NRI Secure SANS NewsBites 日本版

Vol.12 No.13 2017年4月27日発行

■■SANS NewsBites Vol.19 No.031, 032
(原版: 2017年4月18日、4月21日)


┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 申┃込┃受┃付┃中┃で┃す┃!┃2017年7月開催SANSトレーニングの
 ━┛━┛━┛━┛━┛━┛━┛━┛受付を開始しました

         = SANS Cyber Defence Japan 2017 =
  https://sans-japan.jp/training/cybe_defence_japan2017.html

【7月開催】7/10(月)~15(土) ※早割締切5/26(金)まで ━ ━ ━ ━ ━

◆SEC504:Hacker Tools, Techniques, Exploits and Incident Handling
   -ペンテスター、インシデントハンドラーへの登竜門-
◆SEC575:Mobile Device Security and Ethical Hacking
-モバイル環境を安全にするためのスキルを構築-
◆SEC660:Advanced Penetration Testing, Exploit Writing, and Ethical Hackin
★日本初★-過去にSEC560やSEC542を受講された方に特にお勧め!-

━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━
◆SEC401:Security Essentials Bootcamp Style
 最もポピュラーな情報セキュリティのゴールド・スタンダード。
 情報セキュリティ・ネットワークに関する基本的知識を有している方は必見です

  ○7/5(水)~7(金)、12(水)~14日(金) ※早割締切5/22(月)まで

━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━
 ◆Core NetWars Experience
     -参加者の経験と技術力を競うCTFチャレンジ-
     7/10~15のSANSトレーニングご受講者は無料で参加いただけます

     ○7/13(木)~14(金) 両日とも18:00~21:00
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛
◆ ロジックボムを仕込んだ元従業員を告訴 (2017.4.13,14)
マサチューセッツ州にある Allegro MicroSystems 社は、運用している経理データべースにロジックボムを仕込んだ疑いがあるとして、元従業員の Nimesh Patel 氏を告訴した。同氏は、2002年から Allegro社に勤めており、2016年1月8日に退職している。訴状によると、同氏は返却していない Allegro社支給のノートパソコンと別の従業員の認証情報を使い、 2016年1月31日に企業ネットワークへアクセスし、ロジックボムを仕込んだという。このロジックボムは、Allegro 社会計年度の開始日である 4月1日に作動するようになっていた。この妨害行為は 4月 14日に検知され、2週間と待たずにロジックボムのコードが発見されている。

https://www.bleepingcomputer.com/news/security/former-sysadmin-accused-of-planting-time-bomb-in-companys-database/
http://www.theregister.co.uk/2017/04/14/sysadmin_crash_former_employers_oracle_db/
http://regmedia.co.uk/2017/04/13/allegrovpatelcomplaint.pdf

【編集者メモ】(Williams)
ネットワーク内でロジックボムを発見するのは至難の業である。最大の防御は、ユーザの行動を分析し、攻撃を未然に防ぐことである。

◆ 男性が以前勤務していた企業のシステムに侵入したことを認める (2017.4.17)
Jason Needham 氏は、以前に勤務していた企業のネットワークに、機密情報を盗む目的で 2年間に渡って繰り返し侵入していたことを認めた。同氏は、エンジニアリング企業の共同オーナーだが、以前勤務していた企業はビジネス上の競合相手だという。

http://www.darkreading.com/endpoint/man-admits-hacking-into-his-former-employers-network/d/d-id/1328653?
https://www.justice.gov/opa/pr/tennessee-man-pleads-guilty-unauthorized-access-former-employer-s-networks

【編集者メモ】(Henry)
最近、従業員または元従業員が、本来アクセスできるべきでないネットワークへのアクセスをしている事例についてよく耳にする。継続した監視や適切なおとり (Tripwires) を導入することで、悪意あるインサイダーの行動を検知できるが、情報セキュリティにおいて従業員が退職した後にアクセス権をはく奪することは基本中の基本である。今回の事例では、元同僚のメールアカウントを 2年間に渡ってアクセスしていたという。このアカウントの認証情報が推奨されている通り (90日ごとに) 定期的に変更していたら、影響を軽減または完全に防ぐことができただろう。
【編集者メモ】(Murray)
多くの場合、退職は友好的に終わるものだが、どのような場合でも退職者のアカウント管理は、タイムリーかつ完全に行わなければならない。特権を持っている従業員は特に重要である。そのため、権限を与える前に、退職時にどのようにして権限をはく奪するのかも考慮しておく必要がある。これには、従業員が管理者の知らないうちに権限を拡大することを防ぐことも含む必要があるのだ。この場合、複数人によるコントロールが実装されることが多いだろう。
【編集者メモ】(Williams)
従業員が競合他社へ転職した場合、その従業員が使っていたパソコンをフォレジンック検証することを推奨する。このためのお金はかけるべきであり、支払う価値がある。信頼できると思っていた従業員でも、頻繁に企業秘密を競合他社に持ち出していることは珍しいことではない。

◆ マイクロソフトがデジタルジュネーブ条約の関連ドキュメントを公開(2017.4.14)
マイクロソフトは、デジタルジュネーブ条約を支持する 3つの公式文書を公開した。このうち 2つの文書は、国や企業がサイバー空間内で守るべきルールについて記載されており、 3つ目の文書では悪意あるサイバー攻撃が誰によって行われたのかを特定するための国際的な機関の設置について記載されている。マイクロソフトの社長兼最高法務責任者、Brad Smith氏のブログによると、「G7は、サイバー空間において国際的なルールが必要であるという認識を表明した」が、強制力がない任意のルールでは足りないと書いている。同氏は、先日の RSA Conference でもデジタルジュネーブ条約について話をしており、ブログでも「政府が守るべきルールを体系化し、取り返しのつかない影響を受ける前に法的拘束力のあるフレームワークを作成する必要がある」と考えを述べている。

http://cdn.nextgov.com/b/nextgov/interstitial.html?v=2.1.1&rf=http%3A%2F%2Fwww.nextgov.com%2Fcybersecurity%2F2017%2F04%2Fmicrosoft-outlines-cyber-geneva-convention-proposal%2F137043%2F%3Foref%3Dng-channelriver
https://blogs.microsoft.com/on-the-issues/2017/04/13/growing-consensus-need-international-treaty-nation-state-attacks/#sm.0000007mx8kgaypf2hxpi5ku113c3
https://blogs.microsoft.com/on-the-issues/2017/02/14/need-digital-geneva-convention/#sm.0000007mx8kgaypf2hxpi5ku113c3
http://mscorpmedia.azureedge.net/mscorpmedia/2017/04/Policy-Paper-Digital-Geneva-Convention.pdf
http://mscorpmedia.azureedge.net/mscorpmedia/2017/04/Policy-Paper-Industry-Accord.pdf
http://mscorpmedia.azureedge.net/mscorpmedia/2017/04/Policy-Paper-Attribution-Organization.pdf

【編集者メモ】(Pescatore)
「グローバルに考え、ローカルに行動する」という (100 年前に都市開発の際に生まれた) フレーズがここでも適用できるだろう。物理的な破壊行為の兵器に関してルールがあるように、サイバー兵器にも国際的なルールが必要である。汚染された飲み水にお金を使ったり、腐った食べ物を口にしたりしていていたら、化学兵器による戦争を禁止する条約は、無意味になってしまう。サイバーの観点から見た時に、ローカルなアクション (テクノロジーを売っている企業やユーザ) によって多くのサイバー攻撃による影響を軽減または失くすことが可能である。しかし、このような国際的なルールの作成には、多くの時間が費やされるだけでなく、悪意ある人たちから保護がされないものであることに注意したい。
【編集者メモ】(Henry)
「これは良いアイデアだ」というステージはとっくに過ぎている。グローバルに相互接続された世の中を守らなければならず、政府による制限を設けるフレームワークを作成しないことによる影響は多大になるだろう。今まさに必要なのだ。

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃OUCH! 4月号「パスフレーズ」について
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
メールやオンラインバンキング、買い物などでスマートフォンを利用する場合、
パスワードを使って安全な状態を保っていると思いますが、強力なパスワードの
設定方法に苦労していませんか。パスフレーズを使えば、簡単に強力なパスワー
ドを作ることができるだけではなく、覚えやすく、入力ミスも減らせるというメ
リットがあります。今月は、このパスフレーズについて一般ユーザ向けに分かり
やすく解説します。社員の意識向上ツールとしてお使いください。
https://securingthehuman.sans.org/newsletters/ouch/issues/OUCH-201704_jp.pdf
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃ セキュアEggs「情報セキュリティの「たまご」を育てます!」
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 セキュアEgg シリーズは、これから情報セキュリティを本格的に学ぶ方を対象
 としたコース群で、文字どおり「たまご」の意味をもった基礎的な内容を網羅
 した研修プログラムです。ペンテスターやフォレンジックアナリスト、インシ
 デントハンドラーなどのエキスパートとして、情報セキュリティの最前線で活
 躍するために必要な基礎的スキルを演習中心に短時間で効果的に習得できるよ
 うに設計されています。
http://www.nri-secure.co.jp/service/learning/secureeggs.html

 システム開発や運用などの業務に携わる方々にとっても、情報セキュリティの
 要素をご自身のスキルに加えていただく絶好のカリキュラムです。通常パック
 の他にも、実践!サイバーセキュリティ演習 for Eggsもご用意しております。

 ・セキュアEggs(IT+セキュリティ基礎)
2017年6月22日(木)-23日(金)
2017年9月14日(木)-15日(金)
2018年1月22日(月)-23日(火)

 ・セキュアEggs(フォレンジック)
2017年9月21日(木)
2018年1月25日(木)
 ・セキュアEggs(インシデント対応)
2017年9月20日(水)
2018年1月24日(水)
 ・セキュアEggs(Webアプリケーションセキュリティ)
2017年9月22日(金)
2018年1月26日(金)
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆ エネルギー省によるサイバー演習の報告 (2017.4.19)
2016年12月に、米国エネルギー省(DOE) が、サイバーインシデントに関する政府や防災の当局者の対応能力を評価するため、大規模なサイバーインシデントによって米国北東部に位置する 7つの州で停電が発生したことを前提とした演習を行った。
この演習はLiberty Eclipseと名付けられている。Liberty Eclipseのサマリーレポートによると「サイバーインシデントの調整フレームワークは、州と連邦政府で改善し、民間と同期させる必要がある」と指摘している。また、「サイバーセキュリティを強化するためのリソースはたくさんあるが、州やエネルギーサプライチェーンの企業では、これらの取り組みは知られていない」という指摘もされている。

http://thehill.com/policy/cybersecurity/329499-energy-dept-exercise-reveals-gaps-in-response-to-major-cyber-incident
https://energy.gov/sites/prod/files/2017/04/f34/LE%20FINAL%20Exercise%20Summary%2031March2017_Public%20Doc.pdf

【編集者メモ】(Murray)
電力供給網はインシデントレスポンスを比較的適切に行っている。今必要なのは、レスポンスに使っている制御機能を悪用されないための対策である。
【編集者メモ】(Honan)
このレポートでは、インシデントレスポンスの演習を行うことで、抜けている部分や問題を洗い出すことの重要性を示してくれた。European Union Agency for Network and Information Security (ENISA) は、サイバー演習に関する多くの資料をウェブサイト上で公開しているので参考にされたい。
https://www.enisa.europa.eu/topics/cyber-exercises

◆ DARPAプロジェクトは、電力送電網を攻撃から守ることを目的に(2017.4.13,17)
国防総省の国防高等研究計画局 (DARPA) と BAE Systems は、米国の電力送電網が攻撃を受けていても機能し続けることを可能とするような技術を開発している。Rapid Attack Detection, Isolation and Characterization Systems(RADICS) と名付けられたプログラムは、「差し迫った攻撃に対する早期警戒」やネットワーク上で権限のないユーザを検知し、遮断する機能の開発に注力している。他にも攻撃を受けたシステムの隔離や送電網を機能させ続けるためにSecure Emergency Networkへの移行に関する開発も行っている。

https://defensesystems.com/articles/2017/04/13/grid.aspx
https://gcn.com/articles/2017/04/17/darpa-radics-power-grid.aspx?admgarea=TC_SecCybersSec

◆ Oracleのセキュリティアップデート:300近くの脆弱性を修正 (2017.4.19)
4月19日(水)に、Oracleが四半期に一度のパッチアップデートを公開し、299個の脆弱性を修正した。この中には、Shadow Brokerが攻撃コードを公開した Solaris 10及び11.3に影響を与える脆弱性や、Apache Struts、Oracle Financial Services、MySQL の脆弱性の修正が含まれている。

http://www.theregister.co.uk/2017/04/19/oracle_april_security_patches_nsa/
https://www.scmagazine.com/struts-and-shadow-brokers-exploits-among-the-299-fixed-by-oracle-patch/article/651634/
http://www.zdnet.com/article/oracle-drops-massive-patch-update-which-fixes-299-vulnerabilities/
http://www.eweek.com/security/oracle-patches-299-vulnerabilities-in-april-critical-patch-update
https://threatpost.com/record-oracle-patch-update-addresses-shadowbrokers-struts-2-vulnerabilities/125046/
http://www.oracle.com/technetwork/security-advisory/cpuapr2017-3236618.html

【編集者メモ】(Pescatore)
Oracleの Critical Patch Update (CPU) は 2016年7月以降、250以上もの脆弱性が修正されおり、Oracleにとって大規模な CPUは当たり前となっている。今回は、40個もの重大な脆弱性(CVSSスコアが9以上) があり、うち 25個は CVSSのスコアが10であった。そして、最も重要なのは、37%の脆弱性が、Oracle が提供する Retailや Financial services application といった企業向けのソリューションにあったということだ。ERPScan によると「攻撃者が認証無しでリモートによりデータベース内の重要データを全て閲覧できる」という。
重要な教訓:もっと早く CPUの QAと提供が必要である。クラウドの IaaSサービスを使い、開発・試験環境を立ち上げ、難読化した機密データを用いたパッチテストを行っている成功事例も多くある。
【編集者メモ】(Williams)
古いバージョンの Solarisが影響を受ける脆弱性が多いことから、レガシーのSolaris からもっと新しいバージョン(10+) へのアップグレードを推奨する。Solaris8 でしか動作しないレガシーアプリケーションがある場合、Solaris zones を検討しても良いだろう。多くの企業環境では、Windows ワークステーションよりも、 Unix ワークステーションの方がパッチを適用するサイクルが長いのだから、Solaris 10+ を利用している場合は、すぐにパッチ適用を推奨する。

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の無料セミナー・イベント        <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○5月16日(火)
 事例から学ぶ特権ID・監査ログ管理実践セミナー
 ~今、求められるアクセス管理を短期間・低コストで実現する方法とは~
https://www.nri-secure.co.jp/seminar/2017/ac03.html?xmid=300&xlinkid=03

○5月17日(水)
 標的型攻撃対策ソリューションセミナー
 ~メール・端末対策とWebアクセス完全無害化~
https://www.nri-secure.co.jp/seminar/2017/apt02.html?xmid=300&xlinkid=04

○5月19日(金)、6月20日(火)
 ファイル交換・転送サービスの正しい選び方
https://www.nri-secure.co.jp/seminar/2017/file01.html?xmid=300&xlinkid=05

○5月25日(木)、6月27日(火)
 100万枚以上の紙文書どう管理しますか?文書管理を効率化する方法とは
 ~業界トップ企業採用の文書管理システムをご紹介~
https://www.nri-secure.co.jp/seminar/2017/doc02.html?xmid=300&xlinkid=06

○5月26日(金)、6月29日(木)
 今、Webサービス提供事業者が直面している課題とその解決策
 ~安全で便利なWebサービスを実現させる方法とは~
https://www.nri-secure.co.jp/seminar/2017/ciam01.html?xmid=300&xlinkid=07

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃独自調査資料 無料ダウンロード       <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○企業における情報セキュリティ実態調査2017
https://www.nri-secure.co.jp/security/report/2016/analysis.html?xmid=300&xlinkid=10

○NRI Secure Insight 2017
 企業における情報セキュリティ実態調査 ~グローバル編~
https://www.nri-secure.co.jp/security/report/2016/analysis_global2017.html?xmid=300&xlinkid=11

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃Insight                   <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○P2PEによって新しい局面を迎えるクレジットカード決済
https://www.nri-secure.co.jp/security/insights/2017/vol1.html?xmid=300&xlinkid=12

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃お知らせ                   <NRIセキュア>【NEW】
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○インターネット上のリスク管理ソリューションを拡充
 ~RiskIQ社が提供するサービスの販売を開始~
https://www.nri-secure.co.jp/whats_new/2017/0418.html?xmid=300&xlinkid=13

○PhishMe社が提供するフィッシング対策製品の取り扱いを開始
https://www.nri-secure.co.jp/whats_new/2017/0412.html?xmid=300&xlinkid=14


NRI Secure SANS NewsBites 日本版は、米国の情報セキュリティの専門機関であるSANS Instituteが配信するコンテンツ (SANS NewsBites)をベースに、NRIセキュアテクノロジーズが編集してお届けしています。 世界中でこの1週間に起こったセキュリティのあらゆるトピックと専門家のコメントが掲載されています。原版は、およそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュースソースとして活用されています。組織のセキュリティ管理に関する参考情報としてお役立てください。掲載されている情報は、e-mailを介して自由に他の方に再送していただいて結構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望される方は、弊社ホームページの以下のページよりお申込みください。
http://www.nri-secure.co.jp/news_letter/

本ニュースレターは、メールマガジン配信を申し込まれた方、弊社からの情報を希望された方、SANS関連のイベントに参加された方、その他イベント等において弊社講演枠に登録された方に配信しています。
今後、配信をご希望されない方は会社名と御氏名を本文に明記のうえ、件名に【配信不要】、配信先変更をご希望の方は【配信先変更希望】とご記入頂き、新旧のご連絡先も記載のうえ、info@sans-japan.jpまでご返信をお願い致します。なお、情報の反映までにお時間を頂戴する場合がございます。