NRI Secure SANS NewsBites 日本版

Vol.14 No.12 2019年4月23日発行

──────────────────────────
■■SANS NewsBites Vol.14 No.12
(原版: 2019年 4月 16日、19日)
──────────────────────────


┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 2┃0┃1┃9┃年┃7┃月┃東┃京┃開┃催┃
 ━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛
 S┃A┃N┃S┃ト┃レ┃ー┃ニ┃ン┃グ┃
 ━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛
 早┃期┃割┃引┃に┃て┃受┃付┃中┃!┃
 ━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛

【SANS Cyber Defence Japan 2019】全8コース実施予定
  https://sans-japan.jp/cyber_defence_japan2019/index.html

◆◆◆◆とくにおすすめコース◆◆◆◆

SEC599:Defeating Advanced Adversaries - Purple Team Tactics & Kill Chain Defenses
~真のパープルチームを編成するために~

攻撃「レッドチーム」と防御「ブルーチーム」を効果的に融合させ、
高度かつ持続的な攻撃に対応するための「パープルチーム」編成に必要な知識と
スキルが習得可能。ぜひご検討ください。

SEC599詳細:https://sans-japan.jp/cyber_defence_japan2019/sec599.html

開催日:2019/7/1(月)~2019/7/6(土)
[ SEC542 ]:Web App Penetration Testing and Ethical Hacking
[ SEC560 ]:Network Penetration Testing and Ethical Hacking
[ SEC599 ]:Defeating Advanced Adversaries - Purple Team Tactics & Kill Chain Defenses
[ FOR508 ]:Advanced Digital Forensics, Incident Response, and Threat Hunting

開催日:2019/7/8(月)~2019/7/13(土)
[ SEC401 ]:Security Essentials Bootcamp Style【日本語】
[ SEC504 ]:Hacker Tools, Techniques, Exploits, and Incident Handling【日本語】
[ SEC555 ]:SIEM with Tactical Analytics
[ FOR572 ]:Advanced Network Forensics and Analysis

┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛

◆ 保険業者が「戦争行為」を理由として、NotPetyaによる被害に対する補償金の支払いを拒否(2019.4.15)
スナック食品メーカーであるMondelez International社は、2017年にNotPetyaによる攻撃を受け、ウイルス駆除とコンピュータ機器の入れ替え、受注残高を合わせて1億USドル以上の損失を被った。Mondelez社が契約を結んでいる保険業者Zurich Insurance社は、「戦争行為」を理由として補償金の支払いを拒否した。製薬会社Merck社も、同社が契約している保険業者が、合計で7億USドル近くとなったNotPetyaによる損失への補償金支払いを拒否したと発表した。2社はどちらも、保険業者の決定に異議を唱える裁判を起こした。訴訟の焦点となるのは、米国政府がNotPetyaによる攻撃をロシアによって行われたものと判断した事実が、保険業者が「戦争行為」条項を適用する上で十分なものであるかという点である。

- http://www.nytimes.com/2019/04/15/technology/cyberinsurance-notpetya-attack.html

【編集者メモ】(Williams)
NotPetyaによる被害が発生するまで保険業者がこの戦略を試さなかった理由は、裁判所における訴訟と失敗が負の先例を生むと考えているからだ。保険業者は自分たちに都合の良い判決が出る確率を最大限まで高めたかったため、モデルケースが示されることを待っていた。NotPetyaがまさにそのモデルケースだ。攻撃にロシアが関わっていたことは疑いの余地が無く、その動機はほぼ間違いなくウクライナを攻撃することだ。自社の最高リスク管理責任者(CRO)が会社における事例を追跡する手助けをする必要がある。適切に扱われれば、サイバー保険はビジネスにおいて実存するリスクを軽減することが可能だ。何が補償されて、何が保障されないのかを正しく理解していないことは、それ自体が重大なリスクとなり得る。

【編集者メモ】(Murray)
本件は、実際に法廷で争われたり、重大な問題が解決されたりするよりも、和解となる可能性が高い。焦点の一つは、本件が「戦争行為」という用語が意図している規模のものなのかという点。もう一つは、いたずらに、あるいは悪意を持って行われた国家による全ての活動が、「戦争行為」なのかという点だ。お金を払っている補償サービスを実際に受けられるかを確かめることは、保険の購入者自身に委ねられている。「サイバー」保険に詳しい仲介業者やアジャスターの活用を検討するべきだ。
────────────────

◆ 法執行機関は令状を使用し、Google社から機器の位置情報データを受け取ることができる(2019.4.13)
Google社のデータベースSensorvaultには、世界中の数億に及ぶ機器の位置情報データが格納されている。法執行機関の捜査担当者は、犯罪における容疑者を特定する作業の中で、令状を使用し、Sensorvaultに格納されている情報を受け取っていた。Sensorvaultは、デフォルトでは有効化されていないが、交通情報通知などの複数のサービスではユーザに対して有効化を推奨している、Googleロケーション履歴のデータを保持している。法執行機関は、犯罪発生時に付近に存在していた機器に関する情報を、Sensorvaultから取得している。Google社が提供する初期データは匿名化されているが、法執行機関が行動パターンを分析し、捜査対象となる機器の数を絞った後、Google社は法執行機関に対し、対象機器の持ち主に関する情報を提供する。

- http://www.nytimes.com/2019/04/13/technology/google-sensorvault-location-tracking.html

【編集者メモ】(Pescatore)
問題点がいくつかある。SANSの講師を務めるHeather Mahalik氏が、RSAカンファレンスにおいて脅威に関する素晴らしい基調講演を行い、その中でGoogleを主要な例として挙げ、クラウドサービスプロバイダが個人に関してどれほど多くの情報を収集しているかを語った。http://myactivity.google.com/で概要が掴めるだろう。またhttp://myaccount.google.com/では、Webやアプリにおける活動や、ロケーション履歴、音声録音、その他「この機能はユーザーエクスペリエンスを向上させます」という部類のサービスを無効化できる。法執行機関に関して言うと、裁判所が個人は「電話業者に対し自発的に電話番号を伝達した」という判決を下したため、
電話をかけた先の、もしくは着信を受けた番号データを令状無しで取得できるという長い歴史がある。つまり、自発的にここに挙げたサービスを有効化すると、少なくとも米国では情報を収集する許可を与えたと解釈される。ヨーロッパではGDPRがもう少し複雑に作用している。最低限するべきことは、事前に十分な情報を得た上で判断し、設定を確認することだ。
────────────────

◆ 米空軍におけるキャリアパスに、サイバーセキュリティが追加される(2019.4.11)
米空軍は、新たにインテリジェンス、宇宙空間、サイバーセキュリティを含む7つの職種を新設した。人材、人事、(役務、兵役、軍務)担当参謀次長Brian Kelly空軍中将は、報道関係者に対し、「空軍において万能なキャリアパスは設定できない」と述べた。

- http://fcw.com/articles/2019/04/11/usaf-cyber-career-category.aspx
────────────────

◆ CERT/CCが、VPNアプリにおける脆弱性について注意喚起(2019.4.11 & 2019.4.12)
カーネギーメロン大学のCERT Coordination Centerは、Vulnerability Noteにおいて、複数のVPN(Virtual Private Network)アプリが暗号化されていない認証情報やセッションCookieをメモリ内および(もしくは)ログファイル内に格納しているとして、注意を促している。該当のVulnerability Noteには影響を受ける複数の製品が列挙されており、「同様の設定は、他のVPNアプリケーションにおいても一般的に使われている可能性が高い」と記されている。影響を受けることが判明している製品のうちいくつかについては、本脆弱性が修正されている。

- http://www.kb.cert.org/vuls/id/192371/
- http://threatpost.com/authentication-bypass-bug-enterprise-vpns/143781/
- http://www.cyberscoop.com/dhs-alert-enterprise-vpn-cisco-f5-palo-alto-networks/
- http://www.theregister.co.uk/2019/04/12/uscert_vpn_alert/
────────────────

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃OUCH! 4月号「パスワードとその管理を容易なものにする」について
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
パスワードはアカウントを保護するために重要だと聞かされているでしょうが、
パスワードの安全な作成方法や管理方法について教わることは少ないかもしれま
せん。今月は、覚えるのが難しいパスワード設定から卒業するパスフレーズの導
入方法について解説すると同時に、複数のサービスで同じパスワードを使い回す
ことがないようにするパスワードマネジャーについて、一般ユーザ向け分かりや
すく解説します。社員の意識向上ツールとしてお使いください。
https://www.sans.org/sites/default/files/2019-04/201904-OUCH-April-Japanese.pdf
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

◆ サイバー技術アカデミーの授業が始まる。当初の定員から5名増員。(2019.4.16)
連邦サイバー技術アカデミーの初回授業が、4月15日月曜日に行われた。当初定員は25名であったが、プログラムへの関心の高さから30名に増員となった。1500名以上の連邦職員が出願した。最初のグループは、現在IT関連の仕事に従事していない連邦職員に限定されている。

- http://federalnewsnetwork.com/training/2019/04/demand-pushes-cio-council-to-increase-class-size-of-cyber-reskilling-academy/
- http://www.nextgov.com/cybersecurity/2019/04/class-session-federal-cyber-reskilling-academy/156348/

【編集者メモ】(Paller)
技術アカデミーにおけるIT関連の仕事に従事したことがない職員の中で、並外れた才能が早期に示されていることは、このプログラムで使用しているサイバーセキュリティにおける素質をはかるテストが、IT以外の分野で働く人々の中からサイバーセキュリティ分野における仕事に向いている人材を、高い信頼性を持って発掘できていることを証明している(これまでにも英国で検証されていた)。現在の推測では、高い才能を示す人材が1%、現在サイバーセキュリティ分野の仕事に従事する専門家と同程度の才能を示す人材が3%となっており、この数字は大きなものだ。DHSのように24万人の職員を抱える連邦組織では、未開発の才能を秘めた人材が2000人
以上存在するということであり、彼らの大半はそうした才能を持っていることに気づいていない。2000人規模の企業であれば、その数は20人だ。才能ある人材に、実際にサイバーセキュリティの業務に従事してもらうために必要な訓練の期間は9か月弱で、訓練を受けた人材は正当な額の給料を受け取る。このような人材は大抵、企業においてセキュリティクリアランスを保有している。
────────────────

◆ Oracle社のCritical Patch Updateにおいて、300近くの脆弱性が修正される(2019.4.16 & 2019.4.17 & 2019.4.18)
Oracle社が公開した直近のCritical Patch Updateにおいて修正された297の脆弱性には、発見から3年近く経っていた、Appache Commons FileUploadライブラリにおけるJavaのデシリアライズに関する問題が含まれる。アップデートは4月19日水曜日に公開された。

- http://www.theregister.co.uk/2019/04/16/oracle_bug_fixes/
- http://www.zdnet.com/article/oracle-security-warning-customers-told-to-patch-asap-to-swat-297-bugs/
- http://www.zdnet.com/article/oracle-security-warning-customers-told-to-patch-asap-to-swat-297-bugs/
- http://www.oracle.com/technetwork/security-advisory/cpuapr2019-5072813.html

【編集者メモ】(Neely)
関連する製品の幅が広いため、自社の製品を見落とす可能性がある。Javaの修正パッチを適用する際、サポートが切れている古い、また安全ではないJavaの実装を確認し、それらを排除するべきだ。

【編集者メモ】(Murray)
大きな攻撃可能箇所が存在する製品やシステムは、パブリックネットワークから見えないように設定すべきだ。
────────────────

◆ DNSハイジャック攻撃Sea Turtle (2019.4.17)
Cisco Talosのセキュリティグループが公開したレポートによると、同グループがSea Turtleと名付けたサイバー攻撃活動は、DNSハイジャックを通して40の組織を標的としていた。複数の事例において、国別コードトップレベルドメインが悪用されていた。Talosによると、Sea Turtleでは「基本的に中東や北アフリカの国に属するセキュリティ組織」が標的となっている。

- http://blog.talosintelligence.com/2019/04/seaturtle.html
- http://www.wired.com/story/sea-turtle-dns-hijacking/
- http://arstechnica.com/information-technology/2019/04/state-sponsored-domain-hijacking-op-targets-40-organizations-in-13-countries/
- http://threatpost.com/dns-hijacking-campaign-40-firms-globally/143870/
- http://www.theregister.co.uk/2019/04/17/sea_turtle_dns/
- http://www.cyberscoop.com/ongoing-state-sponsored-dns-hijacking-campaign-compromised-40-entities/

【編集者メモ】(Pescatore)
直近のRSAカンファレンスにおいて、Ed Skoudis氏、Johannes Ullrich氏、Heather Mahalik氏が、DNSハイジャックやその他の活動的な脅威に関する素晴らしい基調講演を行った。SANSはデータとともに3名の考えを要約した文書を作成した。またウェビナーをライブと録画でこちらから視聴可能だ。
http://www.sans.org/webcasts/top-attacks-threat-report-110540
────────────────

◆ テキサス州、カリフォルニア州、バージニア州、メリーランド州が、各州知事が主催する大学生向けサイバーセキュリティ人材発掘プログラムにおいてリード(2019.4.19)
米国27の州にある1000の大学に所属する6600名の学生が、奨学金とSANSの高度トレーニング用に用意された250万USドルの獲得を目指し、CyberStart Assessに挑んでいる。州のランキングはこちら:http://www.governorscyberskillsprogram.org/cft
大学のランキングは来週公開される。本プログラムに関する情報と参加登録はこちら:http://www.cyber-fasttrack.org/
────────────────

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の無料セミナー・イベント        <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
〇5月16日(木)、7月18日(木)
 Web分離・無害化によるセキュリティ対策
 ~触って理解するMenlo Security~
https://www.nri-secure.co.jp/seminar/2019/isolation04.html?xmid=300&xlinkid=01

〇5月22日(水)
 重要情報を守る!
 サイバー攻撃や内部不正からの情報漏洩を効率よく防ぐためのアクセス制御とは
 ~特権IDアクセス管理の事例とポイント~
https://www.nri-secure.co.jp/seminar/2019/ac06.html?xmid=300&xlinkid=02

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の有料研修               <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○5月、6月、7月、9月、10月、11月、12月、2020年1月、2月、3月
 CISSP CBKトレーニング
https://www.nri-secure.co.jp/service/learning/cissp_training.html?xmid=300&xlinkid=05

〇5月、8月、2020年2月
 セキュアEggs(基礎 / インシデント / Webアプリ / フォレンジック)
https://www.nri-secure.co.jp/service/learning/secureeggs.html?xmid=300&xlinkid=06

○7月
 SANS Cyber Defence Japan 2019
https://sans-japan.jp/cyber_defence_japan2019/index.html?xmid=300&xlinkid=07

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃コラム(Secure SketCH ブログ) <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
〇知っておきたいAWSのセキュリティ機能|S3編
https://www.secure-sketch.com/blog/aws-s3-security?xmid=300&xlinkid=12

〇【徹底解説】IoTセキュリティ|必要不可欠な「全体視点」とは?
https://www.secure-sketch.com/blog/overall-view-of-iot-security?xmid=300&xlinkid=13

〇クレジットカード情報を守りぬく|ECサイトに必要なセキュリティとは?
https://www.secure-sketch.com/blog/security-measures-to-protect-credit-card-information?xmid=300&xlinkid=14

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃ebook(無料ダウンロード)  <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
〇中堅・中小企業のためのセキュリティ対策を進めるキーポイント
https://www.secure-sketch.com/ebook-download/key-points-for-promoting-security-measures?xmid=300&xlinkid=13

〇生産性の高いセキュリティ
 - Secure SketCHを最大限に活用して、セキュリティ業務を「効率化」する手法 -
https://www.secure-sketch.com/ebook-download/efficient-security-operations?xmid=300&xlinkid=14

〇EDR導入ガイド
 - インシデント前提社会の最適解 -
https://www.secure-sketch.com/ebook-download/recommend-edr-use?xmid=300&xlinkid=15

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃お知らせ                     <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
〇NRIセキュア、日本プルーフポイント株式会社の「プラチナム・パートナー」
 に認定
https://www.nri-secure.co.jp/news/2019/0422.html?xmid=300&xlinkid=16

〇ITRの調査で「Vex」がWebアプリケーション脆弱性管理市場において
 シェアNo.1を獲得
https://www.nri-secure.co.jp/news/2019/0419.html?xmid=300&xlinkid=17

〇NRIセキュア、セキュリティ対策実行支援プラットフォーム「Secure SketCH」
 に新機能を追加
 ~情報セキュリティに関するガイドラインへの遵守状況の把握と、
  レポート出力が可能に~
https://www.nri-secure.co.jp/news/2019/0417.html?xmid=300&xlinkid=18

〇高速でセキュアなリモートアクセス・拠点間ネットワーク・インターネット
 アクセスを実現する「CATO Cloud」の運用支援サービスを提供開始
https://www.nri-secure.co.jp/news/2019/0412.html?xmid=300&xlinkid=19

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃Secure SketCH 無料登録受付中 <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○30分でわかる!貴社に必要なセキュリティ対策
https://www.secure-sketch.com/?xmid=300&xlinkid=25

--

NRI Secure SANS NewsBites 日本版は、米国の情報セキュリティの専門機関であるSANS Instituteが配信するコンテンツ (SANS NewsBites)をベースに、NRIセキュアテクノロジーズが編集してお届けしています。 世界中でこの1週間に起こったセキュリティのあらゆるトピックと専門家のコメントが掲載されています。原版は、およそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュースソースとして活用されています。組織のセキュリティ管理に関する参考情報としてお役立てください。掲載されている情報は、e-mailを介して自由に他の方に再送していただいて結構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望される方は、弊社ホームページの以下のページよりお申込みください。
https://www.nri-secure.co.jp/news_letter/

本ニュースレターは、メールマガジン配信を申し込まれた方、弊社からの情報を希望された方、SANS関連のイベントに参加された方、その他イベント等において弊社講演枠に登録された方に配信しています。
今後、配信をご希望されない方は会社名と御氏名を本文に明記のうえ、件名に【配信不要】、配信先変更をご希望の方は【配信先変更希望】とご記入頂き、新旧のご連絡先も記載のうえ、info@sans-japan.jp までご返信をお願い致します。なお、情報の反映までにお時間を頂戴する場合がございます。