NRI Secure SANS NewsBites 日本版

Vol.13 No.04 2018年3月8日発行

■■SANS NewsBites Vol.20 No.014-017
(原版: 2018年 2 月20 日、23 日、27 日、3 月3 日)


日本版編集担当より:
2週間にわたる SANSトレーニングが終了いたしました。ご参加いただいた皆様
には篤く御礼申し上げます。 今回ご参加いただけなかった方も、6月のスケジ
ュールとお申し込み受付を開始いたしましたので、よろしくお願いいたします。

┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 申┃込┃開┃始┃し┃ま┃し┃た┃2018年6月開催 SANSトレーニング
 ━┛━┛━┛━┛━┛━┛━┛━┛申し込み受付開始しました!

【SANS Cyber Defence Japan 2018】6月開催 全7コース実施
https://sans-japan.jp/cyber_defence_japan2018/index.html

開催日:6/18(月)~23(土)
●SEC660:Advanced Penetration Testing, Exploit Writing, and
Ethical Hacking
●FOR572:Advanced Network Forensics:Threat Hunting, Analysis,
and Incident Response

開催日:6/18(月)~22(金)
●FOR578:Cyber Threat Intelligence

開催日:6/25(月)~30(土)
●SEC401:Security Essentials Bootcamp Style
●SEC504:Hacker Tools, Techniques, Exploits, and Incident Handling
●SEC501:Advanced Security Essentials - Enterprise Defender
●SEC560:Network Penetration Testing and Ethical Hacking

開催日:6/28(木)~29(金)
●Cyber Defense NetWars Tournament
※2018年6月18日~30日のSANSトレーニング受講者のみ無料でご招待いたします。
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛
◆ Amazon Web ServicesのS3バケットからFedEx社のデータが流出 (2018.2.15)
セキュリティ対策が十分でない Amazon Web Services(AWS) のS3サーバにおいて、Fe-dEx社が保有する、数万名におよぶ顧客に関する機密データが、外部にさらされた状態となっていた。流出した可能性のある情報には、パスポートや運転免許証、その他の身分証明が含まれる。このデータは最初に、2014年に FedEx社によって買収された Bongo International社が収集したものである。

http://www.scmagazine.com/open-aws-s3-bucket-exposes-private-info-on-thousands-of-fedex-customers/article/744812/
http://arstechnica.com/information-technology/2018/02/fedex-customer-data-left-online-for-anyone-to-rifle-through/

【編集者メモ】(Pescatore)
サンディエゴで開催中の SANSクラウドセキュリティサミットでは、 「サービスとしてのストレージ」、特に Amazon社の S3における、安全ではない状態での使用をいかに防止するかを題材とした、ユーザー視点に重点を置いた素晴らしいプレゼンテーションがいくつか披露された。継続して発生し続けているデータの外部流出には、Amazon S3 の設定ミスがいとも簡単に起きてしまうという現実がある。しかし同時に、「ねえ、誰かが飛行機の座席ポケットに忘れていったものを見てごらん」といった必然的に起こりうる事件を発見するために、公開されている S3 ツールやクラウドセキュリティに関するアドオンツールを利用することの重要性も示している。

◆ 信用憲章(Charter of Trust) において、政府および企業にとってのサイバーセキュリティの重要性が強調される (2018.2.16)
産業用制御システム(ICS) メーカーである Siemens社は、大手多国籍企業数社とともに、信用憲章に署名した。この憲章は、各国政府や企業、団体が、製品の開発や、企業活動における決定をする際に、サイバーセキュリティ対策を最重要の懸案と捉えるよう呼びかけることで、各国の重要インフラを守ろうとするものだ。

http://www.darkreading.com/threat-intelligence/siemens-leads-launch-of-global-cybersecurity-initiative/d/d-id/1331083
http://www.bloomberg.com/news/articles/2018-02-16/siemens-mounts-plan-for-cyberattack-defense-with-airbus-daimler
http://www.siemens.com/global/en/home/company/topic-areas/digitalization/cybersecurity.html

【編集者メモ】(Neely)
開発者サイドからサイバーセキュリティ対策を促すことは、NISTによるセキュリティ基準の制定と相まって IoTのサイバーセキュリティ水準を引き上げる鍵となる。
計画には、認定、規制の枠組み、事故情報の共有、そして教育が含まれる。以下の記事にある、アメリカ合衆国エネルギー省(DoE) の CESERのような活動と組み合わせることで、良い変化をもたらしてくれる可能性が高い。

◆ SWIFTシステムからの盗難がさらに 2件発覚 (2018.1.15、16、19)
ロシア中央銀行は報告書において、同銀行が SWIFTの国際決済メッセージングシステムを介した盗難により、3億3950万ルーブル(600万 USドル) を失ったことを公表した。攻撃は 2017年に発生したものだという。別の記事によると、インドの CityUnion 銀行は、今年初めに攻撃者により SWIFTシステムを悪用し、計1.8万 USドルが盗まれたと公表している。

http://www.theregister.co.uk/2018/02/19/crims_pull_another_swiftie_indian_bank_stung_for_nearly_us2m/
http://www.scmagazine.com/hackers-pilfered-6m-from-russian-central-bank-via-swift-system/article/745195/
http://www.reuters.com/article/us-russia-cyber-swift/hackers-stole-6-million-from-russian-bank-via-swift-system-central-bank-idUSKCN1G00DV
http://www.cityunionbank.com/downloads/Press_Release_swift.pdf

◆ エネルギー省が、サイバーセキュリティオフィスを設立 (2018.2.14、16)
米エネルギー省(DoE) が、Office of Cybersecurity, Energy Security, and Emergency Response(CESER) を設立した。予算案によると、9400万 USドルの支援金を受ける予定だ。CESER は米国の送電網や、他の重要インフラ構成部門を、サイバー攻撃、物理攻撃、自然災害から守る手助けをする役割を担うという。

http://www.nytimes.com/reuters/2018/02/14/technology/14reuters-usa-energy-cyber.html
http://fcw.com/articles/2018/02/16/energy-cyber-exascale-rockwell.aspx?admgarea=TC_Security
http://www.scmagazine.com/us-doe-creates-new-cybersecurity-office/article/745112/

【編集者メモ】(Neely)
DoE の予算にはまた、DoE のその他のシステムを安全な状態に保つための、サイバーセキュリティリスク管理費用として、3億9500万 USドルが計上されている。

◆ Amazon S3の設定ミスにより、ロサンゼルス・タイムズ紙のウェブページに、仮想通貨マイニングのコードが埋め込まれる (2018.2.22)
仮想通貨マイニングのコードが、ロサンゼルス・タイムズ紙のウェブページから発見された。Coinhiveのクリプトマイナーは、ウェブページを訪れた人物が使用する端末の処理能力を利用して、仮想通貨 Monero のマイニングを行った。ロサンゼルス・タイムズ紙のサイトでは、クリプトマイナーの出力が絞られており、端末のバックグラウンドで動作していることにユーザが気づくことはまずない。現在、当該コードは同サイトから削除されている。

http://threatpost.com/cryptojacking-attack-found-on-los-angeles-times-website/130041/
http://www.theregister.co.uk/2018/02/22/la_times_amazon_aws_s3/

【編集者メモ】(Williams)
ThreatPost と The Registerは、仮想通貨マイニングに焦点を置いているが、真の問題は Amazon Web Servicesにおける設定ミスだ。クリプトマイナーは、光熱費が多少上がる以外に、被害者への影響はほとんどない。しかし今回のケースでは、クリプトマイナーの埋め込みに、コンテンツ配信に使われたS3バケットが、全ユーザに書き込みを許可していたために発生した。攻撃者は同様の技術を用い、ランサムウェアのような、より破壊性の高いマルウェアを送り込むこともできただろう。残念なことに、より強力な攻撃は、攻撃者に多くの利益をもたらす結果となっていただろう。Amazonは、全ユーザに書き込み権限のあるS3バケットがどのような役割を持つのか、またそうした限られた使用例が、潜在する重大なリスクと見合うものなのかという点について真剣に考える必要がある。
【編集者メモ】(Neely)
活動内容が、やっかいなことから、脆弱性のあるシステムを利用した利益の創出へと変化している現代において、その目的を実現する方法として、ランサムウェアは仮想通貨マイニングにその座を奪われつつある。マルウェア対策機能の開発者が、仮想通貨マイニング対策機能の強化してくれることを期待したい。

◆ テスラ社のクラウド環境が、仮想通貨マイニングの目的でハッキングされる。(2018.2.20)
セキュリティが不十分であった、テスラ社のクラウド環境の一部が攻撃を受け、仮想通貨マイニングソフトウェアの実行に利用された。テスラ社の代表者はメールにて、会社は指摘を受けてから数時間の内に、この問題への対処を実施したと述べた。

http://arstechnica.com/information-technology/2018/02/tesla-cloud-resources-are-hacked-to-run-cryptocurrency-mining-malware/
http://www.cyberscoop.com/tesla-cryptomining-redlock-cloud-breach/
http://motherboard.vice.com/en_us/article/9kzn3a/hackers-infiltrated-tesla-to-mine-cryptocurrency

◆ 米国税関・国境警備局が、Eパスポートのデジタル署名を検証せず (2018.2.22)
2007年に導入された Eパスポートは、ビザ免除リストに掲載されている国の国民が米国に入国する際に提示が必要であるが、アメリカ合衆国税関・国境警備局(CBP)は、各文書のチップに記録されたデジタル署名を検証する技術を持ち合わせていない。チップの情報を検証する術が無ければ、データが改ざんされていたり、偽造されていたりした場合に判別ができない。米上院議員 Ron Wyden氏 (民主党・オレゴン州)と、Claire McCaskill氏 (民主党・ミズーリ州)は、CBP長官代理宛てに、CBPは「早急に Eパスポートの改ざんや偽造対策機能の実装に向け、行動する」よう要請する手紙を送付した。

http://www.zdnet.com/article/us-border-officials-havent-been-properly-verifying-visitor-passports-for-over-a-decade/

【編集者メモ】(Pescatore)
2009年にアメリカ合衆国税関・国境警備局は、GAO(政府監査院) の調査結果に同意し、アメリカ合衆国国務省やDHS(国土安全保障省) の部署と連携し、問題の解決に取り組むことを決めた。この 9年間何の行動も起こしていなかった。
【編集者メモ】(Neely)
この問題では、遠隔システムの可用性と応答時間に依存しない、費用対効果の高いシステムの導入が障壁となっている。そのため CBPがシステム導入に向け、一歩を踏み出す上での懸念点払拭についても、遅れを生じさせている。

◆ サイバーセキュリティ安全委員会設立の先例を作る (2018.2.21)
米国家運輸安全委員会(NTSB)は、米国における航空機墜落事故や、その他の運輸機関の事件、事故を調査し、公開報告書での調査結果公表や、安全性向上を目的とした新たな規性の提案を実施する。サイバーセキュリティ分野においても、同様の取り組みをすることで、企業や団体のサイバーセキュリティ対策実施状況の改善につなげることができるだろう。

http://theconversation.com/how-airplane-crash-investigations-can-improve-cybersecurity-91177

【編集者メモ】(Pescatore)
Steve Bellovin氏は、IEEE Security & Privacyにおいて 2012年に初めて、この取り組みの実施を提案した。素晴らしいアイデアである。

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃OUCH! 3月号「ソーシャルメディアを安全に利用するために」について
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
ソーシャルメディアには様々なのものがありますが、どれもが素晴らしいリソー
スであり、世界中の人々と交流することができます。しかし使い方によってはあ
なただけではなく、あなたが所属する会社にも影響を与えるようなリスクがあり
ます。今月は、ソーシャルメディアを安全に利用する方法について一般ユーザ向
けに分かりやすく解説します。社員の意識向上ツールとしてお使いください。
https://www.sans.org/sites/default/files/2018-03/201803-OUCH-March-Japanese.pdf
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆ 中国のハッカー集団が英国のシンクタンクを攻撃 (2018.2.26)
中国のハッカー集団が、英国のシンクタンクの、いくつかの団体のネットワークを攻撃した。標的となった団体は、いずれも国際安全保障や防衛といった分野を専門としている。

http://www.bbc.com/news/uk-43172371

◆ FTC が VPNアプリに関する注意喚起 (2018.2.23)
連邦取引委員会(FTC) は、先週掲載したブログ記事において消費者に対し、VPN アプリの利用を開始する前に、その VPNアプリについてしっかりと事前調査をするよう注意喚起した。300近くの VPNアプリを調査した、CSIRO、ニューサウスウェールズ大学、ICSI、そしてカリフォルニア州立大学バークレー校の研究者らの報告書によると、多くのアプリは通信を暗号化しておらず、消費者のプライバシー侵害につながる可能性のある情報や特権の提供を要求していた。また、いくつかの VPNアプリは、消費者のデータを第三者に売却している可能性が高いという。

http://www.consumer.ftc.gov/blog/2018/02/shopping-vpn-app-read
http://www.icir.org/vern/papers/vpn-apps-imc16.pdf
http://www.scmagazine.com/vpn-shoppers-warned-to-do-their-homework-before-using-vpn-apps/article/746475/

【編集者メモ】(Ullrich)
通信を暗号化していないという、明確な問題点は一旦置いておくとして、VPN サービスにおけるプライバシーは、悪意のある者が傍受したり、さらに場合によっては、消費者の通信を巧みに操作したりすることで、VPN のエンドポイントにおいて侵害される可能性がある。また、VPNは 1つの IPアドレス(例えば、自宅のアドレス)を、新しいアドレス(VPN用のIPアドレス) にただ変換するものであり、大半の追跡技術は利用者の IP アドレスを使用せず、その代わりにユーザの追跡においてはブラウザの機能を利用している。たいていの場合、安価なクラウドサーバ上に独自のVPN エンドポイントを立ち上げたほうが、安全かつ費用効率も良い。
【編集者メモ】(Pescatore)
FTC はいつも通りの先見性を発揮し、この問題について言及しているが、手引きに掲載されているものは、「利用前に VPNアプリについて調査をすること」のみだ。
インターネット上には偽の商品レビューが大量にあり、"Consumer Review Fairness Act" についてはさらに別の手引きが存在していて非常にわかりにくい。政府が個人のレビューサイトを推奨することはできないが、私が同じような質問をされた場合、消費者向けソフトウェアやセキュリティ対策製品において、実用的で公平な掲載をしていることから、たいていは CNETを推奨している。

◆ ロシアの干渉に対して大統領が対抗措置を取るよう命令を下さなかった、と NSA長官が発言 (2018.2.27 & 2018.2.28)
今週初め、アメリカ国家安全保障局(NSA) のマイケル・ロジャース長官・海軍中将は、上院軍事委員会において、ロシアによる選挙妨害に対して政府がとった行動は効果が無かったと述べた。アメリカサイバー司令部の司令官でもあるロジャース海軍中将は議員らに対し、対抗措置を取らない限り、ロシアが干渉を止めることはないと述べ、また、大統領はロシアからの攻撃に対し、対抗措置を取るよう命令を下さなかったと発言した。

http://arstechnica.com/tech-policy/2018/02/why-us-cyber-warriors-cant-do-anything-about-russian-cyber-meddling/
http://www.scmagazine.com/nsa-chief-hasnt-been-give-the-authority-to-battle-russian-interference/article/747087/
http://www.theregister.co.uk/2018/02/27/nsa_russia_election_hacking/
http://www.cyberscoop.com/michael-rogers-russian-hacking-donald-trump-us-cyber-command/?category_news=technology

【編集者メモ】(Murray)
ロジャース海軍中将は、サイバー攻撃に対する最善の対応は、サイバーベースによるものではないかもしれないが、政府が現在行っていることは、ロシアによる攻撃を止めるためには十分ではないということを、細心の注意を払い警告したようだ。

◆ 誤った設定がされた memchachedサーバが、DDosアンプ攻撃のベクトルとして利用される (2018.2.27、28、3.1)
2月27日に Cloudflare 社が掲載したブログ記事によると、UDPポート 11211からのmemcached プロトコルを利用したアンプ攻撃の顕著な増加について書かれている。その他の企業、団体もこの攻撃手法について言及している。

http://isc.sans.edu/forums/diary/How+did+this+Memcache+thing+happen/23391/
http://isc.sans.edu/forums/diary/Why+we+Dont+Deserve+the+Internet+Memcached+Reflected+DDoS+Attacks/23389/
http://blog.cloudflare.com/memcrashed-major-amplification-attacks-from-port-11211/
http://www.us-cert.gov/ncas/alerts/TA14-017A
http://www.zdnet.com/article/memcached-ddos-the-biggest-baddest-denial-of-service-attacker-yet/
http://www.theregister.co.uk/2018/02/28/memcached_reflected_dos_attacks/
http://www.scmagazine.com/flurry-of-ultra-amplified-attacks-point-to-udp-port-emanating-from-memcached-servers/article/747462/
http://arstechnica.com/information-technology/2018/02/in-the-wild-ddoses-use-new-way-to-achieve-unthinkable-sizes/
http://www.eweek.com/security/attackers-using-memcached-servers-to-amplify-ddos-attacks
http://threatpost.com/misconfigured-memcached-servers-abused-to-amplify-ddos-attacks/130150/

◆ GitHub が DDosアンプ攻撃の標的となる (2018.3.1)
2月28日水曜日、GitHubが最大で 1.35Tbps に達する、分散型サービス妨害 (DDoS)アンプ攻撃を受けた。攻撃によりGitHubはおよそ5分間サービスが停止し、さらにその後の 5分間はサービスが断続的利用の状態になっていた。

http://githubengineering.com/ddos-incident-report/
http://powerofcommunity.net/poc2017/shengbao.pdf
http://www.zdnet.com/article/github-was-hit-with-the-largest-ddos-attack-ever-seen/
http://www.eweek.com/security/github-hit-by-largest-ddos-attack-ever-recorded-at-1.35-tbps

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の無料セミナー・イベント        <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○3月12日(月)
 海外事例から学ぶメール訓練の進め方と新たな活用術
 ~PhishMeで実現する従業員教育と、教育効果を活用したセキュリティ対策~
https://www.nri-secure.co.jp/seminar/2018/0312.html?xmid=300&xlinkid=04

○3月14日(水)
 オフィスの紙文書そのままで働き方改革できますか?
 ~捨てるもの、残すもの、使うものを考える~
https://www.nri-secure.co.jp/seminar/2018/sri02.html?xmid=300&xlinkid=05

○3月15日(木)、4月24日(火)
 「ユーザーエクスペリエンス」と「セキュリティ」を両立するために
 ~Uni-IDで実現するコンシューマサービスの
              アイデンティティ管理と不正アクセス対策~
https://www.nri-secure.co.jp/seminar/2018/ciam03.html?xmid=300&xlinkid=06

○3月16日(金)、5月17日(木)
 ファイル交換・転送サービスの正しい選び方
 ~クラウドで業務効率・利便性とセキュリティを両立させるには~
https://www.nri-secure.co.jp/seminar/2018/file01.html?xmid=300&xlinkid=07

○4月26日(木)、5月18日(金)、6月20日(水)
 分離・無害化技術によりマルウェアを100%防御する方法
 ~危険なWebサイトを自由に閲覧できるソリューションとは~
https://www.nri-secure.co.jp/seminar/2018/isolation02.html?xmid=300&xlinkid=08

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃お知らせ                  <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○セキュリティ対策を支援するWebプラットフォームサービス「Secure SketCH」
 を4月から無料で提供開始。開始通知登録受付中。
https://www.secure-sketch.com/?xmid=300&xlinkid=11

○自己問診によるPCI DSS準拠を支援する「PCI DSS SAQ準拠パッケージ」を
 販売開始
https://www.nri-secure.co.jp/service/pcidss/saq.html?xmid=300&xlinkid=13

○「PCI 3DS準拠支援コンサルティング/審査」サービスを提供開始
https://www.nri-secure.co.jp/whats_new/2018/0223.html?xmid=300&xlinkid=14


NRI Secure SANS NewsBites 日本版は、米国の情報セキュリティの専門機関であるSANS Instituteが配信するコンテンツ (SANS NewsBites)をベースに、NRIセキュアテクノロジーズが編集してお届けしています。 世界中でこの1週間に起こったセキュリティのあらゆるトピックと専門家のコメントが掲載されています。原版は、およそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュースソースとして活用されています。組織のセキュリティ管理に関する参考情報としてお役立てください。掲載されている情報は、e-mailを介して自由に他の方に再送していただいて結構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望される方は、弊社ホームページの以下のページよりお申込みください。
https://www.nri-secure.co.jp/news_letter/

本ニュースレターは、メールマガジン配信を申し込まれた方、弊社からの情報を希望された方、SANS関連のイベントに参加された方、その他イベント等において弊社講演枠に登録された方に配信しています。
今後、配信をご希望されない方は会社名と御氏名を本文に明記のうえ、件名に【配信不要】、配信先変更をご希望の方は【配信先変更希望】とご記入頂き、新旧のご連絡先も記載のうえ、info@sans-japan.jpまでご返信をお願い致します。なお、情報の反映までにお時間を頂戴する場合がございます。