NRI Secure SANS NewsBites 日本版

Vol.12 No.20 2017年7月4日発行

■■SANS NewsBites Vol.19 No.051, 052
(原版: 2017年6月27日、30日)
┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓
 申┃込┃開┃始┃エンドユーザ(一般従業員)向けのオンライントレーニング
 ━┛━┛━┛━┛『SANS Securing The Human』紹介セミナーのご案内!

    社員のセキュリティ意識・耐性向上のための対策セミナー
    https://www.nri-secure.co.jp/seminar/2017/0719.html

■概要
 弊社では、SANS Instituteの従業員向けのセキュリティ意識啓発トレーニング
「Securing The Human EndUser」を販売開始いたしました。全従業員に「セキュ
 リティ意識のさらなる向上」を期待するオンライントレーングです。
 本セミナーでは、従業員の行動が被害の発端となる事例をご紹介するとともに
 人的なサイバーセキュリティリスクを効果的に低減・管理するソリューション
 であるSANS Securing The Humanをご紹介します。
 ぜひこの機会にご参加ください。

■日時
 2017年7月19日(水) 14:00~16:00(受付開始:13:30)

■会場
 サンケイプラザ311
 〒100-0004 東京都千代田区大手町1-7-2 東京サンケイビル3F

■受講対象者
 組織の情報セキュリティ対策推進の意思決定者・ご担当者

■参加費:無料

■詳細:https://www.nri-secure.co.jp/seminar/2017/0719.html

■お申込み:https://www.nri-secure.co.jp/cgi-bin/form.cgi?id=o010

┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛
◆ ヨーロッパやアジアでランサムウエアによる被害が拡大 (2017.6.27)
英国の広告代理店であるWPP をはじめ、いくつもの企業が被害を受けたと報告している。いち早く報告をしたのは、ウクライナの企業であり、国営の電力配給業者とキエフの空港だった。ロシアの石油業者 Ronseft やデンマークの輸送会社 Mareskも業務に支障が出たと報告しているほか、英国およびアイルランドにあるオフィスも同様の被害を受けたという。

http://www.bbc.com/news/technology-40416611
http://www.telegraph.co.uk/news/2017/06/27/ukraine-hit-massive-cyber-attack1/
https://www.bloomberg.com/news/articles/2017-06-27/ukraine-russia-report-ransomware-computer-virus-attacks

【編集者メモ】(Ullrich)
WannaCry によって攻撃を受けなかったネットワークが被害を受けているようだ。InternetStorm Centerから仮の報告書が公開されている:
https://isc.sans.edu/forums/diary/Widescale+Petya+variant+ransomware+attack+noted/22560/

【編集者メモ】(Williams)
これまでの報告によると、NSAから漏えいした攻撃ツールである EternalBlue が、マルウエアの感染拡大に使われており、その攻撃される脆弱性は MS17-010 によって既に修正されているという。多くのシステムにパッチを適用するのは困難かもしれないが、適用できない場合は、ネットワークを分離することを検討していただきたい。被害のインパクトを考慮して、脆弱なネットワーク接続を物理的に切断することも検討すべきだろう。

◆ 上院議員が、米国送電網を妨害するロシアの能力について分析するようホワイトハウスに要請 (2017.6.22)
ホワイトハウスに対して19人の上院議員が、「我が国のエネルギーインフラストラクチャーに対するサイバー攻撃について、エネルギー省(DoE) がロシアの能力を徹底的に分析する」ように要請している。国会議員は 3月にも同様の要請をしたが、反応は無かったという。

https://www.wired.com/story/congress-trump-power-grid-malware-letter/
https://www.energy.senate.gov/public/index.cfm/files/serve?File_id=7E986259-2284-4FD3-A9ED-F2E7E6EE21CB

【編集者メモ】(Murray)
発電と配電は、生活の中で依存度が最も高いインフラストラクチャーであり、通信や財務よりも依存度が高い。それは、天候によるものやコンポーネントの故障、人的ミスからの回復成功事例が実証している。とは言え、悪意ある誤操作に対して脆弱性であることに変わりはない。また国民は、ウクライナで起きた攻撃などに対する回復力については何も知らない。また、サイバー攻撃の準備段階で制御機能が攻撃を受けたか否か特定できていないのが現実である。国会が、この質問に対する回答を知りたいのは分かるが、これらの回答は「機密扱いの情報」になるだろう。

◆ ドイツ警察がハッキング行為を行うためにさらなる権限を得る (2017.6.23)
ドイツ国会は、法執行機関に容疑者の電話やパソコンに侵入するための権限を与える法案を可決した。これまで、警察による電話やパソコンへの侵入行為は、テロ行為の疑いがある時のみに限られていた。この改正法によって、警察はStaatstrojanern 行為の活用範囲を広げ、 容疑者の通信傍受を許可された案件すべてに適用される。この改正は、運転禁止に関連する法律の一部を改正することで実現した。

http://www.zdnet.com/article/police-get-broad-phone-and-computer-hacking-powers-in-germany/

◆ Anthem社がデータ漏えいに関する和解金で 1.15億USDを支払う (2017.6.23,26)
米国の医療会社である Anthem が、2015年に顧客データが漏えいした事件に関連する複数の告訴に対応するため、和解金として 1.15 億 USDを支払ったという。この金額の大半は、被害者のクレジット信用度の監視に活用される予定である。

https://www.cyberscoop.com/anthem-data-breach-settlement/?category_news=technology
https://threatpost.com/anthem-agrees-to-settle-2015-data-breach-for-115-million/126527/

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃OUCH! 7月号「オンラインゲームを安全に楽しむために」について
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
世界中の人たちとゲームができるオンラインゲームは非常に楽しいものですが、
ゲームだけではなく、コミュニケーションができるという優れた点もあります。
しかし、ごく一部のユーザは、ゲームが目的ではなく、あなたとあなたの周囲の
人達を不幸にするようなことをしかけてくる場合があります。今月は、これらの
対策について解説するとともに、一般ユーザ向けに分かりやすく解説します。社
員の意識向上ツールとしてお使いください。
https://securingthehuman.sans.org/newsletters/ouch/issues/OUCH-201707_jp.pdf
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃ セキュアEggs「情報セキュリティの「たまご」を育てます!」
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 セキュアEgg シリーズは、これから情報セキュリティを本格的に学ぶ方を対象
 としたコース群で、文字どおり「たまご」の意味をもった基礎的な内容を網羅
 した研修プログラムです。ペンテスターやフォレンジックアナリスト、インシ
 デントハンドラーなどのエキスパートとして、情報セキュリティの最前線で活
 躍するために必要な基礎的スキルを演習中心に短時間で効果的に習得できるよ
 うに設計されています。
http://www.nri-secure.co.jp/service/learning/secureeggs.html

 システム開発や運用などの業務に携わる方々にとっても、情報セキュリティの
 要素をご自身のスキルに加えていただく絶好のカリキュラムです。通常パック
 の他にも、実践!サイバーセキュリティ演習 for Eggsもご用意しております。

 ・セキュアEggs(IT+セキュリティ基礎)
2017年9月14日(木)-15日(金)
2018年1月22日(月)-23日(火)

 ・セキュアEggs(フォレンジック)
2017年9月21日(木)
2018年1月25日(木)
 ・セキュアEggs(インシデント対応)
2017年9月20日(水)
2018年1月24日(水)
 ・セキュアEggs(Webアプリケーションセキュリティ)
2017年9月22日(金)
2018年1月26日(金)
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆ Petya: 基本的な知識 (2017.6.27,28)
今週から観測された Petyaの感染被害は、2016年に初めて観測されたオリジナルのPetya と似た部分が多い。この新しい亜種は、NotPetyaや GoldenEyeと呼ばれている。

https://www.wired.com/story/petya-ransomware-wannacry-mistakes/
http://www.theregister.co.uk/2017/06/28/petya_notpetya_ransomware/?page=1
http://www.zdnet.com/article/six-quick-facts-june-global-ransomware-cyberattack/
http://www.reuters.com/article/us-cyber-attack-idUSKBN19I1TD
https://www.washingtonpost.com/world/europe/companies-struggle-to-recover-after-massive-cyberattack-with-ransom-demands/2017/06/28/4e9e8fbe-5bd5-11e7-8e2f-ef443171f6bd_story.html?utm_term=.43bcf7249401
http://www.nextgov.com/cybersecurity/2017/06/ukraine-police-say-source-tuesdays-massive-cyber-attack/139047/?oref=ng-channeltopstory
http://krebsonsecurity.com/2017/06/petya-ransomware-outbreak-goes-global/

【編集者メモ】(Murray)
WannaCry や Petya がウェブブラウジングやメールを活用しているシステムを他のアプリケーションと分離することを願っている。また、データに対してデフォルトで読み取り専用の権限、プログラムに対しデフォルトで実行の権限のみが与えられることを願っている。さらに、企業ネットワークに対し、強い認証とエンドツーエンドの暗号化が適用されることも願っている。しつこいようだが、「ランサムウエア」に対する回復力があるように設計されたバックアップの利用が普及することを願っている。たくさんの願いを書いているが、これらの必須とされている対策よりも利便性が優先されるのは怖いことだと認識してほしい。

◆ Petya: 誰が被害を受けた? (2017.6.27,28)
Petyaによる被害を受けた企業は、6月29日の水曜にシステムが復旧したMareskや、運送に遅れが発生した FedExのヨーロッパ事業所である TNT Express、ロシアの石油業者 Rosneft、米国の製薬会社 Merck、そして世界中にある数々の政府、送電網、医療システムも被害を受けたという。

http://www.reuters.com/article/us-cyber-attack-maersk-line-idUSKBN19J2I9
https://www.wsj.com/articles/cyberattacks-hit-global-companies-in-europe-1498575793
https://www.bloomberg.com/news/articles/2017-06-28/fedex-says-cyberattack-disrupts-tnt-s-worldwide-operations
http://www.businesswire.com/news/home/20170628006092/en/
http://fifthdomain.com/2017/06/28/who-got-hit-in-global-notpetya-ransomware-attack/

◆ Petya:攻撃経路について (2017.6.27,28)
Petya は、今週のはじめにシステムに対する感染活動を開始した。感染の拡大は、MeDoc と呼ばれるウクライナの税金申告作成ソフトウエアの悪意あるアップデートを介して行われた。カスペルスキーは、ウクライナ政府のウェブサイトも感染の拡大に悪用されていたことも指摘している。マルウエアは、Shadow Brokersから漏えいされた 2つの Windowsの脆弱性を悪用している。

https://threatpost.com/new-petya-distribution-vectors-bubbling-to-surface/126577/
https://www.cnet.com/news/ukraine-ransomware-petya-goldeneye-medocs-microsoft-global/
http://www.bbc.com/news/technology-40428967
https://www.scmagazine.com/petya-ransomware-reportedly-spread-via-malicious-software-updates-windows-exploits-and-tools/article/671543/
https://www.wired.com/story/petya-ransomware-ukraine/

◆ Petya:感染拡大を阻止する動き (2017.6.27)
ある研究者によって、NotPetyaによるパソコンの感染を防ぐ方法が発見された。このマルウエアは、特定のローカルファイルが存在するか検索し、見つかった場合は暗号化のプロセスを止める。そのため、ユーザによって読み込みのみが許可されている状態でこのファイルを作成すると、NotPetyaによるファイルの暗号化を阻止することができるという。Petya の作成者は、メールのホスティングプロバイダであるPosteoアカウントを作成してメールを受信していたが、Posteoによってアカウントは削除されてしまった。このため、暗号化されたデータの復旧を試みる被害者からの連絡が届かなくなってしまっている。

https://www.bleepingcomputer.com/news/security/vaccine-not-killswitch-found-for-petya-notpetya-ransomware-outbreak/
https://www.bleepingcomputer.com/news/security/email-provider-shuts-down-petya-inbox-preventing-victims-from-recovering-files/

◆ Petyaの目的:ランサムウエアではなくデータ削除 (2017.6.28,29)
今週、ウクライナから感染活動を開始したランサムウエアについて、サイバーセキュリティの専門家たちは、今回の一連の攻撃はファイルの復号を試みる被害者からお金を収集することが目的ではなく、データを破壊することが目的だったと見ている。Petya は、ランサムウエアよりもデータ破壊ツールのようであり、ユーザに対し、データにアクセスするための鍵を提供する機能は無いようである。

https://arstechnica.com/security/2017/06/petya-outbreak-was-a-chaos-sowing-wiper-not-profit-seeking-ransomware/
http://www.zdnet.com/article/ransomware-in-disguise-experts-say-petya-out-to-destroy-not-ransom/
https://www.bloomberg.com/news/articles/2017-06-28/latest-hack-may-be-about-disruption-not-money-experts-say

【編集者メモ】(Assante)
この攻撃を行うために必要な投資や特性のほか、開発から感染拡大までの経緯や被害状況を鑑みると、大胆だが欠陥のある犯罪組織以上のものが浮かび上がってくる。NATOによる反応と分析が正確なように思える。この被害の裏にいる人たちは、疑念を沸かせながら攻撃的な性格を見せているのだ。

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の無料セミナー・イベント        <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○7月12日(水)
 WHY US!? あなたの社員が狙われている。
 サイバー攻撃の今を知り、やるべきこと。
https://www.nri-secure.co.jp/seminar/2017/proofpoint0712.html?xmid=300&xlinkid=01

○7月13日(木)、8月9日(水)、9月7日(木)
 標的型メール攻撃から自社を守る具体的手段とは
 ~実際の攻撃防御をProofpointの実機で体験~
https://www.nri-secure.co.jp/seminar/2017/proofpoint02.html?xmid=300&xlinkid=02

○7月14日(金)
 事例から学ぶ特権ID・監査ログ管理実践セミナー
 ~今、求められるアクセス管理を短期間・低コストで実現する方法とは~
https://www.nri-secure.co.jp/seminar/2017/ac03.html?xmid=300&xlinkid=03

○7月19日(水)
 社員のセキュリティ意識・耐性向上のための対策セミナー
 - You Are The Shield! SANS Securing The Human -
https://www.nri-secure.co.jp/seminar/2017/0719.html?xmid=300&xlinkid=04

○7月19日(水)、8月24日(木)
 ファイル交換・転送サービスの正しい選び方
https://www.nri-secure.co.jp/seminar/2017/file01.html?xmid=300&xlinkid=05

○7月24日(月)、8月23日(水)
 分離・無害化技術によりマルウェアを100%防御する方法
 ~ランサムウェアが添付されたメールを躊躇なく開き、
  危険なWebサイトを自由に閲覧できるソリューションとは~
https://www.nri-secure.co.jp/seminar/2017/isolation01.html?xmid=300&xlinkid=06

○7月27日(木)、9月27日(水)
 100万枚以上の紙文書どう管理しますか?文書管理を効率化する方法とは
 ~業界トップ企業採用の文書管理システムをご紹介~
https://www.nri-secure.co.jp/seminar/2017/doc02.html?xmid=300&xlinkid=07

○7月28日(金)
 今、Webサービス提供事業者が直面している課題とその解決策
 ~安全で便利なWebサービスを実現させる方法とは~
https://www.nri-secure.co.jp/seminar/2017/ciam01.html?xmid=300&xlinkid=08

○9月14日(木)、10月18日(水)
 場当たり的なセキュリティ対策からの脱却
 ~個別最適から全体最適への変換~
https://www.nri-secure.co.jp/seminar/2017/optimization01.html?xmid=300&xlinkid=09

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃独自調査資料 無料ダウンロード       <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○企業における情報セキュリティ実態調査2017
https://www.nri-secure.co.jp/security/report/2016/analysis.html?xmid=300&xlinkid=11

○NRI Secure Insight 2017
 企業における情報セキュリティ実態調査 ~グローバル編~
https://www.nri-secure.co.jp/security/report/2016/analysis_global2017.html?xmid=300&xlinkid=12

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃お知らせ                   <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○フロスト&サリバン社より 「2017年 ジャパン マネージドセキュリティ
 サービスプロバイダーオブザイヤー」を受賞
https://www.nri-secure.co.jp/whats_new/2017/0622.html?xmid=300&xlinkid=15


NRI Secure SANS NewsBites 日本版は、米国の情報セキュリティの専門機関であるSANS Instituteが配信するコンテンツ (SANS NewsBites)をベースに、NRIセキュアテクノロジーズが編集してお届けしています。 世界中でこの1週間に起こったセキュリティのあらゆるトピックと専門家のコメントが掲載されています。原版は、およそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュースソースとして活用されています。組織のセキュリティ管理に関する参考情報としてお役立てください。掲載されている情報は、e-mailを介して自由に他の方に再送していただいて結構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望される方は、弊社ホームページの以下のページよりお申込みください。
http://www.nri-secure.co.jp/news_letter/

本ニュースレターは、メールマガジン配信を申し込まれた方、弊社からの情報を希望された方、SANS関連のイベントに参加された方、その他イベント等において弊社講演枠に登録された方に配信しています。
今後、配信をご希望されない方は会社名と御氏名を本文に明記のうえ、件名に【配信不要】、配信先変更をご希望の方は【配信先変更希望】とご記入頂き、新旧のご連絡先も記載のうえ、info@sans-japan.jpまでご返信をお願い致します。なお、情報の反映までにお時間を頂戴する場合がございます。