NRI Secure SANS NewsBites 日本版

Vol.14 No.26 2019年9月5日発行

──────────────────────────
■■SANS NewsBites Vol.14 No.26
(原版: 2019年 8月 20日、23日)
──────────────────────────


┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 今┃秋┃開┃催┃S┃A┃N┃S┃ト┃レ┃ー┃ニ┃ン┃グ┃
 ━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛
 1┃0┃月┃東┃京┃開┃催┃お┃申┃込┃み┃
 ━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛
  絶┃賛┃受┃付┃中┃!┃
 ━┛━┛━┛━┛━┛━┛

+++++++++++++++++++++++++++++++++++++++++++++++++++++++

開催まで残り1ケ月となりました。
全コース絶賛お申込み受付中です。
SANSトレーニングご検討中の方は、お急ぎください。

+++++++++++++++++++++++++++++++++++++++++++++++++++++++

SANS Tokyo Autumn 2019

◆9/30~10/5

  SEC401:Security Essentials Bootcamp Style★日本語
  SEC501:Advanced Security Essentials - Enterprise Defender
  FOR500:Windows Forensic Analysis

◆10/7~10/12
  SEC511:Continuous Monitoring and Security Operations
  SEC504:Hacker Tools, Techniques, Exploits and Incident Handling★日本語
  FOR508:Advanced Incident Response,Threat Hunting, and Digital Forensics
  SEC660:Advanced Penetration Testing, Exploit Writing, and Ethical Hacking

◆10/7~10/11
  SEC545:Cloud Security Architecture and Operations

◆トレーニング費用(税抜)
通常価格:760,000円

◆お申込みについて
各コースページのお申込みボタンより、お1人様ずつお願いいたします。
https://sans-japan.jp/index.html

┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛

◆ テキサス州で発生したランサムウェア攻撃において、23の地方政府機関が被害
 を受ける(2019.8.16 & 2019.8.18 2019.8.19)
8月16日金曜日、テキサス州内23の地方政府機関が保有する各コンピュータシステムが、ランサムウェアに感染していたことが明らかになった。テキサス州情報資源管理局(TDIR)によると、攻撃の痕跡を見る限り、攻撃は「独立した一つの脅威アクター」によって行われたと考えられている。連邦政府と州政府機関が復旧プロセスを支援している。

 - http://www.zdnet.com/article/at-least-20-texas-local-governments-hit-in-coordinated-ransomware-attack/
 - http://arstechnica.com/information-technology/2019/08/ransomware-strike-takes-down-23-texas-local-government-agencies/
 - http://statescoop.com/widespread-ransomware-attack-reported-across-texas/
 - http://threatpost.com/coordinated-ransomware-attack-hits-23-texas-government-agencies/147457/

【編集者メモ】(Pescatore)
地方政府のシステムは、大半のマルウェアの「再流行」ツアー現場となっているようだ。まず攻撃者が、より利益が見込める大きな組織を標的とし、標的となった組
織はその後脆弱性を修正する。そしてより規模の小さい組織における攻撃成功例が多数報告され、さらに州や地方政府機関における攻撃成功例が報告されている。こ
の事実から次の2点を指摘できる。(1) 州や地方政府機関は、人員、予算、管理体制の確保に克服できない障壁を抱えている。(2) 州や地方政府機関は、昨年発生し注目を浴びた攻撃が、今年自らを襲うという予備知識を生かせていない。
────────────────

◆ 米陸軍のサイバー部隊は、十分な人材、設備、訓練を確保できていない
 (2019.8.19)
米政府監査院(GAO)が発表した報告書によると、陸軍のサイバー部隊は人材不足が著しく、また十分な設備や訓練も確保できていない状態であることが明らかになった。この二年間で、第915サイバー戦争支援大隊(915th Cyber Warfare Support Battalion)と諜報、電子戦、サイバー空間(IECWS:Intelligence, Cyber,Electronic Warfare and Space)部隊が創設され、2020年にはさらに複数の部隊の創設が予定されている。GAOは推奨策として、既存の両部隊の人員、設備、訓練に関するリスク評価と、新しく創設が予定されている部隊のリスク評価の作成を提言している。

 - http://www.gao.gov/assets/710/700940.pdf
 - http://www.fedscoop.com/army-cyber-workforce-challenges-gao-report/
 - http://www.govinfosecurity.com/gao-armys-new-cyber-units-understaffed-underequipped-a-12927ped-a-12927

【編集者メモ】(Murray)
政府は関係ないかもしれないが、リソースが制限されているセキュリティプログラムの大半は、プログラムを立ち上げた人物が効果的な提案を作成し、答えとし「ノー」を出した後、プログラムを再編成する方法を学んでいないために今あるような結果となっている。不適切に正当化してしまうよりも、「ノー」を出すことが答えとして正しい場合がはるかに多い。経営層は、能力を強化したい部分にリソースを投入することを学ぶ必要があるのだ。

【編集者メモ】(Paller)
Bill Murrayのメモは、サイバーセキュリティ技術リーダーの発言の効果を急速に高めるための、またと無い機会の一つを示唆している。つまり、経営層を活気づけ
、説得できるようなサイバーセキュリティ要求事項の説明の仕方を学ぶ機会であり、恐怖では経営層は動いてくれないものだ。SANS Technology Instituteの学部生や院生に対し、サイバーセキュリティ要求事項のプレゼンターという仕事の機会を与えるという目的で、私たちは「Secrets to Successful Cybersecurity Presentations(サイバーセキュリティに関するプレゼンテーション成功の秘密)」というコースを新設した。このコースは、新人の社員が参加するセキュリティに関する報告会から経営層に向けて発表する報告会までを網羅している。今年の年末頃には準備が整う予定だ。また、私たちはこのコースをSANSの卒業生にも開放したいと考えている。関連コースであるSEC402: Cybersecurity Writing: Hack the Readerが、ちょうど始まったところだ。
 - http://www.sans.org/course/cyber-security-writing-hack-the-reader
────────────────

◆ 「ホワイト(倫理的な)」ハッカー試験における不正(2019.8.19.)
米国防総省(DOD)の契約業者の主張によると、主張している本人とその他複数名が、ホワイトハッカー試験において不当な手解きを受けていたことが明らかになった。2017年3月、彼らが所属する契約業者SAICは、報道によると試験の前日に受験者に対し、当日の試験と同じ問題や回答が掲載されたプリントを配布したとされている。この事実は別の契約業者からも確認されている。「最初の問題はスクリーン上に映し出されたが、その問題は試験対策で出たものと全く一緒だった。」「問題の出題順は違っていたが、設問そのものや答えは同一だった。またA、B、C、Dという四択も全く一緒だった。」

 - http://www.fox13news.com/news/fox-13-investigates/investigating-cyber-security-at-us-central-command
────────────────

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃OUCH! 9月号「ソーシャルメディアを用いた詐欺」について
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
最近のオンライン詐欺は、電子メールではなくソーシャルメディアなどのメッセ
ージ機能などを使ってあなたにアプローチをしてきます。このやり方は一見する
と無謀にも思えますが、メールと比べて人間の心の障壁が下がるという特徴があ
ることを悪用しているのです。今月はこのようなソーシャルメディアを用いたフ
ィッシングなどの詐欺行為について、典型的な手口を紹介し、攻撃を見抜くポイ
ントなどを一般ユーザにも分かりやすく解説します。社内のセキュリティ意識向
上ツールとしてご利用ください。
https://www.sans.org/sites/default/files/2019-09/201909-OUCH-September-Japanese.pdf

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

◆ 米国においてランサムウェア被害が多発している(2019.8.21 & 2019.8.22)
この数か月、米国各地の州内の地方政府機関がランサムウェア攻撃による被害を受けるという事件が多数発生した。直近ではテキサス州内22の地方政府機関が「独立した一つの脅威アクター」が展開したと考えられるランサムウェア攻撃を受けたとテキサス州職員により報告されている。このうちラボック郡は、攻撃を検知しすぐに感染に対処すことができた。その他の地方政府機関では、攻撃による被害からの復旧が進められている。企業がランサムウェア攻撃を受けた場合、彼らは大抵事件の発生を大ごとにせず処理できているが、地方政府機関のオンラインサービスが停止した場合、市民がすぐに気づいてしまう。

 - http://www.nytimes.com/2019/08/22/us/ransomware-attacks-hacking.html
 - http://arstechnica.com/information-technology/2019/08/while-one-texas-county-shook-off-ransomware-small-cities-took-full-punch/
 - http://www.darkreading.com/attacks-breaches/texas-towns-recover-but-local-governments-have-little-hope-for-respite-from-ransomware/d/d-id/1335606

【編集者メモ】(Paller)
私が読んだランサムウェアに関する記事の中では、New York Times紙の記事が最もわかりやすい。包括的で詳細な内容であり、とても良く書かれているものである。私の考えでは、記事の中にある実行可能なキーワードは、「(FBIは)地方政府機関に対し使用しているソフトウェアをアップデートするよう注意喚起した - これはボルチモア市ができなかったことだ」というものだ。一歩話を進めると、CISOの効果を計る単純な物差しは、組織が保有するシステムにパッチが適用されているか否か(もしくはパッチが適用できない場合はセグメント化されているか)という点である。ちなみに、同じファーストレスポンダーに頼っている同一州内の複数の組織に対する攻撃の発生は、ファーストレスポンダーという人材を使い尽くし、被害者に対して泣き寝入りを強要するサイバーパンデミックの「氷山の一角」と言える一例だ。

【編集者メモ】(Murray)
これらの攻撃は多くが失敗する一方、標的が狭い範囲に絞られているものだ。もしあるシステムが脆弱で標的の一つとなっている場合、そのシステムは停止する。標的が、復旧に必要となるリソースを枯渇させるような目的で選ばれていることに注意しよう。先週はルイジアナ州であり、今週はテキサス州が標的となった。
────────────────

◆ 若い女性が、コーディング業務インターンシップの面接における偏重傾向、差別、ハラスメントの事実を報告(2019.8.22)
IT業界の企業が多様性への取り組みについて語る時リップサービスを用いるが、実際の企業の構造やインターンシップの面接過程における明白な性差別や偏重傾向は、企業の実態がリップサービスで語られる内容からは程遠いことを示している。コーディングの仕事に就く女性の割合の低さは、業界との繋がりに関する問題が多少その原因となっているかもしれないが、女性の能力を下に見るような複数の企業において、組織化された性差別を肯定する空気が蔓延していることも原因として挙げられる。コンピュータサイエンスや関連する分野を専攻する大学3、4年の女子学生152名のへのアンケートによると、ほぼ半数がインターンシップへの応募過程において嫌な思いを経験していたことが判明した。この経験には、多様性の明らかな欠如、性別や偏重傾向、差別発言によって落とされたり自身の品位を落とされたりすること、ハラスメントに当たる言動が含まれる。

 - http://girlswhocode.com/wp-content/uploads/2019/08/GWC_Advocacy_InternshipApplicationExperiences_PDF_z6.pdf
 - http://www.wired.com/story/for-young-female-coders-internship-interviews-can-be-toxic/

【編集者メモ】(Pescatore)
2019 RSA Conferenceでは、既に業界に身を置いている女性による、業界に興味を持っている女性に対して、これらの問題の多くに対処するためのツールの紹介を試みる素晴らしいセッションが複数見受けられるようだ。問題がすぐになくなることが理想的ではあるが、記事の内容にあるような実体験や調査を見る限り勝手になくなることはないだろう。組織化された性別による偏重傾向をなくすには、偏重傾向を克服する外部の努力と、その後の内部からの偏重傾向を排除する取り組みによって促進されていくのだ。
 - http://www.rsaconference.com/industry-topics/presentation/women-in-cybersecurity-finding-attracting-and-cultivating-talent

【編集者メモ】(Paller)
サイバーセキュリティ業界における性別による偏重傾向を克服するための、有力な方法に関する()注目すべき?研究が、昨年NBC Newsによって発表されたようだ。
 - http://www.nbcnews.com/news/us-news/jobs-cybersecurity-are-exploding-why-aren-t-women-picture-n865206

【編集者メモ】(Murray)
この調査から私たちが学ぶべきことの一つは、企業が作りたい理想とする環境を説明するために、面接担当者を訓練する必要があるということだ。もう一つは、いわゆる「Bro(男仲間の)」culture(文化)が「ロッカールーム」とは言えないまでも「チーム」文化の遺物と呼ぶべきものだということだ。開発業務の大半はチーム作業であるため、開発関係の仕事を熱望する人は、「チーム」における経験をアピールすることをお勧めする。例:チームスポーツ、バンド、コーラス、演劇
────────────────

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の無料セミナー・イベント        <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
〇9月10日(火)
 クラウド時代における社外とのデータ授受のあるべき姿
 ~ファイル転送・共有サービスの正しい選び方~
 https://www.nri-secure.co.jp/seminar/2019/file03.html?xmid=300&xlinkid=01

〇9月12日(木)、10月7日(月)、11月14日(木)
 特権ID管理ツールの導入検討支援セミナー
 ~成功の秘訣と導入効果~
 https://www.nri-secure.co.jp/seminar/2019/ac07.html?xmid=300&xlinkid=02

〇9月17日(火)、10月23日(水)、11月19日(火)、12月19日(木)
 【事例で解説】マルチクラウド時代に必要な「CASB」とは
 ~CASBで安全なクラウドサービスの活用を実現~
 https://www.nri-secure.co.jp/seminar/2019/casb01.html?xmid=300&xlinkid=03

〇9月19日(木)、11月21日(木)
 Web分離・無害化によるセキュリティ対策
 ~触って理解するMenlo Security~
 https://www.nri-secure.co.jp/seminar/2019/isolation04.html?xmid=300&xlinkid=04
〇9月26日(木)、10月24日(木)、11月26日(火)、12月24日(火)
 「貴社の情報資産がダークウェブに漏れていませんか?」
 ~脅威インテリジェンスサービスIntSightsでデジタルリスクを調査~
 
https://www.nri-secure.co.jp/seminar/2019/threat-intelligence01.html?xmid=300&xlinkid=05

〇【販売店様向け】特権ID管理ツールの提案支援セミナー
 ~特権ID管理の最新動向と導入実績No.1ソリューションのご紹介~
 
https://www.nri-secure.co.jp/seminar/2019/partner_ac01.html?xmid=300&xlinkid=06

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の有料研修               <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
〇9月30日~10月
 SANS Tokyo Autumn 2019
 https://sans-japan.jp/sans_tokyo_autumn2019/index.html?xmid=300&xlinkid=08

○東京開催:10月、11月、12月、2020年1月、2月、3月
 沖縄開催:12月
 CISSP CBKトレーニング
 
https://www.nri-secure.co.jp/service/learning/cissp_training.html?xmid=300&xlinkid=07

〇10月28日~11月2日【大阪開催】
 SANS Osaka 2019
 https://sans-japan.jp/sans_osaka2019/index.html?xmid=300&xlinkid=09

〇11月25日~11月30日
 SANS Tokyo November 2019
 https://sans-japan.jp/sans_tokyo_november2019/index.html?xmid=300&xlinkid=10

〇2020年2月
 セキュアEggs(基礎 / インシデント / Webアプリ / フォレンジック)
 
https://www.nri-secure.co.jp/service/learning/secureeggs.html?xmid=300&xlinkid=11

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃コラム(Secure SketCH ブログ)                    <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

〇日本の決済の未来はどうなる?|Visa Security Summit 2019参加レポート
 
https://www.secure-sketch.com/blog/the-future-of-cashless-payment?xmid=300&xlinkid=12

〇セキュリティ事故の傾向分析、海外と日本の明確な「違い」とは?
 |NRIセキュア調査
 
https://www.secure-sketch.com/blog/insight2019-security-threat-incident?xmid=300&xlinkid=13

〇セキュリティ対策が遅れる日本企業、経営層のリーダーシップが挽回のポイント
 |NRIセキュア調査結果
 
https://www.secure-sketch.com/blog/insight2019-security-measures?xmid=300&xlinkid=14

>>ブログ記事一覧
 https://www.secure-sketch.com/blog?xmid=300&xlinkid=15

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃ebook(無料ダウンロード)                       <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
〇NRI Secure Insight 2019 ~企業における情報セキュリティ実態調査~
 
https://www.secure-sketch.com/ebook-download/insight2019-report?xmid=300&xlinkid=16

〇生産性の高いセキュリティ
 - Secure SketCHを最大限に活用して、セキュリティ業務を「効率化」する手法 -
 
https://www.secure-sketch.com/ebook-download/efficient-security-operations?xmid=300&xlinkid=17

〇EDR導入ガイド
 - インシデント前提社会の最適解 -
 
https://www.secure-sketch.com/ebook-download/recommend-edr-use?xmid=300&xlinkid=18

>>ダウンロード資料一覧
 https://www.secure-sketch.com/ebook-download?xmid=300&xlinkid=19

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃お知らせ                     <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
〇ユービーセキュア、セキュリティ脆弱性検査ツール「Vex」の新バージョンを
 販売開始
 https://www.nri-secure.co.jp/news/2019/0829.html?xmid=300&xlinkid=20

〇NDIAS、株式会社ティアフォーと車の安全な自動運転に向けた共同研究を開始
 https://www.nri-secure.co.jp/news/2019/0827.html?xmid=300&xlinkid=21

〇ユービーセキュア、Vex技術者認定制度の試験申込受付開始
 https://www.nri-secure.co.jp/news/2019/0822.html?xmid=300&xlinkid=22

〇NRIセキュア、電子ファイルを安全に交換する「クリプト便」サービスに、
 ファイル共有の事前承認機能を追加
 https://www.nri-secure.co.jp/news/2019/0815.html?xmid=300&xlinkid=23

>>ニュース一覧
 https://www.nri-secure.co.jp/news/?xmid=300&xlinkid=24

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃Secure SketCH 無料登録受付中 <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○30分でわかる!貴社に必要なセキュリティ対策
 https://www.secure-sketch.com/?xmid=300&xlinkid=25

〇Secure SketCHサービス紹介資料
 
https://www.secure-sketch.com/ebook-download/secure_sketch_explanation-material?xmid=300&xlinkid=26l?xmid=300&xlinkid=26

--

NRI Secure SANS NewsBites 日本版は、米国の情報セキュリティの専門機関であるSANS Instituteが配信するコンテンツ (SANS NewsBites)をベースに、NRIセキュアテクノロジーズが編集してお届けしています。 世界中でこの1週間に起こったセキュリティのあらゆるトピックと専門家のコメントが掲載されています。原版は、およそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュースソースとして活用されています。組織のセキュリティ管理に関する参考情報としてお
役立てください。掲載されている情報は、e-mailを介して自由に他の方に再送していただいて結構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望される方は、弊社ホームページの以下のページよりお申込みください。
https://www.nri-secure.co.jp/news_letter/index.html

本ニュースレターは、メールマガジン配信を申し込まれた方、弊社からの情報を希望された方、SANS関連のイベントに参加された方、その他イベント等において弊社
講演枠に登録された方に配信しています。今後、配信をご希望されない方は会社名と御氏名を本文に明記のうえ、件名に【配信不要】、配信先変更をご希望の方は【配信先変更希望】とご記入頂き、新旧のご連絡先も記載のうえ、info@sans-japan.jp までご返信をお願い致します。なお、情報の反映までにお時間を頂戴する場合がございます。