テリロジー 「半公式」エンジニアブログ(仮)

株式会社テリロジー コンサルティング&ソリューション技術部

久しぶりの投稿

統括部長をしているY.Oです。
超久しぶりの投稿になります。

 

# 今日は軽いタッチで書きます。
# ご容赦ください。

 

立ち上げたまではよいが、いつの間にかインターネットの孤島になるブログが多い理由がわかりました。忙しい、に集約してしまえばそれで終わりの気もしますが、私は毎日Slackに駄文を書いているし、やっぱり非公式と言いつつ、オウンドメディアに何かを記すという面倒臭さがこ今の状況を生んでいるのだと思いま~す。今期はブログの投稿をします、みたいなメンバーが数名いましたが、どうですかね・・・。

 

ゴールデンウィークが終わってすぐ、例年より早く当部にも新人さんがやって来ました。新人さん、なんて書き方をしているうちはまだ「お客さん」。例年にも増してインテンシブなトレーニングをしていますので、早く環境に慣れてチームの一員として頑張って欲しいと思います。

 

当部のあるグループのキャッチワードは「ルーキースマート」。
ある本のタイトルと同じです。

 

これから若い皆さんはいろいろなストレスに直面すると思うのです。

・人に心を開くこと
・人と衝突すること
・自分の弱さとぶつかること
・逃げ出したくなること
・新しい事に挑戦しなければならないこと
・常識や通念との葛藤

 

今でも自分はこういったことがつらいこともあります。
特に最後のやつ・・・。

 

でも、ルーキーであることは武器です。

 

新人のくせに言いこと言うね、なんて偉そうな先輩はすぐに追い抜かしてやればいいと思いま~す。自分は似非体育会系みたいな、理解しがたい上下関係なんてクソ喰らえ(あら、お下品)だと思ってます。

 

「義理」というものは日本人の美徳のひとつだと思います。しかしながら、それを逆手に取り背徳の担保にするとか、自分の立場を守るために利用するとか、そういうのはやはりクソ喰らえだと思います(2回目)。

 

ま、すべてがうまく行きますように!

・・・頑張ります。

 

【Linux】仮想インターフェース設定

こんにちは、はじめまして。コンサルティング&ソリューション技術統括部の樋口です。

普段とは毛色を変えて、Linuxのちょっとした技についてお話したいと思います。

みなさんは、LinuxでLANに仮想インターフェースを割り当てるときにどのような方法を利用されていらっしゃいますか?

今回は、debian系のディストリビューションで仮想インターフェースを設定する方法を紹介したいと思います。

 

仮想インターフェース設定方法

通常、仮想インターフェースを追加する際は、/etc/network/interfaces へ下記の様に仮想インターフェースの設定を追記して、service networking restart コマンドを実行するだけかと思います。

 

auto eth3
iface eth0 inet static
 address 192.168.0.10
 netmask 255.255.255.0
 network 192.168.0.0
 broadcast 192.168.0.255

auto eth3_0
iface eth0_0 inet static
 address 192.168.10.20
 netmask 255.255.255.0
 network 192.168.10.0
 broadcast 192.168.10.255

しかし、これでは仮想インターフェースにIPアドレスは設定ができても、MACアドレスは実インターフェースのアドレスを共有していて、仮想MACアドレスをアサインする事ができません。

MACアドレスを指定して仮想インターフェースを作成するには、下記の様に「ip」コマンドを使用する必要があります。

 

ip link add link 実インターフェース名 address MACアドレス 仮想インターフェース名 type macvlan


実行例

ip link add link eth3 address 52:54:00:11:11:11 eth3_0 type macvlan

 ※上記例では、eth3 に eth3_0 の名前で MACアドレスが 52:54:00:11:11:11 のインターフェースを作成しようとしています

 

コマンド実行後に、仮想インターフェースにIPアドレスの設定をおこなえば、仮想MACアドレスを仮想IPアドレスを設定することが可能です。

 

 

 仮想インターフェース削除方法

 

設定した仮想インターフェースを削除するのには、設定した時と逆の手順にて削除する必要があります。

まずは、仮想インターフェースに設定したIPアドレスを解除します。

/etc/network/interfaces へ記述した設定の削除をおこないます。

 

auto eth3
iface eth0 inet static
 address 192.168.0.10
 netmask 255.255.255.0
 network 192.168.0.0
 broadcast 192.168.0.255

auto eth3_0                          ←削除
iface eth0_0 inet static          ←削除
 address 192.168.10.20         ←削除
 netmask 255.255.255.0         ←削除
 network 192.168.10.0           ←削除
 broadcast 192.168.10.255     ←削除

 

上記を削除後、service networking restart コマンドを実行し、IPアドレスを削除します。

削除後、仮想インターフェースにアサインしたMACアドレスを削除するため、下記コマンドを実行します。

 

ip link del link 実インターフェース名 address MACアドレス 仮想インターフェース名

 

 実行例

ip link del link eth3 address 52:54:00:11:11:11 eth3_0

 

実行後、ifconfig -a コマンドから、仮想インターフェースが消えていることを確認します。

 

みなさん、いかがでしたでしょうか?

案外、簡単に仮想インターフェースにMACアドレスを割り当てることができましたね。

この内容が、みなさんのお役立ていただければ、幸いです。

それでは、失礼いたします。

 

今度はPetya / GoldenEye

こんにちは、セキュリティチームの石田&山内(やまうち)です。

 

WannaCry騒動が収束しないうちに、またランサムウェア騒動が起きてますね。

 

まだ一般的な名称が確定してませんが、とりあえず当ブログはBitdefenderさんの「GoldenEye」という名称で記載します。

 

どのようなランサムウェア?

ベースになっている「Petya」はファイルではなくディスクを丸ごと暗号化するタイプのランサムウェアの亜種で、昨年から観測されています。

「GoldenEye」はWannaCryと同様に「MS17-010」を悪用して感染が拡大する様です。

 

サンドボックスに放り込んでみた

詳細は解析中ですが、とりあえず入手したサンプルをサンドボックスに放り込んで挙動を見てみました。

 

GoldenEye f:id:teriwriter:20170628133428j:plain

うーん、「Petya」みたいにMBR書き換えを観測できませんが、ディスク情報読み込んだり、暗号化API叩いたり、再起動したりと怪しい。

Petyaf:id:teriwriter:20170628133436j:plain

一方「Petya」はMBRを書き換えていることが解ります。

 

対策

感染拡大の手法自体WannaCryと同様みたいなので、パッチの適用とFWやIPSで外部からのSMBをブロックするのが一番確実です。

当社も使っていますが、モバイルPC+USBドングルでインターネット接続する場合は必ずパーソナルFWやホストISPを使いましょう。

  

検体情報

  • GoldenEye

  MD5 : 71b6a493388e7d0b40c83ce903bc6b04
  SHA1 :  34f917aaba5684fbe56d3c57d48ef2a1aa7cf06d

  • Petya

  MD5 : af2379cc4d607a45ac44d62135fb7015
  SHA1 : 39b6d40906c7f7f080e6befa93324dddadcbd9fa

 

さすがに、サンドボックスだけでは再起動後の挙動までは解らないので今日はココまで

もう少し解析してから、改めて続きを書こうかと思います。

 

それにしても、このランサムウェアはPCが2台無いと身代金が払えないですね。。。

 

それでは

どうすりゃいいの?WannaCry

はじめまして、セキュリティチームの石田&山内(やまうち)です。

 

世間を騒がせたランサムウェア「WannaCry」について遅ればせながら書きます。

旬は過ぎてしまいましたが、代わりに挙動や危険性についてではなく、一般的なセキュリティ製品でどうやって対策する(出来る)のか?という観点で行きます!

 

とは言え、まずはおさらいです。

 

1.感染経路と手法

 既報の通り、感染経路は2パターンとなります。

 メール

 一般的なランサムウェアと同じく、添付ファイルやリンクを利用して

 ダウンローダーを実行し本体をダウンロード、実行させる手法です。

 誤って実行してしまうと、後述のSMBv1の脆弱性を悪用し感染します。
 ※WannaCryに関してはこの手法はほとんど使われなかった模様です。

 SMB通信

 通常のランサムウェアと異なり大きな被害が出たWannaCryの大きな特徴で

 SMBv1の脆弱性を利用して感染&拡大を行うワーム機能があったため、

 ここまで被害が急拡大したとも言えます。

 言い方を変えると、脆弱性が残った状態でSMBv1による通信が出来る状態なら、

 ユーザー操作と関係なく感染してしまいます。

 

 ちなみに、今回は感染拡大に凝った処理が入っており、

 今回問題となった「MS17-010」の脆弱性を悪用した侵入だけでなく

 「DoublePulsar」と言われるバックドアツールも利用して感染します。

 

【注意】

 以降はセキュリティ製品ごとに出来る事・出来ない事を記載しますが、

 最優先で行うべき対策は脆弱性自体を塞ぐ「修正パッチの適用」であり、

 あくまでも対処療法である事を理解する必要があります。

 

2.エンドポイント系

EPP:Endpoint Protection Platform

・侵入・感染

 シグネチャさえ対応していれば、侵入時に検知・ブロックが可能

・感染拡大

 侵入時にブロックできていれば感染拡大も防止

・駆除

 駆除自体は可能だが、暗号化されたファイルが復旧出来るかは別問題 

 

f:id:teriwriter:20170609202106j:plain

  「EPP利用時のイメージ」

 

EDR:Endpoint Detection and Response

・侵入・感染

 (あくまでも事後対応ツールなので)純粋なEDRの場合は検知不可

 ただしログから感染経路が掴める

 ※異常検知機能があれば、検知出来る場合有り

・感染拡大

 侵入・感染と同様だが、遠隔からSMB通信の無効化等の封じ込めが可能

・駆除

 EPPと同様に駆除自体は可能だが、暗号化されたファイルが復旧出来るかは別問題

 

f:id:teriwriter:20170609202100j:plain

EDR利用時のイメージ

 

Personal FireWall

・侵入・感染

  SMBをブロックしていれば、SMB経由の侵入をブロック可能だが現実的ではない

  代わりにSMB通信先を制限(ファイルサーバのみ許可等)によりブロック可能

  メール経由については、ブロック不可

 ・感染拡大

  侵入・感染と同様に、SMB通信先を制限する事で許可サーバへの感染以外は

  ブロック可能

 ・駆除

  不可

 

f:id:teriwriter:20170609202056j:plain

 「Personal FireWall利用時のイメージ

 

Host IPS

・侵入・感染

 「MS17-010」を悪用するトラフィックを検知できるフィルタがあれはブロック可能

 メール経由の場合は、内部通信も監視対象であれば感染をブロック可能

・感染拡大

 侵入・感染と同様に検知できるフィルタがあれはブロック可能

・駆除

 不可

 

f:id:teriwriter:20170609202053j:plain

 「Host IPS利用時のイメージ

 

3.ネットワーク系

FireWall

・侵入・感染

 SMBをブロックしていれば、SMB経由の侵入をブロック可能

 設置場所を経由する通信しかブロック出来ないのでNW構成に依存

 メール経由の場合は、ブロック不可

・感染拡大

 侵入・感染と同様にSMBをブロックしていれば、SMB経由の侵入をブロック可能

 端末同士のSMB通信を制御出来るかについては、NW構成に依存

・駆除

 不可

 

f:id:teriwriter:20170609202049j:plain

  「FireWall利用時のイメージ

 

IPS

・侵入・感染

 「MS17-010」を悪用するトラフィックを検知できるフィルタがあれはブロック可能

 設置場所を経由する通信しかブロック出来ないのでNW構成に依存

 メール経由の場合、純粋なIPSではブロック不可

・感染拡大

 侵入・感染と同様に検知できるフィルタがあれはブロック可能

 端末同士のSMB通信を制御出来るかについては、NW構成に依存

・駆除

 不可

 

      TippingPointならWebからの

   ダウンロードを検知・ブロックが可能です!!

 

f:id:teriwriter:20170609202145j:plain

  「IPS利用時のイメージ

 

Sand Box

・侵入・感染

 一般的なSand Boxではブロック不可

 メール経由の場合は検知・ブロックが可能

・感染拡大

 侵入・感染と同様にブロック不可

・駆除

 不可

 

 Lastlineなら「MS17-010」を悪用するトラフィックを

 検知しRSTパケットによるブロックが可能です!!

 

f:id:teriwriter:20170609202138j:plain

  「Sand Box利用時のイメージ

 

 

いかがでしたか?

ベンダーによっては「対応してます」「止められます」としか

説明が無い場合もありますが、攻撃手法自組織の環境を理解しないと

正しい判断が出来ないことが理解いただけたかと思います。

 

それでは、またの機会が有れば!!

石田&山内(やまのうち)

久々の投稿です...

久々の投稿になってしまいました。

年末のご挨拶以来ですから...これは不味いですね。

 

当社の技術部門は第4四半期にどうしても仕事が集中します。営業ドリブンの会社ですので、我々は黙々と仕事をこなしていかなければなりません。第4四半期は大型開発があったり、まあ、いろいろと皆、勉強になった...かな?

 

今期はもう少し投稿数を上げていきたいと思います。

リーダーシップ&マネジメント研修

コンサルティング&ソリューション技術部の奥野です。

 

先週の水曜日にリーダーシップとマネジメントの研修をオフサイトで実施しました。
6時間半のインテンシブなトレーニングに12名が参加。

 

私は技術の現場から自然発生的に「ちゃんとした」リーダーやマネージャーが生まれる確率は1/100くらいだと思っています。その確率を飛躍的に上げようというのが、このクソ忙しい最中に研修を敢行した狙いです。

 

ちなみに小生が「ちゃんとした」マネージャかどうかはわかりません。
「ちゃんとしよう」とは日々、強く思っています。

 

リーダーというのは役割であり、持って生まれた才能だけでは務まりません。リーダーシップとは、組織において発揮されるなんらかの指導力であり、色々な形があるはずで、それは誰がいつ発揮してもよいものだと思います。

 

今回の研修では参加メンバーの真剣な眼差しに思わず背筋を正してしまいました。研修のあと、LINEやメールで感想を送ってくれた人もいます。これは嬉しかったですね。

 

この一年、C&S技術部のメンバーは本当にレベルアップしたと思います。責任者の顔がより明確になり、正々堂々と絶対に逃げない強いリーダーが若い層から現れました。あとはもっと意思決定を迅速にできるチームを作り上げないといけないと思っています。

 

・・・ということで、これが2016年最後の投稿になるかもしれません。

 

皆様、風邪など召されませぬようご自愛ください。
今年一年、お世話になりました。
来年もよろしくお願いします!!

 

 

プランニングポーカー

C&S技術部の江口です。

開発チームで、作業見積もりのためにプランニングポーカーをやってみました。

f:id:teriwriter:20161218014213j:plain

プランニングポーカーは、開発タスクの見積もりをゲーム感覚で行うためのツールです。やり方はとても簡単。用意するものはタスクの規模を表すカードだけ。

それを使って各タスクについて以下を行います。

(1) タスクについて、どの程度の規模と思うか各自カードを出し合う。
(2) 各自、なぜ自分がその規模だと思ったか、根拠を説明する。
(3) 上記(1)(2)を何度か繰り返す。今回我々は二度行いました。

 

規模を表す情報は、フィボナッチ数などを使うことが多いですが、我々はTシャツのサイズ(XS~XXL)を用いることにしました。

XSだと小規模、XXLはかなり大規模。

今回は白紙のカードに各自手書きでこれを書き込みカードを用意しました。それだと寂しいので、少しテープでデコレーションしましたが。

やってみた感想ですが、まあ楽しかったです。

興味深いことに、プランニングポーカーを進めていると、だんだんと出すカードがメンバー間で一致するようになっていきました。

これはカードを出した後にそれぞれがなぜこの規模だと思うか話し合うことがポイントで、話し合いを重ねることで段々規模に対する感覚が合っていったのだと思います。
うちの会社では、作業見積もりはエンジニアが一人で素案を作り、それをマネージャがレビューするという形がメインですが、エンジニアの性格によって出てくる見積もりには結構ブレが出てきます。

みんなで話し合うことで、より客観的な見積もりができたかな、と思います。
また、タスクを一つ一つ見積もって議論をするので、案件のタスクについての理解も深まりました。

プランニングポーカーはアジャイル開発ではよく知られたツールですが、わが社では初めての試みでした。
我々テリロジーC&S技術部は、これから新しい手法をどんどんと取り入れていこうと活動をしている最中です。これからもこうした新しい試みについて、このブログで紹介していこうと思っています。ご期待くださいませ。

C&S技術部
江口