NRI Secure SANS NewsBites 日本版

Vol.13 No.01 2018年1月29日発行

┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 絶┃賛┃受┃付┃中┃で┃す┃!┃2018年2月開催SANSトレーニング
 ━┛━┛━┛━┛━┛━┛━┛━┛残りわずか!

【SANS Secure Japan2018】2月開催 全8コース実施
https://sans-japan.jp/secure_japan2018/index.html

開催日:2/19(月)~24(土)
●SEC401:Security Essentials Bootcamp Style
●SEC560:Network Penetration Testing and Ethical Hacking
●FOR500(旧FOR408):Windows Forensic Analysis

開催日:2/19(月)~23(金)
●ICS410:ICS/SCADA Security Essentials

開催日:2/26(月)~3(土)
<満員御礼>●SEC504:Hacker Tools, Techniques, Exploits and Incident Handling
●FOR508:Advanced Digital Forensics, Incident Response, and Threat Hunting
●SEC642:Advanced Web App Penetration Testing, Ethical Hacking, and Exploitation Techniques

開催日:2/26(月)~2(金)
●MGT517:Managing Security Operations: Detection, Response, and
Intelligence

開催日:3/1(木)~2(金)
●DFIR NetWars:Tournament
※2018年2月19日~3月3日のSANSトレーニング受講者のみ無料でご招待いたします。

┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛

■■SANS NewsBites Vol.19 No.101, Vol.20 No.001-005
(原版: 2017年12月29日、1月5日、9日、12日、16日、19日)


◆ バックドアのあるWordPressプラグインが再び発見される (2017.12.28)
バックドアのある WordPressプラグインが、さらに 3つ発見された。先日バックドアが発見された Captchaプラグインのように、Duplicate Page and Post、No Follow All External Links、そして WP No External Links の 3つのプラグインは、悪意のあるコードを追加したと考えられる第三者に最近売却されていた。改造された3つのプラグインは、既に WordPressプラグインリポジトリから削除されている。

http://www.bleepingcomputer.com/news/security/three-more-wordpress-plugins-found-hiding-a-backdoor/

【編集者メモ】(Neely)
ソフトウェアは、コードが売却されるタイミングで新しい機能が追加されることがある。追加された機能は分析されるべきだが、成熟した WordPressサイトの複雑な環境が分析を困難にしてしまう。このような場合、Wordfence のようなプラグインを使用することで、悪意のあるプラグインに対する警戒に役立つだろう。
【編集者メモ】(Williams)
これは繰り返し発生するテーマだ。オープンソースのソフトウェアを、安全であると自動的に判断することはできない。しかし、ユーザ数が多いことで安全性がある程度見込めるだろう。有名なプラグインを使うことで、バックドアの危険からは幾分距離を置くことができるのだ。開発者がプラグインにバックドアを仕掛けた場合、多くのユーザがそのプラグインを使用していれば、バックドアが発見される可能性はより高まる。

◆ Huawei製のルーターが、マルウェア Miraiの拡散に利用されている (2017.12.21 & 2017.12.27)
Huawei 製ホームルーター HG532 の未知の脆弱性が、Okikuもしくは Satoriとして知られる、ボットネットマルウェア Miraiの亜種の拡散に悪用されている。CheckPoint社は、11月に不審な活動を検知し、Huawei 社に通達した。Huawei社はこれを受け、影響を受けるユーザに対し、いくつかの緩和策を含むセキュリティアドバイザリを公開している。

http://www.huawei.com/en/psirt/security-notices/huawei-sn-20171130-01-hg532-en
http://blog.checkpoint.com/2017/12/21/huawei-routers-exploited-create-new-botnet/
http://threatpost.com/huawei-router-vulnerability-used-to-spread-mirai-variant/129238/
http://www.darkreading.com/vulnerabilities---threats/hacker-targeted-huawei-router-0-day-in-attempt-to-create-new-mirai-botnet/d/d-id/1330715

◆ Spectreと Meltdownが Intel、AMD、ARM社製プロセッサに影響 (2018.1.2 & 2018.1.3 & 2018.1.4)
Intel社によると、同社は 2013年以降に販売されたプロセッサの 90%に存在する脆弱性、Spectre や Meltdownへの対応のため、1月12日までにソフトウェアおよびファームウェアのアップデートを公開すると明らかにした。今回発見された複数の脆弱性は、過去 20年の間に販売された全てのプロセッサに影響を及ぼすもの。Intel社は、古いプロセッサ向けの修正パッチも順次公開する予定だ。既に多数の企業が、今回の脆弱性に関するアドバイザリを公開している。

http://www.sans.org/webcasts/meltdown-spectre-understanding-mitigating-threats-106815
http://www.darkreading.com/endpoint/critical-microprocessor-flaws-affect-nearly-every-machine/d/d-id/1330745
http://www.cyberscoop.com/intel-firmware-updates-spectre-meltdown/?category_news=technology
http://www.reuters.com/article/us-cyber-intel-researcher/how-a-researcher-hacked-his-own-computer-and-found-worst-chip-flaw-idUSKBN1ET1ZR
http://www.us-cert.gov/ncas/alerts/TA18-004A
http://isc.sans.edu/forums/diary/Spectre+and+Meltdown+What+You+Need+to+Know+Right+Now/23193/
http://portal.msrc.microsoft.com/en-us/security-guidance/releasenotedetail/858123b8-25ca-e711-a957-000d3a33cf99
http://support.apple.com/en-us/HT208394
http://www.zdnet.com/article/major-linux-redesign-in-the-works-to-deal-with-intel-chip-security-problem/

【編集者メモ】(Dr. Ullrich) Intel社の修正パッチをインストールしないことを検討する理由が 2つある。1つめは、修正パッチインストール後に、アンチウイルス製品が動作しなくなったり、システムに影響を及ぼしたりする可能性があるということだ。Microsoft 社は、この点について解決を試みており、今回の脆弱性で影響を受けるシステム上では修正パッチを無効化する予定だ。 2つめは、システムに過剰な負荷がかかる可能性があるということだ。特にシステムコールを多用する (大抵の場合、入出力のワークロードが大幅に増加する) ソフトウェア使用している場合は、注意が必要だ。今回の脆弱性は、リモートからコードが実行されるものでは無いので、私であれば、慎重にテストを実施し、パニックに陥らないよう努める。外部に公開、共有しているシステムについて優先的に検討するべきだ。
【編集者メモ】(Honan)
記事にあるプロセッサを使用しているデバイス全てが影響を受ける。そのため、ファイアウォールやプロキシサーバ、ルータなどのネットワークデバイスの脆弱性についても考慮する必要がある。ベンダーに問い合わせ、どのような対策を講じているのか情報を得ることが最善策だろう。

◆ 個人情報流出により、DHSの現役および元職員24万人分の情報が漏洩(2018.1.3 & 2018.1.4)
昨年5月に発覚した、米国土安全保障省(DHS) の個人情報流出において、DHSの現役と元職員 24万人以上の情報が漏洩していたことが判明した。今回の事件では、DHSの監察総監室から 2002年-2014年における捜査対象者の情報も漏洩した可能性がある。ただし、この事件は外部からのサイバー攻撃によって発生したものではないという。犯罪捜査の過程で、DHS監察総監室の元職員が、DHSのケース管理システムのコピーを許可無く所有していたことが判明している。

http://www.dhs.gov/news/2018/01/03/privacy-incident-involving-dhs-oig-case-management-system
http://www.theregister.co.uk/2018/01/04/us_homeland_security_breach_exposed_personal_info_of_200000_staff/
http://www.zdnet.com/article/over-240000-homeland-security-employees-case-witnesses-affected-by-data-breach/
http://www.cnet.com/news/homeland-security-breach-exposes-data-on-240000-employees/

【編集者メモ】(Pescatore)
問題点がいくつかある。 1つは、誰かがデータベースの大部分をダウンロードした際にその行為を検知し捜査できるようにすること。もう 1つは、職員が退職した際に、サーバ側にある全てのアプリケーションに対するアクセス権をはく奪することだ。クラウドサービスの利用増加にともない、これらの問題に対してセキュリティを守るためのプロセスを更新する必要が高まっている。
【編集者メモ】(Neely)
OMB(米行政管理局) の個人情報流出事件以後、与信監視とクレジットの凍結を実施しておくべきだったのだが、3年間の与信監視を提供していた DHS に称賛を贈りたい。この事件は内部に潜む脅威と DLP対策の必要性について、次の 3つの観点で見直すべきである。1.あなたは、従業員が個人的に管理しているシステムに、どんな機微な情報あるいは機密情報を保持しているか把握をしているか。2.あなたが追跡できる範囲の外で、データがどのように扱われているかを追跡するための DLP対策があるか。さらに、3.従業員が退職する際の手続きについて、秘密保持契約だけでなく、会社に関するデータが全て確かに返却されたことの検証が含まれているか。

◆ 米国連邦ウェブサイトの DMARC実装率が 50%近くに拡大 (2018.1.2)
50%近くの米国連邦ウェブサイトが、昨年10月に出されたDHSからの指令に基づき、DMARC ポリシーを実装している。DMARC はなりすましメールの検出と排除に効果があり、フィッシング詐欺の防止が期待されている。

http://fcw.com/articles/2018/01/02/dmarc-email-spoof-johnson.aspx

【編集者メモ】(Pescatore)
DHS の指令によって、より多くの政府機関が DMARCによるメール認証の導入への契機となったことは良いニュースだ。しかし、84% の政府機関は、いまだ実際に検疫や受信拒否といったポリシーの実装には至っていない。これは浄水装置を設置しておきながら、浄水フィルターを取り付けていないようなものだ。スタートとしては良いが、水はまだ汚染されたままなのだ。
【編集者メモ】(Neely)
正当なメールは失われないという信頼を築くことが難題だろう。大抵は DMARCのレポートを解析し、正当なメールに間違ったタグが付与されてしまう問題の修正に時間を割いていることが予想される。問題の修正が完了するまでは、外部でタグ付けされたものをも含んだものとなり、メール排除の有効化に難色を示す企業や機関が増えることが予想される。さらに、SMTPセッションのための STARTTLS の実装も、よりリスクの少ない働きであるとはいえ、DMARC レポートの信頼を築く作業と同等のリソースが必要になる可能性が高く、DMARC実装を遅らせる理由の1つとなっている。

◆ 米証券取引委員会が、個人情報流出時の報告ガイドラインを更新 (2017.12.29)
米証券取引委員会は、上場企業に向けた個人情報流出時の報告ガイドラインを更新する予定だ。元SEC次席訴訟弁護士(assistant chief litigation counsel) で、現在は証券訴訟や証券取引法に基づく執行を専門とする弁護士であるMatt Rossi氏によると、企業や団体は、これまで以上に情報を公開することが求められ、サイバーセキュリティ対策が実装されている証拠を提出することが要求される可能性が高いと見られている。

http://www.govinfosecurity.com/sec-plans-cybersecurity-guidance-refresh-what-to-expect-a-10554

【編集者メモ】(Pescatore)
本当に、規制の執行が精力的に行われるようになるのか疑問だ。SEC は 1年間に渡り、情報流出の事実を公開しなかったのだから。法律事務所が単に FUDを煽ろうとしているだけなのではないだろうか。また、既存の規制を執行することに精力的に取り組んでいるようには見えない。ごくわずかな吠え声もさほど示していないようでは、いつか噛みつかれるだろう。

◆ Meltdown と Spectreに対する修正パッチが、複数のユーザ環境で問題を引き起こしている (2018.1.8)
Meltdownと Spectreに対応した Microsoft社の修正パッチが、問題を引き起こしている。このアップデートにより、カーネルレベルにおけるデータの処理方法が変更されるが、この修正が原因となり、いくつかのウイルス対策製品の動作に問題が生じている。また複数のユーザは、パッチ適用後に Windowsが起動しなくなったと報告をしており、別のユーザは Pulse Secure社の VPNクライアント製品や、Sophos社のサンドボックス製品 sandboxieの動作に問題が生じたと報告をしている。

http://www.theregister.co.uk/2018/01/08/microsofts_spectre_fixer_bricks_some_amd_powered_pcs/
http://www.cyberscoop.com/spectre-meltdown-microsoft-anti-virus-bsod/?category_news=technology
http://www.theregister.co.uk/2018/01/08/meltdown_fix_security_problems/
http://www.zdnet.com/article/windows-meltdown-spectre-update-now-some-amd-pc-owners-post-crash-reports/

◆ Apple社が脆弱性 Spectreへの修正アップデートを公開 (2018.1.8)
Appleは、macOS、iOSおよび Safariに含まれるプロセッサに影響を与える Spectreと呼ばれる脆弱性について対応するアップデートを公開した。ユーザは、macOS 10.13.2(追加アップデートを含む)、iOS 11.2.2、Safari 11.0.1 が更新されていることを早急に確認する必要がある。macOS、iOS、tvOS 向けに Appleが公開した 2017年12月のアップデートでは、脆弱性 Meltdownに対する修正が含まれていた。

http://www.bleepingcomputer.com/news/apple/apple-releases-security-updates-for-spectre-cpu-flaw/

【編集者メモ】(Neely) 記事にあるようなセキュリティに関する問題を修正するためのデータは、日々更新されている。パニックになるのではなく、これまでに各自確立してきた手法で対処をするべきだ。つまり、今まで通りのサイクルで調査、レビュー、そしてテストをした上で修正プログラムを配布することが望ましい。一部の人たちは、Appleが10.11.6と 10.12.6 を公開した際、アップデートに Meltdownの修正プログラムが含まれていたことに気付いていなかったようだが…。

◆ スパイツールとしてのアンチウイルス製品 (2018.1.1)
セキュリティ製品は、コンピュータシステムへの特権アクセスが必要であるため、スパイツールとして悪用される危険性が高い。この問題は、カスペルスキー社のウイルス対策製品が、NSA 職員から機密データを盗むために利用されていたことが明るみになった際に、各メディアで大きく報じられていたもの。

http://www.nytimes.com/2018/01/01/technology/kaspersky-lab-antivirus.html

【編集者メモ】(Williams)
アンチウイルス製品をインストールする際、あなたはその製品に絶対の信頼を置いていることだろう。OSのベンダーを選択するように、ウイルス対策製品のベンダーを選んでみてはどうだろうか。仮に、OSの開発を任せられないようなベンダーの製品を手にしたとしても、彼らのウイルス対策製品を使用することはしないはずだ。
【編集者メモ】(Pescatore)
ウイルス対策製品は当初、ファイルシステムの隙間を埋めるような役割をもっていたが、各ベンダーがパーソナルファイアウォールやその他のセキュリティソフトウェアを追加し始めたことで、肥大化したエンドポイント保護プラットフォームは、本質的にルートキットと化してしまった。攻撃者ではなく、システム管理者がインストールしたソフトウェアを簡単に検知してしまうなど効果を成さないにも関わらず、である。権限管理や、デスクトップ上のアプリケーションの動作をコントロールするために、グループポリシーオブジェクトを適用し、最新のブラウザ保護を使用することで、ウイルス対策製品が得意とするファイルシステムの隙間を検証できるようになる (そのようなプログラムは大抵の場合、作動後に削除されたマルウェアである)。 高度な脅威には、より適切なセキュリティコントロールを使って対処すれば良いのだから。

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃ セキュアEggs「情報セキュリティの「たまご」を育てます!」
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 セキュアEgg シリーズは、これから情報セキュリティを本格的に学ぶ方を対象
 としたコース群で、文字どおり「たまご」の意味をもった基礎的な内容を網羅
 した研修プログラムです。ペンテスターやフォレンジックアナリスト、インシ
 デントハンドラーなどのエキスパートとして、情報セキュリティの最前線で活
 躍するために必要な基礎的スキルを演習中心に短時間で効果的に習得できるよ
 うに設計されています。
http://www.nri-secure.co.jp/service/learning/secureeggs.html

 システム開発や運用などの業務に携わる方々にとっても、情報セキュリティの
 要素をご自身のスキルに加えていただく絶好のカリキュラムです。通常パック
 の他にも、実践!サイバーセキュリティ演習 for Eggsもご用意しております。

 ・セキュアEggs(IT+セキュリティ基礎)
 ・セキュアEggs(フォレンジック)
 ・セキュアEggs(インシデント対応)
 ・セキュアEggs(Webアプリケーションセキュリティ)
   来年度もよろしくお願いいたします!
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆ CPUの修正パッチ (2018.1.9 & 2018.1.10 & 2018.1.11)
CPUの脆弱性 Spectreと Meltdownに対するために提供されたベンダー数社の修正パッチが、ユーザに混乱を与えている。Microsoft 社は、対応していないウイルス対策製品が動作しているシステムには、今後アップデートを配信しないと発表した。
ウイルス対策製品のベンダー各社は、レジストリキーを設定することで、システムとの互換性を確認する必要がある。Linuxでは、特定のプロセッサにおけるCPUの問題に対応するため、マイクロコードを公開した。 Canonical社は、最初に公開された修正パッチにより、起動ができなくなったとの報告が Ubuntu Xenial 16.04のユーザより寄せられたため、新たに修正パッチを公開した。Google社は、脆弱性に対する修正パッチを昨年適用済みであり、クラウドサービスへの影響は無いと発表している。

http://www.zdnet.com/article/microsoft-no-more-windows-patches-at-all-if-your-av-clashes-with-our-meltdown-fix/
http://www.computerworld.com/article/3247744/microsoft-windows/microsoft-reinstates-meltdownspectre-patches-for-some-amd-processors-but-which-ones.html
http://www.computerworld.com/article/3246063/microsoft-windows/microsoft-sets-novel-antivirus-prerequisite-before-offering-windows-emergency-updates.html
http://www.zdnet.com/article/major-linux-distros-have-meltdown-patches-but-thats-only-part-of-the-fix/
http://www.bleepingcomputer.com/news/security/intel-releases-linux-cpu-microcodes-for-processors-going-back-two-decades/
http://www.bleepingcomputer.com/news/software/meltdown-and-spectre-patches-causing-boot-issues-for-ubuntu-16-04-computers/
http://www.v3.co.uk/v3-uk/news/3024296/meltdown-and-spectre-patches-re-issued-by-canonical-following-ubuntu-1604-boot-problems
http://www.reuters.com/article/us-cyber-microchips-alphabet/google-says-its-security-patches-not-slowing-down-systems-idUSKBN1F02IY

【編集者メモ】(Neely)
修正パッチは複雑化しており、ただクリックすれば良いわけではなく、いくつかのステップに従わなければ脆弱性の緩和に繋がらない。また、これらの修正パッチは問題が表面化し解決される度に、急速なペースで更新されている。適用後の動作の安定性だけでなく、パフォーマンスへの影響もテストするべきだ。
【編集者メモ】(Pescatore)
修正パッチが公開され、またさらに別の修正パッチが公開される予定だという。
Spectreと Meltdownに対するソフトウェアやファームウェアの修正パッチが複雑であり、少なくともパフォーマンスに影響が出るであろうことは明らかだ。マイクロソフト社の月例修正パッチへのテストよりも、はるかに多くのQAテストの実施が求められる。おそらく、Oracle社が四半期に公開する CPUのパッチに対するテストよりも多くなるだろう。laaSサービスにおける生産環境の向上 (難読化されたデータを用いて) は、多くの企業や団体が修正パッチ適用にかかる時間の増加を最小限にしつつ、パッチテストの内容を深めることに寄与した。しかししばらくの間は、データの保護や脆弱性の緩和、監視に重点を置く必要があるだろう。

◆ レポート:CISOらが考えるサイバーセキュリティにおける最大の懸念は、有能な人材が不足していることである (2018.1.10)
Ponemon Institute の調査によると、612名の最高情報セキュリティ責任者(CISO)やセキュリティ分野に従事する者にとって、2018年のサイバーセキュリティにおける最大の懸念は、有能な社内の人材が不足していることだと認識している。その他上位の 5つには、情報流出、サイバー攻撃、職員の不注意を減らすことができないこと、そしてランサムウェアが挙げられている。

http://www.darkreading.com/vulnerabilities---threats/cisos-no-1-concern-in-2018-the-talent-gap/d/d-id/1330800

【編集者メモ】(Honan)
経験豊富なセキュリティ分野の専門家が不足する事態に直面している。この問題に立ち向かう最善の方法は、効果的なトレーニングとサポートを提供することで、現在雇っている職員の能力を引き上げることだ。また、我々はテクノロジー分野の外に目を向け、セキュリティ分野で働く適正がある人材を募集し採用する必要もある。意欲が高い人材であれば、テクニカルな技術についてはいつでも教えることができるのだ。
【編集者メモ】(Northcutt)
記事にあるようなCISOらは、GIACやその他のサイバーセキュリティ技術、もしくは職務ベースの認定試験を、採用時の参考にすると良いだろう。選考の参加者枠を 1名分増やしたり、エントリーシートや履歴書をダブルチェックしたりしても効果はない。
http://www.giac.org/

◆ SCADA用の Androidモバイルアプリに脆弱性が見つかる (2018.1.11)
IOActive社と Embedi社の報告によると、SCADA用の Androidモバイルアプリに複数の脆弱性が存在するという。2社のサイバーセキュリティ担当者は、34 の SCADA用Android モバイルアプリから、150 近くの脆弱性を発見している。これらの脆弱性の悪用により、システムの動作が中断したり、損傷を受けたりする可能性がある。
2015年に実施された同様の調査では、20 のモバイルアプリに 50の脆弱性が見つかっていた。

http://www.theregister.co.uk/2018/01/11/scada_mobile/
http://www.darkreading.com/endpoint/privacy/vulnerable-mobile-apps-the-next-ics-scada-cyber-threat/d/d-id/1330801
http://www.eweek.com/security/147-security-vulnerabilities-found-in-ics-mobile-applications

【編集者メモ】(Neely)
エアギャップは消滅した。エアギャップよ、永遠なれ。モバイルアプリのセキュリティ問題は再発を繰り返している。報告によると、記事にあるアプリは、ICS システムとの通信が安全であること、制御シーケンスが外部からの干渉を受けないことを保証する、といったセキュリティ対策を実装していなかったのだ。機は熟した。
アプリの開発者は脆弱性の発見と解消のため、bug bountyプログラムのようなサービスを利用できる好機である。
【編集者メモ】(Honan)
よく多くの人から聞く誤解は、ICSシステムやSCADAシステムはエアギャップにより外部から隔離されているため、安全であるというものだ。この記事は、安全神話が完全に崩壊したことを確かに示している。

◆ 新たな macOS の脆弱性 (2018.1.11)
macOS の脆弱性を悪用し、ローカルの管理者権限を持つユーザであれば誰でも、どのようなユーザ名とパスワードの組み合わせでも Apple App Storeのシステム環境設定のロックを解除することができる。この脆弱性は「10.13.2とあるいは10.13.3」の初期ベータ版」のみに影響があるようだ。

http://www.bleepingcomputer.com/news/apple/macos-bug-lets-local-admin-unlock-app-store-system-prefs-with-any-password/
http://www.v3.co.uk/v3-uk/news/3024252/another-password-flaw-has-been-discovered-in-apples-macos

【編集者メモ】(Neely)
Apple 社は、権限のエスカレーションによるセキュリティ上の問題を抱えていたことへの対応が遅れていた。SpectreとMeltdownの軽減策として10.13へのアップデートを考えている方にとって、この脆弱性は 10.13.2にのみ影響があり、間もなく公開を予定している 10.13.3では修正済みと報告している。

◆ Intel社の Active Management Technologyに脆弱性 (2018.1.12)
セキュリティ企業であるF-Secure社の研究者らは、Intel社の Active Management Technology(AMT) に脆弱性があることを発見した。この脆弱性を悪用すると、ログインを回避し、1分以内には脆弱性のある端末の操作を奪うことが可能となる。 攻撃には、脆弱性の影響を受ける端末への物理的なアクセスを必要としている。

http://business.f-secure.com/intel-amt-security-issue
http://news.softpedia.com/news/new-intel-security-vulnerability-discovered-millions-of-laptops-affected-519355.shtml
http://threatpost.com/intel-amt-loophole-allows-hackers-to-gain-control-of-some-pcs-in-under-a-minute/129408/

【編集者メモ】(Dr. Ullrich)
セキュリティ分野において、今Intel 社の立場が良くないことは認識しているが、Meltdownやここ最近の AMTの(深刻な)問題から、わずかに持ち直しつつあるところだ。しかし、直近の AMTの問題が示唆していることは、管理者が AMTの設定を怠った場合に、システムを物理的にアクセス可能な攻撃者が、代わりに設定を変更できるという単純な事実だ。ユーザが設定をしなければ有効にならないという点において、BIOS のパスワードやその他のシステムについても同じことが言えるだろう。
【編集者メモ】(Williams)
私ならこの問題を説明するために「脆弱性」という言葉は使用しない。F-Secure社は、説明書にしっかりとした説明が載っていないデフォルトのパスワードを発見した。企業や団体がデフォルトのパスワードを変更しなければ、そのパスワードはリモートアクセスを有効にし、後々端末に対してコードを実行することに利用される可能性がある。最悪のシナリオはこうだ。攻撃者が(例えばホテルの一室で)ディスク全体が暗号化されたノートパソコンへ物理的にアクセスできるとする。攻撃者は、そのノートパソコンを起動し、デフォルトの AMTパスワードを用いて、リモート管理機能を有効にする。その後ユーザが、暗号化されたディスクのパスワードを入力しOSを起動する。すると攻撃者は、Intel社の AMT を介し、ホテルのネットワークからノートパソコンにリモートでアクセスできるようになる。もしあなたのノートパソコンや他の端末がこれらの機能を有しているのであれば、デフォルトのパスワードを変更するべきだ。

◆ 産業用制御システムが、CPU向けの修正パッチの適用に苦戦している (2018.1.15)
SCADA (Supervisory Control and Data Acquisition) ベンダー数社によると、CPUの脆弱性 Meltdownに対応した修正パッチにより製品への問題が生じている。Wonderware社は、Microsoft社の修正パッチにより「Wonderware Historian の動作が不安定になり、SMC経由で DA/OI サーバへアクセスできなくなる」と発表している。
Rockwell社は、同様の修正パッチが Studio 5000、FactoryTalk View SE、RSLinx Classic の動作に影響を与えている可能性があると発表した。

http://www.theregister.co.uk/2018/01/15/meltdown_ics/

◆ 米共通役務庁が、契約業者向けのデータ保護規制を公式化 (2018.1.11 & 2018.1.12)
米共通役務庁(GSA) が、連邦雇用主のデータセキュリティに関する契約業者向けの規制の文面化を計画している。要件は既に存在しているが、連邦官報の告示に掲載することで、GSAはルールが連邦規制プロセスを通過の後、GSA調達規制に組み込まれることを確実にしたいと考えているという。

http://www.nextgov.com/cybersecurity/2018/01/gsa-plans-formalize-cyber-rules-contractors/145145/
http://www.fedscoop.com/changes-coming-gsas-contractor-cybersecurity-requirements/

【編集者メモ】(Pescatore)
記事の内容は、最初に要件が誕生した2013年か2014年に進められるべきだったが、何もしないよりは良い。政府によるものであれ、民間の企業や団体によるものであれ、全ての調達業務は、契約業者と供給者が最低限、基本的なサイバーセキュリティ対策を実施していることを要件とするべきだ。SANS は 2016年、ボーイング社調達担当役員である John Martin氏に対し、ボーイング社の調達要件に基本的なサイバーセキュリティ対策を盛り込んだことを称え、Difference Makers Award を授与している。

◆ CIA:NotPetya はロシア軍のハッカー部隊による攻撃 (2018.1.12)
米中央情報局 (CIA) は、2017年6月にウクライナのコンピュータを標的とした、マルウェア NotPetya による攻撃が「ほぼ間違いなく」ロシア軍のハッカー部隊による攻撃であったと発表した。ランサムウェアを装ったマルウェアは金融機関、電力会社、政府機関のコンピュータからデータを抹消した。また、NotPetyaは、他国のシステムにも拡散している。

http://www.washingtonpost.com/world/national-security/russian-military-was-behind-notpetya-cyberattack-in-ukraine-cia-concludes/2018/01/12/048d8506-f7ca-11e7-b34a-b85626af34ef_story.html

【編集者メモ】(Henry) ワシントン・ポスト紙がこの攻撃に注目していることは喜ばしいことだ。なぜなら壊滅的なダメージを与える攻撃は増加しており、一般の人々も注意をする必要があるからだ。しかしこの記事は、その特異性とともに、攻撃による影響に言及していない。個人のアナリストらや公共報道によると、米国の企業では何億ドルもの損失が発生し、世界規模ではさらに多くの損失が発生した。このような事実が、超えてはならない一線や一線を越えた際の影響を伝えるため、政府間でどのように扱われるのかは、迅速な議論を必要とする問題だ。このような議論が無い状態では、極めて危うい状況の拡大や脆弱性を突いたサイバー攻撃が発生する結果となるだろう。

◆ 米英の女子高校生向けサイバーセキュリティコンテスト (2018.1.161)
米国 16州の女子高校生向け GirlsGoCyberStart コンテスト (www.girlsgocyberstart.com) と、UK 2018 CyberFirst Girls コンテスト、CyberDiscovery コンテスト (男子および女子) が登録を受け付け中だ。米国のコンテストは、次に挙げる州に住む全ての女子高校生 (公立/私立/ホームスクール) に参加資格がある (ハワイ州、ネバダ州、コロラド州、ワイオミング州、テキサス州、アイオワ州、インディアナ州、ミシシッピ州、ノースカロライナ州、メリーランド州、ウェストバージニア州、デラウェア州、ニュージャージー州、ニューヨーク州、コネチカット州、バーモント州、米領サモア)。 学校ごとに参加する必要は無く自宅から参加できる。
英国の CyberFirstコンテストは、イギリスでは Year 8、スコットランドではS2、北アイルランドでは Year 9に在籍する 12~13歳の女子に参加資格がある。昨年の米国のコンテストには 3500名が参加し (cyberstart.usに掲載された参加州からのレポートによる) 、英国のコンテストには 8000名以上が参加した。 また、英国内の男子、女子高校生1万名以上が既に CyberDiscoveryプログラムに登録、参加している。

米国のコンテストについて
http://girlsgocyberstart.com/
http://www.sans.org/CyberStartUS

英国のコンテストについて
http://www.ncsc.gov.uk/blog-post/its-back-cyberfirst-girls-competition-2018
http://www.cyberfirst.ncsc.gov.uk/girlscompetition/
http://www.joincyberdiscovery.com/

【編集者メモ】(Neely)
若い時期にスキルを学び、仲間を作り、技術を試す、またとない機会だ。コンテストの参加者はおそらく、次代を担う情報セキュリティ専門家の核となるだろう。コンテストが開かれる地域に住んでいて参加資格がある女子には、ぜひ参加を勧めたい。

◆ インディアナ州の病院がデータへのアクセス復旧のため、ランサムウェア攻撃者に金銭を支払う (2018.1.16 & 2018.1.17)
先週ランサムウェア攻撃を受けたインディアナ州の病院が、データへのアクセス復旧のため、攻撃者に 4ビットコイン (およそ55,000USドル) を支払った。ハンコック・リージョナル病院は、バックアップからのシステム復旧には時間とお金がかかるとの理由から、身代金を支払うことを決定したという。

http://www.theregister.co.uk/2018/01/16/us_hospital_ransomware_bitcoin/
http://www.zdnet.com/article/us-hospital-pays-55000-to-ransomware-operators/

【編集者メモ】(Murray)
ランサムウェア攻撃に直面し、我々は機能として、リストアに必要な時間を考慮し設計されたバックアップシステムを必要としている。バックアップは、ほとんど使われることがなく、限定的な数のファイルを復旧するためにしか使用しないという古い想定は、もはや機能しない。
【編集者メモ】(Williams)
我々は攻撃者が、DRプランの実行を回避し金銭を支払うような、ランサム攻撃の効果が大きい標的/企業を見つけるための実験を進めている証拠を見てきた。バックアップからの復旧コストが身代金の支払いよりも高い場合、企業は財政的に正しいと判断し、身代金を支払うようだ。しかし、我々が共に仕事をしてきた企業で、身代金を支払った場合、攻撃者はさらなる金銭を求め、新たな攻撃を試みてきている。身代金の支払いは、短期的には効果があるが、身代金を支払い続けることを避けるためには、早急にネットワークのセキュリティ対策を実施する必要がある。最も大事なことは、ネットワークの監視を導入し、初期の段階で攻撃を検出できる、技術レベルが高い人員を配置することだ。
【編集者メモ】(Neely)
記事にあるシステムはバックアップ機能を備えていたが、運用の要求に応えられるほどの速さでリストアすることはできなかった。バックアップシステムを運用する際、目標とする復旧時間を考慮に入れ、目標が確かに達成できることをテストし、さらに目標が変更されていないこと、またはその目標が、運用上の要求を満たすために必要な全てのシナリオにおいて適切であることを確認することを忘れてはならない。このプロセスには、定期的なDR訓練の実施が役立つだろう。

◆ 産業用制御システムと CPUのバグ (2018.1.18)
産業用制御システム(ICS) のベンダー 12社が ICS-CERTに対し、Meltdownと Spectre の影響を受けるプロセッサを使用していることを報告した。各社はユーザが取るべき推奨措置を含む、顧客向けの情報を公開している。

http://www.theregister.co.uk/2018/01/11/scada_mobile/
http://www.darkreading.com/endpoint/privacy/vulnerable-mobile-apps-the-next-ics-scada-cyber-threat/d/d-id/1330801
http://www.eweek.com/security/147-security-vulnerabilities-found-in-ics-mobile-applications

【編集者メモ】(Neely)
ICS ベンダー各社は影響、適用性、修正パッチの案内、そして軽減策に関する情報を提供している。ICS における軽減策のうち重要なものには、隔離や、システム上で追加の不要なアプリケーションを実行しないことが挙げられる。ICS ベンダーと連携し、修正パッチがテスト済みであるだけではなく、パフォーマンスへの影響が既知かつ許容範囲のものであることを確認するべきだ。

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の無料セミナー・イベント        <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○2月6日(火)、3月2日(金)
 事例から学ぶ特権ID・監査ログ管理実践セミナー
 ~クラウド時代に求められるアクセス管理を短期間・低コストで実現する方法とは~
https://www.nri-secure.co.jp/seminar/2018/ac04.html?xmid=300&xlinkid=02

○2月9日(金)
 分離・無害化技術によりマルウェアを100%防御する方法
 ~危険なWebサイトを自由に閲覧できるソリューションとは~
https://www.nri-secure.co.jp/seminar/2017/isolation02.html?xmid=300&xlinkid=03

○2月14日(水)、3月9日(金)
 場当たり的なセキュリティ対策からの脱却
 ~個別最適から全体最適への変換~
https://www.nri-secure.co.jp/seminar/2017/optimization01.html?xmid=300&xlinkid=04

○2月15日(木)、3月16日(金)
 ファイル交換・転送サービスの正しい選び方
 ~クラウドで業務効率・利便性とセキュリティを両立させるには~
https://www.nri-secure.co.jp/seminar/2017/file01.html?xmid=300&xlinkid=05

○SANS コミュニティナイトセッション
 ~Windowsクレデンシャル:攻撃手法と防御策~
https://www.nri-secure.co.jp/seminar/2018/sans02.html?xmid=300&xlinkid=06

○2月20日(火)、3月15日(木)
 デジタルビジネス時代の顧客ID管理・認証基盤のあり方
 ~Uni-ID Libraで実現するコンシューマサービスの認証連携と不正利用対策~
https://www.nri-secure.co.jp/seminar/2017/ciam03.html?xmid=300&xlinkid=07

○2月23日(金)
 オフィスの紙文書そのままで働き方改革できますか?
 ~捨てるもの、残すもの、使うものを考える~
https://www.nri-secure.co.jp/seminar/2018/sri02.html?xmid=300&xlinkid=08

○3月5日(月)
 SANSコミュニティナイトin大阪
 最新の攻撃に対処するためのセキュリティ運用
 ~Security Operations to Resist Current Attack Trends~
https://www.nri-secure.co.jp/seminar/2018/sans03.html?xmid=300&xlinkid=09

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃お知らせ                  <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○エンドポイントをセキュリティの潜在リスクから守る
 「マネージドEDRサービス」を4月に提供開始
https://www.nri-secure.co.jp/service/mss/edr.html?xmid=300&xlinkid=11

○企業におけるクラウドサービス利用を安全に行う可視化・アクセス制御
 (CASB)ソリューション「Netskope」を販売開始
https://www.nri-secure.co.jp/service/casb/netskope.html?xmid=300&xlinkid=12

○「グローバルセキュリティアセスメント」サービスを提供開始
 ~グローバルに展開する企業の情報セキュリティ診断と統制を推進~
https://www.nri-secure.co.jp/news/2018/0112.html?xmid=300&xlinkid=13

○自己問診によるPCI DSS準拠を支援する「PCI DSS SAQ準拠パッケージ」を
 販売開始
https://www.nri-secure.co.jp/service/pcidss/saq.html?xmid=300&xlinkid=14


NRI Secure SANS NewsBites 日本版は、米国の情報セキュリティの専門機関であるSANS Instituteが配信するコンテンツ (SANS NewsBites)をベースに、NRIセキュアテクノロジーズが編集してお届けしています。 世界中でこの1週間に起こったセキュリティのあらゆるトピックと専門家のコメントが掲載されています。原版は、およそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュースソースとして活用されています。組織のセキュリティ管理に関する参考情報としてお役立てください。掲載されている情報は、e-mailを介して自由に他の方に再送していただいて結構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望される方は、弊社ホームページの以下のページよりお申込みください。
https://www.nri-secure.co.jp/news_letter/

本ニュースレターは、メールマガジン配信を申し込まれた方、弊社からの情報を希望された方、SANS関連のイベントに参加された方、その他イベント等において弊社講演枠に登録された方に配信しています。
今後、配信をご希望されない方は会社名と御氏名を本文に明記のうえ、件名に【配信不要】、配信先変更をご希望の方は【配信先変更希望】とご記入頂き、新旧のご連絡先も記載のうえ、info@sans-japan.jpまでご返信をお願い致します。なお、情報の反映までにお時間を頂戴する場合がございます。