NRI Secure SANS NewsBites 日本版

Vol.11 No.21 2016年7月28日発行

■■SANS NewsBites Vol.18 No.057, 058
(原版: 2016年7月19日, 22日)
┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓
 好┃評┃受┃付┃中┃ 世界最高レベルの情報セキュリティトレーニング
 ━┛━┛━┛━┛━┛ あのコースがついに日本へ!

     = SANS Tokyo 2016 =
     http://sans-japan.jp/training/event.html

【10月開催第一弾】2016年10月17日~22日[6日間]━ ━ ━ ━ ━ ━ ━ ━
  ◆SEC504:Hacker Tools, Techniques, Exploits and Incident Handling
   ペンテスター、インシデントハンドラーへの登竜門。
    ハッカーの攻撃手法を体験し、実践的防御スキルを完全習得
   <<残席僅か>>

  ◆FOR508:Advanced Digital Forensics and Incident Response
   フォレンジックの達人たちも大絶賛!
   フォレンジックトレーニングの最高峰がまた東京に

  [☆日本初開催☆]
  ◆FOR610:Reverse-Engineering Malware
    Malware Analysis Tools and Techniques
   マルウェア解析の基本的なツールとテクニックを効率的に習得
   マルウェア解析の専門性を高めたい方は必見のコースです
 ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━

【10月開催第二弾】2016年10月24日~29日[6日間] / 2016年10月24日~28日[5日間]
  ◆SEC542:Web App Penetration Testing and Ethical Hacking
   Webアプリの脆弱性を発見し、分析、修正できるスキルを習得
   最終日のCTFでご自身の成果測定も行えます!

  [☆日本初開催☆]
  ◆SEC566:Implementing and Auditing the Critical Security Controls In-Depth
   Critical Security Controlsを真に理解するならこのコース
   CSCの実装や監査に必要となるツールやテクニックを習得できます


  [☆日本初開催☆]
  ◆FOR578:Cyber Threat Intelligence
   インテリジェンスで武装したインシデントレスポンスを求める方に
   攻撃者に関するナレッジの収集・分析そして共有のノウハウを学びます

【SEC401:Security Essentials Bootcamp Style】
 最もポピュラーな情報セキュリティのゴールド・スタンダード。
 情報セキュリティ・ネットワークに関する基本的知識を有している方は必見です
  ○2016年11月14日~19日[6日間]
  ○2017年2月6日~8日、15日~17日[6日間]

┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛

 ━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 ■┃CIS Critical Security Controls Ver.6.0 日本語翻訳版 公開!
 ━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
「NIST Cybersecurity Framework」実践のための必須ドキュメント
 20のコントロールで飛躍的なセキュリティレベル向上
 ダウンロードはこちらから↓↓↓
 https://www.cisecurity.org/critical-controls.cfm
 ----------------------------------------------------

 「SANS SEC566:Implementing and Auditing the Critical Security
  Controls-In-Depth」は、CIS CSCの実装手法を習得するコースです。
 http://sans-japan.jp/courses/sec566.html
 ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓
◆SANS Tokyoコミュニティ ナイトセッション
 日時:2016年8月18日(木) 18:15~19:30 (受付開始:18:00)
 会場:大手町サンケイプラザ3F ルーム311, 312
 『Attacking Your Network is Boring』
 ※同時通訳付き

 講演者:
 Tim Medin(SANS認定インストラクター)

 ▼詳細は こちらから▼
 http://www.nri-secure.co.jp/seminar/2016/sans03.html

┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛
◆ Ponemon調査:企業はサイバー攻撃を検知するためのリソースが欠けている(2016.7.18)
Ponemon Institute のレポートによると、約80パーセントの企業がネットワークを 監視する人員や十分なインフラが足りておらず、サイバー攻撃に対するネットワー ク防御ができていないと認識しているとのこと。また、17パーセントが、組織内で インテリジェンスを収集するためのプロセスを確立しているという。

http://www.zdnet.com/article/most-companies-still-cant-spot-incoming-cyberattacks/

【編集者メモ】(Assante)
リソースが欠けている理由として述べられているのは、リスク認識の欠如とサイバ ー脅威を予測した上で監視する技術力の高いスタッフがいないことであるが、必要 な知識を得ることやチームに対してトレーニングをすることは可能である。

◆ 重要インフラの制御システムはサイバー攻撃対策の強化が必要(2016.7.18)
ドイツの法執行機関によって、欧州にある複数の重要インフラ事業者とイスラエル にある共同住宅施設の制御システムに対する調査が行われ、ローマで地域暖房を提 供する事業者やドイツとオーストリアの熱電併給(熱源から電力と熱を取り出して 供給する)施設の制御システムにアクセスできたことが分かった。また、イスラエ ルのスマートテクノロジーが実装されている高級住宅においては、エレベーターや アラームを停止、無効化したり、冷房機器の操作が可能であった。

http://www.scmagazineuk.com/critical-infrastructure-in-europe-exposed-to-hackers/article/510017/

◆ 英国の鉄道会社に対し、サイバー攻撃(2016.7.12,15)
英国の鉄道会社のネットワーク防護を行っている Darktraceによると、同社のネッ トワークはこの一年で 4回もサイバー攻撃の標的になり、情報収集を行っていたと 見られている。ちなみに攻撃者がサービスを妨害しようとした形跡は無いという。

- http://www.telegraph.co.uk/technology/2016/07/12/uk-rail-network-hit-by-multiple-cyber-attacks-last-year/ - http://www.theweek.co.uk/74396/cyber-attacks-on-uk-railways-pose-real-disaster-risk - http://www.scmagazineuk.com/uk-rail-network-suffers-four-cyber-attacks-in-past-12-months/article/509746/

【編集者メモ】(Assante)
近年の研究において、安全に安定した鉄道運用をするために必要となるOSの重要な 機能が明らかにされている。攻撃者により集中的に大規模な探索活動が行われてい るが、これは犯罪的なサイバー活動の域を超えており、一部のサイバー攻撃者が市 民の重要なインフラに対し、アクセスするリスクを許容した上でのものであろう。

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃OUCH! 7月号「CIO詐欺」について
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
あなたの会社の独特な言いまわしや、連絡先などの署名は正しいのに、なぜか緊
急で送金してほしい、データを送って欲しいといった幹部からのメール。もしか
するとスピアフィッシングかもしれません。サイバー攻撃者は、組織を研究し標
的にもっとも近い担当者に向けて、このような攻撃を仕掛けてきます。今月は、
スピアフィッシングについて一般ユーザ向けに分かりやすく解説するとともに、
これらの攻撃に対する基本的な防御方法をご紹介します。社員の意識向上ツール
としてお使いください。
http://securingthehuman.sans.org/newsletters/ouch/issues/OUCH-201607_jp.pdf
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃ セキュアEggs「情報セキュリティの「たまご」を育てます!」
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
セキュアEgg シリーズは、これから情報セキュリティを本格的に学ぶ方を対象
としたコース群で、文字どおり「たまご」の意味をもった基礎的な内容を網羅
した研修プログラムです。ペンテスターやフォレンジックアナリスト、インシ
デントハンドラーなどのエキスパートとして、情報セキュリティの最前線で活
躍するために必要な基礎的スキルを演習中心に短時間で効果的に習得できるよ
うに設計されています。
http://www.nri-secure.co.jp/service/learning/secureeggs.html

システム開発や運用などの業務に携わる方々にとっても、情報セキュリティの
要素をご自身のスキルに加えていただく絶好のカリキュラムです。通常パック
の他にも、実践!サイバーセキュリティ演習 for Eggsもご用意しております。

・セキュアEggs(IT+セキュリティ基礎)
 2016年9月8日(木)-9日(金)
 2017年1月19日(木)-20日(金)

・セキュアEggs(フォレンジック)
 2016年9月15日(木)
 2017年1月26日(木)
・セキュアEggs(インシデント対応)
 2016年9月14日(水)
 2017年1月25日(水)
・セキュアEggs(Webアプリケーションセキュリティ)
 2016年9月16日(金)
 2017年1月27日(金)
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆ ウクライナの送電網に対する攻撃で米国送電網のセキュリティ不備が露呈(2016.7.19)
この 4部で構成されている調査報告には、昨年12月にウクライナ国内で発生した約 250,000 もの住宅と企業への電力供給を停止させたサイバー攻撃が、「米国の送電 網が攻撃を受けた場合、米国の対応準備に不備があることを露呈してしまった」と 記されている。

http://www.eenews.net/special_reports/the_hack

【編集者メモ】(Assante)
公共サービスを提供するための SCADAシステムを破壊して、電力の供給を止めたこ の組織的なサイバー攻撃からは多くの教訓が得られた。供給を自動化するメリット は多くあるが、これを維持するためには、有能なサイバー防御と、発生する場面に 応じた適切な判断が必要なことを強く意識せざるを得なかった。

◆ Dellが SonicWall GMSの脆弱性に対応したパッチを提供(2016.7.20)
Dellは SonicWall Global Management System (GMS) における 6つの脆弱性に対応 したパッチを提供した。6つの脆弱性のうち、4つは重要(critical)としている。 この脆弱性が悪用された場合、ソフトウエアに接続されるすべての機器が操作可能 になる。

http://www.zdnet.com/article/hidden-backdoor-account-found-in-dell-network-security-software/
http://www.computerworld.com/article/3098645/security/dell-patches-critical-flaws-in-sonicwall-global-management-system.html
https://support.software.dell.com/product-notification/207447?productname=sonicwall%20gms
https://www.digitaldefense.com/ddi-six-discoveries/

【編集者メモ】(Williams)
これらの脆弱性の中には、ハードコードされたバックドア用のアカウントが含まれ ている。企業は、、自社のセキュリティモデルを破壊するバックドアが無い製品を 購入すべきである。我々は顧客に対し、このようなことが発覚した場合には金銭的 なペナルティがある旨を契約書に明記することを推奨している。例えば、製品にバ ックドアがあることが発覚した場合、来年の保守契約の金額を 3割引きにする、な どがあるだろう。仮にベンダから反論された場合には、バックドアが作り込まれた 時のみに適用すると伝えればよい。バックドアを作り込むなんてありえない。。。

◆ Oracleの四半期パッチリリースで276個の脆弱性を修正(2016.7.20,21)
Oracle社は四半期パッチリリースにて、80以上の製品が影響を受ける 276個の脆弱 性を修正した。159個の脆弱性は、認証無しでリモートから攻撃が可能である。 ま た、今回のリリースにはJava SE の13個の脆弱性も含まれている。

http://www.theregister.co.uk/2016/07/20/oracle_quarterly_patches/
http://www.computerworld.com/article/3098024/security/oracle-issues-largest-patch-bundle-ever-fixing-276-security-flaws.html
http://www.scmagazine.com/oracle-patched-276-bugs-in-more-than-80-products/article/510838/
http://www.v3.co.uk/v3-uk/news/2465644/oracle-releases-a-record-276-security-patches-to-fix-enterprise-software-flaws

【編集者メモ】(Williams)
Oracleは、他の製品で利用されているライブラリも開発している。これらのライブ ラリに含まれる脆弱性によって、これらの製品もリスクに晒されることになる。こ の件に関して、Cisco TalosからOracle OIT の脆弱性に関する良い記事が公開され ているが、OIT ライブラリは様々なソフトウエア製品で利用されているため、今後 パッチの適用が必要となる他社製品も増えるだろう。

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の無料セミナー・イベント        <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○8月25日(木)、9月15日(木):東京
 標的型攻撃対策ソリューションセミナー
 ~メール・エンドポイントセキュリティ編~
http://www.nri-secure.co.jp/seminar/2016/apt01.html?xmid=300&xlinkid=10

○7月29日(金)、8月31日(水)
 契約書管理がうまくいかない3つの理由とその解決策
~真に業務改善に寄与する契約書管理とは~
http://www.nri-secure.co.jp/seminar/2016/contract01.html?xmid=300&xlinkid=08

○8月26日(金)、9月16日(金)
 事例から学ぶ特権ID・監査ログ管理実践セミナー
 ~今、求められるアクセス管理を短期間・低コストで実現する方法とは~
http://www.nri-secure.co.jp/seminar/2016/ac03.html?xmid=300&xlinkid=06

○9月7日(水)
 ファイル交換・転送サービスの正しい選び方
 ~クラウドで業務効率・利便性とセキュリティを両立させるには~
http://www.nri-secure.co.jp/seminar/2016/file01.html?xmid=300&xlinkid=07

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
□┃企業における情報セキュリティ実態調査2015     <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 NRIセキュアが、情報システム・情報セキュリティ担当者を対象に、
 情報セキュリティについてアンケート調査を実施。
 2002年度以降毎年発表しており、今回で14回目となる独自調査分析レポート。
http://www.nri-secure.co.jp/whats_new/2016/0216.html?xmid=300&xlinkid=11
http://www.nri-secure.co.jp/security/report/2015/analysis.html?xmid=300&xlinkid=12

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
□┃MAS TRMガイドライン対応セキュリティリファレンス  <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 アマゾンウェブサービス「AWS」を利用する企業のための情報セキュリティ
 に関する手引書(セキュリティリファレンス)を更新。(DL無料・登録不要)
http://www.nri-secure.co.jp/service/consulting/guideline/aws/?xmid=300&xlinkid=13
NRI Secure SANS NewsBites 日本版は、米国の情報セキュリティの専門機関である SANS Instituteが配信するコンテンツ (SANS NewsBites)をベースに、NRIセキュア テクノロジーズが編集してお届けしています。 世界中でこの1週間に起こったセキ ュリティのあらゆるトピックと専門家のコメントが掲載されています。原版は、お よそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュースソ ースとして活用されています。組織のセキュリティ管理に関する参考情報としてお 役立てください。掲載されている情報は、e-mailを介して自由に他の方に再送して いただいて結構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を 希望される方は、弊社ホームページの以下のページよりお申込みください。
http://www.nri-secure.co.jp/security/news_letter/index.html

本ニュースレターは、メールマガジン配信を申し込まれた方、弊社からの情報を希 望された方、SANS関連のイベントに参加された方、その他イベント等において弊社 講演枠に登録された方に配信しています。 今後、配信をご希望されない方は会社名と御氏名を本文に明記のうえ、件名に【配 信不要】、配信先変更をご希望の方は【配信先変更希望】とご記入頂き、新旧のご 連絡先も記載のうえ、info@sans-japan.jpまでご返信をお願い致します。なお、情 報の反映までにお時間を頂戴する場合がございます。