NRI Secure SANS NewsBites 日本版

Vol.12 No.04 2017年2月16日発行

■■SANS NewsBites Vol.19 No.011,012
(原版: 2017年2月7日、2月10日)


 ━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 ■┃CIS Critical Security Controls Ver.6.0 日本語翻訳版 公開中!
 ━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
「NIST Cybersecurity Framework」実践のための必須ドキュメント
   20のコントロールで飛躍的なセキュリティレベル向上
     ダウンロードはこちらから↓↓↓
     https://www.cisecurity.org/critical-controls.cfm
   ----------------------------------------------------

「SANS SEC566:Implementing and Auditing the Critical Security
  Controls-In-Depth」は、CIS CSCの実装手法を習得するコースです。
      http://sans-japan.jp/courses/sec566.html
 ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆ WindowsのSMBに関連したメモリ破損の脆弱性を攻撃するコードが公開される (2017.2.2,3,4)
先週、サポートされているすべてのバージョンの Windowsに関連した脆弱性を攻撃するコードが公開された。このメモリ破損の脆弱性は、Windows のServer Message Block(SMB) 処理に起因している。この脆弱性は、遠隔から攻撃可能で、サービス運用妨害を引き起こすことが可能である。現時点は、対策は提供されていない。

http://www.darkreading.com/attacks-breaches/windows-smb-zero-day-exploit-on-the-loose-/d/d-id/1328056?
http://www.v3.co.uk/v3-uk/news/3004047/windows-smb-zero-day-exploit-published-after-microsoft-fails-to-fix-issue
http://www.theregister.co.uk/2017/02/04/windows_flaw_adds_crashing_as_a_service/
http://www.computerworld.com/article/3165395/security/microsoft-likely-to-fix-windows-smb-denial-of-service-flaw-on-patch-tuesday.html
http://www.kb.cert.org/vuls/id/867968

【編集者メモ】(Ullrich)
この脆弱性を悪用して攻撃するため、クライアントを悪意ある SMBサーバに接続させる必要がある。攻撃者は、HTMLページ内に IMGタグを挿入してクライアントに送ることで、このような接続をさせることができる。この脆弱性は、攻撃コードが公開されたから深刻なのではなく、ネットワークから外部向けの SMB接続がブロックされてしまうから深刻なのである。多くのネットワークは、内部向けの接続しかブロックしないのである。
【編集者メモ】(Williams)
SMB をインターネット向けに公開していないからといって、この脆弱性を無視してはいけない;これはとても深刻である。これまで指された SMBに関連した脆弱性と違って、今回は、SMB で待ち受けているホストに対し、外部から接続するだけで攻撃が可能である。そのため、安全を確保するためにファイアウォールで外部向けの TCP ポート 139 および 445に対する接続をブロックする必要がある (これは、他にもやるべき理由がたくさんある)。 この脆弱性が引き起こすクラッシュを解析したが、ASLRが提供する保護のおかげで、リモートからコードを実行するような攻撃コードは公開されないと思っている。しかしながら、これは、SDLCの失敗事例である。なぜなら、簡単な境界チェックを実装するだけで防ぐことができ、セキュリティテストの段階で発見されたはずだからである。

◆ HoneywellのICSソフトウエアに脆弱性(2017.2.3,6)
国土安全保障省(DHS) の ICS-CERTが、Honeywell XL II Web Controller ソフトウエアに存在する脆弱性に関して、アドバイザリを公開した。紹介されている脆弱性は;パスワードの平文状態での保存;認証情報の不適切な保護;セッション固定;権限の不適切な管理;およびパストラバーサルであり、いずれもリモートから攻撃が可能となっている。Honeywell は、これらの脆弱性を修正した対策版を公開している。

https://threatpost.com/honeywell-scada-controllers-exposed-passwords-in-clear-text/123562/
https://www.cyberscoop.com/honeywell-ics-vulnerabilities-dhs-cert/?category_news=technology
https://ics-cert.us-cert.gov/advisories/ICSA-17-033-01

【編集者メモ】(Assante)
思慮の足りない平文 / アクセス可能なパスワードと、セッションに関する問題の組み合わせが新しいウェブコントローラに存在するということは、柔軟性と低コストを実現するために設計されている製品だけに、ビル管理の自動化とセキュリティの関係性を露わにしてしまったことになる。Honeywellは、コントローラを IPネットワーク上で利用している顧客に対し、インターネットからの接続に関して VPN、または別の保護を実装するよう注意を促している。
【編集者メモ】(Murray)
これは、ここ2週間で似たような脆弱性が公開された2つ目の事例である。インフラ関連製品を販売しているベンダは、このような脆弱性が設計されてしまっていることを知っているだろうか?

◆ GSAがバグバウンティプログラムを開始する(2017.2.6)
米国政府の一般調達局(GSA)のTechnology Transformation Service (TTS)がバグバウンティプログラムを開始する予定である。ドラフト段階では、TTS が既存のバグバウンティプラットフォームを使うことを想定しており、「TTS へのアクセスをセキュリティ研究者に提供し、TTS が管理しているウェブアプリケーションに存在する脆弱性を発見し、対策することに興味がある研究者を一人でも多く招きたい」としている。

http://federalnewsradio.com/reporters-notebook-jason-miller/2017/02/gsa-join-dod-hiring-ethical-hackers-find-cyber-vulnerabilities/ https://github.com/18F/tts-buy-bug-bounty/blob/master/draft_solicitation_documents/003_PWS.md

【編集者メモ】(Pescatore)
適切に管理されたバグバウンティプログラムは、有効性および効率性-脆弱性の発見とそれらを対策するという観点から見て、これまで成功している。そして、これが一番重要であるが、GSA が「適切な管理」に提案の重きを置いているのは、とても良いことである。

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃OUCH! 2月号「旅先で安全を保つために」について
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
出張や旅行などで海外に出かける場合、パソコンやタブレットを持って行くのが
珍しくない状況になってきています。外出先では、原則として信用できないネッ
トワークだと考えて、様々な準備をされると思いますが、そもそも不要な情報を
削除しておくなど、シンプルな手段であなたの情報を守ることができます。今月
は、旅先で安全を保つための手段について解説し、事前準備で考えることや、現
地で注意しなければならないことを、一般ユーザ向けに分かりやすく解説します
。社員の意識向上ツールとしてお使いください。
https://securingthehuman.sans.org/newsletters/ouch/issues/OUCH-201702_jp.pdf
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆ トランプ大統領が任命した Homeland Security Chief に関する記事(2017.2.9)
新しく任命された国土安全保障アドバイザーのトム・ボサート氏は、ナショナルセキュリティアドバイザーであるマイケル・フリン氏と、サイバーセキュリティやテロリズム対策に関して責任を分担するという。9/11後にセキュリティに関するポリシーへとフォーカスをシフトした弁護士であるボサート氏は、ブッシュ大統領 2期目の際に国土安全保障のアドバイザー代理を務めていた。ブッシュ大統領時代にサイバーセキュリティのアドバイザーを務めたヒーリー氏によると、ボサート氏は、2008年にブッシュ大統領の Comprehensive National Cybersecurity Initiative (CNCI) を推し進めた経験を持っており、サイバーセキュリティに関して大統領が頼れる存在となるには時間はあまりかからなかったと語っている。CNCIは機密の大統領指令であり、連邦政府のサイバーセキュリティインフラの向上を目的にしていたもの。

https://www.wired.com/2017/02/tom-bossert-trump-cybersecurity/

◆ 米陸軍で、サイバー戦争は、ただの戦争になりつつある(2017.2.9)
米陸軍には、運用能力がある30の既存サイバーチームがあり、さらに11のサイバーチームが初歩的な運用能力を保持しているとみられ、年内には41の運用能力があるチームを保持したいと考えている。陸軍サイバーコマンドの運用代理をしている准将 J.P.・マギーによると「これらのチームはできた段階ではあるが、(攻撃と防護の観点から)運用可能である。」また「既に陸軍の兵士は、ISISおよび ISILに対し攻撃をしている」と語っている。

http://www.defenseone.com/technology/2017/02/us-army-cyber-war-quickly-becoming-just-war/135314/

◆ ファイルを使わないマルウエア攻撃(2017.2.8,9)
Kaspersky Lab は、犯罪者がファイルを使わないマルウエア攻撃を使っていることを発見し、標的として、140 以上の通信事業社、金融機関および政府団体があると見ている。攻撃者は、オープンソースのペネトレーションテストツールをパソコン上のメモリに直接ロードしており、RAM やカーネル内にペイロードを隠しているため、検知が難しいという。

https://securelist.com/blog/research/77403/fileless-attacks-against-enterprise-networks/
https://www.wired.com/2017/02/say-hello-super-stealthy-malware-thats-going-mainstream/
http://computerworld.com/article/3167863/security/fileless-malware-attacks-used-at-banks-have-been-around-for-years.html
https://www.cyberscoop.com/kaspersky-fileless-malware-memory-attribution-detection/?category_news=technology
https://www.scmagazine.com/attackers-steal-from-atms-after-infecting-banks-with-memory-only-malware/article/637029/
https://arstechnica.com/security/2017/02/a-rash-of-invisible-fileless-malware-is-infecting-banks-around-the-globe/
http://www.eweek.com/security/kaspersky-discovers-new-malware-designed-to-stealthily-steal-data.html

【編集者メモ】(Williams)
これらの攻撃は、インシデントレスポンスにおいてメモリフォレンジックの重要性を物語っている。ディスクイメージを取得するためにマシンをシャットダウンしているのであれば、このような攻撃の証拠はほとんど入手できない。私は、顧客に対し、マシンをシャットダウンすることによって失う16GBもの証拠は、10年前のハードディスクより大きいことを思い出させている。
【編集者メモ】(Murray)
Kaspersky が、知っていると語っていることを本当に見たのであれば、「侵入を示すインディケータ (IOC)」と「アーティファクト」を持っていることになる。これらを使って、感染を発見しているのだろう。

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の無料セミナー・イベント        <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○2月17日(金)、3月15日(水)
 重要文書はこう管理する! 文書管理で失敗しない3つのポイント
 http://www.nri-secure.co.jp/seminar/2017/doc01.html?xmid=300&xlinkid=04

○2月22日(水)
 SANSコミュニティナイトセッション
 - How to build a strong cyber response team -
 https://www.nri-secure.co.jp/seminar/2017/sans02.html?xmid=300&xlinkid=05

○2月22日(水)<ハンズオン>
 【Proofpoint】触って実践・体験セミナー
 ~標的型メール攻撃から自社を守る具体的手段~
 http://www.nri-secure.co.jp/seminar/2017/proofpoint01.html?xmid=300&xlinkid=06

○3月9日(木)、4月12日(水)
 事例から学ぶ特権ID・監査ログ管理実践セミナー
 ~今、求められるアクセス管理を短期間・低コストで実現する方法とは~
 http://www.nri-secure.co.jp/seminar/2017/ac03.html?xmid=300&xlinkid=07

○3月10日(金)、4月13日(木)
 標的型攻撃対策ソリューションセミナー
 ~メール・端末対策とWebアクセス完全無害化~
 http://www.nri-secure.co.jp/seminar/2017/apt02.html?xmid=300&xlinkid=08

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
□┃お知らせ                     <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
・米国でのセキュリティサービスに機械学習技術を導入
 https://www.nri-secure.co.jp/whats_new/2017/0214.html?xmid=300&xlinkid=11

・クラウド型外部委託先リスクマネジメントツール「Supplier Risk MT」の販売を開始
 https://www.nri-secure.co.jp/whats_new/2017/0208.html?xmid=300&xlinkid=12

・標的型サイバー攻撃対策「Deep Discovery Inspector管理サービス」の販売を開始
 https://www.nri-secure.co.jp/whats_new/2017/0206.html?xmid=300&xlinkid=13

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
□┃サイバー攻撃対策ソリューションキャンペーン    <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 いまなら、対象製品にお問い合わせを頂いた方から抽選で、
 野村総合研究所著「ITロードマップ プレビュー2017」(非売品)を進呈
 https://www.nri-secure.co.jp/service/targeted_attacks/?xmid=300&xlinkid=12

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
□┃新コーナー「Insights」          <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 Insightsでは、セキュリティ担当、システム担当はもちろんのこと、経営者
 の方にも、情報セキュリティに関するトピックや解説、コラムなど様々な
 情報を紹介していきます。
 第一回は、「CSIRTの次なる一手~プロアクティブなセキュリティ機能構築
 の必要性~」です。
 https://www.nri-secure.co.jp/security/insights/index.html?xmid=300&xlinkid=14


NRI Secure SANS NewsBites 日本版は、米国の情報セキュリティの専門機関であるSANS Instituteが配信するコンテンツ (SANS NewsBites)をベースに、NRIセキュアテクノロジーズが編集してお届けしています。 世界中でこの1週間に起こったセキュリティのあらゆるトピックと専門家のコメントが掲載されています。原版は、およそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュースソースとして活用されています。組織のセキュリティ管理に関する参考情報としてお役立てください。掲載されている情報は、e-mailを介して自由に他の方に再送していただいて結構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望される方は、弊社ホームページの以下のページよりお申込みください。
http://www.nri-secure.co.jp/news_letter/

本ニュースレターは、メールマガジン配信を申し込まれた方、弊社からの情報を希望された方、SANS関連のイベントに参加された方、その他イベント等において弊社講演枠に登録された方に配信しています。
今後、配信をご希望されない方は会社名と御氏名を本文に明記のうえ、件名に【配信不要】、配信先変更をご希望の方は【配信先変更希望】とご記入頂き、新旧のご連絡先も記載のうえ、info@sans-japan.jpまでご返信をお願い致します。なお、情報の反映までにお時間を頂戴する場合がございます。