NRI Secure SANS NewsBites 日本版

Vol.13 No.22 2018年9月20日発行

──────────────────────────
■■SANS NewsBites Vol.13 No.22
(原版: 2018年 8 月 28 日、31 日、9 月 4 日、7 日、11 日、14 日)
──────────────────────────

┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 大┃阪┃S┃A┃N┃S┃ト┃レ┃ー┃ニ┃ン┃グ┃ 
 ━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛
 お┃申┃し┃込┃み┃開┃始┃し┃ま┃し┃た┃ 
 ━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛
 全┃4┃コ┃ー┃ス┃開┃催┃予┃定┃!┃
 ━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛

【SANS Osaka 2018】11月開催 全4コース実施
https://sans-japan.jp/sans_osaka2018/index.html

開催日:11/12(月)~17(土) <早期割引価格にて受付中>
●SEC401:Security Essentials Bootcamp Style
  最もポピュラーなコースの1つ。サイバーセキュリティの基礎をこのコースで!
●SEC504:Hacker Tools, Techniques, Exploits and Incident Handling
  ペンテスター、インシデントハンドラーへの登竜門!
●SEC542:Web App Penetration Testing and Ethical Hacking
  Webアプリにおけるセキュリティ上の課題を徹底理解!
●FOR508:Advanced Digital Forensics,Incident Response, and Threat Hunting
  フォレンジックから脅威をハンティングする、組織の対抗能力を高めます。

┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛


◆ 投票マシンベンダーが、中間選挙を前に製品セキュリティの向上に向けた取り組みを進めている
(2018.8.23)
Election Systems & Software社は、米国土安全保障省(DHS)と、Elections InfrastructureおよびInformation Technologyの各Information Sharing and Analysis Center(EI-ISACおよびIT-ISAC)と共同で、11月の中間選挙前に、同社の製品における脆弱性悪用の監視を強化する計画。同社はまた、「投票者登録用の環境にセキュリティセンサー」の実装を予定している。

- http://thehill.com/policy/cybersecurity/403366-major-voting-system-vendor-announces-new-efforts-to-boost-security
- http://www.essvote.com/blog/127/

【編集者メモ】(MurrayとPaller)
現状、サービス提供者と政府は、全てのレベルにおいて、選挙システムの根本的な弱点と、実装により誘発された弱点を補うために協調する必要がある。「問題を眺める(賞賛する)」時間は終わった。新しいElection Infrastructure ISACは、この目的に向かうための最も確かな取り組みだ。この取り組みは驚くほどのスピードで進行している。
EI-ISACTM Services:http://www.cisecurity.org/ei-isac/ei-isac-services/
【編集者メモ】(Pescatore)
やらないよりは遅れてでもやるほうが良い。Microsoft社のCEOであったビル・ゲイツ氏が「セキュリティが一番の仕事である」というメールを公開し、Microsoft社がついにセキュリティをコストではなく、求められている機能であると認識し始めた2002年当時、私は同じコメントを投稿した。しかし先月、ES&S社(米最大の投票システムベンダー)は、PC Anywhereについて「(中略)競合他社を含む多くのテクノロジー企業が、慣例として行っていると認識していた」と述べ、複数の投票システムにPC Anywhereを実装することについて、自社を擁護する発言をした。彼らの製品はすぐに信用できるようになるものではないため、EI-ISACによるリアルタイム監視を最優先とすることが望まれる。
【編集者メモ】(Neely)
ES&S社は、投票システムにおける基準を底上げするステップを作り上げた。難しい点は、新たな防御策とアップデートを、選挙前に実装することだ。ES&S社は、同社のシステムのセキュリティ状態を確認するため、外部の調査機関と協調する必要がある。外部機関による調査と結果の公表無しには、投票者が投票する際のセキュリティ状態を認識することはできないままとなってしまう。
────────────────

◆ イランのハッカー集団が、大学の研究成果を標的としている(2018.8.24)
イラン政府の支援を受けて活動していると思われるハッカー集団が、知的財産の窃取を目的として、世界中の大学にフィッシング攻撃を仕掛けている。攻撃は、偽の大学図書館ログインポータルサイトを通して、アカウントの認証情報を奪おうとするものだ。今年はじめ、米司法省(DoJ)は、同グループの構成員と考えられる9名を告発した。

- http://www.zdnet.com/article/iran-hackers-target-70-universities-in-14-countries/
- http://www.theregister.co.uk/2018/08/24/iranian_hackers_secureworks/
- http://www.bleepingcomputer.com/news/security/iranian-hackers-charged-in-march-are-still-actively-phishing-universities/

【編集者メモ】(Paller)
大学所属の科学者は、米国の宇宙、軍事研究プログラムにおける弱点だ。NASA Advisory CouncilのInfrastructure Committeeに参加していた際、私は繊細な人工衛星システム用インフラをデザインし、運用するためにNASAとDoDから数千万USドルに及ぶ資金援助を受けている大学チームと会った。彼らのセキュリティに対する考えは、一貫して彼らの問題ではないというものだった。彼らは科学者であり、サイバーセキュリティは取るに足らないものであると考えていた。
────────────────

◆ Facebookのバグにより、ユーザがプライバシー設定を変更した際にSMS 2要素認証が無効化される
(2018.8.24)
ジャーナリストLouise Matsakis氏は、Facebookのプライバシー設定を変更することで、SMS 2要素認証(2FA)が無効化されるバグを発見した。Matsakis氏は、Facebookから、アカウントから電話番号が削除されたため、Facebook社がロックアウトを防ぐためにSMS 2FAを無効化したという通知を受け取った。問題は、Matsakis氏は電話番号を削除していなかったことであり、そのため彼女はアカウントがハッキングされたと考えた。同僚の協力のもと、Matsakis氏はアカウントが正常であることを確認したため、別のアカウントセキュリティ手法を導入することにした。その後、彼女は電話番号を自分だけが見えるようにプライバシーレベルを変更したが、その際FacebookがSMS 2FAを無効化していたことを知った。このバグは、Facebookに彼女が電話番号を全て削除したと思い込ませていた。Facebook社はこの問題を修正済みだ。

- http://www.wired.com/story/facebook-bug-two-factor-hack/

【編集者メモ】(Murray)
電話番号や住所変更は、新旧以外の部分で承認されるべきだ。期待されたメッセージ(例:ワンタイムパスワード)の受信失敗は、怪しまれてしかるべきだ。
────────────────

◆ Strutsの脆弱性に対するエクスプロイトコードがGitHubで公開される(2018.8.24 & 2018.8.27)
概念実証が示された、Apache Struts2の脆弱性を悪用するエクスプロイトコードが、先週GitHubに公開された。不正な入力値検証の脆弱性は、Strutsのバージョン2.3から2.3.34、2.5から2.5.16に影響がある。この脆弱性は、Equifax社の情報漏洩に使用された脆弱性よりも、容易に悪用が可能なようだ。

- http://www.scmagazine.com/proof-of-concept-exploit-published-shortly-after-disclosure-of-critical-apache-struts-2-flaw/article/791343/
- http://threatpost.com/poc-code-surfaces-to-exploit-apache-struts-2-vulnerability/136921/
- http://cwiki.apache.org/confluence/display/WW/S2-057

【編集者メモ】(Paller)
特定のコードが有効なエクスプロイトとして認知されているわけではないが、実際に効果があるエクスプロイトの開発に必要な労力を減らすことにつながっているため、Strutsを使用している環境へのパッチ適用の重要性が強調されている。代替としてモデム・ビュー・コントローラフレームワークの分析を進めるべきだ。環境変更前に、活発な開発と脆弱性修正の習慣が根付いていることを確認する必要がある

────────────────

◆ Google社が、2FA用のセキュリティ鍵を販売(2018.8.30)
Google社は、2要素認証(2FA)用に、USBとbluetoothの形式でFIDO認証のTitan security keyを販売している。Google社は内部でこの鍵を使用していたが、先月、鍵の使用は8か月以上前から導入されており、従業員の誰もフィッシング攻撃による被害を受けていないと発表した。

- http://www.theverge.com/2018/8/30/17797338/google-titan-security-key-2fa-token-store-sale
- http://www.cnet.com/news/you-can-buy-googles-50-set-of-security-keys-now/
- http://www.bleepingcomputer.com/news/google/googles-fido-based-titan-security-key-now-available-for-50-usd/

【編集者メモ】(Pescatore)
良いニュースと悪いニュースについて。Google社のTitan security keyは、購入ま
で順番待ちとなっている。これが需要の高さを示すものであれば良いニュースだが、生産ラインを確保する前に製品の宣伝をしたことが理由であれば、悪いニュースだ。Google社、Apple社、Facebook社、Twitter社、Microsoft社、Paypal社などといった企業が、サイバーセキュリティ向上のために唯一できることは、積極的に強力な認証方法を導入する動きを進めることだ。
【編集者メモ】(Neely)
ユーザにとって2FAの導入を容易にすることは、導入における鍵だ。これらのsecurity keyは、ワンタイム生成のコードではなく、複雑なハンドシェイクを使用したUSB、bluetooth、NFC接続により、検証を提供する。これによりなりすましが非現実的なものとなる。最大の難関は、全てのユースケース、例えば現在AndroidはNFC Titan鍵をサポートしていない、状況で機器をサポートすることと、再利用可能な認証情報に戻らないように努力を重ねることだ。
【編集者メモ】(Murray)
制限された販売から1か月後でさえ、半日で全てを売り上げた。遅れたものは「順番待ちリスト」に載せられた。この製品(実際には2つの鍵?)は、強力な認証の手間を短くしてくれるが、多くの消費者が支払わないだろうと考えられる値段で販売されている。この製品は、詐欺につながる攻撃に対するいくつかの(ユニークな)保護を提供する一方、サポートデスクを標的としたソーシャルエンジニアリング攻撃が考えられる。ある人は、Googleユーザの「10%」がGoogle社の強力な認証システムを利用していることを知り、安堵するだろう。これは、ユーザが強力な認証方法を容認しないだろうと考える、強力な認証を拒否し続けている企業のセキュリティ担当者の主張に対抗するものだ。
【編集者メモ】(Northcutt)
私は2FA認証の有用性を強く信じている。宣伝を見てすぐ、私はGoogle Storeを開き、1つ購入したが、「順番待ちリスト」に載せられた。製品を入手したら、「初見の感想」をNewsBitesの最後に投稿したいと思う。
────────────────

◆ GAOの報告書:米国勢調査局のサイバーセキュリティ(2018.8.30)
米政府監査院(GAO)の報告書によると、2020年までに修正が必要なセキュリティ上の問題が3000個、国勢調査局のITシステムに見つかった。発見された問題のうち、43個は高いリスク、もしくは非常に高いリスクと評価された。まだ未調査の国勢調査システムがあるため、実際の数はさらに多くなる可能性がある。

- http://www.nextgov.com/analytics-data/2018/08/census-bureau-must-fix-3100-cyber-vulnerabilities-2020-count/150938/
- http://www.meritalk.com/articles/census-31000-cyber-problems/
- http://www.gao.gov/assets/700/694169.pdf

【編集者メモ】(Neely)
国勢調査局は2020年の調査を前に、IT最新化の一大タスクに取り組んでいる。報告書は計画の中間点における、2018年度調査での状態を示している。GAOはこれまでに、2020年の調査に向けて、93個の修正箇所を特定しており、そのうち61個は修正済みで、残りの32個を修正する計画が導入されている。ここでの問題は、いつものことながら、国勢調査の開始前に計画実行に必要なリソースを確保し、システム運用の承認を得ることだ。
【編集者メモ】(Pescatore)
国勢調査の計数は、当然米国の民主制度の破壊を目的とする攻撃者にとっては、非常に大きな標的だ。1995年頃の当時、社会保障局が初めてSocial Security Statementをインターネット上に掲載しようとした際、私は議会に対して証言をした。インターネットへの掲載は数年遅れたが、SSAはセキュアな掲載について良い仕事をした。国勢調査局は実際、サイバーセキュリティにおいて向上を見せているようだが、報告書に詳細に記載されている通り、職員の登用やマネジメントの問題は緊急の改善を必要としている。
────────────────

◆ カリフォルニア州法により、選挙サイバーセキュリティ対策室を立ち上げ(2018.8.29 & 2018.8.31)
カリフォルニア州知事Jerry Brown氏は、州内の選挙システムのセキュリティを保つことを目的とした法案に署名し、法律化させた。新たな法律により、1億3400万USドルが投票システムをアップグレードするために、200万USドルが州務長官室内に選挙サイバーセキュリティ対策室を設置するために割り当てられる。対策室はサイバー脅威に対して、州と地方の選挙管理人がシステムを防護する支援をし、投票を抑制したり、混乱を招いたりする可能性がある偽の情報を監視し、正確な情報を提供する。

- http://gcn.com/articles/2018/08/31/california-election-security-office.aspx
- http://abc7.com/gov-brown-signs-bill-to-create-election-cybersecurity-office/4093248/
- http://leginfo.legislature.ca.gov/faces/billTextClient.xhtml?bill_id=201720180AB3075

【編集者メモ】(Pescatore)
米国の全国的な選挙でさえ、基本的には地方によって運営されているため、記事のような活動を通してシステムの向上を進めることが必要だ。反射的に、技術的な視点から見ると、単なる新しい基本的なサイバーセキュリティに関するものである問題を、修正するために作られた、「さらにもうひとつ組織図に追加されたボックス」は見飽きたている。問題は、技術よりもプロセスや政治的判断にある。
【編集者メモ】(Neely)
立法では、広範囲の基本的なサイバーセキュリティ対策や脅威の軽減を指摘できるが、実装計画を求めたタイムラインや文言を含めることはできない。数値化可能な目的が、実装の成功を確実なものにするために必要だ。
────────────────

◆ Five Eyes各国が、暗号化された通信へのアクセスのため、テクノロジー企業に対し協力を求めている
(2018.8.31 & 2018.9.3)
Five Eyesとして知られるアメリカ合衆国、イギリス、カナダ、オーストラリア、ニュージーランドの各国が、端から端までエンド・ツー・エンドの暗号化された通信へのアクセスのため、テクノロジー企業が法執行機関に協力しない場合、「技術面、法執行関連、立法、その他の手段を用いて、合法的なアクセスを試みる可能性がある」ことを示す共同声明を発表した。

- http://www.cnet.com/news/us-five-eyes-allies-take-aim-at-tech-companies-over-encryption/
- http://www.nextgov.com/cybersecurity/2018/08/five-eyes-intel-alliance-urges-big-tech-help-break-encrypted-messages/150961/
- http://www.infosecurity-magazine.com/news/five-eyes-talk-tough-on-encryption/
- http://www.homeaffairs.gov.au/about/national-security/five-country-ministerial-2018/access-evidence-encryption

【編集者メモ】(Honan)
インターネット上のセキュリティを害することが繰り返し証明されているにも関わらず、政府や政府機関は、暗号化された通信へのバックドアを介したアクセスを求め続けているだろうことは明白だ。そのため、教育や啓発活動を続けて、こうしたやり方がもたらすリスクについて認識してもらうことが大切だ。一たび度暗号化された通信へのアクセスを許せば、今後一生通信はアクセス可能な状態となるだろう。
【編集者メモ】(Pescatore)
デジタル通信への移行が、法執行機関による通信へのアクセスに影響を及ぼし始めた頃、Communications Assistance for Law Enforcement Act(CALEA)が1994年に成立し、犯罪者の保護および捜索と、プライバシーの維持という2つの相反する社
会的要求のバランスを満たすため、多くの抑制と均衡が盛り込まれた。ここ数年のうちに無線やVoIPといった新しい技術が追加され、CALEAは修正された。完璧ではないが、両サイド(プライバシー擁護派と法執行機関)が等しく不満を抱えた状態であり、正しく機能している状態に見える。大きな違いは、テクノロジープロバイ
ダーの数が非常に多く、テクノロジー企業において将来最も大きな増益が見込めるのは、「Five Eyes」ではないということだ。中立の立場を確立することはより難しく、時間がかかるだろう。
────────────────

◆ カリフォルニア州議会が、ネットワーク中立性法案を承認(2018.8.31)
8月30日木曜日、カリフォルニア州下院は、通信関連産業からの反発の中、ネットワーク中立性法案を承認した。カリフォルニア州上院は5月に、法案の1つを承認したが、下院で行われた修正の数が多く、上院はあらためて法案を承認する必要があった。修正された法案は、8月31日金曜日に上院で承認された。州知事Jerry Brown氏が2018年9月30日までに法案に署名すると、この法案は法律となる。法案はインターネットサービスプロバイダ(ISP)による、正当な通信のブロックや制限を禁止する。また、ISPに対し、優先サービス使用のために、ウェブサイトやオンラインサービスに対して追加料金を科すことを禁止する。

- http://arstechnica.com/tech-policy/2018/08/calif-senate-approves-net-neutrality-rules-sends-bill-to-governor/
- http://arstechnica.com/tech-policy/2018/08/gold-standard-net-neutrality-bill-in-us-approved-by-california-assembly/

【編集者メモ】(Murray)
この法案はさらに、消費者に優位に見えたとしても、多くの人から気に入られているコンテンツには課金しないという習慣である、「ゼロ・レーティング」も禁止している。この習慣はFTCによって容認されている一方、「トラフィックを発している発信元やアプリケーションに基づいた差別をしない」とする原則を明らかに破るものだ。「何かを求める際は注意するべきだ。それを得ることができるかもしれない。」
────────────────

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃OUCH! 9月号「CEO詐欺とBEC」について
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
標的型のメール攻撃の一つに、CEO詐欺やBECと呼ばれるものがあります。これは
標的とした組織や人物について事前に調査を行い、言葉巧みに金銭などをだまし
取るものですが、不審なファイルや悪意あるリンクが含まれていないことから、
セキュリティ技術による検知が非常に難しくなっています。今月は、この CEO詐
欺と BECについて、典型的な手口を例に挙げながら、みなさんと組織を守るため
にしなければならないことを一般ユーザ向けに分かりやすく解説します。社員の
意識向上ツールとしてお使いください。
https://www.sans.org/sites/default/files/2018-09/201809-OUCH-September-Japanese.pdf
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

◆ DOJがSony Pictures社へのハッキングやWanna Cry攻撃について、北朝鮮国籍の人物を告発(2018.9.6)
米司法省(DOJ)は、2014年のSony Pictures社に対する攻撃、2016年のバングラデシュ銀行からの窃取、2017年のWanna Cryマルウェア攻撃について、北朝鮮国籍のコンピュータプログラマPark Jin Hyok氏を告訴した。申し立てでは、Park氏が北朝鮮政府の支援を受け、Sony Pictures社に対する攻撃を展開したと主張している。また、Wanna Cry攻撃と、バングラデシュ銀行における窃取に関わっていたと考えられるLazarus GroupとPark氏の接点を指摘している。

- http://www.justice.gov/opa/pr/north-korean-regime-backed-programmer-charged-conspiracy-conduct-multiple-cyber-attacks-and
- http://thehill.com/policy/cybersecurity/405360-doj-charges-programmer-with-carrying-out-north-korean-sponsored
- http://www.nextgov.com/cybersecurity/2018/09/doj-releases-charges-against-last-four-top-us-cyber-adversaries/151065/
- http://www.nytimes.com/2018/09/06/us/politics/north-korea-sony-hack-wannacry-indictment.html
- http://www.reuters.com/article/us-cyber-northkorea-sony/u-s-charges-north-korean-hacker-in-sony-wannacry-cyberattacks-idUSKCN1LM20W
────────────────

◆ Tesla社が、脆弱性調査を実施する研究者向けに、自動車のファームウェア再アップデートを提供する
(2018.9.6)
Tesla社は、研究者が車の保証を無効にしたり、法的責任に直面したりすることなく、保有する車をハッキングすることを認めると繰り返し述べた。Tesla社は、条件付きで、調査において不能となったりダメージを受けたりした車のファームウェアや、オペレーティングシステムを復旧するサービスを提供すると述べた。研究者と車は登録が必要で、Tesla社の脆弱性報告プログラムの一部として承認を受ける必要がある。

- http://www.bleepingcomputer.com/news/security/tesla-will-restore-car-firmware-os-when-hacking-goes-wrong/

【編集者メモ】(Pescatore)
正しいことを行ったTesla社に賞賛を送る。「コーンを避けることで保証が無効になるため、Consumer Reportsマガジンに我々の車の調査はさせない」と言うメーカーから車を買うだろうか。消費者は車に安全機能を求めている。車の宣伝も安全性とデザインを同等に強調しているように見える。私たちは消費者に対し、安全性において重要なのは、車に搭載された品質の高いソフトウェアであることを説得する必要がある。
【編集者メモ】(Neely)
プログラムに参加する前に、研究者は車の再アップデート回数に制限があることと、修理工場まで車を運ぶ際の費用は自己負担であることに注意する必要がある。
────────────────

◆ Windowsのゼロデイ:Advanced Local Procedure Call(ALPC)
(2018.9.5 & 2018.9.6)
WindowsのAdvanced Local Procedure Call(ALPC)における未修正の脆弱性が、悪用されている。この脆弱性は2018年8月27日に初めて公開された。問題は、Windows 7より後のWindows OSバージョンにおいて、Windowsタスクスケジューラフォルダ内にあるファイルにアクセスする際、ALPC機能がユーザへの許可を適切にチェックしないというものだ。

- http://www.theregister.co.uk/2018/09/06/microsoft_windows_attacked_wild/
- http://www.zdnet.com/article/recent-windows-alpc-zero-day-has-been-exploited-in-the-wild-for-almost-a-week/
────────────────

◆ GAOが、米国におけるサイバーセキュリティ上の主要な課題を報告(2018.9.7)
米政府監査院(GAO)の報告書には、重要インフラを保護する上で米国が直面することとなる、4つの課題が挙げられている。また報告書では、リスクを軽減するための10の「重要な行動」が提示されている。4つの課題とは、包括的なサイバー戦略の確立と効率的な監視の実施、連邦政府のシステムと情報の保護、サイバーセキュリティにおける重要インフラの保護、そしてプライバシーと機微なデータの保護である。

- http://www.nextgov.com/policy/2018/09/gao-urgent-action-needed-address-nations-cyber-challenges/151108/
- http://www.gao.gov/products/GAO-18-622
- http://www.gao.gov/assets/700/694355.pdf

【編集者メモ】(Pescatore)
88ページに及ぶ報告書を読む手間を省ける、私による要約は次の通りだ:「全体として、連邦政府は、1997年以降皆が提案し続けている基本的なサイバーセキュリティ対策をいまだに実施していないし、実施する必要がある。2015年度から2016年度の実績を評価した、GAOによる前回の報告書では、GAOは、連邦政府はセキュリティ向上のための4つの重要な基準について、ほとんど進展をを見せていないが、少なくとも高官レベルでの管理を向上させる姿勢を見せていると述べた。その姿勢については、2019年2月にあらためて評価される予定だ。
【編集者メモ】(Neely)
CDM(継続的な診断と緩和)の導入により、問題がより可視化される。DHSは、最初の2年間必要な監視の導入とレポート作成に必要な、ツールのライセンスと実装にかかる費用の支援をしている。善意からの活動ではあるが、CDMへの参加は任意であり、問題解決に必要なリソースやCDM自体の長期的なサポートは、既に目標値を達成できていない当の参加機関に依るところが大きい。
────────────────

◆ 報告書:送電網のセキュリティには、公的機関と民間企業間の先を見越した協力体制と段階的な取り組みが必要(2018.9.6)
ジョンズ・ホプキンズ大学応用物理学研究所(JHUAPL)が公開した研究報告書では、「敵による攻撃が展開される前に、電力事業者と政府関係者は協力して、国内の重要インフラに対する攻撃への対応計画を作成するため、そして送電網を防護するための基本的な命令の『型』を起草するべきだ」と述べられている。報告書は、送電網に対する物理的な攻撃、もしくはサイバー攻撃が検知された場合、ホワイトハウスは「送電網セキュリティの緊急事態」を宣言し、その後「差し迫った攻撃」、「攻撃を受けている」、「回復」といった緊急時における段階を踏むべきだと提案している。

- http://fcw.com/articles/2018/09/06/grid-security-study-rockwell.aspx
- http://www.jhuapl.edu/Content/documents/ResilienceforGridSecurityEmergencies.pdf

【編集者メモ】(Murray)
この提案は少し遅れている。送電網は、数か月から数年に及ぶ継続的な攻撃にさらされ続けている。こうした攻撃は現在、標的の特定や標的への攻撃の段階にある。この段階には、一度も使用されていないとしても、私たちに脅威を与えるような能力を入手するための、制御システムの特定や攻撃が含まれる。私たちは、そのような攻撃が「検知される」まで待っていることを、許容するわけにはいかない。証拠が無いとしても、そうした攻撃がないと思い込むことは無謀だと言える。実存的なリスクを伴うため、送電網が非常に脆弱であることは周知の事実だ。私たちは、今後の継続的な攻撃とその後続くと思われる活動を、当然起こるものとして捉えるべきだ。「期待は戦略ではない。」
────────────────

◆ 全米アカデミーズが、米国の選挙における紙の投票用紙の使用を強く提案(2018.9.7)
全米アカデミーズの報告書は、米国の選挙は2020年の選挙までに、機械による読み取りが可能な紙の投票用紙の使用に移行し、インターネットやインターネットに接続されたシステムを利用した投票結果の集計は止めるべきだと述べている。紙の投票用紙の使用に加え、報告書は、各州がリスク軽減のための審査と投票者データベースの完全性の評価を実施し、選挙システムをこれまで同様重要インフラとして捉えるべきだと提案している。

- http://statescoop.com/scientific-collective-calls-for-paper-based-voting-machines-no-more-internet-voting
- http://www.theregister.co.uk/2018/09/07/dump_electronic_voting/
- http://www8.nationalacademies.org/onpinews/newsitem.aspx?RecordID=25120&_ga=2.197341355.563761842.1536343615-1198240698.1536343615

【編集者メモ】(Pescatore)
報告書(どちらかというと本に近い)は多くの提案について実に正しいが、大半の提案は、米国の投票に係る問題をめぐる政治活動によって、お茶を濁される結果となるだろう。いくつか短期で効果が見込める実質的な提案がある。特に、「独立した監査機能を提供しない(例えば投票者自身が検証可能な紙の投票記録を提供しないマシン)投票マシンは、早期にサービスから排除するべきだ。
【編集者メモ】(Murray)
私たちは、集計と報告にかかる時間短縮への要求を実現するため、紙の投票用紙から遠ざかった。最近のスキャナでは、スキャナがもつ利点を活かし、かつ紙から遠ざかった理由となった要求を満たした状態で、紙の投票用紙を使用できる。
────────────────

◆ メリーランド州が国内初となる、コミュニティカレッジの学生にサイバーセキュリティ分野の仕事を約束するパイプラインを立ち上げ(2018.9.10)
メリーランド州のコミュニティカレッジの学生と教員200名が、Cisco社、IBM社、Northrop Grumman社、CACI社、Geico社、サイバーセキュリティ人材を多く登用する3つの連邦政府機関のうちの2機関と共同で、9月14日金曜日にメリーランド州Cyber FastTrackプログラムを立ち上げた。このプログラムは、学生に自身の才能を示し、SANSの高度なトレーニング受講のための奨学金を獲得する機会を与え、国内における最良の環境でサイバーセキュリティ分野の仕事ができるよう、面接や職探しのサポートを行う。これら全てがパイプラインの構成部分となっている。さらに4つの州が、今後4か月の間に、それぞれのCyber FastTrackプログラムの立ち上
げを宣言する予定だ。

- http://www.prnewswire.com/news-releases/the-maryland-cyber-fast-track-program-provides-reliable-pathways-to-cybersecurity-jobs-for-the-states-community-colleges-and-historically-black-university-students-300709740.html

Cyber FastTrackの立ち上げイベントに興味があるメリーランド州のコミュニティ
カレッジの学生は、こちらから登録が必要。
https://bit.ly/MdFastTrack
立ち上げイベントの詳細はこちら。
http://bit.ly/MCFTKickOff
メリーランド州Cyber FastTrackの詳細はこちら。
http://bit.ly/MCFTKickOff
サイバーセキュリティ分野の仕事10と、メリーランド州Cyber FastTrackプログラム概要のポスターはこちら。
http://www.sans.org/images/10coolestjobs.jpeg
────────────────

◆ 法案により、国内金融機関における情報漏洩時の通知基準が作成される可能性
(2018.9.7 & 2018.9.10)
米下院のBlaine Luetkemeyer議員(共和党・ミズーリ州)が提出した法案により、国内金融機関向けの情報漏洩時における通知基準が作成される可能性がある。法案はグラム・リーチ・ブライリー法(Gramm-Leach-Bliley Act)を修正し、金融機関に対し、「合理的に考えて個人情報の窃取、詐欺、経済的損失につながる可能性が高い不正アクセスが発生した場合」に通知を出すよう求めるものだ。上院において同様の法案はまだ提出されていない。

- http://www.meritalk.com/articles/house-bill-would-create-financial-data-breach-notification-standard/
- http://luetkemeyer.house.gov/news/documentsingle.aspx?DocumentID=399113

【編集者メモ】(Pescatore)
「合理的」という単語がこの法案でも使用されている(カリフォルニア州のIoTセキュリティに関する法案の記事へのコメントも見てほしい)。法案は、情報漏洩発生時の通知を、「合理的に考えて個人情報の窃取、詐欺、経済的損失につながる可能性が高い不正アクセスが発生した場合」にのみ求めている。事件が確実に発生したという報告よりは良いが、「合理的に考えて可能性が高い」の解釈に含みを持たせすぎている。EUによるGDPRの規制は反対に、企業は情報の保有者への影響が「まずありえない」場合以外、情報漏洩について報告しなければならない。GDPRは、組織が「技術的に正しく、組織的な保護対策を導入している場合」、リスクが「実現する可能性が無い場合」、もしくは「不相応な負担がかかる可能性がある」ことを組織が証明できる場合に、通知を要求しないことで独自に融通を利かせている。最低ラインは、CIS Critical Security Controlsのような保護に活用できるフレームワークを使用し、自社の顧客情報を守ることにまず注力することだ。そうすることで、「正しい」対策を用いて「合理的な」予防措置を施したため、情報の保有者に対する被害は「ありえない」と主張することができる。
【編集者メモ】(Henry)
情報漏洩通知に関する法案は、ここ10年以上議会に出回り続けている。私はこの懸案について何年にも渡り、議会の職員、議員や、その他の政府機関と何度も会話をしたが、実質的な行動は一度も取られなかった。法案の根拠には基本的に同意するが、法案にはもう一つ別の構成要素が必要であり、それ無しではこの通知要求は失敗に終わる。目的が金融詐欺やネットワーク侵入に関与した人物の特定であれば、提供された情報の詳細な分析が必要となる(例えばIOCs)。そうすることで、法執行機関が犯人特定のプロセスを開始し、攻撃を阻止するために必要な行動を取ることができるようになる。この2つ目の要素を取り入れるには大きな壁がある。インフラやポリシー、データがどのように、誰によって、どのようなルールのもと使用されるのかを定義するプロセスが必要だ。これもこの10年以上議論されてきたことで、大きな成果は示されていない。この要素がすぐに取り入れられることはないと考えているが、絶対に必要なものであり、近い将来取り入れる計画が立てられていることを期待したい。
【編集者メモ】(Northcutt)
現在行われている法律の修正と比べ、全国的な基準の作成はやや切実な問題だ。しかしそれが目標だとして、なぜ全ての産業における情報漏洩ではなく、金融機関における情報漏洩通知の基準を別に作ろうとするのか。ソーシャルメディアにおける、情報漏洩通知の全国的な基準に関する法案が以前提出されている。

http://www.law.com/newyorklawjournal/2018/06/01/challenges-of-a-national-72-hour-data-breach-notification-standard/?slreturn=20180814042224
────────────────

◆ カリフォルニア州のIoTセキュリティに関する法案の批判者が、法案の内容は十分ではないと主張
(2018.9.13)
カリフォルニア州議会が、IoT機器のセキュリティ向上を目的とした法案を採択した。法律化されると、この法案は「ローカルネットワーク以外からの認証方法を備えている」IoT機器が、固有のデフォルトパスワードを持つようにするか、機器を設定する際に、ユーザにユニークなパスワードを設定するよう促すことを求めることとなる。法案の批判者は、IoT機器の脆弱性はデフォルトのパスワードに留まらないとして、法案の内容が十分ではないと主張している。

- http://threatpost.com/experts-bemoan-shortcomings-with-iot-security-bill/137409/

【編集者メモ】(Pescatore)
他のカリフォルニア州法では既に、どのような製品にも「合理的なセキュリティ対策」が施されていることを求めている。この法案は、本当にただデフォルトパスワードに関する特定の文言を追加するもので、それ自体は良いことだ。「合理的なセキュリティ対策」の確かな定義は存在しないが、カリフォルニア州法は、既にHIPPAに準拠している機器を、その対象から免除している。これを既に「合理的なセキュリティ対策」から除外された例として、医療機器に適用している。これは落とし穴と言えるだろう。米保健福祉省(HHS)が、医療関係の「モノ」が関わる保護対象保健情報(PHI)の流出に対して行動を起こしたのは、「モノ」から取得したPHIが保存されているノートPCが悪用された時だったと思う。
【編集者メモ】(Northcutt)
法案は既に8回修正されている。新しい法律の制定は難しい。法案の主要な考えは、表に出てこない機器を法律やプライバシー規制の対象とすることだ。
http://leginfo.legislature.ca.gov/faces/billNavClient.xhtml?bill_id=201720180SB327

【編集者メモ】(Murray)
法律の草案を作成しようとしない限り、修正パッチの提供能力よりも攻撃可能な穴を減らすことを好む私の姿勢は変わらない。安価な機器は単純に使い捨てにするべきだ。この法律はローカルのみのアクセスに関して有効だ。ベンダーがアクセスを制限したい場合、各製品は、Apple社がiOSで使用しているような、機器がベンダーを公開鍵で判別するシステムを採用するべきだ。ベンダーとローカルの利用者/管理者は、同じ認証情報やインターフェースを絶対に使用するべきではない。

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の無料セミナー・イベント        <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○9月21日(金)
 コンシューマ向けWebサービスにおける認証セキュリティ
 ~シングルサインオンの実装と不正アクセス防止策~
https://www.nri-secure.co.jp/seminar/2018/ciam04.html?xmid=300&xlinkid=05

○10月15日(月)大阪
 NRI 関西ITセキュリティ セミナー2018
 独自調査レポートから見るサイバーセキュリティ最新動向
 ~悩み多き時代を勝ち抜く、真に必要な対策とは~
https://www.nri-secure.co.jp/seminar/2018/1015.html?xmid=300&xlinkid=07

○10月17日(水)、11月28日(水)、12月14日(金)
 重要情報を守る!
 サイバー攻撃や内部不正からの情報漏洩を効率よく防ぐためのアクセス制御とは
 ~特権IDアクセス管理の事例とポイント~
https://www.nri-secure.co.jp/seminar/2018/ac06.html?xmid=300&xlinkid=08

○10月18日(木)名古屋 / 11月7日(水)大阪 /
 11月15日(木)福岡 / 12月4日(火)東京
 [今年も開催]セキュリティトップランナーが集結
 情報セキュリティ対策ソリューションはクラウドモノを使い倒せ!
 ~多様化するセキュリティリスクは、日々進化するクラウドで対応~
https://www.nri-secure.co.jp/seminar/2018/cloud01.html?xmid=300&xlinkid=06

○10月18日(木)【オンラインセミナー】
 利便性とセキュリティを両立するファイル転送サービスとは
 ~情報セキュリティ専門会社が提供するクリプト便~
https://www.nri-secure.co.jp/seminar/2018/file03.html?xmid=300&xlinkid=09

○10月24日(水)、11月29日(木)、12月19日(水)
 Webの分離・無害化による運用の課題解決
 ~触って理解するMenlo Security~
https://www.nri-secure.co.jp/seminar/2018/isolation03.html?xmid=300&xlinkid=11

○11月15日(木)
 契約書管理ソリューションセミナー
 ~企業における重要文書を"がっちり守り"ながら"使い易く"~
https://www.nri-secure.co.jp/seminar/2018/contract01.html?xmid=300&xlinkid=11

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の有料研修               <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○10月、2019年3月
 セキュアEggs
 (IT+セキュリティ基礎/インシデント対応/フォレンジック/WEBアプリセキュリティ)
https://www.nri-secure.co.jp/service/learning/secureeggs.html?xmid=300&xlinkid=13

○11月、2019年1月、3月
 CISSP CBKトレーニング
https://www.nri-secure.co.jp/service/learning/cissp_training.html?xmid=300&xlinkid=14
○11月12日(月)~17日(土):大阪
 SANS Osaka 2018
https://sans-japan.jp/sans_osaka2018/index.html?xmid=300&xlinkid=12

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃コラム <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○利便性と安全性は両立するのか?キャッシュレス決済のセキュリティ最前線
https://www.secure-sketch.com/blog/cashless-payment-system?xmid=300&xlinkid=16

○安全なクラウドサービス利用のためのCASB導入
https://www.secure-sketch.com/blog/cstar2018_casb?xmid=300&xlinkid=17

○Apache Struts2の脆弱性を検証してみた (S2-057、CVE-2018-11776)
https://www.secure-sketch.com/blog/verify-apache-struts2-vulnerability?xmid=300&xlinkid=18

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃ebook(無料ダウンロード)  <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○NRI Secure Insight 2018
 ~企業における情報セキュリティ実態調査~
https://www.secure-sketch.com/blog/cstar2018_shadow-it?xmid=300&xlinkid=19

○セキュリティ人材不足に適応可能な組織へ
 ー セキュリティ業務の自動化・省力化・標準化 ー
https://www.secure-sketch.com/download/security_workforce_shortage?xmid=300&xlinkid=20

○特集 標的型メール
https://www.secure-sketch.com/download/targeted-mail-attack?xmid=300&xlinkid=21

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃お知らせ                     <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○専門家の知識やノウハウを手軽に利用できる
 「セキュリティ・カウンセリングサービス」を提供開始
https://www.nri-secure.co.jp/news/2018/0919.html?xmid=300&xlinkid=22

○「RPAリスク管理ツール」を提供開始
 ~ ロボットの不正操作や異常処理などのリスクを回避 ~
https://www.nri-secure.co.jp/news/2018/0906.html?xmid=300&xlinkid=23

○IoT製品に関する情報セキュリティ管理態勢の強化を支援する
 「PSIRT支援サービス」を提供開始
https://www.nri-secure.co.jp/news/2018/0830.html?xmid=300&xlinkid=24

--

NRI Secure SANS NewsBites 日本版は、米国の情報セキュリティの専門機関であるSANS Instituteが配信するコンテンツ (SANS NewsBites)をベースに、NRIセキュアテクノロジーズが編集してお届けしています。 世界中でこの1週間に起こったセキュリティのあらゆるトピックと専門家のコメントが掲載されています。原版は、お
よそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュースソースとして活用されています。組織のセキュリティ管理に関する参考情報としてお役立てください。掲載されている情報は、e-mailを介して自由に他の方に再送していただいて結構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望される方は、弊社ホームページの以下のページよりお申込みください。
http://www.nri-secure.co.jp/security/news_letter/index.html

本ニュースレターは、メールマガジン配信を申し込まれた方、弊社からの情報を希望された方、SANS関連のイベントに参加された方、その他イベント等において弊社講演枠に登録された方に配信しています。
今後、配信をご希望されない方は会社名と御氏名を本文に明記のうえ、件名に【配信不要】、配信先変更をご希望の方は【配信先変更希望】とご記入頂き、新旧のご連絡先も記載のうえ、info@sans-japan.jpまでご返信をお願い致します。なお、情報の反映までにお時間を頂戴する場合がございます。