NRI Secure SANS NewsBites 日本版

Vol.12 No.25 2017年10月2日発行

日本版翻訳担当より:遅めの夏休みで配信が滞っておりました。
今回は日本語版で未配信の8件分をお送りいたします。

■■SANS NewsBites Vol.19 No.068-075
(原版: 2017年8月29日、9月1日、5日、8日、12日、15日、19日、18日、22日、25日)


┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 好┃評┃受┃付┃中┃ 毎回満員御礼の人気コースや日本初開催コースなど
 ━┛━┛━┛━┛━┛ 今秋、全10コースを開催予定!

           = SANS Tokyo Autumn 2017 =
  https://sans-japan.jp/sans_tokyo_autumn2017/index.html

【10月開催第一弾】2017年10月16日~21日[6日間]/ 2017年10月16日~20日[5日間]
  << 直前でも一部コースで受付可能。お早めにお申し込みください >>

◆SEC401:Security Essentials Bootcamp Style
     最もポピュラーな情報セキュリティのゴールド・スタンダード
     情報セキュリティ・ネットワークに関する基本的知識を有している方は
必見です

◆SEC511:Continuous Monitoring and Security Operations
     持続的な監視へのパラダイムシフト
     リアルタイムなインシデント検知、防御戦略が習得可能

◆SEC542:Web App Penetration Testing and Ethical Hacking
     Webアプリの脆弱性を発見し、分析、修正できるスキルを習得
     最終日のCTFでご自身の成果測定も行えます!

◆FOR610:Reverse-Engineering Malware:Malware Analysis Tools and Techniques
    マルウェア解析の基本的なツールとテクニックを効率的に習得
    マルウェア解析の専門性を高めたい方は必見のコースです

◆FOR578:Cyber Threat Intelligence
     インテリジェンスで武装したインシデントレスポンスを求める方に
     攻撃者に関するナレッジの収集・分析そして共有のノウハウを学びます
━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━

【10月開催第二弾】2017年10月23日~28日[6日間] / 2017年10月23日~27日[5日間]   
  << 直前でも一部コースで受付可能。お早めにお申し込みください >>

◆SEC504:Hacker Tools, Techniques, Exploits and Incident Handling
     ペンテスター、インシデントハンドラーへの登竜門
ハッカーの攻撃手法を体験し、実践的防御スキルを完全習得
     <満員御礼>
◆SEC560:Network Penetration Testing and Ethical Hacking
     すべてのペンテスターの通過点
侵害を受ける前に、自システムをテストする最良の方法を習得可能!

◆FOR508:Advanced Digital Forensics,Incident Response,and Threat Hunting
     フォレンジックの達人たちも大絶賛!
     フォレンジックトレーニングの最高峰がまた東京に

◆FOR572:Advanced Network Forensics and Analysis ★日本初開催★
     あなたのフォレンジック知識をネットワークへ
     効率的で効果的な事後インシデント対応調査のために必要な
     最もクリティカルなスキルを網羅しているコースです

◆SEC566:Implementing and Auditing
       the Critical Security Controls In-Depth
     Critical Security Controlsを真に理解するならこのコース
     CSCの実装や監査に必要となるツールやテクニックを習得できます

━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━
また、2018年2月にも8コース程開催予定です。今からご検討ください。
https://sans-japan.jp/secure_japan2018/index.html
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛
◆ US-CERT が北朝鮮の Hidden Cobraボットネットインフラに関する技術的な詳細を提供 (2017.8.25)
今年の初夏に、FBI と米国土安全保障省(DHS) が共同で注意喚起を発行した。その内容は、北朝鮮が Hidden Cobra と呼ばれるボットネットのインフラストラクチャーを使用し、世界中のメディア、航空宇宙、金融機関及び重要インフラのシステムに対し DDoS 攻撃を行ったというもの。US-CERT から最近出された注意喚起では、Hidden Cobra の「ツールとインフラストラクチャーに関する技術的な詳細」 が提供されている。マルウエアは、古いバージョンの Adobe FlashやMicrosoft Silverlight を経由して感染が拡大する恐れがあるとしている。

https://fcw.com/articles/2017/08/24/north-korea-botnet-rockwell.aspx
https://www.us-cert.gov/ncas/alerts/TA17-164A

【編集者メモ】(Northcutt)
TA17-164A は、これまでで一番活用できるCERTのアドバイザリだろう。技術者でなくても、一度読んでみて、技術者にガイダンスが実装されているか確認してもらうといいだろう。もし、「これは該当しない」と言われたら「組織内で Adobe Flashまたは Microsoft Silverlight を利用している・したことがあるか?」 と聞いてみてほしい。CERT/FBIは、重要な情報と取り掛かりとして利用できる署名のセットを提供してくれた。次のステップは、これらを実装することである。

◆ AccuWeather App がアップデート後もユーザデータを共有 (2017.8.25)
AccuWeather は、広告会社にユーザデータを共有していたとして批判されたことがある。それを受けて AccuWeather は、許可なくユーザの位置情報を収集し Reveal Mobile に共有する機能を削除したというが、 AccuWeather は未だに位置情報を共有している疑惑が浮上している。これらの情報は、表向きには、ユーザに対して位置に対し正確な天候情報を提供することを目的に収集されており、別の広告会社と共有している可能性がある。

http://www.zdnet.com/article/accuweather-still-shares-precise-location-with-advertisers-tests-reveal/
http://news.softpedia.com/news/accuweather-still-sharing-user-data-without-consent-despite-update-517514.shtml

【編集者メモ】(Murray)
AccuWeather による誠実さに欠ける謝罪は、アプリを削除する理由になるはずである。
【編集者メモ】(Northcutt)
Softpedia の記事は読みづらいが、下の方へ行き、Update 2を読んで見てほしい。アップデートに関しては ZDNet が一番である。 この状況で言えるのは、別の天気情報アプリを使い、家族や知人にも伝えることを推奨するということである。

◆ FDA がペースメーカーのパッチを承認、Abbott/St.Jude 社製医療機器のリコールを発表 (2017.8.30)
米食品医薬品局(FDA) は、いくつかのセキュリティ問題に対処するため、ファームウェアのアップデートが必要であることを理由として、45万台以上のペースメーカーのリコールを発表した。このリコールは、Abbott 社 (旧 St.Jude Medical社)が製造、提供するペースメーカーの一部モデルが対象となっている。患者は、かかりつけの医師を訪問し、機器をバックアップモードにしてアップデートをインストールする必要がある。これらの問題が悪用されることで、脆弱な機器への不正アクセスやペースメーカーの設定と機能を変更するコマンドが実行されるなどの可能性があるという。

https://www.bleepingcomputer.com/news/security/welcome-to-2017-pacemaker-patients-told-to-visit-doctors-to-receive-security-patches/
https://www.scmagazine.com/abbott-laboratories-securing-vulnerable-pacemakers-with-firmware-and-software-updates/article/685215/
http://www.zdnet.com/article/fda-forces-st-jude-pacemaker-recall-to-patch-security-vulnerabilities/
https://arstechnica.com/information-technology/2017/08/465k-patients-need-a-firmware-update-to-prevent-serious-pacemaker-hacks/
https://www.darkreading.com/iot/st-jude-pacemaker-gets-firmware-update-intended-as-a-recall-/d/d-id/1329769
https://www.fda.gov/MedicalDevices/Safety/AlertsandNotices/ucm573669.htm
https://ics-cert.us-cert.gov/advisories/ICSMA-17-241-01

【編集者メモ】(Neely)
ペースメーカーは、これまで RF 信号を使って制御・管理されてきたため、有効距離は数インチというオーダーである。これらの脆弱性を悪用するためには、攻撃者はペースメーカーから非常に近い距離 (50フィート以内) にいる必要があるし、公開されている攻撃コードは現在までのところ存在しないようだ。ファームウエアのアップデートでは、認証機能に関する脆弱性と機微なデータの暗号化に関する問題を修正している。Abbott Laboratories の情報によると、ファームウエアアップデートに関するリスクが詳しく書かれており、患者は医師に相談した上でアップデートの判断をするよう推奨している。IoT 機器に対し、アップデートを適用する難しさを浮き彫りにする事例で、特に医療機器に対して、製品を素早く提供するプレッシャーを受けながら、高度なセキュリティや SDLC の実装の必要性を訴えている。
【編集者メモ】(Northcutt)
Abbott社は、医療機器の分野においてリーダーでありたいと表明しているが、今回のことを意味していた訳ではないと思う。これらの脆弱性は、Muddy Watersによって一年前に公開されたものであり、当時 St.Jude / Abbott は「事実ではない、誤解を招く」としたものでもある。Roger Grimes が執筆した CSO Online の記事は、公開されるパッチのうち25%は適用されないとしている。-- これは「アメリカだけでも 11万 6千もの心臓」に該当するという。

http://abbott.mediaroom.com/2017-01-04-Abbott-Completes-the-Acquisition-of-St-Jude-Medical
http://www.csoonline.com/article/3025807/data-protection/why-patching-is-still-a-problem-and-how-to-fix-it.html

◆ DoDのサイバー人材の給与体系を変更 (2017.8.30)
国防総省(DoD) は、政府が才能あるサイバーセキュリティ人材を確保し、そして雇用し続けるために適用する新たな規制を公開した。今後政府機関が Cyber Excepted Service (CES) のポジションで人を雇いたい場合、通常の (制限された) 手段ではなく、「法的に許されたあらゆる手段」を使って人材を探しても良いことになった。

https://federalnewsradio.com/dod-reporters-notebook-jared-serbu/2017/08/dod-issues-rules-setting-up-new-pay-personnel-system-for-cyber-workforce/
http://fedne.ws/uploads/JiD1mdkwCP

【編集者メモ】(Northcutt / Paller)
作るのは時間がかかったのだろう。詳細は 2016年8月に公開されている。そして、これが適用される最初の 3,000人は、新規採用者ではなく、転職者であり、この変更は身辺調査に重点を置いていると考える。

https://federalnewsradio.com/defense/2017/06/pentagon-nearly-ready-to-implement-new-personnel-system-for-cyber-workforce/
https://federalnewsradio.com/dod-reporters-notebook-jared-serbu/2016/08/dod-targets-3000-civilian-workers-for-new-cyber-excepted-service/

◆ サイバーの観点から DHS サプライチェーンのリスク管理を強化 (2017.8.30)
米国土安全保障省は、CDM(continuous diagnostic and mitigation) サプライチェーンリスク管理プランを更新した。政府機関が利用しているサイバーセキュリティ製品がどこから来ているかの懸念を払拭することを目的に更新が行われたという。

https://federalnewsradio.com/cybersecurity/2017/08/cyber-products-to-get-further-scrutiny-under-new-dhs-plan/
https://www.gsa.gov/portal/getMediaData?mediaId=167734

【編集者メモ】(Pescatore)
これは、YASAQ (Yet Another Self-Assessment Questionnaire:質問状) であるが、GSA/DHSがこれを行うことには賛成である。最初の二つの質問は:(1)「セキュアな開発のライフサイクルがあるか。ある場合には、ドキュメンテーションはどこにあるのか。」 、(2)「既知の脆弱性についてコンパイルされたコードをテストしているか。テストしている場合は、ドキュメンテーションはどこにあるのか。」となっている。購入される全てのソフトウエア (CDM のようなセキュリティソフトウエアだけではない)に関して、ベンダがこの二つの質問に対し 「はい。証拠はここにあります。」と答えられない場合は、そのソフトウエアは購入すべきではない。
【編集者メモ】(Henry)
様々な攻撃者たちは、サプライチェーンに対し攻撃を行うことで目的を果たそうとしてきた。特に国家は、アクセスを得るためにサプライチェーンを積極的に攻撃してきた。米国政府は、Comprehensive National Cybersecurity Initiative(CNCI)の下でこの脆弱性を発見し、対策するための取り組みを積極的に実装した。一部では成功を収めているが、この重大な脅威を対処するために、積極的に政府機関および民間企業と連携していかなければならないだろう。
【編集者メモ】(Murray)
設計と意向によりやることは比較的容易だが、製品が意図通り、そして宣伝された通りに動作し、悪意ある動作や隠された動作をしないことを監査だけで証明できるように設計、実装されている製品は少ない。このため「サプライチェーンのリスク管理」は非効率なのである。とはいえ、DHS の動きが効果的に政府機関内のリスクを軽減してくれることにより、我々は得するのである。

◆ 議員が個人情報漏えいを防ぐサービスの調査を要求 (2017.8.30)
米国議員は、個人情報が漏えいした後に提供されることが多いクレジット監視サービスに対し、さらなる調査を要求している。議員は、ジーン・ドダロ会計検査院長官に対し、2017年 3月に公開された GAOのレポート中で挙げられた問題を調査するよう要求した。挙げられた質問の中には:特定のクレジット監視サービスが他のサービスより優れているものがあるのか。クレジット監視が一番適切な対応なのか。データが漏えいしてしまった被害者を身元詐称から保護するためにできることは他にあるのか。といったものが並んでいる。

http://thehill.com/policy/cybersecurity/348605-watchdog-pressed-to-probe-post-breach-services
http://democrats-energycommerce.house.gov/sites/democrats.energycommerce.house.gov/files/GAO.2017.08.30.%20Letter%20re%20previous%20report%20and%20request%20on%20data%20breaches.DCCP_.OI_.pdf http://www.gao.gov/assets/690/683842.pdf

【編集者メモ】(Pescatore)
これらの質問はとても的を射ている。タイトルにある「・・・個人情報盗難サービス」と記事にある「クレジット監視サービス」の違いが問題を浮き彫りにしている。多くのサービスは、無料のクレジットに関するレポートや監視に関する公開されている情報を取りまとめたりしているだけで、「身元盗難保護」に関して追加の情報や価値を提供していないのだから。

◆ Android ブートローダーのコードに問題 (2017.9.2,4)
Android ブートローダーのファームウエアに含まれるセキュリティ上の問題が悪用 されることで、任意のコードが実行されたり、DoS 状態になる可能性があることが 明らかとなった。研究者によって、合計 7つの脆弱性が発見されたが、一つは既知 のものであり、他の 6つは新たに発見されたものである。ベンダはこの新たな 6つ の問題うち、5つを認めている。

http://www.zdnet.com/article/android-security-multiple-bootloader-bugs-found-in-major-chipset-vendors-code/
https://www.bleepingcomputer.com/news/security/vulnerabilities-discovered-in-mobile-bootloaders-of-major-vendors/

【編集者メモ】(Neely)
ブートローダーに含まれる脆弱性を悪用することは、安全でないカーネルを起動して、Android デバイスを Root 化する方法の1つだ。これは、ブートプロセスの各コンポーネントで、真正・信頼できるオペレーティングシステムを確実に動作することを検証する必要があるため重要である。ブートローダーに含まれる問題を発見するためのツールを開発したと同時に、開発者は製造者が適用できる対策も準備した。これらの対策はブートローダーに含まれる問題を悪用された際の影響を軽減するものであり、ブートローダーがアクセスする領域を保護したり、デバイスのセキュリティ状態が変更された際にはユーザデータをアンロックしたりしないなどが挙げられている。これらの問題が発見されたことで、製造者は、問題を修正し、市場に出ているデバイスに対して修正を提供する必要がある。
【編集者メモ】(Northcutt)
この情報は、まだ序盤であり、不完全なものである。Android ベースの製品を出荷し、販売している企業でセキュリティ担当として従事しているのならば、これらの記事と論文を読み、チームメンバーに内容を伝えるべきだろう。その他には、Boot Stomp と呼ばれるツールがあり、「Chain of Trust」を介して安全な起動を検証するといった、とても難しいタスクを監視することに役立つはずだ。今後、数週間のうちにさらなるフォローアップが行われると考えられる。
https://www.usenix.org/system/files/conference/usenixsecurity17/sec17-redini.pdf

◆ 軍隊と諜報機関への求職データが漏えい (2017.9.2,4)
ノースカロライナ州の民間セキュリティ企業 TigerSwan 社が、 保有する米軍と諜 報機関への求職に関する情報が公開されており、誤った設定をしたサーバからダウ ンロード可能な状態になっていたことが明らかとなった。同社は、応募の処理を請 け負っていた TalentPen 社が原因としている。この情報は、2009 年にもさかのぼ ることができるという。

http://thehill.com/policy/cybersecurity/349018-recruiter-allegedly-left-military-contractor-resumes-online-unsecure
http://www.theregister.co.uk/2017/09/04/us_security_clearance_aws_breach/
http://gizmodo.com/thousands-of-job-applicants-citing-top-secret-us-govern-1798733354?IR=T

【編集者メモ】(Neely)
サードパーティに求めるデータ保護の要件には、制御やデータ処理のプロセスを検証することも必要である。これは、サイバー保険を契約するだけでは足りない。本件の場合、TalentPen 社が解散したと同時に、データへのアクセスを保護する認証情報も無くなっている。S3は、デフォルト設定において匿名のアクセスを許可していない。そのため、何者かによって、このデータの性質を知らずに、保護するための認証情報が削除されたことを意味する。アウトソースした機能が社内でデータを保管、処理していることを前提として考えるのは安全ではない。プロセスを定期的にレビューし、監視する必要があるだろう。この中で、契約や要件の更新を必要に応じて行い、データを保護する上で必要事項が含まれるようにしていただきたい。
【編集者メモ】(Northcutt)
これは、WikiLeaks 級の漏えいである。とても影響が大きく、漏えい事件が発生した後にやってはいけないことを記した事例になってしまった。TalentPen 社に原因があったと仮定すると、信頼できるサードパーティのサイバーセキュリティリスクに関する良いリマインダとなったであろう。

https://www.darkreading.com/vulnerabilities---threats/3-golden-rules-for-managing-third-party-security-risk-/a/d-id/1326798
http://www.securitymagazine.com/articles/87025-steps-to-mitigating-third-party-vendor-cybersecurity-threats

◆ 中国の新しいサイバーセキュリティ法(2017.9.1)
中国の新しい法律では、中国の国内で事業を展開している企業に対して、政府機関がソースコードや知的財産の開示請求できるようになっている。Recorded Futureが公開したホワイトペーパーには、この法律による影響や、法律の要件を満たすためにできることの提案がいくつか記載されている。

http://www.theregister.co.uk/2017/09/01/china_cybersecurity_law_analysis/
https://www.recordedfuture.com/china-cybersecurity-law/

【編集者メモ】(Pescatore)
最初に断りを:私は弁護士でないため、ほぼすべての法律が広範で、言葉の選び方が悪いように思える。その上で、二つのポイントがある:(1)この分析では、ソースコードなしでは、商用のソフトウエアに含まれる脆弱性は発見できないとしていること。しかし、Windows、Flash、Adobe とその他数千もの商用ソフトウエアにおいて第三者によって脆弱性は発見され続けられており、この考えを真っ向から否定している。(2)ソフトウエアを購入する全ての人は既知の脆弱性が無いか、コードを検査した証拠をもとめる「べき」である。このアプローチは、数年前にHuawei社(中国政府と繋がりがある中国企業)が、British Telecom のインフラ更新契約を勝ち取った時に英国が取ったものである -そして Huawei 社は合意している。ソフトウエアを販売する人は、売る人を選べる。そして買う人も、誰から買うかも選べるのだ。

◆ 米国送電網への侵入-Dragonflyハッキンググループ (2017.9.6)
Symantecのレポートによると、ハッカーが米国の送電網システムにアクセスしており、これらの攻撃を行ったのは、2011 年ごろから活動している Dragonfly と呼ばれるグループだという。一連の攻撃で Dragonflyは、一部のシステムに対し、操作できるアクセスを得ていた。これは、いつでも停電を引き起こすことができたことを意味している。

https://www.wired.com/story/hackers-gain-switch-flipping-access-to-us-power-systems/
http://www.theregister.co.uk/2017/09/06/energy_sector_attacks/
http://www.fifthdomain.com/critical-infrastructure/2017/09/07/resurgent-hackers-target-energy-sector/
https://www.symantec.com/connect/blogs/dragonfly-western-energy-sector-targeted-sophisticated-attack-group

【編集者メモ】(Assante)
これは、電力にフォーカスしたサイバーアクセスキャンペーンで侵入が成功したことを示す最初の信頼できる証拠である。この証拠の中には、侵入・足掛かりから攻撃者がシステム内を自由に動いて、行動をしていたことを示すものがいくつもある。Symantec によると、外部に送信されたファイルの中には、HMI (ICS ソフトウエアが動作しているワークステーションまたは機器) の画面キャプチャが含まれていた。SANS ICS Kill-Chain モデルを使って説明すると、多くの電力システム提供事業者は、ステージ1 サイバー侵入を許しており、攻撃者は(提供されている保護を回避して) システムからシステムへと移り、動作用の環境へと移動していただろう。これだけでは、直ちに妨害や電力供給へ影響が与えられるわけではない。攻撃者は、情報収集が目的であることもある。しかし、この情報があることで、システムを攻撃するためのツールを作成できるようになる (ウクライナで起きたのは、このようなことだろう) ことがある。10年前から北米の送電網は、サイバーセキュリティや操作の信頼性を向上させるための対策を取ってきているが、アセットオーナーや操作者が複雑な制御システムの環境を有能な攻撃者から守ることは依然として難しいのである。SANSの専門家は、これらの問題と直面しながら、電力業界にいる生徒たちに対し、動作環境内でのサイバーセキュリティの基本や動作の信頼性を保ちながら NERC CIP 規制を実装する方法を教えている。SANS ICS456 で電力システムのサイバーオペレータと一緒に勉強してはどうだろうか。
【編集者メモ】(Henry)
これは特段驚くことでも無く、新しい発見でも無い。米国政府は、このような事象に関して複数のレポートを公開しており、2014年12月に発行された DHSの注意喚起では詳細について触れており、活動が2011年にも遡ることを記載している。驚くべきなのは、この事象に関してメディアが取り上げていないことであり、直ちに対策が必要であるという切迫感が無いことの方である。この問題は、停電が起きてから対策するのでは遅いのである。
【編集者メモ】(Murray)
電力システムは、経済の弱点である。どんなに良くても不安定であり、変化する供給と負荷、いずれ発生するコンポーネントの故障に対応するため、継続した監視と制御が必要である。これらの制御機能が公開されているネットワークに接続されているのは、送電網を効率よく運用するために必要だが、同時に送電網に関するインテリジェンスが漏えいするリスクがあり、悪用される可能性が出てくる。これらの制御に対する攻撃や侵入、そして悪用されないために守る方法は、DHS の最大のプライオリティであるべきであり、存在意義を示せる。さらには、送電網が現代化される中、制御の悪用に対する耐性はプライオリティにするべきであろう(Cassandraに同情する)。

◆ Equifaxのデータ漏えいが1億4300万人に影響;経営陣は情報公開前に株を売却したのか? (2017.9.7)
米国の信用調査会社である Equifax が 1億 4300万人に影響を与える情報漏えいがあったことを公表した。漏えいしたデータの中には、ソーシャルセキュリティ番号(SSN)、生年月日や運転免許証などが含まれていた。また、20 万人分のクレジットカード番号も漏えいした。Equifax は、 7月下旬に漏えいを検知し、フォレンジック会社を雇いインシデントを調査した。最新のレポートでは、漏えいに関する情報を公開する前に上級管理者が 1,800万ドルもの株を売却したとされている。

http://www.reuters.com/article/us-equifax-cyber/equifax-reveals-hack-that-likely-exposed-data-of-143-million-customers-idUSKCN1BI2VK
https://www.bloomberg.com/news/articles/2017-09-07/three-equifax-executives-sold-stock-before-revealing-cyber-hack
http://thehill.com/policy/cybersecurity/349707-equifax-says-hackers-accessed-info-on-up-to-143-million-us-consumers
http://krebsonsecurity.com/2017/09/breach-at-equifax-may-impact-143m-americans/
https://www.equifaxsecurity2017.com/

【編集者メモ】(Neely)
Joff Thyer氏によると、この漏えいは米国の成人のうち約 57%が影響を受けるとしている。Equifax は、影響を受けているか否かを確認するためのサイトを用意したが、SSN の下 6桁を必要としており、状況に変化が無いかを確認するために定期的なアクセスを推奨している。クレジットの監視とクレジットプロフィールの情報を保護するための対応を取る方が賢明だろう。
【編集者メモ】(Pescatore)
2017年は、2016年に比べ漏えいした情報の量が少ない年になりつつある中、漏えい事例が格段に増えている。これは、大規模な漏えいであり、放置されたウェブアプリケーションの脆弱性が原因である。つまり、先に述べた数に関する発言が変わってしまうということだが、一般的に認知されるべき問題だろう。セキュリティ管理者は、この件を利用し、ウェブに公開されているアプリケーションに含まれる脆弱性を減らすよう努力すべきだ。まず手始めとして、アプリケーションに対する、セキュリティテスト/ペネトレーションテストを実施すべきである。
【編集者メモ】(Murray)
この漏えいは別格であり、この組織団体と問題あるビジネス手法を管轄する法的機関を交えた政府によるヒアリングを実施すべきである。漏えいしたデータの性質だけが問題ではなく、それらのデータを組み合わせた時の性質が問題なのである。政府によってこのような組織を制裁するのであれば、責任を負う必要がある。信用調査会社が OPMなどを含む漏えいの被害者から儲けを得るのは何とも皮肉である。データ漏えいの被害に遭った人たちに、Equifax が何を提供するか楽しみである。
【編集者メモ】(Williams)
今後、特効薬と呼ばれるソリューションを提供しようとするベンダに気を付けるべきである。NDA を結んでいる組織以外は、今回の漏えいの本当の規模や詳細を知らないのだ。これは、漏えいを防ぐ対策も含めてである。さらに、現在でも Equifaxにセキュリティ問題があることが分かっている。Equifax のウェブサイトは、エラーが発生するたびにスタックトレースを出力してくれるが、これは、例外が処理されていない (理想ではない状況) ことを意味しており、スタックトレースは攻撃者に対し、アプリケーションに関する情報を与えることで攻撃する機会を与えている。Equifax のウェブサイトに存在する XSSの脆弱性があることが一年以上前に報告され、修正されていないことも分かっている。
(http://www.openbugbounty.org/reports/141440/ - equifax.com Security Vulnerability)
この二つの事実から、「ウェブアプリケーションファイアウォール(WAF) が無い」または「設定に問題がある)のいずれかがであろう。興味深いのは、equihax.comという新しいドメインが2017年 9月 5日に登録された (漏えいに関する情報が一般に公開される前) あと、不特定の人物が 9月15日に 600 BTC (2,700万ドル)の身代金を要求するランサムメッセージを公開している。この人物は、漏えいの真実をデータサンプルで示すとしており、身代金の支払いが無ければ、データベース全体を公開するとしている。

◆ Time Warner Cable でデータ漏えい (2017.9.5)
Time Warner Cable (TWC) 別名 Spectrum は顧客 400万人に関する情報が漏えいしたことを公表した。TWC のウェブアプリケーションを管理するサードパーティの契約事業者が、AWS S3のストレージの一部をインターネットからアクセス可能な状態にしていたという。先週も、類似の報告があり、その報告では TigerSwan社が契約している事業者が AWS S3 サーバに保管されている軍関係者のデータを一般に公開していたことが明らかとなっている。

https://www.scmagazine.com/data-breach-exposes-about-4-million-time-warner-customer-records/article/686592/
http://www.theregister.co.uk/2017/09/05/twc_loses_4m_customer_records/

【編集者メモ】(Neely)
Amazon IDPを理解するのは大変である。データセンター内にサービスが存在していた場合は、ACL で制限を緩めたり止めたりすることは、サービスを提供する上で許容できるリスクであった。また、S3 ストレージは、AWS VPC内からアクセスされると誤解されている。サービス管理者は、まだこの環境に慣れていないようだ。慣れるまで、このようなS3に関連したインシデント情報が公開されるだろう。AWS S3の設定を定期的に見直すことでリスクを軽減することが可能だと思う。

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃ セキュアEggs「情報セキュリティの「たまご」を育てます!」
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 セキュアEgg シリーズは、これから情報セキュリティを本格的に学ぶ方を対象
 としたコース群で、文字どおり「たまご」の意味をもった基礎的な内容を網羅
 した研修プログラムです。ペンテスターやフォレンジックアナリスト、インシ
 デントハンドラーなどのエキスパートとして、情報セキュリティの最前線で活
 躍するために必要な基礎的スキルを演習中心に短時間で効果的に習得できるよ
 うに設計されています。
http://www.nri-secure.co.jp/service/learning/secureeggs.html

 システム開発や運用などの業務に携わる方々にとっても、情報セキュリティの
 要素をご自身のスキルに加えていただく絶好のカリキュラムです。通常パック
 の他にも、実践!サイバーセキュリティ演習 for Eggsもご用意しております。

 ・セキュアEggs(IT+セキュリティ基礎)
2018年1月22日(月)-23日(火)

 ・セキュアEggs(フォレンジック)
2018年1月25日(木)
 ・セキュアEggs(インシデント対応)
2018年1月24日(水)
 ・セキュアEggs(Webアプリケーションセキュリティ)
2018年1月26日(金)
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃OUCH! 8月号「バックアップと復旧」について
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
パソコンやモバイルデバイスを使用していると、誤ってデータを削除してしまっ
たり、何かの拍子に故障して使えなくなってしまうことがあります。このような
時に、短時間で復旧できるのはバックアップしかありません。今月は、これらの
基本から解説するとともに、一般ユーザ向けに分かりやすく解説します。社員の
意識向上ツールとしてお使いください。
https://securingthehuman.sans.org/newsletters/ouch/issues/OUCH-201708_jp.pdf
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆ 国会議員が Equifax に関する公聴と調査を要求 (2017.9.8,11)
米下院の金融サービス委員会は、1億4300万人もの個人情報が漏えいした Equifax に関する公聴会を行うと発表した。タミー・ボールドウィン上院議員 (民主党 - ウィスコンシン州選出) は上院の商業委員会に公聴会の日取りを決めるよう要請し、テッド・リウ下院議員 (民主党 - カリフォルニア州選出) は、下院司法委員会で調査を行うよう要請している。

http://thehill.com/policy/cybersecurity/349838-week-ahead-lawmakers-alarmed-by-equifax-breach
http://thehill.com/policy/finance/349823-gop-chairman-to-hold-hearing-on-equifax-data-breach
http://thehill.com/policy/349799-rep-calls-for-judiciary-investigation-into-equifax

【編集者メモ】(Pescatore)
この大規模情報漏えいの顛末は見えている:CEO が連邦議会の前に立ち、経営層の解任や集団訴訟、セキュリティコンサルティング会社が儲かる、などだ。重要なのは、注目を浴びている間に CISO が自組織内の変革や真のセキュリティ改革を推進することである-経営層が次のニュースに気を取られる前に。Apach Strutsの脆弱性への対策など、アプリケーションのセキュリティが適切に確保できなかったことによって、今回の漏えいが発生した。その他にも基本的なセキュリティ対策がされていなかったことによって、発見までに 2か月かかってしまった。このような話題になった事件を利用して経営層のサポートを得るのは、ビジネス上において昔からの常とう手段である。
【編集者メモ】(Ranum)
馬が小屋から逃げた後に鍵をかけるのが良いだろう。そうすることで、馬が鍵をかける邪魔をしないから。

◆ バージニア州の選挙管理委員会が受領書を発行しない eVoting の認可を取り下げ (2017.9.8,11)
3人で構成されるバージニア州の選挙管理委員会が、紙の受領書を発行しない Direct Recording Electronic(DRE) タッチスクリーン式の投票機器の認可を取り下げることを投票で決めた。委員会は、現在利用している機器を 2か月後に予定されてい 11月 7日の選挙前にリプレースしたい、としている。

http://www.reuters.com/article/us-usa-cyber-election-virginia/virginia-halts-use-of-voting-machines-considered-vulnerable-to-hacking-idUSKCN1BJ2PY
http://www.theregister.co.uk/2017/09/11/virginia_to_scrap_touchscreen_voting_machines/
https://www.washingtonpost.com/local/virginia-bans-certain-voting-machines-over-hacking-concerns/2017/09/08/8687ff4e-94da-11e7-8482-8dc9a7af29f9_story.html?utm_term=.d758bf0fc403

【編集者メモ】(Williams)
これまで、電子投票機器のメーカーは、監査によってセキュリティが損なわれることを理由に、機器がセキュリティ研究者の手に渡らないようにしてきた。DEFCONで設置されたすべての電子投票機器は、数時間のうちに一つも残らずハッキングされた。技術を隠すことによるセキュリティは、セキュリティと呼べる場面もあるかもしれないが、重要インフラでは、明らかに何かが足りないのだ。
【編集者メモ】(Pescatore)
安全でない投票機器を製造し販売する企業は、収益が減って当然である。セキュリティを考慮せずに電子投票の機器を購入した州・自治体は、痛みを感じるべきだろう-安全でない医療機器を販売していた業界から機器を購入していた病院と同様に。しかし、米国内での投票の仕組みでは、市場やボトムアップによるアプローチは通じない。2017年1月に DHS が電子投票機器を重要インフラの一部として認めてからの進捗を連邦議会が調査していただきたい。
【編集者メモ】(Northcutt)
これらの機器に含まれる脆弱性に関する知見が増えることで、各州は「買い手はご用心」に基づいた決断を下すことができる。バージニア州には良いことである:
https://www.wired.com/story/voting-machine-hacks-defcon/
http://www.npr.org/2017/06/14/532824432/if-voting-machines-were-hacked-would-anyone-know

◆ ボッサート氏が攻撃的なサイバー攻撃には抑止効果は無いと語る (2017.9.8)
先週、ワシントンDC で行われた Intelligence & National Security Summit の基調講演で、安全保障・対テロ担当大統領補佐官のトム・ボッサート氏は「サイバー敵対国に対し、サイバー攻撃に抑止効果があるとは思えない」と語った。このスタンスに関しては、一部の元米国インテリジェンス当局者は賛同していないようである。

https://www.cyberscoop.com/tom-bossert-government-hacking/

【編集者メモ】(Murray)
これは新鮮だ!金銭、刑事処分や政治的制裁の方が、抑止効果が高いだろう。
【編集者メモ】(Williams)
攻撃的なサイバーオペレーションに関わったことがある者として、ボッサート氏の意見に 100% 賛同する。抑止効果においてアトリビューションは重要な要素であるが、サイバーの分野において適切なアトリビューションができていない。サイバー攻撃によって敵対者が影響を受けても、誰によって攻撃されたか分からないことには、今後のアクションに対する抑止効果を得ることはできない。また、その攻撃を行ったことを公開したところでさほど効果も得られない。なぜなら、攻撃に使用したツールと攻撃活動を結びつけ (利口ではない) 、他のところでアトリビューションが行われてしまう。それ以外だと、一度利用するためだけにツールを開発する必要があり、攻撃を行うコストが膨大に増えてしまうからだ。

◆ Equifax CEO が連邦議会の前で証言するために招待される (2017.9.13)
米下院のエネルギーおよび商業対策委員会は、Equifax の会長兼最高経営責任者である Richard F. Smith氏を 10月 3日に連邦議会の前で証言するために公式に招待した。他の委員会も Equifax 漏えいの件に関する公聴会を予定している。

https://www.cyberscoop.com/equifax-ceo-richard-smith-asked-to-testify-before-congress/?category_news=technology
http://thehill.com/policy/cybersecurity/350517-equifax-ceo-formally-called-to-testify-before-congress

【編集者メモ】(Pescatore)
「大規模な漏えい後に起きること」の中で、4つのうち3つをチェックできた。残るは経営層の解雇である。最後のフェーズは、「いいね」ボタンをひたすらクリックするのと一緒である-「スラックティビズム」と前向きな行動が無い。この件で発生している話題を、読者は有効活用して経営層のサポート獲得し、必要な改革を行ってほしい。
【編集者メモ】(Murray)
この件が、不運な経営者を単に公で辱めるだけで終わらないことを祈っている。この業界は、意図せずに公正信用報告法の賜物となってしまっている。伝聞証拠を多用し、中傷などは行わないが、制御や保護機能が無い。米国消費者のアイデンティティ、属性情報やプライバシーに関して許容しきれないリスクになっている。この法律には改定が必要であり、この改定が今回のヒアリングの根本となるべきである。
【編集者メモ】(Northcutt)
国民が信用報告書を差し止めするにあたり、問題に直面していることについても話すべきである。多くのセキュリティ専門家が推奨しているが、クレジットのブローカーが圧倒されてしまっている。諦めずに、トライし続けて、問題があった場合は当選した議員に報告していただきたい。
https://www.usatoday.com/story/money/2017/09/13/equifax-data-breach-tried-freeze-my-credit-there-were-problems/663014001/

【ゲストエディタメモ】(Spitzner)
このインシデントに関して、組織内に伝えるためのメールテンプレートと情報は以下にある:
https://securingthehuman.sans.org/blog/2017/09/08/awareness-officers-what-to-communicate-about-the-equifax-hack

◆ いくつもの州が紙による投票に戻す (2017.9.11,13)
電子投票機器のセキュリティに関する問題が取り沙汰される中、米国のいくつかの州は、紙を使用した投票方式に戻している。バージニア州とアイオワ州は、電子投票と紙による投票の数を比較するための選挙後の監査要件を策定した。デラウェア州、ジョージア州、ルイジアナ州、ニュージャージー州とノースカロライナ州の 5つの州だけが、電子投票システムを活用している。今秋、ジョージア州では、紙による投票システムをパイロット運転する予定である。

http://www.govtech.com/security/Some-States-Return-to-Paper-Ballots-Following-2016-Election-Hacks.html
http://www.governing.com/topics/politics/tns-georgia-election-paper-ballots.html

【編集者メモ】(Neely)
紙に戻すことで、一時的に電子投票機器の脆弱性を取り除くことができ、いずれは脆弱性を対策するためのシステムへと移行することができるようになり、そのうえで現状の電子投票機器の成熟度を上げることができるだろう。また、すべての投票に関して紙の証拠が残り、電子リーダーの機能を使い、数えることができる。安全なペーパーレスな投票システムを完全に再導入するための条件を策定することが課題となると考えている。

◆ DHS が政府システム内で Kaspersky 製品の利用を禁止 (2017.9.13)
米国土安全保障省(DHS) は、BOD(binding operational directive)を発行し、すべての政府機関のシステム内でKaspersky Labの製品の利用を禁止した。政府機関は30日以内にすべてのシステムを特定し、そこから60日以内に削除するための計画を提出する必要がある。90日後には、それらの製品やサービスを削除していく必要がある。

https://www.dhs.gov/news/2017/09/13/dhs-statement-issuance-binding-operational-directive-17-01
http://www.zdnet.com/article/dhs-issues-directive-to-pull-government-use-of-kaspersky-lab-software/
https://arstechnica.com/tech-policy/2017/09/kaspersky-software-banned-from-us-government-agencies/
https://www.cnet.com/news/us-bans-kaspersky-software-from-government-agencies-trump-dhs-russia/
http://www.eweek.com/security/dhs-bans-federal-agencies-from-using-kaspersky-security-products
https://federalnewsradio.com/cybersecurity/2017/09/dhs-gives-agencies-90-days-to-remove-kaspersky-lab-it-from-networks/
https://fcw.com/articles/2017/09/13/kaspersky-ban-dhs.aspx
https://www.cyberscoop.com/eugene-kaspersky-speaks-out-us-government/?category_news=technology
http://www.nextgov.com/cybersecurity/2017/09/trump-administration-orders-russian-anti-virus-all-government-systems/140971/?oref=ng-channeltopstory
http://www.fifthdomain.com/civilian/dhs/2017/09/13/dhs-gives-agencies-90-days-to-purge-all-kaspersky-products/
https://www.bleepingcomputer.com/news/government/us-officially-bans-kaspersky-products-from-government-systems/

【編集者メモ】(Pescatore)
DHS が語るリスクは、Kaspersky の製品には無い。「Kaspersky 社役員の一部とロシアのインテリジェンスや政府機関との関係や、ロシアの法律でロシアのインテリジェンス機関が Kasperskyに、国内ネットワークで発生している通信を傍受するようリクエストすること」が可能であることなのである。多くの米国やイスラエルのセキュリティ製品やサービスを提供している企業も同様にそれぞれの国のインテリジェンス機関と関係を持っている。結論を言えば、この指令に左右されない政府機関は、ただちに Kaspersky 製品をリプレースしなくても平気だろう。

◆ Equifax社 の CIO および CSO が引退:Strutsの脆弱性の存在を知っていた(2017.9.15,16,17)
Equifax 社の経営幹部である最高情報責任者(CIO) の David Webb 氏、および最高セキュリティ責任者(CSO) の Susan Mauldin 氏は、米国民 1.4億人、英国民 40万人の個人情報が漏えいした事件を受け、引退することが分かった。本件に関して、ウェブサイトに掲載された新たな情報の中で、同社は Apache Strutsに含まれる脆弱性の存在を知っていたことを認め、「セキュリティ組織は当時脆弱性の存在を知っており、社内のITインフラにある脆弱なシステムを特定し、パッチを適用するために動いていた」と語っている。

http://www.theregister.co.uk/2017/09/17/equifax_cio_and_cso_retire/
https://www.scmagazine.com/equifax-cso-cio-to-retire-post-breach/article/689209/
http://www.zdnet.com/article/equifax-cio-cso-step-down/
http://www.reuters.com/article/us-equifax-cyber-moves/equifax-two-top-technology-executives-leave-company-effective-immediately-idUSKCN1BQ2WN
https://www.equifaxsecurity2017.com/

【編集者メモ】(Pescatore)
役職名に「最高」(Chief) という文字が入っている仕事を受けて給料を貰っている以上、責任・権限・リスクも同時についてくるものである。多くの場合、パッチを適用するためには、ビジネスを一時的に止める必要があるが、NIST が CVSS Base Score を 10.0 (緊急) と評価し、SANS ISC も「直ちにパッチの適用を!」と攻撃が発覚する数か月前から語っていた脆弱性を対策しなかったのは、IT組織とITセキュリティ組織の重大な失敗である。多くの組織は、重要なビジネスアプリケーションをビジネスに大きな影響を与えることなくパッチを適用するための戦略がある-そして、その他の行動も与えられた権限と責任範囲の中で執り行っている。
【編集者メモ】(Murray)
製品に脆弱性が含まれていることを知っている。それは、その製品が、どのアプリケーションやシステムで利用されているかを知っている事とは別である。パッチを適用していなかったために、企業の生命線である「重要なデータ」が、危険に晒されることに気づくのが遅れてはならないということである。これは、単純なミスではなく、重大な管理ミスである。この幹部二人がデータ漏えいの直接の責任者かもしれないが、Smith CEO は対策が適切に取ることができなかったことに関してミスを犯している。彼にも説明責任を課すべきである。

◆ WSJ: Equifax社のデータ漏えいの裏側 (2017.9.18)
この記事では、Equifax 社で発生したデータ漏えいに関するタイムラインを詳しく記載している。その中で、侵入を発見した前後の組織のアクションも含まれている(素晴らしい記事だが、Wall Street Journal の記事は有料である)。

https://www.wsj.com/articles/weve-been-breached-inside-the-equifax-hack-1505693318

◆先駆者:海軍が事故を調査するにあたりサイバーも取り込み (2017.9.14,15)
ジャン・ティーグ海軍中将は、先週行われた戦略国際問題研究所 (CSIS) の海洋分野イベントである Cyber Warfare において、最近発生した海軍の船舶事故 2件は、サイバー攻撃によるものではないと述べた。しかし、メディアでは、サイバー攻撃が事故に関係している可能性があるとしていたため、海軍は調査を行うためのチームを派遣している。これらのチームは「今後、このような調査においてサイバーセキュリティも通常の調査にどのようにして組み込むか」を決めるとしている。ティーグ海軍中将は、海軍作戦本部・情報戦の副長官兼海軍インテリジェンスの長官と務めている。

http://www.nextgov.com/defense/2017/09/future-navy-accident-investigations-will-look-cyber-attacks/141025/
https://www.csis.org/events/cyber-warfare-maritime-domain

【編集者メモ】(Assante)
海軍は、グリーナート元海軍作戦部長、リチャードソン元海軍作戦部長とティーグ海軍中将は、海域管理における将来的なサイバーの重要性を深く理解している。私の同僚でリスペクトしている海軍士官は、サイバーはオペレーションを滅茶苦茶にするか、あるいは複雑で高度に自動化された海洋環境における不可欠な存在のいずれかになるだろうと語っている。北米電力信頼度協議会 (NERC) の初の細工セキュリティ責任者 (CSO)をやっていた当初は、電力システムのイベント分析プロセスにサイバー調査の機能を統合することに苦労した。システムが正常に機能しなくなってしまった際に、サイバーが関与している可能性があることも鑑み、従来の事故調査の手順を変更(証拠の収集、分析など)する必要がある。海軍は、最近の悲劇と相次ぐインシデントに直面している中、先見の明と勇気を同時に示してくれている。
【編集者メモ】(Pescatore)
数年前に Steve Bellovin氏が 米国家運輸安全委員会の飛行機・電車・バス事故の調査と同じように、大規模なサイバー事故にもドキュメンテーションを残すプロセスも適用することを提案していた。これを実現するための一歩目として、事故の調査にサイバーの攻撃経路を含めることが挙げられる。

◆ FedEx社: NotPetyaによる影響で3億ドルの損失 (2017.9.20,21)
FedEx社は、NotPetyaマルウエアによる攻撃により、2018年度第一四半期で約3億ドルの損失を計上したと説明している。NotPetya は、ドイツの子会社である TNT Express のシステムで感染が確認されていた。Reuters によると FedEx は、攻撃による損害を軽減するためのサイバー保険に加入していなかったと報道している。

http://www.zdnet.com/article/notpetya-cyber-attack-on-tnt-express-cost-fedex-300m/
https://www.cyberscoop.com/fedex-attributes-300-million-loss-notpetya-attack/?category_news=technology
http://www.reuters.com/article/us-fedex-results/cyber-attack-hurricane-weigh-on-fedex-quarterly-profit-idUSKCN1BU2RG

【編集者メモ】(Honan)
興味深いことに Maersk社も似たような損失を報告している
https://www.cnbc.com/2017/08/16/maersk-says-notpetya-cyberattack-could-cost-300-million.html
【編集者メモ】(Assante)
NotPetyaは、素早く感染を拡大し、取り返しのつかないダメージを与えるよう設計されていた。このサイバー兵器は当初、特定の標的を攻撃するように送り込まれたが、その後に標的を選ばずに様々な組織へと感染を拡げた。これは、これまでの中で一番巻き添え被害の大きいサイバーインシデントだろう。適切に設計された復旧の機能がある組織でさえも多大な影響を受けた。どこでビジネスを展開していても、そして攻撃の標的となった組織と似たようなテクノロジーを持っているだけで、破壊的な攻撃を受けることがあることを、今回の NotPetya は証明したと言える。
【編集者メモ】(Pescatore)
このような数字が公開されると、上層部に対して既知のセキュリティ問題を対策しなければならないと納得させるためのデータとして使えるだけでなく、その中でインシデントを受けた後の被害額よりも対策を施す方が安いということも言える。
FedEx社は 2016年に TNT Express を 44億ドルで買収しており、TNT社の 2016年の利益は約1.5億ドルだったとされる。この数字から、FedEx社は、NotPetyaによってTNTの2年分の利益を失ったことになる。Windows SMB の脆弱性を 3月に修正するために TNTのオペレーションを一日止めていたら、700万ドルの収入、そして 35万ドルの利益を失ったことになる。これは、NotPetya による損失の 1%である。

◆ 顧客が Equifax 社のツイートから偽のサポートサイトへ誘導される(2017.9.20,21)
Equifax 社のツイッターアカウントから発信された多くのツイートは、顧客を情報漏えいに関するサイトではなく、偽のサイトへ誘導していた。現在これらのツイートは削除されている。この偽のサイトは、一目で分かるパロディであり、このサイトの作成者は、フィッシングサイトをいかに簡単に作れるかを証明するために作成したと語っている。Chrome、Firefoxおよび Safariは、このサイトをブラックリストに登録しており、サイトの作成者もサイトを削除している。

http://www.bbc.com/news/technology-41347467
https://arstechnica.com/information-technology/2017/09/equifax-directs-breach-victims-to-fake-notification-site/
https://www.cnet.com/news/equifax-twitter-fake-support-site-breach-victims/
https://www.nytimes.com/2017/09/20/business/equifax-fake-website.html

【編集者メモ】(Northcutt)
これには二つの重要な教訓がある。まず、Equifax 社だけがブランドを (ソーシャルメディアを通じて) 末端の従業員に託したりしているわけではなく、アウトソーシングしている組織も多いだろう。組織の中で、ツイッターアカウントのパスワードを知っている人が誰か特定してみてください。次に、データ漏えいに関して、予期せぬ攻撃経路について、Consumer Reportsから出ている記事を見つけた。これは興味深いと同時に少し切ないものである:
https://www.consumerreports.org/equifax/a-freeze-wont-help-with-all-equifax-breach-threats/
【編集者メモ】(Honan)
この Equifax社の件を通じて、業界として、被害組織側で攻撃を許してしまった問題に焦点をあてるのではなく、被害組織が利用しているセキュリティベンダや製品の問題に焦点を充てるべきではなかろうか。このような情報漏えいを飛行機事故と同じように調査していたら、パイロットを調査するだけでなく、すべてのコンポーネントを調査し、教訓を得て、再発が無いように対策が行われるだろう。

◆ EDGAR Filing System が攻撃を受けたことを SEC が認める (2017.9.20,21)
米証券取引委員会(SEC)は、EDGAR と呼ばれる企業データベースのシステムが 2016年に攻撃を受けていたことを認めた。Electronic Data Gathering, Analysis, and Retrieval (EDGAR) システムは「毎年 1.7 百万件の電子申告を受領、処理している」と SECは公表している。SEC は、2016年に盗まれた情報がインサイダー取引に使われているのではないか、としている。Reuters は、2017年 1月に米国土安全保障省(DHS) が SECのシステム内に重大なセキュリティ問題が 5つあることを発見している。これらの問題が 2016年の攻撃で悪用されたかは定かではない。

https://www.sec.gov/news/public-statement/statement-clayton-2017-09-20
http://www.reuters.com/article/us-sec-cyber-weaknesses-exclusive/exclusive-u-s-homeland-security-found-sec-had-critical-cyber-weaknesses-in-january-idUSKCN1BW27P
https://www.cyberscoop.com/sec-data-breach-insider-trading/?category_news=technology
https://federalnewsradio.com/cybersecurity/2017/09/sec-reveals-2016-hack-that-breached-its-filing-system/
http://www.zdnet.com/article/sec-admits-data-breach-suggests-insider-trading-was-the-key/
https://www.cnet.com/news/after-breach-sec-says-hackers-used-stolen-data-to-buy-stocks/
http://thehill.com/policy/cybersecurity/351681-hackers-breached-top-us-markets-regulator
https://www.nytimes.com/2017/09/20/business/sec-hacking-attack.html

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の無料セミナー・イベント        <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○10月5日札幌、10月20日名古屋、11月9日大阪、11月29日福岡
 情報セキュリティトップランナーが集結!! サイバー攻撃の動向と対策解
 ~メール・Webからのマルウェア感染への対策~
https://www.nri-secure.co.jp/seminar/2017/cyber01.html?xmid=300&xlinkid=01

○10月5日(木)、11月2日(木)、12月6日(水)
 事例から学ぶ特権ID・監査ログ管理実践セミナー
 ~クラウド時代に求められるアクセス管理を短期間・低コストで実現する方法とは~
https://www.nri-secure.co.jp/seminar/2017/ac04.html?xmid=300&xlinkid=02

○10月17日(火)、11月15日(水)、12月13日(水)
 分離・無害化技術によりマルウェアを100%防御する方法
 ~危険なWebサイトを自由に閲覧できるソリューションとは~
https://www.nri-secure.co.jp/seminar/2017/isolation02.html?xmid=300&xlinkid=03

○10月18日(水)、11月10日(金)、12月14日(木)
 場当たり的なセキュリティ対策からの脱却
 ~個別最適から全体最適への変換~
https://www.nri-secure.co.jp/seminar/2017/optimization01.html?xmid=300&xlinkid=04

○10月19日(木)
 SANS コミュニティナイトセッション
 - Security Operations Functional Areas/Linux Command-Line Dojo -
https://www.nri-secure.co.jp/seminar/2017/sans06.html?xmid=300&xlinkid=05

○10月24日(火)
 SANS コミュニティセッション in 大阪
https://www.nri-secure.co.jp/seminar/2017/sans05.html?xmid=300&xlinkid=06

○10月25日(水)
 SANS コミュニティナイトセッション - フォレンジック最前線 -
https://www.nri-secure.co.jp/seminar/2017/sans07.html?xmid=300&xlinkid=07

○11月8日(水)、12月7日(木)
 標的型メール攻撃から自社を守る具体的手段とは
 ~実際の攻撃防御をProofpointの実機で体験~
https://www.nri-secure.co.jp/seminar/2017/proofpoint02.html?xmid=300&xlinkid=08

○11月16日(木)、12月15日(金)
 ファイル交換・転送サービスの正しい選び方
 ~クラウドで業務効率・利便性とセキュリティを両立させるには~
https://www.nri-secure.co.jp/seminar/2017/file01.html?xmid=300&xlinkid=09

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃独自調査資料/脆弱性情報              <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○サイバーセキュリティ:傾向分析レポート2017
https://www.nri-secure.co.jp/security/report/2017/cstar.html?xmid=300&xlinkid=11

○NRIセキュア、特権アクセス管理の代表的グローバルベンダーとして
 ガートナー社レポートに掲載
https://www.nri-secure.co.jp/whats_new/2017/0929.html?xmid=300&xlinkid=12


NRI Secure SANS NewsBites 日本版は、米国の情報セキュリティの専門機関であるSANS Instituteが配信するコンテンツ (SANS NewsBites)をベースに、NRIセキュアテクノロジーズが編集してお届けしています。 世界中でこの1週間に起こったセキュリティのあらゆるトピックと専門家のコメントが掲載されています。原版は、およそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュースソースとして活用されています。組織のセキュリティ管理に関する参考情報としてお役立てください。掲載されている情報は、e-mailを介して自由に他の方に再送していただいて結構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望される方は、弊社ホームページの以下のページよりお申込みください。
https://www.nri-secure.co.jp/news_letter/

本ニュースレターは、メールマガジン配信を申し込まれた方、弊社からの情報を希望された方、SANS関連のイベントに参加された方、その他イベント等において弊社講演枠に登録された方に配信しています。
今後、配信をご希望されない方は会社名と御氏名を本文に明記のうえ、件名に【配信不要】、配信先変更をご希望の方は【配信先変更希望】とご記入頂き、新旧のご連絡先も記載のうえ、info@sans-japan.jpまでご返信をお願い致します。なお、情報の反映までにお時間を頂戴する場合がございます。