NRI Secure SANS NewsBites 日本版

Vol.12 No.22 2017年7月27日発行

■■SANS NewsBites Vol.19 No.054 - 057
(原版: 2017年7月12日、14日、18日、21日)
◆ ヨーロッパの重要インフラ関連のシステムが探査される (2017.7.10)
ヨーロッパ政府筋によると、とある攻撃者集団がヨーロッパにある重要インフラに関連したコンピュータシステムを探査しているとのこと。これらの攻撃は、先週のNewsBitesで紹介した米国の重要インフラ関連のシステムに対する攻撃と似ている。

http://www.reuters.com/article/us-britain-cyber-idUSKBN19V1C7

◆ エネルギー会社の従業員に対するフィッシング攻撃は予備調査活動と関連か (2017.7.7)
米国のエネルギー会社の従業員を標的にしているスピアフィッシング攻撃は、エネルギー業界に関連したアカウントに対するアクセス情報や、インテリジェンスを入手しようとする国際的な活動と関連している可能性があるという。これらの攻撃は、少なくとも2015年から行われており、中東や東欧にある組織を標的にしてきた。
使用されているマルウエアは、認証情報の収集や探査を行う目的はあるが、破壊行為は行わないとされている。

https://www.cyberscoop.com/nuclear-hacks-fireeye-2015-global-hacking-campaign/

◆ ホワイトハウスがKaspersky社を認可ベンダリストから除外 (2017.7.11,12)
ホワイトハウスは、政府機関における認可ベンダリストから Kaspersky社を除外した。これは、同社がロシア政府とつながりがあるのではないかという懸念を受けた動きである。Kaspersky社は、ロシア政府とのつながりを否定している。

http://www.theregister.co.uk/2017/07/11/uncle_sam_says_nyet_to_kaspersky/
http://www.reuters.com/article/us-usa-kasperskylab-idUSKBN19W2W2
https://fcw.com/articles/2017/07/12/kaspersky-gsa-nasa-intel.aspx
https://www.v3.co.uk/v3-uk/news/3013715/kaspersky-were-a-pawn-in-a-geopolitical-game-argues-russian-security-software-maker

【編集者メモ】(Pescatore)
これは政治的な決断であり、他国が米国のセキュリティ企業に対して、同様の政治的決断を下すこともできる。私はこれまでに行なわれた類似の政治的決断で、サイバーセキュリティ全体にとってプラスになったものは思い浮かばない。
【編集者メモ】(Williams)
Kaspersky社の IC問題は、アンチウイルスソフトがパソコンに対して持つ大きな力と、アンチウイルスソフトにバックドアが仕込まれていたり、攻撃された時のリスクからきている。アンチウイルスソフトを中心に正確な脅威モデルを作成するためには、次の記事を確認していただきたい。
https://www.renditioninfosec.com/2017/07/av_threat_model_kaspersky/
いずれの側(米国政府とKaspersky社) も、今回の件について透明性がある説明は行なわれていないが、詳細については次の記事を確認していただきたい。
https://www.itwire.com/technology-regulation/79009-kaspersky-response-to-spy-claims-misleading-infosec-expert.html

◆ 中国とロシアがVPNの使用を禁止に (2017.7.11)
ロシアと中国の議員は、自国における仮想プライベートネットワーク(VPN) 使用を禁じている。ロシア議会であるDumaは、政府によって決められたウェブサイトをブロックしない場合、Tor のような匿名化ネットワークテクノロジーの使用を禁止する法律を最初に採用したことで知られている。

http://www.theregister.co.uk/2017/07/11/russia_china_vpns_tor_browser/

【編集者メモ】(Pescatore)
政治的決断については、先ほどのコメントを参照して欲しい。なぜなら、全体主義の政府による法令にも同様のことが言えるからだ。これまでにも、中国で似たような法令が取り消されて(少なくとも強制されていない)きた。これらは、国際貿易に対する政治的な欲求が、企業や国民をコントロールしたい欲求よりも勝った結果である。しかし、国際的な協力が崩れている今、企業が採用するセキュリティの取り組みとしては、ロシアや中国のように配送するコンテンツの暗号化が禁止されている場合に備えて、常にコンテンツを暗号化するなどの準備をすべきである。
【編集者メモ】(Murray)
GCHQのディレクター、ロバート・ハニガン氏は、以前「マイノリティに立ち向かう目的で、すべてのユーザのセキュリティを弱体化させるのは良くないことである」と語っている。この事実を信じていない全体主義の国家は、いずれ身をもってこの事実を知ることになるだろう。このような制限を設けることは、インフラを弱め、他国のインテリジェンスによる攻撃成功のコストを減らすだけである。
【編集者メモ】(Neely)
これは、過去に解読できない暗号を廃止した時と似ており、実現可能なゴールというよりも政治的な行動だけのように思える。さらに一番標的にしたい人たちは、回避策を見つけるだろう。そして、企業が他のところとビジネスをすることでさらなる反発が起きるだろう。どちらの国も国際的なビジネス関係の重要度は理解している。

◆ オランダの諜報機関が監視権限を拡大 (2017.7.11,13)
オランダ政府は、諜報機関による監視権限を拡大するための法案を可決させた。改訂された Intelligence and Security Actでは、諜報機関に対し、テロリストの疑いのある人物だけではなく、重大な犯罪者の身内も監視対象とする許可を与えている。また、オランダの諜報機関に、他国の諜報機関と情報共有することも許可している。この法律は、オランダ議会で承認されており、国王によって署名されてから一か月後に施行される。

http://www.theregister.co.uk/2017/07/13/dutch_surveillance_law_revamp/
http://www.reuters.com/article/us-netherlands-intelligence-idUSKBN19W2SU

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃OUCH! 7月号「オンラインゲームを安全に楽しむために」について
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
世界中の人たちとゲームができるオンラインゲームは非常に楽しいものですが、
ゲームだけではなく、コミュニケーションができるという優れた点もあります。
しかし、ごく一部のユーザは、ゲームが目的ではなく、あなたとあなたの周囲の
人達を不幸にするようなことをしかけてくる場合があります。今月は、これらの
対策について解説するとともに、一般ユーザ向けに分かりやすく解説します。社
員の意識向上ツールとしてお使いください。
https://securingthehuman.sans.org/newsletters/ouch/issues/OUCH-201707_jp.pdf
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃ セキュアEggs「情報セキュリティの「たまご」を育てます!」
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 セキュアEgg シリーズは、これから情報セキュリティを本格的に学ぶ方を対象
 としたコース群で、文字どおり「たまご」の意味をもった基礎的な内容を網羅
 した研修プログラムです。ペンテスターやフォレンジックアナリスト、インシ
 デントハンドラーなどのエキスパートとして、情報セキュリティの最前線で活
 躍するために必要な基礎的スキルを演習中心に短時間で効果的に習得できるよ
 うに設計されています。
http://www.nri-secure.co.jp/service/learning/secureeggs.html

 システム開発や運用などの業務に携わる方々にとっても、情報セキュリティの
 要素をご自身のスキルに加えていただく絶好のカリキュラムです。通常パック
 の他にも、実践!サイバーセキュリティ演習 for Eggsもご用意しております。

 ・セキュアEggs(IT+セキュリティ基礎)
2017年9月14日(木)-15日(金)
2018年1月22日(月)-23日(火)

 ・セキュアEggs(フォレンジック)
2017年9月21日(木)
2018年1月25日(木)
 ・セキュアEggs(インシデント対応)
2017年9月20日(水)
2018年1月24日(水)
 ・セキュアEggs(Webアプリケーションセキュリティ)
2017年9月22日(金)
2018年1月26日(金)
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆ サイバーセキュリティに関する支出が5年以内で1兆ドルを上回る(2017.7.20)
市場調査のレポートによると、2017年から2021年の間にサイバーセキュリティ関連に対して行なわれる支出は、1兆ドルを上回るとのこと。これは、前年比8-10%の上昇が、13-15%に上がることを想定している。

http://www.csoonline.com/article/3083798/security/cybersecurity-spending-outlook-1-trillion-from-2017-to-2021.html

◆ サイバーセキュリティに関する求人で最も需要のあるもの (2017.7.17)
サイバーセキュリティの専門家として企業が求める人材の 3つの領域は、ペネトレーションテスターやサイバーセキュリティエンジニアと、最高情報セキュリティ責任者(CISO)だという。また、企業は、セキュリティ問題を発見し、解決するリーダーも探しているという。

http://www.techrepublic.com/article/the-3-most-in-demand-cybersecurity-jobs-of-2017/

【編集者メモ】(Assante) これらの領域は重要であるが、このデータから読み取れるのは、我々はまだ壁を作っていて、壁にある穴を探して大量の紙(ポリシー)しか出していない状態に思える。壁ももちろん必要だが、十分ではない。セキュリティオペレーションに関するテクニカルなスキルを持っている人材だけを探す時期は過ぎているのだ。

◆ サイバー保険は損失の15%未満しかカバーされない:サイバー保険に関するレポート(2017.7.10,17)
Lloyds of Londonが公表したレポートによると、「クラウドの事例では、被害の15%、脆弱性の事例では被害の7%がそれぞれ支払われた」ことが2つの事例を用いて示されている。また、同社は、サイバー保険を提供している企業では、世界的に発生しているサイバー攻撃を通常の犯罪ではなく、自然災害のように扱うべきと主張している。

http://thehill.com/policy/cybersecurity/342311-lloyds-of-london-insure-cyberattacks-like-natural-disasters
https://www.lloyds.com/news-and-insight/risk-insight/library/technology/countingthecost

【編集者メモ】(Pescatore)
コメントが2つある:(1)昨今のサイバー保険市場の不十分な点として「再保険」が挙げられる。これは、保険会社が一部のリスクを第三者の保険会社に譲渡することを指すものだ。全体的なコストは上がるが、サイバー保険の成熟度を高め、安定して提供するために必要であり、CFO がサイバー保険を標準的に活用するためにも必要である。 (2)サイバー保険は、リスクの範囲を決めるわけでもなく、サイバーセキュリティに関する支出やプロセスを減らしたり、置き換えたりしないことである。Lloyds の分析によると、「クラウドの事例では、被害の15%、脆弱性の事例では被害の7%がそれぞれ支払われた」としている。つまり、重大なクラウド攻撃による残りの 85%の被害を防ぐため、そして、パッチを適用していない、あるいは脆弱なシステムに対する攻撃の被害の 93%を防ぐためには、基本的なセキュリティ対策を実施する必要がある、ということである。
【編集者メモ】(Honan)
Lloyds of Londonのレポートによると、世界経済へのコストは51兆ドルだという。
http://www.reuters.com/article/us-cyber-lloyds-report-idUSKBN1A20AB
この金額は、ハリケーン・サンディによる被害総額と近いものである。これにより、保険会社は注意深くなり、サイバー保険を求める企業に対し、様々な対策や制御が実施されているか否かを確認するために様々な要求が課せられるだろう。セキュリティ業界は、保険業界のリスク管理の経験から、システムのリスクに関する特定や定量化、管理することができるようになってくるだろう。

◆ EternalBlue のスキャナが 5万台の脆弱な機器を見つける (2017.7.14)
スキャニングツールにより、約5万台の機器がEternalBlueと呼ばれる攻撃ツールに対して脆弱であることが発見された。この攻撃ツールは、WannaCryランサムウエアおよび Petyaデータ削除攻撃の拡散に使われた。EternalBlueは、Windows Server Message Block(SMB) プロトコルに存在する脆弱性を悪用するもの。

http://www.darkreading.com/vulnerabilities---threats/50000-machines-remain-vulnerable-to-eternalblue-attacks/d/d-id/1329361?

【編集者メモ】(Neely)
システムのリプレースに関する課題はあるが、企業は可能な限り、 SMBv1を無効にしたり、使用する場合にはSMBv1 の監視や警告を発することによりリスクを軽減することができる。また、脆弱なシステムをリプレースしたり撤廃するまでの間は、孤立させたり、保護したりすることもできる。

◆ ダークウェブのオンラインマーケットサイトが閉鎖される (2017.7.20)
世界中の法執行機関が協力して、麻薬や銃器、その他違法な商品を販売していたオンラインマーケットサイトであるAlphaBayとHansa Marketを閉鎖した。AlphaBayは、7月5日に閉鎖され、Hansa Marketは、6月 20日以降オランダの法執行機関の管理下に置かれている。サイトの関係者である 2人は既に逮捕されており、数百万ドルに相当する資産が凍結されているという。

http://www.bbc.com/news/technology-40670010
https://www.cnet.com/news/alphabay-hansa-shutdown-closed-dark-web-market-silk-road/
http://krebsonsecurity.com/2017/07/exclusive-dutch-cops-on-alphabay-refugees/
https://www.cyberscoop.com/alphabay-shut-down-hansa-jeff-sessions-europol/?category_news=technology
https://www.wsj.com/articles/authorities-close-two-large-illegal-goods-websites-1500568971

【編集者メモ】(Henry)
法執行機関は、攻撃者のインフラを妨害しない事には、彼らの運営に対して大きな影響を与えることはできない。彼らの運営を困難にしたり、コストを上げたりすることにより、収益を減らし、多くのリソースを費やさせることで、長期間に亘り影響を与えることができる。組織化された犯罪グループは、実態として企業となっているため、これらの企業運営を妨害することで、民間に良い影響を与えることになるだろう。

◆ CyberStartプログラムは、サイバーセキュリティに関する能力を明らかに (2017.7.18)
今夏、米国の7つの州とSANSが共同で CyberStartと呼ばれる無料のオンラインサイバーセキュリティトレーニングゲームを開催する。このプログラムでは、サイバーセキュリティの基礎を教え、サイバーセキュリティの専門家が、日常的に目にする問題を解決できるスキルや元々才能のある人物を特定することができるという。
CyberStartの予選は 7月28日まで、本番は8月1日から28日まで行われ、16歳以上であれば参加できる。上位100位に入賞できると、2018年の CyberStart Essentials Cyber Skills Development Programに対する奨学金が全額支給される。また、上位に入った参加者には、高度なサイバーセキュリティトレーニングを受講するための補助金や奨学金の申し込み資格を得ることができる。

http://www.govtech.com/security/7-States-Partner-with-SANS-Institute-to-Offer-Free-Training-Grow-Cybersecurity-Workforce.html
https://www.sans.org/CyberStartUS

【編集者メモ】(Neely)
私も若い頃にこのような機会があることを願って、前向きな目標に向けたハッキング行為をしていた。ゲームを活用したスキル特定はとても重要であり、サイバーキャリアに向けた方向性を示すことにより、企業内でのサイバーセキュリティ人材不足を埋めることができるだろう。

◆ Devil's Ivy が数百万台のIoT機器にある問題を攻撃 (2017.7.18,19,20)
Devil's Ivy と呼ばれるゼロデイ攻撃では、セキュリティカメラやアクセスカードリーダを含む数百万台の IoT 機器に影響を与えている。この問題は、gSOAPと呼ばれるオープンソースライブラリに存在し、リモートから攻撃が可能である。gSOAPを開発している Geniviaは、この問題の修正をリリースしている。

https://www.cnet.com/news/iot-devices-hack-bug-vulnerability-devil-ivy-exploit/
https://www.wired.com/story/devils-ivy-iot-vulnerability/
http://www.zdnet.com/article/millions-of-iot-devices-hit-by-devils-ivy-bug-in-open-source-code-library/
https://motherboard.vice.com/en_us/article/gybm4b/internet-of-things-camera-axis-bug

【編集者メモ】(Paller)
これは、開発者によって埋め込まれたオープンソースコードだが、多くの開発者は、そもそも活用していることを忘れているだろう。メーカーがこれから開発する機器の問題を修正したとしても、IoT機器のユーザ自身でGeniviaが提供するパッチを適用する可能性は低いだろう。
【編集者メモ】(Williams)
これは、企業がようやく気付き始めているソフトウエアサプライチェーンに関する問題である。広く使われているライブラリに脆弱性が発見されると、多くの機器が脅威に晒されるだけでなく、パッチが提供されないものも多い。gSOAP に対するパッチは提供されたが、ダウンストリームのベンダにおいては、パッチを適用したライブラリでコードをビルドし直し、顧客に対してパッチを提供する必要がある。このような問題は、今後何年も聞くことになるだろう。これは、HeartBleedの問題が公開された時に、サポート期間が終了していた VPN機器にパッチを提供しないベンダがいた時と同じである。ベンダとこのような時、パッチに関するサポートは提供されるのか否かを聞くのが良いだろう。特に機器のサポート期間が終了しているものは、重要である。

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の無料セミナー・イベント        <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

○8月9日(水)、9月7日(木)
 標的型メール攻撃から自社を守る具体的手段とは
 ~実際の攻撃防御をProofpointの実機で体験~
https://www.nri-secure.co.jp/seminar/2017/proofpoint02.html?xmid=300&xlinkid=02

○8月10日(木)
 事例から学ぶ特権ID・監査ログ管理実践セミナー
 ~今、求められるアクセス管理を短期間・低コストで実現する方法とは~
https://www.nri-secure.co.jp/seminar/2017/ac03.html?xmid=300&xlinkid=03

○8月22日(火)
 ワークショップで学ぶ委託先管理の実態
 ~委託先管理のあるべき姿とは~
https://www.nri-secure.co.jp/seminar/2017/supplier01.html?xmid=300&xlinkid=09

○8月23日(水)
 分離・無害化技術によりマルウェアを100%防御する方法
 ~ランサムウェアが添付されたメールを躊躇なく開き、
  危険なWebサイトを自由に閲覧できるソリューションとは~
https://www.nri-secure.co.jp/seminar/2017/isolation01.html?xmid=300&xlinkid=06

○8月24日(木)
 ファイル交換・転送サービスの正しい選び方
 ~クラウドで業務効率・利便性とセキュリティを両立させるには~
https://www.nri-secure.co.jp/seminar/2017/file01.html?xmid=300&xlinkid=05

○9月14日(木)、10月18日(水)
 場当たり的なセキュリティ対策からの脱却
 ~個別最適から全体最適への変換~
https://www.nri-secure.co.jp/seminar/2017/optimization01.html?xmid=300&xlinkid=10

○9月27日(水)
 100万枚以上の紙文書どう管理しますか?文書管理を効率化する方法とは
 ~業界トップ企業採用の文書管理システムをご紹介~
https://www.nri-secure.co.jp/seminar/2017/doc02.html?xmid=300&xlinkid=07

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃独自調査資料 無料ダウンロード       <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○企業における情報セキュリティ実態調査2017
https://www.nri-secure.co.jp/security/report/2016/analysis.html?xmid=300&xlinkid=11

○NRI Secure Insight 2017
 企業における情報セキュリティ実態調査 ~グローバル編~
https://www.nri-secure.co.jp/security/report/2016/analysis_global2017.html?xmid=300&xlinkid=12


NRI Secure SANS NewsBites 日本版は、米国の情報セキュリティの専門機関であるSANS Instituteが配信するコンテンツ (SANS NewsBites)をベースに、NRIセキュアテクノロジーズが編集してお届けしています。 世界中でこの1週間に起こったセキュリティのあらゆるトピックと専門家のコメントが掲載されています。原版は、およそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュースソースとして活用されています。組織のセキュリティ管理に関する参考情報としてお役立てください。掲載されている情報は、e-mailを介して自由に他の方に再送していただいて結構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望される方は、弊社ホームページの以下のページよりお申込みください。
https://www.nri-secure.co.jp/news_letter/

本ニュースレターは、メールマガジン配信を申し込まれた方、弊社からの情報を希望された方、SANS関連のイベントに参加された方、その他イベント等において弊社講演枠に登録された方に配信しています。
今後、配信をご希望されない方は会社名と御氏名を本文に明記のうえ、件名に【配信不要】、配信先変更をご希望の方は【配信先変更希望】とご記入頂き、新旧のご連絡先も記載のうえ、info@sans-japan.jpまでご返信をお願い致します。なお、情報の反映までにお時間を頂戴する場合がございます。