NRI Secure SANS NewsBites 日本版

Vol.12 No.18 2017年6月20日発行

■■SANS NewsBites Vol.19 No.047, 048
(原版: 2017年6月13日、16日)
┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 申┃込┃受┃付┃中┃2017年7月開催SANSトレーニング
 ━┛━┛━┛━┛━┛まだ間に合います!お申込みお急ぎください。

         = SANS Cyber Defence Japan 2017 =
  https://sans-japan.jp/training/cyber_defence_japan2017.html

【7月開催】7/10(月)~15(土) ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━
◆SEC504:Hacker Tools, Techniques, Exploits and Incident Handling
   -ペンテスター、インシデントハンドラーへの登竜門-
◆SEC575:Mobile Device Security and Ethical Hacking
-モバイル環境を安全にするためのスキルを構築-
◆SEC660:Advanced Penetration Testing, Exploit Writing, and Ethical Hacking
★日本初★-過去にSEC560やSEC542を受講された方に特にお勧めです!-

━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━
◆SEC401:Security Essentials Bootcamp Style
 最もポピュラーな情報セキュリティのゴールド・スタンダード。
 情報セキュリティ・ネットワークに関する基本的知識を有している方は必見です
  ○7/5(水)~7(金)、12(水)~14日(金)

━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━
◆Core NetWars Experience
     -参加者の経験と技術力を競うCTFチャレンジ-
     7/10~15のSANSトレーニングご受講者は無料で参加いただけます
     ○7/13(木)~14(金) 両日とも18:00~21:00
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛
◆ マルウエア Crash Override とIndustroyer が産業制御システムを標的(2017.6.12)
2016年12月にウクライナの送電網に対する攻撃で停電を引き起こしたマルウエアがインターネット上で公開された。Crash Overrideは Dragosが、IndustroyerはESETがそれぞれ命名されたもので、送電網を攻撃する目的で作成された初めてのマルウエアである。2015年12月にウクライナの発電所が攻撃された際に使用されたマルウエアよりもはるかに高度なものとなっている。Crash Overrideには、2016年の攻撃では使用されなかった機能があり、使用された場合には、一週間以上のシステム停止を引き起こした可能性がある。

https://www.welivesecurity.com/2017/06/12/industroyer-biggest-threat-industrial-control-systems-since-stuxnet/
https://dragos.com/blog/crashoverride/CrashOverride-01.pdf
https://www.us-cert.gov/ncas/alerts/TA17-163A
https://www.wsj.com/articles/cyber-experts-identify-malware-that-could-disrupt-u-s-power-grid-1497271444
https://arstechnica.com/security/2017/06/crash-override-malware-may-sabotage-electric-grids-but-its-no-stuxnet/
https://www.wired.com/story/crash-override-malware/
https://motherboard.vice.com/en_us/article/ukraine-power-grid-malware-crashoverride-industroyer
https://www.washingtonpost.com/world/national-security/russia-has-developed-a-cyber-weapon-that-can-disrupt-power-grids-according-to-new-research/2017/06/11/b91b773e-4eed-11e7-91eb-9611861a988f_story.html

【編集者メモ】(Neely)
ICS システムを保護する上で、最も有効的なのは、物理的や論理的なアクセス制限を設けることである。さらに保護するためには、ICS システムを評価し、ネットワークのセグメンテーションや分離を最大限に活用できる部分を見分けるだけなく、ホワイトリストや監査のほか、マルウエア対策だけではなく包括的な監視の仕組みも最大限の効力を発揮できるようにしていただきたい。
【編集者メモ】(Murray)
SCADA システムは、動作モード中に、プログラムのインストールや変更が行われないように保護すべきだ。プログラミングのメンテナンスなどを行う際は、必ずインターネットおよび他のシステムから切り離した上で行うことを標準的な習慣として行うようにしなければならない。
【編集者メモ】(Weatherford)
システムやネットワークの監視は、組織において一番重要で有効なセキュリティコンポーネントである。しかし、監視の状況を見ていなければ、おかしなことや悪いことが起きていても発見できないのは、当たり前のことだ。
【編集者メモ】(Assante)
このツールが2016年12月17日の攻撃で使われたのであれば、2015年のインシデントと比較した場合、一年未満の間に複数の電力システムを同時に攻撃する柔軟性のあるツールが開発されたことになる。また、このツールは SCADAシステムを破壊する機能も持っていた。覚えておかなければならないのは、ツールが ICSシステムにアクセスしてから影響を及ぼすまでの時間が短縮された、ということである。

◆ サイバー忍者を雇い続けることが上手い連邦政府の契約業者は?(2017.6.12)
Center for Strategic and International Studies (CSIS) が行った新たな調査研究によると、米国連邦政府の契約業者の中で、サイバー忍者を雇い続けることができているのは 8組織であったことを明らかにした。サイバー忍者は、AIツールでさえも逃す脅威情報を見つけることができるという。昨秋に公開されたCSISの研究では、給与や福利厚生のニーズが満たされれば、サイバー忍者はトレーニングを続け、仕事に励み、管理者にならずとも昇進ができる組織に所属したい、という調査結果が出ている。

https://www.cyberscoop.com/systems-integrators-top-cybersecurity-recruitment-talent-sans-institute-report-workforce/
http://www.sans.org/best-places-to-work-for-cyber-ninjas?ref=195285
https://www.csis.org/analysis/recruiting-and-retaining-cybersecurity-ninjas

【編集者メモ】(Ullrich) この研究は、生徒と話す中で得た自分の知見と同じような結果が出ている。能力のある応募者は、最初のうちは給料と福利厚生に惹かれるが、最終的には興味のある仕事をしながら違いを生み出し、キャリアパスをしっかりと描いてくれる組織に居続けるだろう。

◆ 米国のサイバー兵器はISISに対して期待する結果を得られていない(2017.6.12)
米国による、イランや北朝鮮に対するサイバー攻撃は、一定の成果を収めているが、ISIS に対する攻撃に関してはあまり効果的ではない。国防総省は、ISIS における勧誘行為やプロパガンダの拡散、および通常のオペレーションを妨げるといったCyber Command に対する一連の攻撃命令を、一年以上前に公表している。他方、イスラエルのスパイは、ISISのコンピュータシステムに侵入し、ノートパソコンの電池に見せかけた爆弾を作ることができることを発見しているが、米国大統領は、この情報を先月、ロシアの要人と共有したことで、イスラエルの反感を買ってしまっているのが現状だ。

https://www.nytimes.com/2017/06/12/world/middleeast/isis-cyber.html?_r=0
https://www.cnet.com/news/israel-hacked-isis-then-trump-shared-findings-with-russians/

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃OUCH! 6月号「WannaCryから学んだ教訓」について
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
世間を騒がせた WannaCry は、既知の問題を悪用していたこととパソコンからパ
ソコンへの感染が早かったことから、被害が大きくなってしまったと言われてい
ます。このような問題を未然に防ぐためには、他社の事例なども活用しながら、
得られた教訓をきちんと活用してゆくことが重要です。今月は、これらの対策に
ついて 3つに論点をしぼり、一般ユーザ向けに分かりやすく解説します。社員の
意識向上ツールとしてお使いください。
https://securingthehuman.sans.org/newsletters/ouch/issues/OUCH-201706_jp.pdf
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃ セキュアEggs「情報セキュリティの「たまご」を育てます!」
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 セキュアEgg シリーズは、これから情報セキュリティを本格的に学ぶ方を対象
 としたコース群で、文字どおり「たまご」の意味をもった基礎的な内容を網羅
 した研修プログラムです。ペンテスターやフォレンジックアナリスト、インシ
 デントハンドラーなどのエキスパートとして、情報セキュリティの最前線で活
 躍するために必要な基礎的スキルを演習中心に短時間で効果的に習得できるよ
 うに設計されています。
http://www.nri-secure.co.jp/service/learning/secureeggs.html

 システム開発や運用などの業務に携わる方々にとっても、情報セキュリティの
 要素をご自身のスキルに加えていただく絶好のカリキュラムです。通常パック
 の他にも、実践!サイバーセキュリティ演習 for Eggsもご用意しております。

 ・セキュアEggs(IT+セキュリティ基礎)
2017年6月22日(木)-23日(金) もうすぐ開講!
2017年9月14日(木)-15日(金)
2018年1月22日(月)-23日(火)

 ・セキュアEggs(フォレンジック)
2017年9月21日(木)
2018年1月25日(木)
 ・セキュアEggs(インシデント対応)
2017年9月20日(水)
2018年1月24日(水)
 ・セキュアEggs(Webアプリケーションセキュリティ)
2017年9月22日(金)
2018年1月26日(金)
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆米保険業者安全試験所がソフトウエアセキュリティに関する認定を発行(2017.6.13)
保険業者安全試験所(Underwriters Laboratory:UL) は、ネットワークに接続されたソフトウエアのセキュリティに関する認定書を発行している。ULは、2016年 4月に Cybersecurity Assurance Programを開始しているが、認定を受けたソフトウエアは少ないという。

https://www.cyberscoop.com/underwriters-laboratory-ubiquitous-in-cyber-electronics-certification-va/
http://www.ul.com/newsroom/pressreleases/ul-launches-cybersecurity-assurance-program/

【編集者メモ】(Pescatore)
ULが行っている認定は、静的な対象であれば良いものだと思うが、絶えず変化するソフトウエアに対しては不適切なように思える。これは、昔から政府または民間が行っているソフトウエア認定制度の全てに対して言えることである。調達において、ソフトウエアに対する認定を条件に加えると、問題が起きてしまう。なぜなら、現在出荷されているバージョンが認定を受けたものではない可能性が高いからである。ソフトウエアのアップデートが少ないデバイスであれば、問題にならない場合もあるが、一般的なソフトウエア製品の場合、条件の設定としては良いが、企業が購入して使用するソフトウエアのセキュリティを保つという点から見ると、結局のところ運用は何も変わらないだろう。
【編集者メモ】(Northcutt)
ULは、ゴールにたどり着いたが、次に何をしたら良いか分からない状態に陥ってしまうだろう。彼らに対し悪意は無いが、今後は、自分たちの所有している仕様などに注力して欲しい。サイバーセキュリティのプロフェッショナルであれば、CAP を知るタイミングは、今しかない:
http://industries.ul.com/wp-content/uploads/sites/2/2016/04/UL_CAP-Overview-Info.pdf

◆ マイクロソフトの月例アップデートに XP向けのパッチが含まれていた(2017.6.13,14)
2 か月連続で、マイクロソフトが提供する月例アップデートに、現在サポートされていないWindows XP を含む OS向けのパッチが含まれていた。マイクロソフトはブログにて、古いOSに対して手動でダウンロード可能なパッチを提供した理由は、通常のアップデートで修正された脆弱性の中に「政府機関が攻撃を受けるリスクが高まる」ものが含まれていたからだとしている。マイクロソフトが提供した 6月のアップデートでは、100個近い脆弱性が修正されており、Windows Server Message Block (SMB) に含まれる脆弱性も修正されている。

https://technet.microsoft.com/en-us/library/security/4025685.aspx
https://blogs.windows.com/windowsexperience/2017/06/13/microsoft-releases-additional-updates-protect-potential-nation-state-activity/#KFLW1RwTJh0VssVe.97
http://www.zdnet.com/article/microsoft-warns-of-destructive-cyberattacks-issues-new-windows-xp-patches/
https://www.scmagazine.com/microsoft-releases-patch-tuesday-fixes-including-wannacry-defense/article/668303/
http://krebsonsecurity.com/2017/06/microsoft-adobe-ship-critical-fixes/
https://www.bleepingcomputer.com/news/microsoft/microsofts-june-patch-tuesday-fixes-two-vulnerabilities-used-in-live-attacks/
https://arstechnica.com/security/2017/06/win-xp-patched-to-avert-new-outbreaks-spawned-by-nsa-leaking-shadow-brokers/
https://www.cyberscoop.com/windows-xp-patches-wannacry-microsoft/?category_news=technology

【編集者メモ】(Ullrich)
マイクロソフトは、WannaCryで得た教訓をもとに、別のワームによる攻撃を受ける前にXP向けのパッチを提供した。SMB の探索機能に関する脆弱性も、同様の影響を及ぼした可能性があるが、ネットワークの境界で SMBを保護していない組織は、このパッチを適用しないだろう。
【編集者メモ】(Williams)
マイクロソフトがこの脆弱性を修正するパッチを提供したことで、古いOSをアップデートする必要はない、と捉える組織が出てしまうだろう。マイクロソフトによるWindows XP向けのパッチを提供した 3回目の事例なのだから。マイクロソフトは、これまでにレガシーのOSに対し、広く攻撃活動が観測された脆弱性の対応を行ってきているため、企業は今後もこのようなことが続くと結論付けるだろう。しかし、新しいバージョンのOSでは、既知の脆弱性が悪用されたとしても攻撃者の思い通りに動作させないといった脆弱性を緩和させる対策が組み込まれている。マイクロソフトは、今回の脆弱性をかなり前から知っていた。パッチ提供のタイミングを考えると、マイクロソフトは何かしらのテレメトリー情報を持っていて、攻撃活動を観測していたのだろう。
【編集者メモ】(Honan)
Windows XPを含むサポートされてないプラットフォーム向けのパッチを提供することが、果たして良いことなのか否かで迷っている。良い点で見ると、これらのシステムは保護されるが、悪い点で見ると、CISOから経営者に対し、新しいテクノロジーへの移行の緊急性を訴えるメッセージが弱くなってしまう。なぜなら、マイクロソフトは、緊急事態において、パッチを提供してくれるからだ(前例もある)。

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の無料セミナー・イベント        <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○6月15日(木)、7月14日(金)
 事例から学ぶ特権ID・監査ログ管理実践セミナー
 ~今、求められるアクセス管理を短期間・低コストで実現する方法とは~
https://www.nri-secure.co.jp/seminar/2017/ac03.html?xmid=300&xlinkid=02

○6月16日(金)、7月13日(木)、8月9日(水)、9月7日(木)
 標的型メール攻撃から自社を守る具体的手段とは
 ~実際の攻撃防御をProofpointの実機で体験~
https://www.nri-secure.co.jp/seminar/2017/proofpoint02.html?xmid=300&xlinkid=03

○6月20日(火)、7月19日(水)
 ファイル交換・転送サービスの正しい選び方
https://www.nri-secure.co.jp/seminar/2017/file01.html?xmid=300&xlinkid=04

○6月22日(木) 、7月24日(月)、8月23日(水)
 分離・無害化技術によりマルウェアを100%防御する方法
 ~ランサムウェアが添付されたメールを躊躇なく開き、
  危険なWebサイトを自由に閲覧できるソリューションとは~
https://www.nri-secure.co.jp/seminar/2017/isolation01.html?xmid=300&xlinkid=05

○6月27日(火)、7月27日(木)、9月27日(水)
 100万枚以上の紙文書どう管理しますか?文書管理を効率化する方法とは
 ~業界トップ企業採用の文書管理システムをご紹介~
https://www.nri-secure.co.jp/seminar/2017/doc02.html?xmid=300&xlinkid=06

○6月29日(木)、7月28日(金)
 今、Webサービス提供事業者が直面している課題とその解決策
 ~安全で便利なWebサービスを実現させる方法とは~
https://www.nri-secure.co.jp/seminar/2017/ciam01.html?xmid=300&xlinkid=07

○7月10日(月)
 SANSコミュニティナイトセッション
 - Ransomware and Other Financial Industry Threats -
https://www.nri-secure.co.jp/seminar/2017/sans03.html?xmid=300&xlinkid=08

○8月2日(水)、9月14日(木)、10月18日(水)
 場当たり的なセキュリティ対策からの脱却
 ~個別最適から全体最適への変換~
https://www.nri-secure.co.jp/seminar/2017/optimization01.html?xmid=300&xlinkid=09

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃独自調査資料 無料ダウンロード       <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○企業における情報セキュリティ実態調査2017
https://www.nri-secure.co.jp/security/report/2016/analysis.html?xmid=300&xlinkid=10

○NRI Secure Insight 2017
 企業における情報セキュリティ実態調査 ~グローバル編~
https://www.nri-secure.co.jp/security/report/2016/analysis_global2017.html?xmid=300&xlinkid=11

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃お知らせ                   <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○「車両システムセキュリティ診断」サービスの提供を開始
 ~自動車や搭載機器を対象としたセキュリティ診断を専門チームが支援~
https://www.nri-secure.co.jp/news/2017/0525.html?xmid=300&xlinkid=13

○SANS Instituteの従業員向けのセキュリティ意識啓発トレーニング
「Securing The Human EndUser」を販売開始
https://www.nri-secure.co.jp/whats_new/2017/0526.html?xmid=300&xlinkid=14

○フォレスター・リサーチのグローバルレポートに、NRIセキュアがセキュリティ
 運用監視サービスの代表的ベンダーとして掲載
https://www.nri-secure.co.jp/whats_new/2017/0530.html?xmid=300&xlinkid=15


NRI Secure SANS NewsBites 日本版は、米国の情報セキュリティの専門機関であるSANS Instituteが配信するコンテンツ (SANS NewsBites)をベースに、NRIセキュアテクノロジーズが編集してお届けしています。 世界中でこの1週間に起こったセキュリティのあらゆるトピックと専門家のコメントが掲載されています。原版は、およそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュースソースとして活用されています。組織のセキュリティ管理に関する参考情報としてお役立てください。掲載されている情報は、e-mailを介して自由に他の方に再送していただいて結構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望される方は、弊社ホームページの以下のページよりお申込みください。
http://www.nri-secure.co.jp/news_letter/

本ニュースレターは、メールマガジン配信を申し込まれた方、弊社からの情報を希望された方、SANS関連のイベントに参加された方、その他イベント等において弊社講演枠に登録された方に配信しています。
今後、配信をご希望されない方は会社名と御氏名を本文に明記のうえ、件名に【配信不要】、配信先変更をご希望の方は【配信先変更希望】とご記入頂き、新旧のご連絡先も記載のうえ、info@sans-japan.jpまでご返信をお願い致します。なお、情報の反映までにお時間を頂戴する場合がございます。