NRI Secure SANS NewsBites 日本版

Vol.13 No.10 2018年5月18日発行

************************************************************************
        NRI Secure SANS NewsBites 日本版
                  Vol.13 No.10 2018年5月18日発行
************************************************************************

┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 絶┃賛┃申┃込┃受┃付┃中┃!┃2018年 6月開催 SANSトレーニング
 ━┛━┛━┛━┛━┛━┛━┛━┛申し込み受付中!

【SANS Cyber Defence Japan 2018】6月開催 全7コース実施
https://sans-japan.jp/cyber_defence_japan2018/index.html

開催日:6/18(月)~23(土)
●SEC660:Advanced Penetration Testing, Exploit Writing, and Ethical Hacking
●FOR572:Advanced Network Forensics:Threat Hunting, Analysis, and Incident Response

開催日:6/18(月)~22(金)
●FOR578:Cyber Threat Intelligence

開催日:6/25(月)~30(土)
●SEC401:Security Essentials Bootcamp Style
●SEC504:Hacker Tools, Techniques, Exploits, and Incident Handling
●SEC501:Advanced Security Essentials - Enterprise Defender
●SEC560:Network Penetration Testing and Ethical Hacking

開催日:6/28(木)~29(金)
●Cyber Defense NetWars Tournament
※2018年6月18日~30日のSANSトレーニング受講者のみ無料でご招待いたします。
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛

──────────────────────────
■■SANS NewsBites Vol.21 No.032-037
(原版: 2018年 4月24日、27日、5月1日、4日、8日、11日)
──────────────────────────

◆ RSAにおける NSA職員の発言:既知の脆弱性が 24時間以内に悪用される(2018.4.17)
先週の RSAカンファレンスにおいて、アメリカ国家安全保障局(NSA) の職員は、国家の支援を受けたハッカー集団が、Equifax 社の情報漏洩の際に攻撃者が使用したものと同じ脆弱性を悪用し、アメリカ国防総省のシステムへの侵入を試みていたと述べた。このインシデントは、Apache Struts の脆弱性が公開されてから 1日以内に発生した。NSAの Cybersecurity Threat Operations Center上級技術責任者である David Hogue氏は、これは当たり前な事例であると述べた。

- http://www.cyberscoop.com/dod-apache-struts-equifax-david-hogue-nsa/
- http://www.pcmag.com/news/360496/nsa-hackers-weaponize-known-vulnerabilities-within-24-hours
────────────────

◆ Abott社が医療機器向けの修正プログラムを公開 (2018.4.19 & 2018.4.20) Abott Laboratories社は、ペースメーカーやプログラマ、遠隔監視システムの脆弱性を修正するファームウェアアップデートを公開した。発見された脆弱性は、機器へのアクセスや制御の変更に悪用される可能性がある。対象の機器は、2017年 1月に Abott社が買収した、St. Jude Medical社が製造したものだ。

- http://www.healthcareitnews.com/news/abbott-releases-firmware-patch-fix-cybersecurity-flaws-350000-medical-devices
- http://www.govinfosecurity.com/abbott-issues-software-patches-for-more-cardiac-devices-a-10869

【編集者メモ】(Pescatore)
本件について、FDA が「リコール」という単語を使用していることを評価したい。これによりある程度の緊急性が付与される。しかし一般的にリコールとは、自動車のリコールのように、消費者に費用面での負担を負わせないものである。医療用インプラントの業界では、医者が治療を担当し、病院が販売代理店の役割を担うが、費用は大抵、かさんだ状態で保険会社の負担となる。そして保険会社は当然、患者に費用の一部を負担させる。脆弱性により発生する費用は、より直接的に機器の製造業者に降りかかるべきだ。
────────────────

◆ 「奇虎360」社が Microsoft社に対し、Internet Explorerカーネルの脆弱性を報告 (2018.4.20 & 2018.4.23)
中国系企業である 「奇虎360」社の、コアセキュリティグループに所属する研究者らが、Microsoft社に対し、APT (Advanced Persistent Threat) 攻撃グループがコンピュータをマルウェアに感染させる際に悪用していると見られている Internet Explorer(IE) の脆弱性を通知した。 この脆弱性により、IEやIEのカーネルを利用するアプリが影響を受けるが、Microsoft Edgeには影響しないという。

- http://isc.sans.edu/forums/diary/New+IE+0day+in+the+wild/23581/
- http://www.zdnet.com/article/internet-explorer-zero-day-alert-attackers-hitting-unpatched-bug-in-microsoft-browser/
- http://www.theregister.co.uk/2018/04/23/quihoo_360_yes_we_found_a_windows_0day_no_you_cant_know_what/
- http://www.bleepingcomputer.com/news/security/internet-explorer-zero-day-exploited-in-the-wild-by-apt-group/
────────────────

◆ スキーリフトの制御パネルが、保護されていない状態でインターネットに接続されていた (2018.4.26)
オーストリアのインスブルックにあるスキー場のリフト制御パネルが、インターネット上からであれば誰でもアクセスし、リフトの速度、ワイヤーの張りの強さ、各リフトの間隔を変更することが可能な状態であった。
使用されていたソフトウェアの脆弱性は、早期から製造業者に報告されており、業者はこの脆弱性を修正しているが、このリフトは修正パッチが適用されていない古いバージョンのソフトウェアで稼働していた。

- http://www.bleepingcomputer.com/news/security/ski-lift-in-austria-left-control-panel-open-on-the-internet/

【編集者メモ】(Neely)
SCADAと制御システムの正しい隔離と分離は、産業用制御システムのセキュリティにおいて鍵となる要件だ。ファームウェアアップデートは利用可能であったが、繁忙期におけるアップデートの適用は、リグレッションテストとロールバックのための十分な停止時間が確保されていない場合、注意が必要だ。
古いシステムが接続しているネットワークがインターネットにつながっている場合、そのシステムが外部にさらされ、発見された状態であることが多すぎる。「CSC1:運用しているネットワーク上に何があるのかを知る」の重要性が軽視されている証拠だ。
どの機器がインターネットに接続可能な状態か、あなたの仮説を確認する偵察源として、Shodanを活用すると良いだろう。
【編集者メモ】(Pescatore)
製造システムや SCADA 機器、さらにスキーリフトの制御パネルといった運用技術(OT)は、「Internet of Things」が謳い文句となるずっと以前から、インターネットに接続され、脆弱な状態であった。
OTのセキュリティ確保における第一歩は常に可視性の確保、つまり運用しているネットワーク上またはIPアドレス帯に何が存在しているのかを把握することだ。Shodan検索エンジンをその第一歩としておすすめする。信用のある全ての脆弱性診断製品には、OT機器を発見し分類する機能が含まれているようだ。
────────────────

◆ 脆弱性公開の数時間後に、攻撃者が Drupalの脆弱性を悪用 (2018.4.25)
Drupalがコンテンツ管理システムにおける重大な脆弱性を公開してから数時間の間にも、攻撃者らは活発にこの脆弱性の悪用を開始していたようである。
Drupalはこの脆弱性 CVE-2018-7602に対応する修正プログラムを公開しているが、この修正プログラムを、Drupalgeddon 2 として知られる脆弱性 CVE-2018-7600 用のものと混同してはならない。後者の脆弱性は数週間前に修正されているものだ。関連する記事では、攻撃者がウクライナ共和国のエネルギー・石炭産業省に対するランサムウェア攻撃において、Drupalgeddon 2 を悪用していたことを報じている。

- http://www.drupal.org/sa-core-2018-004
- http://arstechnica.com/information-technology/2018/04/with-drupalgeddon2-still-under-attack-drupal-fixes-a-new-critical-flaw/
- http://www.bleepingcomputer.com/news/security/hackers-dont-give-site-owners-time-to-patch-start-exploiting-new-drupal-flaw-within-hours/
- http://www.scmagazine.com/drupal-releases-patch-for-a-code-execution-bug-actively-being-exploited/article/761493/
- http://threatpost.com/ransomware-attack-hits-ukrainian-energy-ministry-exploiting-drupalgeddon2/131373/

【編集者メモ】(Ullrich)
この脆弱性を悪用した攻撃の例はこちら。
http://isc.sans.edu/forums/diary/More+Threat+Hunting+with+User+Agent+and+Drupal+Exploits/23597/
【編集者メモ】(Williams)
このニュースは、NSAが脆弱性情報を公開した後 24時間以内に脆弱性の悪用を確認しているという、RSA において発表された事実と関連しているが、今回は悪用までに 5時間もかかっていないのだ。
修正パッチ適用にかけられる時間は劇的に短くなっており、多くの事例では、企業や団体がただ期待するだけで勝てる競争ではなくなっている。攻撃者らがコード実行のために、新たに公開された脆弱性の悪用までにかける時間の短さは、継続的なネットワーク監視 (侵入を検知するため) とインシデントへの対応計画 (確実に起こるであろう悪用に対応するため) の必要性を示唆しているのだ。
────────────────

◆ ごく少数の連邦契約業者が DMARCの実装を完了 (2018.4.25)
米連邦政府と契約がある業者への調査によると、上位50の企業や団体のうち 1社しか、フィッシング攻撃防止に効果がある Domain-based Massage, Authentication, Reporting, and Conformance(DMARC) を実装していないことが判明した。もう 1社の場合は、なりすましメールが隔離されるようにも DMARCが設定されていた。米国土安全保障省(DHS) の命令では、政府機関に対し2018年 1月15日までに DMARCを実装するよう指示していた。

- http://www.cyberscoop.com/federal-it-contractors-dmarc-global-cyber-alliance/

【編集者メモ】(Henry)政府が、ネットワークをより安全なものにできるであろう、明確な命令を強制できない点に問題がある。組織が効果的なセキュリティを確保するには、必要なポリシー、プロセス、技術を導入し、基準に従わず組織に脅威を与える者に責任を課す権力を持つことが要求されるのだ。
【編集者メモ】(Pescatore)
これを読んでいる全て (政府関係以外の者も含む!) の政府機関 CSOやプログラムマネージャへ:DMARC 実装を要求事項として次回の RPFに盛り込み、評価基準で重みづけするべきだ。
【編集者メモ】(Neely)
DMARC 実装には 3つの大きな課題がある。
第一に、自組織のドメインだけなく、あなたの組織に代わってメールを送信する全てのサードパーティサービスにおいて、設定されていることを確認すること。
第二に、全ての信頼できるサブドメインが含まれていることを確認すること。
第三に、メッセージを拒否もしくは隔離するために信頼を得ること。
3つ目については、経営陣が十分なROIが見込めないまま、メールを失うリスクを背負う可能性が低いため、交渉は難航するだろう。その場合、問題を認識、解決し、ノーアクションから隔離、拒否へと計画的だが慎重に前進するために、DMARC 分析ツールの導入が必要だ。
────────────────

◆ FERC の新基準がセキュリティ管理を強化 (2018.4.23)
米国連邦エネルギー規制委員会 (FERC) は、送電網をサイバー攻撃の脅威から守ることを目的に立案された新基準を承認した。Critical Infrastructure Protection Reliability Standard CIP-003-7は、「低負荷の BESサイバーシステムで使用される、一時的な (もしくはポータブルの) 電子機器に関する強制セキュリティ管理を要求する。」ものとなっている。

- http://www.ferc.gov/whats-new/comm-meet/2018/041918/E-3.pdf
- http://www.scmagazine.com/new-standard-accepted-by-federal-energy-regulatory-commission-for-critical-infrastructure-protection/article/760519/
- http://www.cyberscoop.com/ferc-ruling-low-impact-systems-cybersecurity/

【編集者メモ】(Murray)
送電網は我々の日常生活にとって、実存するリスクであり続けている。いくつかの州による費用と料金に関する規制や、運用中の効率的な補修作業を優先する業界の文化が、リスクの緩和を妨げている。この基準への支援は非常に重要である。
────────────────

◆ 政府機関の DMARC導入率が最も高い (2018.4.26)
ValiMail社が実施した調査によると、連邦政府の DMARC導入率が他のどの部門よりも高いことが判明した。米国土安全保障省(DHS) は昨秋、全ての連邦政府機関に対し、2018年1月までの DMARC導入を求める拘束力のある命令18-01を発表している。
ValiMail社の調査では、2018年第一四半期末時点で、連邦政府ドメインのうち 68%が DMARCの実装を完了していた。その他、技術部門は50%、銀行は36%、ヘルスケアは26%、そしてメディア関連企業は13%という結果となった。ちなみに、DHS が設けた連邦政府機関の導入期限前に調査した、政府機関の DMARC導入実績は 19%であった。Global Cyber Alliance による別の調査では、連邦契約業者の大半が DMARCの実装を完了していない事実が報告されていた。

- http://www.nextgov.com/cybersecurity/2018/04/government-leads-major-industries-email-security/147743/
- http://cyber.dhs.gov/bod/18-01/

【編集者メモ】(Murray)
DMARCは、広く利用されている攻撃や、成功の可能性が高い攻撃に対して効果がある。またDMARCは効率的だ。導入にかかる費用はリスクの低減と比べると少ない。全ての企業や団体は、DMARCをサイバーセキュリティ対策の必須項目に組み込むべきだ。
【編集者メモ】(Neely)
DMARCは、企業や団体のドメインを不正に使用したメッセージを隔離したり拒否したりする際に、その判別や許可を手助けする便利な技術だ。現在では、DMARCのレポートの分析以外に、メールのトラフィックフローに影響が出る前段階で、企業や団体が DMARCを正しく実装できているか確認する際に役立つ、複数の信頼できるサービスが提供されているのだ。
【編集者メモ】(Pescatore)
民間産業における DMARC導入に関する混乱の度合いは、とても低い。数年前に発生していた問題を回避するための、簡単な教訓を学んだのだ。導入の割合は低いままだが、これは様々なコンプライアンスに関する制度が、強制力をともなっていないことが理由だ。サプライチェーンのサイバーセキュリティ対策を進める際、全てのRFP要求事項に DMARC導入を盛り込み、評価基準に重点を置くべきだ。
────────────────

◆ サイバーセキュリティ対策チームの成功を左右するものは何か (2018.4.27)
米陸軍研究所は、サイバーセキュリティ対策チームが、メンバー間の交流を最低限に抑えた場合に、最高のパフォーマンスを発揮することを確認した。優秀なサイバーセキュリティ対策チームのメンバーであれば、自身の役割と責任を正しく把握できているのだと考えられている。研究者らは今年初春に開催された、Mid-Atlantic Collegiate Cyber Defense Competition の参加チームを調査し結論付けたという。

- http://www.arl.army.mil/www/default.cfm?article=3209
- http://arstechnica.com/information-technology/2018/04/army-researchers-find-the-best-cyber-teams-are-antisocial-cyber-teams/
- http://gcn.com/articles/2018/04/27/arl-cyber-team-efficiency.aspx?admgarea=TC_SecCybersSec

【編集者メモ】(Pescatore)
本件に関連する報道の多くは、「少ない交流がサイバーセキュリティ対策チームを良質なものにする」といった文句に、安易に食いつく傾向がある。
本当に大事なポイントは、「成熟したプロセスを使用する、用意が周到で、訓練されており、しっかりと管理されたチームがより良いパフォーマンスを発揮し、パフォーマンス改善のための個人的な交流は少なくて済む」ということだ。
もう一つ重要なポイントは、防衛のための演習は、経営陣やIT、ビジネス部門 (セキュリティ対策チームの外部) との交流が企業や団体を保護する上で重要となる、サイバーセキュリティ対策チームの日常業務とは大きく異なるということだ。
【編集者メモ】(Murray)
「チーム」とその他のグループや集まりの違いは、「計画」だ。少なくとも、計画には誰が何をし、いつ実行するのかが記されている。これは古代ローマ帝国の時代から続く、軍隊がもつ基本原則の一部である。

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃OUCH! 5月号「GDPR」について
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
欧州で制定された個人情報保護に関する法律 GDPR (General Data Protection
Regulation) の完全施行が5月25日と間近に控えるなか、GDPR の基本を押さえて
おくことは、コンプライアンス上の観点からも重要です。今月は、GDPRについて
の基本を紹介すると共に、注意点なども一般ユーザ向けに分かりやすく解説しま
す。社員の意識向上ツールとしてお使いください。
https://www.sans.org/sites/default/files/2018-05/201805-OUCH-May-Japanese.pdf
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

◆ 複数のハッカーが、Oracle社製品の脆弱性を、発表の数時間後に悪用していた (2018.4.30 & 2018.5.3)
システム管理者は、リモートコード実行の脆弱性であるCVE-2018-2628 に対する、Oracle社製品向けの修正パッチを早急に適用する必要がある。複数のハッカーは、Oracle社が 4月中旬に修正パッチを公開した数時間後に、脆弱性の悪用を始めていた。
さらに、この修正パッチが容易にバイパスできる可能性を示唆した研究が、問題を悪化させている。問題が解決されるまでの間、「WebLogicのインストールに使用する、TCP 7001番ポートへのアクセスをできる限る制限する」よう、システム管理者には注意が促されている。

- http://isc.sans.edu/forums/diary/WebLogic+Exploited+in+the+Wild+Again/23617/
- http://www.theregister.co.uk/2018/05/03/slow_to_patch_oracle_bugs_dont_be_attackers_jump_all_over_them/
- http://www.theregister.co.uk/2018/04/30/oracle_weblogic_software_patch_can_be_bypassed/

【編集者メモ】(Neely)
Oracle 社が根本的な脆弱性の修正ではなく、1つの攻撃方法をブロックしたに過ぎなかったために、修正パッチをバイパスすることが可能であったようだ。7001番ポートは WebLogic Server の管理サーバにおいて、デフォルトで Listen状態となっているポートであり、7001番から9000番であればポート番号を変更可能だ。
7001番ポートへのアクセス制限だけでなく、ポート番号の変更も検討すべきだ。実際にポート番号を変更した場合、管理ツールの設定も変更する必要がある。
────────────────

◆ ワシントン州の公共事業管轄区が、仮想通貨マイニングに関する事件の後、従業員向けのセキュリティシステムを追加 (2018.5.2 & 2018.5.3)
シェラン郡 (米ワシントン州) 公共事業管轄区 (Public Utilities District:PUD) は、電力供給停止により動揺した不正な仮想通貨マイナーや、モラトリアムによって高密度負荷サービスの提供を拒否され、不満を募らせた仮想通貨マイナーを志す者が関与した複数の事件が発生した後、PUD 本部に防弾パネルやセキュリティカ
メラを設置している。
2018年3月にPUDの運営委員らは、職員による増大した需要への対応計画の策定を支援する目的で、高密度負荷に関するモラトリアムを制定した。モラトリアムではさらに、不正な仮想通貨マイニング事業者へのサービス提供を停止できる権限を、PUD職員に付与している。

- http://www.chelanpud.org/about-us/newsroom/news/2018/04/03/pud-board-acts-to-halt-unauthorized-bitcoin-mining
- http://www.govtech.com/public-safety/Washington-Utility-Boosts-Security-After-Bitcoin-Mining-Moratorium.html

【編集者メモ】(Northcutt)
本当に素晴らしいニュースだ。私は 8か月前現地にいた。そこでは水力発電により電力が安価であったため、いたるところにマイニング事業者が存在していた。そのため、PUDは取り締まりを模索しているところだ。
関連記事はこちら(Wall Street Journalの記事は有料です)。
- http://btcmanager.com/washington-chelan-county-pud-we-will-no-longer-tolerate-illegal-bitcoin-mining-activities/
- http://www.wsj.com/articles/rural-washington-is-a-hot-spot-for-bitcoin-miners-1518354001
【編集者メモ】(Pescatore)
記事の内容は極端な例だが、2つの重要なポイントを象徴している。
(1)ビジネスイベントあるいは宣伝は、企業や団体へのサイバー攻撃の可能性を急速に高めてしまうため、より高度なレベルでの監視、予防、対応が必要となる。
(2) 物理的なセキュリティは、サイバーセキュリティとは大分異なる分野である。
2つの分野は同じ内容を含んでおり、統合されたプロセスによってどちらの分野にも良い影響を与える可能性があるが、それぞれの分野における実用的な専門技術を備えておくことが重要だ。これはたいていの場合、別々の組織の存在を意味する。
────────────────

◆ Schneider Electric社が、ICSソフトウェアの重大な脆弱性に対する修正プログラムを公開 (2018.5.2)
Tenable社の研究者らが、Schneider Electric 社製の産業用制御システムソフトウェアにおける重大な脆弱性を発見した。
この脆弱性が悪用されると、ソフトウェアが使用されている工場の操業が混乱、もしくは停止する可能性がある。この脆弱性によって、Schneider Electric 社製の InduSoft Web Studio と InTouch Machine Edition の各製品が影響を受ける。このことから Schneider Electric 社は、脆弱性に対する修正プログラムを公開している。

- http://software.schneider-electric.com/pdf/security-bulletin/lfsec00000125/
- http://www.tenable.com/blog/tenable-research-advisory-critical-schneider-electric-indusoft-web-studio-and-intouch-machine
- http://www.scmagazine.com/zero-day-vulnerability-found-in-two-schneider-electric-ics-products/article/763083/
- http://www.zdnet.com/article/critical-security-flaw-schneider-industrial-software-power-plants-vulnerabilty/
- http://www.cyberscoop.com/schneider-electric-tenable-hmi-vulnerability/?category_news=technology

◆ DHSのプログラムにおいて、各政府機関に対し脆弱性評価表を毎週提供(2018.5.4)
米国土安全保障省(DHS) は、106 の政府機関に対し、基本的なサイバーセキュリティ対策の評価表を毎週提供している。評価表の情報源は、ライブ配信されるダッシュボードだ。
いくつかの機関はデータの整合性に疑問を抱いている。情報が頻繁にアップデートされることで、月曜日に評価表に記載された情報が、数日後にはダッシュボードの表示と異なっている可能性があるためだ。

- http://www.meritalk.com/articles/dhs-program-offers-cyber-report-cards-to-106-agencies-threat-intel-to-white-house/

【編集者メモ】(Pescatore)
これまで 8年近くに渡り、政府機関は保有するシステムの継続的な監視を求められてきた。つまり「新鮮な」脆弱性のデータはそれほど衝撃的なものではないが、必要とされているものだ。
────────────────

◆ 英国で開催された CyberFirst Girls の成績優秀者が、バッキンガム宮殿に招待される (2018.5.4 & 2018.5.6)
英国で開催された CyberFirst Girls に参加し、優秀な成績を修めた複数の学生チームが、ヨーク公爵によりバッキンガム宮殿に招待された。
招待されたのは、4500名の若い女性であり、彼女たちはプログラムに参加して、成績が優秀であった上位10校から複数のチームメンバーとなっている。ヨーク公爵は、「CyberFirstは、女性にサイバーセキュリティの最前線への興味を持ってもらう上で、間違いなく重要な役割を担っている」と述べた。

- http://www.ncsc.gov.uk/news/his-royal-highness-duke-york-kg-welcomes-finalists-national-cyber-security-challenge-buckingham
- http://www.chelmsfordweeklynews.co.uk/news/16208001.Girls_who_took_part_in_nationwide_cyber_security_challenge_invited_to_Buckingham_Palace/

【編集者メモ】(Paller)
同様のプログラム(CyberStart) は、GirlsGoCyberStart という名のもと、2月に米国の女子高校生向けにも開催され、6650名が参加した。結果として、サイバーセキュリティ分野での仕事に興味を持つ若い女性の割合が、36%から70%へと倍増した。
このプログラムはサイバーセキュリティ分野に興味を持った、粘り強い学生を見極め、成長させ、創造力と問題解決能力を養い、サイバーセキュリティを始めとした
様々な分野の基礎を学んでもらう機会となった。そして州知事がスポンサーとなりGirlsGoCyberStart を開催した16州の教員や保護者らが、各州知事に対して秋学期に CyberStartを授業で使用する許可を求めているようだ。

- http://www.sans.org/CyberStartUS
────────────────

◆ 砂漠研究所がサイバーセキュリティ・インターンシッププログラム立ち上げのため、SANSと提携 (2018.4.27)
砂漠研究所 (DRI) は、2018 DRI サイバーセキュリティ・インターンシッププログラムの立ち上げに向け、SANSと提携を結んでいる。このプログラムは、ネバダ州北部の住民を対象に、2018年 8月から12月まで運営される予定で、参加申込書は2018年5月31日まで受け付けているという。参加希望者は、6月18日から22日に亘り開催される、SANS CyberStart Game in Renoへ参加する必要がある。
選考を通過しプログラムへの参加が決まった者は、SANS CyberStart Essentialsコースを受講し、その後8月から12月までの間、週1日で DRIの仕事に就く予定だ。プログラムの締めくくりとして、インターンシップ参加者は CyberStart Essentialsの認定試験を受験することになる。

- http://www.dri.edu/cybersecurity
- http://globenewswire.com/news-release/2018/04/27/1489446/0/en/DRI-launches-cybersecurity-internship-program-in-collaboration-with-SANS-Institute.html
────────────────

◆ 修正パッチが適用されていない Drupalを使用しているウェブサイトが、Cryptojacking マルウェアの標的となっている (2018.5.3 & 2018.5.7)
最近公開された、Drupalにおける 2つの脆弱性に対する修正パッチを適用していないウェブサイトが、Cryptojackingマルウェアの標的となっている。これまでに400以上の大学や政府関連のウェブサイトが感染した。

- http://www.bleepingcomputer.com/news/security/drupal-sites-fall-victims-to-cryptojacking-campaigns/
- http://threatpost.com/cryptojacking-campaign-exploits-drupal-bug-over-400-websites-attacked/131733/
- http://arstechnica.com/information-technology/2018/05/hundreds-of-big-name-sites-hacked-converted-into-drive-by-currency-miners/
- http://www.theregister.co.uk/2018/05/07/drupal_bug_exploits/
- http://www.scmagazine.com/cat-burglar-kitty-cryptominer-targets-web-application-servers-then-spreads-to-app-users/article/763411/
────────────────

◆ 調査の結果ミレニアル世代の間では、サイバーセキュリティ分野の仕事への関心が低いことが判明 (調査会社は正しい質問をしなかった)(2018.5.8)
ProtectWise社と Enterprise Strategy Group 社によるレポートによると、ミレニアル世代のうちサイバーセキュリティ分野での就職に関心がある者の割合は、9%に留まることが判明した。
調査に参加した 524名のうち、ほぼ半数が K-12(幼稚園から高校卒業まで) の期間に STEM 教育を受けていた。多くはコンピュータ関連の仕事に興味を示したが、サイバーセキュリティ分野への関心の低さは、おそらくサイバーセキュリティに関する知識の少なさに起因している。調査を受けた者のうち多くはサイバーセキュリティ専門家がいるのをを知らず、サイバーセキュリティの授業を受けたことが無かったという。

- http://www.techrepublic.com/article/only-9-of-millennials-are-interested-in-a-cybersecurity-career/
- http://www.protectwise.com/post/survey-suggests-younger-generations-including-females-may-fill-the-cybersecurity-talent-gap/

【編集者メモ】(Paller)
米国内の16名の州知事がスポンサーとなった高校生向けのプログラムでは、サイバーセキュリティ分野の仕事への関心が36%から70%へと倍増した。ミレニアル世代に実際のサイバーセキュリティ関連の問題を解くための刺激を与えるのではなく、「講義」を行う側のみがこの問題について頭を悩ませているのだ。CyberStart の概要はこちら。
- http://cyberstart.us/

STEM分野の仕事への関心が倍増した (たった6日間の経験で) 件の詳細はこちら。
- http://www.sans.org/CyberStartUS/girls-go-cyberstart-feedback

【編集者メモ】(Pescatore)
コンピュータ関連の仕事に興味を持っている子供たちが、「犯罪者が侵入できないアプリやシステム、ビジネスの構築ができたら凄い」と思うようになることが、同様に (もしくはより) 重要だと考える。
────────────────

◆ 米サイバー軍を統合軍に格上げ (2018.5.4 & 2018.5.8)
陸軍大将 Paul Nakasone氏が、米サイバー軍の司令官と、米国家安全保障局(NSA)長官に就任した同日、米サイバー軍は独立した統合軍に格上げされた。米国防副長官である Patrick Shanahan 氏は今回の動きについて、「サイバー空間という新しい戦闘領域の成立を認めるもの」であると述べた。

- http://www.fifthdomain.com/dod/cybercom/2018/05/07/nakasone-takes-helm-at-nsa-and-newly-elevated-cyber-command/
- http://www.military.com/defensetech/2018/05/04/cyber-command-elevated-combatant-command.html
- http://www.reuters.com/article/us-usa-defense-cyber/pentagons-cyber-command-gets-upgraded-status-new-leader-idUSKBN1I52MS

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の無料セミナー・イベント        <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○6月20日(水)
 分離・無害化技術によりマルウェアを100%防御する方法
 ~危険なWebサイトを自由に閲覧できるソリューションとは~
https://www.nri-secure.co.jp/seminar/2018/isolation02.html?xmid=300&xlinkid=02

〇5月23日(水)~24日(木)
 PCIセキュリティ基準審議会 2018年アジア太平洋地域コミュニティ会議
https://www.nri-secure.co.jp/news/2018/0508.html?xmid=300&xlinkid=03

〇5月25日(金)、6月22日(金)
 「ユーザーエクスペリエンス」と「セキュリティ」を両立するために
 ~Uni-IDで実現するコンシューマサービスのアイデンティティ管理と不正アクセス対策~
https://www.nri-secure.co.jp/seminar/2018/ciam03.html?xmid=300&xlinkid=04

〇5月25日(金)
 オフィスの紙文書そのままで良いですか?
 ~削減するもの、残すもの そして、残すものの使い方を考える~
https://www.nri-secure.co.jp/seminar/2018/sri03.html?xmid=300&xlinkid=05

○6月13日(水)、7月12日(木)
 事例から学ぶ特権ID・監査ログ管理実践セミナー
 ~クラウド時代に求められるアクセス管理を短期間・低コストで実現する方法とは~
http://www.nri-secure.co.jp/seminar/2018/ac04.html?xmid=300&xlinkid=06

〇6月19日(火)
 SANS コミュニティナイトセッション
 ~Windows Event Logs for Incident Response~
 :インシデントレスポンスに有効なWindowsイベントログ
https://www.nri-secure.co.jp/seminar/2018/sans04.html?xmid=300&xlinkid=07

〇6月21日(木)
 契約書管理ソリューションセミナー
 ~企業における重要文書を"がっちり守り"ながら"使い易く"~
https://www.nri-secure.co.jp/seminar/2018/contract01.html?xmid=300&xlinkid=08

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の有料研修               <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○6月
 SANS Cyber Defence Japan 2018
https://sans-japan.jp/cyber_defence_japan2018/index.html?xmid=300&xlinkid=11

○7月、8月、10月、11月、2019年1月、3月
 CISSP CBKトレーニング
https://www.nri-secure.co.jp/service/isc2/cissp.html?xmid=300&xlinkid=12

○10月、2019年3月
 セキュアEggs
 (IT+セキュリティ基礎/インシデント対応/フォレンジック/WEBアプリセキュリティ)
https://www.nri-secure.co.jp/service/learning/secureeggs.html?xmid=300&xlinkid=13

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃コラム(NRIセキュア in-depth / Secure SketCH Blog)<NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
<NRIセキュア in-depth>
〇パスワードの限界とこれからのユーザー認証(前編)
https://www.nri-secure.co.jp/security/report/2017/cstar.html?xmid=300&xlinkid=16

<Secure SketCH Blog>
○働き方改革にも有効、先進事例に学ぶ次世代のマルウェア対策
https://www.secure-sketch.com/blog/remotework-and-managed-endpoint-detection-and-response?xmid=300&xlinkid=17

○“網羅的かつ簡易的”がキーワード、セキュリティ対策の全体像とは?
https://www.secure-sketch.com/blog/secure-sketch-framework?xmid=300&xlinkid=18

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃お知らせ                     <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○無料でセキュリティ対策状況をWeb上でチェック。レベル、課題等を可視化
 して必要な対策がわかるWebプラットフォーム「Secure SketCH」提供開始
https://www.secure-sketch.com/?xmid=300&xlinkid=19

○NRIセキュア、コーポレートブランドマークを刷新
https://www.nri-secure.co.jp/news/2018/0501.html?xmid=300&xlinkid=20

--

NRI Secure SANS NewsBites 日本版は、米国の情報セキュリティの専門機関であるSANS Instituteが配信するコンテンツ (SANS NewsBites)をベースに、NRIセキュアテクノロジーズが編集してお届けしています。
世界中でこの1週間に起こったセキュリティのあらゆるトピックと専門家のコメントが掲載されています。原版は、およそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュースソースとして活用されています。組織のセキュリティ管理に関する参考情報としてお役立てください。
掲載されている情報は、e-mailを介して自由に他の方に再送していただいて結構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望される方は、弊社ホームページの以下のページよりお申込みください。
https://www.nri-secure.co.jp/news_letter