NRI Secure SANS NewsBites 日本版

Vol.11 No.2 2016年1月12日発行

┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓
 申┃込┃受┃付┃中┃ 2016年2月東京開催決定!
 ━┛━┛━┛━┛━┛ 世界最高レベルの情報セキュリティトレーニング

       = SANS Secure Japan 2016 =
  http://sans-japan.jp/training/event.html

2016年2月2日、3日、16日、17日、23日、24日[6日間]
◆SEC401:Security Essentials Bootcamp Style <満員御礼>
 最もポピュラーな情報セキュリティのゴールド・スタンダード。
 情報セキュリティ・ネットワークに関する基本的知識を有している方必見です。

2016年2月15日~20日[6日間]
◆SEC503:Intrusion Detection In-Depth
 セキュリティアナリストとしての分析能力の極致へ。
 TCP/IPのセオリー、パケット分析からインシデント調査の実践演習で学んだ
 事項の強化まで、系統的に学習可能。

◆SEC504:Hacker Tools, Techniques, Exploits and Incident Handling
 ペンテスター、インシデントハンドラーへの登竜門。
 ハッカーの攻撃手法を体験し、実践的防御スキルを完全習得。

◆SEC560:Network Penetration Testing and Ethical Hacking
 すべてのペンテスターの通過点 - ペンテストスキルの包括的獲得。
 ネットワークや情報システムに関する基本的知識を有している方にお勧めです。
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛
■■SANS NewsBites Vol.18 No.001, 002
(原版: 2016年1月5日、8日)
◆ ウクライナの発電所がサイバー攻撃の標的に(2016.1.1,4)
先月、ウクライナ送電網の多くをオフラインにしたサイバー攻撃が行われた。SANS Industrial Control System (ICS)チームは、今回の攻撃で使用されたとされるマ ルウエア検体を入手している。

http://motherboard.vice.com/read/malware-found-inside-downed-ukrainian-power-plant-points-to-cyberattack
https://ics.sans.org/blog/2016/01/01/potential-sample-of-malware-from-the-ukrainian-cyber-attack-uncovered
http://www.wired.co.uk/news/archive/2016-01/05/cyberattack-power-electricity-ukraine
http://arstechnica.com/security/2016/01/first-known-hacker-caused-power-outage-signals-troubling-escalation/
http://www.v3.co.uk/v3-uk/news/2440469/ukraine-investigating-suspected-russian-cyber-attack-on-power-grid

【編集者メモ】(Assante)
SANSのICSチームは、12月24日からこの件に関して調査を行っている(計画されてい ないホリデーチャレンジだった、しかもEd Skoudisによるものではないことは分か っている)。 解明されていないことと言えば、どのようにして電力サービスが停止 されたのかである。 ファイルを削除する機能を使えばSCADAシステムを破壊するこ とは可能だが、これだけが停電の原因ではないだろう。恐らく SSH機能が、重要な 「ヒント」であり、攻撃者が感染したマシンと直接やり取りを行っていたと推察で きる。攻撃者の標的となったのは、HMI (ヒューマン・マシン・インターフェース) の可能性があり、(あくまでも推測に過ぎないが)これを悪用してブレーカーを開 けることができるし、ファイル削除の機能を使って、SCADA システムに対するアク セスを遮断することができたのだろう。しかし、影響を受けたウクライナの電力シ ステムは、手動オペレーションに切り替えることでシステムを復帰(ブレーカーを 閉じる)させている。
【編集者メモ】(Paller)
この攻撃が立証されることで、今後のサイバー戦争を垣間見える。近代の戦争行為 では、攻撃者の最初の目標は、「電力と通信を遮断する」ことである。これは、発 電所や通信ハブを破壊することで可能になる。電力と通信を遮断することで、被害 者側は防御策やカウンター攻撃を行うための調整が困難になることから、これが最 初の目的となることが多い。サイバー兵器を事前に電力会社のシステムの中に仕込 むことで、攻撃を受けていると認識する前にミサイルの役割を果たすことができる のだ。米国の電力システムのパソコンは、以前に侵入され、感染もしている。最初 はロシアのハッカーだったが、その後も他のハッカーによって同じようなことをさ れている。この際に仕込まれたマルウエアが残っているだけでなく、新たな攻撃者 が侵入する度に更新されている可能性もあるだろう。 これを発端に SANSは多くの リソースを使い、電力や他の制御システムを守る立場の人たち向けに高度なテクニ ックやトレーニングコースの開発を行っている。
詳細はこちらを参照されたい:http://www.sans.org/u/aBM

◆ ICS/SCADAシステムのデフォルトパスワードが公開される(2016.1.4)
産業制御(ICS)およびリモート監視・制御(SCADA)システムで使用されているデ フォルトパスワードのリストがオンライン上で公開された。この情報を公開したの は、これらの製品ベンダの慣習を改めさせるため、としている。このリストには、 ハードコードされているパスワードは含まれていない。

http://www.darkreading.com/endpoint/researchers-out-default-passwords-packaged-with-ics-scada-wares/d/d-id/1323755?

◆ JavaScriptのランサムウエアが拡散中(2016.1.4)
ランサムウエアでは初と思われるJavaScriptベースのものが拡散しているという。 Ransom32は、その構造から、複数のオペレーティングシステムを感染させることが できるのではないかとされている。

http://www.computerworld.com/article/3018972/security/ransom32-first-of-its-kind-javascript-based-ransomware-spotted-in-the-wild.html
http://www.theregister.co.uk/2016/01/03/happy_2016_and_heres_the_years_first_ransomware_story/
http://www.scmagazine.com/novel-javascript-ransomware-could-be-an-equal-opportunity-infecter/article/462915/
http://blog.emsisoft.com/2016/01/01/meet-ransom32-the-first-javascript-ransomware

◆ オランダ政府が暗号バックドアのアイディアを拒絶(2016.1.4)
オランダ政府は、暗号製品にバックドアを作り込むことを拒絶する旨を記載してい るポジション・ペーパーを公開した。このペーパーには「オランダ国内で暗号の開 発、入手および利用に関して法的な縛りを設けることはふさわしくない」と記載し ており、製品にバックドアを作り込むことで「暗号されたファイルを犯罪者やテロ リストや外国のインテリジェンスサービスにもアクセスを可能にしてしまう」とし ている。

http://thehill.com/policy/cybersecurity/264701-dutch-government-rejects-encryption-laws
http://www.theregister.co.uk/2016/01/04/dutch_government_says_no_to_backdoors/

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃OUCH! 1月号「タブレットを安全に使用するには」
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
タブレットは、コミュニケーションをパソコンよりも手軽にできる便利なツール
ですが、タブレットや個人情報に対する一番の脅威は、ハッカーではなく自分自
身なのです。それは、ハッカーによって攻撃を受けるよりも、自分でどこかに忘
れてしまったり、紛失してしまうというものです。そのため、タブレットを安全
に守るためには、画面の自動ロックやリモートからのトラッキングなどが有効で
す。今月は、タブレットを守るためにできることを一般ユーザ向けに分かりやす
く解説します。社員の意識向上ツールとしてお使いください。
https://securingthehuman.sans.org/newsletters/ouch/issues/OUCH-201601_jp.pdf
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃ セキュアEggs「情報セキュリティの「たまご」を育てます!」
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 セキュアEgg シリーズは、これから情報セキュリティを本格的に学ぶ方を対象
 としたコース群で、文字どおり「たまご」の意味をもった基礎的な内容を網羅
 した研修プログラムです。ペンテスターやフォレンジックアナリスト、インシ
 デントハンドラーなどのエキスパートとして、情報セキュリティの最前線で活
 躍するために必要な基礎的スキルを演習中心に短時間で効果的に習得できるよ
 うに設計されています。
 http://www.nri-secure.co.jp/service/learning/secureeggs.html

 システム開発や運用などの業務に携わる方々にとっても、情報セキュリティの
 要素をご自身のスキルに加えていただく絶好のカリキュラムです。通常パック
 の他にも、実践!サイバーセキュリティ演習 for Eggsもご用意しております。

 ・セキュアEggs(IT+セキュリティ基礎)
 2016年2月25日(木)-26日(金)

 ・セキュアEggs(フォレンジック)
 2016年3月2日(水)
 ・セキュアEggs(インシデント対応)
 2016年3月3日(木)
 ・セキュアEggs(Webアプリケーションセキュリティ)
 20116年3月1日(火)
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆ ウクライナの電力システムに対する攻撃は想像以上に広範囲だと判明(2016.1.5)
ウクライナの電力システムに対する攻撃で、ウクライナ国内で停電の被害にあった のは、当初 Prykarpattyaoblenergo社のみとされていたが、ESETは、自社の顧客で ある他の公共施設も、 Prykarpattyaoblenergoのシステムで検出されたマルウエア と同様のマルウエアに感染していたと報告している。

http://fortune.com/2016/01/05/cyber-attack-ukraine/

◆ デルの顧客データ漏えいの疑い(2016.1.6)
デルのユーザを標的にするテクニカルサポート詐欺によって、同社の顧客データが 漏えいした疑いが浮上してきている。これは、過去にデル社のテクニカルサポート を受けた際のパソコンモデルやシリアル番号だけではなく、サポートに相談した内 容なども詐欺グループが把握していることから、このような疑いが持たれていると いう。

http://arstechnica.com/security/2016/01/latest-tech-support-scam-stokes-concerns-dell-customer-data-was-breached/
http://www.10zenmonkeys.com/2016/01/04/dell-computers-has-been-hacked/

◆ タイム・ワーナー社の顧客データが漏えい(2016.1.6,7)
タイム・ワーナーは、攻撃者によって32万人にものぼる顧客のメールパスワードが 盗まれたと報告している。この件についてタイム・ワーナーは、既にメールや手紙 を使って顧客に対し連絡を行っているという。

http://thehill.com/policy/cybersecurity/265042-time-warner-cable-warns-320000-customers-of-hack http://www.theregister.co.uk/2016/01/07/twc_customer_hack/ http://www.nbcnews.com/tech/security/time-warner-warns-customers-their-emails-passwords-may-have-been-n491686

◆ Google Playに悪意あるアプリが登場(2016.1.7)
Google Play ストア上で公開されているアプリに、ユーザの許可無くダウンロード を行ったり、アプリがインストールされているデバイスでルート権限を奪取しよう としたりするものが存在することが明らかになった。これを受けてグーグルは、ス トア上から13個の悪意あるアプリを削除したが、その中には 100万回以上ダウンロ ードされたアプリも含まれているという。

http://arstechnica.com/security/2016/01/malicious-apps-in-google-play-made-unauthorized-downloads-sought-root/

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の無料セミナー・イベント        <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○2016年1月13日(水)、2月9日(火)、3月9日(水)
 事例から学ぶ特権ID・監査ログ管理実践セミナー
 ~今、求められるアクセス管理を短期間・低コストで実現する方法とは~
 http://www.nri-secure.co.jp/seminar/2015/ac03.html?xmid=300&xlinkid=14

○2016年2月10日(水)、3月8日(金)
 ファイル交換・転送サービスの正しい選び方
 ~クラウドで業務効率・利便性とセキュリティを両立させるには~
 http://www.nri-secure.co.jp/seminar/2016/file01.html?xmid=300&xlinkid=15

○2016年2月16日(火)
 標的型攻撃対策ソリューションセミナー
 ~メール・エンドポイントセキュリティ編~
 http://www.nri-secure.co.jp/seminar/2016/apt01.html?xmid=300&xlinkid=15

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
□┃サイバーセキュリティ:傾向分析レポート2015 【無料】<NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 NRIセキュアが顧客企業に提供した各種の情報セキュリティ対策サービスを通じて
 得られたデータの分析を基に現状の攻撃・防御傾向を分析。
 2005年度以降毎年発表しており、今回で11回目となる独自調査レポート。
 http://www.nri-secure.co.jp/news/2015/0717_report.html?xmid=300&xlinkid=20

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
□┃おすすめの標的型メール攻撃対策          <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
●疑似の標的型攻撃メールで実際に訓練。侵入実施検証や社内PC操作支配検証も
 サイバーアタックシミュレーション「標的型メール攻撃被害シミュレーション」
 http://www.nri-secure.co.jp/service/assessment/cyberattacksimulation.html?xmid=300&xlinkid=21

●スパムや標的型メール(スピアフィッシング)に対して機械学習技術で検知・排除
 統合型メールセキュリティソリューション「Proofpoint」
 http://www.nri-secure.co.jp/service/others/proofpoint.html?xmid=300&xlinkid=22

●FireEye独自の手法で、既知・未知に依存せず、脆弱性攻撃、マルウェアを検知
 「FireEye管理サービス」
 http://www.nri-secure.co.jp/service/mss/fireeye.html?xmid=300&xlinkid=23

●C&Cサーバアクセス時の通信内容やDNSクエリを監視し、マルウェアの侵入を検知
 「Palo Alto PAシリーズ管理サービス」
 http://www.nri-secure.co.jp/service/mss/paloaltopa.html?xmid=300&xlinkid=24

●スーパーヒューリスティック検出技術で標的型攻撃やゼロデイ対策
 標的型攻撃対策ソフトウエア「FFR yarai」
 http://www.nri-secure.co.jp/service/yarai/index.html?xmid=300&xlinkid=25

●クラウドで、国内外のPC端末のセキュリティ状態を自動診断。パッチも強制適用
 クラウド型PCセキュリティ管理ツール「SecureCube / PC Check クラウド」
 http://www.nri-secure.co.jp/service/cube/pccheck.html?xmid=300&xlinkid=26

●WEBサイトやWEBアプリなどの脆弱性をプロが手動で診断。豊富な実績
 再診断無料「セキュリティ診断(脆弱性診断)」
 http://www.nri-secure.co.jp/service/assessment/index.html?xmid=300&xlinkid=27

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
□┃セキュアファイル転送ASP「クリプト便」導入事例を追加<NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○住友生命保険相互会社様
 保険加入者の個人情報の受け渡しにクローズド送信機能を活用して
 誤送信による情報リスクの極小化を達成
 http://www.nri-secure.co.jp/service/crypto/case/sumitomoseimei_hoken.html?xmid=300&xlinkid=28

○第一生命カードサービス株式会社様
 クリプト便オートパイロットオプションで大幅なコスト削減と
 業務の効率化を実現
 http://www.nri-secure.co.jp/service/crypto/case/daiichilife-card.html?xmid=300&xlinkid=29
NRI Secure SANS NewsBites 日本版は、米国の情報セキュリティの専門機関である SANS Instituteが配信するコンテンツ (SANS NewsBites)をベースに、NRIセキュア テクノロジーズが編集してお届けしています。 世界中でこの1週間に起こったセキ ュリティのあらゆるトピックと専門家のコメントが掲載されています。原版は、お よそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュースソ ースとして活用されています。組織のセキュリティ管理に関する参考情報としてお 役立てください。掲載されている情報は、e-mailを介して自由に他の方に再送して いただいて結構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を 希望される方は、弊社ホームページの以下のページよりお申込みください。
http://www.nri-secure.co.jp/security/news_letter/index.html

本ニュースレターは、メールマガジン配信を申し込まれた方、弊社からの情報を希 望された方、SANS関連のイベントに参加された方、その他イベント等において弊社 講演枠に登録された方に配信しています。 今後、配信をご希望されない方は会社名と御氏名を本文に明記のうえ、件名に【配 信不要】、配信先変更をご希望の方は【配信先変更希望】とご記入頂き、新旧のご 連絡先も記載のうえ、info@sans-japan.jpまでご返信をお願い致します。なお、情 報の反映までにお時間を頂戴する場合がございます。