NRI Secure SANS NewsBites 日本版

Vol.14 No.23 2019年7月31日発行

──────────────────────────
■■SANS NewsBites Vol.14 No.23
(原版: 2019年 7月 16日、19日)
──────────────────────────


┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 今┃秋┃開┃催┃S┃A┃N┃S┃ト┃レ┃ー┃ニ┃ン┃グ┃
 ━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛
 東┃京┃&┃大┃阪┃ ┃絶┃賛┃お┃申┃み┃受┃付┃中┃で┃す┃
 ━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛
 ぜ┃ひ┃ご┃検┃討┃く┃だ┃さ┃い┃!┃!┃
 ━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛

【SANS Tokyo Autumn 2019】全8コース 9/30~
https://sans-japan.jp/sans_tokyo_autumn2019/index.html

【SANS Osaka 2019】全2コース 10/28~
https://sans-japan.jp/sans_osaka2019/index.html

【SANS Tokyo November 2019】全3コース 11/25~
https://sans-japan.jp/sans_tokyo_november2019/index.html

+++++++++++++++++++++++++++++++++++++++++++++++++++++++

今秋開催のSANSトレーニングがいよいよお申込み開始となりました。
全13コース開催予定でございます。

みなさまのご希望のトレーニングコースをご都合の良い日程でお選びください。
11月には、日本初開催のトレーニング(SEC530)も開催予定です。
ぜひ検討いただけると幸いでございます。

+++++++++++++++++++++++++++++++++++++++++++++++++++++++

◆9/30~10/12 【東京】
開催コース
SEC401:Security Essentials Bootcamp Style★日本語
SEC501:Advanced Security Essentials - Enterprise Defender
FOR500:Windows Forensic Analysis
SEC511:Continuous Monitoring and Security Operations
SEC504:Hacker Tools, Techniques, Exploits and Incident Handling★日本語
SEC545:Cloud Security Architecture and Operations
FOR508:Advanced Incident Response,Threat Hunting, and Digital Forensics
SEC660:Advanced Penetration Testing, Exploit Writing, and Ethical Hacking


◆10/28~11/2【大阪】
開催コース
SEC401:Security Essentials Bootcamp Style★日本語
SEC504:Hacker Tools, Techniques, Exploits, and Incident Handling★日本語

◆11/25~11/30【東京】
開催コース
SEC504:Hacker Tools, Techniques, Exploits, and Incident Handling★日本語
SEC530:Defensible Security Architecture and Engineering◆日本初
SEC542:Web App Penetration Testing and Ethical Hacking

◆トレーニング費用(税抜)
早期割引:720,000円※
※各コース45日前までのお申込みで適用となります。

◆お申込みについて
各コースページのお申込みボタンより、お1人様ずつお願いいたします。
https://sans-japan.jp/index.html

┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛

◆ NDAAの条項により、ホワイトハウスはDODのサイバー活動に関する文書を公開する必要がある(2019.7.10 & 2019.7.11 & 2019.7.12)
米下院は、ホワイトハウスに対し、約1年前に発行された機密命令(National Security Presidential Memorandum 13)を議員と共有することを求める条項を盛り込んだ、国防権限法(NDAA:National Defense
Authorization Act)を承認した。この機密命令には、国防総省(DOD)が敵対勢力に対する積極的なサイバー活動を行う際の新しいルールが含まれる。今回承認されたNDAAの条項では、ホワイトハウスに対し、DODのサイバー活動に関するその他の文書についても共有することを求めている。文書の共有に関する問題が取り上げられたのは、今回が初めてではない。2月には下院軍事委員会の有力メンバーが大統領に対し、文書が議員と共有されていないことへの懸念を表明する意見書を送っている。
(Wall Street Journalの記事は有料です。)

- http://www.cyberscoop.com/congressional-pressure-builds-white-house-share-classified-cyber-authorizations/
- http://fcw.com/articles/2019/07/11/langevin-cyber-offense-trump.aspx
- http://www.wsj.com/articles/trump-administration-hasnt-briefed-congress-on-new-rules-for-cyberattacks-lawmakers-say-11562787360
────────────────

◆ レイクシティが身代金を支払うも、復旧に遅れ(2019.7.7)
フロリダ州レイクシティは、6月上旬に発生した攻撃によってロックされたファイルへのアクセスを復旧するため、46万USドルを超える身代金を支払った。同市は1万USドルの自己負担額を支払い、同市と契約を結ぶ保険業者が残額を支払った。レイクシティの電話システムやメール機能が復旧した一方、スキャンデータの大部分がいまだ復旧できていない。同市は複合鍵を入手した後、1テラバイトのデータを復旧するのに12時間かかることを知った。FBIは身代金要求には応じないことを推奨しているが、複数の都市は、システム復旧にかかるコストが最初に要求される金額よりも遥かに大きいという認識を持っている。

- http://www.nytimes.com/2019/07/07/us/florida-ransom-hack.html

【編集者メモ】(Neely)
復旧にかかるコストや時間は、IT部門の担当者がリカバリプロセスにどれほど精通しているか、またクリーンインストール、イメージの再適用、システムの入れ替えのうちどの手段を選択したかによって大きく異なる。このため、必要になる前にリカバリプロセスを一通り確認し、テストすることがとても重要となる。机上訓練だけではなく、実践訓練を提供するような全ての項目を含めた災害復旧テストの予算を計上することが必要だ。どの復旧プロセスを選択したかに関わらず、業務再開までの復旧時間と、バックアップ取得のタイミングや復号失敗により復旧できなかったデータの回復に必要となるコストも含めることを意識しよう。

【編集者メモ】(Honan)
模範的なIT運用には強固なバックアップシステムとビジネス継続計画が含まれており、これはランサムウェアを含む多くの脅威に対する防御において欠かせないものだ。46万USドルと、システム停止によるコスト、復旧にかかるその他専門的なサービスのコストを合計した金額は、犯罪者の活動資金よりも、より良いIT運用に対する投資に活用したほうが間違いなく有意義だ。私たちはこれらのランサムウェア被害の実例を用い、強固なITにお金を使うことが、コストではなく投資になるということを、経営陣や上級管理職に対し教育するべきだ。
────────────────

◆ 米国の選挙システムの大半は、古いバージョンのOS上で動いている
(2019.7.13 & 2019.7.15)
Associated Press(AP)が行った分析によると、米国内の大半の選挙管区では、Windows 7かそれよりも古いバージョンのOSを使用している。Microsoft社は、2020年1月にWindows 7のサポートを打ち切る計画を表明している(同社は2023年までは有料でアップデートの提供を続ける予定)。主要な選挙システム提供企業3社のうち1社のみが、2019年秋までにWindows 10を導入する予定を公表している。

- http://www.apnews.com/e5e070c31f3c497fa9e6875f426ccde1
- http://www.meritalk.com/articles/most-election-systems-run-on-outdated-systems-ap-reports/
- http://thehill.com/policy/cybersecurity/452927-thousands-of-election-systems-running-software-that-will-soon-be

【編集者メモ】(Pescatore)
今後長年に渡りWindows 7を使用し続けるであろう専用端末が大量に存在している。ベンダー各社は当然新しい機器の調達を進めると考えられるが、Windows 10上で動く稚拙に作られたソフトウェアは、必ずしもレビューと試験を受けたWindows 7上で動くソフトウェアよりもセキュアであるとは言えない。複数の州(例えばワシントン州)は、先手を打って2019年の選挙において新しいシステムを試験導入する予定だが、その他多くの州は、ベンダーに対しWindows 7のサポートライセンスを購入するよう働きかける必要があるだろう。

【編集者メモ】(Neely)
この問題は、ただWindows 10にアップグレードすれば解決するというものではない。アップグレードされたシステムは、1年以上かけて莫大な費用がかかる連邦政府の認定を受ける必要がある。残念ながら、いくつかのシステムは既に廃業した企業が開発したものであるため、唯一のアップグレード手段は、多くの場合計画時のライフサイクルより前倒しでのシステム入れ替えとなる。アップデートができないOSを使用している場合、不正アクセスからシステムを保護するために、隔離や監視の強化によってリスクを軽減する必要がある。
────────────────

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃OUCH! 7月号「仮想プライベートネットワーク(VPN)」について
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
公衆無線LAN を使用するときにセキュリティについて気にしたことはありません
か。オンラインバンキングをするときに、接続しているネットワークの安全性に
疑問を持ったことが少なからずあるはずです。このような時は仮想プライベート
ネットワーク(VPN) の使用をおすすめします。VPN を利用することによって通信
の内容を盗聴したりアクセス元などのプライバシーを守ることができます。今月
は仮想プライベートネットワーク(VPN) について一般ユーザにも分かりやすく解
説します。社内のセキュリティ意識向上ツールとしてご利用ください。
https://www.sans.org/sites/default/files/2019-06/201907-OUCH-July-Japanese.pdf
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

◆ 複数のAndroidアプリが、データ収集を継続するためアップグレードを遅らせて
いる(2019.7.16)
2015年10月にAndroid 6(Marshmallow)が公開された際、このOSではアプリに対し包括的な権限を付与するのではなく、ユーザが権限ごとに権限の付与を選択できるという変更が実装された。メリーランド大学の研究者によると、複数のアプリ開発者が、権限付与制御の制限の緩さを利用するため、自身が開発したアプリのアップデートを遅らせていたことが判明した。対象となるアプリを「レガシーアプリ」として指定することで、古い権限付与構造を利用することができた。アプリのアップデートを遅らせた開発者は、その後ストアにおいて否定的なレビューを受けていた。

- http://www.zdnet.com/article/permission-greedy-apps-delayed-android-6-upgrade-so-they-could-harvest-more-user-data/

【編集者メモ】(Pescatore)
Google PlayやApple社のApp Storeは、ユーザがダウンロードしてしまう悪意のあるアプリの数を大幅に減らしている(アプリストアが利用されていないWindows環境と比べた場合)が、悪意のあるアプリを開発している悪人は、当然新たな手法を取り入れてくる。Avast社は最近、Google社に対して、7つの悪意のあるアプリが公開されていたことを通知した。Google社とApple社は、会社で進めている対策について、あまり情報を公開していない。一例としてFaceAppに関する騒動を挙げると、この騒動はFaceAppのコードがロシアで書かれているという事実に基づくもののみであり、プライバシーの侵害を危惧する理由となる問題は見当たらなかった。Google PlayやApp Storeへの信頼の欠如が、過度の宣伝を可能にする。検索時にアプリが表示される順番は、ユーザの評価によって決まる。プライバシーに関するスコアに基づいてランキングをつけると、Google PlayやApp Storeへの信頼が高まるのではないか。
────────────────

◆ Microsoft ElectionGuardのデモ公開(2019.7.17 & 2019.7.18)
今週初め、Microsoft社は投票行為の検証技術であるElectionGuardのデモンストレーションを開始した。Microsoft社は、今後ElectionGuradのソースコードを、Github上で公開する予定。Microsoft社はブログ記事において、国家が支援するサイバー攻撃は増加の一途を辿っていると指摘している。ここ1年で、Microsoft社はおよそ1万人の顧客に対し、そうした攻撃の標的となっている事実を通知してきた。攻撃の大半は、法人顧客に向けて行われていた。

- http://www.zdnet.com/article/microsoft-demos-electionguard-technology-for-securing-electronic-voting-machines/
- http://blogs.microsoft.com/on-the-issues/2019/07/17/new-cyberthreats-require-new-ways-to-protect-democracy/
- http://www.scmagazine.com/home/security-news/microsoft-demos-vote-verification-tool-warns-of-ongoing-foreign-meddling/
- http://www.theregister.co.uk/2019/07/18/microsoft_demos_electionguard_system_will_publish_code_on_github/
- http://arstechnica.com/tech-policy/2019/07/microsoft-warns-10000-customers-theyre-targeted-by-nation-sponsored-hackers/
- http://www.cyberscoop.com/microsoft-nation-state-attacks-iran-north-korea-russia/
────────────────

◆ 各州がサイバー攻撃による障害への対応計画を用意する必要性について、全国知事会が言及(2019.7.16)
米全国知事会(NGA:National Governors Association)は、各州に対しサイバー攻撃による障害への対応計画策定を促す調査と情報(issue brief)を発表した。文書では、各州で策定され、テストされている計画の内容を分析している。今のところ、15の州が計画を公に公開しており、複数の州が計画を公開しない決定を下している。「計画は、インシデントに対応する機関、各機関の役割と責任(R&R)、そして各機関がリソースを調整する方法について詳細を記載するもの。」文書ではさらに、計画がどの様に米国土安全保障省(DHS)の全米サイバー攻撃対応計画(NCIRP:National Cyber Incident Response Plan)と連携を取るべきか調査しており、結論としてサイバー攻撃による障害への対応計画の策定と修正を推奨している。
- http://www.nga.org/wp-content/uploads/2019/04/IssueBrief_MG.pdf
- http://gcn.com/articles/2019/07/16/nga-report-cyber-disruption-response.aspx
- http://statescoop.com/state-cyber-disruption-response-plans-nga-report/

【編集者メモ】(Murray)
私たちが「ランサムウェア」攻撃から得た教訓の一つは、伝統的な「バックアップとリカバリ」計画が、昨今の厳しい環境や高い依存性において要求される、基本的な復旧能力を提供するものではないということだ。「復旧能力」の確保を、新たな目標とする必要がある。「計画とは、悲観的に取り出し読む文書ではなく、それが存在することで、存在しない場合にできないことを実行する能力のことだ。」--Robert H. Courtnry, Jr.
────────────────

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の無料セミナー・イベント        <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
〇8月22日(木)
 CISSPチャレンジセミナー
 「CISSPならこう考える!CISOに必要な情報セキュリティの知識と考え方」
https://www.nri-secure.co.jp/seminar/2019/cissp04.html?xmid=300&xlinkid=02

〇9月12日(木)
 特権ID管理ツールの導入検討支援セミナー~成功の秘訣と導入効果~
https://www.nri-secure.co.jp/seminar/2019/ac07.html?xmid=300&xlinkid=03

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の有料研修               <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
〇8月、2020年2月
 セキュアEggs(基礎 / インシデント / Webアプリ / フォレンジック)

https://www.nri-secure.co.jp/service/learning/secureeggs.html?xmid=300&xlinkid=05

○9月、10月、11月、12月、2020年1月、2月、3月
 CISSP CBKトレーニング

https://www.nri-secure.co.jp/service/learning/cissp_training.html?xmid=300&xlinkid=06

〇9月、10月
 SANS Tokyo Autumn 2019
https://sans-japan.jp/sans_tokyo_autumn2019/index.html?xmid=300&xlinkid=07

〇10月28日~11月2日【大阪開催】
 SANS Osaka 2019
https://sans-japan.jp/sans_osaka2019/index.html?xmid=300&xlinkid=08

〇11月25日~11月30日
 SANS Tokyo November 2019
https://sans-japan.jp/sans_tokyo_november2019/index.html?xmid=300&xlinkid=09

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃コラム(Secure SketCH ブログ) <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
〇ETSI Security Week 2019 参加レポート
 ~EUによるサイバーセキュリティ戦略の取り組みを探る~

https://www.secure-sketch.com/blog/etsi-security-week-2019?xmid=300&xlinkid=10

〇DXについての実態調査、他国と比べて日本は?|NRIセキュア調査結果
https://www.secure-sketch.com/blog/insight2019-dx-security?xmid=300&xlinkid=11

〇いまさら聞けない!サイバーセキュリティ経営ガイドラインVer2.0

https://www.secure-sketch.com/blog/cybersecurity-management-guidelines-2.0?xmid=300&xlinkid=12

〇【レポート公開】企業のセキュリティ実態調査2019|国内約1800社を徹底調査

https://www.secure-sketch.com/blog/publication-of-nri-secure-insight2019?xmid=300&xlinkid=13

〇【次世代セキュリティ組織】CSIRTと協調する新たなセキュリティ組織xSIRTとは

https://www.secure-sketch.com/blog/next-generation-security-organization-xsirt?xmid=300&xlinkid=14

>>ブログ記事一覧
https://www.secure-sketch.com/blog?xmid=300&xlinkid=15

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃ebook(無料ダウンロード)  <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
〇NRI Secure Insight 2019 ~企業における情報セキュリティ実態調査~

https://www.secure-sketch.com/ebook-download/insight2019-report?xmid=300&xlinkid=16

〇生産性の高いセキュリティ
 - Secure SketCHを最大限に活用して、セキュリティ業務を「効率化」する手法 -

https://www.secure-sketch.com/ebook-download/efficient-security-operations?xmid=300&xlinkid=17

〇EDR導入ガイド
 - インシデント前提社会の最適解 -

https://www.secure-sketch.com/ebook-download/recommend-edr-use?xmid=300&xlinkid=18

>>ダウンロード資料一覧
https://www.secure-sketch.com/ebook-download?xmid=300&xlinkid=19

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃お知らせ                     <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
〇特権ID管理ソリューション「SecureCube / Access Check」に
 中継自動接続機能とシングルサインオン機能を追加
https://www.nri-secure.co.jp/news/2019/0731.html?xmid=300&xlinkid=20

〇NRIセキュア、「企業における情報セキュリティ実態調査2019」を実施
 ~DXの推進に向けて、セキュリティ対応の意識・行動改革が求められる日本企業~
https://www.nri-secure.co.jp/news/2019/0718.html?xmid=300&xlinkid=21

〇NRIセキュア、FIDOのパスワードレス認証規格全てに適合した
 「FIDOユニバーサルサーバー」の認定を取得
 ~ IDアクセス管理製品として、国内初の認定 ~
https://www.nri-secure.co.jp/news/2019/0704.html?xmid=300&xlinkid=22

〇脅威インテリジェンスサービス「IntSights」の取り扱いを開始
 ~ダーク・ウェブを含む全てのWebサイトに潜む脅威を検知し、対策を提示~
https://www.nri-secure.co.jp/news/2019/0701.html?xmid=300&xlinkid=23

〇ユービーセキュア、Webアプリケーション脆弱性検査ツール『Vex』の
 ロゴマークを刷新
https://www.nri-secure.co.jp/news/2019/0729.html?xmid=300&xlinkid=24

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃Secure SketCH 無料登録受付中 <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○30分でわかる!貴社に必要なセキュリティ対策
https://www.secure-sketch.com/?xmid=300&xlinkid=25

〇Secure SketCHサービス紹介資料

https://www.secure-sketch.com/ebook-download/secure_sketch_explanation-material?xmid=300&xlinkid=26

--

NRI Secure SANS NewsBites 日本版は、米国の情報セキュリティの専門機関であるSANS Instituteが配信するコンテンツ (SANS NewsBites)をベースに、NRIセキュアテクノロジーズが編集してお届けしています。 世界中でこの1週間に起こったセキュリティのあらゆるトピックと専門家のコメントが掲載されています。原版は、およそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュースソースとして活用されています。組織のセキュリティ管理に関する参考情報としてお役立てください。掲載されている情報は、e-mailを介して自由に他の方に再送していただいて結構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望される方は、弊社ホームページの以下のページよりお申込みください。
https://www.nri-secure.co.jp/news_letter/index.html

本ニュースレターは、メールマガジン配信を申し込まれた方、弊社からの情報を希望された方、SANS関連のイベントに参加された方、その他イベント等において弊社講演枠に登録された方に配信しています。今後、配信をご希望されない方は会社名と御氏名を本文に明記のうえ、件名に【配信不要】、配信先変更をご希望の方は【配信先変更希望】とご記入頂き、新旧のご連絡先も記載のうえ、info@sans-japan.jp までご返信をお願い致します。なお、情報の反映までにお時間を頂戴する場合がございます。