ラック セキュリティレポート

LAC WATCH
2020年『即!西本』特別技能CTFチャレンジで腕試しを!セキュリティに興味がある若き才能の挑戦をお待ちしています

『即!西本』特別技能CTFチャレンジ、今年もやります!
セキュリティ分野に興味がある、才能ある若手の皆さん、ご自身の限界に挑戦してみませんか?

ラックでは、高い技術と旺盛な好奇心を持ち、将来セキュリティエンジニアとしての活躍を目指す若い方を対象に、2017年から「『即!西本』特別技能CTFチャレンジ」を実施しています。ラックの精鋭が全力を挙げて作成するハイレベルな問題に真正面から挑み、実力を試す機会としていただくと同時に、将来のキャリアを考える材料としていただくことが狙いです。

オンラインでの競技のため、お住まいの地域にかかわらず、ご自身の都合のいい時間に参加していただけるのが特長で、過去3回の開催では国内だけでなく海外からの挑戦もありました。
2019年のCTFチャレンジでは、CTFへの参加が趣味という強者(つわもの)から初挑戦とは思えないレベルの方まで幅広く参加していただき、非常にレベルの高い大会となりました。
4回目となる今回も、腕に覚えのある多くの方からの挑戦をお待ちしています。

『即!西本』特別技能CTFチャレンジとは

サイバーセキュリティに関する知識や技術を競うオンライン競技(CTF:Capture The Flag)です。
ラックでは、グループ会社を含め全社的にCTF大会を開催するなど、CTFをセキュリティ関連スキル向上のための要素と位置付け、社内研修でも活用しています。その一環として、『即!西本』特別技能CTFチャレンジでも、ラックの若手を中心とした精鋭エンジニア陣が問題を作成しています。

ラックが求める若手人材

『即!西本』特別技能CTFチャレンジに挑戦していただきたいのは、次のような方です。

  • 情報セキュリティ技術を習得し、関連する競技大会への参加やマルウェア解析の経験がある方
  • 情報セキュリティ技術の習得は途上でも、将来的には、身につけた技術で世のセキュリティレベルの向上に貢献したいと考え、努力している方

「やる気・勇気・根気・好奇心」をお持ちの多くの皆さまとの出会いを、当社社長の西本逸郎も楽しみに待っています。『即!西本』特別技能CTFチャレンジで、ぜひ実力をお試しください!

参加要件

以下のA〜Cいずれかに該当していること。

  • A ) 2021年3月に専門学校・短期大学・高等専門学校・大学・大学院を卒業する見込みの方
  • B ) 申込時点で、専門学校・短期大学・高等専門学校・大学・大学院を卒業後4年未満の既卒の方
  • C ) 2021年4月以降に専門学校・短期大学・高等専門学校・大学・大学院を卒業する見込みの方(学年は不問)

ハイスコア獲得者が得られる、未来へのパス

  • CTFでの上位成績者のうち、参加要件のAまたはBに該当される方は、通常のステップを省略して、当社社長の西本との最終面接の参加権を付与いたします。
    (面接の実施は2020年6月1日(月)以降)
  • CTFでの上位成績者のうち、参加要件のCに該当される方には、2020年度インターンシップの優先参加や技能向上支援など、将来のキャリア形成に向けたご相談・ご要望に応じます。

2019年の『即!西本』特別技能CTFチャレンジには59名の申し込みがあり、最終的には5名が西本との最終面接の参加権を獲得しています。

実施スケジュール

申し込み締切 2020年2月7日(金)
特別技能CTF期間 2020年2月11日(火・祝) ~ 2月20日(木)
WriteUp提出期限 2020年2月24日(月・祝)
特別技能CTF結果連絡 2020年3月5日(木)以降順次
(CTFにチャレンジされた方全員にご連絡します)
西本面接 2020年6月1日(月)以降順次
(面接を希望される方にご案内します)

※ WriteUpとは、問題の解答方法を第三者が理解できるように書き表したドキュメントです。

参加方法

以下の申し込みフォームより、ご登録ください。

申し込みフォーム

※ 外部クライゼル社の申し込みフォームを利用しています。

注意点

  • 「『即!西本』特別技能CTFチャレンジ」は、学生の皆さまがご自身のキャリアを検討する際の参考となるよう、当社や業界を知っていただくために開催するもので、参加の有無が今後の採用選考に影響するものではありません。当社の採用選考については後日、当社ウェブサイトの採用ページや就職ナビを通じて情報公開いたします。
  • 特別技能CTFの結果、ご本人の希望により西本面接にお越しいただく際には、履歴書および学校から発行される成績証明書・卒業見込み証明書・健康診断書をご準備いただきますので予めご了承ください。
  • 応募者が知り得た問題や解答内容は、知人に知らせたり、ブログやSNSなどで不特定多数に公開したりしないでください。

お問合せ

『即!西本』特別技能CTFチャレンジに関するお問合せ

人材戦略採用推進室
03-6757-0103
受付時間 9:00~17:30(平日)

メールでのお問い合わせ

(2020-1-22 10:00:00)

LAC WATCH
【注意喚起】無料ツール「FalconNest」を使用し、標的型サイバー攻撃の痕跡有無を調査してください

サイバーセキュリティサービス部の内田です。

大規模なサイバー攻撃事案に関連し、現在、ラックには大変多くのお問い合わせをいただいています。ラックは、同種のサイバー攻撃に不安を感じている企業に今すぐに実行していただきたい内容をまとめました。

昨日から報道で取り上げられたサイバー攻撃は、標的型攻撃(APT)と呼ばれる手法を使用したとされ、2007年前後より日本においても注視されています。標的型攻撃に対する懸念についてはラックでも随時、調査結果としてまとめ、公表してきました。

標的型攻撃の事案において、「侵害の発見」「被害拡大の防止」「封じ込め」を行うには、攻撃者の手口(TTPs:Tactics, Techniques and Procedures)を発見し、対処することが特に重要なポイントとなります。

ラックのサイバー救急センター®では、2019年に国内で発生した複数の標的型事案への緊急対応において、それぞれ異なる攻撃者グループによる、さまざまな攻撃手口を確認しています。

攻撃の手口には、攻撃者は異なっても共通して利用されるものがあります。例えば、PowerShellを利用するケースや、Githubで公開されている「PoshC2」をRAT(Remote Administration Tool)として利用しているケースなどです。

標的型攻撃によるサイバー攻撃は、セキュリティ対策製品を導入しただけで完全に防ぐことは難しくなったと言われる時代となり、いかに攻撃を受け被害が発生しているかを知り、即座にダメージを最小化するアクションを起こせるかが最も重要です。

標的型攻撃の痕跡調査を実行してください

ラックは、企業や組織内で自社が標的型攻撃を受けていないかを、今すぐに確認することをお勧めします。

サイバー攻撃を受けたか否かを自社だけで調査することは大変困難であり、調査の過程で痕跡を失ってしまうリスクもあることから、可能な限りサイバー救急センターへの連絡をお願いしてまいりました。

しかし、多くの企業から、簡便に痕跡調査を行う方法を希望されたことにより、2018年に無料の痕跡調査ツール「FalconNest」を公開しています。

無料調査ツール「FalconNest」

「FalconNest」では次の3つの機能を提供しています。

  • 侵害判定機能(Live Investigator)
    標的型攻撃の痕跡やマルウェア感染の痕跡がないかを調査する
  • マルウェア自動分析機能(Malware Analyzer)
    発見された”疑わしいファイル”がマルウェアかを調査する
  • メモリ自動分析機能(Phantom Seeker)
    PCのメインメモリ内に不審なプログラムがないかを調査する

ラックが標的型攻撃事案で確認した攻撃手口のIOC(indicator of compromise)については、侵害判定機能(Live Investigator)で検出するよう随時アップデートを行っています。

昨今の標的型攻撃では、メモリ内で動作させるファイルレスマルウェアも多く見られますが、このような従来は発見することが難しい痕跡の場合でも、FalconNestのメモリ自動分析機能(Phantom Seeker)では発見することができます。

特に攻撃対象となりうるドメインコントローラやサーバを対象に、FalconNestによるチェックを定期的に実施していただくことで、標的型攻撃の痕跡を初期段階で発見できる可能性が高まります。

「FalconNest」をご利用いただくに当たっては、メールアドレスの入力を含む登録作業が必要になります。あらかじめ利用規約およびプライバシーポリシーをご確認くださいますようお願いします。

FalconNest(ログインページ)

無料調査ツール「FalconNest」についてはこちら

「FalconNest」を実行した結果、重要度が「High」のアラートが表示された場合には至急の対応が必要です。対応に不安がある場合には、サイバー救急センターもしくは、専門家への相談をお勧めします。

サイバー攻撃に遭ったら迷わずサイバー救急センターへ

ラックは、ネットワークやクライアントのログ解析やアプリケーションレイヤを含めた可視化、相関分析などを駆使するセキュリティ監視およびEDRの導入などで定常的にセキュリティを保つ仕組みの構築や、昨今話題となっている脅威ベースのペネトレーションテスト等を複合的に実施することが重要と考えています。しかし、今この瞬間にも皆さまの企業・組織から重要な機密情報が漏えいしている可能性は否定できません。皆さまの企業や組織のセキュリティが保たれているかどうか、今すぐ確認することを強くお勧めします。

(2020-1-21 10:00:00)

LAC WATCH
ラグビー 山田章仁です。(第49回)

ラグビーの日本代表として世界の強豪に挑み続け、その歩みそのものも「型」にはまらない山田選手。
当社は山田選手のモットーである「BREAK THROUGH=殻を破れ」に共感し、2015年から応援し続けています。
ラグビーワールドカップ2015 日本代表。

ラックの皆さん、そしていつも応援してくれる多くの皆さん、本年もよろしくお願いいたします。

年末年始はいかがお過ごしでしたでしょうか。ゆっくりしていたら、あっという間に2020年ですね。1月からいよいよトップリーグ(TL)2020シーズンの開幕なのですが、その前に2019年12月を振り返ってみたいと思います。

12月はNTTコミュニケーションズシャイニングアークスとして、練習試合が毎週組まれておりました。
ワールドカップ後で盛り上がる2020シーズンに向けて、わがチームはもちろん、他のチームも準備を怠りません。
練習試合第一戦の相手は日野レッドドルフィンズ、場所は私たちのホームであるアークス浦安パークです。
あいにくのお天気でしたが、ラグビーブーム真っただ中ということもあり、練習試合にもかかわらず、多くのお客さんにお越しいただきました。レッドドルフィンズといえば、TL開幕戦の相手でもあり、お互いのシーズンを占う重要な試合と位置付けていました。結果は73-12で勝利となり、幸先のいいスタートとなりました。

続いて第二戦の相手は宗像サニックスブルースです。場所は同じくホームのアークス浦安パーク。この日は天候にも恵まれ、さらに多くのお客さんにお越しいただいて大盛り上がりの1日となりました。というのも、練習試合でもホームゲームでは、実況つき、ハーフタイムショーあり、フードやグッズの出店ありで、本番さながらの盛り上がりとなるのです。これも地域の皆さんへのおもてなしとしてチームが企画していることで、シーズン前の素晴らしい宣伝になっていた模様でした。
結果は21-14で勝利。接戦のなかで勝ちきることの大切さを勉強できた試合になりました。

練習試合の合間にはテレビのお仕事やイベントへの参加もちょっとだけ。
こちらはプライベートでも仲のいい木津武士選手(日野レッドドルフィンズ)と一緒に、テレビのお仕事。

前回ワールドカップの戦友でもある木津選手と

前回ワールドカップの戦友でもある木津選手と

また、上智大学のGO BEYONDプロジェクト*では、ラグビーを通してのグローバルな視点の持ち方や、世界のつながりといった話をさせていただきました。

* 2020年の東京オリンピック・パラリンピックをきっかけとして、共生社会の実現を目指し活動している学生プロジェクト

笑顔いっぱいのプロジェクトメンバーの皆さんと

笑顔いっぱいのプロジェクトメンバーの皆さんと

ここで話を戻してラグビーです。
12月の第三戦は私が昨シーズンまで所属していたパナソニックワイルドナイツとの試合です。今回の場所はアウェー、群馬県太田市にあるパナソニック ワイルドナイツ グラウンドであります。懐かしい東北道を北へ走り約2時間。遠い…と思いながらも、在籍当時の思い出に浸りながら車を運転しておりました。

強豪のワイルドナイツに勝ち、自信をつけて2019年を締めくくりたいと思っていたのですが、なかなかペースを握れず、結果は負け。しかし、これまで練習してきたいい形でトライすることができたり、素晴らしいディフェンスがあったりと、敗戦の中でも収穫のある練習試合となりました。試合後の円陣では、「今後の試合に今日の経験を活かせてこそ、今日負けた意味がある」と改めてキャプテンが語るなど、シーズンの開幕が間近に迫るチームにとって大事な1日になっていたことは間違いなかったと思います。

ファンサービスも大切です

ファンサービスも大切です

このように練習試合を重ねたりチームのクリスマスパーティーに参加したりし、その合間にはちょっとだけハワイにも帰っておりました。ハワイではアメリカならではのクリスマスディナーを堪能し、街のライトアップも楽しみ、心身ともにリラックス。今回私は「山田サンタ」となり、ハワイ在住日本人のちびっこのみんなを対象に、私が企画、運営に関わっているラグビー普及プロジェクト「Reach Out Rugby」というラグビークリニックも開催。このようにハワイの人々からもパワーをいただき、帰国し、また練習に励みました。

シャイニングアークスのクリスマスパーティー

シャイニングアークスのクリスマスパーティー
ハワイのクリスマス

ハワイのクリスマス
ラグビークリニックも大成功

ラグビークリニックも大成功

そんな12月を過ごし、1月12日からはいよいよシーズン開幕です。コアなファンの方々、にわかファンの方々、まだファンにもなってないがちょっと気になっているという方々にラグビーを楽しんでいただけるようなプレーをしたいと思っています。そして、まだファンでない方々にもラグビーの魅力、私の魅力が伝わるような情報発信を心がけ、ラグビーに日々精進していきたいと思います。

2020年、NTTコミュニケーションズシャイニングアークス 山田章仁の応援、なにとぞよろしくお願いします。

(2020-1-17 10:00:00)

LAC WATCH
ベンリでキケンなリモートデスクトップ(遠隔操作)を安全に使いこなすためのはじめの一歩

これまで、TeamViewerをリモートアクセスソリューションとしての概要を紹介してきましたが、今回は機器を遠隔操作する「リモートデスクトップソリューション(以下、リモートデスクトップ)」について、セキュリティを切り口に考えていきます。

事故につながる共通点

いきなり脱線しますが、少しだけ自動車について考えてみましょう。化石燃料(ガソリン)、ハイブリッド(ガソリン・電気)、ゼロエミッション(電気や水素)等と燃料や仕組みが変わっても、多くの人にとって自動車が生活に欠かせない便利な道具であることに変わりはありません。人の移動にも貨物の輸送にも活躍する自動車ですが、その便利さは同時に、ドライバーの操作や判断のミスによって大きな事故につながることもご承知のとおりです。このように、人にとって有益な道具や技術ほど誤った使い方による事故は大きく深刻なものとなり、これは自動車のみならず、リモートデスクトップを含めたITソリューション全般に共通する課題です。

検討中のお客様が導入に踏み切れない理由

TeamViewerをはじめとするリモートデスクトップの導入を検討しているお客様からの相談のなかで、セキュリティ面が心配で導入に踏み切れないというケースが少なくありません。しかしその実態は製品やサービスに導入を阻害する明らかな課題や問題点があるというより、漠然とした不安であるケースが多いように見受けられます。つまり、お客様自身が導入を検討しているリモートデスクトップの仕組みやセキュリティ機能について、詳しく把握せず、そこから漠然とした不安を感じているのです。

リモートデスクトップソリューションを安全に使いこなすには

自動車には運転免許制度があり、ドライバーは自動車に対する一定の知識(仕組みやルール)と技術(運転技術)を予め習得します。それにより、ドライバーは自動車を運転するために、何をすべきか、どのような仕組みで自動車が動いているのかを概念的に理解しています。これは自動車を安全に利用するためには非常に重要なことです。つまり、リモートデスクトップも、安全に使いこなすには、その仕組みや機能など製品やサービスの全体像を、予め正しく知っておくことが非常に重要なのです。

アクセス制御を中心にしたTeamViewerのセキュリティを評価する

話をTeamViewerに戻しましょう。まず、TeamViewerのセキュリティについて、どの程度ご理解いただいているかを知るため、簡単なチェックリストを用意してみました。以下の3つの質問に全て「はい」と答えることができれば、アクセス制御を中心としたTeamViewerのセキュリティについて正しくご理解いただいていると思われます。もし、1つでも「いいえ」があった場合は、TeamViewerに対する理解が十分とは言えないため、TeamViewerのセキュリティ機能の評価を正しく行えないかもしれません。

TeamViewerのセキュリティ(アクセス制御)を評価するためのチェックリスト

  1. TeamViewer IDの役割や機能を正しく説明することができますか?
  2. マネージメントコンソールやTeamViewerアカウントの役割や機能を正しく説明することができますか?
  3. 許可リスト(及びブロックリスト)の機能を正しく説明することができますか?

この簡単なチェックリストはアクセス制御を中心にしたTeamViewerのセキュリティに関するごく基本的な機能要素について、正しく把握しているかを確認するものです。もし質問に対する回答のすべてが「はい」とならなかった場合、最終的な導入判断をする前に、TeamViewerについてもう少し情報収集されることをおすすめします。

なお、参考までに各設問に関連するTeamViewer社コミュニティサイトの記事へのURLを以下にご紹介します。

TeamViewerを正しく知っておこう

冒頭でも触れたように、遠隔地のデバイスを直感的に操作できるリモートデスクトップは、非常に便利なソリューションである反面、正しく取り扱わないと不測な事故の原因となる可能性も否定できません。しかし、せっかくの有益なツールも、きちんと理解せずに闇雲に遠ざけるだけでは生産性の向上も見込めません。TeamViewerにどのようなアクセス制御の手段があるのか、それらをどのように組み合わせ、どう使うかでセキュアなリモートデスクトップ環境を構築できるのか、まずは正しく知ることから始めてみるのはいかがでしょうか。

ラックでは独自に「TeamViewerセキュリティふかぼりガイド」も公開しておりますので、こちらもぜひご参照ください。

より詳しく知るにはこちら

より詳しく知るにはこちら

ラックは、リモート接続を活用したソリューションとセキュリティ対策により、変革を進める企業の攻めのIT活用を支援する「TeamViewer(チームビューワー)」を提供しています。

(2020-1-16 10:00:00)

LAC WATCH
追記【注意喚起】Citrix社ネットワーク製品の深刻なゼロデイ脆弱性(CVE-2019-19781)での攻撃を確認、今すぐ対策を

【更新情報】2020年1月16日
新しい攻撃パターンが発生していますので、「攻撃を受けたか・被害が出ているかの確認方法」について追記いたしました。

JSOCアナリストの山坂です。

2019年12月にCitrix社の一部の製品に関する任意のコードを実行可能な脆弱性(CVE-2019-19781)が公開されました。この脆弱性が悪用された場合、データ改ざんや流出などの被害が発生する恐れがあり、非常に危険です。

2020年1月11日には、脆弱性を悪用する攻撃コードがインターネット上に公開されたことをJSOCで確認しています。同日から脆弱性を悪用する攻撃通信を観測し、翌12日に攻撃の急増を確認しています。1月15日時点ではセキュリティパッチのないゼロデイの状況であり、容易に悪用が可能なことから継続して非常に多くの攻撃が行われています。

攻撃通信は、主に設定ファイルを参照する攻撃を観測していますので、参照された情報をもとにさらなる攻撃が行われる可能性があります。

影響を受ける可能性がある環境

脆弱性の対象となる以下Citrix社製品の利用の有無を確認してください。

  • Citrix Application Delivery Controller(旧名称:Citrix NetScaler ADC)
  • Citrix Gateway(旧名称:NetScaler Gateway)

これらの製品を利用している場合は、後述する「対策方法」で紹介するCitrix社公式サイトに暫定回避策が記載されていますので、至急実施してください。また、既にこの脆弱性が悪用され侵害を受けている可能性がありますので、後述の「攻撃や被害を受けているかどうかの確認方法」で案内している調査を実施されることをお勧めします。対応が難しい場合は、この脆弱性に対応したアップデートが1月20日以降にリリースされる予定と案内されていますので、アップデートが完了するまでシステムを停止することを検討してください。

JSOCで確認したインシデント通知件数の推移

1月14日までにJSOCが運用するスレットインテリジェンス基盤にて検知した攻撃の検知件数は、図1のように推移しています。

図1:JSOCのスレットインテリジェンス基盤にて検知した攻撃の件数推移

図1:JSOCのスレットインテリジェンス基盤にて検知した攻撃の件数推移

スレットインテリジェンス基盤における観測では、この攻撃の送信元IPアドレスの大半は米国です(図2)。観測している通信のほとんどは脆弱性の有無を探るものですが、このたびの脆弱性を悪用して、設定ファイルを参照するコマンドの実行や外部からファイルを取得するcurlコマンドの実行を試みるものも観測しています。

図2:送信元IPアドレスの国コード別割合

図2:送信元IPアドレスの国コード別割合

対策方法

Citrix社から、設定変更による攻撃の暫定回避策が公開されています。前述の通り、この脆弱性に対応したアップデートは1月20日以降の予定と案内されていますが、暫定回避策を取った場合でもアップデートは必ず実施することを推奨します。

Mitigation Steps for CVE-2019-19781

攻撃を受けたか・被害が出ているかの確認方法

以下のキーワードで、アクセスログを検索してください。

POST リクエストかつ、

  • “/vpn/../vpns/portal/scripts/newbm.pl”
  • “/vpn/../vpns/portal/scripts/rmbm.pl”
  • “/vpns/portal/scripts/newbm.pl” (追加)
  • “/vpns/portal/scripts/rmbm.pl” (追加)

を含む文字列、または
GET リクエストかつ、

  • “/vpn/../vpns/portal/scripts/picktheme.pl”
  • “/vpns/portal/scripts/picktheme.pl” (追加)

を含む文字列

該当するログがある場合は、攻撃を受けている可能性があるため、そのリクエスト内容の正当性(利用上の正常なリクエストかどうか)を確認してください。正当なものではない場合、既に被害を受けている可能性があります。今回の攻撃ではコマンドの実行結果をファイルに出力するものを多く観測しており、出力先は任意に指定できるようですが、JSOCにおける観測では1月15日朝時点において「/netscaler/portal/templates」配下にファイルを作成するコマンドを多く観測しています。上記のアクセスログ調査に加えて、ここに不審なファイルが作成されていないか、調査を実施することをお勧めします。

参考URL

(2020-1-15 16:00:00)