NRI Secure SANS NewsBites 日本版

Vol.12 No.33 2017年12月27日発行

■■SANS NewsBites Vol.19 No.097-100
(原版: 2017年12月12日、15日、19日、22日)


┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 申┃込┃受┃付┃中┃で┃す┃!┃2018年2月開催SANSトレーニング
 ━┛━┛━┛━┛━┛━┛━┛━┛早期割引締切まで残りわずかです!

【SANS Secure Japan2018】2月開催 全8コース実施
https://sans-japan.jp/secure_japan2018/index.html

開催日:2/19(月)~24(土)
●SEC401:Security Essentials Bootcamp Style
●SEC560:Network Penetration Testing and Ethical Hacking
●FOR500(旧FOR408):Windows Forensic Analysis

開催日:2/19(月)~23(金)
●ICS410:ICS/SCADA Security Essentials

開催日:2/26(月)~3(土)
●SEC504:Hacker Tools, Techniques, Exploits and Incident Handling
●FOR508:Advanced Digital Forensics, Incident Response, and Threat Hunting
●SEC642:Advanced Web App Penetration Testing, Ethical Hacking,
     and Exploitation Techniques

開催日:2/26(月)~2(金)
●MGT517:Managing Security Operations: Detection, Response,
     and Intelligence

開催日:3/1(木)~2(金)
●DFIR NetWars:Tournament
※2018年2月19日~3月3日のSANSトレーニング受講者のみ無料でご招待いたします。

┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛
◆ 選挙中にDNCをハッキングするよう、ロシアの諜報部から雇われていたことをハッカーが告白 (2017.12.11)
ロシアのウェブサイト The Bell は、FSB (KGBの後継機関) の要請により攻撃を展開したことを、Kostantin Kozlovsky 氏が証言したと報じた。この証言は、プーチン大統領が関与について否定する、2016年の米大統領選挙におけるロシアの介入を裏付ける内容として、攻撃者から直接得られた証言である。

http://fortune.com/2017/12/11/russian-hacking-election-confession/
http://www.businessinsider.com/russian-hacker-democrats-dnc-intelligence-2017-12

◆ 窃盗団 MoneyTaker が銀行を標的に (2017.12.11)
MoneyTaker のニックネームを持つサイバー犯罪グループが、 米国やラテンアメリカの銀行を標的に、2016年5月までに 1,000万 USドルを盗みだすことに成功していた。このグループは銀行のネットワークに侵入し、カード処理システムを改ざんすることで、ATM から金銭を引き出したと見られている。また、彼らは管理ガイドや変更依頼フォーム、その他内部文書も標的対象とした銀行から盗み出すことに成功した模様である。

http://arstechnica.com/information-technology/2017/12/hackers-hit-key-atm-network-in-crime-spree-that-clears-10-million/
http://www.theregister.co.uk/2017/12/11/russian_bank_hackers_moneytaker/
http://www.darkreading.com/attacks-breaches/russian-speaking-moneytaker-group-helps-itself-to-millions-from-us-banks/d/d-id/1330608

◆ 年末までにサイバーセキュリティ実施計画の作成が必要な業者 (2017.12.14)
国防総省は、軍の契約事業者に対し、2017年 12月 3日までに DFARS(Defense Federal Acquisition Regulation Supplement) に準拠したサイバーセキュリティ実施計画を作成するよう通達している。これは、データの盗難防止を目的としており、物理およびデジタルセキュリティに関する 110の項目から構成されているもの。国防総省の広報担当者はメールの中で、年末までに「契約事業者はシステムセキュリティ計画に自社情報システムの現状を文書化し、実施計画においてどのように、いつまでに現状達成できていない要件を実行するのかということについて文書化する必要がある」と述べている。

http://www.nextgov.com/cio-briefing/2017/12/pentagon-delays-deadline-military-suppliers-meet-cybersecurity-rules/144562/
http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-171.pdf

【編集者メモ】(Pescatore)
NISTのSP800-171 は既に公開から 2年が経過しており、市民が支払っている税金から利益を得たいと考えている企業にとって、準拠はそれほど難しいものではない。
まだ準拠できていない小規模企業にとっては、基本的なサイバーセキュリティの実施、もしくは別のビジネス展開を達成するために多くの時間が与えられたこととなる。国防総省がその購買力を利用して、サプライチェーンのセキュリティを高めていることは評価できる。セキュリティの要件は今後も継続して厳しくしていくべきである。

◆ ハッカー集団が新たな 12月のウクライナ送電網攻撃を計画か (2017.12.13)
過去 2年に渡り、12月はウクライナの送電網がサイバー攻撃の標的となり、数時間に及ぶ停電が発生している。サイバーセキュリティ企業である Dragos の研究者は、2016年の攻撃を実施したと見られているグループは、攻撃後から今年11月半ばまでほとんど動きを見せていないが、最近 1か月における活動の増加は注目に値すると述べている。活動の増加は偵察、あるいは差し迫った攻撃に対する恐怖を広めるためとも見られている。

http://www.theatlantic.com/technology/archive/2017/12/ukraine-power-grid-hack/548285/

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃ セキュアEggs「情報セキュリティの「たまご」を育てます!」
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 セキュアEgg シリーズは、これから情報セキュリティを本格的に学ぶ方を対象
 としたコース群で、文字どおり「たまご」の意味をもった基礎的な内容を網羅
 した研修プログラムです。ペンテスターやフォレンジックアナリスト、インシ
 デントハンドラーなどのエキスパートとして、情報セキュリティの最前線で活
 躍するために必要な基礎的スキルを演習中心に短時間で効果的に習得できるよ
 うに設計されています。
http://www.nri-secure.co.jp/service/learning/secureeggs.html

 システム開発や運用などの業務に携わる方々にとっても、情報セキュリティの
 要素をご自身のスキルに加えていただく絶好のカリキュラムです。通常パック
 の他にも、実践!サイバーセキュリティ演習 for Eggsもご用意しております。

 ・セキュアEggs(IT+セキュリティ基礎)
2018年1月22日(月)-23日(火)

 ・セキュアEggs(フォレンジック) ☆SANSトレーニング前の腕試しに最適!です
2018年1月25日(木)
 ・セキュアEggs(インシデント対応) 満員御礼!
 ・セキュアEggs(Webアプリケーションセキュリティ)
2018年1月26日(金)
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆ マルウェア TRISIS/TRITON が某施設の操業停止のきっかけに (2017.12.15 & 2017.12.18)
TRISIS または TRITONの名で知られる産業用制御システムを狙ったマルウェアが、 中東にある会社のネットワークから発見された。TRISIS/TRITON は、Shneider Ele -ctrics社の Triconex Safety Integrated Systems(SIS) コントローラを標的とし ている。研究者らは、このマルウェアが施設に物理的な被害を与える目的で使用さ れていたと考えており、操業停止を引き起こしたことで、捜査が開始されることと なった。

http://dragos.com/blog/trisis/TRISIS-01.pdf
http://www.cyberscoop.com/triton-ics-malware-fireeye-dragos/?category_news=technology
http://www.eweek.com/security/triton-attack-targeted-critical-infrastructure-security-firm-says
http://threatpost.com/triton-malware-targets-industrial-control-systems-in-middle-east/129182/
http://www.zdnet.com/article/hackers-use-triton-malware-to-shut-down-plant-industrial-systems/
http://www.fireeye.com/blog/threat-research/2017/12/attackers-deploy-new-ics-attack-framework-triton.html

【編集者メモ】(Assante)
このマルウェアは、機能や攻撃対象において興味深いだけでなく、作成者が考察するための視点まで提供している。今回の事件では、説明にあるとおり、攻撃者が標的とした施設の運用部門根幹にまでアクセスすることに相当の自信を持っていたことがわかる。我々は、エンジニアリングワークステーションと SISコントローラの相互接続に潜むリスクについて教えてきた。生産システム内における動作実験に加え、特定の SIS設備に接続し操作を奪うマルウェアの開発に攻撃者が資金投入している事実から、マルウェアが今後も使われる可能性が高いことを示唆している。

◆ DHSの試験プログラムが、ファーストレスポンダー(初動対応者) 向けアプリの脆弱性を発見 (2017.12.18)
国土安全保障省(DHS) の科学技術総局が試験的に開始したプロジェクトにおいて、ファーストレスポンダーやパブリックセーフティに関わる職員が使用するモバイルアプリに、18件の脆弱性が発見された。プログラムにおいてテストの対象となった33の iOSや Android 向けプログラムは、1つを除き全てにセキュリティやプライバシーに関する問題を抱えていたという。

http://thehill.com/policy/cybersecurity/365427-homeland-security-project-catches-18-first-responder-apps-with-critical

【編集者メモ】(Neely)
ファーストレスポンダー向けアプリに関する素晴らしいニュースである。同様の手法は、分野ごとに特化した重要なアプリケーションにも適用できる。急速に変化するモバイルアプリケーションが多すぎるため、普遍的な解決策が存在しない状態となっている。重要なモバイルアプリケーション用に、分析機能を組み込むことを検討してもらいたい。

◆ デラウェア州の州知事とCSOが、SANSのDifference Maker Awardを受賞 (2017.12.15)
デラウェア州が「サイバーセキュリティの啓発、教育、トレーニングにおいて国内をリードしている」ことを称え、州知事のジョン・カーニー氏と、最高セキュリティ責任者のイレイン・スターキー氏に、2017年度 SANS Difference Maker Awardが授与された。 350名以上の高校生と大学生がデラウェア州からサイバースタートプログラムに参加し、そのうち20名が、サイバーセキュリティ分野でより高度な研究のための奨学金を獲得している。カーニー州知事は、全ての公立高校およびチャーター・スクールにおいて、コンピュータセキュリティの科目を最低でも 1つ設置することを命じる法案にも署名している。さらに、学生の間でサイバーセキュリティへの関心を高めることを目的とした無償のプログラム、NSA Day of Cyber School Challenge を立ち上げている。

http://news.delaware.gov/2017/12/15/difference-maker-award/

【編集者メモ】(Neely)
高校生向けにサイバーセキュリティの啓発教育やトレーニングを提供することは、SOP(訳注Standerd of Procedure:標準手順、一般手続き)であるべきだ。サイバーセキュリティ教育の水準を引き上げたカーニー氏とスターキー氏に賛辞を贈りたい。他の州もこの先例に倣ってくれることを願う。

◆ 米国病院協会が FDAに対し、医療機器のセキュリティ対策に積極的に取り組むよう要請 (2017.12.12)
米国病院協会(AHA) は、医療機器メーカー各社が製造した機器のデジタルセキュリティについて責任を負うことを明確にするべく、米国食品医薬品局(FDA) が活動を強化するよう要求している。FDA が規制緩和にどのように貢献できるかを調査するための情報を要求したことに応じ、AHA 副会長の Ashley Thompson氏は、医療機器のサイバーセキュリティ基準ガイドラインを公開したとはいえ、「メーカー各社は、いまだに使用されている大量の古い機器についてセキュリティ上の懸念点を払拭できていない」としている。

http://www.fiercehealthcare.com/privacy-security/aha-fda-medical-device-cybersecurity-guidance-oversight-approval
http://www.gpo.gov/fdsys/pkg/FR-2017-09-08/pdf/2017-19047.pdf

【編集者メモ】(Pescatore)
私はサイバーセキュリティの法制化は最後の手段であると強く信じているが、医療機器製造業界は10年以上の時間があったにも関わらず、セキュリティに焦点を当てることに失敗した。遡ること2005年1月、FDAは医療機器のサイバーセキュリティに関する手引きを発表したが、メーカー各社はことごとく無視してきた。FDA は FTCのように強く振る舞う必要があり、メーカーが顧客の安全を顧みなくなった時は相応の行動を起こすべきである。
【編集者メモ】(Neely)
現在の管理・監視・制御されている医療機器は、広く流通しているハードウェアを使用して安価になっているが、当時のセキュリティの考え方に則って作られたものだ。このような機器については、そのシステムに十分な堅牢性を備えるための、セキュリティフレームワークが必要である。加えて、セキュリティの基準には、導入推進を後押しするため、基準に従わない場合どのようなことが起こるのかを明記する必要がある。
【編集者メモ】(Northcutt)
手続き上のフレームワークに大きな修正が必要であるとする、FDA Gottlieb博士の考えは正しい。:
http://blogs.fda.gov/fdavoice/index.php/2017/12/advancing-policies-to-promote-safe-effective-medtech-innovation/
医療分野の IT / サイバーセキュリティ事業に従事する者であれば、2018 年第1四半期に公開が予定されているこちらの文書に評価、コメントができる。:
http://www.fda.gov/MedicalDevices/DeviceRegulationandGuidance/GuidanceDocuments/ucm580172.htm
大統領令 13377 と 13771 は厄介な規制の見直しを指示しているが、医療機器メーカーに責任を課す文言は含まれていない。死後か怪我を負った場合の訴訟が、メーカーに責任を認めさせる唯一の手段だ。:
http://www.nolo.com/legal-encyclopedia/product-liability-claims-medical-devices-29684.html
http://injury.findlaw.com/product-liability/medical-product-and-device-defects.html

◆ SANS Holiday Hack Challenge 2017
SANS の NetWars と CyberCity の制作陣および、Penetration Testingコースの著者が送る 2017 SANS Holiday Hack Challenge が無償で提供される。初級入門編から上級エクスプロイトまで、誰もが何かを得る機会となるでしょう。多くの参加者が子供と一緒に参加する見込みです。子供たちがテレビゲーム分野に挑戦している間、大人たちは子供に情報セキュリティ分野の解決方法を示すことでしょう。参加者にはいくつかの賞と景品が用意されているほか、優勝者には SANS オンデマンドコースの受講権が授与されます。

http://www.holidayhackchallenge.com/2017/

◆ WordPress の Captcha プラグインにバックドア (2017.12.19 & 2017.12.20 & 2017.12.21)
最低でも 30万台にインストールされていると見られている WordPressプラグインCaptchaに、バックドアを追加する改造が施されていたことが明らかとなった。
Captcha の元々の開発者は、このプラグインを今年 9月に別の開発者へ売却していた。新しい所有者はバックドアを含む Captcha 4.3.7 を 12月初めにリリースしている。バックドアが含まれたプラグインは、WordPress プラグインリポジトリから削除され、バックドアの無いバージョンである Captcha 4.4.5が、古いバージョンを利用していたウェブサイト向けに提供されている。

http://www.bleepingcomputer.com/news/security/backdoor-found-in-wordpress-plugin-with-more-than-300-000-installations/
http://www.theregister.co.uk/2017/12/20/backdoor_wordpress_captcha/
http://securityboulevard.com/2017/12/yet-another-wordpress-extension-changes-owner-gets-backdoored/

◆ WordPress のサイトが、暗号通貨マイニングアプリの基盤化する攻撃を受ける(2017.12.18 & 2017.12.20)
最近の攻撃者は WordPressのサイトを標的に、総当たり攻撃で管理者権限を奪取し、仮想通貨 Morenoのマイニングアプリをインストールしているという。 感染したサイトは、他の WordPressサイトへの総当たり攻撃に利用される。Wordfence によると、この攻撃は「最高で1時間に 1400万回攻撃が実行される、現在までで最も攻撃的」だという。

http://www.bleepingcomputer.com/news/security/massive-brute-force-attack-infects-wordpress-sites-with-monero-miners/
http://www.wordfence.com/blog/2017/12/aggressive-brute-force-wordpress-attack/

【編集者メモ】(Honan)
犯罪者による攻撃の動機は大抵、短時間で可能な限り多くのお金を稼ぐことだ。これはランサム攻撃増加理由の 1つであり、暗号通貨マイニングアプリを使いシステムを感染させる攻撃手法は、今後さらに増加することが見込まれる。

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の無料セミナー・イベント        <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○2018年1月10日(水)、2月6日(火)、3月2日(金)
 事例から学ぶ特権ID・監査ログ管理実践セミナー
 ~クラウド時代に求められるアクセス管理を短期間・低コストで実現する方法とは~
https://www.nri-secure.co.jp/seminar/2018/ac04.html?xmid=300&xlinkid=02

○2018年1月11日(木)、2月8日(木)
 標的型メール攻撃から自社を守る具体的手段とは
 ~実際の攻撃防御をProofpointの実機で体験~
https://www.nri-secure.co.jp/seminar/2018/proofpoint02.html?xmid=300&xlinkid=03

○2018年1月12日(金)、2月9日(金)
 分離・無害化技術によりマルウェアを100%防御する方法
 ~危険なWebサイトを自由に閲覧できるソリューションとは~
https://www.nri-secure.co.jp/seminar/2017/isolation02.html?xmid=300&xlinkid=04

○2018年1月15日(月)、2月14日(水)、3月9日(金)
 場当たり的なセキュリティ対策からの脱却
 ~個別最適から全体最適への変換~
https://www.nri-secure.co.jp/seminar/2017/optimization01.html?xmid=300&xlinkid=05

○2018年1月16日(火)、2月15日(木)
 ファイル交換・転送サービスの正しい選び方
 ~クラウドで業務効率・利便性とセキュリティを両立させるには~
https://www.nri-secure.co.jp/seminar/2017/file01.html?xmid=300&xlinkid=06

○2018年1月18日(木)
 オフィスの紙文書そのままで働き方改革できますか?
 ~捨てるもの、残すもの、使うものを考える~
https://www.nri-secure.co.jp/seminar/2018/sri02.html?xmid=300&xlinkid=07

○2018年1月19日(金)、2月20日(火)、3月15日(木)
 デジタルビジネス時代の顧客ID管理・認証基盤のあり方
 ~Uni-ID Libraで実現するコンシューマサービスの認証連携と不正利用対策~
https://www.nri-secure.co.jp/seminar/2017/ciam03.html?xmid=300&xlinkid=01

○2018年1月23日(火)
 SANSコミュニティナイト in 大阪
 ~ローカルインストラクターによる
 「SEC504 Hacker Techniques and Incident Handling」体験セミナー~
https://www.nri-secure.co.jp/seminar/2018/sans01.html?xmid=300&xlinkid=08

○2018年1月26日(金)
 機密文書漏えい対策セミナー
 ~その文書、適切に情報漏洩対策できていますか?~
https://www.nri-secure.co.jp/seminar/2018/da01.html?xmid=300&xlinkid=09

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃お知らせ                  <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○NRIセキュア、東芝エネルギーシステムズ株式会社「発電制御向け一方向伝送
 装置」に対し、産業用制御デバイス向け「アキレス認証」取得支援を実施
https://www.nri-secure.co.jp/whats_new/2017/1226.html?xmid=300&xlinkid=15

○委託元企業へ情報セキュリティ対策状況を的確に伝える
「情報セキュリティ対策レポートサービス」を販売開始
https://www.nri-secure.co.jp/service/consulting/contractor.html?xmid=300&xlinkid=16

○自己問診によるPCI DSS準拠を支援する「PCI DSS SAQ準拠パッケージ」を
 販売開始
https://www.nri-secure.co.jp/service/pcidss/saq.html?xmid=300&xlinkid=17

○クラウド上で特権IDからのアクセスを適切に統制する
 「Cloud Auditor by Access Check」サービスを提供開始
https://www.nri-secure.co.jp/service/prividmanage/cloud_auditor.html?xmid=300&xlinkid=18


NRI Secure SANS NewsBites 日本版は、米国の情報セキュリティの専門機関であるSANS Instituteが配信するコンテンツ (SANS NewsBites)をベースに、NRIセキュアテクノロジーズが編集してお届けしています。 世界中でこの1週間に起こったセキュリティのあらゆるトピックと専門家のコメントが掲載されています。原版は、およそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュースソースとして活用されています。組織のセキュリティ管理に関する参考情報としてお役立てください。掲載されている情報は、e-mailを介して自由に他の方に再送していただいて結構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望される方は、弊社ホームページの以下のページよりお申込みください。
https://www.nri-secure.co.jp/news_letter/

本ニュースレターは、メールマガジン配信を申し込まれた方、弊社からの情報を希望された方、SANS関連のイベントに参加された方、その他イベント等において弊社講演枠に登録された方に配信しています。
今後、配信をご希望されない方は会社名と御氏名を本文に明記のうえ、件名に【配信不要】、配信先変更をご希望の方は【配信先変更希望】とご記入頂き、新旧のご連絡先も記載のうえ、info@sans-japan.jpまでご返信をお願い致します。なお、情報の反映までにお時間を頂戴する場合がございます。