NRI Secure SANS NewsBites 日本版

Vol.12 No.29 2017年10月19日発行

■■SANS NewsBites Vol.19 No.080-081
(原版: 2017年10月10日、13 日)


┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 申┃込┃受┃付┃中┃10月開催 SANSコミュニティセッションのご案内
 ━┛━┛━┛━┛━ -初大阪開催を含むセミナーのご紹介-

 ◇SANSコミュニティセッションin大阪
      -最新サイバー攻撃の傾向と、その対応策とは?-
 10月24日(火)/第二吉本ビルディング ヒルトンプラザウエスト
 https://www.nri-secure.co.jp/seminar/2017/sans05.html

 ◇SANSコミュニティナイトセッション
     - フォレンジック最前線 -
 ‘Cyber’ is the new black
… but what does an effective incident response actually look like?
- Phil’s Tap House
10月25日(水)/秋葉原UDX 4階Gallery Next2
 https://www.nri-secure.co.jp/seminar/2017/sans07.html

┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛
 2018年2月にもSANSトレーニングを8コース程開催予定です。
 今からご検討ください。
 https://sans-japan.jp/secure_japan2018/index.html
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛
◆Equifaxが個人情報大量流出以前にも基本的なサイバーセキュリティ対策をしていなかったことが露呈 - 第三者機関調査 - (2017.9.26)
公開情報をもとに企業や団体のセキュリティ状態を評価している 4企業によると、 Equifax は個人情報大量流出前の数か月の間、すでにセキュリティの脆弱性を露呈 していた。(この記事は一部有料です)

https://www.wsj.com/articles/equifax-security-showed-signs-of-trouble-months-before-hack-1506437947

◆ミズーリ州が脆弱性発見するプログラムを開設 (2017.10.6)
米国ミズーリ州のOCS (Office of Cyber Security)は、州内の大学や政府機関、企業のシステムを調査し、対策されていない脆弱性を発見することで、手助けする取り組みを開始した。脆弱性が発見された企業や団体へ報告するための公開情報利用(The Using Public Data to Alert Organizations of Vulnerabilities) プログラムは、 (対策が公開されている) 既知の脆弱性を調査し、対策されていない脆弱性がある企業や団体に対して、発見された後に通知する仕組みである。2016年5月に、OCS は Windows Server 2003 (2015年 7月以降サポートされていない) を運用中のホストの存在を調査し、9,000のインスタンスを発見している。

https://gcn.com/articles/2017/10/06/missouri-public-data-vulnerability-program.aspx?admgarea=TC_SecCybersSec
https://cybersecurity.mo.gov/blog/2017/06/using-public-data-to-alert-missouri-entities-of-vulnerabilities/

【編集者メモ】(Pescatore) Censys や Shodan は、2015年頃以降このような脆弱性発見につながるデータへのアクセスを容易にしてきた。ミズーリ州が州内のシステムをより安全にするため、率先してこうしたデータを活用していることは喜ばしいことだ。

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃ セキュアEggs「情報セキュリティの「たまご」を育てます!」
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 セキュアEgg シリーズは、これから情報セキュリティを本格的に学ぶ方を対象
 としたコース群で、文字どおり「たまご」の意味をもった基礎的な内容を網羅
 した研修プログラムです。ペンテスターやフォレンジックアナリスト、インシ
 デントハンドラーなどのエキスパートとして、情報セキュリティの最前線で活
 躍するために必要な基礎的スキルを演習中心に短時間で効果的に習得できるよ
 うに設計されています。
http://www.nri-secure.co.jp/service/learning/secureeggs.html

 システム開発や運用などの業務に携わる方々にとっても、情報セキュリティの
 要素をご自身のスキルに加えていただく絶好のカリキュラムです。通常パック
 の他にも、実践!サイバーセキュリティ演習 for Eggsもご用意しております。

 ・セキュアEggs(IT+セキュリティ基礎)
2018年1月22日(月)-23日(火)

 ・セキュアEggs(フォレンジック)
2018年1月25日(木)
 ・セキュアEggs(インシデント対応)
2018年1月24日(水)
 ・セキュアEggs(Webアプリケーションセキュリティ)
2018年1月26日(金)
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃OUCH! 10月号「他者を安全にする手助けをするために」について
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
多くの人がパソコンやインターネットによる恩恵を享受していますが、これらの
技術を使うことに抵抗を感じている人も存在します。攻撃者は、このような方を
標的にしてサイバー攻撃をしかけている側面もあるため、これらの方に対してサ
イバーでのセキュリティと、現実世界での安全を保つことは同じことだという手
助けをしてあげれば、とても単純なことだと納得してくれるはずです。今月は、
5つの簡単なステップをご紹介するとともに、一般ユーザ向けに分かりやすく解
説します。社員の意識向上ツールとしてお使いください。
https://securingthehuman.sans.org/newsletters/ouch/issues/OUCH-201710_jp.pdf
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆ SECに対するマルウェア攻撃:避けられたはずのスプーフィング (2017.10.11 & 2017.10.12)
スピアフィッシング攻撃により米証券取引委員会 (SEC:Securities and Exchange Commission) のメールアドレスが盗聴された。詐欺メールは内部から送信されたように見えるが、攻撃者から送信されたもので、添付された悪意のある Word ドキュメントを介した DNSMessenger マルウェア展開を目的としていたと見られている。
(編注:人々が SEC を信用している(た)ことを考えると、これは重大な問題だ。今さらだが SEC が DMARC を実装していれば、一般市民や企業のシステムがマルウェアに感染することは避けられたはずだ。)

http://www.cyberscoop.com/cybercriminals-hijacked-government-server-send-sophisticated-malware-u-s-companies/?category_news=technology
http://www.zdnet.com/article/sec-spoofed-malware-hosted-on-us-govt-servers-in-new-dns-attack/
http://www.scmagazine.com/phishers-imitate-sec-abuse-microsoft-feature-to-distribute-dnsmessenger-malware/article/699918/

【編集者メモ】(Pescatore)
マイクロソフトが"特色"として扱っている動的データ交換 (DDE) の脆弱性に関する大きな問題だが、きっかけとなったフィッシングに焦点を当てたいと思う。DMARKやDKIM、SPFといったメール認証のアプローチは、フィッシングを阻止する上で非常に効果的だ。今年初めに発表された連邦取引委員会 (FTC) の報告書によると、33% の企業がすでに DMARC を実装しており、その 10% は受信拒否モード (reject mode)を採用している。 DMARC を監視モードで実装したり、早々に受信拒否モードへ移行したりしている場合における成功例の方が失敗例を大幅に上回っている中で、このSEC で発生した事故を事例に、適切な部門に呼びかけ DMARC のような技術への移行を働きかけるために協力を得るべきだろう。
【編集者メモ】(Paller)
もし DMARC をまだ実装していないのであれば、あなたは企業や団体内でヒーローになるチャンスを逸している。 DMARC はスプーフィング攻撃対策の大変革と言えることなのだ。DMARC に関する情報や低コストで運用可能なプログラムは、非営利団体Global Cyber Alliance (国際インターネット・セキュリティ組織 (CIS)の協力により、ニューヨーク州検察官 Cyrus Vance 氏とロンドン市警察の共同で設立された。
現在 12か国が参加している。) が提供しているものが最良だ。同団体はとても安価なサービスに加え、無料のセミナーを提供している。
同団体のサイトはこちら、(dmarcguide.globalcyberalliance.org)。 ドメイン名を入力し、DMARC のセットアップを始めるといいだろう。

◆ イスラエルによってロシア人ハッカー集団がスパイ目的でカスペルスキー製品を利用していたことを検知したと発表 (2017.10.10 & 2017.10.11)
イスラエルの諜報活動を行っている人たちが 2014 年にカスペルスキーのネットワークに侵入した際、ロシア人ハッカー集団が検索ツールとしてカスペルスキー製アンチウイルスソフトを利用していたことを発見したとされていた。イスラエルは、この件をアメリカの諜報機関に警告した。カスペルスキーは「政府によるサイバースパイ活動に助力したことはこれまで一度もないし、今後もすることはない。」という声明を発表している。米国家安全保障局(NSA) は、カスペルスキーのアンチウイルス製品が情報の取得に利用される可能性があることを認識しているとして、カスペルスキー製品の利用を政府機関内で禁止している。一報、ドイツの連邦情報セキュリティ庁(BSI) は、カスペルスキーが不審な行動をとった記録は無いとして、「カスペルスキー製品の利用禁止を呼びかける予定はない」と宣言している。

http://www.nytimes.com/2017/10/10/technology/kaspersky-lab-israel-russia-hacking.html
http://www.theregister.co.uk/2017/10/11/israel_russia_kaspersky/
http://www.reuters.com/article/us-usa-security-kaspersky-germany/germany-no-evidence-kaspersky-software-used-by-russians-for-hacks-idUSKBN1CG284

【編集者メモ】(Pescatore)
今のところ、この件に関して公開されている全ての記事、情報において「カスペルスキー製アンチウイルスソフト」を「アンチウイルスソフト全般」と置き換えて良いだろう。全てのアンチウイルスソフトは基本的にルートキットなのだ。もし、カスペルスキーやその他の製品が悪意のあるルートキットとして認知されたなら、その情報は一般に公開されるべきだ。
【編集者メモ】(Murray)
カスペルスキーは大打撃を受けている。ベンダーの排除でセキュリティを向上させたいのであれば、まずはカスペルスキーではなく、マイクロソフトとアドビから始めるべきではないか。
【編集者メモ】(Williams)
おそらくイスラエルの主張よりも気になるのは、CyberScoop(www.cyberscoop.com)による、カスペルスキーが顧客データへのアクセス権について取引を持ちかけたとする記事だろう。ニューヨーク・タイムズの記事による反論があったにも関わらず、カスペルスキーは顧客データを売ろうとしたという主張に関しては、沈黙を決め込んでいる。CyberScop の記事はニューヨーク・タイムズの記事の 12 時間以上前に発表された。カスペルスキーが記事の存在に気付いていることは間違いないだろう。イスラエルや CyberScoop の主張に対するカスペルスキーの沈黙は、むしろ非常に目立っている。

◆ IRSがEquifaxとの契約を一時的に休止 (2017.10.12)
米内国歳入庁(IRS) は 7,200万 USドルにおよぶ Equifax との契約を一時的に休止した。この契約は納税者の個人情報を検証することで詐欺を防止するすことを目的としていた (この契約は入札を経ずに契約されていた)。契約の一時休止は Equifax のウェブサイトがマルウェアを提供していたとするニュースを受けて、発表された。(下部の記事を参照)

http://www.politico.com/story/2017/10/12/irs-equifax-contract-suspended-243732
http://thehill.com/blogs/blog-briefing-room/355247-irs-suspends-equifax-contract-report

【編集者メモ】(Pescatore)
この見出しは経営陣や役員会にとって、安全なサプライチェーン戦略への賛同を働きかける材料として使える。Equifax は、ウェブサイトのパフォーマンスデータを収集していたサードパーティベンダーに対する適性調査に欠陥があり、結果として大きな代償を払い、恥をかいただけでなく損失、おそらくは将来の損失も ー を支払う結末となってしまっている。顧客に公開されたウェブサーバ上で動く全てのコードは、脆弱性や悪意ある挙動を示す可能性がないかテストを受けるべきだ。
【編集者メモ】(Murray)
このサービスはもはや使い物にならない。IRS が頼りにしていた情報は価値が無くなった。この情報は Equifax や当事者だけでなく、今や詐欺師も利用できない。
詐欺師がブラックマーケットで安価で手に入れることができる情報を利用するために、 IRS が Equifax に対してプレミアムパッケージの金額を払い続けるなんて、馬鹿げているではないか。Equifax の失態によって必然的に増加すると見られる還付金詐欺に対して、IRS が対策を講じてくれていることを願う。

◆ Equifax のウェブサイトがマルウェアを配布 (2017.10.12)
Equifax のヘルプページは利用者に対して 「Flashのアップデート」と称するファイルをダウンロードするよう呼びかけていたが、実のところそのファイルはアドウェアであった。ダウンロードをクリックすると利用者のコンピュータが感染する。
Equifax は、サードパーティであるデータ分析企業に原因があるとし、問題のコードを削除、該当のページの公開を停止したと発表している。

http://arstechnica.com/information-technology/2017/10/equifax-website-hacked-again-this-time-to-redirect-to-fake-flash-update/
http://krebsonsecurity.com/2017/10/equifax-credit-assistance-site-served-spyware/
http://www.cnet.com/news/watch-out-equifax-may-have-been-hacked-again-by-adware/
http://threatpost.com/equifax-takes-down-compromised-page-redirecting-to-adware-download/128406/

【編集者メモ】(Williams) Equifax はセキュリティの問題について責任逃れを続けている。サードパーティ製のコードを自社のウェブサイトで使用した場合、そのコードが顧客に与える影響については自社が責任を負わなければならないのだ。単純明快だろう。

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の無料セミナー・イベント        <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○10月20日名古屋、11月9日大阪、11月29日福岡
 情報セキュリティトップランナーが集結!! サイバー攻撃の動向と対策解
 ~メール・Webからのマルウェア感染への対策~
https://www.nri-secure.co.jp/seminar/2017/cyber01.html?xmid=300&xlinkid=03

○10月24日(火)
 SANS コミュニティセッション in 大阪
https://www.nri-secure.co.jp/seminar/2017/sans05.html?xmid=300&xlinkid=04

○10月25日(水)
 SANS コミュニティナイトセッション - フォレンジック最前線 -
https://www.nri-secure.co.jp/seminar/2017/sans07.html?xmid=300&xlinkid=06

○11月2日(木)、12月6日(水)
 事例から学ぶ特権ID・監査ログ管理実践セミナー
 ~クラウド時代に求められるアクセス管理を短期間・低コストで実現する方法とは~
https://www.nri-secure.co.jp/seminar/2017/ac04.html?xmid=300&xlinkid=07

○11月8日(水)、12月7日(木)
 標的型メール攻撃から自社を守る具体的手段とは
 ~実際の攻撃防御をProofpointの実機で体験~
https://www.nri-secure.co.jp/seminar/2017/proofpoint02.html?xmid=300&xlinkid=08

○11月9日(木)、12月8日(金)
 Webサイトセキュリティ対策セミナー
 ~グローバルの最新脅威動向とWAF導入による防御効果を最大化する運用監視~
https://www.nri-secure.co.jp/seminar/2017/waf01.html?xmid=300&xlinkid=09

○11月10日(金)、12月14日(木)
 場当たり的なセキュリティ対策からの脱却
 ~個別最適から全体最適への変換~
https://www.nri-secure.co.jp/seminar/2017/optimization01.html?xmid=300&xlinkid=02

○11月15日(水)、12月13日(水)
 分離・無害化技術によりマルウェアを100%防御する方法
 ~危険なWebサイトを自由に閲覧できるソリューションとは~
https://www.nri-secure.co.jp/seminar/2017/isolation02.html?xmid=300&xlinkid=01

○11月16日(木)、12月15日(金)
 ファイル交換・転送サービスの正しい選び方
 ~クラウドで業務効率・利便性とセキュリティを両立させるには~
https://www.nri-secure.co.jp/seminar/2017/file01.html?xmid=300&xlinkid=10

○11月22日(水)、12月20日(水)
 デジタルビジネス時代の顧客ID管理・認証基盤のあり方
 ~Uni-ID Libraで実現するコンシューマサービスの認証連携と不正利用対策~
https://www.nri-secure.co.jp/seminar/2017/ciam03.html?xmid=300&xlinkid=05

○11月22日(水)
 独自調査から見えたサイバーセキュリティの傾向と対策
https://www.nri-secure.co.jp/seminar/2017/qualitysoft01.html?xmid=300&xlinkid=11

○12月14日(木)
 NRI 関西ITセキュリティーセミナー2017
 独自調査レポートから見るサイバーセキュリティ最新動向
https://www.nri-secure.co.jp/seminar/2017/1214.html?xmid=300&xlinkid=12

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃独自調査資料/脆弱性情報              <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○サイバーセキュリティ:傾向分析レポート2017
https://www.nri-secure.co.jp/security/report/2017/cstar.html?xmid=300&xlinkid=14

○NRIセキュア、特権アクセス管理の代表的グローバルベンダーとして
 ガートナー社レポートに掲載
https://www.nri-secure.co.jp/whats_new/2017/0929.html?xmid=300&xlinkid=15


NRI Secure SANS NewsBites 日本版は、米国の情報セキュリティの専門機関であるSANS Instituteが配信するコンテンツ (SANS NewsBites)をベースに、NRIセキュアテクノロジーズが編集してお届けしています。 世界中でこの1週間に起こったセキュリティのあらゆるトピックと専門家のコメントが掲載されています。原版は、およそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュースソースとして活用されています。組織のセキュリティ管理に関する参考情報としてお役立てください。掲載されている情報は、e-mailを介して自由に他の方に再送していただいて結構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望される方は、弊社ホームページの以下のページよりお申込みください。
https://www.nri-secure.co.jp/news_letter/

本ニュースレターは、メールマガジン配信を申し込まれた方、弊社からの情報を希望された方、SANS関連のイベントに参加された方、その他イベント等において弊社講演枠に登録された方に配信しています。
今後、配信をご希望されない方は会社名と御氏名を本文に明記のうえ、件名に【配信不要】、配信先変更をご希望の方は【配信先変更希望】とご記入頂き、新旧のご連絡先も記載のうえ、info@sans-japan.jpまでご返信をお願い致します。なお、情報の反映までにお時間を頂戴する場合がございます。