NRI Secure SANS NewsBites 日本版

Vol.12 No.11 2017年4月14日発行

■■SANS NewsBites Vol.19 No.027, 028
(原版: 2017年4月4日、4月7日)


┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 申┃込┃受┃付┃中┃SANS×セキュアEggsプレビューセミナー
 ━┛━┛━┛━┛━┛~セキュリティ人材の効果的な養成のために~

インターネットを悪用した、特定組織を対象とした標的型攻撃は、どんどん手口を
巧妙化・多様化させ、増加し続けています。身近に迫りくる情報セキュリティ脅威
に対しては、その脅威の変化に応じた組織的対応が重要となってきています。
本セッションでは、組織が限られた時間、資金、リソースを最適にセキュリティ対
策に費やせるよう、必要なセキュリティ業務の洗い出しや、それらを担当する人材
のキャリア形成手法を考察します。
また、SANSやセキュアEggsといった弊社で提供する研修のご紹介と、実際にコース
で行う演習のデモンストレーションをご覧いただき、実践的スキルに対するイメー
ジをつかんでいただきます。

なお、本セミナーは3/24(金)と同内容となりますので、既に参加いただいた方は、
ご遠慮いただきますようお願い申し上げます。

●開催概要
 日時:2017年4月24日(月) 18:00~19:30(受付開始:17:30)
 会場:大手町サンケイプラザ312
 タイムスケジュール:
     17:30~ 開場・受付開始
     18:00 ~ 19:30 セッション

 「実践的スキルを有する実務人材を養成するために」
関取 嘉浩(NRIセキュアテクノロジーズ
サイバーセキュリティ事業推進部長)

 「SANS・セキュアEggsのご紹介とハンズオンデモ」
   上田 健吾(NRIセキュアテクノロジーズ
サイバーセキュリティ事業推進部主任コンサルタント)

 参加費:無料

 ▼お申込みはこちらから▼
 https://www.nri-secure.co.jp/cgi-bin/form.cgi?id=o010
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛ 


━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 ■┃CIS Critical Security Controls Ver.6.1 日本語翻訳版 公開中!
 ━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
「NIST Cybersecurity Framework」実践のための必須ドキュメント
   20のコントロールで飛躍的なセキュリティレベル向上
     ダウンロードはこちらから↓↓↓
     https://www.cisecurity.org/critical-controls.cfm
 ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 受┃付┃開┃始┃し┃ま┃し┃た┃2017年7月開催SANSトレーニングの
 ━┛━┛━┛━┛━┛━┛━┛━┛受付を開始しました

         = SANS Cyber Defence Japan 2017 =
  https://sans-japan.jp/training/cybe_defence_japan2017.html

【7月開催】7/10(月)~15(土) ※早割締切5/26(金)まで ━ ━ ━ ━ ━

◆SEC504:Hacker Tools, Techniques, Exploits and Incident Handling
   -ペンテスター、インシデントハンドラーへの登竜門-
◆SEC575:Mobile Device Security and Ethical Hacking
-モバイル環境を安全にするためのスキルを構築-
◆SEC660:Advanced Penetration Testing, Exploit Writing, and Ethical Hackin
★日本初★-過去にSEC560やSEC542を受講された方に特にお勧め!-

━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━
◆SEC401:Security Essentials Bootcamp Style
 最もポピュラーな情報セキュリティのゴールド・スタンダード。
 情報セキュリティ・ネットワークに関する基本的知識を有している方は必見です

  ○7/5(水)~7(金)、12(水)~14日(金) ※早割締切5/22(月)まで

━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━
 ◆Core NetWars Experience
     -参加者の経験と技術力を競うCTFチャレンジ-
     7/10~15のSANSトレーニングご受講者は無料で参加いただけます

     ○7/13(木)~14(金) 両日とも18:00~21:00
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛
◆ 英国がサイバーセキュリティ人材不足解消に向けた第一歩 (2017.4.1,3)
英国政府の Cyber Retraining Academy が初となる 55 人の卒業生を輩出した。情報セキュリティの経験が無い入学希望者は「専門職として成功するために必要な特性」を有しているか事前に審査されていた。この審査では、革新的な適正テストが使用され、高度なセキュリティ実務者が示す精神特性や基本的な技術能力が測定される。審査に合格した者は、現在就いている職を離れ、8 週間のトレーニングに参加することが要求される。卒業生のうち、2 人はサイバーセキュリティ業界に就職予定であり、他の卒業生は JP MorganやAmazon、National Crime Agency からオファーや面接を受けている。2016年に行われたパイロットプログラムの卒業生はすべて、サイバーセキュリティの中でもテクニカルな役割に就いている。

https://www.scmagazineuk.com/government-cyber-retraining-academy-graduates-snapped-up-by-industry/article/647986/
http://www.v3.co.uk/v3-uk/news/3007636/first-graduates-from-government-cyber-retraining-academy-get-it-jobs-in-industry

【編集者メモ】(Assante)
人材を必要としている職業に、人材を素早く提供するためのプログラムを実施している英国に拍手を送りたい。成功している国を示す指標として、競争力を高めるために必要な人材を必要な場所に提供できるか、というのがあるのだから。
【編集者メモ】(Paller)
この英国のソリューションはとても価値がある。なぜなら、高度な技術力は、コンピュータ/ネットワーク/LINUX/Windows のハンズオンスキルがベースになることを証明したからだ。多くのトレーニングでは、これらのベース無しでサイバーセキュリティを教えようとしている。この結果、セキュリティに関して話をできる人は育つが、高度なハンズオンタスクを与えると「身動きが取れなく」なってしまう。

◆ 米・英両政府が空港と発電所に対し「確証の高いサイバー脅威」に関して警告(2017.4.2,3)
米国と英国の両政府は、空港と原子力発電所に対し「確証の高いサイバー脅威」の存在を警告した。原子力発電所は、この警告を 2月にも受けており、諜報機関は、テロリストがセキュリティを回避する攻撃手法を編み出したと警告している。

http://www.telegraph.co.uk/news/2017/04/01/airports-nuclear-power-stations-terror-alert-government-officials/
https://www.scmagazine.com/us-uk-warn-airports-nuclear-facilities-of-cyberattacks/article/648163/

【編集者メモ】(Assante)
この記事では二つの異なる脅威のタイプを説明している。一つ目は物理的な脅威であり、(コンピュータを偽造して爆破物を隠ぺいするもの)もう一つは、原子力発電所に対する幅広いサイバー脅威を警告している。原子力プロセスの安全とセキュリティに必要不可欠なデジタルシステムが、サイバー攻撃の影響を受けないという現実は残念ながら受け入れなければならない。今、確実に言えることとしては、サイバー攻撃は防ぐことができるが、一つの攻撃が成功することによる影響は計り知れないということである。
【編集者メモ】(Ullrich)
空港は、様々な航空会社を繋ぐハブとして機能しており、TSA などのシステムとも相互接続しているため、「簡単な」標的となる。このような複数のシステムを安全に動かすのはとても大変である。また、通常の状態でもメンテナンスが困難な、レガシーの予約システムもサポートしなければならない。ここ数年発生している大規模な航空会社の機能停止は、これらのシステムがいかに脆弱であるか、そして機能停止がいかに深刻な影響を及ぼすかを示している。航空交通を妨害するために調整された攻撃自体は気にする必要はない。

◆ カスペルスキーラボ:バングラデッシュ銀行窃盗に北朝鮮が関与したことを示すログ (2017.4.3)
カスペルスキーラボによると、バングラデッシュ銀行から 8,100万ドルが窃盗されたサイバー攻撃の事件に関して、この事件で使用された欧州のサーバのログを分析した結果、一時的に北朝鮮のコンピュータと接続していたことを明らかにした。北朝鮮ではインターネットの利用は制限されているため、どのような接続でも重大な出来事だと判断できる。この窃盗は、Sony Pictures に対する攻撃にも関与していた Lazarus Group によるものと考えられている。 しかし、今回の証拠は、決定的なものではなく、攻撃者が北朝鮮のコンピュータを乗っ取り、Lazarus Group が北朝鮮とも関与があるように見せかけることも可能だからである。

https://www.wsj.com/articles/north-korean-link-found-to-theft-at-new-york-fed-security-firm-says-1491242401
http://www.itworld.com/article/3187394/security/banking-hackers-left-a-clue-that-may-link-them-to-north-korea.html
https://securelist.com/blog/sas/77908/lazarus-under-the-hood/

◆ 2014年の米国務省への攻撃は「格闘」だった (2017.4.3)
ロシアの諜報機関は、2014年に米国務省の機密扱いではないサーバに対し、今までにない執拗な攻撃を仕掛けていた。米国政府の現職員と元職員は、NSA が国務省内のシステムにあるマルウエアと C&Cサーバとの接続を切断すると、攻撃者は新たに別のネットワークと接続を開始したと語っている。NSA のリチャード・レジェット副長官は、このインシデントを「ネットワーク内での攻撃者との格闘」であったと説明している。

https://www.washingtonpost.com/world/national-security/new-details-emerge-about-2014-russian-hack-of-the-state-department-it-was-hand-to-hand-combat/2017/04/03/d89168e0-124c-11e7-833c-503e1f6394c9_story.html?utm_term=.3767a5e3cbcb
http://www.nextgov.com/cybersecurity/2017/04/nsa-engaged-massive-battle-russian-hackers-2014/136683/?oref=ng-channeltopstory

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃OUCH! 4月号「パスフレーズ」について
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
メールやオンラインバンキング、買い物などでスマートフォンを利用する場合、
パスワードを使って安全な状態を保っていると思いますが、強力なパスワードの
設定方法に苦労していませんか。パスフレーズを使えば、簡単に強力なパスワー
ドを作ることができるだけではなく、覚えやすく、入力ミスも減らせるというメ
リットがあります。今月は、このパスフレーズについて一般ユーザ向けに分かり
やすく解説します。社員の意識向上ツールとしてお使いください。
https://securingthehuman.sans.org/newsletters/ouch/issues/OUCH-201704_jp.pdf
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃ セキュアEggs「情報セキュリティの「たまご」を育てます!」
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 セキュアEgg シリーズは、これから情報セキュリティを本格的に学ぶ方を対象
 としたコース群で、文字どおり「たまご」の意味をもった基礎的な内容を網羅
 した研修プログラムです。ペンテスターやフォレンジックアナリスト、インシ
 デントハンドラーなどのエキスパートとして、情報セキュリティの最前線で活
 躍するために必要な基礎的スキルを演習中心に短時間で効果的に習得できるよ
 うに設計されています。
http://www.nri-secure.co.jp/service/learning/secureeggs.html

 システム開発や運用などの業務に携わる方々にとっても、情報セキュリティの
 要素をご自身のスキルに加えていただく絶好のカリキュラムです。通常パック
 の他にも、実践!サイバーセキュリティ演習 for Eggsもご用意しております。

 ・セキュアEggs(IT+セキュリティ基礎)
2017年6月22日(木)-23日(金)
2017年9月14日(木)-15日(金)
2018年1月22日(月)-23日(火)

 ・セキュアEggs(フォレンジック)
2017年9月21日(木)
2018年1月25日(木)
 ・セキュアEggs(インシデント対応)
2017年9月20日(水)
2018年1月24日(水)
 ・セキュアEggs(Webアプリケーションセキュリティ)
2017年9月22日(金)
2018年1月26日(金)
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆ ハッキングの被害者に通知するタイミングが異なっているDHSとFBI (2017.4.6)
それぞれの業務におけるゴールが違うことから国土安全保障省(DHS) と FBIは、サイバー攻撃の被害者に通知するタイミングが一致しない場合があるという。DHS の National Cybersecurity and Communications Integration Center (NCCIC) は「資産対応と脅威の低減」に注力しており、FBI は犯罪者を捕まえ、起訴をする上で法廷が採用する証拠を集めることに注力している。それぞれゴールは異なるが、この 2組織はセキュリティのために協力し合っている。

- https://www.cyberscoop.com/friction-design-fbi-dhs-disagree-tell-victims-theyve-hacked/

【編集者メモ】(Pescatore)
FBI の公式な綱領には 3つの優先事項として、米国をテロリストや外国のスパイ、そしてサイバー犯罪から「保護」することが記載されている。調査や起訴は、理論的には優先順位が低いのだ。諜報(悪人を監視)と防御(悪人を阻止)には、ゴールの違いからくるすれ違いがあるが、防御側は関心を持たれないことが多い。
【編集者メモ】(Northcutt)
ここ25年間のインシデントレスポンスでは、「封じ込めて駆除」または「監視して学ぶ」の間で議論が行われてきた。一般的には、組織のインシデントレスポンス計画の中で、事前に選択する必要がある。FBIとDHSは、一組織のインシデントレスポンス計画にありがたみはないが、組織よりも侵入に関する知識が豊富な場合には有益となる。「監視して学ぶ」に関して興味深いことが起きており、多数のスタートアップは、次世代の Fred Cohen DTKを利用している。

http://all.net/dtk/
http://securityintelligence.com/news/deception-tools-and-techniques-offer-game-changing-potential-for-enterprise-security-gartner-says/

【編集者メモ】(Honan)
IRISSCERT での経験から被害者への通知は、目に見えない危険区域を通ることと同義であり、様々なことを考慮した上で行わなければならない。被害者に通知を行うという決断をした場合、対策が取られるように情報を伝えるというチャレンジを負うのと同時にサイバー犯罪者によるさらなるフィッシング攻撃の被害に遭わないようにしなければならない。

◆ 攻撃者がブラジルにある銀行のオンラインオペレーションをすべて掌握(2017.4.4,5)
カスペルスキーラボの研究者が、Security Analyst Summit において、攻撃者がブラジルの銀行の DNSを乗っ取って顧客情報を盗み出し、コンピュータをマルウェアに感染させたというインシデントに関する調査結果を発表した。この攻撃者は、銀行の全てのドメインを攻撃者の管理下にあるウェブサイトに転送することが可能となっていた。

https://threatpost.com/lessons-from-top-to-bottom-compromise-of-brazilian-bank/124770/
https://www.wired.com/2017/04/hackers-hijacked-banks-entire-online-operation/
http://www.theregister.co.uk/2017/04/05/hackers_take_over_banks_dns_system/
https://www.scmagazine.com/brazilian-bank-hacked-loses-control-of-its-online-presense/article/648773/

【編集者メモ】(Williams)
これは、規模は違うが、数年前の Hurricane Electric に対して行われた Poisoned
Hurricane 攻撃と似ている:

https://www.fireeye.com/blog/threat-research/2014/08/operation-poisoned-hurricane.html

DNSはインフラの中でもセキュリティ対策が遅れる傾向にある分野だ。DNSSECでも、この問題は解決できない。DNSSECは、広く実装されていないため、署名されていないDNS応答をクライアント側で受け入れないという判断ができないからだ。

◆ Broadcom チップの問題が、Android および iOSデバイスに影響 (2017.4.5)
Broadcom Wi-Fi チップセットの問題に起因して、様々な Android 端末がハイジャックされる脆弱性が発見された。攻撃者は、細工された Wi-Fiシグナルを悪用して、スタックオーバーフローを引き起こすことが可能になる。このチップセットは、iOSデバイスでも使用されており、今週リリースされた iOS 10.3.1で修正されている。Google は、4月の Android向けのアップデートで修正する予定である。

https://arstechnica.com/security/2017/04/wide-range-of-android-phones-vulnerable-to-device-hijacks-over-wi-fi/

【編集者メモ】(Neely)
System-on-a-chipのコンポーネントは、デバイスを安全に保とうとする上で問題を複雑にしている要因の一つである。この脆弱性は、攻撃が成功した場合、Wi-FiSoCの権限でリモートからコードの実行が可能となるため、重大と評価されているものだ。、この問題に関してGoogleはまだ公式の修正パッチをリリースしていないが、この脆弱性は、CVE-2017-0561としてトラッキングされており、Google Developer Siteから提供されている Nexusデバイス向けの最新ドライバに含まれている。このアップデートが正式に提供されたら、数週間以内に Samsungなど他のデバイスメーカーがアップデートを提供してくれるだろう。このパッチが公開されたら直ちに適用してほしい。Appleと Googleから提供されるアップデートは、Broadcomのファームウエアにパッチを適用しなくともOSレベルで脆弱性に対処している。この脆弱性を悪用するには、細工されたアクセスポイントが必要であり、攻撃コードはまだ公開されていないため、攻撃を受けるリスクは今のところ低い。現在、公開されている対策はWi-Fiを無効にすることだが、これは実用的ではない。Project ZeroのGal Beniaminiは、ユーザの関与無しで Broadcom SOC over Wi-Fi上でリモートコードの実行に関して詳細な記事を書いている。

https://googleprojectzero.blogspot.jp/2017/04/over-air-exploiting-broadcoms-wi-fi_4.html

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の無料セミナー・イベント        <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○4月24日(月)
 SANS×セキュアEggsプレビューセミナー
 ~セキュリティ人材の効果的な養成のために~
https://www.nri-secure.co.jp/seminar/2017/0424.html?xmid=300&xlinkid=04

○4月26日(水)、5月25日(木)、6月27日(火)
 100万枚以上の紙文書どう管理しますか?文書管理を効率化する方法とは
 ~業界トップ企業採用の文書管理システムをご紹介~
https://www.nri-secure.co.jp/seminar/2017/doc02.html?xmid=300&xlinkid=05

○4月27日(木)、5月26日(金)、6月29日(木)
 今、Webサービス提供事業者が直面している課題とその解決策
 ~安全で便利なWebサービスを実現させる方法とは~
https://www.nri-secure.co.jp/seminar/2017/ciam01.html?xmid=300&xlinkid=06

○5月16日(火)
 事例から学ぶ特権ID・監査ログ管理実践セミナー
 ~今、求められるアクセス管理を短期間・低コストで実現する方法とは~
https://www.nri-secure.co.jp/seminar/2017/ac03.html?xmid=300&xlinkid=03

○5月17日(水)
 標的型攻撃対策ソリューションセミナー
 ~メール・端末対策とWebアクセス完全無害化~
https://www.nri-secure.co.jp/seminar/2017/apt02.html?xmid=300&xlinkid=07

○5月19日(金)、6月20日(火)
 ファイル交換・転送サービスの正しい選び方
https://www.nri-secure.co.jp/seminar/2017/file01.html?xmid=300&xlinkid=08


━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃独自調査資料 無料ダウンロード       <NRIセキュア>【NEW】
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○企業における情報セキュリティ実態調査2017
https://www.nri-secure.co.jp/security/report/2016/analysis.html?xmid=300&xlinkid=10

○NRI Secure Insight 2017
 企業における情報セキュリティ実態調査 ~グローバル編~
https://www.nri-secure.co.jp/security/report/2016/analysis_global2017.html?xmid=300&xlinkid=11

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃Insight                   <NRIセキュア>【NEW】
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○P2PEによって新しい局面を迎えるクレジットカード決済
https://www.nri-secure.co.jp/security/insights/2017/vol1.html?xmid=300&xlinkid=12


NRI Secure SANS NewsBites 日本版は、米国の情報セキュリティの専門機関であるSANS Instituteが配信するコンテンツ (SANS NewsBites)をベースに、NRIセキュアテクノロジーズが編集してお届けしています。 世界中でこの1週間に起こったセキュリティのあらゆるトピックと専門家のコメントが掲載されています。原版は、およそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュースソースとして活用されています。組織のセキュリティ管理に関する参考情報としてお役立てください。掲載されている情報は、e-mailを介して自由に他の方に再送していただいて結構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望される方は、弊社ホームページの以下のページよりお申込みください。
http://www.nri-secure.co.jp/news_letter/

本ニュースレターは、メールマガジン配信を申し込まれた方、弊社からの情報を希望された方、SANS関連のイベントに参加された方、その他イベント等において弊社講演枠に登録された方に配信しています。
今後、配信をご希望されない方は会社名と御氏名を本文に明記のうえ、件名に【配信不要】、配信先変更をご希望の方は【配信先変更希望】とご記入頂き、新旧のご連絡先も記載のうえ、info@sans-japan.jpまでご返信をお願い致します。なお、情報の反映までにお時間を頂戴する場合がございます。