NRI Secure SANS NewsBites 日本版

Vol.15 No.10 2020年3月31日発行

──────────────────────────

■■SANS NewsBites Vol.15 No.10

(原版: 2020 3 24日、27日)

──────────────────────────

 

┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

 2┃0┃2┃0┃年┃7┃月┃東┃京┃

 ━┛━┛━┛━┛━┛━┛━┛━┛━┛

 S┃A┃N┃S┃ト┃レ┃ー┃ニ┃ン┃グ┃ラ┃イ┃ブ┃配┃信┃予┃定┃

 ━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛

 

  SANS Cyber Defence Japan 2020

 https://www.sans-japan.jp/sans_cyber_defence_japan2020

 

新型コロナウイルス等の感染症の状況を考慮し、英語コースの開催を延期させて

いただくことになりました。

誠に申し訳ございませんが、ご理解いただけますようお願い申し上げます。

 

尚、日本語コースは、ライブ配信での開催を予定しております。

詳細等は確定次第、SANS Japan Webサイトにてご案内いたします。

 

 ◆ライブ配信予定 日本語コース◆

    SEC401  Security Essentials Bootcamp Style

    SEC504  Hacker Tools, Techniques, Exploits, and Incident Handling

 

 ◇延期 英語コース◇

    SEC542  Web App Penetration Testing and Ethical Hacking

    SEC555  SIEM with Tactical Analytics

    FOR508  Advanced Incident Response, Threat Hunting, and Digital Forensics

    SEC560  Network Penetration Testing and Ethical Hacking

    SEC599  Defeating Advanced Adversaries - Purple Team Tactics & Kill Chain Defenses

    FOR500  Windows Forensic Analysis

 

┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛

 

COVID-19関連のマルウェア (2020.3.20 & 23)

米連邦捜査局 (FBI)は、COVID-19に関連した詐欺の手口が増加していると警告している。この発表では、米疾病予防管理センター(CDC)からの偽のメッセージ、フィッシングメール、偽のCOVID-19治療要請などに注意するよう促している。世界保健機関(WHO)の事務局長を装い、実際にユーザーのコンピュータにキーストロークロガーを置く偽の電子メールメッセージや、支払いカード、他の個人情報を盗もうとする偽のCOVID-19のワクチンのウェブサイトが報告されている。

 - https://www.ic3.gov/media/2020/200320.aspx

 - https://www.zdnet.com/article/who-chief-emails-claiming-to-offer-coronavirus-drug-advice-plant-keyloggers-on-your-pc/

 - https://threatpost.com/revamped-hawkeye-keylogger-coronavirus-fears/154013/

 - https://threatpost.com/fake-coronavirus-vaccine-website-busted-in-doj-takedown/154031/

 - https://www.govinfosecurity.com/covid-19-phishing-schemes-escalate-fbi-issues-warning-a-13998

 - https://www.scmagazine.com/home/security-news/cybercrime/fbi-warns-of-covid-19-phishing-scams-promising-stimulus-checks-vaccines/

 - https://www.scmagazine.com/home/security-news/cybercrime/fbi-warns-of-covid-19-phishing-scams-promising-stimulus-checks-vaccines/

 - https://portswigger.net/daily-swig/coronavirus-fraud-doj-takes-action-against-website-claiming-to-offer-covid-19-vaccine

 - https://isc.sans.edu/forums/diary/More+COVID19+Themed+Malware/25930/

 - https://isc.sans.edu/forums/diary/COVID19+Themed+Multistage+Malware/25922/

 - https://github.com/parthdmaniar/coronavirus-covid-19-SARS-CoV-2-IoCs

 

【編集者メモ】(Neely)

同様に、特に高齢者をターゲットにした米国の金融救済策を巡るフィッシング活動にも注意するよう警告している。これらの活動では、銀行口座情報と引き換えに、社会保障や投資スキーム、COVID-19の救済金の追加を約束している。また、サービスを利用して被害者を助けようとする前払い要求にも注意してほしい。

────────────────

 

Windowsのゼロデイ攻撃が活発化(2020.3.23

Microsoftは、Adobe Type Manager Libraryにある、まだパッチのあたっていない2つの脆弱性を利用して、リモートコードを実行する可能性のある限定的な攻撃について警告している。Windows 10のサポートされているバージョンでは、この脆弱性により、限られた権限と機能を持つAppContainer内でコードが実行される可能性がある。Microsoftはまだパッチをリリースしておらず、3つの修正方法の中から、Windows Explorerでプレビューと詳細ペインを無効にする、WebClientサービスを無効にする、ATMFD.DLLの名前を変更する、という選択肢を提供している。Windowsサーバでデフォルトでオンになっている拡張セキュリティ構成では、問題は緩和されない。

 - https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/adv200006#march-23-flaw

 - https://threatpost.com/microsoft-warns-of-critical-windows-zero-day-flaws/154040/

 - https://duo.com/decipher/unpatched-windows-flaws-under-active-attack

 - https://www.zdnet.com/article/microsoft-warns-of-windows-zero-day-exploited-in-the-wild/

 - https://www.theregister.co.uk/2020/03/23/microsoft_issues_red_alert/

 - https://arstechnica.com/information-technology/2020/03/attackers-exploit-windows-zeroday-that-can-execute-malicious-code/

 

【編集者メモ】(Neely)

サポートされているバージョンのWindows 10では攻撃の影響は最も少ないが、サンドボックスエスケープを実行できる可能性もある。この修正を適用する前に、それぞれの注意事項を必ず読んでほしい。2 番目の回避策であるWebClientサービスを無効にすることで、攻撃者が最も使用する可能性の高い攻撃をブロックし、WebClientをベースにしたサービスの停止や開始のブロックだけでなく、Web分散オーサリングとバージョン管理にも影響を与える。

【編集者メモ】(Ullrich)

今のところ公開されているエクスプロイトはないが、標的型攻撃ではこの脆弱性が利用されている。Microsoftの当初のアドバイザリでは、言及されているDLLWindows 10の新しいバージョンには存在しないことから混乱が生じていたが、Microsoftは昨夜公開されたアドバイザリの1.1バージョンで、この点を明確にした。

 

https://isc.sans.edu/forums/diary/Windows+Zeroday+Actively+Exploited+Type+1+Font+Parsing+Remote+Code+Execution+Vulnerability/25936/

Windowsのゼロデイ攻撃が活発化:Type 1 Font Parsingリモートコード実行の脆弱性

────────────────

 

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

◆┃OUCH! 3月号「春に向けてセキュリティしませんか」について

━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

日本人にとって、春は別れと出会いが交錯する特別な季節です。環境が変わった

り立場が変わったり、いずれにしても物事を整理して新しい気持ちで頑張るとい

う雰囲気が街中を埋め尽くすので、セキュリティに取り組む格好の機会かもしれ

ません。

今月は、心機一転セキュリティに取り組むにあたってのポイントを、一般ユーザ

にも分かりやすく解説します。社内のセキュリティ意識向上ツールとしてご利用

ください。

https://www.sans.org/sites/default/files/2020-03/202003-OUCH-Japanese.pdf

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

 

◆ ハッカー、ルータへのDNSハイジャック攻撃を開始 (2020.3.23, 25 & 26)

ハッカーらはD-LinkLinksysのルータに対してDNSハイジャック攻撃を仕掛け、ユーザーを偽物のコロナウイルスアプリを宣伝する悪質なサイトに誘導している。ユーザーがアプリをダウンロードすると、そのデバイスは情報を盗むマルウェアに感染する。ハッカーらは、ルータの管理者パスワードを取得するためにブルートフォース攻撃を使用している。

 - https://labs.bitdefender.com/2020/03/new-router-dns-hijacking-attacks-abuse-bitbucket-to-host-infostealer/

 - https://www.zdnet.com/article/d-link-and-linksys-routers-hacked-to-point-users-to-coronavirus-themed-malware/

 - https://arstechnica.com/information-technology/2020/03/new-attack-on-home-routers-sends-users-to-spoofed-sites-that-push-malware/

 - https://www.bleepingcomputer.com/news/security/hackers-hijack-routers-dns-to-spread-malicious-covid-19-apps/

 - https://www.bleepingcomputer.com/news/security/hackers-hijack-routers-dns-to-spread-malicious-covid-19-apps/

 - https://www.cyberscoop.com/dns-hijacking-covid-19-oski-bitdefender-telework/

 

【編集者メモ】(Neely)

最善の緩和策は、ルータがリモートでアクセスできないように、強力なデバイスパスワードを使用し、リモート管理を無効にすることだ。ネットワーク上に別のDNSサーバを設定して、選択した権限のあるDNSサーバを指すようにすることを検討してほしい。すべてのエンドポイントがルートDNSサーバを指すように設定すると、ルータのNATテーブルを使い果たしてしまう可能性がある。最後に、ほとんどの家庭用ルータは、分析やアラートのためにログを転送するように設定することができる。通常はホームユーザを監視する必要があるが、その準備はできていない。さらに、自動ファームウェアアップデートも有効にするべきだ。

【編集者メモ】(Murray)

これらのルータの多くは、SOHOアプリケーションがインストールされているが、「管理」はされていない。リモートで仕事をする人が増えるにつれ、こういったデバイスは魅力的なターゲットになる。設置する際には、デフォルトのパスワードを変更することが重要だ。これらのデバイスは強力な認証を実装していないため、これは強力なパスワードを表示してくれるアプリケーションだ。

────────────────

 

◆ 米国上院議員がネットワーク接続製品の安全性を確認するようベンダーに要請(2020.3.25

米上院議員マーク・ワーナー氏(バージニア州)は、ITベンダー各社に自社製品のセキュリティ強化を求めている。GoogleNetgearなどに宛てた手紙の中でワーナー氏は、「COVID-19の社会的距離戦略の取り組みの一環として、前例のない数のアメリカ人が仕事や教育のためにリモートアクセスに依存しているため、貴社が製造するワイヤレスアクセスポイント、ルータ、モデム、メッシュネットワークシステム、および関連するネットワークに接続する製品が安全であることを保証するための支援を求めている。」と書いている。

 - https://www.warner.senate.gov/public/_cache/files/7/8/7839119c-5deb-4410-8b77-bf84803d2b20/D78F89C00B8BD2127D5F2B8E786571B9.letter-covid19-internet-google.pdf

 - https://www.fifthdomain.com/congress/capitol-hill/2020/03/25/one-senator-wants-vendors-to-ensure-their-internet-connectivity-devices-are-secure/

 - https://thehill.com/policy/cybersecurity/489480-senator-sounds-alarm-on-cyber-threats-to-internet-connectivity-during

 - https://www.meritalk.com/articles/sen-warner-urges-stronger-networking-device-security/

 

【編集者メモ】(Pescatore)

私の皮肉屋な面は、ほとんどのベンダーは、関連法案が日の目を見ることがない場合は特に、何かをするように「促す」これらの手紙に対して、ワープロのテンプレートを使って自動応答を行っていると言っている。半面では、ほとんどのベンダーは高品質の製品を販売したいと考えており、既成概念にとらわれないセキュリティがセキュリティの重要な部分であることを見てきたと言っている。現実的な面では、ジャンク品を買えば、誰かがジャンク品を売ってくるだろうと言っている。それがビジネスシステムの場合は、セキュリティ要件がすべての調達評価基準を満たしていることを確認するべきだ。在宅勤務の従業員が使用するコンシューマ製品については、デフォルトを変更する方法をガイダンスし、安全なテレワークのために無料のSANSリソースを活用してほしい。

 https://www.sans.org/security-awareness-training/sans-security-awareness-work-home-deployment-kit

【編集者メモ】(Ullrich)

ユーザーにデバイスの安全性を確保してもらうことは難しいので、箱から出し、ユーザーに強力なパスワードを設定してもらい、自動更新を組み込み、リモート管理を無効にしたデバイスを用意することで、セキュリティ水準を高めることができる。ホームルータのセキュリティ最良設定アドバイスが、自身のホーム/リモートワーカーのガイダンスに含まれていることを確認してほしい。

────────────────

 

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

■┃申込受付中のオンラインセミナー        <NRIセキュア>

━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

48()421()

 <オンラインセミナー>『業務』で選ぶクラウドサービスの勘所

 ~ファイル転送かファイル共有か。サービス 選定を簡単にする判断ポイント~

 https://www.nri-secure.co.jp/seminar/2020/online_file01?utm_source=sans&utm_medium=mail&utm_campaign=20200331sans

 

49()422()

 <オンラインセミナー>利便性とセキュリティを両立するファイル「転送」サービスとは

 ~情報セキュリティ専門会社が提供するクリプト便のファイル転送と業務自動化オプション~

 https://www.nri-secure.co.jp/seminar/2020/online_file02?utm_source=sans&utm_medium=mail&utm_campaign=20200331sans

 

413() 423()

 <オンラインセミナー>利便性とセキュリティを両立するファイル「共有」サービスとは

 ~クリプト便 ファイル共有機能のご紹介~

 https://www.nri-secure.co.jp/seminar/2020/online_file03?utm_source=sans&utm_medium=mail&utm_campaign=20200331sans

 

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

◆┃ebook(無料ダウンロード)                       NRIセキュア>

━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

NRI Secure Insight 2019 ~企業における情報セキュリティ実態調査~

 https://www.secure-sketch.com/ebook-download/insight2019-report?utm_source=sans&utm_medium=mail&utm_campaign=20200331sans

 

EDR導入ガイド

 - インシデント前提社会の最適解 -

 https://www.secure-sketch.com/ebook-download/recommend-edr-use?utm_source=sans&utm_medium=mail&utm_campaign=20200331sans

 

>>ダウンロード資料一覧

 https://www.secure-sketch.com/ebook-download?utm_source=sans&utm_medium=mail&utm_campaign=20200331sans

 

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

◆┃コラム(Secure SketCH ブログ)                    NRIセキュア>

━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

○クラウドネイティブ化に伴うセキュリティ課題とその解決策

 https://www.secure-sketch.com/blog/cloud-native-shift?utm_source=sans&utm_medium=mail&utm_campaign=20200331sans

 

SASEとは?オールインワン製品でDX推進に向けた効率的なセキュリティ投資を!

 https://www.secure-sketch.com/blog/secure-access-service-edge?utm_source=sans&utm_medium=mail&utm_campaign=20200331sans

 

○テレワークのセキュリティ対策、事例に学ぶ失敗しないための3つのポイント

 https://www.secure-sketch.com/blog/secure-remote-work?utm_source=sans&utm_medium=mail&utm_campaign=20200331sans

 

>>ブログ記事一覧

 https://www.secure-sketch.com/blog?utm_source=sans&utm_medium=mail&utm_campaign=20200331sans

 

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

◆┃お知らせ                     <NRIセキュア>

━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

NRIセキュア、Netskope Japan株式会社の「Platinum Partner」に認定

 https://www.nri-secure.co.jp/news/2020/0326?utm_source=sans&utm_medium=mail&utm_campaign=20200331sans

 

NRIセキュア、ダークウェブなどのサイバー空間から脅威情報を検出し、

 デジタル資産の保護を支援するサービスを提供開始

 https://www.nri-secure.co.jp/news/2020/0317?utm_source=sans&utm_medium=mail&utm_campaign=20200331sans

 

NRIセキュア、特権ID管理ソリューション 「SecureCube / Access Check」がシェアNo.1を獲得

 https://www.nri-secure.co.jp/news/2020/0312?utm_source=sans&utm_medium=mail&utm_campaign=20200331sans

 

>>ニュース一覧

 https://www.nri-secure.co.jp/news?utm_source=sans&utm_medium=mail&utm_campaign=20200331sans

 

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

◆┃Secure SketCH 無料登録受付中 <NRIセキュア>

━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

30分でわかる!貴社に必要なセキュリティ対策

 https://www.secure-sketch.com?utm_source=sans&utm_medium=mail&utm_campaign=20200331sans

 

Secure SketCHサービス紹介資料

 https://www.secure-sketch.com/ebook-download/tag/secure-sketch?utm_source=sans&utm_medium=mail&utm_campaign=20200331sans

 

--

 

NRI Secure SANS NewsBites 日本版は、米国の情報セキュリティの専門機関であるSANS Instituteが配信するコンテンツ (SANS NewsBites)をベースに、NRIセキュアテクノロジーズが編集してお届けしています。 世界中でこの1週間に起こったセキュリティのあらゆるトピックと専門家のコメントが掲載されています。原版は、およそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュースソースとして活用されています。組織のセキュリティ管理に関する参考情報としてお役立てください。掲載されている情報は、e-mailを介して自由に他の方に再送していただいて結構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望される方は、弊社ホームページの以下のページよりお申込みください。

https://www.nri-secure.co.jp/news_letter

 

本ニュースレターは、メールマガジン配信を申し込まれた方、弊社からの情報を希望された方、SANS関連のイベントに参加された方、その他イベント等において弊社講演枠に登録された方に配信しています。今後、配信をご希望されない方は会社名と御氏名を本文に明記のうえ、件名に【配信不要】、配信先変更をご希望の方は【配信先変更希望】とご記入頂き、新旧のご連絡先も記載のうえ、info@sans-japan.jp までご返信をお願い致します。なお、情報の反映までにお時間を頂戴する場合がございます。