NRI Secure SANS NewsBites 日本版

Vol.11 No.30 2016年10月6日発行

■■SANS NewsBites Vol.18 No.077, 078
(原版: 2016年9月27日、30日)
┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓
 申┃込┃開┃始┃し┃ま┃し┃た┃
 ━┛━┛━┛━┛━┛━┛━┛━┛
 SANSコミュニティナイトセッション
 -The best cyber defence is a strong cyber offence - or is it?-
 ※同時通訳付き
 日時:2016年10月27日(木) 18:00~19:30 (受付開始:17:30)
 会場:秋葉原UDX 4階Gallery Next2
 講演者:Jake Williams(SANS認定インストラクター)
     James Tarala (SANSシニアインストラクター)

 ▼詳細は こちらから▼
 http://www.nri-secure.co.jp/seminar/2016/sans04.html

┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛

┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓
 好┃評┃受┃付┃中┃ 毎回満員御礼の人気コースや日本初開催コースなど
 ━┛━┛━┛━┛━┛ 今秋、全7コースを開催予定!

           = SANS Tokyo 2016 =
  http://sans-japan.jp/training/event.html

【10月開催第一弾】2016年10月17日~22日[6日間]━ ━ ━ ━ ━ ━ ━ ━
 ◆【満席御礼】SEC504:Hacker Tools, Techniques, Exploits and Incident Handling  
次回2月開催決定
   ○2017年2月20日~25日 お申込みをまもなく開始します

 ◆【残席わずか】FOR508:Advanced Digital Forensics and Incident Response
   フォレンジックの達人たちも大絶賛!
   フォレンジックトレーニングの最高峰がまた東京に

  [☆日本初開催☆]
 ◆【残席わずか】FOR610:Reverse-Engineering Malware
      Malware Analysis Tools and Techniques
   マルウェア解析の基本的なツールとテクニックを効率的に習得
   マルウェア解析の専門性を高めたい方は必見のコースです
  ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━

【10月開催第二弾】2016年10月24日~29日[6日間] / 2016年10月24日~28日[5日間]   
◆SEC542:Web App Penetration Testing and Ethical Hacking
    Webアプリの脆弱性を発見し、分析、修正できるスキルを習得
    最終日のCTFでご自身の成果測定も行えます!

  [☆日本初開催☆]
 ◆SEC566:Implementing and Auditing
       the Critical Security Controls In-Depth
    Critical Security Controlsを真に理解するならこのコース
    CSCの実装や監査に必要となるツールやテクニックを習得できます


  [☆日本初開催☆]
 ◆FOR578:Cyber Threat Intelligence
    インテリジェンスで武装したインシデントレスポンスを求める方に
    攻撃者に関するナレッジの収集・分析そして共有のノウハウを学びます
  ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━
 ◆【残席わずか】SEC401:Security Essentials Bootcamp Style】
    最もポピュラーな情報セキュリティのゴールド・スタンダード。
    情報セキュリティ・ネットワークに関する基本的知識を有している方は
必見です
     ○2016年11月14日~19日[6日間]
  ○2017年2月6日~8日、15日~17日[6日間]

┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛

 ━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 ■┃CIS Critical Security Controls Ver.6.0 日本語翻訳版 公開!
 ━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
「NIST Cybersecurity Framework」実践のための必須ドキュメント
   20のコントロールで飛躍的なセキュリティレベル向上
     ダウンロードはこちらから↓↓↓
     https://www.cisecurity.org/critical-controls.cfm
   ----------------------------------------------------

「SANS SEC566:Implementing and Auditing the Critical Security
  Controls-In-Depth」は、CIS CSCの実装手法を習得するコースです。
      http://sans-japan.jp/courses/sec566.html
 ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆ DHSオズメント氏:サイバーセキュリティは中央管理できない(2016.9.20)
米国土安全保障省(DHS) 通信・サイバーセキュリティ担当のアンディ・オズメント次官補が、サイバーセキュリティの責任は中央管理できないとした上で、責任は共有しなければならないと述べている。今月初めに行われたナショナルプレスクラブのパネルにも登壇した同氏は、「サイバー空間とサイバーセキュリティは、米国民の人生におけるすべての要素に触れている」と前置きしたあと「政府のすべての要素がサイバーセキュリティの対応をしなければならない」と述べている。

http://fcw.com/articles/2016/09/20/ozment-cyber-central.aspx

【編集者メモ】(Pescatore)
中央管理に関して私が一番の名言と思っているのは、ミシガン大学の Karl Weick教授のもので:「高信頼のシステムで一番やらなければならないのは、中央管理と分散管理を何とかして同時にできるようになることだ。」である。セキュリティにおいては、強力なCISOの下にITやビジネスオペレーションと協力できるスキルの高いセキュリティチームが存在することで、「分散管理」が実現できるだろう。これを実現することが新しい連邦政府CISOが最初にやるべきことだ。
【編集者メモ】(Murray)
上司は、ミッションをこなすために必要なリソース (例えば、人材、資産、ネットワーク、システム、アプリケーション、データなど) のセキュリティに対し責任がある。そして、セキュリティスタッフを使い、明瞭な基準、ガイドライン、対策や報告事項などの策定を支援する。昔ながらの階層的組織では、スタッフはこれらを各段階で繰り返す。機能的なガイダンスは上述のスタッフから受けるが、結果とリソースの責任は上司が取ることとなる。

◆ ドイツの政党がハッキングに遭う(2016.9.21)
ドイツ当局は、議会(議員)や政党を標的にしたサイバー攻撃を調査している。ドイツ国内でサイバーセキュリティを監督する政府機関は、ロシアからの攻撃と考えており、米国の民主党全国委員会(DNC)に対する攻撃に関連があると見ている。

http://www.telegraph.co.uk/news/2016/09/21/russia-blamed-for-hacking-attack-on-german-mps/

◆ セキュリティ侵害が起きた際に局長が罰せられる法案(2016.9.21)
米国下院から提出された法案には、特定のセキュリティ侵害が起きた際に、政府機関の上席が処罰されるという事項が含まれている。The Cybersecurity Responsibi-lity and Accountability Act of 2016 では、米行政管理予算局(OMB)が、上席の降格、減俸あるいは解雇を推奨している。ただし、上席が「情報セキュリティにおける要件、推奨事項や基準に適切に従っていない」ということが確認できた場合を前提条件としている。

http://www.nextgov.com/cybersecurity/2016/09/cyber-bill-would-let-agency-heads-be-fired-if-theres-data-breach/131735/

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃OUCH! 9月号「メールのすべきこととすべきではないこと」について
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
電子メールはとても便利なツールですが、不用意に使用すると自分の立場を危う
くする危険性があります。意図しない相手に送信される、共有していることを隠
してメールを送信したはずなのに、発見されてしまった。などがあります。今月
は、このような問題を未然に防ぐため、電子メールを安全に使用する上で必要な
注意点を一般ユーザ向けに分かりやすく解説します。社員の意識向上ツールとし
てお使いください。
http://securingthehuman.sans.org/newsletters/ouch/issues/OUCH-201609_jp.pdf
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃ セキュアEggs「情報セキュリティの「たまご」を育てます!」
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 セキュアEgg シリーズは、これから情報セキュリティを本格的に学ぶ方を対象
 としたコース群で、文字どおり「たまご」の意味をもった基礎的な内容を網羅
 した研修プログラムです。ペンテスターやフォレンジックアナリスト、インシ
 デントハンドラーなどのエキスパートとして、情報セキュリティの最前線で活
 躍するために必要な基礎的スキルを演習中心に短時間で効果的に習得できるよ
 うに設計されています。
http://www.nri-secure.co.jp/service/learning/secureeggs.html

 システム開発や運用などの業務に携わる方々にとっても、情報セキュリティの
 要素をご自身のスキルに加えていただく絶好のカリキュラムです。通常パック
 の他にも、実践!サイバーセキュリティ演習 for Eggsもご用意しております。

 ・セキュアEggs(IT+セキュリティ基礎)
2017年1月19日(木)-20日(金)

 ・セキュアEggs(フォレンジック)
2017年1月26日(木)
 ・セキュアEggs(インシデント対応)
2017年1月25日(水)
 ・セキュアEggs(Webアプリケーションセキュリティ)
2017年1月27日(金)
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆ 連邦政府CISOに対し、GAOサイバーセキュリティ推奨事項を実施していなかったことを質問(2016.9.28)
テッド・リウ下院議員 (民主党-カリフォルニア州選出) が、連邦政府の情報セキュリティ最高責任者 (CISO) であるグレッグ・トゥヒル大将に宛てた書簡で、政府機関が米会計検査院(GAO) の発行するサイバーセキュリティ対策を実施していなかったことを問いただした。この書簡の中でリウ下院議員は、なぜ政府機関が GAOの推奨事項を実施しなかったか、下院としてできることは無いのか、そして GAOの推奨事項の中でトゥヒル大将が実施すべきでないと考えているものがあるかを聞いている。

http://www.scmagazine.com/rep-lieu-questions-federal-ciso-on-cybersecurity-plans/article/525462/
http://lieu.house.gov/sites/lieu.house.gov/files/documents/2016-09-27%20Rep.%20Lieu%20letter%20to%20FCISO%20Touhill%20on%20GAO%20Report%20Cyber%20Recs.pdf

【編集者メモ】(Paller)
90日後にグレッグ・トゥヒル大将が米国CISOとして適切な人材だったかが分かるだろう。この政権の最後の数か月で、新しいCISOは連邦政府のシステムから脆弱性を目に見える形で減らすことができるだろう。連邦政府のウェブサイトが原因で国民のパソコンなどがマルウェアなどに感染する可能性がある欠陥を修正することは、ひと月のプロジェクトとしては良いだろう。トニー・スコット氏(OMBでグレッグ・トゥヒルの上司) は、このようなことができることを既に証明している。さらに大きなインパクトを与えたいのであれば、連邦政府機関において、システムが防御できるかどうかを確認するために、3つの重要事項が IT契約の条項として含まれているかを確認し、これらの事項が入っていない契約を明確にすることだ。このデータをマネジメント協議会に提供するだけでも大きな変化を起こすことができるだけでなく、連邦政府が模範を示して指導することができることを証明することとなる。 もう一度繰り返すが、1-2か月のプロジェクトだ。トゥヒル氏は、DHS出身である。 DHSは、今まで 「サイバーセキュリティの問題を見るだけ」で対策をしてこなかったことに関して完璧な実績がある省庁である。彼は、変化を与えることができるのか、はたまた問題をそのまま持ってきてしまうのか注目したい。
【編集者メモ】(Pescatore)
新しく着任した連邦政府 CISO トゥヒル氏に対し、リウ下院議員からとても良い警告が出された。「私は下院議員で、どのようにして手助けができるか?」という書簡は、手助けが不要であると証明するために素早い対応と進展を見せる良いきっかけである。新たな連邦政府CISOと副CISOによって、内部に目を向け、2017年は政府が基本的なセキュリティ対策を向上し、政府の安全なサービス提供の基盤になっていることを願っている。

◆ 投票システムのセキュリティ向上のために DHSの支援を要請したのは 18州(2016.9,27,28)
18の州が米国家安全保障省 (DHS)に対し投票システムのセキュリティ向上のために支援を要請した。 DHSは、インターネットに公開されているシステムに対するスキャンと Cyber Incident Reporting Centers へのアクセスに関して支援を行っている。関連した話題になるが、FBI は米国内の投票者登録システムに対しても、侵入が試みられていると報告している。

https://fcw.com/articles/2016/09/27/18-states-voting-cyber.aspx
http://www.computerworld.com/article/3125608/security/fbi-reports-more-attempts-to-hack-voter-registration-system.html

【編集者メモ】(Murray) 今週の議会公聴会で本プログラムの責任者が話している様子がC-SPAN.orgにまだ上がっていないが、見る価値はあるだろう。

◆ 侵入されたIoTデバイスによるフランスのウェブホスティング事業者に対するDDoS攻撃(2016.9.28,29)
フランスのウェブホスティング会社の報告によると、侵入された IoTデバイスにより、DDoS攻撃で標的となっていたという。ピーク時には、攻撃の通信は 1.1 Tbpsにも上っている。

http://www.bbc.com/news/technology-37504719
http://arstechnica.com/security/2016/09/botnet-of-145k-cameras-reportedly-deliver-internets-biggest-ddos-ever/

【編集者メモ】(Ullrich) Internet Storm Center (ISC) では、現在、IoT 機器に対するブルートフォースでの telnetの試行が急増し、その状況が継続していることを確認している。 この一連の攻撃は、約 2週間前から始まっており、セキュリティカメラの DVRで使用されている典型的なパスワードを悪用している。悲しいことにこのパスワードは、一般家庭のユーザや小規模の事業者では適切に管理されていないため、この攻撃は続くだろう。運用しているハニーポットのデータをもう少し詳細に確認した後にどのような攻撃コードが使われていたのかを共有できると思っている。恐らく来週になるかと思う。 このグラフ (https://isc.sans.edu/ssh.html?pw=xc3511) によると、特定のパスワード「xc3511」や「7ujMko0admin」の悪用が上昇していることが分かる。我々のハニーポットの DVRは 1時間余りで感染してしまう。また、攻撃の頻度(通常のComcast IPアドレス)が高すぎて、telnet daemon がクラッシュするため、一時間に数回は再起動が必要である。ハードコードされているパスワードもあり、これらはユーザによって変更できない。このようなデバイスを持っている場合は、もう手遅れだろう。
【編集者メモ】(Murray)
IoT のもっと大きな問題は、攻撃者によって機能を使えなくするのではなく、ブルートフォース攻撃を行うために一般的な機能を攻撃されることだ。
【編集者メモ】(Honan)
IoT セキュリティについて語る時、デバイスそのもののセキュリティか所有者のプライバシーにフォーカスされる。この記事と Brian Krebs氏のウェブサイトに対するDDoS攻撃は、一つの機器または企業における悪いセキュリティがインターネットコミュニティ全体に悪影響を及ぼすことを証明する例である。

◆ Lock Down Your Loginキャンペーンが強い認証を促進(2016.9)
ホワイトハウスは National Cyber Security Alliance によって、テクノロジー企 業やその他の企業と協力し、ユーザに対して、ソーシャルメディア、メールや金融 関連のアカウントに対し強い認証を実装する方法を教育している。この Lock Down Your Login キャンペーンのウェブサイトでは、様々な多要素認証とそれらをどの ようにして利用できるかを紹介している。

https://www.cnet.com/news/white-house-obama-lock-down-your-login-password-authentication/
https://www.lockdownyourlogin.com/

【編集者メモ】(Murray)
他のメカニズムでは、これほどリスクを減少させることはできないし、手間もそれほどかからない。 9割以上のユーザがモバイルデバイスを持っている現状において、GoogleはワンタイムパスワードをPOTS経由で送っている。もし侵入された場合、これを活用していないことが原因の一つとなりうるだろう。これらのコードに関してライセンス販売を行っているので、Googleがこれらを実装することを切に願っている。ユーザによる反発を恐れるのであれば、少なくとも、そのオプションを与えてあげてほしい。

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の無料セミナー・イベント        <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○10月14日(金)、11月10日(木)、12月7日(水)
 事例から学ぶ特権ID・監査ログ管理実践セミナー
 ~今、求められるアクセス管理を短期間・低コストで実現する方法とは~
http://www.nri-secure.co.jp/seminar/2016/ac03.html?xmid=300&xlinkid=01

○10月17日(月)、11月11日(金)、12月8日(木)
 標的型攻撃対策ソリューションセミナー
 ~メール・エンドポイントセキュリティ編~
http://www.nri-secure.co.jp/seminar/2016/apt01.html?xmid=300&xlinkid=02

○10/19(水)、11/17(木)
 ファイル交換・転送サービスの正しい選び方
 ~クラウドで業務効率・利便性とセキュリティを両立させるには~
http://www.nri-secure.co.jp/seminar/2016/file01.html?xmid=300&xlinkid=03

○10月24日(月)
 契約書管理がうまくいかない3つの理由とその解決策
 ~真に業務改善に寄与する契約書管理とは~
http://www.nri-secure.co.jp/seminar/2016/contract01.html?xmid=300&xlinkid=04

○10月27日(木)
 SANSコミュニティナイトセッション
 攻撃は最大の防御?
 -The best cyber defence is a strong cyber offence - or is it?-
http://www.nri-secure.co.jp/seminar/2016/sans04.html?xmid=300&xlinkid=05

○12月8日(木)大阪
 NRI関西 ITセキュリティセミナー
 独自調査レポートから見るセキュリティ最前線
 ~サイバー攻撃を迎え撃つ・企業のサイバー攻撃対策 現場の実態~
http://www.nri-secure.co.jp/seminar/2016/1208.html?xmid=300&xlinkid=06

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
□┃サイバーセキュリティ傾向分析レポート2016     <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 今年で12回目の発行となる本レポートでは、標的型攻撃やランサムウェア
 などのマルウェア感染による「ヒトに対する脅威」や、プロダクトの脆弱性
 など「システムに対する脅威」の両面から独自に調査・分析。【DL無料】
http://www.nri-secure.co.jp/security/report/2016/cstar.html?xmid=170&xlinkid=12

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
□┃MAS TRMガイドライン対応セキュリティリファレンス  <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 アマゾンウェブサービス「AWS」を利用する企業のための情報セキュリティ
 に関する手引書(セキュリティリファレンス)を更新。【DL無料・登録不要】
http://www.nri-secure.co.jp/service/consulting/guideline/aws/?xmid=300&xlinkid=13
NRI Secure SANS NewsBites 日本版は、米国の情報セキュリティの専門機関であるSANS Instituteが配信するコンテンツ (SANS NewsBites)をベースに、NRIセキュアテクノロジーズが編集してお届けしています。 世界中でこの1週間に起こったセキュリティのあらゆるトピックと専門家のコメントが掲載されています。原版は、およそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュースソースとして活用されています。組織のセキュリティ管理に関する参考情報としてお役立てください。掲載されている情報は、e-mailを介して自由に他の方に再送していただいて結構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望される方は、弊社ホームページの以下のページよりお申込みください。
http://www.nri-secure.co.jp/security/news_letter/index.html

本ニュースレターは、メールマガジン配信を申し込まれた方、弊社からの情報を希望された方、SANS関連のイベントに参加された方、その他イベント等において弊社講演枠に登録された方に配信しています。
今後、配信をご希望されない方は会社名と御氏名を本文に明記のうえ、件名に【配信不要】、配信先変更をご希望の方は【配信先変更希望】とご記入頂き、新旧のご連絡先も記載のうえ、info@sans-japan.jpまでご返信をお願い致します。なお、情報の反映までにお時間を頂戴する場合がございます。