NRI Secure SANS NewsBites 日本版

Vol.14 No.29 2019年9月25日発行

──────────────────────────
■■SANS NewsBites Vol.14 No.29
(原版: 2019年 9月 17日、20日)
──────────────────────────


┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 今┃秋┃開┃催┃S┃A┃N┃S┃ト┃レ┃ー┃ニ┃ン┃グ┃
 ━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛
 1┃0┃月┃東┃京┃開┃催┃お┃申┃込┃み┃
 ━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛
 最┃終┃受┃付┃中┃!┃
 ━┛━┛━┛━┛━┛━┛

+++++++++++++++++++++++++++++++++++++++++++++++++++++++

開催まで残り1週間となりました。
全コースお申込み受付中です。
残席わずかのコースもありますので、
ご検討中の方は、お急ぎください。

+++++++++++++++++++++++++++++++++++++++++++++++++++++++

SANS Tokyo Autumn 2019

◆9/30~10/5

  SEC401:Security Essentials Bootcamp Style★日本語
  SEC501:Advanced Security Essentials - Enterprise Defender
  FOR500:Windows Forensic Analysis

◆10/7~10/12
  SEC511:Continuous Monitoring and Security Operations
  SEC504:Hacker Tools, Techniques, Exploits and Incident Handling★日本語
★残席わずか★FOR508:Advanced Incident Response,Threat Hunting, and Digital
Forensics
★残席わずか★SEC660:Advanced Penetration Testing, Exploit Writing, and Ethical
Hacking


◆10/7~10/11
  SEC545:Cloud Security Architecture and Operations

◆トレーニング費用(税抜)
通常価格:760,000円

◆お申込みについて
各コースページのお申込みボタンより、お1人様ずつお願いいたします。
https://sans-japan.jp/index.html

┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛

◆ コネチカット州の公立学区が二度目のランサムウエア攻撃を受けた
 (2019.9.13)
ウォルコットの公立学校が、再びランサムウエア攻撃によって受けた被害からの復旧を行っている。コネチカット西部の公立学区は、今年の6月にもランサムウエア攻撃による被害を受けていた。攻撃者は、12,000 USD の身代金を要求しており、支払いは行われていない。9月4日に不審な挙動が確認された際に、安全を期すために学区はシステムをシャットダウンした。

 - https://edscoop.com/wolcott-conn-school-district-hit-by-second-ransomware-attack/
 - https://www.courant.com/news/connecticut/hc-news-wolcott-schools-hacked-computer-systems-20190911-apqgqwhdzc45p4k36d22k6wce-story.html
────────────────

◆ ランサムウエア攻撃によって失われたボルチモア市のデータ(2019.9.11)
ボルチモア市の審査員は、5月に受けた市のシステムへのランサムウエア攻撃により、IT部門はパフォーマンスデータを失ったとしている。このデータは、ローカルにのみ保存されておりバックアップは無かったという。この攻撃によって失われたデータに関する声明は初である。

 - https://www.baltimoresun.com/politics/bs-md-ci-data-lost-20190911-i6feniyk5nd3pereznpdxwsf7a-story.html
────────────────

【編集者メモ】(Neely)
ボルチモア市は、失われたデータに関する全容は復旧が終わるまで分からないだろう。失われたデータの中には、バックアップされてないファイルのみならず、ロールフォワードもしくは再構築できないトランザクションも含まれる。IT資産の見直しを行う際に適切なバックアップが行われていることを確認すると同時に、データ損失をリスクとして受け入れる部分についてはドキュメント化しておくことも重要である。

【編集者メモ】(Honan)
組織内で責任ある立場にいる人に対し、これらのランサムウエア攻撃の事例を活用して社内で演習を行うことを推奨する。こうすることで、実際に攻撃を受けた際の対応を確認することができる。
────────────────

◆ アルバニー市のランサムウエア対策のコスト(2019.9.13)
ニューヨーク州アルバニー市が3月に受けたランサムウエア攻撃の対応コストが明らかになっていない。ニューヨーク州の Freedom of Information Law からの要求で、一部のコストがドキュメント化された。このドキュメントには、ハードウエア・ソフトウエアの購入やクレジット監視サービスなどのプロフェッショナルサービスが含まれており、合計 160,000 USD であった。市長は、既に 300,000 USD 以上使われていることを発表しているが、コストの内訳を明らかにしていない。アルバニー市は、攻撃者による身代金の要求額を明らかにしていない。

 - https://wnyt.com/news/albany-spent-over-300k-recovering-from-cyberattack/5491067/
────────────────

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃OUCH! 9月号「ソーシャルメディアを用いた詐欺」について
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
最近のオンライン詐欺は、電子メールではなくソーシャルメディアなどのメッセ
ージ機能などを使ってあなたにアプローチをしてきます。このやり方は一見する
と無謀にも思えますが、メールと比べて人間の心の障壁が下がるという特徴があ
ることを悪用しているのです。今月はこのようなソーシャルメディアを用いたフ
ィッシングなどの詐欺行為について、典型的な手口を紹介し、攻撃を見抜くポイ
ントなどを一般ユーザにも分かりやすく解説します。社内のセキュリティ意識向
上ツールとしてご利用ください。
https://www.sans.org/sites/default/files/2019-09/201909-OUCH-September-Japanese.pdf
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

◆ SIMスワッピング:プロバイダによって顧客保護対応が異なる(2019.9.19)
Vice社が発行したレポートによると、Verizon社は IMEI (International Mobile Equipment Identity)
の変更を監視している:顧客の電話番号が別のSIMカードを使って新しい端末で有効にされた場合、Verizon社は顧客による変更確認が行われるまで、両方の端末でサービスを無効にすることが明らかになった。Sprint社、AT&T社およびT-Mobile社は、このような監視が行われていない。T-Mobile社は、NOPORTと呼ばれる機能を
一部の端末で提供しているが、このサービスを宣伝してない。

 - https://www.vice.com/en_us/article/kz438w/verizon-makes-sim-swapping-hard-why-doesnt-atandt-sprint-and-t-mobile

【編集者メモ】(Pescatore)
今の携帯電話契約が切れたら、次の契約はVerizon社にする良いきっかけである。キャリアはセキュリティ・プライバシー機能の提供をするために市場の力が必要になるだろう。同じ端末とサービスを提供する以上、価格でしかお互いに勝負できない。私は、「よりキレイなモバイル網」、ハッキングされにくい機器管理のためになら少し多めに払ってもよい。

【編集者メモ】(Ullrich)
何を求めるかは気を付けなければならない。SIMを別の端末に挿す際にキャリアに電話しなければならないのであれば、「SIMスワッピング費用」を払うことになるだろう。現在は、30 USD の「アップグレード費用」がかかる(SIMスワッピングすることでこの費用の支払いを避けることができる)

【編集者メモ】(Murray)
携帯電話の破損もしくは紛失を経験した人なら分かるだろうが、サービスプロバイダによって提供される対策は簡単なものではない。とは言え、サービススタッフは「可能な限り、顧客の要望を聞く」と教育されているため、「ソーシャルエンジニアリング」に対して脆弱となってしまうのだ。「氏名と住所」の不正変更を防ぐためには、定期的にだけでなく不定期にも変更を確認する必要がある。
 - https://whmurray.blogspot.com/2019/09/out-of-band-confirmation.html
────────────────

◆ NotPetyaの対応が透明性に欠けていたとしてFedExの株主が苦情を申し立てる
 (2019.9.19)
FedEx社の株主が同社に対し、2017年6月に行われたNotPetya攻撃に関して経営陣がヨーロッパの子会社 TNT Express社が受けた被害について一部を開示しなかったとして苦情を申し立てた。この苦情では経営陣が一部の株を売却した後にインシデントに関する報告を行ったことが明かされている。さらに FedEx社と経営陣は、攻撃による被害に関して「事実と異なる、誤解を招く」発言をしたとしている。

 - https://www.theregister.co.uk/2019/09/19/fedex_execs_sued/
 - https://regmedia.co.uk/2019/09/19/fedex-notpetya.pdf
────────────────

◆ スマートテレビが視聴者を監視している(2019.9.18,19)
2つの研究において、大学の研究者たちはスマートテレビがユーザの視聴習慣に関するデータを収集し、Google や Facebookに送信していることが明かされた。プリ
ンストン大学とシカゴ大学の研究者たちは、Roku および Amazon の機器が行っている監視について調べた。ノースイースタン大学とインペリアル・カレッジ・ロン
ドンの研究者たちは、幅広く様々な機器を調査した。

 - https://www.princeton.edu/~pmittal/publications/tv-tracking-ccs19.pdf
 - https://moniotrlab.ccis.neu.edu/wp-content/uploads/2019/09/ren-imc19.pdf
 - https://www.wired.com/story/roku-fire-tv-channels-ad-tracking/
 - https://www.zdnet.com/article/smart-tvs-send-user-data-to-tech-heavyweights-including-facebook-google-netflix/
 - https://threatpost.com/smart-tvs-leak-data/148482/
 - https://arstechnica.com/tech-policy/2019/09/studies-google-netflix-and-others-are-watching-how-you-watch-your-tv/

【編集者メモ】(Murray)
これらの研究によると、データが匿名化されていないだけでなくシリアル番号やMACアドレスも収集されているという。これらのデータは集計するために収集されているが、ユーザを個別に標的とする目的もある。

【編集者メモ】(Neely)
開示やプライバシー、オプトアウトに関する要求がされない限り、このような取り組みを止めるためにできることは限られている。実用性に欠けるかもしれないが、
コンテンツをストリーミングしていない際やこれらの機能を使っていない場合は、スマートテレビをネットワークに接続しないことも検討すると良いだろう。スマー
トテレビ内やストリーミング機器の設定を変更し、広告追跡を減らすことで、このような開示が 50% 程度防ぐことができる。さらに防ぐ方法として、広告ドメイン
をブラックホールしたりブロックしたりする必要がある。一部のルータがこのような機能を搭載している。
────────────────

--

NRI Secure SANS NewsBites 日本版は、米国の情報セキュリティの専門機関であるSANS Instituteが配信するコンテンツ (SANS NewsBites)をベースに、NRIセキュアテクノロジーズが編集してお届けしています。 世界中でこの1週間に起こったセキュリティのあらゆるトピックと専門家のコメントが掲載されています。原版は、およそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュースソースとして活用されています。組織のセキュリティ管理に関する参考情報としてお役立てください。掲載されている情報は、e-mailを介して自由に他の方に再送していただいて結構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望される方は、弊社ホームページの以下のページよりお申込みください。
https://www.nri-secure.co.jp/news_letter/index.html

本ニュースレターは、メールマガジン配信を申し込まれた方、弊社からの情報を希望された方、SANS関連のイベントに参加された方、その他イベント等において弊社
講演枠に登録された方に配信しています。今後、配信をご希望されない方は会社名と御氏名を本文に明記のうえ、件名に【配信不要】、配信先変更をご希望の方は【配信先変更希望】とご記入頂き、新旧のご連絡先も記載のうえ、info@sans-japan.jp までご返信をお願い致します。なお、情報の反映までにお時間を頂戴する場合がございます。