NRI Secure SANS NewsBites 日本版

Vol.14 No.07 2019年3月12日発行

──────────────────────────
■■SANS NewsBites Vol.14 No.07
(原版: 2019年 2月 26日 、3月 1日、5日、8日)
──────────────────────────


┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 2┃0┃1┃9┃年┃7┃月┃東┃京┃開┃催┃
 ━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛
 S┃A┃N┃S┃ト┃レ┃ー┃ニ┃ン┃グ┃
 ━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛
 お┃申┃込┃み┃開┃始┃い┃た┃し┃ま┃し┃た┃
 ━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛

【SANS Cyber Defence Japan 2019】全8コース実施予定
  https://sans-japan.jp/cyber_defence_japan2019/index.html

開催日:2019/7/1(月)~2019/7/6(土)
[ SEC542 ]:Web App Penetration Testing and Ethical Hacking [ SEC560 ]:Network Penetration Testing and Ethical Hacking [ SEC599 ]:Defeating Advanced Adversaries - Purple Team Tactics & Kill Chain Defenses [ FOR508 ]:Advanced Digital Forensics, Incident Response, and Threat Hunting

開催日:2019/7/8(月)~2019/7/13(土)
[ SEC401 ]:Security Essentials Bootcamp Style【日本語】
[ SEC504 ]:Hacker Tools, Techniques, Exploits, and Incident Handling【日本語】
[ SEC555 ]:SIEM with Tactical Analytics [ FOR572 ]:Advanced Network Forensics and Analysis

┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛

◆ Wall Street Journalの報道後、複数のアプリがFacebookとのデータ共有を停止(2019.2.22 & 2019.2.24)
ニューヨーク州知事Andrew Cuomo氏は、複数のヘルスケア関連アプリが機微なデータをFacebookに送信しているとするレポートについて、調査を指示した。Wall Street Journalのレポートによると、該当のアプリは、ユーザがFacebookにログインしていない場合やFacebookのアカウントを保有していない場合であっても、健康状態や財務状況のデータをFacebookに送付していた。Wall Street Journalが最初に公開したレポートに対するFacebook社の対応は、開発者や広告主に連絡を取り、Facebookの利用規約では、Facebookに機微なユーザデータを送付することは禁止されていると伝えることだった。Facebook社は、アプリ開発者が予防策を講じ、精査を受けるべきだと主張している。一方で、Facebook社が、自社が開発した製品について責任を持つべきだという声も挙がっている。該当するアプリのいくつかは、Facebookへのデータ送付を停止した(Wall Street Journalの記事は有料です)。

- http://www.wsj.com/articles/popular-apps-cease-sharing-data-with-facebook-11551044791
- http://www.wsj.com/articles/you-give-apps-sensitive-personal-information-then-they-tell-facebook-11550851636
- http://www.wsj.com/articles/eleven-popular-apps-that-shared-data-with-facebook-11551055132
- http://www.bleepingcomputer.com/news/technology/ny-governor-cuomo-calls-for-investigation-on-facebook-health-data-collection/
- http://www.zdnet.com/article/another-facebook-privacy-scandal-this-time-involving-its-mobile-analytics-sdk/

【編集者メモ】(Pescatore)
記事の内容は、Facebookの問題というよりも、新たに発生したアナリティクスSDK(ソフトウェア開発キット)のデータ収集におけるプライバシー侵害の問題と言える。類似する例えとして、分析とパフォーマンス監視の名の下、生の顧客データを新しいアプリケーションの試験に使用することで、様々なSDKを使用するアプリによって機微なデータが収集され、各所に送付されるというものだ。Apple社のApp StoreやAndroid向けのGoogle Playは、アプリの公開を許可する前にエンドツーエンドのテストを行い、このような処理を検知できるようにセキュリティ機能を向上させるべきだ。
────────────────

◆ ブロックチェーンのセキュリティに関する問題(2019.2.19)
ブロックチェーンが世に出始めた10年前、この技術はセキュアであると宣伝されていた。しかしブロックチェーン技術の拡大に伴い、スマートコントラクトの脆弱性や51%攻撃といったセキュリティ上の問題が明らかになってきた。

- http://www.technologyreview.com/s/612974/once-hailed-as-unhackable-blockchains-are-now-getting-hacked/

【編集者メモ】(Pescatore)
なんと、ブロックチェーンが過剰に宣伝されてきたと言いたいのか。次は、ウコンが私を癌や隕石から守ってくれることはないと言うのではないか。

【編集者メモ】(Neely)
ブロックチェーンの実装における弱点とアルゴリズムの欠陥は、どちらも悪用されている。実装に関する脆弱性は積極的に修正されているが、ブロックチェーンの黎明期に理論立てされた本質的な問題は、より修正が難しい。これらの問題は、現在運用されていて、攻撃を受けているブロックチェーンの急激な増加(1500以上)によって出現している。ビットコインのような規模の大きなブロックチェーンへの攻撃は、莫大な費用がかかる可能性があるが、規模の小さなブロックチェーンでは、51%攻撃が示すように、ブロックチェーンの改ざんや分岐が可能となる、マイニングに成功しているノードの数は、より少数で済む。仮想通貨を使用しなければならない場合、ビットコインのような大規模な実装を使用するべきだ。

【編集者メモ】(Williams)
51%攻撃は、参加ノード数が本質的に少ないプライベートブロックチェーンの実装において、特に問題となっている。51%攻撃において問題となるものは、ネットワーク上のノード数ではなく、処理能力の大きさであることを覚えておいてほしい。スマートコントラクトはまた別の問題で、スマートコントラクト実装の基礎となるフレームワークを理解している、セキュリティ専門家による調査が必要だ。
────────────────

◆ 給与計算ソフトウェア企業がデータ復旧のため身代金を支払う(2019.2.23)
給与計算ソフトウェア企業のApex Human Capital Management社は、ほぼ3日間数百名の顧客がサービスにアクセスできなくなった、ランサムウェア攻撃の要求に従うことを決定した。同社は攻撃を受けた事実を2月19日火曜日に認識し、その後全てのシステムをオフラインに切り替え、セキュリティ上の脅威に対処していることを顧客に通知した。ランサムウェアは同社のシステムと、遠隔地にある災害時用の復旧システムを暗号化した。Apex社は、支払った金額や、システムが感染したランサムウェアの種類について言及していない。要求額を支払った見返りに同社が受け取った複合鍵は、ファイルディレクトリを破壊したり、複数の実行ファイルを実行不可能にしたりするなど、問題をさらに悪化させた。

- http://krebsonsecurity.com/2019/02/payroll-provider-gives-extortionists-a-payday/

【編集者メモ】(Pescatore)
身代金の要求が執行役員の誘拐後に発生したか、ランサムウェア攻撃後に発生したかに関わらず、支払いの決定はビジネス上の決定だ。しかし身代金の支払いが、その年度のビジネスにおいてコストを下げる結果になる確率は非常に低いようだ。

【編集者メモ】(Neely)
記事の内容は、ランサムウェア攻撃がどのようにビジネスに影響を与えるかを考える上で良いケーススタディとなる。多くの議論は支払うか支払わないかの状態で止まってしまい、全体のプロセスを考えようとしない。学ぶべき大事なことは、復旧がただ複合鍵を適用するだけのように単純なものではなく、複製やバックアップにランサムウェアのような不要なものが含まれている可能性があるということだ。最低でも、リカバリサイトを特定の時間に設定しておき、既知の問題が存在しない状態を達成するために、複製を一時中断できるように準備しておくべきだ。災害復旧計画のタイミングや目的に沿って、ビジネス用のシステムを復旧できるようにしよ
う。

【編集者メモ】(Williams)
ランサムウェア攻撃への対応をを日常的に行っている企業は、基本的な身代金要求額や、データ復号の約束を守る攻撃者の評判に関する詳細な情報を保有している。
────────────────

◆ 米サイバー軍が、2018年選挙期間中のロシアによる攻撃を防いでいた(2019.2.26, 2019.2.27, 2019.2.28)
米サイバー軍(USCYBERCOM)が、2018年中間選挙中のロシアによるサイバー攻撃を防いでいた。攻撃は2018年10月中旬から11月中旬にかけて実行され、防衛行動には、選挙当日に行われたロシアのインターネット・リサーチ・エージェンシーによるインターネットアクセスのブロックが含まれる。米国土安全保障省は今回の率先的な行動において、USCYBERCOMを支援していた。

- http://www.washingtonpost.com/world/national-security/us-cyber-command-operation-disrupted-internet-access-of-russian-troll-factory-on-day-of-2018-midterms/2019/02/26/1827fc9e-36d6-11e9-af5b-b51b7ff322e9_story.html
- https://www.eweek.com/security/u.s.-cyber-warriors-disrupt-russian-election-attacks
- http://arstechnica.com/information-technology/2019/02/report-us-cyber-command-took-russian-trolls-offline-during-midterms/
- http://thehill.com/policy/cybersecurity/431614-us-cyber-operation-blocked-internet-for-russian-troll-farm-on-election

【編集者メモ】(Williams)
動的軍事行動への支援以外で、軍によるサイバー活動が意味を成す機会は多くない。記事の内容はそのうちの一つだ。ロシアはほぼ間違いなく、中間選挙を混乱させる計画を立てていたが、計画実行日に活動を妨害された。どのレベルにおける妨害であれ、今回のケースにおいてはCYBERCOMの立場からすれば成功であった。これは良かった点だが、悪かった点もある。それは、再び信頼性を伴って同様の行動を起こすことが不可能ということだ。次回ロシアは、妨害がより難しくなるようインターネット上のアクセス箇所を複数に分けた、分散型の計画を立てるだろう。しかし2020年の選挙に近い日に、ロシアによる攻撃を完全に防げなかったとしても、既に
今回の行動によって、ロシアが攻撃を展開する際に負担するコストは上がっている。それだけでも勝利に値する成果だ。試験済みの災害復旧計画を保有している者であれば、攻撃が無料ではないことを知っている。
────────────────

◆ 2019年IBM X-Force脅威インテリジェンスインデックス(2019.2.26)
2019年IBM X-Force脅威インテリジェンスインデックスによると、サイバー犯罪者は金銭を奪う手段として、ランサムウェアよりも、クリプトジャッキングやビジネスメール詐欺(BEC)を好んで展開する傾向にある。インデックスにはさらに、攻撃者は以前に増して「ウイルス検知を回避するため、PowerShellやPsExecを含む、悪意を持って開発されたものではないツールを使用している」と記載されている。

- http://www.theregister.co.uk/2019/02/26/malware_ibm_powershell/
- http://www.eweek.com/security/ransomware-attacks-decline-as-cryptojacking-grows-ibm-x-force-reports
- http://newsroom.ibm.com/2019-02-26-IBM-X-Force-Report-Ransomware-Doesnt-Pay-in-2018-as-Cybercriminals-Turn-to-Cryptojacking-for-Profit

【編集者メモ】(Neely)
ソーシャルエンジニアリングは常に軽減するのが難しい脅威ベクトルであり、攻撃者はこれを知っている。相手の研究とユーザ啓発を継続し、TTP(戦術、技術、および手順:tactics, techniques , and procedures)の変化に伴い情報を更新することが、最善の軽減策だ。ファイルを持たないマルウェアが一般的になりつつあり、新しい検知や軽減の手法が求められているが、以前の攻撃ベクトルに対する保護が機能していることを確認せずに、現在使用している対策を変更するべきではない。
────────────────

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃OUCH! 3月号「モバイル端末の処分方法」について
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
モバイル端末の進化は驚くべきスピードで進んでおり、毎年端末を買い替えるよ
うな人も珍しくなくなりました。しかし、モバイル端末にどのような情報が保存
されているのかを理解して処分をしている人は極めて少数にとどまっています。
今月は、はじめにどのような個人情報が保存されているのかを明らかにしたあと
適切なモバイル端末の処分方法について、一般ユーザ向け分かりやすく解説しま
す。社員の意識向上ツールとしてお使いください。
https://www.sans.org/sites/default/files/2019-03/201903-OUCH-March-Japanese.pdf
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

◆ 連邦サイバー技術アカデミー(Federal Cyber Reskilling Academy)に1500名以上が応募(2019.3.4)
1500名以上の現職の連邦政府職員が、連邦サイバー技術アカデミーの一期生に応募した。CIO協議会の人材委員会(Workforce Committee)と米教育省が支援している本プログラムは、一期生25名を選出する。初めての募集となる今回は、IT関連の業務に従事していない現職の連邦政府職員を対象としている。応募者は、サイバーディフェンスアナリストとして成功する可能性を示す才能を持ち合わせているか判断するための評価を受ける。合格者は4月初めに通知を受け、4月中旬から7月中旬まで続く訓練に参加する。二期生の募集は、既にIT関連の業務に従事している者も含む、全ての連邦職員を対象とするため、応募者集はさらに増えることが見込まれる。

- http://www.fedscoop.com/cyber-reskilling-academy-1500-applicants/
- http://www.nextgov.com/cybersecurity/2019/03/federal-cio-agencies-already-vying-cyber-reskilling-academy-recruits/155283/
- http://www.meritalk.com/articles/cyber-reskilling-academy-finding-success-says-kent/
- http://fcw.com/articles/2019/03/04/cyber-reskilling-johnson.aspx

【編集者メモ】(Paller)
英国は同様の技術習得プログラムであるCyber Retraining Academyを実施し、素晴らしい成果を残した。
http://www.infosecurity-magazine.com/news-features/all-you-need-cyber-retraining/

【編集者メモ】(Neely)
25名の定員に対する1500名の応募は、才能ある人材がまだ多く存在する可能性を示している。次回の募集では定員増加が約束されている。ダイヤモンドの原石が集まるのか、単なる転職希望者が集まるのか、結果を追跡すると面白いだろう。
────────────────

◆ Rob Joyce氏がサイバー戦争抑止について語る(2019.2.28 & 2019.3.4)
前米国家安全保障局サイバー安全保障政策調整官および、国家安全保障担当補佐官のRob Joyce氏は、先週メリーランド州で開かれたArmed Forces Communications and Electronics Association(AFCEA)の会合において、参加者に対し、敵国が展開したサイバー攻撃について、「戦争を抑止するため、誰の目にも明らかな形で敵国にコストを負わせる必要がある」と語った。現在NSA長官Paul Nakasone大将のシニアアドバイザを務めるJoyce氏は、2020年の選挙を守るための作業は既に進行中だと述べた。

- http://www.cyberscoop.com/rob-joyce-nsa-disrupt-foreign-hacking/
- http://arstechnica.com/tech-policy/2019/03/nsas-top-policy-advisor-its-time-to-start-putting-teeth-in-cyber-deterrence/

【編集者メモ】(Paller)
米国で、サイバー攻撃や攻撃を受けにくくするために何が必要かを知っている者は少ない。

【編集者メモ】(Williams)
Rob Joyce氏はわかっている。相手から見えなければ抑止は効果がない。また抑止活動は、敵が目的を達成するために必要なコストを引き上げるものでなければならない。最後に、抑止には信頼できる帰属が必要だ。誤った敵に向けられた抑止活動は、戦争行為と見なされる可能性がある。
────────────────

◆ 上院調査団によるEquifax社の情報漏洩に関する調査報告書が公開される(2019.3.8)
上院調査団による、2017年に発生したEquifax社の情報漏洩の調査報告書によると、同社は顧客データを保護するための適切な対策の実施を、何度も怠っていたことが明らかとなった。報告書には、「議会が、サイバー攻撃やデータの漏洩を防ぐために、PII(個人情報)を収集し保存している民間企業が、合理的かつ適切な手順に従うことを求めるための、統一された国内の基準を定める法律を制定すること」を含む複数の提案が提示されている。

- http://www.theregister.co.uk/2019/03/08/security_equifax_senate/
- http://www.carper.senate.gov/public/_cache/files/5/0/508a6447-853f-4f41-85e8-1927641557f3/D5CFA4A0FC19997FF41FB3A5CE9EB6F7.equifax-report-3.6.19.pdf

【編集者メモ】(Neely)
Equifax社の仲間がたくさんいる:最近の研究によると、Fortune 100に入る企業のほとんどはEquifax社と同様の問題を抱えている。アップデートやセキュリティ修正を適用するために安定性や現状維持を取るか、リグレッションテストや停止時間を考慮するかという議論は新しいものではなく、ビジネスにおいては織り込み済みであるべきだ。規制による要求に頼るだけでは不十分だ。重役会議室でセキュリティ対策が不変のものとなるまで、この議論は続く。
────────────────

◆ RSAパネル:上位5つの最も危険な新しい攻撃手法と、対抗手段(2019.3.7)
3月7日木曜日にサンフランシスコで行われた、RSA ConferenceのパネルFive Most Dangerous New Attack Techniques and How to Counter Themにおいて、Ed Skoudis氏、Heather Mahalik氏、Johannes Ullrich氏が、攻撃手法と対抗手段を説明し、聴講者からの質問に答えた。

- http://www.rsaconference.com/videos/the-five-most-dangerous-new-attack-techniques-and-how-to-counter-them
────────────────

◆ 米政府監査院長官が議員に対し、High Risk Listで取り上げた問題について説明(2019.3.6)
政府監査院(GAO)長官Gene Dodaro氏が、上院と下院双方の委員団に対し、「浪費、詐欺、悪用、誤った管理が行われる可能性がある、または大幅な改善が必要と考えられる連邦政府のプログラムや活動」のうち、35の分野について調査した、GAOが最近公開したHigh Risk Listについて説明した。Dodaro氏は、上院委員団のメンバーに対し、昨秋公開された政府の国家サイバーセキュリティ戦略には、「実装計画や責任の定義、評価基準が何も示されていない」と述べた。さらに下院委員団に対し、連邦政府のITシステムには、古いシステムを利用していることが原因の一端となり、毎年「同じ弱点」が存在していると語った。同氏は、「高官の意識が向けられていない」とし、政府機関のトップが持つ既知のサイバーセキュリティに関する問題への認識に疑問を呈した。

- http://fcw.com/articles/2019/03/06/gao-high-risk-cyber-rockwell.aspx
- http://www.meritalk.com/articles/comptroller-questions-priority-given-by-agency-heads-to-cybersecurity-issues/
- http://www.gao.gov/products/GAO-19-393T
- http://www.gao.gov/assets/700/697259.pdf
────────────────

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の無料セミナー・イベント        <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○3月27日(水)
 ファイル交換・転送サービスの正しい選び方
 ~クラウドで業務効率・利便性とセキュリティを両立させるには~
https://www.nri-secure.co.jp/seminar/2019/file02.html?xmid=300&xlinkid=01

○4月4日(木)
 CISSPチャレンジセミナーin東京
 「CISSPならこう考える!CISOに必要な情報セキュリティの知識と考え方」
https://www.nri-secure.co.jp/seminar/2019/cissp02.html?xmid=300&xlinkid=02

〇5月16日(木)、7月18日(木)
 Web分離・無害化によるセキュリティ対策
 ~触って理解するMenlo Security~
https://www.nri-secure.co.jp/seminar/2019/isolation04.html?xmid=300&xlinkid=03

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の有料研修               <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○5月、6月、7月、9月、10月、11月、12月、2020年1月、2月、3月
 CISSP CBKトレーニング
https://www.nri-secure.co.jp/service/learning/cissp_training.html?xmid=300&xlinkid=05

〇5月、8月、2020年2月
 セキュアEggs(基礎 / インシデント / Webアプリ / フォレンジック)
https://www.nri-secure.co.jp/service/learning/secureeggs.html?xmid=300&xlinkid=06

○7月
 SANS Cyber Defence Japan 2019
https://sans-japan.jp/cyber_defence_japan2019/index.html?xmid=300&xlinkid=07

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃コラム(Secure SketCH ブログ) <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
〇セキュリティマネジメントで知っておくべき5つのこと
https://www.secure-sketch.com/blog/5-keys-for-building-a-cybersecurity-program?xmid=300&xlinkid=11
〇インシデントレスポンスのためのセキュリティ監視
https://www.secure-sketch.com/blog/security-operation-center?xmid=300&xlinkid=12

〇丸ごとわかるペネトレーションテスト
https://www.secure-sketch.com/blog/explanation-of-penetration-test?xmid=300&xlinkid=13

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃ebook(無料ダウンロード)  <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
〇EDR導入ガイド
 - インシデント前提社会の最適解 -
https://www.secure-sketch.com/ebook-download/recommend-edr-use?xmid=300&xlinkid=14

○デジタル化時代のセキュリティ基盤
 - 再考を要するサイバーセキュリティ対策の在り方 -
https://www.secure-sketch.com/ebook-download/security-infrastructure-in-digitalization?xmid=300&xlinkid=15

○テレワーク時代のサイバーセキュリティ
 - エンドポイントセキュリティの重要性 -
https://www.secure-sketch.com/ebook-download/endpoint-detection-and-response?xmid=300&xlinkid=16

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃お知らせ                     <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
〇米国の独立系調査会社のレポートに、セキュリティログ監視サービス
 「NeoSOC」が掲載される
https://www.nri-secure.co.jp/news/2019/0311.html?xmid=300&xlinkid=17

〇新刊本「ITロードマップ 2019年版」のご紹介
 ~デジタル時代のセキュリティをNRIセキュアが解説~
https://www.nri-secure.co.jp/news/2019/0308-1.html?xmid=300&xlinkid=18

〇NRIセキュア、外部委託先の情報セキュリティ管理態勢を検査する業務の支援
 サービスを提供開始
 ~ICTサプライチェーンのセキュリティリスク対策に有効~
https://www.nri-secure.co.jp/news/2019/0228.html?xmid=300&xlinkid=19

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃Secure SketCH 無料登録受付中 <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○30分でわかる!貴社に必要なセキュリティ対策
https://www.secure-sketch.com/?xmid=300&xlinkid=25

--

NRI Secure SANS NewsBites 日本版は、米国の情報セキュリティの専門機関であるSANS Instituteが配信するコンテンツ (SANS NewsBites)をベースに、NRIセキュアテクノロジーズが編集してお届けしています。 世界中でこの1週間に起こったセキュリティのあらゆるトピックと専門家のコメントが掲載されています。原版は、およそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュースソースとして活用されています。組織のセキュリティ管理に関する参考情報としてお役立てください。掲載されている情報は、e-mailを介して自由に他の方に再送していただいて結構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望される方は、弊社ホームページの以下のページよりお申込みください。
https://www.nri-secure.co.jp/news_letter/

本ニュースレターは、メールマガジン配信を申し込まれた方、弊社からの情報を希望された方、SANS関連のイベントに参加された方、その他イベント等において弊社講演枠に登録された方に配信しています。
今後、配信をご希望されない方は会社名と御氏名を本文に明記のうえ、件名に【配信不要】、配信先変更をご希望の方は【配信先変更希望】とご記入頂き、新旧のご連絡先も記載のうえ、info@sans-japan.jpまでご返信をお願い致します。なお、情報の反映までにお時間を頂戴する場合がございます。