NRI Secure SANS NewsBites 日本版

Vol.13 No.25 2018年10月17日発行

──────────────────────────
■■SANS NewsBites Vol.13 No.25
(原版: 2018年 10 月 9 日、12 日)
──────────────────────────


┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 大┃阪┃開┃催┃S┃A┃N┃S┃ト┃レ┃ー┃ニ┃ン┃グ┃
 ━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛
 2┃コ┃ー┃ス┃開┃催┃決┃定┃!┃
 ━┛━┛━┛━┛━┛━┛━┛━┛━┛

【SANS Osaka 2018】11月開催 全2コース実施
https://sans-japan.jp/sans_osaka2018/index.html

開催日:11/12(月)~17(土)
●SEC401:Security Essentials Bootcamp Style
  最もポピュラーなコースの1つ。サイバーセキュリティの基礎をこのコースで!
●SEC542:Web App Penetration Testing and Ethical Hacking
  Webアプリにおけるセキュリティ上の課題を徹底理解!

今年度東京開催のないコースSEC542はなんと大阪で開催いたします!
首都圏在住の方もぜひこの機会をご検討ください。


★☆2019年2月開催ホームページ まもなく受付開始します☆★
全10コース開催予定です。お楽しみに!
https://sans-japan.jp/index.html

┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛

◆ カリフォルニア州のIoTセキュリティ法案により、機器を出荷する際に一意なパスワードの設定が必要となる(2018.10.5 & 2018.10.6)
2018年9月28日、カリフォルニア州の法案Information Privacy: connected devicesが法律化された。2020年1月に有効となるこの法律により、IoT機器を出荷する際に共通のデフォルトパスワードではなく、機器ごとに一意なパスワードの設定が必要となる。

- http://www.nextgov.com/cybersecurity/2018/10/california-its-going-be-illegal-make-routers-weak-passwords/151848/
- http://www.engadget.com/2018/10/05/california-default-password-ban-information-privacy-connected-devices-bill/
- http://www.scmagazine.com/home/news/weak-passwords-outlawed-out-west-california-law-aims-to-secure-iot-devices/
- http://leginfo.legislature.ca.gov/faces/billNavClient.xhtml?bill_id=201720180SB327

【編集者メモ】(Neely)
ユーザが初めて利用する際に強力なパスワードが設定されていることは、正しい方向へと進む第一歩だ。機器には、入力値の適切な検証をともなう、パスワード回復の仕組みも導入する必要がある。

【編集者メモ】(Williams)
カリフォルニア州の法律はセキュリティにおける正しい方向を示しているが、今後実装やトラブルシューティングに関する問題が出てくるだろう。私は製造業者が、認証無しで利用可能なデータに基づいたアルゴリズムによって生成された、工場出荷時の状態に戻せるようなパスワードの仕組みを実装すると予想している(例えば、パスワードの取得に利用できる、使用している機器のIDを返すような認証されていない端末)。
────────────────

◆ Microsoft社は、データが消失するバグが見つかったため、Windows 10向けの10月度アップデートの配信を一時停止(2018.10.6)
Microsoft社は、アップデート適用後にユーザー配下のドキュメントとピクチャの各フォルダが消失したという報告を受け、Windows 10(バージョン1809)向けの10月度アップデートの配信を一時停止した。同社は、手動でアップデートをダウンロードしたユーザに対し、アップデートをインストールしないことを、既にインストールしてしまったユーザに対し、インストール済みの機器をなるべく利用しないことを呼びかけている。以下のリンクより、同社サイトの下部にスクロールし、「Windows 10 バージョン 1809 への更新に関する既知の問題」を見ると、配信一時停止の発表が掲載されている。

- https://support.microsoft.com/ja-jp/help/4464619/windows-10-update-history
- http://arstechnica.com/gadgets/2018/10/microsoft-suspends-distribution-of-latest-windows-10-update-over-data-loss-bug/
- http://www.bleepingcomputer.com/news/microsoft/microsoft-has-pulled-the-windows-10-october-2018-update/
────────────────

◆ ハードウェア式のバックドアが装着されたサーバに関する、Bloomberg社の公開記事に対するBrian Krebs氏の反応(2018.10.5)
Brian Krebs氏が、中国の技術製造による脅威を、米国のサプライチェーンに関連付けて意見を述べている。例えば、そのような脅威は新しいものではないと主張している。「私がWashington Postの記者だった10以上前、非常に知名度の高い情報源から伝え聞くところでは、ある中国のテクノロジー企業が、多くのインターネット接続可能なプリンタ向けの、カスタムされたハードウェアの構成部分を販売しており、その構成部分がプリンタに送信された全ての文書や画像のコピーを取得し、そのデータを中国政府と連携している複数のハッカーが運用するサーバに転送していたため、米国政府の対象リストに載ったという話を聞いた。」そして、そうした事態に立ち向かうことは非常に困難になると述べる。「ある機器のブランド名から、今日販売されているほとんどの電子機器に組み込まれている、様々な構成部分を誰が実際に作っているのかを知ることは、大抵難しいことだ。」そして、「製造プロセスのある段階で、いつ製品が意図的に改造されたのかを検知することは、非常に時間とお金がかかる作業だ。Supermicro社のような企業が製造した、普段から使用されているマザーボードは、数百に及ぶチップを搭載していることがあるが、たった一つの悪意のあるチップによって、製品全体のセキュリティが回避されてしまう。」Krebs氏は結びとして、この問題による影響を軽減するために、私たちが今取るべき5つのステップを、先週のNewsBitesに掲載されたBill Murray氏のリストより提示している。

- http://krebsonsecurity.com/2018/10/supply-chain-security-is-the-whole-enchilada-but-whos-willing-to-pay-for-it/
────────────────

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃OUCH! 10月号「Eメールでありがちな失敗と防止策」について
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
仕事やプライベートで頻繁に使われる Eメール、便利なツールですが、その特徴
をきちんと理解をしておかないと、思わぬところから足をすくわれてしまう失敗
をしてしまいます。今月は、この Eメールでありがちな失敗とその防止策につい
て、いくつかの例を挙げながら、同じようなことを繰り返さないようにする手段
を一般ユーザ向けに分かりやすく解説します。社員の意識向上ツールとしてお使
いください。
https://www.sans.org/sites/default/files/2018-10/201810-OUCH-October-Japanese.pdf
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

◆ GAO:DODの兵器システムは容易にハッキング可能(2018.10.9 & 2018.10.10)
米政府監査院(GAO)による新しい報告書には、米国防総省(DOD)の兵器システムに、セイバーセキュリティに関する問題があることが記載されている。「敵を演じた分析担当者は、比較的容易にシステムの制御を奪うことに成功し、その大部分は検知されることなく操作できた。」報告書によると、DODは「適切にサイバーセキュリティを考慮せずに設計、製造されたシステムの世代全体を保持している可能性が高い。」

- http://fcw.com/articles/2018/10/09/gao-pwns-dod.aspx
- http://www.wired.com/story/us-weapons-systems-easy-cyberattack-targets/
- http://www.theregister.co.uk/2018/10/10/gao_weapons_security/
- http://www.scmagazine.com/home/news/gao-report-slams-department-of-defense-cybersecurity-practices/
- http://www.gao.gov/products/GAO-19-128

【編集者メモ】(Paller)
米国における2つの最も危険なサイバーリスクは、兵器システムの脆弱性と、米国とその同盟国の電力を制御するコンピュータを狙う敵による、広範囲に及ぶ侵入行為だ。電力システムが抱えるリスクは広く理解されており、エネルギー関連のセキュリティ指導者としてKaren Evans氏(前連邦政府全体の最高情報責任者)を選んだことは、私たちは10年近く前にDHSの電力システムを保護する能力に見切りをつけていたため、そうしたシステムの保護に関して初めての前向きな出来事だった。兵器システムの脆弱性は同様に危険なものだ。Barry McCullough海軍大将が第10艦隊(米海軍のサイバー部隊)の初の司令官に就任して間もなく、CSISの一部に対し、「米国は運動エネルギー兵器で優位に立っているが、敵は私たちの兵器システムの指令と制御を標的としている。」彼は結論として、「私たちは支出曲線の間違った方向に4倍率で進んでいる」と述べた。兵器システムにおけるこれらの脆弱性は、これから使用する武器から放たれる攻撃が、意図した標的に当たるか、自軍の部隊に当たるか見当がつかないということを意味している。彼のCSISにおける発表は8年半前の、2010年4月5日の出来事だ。あなたは敵がこの8年間で、技術的に進歩したと思うだろうか。私たちは、大将の階級(星4つ)と鋼のような強い意志を持つ「兵器システムのサイバーセキュリティに関する指導者」をDODに招く必要がある。

【編集者メモ】(Murray)
こうした問題の多くは、一般利用目的で市販されているオペレーティングシステムと関連があるのではないかという疑念が残る。報告書では「修正パッチ」という用語が使用された。

【編集者メモ】(Neely)
兵器システムはますます、市販されている製品の構成部分を使用して製造されており、以前のようなスタンドアロンのシステムに比べ、相互に通信をとる機能の実装が増えている。これは兵器システムのサイバーセキュリティ向上に焦点を当てるために、リスクの選択に立ち戻る必要があるということだ。特に、ある攻撃方法が、現在の利用制限を回避できるものであるか否かを検討する必要がある。

【編集者メモ】(Williams)
GAOによる報告書の著者は、「遠隔から攻撃可能」と「インターネットから攻撃可能」の違いを区別できていない。これらは全く違う意味を持つ。報告書の内容への注目を集めるため意図的にそうしたのか、または「遠隔からのアクセス」の意味を明確に判断するためのデータが、著者が読み込んだレポートや報告書には無かっただけのなかは定かではない。多くの兵器システムは遠隔から攻撃可能である一方、その攻撃を成功させるにはネットワークにおける特権が必要だ。特権を得るためには大抵物理的なアクセスが必要となる。
────────────────

◆ セキュリティ上の懸念により、Medtronic社がペースメーカのプログラミング機器に向けたアップデートの配信を中止(2018.10.11)
埋め込み型の医療機器を製造している企業であるMedtronic社は、ヘルスケア部門の従事者がペースメーカにアクセスする際に使用する、CareLinkプログラミング機器向けのインターネットを介したアップデートの配信を取りやめた。Medtronic社は、システムがサイバー攻撃に対して脆弱であることが判明したため、今回の決定を下したと発表した。プログラミング機器は手動でのアップデートが可能だ。

- http://www.reuters.com/article/us-medtronic-cyber/medtronic-disables-pacemaker-programmer-updates-over-hack-concern-idUSKCN1ML2GR
- http://www.medtronic.com/us-en/healthcare-professionals/products/product-performance/carelink-urgent-medical-device-correction.html

【編集者メモ】(Pescatore)
ソフトウェアのアップデート工程における、サーバもしくはインターネット側の脆弱性は、「IoT」では良くある問題であり、個別の機器に存在する脆弱性よりも、攻撃者の標的になりやすい。試験対象となった機器の評価(どの機器もまれにしか行われない)において、セキュリティが関連する項目では、サーバやインターネット側の脆弱性調査に重点を置くべきだ。
────────────────

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の無料セミナー・イベント        <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○10月17日(水)、11月28日(水)、12月14日(金)
 重要情報を守る!
 サイバー攻撃や内部不正からの情報漏洩を効率よく防ぐためのアクセス制御とは
 ~特権IDアクセス管理の事例とポイント~
https://www.nri-secure.co.jp/seminar/2018/ac06.html?xmid=300&xlinkid=01

○10月18日(木)名古屋 / 11月7日(水)大阪 /
 11月15日(木)福岡  / 12月4日(火)東京
 [今年も開催]セキュリティトップランナーが集結
 情報セキュリティ対策ソリューションはクラウドモノを使い倒せ!
 ~多様化するセキュリティリスクは、日々進化するクラウドで対応~
https://www.nri-secure.co.jp/seminar/2018/cloud01.html?xmid=300&xlinkid=02

○10月18日(木)【オンラインセミナー】
 利便性とセキュリティを両立するファイル転送サービスとは
 ~情報セキュリティ専門会社が提供するクリプト便~
https://www.nri-secure.co.jp/seminar/2018/file03.html?xmid=300&xlinkid=03

○10月23日(火)
 CISSPチャレンジセミナー
 CISSPならこう考える!CISOに必要な情報セキュリティの知識と考え方
https://www.nri-secure.co.jp/seminar/2018/cissp04.html?xmid=300&xlinkid=04

○10月24日(水)、11月29日(木)、12月19日(水)
 Webの分離・無害化による運用の課題解決
 ~触って理解するMenlo Security~
https://www.nri-secure.co.jp/seminar/2018/isolation03.html?xmid=300&xlinkid=05

○11月7日(水)
 Webアプリケーション開発における「DevSecOps」の推進
 ~「Contrast Security+VEX」によるアジャイル、高速開発に対応したセキュリティ対策の実現 ~
https://www.nri-secure.co.jp/seminar/2018/devsecops01.html?xmid=300&xlinkid=06

○11月14日(水)
 ファイル交換・転送サービスの正しい選び方
 ~クラウドで業務効率・利便性とセキュリティを両立させるには~
https://www.nri-secure.co.jp/seminar/2018/file02.html?xmid=300&xlinkid=07

○11月15日(木)
 契約書管理ソリューションセミナー
 ~企業における重要文書を"がっちり守り"ながら"使い易く"~
https://www.nri-secure.co.jp/seminar/2018/contract01.html?xmid=300&xlinkid=08

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の有料研修               <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○11月、2019年1月、3月
 CISSP CBKトレーニング
https://www.nri-secure.co.jp/service/learning/cissp_training.html?xmid=300&xlinkid=10

○11月12日(月)~17日(土):大阪
 SANS Osaka 2018
https://sans-japan.jp/sans_osaka2018/index.html?xmid=300&xlinkid=11

○2019年3月
 セキュアEggs
 (IT+セキュリティ基礎/インシデント対応/フォレンジック/WEBアプリセキュリティ)
https://www.nri-secure.co.jp/service/learning/secureeggs.html?xmid=300&xlinkid=12

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃コラム <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○EDRでセキュリティの現場が変わる
https://www.secure-sketch.com/blog/edr-security-for-cyber-attack?xmid=300&xlinkid=13

○サイバーも「防災訓練」の時代へ!企業が実施すべき演習のやり方
https://www.secure-sketch.com/blog/security-incident-response-training?xmid=300&xlinkid=14

○【図解】日本企業”だけ”が「セキュリティ人材が足りない」と嘆く理由
https://www.secure-sketch.com/blog/cybersecurity-workforce-shortage-of-japanese-companies?xmid=300&xlinkid=16

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃ebook(無料ダウンロード)  <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○NRI Secure Insight 2018
 ~企業における情報セキュリティ実態調査~
https://www.secure-sketch.com/download/insight2018-report-01?xmid=300&xlinkid=17

○セキュリティ人材不足に適応可能な組織へ
 - セキュリティ業務の自動化・省力化・標準化 -
https://www.secure-sketch.com/download/security_workforce_shortage?xmid=300&xlinkid=18

○特集 標的型メール
https://www.secure-sketch.com/download/targeted-mail-attack?xmid=300&xlinkid=19

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃お知らせ                     <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○NRIセキュアの認証基盤ソリューション「Uni-ID Libra」が生体認証に対応
 し、パスワードレス認証を実現
 ~第一弾として、NECの「FIDO機能認定プログラム」適合製品と連携開始~
https://www.nri-secure.co.jp/news/2018/1009.html?xmid=300&xlinkid=21

○新メニュー「サイバー攻撃対応机上演習サービス」を
 「CSIRT総合支援サービス」に追加
https://www.nri-secure.co.jp/news/2018/1005.html?xmid=300&xlinkid=22

○セキュリティ対策状況可視化サービス「Secure SketCH」の認定パートナー制度
 を開始
https://www.nri-secure.co.jp/news/2018/1002.html?xmid=300&xlinkid=23

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃セキュリティを無料で診断!Secure SketCH登録受付中<NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 貴社のセキュリティレベルが得点や偏差値でわかります。<無料>
https://www.secure-sketch.com/?xmid=214&xlinkid=25

--

NRI Secure SANS NewsBites 日本版は、米国の情報セキュリティの専門機関であるSANS Instituteが配信するコンテンツ (SANS NewsBites)をベースに、NRIセキュアテクノロジーズが編集してお届けしています。 世界中でこの1週間に起こったセキュリティのあらゆるトピックと専門家のコメントが掲載されています。原版は、およそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュースソースとして活用されています。組織のセキュリティ管理に関する参考情報としてお役立てください。掲載されている情報は、e-mailを介して自由に他の方に再送していただいて結構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望される方は、弊社ホームページの以下のページよりお申込みください。
http://www.nri-secure.co.jp/news_letter

本ニュースレターは、メールマガジン配信を申し込まれた方、弊社からの情報を希望された方、SANS関連のイベントに参加された方、その他イベント等において弊社講演枠に登録された方に配信しています。
今後、配信をご希望されない方は会社名と御氏名を本文に明記のうえ、件名に【配信不要】、配信先変更をご希望の方は【配信先変更希望】とご記入頂き、新旧のご連絡先も記載のうえ、info@sans-japan.jpまでご返信をお願い致します。なお、情報の反映までにお時間を頂戴する場合がございます。