NRI Secure SANS NewsBites 日本版

Vol.13 No.29 2018年11月14日発行

──────────────────────────
■■SANS NewsBites Vol.13 No.29
(原版: 2018年 11 月 6 日、11月 9 日)
──────────────────────────


┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 S┃A┃N┃S┃ナ┃イ┃ト┃i┃n┃大┃阪┃
 ━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛

★SANSコミュニティナイトセッション in 大阪
 -Time Lords - Understanding time to master forensic analysis-
 (効果的なフォレンジック分析のためのタイムスタンプの理解)

  開催日:11/15(木) 18:00~
  詳細:https://www.nri-secure.co.jp/seminar/2018/sans07.html


 2┃0┃1┃9┃年┃2┃月┃東┃京┃開┃催┃
 ━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛
 S┃A┃N┃S┃ト┃レ┃ー┃ニ┃ン┃グ┃
 ━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛
 好┃評┃受┃付┃中┃!┃
 ━┛━┛━┛━┛━┛━┛

【SANS Secure Japan2019】全10コース実施予定
https://sans-japan.jp/secure_japan2019/index.html

開催日:2019/2/18(月)~2019/2/23(土)
★SEC401:Security Essentials Bootcamp Style
★SEC560:Network Penetration Testing and Ethical Hacking
★FOR585:Advanced Smartphone Forensics
★FOR500:Windows Forensic Analysis

開催日:2019/2/18(月)~2019/2/22(金)
★ICS410:ICS/SCADA Security Essentials

開催日:2019/2/25(月)~2019/3/2(土)
★SEC504:Hacker Tools, Techniques, Exploits and Incident Handling
★SEC511:Continuous Monitoring and Security Operations
★SEC642:Advanced Web App Penetration Testing, Ethical Hacking,
and Exploitation Techniques
★FOR508:Advanced Digital Forensics, Incident Response, and Threat Hunting
★FOR610:Reverse-Engineering Malware:Malware Analysis Tools and Techniques
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛

◆ ブラウザごとのアクセス制限設定(2018.11.4)
Wiredは、Chrome、Firefox、Edge、Safariといった主要なブラウザにおいて、プライバシー設定を厳重にするためのアドバイスを掲載している。多くの読者にとっては基本的な設定に過ぎないかもしれないが、間もなく始まる連休中、あなたと同等の知識を持ってはいないであろう、家族や親戚と過ごす時間が増えることを考えると、Wiredの手引きは役に立つはず。

- http://www.wired.com/story/how-to-lock-down-websites-permissions-access-webcam/

【編集者メモ】(Neely)
Wiredの記事は、見るべき設定と同時に、個々のブラウザにおける設定がある場所を提示してくれる、優良な資料だ。

【編集者メモ】(Ullrich)
ブラウザのアクセス制限設定を、厳重にし過ぎないよう注意してほしい。アドバイスの一つである、全てのCookieのブロックには、サイトを破壊する恐れがあるという注意書きが添えられている。適切に定義されたセッションCookieは、Webアプリケーション上での状態を保つ上で、一般的で必要な方法だ。一方広告業者は、ローカルストレージやJavaScriptのcanvas、Flash Cookieといった、ユーザの動向を追跡する方法を他にも保有している。こうした方法は、概してブラウザの設定で制御できるものではない。Cookie2が広まらなかったことは非常に残念だ。Cookie2とそれに伴うヘッダは、本質的にセッションCookieを使用していたからだ。

【編集者メモ】(Murray)
ブラウザにおける問題の一部は、機能の積み重ねの後に続く、機能を制限する機能だ。もう一つの問題は、ブラウザが実行される環境(Windows、Linux、Mac OS、Android)に穴があることだ。ブラウザは、一般向けのデスクトップパソコンや企業向けのデスクトップパソコンにおける、弱点であり続けている。

【編集者メモ】(Northcutt)
ブラウザのセキュリティ向上は良い考えだ。大半のユーザは、Cookie管理の設定を変更しないだろう。家族や友人が金融関係のウェブサイトを閲覧する際に、一つのブラウザ(デフォルト以外のもの)を使用するよう助言し、その他の目的で使用しないことを推奨してはどうだろうか。
────────────────

◆ 来月から始まる、Chromeにおける不正なコンテンツのブロックに関する新ルール(2018.11.5)
2018年12月4日のリリースが予定されているChrome 71から、Google社のブラウザChromeは、偽のメッセージ、想定外のクリック可能な領域、誤解を生むウェブサイトの挙動、不正な自動リダイレクトを含む「不正なコンテンツ」を提供していると判断された、ウェブサイト上の広告を全てブロックする(Google社による不正なコンテンツの全リストは、以下のリンクを参照)。Google社は、管理者が自身のウェブサイトがルールに違反していないか確認できるツールを公開している。

- http://www.cnet.com/news/google-chrome-new-crackdown-on-bad-ads-begins-december/
- http://www.zdnet.com/article/google-chrome-71-will-continue-crackdown-on-sites-with-abusive-ads/
- http://www.bleepingcomputer.com/news/google/chrome-71-will-block-all-ads-on-abusive-sites-in-december/
- http://blog.chromium.org/2018/11/further-protections-from-harmful-ad.html
- http://support.google.com/webtools/answer/7347327

【編集者メモ】(Neely)
悪意のある、偽の、あるいは誤解を生む広告サイトの制限やブロックは、ユーザがそのようなサイトに遭遇する可能性を減らすものであるべきだ。ユーザは、保護機能をすり抜けるサイトに対する用心をまだ怠ってはならない。悪意のあるサイトに関するGoogle社の判断基準を信用できない場合は、機能を無効化することが可能だ。
────────────────

◆ イランの諜報機関が、2009年にCIAの通信システムに侵入していた(2018.11.2)
10年近く前、イランの諜報機関は、米中央情報局(CIA)が諜報員との通信に使用していた、通信チャンネルへの侵入に成功していた。逆スパイによって、通信用ウェブサイトの一つがイラン政府に露見した。この情報を利用し、イランの諜報機関はGoogle検索から他のサイトも特定することに成功した。

- http://www.theregister.co.uk/2018/11/02/iran_cracked_cia_google/
- http://arstechnica.com/tech-policy/2018/11/how-did-iran-find-cia-spies-they-googled-it/
────────────────

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃OUCH! 11月号「ハッキングされているかも」について
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
どんなにセキュアな環境であっても、車の事故と同じように問題が発生する場合
があります。自身が原因ではなくても巻き込まれてしまうこともあるかもしれま
せん。ハッキングをされてしまったことを早期に察知することは、問題を修正で
きる可能性を高めることになるます。今月は、ハッキングされているかどうかの
見極め方やハッキングをされている場合にすべきことについて、一般ユーザ向け
に分かりやすく解説します。社員の意識向上ツールとしてお使いください。
https://www.sans.org/sites/default/files/2018-11/201811-OUCH-November-Japanese.pdf
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

◆ Apache StrutsのCommons-FileUploadライブラリに脆弱性(2018.11.5 & 2018.11.6 & 2018.11.7)
Apache Strutsフレームワークの開発チームは、脆弱なシステムの制御を奪うことに悪用される可能性がある、Struts 2.3.36およびそれ以前のバージョンが影響を受ける重大な脆弱性について、ユーザに注意を促した。Commons-FileUploadライブラリの脆弱性に起因するこの問題は、2016年から続いているものだ。SANS Internet Storm Center(ISC)は、ユーザは「Commons-FileUploadライブラリを手動で最新のものと入れ替える」必要があり、このライブラリはStruts以外のソフトウェアでも使用されているため、他のシステムにも組み込まれている可能性があるとして、注意喚起を掲載している。

- http://mail-archives.us.apache.org/mod_mbox/www-announce/201811.mbox/%3CCAMopvkMo8WiP%3DfqVQuZ1Fyx%3D6CGz0Epzfe0gG5XAqP1wdJCoBQ%40mail.gmail.com%3E
- http://isc.sans.edu/diary/rss/24278
- http://threatpost.com/apache-struts-warns-users-of-two-year-old-vulnerability/138820/
- http://www.scmagazine.com/home/security-news/apache-struts-vulnerability-would-allow-system-take-over/
- http://www.cyberscoop.com/apache-remote-code-execution-flaw-november-2018/

【編集者メモ】(Ullrich)
依存関係を追跡することの重要性を示した、新たな例だ。今後数週間(数か月)の間、様々なベンダーがこの脆弱性に対するパッチを公開するだろう。Cisco社は、Struts 5.2を使用していて、かつ脆弱なコンポーネントが含まれる、Cisco社が展開しているソフトウェアの一覧を公開した。この問題の油断できない部分は、Struts 5.2が脆弱ということではなく、Struts 5.2を使用しているコンポーネントに脆弱性が存在するということだ。

【編集者メモ】(Murray)
Apache Strutsではなく、「Commons-FileUploadライブラリ」の問題だ。Commons-FileUploadライブラリが含まれる他の問題を認識しているユーザに比べて、Apache Strutsの修正は容易だろう。
────────────────

◆ Cisco社のセキュリティアドバイザリ(2018.11.8)
11月7日水曜日、Cisco社は複数の製品におけるセキュリティ上の問題について警告する、17のセキュリティアドバイザリを公開した。このうち3つの脆弱性は重大と評価されている。修正がそのうちの二つについて公開されており、中小企業向けのスイッチ製品のうち7つのモデルに影響がある、特権アクセスの問題であるもう一つについては、Cisco社が推奨するワークアラウンドが提示されている。修正が公開されている二つの重大な脆弱性は、Cisco Stealthwatch EnterpriseのCisco Stealthwatch Managementコンソールにおける認証回避の問題と、Unity Expressにおける遠隔からのシェルコマンド実行の問題だ。四つ目のアドバイザリでは、Apache StrutsのCommons-FileUploadライブラリの脆弱性について注意を促している。このアドバイザリの評価は重大となっているが、どの製品が影響を受けるのかが明確ではない。Cisco社はまた、Cisco ExpresswayシリーズとCisco TelePresence Video Communication Server(VCS)の出荷済みソフトウェアイメージに、不注意から脆弱性Dirty CoWの試験用であった、休眠状態のエクスプロイトコードを同梱していたことを認めた。

- http://www.scmagazine.com/home/security-news/cisco-fixes-two-critical-bugs-recommends-workaround-for-a-third/
- http://threatpost.com/cisco-accidentally-released-dirty-cow-exploit-code-in-software/138888/
- http://www.theregister.co.uk/2018/11/08/cisco_dirty_cow_exploit_code/
- http://tools.cisco.com/security/center/publicationListing.x

【編集者メモ】(Ullrich)
今回のアップデートには、その脆弱性の深刻さではなく、生産設備にエクスプロイトコードを含む、デバッグや試験用のツールを置き去りにするという、Cisco社の品質管理プロセスにおける重大な欠点を示唆している可能性があるため注目に値する、「情報としての(informational)」アドバイザリが含まれる。
────────────────

◆ Apple社が、T2チップが搭載されたコンピュータを増やす予定(2018.11.8)
Apple社は現在、T2セキュリティチップを最新のMacBook AirとMac Miniに搭載している。このチップは最初、2017年にiMac Proに搭載され、今年初めにはMacBook Proにも搭載された。チップの最新機能の一つは、コンピュータが閉じられている時に、マイク機能を停止するというものであり、これは盗聴の阻止を目的としている。

- http://threatpost.com/apple-modernizes-its-hardware-security-with-t2/138904/

【編集者メモ】(Ullrich)
Apple社は、以前に増してセキュリティを他社製品との違いとして売り出している。T2チップは、システムへの物理的なアクセスが可能な攻撃者に対するセキュリティを、大きく向上させる。一方で、Apple社はこの技術を、iOS端末と同様、将来プラットフォームへのアクセス制限を強力にするために利用する可能性がある。T2チップにより阻止されたいくつかの攻撃方法は、法執行機関も利用できなくなるため、各国政府から何かしらの反応があるだろう。

【編集者メモ】(Murray)
ハードウェアに特化したセキュリティ機能が、システムへの攻撃可能な部分を減らすという点で、いわゆる「サプライチェーン」の問題解決に向けた大きな一歩だ。

【編集者メモ】(Pescatore)
より良いハードウェアのセキュリティは全てのコンピュータ機器に必要であり、Apple社は実質、Windows10で最大限に活用され、現代の全てのWindows PCに組み込まれている、Trusted Platform Moduleチップの技術に追いつこうとしている。残っている問題として、(1)Apple社のT2チップには、セキュリティ機能に加え、動画や音声の処理を実行するものがあるが、これはIntel社のチップにおけるSpectreやMeltdownで示された通り、攻撃可能な部分を増やしてしまう(また製品の試験担当者にとって、試験がより複雑なものとなってしまう)。(2)Linuxのディストリビューション用の信頼された証明書が無いため、現状T2チップが搭載されたMac上では、Linuxを動かすことはできない。Windowsであれば、デフォルトではないが、Boot Campを使って起動可能だ。
────────────────

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の無料セミナー・イベント        <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○11月15日(木)
 契約書管理ソリューションセミナー
 ~企業における重要文書を"がっちり守り"ながら"使い易く"~
https://www.nri-secure.co.jp/seminar/2018/contract01.html?xmid=300&xlinkid=02

○11月15日(木)大阪
 SANSコミュニティナイトセッション in 大阪
 -Time Lords - Understanding time to master forensic analysis-
 (効果的なフォレンジック分析のためのタイムスタンプの理解)
https://www.nri-secure.co.jp/seminar/2018/sans07.html?xmid=300&xlinkid=03

○11月15日(木)福岡 / 12月4日(火)東京
 [今年も開催]セキュリティトップランナーが集結
 情報セキュリティ対策ソリューションはクラウドモノを使い倒せ!
 ~多様化するセキュリティリスクは、日々進化するクラウドで対応~
https://www.nri-secure.co.jp/seminar/2018/cloud01.html?xmid=300&xlinkid=04

○11月16日(金)
 (ISC)2 Night TOKYO
 ~セキュリティキャリアアップに役立つ資格をご紹介~
https://www.nri-secure.co.jp/seminar/2018/cissp05.html?xmid=300&xlinkid=05

○11月28日(水)、12月14日(金)
 重要情報を守る!
 サイバー攻撃や内部不正からの情報漏洩を効率よく防ぐためのアクセス制御とは
 ~特権IDアクセス管理の事例とポイント~
https://www.nri-secure.co.jp/seminar/2018/ac06.html?xmid=300&xlinkid=06

○11月29日(木)、12月19日(水)
 Webの分離・無害化による運用の課題解決
 ~触って理解するMenlo Security~
https://www.nri-secure.co.jp/seminar/2018/isolation03.html?xmid=300&xlinkid=07

○12月4日(火)
 CISSPチャレンジセミナー in 東京
 ~CISSPならこう考える!CISOに必要な情報セキュリティの知識と考え方~
https://www.nri-secure.co.jp/seminar/2018/cissp06.html?xmid=300&xlinkid=08

○12月6日(木)
 [Cofenseユーザー来日講演]
 フィッシングから組織を守る革新的なアプローチ
 ~チューリッヒ社のグローバル情報セキュリティ責任者が考えるベストプラクティスとは~
https://www.nri-secure.co.jp/seminar/2018/cofense01.html?xmid=300&xlinkid=09

○12月18日(火)
 テレワークのセキュリティ課題を解決!
 ~情報漏洩を気にせず、利便性を損なわず、すぐはじめられるテレワークとは~
https://www.nri-secure.co.jp/seminar/2018/telework01.html?xmid=300&xlinkid=10

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の有料研修               <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○2019年1月、3月
 CISSP CBKトレーニング
https://www.nri-secure.co.jp/service/learning/cissp_training.html?xmid=300&xlinkid=11

○2019年2月~3月
 SANS Secure Japan 2019
https://sans-japan.jp/secure_japan2019/index.html?xmid=300&xlinkid=12

○2019年3月
 セキュアEggs
 (IT+セキュリティ基礎/インシデント対応/フォレンジック/WEBアプリセキュリティ)
https://www.nri-secure.co.jp/service/learning/secureeggs.html?xmid=300&xlinkid=13

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃コラム <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○フォレンジックとは?インシデントの原因調査手法を解説!
https://www.secure-sketch.com/blog/fast-forensic?xmid=300&xlinkid=14

○インターネット分離(Web分離)の導入で注意すべきたった一つのポイント
https://www.secure-sketch.com/blog/point-for-web-isolation?xmid=300&xlinkid=15

○解説!クレジットカードの不正利用対策
https://www.secure-sketch.com/blog/credit-card-fraud?xmid=300&xlinkid=16

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃ebook(無料ダウンロード)  <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○NRI Secure Insight 2018
 ~企業における情報セキュリティ実態調査~
https://www.secure-sketch.com/download/insight2018-report-01?xmid=300&xlinkid=17

○セテレワーク時代のサーバーセキュリティ
 ~エンドポイントセキュリティの重要性~
https://www.secure-sketch.com/endpoint-detection-and-response?xmid=300&xlinkid=18

○セキュリティの勘所~品質管理編~
https://www.secure-sketch.com/download/quality-management?xmid=300&xlinkid=19

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃お知らせ                     <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○ブロックチェーン技術を用いるスマートコントラクトを対象に、
 セキュリティ・モニタリングサービスを提供開始
 ~日本で最初の米国ConsenSys社の開発パートナーに~
https://www.nri-secure.co.jp/news/2018/1108.html?xmid=300&xlinkid=20

○セキュアなファイル交換クラウドサービス「クリプト便」に
「ファイル共有オプション」を新規に追加
~ 国内最高レベルのセキュリティ環境で、ファイル共有が可能に ~
https://www.nri-secure.co.jp/news/2018/1105.html?xmid=300&xlinkid=21

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃Secure SketCH 無料登録受付中 <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○30分でわかる!貴社に必要なセキュリティ対策
https://www.secure-sketch.com/?xmid=300&xlinkid=25

--

NRI Secure SANS NewsBites 日本版は、米国の情報セキュリティの専門機関であるSANS Instituteが配信するコンテンツ (SANS NewsBites)をベースに、NRIセキュアテクノロジーズが編集してお届けしています。 世界中でこの1週間に起こったセキュリティのあらゆるトピックと専門家のコメントが掲載されています。原版は、およそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュースソースとして活用されています。組織のセキュリティ管理に関する参考情報としてお役立てください。掲載されている情報は、e-mailを介して自由に他の方に再送していただいて結構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望される方は、弊社ホームページの以下のページよりお申込みください。
https://www.nri-secure.co.jp/news_letter/

本ニュースレターは、メールマガジン配信を申し込まれた方、弊社からの情報を希望された方、SANS関連のイベントに参加された方、その他イベント等において弊社講演枠に登録された方に配信しています。
今後、配信をご希望されない方は会社名と御氏名を本文に明記のうえ、件名に【配信不要】、配信先変更をご希望の方は【配信先変更希望】とご記入頂き、新旧のご連絡先も記載のうえ、info@sans-japan.jpまでご返信をお願い致します。なお、情報の反映までにお時間を頂戴する場合がございます。