NRI Secure SANS NewsBites 日本版

Vol.13 No.31 2018年12月10日発行

──────────────────────────
■■SANS NewsBites Vol.13 No.31
(原版: 2018年 11 月 20日、27日、30日、12 月 4日、7日 )
──────────────────────────


┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 2┃0┃1┃9┃年┃2┃月┃東┃京┃開┃催┃
 ━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛
 S┃A┃N┃S┃ト┃レ┃ー┃ニ┃ン┃グ┃
 ━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛
 早┃期┃割┃引┃受┃付┃中┃!┃
 ━┛━┛━┛━┛━┛━┛━┛━┛

【SANS Secure Jpaan2019】全10コース実施予定
https://sans-japan.jp/secure_japan2019/index.html

開催日:2019/2/18(月)~2019/2/23(土)
[ SEC401 ]:Security Essentials Bootcamp Style
[ SEC560 ]:Network Penetration Testing and Ethical Hacking
[ FOR585 ]:Advanced Smartphone Forensics
[ FOR500 ]:Windows Forensic Analysis

開催日:2019/2/18(月)~2019/2/22(金)
[ ICS410 ]:ICS/SCADA Security Essentials

開催日:2019/2/25(月)~2019/3/2(土)
[ SEC504 ]:Hacker Tools, Techniques, Exploits and Incident Handling
[ SEC511 ]:Continuous Monitoring and Security Operations
[ SEC642 ]:Advanced Web App Penetration Testing, Ethical Hacking,
and Exploitation Techniques
[ FOR508 ]:Advanced Digital Forensics, Incident Response, and Threat Hunting
[ FOR610 ]:Reverse-Engineering Malware:Malware Analysis Tools and Techniques

┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛
┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 NewsBites 速報を新たに配信!!

(Allan)
※NewsBites 速報は、先ごろ始まったNews Bites Flashにて速報(英語)を配信済
みです。

┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛


◆ 英議会の委員会による報告書:重要インフラはサイバーセキュリティ上のリスクに晒されている(2018.11.19)
英国議会の国家安全保障戦略合同委員会(Joint Committee on National Security Strategy)が発表した報告書によると、英国の重要インフラは、破壊性の高いサイバー攻撃に対して脆弱であるようだ。報告書ではまた、国内の重要インフラに対するサイバー攻撃の脅威が高まっている一方、重要インフラの構成部門を運用する政府と民間企業は、どちらも重要インフラを十分に防護できていないと述べられている。報告書の著者は、「政府通信本部(GCHQ)の国家サイバーセキュリティセンターによる期待が、政府が処理可能なリソースの量を超えていることを懸念している。」著者はさらに、政府はサイバー攻撃に対する、英国全土の重要インフラの抵抗力向上を任務とした大臣を、早急に任命する必要がある」と主張している。

- http://www.zdnet.com/article/uk-critical-national-infrastructure-at-risk-from-devastating-cyber-attacks-says-government-report/
- http://www.theregister.co.uk/2018/11/19/uk_cni_report_parliament/
- http://publications.parliament.uk/pa/jt201719/jtselect/jtnatsec/1708/1708.pdf

【編集者メモ】(Henry)
全世界共通の問題であり、「英国」を他の国名に置き換えても通じる内容だ。
────────────────

◆ DODとDHSがサイバーセキュリティに関する協定を結ぶ(2018.11.15 & 2018.11.16)
米国防総省(DOD)と米国土安全保障省(DHS)は、各省が管轄するサイバー空間の担当箇所を防護する際に、お互いに助け合うための方法について合意に至った。DHSのJeanette Manfra次官補は証言書において、この協定は「米国を戦略的なサイバー攻撃の脅威から保護、防衛する能力の向上を目的とした協力体制構築への、両組織の努力を反映するものであり、(中略)サイバー脅威に対する米国政府の即応能力を高めるという、DODとDHS双方の役割と責任を明確にするものだ。」と述べている。

- http://federalnewsnetwork.com/cybersecurity/2018/11/dod-dhs-reach-accord-on-new-steps-to-cooperate-in-cyber-defense/
- http://defensesystems.com/articles/2018/11/16/dhs-dod-cyber-cooperation.aspx
- http://www.nextgov.com/cybersecurity/2018/11/dhs-and-pentagon-memo-details-future-cyber-cooperation/152854/

【編集者メモ】(Murray)
2つの小委員会合同で行われた会議における証言の動画は、こちらから閲覧可能。
https://www.c-span.org/video/?454510-1/interagency-cyber-cooperation
────────────────

◆ DHSのCybersecurity and Infrastructure Security Agencyは、強化された権限と2か年計画を持つ(2018.11.16)
米国土安全保障省(DHS)配下のNational Protection and Programs Directorate(NPPD)は、公式にCybersecurity and Infrastructure Security Agency(CISA)へと改組された。新たな法律により、DHSにおけるCISAの任務は拡大され、シークレットサービスや連邦緊急事態管理庁(FEMA)などの機関と同格の組織へと格上げされる。

- http://federalnewsnetwork.com/cybersecurity/2018/11/launch-of-dhs-cyber-agency-more-of-a-groundbreaking-than-a-ribbon-cutting/
- http://thehill.com/policy/cybersecurity/417185-trump-signs-bill-cementing-cybersecurity-agency-at-dhs
────────────────

◆ Microsoft社が、先週発生した多要素認証における問題の原因を説明(2018.11.26)
Microsoft社は、先週発生したAzure、Office 365、Dynamicsを含む複数のサービス利用者が影響を受けた、多要素認証における問題に関する詳細を公開した。同社は、認証失敗を引き起こしたと考えられる3つの個別の原因を特定した。最初の2つは、キャッシュサービスに対するシステムのフロントエンド通信における遅延時間と、バックエンドサーバからの応答処理における競合状態は、11月13日から16日にかけてデータセンターに展開された、コードのアップデートが原因であった。3つ目は、2つ目の原因が引き金となり、バックエンドにおいてフロントエンドからの要求を処理できなくなったことが原因であった。Microsoft社はさらに、遠隔からの情報収集や監視が正常に機能していなかったため、問題の特定に遅れが生じたことを認めた。

- https://azure.microsoft.com/en-us/status/history/
- https://www.zdnet.com/article/microsoft-details-the-causes-of-its-recent-multi-factor-authentication-meltdown/

【編集者メモ】(Honan)
報告書において問題を広く公開したMicrosoft社に称賛を贈る。どのようなインシデントであれ、その経験を無駄にするべきではない。報告書を読み、そこから教訓や、あなたの組織の環境に当てはまるインシデントについて学ぼう。
────────────────

◆ ドイツ政府が、ルータ用セキュリティガイドラインの草案を公開(2018.11.26)
ドイツ政府は、家庭や中小企業向けルータ用のセキュリティガイドラインの草案を公開した。ガイドラインは、関係業界の開発者や電気通信事業者などの知識や経験をもとに作成された。製品製造者がガイドラインに縛られることはないが、ガイドラインに従っている事業者は、それを証明するステッカーを貼付することが許される。要求事項のリストは、Deutsche Telekom社製ルータのハイジャックを目的としたハッカーによる攻撃の失敗により、国内の数十万に及ぶルータがクラッシュした、2年前のインシデントを機に急ピッチで整備が進められた。

- https://www.zdnet.com/article/germany-proposes-router-security-guidelines/
- https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/TechnischeRichtlinien/TR03148/TR03148.pdf

【編集者メモ】(Murray)
これらの基準はルータに当てはまるものであり、全ての機器に適用するべきものではない。基準では、管理された企業のルータと、管理されていない小規模事業者の無線アクセスポイント向けの要求事項の違いが曖昧にされており、強力な認証方法や、Apple社が推進している非対称鍵よりも、パスワードの使用が、推奨される唯一の制御方法であると決めつけられている。これらの基準は「要求事項」よりも、「解決策」に主眼が置かれている。最初の一歩としては良いが、改善に向けた努力が必要だ。
────────────────

◆ FBIが詐欺集団を捕まえるため、FedEx社のサイトを偽装(2018.11.26)
Motherboardが得た文書によると、FBIは詐欺集団を捕まえるための過程で、FedEx社のサイトを偽装していた。さらに文書によるとFBIは、FBIのサーバに接続し、詐欺集団のIPアドレス情報を送信するよう加工された画像を含むWord文書を、被疑者に送っていた。

- https://motherboard.vice.com/en_us/article/d3b3xk/the-fbi-created-a-fake-fedex-website-to-unmask-a-cybercriminal

【編集者メモ】(Henry)
法執行機関が被疑者のIPアドレスを入手するためツールを使用することは、新しいことではなく、またその使用は、匿名化技術実装の普及にともなって増加した。法執行機関のこの捜査方法は一定の成功を収めている一方、大きな労力を要する上、高度な技術を持った攻撃者には大抵かわされてしまう。FBIはツールの使用前に捜査令状を取得するため、さらなる労力が必要であり、ツールを毎回使用することが困難となっている。
────────────────

◆ ロシアによる米国送電網への探り(2018.11.28)
FireEye社の研究グループは、今週初めにワシントンD.C.で開催されたCyberwarConフォーラムにおいて、米国の送電網は防衛態勢を整えているが、「いまだに送電網の大部分を標的とした、ロシアによる集中的なスパイ活動が続いている」と述べた。攻撃の背後にいるロシアのグループは、コスト削減になる上、追跡や特定が難しくなるような、他のハッカーが開発した一般的なツールや技術を用いている。

- http://www.wired.com/story/russian-hackers-us-power-grid-attacks/

【編集者メモ】(Murray)
米国の送電網はロシアのものより脆弱かもしれないし、そうでないかもしれない。しかし米国の送電網はより依存性が高い。米国の「サイバーセキュリティ」の中でも、送電網のセキュリティと抵抗力や回復力の確保に、最も高い優先順位をつけるべきだ。
────────────────

◆ 米上院がディスク暗号化を承認(2018.11. 29)
米上院の議事規則議院運営委員会は、上院守衛官に対し、上院の全てのコンピュータにおいてディスク暗号化を有効化するよう命じた。今年初め、ディスク暗号化を承認するよう委員会に働きかけていたRon Wyden上院議員(民主党・オレゴン州)は、「この新たなポリシーによって、上院のコンピュータを盗む、スパイになり得る人物や犯罪者によるデータへのアクセスが、一層困難になるだろう」と述べた。

- http://www.zdnet.com/article/us-senate-computers-will-use-disk-encryption/

【編集者メモ】(Pescatore)
一米国市民として、議員やそのスタッフがノートパソコンの紛失や盗難に直面した際に、内部の機微なデータが保護されるようになることは、喜ばしいことだ。このポリシーのさらなる大きなメリットは、議員が暗号化の強度を弱めるような法律の草案を提出する可能性が、限りなく低くなることだ。

【編集者メモ】(Neely)
ディスクの完全暗号化を使用する際は、2つ目のステップが重要となる。スリープモードをハイバネーション(休止状態)に変更することで、暗号鍵が、カバーの閉じられた、または安易に置かれたノートパソコンのメモリに保存されることを避けることができる。

【編集者メモ】(Ullrich)
ディスク暗号化はここ数年推奨されているものであり、特にモバイル機器やノートパソコンについては、上院でも使用するべき時が来たと言える。一方、ディスク暗号化は概して、スピア型攻撃のようなリモートから使用される、最も一般的な攻撃手法に対しては無力だ。

【編集者メモ】(Murray)
発生時は注目に値するが、紛失や盗難、または放棄されたディスクから情報が漏洩することは、比較的稀だ。しかしディスク暗号化は安価で便利なので、毎日靴下を替えるようにディスク暗号化の使用を習慣化するべきだ。

【編集者メモ】(Northcutt)
上院が先を見た行動を取っている点は評価できる。バージニア州のノートパソコンが盗まれて以降、政府関係機関はメモリを実装したモバイル機器の暗号化に大急ぎで取り掛かったが、2007年にはその取り組みは終息していた。それ以降大きな変化はない。
 http://thehill.com/policy/technology/97817-va-loses-another-laptop-with-veterans-personal-information
───────────────

◆ DHSがCDMにより収集したデータを用い、政府機関の基本的なサイバーセキュリティ対策度合いを数値化(2018.11.28 & 2018.11.29)
米国土安全保障省(DHS)は、Agency-Wide Adaptive Risk Enumeration(AWARE)アルゴリズムを使用し、各政府機関の基本的なサイバーセキュリティ対策度合いを数値化して評価することを計画している。継続的な診断と緩和(CDM)のツールにより収集したデータを使用し、AWAREが出すスコアには政府機関のCDM導入に向けた進捗状況や、その政府機関のシステムにおける、既知およびパッチ未適用の脆弱性が反映される。AWAREは2020会計年度中に制作される予定だ。

- http://federalnewsnetwork.com/cybersecurity/2018/11/are-agencies-making-the-grade-on-cdm-dhs-looks-to-find-out-with-aware-algorithm/
- http://gcn.com/articles/2018/11/28/dhs-aware.aspx
- http://www.nextgov.com/cybersecurity/2018/11/agencies-will-soon-have-cyber-hygiene-scoreand-will-know-where-they-rank/153114/

【編集者メモ】(Pescatore)
CDMプログラムが始まって5年目にして、政府機関向けの「レポートカード」の一部として使用される、基本的なサイバーセキュリティ対策の数値の測定に向けようやく前進した。しかし、現状ではスコアの公開や、数値測定に使用するアルゴリズムの透明性確保のための動きはない。DHSはこれまで2年に渡りAWAREについて語ってきたが、数値測定での実際の使用には、最低でもさらにもう1年かかると主張している。

【編集者メモ】(Neely)
CDMダッシュボードでは、複数の政府機関の基本的なサイバーセキュリティ対策を評価するため、共通の基準や規制の使用を試みている。参加機関が増えるにつれ、ダッシュボードは連邦政府のサイバーセキュリティ状態の、全体的な見通しを提供するようになるだろう。現状では、運用技術やクラウドサービスはCDMの管轄外となっているが、クラウドサービスは今後の監視対象としてロードマップに記載されている。
────────────────

◆ Azureの多要素認証がまた使用できない状態となる(2018.11.28)
11月27日火曜日、Microsoft Azureはこの9日間で2度目となる、多要素認証が使用できない状態に陥った。最初の問題は11月19日に始まり、同日中に解消した。2度目の問題は11月27日の米東部時間で9時(協定世界時で14時)を少し過ぎた頃に発生した。Azureの状態履歴によると、東部時間12時(世界協定時17時)を回った頃には問題は解消された。Microsoft Azureは、「予備調査では、先に発生したDNSの問題により、大多数のサインインリクエストが失敗していたことが判明した。これにより、バックエンドのインフラに問題が生じた」と述べており、11月30日金曜日には根本原因の分析結果を公開すると発表した。

- http://www.computerworld.com/article/3323382/office-software/microsofts-multi-factor-authentication-service-flakes-out-again.html
- http://www.scmagazine.com/home/security-news/microsofts-azure-multi-factor-authentication-mfa-service-went-down-for-the-second-time-in-only-just-over-a-week/
- http://azure.microsoft.com/en-us/status/history/

【編集者メモ】(Pescatore)
クラウドサービスの提供業者は、サービスの可用性と完全性について非常に高い基準を持つべきであり、Microsoft社は今回この可用性と完全性に関する失敗があったことを認めている。Azureのサービス品質保証(SLA)によると、99.9%の可用性が保証されており、これは月間およそ45分に相当する。しかし、これは時計の時間ではなく、ユーザー時間(分)で計算される。つまり、8時間以上サービスを利用できない時間が続いたとしても、SLAを基準にした補償は受けられない可能性があるということだ。どのような事態が起きるにせよ、補償はたった25%か50%のサービスクレジットに過ぎず、実際にビジネスが受ける影響は無いのだ。
────────────────

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃OUCH! 12月号「あなたは狙われている」について
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
あなたは、自身の情報や組織に価値がないからハッキングの被害に遭わないと思
っていませんか。サイバー攻撃者にとっては、ITを利用しているのであれば誰で
も価値があると判断しますが、最大の防御策をあなた自身が既に持っています。
今月は、サイバー攻撃の典型的な例と狙う理由について紹介し、セキュアな状態
にするためのアクションについて、一般ユーザ向け分かりやすく解説します。社
員の意識向上ツールとしてお使いください。
https://www.sans.org/sites/default/files/2018-12/201812-OUCH-December-Japanese.pdf
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

◆ 米行政管理予算局とCIO審議会が、連邦政府職員向けにサイバー分野の技術が学べる機会を用意(2018.11.30)
米行政管理予算局(OMB)は教育省とCIO審議会との共同で、現在の連邦政府職員に対し、サイバー攻撃対策アナリストになるための訓練を提供する、連邦サイバー技術アカデミー(Federal Cyber Reskilling Academy)を開設する。このプログラムは、現在サイバー分野やIT分野での業務に従事していない職員を対象としている。プログラムへの応募は2018年11月30日から開始しており、2019年1月11日に終了する。応募者には1月中旬に、オンラインでクリティカル・シンキングや問題解決のスキルを評価するためのリンクが送られる。2019年2月終わり頃から、最初の合格者の選抜が始まる。3か月に渡る訓練プログラムは3月11日開始予定。

- http://federalnewsnetwork.com/cybersecurity/2018/11/omb-launches-cyber-reskilling-to-retrain-federal-employees-as-cyber-defense-analysts/
- http://www.fifthdomain.com/workforce/education-training/2018/11/30/white-house-launches-cyber-reskilling-academy-for-feds/
- http://fcw.com/articles/2018/11/30/cyber-reskill-omb-gunter.aspx
- http://www.cio.gov/reskilling/

【編集者メモ】(Neely)
応募者はクリティカル・シンキングと問題解決スキルの審査を通過する必要があるが、合格するとトップレベルの訓練と技術習得の証明を得ることになる。サイバーセキュリティに興味のある連邦政府職員は応募するべきだ。

【編集者メモ】(Honan)
よくサイバーセキュリティ分野でのキャリアは、その技術者不足から手っ取り早くお金を稼ぐ道だと思われている。しかし、優秀なサイバーセキュリティ専門家とは、ただ技術に明るいだけではなく、問題解決やクリティカル・シンキングといったスキルを持ち合わせた人物を指す。記事の内容は、素晴らしい取り組みだ。

【編集者メモ】(Paller)
Federal Reskilling Programs Aptitude Testで計られる素質と能力は、高度なソフトウェア開発のような他の高収入の職業においても価値のあるものだ。ソフトウェア開発に携わる雇用者や従業員に対して、世界的に行われた大規模アンケートでは、特定のプログラミング技術が重要だとされたが、適正を考える上では問題解決のスキルがそのおよそ2倍重要であることを、雇用者の回答が示していた。
 http://research.hackerrank.com/developer-skills/2018/
────────────────

◆ Marriott社の子会社Starwoodにおける情報漏洩(2018.11.30 & 2018.12.1)
Marriott社の子会社Starwoodにおける情報漏洩を引き起こしたネットワークへの侵入は、2014年に発生していた。この情報漏洩により、5億人に上る顧客の個人情報が悪用された。漏洩したデータには、氏名、生年月日、旅行と予約に関する情報、そしてパスポート番号が含まれる。情報漏洩は2018年9月初めに検知されたが、その影響範囲は、捜査担当者がインターネット上で、暗号化されたStarwoodの予約管理データベースを発見した11月中旬まで判明しなかった。

- http://www.wired.com/story/marriott-hack-protect-yourself/
- http://www.theregister.co.uk/2018/11/30/marriott_starwood_hotels_500m_customer_records_hacked/
- http://www.scmagazine.com/home/security-news/marriott-breach-exposes-more-than-just-customer-info/
- http://krebsonsecurity.com/2018/12/what-the-marriott-breach-says-about-security/

【編集者メモ】(Ullrich)
始めに、Marriott社が「ウェブ監視サービス」導入のために契約した企業が、15文字以上の長さのパスワードを許可する(これはパスワードがハッシュ化されていなかった可能性を示唆している)にあたり、情報セキュリティ上の配慮を十分行っていれば良かったはずだ。次に、あなたがこのような情報漏洩の影響を受けている場合(受けていない人などいる?)、報道に惑わされてはいけない。漏洩したデータ5億件は大きな数だが、多くの人にとっては、幸いなことに心配する必要のない出来事だ。私たちの多くが失ったものは支払いカードのデータや、おそらくユーザ名やパスワードといったデータだ。私は、毎年自分のクレジットカードのデータが何回盗まれているかなど、絶対に気にしない。クレジットカード会社や銀行も気にしないし、彼らは財政的な負担を負っている。もし彼らが気にするのであれば、システムを修正するだろう。私のMarriott/SPG(Starwood Preferred Guest)パスワードに関して言うと、同じパスワードを他のサイトで使用していなければ、今回の問題は私にとって全く関係ない出来事となる。おそらく今回の問題で漏洩した情報の中で最も機微なものは、パスポートのデータだ(Marriott社にそのデータが保存されていた場合)。Marriott社が、個別のアカウントにおいて、どの情報が盗まれた可能性があるのかをリスト化してくれるとありがたい。しかしそのためには、そもそもMarriott社がこの問題をそこまで気にかける必要がある。

【編集者メモ】(Neely)
復旧措置を取る場合、MarriottアカウントとSPGアカウントを統合していないのであれば、両方を対象にする必要がある。MarriottやStarwoodブランドとして展開しているホテルチェーンの数を考えると、関係あるホテルに泊まったことが無いと決めつけるべきではない。先を見越して確認しよう。
────────────────

◆ 中国が米国の組織を標的としたサイバースパイ活動を強化(2018.11.29)
中国は、米国から技術情報を得るためのスパイ活動を強化している。3年前、米国と中国は、米国の組織から知的財産を盗む中国の活動に、表面上終止符を打つ協定を結んだ。その後約1年半に渡り攻撃は減少したが、トランプ政権誕生後すぐ攻撃が再開した。

- http://www.nytimes.com/2018/11/29/us/politics/china-trump-cyberespionage.html
────────────────

◆ ペンシルベニア州最高裁判所:雇用主は従業員のデータを保護する義務を負う(2018.11.27)
ペンシルベニア州の最高裁判所において、ピッツバーグ大学医療センター(UPMC)は、インターネットからアクセス可能なコンピュータに保存された、従業員の個人データを保護する慣習法上の義務を負うとする判決が下された。原告は雇用の条件として、社会保障番号や納税情報、銀行口座情報を含むデータをUPMCに提供したと主張した。

- http://www.natlawreview.com/article/pennsylvania-supreme-court-recognizes-common-law-duty-to-safeguard-employees
- http://www.pacourts.us/assets/opinions/Supreme/out/Majority%20Opinion%20%20VacatedRemanded%20%2010378165044604409.pdf?cb=1
────────────────

◆ 下院のIoT関連法案は、政府機関に対し価格よりもセキュリティを重視することを推奨する(2018.12. 6)
来週、米下院に提出される法案は、政府が購入したインターネットに接続している機器が、一定のセキュリティ基準を満たしていることを求めるものだ。基本的なセキュリティ要求事項には、セキュリティアップデートやパッチを受け付ける機能が備わっていることと、ユーザにデフォルトパスワードの変更を許可していることが含まれる。各ベンダは、脆弱性が発見された際の政府機関への通知が必要となり、問題を修正するアップデートを速やかに提供することが義務付けられる。法案はまた、OMB局長と一般調達局(GSA)長官に対し、「最安で技術的に容認できる」機器を購入する基準の適用を制限するよう、各政府機関の指導に当たることを命令して
いる。この法案は、上院におけるInternet of Things Cybersecurity Improvement Actの同僚法案である。

- http://www.nextgov.com/cybersecurity/2018/12/upcoming-bill-would-lock-down-agencies-internet-connected-devices/153304/
- http://www.nextgov.com/media/gbc/docs/pdfs_edit/120618jc1ng.pdf

【編集者メモ】(Pescatore)
これは連邦政府の調達におけるセキュリティを引き上げるための、小さな一歩だが、非常に重要な方向への一歩だ。

【編集者メモ】(Neely)
法律化されたとしても、インターネットに接続されたIoT機器は、機器自身やその他のネットワーク機器を守るため、ネットワークへのアクセスを制限されるべきだ。法案におけるもう一つの大事な内容は、包括的な保護を提供するために必要な、マイクロセグメンテーション、インテリジェントゲートウェイ、インターネットに接続された機器を分離する技術や、その他の外的要素を含んだ、基準を満たしていない機器を使用する際の規定である。

【編集者メモ】(Murray)
この法案は多くの機器にとって必要と思われるが、全ての機器が「セキュリティアップデートやパッチを受け付ける」機能を備える必要はない。この機能は劇的に攻撃可能な箇所を増やしてしまう。「ボットネット」の一部に機器を組み込む際に利用されるのがこの機能だ。多くの安価な機器は、安全でないと証明された場合、単に廃棄されるべきだ。同様に、機器に実装する機能のために、パスワードを使用することを推奨すべきではない。Apple社が使用しているような、非対称鍵による暗号化を使用したシステムを推奨すべきだ。
────────────────

◆ Marriott社の情報漏洩に使用されたツールは、他の攻撃でも使用されていた(2018.12.5)
Marriott社の子会社Starwoodにおける情報漏洩の捜査担当者によると、攻撃に使用されたツールや技術のいくつかは、中国のハッカー集団が実行したと考えられる他の攻撃でも使用されていたようである。該当のツールはインターネット上にアップロードされていた為、他のグループが同ツールを取得する可能性もあった。捜査担当者はまた、Starwoodのシステムには、複数のハッカーグループが侵入していた可能性があると述べた。Marriott社の情報漏洩は、米連邦人事管理局(OPM)保有のシステムにおける大量情報漏洩の後間もなく、2014年に始まった。情報漏洩発覚までに4年の時間があったという事実は、攻撃に関わった人物が、国家の支援を受けて活動していたことを示唆していると、Gartner社のアナリストであり、副社長を務めるAvivah Litan氏は主張している。

- http://www.reuters.com/article/us-marriott-intnl-cyber-china-exclusive/exclusive-clues-in-marriott-hack-implicate-china-sources-idUSKBN1O504D
- http://www.darkreading.com/network-and-perimeter-security/starwood-breach-reaction-focuses-on-4-year-dwell/d/d-id/1333411

【編集者メモ】(Ullrich)
「4年の時間」は必ずしも国家の介入があったことを示唆するものではない。情報漏洩を検知できなかった理由は、攻撃者が優秀であったか、セキュリティ監視が十分に機能していなかったかだ。情報漏洩が「中国のハッカー集団」によるものだと断定するには、特にハッカー集団と国家の関心とのつながりを考えると、今のところ証拠が弱い。この問題は、攻撃者の技術力を強調することで、4年間情報漏洩が続くことを許した怠慢の度合いを低く見せるための、情報漏洩発覚後に広報が準備した脚本に沿って進められているように見える。同じ記事では、データに対し複数のハッキンググループがアクセスしていた可能性を指摘している。私は、彼らが全て「高度な技術を有し、国家の支援を受けた」活動家だとは考えていない。
────────────────

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の無料セミナー・イベント        <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○12月14日(金)
 重要情報を守る!
 サイバー攻撃や内部不正からの情報漏洩を効率よく防ぐためのアクセス制御とは
 ~特権IDアクセス管理の事例とポイント~
https://www.nri-secure.co.jp/seminar/2018/ac06.html?xmid=300&xlinkid=04

○12月18日(火)
 テレワークのセキュリティ課題を解決!
 ~情報漏洩を気にせず、利便性を損なわず、すぐはじめられるテレワークとは~
https://www.nri-secure.co.jp/seminar/2018/telework01.html?xmid=300&xlinkid=05

○12月19日(水)、2019年1月25日(金)、2月21日(木)
 Webの分離・無害化による運用の課題解決
 ~触って理解するMenlo Security~
https://www.nri-secure.co.jp/seminar/2018/isolation03.html?xmid=300&xlinkid=06

○12月20日(木)【オンライン】
 国内最高レベルのセキュリティ環境で実現するファイル共有とは
 ~「クリプト便」にファイル共有オプションが登場~
https://www.nri-secure.co.jp/seminar/2018/file04.html?xmid=300&xlinkid=07

○12月21日(金)
 IDが切り拓くデジタル戦略
 ~NRIグループの専門家がIDの基本と未来について解説!~
https://www.nri-secure.co.jp/seminar/2018/id01.html?xmid=300&xlinkid=04

○2019年1月18日(金)、3月13日(水)
 ファイル交換・転送サービスの正しい選び方
 ~クラウドで業務効率・利便性とセキュリティを両立させるには~
https://www.nri-secure.co.jp/seminar/2019/file02.html?xmid=300&xlinkid=11

○2019年1月28日(月)
 【監査人が語る】内部不正からの情報漏洩を防ぐためのポイントとは
https://www.nri-secure.co.jp/seminar/2019/audit01.html?xmid=300&xlinkid=12

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の有料研修               <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○2019年1月、2月、3月
 CISSP CBKトレーニング
https://www.nri-secure.co.jp/service/learning/cissp_training.html?xmid=300&xlinkid=11

○2019年2月~3月
 SANS Secure Japan 2019
https://sans-japan.jp/secure_japan2019/index.html?xmid=300&xlinkid=12

○2019年3月
 セキュアEggs
 (IT+セキュリティ基礎/インシデント対応/フォレンジック/WEBアプリセキュリティ)
https://www.nri-secure.co.jp/service/learning/secureeggs.html?xmid=300&xlinkid=13

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃コラム(Secure SketCH ブログ) <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○「ゼロトラスト」が働き方を変える~次世代のセキュリティモデル~
https://www.secure-sketch.com/blog/zero-trust-security-model?xmid=300&xlinkid=14

○未来の情報セキュリティを担う人材を支援する「SANS NetWarsトーナメント」
https://www.secure-sketch.com/blog/sans-netwars-tournament?xmid=300&xlinkid=15

○車社会がサイバー攻撃を受ける時代に何をすべきか
https://www.secure-sketch.com/blog/cyber-attack-on-motorized-society?xmid=300&xlinkid=16

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃ebook(無料ダウンロード)  <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○テレワーク時代のサイバーセキュリティ
https://www.secure-sketch.com/endpoint-detection-and-response?xmid=300&xlinkid=18

○セキュリティの勘所~品質管理編~
https://www.secure-sketch.com/download/quality-management?xmid=300&xlinkid=19

○セキュリティの勘所~上流設計編~
https://www.secure-sketch.com/download/upstream-design?xmid=300&xlinkid=20

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃お知らせ                     <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○情報セキュリティの監視やインシデント対応の自動化・高度化を支援する
 サービスを提供開始
https://www.nri-secure.co.jp/news/2018/1205.html?xmid=300&xlinkid=21

○「ジャパン マネージドセキュリティサービス プロバイダーオブザイヤー」
 NRIセキュアが2年連続受賞
https://www.nri-secure.co.jp/news/2018/1128.html?xmid=300&xlinkid=22

○ブロックチェーン技術を用いるスマートコントラクトを対象に、
 セキュリティ・モニタリングサービスを提供開始
 ~ 日本で最初の米国ConsenSys社の開発パートナーに ~
https://www.nri-secure.co.jp/news/2018/1108.html?xmid=300&xlinkid=23

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃Secure SketCH 無料登録受付中 <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○30分でわかる!貴社に必要なセキュリティ対策
https://www.secure-sketch.com/?xmid=300&xlinkid=25

--

NRI Secure SANS NewsBites 日本版は、米国の情報セキュリティの専門機関であるSANS Instituteが配信するコンテンツ (SANS NewsBites)をベースに、NRIセキュアテクノロジーズが編集してお届けしています。 世界中でこの1週間に起こったセキュリティのあらゆるトピックと専門家のコメントが掲載されています。原版は、およそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュースソースとして活用されています。組織のセキュリティ管理に関する参考情報としてお役立てください。掲載されている情報は、e-mailを介して自由に他の方に再送していただいて結構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望される方は、弊社ホームページの以下のページよりお申込みください。
https://www.nri-secure.co.jp/news_letter/

本ニュースレターは、メールマガジン配信を申し込まれた方、弊社からの情報を希望された方、SANS関連のイベントに参加された方、その他イベント等において弊社講演枠に登録された方に配信しています。
今後、配信をご希望されない方は会社名と御氏名を本文に明記のうえ、件名に【配信不要】、配信先変更をご希望の方は【配信先変更希望】とご記入頂き、新旧のご連絡先も記載のうえ、info@sans-japan.jpまでご返信をお願い致します。なお、情報の反映までにお時間を頂戴する場合がございます。