NRI Secure SANS NewsBites 日本版

Vol.11 No.33 2016年11月2日発行

■■SANS NewsBites Vol.18 No.085,086
(原版: 2016年10月25日、28日)
┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓
 申┃込┃受┃付┃中┃
 ━┛━┛━┛━┛━┛
 SANSコミュニティナイトセッション
 制御システムセキュリティのトレンドと対策- Pragmatic ICS security -
 ※同時通訳付き
 日時:2016年11月10日(木) 18:00~19:30 (受付開始:17:30)
 会場:大手町サンケイプラザ 3F 311
 講演者:Eric Cornelius(SANS認定インストラクター)

 ▼詳細は こちらから▼
 http://www.nri-secure.co.jp/seminar/2016/sans05.html

┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛
┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓
 受┃付┃開┃始┃し┃ま┃し┃た┃2017年2月開催SANSトレーニングの
 ━┛━┛━┛━┛━┛━┛━┛━┛受付を開始しました

           = SANS Secure Japan 2017 =
  http://sans-japan.jp/training/event.html

【2月開催第一弾】2017年2月13日~18日[6日間]━ ━ ━ ━ ━ ━ ━ ━
 ◆SEC560:Network Penetration Testing and Ethical Hacking
   -すべてのペンテスターの通過点 - ペンテストスキルの包括的獲得-
 ◆FOR408:Windows Forensic Analysis
-内部不正を突き止めるフォレンジック-
  ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━

【2月開催第二弾】2017年2月20日~25日[6日間]━ ━ ━ ━ ━ ━ ━ ━
 ◆SEC504:Hacker Tools, Techniques, Exploits and Incident Handling
-ペンテスター、インシデントハンドラーへの登竜門-
 ◆SEC503:Intrusion Detection in- Depth
-セキュリティアナリストとしての分析能力の極致へ-
 ◆FOR508:Advanced Digital Forensics and Incident Response
-外部からの侵入に立ち向かうフォレンジック-
  ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━
 ◆【残席わずか】SEC401:Security Essentials Bootcamp Style】
    最もポピュラーな情報セキュリティのゴールド・スタンダード。
    情報セキュリティ・ネットワークに関する基本的知識を有している方は必見です
     ○2016年11月14日~19日[6日間]
  ○2017年2月6日~8日、15日~17日[6日間]

┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛

 ━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 ■┃CIS Critical Security Controls Ver.6.0 日本語翻訳版 公開!
 ━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
「NIST Cybersecurity Framework」実践のための必須ドキュメント
   20のコントロールで飛躍的なセキュリティレベル向上
     ダウンロードはこちらから↓↓↓
     https://www.cisecurity.org/critical-controls.cfm
   ----------------------------------------------------

「SANS SEC566:Implementing and Auditing the Critical Security
  Controls-In-Depth」は、CIS CSCの実装手法を習得するコースです。
      http://sans-japan.jp/courses/sec566.html
 ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆ DNSプロバイダ Dyn に対するDDoS攻撃で感染したIoTデバイスが攻撃に加担していた(2016.10.21,22,23)
DNS サービスプロバイダ Dyn に対する大規模な DDoS 攻撃によって、TwitterやAm-azon、Spotify や Netflix などの著名なサイトが先週の金曜に閲覧できない状態となった。Dyn社は、3回に渡り大規模な攻撃を受けていたとされており、現在、米国土安全保障省(DHS) が調査を行っている。この攻撃の一部は、感染した IoTデバイスによって行われたとされている。

http://krebsonsecurity.com/2016/10/hacked-cameras-dvrs-powered-todays-massive-internet-outage/
http://krebsonsecurity.com/2016/10/ddos-on-dyn-impacts-twitter-spotify-reddit/
https://www.washingtonpost.com/news/the-switch/wp/2016/10/21/someone-attacked-a-major-part-of-the-internets-infrastructure/
http://www.csmonitor.com/Technology/2016/1022/How-hackers-carried-out-the-DDoS-cyber-attack-with-DVRs-and-cameras
http://www.zdnet.com/article/blame-the-internet-of-things-for-causing-massive-web-outage/
https://www.wired.com/2016/10/internet-outage-ddos-dns-dyn/

【編集者メモ】(Murray)
これらのデバイスは、インターネット上で常に一定数存在していることから、現在蔓延している基本的な脆弱性の1つである。
【編集者メモ】(Williams)
この攻撃は、多くの著名サイトに影響を及ぼした。なぜなら、これらのサイトは、DynのみをDNSサービスのプロバイダとして信頼していたからだ。大規模に実施することで攻撃者は失敗しないと踏んでいたのだ。

◆ Hangzhou Xiongmai社がウェブカメラをリコール(2016.10.24)
中国の Hangzhou Xiongmai社が製造している一部のウェブカメラをリコールした。理由は、これらのデバイスがマルウェアなどに感染し、DNS プロバイダ Dyn社に対する DDoS 攻撃の一部に使われた疑いがあるからとしている。これらのデバイスは、ユーザがデフォルトのパスワードを変更しなかったことから脆弱であったとされている。Xiongmai社は、この脆弱性を2015年に修正したと主張しており、古い製品にも適用できるファームウエアのアップデートも提供しているとのこと。

http://www.zdnet.com/article/chinese-tech-giant-recalls-webcams-used-in-dyn-cyberattack/
http://www.theregister.co.uk/2016/10/24/chinese_firm_recalls_webcams_over_mirai_botnet_infection_ddos_woes/
http://computerworld.com/article/3134548/security/chinese-firm-recalls-camera-products-linked-to-massive-ddos-attack.html

【編集者メモ】(Ullrich)
ユーザがデフォルトパスワードを変更しなかったという一文は間違っている。Mira-iボットネットは変更できない「バックドア」パスワードを攻撃の標的としている。いずれにしても、ファームウエアのアップデートのみが有効な対策であるが、XM社からはファームウエアのアップデートが提供されていないようだ。この件に関して、XM社は名指しで批判されてしまっているが、他にも多くのデバイスがユーザによって変更できないハードコードされた「バックドア」や「サポート用」パスワードを実装しているデバイスは数多く存在する。XMもそうだが、このパスワードの存在は開発者によって公式に通知されたものではないが、ファームウエアを解析するとすぐに出てくるレベルのものだ。これらの機能が発見されても、多くの場合、ファームウエアのアップデートはパスワードを変更するだけで、この機能自体からデフォルトパスワードの機能が無くなるわけではない。
【編集者メモ】(Honan)
この問題は、IOT に潜んでいるもっと大きな問題を浮き彫りにしているような気がしている。企業やユーザに対して、PCを常に最新の状態にしておくことを呼びかけることですら苦労している状態で、IOT 分野でもこの問題はさらに大きくなるだろう。今後、インターネットは、このようなデバイスの接続が多くなり、セキュリティに対する脅威が増える中、回復力の高いものにしていく必要がある。
【編集者メモ】(Liston)
uPNPとデフォルトパスワードが組み合わさると大問題になるだろう。

◆ IOTボットネット:攻撃者はどのようにして脆弱なデバイスを捜索し感染させるのか?(2016.10.21,24)
攻撃者が IOTデバイスを感染させることができたのは、デバイスに関連するIPアド レスを探索し、SSHや telnetが稼働し、かつ変更されていないデフォルトのパスワ ードを悪用しているからである。

https://www.cnet.com/how-to/ddos-iot-connected-devices-easily-hacked-internet-outage-webcam-dvr/

【編集者メモ】(Shpantzer)
DNS 経由で IOTデバイスを見つけることはできる。客先サイトで、DNSログを 20分間解析しただけで、krドメインと通信しているデバイスを発見することができた。
そのデバイスは、IT関連組織幹部のオフィスにあるテレビだった。本件に関連するopenDNSの IOTに関するレポートを確認してみてほしい:
http://info.opendns.com
【編集者メモ】(Pescatore)
製品開発者に対して、製品セキュリティと安全のプライオリティを上げることを強制できるまでは、公共サービスによる宣伝が必要である:「スーパーで買った果物や野菜は使う前に洗う事。つまりAmazonがデバイスを届けてくれたら、すぐにすべてのパスワードを変更する」という考え方と習慣を身につけるために。
【編集者メモ】(Williams)
「利口でないユーザ」がデフォルトパスワードを変更しなかったことを原因にするのは簡単だが、MiraiのIOTボットネットで悪用された多くのデバイスは、このパスワードを簡単に変更する機構が無いだけではなく、一部のデバイスは、パスワードを更新するための「passwd」バイナリが実装すらされていないのだ。ユーザの責に帰するような発言をした人に確認したいのだが、手動でパスワードファイルを直接編集することを求めていることかということに尽きるだろう。この質問に対する回答を出す前に、多くのデバイスはこのパスワード編集機能も無いということを踏まえて、開発者と連携しないことには、デフォルトパスワードの問題は解決できないということを皆さんにも承知いただきたい。

◆ Apple がiOS 10.1に更新、JPEGを悪用できる問題を修正(2016.10.24)
Appleは、モバイル用のOS、iOSを10.1に更新した。この更新では、いくつものセキュリティ問題が修正されており、その中には、細工されたJPEGファイルによる任意のコード実行可能な脆弱性が含まれている。iOS 10が稼働しているデバイスにこの更新は適用可能となっている。

http://arstechnica.com/apple/2016/10/ios-10-1-arrives-with-iphone-7-plus-portrait-mode-and-lots-of-fixes/
https://www.grahamcluley.com/boobytrapped-jpeg-infect-iphone-upgrade-ios-10-1/

◆ OPMに対する攻撃の内側(2016.10.23)
この記事では、米国人事局 (OPM)で発生した大規模な情報漏えいの内側に迫る。発見から攻撃のスコープと規模に関する解析、そして省庁が取り扱う一番機密な情報が漏えいしていたことを認識した時の状況について記載している。この侵入および漏えいが、Cybersecurity Sprintを立ち上がらせた。これは、ホワイトハウスによる取り組みで、一か月以内に連邦政府内のサイバーセキュリティを目に見える形で向上させるもので、これによって、Cybersecurity National Action Plan (CNAP)ができたという内容で締めくくられている。

https://www.wired.com/2016/10/inside-cyberattack-shocked-us-government/

【編集者メモ】(Murray)
この記事は良く書かれており、きちんと調査されているので「読むべき」である。教訓の一つとして、大規模な政府機関または企業である場合、ネットワーク内に感染しているユーザデバイスやシステムが常に存在していることを前提にすることが上げられる。また、企業間も共通で考える事の重要さについても教訓の一つとして上げられるだろう。
【編集者メモ】(Pescatore)
この記事では、感染の規模について詳細が多く記載されているが、教訓や(2段階認証の実装以外の) 感染を回避する方法や発見を早くするためにできることについては、それほど記載していない。一つのポイントは:実際の被害が起きた後、かなりの期間が経過してからようやく内部のデバイスが外部の怪しいデバイスと通信していることに気付いたこと。もう一つは「jump box」と呼ばれている「最重要(crown jewels)」のサーバに注力しなかったことにある。このサーバは、管理サーバですべてのログイン情報が経由するものであるにも関わらずだ。
【編集者メモ】(Shpantzer)
OPM に対するハッキングに関しては、米国下院が出しているレポートも確認してほしい:
https://oversight.house.gov

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃OUCH! 11月号「クラウドを安全に使用するには」について
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
クラウドコンピューティングは、インターネット上のサービス事業者にシステム
やデータの管理を委託するものです。クラウドの利点は、世界中のどこからでも
アクセスでき、データを誰とでも共有できることにありますが、この仕組みを正
しく理解しておかなければ意図しない情報漏えいにつながる可能性があります。
今月は、クラウドを安全に使用するために必要な注意点について、一般ユーザ向
けに分かりやすく解説します。社員の意識向上ツールとしてお使いください。
http://securingthehuman.sans.org/newsletters/ouch/issues/OUCH-201611_jp.pdf
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃ セキュアEggs「情報セキュリティの「たまご」を育てます!」
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 セキュアEgg シリーズは、これから情報セキュリティを本格的に学ぶ方を対象
 としたコース群で、文字どおり「たまご」の意味をもった基礎的な内容を網羅
 した研修プログラムです。ペンテスターやフォレンジックアナリスト、インシ
 デントハンドラーなどのエキスパートとして、情報セキュリティの最前線で活
 躍するために必要な基礎的スキルを演習中心に短時間で効果的に習得できるよ
 うに設計されています。
http://www.nri-secure.co.jp/service/learning/secureeggs.html

 システム開発や運用などの業務に携わる方々にとっても、情報セキュリティの
 要素をご自身のスキルに加えていただく絶好のカリキュラムです。通常パック
 の他にも、実践!サイバーセキュリティ演習 for Eggsもご用意しております。

 ・セキュアEggs(IT+セキュリティ基礎)
2017年1月19日(木)-20日(金)

 ・セキュアEggs(フォレンジック)
2017年1月26日(木)
 ・セキュアEggs(インシデント対応)
2017年1月25日(水)
 ・セキュアEggs(Webアプリケーションセキュリティ)
2017年1月27日(金)
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆ ボットネットによる攻撃を受け、上院議員がIOTセキュリティに関して回答を要求(2016.10.25)
マーク・ワーナー上院議員(民主党、バージニア州選出) が、連邦通信委員会(FCC)や連邦取引委員会(FTC) および国土安全保障省(DHS) の National Cybersecurity& Communications Integration Center(NCCIC) に、Dyn に対して行われた DDoS攻撃で悪用されたセキュリティが確保されていない IOTデバイスの脅威に関し、対策と解決策を要求した。ワーナー議員は、このようなDDoSの脅威に関する対策における ISPの役割、脆弱なデバイスを市場から排除するための戦略やセキュリティへの影響が分かる消費者のための指標の確立などについて質問をしている。

http://krebsonsecurity.com/2016/10/senator-prods-federal-agencies-on-iot-mess/
http://www.warner.senate.gov/public/index.cfm/2016/10/sen-mark-warner-probes-friday-s-crippling-cyber-attack

【編集者メモ】(Pescatore)
ワーナー議員の質問状で良いと思うのは、ISPとFCC(と他の政府機関)がなぜ、家電やユーザ向けサービスに基本レベルのセキュリティを提供するために取り組みをしていないのか、を聞いていることだろう。逆に悪いと思うのは、FCCとISP は 2011年ごろから実際にアクションを取ることをせず、その代わりに FCC/ISP Communica-tions Security, Reliability and Interoperability Council からレポートを発行することしかしていなかったことが明らかになったことだ。私は、2014年初頭に大統領の National Security Telecommunications Advisory Committee (NSTAC)に対し、IOTや基本的なセキュリティ対策、そしてISPとモバイルキャリアの重要性について聞いたことがある。2014年の終わりごろにレポートを出したが、その中にある推奨事項は、さらに報告を増やすことだけだった。ワーナー議員にコメントするとしたら、彼らに簡単なアクションを要求してくださいということに尽きるだろう。もうレポートや報告はたくさんだ。
【編集者メモ】(Ullrich)
ISPは、DDoS 攻撃の原因でも無く加担もしていないが、顧客が接続できない際のサポートにコストの大部分を負担してしまっている。この場合、開発者の怠慢で、攻撃成功が容易な脆弱性が作り込まれ、そのまま出荷されているという点が問題なのだ。他の危険な製品同様、リコールを呼びかけるのは適切なレスポンスだろう。
(Xiongmai 社はリコールを発表したが、どうやってデバイスが回収されるかは不明である)
【編集者メモ】(Murray)
このような些細なデバイスが公共のインフラの弱点になることは、あってはならないことだ。デバイスは、定められた目的のために必要な事・機能のみを提供していれば良いのである。これは、簡単で容易に理解できる「標準」であって、デバイスに攻撃可能な汎用機能が必要な場合、開発者による修正でも、ユーザによるパスワード変更でも無く、公開鍵暗号を使った保護を必須とするべきである。攻撃者によって発見されボットネットの一部にされてしまうのであれば、我々はボットネットを操る攻撃者と同様にデバイスを発見し、削除する権限も必要であり緊急事態だ。この問題を許容すればするほど、問題の解決が難しくなっていく。
【編集者メモ】(Henry)
ワーナー議員は正しい質問をしていると思う。私は、二つの点を問題視している。一つ目は、多くの規制をすることは解決策だと思っていないこと。この問題を解決するには政府内の連携が必要であろう。私は、今まで政府内で過ごしてきた期間の中で分かったことは、このような議員から 3つの政府機関宛に送られた手紙は、各機関がそれぞれ問題に関する対策と今後の戦略を練ることを始めるだろう。この問題はとても深刻である。そして、インフラと消費者を守るため、問題の分析と責任範囲を定義する必要がある。そのために、政府機関同士の連携が必要である。
二つ目は、ここ数年、DDoS攻撃に対するレスポンスで ISPの役割について議論されていることである。これは、真剣に考えるべきであると思う。通常のサービス利用規約では、ISP が規約に違反したユーザの接続を切断することが可能であることが記載されている。そして、安全でないデバイスを利用していることは、規約違反と解釈することが可能である。この国の多くの地域では、年に一回、自動車の安全点検を必須としている。これは、他の運転手に危険を及ぼしていないかを確認しているのである。政府は車道を危険な車が走らないようにする権利を持っているのだ。
適切なポリシーが策定、そして実装されれば ISPは、DDoS問題の解決策の一部となれるのである。このポリシーでは、インフラの保護と消費者の利益を最大限に考慮する必要がある。

◆ FCCが新しいインターネットデータに関するプライバシールールを承認(2016.10.27)
米国連邦通信委員会(FCC) は、機密な顧客データを保護するための新しいルールを承認した。このルールではブロードバンドプロバイダ、例えば Verizon、Comcastや AT&Tなどに対し、FCCが機密と定義したデータを共有する際に顧客の許可を得る必要がある。このデータの中には、詳細な位置情報、財務情報、保険関連情報、子供に関する情報、ウェブブラウジングやアプリ利用の履歴そして通信コンテンツが含まれている。また、ISP は、どのような情報を収集し、誰と共有しているのか、明確にしなければならない。

http://www.csmonitor.com/Technology/2016/1027/Consumer-protection-FCC-ruling-means-users-must-opt-in-to-let-data-be-sold
http://thehill.com/policy/technology/303100-fcc-approves-new-privacy-rules-for-sensitive-internet-data
http://www.zdnet.com/article/fcc-imposes-new-consumer-privacy-rules-on-isps/
https://www.washingtonpost.com/news/the-switch/wp/2016/10/27/the-fcc-just-passed-sweeping-new-rules-to-protect-your-online-privacy/
http://transition.fcc.gov/Daily_Releases/Daily_Business/2016/db1027/DOC-341937A1.pdf

【編集者メモ】(Northcutt)
これは良い取り組みだが実装がすべてだろう。私の iPhone は常にアップデートをしたいと言ってくる。毎回、利用規約を確認する時間など無い。これを上手く回すためには、3大プロバイダは、それぞれ共通のインターフェースを作り、すべての質問に対し PRIVATE または SHARED と記載すべきだ。 もちろんアプリケーション依存ではいけないし、グローバルでなければならない。また、認証メカニズムを設け、未成年のユーザがプライバシーを侵害してゲームするような行為も防ぐべきである。

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の無料セミナー・イベント        <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○11月10日(木)、12月7日(水)、1月12日(木)、2月10日(金)、3月9日(木)
 事例から学ぶ特権ID・監査ログ管理実践セミナー
 ~今、求められるアクセス管理を短期間・低コストで実現する方法とは~
http://www.nri-secure.co.jp/seminar/2016/ac03.html?xmid=300&xlinkid=02

○11月18日(金)                     【名古屋開催】
 標的型攻撃対策ソリューションセミナー(名古屋)
 ~メール・端末対策とWebアクセス完全無害化~
http://www.nri-secure.co.jp/seminar/2016/1118.html?xmid=300&xlinkid=04

○11/17(木)、2月16日(木)
 ファイル交換・転送サービスの正しい選び方
 ~クラウドで業務効率・利便性とセキュリティを両立させるには~
http://www.nri-secure.co.jp/seminar/2016/file01.html?xmid=300&xlinkid=05

○11月25日(金)
 契約書管理がうまくいかない3つの理由とその解決策
 ~真に業務改善に寄与する契約書管理とは~
http://www.nri-secure.co.jp/seminar/2016/contract01.html?xmid=300&xlinkid=06

○12月8日(木)
 標的型攻撃対策ソリューションセミナー
 ~メール・エンドポイントセキュリティ編~
http://www.nri-secure.co.jp/seminar/2016/apt01.html?xmid=300&xlinkid=03

○12月8日(木)                      【大阪開催】
 NRI関西 ITセキュリティセミナー
 独自調査レポートから見るセキュリティ最前線
 ~サイバー攻撃を迎え撃つ・企業のサイバー攻撃対策 現場の実態~
http://www.nri-secure.co.jp/seminar/2016/1208.html?xmid=300&xlinkid=07

○1月13日(金)、2月9日(木)、3月10日(金)
 標的型攻撃対策ソリューションセミナー
 ~メール・端末対策とWebアクセス完全無害化~
http://www.nri-secure.co.jp/seminar/2016/apt02.html?xmid=300&xlinkid=08

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
□┃サイバーセキュリティ傾向分析レポート2016     <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 今年で12回目の発行となる本レポートでは、標的型攻撃やランサムウェア
 などのマルウェア感染による「ヒトに対する脅威」や、プロダクトの脆弱性
 など「システムに対する脅威」の両面から独自に調査・分析。【DL無料】
http://www.nri-secure.co.jp/security/report/2016/cstar.html?xmid=170&xlinkid=12

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
□┃MAS TRMガイドライン対応セキュリティリファレンス  <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 アマゾンウェブサービス「AWS」を利用する企業のための情報セキュリティ
 に関する手引書(セキュリティリファレンス)を更新。【DL無料・登録不要】
http://www.nri-secure.co.jp/service/consulting/guideline/aws/?xmid=300&xlinkid=13
NRI Secure SANS NewsBites 日本版は、米国の情報セキュリティの専門機関であるSANS Instituteが配信するコンテンツ (SANS NewsBites)をベースに、NRIセキュアテクノロジーズが編集してお届けしています。 世界中でこの1週間に起こったセキュリティのあらゆるトピックと専門家のコメントが掲載されています。原版は、およそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュースソースとして活用されています。組織のセキュリティ管理に関する参考情報としてお役立てください。掲載されている情報は、e-mailを介して自由に他の方に再送していただいて結構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望される方は、弊社ホームページの以下のページよりお申込みください。
http://www.nri-secure.co.jp/security/news_letter/index.html

本ニュースレターは、メールマガジン配信を申し込まれた方、弊社からの情報を希望された方、SANS関連のイベントに参加された方、その他イベント等において弊社講演枠に登録された方に配信しています。
今後、配信をご希望されない方は会社名と御氏名を本文に明記のうえ、件名に【配信不要】、配信先変更をご希望の方は【配信先変更希望】とご記入頂き、新旧のご連絡先も記載のうえ、info@sans-japan.jpまでご返信をお願い致します。なお、情報の反映までにお時間を頂戴する場合がございます。