serasora

ここが変だよ、AADサインインログ - part2（誤ったUserPrincipalNameの使い方編）

AADサインインログとはAzure Active Directory（以下、AAD）の認証時に発生するログです。 AADの[サインインログ]から確認することや、 Azure Active Directoryの[診断設定]からログを出力させることもできます。本稿では[診断設定]で出力できる以下のログの中でもSigninLogsについて、 ”ログとしてここが扱いづらい！” という点をまとめていきます。 UserPrincipalName(UPN)とはUPNはActive

Microsoft Phishing観察記録_202110

漏らした資格情報へのアクセス試行の情報収集進捗Microsoftフィッシングサイトへダミーの資格情報を（敢えて）漏えいさせ、ダミーの資格情報に対してアクセス試行を行ったIPアドレスを収集しています。件数は111件、順調に増加しています。（前月比は調べればわかりますが現時点で価値があるとも思えないので次回以降記載することにします）公開しているIPリストは同IPであってもユーザーエージェントやOSが違う場合は別のインテリジェンス情報として登録していて、2021/10/1

serasora

2年前

4
ここが変だよ、AADサインインログ - part1（リクエストID重複編）

AADサインインログとはAzure Active Directory（以下、AAD）の認証時に発生するログです。 AADの[サインインログ]から確認することや、 Azure Active Directoryの[診断設定]からログを出力させることもできます。本稿では[診断設定]で出力できる以下のログの中でもSigninLogsについて、 ”ログとしてここが扱いづらい！” という点をまとめていきます。リクエストIDとはリクエストIDとは、AADユーザーの認証行為ごとに

serasora

2年前

2
Microsoft Phishing "非" 観察記録_202107~202109

前半はほとんど言い訳なのでお忙しい方は「前置きは置いておいて本題」へどうぞ。まずは言い訳時がたつのは早いもので前回更新してから2か月と少し経過しているわけですが、本業が忙しかったという言い訳を無しにしても（Blog更新の）モチベーションが落ちていたという事実は変えられません。現時点でも本業のWBSを作りつつ閑話休題としてBlog更新をしようと思い立っているわけでして、前向きじゃないモチベーションで書くのはどうかとも思いますが書いておきたいことができたので久しぶりに更新

serasora

2年前

ここが変だよ、AADサインインログ - part2（誤ったUserPrincipalNameの使い方編）

serasora

2年前

Microsoft Phishing観察記録_202110

4

serasora

2年前
ここが変だよ、AADサインインログ - part1（リクエストID重複編）

2

serasora

2年前
Microsoft Phishing "非" 観察記録_202107~202109

serasora

2年前

Microsoft Phishing観察記録_202106

まえがきこの記録はMicrosoftに関連するフィッシングメールかもしれないメールを受信してアクセスしてしまい、もしかしたらフィッシングサイトなのかもしれないと不安に思っている方にMSフィッシングサイトの”見た目”を情報提供するものです。また合わせてフィッシングサイトに認証情報を入力したあとにどのIPアドレスから攻撃を受けるのかを情報提供するものとなります。本稿で記載している内容は私個人による意見等であり、所属している組織には（以下略）フィッシングサイトにパスワー

serasora

2年前

1
Microsoft Phishing観察記録_202106

1

serasora

2年前
Microsoft Phishing観察記録_202105

対応自動化が進んでいる件やでも書いているようにPhishTankに投稿されたTargetBrand=="Microsoft"であるフィッシングサイトのURLを、できるだけ早期に確認してダミー情報を送信したく、最終的にこんな感じになりました。（仮にも設計を仕事にしてるんだからもうちょっときれいに書け）細かい構成や⑪からの悪性サインイン試行時の情報抽出は自動化part3としてそのうち書きます。 ⑪で検出したサインイン試行についてはアクセスログを一部情報除き公開します。

serasora

3年前

2
Microsoft Phishing観察記録_202105

2

serasora

3年前
Microsoft Phishing観察記録_202104

観察するにあたっての問題点昨年11月ごろから始めてみて少し期間も空いてしまいましたが、件数が少ないうえにすぐにテイクダウンされるPhishTankではいまの月一調査では追いつかない（なんだったら日次の調査でも追いつかない）ので、この2か月はPhishTankの調査をどうやって効率よく行うかを考えていました。詳細は以下を参照。 PhishTank調査を自動化したい - part1 PhishTank調査を自動化したい - part2 自動化の結果結論からいうと現時点

serasora

3年前

1
Microsoft Phishing観察記録_202104

1

serasora

3年前
PhishTank調査を自動化したい - part2

今月の目標前回に引き続いてですが ①フィッシングサイトのURLを取得 ②フィッシングサイトへのアクセス ③フィッシングサイトへ認証情報（正規の認証情報ではない、IDと環境は自分持ち）を入力 ④Azure ADへのサインイン試行の確認のサイクルを出来る限り楽にしたい、というのが本稿の目的となります。前回は①をLog Analyticsを使って実施しました。今回は②～③を自動化しておきたいので以下のようなコンセプトで要件定義します。・フィッシングサイトの生き死にが視

serasora

3年前
PhishTank調査を自動化したい - part2

serasora

3年前
PhishTank調査を自動化したい - part1

言い訳と動機今月は仕事がとても忙しかったので、 Microsoftのフィッシングサイトへのアクセスとその後のアクセス試行の調査が出来ていないのですが、こんな忙しいからこそ手軽に対応したいなあということもあり調査自体の自動化を行いたい。なにがしたい？通常であれば、 ①フィッシングサイトのURLを取得からフィッシングサイトへのアクセスをブロックする、アクセスがあったことを検出することが目的になりますが、私がブログを書き始めたのはアクセスした後の動向を実体験として（ログを

serasora

3年前
PhishTank調査を自動化したい - part1

serasora

3年前
Microsoft Phishing観察記録_202101

http://data.phishtank.com/data/online-valid.csv　からブランドがMicrosoftのものをいくつかピックアップしてフィッシングサイトにアクセスしていきます。画面例をいくつか記録しておきます。 [アクセス先その１] 読み込み（？）中。ただしこの間対象アカウントへのサインイン施行はなし。画面遷移せず。 [戻る]ボタンを押して再度パスワードを入力すると誤っていると表示される。何度か繰り返すと正規のWebサイトへ遷移。 [

serasora

3年前

2
Microsoft Phishing観察記録_202101

2

serasora

3年前
Microsoft Phishing観察記録_202012

前回作成した環境をもとに、http://data.phishtank.com/data/online-valid.csv　からブランドがMicrosoftのものをいくつかピックアップしてフィッシングサイトにアクセスしていきます。画面例をいくつか記録しておきます。いずれのサイトもいくつか気になる点はありました。・動作がもっさりしている・若干のUIの違いがみられるただしこれらを判断基準とすることは危険であるため、URLを直接打ち込んだり、ブックマークやパスワード管理

serasora

3年前
Microsoft Phishing観察記録_202012

serasora

3年前
Windows Sandboxのプライベートネットワークアクセスを遮断する

Windows Sandboxをご存じでしょうか。 https://docs.microsoft.com/en-us/windows/security/threat-protection/windows-sandbox/windows-sandbox-overview Windows 10で利用できるのですが、いくつか設定をカスタマイズすることが可能です。 https://docs.microsoft.com/en-us/windows/security/threat-p

serasora

3年前

1
Windows Sandboxのプライベートネットワークアクセスを遮断する

1

serasora

3年前

最近の記事

ここが変だよ、AADサインインログ - part2（誤ったUserPrincipalNameの使い方編）

Microsoft Phishing観察記録_202110

ここが変だよ、AADサインインログ - part1（リクエストID重複編）

Microsoft Phishing "非" 観察記録_202107~202109

ここが変だよ、AADサインインログ - part2（誤ったUserPrincipalNameの使い方編）

Microsoft Phishing観察記録_202110

ここが変だよ、AADサインインログ - part1（リクエストID重複編）

Microsoft Phishing "非" 観察記録_202107~202109

Microsoft Phishing観察記録_202106

Microsoft Phishing観察記録_202106

Microsoft Phishing観察記録_202105

Microsoft Phishing観察記録_202105

Microsoft Phishing観察記録_202104

Microsoft Phishing観察記録_202104

PhishTank調査を自動化したい - part2

PhishTank調査を自動化したい - part2

PhishTank調査を自動化したい - part1

PhishTank調査を自動化したい - part1

Microsoft Phishing観察記録_202101

Microsoft Phishing観察記録_202101

Microsoft Phishing観察記録_202012

Microsoft Phishing観察記録_202012

Windows Sandboxのプライベートネットワークアクセスを遮断する

Windows Sandboxのプライベートネットワークアクセスを遮断する