NRI Secure SANS NewsBites 日本版

Vol.15 No.11 2020年4月6日発行

──────────────────────────

■■SANS NewsBites Vol.15 No.11

(原版: 2020 3 31日、4 3日)

──────────────────────────

 

┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

 2┃0┃2┃0┃年┃7┃月┃東┃京┃

 ━┛━┛━┛━┛━┛━┛━┛━┛━┛

 S┃A┃N┃S┃ト┃レ┃ー┃ニ┃ン┃グ┃ラ┃イ┃ブ┃配┃信┃予┃定┃

 ━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛

 

SANS Cyber Defence Japan 2020

 https://www.sans-japan.jp/sans_cyber_defence_japan2020

 

新型コロナウイルス等の感染症の状況を考慮し、英語コースの開催を延期させて

いただくことになりました。

誠に申し訳ございませんが、ご理解いただけますようお願い申し上げます。

 

尚、日本語コースは、ライブ配信*での開催を予定しております。

詳細等は確定次第、SANS Japan Webサイトにてご案内いたします。

 

*講師がインターネット回線を用いてオンラインで講義を配信する形態です。

 通常の教室での講義と同様に質疑応答やハンズオンの実施も含まれます。

 

 

 ◆ライブ配信予定 日本語コース◆

    SEC401  Security Essentials Bootcamp Style

    SEC504  Hacker Tools, Techniques, Exploits, and Incident Handling

 

 ◇延期 英語コース◇

    SEC542  Web App Penetration Testing and Ethical Hacking

    SEC555  SIEM with Tactical Analytics

    FOR508  Advanced Incident Response, Threat Hunting, and Digital Forensics

    SEC560  Network Penetration Testing and Ethical Hacking

    SEC599  Defeating Advanced Adversaries - Purple Team Tactics & Kill Chain Defenses

    FOR500  Windows Forensic Analysis

 

┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛

 

Kwampirsマルウェアが医療分野を標的に (2020.3.31)

FBIは、Kwampirsマルウェアの民間産業向けの通知を公開した。Kwampirsは「Orangeworm」としても知られており、過去にはさまざまな産業を標的にしていたが、今回の最新アップデートで、医療分野をも標的にしている。国家間で連携した攻撃者の仕業である可能性が高く、Kwampirsはソフトウェアのサプライチェーンを利用して拡散している。そのため、特に防御が困難になっている。Kwampirsは、信頼できるベンダーからのソフトウェアアップデートの一部としてネットワークに侵入する可能性が高い。

 - https://www.helpnetsecurity.com/2020/03/31/kwampirs/

 - https://isc.sans.edu/forums/diary/Kwampirs+Targeted+Attacks+Involving+Healthcare+Sector/25968/

 

【編集者メモ】(Ullrich)

Kwampirsのような脅威に対する防御では、侵害の特定の指標に注目しすぎないようにしよう。これらはすぐに変化し、過去の感染を検出するのに役立つだけだ。それよりも、あなた自身が、マルウェアが拡散するために使用する技術をどれだけうまく検出できるかどうかを検証するべきだ。例えば、Kwampirsは他のマルウェアと同様に、管理者の共有を探し出し、新しいサービスとしてインストールする。これらは、他のマルウェアでもかなり一般的な手法だ。この種の動作を検出する技術を身につけることで、この特定のマルウェアを検出するだけでなく、より一般的に悪意のある動作を特定するのに役立つという利点がある。

────────────────

 

◆ 郵便物でマルウェア配布 (2020.3.27

FIN7ハッキンググループが、米国の郵便サービスを通じてマルウェアが仕込まれたUSBスティックをユーザーに配布している。ユーザーがそのスティックを差し込むと、コンピュータにバックドアがインストールされる。配布された荷物の中には、ギフトカードやテディベアなどが含まれている。

 - https://www.bleepingcomputer.com/news/security/fbi-hackers-sending-malicious-usb-drives-and-teddy-bears-via-usps/

 - https://www.cyberscoop.com/fin7-usps-fireeye-trustwave/

 

【編集者メモ】(Pescatore)

この問題に関するセキュリティ意識を良く例えて言えば、ITや店舗からではないUSBスティックを、子供たちがABCガムと呼んでいたもの、つまりすでに噛まれたガムだ。コンピュータの口にABCUSBドライブを入れてはいけない。

【編集者メモ】(Neely)

未知のメディアや信頼できないメディアをシステムに挿入しないことは、依然として不可欠である。現在、多くのユーザーは、通常の企業セキュリティ管理の多くの範囲外である在宅で仕事をしているため、在宅ワークのセキュリティ対策への注意を強めることが適切だ。また、リムーバブルメディアの挿入を承認されたデバイスのみに制限する制御を有効にすることは、セキュリティ水準を高めるのに役立つが、現在の環境では、ユーザーが個人のデバイスにリムーバブルメディアを挿入することは魅惑的なことであるため、意識向上トレーニングにそのようなシナリオを必ず含めるようにするべきだ。

────────────────

 

◆ 裁判所が、詐欺のロボコールを助長したとしてVoIP事業者に差止命令を下す (2020.3.27 & 30

ニューヨークの米国連邦地方裁判所は、「米国内消費者への大量の詐欺のロボコール送信を容易にしている」として、2社に対して差止命令を出した。発信者は政府機関や合法的な企業からのものだと主張して、人々を騙して情報や金銭を渡すように仕向けていた。この電話は、高齢者やその他の弱者をターゲットにしていた。

 - https://www.infosecurity-magazine.com/news/injunctions-fraudulent-robocalls/

 - https://www.justice.gov/opa/pr/district-court-orders-injunctions-against-two-telecom-carriers-who-facilitated-hundreds

 

【編集者メモ】(Pescatore)

あらゆる種類の通信事業者が、なりすましアドレスからの悪質な通話/データをフィルタリングすることを拒否している。裁判所や連邦取引委員会(別の項目で述べた)が通信事業者に適切な圧力をかけ始めるのは良いことだ。もし水道会社が「危険な化学物質が入っていることは知っていましたが、水を左から右に流しているだけです。私たちを責めないでください。しかし、私たちはあなた方に浄水サービスを販売します。」と言っているのを想像してほしい。

【編集者メモ】(Neely)

高齢者は、これらの脅威に「慣れ親しんでいない」ため、保護するのが最も難しいユーザーのひとつだ。高齢者と11で時間をかけて通話セキュリティを理解してもらい、適切な制御を可能にすることが、技術レベルや通信事業者レベルの制御が進化していく中で、最善の緩和策となる。

────────────────

 

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

◆┃OUCH! 4月号「パスワード・マネージャ」について

━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

たくさんのシステムやオンラインサービスを利用するときに、それぞれのアカウ

ント名やパスワードを覚えるのに苦労していませんか。このような時はパスワー

ド・マネージャの利用がお勧めです。

今月は、パスワード・マネージャについて解説するとともに、自分に合ったパス

ワード・マネージャの選び方についても、一般ユーザに分かりやすく解説します。

社内のセキュリティ意識向上ツールとしてご利用ください。

https://www.sans.org/sites/default/files/2020-03/202004-OUCH-Japanese.pdf

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

 

FBIZoomのセキュリティ問題について警告を出す (2020.3.30 & 31)

FBIは、Zoomをはじめとするテレビ会議アプリが乗っ取りの脆弱性を持っている可能性があるとして、警告を発した。FBIはユーザーに対し、会議や教室を公開しないこと、画面共有機能を制限すること、会議用パスワードを使用することなどを助言している。Zoomには、ホストが誰を入場させるかをコントロールできる「待合室」機能がある。

 - https://www.cyberscoop.com/zoom-fbi-teleconference-hijacking/

 - https://www.fbi.gov/contact-us/field-offices/boston/news/press-releases/fbi-warns-of-teleconferencing-and-online-classroom-hijacking-during-covid-19-pandemic

 

【編集者メモ】(Honan)

本日、Citizen LabZoomのセキュリティとプライバシー機能についての調査結果を発表した。(https://citizenlab.ca/2020/04/move-fast-roll-your-own-crypto-a-quick-look-at-the-confidentiality-of-zoom-meetings/:高速で独自の暗号:Zoom Meetingの機密性を簡単に確認)調査結果は、FBIからの警告を後押しし、アプリケーション内で暗号化がどのように有効になっているかについていくつかの懸念を提起した。しかし、企業はCOVID19のパンデミックを乗り切るために、Zoomや他の会議プラットフォームを利用していることや、それらを適用するリスク評価を行う必要があることを忘れてはならない。多くの企業にとっては、FBICitizen Labからの警告は許容できるリスクであるが、機密データを議論する可能性のある企業にとっては、そうではないかもしれない。

【編集者メモ】(Pescatore)

簡単な回答は、Zoomにはより安全な代替手段があり、企業はそれらを提供し、推奨すべきであるということだ。現実の回答は、自宅で仕事をしている多くの従業員とその家族が、今後数ヶ月間 Zoomを使用することになるということだ。セキュリティベンダーのCheckpoint社は最近、Zoomを使用する際の安全な使用ガイドラインを以下にまとめており、 (https://blog.checkpoint.com/2020/03/26/whos-zooming-who-guidelines-on-how-to-use-zoom-safely/: 誰が誰にZoomを使っているのか?Zoomを安全に使用する方法に関するガイドライン)

また、SANSsecure work at home awareness kitをリリースしている。(https://www.sans.org/security-awareness-training/sans-security-awareness-work-home-deployment-kit:SANS Security Awareness Work-from-Home Deployment Kit) Zoom (冒頭のリンクを参照) はまた、今後数ヶ月の間に、非常に必要とされている、セキュリティの仕事を一番に行うことを約束している。

────────────────

 

Zoom2つのゼロデイをパッチ適用、資格情報窃取の欠陥未解決、パスワードの問題 (2020.4.1 & 2

macOSZoom2つのゼロデイ脆弱性に対する修正が利用可能となっている。Zoomは攻撃者がWindowsの資格情報を盗むことができる脆弱性の修正に取り組んでおり、自動化されたZoom会議検索ツールにより、多くの会議がパスワードで保護されていないことが判明した。

 - https://threatpost.com/two-zoom-zero-day-flaws-uncovered/154337/

 - https://www.govinfosecurity.com/zoom-rushes-patches-for-zero-day-vulnerabilities-a-14049

 - https://arstechnica.com/information-technology/2020/04/unpatched-zoom-bug-lets-attackers-steal-windows-credentials-with-no-warning/

 - https://krebsonsecurity.com/2020/04/war-dialing-tool-exposes-zooms-password-problems/

 

【編集者メモ】(Neely)

脆弱性の開示は責任を持って行うべきであり、影響を受けるプロバイダに対しては、公開されたブログ記事の前に直接、対応するための時間を与える必要がある。Zoomは、発見されたセキュリティ問題への対応を加速させるために取り組んできた。最近では、問題発見後24時間以内にパッチが迅速にリリースされている。発見されたこれらの問題は解決されている。

【編集者メモ】(Murray)

聴衆の利便性を考慮して、Zoomミーティングではパスワードを使用しているところはほとんどない。しかし、多くのビジネスアプリケーションではパスワードは不可欠だ。会議参加者に付与される特権には特に注意してほしい。

────────────────

 

Zoomの創業者、セキュリティとプライバシーを重視すると語る (2020.4.1 & 2)

現在、在宅で仕事や学習をする人が増えていることから、テレビ会議アプリZoomの利用は、201912月の1,000万人から、20203月には2億人以上に急増している。同社は、侵入者によって会議が中断されたり、ユーザーデータがFacebookと共有されたり、アプリのエンドツーエンド暗号化機能が実際にはエンドツーエンド暗号化として機能していないことなど、無数のセキュリティとプライバシーの問題について直面してきた。同社はいくつかの問題点を改善するための措置を講じている。Zoomの創業者エリック・ユアン氏は、同社は今後3ヶ月間をかけてセキュリティ問題の解決に取り組むと述べている。

 - https://blog.zoom.us/wordpress/2020/04/01/a-message-to-our-users/

 - https://www.zdnet.com/article/zoom-were-freezing-all-new-features-to-sort-out-security-and-privacy/

 - https://www.cyberscoop.com/zoom-security-privacy-founder-eric-s-yuan-apology/

 - https://www.cnet.com/news/zoom-boss-says-itll-freeze-feature-updates-to-address-security-issues/

 - https://www.wired.com/story/zoom-backlash-zero-days/

 - https://www.theregister.co.uk/2020/04/01/zoom_spotlight/

 

【編集者メモ】(Pescatore)

Zoomの創設者は、セキュリティが最優先事項であるCiscoの出身だ。彼は最初からセキュリティを最優先の要件とすべきだった。私は、Zoomの取締役会がこのメッセージを聞いていることを願っている - セキュリティがいかに重要であるかについて、Zoomにフィードバックを与えることで支援することができる。フィードバックフォームはhttps://zoom.us/feedにある

【編集者メモ】(Honan)

Zoomが、提起された問題にいかに迅速に対応し、ユーザーにいかにオープンにコミュニケーションをとったかを評価している。ここには、企業が脆弱性管理プロセスをどのように改善するかについて学ぶべき多くの教訓がある。

────────────────

 

MicrosoftVPNとゲートウェイアプライアンスの脆弱性について病院に警告(2020.4.1 & 2

Microsoftは、病院に対して、仮想プライベートネットワーク(VPN)とゲートウェイアプライアンスには、REvil/Sodinokibiランサムウェアを利用する攻撃者によって悪用されているセキュリティ上の欠陥が含まれていることを直接警告している。Microsoft Threat Protection Intelligence Teamはブログ記事の中で、「Microsoftの脅威インテリジェンスソースの膨大なネットワークを通じて、インフラストラクチャに脆弱性のあるゲートウェイとVPNアプライアンスを持つ数十の病院を特定した。」と記載している。

 - https://www.zdnet.com/article/coronavirus-microsoft-directly-warns-hospitals-fix-your-vulnerable-vpn-appliances/

 - https://www.bleepingcomputer.com/news/security/microsoft-is-alerting-hospitals-vulnerable-to-ransomware-attacks/

 - https://www.infosecurity-magazine.com/news/hospitals-vpns-ransomware-covid19/

 - https://www.microsoft.com/security/blog/2020/04/01/microsoft-works-with-healthcare-organizations-to-protect-from-popular-ransomware-during-covid-19-crisis-heres-what-to-do/

 

【編集者メモ】(Pescatore)

SANS Internet Storm Centerのヨハネス・ウルリッヒ氏は、2020RSAカンファレンスでのSANS5つの最も危険な攻撃手法とその防止方法」基調パネルの一部で、これらの脆弱性を取り上げている。(https://www.sans.org/the-five-most-dangerous-new-attack-techniques:5つの最も危険な攻撃手法)で見ることができる。SANS428日のウェビナーで、これら5つの分野を含む2020年脅威動向レポートを発表する- 詳細はこちら https://www.sans.org/webcasts/top-attacks-threat-report-112665:SANS 最新の攻撃と脅威レポート

【編集者メモ】(Honan)

VPNを切断させるのは、境界線ではなく、そしてオペレーティングシステム上でもなく、アプリケーション上で行ってほしい。追加の設計、セットアップ、および管理は、リスクの減少によって相殺される以上の効力になる。

────────────────

 

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

■┃申込受付中のオンラインセミナー        <NRIセキュア>

━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

48()421()

 <オンラインセミナー>『業務』で選ぶクラウドサービスの勘所

 ~ファイル転送かファイル共有か。サービス 選定を簡単にする判断ポイント~

 https://www.nri-secure.co.jp/seminar/2020/online_file01?utm_source=sans&utm_medium=mail&utm_campaign=20200407sans

 

49()422()

 <オンラインセミナー>利便性とセキュリティを両立するファイル「転送」サービスとは

 ~情報セキュリティ専門会社が提供するクリプト便のファイル転送と業務自動化オプション~

 https://www.nri-secure.co.jp/seminar/2020/online_file02?utm_source=sans&utm_medium=mail&utm_campaign=20200407sans

 

413() 423()

 <オンラインセミナー>利便性とセキュリティを両立するファイル「共有」サービスとは

 ~クリプト便 ファイル共有機能のご紹介~

 https://www.nri-secure.co.jp/seminar/2020/online_file03?utm_source=sans&utm_medium=mail&utm_campaign=20200407sans

 

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

◆┃ebook(無料ダウンロード)                       NRIセキュア>

━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

NRI Secure Insight 2019 ~企業における情報セキュリティ実態調査~

 https://www.secure-sketch.com/ebook-download/insight2019-report?utm_source=sans&utm_medium=mail&utm_campaign=20200407sans

 

EDR導入ガイド

 - インシデント前提社会の最適解 -

 https://www.secure-sketch.com/ebook-download/recommend-edr-use?utm_source=sans&utm_medium=mail&utm_campaign=20200407sans

 

>>ダウンロード資料一覧

 https://www.secure-sketch.com/ebook-download?utm_source=sans&utm_medium=mail&utm_campaign=20200407sans

 

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

◆┃コラム(Secure SketCH ブログ)                    NRIセキュア>

━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

○クラウドネイティブ化に伴うセキュリティ課題とその解決策

 https://www.secure-sketch.com/blog/cloud-native-shift?utm_source=sans&utm_medium=mail&utm_campaign=20200407sans

 

SASEとは?オールインワン製品でDX推進に向けた効率的なセキュリティ投資を!

 https://www.secure-sketch.com/blog/secure-access-service-edge?utm_source=sans&utm_medium=mail&utm_campaign=20200407sans

 

○テレワークのセキュリティ対策、事例に学ぶ失敗しないための3つのポイント

 https://www.secure-sketch.com/blog/secure-remote-work?utm_source=sans&utm_medium=mail&utm_campaign=20200407sans

 

>>ブログ記事一覧

 https://www.secure-sketch.com/blog?utm_source=sans&utm_medium=mail&utm_campaign=20200407sans

 

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

◆┃お知らせ                     <NRIセキュア>

━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

NRIセキュア、Netskope Japan株式会社の「Platinum Partner」に認定

 https://www.nri-secure.co.jp/news/2020/0326?utm_source=sans&utm_medium=mail&utm_campaign=20200407sans

 

NRIセキュア、ダークウェブなどのサイバー空間から脅威情報を検出し、

 デジタル資産の保護を支援するサービスを提供開始

 https://www.nri-secure.co.jp/news/2020/0317?utm_source=sans&utm_medium=mail&utm_campaign=20200407sans

 

NRIセキュア、特権ID管理ソリューション 「SecureCube / Access Check」がシェアNo.1を獲得

 https://www.nri-secure.co.jp/news/2020/0312?utm_source=sans&utm_medium=mail&utm_campaign=20200407sans

 

>>ニュース一覧

 https://www.nri-secure.co.jp/news?utm_source=sans&utm_medium=mail&utm_campaign=20200407sans

 

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

◆┃Secure SketCH 無料登録受付中 <NRIセキュア>

━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

30分でわかる!貴社に必要なセキュリティ対策

 https://www.secure-sketch.com?utm_source=sans&utm_medium=mail&utm_campaign=20200407sans

 

Secure SketCHサービス紹介資料

 https://www.secure-sketch.com/ebook-download/tag/secure-sketch?utm_source=sans&utm_medium=mail&utm_campaign=20200407sans

 

--

 

NRI Secure SANS NewsBites 日本版は、米国の情報セキュリティの専門機関であるSANS Instituteが配信するコンテンツ (SANS NewsBites)をベースに、NRIセキュアテクノロジーズが編集してお届けしています。 世界中でこの1週間に起こったセキュリティのあらゆるトピックと専門家のコメントが掲載されています。原版は、およそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュースソースとして活用されています。組織のセキュリティ管理に関する参考情報としてお役立てください。掲載されている情報は、e-mailを介して自由に他の方に再送していただいて結構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望される方は、弊社ホームページの以下のページよりお申込みください。

https://www.nri-secure.co.jp/news_letter

 

本ニュースレターは、メールマガジン配信を申し込まれた方、弊社からの情報を希望された方、SANS関連のイベントに参加された方、その他イベント等において弊社講演枠に登録された方に配信しています。今後、配信をご希望されない方は会社名と御氏名を本文に明記のうえ、件名に【配信不要】、配信先変更をご希望の方は【配信先変更希望】とご記入頂き、新旧のご連絡先も記載のうえ、info@sans-japan.jp までご返信をお願い致します。なお、情報の反映までにお時間を頂戴する場合がございます。