NRI Secure SANS NewsBites 日本版

Vol.12 No.03 2017年2月8日発行

■■SANS NewsBites Vol.19 No.009,010
(原版: 2017年1月31日、2月3日)


┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓
 締┃切┃間┃近┃2017年2月開催SANSトレーニング締切間近!
 ━┛━┛━┛━┛
           = SANS Secure Japan 2017 =
  http://sans-japan.jp/training/event.html

【2月開催第一弾】2017年2月13日~18日[6日間]━ ━ ━ ━ ━ ━ ━ ━
 ◆SEC560:Network Penetration Testing and Ethical Hacking
   -すべてのペンテスターの通過点 - ペンテストスキルの包括的獲得-
 ◆FOR408:Windows Forensic Analysis
-内部不正を突き止めるフォレンジック-
  ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━

【2月開催第二弾】2017年2月20日~25日[6日間]━ ━ ━ ━ ━ ━ ━ ━
 ◆FOR508:Advanced Digital Forensics and Incident Response
-外部からの侵入に立ち向かうフォレンジック-

              ※SEC504は満席につき受付を終了いたしました。

┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛
┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓
 申┃込┃受┃付┃中┃
 ━┛━┛━┛━┛━┛
 【第1段】SANSコミュニティナイトセッション
 『Lessons in Incident Response - インシデントレスポンスからの教訓 -』
 ※同時通訳付き
 日時:2017年2月14日(火) 18:00~19:30 (受付開始:17:45)
 会場:秋葉原UDX 4階Gallery Next1
 講演者:Chad Tilbry(SANSシニアインストラクター)

 ▼詳細は こちらから▼
 https://www.nri-secure.co.jp/seminar/2017/sans01.html

 【第2段】SANSコミュニティナイトセッション
 『How to build a strong cyber response team
    - 強靭なサイバーレスポンスチームを構築するには -』
 ※同時通訳付き
 日時:2017年2月22日(水) 18:00~19:30 (受付開始:17:45)
 会場:秋葉原UDX 4階Gallery Next2
 講演者:Nick Klein(SANS認定インストラクター)

 ▼詳細は こちらから▼
 https://www.nri-secure.co.jp/seminar/2017/sans02.html

┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛
 ━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 ■┃CIS Critical Security Controls Ver.6.0 日本語翻訳版 公開中!
 ━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
「NIST Cybersecurity Framework」実践のための必須ドキュメント
   20のコントロールで飛躍的なセキュリティレベル向上
     ダウンロードはこちらから↓↓↓
     https://www.cisecurity.org/critical-controls.cfm
   ----------------------------------------------------

「SANS SEC566:Implementing and Auditing the Critical Security
  Controls-In-Depth」は、CIS CSCの実装手法を習得するコースです。
      http://sans-japan.jp/courses/sec566.html
 ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆ ランサムウエアによって、ホテルの宿泊客が部屋に入れなくなる(2017.1.30)
オーストリアのあるホテルにおいて、システムがランサムウエアに感染した後、ランサムウエアの開発者に 1,500ユーロ(1,600 USD) を支払ったという。ランサムウエア感染の結果、訪れた宿泊客はカードキーを使って部屋に入れなくなってしまっていた。最初の報道には誤りがあり、宿泊客は部屋の中に閉じ込められたわけではない。 Romantik Seehotel Jaegerwirt ホテルがこのような攻撃を受けたのは、初めてではなく、ホテル側の対応でパソコンを入れ替え、ネットワークの分断を行った結果、一部の攻撃を防ぐことができるようになった。ホテル側は、マルウエアによって宿泊客が部屋に入れなくなることがないように「昔ながらのロックと物理的な鍵」に戻すとしている。

http://www.v3.co.uk/v3-uk/news/3003548/hotel-pays-ransomware-after-guests-locked-out-of-rooms
http://www.theregister.co.uk/2017/01/30/austrian_hotel_ransomware_attack/
https://www.scmagazineuk.com/hotel-hit-by-ransomware-attack-report-of-guests-trapped-untrue/article/634534/

【編集者メモ】(Ullrich)
本件は、ホテルの登録用システムが Windows PC であり、これがランサムウエアに感染した模様である。当初、宿泊客は部屋に閉じ込められたと報じられていたが、これは誤りだった。この攻撃によって、ホテルは新たなカードキーを作成できなくなったが、発行済みのカードキーは利用可能で、宿泊客は部屋から出ることはできたという。消防規則には。システムが落ちたり、停電になったりした際に退出可能であることを必須としていなければならず、電子ロックには通常、機械的にオーバーライドできるようになっており、緊急時に宿泊客は部屋から出られるようになっている。現在行われている攻撃は、機器そのものを攻撃対象にしておらず、機器を制御するPCを攻撃している。電力システムに対する高度な攻撃では、機器を攻撃対象にしているが、制御システムに対する攻撃はあまり行われていない。
【編集者メモ】(Pescatore)
これは、ランサムウエアによる攻撃は、基本的にサービス運用妨害を引き起こすという良いリマインダである。一般的に見られる攻撃は、データを暗号化することで、データへのアクセスや利用を妨害するものである。そのため、重要なデータはあらかじめバックアップしておくことで攻撃に備えることが重要だ。しかし、この攻撃およびサンフランシスコ市営鉄道に対する攻撃が示したように、マルウエアがデータや実行ファイルを暗号化することで収益をもたらすサービスを停止させることができるのだ。基本的なセキュリティ対策 (例えば、CIS Critical Security Controls の最初の5つ) を重要なサービスに対して施すことで、このような攻撃を受ける確率を減らすことが可能だ。
【編集者メモ】(Honan)
インシデントレスポンスの手順における一つのカギ (ダジャレを失礼) は、インシデントから得た教訓を生かして、同様の攻撃を受けないようにすることである。このホテルが、過去に似たような攻撃を受けたにも関わらず、今回の攻撃を防げなかったということは、レビューのプロセスを見直し、改善した方が良いということになるだろう。

◆ ランサムウエアによる被害で、テキサス州警察が8年分の証拠を失う(2017.1.27)
テキサス州の警察署にあるコンピュータシステムがランサムウエアに感染したが、Cockrell Hill 警察署のバックアップシステムは、マルウエアによってファイルが暗号化された後にバックアップを開始したという。この警察署は、FBI からランサムを支払ってもデータが返ってくる保証は無いと聞いた時点でランサムの支払いを行わないと判断を下した。Cockrell Hill 署は、被告側弁護士に対し、動画の証拠を失ったと報告している。

http://www.theregister.co.uk/2017/01/27/texas_cops_lose_evidence_going_back_eight_years_in_ransomware_attack/

【編集者メモ】
バックアップは、対象システムから見えない状態にしなければならない。これは、ランサムウエアからの防御という観点からバックアップの戦略を見なおす良い事例である。
【編集者メモ】(Honan)
このようなランサムウエアの事例を読むたびに、バックアップと事業継続計画に関する基本的な指針が無いことに残念な気持ちになってしまう。ランサムウエアによって、バックアップが使い物にならない、または BCPで業務ができる状態まで復旧できないのであれば、システムの復元力に関して、運を天に任せているに過ぎない。ゼロデイマルウエアの検知のソリューションは一度忘れて、バックアップとリカバリの適切な戦略に注力することで、ランサムウエアによる被害だけでなく、他の災害などから業務を復旧させることが可能になるにも関わらずだ。

◆ D.C.警察が使用している監視カメラのデータストレージがランサムウエアに感染 (2017.1.27,30)
ワシントン D.C. 警察が使用している監視カメラ用のストレージデバイスがランサムウエアに感染し、1 月半ばに数日間、オフライン状態になってしまった。この攻撃によって、DC警察のパブリックスペースの監視などに使用されている 7割のデバイスが影響を受けた。結果として、これらのデバイスはオフライン状態にされ、ソフトウエアを削除しリセットすることで復旧したため、ランサムは支払われていないという。

https://www.scmagazine.com/police-camera-system-in-dc-hit-with-ransomware/article/634545/
http://www.theregister.co.uk/2017/01/30/ransomware_killed_70_of_washington_dc_cctv_ahead_of_inauguration/
https://www.washingtonpost.com/local/public-safety/hackers-hit-dc-police-closed-circuit-camera-network-city-officials-disclose/2017/01/27/d285a4a4-e4f5-11e6-ba11-63c4b4fb5a63_story.html

【編集者メモ】(Pescatore)
2つの認証レベルは、完全に「何を知っているか」に依存しており、2段階目で「何を持っているか」または「何であるか」を利用していない。これは、25% ものユーザが一つ以上のサービスで 2段階認証を既に利用しているにも関わらずだ。そのため、このアプローチには、原始的なフィッシング攻撃が有効である。Login.gov は、バックエンドのサービスを使って詐欺などを防ごうとしているが、政府には、再利用可能なパスワードに依存している動きから突き放しを期待しているのだ。
【編集者メモ】(Ullrich)
このプロジェクトがオープンであることを願っている。なぜなら、世界で一番攻撃の標的となるシングルサインオンのサービスとなるだろうから。そして、このようなサービスから学べることは多いだろう。

◆ ウクライナ電力会社に対する2回目の攻撃の調査(2017.1.20)
2016年 12月に、ウクライナの Pivnichnaにある Ukrenergo 変電所が、停電による影響を受けた。簡易調査の結果、外部からの攻撃によるものだったことが判明しており、キエフ市の一部に影響を与え、電力は一時間以内に復旧できた。サイバーセキュリティ会社、ISSPによると、2016年12月の攻撃は、前年に 225,000人が影響を受けた攻撃と関連があるとしている。

https://www.socpedia.com/cyber-attack-confirmed-to-be-the-cause-of-the-power-outage-in-the-ukraine-over-christmas-2016

【編集者メモ】(Assante)
結果として停電が起きた 2回目サイバー攻撃は、誰も驚かなかった。この成功した攻撃は、ウクライナの送電オペレータに影響を与え、停電の範囲が格段に広がった。防御側は気づくべきである! ICSセキュリティにおいて、準備、状況判断とスキルレベルの高い従業員がいることで、失敗ではなく成功を収めることができるということを。

◆ バージニア州知事がスキルの高い兵役経験者向けに無料のサイバートレーニングを発表(2017.1.31)
バージニア州と SANSは、パートナーシップを締結し、2017 VetSuccessアカデミーを 2回に分けて春に実施し、スキルの高い兵役経験者をトレーニングした後、すぐにサイバーセキュリティ関連の業務ができるようにするという。2015 VetSuccessAcademy の卒業生であるジョセフ・ロビンス氏は、「このアカデミーが無かったら、学位を終わらせても、まだ仕事を探していただろう。このプログラムのおかげで除隊後も上手くいき、今は充実している。SANSは、現実世界での経験を積ませてくれただけでなく、企業が必要とする能力の認定資格も与えてくれた。さらに、SANSコースで得たスキルを実用したことで給料もかなり上がったのだから、VetSuccessプログラムについて文句は何一つ言えません。参加する甲斐は大いにあります!」と語っている。

http://www.alexandrianews.org/2017/01/governor-mcauliffe-announces-cyber-vets-virginia-training-initiative-partnership-with-sans-institutes-vetsuccess-academy/

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃OUCH! 2月号「旅先で安全を保つために」について
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
出張や旅行などで海外に出かける場合、パソコンやタブレットを持って行くのが
珍しくない状況になってきています。外出先では、原則として信用できないネッ
トワークだと考えて、様々な準備をされると思いますが、そもそも不要な情報を
削除しておくなど、シンプルな手段であなたの情報を守ることができます。今月
は、旅先で安全を保つための手段について解説し、事前準備で考えることや、現
地で注意しなければならないことを、一般ユーザ向けに分かりやすく解説します
。社員の意識向上ツールとしてお使いください。
https://securingthehuman.sans.org/newsletters/ouch/issues/OUCH-201702_jp.pdf
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆ 先週の WordPressの更新に公表されていない深刻な脆弱性が含まれていた(2017.2.2)
WordPressは、先週の更新時に4つ目の (当時は) 未公表の脆弱性を修正していた。 更新に関するメモ書きには、3 つの脆弱性についての記載があり、すべて深刻度は 中と評価されていた。4 つ目の問題は、深刻度が高と評価されていたが、記載され ていなかったのは、WordPress が脆弱性の存在が知られる前にパッチを充てること を優先した方が良いと判断したという。この脆弱性は、認証していない攻撃者によ る権限昇格が可能な問題で、WordPress の REST API が影響を受ける。問題を悪用 されると、投稿内容や WordPressサイトのページ内容を改ざんされる可能性がある 。この WordPressの更新は自動的に適用されている。

https://make.wordpress.org/core/2017/02/01/disclosure-of-additional-security-fix-in-wordpress-4-7-2/
http://www.zdnet.com/article/wordpress-why-we-didnt-tell-you-about-a-big-zero-day-we-fixed-last-week/
http://computerworld.com/article/3164479/security/wordpress-silently-fixes-dangerous-code-injection-vulnerability.html
http://www.theregister.co.uk/2017/02/02/last_weeks_boring_sqli_wordpress_patch_hid_fix_for_godmode_zero_day/

【編集者メモ】(Paller)
(今回のWordPressのような) コンテンツ管理システムの脆弱性は、ウェブサイトの感染に使われている攻撃では一番多く、サイト訪問者を感染させることで被害を拡大させている。さらに言えば、これらの攻撃は、信用できないサイトを介して何も知らない幾多のユーザを感染させることが可能になるだろう。
【編集者メモ】(Ullrich)
脆弱性の詳細を公開しないことで、攻撃手法が開発される前にユーザによるパッチ適用の機会を与えることができる。しかし、同時にパッチ適用はリスクを伴うものだ。また、セキュリティ的に利点が無ければ、パッチを適用されない可能性だってある。ベンダは、明確なガイダンスを提供すると共に、更新で修正されたセキュリティ問題を隠さずに公開することが重要である。
【編集者メモ】(Williams)
自動更新は一部のユーザにしか適用されていない。現在の WordPressでは、自動更新はデフォルトで有効になっているが、多くのユーザは、この機能を使用していない。なぜなら、プラグインとの互換性の問題でサイトが表示されなくなってしまう恐れがあるためだ。これは、「すぐにパッチ適用!」という機能のバグである。改ざん、や悪意あるリンク、およびブログの設定によっては蓄積型のクロスサイトスクリプティングなどが影響として挙げられる。

◆ Schneider が StruxureWare Data Cetner Expert の問題に対応(2017.2.2)
Schneider Electric の産業制御キット StruxureWare Data Center Expert に存在する脆弱性に対応したパッチが提供されている。この製品は、データセンター内の物理インフラを監視するために活用されているもの。この問題を悪用されることで、暗号化されていないパスワードをクライアントの RAM上から取得されてしまう可能性がある。 ユーザは、StruxureWare Data Center Expert バージョン 7.4 への更新が推奨されている。

http://www.theregister.co.uk/2017/02/02/data_centre_control_kit_flaw_resolved/
http://www.schneider-electric.com/en/download/document/SEVD-2016-343-01/

【編集者メモ】(Murray)
多くの脆弱性は、活用している開発プラットフォームの汎用性や柔軟性が原因で作り込まれる。この脆弱性は、ベストプラクティスの無視と管理の不備がもたらした結果であり、要件とデザインの把握から始まっている。自組織のためにコード書いていてもリスクはあるのだが、インフラのためのコードの場合、リスクは格段に上がるのだ。ソフトウエア開発を「エンジニアリング」と呼べる日はまだ遠い。

◆ SWIFTがメンバー機関に対し、より強いセキュリティ対策を実施するよう推奨(2017.2.1)
2016年2月に 8,100万USDが盗まれたバングラデッシュ銀行と、それに続いて様々な銀行で同様な事件が起きたことを受け、SWIFT は顧客向けのセキュリティプログラムの提供を開始した。メンバーである金融機関に対し、ガイドラインの提供や 2段階認証の実装、新たなSWIFTソフトウエアへのアップデートなどが含まれる。SWIFTそのものに対してインシデントは発生していないが、攻撃者はメンバーが SWIFTにログインするための認証情報を盗み、不正な取引を行っていることが多いとされているが、SWIFT 幹部によると、これらの取り組みによって、いくつかの攻撃を防げたとしている。

https://www.scmagazine.com/swift-demands-action-from-members-as-threat-of-cyberheists-looms-large/article/635526/

【編集者メモ】(Murray)
SWIFT は伝達するだけだが、ユーザの利用法が不適切なためにブランド名に傷がついてしまっているが、アドバイスをすることのみが手段としてあるのが実情である。セキュリティはコストが高いが、アドバイスをするだけならそれほど高くはない。他人が行うことは、安く見えるのである。

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の無料セミナー・イベント        <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○2月9日(木)、3月10日(金)、4月13日(木)
 標的型攻撃対策ソリューションセミナー
 ~メール・端末対策とWebアクセス完全無害化~
 http://www.nri-secure.co.jp/seminar/2017/apt02.html?xmid=300&xlinkid=05

○2月10日(金)、3月9日(木)、4月12日(水)
 事例から学ぶ特権ID・監査ログ管理実践セミナー
 ~今、求められるアクセス管理を短期間・低コストで実現する方法とは~
 http://www.nri-secure.co.jp/seminar/2017/ac03.html?xmid=300&xlinkid=06

○2月14日(火)
 SANSコミュニティナイトセッション
 - Lessons in Incident Response -
 https://www.nri-secure.co.jp/seminar/2017/sans01.html?xmid=300&xlinkid=07

○2月15日(水)
 プライベートセキュリティセミナー
 ~「標的型攻撃」、「情報漏洩」から重要データを守る~ 2017年
https://www.nri-secure.co.jp/seminar/2017/0215.html?xmid=300&xlinkid=08

○2月16日(木)
 ファイル交換・転送サービスの正しい選び方
 ~クラウドで業務効率・利便性とセキュリティを両立させるには~
 http://www.nri-secure.co.jp/seminar/2017/file01.html?xmid=300&xlinkid=09

○2月17日(金)、3月15日(水)
 重要文書はこう管理する! 文書管理で失敗しない3つのポイント
 http://www.nri-secure.co.jp/seminar/2017/doc01.html?xmid=300&xlinkid=10

○2月22日(水)
 SANSコミュニティナイトセッション
 - How to build a strong cyber response team -
 https://www.nri-secure.co.jp/seminar/2017/sans02.html?xmid=300&xlinkid=11

○2月22日(水)<ハンズオン>
 【Proofpoint】触って実践・体験セミナー
 ~標的型メール攻撃から自社を守る具体的手段~
 http://www.nri-secure.co.jp/seminar/2017/proofpoint01.html?xmid=300&xlinkid=04

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
□┃サイバー攻撃対策ソリューションキャンペーン    <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 いまなら、対象製品にお問い合わせを頂いた方から抽選で、
 野村総合研究所著「ITロードマップ プレビュー2017」(非売品)を進呈
 https://www.nri-secure.co.jp/service/targeted_attacks/?xmid=300&xlinkid=12

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
□┃新コーナー「Insights」          <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 Insightsでは、セキュリティ担当、システム担当はもちろんのこと、経営者
 の方にも、情報セキュリティに関するトピックや解説、コラムなど様々な
 情報を紹介していきます。
 第一回は、「CSIRTの次なる一手~プロアクティブなセキュリティ機能構築
 の必要性~」です。
 https://www.nri-secure.co.jp/security/insights/index.html?xmid=300&xlinkid=13


NRI Secure SANS NewsBites 日本版は、米国の情報セキュリティの専門機関であるSANS Instituteが配信するコンテンツ (SANS NewsBites)をベースに、NRIセキュアテクノロジーズが編集してお届けしています。 世界中でこの1週間に起こったセキュリティのあらゆるトピックと専門家のコメントが掲載されています。原版は、およそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュースソースとして活用されています。組織のセキュリティ管理に関する参考情報としてお役立てください。掲載されている情報は、e-mailを介して自由に他の方に再送していただいて結構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望される方は、弊社ホームページの以下のページよりお申込みください。
http://www.nri-secure.co.jp/news_letter/

本ニュースレターは、メールマガジン配信を申し込まれた方、弊社からの情報を希望された方、SANS関連のイベントに参加された方、その他イベント等において弊社講演枠に登録された方に配信しています。
今後、配信をご希望されない方は会社名と御氏名を本文に明記のうえ、件名に【配信不要】、配信先変更をご希望の方は【配信先変更希望】とご記入頂き、新旧のご連絡先も記載のうえ、info@sans-japan.jpまでご返信をお願い致します。なお、情報の反映までにお時間を頂戴する場合がございます。