2018年01月の記事一覧 | 家studyをつづって

Coincheckのインシデントまとめ

概要2018年1月26日3時頃、コインチェックの管理するNEMが外部に送金された。被害総額は検知した時点でのレートで換算して約580億円に相当。2018年1月26日　3時頃：コインチェックのNEMアドレスから5億2300万NEMが送信された2018年1月26日　11時25分：コインチェックでNEMの残高が異常に減っていることを検知2018年1月26日　11時58分：NEMの入出送信を一時停止2018年1月26日　12時57分：NEMの売買を停止2018年1月26日　16時33分：日本円を含む全通貨出金・送信を一時停止2018年1月26日　17時23分：ビットコイン以外の全ての通貨の売買を停止現状、コインチェックは金融庁、警視庁へ報告済み。また、NEM財団およびNEMの取り扱いを行っている国内外の取引所と連携を行い、送信されたNEMの追跡および売買停止要請を実施。＜参考＞http://www.huffingtonpost.jp/2018/01/26/coincheck-nem_a_23345106/これまでにあった主な仮想通過の不正送金取引所・組織時期被害額マウントゴックス（日本）2014年約470億円ビットスタンプ（スロベニア）2015年約5億円ビットフィネックス（香港）2016年約65億円ザ・ダオ（独）2016年約65億円ナイスハッシュ（スロベニア）2017年約70億円パリティーウォレット（英）2017年約30億円＜参考＞https://www.nikkei.com/article/DGXMZO26231090X20C18A1MM8000/セキュリティに関する話題１．ホットウォレット/コールドウォレット→ウォレットの管理方法ホットウォレット常時ネットワークに接続された環境にあるウォレットのこと不正アクセスによってビットコインを第三者に送金されてしまう可能性がある今回、被害にあったコインチェックのNEMの管理ウォレットはホットウォレットで管理されていた。コールドウォレットネットワークから隔離された環境に秘密鍵を保存しておくこと＜参考＞https://bitflyer.com/ja-jp/glossary/multisig２．マルチシグ→マルチ・シグネチャ通常のビットコインアドレスとは違い、マルチシグのアドレスはビットコインを送付するために複数の署名が必要。必要な署名の数は「2/3」のように分数で表され、この場合は「事前に作られた3つのプライベートキーの内、2つのキーでの署名が必要」という意味になる

2018年01月27日

コメント(0)

仮想通貨の取引について

仮想通貨に限らないが、取引のテクニックについて学んだのでメモアービトラージ裁定取引（アービトラージ）とは、同一の価値を持つ商品の一時的な価格差（歪み）が生じた際に、割高なほうを売り、割安なほうを買い、その後、両者の価格差が縮小した時点でそれぞれの反対売買を行うことで利益を獲得しようとする取引のこと。機関投資家などが、リスクを低くしながら利ざやを稼ぐ際に利用する手法。要約すると以下の通り。上記の状態で、取引所Aで買って取引所Bに送金して、取引所Bで売ると利益が出る。仮想通貨の取引の場合は、この方法だと利益が出しやすいらしい。

2018年01月21日

コメント(0)

仮想通貨に関する技術

仮想通貨の技術について学んだのでその内容をメモ仮想通貨の中核機能仮想通貨の中核となる技術・概念は以下の3つ。電子署名→身分を証明するものビットコインの取引では公開鍵暗号による署名を使って本人の確認を行っている。取引で使用する口座=ビットコインアドレスは、1または3から始まる27～34文字の英数字からなっており、公開鍵から生成される。ビットコインを送付する際には送付先のビットコインアドレスを指定する。簡単に言うと現実世界の銀行⇔仮想通貨口座番号⇔公開鍵暗証番号⇔秘密鍵ブロックチェーンこれまでの取引の記録データで、各ブロックには一定期間の取引履歴がまとまっている。ブロック：取引の集まりブロックチェーンとは、これまでの取引の一連の流れとなる。マイニングとは？＝ブロックの検証計算を行うことイメージとしては、穴埋め計算をずっと演算していくもので、機械的に数字を順番に計算していき、正解となるnonce値を求めること。これが正解すると計算の報酬（12.25BTC）がもらえる。よく言われるマイニングをすると仮想通貨が採掘されきってしまうとは、マイニングによる検証計算を行う⇒ブロックができる（承認される）⇒報酬が配当される⇒発行枚数の上限（2100万枚）に近づく。ということ。PoW(Proof Of Work=労力の証明)これは、仕事を終えたら報酬を与える概念のこと。上記のマイニングをしたら、対価を得られるという概念。今日の時点ではここまで。後日追記します。

2018年01月21日

コメント(0)

WindowsCredentialについて

Windows10　CredentialGuardとは仮想化技術でセキュリティレイヤーを分離する「仮想化ベースのセキュリティ」の一つ。以下の2つがそこに含まれる。資格情報ガードウイルスなどの悪質なプログラムまたは不正アクセスからPC内に保存された資格情報（IDとパスワード）を守る機能。デバイスガード悪質なプログラムまたは企業が使用を認めていないプログラムが勝手に動作できないようにする機能。上記はどちらも「仮想化ベースのセキュリティ（Virtualization-Based Security：VBS）」と呼ばれる技術に基づいている。これは、Windows 10 ProおよびHomeエディションでは提供されない、企業向けの高度なセキュリティ機能である。仮想化ベースのセキュリティは、64ビット版Windows 10が備えるハイパーバイザー「Hyper-V」※の仮想化技術を利用して、セキュリティコンポーネント（OSに含まれる、セキュリティ機能を提供するプログラム群のこと）をOSから分離する。実行中のOSとは別の領域で動作するセキュリティコンポーネントは、実行中のOSから管理者権限を用いてもアクセスできないため、厳重に保護される。動作要件は以下の通り●OS（必須要件）：・64ビット版Windows 10 Enterprise（およびEducation）●ファームウエア（必須要件）：　・UEFI 2.3.1以降のファームウエアを備え、セキュアブートが有効なPC●ハードウエア仮想化（必須要件）：　・Intel VT-xまたはAMD-V・第二レベルアドレス変換拡張機能●その他のハードウエア要件（オプション）：　・メモリーへの攻撃を軽減するIntel VT-dまたはAMD-Vi IOMMU（Input/Output Memory Management Unit　・資格情報ガードのキーを格納するTPM 2.0または1.2（TPM 1.2のサポートはWindows 10バージョン1511から）

2018年01月20日

コメント(0)

用語集

アグリゲーションサイト複数のWebサイトからあらゆる情報を集約し１つのWebページにまとめるWebサービスの事。以下のようなサイトがある。≒キュレーションサイト〇MoneyForward　オンラインバンキングやクレジットカードの入出金情報をユーザーに代わって各Webサイトに　ログインし、情報を毎日収集してくれるアカウント・アグリゲーションサービス〇indeed.com　様々な求人サイトから求人データを収集し、一覧ページとしてまとめるサービス。Code RedMSのIISを狙ったワーム。GETメソッドでWebサーバをオーバーフローさせて攻撃プログラムを実行させる。ICS(ファイル拡張子)ICS ファイル拡張子とは、カレンダーはさまざまなアプリケーションがあり、カレンダーファイル（ICS ファイル）と呼ばれ、カレンダーの格納に広く使用されている。ICSファイルは、さまざまなカレンダーまたは電子メールアプリケーションでサポートされている。インキュベーションプログラム別名：起業支援プログラム，スタートアップ支援プログラム，ベンチャー支援プログラム等新たに事業を起こすベンチャー企業などに対して各種支援を提供する取り組みのことである。FPoS（Fintech Platform over SIM）利用者がスマートフォンを用いて銀行やフィンテック企業との各種銀行取引を実施する。世界で最も普及しているICチップであるSIMと電子署名の仕組みを取り入れたFPoSを活用して、スマートフォンから金融取引が安全に高い利便性で実現できることを実証する。クラウドファンディング＝ソーシャルファンディングインターネット上で資金を集める行為クラウドファンディング＝ソーシャルファンディングインターネット上で資金を集める行為スマートメータスマートメーターは、毎月の検針業務の自動化やHEMS(Home Energy Management System 住宅用エネルギー管理システム)等を通じた電気使用状況の見える化を可能にする電力量計。スマートメーターの導入により、電気料金メニューの多様化や社会全体の省エネ化への寄与、電力供給における将来的な設備投資の抑制等が期待されている。ステージング環境ステージング環境とは、システム開発におけるステージングの段階で確認に用いられる環境のこと。実際にシステムを稼動させている「本番環境」、開発段階で用いる「開発環境」などがある。ステージングの段階ではシステムを公開する前に、動作や表示などについて最終的な確認が行われる。そのため、ステージング環境は本番環境にできるだけ近い、可能であれば同一の条件を持った環境を用意することが望ましい。ソルト(salt)saltは、パスワードを暗号化する際に付与されるデータのこと。予め任意の文字列をハッシュ値に変換しておき、標的のパスワードのハッシュ値と比較することでパスワードを推察する「レインボー攻撃」というパスワード破りの手法への対応策。ランダムなデータをパスワードに付与してから非可逆処理を行うことで、同じパスワードでもハッシュ値は違ったものになり、パスワードを解析されにくくする。この時付与されるデータをソルトという。チャージバック「チャージバック」とは、クレジットカードを保有するお客様が不正使用などの理由により利用代金の支払に同意しない場合に、クレジットカード会社がその代金の売上を取消しすること。ティッカー(Ticker)ティック（ＴｉＣｋ）とは、株の値動きのこと。そして、ティッカーとは取引時間中の株価を意味し、個々の銘柄を識別するためにつけられた証券コードのことを、ティッカー・コード、もしくはティッカー・シンボルと呼ぶ。ヒープスプレー（heap spray）ヒープと呼ばれるメモリ領域に対して不正なプログラムをスプレーで塗りつぶすように大量に書き込み、BOFを起こす攻撃。 http://www.npa.go.jp/cyberpolice/detect/pdf/H22_nenpo.pdfMetasploitMetasploitは、オープンソースなコンピュータセキュリティに関するプロジェクトで、脆弱性、ペネトレーションテスト、侵入検知システム、シェルコードのアーカイブ、アンチフォレンジクス（コンピュータ・フォレンジクスによる解析への対抗技術）等を主な守備範囲としたプロジェクトの名称である。また、本プロジェクトのその成果ソフトウェアとしてよく知られるMetasploit Frameworkの省略名としてもしばしば用いられる。MaaSMobility as a Serviceの略で、車を所有せず、使いたいときだけお金を払って利用するサービス。目grepPCを使わず自分の力で文章中から特定の文字やパターンなどを探しだす行為。トリアージ（セキュリティインシデントにおける）トリアージとは、情報システムやWebサービスを開発、保守・運用している場合において外部からの悪意あるサイバー攻撃を受けた時に、発生する復旧作業をする対象の優先順位を決定する作業の事。インシデント検知時に、内容について補足情報が提示されるか、ということもトリアージに含まれる要素になる。リスティング広告リスティング広告とは、ユーザーが検索したキーワードに応じて検索結果上に表示される広告を指して使われている。広告が、検索されたキーワードに連動して表示されるため検索連動型広告とも呼ばれる。主なプラットフォームは、Googleが提供する「Google AdWords」とYahoo!が提供する「Yahoo!プロモーション広告」。リモートアクセスツール(RAT)リモートアクセスツール(RAT)とは、ネットワーク上のコンピュータを、手元のコンピュータから操作するツールのこと。攻撃目的で作られたRATは「バックドアツール」などとも呼ばれる。ロバストネステスト攻撃者からの攻撃や異常な入力を受けても機器が正常に動作し続けられるかといった堅牢性のテスト。あらゆるプロトコルのパケットを連続送付することで想定外の脆弱性を検出する。検出が困難な未知のセキュリティ脆弱性を発見する。家庭用機器、産業用機器、医療用機器など電子制御を用いる製品の大半に用いられている組み込みシステムに対して行われる。Web LogicOracle WebLogic Serverは、分散Javaアプリケーションの開発、運用、管理を目的として開発された高い拡張性をもつアプリケーション・サーバ。WebviewAndroid 7.0 以降で実行するChromeバージョン 51 以降は、端末上の Chrome APK を使用して Android システムの WebView の提供やレンダリングを行います。このアプローチにより、端末自体のメモリ消費が改善され、WebViewを最新に保つために必要な帯域幅も削減されます（スタンドアロンの WebView APK は、Chrome が有効である限り更新されなくなります）。PDoS（Permanent Denial of Service）PDoSとはサービスを不能にする事以上にハードウェアを破壊する事によって永久（Permanent）にサービスを不能にする事を目的としている攻撃の手法の事。PDoSの事をPhlashing（フラッシング）と言う場合もある。＜事例として＞BrickerBot：乗っ取ったIoTデバイスのストレージを破壊する事を目的PoC（Proof of Concept）日本語では「概念実証」とも訳される「PoC（Proof of Concept）」。新しいプロジェクトが本当に実現可能かどうか、効果や効用、技術的な観点から検証する行程を指す。AV Testドイツにある独立系のセキュリティ製品の評価を行う第三者テスト機関https://www.av-test.org/en/antivirus/home-windows/windows-7/october-2012/テストに合格すると以下のマークがもらえる。JSONJSONとはJavaScript Object Notationの略で、XMLなどと同様のテキストベースのデータフォーマット。JSONはJavaScript専用のデータ形式では決してなく、様々なソフトウェアやプログラミング言語間におけるデータの受け渡しに使えるよう設計されている。Chromeの拡張機能はHTMLとCSS、そして用意されているAPIを使うためのJavaScriptから構成されている。そしてmanifest.jsonという設定ファイルがChromeの拡張機能の構成を作る。https://github.com/1000ch/chrome-extension-hands-on/wiki/1.1.%E6%8B%A1%E5%BC%B5%E6%A9%9F%E8%83%BD%E3%81%AE%E5%9F%BA%E7%A4%8E%E7%9F%A5%E8%AD%98KVMKernel-based Virtual Machine (KVM) は、Linuxカーネル仮想化基盤。Linuxカーネル 2.6.20 以降に標準搭載されている。implant(セキュリティ関連の英語記事で使われるようなもの)本来のインプラントの意味は、体内に埋め込まれる器具の総称である。セキュリティ系の記事では文脈にもよるが、埋め込まれた機器、マルウェア的な意味合いで使用されている模様。Actor(セキュリティ関連の英語記事で使われるようなもの)「ハッカー」「犯罪組織」「ハクティビスト（社会的・政治的な主張を目的とした、ネット上での活動家）」「国家の支援を受けた攻撃者」「インサイダー（従業員など）」が挙げられる。企業や組織に脅威を与える“役者（threat actor）ScamSite詐欺サイトSNMPリフレクションCommunity名がデフォルトの場合、攻撃者によりSNMPマネージャになりすまされて、パケットを受け入れてしまい、増幅した応答を返してしまう。EDoS攻撃EDoS(Economic Denial of Service / Economic Denial of Sustainability)攻撃とは、標的のシステムに大量のパケットを送るなどしてシステムをダウンさせるDoS攻撃の一種で、「経済的な損失を狙ったDoS攻撃」のこと。具体的には、クラウドサービスを利用する企業の経済的損失を目的に、コンピューティングリソースを大量消費させる、あるいは、ECサイトなどをダウンさせ機会損失させるといった攻撃をさす場合もある。一般的に、クラウドサービスの料金体系は、処理したトラフィック量や使用したストレージの容量など、コンピューティングリソースに応じた従量課金制であることが多い。そこで、標的企業が利用するクラウドサービスに対して不要なリクエストを大量に送りつけたりすることでリソースを大量消費させ、企業に本来支払う必要のない莫大な利用料を支払わせようとするのがEDoS攻撃。企業側の対策としては、サービス契約に際して、クラウド事業者側のDoS攻撃対策について確認することや、DoS攻撃を受けた場合の金銭的被害の負担について確認すること、あるいは、必要に応じて課金の上限額を設定することなどが求められる。FIDO（Fast IDentity Online、ファイドと読む）パスワードに依存せず、代わりに生体情報を使った本人認証と公開鍵暗号方式を組み合わせて「本人であるかどうか」を確認する。FIDO認証モデルでは、本人確認を生体認証などの情報を使って行うため、ユーザーはパスワードを管理する必要がなく、利便性が向上する。安全性の面では、端末における生体認証などの手段に加え、「公開鍵暗号方式における署名検証」という手段を組み合わせて、二段構えで安全性を確保する仕組みを採用している。最終更新：2018年10月14日

2018年01月20日

コメント(0)