NRI Secure SANS NewsBites 日本版

Vol.14 No.10 2019年4月9日発行

──────────────────────────
■■SANS NewsBites Vol.14 No.10
(原版: 2019年 4月 2日、5日)
──────────────────────────


┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 2┃0┃1┃9┃年┃7┃月┃東┃京┃開┃催┃
 ━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛
 S┃A┃N┃S┃ト┃レ┃ー┃ニ┃ン┃グ┃
 ━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛
 早┃期┃割┃引┃に┃て┃受┃付┃中┃!┃
 ━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛

【SANS Cyber Defence Japan 2019】全8コース実施予定
  https://sans-japan.jp/cyber_defence_japan2019/index.html

開催日:2019/7/1(月)~2019/7/6(土)
[ SEC542 ]:Web App Penetration Testing and Ethical Hacking
[ SEC560 ]:Network Penetration Testing and Ethical Hacking
[ SEC599 ]:Defeating Advanced Adversaries - Purple Team Tactics & Kill Chain Defenses
[ FOR508 ]:Advanced Digital Forensics, Incident Response, and Threat Hunting

開催日:2019/7/8(月)~2019/7/13(土)
[ SEC401 ]:Security Essentials Bootcamp Style【日本語】
[ SEC504 ]:Hacker Tools, Techniques, Exploits, and Incident Handling【日本語】
[ SEC555 ]:SIEM with Tactical Analytics
[ FOR572 ]:Advanced Network Forensics and Analysis

┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛

◆ 米会計監査院:情報漏洩を引き起こした企業に対し罰則を科せるよう、規制当局の権限を強化するべき(2019.3.26)
米会計監査院(GAO)による報告書には、顧客データの漏洩を引き起こした企業に対し罰則を科せるようにするため、規制当局の権限を強化することで、Equifax社による情報漏洩事件のような大規模な事件が発生する可能性を下げることができるだろうと記載されている。報告書は、連邦取引委員会(FTC)と消費者金融保護局(CFPB)による消費者報告機関(CRA:Consumer Reporting Agency)の監視における役割について調査したものである。GAOは議会に対し、「グラム・リーチ・ブライリー法(GLBA: Gramm-Leach-Bliley Act)が定める保護規定を強制するため、FTCが違反企業に制裁金を科せる権限の付与を検討することを推奨している。」

- http://www.nextgov.com/analytics-data/2019/03/empowering-regulators-could-stop-next-equifax-breach-watchdog-says/155842/
- http://www.gao.gov/products/GAO-19-469T
- http://www.gao.gov/assets/700/697026.pdf

【編集者メモ】(Pescatore)
SANSは2013年、FTCに「Difference Makers」賞を贈っており、GAOの報告書は、その後FTCが企業による悪質なサイバーセキュリティ違反の取り締まりにおいて、効果を発揮し続けていると記している。私は法律家ではないが、GLBAは「はがきを発送する」ような法律であり、無意味なものだ。FTCの権限にGLBAに関する権限を加えても、FTCの効果を薄める結果となる可能性がある。
────────────────

◆ ニューヨーク州立大学ストーニーブルック校が、サイバーセキュリティにおける優秀な人材の発掘と学生自治会の発展に、Cyber FastTrackを活用(2019.4.2)
各大学では、IT関連部署におけるサイバーセキュリティ技術に長けた人材の不足に直面している。ある大学は、サイバーセキュリティ分野において高い能力を発揮する学生が、驚くほど多くいるという事実を見いだした。計画的に準備されたプログラムであれば、サイバーセキュリティ分野の仕事に最も適した学生を確保し、その学生に、高給なサイバーセキュリティ分野の仕事に就く足がかりとなるような、素晴らしい経験を与えることができる。

- http://er.educause.edu/blogs/2019/4/cyberstart-finding-the-best-candidates-for-student-cybersecurity-positions-and-beyond

【編集者メモ】(Paller)
(州知事がCyber FastTrackの開催を宣言した)27州内の大学に所属するCIOやCISO、学生は、ストーニーブルック校が発見しその効果を確認したツールを、4月5日金曜日にこちらで試すことが可能だ。http://www.cyber-fasttrack.org/
────────────────

◆ スイスのオンライン投票ソフトウェアにおいて、また新たな脆弱性が見つかる(2019.3.25)
スイスが今年中の使用を計画している、インターネット投票ソフトウェアのソースコードを調査中の複数の研究者は、投じられた票を意味の成さないデータに変更(悪用)できてしまう脆弱性を発見した。研究者の論文によると、彼らは「SwissPost-Scytl社によるFiat-Shamirヒューリスティックの実装には、問題なく検証を行うが、実際には平文とは違う復号内容を証明してしまう、不正な復号証明を生成する脆弱性が存在する」ことを発見した。彼らは数週間前にも同じソフトウェアにおける脆弱性を発見しており、こちらの脆弱性は、悪用すると実際の票を不正に作成された票と入れ替えることができてしまうものである。報道によると、後者の脆弱性は既に修正されている。

- http://www.cyberscoop.com/swiss-voting-system-second-flaw/
- http://people.eng.unimelb.edu.au/vjteague/HowNotToProveElectionOutcome.pdf

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃OUCH! 4月号「パスワードとその管理を容易なものにする」について
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
パスワードはアカウントを保護するために重要だと聞かされているでしょうが、
パスワードの安全な作成方法や管理方法について教わることは少ないかもしれま
せん。今月は、覚えるのが難しいパスワード設定から卒業するパスフレーズの導
入方法について解説すると同時に、複数のサービスで同じパスワードを使い回す
ことがないようにするパスワードマネジャーについて、一般ユーザ向け分かりや
すく解説します。社員の意識向上ツールとしてお使いください。
https://www.sans.org/sites/default/files/2019-04/201904-OUCH-April-Japanese.pdf
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

◆ 25名の州知事が、米国の大学生向けのサイバーセキュリティ人材発掘プログラムを立ち上げ(2019.4.5)
受付開始から最初の3時間で571名の大学生が、州知事によるサイバーセキュリティ人材を探すプログラムに参加登録した。(リーダーボードはこちら:http://www.governorscyberskillsprogram.org/cft)このプログラムは、学生がサイバーセキュリティ分野の仕事で成功する素質があるか否かを発見できる優れた機会となっている。各大学で使用できる奨学金とともに、SANSコース用の奨学金240万USドルが用意されており、優秀な成績を残した参加者に授与される予定。

http://www.cyber-fasttrack.org/
────────────────

◆ サードパーティ製アプリの開発者が回収したFacebookデータが、不適切に保護されていた(2019.4.3)
アプリ開発者の2者が保存していた2つの異なるデータセットが、Amazon web ServicesのS3バケットにおける不適切なセキュリティ設定が原因で、外部から閲覧可能な状態となっていた。そのうち一つのデータセットは現在適切に保護されており、もう一つは削除されている。

- http://www.wired.com/story/facebook-apps-540-million-records/
- http://www.govinfosecurity.com/millions-facebook-records-found-unsecured-on-aws-a-12337
- http://www.upguard.com/breaches/facebook-user-data-leak

【編集者メモ】(Pescatore)
Amazon社は、同社のサービスにおいて基本的なサイバーセキュリティを確保するための簡単なチェックリストを公開しており、それらのサービスにおける脆弱性スキャンを実施できる、Cloudsploitのようなオープンソースのツールも存在している。

【編集者メモ】(Neely)
Amazon社は、S3バケットの設定を複数の認証や手順が必要となるよう設計しているが、いまだに外部から閲覧可能な状態となっているバケットが大量に存在しているため、今後も同様の発見が続くと考えられる。セキュリティ要件をデータ管理者に伝える必要性を周知することは容易だが、検証ははるかに難しい。
────────────────

◆ 家庭用ルータが、DNSハイジャック攻撃の標的となる(2019.4.4)
過去数か月に渡り、ハッカー集団は家庭用ルータに侵入し、トラフィックのハイジャックと、ユーザを悪意のあるウェブサイトへ転送することを目的としたDNSの設定変更を行う攻撃を展開してきた。標的とされた機器の大半はD-Link社製のルータで、これまでに2018年12月下旬、2019年2月上旬、2019年3月下旬の3回、大規模な攻撃が展開された。ユーザは、最新のファームウェアを使用していることを確認する必要がある。

- http://www.zdnet.com/article/hacker-group-has-been-hijacking-dns-traffic-on-d-link-routers-for-three-months/
- http://arstechnica.com/information-technology/2019/04/ongoing-dns-hijackings-target-unpatched-consumer-routers/
- http://badpackets.net/ongoing-dns-hijacking-campaign-targeting-consumer-routers/

【編集者メモ】(Neely)
最近の家庭用ルータには、自動ファームウェアアップデート機能が備わっており、この機能は有効化しておくべきものだ。その上で、使用している機器の製品ライフサイクルを理解してもらいたい。ファームウェアのアップデートは数年のみ利用可能であるため、4、5年おきに機器を入れ替える必要がある。機器入れ替えの利点の一つは、新しいネットワークとセキュリティ機能のサポートが含まれることである。

【編集者メモ】(Murray)
家庭用ルータは家庭内ネットワークを、公共ネットワーク上の悪意のあるトラフィックから保護する壁となるものであり、家庭とネットワークのセキュリティ双方において重要である。家庭用ルータにおいては、自分で実施する設定とデフォルトの設定が重要になる。D-Link社製のルータはとても人気がある。Googleで、「D-Linkルータの設定方法」と入力し検索しよう。デフォルトの管理者パスワードを変更することから始めるべきだ。

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の無料セミナー・イベント        <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
〇4月11日(木) 博多:ユービーセキュア協賛
 NAL第1回セキュリティセミナー
 徹底対策!アプリケーションセキュリティ
https://www.toyo.co.jp/ss/seminar/detail/nalseminar_20190411?xmid=300&xlinkid=01

〇5月16日(木)、7月18日(木)
 Web分離・無害化によるセキュリティ対策
 ~触って理解するMenlo Security~
https://www.nri-secure.co.jp/seminar/2019/isolation04.html?xmid=300&xlinkid=03

〇5月22日(水)
 重要情報を守る!
 サイバー攻撃や内部不正からの情報漏洩を効率よく防ぐためのアクセス制御とは
 ~特権IDアクセス管理の事例とポイント~
https://www.nri-secure.co.jp/seminar/2019/ac06.html?xmid=300&xlinkid=04

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の有料研修               <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○5月、6月、7月、9月、10月、11月、12月、2020年1月、2月、3月
 CISSP CBKトレーニング
https://www.nri-secure.co.jp/service/learning/cissp_training.html?xmid=300&xlinkid=05

〇5月、8月、2020年2月
 セキュアEggs(基礎 / インシデント / Webアプリ / フォレンジック)
https://www.nri-secure.co.jp/service/learning/secureeggs.html?xmid=300&xlinkid=06

○7月
 SANS Cyber Defence Japan 2019
https://sans-japan.jp/cyber_defence_japan2019/index.html?xmid=300&xlinkid=07

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃コラム(Secure SketCH ブログ) <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
〇クレジットカード情報を守りぬく|ECサイトに必要なセキュリティとは?
https://www.secure-sketch.com/blog/security-measures-to-protect-credit-card-information?xmid=300&xlinkid=11

〇コンサルタントが覗いたセキュリティ最前線|RSAカンファレンスレポート
https://www.secure-sketch.com/blog/rsa-conference-2019-report?xmid=300&xlinkid=12

〇IoTセキュリティ対策を3ステップで解説!
https://www.secure-sketch.com/blog/iot-3step-security?xmid=300&xlinkid=13


━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃ebook(無料ダウンロード)  <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
〇生産性の高いセキュリティ
 - Secure SketCHを最大限に活用して、セキュリティ業務を「効率化」する手法 -
https://www.secure-sketch.com/ebook-download/efficient-security-operations?xmid=300&xlinkid=14

〇EDR導入ガイド
 - インシデント前提社会の最適解 -
https://www.secure-sketch.com/ebook-download/recommend-edr-use?xmid=300&xlinkid=15

○デジタル化時代のセキュリティ基盤
 - 再考を要するサイバーセキュリティ対策の在り方 -
https://www.secure-sketch.com/ebook-download/security-infrastructure-in-digitalization?xmid=300&xlinkid=16

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃お知らせ                     <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
〇NRIセキュア、イスラエルSCADAfence社製品の販売・導入支援を開始
 ~工場・ビル内のインダストリアルIoTシステムに対するサイバー攻撃を
  監視・検知~
https://www.nri-secure.co.jp/news/2019/0409.html?xmid=300&xlinkid=17

〇サーバ環境を総合的に守るセキュリティサービス
 「Trend Micro Deep Security as a Service」の管理サービスを提供開始
https://www.nri-secure.co.jp/news/2019/0404.html?xmid=300&xlinkid=18

〇NRIセキュア、メール訓練サービスを刷新
 ~GSX社と共同で、販売促進に向けたサービス企画や調査活動を実施~
https://www.nri-secure.co.jp/news/2019/0328.html?xmid=300&xlinkid=19

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃Secure SketCH 無料登録受付中 <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○30分でわかる!貴社に必要なセキュリティ対策
https://www.secure-sketch.com/?xmid=300&xlinkid=25

--

NRI Secure SANS NewsBites 日本版は、米国の情報セキュリティの専門機関であるSANS Instituteが配信するコンテンツ (SANS NewsBites)をベースに、NRIセキュアテクノロジーズが編集してお届けしています。 世界中でこの1週間に起こったセキュリティのあらゆるトピックと専門家のコメントが掲載されています。原版は、およそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュースソースとして活用されています。組織のセキュリティ管理に関する参考情報としてお役立てください。掲載されている情報は、e-mailを介して自由に他の方に再送していただいて結構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望される方は、弊社ホームページの以下のページよりお申込みください。
https://www.nri-secure.co.jp/news_letter/

本ニュースレターは、メールマガジン配信を申し込まれた方、弊社からの情報を希望された方、SANS関連のイベントに参加された方、その他イベント等において弊社講演枠に登録された方に配信しています。
今後、配信をご希望されない方は会社名と御氏名を本文に明記のうえ、件名に【配信不要】、配信先変更をご希望の方は【配信先変更希望】とご記入頂き、新旧のご連絡先も記載のうえ、info@sans-japan.jp までご返信をお願い致します。なお、情報の反映までにお時間を頂戴する場合がございます。