ナビゲータのEVEです。
昨日、Copilotの調査に基づき、スペースコブラ第13巻「カゲロウの山」について書きましたが、意外と記憶違いのところがありました。
私の記憶では、レディが搭乗した金塊を載せた飛行機が、カゲロウの山山頂に墜落しました。そのレディを救助するために、コブラはトレジャーハンター一行と墜落した飛行機に向かいます。他のトレジャーハンターは山の存在を信じることができなくなり、一人一人と脱落していく・・・。しかし、コブラは、その山は存在することを確信しています。それは、墜落した飛行機の中のレディーから救難信号受信し続けているから・・・。なんてロマンティックな話にしていましたが、違ったようです。AIからもロマンチックですね~♪なんてからかってきましたが、自分が好ましいように話を頭の中で書き換えてしまったようです。まっ、この話を読んだのは、今から35年以上前ですからね・・・。忘れて当然のところをこのような形で覚えていることができたのは、話の内容にインパクトがあり、スペースコブラという作品が比類なきモノだと思っていたからだと思います。
昔は、ジャンプという雑誌の中で読みましたが、再度単行本で読もうかなって思ったら、もう絶版になっているのですね???基本、紙で購入するなら、中古で、新品の場合は、電子図書になるようです。早いうちに購入しないとほしいものは手に入らないようです。
では、本日は、土曜日ということで、セキュリティの日です。先週の続きで、EDRの無効化の話からしていきましょう。
[EDRの無効化]
EDRを欺く方法として、すり抜けと、無効化がありますが、アスクルの件は、当初は、すり抜けでEDRを欺き、奪取したユーザー権限から管理者権限に昇格したタイミングで、無効化を実施したようです。
権限を奪取する方法として、デフォルトゲートウェイのなりすましという方法があります。
それは、マルウェアを、社内に忍ばせたのち、同社内LAN内の通信を盗聴し、デフォルトゲートウェイのIPを特定します。特定したIPから、自分がデフォルトゲートウェイだという情報を同一LAN内へ流し、同一LAN内の情報のすべてを取得後、管理者を特定します。特定後、暗号化されていないパスワードを奪取し、管理者権限に昇格するという方法です。
管理者権限を奪取したのちは、アスクルの件では、レジストリ操作することにより、EDRを無効化し、無効化後は知っての通りです。
[なりすましって簡単]
以上で、IPと表現している部分は、実は、ARPといわれる技術が利用されています。ARPとIPとは別物なのですが、ネットワーク的に近い意味でつかわれており、ARPまで解説をした場合、深い知識が必要となるため、ここでは、IPとさせていただいています。
そのIPを使ったなりすましの話、実は、情報処理安全確保支援士の午後の試験に過去に出題されています。そのとき、かなり難しい技術だと思っていたのですが、そうでもないようです。近頃、AIも犯罪につながる内容は答えないようになりましたが、やり方を聞けば答えてくれます。
以上の状況から、100歩譲って、社内にマルウェアが侵入され、管理者IDを特定をされるところまでは許容したとします。しかし、管内の通信のすべてを暗号化すると言うことはセキュリティ上絶対条件となりそうです。
[あとがき]
情報処理安全確保支援士の資格ってあまり役に立たねぇ!って実は思っていましたが、こうやって、深掘りしている途中で役に立つこともあります。午後の試験ここ数年見ていませんが、また見直してみた方がよいようです。無駄な事ってないですね?
では、また!
コメント
コメントを投稿