NRI Secure SANS NewsBites 日本版

Vol.13 No.14 2018年7月2日発行

************************************************************************
        NRI Secure SANS NewsBites 日本版
                  Vol.13 No.14 2018年7月2日発行
************************************************************************
日本版編集担当より:
先週は2週間にわたり、Cyber Defence Japan 2018にご参加いただきありがとう
ございました。9月のコースも目白押しとなっておりますので、ご期待ください。

┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 新┃規┃コ┃ー┃ス┃申┃込┃開┃始┃!┃2018年 9月開催 SANSトレーニング
 ━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛お申し込み受付を開始しました!

【SANS Tokyo Autunm 2018】9月開催 全11コース実施
https://sans-japan.jp/sans_tokyo_autumn2018/index.html

★今週の注目コース:9月開催コースをピックアップしてご紹介します。

・SEC401:Security Essentials Bootcamp Style
こちらのコースは、日本人講師によるトレーニングで、SANSとしては例外的に日本語に翻訳されたテキストとなっています。そのため、頻繁に行なわれる教材アップデートに合わせて翻訳されたものをご提供します。SEC401がカバーする分野は幅広く、サイバーセキュリティの基礎となる知識やスキルを習得するには最適なコースです。毎回、満席に近い形での開催となりますので、受講を検討されている方は、お早めにお申し込みください。次回はSEC503をご案内します。

開催日:9/3(月)~8(土) <早期割引は7月20日まで>
●SEC401:Security Essentials Bootcamp Style
  SANSのオーソドックスなコース。サイバーセキュリティのイロハをここで!
●SEC503:Intrusion Detection in- Depth
  SEC511と並んでネットワークの運用監視に携わる方は必見です。
●SEC508:Advanced Digital Forensics,Incident Response, and Threat Hunting
  フォレンジックから脅威をハンティングする、組織の対抗能力を高めます。
●FOR610:Reverse-Engineering Malware
- Malware Analysis Tools and Techniques
実践的なマルウェア解析について学びたい方にお勧めです。

開催日:9/3(月)~7(金) <早期割引は7月20日まで>
●SEC566:Implementing and Auditing the Critical Security Controls-In-Depth
  CSCの実装や監査にお悩みの方に強くお勧めできるコースです。

開催日:9/10(月)~15(土) <早期割引は7月27日まで>
●SEC504:Hacker Tools, Techniques, Exploits and Incident Handling
  セキュリティエンジニアの登竜門的なコースです。
●SEC511:Continuous Monitoring and Security Operations
  侵入の早期検知を願うSOC担当者向けのコースです。
★SEC555:SIEM with Tactical Analytics
  日本初開催!SIEMの導入でお困りの方、運用能力を強化したい方はぜひ。
★SEC599:Defeating Advanced Adversaries
      - Purple Team Tactics & Kill Chain Defenses
  日本初開催!攻防一体のセキュリティチームで標的型攻撃に対抗しましょう。

開催日:9/10(月)~14(金) <早期割引は7月27日まで>
●ICS515:ICS Active Defense and Incident Response
  ICSにアクティブディフェンスの考え方を適用する方法を学びます。
●SEC545:Cloud Security Architecture and Operations
  クラウドの安全な利活用をどう実現するか。そんなヒントが一杯のコースです。
開催日:9/12(水)~13(木)
●Core NetWars:Experience
  参加者の経験と技術力、そしてトレーニング成果が試せるCTF競技です。
※2018年9月3日~15日のSANSトレーニング受講者のみ無料でお申込いただけます。

┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛

──────────────────────────
■■SANS NewsBites Vol.21 No.046-051
(原版: 2018年 6月12日、15日、19日、22日、26日、29日)
──────────────────────────

◆ 中国が米海軍の契約業者をハッキング (2018.6.8 & 2018.6.9 & 2018.6.11)
中国政府の支援を受け活動している複数のハッカーが、米海軍の契約業者が運用しているコンピュータネットワークに侵入し、614GB の機微なデータを窃取した。ネットワークへの侵入は、今年1月と2月に発生しており、窃取された情報には、超音速対艦ミサイルの開発計画が含まれていたという。

- http://www.washingtonpost.com/world/national-security/china-hacked-a-navy-contractor-and-secured-a-trove-of-highly-sensitive-data-on-submarine-warfare/2018/06/08/6cc396fa-68e6-11e8-bea7-c8eb28bc52b1_story.html
- http://www.scmagazine.com/chinese-govt-hackers-snag-secret-missile-plans-in-navy-contractor-breach/article/772420/
- http://www.zdnet.com/article/china-blamed-for-data-theft-from-us-navy-contractor/
- http://www.fifthdomain.com/cyber/2018/06/08/chinese-hackers-steal-sensitive-navy-program-data/
────────────────

◆ 内務省監察総監室:水利再生利用局が管理する水力発電用ダムに、セキュリティ上のリスクが存在 (2018.6.7)
米内務省監察総監室(OIG) の報告書によると、水利再生利用局(USBR) が管理する水力発電用ダムには、内部の脅威に対するリスクが存在するという。USBRは 2か所にあるダムの制御をリモートで管理するため、産業用制御システム(ICS) を利用している。DOIOIG は「USBR が産業用制御システムへの内部の脅威を軽減することで、重要なダムのセキュリティ対策を向上させる助けとなる 5つの提言」を掲載した。報告書では、水力発電用ダムに対する内部の脅威として、システムの管理者権限を持つ職員の数が過剰であること、使用されていないアカウントが削除されていないこと、そして ICSを管理する職員へのセキュリティ対策訓練が不十分であることなどを問題として挙げている。
- http://www.doioig.gov/sites/doioig.gov/files/FinalEvaluation_ICSDams_Public.pdf

【編集者メモ】(Northcutt)
リスクは大抵、有害事象発生の可能性とその事象における被害の大きさを考慮して計算される。私たちは、これまでに増して厳しい天候の移り変わりを経験しているようだ。影響度を考えると、流れの速い川の洪水は、非常に破壊的なものになりうるだろう。
http://www.businessinsider.com/dam-safety-statistics-risk-of-death-2017-2
【編集者メモ】(Murray)
全ての企業や団体は、管理者権限を持った内部の職員に対して脆弱だ。機密性の能力を高めた複数の組織によるコントロールと、管理者権限の使用において透明性とアカウンタビリティを提供するソフトウェアの使用を促進する必要がある。皮肉なことに、管理者権限を持つユーザの責任は、最も必要とされている箇所において一番軽いのだ。「外部の人物はブランドを傷つける。内部の人物はビジネスに悪影響をもたらす。」ということだろう。
【編集者メモ】(Neely)
歴史的に見て、ICS における最も強力な制御は、ドアにかけられた鍵であっただろう。ICS は、こうして制御されたインタフェースの奥に隔離されていて、マルウェアの侵入を阻止するための制御装置が取り付けられているが、システムに関わる人材のセキュリティ訓練は見落とされがちだ。何が破損するかわからない、もしくは該当の人物が戻るかもしれないという理由で、使用されていないアカウントを削除しないという行為はやめるべきだ。全ての制御システムが、複数アカウントや、別々のクラスのユーザアカウントをサポートしているわけではないが、サポートしている場合は、使用されていないアカウントを無効化し、移行期間経過後に削除するべきだ。
────────────────

◆ 連邦控訴審が、FTC による LabMD社への命令を棄却 (2018.6.8)
米連邦控訴裁判所は、連邦取引委員会(FTC) の命令には拘束力が無いとして、FTCが LabMD社に対しセキュリティポリシーとその実践を改善するよう求めた命令を棄却した。数回に渡る患者データの流出の後で FTCは、医療用検査を手がける企業を2013年に告訴した。LabMD社は FTCの命令に対し、FTCは企業が消費者のデータをどのように扱うかについて、規制するための権限を持たないとして、異議を唱えた。連邦控訴裁判所は、2016年に LabMD社が審査請求の訴状を提出し異議を唱えていたFTC による命令の停止を認めている。

- http://healthitsecurity.com/news/court-dismisses-ftc-order-on-labmds-data-security-lapses
- http://media.ca11.uscourts.gov/opinions/pub/files/201616270.pdf

【編集者メモ】(Pescatore)
最近 RGBという(素晴らしい)映画を見たので、法的な決定に関して過大な評価をしているかもしれない。しかし今回の判決は FTCによる停止命令の文言における不備と、消費者のデータを保護しない企業を監視する、FTC の権限の対立を指摘している。CIS Critical Security Controlsのような、コミュニティベースの基準の導入を示した命令が、FTC に有利な判決を導いていた可能性がある良い例のようだ。
【編集者メモ】(Hoelzer)
権限を持った政府機関が過去18か月に渡って、徐々にその権限を奪われていった大きな事件だ。Dwolla社に対する同意審決は、規制当局の注意を避け、企業のセキュリティ対策への取り組みが、「合理的で正当なもの」か否かを計る上での、優良なロードマップだ。

http://files.consumerfinance.gov/f/201603_cfpb_consent-order-dwolla-inc.pdf
────────────────

◆ Microsoft社が、修正パッチの公開方針に関する宣言の草案を発表 (2018.6.13)
Microsoft社は「Security Servicing Commitments for Windows」 と題した、どのセキュリティ問題を修正、もしくは修正しないのかを定めた、草案となる文書を発表した。文書には、Microsoft Security Response Center (MSRC) がパッチ公開の要否や、パッチ公開までの期間の決定に利用する「鍵となる問い」が掲載されている。その問いとは、「発見された脆弱性は、Microsoft 社が保護に力を注いでいる、セキュリティ境界やセキュリティ機能により約束した内容を破るものか」と、「脆弱性の重大性は、修正パッチの公開が必要となる基準に達しているか」の2つだ。

- http://msdnshared.blob.core.windows.net/media/2018/06/Microsoft-Security-Servicing-Commitments_SRD.pdf
- http://threatpost.com/microsoft-reveals-which-bugs-it-wont-patch/132817/
- http://www.theregister.co.uk/2018/06/13/microsoft_security_servicing_commitments_for_windows_draft/

【編集者メモ】(Pescatore)
文書にはいくつかおかしな点がある。Microsoft社は、「(中略」約束をせずとも、脅威に対する保護を提供できるであろう」「多層防御」機能として、ユーザアカウント制御、AppLocker、データ実行防止のほか、アドレス空間配置のランダム化や、その他の盛大に宣伝されている Windowsセキュリティ機能を挙げている。そのため脆弱性を発見しても、Microsoft社によるパッチ公開には至らない可能性がある。
Microsoft 社は過去数年に渡り、これらの機能について様々な約束をしてきたと思うが、もう一つ、私が長期に渡り抱えている苦情は次のようなものだ。Microsoft社は、多くのベンダーが使用している共通脆弱性評価システムではなく、特有の脆弱性評価のアプローチを使用していることである。
【編集者メモ】(Neely)
一見、Microsoft 社がバグバウンティで支払う報奨金の決定に使用する基準や、それぞれのセキュリティ機能における脆弱性への予想される対応についての期待を管理しているように見える。これはバグバウンティプログラムにおいて重要なことだ。しかし、DEPやASLR、その他の根本的な OSセキュリティ対策といった、核となる保護機能を含む多層防御セキュリティ機能は、その脆弱性を悪用するには、セキュリティ機能内部への攻撃が必要となるという警告のもと、侵入禁止となっている。これはセキュリティ研究者に対する制限を設けるだけではなく、公開前の脆弱性の悪用を目指す攻撃者にとっての、標的となる可能性がある。
────────────────

◆ 米国防総省や諜報機関を除いた政府機関のうち、大半においてDHSのサイバー脅威ダッシュボードの導入が完了 (2018.6.14)
米国防総省や諜報機関を除いた23の主要な政府機関のうち、20の機関で米国土安全保障省(DHS) のサイバー脅威ダッシュボードの導入が完了した。1年程前は、2つの機関でしか DHSの継続的な診断と緩和策(CDM) である、ダッシュボードを導入できていなかった。ダッシュボードによって、各機関は使用しているソフトウェアをカタログ化し、その情報を DHSと共有することができる。

- http://www.nextgov.com/cybersecurity/2018/06/nearly-all-major-agencies-are-governmentwide-cyber-threat-dashboard/149027/

【編集者メモ】(Paller)
このプロジェクトの当初の目的は、連邦政府機関をまたぐシステムによる、セキュリティシステムの向上であり、脆弱性とサイバーセキュリティ上のリスクを 90%以上軽減した、iPost プログラムにおいて形成された。計画されたような成果は出ていないので、結果として無駄な経費を費やしたと言えるだろう。もしダッシュボードを使用していて、日々のサイバーセキュリティ上のリスク軽減に直結するような成果が出ているのであれば、教えてほしい(apaller@sans.org)。
────────────────

◆ NISTが政府契約業者向けに、データの取り扱いに関する規定を公開 (2018.6.15)
米国立標準技術研究所(NIST) は、SP 800-171A「管理された非格付け情報に関するセキュリティ要件の評価 (Assessing Security Requirements for Controlled Unc -lassified Information)」 を発表した。この文書に記載された規定を元に、連邦政府との契約獲得を目指している企業や団体は、データの取り扱いに関する要件を満たしているか判断することができる。

- http://www.fifthdomain.com/critical-infrastructure/2018/06/14/new-rules-tell-contractors-how-to-handle-controlled-data/
- http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-171A.pdf

【編集者メモ】(Pescatore)
NISTは SP 800-171において、NIST Cybersecurity Framework への関連付けをしており、EDUCAUSEは SP 800-171と ISO 27002や、旧バージョンのCritical Security Controls への関連付けを含む、良質な評価テンプレート(Common Solutions Groupが作成した)を公開している。
http://library.educause.edu/resources/2016/9/nist-sp-800-171-compliance-template
【編集者メモ】(Murray)
ITや「サイバーセキュリティ」の業界は、評価可能なサービス品質保証(SLA) の明示に関して、常に弱みを抱えていた。私たちは大抵、「最善の努力」という名の暗黙の SLAのもと、サービスを運用してきた。他の事業者に対する私たちの期待は、両者が期待を満たせたと判断できるような方法でその期待を表現できるようになるまで、満たされることはないだろう。私たちがいる業界の場合で言うと、リスク許容度を表現することが含まれる。詳しく知りたいのであれば、ITILについて調べると良いだろう。
【編集者メモ】(Northcutt)
この文書は、組織がどの情報を保護する必要があるのかを、どのように知るもしくは知るべきかにといった手引きが掲載されていると、より有益なものになるかもしれない。手引きが無い場合、文書の効果は 0か 100のどちらかとなる傾向がある。またこの文書は、導入する対策の選択について、組織に多くの自由を与えている。これら 2つの問題点を勘案すると、この文書の有用性を判断することは難しい。
────────────────

◆ 米海兵隊がサイバー部隊編成のため、年長の海兵に対し再入隊を促すことを検討 (2018.6.10)
米海兵隊は、サイバーセキュリティ分野の軍種強化を目的として、経験豊富な年長の海兵に対し再入隊を促すため、ボーナス等特典の提供を検討している。今年初め海兵隊は、サイバー兵器、開発、防御および攻撃の展開に特化した業務を含む、サイバー空間に関する新職種の追加を発表している。

- http://www.marinecorpstimes.com/news/your-marine-corps/2018/06/10/marine-corps-weighs-wooing-older-members-for-new-cyber-force/
- http://www.marinecorpstimes.com/news/your-marine-corps/2018/03/01/corps-unveils-new-cyber-job-field/

【編集者メモ】(Murray)
記事から得られる私たちへの教訓は、人材に関する問題のうちいくつかは、退役軍人をサイバーセキュリティ分野で働く人材として募集、雇用、訓練、教育することで解決できるということだ。彼らは統制だけでなく、脅威やリスクに対する特別な価値観をもたらしてくれる。単なる「数名の善人」以上の人材だ。
【編集者メモ】(Paller)
退役軍人のサイバーセキュリティ分野への転職プログラムの中で、最も成功を収めているのは、高い給与水準を維持しながらも 90%の転職率を誇る VetSuccessだ。
http://hireourheroes.org/sans-vet-success-academy-cyber-security-training-dc/
────────────────

◆ OPMが、各政府機関におけるサイバーセキュリティ人材の需要について調査(2018.6.14)
米人事管理局(OPM) は、システムを保護し、職務を遂行するために必要な、「緊急で補充を必要とするサイバーセキュリティ分野の職種について報告書を作成する」ために、どの職種で人材が不足しているのかを報告するよう要求している。OPM は各機関に対し、人材が必要な職種と、その職種の人材確保を妨げている要因を詳細に記載した最初の報告書を、2018年 8月31日までに提出するよう求めている。「緊急で補充を必要とするサイバーセキュリティ分野の職種について、根本的な原因の緩和と解決を目的とした、評価基準や目標をともなう行動計画の完成が含まれる必要がある」包括的な報告書は、2019年 4月30日が作成期限となっている。

- http://fcw.com/articles/2018/06/14/cyber-opm-workforce-push.aspx
- http://chcoc.gov/content/preliminary-report-agency-cybersecurity-work-roles-critical-need-due-august-31-2018

【編集者メモ】(Murray)
記事の内容は、「問題への感心と称賛」の一例だ。

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃OUCH! 6月号「マルウェアの侵入を阻止する」について
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
ユーザの意図しない悪意ある操作をおこなうソフトウエア全般をマルウェアと呼
んでいます。一昔前はコンピュータウイルスと呼ばれていたこともありましたが
、何が違うのでしょうか。そして効果的な対策にはどのようなものがあるのでし
ょうか。今月は、マルウェアの侵入を阻止するための方法について、用語の定義
といった基本を紹介すると共に、基本的な対策なども一般ユーザ向けに分かりや
すく解説します。社員の意識向上ツールとしてお使いください。
https://www.sans.org/sites/default/files/2018-06/201806-OUCH-June-Japanese.pdf
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

◆ ホワイトハウスと DHSが、サイバーセキュリティ技術者の確保に向けた、新たな改革案を発表 (2018.6.22)
ホワイトハウスは昨日、連邦政府におけるサイバーセキュリティ人材不足の解消に向けた計画を含む政府改革案を発表した。計画は政府全体を対象としたもので、連邦政府における緊急の需要と、サイバーセキュリティ分野に秀でた人材の、継続的な供給網の構築を目的とした、米国の若者への教育に重点を置いている。

- http://www.whitehouse.gov/wp-content/uploads/2018/06/Government-Reform-and-Reorg-Plan.pdf
- http://federalnewsradio.com/technology-main/2018/06/reorg-report-details-plan-timeline-for-cyber-workforce-and-it-improvements/
- http://www.nextgov.com/cybersecurity/2018/06/white-house-reorganization-addresses-cyber-workforce-gap/149189/
- http://www.meritalk.com/articles/white-house-agency-reorg-plan-touches-cyber-service-background-checks/
- http://thehill.com/policy/healthcare/393479-white-house-releases-sweeping-proposal-to-reorganize-government
────────────────

◆ Cisco社が 6月のセキュリティアップデートを公開 (2018.6.21)
Cisco社が公開した 6月のセキュリティアップデートには、複数の製品における 34の脆弱性に対する修正が含まれている。このうち 24 の修正は、ファイアウォール製品 Firepowerのソフトウェア FXOSと、スイッチ製品 NexusのソフトウェアNX-OSに関するものだ。

- http://tools.cisco.com/security/center/publicationListing.x?product=Cisco&sort=-day_sir&limit=50#~Vulnerabilities
- http://www.zdnet.com/article/cisco-patches-critical-nexus-flaws-are-your-switches-vulnerable/
────────────────

◆ 最高裁判所の判決により、法執行機関が携帯電話の位置情報にアクセスする際には、令状が必要となる (2018.6.22)
米最高裁判所は、容疑者が保有する携帯電話の位置情報 (CSLI) を法執行機関が収集するためには、令状の入手が必要となる判決を下した。5対4となった評決において、裁判長の John Roberts氏は多数意見の中で、 「政府が携帯電話の位置を把握するということは、携帯電話の持ち主の足首に監視装置を着け、性犯罪者 GPS監視をするかのように、ほぼ完全な監視を達成しているということだと述べている。判決は、第三者により収集された情報に関して、「プライバシーの合理的期待」はないという見方を示した判例である、「サードパーティ・ドクトリン」を覆すものではなく、リアルタイムでの監視に言及するものでもない。

- http://www.supremecourt.gov/opinions/17pdf/16-402_h315.pdf
- http://www.wired.com/story/carpenter-v-united-states-supreme-court-digital-privacy/
- http://www.scmagazine.com/supreme-court-rules-government-generally-needs-warrant-for-long-term-surveillance-using-location-data/article/775440/
- http://www.zdnet.com/article/supreme-court-search-warrant-cell-location-records/
- http://arstechnica.com/tech-policy/2018/06/supreme-court-rules-yes-govt-needs-warrant-to-get-cellphone-location-data/

【編集者メモ】(Pescatore)
第三者が保管していたとしても、各個人が自身の位置情報を所有しているとする見解は、プライバシー境界の革新的な近代化だ。法執行機関にとって、令状の取得は実際に大きな障害となるものではなく、最高裁判所の判決は、「爆破予告や無差別銃撃、児童誘拐」といった緊急事態において、捜査令状なしでの位置情報へのアクセスを認めている。しかし、個人情報を収集している他の商用アプリケーション (着用できる IoT機器やスマートカーなど) については、今のところ特に言及されていないようだ。
【編集者メモ】(Murray)
合衆国憲法修正第 4条は、市民の「期待」については言及していないが、政府による捜査や押収自体が「合理的」か否かについて言及している。「プライバシーの合理的期待」は、何度か悪用の正当化に利用されている。判例 Carpenterは、通常通り緊急時 (例:誘拐やテロ) には、捜査令状が不要となる決定を含んでいるが、そのような緊急時において収集された、証拠の諾否に関する相当な理由については記載されていない。
────────────────

◆ カリフォルニア州のデータプライバシー法案が、市民により強い
 個人情報の管理権限を与える (2018.6.22)
カリフォルニア州議会で提出された法案は、州民により強い個人情報の管理権限を与える可能性がある。California Consumer Privacy Act of 2018 により、カリフォルニア州は州民に対し、データブローカーやその他の企業や団体がどのような個人情報を収集しているのか、企業や団体がどこでそのような情報を入手するのか、そしてそのような情報がどのように共有されているのか、調査することを認めることとなる。カリフォルニア州民は、企業や団体に対し、個人情報の削除や、使用の停止を求めることができるようになる。企業や団体は、州民からの要求に対し、サービスを拒否することが禁止される。

- http://www.wired.com/story/new-privacy-bill-could-give-californians-unprecedented-control-over-data/
- http://leginfo.legislature.ca.gov/faces/billTextClient.xhtml?bill_id=201720180AB375

【編集者メモ】(Murray、Pescatore、Neely、Northcutt)
セキュリティにおいては、カリフォルニア州が何かを始めると、連邦政府もそれに追従する。「情報漏洩の通知」はカリフォルニア州の法律から始まった。カリフォルニア州は、セキュリティ関連の法整備における行動が早い。企業や団体は、所在地がカリフォルニア州であるか否かに関わらず、カリフォルニア州法に従う傾向があり、他の州は企業や団体の行動例にならう傾向がある。カリフォルニア州議会は、難しい仕事である草案の作成に強みを持っているようだ。
────────────────

◆ Android用のバッテリ消費を抑えるアプリが、クリック詐欺を
 引き起こすボットマルウェアをインストール (2018.6.22)
クリック詐欺を引き起こすボットを端末に感染させる、悪意のある Androidアプリが、メッセージの内容やログデータを窃取する機能を有していた。これまでに 6万台の Android端末がこのアプリに感染している。ユーザは、使用する端末のバッテリに問題があるという内容のポップアップから、アプリをインストールするよう誘導される。該当のアプリは実際にバッテリ使用量を監視し、充電の残りが少なくなると、特にバッテリ消費が激しいプロセスをシャットダウンする。

- http://www.scmagazine.com/60000-android-devices-hit-with-ad-clicking-bot-malware/article/775634/
- http://threatpost.com/malicious-app-infects-60000-android-devices-but-still-saves-their-batteries/133023/

【編集者メモ】(Neely)
このアプリが、Google Playストアで正式公開されていたことに注目してほしい。ユーザはアプリに与えられている許可について注意をする必要がある。例えば、このバッテリ消費を抑えるアプリは、SMS と Bluetoothのペアリング機能の使用許可を求めてくる。同時に、システム設定変更の機能についても許可を求めてくるが、このような機能の要求は危険とみなし、注意するべきだ。
────────────────

◆ ロシアによるサイバー攻撃の脅威が高まっている (2018.6.25)
英 GCHQ の下部組織である、ナショナルサイバーセキュリティセンターのセンター長 Ciaran Martin氏は、議会の国家セキュリティ政策委員会 (National Security Strategy Committee) において、「ロシアによる、重要部門に対する攻撃への意欲が高まり続けている」と述べた。また同氏は委員会において、ナショナルサイバーセキュリティセンターが 500名の大学生それぞれに対し、卒業後サイバーセキュリティ分野の仕事に就くことを条件に、学費として 4,000英ポンド(5,230USドル) を支援していることを明らかにした。

- http://www.thenational.ae/world/threat-of-cyber-attack-from-russia-has-intensified-british-mps-told-1.744200

【編集者メモ】(Murray)
ロシアによる行動の正当性について思うところはあるかもしれないが、これは既に外交政策の一部となっているため、無くなることはない。ロシアの行動は脅威プロファイルに登録されており、私たちはプロファイルに応じて、適切なセキュリティ対策を施す必要がある。
────────────────

◆ ウクライナが、ロシアのハッカーによる大規模サイバー攻撃の
 計画を指摘 (2018.6.26)
ウクライナのサイバー警察長は、ロシアのハッカー集団が、より規模の大きな連携攻撃の下地作りとして、ウクライナの企業や団体が保有するシステムをマルウェアに感染させていると述べた。Serhiy Demedyuk 氏は、分析の結果マルウェアが、特定の日に攻撃を開始するよう設定されていたことが判明したと発表した。

- http://www.reuters.com/article/us-ukraine-cyber-exclusive/exclusive-ukraine-says-russian-hackers-preparing-massive-strike-idUSKBN1JM225

【編集者メモ】(Murray)
そして私たちは、ロシアのハッカー集団がスパイ活動から破壊活動へ移行するその時に備えなければならない。

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の無料セミナー・イベント        <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○7月12日(木)
 事例から学ぶ特権ID・監査ログ管理実践セミナー
 ~クラウド時代に求められるアクセス管理を短期間・低コストで実現する方法とは~
http://www.nri-secure.co.jp/seminar/2018/ac04.html?xmid=300&xlinkid=01

○2018年7月19日(木)、9月20日(木)
 ファイル交換・転送サービスの正しい選び方
 ~クラウドで業務効率・利便性とセキュリティを両立させるには~
https://www.nri-secure.co.jp/seminar/2018/file02.html?xmid=300&xlinkid=02

○7月25日(水)、8月10日(金)、9月19日(水)
 分離・無害化技術によりマルウェアを100%防御する方法
 ~危険なWebサイトを自由に閲覧できるソリューションとは~
https://www.nri-secure.co.jp/seminar/2018/isolation02.html?xmid=300&xlinkid=03

○7月26日(木)
 コンシューマ向けWebサービスにおける認証セキュリティ
 ~シングルサインオンの実装と不正アクセス防止策~
https://www.nri-secure.co.jp/seminar/2018/ciam04.html?xmid=300&xlinkid=04

○7月30日(月)
 PCI DSS 実践ソリューションセミナー
https://www.nri-secure.co.jp/seminar/2018/pcidss02.html?xmid=300&xlinkid=05

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の有料研修               <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○7月、8月、10月、11月、2019年1月、3月
 CISSP CBKトレーニング
https://www.nri-secure.co.jp/service/learning/cissp_training.html?xmid=300&xlinkid=11

○9月
 SANS Tokyo Autumn 2018
https://sans-japan.jp/sans_tokyo_autumn2018/index.html?xmid=300&xlinkid=12

○10月、2019年3月
 セキュアEggs
 (IT+セキュリティ基礎/インシデント対応/フォレンジック/WEBアプリセキュリティ)
https://www.nri-secure.co.jp/service/learning/secureeggs.html?xmid=300&xlinkid=13

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃コラム(NRIセキュア in-depth / Secure SketCH Blog)<NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
<NRIセキュア in-depth>
○"攻め"のIndustrial IoT活用で求められる"守り"の視点
https://www.nri-secure.co.jp/in-depth/2018/0614.html?xmid=300&xlinkid=15

<Secure SketCH Blog>
○日本のセキュリティ担当が最も困っていることとは?
 <実態調査2018 セキュリティ対策編>
https://www.secure-sketch.com/blog/insight2018-security-measures?xmid=300&xlinkid=16

○各国企業は何を恐れるか?脅威・事故の国別比較
 <実態調査2018 脅威・事故編>
https://www.secure-sketch.com/blog/insight2018-security-measures?xmid=300&xlinkid=17

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃お知らせ                     <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○組織のセキュリティ対策を攻撃者の視点で検証する 「サイバーアタック
 シミュレーション」サービスを拡充
 ~ CSIRTの有効性評価やペネトレーションテストを新たに追加 ~
https://www.nri-secure.co.jp/news/2018/0614.html?xmid=300&xlinkid=18

○「ブロックチェーン診断」サービスに、システム全体のセキュリティ対策を
 評価する「アーキテクチャ評価」サービスを追加
https://www.nri-secure.co.jp/news/2018/0605.html?xmid=300&xlinkid=19

○AWSに対応していたWAF管理サービスがMicrosoft Azureにも対応
https://www.nri-secure.co.jp/news/2018/0605.html?xmid=300&xlinkid=20

--

NRI Secure SANS NewsBites 日本版は、米国の情報セキュリティの専門機関であるSANS Instituteが配信するコンテンツ (SANS NewsBites)をベースに、NRIセキュアテクノロジーズが編集してお届けしています。 世界中でこの1週間に起こったセキュリティのあらゆるトピックと専門家のコメントが掲載されています。原版は、およそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュースソースとして活用されています。組織のセキュリティ管理に関する参考情報としてお役立てください。
掲載されている情報は、e-mailを介して自由に他の方に再送していただいて結構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望される方は、弊社ホームページの以下のページよりお申込みください。
http://www.nri-secure.co.jp/news_letter/

本ニュースレターは、メールマガジン配信を申し込まれた方、弊社からの情報を希望された方、SANS関連のイベントに参加された方、その他イベント等において弊社講演枠に登録された方に配信しています。
今後、配信をご希望されない方は会社名と御氏名を本文に明記のうえ、件名に【配信不要】、配信先変更をご希望の方は【配信先変更希望】とご記入頂き、新旧のご連絡先も記載のうえ、info@sans-japan.jpまでご返信をお願い致します。なお、情報の反映までにお時間を頂戴する場合がございます。