NRI Secure SANS NewsBites 日本版

Vol.14 No.02 2019年1月16日発行

──────────────────────────
■■SANS NewsBites Vol.14 No.02
(原版: 2019年 1 月 8日、11日 )
──────────────────────────


┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 2┃0┃1┃9┃年┃2┃月┃東┃京┃開┃催┃
 ━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛
 S┃A┃N┃S┃ト┃レ┃ー┃ニ┃ン┃グ┃
 ━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛
 ま┃だ┃ま┃だ┃受┃付┃中┃で┃す┃
 ━┛━┛━┛━┛━┛━┛━┛━┛━┛

【SANS Secure Jpaan2019】全10コース実施予定
  https://sans-japan.jp/secure_japan2019/index.html

開催日:2019/2/18(月)~2019/2/23(土)
[ SEC401 ]:Security Essentials Bootcamp Style
[ SEC560 ]:Network Penetration Testing and Ethical Hacking
[ FOR585 ]:Advanced Smartphone Forensics
[ FOR500 ]:Windows Forensic Analysis

開催日:2019/2/18(月)~2019/2/22(金)
[ ICS410 ]:ICS/SCADA Security Essentials

開催日:2019/2/25(月)~2019/3/2(土)
[ SEC504 ]:Hacker Tools, Techniques, Exploits and Incident Handling
[ SEC511 ]:Continuous Monitoring and Security Operations
[ SEC642 ]:Advanced Web App Penetration Testing, Ethical Hacking,
and Exploitation Techniques
[ FOR508 ]:Advanced Digital Forensics, Incident Response, and Threat Hunting
[ FOR610 ]:Reverse-Engineering Malware:Malware Analysis Tools and Techniques

┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛


◆ 米国家防諜セキュリティセンターの活動は、組織がハッカーからシステムを守る手助けをすることを目標としている(2019.1.7)
米国家防諜セキュリティセンター(NCSC)の活動の一つは、企業や団体が、国家の支援を受けた外国からのサイバー攻撃から、資産を守る際の手助けとなるよう構成されている。NCSCは、企業や団体がサプライチェーンへの脅威、フィッシング攻撃の脅威、産業あるいは知的財産に関するスパイ活動から身を守るための、動画やパンフレット、ポスターを含む資料を提供している。NCSCは、米国家情報長官室(ODNI)傘下の組織である。

- http://thehill.com/policy/cybersecurity/424166-national-security-center-launches-program-to-help-us-firms-guard-against
- http://www.bleepingcomputer.com/news/security/ncsc-starts-campaign-to-help-industry-fight-foreign-state-threats/
- http://www.dni.gov/index.php/ncsc-newsroom/item/1938-national-counterintelligence-and-security-center-launches-campaign-to-help-private-industry-guard-against-threats-from-nation-state-actors
- http://www.dni.gov/index.php/ncsc-how-we-work/ncsc-know-the-risk-raise-your-shield/ncsc-awareness-materials

【編集者メモ】(Neely)
記事の内容は企業が、脅威や脅威の軽減策について質の高い資料を得る機会だ。提供されるデータは、これまでこのようなデータをサイバーセキュリティ対策に活用できていなかった企業や団体に、データが示す脅威に対する対策が必要であることを意識させるものであるべきだ。

【編集者メモ】(Henry)
経営者や従業員の教育は重要であり、私は、ODNIが攻撃者の動機や、攻撃が経済に与える影響に関する情報を提供していることについて、嬉しく思う。しかし提供されているセキュリティの手引きは、初歩的なものだ(「絶対に怪しいリンクをクリックしてはいけない」など)。民間部門との率先したインテリジェンスの収集や、リアルタイムでのIOC(攻撃が行われたことを示す痕跡)やTTP(戦術、技術、および手順:tactics, techniques, and procedures)の共有に向け、政府が具体的な行動を起こすことを期待したい。
────────────────

◆ サイバーセキュリティは2019年に経営者が重要視するスキルの1つ(2019.1.7)
2つのアンケート調査結果によると、2019年のサイバーセキュリティ人材雇用の見通しは明るい。The Hays 2019 US Salary Guideの調査によると、70%近くの経営者が、2019年のIT部門の正社員雇用増強を検討しており、半数以上が、特にクラウドコンピューティングやサイバーセキュリティの技術を持ったコンサルタントの雇用増強を考えている。Foote Partners社は、AIやサイバーセキュリティ分野の大幅な市場拡大を予測している。

- http://www.zdnet.com/article/tech-skills-in-the-most-demand-this-year-data-cloud-and-cybersecurity/

【編集者メモ】(Northcutt)
Foote Partners社は20年間に渡り、確かにサイバーセキュリティ産業と、技術とそれらの技術を証明する認定に関する人的資源のバランスの動向を追っている。
────────────────

◆ ドイツの政治家の個人情報がツイッター上に漏洩(2019.1.4 & 2019.1.6)
ハッカー集団が、盗んだツイッターアカウントを介して、ドイツの政治家やジャーナリスト、その他著名人の個人情報を流出させた。窃取されたデータには、電話番号、住所、チャット履歴、支払いカード情報、ボイスメールが含まれる。この事件を捜査しているドイツの関係機関は、これまで目撃者とされてきた、IT関連の仕事に従事する人物のアパートを捜索したとしている。

- http://www.wired.com/story/germany-hacking-politicians-personal-information/
- http://www.reuters.com/article/us-germany-politics-cyber-police/german-police-search-flat-of-19-year-old-man-after-data-breach-rbb-idUSKCN1P10EQ

【編集者メモ】(Ullrich)
多くの初期報道では、国家の支援を受けた人物や、技術力の高い人物が攻撃者ではないかとされていたが、両親と暮らしている20歳の学生が今日逮捕された。彼は複数の政治家の発言に不満を持ち、一人で事件を起こしたと供述しており、またそのように考えられている。私は、今回の事件は、攻撃が発生した際に犯人を初期段階で特定することへの教訓であり、「いくつかの」機微な情報にアクセスすることは
、そこまで難しいことではないという事実を示すものであると思う。彼はセキュアなネットワークに侵入したわけではなく、クラウドベースのメールや、ドイツの重要な政治家と親交のある人物のソーシャルメディアのアカウントに標的を絞っていた。この事件の重要参考人を名乗っており、犯人を知っていたと言う人物はツイッターで、過去に攻撃者は、ドイツのウェブメールプロバイダである、GMXのパスワードリセット機能に関する脆弱性を悪用していたと述べた。攻撃者はウェブメールアカウントへのアクセスを利用し、その後他のアカウントのパスワードを変更していた。
Jan Schurlein氏:http://twitter.com/Janomine/status/1082357281751212032
────────────────

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃OUCH! 1月号「インターネットで自分自身を検索する」について
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
あなたは、自分自身のプライバシーや共有する情報の保護が大切だという話を耳
にしたことがあるはずです。しかし、実際にインターネット上から取得できる情
報にどのようなものがあるのかを調べたことがある方は少数かもしれません。
今週は、インターネット上に公開されている情報から、どのような情報を入手す
ることができるのか、その検索テクニックなどについて一般ユーザ向け分かりや
すく解説します。社員の意識向上ツールとしてお使いください。
https://www.sans.org/sites/default/files/2019-01/201901-OUCH-January-Japanese.pdf
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

◆ NotPetyaによって受けた被害に対し、1億USドルを支払わなかったとして、Mondelez社が保険会社を告訴(2019.1.10)
米食品関連企業Mondelez社が、マルウェアNotPetyaによって受けた被害について、請求した1億USドルの支払いを拒否した保険会社Zurich社を告訴した。裁判文書によると、Mondelez社のシステムはNotPetyaによる被害を二度受け、1700台のサーバと2万4千台のノートパソコンが使用不能となった。同社のシステムは回復不能の障害に陥り、Mondelez社に多額のコストが生じた。しかしZurich社は、本件は政府や主権国家、または政府や国家の支援で活動している人物による「敵対するまたは戦争を引き起こすような活動」であり、免責事項に該当するとして支払いを拒否した。

- http://www.irishtimes.com/business/technology/mondelez-sues-zurich-over-100m-cyberhack-insurance-claim-1.3753475

【編集者メモ】(Pescatore)
サイバーセキュリティ保険の請求が、「既知の欠陥」(保険適用開始前のパッチ未適用など)や戦争行為を理由に拒否されることは珍しくない。事実私が見てきた中で、投資収益率(ROI)がプラスであるサイバーセキュリティ保険は、保険の掛け金と免責額を実際の支払いで考慮してみると、ほとんどありえない。サイバーセキュリティ保険が、リスクの転嫁に対して一定のリスクのみ軽減するという事実は、自家保険のほうが大抵の場合は安価であることを意味している。また重要なポイントとして、ネットワークへの侵入を阻止するための費用は大抵の場合、数年分のサイバーセキュリティ保険費用や一度のインシデントにおける自己負担額よりも低額
であることを述べておく。

【編集者メモ】(Murray)
リスクについて私たちができることは3つある。軽減する、起きて当然のことと考える、保険を利用して他の者に転嫁するという3つだ。攻撃のような予見可能で発生の可能性が高いリスクについては、リスクの軽減が大抵最も効果的な手段だ。保険は他の手段を用いた後で、残存するリスク、つまり発生確率は低いが、企業の健全性に対する脅威となるような、重大な結果を招く恐れがあるものに対して適用す
るものだ。保険は時間や他人にリスクを分散する手段だが、保険企業は営利団体だ。そのため、大抵のことに関しては、リスクの軽減ほど効率的なものになり得ない。
────────────────

◆ ボストン小児病院へのDDoS攻撃について、被告人に対し禁錮10年を宣告(2019.1.10)
ボストンの地方裁判所判事は、2014年にボストン小児病院を含む複数の病院施設に対して、分散DoS(DDoS)攻撃を展開した罪で、Martin Gottesfeld被告人に対し10年1か月の禁錮刑を宣告した。2018年8月、連邦陪審はGottesfeld被告人に対し、保護されたコンピュータへの攻撃を画策した罪と、実際に保護されたコンピュータに被害を与えた罪で有罪判決を下していた。

- http://www.reuters.com/article/us-massachusetts-cyber/massachusetts-man-gets-10-years-in-prison-for-hospital-cyberattack-idUSKCN1P42J8
- http://www.justice.gov/usao-ma/pr/jury-convicts-man-who-hacked-boston-childrens-hospital-and-wayside-youth-family-support
────────────────

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の無料セミナー・イベント        <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○1月25日(金)、2月21日(木)
 Webの分離・無害化による運用の課題解決
 ~触って理解するMenlo Security~
https://www.nri-secure.co.jp/seminar/2019/isolation03.html?xmid=300&xlinkid=01

○2月13日(水)、2019年3月6日(水)
 重要情報を守る!
 サイバー攻撃や内部不正からの情報漏洩を効率よく防ぐためのアクセス制御とは
 ~特権IDアクセス管理の事例とポイント~
https://www.nri-secure.co.jp/seminar/2019/ac06.html?xmid=300&xlinkid=02

○2月28日(木)
 SANSコミュニティナイトセッション
 - Malware Vaccination: Its Potential and Limitations -
 (マルウェア感染予防の可能性と限界)
https://www.nri-secure.co.jp/seminar/2019/sans01.html?xmid=300&xlinkid=03

○3月13日(水)
 ファイル交換・転送サービスの正しい選び方
 ~クラウドで業務効率・利便性とセキュリティを両立させるには~
https://www.nri-secure.co.jp/seminar/2019/file02.html?xmid=300&xlinkid=04

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の有料研修               <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○2月、3月
 CISSP CBKトレーニング
https://www.nri-secure.co.jp/service/learning/cissp_training.html?xmid=300&xlinkid=11

○2月~3月
 SANS Secure Japan 2019
https://sans-japan.jp/secure_japan2019/index.html?xmid=300&xlinkid=12

○3月
 セキュアEggs
 (IT+セキュリティ基礎/インシデント対応/フォレンジック/WEBアプリセキュリティ)
https://www.nri-secure.co.jp/service/learning/secureeggs.html?xmid=300&xlinkid=13

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃コラム(Secure SketCH ブログ) <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○今、アプリケーションエンジニアがセキュリティエンジニアを目指すべき理由
https://www.secure-sketch.com/blog/reasons-to-aim-for-security-engineer?xmid=300&xlinkid=14

○セキュリティ事故の事例から学ぶ、防げたはずのサイバー攻撃
https://www.secure-sketch.com/blog/case-study-of-security-incident?xmid=300&xlinkid=15

○どうする?海外拠点のセキュリティ対策状況評価
https://www.secure-sketch.com/blog/security-assessment-of-overseas-bases?xmid=300&xlinkid=16

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃ebook(無料ダウンロード)  <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○デジタル化時代のセキュリティ基盤
 - 再考を要するサイバーセキュリティ対策の在り方-
https://www.secure-sketch.com/ebook-download/security-infrastructure-in-digitalization?xmid=300&xlinkid=18

○セキュリティの勘所~品質管理編~
https://www.secure-sketch.com/download/quality-management?xmid=300&xlinkid=19

○セキュリティの勘所~上流設計編~
https://www.secure-sketch.com/download/upstream-design?xmid=300&xlinkid=20

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃お知らせ                     <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○NRIセキュアとユービーセキュア、ガートナー社
 「日本におけるアプリケーション/データ・セキュリティと
  IAMのハイプ・サイクル」に、関連プレーヤーとして掲載
https://www.nri-secure.co.jp/news/2018/1220.html?xmid=300&xlinkid=21

○セキュリティログ監視サービス(NeoSOC)が、クラウド型Webセキュリティ
 ソリューション「Zscaler Internet Access」の監視に対応
https://www.nri-secure.co.jp/news/2018/1217.html?xmid=300&xlinkid=22

○情報セキュリティの監視やインシデント対応の自動化・高度化を支援する
 サービスを提供開始
https://www.nri-secure.co.jp/news/2018/1205.html?xmid=300&xlinkid=23

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃Secure SketCH 無料登録受付中 <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○30分でわかる!貴社に必要なセキュリティ対策
https://www.secure-sketch.com/?xmid=300&xlinkid=25

--

NRI Secure SANS NewsBites 日本版は、米国の情報セキュリティの専門機関であるSANS Instituteが配信するコンテンツ (SANS NewsBites)をベースに、NRIセキュアテクノロジーズが編集してお届けしています。 世界中でこの1週間に起こったセキュリティのあらゆるトピックと専門家のコメントが掲載されています。原版は、およそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュースソースとして活用されています。組織のセキュリティ管理に関する参考情報としてお役立てください。掲載されている情報は、e-mailを介して自由に他の方に再送していただいて結構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望される方は、弊社ホームページの以下のページよりお申込みください。
https://www.nri-secure.co.jp/news_letter/

本ニュースレターは、メールマガジン配信を申し込まれた方、弊社からの情報を希望された方、SANS関連のイベントに参加された方、その他イベント等において弊社講演枠に登録された方に配信しています。
今後、配信をご希望されない方は会社名と御氏名を本文に明記のうえ、件名に【配信不要】、配信先変更をご希望の方は【配信先変更希望】とご記入頂き、新旧のご連絡先も記載のうえ、info@sans-japan.jpまでご返信をお願い致します。なお、情報の反映までにお時間を頂戴する場合がございます。