NRI Secure SANS NewsBites 日本版

Vol.11 No.35 2016年11月25日発行

■■SANS NewsBites Vol.18 No.091-092
(原版: 2016年11月15日、18日)
┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓
 受┃付┃開┃始┃し┃ま┃し┃た┃2017年2月開催SANSトレーニングの
 ━┛━┛━┛━┛━┛━┛━┛━┛受付を開始しました

           = SANS Secure Japan 2017 =
  http://sans-japan.jp/training/event.html

【2月開催第一弾】2017年2月13日~18日[6日間]━ ━ ━ ━ ━ ━ ━ ━
 ◆SEC560:Network Penetration Testing and Ethical Hacking
   -すべてのペンテスターの通過点 - ペンテストスキルの包括的獲得-
 ◆FOR408:Windows Forensic Analysis
-内部不正を突き止めるフォレンジック-
  ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━

【2月開催第二弾】2017年2月20日~25日[6日間]━ ━ ━ ━ ━ ━ ━ ━
 ◆SEC504:Hacker Tools, Techniques, Exploits and Incident Handling
-ペンテスター、インシデントハンドラーへの登竜門-
 ◆SEC503:Intrusion Detection in- Depth
-セキュリティアナリストとしての分析能力の極致へ-
 ◆FOR508:Advanced Digital Forensics and Incident Response
-外部からの侵入に立ち向かうフォレンジック-
  ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━
 ◆SEC401:Security Essentials Bootcamp Style】
   最もポピュラーな情報セキュリティのゴールド・スタンダード。
   情報セキュリティ・ネットワークに関する基本的知識を有している方は必見です

  ○2017年2月6日~8日、15日~17日[6日間]

┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛

 ━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 ■┃CIS Critical Security Controls Ver.6.0 日本語翻訳版 公開!
 ━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
「NIST Cybersecurity Framework」実践のための必須ドキュメント
   20のコントロールで飛躍的なセキュリティレベル向上
     ダウンロードはこちらから↓↓↓
     https://www.cisecurity.org/critical-controls.cfm
   ----------------------------------------------------

「SANS SEC566:Implementing and Auditing the Critical Security
  Controls-In-Depth」は、CIS CSCの実装手法を習得するコースです。
      http://sans-japan.jp/courses/sec566.html
 ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆ Hack the Army バグバウンティチャレンジ (2016.11.11,14)
米陸軍は、初の「Hack the Army」大会を行うことを公表した。今年行われた「Hack the Pentagon」と同様に、特定のシステムに存在するセキュリティ問題を探すこと になる。ただし、静的なWebサイトのみを対象としたPentagonとは異なり、本大会で は陸軍のインフラも対象となっており、 応募者や職員に関する情報が格納されてい るウェブサイトやデータベースが含まれている。 なお、この大会への参加は、招待 者に限定されている。

http://www.darkreading.com/vulnerabilities---threats/us-army-challenges-security-researchers-to-bring-it-on-/d/d-id/1327480?
https://www.wired.com/2016/11/us-military-launches-hack-army-ambitious-bug-bounty-yet/

【編集者メモ】(Pescatore)
このアプローチが DoD 内に広がっているのは良い事だ。連邦政府内の民生部門もこ れに続く時が来ている。
【編集者メモ】
とても賢い、いやずる賢い!。多くのハッカーは、お金よりもエゴの方が大きな動機 となっている。このハッカーたちは、採用にデータに触れる機会を得るのだ。 適切 な人材を発掘できるかもしれない。

◆ Microsoftが定例パッチに関する情報をセキュリティポータルへ移行(2016.11.14)
Microsoftは、来年から月例パッチに関するセキュリティ情報のフォーマットを変更 する。これまで、静的ドキュメントで公開されていたが、Security Updates Guide と呼ばれるデータベースを活用したポータルに移行する。 このポータルは現在プレ ビュー段階にあり、2016年11月、2016年12月そして2017年1月のセキュリティ情報は 両方のフォーマットで公開される。2017年2月からは Security Updates Guide のみ での公開となる。

http://www.zdnet.com/article/microsoft-to-replace-security-bulletin-index-with-new-database-driven-portal/

【編集者メモ】(Ullrich)
やっと…という感じだ。Microsoftのセキュリティ情報は、多くの Windowsのバージ ョンや設定を対象範囲としているため、 構文解析がとても困難になってしまってい る。ひょっとしたらMicrosoftは、構文解析用に標準のフォーマット (XML、など)を 提供してくれるかもしれない。

◆ FriendFinderのネットワークが攻撃を受ける (2016.11.13,14)
FriendFinder Networksの膨大な数のユーザアカウントが攻撃による影響を受けたよ うだ。この攻撃は 10月に行われたとされている。今回の攻撃で、現在も有効なアカ ウントに加え、削除されたアカウントに関する情報も漏えいしたことから、 ほぼす べてのアカウントのパスワードが漏えいしたとされている。

http://computerworld.com/article/3141290/security/biggest-hack-of-2016-412-million-friendfinder-network-accounts-exposed.html
http://www.zdnet.com/article/adultfriendfinder-network-hack-exposes-secrets-of-412-million-users/

【編集者メモ】(Williams)
ここで一番の問題は、「削除」されたアカウントも漏えいしたということだろう。 この発表は、先日 Ashley Madisonもアカウント情報を適切に削除していなかったこ とが発覚した後に行われている。 顧客データを保管している場合は、データを削除 していると謳っているならば、事業者は真実を語るようにしなければならない。

◆ D-Link製ルータにHNAPプロトコルに関する脆弱性(2016.11.11)
US-CERTは、D-LinkルータのHNAPプロトコル解析処理に関する脆弱性のアドバイザリ を公開した。 この問題が悪用されることで「遠隔の第三者がルート権限で任意のコ ードを実行」できる可能性がある。アドバイザリには、影響を受ける D-Link製のル ータ (DIR-823, DIR-822, DIR-818L(W), DIR-895L, DIR-890L, DIR-885L, DIR-880L およびDIR-868L) が掲載されている。D-Link は、影響を受ける製品の一部に対する 修正ファイルを提供しているが、本脆弱性を発見した研究者は、 他の機器も影響を 受ける可能性があると指摘している。

http://computerworld.com/article/3138023/internet/another-hnap-flaw-in-d-link-routers.html
http://www.kb.cert.org/vuls/id/677427
http://supportannouncement.us.dlink.com/announcement/publication.aspx?name=SAP10066

【編集者メモ】(Ullrich)
家庭用あるいは中小企業向けのルータで、 管理インターフェースに脆弱性が存在し ないものは無いと信じている。 ネットワーク外からの管理インターフェースに対す るアクセスを提供しないでほしい。 この機能を提供する必要がある場合は、ファイ アウォールなどの設定により、可能な限り限定した条件となるようにしてほしい。 本脆弱性のように認証を必要としない攻撃の場合、 強いパスワードを設定すること は有効な防御策ではないのだから。
【編集者メモ】(Williams)
幸いなことに HNAPの利用は減ってきている。セキュリティアドバイザリには、「遠 隔から攻撃可能」と記載されているが、LAN内からのみ攻撃が可能である。D-Link製 ルータは出荷時において、WANの管理インターフェースは無効になっており、HNAPは WANインターフェース経由でアクセスできないようになっている。

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃OUCH! 11月号「クラウドを安全に使用するには」について
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
クラウドコンピューティングは、インターネット上のサービス事業者にシステム
やデータの管理を委託するものです。クラウドの利点は、世界中のどこからでも
アクセスでき、データを誰とでも共有できることにありますが、この仕組みを正
しく理解しておかなければ意図しない情報漏えいにつながる可能性があります。
今月は、クラウドを安全に使用するために必要な注意点について、一般ユーザ向
けに分かりやすく解説します。社員の意識向上ツールとしてお使いください。
http://securingthehuman.sans.org/newsletters/ouch/issues/OUCH-201611_jp.pdf
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃ セキュアEggs「情報セキュリティの「たまご」を育てます!」
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 セキュアEgg シリーズは、これから情報セキュリティを本格的に学ぶ方を対象
 としたコース群で、文字どおり「たまご」の意味をもった基礎的な内容を網羅
 した研修プログラムです。ペンテスターやフォレンジックアナリスト、インシ
 デントハンドラーなどのエキスパートとして、情報セキュリティの最前線で活
 躍するために必要な基礎的スキルを演習中心に短時間で効果的に習得できるよ
 うに設計されています。
http://www.nri-secure.co.jp/service/learning/secureeggs.html

 システム開発や運用などの業務に携わる方々にとっても、情報セキュリティの
 要素をご自身のスキルに加えていただく絶好のカリキュラムです。通常パック
 の他にも、実践!サイバーセキュリティ演習 for Eggsもご用意しております。

 ・セキュアEggs(IT+セキュリティ基礎)
2017年1月19日(木)-20日(金)

 ・セキュアEggs(フォレンジック)
2017年1月26日(木)
 ・セキュアEggs(インシデント対応)
2017年1月25日(水)
 ・セキュアEggs(Webアプリケーションセキュリティ)
2017年1月27日(金)
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆ IOTセキュリティに関してエキスパートが連邦議会で証言 (2016.11.16)
米国のエネルギーと商取引に関する下院委員会で、エキスパートたちは IoT のセキ ュリティを確保するために対策が必要であると述べた。 安全でない製品を出荷した 製品開発者にペナルティを与えることや、連邦政府が出資するIoT機器を試験するラ ボの開設のほか、 サイバーセキュリティに特化した新たな連邦政府機関に関するア イデアが上がったという。 この委員会のヒアリングは、先月多くの著名なサイトが 閲覧できなくなる事象を引き起こした Dyn に対して行われたDDoS攻撃に対する事後 分析として行われたもの。

http://www.computerworld.com/article/3141803/security/us-lawmakers-balk-at-call-for-iot-security-regulations.html
http://www.darkreading.com/iot/security-experts-call-for-regulation-on-iot-cybersecurity/d/d-id/1327505?
http://www.theregister.co.uk/2016/11/16/experts_to_congress_you_must_act_on_iot_security_congress_encourage_industry_to_develop_best_practices_you_say/
http://thehill.com/policy/cybersecurity/306418-house-subcommittee-chair-regulation-of-internet-connected-devices-not

【編集者メモ】(Murray)
IoTはローカルではなく、グローバルである。この問題は、優秀な政府による解決策 (現状、反対のことを求めている)は見込めない。Courtney's First Law は、すべて の「もの」は一緒ではなく、 セキュリティ要件もそれぞれ違うということを改めて 気付かせてくれる。一つの重要な分岐点は、公共のネットワーク上から直接修正(ま たは動作可能、修理可能?)可能であるか、ということとプライベートなネットワー ク内での利用を想定していることのように思える。 また、リモートからの修理が可 能であること、 そして何か問題が発覚した際に機器を廃棄するまたは無効にするこ とができるかどうかも確認が必要だ。安い機器は、修理可能である必要はない。 ま してや、リモートからの修理なんてとんでもない。 最後に、サーモスタット、ドロ ーンのようなアクティブな機器と、 温度計やベビーモニターのようなパッシブな機 器はきちんと区別すべきだろう。

◆ 英国の Investigatory Powers Billが議会を通る (2016.11.17)
英国議会は、Investigatory Powers Billを可決させた。この法案は、物議を醸して いる監視に関する法案であり、 英国のインテリジェンス機関に国民を監視する権限 を与えることになるため、 この権限を「包括的で厳格、そして押しつけがましい」 と評する声もある。この法案は、年内に法律として成立する見込みとなっている。 法案では、ISPに対して、すべての顧客のインターネットブラウジングの履歴を一年 間保管するように義務付け、 インテリジェンス機関に「大量の個人情報データセッ ト」を収集する権限を与えることが示されている。 このデータセットには、捜査に 関連しない人たちに関する情報も含まれる可能性がある。 最後に企業は、要請があ れば暗号化されている情報を復号しなければならない。

http://www.zdnet.com/article/snoopers-charter-expansive-new-spying-powers-becomes-law/
http://www.v3.co.uk/v3-uk/news/2477584/snoopers-charter-to-become-law-after-lords-give-up-amendment-fight
http://www.scmagazineuk.com/the-investigatory-powers-bill-is-now-set-to-become-law/article/573616/

◆ ミッションを持ったランサムウエア(2016.11.16)
Ransoc と呼ばれるランサムウエアは、パソコンが児童ポルノの検索またはアクセス した履歴の形跡を探し、見つかった場合は、 支払いを要求するロジックが組み込ま れている。 被害者は、法的処置を執ることと併せて、これらの履歴を一般公開する と脅かされるのだ。Ransoc を使用している犯罪者は、クレジットカードによる支払 いを受け付けている。 これらの取引は簡単に追跡できることから、洗練されている とは言い難い。

https://www.scmagazine.com/vigilante-ransomware-targets-pedophiles-torrent-users/article/573511/
http://www.theregister.co.uk/2016/11/16/ransoc_extortionware/

◆ Android電話端末にバックドア(2016.11.15)
特定の Android スマートフォンに搭載されているファームウエアにバックドアが発 見された。 このバックドアにより、個人に関するデータ、例えばテキストメッセー ジや通話の履歴が中国のサーバに送信されるという。 中国で製造されている価格を 低く抑えられた Android スマートフォンが、主にこの問題の影響を受ける。このフ ァームウエアは中国の国内で販売される機器向けに開発されたものだが、 誤って他 国で販売されたものだという。

http://arstechnica.com/security/2016/11/chinese-company-installed-secret-backdoor-on-hundreds-of-thousands-of-phones/
https://www.cnet.com/news/popular-low-cost-android-phones-have-been-collecting-user-data-without-permission/
http://krebsonsecurity.com/2016/11/chinese-iot-firm-siphoned-text-messages-call-records/

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の無料セミナー・イベント        <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○11月25日(金)、1月19日(木)
 契約書管理がうまくいかない3つの理由とその解決策
 ~真に業務改善に寄与する契約書管理とは~
 http://www.nri-secure.co.jp/seminar/2016/contract01.html?xmid=300&xlinkid=03

○12月7日(水)、1月12日(木)、2月10日(金)、3月9日(木)
 事例から学ぶ特権ID・監査ログ管理実践セミナー
 ~今、求められるアクセス管理を短期間・低コストで実現する方法とは~
 http://www.nri-secure.co.jp/seminar/2016/ac03.html?xmid=300&xlinkid=05

○12月8日(木)
 標的型攻撃対策ソリューションセミナー
 ~メール・エンドポイントセキュリティ編~
 http://www.nri-secure.co.jp/seminar/2016/apt01.html?xmid=300&xlinkid=06

○12月8日(木)                      【大阪開催】
 NRI関西 ITセキュリティセミナー
 独自調査レポートから見るセキュリティ最前線
 ~サイバー攻撃を迎え撃つ・企業のサイバー攻撃対策 現場の実態~
 http://www.nri-secure.co.jp/seminar/2016/1208.html?xmid=300&xlinkid=07

○12月14日(水)
 【Proofpoint】触って実践・体験セミナー
 ~標的型メール攻撃から自社を守る具体的手段~
 http://www.nri-secure.co.jp/seminar/2016/proofpoint01.html?xmid=300&xlinkid=04

○1月13日(金)、2月9日(木)、3月10日(金)
 標的型攻撃対策ソリューションセミナー
 ~メール・端末対策とWebアクセス完全無害化~
 http://www.nri-secure.co.jp/seminar/2016/apt02.html?xmid=300&xlinkid=08

○2月16日(木)
 ファイル交換・転送サービスの正しい選び方
 ~クラウドで業務効率・利便性とセキュリティを両立させるには~
 http://www.nri-secure.co.jp/seminar/2016/file01.html?xmid=300&xlinkid=01

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
□┃サイバーセキュリティ傾向分析レポート2016     <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 今年で12回目の発行となる本レポートでは、標的型攻撃やランサムウェア
 などのマルウェア感染による「ヒトに対する脅威」や、プロダクトの脆弱性
 など「システムに対する脅威」の両面から独自に調査・分析。【DL無料】
 http://www.nri-secure.co.jp/security/report/2016/cstar.html?xmid=170&xlinkid=12

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
□┃MAS TRMガイドライン対応セキュリティリファレンス  <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 アマゾンウェブサービス「AWS」を利用する企業のための情報セキュリティ
 に関する手引書(セキュリティリファレンス)を更新。【DL無料・登録不要】
 http://www.nri-secure.co.jp/service/consulting/guideline/aws/?xmid=300&xlinkid=13
NRI Secure SANS NewsBites 日本版は、米国の情報セキュリティの専門機関であるSANS Instituteが配信するコンテンツ (SANS NewsBites)をベースに、NRIセキュアテクノロジーズが編集してお届けしています。 世界中でこの1週間に起こったセキュリティのあらゆるトピックと専門家のコメントが掲載されています。原版は、およそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュースソースとして活用されています。組織のセキュリティ管理に関する参考情報としてお役立てください。掲載されている情報は、e-mailを介して自由に他の方に再送していただいて結構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望される方は、弊社ホームページの以下のページよりお申込みください。
http://www.nri-secure.co.jp/security/news_letter/index.html

本ニュースレターは、メールマガジン配信を申し込まれた方、弊社からの情報を希望された方、SANS関連のイベントに参加された方、その他イベント等において弊社講演枠に登録された方に配信しています。
今後、配信をご希望されない方は会社名と御氏名を本文に明記のうえ、件名に【配信不要】、配信先変更をご希望の方は【配信先変更希望】とご記入頂き、新旧のご連絡先も記載のうえ、info@sans-japan.jpまでご返信をお願い致します。なお、情報の反映までにお時間を頂戴する場合がございます。