Microsoft Exchange に関連した脆弱性および監査ログについてのメモ
メモURL
- Autodiscovering the Great Leak - Guardicore
- Microsoft Exchange Autodiscover bugs leak 100K Windows credentials
さらに今月に入ってMicrosoft Exchange Autodiscoveryの欠陥によって10万件におよぶクレデンシャル情報が漏洩していた可能性があることが報告されました。 この情報漏洩のメカニズムを理解するには、Microsoft Exchangeがサポートするメールアカウント構成情報の自動検出機能(Autodiscovery)の仕組みから説明していく必要がありますが、詳細は以下の研究者の報告や外部ソースをご参照ください。 Autodiscovering the Great Leak https://www.guardicore.com/labs/autodiscovering-the-great-leak/
Microsoft Exchange Autodiscover bugs leak 100K Windows credentials https://www.bleepingcomputer.com/news/microsoft/microsoft-exchange-autodiscover-bugs-leak-100k-windows-credentials/
研究者はこの欠陥を調査する過程で、今年の4月16日から8月25日の間に以下のような情報をキャプチャできたとしています。
・合計372,072件のWindows Domainのクレデンシャル情報 ・Outlook、モバイルメールクライアント、その他Exchangeサーバーと連携しているアプリケーションから漏洩した96,671件のユニークなクレデンシャル情報
これらの資格情報が収集できたドメインには、“中国市場で上場している企業、食品メーカー、投資銀行、発電所、電力供給、不動産、配送とロジスティクス、ファッションとジュエリー”などが含まれているようです。 さらにこれらの情報はネットワーク上においてプレーンテキストで転送されるため、仮に攻撃者がネットワーク内でスニッフィングする技術を有している場合には、容易にドメイン資格情報を取得できる重要なセキュリティ欠陥だと主張されています。
研究者は組織や開発者がこれらのMicrosoft Exchange Autodiscoverリークを軽減するために使用できるいくつかの提案を提供しています。
・Microsoft Exchangeを使用している組織の場合、ファイアウォールまたはDNSサーバーですべてのAutodiscover.(TLD)のドメインをブロックして、デバイスがそれらに接続できないようにする必要があります。 (研究チームは、アクセスルールの作成に使用できるすべての自動検出ドメインを含むテキストファイルを作成し、報告しています。前述のURLからご確認ください) ・Exchangeセットアップを構成する際に、組織は基本認証を無効にすることも推奨されています。これは、基本認証ではクリアテキストで資格情報を送信するためです。
富士急山中湖別荘地にみる山梨県の豪族政治
- 令和3年7月5日朝日新聞 夕刊 (現場へ!)富士山麓はだれのもの:1 別荘地「貸せない」、山梨の乱:朝日新聞デジタル
- ザックリ言うと
- 実はこの背景には...
- で、どういうこと?
- 県が住民から訴えられた形は取っていたが、実際には長崎(山梨県)県知事による仕掛けで、富士急に賃料値上げを迫る企てだったということになる。
- 実際、県有地を90年にわたって独占的に割安の価格で借り受けて稼いでいたことは批判を受けていた。
AWS Artifact を読むためのIAM設定
AWS Artifact を参照したいがどうすんねん...
AWS Artifact は、AWSのコンプライアンス関連の情報を集約したポータルです。 このポータルサービスから、AWSを監査したレポート等々を参照することで、運用透明性などなどを確認し信頼に足るかを判断する事が可能です。
ただし、各種レポートを参照するにはNDA含む契約をする必要がある為、AWS Console アカウントを作成してログインする。
また、レポートによって個別の契約(BAA、NDA)が必要となるため、IAM権限を持つアカウントのみが AWS Artifact を利用する事が出来る。
レポートを参照するためのIAMポリシー設定
こちらのユーザーガイドにある通りです。
AWS Artifact での IAM 〜AWS Artifactユーザーガイド〜
- IAMポリシーを作成する
- Artifact用のグループを作って、上記ポリシーをアタッチする
- ユーザーを上記グループに所属する
レポートを参照するだけの権限を与えるポリシー例
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "artifact:Get" ], "Resource": [ "arn:aws:artifact:::report-package/*" ] } ] }
IAMポリシーウィザードを使って、実際に割り当てたポリシー
{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "artifact:Get", "artifact:DownloadAgreement" ], "Resource": "*", "Condition": { "BoolIfExists": { "aws:MultiFactorAuthPresent": "true" } } } ] }
AWS Artifact へのアクセス方法
- AWS Console にログインして Artifact にアクセスするだけです。
- https://console.aws.amazon.com/artifact/home
- ページ右上の辺りにある白枠「AWS Artifactの使用を開始る」内の「レポートの表示」をクリックすれば、各種のコンプライアンス関連レポートのリストが表示されます。
- レポートによっては、開示に当たって別途契約が必要になるものも有ります。
- 例えば SOC2 に関しては、利用者にのみ公開というもののようですのでフルオープンでは有りませんので、ここでの例示は出来ません。
- しかし、レポートを読むのは意外に面倒くさい
- ダウンロード出来るPDFにはウォーターマークが入っているので、Adobe Reader で開くことを求められてしまう...。
USBセキュリティキー Ubikey 5c NFC を使ってみる
Ubico Ubikey 5c NFC を使う
Google の強固なセキュリティ機能
で、これを実装する為には、物理セキュリティキーかスマホのU2F機能を使うかの2択になります。
強固なセキュリティ機能を使う場合、認証に使うデバイスが一つだとそれを紛失した時に自分のアカウントにアクセス出来なくなってしまいます。そこで、バックアップを用意しておく必要が出てきます。
認証デバイスにスマホを選んだ場合は、そのバックアップとして物理キーを用意しておく事が推奨されています。
Googleヘルプでは、Titanセキュリティキー/Yubico/Feitian のいずれかを進めているようです。support.google.com
- Titan Security Key USB-Cのみ取り扱いアリ
- Yubico はAmazonでの取り扱いもあるので買いやすい
- 安いのは青色のキーなんだけど、新しい方はNFC対応しています。
- Feitian の ePass FIDO は USB-A NCF のセキュリティキーはAmazon.co.jp での取り扱いがあるッポイ。
Yubikey 機能比較
- | セキュリティキーシリーズ | Yubikey5シリーズ | Yubikey 5 FIPSシリーズ |
---|---|---|---|
FIDO2認証 | OK | OK | OK |
FIDO U2F | OK | OK | OK |
FIPS 140-2認証 | - | - | OK |
WebAuthn | OK | OK | OK |
FIDO2 CTAP1 | OK | OK | OK |
FIDO2 CTAP2 | OK | OK | OK |
U2F | OK | OK | OK |
ICカード(PIV互換) | - | OK | OK |
Yubico OTP | - | OK | OK |
OATH-HOTP(イベント) | - | OK | OK |
OATH-TOTP(時間) | - | OK | OK |
Open PGP | - | OK | - |
セキュアスタティックパスワード | - | OK | OK |
Yubikey で何をしようか
Yubikey でやったことメモ
Googleアカウントに登録
- 利用構成
- Yubikey を使ったUSB物理キーとする方法
- Smart Lock アプリを使ったスマホを物理キーとする方法
- バックアップもしくは復旧
- どちらかを持っていなければ終了
Microsoftアカウントに登録
GitHubアカウントに登録
watchOS 7.0 から 7.3 へのアップデートでハマってみた!!
Apple Watch Serise3 (GPS+Wifi) モデルの watchOS 更新にハマりました。
TL;DR 今北産業
- watchOS 7.3.3 にアップデート出来ない...。「容量が足りない...」とダイアログメッセージが表示される。
- Apple Watch のアプリやデータを削除するだけでは、ストレージの空き容量が増えない...
- アップルのサポートがアナウンスしている方法「ペアリングを解除してアップデートしろ」で更新出来るようになる。
- ペアリングを解除する。
- 新しい Apple Watch としてペアリングする。
- バックアップデータから復旧してしまうと、またストレージ容量足りなくなります。
- ペアリングしてから watch OS 7.3.3 にアップデートをする。
- watchOSアップデートが成功したら、再度ペアリング解除してデータ復旧する。
- WalletとApple Pay 以外は、設定やデータは復元されるのであまり手間はないと思います。
しかし、ペアリング解除 => 新規としてペアリング => 再度ペアリング解除解除 => データ復旧でペアリング の流れに2時間は掛かるんですよね、自分の経験では。
Apple Watch Serise3 のストレージ容量とは...
- Appleサポートではどうのように案内されているのだろうか
- 容量不足で Apple Watch をアップデートできない場合 - Apple サポート
- Apple Watch を再起動しろ。
- データを削除しろ。
- ペアリング解除して、新しいWatchとしてペアリングして、アップデートが終わったらバックアップから復元しろ。
- 容量不足で Apple Watch をアップデートできない場合 - Apple サポート
- 他の人達はどうなのか?
- apple watch 容量不足 - Google 検索
- Apple Watch Serise3 の人はほぼほぼ漏れなく watchOS のアップデートに失敗しているのでは?という勢いである。
- apple watch 容量不足 - Google 検索
- Series3 はストレージ容量が 8GB ととても小さい...
再ペアリングしただけではダメ
公式のアナウンスでも書かれているように、再ペアリングする時にバックアップする時に、過去のデータから復元してしまうとストレージを古いデータで埋めてしまうため、容量不足でアップデート出来ない状態まで復元されてしまいます。
Xperia 10 ii はやっぱり諦めてみた... (AQUOS Sense5Gも諦めてみた)
Xperia 10 ii はちょっと操作感が重いな...
そもそも SoC が Snapdragon 665 というミドルレンジ(中の低モデル)なのでというのはあるが...。 Xiaomi とか OPPO とか Galaxy とかとかでもスナドラ600番台の低廉化モデルはあるのですが、それらを使った時の感覚よりも、Xperiaは重い感じがします。
夜中にYoutubeや尼プラを観たり、Twitterをダラダラやりながら音楽やニュースを聴く等という時には、まったく不満を感じないのです。
しかし、移動中にメールを読みながらマップで待合せまでの経路確認をしつつ、チャット対応したりするという、人間にも即応性とマルチタスクを求められるような状況で、デジタルガジェットにもたつかれると「おめぇー、仕事出来ねぇなー」というマッチョな価値観によってゴミ扱いされてしまうわけです。
これは、単にアプリを行き来するだけでなく、間で Authenticator でOTPをコピペして、Dashlaneでクレデンシャルをコピペしてという面倒な操作も含めて求められる操作性は割りとハードルが高いのです。
急いでいる!急いでいるのだよ!と言う時のプチフリはやっぱり我慢が出来ないものだ。
縦長で細身のボディサイズは握りの収まりも良かったし、独特のディスプレイサイズも1画面に収まる情報量の多さも面白かった。
それでも、この場面で Teams に Slack に返信出来ない/返信に時間が掛かる というのはもどかしさがある。 一つ一つの動作にもたつきがあると、トータル時間が掛かるっってなるのは我慢できなかった。
結局どの辺が良いのか?
4万円前後クラスのスマホで誰が強いか
- iPhone SE (5万円税込〜、キャンペーン狙いなら33千円もある)
- お高め予算超える訳だが圧倒的性能なのでディスプレイサイズに不満がなければ iPhone SE 最強なのである。
- SoC(CPU): Antutu 40万超え
- Felica / NFC
- 防水/防塵
- Qi 充電、USB PD 18watt充電
- 生体認証(指紋センサー)
- カメラは単眼だが写りは良い
- Apple Watch(モバイルSuica)対応
- お高め予算超える訳だが圧倒的性能なのでディスプレイサイズに不満がなければ iPhone SE 最強なのである。
- OPPO Reno 3a (実質 14千円税込くらいの割引きもある)
- Redmi Note 9T 5G
やっぱ値段相応の性能で、後はどこに自分の好みを振るかという感じだろうか。そもそもスマホに5万円出したら高いと思う年頃である。 しかし、やっぱりプチフリはイヤだとなると限られてしまうものだ。
鬼門は NFC/Felica で JPKIクライアントに対応しているかという点
↑↑↑このページの マイナンバーカード対応NFCスマートフォン(PDF) のリストに載っている端末でないとマイナンバーカードの読み取りアプリをインストール出来ない(または、インストールしても動かない)という地獄。これはもう闇と言って差し支えない。
これからのAndroidスマホの選定基準になると言って良いだろう。