NRI Secure SANS NewsBites 日本版

Vol.13 No.27 2018年10月30日発行

──────────────────────────
■■SANS NewsBites Vol.13 No.27
(原版: 2018年 10 月 23 日、26 日)
──────────────────────────


┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 大┃阪┃開┃催┃S┃A┃N┃S┃ト┃レ┃ー┃ニ┃ン┃グ┃
 ━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛
 最┃終┃受┃付┃中┃!┃お┃急┃ぎ┃く┃だ┃さ┃い┃
 ━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛

【SANS Osaka 2018】11月開催 全2コース実施
https://sans-japan.jp/sans_osaka2018/index.html

開催日:11/12(月)~17(土)
★SEC401:Security Essentials Bootcamp Style
  最もポピュラーなコースの1つ。サイバーセキュリティの基礎をこのコースで!
☆★SEC542:Web App Penetration Testing and Ethical Hacking
  Webアプリにおけるセキュリティ上の課題を徹底理解!
SEC542は、今年度開催は大阪のみです。
首都圏在住の方もぜひこの機会をご検討ください。


 2┃0┃1┃9┃年┃2┃月┃東┃京┃開┃催┃
 ━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛
 受┃付┃開┃始┃し┃ま┃し┃た┃!┃
 ━┛━┛━┛━┛━┛━┛━┛━┛━┛

【SANS Secure Jpaan2019】全10コース実施予定
https://sans-japan.jp/secure_japan2019/index.html

開催日:2019/2/18(月)~2019/2/23(土)
★SEC401:Security Essentials Bootcamp Style ★SEC560:Network Penetration Testing and Ethical Hacking ★FOR585:Advanced Smartphone Forensics ★FOR500:Windows Forensic Analysis

開催日:2019/2/18(月)~2019/2/22(金)
★ICS410:ICS/SCADA Security Essentials

開催日:2019/2/25(月)~2019/3/2(土)
★SEC504:Hacker Tools, Techniques, Exploits and Incident Handling ★SEC511:Continuous Monitoring and Security Operations ★SEC642:Advanced Web App Penetration Testing, Ethical Hacking,
and Exploitation Techniques
★FOR508:Advanced Digital Forensics, Incident Response, and Threat Hunting ★FOR610:Reverse-Engineering Malware:Malware Analysis Tools and Techniques ┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛

◆ ロシア人を選挙妨害の疑いで告発(2018.10.19 & 2018.10.22)
米司法省(DOJ)は、間もなく始まる2018年中間選挙を含む、米国の政治システムに対する妨害工作のため、米国を騙す陰謀を働いたとして、Elena Alekseevna Khusyaynova氏を告発した。Khusyaynova氏は、ロシアの有力政治家による支援を受けたグループの財政管理や、外国に対し政治的な影響を与える活動に携わっていたようだ。

- http://www.washingtonpost.com/world/national-security/director-of-national-intelligence-warns-of-ongoing-campaigns-to-interfere-with-elections/2018/10/19/64973a7a-d3b4-11e8-b2d2-f397227b43f0_story.html
- http://thehill.com/policy/national-security/412287-russian-woman-charged-with-interfering-in-midterm-elections
- http://www.federaltimes.com/federal-oversight/doj-fbi/2018/10/19/russian-woman-charged-with-us-election-interference/
- http://www.justice.gov/opa/pr/russian-national-charged-interfering-us-political-system
────────────────

◆ Super Micro社は、証拠が不足している現状に関係なく、悪意のあるチップの搭載有無を確認するため、ハードウェアの再調査を開始する(2018.10.22)
中国のスパイが、Super Micro Computer社の製品に悪意のあるチップを取り付けたとする、Bloomberg社が最近公開した報告における主張を解明する取り組みの一環として、同社はハードウェア製品の調査を開始すると発表した。同社のCEOであるCharles Liang氏は、先週顧客宛てに書いた手紙の中で、「認可されていないチップを含むマザーボードを我々に示してきたものは、誰もいないし、そのようなチップの存在を我々は認識していない。さらに、どの政府機関からも、我々にはそのようなチップに関するアラートは届いていない。」と述べ、「悪意のあるチップが存在するという証拠は不足しているが、我々はBloomberg社による報告の内容をさらにひも解くため、複雑かつ時間のかかる再調査に着手している。」と主張した。

- http://www.reuters.com/article/us-china-cyber-super-micro-comp/super-micro-to-review-hardware-for-malicious-chips-idUSKCN1MW1GK
- http://www.supermicro.com/en/news/CEO-letter

【編集者メモ】(Pescatore)
Super Micro社のマザーボードが改造されていたか否かに関わらず、中国やロシア、米政府機関がハードウェアの改造が行われたたという例は豊富にある。私が米シークレットサービスに勤めていた1980年代、私たちは、モスクワの米国大使館とレニングラード(当時)の領事館から修理に出されたIBM Selectric Typewriterが、監視機能を提供するよう改造され、USSRによって8年間に渡り悪用されていたという問題の対応に追われていた。サプライチェーンセキュリティの確保は困難を伴う目標だ。その第一歩となるのは、CFOや首席弁護士がリスクを理解し、調達プロセスに穴が無いか再調査することだ。

【編集者メモ】(Neely)
あなたの会社と部品を提供する会社が、純正でない機器の発見と、発見した場合の解決策を持っているか確認するべきだ。

【編集者メモ】(Murray)
サプライチェーンは悩ましい脆弱性を抱えている。私たちはサプライチェーンにおいて、特に「潜伏スパイ」に対して弱みを持っている。脆弱なソフトウェアや「ソーシャルエンジニアリング」に匹敵するものではないと断言できるが、悪用されているという明確な証拠が見つかるまでは、そのリスクを測定することはできない。
こうした事実は現在の寛容な政策や戦略が、機能していないことを示している。より制限的な政策や戦略により、パッチの作成や適用といったセキュリティに係るコストや損失に係るコスト、情報漏洩の発生を減らし、サプライチェーンを強固なものにすることができるだろう。
────────────────

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃OUCH! 10月号「Eメールでありがちな失敗と防止策」について
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
仕事やプライベートで頻繁に使われる Eメール、便利なツールですが、その特徴
をきちんと理解をしておかないと、思わぬところから足をすくわれてしまう失敗
をしてしまいます。今月は、この Eメールでありがちな失敗とその防止策につい
て、いくつかの例を挙げながら、同じようなことを繰り返さないようにする手段
を一般ユーザ向けに分かりやすく解説します。社員の意識向上ツールとしてお使
いください。
https://www.sans.org/sites/default/files/2018-10/201810-OUCH-October-Japanese.pdf
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

◆ ニューヨーク・タイムズ紙:ロシアと中国が米大統領のiPhone上での通話を盗聴している(2018.10.24 & 2018.10.25)
ニューヨーク・タイムズ紙の記事によると、米諜報機関は、中国のスパイが頻繁に米大統領のiPhone上での会話を盗聴していると報告している。大統領の側近は、大統領が使用している複数のiPhoneはセキュアではなく、ロシアのスパイも盗聴していることを大統領に忠告した。大統領はツイートの中でその忠告に反論した。

- http://www.nytimes.com/2018/10/24/us/politics/trump-phone-security.html
- http://www.scmagazine.com/home/security-news/russia-china-listening-in-on-trumps-private-mobile-phone-conversations-report/
- http://arstechnica.com/tech-policy/2018/10/nyt-chinese-and-russian-spies-routinely-eavesdrop-on-trumps-iphone-calls/
────────────────

◆ 新しい開発者を標的とした2件のサプライチェーン攻撃(2018.10.23)
Dan Goodin氏は、最近成長の著しい開発者を標的とした、2件のサプライチェーン攻撃について説明している。一つ目の攻撃は、サーバ管理用のコントロールパネルを提供するVestaCPを標的としたものだ。攻撃者はVestaCP社のサーバに侵入し、インストーラを悪意のあるものに改造した。2つ目の攻撃は、Pythonのリポジトリに挿入された悪意のあるモジュールが関連している。正規のモジュールとよく似た名前と機能を持つが、ユーザが仮想通貨で支払いしようとしている兆候を探るために、サーバのクリップボードを監視するVisual Basicスクリプトが追加されている。
このスクリプトは仮想通貨の支払い先を、攻撃者が保有するウォレットに変更することができる。

- http://arstechnica.com/information-technology/2018/10/two-new-supply-chain-attacks-come-to-light-in-less-than-a-week/

【編集者メモ】(Pescatore)
オープンソースソフトウェアは、今後もサプライチェーンのセキュリティ確保において弱点であり続ける。The Linux Foundation Core Infrastructure Initiativeは、OpenSSLとNTPの脆弱性が広く公表された後、素早く対策を講じたが、アプリケーションやツールには多数のオープンソースソフトウェアが組み込まれている。多くのアプリケーションのセキュリティ試験を実施するベンダーは、使用されている
オープンソースソフトウェアを棚卸し、脆弱なバージョンを特定するためのツールを保有している。
────────────────

◆ 身代金を支払っても良い場合(2018.10.23)
今月初め、コネチカット州のウェストヘイブン市は、攻撃によって暗号化された23台のサーバへのアクセスを取り戻すため、2,000USドルの身代金を支払った。一般的な考え方に従うと、身代金を支払うべきではないが、適切なバックアップの仕組みを持っていない組織の場合、身代金を支払うことが、最も確実にデータへのアクセスを復旧させる方法なのかもしれない。しかし、身代金の支払いはリスクを伴う。身代金を支払ったランサムウェア攻撃の被害者のうち、データの復旧に成功したのは半数以下に留まっている。

- http://threatpost.com/city-pays-2k-in-ransomware-stirs-never-pay-debate/138527/

【編集者メモ】(Pescatore)
身代金を支払うか否かはビジネス上の決定であり、セキュリティに関する決定ではない。この問題におけるセキュリティ上の重要な決定とは、「支払いの是非に関わらず、ランサムウェア(あるいは他の)攻撃を許した不具合を修正しなければならない」ということだ。これはサイバーセキュリティ上の問題とよく似ている。身代金やサイバー保険の掛け金を支払うことにより、財政的な影響を軽減(取り除くも
のではない)できるが、これは初回のインシデントにのみ有効な方法だ。既に過去支払った実績がある場合、その事実がさらに攻撃者を惹きつけ、保険会社が損失補償範囲を変更あるいは拒否する可能性がある。

【編集者メモ】(Honan)
Europolが運営するウェブサイトThe No More Ransomは、既に一般に知られている多種多様なランサムウェアの復号鍵を保有しており、その他ランサムウェア攻撃被害者の助けとなるツールを公開している。
http://www.nomoreransom.org/en/index.html

【編集者メモ】(Neely)
支払いの決定を下す前に、復号鍵が既に存在し、公開されていないか、また入手可
能かを確認するべきだ。
────────────────

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の無料セミナー・イベント        <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○10月31日(水) 出展
 金融サイバーセキュリティフォーラム2018[主催:GMAC]
  [B-2]金融サービスの利便性と安全性を両立する最新認証技術動向
  [B-3]【実例で解説】BEC(ビジネスメール詐欺)の最新の攻撃手法と対策
https://www.gmac.jp/frcf/2018/agenda.html

○11月7日(水)
 Webアプリケーション開発における「DevSecOps」の推進
 ~「Contrast Security+VEX」による
   アジャイル、高速開発に対応したセキュリティ対策の実現 ~
https://www.nri-secure.co.jp/seminar/2018/devsecops01.html?xmid=300&xlinkid=02

○11月7日(水)大阪 / 11月15日(木)福岡 / 12月4日(火)東京
 [今年も開催]セキュリティトップランナーが集結
 情報セキュリティ対策ソリューションはクラウドモノを使い倒せ!
 ~多様化するセキュリティリスクは、日々進化するクラウドで対応~
https://www.nri-secure.co.jp/seminar/2018/cloud01.html?xmid=300&xlinkid=03

○11月14日(水)
 ファイル交換・転送サービスの正しい選び方
 ~クラウドで業務効率・利便性とセキュリティを両立させるには~
https://www.nri-secure.co.jp/seminar/2018/file02.html?xmid=300&xlinkid=04

○11月15日(木)
 契約書管理ソリューションセミナー
 ~企業における重要文書を"がっちり守り"ながら"使い易く"~
https://www.nri-secure.co.jp/seminar/2018/contract01.html?xmid=300&xlinkid=05

○11月28日(水)、12月14日(金)
 重要情報を守る!
 サイバー攻撃や内部不正からの情報漏洩を効率よく防ぐためのアクセス制御とは
 ~特権IDアクセス管理の事例とポイント~
https://www.nri-secure.co.jp/seminar/2018/ac06.html?xmid=300&xlinkid=06

○11月29日(木)、12月19日(水)
 Webの分離・無害化による運用の課題解決
 ~触って理解するMenlo Security~
https://www.nri-secure.co.jp/seminar/2018/isolation03.html?xmid=300&xlinkid=07

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の有料研修               <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○11月、2019年1月、3月
 CISSP CBKトレーニング
https://www.nri-secure.co.jp/service/learning/cissp_training.html?xmid=300&xlinkid=08

○11月12日(月)~17日(土):大阪
 SANS Osaka 2018
https://sans-japan.jp/sans_osaka2018/index.html?xmid=300&xlinkid=09

○2019年2月~3月
 SANS Secure Japan 2019
https://sans-japan.jp/secure_japan2019/index.html?xmid=300&xlinkid=10

○2019年3月
 セキュアEggs
 (IT+セキュリティ基礎/インシデント対応/フォレンジック/WEBアプリセキュリティ)
https://www.nri-secure.co.jp/service/learning/secureeggs.html?xmid=300&xlinkid=11

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃コラム <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○解説!クレジットカードの不正利用対策
https://www.secure-sketch.com/blog/credit-card-fraud?xmid=300&xlinkid=13

○コミュニケーションと情報収集の悩み、協働作業で解決しよう
https://www.secure-sketch.com/blog/communication-and-collaboration-tool?xmid=300&xlinkid=14

○EDRでセキュリティの現場が変わる
https://www.secure-sketch.com/blog/edr-security-for-cyber-attack?xmid=300&xlinkid=15

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃ebook(無料ダウンロード)  <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○NRI Secure Insight 2018
 ~企業における情報セキュリティ実態調査~
https://www.secure-sketch.com/download/insight2018-report-01?xmid=300&xlinkid=17

○セテレワーク時代のサーバーセキュリティ
 ~エンドポイントセキュリティの重要性~
https://www.secure-sketch.com/endpoint-detection-and-response?xmid=300&xlinkid=18

○セキュリティの勘所~品質管理編~
https://www.secure-sketch.com/download/quality-management?xmid=300&xlinkid=19

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃お知らせ                     <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○セキュリティ対策状況可視化サービス「Secure SketCH」、新プラン提供開始
 ~ 診断結果の時系列分析や、同業他社との比較が可能に ~
https://www.nri-secure.co.jp/news/2018/1030.html?xmid=300&xlinkid=21

○特権ID管理ソリューション「SecureCube / Access Check」を刷新
 ~ 内部不正行為の排除機能を強化しつつ、運用業務の負担を軽減 ~
https://www.nri-secure.co.jp/news/2018/1023.html?xmid=300&xlinkid=22

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃Secure SketCH 無料登録受付中<NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○30分でわかる!貴社に必要なセキュリティ対策 <登録無料>
https://www.secure-sketch.com/?xmid=300&xlinkid=25

--

NRI Secure SANS NewsBites 日本版は、米国の情報セキュリティの専門機関であるSANS Instituteが配信するコンテンツ (SANS NewsBites)をベースに、NRIセキュアテクノロジーズが編集してお届けしています。 世界中でこの1週間に起こったセキュリティのあらゆるトピックと専門家のコメントが掲載されています。原版は、およそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュースソースとして活用されています。組織のセキュリティ管理に関する参考情報としてお役立てください。掲載されている情報は、e-mailを介して自由に他の方に再送していただいて結構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望される方は、弊社ホームページの以下のページよりお申込みください。
https://www.nri-secure.co.jp/news_letter/

本ニュースレターは、メールマガジン配信を申し込まれた方、弊社からの情報を希望された方、SANS関連のイベントに参加された方、その他イベント等において弊社講演枠に登録された方に配信しています。
今後、配信をご希望されない方は会社名と御氏名を本文に明記のうえ、件名に【配信不要】、配信先変更をご希望の方は【配信先変更希望】とご記入頂き、新旧のご連絡先も記載のうえ、info@sans-japan.jpまでご返信をお願い致します。なお、情報の反映までにお時間を頂戴する場合がございます。