NRI Secure SANS NewsBites 日本版

Vol.12 No.30 2017年11月15日発行

■■SANS NewsBites Vol.19 No.082-089
(原版: 2017年10月17日、20日、24日、27日、31日、11月 3日、7日、10日、)


┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 申┃込┃受┃付┃中┃SANSコミュニティナイトセッション
 ━┛━┛━┛━┛━
 ~人気のローカルインストラクターによる
SEC401 Security Essentials Bootcamp Style 体験セミナー~
 11月28日(火) 18:30~20:00 (開場:18:00) / サンケイプラザ 311-312

https://www.nri-secure.co.jp/seminar/2017/sans08.html
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛
◆ 米国土安全保障省(DHS) がDMARCとHTTPSの実装を政府機関に指示 (2017.10.16)
米国土安全保障省(DHS) は、政府機関に対し3か月以内にDMARC (Domain-based Message Authentication, Reporting & Conformance) の実装と、4か月以内の HTTPSの導入を求めた法的拘束力のある指示を発令した。この要求は、政府機関ネットワークのセキュリティ向上を目的としたもの。各機関は 30日以内にDMARCとSTARTTLSプロトコルの実装に向けた計画を作成しなければならないことになっている。

http://cyber.dhs.gov/ http://federalnewsradio.com/cybersecurity/2017/10/dhs-tells-agencies-to-put-a-stronger-lock-on-the-door-to-most-cyber-attacks/
http://fcw.com/articles/2017/10/16/dhs-directive-krack-wpa2.aspx
http://www.scmagazine.com/dhs-will-order-agencies-to-adopt-dmarc-https/article/700557/
http://www.zdnet.com/article/homeland-security-orders-federal-agencies-to-encrypt-email-website/

【編集者メモ】(Pescatore)
作業指令が、「政府機関の『基本的なサイバーセキュリティ対策』がユーザのセキュリティに大きな影響を与える」という文言から始まっていることを評価したい。
新年度に発令される作業指令が締め切りまでにすべて実行されることはまず無いと思うが、2018年10月までに政府機関のメールのうち一定数が DMARCの受信拒否モードを採用していれば、政府機関のセキュリティにとっては大きな一歩と言えるだろう。政府機関へサービスを提供している、または政府機関から業務を請け負っている企業や団体にも DMARCの実装を指示してほしい。なぜなら基本的なサイバーセキュリティ対策を進める上で政府にとって最大の武器となるものは、その購買力なのだ。
【編集者メモ】(Neely)
OMB M-15-13は、政府機関に対し外部公開しているウェブサイトへのHTTPS/HSTS の実装を要求している。これによりHTTPフォールバックを回避することができる。そのため、HTTPS/HSTS は誰もが実装すべき技術だ。そして今回の焦点は、Eメールのセキュリティ対策として、TLSとDMARC 導入を求めている。DMARCの実装には、DKIPと SPFの導入が必要であり、これらの技術によって、なりすましメールによる攻撃を防ぐことができる。SMTPサーバ間の TLS導入は、サーバの信頼性がより強力なものとなり、送信されるメールの盗み読みが非常に難しくなることを意味している。

◆ 送電網システムへのサイバー攻撃による被害の程度 (2017.10.13)
送電網システムへのサイバー攻撃がニュースとして流れる時、攻撃者がシステムのどのレベルまで侵入したのかが明確ではないことがある。本記事では、サイバー攻撃による 3つの被害の程度と、それぞれに起こりうる懸念点を紹介している。ネットワークへの侵入とは大抵の場合、メールアカウントとウェブサーバに侵入された状態を指しているが、電力供給に影響を及ぼすような制御システムへのアクセスはされていないことを意味する。運用アクセス (operational access) は、攻撃者がOT(operational technology:運用技術) システムへ到達したことを意味する。OTシステムは大抵の場合 IT システムから物理的に隔離されていることになっていることが多いが、その隔離自体は決して完全にできている訳ではない。複数人で連携して攻撃することで、攻撃者は送電網の制御システムに対して、アクセスをし、制御機能を奪うことができるだろう。しかし、制御システムにアクセスできても、システムの操作には専門知識が必要である。

http://www.usatoday.com/story/tech/news/2017/09/06/dozens-power-companies-breached-hackers-cybersecurity-researcher-says/638503001/
http://www.wired.com/story/hackers-gain-switch-flipping-access-to-us-power-systems/
http://www.nytimes.com/2017/09/29/us/puerto-rico-shortages-cash.html
http://www.ready.gov/power-outages

【編集者メモ】(Assante)
電力供給システムへのサイバー攻撃が明るみになったことで、システムに対する侵入を懸念する声が多く上がっている。そうした懸念は、電力関連の企業や団体そのものからも上がっている。彼らは、保有するシステムがどの程度サイバー攻撃に対抗できるのかテストを実施し、サイバー攻撃に備えた演習を行っている。北米の電力関連企業や団体は、公式にNERC (North American Electric Reliability Corporation) による GridEx の Move Zero を開始したところだ。
SANS は NERC と今年の合同演習に向け、システム保護担当者の技術向上を目的にICS (産業用制御システム) サイバーウォー (ICS NetWars) を用意している。
【編集者メモ】(Northcutt)
サイバー攻撃による停電が、どこで発生する可能性があるかを考えるために十分なデータが Dragonfly以降集まっている。停電時でも生活をするための知恵やアドバイスが記載された優良なウェブサイトがいくつかある。停電時に限らず、様々なことが関係してくることを心にとめておくべきだ。ニューヨーク・タイムズ紙は、ハリケーン後のプエルトリコにおける現金の重要性を記事にしている。

◆ KRACK:WPA2の脆弱性が無線通信を危険にさらす (2017.10.16)
無線ネットワークの保護に使われる WPA2 に重大な脆弱性が公開され、無線端末と無線通信中にデータが盗まれてしまう危険が生じている。このPoC (実証コード)は、KRACK:鍵再インストール攻撃 (Key Reinstallation AttaCK) と名付けられた。この脆弱性と攻撃手法を発見したベルギーの研究者らは、「ネットワークの設定によっては、インジェクション攻撃やデータの改ざんも可能である」と記述している。彼らは、11月のCCS (Conference on Computer and Communications Security)において、研究論文を発表する予定だという。マイクロソフトは、KRACK 対策のパッチを先週配布したと発表したが、ベルギーの研究者が論文を発表するまで修正内容は公開されなかった。

https://www.krackattacks.com/
https://papers.mathyvanhoef.com/ccs2017.pdf
https://krebsonsecurity.com/2017/10/what-you-should-know-about-the-krack-wifi-security-weakness/
https://threatpost.com/krack-attack-devastates-wi-fi-security/128461/
https://www.bleepingcomputer.com/news/security/new-krack-attack-breaks-wpa2-wifi-protocol/
https://www.bleepingcomputer.com/news/security/list-of-firmware-and-driver-updates-for-krack-wpa2-vulnerability/
https://arstechnica.com/information-technology/2017/10/how-the-krack-attack-destroys-nearly-all-wi-fi-security/
https://arstechnica.com/information-technology/2017/10/severe-flaw-in-wpa2-protocol-leaves-wi-fi-traffic-open-to-eavesdropping/
https://bobsullivan.net/cybercrime/the-krack-attack-is-all-wi-fi-unsafe-now-no-not-really-but-youd-better-patch/
https://www.computerworld.com/article/3233198/microsoft-windows/microsoft-shuts-down-krack-with-sneaky-windows-update.html

【編集者メモ】(Neely)
この脆弱性は、アクセスポイントとユーザ側端末の双方に影響がある。この脆弱性に対する修正は、ファームウェアや OS のアップデートもしくはパッチといった形で配布されるだろう。攻撃の範囲が無線ネットワーク内にある端末に限定されるため、インターネット上であればどこでも攻撃が届いてしまうような脆弱性と比べると、この脆弱性は幾分か悪用されにくい。他人の無線ネットワークを利用する場合、悪意のあるネットワーク操作から身を守るためには、VPN 接続を利用すると良いだろう。

◆ サイバー攻撃に対する防衛対策をコンピュータ犯罪取締法 (CFAA) の適用から免除する法案を提出 (2017.10.18)
サイバー攻撃による攻撃元の特定や、ネットワークに対するサイバー攻撃の阻止、攻撃者の動向調査、あるいは盗まれたデータの復旧や破壊といった目的であれば、企業や団体が許可なしでコンピュータやネットワークへのアクセスが可能となる法案を米議会の議員 2名によって提出された。この法案により、企業や団体はコンピュータ犯罪取締法 (CFAA: Computer Fraud and Abuse Act) の条項のうちいくつかの適用を免除されるという。

http://www.eweek.com/security/u.s-lawmakers-file-bill-to-enable-businesses-to-pursue-cyber-criminals
http://tomgraves.house.gov/news/documentsingle.aspx?DocumentID=398840
http://tomgraves.house.gov/uploadedfiles/discussion_draft_active_cyber_defense_certainty_act_2.0_rep._tom_graves_ga-14.pdf

【編集者メモ】(Henry)
政府の基本的な役割は国民を守ることだと信じているし、一般企業や団体はそのための有用な情報や技術を共有することで政府を手助けできると信じている。議会は、一般企業や団体がそうした有用な情報や技術を正式な形でより効率的に共有することを促す法案を作成するべきだ。そうすることで政府は、脅威を特定したり、軽減したりすることに力を発揮することができる。提案された法案は記事に記載されているままであれば、多くの危険が潜んでおり、問題の解決よりも多くの問題を生み出す結果となるだろう。
【編集者メモ】(Williams)
この法案の目的は、企業や団体がサイバー攻撃を阻止するために作成されたものではなく、企業や団体が取得した攻撃者に関する情報を FBIに提出できるようにしたものだ。法案に記載されている通り、FBI は全ての防衛行動に対して、事実上の許認可権を有することになる。この法案は、攻撃者が外国にいる場合の民事責任や法律の影響については触れていないことに注意が必要だろう。
【編集者メモ】(Murray)
このニュースは、いたずらへの招待のように聞こえる。我々はすでに、犯罪者のハッカーたちが自身の行為を「研究」と称して言い逃れをしてしまう問題を既に抱えている。「地獄への道は善意で敷き詰められている」のだ。誰もが自身の行為の善悪を動機で判断してもらいたいと考えるが、他人の行為の善悪は行為そのもので判断してしまうものだ。
【編集者メモ】(Northcutt)
「朝のサイバー戦争の香りが好きだ。」このニュースが行き着く先はこのような一言だと思う。サイバー攻撃の出どころの特定は非常にやっかいな問題だ。法案を提出した議員は、この法案を討議草案と呼んでいる。時間をかけて議論してほしい。

◆ Googleが高度な保護機能プログラムを公表 (2017.10.17 & 2017.10.18)
Googleは「標的型攻撃のリスクが高く、少しの利便性と引き換えにしてでもGoogleアカウントをより安全に利用したいと考えるユーザ向けに設計された」高度な保護機能プログラム(Advanced Protection Program) を発表した。このプログラムは現在、フィッシング対策、重要なデータへのアクセス制限、そしてアカウントへの不正アクセスブロックをサービスとして提供している。このプログラムを利用するユーザは、物理的なセキュリティキーを購入する必要がある。

http://www.wired.com/story/google-advanced-protection-locks-down-accounts/
http://www.cyberscoop.com/google-releases-new-email-browser-security-features-prevent-common-hacking-issues/?category_news=technology
http://motherboard.vice.com/en_us/article/kz74ym/google-gmail-advanced-protection-security-keys-yubikey
http://www.zdnet.com/article/google-chrome-can-now-spot-brand-new-phishing-pages/
http://www.blog.google/topics/safety-security/googles-strongest-security-those-who-need-it-most/

【編集者メモ】(Neely)
標的型攻撃を受けるリスクが高いユーザ向けの多要素認証(MFA) プログラムに、セキュリティ機能付きの USB機器を利用することは高く評価できる。全てのユーザアカウントは、Googleの 2段階認証や各アプリケーションに個別のパスワードを設定するような仕様へとすぐに変更していくべきだ。

◆ Android向けアプリの脆弱性探しを目的としたBug Bounty Programの開始を発表 (2017.10.19)
Google Play Store からマルウェアに感染したアプリ一掃活動の一環として、Google はアプリのセキュリティ向上を目的としたBug Bounty Programの開始を発表した。現在の対象は「リモートでのコード実行が可能な脆弱性であり、Android 4.4以降の端末において、その脆弱性の PoC(攻撃) が可能な場合」に限られている。Android 向けアプリの開発者であれば、誰でもこのプログラムに参加可能だ。

http://www.reuters.com/article/us-alphabet-google-cyber-bounty/google-offers-bug-bounty-to-clean-up-mobile-apps-idUSKBN1CO2RI
http://threatpost.com/google-play-bounty-promises-1000-rewards-for-flaws-in-popular-apps/128542/
http://www.google.com/about/appsecurity/play-rewards/
http://hackerone.com/googleplay

【編集者メモ】(Neely) Google Play Store 内のマルウェア感染アプリや悪意のあるアプリを全て探し出すことは困難であった。しかし Bug Bounty Program が正しく機能すれば、残っている不正行為の多くを発見できるだろう。 Android 7.1.1 に採用されているGooglePlayプロテクトは、すでに問題があることが確認されているアプリから端末を守ってくれる。その他のOSバージョンを利用しているユーザは、アンチウイルスソフトやマルウェアスキャンアプリに頼るか、アップグレードをじっと待つしかないのが現状である。

◆ Dragonfly: 米国土安全保障省(DHS) と FBI が、重要インフラに対するサイバー攻撃を警告 (2017.10.21)
米国土安全保障省(DHS) 傘下の情報セキュリティ対策組織 US-CERTと FBIは20日、重要インフラを管理する政府機関や一般企業、団体を標的とした高度サイバー攻撃(APT) の活動に関して注意喚起した。この活動を展開していると考えられるグループは、コードネームで Dragonfly 2.0 と呼ばれている。

https://www.us-cert.gov/ncas/alerts/TA17-293A
https://threatpost.com/dhs-alert-on-dragonfly-apt-contains-iocs-rules-likely-to-trigger-false-positives/128572/
http://www.reuters.com/article/us-usa-cyber-energy/u-s-warns-public-about-attacks-on-energy-industrial-firms-idUSKBN1CQ0IN
http://www.theregister.co.uk/2017/10/22/us_department_of_homeland_security_warns_of_sustained_attacks_on_industry/
http://www.zdnet.com/article/hackers-are-attacking-power-companies-stealing-critical-data-heres-how-they-are-doing-it/
https://www.darkreading.com/attacks-breaches/us-critical-infrastructure-target-of-russia-linked-cyberattacks/d/d-id/1330196?
https://www.cyberscoop.com/security-researchers-call-calm-dhs-warning-energy-grid-hacking/?category_news=technology

【編集者メモ】(Murray)
重要インフラが悪意ある攻撃に直面した際に、観測した攻撃や評価されていない脆弱性、そして検証されていない復旧力は、顕在化していないリスクを高めることになる(最も使用を控えるべき用語の一つ)。つまり、コンポーネントの故障や負荷の変化、そして不可抗力に対する送電網の復旧力はほぼ無いと言ってよいだろう。
【編集者メモ】(Pescatore)
US-CERT はいまだに APTという用語を使用している。「現実の」世界ではほとんど使用されなくなったにも関わらずである。US-CERT の警告にあるインフラ攻撃のステージ分析を見ると、これらのインフラ攻撃は金銭目的のサイバー攻撃とほぼ同じ行程をたどっている。
【編集者メモ】(Assante)
ICS(産業用制御システム) に対するサイバー攻撃を試みる者にとって、サプライチェーンへ着目することは妥当である。最近の評価では、潜在的な弱点としてだけではなく、第三者が攻撃者をOT (運用技術) の重要部分に繋がる可能性のあるアクセス権を所有していることに鑑み、特にサプライチェーンに主眼を置いているのだ。

◆ カナダがインフラへのサイバー攻撃に懸念;諜報機関がマルウェア分析ツールを公開 (2017.10.19 & 2017.10.23)
カナダの諜報機関 CSE(Communications Security Establishment) は、企業や団体のネットワークをサイバー攻撃から守る支援の一環として、Assemblylineと名付けられたマルウェア分析ツールを一般に公開した。CSEは、既にAssempblylineを政府のインフラ保護に活用しているという。関連記事によると、カナダ政府が国内の重要インフラに対するサイバー攻撃に懸念を示していることが記載されている。カナダ政府は、これまでサイバー攻撃の対象となった企業や団体を支援してきたが、攻撃の内容は一般に公開していない。

http://www.cbc.ca/news/technology/cse-canada-cyber-spy-malware-assemblyline-open-source-1.4361728
http://www.reuters.com/article/us-cyber-summit-canada-infrastructure/canada-worried-about-infrastructure-hacks-intelligence-official-idUSKBN1CS2EZ

◆ 米国連邦エネルギー規制委員会が送電網 のセキュリティマネジメントに関する規制案を提案 (2017.10.19)
米連邦エネルギー規制委員会 (FERC) は、送電網のオペレータに向けて新たなセキュリティ管理の基準を提案した。この基準には「ノートパソコンや USBメモリ、低負荷の BESサイバーシステム (Bulk Electric System cyber system)など、一時的に接続して使用される電子機器に潜むマルウェアがもたらすリスクに対処するための強制力のある規制」が含まれている。

http://thehill.com/policy/cybersecurity/356284-us-regulator-proposes-new-cyber-controls-for-power-grid
https://www.ferc.gov/media/news-releases/2017/2017-4/10-19-17-E-1.asp#.We6RxRNSyu5

【編集者メモ】(Assante)
一時的に接続する電子機器やリムーバブルメディアに関する基準が強化されることで、無差別的なマルウェア感染が大幅に減り、サプライチェーンというベクトルの一部の基準が底上げされるだろう。SANSは、セキュリティプロフェッショナルやコンプライアンス関係の仕事に従事するスタッフが、基準をクリアしつつ、ベストなセキュリティ対策へのアプローチを確立することを目的として、新しい GIAC認定(GCPI) を用意し、ICS456 Essentials for NERC Critical Infrastructure Protection を開講している。

◆ Windows 10 Fall Creators Update のランサムウェア対策機能 (2017.10.23 & 2017.10.25)
Windows 10 Fall Creators Update (Windows 10 バージョン1709) には、ランサムウェアからパソコン上の情報を保護する機能が備えられている。制御されたフォルダへのアクセス (Controlled Folder Access) 機能は、許可されていないアプリが特定の場所にあるファイルに変更を加えることを制限できるようになる。この機能を利用するには、Windows Defenderのリアルタイム保護機能を有効にする必要がある。

http://www.zdnet.com/article/windows-10-tip-turn-on-the-new-anti-ransomware-features-in-the-fall-creators-update/
http://www.theregister.co.uk/2017/10/23/fyi_windows_10_ransomware_protection/

【編集者メモ】(Neely)
Windows 10 Fall Creators Updateは、制御されたフォルダアクセス機能とWindows Defender によって、マルウェアが特定のフォルダに書き込みを試みる動作をブロックするようになっている。今のところ、この機能は、サードパーティ製のアンチウイルスソフトが導入されている場合には利用できないことに注意が必要だろう。
企業や団体のユーザは、PowerShellや GPO、MDM サービスから制御されたフォルダへのアクセス機能を有効にすることができる。

◆ 調査中の選挙データベースからデータが削除され、バックアップサーバが消磁される (2017.10.26)
選挙改革派の支持者達は、ジョージア州の選挙管理人に対して、20日に行われた下院補欠選挙の結果取り消しと、現在使用されている選挙システムの使用停止を求めていた。訴訟を起こした数日後、ジョージア州の選挙管理サーバ (昨年の大統領選挙へのロシアによる妨害工作に関する捜査に必要とされたデータが含まれていた)からデータが削除されたが、さらに 1か月後には、訴訟の舞台が連邦裁判所へ移る直前に 2つのバックアップサーバが消磁される事態が発生している。FBIは今年5月に対象となるサーバのイメージを取得したとしているが、そのコピーがまだ存在するか否かについては明言を避けている。

http://arstechnica.com/tech-policy/2017/10/days-after-activists-sued-georgias-election-server-was-wiped-clean/
http://www.theregister.co.uk/2017/10/26/voting_server_georgia_wiped/
http://apnews.com/877ee1015f1c43f1965f63538b035d3f/APNewsBreak:-Georgia-election-server-wiped-after-suit-filed

◆ DELL のカスタマーサポートドメインがハイジャックされる (2017.10.24)
請負業者によって運営されている DELLのウェブサイトは、約1か月もの間、何者かによってハイジャックされていたことが明らかとなった。この間、対象のドメインはマルウェアの拡散に利用された可能性がある。対象のサイト (DellBackupandRecoveryCloudStorage.com) は、マルウェアやコンピュータ関連のトラブルのために、工場出荷時の状態をリストアする必要が生じたユーザ向けに公開されていたもの。このドメインは DELL端末に同梱されている Dell Backup and Recovery Application というプログラムを利用する際に必要となるが、請負業者がドメインの更新を怠ったため、夏の約 1か月にわたりこのドメインがのっとられた状態であったという。

http://www.reuters.com/article/us-alphabet-google-cyber-bounty/google-offers-bug-bounty-to-clean-up-mobile-apps-idUSKBN1CO2RI
http://threatpost.com/google-play-bounty-promises-1000-rewards-for-flaws-in-popular-apps/128542/
http://www.google.com/about/appsecurity/play-rewards/
http://hackerone.com/googleplay

【編集者メモ】(Dr. Ullrich)
製品の生産や更新停止後、追加で数年間ドメインを保持し続けることは、そこまでコストのかかる作業ではない。しかし企業は正しい時期でのドメインの更新を怠ったり、製品が生産停止になるや否やドメインを削除したりすることがある。このような行為はセキュリティ上の問題につながってしまう。なぜなら記事のような長期間サービスが提供されてきたドメインをユーザは「信頼」しているからだ。

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃ セキュアEggs「情報セキュリティの「たまご」を育てます!」
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 セキュアEgg シリーズは、これから情報セキュリティを本格的に学ぶ方を対象
 としたコース群で、文字どおり「たまご」の意味をもった基礎的な内容を網羅
 した研修プログラムです。ペンテスターやフォレンジックアナリスト、インシ
 デントハンドラーなどのエキスパートとして、情報セキュリティの最前線で活
 躍するために必要な基礎的スキルを演習中心に短時間で効果的に習得できるよ
 うに設計されています。
http://www.nri-secure.co.jp/service/learning/secureeggs.html

 システム開発や運用などの業務に携わる方々にとっても、情報セキュリティの
 要素をご自身のスキルに加えていただく絶好のカリキュラムです。通常パック
 の他にも、実践!サイバーセキュリティ演習 for Eggsもご用意しております。

 ・セキュアEggs(IT+セキュリティ基礎)
2018年1月22日(月)-23日(火)

 ・セキュアEggs(フォレンジック)
2018年1月25日(木)
 ・セキュアEggs(インシデント対応)
2018年1月24日(水)
 ・セキュアEggs(Webアプリケーションセキュリティ)
2018年1月26日(金)
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃OUCH! 11月号「安全にオンラインショッピングするには」について
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
クリスマスなどの楽しいイベントが近づいてくると、オンラインでプレゼントを
購入して準備することも増えるでしょう。攻撃者は、このようなイベントも逃し
ません。周到に準備して皆さんが引っかかるのを待っている時期でもあります。
今月は、安全にオンラインショッピングをするための簡単なチェックリストと、
不用意に重要な情報や漏れたり、金銭がだまし取られたりしないようにする手段
を一般ユーザ向けに分かりやすく解説します。社員の意識向上ツールとしてお使
いください。
https://securingthehuman.sans.org/newsletters/ouch/issues/OUCH-201711_jp.pdf
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆ OracleがIdentity Manager の重大な脆弱性への緊急パッチを公開 (2017.10.30)
Oracleは、Oracle Fusion Middleware に含まれる Oracle Identity Manager において見つかった重大な脆弱性を修正する緊急のセキュリティアップデートを公開した。この脆弱性が修正されていないシステムは、攻撃者によって乗っ取られている可能性がある。直近の critical patch update(年4回公開) には、この脆弱性の修正は含まれていなかった。

http://www.theregister.co.uk/2017/10/30/oracle_releases_patch_for_remotely_exploitable_backdoor_in_identity_management_system/
http://www.oracle.com/technetwork/security-advisory/alert-cve-2017-10151-4016513.html

【編集者メモ】(Dr. Ullrich)
このパッチは、初期設定において作成されている管理者権限でログイン可能なアカウントを安全な状態にする。一度、これらの認証情報が公開されてしまえば、脆弱性の悪用は容易になる。Identity Managerは、企業アプリケーション・ソフトウェアへのアクセスを管理できる重要なソフトウェアであり、このソフトウェアが攻撃を受けることは最悪の事態を招きかねない。今すぐパッチ適用を推奨する。

◆ 投票システムの正当性を保つためのガイドライン草案を発表 (2017.10.27)
選挙支援委員会(EAC) は、国立標準技術研究所(NIST)と共同で、投票システムに関する自主的ガイドライン(Voluntary Voting System Guidelines) 2.0の草案を公開した。この草案では、選挙の正当性を保つための15の原則が提唱されている。このガイドラインは、自主的なものではあるが、50州のうち47州がバージョン 1.0の少なくとも一部を遵守していることは注目すべき点だ。バージョン2.0では、1.0には記載されていなかった、有権者登録などの投票プロセスに関する内容が盛り込まれている。

http://gcn.com/articles/2017/10/27/election-guidelines.aspx?admgarea=TC_SecCybersSec
http://www.eac.gov/assets/1/6/TGDC_Recommended_VVSG2.0_P_Gs.pdf

◆ McAfee が外国政府によるソースコードの監査を拒否 (2017.10.26 & 2017.10.27)
McAfeeは外国政府による自社製品のソースコードの監査を今後認めないと発表した。今年初めの調査書では、IT関連企業のうち数社がロシア政府に自社製品のソースコードの閲覧を許可していたとの記載があり、McAfeeはその数社のうちの 1社としてリストアップされていた。Symantec は 2016年初め以降、政府によるソースコードの監査を禁止している。

http://www.reuters.com/article/us-usa-cyber-russia-mcafee/mcafee-says-it-no-longer-will-permit-government-source-code-reviews-idUSKBN1CV2MP
http://www.scmagazine.com/mcafee-changes-policy-to-prohibit-government-source-code-review/article/703503/
http://www.v3.co.uk/v3-uk/news/3019990/mcafee-puts-an-end-to-government-source-code-reviews-because-they-just-cant-be-trusted
http://www.nextgov.com/cybersecurity/2017/10/mcafee-stops-lettings-foreign-governments-see-its-source-code/142110/?oref=ng-channelriver

【編集者メモ】(Pescatore)
米国のセキュリティ関連企業が自社製品のソースコードの監査を拒否し、中国やロシアの企業が監査を受け入れていることは奇妙だ。Gartner Magic Quadrantのうち大半は、歴史がある米国の企業より多くのアジアやヨーロッパの企業が市場で大幅に成長していることを示している。第三者によるソフトウェア検証のエビデンスを残すことは、特にセキュリティソフトウェアの場合、調達要求事項の基準に盛り込まれるべきだ。

◆ 今すぐ WordPressをアップデートすべきだ (2017.10.31 & 2017.11.1)
コンテンツ管理システムの WordPressは、SQL インジェクション攻撃によって脆弱なウェブサイトが乗っ取られる可能性がある重大な脆弱性を修正し、バージョン4.8.3 にアップデートした。WordPress は、この問題を今年の 9月にリリースしたバージョン 4.8.2で修正をしたはずだったが、実際のところ問題が悪化し、今回の修正に繋がっている。

http://www.zdnet.com/article/wordpress-patches-sql-injection-bug-in-emergency-release/
http://www.scmagazine.com/wordpress-issues-patch-to-eliminate-sql-injection-vulnerability/article/704344/
http://www.theregister.co.uk/2017/10/31/wordpress_security_fix_4_8_3/
http://threatpost.com/wordpress-delivers-second-patch-for-sql-injection-bug/128723/
http://wordpress.org/news/2017/10/wordpress-4-8-3-security-release/

◆ ウクライナ:BadRabbitの裏で別の攻撃が展開されていたと発表 (2017.11.2)
ウクライナの政府機関は、先週展開された BadRabbitによるランサムウェア攻撃の際、政府機関の財政情報や機密情報へのアクセスを目的としたフィッシング攻撃が展開されていたと発表した。大規模な攻撃により注意を引き付け、その間、密かに機密性の高い情報に狙いを絞った攻撃が展開されるというハイブリッド攻撃は、決して珍しいものではない。

http://www.reuters.com/article/us-cyber-summit-ukraine-police-exclusive/exclusive-ukraine-hit-by-stealthier-phishing-attacks-during-badrabbit-strike-idUSKBN1D2263

【編集者メモ】(Dr. Northcutt) 数年来、容易に亜種を作成できることから、こうした攻撃は様々なライブラリを利用してきた。BadRabbitは、ExPetrやGoldenEyeにも使われたコードを使用している。カスペルスキー社によるブログ記事が優良な技術論評を残している:
https://securelist.com/bad-rabbit-ransomware/82851/

◆ AppleがKRACKへの脆弱性を修正 (2017.10.31 & 2017.11.1)
Appleは、KRACKと呼ばれる鍵再インストール攻撃によって悪用可能な脆弱性を修正し、iOSとMacOS向けのアップデートを公開した。今回のアップデート (iOS 11.1、MacOS High Sierra 10.13.1、Security Update 2017-001 Sierra、Security Update 2017-004 El Capitan) では、他の脆弱性も修正されている。Apple はさらに、SafariやiTunes、iCloud といったその他の製品向けにもアップデートを公開した。

http://threatpost.com/apple-patches-krack-vulnerability-in-ios-11-1/128707/
http://www.bleepingcomputer.com/news/security/ios-11-1-released-with-new-emojis-and-fixes-for-the-krack-vulnerabilities/
http://www.eweek.com/security/apple-patches-krack-wifi-vulnerability-in-ios-and-macos
http://www.computerworld.com/article/3235727/mac-os-x/apple-putties-krack-in-macos-ios.html

【編集者メモ】(Neely)
悪用可能な KRACKへの対策は重要であるが、攻撃者が近くにいなければならないほか、端末が脆弱なアクセスポイントに接続している必要あるため、実際に悪用される可能性は低い。また、VPN やTLS を利用することでも攻撃による影響を回避できる。iOS 11.1 は iPhone 5S やiPad Air 以降で適用可能だが、Wi-Fi関連の修正はiPhone 7 や iPad Pro 9.7 以降でのみ適用可能だ。11月1日に開催される TrendMicro の Zero Day Initiative (ZDI) Pwn2Own コンテストにおいて脆弱性が発見された後、遠くないうちにiOS 11.1 のアップデートが公開されるだろう。Appleは、ZDI が脆弱性への対策アドバイスを公開するまでに、90日間対応を検討する時間が与えられる。

◆ Google Play Store に偽のWhatsAppアプリが登場 (2017.11.3 & 2017.11.6)
メッセージ交換アプリ WhatsApp を偽装したアプリが、Google Play Store から削除されるまでに最低でも 100万ダウンロードされていた。偽アプリはアドウェアも包含しており、各端末に別のソフトウェアをダウンロードする機能を備えていたという。

http://threatpost.com/1m-downloads-later-google-pulls-phony-whatsapp-from-google-play/128778/
http://www.theregister.co.uk/2017/11/03/fake_whatsapp_app/
http://www.zdnet.com/article/fake-whatsapp-app-fooled-million-android-users-on-google-play-did-you-fall-for-it/
http://www.bbc.com/news/technology-41886157

【編集者メモ】(Dr. Ullrich)
著名なアプリを騙ったアプリの存在は、Google Play Store において大きな問題となっている。何をダウンロードしようとしているのか、ユーザとして特に気を付けるようにしなければならない。この偽 WhatsAppアプリが100万回ダウンロードされたということは、多くのユーザがこのアプリを「安全なアプリ」として認識してしまったということだ。偽物を見分けることができる唯一のポイントは、作成者名に加えられた 見えない Unicodeのスペースだった。これは Googleが悪意あるアプリとして検出できるようにするべき事例だ。
【編集者メモ】(Neely)
この偽アプリは、非常に発見が難しかった。なぜならこのアプリの開発者は、Unicode 文字を用いてアプリ名の最後にスペースを加えていたからだ。 このアプリは一度インストールされると、名前の無い空白のアイコンとしてその身を隠し、インターネットへの接続を許可されていることを利用して広告を表示したり他のアプリをダウンロードする。Google Play プロテクトやサードパーティ製セキュリティソフトのウイルス検知機能の他に、新設された Google Play Security Reward Program (bug bountyプログラム) が Google Play Store 内の悪意のあるサードパーティ製アプリの一掃に役立つだろう。最新のパッチが適用された Android OS のバージョンを利用することも、最新のアプリ用セキュリティ対策を行う上で大切なことだ。
【編集者メモ】(Murray)
プロセス間通信の分離を強制できないことは、Android における重大な脆弱性だ。全てのプロセスがまともな動作をするという前提のもとで、セキュリティを考慮することは危険である。

◆ マルウェア Zeus Panda が Google SEO ポインズニングにより拡散 (2017.11.2 & 2017.11.3)
サイバー攻撃者は、Zeus Pandaのバンキング型マルウェアを拡散するため、セキュリティに問題のあるサーバやウェブサイトとともに、Googleの検索エンジン最適化(SEO) を活用している。攻撃者は、スウェーデン、オーストラリア、サウジアラビア、インドにある特定の銀行の顧客に加え、SWIFT の金融メッセージングプラットフォームの利用者を標的にしているという。

http://www.scmagazine.com/hackers-find-an-evil-use-for-seo/article/705363/
http://www.zdnet.com/article/google-search-results-poisoned-by-banking-trojan-attackers-clever-seo/
http://blog.talosintelligence.com/2017/11/zeus-panda-campaign.html

◆ Tor プロジェクトが IPアドレスの流出問題に対する修正アップデートを公開 (2017.11.3 & 2017.11.6)
Tor プロジェクトは、Macや Linux上で動作する Tor Browser においてユーザが実際に使用している IP アドレスが外部に露見してしまうセキュリティ上の問題を修正するアップデートを公開した。この問題は、先週 Torプロジェクト宛てに個人から報告された。Torプロジェクトは Macと Linuxのユーザ向けに Tor Browser バージョン7.0.9 を公開した。Windowsの Tor Browser はこの問題による影響を受けないという。

http://blog.torproject.org/tor-browser-709-released
http://arstechnica.com/information-technology/2017/11/critical-tor-flaw-leaks-users-real-ip-address-update-now/
http://threatpost.com/tor-browser-users-urged-to-patch-critical-tormoil-vulnerability/128769/
http://www.bleepingcomputer.com/news/security/tormoil-vulnerability-leaks-real-ip-address-from-tor-browser-users/
http://www.zdnet.com/article/critical-tor-browser-flaw-leaks-users-real-ip-addresses/
http://www.theregister.co.uk/2017/11/03/tor_ravamp/

◆ Microsoft が問題のあるパッチの公開を中止 (2017.11.3 & 2017.11.6)
Microsoftは、10月の月例アップデートによって作りこまれてしまった 「外部データベースドライバによる予期せぬエラー」 が発生する問題を修正するパッチを、5つの Windows OS バージョン向けに公開した。これらのパッチは Windows Updateには含まれていないため、ユーザは手動でダウンロードおよびインストールする必要がある。ニュースなどで伝えられるところでは、これら新しいパッチは過去のセキュリティアップデートを再有効化してしまう問題を引き起こしていた。問題のある 3つのパッチについては、対応するサポート技術情報とともに Microsoftのウェブサイトから週末の間に削除されたようだ。

http://www.computerworld.com/article/3235911/microsoft-windows/microsoft-yanks-buggy-windows-patches-kb-4052233-4052234-4052235.html
http://www.computerworld.com/article/3236029/microsoft-windows/ms-fixes-external-database-bug-with-patches-that-have-even-more-bugs.html

◆ IoT のセキュリティ問題は、いつの時代も変わらず存在し続ける (2017.11.8)
Black Duck Software 社のカンファレンス Flight 2017基調講演において、数年前Jeep の電子車載システムを遠隔操作したことで話題となった 2名の研究者、Charlie Miller氏と Chris Valasek氏が、IoT のセキュリティについて講演した。セキュリティ問題は今後も常に存在し続けるものであり、企業は自動車や医療機器のような安全性や正常動作にリスクをもたらす可能性のある IoTの要素に注目すべきだと両氏は述べている。

http://threatpost.com/iot-is-insecure-get-over-it-say-researchers/128826/

【編集者メモ】(Murray)
インターネットによって接続されたアプリケーションには 2つのセキュリティに関する問題がある。ハッカーが着目している 1つ目は、機器にプログラムとして搭載された動作への介入、もう一つは総当たり攻撃による機器の操作だ。ハッカーは、我々が後者を見捨て前者に集中するよう仕向けてくるだろう。ハッカーの思惑通りに動いた場合、非常に危険な状態に陥ることになる。

◆ ハッキング後の関連経費が大打撃となり Equifaxの利益が縮小 (2017.11.9)
個人情報の大量流出をきっかけに、顧客が Equifaxとの取引を控えていることで、Equifax の利益が縮小しているという。

http://www.reuters.com/article/us-equifax-results/equifax-profit-falls-as-hacking-costs-take-toll-idUSKBN1D934D

◆ Amazon S3 がセキュリティと暗号化を強化 (2017.11.6)
Amazonは、S3クラウドストレージサービスにセキュリティと暗号化関連の機能を追加した。追加された 5つの新機能は、デフォルトの暗号化、アクセス許可の確認、クロスリージョンレプリケーションにおけるACLの上書き、KMSを利用したクロスリージョンレプリケーション、そして詳細なインベントリレポートの発行となっている。

http://aws.amazon.com/blogs/aws/new-amazon-s3-encryption-security-features/

【編集者メモ】(Dr. Ullrich)
対応は遅れたが Amazonの行動は評価したい。外部にさらされた Amazon S3 上のデータを利用した大規模な個人情報の流出が過去に数件発生しているが、いくつかの研究によると、現在でも約 7% の Amazon S3実装 (bucket) が外部にさらされたままであることが分っている。
【編集者メモ】(Pescatore)
使用されていないデータのさらなる保護は、利用されているデータの保護やデータをやり取りする通信の SSL化より何倍も大切であり、政府レベルの監視の回避だけでなく現実に起こっているサイバー攻撃の防止にも効果的だ。しかし誤った暗号化や権限設定の管理は、消火の際に消火器を前後逆に持つようなものであり、結局消火できずに自業自得の怪我を負う可能性が高い。Amazonがサービスとしてこれらの機能をストレージに追加したことは一歩前進と言えるが、自分が所属する企業や団体の管理者に、これらの機能を正しく使うためのスキルやプロセス、ツールが無いと意味が無い。Amazonは有料のサポート(Macie) を提供しているし、CASB (CloudAccess Security Broker) サービスの利用を考えても良いが、管理者のスキルという課題から目を背けてはならない。

◆ FBIが殺人犯の iPhoneにかけられた暗号の解読に失敗 (2017.11.8)
11月5日にテキサス州において26名を銃で射殺した男性が所持していた iPhoneの暗号を FBIは解読できずにいる。Apple社は、捜査への協力とFBIから送られる法的手続きの処理を早めることを申し出ているが、Apple社とFBIが事件から48時間以内に連絡を取り合っていれば、TouchID を使用して iPhone のロックを解除できただろう。iPhoneは最後の使用から48時間が経過すると、パスコードの入力が求められるという。(Wall Street Journalの記事は有料です。)

http://arstechnica.com/information-technology/2017/11/fbi-cant-break-the-encryption-on-texas-shooters-smartphone/
http://www.cnet.com/news/apple-says-it-offered-to-help-fbi-with-texas-shooters-phone/
http://www.wsj.com/articles/investigators-in-texas-attack-took-over-48-hours-to-contact-apple-about-shooters-iphone-1510188188
http://threatpost.com/texas-shooters-phone-encrypted/128807/
http://www.washingtonpost.com/world/national-security/texas-gunmans-iphone-could-reignite-fbi-apple-feud-over-encryption/2017/11/08/0c2b3eb6-c48f-11e7-aae0-cb18a8c29c65_story.html
http://www.fifthdomain.com/civilian/fbi-doj/2017/11/08/fbi-again-finds-itself-unable-to-unlock-a-gunmans-cellphone/

【編集者メモ】(Neely)
モバイル端末のセキュリティや暗号化の機能がより強化されたことで、総当たりによる解析作業の効果はほぼ皆無に近づいている。そのため伝統的な科学捜査技術を用いるよりも、迅速に生体認証によるアクセスを試みるほうが賢明だ。しかしこの手法も端末ベンダー各社が生体認証を利用する機会を減らしていることで、活用が難しくなっている。iOS は 48時間以内の生体認証を許可しているが、Samsung社の新端末 Note 8 は 24時間後に生体認証機能を停止する。そして iOS 11では電源ボタンを 5回早押しすることでユーザが生体認証機能を停止することができる。そうなると生体認証によるアクセスは不可能だ。
【編集者メモ】(Honan)
この記事は FBIによる iPhoneの暗号解読ではなく、なぜ FBIが 48時間の制限時間をオーバーしてしまったのかという点について書かれるべきだ。暗号化は設計通りに機能しており、多くの人々の大切な情報を犯罪者の魔の手から守ってきたのだから。
【編集者メモ】(Northcutt)
犯人の指を使った TouchID の利用は iPhoneの電源が入っていれば可能であった。私は FBIの大ファンであり、彼らが築き上げてきたサイバーセキュリティ能力には感心している。犯人拘束や化学捜査の過程で何か手違いが起きたのではないか。サンバナディーノ銃乱射事件での iPhone捜査の事例が役に立つかもしれない:
http://www.theverge.com/2017/11/7/16618992/fbi-texas-church-shooting-encryption
http://www.cnn.com/2016/04/21/politics/san-bernardino-iphone-apple-hacking/index.html

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の無料セミナー・イベント        <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○12月13日(水)、2018年1月12日(金)、2月9日(金)
 分離・無害化技術によりマルウェアを100%防御する方法
 ~危険なWebサイトを自由に閲覧できるソリューションとは~
https://www.nri-secure.co.jp/seminar/2017/isolation02.html?xmid=300&xlinkid=01

○11月16日(木)、12月15日(金)、2018年1月16日(火)、2月15日(木)
 ファイル交換・転送サービスの正しい選び方
 ~クラウドで業務効率・利便性とセキュリティを両立させるには~
https://www.nri-secure.co.jp/seminar/2017/file01.html?xmid=300&xlinkid=02

○東京11月21日(火)・大阪11月29日(水)・福岡11月30日(木)
 Senju Family 2018 発表セミナー
 ~AI活用による自律型運用、マルチクラウド管理強化~
https://senjufamily.smartseminar.jp/public/seminar/view/274

○11月22日(水)、12月20日(水)、2018年1月19日(金)、2月20日(火)、3月15日(木)
 デジタルビジネス時代の顧客ID管理・認証基盤のあり方
 ~Uni-ID Libraで実現するコンシューマサービスの認証連携と不正利用対策~
https://www.nri-secure.co.jp/seminar/2017/ciam03.html?xmid=300&xlinkid=03

○11月22日(水)
 独自調査から見えたサイバーセキュリティの傾向と対策
https://www.nri-secure.co.jp/seminar/2017/qualitysoft01.html?xmid=300&xlinkid=04

○11月28日(火)
 SANSコミュニティナイト
 ~ローカルインストラクターによるSEC401 Security Essentials Bootcamp Style体験セミナー~
https://www.nri-secure.co.jp/seminar/2017/sans08.html?xmid=300&xlinkid=05

○11月29日福岡
 情報セキュリティトップランナーが集結!! サイバー攻撃の動向と対策解
 ~メール・Webからのマルウェア感染への対策~
https://www.nri-secure.co.jp/seminar/2017/cyber01.html?xmid=300&xlinkid=06

○12月6日(水)、2018年1月10日(水)
 事例から学ぶ特権ID・監査ログ管理実践セミナー
 ~クラウド時代に求められるアクセス管理を短期間・低コストで実現する方法とは~
https://www.nri-secure.co.jp/seminar/2017/ac04.html?xmid=300&xlinkid=07

○12月7日(木)、2018年1月11日(木)、2月8日(木)
 標的型メール攻撃から自社を守る具体的手段とは
 ~実際の攻撃防御をProofpointの実機で体験~
https://www.nri-secure.co.jp/seminar/2017/proofpoint02.html?xmid=300&xlinkid=08

○12月8日(金)
 Webサイトセキュリティ対策セミナー
 ~グローバルの最新脅威動向とWAF導入による防御効果を最大化する運用監視~
https://www.nri-secure.co.jp/seminar/2017/waf01.html?xmid=300&xlinkid=09

○12月14日(木)
 NRI 関西ITセキュリティーセミナー2017
 独自調査レポートから見るサイバーセキュリティ最新動向
https://www.nri-secure.co.jp/seminar/2017/1214.html?xmid=300&xlinkid=10

○12月14日(木)、2018年1月15日(月)、2月14日(水)、3月9日(金)
 場当たり的なセキュリティ対策からの脱却
 ~個別最適から全体最適への変換~
https://www.nri-secure.co.jp/seminar/2017/optimization01.html?xmid=300&xlinkid=11

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃お知らせ                  <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○委託元企業へ情報セキュリティ対策状況を的確に伝える
「情報セキュリティ対策レポートサービス」を販売開始
https://www.nri-secure.co.jp/service/consulting/contractor.html?xmid=300&xlinkid=12

○セキュアファイル転送サービス「クリプト便」と「ASTERIA WARP Core」を
 連携した業務自動化ソリューションを販売開始
https://www.nri-secure.co.jp/whats_new/2017/1109.html?xmid=300&xlinkid=13

○自己問診によるPCI DSS準拠を支援する「PCI DSS SAQ準拠パッケージ」を
 販売開始
https://www.nri-secure.co.jp/service/pcidss/saq.html?xmid=300&xlinkid=14

○クラウド上で特権IDからのアクセスを適切に統制する
 「Cloud Auditor by Access Check」サービスを提供開始
https://www.nri-secure.co.jp/service/prividmanage/cloud_auditor.html?xmid=300&xlinkid=15


NRI Secure SANS NewsBites 日本版は、米国の情報セキュリティの専門機関であるSANS Instituteが配信するコンテンツ (SANS NewsBites)をベースに、NRIセキュアテクノロジーズが編集してお届けしています。 世界中でこの1週間に起こったセキュリティのあらゆるトピックと専門家のコメントが掲載されています。原版は、およそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュースソースとして活用されています。組織のセキュリティ管理に関する参考情報としてお役立てください。掲載されている情報は、e-mailを介して自由に他の方に再送していただいて結構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望される方は、弊社ホームページの以下のページよりお申込みください。
https://www.nri-secure.co.jp/news_letter/

本ニュースレターは、メールマガジン配信を申し込まれた方、弊社からの情報を希望された方、SANS関連のイベントに参加された方、その他イベント等において弊社講演枠に登録された方に配信しています。
今後、配信をご希望されない方は会社名と御氏名を本文に明記のうえ、件名に【配信不要】、配信先変更をご希望の方は【配信先変更希望】とご記入頂き、新旧のご連絡先も記載のうえ、info@sans-japan.jpまでご返信をお願い致します。なお、情報の反映までにお時間を頂戴する場合がございます。