忙しい人のためのセキュリティ・インテリジェンス No.37 - 2021/06/07
#忙しい人のためのセキュリティ・インテリジェンス_バックナンバー
今週のおすすめ/一言所管
差分プライバシーについてインプット
(二次情報) 米国国勢調査における「差分プライバシー」手法の導入をめぐる議論
(二次情報) プライバシーの経済学入門
Differential Privacy Bugs and Why They’re Hard to Find
ともあれ、プライバシーの確保が人権につながる、ということが徐々にわかってきた今日このごろ
間違ってそのときはretweetされるかもだけれども、そのときはそのときに事実と意見を切り分けて学ぼう
Microsoft
AzureAD
FIDO2 Keys and Hybrid Identities (2/2): On-boarding, Authentication and Monitoring
Kerberos TGTをプライマリリフレッシュトークンが含むため、仮にfido2 keysのパスワードレス認証でもゴールデンチケットは成立し得るよ、ってブログ
もっと細かい仕組みがこちら。今週読む
https://dirkjanm.io/abusing-azure-ad-sso-with-the-primary-refresh-token/
Journey to Azure AD PRT: Getting access with pass-the-token and pass-the-cert
そのための緩和テクニック
ローカルadminの付与をしない
LSAASプロセスを守るASRの作成 in Intune
MDfEでのthreat protection/real-time AVでの改ざん防止(tamper protection )
Azure Sentinelなどによるモニタリング
Azure Sentinel Fusion? これは複数フェーズに別れたattackをdetectするものっぽい
refresh tokenの失効プロセス
Introducing Azure AD access reviews for service principals
Service Principalのaccess reviewが可能に
Defender
Center for Threat-Informed Defense teams up with Microsoft, partners to build the ATT&CK® for Containers matrix #threatModel
azureとmitreが作ったコンテナスレッドメトリクス。というか、MDfE、コンテナホストに置いとくとコンテナ系脅威検知もするのか。知らなかった。すごい
Defending against cryptojacking with Microsoft Defender for Endpoint and Intel TDT
MDfEとIntel athreat detection techの連携で、機械学習を使ったCPU performance monitoring unit (PMU)メトリクスからクリプトジャッキングを検知する仕組み
Sentinel
How and Why to Use the Closed Classification Properly for Azure Sentinel Incidents
Sentinel (多分MDfEでも)でインシデントをクローズする時の分類について
Begning PositieはExpectedな結果でも通知がほしいときには選ぶのか...
Enterprise Scale Threat Hunting with Process Tree Analysis
Process Treeをwinword.exe, excel.exe, powerpnt.exe, acrord32.exeから作るクエリ
BreakGlassアカウントによるサインインをメールで通知
Log Analyticsをつかった緊急用アカウントの利用検知
Sentinelでもできるが、そもそもLog Analytics -> Sentinelへの連携にタイムラグがあるので注意
Compliance
Intune/Windows10
他
Exam SC-300: Microsoft Identity and Access Administrator
Microsoft Certified: Identity and Access Administrator Associateってのができたみたい。へー
Introduction to responding to your first incident
AWS
IAMユーザーのアクセスキー作成を簡単に通知して敏感になる
eventbridge全然チェックしてなかったけど、ルールセットがあるのか。
知らなかった。こりゃ便利....というのは間違い、でもボタンポチポチでイベントパターン作れて周辺サービスとすぐ連携できるのは便利
【実録】攻撃者のお気に入り API 10選
Classmethod社によるお気に入り10選
RunInstances, CreateUser, CreateGroup, CreateAccessKey, CreateKeyPair, CreateSecurityGroup, RequestServieQuotaIncrease, AddCommunicationToCase, CreateLaunchTemplate, CreateAutoScalingGroup, ModifyInstanceAttribute, UpdateAutoScalingGroup
dryrunは結構つかってるみたい。
Ingesting AWS Guard Duty findings to Azure Sentinel
AWS GuardDutyデータをAzure functionを使ってSentinelに送る
AWSのフランクフルトAZ障害、消火システム誤作動により入室遮断、復旧対応が出来ず
XSS in the AWS Console
ブラウザ攻撃テクは詳しくないので、全然わかってないが...
Elastic Beanstalkのchange historyに表示されたエラーから、AWSコンソール内にXSSをみつけたバグバウンティの話
CloudTrailのイベントで、上記の機能が要求するパラメタがnulだった
CSPで *.s3.us-east-2.amazonaws.com を許可してるのをみつけたので、自分でホストしたs3バケットからiframeをロードするHTML Injectionを実施
AngularJSを使ってるのを見つけ、,client-side template injection を実行できることを発見
template injection経由で任意のJSでXSS
AngularJSではsandboxが1.6で除外されたため、著者の1.8環境ではできた
これを応用してtemplateではなくHTMLをinject。これでCSPを突破できた
...という内容
Retrieving AWS security credentials from the AWS console
cloudshell上でaws コマンドをdebugモードで動かすと、http://localhost:1338 に/atest/meta-data/をGETしてることがわかるよ
なので、imdsみたく curl -XPUT localhost:1338/latest/api/token -H "X-aws-ec2-metadata-token-ttl-seconds: 60" でcloudshell上でaccessKeyID, secretAccessKeyを入手できるよ
How to implement SaaS tenant isolation with ABAC and AWS IAM
マルチテナントなときに、ユーザーがログインする際にstsにtenant_idを渡す
それによってroleは同じでもsessionは違うため、aws:PrincipalTag/TenantID がtenant毎にかわる
リソースにその条件を付与することで、テナントごとのアクセス制限を実現可能
Isolating SaaS Tenants with Dynamically Generated IAM Policies
awsのassumroleでsessionベースなpolicyを渡せたのか
それによってtenantごとに動的なポリシー制御が可能になる
どこかで試したい
Google
トラスト/ガバナンス
(二次情報) 米国国勢調査における「差分プライバシー」手法の導入をめぐる議論
LayerXのニュースレターより抜粋
差分プライバシーの効果およびリスク
効果: データ解析技術の向上やプロファイリングによって、匿名加工の効果が下がり、個人の再識別が可能になってきている。そのため、数学的にランダムなノイズを意図的に加えることで、匿名加工の効果を向上する期待がある
一方、データセットが小さい場合は(情報分析の?)精度が低下するリスクがある
原文: https://www.washingtonpost.com/local/social-issues/2020-census-differential-privacy-ipums/2021/06/01/6c94b46e-c30d-11eb-93f5-ee9558eecf4b_story.html
(二次情報) プライバシーの経済学入門
LayerXのニュースレターより抜粋
センシティブな情報が一般的な個人情報から導き出せてしまうこと -> 負の外部性
にもかかわらず、一般消費者は僅かな対価で自らの個人情報データを提供する
それがプライバシーの侵害につながる
ここら辺はこの本がおすすめ
負の外部性と提供のアンバランスさを解決するための3方式
パーソナライズされたピグー税
価格差別なしのオプト・イン同意規制
相関除去メカニズム: 信頼できる第三者がアグリゲータになる。情報銀行的な?
原文: https://www.boj.or.jp/research/wps_rev/wps_2021/wp21j10.htm/
Differential Privacy Bugs and Why They’re Hard to Find
ノイズの数が少なすぎても、多すぎてもバグがでるよ
少なすぎる場合: プライバシーが確保されにくくなる
多すぎる場合: データの正確性が犠牲になる
他にも機微性の計算ミスったり
統計値のバグなので、バグをキャッチするのが難しい
キャッチするには、テストも統計的アプローチ(statistical hypothesis testing approach)かプログラム分析(program analysis)を使う
今こそ考えるサイバー空間の「信頼」 ~クラウドセキュリティとゼロトラストネットワーク
プロの言語化は参考になる
特にマイクロソフトのやつ -> 攻撃に強いIT環境づくりのためのエッセンス
それをアイデンティティと証明書というミクロ?にブレークダウンした資料はこちら
アフターコロナのトラスト形成
ゼロトラストにおけるトラスト
PKI ~基礎と応用~ FHL
PKIに関する資料集(概要はない...)
PKIの基礎: 動向、署名者、署名検証者、認証局の信頼に関するまとめ
署名者/サブスクライバ周辺のコンポーネントに関する資料
リライングパーティ/検証者周辺のコンポーネントに関する資料
認証局の信頼・フレームワーク・保証レベルなどに関する資料
PKI応用したアプリケーションに関する資料
データ戦略タスクフォース(第7回) ベース・レジストリ検討状
日本国におけるデータ戦略における整理
重点対象は、マイナンバーを利用した個人の情報連携、法人、土地・地図、公共施設、法律等
ベースレジストリの運用パターンとシステムイメージ
まずはパターン3になりそうだな...
包括的データ戦略(案)のガイオウ
包括的データ戦略(案
他資料
トラストに関するワーキングチーム
プラットフォームの在り方
Data and AI for Government
AIビジネスにおけるデータ利活用
DSA/DATA-EXとデータ取引市場
デジタル時代における住民基本台帳制度のあり方に関する検討会(第1回)
住民基本台帳に関連する議論。議論項目の洗い出しが主か
デジタル社会における業務に応じたリスクアセスメント
ガイドラインへの適合から、分散化やクラウド化・ネットワーク帯域・可用性、リプレイス方法
データ整合性、住登外者の対応、DVなどの支援措置、世帯か個人か
OIDC SIOP
SIOP v2
SIOP Chooser(ユーザーのwallet選択)
WalletごとのカスタムURL登録 with RP
NASCAR問題h先送り
sub にdid利用。id tokenがdid docの鍵に署名あれることで、ウーザーがoPを制御していることになる
vp_jwt , vp_ldp vp_hash クレームの定義
FAPI WG Update
FAPI: CIBA Profile
FAPI: JWT Secured Authorization Response Mode for OAuth2.0 (JARM)
OIDCなしでAuthZエンドポイントからの署名付きレスポンス
他にも、Baseline/Advanced Security Profile, Attack Model, Grant mgt for OAuth2.0, Simple HTTP Message Integrity Procolが進んでいる
PAR, RAR, DPoPが参照されている
ブロックチェーン/Confidential Computing
GoTEE
ベアメタルなARM Systen On Chip用コンパイラ・ランタイム環境のTamaGo ベースでTEEを実現するライブラリ
FSecureってこういうのもやってるのね
脅威/脆弱性/インシデント
逆転敗訴した野村情シスがIBMに送った悲痛なメール、横暴なユーザーを抑えきれず
ITは投資であるとか、セキュリティは売上やユーザーの可用性が最重要であるという、ナイーブな意見から一歩踏み込んで、そもそも事業活動として別軸で両方やらなきゃダメで、優先順位はその上で調整しましょう、最終判断は経営ね、という時代になってきたのかと思う
Threat matrix for storage services #threatModel
ファイルストレージの脅威マトリクス by マイクロソフト
思ったよりシェアポによってなくていい感じ
[OWASP Japanの脆弱性診断士スキルマッププロジェクト
更新 https://github.com/OWASP/www-chapter-japan/blob/master/tab_skillmap_project.md]
脆弱性診断士のスキルマップが更新
コミット見るとスコープとか要件が新たに定義されてる
金融
注目集めるAI規制、米国の信用スコアに日本人が抱く違和感の正体
クレジットカード利用において、遅延なく支払いをしてきたかだけが問われる世界だ。債務を負ったことがない人よりも負ったことがある人の方が評価が高いと
用されている会社の性質や家族がどれだけ立派かといったことはむしろ勘案してはいけないタイプの情報と捉えており、その考え方が社会的にデファクト・スタンダードとなっている点は改めて注目されるだろう。同時に、自由な情報活用のイメージが強い米国においても、社会の信ずる均等の概念の前では丁寧な制度整備が行われていることは覚えておくべき事実である。
スコアリングにおいてどんな情報を、どのような用途で使ってよいかといったガバナンスへの議論を本格化すべきタイミングが迫っている。
(有料) 金融法制が支えるデータ取引所 政府「創設」明記へ
証券会社みたいなデータ取引所の創設に、政府が意欲
金融やヘルスケア、農業など様々な企業が持つデータの利用権の証書が、証券みたいにやり取りされる
デジタル庁管轄
が、一方で、内閣官房がやってる「データ戦略タスクフォース」のデータ主権から逆行してるように見える
結局、データの持ち主は個人のはずである
FAPI1の最終盤でacrは必須ではなくなってるとのこと
https://gyazo.com/6833e3a3f17e729346974657e8acc72a
行政/会社/団体
ウェブ関連技術の標準化推進団体「W3C」がブラウザー拡張機能の共通化に向け「WECG」コミュニティ立ち上げ
ツール/サービス/OSS
streampipe #streampipe
select * from cloud;
SQLを使ってクラウドの情報を取得
cloudqueryっぽいけど、こっちのがスター数多いな
Dependabot now supports Terraform 1.0
GitHubのDependabotがTerraform 1.0をサポート
同時にproviderやprivate registriesもサポート。朗報
Zoom CIS Compliance Scans
ZoomのCISスキャン
streampipe のプラグイン
sigstore/fulcio #sigstore #trust
SigstoreのWebPKI なのか!
証明書をOIDCメアドベースで発行し、20分のみ有効
おもしろい!
イベント/勉強会/発表資料
東大の数理・情報教育研究センターから基礎教材が無償公開
http://www.mi.u-tokyo.ac.jp/6university_consortium.html
数学からデータエンジニアリング、データサイエンスの応用分野入門など充実
入門ハンズオン CyberChef
CyberChefめっちゃ便利。最近お世話になることも減っちゃったな
東芝サイバーセキュリティ報告書
東芝グループにおけるサイバーセキュリティに対する取り組み in 2020
その他