年の瀬

明日は大みそかということで、今年もはや年の瀬です。
最近、1年経つのが早い早い。おっさんから老人へ…。

サイバーセキュリティの世界では、言ってしまえばそう新しいことはなかったのですが、VPN機器やWebアプリの脆弱性、あるいはリモートアクセスのいい加減な認証（もはやID&PWだけ＝いい加減）を突かれて侵入→ランサムというコンボが猛威を振るった1年だったかしらと。

知らない間にランサムの暗号化から復旧するRDR(Ransomware Detection and Recovery)なんてソリューションもこっそり出てきてて、お客様に言われて初めて知るという恥ずかしさも体験したり。
EDR＋復旧というだけならもうSentinel Oneがあるじゃんとか、ランサムは暗号化もアレだけど、むしろ情報流出の方が影響デカいのにそこスルーしてんじゃんとか、色々言い訳しつつ、勉強不足（というかアンテナが足りてない）を痛感させられた次第でした。

今のところ、一部でも公開しているシステムにおいて、侵入＞ランサムコンボを確実に防ぐ方法なんてなく、来年もこれまで通り泥臭い対応が必要となるだろうな～と思います。

サイバーセキュリティ。名前だけはスマートなのにね。

Proton

 Protonって聞いたことありますか？

これ、ゲーム配信プラットフォームのSteamで有名なValveという会社が、Linux上でWindowsアプリを動作させるための互換レイヤーとして動くWineというツールをベースに、ゲームに特化して作ったものなのです。

これをLinux上(SteamOSか、Debian系に親和性が高そう)にインストールすることで、かなりのWindowsゲームソフトを高いパフォーマンスで動作させることが可能になるとのこと。

インストールは簡単で、パッケージマネージャからSteamをインストールするだけで、勝手にセットアップされます。

気になる互換性ですがかなり高いようで、ProtonDBを見ると対応しているか否かを確認できます。

私の知る殆どのタイトルは、問題なく動作する感じでした。

どうしてもゲーム前提だとWindowsが幅を利かせているのは事実ですが、Protonの今後の斑点次第では、脱Windowsも見えてくるのかも知れませんね。

年賀状

今年も例年通り遅れ馳せながら、年賀状を出しました。
無論今年も心を込めて、郵便局の「はがきデザインキット」＆「年賀状印刷(データ入稿)＆投函サービス」をば。（;ﾟ▽ﾟ）

個人個人にコメントを入れられないし、テンプレ感甚だしいと言われればそれまで。

ただ、文明の利器にあやかると工数爆減。これぞDX化というやつです。（違

そういえば、郵便局の年賀状印刷サイトで#Geminiで年賀状なるものが出てましたね。使いませんでしたけど。
「黒歴史爆誕という結果になった記事」もあったけど、Generative AIを駆使すると、それはそれで色々面白そうではありますよね。捏造だけど。

そうそう、過去にやっちゃったのですが、上記２つのツールを使用すると自分の住所はデフォルトでどこにも入らないという罠があります。

はがきデザインキットの文字のところで、自分で記入するのが吉というか必須。

＃ 2023年は失礼いたしました。＿|￣|○iii

wingetでpinを使う

 以前、「winget upgrade --allの威力たるや！」という記事でご紹介したwingetですが、管理者権限で実行してさらに-uオプションも付けておけば、殆ど全自動でフリーソフト等をアップデートしてもらえる超便利ツールです。

しかし、例えば「この仮想環境では、VirtIOをアップデートしたら壊れちゃうから上げたくない！」ということもあるかと思います。

※virtioの検索結果は以下の通り

> winget search virtio

名前                   ID            バージョン ソース
-------------------------------------------------------
Virtio-win-guest-tools RedHat.VirtIO 0.1.262-2  winget

このVirtIOを例として、その場合に使用できるpin機能について紹介いたします。

コマンドは至ってシンプル

winget pin --id RedHat.VirtIO

これだけ。

この設定を入れておくと、winget upgradeの時に、RedHat.VirtIOがスキップされます。

※pinしたパッケージもアップデートしたい場合は、--pinnedを付けます。

本当によく考えられたツールだなぁと思います。
いつの間にか大量になっているフリーソフトの脆弱性対策に、是非ご活用ください。

IPv6始めました

 冷やし中華的タイトルではありますが、かなりマニアック（専門的）な話題です。

今更ながら、IPv6デビューと相成りました。
外から中への通信制御（通す・止める）こともパケットレベルで確認済みです。

というか、NUROさんからレンタルしてるルータ、フィルタリング設定に凄い癖があって、ちょっと悩みました。

※以下、IPv6のフィルタ設定（「有効IPフィルタ」（日本語…）をON、「フィルタリング方法」が「ハイブリッド」の前提）の話で、IPv4はデフォルトのままという前提（内→外のアウトバウンド方向だけOK）です。

で、この「癖」ですけど、一言（？）でいえば、

「ステートフルのフリをしているけど、実は全然ステートフルじゃないやん！（ﾒﾟ皿ﾟ）」

というところ。

ファイアウォールにおいては一般的ですが、以下の２つのルールを設定するとします。

• アウトバウンド方向（内→外。NUROルータ的には「アップストリーム」）は全許可
• インバウンド方向（外→内。NUROルータ的には「ダウンストリーム」）を全拒否

※インバウンド方向のルールは、いわゆる、Cleanup Rule(s)ですね。

すると…インバウンド方向どころかアウトバウンド方向までIPv6通信が出来なくなります。(´・ω・`)

ここで、インバウンド方向のフィルタを削除すると、IPv6通信が可能になります。
※明示的に許可していないので、インバウンド方向の通信が出来ない点では一緒。

もちろん、フツーのファイアウォールなら、何事もなく想定通りに動きます。
通信セッションを監視して、パケットを通す通さないを判断している（＝ステートフル）だから当然ですね。

ところが、NUROルータはどうやらそうではなく、中ではステートレスなパケットフィルタが動いていて、implicit rules（暗黙のルール）で、Cisco様のACLでいう「established」な通信を通すようになっているのではないかと。

もちろん、明示的にestablishedなパケットを許可する・拒否することは出来ません。

これでもまあ実用的には…と思っちゃいがちなのですが、ステートレスなパケットフィルタを扱うことにおいて、不安(試してないので、あくまで不安なだけですが)は２つあります。

1. UDPにはセッション（コネクション）の概念がないので、establishedを使ったルールは書けません。となると、サーバ側はアウトバウンド方向のUDPをフルオープンにしておかないと、向こうはランダムでポートアサインするので通信できません。これは最小権限の原則に反するので、かなり嫌な感じです。
2. ちょっと深刻なのですが、ACKフラグを立てたパケットなら素通し（もちろん端末側で拒否するでしょうが、届くことは届く）ってことです。となると、TCP通信での「ACK flooding攻撃」が成立します。
   ※いきなりACKフラグが立っているTCPパケットを出そうと思うと、パケットをねつ造しないとできないですが、ねつ造が不可能というわけでもない…インターネットをまともに通るかは別ですが。

NUROの網側で、その辺守られてたら…いいなぁと思います。

この際、ルータは全スルーにして、その下でIX2105にでも任せようかな、とも思ったですが、そうするとこのルータのWifi機能で繋がる機器が危険に晒されるし、ルータそのものも危ないかも（IPv4でしか接続できないかもですけど）と思います。

悩ましいなぁ…。

移植（ほぼ）完了！＼(^o^)／

 ようやく旧サイトからの記事の移植が終わりました。

これから、旧サイトを参照している画像が隠れていないかなどをチェックしようかなと。

コメントは以下の2つの条件を満たすもののみ、本文に追記しました。

1. 自分が出したもの
2. 記事の補足になっていると思われるもの

---

そうそう、今年も親会社のCTF参加しました。60位と全く奮わず。(´・ω・`)

まあ、もうおっさんだしね。

最後なんか、PM11時頃にマウス持ったまま寝落ちしてたし…。(´・ω・`)

バイナリ関係はAIの支援も受けつつも頑張ってチャレンジして、どうにか解けたものもあったので、それは成長（？）なのかも知れないと思いました。

あんま勉強してないけど。

こういうサイトをみて勉強しないとなぁと思う次第です。

なんか毎年言ってる気もするけど。

https://x86re.com/

解析ツール(ディスアセンブラ、リバースコンパイラ)は最近、Ghidra一択です。

※あのNSA作なので、情報抜かれているかもだけどｗ

https://github.com/NationalSecurityAgency/ghidra

.NETだとこっちの方がいいかも。

https://dnspy.org/

GRN DATA Blogをこちらに移動します。

これまで、セキュリティおじさんを標榜（？）していた手前、セキュリティのお勉強（特にmod_security+OWASP)と趣味を兼ねてサーバを運営してたのですが…。

• 流石におっさんになってきて運用している時間がなくなってきた
• NUROに変えてポートフォワーディングが一切利かなくなった
  ※せっかくのIPv6も、公開することは出来ない…
• セキュリティよりAIの方が面白くなってきた！？

ということで、自前movable typeの運用をやめて、Google Bloggerでも使ってみようかなと

思い立った次第です。

あちらのサーバの公開も、12月末で終了予定（旧回線の契約が切れるので）です。

時間があれば、有用そうな過去記事くらいは移植しよう…と思いつつ、
そもそもお前、全く更新してないやんか！（ﾒﾟ皿ﾟ）という突っ込みもあり…。

まあ、今後はペースを落としつつ（これ以上！？）、のんびりやらせて頂こうかなと

考えております。m(_ _)m

でもまあ、なんか過疎ってる予感もするし、ここ、いつまで続くんでしょうねｗ

winget upgrade --allの威力たるや！

ご無沙汰してます。

色々ゴタゴタしてて、blogが絶賛放置プレイでした。（;´д`）～３

最近、powershellの7.5をインストールするために、初めてwingetを使用してみたのですが、これがまた、めちゃくちゃ強力でした。

管理者権限でpowershellないしはコマンドプロンプトを起動して、

winget list

とすると、wingetで対応しているインストール済みのパッケージの一覧が表示されます。

ここで、

「対応しているインストール済みのパッケージ ≠ wingetでインストールしたもの」

なのが、winget最大のポイント。

何といいますか、Linuxなどでdnfやaptやsnap、pacmanなどの一般的なパッケージマネージャーを普段嗜んでいる身からすると、パッケージマネージャーでインストールしてないソフトにも対応しちゃうというのは、ちょっと狂気にも近い機能なんじゃないの？と。(((;ﾟдﾟ)))<ｶﾞｸﾌﾞﾙ

で、実際に試してみました。

winget upgrade --all

そうしたら、GPU-ZとかCPU-ZとかHandbrakeとかMPC-BEとかCrystal disk infoとかVortexとか...絶賛放置だったもの41個が、一気にアップデートされてしまいました。（;ﾟ▽ﾟ）
勿論、動かなくなりました、というのもなく（全部は試してないけど）。

敢えて上げずに置いていたものもあるとは思いますので、パッケージ1個1個指定してアップデートするほうが理想的なのかもですが、拘りなければこの方法でドカーンとアップデートというのも悪くないなぁと。

是非、バックアップを取ってからお試しあれ。（弱気

JCBの規約変更の話

ここ最近、X界隈で話題になっていますが、クレジットカードのJCBで、少々厄介な規約変更があったとのこと。

https://www.jcb.co.jp/terms-and-conditions/index.html

上記ページにも記載されていますが、以下のように第三者への個人情報提供とのことです。

--------------------------------------------------------------------------------------------------------------------
【提供する情報】
復元できない暗号化を施したEメールアドレスおよび電話番号

【利用目的】
JCBまたはJCBが提携する企業の商品やサービス・キャンペーン等の広告配信およびJCBの公式SNSアカウント等を用いた各種案内

【提供先事業者】
・広告を配信する事業者（広告事業者、メディア運営事業者、Webサイト運営事業者等）
・JCBカードの利用に関連する各種案内の配信を行うSNS事業者等
--------------------------------------------------------------------------------------------------------------------

いやいや、勝手にメアドや電話番号を、わけわからん広告事業者とかに開示すんなや！
（ﾒﾟ皿ﾟ）<ゴルァ

という塩梅で、騒ぎになった様子です。

ただまあ、よく読んでみると「『復元できない暗号化を施した』Eメールアドレスおよび電話番号」とのことなのですよね。
そこで、なんとなく、これらの情報は何らかのハッシュ関数でハッシュ化されたもので、ユーザがこれらの値を広告業者のサイトに入力した際に、JCB/MyJCBのメンバーかどうか判定するために提供されているんじゃないの？と思った次第です。
※が、それが正しいと裏付けるものがない！ので、ちゃんとこの辺書いてほしいなぁと思います。説明とは相手が理解出来て説明なんじゃないの...と。（自分も出来てないけどｗ

で、一応JCBから第三者提供停止のための手続きのページが公開されています。

https://www.global.jcb/ja/policy/privacy/stop.html

「2025年2月28日（金）から受付可能」とのことなので、JCB/MyJCBをご利用の方で本件が気になる方は、ご留意された方がいいかもしれませんね。

Captchaには色々ありますが...

いわゆる人間かどうかテストであるCaptchaは、ロボットなどによるクローリング（Webページの情報を自動で取得する）を防止するための機能です。

このCaptchaは様々なタイプがあり、「次の中から○○を選べ」、「文字を読みにくく歪めたものを読んで入力しろ」、「ドラッグ＆ドロップでピースを嵌めろ」、「表示された英語のクイズに答えろ」等があるかと思います。

そんなCaptchaの亜種？として、こんな変なものを発見しました。

https://github.com/rauchg/doom-captcha

なんでも、A Doom(c) Based Captcha とのこと。

デモサイトがあるのでやってみると分かるのですが、難易度がNightmareな上、操作がWASDではないとこともあって、アホみたいに難しいです。
むしろ人間じゃない方がクリアできるんじゃね？みたいな。

まあ、色々あるなぁと思った次第でした。（;ﾟ▽ﾟ）

新年早々...

Windows系(Active Directory環境じゃなくても対象)で、LDAP Nightmareなる脆弱性のPoCがGithubに載ってますね。（;ﾟ▽ﾟ）

https://github.com/SafeBreach-Labs/CVE-2024-49112

CVSS v3.0で9.8(critical)の脆弱性なので、危険な脆弱性と言える感じですね。
LDAP(netlogon remote protocol)の脆弱性を悪用した攻撃で、いわゆるRCE（リモートから任意のコードを実行可能）です。
ただ、普通に構成された環境なら、外部から直でLDAPには届かないんじゃないかな？とは思いますが。

ともあれ、内部からの派生攻撃などに使われなくもないので、持っている人(組織)は早々に12/10にリリースされているパッチを適用するべきでしょうね。
詳細：https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-49112

新年あけましておめでとうございます。

新年あけましておめでとうございます。

旧年中は大変お世話になりました。
本年も宜しくお願い致します。m(_ _)m