NRI Secure SANS NewsBites 日本版

Vol.15 No.07 2020年2月26日発行

──────────────────────────

■■SANS NewsBites Vol.15 No.07

(原版: 2020 2 18日、21日)

──────────────────────────

 

◆ 北朝鮮の悪意あるサイバー活動を暴露 (2020.2.14)

米国国土安全保障省(DHS)のサイバーセキュリティ・インフラストラクチャーセキュリティ庁(CISA)、FBI、および国防総省(DoD)は、北朝鮮政府のために活

動するハッカーによって使用されているマルウェアの亜種リストを共同で開示した。

 - https://www.us-cert.gov/ncas/current-activity/2020/02/14/north-korean-malicious-cyber-activity

 - https://www.us-cert.gov/northkorea

 - https://arstechnica.com/tech-policy/2020/02/us-government-exposes-malware-used-in-north-korean-sponsored-hacking-ops/

 - https://www.cyberscoop.com/hidden-cobra-malware-north-korea-fbi-dhs-dod-virus-total/

 - https://www.nextgov.com/cybersecurity/2020/02/cisa-fbi-and-dod-issue-warning-north-korea-linked-malware/163146/

 

【編集者メモ】(Neely)

これは、外国を拠点とするハッカーの活動を公的に見極めるための連邦政府による新しいアプローチのひとつだ。これらのセキュリティ情報の報告をIOCと支援プロ

セスに組み込んでいる。

────────────────

 

◆ バックドアを設置するためにVPNサーバーに侵入するイランのハッカー(2020.2.16)

ClearSkyの研究者らによると、イラン政府のために活動しているハッカーは、VPNサーバーの脆弱性を悪用して世界中の企業ネットワークにバックドアをインストー

ルしているという。ハッカーは、IT、通信、石油やガス、政府、そしてセキュリティ部門の組織を標的にしている。

 - https://www.zdnet.com/article/iranian-hackers-have-been-hacking-vpn-servers-to-plant-backdoors-in-companies-around-the-world/

 - https://www.clearskysec.com/fox-kitten/

 

【編集者メモ】(Pescatore)

これは米国とイランとの間の政治的緊張により報道する価値があるが、基本的には「重大な脆弱性に迅速にパッチを当てなければ、攻撃者はそれらを見つけてすぐに

悪用する」という話だ。多くの組織が、WindowsLinuxのパッチの迅速化で大きな進歩を遂げている。この攻撃は、ネットワークとセキュリティ機器やその他の機器

へのパッチ適用においても同じ進歩を遂げることへの合図だ。

 

【編集者メモ】(Neely)

ここでのニュースは、脆弱性公開から数時間後に活発に攻撃され、その後まもなく悪用されることだ。これにより、特に新しい脆弱性が軽減されていない期間を賄う

ために、不正行為やその他の異常な動作について既定の境界防御での防衛を積極的に監視する重要性が高まる。それでも、既定の境界防御のための修正と更新前のバ

ージョンになかった不具合のテストは、予定通りにタイムリーに実施し続けよう。

 

【編集者メモ】(Murray)

ClearSkyは、この仕事で使用した単なる脆弱性ではなく、攻撃または侵害の指標をいくつか持っていると推測するかもしれない。彼らのブログではそれらが何であっ

たかを述べていない。おそらく彼らはRSAでそれらを開示するだろう。

────────────────

 

2016年フロリダ選挙システムのランサムウェア攻撃を調査するDHS (2020.2.14)

米国国土安全保障省は、2016年の総選挙の前に、パームビーチ郡(フロリダ州)の選挙事務所でシステムに感染したランサムウェア攻撃を調査している。オフィスの

最近任命された選挙監督人は、IT関係者から事件について知見後、201911月にFBIにそれを報告した。この事件は2016年には公表されていない。

 - https://www.govtech.com/security/Unreported-Florida-Elections-Breach-Draws-DHS-Attention.html

────────────────

 

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

◆┃OUCH! 2月号「ソーシャルメディアのプライバシー」について

━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

街中で自分のプライバシーに関することを叫ぶことはないように、デジタル世界

においてもプライバシーを守ることを意識しておかないと、思わぬところで足を

すくわれることになります。特に、気軽に世界中の人と情報を共有できるソーシ

ャルメディアは、プライバシー設定などがあって便利な反面、公開した情報を完

全にコントロールすることは不可能だということを理解してください。今月は、

ソーシャルメディアのプライバシーについて、一般ユーザにも分かりやすく解説

します。社内のセキュリティ意識向上ツールとしてご利用ください。

https://www.sans.org/sites/default/files/2020-02/202002-OUCH-Japanese.pdf

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

 

◆ プレビュー:最も危険な新しい攻撃ベクトルに関するRSA基調講演 (2020.2.21)

RSAにお越しいただく場合は227日木曜日、またはカンファレンス後のRSAWebサイトにて、SANSの基調講演「Most Dangerous Attacks」(Ed SkoudisHeather MahalikJohannes Ullrich

)を見ることができる。この基調講演のすばらしい部分は、絶え間ないQAである。(225日火曜日までに)下記の攻撃ベクトルのリストに特定項目を見て生じた

質問を送信できる。q@sans.orgに質問を送信すれば、できる限りで返答される

 

*侵害されたシステムの命令と制御における新しい脅威

*成果物を通してのソーシャルエンジニアリングSOCアナリスト

*USBワイヤ上のマルウェアとサプライチェーン攻撃へ深い固執

*モバイル:チップ内のエクスプロイト

*企業の境界線:主要ベンダーの企業の境界線セキュリティデバイスの壊滅的な脆弱性。

*Localhost API攻撃

────────────────

 

◆ 米国の天然ガスパイプライン事業者がランサムウェアの被害に遭う (2020.2.18 & 19

米国国土安全保障省(DHS)のサイバーセキュリティ・インフラストラクチャーセキュリティ庁(CISA)の勧告によると、天然ガス圧縮施設のネットワークがランサ

ムウェアに感染したという。この事件は、201912月に米国沿岸警備隊によって報告されたものと同じであると考えられている。攻撃の最初のベクトルはフィッシン

グメールだった。その後、マルウェアは、オフィスのコンピューターからITネットワークを介して運用技術(OT)ネットワークに到達した。

 - https://krebsonsecurity.com/2020/02/microsoft-patch-tuesday-february-2020-edition/

 - https://www.us-cert.gov/ncas/alerts/aa20-049a

 - https://arstechnica.com/information-technology/2020/02/a-us-gas-pipeline-operator-was-infected-by-malware-your-questions-answered/

 - https://www.theregister.co.uk/2020/02/19/dhs_confirms_ransomware_attack/

 - https://www.scmagazine.com/home/security-news/ransomware/cisa-issues-warns-critical-infrastructure-sectors-after-successful-ransomware-attack-on-pipeline-operator/

 - https://www.zdnet.com/article/dhs-says-ransomware-hit-us-gas-pipeline-operator/

 - https://arstechnica.com/information-technology/2020/02/ransomware-infection-shuts-down-us-natural-gas-operator-for-2-days/

 - https://www.bbc.com/news/technology-51564905

 - https://threatpost.com/pipeline-disrupted-ransomware-attack/153049/

 - https://www.fifthdomain.com/home/2020/02/19/could-this-attack-signal-the-future-of-ransomware/

 - https://thehill.com/policy/cybersecurity/483711-dhs-warns-of-cyber-threats-to-critical-systems-after-attack-on-pipeline

 - https://www.nextgov.com/cybersecurity/2020/02/cisa-shares-details-about-ransomware-shut-down-pipeline-operator/163209/

 

【編集者メモ】(Neely)

ネットワークの分離には、多くの場合、他の分離されていないシステムとやり取りしてデータを転送する必要がある。信頼できるゲートウェイまたは一方向リンクを

使用するとリスクが軽減され、データ転送のプロセスには引き続きアクティブなマルウェア対策の保護が必要だ。

 

【編集者メモ】(Murray)

電子メール(および閲覧)を極めて重要なアプリケーションから分離する必要があることを管理者に伝える機会を逃してはならない。企業の妥協によるコストが、多

くのユーザーのいずれか1人のソーシャルエンジニアリングのコストと等しい状況は容認することはできない。強力な認証、制限的な(無差別または許容的な)アク

セス制御ポリシー、およびエンドツーエンドのアプリケーション層暗号化の組み合わせを検討するべきだ。

────────────────

 

Citrix社はハッカーが5か月間ネットワークにアクセスしていたと述べる(2020.2.19)

2020210日、侵害の影響を受けたユーザーに同社が送った手紙によると、ハッカーはCitrix社のネットワーク内で「断続的な」駐留を5か月間維持した。2018

1013日から201938日の間に、ハッカーは従業員、請負業者、インターン、および求職者に属するデータを盗んだ。Citrix社は、FBIがハッカーは会社の内部ネ

ットワークにアクセスした可能性が高いことを同社に通知した20193月に、違反を初めて知った。FBIは、侵入者がアクセスを得るために「パスワードスプレー」

攻撃を使用した可能性があることをCitrix社に伝えた。

 - https://krebsonsecurity.com/2020/02/hackers-were-inside-citrix-for-five-months/

 

【編集者メモ】(Neely)

Citrix社は、VPNサーバーなどの企業ネットワーク上に仮想デスクトップを提供するため境界に展開されることが多いため、攻撃の主な標的であり、同様の監視とセ

キュリティ監視が必要だ。Citrix社が最近リリースしたCVE-2019-19781のパッチを必ず適用してほしい。

 

【編集者メモ】(Pescatore)

Citrixの手紙を書いた人が誰であろうとも、不動産リストに「シロアリが骨組みに断続的にアクセスしていました...」と書かれた家を売ろうとすることはないと思う。

────────────────

 

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

■┃申込受付中の無料セミナー・イベント        <NRIセキュア>

━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

224()28():出展(米国サンフランシスコ)

 RSA Conference 2020

 https://www.nri-secure.co.jp/news/2019/1213?utm_source=sans&utm_medium=mail&utm_campaign=20200218sans

 

33()【オンラインセミナー】【NEW

 『業務』で選ぶクラウドサービスの勘所

 ~ファイル転送かファイル共有か。サービス選定を簡単にする判断ポイント~

 https://www.nri-secure.co.jp/seminar/2020/online_file01?utm_source=sans&utm_medium=mail&utm_campaign=20200218sans

 

35()【オンラインセミナー】【NEW

 利便性とセキュリティを両立するファイル「転送」サービスとは

 ~情報セキュリティ専門会社が提供する

  クリプト便のファイル転送と業務自動化オプション~

 https://www.nri-secure.co.jp/seminar/2020/online_file02?utm_source=sans&utm_medium=mail&utm_campaign=20200218sans

 

39()【オンラインセミナー】【NEW

 利便性とセキュリティを両立するファイル「共有」サービスとは

 ~クリプト便 ファイル共有機能のご紹介~

 https://www.nri-secure.co.jp/seminar/2020/online_file03?utm_source=sans&utm_medium=mail&utm_campaign=20200218sans

 

310()NEW

 Boxの無料アカウントに潜む情報漏えいリスクとは

 ~取引先からのBox指定に有効なセキュリティ対策を提案!~

 https://www.nri-secure.co.jp/seminar/2020/box01?utm_source=sans&utm_medium=mail&utm_campaign=20200218sans

 

312()

 特権ID管理ツールの導入検討支援セミナー

 ~成功の秘訣と導入効果~

 https://www.nri-secure.co.jp/seminar/2020/ac01?utm_source=sans&utm_medium=mail&utm_campaign=20200218sans

 

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

■┃申込受付中の有料研修               <NRIセキュア>

━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

3月、5月、6月、9月、10月、11月、12月、20211月、2月、3

 CISSP CBKトレーニング

 https://www.nri-secure.co.jp/service/learning/cissp_training?utm_source=sans&utm_medium=mail&utm_campaign=20200218sans

 

5月、8月、20212

 セキュアEggs

 (基礎/インシデント対応/フォレンジック/Webアプリセキュリティ)

 https://www.nri-secure.co.jp/service/learning/secureeggs?utm_source=sans&utm_medium=mail&utm_campaign=20200218sans

 

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

◆┃ebook(無料ダウンロード)                       NRIセキュア>

━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

NRI Secure Insight 2019 ~企業における情報セキュリティ実態調査~

 https://www.secure-sketch.com/ebook-download/insight2019-report?utm_source=sans&utm_medium=mail&utm_campaign=20200218sans

 

〇生産性の高いセキュリティ

 - Secure SketCHを最大限に活用して、セキュリティ業務を「効率化」する手法 -

 https://www.secure-sketch.com/ebook-download/efficient-security-operations?utm_source=sans&utm_medium=mail&utm_campaign=20200218sans

 

EDR導入ガイド

 - インシデント前提社会の最適解 -

 https://www.secure-sketch.com/ebook-download/recommend-edr-use?utm_source=sans&utm_medium=mail&utm_campaign=20200218sans

 

>>ダウンロード資料一覧

 https://www.secure-sketch.com/ebook-download?utm_source=sans&utm_medium=mail&utm_campaign=20200218sans

 

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

◆┃コラム(Secure SketCH ブログ)                    NRIセキュア>

━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

○脅威ベースのペネトレーションテスト(TLPT)とは?

 金融機関が注目するサイバー攻撃対策

 https://www.secure-sketch.com/blog/threat-led-penetration-test

 

IPAが「情報セキュリティ10大脅威2020」を公開!

 順位が上がった注目の脅威を解説

 https://www.secure-sketch.com/blog/ipa-10-major-threats-2020?utm_source=sans&utm_medium=mail&utm_campaign=20200218sans

 

〇【図解】デジタルトランスフォーメーションの光と影と落とし穴

 https://www.secure-sketch.com/blog/light-shadow-and-pitfalls-of-digital-transformation?utm_source=sans&utm_medium=mail&utm_campaign=20200218sans

 

>>ブログ記事一覧

 https://www.secure-sketch.com/blog?utm_source=sans&utm_medium=mail&utm_campaign=20200218sans

 

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

◆┃お知らせ                     <NRIセキュア>

━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

NRIセキュア、脅威インテリジェンスサービス「Recorded Future」の取り扱いを開始

 https://www.nri-secure.co.jp/news/2020/0130?utm_source=sans&utm_medium=mail&utm_campaign=20200218sans

 

NRIセキュア、クラウドサービスの安全な利用に向けた標準化フレームワーク

 「NSF for Cloud」を策定

 https://www.nri-secure.co.jp/news/2020/0128?utm_source=sans&utm_medium=mail&utm_campaign=20200218sans

 

NRIセキュア、「ジャパン マネージドセキュリティサービス プロバイダー

 オブザイヤー」を3年連続受賞

 https://www.nri-secure.co.jp/news/2020/0109?utm_source=sans&utm_medium=mail&utm_campaign=20200218sans

 

>>ニュース一覧

 https://www.nri-secure.co.jp/news?utm_source=sans&utm_medium=mail&utm_campaign=20200218

 

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

◆┃Secure SketCH 無料登録受付中 <NRIセキュア>

━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

30分でわかる!貴社に必要なセキュリティ対策

 https://www.secure-sketch.com?utm_source=sans&utm_medium=mail&utm_campaign=20200218sans

 

Secure SketCHサービス紹介資料

 https://www.secure-sketch.com/ebook-download/secure_sketch_explanation-material?utm_source=sans&utm_medium=mail&utm_campaign=20200218sans

 

--

 

NRI Secure SANS NewsBites 日本版は、米国の情報セキュリティの専門機関であるSANS Instituteが配信するコンテンツ (SANS NewsBites)をベースに、NRIセキュアテクノロジーズが編集してお届けしています。 世界中でこの1週間に起こったセキュリティのあらゆるトピックと専門家のコメントが掲載されています。原版は、およそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュースソースとして活用されています。組織のセキュリティ管理に関する参考情報としてお役立てください。掲載されている情報は、e-mailを介して自由に他の方に再送していただいて結構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望される方は、弊社ホームページの以下のページよりお申込みください。

https://www.nri-secure.co.jp/news_letter

 

本ニュースレターは、メールマガジン配信を申し込まれた方、弊社からの情報を希望された方、SANS関連のイベントに参加された方、その他イベント等において弊社講演枠に登録された方に配信しています。今後、配信をご希望されない方は会社名と御氏名を本文に明記のうえ、件名に【配信不要】、配信先変更をご希望の方は【配信先変更希望】とご記入頂き、新旧のご連絡先も記載のうえ、info@sans-japan.jp までご返信をお願い致します。なお、情報の反映までにお時間を頂戴する場合がございます。