NRI Secure SANS NewsBites 日本版

Vol.11 No.11 2016年5月20日発行

■■SANS NewsBites Vol.18 No.037, 038
(原版: 2016年5月10日, 13日)
┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 申┃込┃受┃付┃中┃ 世界最高レベルの情報セキュリティトレーニング
 ━┛━┛━┛━┛━┛ あのコースがついに日本へ!

           = SANS Tokyo 2016 =
  http://sans-japan.jp/training/event.html

◆SEC401:Security Essentials Bootcamp Style
 最もポピュラーな情報セキュリティのゴールド・スタンダード。
 情報セキュリティ・ネットワークに関する基本的知識を有している方必見です。
 ○2016年7月13日~15日、20日~22日[6日間]
 ○2016年11月14日~19日[6日間]
 ○2017年2月6日~8日、15日~17日[6日間]

【10月開催第一弾】2016年10月17日~22日[6日間] / 2016年10月17日~21日[5日間]
◆FOR578:Cyber Threat Intelligence
 インテリジェンスで武装したインシデントレスポンスを求める方に。
 攻撃者に関するナレッジの収集・分析そして共有のノウハウを学びます
  [☆日本初開催☆]

◆SEC504:Hacker Tools, Techniques, Exploits and Incident Handling
 ペンテスター、インシデントハンドラーへの登竜門。
 ハッカーの攻撃手法を体験し、実践的防御スキルを完全習得

◆FOR508:Advanced Digital Forensics and Incident Response
 フォレンジックの達人たちも大絶賛!
 フォレンジックトレーニングの最高峰がまた東京に

【10月開催第二弾】2016年10月24日~29日[6日間] / 2016年10月24日~28日[5日間]
◆SEC566:Implementing and Auditing the Critical Security Controls -In-Depth
 Critical Security Controlsを真に理解するならこのコース。
 CSCの実装や監査に必要となるツールやテクニックを習得できます
  [☆日本初開催☆]

◆SEC542:Web App Penetration Testing and Ethical Hacking
 Webアプリの脆弱性を発見し、分析、修正できるスキルを習得。
 最終日のCTFでご自身の成果測定も行えます!

◆FOR610:Reverse-Engineering Malware
 Malware Analysis Tools and Techniques
 マルウェア解析の基本的なツールとテクニックを効率的に習得。
 マルウェア解析の専門性を高めたい方は必見のコースです
  [☆日本初開催☆]
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛
◆ FTCとFCCがモバイル機器のセキュリティ更新プログラムの提供に関する合同調査を開始(2016.5.9)
米国連邦取引委員会(FTC)と米国連邦通信委員会(FCC)は、携帯キャリアとスマ ートフォンメーカーに対し、モバイル機器のセキュリティ更新プログラムの提供に 関する合同調査を開始した。 この調査は、2013年に米国自由人権協会が、Android の重要な更新プログラムの提供が遅いと訴えたことに端を発しているものと考えら れている。

http://www.zdnet.com/article/apple-google-face-questions-over-lingering-security-flaws/
http://www.theregister.co.uk/2016/05/09/fcc_ftc_android_updates/
http://www.computerworld.com/article/3067703/security/the-fcc-and-ftc-open-inquiries-into-smartphone-security-updates.html

【編集者メモ】(Pescatore)
これは、通信事業者たちがプロアクティブに自主規制をしてこなかった典型的な例 である。この調査の発端となったものは称賛されるべきもので、キャリアたちは、 複数のベンダからソフトウエアを納入しハードウエア(スマートフォンやタブレッ ト)に搭載するビジネスを開始したが、セキュリティに関するベストプラクティス を検討しないまま、ここまで来てしまったのだから。複数の政府機関から調査が入 り、多くの書類提出と新たな規制ができることでさらなる書類の提出を求められる ことになるだろう。しかし、これらはセキュリティの向上には繋がらないと思う。

◆ 誤った設定のAVスキャンが医療処置を遅らせた(2016.5.9)
米国食品医薬品局(FDA)の Adverse Event Reportによると、アンチウイルスソフト ウエアの設定に誤りがあったことが原因で、モニターPCとクライアント間の通信が 阻害され、医療処置に遅れが発生したという。

http://www.theregister.co.uk/2016/05/09/malware_scan_stalled_misconfigured_med_software_midprocedure/

【編集者メモ】(Assante)
私はこの文にマークをした「システム上で脆弱な可能性があるファイルのみをスキ ャンする。また、医療イメージや患者データのファイルはスキップする。」これら のファイルが脆弱でない理由を述べていただきたい!私が思うに、これらのイメー ジや患者データのファイルは変更が多いためAVが感知しているのだろう。 AVをICS で実装する際、フォルダやファイル形式単位でスキャン対象から除外する必要があ るのは昔からある。そのため、ICSベンダはICSホストに実装されるAVソリューショ ンを設定ごと認定しているくらいだ。
【編集者メモ】(Pescatore)
FDAのレポートによると、AV は手順書通りに設定されていなかった。だから、この 問題の根本原因は、管理者のミスにある。もっと大きな問題として考え、機器でホ ワイトリストが適用されていたのであれば、オペレーション中に起きるリスクをオ ペレーション中に起きないようにすれば良いだけなのだから。
【編集者メモ】(Williams)
医療機器は、実装において設定がとてもシビアである。サードパーティのソフトウ エア(AVやホワイトリストソフトウエアなど)を追加する際、そのソフトウエアが 予期せぬ停止を起こさぬよう徹底的にテストする必要がある。これらの機器に対す る脆弱性スキャンも問題を引き起こすことが多い。私は、生命を維持する機器に対 しては、脆弱性スキャンの代わりにプロアクティブな netflowの監視を推奨してい る。

◆ FireFox 47におけるプラグインのホワイトリスト機能の提供を終了(2016.5.6)
Mozillaは、FireFox 47 でプラグインのホワイトリスト機能の提供を終了した。唯 一の例外は、Flashである。FireFox 47は現在ベータ版であり、正式版は2016年6月 7日にリリースされる予定である。また、Mozillaは、Flashのサポートを 2017年に リリース予定のFireFox 53で止める予定であることも明らかにした。

http://www.theregister.co.uk/2016/05/06/firefox_47_beta_flash_not_blacklisted_yet/

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃OUCH! 5月号「モノのインターネット(IoT)」
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
パソコンやスマートフォンだけではなく、日常生活で利用するデバイスがインタ
ーネットに接続できるようになってきました。しかし、スマートフォンのような
モバイルデバイスと同様に、固有のセキュリティ問題を抱えています。今月は、
これらの問題とリスクについて一般ユーザ向けに分かりやすく解説するとともに
、IoTデバイスを安全に利用する方法をご紹介します。 社員の意識向上ツールと
してお使いください。
http://securingthehuman.sans.org/newsletters/ouch/issues/OUCH-201605_jp.pdf
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃ セキュアEggs「情報セキュリティの「たまご」を育てます!」
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 セキュアEgg シリーズは、これから情報セキュリティを本格的に学ぶ方を対象
 としたコース群で、文字どおり「たまご」の意味をもった基礎的な内容を網羅
 した研修プログラムです。ペンテスターやフォレンジックアナリスト、インシ
 デントハンドラーなどのエキスパートとして、情報セキュリティの最前線で活
 躍するために必要な基礎的スキルを演習中心に短時間で効果的に習得できるよ
 うに設計されています。
http://www.nri-secure.co.jp/service/learning/secureeggs.html

 システム開発や運用などの業務に携わる方々にとっても、情報セキュリティの
 要素をご自身のスキルに加えていただく絶好のカリキュラムです。通常パック
 の他にも、実践!サイバーセキュリティ演習 for Eggsもご用意しております。

 ・セキュアEggs(IT+セキュリティ基礎)
  2016年6月9日(木)-10日(金) [☆好評受付中です☆]
  2016年9月8日(木)-9日(金)
  2017年1月19日(木)-20日(金)

 ・セキュアEggs(フォレンジック)
  2016年9月15日(木)
  2017年1月26日(木)
 ・セキュアEggs(インシデント対応)
  2016年9月14日(水)
  2017年1月25日(水)
 ・セキュアEggs(Webアプリケーションセキュリティ)
  2016年9月16日(金)
  2017年1月27日(金)
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆ 米国下院のネットワークでランサムウエア関連メールが増加(2016.5.10,12)ass="txt"> Tech Crunch によると、米国下院のテクニカルサービスデスクが、職員に対して、 ネットワーク内のサードパーティメールサービスにランサムウエア関連のメールが 増加しているとの注意を促したという。これを受け、ネットワーク内でYahoo Mail やGoogle App Engineプラットフォームへのアクセスもブロックしたという。

http://www.computerworld.com/article/3069954/security/us-house-bans-yahoo-mail-google-app-engine-over-malware-concerns.html
http://techcrunch.com/2016/05/10/congress-warned-about-cybersecurity-after-attempted-ransomware-attack-on-house/

◆ 知的財産の漏えいについて(2016.5.12)
Dark Reading の Ericka Chickowski 氏が、攻撃者によって顧客データではなく、 知的財産が盗まれた事例として、Coca-Cola、RSA、DOD/Lockheed Martin、Codan、 American SemiconductorとSonyの6つとなっている。

http://www.darkreading.com/vulnerabilities---threats/6-shocking-intellectual-property-breaches/d/d-id/1325487?

◆ WindowsとFlashにゼロデイ脆弱性(2016.5.10)
今週初め、WindowsとAdobe Flashに関して、ゼロデイの脆弱性情報が公開された。 Windowsの脆弱性は一番最近のアップデートで対策がなされている。FireEyeによる と、この脆弱性は POS システムに対する攻撃に悪用される可能性があり、100組織 以上も影響を受けたとされている。AdobeからFlashの脆弱性を修正したアップデー トが提供されており、Windows、Mac、LinuxおよびChrome OS向けのFlash Playerの バージョン 21.0.0.226およびそれ以前が脆弱性による影響を受けるという。

http://arstechnica.com/security/2016/05/beware-of-in-the-wild-0day-attacks-exploiting-windows-and-flash/
http://www.zdnet.com/article/microsoft-windows-zero-day-exposes-companies-to-crippling-cyberattacks/
http://www.darkreading.com/attacks-breaches/windows-0-day-exploit-used-in-recent-wave-of-pos-attacks/d/d-id/1325485?
http://www.zdnet.com/article/adobe-releases-emergency-flash-update-to-patch-critical-security-flaw/

◆ Patch Tuesday: MicrosoftとAdobe(2016.5.10,12)
5月10日に、Microsoftは Internet Explorer、Edge、Microsoft Office、Windows Shell および他の製品に含まれる複数の脆弱性を修正したアップデートと、16個の セキュリティアドバイザリを公開した。16個のアドバイザリのうち 8個は緊急とさ れている。アップデートの多くは、悪用されることによりリモートからのコード実 行または権限昇格可能な脆弱性に対応している。また、Adobe も同日にPDF Reader およびCold Fusion向けに複数の脆弱性に対応したアップデートを公開した。Adobe はFlashに対するアップデートを週の後半に公開する予定としている。

- http://krebsonsecurity.com/2016/05/adobe-microsoft-push-critical-updates-2/
- http://www.theregister.co.uk/2016/05/10/ie_and_graphics_top_the_critical_list_for_microsofts_patch_tuesday/
- https://isc.sans.edu/mspatchdays.html?viewday=2016-05-10
- http://www.computerworld.com/article/3068551/security/microsoft-fixes-actively-attacked-ie-flaw-and-50-other-vulnerabilities.html
- http://www.scmagazineuk.com/critical-patches-target-privilege-escalation/article/495961/
- https://technet.microsoft.com/en-us/library/security/ms16-May

【編集者メモ】(Murray)
いつになったら我々は、開発ツールとプロセスに関して慢性的な問題を抱えている ことに気付くのだろうか?大きな開発者でさえ、10年前と比べて出荷されるコード の品質はさほど変わっていない。「品質をパッチする」ということを繰り返す戦略 に限界がきている。Demingは墓の中で動揺していることだろう。

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の無料セミナー・イベント        <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○5月27日(金)、6月29日(水)
 契約書管理がうまくいかない3つの理由とその解決策
 ~真に業務改善に寄与する契約書管理とは~
 http://www.nri-secure.co.jp/seminar/2016/contract01.html?xmid=300&xlinkid=08

○6月1日(水)~3日(金)
 AWS Summit Tokyo 2016
 http://www.nri-secure.co.jp/seminar/2016/aws_summit_2016.html?xmid=300&xlinkid=09

○大阪:6月10日(金)
 東京:6月16日(木)、7月15日(金)
 標的型攻撃対策ソリューションセミナー
 ~メール・エンドポイントセキュリティ編~
 http://www.nri-secure.co.jp/seminar/2016/apt01.html?xmid=300&xlinkid=09

○6月15日(水)
 事例から学ぶ特権ID・監査ログ管理実践セミナー
 ~今、求められるアクセス管理を短期間・低コストで実現する方法とは~
 http://www.nri-secure.co.jp/seminar/2016/ac03.html?xmid=300&xlinkid=06

○7月7日(木)、9月7日(水)
 ファイル交換・転送サービスの正しい選び方
 ~クラウドで業務効率・利便性とセキュリティを両立させるには~
 http://www.nri-secure.co.jp/seminar/2016/file01.html?xmid=300&xlinkid=07

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
□┃企業における情報セキュリティ実態調査2015     <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
NRIセキュアが、情報システム・情報セキュリティ担当者を対象に、
情報セキュリティについてアンケート調査を実施。
2002年度以降毎年発表しており、今回で14回目となる独自調査分析レポート。
http://www.nri-secure.co.jp/whats_new/2016/0216.html?xmid=300&xlinkid=11
http://www.nri-secure.co.jp/security/report/2015/analysis.html?xmid=300&xlinkid=12
NRI Secure SANS NewsBites 日本版は、米国の情報セキュリティの専門機関である SANS Instituteが配信するコンテンツ (SANS NewsBites)をベースに、NRIセキュア テクノロジーズが編集してお届けしています。 世界中でこの1週間に起こったセキ ュリティのあらゆるトピックと専門家のコメントが掲載されています。原版は、お よそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュースソ ースとして活用されています。組織のセキュリティ管理に関する参考情報としてお 役立てください。掲載されている情報は、e-mailを介して自由に他の方に再送して いただいて結構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を 希望される方は、弊社ホームページの以下のページよりお申込みください。
http://www.nri-secure.co.jp/security/news_letter/index.html

本ニュースレターは、メールマガジン配信を申し込まれた方、弊社からの情報を希 望された方、SANS関連のイベントに参加された方、その他イベント等において弊社 講演枠に登録された方に配信しています。 今後、配信をご希望されない方は会社名と御氏名を本文に明記のうえ、件名に【配 信不要】、配信先変更をご希望の方は【配信先変更希望】とご記入頂き、新旧のご 連絡先も記載のうえ、info@sans-japan.jpまでご返信をお願い致します。なお、情 報の反映までにお時間を頂戴する場合がございます。