NRI Secure SANS NewsBites 日本版

Vol.13 No.32 2018年12月17日発行

──────────────────────────
■■SANS NewsBites Vol.13 No.32
(原版: 2018年 12 月 11日、14日 )
──────────────────────────


┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 2┃0┃1┃9┃年┃2┃月┃東┃京┃開┃催┃
 ━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛
 S┃A┃N┃S┃ト┃レ┃ー┃ニ┃ン┃グ┃
 ━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛
 早┃割┃締┃切┃ま┃で┃残┃2┃週┃間┃で┃す┃
 ━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛

【SANS Secure Jpaan2019】全10コース実施予定
https://sans-japan.jp/secure_japan2019/index.html

開催日:2019/2/18(月)~2019/2/23(土)
[ SEC401 ]:Security Essentials Bootcamp Style
[ SEC560 ]:Network Penetration Testing and Ethical Hacking
[ FOR585 ]:Advanced Smartphone Forensics
[ FOR500 ]:Windows Forensic Analysis

開催日:2019/2/18(月)~2019/2/22(金)
[ ICS410 ]:ICS/SCADA Security Essentials

開催日:2019/2/25(月)~2019/3/2(土)
[ SEC504 ]:Hacker Tools, Techniques, Exploits and Incident Handling
[ SEC511 ]:Continuous Monitoring and Security Operations
[ SEC642 ]:Advanced Web App Penetration Testing, Ethical Hacking,
and Exploitation Techniques
[ FOR508 ]:Advanced Digital Forensics, Incident Response, and Threat Hunting
[ FOR610 ]:Reverse-Engineering Malware:Malware Analysis Tools and Techniques

┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛


◆ Warner上院議員が、攻撃的なサイバー政策の必要性を主張(2018.12.10)
米上院議員Mark Warner氏(民主党・バージニア州)が、「敵が仕掛けている、サイバー攻撃と偽情報拡散を合わせた複合型の攻撃に対処するための、一貫した戦略」を明記した、新しいサイバー政策の必要性を主張している。12月7日に行った新アメリカ安全保障センターでのスピーチにおいて、Warner氏は、「サイバー攻撃に対処する時期や場所について、明確な予想を提示しないことは、悪い政策であるだけでなく、危険そのものだ」と指摘した。

- http://federalnewsnetwork.com/cybersecurity-2017/2018/12/warner-lack-of-clarity-on-offensive-cyber-downright-dangerous/
- http://fcw.com/articles/2018/12/07/warner-cyber-whole-of-society.aspx
- http://www.bloomberg.com/news/articles/2018-12-07/senior-democrat-calls-for-tougher-u-s-response-to-cyber-attacks
- http://www.nextgov.com/cybersecurity/2018/12/lawmaker-calls-shifting-defense-funds-combat-cyber-threats/153377/
────────────────

◆ オーストラリアの新しい「暗号化の強度を弱める」法律(2018.12.10)
オーストラリアの2018年電気通信およびその他の法律改正(Assistance and Access)法案が、先週法律化された。この法律は、暗号化の強度を弱める活動の一環として、12の現在有効な法律に変更を加える。

- http://www.zdnet.com/article/whats-actually-in-australias-encryption-laws-everything-you-need-to-know/
- http://parlinfo.aph.gov.au/parlInfo/download/legislation/bills/r6195_aspassed/toc_pdf/18204b01.pdf;fileType=application%2Fpdf
- http://parlinfo.aph.gov.au/parlInfo/download/legislation/ems/r6195_ems_1139bfde-17f3-4538-b2b2-5875f5881239/upload_pdf/685255.pdf;fileType=application%2Fpdf
────────────────

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃OUCH! 12月号「あなたは狙われている」について
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
あなたは、自身の情報や組織に価値がないからハッキングの被害に遭わないと思
っていませんか。サイバー攻撃者にとっては、ITを利用しているのであれば誰で
も価値があると判断しますが、最大の防御策をあなた自身が既に持っています。
今月は、サイバー攻撃の典型的な例と狙う理由について紹介し、セキュアな状態
にするためのアクションについて、一般ユーザ向け分かりやすく解説します。社
員の意識向上ツールとしてお使いください。
https://www.sans.org/sites/default/files/2018-12/201812-OUCH-December-Japanese.pdf
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

◆ 壊滅的な停電への準備に関するNIACの報告書(2018.11.10)
米国家インフラストラクチャ諮問委員会(NIAC)の報告書草案によると、米国における、壊滅的な停電に対する準備と復旧のための現行の計画は、不十分だと指摘している。「数週間または数か月に渡り米国の大部分を停電状態にし、他産業部門のサービスを停止させるような、壊滅的な停電に対して準備を整え、復旧能力を身につけるため、公共部門と民間部門両者が意味のある行動を取る必要がある」と報告書には記載されている。さらに報告書ではこの問題に対処するための、2つの提案が示されている。1つ目は、米国は政府、産業、地域社会、個人の全てのレベルに合った手引きの用意とともに、壊滅的な停電への準備、対応、復旧に関する国家的な取り組みを計画するべきだというもの。2つ目は、「重要インフラにおける連鎖的な失敗が、復旧や生存に与える影響について、我々の理解を深める」べきだというものである。

- http://www.cyberscoop.com/national-infrastructure-advisory-council-cyberattack-natural-disaster/
- http://www.meritalk.com/articles/niac-urges-preparation-for-natural-disaster-and-cyberattack/
- http://www.dhs.gov/sites/default/files/publications/NIAC%20Catastrophic%20Power%20Outage%20Study_508%20FINAL.pdf
────────────────

◆ イランのハッカー集団が、米財務省職員のメールアカウントを標的としていた(2018.12.13)
AP通信(AP)のレポートによると、米国によるイランに対する、新たな経済制裁適用の責任者である複数の米政府職員の個人メールアカウントに対し、イランのハッカー集団がハッキングを試みていたことが判明した。Charming Kittenと呼ばれるこのハッカー集団は、米財務省職員やその他要職に就く人物の個人メールアカウントを標的としている。ハッカー集団の活動は、イギリスのロンドンに拠点を置くサイバーセキュリティグループである、CERTFAによって監視されている。同グループは、ハッカー集団とイラン政府間の繋がりを指摘している。

- http://apnews.com/7f4d814ebf0642b4b381fd9ce01345f7
- http://thehill.com/policy/cybersecurity/421184-iranian-hackers-targeted-personal-email-accounts-of-us-treasury
- http://blog.certfa.com/posts/the-return-of-the-charming-kitten/

【編集者メモ】(Williams)
国家の支援を受けたハッカー集団が、個人メールを標的とすることは当然ありえるだろう。クリントン氏の個人メールサーバの捜査が、私たちに何か教訓をもたらしたとするならば、それは個人メールアカウントに機微なデータや政府関係の機密データが保存されている可能性があるということだ。現在使用されている膨大な数のGmailアカウントにおいて、Google社が数テラバイトに及ぶ政府関係の機密データを保存していたとしても、私は驚かない。政府関係の機密データを計算から除外したとしても、その他の機密データや機微なデータが、まだ保存されているであろうという懸念が残る。

【編集者メモ】(Henry)
帰属は問題ではないと、人々は長い間言い続けている。彼らは「システムへのパッチ適用と、マルウェアを侵入させないことに注力するべきだ」と主張する。これらは確かに重要だが、インテリジェンスと、何が来ているのか察知するための「隅々を見渡す」能力の重要性を、低く見るべきではない。過去イランは、経済制裁発動後に米国を標的としたことがある。先月11月に新たに発動した経済制裁に伴い、イランが米財務省職員を標的とするであろうことは、予想しておくべきだ。なぜあなたを標的とするのか、どのようにあなたを狙うのか、いつあなたを狙うのかといった、自身の敵が誰かを理解するための情報は全て、先を見越して敵のIOC(攻撃が
行われたことを示す痕跡)やTTP(戦術、技術、および手順:tactics, techniques , and procedures)を捜索することによって、組織が自身の環境を守る上で役に立つ、価値のあるインテリジェンスだ。
────────────────

◆ 下院委員会の報告書によると、Equifax社の情報漏洩は「間違いなく防げた」事件だった(2018.12.10 & 2018.12.11)
米下院監督・政府改革委員会は、2017年9月に発表された、Equifax社の大量情報漏洩事件に関する報告書を公開した。報告書には、情報漏洩は「間違いなく防げた」事件であり、Equifax社は「内部のIT管理体制において、権限の明確な線引きを実施せず、(中略)300を超えるセキュリティ証明書の期限切れを引き起こし、(中略)また情報漏洩による影響を受けた顧客を特定し、注意を促し、サポートを提供するための準備が整っていなかった」と記載されている。

- http://www.nextgov.com/cybersecurity/2018/12/equifax-breach-affecting-nearly-half-americans-was-entirely-preventable/153474/
- http://www.scmagazine.com/home/security-news/the-house-oversight-and-government-reform-committee-released-a-scathing-report-monday-saying-the-equifax-data-breach-one-of-the-largest-in-u-s-history-was-entirely-preventable/
- http://www.theregister.co.uk/2018/12/11/equifax_megaleak_report/
- http://fcw.com/articles/2018/12/10/equifax-house-oversight-reports.aspx
- http://oversight.house.gov/report/committee-releases-report-revealing-new-information-on-equifax-data-breach/
- http://oversight.house.gov/wp-content/uploads/2018/12/Equifax-Report.pdf

【編集者メモ】(Pescatore)
事故や盗難、金融危機、病気などほとんどが未然に防ぐことができる。私たちは、Equifax社が失敗し続けた一方で、他の信用調査会社が、このような大規模な事件を防ぐ能力を向上させた理由について、事例研究を進めるべきだ。

【編集者メモ】(Neely)
この情報漏洩事件の結果、2018年5月に法律化された、クレジットフリーズやフリーズの解除を無料とする、経済成長・規制緩和及び消費者保護法案(Economic Growth , Regulatory Relief and Consumer Protection Act:https://www.congress.gov/bill/115th-congress/senate-bill/2155)が誕生した。この事件について毎回繰り返されるテーマは、正しいセキュリティ体制を築き維持するための、重複責務、広範囲に及ぶコミュニケーション、監視、支援方法の必要性だ。
────────────────

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の無料セミナー・イベント        <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○12月18日(火)
 テレワークのセキュリティ課題を解決!
 ~情報漏洩を気にせず、利便性を損なわず、すぐはじめられるテレワークとは~
https://www.nri-secure.co.jp/seminar/2018/telework01.html?xmid=300&xlinkid=01

○12月20日(木)【オンライン】
 国内最高レベルのセキュリティ環境で実現するファイル共有とは
 ~「クリプト便」にファイル共有オプションが登場~
https://www.nri-secure.co.jp/seminar/2018/file04.html?xmid=300&xlinkid=02

○2019年1月18日(金)、3月13日(水)
 ファイル交換・転送サービスの正しい選び方
 ~クラウドで業務効率・利便性とセキュリティを両立させるには~
https://www.nri-secure.co.jp/seminar/2019/file02.html?xmid=300&xlinkid=03

○2019年1月25日(金)、2月21日(木)
 Webの分離・無害化による運用の課題解決
 ~触って理解するMenlo Security~
https://www.nri-secure.co.jp/seminar/2018/isolation03.html?xmid=300&xlinkid=04

○2019年1月28日(月)
 【監査人が語る】内部不正からの情報漏洩を防ぐためのポイントとは
https://www.nri-secure.co.jp/seminar/2019/audit01.html?xmid=300&xlinkid=05

○2019年2月13日(水)、2019年3月6日(水)
 重要情報を守る!
 サイバー攻撃や内部不正からの情報漏洩を効率よく防ぐためのアクセス制御とは
 ~特権IDアクセス管理の事例とポイント~
https://www.nri-secure.co.jp/seminar/2019/ac06.html?xmid=300&xlinkid=06

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の有料研修               <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○2019年1月、2月、3月
 CISSP CBKトレーニング
https://www.nri-secure.co.jp/service/learning/cissp_training.html?xmid=300&xlinkid=11

○2019年2月~3月
 SANS Secure Japan 2019
https://sans-japan.jp/secure_japan2019/index.html?xmid=300&xlinkid=12

○2019年3月
 セキュアEggs
 (IT+セキュリティ基礎/インシデント対応/フォレンジック/WEBアプリセキュリティ)
https://www.nri-secure.co.jp/service/learning/secureeggs.html?xmid=300&xlinkid=13

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃コラム(Secure SketCH ブログ) <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○セキュリティコンサルタントは現場で何をしているか?
 知られざる業務の実態に迫る
https://www.secure-sketch.com/blog/interview-with-security-consultant?xmid=300&xlinkid=14

○SOARとは?セキュリティ運用の自動化により得られる3つのメリット
https://www.secure-sketch.com/blog/security-orchestration-automation-and-response?xmid=300&xlinkid=15

○「ゼロトラスト」が働き方を変える~次世代のセキュリティモデル~
https://www.secure-sketch.com/blog/zero-trust-security-model?xmid=300&xlinkid=16

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃ebook(無料ダウンロード)  <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○テレワーク時代のサイバーセキュリティ
https://www.secure-sketch.com/endpoint-detection-and-response?xmid=300&xlinkid=18

○セキュリティの勘所~品質管理編~
https://www.secure-sketch.com/download/quality-management?xmid=300&xlinkid=19

○セキュリティの勘所~上流設計編~
https://www.secure-sketch.com/download/upstream-design?xmid=300&xlinkid=20

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃お知らせ                     <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○セキュリティログ監視サービス(NeoSOC)が、クラウド型Webセキュリティ
 ソリューション「Zscaler Internet Access」の監視に対応
https://www.nri-secure.co.jp/news/2018/1217.html?xmid=300&xlinkid=21

○情報セキュリティの監視やインシデント対応の自動化・高度化を支援する
 サービスを提供開始
https://www.nri-secure.co.jp/news/2018/1205.html?xmid=300&xlinkid=22

○「ジャパン マネージドセキュリティサービス プロバイダーオブザイヤー」
 NRIセキュアが2年連続受賞
https://www.nri-secure.co.jp/news/2018/1128.html?xmid=300&xlinkid=23

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃Secure SketCH 無料登録受付中 <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○30分でわかる!貴社に必要なセキュリティ対策
https://www.secure-sketch.com/?xmid=300&xlinkid=25

--

NRI Secure SANS NewsBites 日本版は、米国の情報セキュリティの専門機関であるSANS Instituteが配信するコンテンツ (SANS NewsBites)をベースに、NRIセキュアテクノロジーズが編集してお届けしています。 世界中でこの1週間に起こったセキュリティのあらゆるトピックと専門家のコメントが掲載されています。原版は、およそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュースソースとして活用されています。組織のセキュリティ管理に関する参考情報としてお役立てください。掲載されている情報は、e-mailを介して自由に他の方に再送していただいて結構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望される方は、弊社ホームページの以下のページよりお申込みください。
https://www.nri-secure.co.jp/news_letter/

本ニュースレターは、メールマガジン配信を申し込まれた方、弊社からの情報を希望された方、SANS関連のイベントに参加された方、その他イベント等において弊社
講演枠に登録された方に配信しています。
今後、配信をご希望されない方は会社名と御氏名を本文に明記のうえ、件名に【配信不要】、配信先変更をご希望の方は【配信先変更希望】とご記入頂き、新旧のご連絡先も記載のうえ、info@sans-japan.jpまでご返信をお願い致します。なお、情報の反映までにお時間を頂戴する場合がございます。