CISSP資格基本情報 CISSP(Certified Information Systems Security Professional)とは、(ISC)² （International Information Systems Security Certification Consortium）が認定を行っている国際的に認められた情報セキュリティ・プロフェッショナル認定資…

NISTについて NIST（National Institute of Standards and Technology：米国国立標準技術研究所）は、科学技術分野における計測と標準に関する研究を行う米国商務省に属する政府機関。 NIST内には、情報技術に関する研究を行っているITL（Information Techno…

ISAC（Information Sharing and Analysis Center）について ISACは、日本語ではアイザックと読んでいます。 セキュリティに関する情報を共有する概念で、米国で1998 年に大統領令で示された。 日本では、 金融 ISAC（2014年） ICT-ISAC（2016年） 電力 ISAC…

CISとは CIS（Center for Internet Security）はアメリカにある非営利団体で、インターネット・セキュリティ標準化に取り組んでいる。 米国国家安全保障局（NSA）、国防情報システム局（DISA）、米国立標準技術研究所（NIST）などの政府機関、企業、学術機関…

ログ分析に関してのまとめ ・HTTPのログからのSQLインジェクションの検出について以下の２つにまとめた。 chikuwamarux.hatenablog.com chikuwamarux.hatenablog.com SQLインジェクションの検出では以下のデータセットを利用した。 github.com それ以外に使…

ログ情報の数値化 前回は、HTTPのログのエントロピーを算出した。 chikuwamarux.hatenablog.com 今回は、N-gramを使った数値化について、流れとしては、以下になる。 ログを1文字つづ区切る（N-gram, uni-gram） 文字ごとのベクトル化（BoW） ベクトルの重み…

ログ情報の数値化 こちらの書籍の7章にSQLインジェクションの検出方法が記載されている。 GitHub - oreilly-japan/ml-security-jp: 『セキュリティエンジニアのための機械学習』のリポジトリ 使用されているデータセットがこちらのHTTPリクエストのログ。 gi…

Society5.0 2019年4月に経済産業省は、サイバー・フィジカル・セキュリティ対策フレームワーク（CPSF）を策定した。 その前提となってるのが、Society5.0という考え方。 Society5.0は、2016年に閣議決定された「第5期科学技術基本計画」の中で、日本が目指す…

異常検知のソリューション SIEM（Security Information and Event Management）やUEBA（User behavior analytics）などにより、脅威を早期に発見できる、という話を聞く。 IAM（Identity and Access Management）なども賢いものだと、異常なログインと判断し…

ダイアモンドモデルについて CEH v12では、ダイアモンドモデル、の内容が追加されている、とのことだった。 chikuwamarux.hatenablog.com 侵入を分析し、記述する方法らしいので、まとめておく。 2013年に発表された「Diamond Model of Intrusion Analysis」…

前回のおさらい 以下の記事で、EXEファイルを画像化することをやった。 chikuwamarux.hatenablog.com これにより、マルウェアを画像化して、AIに「似ている」ということを判断させることが可能になる。 データは以下を利用させてもらう。 www.dropbox.com こ…

ディープラーニングの使いどころ 相変わらず、以下の書籍を参考にさせて頂いております。 以前、PEファイルの情報をランダムフォレストで分類させることをやった。 chikuwamarux.hatenablog.com PEファイルをディープラーニングで分類させることも可能。 デ…

PEファイルのおさらい PEファイルについて、以下を参照。 chikuwamarux.hatenablog.com マルウェアの検体を取得する方法は以下を参照。 chikuwamarux.hatenablog.com PEファイルの情報は、pefileというpythonのライブラリで取得できる。 問題のない正常なフ…

PEファイルとは PEファイルのPEはProtable Executableの略で、Windows上で使用される実行ファイル (EXE)、オブジェクトファイル、DLL、SYS (デバイスドライバ)、FON フォントファイル等のファイルフォーマットのこと。 PEファイルには構造がある。文字で書く…

CSPMとは クラウドのセキュリティ事故の９９％は人為的ミスによるもの、という話をよく聞く。 実際の統計の存在は良く分からない。 2019年のガートナーの記事で、「Through 2025, 99% of cloud security failures will be the customer’s fault.」というもの…

CEH v12 EC-coucilからCEH v12のアナウンスがありました。 www.eccouncil.org 以前、過去のサイクルからｖ12を2023年3月と、勝手に予想していましたが、2022年9月リリースとなりました。 chikuwamarux.hatenablog.com CEHのバージョンは、2年から2年半のサイ…

バズワードとしてのゼロトラスト 最近のセキュリティ関係のセミナーでは、「ゼロトラスト」というワードが必ず出てくる。1年程前までは、言葉ばかりが先行して、肝心の中身は、コロナ下ということもあり、大手企業に向けて、かなり高額なサービスという印象…

Windows Management Instrumentation (WMI)とは WMIは、OSやコンピュータの設定・状態を参照したり変更したりするための仕組みのこと。Windows95とかでも稼働していた。 ローカルだけでなくリモートも管理できるため、複数のサーバーを管理するためにスクリ…

Tabnabbing（タブナビング）とは Tabnabbingブラウザで、リンク先を別のタブで開くアクションを使った攻撃手法。フィッシッングに用いられる。ブラウザでの対策も進んでおり、改めて再確認をする。 HTMLで以下のように記述すると、hoge.htmlを新しいタブで開…

フィッシングサイトのデータでディープラーニング こちらで、ランダムフォレストによる機械学習をしてみた。 chikuwamarux.hatenablog.com ランダムフォレストの方が、ロジスティック回帰よりも精度が高かった。ディープラーニングではどうか？ 基本的な流れ…

フィッシングデータの機械学習 以前、フィッシングサイトのデータセットを調べた。 chikuwamarux.hatenablog.com これを使って、機械学習をしてみる。 この書籍を参考にさせてもらう。 www.oreilly.co.jp サンプルコードは以下にある。 github.com サンプル…

SBOMについて 最近、SBOM（えすぼむ）という言葉をよく見る。 Software Bill of Materialsの頭文字をとっている。 BOM＝Bill of Materialsは、製造現場で部品表とか呼ばれて、製造物はどんな部品から構成されているかを示すもの。 それをソフトウェアの世界…

ShellBagsって ShellBags は、WindowsのExplorerで2度目以降にフォルダーを開いた際、前回と同じ状態で利用できるよう、フォルダーのウィンドウサイズ、表示レイアウト、表示位置などの情報を記録する仕組みのこと。 ShellBagsの情報自体はレジストリに保存…

VirusTotal(ういるすとーたる)について CEHのテキストでも紹介されていたVirusTotal。 https://www.virustotal.com/gui/home/upload ファイルをアップロードしたり、URLやIPを入力すれば、70を超えるベンダのチェックの結果を教えてくれたりします。 2004年6…

フィッシングサイトの見分け方 今さらではあるが、フィッシングサイトの見分け方について。 2015年にフィッシングサイトに関するデータセットが提供されている。 archive.ics.uci.edu 30個の特徴量からフィッシングサイトを判定した2456件のデータとなってい…

侵入検知や防御 CEHのテキスト12章は、IDSについて。 IDSの一般論から、製品紹介。その後は、IDSをかいくぐるテクニックの紹介。 製品としては、SnortやSuricataが紹介されており、Snortに関しては、Snort Ruleというパケットフィルタリングルールの記述につ…

マルウェア解析・検知ツール YARAは、マルウェア解析・検知ツールで、Virustotalの開発者Victor Alvarezによって開発された、とWikiに記載がある。 ja.wikipedia.org たまに見かけるので、気になっていた。 YARAという単語自体は、 "YARA: Another Recursive…

IoCってなんだ IoC（Indicator of Compromise）は、侵害の痕跡、侵害指標、痕跡情報などと訳されることが多い。 サイバー攻撃の痕跡をデータベース化して技術仕様として活用することで、攻撃を受けていることを素早く察知し、その影響範囲の最小化を目指すの…

ISMS IPAの情報処理技術者試験でISO関係の問題が出題されて、テストの知識として暗記した記憶だけはある。実際、どんなものか改めて確認。 ISMS自体は、直訳すれば、「情報セキュリティマネジメントシステム」で、ちゃんとセキュリティが機能する仕組み、の…

アカウント管理 悩ましいアカウント管理。 MITREのテクニックで、「Valid Account」がある。 attack.mitre.org 以下の４つについて、具体的な防止策、検知、具体例が挙げられている。 Default Accounts Domain Accounts Local Accounts Cloud Accounts Defau…