NRI Secure SANS NewsBites 日本版

Vol.11 No.18 2016年7月7日発行

■■SANS NewsBites Vol.18 No.051, 052
(原版: 2016年6月28日, 7月1日)
┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 申┃込┃受┃付┃中┃ 世界最高レベルの情報セキュリティトレーニング
 ━┛━┛━┛━┛━┛ あのコースがついに日本へ!

    = SANS Tokyo 2016 =
    http://sans-japan.jp/training/event.html

◆SEC401:Security Essentials Bootcamp Style
 最もポピュラーな情報セキュリティのゴールド・スタンダード。
 情報セキュリティ・ネットワークに関する基本的知識を有している方必見です。
 ○2016年7月13日~15日、20日~22日[6日間] <<満員御礼>>
 ○2016年11月14日~19日[6日間]
 ○2017年2月6日~8日、15日~17日[6日間]

【10月開催第一弾】2016年10月17日~22日[6日間] / 2016年10月17日~21日[5日間]
◆FOR578:Cyber Threat Intelligence
 インテリジェンスで武装したインシデントレスポンスを求める方に。
 攻撃者に関するナレッジの収集・分析そして共有のノウハウを学びます
  [☆日本初開催☆]

◆SEC504:Hacker Tools, Techniques, Exploits and Incident Handling
 ペンテスター、インシデントハンドラーへの登竜門。
 ハッカーの攻撃手法を体験し、実践的防御スキルを完全習得

◆FOR508:Advanced Digital Forensics and Incident Response
 フォレンジックの達人たちも大絶賛!
 フォレンジックトレーニングの最高峰がまた東京に

【10月開催第二弾】2016年10月24日~29日[6日間] / 2016年10月24日~28日[5日間]
◆SEC566:Implementing and Auditing the Critical Security Controls -In-Depth
 Critical Security Controlsを真に理解するならこのコース。
 CSCの実装や監査に必要となるツールやテクニックを習得できます
  [☆日本初開催☆]

◆SEC542:Web App Penetration Testing and Ethical Hacking
 Webアプリの脆弱性を発見し、分析、修正できるスキルを習得。
 最終日のCTFでご自身の成果測定も行えます!

◆FOR610:Reverse-Engineering Malware Malware Analysis Tools and Techniques
 マルウェア解析の基本的なツールとテクニックを効率的に習得。
 マルウェア解析の専門性を高めたい方は必見のコースです
 [☆日本初開催☆]
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃CIS Critical Security Controls Ver.6.0 日本語翻訳版 公開!
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
「NIST Cybersecurity Framework」実践のための必須ドキュメント
 20のコントロールで飛躍的なセキュリティレベル向上
 ダウンロードはこちらから↓↓↓
 https://www.cisecurity.org/critical-controls.cfm
 ----------------------------------------------------

 「SANS SEC566:Implementing and Auditing the Critical Security
 Controls-In-Depth」は、CIS CSCの実装手法を習得するコースです。
 http://sans-japan.jp/courses/sec566.html
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆ ランサムウエア Cerberが Office365ユーザを標的に(2016.6.27,28)
クラウドセキュリティ会社Avananの顧客の中で、 Office365を利用しているユーザ の半数以上がランサムウエア感染を目的としたフィッシングメールを受信したとい う。 Microsoftは、この悪意ある添付ファイルのブロックを、攻撃が観測された翌 日の6月23日に開始している。

http://www.scmagazine.com/microsoft-office-365-hit-with-massive-cerber-ransomware-attack-report/article/505845/
http://www.theregister.co.uk/2016/06/28/ransomware_scum_target_corporate_office_365_users_in_0day_campaign/

【編集者メモ】(Pescatore)
この攻撃によって得られる一番の教訓は、攻撃者がまず最初に攻撃のペイロードな どを試験するために使うのがGmailやOffice365などのメールサービスに組み込まれ ているアンチウイルス機能であるということだ。昔から言われている「インフラは 自分自身を守ることができない」は、メールサービスには該当する。メールをアウ トソーシングする前に、 Windowsのエンドポイントを監視、保護しなければならな い。あくまで理想だが、移行期間を使って、セキュリティを*向上*させるという のが良いだろう。たとえば認証やエンドポイント保護を強化したりすることを視野 に入れてみてはどうだろうか。また、インシデントレスポンスのプロセスが、すべ ての外部サービスやクラウドサービスプロバイダにも適用できるようにしておくべ きだと思う。各サービスはやり方が違う上に、やり方をこちらに合わせてくること は無いのだから。
【編集者メモ】(Williams)
Office365 のようなマネージドサービスは、万能では無いが(例えば、ログが十分 でない場合が多い)、脅威への対応は他の企業向けのマネージドサービスよりも早 い。今回のランサムウエア付きのフィッシングメールは、数か月の間、他のメール ユーザにも猛威を振るうだろう。
【編集者メモ】(Northcutt)
ナノセカンドの世界で同日にサービスを受けられる!というAvananによると、最初 に攻撃を観測したのは、6月22日 午前6時44分(UTC) でブロックは 11時34分(UTC) に開始したという。多くの人がフィッシングメールを受信ているが、数日すれば、 どのくらいの規模でクリーンアップが必要か明らかになるだろう。幸運なことにバ ックアップは頻繁に行われているようだ。

http://www.avanan.com/resources/attack-on-office-365-corporate-users-with-zero-day-ransomware-virus

◆ 米国の議員がDoDが重要インフラに対するサイバー攻撃の対応について知りたがっている(2016.6.23)
米国家軍事委員会は、重要インフラがサイバー攻撃を受けた時に、国防総省(DoD) がどのような対応を取るのかについて知りたがっている。しかし、DoDの国土防衛・ グローバルセキュリティ部 (Homeland Defense and Global Security) の代理次官 であるトーマス・アトキン氏は、明確な回答を示すことができなかった。同氏は、 国家に対する攻撃とその対応について、所管の国土安全保障省(DHS) からの要望が あれば、DoDも手を貸すとしている。一方、連邦議会は、US Cyber Command を独立 部隊として機能できるよう昇格を目標に動いている。

http://federalnewsradio.com/defense/2016/06/dod-respond-cyber-attack-no-one-really-knows/

【編集者メモ】(Assante)
この問題には、大きく分けて二つの意見がある。その1つが、明確に定義されたし きい値を設けた上で基準を確立し、阻止するためのポリシーを制定する考えだ。も う片方は、フレキシブルに対応を行い、攻撃の状況や詳細を確認した上で対応の決 断を下す考えだ。どちらのアプローチにもメリットはあるが、今も攻撃が行なわれ ている中、これらの基準を作るチャンスを逃してはいけない。ウクライナの発電所 を襲った攻撃は、冬季に重要なライフラインサービスに影響を及ぼしただけではな く、一般のインフラを明確に攻撃したのだから、ここからどのような教訓を得てい るのかということは、きちんと確認しておかなければならないだろう。
【編集者メモ】(Murray)
DoD の目的や機能がどうであれ、「国の重要インフラに対するサイバー攻撃」に対 するレスポンスは、日々インフラを管理・運用している人たちの「手」によって行 われるのである。

◆ DNCを標的にした攻撃者グループがClintonキャンペーンと Clinton Foundationも標的に(2016.6.21,22,27)
今月の初め、研究者たちは、ロシア政府の指揮で活動していた攻撃者たちが米国の 民主党全国委員会(DNC) のネットワークに侵入し、情報を窃取したことを確認した 。新たな報告によると、この同じ攻撃者たちは、Hillary Clintonキャンペーンと Clinton Foundationのネットワークにも侵入したと見ている。

https://www.washingtonpost.com/world/national-security/cyber-researchers-confirm-russian-government-hack-of-democratic-national-committee/2016/06/20/e7375bc0-3719-11e6-9ccd-d6005beac8b3_story.html
http://www.nbcnews.com/politics/2016-election/russian-hackers-believed-have-breached-clinton-foundation-computers-n596701
http://www.bloomberg.com/news/articles/2016-06-22/clinton-foundation-said-to-be-breached-by-russian-hackers
http://www.darkreading.com/attacks-breaches/google-accounts-of-us-military-journalists-targeted-by-russian-attack-group/d/d-id/1326069?

◆ 政府内でのセキュリティ対策の実施が一律ではない(2016.6.24)
Alan Paller氏が、Federal News RadioのTom Temin氏と米国政府内のサイバーセキ ュリティ対策の実施について対談を行った。多くの政府機関が、サイバーセキュリ ティ対策はしているものの不十分である一方、特に軍と法執行機関は、目まぐるし く変わる攻撃手法などに対応するためにサイバーセキュリティ対策の実務を行った ことがある人員が必要であることを認識し始めているという。

http://federalnewsradio.com/federal-drive/2016/06/alan-paller-federal-progress-in-cybersecurity/

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃OUCH! 7月号「CIO詐欺」について
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
あなたの会社の独特な言いまわしや、連絡先などの署名は正しいのに、なぜか緊
急で送金してほしい、データを送って欲しいといった幹部からのメール。もしか
するとスピアフィッシングかもしれません。サイバー攻撃者は、組織を研究し標
的にもっとも近い担当者に向けて、このような攻撃を仕掛けてきます。今月は、
スピアフィッシングについて一般ユーザ向けに分かりやすく解説するとともに、
これらの攻撃に対する基本的な防御方法をご紹介します。社員の意識向上ツール
としてお使いください。
http://securingthehuman.sans.org/newsletters/ouch/issues/OUCH-201607_jp.pdf
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃ セキュアEggs「情報セキュリティの「たまご」を育てます!」
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
セキュアEgg シリーズは、これから情報セキュリティを本格的に学ぶ方を対象
としたコース群で、文字どおり「たまご」の意味をもった基礎的な内容を網羅
した研修プログラムです。ペンテスターやフォレンジックアナリスト、インシ
デントハンドラーなどのエキスパートとして、情報セキュリティの最前線で活
躍するために必要な基礎的スキルを演習中心に短時間で効果的に習得できるよ
うに設計されています。
http://www.nri-secure.co.jp/service/learning/secureeggs.html

システム開発や運用などの業務に携わる方々にとっても、情報セキュリティの
要素をご自身のスキルに加えていただく絶好のカリキュラムです。通常パック
の他にも、実践!サイバーセキュリティ演習 for Eggsもご用意しております。

・セキュアEggs(IT+セキュリティ基礎)
 2016年9月8日(木)-9日(金)
 2017年1月19日(木)-20日(金)

・セキュアEggs(フォレンジック)
 2016年9月15日(木)
 2017年1月26日(木)
・セキュアEggs(インシデント対応)
 2016年9月14日(水)
 2017年1月25日(水)
・セキュアEggs(Webアプリケーションセキュリティ)
 2016年9月16日(金)
 2017年1月27日(金)
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆ SymantecとNortonの製品に重大な脆弱性(2016.6.28,30)
Symantec社は、同社が提供するセキュリティソフトウエアに存在した 8つの脆弱性 に対応したアップデートを公開した。これらの脆弱性はいずれも重大であり、攻撃 された場合、ユーザの関与無しで、リモートから任意のコード実行されたり、デフ ォルトの設定を変更されたりするという。影響を受ける製品は、Symantecの製品は 17個、Nortonの製品は8個となっている。本件は、Google Project ZeroがSymantec 社に対し脆弱性報告を行ったというもので、対策が提供されたのを受けてProject Zeroから詳細が公開されている。これらの対策は製品のアップデートと一緒に配布 されているが、一部の製品は自動的にアップデートされないため、管理者は手動で アップデートを行う必要があるので注意が必要だ。

http://arstechnica.com/security/2016/06/25-symantec-products-open-to-wormable-attack-by-unopened-e-mail-or-links/
http://www.zdnet.com/article/symantec-antivirus-product-bugs-as-bad-as-they-get/
http://www.bbc.com/news/technology-36672002
https://www.symantec.com/security_response/securityupdates/detail.jsp?fid=security_advisory&pvid=security_advisory&year=&suid=20160628_00

【編集者メモ】(Northcutt)
GIAC Advisory Boardに代表される多くの組織は、out-of-cycle でパッチを適用し た。さらに付け加えると、DevOpsが問題について読む前にパッチを適用したとして いる。これは、それほど重大だったのだ:直ぐにパッチを適用しよう!
【編集者メモ】(Ullrich)
影響を受けるSymantec製品に対して、可能な限り早くアップデートを適用すべきで ある。攻撃コードが公開されているだけでなく、脆弱性を悪用するための手法も公 開されている可能性も考えられるからだ。セキュリティソフトウエアが、解凍処理 の機能を安全に実装できないことは決して珍しくない。これらは実装が難しいこと が広く知らており、画像や動画処理のソフトウエアにも良く見られるものだ。

◆ US Courtsが2015年度の通信傍受に関する報告書を公開(2015.6.30)
US Courtsが公開した 2015年度の通信傍受に関する報告書 (Wiretap Report 2015) によると、国や州が 2015年に要求した通信傍受の件数は、4,148件であり、この数 字は2014年から17パーセント上昇している。また、2015年度に却下された要求は無 かったという。このうち13件において、法執行機関は暗号化された通信を検出した が、FBI は暗号化通信が行われていると分かっている場合には通信傍受を要求しな いとしている。なお、本報告書には Foreign Intelligence Surveillance Courtか らの要求は含まれていない。

http://www.theregister.co.uk/2016/06/30/us_government_reports_encrypted_wiretaps_declining/
http://www.zdnet.com/article/us-courts-did-not-reject-a-single-wiretap-last-year-says-new-report/
http://thehill.com/policy/cybersecurity/286177-wiretaps-harvest-fewer-encrypted-communications
http://www.uscourts.gov/statistics-reports/wiretap-report-2015

【編集者メモ】(Henry) 私が FBIで勤務した24年の間にも、通信傍受を使用した案件に多く関わった。この 手法を使うと、大規模な犯罪を効果的に暴くことができ、裁判官や陪審員に提出す る証拠を得るためにもとても重要な手法だった。そのため、このセンシティブな行 為は、司法省と FBIで固く規制されており、通信傍受の許可を得るための要件はと ても厳しい。映画やテレビとは異なり、FBI 調査官の決断だけでは「通信傍受をし よう」とはならず、 title IIIを数分以内に得ることは、現実世界ではできないよ うになっている。この通信傍受に関する許可を得るプロセスは、数週間または数か 月かかることがあり、特定の機器 (例えば、携帯電話) が犯罪行為に使用されてい ることを実証しなければならない。その後、要求は FBIと米国政府のそれぞれの弁 護士による厳しいレビューを受けた後、 FBI本部と司法省でさらなるレビューを受 ける。承認された後、調査官は裁判所に対し、通信を傍受していることで犯罪行為 を暴いていることを立証する必要がある。そうでない場合は、すぐにやめなければ ならない。 州や市の通信傍受について語ることはできないが、 FBIからの通信傍受の要求は多 くの場合、連邦政府の裁判官に辿りつく前に、このレビュープロセスの中で却下さ れている。本当に明確な証拠があり、レビュープロセスを切り抜けられるものだけ が許可されていたのだ。 FBIは、国民の人権を守ることを重要視している。私の経 験では、米国憲法に従って、セキュリティとプライバシーのバランスを上手く取っ ていたし、これは当然のことだと思っている。

◆ ウクライナの銀行がSWIFT経由で攻撃を受ける(2016.6.28)
これまでにもウクライナの銀行への攻撃について多数報じられているが、今年初め にも、このウクライナの銀行から1千万USDをSWIFT ネットワーク経由で盗んでいた ことが明らかになった。このウクライナ銀行への攻撃は、公開されているものでは 5つ目の事例だが、公開されていない多くの事例がまだ存在する可能性がある。

http://www.theregister.co.uk/2016/06/28/swift_victim_ukraine/
http://www.scmagazine.com/swift-robbers-swoop-on-ukrainian-bank/article/506352/
http://www.reuters.com/article/us-cyber-heist-ukraine-idUSKCN0ZG2P1

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の無料セミナー・イベント        <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○7月7日(木)、9月7日(水)
 ファイル交換・転送サービスの正しい選び方
 ~クラウドで業務効率・利便性とセキュリティを両立させるには~
 http://www.nri-secure.co.jp/seminar/2016/file01.html?xmid=300&xlinkid=07

○7月14日(木)、8月26日(金)、9月16日(金)
 事例から学ぶ特権ID・監査ログ管理実践セミナー
 ~今、求められるアクセス管理を短期間・低コストで実現する方法とは~
 http://www.nri-secure.co.jp/seminar/2016/ac03.html?xmid=300&xlinkid=06

○7月29日(金)、8月31日(水)
 契約書管理がうまくいかない3つの理由とその解決策
 ~真に業務改善に寄与する契約書管理とは~
 http://www.nri-secure.co.jp/seminar/2016/contract01.html?xmid=300&xlinkid=08

○東京:8月25日(木)、9月15日(木)
 標的型攻撃対策ソリューションセミナー
 ~メール・エンドポイントセキュリティ編~
 http://www.nri-secure.co.jp/seminar/2016/apt01.html?xmid=300&xlinkid=10

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
□┃企業における情報セキュリティ実態調査2015     <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 NRIセキュアが、情報システム・情報セキュリティ担当者を対象に、
 情報セキュリティについてアンケート調査を実施。
 2002年度以降毎年発表しており、今回で14回目となる独自調査分析レポート。
 http://www.nri-secure.co.jp/whats_new/2016/0216.html?xmid=300&xlinkid=11
 http://www.nri-secure.co.jp/security/report/2015/analysis.html?xmid=300&xlinkid=12
NRI Secure SANS NewsBites 日本版は、米国の情報セキュリティの専門機関である SANS Instituteが配信するコンテンツ (SANS NewsBites)をベースに、NRIセキュア テクノロジーズが編集してお届けしています。 世界中でこの1週間に起こったセキ ュリティのあらゆるトピックと専門家のコメントが掲載されています。原版は、お よそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュースソ ースとして活用されています。組織のセキュリティ管理に関する参考情報としてお 役立てください。掲載されている情報は、e-mailを介して自由に他の方に再送して いただいて結構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を 希望される方は、弊社ホームページの以下のページよりお申込みください。
http://www.nri-secure.co.jp/security/news_letter/index.html

本ニュースレターは、メールマガジン配信を申し込まれた方、弊社からの情報を希 望された方、SANS関連のイベントに参加された方、その他イベント等において弊社 講演枠に登録された方に配信しています。 今後、配信をご希望されない方は会社名と御氏名を本文に明記のうえ、件名に【配 信不要】、配信先変更をご希望の方は【配信先変更希望】とご記入頂き、新旧のご 連絡先も記載のうえ、info@sans-japan.jpまでご返信をお願い致します。なお、情 報の反映までにお時間を頂戴する場合がございます。