NRI Secure SANS NewsBites 日本版

Vol.12 No.15 2017年5月23日発行

■■SANS NewsBites Vol.19 No.037-040
(原版: 2017年5月9日、12日、16日、19日)


┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 申┃込┃受┃付┃中┃2017年7月開催SANSトレーニング
 ━┛━┛━┛━┛━┛SEC504/575/660の早割締切りは今週金曜日です!

         = SANS Cyber Defence Japan 2017 =
  https://sans-japan.jp/training/cyber_defence_japan2017.html

【7月開催】7/10(月)~15(土) ※早割締切5/26(金)まで ━ ━ ━ ━ ━

◆SEC504:Hacker Tools, Techniques, Exploits and Incident Handling
   -ペンテスター、インシデントハンドラーへの登竜門-
◆SEC575:Mobile Device Security and Ethical Hacking
-モバイル環境を安全にするためのスキルを構築-
◆SEC660:Advanced Penetration Testing, Exploit Writing, and Ethical Hacking
★日本初★-過去にSEC560やSEC542を受講された方に特にお勧め!-

━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━
◆SEC401:Security Essentials Bootcamp Style
 最もポピュラーな情報セキュリティのゴールド・スタンダード。
 情報セキュリティ・ネットワークに関する基本的知識を有している方は必見です

  ○7/5(水)~7(金)、12(水)~14日(金)

━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━
◆Core NetWars Experience
     -参加者の経験と技術力を競うCTFチャレンジ-
     7/10~15のSANSトレーニングご受講者は無料で参加いただけます

     ○7/13(木)~14(金) 両日とも18:00~21:00
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛
◆ マイクロソフト:攻撃者がアップデート機能を悪用してパソコンを感染させた(2017.5.5)
マイクロソフトは、著名な「テクノロジー系と金融系企業」を標的にした攻撃活動を検知した。今回検知した攻撃では、サードパーティの編集ツールを使ってシステムを感染させているという。ツールの更新機能にコードを挿入することで、攻撃者はこっそりとマルウエアを被害者のパソコンに忍ばせることに成功している。マイクロソフトは、ソフトウエアベンダに対し、アップデート機能を保護するよう呼びかけている。

https://blogs.technet.microsoft.com/mmpc/2017/05/04/windows-defender-atp-thwarts-operation-wilysupply-software-supply-chain-cyberattack/
https://www.cyberscoop.com/microsoft-uncovers-hacking-operation-aimed-at-software-supply-chain/
http://www.zdnet.com/article/microsofts-windows-warning-hackers-hijacked-software-updater-with-in-memory-malware/

【編集者メモ】(Williams)
境界セキュリティだけでは、今回のようにアップデート機能を悪用してマルウエア感染を試みる攻撃は防げない。企業は、エンドポイントとネットワーク通信の適切な内部監視と、組織内で使用しているソフトウエアとハードウエアのソフトウエアサプライチェーンを検証する必要がある。

◆ マイクロソフトが Microsoft Malware Protection Engine に含まれる深刻な脆弱性を修正する緊急パッチを公開(2017.5.8,9)
マイクロソフトは、Microsoft Malware Protection Engine に含まれる、遠隔からコードが実行できる深刻な脆弱性に対する緊急パッチを公開した。この脆弱性は、Google Project Zero の研究者によって発見され、デフォルト設定の Windowsが影響を与え、悪意あるファイルは自己複製するという。

https://technet.microsoft.com/en-us/library/security/4022344
https://www.bleepingcomputer.com/news/security/google-researchers-find-wormable-crazy-bad-windows-exploit/
https://threatpost.com/wormable-windows-zero-day-reported-to-microsoft/125513/
http://www.theregister.co.uk/2017/05/09/microsoft_windows_defender_security_hole/

【編集者メモ】(Ullrich)
このパッチは、個別のセキュリティパッチではなく、マルウエアシグネチャの更新と一緒に提供されているため、既に利用しているシステムにはパッチが適用されているはずである。これが、いつもの火曜日のパッチリリースでは無く、月曜に提供された理由の一つである。現在、攻撃コードの公開は確認できていない。
【編集者メモ】(Williams)
この問題に対するマイクロソフトの対応は称賛すべきである。多くのユーザは、パッチが自動で適用されるため、この問題がワームになる可能性は低いだろう。しかし、サンドボックス化されていない JavaScript エンジンをスーパーユーザー権限で動作させること自体に疑問を抱かなければならない。Googleがこの脆弱性を発見したことにより、マイクロソフトに内在する構造的な問題が発見され、今後のセキュリティを確保するために変わらなければならない。

◆ FBIがBECによる被害額を50億ドルと発表(2017.5.5,8)
FBI の Internet Crime Complaint Center(IC3) が収集したデータによると、攻撃者は2013年から企業に対するメール攻撃(BEC) により、合計で50億ドルを盗んだとしている。2015年1月から2016年12月の2年間で、BEC による被害は約 2,400パーセント増えている。

https://www.scmagazine.com/bec-scammers-picked-off-5b-fbi-says/article/655452/
http://www.theregister.co.uk/2017/05/05/email_scammers_hit_businesses_5bn/
http://www.eweek.com/security/business-email-compromise-scams-continue-to-grow-with-5.3b-in-losses

【編集者メモ】(Ullrich)
自動化された BECを確認しているが、それらの攻撃ではメールのやり取りが複数回行なわれた後、メールの認証情報にアクセスした上で標的型攻撃が行われるようだ。クラウドで提供されているメールソリューションを使っている場合、メールの認証情報取得を試みるフィッシング攻撃から保護するために 2要素認証を実装する「必要」がある。
【編集者メモ】(Honan)
詐欺メールからの保護を提供するためにできることの中に、DMARC などのアンチスプーフィング機能を実装することが挙げられる。CERT-EU から良いホワイトペーパーが提供されているので参考にされたい:
http://cert.europa.eu/static/WhitePapers/Updated-CERT-EU_Security_Whitepaper_DMARC_17-001_v1_2.pdf

◆ Intelチップに含まれる問題が当初の想定よりも深刻(2017.5.6)
Intelチップの Active Management Technology(AMT) 機能に含まれる問題は、悪用されることで脆弱なシステムの管理者権限をパスワード無しで取得することができてしまうというもの。AMT は、システム管理者にリモート接続などの機能を提供しており、この問題は、2010年からいくつかの Intelチップセットに含まれていたという。影響を受けるチップを使用しているパソコンメーカーは、ファームウエアの修正ファイルを提供している。いくつかの業者はパッチの提供予定を公表しているが、早くても 6月であり、数週間は、脆弱なシステムのまま使わなければならない状態となる。

https://arstechnica.com/security/2017/05/the-hijacking-flaw-that-lurked-in-intel-chips-is-worse-than-anyone-thought/
https://www.cyberscoop.com/manufacturers-scramble-to-roll-out-firmware-patches-for-intel-chip-vuln/
http://computerworld.com/article/3194990/security/patch-to-fix-intel-based-pcs-with-enterprise-bug-rolls-out-this-week.html
https://newsroom.intel.com/news/important-security-information-intel-manageability-firmware/
http://www.theregister.co.uk/2017/05/07/dell_patches_amtvulnerable_systems/
http://en.community.dell.com/techcenter/extras/m/white_papers/20443914

【編集者メモ】(Murray)
システムが脆弱であるか確認するためのツールは、Intel のサイトや Github 上で公開されている。脆弱なシステムは、公共のネットワークからの切り離し、ファイアウォールや VPNによる保護を検討いただきたい。ネットワーク上の他のシステムは既に攻撃を受けている可能性があるので、併せて確認してみてください。

◆ NSA局長が米国上院に対し、米国は国家によるサイバー攻撃に対応できないと指摘 - 連邦政府のサイバーセキュリティを強化するためホワイトハウスのリーダーシップ向上が必要(2017.5.10)
NSA 局長と US Cyber Command のトップであるマイケル・ロジャース氏が、米国上院の Armed Services Committeeにおいて、US Cyber Command は現在、海外の主要国から選挙プロセスを標的にしたサイバー攻撃に対応するための機能が足りていないと語った。同氏は、政府機関および省庁におよぶポリシーや戦略の変更に必要なアクションを取ることに合意している。

https://www.cyberscoop.com/cyber-command-head-not-prepared-counter-info-operations/?category_news=technology
http://www.govtech.com/security/McCain-US-woefully-unprepared-to-Counter-Russian-Cyber-Attacks.html
https://www.wired.com/2017/05/nsa-director-confirms-russia-hacked-french-election-infrastructure/

◆ サイバーセキュリティに関する大統領令は、報告書の作成を求めており、セキュリティの向上は求めていない(2017.5.11)
最近署名されたサイバーセキュリティに関する大統領令は、政府機関に対し、米国標準技術局 (NIST) のサイバーセキュリティフレームワークの適用を求めている。
政府機関は、90日以内にフレームワークをどのように適用するのかを記載した報告書を提出しなければならない。前政権ではフレームワークの適用を推奨していたが、必須とはしていなかった。ホワイトハウスでサイバーセキュリティコーディネータを務めていたマイケル・ダニエル氏はメールで「この大統領令は、計画のための計画である」と指摘している。

http://www.reuters.com/article/us-usa-trump-cyber-idUSKBN1872L9
http://computerworld.com/article/3196358/security/trumps-cybersecurity-order-pushes-us-government-to-the-cloud.html
http://www.eweek.com/security/technologists-say-trump-cybersecurity-executive-order-only-a-plan-of-a-plan
https://www.nist.gov/cyberframework/draft-version-11

【編集者メモ】(Pescatore)
75%の政府機関が NISTのフレームワークを適用したと 2016年初めに報告している。この大統領令は、現在のサイバーセキュリティの状態に関して、おおよそ14の報告書を数カ月に亘り作成する予定である。これは、新しい政権としては必要な情報だが、連邦政府のセキュリティ向上に必要なのは、連邦政府のシステム調達と管理の中で昔から知られている問題をどのようにして対策するか。である。
【編集者メモ】(Murray)
政府が出す管理の取り組みの多くは、義務化された報告から開始するものだ。そして、対応するのは大抵アウトソースされたコンサルタントである。
【編集者メモ】(Neely)
コンプライアンス報告書を書くためのリソースを割くことよりも、システムのセキュリティ確保に注力すべきである。
【編集者メモ】(Paller)
この大統領令には驚かされた-政府機関に対し、問題を是正するための施策を講じるのではなく、「問題を見るだけ」とした。どのようにして、こうなったのか?この大統領令は、報告書の提出を義務付けており、修正に向けたアクションや対応を早く進めるモチベーションとなるであろう重要な数値の週次報告を義務付けていない。これらの数値としては、例えば、問題発覚から対応開始までの時間、リカバリに費やした時間、バグバウンティや24時間以内にパッチが適用されなかった脆弱性の数、そしてセキュリティを考慮した調達の要件などがある。ホワイトハウスのサイバーセキュリティアドバイザーが技術に疎い人間なら、このように後ろ向きな大統領令が発令されることも予想できるが、ホワイトハウスのサイバーセキュリティアドバイザーがテクニカルな部分に明るい方であると同時に、セキュリティへの取り組みの向上には定評があるにも関わらず、OMB/NISTの陰謀により連邦政府のセキュリティの誤った管理が続くことに驚いている。

◆ CiscoがIOSとIOS XEのソフトウエアに含まれる脆弱性を修正(2017,5.8,11)
Ciscoは、IOSおよびIOS XE ソフトウエアで動作する Cluster Processing Management のコードに含まれる脆弱性を修正するアップデートを公開した。 この脆弱性を悪用することで、権限が昇格され脆弱なスイッチや他のネットワークデバイスが乗っ取られてしまう。この脆弱性は、Vault 7 が Wikileaksで漏えいさせた情報の中に含まれている可能性が高い。

https://threatpost.com/cisco-patches-ios-xe-vulnerability-leaked-in-vault-7-dump/125568/
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170317-cmp

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃OUCH! 5月号「子供をインターネットで保護するために」について
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
子供がインターネットに接続して他人と交流を持つ機会はたくさんあります。新
しい SNSアプリケーションやゲーム、学校で配付されるモバイルデバイスなどを
、いかにして使いこなしていくかが子供の社会生活と未来にかかっています。今
月は、保護者にとって子供がテクノロジーを安全に利用するためにできることを
一般ユーザ向けに分かりやすく解説します。社員の意識向上ツールとしてお使い
ください。
https://securingthehuman.sans.org/newsletters/ouch/issues/OUCH-201705_jp.pdf
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃ セキュアEggs「情報セキュリティの「たまご」を育てます!」
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 セキュアEgg シリーズは、これから情報セキュリティを本格的に学ぶ方を対象
 としたコース群で、文字どおり「たまご」の意味をもった基礎的な内容を網羅
 した研修プログラムです。ペンテスターやフォレンジックアナリスト、インシ
 デントハンドラーなどのエキスパートとして、情報セキュリティの最前線で活
 躍するために必要な基礎的スキルを演習中心に短時間で効果的に習得できるよ
 うに設計されています。
http://www.nri-secure.co.jp/service/learning/secureeggs.html

 システム開発や運用などの業務に携わる方々にとっても、情報セキュリティの
 要素をご自身のスキルに加えていただく絶好のカリキュラムです。通常パック
 の他にも、実践!サイバーセキュリティ演習 for Eggsもご用意しております。

 ・セキュアEggs(IT+セキュリティ基礎)
2017年6月22日(木)-23日(金)
2017年9月14日(木)-15日(金)
2018年1月22日(月)-23日(火)

 ・セキュアEggs(フォレンジック)
2017年9月21日(木)
2018年1月25日(木)
 ・セキュアEggs(インシデント対応)
2017年9月20日(水)
2018年1月24日(水)
 ・セキュアEggs(Webアプリケーションセキュリティ)
2017年9月22日(金)
2018年1月26日(金)
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆ WannaCry: 誰が影響を受けたのか? そして、どのようにして広がったのか?(2017.5.12,14,15)
WannaCry と呼ばれるランサムウエアによる感染は、少なくとも 150 の国で確認されている。被害組織の中には、フランスにあるルノー社の自動車製造工場、米国のFedEx、ドイツの国鉄 Deutsche Bahn および英国の国民医療保健サービスが含まれており、感染したパソコンは、必要なパッチが適用されていなかった。中国での感染は特に多く、パッチが提供されない違法コピーソフトの利用が盛んだというのが理由として挙げられている。マルウエアの感染がどのようにして広がったのか、引き続き調査が行われている。

http://computerworld.com/article/3196119/security/perfect-storm-of-ransomware-and-network-worm-hits-unprotected-computers-globally.html
https://www.nytimes.com/2017/05/15/business/china-ransomware-wannacry-hacking.html
https://www.nytimes.com/2017/05/15/world/asia/china-cyberattack-hack-ransomware.html
https://www.wsj.com/articles/ransomware-hack-exploited-human-error-1494754201
https://www.wsj.com/articles/cybersecurity-experts-first-task-find-out-how-virus-spread-1494868250

WannaCry: SANS 提供のリソース:
https://www.sans.org/webcasts/special-webcast-wannacry-ransomeware-threat-105160
https://www.sans.org/webcasts/latest-wannacry-ransomware-105150
https://isc.sans.edu/forums/diary/WannaCryWannaCrypt+Ransomware+Summary/22420/

【編集者メモ】(Murray)
もう一つ重要なことは現行バージョンの Windows 10 が影響を受けないということである。脆弱性が後から発見されるということが続くということであれば、常に最新版を利用するべきである。最新版を利用しないことによって、自分がやらなければならないことができなくなってしまうリスクがあると当時に、他人にも同様のリスクが出てきてしまう。

◆ WannaCry: 深刻度が高かったため、XPもパッチが提供される(2017.5.13)
5月12日の金曜日にマイクロソフトは、サポートを終了しているバージョンの Windows に対しても、Server Message Block (SMB) に存在する脆弱性を修正するための緊急パッチを提供した。この脆弱性は、WannaCryと呼ばれているランサムウエアによって悪用されている。そのため、カスタムサポートの対象となっている Windows XP、Windows 8およびWindows Server 2003 に対応したパッチが提供された。現在サポートされているバージョンの Windowsに対しは、本脆弱性に対応したパッチは 2017年 3月に提供されている。このタイミングは、Shadow Brokers によってNSA の攻撃ツールのキャッシュが公開される一か月前であった。

https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/
http://www.theregister.co.uk/2017/05/13/wannacrypt_ransomware_worm/
http://computerworld.com/article/3196292/windows-pcs/microsoft-issues-first-windows-xp-patch-in-3-years-to-stymie-wannacrypt.html
https://krebsonsecurity.com/2017/05/microsoft-issues-wanacrypt-patch-for-windows-8-xp/
https://threatpost.com/microsoft-releases-xp-patch-for-wannacry-ransomware/125671/
https://www.bleepingcomputer.com/news/security/microsoft-releases-patch-for-older-windows-versions-to-protect-against-wana-decrypt0r/

◆ WannaCry: マイクロソフトがNSAに対し、ゼロデイ脆弱性の蓄積を止めるよう提言(2017.5.14,15)
WannaCryと呼ばれているランサムウエアが世界各国で感染による被害が出ていることを受け、マイクロソフトは、政府によるゼロデイ脆弱性の蓄積行為を批判した。マイクロソフトのプレジデント兼最高法務責任者である Brad Smith 氏は、WannaCry を政府に対する注意喚起と位置付けている。WannaCry は、EternalBlueと呼ばれている攻撃ツールを実装しているが、このツールは、NSA によって開発された疑いがあり、一か月前にShadow Brokersによってインターネットに公開されていた。Eternal Blueは、WindowsのServer Message Blockに存在する脆弱性を悪用し、Windows 10以外のパッチが適用されていないすべてのバージョンの Windowsが影響を受けるというもの。

https://blogs.microsoft.com/on-the-issues/2017/05/14/need-urgent-collective-action-keep-people-safe-online-lessons-last-weeks-cyberattack/#sm.0000007mx8kgaypf2hxpi5ku113c3
http://www.zdnet.com/article/windows-ransomware-wannacrypt-shows-why-nsa-shouldnt-stockpile-exploits-says-microsoft/
https://www.cyberscoop.com/microsoft-wannacry-ransomware-nsa/?category_news=technology
https://arstechnica.com/security/2017/05/2-days-after-wcry-worm-microsoft-decries-exploit-stockpiling-by-governments/

【編集者メモ】(Honan)
政府のスパイ機関に対し、スパイ行為を行うためのツールを使うなというのは理不尽な話だ。注力すべきは、ビジネス、経済および社会として必要不可欠なシステムが最初から安全に作られていることを保証することではないのか。

◆ WannaCry: キルスイッチ(2017.5.12,13,15)
英国にいる研究者が、先週の終わりごろに WannaCry の検体を分析していたところ、WannaCryが登録されていないウェブページにクエリを送信していることを発見した。この研究者は、発見したドメインを登録してみたところ、WannaCryによってファイルは暗号化されず、感染の拡大を止めることができた。分かったことは、登録されていないウェブページからクエリに対する応答が無かった場合に感染の拡大が行われていたことである。つまり、応答があった場合、マルウエア感染の拡大は止まるということである。しかし、このようなキルスイッチが実装されていないマルウエアの亜種も検知されている。

https://arstechnica.com/information-technology/2017/05/wanna-decryptor-kill-switch-analysis/
https://www.wired.com/2017/05/accidental-kill-switch-slowed-fridays-massive-ransomware-attack/
http://www.theregister.co.uk/2017/05/15/wannacrypt_variant/
http://computerworld.com/article/3196686/security/kill-switch-helps-slow-the-spread-of-wannacry-ransomware.html

【編集者メモ】(Honan)
この研究者によってもたらされた成果で悲しむべき部分は、メディアによって取り上げられただけでなく、研究者の身元まで世界中に明かされてしまったことである。成果を出せる研究者は、犯罪者を怒らせてしまうため、研究者の命まで狙われてしまう可能性がある。報告者も、行動を起こす前に、一度考えるようにしていただきたい。

◆ WannaCry: マルウエアは北朝鮮とつながりがある疑いが浮上(2017.5.17)
研究者の中には、WannaCryと呼ばれているランサムウエアが北朝鮮とつながりがあると疑っている。このランサムウエアの古いバージョンでは、Lazarus ハッキンググループが使っていたバックドアプログラムと一部のコードを共有していることから、北朝鮮政府の関与が疑われている。共有のコードは、誰によって作成されたのかを特定されないための囮という可能性もある。

https://arstechnica.com/security/2017/05/virulent-wcry-ransomware-worm-may-have-north-koreas-fingerprints-on-it/
https://www.wired.com/2017/05/wannacry-ransomware-link-suspected-north-korean-hackers/
https://www.cyberscoop.com/wannacry-ransomware-north-korea-lazarus-group/?category_news=technology
http://www.reuters.com/article/us-cyber-attack-idUSKCN18B0AC

◆ 米連邦議会で二大政党提携、二院制による法案でvulnerabilities equity processの審査委員会を設置(2017.5.17)
米上下院の議員によって、連邦政府のサイバーセキュリティを強化すると同時に、蓄積している脆弱性に関して透明性を高める法律制定を行った。これは、Protecting Our Ability to Counter Hacking (PATCH) Act と呼ばれ、vulnerabilities equity process に対して審査委員会を設置して、 政府機関の間でソフトウエアとハードウエアの脆弱性に対する分析や保持に一貫性を持たせることを目的としている。この法案は、テクノロジー業界やサイバーセキュリティ関連企業からも支持されている。

https://www.scmagazine.com/patch-act-introduced-to-improve-federal-cybersecurity-and-transparency/article/662541/
http://www.zdnet.com/article/congress-introduces-bill-to-prevent-us-from-stockpiling-cyber-weapons/
https://www.cyberscoop.com/patch-act-vep-ron-johnson-ted-lieu-government-hacking/?category_news=technology
http://www.nextgov.com/cybersecurity/2017/05/bill-aims-clarify-when-how-government-discloses-software-vulnerabilities/137951/?oref=ng-channelriver
http://www.documentcloud.org/documents/3725905-Patch-Act-bill-before-Congress.html

◆ NSAは EternalBlueを 5年間使用していた(2017.5.16)
NSAは、マイクロソフトに通知する前に EternalBlue というハッキングツールを 5年間使用していた。EternalBlue を使って、NSA は外国に関するインテリジェンスを大量に手に入れることができたという。匿名の NSA職員は、このツールの利用は「ダイナマイトを使って釣りをしているようだった」と語っている。NSA は、EternalBlue が盗まれたことを知ったうえで、マイクロソフトへの通知を行うことを決意したという。

https://www.washingtonpost.com/business/technology/nsa-officials-worried-about-the-day-its-potent-hacking-tool-would-get-loose-then-it-did/2017/05/16/50670b16-3978-11e7-a058-ddbb23c75d82_story.html?utm_term=.436eb29ff22e
https://arstechnica.com/security/2017/05/fearing-shadow-brokers-leak-nsa-reported-critical-flaw-to-microsoft/
http://news.softpedia.com/news/nsa-reported-wannacry-vulnerability-to-microsoft-after-using-it-for-5-years-515827.shtml

◆ Windows XP、Server 2003 および Windows 8 RTに対する SMB のパッチはカスタムサポートのおかげ(2017.5.16)
マイクロソフトは、EternalBlue と呼ばれるツールが悪用していた SMBの脆弱性を 1月に知らされていたという。マイクロソフトは、この脆弱性を 3月にリリースした月例アップデートにて修正している。そして、その一か月後に Shadow Brokersが盗んだ NSA のハッキングツールのキャッシュを公開したが、その中に EternalBlue が含まれていた。先週、WannaCry の感染が爆発的に広まったことを受け、マイクロソフトはサポートしていないバージョンの Windowsに対しても、緊急パッチを公開した。これらのパッチのメタデータを分析したところ、これらのパッチは 2月に開発されており、サポートしているバージョンの Windows向けパッチと同時期に開発されていたことが分かった。つまり、これらのパッチは当初、カスタムサポート契約で古いバージョンの OS に対してもパッチが提供されるユーザにだけ配布されていたということになる。

http://www.theregister.co.uk/2017/05/16/microsoft_stockpiling_flaws_too/

【編集者メモ】(Assante)
マイクロソフトは、サポート期間に関わらず利用し続ける特定の顧客がいることを知っており、特別なカスタムサポートを有償で提供している。今回、サポートしていないバージョン向けにもパッチを公開するというマイクロソフトの決断は、通常の対応と違うことを行うことは混乱を招く危険性を持つと理解した上で行われたものである。Windows XP は、End-of-Lifeの製品でありながら、完全に捨てられたわけではない、言わば最低限の生命維持を受けている状態なので、今後も期待できないし、してはいけない(つまり、「特例」である)。リスクを管理するものは、EOLソフトウエアに依存しているビジネスを洗い出し、それらをリスクとして提言すべきである(場合によっては、公開しても良いだろう)。

◆ Adylkuzz と呼ばれる仮想通貨を採掘するツールも EternalBlue を使用(2017.5.15,16)
NSA から盗まれた攻撃ツールは、WannaCryを開発した攻撃者が使われるだけではなく、Adylkuzz と呼ばれる仮想通貨を採掘するツールでも利用されているという。Proofpoint の研究者によると、「最初の統計では、Adylkuzz による攻撃の規模は、WannaCry よりも大きい可能性がある」としている。Adylkuzz による攻撃は、WannaCry よりも前から開始されており、4月の後半からとされている。

https://www.scmagazine.com/cryptocurrency-miner-adylkuzz-attack-could-be-bigger-than-wannacry/article/662128/
https://arstechnica.com/security/2017/05/massive-cryptocurrency-botnet-used-leaked-nsa-exploits-weeks-before-wcry/

【編集者メモ】(Neely)
Adylkuzz は、複数回の感染を避けるために感染後に SMB を停止させていた。これにより、WannaCry の感染拡大を少し防ぐことができている。WannaCry と Adylkuzzをによる攻撃を受け、米国エネルギー省は、すべての脆弱なシステムをネットワークから切り離すことを義務化すると当時に、コンプライアンスのために常に監視し続けることも義務付けた。そして、私は多くのところでパッチが適用されていることを確認している。脆弱なシステムを探す際、リモート/VPN接続用のシステムも忘れずに確認(ブロック)すべきだと声を大にして言いたい。この騒動によって、パッチを適用できないシステムや適用していないシステムに関する議論がされるべきである。そして、場合によっては新しいバージョンの Windowsへの移行も検討されるべきであろう。 アップデートに関するアクションプランで、すべてのユーザに対し、100%上手くいく方法を選ぶ誘惑に負けず、大半のユーザが保護される方法を早く運用するのが良いだろう。

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の無料セミナー・イベント        <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○5月25日(木)、6月27日(火)
 100万枚以上の紙文書どう管理しますか?文書管理を効率化する方法とは
 ~業界トップ企業採用の文書管理システムをご紹介~
https://www.nri-secure.co.jp/seminar/2017/doc02.html?xmid=300&xlinkid=02

○5月26日(金)、6月29日(木)
 今、Webサービス提供事業者が直面している課題とその解決策
 ~安全で便利なWebサービスを実現させる方法とは~
https://www.nri-secure.co.jp/seminar/2017/ciam01.html?xmid=300&xlinkid=03

○6月15日(木)
 事例から学ぶ特権ID・監査ログ管理実践セミナー
 ~今、求められるアクセス管理を短期間・低コストで実現する方法とは~
https://www.nri-secure.co.jp/seminar/2017/ac03.html?xmid=300&xlinkid=04

○6月16日(金)
 標的型メール攻撃から自社を守る具体的手段とは
 ~実際の攻撃防御をProofpointの実機で体験~
https://www.nri-secure.co.jp/seminar/2017/proofpoint02.html?xmid=300&xlinkid=05

○6月20日(火)
 ファイル交換・転送サービスの正しい選び方
https://www.nri-secure.co.jp/seminar/2017/file01.html?xmid=300&xlinkid=06

○6月22日(木)
 分離・無害化技術によりマルウェアを100%防御する方法
 ~ランサムウェアが添付されたメールを躊躇なく開き、
  危険なWebサイトを自由に閲覧できるソリューションとは~
https://www.nri-secure.co.jp/seminar/2017/isolation01.html?xmid=300&xlinkid=07

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃独自調査資料 無料ダウンロード       <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○企業における情報セキュリティ実態調査2017
https://www.nri-secure.co.jp/security/report/2016/analysis.html?xmid=300&xlinkid=10

○NRI Secure Insight 2017
 企業における情報セキュリティ実態調査 ~グローバル編~
https://www.nri-secure.co.jp/security/report/2016/analysis_global2017.html?xmid=300&xlinkid=11

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃Insight                   <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○P2PEによって新しい局面を迎えるクレジットカード決済
https://www.nri-secure.co.jp/security/insights/2017/vol1.html?xmid=300&xlinkid=12

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃お知らせ                   <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○インターネット上のリスク管理ソリューションを拡充
 ~RiskIQ社が提供するサービスの販売を開始~
https://www.nri-secure.co.jp/whats_new/2017/0418.html?xmid=300&xlinkid=13

○PhishMe社が提供するフィッシング対策製品の取り扱いを開始
https://www.nri-secure.co.jp/whats_new/2017/0412.html?xmid=300&xlinkid=14


NRI Secure SANS NewsBites 日本版は、米国の情報セキュリティの専門機関であるSANS Instituteが配信するコンテンツ (SANS NewsBites)をベースに、NRIセキュアテクノロジーズが編集してお届けしています。 世界中でこの1週間に起こったセキュリティのあらゆるトピックと専門家のコメントが掲載されています。原版は、およそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュースソースとして活用されています。組織のセキュリティ管理に関する参考情報としてお役立てください。掲載されている情報は、e-mailを介して自由に他の方に再送していただいて結構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望される方は、弊社ホームページの以下のページよりお申込みください。
http://www.nri-secure.co.jp/news_letter/

本ニュースレターは、メールマガジン配信を申し込まれた方、弊社からの情報を希望された方、SANS関連のイベントに参加された方、その他イベント等において弊社講演枠に登録された方に配信しています。
今後、配信をご希望されない方は会社名と御氏名を本文に明記のうえ、件名に【配信不要】、配信先変更をご希望の方は【配信先変更希望】とご記入頂き、新旧のご連絡先も記載のうえ、info@sans-japan.jpまでご返信をお願い致します。なお、情報の反映までにお時間を頂戴する場合がございます。