──────────────────────────
■■SANS NewsBites Vol.14 No.28
(原版: 2019年 9月 10日、13日)
──────────────────────────
┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
今┃秋┃開┃催┃S┃A┃N┃S┃ト┃レ┃ー┃ニ┃ン┃グ┃
━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛
1┃0┃月┃東┃京┃開┃催┃お┃申┃込┃み┃
━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛
最┃終┃受┃付┃中┃!┃
━┛━┛━┛━┛━┛━┛
+++++++++++++++++++++++++++++++++++++++++++++++++++++++
開催まで残り2週間を切りました。
全コースお申込み受付中です。
残席わずかのコースもありますので、
ご検討中の方は、お急ぎください。
+++++++++++++++++++++++++++++++++++++++++++++++++++++++
SANS Tokyo Autumn 2019
◆9/30~10/5
SEC401:Security Essentials Bootcamp Style★日本語
SEC501:Advanced Security Essentials - Enterprise Defender
FOR500:Windows Forensic Analysis
◆10/7~10/12
SEC511:Continuous Monitoring and Security Operations
SEC504:Hacker Tools, Techniques, Exploits and Incident Handling★日本語
★残席わずか★FOR508:Advanced Incident Response,Threat Hunting, and Digital
Forensics
★残席わずか★SEC660:Advanced Penetration Testing, Exploit Writing, and Ethical
Hacking
◆10/7~10/11
SEC545:Cloud Security Architecture and Operations
◆トレーニング費用(税抜)
通常価格:760,000円
◆お申込みについて
各コースページのお申込みボタンより、お1人様ずつお願いいたします。
https://sans-japan.jp/index.html
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛
◆ 送電網のサイバーセキュリティインシデントに関する NERC がレポートを公開
(2019.9.6,9)
North American Electric Reliability Corporation (NERC) が公開したレポートでは、米国の送電網に影響を与えたサイバーセキュリティインシデントを分析して
いる。2019年3月5日に攻撃者は、複数のサイトにてファイアウォールが10時間もの間、繰り返し再起動するように仕掛けていた。影響を受けたファイアウォールは、今までファームウェアの更新が行われておらず、アップデートを適用した後に事象は収まった。
- https://www.zdnet.com/article/cyber-security-incident-at-us-power-grid-entity-linked-to-unpatched-firewalls/
- https://www.eenews.net/stories/1061111289
- https://www.eenews.net/assets/2019/09/06/document_ew_02.pdf
【編集者メモ】(Pescatore)
この件で適用された二つの対策は、サイバーセキュリティを基本的なレベルまで引き上げることをしたものだ:(1)重要なシステムに対するファームウェアアップデートの監視と更新の優先度を上げる;(2)「資産の運用に必要な最低限の通信のみを許可するようファイアウォールのルール」を設定する。NERCが記載している教訓はすべて、重要なセキュリティ設定 (Critical Security Controls) の指針である。
【編集者メモ】(Neely)
このレポートでは、攻撃を受けている最中でもアップデートを適用することによる影響を確認し、重要ではないシステムのファイアウォールに適用した上で運用しているシステムに悪影響を与えないことも確認している。運用プロセスにアップデートをタイムリーに適用し、セグメンテーションとアクセス制御が行われていることを確認するだけではなく、重要なシステムや資産に対してアップデートを適用する前に試験をすることを加えておくようにしよう。
【編集者メモ】(Murray)
インターネット企業と同様に電力会社も通常の企業よりも高い基準を満たさなければならない。その中で、システム・アプリケーションのバージョンおよびコンテンツ制御、プロセス間分離化、強固な認証、「最小特権」によるアクセスが含まれる。
────────────────
◆ テキサス州のランサムウエアからの復旧に関する状況報告 (2019.9.5,7)
テキサス州にあるランサムウエアによる被害を受けた 22の市町村のうち、支払いの要求に応じたところは一つもないという。テキサス州の Department of Information Resourcesによると半分以上の市町村はデータ復旧に成功している。一部はバックアップからの復旧、一部はゼロからの復旧をしたという。
- https://www.zdnet.com/article/no-municipality-paid-ransoms-in-coordinated-ransomware-attack-that-hit-texas/
- https://www.nytimes.com/aponline/2019/09/05/us/ap-us-cyber-attacks-texas.html
────────────────
◆ アップル社がグーグル社による iOSの脆弱性を攻撃する悪意あるウェブサイト
に関する報告に対応 (2019.9.6)
グーグル社が iPhone を使って悪意あるサイトを訪問した際に iOSの脆弱性を悪用して感染させることを報告したことに対し、アップル社が反応した。アップル社は、この攻撃が中国のウイグル族のムスリムコミュニティを標的にしたものであることを認めたものの、グーグルによる攻撃の解説に物言いが入った。アップル社は、悪意あるサイトが稼働していた期間に関する指摘を行い、グーグル社による報告が本脆弱性を修正する iOSアップデートが公開されてから半年後のものだという。アップル社は、今回の攻撃は焦点を絞ったもので、グーグル社が指摘するほど拡散されたものではないとしている。
- https://www.apple.com/newsroom/2019/09/a-message-about-ios-security/
- https://www.wired.com/story/ios-hacks-apple-response/
【編集者メモ】(Neely)
この攻撃の目的には、標的となった機器に対する権限を取得し、SignalやiMessageのような情報を暗号化してから送信するアプリの情報へのアクセス権を取得することである。アップル社は、この攻撃に関して、攻撃期間と対象について異論を唱えているが、プラットフォームに関わらず、機器に対し最新のアップデートを適用し、ブラウジング中は注意を払うことは重要だ。標的型攻撃の標的でなくてもアクセスした際に影響を受けると考えた方が良いだろう。
────────────────
━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃OUCH! 9月号「ソーシャルメディアを用いた詐欺」について
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
最近のオンライン詐欺は、電子メールではなくソーシャルメディアなどのメッセ
ージ機能などを使ってあなたにアプローチをしてきます。このやり方は一見する
と無謀にも思えますが、メールと比べて人間の心の障壁が下がるという特徴があ
ることを悪用しているのです。今月はこのようなソーシャルメディアを用いたフ
ィッシングなどの詐欺行為について、典型的な手口を紹介し、攻撃を見抜くポイ
ントなどを一般ユーザにも分かりやすく解説します。社内のセキュリティ意識向
上ツールとしてご利用ください。
https://www.sans.org/sites/default/files/2019-09/201909-OUCH-September-Japanese.pdf
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆ Dragos社:ロシアによるウクライナの送電網に対する攻撃は長期的な物理ダメージを与えることが目的 (2019.9.12)
Dragos社の研究者は、2016年12月に行われたロシアによるウクライナ全国の送電網を運用するUkrenergo社への攻撃のタイムラインを公開した。研究者たちは、攻撃者が「被害者組織がオペレーションの復旧をした際に物理的な破壊が発生するための前提条件を仕込んでいた」という。攻撃によって一時的な停電は発生したが、当
初の目的であった「数時間単位ではなく、数か月単位の長期的な影響を与える:送電する機器の物理的な破壊」は達成されなかった。
- https://dragos.com/wp-content/uploads/CRASHOVERRIDE.pdf
- https://www.wired.com/story/russia-ukraine-cyberattack-power-grid-blackout-destruction/
【編集者メモ】(Murray)
送電網への侵入は早い段階で行われるだろうが、攻撃自体は対立時に行われることがある。実在するリスクへの対策として、システムとアプリケーションコンテンツ
の制御・バージョン制御は重要である。変更は最低限にして、安定性とレジリエンス(復元力)を目的とするべきだ。
────────────────
◆ ランサムウエアを使った攻撃者はサービスプロバイダを標的に (2019.9.12)
多くの小規模の企業や市町村は IT 管理をサービスプロバイダに委託している。その理由として自社内でフルタイムのITスタッフを雇うよりもコストが抑えられるからである。攻撃者は、このようなサービスプロバイダに対してランサムウエアによる攻撃を仕掛けており、一度の攻撃で複数の企業に影響を与えることが可能となる。
【編集者メモ】(Pescatore)
攻撃者は昔からサービスプロバイダを標的にしてきた。2018年に40もの市町村に影響を与えた Wipro および Click2Govへの侵入に関するレポートを確認してみよう。攻撃者は、サプライチェーンを標的にし、特にサプライしている側を網羅してくる。サプライチェーンのセキュリティに関して、SANSはホワイトペーパーを公開し、ウェビナーを開催した:
- https://www.sans.org/webcasts/success-patterns-supply-chain-security-111280:
(Success Patterns for Supply Chain Security)
────────────────
◆ ボルチモア市の CIOがランサムウエア攻撃を受け、無期限の休暇
(2019.9.10,11)
ボルチモア市(メリーランド州)のフランク・ジョンソンCIOが無期限の休暇中である。ジョンソン氏は、2019年5月に発生したランサムウエアによる攻撃を受け、批判の的となっている。市の職員は、攻撃が発生した際におけるコミュニケーション不足および攻撃に関する情報の不透明性を批判し、ジョンソン氏がインシデント発生時における対応・継続運用の計画を作成していなかったことを指摘している。1.800万 USD にもなる利益の損失および復旧コストおよびインシデントによる被害かの復旧が現在も続いています。今回の攻撃は、ジョンソン氏がCIO任期中に発
生した2度目の攻撃事例である。
- https://www.baltimorebrew.com/2019/09/10/frank-johnson-baltimores-it-chief-during-the-ransomware-attack-goes-on-leave/
- https://statescoop.com/baltimore-cio-on-leave-ransomware/
- https://www.govtech.com/people/Baltimore-CIO-Who-Managed-Ransomware-Response-on-Leave.html
【編集者メモ】(Paller)
驚くことに多くの組織において、ランサムウエアによる攻撃がコンプライアンス中心の対策から継続したセキュリティ対策が実施されるようになってきた。サイバーセキュリティコンサルタントから「組織はセキュリティ的に大丈夫です」という評価を得るだけでは足りなくなってきている。シニアマネジメントは、このようなレポート・報告だけでは CISO のパフォーマンスを評価するために情報が不足していることを認識している。継続したサイバーセキュリティ対策はつまらないものである。しかも、永遠に終わらない。セキュリティ部門とIT運用部門がパートナーシップを組み、機器の対策をしておくことで、低インパクトの攻撃による影響を受けずに済み、インシデント発生時にもシニアマネジメントのサポートを受けることができるようになるだろう。
【編集者メモ】(Neely)
相次ぐランサムウエア攻撃による教訓は、IT障害回復対策の重要性が増したことである。IT企業は、確認された復旧計画だけでなく、サービスがオフラインになってしまった際のコミュニケーションとバックアップの手順も必要だ。シニアマネジメントも巻き込むことがサポート・透明性の意味でも重要である。
【編集者メモ】(Murray)
(上記に)同意である。追加で、需要したリスクに関してはすべてドキュメントで残すこともしておくといいだろう。
────────────────
━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の無料セミナー・イベント <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
〇10月23日(水)、11月19日(火)、12月19日(木)
【事例で解説】マルチクラウド時代に必要な「CASB」とは
~CASBで安全なクラウドサービスの活用を実現~
https://www.nri-secure.co.jp/seminar/2019/casb01.html?xmid=300&xlinkid=02
〇9月19日(木)、11月21日(木)
Web分離・無害化によるセキュリティ対策
~触って理解するMenlo Security~
https://www.nri-secure.co.jp/seminar/2019/isolation04.html?xmid=300&xlinkid=03
〇9月26日(木)、10月24日(木)、11月26日(火)、12月24日(火)
「貴社の情報資産がダークウェブに漏れていませんか?」
~脅威インテリジェンスサービスIntSightsでデジタルリスクを調査~
https://www.nri-secure.co.jp/seminar/2019/threat-intelligence01.html?xmid=300&xlinkid=04
〇10月17日(木)
【販売店様向け】特権ID管理ツールの提案支援セミナー
~特権ID管理の最新動向と導入実績No.1ソリューションのご紹介~
https://www.nri-secure.co.jp/seminar/2019/partner_ac01.html?xmid=300&xlinkid=05
━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の有料研修 <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
〇9月30日~10月
SANS Tokyo Autumn 2019
https://sans-japan.jp/sans_tokyo_autumn2019/index.html?xmid=300&xlinkid=07
○東京開催:10月、11月、12月、2020年1月、2月、3月
沖縄開催:12月
CISSP CBKトレーニング
https://www.nri-secure.co.jp/service/learning/cissp_training.html?xmid=300&xlinkid=08
〇11月25日~11月30日
SANS Tokyo November 2019
https://sans-japan.jp/sans_tokyo_november2019/index.html?xmid=300&xlinkid=09
〇2020年2月
セキュアEggs(基礎 / インシデント / Webアプリ / フォレンジック)
https://www.nri-secure.co.jp/service/learning/secureeggs.html?xmid=300&xlinkid=10
━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃コラム(Secure SketCH ブログ) <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
〇クラウド利用時の情報セキュリティガバナンスの課題とセキュリティ対策の
注意点
https://www.secure-sketch.com/blog/security-issues-in-using-cloud-services?xmid=300&xlinkid=11
〇日本の決済の未来はどうなる?|Visa Security Summit 2019参加レポート
https://www.secure-sketch.com/blog/the-future-of-cashless-payment?xmid=300&xlinkid=12
〇セキュリティ事故の傾向分析、海外と日本の明確な「違い」とは?
|NRIセキュア調査
https://www.secure-sketch.com/blog/insight2019-security-threat-incident?xmid=300
&xlinkid=13
〇セキュリティ対策が遅れる日本企業、経営層のリーダーシップが挽回のポイント
|NRIセキュア調査結果
https://www.secure-sketch.com/blog/insight2019-security-measures?xmid=300&xlinkid=14
>>ブログ記事一覧
https://www.secure-sketch.com/blog?xmid=300&xlinkid=15
━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃ebook(無料ダウンロード) <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
〇NRI Secure Insight 2019 ~企業における情報セキュリティ実態調査~
https://www.secure-sketch.com/ebook-download/insight2019-report?xmid=300&xlinkid=16
〇生産性の高いセキュリティ
- Secure SketCHを最大限に活用して、セキュリティ業務を「効率化」する手法 -
https://www.secure-sketch.com/ebook-download/efficient-security-operations?xmid=300&xlinkid=17
〇EDR導入ガイド
- インシデント前提社会の最適解 -
https://www.secure-sketch.com/ebook-download/recommend-edr-use?xmid=300&xlinkid=18
>>ダウンロード資料一覧
https://www.secure-sketch.com/ebook-download?xmid=300&xlinkid=19
━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃お知らせ <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
〇NRIセキュア、学生向けハッキングトーナメント「NRI Secure NetWars 2019」
を11月9日に開催
https://www.nri-secure.co.jp/news/2019/0909.html?xmid=300&xlinkid=20
〇NDIAS、株式会社ティアフォーと車の安全な自動運転に向けた共同研究を開始
https://www.nri-secure.co.jp/news/2019/0827.html?xmid=300&xlinkid=21
〇ユービーセキュア、セキュリティ脆弱性検査ツール「Vex」の新バージョンを
販売開始
https://www.nri-secure.co.jp/news/2019/0829.html?xmid=300&xlinkid=22
〇ユービーセキュア、「Vex」のトレーニングコースを刷新
~企業のDevSecOps実現に向けて、より高度な検査スキルの習得が可能に~
https://www.nri-secure.co.jp/news/2019/0910.html?xmid=300&xlinkid=23
>>ニュース一覧
https://www.nri-secure.co.jp/news/?xmid=300&xlinkid=24
━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃Secure SketCH 無料登録受付中 <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○30分でわかる!貴社に必要なセキュリティ対策
https://www.secure-sketch.com/?xmid=300&xlinkid=25
〇Secure SketCHサービス紹介資料
https://www.secure-sketch.com/ebook-download/secure_sketch_explanation-material?xmid=300&xlinkid=26
--
NRI Secure SANS NewsBites 日本版は、米国の情報セキュリティの専門機関であるSANS Instituteが配信するコンテンツ (SANS NewsBites)をベースに、NRIセキュアテクノロジーズが編集してお届けしています。 世界中でこの1週間に起こったセキュリティのあらゆるトピックと専門家のコメントが掲載されています。原版は、お
よそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュースソースとして活用されています。組織のセキュリティ管理に関する参考情報としてお役立てください。掲載されている情報は、e-mailを介して自由に他の方に再送していただいて結構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望される方は、弊社ホームページの以下のページよりお申込みください。
https://www.nri-secure.co.jp/news_letter/index.html
本ニュースレターは、メールマガジン配信を申し込まれた方、弊社からの情報を希望された方、SANS関連のイベントに参加された方、その他イベント等において弊社講演枠に登録された方に配信しています。今後、配信をご希望されない方は会社名と御氏名を本文に明記のうえ、件名に【配信不要】、配信先変更をご希望の方は【配信先変更希望】とご記入頂き、新旧のご連絡先も記載のうえ、info@sans-japan.jp までご返信をお願い致します。なお、情報の反映までにお時間を頂戴する場合がございます。