NRI Secure SANS NewsBites 日本版

Vol.14 No.03 2019年1月25日発行

──────────────────────────
■■SANS NewsBites Vol.14 No.03
(原版: 2019年 1 月 15日、18日 )
──────────────────────────


┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 2┃0┃1┃9┃年┃2┃月┃東┃京┃開┃催┃
 ━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛
 S┃A┃N┃S┃ト┃レ┃ー┃ニ┃ン┃グ┃
 ━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛
 開┃催┃ま┃で┃残┃3┃週┃間┃!┃
 ━┛━┛━┛━┛━┛━┛━┛━┛━┛
 ま┃だ┃間┃に┃合┃い┃ま┃す┃
 ━┛━┛━┛━┛━┛━┛━┛━┛

【SANS Secure Jpaan2019】全10コース実施予定
  https://sans-japan.jp/secure_japan2019/index.html

開催日:2019/2/18(月)~2019/2/23(土)
[ SEC401 ]:Security Essentials Bootcamp Style
[ SEC560 ]:Network Penetration Testing and Ethical Hacking
[ FOR585 ]:Advanced Smartphone Forensics
[ FOR500 ]:Windows Forensic Analysis

開催日:2019/2/18(月)~2019/2/22(金)
[ ICS410 ]:ICS/SCADA Security Essentials

開催日:2019/2/25(月)~2019/3/2(土)
[ SEC504 ]:Hacker Tools, Techniques, Exploits and Incident Handling
[ SEC511 ]:Continuous Monitoring and Security Operations
[ SEC642 ]:Advanced Web App Penetration Testing, Ethical Hacking,
and Exploitation Techniques
[ FOR508 ]:Advanced Digital Forensics, Incident Response, and Threat Hunting
[ FOR610 ]:Reverse-Engineering Malware:Malware Analysis Tools and Techniques

┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛


◆ 政府閉鎖により、一部政府機関のTLS証明書が更新されずにいる(2019.1.12)
米国の政府閉鎖による影響の一つは、複数の政府機関のウェブサイトでTLS証明書が期限切れとなっている。これは、今後これらのウェブサイトが、複数のブラウザからアクセス不可能になったり、安全でないと識別される可能性があることを意味している。政府閉鎖により、NASAや米司法省のウェブサイトを含む、少なくとも80の証明書が更新されていない。

- http://www.darkreading.com/vulnerabilities-and-threats/government-shutdown-brings-certificate-lapse-woes/d/d-id/1333641
- http://www.cnet.com/news/shutdown-government-sites-with-lapsed-security-certificates-pose-risk/
- http://fcw.com/articles/2019/01/11/dotgov-certificates-expire-rockwell.aspx
- http://threatpost.com/u-s-government-shutdown-leaves-dozens-of-gov-websites-vulnerable/140782/

【編集者メモ】(Williams)
政府機関のウェブサイトにおける証明書の期限切れが連日報道されているが、本当に危惧すべきことは、私たちの目に見えない部分にある。証明書更新のような、基本的なサイバーセキュリティ上の対策が政府機関のネットワークで行われていないのであれば、政府閉鎖中にパッチ適用やその他メンテナンスが全て行われていないことも考えられる。報道では、政府機関のウェブサイトの多くが、2019年においても証明書の更新を手作業で行っていると指摘されている。この証明書更新プロセスは、これを機に自動化されるべきだ。最終的にChromeでは証明書エラーが表示された際に、画面上で「thisisunsafe」と入力すると、HSTSを回避してウェブサイトを
閲覧できてしまう。

【編集者メモ】(Neely)
政府機関はBOD 18-01をサポートする努力を続けてきたが、証明書期限切れのニュースは、改修後のセキュリティ体制を保全する担当職員の必要性を浮き彫りにしている。いくつかの政府機関はウェブサイトの表示を、政府閉鎖の解消までオフラインであるという内容に差し替えたが、期限切れの証明書を使用することに価値は無いし、BOD 18-01に従いアップデートされたセキュリティにおいては、TLSを使用しないサイトへの接続が認められない。
────────────────

◆ ロシアのハッカーが、政府契約業者や下請け業者を利用し、米国の電力網を標的としていた(2019.1.10)
Wall Street Journalの記事では、ロシアのハッカーがどのようにして、小規模の企業を介して、米国の電力網に関係のあるシステムへの侵入を試みたかを詳細に記載している。「正面から電力網を攻撃するのではなく、ハッカーはシステムの中でも保護されていない弱点を突いてきた。つまり、外国の攻撃者に対して注意を払う必要性の無い政府契約業者や下請け業者を標的とした。」ハッカーは水飲み場型攻撃やフィッシング攻撃を用い、標的へのアクセス権取得を試みていた。
(Wall Street Journalの記事は有料です。)

- http://www.wsj.com/articles/americas-electric-grid-has-a-vulnerable-back-doorand-russia-walked-through-it-11547137112
────────────────

◆ MozillaがNPAPIを無効化し、Flashのサポートを終了する(2019.1.13 & 2019.1.14)
Mozillaが今年中の公開を予定しているFirefox 69は、デフォルトでAdobe Flashプラグインをサポートしない。Flashは、Firefoxでサポートされている唯一のNPAPIプラグインである。1年以上前、Adobe社は、2020年までにFlash Playerのサポートを終了する考えであることを発表した。Firefox 69の安定板は、2019年9月に公開される見込み。

- http://developer.mozilla.org/en-US/docs/Plugins/Roadmap
- http://www.zdnet.com/article/mozilla-firefox-69-will-disable-adobe-flash-plugin-by-default/
- http://news.softpedia.com/news/mozilla-to-disable-flash-in-firefox-69-524528.shtml
- http://www.bleepingcomputer.com/news/software/mozilla-to-disable-flash-plugin-by-default-in-firefox-69/
- http://threatpost.com/flash-default-mozilla-firefox-69/140814/

【編集者メモ】(Neely)
この変更は、Firefox ESR 60.9.0にも適用される。9月以降もNPAPIやFlashプラグインのサポートが必要な企業は、危険にさらすことを抑えるため、アプリケーションへのアクセス制限が可能な、ホスト上もしくは仮想環境でのブラウザ機能を展開する必要があるだろう。
────────────────

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃OUCH! 1月号「インターネットで自分自身を検索する」について
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
あなたは、自分自身のプライバシーや共有する情報の保護が大切だという話を耳
にしたことがあるはずです。しかし、実際にインターネット上から取得できる情
報にどのようなものがあるのかを調べたことがある方は少数かもしれません。
今週は、インターネット上に公開されている情報から、どのような情報を入手す
ることができるのか、その検索テクニックなどについて一般ユーザ向け分かりや
すく解説します。社員の意識向上ツールとしてお使いください。
https://www.sans.org/sites/default/files/2019-01/201901-OUCH-January-Japanese.pdf
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

◆ 世界経済フォーラムの報告書:データ漏洩とサイバー攻撃がグローバルリスクの上位5つに挙げられる(2019.1.16)
世界経済フォーラム(WEF)のGlobal Risks Report 2019では、気候変動とともに、大規模サイバー攻撃とデータ窃取に関するインシデントがグローバルリスクの上位に挙げられている。報告書には、サイバー攻撃が重要インフラにもたらすリスクや、個人情報窃取やプライバシーの侵害に対して高まる懸念について記載されている。

- http://www.zdnet.com/article/data-breaches-cyber-attacks-are-top-global-risks-alongside-natural-disasters-and-climate-change/
- http://www.weforum.org/reports/the-global-risks-report-2019
- http://www3.weforum.org/docs/WEF_Global_Risks_Report_2019.pdf
────────────────

◆ 韓国が、兵器関連のサーバが侵入された事実を公表(2019.1.16 & 2019.1.17)
韓国国防省は、軍が保有する兵器や、弾薬の取得に関する情報が保存されているシステムが侵入されたと公表した。攻撃者は、防衛事業庁(DAPA)が保有する30台のサーバへのアクセスを試み、10台への侵入に成功した。最初の侵入は2018年10月4日に発生し、10月26日に攻撃者の存在が検知された。

- http://www.theregister.co.uk/2019/01/17/south_korea_defense_ministryt_hacked/
- http://www.zdnet.com/article/hackers-breach-and-steal-data-from-south-koreas-defense-ministry/

【編集者メモ】(Paller)
炭鉱のカナリアのような話だ。米海軍第10艦隊の最初の司令官(サイバー戦部隊、Bernie McCullough大将)は、戦略国際問題研究所が招集したグループに対し、米国は動的兵器の分野で他を圧倒しているが、他国は、兵器から発射される弾の着弾場所の信頼性を決めている、指令や制御に関するシステムへの攻撃に、米国の4倍の資金を投入していると述べた。

【編集者メモ】(Neely)
この攻撃は、DAPAの情報漏洩対策を効果的に無効化し、外部からの文書の抽出を可能にした。システムへの侵入が約3週間後に検知されたという事実は、検知と対応能力の増強が、今回の失敗に対する適切な軽減策であることを示している。
────────────────

◆ 女性サイバーセキュリティ人材の早期発掘:米国と英国が、サイバーセキュリティ分野における才能を持った若い女性を発掘するためのプログラムを発表(2019.1.16 & 2019.1.17)
女子高校生向けの2019 Girls Go CyberStartプログラムの受付を、米国26の州で2月中旬に開始する。参加者は、3月初旬から全てオンラインでプログラムを進める。2018年のCyberStart for Girlsには、16の州から6500人の若い女性が参加した。12歳と13歳の女性が参加できる英国のCyberFirst Girlsは、1月23日に受付を締め切る。英国のプログラムでは、1月下旬にオンラインラウンドが始まり、3月下旬に優秀者が会場に集い、グランドファイナル競技を行う。米国のプログラムでは、最初のラウンドで優秀な成績を修めた参加者が、本人が所属する学校の生徒全員向けの、完全なCyberStartゲームへの年度内のアクセス権を、さらに本人と学校が15万USドルを獲得する。

- http://www.nbcnews.com/news/us-news/jobs-cybersecurity-are-exploding-why-aren-t-women-picture-n865206
- http://www.sans.org/CyberStartUS/girls-go-cyberstart-feedback
- http://www.cyberfirst.ncsc.gov.uk/
- http://www.ncsc.gov.uk/news/girls-urged-join-tide-young-people-pursuing-gchq-cyber-pipeline-path
- http://www.bbc.com/news/education-46893352
- http://www.reuters.com/article/us-britain-women-cyber/uk-intelligence-agency-launches-new-mission-to-train-girls-in-cyber-skills-idUSKCN1PB2I2

【編集者メモ】(Paller)
私が見てきた中で最高の侵入検知アナリストの名前は、VickieとJudyだ。2人とも、この業界で認められるようになるまでに、性別に関する高い壁を乗り越えなければならなかった。Girls Go CyberStartやCyberFirst Girlsのようなプログラムは、そうした壁を取り除くために必要だ。

【編集者メモ】(Pescatore)
SANSは、女性やマイノリティの人々のサイバーセキュリティ分野への挑戦を推進している。ある日記者が私に、社会貢献の他に、企業のセキュリティプログラムにおける利点は何があるのかという質問をした。私は彼に、私の経験上、ビジネスやセキュリティにおける最悪の判断の多く(おそらくはほとんど)は、集団思考に端を発していたと答えた。多種多様な視点や経験が無いと、より良い戦略や行動を検討することすらできない結果となる。
────────────────

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の無料セミナー・イベント        <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○2月13日(水)、2019年3月6日(水)
 重要情報を守る!
 サイバー攻撃や内部不正からの情報漏洩を効率よく防ぐためのアクセス制御とは
 ~特権IDアクセス管理の事例とポイント~
https://www.nri-secure.co.jp/seminar/2019/ac06.html?xmid=300&xlinkid=02

○2月21日(木)
 Webの分離・無害化による運用の課題解決
 ~触って理解するMenlo Security~
https://www.nri-secure.co.jp/seminar/2019/isolation03.html?xmid=300&xlinkid=01

○2月28日(木)
 SANSコミュニティナイトセッション
 - Malware Vaccination: Its Potential and Limitations -
 (マルウェア感染予防の可能性と限界)
https://www.nri-secure.co.jp/seminar/2019/sans01.html?xmid=300&xlinkid=03

○3月13日(水)
 ファイル交換・転送サービスの正しい選び方
 ~クラウドで業務効率・利便性とセキュリティを両立させるには~
https://www.nri-secure.co.jp/seminar/2019/file02.html?xmid=300&xlinkid=04

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の有料研修               <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○2月、3月
 CISSP CBKトレーニング
https://www.nri-secure.co.jp/service/learning/cissp_training.html?xmid=300&xlinkid=11

○2月~3月
 SANS Secure Japan 2019
https://sans-japan.jp/secure_japan2019/index.html?xmid=300&xlinkid=12

○3月
 セキュアEggs
 (IT+セキュリティ基礎/インシデント対応/フォレンジック/WEBアプリセキュリティ)
https://www.nri-secure.co.jp/service/learning/secureeggs.html?xmid=300&xlinkid=13

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃コラム(Secure SketCH ブログ) <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○【事例】GDPRで制裁金が課せられたケースと求められるセキュリティ対策
https://www.secure-sketch.com/blog/case-of-gdpr-penalties?xmid=300&xlinkid=14

○セキュリティ対策の考え方<前編>|全体俯瞰で「バランス」を取る
https://www.secure-sketch.com/blog/concept-of-security-measures-part1?xmid=300&xlinkid=15

○IoTセキュリティは『脅威』の分析から|現場で使える実践ステップを解説
https://www.secure-sketch.com/blog/iot-threat-analysis-method?xmid=300&xlinkid=16

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃ebook(無料ダウンロード)  <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○デジタル化時代のセキュリティ基盤
 - 再考を要するサイバーセキュリティ対策の在り方-
https://www.secure-sketch.com/ebook-download/security-infrastructure-in-digitalization?xmid=300&xlinkid=17

○テレワーク時代のサイバーセキュリティ
 -エンドポイントセキュリティの重要性-
https://www.secure-sketch.com/ebook-download/endpoint-detection-and-response?xmid=300&xlinkid=18

○セキュリティの勘所~品質管理編~
https://www.secure-sketch.com/download/quality-management?xmid=300&xlinkid=19

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃お知らせ                     <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○NRIセキュア、米大手独立系調査会社のレポートでアジア太平洋地域の
 代表的なマネージドセキュリティサービスベンダーとして紹介
https://www.nri-secure.co.jp/news/2019/0124.html?xmid=300&xlinkid=21

○ガートナー社のレポート
 「マーケットガイド:デジタルフォレンジック調査/インシデントレスポンス」
 において代表的グローバルベンダーの1社として掲載
https://www.nri-secure.co.jp/news/2019/0121.html?xmid=300&xlinkid=22

○NRIセキュアとユービーセキュア、ガートナー社
 「日本におけるアプリケーション/データ・セキュリティと
  IAMのハイプ・サイクル」に、関連プレーヤーとして掲載
https://www.nri-secure.co.jp/news/2018/1220.html?xmid=300&xlinkid=23

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃Secure SketCH 無料登録受付中 <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○30分でわかる!貴社に必要なセキュリティ対策
https://www.secure-sketch.com/?xmid=300&xlinkid=25

--

NRI Secure SANS NewsBites 日本版は、米国の情報セキュリティの専門機関であるSANS Instituteが配信するコンテンツ (SANS NewsBites)をベースに、NRIセキュアテクノロジーズが編集してお届けしています。 世界中でこの1週間に起こったセキュリティのあらゆるトピックと専門家のコメントが掲載されています。原版は、およそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュースソースとして活用されています。組織のセキュリティ管理に関する参考情報としてお役立てください。掲載されている情報は、e-mailを介して自由に他の方に再送していただいて結構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望される方は、弊社ホームページの以下のページよりお申込みください。
https://www.nri-secure.co.jp/news_letter/

本ニュースレターは、メールマガジン配信を申し込まれた方、弊社からの情報を希望された方、SANS関連のイベントに参加された方、その他イベント等において弊社講演枠に登録された方に配信しています。
今後、配信をご希望されない方は会社名と御氏名を本文に明記のうえ、件名に【配信不要】、配信先変更をご希望の方は【配信先変更希望】とご記入頂き、新旧のご連絡先も記載のうえ、info@sans-japan.jpまでご返信をお願い致します。なお、情報の反映までにお時間を頂戴する場合がございます。