Microsoft Exchange に関連した脆弱性および監査ログについてのメモ

メモURL

さらに今月に入ってMicrosoft Exchange Autodiscoveryの欠陥によって10万件におよぶクレデンシャル情報が漏洩していた可能性があることが報告されました。 この情報漏洩のメカニズムを理解するには、Microsoft Exchangeがサポートするメールアカウント構成情報の自動検出機能(Autodiscovery)の仕組みから説明していく必要がありますが、詳細は以下の研究者の報告や外部ソースをご参照ください。 Autodiscovering the Great Leak https://www.guardicore.com/labs/autodiscovering-the-great-leak/

Microsoft Exchange Autodiscover bugs leak 100K Windows credentials https://www.bleepingcomputer.com/news/microsoft/microsoft-exchange-autodiscover-bugs-leak-100k-windows-credentials/

研究者はこの欠陥を調査する過程で、今年の4月16日から8月25日の間に以下のような情報をキャプチャできたとしています。

・合計372,072件のWindows Domainのクレデンシャル情報 ・Outlook、モバイルメールクライアント、その他Exchangeサーバーと連携しているアプリケーションから漏洩した96,671件のユニークなクレデンシャル情報

これらの資格情報が収集できたドメインには、“中国市場で上場している企業、食品メーカー、投資銀行発電所、電力供給、不動産、配送とロジスティクス、ファッションとジュエリー”などが含まれているようです。 さらにこれらの情報はネットワーク上においてプレーンテキストで転送されるため、仮に攻撃者がネットワーク内でスニッフィングする技術を有している場合には、容易にドメイン資格情報を取得できる重要なセキュリティ欠陥だと主張されています。

研究者は組織や開発者がこれらのMicrosoft Exchange Autodiscoverリークを軽減するために使用できるいくつかの提案を提供しています。

Microsoft Exchangeを使用している組織の場合、ファイアウォールまたはDNSサーバーですべてのAutodiscover.(TLD)のドメインをブロックして、デバイスがそれらに接続できないようにする必要があります。 (研究チームは、アクセスルールの作成に使用できるすべての自動検出ドメインを含むテキストファイルを作成し、報告しています。前述のURLからご確認ください) ・Exchangeセットアップを構成する際に、組織は基本認証を無効にすることも推奨されています。これは、基本認証ではクリアテキストで資格情報を送信するためです。

富士急山中湖別荘地にみる山梨県の豪族政治

  • 令和3年7月5日朝日新聞 夕刊 (現場へ!)富士山麓はだれのもの:1 別荘地「貸せない」、山梨の乱:朝日新聞デジタル
  • ザックリ言うと
    • 山梨県山中湖村にある「富士急山中湖別荘地」の土地は山梨県保有している。
    • 「富士急山中湖別荘地」は、1927年から富士急行山梨県から賃貸借契約で借り受けている。
    • 富士急行は別荘地やゴルフ場を開発し、一般顧客に転貸してきた。
    • 山梨県住民訴訟で「賃料が不当に安い」と訴えられた。
    • 2020年11月10日、山梨県は訴えを受け現在の賃料は安過ぎると認め、原告・被告の主張が合致したとして和解(した?)。
    • 富士急行は、これまで安く借りられていたがいきなり値上げされることとなるため納得がいかないという状況。
  • 実はこの背景には...
    • 長崎光太郎 山梨県知事 VS. 堀内家(富士急) の対立の歴史がある。
    • 堀内光雄(故人)が山梨2区当選 => 自民党離党。
    • 長崎氏は郵政民営化の際の小泉純一郎からの刺客として送り込まれ、比例復活当選。
    • その後も、堀内詔子(岸田派)と長崎光太郎(無所属・二階派)として選挙を戦うなど...。
    • 2019年1月の山梨県知事選で長崎光太郎氏が当選し、県有地の賃料是正に乗り出した。
      • 2017年衆院選 岸田vs.二階の代理戦争の時点で、長崎氏は「県有地の賃料是正」は訴えていたが落選していた。
  • で、どういうこと?
    • 県が住民から訴えられた形は取っていたが、実際には長崎(山梨県)県知事による仕掛けで、富士急に賃料値上げを迫る企てだったということになる。
    • 実際、県有地を90年にわたって独占的に割安の価格で借り受けて稼いでいたことは批判を受けていた。

こうした山梨県事情が、朝日新聞の連載記事「現場へ!」で語られる事となる。

www.asahi.com

AWS Artifact を読むためのIAM設定

AWS Artifact を参照したいがどうすんねん...

AWS Artifact は、AWSコンプライアンス関連の情報を集約したポータルです。 このポータルサービスから、AWSを監査したレポート等々を参照することで、運用透明性などなどを確認し信頼に足るかを判断する事が可能です。

ただし、各種レポートを参照するにはNDA含む契約をする必要がある為、AWS Console アカウントを作成してログインする。

また、レポートによって個別の契約(BAA、NDA)が必要となるため、IAM権限を持つアカウントのみが AWS Artifact を利用する事が出来る。

レポートを参照するためのIAMポリシー設定

こちらのユーザーガイドにある通りです。

AWS Artifact での IAM 〜AWS Artifactユーザーガイド〜

  1. IAMポリシーを作成する
  2. Artifact用のグループを作って、上記ポリシーをアタッチする
  3. ユーザーを上記グループに所属する

レポートを参照するだけの権限を与えるポリシー例

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "artifact:Get"
            ],
            "Resource": [
                "arn:aws:artifact:::report-package/*"
            ]
        }
    ]
}

IAMポリシーウィザードを使って、実際に割り当てたポリシー

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": [
                "artifact:Get",
                "artifact:DownloadAgreement"
            ],
            "Resource": "*",
            "Condition": {
                "BoolIfExists": {
                    "aws:MultiFactorAuthPresent": "true"
                }
            }
        }
    ]
}

AWS Artifact へのアクセス方法

  • AWS Console にログインして Artifact にアクセスするだけです。
  • しかし、レポートを読むのは意外に面倒くさい

USBセキュリティキー Ubikey 5c NFC を使ってみる

Ubico Ubikey 5c NFC を使う

Google の強固なセキュリティ機能

  • landing.google.com
    • 高度な保護機能と 2 段階認証プロセスの違いとは
      • 2段階認証は、スマホのOTPアプリ/SMSまたは電話音声による確認コード/物理セキュリティキー の3つの内のどれかを2段階目として要求します。
      • 高度な保護機能は、 物理セキュリティキー のみを有効にします。
      • 高度な保護機能で何を守るのか?
        • アカウントへの不正アクセス(をブロックする)
        • 有害なダウンロード(をブロックする)
        • 3rdパーティ製アプリのアクセス判定の強化

で、これを実装する為には、物理セキュリティキーかスマホのU2F機能を使うかの2択になります。

強固なセキュリティ機能を使う場合、認証に使うデバイスが一つだとそれを紛失した時に自分のアカウントにアクセス出来なくなってしまいます。そこで、バックアップを用意しておく必要が出てきます。

認証デバイススマホを選んだ場合は、そのバックアップとして物理キーを用意しておく事が推奨されています。

Googleヘルプでは、Titanセキュリティキー/Yubico/Feitian のいずれかを進めているようです。support.google.com

  • Titan Security Key USB-Cのみ取り扱いアリ
  • YubicoAmazonでの取り扱いもあるので買いやすい
    • 安いのは青色のキーなんだけど、新しい方はNFC対応しています。
    • f:id:nginoza:20210507235722p:plain
  • Feitian の ePass FIDO は USB-A NCF のセキュリティキーはAmazon.co.jp での取り扱いがあるッポイ。
    • f:id:nginoza:20210508000230p:plain

Yubikey 機能比較

- セキュリティキーシリーズ Yubikey5シリーズ Yubikey 5 FIPSシリーズ
FIDO2認証 OK OK OK
FIDO U2F OK OK OK
FIPS 140-2認証 - - OK
WebAuthn OK OK OK
FIDO2 CTAP1 OK OK OK
FIDO2 CTAP2 OK OK OK
U2F OK OK OK
ICカード(PIV互換) - OK OK
Yubico OTP - OK OK
OATH-HOTP(イベント) - OK OK
OATH-TOTP(時間) - OK OK
Open PGP - OK -
セキュアスタティックパスワード - OK OK

Yubikey で何をしようか

Yubikey でやったことメモ

Googleアカウントに登録

  • 利用構成
    • Yubikey を使ったUSB物理キーとする方法
    • Smart Lock アプリを使ったスマホを物理キーとする方法
  • バックアップもしくは復旧
    • どちらかを持っていなければ終了

Microsoftアカウントに登録

GitHubアカウントに登録

watchOS 7.0 から 7.3 へのアップデートでハマってみた!!

Apple Watch Serise3 (GPS+Wifi) モデルの watchOS 更新にハマりました。

TL;DR 今北産業

  1. watchOS 7.3.3 にアップデート出来ない...。「容量が足りない...」とダイアログメッセージが表示される。
  2. Apple Watch のアプリやデータを削除するだけでは、ストレージの空き容量が増えない...
  3. アップルのサポートがアナウンスしている方法「ペアリングを解除してアップデートしろ」で更新出来るようになる。
    1. ペアリングを解除する。
    2. 新しい Apple Watch としてペアリングする。
      • バックアップデータから復旧してしまうと、またストレージ容量足りなくなります。
    3. ペアリングしてから watch OS 7.3.3 にアップデートをする。
      • この時にも「容量が足りない...」というメッセージで失敗するなら、Watch.app でダウンロードイメージの削除を試す必要がある。
      • この問題は、iOSのストレージ使用容量がドンドン増えていって、アプリやデータを削除しても開放されないというiOSのバグと同根の問題のようです。
      • 私は、ペアリング解除=>ペアリング の作業を3回繰り返してしまいました。マジ辛い...
    4. watchOSアップデートが成功したら、再度ペアリング解除してデータ復旧する。
      • WalletとApple Pay 以外は、設定やデータは復元されるのであまり手間はないと思います。

しかし、ペアリング解除 => 新規としてペアリング => 再度ペアリング解除解除 => データ復旧でペアリング の流れに2時間は掛かるんですよね、自分の経験では。

Apple Watch Serise3 のストレージ容量とは...

再ペアリングしただけではダメ

公式のアナウンスでも書かれているように、再ペアリングする時にバックアップする時に、過去のデータから復元してしまうとストレージを古いデータで埋めてしまうため、容量不足でアップデート出来ない状態まで復元されてしまいます。

  1. SuicaiPhone に移動する。
  2. ペアリング解除する。
  3. 新しいWatchとしてペアリングする。
  4. watchOS をアップデートする。
  5. ペアリング解除する。
  6. データを復元してペアリングする。
  7. Suica を Wallet に登録する(iPhoneから移動)。
  8. Quick Pay カードを登録する。

Xperia 10 ii はやっぱり諦めてみた... (AQUOS Sense5Gも諦めてみた)

Xperia 10 ii はちょっと操作感が重いな...

そもそも SoC が Snapdragon 665 というミドルレンジ(中の低モデル)なのでというのはあるが...。 Xiaomi とか OPPO とか Galaxy とかとかでもスナドラ600番台の低廉化モデルはあるのですが、それらを使った時の感覚よりも、Xperiaは重い感じがします。

夜中にYoutubeや尼プラを観たり、Twitterをダラダラやりながら音楽やニュースを聴く等という時には、まったく不満を感じないのです。

しかし、移動中にメールを読みながらマップで待合せまでの経路確認をしつつ、チャット対応したりするという、人間にも即応性とマルチタスクを求められるような状況で、デジタルガジェットにもたつかれると「おめぇー、仕事出来ねぇなー」というマッチョな価値観によってゴミ扱いされてしまうわけです。

これは、単にアプリを行き来するだけでなく、間で Authenticator でOTPをコピペして、Dashlaneでクレデンシャルをコピペしてという面倒な操作も含めて求められる操作性は割りとハードルが高いのです。

急いでいる!急いでいるのだよ!と言う時のプチフリはやっぱり我慢が出来ないものだ。

縦長で細身のボディサイズは握りの収まりも良かったし、独特のディスプレイサイズも1画面に収まる情報量の多さも面白かった。

それでも、この場面で Teams に Slack に返信出来ない/返信に時間が掛かる というのはもどかしさがある。 一つ一つの動作にもたつきがあると、トータル時間が掛かるっってなるのは我慢できなかった。

結局どの辺が良いのか?

4万円前後クラスのスマホで誰が強いか

  • iPhone SE (5万円税込〜、キャンペーン狙いなら33千円もある)
    • お高め予算超える訳だが圧倒的性能なのでディスプレイサイズに不満がなければ iPhone SE 最強なのである。
      • SoC(CPU): Antutu 40万超え
      • Felica / NFC
      • 防水/防塵
      • Qi 充電、USB PD 18watt充電
      • 生体認証(指紋センサー)
      • カメラは単眼だが写りは良い
      • Apple Watch(モバイルSuica)対応
  • OPPO Reno 3a (実質 14千円税込くらいの割引きもある)
    • スナドラ665 だが操作感は普通だしXperia 10ii より安い。
      • Felica / NFC
      • 防水/防塵
      • 生体認証(指紋センサー/顔認証)
      • カメラは3眼
  • Redmi Note 9T 5G
    • スナドラ700番台相当のSoCは魅力だが...
      • NFC / Felica は対応しているが...、アプリ配布側で対応している機種ではない
      • その他の機能については申し分ない

やっぱ値段相応の性能で、後はどこに自分の好みを振るかという感じだろうか。そもそもスマホに5万円出したら高いと思う年頃である。 しかし、やっぱりプチフリはイヤだとなると限られてしまうものだ。

鬼門は NFC/Felica で JPKIクライアントに対応しているかという点

↑↑↑このページの マイナンバーカード対応NFCスマートフォン(PDF) のリストに載っている端末でないとマイナンバーカードの読み取りアプリをインストール出来ない(または、インストールしても動かない)という地獄。これはもう闇と言って差し支えない。

これからのAndroidスマホの選定基準になると言って良いだろう。

追記: AQUOS Sense5g も諦めた

  • AQUOS Sense5g は AQUOS Sense4 の5G対応版で、価格もスペックも5G対応という以外はほぼ変わっていない。
    • 機能的には OPPO Reno 3a と同じで
    • しかし、