NRI Secure SANS NewsBites 日本版

Vol.12 No.02 2017年2月1日発行

■■SANS NewsBites Vol.19 No.007,008
(原版: 2017年1月24日、27日)


┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓
 締┃切┃間┃近┃2017年2月開催SANSトレーニング締切間近!
 ━┛━┛━┛━┛
           = SANS Secure Japan 2017 =
  http://sans-japan.jp/training/event.html

【2月開催第一弾】2017年2月13日~18日[6日間]━ ━ ━ ━ ━ ━ ━ ━
 ◆SEC560:Network Penetration Testing and Ethical Hacking
   -すべてのペンテスターの通過点 - ペンテストスキルの包括的獲得-
 ◆FOR408:Windows Forensic Analysis
-内部不正を突き止めるフォレンジック-
  ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━

【2月開催第二弾】2017年2月20日~25日[6日間]━ ━ ━ ━ ━ ━ ━ ━
 ◆FOR508:Advanced Digital Forensics and Incident Response
-外部からの侵入に立ち向かうフォレンジック-

              ※SEC504は満席につき受付を終了いたしました。

┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛

 ━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 ■┃CIS Critical Security Controls Ver.6.0 日本語翻訳版 公開中!
 ━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
「NIST Cybersecurity Framework」実践のための必須ドキュメント
   20のコントロールで飛躍的なセキュリティレベル向上
     ダウンロードはこちらから↓↓↓
     https://www.cisecurity.org/critical-controls.cfm
   ----------------------------------------------------

「SANS SEC566:Implementing and Auditing the Critical Security
  Controls-In-Depth」は、CIS CSCの実装手法を習得するコースです。
      http://sans-japan.jp/courses/sec566.html
 ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆ Hack the Armyバグバウンティで 118個の脆弱性が発見される(2017.1.19,23)
2016年12月から3週間にわたって行われた、米国陸軍のバグバウンティプログラムにおいて、脆弱性として認められた報告は118個にも上ることが明らかとなった。
コンテストには、合計で 371名が参加し、416個の報告が行われており、最初の報告は、プログラム開始後5分以内に提出されたという。

https://www.scmagazine.com/hack-the-army-bug-bounty-program-finds-118-vulnerabilities/article/633100/
https://hackerone.com/blog/Hack-The-Army-Results-Are-In


【編集者メモ】(Pescatore)
SANS は、"Hack the Pentagon" バグバウンティプログラムを開始した国防総省に対し、2016 Difference Makers Award を授与した。この動きが DoD内の他部署にも広がっているのは良い事である。 適切に管理されているバグバウンティプログラムは、かけるコストに対し発見される脆弱性の数だけでなく、 重要な脆弱性の質においても高いパフォーマンスを見せている。

◆ 中国がインターネットの健全性を目指すべく多数のVPNを遮断(2017.1.23)
中国の工業情報化部 (Ministry of Industry and Information Technology) は、「認可されていないインターネット接続」を排除するための計画を発表した。 中国在住者の多くは、仮想プライベートネットワーク (VPN) を使い、政府によるウェブサイトや検索結果の検閲を回避しており、 14か月後には、政府による許可が無いVPN接続は遮断する予定だという。中国国内で経営を行っているインターネットサービスプロバイダ、 コンテンツ配信ネットワークおよびデータセンターは、中国政府による認可が必要となる。

https://arstechnica.com/tech-policy/2017/01/china-announces-mass-shutdown-of-vpns-that-bypass-great-firewall/
https://www.cnet.com/news/chinas-new-cleanup-campaign-shores-up-great-firewall-vpns-illegal/
http://www.bbc.com/news/technology-38718066

【編集者メモ】(Murray)
根底にある前提とは、 すべてのインターネット接続が政府によって「認可」されていることある。
【編集者メモ】(Pescatore)
出張中の幹部や役員が、インターネット上で安全であることを確保しなければならない方は、数年の間、この動向に注視しなければならない-これは中国に限った話ではない。これまでも示されてきたが、国際貿易に関連した政治的な動向に変化があると、様々な政府が行う産業スパイ活動にも変化を及ぼす。役職員の出張に関連したポリシーや手順の見直しを行う良いタイミングかもしれない。VPN がブロックされた際の安全な接続もあるが、海外へ行く際に、「クリーン」な機器を持っていくことなどに関しても見直しをしてはいかがだろうか。
【編集者メモ】(Ullrich)
中国へ行く際は、米国で利用しているデータプランをそのまま利用するのも一つのソリューションかもしれない。または、香港のプロバイダから SIMカードを購入するのもありだろう。最近中国を訪れた際は、US または HK のSIM経由であれば、中国内からFacebookなどのサイトを閲覧できているので、これらの接続に関しては、別のフィルタリングポリシーが適用されているのだろう。これまで、この選択肢は比較的コストが高いものであったが、USのキャリアの中には、国際利用するためのデータプランで比較的安価なものを提供しているキャリアも存在する。数日間しか滞在予定がなく、安価な HKのSIMカードを購入する手間を省きたい場合は、考慮してみてはいかがだろうか。

◆ GSAのシングルサインオン(2017.1.20)
連邦調達局(GSA)は、2月下旬に Login.gov と呼ばれるシングルサインオンのプラットフォームをリリースする予定となっている。 このプラットフォームを利用すると、 一度サインオンしただけで複数の政府に関連したサービスを受けられるようになる。発行されるアカウントには、2段階の認証レベルが儲けられており、ユーザがアクセスしようとしている政府のサービスに応じて、 求められる認証レベルが変化するという。

https://gcn.com/articles/2017/01/20/gsa-single-sign-on-login-gov.aspx?admgarea=TC_SecCybersSec

【編集者メモ】(Pescatore)
2つの認証レベルは、完全に「何を知っているか」に依存しており、 2つ目も「何を持っているか」または「何であるか」を利用していない。これは、25%ものユーザが一つ以上のサービスで2段階認証を既に利用しているにも関わらずだ。そのため、このアプローチには、原始的なフィッシング攻撃が有効である。Login.govは、バックエンドのサービスを使って詐欺などを防ごうとしているが、 政府には、再利用可能なパスワードに依存している動きから突き放しを期待しているのだ。 【編集者メモ】(Ullrich)
このプロジェクトがオープンであることを願っている。 なぜなら、世界で一番攻撃の標的となるシングルサインオンのサービスとなるだろうから。 そして、このようなサービスから学べることは多いだろう。

◆ Chrome の WebEx プラグインの脆弱性を修正(2017.1.23)
Chrome用のWebExブラウザ拡張機能が更新され、ドライブバイ攻撃による任意のコードが実行される脆弱性が修正された。このプラグインは世界で約 2000万台のパソコンにインストールされている。このパッチは、Google のProject Zero がCisco社に通知してから 2日後にパッチが提供されている。

https://arstechnica.com/security/2017/01/ciscos-webex-chrome-plugin-opens-20-million-users-to-drive-by-attacks/
http://www.theregister.co.uk/2017/01/23/webex_hid_url_for_remote_command_execution/L'
https://bugs.chromium.org/p/project-zero/issues/detail?id=1096

【編集者メモ】
Googleによると、日曜日にリリースされた最新バージョン 1.0.3 は、いまだ脆弱だという。 この脆弱性を悪用した攻撃を行うのは比較的容易とされているため、可能であれば、適切な修正が行われたというアナウンスが出るまで、 このプラグインの利用を控えることを推奨する。WebEx会議への参加に他のブラウザを使っても良いが、他のブラウザも同様の問題を抱えていても不思議ではないだろう。WebExに関連した脆弱性の公開が続くことが予想される。 なぜなら研究者たちは、現在、このプロトコルを標的にしているからだ。
【編集者メモ】(Williams)
この脆弱性の詳細を追っていくと、 このプラグインのコードは適切なセキュリティエンジニアが確認せずにリリースされたのではないかと疑う。 このプラグインは、開発者に JavaScriptを利用して DLLからデータを書き出すことを許可している。このプラグインの開発者は、(この脆弱性の発見を遅らせる)JavaScript の文字列を難読化することで「security by obscurity」を実践している。WebEx を使っているのであれば、パッチを適用するのは当然だろう。 他の組織は、この事例を使って、 リリースする前にコードに対するセキュリティレビューを行うようにすると良いだろう。

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃OUCH! 2月号「旅先で安全を保つために」について
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
出張や旅行などで海外に出かける場合、パソコンやタブレットを持って行くのが
珍しくない状況になってきています。外出先では、原則として信用できないネッ
トワークだと考えて、様々な準備をされると思いますが、そもそも不要な情報を
削除しておくなど、シンプルな手段であなたの情報を守ることができます。今月
は、旅先で安全を保つための手段について解説し、事前準備で考えることや、現
地で注意しなければならないことを、一般ユーザ向けに分かりやすく解説します
。社員の意識向上ツールとしてお使いください。
https://securingthehuman.sans.org/newsletters/ouch/issues/OUCH-201702_jp.pdf
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆ 破壊的な Shamoon 2 がサウジアラビアの企業や政府機関を標的に(2017.1.26)
Shamoon 2と呼ばれるマルウエアが、サウジアラビアの政府機関や民間企業を標的に攻撃活動を行っている。少なくとも 15の組織で感染が確認されており、ハードディスクの中身を消去したという。2012年に初めて存在が確認されたShamoon 2は、Saudi Aramco 社のコンピュータ上のディスクをワイプするようになっていた。様々な情報から、 イラン政府が予算を出して攻撃活動を支援しているグループが使用していると見られている。

http://www.theregister.co.uk/2017/01/26/shamoon_2_hits_saudi_arabian_targets/

【変種者メモ】(Henry)
これまで何度も言ってきたことだが、もう一度言う: サイバー戦争行為の激化、特に国家間の破壊的なサイバー戦争の激化は制御できない状況に陥り、 多くの被害者を出すだろう。 国家同士は、他の武器などと同じように議論の場を儲けるべきだ。これをやらないと大惨事になってしまう。

◆ 自動車のサイバーセキュリティ基準調査を行う法律を制定(2017.1.26)
先日下院が制定した法律では、運輸省道路交通安全局(NHTSA)に対し、米国で製造または販売された車に関するサイバーセキュリティ基準の策定に先立ち、 調査を進めることを課している。また、同調査は、The Security and Privacy in Your Car Study Act of 2017 において、 連邦取引委員会(FTC)や米国立標準技術研究所(NIST)、他のステークホルダーとも協力するよう求めている。

https://threatpost.com/bill-calls-for-study-of-cybersecurity-standards-for-cars/123380/

【編集者メモ】(Henry)
車業界で自ら必要なセキュリティを実装する方が、 政府が法律を制定するよりも理想的だろう。車は至るところにあるだけではなく、 ほぼすべての米国民が触れるものであり、そのセキュリティを実装できなかったことが、 法律により規制される道を作ってしまった。 デジタルの世界が、データ漏えい以外にも物理的な世界に影響を及ぼしたら、政府による介入がますます増えるだろう。
【編集者メモ】(Pescatore)
車業界には、 保険業界と政府によって、安全の基準を策定してきた長い歴史がある。 基本的なセキュリティ対策が無い事によって車の安全にどれだけの悪影響があるかを示す良いタイミングだろう。 プライバシーに注力するよりもはるかに重要なのだ。

◆ GmailがJavaScriptの添付ファイルをブロック(2017.1.26)
来月から Gmail では、JavaScriptの添付ファイルが利用できなくなる。ユーザは 、アーカイブの一部であっても.JS ファイルを添付できなくなる。JS は、マルウ エア感染を広めるために使われることが多いファイル拡張子であり、 禁止されて いる拡張子が掲載されたロングリストに追加されている。

http://computerworld.com/article/3161898/security/gmail-will-block-javascript-attachments-a-common-source-of-malware.html

【編集者メモ】(Ullrich)
やっとですか…私は今でも JavaScriptを使った開発をしているが、JavaScriptの添付ファイルで正規のファイルを受け取ったことはない。 また、細工された添付ファイルの大半は、JavaScriptを利用するダウンローダである。
【編集者メモ】(Williams)
これは適切な行動だと思うが、コメントを二つほど:1.攻撃者は、「安全のために暗号化した」ZIPファイルを使って回避してくるだろう、2.Gmail が .js の添付ファイルを禁止しているので、自組織でも禁止すべきか検討してください。
<答えはYes です>
【編集者メモ】(Honan)
Google の例に倣って、スクリプトファイルが添付または埋め込まれたメールをブロック・禁止すべきだ。 アンチウイルスソフトのみでは、マルウエアの脅威は防げないのである。

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の無料セミナー・イベント        <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○2月7日(火)、2月22日(水)<ハンズオン>
【Proofpoint】触って実践・体験セミナー
 ~標的型メール攻撃から自社を守る具体的手段~
 http://www.nri-secure.co.jp/seminar/2017/proofpoint01.html?xmid=300&xlinkid=04

○2月9日(木)、3月10日(金)
 標的型攻撃対策ソリューションセミナー
 ~メール・端末対策とWebアクセス完全無害化~
 http://www.nri-secure.co.jp/seminar/2017/apt02.html?xmid=300&xlinkid=05

○2月10日(金)、3月9日(木)
 事例から学ぶ特権ID・監査ログ管理実践セミナー
 ~今、求められるアクセス管理を短期間・低コストで実現する方法とは~
 http://www.nri-secure.co.jp/seminar/2017/ac03.html?xmid=300&xlinkid=06

○2月14日(火)
 SANSコミュニティナイトセッション
 - Lessons in Incident Response -2017年
 https://www.nri-secure.co.jp/seminar/2017/sans01.html?xmid=300&xlinkid=07

○2月15日(水)
 プライベートセキュリティセミナー
 ~「標的型攻撃」、「情報漏洩」から重要データを守る~ 2017年
 https://www.nri-secure.co.jp/seminar/2017/0215.html?xmid=300&xlinkid=08

○2月16日(木)
 ファイル交換・転送サービスの正しい選び方
 ~クラウドで業務効率・利便性とセキュリティを両立させるには~
 http://www.nri-secure.co.jp/seminar/2017/file01.html?xmid=300&xlinkid=09

○2月17日(金)、3月15日(水)
 重要文書はこう管理する! 文書管理で失敗しない3つのポイント
http://www.nri-secure.co.jp/seminar/2017/doc01.html?xmid=300&xlinkid=10

○2月22日(水)
 SANSコミュニティナイトセッション
 - How to build a strong cyber security team -
 https://www.nri-secure.co.jp/seminar/2017/sans02.html?xmid=300&xlinkid=11

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
□┃サイバー攻撃対策ソリューションキャンペーン    <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 いまなら、対象製品にお問い合わせを頂いた方から抽選で、
 野村総合研究所著「ITロードマップ プレビュー2017」(非売品)を進呈
 https://www.nri-secure.co.jp/service/targeted_attacks/?xmid=300&xlinkid=12

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
□┃新コーナー「Insights」          <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 Insightsでは、セキュリティ担当、システム担当はもちろんのこと、経営者
 の方にも、情報セキュリティに関するトピックや解説、コラムなど様々な
 情報を紹介していきます。
 第一回は、「CSIRTの次なる一手~プロアクティブなセキュリティ機能構築
 の必要性~」です。
 https://www.nri-secure.co.jp/security/insights/index.html?xmid=300&xlinkid=13


NRI Secure SANS NewsBites 日本版は、米国の情報セキュリティの専門機関であるSANS Instituteが配信するコンテンツ (SANS NewsBites)をベースに、NRIセキュアテクノロジーズが編集してお届けしています。 世界中でこの1週間に起こったセキュリティのあらゆるトピックと専門家のコメントが掲載されています。原版は、およそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュースソースとして活用されています。組織のセキュリティ管理に関する参考情報としてお役立てください。掲載されている情報は、e-mailを介して自由に他の方に再送していただいて結構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望される方は、弊社ホームページの以下のページよりお申込みください。
http://www.nri-secure.co.jp/news_letter/

本ニュースレターは、メールマガジン配信を申し込まれた方、弊社からの情報を希望された方、SANS関連のイベントに参加された方、その他イベント等において弊社講演枠に登録された方に配信しています。
今後、配信をご希望されない方は会社名と御氏名を本文に明記のうえ、件名に【配信不要】、配信先変更をご希望の方は【配信先変更希望】とご記入頂き、新旧のご連絡先も記載のうえ、info@sans-japan.jpまでご返信をお願い致します。なお、情報の反映までにお時間を頂戴する場合がございます。