NRI Secure SANS NewsBites 日本版

Vol.12 No.14 2017年5月9日発行

編集担当より:
ゴールデンウィークはいかがでしたか。休息をされた方、お仕事をされた方、さまざまだったと思います。今週はゴールデンウィーク中に発行された 4通のニュースレターをまとめてお送りいたします。

■■SANS NewsBites Vol.19 No.033-036
(原版: 2017年4月25日、28日、5月2日、5日)


┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓
 申┃込┃受┃付┃中┃2017年7月開催SANSトレーニング
 ━┛━┛━┛━┛━┛早期割引締切り間近です!

         = SANS Cyber Defence Japan 2017 =
  https://sans-japan.jp/training/cyber_defence_japan2017.html

【7月開催】7/10(月)~15(土) ※早割締切5/26(金)まで  ━ ━ ━ ━ ━

◆SEC504:Hacker Tools, Techniques, Exploits and Incident Handling
   -ペンテスター、インシデントハンドラーへの登竜門-
◆SEC575:Mobile Device Security and Ethical Hacking
-モバイル環境を安全にするためのスキルを構築-
◆SEC660:Advanced Penetration Testing, Exploit Writing, and Ethical Hacking
★日本初★-過去にSEC560やSEC542を受講された方に特にお勧め!-

 ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━
◆SEC401:Security Essentials Bootcamp Style
 最もポピュラーな情報セキュリティのゴールド・スタンダード。
 情報セキュリティ・ネットワークに関する基本的知識を有している方は必見です

  ○7/5(水)~7(金)、12(水)~14日(金) ※早割締切5/22(月)まで

 ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━
◆Core NetWars Experience
     -参加者の経験と技術力を競うCTFチャレンジ-
     7/10~15のSANSトレーニングご受講者は無料で参加いただけます

     ○7/13(木)~14(金) 両日とも18:00~21:00
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛
◆ DoublePulsarと呼ばれるNSAから漏えいしたツールが、20万台以上のコンピュータに感染 (2017.4.21,24)
数週間前に Shadow Brokers により公開されたハッキングツールは、既に何万台ものコンピュータをマルウエアに感染させている。DoublePulsarとして知られるこのマルウエアは、Windows のコンピュータを標的としており、感染したコンピュータはバックドアを通じて別のマルウエアに感染するようになり、その後、マルウエア配布やスパムメールの送信、他のパソコンに対する攻撃活動に使用されるという。
そもそも DoublePulsarは、EternalBlueと呼ばれるエクスプロイトと共にインストールされるが、EternalBlue が悪用する問題を先月マイクロソフトが修正しているものの、すべての人がアップデートした訳ではない。

https://threatpost.com/nsas-doublepulsar-kernel-exploit-in-use-internet-wide/125165/
http://www.v3.co.uk/v3-uk/news/3008875/nsa-linked-hacking-tools-released-by-shadow-brokers-have-compromised-almost-200-000-windows-pcs
https://www.cyberscoop.com/fast-thousands-computers-now-compromised-leaked-nsa-tools-researchers-say/?category_news=technology
https://www.cyberscoop.com/leaked-nsa-tools-now-infecting-over-200000-machines-will-be-weaponized-for-years/?category_news=technology
http://www.theregister.co.uk/2017/04/21/windows_hacked_nsa_shadow_brokers/
https://arstechnica.com/security/2017/04/10000-windows-computers-may-be-infected-by-advanced-nsa-backdoor/

【編集者メモ】(Assante)
これらのツールが公開されたことに便乗した攻撃活動が行われているのは、ICS アプリケーションの観点から心配である。なぜなら、これらの多くは、サポートされていない Windows XPや Server 2003を使用しており侵入経路が増えているのだ。
【編集者メモ】(Williams)
企業はこの脅威を真剣に捉えるべきだ。すでに、DoublePulsar を配置するためのMetasploitモジュールが公開されているため、感染させるのは容易になっている。
Windows Server 2003 またはWindows XPを使用している場合、根本原因である SMBの脆弱性に対する修正は提供されないことを知っているだろうか。ネットワークの細分化、適切な内部のアクセス制御リストを活用することで、この脆弱性を悪用する攻撃者のネットワーク内の動きを制限することができる。

◆ BrickerBot が第二弾となる攻撃活動を行っている (2017.4.24)
IoT 機器を利用できない状態にするボットネットである BrickerBot は、より効果的なペイロードを使用した第二弾の攻撃活動を開始している。BrickerBot.3 は、BrickerBot の最初のバージョンが公開されてから1か月後の4月20日に初めて発見され、その直後に BrickerBot.4 が発見されている。

https://arstechnica.com/security/2017/04/brickerbot-the-permanent-denial-of-service-botnet-is-back-with-a-vengeance/

【編集者メモ】(Assante)
ボットネットやワームを使用して、脆弱な IoTデバイスを世の中から消すという影の側面があるにせよ、BrickerBotが進化することで、製造業や個人の消費者に影響を与えることが可能な産業やインフラで使用されるアプリケーションに対するPDoSといったコンセプトや破壊行為が提供されるだろう。
【編集者メモ】(Murray)
慎重になってください!ちゃんとしている人は、公共のネットワークに脆弱なデバイスを接続しないし、隣人の財産にも侵害はしません。この活動は、問題に焦点を充てているが、適切な解決方法ではないのです。我々は動機ではなく具体的な行動と結果で判断します。この活動を我慢することは終わりを告げるでしょう。

◆ SquirrelMail にコード実行の脆弱性 (2017.4.24)
SquirrelMailに重大な脆弱性があり、悪用されることで任意のコードが実行されるという。この脆弱性は、ユーザによる入力がサニタイズされていないことに起因しており、SquirrelMail が Sendmailを使って送受信をするよう設定されている場合にのみ影響を受ける。開発者はこの脆弱性の修正に取り組んでいる。

https://threatpost.com/no-fix-for-squirrelmail-remote-code-execution-vulnerability/125151/
http://www.theregister.co.uk/2017/04/24/squirrelmail_vuln/

【編集者メモ】(Williams)
このオープンソースプロジェクトの開発者は、本脆弱性について 1月に通知を受けていたが、個人的な都合により修正の開発をするために追加の時間が欲しいと返事をしていた。これは、オープンソースでも有償製品でも公開期日を設定することが良いという示唆に富んだ展開である。このソフトウエアは、2011年から脆弱な状態にあったとされており、開発者が通知を受け、修正を公開するために 3か月の猶予を与えてから公開されている。
http://legalhackers.com/advisories/SquirrelMail-Exploit-Remote-Code-Exec-CVE-2017-7692-Vuln.html

◆ Bosch 製の車用ドングルに脆弱性 (2017.4.19,24)
Argus Cyber Security社のブログによると、 Bosch Drivelog Connect OBD-IIドングルの脆弱性を悪用して、このドングルが接続された車を乗っ取り、走行中に車のエンジンを止めることができたという。Bosch Drivelog Connectは診断インターフェースと通信するために使われており、車に関連した情報を収集し、運転手に車のメンテナンス期日などをドングルとペアリングしたスマートフォンに通知を行う。
車にコマンドを送るための二つの脆弱性が悪用される可能性があり、Bosch 社は、サーバ側で一つの脆弱性を修正し、もう一つは、ファームウエアアップデートにて対応する予定としている。

https://threatpost.com/patched-flaw-in-bosch-diagnostic-dongle-allowed-researchers-to-shut-off-engine/125061/
http://computerworld.com/article/3191519/security/researchers-remotely-kill-the-engine-of-a-moving-car-by-hacking-vulnerable-car-dongle.html
https://www.bleepingcomputer.com/news/security/flaws-in-car-dongle-will-let-hackers-stop-your-cars-engine/
https://psirt.bosch.com/Advisory/BOSCH-2017-0201.html
https://argus-sec.com/remote-attack-bosch-drivelog-connector-dongle/

【編集者メモ】(Assante)
新しい車に実装されているコードの複雑さと攻撃範囲の大きさによって、サプライヤーや OEM事業者は、徹底的な内部あるいは第三者による検証が必要となる。多くの車を同時に危険に晒すような規模の攻撃に対して、セキュリティ設計や実装の潜在的な問題や回避策を見つけるために、より多くの知恵を絞るべきである。
【編集者メモ】(Pescatore)
Stuxnet は、2010年に攻撃から「切断されている」ソフトウエアシステムがないことを証明した。ソフトウエアを使用する以上、ソフトウエアの更新は必要となる。
実際には、多くのソフトウエアは外部に対して何かしらの報告や情報を送信しているし、USB ドライブ経由の Sneaker-netは、すべてのギャップを横断している。車に Bluetooth や WiFiが搭載されていないからといって、車が独立している訳ではないのだ。

◆ 2週間前にパッチが提供されたWordの脆弱性は、数か月前からの攻撃活動で悪用されていた(2017.4.27)
4月11日に修正された Microsoft Word の脆弱性は、2017年1月以降から悪用されていたようだ。この脆弱性(CVE-2017-0199) は、所在不明のロシア語を理解する人たちを調査するために使用されたり、国際的なオンラインバンキング用アカウントを窃取したりする攻撃活動の一部でも使用されていた。マイクロソフトは、2016年10月にこの脆弱性の通知を受けていたが、当時、悪用されていたことが確認できなかったため、すぐに修正は行われなかったという。また、マイクロソフトは提供するパッチを包括的なものにしたかったともしている。この脆弱性は、4月 11日以降にイスラエルのベングリオン大学の職員らを標的にしたことも判っている。

http://www.reuters.com/article/us-microsoft-cyber-idUSKBN17S32G
https://www.cyberscoop.com/iranian-hackers-used-a-microsoft-word-flaw-in-a-campaign-against-israeli-targets/?category_news=technology

【編集者メモ】(Pescatore)
マイクロソフトは、何年もの間、Office スイートやWindows OS の技術的な方向性について、企業としてマーケットシェアや利益の維持、拡大することを促進してきた。これらのコンポーネントの融合がより密接になってきている中、深刻な脆弱性にパッチを適用する作業もより複雑になってきており、結果としてパッチの適用が遅れたり、適用は迅速であっても問題のあるパッチが提供されたりしている。いくらマイクロソフトがセキュリティに力を入れていてもこれらの問題は残るのだ。
Windows や Office を使用するデスクトップは、アプリケーション制御や権限管理を標準で搭載し、Windows に含まれる脆弱性を悪用するマルウエア感染を難しくするべきである。Windows 10をこれから展開するのであれば、タイミングは今しかない。
【編集者メモ】(Williams)
包括的なパッチは良い事だが、このようなタイムラインでは、Google Project Zeroのような強制的な情報公開の価値が上がるように思える。マイクロソフトから、脆弱性を悪用する攻撃活動が無いと発表があった場合、本当は、ユーザから共有されている測定情報の中で悪用されている痕跡を発見できてない、ということを言っているのだから。特に標的型攻撃に関しては、彼らが見ている情報だけでは不足している。
【編集者メモ】(Paller)
ここで解説されている問題は体系的な問題であり、マイクロソフトはパッチを一般公開する 2週間前に、特定の政府に対して事前に提供しており、政府がシステムを保護する時間を与えている。(アジアにある)特定の政府は、このマイクロソフトが提供するパッチに関する脆弱性情報を使って、毎月 2週間のゼロデイ期間として活用している。

◆ ランサムウエアは増加傾向:VerizonとSymantecのレポート (2017.4.27)
Verizon と Symantec が公開したレポートによると、ランサムウエアの発生が急上昇しているという。Symantecの Internet Security Threat Reportでは、ランサムウエアによる支払いの要求は 2016年で 3倍になったとしている。Verizonの 2017 Data Breach Investigations Reportでも、ランサムウエアは 2015年に比べ2016年は 50パーセント増えたとしている。また、Verizonは、企業を標的にした攻撃で使われる手法は業界ごとに異なるとしており、「製造業のDDoS被害は一番低いが、スパイ活動による侵入被害は一番高い」としている。

http://www.eweek.com/security/verizon-data-breach-investigations-report-reveals-ransomware-surge
https://www.bloomberg.com/news/articles/2017-04-27/cyberattacks-involving-extortion-are-on-the-rise-report-shows
https://www.cnet.com/news/ransomware-became-three-times-as-expensive-in-2016/
http://www.darkreading.com/endpoint/web-attacks-decline-ransomware-attacks-surge/d/d-id/1328726

【編集者メモ】(Murray)
Verizon は、とても慎重に「data breach incident」データから、ユーザが不当な結論を導き出さないようにしている。そのために 2014年にレポートのタイトルを「incident」から「investigations」に変更した意味は大きい。データにすべての「incident」が含まれている訳ではなく、いくつかの「investigated」されたものしか含まれていない。そしてそれらは、適切なフォレンジックトレーニングを受け、適切な指揮のもとで経験に基づいて分析されたものが掲載されている。読むときはこれらを考慮してほしい。そうとは言っても、このレポートは、ただの事例報告ベースのリスク管理から、データを基にしたセキュリティ対策への移行を推進するものであろう。
【編集者メモ】(Honan)
この Data Breach Investigations Reportは、情報セキュリティに従事している者にとって、重要なリソースである。なぜなら、ベンダニュートラルで、事実に基づいた脅威分析を提供しているからである。ベンダから聞く多くの誇大広告を正しく見定めるために、読むべきである。全ての人にこれをダウンロードし、一読した上で、Irish Reporting and Information Security Service(IRISSCERT) に貢献するよう呼びかけたい。このレポートを向上させるために多くのデータが不可欠なのだから。
【編集者メモ】(Neely)
SANS 2016 Threat Landscape survey は、企業への侵入にフィッシングとスピアフィッシングがトップ10に入ると記載しており、ランサムウエアが拡散する土台を作ったとも書いてある。75% もの脅威がメールの添付ファイル経由で侵入しており、46% が悪意ある細工されたリンクであることから、ユーザ教育だけでは十分とは言えない。企業レベルで、境界の防御のほか、メールの検査や次世代ファイアウォール(NGFW)を使い、エンドユーザに影響を及ぼすマルウエアの数を減らすことができる。そこからエンドユーザは様々な対策が必要であり、その中には、行動ベースのマルウエア検知、ホワイトリスト、アクセス制御や適切なネットワークの細分化などがある。

◆ 2025年のIoT、自動化、自治国家、メガ都市 (2017.4.26)
インターネットに相互接続された IoTデバイスを設計または実装しているエンジニアは、インフラの発展と向き合いながら多くの課題に直面している。この論文は、今見て取れるトレンドから10年後の将来に複数の国際的な都市で起きるであろう問題を具現化している。記載されているシナリオの多くは、今でも発生する可能性がある。Mike Assante とアイダホ国立研究所の Andy Bochman氏が書いた論文がCSISに掲載されている。
「世界の構造とシステムのデジタル化は、経済的に強力な影響があり、生産力と効率性を上げることで多大な利益を生むことが可能になっている。この新たな経済的発展はデジタル化の唯一の基盤ではない。デジタルな将来は、選択されるものではなく、社会として必須なのである。これらの複雑な、相互接続され、相互的に依存関係にあるインフラは、インテリジェント(自立)しているだけでなく、特定の攻撃に対してとても脆いのである。この論文では、現在の設計について解説し、今後のレスポンスやリスク計画を立てるための情報提供を目的としている。」とは、Mikeのコメントである。
https://www.csis.org/analysis/iot-automation-autonomy-and-megacities-2025
【編集者メモ】(Paller)
Mike と Andy による現実世界でのIoT分野における現在のポリシーや実装による影響の解説は、ランド研究所の John Arquila が 1998年に Wiredに寄稿した「Great Cyber War」が公開された時と同じくらいインパクトと議論の火種になるだろう。

https://www.wired.com/1998/02/cyberwar/

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃OUCH! 5月号「子供をインターネットで保護するために」について
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
子供がインターネットに接続して他人と交流を持つ機会はたくさんあります。新
しい SNSアプリケーションやゲーム、学校で配付されるモバイルデバイスなどを
、いかにして使いこなしていくかが子供の社会生活と未来にかかっています。今
月は、保護者にとって子供がテクノロジーを安全に利用するためにできることを
一般ユーザ向けに分かりやすく解説します。社員の意識向上ツールとしてお使い
ください。
https://securingthehuman.sans.org/newsletters/ouch/issues/OUCH-201705_jp.pdf
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃ セキュアEggs「情報セキュリティの「たまご」を育てます!」
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 セキュアEgg シリーズは、これから情報セキュリティを本格的に学ぶ方を対象
 としたコース群で、文字どおり「たまご」の意味をもった基礎的な内容を網羅
 した研修プログラムです。ペンテスターやフォレンジックアナリスト、インシ
 デントハンドラーなどのエキスパートとして、情報セキュリティの最前線で活
 躍するために必要な基礎的スキルを演習中心に短時間で効果的に習得できるよ
 うに設計されています。
http://www.nri-secure.co.jp/service/learning/secureeggs.html

 システム開発や運用などの業務に携わる方々にとっても、情報セキュリティの
 要素をご自身のスキルに加えていただく絶好のカリキュラムです。通常パック
 の他にも、実践!サイバーセキュリティ演習 for Eggsもご用意しております。

 ・セキュアEggs(IT+セキュリティ基礎)
2017年6月22日(木)-23日(金)
2017年9月14日(木)-15日(金)
2018年1月22日(月)-23日(火)

 ・セキュアEggs(フォレンジック)
2017年9月21日(木)
2018年1月25日(木)
 ・セキュアEggs(インシデント対応)
2017年9月20日(水)
2018年1月24日(水)
 ・セキュアEggs(Webアプリケーションセキュリティ)
2017年9月22日(金)
2018年1月26日(金)
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆ IBM: マルウエアに感染しているファイルを含む USBドライブ (2017.5.1)
IBMは、Storwize Initialization Tool を含む USBドライブにマルウエア感染しているファイルが含まれているとして、ユーザ向けにアドバイザリを公開した。この問題は、品番 1AC585 の USB ドライブが影響を受け、これらは Storwize V3500、V3700 および V5000 Gen 1システムの特定モデルと一緒に出荷されたものである。

https://www.scmagazine.com/usb-drives-containing-ibm-tool-found-infected-with-malicious-code/article/653835/
http://www-01.ibm.com/support/docview.wss?uid=ssg1S1010146

【編集者メモ】(Ullrich)
これは良く起きることで、USB メモリに対して、きちんと「書き込み禁止」のソリューションが導入されない限り、今後も起き続けるだろう。他の記憶媒体もマルウエアを含めてしまう可能性が十分にあるが、作成されてからいつでも内容を改変できる USBメモリは、このような感染に対し脆弱であり、品質保証のような本来であれば読み込みだけが必要なビジネスプロセスにおいても感染してしまう可能性がある。

◆ Intel がチップの脆弱性に対しパッチを提供 (2017.5.1)
Intel は、多くのチップセットで使用されている、リモート管理機能に含まれる権限昇格の脆弱性を修正した。この脆弱性が悪用されると、脆弱なパソコンを外部から乗っ取られてしまう可能性があるというもの。この脆弱性は、Intel が提供するActive Management Technology、Small Business Technology、および Intel Standard Manageability が影響を受け、個人向けのPCで使用されているチップセットは影響を受けないとされている。

https://arstechnica.com/security/2017/05/intel-patches-remote-code-execution-bug-that-lurked-in-cpus-for-10-years/
http://www.theregister.co.uk/2017/05/01/intel_amt_me_vulnerability/
https://security-center.intel.com/advisory.aspx?intelid=INTEL-SA-00075&languageid=en-fr

【編集者メモ】(Ullrich)
この vPro に含まれる脆弱性の難しいところは、システムを開発した OEMからパッチの提供を待つしかないことである。個人向けの PC が影響を受ける可能性が低いと主張している Intel の言い分は正しいが、「個人向けの PC」が明確に定義されている訳でない。ビジネス向けの PC でも個人宅で利用され、家庭用ネットワークに接続もされる。無線ネットワーク上で、このサービスを公開してしまっているシステムは特にリスクが高く、パッチを適用するのも難しいだろう。

◆ GE が Energy Flow の脆弱性を修正 (2017.4.26)
GEは、一部の継電器に含まれる脆弱性を修正した。この脆弱性が悪用されると、送電網の一部を使用不可にすることが可能になるという。GEは、脆弱性を含む 6つのモデルのうち、5つに対してパッチを提供している。

http://www.reuters.com/article/us-cyber-generalelectric-power-idUSKBN17S23Y

【編集者メモ】(Murray)
GE によってこの脆弱性が修正できるのであれば素晴らしいことである。 しかし、現実はそうではない。GEによる修正は必要だが、これだけでは足りないのだ。これは、「後で発見して、パッチを適用する」という戦略が失敗した例である。問題が発見されるまでの時間が長ければ長いほど、修正にかかるコストは格段に上がる。
ITインフラで使われる製品においては慣例だが、自動車のような個人向けの製品では許されないことである。

◆ 小国がサイバースパイ活動のプログラムを進化させている (2017.5.3)
サイバーセキュリティ企業は、サイバースパイ活動を行うための機能を発達させて いる国が増えていることに気付いている。物理的な武器と違い、コストはそれほど 高くなく、人命にも影響が無いため、小国でも応用が可能だからだ。

http://www.govtech.com/security/Several-New-Players-With-No-Prior-Cyber-Espionage-Experience-Jump-Into-the-Hacking-Game.html

【編集者メモ】(Pescatore)
サイバー犯罪で使われる複雑なコードは、歴史的にアメリカ、中国、ロシアや北朝鮮ではないところから来ている。国家による攻撃を可能にする脆弱性は、他の攻撃でも悪用が可能であるというのが核心だが、昔からの言い伝えで「ガラスの家に住んでいる者は、もっと強固な家を作るべきだ」と言うのがあるのを思い出していただきたい。
【編集者メモ】(Murray)
これは驚くことではない。一部の攻撃にかかるコストが下がる一方、セキュリティ対策で残りの攻撃コストを高くし、成功による報酬を下げる必要がある。
【編集者メモ】(Williams)
Shadow Brokers によって公開された (報道によると)NSA のハッキングツールは、国家によるハッキングプログラムの発展を早めるだろう。悪用されている脆弱性に対してパッチが提供されているだけでなく、アンチウイルス用の署名もあるだろうが、十分な資金のある国家がどのようにしてハッキングプログラムを進化させているか知見を与えてくれる。Wikileaks が公開した CIAハッキングツールから、攻撃を行うためのサイバーツールを開発している国家に関する知見も得られるだろう。

◆ DHSがモバイルネットワークを安全にするため、より広範囲な権限を希望(2017.5.4)
国土安全保障省(DHS) の Science and Technology Directorate が公開した調査報告書によると、連邦政府のITシステムを安全にする業務において、モバイルネットワークを安全にするために必要な権限が不足していると指摘している。DHS は現在、キャリアの許可なくモバイルキャリアのインフラを調査できないほか、モバイルキャリアに対しセキュリティ対策の適用を強制できない状況にある。モバイルデバイスのセキュリティに関する DHSの調査では「モバイルデバイスが提供する高度な機能や幅広いアプリケーションが、省庁が管理していないネットワークでも利用されているということは、デスクトップのワークステーション向けに開発された保護とは別のセキュリティ対策が必要である」と綴っている。

http://www.nextgov.com/cybersecurity/2017/05/dhs-time-beef-mobile-security/137592/?oref=ng-channeltopstory
https://www.cyberscoop.com/dhs-mobile-security-report-federal-it/
https://www.dhs.gov/publication/csd-mobile-device-security-study

【編集者メモ】(Pescatore)
DHS の調査は、政府がスマートフォンやタブレットを 5年間も活用してきた中で得た知見を無視しており、教訓が全く含まれていない。報告書では、DHS Continuous Diagnostics and Mitigation プログラムを推奨している。これは、政府のPCやサーバに対して、基本的なセキュリティ対策の適用が遅いというのが現状であるが、これをモバイルデバイスにも適用したいと書かれている。GSA FedRamp プログラムが政府の調達力を使って、クラウドプロバイダに対し高度なセキュリティと可視化を求めたことを無視し、DHS にさらなる権限を与えることを推奨しているのだ。さらに、政府では NIAP 認定を受けたデバイスの使用のみを許可することを推奨している。これは、モバイルデバイスよりもライフサイクルが長いPCやサーバ、ソフトウエアで失敗したアプローチであるにも関わらずだ。
【編集者メモ】(Murray)
これは凄い!まず、この報告書はリスクベースではなく「脅威」ベースで書かれていることが注目だ。次に政府が受ける攻撃や侵入は、主にデスクトップを標的にしており、サーバやレガシのメインフレームも標的にもなるが、モバイルはあまり対象になっていないことを教えてくれる。モバイルデバイスにも問題はあるが、デスクトップほど脆弱性でないことが証明されているのだから。政府には「おそらく」固有の要件があり、これらに対し市場は「おそらく」反応しないだろうが、この事実をもって DHSに民間セクターを広く管轄するための権限を与える理由にはならない。幸いにも法律の制定はおろか立法行為からもほど遠い状態にある。

◆ Google Docsを悪用したフィッシング詐欺 (2017.5.3,4,5)
Google Docs からのリクエストを偽装した大規模なフィッシングスキームで、100万ユーザに対してリクエストが送られている。攻撃者は、Googleが提供している開発ツールを使って、正規の Google Docsアプリを閲覧していると見せかけるためのアプリを開発した。このアプリは、正規の OAuth画面を表示し、ユーザのメールと連絡先情報に対しアクセスと管理の権限を求めるようになっている。このフィッシングスキームが発覚した一時間後に、Googleはユーザを保護するための対策を提供している。

http://computerworld.com/article/3194788/security/google-docs-phishing-scam-underscores-oauth-security-risks.html
https://www.wired.com/2017/05/dont-open-google-doc-unless-youre-positive-legit/
https://www.scmagazine.com/massive-google-docs-phishing-attack-targeted-credentials-permissions/article/654938/
http://www.eweek.com/security/google-docs-phishing-attack-tricks-unsuspecting-users-to-click
https://www.cyberscoop.com/gmail-phishing-attack-oauth/?category_news=technology
https://threatpost.com/1-million-gmail-users-impacted-by-google-docs-phishing-attack/125436/
https://www.bleepingcomputer.com/news/security/it-took-google-one-hour-to-shut-down-massive-self-replicating-phishing-campaign/

【編集者メモ】(Honan)
企業は、侵入されたことそのものよりも、侵入に対してどのような対応を行ったかで評価される。インシデントレスポンスを行うチームは、常に機能をテストすべきで、テストすることで侵入が起きた時の対応を覚えることができる。優良なトレーニングによって、想像もつかないような侵入シナリオにも対応できるようになる。

◆ オンラインバンキングのアカウント窃取のため SS7の脆弱性が悪用される(2017.5.3)
攻撃者は、Signaling System 7 (SS7) プロトコルに含まれる脆弱性を悪用し、2段 階認証で保護されている銀行口座から金銭の窃取に成功した。SS7 プロトコルは、 モバイル電話で異なるキャリアネットワーク同士の通信を可能にするもの。この一 連の攻撃は、2017年1月に開始され、SS7の脆弱性を悪用し、モバイルトランザクシ ョン認証番号 (mTAN) 付きのテキストメッセージまたは、送金などを行うために銀 行から発行される 2要素認証のためのワンタイムパスワードを傍受することで行わ れたようだ。攻撃者は、mTANの傍受を行う前に、パスワードの窃取や残高参照する ため従来の手法も使って被害者を先に感染させていたことも判っている。

http://www.zdnet.com/article/two-factor-security-is-so-broken-criminals-drained-a-persons-bank-account/
http://www.theregister.co.uk/2017/05/03/hackers_fire_up_ss7_flaw/
https://arstechnica.com/security/2017/05/thieves-drain-2fa-protected-bank-accounts-by-abusing-ss7-routing-protocol/
http://www.sueddeutsche.de/digital/it-sicherheit-schwachstelle-im-mobilfunknetz-kriminelle-hacker-raeumen-konten-leer-1.3486504

【編集者メモ】(Murray)
さまざまな制限があるにしても、いくつもの実装と利用法が (高度な) 中間者攻撃に対し脆弱ではあるものの、ZDNet が主張するような強い認証方式は「壊れて」はいない。「メカニズムのセキュリティに関して価値のあることが言えるのは、特定のアプリと (脅威) の環境についてコンテキストが含まれている時のみである」。
私は、財務や e-commerce に関するすべてのアカウントで、強い認証方式を使っているが、セキュリティはこれだけに依存している訳ではない。
【編集者メモ】(Honan)
大きな事件が発生するまで利便性とコストは、セキュリティよりも優先されるのだ。2要素認証 (2つのパスワードを入力するため、正しくは 2段階認証だろう) でのSMS活用は、安上がりな方法でエンドユーザのセキュリティを強化している。

NISTからアカウントを保護する上で、この手法は強度が足りないと指摘している:https://pages.nist.gov/800-63-3/sp800-63b/cover.html

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の無料セミナー・イベント        <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○5月16日(火)
 事例から学ぶ特権ID・監査ログ管理実践セミナー
 ~今、求められるアクセス管理を短期間・低コストで実現する方法とは~
https://www.nri-secure.co.jp/seminar/2017/ac03.html?xmid=300&xlinkid=03

○5月17日(水)
 標的型攻撃対策ソリューションセミナー
 ~メール・端末対策とWebアクセス完全無害化~
https://www.nri-secure.co.jp/seminar/2017/apt02.html?xmid=300&xlinkid=04

○5月19日(金)、6月20日(火)
 ファイル交換・転送サービスの正しい選び方
https://www.nri-secure.co.jp/seminar/2017/file01.html?xmid=300&xlinkid=05

○5月25日(木)、6月27日(火)
 100万枚以上の紙文書どう管理しますか?文書管理を効率化する方法とは
 ~業界トップ企業採用の文書管理システムをご紹介~
https://www.nri-secure.co.jp/seminar/2017/doc02.html?xmid=300&xlinkid=06

○5月26日(金)、6月29日(木)
 今、Webサービス提供事業者が直面している課題とその解決策
 ~安全で便利なWebサービスを実現させる方法とは~
https://www.nri-secure.co.jp/seminar/2017/ciam01.html?xmid=300&xlinkid=07

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃独自調査資料 無料ダウンロード       <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○企業における情報セキュリティ実態調査2017
https://www.nri-secure.co.jp/security/report/2016/analysis.html?xmid=300&xlinkid=10

○NRI Secure Insight 2017
 企業における情報セキュリティ実態調査 ~グローバル編~
https://www.nri-secure.co.jp/security/report/2016/analysis_global2017.html?xmid=300&xlinkid=11

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃Insight                   <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○P2PEによって新しい局面を迎えるクレジットカード決済
https://www.nri-secure.co.jp/security/insights/2017/vol1.html?xmid=300&xlinkid=12

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃お知らせ                   <NRIセキュア>【NEW】
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○インターネット上のリスク管理ソリューションを拡充
 ~RiskIQ社が提供するサービスの販売を開始~
https://www.nri-secure.co.jp/whats_new/2017/0418.html?xmid=300&xlinkid=13

○PhishMe社が提供するフィッシング対策製品の取り扱いを開始
https://www.nri-secure.co.jp/whats_new/2017/0412.html?xmid=300&xlinkid=14


NRI Secure SANS NewsBites 日本版は、米国の情報セキュリティの専門機関であるSANS Instituteが配信するコンテンツ (SANS NewsBites)をベースに、NRIセキュアテクノロジーズが編集してお届けしています。 世界中でこの1週間に起こったセキュリティのあらゆるトピックと専門家のコメントが掲載されています。原版は、およそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュースソースとして活用されています。組織のセキュリティ管理に関する参考情報としてお役立てください。掲載されている情報は、e-mailを介して自由に他の方に再送していただいて結構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望される方は、弊社ホームページの以下のページよりお申込みください。
http://www.nri-secure.co.jp/news_letter/

本ニュースレターは、メールマガジン配信を申し込まれた方、弊社からの情報を希望された方、SANS関連のイベントに参加された方、その他イベント等において弊社講演枠に登録された方に配信しています。
今後、配信をご希望されない方は会社名と御氏名を本文に明記のうえ、件名に【配信不要】、配信先変更をご希望の方は【配信先変更希望】とご記入頂き、新旧のご連絡先も記載のうえ、info@sans-japan.jpまでご返信をお願い致します。なお、情報の反映までにお時間を頂戴する場合がございます。