.apple.com/ja-jp/HT204759

検証録 – FortiGate編 その1

今回はFortinet社のFortiGate 30Dの初期設定についてです。
こちらも推奨ユーザ数:10名の小規模オフィス向けUTM。

公式スペックでは重量300g。Fireboxより多少重いとはいえ、やはりどちらもオモチャみたいな第一印象は拭えない。

 

気を取り直して、設定値を以下にまとめます。
これらの値は予め確認または決定しておきましょう。

FortiGateのモード ルーターモード
内向けIP 192.168.1.1
PPPoE接続のID 非公開
PPPoE接続のパスワード 非公開
外向けIP 111.222.112.223
DNSサーバ 11.222.221.225
DHCPサーバ機能 有効
DHCPの配布IP範囲 192.168.1.2 – 192.168.1.254

 

FortigateとPCをLANケーブルで接続します

 

 

ブラウザからhttps://192.168.1.99にアクセス

login-page

初期ID/パスワードであるadmin/(ブランク)を入力し、ログイン

 

画面左のメニューからネットワーク > インターフェースを選択
画面中央からwanを選択し、編集

interface-select

アドレッシングモードにPPPoEを選択し、PPPoE接続用のID・パスワード・外向け固定IPを入力してOK

lanを選択し、編集

 

アドレッシングモードにマニュアルを選択し、内向けIP・DHCPの配布IP範囲・DNSサーバを入力してOK

 

これでLAN側のIPが変更になり、ブラウザでの応答がなくなる
ブラウザから今度はhttps://192.168.1.1でアクセス

再度、初期ID/パスワードであるadmin/readwriteを入力し、ログイン

 

画面左のメニューからネットワーク > ルーティングを選択

画面中央から新規作成を押下

 

スタティックルートを入力してOK

 

画面左のメニューからポリシー&オブジェクト > IPv4ポリシーを選択
LANからのインターネット接続用ポリシーを画像のまま定義してOK

 

画面左のメニューからネットワーク > インターフェースを選択
画面中央からwanを選択し、編集を押下

画面中央のステータスがconnectedになっていればインターネット接続可能な状態になっています。

 

初期設定は以上です。

上記の設定は、あくまでインターネットに接続できるまでの最小限の手順です。
業務に不要な通信の遮断等やアクセス管理のルーティングポリシー等は別途作成しましょう。

悲報、ランサムウェアが超簡単に作れるようになりました

ランサムウェアが、プログラミング知識不要で作れるようになったという衝撃のニュースがありました。

参照サイト:
Symantec official blog: https://www.symantec.com/connect/blogs/android-44
Japan ZDNet: https://japan.zdnet.com/article/35106406/

これまでは、多少のプログラミング知識が必要でした。
しかし、今回はその経験は一切必要ありません。
Andriodさえあれば、だれでも作れてしまいます。

このアプリは、中国の闇市場で入手できるようですが、SNSの広告などでも入手することができるようです。

作り方はいたって簡単。

表示された画面に従い、脅迫文やアイコン、ロック解除コードを入力するだけ。
しかも、ユーザーフレンドリーに配慮したWeb UIで、使いやすいようです。

ふつうのAndroidアプリを使うのと同じ感覚で、ランサムウェアをさくっと作れます。

マルウェア作成アプリの画面
参照:Symantec Official Blogより(https://www.symantec.com/connect/blogs/android-44)
選択した設定でマルウェアが作成される様子
参照:Symantec Official Blogより(https://www.symantec.com/connect/blogs/android-44)
作成したランサムウェアが稼働している様子
参照:Symantec Official Blogより(https://www.symantec.com/connect/blogs/android-44)

モバイルランサムウェアということで、スマホ限定のマルウェアですが、とはいえ、恐ろしいアプリを開発したものです。

このアプリで作成したランサムウェアの配布方法などまでは用意されていないようで、「ワンストップサービス」までには至っていない模様です。
しかし、これも時間の問題ですね。

プログラミング知識不要、つまり素人が素人をだます時代になってしまいました。

このアプリの対処方法です。

・ソフトウェアを最新に保つ
・不明なサイトからアプリをダウンロードすることを避ける
・信頼されたソースからのみインストールする
・アプリがリクエストする許可の種類に注意する
・モバイル用セキュリティアプリをインストールする
・重要データをバックアップしておく

弊社で取り扱っているWatchGuard fireboxには、モバイルセキュリティというセキュリティ機能により、定義したポリシーで管理したり、不審なアプリをインストールしないよう保護するなどデバイスを制御することが可能です。
マルウェアスキャンも含まれています。

詳しくは、製品ページWatchGuard公式HPをご覧ください。
ご不明などありましたら、お気軽にお問合せください。

検証録 – Firebox編 その2

引き続き、WatchGuard Firebox T10の初期設定についてです。
前回はブラウザから管理コンソールにアクセスしたところまで書いたので、ウィザードに従って初期設定を入力していきます。

設定値を以下にまとめます。
これらの値は予め確認または決定しておきましょう。

Fireboxのモード 混合ルーティングモード
内向けIP 192.168.1.1
PPPoE接続のID 非公開
PPPoE接続のパスワード 非公開
外向けIP 111.222.112.223
DNSサーバ 192.168.1.1, 111.222.221.225, 111.222.226.224
DHCPサーバ機能 有効
DHCPの配布IP範囲 192.168.1.2 – 192.168.1.254
デバイス名 Firebox T10Test
デバイスの場所 Tokyo
担当者 Tester
Fireboxシリアル番号 本体裏面に記載
機能キー/Feature Key ライセンス購入時に取得

「新しいデバイスの構成の作成」にチェックを入れ、次へ。

 

使用許諾契約を読み、「使用許諾契約に同意します」にチェックを入れて次へ。

 

今回の例ではプロバイダから配布された固定IPを設定していきます。
「PPPoE」にチェックを入れ、次へ。

 

「IPアドレスの使用」にチェックを要れ、プロバイダから配布された固定IP、ユーザID、パスワードを入力して次へ。

※ここでは、例として固定IP:111.222.112.223を入力しています。

 

DNSサーバーのIPを入力し、次へ。
2つまでしか入力項目がないですが、後で更に追加可能です。

 

Fireboxの内向けIP、プレフィックスを入力します。
「このインターフェイス上でDHCPサーバーを有効にする」にチェックを入れ、開始IPと終了IPを入力して次へ。

 

Fireboxの読み取り権限・管理者権限アカウントのパスワードを入力し、次へ。
アカウント名は以下が自動で設定されます。
読み取り権限:status
管理者権限:admin

 

リモート管理機能は今回使用しないので、何も入力せず次へ。

 

デバイス名、デバイスの場所、担当者を入力して次へ。
※「デバイスフィードバックをWatchGuardに送信」のチェックは任意です。

 

日本のタイムゾーンを選択して次へ。

 

Firebox本体裏面に記載されているシリアル番号を入力して次へ。

 

追加購入している機能キーがある場合は、「機能キーを追加」にチェックを入れて次へ。

 

機能キーまたはFeature Keyファイルをメモ帳で開き、全文コピーして枠内に貼り付け、次へ。

 

機能キーに含まれる各種機能が有効になったことを確認し、次へ。

 

Webフィルタ機能でのブロック対象を選択して次へ。

 

内容を確認して次へ。

 

設定完了

 

初期設定は以上です。

検証録 – Firebox編 その1

今後、不定期でUTM製品の検証結果を載せていきます。

第一弾はWatchGuard社のFirebox T10の初期設定についてです。
推奨ユーザ数:10名の小規模オフィス向けUTMで、初回検証にはもってこい。

最終的にYAMAHA RTX1100ルータとの置き換えを目標に、数回に分けて設定していきます。

まずFireboxと接続するPCのLAN設定を変更

 

続いてFirebox本体を箱から出して・・・って軽い!まるでプラモデルのように軽くて正直頼りない。
公式スペックを見ると驚きの230g!スマホ2つ並べた方が重いなんて違和感が凄い。

 

気を取り直して、FireboxのEth1と、PCのLANを付属ケーブルで接続。

 

工場出荷状態に戻すため、背面のリセットボタンを押しながらFireboxの電源を入れ、Attnランプが点滅するまでリセットボタンを押し続ける。

 

PCから疎通確認を実施
> ping 10.0.1.1 -t
・・・
10.0.1.1 からの応答: バイト数 =32 時間 <1ms TTL=64 ←これが出たら疎通OK!

 

付属CDにWatchGuardの管理ツールが入ってるようだけど、ブラウザからも管理コンソールにアクセスできるようなのでインストールしない方向でいきます。

 

ブラウザからhttps://10.0.1.1:8080/にアクセス

ちなみに、既に初期設定が終わっている場合は
https://Firebox IP:8080/
から管理コンソールにアクセスできます。

 

証明書の警告が出ますが、続行するとログイン画面が表示されます。

初期ID/パスワードであるadmin/readwriteを入力し、無事ログイン完了。

 

この後は設定ウィザードに従って必要情報を入力していきますが、長くなるので次回に続きます。

 

なお、既に初期設定が完了している場合はログイン後に管理ページが表示されます。

都内中小企業に朗報! 今ならUTMが実質半額!!

朗報です。

なんと、都内の中小企業事業者に対し、「サイバーセキュリティ対策促進助成金」を利用して、UTMが実質半額で購入できます。
お得に最新のセキュリティ機器を導入するチャンス!

主催:東京都中小企業振興公社
本助成金情報:パンフレット

申請対象や条件、流れなどを以下にまとめます。
弊社が同公社に確認した内容は青字で記載しています。

 

  • 助成金対象事業

中小企業者※又は中小企業グループのうち、
法人:東京都内に登記簿上の本店又は支店を有する者
個人:東京都内に開業届又は青色申告をしており、都内で事業を営んでいる者
となります。

※中小企業基本法(昭和38年法律第154号)第2条に規定する中小企業者を指す

  • 助成対象事業

サイバーセキュリティ経営ガイドライン又は中小企業の情報セキュリティ対策ガイドラインに基づいてサイバーセキュリティ対策を実施するために必要となる次に例示する製品・サービスを導入又は更新するものとします。

(1) UTM
(2) ファイアウォール
(3) VPN
(4) ウィルス対策ソフト
(5) アクセス管理製品
(6) システムセキュリティ管理製品
(7) 各種セキュリティサービス
(8) クラウドサービス
(9) パソコン・サーバ(最新OS搭載のものへの更新を伴い、他のセキュリティ対策を併せて実施するものに限る)
(10) その他ハードウェア・ソフトウェア

  • 助成金額

助成率 助成対象経費の1/2以内
助成限度額 1,500万円(30万円を下限とします。)

弊社質問:「助成率はどんな条件でどの程度幅があるのか?」
公社回答:「助成率は基本的に1/2固定です。」
弊社質問:「限度額と下限から逆算すると、助成対象額は60万~3,000万円の認識で合っている?」
公社回答:「合っている。」

  • 助成事業流れ

弊社質問:「情報セキュリティ診断とは具体的に何をするのか?」
公社回答:「申請書の書類審査に相当するものです。追加ヒアリングや現地調査等を行うものプロセスではない。」

※助成事業完了後5年間、設備の稼働状況等について報告義務があります

弊社では保守サービスとして定期レポートも行っておりますので、報告資料の作成を代行できます。

  • 申請方法

以下の「7.申請方法」にありますので、ご確認ください。

http://www.tokyo-kosha.or.jp/support/josei/setsubijosei/cyber.html

  • 申請受付期間

平成29年9月1日(金)~ 平成29年9月29日(金)

1か月のみのため、お早目にご準備ください。

申請書や申請方法の詳細はこちら

UTMが実質半額で買えるこのチャンスを是非ご活用ください!

弊社では、コストパフォーマンスに優れた業界トップクラスのUTMを取り扱っており、SOHO向けだけでなく中小企業向けのUTM(30名~50名、100名規模クラスなど)も取り扱っています。
その他、各種セキュリティサービス(WAF、脆弱性診断、バックアップ、ログ管理環境の構築など)も取り扱っております。
お気軽にお問い合わせください。

-2017/8/31 追記-

申請~請求までのスケジュールが確認できました。以下の通りがおおよそのスケジュールとなるようです。

9月 申請受付
10月 情報セキュリティ診断(書面審査によるスコア付け)
11月 審査会(予算の範囲内で高スコア企業を承認)
12月 交付決定通知
1月 機器導入(検収)
2月 機器導入(検収)および実績報告(現地訪問による確認)
3月 助成金請求 ※31日までに実施しなければ無効

11月の審査、12月の交付決定を経て、実際に機器が導入するのは来年1月となりますので、ご注意ください。

フィッシングメールを開封したら…?

皆様はフィッシングメールを開封した経験はございますか?
私は、幸運なことに、今のところありません。
しかし、この可能性は非常に高くなっていると危惧しています。

「セキュリティで最大の脆弱性は人」といわれています。

代表的な手口は3つあります。

・SNSからの攻撃
本物そっくりのサイトやメールを作成し、必要な情報を抜き出す
※弊社にも、マイクロソフトのなりすましや、見積書や提案書などと称した怪しいメールが数多く来ます。

・キャンディードロップ攻撃
例)拾ったUSBメモリなどにマルウェアが仕込まれているケース
※Googleが大学と共同で行った実証実験では、45%の人がUSBを使ったという結果もあるようです。

・標的型攻撃のための準備
組織に侵入して機密情報を盗む。IT部門に配属されてきた外部委託先従業員が、ある日いつの間にか姿を消した…。その会社の顧客情報が高額で取引されていた…。いわゆる企業スパイ行為です。(ベネッセの情報漏えい事件など)
Dark Webのような、スパイ行為などの仕事紹介や、銃火器の売買などをあっせんしているサイトには、このようなビジネスが実際に存在しています。

こういった攻撃方法は、「ソーシャルエンジニアリング」といわれ、人間の心理的な隙や行動のミスにつけ込む手法です。

結局は人のセキュリティ意識が変わらなければ何も守れないじゃないか」と思われかもしれませんが、今の時代、被害にあうことを想定しておくことも、念頭に入れておく必要があるのです。

ここまでの話だと、大企業だけがターゲットと思われがちですが、実は中小企業や小規模事業者もターゲットとなっている点に注意が必要です。

攻撃者は、中小企業、小規模事業者がセキュリティ対策が不十分である事情を熟知しているため、はしごして本丸の大企業を狙うという流れがひとつあります。

今では、都が率先してセキュリティ対策向上活動を行っています。
詳細はこちら⇒http://www.metro.tokyo.jp/tosei/hodohappyo/press/2017/06/19/04.html

弊社では、SOHOや小規模オフィスにも、コストパフォーマンスに優れたセキュリティ対策として、UTMを販売しております。
お見積りやご質問は無料です。ぜひ、お気軽にお問い合わせください。