NRI Secure SANS NewsBites 日本版

Vol.12 No.25 2017年8月30日発行

■■SANS NewsBites Vol.19 No.064-067
(原版: 2017年8月15日、18日、22日、25日)


━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃ セキュアEggs「情報セキュリティの「たまご」を育てます!」
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 セキュアEgg シリーズは、これから情報セキュリティを本格的に学ぶ方を対象
 としたコース群で、文字どおり「たまご」の意味をもった基礎的な内容を網羅
 した研修プログラムです。ペンテスターやフォレンジックアナリスト、インシ
 デントハンドラーなどのエキスパートとして、情報セキュリティの最前線で活
 躍するために必要な基礎的スキルを演習中心に短時間で効果的に習得できるよ
 うに設計されています。
http://www.nri-secure.co.jp/service/learning/secureeggs.html

 システム開発や運用などの業務に携わる方々にとっても、情報セキュリティの
 要素をご自身のスキルに加えていただく絶好のカリキュラムです。通常パック
 の他にも、実践!サイバーセキュリティ演習 for Eggsもご用意しております。

 ・セキュアEggs(IT+セキュリティ基礎)
2017年9月14日(木)-15日(金) <好評受付中!>
2018年1月22日(月)-23日(火)

 ・セキュアEggs(フォレンジック)
2017年9月21日(木)
2018年1月25日(木)
 ・セキュアEggs(インシデント対応)
2017年9月20日(水) <満員御礼>
2018年1月24日(水)
 ・セキュアEggs(Webアプリケーションセキュリティ)
2017年9月22日(金)
2018年1月26日(金)
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆ 「サイバーに戦争はない」 (2017.8.11)
米国戦略軍のジョン・ハイテン最高司令官は、アラバマ州のハンツビルで開催された Space and Missile Symposiumにおいて、「戦争というものはあるが、サイバーに戦争はない」と述べ、さらに「敵が活動している領域を倒すのではなく、敵を倒す方法を考えなければならない」と語った。

http://www.fifthdomain.com/dod/2017/08/11/gen-hyten-no-such-thing-as-war-in-cyber/

◆ Google が iOS向けのGmailアプリにフィッシング検知機能を追加 (2017.8.10,14)
Googleは、iOSデバイス向けのGmailアプリにフィッシング対策のセキュリティ機能を追加した。同機能は、数か月前に Android向けのアプリに追加されていたもの。
今後、ユーザは Gmailのメッセージ内にある不審なリンクをクリックすると警告が表示されるようになる。危険だと知られているリンクをユーザがクリックした場合、さらに強い警告メッセージが表示される。この機能は、iOS向けのGmailユーザに対して、2週間以内に提供される予定。

https://www.scmagazine.com/google-rolling-out-gmail-anti-phishing-feature-to-ios-devices/article/681529/
https://gsuiteupdates.googleblog.com/2017/08/anti-phishing-security-checks-in-gmail.html

【編集者メモ】(Neely) 2016年と2017年の SANS Threat Landscape Survey によると、スピアフィッシングやホエーリングなどによるフィッシングが、企業を襲う最も大きな脅威となっている。リスクを軽減する最も一般的な対策はユーザ教育の強化であるが、技術的な対策も必要である。Googleは、今年の始めにフィッシング対策を組み込んだ Gmailを提供し、この機能をモバイルユーザにも提供している。ただしモバイルデバイスでこの機能を使用するには、メールのネイティブアプリではなく Gmailのモバイルアプリを利用する必要がある。

◆ Firefox 57 でレガシーアドオンのサポート終了 (2017.8.10,14)
Mozillaは、11月14日に公開予定の Firefox 57以降、レガシーアドオンのサポートを終了することを発表した。その代わりに、Firefox 57およびそれ以降のバージョンでは、WebExtensions SDKを使って開発されたアドオンのみが許可される。

https://www.bleepingcomputer.com/news/software/mozilla-will-kill-legacy-firefox-add-ons-in-exactly-three-months/
http://www.theregister.co.uk/2017/08/14/firefox_57_to_disable_all_extensions/
https://blog.mozilla.org/addons/2017/08/10/upcoming-changes-compatibility/

【編集者メモ】(Murray)
メールを考えた時、ブラウザがデスクトップの弱点であり、デスクトップが企業の弱点であり、企業がインフラの弱点と見なすことができる。メールクライアントとブラウザについて考え直す時が来ているのだ。そんな中、安価なハードウエアの利用が拡大しているが、これらは重要で機密な情報を扱うアプリケーションから孤立させなければならない。
【編集者メモ】(Neely)
Mozillaは、Firefoxの拡張機能のセキュリティを強化するために、機能とインターフェースを変えた。これによって、セキュリティやプライバシーを弱める機能へのアクセスをブロックできるようになった。これは、W3C の勧告に準拠することで、複数のブラウザで利用できる拡張機能の開発者が楽になるだろうという目論見もある。拡張機能のバージョン管理を厳しくすることで、互換性を特定しやすくしようとしている中で、アップデートされているアドオンは増えているが、20% しかアップデートが提供されていないのが現実である。

◆ サイバーセキュリティ:大学で人気が最も上昇している専攻 (2017.8.15)
米国内にある多くの大学が、サイバーセキュリティの専攻や他の専攻の一部として、あるいは修士課程のプログラムとして提供を始めている。しかし、多くの学校では、何を教えて良いのか分からず、サイバーセキュリティに関する問題を語るだけに留まり、対策方法は教えていないのが現状である。さらに言えば、コンピュータサイエンスでは、セキュアコーディングや他のサイバーセキュリティに関する技術的な部分は教えていない。コンピュータサイエンスとエンジニアリングのプログラムを提供している米国の大学トップ10 (U.S. News & World Reportによるランキング) では、卒業するにあたり、サイバーセキュリティに関するコースを必修とする大学は、一つも無いのだ。

https://www.villagevoice.com/2017/08/15/how-cybersecurity-became-2017s-hot-new-major/

◆ 大学では、ハンズオンのセキュリティトレーニングが不足している (2017.8.17)
Veracode による調査では、DevOps スペシャリストの 70%が、大学時代に十分なハンズオントレーニングを受けてこなかったと述べており、大半が業務を通じて必要な知識を得たとしている。 DevSecOps Global Skills Survey では、世界中にいる400名の DevOps プロフェッショナルから回答を得ているが、このうち 80% が就職時に適切なサイバーセキュリティスキルを持っていなかったと回答している。そして 85% が DevOpsが必要とする速度でソフトウエアを提供するための準備が不足、または全くできていないと回答している。

http://www.darkreading.com/application-security/70--of-devops-pros-say-they-didnt-get-proper-security-training-in-college/d/d-id/1329654?

◆ 米国のコンピュータサイエンス教育が米国の生徒に適切な教育をしていない (2017.8)
20年間、International Computing Olympiad で米国代表のコーチをしてきた Rob Kolstad 氏が、米国のコンピュータサイエンスプログラムがどのように道を外し、ロシアの学生がサイバーセキュリティ分野において成功している理由について語りながら、この状況を打開するためのアプローチを書いている。

https://www.sans.org/cyberskills/Kolstad-Report-2017.pdf

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃OUCH! 8月号「バックアップと復旧」について
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
パソコンやモバイルデバイスを使用していると、誤ってデータを削除してしまっ
たり、何かの拍子に故障して使えなくなってしまうことがあります。このような
時に、短時間で復旧できるのはバックアップしかありません。今月は、これらの
基本から解説するとともに、一般ユーザ向けに分かりやすく解説します。社員の
意識向上ツールとしてお使いください。
https://securingthehuman.sans.org/newsletters/ouch/issues/OUCH-201708_jp.pdf
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓
 好┃評┃受┃付┃中┃ 毎回満員御礼の人気コースや日本初開催コースなど
 ━┛━┛━┛━┛━┛ 今秋、全10コースを開催予定!

           = SANS Tokyo Autumn 2017 =
  https://sans-japan.jp/sans_tokyo_autumn2017/index.html

【10月開催第一弾】2017年10月16日~21日[6日間]/ 2017年10月16日~20日[5日間]   
<< 早期割引は 9月1日までです。お早めにお申し込みください >>

◆SEC401:Security Essentials Bootcamp Style
     最もポピュラーな情報セキュリティのゴールド・スタンダード
     情報セキュリティ・ネットワークに関する基本的知識を有している方は
必見です

◆SEC511:Continuous Monitoring and Security Operations
     持続的な監視へのパラダイムシフト
     リアルタイムなインシデント検知、防御戦略が習得可能

◆SEC542:Web App Penetration Testing and Ethical Hacking
     Webアプリの脆弱性を発見し、分析、修正できるスキルを習得
     最終日のCTFでご自身の成果測定も行えます!

◆FOR610:Reverse-Engineering Malware:Malware Analysis Tools and Techniques
    マルウェア解析の基本的なツールとテクニックを効率的に習得
    マルウェア解析の専門性を高めたい方は必見のコースです

◆FOR578:Cyber Threat Intelligence
     インテリジェンスで武装したインシデントレスポンスを求める方に
     攻撃者に関するナレッジの収集・分析そして共有のノウハウを学びます

━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━

【10月開催第二弾】2017年10月23日~28日[6日間] / 2017年10月23日~27日[5日間]   
<< 早期割引は 9月8日までです。お早めにお申し込みください >>

◆SEC504:Hacker Tools, Techniques, Exploits and Incident Handling
     ペンテスター、インシデントハンドラーへの登竜門
ハッカーの攻撃手法を体験し、実践的防御スキルを完全習得

◆SEC560:Network Penetration Testing and Ethical Hacking
     すべてのペンテスターの通過点
侵害を受ける前に、自システムをテストする最良の方法を習得可能!

◆FOR508:Advanced Digital Forensics,Incident Response,and Threat Hunting
     フォレンジックの達人たちも大絶賛!
     フォレンジックトレーニングの最高峰がまた東京に

◆FOR572:Advanced Network Forensics and Analysis ★日本初開催★
     あなたのフォレンジック知識をネットワークへ
     効率的で効果的な事後インシデント対応調査のために必要な
     最もクリティカルなスキルを網羅しているコースです

◆SEC566:Implementing and Auditing
       the Critical Security Controls In-Depth
     Critical Security Controlsを真に理解するならこのコース
     CSCの実装や監査に必要となるツールやテクニックを習得できます

━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━

また、2018年2月にも8コース程開催予定です。今からご検討ください。
https://sans-japan.jp/secure_japan2018/index.html

┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛
◆ US Cyber Command が昇格して統合軍の一部に (2017.8.18,19.21)
US Cyber Command (CYBERCOM) が昇格して統合軍の一部になる。これは、サイバー空間におけるオペレーションの立ち位置を確保する事を目的としている。CYBERCOMは、2009 年に設立され、NSA 内に置かれていたもの。CYBERCOM の立ち位置の変更は、指揮者が任命され、確定するまで実行される予定はないという。

https://www.washingtonpost.com/news/checkpoint/wp/2017/08/18/president-trump-announces-move-to-elevate-cyber-command/?utm_term=.b54197b19a7c
http://www.nextgov.com/cybersecurity/2017/08/what-announced-nsacyber-command-split-means/140371/?oref=ng-channelriver
http://www.fifthdomain.com/dod/cybercom/2017/08/18/trump-elevates-cyber-command-split-with-nsa-still-an-option/
https://www.scmagazine.com/cyber-command-elevated-to-unified-combatant-command/article/682924/
https://www.wired.com/story/cyber-command-elevated/
https://www.defense.gov/News/News-Releases/News-Release-View/Article/1282920/dod-announces-elevation-of-us-cyber-command-to-a-unified-combatant-command/source/GovDelivery/

◆ 米国家警備隊 Cyber Task Force Echo (2017.8.18,21)
米陸軍は、フルタイムで稼働するサイバータスクフォースを発動した。このタスクフォースには、7つの州から合計138名の国家警備隊員から構成される。また、Task Force Echo は、陸軍 Cyber Commandの指揮下に置かれるという。

http://www.fifthdomain.com/dod/army/2017/08/21/army-mobilizes-largest-ever-national-guard-cyber-task-force/
https://www.army.mil/article/192601/newly_activated_guard_unit_to_bolster_army_cyber_forces

◆ Googleが拡張機能に関する警告機能を追加 (2017.8.20)
Googleは、Chromeブラウザに二つの機能を追加した。これらの機能は、拡張機能が不審な動きをした場合、ユーザに警告を出すようになる。また、拡張機能がユーザのプロキシ設定を乗っ取った場合も、ユーザのホームタブを変更した際に警告が表示される。

https://www.bleepingcomputer.com/news/security/chrome-adds-warning-for-when-extensions-take-over-your-internet-connection/

【編集者メモ】(Pescatore)
Googleが警告内で使用した文言を気に入っている「この変更が行われた理由を知らないのであれば、この変更はしたくないですよね。」WindowsやLinuxも、システム管理者に対して「この変更を意図して行っていたとしても、後悔することになるだろう」という警告を出して欲しい。
【編集者メモ】(Neely)
ブラウザの拡張機能に対しても、適切なレビューやホワイトリストを適用するなど、ソフトウエアと同様に扱うべきである。有効な警告を出すことで、ユーザも適切な判断を下すだろう。
【編集者メモ】(Northcutt)
設定の復元を行うためのボタンと、それを解説する文章に対し、賛辞を送りたい:「この変更が行われた理由を知らないのであれば、この変更はしたくないですよね。」プラグインや拡張機能がもたらす問題は、すべてのブラウザユーザに対し、こまめにプラグインや拡張機能のアップデートを確認することを強要する。そして、Chromeが最もユーザの多いブラウザであるため、ここが戦場になると予想する:

https://en.wikipedia.org/wiki/Usage_share_of_web_browsers

◆ Drupalのセキュリティアップデート(2017.8.18)
Drupal は、提供するコンテンツ管理システム (CMS) に含まれる脅威度の高いセキュリティ問題を修正するバージョン、Drupal 8.3.7 をリリースし3つの脆弱性に対応した。Drupalは、このリリースと併せて Drupal 7.x を対象にしたセキュリティアドバイザリを公開している。

http://www.zdnet.com/article/drupal-patches-access-bypass-flaw-in-engine-core/
https://www.drupal.org/SA-CORE-2017-004
https://www.drupal.org/node/2902604

【編集者メモ】(Neely) CMS が、ウェブサイトの設定を変更したりアップデートしたりするための権限を持って動作することは、自身の破滅を招くための鍵を握っていると言えるだろう。
CMS を利用する場合、攻撃者によるアクションに先回りしてアップデートをしたり、CMS の状態を監視したり、拡張機能の利用を最小限に抑えたりするなど、攻撃を受けるリスクを軽減する必要がある。

◆ National Infrastructure Advisory Councilからのレポート (2017.8.22.23)
「9/11レベルのサイバー攻撃を受ける前兆、それはつかの間の限られた時間でしかない。そのために[国家が]集結して、適切なアクションを起こせるよう準備する必要がある」と、米国の National Infrastructure Advisory Council が公開したレポートに記載されている。このレポートには、11の推奨事項が記載されており、中には「最も重要なサイバーネットワークに対し、隔離された安全な通信ネットワークを確保すること」「最高のスキャンツールとアセスメント手法を明らかにすること」「サイバー脅威に関する情報を素早く機密扱いから解除するための手順を確立すること」が挙げられている。

https://www.cyberscoop.com/niac-cyber-electricity-grid-telecoms-finance/
https://fcw.com/articles/2017/08/22/white-house-cyber-advice-rockwell.aspx
https://federalnewsradio.com/cybersecurity/2017/08/federal-panel-urges-11-steps-to-avert-a-cyber-911/
http://thehill.com/policy/cybersecurity/347566-white-house-advisors-feds-have-tools-to-protect-infrastructure-cyber-but
http://thehill.com/policy/cybersecurity/347563-members-resign-from-white-house-council-on-infrastructure-security
http://www.nextgov.com/cybersecurity/2017/08/times-running-out-prevent-massive-cyberattack-critical-infrastructure-advisory-group-says/140417/?oref=ng-channelriver
http://www.fifthdomain.com/critical-infrastructure/2017/08/23/report-critical-infrastructure-under-risk-of-911-level-cyber-attack/
https://www.dhs.gov/sites/default/files/publications/niac-cyber-study-draft-report-08-15-17-508.pdf

【編集者メモ】(Assante)
業界リーダーから成り立っている Councilの経験と先見の明が、政策立案者などの注目を集めるだろう。Council からのサイバー脅威の変化の速度に伴って、国内を整備する緊急性を煽ったことが最終警告になると見ている。さらなるデジタルと接続された世界へ突入するにあたり、アクションを起こすのは今しかないのだ。
【編集者メモ】(Paller)
Mike Assante も書いたが、NIAC メンバーは問題を正確に描写している。しかし、提案されている解決策の多くは、John Pescatoreが下記に書いてあるように正しくはないのかもしれない。
【編集者メモ】(Pescatore)
上位レベルにおける 11の推奨事項の多くは、委員会が出す標準的なアウトプット(業界や政府の共有する情報を増やす、タスクフォースの設立、そして政府の上位レベルとのミーティングなど)であり、他のは標準的なセキュリティ対策 (基本的なセキュリティ対策を行うこと、政府からの脅威データを素早く機密扱いから外すための手順の確立など) である。「最も重要なサイバーネットワークに対し、隔離された安全な通信ネットワークを確保すること」が一番注目を集めているが、重要インフラの通信の観点から見て、提案のまま (レポートでは、RFベースのバックアップを用意することと記載されている) では意味不明である。バックアップに関するアプローチとしては良いだろうが、安全に設計されていないシステムがインターネットから切断された瞬間に安全になるという思い込みが、電力システムや ATM、投票用機器などが問題になった発端である。

◆ AccuWeather Updates アプリがデータプライバシーの問題を修正する予定 (2017.8.23)
AccuWeather がアプリのアップデートを行い、ユーザによるアプリの設定に関係無く位置情報のデータを収集してしまう問題を修正した。アップデートが行われる以前のバージョンでは、全ユーザのルータ名・基本的なサービスを特定する情報をテクノロジーパートナーである Reveal Mobile社と共有していた。

http://www.theregister.co.uk/2017/08/23/accuweather_says_ignorance_of_location_data_precludes_misuse/
http://www.bbc.com/news/technology-41037081

【編集者メモ】(Northcutt)
問題を理解した後に AccuWeather のブログ記事を読むとためになる。
以下に3つの例を挙げる:
1) GPSによる位置情報は、ユーザによる許可が無い限り、収集も送信もされない。
これは、正しい。ルータのSSIDが判っている場合は、WiFiルータの位置情報が送付される。
2) さらに、AccuWeatherによって収集されたデータは一度も活用されていない。
これも正しい。分かっている限り、AccuWeatherが Reveal Mobile と業務提携している理由はここにある。これが理由でない限り、AccuWeatherとReveal Mobileが業務提携している理由は何だろうか?
3) 最終的に、位置情報の共有からオプトアウトしたユーザに関するデータは共有されていない。
これは、正しいのかもしれない。しかし、Reveal Mobileに関して Google で調べると、うたい文句は「位置情報のデータをモバイルの収益に変換」としている。

結論:ユーザがオプトアウトしたにも関わらずデータを収集し、その後に誤解を招くブログ記事を公開した。 weather.com のような別の気象予報のサイトを利用することは賢明な判断だろう。不適切なことをした企業に一言:きちんと謝罪し、今後 2度と同じことをしないと約束することが歴史的に良いと示されている。
ただし、謝罪する時は、本気で謝罪すべきである。

https://www.accuweather.com/en/press/69041756

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の無料セミナー・イベント        <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○9月28日(木)
 セキュリティ専門家が考えるID共通化・API公開の安全策
 ~コンシューマサービスが無視できない不正利用対策と認証連携~
https://www.nri-secure.co.jp/seminar/2017/ciam02.html?xmid=300&xlinkid=04

○9月7日(木)
 標的型メール攻撃から自社を守る具体的手段とは
 ~実際の攻撃防御をProofpointの実機で体験~
https://www.nri-secure.co.jp/seminar/2017/proofpoint02.html?xmid=300&xlinkid=06

○9月8日(金)
 事例から学ぶ特権ID・監査ログ管理実践セミナー
 ~今、求められるアクセス管理を短期間・低コストで実現する方法とは~
https://www.nri-secure.co.jp/seminar/2017/ac03.html?xmid=300&xlinkid=07

○9月14日(木)
 サイバーセキュリティ2017:
 独自調査レポートから見るサイバーセキュリティ最新動向
 ~拡大するリスク、増え続ける課題、求められる対策~
https://www.nri-secure.co.jp/seminar/2017/0914.html?xmid=300&xlinkid=08

○9月14日(木)、10月18日(水)、11月10日(金)、12月14日(木)
 場当たり的なセキュリティ対策からの脱却
 ~個別最適から全体最適への変換~
https://www.nri-secure.co.jp/seminar/2017/optimization01.html?xmid=300&xlinkid=09

○9月27日(水)
 100万枚以上の紙文書どう管理しますか?文書管理を効率化する方法とは
 ~業界トップ企業採用の文書管理システムをご紹介~
https://www.nri-secure.co.jp/seminar/2017/doc02.html?xmid=300&xlinkid=10

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃独自調査資料 無料ダウンロード       <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○サイバーセキュリティ:傾向分析レポート2017
https://www.nri-secure.co.jp/security/report/2017/cstar.html?xmid=300&xlinkid=11


NRI Secure SANS NewsBites 日本版は、米国の情報セキュリティの専門機関であるSANS Instituteが配信するコンテンツ (SANS NewsBites)をベースに、NRIセキュアテクノロジーズが編集してお届けしています。 世界中でこの1週間に起こったセキュリティのあらゆるトピックと専門家のコメントが掲載されています。原版は、およそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュースソースとして活用されています。組織のセキュリティ管理に関する参考情報としてお役立てください。掲載されている情報は、e-mailを介して自由に他の方に再送していただいて結構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望される方は、弊社ホームページの以下のページよりお申込みください。
https://www.nri-secure.co.jp/news_letter/

本ニュースレターは、メールマガジン配信を申し込まれた方、弊社からの情報を希望された方、SANS関連のイベントに参加された方、その他イベント等において弊社講演枠に登録された方に配信しています。
今後、配信をご希望されない方は会社名と御氏名を本文に明記のうえ、件名に【配信不要】、配信先変更をご希望の方は【配信先変更希望】とご記入頂き、新旧のご連絡先も記載のうえ、info@sans-japan.jpまでご返信をお願い致します。なお、情報の反映までにお時間を頂戴する場合がございます。