NRI Secure SANS NewsBites 日本版

Vol.14 No.22 2019年7月24日発行

──────────────────────────
■■SANS NewsBites Vol.14 No.22
(原版: 2019年 7月 9日、12日)
──────────────────────────


┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 今┃秋┃開┃催┃S┃A┃N┃S┃ト┃レ┃ー┃ニ┃ン┃グ┃
 ━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛
 東┃京┃&┃大┃阪┃ ┃絶┃賛┃お┃申┃み┃受┃付┃中┃で┃す┃
 ━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛
 ぜ┃ひ┃ご┃検┃討┃く┃だ┃さ┃い┃!┃!┃
 ━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛

【SANS Tokyo Autumn 2019】全8コース 9/30~
https://sans-japan.jp/sans_tokyo_autumn2019/index.html

【SANS Osaka 2019】全2コース 10/28~
https://sans-japan.jp/sans_osaka2019/index.html

【SANS Tokyo November 2019】全3コース 11/25~
https://sans-japan.jp/sans_tokyo_november2019/index.html

+++++++++++++++++++++++++++++++++++++++++++++++++++++++

今秋開催のSANSトレーニングがいよいよお申込み開始となりました。
全13コース開催予定でございます。

みなさまのご希望のトレーニングコースをご都合の良い日程でお選びください。
11月には、日本初開催のトレーニング(SEC530)も開催予定です。
ぜひ検討いただけると幸いでございます。

+++++++++++++++++++++++++++++++++++++++++++++++++++++++

◆9/30~10/12 【東京】
開催コース
SEC401:Security Essentials Bootcamp Style★日本語
SEC501:Advanced Security Essentials - Enterprise Defender
FOR500:Windows Forensic Analysis
SEC511:Continuous Monitoring and Security Operations
SEC504:Hacker Tools, Techniques, Exploits and Incident Handling★日本語
SEC545:Cloud Security Architecture and Operations
FOR508:Advanced Incident Response,Threat Hunting, and Digital Forensics
SEC660:Advanced Penetration Testing, Exploit Writing, and Ethical Hacking


◆10/28~11/2【大阪】
開催コース
SEC401:Security Essentials Bootcamp Style★日本語
SEC504:Hacker Tools, Techniques, Exploits, and Incident Handling★日本語

◆11/25~11/30【東京】
開催コース
SEC504:Hacker Tools, Techniques, Exploits, and Incident Handling★日本語
SEC530:Defensible Security Architecture and Engineering◆日本初
SEC542:Web App Penetration Testing and Ethical Hacking

◆トレーニング費用(税抜)
早期割引:720,000円※
※各コース45日前までのお申込みで適用となります。

◆お申込みについて
各コースページのお申込みボタンより、お1人様ずつお願いいたします。
https://sans-japan.jp/index.html

┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛

◆ 英国のInformation Commissioner's Officeが、British Airways社に対しGDPR違反による罰金を科す(2019.7.8)
英国のInformation Commissioner's Office(ICO)は、EU一般データ保護規則(GDPR)に違反したとして、British Airways(BA)社に対し1億8339万ポンド(2億468万ユーロ/2億2945万USドル)の罰金を科すことを発表した。2018年に発生したデータ漏洩により、50万人の顧客情報が外部に公開された。

- http://ico.org.uk/about-the-ico/news-and-events/news-and-blogs/2019/07/ico-announces-intention-to-fine-british-airways/
- http://www.bbc.com/news/business-48905907
- http://www.theregister.co.uk/2019/07/08/ico_threatens_ba_with_huge_fine_for_huge_data_loss/
- http://www.zdnet.com/article/gdpr-record-british-airways-fine-shows-how-data-protection-legislation-is-beginning-to-bite/
- http://www.zdnet.com/article/gdpr-british-airways-faces-record-183m-fine-for-customer-data-breach/
- http://www.cyberscoop.com/british-airways-gdpr-fine-magecart/
- http://threatpost.com/post-data-breach-british-airways-slapped-with-record-230m-fine/146272/

【編集者メモ】(Pescatore)
CEOや経営陣への優良な説明資料がまた新たに追加された。一般的な数字を用いると、2億2945万USドルの罰金は、BA社の2018年度の利益のおよそ6%に相当する。これは漏洩した情報1件につきおよそ40USドルとなる計算だが、一般的に直接目に見えるハードコスト(問題への対応、影響を受ける顧客とのやり取り、信用調査サービスの提供、訴訟への対応など)は、漏洩情報1件につき50~70USドル、合計すると2億5千万USドルかかるとされている。つまり、今回発生したインシデントによるコストを合計すると、およそ5億USドル、またはBA社の2018年度の利益の10%超となる。WEBサイトでWEBソフトウェアの使用を開始する前に、簡単に悪用できる脆弱性の存在を確認し対策を取るためのコストは、結果として情報漏洩により支払うこととなったコストの1%にも満たなかっただろう。

【編集者メモ】(Honan)
今回の発表は、British Airways社に罰金を科すというICOの意図が明確に示されている。British Airways社は罰金の正当性を争うと思われ、最終的な罰金の額は発表されたものとは異なるだろう。また、提示されている罰金は、情報漏洩そのものではなく、ICOの発表によると「同社の杜撰なセキュリティ対策」に対して科せられたものだ。罰金の額はBritish Airways社の収益の1.5%に相当するため、今回の発表はGDPRによる規制を受ける全ての組織に対し、顧客データのセキュリティやプライバシー保護について真剣に取り組む必要があるという強力なメッセージを発信するものとなった。
────────────────

◆ ボルチモア市がランサムウェアによる被害から回復しつつある(2019.7.3)
米メリーランド州ボルチモア市は、5月7日に発生したランサムウェア攻撃による被害から、同市のシステムを復旧するプロセスを少しずつ進めている。同市は現在、駐車料金や固定資産税の支払いをオンラインで受け付けることができる。水道料金システムは、7月3日時点でいまだに利用できない状態となっている。

- http://www.baltimoresun.com/maryland/baltimore-city/bs-md-ci-online-payments-20190703-story.html
────────────────

◆ 米サイバー軍が、Outlookへの攻撃について注意喚起(2019.7.2 & 2019.7.3)
米サイバー軍は、イラン政府の支援を受けていると思われるハッカー集団が、Outlookにおけるサンドボックス機能を回避可能な既知の脆弱性を悪用し、パッチが適用されていないサーバに対してマルウェアをインストールしていることについて、注意喚起を促すアラートを発表した。サイバー軍はVirusTotal上で、マルウェアのサンプルを公開している。Microsoft社は本脆弱性を修正するパッチを、2017年10月に公開している。

- http://twitter.com/CNMF_VirusAlert/status/1146130046127681536
- http://www.theregister.co.uk/2019/07/03/outlook_flaw_iran/
- http://www.scmagazine.com/home/security-news/apts-cyberespionage/cyber-command-warns-outlook-vulnerability-exploited-to-attack-govt-agencies/
- http://www.bleepingcomputer.com/news/security/outlook-flaw-exploited-by-iranian-apt33-us-cybercom-issues-alert/
- http://duo.com/decipher/us-cyber-commands-warns-of-targeted-attacks-on-old-outlook-flaw

【編集者メモ】(Neely)
攻撃の標的に関係なく、Officeがインストールされている環境がパッチ適用済みであり、最新の状態であることを確認するべきだ。修正パッチはOutlook 2010、2013、2016向けに公開されている。

【編集者メモ】(Murray)
アプリケーションにおける回避の仕組みは、アプリケーションに柔軟性と追加の機能をもたらす一方、こうした仕組みはセキュリティを脅かし続けている。ほとんど使用されないような環境であっても、「利便性」のため、回避の仕組みはデフォルトで有効化されている。
────────────────

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃OUCH! 7月号「仮想プライベートネットワーク(VPN)」について
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
公衆無線LAN を使用するときにセキュリティについて気にしたことはありません
か。オンラインバンキングをするときに、接続しているネットワークの安全性に
疑問を持ったことが少なからずあるはずです。このような時は仮想プライベート
ネットワーク(VPN) の使用をおすすめします。VPN を利用することによって通信
の内容を盗聴したりアクセス元などのプライバシーを守ることができます。今月
は仮想プライベートネットワーク(VPN) について一般ユーザにも分かりやすく解
説します。社内のセキュリティ意識向上ツールとしてご利用ください。
https://www.sans.org/sites/default/files/2019-06/201907-OUCH-July-Japanese.pdf
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

◆ Defense Innovation Boardが、米軍におけるゼロトラスト構成の実装を推し進
めている(2019.7.10)
米国防総省(DOD)のDefense Innovation Board(DIB)は、DODに対しネットワークアクセスについてゼロトラスト構成(ZTA:Zero Trust Architecture)の実装を求めるホワイトペーパーを承認した。同文書には、DODは現在境界セキュリティに頼っているが、「ゼロトラスト構成(ZTA)により、DODネットワーク内で使用している特定のアプリケーションやサービスについて、個々のきめ細かいアクセス制御ルールを作成することで、同ネットワークにおける脆弱性や脅威を劇的に回避することが可能となる」と記載されている。

- http://media.defense.gov/2019/Jul/09/2002155219/-1/-1/0/DIB_THE_ROAD_TO_ZERO_TRUST_(SECURITY)_07.08.2019.PDF
- http://www.fedscoop.com/zero-trust-defense-innovation-board-paper/

【編集者メモ】(Murray)
現在の構成やポリシーは、悪化し続けているインターネット環境において非常に脆弱であることが証明されている。「ゼロトラスト」には、緻密に構成されたネットワークやアプリケーション層におけるエンドツーエンドの暗号化だけではなく、強力な認証や最小特権アクセス制御、特権IDアクセス管理(PAM)、継続的な監視と対策も含むべきだ。
────────────────

◆ 米沿岸警備隊が、海運におけるサイバーセキュリティについて注意喚起とアドバイスを発表(2019.7.8 & 2019.7.9)
今年初めに発生したインシデントを受け、米沿岸警備隊は、基本的なサイバーセキュリティ対策を実装するためのアドバイスを含む、海運の安全に関するアラートを発表した。沿岸警備隊は今年2月、複数の政府機関のメンバーで構成するチームを立ち上げ、深喫水船の船上ネットワークが影響を受ける「重大なサイバーインシデント」について調査を実施した。アラートには推奨される対策として、ネットワークのセグメント化、複数の人物による同一認証情報利用の廃止、最小権限によるアクセスの実装、定期的なパッチ適用が記載されている。

- http://www.dco.uscg.mil/Portals/9/DCO%20Documents/5p/CG-5PC/INV/Alerts/0619.pdf
- http://www.darkreading.com/vulnerabilities---threats/coast-guard-warns-shipping-firms-of-maritime-cyberattacks/d/d-id/1335198
- http://www.cyberscoop.com/coast-guard-significant-malware-attack/
- http://www.bleepingcomputer.com/news/security/us-coast-guard-issues-safety-alert-following-cyber-incident/

【編集者メモ】(Northcutt)
興味深い内容だ。アドバイスの内容は、ウイルス対策製品が対象となるマルウェアを検知できるという考えを除いて的を射たものとなっている。「今回のインシデントでは、貨物データのやり取りを、ふ頭においてUSBを介して行うことが一般的な慣習であることが明らかとなった」と記載されている通り、USBが最も重要な脅威ベクトルであるようだ。海運業界で使用される船舶では貨物データの保持が必要であり、USBドライブはデータを保持する上で最もコストがかからない方法だ。この慣習は今後も続くことが予想され、攻撃者はUSBドライブ内のデータを狙い、ネットワークではなく外部からの攻撃手法を模索するようになるだろう。
────────────────

◆ Microsoft社の月例パッチには、2つのゼロデイとWindows DHCPサーバにおける重大な脆弱性の修正が含まれる(2019.7.9)
7月9日火曜日、Microsoft社は、複数の製品における80近くの脆弱性を修正するアップデートを公開した。このうち15個が重大と評価されている。中でも最も重大なものは、間違いなくWindows DHCPサーバにおけるメモリ破壊に関する脆弱性だ。この問題では、現在サポートされているほぼ全てのWindowsサーバのバージョンが影響を受ける。アップデートにおいて修正された脆弱性のうち2つは悪用が確認されており、別の4つは修正パッチが公開される前に公表されていた。

- http://krebsonsecurity.com/2019/07/patch-tuesday-lowdown-july-2019-edition/
- http://www.darkreading.com/risk/microsoft-patches-zero-day-vulnerabilities-under-active-attack/d/d-id/1335197
- http://portal.msrc.microsoft.com/en-us/security-guidance/summary
- http://www.scmagazine.com/home/patch-management/microsofts-july-2019-patch-tuesday-included-updates-for-77-vulnerabilities-including-two-actively-exploited-zero-days-and-five-publicly-disclosed-vulnerabilities/
────────────────

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の無料セミナー・イベント        <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
〇7月24日(水)
 Web分離・無害化によるセキュリティ対策
 ~触って理解するMenlo Security~
https://www.nri-secure.co.jp/seminar/2019/menlo01.html?xmid=300&xlinkid=01

〇7月30日(火)
 クリプト便&Boxサービス紹介・体験セミナー
 ~お客様に選ばれ続けるセキュアなファイル送受信・共有サービスご紹介~
https://www.nri-secure.co.jp/seminar/2019/file04.html?xmid=300&xlinkid=02

〇8月1日(木)【大阪開催】
 SANSコミュニティセッション in 大阪
  ~SANSインストラクターによる
   「SEC504 Hacker Techniques and Incident Handling」体験セミナー~
https://www.nri-secure.co.jp/seminar/2019/sans04.html?xmid=300&xlinkid=03

〇CISSPチャレンジセミナー
「CISSPならこう考える!CISOに必要な情報セキュリティの知識と考え方」
https://www.nri-secure.co.jp/seminar/2019/cissp04.html?xmid=300&xlinkid=04

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の有料研修               <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
〇8月、2020年2月
 セキュアEggs(基礎 / インシデント / Webアプリ / フォレンジック)

https://www.nri-secure.co.jp/service/learning/secureeggs.html?xmid=300&xlinkid=05

○9月、10月、11月、12月、2020年1月、2月、3月
 CISSP CBKトレーニング

https://www.nri-secure.co.jp/service/learning/cissp_training.html?xmid=300&xlinkid=06

〇9月、10月
 SANS Tokyo Autumn 2019
https://sans-japan.jp/sans_tokyo_autumn2019/index.html?xmid=300&xlinkid=07

〇10月28日~11月2日【大阪開催】
 SANS Osaka 2019
https://sans-japan.jp/sans_osaka2019/index.html?xmid=300&xlinkid=08

〇11月25日~11月30日
 SANS Tokyo November 2019
https://sans-japan.jp/sans_tokyo_november2019/index.html?xmid=300&xlinkid=09

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃コラム(Secure SketCH ブログ) <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
〇【レポート公開】企業のセキュリティ実態調査2019|国内約1800社を徹底調査

https://www.secure-sketch.com/blog/publication-of-nri-secure-insight2019?xmid=300&xlinkid=10

〇工場セキュリティ実践編|サイバー攻撃はネットワークで検知せよ

https://www.secure-sketch.com/blog/necessity-of-cyber-security-measures-for-iot-systems-04?xmid=300&xlinkid=11

〇【次世代セキュリティ組織】CSIRTと協調する新たなセキュリティ組織xSIRTとは

https://www.secure-sketch.com/blog/next-generation-security-organization-xsirt?xmid=300&xlinkid=12

〇工場セキュリティ対策のポイント(後編)|「構成情報管理」の効率化が鍵

https://www.secure-sketch.com/blog/necessity-of-cyber-security-measures-for-iot-systems-03?xmid=300&xlinkid=13

>>ブログ記事一覧
https://www.secure-sketch.com/blog?xmid=300&xlinkid=15

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃ebook(無料ダウンロード)  <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
〇NRI Secure Insight 2019 ~企業における情報セキュリティ実態調査~

https://www.secure-sketch.com/ebook-download/insight2019-report?xmid=300&xlinkid=16

〇生産性の高いセキュリティ
 - Secure SketCHを最大限に活用して、セキュリティ業務を「効率化」する手法 -

https://www.secure-sketch.com/ebook-download/efficient-security-operations?xmid=300&xlinkid=17

〇EDR導入ガイド
 - インシデント前提社会の最適解 -

https://www.secure-sketch.com/ebook-download/recommend-edr-use?xmid=300&xlinkid=18

>>ダウンロード資料一覧
https://www.secure-sketch.com/ebook-download?xmid=300&xlinkid=19

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃お知らせ                     <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
〇NRIセキュア、「企業における情報セキュリティ実態調査2019」を実施
 ~DXの推進に向けて、セキュリティ対応の意識・行動改革が求められる日本企業~
https://www.nri-secure.co.jp/news/2019/0718.html?xmid=300&xlinkid=20

〇NRIセキュア、FIDOのパスワードレス認証規格全てに適合した
 「FIDOユニバーサルサーバー」の認定を取得
 ~ IDアクセス管理製品として、国内初の認定 ~
https://www.nri-secure.co.jp/news/2019/0704.html?xmid=300&xlinkid=21

〇脅威インテリジェンスサービス「IntSights」の取り扱いを開始
 ~ダーク・ウェブを含む全てのWebサイトに潜む脅威を検知し、対策を提示~
https://www.nri-secure.co.jp/news/2019/0701.html?xmid=300&xlinkid=22

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃Secure SketCH 無料登録受付中 <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○30分でわかる!貴社に必要なセキュリティ対策
https://www.secure-sketch.com/?xmid=300&xlinkid=25

〇Secure SketCHサービス紹介資料

https://www.secure-sketch.com/ebook-download/secure_sketch_explanation-material?xmid=300&xlinkid=26

--

NRI Secure SANS NewsBites 日本版は、米国の情報セキュリティの専門機関である
SANS Instituteが配信するコンテンツ (SANS NewsBites)をベースに、NRIセキュア
テクノロジーズが編集してお届けしています。 世界中でこの1週間に起こったセキ
ュリティのあらゆるトピックと専門家のコメントが掲載されています。原版は、お
よそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュースソ
ースとして活用されています。組織のセキュリティ管理に関する参考情報としてお
役立てください。掲載されている情報は、e-mailを介して自由に他の方に再送して
いただいて結構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を
希望される方は、弊社ホームページの以下のページよりお申込みください。
https://www.nri-secure.co.jp/news_letter/index.html

本ニュースレターは、メールマガジン配信を申し込まれた方、弊社からの情報を希
望された方、SANS関連のイベントに参加された方、その他イベント等において弊社
講演枠に登録された方に配信しています。
今後、配信をご希望されない方は会社名と御氏名を本文に明記のうえ、件名に【配
信不要】、配信先変更をご希望の方は【配信先変更希望】とご記入頂き、新旧のご
連絡先も記載のうえ、info@sans-japan.jp までご返信をお願い致します。なお、
情報の反映までにお時間を頂戴する場合がございます。