セキュリティエンジニア向けマテリアル

More than 1 year has passed since last update.

脆弱性・脅威情報収集用の巡回サイト一覧やユーザ・偉い人向けの説明資料,また,手帳に挿んでいると便利なドキュメント類をご紹介します.

実際の調査対応に使うツールについては,こちら(Windows編)こちら(Linux編)をご参照ください.

渦中のサイトや怪しい情報源に訪問するときは,TORブラウザなどを使うことをお勧めします.

(適宜更新中)



脆弱性・脅威情報収集

piyolog http://d.hatena.ne.jp/Kango/

ホットなセキュリティインシデントのまとめサイト.タイムリー.

運営しているPiyokango氏のTwitterもフォローしておくとさらに良い.

JVN http://jvndb.jvn.jp/ (2015/2/18までメンテとのこと)

公的に届出される脆弱性情報がまとめられるサイト.米NVDと情報公開時期の同期がとられているため,公的なものとしてJVNだけ見ておけば良い.

このサイトの情報を仕事に利用する場合,情報量が多いため,取捨選択のルールを事前に合意形成しておくことが望ましい.(本質的ではありませんが,セキュリティエンジニアは常に免責について考えておきましょう.)

Izumino.jp セキュリティトレンド http://izumino.jp/Security/trend.html

セキュリティに関するニュース・ブログ等の投稿をまとめたキュレーション.

個々のサイトを見に行かなくてもよいので便利.

secunia http://secunia.com/community/advisories/historic/

脆弱性情報を取り扱うコミュニティサイト.JVNの補完として.

ExploitDB http://www.exploit-db.com/

攻撃コードの有無を調べるためのサイトの一つ.

脆弱性があっても,攻撃コードが普及していなければリスクにはならない.

とはいえ,ここに公開されていないからといって,攻撃がないわけではないので注意.

KasperskyLab http://www.kaspersky.com/news

最近過激なレポートが多いので,話題に取り上げられがち.

日本語訳されないものが多いので,頑張って英語で読むしかない.


調査用サービス

VirusTotal https://www.virustotal.com/

ファイルやハッシュ値をアップロードすると,主要なマルウェア対策ソフトでスキャンしてくれる.

検索された情報はオープンになるため,攻撃者も見ている.利用には注意が必要.

Googleが運用.

URLVoid http://www.urlvoid.com/

URLが安全かどうかチェックするサイト.

これが安全という答えを返したからといって,安全なわけではない.参考として使う.

AbuseIP http://www.abuseipdb.com/

IPアドレスのネガティブ情報を調べるためのサービス.

誰でも情報登録できるため,信ぴょう性は怪しい.

IBM XForce https://exchange.xforce.ibmcloud.com/

IBM社が提供するインテリジェンスサービス。IPアドレスやURLの安全性などの確認が可能。

Spamhaus https://www.spamhaus.org/

同上.URLについては,PhishTankもおすすめ.

DomainTools http://whois.domaintools.com/

Whois.加えて,変更履歴調査などもできる優れもの.

有償版の購入についても検討の余地◎

Maltego https://www.paterva.com/web6/products/maltego.php

端末にインストールして使うタイプのストーキングツール.

FQDNから利用技術の推定や,類似悪性サイトの検索などに有益.

ipinfo https://ipinfo.io/

不審なIPアドレスを調査するときに利用。どの地域で利用されているかや、誰に割り当てされているかわかる


ハンドブック

SANS cheat sheet http://digital-forensics.sans.org/community/cheat-sheets

TCP/IP HeaderやASCIIコード,コマンド集などなど,A4紙両面に収まるサイズにまとめられた資料.何種類かあるので,気に入ったものを手帳に挟んでおくと便利.

咄嗟のパケット解析やバイナリ解析には,これがないと手が動かない.


読み物

honeynet http://honeynet.org/

ハニーネット運用者のレポート.最近は攻撃者もハニーネットを運用しているらしい.

産総研:セキュアシステム研究部門 http://www.risec.aist.go.jp/index-ja.html

認証や暗号化の仕組みなど,非常に分かりやすく解説されています.(ただし,技術者向け)

無線LANの暗号化のテクニカルレポートは一度読んでおいた方が良い.


その他

日経新聞 http://www.nikkei.com/

ここに載ると偉い人向けの説明が必要になると考えた方がよい・・・.

それなりの立場の方は,電子版を契約して,セキュリティ関連キーワードを複数セットしておくと良い.自動的に必要な記事を教えてくれる.

digitalattackmap http://www.digitalattackmap.com/

DDoS可視化ツール.ArborNetworkのDDoS緩和装置(シェア第2位)のログを集めて,

Googleが可視化してくれているサービス.

これが直接役に立つことはないけれども,表示していると,何となくかっこよい.

NorseAttackMap http://map.norsecorp.com/

攻撃可視化ツール.何となくカッコ良いシリーズ.

Internet Storm Center https://isc.sans.edu/

世界中のSIEM運用者の情報交換サイト.私は使っていません.

Antionline http://www.antionline.com/

ハッキング情報の交換サイト.普段は見ません.

企業情報収集

会社が実在するかなど,調査するときのサイト.

米国だとEdgarSearchを使い,日本だと東証を使う.

ソーシャルエンジニアリングはここを使うことが多い.

Web魚拓 https://archive.org/web/web.php

過去のWebサイトを保存してある.もみ消しはできないので,かくさず素直に謝りましょう.

Internet Scanner https://zmap.io/

Internet版のnmap.研究用.統計情報をとるときに有益.

検索キーワード

GoogleNewsやBaiduNewsなど,検索サイトのニュースを集めてくるときに便利なキーワード.


  • 所属社名,グループ名,提供サービス名,業界名,略称など

  • サイバー攻撃,ハッカー,不正アクセス,情報漏洩,不正送金,内部不正,セキュリティ,改ざん,盗聴,なりすまし,暗号,脆弱、フィッシング

  • システム障害,システムトラブル,システム故障,サービス不能,サービス停止,システム停止,システムエラー,システム異常,異常停止

  • 黑客(ハッカー),攻击(攻撃),攻打(攻撃),殴打(攻撃)

  • Cyber attack, Hack, Data breach, Data leak, Fraud, Internal job, Cyber security, Information security, Spoof, Sniffing, Phishing, Vulnerability, Cyber threat, DDoS, Anonymous