NRI Secure SANS NewsBites 日本版

Vol.14 No.24 2019年8月14日発行

──────────────────────────
■■SANS NewsBites Vol.14 No.24
(原版: 2019年 7月 23日、26日、30日、 8月 2日)
──────────────────────────


┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 今┃秋┃開┃催┃S┃A┃N┃S┃ト┃レ┃ー┃ニ┃ン┃グ┃
 ━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛
 1┃0┃月┃東┃京┃開┃催┃早┃割┃申┃込┃み┃締┃切┃日┃が┃
 ━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛
 迫┃っ┃て┃き┃ま┃し┃た┃!┃
 ━┛━┛━┛━┛━┛━┛━┛━┛
 ま┃だ┃間┃に┃合┃い┃ま┃す┃!┃
 ━┛━┛━┛━┛━┛━┛━┛━┛━┛

+++++++++++++++++++++++++++++++++++++++++++++++++++++++

今週・来週と今秋開催のSANSトレーニング(東京)、
早期割引のお申込み締切日でございます。
SANSトレーニングご検討中の方は、お急ぎください。

+++++++++++++++++++++++++++++++++++++++++++++++++++++++

SANS Tokyo Autumn 2019

◆9/30~10/5

SEC401:Security Essentials Bootcamp Style★日本語
SEC501:Advanced Security Essentials - Enterprise Defender
FOR500:Windows Forensic Analysis

◆10/7~10/12
SEC511:Continuous Monitoring and Security Operations
SEC504:Hacker Tools, Techniques, Exploits and Incident Handling★日本語
FOR508:Advanced Incident Response,Threat Hunting, and Digital Forensics
SEC660:Advanced Penetration Testing, Exploit Writing, and Ethical Hacking


◆10/7~10/11
SEC545:Cloud Security Architecture and Operations

◆トレーニング費用(税抜)
早期割引:720,000円※
※各コース45日前までのお申込みで適用となります。

◆お申込みについて
各コースページのお申込みボタンより、お1人様ずつお願いいたします。
https://sans-japan.jp/index.html

┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛

◆ Equifax社が捜査和解に向け、最高で7億USドルを支払う(2019.7.19 & 2019.7.22)
Equifax社は、1億4700万人の個人情報が外部に流出させた、2017年の情報漏洩事件に関する州と連邦政府による捜査の和解および、顧客からの要求への対応として、最高で7億USドルを支払うこととなった。7月22日月曜日に署名した合意事項により、同社は州政府、米消費者金融保護局、途上与信ファンドに対し5億7500万USドルを支払う。また必要に応じて、ファンドに対し追加で1億2500万USドルを支払うことを合意している。(Wall Street Journalの記事は有料です。)

-
https://www.ftc.gov/system/files/documents/cases/172_3203_equifax_proposed_order_7-22-19.pdf
-
https://krebsonsecurity.com/2019/07/what-you-should-know-about-the-equifax-data-breach-settlement/
-
https://www.wsj.com/articles/equifax-to-pay-around-700-million-to-resolve-data-breach-probes-11563577702
-
https://www.nytimes.com/2019/07/19/business/equifax-data-breach-settlement.html
-
https://www.zdnet.com/article/equifax-regulators-close-to-signing-700m-deal-to-settle-data-breach-case/

【編集者メモ】(Neely)
この和解では、700万人のみが途上与信サービスに登録すると想定している。サービス(無料の途上与信、償還、いまだ継続している個人情報盗難問題への対応)に登録することは、裁判所が和解案を承認するまで不可能だ。先を見据えた情報漏洩対策としては、クレジットカードの凍結や無料のクレジットスコアを毎年確認することが挙げられる。

【編集者メモ】(Murray)
eBay社とOPM社がほとんど損失を被らなかった一方、Target社とEquifax社は、財政的な損失、罰金、その他の罰、崩壊的な経営陣の刷新に苦しんでいる。これではシステムが理想的に機能しているとは言えない。とは言え、「期待は戦略ではない」。全てのリスク許容基準が経営陣によってしっかり理解され、文書化された状態を目指そう。
────────────────

◆ 米国家情報長官が、選挙セキュリティの担当ポストを新設(2019.7.19)
米国家情報長官(ODNI、DNI)は、選挙脅威管理委員会(Election Executive and Leadership Board)とともに選挙管理委員会(Election Threats Executive)のポストを新設した。この新設ポストを担う人物は、「選挙に関する脅威や、選挙セキュリティに関する問題についてDNIに対し助言を行い、(中略)諜報コミュニティ間の選挙セキュリティに関する全ての活動、イニシアチブ、プログラムを調整し、まとめる役割を担う。」評議会(board)のメンバーは、諜報コミュニティや関連する連邦政府機関から指名された選挙セキュリティの上級管理者が務める。

- https://www.dni.gov/index.php/newsroom/press-releases/item/2023-director-of-national-intelligence-daniel-r-coats-establishes-intelligence-community-election-threats-executive
- https://fcw.com/articles/2019/07/19/odni-election-security.aspx
────────────────

◆ サイバー兵器が、近代の戦争と国政術に変化をもたらしている(2019.7.18)
米国家安全保障担当大統領補佐官John Bolton氏は、サイバー戦争を国政術の不可欠な要素として組み込んだ。昨年9月、国防総省はサイバー兵器の存在を認めただけでなく、「米国の国益追求」と「先を見据えた防衛」への注力を宣言した戦略計画を発表した。

- https://www.newyorker.com/tech/annals-of-technology/how-cyber-weapons-are-changing-the-landscape-of-modern-warfare
────────────────

◆ ヨハネスブルグの電力事業者が、ランサムウェア攻撃を受ける(2019.7.25)
南アフリカのヨハネスブルグにある、プリペイド式の電力事業者City Power社のシステムが受けたランサムウェア攻撃により、現地の複数の住民が電気を利用できない状態となっている。攻撃により、同社のデータベース、内部ネットワーク、ウェブサイト、ウェブアプリに影響が出ている。City Power社はヨハネスブルグ市が所有している。

- http://www.news24.com/SouthAfrica/News/joburg-prepaid-electricity-users-left-in-the-dark-as-city-power-crippled-by-computer-virus-20190725
- http://www.zdnet.com/article/ransomware-incident-leaves-some-johannesburg-residents-without-electricity/
- http://www.darkreading.com/endpoint/johannesburg-ransomware-attack-leaves-residents-in-the-dark/d/d-id/1335344
- http://www.theregister.co.uk/2019/07/25/johannesburg_ransomware_utility/
────────────────

◆ ルイジアナ州の3つの学区におけるランサムウェア感染について、州知事が非常事態を宣言(2019.7.25)
3つの学区においてランサムウェア被害が発生したことを受け、ルイジアナ州知事は非常事態宣言を発表した。この宣言は、州内のリソース、ルイジアナ州国家警備隊と技術局の人員を、影響を受けている学区に割り当てられるようになる。サイバー攻撃に関連して米国の州知事によって非常事態宣言が発表されたのは、今回が2例目と見られる。2018年初め、コロラド州交通局のシステムがランサムウェアに感染したことを受け、同州知事が非常事態を宣言していた。

- http://gov.louisiana.gov/assets/EmergencyProclamations/115-JBE-2019-State-of-Emergency-Cybersecurity-Incident.pdf
- http://statescoop.com/louisiana-declares-emergency-over-cyberattacks-targeting-schools/
- http://www.scmagazine.com/home/security-news/government-and-defense/louisiana-declares-state-of-emergency-after-cyberattacks-hit-three-school-districts/
- http://www.zdnet.com/article/louisiana-governor-declares-state-emergency-after-local-ransomware-outbreak/

【編集者メモ】(Honan)
EuropolによってNo More Ransomイニシアチブが立ち上げられてから、今日で3年となる。この3年でNo More Ransomは20万人以上の被害者を助け、1億800万USドル相当の金額を犯罪者による窃取から守り、100種類以上のランサムウェアを特定した。

http://www.europol.europa.eu/newsroom/news/no-more-ransom-108-million-reasons-to-celebrate-its-third-anniversary
────────────────

◆ VPNにおける複数の脆弱性が、広く利用されている製品に影響を与えている
(2019.7.23)
仮想プライベートネットワーク(VPN)における重大な脆弱性が、企業のネットワークへのアクセスやデータ窃取に悪用される可能性がある。この脆弱性は、容易にリモートから悪用可能であり、Palo Alto Networks社やPulse Secure社、Fortinet社のVPN製品が影響を受ける。3社は既にアドバイザリと、脆弱性を修正するアップデートを公開している。Devcore社の研究チームが、来月開催されるBlack Hatセキュリティカンファレンスにおいて、調査結果を発表する予定。

- http://techcrunch.com/2019/07/23/corporate-vpn-flaws-risk/
- http://www.zdnet.com/article/uber-hit-by-critical-vulnerability-in-palo-alto-vpn-solution/
- http://nvd.nist.gov/vuln/detail/CVE-2019-11510
- http://securityadvisories.paloaltonetworks.com/Home/Detail/158
- http://fortiguard.com/psirt/FG-IR-18-384
- http://kb.pulsesecure.net/articles/Pulse_Security_Advisories/SA44101

【編集者メモ】(Pescatore)
完全で正確なソフトウェアの棚卸が重要であることを示す優良な資料だ。この脆弱性に対するパッチは公開されてからしばらく経っているが、VPNソフトウェアのようなツールやコンポーネントは、見落とされがちだ。

【編集者メモ】(Neely)
パッチが公開されてからしばらく経つが、スキャン結果は、オンラインの機器の多くがいまだに脆弱なコードを使用していることを示している。VPNやファイアウォール、IDS/IPSといった境界防御が、アップデートに重要性を置いたメンテナンス計画に含まれていることを確認しよう。リグレッションテストの要求事項を満たすために、開発以外の部門を巻き込む必要があるかもしれない。
────────────────

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃OUCH! 8月号「バックアップを取得していますか」について
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
あなたのパソコンやモバイルデバイスが突然壊れてしまったり大事なファイルを
誤って削除してしまったことはありませんか。バックアップを取得していれば、
このような時でも安心です。また、昨今話題になったランサムウエアの被害から
も身を守ることが期待できます。今月はバックアップについて取得のタイミング
や考え方などを一般ユーザにも分かりやすく解説します。社内のセキュリティ意
識向上ツールとしてご利用ください。
https://www.sans.org/sites/default/files/2019-08/201908-OUCH-August-Japanese.pd
f
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

◆ Capital One社における情報漏洩(2019.7.29)
クレジットカード業者であるCapital One社は、情報漏洩により米国の顧客1億人と、カナダの顧客600万人の個人情報が侵害されたことを確認した。漏洩した情報には、2006年から2019年までにクレジットカードの利用申請をした顧客から収集した情報および、クレジットスコア、カード上限額、残高、連絡先が含まれる。FBIは本事件の容疑者を既に逮捕している。

- http://press.capitalone.com/phoenix.zhtml?c=251626&p=irol-newsArticle&ID=2405043
- http://www.zdnet.com/article/100-million-americans-and-6-million-canadians-caught-up-in-capital-one-breach/
- http://arstechnica.com/information-technology/2019/07/feds-former-cloud-worker-hacks-into-capital-one-and-takes-data-for-106-million-people/

【編集者メモ】(Neely)
容疑者がソーシャルメディアを利用していなかったら、逮捕される可能性は低かっただろう。犯人のミスを待つことは捜査方法の1つだが、積極的な防御や検知の仕組みが確かに機能していることを確認するほうが優れた方法だ。パープルチームの仕事とされる不正アクセスの検知だけでなく、意図した通りの境界防御設定がされていることを定期的に検証するべきだ。
────────────────

◆ 米上院情報特別委員会による選挙介入に関する報告書(2019.7.25)
上院特別情報委員会が発表した報告書によると、2016年の選挙に至るまで、ロシアのハッカー集団が米国の50州全てにおける選挙システムに対し介入を行っていた。報告書は、米国の選挙システがいまだに攻撃に対して脆弱な状態であり、2020年に行われる選挙の完全性が脅かされているとして、注意を呼びかけている。各州への注意喚起や攻撃範囲の理解が不十分であったことが、諜報に関する失敗として挙げられている。報告書はさらに、ロシアのハッカー集団は、選挙人登録情報の改ざんが可能となるシステムへのアクセス権を有していたが、彼らは別の方法で介入していた。報告書は何度も改訂されており、2020年の選挙において実装され得るいくつかの推奨される防御方法が除外されている。明確に示されている推奨策には、紙の投票記録の使用や、選挙人名簿の紙媒体でのバックアップが含まれる。

- http://www.nytimes.com/2019/07/25/us/politics/russian-hacking-elections.html
- http://www.scmagazine.com/home/security-news/report-russian-sponsored-hackers-could-have-modified-u-s-voter-data-but-didnt/

【編集者メモ】(Pescatore)
米上院が選挙セキュリティ向上の必要性に関する事実を無視している一方、複数の州政府はセキュリティ向上に向けた確かな努力を続けている。しかし、国政選挙では全ての州の結果が合算され、結果の完全性が最も低い共通項にまで下がってしまう。

【編集者メモ】(Neely)
紙の投票記録やバックアップの推奨は、不変の監査記録という考え方に合っている。監査ログに関して言うと、例外の検知には積極的な監視が必要となる。問題は、それをいつどの様に監査ログの正当性を確かめるのかということだ。

【編集者メモ】(Murray)
米国の選挙システムのセキュリティは、その多様性と分権によって確保されているため、あなたの想像よりもはるかに弾性や回復力を備えている。ロシアのハッカー集団による攻撃が成功した理由は、システムよりも有権者を操った点にある。つまり大規模な「ソーシャルエンジニアリング」が行われたということだ。
────────────────

◆ 観察総監室:米国防総省は、既知の脆弱性が存在するIT製品を購入している
(2019.7.31)
米国防総省(DOD)観察総監室(OIG)の監査報告書によると、DODは既知の脆弱性が存在する商用オフザシェルフ(COTS)のIT製品を購入していた。監査において調査された製品には、プリンタ、コンピュータ、カメラが含まれる。現状、今後のセキュアではない製品の購入を防ぐポリシーは存在しない。

- http://www.oversight.gov/sites/default/files/oig-reports/DODIG-2019-106.pdf
- http://www.fedscoop.com/defense-department-known-cyber-vulnerabilities-lenovo-lexmark-gopro/
- http://www.nextgov.com/cybersecurity/2019/07/pentagon-spent-millions-vulnerable-chinese-tech-2018-watchdog-says/158840/
- http://www.fifthdomain.com/dod/2019/07/30/why-did-the-pentagon-spend-328-million-on-risky-tech/

【編集者メモ】(Pescatore)
この報告書が、「中国によるサイバースパイ活動」という文言を引用し、2017年に国務省が発表した、杭州Hikvision社のビデオ監視技術のリスクに関するアラートを参照しながら、DODや他の政府機関が、長年に渡りCisco社から脆弱なビデオ監視技術を購入していた事実(次の記事を参照)に言及していないことは皮肉だ。報告書は、「リスク=海外の開発企業」という概念に囚われすぎているが、調達前の機器やソフトウェアの脆弱性やリスクのテストを広めようとするDODの努力が、断片的で大部分において任意であるため非効率だという指摘は、的を射ている。

【編集者メモ】(Neely)
調達において、合理化されたGPC(Government Procurement Card)プログラムのような、複数の仕組みを導入する場合、許可されていない製品の審査は続ける必要がある。また、新たな購入オプションに伴うリスク、特にセキュリティや、機微なまたは専有の情報といったリスクの高い分野のものを処理するシステムに関するリスクについては検討が必要だ。
────────────────

◆ Ciso社が、セキュアではないと知りながら監視ソフトウェアを販売したことに対し、860万USドルを支払う(2019.7.30 & 2019.7.31)
Cisco社は、脆弱性が存在すると知りながら地方、州、連邦政府機関にビデオ監視ソフトウェアを販売していたとする訴えへの和解として、860万USドルの損害賠償金を支払うことに合意した。同社のVideo Surveillance Managerにおける脆弱性は、2008年当時、協力会社であるNetDesign社で働いていたJames Glenn氏によって報告された。2011年に提訴された裁判では、この違反を報告したことで2009年に解雇されたと主張。Cisco社は2013年まで問題の修正を行わず、それまでの期間該当の製品を販売し続けていた。和解により、Cisco社はJames Glenn氏に対しおよそ160万USドルの損害賠償金を支払う。

- http://arstechnica.com/information-technology/2019/08/cisco-pays-8-6-million-for-selling-surveillance-system-it-knew-was-vulnerable/
- http://threatpost.com/cisco-settles-suit-video-surveillance-software/146868/
- http://www.zdnet.com/article/cisco-to-pay-8-6-million-for-selling-vulnerable-software-to-us-government/
- http://www.nytimes.com/2019/07/31/technology/cisco-tech-flaw-sales.html
────────────────

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の無料セミナー・イベント        <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
〇8月22日(木)
 CISSPチャレンジセミナー
 「CISSPならこう考える!CISOに必要な情報セキュリティの知識と考え方」
https://www.nri-secure.co.jp/seminar/2019/cissp04.html?xmid=300&xlinkid=01

〇8月29日(木)【沖縄開催】
 CISSPチャレンジセミナー沖縄
 「CISSPならこう考える!CISOに必要な情報セキュリティの知識と考え方」
https://www.nri-secure.co.jp/seminar/2019/cissp05.html?xmid=300&xlinkid=02

〇9月10日(火)
 クラウド時代における社外とのデータ授受のあるべき姿
 ~ファイル転送・共有サービスの正しい選び方~
https://www.nri-secure.co.jp/seminar/2019/file03.html?xmid=300&xlinkid=03

〇9月12日(木)
 特権ID管理ツールの導入検討支援セミナー
 ~成功の秘訣と導入効果~
https://www.nri-secure.co.jp/seminar/2019/ac07.html?xmid=300&xlinkid=04

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の有料研修               <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
〇8月、2020年2月
 セキュアEggs(基礎 / インシデント / Webアプリ / フォレンジック)

https://www.nri-secure.co.jp/service/learning/secureeggs.html?xmid=300&xlinkid=05

○東京開催:9月、10月、11月、12月、2020年1月、2月、3月
 沖縄開催:12月
 CISSP CBKトレーニング

https://www.nri-secure.co.jp/service/learning/cissp_training.html?xmid=300&xlinkid=06

〇9月、10月
 SANS Tokyo Autumn 2019
https://sans-japan.jp/sans_tokyo_autumn2019/index.html?xmid=300&xlinkid=07

〇10月28日~11月2日【大阪開催】
 SANS Osaka 2019
https://sans-japan.jp/sans_osaka2019/index.html?xmid=300&xlinkid=08

〇11月25日~11月30日
 SANS Tokyo November 2019
https://sans-japan.jp/sans_tokyo_november2019/index.html?xmid=300&xlinkid=09

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃コラム(Secure SketCH ブログ) <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
〇日本企業の人材不足、課題の本質は「頭数」ではない|NRIセキュア調査結果

https://www.secure-sketch.com/blog/insight2019-human-resource?xmid=300&xlinkid=10

〇サプライチェーンリスク管理の重要性|情報は「委託先」から漏れる

https://www.secure-sketch.com/blog/supply-chain-risk-management?xmid=300&xlinkid=11

〇経営課題のセキュリティ、CISOによる適切なリソース配分が鍵|NRIセキュア調査結果

https://www.secure-sketch.com/blog/insight2019-security-management?xmid=300&xlinkid=12

〇DXについての実態調査、他国と比べて日本は?|NRIセキュア調査結果
https://www.secure-sketch.com/blog/insight2019-dx-security?xmid=300&xlinkid=13

〇【レポート公開】企業のセキュリティ実態調査2019|国内約1800社を徹底調査

https://www.secure-sketch.com/blog/publication-of-nri-secure-insight2019?xmid=300&xlinkid=14

>>ブログ記事一覧
https://www.secure-sketch.com/blog?xmid=300&xlinkid=15

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃ebook(無料ダウンロード)  <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
〇NRI Secure Insight 2019 ~企業における情報セキュリティ実態調査~

https://www.secure-sketch.com/ebook-download/insight2019-report?xmid=300&xlinkid=16

〇生産性の高いセキュリティ
 - Secure SketCHを最大限に活用して、セキュリティ業務を「効率化」する手法 -

https://www.secure-sketch.com/ebook-download/efficient-security-operations?xmid=300&xlinkid=17

〇EDR導入ガイド
 - インシデント前提社会の最適解 -

https://www.secure-sketch.com/ebook-download/recommend-edr-use?xmid=300&xlinkid=18

>>ダウンロード資料一覧
https://www.secure-sketch.com/ebook-download?xmid=300&xlinkid=19

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃お知らせ                     <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
〇NRIセキュア、デジタルサービスの潜在リスクを複合的に分析し、
 対策を支援するサービスを提供開始
https://www.nri-secure.co.jp/news/2019/0808.html?xmid=300&xlinkid=20

〇NRIセキュア、グループ会社やサプライチェーンのセキュリティリスクを
 Web上で一元管理できるサービスを提供開始
 ~セキュリティ対策実行支援プラットフォーム「Secure SketCH」の新プラン~
https://www.nri-secure.co.jp/news/2019/0806.html?xmid=300&xlinkid=21

〇特権ID管理ソリューション「SecureCube / Access Check」に
 中継自動接続機能とシングルサインオン機能を追加
https://www.nri-secure.co.jp/news/2019/0731.html?xmid=300&xlinkid=22

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃Secure SketCH 無料登録受付中 <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○30分でわかる!貴社に必要なセキュリティ対策
https://www.secure-sketch.com/?xmid=300&xlinkid=25

〇Secure SketCHサービス紹介資料

https://www.secure-sketch.com/ebook-download/secure_sketch_explanation-material?xmid=300&xlinkid=26

--

NRI Secure SANS NewsBites 日本版は、米国の情報セキュリティの専門機関であるSANS Instituteが配信するコンテンツ (SANS NewsBites)をベースに、NRIセキュアテクノロジーズが編集してお届けしています。 世界中でこの1週間に起こったセキュリティのあらゆるトピックと専門家のコメントが掲載されています。原版は、およそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュースソースとして活用されています。組織のセキュリティ管理に関する参考情報としてお役立てください。掲載されている情報は、e-mailを介して自由に他の方に再送していただいて結構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望される方は、弊社ホームページの以下のページよりお申込みください。
https://www.nri-secure.co.jp/news_letter/index.html

本ニュースレターは、メールマガジン配信を申し込まれた方、弊社からの情報を希望された方、SANS関連のイベントに参加された方、その他イベント等において弊社講演枠に登録された方に配信しています。今後、配信をご希望されない方は会社名と御氏名を本文に明記のうえ、件名に【配信不要】、配信先変更をご希望の方は【配信先変更希望】とご記入頂き、新旧のご連絡先も記載のうえ、info@sans-japan.jp までご返信をお願い致します。なお、情報の反映までにお時間を頂戴する場合がございます。