NRI Secure SANS NewsBites 日本版

Vol.13 No.28 2018年11月6日発行

──────────────────────────
■■SANS NewsBites Vol.13 No.28
(原版: 2018年 10 月 30 日、11月 2 日)
──────────────────────────


┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 S┃A┃N┃S┃ナ┃イ┃ト┃i┃n┃大┃阪┃&
 ━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛
 S┃A┃N┃S┃ナ┃イ┃ト┃i┃n┃東┃京┃の┃ご┃案┃内┃
 ━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛

★SANSコミュニティナイトセッション in 大阪
 -Time Lords - Understanding time to master forensic analysis-
 (効果的なフォレンジック分析のためのタイムスタンプの理解)

  開催日:11/15(木) 18:00~
  詳細:https://www.nri-secure.co.jp/seminar/2018/sans07.html

★SANSコミュニティナイトセッション in 東京
 -Making Your Network Forensically Friendly-
 (フォレンジック環境をより簡易で効果的なものにするために)

  開催日:11/20(火) 18:00~
  詳細:https://www.nri-secure.co.jp/seminar/2018/sans08.html


 2┃0┃1┃9┃年┃2┃月┃東┃京┃開┃催┃
 ━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛
 S┃A┃N┃S┃ト┃レ┃ー┃ニ┃ン┃グ┃
 ━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛
 好┃評┃受┃付┃中┃!┃
 ━┛━┛━┛━┛━┛━┛

【SANS Secure Japan2019】全10コース実施予定
https://sans-japan.jp/secure_japan2019/index.html

開催日:2019/2/18(月)~2019/2/23(土)
★SEC401:Security Essentials Bootcamp Style
★SEC560:Network Penetration Testing and Ethical Hacking
★FOR585:Advanced Smartphone Forensics
★FOR500:Windows Forensic Analysis

開催日:2019/2/18(月)~2019/2/22(金)
★ICS410:ICS/SCADA Security Essentials

開催日:2019/2/25(月)~2019/3/2(土)
★SEC504:Hacker Tools, Techniques, Exploits and Incident Handling
★SEC511:Continuous Monitoring and Security Operations
★SEC642:Advanced Web App Penetration Testing, Ethical Hacking,
and Exploitation Techniques
★FOR508:Advanced Digital Forensics, Incident Response, and Threat Hunting
★FOR610:Reverse-Engineering Malware:Malware Analysis Tools and Techniques
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛

◆ 米国各州の選挙セキュリティ(2018.10)
SC Magazine の選挙特集では、各州が直面してきた困難や成功例、さらに選挙セキュリティ用に、連邦政府から与えられた資金の使用方法について取り上げている。
ZDNetの記事では、National Protection and Programs Directorate (NPPD) 担当のDHS次官であるChristopher Krebs氏が、無料の選挙セキュリティツールやサービスが過度に出回っていることで、複数の州や地域において、選挙担当者の間に混乱が生じていると述べている。Krebs氏は解決策として、将来的に選挙セキュリティに関するツールは、DHSを通して提供される仕組みを作るべきだと提案し、そうすることで選挙担当者が、ツールがどのようなもので、どのように使用すれば良いのかを理解する手助けとなると述べた。

- http://www.scmagazine.com/home/security-news/government-and-defense/election-coverage/
- http://www.zdnet.com/article/dhs-election-officials-inundated-confused-by-free-cyber-security-offerings/
────────────────

◆ FTCがウェブサイトで、中小企業向けに無料のサイバーセキュリティ関連資料やリソースを公開(2018.10.26)
米連邦取引委員会(FTC)は、中小企業向けに、無料のサイバーセキュリティ関連資料やリソースを提供するウェブサイトを立ち上げた。ウェブサイトの一部コンテンツは、FTCの担当者が、中小企業からの「聞き取り調査」で得た内容がきっかけとなって選定された。ウェブサイトでは、ベンダーセキュリティ、ランサムウェア、メール認証、そして国立標準技術研究所(NIST)のサイバーセキュリティフレームワークの理解といったテーマが取り上げられている。FTCはこのウェブサイトを、国土安全保障省(DHS)、NIST、中小企業庁(Small Business Administraion)と共同で作成した。

- http://www.darkreading.com/vulnerabilities---threats/ftc-offers-small-businesses-free-cybersecurity-resources/d/d-id/1333134
- http://www.ftc.gov/tips-advice/business-center/small-businesses/cybersecurity

【編集者メモ】(Pescatore)
英国の国家サイバーセキュリティセンター(NCSC)には同様のウェブサイトが設置されており、私はよくEU圏内の中小企業にこのウェブサイトを案内している。
Cyber Security: Small Business Guide http://www.ncsc.gov.uk/smallbusiness
────────────────

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃OUCH! 10月号「Eメールでありがちな失敗と防止策」について
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
仕事やプライベートで頻繁に使われる Eメール、便利なツールですが、その特徴
をきちんと理解をしておかないと、思わぬところから足をすくわれてしまう失敗
をしてしまいます。今月は、この Eメールでありがちな失敗とその防止策につい
て、いくつかの例を挙げながら、同じようなことを繰り返さないようにする手段
を一般ユーザ向けに分かりやすく解説します。社員の意識向上ツールとしてお使
いください。
https://www.sans.org/sites/default/files/2018-10/201810-OUCH-October-Japanese.pdf
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

◆ Apple社が複数の製品向けのアップデートを公開(2018.10.30 & 2018.11.1)
Apple社は、Safari、iCloud for Windows、iTunes、iOS、macOS Mojaveを含む、複数の製品向けのセキュリティアップデートを公開した。iOSの最新バージョンであるiOS 12.1には、ブラウザエンジンであるWebKitにおける、9つのリモートコード実行の脆弱性や、FaceTimeにおける複数の脆弱性など、30以上の脆弱性に対する修正が含まれる。macOSのアップデートでは、同一のWiFiネットワーク上にある端末をクラッシュさせることができる問題を含む、複数の脆弱性が修正されている。

- http://threatpost.com/apple-fixes-multiple-macos-ios-bugs-including-a-quirky-facetime-bug/138699/
- http://www.theregister.co.uk/2018/10/30/apple_security_updates/
- http://www.bleepingcomputer.com/news/security/apple-fixes-creepy-facetime-vulnerability-crash-bug-in-macos-and-more/
- http://support.apple.com/en-us/HT201222
- http://www.us-cert.gov/ncas/current-activity/2018/10/30/Apple-Releases-Multiple-Security-Updates

【編集者メモ】(Ullrich)
今年初め、Apple社はICMPの処理に関する重大な問題を修正する、セキュリティアップデートを公開した。この脆弱性に関する詳細を、最近の発見者であるKevin Backhouse氏が公開した。研究者がベンダに対して、問題修正のためにこれほど多くの時間を捧げることは、特に問題の深刻さを考えると、素晴らしいことであり、珍しいことでもある。CVE-2018-4407が割り当てられたこの脆弱性は、iOSとmacOSのカーネルにおいて、任意のリモートコード実行が可能となるものだ。通常とは形式の異なるパケットにより、ICMPの問題が引き起こされる(そのため、脆弱性再現の要因となるのはICMPパケットとは限らない)。ICMPのエラーを収集するために、カーネルは問題を引き起こしているパケットの一部をコピーする必要があり、この作業によってバッファオーバーフローが発生する。注意として述べておく。Apple社のアドバイザリは大抵、脆弱性の影響や深刻さ、再現性が曖昧に書かれているが、記載されている脆弱性は深刻なものとして捉える必要がある。

【編集者メモ】(Neely)
Apple社の「クラッシュするバグ」は、過去に存在した「ping of death」と似ている。同一のネットワークから送られた悪意のあるパケットが、icmp_error関数のバグを誘発し、iOSやOS X端末をクラッシュさせる。10.12.6、10.13.6、10.14の各バージョンを運用しているMacシステムには、セキュリティアップデート2018-001を適用する必要がある。iOS端末の場合は、12.1へのアップデートが必要だ。iOS 12.1では複数の脆弱性が修正されているが、FaceTimeのマルチセッション機能における、ロック画面の認証回避の問題が残されている。この問題を悪用するには、別に2台のiPhoneと連絡先へのアクセスが必要であるため、悪用される危険性はかなり
低い。またこの問題は12.1.1での修正が予定されている。この問題の悪用が気になる場合、12.1.1をインストールするまでFaceTime機能を停止しておくことで、リスクを軽減することが可能だ。
────────────────

◆ Google社が新たに4つのセキュリティ強化策を導入(2018.10.31)
Google社のサービスにユーザがサインインする際、Googleはユーザ名とパスワードの組み合わせについてリスク評価を実施し、「疑わしい点がない」場合のみアクセスを許可する。この機能は、ユーザによるブラウザでのJavaScript有効化が必要となっており、有効化されていない場合はサインインできなくなる。その他、次の3つの新機能が追加された。Google Security Checkupには、有害なアプリを特定し、ユーザのモバイル端末から特定したアプリを削除するよう勧める機能が追加された。またユーザは、アプリやウェブサイトにおいてアカウント情報が共有される際、これまでより多くの通知を受け取るようになる。最後に、アカウントがハッキングされた場合、重要なセキュリティ設定の見直し、利用している他のアカウントの保護、お金のやり取りの有無の確認、そしてコンテンツやファイルの、許可されて
いないユーザによるアクセスや不正使用について調査する手助けとなるプロセスが追加された。

- http://security.googleblog.com/2018/10/announcing-some-security-treats-to.html
- http://www.cyberscoop.com/google-javascript-security-sign-on/
- http://www.zdnet.com/article/google-wont-let-you-sign-in-if-you-disabled-javascript-in-your-browser/

【編集者メモ】(Pescatore)
これらの機能の大半は、Googleアカウントにログインする際、もしくはログインしている場合に適用されるようだ。Googleアカウントのどれかにログインしているということは、全てのGoogleサービスにログインしているということであり、サービス間の追跡や監視が全て有効になっているということだ。ログインし続けることと、必要な時にのみログインすることの、リスクや利点を皆が真剣に考えるべきだ。

【編集者メモ】(Murray)
セキュリティ対策としてJavaScriptを有効化するということか。私は何かを見落としているのだろうか。私のiPadではデフォルトで無効化されている。何も気にする必要はない。無効化したままでいるべきだ。
────────────────

◆ Cisco Adaptive Security Applianceのゼロデイ(2018.10.31 & 2018.11.1)
Cisco社は、Adaptive Security Appliance(ASA)の脆弱性について注意喚起を促すアドバイザリを公開した。ASAのSession Initiation Protocol(SIP)インスペクション機能が影響を受けるこの問題は、サービス運用妨害の状態を引き起こすために悪用される可能性がある。アップデートはまだ公開されていない。Cisco社は、影響を軽減する方法として、SIPインスペクション機能の無効化、攻撃を仕掛けてくるホストのブロック、送信されたアドレスが0.0.0.0となっているトラフィックのフィルタリング、SIPトラフィックのレート制限を掲載している。

- http://www.zdnet.com/article/cisco-zero-day-exploited-in-the-wild-to-crash-and-reload-devices/
- http://www.cyberscoop.com/cisco-issues-warning-on-flaw-being-exploited-in-its-adaptive-security-appliance/
- http://tools.cisco.com/se

【編集者メモ】(Ullrich)
この脆弱性は既に悪用されているようだ。これはサービス運用妨害の脆弱性に過ぎないが、影響を受ける機器で保護されているネットワークであれば、どれでも接続が途切れる。早急に軽減策を適用するべきだ。
────────────────

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の無料セミナー・イベント        <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○11月7日(水)
 Webアプリケーション開発における「DevSecOps」の推進
 ~「Contrast Security+VEX」による
   アジャイル、高速開発に対応したセキュリティ対策の実現 ~
https://www.nri-secure.co.jp/seminar/2018/devsecops01.html?xmid=300&xlinkid=01

○11月7日(水)大阪 / 11月15日(木)福岡 / 12月4日(火)東京
 [今年も開催]セキュリティトップランナーが集結
 情報セキュリティ対策ソリューションはクラウドモノを使い倒せ!
 ~多様化するセキュリティリスクは、日々進化するクラウドで対応~
https://www.nri-secure.co.jp/seminar/2018/cloud01.html?xmid=300&xlinkid=02

○11月14日(水)
 ファイル交換・転送サービスの正しい選び方
 ~クラウドで業務効率・利便性とセキュリティを両立させるには~
https://www.nri-secure.co.jp/seminar/2018/file02.html?xmid=300&xlinkid=03

○11月15日(木)
 契約書管理ソリューションセミナー
 ~企業における重要文書を"がっちり守り"ながら"使い易く"~
https://www.nri-secure.co.jp/seminar/2018/contract01.html?xmid=300&xlinkid=04

○11月15日(木)大阪
 SANSコミュニティナイトセッション in 大阪
 -Time Lords - Understanding time to master forensic analysis-
 (効果的なフォレンジック分析のためのタイムスタンプの理解)
https://www.nri-secure.co.jp/seminar/2018/sans07.html?xmid=300&xlinkid=05

○11月28日(水)、12月14日(金)
 重要情報を守る!
 サイバー攻撃や内部不正からの情報漏洩を効率よく防ぐためのアクセス制御とは
 ~特権IDアクセス管理の事例とポイント~
https://www.nri-secure.co.jp/seminar/2018/ac06.html?xmid=300&xlinkid=06

○11月29日(木)、12月19日(水)
 Webの分離・無害化による運用の課題解決
 ~触って理解するMenlo Security~
https://www.nri-secure.co.jp/seminar/2018/isolation03.html?xmid=300&xlinkid=07

○12月18日(火)
 テレワークのセキュリティ課題を解決!
 ~情報漏洩を気にせず、利便性を損なわず、すぐはじめられるテレワークとは~
https://www.nri-secure.co.jp/seminar/2018/telework01.html?xmid=300&xlinkid=08

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の有料研修               <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○2019年1月、3月
 CISSP CBKトレーニング
https://www.nri-secure.co.jp/service/learning/cissp_training.html?xmid=300&xlinkid=10

○2019年2月~3月
 SANS Secure Japan 2019
https://sans-japan.jp/secure_japan2019/index.html?xmid=300&xlinkid=11

○2019年3月
 セキュアEggs
 (IT+セキュリティ基礎/インシデント対応/フォレンジック/WEBアプリセキュリティ)
https://www.nri-secure.co.jp/service/learning/secureeggs.html?xmid=300&xlinkid=12

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃コラム <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○インターネット分離(Web分離)の導入で注意すべきたった一つのポイント
https://www.secure-sketch.com/blog/point-for-web-isolation?xmid=300&xlinkid=13

○解説!クレジットカードの不正利用対策
https://www.secure-sketch.com/blog/credit-card-fraud?xmid=300&xlinkid=14

○EDRでセキュリティの現場が変わる
https://www.secure-sketch.com/blog/edr-security-for-cyber-attack?xmid=300&xlinkid=15

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃ebook(無料ダウンロード)  <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○NRI Secure Insight 2018
 ~企業における情報セキュリティ実態調査~
https://www.secure-sketch.com/download/insight2018-report-01?xmid=300&xlinkid=17

○セテレワーク時代のサーバーセキュリティ
 ~エンドポイントセキュリティの重要性~
https://www.secure-sketch.com/endpoint-detection-and-response?xmid=300&xlinkid=18

○セキュリティの勘所~品質管理編~
https://www.secure-sketch.com/download/quality-management?xmid=300&xlinkid=19

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃お知らせ                     <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○セキュアなファイル交換クラウドサービス「クリプト便」に
「ファイル共有オプション」を新規に追加
~ 国内最高レベルのセキュリティ環境で、ファイル共有が可能に ~
https://www.nri-secure.co.jp/news/2018/1105.html?xmid=300&xlinkid=20

○セキュリティ対策状況可視化サービス「Secure SketCH」、新プラン提供開始
 ~ 診断結果の時系列分析や、同業他社との比較が可能に ~
https://www.nri-secure.co.jp/news/2018/1030.html?xmid=300&xlinkid=21

○特権ID管理ソリューション「SecureCube / Access Check」を刷新
 ~ 内部不正行為の排除機能を強化しつつ、運用業務の負担を軽減 ~
https://www.nri-secure.co.jp/news/2018/1023.html?xmid=300&xlinkid=22

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃Secure SketCH 無料登録受付中 <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○30分でわかる!貴社に必要なセキュリティ対策
https://www.secure-sketch.com/?xmid=300&xlinkid=25

--

NRI Secure SANS NewsBites 日本版は、米国の情報セキュリティの専門機関であるSANS Instituteが配信するコンテンツ (SANS NewsBites)をベースに、NRIセキュアテクノロジーズが編集してお届けしています。 世界中でこの1週間に起こったセキュリティのあらゆるトピックと専門家のコメントが掲載されています。原版は、およそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュースソースとして活用されています。組織のセキュリティ管理に関する参考情報としてお役立てください。掲載されている情報は、e-mailを介して自由に他の方に再送していただいて結構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望される方は、弊社ホームページの以下のページよりお申込みください。
https://www.nri-secure.co.jp/news_letter/

本ニュースレターは、メールマガジン配信を申し込まれた方、弊社からの情報を希望された方、SANS関連のイベントに参加された方、その他イベント等において弊社講演枠に登録された方に配信しています。
今後、配信をご希望されない方は会社名と御氏名を本文に明記のうえ、件名に【配信不要】、配信先変更をご希望の方は【配信先変更希望】とご記入頂き、新旧のご連絡先も記載のうえ、info@sans-japan.jpまでご返信をお願い致します。なお、情報の反映までにお時間を頂戴する場合がございます。