NRI Secure SANS NewsBites 日本版

Vol.11 No.31 2016年10月14日発行

■■SANS NewsBites Vol.18 No.079, 080
(原版: 2016年10月4日、7日)
┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓
 申┃込┃受┃付┃中┃★☆★残席わずか★☆★
 ━┛━┛━┛━┛━┛
 SANSコミュニティナイトセッション
 -The best cyber defence is a strong cyber offence - or is it?-
 ※同時通訳付き
 日時:2016年10月27日(木) 18:00~19:30 (受付開始:17:30)
 会場:秋葉原UDX 4階Gallery Next2
 講演者:Jake Williams(SANS認定インストラクター)
     James Tarala (SANSシニアインストラクター)

 ▼詳細は こちらから▼
 http://www.nri-secure.co.jp/seminar/2016/sans04.html

┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛

┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓
 受┃付┃開┃始┃し┃ま┃し┃た┃2017年2月開催SANSトレーニングの
 ━┛━┛━┛━┛━┛━┛━┛━┛受付を開始しました

           = SANS Secure Japan 2017 =
  http://sans-japan.jp/training/event.html

【2月開催第一弾】2017年2月13日~18日[6日間]━ ━ ━ ━ ━ ━ ━ ━
 ◆SEC560:Network Penetration Testing and Ethical Hacking
   -すべてのペンテスターの通過点 - ペンテストスキルの包括的獲得-
 ◆FOR408:Windows Forensic Analysis
-内部不正を突き止めるフォレンジック-
  ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━

【2月開催第二弾】2017年2月20日~25日[6日間]━ ━ ━ ━ ━ ━ ━ ━
 ◆SEC504:Hacker Tools, Techniques, Exploits and Incident Handling
-ペンテスター、インシデントハンドラーへの登竜門-
 ◆SEC503:Intrusion Detection in- Depth
-セキュリティアナリストとしての分析能力の極致へ-
 ◆FOR508:Advanced Digital Forensics and Incident Response
-外部からの侵入に立ち向かうフォレンジック-
  ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━
 ◆【残席わずか】SEC401:Security Essentials Bootcamp Style】
    最もポピュラーな情報セキュリティのゴールド・スタンダード。
    情報セキュリティ・ネットワークに関する基本的知識を有している方は
    必見です
     ○2016年11月14日~19日[6日間]
  ○2017年2月6日~8日、15日~17日[6日間]

┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛

 ━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 ■┃CIS Critical Security Controls Ver.6.0 日本語翻訳版 公開!
 ━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
「NIST Cybersecurity Framework」実践のための必須ドキュメント
   20のコントロールで飛躍的なセキュリティレベル向上
     ダウンロードはこちらから↓↓↓
     https://www.cisecurity.org/critical-controls.cfm
   ----------------------------------------------------

「SANS SEC566:Implementing and Auditing the Critical Security
  Controls-In-Depth」は、CIS CSCの実装手法を習得するコースです。
      http://sans-japan.jp/courses/sec566.html
 ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆ DHSによると攻撃者は米国州管轄の投票者登録システムを探っている (2016.10.1,3)
米国土安全保障省(DHS) 当局者によると、少なくとも20の州において、投票者登録システムが攻撃者によって侵入または探索されているという。 DHSによると、データが改ざんされた証拠は今のところ無いとしている。しかしながら、侵入されているという事実は、国民がこれらのシステムの完全性を疑う理由になっている。

http://fortune.com/2016/10/01/hackers-targeted-election-systems/
http://www.darkreading.com/cloud/hackers-attacked-voter-registration-systems-of-20-us-states-says-official/d/d-id/1327079

◆ 英国の National Cyber Security Centre 本部が正式に業務を開始 (2016.10.3)
英国の National Cyber Security Centre が業務を開始した。英国のサイバー脅威における対応の調整を行い、官民の組織に対し支援を行うとしており、大きな目的が組織案内に 4つ記載されている:サイバーセキュリティ環境を把握し、共有する;官民の組織におけるサイバーセキュリティ向上の支援;サイバーセキュリティインシデントの対応;そして自組織のサイバーセキュリティ機能の促進とリーダーシップの提供である。

http://www.scmagazineuk.com/ncsc-will-be-based-in-the-nova-office-and-shopping-complex-near-victoria-station-in-london/article/526405/
http://www.v3.co.uk/v3-uk/news/2472782/uk-national-cyber-security-centre-comes-online-to-protect-nation-from-threats

【編集者メモ】(Shpantzer)
私は、国の活動として、これらの「Centre」が組織に出向き、ASD 35 の Top4を実装してくることを望んでいる。ベンダーは、ソフトウェアを無償で提供することで有効性を証明するだけなく、この実証実験を支援したことで PR においても大きな利益を得る事ができるだろう。どなたか、同じ考えを持っていないだろうか?
【編集者メモ】(Paller)
私は、Spantzer氏の提案に賛成だ。一番費用対効果が高いものを実装できる製品を全国で競い合うのは良いことだ。

◆ Apple がWoSign発行の証明書をブロックする(2016.10.3)
次のiOSおよびmacOSのアップデートにおいて、Appleは WoSign CA (認証局) Free SSL Certificate G2 Intermediate CAが発行する証明書の信頼をブロックするとのこと。先週、Mozillaは、WoSignがSHA-1の利用に関するルールを回避するために証明書の日付を遡って発行しているだけでなく、StartComの買収に関して情報を開示していなかったことが発覚したことから、WoSignの証明書をブロックする事を検討していると発表している。

http://www.theregister.co.uk/2016/10/03/apple_wosign_certificates/

【編集者メモ】(Ullrich)
新しく発行された証明書のみがブロックの対象となる。利用している証明書が 9月19日以前に発行され、Certificate Transparency(証明書の透明性)ログに公開されているのであれば、今のところ大丈夫だろう。その中で、WoSign/StartSSL の証明書利用の停止を考えるべきだ。無料の選択肢として、「letsencrypt」 がある。だが、letencryptの証明書は 3か月で期限が切れるため、再発行を自動化する必要がある (これを有効にするスクリプトが提供されている)。
【編集者メモ】(Northcutt)
The Registerの記事だけでは真相は全て把握できない。「トラストアンカー」はホワイトリスト、信頼できる認証局によって署名されたソフトウェアを信頼する上で重要な役割を担っている。CAが無責任な行動を取ると、ダウンストリームへの影響は計り知れないものになる。Mozillaは、WoSign にプロセスを見直す機会を与えるとして、一年間のみのブロックしかしないとしているが、これは、技術的な問題では無く、プロセスの問題である。下記にある Schraugerの記事には有益な情報が提供されているので参照されたい。

https://www.schrauger.com
https://support.apple.com
http://www.zdnet.com

◆ IoTを標的にしたDDoS攻撃のコードがオンライン上で共有される (2016.10.2,3)
IoT を悪用しボットネットを構築した攻撃用のソースコードが公開された。Miraiと呼ばれるこのコードは、先月、KrebsOnSecurity を標的にした DDoS 攻撃でも利用された。インターネットを監視している組織は、既に脆弱な IoT機器を探索するスキャンが増加していることを観測している。

http://www.bbc.com/news/technology-37540732
http://arstechnica.com/security/2016/10/brace-yourselves-source-code-powering-potent-iot-ddoses-just-went-public/
http://www.theregister.co.uk/2016/10/03/iot_botnet/
http://krebsonsecurity.com/2016/10/source-code-for-iot-botnet-mirai-released/

【編集者メモ】(Williams)
このコードが公開されたことは興味深いが、その一方で既にバックドアが仕込まれたバージョンのコードもあちらこちらで公開されていることも発見している。自組織の環境をテストするためにコードをダウンロードしてコンパイルする際は、十分に注意をしていただきたい。
【編集者メモ】(Murray)
この一連の出来事の中で忘れてはいけないのは、この攻撃で乗っ取られた機器がカメラであるということだ。心配の種は、アプライアンス機能や汎用機能が悪用されることであり、これは今後も注意すべきだ。いつの日か、これらの機器からコミュニティを守る術として、悪党より先行してテイクダウンする時期が来るかもしれない。

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃OUCH! 10月号「安全を保つための4つのステップ」について
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
テクノロジーが進歩するのに伴い、セキュリティに関するガイドラインも新しい
ものが次々に出てきます。そのため、セキュリティに関するアドバイスで結局何
をしなければならないのか混乱するかも知れませんが、自分自身を守るためにで
きる基本的な対策は存在します。今月は、普遍的に通用するセキュリティ上の注
意事項について一般ユーザ向けに分かりやすく解説します。社員の意識向上ツー
ルとしてお使いください。
http://securingthehuman.sans.org/newsletters/ouch/issues/OUCH-201610_jp.pdf
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃ セキュアEggs「情報セキュリティの「たまご」を育てます!」
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 セキュアEgg シリーズは、これから情報セキュリティを本格的に学ぶ方を対象
 としたコース群で、文字どおり「たまご」の意味をもった基礎的な内容を網羅
 した研修プログラムです。ペンテスターやフォレンジックアナリスト、インシ
 デントハンドラーなどのエキスパートとして、情報セキュリティの最前線で活
 躍するために必要な基礎的スキルを演習中心に短時間で効果的に習得できるよ
 うに設計されています。
http://www.nri-secure.co.jp/service/learning/secureeggs.html

 システム開発や運用などの業務に携わる方々にとっても、情報セキュリティの
 要素をご自身のスキルに加えていただく絶好のカリキュラムです。通常パック
 の他にも、実践!サイバーセキュリティ演習 for Eggsもご用意しております。

 ・セキュアEggs(IT+セキュリティ基礎)
2017年1月19日(木)-20日(金)

 ・セキュアEggs(フォレンジック)
2017年1月26日(木)
 ・セキュアEggs(インシデント対応)
2017年1月25日(水)
 ・セキュアEggs(Webアプリケーションセキュリティ)
2017年1月27日(金)
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆ 元NSA請負事業社の従業員を逮捕 (2016.10.5)
FBIは、機密情報の窃取に関する調査の一環として、NSAの元請負事業者であった従業員を 8月に逮捕していたことが明らかとなった。法執行機関が、Harold Thomas Martin 3世の家や車中で極秘文書を発見しており、同氏は政府資産の窃盗や不正削除、機密扱いの資料の保持の罪に問われている。

http://www.nytimes.com/2016/10/06/us/nsa-leak-booz-allen-hamilton.html
https://fcw.com/articles/2016/10/05/fbi-booz-contractor-arrest.aspx
http://www.computerworld.com/article/3128245/security/fbi-arrests-an-nsa-contractor-suspected-of-stealing-documents-hacking-tools.html
https://www.justice.gov/usao-md/pr/government-contractor-charged-removal-classified-materials-and-theft-government-property

【編集者メモ】(Pescatore)
2013 年にスノーデンによる漏えいが発覚した際、NSA所長が特権を持つユーザアカウントの監視や制御よりも、システム管理者を 9割減らすことに注力したことを発表したことで、このようなことが起きたのは必然だったと言えよう。本当に悪意を持ったシステム管理者を発見するのは難しいかもしれないが、特権アカウントの管理やデータベース操作の監視用ツールは様々な大企業によって活用されており、それほど悪意の無い攻撃者を発見することに使われている。これによって、以前は数年かかっていた発見が数か月で発見可能になっている。

◆ Yahooは米国政府のためにメールをスキャンしていた (2016.10.4,5)
Reuters によると、Yahoo は顧客が受信するメールをすべてスキャンするためのツールを開発したという。このツールは、特定の文字列を検索する機能があり、米国政府のインテリジェンス機関の要請で開発されていた。これは、米国のインターネット事業者が政府の要請によってすべての受信メッセージをスキャンするという初の事例と考えられている。元従業員の証言によると、役員の中には、この要請に応じたことを反対していた人もいたとされている。当時 Yahooの CISOであった Alex Stamos氏は、2015年 6月に退職している。

http://www.reuters.com/article/us-yahoo-nsa-exclusive-idUSKCN1241YT
http://arstechnica.com/tech-policy/2016/10/report-fbi-andor-nsa-ordered-yahoo-to-build-secret-e-mail-search-tool/
https://www.washingtonpost.com/lifestyle/style/yahoo-helps-the-government-read-your-emails-just-following-orders-they-say/2016/10/05/05648894-8b01-11e6-875e-2c1bfe943b66_story.html

【編集者メモ】(Pescatore) これは、経営陣と話をする際に活用できる教訓である。Yahoo が監視のために政府の要請に応じたからという観点からではなく、Yahoo の CEO が CISOによる推薦事項を無視し続け、ユーザに不便を感じさせないために高いリスクを許容してしまっていた、という観点からである。Yahoo がこの決断を下していた頃とほぼ同じ時期、競合であるGoogleは反対の道を進んでおり、ユーザに不便を与えながら自社とデータを守っていた。金銭的な観点だけで見ても、どちらが正しいビジネス的な判断をしたのかは一目瞭然であろう。
【編集者メモ】(Honan)
この問題は、EU と米国間の 「EU市民が米国のサービスプロバイダを利用する際のプライバシーに関する議論」を再燃する可能性がある。
Irish Data Protection Commissioner が、Yahoo! のヨーロッパ本部がダブリンにあることから、この問題に関する調査を開始している。
https://www.rte.ie

【編集者メモ】(Northcutt)
Yahoo の株価が昨日落ちたとのこと (Verizon による買収価格と同じように、というのは偶然ではない)。 私は、この一連の出来事が今後、サイバーセキュリティの失敗が M&Aにおいてどれほど金銭的な影響を与えるか、良い事例となるための一つのドキュメントをまとめている。
https://www.thestreet.com
https://securitywa.blogspot.com

◆ アリゾナ州の投票者登録システム侵入に関する詳細(2016.10.5)
アリゾナ州の総務長官が、投票者登録システムの侵入は従業員を騙ったメールによるものだったと発表した。マサチューセッツ州ケンブリッジで行われたセキュリティカンファレンス Cyber Summit で、ミシェル・レーガン長官は、侵入者によって投票者に関するデータがアクセスされたが、投票を集計するメカニズムにはアクセスされていないと述べている。また、侵入が検知された後、すぐにシステム全体を停止したという。

http://www.cnbc.com/2016/10/05/email-that-hacked-az-voter-registration-looked-like-an-employee-said-official.html

【編集者メモ】(Murray)
DHS のジェイ・ジョンソン長官が、いくつかの侵入について語っているが、このインデントは、単独のものではないと推察できる。
http://www.breitbart.com

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の無料セミナー・イベント        <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○10/19(水)、11/17(木)
 ファイル交換・転送サービスの正しい選び方
 ~クラウドで業務効率・利便性とセキュリティを両立させるには~
 http://www.nri-secure.co.jp/seminar/2016/file01.html?xmid=300&xlinkid=03

○10月24日(月)
 契約書管理がうまくいかない3つの理由とその解決策
 ~真に業務改善に寄与する契約書管理とは~
 http://www.nri-secure.co.jp/seminar/2016/contract01.html?xmid=300&xlinkid=04

○10月27日(木)
 SANSコミュニティナイトセッション
 攻撃は最大の防御?
 -The best cyber defence is a strong cyber offence - or is it?-
 http://www.nri-secure.co.jp/seminar/2016/sans04.html?xmid=300&xlinkid=05

○11月10日(木)、12月7日(水)
 事例から学ぶ特権ID・監査ログ管理実践セミナー
 ~今、求められるアクセス管理を短期間・低コストで実現する方法とは~
 http://www.nri-secure.co.jp/seminar/2016/ac03.html?xmid=300&xlinkid=01

○11月11日(金)、12月8日(木)
 標的型攻撃対策ソリューションセミナー
 ~メール・エンドポイントセキュリティ編~
 http://www.nri-secure.co.jp/seminar/2016/apt01.html?xmid=300&xlinkid=02

○12月8日(木)大阪
 NRI関西 ITセキュリティセミナー
 独自調査レポートから見るセキュリティ最前線
 ~サイバー攻撃を迎え撃つ・企業のサイバー攻撃対策 現場の実態~
 http://www.nri-secure.co.jp/seminar/2016/1208.html?xmid=300&xlinkid=06

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
□┃サイバーセキュリティ傾向分析レポート2016     <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
今年で12回目の発行となる本レポートでは、標的型攻撃やランサムウェア
などのマルウェア感染による「ヒトに対する脅威」や、プロダクトの脆弱性
など「システムに対する脅威」の両面から独自に調査・分析。【DL無料】
http://www.nri-secure.co.jp/security/report/2016/cstar.html?xmid=170&xlinkid=12

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
□┃MAS TRMガイドライン対応セキュリティリファレンス  <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
アマゾンウェブサービス「AWS」を利用する企業のための情報セキュリティ
に関する手引書(セキュリティリファレンス)を更新。【DL無料・登録不要】
http://www.nri-secure.co.jp/service/consulting/guideline/aws/?xmid=300&xlinkid=13
NRI Secure SANS NewsBites 日本版は、米国の情報セキュリティの専門機関であるSANS Instituteが配信するコンテンツ (SANS NewsBites)をベースに、NRIセキュアテクノロジーズが編集してお届けしています。 世界中でこの1週間に起こったセキュリティのあらゆるトピックと専門家のコメントが掲載されています。原版は、およそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュースソースとして活用されています。組織のセキュリティ管理に関する参考情報としてお役立てください。掲載されている情報は、e-mailを介して自由に他の方に再送していただいて結構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望される方は、弊社ホームページの以下のページよりお申込みください。
http://www.nri-secure.co.jp/security/news_letter/index.html

本ニュースレターは、メールマガジン配信を申し込まれた方、弊社からの情報を希望された方、SANS関連のイベントに参加された方、その他イベント等において弊社講演枠に登録された方に配信しています。
今後、配信をご希望されない方は会社名と御氏名を本文に明記のうえ、件名に【配信不要】、配信先変更をご希望の方は【配信先変更希望】とご記入頂き、新旧のご連絡先も記載のうえ、info@sans-japan.jpまでご返信をお願い致します。なお、情報の反映までにお時間を頂戴する場合がございます。