NRI Secure SANS NewsBites 日本版

Vol.14 No.05 2019年2月5日発行

──────────────────────────
■■SANS NewsBites Vol.14 No.05
(原版: 2019年 1 月 29日、2 月 1日 )
──────────────────────────


┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 2┃0┃1┃9┃年┃2┃月┃東┃京┃開┃催┃
 ━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛
 S┃A┃N┃S┃ト┃レ┃ー┃ニ┃ン┃グ┃
 ━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛
 開┃催┃ま┃で┃残┃2┃週┃間┃!┃
 ━┛━┛━┛━┛━┛━┛━┛━┛━┛
 ま┃だ┃間┃に┃合┃い┃ま┃す┃
 ━┛━┛━┛━┛━┛━┛━┛━┛

【SANS Secure Jpaan2019】全10コース実施予定
  https://sans-japan.jp/secure_japan2019/index.html

■◇とくにおすすめコース◇■

★FOR610:Reverse-Engineering Malware:Malware Analysis Tools and Techniques
本コースは、SANS界にとどまらず世界のマルウェア解析といえば、Mr.Zeltserといわれるほど世界的に有名なインストラクターが担当します。
日本初来日、Mr.Zeltserの講義が受けられる最高のチャンスです。

ぜひご検討の程よろしくお願いいたします。

https://www.sans.org/event/secure-japan-2019/instructors/lenny-zeltser


開催日:2019/2/18(月)~2019/2/23(土)
[ SEC401 ]:Security Essentials Bootcamp Style
[ SEC560 ]:Network Penetration Testing and Ethical Hacking
[ FOR585 ]:Advanced Smartphone Forensics
[ FOR500 ]:Windows Forensic Analysis

開催日:2019/2/18(月)~2019/2/22(金)
[ ICS410 ]:ICS/SCADA Security Essentials

開催日:2019/2/25(月)~2019/3/2(土)
[ SEC504 ]:Hacker Tools, Techniques, Exploits and Incident Handling
[ SEC511 ]:Continuous Monitoring and Security Operations
[ SEC642 ]:Advanced Web App Penetration Testing, Ethical Hacking,
and Exploitation Techniques
[ FOR508 ]:Advanced Digital Forensics, Incident Response, and Threat Hunting
[ FOR610 ]:Reverse-Engineering Malware:Malware Analysis Tools and Techniques

┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛


◆ 日本政府が家庭用IoT機器をハッキングする(2019.1.25 & 2019.1.27)
最近成立した法改正により、日本政府は、安全ではないIoT機器調査のため、家庭用IoT機器にアクセスすることが可能となる。改正に従い情報通信研究機構(NICT)は、デフォルトのパスワードやパスワード記載の辞書ファイルを用いて家庭用機器にアクセスし、調査後に関係当局の間で共有し消費者に注意を促すために使用する、安全ではない機器の一覧を作成する。本プロジェクトは、2020年に東京で行われる夏季オリンピックに向けた、サイバーセキュリティ強化への取り組みの一環としている。

- http://www.zdnet.com/article/japanese-government-plans-to-hack-into-citizens-iot-devices/
- http://www3.nhk.or.jp/nhkworld/en/news/20190125_44/

【編集者メモ】(Pescatore)
本件の説明では、日本政府が、主要な問題は「機器」が適切なセキュリティの度合いを考慮されずに製造、販売されていることではなく、ユーザが「機器」を正しく設定していないことにあると考えているような印象を与える。これは、ファストフード店で購入したサンドイッチを調査し、マヨネーズを冷蔵庫で保管しないレストランに罰金を科すのではなく、サンドイッチに食中毒菌が入っている前提である事を「自分自身」に言い聞かせるようなものだ。

【編集者メモ】(Ullrich)
この調査では、Shodanのような検索エンジンよりも一歩先のことが可能となる。スキャン調査では実際に機器へのログインを試みる。現状、インターネットに接続された機器が、絶えずTelnetやSSHといったサービスに対するスキャンを受け、一般的なユーザ名とパスワードによるログインを試されることとなる。政府の認可を受けたこのスキャン活動が、未認可の違法なスキャン活動によって、これまでに発生したことがないような被害を生む可能性は非常に低い。脆弱な機器の所有者は、セキュリティを向上させるための通知を受ける。私は興味深い実験であるこの調査が、問題のある機器の排除につながれば良いと考えている。
────────────────

◆ ユーザに対し、複数の脆弱性が存在するWordPress用プラグインの削除を呼びかけ(2019.1.25 & 2019.1.28)
ハッカーが、放棄されたWordPress用プラグインと思われる製品において、複数の重大な脆弱性を悪用している。これらの脆弱性を悪用することで、影響を受けるサイトの管理者権限を奪取される可能性がある。WordPress用プラグインTotal Donationsは、非営利組織が寄付金を受け付けるためのプラグインである。プラグイン開発者に対する連絡の試みが失敗した事実は、このプロジェクトが放棄されていることを示している。この問題を発見し公表したWordfenceの研究チームは、ユーザに対しTotal Donationsを削除するよう呼び掛けている。

- http://www.wordfence.com/blog/2019/01/wordpress-sites-compromised-via-zero-day-vulnerabilities-in-total-donations-plugin/
- http://threatpost.com/wordpress-users-urged-to-delete-zero-day-ridden-plugin/141209/

【編集者メモ】(Paller)
WordPressのようなコンテンツ管理システムとそのプラグインは、少なくともこの2年間、サーバー上において最も攻撃を受けたソフトウェアであった。その利便性に魅了され、疑問を持たない多くの組織が信頼を置いて利用していたようだ。そろそろCMSやプラグインは、それらが原因となって発生している損失に対し責任を負うべきではないか。そのために必要なのは訴訟ではなく、賢く作成された契約書だ。

【編集者メモ】(Neely)
これらの脆弱性を悪用すると、サイト乗っ取りに加え、定期寄付金の変更、寄付金提供者に関するメーリングリストの悪用、Stripe社の支払いシステムAPIへのアクセスが可能だ。このプラグインは、いくつかのブラウザ上で既に正常に動作しないようになっており、PHP7.1との互換性に問題がある。幸いなことに、他にも同様の寄付金用プラグインがあるので、Total Donationsを今すぐ無効化、移行、そして削除するべきだ。
────────────────

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃OUCH! 2月号「個人を標的とした詐欺」について
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
インターネットの世界において、様々な手段を用いて情報や金銭などを会社など
から盗み出す攻撃が多数発生していますが、この攻撃は個人を対象にも行われて
います。メールや電話での攻撃はこれまでも存在していましたが、ターゲットと
して選ばれてしまった場合、攻撃者はあなたについて調査をした上でカスタマイ
ズしてくるようになってきています。今月は、この個人を標的とした詐欺の典型
的な手口について解説し、詐欺と見抜くためのポイントなどについて、一般ユー
ザ向け分かりやすく解説します。社員の意識向上ツールとしてお使いください。
https://www.sans.org/sites/default/files/2019-02/201902-OUCH-February-Japanese.pdf
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
※本記事を寄稿いただいたレニー・ゼルトサー氏は、マルウェア解析やハントな
どについて世界的に有名な方ですが、2月に開催するSANSトレーニングにおいて、
氏もインストラクターとして登壇いたします。マルウェア解析の神とされる方に
接してみませんか。


◆ CSIS(戦略国際問題研究所)による報告書:大学のサイバーセキュリティプログラムは、経営者のニーズを満たせていない(2019.1.30)
技術力のあるサイバーセキュリティ人材の不足が、いかに企業を脆弱な状態にするかについて以前文書を発表した後、戦略国際問題研究所は、大学のサイバーセキュリティプログラムがほぼ理論を中心に教えており、特に必要とされている技術を培う場となっていない。このため、経営者が不満を募らせている現状について新たに報告書を公開した。同研究所は報告書において、米国家安全保障局に対し、「CAE-Cyber Operationsプログラムの成果に基づいた、CAE-Cyber Defense指定校の資格基準引き上げを行う」べきだと指摘している。

- http://csis-prod.s3.amazonaws.com/s3fs-public/publication/190129_Crumpler_Cybersecurity_FINAL.pdf
────────────────

◆ Apple社が、ユーザ情報の収集に利用されたとして、Facebook社とGoogle社の企業証明書を取り消す(2019.1.30 & 2019.1.31)
Facebook社は、Appストアや必須のセキュリティチェックをすり抜けられるよう、老若男女問わず同社の企業証明書を使用した、個人データを収集するiOSアプリをインストールさせるために支払いを行っていた。Apple社は以前、同社のデータプライバシー規則に違反したアプリケーションを、Appストアから追放していた。このアプリにより、Facebook社は実質、アプリがインストールされた機器上におけるユーザ操作を全て見ることが可能となる。Apple社は、消費者動向調査のためのアプリケーションは、企業向け開発ライセンスの利用規約に違反すると発表した。Google社は、iOS機器のユーザや機器データを収集する同様のアプリケーションを使用していた。同社は誤りを認め、Apple社が企業証明書を取り消す前に、問題のアプリケーションを無効化した。Facebook社とGoogle社のアプリケーションは、どちらもいまだにAndroid機器において入手可能となっている。

- http://www.wired.com/story/facebook-research-app-root-certificate/
- http://www.theregister.co.uk/2019/01/30/facebook_apple_enterprise_certificate_revocation/
- http://arstechnica.com/gadgets/2019/01/facebook-and-google-offered-gift-cards-for-root-level-access-to-ios-users-data/
- http://www.cnet.com/news/googles-data-gathering-app-may-have-also-violated-apples-policies/
- http://www.zdnet.com/article/google-shuts-down-iphone-data-gathering-app-this-was-a-mistake-and-we-apologize/
- http://www.theverge.com/2019/1/31/18205795/apple-google-blocked-internal-ios-apps-developer-certificate

【編集者メモ】(Pescatore)
自動車メーカーが安全性と質の高さについて競い始めた際、自動車の安全性と質は向上した。Microsoft社やApple社のような、製品やサービスから大部分の利益を得ている企業は、主にターゲティング広告から利益を得ているGoogle社やFacebook社と競合している。ビジネスにおける動きが、プライバシーの名の下で競合が発生したことは良い現象だ。最終的には、同様の競合による動きが、インターネットサービスプロバイダの間で起きるところを見たい。

【編集者メモ】(Neely)
プライバシー基準の遵守を徹底したApple社に称賛を贈る。最近のプライバシー問題に対する意識の高まりを受け、Facebook社が取った行動(「The Rest of The Week’s News」の記事「Facebook Hires Privacy Policy Managers」)のように、他の企業もプライバシーの管理に踏み込むだろう。取り消された証明書は、Appストアを介さずにアプリを直接ユーザの機器に展開するものであり、企業内部でのアプリケーション展開用に用意されたものだ。どのようなものか、何をするものかを完全に理解せずに、AppストアやGoogle Playストア以外の場所からアプリケーションをインストールするべきではない。
────────────────

◆ Langevin議員:議会はサイバーセキュリティに関する見落としを整理する必要がある(2019.1.29)
1月29日火曜日に開催されたState of the Net Conferenceにおいて、米下院議員Jim Langevin氏(民主党・ロードアイランド州)は、議会にはサイバーセキュリティについて何かしらの主張を持ったグループが乱立しており、サイバー脅威に対し迅速に対応するためのプロセスの進行に遅れを生じさせていると述べた。「私たち議会は、これから直面するサイバーセキュリティ上の脅威に対応するため、機敏に行動する必要があるが、現状の構成下ではそれを達成できない。」Langevin氏は下院議長Nancy Pelosi氏(民主党・カリフォルニア州)に対し、医療制度改革のような、政策上の問題を解決するための委員会があったように、サイバーセキュリティの指揮を取る委員会のメンバーを選任するよう求めた。

- http://www.nextgov.com/cybersecurity/2019/01/lawmaker-congress-needs-fewer-committees-cyber-oversight/154506/

【編集者メモ】(Weatherford)
サイバーは魅力的だ。そのため皆が活動の一翼を担いたいと思うし、立法の過程や法律の一部に名前を刻みたいと考えている。前会期では、文書内やタイトルにサイバーセキュリティもしくはプライバシーが入っていた法案は、348あった。これらの法案は、上院や下院の様々な議員や委員会から提出されたものであり、不合理な重複が大量に存在していた。確かに、議会はサイバーセキュリティに関する見落としを整理する必要がある。

【編集者メモ】(Pescatore)
安全にドライブをするなら、衝突時に破損する可能性がある部品は極力少ないほうがいいだろう。さらに、ステアリングを操作できる人が多ければ、疲れたときに交代することもできるのと同じように、実質的なセキュリティを高めたいのであれば、委員会のメンバーもきちんと考えて選出すべきだろう。
────────────────

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の無料セミナー・イベント        <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○2月13日(水)、2019年3月6日(水)
 重要情報を守る!
 サイバー攻撃や内部不正からの情報漏洩を効率よく防ぐためのアクセス制御とは
 ~特権IDアクセス管理の事例とポイント~
https://www.nri-secure.co.jp/seminar/2019/ac06.html?xmid=300&xlinkid=01

○2月21日(木)
 Webの分離・無害化による運用の課題解決
 ~触って理解するMenlo Security~
https://www.nri-secure.co.jp/seminar/2019/isolation03.html?xmid=300&xlinkid=02

○2月27日(水)
 CISSPチャレンジセミナーin東京
 「CISSPならこう考える!CISOに必要な情報セキュリティの知識と考え方」
https://www.nri-secure.co.jp/seminar/2019/cissp01.html?xmid=300&xlinkid=03

○2月28日(木)
 SANSコミュニティナイトセッション
 - Malware Vaccination: Its Potential and Limitations -
 (マルウェア感染予防の可能性と限界)
https://www.nri-secure.co.jp/seminar/2019/sans01.html?xmid=300&xlinkid=04

○3月13日(水)
 ファイル交換・転送サービスの正しい選び方
 ~クラウドで業務効率・利便性とセキュリティを両立させるには~
https://www.nri-secure.co.jp/seminar/2019/file02.html?xmid=300&xlinkid=05

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の有料研修               <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○2月~3月
 SANS Secure Japan 2019
https://sans-japan.jp/secure_japan2019/index.html?xmid=300&xlinkid=11

○3月
 CISSP CBKトレーニング
https://www.nri-secure.co.jp/service/learning/cissp_training.html?xmid=300&xlinkid=12

○3月
 セキュアEggs
 (IT+セキュリティ基礎/インシデント対応/フォレンジック/WEBアプリセキュリティ)
https://www.nri-secure.co.jp/service/learning/secureeggs.html?xmid=300&xlinkid=13

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃コラム(Secure SketCH ブログ) <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○IPAが「情報セキュリティ10大脅威2019」を公開!初ランクインの脅威とは?
https://www.secure-sketch.com/blog/ipa-10-major-threats?xmid=300&xlinkid=14

○セキュリティ対策の考え方<後編>|ガイドラインで効率的な脅威分析
https://www.secure-sketch.com/blog/concept-of-security-measures-part2?xmid=300&xlinkid=15

○セキュリティ対策の考え方<前編>|全体俯瞰で「バランス」を取る
https://www.secure-sketch.com/blog/concept-of-security-measures-part1?xmid=300&xlinkid=16

○【事例】GDPRで制裁金が課せられたケースと求められるセキュリティ対策
https://www.secure-sketch.com/blog/case-of-gdpr-penalties?xmid=300&xlinkid=17

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃ebook(無料ダウンロード)  <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○デジタル化時代のセキュリティ基盤
 - 再考を要するサイバーセキュリティ対策の在り方-
https://www.secure-sketch.com/ebook-download/security-infrastructure-in-digitalization?xmid=300&xlinkid=18

○テレワーク時代のサイバーセキュリティ
 -エンドポイントセキュリティの重要性-
https://www.secure-sketch.com/ebook-download/endpoint-detection-and-response?xmid=300&xlinkid=19

○セキュリティの勘所~品質管理編~
https://www.secure-sketch.com/download/quality-management?xmid=300&xlinkid=20

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃お知らせ                     <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○NRIセキュア、特権ID管理ソリューション「SecureCube / Access Check」で
 マーケットシェアNo.1を獲得
https://www.nri-secure.co.jp/news/2019/0128-3.html?xmid=300&xlinkid=21

○NRIセキュア、ガートナー社のリサーチレポート
 「特権アクセス管理についてのマジック・クアドラント」に掲載
https://www.nri-secure.co.jp/news/2019/0128-2.html?xmid=300&xlinkid=22

○NRIセキュア、QRコード決済のセキュリティリスクを評価するサービスを
 提供開始 ~キャッシュレス化に向け、QRコード決済の安全性を向上~
https://www.nri-secure.co.jp/news/2019/0128.html?xmid=300&xlinkid=23

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃Secure SketCH 無料登録受付中 <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○30分でわかる!貴社に必要なセキュリティ対策
https://www.secure-sketch.com/?xmid=300&xlinkid=25

--

NRI Secure SANS NewsBites 日本版は、米国の情報セキュリティの専門機関であるSANS Instituteが配信するコンテンツ (SANS NewsBites)をベースに、NRIセキュアテクノロジーズが編集してお届けしています。 世界中でこの1週間に起こったセキュリティのあらゆるトピックと専門家のコメントが掲載されています。原版は、およそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュースソースとして活用されています。組織のセキュリティ管理に関する参考情報としてお役立てください。掲載されている情報は、e-mailを介して自由に他の方に再送していただいて結構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望される方は、弊社ホームページの以下のページよりお申込みください。
https://www.nri-secure.co.jp/news_letter/

本ニュースレターは、メールマガジン配信を申し込まれた方、弊社からの情報を希望された方、SANS関連のイベントに参加された方、その他イベント等において弊社講演枠に登録された方に配信しています。
今後、配信をご希望されない方は会社名と御氏名を本文に明記のうえ、件名に【配信不要】、配信先変更をご希望の方は【配信先変更希望】とご記入頂き、新旧のご連絡先も記載のうえ、info@sans-japan.jpまでご返信をお願い致します。なお、情報の反映までにお時間を頂戴する場合がございます。