NRI Secure SANS NewsBites 日本版

Vol.15 No.08 2020年3月18日発行

──────────────────────────

■■SANS NewsBites Vol.15 No.08

(原版: 2020 2 25日、28日、 3 3日、6日、10日、13日)

──────────────────────────

 

┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

 2┃0┃2┃0┃年┃7┃月┃東┃京┃開┃催┃

 ━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛

 S┃A┃N┃S┃ト┃レ┃ー┃ニ┃ン┃グ┃

 ━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛

 お┃申┃込┃み┃受┃付┃開┃始┃し┃ま┃し┃た┃!┃

 ━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛

 

  SANS Cyber Defence Japan 2020】全8コース実施予定

 https://www.sans-japan.jp/sans_cyber_defence_japan2020

 

開催日:2020/6/29()2020/7/4()★早期割引 2020515日まで★

 

  SEC504:Hacker Tools, Techniques, Exploits and Incident Handling◆日本語◆

  SEC542:Web App Penetration Testing and Ethical Hacking

  SEC555:SIEM with Tactical Analytics

  FOR508:Advanced Incident Response, Threat Hunting, and Digital Forensics

 

 

開催日:2020/7/6()2020/7/11()★早期割引 2020522日まで★

 

  SEC401:Security Essential Bootcamp Style◆日本語◆

  SEC560:Network Penetration Testing and Ethical Hacking

  SEC599:Defeating Advanced Adversaries - Purple Team Tactics & Kill Chain Defenses

  FOR500:Windows Forensic Analysis

 

 

◆トレーニング費用(税抜)

早期割引価格(6日間コース)760,000円 通常価格:810,000

 

 

◆お申込みについて

各コースページのお申込みボタンより、お1人様ずつお願いいたします。

https://www.sans-japan.jp/sans_cyber_defence_japan2020

 

┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛

 

◆ コロナウイルス:カンファレンスから撤退する企業が増加 (2020.2.21)

ATT CybersecurityVerizonは、コロナウイルスに関する懸念を理由に、今週サンフランシスコで開催されるRSA Conferenceに出席しないことを決定した。IBM215日にRSAに参加しないという決定を発表した。カンファレンスは今週予定どおりに開催されている。SonyFacebookOculusは、31620日にサンフランシスコで開催されるGame Developer Conferenceから撤退した。コロナウイルスの懸念により、22427日にバルセロナで開催されていたWorld Mobile Congressがすでに中止になっている。Black Hat Asia 20202020年秋に延期され、Ciscoは来月初めにオーストラリアのメルボルンで開催される予定の「Cisco Live! Conference」を中止した。

 - https://www.scmagazine.com/home/security-news/att-joins-rsa-exodus-black-hat-asia-rescheduled-over-coronavirus-fears/

 - https://www.cnet.com/news/coronavirus-prompts-verizon-to-pull-out-of-rsa-sponsorship/

 - https://www.axios.com/coronavirus-tech-conference-cancellations-91ba53ec-0618-4fb5-8335-d6672e38aecc.html

 

【編集者メモ】(Murray & Neely)

WHOCDCからの最善のアドバイスは、イベントへの参加または、開催に関する決定を下す際にコロナウイルスの広告を取り入れるべきであるということだ。

【編集者メモ】(Honan)

コロナウイルス蔓延の拡大は、企業が事業継続計画(BCP)を改訂する絶好の機会だ。多くの場合、BCPは、人間の要素ではなく、ビジネスの中断というITの側面に焦点を当てている。多数のスタッフが検疫されたり、仕事ができなくなったりすることの影響を上級管理職に理解させることにより、BCPの非IT要素に必要な賛同を得るのに役立つことができる。アイルランド政府は、企業がコロナウイルスにも適用可能なインフルエンザの発生に対処するための優れたガイドを発行した。

https://www.gov.ie/en/publication/2f5d5f-business-continuity-planning-checklist-of-preparatory-actions-in-res/

:事業継続計画 - インフルエンザ発生へ対応する際の予備行動のチェックリスト

────────────────

 

◆ 侵害の滞留時間の中央値が世界中で減少している (2020.2.20

M-Trends 2020 Reportによると、最初の侵害から検出までの時間の世界的な「滞留時間」の中央値は、わずか1年で78日から56日に減少した。また、この報告書により、侵害はより迅速に検出されているものの、内部ではなく第三者によって発見されることが多いことがわかった。

 - https://content.fireeye.com/m-trends/rpt-m-trends-2020

 - https://www.zdnet.com/article/cybersecurity-hacking-victims-are-uncovering-cyber-attacks-faster-and-gdpr-is-the-reason-why/

 - https://www.darkreading.com/attacks-breaches/firms-improve-threat-detection-but-face-increasingly-disruptive-attacks/d/d-id/1337097

 

【編集者メモ】(Neely)

より迅速な侵害の発見が問題を正しい方向に動かしている。外部の関係者が最初にそれらを発見しているということは、外部サービスと提携することで、内部サービスのギャップを埋めることができ、長期的な戦略の構築または購入の決定に利用できることを示している。

【編集者メモ】(Honan)

この統計の下降傾向を見るのは良いことだが、それでもまだ高すぎる。被害者ではなく第三者が侵害を発見しているという事実は、依然として懸念される傾向だ。サイバーセキュリティには予防的制御が不可欠だが、適切な検出制御が実施され効果的なインシデント対応を行うことも同様に重要である。

────────────────

 

◆ 米国国防省DISAへの侵害で20万人のPIIが暴露 (2020.2.20 & 24

米国国防総省(DoD)の国防情報システム局(DISA)は、少なくとも200,000人の個人情報が漏洩したネットワーク侵害を認めている。2020211日、DISAはデータが漏洩された人々に書簡を送り、20195月から6月の間に侵害が発生したことを伝えた。DISAはホワイトハウスの通信を保護および管理している。

 - https://threatpost.com/data-breach-occurs-at-agency-in-charge-of-secure-white-house-communications/153160/

 - https://www.scmagazine.com/home/security-news/disa-breach-likely-exposed-personal-data-on-at-least-200k/

 - https://www.cyberscoop.com/disa-breach-pii/

 - https://federalnewsnetwork.com/disa/2020/02/disa-exposes-personal-data-of-200000-defense-employees/

────────────────

 

◆ ワイデン氏がShiftStateVoatzの監査結果の公開を強く要求(2020.2.24

米国上院議員ロン・ワイデン氏(オレゴン州)は、Voitzモバイル投票アプリの監査を実施した企業に、結果の開示を求めている。ShiftStateの監査はVoatzに「高い評価」を与えたが、MITの研究者は最近Voatzに存在するセキュリティ上の懸念を列挙した論文を発表した。具体的には、ワイデン氏はどれほどの「Voatzを監査したShiftStateの職員が選挙セキュリティ、暗号化プロトコルの設計と分析、サイドチャネル分析、ブロックチェーンセキュリティの経験を[持っている]のか」、MITの研究者が発見したのと同じ欠陥をShiftStateが検出したかどうか、会社がMITの調査結果に同意するかどうか、およびその理由を知りたがっている。

 - https://www.meritalk.com/articles/sen-wyden-questions-shiftstate-on-voatz-audit/

 

【編集者メモ】(Pescatore)

投票ソフトウェアと同じくらい重要なものには、2年未満存在している小さな会社よりも多くのセキュリティ検査基準が必要だ。Voatzはマネージドバグバウンティプログラムを立ち上げ、セキュリティ面で多くの正しいことを語っているが、選挙に関連するものはすべて、正しい行動が会話と一致するかどうかを確認するためにその会話を検証する必要がある。

【編集者メモ】(Neely)

課題は、誰がその評価を行うかに関わらず、投票アプリのセキュリティを適切にテストする反復可能な方法論を見つけることだろう。利害関係を考えると、選挙の完全性を確保するためには、複数の情報源からの評価の調整が適切だ。

────────────────

 

RSA基調講演:ICSサイバーセキュリティイヤーレビュー:主な懸念(2020.2.28)

昨日RSA 2020で行われた特別な基調講演で、ロブ・リー氏はICSセキュリティにおける攻撃と防御の状況について権威あるレビューを提供した。彼の全(50分間)基調講演はYouTubeにある(以下のURLを参照)。そのデータは魅力的で挑発的である。1つの興味深い洞察は、ICSシステム(OEM)のベンダーは基本的なセキュリティ修正を怠っており、その結果ICSシステムの91%が「資産所有者の権限を超える一般的なハードウェアの問題」を抱えていることである。

 

YouTube: 産業サイバー脅威の状況: 2019年のレビュー

https://www.youtube.com/watch?v=yIFf27yL-p4

 

Dragos: Dragosのロバート・M・リー氏がRSA Conference 2020で基調講演を行う

https://dragos.com/media/robert-m-lee-of-dragos-to-deliver-keynote-at-rsa-conference-2020/

────────────────

 

GAO:重要なインフラストラクチャはNISTサイバーフレームワークを採用する必要がある (2020.2.26)

米国会計検査院(GAO)のレポートによると、重要なインフラストラクチャ部門(部門固有の機関、またはSSA)の保護を指揮している連邦政府機関は、重要なインフラストラクチャのサイバーセキュリティを改善するための、米国国立標準セキュリティ研究所(NIST)のフレームワークを、彼らが監督する部門で採用されていることを確認するための適切な措置をほとんど講じていない。16の重要なインフラストラクチャ部門を監督する9つのSSAがある。そのうち2つのSSAは、指定された部門でのフレームワークの採用を決定するための戦略を開発し、他の2つがメソッドの開発に向けて対策を講じている。ほとんどのSSAは、各部門にこのフレームワークの採用を奨励している。GAOは、NISTが取り組みを完了するために期間を設け、SSAが収集し、フレームワークの採用による改善を収集、報告することを推奨している。

 - https://www.gao.gov/assets/710/704808.pdf

 - https://www.meritalk.com/articles/critical-infrastructure-agencies-must-fully-adopt-nist-cyber-framework-gao-says/

 

【編集者メモ】(Mulay)

これは緊急だ。SANS Top 20は多くの企業の規模に、より適している一方で、NIST Cyber Frameworkは、経済または国家安全保障インフラストラクチャの一部である大企業にとって不可欠だ。

────────────────

 

Microsoft Exchange Serverの脆弱性を積極的にスキャンするハッカー (2020.2.26 & 27

攻撃者は、Microsoft社の2月のPatch Tuesdayのリリースで修正されたMicrosoft Exchange Serverのリモートコード実行の脆弱性に対するパッチが適用されていないシステムをスキャンしている。

 - https://www.bleepingcomputer.com/news/security/hackers-scanning-for-vulnerable-microsoft-exchange-servers-patch-now/

 - https://portswigger.net/daily-swig/microsoft-exchange-server-admins-urged-to-treat-crypto-key-flaw-as-critical

 - https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0688

────────────────

 

RSAで発表された大規模な奨学金と雇用への直接のつながりを兼ね備えた米国大学CFT競技会 (2020.2.26)

サイバーセキュリティのインターンシップと雇用を希望する大学生は、現在、220万ドルの奨学金(複数のSANSクラスとGIAC認定を含む)につながるCyber FastTrack Capture the FlagCTF)と、優秀な人材を求めている雇用主との直接的なインターンシップとが与えられる。米国のすべての大学生に開放され、登録の締め切りは322日。実際の競技会は32627日。

 

詳細:https://cyber-fasttrack.org/

 

【編集者メモ】(Paller)

今朝の時点で、464の米国の大学から2,035人の学生が最初の2020 CTFに登録している。Cyber FastTrackは、大学生がスキルを積み上げる方法を見つけるための唯一の方法だ。2020年には3つのCyber FastTrack CTFが予定されているため、学生はリーダーボードを上に移動し続けることができる。

────────────────

 

GhostCatの脆弱性はApache Tomcatサーバに影響(今すぐ行動することが重要) (2020.3.2)

Tomcat AJPプロトコルの脆弱性を悪用して、ファイルの内容を読み取り、ソースコードと構成ファイルにアクセスすることができる。サーバがファイルのアップロードを許可している場合、この欠陥を悪用してコードをリモートで実行することもできてしまう。 GhostCatは、Tomcat10年以上存在しているという理由で名付けられ、この脆弱性はTomcatのバージョン6.x7.x8.x、および9.xに影響を及ぼす。この問題に対処するために、Apache Tomcatのバージョン9.0.318.5.51、および7.0.100がリリースされた。

 - https://www.chaitin.cn/en/ghostcat

 - https://cyware.com/news/patch-your-tomcat-and-jboss-instances-to-mitigate-new-high-risk-ghostcat-vulnerability-a5a490c2

 

【編集者メモ】(Ullrich)

この脆弱性は、RSAやらコロナウイルスやらの話題で少し「埋もれて」しまった。悪用が進行しているため、より多くの注目を集めていて当然である。複数の概念実証のエクスプロイトが利用可能だ。

 

【編集者メモ】(Mulay)

このエクスプロイトを利用するには、AJPコネクタを有効にし、そのポート、多くの場合8009にアクセスできる必要がある。明示的にインストールされたTomcatには更新を適用したほうがいい。Tomcatがアプリケーションにバンドルされている場合には、供給元が更新を提供するのを待つ必要がある。緩和策には、AJPを使用していない場合のサービスの無効化や、ポート8009へのアクセス制限などがある。もし使用している場合は、認証済み接続を要求するためにrequiredSecret属性を有効にしてほしい。

────────────────

 

WordPressプラグインの脆弱性が積極的に悪用されている (2020.2.28 & 3.2)

ハッカーが、いくつかのWordPressのプラグインの脆弱性を悪用している。アップデートは、DuplicatorProfile BuilderThemeGrill Demo ImporterFlexible Checkout Fields for WooCommerceAsync JavaScript10Web Map Builder for Google Maps、そしてModern Events Calendar Liteのプラグインの欠陥に対処するために利用することが可能となっている。攻撃者はThemeREX Addonsの脆弱性も悪用している。現在、この欠陥に対処するために利用可能なアップデートはなく、ユーザーは自身のサイトからプラグインを削除することをお勧めする。

 - https://www.zdnet.com/article/hackers-are-actively-exploiting-zero-days-in-several-wordpress-plugins/

 - https://www.bleepingcomputer.com/news/security/critical-bugs-in-wordpress-plugins-let-hackers-take-over-sites/

 

【編集者メモ】(Ullrich)

WordPressをどうしても実行する必要がある場合は、Wordpress.comで実行する。WordPressのビジネスモデルは、多大な労力を費やすか、非常に限定された機能の少ないバージョンを実行しない限り、ソフトウェアを自分で安全に実行することを不可能にするようだ。

【編集者メモ】(Neely)

未使用のプラグインを無効にするだけでなく、それらを取り除いて、脆弱なコードがサーバから削除されるようにしたほうがいい。新しい管理者アカウントと予期しないコンテンツ、特に/wp-content/uploads/にある.phpおよび.zipファイルが存在するかどうか、サイトを調べてほしい。また、必要に応じてロールバックできるように、サイトとそのデータベースの両方の定期的なバックアップがあることを確認してほしい。

【編集者メモ】(Mulay)

アプリケーションの管理者と開発者は、ソースに関係なく、含まれるすべてのコードの品質に責任を負っている。「プラグイン」には、品質の表示あるいは基準が備わっていることはめったにない。

────────────────

 

RSA:FBI特別捜査官がランサムウェアを語る (2020.3.2

先週サンフランシスコで開催されたRSA Conferenceで、Global Operations and Targeting UnitFBI特別捜査官である、Joel DeCapua氏は、ランサムウェアの被害者が過去6年半にわたって14000万ドル以上を支払ったと聴衆に語った。ビットコインで支払われた身代金要求だけがその額を占めている。DeCapua氏はまた、ランサムウェア攻撃の約4分の3を占める最初の侵入経路はRemote Desktop ProtocolRDP)であると述べた。

 - https://www.zdnet.com/article/fbi-ransomware-victims-have-paid-out-140-million-one-version-has-cost-them-the-most/

 

【編集者メモ】(Neely)

強力な認証、アクティブな監視、パッチ適用など、サービス用に十分に構成されたシステムでは、例外においてのみRDPサービスをインターネットに公開すべきである。さらに良いのは、RDPアクセスを許可する前にVPNを必要とすることだ。

 

【編集者メモ】(Mulay)

ランサムウェアの主なソースがフィッシングであることを示唆する発信者もいる。強力な認証方式は、RDPまたはフィッシングのいずれかに対して、あらゆる種類のパスワードよりも優れている。

────────────────

 

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

◆┃OUCH! 3月号「春に向けてセキュリティしませんか」について

━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

日本人にとって、春は別れと出会いが交錯する特別な季節です。環境が変わった

り立場が変わったり、いずれにしても物事を整理して新しい気持ちで頑張るとい

う雰囲気が街中を埋め尽くすので、セキュリティに取り組む格好の機会かもしれ

ません。

今月は、心機一転セキュリティに取り組むにあたってのポイントを、一般ユーザ

にも分かりやすく解説します。社内のセキュリティ意識向上ツールとしてご利用

ください。

https://www.sans.org/sites/default/files/2020-03/202003-OUCH-Japanese.pdf

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

 

◆ 世界保健機関:詐欺師がコロナウイルスの恐怖を利用(2020.3.6)

世界保健機関(WHO)は、WHOの代表者を装った詐欺師が、人々をだましてアカウントのアクセス認証情報を共有させたり、悪意のある電子メールの添付ファイルを開かせようとしたりしていることに警鐘を鳴らしている。詐欺師は、マルウェアを拡散させるためにCOVID-19に関する不安を悪用する電子メールも送信している。研究者は、今年の初めから4,000以上のコロナウイルスに関連したドメインが登録されていることに注目している。これらのうち、3%が悪意があるとみなされ、さらに5%が疑わしいとされている。

 - https://news.un.org/en/story/2020/02/1058381

 - https://www.vox.com/recode/2020/3/5/21164745/coronavirus-phishing-email-scams

 - https://www.zdnet.com/article/nasty-phishing-scams-aim-to-exploit-coronovirus-fears/

────────────────

 

◆ マルウェアを拡散する偽の証明書警告 (2020.3.5)

カスペルスキー社の研究者が、攻撃者が偽の証明書更新警告を使用してマルウェアを拡散していることを発見した。ユーザーが、すでに感染したサイトにアクセスすると、期限切れのセキュリティ証明書に関する通知が表示される。ユーザーは、「アップデート」に同意することを促され、インストールされると、MokesまたはBuerakマルウェアを配信するファイルをダウンロードする。

 - https://www.zdnet.com/article/backdoor-malware-is-being-spread-through-fake-security-certificate-alerts/

 - https://www.bleepingcomputer.com/news/security/attackers-deliver-malware-via-fake-website-certificate-errors/

 - https://securelist.com/mokes-and-buerak-distributed-under-the-guise-of-security-certificates/96324/

 

【編集者メモ】(Pescatore)

ブラウザが、古いSSL/TLSレベルを実行しているサイトのブロックを始めると、同様の偽の警告と攻撃が発生する。

【編集者メモ】(Neely)

リンクのLet's Encryptの記事では、Safariなどのブラウザは証明書のセキュリティの水準を引き上げているため、ユーザーはだまされてしまう可能性がある。ユーザーは、アップデートが適切な経路を通じてのみ行われることを知っておく必要がある。

────────────────

 

◆ ブラウザ拡張機能の大きな影響力 (2020.3.3

カリフォルニアのBlue Shieldは、そのWebサイトが悪意のあるコンテンツを提供しているというフラグが付けられていることを知った際、さらなる調査により、悪意のあるコードは、ある従業員のブラウザ拡張機能が原因であることが明らかになった。その従業員は最近Webサイトを編集し、ChromePage Ruler拡張機能が問題のコードを注入した。Page Ruler拡張機能は数年前に販売され、それ以来、悪意のあるコードの拡散が報告されている。Brian Krebs氏は、「ブラウザ拡張機能は、インストールすると便利で楽しいかもしれないが、一般的には非常に強力であり、ブラウジングセッションですべてのデータを効果的に読み書きできてしまうということ」を我々に気づかせてくれている。

 - https://krebsonsecurity.com/2020/03/the-case-for-limiting-your-browser-extensions/

 

【編集者メモ】(Neely)

可能な限りブラウザの拡張機能を使用しないでほしい。セキュリティリスクがあるだけでなく、セキュリティと機能の更新を妨げる可能性もある。選択した拡張機能を定期的にレビューして、それらが必要であり、サポートされていることを確認し、よく考えながら行ってほしい。

 

【編集者メモ】(Mulay)

先週述べたように、アプリケーションの管理者と開発者は、すべてのソフトウェアのコンテンツに対して責任がある。いわゆる「拡張機能」と「プラグイン」には悪い実績があり、評価することが困難である。

────────────────

 

◆ 司法省がサイバー調査のための手引きを発行 (2020.3.3)

アメリカ合衆国司法省(DoJ)は、「コンピュータ犯罪を議論、計画し、盗難されたデータが売買されるオンラインフォーラムを含む、情報セキュリティを実践している人々のサイバー脅威インテリジェンス収集活動」を指導するため、オンラインサイバー脅威インテリジェンスを収集し、不正な情報源からデータを購入する際の法的考慮事項の文書を公開した。

 - https://fcw.com/articles/2020/03/03/doj-cyber-research-guide-johnson.aspx

 - https://www.justice.gov/criminal-ccips/page/file/1252341/download

 

【編集者メモ】(Pescatore)

常に危険と隣り合わせの状況が存在し、犯罪者が研究者であると主張したり、研究者が犯罪者であると非難されたり、または、ソフトウェアが不十分な企業がDMCAのような法律を使用して、研究者がそのソフトウェアがいかに悪いのかを指摘しないようにしたりといった状況がそうである。あなた、またはあなたの会社が、自身のサイバー脅威研究を行うことを考えているなら、DoJの文書はそういった危険と隣り合わせの状況の1つになってしまう確率を減らすための、良い出発点であり、そうあるのであれば、あなたの行動を擁護してくれる。

────────────────

 

ENTSO-EへのITセキュリティ侵害 (2020.3.9)

欧州送電システムオペレータネットワーク(ENTSO-E)は、ITネットワークが侵害されたことを明らかにした。簡単な声明の中で、ENTSO-Eは、ネットワークが運用中の送電システムオペレータ(TSO)のネットワークに接続されていないことを示している。ENTSO-Eのウェブサイトによると、セキュリティミッションは「相互接続された送電ネットワークを統合し、信頼性の高い安全な運用を追求すると同時に、今後のシステムの進化に対処する決定を予測することだ」と表明している。

 - https://www.cyberscoop.com/european-entso-breach-fingrid/

 - https://www.entsoe.eu/news/2020/03/09/entso-e-has-recently-found-evidence-of-a-successful-cyber-intrusion-into-its-office-network/

 - https://www.entsoe.eu/about/

 

【編集者メモ】(Murray)

そうは言っても、この業界の文化は、送電網のコントロールをパブリックネットワークに接続して、危機の際にオペレータが迅速かつ便利にアクセスできるようにすることである。

────────────────

 

CPIへのランサムウェア攻撃 (2020.3.5

電子機器メーカーのCommunicationsPower IndustriesCPI)社は、20201月中旬にランサムウェア攻撃に苦しんだ。同社のコンピュータがセグメント化されていないネットワークにあったため、感染はすべてのCPI社のオフィスに急速に広がった。CPI社は50万米国ドルの身代金を支払ったが、システムの回復に未だに取り組んでいる。CPI社の顧客には、米国国防総省と国防高等研究計画局(DARPA)がある。

 - https://techcrunch.com/2020/03/05/cpi-ransomware-defense-contractor/

 

【編集者メモ】(Neely)

根本的な原因は、ドメイン管理者が悪意のあるリンクをクリックしたことにあるようだ。最下位レベルの特権での実行を含む、制御された管理特権の使用はCIS Control 4である。ネットワークの分割、特にXPなどの古いオペレーティングシステムにおいては、横方向の移動を制限するだけでなく、レガシーなシステムセキュリティの不足を緩和するのに重要だ。

────────────────

 

◆ ノースカロライナ州ダーラムでランサムウェア攻撃 (2020.3.8 & 9

ノースカロライナ州ダーラム市に属するコンピュータが、週末にRyukランサムウェアに感染した。市は、電話システムを含む特定のシステムをシャットダウンする決定を下した。この決定により、情報電話回線は利用できなくなったが、緊急のサービスは「運用中であり、緊急コールは処理されている。」

 - https://www.scmagazine.com/home/security-news/ransomware/durham-n-c-bull-rushed-by-ransomware-recovery-underway/

 - https://www.newsobserver.com/news/local/article241015176.html

────────────────

 

◆ ハッカーがCOVID-19実況マップを利用してマルウェアを拡散 (2020.3.10, 11, 12 & 13)

ハッカーが、COVID-19の実況マップを武器化して、パスワード、支払いカード情報、Cookie、およびその他の機密データを盗むAZORultマルウェアを拡散した。関連記事では、国営のハッカーがフィッシング攻撃への擬似餌としてCOVID-19の情報を使用している。

 - https://krebsonsecurity.com/2020/03/live-coronavirus-map-used-to-spread-malware/

 - https://www.scmagazine.com/home/security-news/malicious-coronavirus-map-hides-azorult-info-stealing-malware/

 - https://blog.malwarebytes.com/social-engineering/2020/02/battling-online-coronavirus-scams-with-facts/

 - https://www.zdnet.com/article/state-sponsored-hackers-are-now-using-coronavirus-lures-to-infect-their-targets/

 

【編集者メモ】(Pescatore)

これまでに、会社は従業員に、COVID-19のパンデミックにまつわる防げないマルウェアとフィッシング攻撃の氾濫を警告していたはずだ。物事が通常に戻り始めたときに、こういったことが再び起こることを会社に思い出させてあげるべきだ。

【編集者メモ】(Neely)

COVID-19に関する情報が非常に多く、ユーザが病気とその影響に関しての情報を最新に保ちたいという願望のためには、高品質のソーシャルエンジニアリングの試みを待ってほしい。

────────────────

 

◆ イリノイ州公衆衛生局のWebサイトがランサムウェア攻撃に苦しむ (2020.3.12)

イリノイ州のシャンペーンアーバナ公衆衛生地区(C-UPHD)のWebサイトが、今週初めにランサムウェアに襲われた。イリノイ大学最大のキャンパスの学生を含む20万人以上にサービスを提供するC-UPHDは、プライマリサイトの復元に取り組んでいる間に、代替のWebサイトを構築した。

 - https://thehill.com/policy/cybersecurity/487282-illinois-public-health-agencys-website-taken-down-by-hackers

 - https://www.theregister.co.uk/2020/03/12/ransomware_illinois_health/

────────────────

 

◆ サイバースペースソラリウム委員会の報告書 (2020.3.11

2019年の米国国防権限法によって義務付けられた、米国サイバースペースソラリウム委員会の報告書は、「サイバーセキュリティへの新しい戦略的アプローチである、階層化されたサイバー抑止」を提唱している。この報告書には80を超える推奨事項が作成され、6つの柱で構成されており、米国政府のサイバースペースの構造と組織の改革、規範と非軍事ツールの強化、国家の回復力の促進、サイバーエコシステムの再構築、民間部門とのサイバーセキュリティコラボレーションの運用、 そして、国力の軍事手段を保存、及び使用がある。

 - https://federalnewsnetwork.com/cybersecurity/2020/03/cyberspace-solarium-seeks-to-restore-cyber-coordinator-roles-eliminated-by-trump-administration/

 - https://www.lawfareblog.com/cyberspace-solarium-commission-report-lawfare-series

 - https://www.fifthdomain.com/congress/2020/03/11/congressional-report-outlines-new-american-cyber-strategy/

 - https://www.nextgov.com/cybersecurity/2020/03/solarium-cyber-report-recommends-new-government-structures-major-policy-overhauls/163696/

 - https://duo.com/decipher/commission-outlines-ways-to-overhaul-federal-cybersecurity

 - https://www.solarium.gov/report

 - https://drive.google.com/file/d/1c1UQI74Js6vkfjUowI598NjwaHD1YtlY/view

 - https://drive.google.com/file/d/1ryMCIL_dZ30QyjFqFkkf10MxIXJGT4yv/view

 

【編集者メモ】(Mulay)

革命が必要だ。我々がしていることは機能していない。2020年には攻撃コストを10倍、今後5年間で100倍にする必要があります。私たちは何をすべきか知っている。意志が欠けているのだ。

────────────────

 

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

■┃申込受付中のオンラインセミナー        <NRIセキュア>

━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

319() 327()49()422()

 <オンラインセミナー>利便性とセキュリティを両立するファイル「転送」サービスとは

 ~情報セキュリティ専門会社が提供するクリプト便のファイル転送と業務自動化オプション~

 https://www.nri-secure.co.jp/seminar/2020/online_file02?utm_source=sans&utm_medium=mail&utm_campaign=20200318sans

 

323() 330()413() 423()

 <オンラインセミナー>利便性とセキュリティを両立するファイル「共有」サービスとは

 ~クリプト便 ファイル共有機能のご紹介~

 https://www.nri-secure.co.jp/seminar/2020/online_file03?utm_source=sans&utm_medium=mail&utm_campaign=20200318sans

 

325()48()421()

 <オンラインセミナー>『業務』で選ぶクラウドサービスの勘所

 ~ファイル転送かファイル共有か。サービス 選定を簡単にする判断ポイント~

 https://www.nri-secure.co.jp/seminar/2020/online_file01?utm_source=sans&utm_medium=mail&utm_campaign=20200318sans

 

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

◆┃ebook(無料ダウンロード)                       NRIセキュア>

━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

NRI Secure Insight 2019 ~企業における情報セキュリティ実態調査~

 https://www.secure-sketch.com/ebook-download/insight2019-report?utm_source=sans&utm_medium=mail&utm_campaign=20200318sans

 

EDR導入ガイド

 - インシデント前提社会の最適解 -

 https://www.secure-sketch.com/ebook-download/recommend-edr-use?utm_source=sans&utm_medium=mail&utm_campaign=20200318sans

 

>>ダウンロード資料一覧

 https://www.secure-sketch.com/ebook-download?utm_source=sans&utm_medium=mail&utm_campaign=20200318sans

 

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

◆┃コラム(Secure SketCH ブログ)                    NRIセキュア>

━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

○テレワークのセキュリティ対策、事例に学ぶ失敗しないための3つのポイント

 https://www.secure-sketch.com/blog/secure-remote-work?utm_source=sans&utm_medium=mail&utm_campaign=20200318sans

 

○クラウドからの情報漏洩、原因となる「設定ミス」を防止するためのポイントとは?

 https://www.secure-sketch.com/blog/key-points-to-prevent-information-leakage-from-the-cloud?utm_source=sans&utm_medium=mail&utm_campaign=20200318sans

 

○【検知】メール件名が顔文字の不審メール|ランサムウェアNemty

 https://www.secure-sketch.com/blog/suspicious-emails-with-emoticon-subject?utm_source=sans&utm_medium=mail&utm_campaign=20200318sans

 

>>ブログ記事一覧

 https://www.secure-sketch.com/blog?utm_source=sans&utm_medium=mail&utm_campaign=20200318sans

 

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

◆┃お知らせ                     <NRIセキュア>

━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

NRIセキュア、ダークウェブなどのサイバー空間から脅威情報を検出し、

 デジタル資産の保護を支援するサービスを提供開始

 https://www.nri-secure.co.jp/news/2020/0317?utm_source=sans&utm_medium=mail&utm_campaign=20200318sans

 

NRIセキュア、特権ID管理ソリューション 「SecureCube / Access Check」がシェアNo.1を獲得

 https://www.nri-secure.co.jp/news/2020/0312?utm_source=sans&utm_medium=mail&utm_campaign=20200318sans

 

NRIセキュア、継続的にセキュリティ強化を支援する新プランを、

 セキュリティ対策実行支援プラットフォーム「Secure SketCH」に追加

 https://www.nri-secure.co.jp/news/2020/0310?utm_source=sans&utm_medium=mail&utm_campaign=20200318sans

 

>>ニュース一覧

 https://www.nri-secure.co.jp/news?utm_source=sans&utm_medium=mail&utm_campaign=20200318sans

 

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

◆┃Secure SketCH 無料登録受付中 <NRIセキュア>

━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

30分でわかる!貴社に必要なセキュリティ対策

 https://www.secure-sketch.com?utm_source=sans&utm_medium=mail&utm_campaign=20200318sans

 

Secure SketCHサービス紹介資料

 https://www.secure-sketch.com/ebook-download/tag/secure-sketch?utm_source=sans&utm_medium=mail&utm_campaign=20200318sans

 

--

 

NRI Secure SANS NewsBites 日本版は、米国の情報セキュリティの専門機関であるSANS Instituteが配信するコンテンツ (SANS NewsBites)をベースに、NRIセキュアテクノロジーズが編集してお届けしています。 世界中でこの1週間に起こったセキュリティのあらゆるトピックと専門家のコメントが掲載されています。原版は、およそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュースソースとして活用されています。組織のセキュリティ管理に関する参考情報としてお役立てください。掲載されている情報は、e-mailを介して自由に他の方に再送していただいて結構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望される方は、弊社ホームページの以下のページよりお申込みください。

https://www.nri-secure.co.jp/news_letter

 

本ニュースレターは、メールマガジン配信を申し込まれた方、弊社からの情報を希望された方、SANS関連のイベントに参加された方、その他イベント等において弊社講演枠に登録された方に配信しています。今後、配信をご希望されない方は会社名と御氏名を本文に明記のうえ、件名に【配信不要】、配信先変更をご希望の方は【配信先変更希望】とご記入頂き、新旧のご連絡先も記載のうえ、info@sans-japan.jp までご返信をお願い致します。なお、情報の反映までにお時間を頂戴する場合がございます。