脆弱性・脅威情報収集用の巡回サイト一覧やユーザ・偉い人向けの説明資料,また,手帳に挿んでいると便利なドキュメント類をご紹介します.
実際の調査対応に使うツールについては,こちら(Windows編)とこちら(Linux編)をご参照ください.
渦中のサイトや怪しい情報源に訪問するときは,TORブラウザなどを使うことをお勧めします.
(適宜更新中)
脆弱性・脅威情報収集
piyolog http://d.hatena.ne.jp/Kango/
ホットなセキュリティインシデントのまとめサイト.タイムリー.
運営しているPiyokango氏のTwitterもフォローしておくとさらに良い.
JVN http://jvndb.jvn.jp/ (2015/2/18までメンテとのこと)
公的に届出される脆弱性情報がまとめられるサイト.米NVDと情報公開時期の同期がとられているため,公的なものとしてJVNだけ見ておけば良い.
このサイトの情報を仕事に利用する場合,情報量が多いため,取捨選択のルールを事前に合意形成しておくことが望ましい.(本質的ではありませんが,セキュリティエンジニアは常に免責について考えておきましょう.)
Izumino.jp セキュリティトレンド http://izumino.jp/Security/trend.html
セキュリティに関するニュース・ブログ等の投稿をまとめたキュレーション.
個々のサイトを見に行かなくてもよいので便利.
secunia http://secunia.com/community/advisories/historic/
脆弱性情報を取り扱うコミュニティサイト.JVNの補完として.
ExploitDB http://www.exploit-db.com/
攻撃コードの有無を調べるためのサイトの一つ.
脆弱性があっても,攻撃コードが普及していなければリスクにはならない.
とはいえ,ここに公開されていないからといって,攻撃がないわけではないので注意.
KasperskyLab http://www.kaspersky.com/news
最近過激なレポートが多いので,話題に取り上げられがち.
日本語訳されないものが多いので,頑張って英語で読むしかない.
調査用サービス
VirusTotal https://www.virustotal.com/
ファイルやハッシュ値をアップロードすると,主要なマルウェア対策ソフトでスキャンしてくれる.
検索された情報はオープンになるため,攻撃者も見ている.利用には注意が必要.
Googleが運用.
URLVoid http://www.urlvoid.com/
URLが安全かどうかチェックするサイト.
これが安全という答えを返したからといって,安全なわけではない.参考として使う.
AbuseIP http://www.abuseipdb.com/
IPアドレスのネガティブ情報を調べるためのサービス.
誰でも情報登録できるため,信ぴょう性は怪しい.
IBM XForce https://exchange.xforce.ibmcloud.com/
IBM社が提供するインテリジェンスサービス。IPアドレスやURLの安全性などの確認が可能。
Spamhaus https://www.spamhaus.org/
同上.URLについては,PhishTankもおすすめ.
DomainTools http://whois.domaintools.com/
Whois.加えて,変更履歴調査などもできる優れもの.
有償版の購入についても検討の余地◎
Maltego https://www.paterva.com/web6/products/maltego.php
端末にインストールして使うタイプのストーキングツール.
FQDNから利用技術の推定や,類似悪性サイトの検索などに有益.
ipinfo https://ipinfo.io/
不審なIPアドレスを調査するときに利用。どの地域で利用されているかや、誰に割り当てされているかわかる
ハンドブック
SANS cheat sheet http://digital-forensics.sans.org/community/cheat-sheets
TCP/IP HeaderやASCIIコード,コマンド集などなど,A4紙両面に収まるサイズにまとめられた資料.何種類かあるので,気に入ったものを手帳に挟んでおくと便利.
咄嗟のパケット解析やバイナリ解析には,これがないと手が動かない.
読み物
honeynet http://honeynet.org/
ハニーネット運用者のレポート.最近は攻撃者もハニーネットを運用しているらしい.
産総研:セキュアシステム研究部門 http://www.risec.aist.go.jp/index-ja.html
認証や暗号化の仕組みなど,非常に分かりやすく解説されています.(ただし,技術者向け)
無線LANの暗号化のテクニカルレポートは一度読んでおいた方が良い.
その他
日経新聞 http://www.nikkei.com/
ここに載ると偉い人向けの説明が必要になると考えた方がよい・・・.
それなりの立場の方は,電子版を契約して,セキュリティ関連キーワードを複数セットしておくと良い.自動的に必要な記事を教えてくれる.
digitalattackmap http://www.digitalattackmap.com/
DDoS可視化ツール.ArborNetworkのDDoS緩和装置(シェア第2位)のログを集めて,
Googleが可視化してくれているサービス.
これが直接役に立つことはないけれども,表示していると,何となくかっこよい.
NorseAttackMap http://map.norsecorp.com/
攻撃可視化ツール.何となくカッコ良いシリーズ.
Internet Storm Center https://isc.sans.edu/
世界中のSIEM運用者の情報交換サイト.私は使っていません.
Antionline http://www.antionline.com/
ハッキング情報の交換サイト.普段は見ません.
企業情報収集
会社が実在するかなど,調査するときのサイト.
米国だとEdgarSearchを使い,日本だと東証を使う.
ソーシャルエンジニアリングはここを使うことが多い.
Web魚拓 https://archive.org/web/web.php
過去のWebサイトを保存してある.もみ消しはできないので,かくさず素直に謝りましょう.
Internet Scanner https://zmap.io/
Internet版のnmap.研究用.統計情報をとるときに有益.
検索キーワード
GoogleNewsやBaiduNewsなど,検索サイトのニュースを集めてくるときに便利なキーワード.
- 所属社名,グループ名,提供サービス名,業界名,略称など
- サイバー攻撃,ハッカー,不正アクセス,情報漏洩,不正送金,内部不正,セキュリティ,改ざん,盗聴,なりすまし,暗号,脆弱、フィッシング
- システム障害,システムトラブル,システム故障,サービス不能,サービス停止,システム停止,システムエラー,システム異常,異常停止
- 黑客(ハッカー),攻击(攻撃),攻打(攻撃),殴打(攻撃)
- Cyber attack, Hack, Data breach, Data leak, Fraud, Internal job, Cyber security, Information security, Spoof, Sniffing, Phishing, Vulnerability, Cyber threat, DDoS, Anonymous