NRI Secure SANS NewsBites 日本版

Vol.14 No.35 2019年11月22日発行

──────────────────────────
■■SANS NewsBites Vol.14 No.35
(原版: 2019年 11月 12日、15日)
──────────────────────────

┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 2┃0┃2┃0┃年┃1┃月┃東┃京┃開┃催┃
 ━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛
 S┃A┃N┃S┃ト┃レ┃ー┃ニ┃ン┃グ┃
 ━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛
 お┃申┃込┃み┃受┃付┃中┃!┃
 ━┛━┛━┛━┛━┛━┛━┛━┛

【SANS Tokyo January 2020】全4コース実施予定 ★早期割引 2019年12月6日ま
で★
https://www.sans-japan.jp/sans_tokyo_january2020

開催日:2020/1/20(月)~2020/1/25(土)

SEC642:Advanced Web App Penetration Testing, Ethical Hacking, and Exploitation
Techniques Style
FOR500:Windows Forensic Analysis (旧:FOR408)
FOR572:Advanced Network Forensics: Threat Hunting, Analysis, and Incident
Response
ICS410:ICS/SCADA Security Essentials (5日間)

◆トレーニング費用(税抜)
早期割引価格:760,000円 通常価格:810,000円

◆お申込みについて
各コースページのお申込みボタンより、お1人様ずつお願いいたします。
https://www.sans-japan.jp/sans_tokyo_january2020

┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛
┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 2┃0┃2┃0┃年┃3┃月┃東┃京┃開┃催┃
 ━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛
 S┃A┃N┃S┃ト┃レ┃ー┃ニ┃ン┃グ┃
 ━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛
 お┃申┃込┃み┃開┃始┃い┃た┃し┃ま┃し┃た┃
 ━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛

【SANS Secure Japan 2020】全10コース実施予定 ★早期割引 2020年1月17日ま
で★
https://www.sans-japan.jp/sans_secure_japan2020

開催日:2020/3/2(月)~2020/3/7(土)★早期割引 2020年1月17日まで★

SEC504:Hacker Tools, Techniques, Exploits and Incident Handling◆日本語◆
SEC511:Continuous Monitoring and Security Operations
SEC760:Advanced Exploit Development for Penetration Testers
FOR610:Reverse-Engineering Malware: Malware Analysis Tools and Techniques
SEC545:Cloud Security Architecture and Operations(5日間)

開催日:2020/3/9(月)~2020/3/14(土)★早期割引 2020年1月24日まで★

SEC401:Security Essential Bootcamp Style◆日本語◆
SEC501:Advanced Security Essentials - Enterprise Defender
SEC560:Network Penetration Testing and Ethical Hacking
FOR508:Advanced Incident Response, Threat Hunting, and Digital Forensics
SEC540:Cloud Security and DevOps Automation(5日間)

◆トレーニング費用(税抜)
早期割引価格(6日間コース):760,000円 通常価格:810,000円
早期割引価格(5日間コース):710,000円 通常価格:760,000円
早期割引価格(SEC760):830,000円 通常価格:880,000円

◆お申込みについて
各コースページのお申込みボタンより、お1人様ずつお願いいたします。
https://www.sans-japan.jp/sans_secure_japan2020

┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛

◆ CapitalOne社のCISOが不正アクセス後に配置転換される (2019.11.7)
CapitalOne社はデータへの不正アクセス発生後、最高情報セキュリティ責任者(CISO)の配置転換を行った。この攻撃により、1億人以上のカード所有者およびカード申請者に関する個人データが漏洩した。CapitalOne社は外部からこの攻撃を知らされた後、7月に不正アクセスがあったことを公表したが、最初の不正アクセスは少なくとも4か月前に発生していた。情報にアクセスしたとされる者は、設定に不備があったとされるファイアウォールを悪用した。この発表からの数か月の間で、サイバーセキュリティの業務に就いていた十数人の従業員が、十分に対応が進まないセキュリティ問題への不満から、CapitalOne社を去ったと伝えられている。なお、元CISOのマイケル・ジョンソン氏は、現在上席副社長兼、サイバーセキュリティアドバイザーを務めている。(WSJの記事は一部有料化されています。)

- https://www.wsj.com/articles/capital-one-senior-security-officer-being-moved-to-new-role-11573144068
- https://www.bankinfosecurity.com/following-massive-breach-capital-one-replacing-ciso-report-a-13385
- https://www.scmagazine.com/home/security-news/data-breach/report-recently-breached-capital-one-reassigns-its-ciso/

【編集者メモ】(Pescatore)
不正アクセスが発生した後、反射的に「奴らの首を切れ」とCIOやCISOを解雇することは少なくなった。多くの作り話が世の中で拡散されているが、多くの取締役会は現在サイバーセキュリティについて、より洗練されている。しかし、取締役会がインシデントのリスクまたはその可能性について忠告を受けなかったとすると、話は変わってくる。役職名に Chief が入っているものは、それぞれの分野のリスクを認識し、リスクレベルを緩和する戦略を取締役会に対し示すことが期待されている。驚かされるのはいつだって良くないことである。
────────────────

◆ SIMスワッピング (2019.11.8,10)
SIMスワップを行った攻撃者が標的とする電話番号を乗っ取ると、多くの場合、即座に正当なユーザーをアカウントからロックアウトし、データや資金を奪っていく。オンタリオ州・トロントに住むある男性は、自分の電話番号が攻撃者に乗っ取られたことが発覚した。攻撃者は、クレジットカードで買い物をし、ファイルにアクセスし、最終的には、被害者のクラウドアカウントに保存したビデオで彼を脅迫した。また、ネバダ州・ラスベガスに住む別の男性は、自分の番号を乗っ取った攻撃者にビットコインで2400万米ドルを盗まれたことが報告されている。(WSJの記事は一部有料化されています。)

- https://www.cbc.ca/news/technology/phone-porting-extortion-1.5352300
- https://www.wsj.com/articles/he-thought-his-phone-was-secure-then-he-lost-24-million-to-hackers-11573221600

【編集者メモ】(Pescatore)
米国では、通信事業者がマルウェア、フィッシング、SIMスワッピングなどの攻撃の進歩を妨げる障壁であり続けている。対照的に、他国の通信事業者は既知の悪意のある実行可能ファイルとWebサイトを定期的にブロックし、オンライン取引きを許可する前に銀行が直近のSIM変更処理がされていたかなどを確認できるようにしている。米国では、通信事業者は進行中の研究を指し示すだけであり、連邦通信委員会(FCC)は何もしない。SIMスワッピングの水準を上げるために利用可能な追加の手段(PINや2FAの追加レベルなど)をキャリアに確認するかどうかは、個人次第だ。

【編集者メモ】(Neely)
SIMスワッピングの普及は、携帯電話を使用したSMSまたは通話を使ってパスワードの復旧を行うリスクを強調している。可能であれば、他の手段を使用し、使用通知に電子メールまたは電話に関連付けられていない他の手段を含めるようにしてほしい。SIMスワッピングの主な対応策は、プロバイダーでアカウントのセキュリティを有効にすることである。また、そのアカウントに関連付けられているセキュリティ確認の質問が、通っている学校や住んでいる場所などの発見可能な情報に基づいていないことも確認してほしい。

【編集者メモ】(Murray)
ワンタイムパスワードにSMSを使用することは、再利用可能なパスワードよりも劇的に安全だが、限度があるので注意してほしい。これらの制限には、キャリアが不正な変更に対抗できないという永続的な欠点がある。機密性の高いアプリケーションにはトークンを優先する。これにも制限はあるが、銀行は不正な変更と変更のタイムリーな通知に対抗する点で、キャリアよりも少し良くなっているようだ。
- https://whmurray.blogspot.com/2018/08/limitations-of-one-time-passwords.html
────────────────

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃OUCH! 11月号「安全なオンラインショッピング」について
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
年末年始はクリスマスなどオンラインショッピングを使う機会が増える時期です
。このようなタイミングは、攻撃者にとっても活発に活動する機会でもあり、残
念なショッピングをしないためにも、安全にオンラインショッピングをできるよ
うに注意しなければいけないことが多々あります。今月は、攻撃者の典型的な手
口を紹介すると共に、被害に遭わないための方法について Lenny Zeltserが一般
ユーザにも分かりやすく解説します。社内のセキュリティ意識向上ツールとして
ご利用ください。
https://www.sans.org/sites/default/files/2019-11/201911-OUCH-November-Japanese-P1_0.pdf
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

◆ ミシシッピ州チョクトー郡で新しい紙ベースの投票機を使用 (2019.11.12)
最近の選挙で、ミシシッピ州チョクトー郡の有権者は、安価で使いやすい紙ベースの選挙システムを提供する小さな非営利組織であるVotingWorks社の新しい機器を使用した。VotingWorks社の機器は連邦政府の認可を受けてはいない。ミシシッピ州は、連邦政府の認可を受けていない投票機の使用を許可している米国の数少ない州の1つだ。連邦政府の認可過程は時間と費用がかかり、イノベーションの障害となっている。

- https://www.propublica.org/article/the-way-america-votes-is-broken-in-one-rural-county-a-nonprofit-showed-a-way-forward

【編集者メモ】(Pescatore)
認可の欠落は、サイバーセキュリティのイノベーションに対する障壁にもなり得える。我々はベンダーに「自社製品に対し費用をかけないのであれば、この障壁を越えることが必要になる」と伝えることは無責任である。VotingWorks社は、認可に資金を提供するGoFundMeキャンペーンを試してみただろうか?これによって、認可を必要とする47の州でそのソフトウェアを使用できるようになるだろう。
────────────────

◆ ランサムウェアから復旧するインディアナ州の学区 (2019.11.14)
インディアナ州にある学区では、今週初めにランサムウェア攻撃を受けた後、ITシステムの復元に取り組んでいる。ペン・ハリス・マディソン学区は、11月12日火曜日に家族と職員にこの事件を通知した。ペン・ハリス・マディソンの広報担当者は、IT職員が火曜日と水曜日にサーバーをシャットダウンし、原因究明の作業を開始したと述べ、サーバーをオンラインに戻す作業を開始した。職員には、すべてのファイルとデータがバックアップされたが、完全な復元には時間がかかるとされている。

- https://www.govtech.com/security/Indiana-School-District-Restoring-Computers-After-Ransomware.html
────────────────

◆ Pemex社はランサムウェアの要求を受け入れず (2019.11.13)
メキシコのエネルギー大臣は、国営石油会社であるPemex社はサイバー攻撃者が要求する身代金を支払わないと述べた。この攻撃は、運用システムではなく企業を標的にしているように見受けられる。

- https://www.scmagazine.com/home/security-news/cyberattack/pemex-claims-victory-over-cyberattack-4-9-million-ransom-reportedly-demanded/
- https://www.govinfosecurity.com/ransomware-mexican-oil-firm-reportedly-refuses-to-pay-up-a-13404
- https://www.reuters.com/article/us-mexico-pemex-cyber/mexicos-pemex-wont-pay-ransom-after-cyberattack-energy-minister-idUSKBN1XN2J3

【編集者メモ】(Neely)
Pemex社は、システム復旧中に手動の支払い方法に一度戻している。身代金を支払うのではなく、影響を受けたシステムを隔離して横方向の動きを止め、DR計画を実行したことには称賛に値する。最も難しいのは、根絶の保証と再発を防ぐための十分な手段であろう。
────────────────

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の無料セミナー・イベント        <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
〇2020年1月16日(木)
 Web分離・無害化によるセキュリティ対策
 ~触って理解するMenlo Security~
 https://www.nri-secure.co.jp/seminar/2019/isolation04?xmid=300&xlinkid=01

〇12月10日(火)【ユービーセキュア主催】
 高速開発とセキュリティ両立を実現するには?
 ~DevSecOpsを強力に推進するContrast Security、デモを交えてご紹介~
 https://www.nri-secure.co.jp/seminar/2019/devsecops02?xmid=300&xlinkid=02

〇11月26日(火)、12月24日(火)、2020年1月30日(木)、2月26日(水)
 「貴社の情報資産がダークウェブに漏れていませんか?」
 ~脅威インテリジェンスサービスIntSightsでデジタルリスクを調査~
 
 https://www.nri-secure.co.jp/seminar/2019/threat-intelligence01?xmid=300&xlinkid=04

〇12月12日(木)
 クリプト便&Boxサービス紹介・体験セミナー
 ~お客様に選ばれ続けるセキュアなファイル送受信・共有サービスご紹介~
 https://www.nri-secure.co.jp/seminar/2019/file04?xmid=300&xlinkid=05

〇12月12日(木)
 CISSPチャレンジセミナー
 「CISSPならこう考える!CISOに必要な情報セキュリティの知識と考え方」
 https://www.nri-secure.co.jp/seminar/2019/cissp06?xmid=300&xlinkid=06

〇12月19日(木)、2020年1月28日(火)、2月25日(火)
 【事例で解説】マルチクラウド時代に必要な「CASB」とは
 ~CASBで安全なクラウドサービスの活用を実現~
 https://www.nri-secure.co.jp/seminar/2019/casb01?xmid=300&xlinkid=07

〇2020年1月14日(火)、2月13日(木)
 今後のサイバーセキュリティ対策の要諦
 ~情報セキュリティ実態調査2019からひもとく~
 https://www.nri-secure.co.jp/seminar/2019/insight01?xmid=300&xlinkid=08

〇2020年1月22日(水)、3月12日(木)
 特権ID管理ツールの導入検討支援セミナー
 ~成功の秘訣と導入効果~
 https://www.nri-secure.co.jp/seminar/2020/ac01?xmid=300&xlinkid=09

〇2020年1月23日(木)
 クラウド時代における社外とのデータ授受のあるべき姿
 ~ファイル転送・共有サービスの正しい選び方~
 https://www.nri-secure.co.jp/seminar/2020/file01?xmid=300&xlinkid=10

〇2020年2月20日(木)
 【実機で体験】特権ID管理 SecureCube / Access Check ハンズオンセミナー
 https://www.nri-secure.co.jp/seminar/2019/hundson_ac01?xmid=300&xlinkid=11

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の有料研修               <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○2020年1月、2月、3月
 CISSP CBKトレーニング
 https://www.nri-secure.co.jp/service/learning/cissp_training?xmid=300&xlinkid=12

〇2020年2月
 セキュアEggs(基礎 / インシデント / Webアプリ / フォレンジック)
 https://www.nri-secure.co.jp/service/learning/secureeggs?xmid=300&xlinkid=13

〇2020年1月20日~25日
 SANS Tokyo January 2020
 <SEC642 / FOR500 / FOR572 / ICS410>
 https://www.sans-japan.jp/sans_tokyo_january2020?xmid=300&xlinkid=14

〇2020年3月2日~14日
 SANS Secure Japan 2020
 <SEC504 / SEC511 / SEC760 / FOR610 / SEC545 / SEC401 / SEC501 /
  SEC560 / FOR508 / SEC540>
 https://www.sans-japan.jp/sans_secure_japan2020?xmid=300&xlinkid=15

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃ebook(無料ダウンロード)  <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
〇NRI Secure Insight 2019 ~企業における情報セキュリティ実態調査~
 
https://www.secure-sketch.com/ebook-download/insight2019-report?xmid=300&xlinkid=16

〇生産性の高いセキュリティ
 - Secure SketCHを最大限に活用して、セキュリティ業務を「効率化」する手法 -
 
https://www.secure-sketch.com/ebook-download/efficient-security-operations?xmid=300&xlinkid=17

〇EDR導入ガイド
 - インシデント前提社会の最適解 -
 
https://www.secure-sketch.com/ebook-download/recommend-edr-use?xmid=300&xlinkid=18

>>ダウンロード資料一覧
 https://www.secure-sketch.com/ebook-download?xmid=300&xlinkid=19

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃コラム(Secure SketCH ブログ) <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
〇コーポレートガバナンスとセキュリティ経営
 
https://www.secure-sketch.com/blog/corporate-governance-and-security-management?xmid=300&xlinkid=20

〇【検証】PHPのコマンド実行の脆弱性を悪用する攻撃通信の検知
  (CVE-2019-11043)
 
https://www.secure-sketch.com/blog/verify-php-command-execution-vulnerability?xmid=300&xlinkid=21

〇PCI DSS改訂ポイント解説|PCI SSCイベントから見る決済セキュリティの行方
 
https://www.secure-sketch.com/blog/points-of-pcidss-revision?xmid=300&xlinkid=22

〇WAFがあるから大丈夫? ~今求められる、WAAPとは~
 
https://www.secure-sketch.com/blog/web-application-and-api-protection?xmid=300&xlinkid=23

>>ブログ記事一覧
 https://www.secure-sketch.com/blog?xmid=300&xlinkid=24

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃お知らせ                     <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
〇「Vex」がWebアプリケーション脆弱性検査ツール市場で
 4年連続シェアNo.1を獲得
 https://www.nri-secure.co.jp/news/2019/1114?xmid=300&xlinkid=25

〇野村総合研究所、NRIセキュアとJCBが、“デジタルアイデンティティ”の
 最新動向レポートを共同で発行
 https://www.nri-secure.co.jp/news/2019/1105?xmid=300&xlinkid=26

〇NRIセキュアテクノロジーズとユービーセキュア、 ガートナーの
 「日本におけるセキュリティのハイプ・サイクル」に関連プレーヤーとして掲載
 https://www.nri-secure.co.jp/news/2019/1024?xmid=300&xlinkid=27

>>ニュース一覧
 https://www.nri-secure.co.jp/news/?xmid=300&xlinkid=28

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃Secure SketCH 無料登録受付中 <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○30分でわかる!貴社に必要なセキュリティ対策
https://www.secure-sketch.com?xmid=300&xlinkid=29

〇Secure SketCHサービス紹介資料

https://www.secure-sketch.com/ebook-download/secure_sketch_explanation-material?xmid=300&xlinkid=29

--

NRI Secure SANS NewsBites 日本版は、米国の情報セキュリティの専門機関であるSANS Instituteが配信するコンテンツ (SANS NewsBites)をベースに、NRIセキュアテクノロジーズが編集してお届けしています。 世界中でこの1週間に起こったセキュリティのあらゆるトピックと専門家のコメントが掲載されています。原版は、およそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュースソースとして活用されています。組織のセキュリティ管理に関する参考情報としてお役立てください。掲載されている情報は、e-mailを介して自由に他の方に再送していただいて結構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望される方は、弊社ホームページの以下のページよりお申込みください。
https://www.nri-secure.co.jp/news_letter/index.html

本ニュースレターは、メールマガジン配信を申し込まれた方、弊社からの情報を希望された方、SANS関連のイベントに参加された方、その他イベント等において弊社講演枠に登録された方に配信しています。
今後、配信をご希望されない方は会社名と御氏名を本文に明記のうえ、件名に【配信不要】、配信先変更をご希望の方は【配信先変更希望】とご記入頂き、新旧のご連絡先も記載のうえ、info@sans-japan.jp までご返信をお願い致します。なお、情報の反映までにお時間を頂戴する場合がございます。