NRI Secure SANS NewsBites 日本版

Vol.12 No.28 2017年10月13日発行

■■SANS NewsBites Vol.19 No.078-079
(原版: 2017年10月3日、6日)


┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 申┃込┃受┃付┃中┃10月開催 SANSコミュニティセッションのご案内
 ━┛━┛━┛━┛━ -初大阪開催を含む全3セミナーのご紹介-

 ◇SANSコミュニティナイトセッション
   -Security Operations Functional Areas/Linux Command-Line Dojo-
 10月19日(木)/秋葉原UDX 4階Gallery Next3
 https://www.nri-secure.co.jp/seminar/2017/sans06.html

 ◇SANSコミュニティセッションin大阪
      -最新サイバー攻撃の傾向と、その対応策とは?-
 10月24日(火)/第二吉本ビルディング ヒルトンプラザウエスト
 https://www.nri-secure.co.jp/seminar/2017/sans05.html

 ◇SANSコミュニティナイトセッション
     - フォレンジック最前線 -
 ‘Cyber’ is the new black
… but what does an effective incident response act ually look like?-
Phil’s Tap House

10月25日(水)/秋葉原UDX 4階Gallery Next2
 https://www.nri-secure.co.jp/seminar/2017/sans07.html

┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛
 2018年2月にもSANSトレーニングを8コース程開催予定です。
 今からご検討ください。
 https://sans-japan.jp/secure_japan2018/index.html
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛
◆ Equifax の CEO が下院委員会に出席 (2017.9.29,10.3)
Equifax の Richard F. Smith 元 CEO は、2017年10月3日に開催される下院委員会の 電子商取引・消費者保護部門のエネルギー・商業委員会に出席する予定である。
Smith 氏が準備している証言には、漏えいに至るまでの経緯と誤りに関する説明が含まれており、Apache Struts の脆弱性に対応しなかったことについても触れる予定とされている。

https://arstechnica.com/information-technology/2017/10/a-series-of-delays-and-major-errors-led-to-massive-equifax-breach/
https://www.cnet.com/news/equifax-ceo-data-breach-heres-what-went-wrong/
http://docs.house.gov/meetings/IF/IF17/20171003/106455/HHRG-115-IF17-Wstate-SmithR-20171003.pdf

【編集者メモ】(Pescatore)
私は、交通事故の現場とすれ違うたびに、自分が混雑している場面で左折しようとした時、あるいは運転しながら携帯操作を行おうと考えた時に思い出すことができるように、その場面を脳に焼き付けるようにしている。今回の Equifax「事故」は、同じように活用すべきである:(1)IT運用における基本設定や脆弱性対応管理などに関する姿勢の変更を促す、(2)(1)が発生するまでにパッチなどの対応が必要であるという教訓を得る、(3)特に(1)と(2)が発生していない場合において、重要なシステムに対し、継続した監視が必須であることの呼びかけ。の3つである。
【編集者メモ】(Murray)
政府と同様、クレジットの信用調査機関は、保護しきれない量の情報を保持してしまっている。この情報に対する責任を情報の対象者でなく、それらの情報を使って利益を得ている人たちに転嫁するべきだ。こうすることで、怠慢による事故が遭った場合に、説明責任が発生するだろう。
【編集者メモ】(Honan)
このセキュリティ事故が発生するまでの一連の出来事は、様々なテクニカルな問題だけでなく、人的ミスもあった。この件に関して公開されているレポートを読み、教訓を自組織内でも活用できるようにしておくと良いだろう。今、知りたいのは、Equifaxが使用していた脆弱性ツールが Apache Struts の脆弱性を検知しなかったのか?そして、同様のことが起きないように、ツールの設定やプロセスの変更をするなどの対応ができるようになりたいものである。

◆ 国防総省が、送電網に対する攻撃によって米軍に与える影響を評価する法案を提出 (2017.9.29,10.2)
米下院に提出された法案では、国防総省、国土安全保障省 (DHS)、米エネルギー省(DoE) と国家情報長官の連名で、送電網に存在するセキュリティリスクがあるかを特定し、送電網に対する攻撃が米軍に対し、どのような影響があるかを取りまとめるよう記載されている。Securing the Electric Grid to Protect Military Readiness Act of 2017 では、軍のインフラを送電網から隔離することで、発生する影響の取りまとめやリスクを軽減するための提案も含まれる必要があるとしている。

https://fcw.com/articles/2017/10/02/grid-protection-bill-johnson.aspx
http://thehill.com/policy/cybersecurity/353109-bill-would-require-pentagon-to-assess-security-risks-to-electric-grid
https://www.congress.gov/bill/115th-congress/house-bill/3855/text

【編集者メモ】(Assante)
国防総省 (DoD)も、ほとんどの企業と同じように、送電網からの継続した電力供給を必要としている (必要としている電力の供給に加え、自身で電力を発電する事を目的とした動きもあるが、送電網からの電力供給を頼りにするのは今後もしばらく続くだろう)。 1940年代の道路と同様に、電力は、攻撃と防御のいずれにおいても必要なのである。電力システムに対する攻撃がどのような影響を与えるかを理解することは、突然の攻撃への備えだけでなく、適切な計画を立てる意味で必要な事である。電力システムに対する攻撃を受けた際、適切な対応計画が無い事は、現代社会においてリスクであると同時に無責任と言ってもいいだろう。

◆ Google が Gmail アカウントに対し高度な保護を提供 (2017.10.2)
Googleは、強化されたメール保護プログラムを公開する予定であり、日ごろから注目されている人物や要人に対して売り込まれる予定である。 Advance Protection Program と呼ばれるこのプログラムは、米民主党全国委員会(DNC) のデータベース内容が漏えいしたきっかけであるフィッシング攻撃などの攻撃を防ぐことを目的としている。攻撃者は、アカウントへのアクセスを行うためには、物理的な USBキーを持っている必要がある。

http://www.zdnet.com/article/googles-new-gmail-security-if-youre-a-high-value-target-youll-use-physical-keys/

【編集者メモ】(Pescatore、Honan)
これは、ユーザが自宅で利用している個人向けのシステムの方が、会社で業務に使用しているWindows PCよりも安全であるトレンドが続いていることの証拠である。
USB と Near Field Communication 用のインターフェースを搭載している FIDO 認定の Secure Key が広く普及しており、PC や Android モバイル機器に対応しているからだ。 これらが、Bluetooth や IOS 機器に対応するようになったら、今よりもさらに価格は下げられるだろう。「日ごろから注目されている人物や要人」は、アクセス権を持っている全ての人物であるため、再利用可能なパスワードから離れなければならない。従業員を攻撃できないのであれば、IT や ITセキュリティの管理者から攻撃されるものである。
【編集者メモ】(Williams)
Google による、このサービスの追加は正解だと思っている。多くの人(私も含め)は、利用が簡単であることと、多機能であるために Gmail を活用している。Gmail が世界中のどこからでもアクセスできることを危険と感じているユーザも多い。
このサービスの唯一の欠点は、サードパーティアプリケーションのサポートが無くなってしまうことであるが、多くのユーザはほとんど影響を受けないだろう。これは、利便性とセキュリティを絶妙なバランスで保っており、私はこのサービスを利用するつもりだ。
【編集者メモ】(Neely)
物理的な鍵を利用した強い認証と Google の強化されたアンチフィッシング・アンチマルウエア保護は、ISP が提供するメールサービスのハードルを上げている。ユーザの検証だけではなく、ウェブサイトが正規のものであるかも検証しているからだ。 メモ:SSL Inspection を利用している場合は、正しく動作しない。これらのテクニカルな制御は、一歩前進ではあるが、適切なユーザ啓発トレーニングも同時に必要である。
【編集者メモ】(Northcutt)
このトピックに関する記事は、すべて以下のBloombergの記事を参考にしている:
https://www.bloomberg.com/news/articles/2017-09-29/google-is-said-to-retool-user-security-in-wake-of-political-hack

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃ セキュアEggs「情報セキュリティの「たまご」を育てます!」
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 セキュアEgg シリーズは、これから情報セキュリティを本格的に学ぶ方を対象
 としたコース群で、文字どおり「たまご」の意味をもった基礎的な内容を網羅
 した研修プログラムです。ペンテスターやフォレンジックアナリスト、インシ
 デントハンドラーなどのエキスパートとして、情報セキュリティの最前線で活
 躍するために必要な基礎的スキルを演習中心に短時間で効果的に習得できるよ
 うに設計されています。
http://www.nri-secure.co.jp/service/learning/secureeggs.html


 システム開発や運用などの業務に携わる方々にとっても、情報セキュリティの
 要素をご自身のスキルに加えていただく絶好のカリキュラムです。通常パック
 の他にも、実践!サイバーセキュリティ演習 for Eggsもご用意しております。

 ・セキュアEggs(IT+セキュリティ基礎)
2018年1月22日(月)-23日(火)

 ・セキュアEggs(フォレンジック)
2018年1月25日(木)
 ・セキュアEggs(インシデント対応)
2018年1月24日(水)
 ・セキュアEggs(Webアプリケーションセキュリティ)
2018年1月26日(金)
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃OUCH! 10月号「他者を安全にする手助けをするために」について
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
多くの人がパソコンやインターネットによる恩恵を享受していますが、これらの
技術を使うことに抵抗を感じている人も存在します。攻撃者は、このような方を
標的にしてサイバー攻撃をしかけている側面もあるため、これらの方に対してサ
イバーでのセキュリティと、現実世界での安全を保つことは同じことだという手
助けをしてあげれば、とても単純なことだと納得してくれるはずです。今月は、
5つの簡単なステップをご紹介するとともに、一般ユーザ向けに分かりやすく解
説します。社員の意識向上ツールとしてお使いください。
https://securingthehuman.sans.org/newsletters/ouch/issues/OUCH-201710_jp.pdf
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆ Equifax の元 CEO がソフトウエアアップデートが適用されなかった原因を従業員の責任に (2017.10.3,4)
今週のはじめ、Equifax の元CEOである Richard Smith 氏は、米国会議員に対し、情報漏えいは、ソフトウエアに対するセキュリティアップデートを適用しなかった従業員とアップデートを適用すべき脆弱性を一週間経過しても検知できなかったスキャナの責任であるとした。この従業員は、この大規模な情報漏えいが発表された数週間後に退職している。

http://www.theregister.co.uk/2017/10/04/sole_security_worker_at_fault_for_equifax_fail_says_former_ceo/
https://www.cnet.com/news/equifax-ex-ceo-blames-breach-on-one-person-and-a-bad-scanner/
http://thehill.com/policy/technology/353910-former-equifax-ceo-employee-responsible-for-patching-software-has-stepped

【編集者メモ】(Assante、その他数名のエディタ)
申し訳ないが、誰か一人の失敗だけで、このような問題は起きない。すべてのセキュリティプログラムは、人的ミス(一番脆弱性が発生するところはここである)が発生する前提で設計されており、テクノロジーに関するプロセスは、この前提を基に検証を必須とし、冗長化された制御も必要である。絶対に上手くいくはずがないものだが、この CEOは「Equifax は、すべての重要情報-すべての個人情報(PII) を一人の人物に託し、24時間365日保護するよう要求した」と語るべきだったのだ。
【編集者メモ】(Pescatore)
漏えいを発見するまでの期間が長かったことや、スキャナに「問題」があったことをすぐに発見できなかったことは、多くの人によるミスである。
【編集者メモ】(Neely)
週次スキャンと月次のパッチ適用は、今や通常の運用である。規制上の要件では、期間を指定いないが、リスクを鑑みた上でスケジュールを実装し、検証すべきである。スケジュールが少ないほど、一貫性を生みやすいだろう。

◆ Yahoo アカウント、30億すべてが2013年にハッキングされていた (2017.10.3)
Yahoo は、2013年の大規模な情報漏えいでは、30億すべてのアカウントが影響を受けたと発表した。Yahooは、当初 10億アカウントしか影響受けなかったとしていた。昨年秋、Yahoo は第二の漏えいを発表しており、これは 2014年に発生、5億アカウントが影響を受けたという。

https://www.wired.com/story/yahoo-breach-three-billion-accounts/
http://arstechnica.com/information-technology/2017/10/yahoo-says-all-3-billion-accounts-were-compromised-in-2013-hack/

【編集者メモ】(Williams)
ここでのカギは、数字が「いくつかのアカウント」から「すべてのアカウント」に変更されたことである。この数字を誤って発表してしまったこと (その間、多くのユーザが脆弱なままであった) によるYahoo の評判への影響は、攻撃を受けたことそのものよりも大きいだろう。
【編集者メモ】(Neely)
認証情報が漏えいしてしまったことを次の漏えいが発生するまで知らない、ということは無いようにしよう。複数のサービスで同じパスワードを使いまわしていないか、確認するタイミングとしては恰好だろう。長いパスフレーズの設定、サポートされているサービスにおいて多要素認証の有効化、パスワードマネージャの活用などが対策として上げられる。自分に問いてみてください:「昔から使用している」パスワードを引退させるべきか?パスワードの終わりにスペースを入れたりすることは有効かもしれない。これらは、Ed Skoudisによるとパスワードクラッカーによって発見されない可能性があるとのこと。

◆ Kasperskyが、ハッカーによってKaspersky AVを使って NSAのファイルを窃取した疑いを否定 (2017.10.5)
Wall Street Journal の報道によると、ロシア政府のために働いているハッカーは、米国政府が他国のコンピュータネットワークに侵入するための手法と、自国のネットワークを攻撃から守る手法に関する情報を盗んだとしている。この報道では、これらの情報を National Security Agency (NSA) の契約事業者が自宅のパソコンに情報を保存した際に、ハッカーが情報にアクセスできたとしている。情報源によると、ドキュメントの特定に Kasperskyのアンチウイルスソフトウエアが利用されたという。Kaspersky はメールによる証言で「Kaspersky Labs は、2017年10月5日に Wall Street Journal に掲載された疑いに関して、Kaspersky Labs が関与していた証拠を受け取っていない。また、報道では弊社が非難されていることを残念に思う」としている。 (Wall Street Journal の記事は、有料会員しか閲覧できないことに注意)

https://www.darkreading.com/cloud/russian-hackers-pilfered-data-from-nsa-contractors-home-computer-report/d/d-id/1330056
https://arstechnica.com/information-technology/2017/10/the-cases-for-and-against-claims-kaspersky-helped-steal-secret-nsa-secrets/
http://www.zdnet.com/article/wsj-kaspersky-software-likely-used-in-russian-backed-nsa-breach/
https://www.wsj.com/articles/russian-hackers-stole-nsa-data-on-u-s-cyber-defense-1507222108

【編集者メモ】(Pescatore)
Kaspersky の製品に悪意ある挙動があるという証拠は未だに見つかっていない。このような証拠が見つかった場合には、スタンスを変えなければならない。しかし、契約事業者のPCが攻撃を受け、ハッカーの制御下にあり、Kaspersky の製品がドキュメントの「特定」に使われたならば、話が違う。引き続き詳細な情報が必要である。
【編集者メモ】(Williams)
この報道は事実に乏しく、行動に関して様々な見解がある。アンチウイルスは、ファイルをスキャンし、クラウド上のスキャン環境にファイルをアップロード (場合によっては、VirusTotalのような公開されているリポジトリにアップロードされる場合もある) する。悪意あるドキュメントは、高度なヒューリスティック分析が可能なクラウド上で頻繁に分析される。この契約事業者のパソコンがロシアのハッカーによって攻撃を受けたことに間違いは無いと思うが、Kaspersky がこの事象と直接結びついているのは、少し飛躍し過ぎだと思っている。
【編集者メモ】(Neely)
ここでの懸念は、インサイダーが機密な情報を持ち帰って自宅のパソコンに保存していることである。Snowden 事件以降、多くの省庁は、テクニカルと管理的なコントロールを実装し、機密情報が外に漏れないよう保護してきた。取り外し可能なメディアに関して制約は既にあるが、記憶媒体や出力装置は、利用やログの取得などに関して、より強い制約を課すことができるだろう。ここで一番難しいのは、データおよび承認されたメディアにアクセス可能なインサイダーに対する保護である。

◆ ロシアが NATO 隊員の個人携帯電話を攻撃している疑い (2017.10.4,5)
NATO(北大西洋条約機構) の軍隊および政府当局者は、ロシアの攻撃者が NATO隊員の個人用スマートフォンを攻撃の標的にしているとしている。今年、ポーランドにある NATO基地の指揮を執るようになった米陸軍中佐は、ロシアにある IPアドレスを使った何者かによって個人用 iPhone の紛失モードを有効にされ、他のセキュリティ機構を破ろうとしていたとしている。また、何者かによって、位置情報を追跡されていたという。いくつかのケースでは、電話からデータが盗まれたり、削除されたりしている。Wall Street Journal の記事は、有料会員しか閲覧できないことに注意)

https://www.engadget.com/2017/10/05/russia-hacks-nato-soldier-phones/
https://www.scmagazine.com/russians-hacked-smartphones-of-4000-nato-troops/article/698095/
https://www.wsj.com/articles/russia-targets-soldier-smartphones-western-officials-say-1507109402

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の無料セミナー・イベント        <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○10月17日(火)、11月15日(水)、12月13日(水)
 分離・無害化技術によりマルウェアを100%防御する方法
 ~危険なWebサイトを自由に閲覧できるソリューションとは~
https://www.nri-secure.co.jp/seminar/2017/isolation02.html?xmid=300&xlinkid=01

○10月18日(水)、11月10日(金)、12月14日(木)
 場当たり的なセキュリティ対策からの脱却
 ~個別最適から全体最適への変換~
https://www.nri-secure.co.jp/seminar/2017/optimization01.html?xmid=300&xlinkid=02

○10月19日(木)
 SANS コミュニティナイトセッション
 - Security Operations Functional Areas/Linux Command-Line Dojo -
https://www.nri-secure.co.jp/seminar/2017/sans06.html?xmid=300&xlinkid=03

○10月20日名古屋、11月9日大阪、11月29日福岡
 情報セキュリティトップランナーが集結!! サイバー攻撃の動向と対策解
 ~メール・Webからのマルウェア感染への対策~
https://www.nri-secure.co.jp/seminar/2017/cyber01.html?xmid=300&xlinkid=04

○10月24日(火)
 SANS コミュニティセッション in 大阪
https://www.nri-secure.co.jp/seminar/2017/sans05.html?xmid=300&xlinkid=05

○10月25日(水)
 SANS コミュニティナイトセッション - フォレンジック最前線 -
https://www.nri-secure.co.jp/seminar/2017/sans07.html?xmid=300&xlinkid=06

○11月2日(木)、12月6日(水)
 事例から学ぶ特権ID・監査ログ管理実践セミナー
 ~クラウド時代に求められるアクセス管理を短期間・低コストで実現する方法とは~
https://www.nri-secure.co.jp/seminar/2017/ac04.html?xmid=300&xlinkid=07

○11月8日(水)、12月7日(木)
 標的型メール攻撃から自社を守る具体的手段とは
 ~実際の攻撃防御をProofpointの実機で体験~
https://www.nri-secure.co.jp/seminar/2017/proofpoint02.html?xmid=300&xlinkid=08

○11月9日(木)、12月8日(金)
 Webサイトセキュリティ対策セミナー
 ~グローバルの最新脅威動向とWAF導入による防御効果を最大化する運用監視~
https://www.nri-secure.co.jp/seminar/2017/waf01.html?xmid=300&xlinkid=09

○11月16日(木)、12月15日(金)
 ファイル交換・転送サービスの正しい選び方
 ~クラウドで業務効率・利便性とセキュリティを両立させるには~
https://www.nri-secure.co.jp/seminar/2017/file01.html?xmid=300&xlinkid=10

○11月22日(水)
 独自調査から見えたサイバーセキュリティの傾向と対策
https://www.nri-secure.co.jp/seminar/2017/qualitysoft01.html?xmid=300&xlinkid=11

○12月14日(木)
 NRI 関西ITセキュリティーセミナー2017
 独自調査レポートから見るサイバーセキュリティ最新動向
https://www.nri-secure.co.jp/seminar/2017/1214.html?xmid=300&xlinkid=12

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃独自調査資料/脆弱性情報              <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○サイバーセキュリティ:傾向分析レポート2017
https://www.nri-secure.co.jp/security/report/2017/cstar.html?xmid=300&xlinkid=14

○NRIセキュア、特権アクセス管理の代表的グローバルベンダーとして
 ガートナー社レポートに掲載
https://www.nri-secure.co.jp/whats_new/2017/0929.html?xmid=300&xlinkid=15


NRI Secure SANS NewsBites 日本版は、米国の情報セキュリティの専門機関であるSANS Instituteが配信するコンテンツ (SANS NewsBites)をベースに、NRIセキュアテクノロジーズが編集してお届けしています。 世界中でこの1週間に起こったセキュリティのあらゆるトピックと専門家のコメントが掲載されています。原版は、およそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュースソースとして活用されています。組織のセキュリティ管理に関する参考情報としてお役立てください。掲載されている情報は、e-mailを介して自由に他の方に再送していただいて結構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望される方は、弊社ホームページの以下のページよりお申込みください。
https://www.nri-secure.co.jp/news_letter/

本ニュースレターは、メールマガジン配信を申し込まれた方、弊社からの情報を希望された方、SANS関連のイベントに参加された方、その他イベント等において弊社講演枠に登録された方に配信しています。
今後、配信をご希望されない方は会社名と御氏名を本文に明記のうえ、件名に【配信不要】、配信先変更をご希望の方は【配信先変更希望】とご記入頂き、新旧のご連絡先も記載のうえ、info@sans-japan.jpまでご返信をお願い致します。なお、情報の反映までにお時間を頂戴する場合がございます。