新年あけましておめでとうございます。毎年この時期に更新している「私の情報収集法(2023年版)」を今年も公開します。
■インプットで参照している情報源(海外)
ランサムウェア攻撃やフィッシング攻撃等、サイバー攻撃インシデントの多くでは、出し子、買い子、送り子といった犯罪活動の協力者などを除き、日本の警察に逮捕された容疑者はそれほど多くない事が、ニュース等の報道を見ていると分かるかと思います。海外から日本の組織が攻撃を受けているケースが多いと推定される中、自己防衛が重要であり、最近は脅威インテリジェンスを活用して攻撃の初期段階、初期兆候を重要視する企業も増えてきています。海外の主要セキュリティサイトの情報をいち早く把握する事で、脅威インテリジェンス並とまでは言えないかも知れませんが、国内サイトで報じられるまでの時差を稼ぐ事が可能になるケースもあり、当ブログでも有力海外ソースの発信情報をチェックする様にしています。
今年も絶対外したくない海外サイトからご紹介します。
サイト |
キタきつね寸評 |
1位
morningstar SECURITY
■「どう活用できるか?」が問われる
このサイトは掲載分野が広く、情報量が多すぎる面もあるので、自分の興味のあるカテゴリを中心に使う事がお勧めです。
|
今年も1位に挙げました。ジャンルの広さ、情報の更新頻度、関連ソースの網羅性など、英語系のセキュリティニュースとしては最良のまとめサイトです。
私は「Most Popular Security News(最も人気のあるセキュリティニュース)」(一番上)と「Security Blogs(セキュリティブログ)」(下から3つ目)、と「Security in Mainstream Media(主要メディアにおけるセキュリティ)」を主にチェックしていますが、人によって興味が違うかと思いますので、「Malware/APT」「Exploits」「Vulnerabilities」といったカテゴリー別の記事をチェックする使い方も出来るかと思います。
※NISTのNVD(NATIONAL VULNERABILITY DATABASE)をウォッチされている方は、「Vulnerabilities」に更新情報が出ていますので、こちらのnewをチェックされるのもお勧めです。
※Have I Been Pwnedサイトもウォッチされていて、ここを俯瞰しているとまだニュースになっていない”大型インシデント”の兆候が掴める時もあるかと思います。(こちらは「Threat Intel」に更新情報が出ています)
|
2位
Security Boulevard
■情報感度の高い貴方へ
海外情報を押さえた上で考える能力を伸ばすならこうしたサイトをウォッチしておくと良いかと思います。
|
実は去年まではランキングに入れてなかったのですが、当ブログの2022年引用海外ソース先を詳細調査した所、こちらのサイトが1位(※引用記事929)でしたので今年は2位としてご紹介いたします。
主要なインシデントや脆弱性情報が比較的早くカバーされている事もさることながら、調査データをベースにした深く考えさせられる記事も多く、個人の好みではありますが、記事に対する評価(★)の高い記事が多いのも特徴かと思います。
※ランキングから外していた理由は、1位で挙げた「morningstar SECURITY」のSecurity Blogsカテゴリでウォッチされているサイトだったからです。毎日記事をウォッチされる方であれば「morningstar」利用で十分ですが、たまに記事をウォッチされるのであれば(記事がすぐ流れてしまうので)、本サイトをブックマークされる方が良いかと思います。
|
3位
BleepingComputer
■効率で考えるならココ
効率的に海外情報を収集している方に(も)向いているサイト。記事タイトルを俯瞰する事で危なそうな記事を探し出す能力が鍛えられます。
|
こちらも外せないサイトです。当ブログの2022年引用海外ソース先を詳細調査では2位(※引用記事885)でした。記事の量が豊富で、署名記事が基本という事もあり、大きなセキュリティインシデントや脆弱性情報は大方取り上げらていますので、あまり多くのサイトを見ずに効率的に海外情報をウォッチしたい場合であれば、このサイトが候補上位に挙げられるかと思います。
※国内国外を問わず、セキュリティ関係の記事や講演における”ソース先”としてもよく名前が出てくる印象があるサイトですので、信頼できるソース先としてウォッチされている方が多い様に思います。
|
4位
Infosecurity Magazine
■英国視座を鍛えるならココ
米国発信の情報との差分を感じられる様になると見えてくる世界がある・・・カモ。
|
ここ数年必ず上位として挙げているのがInfosecurity Magazineです。去年も3位に挙げましたが、詳細調査集計で4位(※525記事引用)でした。
※infosecurity Magazineと言えば欧州最大級のセキュリティ国際会議+展示会のInfosecurity Europeを主催している事でも知られています。
イギリスに本拠地があるニュースメディアである事から、米国と欧州を俯瞰した様な記事や、英国や元英国領(オーストラリアやインド等)の情報も他のサイトに比べて多い様に感じます。
日本のセキュリティ専門家の方でこのサイトをソース先として挙げられる方はあまりいないのが不思議なのですが、英国の視座(ファイブ・アイズ)という事もあり、個人的にはお勧めなソースの1つです。
※”オーストラリア”の情報発信が気になる事が多々あるのですが、その際のソース先としてはこちらが多いです
|
5位
securityaffairs.co
■最も著名な個人ブロガー
欧州で最も著名なセキュリティ専門家であるPierluigi Paganini氏のサイトは掲載記事数こそ少ないものの毎日厳選された記事のみがUPされている事から、セキュリティ脳を鍛える事に向いています。
|
個人ブログとして欧州で有名なセキュリティ関連サイトの1つです。Pierluigi Paganini氏が単独で執筆しているのが信じられない程に、エスプリの効いた鋭い視点での記事が多く、『Best European Personal Cybersecurity Blog 2022』を3年連続で受賞しています。
記事の掲載数は他のサイトに比べてそれほど多くは無いものの、ブログのコンセプトである「Every security issue is our affair. Read, think, share … Security is everyone」の通り、記事を読んで、考えて、共有するを実践していく事で、1ランク上の世界が見えてくる気がします(※注:個人の感想です)。
|
RSSサイトとしての「morningstar SECURITY」が英語系の著名セキュリティサイトの多くをカバーしている事から、このサイトの更新情報をチェックしていれば、海外(英語系)サイトの一般情報は十分収集できるかと思いますが、サイトチェックに時間をかけられる方は、興味のある分野の記事を多く配信しているサイトの中で、配信頻度や記事内容(深さ)を元にいくつか補助的にウォッチリストに入れておくと良いかと思います。
(英語系を中心とした)海外ニュースに関してはTwitterが現時点では最も早く情報共有されている事を考えると、インフルエンサーやニュースサイト等をフォロワーに入れて情報をウォッチする事も有効かと思いますが、正直に言えば、欲しい情報が常にタイムラインに流れてくる様にはなかなかならないかと思いますので、普段からTwitterを使われている方以外は、こちらも補助的な情報収集方法として考えた方が無難かと思います。
※尚、キタきつねとしては海外情報は”朝一”に収集しています。米国や英国といった主要セキュリティ関連サイト(一般サイト)の情報発信タイミングを考えると夜~朝が情報の鮮度が良い気がしています。但し早朝にTwitter等で情報発信しても”誰も見ていない”独り言になる事も多いので、最近は人の多そうな時間帯に向けてタイマー投稿を仕掛けて”危なそうな”記事から順に投稿する様にしています。
上位5選以外のサイトもいくつか挙げておきます。
・HELP NET SECURITY
こちらも良く引用しています。こちらのサイトで良いと思うのは調査記事が比較的多く出てくる事でしょうか。またキタきつねのOSINT記事としては拾っていませんが、1週間の振り返り記事(Week In Review)もきちんと出ている事です。週次でこうした記事を流し見するという使い方もできるかと思います。
・DARK Reading
私は「morningstar SECURITY」がカバーしている記事タイトルをチェックしています。少し技術寄りの記事が多い印象で記事も少し他と毛色が違う記事が出てくる事もあり、詳細調査で引用数が多かった(※記事引用196)様です。
※因みにこのサイトよりも”もっと毛色が違う”感じで記事が出る頻度は低いものの、記事が出るとよく拾っているのが、カスペルスキーのブログ(※記事引用68)です。こちらも「morningstar SECURITY」がカバーしています。
・The Register
同じく「morningstar SECURITY」がカバーしている記事タイトルをチェックしています。英国の技術寄りのWebサイトで大きなインシデントが発生した際などの分析記事等には良記事が多い印象があります。
※他にも「The Record.」「The Hacker News」「DZone」「threatpost」「Information Security buzz」「BIOMETRIC UPDATE.com」等も良いソースです。情報収集されている分野や記事の”感覚”が肌に合えばフォローされても良いかと思います。(「morningstar SECURITY」が上記の半分くらいをカバーしていますので、そちらでテスト試読するのもお勧めです)
上記の情報サイト以外に、フォローしておくべきサイトを少し挙げます。
サイト |
キタきつね寸評 |
Krebs on Security
|
数々のスクープ記事を過去に出しているKrebs on Securityは個人的に外せないサイトです。Krebs氏は元ワシントンポストの記者で、2016年には当時世界最大級のDDoS攻撃(最大665Gbps)をこのブログが受けた(アカマイがギブアップした)事でも有名です。
13年を迎えた、こちらのサイトには多くのセキュリティ関係者が『コメント欄に』集まる事で知られており、Krebs氏の鋭い洞察もさる事ながら、大きな事件記事のコメント欄を読むと勉強になり、視野が広がるかと思います。
Krebs氏の調査能力には定評があり、特に米国での大きなインシデントが発生した際にはスクープ記事が出る事もあるので覚えておくと良いかも知れません。場合によっては攻撃者側にコメントを取って記事が出てくる事もあり、”プロがウォッチする”サイトの1つと言えるかと思います。
※尚、当ブログ名の「Fox on security」はKrebs氏のこのサイトにあやかってつけています。
|
Daily Dark Web *Twitter
|
脅威インテリジェンスサービスを利用していない方だと、DarkWeb上で流通している情報の入手が遅れる事が多いかと思いますが、一部情報に限られるものの、ランサムグループの情報掲載や、セキュリティ関係のガイドライン等、役立つ情報を毎日発信しているアカウントです。
※DarkWeb関連では、もう少し踏み込んだ情報発信しているサイトもあるのですが、少し危ないケースが出た(※アンチウィルスがサイトをブロックした事がある)ので、こちらをご紹介します。
|
Troy Hunt
|
去年同じですがHIBPをご紹介します。Troy氏はマイクロソフトのオーストラリア地区ディレクターが本職ですが、自身のID(メールアドレス)やパスワードが漏えいしてないかチェックできる、「Have I Been Pwned」(HIBP)を運営している事でも有名です。
一部のパスワード管理ソフトや海外企業の多くがここのパスワードチェックAPIを利用していて、”パスワードの延命”を支えていると言っても過言ではありません。
※無害化された漏えいパスワード辞書「PwnedPasswordsリスト」も無償公開してますので、会員サイト等の管理者の方は、侵害されたパスワード辞書(パスワード登録時の比較用)として利用/参考にされるのも良いかと思います。
Hunt氏のブログ(Twitter)はHIBPに新しいDBが登録されたコメントが出た場合、どこかで侵害事件が発生した(往々にしてニュースになってない)事を表しますので、インシデントを追いかけられている方はウォッチしておくべき情報源の1つかと思います。
※因みに、HIBPのサイトを少しスクロールされた所に、(Recently added breaches)とありますが、ここが最新の”漏洩”公開情報です。ニュース等で報じられてなく、突然ココに掲載が出る事もあります。
※「morningstar SECURITY」でカバーしています
|
※2022年2月末にロシアがウクライナ侵略を開始してから多くの方が気づいた様に、サイバー攻撃は紛争当事国だけでなく”国境を越えて”被害を及ぼします。英語や日本語だけでなく、例えばロシア語や中国語、韓国語といった、攻撃脅威アクターが利用している言語に近い情報ソースでないと、OSINT情報の分析精度は高くならなくなりつつあります。私は英語・日本語ソースで手一杯な所もあり、適切なサイトをご紹介できませんが、特定地域の情報を追いかけられている方は(釈迦に説法かと思いますが)攻撃をかけてくる国(母国語)の情報ソースをウォッチし、余裕があれば現地ソースの記事と英語記事との”差分”分析をする事で、見えてくる世界(裏事情)があるかと思います。
※現地ソースを追いかけるのが難しい場合は、先駆者(インフルエンサー)を見つけて、その方の普段ウォッチしているソースを”真似る”事が早いかと思います。例えばウクライナ情勢で防衛研究所の兵頭さんや、NTTのチーフ・サイバーセキュリティ・ストラテジストの松原さんらが発信している情報(テレビ等ではフリップの下側に情報ソース先が書かれている事があります)を追いかけると、参考になるかと思います。
※OSINTは非常に良い面もありますが、公開情報しか拾えませんので、より深い分析の為にはSIGINT・・・は軍や政府関係者しかできませんので、HUMINT(人を介しての情報収集)が重要かと思います。普段から情報交換ができる人脈を築く事、時間はかかりますが”よく知っている人”が身近にいれば、OSINTをする必要が無いかも知れません。
■インプットで参照している情報源(国内)
国内のセキュリティ関係の情報は、テレワークが主となり早朝のチェックを集中的に行っています。以前はスマホ+RSSで情報チェックをしていましたが、PCでのチェックが主体となっています。ここでは網羅性(大きな記事の見落とし)を重視してサイトを巡回しています。
サイト |
キタきつね寸評 |
1位
Izumino.jp セキュリティ・トレンド
■ココを見る癖を習慣づける
このサイトは情報量が多すぎる面もありますが、一般セキュリティ記事の大半は、ここを押さえておけば見逃す事は無いかと思います。
|
去年に引き続き、ここを最初に挙げます。国内セキュリティ関係の(一般的な)情報収集ではここを押さえておけば十分かと思います。
拾われてくる記事(情報量)が多いのは大きなメリットなのですが、反面大きなインシデントがあると、その話題で”埋め尽くされる”ので、毎日情報を収集される方でないと、その内面倒になって”見なくなる”可能性もあるかと思います。
海外まとめサイトの「morningstar SECURITY」はサイト別に記事タイトルが掲載されますが、ココは検索を上手に使わない限りは重要な記事であっても”流れて”しまいます。
じっくりと見る時間を作る、朝晩にタイトルを流し読みする、といった自分なりの「攻略法」を見つけると有効に情報を活用できるかと思いますので、巡回先に入れておいて欲しいソースです。
|
2位
マイナビニュース
■2022年国内記事引用数No1
海外記事の情報が比較的早くキャッチアップされている事もあり、ココのセキュリティ記事は侮れません。某記者さん、いつ寝ているのか?と心配になります。
|
去年はご紹介していませんが、当ブログの2022年引用国内ソース先を詳細調査では1位(※引用記事530)でした。
海外記事の翻訳記事を掲載するサイトはいくつかありますが、海外ソース先が自分とよく被っているのがコチラのサイトです。英語で記事を出来れば読みたくないと思われる方は、こちらを中心に記事タイトルをチェックする事で、比較的早く主要な海外ニュースを入手できるかと思います。
※日本語サイトでは珍しく土日祝も記事が出る事が多いです。また某朝●新聞や某日●新聞と違い、セキュリティ関係の記事は無償記事が多いのも良い点かと思います。
※海外翻訳記事は、The Registerの一部記事が出るScan Net Securityや、少し尖った記事が多いGigazine、本家では有償ですが日本語版は無償なWIREDもあります。
|
3位
ZD Net Japan
■ITインフラから海外記事まで網羅
海外セキュリティ記事(米国情報)のみならず幅広く情報を収集する事に向いたサイト。
|
こちらも去年ランクに入れておりませんでしたが、当ブログの2022年引用国内ソース先を詳細調査では2位(※引用記事364)でした。
セキュリティだけでなく国内のIT周りの記事も多いので普段から巡回されている方は多いかと思いますが、本家米国のZDnetの翻訳記事が多数掲載される事から当ブログでも重要なソース先となっています。
調査記事もさる事ながら、しっかりと”読ませる”記事が多く、セキュリティの知見を学ぶ上では良いサイトかと思います。
|
4位
piyokango氏のTwitter
■お勧めはTwitter
piyolog(ブログ)が有名ですが、Twitterアカウントの方がむしろ押さえておくべき”ソース”な気がします。
|
piyokango氏のブログPiyologは、多くのセキュリティ関係者がウォッチしていると思いますが、piyokango氏の真骨頂はTwitterでの情報発信である様に感じています。
特にTwitterでのインシデント関連のニュースリリース発信は国内マスコミより速い事が多く、その時点ではググっても出てこない情報を発信されている事もあり、普段からインシデント情報への感度が高い事がよく分かります。
夜中に発信している時もあれば、(お忙しくて)情報発信をほとんとしていない時もありますが、Twitterアカウント(@piyokango)をフォローしていれば、他のメディアよりも早く情報を入手できる可能性があるという点で、押さえておくべき”情報ソース”先かと思います。
※Podcastで辻さん、根岸さんらと配信している#セキュリティのアレや、日経XTECHで連載しているpiyokangoの週刊システムトラブルはセミナー以外でpiyokango氏の”見解”(意見)が聞ける貴重な場でもありますので、お勧めです。
|
5位
日経新聞
■押さえておくべき情報
多くのビジネス関係者が日常的にウォッチしている事から、知っているのが当然でもある情報をしっかり押さえておく為には、ここも外せません
|
2022年には、読者の皆様方のサポート(OSINT記事のサブスクリプション料)で日経の有償記事登録をした関係もありますが、当ブログの2022年引用国内ソース先を詳細調査では3位(※引用記事288)でした。
セキュリティ関係のスクープ記事という観点では朝日新聞(須藤さん)も捨てがたいのですが、良さ気な記事には有償記事が多い事もあり、幅広く情報掲載される日経の方を多く引用していた様です。
※朝日新聞が無償記事の閲覧を廃止した事に引き続き、日経も月10本だった無償記事閲覧を3本にしましたので、良い記事を得る為には対価(お金)が必要な時代になってきている事を感じます。
※当ブログのサブスク料金で多くの有償記事を買える様になるのが理想ではありますが、正直に言えばまだ”トントン”な状況なので、もう少し先になるかと思いますが、必要に応じて料金改訂も考えないといけないかと思っています・・・
|
※他によく見ているサイトはITメディア系の「TechTarget Japan」や「IT media」、や「日経XTECH」、「Security Next」、や朝日新聞、読売新聞、NHKがありますが、基本的なセキュリティ用語解説などの記事が多く出している「Canon-eset」や「ASCII.jp」も参考にしています。この辺は海外ソース同様に、自分の”好み”に合う発信サイトをいかに探せるかにかかっている気がしますので、Izumino.jp セキュリティ・トレンド掲載の記事を俯瞰して、ソース先を選定する事がお勧めです。
■インプットに使っているツール
テレワークでの仕事がメインとなり、自宅PCの前で作業する事が多くなったので、スマホ等のツールを使っての情報収集はあまりしなくなったのですが、休憩時間や外出中によく閲覧するのは以下のツールです。
サイト |
キタきつね寸評 |
Yahoo!ニュース
|
Yahoo!ニュースのテーマ設定でRSS的にニュースを拾っています。社会的に大きな影響があるニュースではオーサーや読者コメントを流し読みして、賛否両方の意見、あるいは参考ソースの情報を得る様にしています。
※セキュリティの話題に関わらず、OSINTでは極力中立的な立場で情報を収集・分析する事が重要かと思います。難しい事ではありますが、ウクライナ情勢で言えばウクライナとロシア双方の立場を理解できる様な情報を集める様に、同じ経路のソース(意見)ばかりを好んで読まない事を心掛けています。
※現在フォロー中のテーマは以下の通りです(2022年と変わってません)
※スマホでの情報収集では「SmartNews」もよく利用していますが、こちらはヤフーニュースの様にテーマ設定ができないので、サブソースとして使う事が多いです。
|
Twitter
|
Twitterは情報が早い(鮮度が良い)ので、多くの方にとっての情報収集は、「良質な情報発信をする方」をフォローする事ではないかと思います。
私の場合は、海外ニュースを多く見ているので、海外のインフルエンサーを探されている方などであれば、私のフォロワーが多少は参考になるかも知れません。(とは言え、これは私の”好み”でしかありませんので、同じ様な記事に反応するアカウントを探す事の方が、良いアカウントを探せるかと思います)
※キタきつねのTwitterフォロワー
|
TweetDeck
|
以前名和さんに教えて頂いたツールで、リアルタイムに情報を拾うのに、大画面+TweetDeck(キーワード登録)は有効だと思います。しかし、常に机の前に座っていて、2画面以上の(片面を潰しても良い)環境をお持ちの方向けと言えます。
※例えばDDoSをキーワード登録し、頻繁にTabが更新される=何か大きな事件があった兆候を掴むといった使い方も出来る様です。
※流し見用の画面を用意できるのであれば、キーワード(英語含む)の工夫やフォロワー次第では、いち早く情報を入手する事が可能かと思います。
|
調査によく使っている便利ツール
最後は、私が昨年よくお世話になった便利なツール類です。
サイト |
キタきつね寸評 |
Wayback Machine
|
サイト情報を過去に遡るという事を(無料で)実現できます。2022年も大変お世話になりました。
この巨大な魚拓サイトは、インシデント調査、あるいは事件リリース等を追いかける際に非常に重宝していて、このサイトが無いとカード情報漏えい系のインシデント分析は出来ないといっても過言ではありません。
|
SHODAN
|
このツールに限りませんが、Webに公開されている機器の脆弱性は、SHODANといった検索ツールで常時監視されていると言っても過言ではないかと思います。
攻撃者の手法として、平時に既に「●●社が使っている△ソフトのバージョンが1.00である」といった情報を集めていて、△ソフトの重大な脆弱性やエクスプロイトが出た瞬間に、既に調べていた『バージョン1.00』を利用していた企業リストに攻撃を仕掛ける、といった事をしている様な気がします。
こうした攻撃の進化に対応するには、ホワイト(防衛)側も、攻撃者が使うのと同じ(様な)ツールを使って自社/自組織の脆弱性を”定期的に”チェックする事なのではないかと思います。
|
DeepL
|
翻訳精度が非常に高いので活用できると、英語だけでなくあらゆる言語での読みこなしレベルが上がる非常に優秀なAI翻訳エンジンです。
海外サイトからの情報収集を行う上で、普段のWeb翻訳(記事の基本理解程度のレベル)はGoogle翻訳で十分かと思いますが、ここぞという文章の読みこなしにDeepLを使うと、より理解が深まるかと思います。
DeepLには有償版と無償版がありますが、5,000文字以下の変換であれば無償版でも対応してくれますので、小まめに5,000文字の英語文章を投げて翻訳するといった使い方も含めて、無償版を使いこなすと、仕事の質が高まる事は間違いありません。
※ただし、重要な注意点があり、DeepLの無償版は利用規約で、その翻訳データがビックデータ解析に使われる事を同意する事になってしまいますので、本当に気を付けて下さい。(情報漏えいの可能性もあります)
※会社の機微な情報の翻訳は「無償版ではしてはいけない」のであって、文章を匿名化してDeepLに投げるか、そうした際はやはり「有償版」を使うべき事にはご留意ください。
|
OSINT Framework |
OSINTツールについては、調査分野によって様々なツールが(主に英語で)出ていますが、色々ありすぎて、何を使ったら良いのか分からない事も多いかと思います。そうした方の為にFrameworkツリーを提供しているサイトがありますので、こうしたサイトを使って、自分の肌に合うツールを探してみるのもお勧めです。
※OSINTツールの紹介では、海外ソースとしてご紹介したDaily Dark Web(Twitter)でもたまに選定ツールを紹介していて参考になるかと思います。
|
話題のAIツール
(調査用という訳ではありませんが・・・)
|
2023年はより便利なAIツールが出てくると思いますが、2022年に話題となった以下のAIツールは大きな可能性を感じました。
■ChatGPT
専門性が”中”程度の方の原稿作成が作者不要になる時代はもうすぐ到来するかも知れません。簡単なセキュリティ用語の説明程度であれば、あまり違和感が無いレベルで作成できます。
■Stable Diffusion
素人写真家や絵師さんの将来が不安になるAI画像生成ツールです。Googleと同様にAIを賢く働かせるキーワードが重要になりますが、使いこなせるにようになってくると絵や写真のプロが不要になってきそうな気がします。
■AIピカソ
いらすとや認定のAIツール。素材サイトに関係する絵師さんに衝撃が走った事は間違い無いかと思います。元の画像があってこその世界ではありますが、2023年は優秀なAIツールによって、著作権という概念が希薄になる事は間違い無いかと思います。
|
BuiltWith
|
最後は特定サイトで使っている技術を分析するbuilt withです。
カード情報インシデントですと、カードスキマー(JavaScript)があるので、色々調べていく内にこのサイトにたどり着きました。
最近のサイトは特に広告やアクセス分析などで色々なAPI、プラグイン等を使っていますが、攻撃者にそうしたソフトウェアサプライチェーンを狙われている事を考えると、自社でサードパーティサービスを把握しきれていない場合は、こうしたサイトを棚卸に使う事も有効なのではないかと思います。
サイトを外部から調査する場合も、手動で調べるよりはこうしたサイトを使う方が、求める情報(例えば何のECサイト構築パッケージを使っているか・・・)にたどり着くのが早い時があります。
|
偉大な先人達へ敬意を表して・・・
当ブログでは、この記事を書く(更新する)のも今年で7回目になります。「情報収集法」という考え方は、私のオリジナルという訳ではなく、日本のセキュリティ業界をリードしていると言っても過言では無い、根岸さんとPiyokangoさんが以前に書いていた記事に触発されて書き始めたものです。
下記の元記事は、少し情報は古くなっていますが、まだまだ多くの方にとって参考になる部分が多いかと思いますので、(まだご覧になってない方は)下記の記事をご覧になる事を強くおススメします。
piyolog.hatenadiary.jp
ukky3.hatenablog.com
情報収集法という訳ではありませんが、トリコロールな猫さんの下記の記事も、セキュリティ関係の方のイエローページとして有益かと思いますのでご紹介しておきます。
security.nekotricolor.com
本日もご来訪ありがとうございました&本年もよろしくお願いします。
Thank you for your visit. Wish your happy a new year.
参考:過去記事
foxsecurity.hatenablog.com
foxsecurity.hatenablog.com
foxsecurity.hatenablog.com
foxsecurity.hatenablog.com
foxsecurity.hatenablog.com
更新履歴