NRI Secure SANS NewsBites 日本版

Vol.13 No.20 2018年8月21日発行

──────────────────────────
■■SANS NewsBites Vol.13 No.20
(原版: 2018年 8 月 14 日、17 日)
──────────────────────────


┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 お┃申┃込┃み┃受┃け┃付┃け┃中┃!┃2018年9月開催 SANSトレーニング
 ━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛全9コース開催!
 ま┃だ┃間┃に┃合┃い┃ま┃す┃!┃
 ━┛━┛━┛━┛━┛━┛━┛━┛━┛
 お 急 ぎ┃く┃だ┃さ┃い┃!┃
 ━┛━┛━┛━┛━┛━┛━┛━┛

【SANS Tokyo Autunm 2018】9月開催 全9コース実施
https://sans-japan.jp/sans_tokyo_autumn2018/index.html

開催日:9/3(月)~8(土) <絶賛受付中>
●SEC401:Security Essentials Bootcamp Style
  最もポピュラーなコースの1つ。サイバーセキュリティの基礎をこのコースで!
●SEC508:Advanced Digital Forensics,Incident Response, and Threat Hunting
  フォレンジックから脅威をハンティングする、組織の対抗能力を高めます。
●FOR610:Reverse-Engineering Malware
- Malware Analysis Tools and Techniques
実践的なマルウェア解析について学びたい方はぜひご参加ください。


開催日:9/10(月)~15(土) <絶賛受付中>
●SEC504:Hacker Tools, Techniques, Exploits and Incident Handling
  セキュリティエンジニアの登竜門的なコースです。
●SEC511:Continuous Monitoring and Security Operations
  SOCオペレーションに関するスキル・ベストプラクティスが学べます。
★SEC555:SIEM with Tactical Analytics
  日本初開催!SIEMの導入でお困りの方、運用能力を強化したい方はぜひご参加ください。
★SEC599:Defeating Advanced Adversaries
      - Purple Team Tactics & Kill Chain Defenses
  日本初開催!攻防一体のセキュリティチーム強化であらゆる攻撃に対抗しましょう。

開催日:9/10(月)~14(金) <通常価格にて受付中>
●ICS515:ICS Active Defense and Incident Response
  ICSにおけるアクティブディフェンスの方法を学びます。
●SEC545:Cloud Security Architecture and Operations
  クラウドの安全な利活用をどう実現するか。クラウドユーザ必修のコースです。

-------------------------------------------------------------------------
開催日:9/12(水)~13(木)
●Core NetWars:Experience
  経験と技術力、そしてトレーニング成果が試せるCTF競技です。
  ※2018年9月3日~15日のSANSトレーニング受講者のみ無料でお申込いただけます。

┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛

◆ FBIが、ATMから現金を全額引き出す攻撃について注意喚起(2018.8.12)
先週各銀行に送られた、FBIによる機密アラートによると、犯罪グループがクローンカードを使用して、ATM内の現金を全て引き出す攻撃を計画しているようだ。銀行やカード決済のシステムを悪用し、システムから得た情報を用いて、正当なカードのクローンを作る攻撃手法が計画されている。FBIによるアラートでは各銀行に対し、セキュリティトークンまたはデジタルトークンを使用した二要素認証、上限額を超える引き出しをする際の二要素認証、アプリケーションのホワイトリスト登録といった、強力なセキュリティ対策の導入を推奨している。

- http://krebsonsecurity.com/2018/08/fbi-warns-of-unlimited-atm-cashout-blitz/

【編集者メモ】(Murray)
ATMが世の中に出回り始めたころ、現金引き出し上限額は一つのアカウントにつき、一日200USドルであった。数十年にわたり、銀行はこの上限を緩めてきた。各銀行は厳しい上限額の導入に消極的かもしれないが、リスクを軽減する方法の一つとなり得るだろう。二要素認証(カードやPIN)の導入は、ATMから始まったという事実に注目してほしい。この方法は、カードのクローン作成にかかるコストが下がるまでは有効であった。カード発行者が磁気ストライプの使用を取り止め、「ICチップ」を使用するようになれば、クローンにかかるコストは再び上がり、リスクは軽減されるだろう。
【編集者メモ】(Neely)
この攻撃の成立には、二段階のステップを踏む必要がある。まずATMにおける引き出し上限額や処理の上限回数といった、金融機関が設けている制限を無効化し、その上でクローンカードを用いて現金を引き出す。多要素認証、ホワイトリスト登録、アクティブモニタリング、職務分掌、二人体制での監視といった対策の導入が、バックエンドシステムを攻撃から保護する鍵となる。ATM用カードにおける磁気ストライプの使用停止により、クローンカードの作成は非常に難しくなるが、磁気ストライプの排除にはある程度の時間がかかるだろう。米国のセルフスタンドにおける決済端末のEMV化期限は、2020年10月に延期された。全ての端末で磁気ストライプのリーダーが廃止されていたとしても、カード利用者は、IC機能が無効化されたカードを受け取る必要がある。
────────────────

◆ NISTが、リスクマネジメントフレームワーク 2.0の最終公開草案の発表に向け た取り組みを進めている(2018.8.9)
米国立標準技術研究所(NIST)は、次版のリスクマネジメントフレームワーク 2.0(RMF 2.0)作成を進めている。RMF 2.0の最終公開草案の公開は2018年9月に、正式な文書としての公開は11月に予定されている。RMF2.0では、サプライチェーン、システム工学、プライバシーにおける動向や問題が取り上げられる。

- http://fcw.com/articles/2018/08/09/nist-rmf-v2-rockwell.aspx
- http://csrc.nist.gov/CSRC/media/Publications/sp/800-37/rev-2/draft/documents/sp800-37r2-draft-ipd.pdf

【編集者メモ】(Pescatore)
NISTによるRMF改定第二版の草案は、2010年に公開された初版の102ページから増え、149ページに及ぶ大作となっている。インシデント発生後のデータを見ると、リスクマネジメント向けの文書やポリシーの少なさや弱さではなく、ほぼ必ずと言って良いほど、ITやセキュリティ現場における運用上の間違いがインシデントの原因となっていることがわかる。良いニュースとしては、NISTがRMFのクイックスタートガイドをいくつか作成したことだ。悪いニュースでは、「実装」段階用のクイックスタートガイドが無い点であり、これはリスクマネジメントにおける問題が発生する兆候であると言える。
────────────────

◆ Hack the Marine Corpsバグバウンティプログラム(2018.8.13)
米国防総省(DoD)は、米海兵隊の一般向けウェブサイトやサービスを対象とした、新たなバグバウンティプログラムを立ち上げた。DoDによる初のバグバウンティプログラムであるHack the Pentagonは、2016年5月に開催された。Hack the Marine Corpsは、8月12日にネバダ州ラスベガスで始まった。コンテストは8月26日まで開催される。

- http://www.fifthdomain.com/dod/marine-corps/2018/08/13/pentagon-invites-researchers-to-hack-the-marine-corps/
- http://www.darkreading.com/vulnerabilities---threats/hack-the-marine-corps-bug-bounty-event-held-in-vegas-/d/d-id/1332541

【編集者メモ】(Pescatore)
このプログラムは、ハッカソンよりも長期間に及ぶ管理されたバグバウンティプログラムだ。米海兵隊(USMC)が行った良い点は、攻撃側であるレッドチームと防御側であるブルーチームに、全体の観察、コンテスト参加者との交流、報奨金の支払いに値するバグの選定を任せたことだ。将来USMCが、本コンテストで発見されたようなソフトウェアの脆弱性が、運用の中で発見されることを待つか、あるいは脆弱性の発見者に報奨金を支払うのではなく、脆弱性の作り込みを避ける努力をするようになるための、良い勉強の機会となるだろう。
────────────────

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃OUCH! 8月号「スマート家電」について
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
近年、一般的なコンピュータやスマートフォンだけではなく、スピーカーや電球
といったさまざまな機器がインターネットに接続するようになっています。この
ような機器を、よく Internet of Things(IoT)などと言ったりしますが、これ
らの機器は、生活を便利にしてくれる反面、特有のセキュリティ上のリスクが存
在します。今月は、このスマート家電について、何が問題なのかを明らかにする
と共に、セキュリティを確保するためにしなければならないことを一般ユーザ向
けに分かりやすく解説します。社員の意識向上ツールとしてお使いください。
https://www.sans.org/sites/default/files/2018-08/201808-OUCH-August-Japanese.pdf
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

◆ 中国のハッカー集団が、アラスカ州貿易使節団の訪中前後数週間に渡り、複数 の通信関連企業や政府機関のシステムをスキャンしていた(2018.8.16)
アラスカ州貿易使節団の訪中前後数週間に渡り、中国のハッカー集団が清華大学のシステムを利用し、米国のエネルギー関連企業や通信関連企業、さらにアラスカ州政府や同州天然資源局のシステムをスキャンしていた。Recorded Future社のレポートによるとハッカー集団は、中国が会議を優位に進める材料となる情報を探していたようだ。

- http://www.reuters.com/article/us-usa-china-cyber/chinese-hackers-targeted-u-s-firms-govt-after-trade-mission-researchers-idUSKBN1L11D2
- http://www.cnet.com/news/chinese-hackers-targeted-us-agencies-during-trade-talks/
- http://www.recordedfuture.com/chinese-cyberespionage-operations/

【編集者メモ】(Pescatore)
あなたの会社に物理セキュリティが設置されているのであれば、誰かがドアの施錠と、アラームが正常に設定されていることを毎晩確認する。会社の建物に屋根がある場合、雨漏りしていないことを点検する。犯罪者(もしくは雨粒)が中国やロシ
ア、イラン、シボイガン市やグラニット市から来ていたとして、基本的なサイバーセキュリティ対策に必要なことは変わらない。このような見出しのニュースが出た際に恐れられることは、こうした見出しを見たCEOや役員らが、「我々は【セクシーとは言えない垂直市場の事業がここに入る】業界にいるのであって、中国やロシアの標的となることはないだろう。」と発言することだ。
────────────────

◆ Cybertropolis:米陸軍のサイバー演習システム(2018.8.16)
米陸軍はSANS Instituteと共同で、「実際の都市によく似た」環境におけるサイバー演習システムである、Cybertropolisを開発した。多くのサイバー演習システムは、完全にデジタル化されているか、「キーボード上での演習」となっているが、400エーカーにおよぶこの施設には、兵士が活動する場となるであろう、実際に稼働している送電網やその他の物理的な設備を備えている。陸軍の演習施設は長年に渡り使用されてきたが、最近まで施設内の環境には、サイバーセキュリティに関する設備が存在していなかった。

- http://federalnewsradio.com/on-dod/2018/08/in-cybertropolis-army-begins-to-move-its-cyber-training-exercises-into-the-physical-world/slide/1/

【編集者メモ】(Murray)
「戦いながら訓練し、訓練しながら戦え。」若い大砲の射弾観測要員は、Fort Sillでの演習において何度も大砲を発射した。彼はそれよりも高額な演習を目撃してきた。より実際の環境を再現した演習や訓練を行うことによって、戦闘において部隊がより効率的に動けるようになるだろう。
【編集者メモ】(Neely)
実大の設備を使用することで、参加者は「遊ぶかのように訓練する」ことができる。実際の環境における経験は、攻撃を受けた際の対応に備える上での鍵となる。これによりSANS CyberCityは次の段階へと移行する。
【編集者メモ】(Paller)
サイバー演習が効率的かつ経済的である理由は、すぐにリセット可能な、事前に計画、展開されたシナリオがあるからだ。このため陸軍のCybertropolisは、新しいシナリオの展開に多大な労力と経費がかかる、これまでのサイバー演習とは一線を画すものとなっている。また、これは他の演習プログラムでは10倍の経費がかかり、数十もしくは二百から三百名程度の成功者しか輩出できていない中で、NetWarsとCyberCityにおいて、数万におよぶ兵士や他の参加者が、シナリオベースの強力な技術を身につける手助けとなっている理由でもある。
────────────────

◆ Markey上院議員が、政府と関連業界から送電網のセキュリティに関する情報の提供を求めている(2018.8.13 & 2018.8.14)
Edward Markey米上院議員(民主党・マサチューセッツ州)は、2016年と2017年に米国内の電力事業者のシステムに対し、ロシアの支援を受けたハッカー集団が展開したサイバー攻撃に関する情報の提供を求めた手紙を、国内の電力事業者と関連する政府機関に送った。Markey氏は、企業と政府機関がどのように「送電網のセキュリティを最大限に高め、攻撃に対する脆弱性を最小化しているのか」を知りたいようだ。

- http://fcw.com/articles/2018/08/14/markey-cyber-grid-letter.aspx
- http://www.markey.senate.gov/imo/media/doc/Electric%20Utility%20Attacks%20Letter%20to%20DHS.pdf
- http://www.markey.senate.gov/imo/media/doc/Letter%20to%20Utilities%20Electric%20Utility%20Attacks.pdf

【編集者メモ】(Murray)
現在、国家が脆弱性の確認やスパイ活動の標的となっている可能性が高い。さらにハッカー集団は、他の紛争発生時にのみ破壊活動を引き起こす計画のもと、攻撃コードを埋め込んでいる可能性があるようだ。
────────────────

◆ Oracle社が、Database Serverにおける重大な脆弱性を修正するアップデートの 適用を呼びかけ(2018.8.14)
Oracle社はユーザに対し、複数のバージョンのDatabase Serverにおける、コード実行に関する重大な脆弱性を修正するため、アップデートを適用するよう呼び掛けている。脆弱性はOracle Database ServerのJavaVMコンポーネントに存在する。攻撃の成立には、攻撃者がOracle Netを介してサーバに接続する必要がある。Windows向けOracle Database Server 11.2.0.4、12.1.0.2、12.2.0.1と、LinuxとUnix向けOracle Database 18の各バージョンが、本脆弱性の影響を受ける。バージョン12.20.1とOracle Database 18の修正は、7月のCritical Patch Updateに含まれている


- http://www.theregister.co.uk/2018/08/14/oracle_database_flaw/
- http://www.oracle.com/technetwork/security-advisory/alert-cve-2018-3110-5032149.html

【編集者メモ】(Neely)
CVSS値が9.9であり、容易に悪用が可能な、重大な脆弱性だが、Oracle Net(旧SQL*Net)のトラフィックへのアクセスが必要だ。あなたのOracle Netのトラフィックがインターネットに晒されている可能性は低いが、あなたが使用しているインターネット上では、到達される可能性が高い。賢明なパッチを適用する必要がある。

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の無料セミナー・イベント        <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○8月22日(水)
 コンシューマ向けWebサービスにおける認証セキュリティ
 ~シングルサインオンの実装と不正アクセス防止策~
https://www.nri-secure.co.jp/seminar/2018/ciam04.html?xmid=300&xlinkid=02

○8月23日(木)
 契約書管理ソリューションセミナー
 ~企業における重要文書を"がっちり守り"ながら"使い易く"~
https://www.nri-secure.co.jp/seminar/2018/contract01.html?xmid=300&xlinkid=03

○8月23日(木)
 注目のEDR!あなたはどう選ぶ?どう使いこなす?
 ~EDRで脅威侵入の経路や原因、影響範囲を即座に可視化、
     攻撃者による侵害やエンドポイントの破壊を防ぐ~
https://www.nri-secure.co.jp/seminar/2018/edr01.html?xmid=300&xlinkid=04

○8月29日(水) ユービーセキュア主催
 自社でもできる ツールを使ったWebアプリの脆弱性診断(ハンズオンセミナー)
https://www.ubsecure.jp/seminar/seminar_2018/t_20180717

○9月4日(火)
 SANS コミュニティナイトセッション
 Time Lords - Understanding time to master forensic analysis:
 効果的なフォレンジック分析のためのタイムスタンプの理解
https://www.nri-secure.co.jp/seminar/2018/sans05.html?xmid=300&xlinkid=05

○9月13日(木)
 クラウド環境にオンプレ環境同等の統制を効率的に効かすには
 ~アクセス制御、ログモニタリングの負荷を最小にする方法とは~
https://www.nri-secure.co.jp/seminar/2018/ac05.html?xmid=300&xlinkid=06

○9月14日(金)
 実践セキュリティ運用セミナー
 ~貴社のSOCでSIEMは活用できていますか?
   SIEMの最新形とその導入・運用の勘所~
https://www.nri-secure.co.jp/seminar/2018/soc01.html?xmid=300&xlinkid=07

○9月19日(水)
 分離・無害化技術によりマルウェアを100%防御する方法
 ~危険なWebサイトを自由に閲覧できるソリューションとは~
https://www.nri-secure.co.jp/seminar/2018/isolation02.html?xmid=300&xlinkid=08

○9月20日(木)
 ファイル交換・転送サービスの正しい選び方
 ~クラウドで業務効率・利便性とセキュリティを両立させるには~
https://www.nri-secure.co.jp/seminar/2018/file02.html?xmid=300&xlinkid=09

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
   大阪開催
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○9月8日(土)大阪
 CISSPチャレンジセミナーin大阪
 CISSPならこう考える!CISOに必要な情報セキュリティの知識と考え方
https://www.nri-secure.co.jp/seminar/2018/cissp02.html?xmid=300&xlinkid=10

○10月15日(月)大阪
 NRI 関西ITセキュリティ セミナー2018
 独自調査レポートから見るサイバーセキュリティ最新動向
 ~悩み多き時代を勝ち抜く、真に必要な対策とは~
https://www.nri-secure.co.jp/seminar/2018/1015.html?xmid=300&xlinkid=11

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
   オンラインセミナー
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○8月21日(火)【オンラインセミナー】
 利便性とセキュリティを両立するファイル転送サービスとは
 ~情報セキュリティ専門会社が提供するクリプト便~
https://www.nri-secure.co.jp/seminar/2018/file03.html?xmid=300&xlinkid=01
━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の有料研修               <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○9月
 SANS Tokyo Autumn 2018
https://sans-japan.jp/sans_tokyo_autumn2018/index.html?xmid=300&xlinkid=12

○10月、2019年3月
 セキュアEggs
 (IT+セキュリティ基礎/インシデント対応/フォレンジック/WEBアプリセキュリティ)
https://www.nri-secure.co.jp/service/learning/secureeggs.html?xmid=300&xlinkid=13

○10月、11月、2019年1月、3月
 CISSP CBKトレーニング
https://www.nri-secure.co.jp/service/learning/cissp_training.html?xmid=300&xlinkid=14

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃コラム <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○セキュリティ人材に不可欠な「知識」と「技能」、どう育成するべきか?
https://www.secure-sketch.com/blog/training-of-security-personnel?xmid=300&xlinkid=15

○25億件の通信分析結果!IoT機器へのサイバー攻撃の最新実態
https://www.secure-sketch.com/blog/cstar2018_iot?xmid=300&xlinkid=16

○「働き方改革関連法」が成立、安全なテレワーク実現における3つのポイント
https://www.secure-sketch.com/blog/secure-remote-work?xmid=300&xlinkid=17

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃お知らせ                     <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○「サイバーセキュリティ傾向分析レポート2018」を発表
 ~ 不要なポートの公開、シャドーIT、クリプトジャッキングへの対策を ~
https://www.nri-secure.co.jp/news/2018/0821.html?xmid=300&xlinkid=18

○多要素認証エンジン「Uni-ID MFA」が、
 NRIのインターネットバンキングサービス「Value Direct」に採用
https://www.nri-secure.co.jp/news/2018/0820.html?xmid=300&xlinkid=19


--

NRI Secure SANS NewsBites 日本版は、米国の情報セキュリティの専門機関であるSANS Instituteが配信するコンテンツ (SANS NewsBites)をベースに、NRIセキュアテクノロジーズが編集してお届けしています。 世界中でこの1週間に起こったセキュリティのあらゆるトピックと専門家のコメントが掲載されています。原版は、およそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュースソースとして活用されています。組織のセキュリティ管理に関する参考情報としてお役立てください。掲載されている情報は、e-mailを介して自由に他の方に再送していただいて結構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望される方は、弊社ホームページの以下のページよりお申込みください。
https://www.nri-secure.co.jp/news_letter/

本ニュースレターは、メールマガジン配信を申し込まれた方、弊社からの情報を希望された方、SANS関連のイベントに参加された方、その他イベント等において弊社講演枠に登録された方に配信しています。
今後、配信をご希望されない方は会社名と御氏名を本文に明記のうえ、件名に【配信不要】、配信先変更をご希望の方は【配信先変更希望】とご記入頂き、新旧のご連絡先も記載のうえ、 info@sans-japan.jp までご返信をお願い致します。なお、情報の反映までにお時間を頂戴する場合がございます。