NRI Secure SANS NewsBites 日本版

Vol.13 No.21 2018年8月29日発行

──────────────────────────
■■SANS NewsBites Vol.13 No.21
(原版: 2018年 8 月 21 日、24 日)
──────────────────────────


┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 大┃阪┃S┃A┃N┃S┃ト┃レ┃ー┃ニ┃ン┃グ┃
 ━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛
 お┃申┃し┃込┃み┃開┃始┃し┃ま┃し┃た┃
 ━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛
 全┃4┃コ┃ー┃ス┃開┃催┃予┃定┃!┃
 ━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛

【SANS Osaka 2018】11月開催 全4コース実施
https://sans-japan.jp/sans_osaka2018/index.html

開催日:11/12(月)~17(土) <早期割引価格にて受付中>
●SEC401:Security Essentials Bootcamp Style
  最もポピュラーなコースの1つ。サイバーセキュリティの基礎をこのコースで!
●SEC504:Hacker Tools, Techniques, Exploits and Incident Handling
  ペンテスター、インシデントハンドラーへの登竜門!
●SEC542:Web App Penetration Testing and Ethical Hacking
  Webアプリにおけるセキュリティ上の課題を徹底理解!
●FOR508:Advanced Digital Forensics,Incident Response, and Threat Hunting
  フォレンジックから脅威をハンティングする、組織の対抗能力を高めます。

┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛

◆ 米連邦政府機関のDMARC実装期限が迫る(2018.8.20)
連邦政府機関のDomain-based Message Authentication, Reporting, and Conformance(DMARC)実装期限まで、2か月を切った。米国土安全保障省による法的拘束力のある命令(Binding Operational Directive)18-01(BOD 18-01)の要求事項を満たしていない連邦政府機関のドメインが、いまだに200以上存在する。行政管理予算局(OMB)は、政府機関がBOD 18-01やその他の連邦政府に関わるセキュリティ要求事項を遵守しているか、各機関のドメインを監視するウェブサイトを運用している。

- http://www.federalnewsradio.com/reporters-notebook-jason-miller/2018/08/how-agencies-can-stop-playing-russian-roulette-with-their-email-security/
- http://pulse.cio.gov/https/domains/

【編集者メモ】(Neely)
各政府機関は、DMARC実装プロセスの中でも、正当なサードパーティの送信業者を選定し、メールが全て正当なものであると証明されるために、必要な修正を加えるという困難な作業に直面している。会計年度末が9月30日に迫る中、年度末決算や次年度開始への影響を軽減するため、DMARC実装に必要な変更の完了が、11月もしくは12月に延期されることが予想される。
【編集者メモ】(Murray)
「フィッシング」のような攻撃は、政府やその他の組織における情報漏洩の多くがそうした攻撃から始まったように、高い効果が証明されている。DMARCの導入はそうした攻撃の全てを防止するものではないが、いくつかを事前に食い止めることにつながる。DMARCは大半の企業や団体、政府機関において、「必須の」セキュリティ対策として考えられるべきものだ。
────────────────

◆ NISTによるSmall Business Cybersecurity Actが、法律として成立(2018.8.17)
米国立標準技術研究所(NIST)によるSmall Business Cybersecurity Actが、法律として成立した。法律はNIST所長に対し、中小企業(SMBs)が、直面するリスクを特定し軽減するための補助となる手引きや、リソースを公開することを求めている。

- http://www.scmagazine.com/president-signs-nist-small-business-cybersecurity-act-into-law/article/789147/

【編集者メモ】(Murray)
80年代、Peter Browne氏と私は、中小企業の経営に関する委員会のメンバーとして、関係する企業に向けた、コンピュータセキュリティの手引きの草案を作成していた。その内容は、大半がNISTが公開しようとしている手引きと重なり、基本的なサイバーセキュリティ対策に関するものだった。当時は80年代だったため、手引きは3つ折りパンフレットで作成し、配布先は限定的で、支援や資金的な援助はなかった。現在ビジネスにおいてコンピュータの使用は当たり前となっているが、当時コンピュータを使用していたところは大企業に限られていた。今回の法律化はタイミングが良く、効果的かつ効率的なものになることが予想される。
【編集者メモ】(Neely)
中小企業は、ITやセキュリティにかける費用や、力を入れるべき分野を説明した手引きについて、倹約することが求められる。CSCはサイバーセキュリティ対策に重点を置いているが、サイバーセキュリティフレームワークは簡易なものであるほうが、中小企業にとっては整理しやすく、やるべきことを理解する上で役に立つ。また簡易なフレームワームにより、複雑に絡み合う数々の規制を抱える、規模の大きな企業と連携する際に、要求事項を横断的に理解する手助けとなる。
────────────────

◆ Gmailの情報保護モード(2018.8.18 & 2018.8.20)
Gmailの新機能である情報保護モードにより、ユーザは「自動消滅」するメールや、印刷や転送ができないメールを送信できるようになる。送信者は、送信メールの有効期限が切れるまでの時間(1日から5年)や、送信後のメールへのアクセス制限を設定することができる。送信者はさらに、メールを開封する際に、パスワード入力を要求することを選択できる。メールには、Google社のサーバに保管されている実際の内容へのリンクが掲載される。Electronic Frontier Foundation(EFF)は、情報保護モードのプライバシーやセキュリティに関するGoogle社の主張に対し、メッセージが末端から末端まで暗号化されていない点を指摘し、反論を展開している。

- https://www.bleepingcomputer.com/news/google/gmails-confidential-mode-lets-you-send-self-destructing-emails/
- https://www.engadget.com/2018/08/18/gmail-confidential-mode-mobile-devices/
- https://www.eff.org/deeplinks/2018/07/between-you-me-and-google-problems-gmails-confidential-mode
- http://www.support.google.com/mail/answer/7674059?co=GENIE.Platform%3DDesktop&hl=en

【編集者メモ】(Pescatore)
第一に、多くのユーザはSnapchatにおいて、「自動消滅する」メッセージが実際には消滅しないことを知っており、Gmailの情報保護モードも同様だと考えている。また、プライバシー向上のためにGmailを使用することは、認知的不協和である可能性が非常に高い。Gmailへのログインは、あなたがログインしているという事実と、検索やYouTubeといった全てのGoogleサービスをまたいで、行動を監視されているということを意味している。
【編集者メモ】(Henry)
SMBが基本的なサイバーセキュリティ対策を実施できていないという事実は、企業が保有するエコシステムに対する全体的なリスクを、大きく増長している。中小企業のリソース、技術、そして脅威への理解は限定的なものだ。NISTによる手引きは、それ自体の導入を成功させる必要があるとは言え、今後やるべきことを記したロードマップを得る上で役に立つ。優良な勧告は、正しく実行された時のみ有益なものとなるが、正しく実行されることについて、私は楽観的な態度を取ることができない。
【編集者メモ】(Murray)
クラウドへのメールの保存には、確かに有益な点がある。またそうしたメールに一時的なリンクを内包することにも、有益な点がある。しかしその有益な点の中に「機密性」が含まれるとは思えない。このようなシステムが、倒産や政府による乱用に対して脆弱であるという事実は、潜在的な利益を諦める理由にはならない。ユーザがシステムの短所と長所を認識し、受け入れることを期待しよう。
【編集者メモ】(Neely)
Google社は、最近の流行である、セキュリティ上の保護を全くかけないメールの送信に対する代替案として、完全なPKIや記録保持の実装を要求せず、機密性を提供するという努力をしている。メッセージがエンドツーエンドで暗号化されていなければ、誰かがそのメッセージを読むことができてしまう。Google社の各サービスが相互に関連していて、その全てが中身のサービスに関わらず、あなたがコンテンツを検索しアクセスすることを補助するよう設計されていることを考えると、メールの中身が本当に自動消滅するという主張は信じ難い。記録保持サービスを使うことで保存メッセージの数を減らし、PKIを使うことでメッセージをエンドツーエンドで保護するべきだ。
【編集者メモ】(Northcutt)
メッセージがエンドツーエンドで暗号化されていないため、有効期限を大幅に過ぎてもGoogle社のサーバ上で保存され続け、そのデータは政府から要求があった場合に開示される可能性があるというEFFの意見に同意する。バージョン2.0のリリースを待つべきだ。政府によるセキュリティに関する情報収集のための令状(NSL)や、ベンダからの回答を監視するEEFのベストエフォートを読んだことがないのであれば、これは読むに値するものであり、一度読んだことがあっても再読をお勧めする。

- https://www.eff.org/who-has-your-back-2017
────────────────

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃OUCH! 8月号「スマート家電」について
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
近年、一般的なコンピュータやスマートフォンだけではなく、スピーカーや電球
といったさまざまな機器がインターネットに接続するようになっています。この
ような機器を、よく Internet of Things(IoT)などと言ったりしますが、これ
らの機器は、生活を便利にしてくれる反面、特有のセキュリティ上のリスクが存
在します。今月は、このスマート家電について、何が問題なのかを明らかにする
と共に、セキュリティを確保するためにしなければならないことを一般ユーザ向
けに分かりやすく解説します。社員の意識向上ツールとしてお使いください。
https://www.sans.org/sites/default/files/2018-08/201808-OUCH-August-Japanese.pdf
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

◆ ChromeがFlashの利用終了に向け一歩前進(2018.8.21)
来月リリース予定のChrome 69では、Adobe Flashが必要な場合、ユーザは都度Flashを有効にする必要がある。2016年、HTML5がChromeにおけるデフォルトとなり、サイトごとにFlash有効化が求められるようになった。現状設定に変更はなく、ユーザがあるサイトでFlashを有効化すると、ブラウザの再起動後もそのサイトではFlashが有効化されたままとなる。ChromeにおけるAdobe Flashの完全サポート終了は、2020年に予定されている。

- http://arstechnica.com/gadgets/2018/08/chrome-69-will-take-the-next-step-to-killing-flash-roll-out-new-design/

【編集者メモ】(Murray)
GoogleはFlashの「利用終了に向け前進した」のではなく、Steve Jobs氏が廃止を呼びかけた10年後も、Flashを許容し、融通を利かせ、サポートしている。この10年間、Flashの修正パッチ作成に投入された金額や、ましてや攻撃の軽減に費やされた金額は、誰もが欲しいだろう。ある人はFlashの「利用終了」のためにGoogle社が費やした金額でも十分かもしれない。Flashを利用するアプリケーションをHTML5と入れ替えるために必要な時間は、月や年単位ではなく、日や週単位で計算されるべきだ。Google社のやり方は汚い。
【編集者メモ】(Shpantzer)
Flashの時代は終わった。Flash万歳(皮肉なことに、特にセキュリティ啓発サイトにおいて)。
────────────────

◆ Verizon社が、消防士のデータ速度制限が「誤り」であったことを認める(2018.8.21 & 2018.8.22)
先月後半、サンフランシスコ北部のメンドチノで発生した、複数の火災の消火対応にあたっていた消防士が、Verizon社によってデータ速度の制限を受けていたことが発覚した。消防士がVerizon社と連絡を取った際、彼らは効率的なデータ速度を復旧させるには、より高額なプランに変更する必要があるという説明を受けた。Verizon社はその後、緊急事態において、データ速度制限は取り除くべきだったと認めた。Verizon社は、速度制限は「カスタマーサポートにおける誤り」であり、ネットワーク中立性の問題ではないと述べた。

- http://arstechnica.com/tech-policy/2018/08/verizon-throttled-fire-departments-unlimited-data-during-calif-wildfire/
- http://arstechnica.com/tech-policy/2018/08/fire-dept-rejects-verizons-customer-support-mistake-excuse-for-throttling/
- http://www.nbcnews.com/tech/tech-news/verizon-admits-throttling-data-calif-firefighters-amid-blaze-n902991

【編集者メモ】(Pescatore)
Verizon社は既知のDDoS攻撃やマルウェアのトラフィックを、合法なトラフィックを制限する必要に迫られるまで、喜んで転送したに違いない。ISPが既に知られている悪性のトラフィックにフィルタをかけた場合、ユーザは「無制限の」帯域幅のうち30%から70%を取り戻すことができるだろう。いたずら郵便が正当な郵便を助成することは確かだが、クルーズ船のパフレットを尋常ではないくらい大量に受け取ったとしても、USPSがあなたへの郵便配達を制限することはない。
【編集者メモ】(Murray)
ネットワーク中立性のルールでさえ、無線ネットワークの管理や、料金の問題に対処することを目的としている訳ではない。もちろん、優先順位付けのスキームがあった、もしくはこれからできる場合、「緊急時のサービス」は、ダイヤルアップ接続に切り替わったネットワークにおいては、リストの一番上に載る。その上で、サ
ービスプロバイダと政府は、緊急時のサービスを「制限された」データプランの下で展開していることについて批判を受けている。(私の姪は、家族プランで1ヶ月経たないうちに70GBを消費したが、22.5GB以降は「制限を受けていた。」確かめてみてほしい。)
【編集者メモ】(Northcutt)
データ制限はネットワーク中立性の問題だ。私はVerizon社があまり非難を浴びていないことに驚いている。しかしながら、問題となっている消防士の皆さんは、需要を満たすプランを選び、契約する必要がある。
────────────────

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の無料セミナー・イベント        <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○8月29日(水) ユービーセキュア主催
 自社でもできる ツールを使ったWebアプリの脆弱性診断(ハンズオンセミナー)
https://www.ubsecure.jp/seminar/seminar_2018/t_20180717

○9月4日(火)
 SANS コミュニティナイトセッション
 Time Lords - Understanding time to master forensic analysis:
 効果的なフォレンジック分析のためのタイムスタンプの理解
https://www.nri-secure.co.jp/seminar/2018/sans05.html?xmid=300&xlinkid=05

○9月13日(木)
 クラウド環境にオンプレ環境同等の統制を効率的に効かすには
 ~アクセス制御、ログモニタリングの負荷を最小にする方法とは~
https://www.nri-secure.co.jp/seminar/2018/ac05.html?xmid=300&xlinkid=06

○9月14日(金)
 実践セキュリティ運用セミナー
 ~貴社のSOCでSIEMは活用できていますか?
   SIEMの最新形とその導入・運用の勘所~
https://www.nri-secure.co.jp/seminar/2018/soc01.html?xmid=300&xlinkid=07

○9月19日(水)
 分離・無害化技術によりマルウェアを100%防御する方法
 ~危険なWebサイトを自由に閲覧できるソリューションとは~
https://www.nri-secure.co.jp/seminar/2018/isolation02.html?xmid=300&xlinkid=08

○9月20日(木)
 ファイル交換・転送サービスの正しい選び方
 ~クラウドで業務効率・利便性とセキュリティを両立させるには~
https://www.nri-secure.co.jp/seminar/2018/file02.html?xmid=300&xlinkid=09

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
   大阪開催
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○9月8日(土)大阪
 CISSPチャレンジセミナーin大阪
 CISSPならこう考える!CISOに必要な情報セキュリティの知識と考え方
https://www.nri-secure.co.jp/seminar/2018/cissp02.html?xmid=300&xlinkid=10

○10月15日(月)大阪
 NRI 関西ITセキュリティ セミナー2018
 独自調査レポートから見るサイバーセキュリティ最新動向
 ~悩み多き時代を勝ち抜く、真に必要な対策とは~
https://www.nri-secure.co.jp/seminar/2018/1015.html?xmid=300&xlinkid=11

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の有料研修               <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○9月
 SANS Tokyo Autumn 2018
https://sans-japan.jp/sans_tokyo_autumn2018/index.html?xmid=300&xlinkid=12

○10月、2019年3月
 セキュアEggs
 (IT+セキュリティ基礎/インシデント対応/フォレンジック/WEBアプリセキュリティ)
https://www.nri-secure.co.jp/service/learning/secureeggs.html?xmid=300&xlinkid=13

○11月、2019年1月、3月
 CISSP CBKトレーニング
https://www.nri-secure.co.jp/service/learning/cissp_training.html?xmid=300&xlinkid=14

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃コラム <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○【解説】セキュリティ業務の自動化におすすめなガイドライン「CSC」とは?
https://www.secure-sketch.com/blog/cis-critical-security-controls?xmid=300&xlinkid=15

○Webサイトの棚卸できていますか?管理用経路のセキュリティにご注意
https://www.secure-sketch.com/blog/cstar2018_maintenance-route?xmid=300&xlinkid=16

○【まとめ】WEBサイトへの踏み台攻撃対策10選
https://www.secure-sketch.com/blog/springboard_attack?xmid=300&xlinkid=17

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃お知らせ                     <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○「サイバーセキュリティ傾向分析レポート2018」を発表
 ~ 不要なポートの公開、シャドーIT、クリプトジャッキングへの対策を ~
https://www.nri-secure.co.jp/news/2018/0821.html?xmid=300&xlinkid=18

○多要素認証エンジン「Uni-ID MFA」が、
 NRIのインターネットバンキングサービス「Value Direct」に採用
https://www.nri-secure.co.jp/news/2018/0820.html?xmid=300&xlinkid=19



--

NRI Secure SANS NewsBites 日本版は、米国の情報セキュリティの専門機関であるSANS Instituteが配信するコンテンツ (SANS NewsBites)をベースに、NRIセキュアテクノロジーズが編集してお届けしています。 世界中でこの1週間に起こったセキュリティのあらゆるトピックと専門家のコメントが掲載されています。原版は、およそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュースソースとして活用されています。組織のセキュリティ管理に関する参考情報としてお役立てください。掲載されている情報は、e-mailを介して自由に他の方に再送していただいて結構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望される方は、弊社ホームページの以下のページよりお申込みください。
https://www.nri-secure.co.jp/news_letter/

本ニュースレターは、メールマガジン配信を申し込まれた方、弊社からの情報を希望された方、SANS関連のイベントに参加された方、その他イベント等において弊社講演枠に登録された方に配信しています。
今後、配信をご希望されない方は会社名と御氏名を本文に明記のうえ、件名に【配信不要】、配信先変更をご希望の方は【配信先変更希望】とご記入頂き、新旧のご連絡先も記載のうえ、 info@sans-japan.jp までご返信をお願い致します。なお、情報の反映までにお時間を頂戴する場合がございます。