「やめるってよ」というか、2019年9月からセキュリティエンジニアをやめてデータサイエンティストになりました。 振り返りとセキュリティ対する成仏の意味を含めたポエムになります。 いままでのキャリア 大手携帯通信会社（非IT業務） ↓ IT系中小企業（情シス→社内セキュリティ担当:SIRT/SOC） ↓ 大手製造業（社内セキュリティ担当→データサイエンティスト） セキュリティエンジニアをやめた理由 一言にセキュリティエンジニアと言っても様々な職種※があります。 私は世間一般的に情報セキュリティ部やCSIRT/SOCのような自社の社内向けセキュリティ業務全般を担当してました。 ※参考 https://www.liber.co.jp/knowhow/careerlab/se/002.html昔セキュリティエンジニアをめざしたわけ セキュリティエンジニアになりたいと思っていた一番大きな要素は、 技術的な興味と知識欲を満たしてくれるということでした。 自分が普段触っているPCやサーバがどのように動いているのか（CPUやメモリの動きや、プログラムがコンパイルされて動くまでの流れ、プロセスやネットワークのやり取りなど）、 知れば知るほど上手に使えるようになることに面白さを感じました。 今後様々なものがネットワークに繋がり便利になる一方で、セキュリティの問題が露呈し、 セキュリティエンジニアの需要が高まるだろうという市場の拡大にともなう人材不足（需要上昇）を視野に入れていました。 セキュリティエンジニアを辞めた理由 辞めた理由はいくつかありますが自分にとって大きいものは以下になります。 面白い（興味がある）部分と企業が求める部分とのギャップ 目指した理由に書いたとおり、技術的な面白さが好きでセキュリティエンジニアになったわけですが、 実際になってみると、認識が甘かったと痛感しました。 セキュリティエンジニアへの需要が増えることは予想通りだったのですが、 増えた需要は「企業内の情報セキュリティの事故が起きないようにする・起きても対応できる（最小化）ようにする」ことであり、 社内のセキュリティのIT技術力を上げることは「手段の一つかもしれないが目的ではない」というところです。 もっと言うと、日本の普通の企業はサービスや製品の脆弱性を見つけるエンジニアは不要であって、 会社全体のセキュリティを高めれるような、何かあっても対応できるような人材を欲しているというところです。 実際、社内セキュリティエンジニア（SIRT)をしているときに、転職サイトに自身のプロフィールを公開したところ、 誰もが知っている大企業や、ビットコイン系やら、昔働いていた会社やら、複数の会社からオファーやメッセージが届きました。 ただ、上に書いたように私がもともとやりたい方向に近かった脆弱性を見つけるようなことは、 今の日本では自社でやっているところは非常に少なく、基本的にはセキュリティベンダでないと業務としてやるのは難しいです。 心理的安全性がない Googleの言うチーム間のコミュニケーションや雰囲気という意味ではなく、 いつセキュリティ事故が起きるかわからない（起きているけど気づいていない）というストレスに常に襲われていました。 そのため、事故の発覚が起きやすい連休明け前になると無意識にピリピリしていたように感じます。 事故も会社の規模や業態によって受ける被害は様々ですが、個人情報が流出したときの慰謝料や機会損失だけではなく、 工場などの古いPCが感染して生産ラインがストップすると日単位で数億円の損害が出るので、 事故発生時にはそれを自分がどうにかしないといけないという無意識が常時発生していました。 社員との対話が大変 セキュリティをやってみて一番以外だったのは、非常にコミュニケーション能力を求められるということです。 もちろんセキュリティ内の職種にもよりますが、社内セキュリティ担当は分業化されていることは少なく、複数の役柄を掛け持ちで少数人で回していることが多いのではないでしょうか。 そうなるとフォレンジックや侵入テストだけやれば良いなどはなく、社内ルールを決めたり、周知したり、どのように対策すれば良いか社員側と議論したり、 インシデントが起きたら正しく事象を把握するヒアリング能力などコミュニケーション能力がかなり求められる印象でした。 「今まで大丈夫だったし、なんの問題もないんだけど。」 「またセキュリティソフトが誤検知しているんですけど。」 こんな感じで仕事中は対話に時間と精神力が奪われていきます。 結局セキュリティは二の次 車の安全性を考えたときに、一番簡単な方法は"車を運転しないこと"ですが、 ただそれは不便で生活できません。 会社の運営も似ていてセキュリティを考えてあれこれ禁止にすると業務にならないので、なんとかするのも社内セキュリティエンジニアの仕事と思います。 ただPCを操作するのは社員なので、自分から安全装置を切ってスピード出して壁に突っ込んでも、その後処理や対策をこちらで考えないといけないのが辛いところです。 “運転しても事故にならないようになんとかしてよ。ただし運転するのは俺な。” こんなイメージです。 正直無理ゲー プロキシ入れようが、EDR入れようが、MSSを導入しようが、管理できない端末はたくさん出てきます。 業務や案件を盾に抜け道はいくらでもあります。 限りある予算と人員の中で可能な限りセキュリティを高めているのが現状だと思います。 社内のネットワークに勝手にRaspberryPiを繋がれたり、家のUSB,SDカードを悪気もなくPCに挿したり、 情シスに勝手に管理ソフトを入れられたくないからと故意にPCを登録しない＆セキュリティソフトを入れない。 訳のわからないソフトをインストールしてセキュリティソフトがブロックするも誤検知でブロックされたんだけど！と怒る。 PCの管理者権限を渡さないなどシステム的に禁止にもできますが、 会社全体の生産性を下げ、こちらも運用負荷が発生し、なによりも誰からも感謝されないのが辛いところです。 けれど何か問題が起きたら社内セキュリティ担当者が対応しないといけない。 技術的な部分よりも人間力が非常に求められる職種だったと思います。 データサイエンティストになりました そんなこんなで地方でセキュリティエンジニアを続けていくのはモチベーションとして難しいと判断し、 色々あってデータサイエンティストになりました。 なぜデータサイエンティストなのか/どうやってなったのかはここでは省きますが、 今は売上予測や、データの可視化などを行なっています。

概要 2018/07末頃から、佐川急便からの不在通知を偽ったフィッシングメール（迷惑メール）が送られ、メールを受け取った一部の人が、 メール内の偽サイト(フィッシングサイト)にアクセスし、自分の電話番号を入力してしまうという事例が発生しているらしいので、調査してみた。 偽の「佐川急便」SMSに新たな手口か–携帯電話番号を窃取 - ZDNet Japan ドメイン情報 まずドメイン（登録された偽アドレス）を調べて驚きだったのが、佐川急便のフィッシングサイトのドメインは一つだけではなく、他にも200弱のフィッシング用と思われるドメインが存在していた。 さらに驚きだったのが、このドメイン登録者は全部で300近くのドメインを登録しており、その中にはsoftbankやdocomo、auを装ったフィッシングサイトも登録されていた。 このサイトは2018年4月頃に話題になったsoftbankを装ったフィッシングサイトと同じ手法のサイトだった。 当時流行ったサイトの持ち主と同一人物かは不明だが、フィッシングサイトを複数持っていることはわかった。 IPとの結びつきを調べると、ドメイン数300弱に対して、IPは40弱ほど結びついていた。 佐川急便のドメインに絞ると、200弱のドメイン数に対してIPアドレスは20弱だった。 フィッシングサイトとして登録されたアドレスの殆どが●●●.comのドメインだった。 .comのドメイン料金は安くはなく、一つのドメインを登録するのに1000円弱かかるので、この登録者はこのフィッシングサイトのドメイン登録料に最低30万円ほど払っている計算になる。 また登録されていたIPアドレスはHiNetとという中国のホスティング会社のものであり、IP自体は台湾を示していた。 ドメインの登録頻度 この登録者名で登録されているドメインを集計してみました（左の数字がその日に登録されたドメイン数）。 一日に何十件も追加しているのがわかります。 # 2018/07/01から2018/08/10までの情報 32 2018-08-10 9 2018-08-09 10 2018-08-08 34 2018-08-07 23 2018-08-06 21 2018-08-05 1 2018-08-04 21 2018-08-03 20 2018-08-01 21 2018-07-31 18 2018-07-28 34 2018-07-27 1 2018-07-18 1 2018-07-17 2 2018-07-16 1 2018-07-13 1 2018-07-12 1 2018-07-11 3 2018-07-09 サイトの中身 トップページ(index.html) 偽サイトのトップページは本物のSAGAWAのトップページと見た目はほぼ同じ。 異なる部分としては問い合わせフォームの部分が微妙に異なるが、並べてみないとわからない。 本物のサイトとコードを比較 偽サイトは本物のサイトをそのままコピーして作成したようで、id名やclass名、コメントなどもそのままだった。 またサイト内の画像やcssファイルは本物のサイトを参照するようになっていた。 サイト内の一部リンクは、なぜか#(トップページ)に飛ばすようにしていたので、一部修正を加えている模様。 apkファイルのコメントアウト 本物のサイトとは異なり、apkファイル(アプリファイル)をダウンロードさせるようなコードがコメントアウト（動かない）されて記載されていた。これについては後で言及。

目的 ログファイルの意味を理解する。 インシデント発生時の参考用に作成。 環境 $ cat /etc/os-release PRETTY_NAME="Ubuntu 14.04.2 LTS" ログの一覧 /var/log/# tree . ├── alternatives.log ├── apt │ ├── history.log │ └── term.log ├── auth.log ├── boot.log ├── bootstrap.log ├── btmp ├── dmesg ├── dmesg.0 ├── dmesg.1.gz ├── dmesg.2.gz ├── dmesg.3.gz ├── dmesg.4.gz ├── dpkg.log ├── faillog ├── fontconfig.log ├── fsck │ ├── checkfs │ └── checkroot ├── kern.log ├── lastlog ├── monit.log ├── syslog ├── udev ├── ufw.log ├── upstart └── wtmp ファイルごとの意味 ファイル名 説明 alternatives.

経緯 自身のグローバルIPがSPAMHAUSのブラックリストに載ってメールが送れなくなった。 今後すぐに気づけるようにcronを作成。 コード [https://gist.github.com/aa6d9b7937415a29332f393aaa4362d6:embed#指定したipがブラックリスト(SPAMHAUS)に載ったらメールを送る] 指定したipがブラックリスト(SPAMHAUS)に載ったらメールを送る 環境 Linux系サーバを想定 。 mailコマンドでメールが送れること。 クーロン設定（定期実行） 以下コマンドで編集。 crontab -e # 30分ごとに確認 */30 * * * * /home/hoge/blacklist_ip_check.sh 注意 IPアドレスがブラックリストに載ったとき、それがcronを動かしているサーバ自体だとメールが迷惑メール扱いになって届かないかもしれない。 なのでサーバを分けるか、受信サーバ側で強制的に受け取る設定にする必要がある。

Docker上のcentosでgdbを動かそうとしたら、以下のようなエラーが出たので対応策のメモを書きます。 エラー内容 warning: Error disabling address space randomization: Operation not permitted Cannot create process: Operation not permitted During startup program exited with code 127. 原因 Dockerのコンテナ上で動くプロセスはそのままではptraceが使えないらしいです。 ptraceシステムコールは実行中の他のプロセスの動作をみたり、メモリーを書き換えたりできます。 straceやgdbはptraceシステムコールを使ってデバッグ機能を実装しているみたいです。 対応 コマンド 以下コマンドでdockerを起動します。 docker run -i -t --cap-add=SYS_PTRACE --security-opt="seccomp=unconfined" [CONTAINER_NAME] /bin/bash —cap-add=SYS_PTRACE と —security-opt="seccomp=unconfined”を追加しています。 注意 セキュリティレベルが低下するので、外部に公開された環境などで実施する際は注意しましょう。 その他 これでやっとCTF用の環境ができた。 参考 https://qiita.com/koemu/items/547e6e8d0043b815279e https://stackoverflow.com/questions/35860527/warning-error-disabling-address-space-randomization-operation-not-permitted/35860616 http://itchyny.hatenablog.com/entry/2017/07/31/090000

サイトにログインするときに、いつもブラウザがで自動で入力してくれていたので、 いざというときにパスワードがわからないということがよくありました。 「ブラウザには保存されているんだけどパスワードが●になって見えない。。。試しにコピーしても●になってしまう」ということを経験したことがある人は少なくないのではないでしょうか。 ●のパスワードを表示させる 環境 Chrome やり方 1. デベロッパモードを開く Windowsの場合：ctrl+shift+I Macの場合:cmd+opt+I 2. 選択モードにして●を選択 パスワードが入力されているフォームを選択 3. htmlからtype=“password"を探しtype=“text"に変更 typeをpasswordを探す typeをtextに変更 入力フォームのパスワードが見えるようになっている 感想 思いついて実際にやってみたらできた。 まさかこんなに簡単に見れるとは。 パソコンを人に貸したりしたときに 同じ方法でパスワードを超簡単に覗き見たりできてしまうので注意が必要ですね。 [asin:4797361190:detail]

正月に暇をしていたら迷惑メールが届いた。 時間があったので前回と同じく調査してみた。 今回届いたメール AmebaからUGGの広告メールという謎の組合せ。 Amebaドメインの信頼を利用してリンクをクリックさせる手口だろうが、逆効果だと思う。 毎回だけど「貴族の品質」が気になる。 メールヘッダ X-Mailer:⁨Foxmail 6, 13, 102, 15 [cn] Date: Tue, 2 Jan 2018 14:00:28 +0800 Raybanのなりすまし時と同じメーラ（「Foxmail」という中国産のソフト）が使われていた。 タイムゾーンも+0800なので、 今回も中国人の可能性がでてきました。 偽サイト アクセスする前に bit.lyの短縮URLにアクセスする前に、URLに「+」を追加してアクセス情報をみてみる。 私が調査したのがメールが送られてから４時間後であり、 その時点でこのURLにアクセスしたのが1400人弱ということがわかります。 サイトにアクセス アクセスすると、UGGのようなサイトが表示されました。 いくつかページを確認してみましたが、 Raybanのときのような日本語の違和感は感じませんでした。 注文を試みる 試しに注文の機能が使えるのか少し確認してみます。 注文する前にアカウントの登録が必要のようでしたので、 アカウントを登録してみました。 アカウント登録後、名前と住所・クレジットカード情報を入れて購入できるようだったので、 試しに適当なクレジットカードの番号（クレジットカードの広告に使われる無効な番号）を入力したところ、使えないクレジットカードということで登録できませんでした。 また、住所も適当な文字を入力しても文字数制限でNG。 予想と反して意外としっかりとした作りになっています。 マイページで購入履歴を確認できる機能があり、カードが無効だったので「declined（利用停止カード）」になっていました。 もう少し深く見てみる ページのhtmlコードを眺めていたら以下のような記述を見つけました。 display:noneでページ上には表示させていませんが、謎のリンクと画像ファイルの記述がありました。 网站流量统计系统 https://www.51.la 上記URLと中国語を調べたら、サイトへのアクセスを調べる中国のサービスでした。 このサービス自体は特に問題ないと思いますが、 偽サイト関係者が中国語を使う可能性が高まりました。 phpinfo 見えてしまった。 ここは偽Raybanのサイトも同じでした。 これ以上はやめておきます。 本当に危ないサイトなのか 見分けるポイント ①メールが怪しい amebaからUGGのセール情報が送られてくる時点で「？」となりました。 ※普通はUGGのセール情報はUGGドメインから直接送られてくるかと思います また、偽サイトの日本語は違和感がありませんが、肝心のメールの日本語が変でした。 ②SSLではない アカウント作成やクレジットカード情報入力時など常にhttpでした(httpsでない)。 この手のサイトはしばらくするとブラックリストにドメインが登録されてしまうため、ドメインやIPがコロコロ変わるためドメイン登録が難しいのだと思います（手間や費用やリスク？）。 ③診断サイトを使う サイトのURLを入力すると、危険なサイトか診断してくれるサイト。 これが一番手っ取り早いと思います。 今回のサイトを診断したら、「フィッシングサイト」の結果になりました。 最後 上記にも書きましたが、今回のUGGの偽サイトはRaybanの偽サイトよりも日本語の完成度が高く、ぱっと見で偽サイトかわからなくなっていた。 アカウント情報やクレジットカード情報の取得を目的としたサイトだと思いますが、注文機能はしっかりしているので、注文するともしかしたら商品がちゃんと届くかもしれないです。 Rayban偽サイトと手法やメールの文章、メールヘッダ、サイト構成が似ているため同じグループ・もしくは何かしらの関係がある者の犯行の可能性が高いと推察しました。