NRI Secure SANS NewsBites 日本版

Vol.11 No.25 2016年8月30日発行

■■SANS NewsBites Vol.18 No.067, 068
(原版: 2016年8月23日, 26日)
┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓
 好┃評┃受┃付┃中┃ 毎回満員御礼の人気コースや日本初開催コースなど
 ━┛━┛━┛━┛━┛ 今秋、全7コースを開催予定!

     = SANS Tokyo 2016 =
     http://sans-japan.jp/training/event.html

【10月開催第一弾】2016年10月17日~22日[6日間]━ ━ ━ ━ ━ ━ ━ ━
 ◆【満席御礼】
 SEC504:Hacker Tools, Techniques, Exploits and Incident Handling

 ◆FOR508:Advanced Digital Forensics and Incident Response
  フォレンジックの達人たちも大絶賛!
  フォレンジックトレーニングの最高峰がまた東京に

 [☆日本初開催☆]
 ◆FOR610:Reverse-Engineering Malware Malware Analysis Tools and Techniques
  マルウェア解析の基本的なツールとテクニックを効率的に習得
  マルウェア解析の専門性を高めたい方は必見のコースです
━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━

【10月開催第二弾】2016年10月24日~29日[6日間] / 2016年10月24日~28日[5日間]
 ◆SEC542:Web App Penetration Testing and Ethical Hacking
  Webアプリの脆弱性を発見し、分析、修正できるスキルを習得
  最終日のCTFでご自身の成果測定も行えます!

 [☆日本初開催☆]
 ◆SEC566:Implementing and Auditing the Critical Security Controls In-Depth
  Critical Security Controlsを真に理解するならこのコース
  CSCの実装や監査に必要となるツールやテクニックを習得できます


 [☆日本初開催☆]
 ◆FOR578:Cyber Threat Intelligence
  インテリジェンスで武装したインシデントレスポンスを求める方に
  攻撃者に関するナレッジの収集・分析そして共有のノウハウを学びます

【SEC401:Security Essentials Bootcamp Style】
 最もポピュラーな情報セキュリティのゴールド・スタンダード。
 情報セキュリティ・ネットワークに関する基本的知識を有している方は必見です
 ○2016年11月14日~19日[6日間]
 ○2017年2月6日~8日、15日~17日[6日間]

┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛

 ━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 ■┃CIS Critical Security Controls Ver.6.0 日本語翻訳版 公開!
 ━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 「NIST Cybersecurity Framework」実践のための必須ドキュメント
 20のコントロールで飛躍的なセキュリティレベル向上
 ダウンロードはこちらから↓↓↓
 https://www.cisecurity.org/critical-controls.cfm
 ----------------------------------------------------
 「SANS SEC566:Implementing and Auditing the Critical Security
 Controls-In-Depth」は、CIS CSCの実装手法を習得するコースです。
 http://sans-japan.jp/courses/sec566.html
 ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆ NASAのCIOがネットワークのサイバーセキュリティに関する認可を失効させる (2016.8.22)
NASAの CIOが、組織で利用しているメインネットワークのサイバーセキュリティに関する認可を失効させた。CIO のレネー・ウィン氏は、セキュリティ上の問題が存在したことから、ネットワークを操作する権限(ATO) に署名しなかったとしている。ちなみにこのネットワークは、Hewlett Packard Enterprises が管理している。
NASA の IT環境に詳しい匿名の人物によると、問題の原因は締結している契約にあり、 「一般的なセキュリティ条項しか含んでいないため、セキュリティホールが残ってしまい、これにより NASA 内の膨大なセキュリティ問題を引き起こしてしまった」としている。

http://federalnewsradio.com/reporters-notebook-jason-miller/2016/08/nasas-act-desperation-demonstrates-continued-cyber-deficiencies/

【編集者メモ】(Pescatore)
CIO が見えるような形で基本的なセキュリティを担保できない中で、業務を続けていることを示したのは良い事である。多くの場合、このような報道は、大規模な侵入や情報漏えいが発生してから起きるものである。ほぼすべての大規模な政府の基本的な購入、発注/不確定な納品・数量(IDIQ) といった調達手段はシンプルに見直されるべきである。見直す際に、ハードウエアやソフトウエアがセキュリティを考慮した状態で購入することを保証すべきで、設計や設定など安全な状態で調達するようにしなければならない。
【編集者メモ】(Murray)
政府のシステムが常に問題を起こしている原因は、連邦政府の幹部が本来持つべきではない多くのシステムの動作を認可したことだ。今までのデフォルトは、「判別できない時は、認可する」だった。このような勇気のある、かつ悪評を受けるような決断をするために、幹部には大金を支払っているのだ。
【編集者メモ】(Northcutt)
これは大事である。前代未聞という声も聞こえる。
2010年、契約時のプレスリリースに関するリンクは以下に記載している。ACESホームページとこの事に関する Jason Miller 氏が 3月に公開した記事を参照いただきたい。
http://www.nasa.gov/home/hqnews/2010/dec/HQ_C10-080_ACES.html
http://www.hq.nasa.gov/office/itcd/ACES.html
http://federalnewsradio.com/cybersecurity/2016/03/widespread-neglect-puts-nasas-networks-jeopardy/
【編集者メモ】(Shapntzer)
政府が締結した複数年にも及ぶアウトソーシング契約の存在が、結果的に CISO が基本的なセキュリティ対策を適用する足かせになることが多く、内部のスキャンやパッチの適用ができなかったりすることがある。これは、通常業務の中だけの話であり、インシデント発生時ではない。契約が締結されてしまったら、これらのタスクは、契約の中に含まれていなければ、とても高い価格で依頼することになる。

◆ 報告書:どこの Android開発者が一番早くアップデートをリリースしているか (2016.8.19)
Apteligent社の報告書によると、Motorola社がGoogleのNexusに次いで早くAndroid端末に対するアップデートを配信しているとのことで、Nexusはリリースと同日にアップデートを受信することができる。
この調査では、デバイスがAndroid 5.x LollipopからAndroid 6.0 Marshmallowにアップデートするまでの期間を端末の開発者ごとに整理している。Marshmallowは2015年10月5日にリリースされたが、端末の開発者は、3か月から5か月の間にすべてのデバイスに対するアップデートを配信したという。

http://www.theregister.co.uk/2016/08/19/android_update_risk/
https://data.apteligent.com/download-report?report=apteligent-data-report-july-2016.pdf

【編集者メモ】(Ullrich)
最近、広く知られている脆弱性、例えば話題になった「Quadrooter」問題は、最新版のAndroidで対策されている。しかし、Google は多くのユーザに対するアップデートに関して制御できないため、アップデートが配信されるまで脆弱性の影響を受ける。スマートフォンを買う前に、その開発者のアップデートに関する履歴を確認した方が良いだろう。この情報の一部は、この報告書で提供されている。中には、サポート終了を他の開発者より早く宣言する開発者もいるのだから。
【編集者メモ】(Pescatore)
アップデートの大多数は機能のアップデートであり、セキュリティのアップデートではない。 Android端末で「Playストア経由のみでアプリを使用する」というデフォルトの設定を利用しているユーザは、Android の脆弱性を攻撃するマルウエアに対し、一定の保護が提供されていることになる。その中でも、モバイルデバイス業界は、ブラウザ業界と同じようになるべきであり、脆弱性に対する修正を早く提供するべきである。

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃OUCH! 8月号「ランサムウエア」について
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
ランサムウエアとは、マルウェアの一種であり、感染するとハードディスク上の
様々なファイルを暗号化してアクセスできなくしてしまいます。さらに、この暗
号化されたファイルを復活させるには、「鍵」が必要であり、感染した被害者に
「鍵」を入手するようにランサム(身代金)を要求してきます。今月は、このラ
ンサムウエアに対抗するために定期的なバックアップと、バックアップデータか
らのリカバリ手順を確認することの重要性について一般ユーザ向けに分かりやす
く解説します。社員の意識向上ツールとしてお使いください。
http://securingthehuman.sans.org/newsletters/ouch/issues/OUCH-201608_jp.pdf
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃ セキュアEggs「情報セキュリティの「たまご」を育てます!」
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 セキュアEgg シリーズは、これから情報セキュリティを本格的に学ぶ方を対象
 としたコース群で、文字どおり「たまご」の意味をもった基礎的な内容を網羅
 した研修プログラムです。ペンテスターやフォレンジックアナリスト、インシ
 デントハンドラーなどのエキスパートとして、情報セキュリティの最前線で活
 躍するために必要な基礎的スキルを演習中心に短時間で効果的に習得できるよ
 うに設計されています。
http://www.nri-secure.co.jp/service/learning/secureeggs.html

 システム開発や運用などの業務に携わる方々にとっても、情報セキュリティの
 要素をご自身のスキルに加えていただく絶好のカリキュラムです。通常パック
 の他にも、実践!サイバーセキュリティ演習 for Eggsもご用意しております。

 ・セキュアEggs(IT+セキュリティ基礎)
2016年9月8日(木)-9日(金)
2017年1月19日(木)-20日(金)

 ・セキュアEggs(フォレンジック)
2016年9月15日(木)
2017年1月26日(木)
 ・セキュアEggs(インシデント対応)
2016年9月14日(水)<満員御礼>
2017年1月25日(水)
 ・セキュアEggs(Webアプリケーションセキュリティ)
2016年9月16日(金)
2017年1月27日(金)
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆ 赤十字が被災地の住民に対し、Wi-Fiネットワークのロックを外すよう呼びかけ (2016.8.25)
イタリアで発生した地震の被災地を訪れている救助隊員が、救助隊員や援助関係者のコミュニケーションを支援するために、住民に対し Wi-Fiネットワークのパスワードを外すよう呼びかけている。

https://www.siliconrepublic.com/comms/red-cross-italy-earthquake-wifi-passwords
http://www.bbc.com/news/technology-37186290

【編集者メモ】(Assante)
役に立ちたいという願望は事前に注意をすることと一緒に行わなければならない。Wi-Fiを救助隊のために提供する時は、自身がWi-Fiに接続するデバイスをすべて無効化することを先に行うべきである。このような非常事態は、人の良い部分と悪い部分を同時に垣間見ることになる。そして、一部の人は、それを悪用する機会を伺っているのだ。
【編集はメモ】(Pescatore)
とても厳しいとは思うがあえて言う。これは、長期間を考慮した際のネガティブの方が、短期間を考慮した際のポジティブよりも大きい。私は、アマチュア無線のオペレータ (K3TN) である。イタリアの被災地支援用の周波数も既にあり、利用が可能である。アマチュア無線を使って、被災地支援のための一時的なコミュニケーションは既に行われている。そのため救助隊は、このような呼びかけをしてセキュリティを危殆化させる必要は無い。
【編集者メモ】(Ullrich)
既存のインフラを活用する良いアイデアだ。パスワードを再設定しない人が多いことが予想でき、その結果、ネットワークが外部からアクセス可能な状態のままになってしまうだろう。ただし、セキュリティには、可用性の側面もある。このような事態の場合は、Wi-Fi ネットワークが救助隊員のコミュニケーションを手助けし、一つでも多くの命を救うことができるかもしれない。
【編集者メモ】(Northcutt)
災害時における最大の問題は、いつの時もコミュニケーションだ。ミネアポリスで橋が崩れた事故が発生した時にミネアポリスの Wi-Fiネットワークが救助と復旧に大きく貢献した。自宅の Wi-Fiネットワークは、位置情報も提供するために貢献度が高い。ここ20年もの間に、GPS と SSID ロケーションのマッピングが進んだために紙の地図が利用されなくなっている。

◆ Apple iOSが Trident の脆弱性を修正 (2016.8.25)
Appleは、iOSオペレーティングシステムに存在する3つの脆弱性を修正し、バージ ョン 9.3.5 にアップデートした。Appleによると、今回の脆弱性が攻撃された場合 には、スパイウエアがインストールされ、アプリから機密情報が漏えいする可能性 があるという。この攻撃は、Trident と知られており、脆弱なデバイスを遠隔から ユーザが知らない間に脱獄(jailbreaks)した後、Pegasus として知られるスパイウ エアをインストールし、多くの個人データを収集するという。同データの中には、 メッセージ、メール、ソーシャルメディアへの投稿や Wi-Fiのパスワードが含まれ る。この問題は、人権活動家が所持しているデバイスに対し攻撃が行われたことで 発覚した。

http://arstechnica.com/security/2016/08/actively-exploited-ios-flaws-that-hijack-iphones-likely-spread-for-years/
http://arstechnica.com/apple/2016/08/apple-releases-ios-9-3-5-with-an-important-security-update/
http://www.theregister.co.uk/2016/08/25/update_your_ios_devices_now_theres_an_apt_in_the_wild/
http://www.nytimes.com/2016/08/26/technology/apple-software-vulnerability-ios-patch.html?_r=3
http://www.computerworld.com/article/3112844/security/apple-patches-ios-security-flaws-found-in-spyware-targeting-activist.html
http://www.zdnet.com/article/apple-releases-important-security-update-for-iphone-after-malware-found/
http://citizenlab.org/2016/08/million-dollar-dissident-iphone-zero-day-nso-group-uae/
http://info.lookout.com/rs/051-ESQ-475/images/lookout-pegasus-technical-analysis.pdf

【編集者メモ】(Williams)
これらの脆弱性は深刻である。MDM を活用している場合は、アップデートを強制的に適用させた上で iOSデバイスのネットワーク接続を許可するようにしてほしい。
Androidに関する脆弱性が公開された場合、Androidデバイスに対するアップデートがほとんど配布されないが、今回の脆弱性は少なくともパッチは提供されている。
【編集者メモ】(Ullrich)
これまでApple はパッチの事前通知をしてこなかったが、今回はアップルがiOS のパッチを「突然」得たかのように見える。攻撃が行われると、ターゲットがその攻撃を発見するリスクがあることも再証明された。
今回は、幸運にも被害者が他者(最終的には Apple にも) と共有し、問題の修正に至った。しかし、このような攻撃が公開されると、一般ユーザが標的になる。攻撃による「副次的な被害」は、ターゲットデバイスに対し物理的に近接している必要はなく、最初の攻撃が行われてから時間が経過した後でも被害を受ける可能性がある。
【編集者メモ】(Murray)
「何かを見た場合は、言いなさい」。
この攻撃と悪用された脆弱性は、ターゲットが詐欺メールを不審に思ったことから発覚したのだから。

◆ フランスの潜水艦製造会社 DCNS社 から設計情報が漏えい (2016.8.24)
フランスの潜水艦製造会社である DCNS社 から漏えいしたドキュメントの中に、インド軍で利用されている Scorpene 型潜水艦に関する情報が含まれており、インド政府は調査を開始している。これらの潜水艦は、マレーシア、チリやオーストラリアでも利用されている。オーストラリア政府は、漏えいしたドキュメントの中に同国の潜水艦に関する情報は含まれていないとしている。

http://arstechnica.com/security/2016/08/military-submarine-maker-leak-dcns-suspected-hack/
http://www.theregister.co.uk/2016/08/24/indian_submarine_secrets_leaked_after_frances_dcns_/
http://www.zdnet.com/article/federal-government-claims-dcns-data-leak-has-no-bearing-on-australia/

【編集者メモ】(Assante)
サイバースパイによって、アメリカの兵器に関する機密情報しか盗まれていないという報道を信じている人がいないことを祈っている。現代の潜水艦の重要度と性能は、海底での戦いにおいて競争力を高めることに直結するのだから。
【編集者メモ】(Williams)
今年の始めにオーストラリアがリスクアセスメントを終えた後に潜水艦の設計書を手でサプライヤの元まで届けるという決断を下したことに関してブログを書いた。
データの機密性を考慮した際に、設計書の情報を守るための制御が不適切と判断されたのだろう。この決断を下したオーストラリアの幹部たちは、とても満足している事だろう。

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の無料セミナー・イベント        <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○9月28日(水)
 契約書管理がうまくいかない3つの理由とその解決策
 ~真に業務改善に寄与する契約書管理とは~
 http://www.nri-secure.co.jp/seminar/2016/contract01.html?xmid=300&xlinkid=02

○9月16日(金)、10月14日(金)、11月10日(木)、12月7日(水)
 事例から学ぶ特権ID・監査ログ管理実践セミナー
 ~今、求められるアクセス管理を短期間・低コストで実現する方法とは~
 http://www.nri-secure.co.jp/seminar/2016/ac03.html?xmid=300&xlinkid=03

○9月7日(水)、10/19(水)、11/17(木)
 ファイル交換・転送サービスの正しい選び方
 ~クラウドで業務効率・利便性とセキュリティを両立させるには~
 http://www.nri-secure.co.jp/seminar/2016/file01.html?xmid=300&xlinkid=04

○9月9日(金)
 サイバーセキュリティ2016夏:独自調査レポートから見るセキュリティ最前線
 ~サイバー攻撃を迎え撃つ・企業のサイバー攻撃対策 現場の実態~
 http://www.nri-secure.co.jp/seminar/2016/0909.html?xmid=300&xlinkid=06

○9月16日(金)
 ID & IT Management Conference 2016
 http://www.nri-secure.co.jp/seminar/2016/idit.html?xmid=300&xlinkid=07

○9月15日(木)、10月17日(月)、11月11日(金)、12月8日(木)
 標的型攻撃対策ソリューションセミナー
 ~メール・エンドポイントセキュリティ編~
 http://www.nri-secure.co.jp/seminar/2016/apt01.html?xmid=300&xlinkid=05


━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
□┃サイバーセキュリティ傾向分析レポート2016     <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 今年で12回目の発行となる本レポートでは、標的型攻撃やランサムウェア
 などのマルウェア感染による「ヒトに対する脅威」や、プロダクトの脆弱性
 など「システムに対する脅威」の両面から独自に調査・分析。【DL無料】
 http://www.nri-secure.co.jp/security/report/2016/cstar.html?xmid=170&xlinkid=12

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
□┃MAS TRMガイドライン対応セキュリティリファレンス  <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 アマゾンウェブサービス「AWS」を利用する企業のための情報セキュリティ
 に関する手引書(セキュリティリファレンス)を更新。(DL無料・登録不要)
 http://www.nri-secure.co.jp/service/consulting/guideline/aws/?xmid=300&xlinkid=13
NRI Secure SANS NewsBites 日本版は、米国の情報セキュリティの専門機関であるSANS Instituteが配信するコンテンツ (SANS NewsBites)をベースに、NRIセキュアテクノロジーズが編集してお届けしています。 世界中でこの1週間に起こったセキュリティのあらゆるトピックと専門家のコメントが掲載されています。原版は、およそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュースソースとして活用されています。組織のセキュリティ管理に関する参考情報としてお役立てください。掲載されている情報は、e-mailを介して自由に他の方に再送していただいて結構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望される方は、弊社ホームページの以下のページよりお申込みください。
http://www.nri-secure.co.jp/security/news_letter/index.html

本ニュースレターは、メールマガジン配信を申し込まれた方、弊社からの情報を希望された方、SANS関連のイベントに参加された方、その他イベント等において弊社講演枠に登録された方に配信しています。
今後、配信をご希望されない方は会社名と御氏名を本文に明記のうえ、件名に【配信不要】、配信先変更をご希望の方は【配信先変更希望】とご記入頂き、新旧のご連絡先も記載のうえ、info@sans-japan.jpまでご返信をお願い致します。なお、情報の反映までにお時間を頂戴する場合がございます。