NRI Secure SANS NewsBites 日本版

Vol.11 No.29 2016年9月29日発行

■■SANS NewsBites Vol.18 No.075, 076
(原版: 2016年9月20日、16日)
┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓
 好┃評┃受┃付┃中┃ 毎回満員御礼の人気コースや日本初開催コースなど
 ━┛━┛━┛━┛━┛ 今秋、全7コースを開催予定!

           = SANS Tokyo 2016 =
  http://sans-japan.jp/training/event.html

【10月開催第一弾】2016年10月17日~22日[6日間]━ ━ ━ ━ ━ ━ ━ ━
 ◆【満席御礼】SEC504:Hacker Tools, Techniques, Exploits and Incident Handling
   次回2月開催決定!
   ○2017年2月20日~25日 申込み開始は10月より

 ◆【残席わずか】FOR508:Advanced Digital Forensics and Incident Response
   フォレンジックの達人たちも大絶賛!
   フォレンジックトレーニングの最高峰がまた東京に

  [☆日本初開催☆]
 ◆【残席わずか】FOR610:Reverse-Engineering Malware
      Malware Analysis Tools and Techniques
   マルウェア解析の基本的なツールとテクニックを効率的に習得
   マルウェア解析の専門性を高めたい方は必見のコースです
  ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━

【10月開催第二弾】2016年10月24日~29日[6日間] / 2016年10月24日~28日[5日間]
 ◆SEC542:Web App Penetration Testing and Ethical Hacking
    Webアプリの脆弱性を発見し、分析、修正できるスキルを習得
    最終日のCTFでご自身の成果測定も行えます!

  [☆日本初開催☆]
 ◆SEC566:Implementing and Auditing
       the Critical Security Controls In-Depth
    Critical Security Controlsを真に理解するならこのコース
    CSCの実装や監査に必要となるツールやテクニックを習得できます


  [☆日本初開催☆]
 ◆FOR578:Cyber Threat Intelligence
    インテリジェンスで武装したインシデントレスポンスを求める方に
    攻撃者に関するナレッジの収集・分析そして共有のノウハウを学びます
  ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━
 ◆【残席わずか】SEC401:Security Essentials Bootcamp Style】
    最もポピュラーな情報セキュリティのゴールド・スタンダード。
    情報セキュリティ・ネットワークに関する基本的知識を有している方は必見です
     ○2016年11月14日~19日[6日間]
  ○2017年2月6日~8日、15日~17日[6日間]

┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛

 ━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 ■┃CIS Critical Security Controls Ver.6.0 日本語翻訳版 公開!
 ━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
「NIST Cybersecurity Framework」実践のための必須ドキュメント
   20のコントロールで飛躍的なセキュリティレベル向上
     ダウンロードはこちらから↓↓↓
     https://www.cisecurity.org/critical-controls.cfm
   ----------------------------------------------------

「SANS SEC566:Implementing and Auditing the Critical Security
  Controls-In-Depth」は、CIS CSCの実装手法を習得するコースです。
      http://sans-japan.jp/courses/sec566.html
 ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆ 英国が活動的なサイバー防御へ移行(2016.9.13,16)
英国政府通信本部(GCHQ)のサイバー長官兼National Cyber Security Centre(NCSC)の最高責任者であるシアラン・マーティン氏が、米国ワシントンDC で開催されたBillington Cyber-Security Summitにおいて、「GCHQが "活動的なサイバー防御"へと移行している」と語った。このアプローチは、「破壊的かつ潜在的な法的に規制される可能性のある防御」を意味するだけでなく、「大規模で単純な攻撃による被害が大きい場合には、政府が民間と一緒にアクションを取る」ことも含まれるという。GCHQ は、インターネットサービスプロバイダ(ISP) と協力し、DNSフィルターを使ったサイバー攻撃対策を行うことを計画している。なお、国民は DNSフィルタリングに関して、オプトアウトすることが許可される可能性が高い。

http://www.theregister.co.uk/2016/09/16/uk_gov_active_cyber_defence/
http://www.scmagazineuk.com/gchq-planning-use-of-dns-filters-to-curb-cyber-attacks/article/522774/
https://www.cesg.gov.uk/news/new-approach-cyber-security-uk

【編集者メモ】(Assante)
英国は、とても難しいとされている民間と政府連携に関してイノベーションを求めて世界的にリーダーシップを取っている。政府がサイバー攻撃の機会を減らすためにやるべき事があるという認識を持つことは重要だ。最後になるが、ここで使われている「活動的な防御」の定義は、言葉の意味を少し拡大解釈したものであろう。
【編集者メモ】(Honan)
これは表面的に見るととても良いアイデアである。適切な抑制と均衡が働くことを願うとともにどのサイトと通信がブロックされているかに関しては透明性を持つことも願っている。
【編集者メモ】(Pescatore)
「活動的な防御」と語っている英国は、反撃を意味している訳ではない。何を意味しているかは、シアラン・マーティン GCHQ 最高責任者の発表にあった、この中で語られている;「・・・いくつもの自動化された手段を使い、英国政府のネットワークを世界一安全なものにしたい。これらの手段の中で上手くいくものがあったならば、他の国によって活用されることを願う」。これは、とても良いことである。
そして、さらに良いことに詳細な事例について語ってくれた。例えば、政府のメールに対する DMARCポリシーの適用である。1998年に開催された POD 63 では、米国も似たような話をした:「連邦政府は、インフラの安全を確保するための民間企業に対する見本であるべきで、可能な限り手段と結果を伝えることが望ましい」。米国は、この話に値する連邦政府システムのセキュリティを向上するためのアクションを取っていない。これは、ここ数年で起きたイベントが物語っている。18年後には、英国政府のアクションがきっかけで米国も追従する可能性がある。

◆ 来月から変更される Windows パッチの配信(2016.9.19)
Microsoftは来月から一部のWindows向けパッチの配信方法を変更する。10月11日から Windows 7 とWindows 8.1の更新は、一括で配信され、個別のパッチ配信はなくなる。今後は、月一度の一括更新もしくはセキュリティの更新のみが配信される。Windows Updateを利用しているユーザは、自動的に月次の一括更新が適用される。
Windows Server Update Services (WSUS) あるいは System Center Configuration Manage (SCCM) を運用している企業はどちらか選択できるようになる。Internet Explorer (IE)向けの更新は、一括更新には含まれず、個別に配信される (Windows 7 および 8.1でMicrosoftが正式にサポートしているのは、IE 11のみとなる) 。
なお、Windows Vistaおよび Server 2008 は、個別に配信され続けるという。

- http://www.computerworld.com/article/3121732/security/microsoft-wont-bundle-ie-patches-with-new-cumulative-updates-for-windows-7-and-81.html
- https://blogs.technet.microsoft.com/windowsitpro/2016/08/15/further-simplifying-servicing-model-for-windows-7-and-windows-8-1/

【編集者メモ】(Pescatore)
Windows 10で採用しているセキュリティパッチと機能のアップデートを一括で配信するのは良くないことだ。Oracleや Adobeのようにパッチを入手するためにユーザに新たなアプリを入れさせようとしているのと同じだ。Windows 7 や8 でセキュリティパッチを一括配信することは、決して悪いことでは無い。ただし、Microsoftは、過去のリリースよりも品質を上げる必要があるのだが。
【編集者メモ】(Assante)
この変更によって、企業のパッチ管理を簡素化することが可能かもしれない。しかし、North American Bulk Electricity System の組織で NERC CIP-007-6 R2 セキュリティパッチ管理要件を満たそうとする組織は、とても大変である。詳細は、以次のブログを確認していただきたい。https://ics.sans.org/blog

◆ FBIはランサムウエア感染者からのインシデント報告を求める(2016.9.16)
FBI は、企業や個人でランサムウエアによる被害にあった場合の情報提供を求めている。「ランサムウエアによる被害者とそれぞれの経験を知ることで、FBI は攻撃が誰によるものなのかを特定するだけでなく、攻撃者がどのように標的を探し、特定しているのかも知ることができる」としている。

- http://www.scmagazine.com/fbi-asks-ransomware-victims-to-come-forward/article/523275/
- https://www.ic3.gov/media/2016/160915.aspx
- http://krebsonsecurity.com/2016/09/ransomware-getting-more-targeted-expensive/

【編集者メモ】(Henry)
Code42 の情報セキュリティ責任者であるジャディー・ハンソン氏は、「FBIによるランサムウエア被害者からの情報共有・報告の要求は前例が無いことである」と語った。セキュリティ業界は、この FBIによるランサムウエア攻撃に関する情報共有を評価している。しかし、これは車上荒らしを報告することと一緒である -失ったものを取り戻せる可能性は限りなく低いとされているが、私はそうは思わない。
FBI は、常に一般から様々な犯罪や攻撃に関する情報を要求している。これは、物理的なものでも、デジタル的なものでも、一緒である。関連して、ニューヨーク市で起きた爆弾事件に関して逮捕が昨日あった。このモデル、アクションを引き起せるインテリジェンスを民間から収集し、FBI が攻撃者と攻撃者が使う手段をより深く理解できるようになるのであれば、とても価値がある。これによって、要因分析ができるだけでなく、対策の検討も可能になる。民間による情報共有がされない・できないことによって、重大な盲点ができ、脅威が常に残り、そして大きくなっていくのである。
【編集者メモ】(Honan)
米国以外の読者たちに向けて:ランサムウエアの被害に関して、自国の法執行機関に報告してください。グローバルなコミュニティとして情報やインテリジェンスを共有することで、始めてサイバー犯罪者を捕まえることができるのである。

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃OUCH! 9月号「メールのすべきこととすべきではないこと」について
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
電子メールはとても便利なツールですが、不用意に使用すると自分の立場を危う
くする危険性があります。意図しない相手に送信される、共有していることを隠
してメールを送信したはずなのに、発見されてしまった。などがあります。今月
は、このような問題を未然に防ぐため、電子メールを安全に使用する上で必要な
注意点を一般ユーザ向けに分かりやすく解説します。社員の意識向上ツールとし
てお使いください。
http://securingthehuman.sans.org/newsletters/ouch/issues/OUCH-201609_jp.pdf
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃ セキュアEggs「情報セキュリティの「たまご」を育てます!」
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 セキュアEgg シリーズは、これから情報セキュリティを本格的に学ぶ方を対象
 としたコース群で、文字どおり「たまご」の意味をもった基礎的な内容を網羅
 した研修プログラムです。ペンテスターやフォレンジックアナリスト、インシ
 デントハンドラーなどのエキスパートとして、情報セキュリティの最前線で活
 躍するために必要な基礎的スキルを演習中心に短時間で効果的に習得できるよ
 うに設計されています。
http://www.nri-secure.co.jp/service/learning/secureeggs.html

 システム開発や運用などの業務に携わる方々にとっても、情報セキュリティの
 要素をご自身のスキルに加えていただく絶好のカリキュラムです。通常パック
 の他にも、実践!サイバーセキュリティ演習 for Eggsもご用意しております。

 ・セキュアEggs(IT+セキュリティ基礎)
2017年1月19日(木)-20日(金)

 ・セキュアEggs(フォレンジック)
2017年1月26日(木)
 ・セキュアEggs(インシデント対応)
2017年1月25日(水)
 ・セキュアEggs(Webアプリケーションセキュリティ)
2017年1月27日(金)
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆ Yahooが大規模な情報漏えいが発生していたことを認める(2016.9.22)
Yahooは、2014年に起きた攻撃によって約5億件のユーザアカウント情報が漏えいしたことを認めた。この攻撃は、「政府機関がスポンサーとして存在する攻撃者グループ」によるものだとされている。漏えいしたデータの中には、氏名、生年月日、暗号化されたパスワード、平文のパスワードを忘れた時の質問とその回答が含まれている。Yahooは、ブラックマーケットにて盗まれた大量のYahooログイン情報が売られているとの報告を受け、調査をしていたところ、この漏えいに気付いたとしている。

http://www.darkreading.com/attacks-breaches/yahoo-reveals-nation-state-borne-data-breach-affecting-a-half-billion-users/d/d-id/1326984?
http://www.bloomberg.com/news/articles/2016-09-22/yahoo-says-at-least-500-million-accounts-breached-in-hack-attack
https://www.cnet.com/news/yahoo-500-million-accounts-hacked-data-breach/

【編集者メモ】(Ullrich)
漏えいの規模は別として、平文状態でパスワードを忘れた時の質問と回答が漏えいしたのは、問題がある。多くのサイトでは似たような質問を採用しており、別のサイトでユーザのパスワードをリセットすることが容易になってしまった。この質問は、パスワードをリセットする目的で活用されておらず、パスワードの入力回数制限の目的で活用している場合でもパスワードのように扱うべきだ。
【編集者メモ】(Pescatore)
またしても、「過去最大規模」の漏えいは、パスワードの使いまわしを止める呼びかけ以上に何かが必要と訴えているようだ。Yahooは2段階認証を提供しているが、大規模なメールプロバイダは、ユーザに対し教育もしておらず、移行するインセンティブも提供していない。広告費の一部を(これは、Google、Microsoft、AOL も同じ) 2段階認証を利用するメッセージのユーザの目に届くところへ送るために活用して欲しい。また、VerizonがYahooを活用するための価格が下がることを願っている。9月9日に提出した委任状の届出に Yahooは、「セキュリティ事故、不正アクセスおよび販売者または子会社の情報システムの不正利用と、販売者または子会社が保持している個人データの損失、窃盗、不正アクセスによる入手、改ざん、公開など」については、把握していないと記載されていた。取得価格が暴落することで、役員会に対して重大な警鐘となるだろう。
【編集者メモ】(Murray)
エンドユーザは、このニュースを見た後の対策として、強い認証を有効にすべきである。これは、Yahoo!だけでなく (Yahoo!は、このオプションを提供しているが、積極的に宣伝していない)、利用可能なサービスすべて有効にすべきである。

◆ KrebsonSecurityが大規模なDDoS攻撃の標的に(2016.9.22)
今週、KrebsonSecurity.comが大規模な DDoS攻撃の標的となっていた。この攻撃による、サイトのサービス提供が停止したのは、Akamai Technologies のサーバからKrebsonSecurityが削除された9月22日(木)だった。報告によると、攻撃のピーク時には、Krebsのサイトは 620Gbpsの通信を受けていたという。この攻撃は、Krebsが書いた2人の逮捕に繋がったvDOSに関する記事への反撃と見られている。

http://krebsonsecurity.com/2016/09/krebsonsecurity-hit-with-record-ddos/
http://www.bbc.com/news/technology-37439513

【編集者メモ】(Smith)
Krebsは、Akamaiのサービスから追放されたのではなく、Prolexic のサービスから追放されたのである。本件についてKrebs氏は「なんてことだ! Prolexicからの報告によると、私のサイトはインターネット史上最大の665Gbpsにものぼる DDoS攻撃を受けた。サイトは未だ上がっているのにだ。#FAIL 8:02 PM - 20 Sep 2016 798 Retweets 1,088 likes"」という発言を残している。彼が Akamaiの CDNプラットフォームを活用していたら、文句は言われただろうが、料金はMBごとに課金されるため文句は高額の請求書とともにやってきただろう。
【編集者メモ】(Murray)
Brian Krebs ほど「権力者に対し、立場を公言する」行為のコストを理解している人は少ないだろう。

◆ Data Breach Insurance Act(2016.9.15,22)
エド・パールマター下院議員(民主党-コロラド州)が Data Breach Insurance Act を作成した。この法案では、データ漏えいに関して保険に加入し、米国標準技術局(NIST)のサイバーセキュリティフレームワークまたは財務長官が承認したサイバーセキュリティ標準を満たしている場合、15パーセントの税額控除が適用される。

http://www.iamagazine.com/news/read/2016/09/22/bill-would-provide-tax-credit-for-data-breach-insurance
http://perlmutter.house.gov/news/documentsingle.aspx?DocumentID=1471
https://www.congress.gov/bill/114th-congress/house-bill/6032

【編集者メモ】(Pescatore)
税法をインセンティブに企業のセキュリティを向上させることが目的ならば、保険への加入を必須とするのではなく、政府によるもっと直接的な施策が見たい。パールマター下院議員の提案だと、企業が 15パーセントの税額控除を受けるためには、NIST のサイバーセキュリティフレームワーク(後に他のものが追加される可能性がある) に適合しているか否かのアセスメントを通った上で、特定のデータ漏えい保険に加入する必要がある。平均的なデータ漏えいに対する保険のコストは、4万-15万ドルかかり、さらに控除免責金額や様々な契約条項によって支払金額が減るのが現状である。6千-2万5千ドルの税額控除を毎年受けたところで、保険適用外のコストと控除免責金額の埋め合わせはできないだろう。

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の無料セミナー・イベント        <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○10月14日(金)、11月10日(木)、12月7日(水)
 事例から学ぶ特権ID・監査ログ管理実践セミナー
 ~今、求められるアクセス管理を短期間・低コストで実現する方法とは~
http://www.nri-secure.co.jp/seminar/2016/ac03.html?xmid=300&xlinkid=06

○10月17日(月)、11月11日(金)、12月8日(木)
 標的型攻撃対策ソリューションセミナー
 ~メール・エンドポイントセキュリティ編~
http://www.nri-secure.co.jp/seminar/2016/apt01.html?xmid=300&xlinkid=02

○10/19(水)、11/17(木)
 ファイル交換・転送サービスの正しい選び方
 ~クラウドで業務効率・利便性とセキュリティを両立させるには~
http://www.nri-secure.co.jp/seminar/2016/file01.html?xmid=300&xlinkid=07

○10月24日(月)
 契約書管理がうまくいかない3つの理由とその解決策
 ~真に業務改善に寄与する契約書管理とは~
http://www.nri-secure.co.jp/seminar/2016/contract01.html?xmid=300&xlinkid=05

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
□┃サイバーセキュリティ傾向分析レポート2016     <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 今年で12回目の発行となる本レポートでは、標的型攻撃やランサムウェア
 などのマルウェア感染による「ヒトに対する脅威」や、プロダクトの脆弱性
 など「システムに対する脅威」の両面から独自に調査・分析。【DL無料】
http://www.nri-secure.co.jp/security/report/2016/cstar.html?xmid=170&xlinkid=12

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
□┃MAS TRMガイドライン対応セキュリティリファレンス  <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 アマゾンウェブサービス「AWS」を利用する企業のための情報セキュリティ
 に関する手引書(セキュリティリファレンス)を更新。(DL無料・登録不要)
http://www.nri-secure.co.jp/service/consulting/guideline/aws/?xmid=300&xlinkid=13
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
NRI Secure SANS NewsBites 日本版は、米国の情報セキュリティの専門機関であるSANS Instituteが配信するコンテンツ (SANS NewsBites)をベースに、NRIセキュアテクノロジーズが編集してお届けしています。 世界中でこの1週間に起こったセキュリティのあらゆるトピックと専門家のコメントが掲載されています。原版は、およそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュースソースとして活用されています。組織のセキュリティ管理に関する参考情報としてお役立てください。掲載されている情報は、e-mailを介して自由に他の方に再送していただいて結構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望される方は、弊社ホームページの以下のページよりお申込みください。
http://www.nri-secure.co.jp/security/news_letter/index.html

本ニュースレターは、メールマガジン配信を申し込まれた方、弊社からの情報を希望された方、SANS関連のイベントに参加された方、その他イベント等において弊社講演枠に登録された方に配信しています。
今後、配信をご希望されない方は会社名と御氏名を本文に明記のうえ、件名に【配信不要】、配信先変更をご希望の方は【配信先変更希望】とご記入頂き、新旧のご連絡先も記載のうえ、info@sans-japan.jpまでご返信をお願い致します。なお、情報の反映までにお時間を頂戴する場合がございます。