NRI Secure SANS NewsBites 日本版

Vol.13 No.18 2018年8月8日発行

──────────────────────────
■■SANS NewsBites Vol.13 No.18
(原版: 2018年 7 月 31 日、8 月 3 日)
──────────────────────────


┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 お┃申┃込┃み┃受┃け┃付┃け┃中┃!┃2018年9月開催 SANSトレーニング
 ━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛全9コース開催!
 ま┃だ┃間┃に┃合┃い┃ま┃す┃!┃
 ━┛━┛━┛━┛━┛━┛━┛━┛━┛
 こ の 機┃会┃に┃ぜ┃ひ┃!┃
 ━┛━┛━┛━┛━┛━┛━┛━┛

【SANS Tokyo Autunm 2018】9月開催 全9コース実施
https://sans-japan.jp/sans_tokyo_autumn2018/index.html

開催日:9/3(月)~8(土) <通常価格にて受付中>
●SEC401:Security Essentials Bootcamp Style
  最もポピュラーなコースの1つ。サイバーセキュリティの基礎をこのコースで!
●SEC508:Advanced Digital Forensics,Incident Response, and Threat Hunting
  フォレンジックから脅威をハンティングする、組織の対抗能力を高めます。
●FOR610:Reverse-Engineering Malware
- Malware Analysis Tools and Techniques
実践的なマルウェア解析について学びたい方はぜひご参加ください。


開催日:9/10(月)~15(土) <通常価格にて受付中>
●SEC504:Hacker Tools, Techniques, Exploits and Incident Handling
  セキュリティエンジニアの登竜門的なコースです。
●SEC511:Continuous Monitoring and Security Operations
  SOCオペレーションに関するスキル・ベストプラクティスが学べます。
★SEC555:SIEM with Tactical Analytics
  日本初開催!SIEMの導入でお困りの方、運用能力を強化したい方はぜひご参加ください。
★SEC599:Defeating Advanced Adversaries
      - Purple Team Tactics & Kill Chain Defenses
  日本初開催!攻防一体のセキュリティチーム強化であらゆる攻撃に対抗しましょう。

開催日:9/10(月)~14(金) <通常価格にて受付中>
●ICS515:ICS Active Defense and Incident Response
  ICSにおけるアクティブディフェンスの方法を学びます。
●SEC545:Cloud Security Architecture and Operations
  クラウドの安全な利活用をどう実現するか。クラウドユーザ必修のコースです。

開催日:9/12(水)~13(木)
●Core NetWars:Experience
  経験と技術力、そしてトレーニング成果が試せるCTF競技です。
  ※2018年9月3日~15日のSANSトレーニング受講者のみ無料でお申込いただけます。

-------------------------------------------------------------------------
※本日は台風が接近していますので、交通影響に気をつけて早めにご帰宅くださいませ。
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛

◆ サプライチェーンにおけるサイバーリスクに関する注意喚起(2018.7.30)
米国家情報長官室のミッションセンターであるNCSC(National Counterintelligence and Security Center)の報告書によると、ソフトウェアサプライチェーンが組織にとって新たな脅威となっている。報告書は、「最も大きな広がりを見せている、国家によるサイバー攻撃の脅威についての見識をさらに提供し、脅威アクターが最も興味を示していると考えられる、産業セクターや技術に関する詳しい情報を含む。また、細心の注意を必要とする、破壊性のある可能性が高い脅威の傾向についても論じている。」

- http://www.infosecurity-magazine.com/news/us-warns-of-supply-chain-attacks/
- http://www.dni.gov/files/NCSC/documents/news/20180724-economic-espionage-pub.pdf

【編集者メモ】(Northcutt)
時間がないのであれば、DNIによる報告書の12ページと13ページを読むべきだ。そこにサプライチェーンについての主な議論が掲載されており、知的財産権法がどのような広がりを見せているかについて述べられている。
【編集者メモ】(Pescatore)
国家の支援を受けた攻撃者が、積極的に米国内の企業や団体を標的にしているという基本的な問題点は、少なくとも2011年から政府による複数の年間報告書に記載されてきた。報道機関の興味は常に攻撃グループ詳細にあるが、サプライチェーンにおけるリスクを実際に軽減した企業や団体(そして政府機関)は、基本的なサイバーセキュリティ対策と監視の強化、「さらに」強力な認証、暗号化、権限管理といった確かな技術の向上によってこれを達成した。
【編集者メモ】(Murray)
今サプライチェーンには脅威が存在するのかもしれない。しかしサプライチェーンは本来、それ自体は脆弱性であり、脅威ではなくリスクと言って良いだろう。私たちが脅威、攻撃、脆弱性、リスクといった言葉を矛盾なく排他的に使用できないのであれば、何をすべきかについて、合理的な決定を下すことが非常に難しくなるだろう。
────────────────
◆ Firefoxが、サイト分離とTime Travel Debugging機能の実装に取り組んでいる(2018.7.28)
Mozillaの開発グループが、ブラウザFirefoxの新機能追加に向けた取り組みを進めている。新機能の1つ目は、Google Chromeのサイト分離に似た機能であり、ブラウザのタブで読み込まれたドメインに対し、新規のブラウザプロセスを立ち上げる。Firefoxにおけるこの機能の名前は、Project Fissionだ。2つ目は、「Time Travel Debugging」と呼ばれる機能であり、これは過去に進められていたWebReplyプロジェクトの実装を試みるものだ。この機能により、開発者は複雑なページレンダリングを記録できるようになり、過去の記録を遡ることで、問題の発生箇所を突き止めることが可能となる。

- http://www.bleepingcomputer.com/news/software/mozilla-is-working-on-a-chrome-like-site-isolation-feature-for-firefox/
- http://www.bleepingcomputer.com/news/software/firefox-is-testing-time-travel-debugging/

【編集者メモ】(Neely)
ブラウザへの明確な分離機能の実装は、エンドポイントにおける最大のマルウェア侵入口の一つに、セキュリティ上の新たな防壁を築くこととなる。
────────────────

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃OUCH! 8月号「スマート家電」について
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
近年、一般的なコンピュータやスマートフォンだけではなく、スピーカーや電球
といったさまざまな機器がインターネットに接続するようになっています。この
ような機器を、よく Internet of Things(IoT)などと言ったりしますが、これ
らの機器は、生活を便利にしてくれる反面、特有のセキュリティ上のリスクが存
在します。今月は、このスマート家電について、何が問題なのかを明らかにする
と共に、セキュリティを確保するためにしなければならないことを一般ユーザ向
けに分かりやすく解説します。社員の意識向上ツールとしてお使いください。
https://www.sans.org/sites/default/files/2018-08/201808-OUCH-August-Japanese.pdf
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

◆ ロシアのハッカー集団と米国の電力事業(2018.8.2)
Dragos社の研究グループによると、彼らがRaspiteと名付けたサイバー犯罪グループが、米国内の複数の電力事業者が保有するネットワークに侵入した。Dragos社の研究者は、Raspiteは電力の生成、送電、分配を担う企業を標的としていたと述べた。犯罪グループはフィッシングや水飲み場型攻撃を利用して、電力企業のビジネスシステムへのアクセス権を入手した。Raspiteは米国、中東、ヨーロッパ、東アジアの企業を標的としている。シマンテック社も同グループによる活動を検知し、グループをLeafMinerと名付けた。

- http://www.dragos.com/blog/20180802Raspite.html
- http://thehill.com/policy/cybersecurity/399999-analysts-say-hackers-breached-us-electric-utilities

【編集者メモ】(Murray)
送電網は米国において最も繊細なインフラだ。現代の紛争では、送電網は内部への脅威となるだろう。この産業には、優良な「サイバーセキュリティの」記録や文化が無い。ロシアを含む、敵意を持っている可能性のある国家に、電力事業者へのサイバー攻撃を売ることで、そうした攻撃が金銭的な価値を持つようになることが予想される。
【編集者メモ】(Neely)
重要インフラに対する攻撃の成功は、勝利に結びつく戦場が将来変わることを意味しており、防衛を考える上での比重を、重要インフラのシステムに置く必要があることを強調している。新しく便利なインターフェース実装への欲望が、こうしたシステムをセキュアにすることへの動きを上回るかは不透明だ。セキュリティに一番大きな比重を置くためには、不屈の精神、リソース、そしてリスクベースの規制要求と協調した、業界や国のリーダーからの支援が求められる。
────────────────

◆ Redditのデータが、SMS 2段階認証の傍受により漏洩(2018.8.1)
Reddit社は、2018年6月半ばに攻撃者が同社のシステムに侵入し、情報を窃取したことを公表した。今回の情報漏洩では、2007年とそれ以前におけるユーザのメール、ソースコード、内部向けファイル、その他のデータが流出した。攻撃者は比較的弱い2段階認証(2FA)を悪用し、システムへのアクセス権を入手した。攻撃者はクラウド上や、ソースコードの管理サービスを提供するサイトにある複数のReddit社員のアカウントへのアクセス権を、2FAプロセスで使用されたSMSメッセージを傍聴することで入手した。Reddit社は長文の投稿で、「私たちは、SMSベースの認証が期待していたよりもはるかにセキュアなものではなかったことを学んだ。主要な攻撃はSMS傍受によるものだった。この事実を指摘することで、皆さんがトークンベースの2FAへの切り替えに向け動き出すことを推奨する。」と述べた。

- http://www.reddit.com/r/announcements/comments/93qnm5/we_had_a_security_incident_heres_what_you_need_to/
- http://www.wired.com/story/reddit-hacked-thanks-to-woefully-insecure-two-factor-setup/
- http://www.theregister.co.uk/2018/08/01/reddit_hacked_sms_2fa/
- http://threatpost.com/reddit-breach-stems-from-sms-two-factor-authentication-breakdown/134641/
- http://krebsonsecurity.com/2018/08/reddit-breach-highlights-limits-of-sms-based-authentication/

【編集者メモ】(Neely)
私たちは既にSMSベースの2FAに問題があることを知っているが、それでもこの方法は固定パスワードに頼るよりも優秀だ。NIST SP 800-63-3は、固定パスワードの使用を明確に非推奨としている。幸いにも、トークンベース2FA(例えば、Google Auth、MS Authenticator、YubiKey、RSA SecurIDなど)のような、よりセキュアなオプションが広まりつつまる。選択肢がある場合、トークンベースを選び、実装の際、他にオプションが無い場合以外は、SMSベース2FAを有効化しないようにするべきだ。
【編集者メモ】(Murray)
SMSベースの認証は固定パスワードの数倍強固だが、トークンベースに比べると攻撃に対してより脆弱だ。しかし現在に至るまで、SMSベース認証に対する攻撃では、ソーシャルエンジニアリングによる携帯電話もしくは電話番号の窃取が必要であり、要求したパスワードを正当な人物が受信しないという結果がついて回った。こうした攻撃は、標的とするアカウントとその電話番号の関係についての特別な知識に頼る必要があった。トークンベース認証よりセキュアではないが、多くのアプリケーションや環境において、SMSベース認証は安価でより便利な認証方法だ。
────────────────

◆ 2019年国防権限法は、米国の企業に対し、他国によるソースコードレビューの事実を公表することを要求
(2018.8.1)
2019会計年度国防権限法(NDAA)の最終版には、米国の企業に対し、他国によるソースコードの調査を許可した場合に、その事実を公表することを要求する規定が含まれている。下院は先週、上院は今週初めにNDAAを可決した。

- http://www.reuters.com/article/us-usa-software-cyber/u-s-congress-passes-bill-forcing-tech-companies-to-disclose-foreign-software-probes-idUSKBN1KM6A8
- http://fcw.com/articles/2018/08/01/ndaa-senate-williams.aspx

【編集者メモ】(Neely)
ソースコードの調査をする国で、ビジネスを展開しようとしている米国の企業に、この法案が歓迎されるかは不明だ。1990年代当時、ロシア政府はソースコードとセキュリティの監査が済んでいないソフトウェアを、政府のシステム上で動かすことを禁じた。それ以降、独立した第三者によるレビューのような規制や、厳しい規制の下における、ソースコードへのアクセスの要求では、全てのリスクを排除できなかった。米国の企業はヒューレット・パッカード社やMcAfee社の前例にならい、政府機関によるソースコードのレビューを禁止するか否か決定を下す必要がある。

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の無料セミナー・イベント        <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○8月9日(木)、9月13日(木)
 クラウド環境にオンプレ環境同等の統制を効率的に効かすには
 ~アクセス制御、ログモニタリングの負荷を最小にする方法とは~
https://www.nri-secure.co.jp/seminar/2018/ac05.html?xmid=300&xlinkid=01

○8月10日(金)、9月19日(水)
 分離・無害化技術によりマルウェアを100%防御する方法
 ~危険なWebサイトを自由に閲覧できるソリューションとは~
https://www.nri-secure.co.jp/seminar/2018/isolation02.html?xmid=300&xlinkid=02

○8月21日(火)【オンラインセミナー】
 利便性とセキュリティを両立するファイル転送サービスとは
 ~情報セキュリティ専門会社が提供するクリプト便~
https://www.nri-secure.co.jp/seminar/2018/file03.html?xmid=300&xlinkid=03

○8月22日(水)
 コンシューマ向けWebサービスにおける認証セキュリティ
 ~シングルサインオンの実装と不正アクセス防止策~
https://www.nri-secure.co.jp/seminar/2018/ciam04.html?xmid=300&xlinkid=04

○8月23日(木)
 契約書管理ソリューションセミナー
 ~企業における重要文書を"がっちり守り"ながら"使い易く"~
https://www.nri-secure.co.jp/seminar/2018/contract01.html?xmid=300&xlinkid=05

○8月23日(木)
 注目のEDR!あなたはどう選ぶ?どう使いこなす?
 ~EDRで脅威侵入の経路や原因、影響範囲を即座に可視化、
     攻撃者による侵害やエンドポイントの破壊を防ぐ~
https://www.nri-secure.co.jp/seminar/2018/edr01.html?xmid=300&xlinkid=06

○8月29日(水) ユービーセキュア主催
 自社でもできる ツールを使ったWebアプリの脆弱性診断(ハンズオンセミナー)
https://www.ubsecure.jp/seminar/seminar_2018/t_20180717

○9月8日(土)大阪
 CISSPチャレンジセミナーin大阪
 CISSPならこう考える!CISOに必要な情報セキュリティの知識と考え方
https://www.nri-secure.co.jp/seminar/2018/cissp02.html?xmid=300&xlinkid=07

○9月14日(金)
 実践セキュリティ運用セミナー
 ~貴社のSOCでSIEMは活用できていますか?
   SIEMの最新形とその導入・運用の勘所~
https://www.nri-secure.co.jp/seminar/2018/soc01.html?xmid=300&xlinkid=08

○9月20日(木)
 ファイル交換・転送サービスの正しい選び方
 ~クラウドで業務効率・利便性とセキュリティを両立させるには~
https://www.nri-secure.co.jp/seminar/2018/file02.html?xmid=300&xlinkid=09

○10月15日(月)大阪
 NRI 関西ITセキュリティ セミナー2018
 独自調査レポートから見るサイバーセキュリティ最新動向
 ~悩み多き時代を勝ち抜く、真に必要な対策とは~
https://www.nri-secure.co.jp/seminar/2018/1015.html?xmid=300&xlinkid=10

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の有料研修               <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○9月
 SANS Tokyo Autumn 2018
https://sans-japan.jp/sans_tokyo_autumn2018/index.html?xmid=300&xlinkid=12

○10月、2019年3月
 セキュアEggs
 (IT+セキュリティ基礎/インシデント対応/フォレンジック/WEBアプリセキュリティ)
https://www.nri-secure.co.jp/service/learning/secureeggs.html?xmid=300&xlinkid=13

○10月、11月、2019年1月、3月
 CISSP CBKトレーニング
https://www.nri-secure.co.jp/service/learning/cissp_training.html?xmid=300&xlinkid=14

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃コラム <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○あなたはどっち!?不審メールに気づける人、気づかない人
https://www.secure-sketch.com/blog/cstar2018_mail_training?xmid=300&xlinkid=15

○本番データは宝の山、デジタル時代に求められる開発サイクル
https://www.secure-sketch.com/blog/devsecops-shiftleft-shiftright?xmid=300&xlinkid=16

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃お知らせ                     <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○IAST、RASPに対応した、米国Contrast社の脆弱性検査製品を販売開始
 -「DevSecOps」に対応、高速アプリケーション開発がより効率的に-
https://www.nri-secure.co.jp/news/2018/0807.html?xmid=300&xlinkid=18

--

--

NRI Secure SANS NewsBites 日本版は、米国の情報セキュリティの専門機関であるSANS Instituteが配信するコンテンツ (SANS NewsBites)をベースに、NRIセキュアテクノロジーズが編集してお届けしています。 世界中でこの1週間に起こったセキュリティのあらゆるトピックと専門家のコメントが掲載されています。原版は、およそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュースソースとして活用されています。組織のセキュリティ管理に関する参考情報としてお役立てください。掲載されている情報は、e-mailを介して自由に他の方に再送していただいて結構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望される方は、弊社ホームページの以下のページよりお申込みください。
http://www.nri-secure.co.jp/news_letter/

本ニュースレターは、メールマガジン配信を申し込まれた方、弊社からの情報を希望された方、SANS関連のイベントに参加された方、その他イベント等において弊社講演枠に登録された方に配信しています。
今後、配信をご希望されない方は会社名と御氏名を本文に明記のうえ、件名に【配信不要】、配信先変更をご希望の方は【配信先変更希望】とご記入頂き、新旧のご連絡先も記載のうえ、info@sans-japan.jpまでご返信をお願い致します。なお、情報の反映までにお時間を頂戴する場合がございます。