NRI Secure SANS NewsBites 日本版

Vol.14 No.17 2019年6月6日発行

──────────────────────────
■■SANS NewsBites Vol.14 No.17
(原版: 2019年 5月 28日、31日)
──────────────────────────


┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 2┃0┃1┃9┃年┃7┃月┃東┃京┃開┃催┃
 ━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛
 S┃A┃N┃S┃ト┃レ┃ー┃ニ┃ン┃グ┃
 ━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛
 開┃催┃ま┃で┃あ┃と┃1┃か┃月┃絶┃賛┃お┃申┃込┃中┃!┃
 ━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛

【SANS Cyber Defence Japan 2019】全8コース実施予定
  https://sans-japan.jp/cyber_defence_japan2019/index.html

+++++++++++++++++++++++++++++++++++++++++++++++++++++++

残すところ開催まであと1か月となりました。
絶賛申込み受付中です。
みなさまのご参加お待ちしております。

+++++++++++++++++++++++++++++++++++++++++++++++++++++++

◆1週目◆
開催日:2019年7月1日(月)~2019年7月6日(土)
開催コース
 SEC542:Web App Penetration Testing and Ethical Hacking
SEC560:Network Penetration Testing and Ethical Hacking
SEC599:Defeating Advanced Adversaries - Purple Team Tactics & Kill Chain Defenses
FOR508:Advanced Digital Forensics, Incident Response, and Threat Hunting

◆2週目◆
開催日:2019年7月8日(月)~2019年7月13日(土)
開催コース
 SEC401:Security Essentials Bootcamp Style【日本語】
SEC504:Hacker Tools, Techniques, Exploits, and Incident Handling【日本語】
SEC555:SIEM with Tactical Analytics
FOR572:Advanced Network Forensics and Analysis

◆トレーニング費用(税抜)◆
通常価格:760,000円

◆お申込みについて◆
各コースページのお申込みボタンより、お1人様ずつお願いいたします。
https://sans-japan.jp/cyber_defence_japan2019/index.html

┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛

◆ NSAが開発したEternalBlueが、ランサムウェア攻撃に利用されている(2019.5.25 & 2019.5.26)
ボルチモア市のコンピュータシステムに損害を与えたランサムウェア攻撃では、米国家安全保障局(NSA)が開発したハッキングツールが部分的に使用されていた。NSAがEternalBlueと名付けたこのツールは、2017年にShadow Brokersの名で知られるハッカー集団によって窃取、リークされた。EternalBlueは、他都市のITシステムや、病院、空港、その他産業のシステムに対する攻撃に使用されたもよう。匿名で取材に応じた複数の元NSA職員は、窃取される前、NSAはEternalBlueが非常に便利なツールであるという認識を持っており、インターネット上で公開されるまで、このツールが悪用した脆弱性についてMicrosoft社に伝えることを考えていなかったと述べた。

- http://www.nytimes.com/2019/05/25/us/nsa-hacking-tool-baltimore.html
- http://www.cnet.com/news/stolen-nsa-hacking-tool-now-victimizing-us-cities-report-says/
- http://thehill.com/policy/cybersecurity/445612-hacking-tool-responsible-for-attack-on-baltimore-other-cities-developed
────────────────

◆ ジョージア州の投票マシンに対する訴訟が前進(2019.5.21)
ジョージア州の地方裁判所判事が、ジョージア州による紙を使用しないタッチスクリーン型の投票マシンの使用に対する訴訟を進める許可を出した。訴訟は、投票者が手書きの投票用紙を用いることを目指している。同州の検事はAmy Totenberg判事に対し、訴訟を却下するよう求めた。同判事が出した命令には、訴訟却下の要求は「電子投票システムが絶え間ない攻撃に晒されているという原告の申し立てに強調された、国内の選挙担当者が直面している現実を完全に無視するものだ」と記されている。

- http://www.nytimes.com/aponline/2019/05/21/us/ap-us-voting-machines-georgia.html

【編集者メモ】(Pescatore)
投票マシン業者さえも、投票行為の物理的な記録の必要性を感じていると思う。各州は、古い投票マシンをアスベスト材や鉛含有塗料と同じように扱うべきだ。有毒性を知る前に購入した物を入れ替えるにはお金がかかるが、入れ替えずに公衆の面前で「大丈夫、これは安全です」と本当に言えるだろうか。

【編集者メモ】(Neely)
既存の脆弱な電子投票システムを当初の予定よりも早めて入れ替えることは、セキュアな投票方法を実装するために必要なリソースを消費してしまうであろう、投票者の自信を取り戻すための訴訟やそれに関連する行動よりも経済的かもしれない。
────────────────

◆ 監察官:EPAは同機関の脆弱性軽減ポリシーに従っていない(2019.5.23 & 2019.5.24)
米環境保護庁(EPA)の監察官によると、同機関が保有するサイバーセキュリティ上の脆弱性を管理するツールが、一部の事務所において使用されていない。脆弱性のログ取得、管理、追跡を実施する自動化ツールがあるにも関わらず、同機関の一部の部門はサイバーセキュリティ問題を追跡、管理する独自の計画と手法を開発した。EPA情報セキュリティ担当者の一人は、対象の一部の事務所は、問題をスプレッドシートで追跡し、EPAの監視を回避する独自の脆弱性対策を管理していると述べた。監察官はまた、事務所独自の計画を保持するシステムには、未認証のユーザが監査ログを編集可能となる不適切なアクセス制御を含む脆弱性が存在することを発見した。

- http://www.meritalk.com/articles/epa-failing-to-monitor-for-cyber-weaknesses-ig-says/
- http://www.nextgov.com/cybersecurity/2019/05/epa-cybersecurity-weaknesses-are-going-untracked-and-unpatched/157226/
- http://www.epa.gov/sites/production/files/2019-05/documents/_epaoig_20190521-19-p-0158.pdf

【編集者メモ】(Pescatore)
この記事の内容は、組織的な問題における鼠巣のようなものだが、注目すべきことが一つある。「職員の数が足りない」という言い訳が持ち出されたが、監察官による調査では、少なくとも一つのグループが、「EPA内の外部関係者が、事務所の脆弱性対策を監視すること」を防ぐために、正式な追跡システムに脆弱性を入れていなかった。ひどく壊れた手続きと粗末な管理体制は、「人と予算をもっと注ぎ込もう」という考えを助長し、予想通り悪い結果を生む。

【編集者メモ】(Neely)
EPAは、CDM(継続的な診断と緩和)をシステムの状態や脆弱性対策の見え方をより良くするために活用することを考えているが、監視を回避しようとしているグループに対処することも必要となるだろう。集中的なシステム管理が特定のプログラムに支障をきたす場合、懸念点を解消し、企業による監視を受ける前にスキャンの調整やWindowsのパッチ適用といったそのプログラムに合った手続きを実装する必要がある。
────────────────

◆ NASAのサイバーセキュリティが継続的な診断と緩和により強化される(2019.5.22)
NASAの職員は、「NASAのネットワーク内に何があるのかを、3年前よりも把握できている」と述べ、米国土安全保障省が展開する継続的な診断と緩和(CDM)プログラムが同機関におけるサイバーリスクへの対応を改善し、同機関にとって大きな助けとなっていることを明かした。

- http://www.nextgov.com/cybersecurity/2019/05/nasa-official-credits-dhs-cyber-tools-transforming-its-cyber-stance/157204/

【編集者メモ】(Pescatore)
この記事には判断材料が不足しており、ネットワーク上に何があるかを知るだけでは、セキュリティの向上にはつながらない。しかし、政府機関を72時間の監視と脆弱性評価サイクルに組み込むCDMの採用は、リスク軽減の変更と向上のために必要だ。理想としては、よくある脆弱性を避け、避けては通れない脆弱性に対する迅速な軽減策を適用することだ。

【編集者メモ】(Paller)
多くの政府機関がCDMの採用を宣言しているが、得られたデータを脆弱性の軽減に役立てられてはいない。CDMは強力なツールとなり得るが、政府機関の大半は、信頼できるデータ無しでセキュリティを(誤って)管理し続けている一方で、CDMを整ったチャートやDHSとのコンプライアンスであると捉えている。

【編集者メモ】(Neely)
CDMプログラムは、政府機関におけるハードウェア、ソフトウェア、脆弱性情報の可視化を提供する。困難な点は、強化できないシステムを隔離するセグメンテーションのような軽減策を捉えることだ。これが達成されることで、システムの状態が適切に調整されたリスク指標とともに一覧表示される。現状では、OTとクラウドはCDMの対象外となっている。監視性能が成熟するにつれ、クラウド向けの要求事項が発生するようになるだろう。
────────────────

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃OUCH! 5月号「サイバーセキュリティ分野の仕事」について
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
サイバーセキュリティに関わる仕事というのに興味を持ったことはありますか。
学歴が求められるのか、どこから手をつければいいのか分からない方向けに、い
くつかの例を交えてヘザー・マハリクが解説します。彼女は、昨年度FOR585で来
日しスマートフォンのフォレンジックを解説いただいた方です。情熱的かつ献身
的な指導から、受講生からの評価も高かった女史が語るサイバーセキュリティの
仕事について考えてみてはいかがでしょうか。社内において人材育成を担当され
ている方やセキュリティ部署の意識向上ツールとしてもお使いいただけます。
https://www.sans.org/sites/default/files/2019-04/201905-OUCH-May-Japanese.pdf
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

◆ EternalBlueは誰の責任であり、誰が責任を取るのか(2019.5.30)
ボルチモア市に多大な被害を与えたEternalBlueの名で知られるランサムウェアには、窃取された後インターネット上に公開されたNSAのハッキングツールが使用されていた。NSAの上級セキュリティ調査官であるRob Joyce氏は、ボルチモア市には、2年以上前からパッチが公開されている既知の脆弱性に対して、サイバーセキュリティ対策を強化するための十分な時間があったと述べている。複数のセキュリティ専門家はJoyceに同調しているが、NSAのサイバーツール開発にはより厳しい監視が必要だと主張する者もいる。Axiosの記事が指摘しているとおり、2つの意見は相容れないものだ。

- http://www.nextgov.com/cybersecurity/2019/05/nsa-deflects-blame-baltimore-ransomware-attack/157376/
- http://www.axios.com/nsas-rogue-hacking-tool-sparks-debate-c7123c23-c7cf-4d10-8458-f2a2b1e33a89.html

【編集者メモ】(Henry)
(免責事項:Joyce氏の講演が行われたカンファレンスは、私が所属する会社の社長が開催した。)どちらの意見も正しいと思う。まず、この脆弱性は2年前から知られている有名なものであり、修正パッチが公開されてもなおシステムにパッチを適用しないことは、サイバーセキュリティ101に違反する重大な事件だ。次に、より重要な点だが、世界中の国家や諜報機関がネットワークの悪用が起きる基準をどのように定義するかについて、真剣な議論が行われる必要がある。インフラの脆さや、その脆さによる重要な公共サービスや福祉サービスへの影響は、今後広範囲に悪影響を及ぼすこととなるだろう。そのようなインフラに損害を与えたり、インフラを悪用するツールの開発は、受入可能性を定義し、明確な約束事を設けるため、国際的なフォーラムにおいて国家間で評価する必要がある。

【編集者メモ】(Murray)
このツールは「サイバー空間」を永久に汚染し続ける。私たちが活動する環境を必要以上に厳しいものにしている。環境を浄化することは不可能であるため、ツールが存在する空間が悪用する脆弱性に対して、私たちは全員がパッチを適用しなければならない。NSAは、セキュアに自組織のツールを使うことについて、またその「使い方」について責任を負う必要がある。

【編集者メモ】(Neely)
EternalBlueの責任の所在を明確にしても、自発的に基本的なサイバーセキュリティ対策を行うことが不要になる訳ではない。ボルチモア市やEquifax社、その他の事件で学んだとおり、軽減策が取られていない脆弱性は悪用される。また、EternalBlueのようなツールが敵国相手に使用された場合、敵国はそのツールを解析して同等の性能を備えたものを作るため、その性能を抑止できなくなる可能性がある。
────────────────

◆ WordPressにおける既知の脆弱性が悪用されている(2019.5.29)
複数のハッカーが、WordPressプラグインにおける既知の脆弱性を悪用し、悪意のあるポップアップを表示したり、訪問者を悪意のあるサイトにリダイレクトしたりしている。WP Live Chat Supportにおけるクロスサイトスクリプティングの脆弱性に対する修正プログラムは、2週間前に公開された。

- http://arstechnica.com/information-technology/2019/05/hackers-actively-exploit-wordpress-plugin-flaw-to-send-visitors-to-bad-sites/

【編集者メモ】(Paller)
ウェブサイトで使用されているパッケージの中で最も頻繁に悪用され、危険であり、被害が発生しているものがコンテンツ管理システムであり、中でもWordPress(WP)があなたのデータとユーザを危険に晒しているものとして最も多く議論に上がっている。WPに頼っていて、WPの脆弱性からデータとユーザを保護するための、明文化され、試験済みである制御を持たないウェブサイト開発者は、近い将来怠慢の代名詞となるだろう。
────────────────

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の無料セミナー・イベント        <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
〇6月12日(水)
 クラウド時代における社外とのデータ授受のあるべき姿
 ~ファイル転送・共有サービスの正しい選び方~
https://www.nri-secure.co.jp/seminar/2019/file03.html?xmid=300&xlinkid=01

〇6月14日(金) 出展(講演)
 InteropTokyo2019
https://www.interop.jp/

 13:00-13:40 RoomC <C3-03>
 特権ID管理・アクセス制御、監査対応を効果的かつ効率的に実現するポイントとは
 ~特権ID管理の成功事例を交えて解説~

〇6月21日(金)
 CISSPチャレンジセミナー
 「CISSPならこう考える!CISOに必要な情報セキュリティの知識と考え方」
https://www.nri-secure.co.jp/seminar/2019/cissp03.html?xmid=300&xlinkid=02

〇7月4日(木)
 SANSコミュニティナイトセッション
 - OODA Security:Taking Back the Advantage -
 (OODAセキュリティ:防御の優位性を取りもどせ!)
https://www.nri-secure.co.jp/seminar/2019/sans03.html?xmid=300&xlinkid=03

〇7月11日(木)
 重要情報を守る!
 サイバー攻撃や内部不正からの情報漏洩を効率よく防ぐためのアクセス制御とは
 ~特権IDアクセス管理の事例とポイント~
https://www.nri-secure.co.jp/seminar/2019/ac06.html?xmid=300&xlinkid=04

〇7月18日(木)
 高速開発×セキュリティなら「Contrast Security」
 ~DevOpsからDevSecOpsへ~
https://www.nri-secure.co.jp/seminar/2019/devsecops01.html?xmid=300&xlinkid=05

〇7月18日(木)
 Web分離・無害化によるセキュリティ対策
 ~触って理解するMenlo Security~
https://www.nri-secure.co.jp/seminar/2019/isolation04.html?xmid=300&xlinkid=06

〇7月24日(水)
【令和元年】進化するMenlo Security
 ~Webの分離・無害化と、メールの無害化はどこまでできるのか~
https://www.nri-secure.co.jp/seminar/2019/menlo01.html?xmid=300&xlinkid=07

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の有料研修               <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○6月、7月、9月、10月、11月、12月、2020年1月、2月、3月
 CISSP CBKトレーニング
https://www.nri-secure.co.jp/service/learning/cissp_training.html?xmid=300&xlinkid=08

○7月
 SANS Cyber Defence Japan 2019
https://sans-japan.jp/cyber_defence_japan2019/index.html?xmid=300&xlinkid=09

〇8月、2020年2月
 セキュアEggs(基礎 / インシデント / Webアプリ / フォレンジック)
https://www.nri-secure.co.jp/service/learning/secureeggs.html?xmid=300&xlinkid=10

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃コラム(Secure SketCH ブログ) <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
〇【解説】NIST プライバシーフレームワークの概要と位置づけ
https://www.secure-sketch.com/blog/nist-privacy-framework-draft?xmid=300&xlinkid=11

〇「情報セキュリティ負債」との向き合い方
https://www.secure-sketch.com/blog/how-to-return-information-security-debt?xmid=300&xlinkid=12

〇不審なメールを「つい開いちゃう人」の心理
https://www.secure-sketch.com/blog/suspicious-email-and-human-factor?xmid=300&xlinkid=13

〇【最新】経産省「サイバー・フィジカル・セキュリティ対策フレームワーク」
 を読み解く
https://www.secure-sketch.com/blog/cyber-physical-security-framework?xmid=300&xlinkid=14

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃ebook(無料ダウンロード)  <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
〇生産性の高いセキュリティ
 - Secure SketCHを最大限に活用して、セキュリティ業務を「効率化」する手法 -
https://www.secure-sketch.com/ebook-download/efficient-security-operations?xmid=300&xlinkid=16

〇EDR導入ガイド
 - インシデント前提社会の最適解 -
https://www.secure-sketch.com/ebook-download/recommend-edr-use?xmid=300&xlinkid=17

〇中堅・中小企業のためのセキュリティ対策を進めるキーポイント
https://www.secure-sketch.com/ebook-download/key-points-for-promoting-security-measures?xmid=300&xlinkid=18

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃お知らせ                     <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
〇NDIAS、イエラエセキュリティ社と自動車のサイバーセキュリティ分野に
 おける技術を共同開発
 ~車両・車載電子機器のセキュリティ評価サービスの強化へ~
https://www.nri-secure.co.jp/news/2019/0605.html?xmid=300&xlinkid=21

〇ロケーションやデバイスに制約されないセキュアなインターネットアクセス環境
 を実現する「Zscaler Internet Access」のマネージドサービスを提供開始
 ~ゼロトラストモデル導入の一翼を担う~
https://www.nri-secure.co.jp/news/2019/0516.html?xmid=300&xlinkid=22

〇NRIセキュア、日本プルーフポイント株式会社の「プラチナム・パートナー」
 に認定
https://www.nri-secure.co.jp/news/2019/0422.html?xmid=300&xlinkid=23

〇ITRの調査で「Vex」がWebアプリケーション脆弱性管理市場において
 シェアNo.1を獲得
https://www.nri-secure.co.jp/news/2019/0419.html?xmid=300&xlinkid=24

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃Secure SketCH 無料登録受付中 <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○30分でわかる!貴社に必要なセキュリティ対策
https://www.secure-sketch.com/?xmid=300&xlinkid=25

〇Secure SketCHサービス紹介資料
https://www.secure-sketch.com/ebook-download/secure_sketch_explanation-material?xmid=300&xlinkid=26

--

NRI Secure SANS NewsBites 日本版は、米国の情報セキュリティの専門機関であるSANS Instituteが配信するコンテンツ (SANS NewsBites)をベースに、NRIセキュアテクノロジーズが編集してお届けしています。 世界中でこの1週間に起こったセキュリティのあらゆるトピックと専門家のコメントが掲載されています。原版は、およそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュースソースとして活用されています。組織のセキュリティ管理に関する参考情報としてお役立てください。掲載されている情報は、e-mailを介して自由に他の方に再送していただいて結構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望される方は、弊社ホームページの以下のページよりお申込みください。https://www.nri-secure.co.jp/news_letter/index.html

本ニュースレターは、メールマガジン配信を申し込まれた方、弊社からの情報を希望された方、SANS関連のイベントに参加された方、その他イベント等において弊社講演枠に登録された方に配信しています。今後、配信をご希望されない方は会社名と御氏名を本文に明記のうえ、件名に【配信不要】、配信先変更をご希望の方は【配信先変更希望】とご記入頂き、新旧のご連絡先も記載のうえ、info@sans-japan.jp までご返信をお願い致します。なお、情報の反映までにお時間を頂戴する場合がございます。