サイバーと言語の学習中 | Learning Cyber and Languages

サイバーセキュリティと外国語に日々奮闘しています

ランサムウェアについて思うこと(1)

Cybersecurity Study (5)

最近世の中を騒がしているランサムウェア。ランサムウェアをwikipediaで調べると、最初の段落には以下が出てきます。

ランサムウェア(英語: ransomware)とは、マルウェアの一種である。これに感染したコンピュータは、利用者のシステムへのアクセスを制限する。この制限を解除するため、マルウェアの作者が被害者に身代金(ransom、ランサム)を支払うよう要求する。数種類のランサムウェアは、システムのハードディスクドライブを暗号化し(暗号化ウイルス恐喝)、他の幾種類かは単純にシステムを使用不能にして、利用者が身代金を支払うように促すメッセージを表示する(スケアウェア)。個人情報をネット上に開示するという脅迫をともなうケースも多くみられる。

ja.wikipedia.org

まてまて、マルウェアとは何じゃい?て思う人もいると思います。マルウェアを調べてみます。

マルウェア (malware) とは、不正かつ有害に動作させる意図で作成された悪意のあるソフトウェアや悪質なコードの総称。コンピュータウイルスやワーム、トロイの木馬などが含まれる。

ja.wikipedia.org

 

英語だと、mal(マル)は「悪い」という意味の接頭辞です。ware(ウェア)はsoftware(ソフトウェア)のウェアです。要するに悪いソフトウェア。

ソフトウェアはコンピュータなどで使われるプログラムのことです。

ハードウェアは逆に、実際に手で触れるパソコンなどの機器です。

 

用語を一通り解説したところで、ランサムウェアに戻ります。

ランサムウェアは、繰り返しになりますが、ランサム(身代金)を要求するマルウェアです。企業や個人のパソコンやデータを暗号化して使えなくしたりして、「復号してあげるからxx円払え」と言ったような要求を出してきます。要するに、ランサムウェアは身代金が絡みます。

ランサムウェアに関しては、支払うのか、支払わないのか、という倫理的な話が出てきます。ドラマや映画で出て来る、誘拐犯やテロリストに払うと、そのような活動の資金源や犯罪の温床になるから、払うべきではない、でも人命が、、、のような身代金と一緒ですね。

そうです、一緒です。

 

サイバー犯罪者/攻撃者/脅威アクター/ハッカー集団など色々な呼び方がありますが、国家支援型サイバー犯罪グループというのもいます。このようなサイバー犯罪グループはAPTグループと呼ばれることが多いです。

APTグループ: 高度な技術で長期間にわたり標的を攻撃し続ける組織化されたハッカー集団のこと。

  • Advanced - 高度の意。ゼロデイ攻撃や高度なマルウェアを使います。
  • Persistent - 持続的の意。 数ヶ月〜数年単位で潜伏や継続攻撃を行います。
  • Threat - 脅威の意。国家レベルや大規模な目的を持ってこれらの攻撃が行われます。

国家支援型のAPTグループにはどのようなものがあるか、Google Cloudのサイトが見やすいと思います。

cloud.google.com

ただ、ここで一つ問題が。APT〇〇番、と覚えるのがとても大変。さらに大変なのが、会社ごとに名づけ方法が異なります。APTはMandiant(Google)、Microsoftは天気系の名前、CrowdStrikeは動物系などなど、様々あります。

  • Microsoft
    • Volt Typhoon
  • CrowdStrike
    • VANGUARD PANDA
  • Google(Mandiant)
    • UNC3236

いつかすんなり覚えられる日が来たら良いなあ、と思って勉強しています。

長くなりましたが、本日はここまで。

ロシア語勉強を始めてみた | 名詞の単数形と複数形

ロシア語の勉強方法 Как учить русский язык (3)

ラテン語起源の言語を1個喋れるのなら、中性名詞が加わるくらいなんてことないだろう、と思ったら、ロシア語はすんごい複雑でした。

あっぱれ。

名詞の種類 語尾 単数形の例 複数形の例 作り方
男性名詞 男性名詞は基本子音やйで終わる

журнал

(雑誌)

 журналы ыを加える
男性名詞 кやгで終わる場合

зонтик

(傘)

 зонтики иを加える
女性名詞 女性名詞は基本аやяで終わる

газета

(新聞)

 газеты аをыに入れ替える
女性名詞 каやгаで終わる場合

сумка

(鞄)

 сумки аをиに入れ替える
中性名詞 еで終わる場合

море

(海)

 моря еをяに入れ替える
中性名詞 оで終わる場合

письмо

(手紙)

 письма оをаに入れ替える

しかもこれは主格といって、いわゆる主語の用途で名刺が使われている時に限る変化。

~の(生格)、~を(対格)、前置詞と一緒に使われる(前置格)などなど、使われる位置や用途で形が変わります。

※生格は英語では所有格にあたる

 

頑張ります(。0。)

フィッシングメールについて (2)

短くても1日1記事、を目指していたのですが、早速止まってしまいました。。また今日から頑張ります。

Cybersecurity Study (4)

前回からの続きです。

cyberandlanguagelearner.hatenablog.com

Koceilah Rekouche(コセイラ・レクーシュ)の発言を訳します。

フィッシングの歴史は、1990年代半ばにまでさかのぼります。

この時期に、ハッキングソフトを用いた、膨大な数のユーザに対してのパスワード窃取詐欺がAmerica Online(AOL)上で行われました。

このようなソフトウェアの中で一番最初に登場したのは、私が作成した「AOHell」です。「phishing(フィッシング)」という言葉が生まれたのもこの頃です。

このソフトは、1995年1月から、パスワードやクレジットカード情報を自動的に盗み取る仕組みを提供していました。

ユーザーをだましてパスワードや情報を盗む行為自体は、コンピュータネットワークの初期から存在していたかもしれませんが、AOHellのフィッシングシステムは、一般公開された最初の自動化ツールでした。

私のプログラムは、それ以降開発された自動化フィッシングツールに影響を与えました。これらのツールはアマチュアでも利用可能であ、無数のフィッシング攻撃に利用されました。

1990年代後半になると、フィッシングの活動はAOLから他のネットワークへと広がり、インターネット上のプロ犯罪者にも関与するようになりました。

反抗的な若者がパスワードを盗むために始めた行為は、やがて個人・企業・政府に影響を及ぼす、最も深刻なコンピュータセキュリティ上の脅威の一つへと進化しました。

なんでコーネル大学のアーカイブにあるんだろう、と思って少し調べました。

ちなみに、コーネル大学はアメリカのNY州にあります。サイバーセキュリティの分野に大変力を入れていて、世界有数の強さとのこと。

 

また、世界初の大規模サイバーインシデントとされる、

1988年の「モリス・ワーム事件」を起こしたロバート・T・モリスはコーネル大学のコンピュータ科学専攻でした。

彼の父親のロバート・モリスは、ベル研究所、NSAで働いていたとのこと。

どちらが先かは分からないですが、コンピューターセキュリティでは超有名大学ということですね、知りませんでした。

 

モリス・ワーム事件の詳細はアンドリュー・スチュワートさんの「情報セキュリティの敗北史」に書いてあります。面白いです。

Bell–LaPadulaモデルの話もCISSP以外で見たの初めてで、興奮しすぎて電車の中で声を上げてしまいました。

 

この本はゆる科学コンピュータラジオで紹介されていて、堀本さんがすんごいおすすめしてたので買ってしまいました。

youtube.com

元々英語なので、海外で賞もとっている本のようで、外国のお友達や同僚とも話がはずむオススメ本だと思います。

フィッシングメールについて (1)

Cybersecurity Study (3)

最近フィッシングメールの話題が多いので、基本の情報を整理します。

 

フィッシングとは?

実在のサービスや企業をかたり、偽のメールやSMS(携帯電話のショートメッセージ)で偽サイトに誘導し、IDやパスワードなどの情報を盗んだり、マルウェアに感染させたりする手口です。

www.npa.go.jp

英語で書くとPhishing

Phishingであって、Fishingではない。どっちもフィッシングと読む。

昔からハッカーにはFをPHに変える習慣があったそうです。

  • phreak(フリーク、電話システムをハッキング・解析する初期ハッカー)
  • phreaking(電話回線ハッキング)

そしてもともとphreakは、phone(電話)+ freak(マニア・変わり者)を合わせたものだったらしいです。

なので、Phishing=ハッカーの釣り、ということで、要するに魚を釣るのではなくて、人の情報を釣るということです。

 

フィッシングメールの歴史

1990年代のから始まったらしいです。AOLというチャットサービスで確認されたのが一番最初らしいです。

AOL上で使われた最初の自動化ツール「AOHell」で人の情報を聞き出したと。

AOHellを作ったKoceilah Rekouche(コセイラ・レクーシュ)というアメリカで活動していた初期ハッカーの人の発言が、コーネル大学のアーカイブに保存されています。

arxiv.org

一旦今日はここまで失礼します。

EOSとEOSの話

Cybersecurity Study (2)

今日も立ち止まって考えるとちょっと分からなくなる(少なくとも自分には)をまとめてみます。

EoSといえば。

End Of Salesの場合もあれば、End Of Supportの場合もあるようです。

まあどちらも間違いではないんですけど、確かCISSPの時はSalesの方だった気がします。

でもどの道致命傷なのはEoLなのと、文字面を熟考していると本質を見失うこともあると思うので、今日はそれらのまとめです。

名称 何が終わるの? つまり? リスク
End of Sales(EOS) 製品の販売終了 まだサポートは継続される

使っても大丈夫
End of Support(EOS) 製品のサポート終了 セキュリティパッチや修正が提供されなくなる

危険高い
End of Life(EOL) 製品の完全終了(使用非推奨状態) サポートも販売も終了済み

×

アウト

 

小話の欄

それはそうと、最近眠くて夜勉強できない時があるので、疲れなのかな、と思い、富士薬品のリンゴ酢を飲み始めました。

今まで飲んだリンゴ酢で一番おいしい。

もともと富士薬品は結構好きなのです。

訪問販売は使わないけど、この薬は今まで飲んだお腹痛薬で一番効きました。ただ、結構苦いです。

ただ、自分は漢方も大丈夫なので、良薬口に苦し。

定義とコンセプトの話 | 外部からの公正な評価

Cybersecurity Study (1)

今日は当たり前にいつも思ってたけど、いざ考えるとなるとすぐ説明できないな、と思って自分で調べたことをまとめます。

お題は「外部から公正な評価を受けているかを確認する方法」についてです。

※AIを使って書いていますので、引用元がない場合もあります。

 

まず、サイバーセキュリティに関わらず:

自分たちの内側ではなく、外の人から見ても公平に評価されている

とはどういうことかを考えます。

  • 外部から → 社内や身内ではなく、第三者(顧客・専門家・評価機関など)
  • 公正な評価 → 偏りや不正がなく、正しく公平に判断されること
  • 受けているか → 実際にそういう評価が行われているか

ふむふむ。では、これをサイバーセキュリティでいうと、どういうことが該当するのか。

 

  1. 国際規格による認証(Certification)

    • 代表例:ISO/IEC 27001

    • 概要:情報セキュリティ管理(ISMS)の国際標準。認定された第三者機関による監査を通過すると認証取得。

       

    • 証明方法:ISO 27001 認証書(certificate)、認証機関のデータベースで検証可能

       

    • 認証機関の例:BSI Group、SGS、TÜV Rheinland(テュフ・ラインラント)

       

  2. 第三者監査による保証報告(Attestation)

    • 代表例:SOC 2

    • 概要:セキュリティ統制が適切に運用されているかを評価、独立した監査人(CPAなど)が報告書を作成

    • 証明方法:SOC 2 監査報告書(Type I / Type II)、NDAのもと顧客へ提示

    • 監査人の例:Deloitte、PwC、EY、KPMG

  3. 第三者によるセキュリティ監査(Audit)

    • 一般的な外部監査

    • 概要:独立した専門家・監査法人が評価、規制や契約に基づくことが多い

    • 証明方法:監査報告書、改善計画(remediation plan)

    • 実施団体:セキュリティ専門企業、監査法人、コンサル会社
  4. その他の証明手段(補助的)
    • 代表例:ペネトレーションテスト(第三者診断)、バグバウンティ結果、セキュリティ評価レポート(例:no-log監査)

一個ではなく、1.~4.の結果を組み合わせて示すことも多いようです。

ロシア語勉強を始めてみた | 簡単な自己紹介

ロシア語の勉強方法 Как учить русский язык (2)

ロシア語勉強してるんだよね~、というと必ず何か喋ってよ、と会話になります。

ロシア語に限ったことではないですが。

一番簡単な自己紹介をご紹介。

 

  • Меня зовут [名前].
    • 意味:私の名前は[名前]です
    • 読み方:ミニャ ザヴット [名前]
  • Я японка.
    • 意味:私の女の日本人です
    • 読み方:ヤ イポンカ
  • Я из  [出身都市] но живу в [今住んでる都市].
    • 意味:私は[出身都市] 出身ですが、 [今住んでる都市]に住んでいます
    • 読み方:ヤ イズ [出身都市]  ナ ジヴ ヴ [今住んでる都市] 
  • Очень приятно.
    • 意味:よろしくお願いします
    • 読み方:オーチェニ プリヤートナ

 

ちなみに、自分は古いやり方が好きなので結構ペンとノートに書いたりします。

お気に入りの文具

Pilot Rexgrip 0.7mm(黒)

Pilot Rexgrip 0.7mm(それ以外の色)

キャンパスのリングノート