NRI Secure SANS NewsBites 日本版

Vol.12 No.01 2017年1月27日発行

■■SANS NewsBites Vol.19 No.001-006
(原版: 2017年1月3日、6日、10日、13日、17日、20日)


┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓
 締┃切┃間┃近┃2017年2月開催SANSトレーニング締切間近!
 ━┛━┛━┛━┛
           = SANS Secure Japan 2017 =
  http://sans-japan.jp/training/event.html

【2月開催第一弾】2017年2月13日~18日[6日間]━ ━ ━ ━ ━ ━ ━ ━
 ◆SEC560:Network Penetration Testing and Ethical Hacking
   -すべてのペンテスターの通過点 - ペンテストスキルの包括的獲得-
 ◆FOR408:Windows Forensic Analysis
-内部不正を突き止めるフォレンジック-
  ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━

【2月開催第二弾】2017年2月20日~25日[6日間]━ ━ ━ ━ ━ ━ ━ ━
 ◆FOR508:Advanced Digital Forensics and Incident Response
-外部からの侵入に立ち向かうフォレンジック-

              ※SEC504は満席につき受付を終了いたしました。

┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛

 ━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 ■┃CIS Critical Security Controls Ver.6.0 日本語翻訳版 公開中!
 ━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
「NIST Cybersecurity Framework」実践のための必須ドキュメント
   20のコントロールで飛躍的なセキュリティレベル向上
     ダウンロードはこちらから↓↓↓
     https://www.cisecurity.org/critical-controls.cfm
   ----------------------------------------------------

「SANS SEC566:Implementing and Auditing the Critical Security
  Controls-In-Depth」は、CIS CSCの実装手法を習得するコースです。
      http://sans-japan.jp/courses/sec566.html
 ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆ DHS当局者によるロシアが行ったとされるハッキングに関する主張に誤り:バーモント州は証拠の中に無かった(2016.12.31, 2017.1.2,3)
先週金曜日のワシントンポスト紙に掲載された「米国当局者が、ロシアのハッカーがバーモント州の電力会社を介して電力網に侵入したと述べた。」という記事は誤りであった。バーモント州からの報告に基づき、政府は同州の16業種の公共団体を対象に、仕込まれたコードの調査を行った。同紙は、バーモント州にあるBurlington Electric社にあったノートパソコンによる不審な挙動を調査したところ、ロシアによる施設への侵入の試みは見つからなかったと報じている。先週、Burlington Electricの職員がメールを確認した際に、PCが不審な IPアドレスに接続しているとの警告を受けていた。同PCでは Neutrino と呼ばれるツールキットが見つかったが、悪意のあるロシアの活動とは無関係だという。

https://www.washingtonpost.com/world/national-security/russian-government-hackers-do-not-appear-to-have-targeted-vermont-utility-say-people-close-to-investigation/2017/01/02/70c25956-d12c-11e6-945a-76f69a399dd5_story.html
http://www.forbes.com/forbes/welcome/?toURL=http://www.forbes.com/sites/kalevleetaru/2017/01/01/fake-news-and-how-the-washington-post-rewrote-its-story-on-russian-hacking-of-the-power-grid/&refURL=&referrer=#72325863291e
http://www.theregister.co.uk/2017/01/03/russian_grid_attack_turns_out_to_be_a_damp_squib/
【元記事】
https://www.washingtonpost.com/world/national-security/russian-hackers-penetrated-us-electricity-grid-through-a-utility-in-vermont/2016/12/30/8fc90cc4-ceec-11e6-b8a2-8c2a61b0436f_story.html
https://www.cnet.com/news/russian-hackers-strike-us-electrical-grid-grizzly-steppe-leahy-burlington-electric/

【編集者メモ】(Assante)
公開された侵入の痕跡(IOC) に関する詳細などから、今回の調査でロシアのインテリジェンスサービス(RIS) と無関係であったことは、特段驚きはしない。しかし、過去5年間にRISによる米国のエネルギーインフラへのアクセスの試みが知られ、文書化されていることから、今後も広く警戒すべきである。多くの攻撃キャンペーンは、Black Energy 2または Havexのマルウエアが使用されており、発見されるまでに数年かかっている。
【編集者メモ】(Murray)
この事実によって、我々が電力に頼っていることを曖昧にしてはいけない。電力網は、根本的に脆く、ネットワークからの制御を実装したことで、既知だけでなく未知の脆弱性も作り込んでしまった。2017年は、これらの問題をすべて発見し、端から端まで暗号化を実装し、強い認証で守るという年にしませんか?
【編集者メモ】(Honan)
この中で問題なのは、バーモント州の施設はベストプラクティスに則って、侵入に関する情報を政府に共有し、メディアにまでたどり着いてしまったことだ。メディアに組織名が公開されてしまう恐怖の中、どれだけの組織が情報を共有するだろうか?このインシデントによって、官民の連携に大きなダメージを受けている。

◆ DHS/FBI:Grizzly Steppe レポートでロシアの悪意あるサイバー活動を解説 (2017.1.2)
米国家安全保障省(DHS) と FBIは、共同の分析レポート(JAR) を公開し、その中で米国を標的にしたロシアのインテリジェンスが使用したツールや技術について解説している。

http://www.eweek.com/security/dhs-fbi-report-details-russian-malicious-cyber-activity.html

【編集者メモ】(Shpantzer)
CERT からリリースされた IOC は、IOC の活用においていくつかは有用だが、あくまでも参考でしかないことを示すチャンスだったが、それを逃してしまったように思える。大規模なテクノロジー企業に関連するIPアドレスに関して、先週どれだけ誤検出が多かったのか計り知れない。Robert Lee氏は、レポートの目的と実際のレポートの違いについて良い記事を書いている。

http://www.robertmlee.org/critiques-of-the-dhsfbis-grizzly-steppe-report/

また、Robert Lee氏は、このJARに関して1月6日にWebinarを主催する予定だ:
https://www.sans.org/webcasts/analyzing-dhs-fbis-grizzly-steppe-report-103312

◆弁護士事務所のハッキングで不正に取得した情報を基にインサイダー取引を行った中国人を告訴(2016.12.28,29)
連邦検事が、米国に拠点を置く弁護士事務所のパソコンやシステムに侵入し、企業の合併買収に関する情報を窃取した疑いで中国人3名を告訴した。この3名は不正に取得した情報を使い、株式市場で儲かる取引を行ったとされている。

http://www.eweek.com/security/u.s.-prosecutors-charge-three-chinese-hackers-with-insider-trading.html
https://www.cnet.com/news/hackers-china-millions-off-stolen-insider-trading-info-lawyers/
http://www.theregister.co.uk/2016/12/28/trio_charged_with_4m_insider_trading_by_hacking_merger_lawyers/
https://www.justice.gov/usao-sdny/pr/manhattan-us-attorney-announces-arrest-macau-resident-and-unsealing-charges-against

【編集者メモ】(Paller)
この記事は、弁護士事務所が国際的な諜報活動の標的となっている新たな証拠 (初期段階における IPO情報の窃取) である。顧客の国際的な取り組みに関連するドキュメントは、弁護士事務所でまとめられているため、悪用可能な情報を多いことから、8年前から中国スパイが好んで標的としてきた。当時、MI-5のトップであったJonathan Evans は、2008 年に弁護士事務所が標的として好まれているという珍しい告白をしており、Telegraph によって取り上げられたことがある。脆弱であることが広く知られている中、大手弁護士事務所の中でも 10 社以下が検知やレスポンスに関してアップグレードしていないのが現実である。

http://www.telegraph.co.uk/news/worldnews/1571172/MI5-warns-firms-over-Chinas-internet-spying.html

【編集者メモ】(Shpantzer)
弁護士事務所は、たくさんのデータを保持しているだけでなく、情報セキュリティに関して成熟度が低い。

◆ FDA から市販後の医療機器に関するサイバーセキュリティガイドラインを発行 (2016.12.28)
米国食品医薬品局(FDA) がネットワーク接続する医療機器メーカー向けセキュリティガイダンスの最終版を発行した。このガイドラインへの準拠は必須ではないが、デバイスを販売した後に起こり得るサイバーセキュリティ問題に関して触れており、2014年に発行された販売前に関するガイドラインとセットになっている。FDA は「医療機器メーカーは、サイバーセキュリティのリスクを管理するために組織的な計画を立てるべき」としている。その中で脆弱性を監視・検知することができること、脆弱性が患者にもたらすリスクの分析、脆弱性情報の開示プロセスと修正をタイムリーにリリースすることなどが含まれていることを理想としている。

http://www.govinfosecurity.com/fda-unveils-additional-medical-device-security-guidance-a-9607
http://www.fda.gov/ucm/groups/fdagov-public/@fdagov-meddev-gen/documents/document/ucm482022.pdf

【編集者メモ】(Williams)
医療機器を業務で使うか否かに関わらず、一読することを勧める。FDAは、Information Sharing and Analysis Organization (ISAO)に積極的に参加している組織に対し、セキュリティ事故の報告に関して別のガイドラインを設けている。このガイドラインのドラフト時点で FDAは、積極的な参加を定義していなかったが、最終版では対応している。このガイドラインは、初めて ISAOや ISACに積極的に参加するということを定義したものであり、前例として使われていくだろう。

http://www.fda.gov/downloads/MedicalDevices/DeviceRegulationandGuidance/GuidanceDocuments/UCM482022.pdf

◆ FTC が脆弱なルータやカメラを提供した D-Linkを告訴(2016.1.5)
米連邦取引委員会(FTC) は、「ルータやIPカメラを既知および容易に予測可能なリスクから製品を守ることをしなかった」として D-Link に対し、法的な手続きを開始した。これらのセキュリティ問題は、悪用されることで、情報を盗まれたり、ユーザを監視したりすることができる。

http://arstechnica.com/tech-policy/2017/01/unsecure-routers-webcams-prompt-feds-to-sue-d-link/
http://computerworld.com/article/3155090/security/ftc-goes-after-d-link-for-shoddy-security-in-routers-cameras.html
http://thehill.com/policy/cybersecurity/312897-ftc-files-complaint-against-d-link-routers-cameras
http://arstechnica.com/wp-content/uploads/2017/01/ftcdlinkcomplaint.pdf

【編集者メモ】(Pescatore)
これには2つの良いことが含まれている。(1) FTCが一般向けのルータを販売するベンダに対し、法的手続きを取ったこと、(2) FTCは、D-Link が高度なセキュリティを提供していると表明しているところを問題視し、製品やプロセスに基本的なセキュリティが施されていなかったことにフォーカスしたこと。一般ユーザは、攻撃から自身を守る方向へシフト (最近 Johns Hopkins University/University of Maryland が行ったアンケートが示している) しており、ベンダたちはセキュリティを口にするようになった。FTC によって、行動も大事であることが示されたことが重要である。実際にセキュリティを向上させてから、セキュリティに関するマーケティングを行うべきである。
【編集者メモ】(Williams)
多くのメディアは本件を間違って報道している。FTC は、安全な製品を開発できなかったとしてD-Link を訴えているのではない。FTC は、D-Link が製品のセキュリティに関する記述をしており、それが嘘であることを知っているはず、という点について告訴している。D-Linkがセキュリティ機能に関する記述をしなければ、この告訴は無かっただろう。
【編集者メモ】(Paller)
Jake Williams 氏は正しいことを言っている。多くの企業は、公開しているポリシーの中から顧客のプライバシーを保証するといった記述を削除することでFTC による監視を逃れている。家庭用機器を製造しているベンダは、これができないだろう。しかし、John Pescatore氏が述べるように製品が安全であると記載しないと、販売数が落ちるのが現在の消費者である。FTCに称賛を与えたい。
【編集者メモ】(Northcutt)
こうしないと企業は、適正評価は行わないのだ。サイバーセキュリティは安全と同義であり、そして IoTでは、より一層そうなるだろう。これは、遠距離からハッキングが可能な自動車などに関する前例となり得るだろう。

http://fortune.com/2016/01/26/security-experts-hack-cars/
https://www.wired.com/2016/03/fbi-warns-car-hacking-real-risk/

◆ FTCがIoTセキュリティのコンテスト開催を発表(2017.1.7)
米連邦取引委員会(FTC) は、家庭ネットワークにおける IoTセキュリティに関して一番良いテクニカルなソリューションを提供したものに賞金 2.5万USD を与えるコンテストを開催することを発表した。家庭用ネットワークにツールを接続し、そのネットワークに接続されているIoT 機器にアップデートがあるか否かを確認するものでも良いという。その他の例として、アプリケーション、クラウドベースのサービス、ユーザインターフェースでも良いとしている。登録フォームは、2017年3月1日ごろから提供される。提出の期限は、2017年5月22日で、勝者は2017年7月の終わりに発表される予定である。

http://krebsonsecurity.com/2017/01/the-ftcs-internet-of-things-iot-challenge/
http://www.darkreading.com/vulnerabilities---threats/ftc-launches-contest-for-technology-tool-to-protect-home-iot-devices/d/d-id/1327831?
https://www.ftc.gov/iot-home-inspector-challenge

【編集者メモ】(Murray)
家庭用機器に外部からの攻撃や感染に対し、耐性を持っていて欲しいと願うのは当然なのだが、もっと大きな問題は、これらの機器が直接インターネットに接続可能なことである。これによって、ボットネットの一部になってしまい、DoS 攻撃やブルートフォース攻撃に加担してしまうのだから。

◆ 1月分のAndroidアップデートにて90個の脆弱性が修正される(2017.1.5)
Googleから 2017年最初の Android向けのアップデートでは、90 個の脆弱性が修正された。そのうち、29 個が緊急と評価されている。このアップデートでは、Androidのメディアサーバコンポーネント、Qualcomm のコンポーネントおよび Linuxカーネルに存在する脆弱性を修正している。

http://www.eweek.com/security/google-patches-android-for-90-vulnerabilities-in-january-update.html

【編集者メモ】(Ullrich)
このパッチの中で一番深刻な脆弱性は、Android のメディアサーバにあったリモートからコードが実行する脆弱性である。これらの脆弱性は、影響を受けるライブラリの名前に由来し、「stagefright」と名付けられている。Google は、このライブラリに対し数年前からパッチを提供しており、過去に公開された「stagefright」脆弱性を攻撃するコードは入手可能である。
【編集者メモ】(Paller)
Google が Androidの脆弱性を修正したからといって、Androidユーザが安全になったと勘違いしてはいけないと一言述べておきたい。Googleからユーザまでの複雑なサプライチェーンがあることで、修正がユーザに届くまで、数週間、数か月、はたまた修正そのものが届かないケースもある。

◆ 2016年に一番脆弱性が発見されたのはAndroid(2017.1.4)
2016年を通じて、Google のAndroid OS には 523個の脆弱性が発見され、同年に発見された脆弱性が最も多い製品だったという。Debian Linux と Ubuntu Linuxがそれぞれ 319個と 278個で、2位と3位だった。Adobe Flash Playerは266個で4位であった。

https://www.scmagazine.com/data-more-vulnerabilities-found-in-google-android-than-any-other-program-in-2016/article/629642/

【編集者メモ】(Pescatore)
2015年に CVEの数が一番多かったのは、AppleのMacOSとIOS だった。そして、2016年は、Androidが一番多かった。しかし、2015年と2016年を見ても、MacやiPhoneおよびAndroid 機器に対する攻撃が成功した例は少ない。これは、これらの機器を利用しているユーザが多いことを考えると驚くべきことだ。Apple App Store や Google Play のようなメカニズムがあることで、攻撃が成功する確率が減っているのだ。その中で、Adobe Flash と Acrobatの製品は、2015年、2016年ともにトップ10のうち 4つもあり、ホワイトリスト・アプリケーション制御があまり使われない Windowsプラットフォーム向けの攻撃が成功した事例が多い。

◆ DOEレポート:送電網がいつサイバー攻撃を受けてもおかしくない「危険な状態」 (2017.1.6)
米国エネルギー省(DOE) のレポートによると、米国の送電網はとても「危険な状態」で、いつサイバー攻撃を受けてもおかしくない状況であり、攻撃が高度化しているだけでなく回数も増えているという。このため、送電網のオペレータは、攻撃のリスクを軽減するために、セキュリティ対策を導入している。

https://energy.gov/epsa/downloads/quadrennial-energy-review-second-installment
http://thehill.com/policy/energy-environment/313000-doe-report-highlights-new-threats-to-electric-grid
https://www.bloomberg.com/news/articles/2017-01-06/grid-in-imminent-danger-from-cyber-threats-energy-report-says

◆一部の州が侵入された企業リストを公開(2017.1.6)
米国 50州のうち 47州が、セキュリティが侵害され市民に被害を与えた組織に対して、報告することを義務化している。該当する企業の情報は、カリフォルニア州、インディアナ州、ワシントン州とマサチューセッツ州の4州において公開されており、いつでも入手可能である。

- https://www.wired.com/2017/01/states-now-actually-help-figure-youve-hacked/

◆ St. Jude Medical社がペースメーカーのセキュリティアップデートを公開 (2017.1.9)
米国食品医薬品局(FDA) によると、St. Jude Medical社が製造しているペースメーカーにセキュリティ上の問題があり、バッテリを使い果たしたり、リズムを不正に変更されてしまう可能性があるという。最近、同社を買収した Abbott Laboratories 社は、この脆弱性を修正するアップデートをリリースしており、影響を受ける機器は自動的にアップデートが適用されるという。

http://www.reuters.com/article/us-abbott-stjude-heart-idUSKBN14T1WT
http://money.cnn.com/2017/01/09/technology/fda-st-jude-cardiac-hack/

【編集者メモ】(Williams)
このリリースは、とても意義あるものだ。なぜなら、St. Jude Medical社は、当初 MedSec と Muddy Waters が公開した脆弱性の影響を軽視していた。これは、いくつかの脆弱性による影響が実在する (FDA による警告が出るくらい深刻だった) ことを示している。これから、多くのセキュリティ研究者は、今回のような脆弱性により、上場企業の株式を空売りして儲けることだろう。

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃OUCH! 1月号「ソーシャルエンジニアリングる」について
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
攻撃者があなたの組織や自宅のPCを攻撃する場合、PCを使ってハッキングを仕掛
けるだけではなく、電話やメールなどを駆使して、あなたから重要な情報を盗み
出そうと試みてくる場合もあります。このような攻撃をソーシャルエンジニアリ
ングと呼んでおり、これらの攻撃を未然に防ぐには、彼らの手口を事前に把握し
ておくことが重要です。今月は、ソーシャルエンジニアリングについて解説し、
このような攻撃を見破るためのヒントについて、一般ユーザ向けに分かりやすく
解説します。社員の意識向上ツールとしてお使いください。
https://securingthehuman.sans.org/newsletters/ouch/issues/OUCH-201701_jp.pdf
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆ ウクライナの重要インフラに対するサイバー攻撃により対応水準を引き上げ (2017.1.17,18)
先月、ウクライナの重要インフラに対して行われた一連のサイバー攻撃では、2015年 12月の攻撃で使われたツールと同じものが多く利用され、23 万人近い市民が停電などの影響を受けた。攻撃の標的となった組織には、キエフ付近にある Pivnicha 送電施設、国営の鉄道輸送施設 (State Administration of Railway Transport)、財務省や年金関連の事務所 (Treasury and Pension Fund) が含まれていた。

http://arstechnica.com/security/2017/01/the-new-normal-yet-another-hacker-caused-power-outage-hits-ukraine/
http://www.theregister.co.uk/2017/01/12/ukraine_power_outtage_hack/

【編集者メモ】(Assante)
この攻撃は、意図的に範囲を絞っていたように見える。しかし、送電網の中にある送電関連の施設が攻撃されたという事実は、対応水準を引き上げる理由として充分だろう。

◆ Internet Systems Consortium がBINDの脆弱性を修正するアップデートを公開 (2017.1.13)
Internet Systems Consortium (ISC)が BINDに含まれていたサービス妨害(DoS) の脆弱性を 3件修正しアップデートを公開した。これら 3つの脆弱性は、主に再帰モードで動作する BINDベースの DNSサーバに影響を与えるという。

http://www.theregister.co.uk/2017/01/13/isc_fixes_bind_denialofservice_vuls/

【編集者メモ】(Pescatore)
BIND 10 が数年前に公開されてから BIND の脆弱性が公開される頻度が増えた。また、そのうちの 7割がサービス妨害(DoS) に関する脆弱性である。これは、内部および外部の DNSサービスが適切なタイミングでパッチが適用されているか確認する良い機会である。

◆ 異議申し立てを受け、FBI が Cloudflare に対する NSL を取り下げ(2017.1.12)
Cloudflare社が 2013年にFBIからNational Security Letter(NSL) を受領した際、同社は訴訟を起こして抵抗した。その結果、FBIは、特定の Cloudflareアカウントに関する情報を入手することを目的とした NSLを取り下げた。NSL では、通信に関する情報は要求していなかった。NSL は取り下げられたが、Cloudflare社は、NSLが要求する発言禁止命令に従わなければならず、現在でも NSLがあったこと以外は公開できないままである。

http://www.zdnet.com/article/fbi-withdrew-national-security-letter-after-cloudflare-lawsuit/

◆ 上院議員がエネルギー供給網の保護法案を再提出(2017.1.13)
上院議員2名が、Securing Energy Infrastructure Act を提案した。これは、「米国のエネルギー供給網を昔ながらのアプローチを使い、保護する方法を検討するもの。これらのアプローチは、サイバー攻撃からの保護において一定の成果を上げることを見込んでおり、サイバー攻撃に対して脆弱な可能性があるコンピュータに接続されたオペレーティングシステムなどに代わって、脆弱性が少ない人間によって操作されるアナログなシステムを置くこと」などが検討される。

http://homelandprepnews.com/policy/us_policy/20750-king-risch-introduce-bill-defend-energy-grid-potential-cyber-attacks/
http://dailyenergyinsider.com/news/2885-sen-heinrich-cosponsors-legislation-protect-energy-grid-cyber-attacks/
http://www.risch.senate.gov/public/index.cfm/2017/1/risch-king-reintroduce-legislation-to-protect-energy-grid-from-cyber-attacks

【編集者メモ】(Pescatore)
この法案は、エネルギー業界を後退させる「昔ながらの」ソリューションを優遇させるわけではない。2年間で 1.15億ドルを使ったパイロットプログラムの開発にあてる。このパイロットでは、「対象事業者の産業制御システムを隔離し、保護するために、対象事業者とともにテクノロジープロットフォームや標準の調査、開発、試験、実装などを行う。」サイバー攻撃からの抵抗力を上げると、そのシステムが顧客のニーズを満たす能力を低下させる。また、環境的な問題に素早く対応することは、インフラの安定性を低下させるのである。
【編集者メモ】(Murray)
真実か否かはさておき、エネルギー供給網のオペレータは、システムの変更やコンポーネントの故障に対応できない方が、悪意ある妨害に対応できない事よりも大きなリスクだと考えている。彼らは、強い認証とエンドツーエンドでの暗号化を中心にした戦略ならサポートするだろう。こうすることで、重要な制御へのアクセスを保護するだけでなく、アクセスしていることを秘密のままにできるのだ。

◆ Windows 10のアニバーサリーアップデートで、ゼロデイ攻撃の保護機能を追加 (2017.1.16)
マイクロソフトの Windows Defenderセキュリティチームで攻撃に対する保護機能をテストしている研究者たちは、Windows 10 のアニバーサリーアップデートに、PC を二つのゼロデイ脆弱性から保護する機能が追加されていることを明らかにした。これらの脆弱性は、2016年 11月の月例アップデートでも修正プログラムが提供されている。この研究者たちは、Windows 10 と Edge の AppContainer サンドボックスをテストし、2016年 11月に修正された脆弱性に対し、さらなる検証強化の機能を追加したとしている。

http://www.zdnet.com/article/windows-10-security-so-good-it-can-block-zero-days-without-being-patched/

【編集者メモ】(Pescatore)
「Offense Driven Research」や「Data Driven Software Defense」と呼んでいるものの成果は、頻繁に見られた Windowsの脆弱性を攻撃する難易度を飛躍的に上げたことだろう。私は、「誤検出」のデータが見てみたい - Windows と Edge に組み込まれた対策は、パッチを適用した際に広く使われている正規のアプリを使えなくしてしまう可能性はあるのだろうか?次なるステップは、Apple App Store / Google Play のモデルをマイクロソフトでも標準とすることだろう。
【編集者メモ】(Northcutt)
Win 10 は、過去の MS OS の実装よりも良くなったことは事実だ。しかし、プライバシー情報は機能やセキュリティとのトレードオフで考えられている。このバランスをどこに置くかは、非常に難しい議論である:
https://www.wired.com/2015/08/windows-10-security-settings-need-know/

◆ マイクロソフトが企業に対し Windows 10 への移行を呼びかけ(2017.1.16)
マイクロソフトは、Windows 7 のユーザに対し、Windows 10へ移行するよう呼びかけている。マイクロソフトドイツ支社の Windows チームトップである Markus Nitschkeによると、2009 年にリリースされた Windows 7 は、「現代システムの要件を満たしていないだけでなく、IT部門のセキュリティ要件も満たしていない」と語っている。マイクロソフトは、Windows 7を 2014年に通常サポートから外しており、セキュリティアップデートの提供は 2020年 1月 14日をもって停止する予定。

http://arstechnica.com/information-technology/2017/01/microsoft-tells-corps-to-remember-xp-migrate-away-from-windows-7-sooner-than-later/

【編集者メモ】(Pescatore)
Windows 10 は Windows 7 に比べ、セキュリティ強化されている事実は否めない (前の記事にも記載している通り)が、Windows 7のサポートが切れる前に移行するための費用と便益を考慮する上でセキュリティが強化されているというのは、一つの要素に過ぎない。オペレーションを少し変更 (強い認証の活用、アプリケーション制御や適切な権限管理) するだけで攻撃を受けた時の影響を減らし、コストも抑えた上で Windows 7 を利用し続けることが可能であることは、Australian Signals Directorate が証明してくれた。
【編集者メモ】(Murray)
マイクロソフトは歴史的にセキュリティよりも後方互換性を優先してきた。そのため、私が利用している Office 2007 は、Windows 10 でも問題無く動作する。もっと言えば、多くの COTSソフトウエアは Windows 10でも問題無く動作する。Windows 10へと簡単に移行できない Windows XPのソフトウエアは、特定企業向けのソフトウエアなので、そもそも移行できないだ可能性が高いが、ハードウエアが安いため、それほど問題にならないだろう。私は、自宅に XP システムを 3つ置いている。ほとんどは、特定のマイクロソフトのファイルへのアクセスに利用しており、デスクトップではなく、サーバである。サーバ上のアプリを使う際は、VPN経由で接続し、インターネット上からそのアプリにアクセスできないようにしている。

◆ 2月の月例アップデートから従来のアップデートを変更しデータベース化したものを公開(2017.1.13)
マイクロソフトは、来月のセキュリティアップデートから従来のセキュリティパッチに関する詳細情報をそれぞれ公開することを止めることを明らかにした。その代わり、情報を検索可能なデータベース上に様々なサポートドキュメントとして公開するとしており、従来のセキュリティ更新時と同等の情報を公開するとしている。
このデータベースは、Security Updates Guide (SUG)と呼ばれており、プレビュー版は 2016年 11月からアクセス可能である。公開される情報は、影響を受けるソフトウエア、パッチがリリースされた日、影響度、影響、KB または CVE 番号を使ってソート・フィルタリングするこが可能である。また、マイクロソフトは、Windows 7 および 8.1 向けの一括パッチにも変更を加えている。

http://computerworld.com/article/3157832/windows-pcs/microsoft-slates-end-to-security-bulletins-in-february.html
http://www.zdnet.com/article/microsoft-details-tweaks-to-its-windows-7-8-1-patch-rollups/
https://portal.msrc.microsoft.com/en-us/

【編集者メモ】(Murray)
新たに発見されパッチされた脆弱性は、「ニュース」でなくなる。

◆ さらなるデータベースがランサムウエア攻撃の標的に(2017.1.19)
MongoDB データベースおよび Elasticsearchクラスターを標的にしてきたランサムウエアは、Hadoop および CouchDB データベースも標的に加え活動を続けている。
Hadoopに対する攻撃では、管理者に対し、セキュリティを向上するようメッセージを残している。CouchDBに対する攻撃は、データの返還に 0.1 Bitcoin を要求している。過去の攻撃では暗号化されたデータが回復できなかったことからランサムを支払うことは推奨されていない。

http://computerworld.com/article/3159545/security/attackers-start-wiping-data-from-couchdb-and-hadoop-databases.html
http://www.theregister.co.uk/2017/01/19/insecure_hadoop_installs_under_attack/

【編集者メモ】(Paller)
5年以上も、広く利用されているコンテンツ管理システム(WordPress など) は、攻撃者に対したくさんの脆弱なコードを提供しており、攻撃者達は、様々な組織のパソコンを乗っ取ることに成功している。今度は、データ保管用のシステムが攻撃の対象になっているが、(オープンソースも含め)多くの組織にある、とても簡単に見つかるパターンである。ユーザをたくさん集めているが、セキュリティを後回しにした結果、セキュリティを入れ込むタイミングを逃しているのだ。
◆ Oracle のセキュリティアップデート(2017.1.18)
Oracle の 2017年初の四半期セキュリティパッチアップデートには、270 個の脆弱性を修正している。大半の脆弱性は、リモートからの攻撃が可能である。
Oracle E-Business Suite は、数が一番多く、121 個の脆弱性が修正された。続いて、Oracle Financial Services が 37、Oracle Fusion Middleware が 18だった。

http://www.zdnet.com/article/oracles-monster-security-update-270-fixes-and-over-100-remotely-exploitable-flaws/ http://www.v3.co.uk/v3-uk/news/3002822/oracle-issues-a-whopping-270-security-fixes http://computerworld.com/article/3158694/security/oracle-patches-raft-of-vulnerabilities-in-business-applications.html

【編集者メモ】(Pescatore)
残念なことに、この数の修正は Oracle にとって通常通りである。そして、今後減るような傾向も見当たらない。Oracleのパッチ数と、データセンターでのダウン時間を極力減らさなければならないという要求を同時に考えると、サーバが実際にアップデートされるまで、とてつもなく長い期間が空いてしまうことは仕方がない部分もあるのが現状である。先進的な企業は、AWSやAzure などの IaaSサービスを利用しており、(難読化されたデータを含む)システムのコピーを作って、パッチのテスト期間を短くし、脆弱性が対策されていない期間を短くしようとしている。

◆ KrebsOnSecurity が Mirai作者の追跡に関して詳細な記事を公開(2017.1.18)
Brian Krebs氏は、Mirai ボットネットの発信源をニュージャージ州にある DDoS対策会社のオーナーまで追跡した。Miraiは、Krebs氏サイトに対して昨年の 9月に大規模な DDoS 攻撃を行った原因とされているもの。この一連の攻撃によって KrebsOnSecurityのサイトは、数日間オフライン状態になった。

http://krebsonsecurity.com/2017/01/who-is-anna-senpai-the-mirai-worm-author/

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の無料セミナー・イベント        <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○1月27日(金)【大阪】
 サイバーセキュリティ・ソリューションセミナー
 ~ネットワーク隔離の新技術によるセキュリティ対策について~2017年1月27日
https://www.nri-secure.co.jp/seminar/2017/0127.html?xmid=300&xlinkid=03

○2月7日(火)、2月22日(水)<ハンズオン>
 【Proofpoint】触って実践・体験セミナー
 ~標的型メール攻撃から自社を守る具体的手段~
http://www.nri-secure.co.jp/seminar/2016/proofpoint01.html?xmid=300&xlinkid=04

○2月9日(木)、3月10日(金)
 標的型攻撃対策ソリューションセミナー
 ~メール・端末対策とWebアクセス完全無害化~
http://www.nri-secure.co.jp/seminar/2017/apt02.html?xmid=300&xlinkid=05

○2月10日(金)、3月9日(木)
 事例から学ぶ特権ID・監査ログ管理実践セミナー
 ~今、求められるアクセス管理を短期間・低コストで実現する方法とは~
http://www.nri-secure.co.jp/seminar/2017/ac03.html?xmid=300&xlinkid=06

○2月14日(火)
 SANSコミュニティナイトセッション
 - Lessons in Incident Response -2017年
https://www.nri-secure.co.jp/seminar/2017/sans01.html?xmid=300&xlinkid=07

○2月15日(水)
 プライベートセキュリティセミナー
 ~「標的型攻撃」、「情報漏洩」から重要データを守る~ 2017年
https://www.nri-secure.co.jp/seminar/2017/0215.html?xmid=300&xlinkid=08

○2月16日(木)
 ファイル交換・転送サービスの正しい選び方
 ~クラウドで業務効率・利便性とセキュリティを両立させるには~
http://www.nri-secure.co.jp/seminar/2017/file01.html?xmid=300&xlinkid=09

○2月17日(金)、3月15日(水)
 重要文書はこう管理する! 文書管理で失敗しない3つのポイント
http://www.nri-secure.co.jp/seminar/2017/doc01.html?xmid=300&xlinkid=10

○2月22日(水)
 SANSコミュニティナイトセッション
 - How to build a strong cyber security team -
https://www.nri-secure.co.jp/seminar/2017/sans02.html?xmid=300&xlinkid=11

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
□┃サイバー攻撃対策ソリューションキャンペーン    <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 いまなら、対象製品にお問い合わせを頂いた方から抽選で、
 野村総合研究所著「ITロードマップ プレビュー2017」(非売品)を進呈
https://www.nri-secure.co.jp/service/targeted_attacks/?xmid=300&xlinkid=12

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
□┃新コーナー「Insights」          <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 Insightsでは、セキュリティ担当、システム担当はもちろんのこと、経営者
 の方にも、情報セキュリティに関するトピックや解説、コラムなど様々な
 情報を紹介していきます。
 第一回は、「CSIRTの次なる一手~プロアクティブなセキュリティ機能構築
 の必要性~」です。
https://www.nri-secure.co.jp/security/insights/index.html?xmid=300&xlinkid=13


NRI Secure SANS NewsBites 日本版は、米国の情報セキュリティの専門機関であるSANS Instituteが配信するコンテンツ (SANS NewsBites)をベースに、NRIセキュアテクノロジーズが編集してお届けしています。 世界中でこの1週間に起こったセキュリティのあらゆるトピックと専門家のコメントが掲載されています。原版は、およそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュースソースとして活用されています。組織のセキュリティ管理に関する参考情報としてお役立てください。掲載されている情報は、e-mailを介して自由に他の方に再送していただいて結構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望される方は、弊社ホームページの以下のページよりお申込みください。
http://www.nri-secure.co.jp/news_letter/

本ニュースレターは、メールマガジン配信を申し込まれた方、弊社からの情報を希望された方、SANS関連のイベントに参加された方、その他イベント等において弊社講演枠に登録された方に配信しています。
今後、配信をご希望されない方は会社名と御氏名を本文に明記のうえ、件名に【配信不要】、配信先変更をご希望の方は【配信先変更希望】とご記入頂き、新旧のご連絡先も記載のうえ、info@sans-japan.jpまでご返信をお願い致します。なお、情報の反映までにお時間を頂戴する場合がございます。