NRI Secure SANS NewsBites 日本版

Vol.13 No.17 2018年7月31日発行

──────────────────────────
■■SANS NewsBites Vol.13 No.17
(原版: 2018年 7 月 24 日、27 日)
──────────────────────────


┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 お┃申┃込┃み┃受┃け┃付┃け┃中┃!┃2018年9月開催 SANSトレーニング
 ━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛全9コース開催!
 ま┃だ┃間┃に┃合┃い┃ま┃す┃!┃
 ━┛━┛━┛━┛━┛━┛━┛━┛━┛
 こ の 機┃会┃に┃ぜ┃ひ┃!┃
 ━┛━┛━┛━┛━┛━┛━┛━┛

【SANS Tokyo Autunm 2018】9月開催 全9コース実施
https://sans-japan.jp/sans_tokyo_autumn2018/index.html

開催日:9/3(月)~8(土) <通常価格にて受付中>
●SEC401:Security Essentials Bootcamp Style
  最もポピュラーなコースの1つ。サイバーセキュリティの基礎をこのコースで!
●SEC508:Advanced Digital Forensics,Incident Response, and Threat Hunting
  フォレンジックから脅威をハンティングする、組織の対抗能力を高めます。
●FOR610:Reverse-Engineering Malware
- Malware Analysis Tools and Techniques
実践的なマルウェア解析について学びたい方はぜひご参加ください。


開催日:9/10(月)~15(土) <通常価格にて受付中>
●SEC504:Hacker Tools, Techniques, Exploits and Incident Handling
  セキュリティエンジニアの登竜門的なコースです。
●SEC511:Continuous Monitoring and Security Operations
  SOCオペレーションに関するスキル・ベストプラクティスが学べます。
★SEC555:SIEM with Tactical Analytics
  日本初開催!SIEMの導入でお困りの方、運用能力を強化したい方はぜひご参加ください。
★SEC599:Defeating Advanced Adversaries
      - Purple Team Tactics & Kill Chain Defenses
  日本初開催!攻防一体のセキュリティチーム強化であらゆる攻撃に対抗しましょう。

開催日:9/10(月)~14(金) <通常価格にて受付中>
●ICS515:ICS Active Defense and Incident Response
  ICSにおけるアクティブディフェンスの方法を学びます。
●SEC545:Cloud Security Architecture and Operations
  クラウドの安全な利活用をどう実現するか。クラウドユーザ必修のコースです。

-------------------------------------------------------------------------
開催日:9/12(水)~13(木)
●Core NetWars:Experience
  経験と技術力、そしてトレーニング成果が試せるCTF競技です。
  ※2018年9月3日~15日のSANSトレーニング受講者のみ無料でお申込いただけます。

┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛

◆ DHS:ロシアのハッカー集団が、複数の電力会社の制御室にアクセス
(2018.7.23)
7月23日月曜日の会議において、米国土安全保障省(DHS)の職員は、ロシアのハッカー集団が米国内の電力会社にある制御室を管理するコンピュータに侵入したと述べた。職員によると、侵入者が持っていたアクセス権限を悪用すると、停電を引き起こすことが可能であったようだ。ハッカー集団は、まず最初に電力会社と提携関係にあったベンダーにウイルスを感染させることで、隔離された制御室への侵入を成功させた。(Wall Street Journalの記事は有料です)

- http://www.wsj.com/articles/russian-hackers-reach-u-s-utility-control-rooms-homeland-security-officials-say-1532388110
- http://www.reuters.com/article/us-usa-cyber-russia/russian-hackers-penetrated-networks-of-u-s-electric-utilities-wsj-idUSKBN1KE03F

【編集者メモ】(Paller)
今ある課題は、いかにしてハッカーを追い出し、再度の侵入を防ぐかということだ。電力会社では、攻撃者が排除できないような深い潜伏をされる前に素早く、制御室に侵入するマルウェアを識別し、解析できる人材が明らかに不足している。DHSでさえ、世界基準の実力を備えたチームの構築に苦心してきた。しかし、優秀な人材を間違いなく発掘する、新しく開始されたCyberStartプログラムや、制御室で必要となる高度なサイバーセキュリティ技術を訓練する、大学や大学院における集中プログラムが、少なくともいくつかの電力会社にとっては、会社のシステムを防護する手助けとなるであろうと、私は大きな期待を抱いている。
────────────────

◆ 投票マシンの開発者が、販売済みの複数のシステムに、リモートアクセス用のソフトウェアをインストールしたことを認める(2018.7.17)
投票マシンのメーカであるElection Systems and Software(ES&S)社は、同社が開発した複数の選挙管理システムに、リモートアクセス用のソフトウェアをインストールしたことを認めた。この情報は、米上院議員であるRon Wyden氏(民主党・オレゴン州)が2018年3月6日に同社宛てに出した質問状からの返答により、明らかになった。問題となっているシステムは、2000年から2006年にかけて販売されたものだ。選挙管理システムは、投票のためのマシンではない。システムには、投票用のマシン全てをプログラムするためのソフトウェアが組み込まれており、そのソフトウェアがマシンから送られた投票結果をまとめていた。

- http://motherboard.vice.com/en_us/article/mb4ezy/top-voting-machine-vendor-admits-it-installed-remote-access-software-on-systems-sold-to-states
- http://www.wyden.senate.gov/imo/media/doc/wyden-2nd-election-cybersecurity-letter-to-ess.pdf

【編集者メモ】(Pescatore)
フォルクスワーゲン社は、ディーゼルエンジンの排ガス規制装置の性能評価について、経営陣が不正を働き、嘘をついていたことが発覚し、約50億USドルの制裁金を支払った。記事の内容は、同様に不正や嘘にまつわる事件のようだ。開発者らは10年以上に渡って、口をそろえて「投票システムはインターネット接続できないようになっている」と主張してきたが、重大なセキュリティ捜査の一つ一つにおいて、インターネット接続が可能であることが暴かれたのだ。
【編集者メモ】(Murray)
直感から、選挙システムにおけるリスクは、記録を取る段階にあると思われるが、経験からは、数を集計しレポートを報告する段階にあると思われる。セキュリティという分野では、直感はあまり頼りにならない。
────────────────

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃OUCH! 7月号「電話攻撃と詐欺」について
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
サイバー犯罪者と言うと、インターネットから技術力を駆使して高度な攻撃を仕
掛けてくるイメージがありますが、彼らが使用する攻撃手段として電話も良く使
われています。電話を使った攻撃は、既存の検知技術を回避できることと、音声
によって感情などを伝えられることで騙しやすいという 2つのメリットがありま
す。今月は、この電話攻撃の典型的なパターンや身を守る方法などについて一般
ユーザ向けに分かりやすく解説します。社員の意識向上ツールとしてお使いくだ
さい。
https://www.sans.org/sites/default/files/2018-07/201807-OUCH-July-Japanese.pdf
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

◆ US-CERTが、ERPアプリケーションへの攻撃増加について注意喚起
(2018.7.25 & 2018.7.26)
US-CERTは企業資源計画(ERP)アプリケーションへの攻撃増加について、注意喚起を促すアドバイザリを公開した。US-CERTは、Digital Shadows社とOnapsis社が発表したレポートによって、アドバイザリの公開を急がされる格好となった。レポートをともなったプレスリリースでは、「過去3年間において、SAP社とOracle社のERPアプリケーションに対する、公開エクスプロイトの数が100%増加し、2016年から2017年の間、ERP特有の脆弱性に関する活動と脆弱性への関心が160%増加した」と述べられている。

- http://www.onapsis.com/research/reports/erp-security-threat-report
- http://www.businesswire.com/news/home/20180725005362/en/New-Report-Reveals-Evidence-ERP-Applications-Attack
- http://www.us-cert.gov/ncas/current-activity/2018/07/25/Malicious-Cyber-Activity-Targeting-ERP-Applications
- http://www.zdnet.com/article/erp-security-warning-as-hackers-step-up-attacks-on-systems/
- http://www.darkreading.com/application-security/us-cert-warns-of-erp-application-hacking/d/d-id/1332390
- http://www.scmagazine.com/us-cert-issues-advisory-after-researchers-report-increase-in-attacks-against-sap-and-oracle-erp-apps/article/783450/
- http://www.theregister.co.uk/2018/07/25/latest_hacker_craze_erp_pwnage/
────────────────

◆ 米国防総省がJEDIクラウドプロジェクトの最終RFPを発表(2018.7.26)
米国防総省(DOD)は、共同企業インフラ(JEDI)クラウド構築の契約に向けた、最終の提案依頼書(RFP)を発表した。DODは2018年8月16日まで、RFPに関する質問を受け付ける。関心のあるベンダーは、2018年9月17日までに返答をする必要がある。RFP内の目的(Statement of Objectives)には、「DODは、米国を戦術上の優位性を置く為、セキュアで拡張性があるクラウド環境と同時に、速やかに戦術的課題を克服する、計算能力やストーレージ容量に素早くアクセスするための機能を要求する」と記載されている。

- http://www.fedscoop.com/dod-jedi-cloud-rfp-acquisition-single-award/
- http://fcw.com/articles/2018/07/26/jedi-hits-the-street.aspx
- http://www.meritalk.com/articles/dod-releases-final-rfp-now-taking-bids-for-jedi-cloud-contract/
- http://www.fbo.gov/index.php?s=opportunity&mode=form&id=7a17a56421e2d84e53c8ee6f7209ef8f&tab=core&_cview=0

【編集者メモ】(Weatherford)
このRFPに前進が見られることは喜ばしいことだ。いまだ依頼先を一社にするか、複数社にするかという点について、多くの意見の相違が見られるが、時間が惜しい上に、ムーアの法則は誰も待ってはくれない。技術は進歩し続けており、DODは遅れを取っている。クラウドサービス業者は、大半の企業や団体が単純に争えない方法で、動機を与えている。私としては、クラウドはより良いセキュリティを促進するものであるため、これは良い傾向だと考える。

【編集者メモ】(Paller)
クラウドは、より良いセキュリティに向けた強力な促進剤となり得るが、(SaaSよりも)インフラとして利用する場合逆の効果も考えられる。クラウド業者が提供するセキュリティに対する、顧客の大きな期待は、ほぼ毎度裏切られる結果となる。
クラウドサービスを提供する大企業の一つで、彼自身が「CAO」と名付けた、上級の役職に就いている人物(以前はサイバーセキュリティに精通したFBI捜査官であった)がいる。彼の仕事は、顧客企業がインフラを購入した場合、より高額を払わない限り、彼の会社は有用なセキュリティ上の改善策を提供しないことを、怒っている顧客のCIOに対し説明しに行くことであり、彼が言うには、CAOとは「最高謝罪責任者(Chief Apology Officer)」を意味するそうだ。
────────────────

◆ 上院議員が、2020年の提供終了前に、Adobe Flash Playerの使用を止めるよう政府に対し主張(2018.7.26)
Ron Wyden上院議員(民主党・オレゴン州)は、米国立標準技術研究所(NIST)、国家安全保障局(NSA)、および国土安全保障省(DHS)に対し、Adobe社が2020年に技術サポートを終了する前に、政府でのAdobe Flash Playerの使用を止めるよう求めた。意見書においてWyden氏は、60日以内に3つの政府機関に対し、政府が新たにFlashベースのコンテンツをウェブサイトにアップロードしないことを、義務付けるよう求めている。Wyden氏はさらに、政府機関が、2019年8月1日までにFlashベースのコンテンツを削除すること、そして2019年3月1日までに一部職員のデスクトップコンピュータから、また2019年8月までには全てのコンピュータから、Flashを削除する試験プログラムを立ち上げることを要求している。

- http://www.wyden.senate.gov/imo/media/doc/wyden-flash-letter-to-nsa-dhs-nist.pdf
- http://threatpost.com/sen-wyden-urges-ban-of-adobe-flash-for-gov-use/134439/
- http://www.theregister.co.uk/2018/07/26/ron_wyden_adobe_flash/
- http://www.infosecurity-magazine.com/news/senator-urges-government-flash/

【編集者メモ】(Pescatore)
DMARKポリシーを有効にすることを政府機関に求めた、DHSによる法的拘束力のある命令は、DHSによる先を見据えた動きであった。早期にFlashを削除するプロセスを開始することは、もう一つの有益な動きとなるだろう。セキュリティにおける手引きの作成を先導している政治家は、「原文の例えでは、潜水艦の窓(ごく一部しか見ていない)」のような結果に終始することが多いが、Wyden氏の提言は道理にかなっている。
【編集者メモ】(Neely)
Flash削除の厳しい期限は、政府機関がFlash技術を諦める必要性に気付くことに一役買うだろう。HTML5を使ったコンテンツの再作成に必要な資金の調達が、最大の障壁となりそうだ。

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の無料セミナー・イベント        <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○8月7日(火)
 Netskope利用でクラウドサービスを安全に活用!
 ~クラウドサービス利用を進めるためにCASBが果たす役割~
https://www.nri-secure.co.jp/seminar/2018/casb01.html?xmid=300&xlinkid=04

○8月9日(木)、9月13日(木)
 クラウド環境にオンプレ環境同等の統制を効率的に効かすには
 ~アクセス制御、ログモニタリングの負荷を最小にする方法とは~
https://www.nri-secure.co.jp/seminar/2018/ac05.html?xmid=300&xlinkid=05

○8月10日(金)、9月19日(水)
 分離・無害化技術によりマルウェアを100%防御する方法
 ~危険なWebサイトを自由に閲覧できるソリューションとは~
https://www.nri-secure.co.jp/seminar/2018/isolation02.html?xmid=300&xlinkid=06

○8月21日(火)【オンラインセミナー】
 利便性とセキュリティを両立するファイル転送サービスとは
 ~情報セキュリティ専門会社が提供するクリプト便~
https://www.nri-secure.co.jp/seminar/2018/file03.html?xmid=300&xlinkid=07

○8月22日(水)
 コンシューマ向けWebサービスにおける認証セキュリティ
 ~シングルサインオンの実装と不正アクセス防止策~
https://www.nri-secure.co.jp/seminar/2018/ciam04.html?xmid=300&xlinkid=01

○8月23日(木)
 契約書管理ソリューションセミナー
 ~企業における重要文書を"がっちり守り"ながら"使い易く"~
https://www.nri-secure.co.jp/seminar/2018/contract01.html?xmid=300&xlinkid=09

○8月23日(木)
 注目のEDR!あなたはどう選ぶ?どう使いこなす?
 ~EDRで脅威侵入の経路や原因、影響範囲を即座に可視化、
     攻撃者による侵害やエンドポイントの破壊を防ぐ~
https://www.nri-secure.co.jp/seminar/2018/edr01.html?xmid=300&xlinkid=10

○2018年9月20日(木)
 ファイル交換・転送サービスの正しい選び方
 ~クラウドで業務効率・利便性とセキュリティを両立させるには~
https://www.nri-secure.co.jp/seminar/2018/file02.html?xmid=300&xlinkid=02

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の有料研修               <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○9月
 SANS Tokyo Autumn 2018
https://sans-japan.jp/sans_tokyo_autumn2018/index.html?xmid=300&xlinkid=12

○10月、2019年3月
 セキュアEggs
 (IT+セキュリティ基礎/インシデント対応/フォレンジック/WEBアプリセキュリティ)
https://www.nri-secure.co.jp/service/learning/secureeggs.html?xmid=300&xlinkid=13

○10月、11月、2019年1月、3月
 CISSP CBKトレーニング
https://www.nri-secure.co.jp/service/learning/cissp_training.html?xmid=300&xlinkid=14

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃コラム <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○クレジットカードの不正利用を防げ!本人認証手法「3Dセキュア」
https://www.secure-sketch.com/blog/pci-3ds?xmid=300&xlinkid=15

○PDCAよりOODA!サイバーセキュリティの強化メソッド
https://www.secure-sketch.com/blog/ooda-loop?xmid=300&xlinkid=16

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃お知らせ                     <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○無線通信のセキュリティ診断サービスを開始
 ~IoT分野で活用が進むLPWAや、LTE、Bluetoothなどが対象~
https://www.nri-secure.co.jp/news/2018/0725.html?xmid=300&xlinkid=18

○サイバー・セキュリティ・コンサルティング・サービス市場で
 2年連続シェアNo.1を獲得
https://www.nri-secure.co.jp/news/2018/0711.html?xmid=300&xlinkid=19

--

NRI Secure SANS NewsBites 日本版は、米国の情報セキュリティの専門機関であるSANS Instituteが配信するコンテンツ (SANS NewsBites)をベースに、NRIセキュアテクノロジーズが編集してお届けしています。 世界中でこの1週間に起こったセキュリティのあらゆるトピックと専門家のコメントが掲載されています。原版は、およそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュースソースとして活用されています。組織のセキュリティ管理に関する参考情報としてお役立てください。掲載されている情報は、e-mailを介して自由に他の方に再送していただいて結構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望される方は、弊社ホームページの以下のページよりお申込みください。
http://www.nri-secure.co.jp/news_letter/

本ニュースレターは、メールマガジン配信を申し込まれた方、弊社からの情報を希望された方、SANS関連のイベントに参加された方、その他イベント等において弊社講演枠に登録された方に配信しています。
今後、配信をご希望されない方は会社名と御氏名を本文に明記のうえ、件名に【配信不要】、配信先変更をご希望の方は【配信先変更希望】とご記入頂き、新旧のご連絡先も記載のうえ、info@sans-japan.jpまでご返信をお願い致します。なお、情報の反映までにお時間を頂戴する場合がございます。