NRI Secure SANS NewsBites 日本版

Vol.11 No.23 2016年8月16日発行

■■SANS NewsBites Vol.18 No.063, 064
(原版: 2016年8月9日, 12日)
┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓
 好┃評┃受┃付┃中┃ 毎回満員御礼の人気コースや日本初開催コースなど
 ━┛━┛━┛━┛━┛ 今秋、全7コースを開催予定!

     = SANS Tokyo 2016 =
     http://sans-japan.jp/training/event.html

【10月開催第一弾】2016年10月17日~22日[6日間]━ ━ ━ ━ ━ ━ ━ ━
 ◆【満席御礼】
 SEC504:Hacker Tools, Techniques, Exploits and Incident Handling

 ◆FOR508:Advanced Digital Forensics and Incident Response
  フォレンジックの達人たちも大絶賛!
  フォレンジックトレーニングの最高峰がまた東京に

 [☆日本初開催☆]
 ◆FOR610:Reverse-Engineering Malware Malware Analysis Tools and Techniques
  マルウェア解析の基本的なツールとテクニックを効率的に習得
  マルウェア解析の専門性を高めたい方は必見のコースです
━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━

【10月開催第二弾】2016年10月24日~29日[6日間] / 2016年10月24日~28日[5日間]
 ◆SEC542:Web App Penetration Testing and Ethical Hacking
  Webアプリの脆弱性を発見し、分析、修正できるスキルを習得
  最終日のCTFでご自身の成果測定も行えます!

 [☆日本初開催☆]
 ◆SEC566:Implementing and Auditing the Critical Security Controls In-Depth
  Critical Security Controlsを真に理解するならこのコース
  CSCの実装や監査に必要となるツールやテクニックを習得できます


 [☆日本初開催☆]
 ◆FOR578:Cyber Threat Intelligence
  インテリジェンスで武装したインシデントレスポンスを求める方に
  攻撃者に関するナレッジの収集・分析そして共有のノウハウを学びます

【SEC401:Security Essentials Bootcamp Style】
 最もポピュラーな情報セキュリティのゴールド・スタンダード。
 情報セキュリティ・ネットワークに関する基本的知識を有している方は必見です
 ○2016年11月14日~19日[6日間]
 ○2017年2月6日~8日、15日~17日[6日間]

┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛

 ━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 ■┃CIS Critical Security Controls Ver.6.0 日本語翻訳版 公開!
 ━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 「NIST Cybersecurity Framework」実践のための必須ドキュメント
 20のコントロールで飛躍的なセキュリティレベル向上
 ダウンロードはこちらから↓↓↓
 https://www.cisecurity.org/critical-controls.cfm
 ----------------------------------------------------

 「SANS SEC566:Implementing and Auditing the Critical Security
 Controls-In-Depth」は、CIS CSCの実装手法を習得するコースです。
 http://sans-japan.jp/courses/sec566.html
 ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓
 ◆SANS Tokyoコミュニティ ナイトセッション
 日時:2016年8月18日(木) 18:15~19:30 (受付開始:18:00)
 会場:大手町サンケイプラザ3F ルーム311, 312
 『Attacking Your Network is Boring』
 ※同時通訳付き

 講演者:
 Tim Medin(SANS認定インストラクター)

 ▼詳細は こちらから▼
 http://www.nri-secure.co.jp/seminar/2016/sans03.html
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛
◆ 医療用 IDカードを発行する会社から医療記録が漏えい(2016.8.5,8)
複数の健康保険会社の医療用 IDカードを発行している Newkirk Products社が、管理サーバに不正アクセスを受け、330万人もの個人情報が漏えいしたことが明らかになった。また、同社によると、漏えいした情報には、氏名、一次診療医、保険料の支払いに関する情報や Medicaid ID番号が含まれているとのこと。同社は2016年7月上旬に漏えいに気付いたが、攻撃者は同年5月からこのサーバにアクセスしていたという。

http://www.scmagazine.com/unauthorized-individual-gains-access-to-a-server-containing-data-on-33m/article/514741/
http://www.prnewswire.com/news-releases/newkirk-products-inc-provides-notice-of-data-breach-300309995.html

◆ Oracle社のカスタマーサポートポータルサイトが攻撃を受けた(2016.8.8)
Oracle のシステムに攻撃者が不正アクセスしたことが明らかとなったが、その中には Oracle が提供する MICROS point-of-sale payment card systemsのカスタマーサポートポータルサイトが含まれていたという。Oracleは、全ての顧客に対し、同サイトのパスワード変更を呼びかけている。この攻撃は、Carbanakと呼ばれるロシアのサイバー犯罪グループによるものだとされている。

http://krebsonsecurity.com/2016/08/data-breach-at-oracles-micros-point-of-sale-division/

◆ Qualcomm製のチップに含まれる問題に起因し、攻撃者がAndroid端末に対してRoot権限でのアクセスが可能に(2016.8.6)
Android 端末で利用されている Qualcomm社製のチップに含まれる4つの脆弱性が、9億人ものユーザの端末をハイジャックできるリスクを抱えているという。この脆弱性が悪用された場合権限昇格ができ、脆弱な端末では Root 権限も奪取できるという。脆弱性に対する修正パッチは作成済みであるが、端末開発者がユーザに配付する必要がある。Googleは最新の Android向けのアップデートで 3つの脆弱性には対応しているが、4つ目の修正は間に合わなかったという。

http://arstechnica.com/security/2016/08/qualcomm-chip-flaws-expose-900-million-android-devices/
http://www.theregister.co.uk/2016/08/08/latest_androids_have_god_mode_hack_hole/
http://www.computerworld.com/article/3105052/security/qualcomm-powered-android-devices-plagued-by-four-rooting-flaws.html
http://www.zdnet.com/article/quadrooter-security-flaws-affect-over-900-million-android-phones/
http://blog.checkpoint.com/2016/08/07/quadrooter/

【編集者メモ】(Williams)
コンテナ化されたアプリケーションを壊す脆弱性は良くない。特に Android端末では、それぞれの端末開発者がパッチを提供するまでに数か月必要であり、提供されないこともあるからだ。しかし、これらの脆弱性を悪用するためには、不正なアプリケーションをインストールしている必要があるため、これらのアプリケーションが出回らないように Googleは監視をしているという。Google Play以外からアプリケーションをインストールしない限り、これらの脆弱性による影響を受ける可能性は限りなく低い。また、世界が終わるような事態ではないことを言っておきたい。ちなみにApple iOS の世界では、「Root 権限奪取の脆弱性」とは呼ばずに、脱獄(jailbreaks)と呼ばれ、ユーザに歓迎されている。
【編集者メモ】(Murray)
回避策は? 侵入の形跡は?
DefConで発表されたことで、このような話題はつきものだが、このような話題は、コードを修正できるような能力を持つ人たちが悪用することを助長してはいないだろうか? これでは、単に「やったぜ」と言っているだけのようにも思える。
BlackHat と DefCon に参加している人が全員いる前で、 「責任ある脆弱性の開示 (responsible disclosure)」について話をするべきではないかと考える。

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃OUCH! 8月号「ランサムウエア」について
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
ランサムウエアとは、マルウェアの一種であり、感染するとハードディスク上の
様々なファイルを暗号化してアクセスできなくしてしまいます。さらに、この暗
号化されたファイルを復活させるには、「鍵」が必要であり、感染した被害者に
「鍵」を入手するようにランサム(身代金)を要求してきます。今月は、このラ
ンサムウエアに対抗するために定期的なバックアップと、バックアップデータか
らのリカバリ手順を確認することの重要性について一般ユーザ向けに分かりやす
く解説します。社員の意識向上ツールとしてお使いください。
http://securingthehuman.sans.org/newsletters/ouch/issues/OUCH-201608_jp.pdf
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃ セキュアEggs「情報セキュリティの「たまご」を育てます!」
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 セキュアEgg シリーズは、これから情報セキュリティを本格的に学ぶ方を対象
 としたコース群で、文字どおり「たまご」の意味をもった基礎的な内容を網羅
 した研修プログラムです。ペンテスターやフォレンジックアナリスト、インシ
 デントハンドラーなどのエキスパートとして、情報セキュリティの最前線で活
 躍するために必要な基礎的スキルを演習中心に短時間で効果的に習得できるよ
 うに設計されています。
http://www.nri-secure.co.jp/service/learning/secureeggs.html

 システム開発や運用などの業務に携わる方々にとっても、情報セキュリティの
 要素をご自身のスキルに加えていただく絶好のカリキュラムです。通常パック
 の他にも、実践!サイバーセキュリティ演習 for Eggsもご用意しております。

 ・セキュアEggs(IT+セキュリティ基礎)
  2016年9月8日(木)-9日(金)
  2017年1月19日(木)-20日(金)

 ・セキュアEggs(フォレンジック)
  2016年9月15日(木)
  2017年1月26日(木)

 ・セキュアEggs(インシデント対応)
  2016年9月14日(水)<満員御礼>
  2017年1月25日(水)

 ・セキュアEggs(Webアプリケーションセキュリティ)
  2016年9月16日(金)
  2017年1月27日(金)
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆ Microsoft の Secure Boot のポリシーが暗号バックドアの危険性を証明(2016.8.10,11)
Microsoftが誤って Secure Bootのポリシーを公開したことにより、Secure BootによるOSの保護を迂回できるバックドアの存在が記載されていたことが明らかとなった。Microsoft は、この問題を解決するためにパッチを提供しているが、公開されている情報をもとにして、特定の条件下ではあるがAndroidやLinuxなど他のOSを起動させルートキットがインストールされる危険性もある。この問題は、暗号バックドアを製品に作り込むことの危険性を改めて証明している。ちなみにSecure Bootは、Windows 8.1以降のOSに実装されている。

- http://arstechnica.com/security/2016/08/microsoft-secure-boot-firmware-snafu-leaks-golden-key/
- http://www.theregister.co.uk/2016/08/10/microsoft_secure_boot_ms16_100/
- http://thehill.com/policy/cybersecurity/290947-researchers-crack-microsoft-feature-say-encryption-backdoors-similarly
- http://www.zdnet.com/article/microsoft-secure-boot-key-debacle-causes-security-panic/

【編集者メモ】(Pescatore)
ハードコードされたパスワードなどのバックドアは、便利さとセキュリティを天秤にかけた結果、いつも悪い結果に転んでしまうものである。Microsoft からのコメントでは、公開されている攻撃コードは「デスクトップやエンタープライズ向けのPCシステム上では動作せず、悪用するにはARMや RT機器に対して物理的なアクセスと管理者権限が必要であり、暗号による保護を損なうものでもない」としている。
詳細については以下を参照されたい:
https://threatpost.com/microsoft-mistakenly-leaks-secure-boot-key/119828/

◆ Google が危険なメール対してユーザに警告を出す予定(2016.8.10)
Googleの公式ブログによると、今後、コンピュータに危険を及ぼす可能性のあるメールを受信した場合、ユーザに対し警告を出すとしている。この警告では、Googleが危険と判断したメールを開くかどうかを確認するとしており、マルウエアが配置されたサイトへのリンクが記載されていたり、 Googleによって送信者を特定できない場合などの理由で危険と判断するという。

http://www.cnet.com/news/dont-click-on-that-google-updates-email-warnings/
http://www.zdnet.com/article/google-gmail-now-you-get-security-alerts-about-senders-to-beat-email-spoofing/
http://googleappsupdates.blogspot.jp/2016/08/making-email-safer-with-new-security-warnings-in-gmail.html

【編集者メモ】(Pescatore)
私は、他のコンシューマ向けメールサービスを提供している組織より先陣を切ったGoogleのように SPF、DKIMの提供と偽造されたメールまたは危険なメールを受信した際に自動的に注意を送付する取り組みを行ってほしい。 ただ、Gmailのようにユーザが受信したメールの内容に関する情報を売り、広告費で賄われているサービス上でセキュリティ問題を解決していることに不安が残るところではある。ここでは、利害関係の衝突が起きており、悪用されると「ネットの中立性」に関する議論も勃発するだろう。 ISPが既知の攻撃やフィッシングメールを単に送り出すのではなく、20年前から対策となるような取り組みを行っていれば、現在のインターネットの状態は、はるかに良いものだっただろう。

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の無料セミナー・イベント        <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○8月24日(水)、9月28日(水)
 契約書管理がうまくいかない3つの理由とその解決策
 ~真に業務改善に寄与する契約書管理とは~
 http://www.nri-secure.co.jp/seminar/2016/contract01.html?xmid=300&xlinkid=02

○8月26日(金)、9月16日(金)、10月14日(金)、11月10日(木)、12月7日(水)
 事例から学ぶ特権ID・監査ログ管理実践セミナー
 ~今、求められるアクセス管理を短期間・低コストで実現する方法とは~
 http://www.nri-secure.co.jp/seminar/2016/ac03.html?xmid=300&xlinkid=03

○9月7日(水)
 ファイル交換・転送サービスの正しい選び方
 ~クラウドで業務効率・利便性とセキュリティを両立させるには~
 http://www.nri-secure.co.jp/seminar/2016/file01.html?xmid=300&xlinkid=04

○9月15日(木)、10月17日(月)、11月11日(金)、12月8日(木)
 標的型攻撃対策ソリューションセミナー
 ~メール・エンドポイントセキュリティ編~
 http://www.nri-secure.co.jp/seminar/2016/apt01.html?xmid=300&xlinkid=05


━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
□┃企業における情報セキュリティ実態調査2015     <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 NRIセキュアが、情報システム・情報セキュリティ担当者を対象に、
 情報セキュリティについてアンケート調査を実施。
 2002年度以降毎年発表しており、今回で14回目となる独自調査分析レポート。
 http://www.nri-secure.co.jp/whats_new/2016/0216.html?xmid=300&xlinkid=11
 http://www.nri-secure.co.jp/security/report/2015/analysis.html?xmid=300&xlinkid=12

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
□┃MAS TRMガイドライン対応セキュリティリファレンス  <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 アマゾンウェブサービス「AWS」を利用する企業のための情報セキュリティ
 に関する手引書(セキュリティリファレンス)を更新。(DL無料・登録不要)
 http://www.nri-secure.co.jp/service/consulting/guideline/aws/?xmid=300&xlinkid=13
NRI Secure SANS NewsBites 日本版は、米国の情報セキュリティの専門機関であるSANS Instituteが配信するコンテンツ (SANS NewsBites)をベースに、NRIセキュアテクノロジーズが編集してお届けしています。 世界中でこの1週間に起こったセキュリティのあらゆるトピックと専門家のコメントが掲載されています。原版は、およそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュースソースとして活用されています。組織のセキュリティ管理に関する参考情報としてお役立てください。掲載されている情報は、e-mailを介して自由に他の方に再送していただいて結構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望される方は、弊社ホームページの以下のページよりお申込みください。
http://www.nri-secure.co.jp/security/news_letter/index.html

本ニュースレターは、メールマガジン配信を申し込まれた方、弊社からの情報を希望された方、SANS関連のイベントに参加された方、その他イベント等において弊社講演枠に登録された方に配信しています。
今後、配信をご希望されない方は会社名と御氏名を本文に明記のうえ、件名に【配信不要】、配信先変更をご希望の方は【配信先変更希望】とご記入頂き、新旧のご連絡先も記載のうえ、info@sans-japan.jpまでご返信をお願い致します。なお、情報の反映までにお時間を頂戴する場合がございます。