NRI Secure SANS NewsBites 日本版

Vol.13 No.23 2018年9月26日発行

──────────────────────────
■■SANS NewsBites Vol.13 No.23
(原版: 2018年 9 月 18 日、21 日)
──────────────────────────


┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 大┃阪┃開┃催┃S┃A┃N┃S┃ト┃レ┃ー┃ニ┃ン┃グ┃
 ━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛
 早┃期┃割┃引┃締┃切┃日┃ま┃で┃あ┃と┃2┃日┃
 ━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛
 お┃急┃ぎ┃く┃だ┃さ┃い┃!┃
 ━┛━┛━┛━┛━┛━┛━┛━┛

【SANS Osaka 2018】11月開催 全4コース実施
https://sans-japan.jp/sans_osaka2018/index.html

開催日:11/12(月)~17(土) <早期割引価格にて受付中>9/28まで
●SEC401:Security Essentials Bootcamp Style
  最もポピュラーなコースの1つ。サイバーセキュリティの基礎をこのコースで!
●SEC504:Hacker Tools, Techniques, Exploits and Incident Handling
  ペンテスター、インシデントハンドラーへの登竜門!
●SEC542:Web App Penetration Testing and Ethical Hacking
  Webアプリにおけるセキュリティ上の課題を徹底理解!
●FOR508:Advanced Digital Forensics,Incident Response, and Threat Hunting
  フォレンジックから脅威をハンティングする、組織の対抗能力を高めます。

┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛

◆ GAOによるEquifax社の情報漏洩事件に関する報告書(2018.9.17)
米政府監査院(GAO)による、Equifax社の情報漏洩事件に関する報告書によると、同社が情報漏洩によって悪用された情報を特定するためには、攻撃者によるデータベースへのクエリを調査する必要があるようだ(情報漏洩により、世界中で1億6500万人が影響を受けた)。報告書によると、「Equifax社は、悪意のある活動の証拠を取るため、ネットワークトラフィックを検閲する機器を導入したが、設定ミスにより、暗号化されたトラフィックが検閲を受けずにネットワーク上を通過していた」ことが判明した。設定ミスは、証明書の期限切れが原因となり発生した。

- http://www.theregister.co.uk/2018/09/17/gao_report_equifax_mega_breach/
- http://www.gao.gov/assets/700/694158.pdf

【編集者メモ】(Pescatore)
GAOによる報告書の大半は、昨年発生したEquifax社の情報漏洩事件に関する古いニュースを蒸し返すものだが、Equifax社の顧客であった政府機関の反応について述べた項目では、注目するべき次の一文があった。「国歳入庁(IRS)、社会保障局(SSA)、郵便公社(USPS)の代表者は、民間部門におけるこのような情報漏洩への対応として、各政府機関の行動を調整する責任が、果たしてどの機関にも存在するのか明確ではなかったため、情報漏洩に対し、他の機関とは別に独自に対応したと述べた。」これは、米連邦政府のサプライチェーンセキュリティに対する取り組みに、大きな穴がぽっかり空いていることを示している。DHSやNISTの中に、ニュースを読み「将来を見越して、Equifax社の顧客である政府機関を洗い出し、各機関との調整の下協調した対応を取る必要がある」と言った者はいなかったのだろう
か??
【編集者メモ】(Murray)
この報告書は、Equifax社が顧客の機密性の高い個人情報を保護するために、基本的なサイバーセキュリティ対策とは言わないまでも、当然の習慣であるべきことを
実行しなかったために情報漏洩が発生したという、既に出ている結論を支持しているに過ぎない。この漏洩した情報は、Equifax社や競合他社にとっての「商売品」であり、さらにその情報の悪用が、信用取引詐欺の増加という結果を生むことは明らかだった。その上で、Equifax社と競合する2社は、情報漏洩から利益を増加させる方法を見出したのだ。
【編集者メモ】(Williams)
この報告書を読んで、私はEquifax社の情報漏洩が、サプライチェーンの問題であったことが証明されたと考えた。Equifax社はStrutsの脆弱性に関するメーリングリストに、システム管理者を追加しなかったが、同社は、攻撃者によるシステムの侵害後でさえ、脆弱性のスキャンにおいてその特定に失敗していた。Strutsがウェブサイトのルートディレクトリに配置されていないのであれば、分析担当者はスキャンを成功させるため、スキャナをStrutsのURLに設定しなければならない。この失敗の組み合わせは、Equifax社が単に、攻撃を受けたシステムがStrutsを使用していることに全く気付いていなかったことを暗示しているのではないか。
【編集者メモ】(Neely)
活発なプロセスの監視や、期限切れ間近の証明書に関するアラートが無い限り、証明書の更新は、大企業では特に見落とされがちだ。
────────────────

◆ 米国内各郡の選挙管理委員会のEメールセキュリティ(2018.9.14)
米国内11郡の選挙管理委員会が使用しているメールシステムが、ユーザ名とパスワードのみによるハッキングに対して脆弱であることが判明した。これはつまり、通信が傍受されたり、攻撃者によってなりすましメールが送付されたりする可能性がある。専門家は二要素認証の導入を推奨している。ProPublica社は、接戦が予想されている40の下院議員選挙区を含む、27郡の選挙管理委員会を調査した。

- http://gcn.com/articles/2018/09/14/email-vulnerabilities-elections-systems.aspx
────────────────

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃OUCH! 9月号「CEO詐欺とBEC」について
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
標的型のメール攻撃の一つに、CEO詐欺やBECと呼ばれるものがあります。これは
標的とした組織や人物について事前に調査を行い、言葉巧みに金銭などをだまし
取るものですが、不審なファイルや悪意あるリンクが含まれていないことから、
セキュリティ技術による検知が非常に難しくなっています。今月は、この CEO詐
欺と BECについて、典型的な手口を例に挙げながら、みなさんと組織を守るため
にしなければならないことを一般ユーザ向けに分かりやすく解説します。社員の
意識向上ツールとしてお使いください。
https://www.sans.org/sites/default/files/2018-09/201809-OUCH-September-Japanese.pdf
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

◆ 米国防総省が、サイバー軍に対して現状よりも行動の自由を与える、新たなサイバー戦略を公開
(2018.9.18 & 2018.9.19)
米国防総省(DoD)は、2018年サイバー戦略を公開した。新たな文書は2015年サイバー戦略に取って代わるものだ。文書は、DoDがどのようにしてサイバー分野に国防戦略を導入するかについて説明している。

- http://media.defense.gov/2018/Sep/18/2002041658/-1/-1/1/CYBER_STRATEGY_SUMMARY_FINAL.PDF
- http://media.defense.gov/2018/Sep/18/2002041659/-1/-1/1/Factsheet_for_Strategy_and_CPR_FINAL.pdf
- http://fcw.com/articles/2018/09/19/dod-cyber-strategy-williams.aspx
- http://www.nextgov.com/cybersecurity/2018/09/pentagons-updated-cyber-strategy-focuses-assertively-defending-us-interests/151395/
- http://www.fifthdomain.com/dod/2018/09/19/department-of-defense-unveils-new-cyber-strategy/
────────────────

◆ ホワイトハウスが(一般向けの)国家サイバー戦略(National Cyber Strategy
)を更新(2018.9.21)
次の文書が公開された。

- http://www.whitehouse.gov/wp-content/uploads/2018/09/National-Cyber-Strategy.pdf

【編集者メモ】(ゲストエディタ:Russell Eubanks氏)
今週末は「National Cyber Strategy of the United States of America」の読み込みに時間を費やし、質問される前に役員へ要約を送付してみてはどうだろうか。要約に必要と思われる内容は、この戦略が持つ意味、戦略がどのようにあなたの組織に影響を及ぼすのか、そして対応として何をするべきかの提案だ。最低でも、今後1年間における、4つの柱の進捗具合を評価するためのリマインダをカレンダーに登録しておくべきだ。2003年2月に公開された「The National Strategy to Secure Cyberspace」はこちら。

http://www.whitehouse.gov/briefings-statements/president-donald-j-trump-is-strengthening-americas-cybersecurity/
────────────────

◆ 米国務省のEメール(2018.9.18 & 2018.9.19)
米国務省は職員に対し、同省の公開メールシステムから情報が漏洩したことを通知した。報道によると、情報漏洩の被害を受けたのは、「職員用メールボックス全体のうち、1パーセント以下」のようだ。

- http://www.cnet.com/news/state-department-email-data-breach-exposes-employee-data/
- http://federalnewsradio.com/federal-newscast/2018/09/state-dept-alerts-employees-about-security-breach-of-e-mail-system/
- http://www.theregister.co.uk/2018/09/18/state_department_hacked/

【編集者メモ】(Williams)
国務省は非常に機微な内容のモノや情報を扱っており、組織の人員は膨大だ(郡内で雇用されている4万5000名を含めない場合、2万4000名の職員が存在する)。1パーセント以下の職員が被害を受けたと述べることは、誤解を生じる。大人数が影響を受けたと表現するよりも、情報漏洩の被害を小さなパーセンテージで表現することで、本事件の影響度が誤って表現されている。
────────────────

◆ 裁判官が、ジョージア州の選挙における紙の投票用紙使用を強制する命令を否定するも、同州の電子投票システムのセキュリティ状態を非難(2018.9.19)
連邦裁判官が、ジョージア州の州務長官や各郡の選挙管理委員会による、次の選挙における直接記録式電子投票マシンの使用の禁止を求める命令を否定した。しかし、同裁判官の決定は「被告に対し、ジョージア州の投票システムが直面する課題に立ち向かい、解決に向けた行動を起こす上で、これ以上の遅れは容認できるものではないと忠告する」ものであった。

- http://www.nextgov.com/cybersecurity/2018/09/federal-judge-blasts-georgias-dated-vulnerable-voting-system/151377/
────────────────

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の無料セミナー・イベント        <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○10月15日(月)大阪
 NRI 関西ITセキュリティ セミナー2018
 独自調査レポートから見るサイバーセキュリティ最新動向
 ~悩み多き時代を勝ち抜く、真に必要な対策とは~
https://www.nri-secure.co.jp/seminar/2018/1015.html?xmid=300&xlinkid=07

○10月17日(水)、11月28日(水)、12月14日(金)
 重要情報を守る!
 サイバー攻撃や内部不正からの情報漏洩を効率よく防ぐためのアクセス制御とは
 ~特権IDアクセス管理の事例とポイント~
https://www.nri-secure.co.jp/seminar/2018/ac06.html?xmid=300&xlinkid=08

○10月18日(木)名古屋 / 11月7日(水)大阪 /
 11月15日(木)福岡 / 12月4日(火)東京
 [今年も開催]セキュリティトップランナーが集結
 情報セキュリティ対策ソリューションはクラウドモノを使い倒せ!
 ~多様化するセキュリティリスクは、日々進化するクラウドで対応~
https://www.nri-secure.co.jp/seminar/2018/cloud01.html?xmid=300&xlinkid=06

○10月18日(木)【オンラインセミナー】
 利便性とセキュリティを両立するファイル転送サービスとは
 ~情報セキュリティ専門会社が提供するクリプト便~
https://www.nri-secure.co.jp/seminar/2018/file03.html?xmid=300&xlinkid=09

○10月24日(水)、11月29日(木)、12月19日(水)
 Webの分離・無害化による運用の課題解決
 ~触って理解するMenlo Security~
https://www.nri-secure.co.jp/seminar/2018/isolation03.html?xmid=300&xlinkid=11

○11月15日(木)
 契約書管理ソリューションセミナー
 ~企業における重要文書を"がっちり守り"ながら"使い易く"~
https://www.nri-secure.co.jp/seminar/2018/contract01.html?xmid=300&xlinkid=11

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の有料研修               <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○10月、2019年3月
 セキュアEggs
 (IT+セキュリティ基礎/インシデント対応/フォレンジック/WEBアプリセキュリティ)
https://www.nri-secure.co.jp/service/learning/secureeggs.html?xmid=300&xlinkid=13

○11月、2019年1月、3月
 CISSP CBKトレーニング
https://www.nri-secure.co.jp/service/learning/cissp_training.html?xmid=300&xlinkid=14
○11月12日(月)~17日(土):大阪
 SANS Osaka 2018
https://sans-japan.jp/sans_osaka2018/index.html?xmid=300&xlinkid=12

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃コラム <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○利便性と安全性は両立するのか?キャッシュレス決済のセキュリティ最前線
https://www.secure-sketch.com/blog/cashless-payment-system?xmid=300&xlinkid=16

○安全なクラウドサービス利用のためのCASB導入
https://www.secure-sketch.com/blog/cstar2018_casb?xmid=300&xlinkid=17

○Apache Struts2の脆弱性を検証してみた (S2-057、CVE-2018-11776)
https://www.secure-sketch.com/blog/verify-apache-struts2-vulnerability?xmid=300&xlinkid=18

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃ebook(無料ダウンロード)  <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○NRI Secure Insight 2018
 ~企業における情報セキュリティ実態調査~
https://www.secure-sketch.com/blog/cstar2018_shadow-it?xmid=300&xlinkid=19

○セキュリティ人材不足に適応可能な組織へ
 ー セキュリティ業務の自動化・省力化・標準化 ー
https://www.secure-sketch.com/download/security_workforce_shortage?xmid=300&xlinkid=20

○特集 標的型メール
https://www.secure-sketch.com/download/targeted-mail-attack?xmid=300&xlinkid=21

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃お知らせ                     <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○専門家の知識やノウハウを手軽に利用できる
 「セキュリティ・カウンセリングサービス」を提供開始
https://www.nri-secure.co.jp/news/2018/0919.html?xmid=300&xlinkid=22

○「RPAリスク管理ツール」を提供開始
 ~ ロボットの不正操作や異常処理などのリスクを回避 ~
https://www.nri-secure.co.jp/news/2018/0906.html?xmid=300&xlinkid=23

○IoT製品に関する情報セキュリティ管理態勢の強化を支援する
 「PSIRT支援サービス」を提供開始
https://www.nri-secure.co.jp/news/2018/0830.html?xmid=300&xlinkid=24

--

NRI Secure SANS NewsBites 日本版は、米国の情報セキュリティの専門機関であるSANS Instituteが配信するコンテンツ (SANS NewsBites)をベースに、NRIセキュアテクノロジーズが編集してお届けしています。 世界中でこの1週間に起こったセキュリティのあらゆるトピックと専門家のコメントが掲載されています。原版は、お
よそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュースソースとして活用されています。組織のセキュリティ管理に関する参考情報としてお役立てください。掲載されている情報は、e-mailを介して自由に他の方に再送していただいて結構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望される方は、弊社ホームページの以下のページよりお申込みください。
http://www.nri-secure.co.jp/security/news_letter/index.html

本ニュースレターは、メールマガジン配信を申し込まれた方、弊社からの情報を希望された方、SANS関連のイベントに参加された方、その他イベント等において弊社講演枠に登録された方に配信しています。
今後、配信をご希望されない方は会社名と御氏名を本文に明記のうえ、件名に【配信不要】、配信先変更をご希望の方は【配信先変更希望】とご記入頂き、新旧のご連絡先も記載のうえ、info@sans-japan.jpまでご返信をお願い致します。なお、情報の反映までにお時間を頂戴する場合がございます。