NRI Secure SANS NewsBites 日本版

Vol.12 No.09 2017年3月29日発行

■■SANS NewsBites Vol.19 No.023, 024
(原版: 2017年3月21日、3月24日)


 ━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 ■┃CIS Critical Security Controls Ver.6.1 日本語翻訳版 公開中!
 ━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
「NIST Cybersecurity Framework」実践のための必須ドキュメント
   20のコントロールで飛躍的なセキュリティレベル向上
     ダウンロードはこちらから↓↓↓
     https://www.cisecurity.org/critical-controls.cfm
 ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃ セキュアEggs「情報セキュリティの「たまご」を育てます!」
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 セキュアEgg シリーズは、これから情報セキュリティを本格的に学ぶ方を対象
 としたコース群で、文字どおり「たまご」の意味をもった基礎的な内容を網羅
 した研修プログラムです。ペンテスターやフォレンジックアナリスト、インシ
 デントハンドラーなどのエキスパートとして、情報セキュリティの最前線で活
 躍するために必要な基礎的スキルを演習中心に短時間で効果的に習得できるよ
 うに設計されています。
http://www.nri-secure.co.jp/service/learning/secureeggs.html

 システム開発や運用などの業務に携わる方々にとっても、情報セキュリティの
 要素をご自身のスキルに加えていただく絶好のカリキュラムです。通常パック
 の他にも、実践!サイバーセキュリティ演習 for Eggsもご用意しております。

 ・セキュアEggs(IT+セキュリティ基礎)
2017年6月22日(木)-23日(金)
2017年9月14日(木)-15日(金)
2018年1月22日(月)-23日(火)

 ・セキュアEggs(フォレンジック)
2017年9月21日(木)
2018年1月25日(木)
 ・セキュアEggs(インシデント対応)
2017年9月20日(水)
2018年1月24日(水)
 ・セキュアEggs(Webアプリケーションセキュリティ)
2017年9月22日(金)
2018年1月26日(金)
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆ FBIとNSAが、2018年、2020年の米国選挙をロシアが標的にするだろうと警告 (2017.3.20)
ジェームズ・コミー FBI長官とマイケル・ロジャース NSA局長が、下院情報委員会において、ロシアは 2016年の大統領選挙を妨害したことから、2018年と 2020年の大統領選挙にも干渉をしてくる可能性が高いと警告した。FBI と NSAは、ヨーロッパのカウンターパートと連携し、ロシアからの干渉を防ぐことに協力している。

http://computerworld.com/article/3183028/security/russia-will-strike-us-elections-again-fbi-warns.html
https://www.cyberscoop.com/fbi-director-u-s-expect-russian-interference-2018-2020-elections/?category_news=technology

◆ US-CERT がHTTPS検査ツールの危険性を警告 (2017.3.16,17)
国土安全保障省(DHS) の US-CERTが、HTTPS 検査ツールについて TLSによるセキュリティを弱める可能性があると注意喚起した。一部の HTTPS検査ツールでは、証明書を適切に検証できないため、結果としてユーザは中間者攻撃を受ける可能性があるという。

http://computerworld.com/article/3182484/security/us-cert-some-https-inspection-tools-could-weaken-security.html
http://www.darkreading.com/vulnerabilities---threats/us-cert-warns-that-https-inspection-tools-weaken-tls/d/d-id/1328423?
https://www.us-cert.gov/ncas/alerts/TA17-075A

【編集者メモ】(Neely) HTTPS の実装に対する検査では、再暗号化の前に、証明書の検証と中間CAによるユーザへの公開鍵の配付が含まれていることから、不適切な証明書を受け入れないための訓練はしておらず、サイトの信頼レベルを不適切に高めてもいない。HTTPS がWeb サイトの標準となっているため、HTTPS に対する検査は、オンラインでユーザを保護にするために必要な可視性を提供している。代替の手段は、エンドポイント制御に頼ることである。

◆ CiscoがVault 7により漏えいした脆弱性に関する情報を公開 (2017.3.19,20)
Ciscoは 300 以上のスイッチが影響を受ける脆弱性を公開した。この脆弱性が悪用された場合、デバイスが乗っ取られる可能性があるという。現在、この脆弱性に対する修正は行われていないが、Cisco はパッチを提供予定としている。この脆弱性は、IOSとIOS XEソフトウェアの中に含まれるCisco Cluster Management Protocolを処理するコードに起因している。Ciscoは、この脆弱性を「Vault 7から漏えいしたドキュメントを分析した」際に発見したという。

http://www.theregister.co.uk/2017/03/19/cisco_goes_public_with_its_first_vault7_response/
https://arstechnica.com/security/2017/03/a-simple-command-allows-the-cia-to-commandeer-318-models-of-cisco-switches/
http://www.v3.co.uk/v3-uk/news/3006801/cisco-issues-warning-over-telnet-zero-day-flaw-in-300-switch-products
https://threatpost.com/cisco-warns-of-critical-vulnerability-revealed-in-vault-7-data-dump/124414/
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170317-cmp

【編集者メモ】(Murray)
私は、修正も回避策もない脆弱性が話題になっていることのメリットを一つも感じない。この考えは間違っているのだろうか。
【編集者メモ】(Williams)
漏えいしたドキュメントは、国家を狙うハッカーの考え方やスパイ活動のノウハウに関する実態の一部を示してくれている。しかし、この Cisco の脆弱性は、Vulnerability Equities Process(VEP) の実態に関して、今まで見た事のない実態を見せてくれた。ここまで深刻な脆弱性がVEP経由で公開されないのであれば、VEP経由で公開される脆弱性はどこまで深刻なのだろうか。

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃OUCH! 3月号「モバイルアプリを安全に使用するには」について
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
スマートフォンやタブレットなどのモバイルデバイスが万能な理由は、利用可能
なアプリが無数に存在するからです。このアプリによって、あなたのモバイルデ
バイスは、勉強用のツールにもなれば、ゲームを楽しむ端末にも変わります。こ
のように様々な可能性を秘めたモバイルアプリですが、不用意に使用するとあな
たの個人情報や大事なデータを盗み取られてしまう可能性があります。今月は、
モバイルアプリを安全に使用する方法について一般ユーザ向けに分かりやすく解
説します。社員の意識向上ツールとしてお使いください。
https://securingthehuman.sans.org/newsletters/ouch/issues/OUCH-201703_jp.pdf
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆ 調査:ICSシステムは感染しているが、多くは標的になっていない(2017.3.22)
Dragos 社の調査によると、毎年、約3,000もの産業サイトが日和見的なマルウエアに感染しているが、産業制御システム(ICS) を標的とした特別な攻撃は多くないという。また、同社は、Siemensソフトウエアに偽装したマルウエアが、過去4年間で10社以上の産業制御システムに侵入したとしている。このマルウエアは、Siemensのプログラマブル論理制御装置(PLC) 用ソフトウエアを偽装しているという。

https://www.scmagazine.com/study-infections-of-industrial-systems-common-but-few-are-targeted/article/645906/
http://www.theregister.co.uk/2017/03/22/malware_siemens_plc_firmware/
https://dragos.com/blog/mimics/

【編集者メモ】(Murray)
ICS に対する侵入と攻撃が成功するには、数年かかると予想していた人もいるだろう。実際、このような脆弱性が攻撃されるのは組織的な攻撃の時だけだろう。このような問題を特定し排除することを、継続的に行われなければならない。

◆ AppleがCIA Toolsで悪用される脆弱性を修正 (2017.3.23)
WikiLeaksには、Apple 製デバイスを攻撃する CIA Tools に関する詳細なドキュメ ントが公開されているが、Apple によると、このツールによって悪用される脆弱性 は、以前からパッチを提供しているという。この脆弱性は、iPhone において 2009 年に iPhone 3Gがリリースされた際に修正され、Mac においては「2013年以降に発 売された全てのMac」で修正されている。

http://thehill.com/business-a-lobbying/325579-apple-new-wikileaked-vulnerabilities-no-longer-work
http://news.softpedia.com/news/wikileaks-vault-7-cia-infects-factory-fresh-iphones-514212.shtml
https://www.wired.com/2017/03/wikileaks-shows-cia-can-hack-macs-hidden-code/
https://arstechnica.com/security/2017/03/new-wikileaks-dump-the-cia-built-thunderbolt-exploit-implants-to-target-macs/
http://computerworld.com/article/3184490/security/newly-leaked-documents-show-low-level-cia-mac-and-iphone-hacks.html

【編集者メモ】(Ullrich)
「Vault7」による公開とは異なり、これらのドキュメントは比較的古いものだ。Thunderbolt の問題のいくつかは修正されている。iPhone の問題に限っては、ドキュメント内では古い「iPhone 3G」 についてしか記載されていないが、脱獄された可能性のある iPhone においては、物理的にアクセスできる攻撃者によって攻撃を受ける可能性があるのではないだろうか。
【編集者メモ】(Williams)
侵入の痕跡がいくつか残っている可能性がある。CIA によって標的にされた可能性がある企業は、システムのバックアップから、今回公開されたファイル名でスキャンすることができるはずだ。見つからないということが即「標的にならなかった」とは限らないが、見つかった場合は標的になったと言えるだろう。

◆ 米連邦検事がバングラデッシュ銀行での窃盗に関し北朝鮮に対する訴訟を準備(2017.3.22)
米連邦検事は、北朝鮮がバングラデッシュ銀行から 8,100万ドルを盗んだとして告 訴の準備をしている。告訴状は中国の仲介者を対象としたもので、ニューヨーク連 邦準備銀行にあるバングラデッシュ銀行の口座から資金を盗んだ計画を、北朝鮮と 調整したという疑いがあるとしている。この訴訟で、直接北朝鮮は告訴されていな いが、開廷したら北朝鮮も巻き込まれるだろう。

- https://www.wsj.com/articles/u-s-preparing-cases-linking-north-korea-to-theft-at-n-y-fed-1490215094

【編集者メモ】(Williams) 政府が他国の銀行から資金を盗むことを目的としたことに対し、国に対して訴訟を 起こそうとしている事を受け、企業は脅威モデル見直しの必要があるだろう。

◆ 米国政府のVulnerability Equities Process体系化法案(2017.3.22)
米上院議員は、vulnerabilities equities process (VEP)と呼ばれる、ソフトウエ ア製品のゼロデイ脆弱性に関する情報を、ソフトウエア開発者に通知するかどうか を決定する政府向けのプロセスを体系化する法案を作成している。草案では、ソフ トウエアの脆弱性が定義されており、VEP の審査委員会の参加者も記載されている 。関連する話をすると、テクノロジー企業は、WikiLeaksのVault 7に関連した CIA ハッキングツールの漏えいを受けて、政府の活動にさらなる透明性を求めている。

- https://www.cyberscoop.com/senators-draft-bill-to-codify-governments-vulnerabilities/ - https://www.cyberscoop.com/government-hoarding-software-vulnerabilities-needs-transparency-tech-firms-say/

【編集者メモ】(Pescatore) 古いことわざを少し言い換えているが「意図している通りに法案は作られない」と いうのがある。責任ある脆弱性の報告については、機密扱いとする機関とそうでな い機関を包括する政府のポリシーが必要である。しかし、法律と審査委員会は、高 圧的で機能しないプロセスのように思えるのだ。

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の無料セミナー・イベント        <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○4月12日(水)
 事例から学ぶ特権ID・監査ログ管理実践セミナー
 ~今、求められるアクセス管理を短期間・低コストで実現する方法とは~
https://www.nri-secure.co.jp/seminar/2017/ac03.html?xmid=300&xlinkid=04

○4月13日(木)
 標的型攻撃対策ソリューションセミナー
 ~メール・端末対策とWebアクセス完全無害化~
https://www.nri-secure.co.jp/seminar/2017/apt02.html?xmid=300&xlinkid=05

○4月26日(水)、5月25日(木)、6月27日(火)
 100万枚以上の紙文書どう管理しますか?文書管理を効率化する方法とは
https://www.nri-secure.co.jp/seminar/2017/doc02.html?xmid=300&xlinkid=06

○5月19日(金)、6月20日(火)
 ファイル交換・転送サービスの正しい選び方
https://www.nri-secure.co.jp/seminar/2017/file01.html?xmid=300&xlinkid=07


━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
□┃【NEW】企業における情報セキュリティ実態調査2017 <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
2002年より15回目となる情報セキュリティに関する調査レポートの最新版。
定点観測的な項目に加え、情報セキュリティの最新トレンドに合わせた項目
について調査・分析。               【ダウンロード無料】
https://www.nri-secure.co.jp/security/report/2016/analysis.html?xmid=300&xlinkid=10


━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
□┃お知らせ                     <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
・「IoTセキュリティコンサルティングサービス」を提供開始
https://www.nri-secure.co.jp/service/consulting/iot_security.html?xmid=300&xlinkid=11

・消費者向けWebサービスに特化した認証・アクセス管理ソリューション
 「Uni-ID Libra」を2017年6月に提供開始
https://www.nri-secure.co.jp/service/uni-id_libra/index.html?xmid=300&xlinkid=12


NRI Secure SANS NewsBites 日本版は、米国の情報セキュリティの専門機関であるSANS Instituteが配信するコンテンツ (SANS NewsBites)をベースに、NRIセキュアテクノロジーズが編集してお届けしています。 世界中でこの1週間に起こったセキュリティのあらゆるトピックと専門家のコメントが掲載されています。原版は、およそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュースソースとして活用されています。組織のセキュリティ管理に関する参考情報としてお役立てください。掲載されている情報は、e-mailを介して自由に他の方に再送していただいて結構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望される方は、弊社ホームページの以下のページよりお申込みください。
http://www.nri-secure.co.jp/news_letter/

本ニュースレターは、メールマガジン配信を申し込まれた方、弊社からの情報を希望された方、SANS関連のイベントに参加された方、その他イベント等において弊社講演枠に登録された方に配信しています。
今後、配信をご希望されない方は会社名と御氏名を本文に明記のうえ、件名に【配信不要】、配信先変更をご希望の方は【配信先変更希望】とご記入頂き、新旧のご連絡先も記載のうえ、info@sans-japan.jpまでご返信をお願い致します。なお、情報の反映までにお時間を頂戴する場合がございます。