NRI Secure SANS NewsBites 日本版

Vol.13 No.33 2018年12月26日発行

──────────────────────────
■■SANS NewsBites Vol.13 No.33
(原版: 2018年 12 月 18日、21日 )
──────────────────────────


┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 2┃0┃1┃9┃年┃2┃月┃東┃京┃開┃催┃
 ━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛
 S┃A┃N┃S┃ト┃レ┃ー┃ニ┃ン┃グ┃
 ━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛
 早┃割┃締┃切┃ま┃で┃残┃1 ┃週┃間┃で┃す┃
 ━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛

【SANS Secure Jpaan2019】全10コース実施予定
  年明けすぐに早期割引の締切日です、お急ぎください
  https://sans-japan.jp/secure_japan2019/index.html

開催日:2019/2/18(月)~2019/2/23(土)
[ SEC401 ]:Security Essentials Bootcamp Style
[ SEC560 ]:Network Penetration Testing and Ethical Hacking
[ FOR585 ]:Advanced Smartphone Forensics
[ FOR500 ]:Windows Forensic Analysis

開催日:2019/2/18(月)~2019/2/22(金)
[ ICS410 ]:ICS/SCADA Security Essentials

開催日:2019/2/25(月)~2019/3/2(土)
[ SEC504 ]:Hacker Tools, Techniques, Exploits and Incident Handling
[ SEC511 ]:Continuous Monitoring and Security Operations
[ SEC642 ]:Advanced Web App Penetration Testing, Ethical Hacking,
and Exploitation Techniques
[ FOR508 ]:Advanced Digital Forensics, Incident Response, and Threat Hunting
[ FOR610 ]:Reverse-Engineering Malware:Malware Analysis Tools and Techniques

┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛


◆ ロシアによる偽情報拡散活動に関する報告書(2018.12.17)
米上院情報問題特別調査委員会(SSCI)の委託により作成された報告書には、ロシアのインターネット・リサーチ・エージェンシー(IRA)による「2014年から2017年にかけて行われた、米国市民の意思決定に影響を与える活動」に関する調査の詳細が記載されている。調査で判明した重要な発見の中には、「複数の(ソーシャルメディア)プラットフォームにおいて、活発に継続されている妨害工作」が存在すること、「黒人コミュニティを標的とした大規模な工作」が行われていたこと、そしてこうした影響を与える活動が「分離論や暴動の考え」を助長している。この報告書はサイバーセキュリティ企業であるNew Knowledge社とCanfield Research社、そしてコロンビア大学のTow Center for Digital Journalismの研究者が作成した。

- http://www.wired.com/story/russia-ira-propaganda-senate-report/
- http://www.bbc.com/news/technology-46590890
- http://www.cyberscoop.com/russian-information-operations-senate-intelligence-committee/
- http://www.washingtonpost.com/technology/2018/12/16/new-report-russian-disinformation-prepared-senate-shows-operations-scale-sweep/
- https://disinformationreport.blob.core.windows.net/disinformation-report/NewKnowledge-Disinformation-Report-Whitepaper.pdf

【編集者メモ】(Pescatore)
ロシアによる活動は、米大統領選挙に影響を与えるものだったが、同様の戦法は株価操作やブランドに対する攻撃にも使用されており、今後も使用されるだろう。これはマーケティング企業が、ブランドに対する攻撃の監視サービスや、見た目を変えた詐欺プログラム、重複を含む、ことが多いメール詐欺対策製品を採用している分野であり、企業のセキュリティチームが、自社の活動をチェックし、様々な努力を統合する活動ができる分野だ。
────────────────

◆ 米国の弾道ミサイル迎撃システムの検査において、サイバーセキュリティ上の問題が見つかる(2018.12.10 & 2018.12.14 & 2018.12.15 & 2018.12.17)
米国防省(DOD)監察総監室(OIG)の報告書によると、米国の弾道ミサイル迎撃システム(BMDS)には、十分なサイバーセキュリティ対策が実施されていないことが判明した。BMDSは、標的に到達する前にミサイル発射を検知、迎撃するよう設計されたシステムである。約5年前、DODの最高情報責任者(CIO)は、システム保護を目的として、NISTが公表したセキュリティ対策を実装するようDODに指示を出した。報告書には、BMDSの設備では多要素認証を完全に実装しきれておらず、送信されたデータを一貫して暗号化できていない上、複数の既知脆弱性に対してパッチが適用されていないと記載されている。BMDSの設備はさらに、「リムーバブルメディアに保存された機密情報を保護、監視」できておらず、内部ネットワークにおいて侵入を検知する能力も備えていなかった。

- http://threatpost.com/ballistic-missile-security-holes/140019/
- http://www.nextgov.com/cybersecurity/2018/12/poor-security-could-leave-us-defenseless-against-missile-attacks/153569/
- http://www.bleepingcomputer.com/news/security/us-ballistic-missile-defense-systems-fail-cybersecurity-audit/
- http://www.scmagazine.com/home/security-news/dod-inspector-general-finds-multiple-flaws-in-missile-defense-system-cybersecurity/
- http://www.dodig.mil/reports.html/Article/1713611/security-controls-at-dod-facilities-for-protecting-ballistic-missile-defense-sy/
────────────────

◆ 英政府通信本部(GCHQ)職員が、エンドツーエンド暗号化による問題を回避する方法を提唱(2018.11.29 & 2018.11.30)
「Principals for a More Informed Exceptional Access Debate」と題された評論において、英サイバーセキュリティセンターのテクニカルディレクターであるLan Levy氏と、GCHQの暗号解読テクニカルディレクターであるCrispin Robinson氏は、エンドツーエンド暗号化で保護された通信を、法執行機関が傍受する可能性について説明している。Levy氏とRobinson氏は、サービスプロバイダが法執行機関を、秘密裏にチャットや通話に追加することが可能だと指摘した。彼らは、「この方法は、現在法執行機関での使用が認められている伝統的な通話盗聴方法である、仮想ワニ口クリップよりも、邪魔にならない」と述べている。

- http://www.lawfareblog.com/principles-more-informed-exceptional-access-debate
- http://www.zdnet.com/article/gchq-details-how-law-enforcement-could-be-silently-injected-into-communications/
- http://techcrunch.com/2018/11/30/gchqs-not-so-smart-idea-to-spy-on-encrypted-messaging-apps-is-branded-absolute-madness/
────────────────

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃OUCH! 12月号「あなたは狙われている」について
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
あなたは、自身の情報や組織に価値がないからハッキングの被害に遭わないと思
っていませんか。サイバー攻撃者にとっては、ITを利用しているのであれば誰で
も価値があると判断しますが、最大の防御策をあなた自身が既に持っています。
今月は、サイバー攻撃の典型的な例と狙う理由について紹介し、セキュアな状態
にするためのアクションについて、一般ユーザ向け分かりやすく解説します。社
員の意識向上ツールとしてお使いください。
https://www.sans.org/sites/default/files/2018-12/201812-OUCH-December-Japanese.pdf
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

◆ Microsoft社は、悪用が確認されているIEの重大な脆弱性に対する緊急のアップデートを公開(2018.12.19 & 2018.12.20)
Microsoft社は、月例アップデートとは別に、Internet Explorer(IE)向けのセキュリティアップデートを公開した。この緊急パッチは、IEのスクリプトエンジンが、メモリ内のオブジェクトを処理する方法に起因するリモートコード実行の脆弱性を修正するものである。この脆弱性はすでに悪用が確認されており、IE 9、10、11が影響を受ける。アップデートは、Windows 7、8.1、10およびWindows Server 2008、2012、2016、2019向けに公開されている。Microsoft社は、Google社からこの脆弱性の存在を知らされたと述べている。

- http://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2018-8653#ID0EN
- http://blogs.technet.microsoft.com/msrc/2018/12/19/december-2018-security-update-release-2/
- http://www.theregister.co.uk/2018/12/19/microsoft_internet_explorer_cve_2018_8653/
- http://www.zdnet.com/article/microsoft-releases-security-update-for-new-ie-zero-day/
- http://www.cnet.com/news/microsoft-pushes-internet-explorer-update-to-stop-targeted-attacks/
- http://krebsonsecurity.com/2018/12/microsoft-issues-emergency-fix-for-ie-zero-day/
- http://threatpost.com/microsoft-ie-zero-day-gets-emergency-patch/140185/
- http://www.bleepingcomputer.com/news/security/microsoft-releases-out-of-band-security-update-for-internet-explorer-rce-zero-day/
- http://www.computerworld.com/article/3329717/microsoft-windows/microsoft-delivers-emergency-patch-for-under-attack-ie.html
────────────────

◆ Windowsのサンドボックス機能(2018.12.19)
今年初め、Microsoft社は企業ユーザ向けに、inPrivate Desktopという名のWindows10の機能を公開する予定であると発表した。この機能はWindows Sandboxと改名され、現在はWindows 10 Proのユーザにも公開されている。Microsoft社によると、Windows Sandboxは「自分のPCに対する影響が持続する心配なく、信頼されていないソフトウェアを実行できる隔離された、一時的なデスクトップ環境」である。

- http://arstechnica.com/gadgets/2018/12/windows-sandbox-marries-vm-isolation-to-container-efficiency-to-safely-run-dodgy-apps/
- http://www.bleepingcomputer.com/news/microsoft/microsofts-windows-sandbox-runs-programs-in-an-isolated-desktop/
- http://techcommunity.microsoft.com/t5/Windows-Kernel-Internals/Windows-Sandbox/ba-p/301849

【編集者メモ】(Murray)
iOSユーザは、長年サンドボックス機能を使用してきた。私のPCは、信頼されていないソフトウェアの実行を拒否したり、ダウンロードしたデータを解釈したりするように設定されており、私はウェブやメールの閲覧全てをiPadかiPhoneで行っている。仮想マシン(「隔離された、一時的な」安全な環境)内で、なぜか自動的に全てのURLを傍受し、解釈するソフトウェアが、長年相当な価格で販売されている。Microsoft社による、このような隔離された環境の提供は、遅かったが市場にもたらす影響は大きい。この機能はデフォルトで有効にされるべきだ。
────────────────

◆ 米航空宇宙産業のロビー活動グループが、政府契約業者向けに自発的なサイバーセキュリティ基準を公開(2018.12.10 & 2018.12.11)
米防衛関係機関の契約業者を代表して、ロビー活動を行う業界団体グループが、自発的なサイバーセキュリティ基準を公開した。同グループによると、この基準は「真のセキュリティ達成に向けた出発点を提供し、DODが現在設けている最低限の基準を達成するための手引きとなる」ものである。航空宇宙工業協会(Aerospace Industries Association:AIA)の基準は、データ保護、マルウェアからのシステム保護、訓練といった20の指標から成るチェックリストを提供する。各企業は任意で自社の状況を評価することができる。

- http://www.washingtonpost.com/business/2018/12/13/trade-group-pushes-voluntary-cybersecurity-standard-defense-contractors/
- http://www.aia-aerospace.org/news/aia-releases-cybersecurity-standard/
- http://www.aia-aerospace.org/issue/cyber-security/

【編集者メモ】(Neely)
この記事の内容は、契約業者のシステムが、サイバーセキュリティ上十分に保護されていることを確実なものとするため、各社がNIST SP 800-171の要求を満たし、その他のサイバーセキュリティ上の習慣にも従うための、行動基準を考案しようとするものだ。共通の行動基準一覧や実装の手引きを考案することは、業者が基準の意図を批判するために時間を費やすことを避け、要求事項を満たす別の習慣を探す手がかりを提供する。このような一覧を使用するには、実際に基準を実装する担当者が、変化を受け入れるだけでなく、実装によってどのような脅威が軽減されるのか理解するよう努める必要がある。

【編集者メモ】(Paller)
契約業者は、業界団体グループが、重要なセキュリティ基準の優先順位をつけた指針、実装の順序、実装の度合いを測るための自動化されたシステムを提供するまでは、この基準に従うべきではない。現状では、契約業者全体のセキュリティ向上ではなく、ただ紙の消費が増えるだけだ。
────────────────

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の無料セミナー・イベント        <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○2019年1月18日(金)、3月13日(水)
 ファイル交換・転送サービスの正しい選び方
 ~クラウドで業務効率・利便性とセキュリティを両立させるには~
https://www.nri-secure.co.jp/seminar/2019/file02.html?xmid=300&xlinkid=01

○2019年1月25日(金)、2月21日(木)
 Webの分離・無害化による運用の課題解決
 ~触って理解するMenlo Security~
https://www.nri-secure.co.jp/seminar/2019/isolation03.html?xmid=300&xlinkid=02

○2019年1月28日(月)
 【監査人が語る】内部不正からの情報漏洩を防ぐためのポイントとは
https://www.nri-secure.co.jp/seminar/2019/audit01.html?xmid=300&xlinkid=03

○2019年2月13日(水)、2019年3月6日(水)
 重要情報を守る!
 サイバー攻撃や内部不正からの情報漏洩を効率よく防ぐためのアクセス制御とは
 ~特権IDアクセス管理の事例とポイント~
https://www.nri-secure.co.jp/seminar/2019/ac06.html?xmid=300&xlinkid=04

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の有料研修               <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○2019年2月、3月
 CISSP CBKトレーニング
https://www.nri-secure.co.jp/service/learning/cissp_training.html?xmid=300&xlinkid=11

○2019年2月~3月
 SANS Secure Japan 2019
https://sans-japan.jp/secure_japan2019/index.html?xmid=300&xlinkid=12

○2019年3月
 セキュアEggs
 (IT+セキュリティ基礎/インシデント対応/フォレンジック/WEBアプリセキュリティ)
https://www.nri-secure.co.jp/service/learning/secureeggs.html?xmid=300&xlinkid=13

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃コラム(Secure SketCH ブログ) <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○サイバー攻撃の新たな流れ|攻撃者が狙う「お金儲け」の最新手法
https://www.secure-sketch.com/blog/cryptojacking?xmid=300&xlinkid=14

○セキュリティ会社の人事が語る、すぐにでも採用したい人材の特徴
https://www.secure-sketch.com/blog/interview-with-ubsecure-recruitment?xmid=300&xlinkid=15

○パスワード不要の認証「WebAuthn」とは?|「FIDO」の構成技術を解説
https://www.secure-sketch.com/blog/what-is-webauthn?xmid=300&xlinkid=16

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃ebook(無料ダウンロード)  <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○デジタル化時代のセキュリティ基盤
 - 再考を要するサイバーセキュリティ対策の在り方-
https://www.secure-sketch.com/ebook-download/security-infrastructure-in-digitalization?xmid=300&xlinkid=18

○セキュリティの勘所~品質管理編~
https://www.secure-sketch.com/download/quality-management?xmid=300&xlinkid=19

○セキュリティの勘所~上流設計編~
https://www.secure-sketch.com/download/upstream-design?xmid=300&xlinkid=20

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃お知らせ                     <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○NRIセキュアとユービーセキュア、ガートナー社
 「日本におけるアプリケーション/データ・セキュリティと
  IAMのハイプ・サイクル」に、関連プレーヤーとして掲載
https://www.nri-secure.co.jp/news/2018/1220.html?xmid=300&xlinkid=21

○セキュリティログ監視サービス(NeoSOC)が、クラウド型Webセキュリティ
 ソリューション「Zscaler Internet Access」の監視に対応
https://www.nri-secure.co.jp/news/2018/1217.html?xmid=300&xlinkid=22

○情報セキュリティの監視やインシデント対応の自動化・高度化を支援する
 サービスを提供開始
https://www.nri-secure.co.jp/news/2018/1205.html?xmid=300&xlinkid=23

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃Secure SketCH 無料登録受付中 <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○30分でわかる!貴社に必要なセキュリティ対策
https://www.secure-sketch.com/?xmid=300&xlinkid=25

--

NRI Secure SANS NewsBites 日本版は、米国の情報セキュリティの専門機関であるSANS Instituteが配信するコンテンツ (SANS NewsBites)をベースに、NRIセキュアテクノロジーズが編集してお届けしています。 世界中でこの1週間に起こったセキュリティのあらゆるトピックと専門家のコメントが掲載されています。原版は、およそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュースソースとして活用されています。組織のセキュリティ管理に関する参考情報としてお役立てください。掲載されている情報は、e-mailを介して自由に他の方に再送していただいて結構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望される方は、弊社ホームページの以下のページよりお申込みください。
https://www.nri-secure.co.jp/news_letter/

本ニュースレターは、メールマガジン配信を申し込まれた方、弊社からの情報を希望された方、SANS関連のイベントに参加された方、その他イベント等において弊社講演枠に登録された方に配信しています。
今後、配信をご希望されない方は会社名と御氏名を本文に明記のうえ、件名に【配信不要】、配信先変更をご希望の方は【配信先変更希望】とご記入頂き、新旧のご連絡先も記載のうえ、info@sans-japan.jpまでご返信をお願い致します。なお、情報の反映までにお時間を頂戴する場合がございます。